軌道交通車載軟件遠程安全傳輸設計＊

石艷紅 李聲濤

（中車青島四方機車車輛股份有限公司，山東青島 266111）

0.引言

與城軌板塊、動車板塊相比，列車軟件升級方法和步驟存在明顯差別，受運維人員數量有限、認識不足等因素影響，升級工作始終未能得到有序開展。以往多采用人工車載軟件升級方式，具有耗時長、成本投入高、時效性差等缺陷，難以滿足智能化發展的新要求。對此，可采用遠程升級的方式，有效彌補傳統人工軟件升級的不足，使上述問題迎刃而解。要想充分發揮遠程升級的優勢，重點在于保證數據傳輸安全。可見，軌道交通車載軟件遠程安全傳輸設計顯得十分關鍵。

1.列車車載軟件遠程安全傳輸系統整體設計

1.1 總體框架

由地面管理中心負責提供任務管理及安全傳輸等功能，確保列車軟件可得到高效且安全的遠程升級。為實現遠程升級目標，提出對1+1+1+N系統框架進行構建，具體內容如：（1）地面管理中心可借助手動導入或數據接口方式，對供應商及列車數據進行采集，為上層業務的有序開展提供支持[1]。（2）充分利用列車所搭載網絡及服務器，為管理中心主機高效運行提供保證，同時為信息傳輸打造安全環境。（3）建設車地管理中心，確保軟件存儲及加密傳輸等工作可得到高效開展，根據軟件遠程升級所具有需求，為其提供相應的服務。在頂層對監控中心進行建設，由其負責指標監控和信息推送等工作，通過實時監管的方式，保證軟件升級所存在問題能被及時發現和處理。

1.2 技術架構

管理中心依托Nginx達到負載均衡目的，該技術可根據用戶請求的內容及特點，將其分發給對應業務功能，并完成相應的操作。系統數據層創造性地引入了HDFS技術，用于操作大數據，基于MySQL對結構化數據進行及時且完整的存儲，在存儲以及下載升級包或相關文件時，以SFTP為核心技術，用Redis進行緩存操作[2]。由TCP協議負責連接列車和管理中心，SFTP則被用來對升級包進行安全傳輸。車載軟件地面管理中心系統相關的技術要點如下：系統包括SaaS層、PaaS層、IaaS層與邊緣層。其中，在SaaS層中設計了車地域、運維域、分析域和挖掘域，通過上述區域設計，完成對數據資源的對比分析與交互應用；在PaaS層中，重點設計了應用開發服務、數據管理、工具組件，并做好數據存儲和離線處理，形成了系統數據庫與應用層數據庫，同時對分布式文件進行了傳輸。在IaaS層上，設計人員采取了大數據集群設計理念，充分利用了X86服務器與網絡系統，完成對這一層面的優化設計，以達到理想的控制效果。邊緣層則主要收集車地數據、對地面隧道情況進行分析，并做好生產運維數據采集。內網接口主要與文件存儲服務器相連接；外網接口則主要與應用服務器相連，并且在內網與外網之間設置了防火墻，確保雙向通信安全。

2.列車車載軟件遠程安全傳輸系統設計要點

2.1 傳輸流程

現有大數據平臺、地面管理中心均位于四方股份中心，由四方股份負責提供升級、解析軟件包的相關協議，確保數據能夠依托互聯網、SFTP協議得到及時且準確的傳輸。業主方可利用所獲取加密數據進行協議解析、軟件升級等。根據軌道交通車輛安全行駛要求，在車載軟件的設計中，應做好門數據緩沖區的設計。網關需要管理60個車門，要求在數據的采集上具有較高的時效性，并且能夠滿足同時并發處理。在具體設計環節，相關人員考慮到短距離無線模塊寬帶性能較差，由此設計出數據緩存模塊，并完善車載網關多級緩存體系，緩存區包括串口緩存、單門數據緩存、多門數據緩存等多項功能。首先，數據被存儲在串口緩存區，通過Linux內核實現該部分功能；然后，根據門ID號將數據提取出來，并與單門數據緩存區對應，每個車門均與一個循環鏈表對應，并將數據存儲在鏈表終端；最后，車載軟件系統需要判斷數據傳輸是否完整，倘若數據完整，則提取鏈表中數據，組合成完整的開門或關門數據包，以執行相關具體操作。數據傳輸流程如圖1所示。

圖1 門數據緩存與傳輸示意圖

在數據傳輸中，要求以密鑰服務器所提供主密鑰為依據，通過握手的方式對雙方身份進行確認，避免出現身份被冒充的情況。首先，在公私鑰進行分發期間，為確保身份驗證過程安全且結果可靠，需定期對公私鑰進行更新，同時借助主密鑰完成加密傳輸。其次，在順利通過身份驗證的情況下，地面服務器便可對密鑰進行分發，隨著公私鑰的加入，傳輸過程所具有保密性可得到顯著提高。服務器可根據實際情況對加密算法具體種類加以確定，通過一次一密的模式，向接收端傳遞相關數據，現階段，得到廣泛應用的對稱加密算法，主要有RC、AES還有DES。傳輸前后均要以實際情況為依據進行相應的拆包及組包，并對數據進行處理，確保數據一致。傳輸期間由相應對稱密鑰負責加密，出于確保數據傳輸完整的考慮，每次傳輸均應生成數據摘要并加以記錄，該環節所應用算法以SHA-256和SM3為主。最后，數據終止通常由接收端提出，同時利用對稱密鑰對握手過程所涉及數據進行加密處理，確保數據安全且具有實際意義。

2.2 加密系統框架

該框架所采取加密模式為3層加密，由對稱密鑰、主密鑰和非對稱密鑰分別進行加密（見圖2）。主密鑰的常見形式為短信驗證碼，即：密鑰服務器向執行人員、管理中心發送驗證碼。事實證明，對主密鑰加以使用，可使通信各方身份所具有準確性得到保證。另外，主密鑰還具有加密非對稱密鑰的功能，使密鑰處于加密傳輸的狀態。密鑰服務器所生成并負責分發的非對稱密鑰，其功能是加密對稱密鑰，為對稱密鑰所具有安全性提供保障。

圖2 加密系統

2.3 傳輸功能

密鑰服務器的主要功能是生成密鑰，并對密鑰進行分發及存儲，分別向各接收端發送不同的公私鑰。待接收端獲取對應公私鑰后，以公私鑰所搭載數據為依據，聯合服務器完成驗證身份、傳輸對稱密鑰等操作。服務器負責對數據、接收端私鑰進行存儲，根據實際需求處理相關數據，參考安全傳輸對報文格式所作出規定，對處理后數據進行組包并加密，確保數據能夠被安全且完整的傳輸至接收端。在獲得加密數據后，接收端先要對其進行解密，再對其準確性進行確認并完成后續的處理，確保數據價值可得到最大程度的實現。

2.4 密鑰管理

（1）生成密鑰與算法。車地安全傳輸設計采用三種加密算法，即對稱秘鑰、非對稱秘鑰、消息摘要算法。生成密鑰的過程與生成算法密切相關，可供本項目使用的算法如：SM3摘要算法，RSA非對稱算法，AES對稱算法。其中，RSA非對稱秘鑰算法安全性高、應用范圍廣泛，缺陷在于秘鑰尺寸大，加解密速度慢，通常用于加密少量數據；AES對稱加密算法為分組密碼，安全性高、運算速度快、資源消耗少、靈活性高；SM3消息摘要算法校驗結果為256位，適用于商用密碼應用中的數字簽名、驗證消息認證碼生成、驗證和隨機數的生成。由系統定期生成全新公私鑰并替換原有公私鑰，對稱密鑰通常在傳輸期間生成，其特點為一次一密，這樣設計可保證傳輸過程具有理想保密性，數據自然能夠獲得全方位的安全保護。

（2）分發密鑰。分發密鑰所描述內容為生成并向使用者提供密鑰的各個環節。傳遞密鑰的關鍵是借助主密鑰為會話密鑰提供保護，確保密鑰傳遞安全，同時利用MAC白名單、手機白名單以及IP白名單，對主密鑰進行傳遞。除特殊情況外，公私鑰均需要由主密鑰進行加密護送，公私鑰的作用主要是護送對稱密鑰，確保其能夠得到安全傳遞。該系統可定期對公私鑰進行分發，并借助短信驗證對主密鑰進行傳遞，考慮到公私鑰的應用頻率較高，需定期進行更換，而應用頻率較低的主密鑰，其更換周期通常較公私鑰更長。在分發公私鑰時，為保證分發過程安全，通常不會對公鑰進行公布，而是采取與私鑰相同的方式，即加密發送。對公私鑰進行更新的方法如：由服務器根據各接收端情況，分別生成相應的公私鑰并進行更新，根據公私鑰所搭載信息，對接收端、服務器身份進行驗證。

（3）交互系統設計。根據軌道交通運營安全需求，對車載系統進行了升級，以車載旅客資訊系統為例，目前實現了個性化信息切換，通過人工與自動語音相結合的方式，為旅客提供了視頻、滾動字幕、靜讓圖片。同時，升級完成后的系統，也實現了信息交互功能，交互對象包括人員基本信息、車輛配屬、技術加工單、供應商信息等等，通過上述方式完成對車輛履歷的更新。更新后的系統也可與PHM系統和其他子系統進行集成，并通過預留接口調整交互需求。車載交互系統的創新設計，使得系統本身性能得以提升，系統訪問量明顯提高，可穩定支持100個用戶以上同時在線，交互操作的響應時間縮短，其平均響應時間為2s，最長響應時間也未能超過5s，極大提高了車載系統服務穩定性。

3.列車車載軟件遠程安全傳輸系統的安全保障

3.1 主機安全

優選安全系數較高的操作系統，對系統版本標注化管理，詳細記錄各軟件版本；針對升級、補丁制定相關方案；定期掃描IT系統軟件，包括漏洞掃描、數據庫軟件安全、中間件安全等進行安全防護處理和檢查，確保漏洞及其他安全威脅可得到及時解決；由主機維護人員聯合系統運維人員，對主機進行管理，主機維護人員的任務主要是檢查硬件安全，系統運維人員負責檢查系統配置及數據，并定期開展安全漏洞和安全掃描檢查工作。

3.2 數據安全

對數據進行脫敏、備份/刪除處理，可確保數據始終處于安全狀態。一般來說，由脫敏模塊負責篩選數據，以訪問者角色為依據，對敏感數據進行相應的模糊處理。對數據進行備份/刪除的要點：（1）人工設定備份周期及方式。（2）引入部分備份、增量備份還有全備份3種備份模式。（3）可選擇脫機備份或是聯機備份。（4）支持人工備份以及自動備份。對于全部數據庫用戶口令禁止在程序內寫死，用戶可根據自身需求靈活修改，全部口令均要符合密碼復雜度要求。

3.3 應用安全

（1）以用戶角色為依據，為其分配相應的操作權限，同時監控其訪問過程并進行記錄。（2）集中管理賬號權限，引入用戶會話控制、強密碼管理模式，根據現有規則對驗證系統進行完善，具體包括：1）保證用戶識別是對用戶身份進行確認的唯一手段；2）對全部默認密碼進行修改；3）不得打印或是顯示具體密碼；4）連續3次輸入錯誤密碼，需禁用該用戶身份；5）要求用戶定期更換密碼，保證密碼長度在6個字符以上，同時包括大小寫字母、數字及標點符號。

4.結語

本文以遠程升級車載軟件為切入點，從安全傳輸的角度出發對相應的升級平臺進行了構建，該系統強調以地面維護中心為依托，充分利用軟件服務器對數據協議進行可靠且安全的傳輸，在保證軟件得到遠程升級的前提下降低運維人員的工作難度并減少其工作量。