高盛

摘? 要：城市軌道交通作為國家重要工業(yè)基礎設施隨著信息化趨勢，在開放、互聯(lián)和標準化發(fā)展的同時，帶來了安全隱患風險挑戰(zhàn)。文章首先探討數(shù)據(jù)通信系統(tǒng)的安全防范技術與方案，包括物理層防范、訪問防范控制、身份認證、完整性認證等。再比較市面上常用的傳輸技術包括OTN、SDH+ATM、MSTP、RPR等，得出結論OTN最適合應用于軌道交通信息傳輸中。最后應用ASE算法到數(shù)據(jù)加密中，以此構建相對更安全的軌道交通網(wǎng)絡數(shù)據(jù)傳輸安全策略。

關鍵詞：軌道交通;傳輸安全;OTN技術;數(shù)據(jù)加密

中圖分類號：U298? ? ? ? ?文獻標志碼：A? ? ? ? ?文章編號：2095-2945（2020）35-0140-02

Abstract： Urban rail transit as the national important industrial infrastructure with under the trend of informatization， open， and standardized development; at the same time， the potential safety hazard risk challenge， This paper first discusses data communication system security technologies and solutions， including the physical prevention， to prevent access control， identity authentication， integrity， authentication， etc. Secondly， it compares the commonly used transmission technologies in the market， including OTN， SDH+ATM， MSTP， RPR， etc.， and concludes that OTN is most suitable for rail transit information transmission. Finally， ASE algorithm is applied to data encryption to build a relatively safer data transmission security strategy for rail transit network.

Keywords： rail transit; transmission security; OTN technology; data encryption

1 概述

隨著計算機和網(wǎng)絡技術的日益發(fā)展，工業(yè)化與信息化高度融合的同時，也帶來了極大的挑戰(zhàn)，工業(yè)控制系統(tǒng)越來越多采用通用協(xié)議、通用硬件以及通用軟件，但是工控系統(tǒng)越來越開放的同時也削弱了與外界的隔離與保護，包括病毒、木馬向網(wǎng)絡擴散的風險，而城市軌道交通是國家重要的工業(yè)基礎設施，由于信息化的趨勢，該行業(yè)的業(yè)務朝著開放、互聯(lián)和標準化的方向發(fā)展，城市軌道交通已經(jīng)不再是“信息的孤島”，開放性帶來的優(yōu)勢與風險并存，面對的網(wǎng)絡安全大多來自于對面骨干網(wǎng)絡和無線通信系統(tǒng)的攻擊，因此需要全方面、多層次的加固防護。

地面骨干網(wǎng)絡由骨干網(wǎng)交換機和通信鏈路組成，連接著基于通信的列車自動控制系統(tǒng)位于地面的所有設備，以 TCP/IP協(xié)議傳輸設備之間的信息，通過明文方式進行數(shù)據(jù)的傳輸，只要有黑客能接入該網(wǎng)絡之中，就有可能截取到信息，存在竊聽、篡改、偽裝、數(shù)據(jù)轟炸、IP地址欺騙等可能性，為日常地鐵運維帶來極大的風險。而相較而言安全系統(tǒng)較高的就是有線網(wǎng)絡技術了。本文主要圍繞通信系統(tǒng)（Data Communication Systems）中安防技術方案、常用的傳輸技術、數(shù)據(jù)加密形式，探討加強軌道交通網(wǎng)絡數(shù)據(jù)傳輸安全性的策略和方式。

2 數(shù)據(jù)通信系統(tǒng)的安全防范技術與方案

目前主要的防護手段包括軟件、硬件防范，硬件防護的防護措施主要用于數(shù)據(jù)鏈路層和物理層，例如安裝防火墻來提高入侵難度級別，防止通信線路免受自然災害、搭線攻擊、認為破壞。而軟件防護手段則是通過設置網(wǎng)絡安全協(xié)議。針對自動控制系統(tǒng)，目前可采取的安全防范技術主要包括：

（1）物理層防范：加強對交換機端口管理，使用光纖可以防范入侵者通過搭線的方式接入到網(wǎng)絡中，802.11標準是1997年IEEE最初制定的一個WLAN標準，該標準可通過跳頻、擴頻、直序擴頻等方式防范，達到保護的作用。

（2）控制訪問防范措施：對所有接入至 Data Communication Systems中設備實時監(jiān)控，以防未知和缺少授權的設備接入其中。有線網(wǎng)絡情況下，可以通過靜態(tài)端口配置、合理物理地址接入限制等管理光端機的端口措施來進行訪問防護。無線通信傳輸系統(tǒng)中，802.11標準規(guī)范化了媒體訪問控制，只有合法的SSID的無線終端才允許接入到網(wǎng)絡中。

（3）身份認證：發(fā)送信息過程中添加數(shù)字簽名的方式，通過軟件實現(xiàn)，通常是在網(wǎng)絡層、傳輸層或者應用層。

（4）認證完整度：在發(fā)送到接收端時增添例如驗證碼形式的驗證信息，通過數(shù)據(jù)完整度認證后才予以接受。

（5）序列代碼：為了防范數(shù)據(jù)有可能被隱藏在網(wǎng)絡中的黑客截取，所以需要給每一條發(fā)送的信息都賦予某種加密形式的序列號。

（6）數(shù)據(jù)加密：對發(fā)送的數(shù)據(jù)進行加密。

（7）時效性：估計對等設備的時鐘偏差，在信息傳輸之前，時鐘偏差估計好以后，給發(fā)送的信息添加時間戳，接收端考慮并添加時鐘偏差影響之后計算延時情況，如果超過時間差，則排除該數(shù)據(jù)信息。

3 常用的傳輸技術

（1）OTN技術：能支持多種協(xié)議、信息自主化實現(xiàn)，該技術起源于分復式技術，接收端接收到的數(shù)據(jù)信息在途經(jīng)通道后產(chǎn)生信號，以這種形式標記來保障業(yè)務有序進行。

（2）SDH+ATM技術：采用SDH技術傳輸是在面臨實戰(zhàn)業(yè)務需求時最為傳統(tǒng)的解決方案，能根據(jù)不同類型的業(yè)務來分配適合的通道，對軌道交通系統(tǒng)而言，內部的廣播、無線音頻、閉路電視、視頻監(jiān)控等數(shù)據(jù)都具備超強的實時性，因此對數(shù)據(jù)的質量提出了很高的要求。傳統(tǒng)的SDH技術以點對點來傳輸，無法充分利用到網(wǎng)絡帶寬，為此增加ATM技術，能實現(xiàn)根據(jù)帶寬來靈活劃分業(yè)務需求。

（3）多業(yè)務傳送平臺技術（MSTP）：以SDH平臺為基礎，使ATM、TDM、以太網(wǎng)等多種業(yè)務并入、處置、傳遞等功能實現(xiàn)，使用一致的多業(yè)務節(jié)點網(wǎng)關。優(yōu)點顯而易見，對數(shù)據(jù)兼容性更高，而且能實現(xiàn)多數(shù)據(jù)源接入，完成以太網(wǎng)的內部高效率交換，能夠與SDH技術手段共同工作。

（4）彈性分組環(huán)優(yōu)化協(xié)議技術（RPR技術）：該技術可對數(shù)據(jù)包優(yōu)化處置，針對用戶帶寬的各種需求后靈活調整，以太網(wǎng)幀的格式存在的用戶數(shù)據(jù)在視頻監(jiān)控系統(tǒng)中應用，去掉所有的累贅運行條件，從而提升工作效率，提高運行質量，監(jiān)控圖像清晰，同步率較高，能夠滿足用戶的需求。

以上海城市軌道交通為例，目前上海地鐵2號線使用的是OTN技術，上海地鐵1、4、9號線使用的傳輸技術為MSTP技術，上海地鐵3、5號線使用到SDH+ATM技術。上述所介紹的傳輸技術從實際應用來看，都基本能符合軌道交通業(yè)務通信安全傳輸?shù)囊?，但是根?jù)實戰(zhàn)提出的更高要求來看，以承載能力方面進行比較，非實時性業(yè)務傳輸中，OTN可直接接入各類通信協(xié)議的接口中，無需再依托其他設備，所以OTN技術更為適用。以帶寬使用情況來看，OTN技術不僅開銷最少而且使用率也最高?？偠灾?，軌道交通通信系統(tǒng)傳輸技術還是選用OTN技術最為匹配。

4 數(shù)據(jù)加密

無線網(wǎng)絡安全已經(jīng)是軌道交通備受關注的問題，目前常用的加密形式主要有：

（1）WEP：兩臺設備無線傳輸加密的形式稱為有線等效保密協(xié)議，主要用來預防非認證用戶入侵和竊聽工作無線網(wǎng)絡。主要原理是通過對無線電波里的數(shù)據(jù)加密來提升安全性能。該項技術源于RC4的RSA加密技術，可滿足高層次網(wǎng)絡安全實際業(yè)務需求。

（2）TKIP：是源于IEEE802.11i規(guī)范里負責無線安全的加密協(xié)議。等于是在WEP外圍再增加一層保護殼，在利用WEP算法優(yōu)勢的同時，消除WEP缺點。

（3）AES：密碼學中的相較高級的加密標準，用于替代DES加密標準，以對稱分組體系，密鑰的長度有128、192、256位三種，每組長度可至128位，是可實現(xiàn)各種軟件和硬件的算法。

上述所提到的加密形式進行比較，在WEP技術應用中，其密鑰還是具有一定的預測規(guī)則邏輯，對于黑客來說入侵難度很低，非常容易破解。TKIP基于RC4加密，可以完全解決WEP目前的劣勢，可變化每個數(shù)據(jù)包的密鑰，通過多種形式混合一起生成，包括TKIP中成對瞬時密鑰、MAC地址、數(shù)據(jù)包里的序列號，靈活操控使無線發(fā)射站和接入端的驗證要求減少到最低的程度，但是仍具備很安全的密碼強度，不易破解。AES密鑰按照效率高，設計邏輯簡易，所需內存空間少，能并行支持處置抵御所有已知攻擊等優(yōu)點，是一種動態(tài)密鑰管理機制，定期更新，采用大量矩陣運算的特點，改進了傳統(tǒng)的基于查表運算提高加解密速度的方法，提升AES算法加解密效率，節(jié)約存儲開銷并使空間優(yōu)化、速度提高。TKIP雖然是針對WEP進行了改進，但是不如AES更具有安全性，而且使用TKIP路由器的吞吐量又相較下降到3-5成，極大的影響路由器的使用性能，AES是相較于TKIP更高級的加密方式，所以軌道交通更適合使用AES，因為在像軌道交通這樣的移動業(yè)務環(huán)境中的無線傳輸信息非常容易受到攻擊，傳輸?shù)臄?shù)據(jù)包很有可能出現(xiàn)丟失和出錯的情況。采用該對稱加密技術，為無線網(wǎng)絡帶來更強大的安全防護。

5 結束語

面對復雜的網(wǎng)絡安全威脅，地方軌道交通僅僅依靠自己的力量遠遠不夠，因此要借助政府和企業(yè)的通力合作，密切配合，通過建立健全靈活、反應靈敏的信息共享與聯(lián)動應急處理機制，通過打造多聯(lián)動防御體系進一步提升城市軌道交通數(shù)據(jù)傳輸安全風險把控能力和安全事件處置水平。

參考文獻：

[1]謝橋.城市軌道交通信號系統(tǒng)信息安全等級保護策略研究與實現(xiàn)[J].網(wǎng)絡安全技術與應用，2020（06）：127-128.

[2]石軍.城市軌道交通信號系統(tǒng)網(wǎng)絡傳輸安全加密機制討論[J].科技信息，2013（06）：296.

[3]楊潔.智慧城市軌道交通安全網(wǎng)格化管理探討[J].現(xiàn)代營銷（下旬刊），2020（05）：139-140.

[4]龔君杰.計算機技術在城市軌道交通運營上的應用[J].電子世界，2020（06）：197.