城市軌道交通通信系統網絡攻擊分析與檢測

高思凡 胡立強

(石家莊鐵道大學電氣與電子工程學院， 050043， 石家莊∥第一作者， 本科生)

如果城市軌道交通(以下簡為“城軌”)通信系統被別有用心的黑客控制[1]，或城軌網絡空間中的信息流被惡意監聽抓取，則會嚴重威脅到列車安全與乘客的生命安全。可見，城軌通信系統的網絡安全能力現已成為城軌發展的底線能力與保障基石。

近年來，城軌領域的功能安全和網絡空間安全一體化的問題受到了國內外學者的高度關注。現有的研究主要借鑒CPS(信息物理系統)和工控系統的風險管控方法，能夠在一定程度上解決城市軌道交通網絡安全的風險與挑戰。本文旨在研究城軌列車運行控制系統所面臨的網絡安全問題，針對城市軌道交通可能遭遇的網絡安全梳理了當前的檢測方法。為城軌構建信息安全基石，助力軌道交通行業從業者貫徹執行“系統自保、平臺統保、邊界防護、等保達標、安全確保”的策略，確保城軌云平臺的全面支撐和城軌的安全發展。

城軌系統每天承載著上千萬人的出行，一旦發生網絡安全事故，后果十分嚴重。而列車控制系統的通信系統具有結構龐大、地理位置分散、互聯系統多、網絡邊界不明確，以及防護薄弱等特點。這些特點導致其容易被不法分子入侵和破壞。本文將分析城軌網絡空間安全的各個方面，如安全性需求、可能的攻擊[2]及現有的應對措施[3-4]。

1 城軌網絡空間的安全性需求

1) 增加容錯性。當城軌列車運行于橋梁、隧道及洞窟等復雜環境中時，不僅列車的行駛速度不同，而且網絡條件變化迅速，故網絡質量并不穩定。不穩定的網絡質量與有限的帶寬會嚴重影響城軌的實時通信效率。在低容錯性系統中，任何微小的時延和錯誤都會增大城軌網絡空間安全的風險。故增加容錯性是重要的城軌網絡空間安全性需求。

2) 高移動性。為保證通信的高效和安全，列車的通信數據包必須及時發送、傳遞與解析，且在傳遞的過程中不可被修改。但在城軌列車運行控制系統的網絡動態拓撲結構下，列車的高移動性會影響列車通信的安全性，難以保證通信數據包不被修改[5]。因此要提高城軌網絡空間安全性，就必須在高移動性的前提下保證通信的高效和安全。

3) 隱私性與安全性的均衡。如果城軌網絡空間系統被入侵，則列車很容易被不法攻擊者控制，進而導致列車的功能安全被破壞。因此，城軌安全系統建設必不可少。由于安全系統的海量數據采集會將居民個人的日常數據納入數據庫，故城軌安全系統的增多又會增大居民個人隱私的泄漏風險，從而產生隱私性問題的威脅。可見，實現安全性和隱私性的均衡是城軌網絡空間安全的一個主要挑戰[6-7]。

4) 云平臺及其數據傳輸的安全性需求。現階段的城軌系統入侵檢測功能都是基于大數據技術和高性能計算來實現的，其在數據存儲方面依賴于云平臺的服務，故云平臺自身的穩定性至關重要[8]。此外，云平臺與列車之間需進行精準的數據交互，而二者間的數據傳輸過程存在潛在的風險。為了保護隱私性，需要在數據傳輸和存儲兩方面都實現高效的加密算法。在數據的安全性方面，應能有效檢測識別惡意節點或中間人，以避免危險數據注入時的嚴重后果。

2 城軌的網絡空間攻擊

城軌網絡的復雜環境使得列車及列車通信環境暴露于各類攻擊和威脅當中[9]。在發生網絡空間入侵時，不法進攻者的惡意行為會對城軌系統功能安全造成威脅或對城軌系統網絡空間安全造成威脅，進而影響城軌運行的功能安全。

為保障城軌網絡的安全，針對不法攻擊者的入侵行為實現有效的預防與反制，應了解影響城軌網絡空間安全的各種攻擊，掌握其攻擊特點。城軌網絡空間安全攻擊可分為主動攻擊與被動攻擊。主動攻擊是指攻擊者或惡意用戶為了從網絡中提取敏感信息而主動參與攻擊的行為，可分為信息收集攻擊、系統入侵攻擊、數據欺騙攻擊、拒絕服務攻擊和物理破壞攻擊等[10]。被動攻擊，指攻擊者被動地收集網絡信息，而不對網絡進行實際篡改或注入任何信息。ID(身份標識號)紕漏攻擊就屬于被動攻擊。常見的城軌通信系統網絡空間攻擊分類見表1。

表1 常見的城軌通信系統網絡空間安全攻擊分類

2.1 女巫攻擊

女巫攻擊是一種主動攻擊，在城軌安全系統中屬于較為嚴重的威脅，在其他安全要求較高的系統中也是最危險、最難解決的攻擊之一。在1個單純的分布式P2P(對等計算機)網絡中，任何節點只需對外暴露其在P2P網絡中的唯一標識，即可隨意地加入和退出P2P網絡，不受任何限制。女巫攻擊利用了P2P網絡的這一特性，將1個節點偽裝成多個節點，并將這多個偽裝節點(也稱“Sybil 節點”)廣播到整個P2P網絡中，即可實現獲得網絡控制權、拒絕響應或干擾查詢等的操作[11]。

在女巫攻擊中，由于惡意攻擊者具有多個身份，故很難確定接收到的信息是否來自偽裝節點。有惡意行為的偽裝節點或車輛被稱為女巫節點。來自女巫節點的信息可誤導調度中心及線路上的其他列車進行錯誤操作，甚至造成交通事故。其實現方式為：惡意攻擊者可在線路上創建1個虛假的車輛或冒用合法車輛的身份，通過發送虛假的堵塞或到站等信息，或是提供錯誤的行駛路線，來欺騙城軌調度中心與其他列車。可見，女巫節點的破壞行為能對整個城軌網絡空間造成干擾，嚴重影響車輛功能安全與乘客生命安全[12-14]。

如圖1所示，按通信方式、參與方式和身份來源，女巫攻擊可分為通信類型(Communication type)、參與類型(Participation type)和身份類型(Sybil identity type)。

圖1 女巫攻擊的分類Fig.1 Classification of witch attacks

2.2 中間人攻擊

中間人攻擊是城軌網絡空間中的重要攻擊。在有線網絡中，中間人攻擊是通過ARP(地址解析協議)實現的。在無線網絡中，攻擊者在與原始接收者的通信中扮演“虛假發送者”角色，并在與原始發送者的通信中扮演“虛假接收者”角色，從而實現攔截和篡改通信數據。如圖2所示，攻擊者在同時竊取2列列車的通信數據，并向2列列車傳出錯誤信息，進而發動攻擊。在城軌列控系統中，通信數據用于傳輸重要的控制命令，一旦被攻擊者篡改，則會影響列車運行的安全性。中間人攻擊違反了安全需求的數據完整性和隱私性目標，會對傳輸信息的真實性造成負面影響，危及網絡安全[15-16]。

圖2 中間人攻擊示意圖Fig.2 Diagram of man-in-the-middle attack

3 網絡空間入侵的檢測

為避免網絡空間入侵帶來的安全危害，有必要采取入侵檢測技術，通過收集和分析城軌網絡空間中關鍵數據的特征信息，來檢測網絡空間中的攻擊行為。對于城軌通信網絡來說，入侵檢測技術作為防火墻之外的網絡空間安全保障，能在不影響城軌正常運行的情況下，實時監測網絡狀態，還能分析網絡中的通信行為和數據流量，針對網絡攻擊及時給出告警，并為防御響應提供重要依據。對于不同的攻擊，入侵檢測方案有所不同。

3.1 女巫攻擊的入侵檢測

從女巫攻擊的基本流程可知，簡單的密鑰檢測已不再安全有效。惡意攻擊者通過竊取或偽造正常運行列車的身份，可破解密鑰，并發送錯誤信息，進而影響列車的運行效率或造成相鄰列車的追尾等嚴重事故。

對女巫攻擊入侵檢測的常用方法有：

1) 時間戳與臨時認證方法[17]。時間戳認證基于以下事實：極少有2列列車會幾乎同時發出信息。故當信息中包含一系列極為相近的時間戳時，可判定受到了女巫攻擊。臨時認證：給每列列車分配唯一的臨時認證密鑰，即1列列車只能擁有1對有效的臨時密鑰。這可有效避免女巫攻擊。

2) 車輛運行的真實軌跡方法[18]。設定2個路邊單元時間不能少于最短可能時間等限定條件，判斷只有符合限定條件的車輛軌跡才是真實的車輛軌跡，其余車輛運行軌跡均為女巫攻擊的虛假信息。

3) 本地安全認證方法[19]。基于LTE-T2T(長期演進-車車通信)的城軌列車中心無線通信系統，提出了在用戶鏈路建立時用于列車安全認證的本地安全認證方案，再以本地安全認證方案為基礎，進一步提出了用戶防御女巫攻擊的協作式信息安全檢測方法。

上述方法的利弊分析：

1) 時間戳與臨時認證方法可行性較強，對網絡數據傳輸的要求較低，可以判別大多數情況，但相比于另外兩種方法其認證方法的效率較低。

2) 車輛運行的真實軌跡方法雖能有效檢測女巫攻擊，但針對不同的路況環境，其限定條件往往難以統一。尤其對于重慶等路況復雜的地域而言，其確認合理限定條件的復雜度會大大增加。

3) 就現階段而言，本地安全認證方法的實現較為困難。相比于另外兩種方法，該方法對列車與列車之間、列車與控制中心之間數據傳輸的速度和準確度要求較高。

3.2 中間人攻擊的入侵檢測

目前常見的中間人攻擊方法主要有ARP(地址解析協議)欺騙、DNS(域名系統)欺騙和SSL(安全套接字協議)欺騙。

對于中間人攻擊入侵檢測的常用方法有：

1) 認證、申請狀態模型檢測方法[20]。參照802.1X-2004認證和申請狀態模型基礎，從RSNA(強健安全網絡關聯)建立過程角度判斷RSN(強健安全網絡)中的中間人攻擊，RSN會利用RSNA過程完成STA(發放-觸發平均方法)和網絡間的雙向認證，如果此過程異常中斷則斷定受到了中間人攻擊。

2) 端口重定向和證書鏈檢測方法[21]。大型網絡系統大多采用SSL協議保護用戶的敏感數據，但是由于存在瀏覽器證書驗證隱患、用戶的疏忽以及網站服務器架設方式缺陷等問題，攻擊者仍然可以借此發動中間人攻擊。其攻擊主要體現在端口非正常變化、非正常安裝證書以及ARP緩存改變。

3) 基于貝葉斯博弈的檢測和防御方法[22]。從博弈和控制角度檢測中間人攻擊，當發生中間人攻擊時會產生信息的博弈對局，而從博弈對局的角度看雙方的信息都將不完全，地面系統的信息集將會較大程度縮小，由此可以檢驗出中間人攻擊。

上述檢測方法分析：

1) 認證、申請狀態模型檢測方法對于中間人攻擊識別度較高，但局限于RSNA的建立，對于其他類型的中間人攻擊無法檢測。

2) 端口重定向和證書鏈檢測方法較為簡單，但需要頻繁進行ARP查詢來驗證是否遭到攻擊，在實際應用中可行性較低。

3) 基于貝葉斯博弈的檢測和防御方法可以較好地實現對多種中間人攻擊的檢測和防御，從而降低其攻擊造成的城軌系統損失，但對數據傳輸的速度和準確度要求較高。

4 結語

本文研究并探索了城軌網絡空間安全的安全性需求；分析了網絡空間中不同類型攻擊行為的模型與其對城軌功能安全的影響機理；歸納梳理了典型城軌攻擊行為的網絡空間安全入侵檢測方案。通過對攻擊模型以及入侵檢測方案的研究，可以為未來城軌網絡空間管理系統的發展與更新提供新思路，加強對城軌新技術發展的研究，使其技術更加成熟，便于推廣和應用。這不僅有利于形成整體性的、全局性的安全管理體系，符合時代發展需求，而且能為智慧城軌的實現奠定扎實的基礎，具有重要意義。