智能公交系統網絡安全研究

文雄軍廖暑光

智能公交系統網絡安全研究

文雄軍1廖暑光2

1．湖南涉外經濟學院計算機學部，湖南長沙 410205；2．湖南長沙凌發有限公司，湖南長沙 410004

引言

智能公交系統主要通過網絡聯接，此網絡可以從網絡層、應用層、業務層及各級的安全管理方面著手，網絡中如果有一個層次出現了安全隱患，導致整個網絡都是不安全的。以下只是就系統安全中的網絡級作分析設計。交通網可能處于一個較為開放的網絡環境中，其中間業務委托方的網絡有可能與Internet網連接，因此中間業務網絡環境的外接復雜性成為中間網絡系統隱患威脅的極大來源。一般公司內部員工也有上網的需求，但現有的網絡安全防范措施還很薄弱，因此要作安全防范與措施。

1 網絡級的安全分析

網絡級設備主要包括廣域網和局域網各節點上的交換機、路由器及防火墻。網絡層不僅為本系統上網提供連接通路和網絡數據交換的連接，而且是網絡入侵者攻擊公交系統的渠道和通路。大型網絡系統內運行的TCP/IP協議并非專為安全通訊而設計，因此網絡系統存在 一些安全隱患和威脅，整個網絡就會受到來自網絡內部和外部的雙重威脅。

1.1 網絡傳送安全

重要業務數據泄漏和重要數據被破壞。需要對信息中敏感的數據單元采取特殊的加密措施，如采用DES算法進行數據加密等。

1.2 網絡服務安全

現有的網絡安全防范措施來看，網絡安全不僅來自外部網絡，同樣存在于內部網存在的安全風險主要有：

常見攻擊手法如下：黑客入侵：發送大量PING包；網絡監聽；嗅探程序來探測掃描安全漏洞；另外有IP欺騙、拒絕服務攻擊（SYN FLOOD，PING FLOOD等）、分布式拒絕服務攻擊、篡改、堆棧溢出等。

網絡設備，如路由器、交換機等。例如，路由設備存在路由信息泄漏、交換機和路由器設備配置風險等。

而在智能公交系統的網絡內部，如果在安全措施上存在隱患，或者在已有的服務器與內部客戶端中存在著后門程序（如木馬）話，攻擊者就較為容易地取得網絡管理員權限，從而進一步控制計算機系統，網絡中大量的重要數據就會被竊取和破壞。在網絡上設立網關防火墻入侵檢測系統將會有效的將上面提到的各種攻擊與入侵阻斷在外。

1.3 局域網服務器安全

交委網絡內部部署了眾多的網絡設備、服務器，保護這些設備的正常運行，維護主要業務系統的安全，是網絡的基本安全需求，此系統與普通網絡應用不同的是，業務系統服務器是網絡應用的核心。對于業務系統服務器應該具有最高的網絡安全措施。業務系統服務器面臨以下安全問題：非法登陸和非法訪問業務服務器，非法操作系統內部電腦，惡意破壞重要數據者等等。

2 網絡級安全方案概述

通常的網絡優化和配置主要表現在兩個方面。其一，路由策略的優化。對IP地址進行有效合理規劃，盡可能的進行連續規劃和分配，采用CIDR技術進行動態會聚。路由協議的選擇上無論是域內路由協議還是域間路由協議需要針對全網的業務平臺的分布狀態進行優化，即保證業務的連續可靠，又保證路由的精簡和高效。其二，主機系統的優化。在業務的承載系統平臺上，無論是交換空間上，還是具體服務的配置上往往存在很大的可變更性。針對業務的容量，業務的特點需要專業的配置和優化，即保證在硬件設備相對固定的情況下，是系統的配置最優。

3 網絡級安全方案

概述安全方案主要分為三方面：與Internet接入的安全;部門之間的安全以及以前區域網的安全。

3.1 Internet接入的安全

在網絡邊緣設置防火墻，通過監測、限制、更改跨越防火墻的數據流，盡可能地對外部屏蔽網絡內部的信息、結構和運行狀況，以此來實現網絡的安全保護。設置網絡入侵系統，在某個關鍵網段上，檢測和監控數據流，即使發現網絡攻擊的苗頭，并予以杜絕。本方案采用了的設備具有以下幾種技術特性：

3.1.1 VPN特性

VPN的安全性包含以下特征：隧道與加密、數據驗證、用戶驗證、防火墻與攻擊檢測。防火墻用于過濾數據包，防止非法訪問，而攻擊檢測則更進一步分析數據包的內容，確定其合法性，并可實時應用安全策略，斷開包含非法訪問內容的會話鏈接，并產生非法訪問記錄。

3.1.2 AAA Authentication，Authorization，Accounting

AAA提供了對用戶的驗證授權及記帳功能。

驗證：用戶（包括Login用戶、PPP接入用戶等）在被允許訪問網絡資源之前需要先經過驗證，驗證時可以選擇是采用路由器本身維護的用戶數據庫，還是采用RADIUS服務器所維護的用戶數據庫對用戶進行驗證。

授權：通過定義一組屬性來描述用戶的權限信息，用以決定用戶的實際訪問權限。這些信息存儲在RADIUS所維護的數據庫中。對于接入用戶，還可以由用戶的“filterID”屬性來確定采用哪類規則對用戶的報文進行過濾。

記帳：AAA的計費功能允許對用戶的訪問網絡資源等情況進行跟蹤審計。當AAA的計費功能打開后，網絡接入服務器按照一定的計費格式向RADIUS服務器發送用戶的活動信息，這些信息被儲存在服務器上，可以用來進行網絡運行情況的分析、用戶帳單的生成等。

AAA網絡安全服務提供了一個實現身份認證以及訪問控制的主框架。AAA使用RADIUS、TACACS+、Kerberos等協議來實現對網絡的訪問控制。安全路由器實現時采用了使用最廣泛的RADIUS協議。

3.1.3 網絡地址轉換特性

地址轉換主要是因為Internet地址短缺問題而提出的，利用地址轉換可以使內部網絡的用戶訪問外部網絡（Internet），利用地址轉換還可以給內部網絡提供一種“隱私”保護，同時也可以按照用戶的需要提供給外部網絡一定的服務，如：WWW、FTP、TELNET、SMTP、POP3等。

3.2 部門之間的安全

VLAN（Virtual Local Area Network）即虛擬局域網，由于它是邏輯地而不是物理地劃分，因此同一個VLAN內的各個工作站無須被放置在同一個物理空間里，即這些工作站不一定屬于同一個物理LAN網段。一個VLAN內部的廣播和單播流量都不會轉發到其他VLAN中，從而有助于控制流量、減少設備投資、簡化網絡管理、提高網絡的安全性。

對于公司內部網的安全策略，本方案采用VLAN技術，保護那些有安全要求的部門，通過對交換機的設置，將不同的部門歸入不同的VLAN，同時也可根據不同的應用系統來劃分VLAN之間的通信。

3.3 區域網的安全

在廣域網建成后，對某些重要數據的保護，本方案采用在與廣域網鏈路相連的路由器上設置包過濾功能，利用路由器本身的安全特性來實現對重要數據的保護。

IP報文的IP報頭及所承載的上層協議（如TCP）報頭的每個域包含了可以由路由器進行處理的信息。包過濾通常用到IP報文的一些屬性：

! IP的源目的地址及協議域

! TCP或UDP的源目的端口

! ICMP碼ICMP的類型域

! TCP的標志域

! 網絡安全技術白皮書

! 表示請求連接的單獨的SYN

! 表示連接確認的SYN/ACK

! 表示正在使用的一個會話連接

! 表示連接中斷的FIN

可以由這些域的各式各樣的組合形成不同的規則。比如要禁止從主機1.1.1.1到主機2.2.2.2的FTP連接，包過濾可以創建這樣的規則用于丟棄相應的報文：

IP目的地址＝2.2.2.2

IP源地址＝1.1.1.1

IP的協議域＝6（TCP）

目的端口＝21（FTP）

操作＝丟棄

同樣在Novell IPX和Apple AppleTalk協議中也可相應地設置各自的包過濾規則。

本系統路由器和安全網關防火墻提供了基于接口的包過濾，即可以在一個接口的進出兩個方向上對報文進行過濾。同時還提供了基于時間段的包過濾，可以規定過濾規則發生作用的時間范圍，比如上例中可設置每周一的8:00至20:00允許FTP報文進入以完成必要的服務，而其余時間則禁止FTP連接。在時間段的設置上，可以采用絕對時間段和周期時間段以及連續時間段和離散時間段配合使用，在應用上具有極大的靈活性。并且這樣的時間段可以方便地提供給其他的功能模塊使用，如地址轉換、IPSec等。

4 產品選型

從調查與比較，本文推薦所選用的產品均是國際及國內的知名廠家：

表1 產品配置

在本系統中，設置了1臺防火墻Quidway! Eudemon 100，該防火墻具有4個100Base-TX以太網接口。

內網接口為防火墻上的100Base-TX端口，分別連接在一臺核心交換機上。

需要接口的外部網絡有各公交公司網絡，使用了1臺交換機3COM 3C16471連接所有的外部網絡，然后再通過1口100Base-TX連接到防火墻上。

通信服務器設置在DMZ區內，使用了1口100Base-TX端口。在防火墻上配置訪問策略，使外部網絡只能訪問通信服務器，而不能訪問內網。另外系統可以安裝相同的KILL防毒客戶端。容錯軟件會自動地提供錯誤檢測和多層現場恢復。

在設計智能公交系統的安全性時除了網絡級安全外，還有應用級，系統級安全、數據存儲安全層是作為一個整體系統工程的安全搭檔。

[1]馬俊海，黃明.車輛監控系統中GPS,GIS的應用

[2]姚彥，梅順良，高葆新.數字微波中繼通信工程.人民郵電出版社出版，1993

[3]華睿，李學橋.一種基于Linux的網絡入侵檢測系統[J].河南:鄭州輕工業學院學報(自然科學版),2005.1(1) 44～46.

[4]吳功宜，張建忠.網絡安全高級軟件編程技術.清華大學出版社，2010

[5]陸錫明.快速公交系統.同濟大學出版社，2005

[6](美)特南鮑姆，韋瑟羅爾著；嚴偉，潘愛民譯.計算機網絡.清華大學出版社，2012

[7]知網空間. http://cdmd.cnki.com.cn/

Studies on network security of the intelligent transportation system

Wen Xiongjun1Liao Shuguang3
1.Department of Computer, Hunan International Economics University, Changsha 410205, China; 2. LinFa Technology CO.LTO; Changsha 410006, China

網絡的安全是智能公交系統服務質量的一重大因素，本文先對網絡進行了安全分析，然后從分析中得出安全方案，要從三大方面著手：與Internet接入的安全;部門之間的安全；區域網的安全著手如何設計安全措施，并通過調查選用所用的安全設備，最后保證智能公交系統網絡的安全。

服務安全；公交系統；入侵；網絡安全

Network security is one key factor to judge the service quality of intelligent public transportation systems. This paper analyzes network safety, and finally proposes a safety scheme. In the scheme, the safety of the connection to the internet, the safety of each department, and the safety of local area network are essential. Our work designed a program to guarantee network security of the intelligent public transportation system.

service security; public transportation system; intrusion; network security

10.3969/j.issn.1001-8972.2012.14.071

湖南省教育廳科研資助項目(08C515)

文雄軍，女，講師，碩士，研究方向人工智能，網絡方向；

廖暑光，男，本科，工程師，計算機軟件方向。