隔離網(wǎng)閘在軌道交通車(chē)輛數(shù)據(jù)傳輸上的應(yīng)用研究

覃事東，肖 曦，侯 波

（1.大功率交流傳動(dòng)電力機(jī)車(chē)系統(tǒng)集成國(guó)家重點(diǎn)實(shí)驗(yàn)室，湖南 株洲 412001；2.中車(chē)株洲電力機(jī)車(chē)有限公司，湖南 株洲 412001）

隨著信息通信技術(shù)的不斷發(fā)展，以車(chē)輛為代表的軌道交通裝備智能化程度也越來(lái)越高，物聯(lián)網(wǎng)、5G等技術(shù)也在車(chē)輛感知和數(shù)據(jù)傳輸領(lǐng)域獲得了越來(lái)越多的應(yīng)用，使得更多的車(chē)輛數(shù)據(jù)可以被采集、傳輸和分析，為車(chē)輛的運(yùn)用和維護(hù)的智能化提升奠定了基礎(chǔ)。

而軌道交通行業(yè)是一個(gè)安全高度敏感的行業(yè)，在關(guān)注軌道交通系統(tǒng)智能化的同時(shí)，也需要高度關(guān)注系統(tǒng)安全，并在設(shè)計(jì)時(shí)進(jìn)行綜合考量。

當(dāng)前軌道交通車(chē)輛車(chē)地?zé)o線傳輸主要使用防火墻保證車(chē)輛網(wǎng)絡(luò)和地面網(wǎng)絡(luò)的隔離[1]，但防火墻是在保障互聯(lián)互通的前提下進(jìn)行的安全防火措施。在智能電網(wǎng)等安全性要求極高的系統(tǒng)中，通常還會(huì)引入隔離網(wǎng)閘[2]從物理上斷掉網(wǎng)絡(luò)連接，阻斷外部網(wǎng)絡(luò)對(duì)系統(tǒng)本身的威脅，如一般工控系統(tǒng)與網(wǎng)絡(luò)間的隔離會(huì)同時(shí)采用防火墻和隔離網(wǎng)閘共同實(shí)現(xiàn)[3]，以保障系統(tǒng)的安全。

本文主要研究了軌道交通車(chē)輛數(shù)據(jù)傳輸安全保障需求，提出了隔離網(wǎng)閘在車(chē)輛數(shù)據(jù)傳輸上的應(yīng)用方案，并給出了相應(yīng)的測(cè)試結(jié)果及示例。

1 應(yīng)用需求分析

1.1 功能需求

由于軌道交通車(chē)輛網(wǎng)絡(luò)屬于典型的工業(yè)控制網(wǎng)絡(luò)，需要極高的安全性，故相對(duì)封閉。接入網(wǎng)絡(luò)的所有設(shè)備均需要滿足相關(guān)測(cè)試認(rèn)證要求，而車(chē)輛無(wú)線傳輸設(shè)備需要將采集的車(chē)載數(shù)據(jù)發(fā)送至地面，故不可避免地要與車(chē)輛外部網(wǎng)絡(luò)發(fā)生數(shù)據(jù)交換，這為車(chē)輛網(wǎng)絡(luò)乃至車(chē)輛本身的安全帶來(lái)了一定的威脅。

為了保證車(chē)輛網(wǎng)絡(luò)的安全，通常采用防火墻進(jìn)行防護(hù)。應(yīng)用防火墻的目的是為了內(nèi)部網(wǎng)絡(luò)的安全防護(hù)，防止外部網(wǎng)絡(luò)對(duì)內(nèi)部網(wǎng)絡(luò)的攻擊，同時(shí)對(duì)內(nèi)網(wǎng)訪問(wèn)外部網(wǎng)絡(luò)的行為進(jìn)行控制。防火墻的設(shè)計(jì)原則是在保障互聯(lián)互通的前提下，盡可能安全。

隔離網(wǎng)閘一般用于具有極高安全性的數(shù)據(jù)中心或網(wǎng)絡(luò)中，如電力系統(tǒng)[2]、油田網(wǎng)絡(luò)[4]等用于實(shí)現(xiàn)內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)的物理連接上的隔離，其基本工作原理是信息擺渡，也就是可以實(shí)現(xiàn)完全隔離的不同網(wǎng)段之間的有條件訪問(wèn)，在同一時(shí)刻網(wǎng)閘只與內(nèi)部網(wǎng)絡(luò)或外部網(wǎng)絡(luò)之一建立物理連接，使得內(nèi)外網(wǎng)之間無(wú)法建立持續(xù)的物理通信連接，只進(jìn)行數(shù)據(jù)的無(wú)協(xié)議“擺渡”，所以隔離網(wǎng)閘從物理上隔離、阻斷了具有潛在攻擊可能的一切連接。網(wǎng)閘所擺渡的信息均需要按要求重新建立協(xié)議。網(wǎng)閘的設(shè)計(jì)原則是在保證安全的前提下，盡可能互聯(lián)互通。

防火墻與隔離網(wǎng)閘對(duì)比見(jiàn)表1。將防火墻應(yīng)用于軌道交通車(chē)輛數(shù)據(jù)傳輸已是較為成熟的方案，而應(yīng)用網(wǎng)閘隔離車(chē)輛網(wǎng)絡(luò)與外部網(wǎng)絡(luò)，完成車(chē)輛數(shù)據(jù)傳輸則是一個(gè)值得研究的課題。

表1 防火墻與隔離網(wǎng)閘對(duì)比

1.2 數(shù)據(jù)流分析

軌道交通車(chē)輛數(shù)據(jù)傳輸主要是采集車(chē)輛數(shù)據(jù)并將數(shù)據(jù)發(fā)送至地面，傳輸過(guò)程可以使用專(zhuān)用網(wǎng)絡(luò)和公用網(wǎng)絡(luò)，具體如圖1所示。

圖1 數(shù)據(jù)傳輸過(guò)程

對(duì)于使用專(zhuān)用網(wǎng)絡(luò)傳輸數(shù)據(jù)的方案，整個(gè)數(shù)據(jù)流在內(nèi)部封閉網(wǎng)絡(luò)中進(jìn)行，安全性很高，采用防火墻防護(hù)即可滿足安全要求。特定情況下地面數(shù)據(jù)中心可能需要與外部開(kāi)放網(wǎng)絡(luò)通信，此時(shí)則需要更完善的網(wǎng)絡(luò)安全防護(hù)方案，通常會(huì)在數(shù)據(jù)中心與外部網(wǎng)絡(luò)間部署隔離網(wǎng)閘[5]。

對(duì)于使用公用網(wǎng)絡(luò)傳輸數(shù)據(jù)的方案，每列車(chē)的數(shù)據(jù)傳輸設(shè)備均需要接入外部開(kāi)放網(wǎng)絡(luò)，為了保障系統(tǒng)安全和數(shù)據(jù)安全，傳輸設(shè)備通常會(huì)采用防火墻、VPN、數(shù)據(jù)加密等措施。

在車(chē)載網(wǎng)絡(luò)與共用網(wǎng)絡(luò)間應(yīng)用隔離網(wǎng)閘，可實(shí)現(xiàn)網(wǎng)絡(luò)間的隔離與信息交換，進(jìn)一步提高網(wǎng)絡(luò)安全性。隔離網(wǎng)閘可部署在車(chē)載網(wǎng)絡(luò)與傳輸設(shè)備之間，但這樣會(huì)導(dǎo)致系統(tǒng)集成度不高、數(shù)據(jù)采集無(wú)集中管控、對(duì)數(shù)據(jù)發(fā)送設(shè)備有額外要求等問(wèn)題。本文研究將隔離網(wǎng)閘集成在傳輸設(shè)備中的方式，在盡可能不改變?cè)袛?shù)據(jù)傳輸方式的前提下，進(jìn)一步增強(qiáng)系統(tǒng)的安全性。

要在車(chē)輛數(shù)據(jù)傳輸中使用隔離網(wǎng)閘，則需要將網(wǎng)閘應(yīng)用于車(chē)載設(shè)備中，或單獨(dú)研發(fā)一款可裝車(chē)的網(wǎng)閘設(shè)備。本文主要研究將網(wǎng)閘集成在車(chē)載無(wú)線傳輸設(shè)備中的方案。即對(duì)車(chē)載無(wú)線傳輸設(shè)備提出了如下新的需求：

（1）將隔離網(wǎng)閘的功能集成在無(wú)線傳輸設(shè)備中，即采用嵌入式、可裝車(chē)方案。

（2）在設(shè)備上阻斷車(chē)輛網(wǎng)絡(luò)與外部網(wǎng)絡(luò)的直接物理連接和邏輯連接，且不依賴(lài)操作系統(tǒng)、不支持內(nèi)外網(wǎng)TCP/IP信息交互。

（3）具備安全審查功能和工業(yè)防火墻功能，能根據(jù)需要對(duì)原始數(shù)據(jù)的安全性進(jìn)行檢查，處理掉可能的病毒代碼、惡意攻擊代碼等，保證擺渡的數(shù)據(jù)具備安全性。

（4）具有管理功能，能夠定制傳輸策略。

2 方案設(shè)計(jì)

2.1 架構(gòu)設(shè)計(jì)

基于隔離網(wǎng)閘架構(gòu)的車(chē)載數(shù)據(jù)傳輸系統(tǒng)，是兩個(gè)獨(dú)立的主機(jī)系統(tǒng)通過(guò)網(wǎng)閘進(jìn)行隔離，使系統(tǒng)間不存在通信的物理連接、邏輯連接及信息傳輸協(xié)議，不存在依據(jù)協(xié)議進(jìn)行的信息交換，只有數(shù)據(jù)的無(wú)協(xié)議擺渡，隔離網(wǎng)閘從物理上隔離、阻斷了具有潛在攻擊可能的一切連接。基于工業(yè)網(wǎng)閘架構(gòu)的車(chē)載數(shù)據(jù)傳輸系統(tǒng)的硬件拓?fù)淙鐖D2所示。

圖2 產(chǎn)品拓?fù)鋱D

隔離網(wǎng)閘將傳輸設(shè)備隔離為內(nèi)端機(jī)和外端機(jī)兩部分，內(nèi)端機(jī)負(fù)責(zé)與車(chē)輛網(wǎng)絡(luò)通信，實(shí)現(xiàn)數(shù)據(jù)采集、匯集和預(yù)處理，并將數(shù)據(jù)交付至隔離網(wǎng)閘。外端機(jī)負(fù)責(zé)接收隔離網(wǎng)閘擺渡的數(shù)據(jù)，并通過(guò)無(wú)線通訊模塊將數(shù)據(jù)傳輸至地面端。

2.2 詳細(xì)設(shè)計(jì)

在內(nèi)端機(jī)側(cè)，系統(tǒng)主要完成車(chē)輛數(shù)據(jù)的采集與匯集，因此，根據(jù)具體項(xiàng)目需要，內(nèi)端機(jī)側(cè)配置MVB、CAN、以太網(wǎng)、TRDP、RS485/422/232等接口，接入車(chē)輛網(wǎng)絡(luò)。內(nèi)端機(jī)數(shù)據(jù)采集與處理接口間通過(guò)以太網(wǎng)和CPCI總線連通并通信。

外端機(jī)側(cè)實(shí)現(xiàn)系統(tǒng)采集的數(shù)據(jù)通過(guò)可用網(wǎng)絡(luò)發(fā)送至地面服務(wù)器，可用的網(wǎng)絡(luò)包括專(zhuān)用網(wǎng)絡(luò)（如通信系統(tǒng)提供的綜合承載通道、專(zhuān)網(wǎng)LTE網(wǎng)絡(luò)、內(nèi)網(wǎng)WLAN網(wǎng)絡(luò)等）及公用的3G/4G/5G網(wǎng)絡(luò)，并按實(shí)際項(xiàng)目需求決定是否配置天線接口。

隔離網(wǎng)閘按GB/T 37934—2019《信息安全技術(shù)工業(yè)控制網(wǎng)絡(luò)安全隔離與信息交換系統(tǒng)安全技術(shù)要求》[6]中的增強(qiáng)級(jí)要求設(shè)計(jì)。隔離網(wǎng)閘是內(nèi)端機(jī)和外端機(jī)之間唯一的數(shù)據(jù)通路，不支持TCP/IP之類(lèi)的公共協(xié)議，通過(guò)分時(shí)通斷的連接方式實(shí)現(xiàn)內(nèi)外端機(jī)兩端的數(shù)據(jù)擺渡，以形成一個(gè)無(wú)實(shí)時(shí)物理連接的安全隔離數(shù)據(jù)閘。

訪問(wèn)控制方面，網(wǎng)閘采用白名單訪問(wèn)控制，并提供IP/MAC地址綁定功能，支持基于IP、端口、傳輸協(xié)議等進(jìn)行訪問(wèn)控制配置。

數(shù)據(jù)傳輸方面，根據(jù)某典型的城軌車(chē)輛數(shù)據(jù)傳輸實(shí)際需求（表2），支持TCP、UDP、FTP、SFTP、HTTP、MQ等協(xié)議，通過(guò)數(shù)據(jù)鏈路分時(shí)切換完成信息擺渡，且不可旁路。網(wǎng)閘還具備基本的防火墻抗攻擊功能。為了保證系統(tǒng)的正常使用，提升可靠性，還具備雙機(jī)熱備功能。

表2 車(chē)輛數(shù)據(jù)傳輸需求

網(wǎng)閘提供相應(yīng)的管理和配置工具，支持用戶標(biāo)識(shí)和鑒別，根據(jù)用戶權(quán)限，提供配置源IP、源端口、目的IP、目的端口、傳輸協(xié)議等信息的相關(guān)功能和權(quán)限。

3 測(cè)試驗(yàn)證

3.1 安全認(rèn)證

產(chǎn)品安全測(cè)試送專(zhuān)業(yè)機(jī)構(gòu)按（GB/T 37934—2019）增強(qiáng)級(jí)要求進(jìn)行測(cè)試認(rèn)證，確保產(chǎn)品滿足安全隔離需求。

3.2 功能測(cè)試

測(cè)試環(huán)境搭建如圖3所示。

圖3 產(chǎn)品拓?fù)鋱D

使用網(wǎng)閘配置工具，按測(cè)試要求配置IP、端口、協(xié)議等配置項(xiàng)，分別測(cè)試TCP、UDP、HTTP、FTP、SFTP、MQ等協(xié)議傳輸情況。測(cè)試結(jié)果均可正常實(shí)現(xiàn)數(shù)據(jù)擺渡與傳輸，其中FTP上傳下載平均速率為40 MB/s，SFTP上傳速率7 MB/s，SFTP下載速率11 MB/s，可滿足車(chē)輛數(shù)據(jù)傳輸?shù)墓δ芤蟆?/p>

3.3 性能測(cè)試

網(wǎng)閘內(nèi)端機(jī)建立1條UDP協(xié)議規(guī)則，采用2分法，初始速率100 Mbps，最小速率5 Mbps，最大速率1 000 Mbps，分別測(cè)試64/128/256/512/1024/1518字節(jié)時(shí)延和吞吐量，結(jié)果表明系統(tǒng)可滿足車(chē)輛數(shù)據(jù)傳輸?shù)男阅芤?，?jiàn)表3。

表3 性能測(cè)試結(jié)果

4 結(jié)束語(yǔ)

文章分析了軌道交通車(chē)輛數(shù)據(jù)傳輸?shù)陌踩枨?，分析了隔離網(wǎng)閘技術(shù)的特點(diǎn)與需求的契合點(diǎn)，設(shè)計(jì)了集成隔離網(wǎng)閘的車(chē)輛數(shù)據(jù)傳輸系統(tǒng)，經(jīng)過(guò)測(cè)試具備隔離網(wǎng)閘的數(shù)據(jù)傳輸系統(tǒng)能滿足車(chē)輛數(shù)據(jù)傳輸?shù)墓δ芤蠛托阅芤?，較大程度地提高了車(chē)輛對(duì)外部網(wǎng)絡(luò)攻擊的防護(hù)能力，提升了系統(tǒng)本身及車(chē)輛網(wǎng)絡(luò)的安全性。增加隔離網(wǎng)閘使得車(chē)輛與地面的數(shù)據(jù)傳輸網(wǎng)絡(luò)不存在實(shí)時(shí)物理連接，對(duì)于需要持久連接的應(yīng)用場(chǎng)景會(huì)產(chǎn)生不利影響，測(cè)試結(jié)果表明對(duì)系統(tǒng)的數(shù)據(jù)傳輸效率也有一定的負(fù)面影響，可結(jié)合實(shí)際情況選用通過(guò)私有協(xié)議以邏輯的方式實(shí)現(xiàn)協(xié)議隔離的方式。