列車車載以太網通信系統內生安全策略研究

殷建華

（中車株洲電力機車研究所有限公司，湖南 株洲 412001）

0 引 言

軌道交通領域，列車車載網絡一般被稱為列車控制與管理系統（Train Control and Monitor System，TCMS），傳統上廣泛采用絞線式列車總線（Wire Train Bus，WTB）/多功能車輛總線（Multifunction Vehicle Bus，MVB）通信技術，但經過多年的發展，以太網技術正在取代總線技術成為主流。由于以太網技術體系具備良好的開發性，因此安全性成為用戶非常關心的問題，當前階段往往采用防火墻技術解決邊界安全的問題，卻忽視了車載網絡的內部安全問題[1]。

時間敏感網絡（Time Sensitive Network，TSN）以太網技術正在全球范圍內蓬勃發展，將會取代傳統的以太網技術成為新的主流技術。本文希望借此時機，提前開展內生安全技術研究，以解決下一代列車車載網絡的內部安全問題。

1 列車網絡架構

IEC61375標準定義了基于以太網的列車網絡架構，基于TSN以太網的列車通信系統基本遵守了該標準的定義。列車網絡架構如圖1所示，整體上采用了雙平面冗余的思路，由3級網絡構成。（1）骨干網，由以太網列車骨干節點（Ethernet Train Backbone Node，ETBN）交換機構成，解決列車重聯與解編的問題。（2）編組網，由編組以太網節點（Ethernet Consist Network Node，ECNN）交換機構成，解決設備接入的問題。（3）終端層，由大量的網絡終端節點（End Device，ED）構成，通過網絡數據交互實現對車輛的控制。

圖1 列車網絡架構

2 標準選擇

TSN技術體系由IEEE 802.1時間敏感網絡工作組負責標準化，大約由40個子標準共同組成，軌道交通行業主要采用如下標準。（1）時間同步，采用IEEE 802.1 AS-Rev標準；（2）流量整形，增加采用IEEE 802.1 Qbv標準；（3）幀搶占，采用IEEE 802.1 Qbu標準；（4）健壯性，采用IEEE 802.1 CB標準。

3 現狀分析

軌道交通行業列車車載網絡安全問題是隨著以太網技術的普及逐步暴露出來的。目前的解決方案是在地面和車載網絡需要數據交互的地方增加防火墻，這樣可以解決邊界安全問題，但車載網絡內部安全問題卻很少涉及[2-4]。

列車車載網絡內部風險主要體現在以下幾點。（1）調試接口防護不足，為了車載網絡維護的便捷性，調試網口和串口基本處于開放使用的狀態，第三方可以以較小的代價獲取非常高的訪問權限；（2）數據防護不足，ECNN、ETBN設備在使用時往往會有剩余的空閑端口，第三方可通過端口鏡像等技術監視網絡中的所有數據流，甚至可以根據數據流分析反向破解通信協議；（3）設備級被替換風險高，由于通用技術的使用，第三方可以以較小代價替換整個系統中的某個設備，如ECNN或ETBN交換機；（4）缺乏針對內部網絡攻擊的防御部署。

4 內生安全策略設計

4.1 交換設備端口分類策略

現有數據端口之間是扁平、無差別的關系，這不利于整個網絡的管理、規劃與控制。本策略要改變這一現狀，對交換設備的端口進行分類差異化管理，這是端口行為管理的基礎[5]。設備端口的差異化對對終端設備來講是透明的，端口角色的劃分必須是受控可配置的，具體如表1所示。

表1 端口角色分類

4.2 交換設備端口行為策略

依據端口類別對端口行為進行約束管理，不同類別端口的行為會有所不同，主要的行為約束如下所示。

（1）主干端口約束。主干端口只用于交換設備間的互聯，但2個交換設備間可以增加中繼模塊或非管理型交換機。當主干端口與ED設備、PC設備等連接時，為防止信息竊取，該端口會自動失效；交換設備間的管理報文只能在主干端口間轉發，不能轉發到其他端口，除非是進行了受控的端口鏡像設置。

（2）環網端口約束。設備啟動了環網功能以后，主干端口升級為環網端口，并遵守主干端口的約束。

（3）內部端口約束。內部端口只能用于連接己方的終端設備，否則該端口自動失效[6]。

（4）外部端口約束。外部端口是連接第三方終端設備的端口，己方私有協議的任何報文都不能轉發給外部端口。

（5）管理端口約束。管理端口是給網絡管理PC設備或其他類型的管理設備使用，網絡系統中至少有一個管理端口始終處于使能狀態，只有認證通過后，管理設備才能對網絡進行管理配置。

（6）匯聚端口約束。匯聚端口組整體可作為內部端口、外部端口或者主干端口使用，但不能作為環網端口使用。

（7）鏡像端口約束。端口鏡像的設置由管理工具經過認證后進行，鏡像源端口可以是任意端口，鏡像目的端口只能是內部端口或者管理端口。

（8）空閑端口約束。空閑端口與設備連接且該設備通過認證后，空閑端口會升級為管理端口，否則該端口只能接收數據，不會轉發和發送數據。

（9）邊界端口約束。僅允許ECNN和ETBN互聯使用，否則會失效。

4.3 接入認證策略

己方設備只有通過認證后才能進行使用，包含以下幾點：（1）只有己方設備之間需要進行認證；（2）認證是雙向的，有一個方向失敗鏈路建立就會失效；（3）第三方設備與己方設備之間無需認證；（4）認證協議報文不能轉發到外部端口；（5）認證方式可以是兩兩握手或者密鑰方式進行；（6）每一次端口link發生變化都需要重新進行認證。

4.4 設備級防替換策略

以太網技術本身是開放技術，其系統級的替換幾乎無法阻止，為此引入設備級的替換保護措施，通過保護設備級提升系統整體替換的風險和成本，達到最大限度的系統級保護目的，主要包括以下幾點。（1）終端設備對交換設備的保護，己方終端設備接入網絡前會向交換設備發出接入認證申請，申請失敗后終端設備會禁用掉本地以太網端口。由于使用的是私有協議，因此針對交換設備級的替換不可行。（2）交換設備對終端設備的保護，交換設備會通過內部端口對己方終端設備發起認證申請，若申請失敗則交換設備禁用掉該端口。由于使用的是私有協議，因此針對終端設備級的替換不可行。（3）交換設備相互保護，物理層鏈路建立之初，交換設備通過主干端口、環網端口或邊界端口向鄰居交換設備發出認證申請，認證失敗則禁用掉該端口。由于使用的是私有協議，因此針對交換設備級的替換不可行。

4.5 設備綁定策略

設備綁定策略包括以下3點：（1）媒體訪問控制（Media Access Control，MAC）地址綁定，指交換設備某個端口只能與特定MAC地址的設備建立連接；（2）IP地址綁定，指交換設備某個端口只能與特定IP地址的設備建立連接；（3）端口綁定，指交換設備某個端口只能與特定設備建立連接。

4.6 人機交互接口策略

此處的人機交互接口指以太網調試口和串口，通過人機接口任何人都可以訪問、監視設備，更改設備配置，甚至下載設備固件或者惡意損壞設備軟件。人機接口的完全開放，不但給系統運行安全帶來了很大的隱患，而且提供了“山寨”“盜版”公司產品的途徑。

人機交互接口策略包括以下幾點：（1）通常情況下，關閉以太網調試口和串口；（2）管理工具支持遠程打開任意設備以太網調試口和串口的功能；（3）管理工具支持直接連接以太網調試口、認證通過后更改人接接口配置的功能；（4）管理工具可實現調試以太網接口和串口的所有功能。

4.7 網絡攻擊預防策略

依靠交換設備建立系統級的網絡攻擊防護，包括以下幾點：（1）數據流過濾功能；（2）地址解析協議（Address Resolution Protocol，ARP）攻擊防護功能；（3）廣播風暴防護功能；（4）帶寬限制功能；（5）地址表攻擊防護功能；（6）禁止惡意使用文件傳輸協議（File Transfer Protocol，FTP）、Telnet等協議功能；（7）偽造私有協議行為甄別功能。

4.8 網絡集中管理配置策略

網絡集中管理配置策略包括以下幾點：（1）交換設備端口角色集中規劃，具有一鍵下發功能；（2）兼容調試網口和串口所能完成的一切工作；（3）支持遠程打開、關閉調試網口于串口；（4）支持直接通過調試口管理本地設備。

4.9 利用TSN的新特性

（1）全網所有設備或關鍵設備進行時間同步，根據時間統一調度數據發送；（2）利用TSN的增強型數據調度機制為關鍵數據提供保障；（3）利用TSN的幀復制與消除技術提高關鍵數據的健壯性；（4）利用TSN的幀過濾與監管技術，甄別行為紊亂的設備，并將其從網絡剔除。

5 結 論

隨著列車智能化業務的蓬勃發展，以太網用于綜合承載列車控制網絡和信息服務是必然趨勢，傳統的以太網無法完全解決多網融合的問題，采用TSN以太網是必然的選擇。鑒于傳統以太網技術運用階段僅解決了邊界安全問題，本文著重解決TSN以太網技術運用內生安全問題，可以大大提高列車運行的安全性。