高速鐵路信號系統網絡安全與統一管控

李賽飛， 閆連山， 郭 偉， 郭 進，陳建譯， 潘 煒， 方旭明

(1.西南交通大學信息科學與技術學院，四川成都 610031;2.廣州鐵路集團公司，廣東廣州 510088)

鐵路運輸系統作為我國最重要的基礎設施之一，其對于安全性的要求不言而喻.這里的安全性具有兩層含義:首先指系統網絡不能因為自身故障等原因而導致危險的發生，最終目的是在盡可能降低故障發生概率的基礎上，即便是出現了故障，也要求不會導致相關系統陷入危險的狀態(即導向安全);其次是指系統網絡具有抵抗外界入侵和防范網絡病毒的能力.長期以來鐵路信號系統的安全性研究大多圍繞系統的安全可靠(safety)進行，認為鐵路信號系統網絡作為專有網絡，不存在外界入侵和網絡病毒傳播的問題.然而隨著新型病毒(例如，專門針對工業控制系統的“震網病毒”[1])和新的攻擊手段(例如ATP攻擊[2])的出現，再加上高速鐵路信號系統發展對數據共享和大容量數據通信的迫切需求，使得高速鐵路信號系統對外界具有前所未有的開放性，所以高速鐵路信號系統的網絡安全(security)應該得到更多的研究和重視.

鐵路信號系統的網絡化和信息化已經成為實現鐵路企業運營管理現代化的客觀要求和必然趨勢.鐵路信號系統的網絡化是鐵路運輸綜合調度指揮的基礎，在此基礎上實現信息化，將使得我國鐵路信號系統運營管理進入集中化、智能化的新時代.計算機技術、通信技術和控制技術[3-4]的結合以及迅速發展，將共同促進這一進程.

以太網技術在確保其傳輸的實時性、可靠性和確定性方面得到了很大發展[5]，其在通信容量、通信速率和配置部署等方面的巨大優勢，能夠滿足大部分工業控制系統(如鐵路信號控制系統)的通信要求.近年來，以太網技術結合TCP/IP技術在控制系統網絡中(包括鐵路信號控制系統網絡)得到了廣泛的應用，大量采用了Internet網絡中比較成熟的技術.因此，現在的工業控制系統網絡具有了更高的互聯互通特性.與此同時，2010年席卷全球工業界的“震網病毒”，使得工業控制系統網絡正面臨著越來越嚴峻的網絡信息安全問題.

隨著車-地之間雙向、大容量、實時和可靠信息傳輸的迫切需求，CTCS-3[6]級列控系統引入GSMR無線通信技術應用在時速300 km/h以上的高速鐵路中，地面設備增加無線閉塞中心(RBC)和GSM-R無線通信網絡.然而，GSM-R采用無線公共信道，這使得鐵路信號系統網絡作為專網，具有了更高的開放性，提供了從公共信道滲透鐵路信號系統的通道，增加了鐵路信號系統信息安全的脆弱性.

我國高速鐵路信號系統(CTCS-3)網絡主要由4部分組成:CTC(central traffic control)分散自律調度集中系統網絡[7]、信號安全通信數據網絡[8]、集中監測網絡[9-10]以及 GSM-R 通信網絡[11].高速鐵路信號系統網絡復雜、異質異構(涉及到IP網絡、工控網絡、無線網絡)、安全等級不同、網絡設備管理配置復雜、故障定位及維護困難，還沒有達到統一安全策略、統一安全管控的信息安全目標，以及配置管理集中化和智能化的運營要求.

目前，我國鐵路信號系統信息安全防護大量采用傳統的防火墻、訪問控制、隔離、病毒漏洞掃描等技術，未針對我國鐵路通信應用及相關安全通信協議(如 RSSP-Ⅱ協議[12])進行專門的安全防護，致使有些情況下防護措施不能起到應有的作用;另外，為了保證鐵路信號設備通信的實時性和可靠性，我國高速鐵路CTCS-3級列控系統信號安全通信數據網中未采用信息安全防護措施.

本文從我國高速鐵路信號系統網絡整體架構出發，對信號系統的網絡安全性進行了全面、詳細的分析，著重分析了高速鐵路信號系統中各個子系統間的接口安全，以及從較低安全等級網絡/系統(如CTC系統網絡)向高安全等級網絡/系統(如信號安全通信數據網)滲透的可能性.在分析的基礎上，提出了基于軟件定義網絡(SDN)的高速鐵路信號系統網絡統一安全管控方案，并對其功能特性進行了分析和介紹.

1 高速鐵路信號系統網絡架構分析

現代鐵路信號系統不是各種信號設備的簡單組合，而是功能完善、層次分明的控制系統.系統內部各功能單元之間獨立工作，同時又相互聯系，交換信息，構成復雜的網絡化結構.指揮者需要能夠全面了解轄區內的各種情況，靈活配置系統資源，保證鐵路系統的高效、安全運營.

圖1 高速鐵路信號系統典型組成架構Fig.1 Typical architecture of Chinese high-speed railway signal system

高速鐵路信號系統(如圖1所示)，包括列控系統、行車指揮系統、聯鎖系統和信號集中監測系統.列控系統主要由列控中心(TCC)、車載設備、應答器、無線閉塞中心(RBC)、臨時限速服務器和傳輸網絡組成;行車指揮系統由CTC中心、自律分機、傳輸網絡、服務器系統、行調臺、輔助臺和電源系統組成;聯鎖系統由聯鎖設備、軌道電路、道岔轉換、信號機和電源系統組成.信號集中監測通過標準接口與聯鎖系統、列車控制中心、TDCS/CTC、智能電源屏、ZPW-2000軌道電路系統、有源應答器、RBC、TSRS的信號設備連接，監測設備狀態.CTC分散自律調度集中通信網絡、信號安全通信數據網和集中監測網絡安全等級不同，獨立成網，采用物理手段隔離(雙宿主機、接口服務器等)，但邏輯上依然相連.從理論上講，有可能從各個網絡的接口相互滲透.

2 高速鐵路信號系統網絡接口分析

2.1 列控系統接口安全分析

列車與RBC建立連接并保持連接，對列車與RBC連接狀態的準確確認，是保證列控中心指令正確傳達的基礎.列控中心與聯鎖系統采用以太網連接，兩者之間未設置防火墻進行隔離.如果引入防火墻進行隔離以及相關的數據驗證，有可能會影響數據傳輸的實時性.列車車載設備與地面設備之間進行相互通信，并向列控中心傳輸數據，因地面設備和列控中心之間的距離不同，從而會導致一定的時延誤差，有可能會影響行車的精確性.RBC與臨時限速服務器之間采用基于TCP/IP的安全數據通信網，保證數據的安全性，但是兩者之間未設置防火墻進行防護.

2.2 聯鎖系統接口安全分析

2.2.1 聯鎖系統上位機和CTC分機之間接口

(1)安全問題及措施

聯鎖系統經上位機與CTC系統的車站分機之間接口，采用局域網通信和TCP/IP協議，二者間的通信未采用安全通信協議.二者之間已經采用了防火墻進行防護.由于CTC系統為非安全系統，從系統邊界防護角度考慮，應該對CTC分機和上位機的通信接口采用安全通信協議.由于聯鎖系統要與信號安全數據通信以太網(控制網)通信，而CTC分機要與調度集中數據通信以太網通信，對CTC分機和上位機之間的通信接口采用安全通信協議，可有效避免二網之間的相互滲透問題，尤其可防止調度集中數據通信以太網對信號安全數據通信以太網(控制網)的滲透問題.

(2)可能帶來的影響

由于上位機和CTC并不負責控制命令的執行，故采用安全協議后，雖然會影響上位機和CTC分機的實時性，但對控制系統核心功能(由聯鎖主機執行)的執行不會產生影響，這主要是因為通信部分軟件功能的完善，不會增加額外的維護開銷.

2.2.2 聯鎖系統電務維修機和集中監測系統接口

(1)安全問題及措施

計算機聯鎖系統經維修機與集中監測系統的車站分機之間接口，通過局域網通信，采用TCP/IP協議和安全通信協議，二者之間未采用防火墻進行防護.由于集中監測系統為非安全系統，從系統邊界防護角度考慮，應該對集中監測系統和維修機的通信接口采用安全通信協議，對二者之間的接口采用防火墻進行防護.由于聯鎖系統要與信號安全數據通信以太網(控制網)通信，而集中監測系統站內分機要與集中監測數據通信以太網通信，如果對電務維修機和集中監測系統之間的通信接口采用安全通信協議，并采用防火墻進行防護，可有效避免二網之間的相互滲透問題，尤其是集中監測數據通信以太網對信號安全數據通信以太網的滲透問題.

(2)可能帶來的影響

由于維修機和集中監測系統均只從聯鎖系統取信息，并不負責向聯鎖主機發送關鍵控制命令，故采用安全協議和防火墻防護后，對控制系統核心功能的執行不會產生影響，不會增加額外的維護.

2.2.3 聯鎖系統與列控中心、無線閉塞中心之間的接口

(1)安全問題及措施

聯鎖系統與TCC、RBC之間的接口，通過信號安全數據通信以太網進行通信，采用TCP/IP協議，信號安全數據通信以太網采用安全通信協議.各系統之間未采用防火墻進行隔離.

幾個系統均為安全-關鍵系統，均為冗余結構，負責關鍵控制功能的執行.安全問題涉及各個系統自身安全問題和信號安全數據通信網通信安全性兩個方面.如何加強各系統之間的邊界防護是一個重要問題.

(2)可能帶來的影響

這幾個系統是鐵路信號核心控制系統，增強系統關鍵部分和信號安全數據通信網安全防護措施，都可能對系統實時性造成影響，是否會對關鍵功能的執行帶來影響因系統不同而不同，需具體分析.

2.3 集中監測系統接口分析

(1)安全問題及措施

集中監測系統與其它控制系統之間的接口，采用站內局域網和TCP/IP協議，二者間的通信未采用安全通信協議和防火墻.

由于集中監測系統為非安全系統，從系統邊界防護角度考慮，應該對集中監測系統和其它系統之間的通信接口采用安全通信協議.集中監控系統站內部分與系統中心之間應采用防火墻進行防護，與其它系統接口之間也應進行防火墻防護.由于控制系統(車站聯鎖、TCC)要與信號安全數據通信以太網(控制網)通信，CTC系統與調度集中數據通信以太網通信，而集中監測系統站內分機要與集中監測數據通信以太網通信，采用安全通信協議和防火墻隔離，可有效避三網之間的相互滲透問題，尤其是對信號安全數據通信以太網的滲透問題.

(2)可能帶來的影響

由于集中監測系統均不下達控制命令，故幾者之間采用安全通信協議后，對控制系統核心功能的執行不會產生影響.

2.4 GSM-R與公網接口安全分析

在GSM-R系統中的數據業務在核心網中經過GRPS的網絡節點SGSN和GGSN與外網相聯通，因此GSM-R系統與公網接口的信息安全問題也是極其重要的，需要通過不同手段在鐵路專網與公網間建立起一道有效的信息安全屏障.

我國的GSM-R系統的安全機制主要來源于GSM的原始方案，并針對一些比較關鍵的安全缺陷做了一些彌補措施，如表1所示.

由于GSM系統的方案確立于20世紀80年代末，方案中的很多核心算法和技術方案的設計過程均不公開，隨著技術的發展，在實際使用中已暴露出了一些安全缺陷，如單向身份認證、基站與基站間數據明文傳輸等.

表1 GSM-R系統安全分析Tab.1 Security analysis of GSM-R system

雖然RSSP-Ⅱ協議為車-地信息傳輸提供了額外的完整性保護，但考慮到實時性和可靠性，高優先級數據并未受到保護.

3 低安全等級網絡向高安全等級網絡滲透可行性分析

在高速鐵路信號系統各個子系統網絡中，信號安全數據網負責聯鎖、列控、RBC和臨時限速服務器的通信，這些設備將直接影響列車的控制運行，所以信號安全數據網為安全等級最高的網絡子系統;相對于信號安全數據網，CTC系統網絡間接控制現場設備和列車為較低安全等級網絡子系統.集中監測系統只負責監測現場設備狀態，發出故障報警等信息，不負責列車及設備控制，安全等級最低.由于集中監測網絡不負責列車控制，所以本文重點分析從CTC系統(低安全等級)向信號安全數據網(高安全等級)滲透的可行性.

如圖2所示，在CTC系統和信號安全數據網中部署了大量服務器，采用了多個通用及專用操作系統，包括 Windows Server 2003/2008、Windows NT系列、Windows XP、Linux、FreeBSD、RedHat等，而大多數專用操作系統往往沒有內置安全功能.由于信號系統的特殊性，軟件變更和補丁升級周期較長，必須進行徹底的測試，以遞增的方式部署到整個系統中，以確保系統的完整性和可靠性，但是，這樣對于系統和軟件新出現的漏洞不能及時更新，增加了被攻擊滲透的風險.

如果以CTC車站局域網作為起點，有兩條路徑可以入侵到信號安全數據網中.第1條路徑如圖2(a)所示，首先從CTC車站子系統入侵到CTC中心系統中，關鍵是取得CTC-RBC接口服務器的控制權，下一步就可以通過信號安全數據網一側的接口服務器VIA入侵到信號安全數據網子系統中.第2條路徑如圖2(b)所示，同第1條路徑類似，關鍵是取得臨時限速接口服務器的控制權，如果與臨時限速接口服務器連接的路由器配置不當，則可以直接向信號安全數據網發起攻擊.

圖2 CTC車站局域網、CTC中心局域網和信號安全數據網連接拓撲Fig.2 Topology and connectivity of CTC station LAN，CTC centre LAN and signal security data network

4 基于SDN的信號系統網絡統一安全管控方案

SDN[13-14]是一種新的網絡架構，它把傳統網絡路由器和交換機的數據平面和控制平面分離，由邏輯統一的控制器(編寫的軟件程序)控制所有設備的數據轉發，進行統一控制和全局管理.SDN架構如圖3所示.

圖3 軟件定義網絡架構Fig.3 Software defined networking architecture

當網絡的控制平面和數據平面分離，網絡的控制平面可以抽象成網絡操作系統[15]和網絡虛擬化層，與服務器虛擬化類，網絡操作系統為上層提供全局網絡資源[16]，在此基礎上可以進行網絡虛擬化，形成網絡虛擬化層[17]，再由不同的控制程序分別來控制不同網絡虛擬化拓撲的網絡管理和數據轉發.

如圖1所示，我國高速鐵路信號系統網絡由3張子網構成:CTC系統網絡、信號安全數據網和集中監測網絡，它們為各自獨立的物理網絡，通過物理手段進行隔離(如雙宿主機，接口服務器等)，使得不同系統間接口復雜，并且安全等級不同，維護管理困難，導致系統整體安全性降低.為此，本文基于SDN架構，提出軟件定義高速鐵路信號系統網絡，以解決信號系統復雜網絡的安全管理問題.首先，把CTC系統網絡，信號安全數據和集中監測網絡3個物理獨立的子網，融為基于SDN的統一網絡硬件平臺(如圖4所示)，由邏輯統一的分布式控制技術和基于SDN的冗余技術[18]保障高可靠性，在統一的網絡硬件平臺基礎上，通過網絡虛擬化技術，軟件定義信號系統的各個功能子網，由原來復雜的物理隔離網絡變為高效可控的軟件隔離網絡，進一步實現了信號系統網絡安全的統一管控.基于SDN的信號系統網絡統一安全管控方案如圖5所示.

圖4 軟件定義高速鐵路信號系統網絡架構Fig.4 Architecture of software defined Chinese train control systems(SD-CTCS)

4.1 資產注冊和服務管理

根據每個設備開啟的網絡服務，或者是需要由哪個設備提供的網絡服務，首先要在鐵路設備資產安全管理服務器上進行注冊和認證，沒有認證的服務或訪問關系，網絡控制器不允許其使用網絡，大大提高了對網絡服務和終端設備的管控力度.

4.2 安全通信管理和訪問控制

根據已經注冊和認證的合理網絡服務及各個服務的訪問關系，制定業務通信管理矩陣，網絡控制器可以通過業務通信管理矩陣強制控制某個設備或程序可以訪問的網絡服務資源，從而達到全局的安全通信管理和訪問控制的目的.

4.3 網絡數據追蹤溯源和網絡診斷

網絡控制器可以標識和記錄每個數據包的來源(設備、地址、交換機、交換機端口、業務ID等)，實現數據包和其來源信息的綁定.當網絡安全檢測設備發現異常時，可以及時準確的追蹤溯源.另外，當發現業務或數據異常時，也可以根據綁定信息對異常設備進行迅速定位.

圖5 信號系統網絡統一安全管控方案Fig.5 Unified security control and management strategy for Chinese train control network

5 結束語

本文全面分析了我國高速鐵路信號系統信息安全和網絡安全，包括不同系統之間接口所面臨的安全問題、GSM-R系統的安全問題以及從信號系統較低安全等級網絡向高安全等級網絡滲透等問題.在安全性分析的基礎上，對我國信號系統網絡的發展進行了積極的探索，提出了一種基于SDN

的下一代鐵路信號系統網絡架構.在此架構上通過對信號系統資產注冊和服務管理、訪問控制以及網絡數據的追蹤，可以提高我國高速鐵路信號系統網絡安全性，減少對信號系統復雜網絡管理的復雜性，促進我國高速鐵路信號系統網絡的發展.

[1]CHEN T M，ABU-NIMEH S.Lessons from stuxnet[J].Computer，2011，44(4):91-93.

[2]BREWER R.Advanced persistent threats:minimising the damaged[J].Network Security，2014，2014(4):5-9.

[3]北京交通大學，株洲南車時代電氣股份有限公司.GB/T 24339.1—2009軌道交通 通信、信號和處理系統第1部分 封閉式傳輸系統中的安全相關通信[S].北京:國家質檢總局，2009.

[4]北京交通大學，株洲南車時代電氣股份有限公司.GB/T 24339.2—2009軌道交通 通信、信號和處理系統第2部分 開放式傳輸系統中的安全相關通信[S].北京:國家質檢總局，2009.

[5]DECOTIGNIE JD. Ethernet-based real-timeand industrial communications[J]. Proceeding of IEEE，2005，93(6):1102-1117.

[6]中華人民共和國鐵道部.科技運[2008]34號 CTCS-3級列控系統總體技術方案[S].北京:中國鐵道出版社，2008.

[7]中華人民共和國鐵道部.科技運[2004]15號 分散自律調度集中系統技術條件[S/OL].(2004-02-12)[2014-08-05].http://www.cqvip.com/QK/71135X/201107/15210729.html.

[8]中華人民共和國鐵道部.運基信號[2009]223號 客運專線信號系統安全數據網技術方案 V2.0[S/OL].(2010-11-12)[2014-08-05].http://wenku.baidu.com/link?url=8TJbHyzuhblXjG3n-yuHBIwiiorh3 M55dV2clXl_njji-DQ_fKeGG_POi-R1emfjXzM89sH2p MOjpnOKJG2hWM7pFey2UB45zLAyhD0Jsqe.

[9]中華人民共和國鐵道部.運基信號[2010]709號 鐵路信號集中監測系統技術條件[S/OL].(2010-09-20) [2014-08-05]. http://www.doc88.com/p-387779310476.html.

[10]劉大為，郭進，王小敏，等.中國鐵路信號系統智能監測技術[J].西南交通大學學報，2014，49(5):904-912.

LIU Dawei， GUO Jin， WANG Xiaomin， etal.Intelligent monitoring technologies for railway signaling systems in China[J].Journal of Southwest Jiaotong University，2014，49(5):904-912.

[11]中華人民共和國鐵道部.運基通信[2006]185號GSM-R與CTC系統接口規范[S/OL].(2006-06-08)[2014-08-05]http://wenku.baidu.com/link?url=Ojz-WTidYAHvmsH8GHDIpiOPeTMLBl4Fv8WzmqKF gyUgsaZLk_Z1mJoUoK9AdgcKVrD6kdumiROkLgIi8weIeb 4jv9PI7Qi0V_R12HmdnMi.

[12]中華人民共和國鐵道部.運基信號[2010]267號鐵路信號安全通信協議技術規范[S/OL].[2014-08-05].http://down.51cto.com/data/967413.

[13]MARTIN C，MICHAEL J，JUSTIN P，et al.Ethane:taking control of the enterprise[J].ACM SIGCOMM Computer Communication Review，2007，37(4):1-12.

[14]ONF.Software-defined networking:the new norm for networks[DB/OL].(2012-04-13)[2014-08-05].https://www.opennetworking.org/images/stories/down loads/sdn-resources/white-papers/wp-sdn-newnorm.pdf.

[15]GUDE N，KOPNNEN T，PETTIT J，et al.NOX:towards and operating system for networks[J].ACM Sigcomm Computer Communication Review，2008，38(3):105-110.

[16]NICK M，ANDERSON T，BALAKRISHNAN H，et al.OpenFlow:enabling innovation in campus networks[J].ACM Sigcomm ComputerCommunication Review，2008，38(2):69-74.

[17]SHERWOOD R，GIBB G，YAP K K，et al.Carving research slices out of your production networks with OpenFlow[J]. ACM Sigcomm Computer Communication Review，2010，40(1):129-130.

[18]LI S F，YAN L S，XING H L，et al.Enhanced robustness of control network for chinese train control system level 3(CTCS-3)facilitated by software defined networking[J]. International Journal of Rail Transportation，2014，2(4):239-252.