戴 懿，郭其一

（同濟大學 電子與信息工程學院 電氣工程系，上海 201804）

0 引言

隨著我國經濟科技的發(fā)展與進步，我國城市化建設進程加快，地面交通擁擠狀況日益嚴峻。城市軌道交通作為當前解決這一基礎性問題的最佳途徑，近幾年發(fā)展迅速。同時，人們對于城市軌道交通的安全性、穩(wěn)定性、開放性和互聯(lián)性等提出了更高要求。列車通信網絡作為現代城市軌道交通的核心，是保障城市軌道交通安全、便捷以及準時運行的重要技術支撐。面對全球范圍內的網絡信息安全問題日益突出的現狀，列車通信網絡的安全問題顯得尤為重要。

1 列車通信網絡結構

列車通信網絡作為現代列車的核心組成部分，經過幾十年的發(fā)展形成了幾種較為常見的列車網絡總線技術，如LonWorks、WorldFIP、CAN 以及TCN 等[1]。傳統(tǒng)TCN 技術主要是低速總線產品，用于傳輸檢測信息、控制信息等小容量數據時實時性和數據確定性高，能夠很好地實現列車快速、實時、可靠的控制要求。但是，隨著通信網絡技術與現代社會生活的進一步融合，列車通信網絡規(guī)模不斷擴大，這些傳統(tǒng)總線技術已無法滿足大容量的故障診斷信息和視頻監(jiān)視信息的采集和傳輸。以太網作為一種國際標準局域網通信技術，具有高帶寬、高傳輸率以及組網方便靈活等優(yōu)點，完全符合現代列車通信網絡對數據速率和網絡數據吞吐量日益增高的技術要求。

以太列車通信網絡采用分層結構，包含一個或多個列車骨干網絡子網和一個或多個列車編組網絡子網[2]，如圖1 所示。以太列車骨干網節(jié)點具有網關功能，負責以太列車編組網與以太列車骨干網之間的連接和數據傳輸。為了打破列車通信網絡作為專網運營的現狀，現代列車通信網絡中添加移動通信網關，從而實現了車載網絡與地面網絡的無線連接，其核心為一個連接車載網絡和地面網絡的移動接入路由器。每個編組至少提供一個移動通信網關，與地面網絡用戶建立永久性或臨時性的靜態(tài)或者漫游連接?？紤]到通信冗余問題，可在冗余節(jié)點上提供兩個同樣的移動通信網關。其中，一個移動通信網關處于工作狀態(tài)，另一個處于備份狀態(tài)且不向終端提供任何服務的方式，實時監(jiān)控編組網中的通信情況。當工作狀態(tài)的移動通信網關失效時，備份單元檢測到這個失效，將關閉失效的移動通信網關單元，同時接管工作狀態(tài)。

圖1 以太列車通信網絡結構

2 列車通信網絡安全技術

隨著網絡信息與社會生活的不斷融合，將原來封閉的列車通信網絡與互聯(lián)網相連通，使其具有更高的開放性和更廣泛的互聯(lián)性，同時給列車通信網絡的安全性、穩(wěn)定性和可靠性帶來了諸多負面影響。據國外媒體報道[3]，2015 年全年英國鐵路網絡共遭受了4 次嚴重的網絡攻擊。2017 年我國鐵路通信網絡也遭受了WannaCry 勒索病毒的襲擊。可見，深入研究列車通信網絡的網絡安全問題具有重大意義。

目前，普遍采取的網絡安全技術主要包括防火墻、入侵檢測、數據加密以及網絡隔離技術等[4]。

（1）防火墻。防火墻系統(tǒng)通常放置在被保護網絡特定的邊界處，根據用戶所配置的數據包控制要求對進出網絡的數據流進行過濾或其他應對保護操作，從而起到保護網絡的作用。到目前為止，雖然各種網絡安全技術層出不窮，但防火墻仍然是最常用的技術。

（2）入侵檢測。入侵檢測也稱網絡實時監(jiān)控技術，通過實時監(jiān)測數據流的特征情況，再匹配入侵特征數據庫。若入侵特征匹配成功，則根據用戶定義進行切斷網絡連接或通知防火墻等相關防護操作。

（3）加密技術。數據加密技術作為最基本的網絡安全技術，至今仍是提高系統(tǒng)及數據安全性、防止信息被破壞或竊取的重要技術之一[5]。

（4）網絡隔離技術?？萍嫉陌l(fā)展使得新的網絡攻擊手段層出不窮。為了滿足現代網絡對安全越來越高的要求，在原有安全技術的基礎上取長補短，發(fā)展形成了網絡隔離技術，可以最大程度保障網絡的穩(wěn)定性和安全性。

為了保證列車通信網絡的安全性能，將移動通信網關模塊設計成屏蔽子網體系結構，如圖2 所示，在Intranet和列車網絡之間通過移動通信網關連接，同時被移動通信網關隔離。外部包過濾路由器實現與外部網絡的通信連接，也可被稱為訪問路由器，控制Intranet 數據流，但幾乎不限制數據從通信網關出站。內部包過濾路由器主要過濾流入數據包，保護列車網絡免受外部網絡的侵犯。壁壘主機處于內外路由器之間，形成“緩沖地帶”，主要用來訪問和存儲外部網絡和列車網絡中可交互的信息和數據。Intranet 和列車網絡均可訪問通信網關內的壁壘主機，但禁止它們穿過屏蔽子網相互通信。這樣即使攻擊者已經控制了壁壘主機，但是內部的列車網絡依舊是安全的[6]。

圖2 移動通信網關結構

3 列車通信網絡仿真模型

3.1 OPNET 軟件介紹

OPNET 是一款商用軟件，憑借完備的協(xié)議模型庫和通信設備庫在通信網絡仿真領域占據重要的地位。OPNET 不僅在技術上遙遙領先，而且在用戶使用感上也較同類型軟件更為簡便，深受國內華為、中興和電信等大型公司和科研機構的歡迎。

本文中選擇OPNET 14.5 版本軟件作為搭建列車網絡模型的平臺，主要考慮以下因素。

（1）三層建模結構。OPNET 通過圖形界面實現網絡層（Network Model）、節(jié)點層（Node Model）和進程層（Process Model）[7]三層架構搭建模型，層次清晰，簡化原本組成復雜的通信網絡系統(tǒng)，為仿真功能實現帶來便利，如圖3 所示。

圖3 OPNET 三層建模機制

（2）流程清晰。在進程層模型中，將不同狀態(tài)模塊組合成有限狀態(tài)機，并通過對其強制狀態(tài)和非強制狀態(tài)之間的轉換，達到對不同協(xié)議建模的目的。

（3）可再編程性。三層建模結構中，最底層的進程層模型是實現整個仿真模型功能的載體和核心。OPNET 仿真軟件自帶400 多庫函數和許多協(xié)議模型，可直接使用現有模型，方便建模。

3.2 列車通信網絡模型

目前，地鐵列車多為4 動2 拖或3 動3 拖兩種結構，本文仿真中選取4 動2 拖結構的列車作為仿真模型，列車編組型式為-TC*MP*M=M*MP*TC-。其中，TC為拖車（帶司機室），MP為動車（帶受電弓），M 為動車，將6 節(jié)車廂分為Consist1 和Consist2 兩個編組[8-9]。模擬場景設置為200 m×400 m 范圍。仿真中，地鐵列車以太骨干網絡選用總線型連接，鏈路的傳輸速率為100 Mb/s。為了提高以太列車骨干網傳輸數據的可靠性，整個網絡配置兩條總線進行數據傳輸?？偩€上設置節(jié)點代表以太列車編組網，其中編組1 中包含subnet_0 和subnet_1 兩個列車編組網絡子網。列車網絡層模型如圖4 所示。

每個子網提供移動通信網關實現列車網絡與外界Internet 的無線連接。子網中主要包括無線終端節(jié)點、移動通信網關、列車終端節(jié)點、交換機節(jié)點和服務器節(jié)點5 部分。子網節(jié)點層模型如圖5 所示。

圖4 以太列車骨干網絡模型

圖5 Subnet0 子網網絡模型

無線終端節(jié)點。模擬外部Internet 用戶，節(jié)點通過無線802.11 協(xié)議接入移動通信網關。

移動通信網關。移動通信網關由外部路由器（extern Router）、緩存服務器（cache Server）和內部路由器（inside Router）組成，其中緩存服務器（cache Server）相當于防火墻和數據緩存的作用，內部配有基于特征檢測的檢測系統(tǒng)，可記錄檢測到的攻擊行為。

列車終端節(jié)點（node）。列車編組網內部終端節(jié)點，模擬車輛內各個節(jié)點的行為。通過編組網內部的工業(yè)以太網總線向內部服務器傳輸數據內容。

交換機節(jié)點（switch）。連接各個編組網內部，構建成整體的列車通信網。

服務器節(jié)點（subway Server）。服務器負責列車以太網內部的管理和數據收集。

IEC61375 標準中定義了列車通信網絡中5 種基本數據類型——監(jiān)視數據、過程數據、消息數據、流數據和最大努力交付數據，根據數據傳輸特點將其歸類為3 種[10]。

（1）實時周期數據，主要包括監(jiān)視數據和過程數據。此類數據實時性要求高且具有周期性。監(jiān)視數據指列車通信網絡運行所需要的數據，如列車出運行的數據或網絡冗余控制的數據。過程數據是由控制單元發(fā)出的實時控制數據和列車狀態(tài)實時監(jiān)視信息。

（2）實時非周期數據，主要包括消息數據和流數據，如列車故障的報警信號和列車監(jiān)控的視頻音頻等。

（3）非實時數據，包括盡力而為數據，主要是其他允許在網絡上傳輸但不影響其他數據類型的信息。

如圖6 所示，列車終端節(jié)點進程模型中包含7個進程模塊、2 個列隊模塊和1 對總線收發(fā)模塊。source1、source2 和source3 為數據包產生模塊，分別對應產生上述3 種數據類型。Source Manage 為轉發(fā)隊列模塊，在本文中采取傳統(tǒng)的先入先出方式，并按此服務算法將上層數據包傳送給Transport 模塊。Transport 為TCP 傳輸協(xié)議仿真模塊。Eth_mac_intf 為以太網MAC 接口模塊，用來實現Transport 模塊和MAC 模塊的連接通信。MAC 為以太網CSMA/CD 協(xié)議仿真模塊，監(jiān)聽鏈路狀態(tài)。若信道空閑，則可發(fā)送數據；若信道占用，則繼續(xù)保持監(jiān)聽。Bus_txo 和bus_rx0 為總線收發(fā)信機，用來接收/發(fā)送數據。Defer 為總線監(jiān)控模塊，用來監(jiān)督總線鏈路的傳輸狀況，判斷總線信道是否空閑，是否可以傳輸數據。

圖6 列車終端節(jié)點模型

如圖7所示，交換機節(jié)點模型包含3個進程模塊、1 個列隊模塊、2 對點對點收發(fā)模塊和1 對總線收發(fā)模塊。switch 為交換模塊，對不同子網之間的數據進行交換。pr_1、pt_1、pr_2、pt_2 為有線點對點收發(fā)信機，負責和不同子網之間建立數據連接。

圖7 交換機節(jié)點模型

3.3 仿真結果分析

本文以DDoS 攻擊為例，測試列車通信網絡防御能力。DDoS 攻擊是網絡黑客通過控制多個代理端主機向攻擊目標同時且不斷發(fā)送大量相同的攻擊數據包來達到攻擊目的的一種攻擊方式[11]。本文將多個外部以太網無線終端設置為向列車通信網絡發(fā)起DDoS 攻擊。從圖8 仿真結果可以看出，若不進行網絡安全防御，DDoS 攻擊通過不斷傳輸大量的數據包占用大部分網絡帶寬，將導致總線信道被占用，使得列車通信網絡上數據包傳輸產生沖突，平均數據重傳次數增加，端到端時延增加并出現較大的抖動。但是，當采用具有屏蔽子網體系結構的移動通信網關隔離開外部Internet 和列車通信網絡時，列車通信網絡上數據吞吐量、端到端延時以及平均數據包重傳次數曲線均與未遭受攻擊時一樣，列車通信網絡本身未受到DDoS 攻擊的影響?？梢?，本文的仿真模型能夠很好地防御DDoS 攻擊，保證列車通信網絡的安全。

圖8 DDoS 攻擊仿真結果

4 結語

隨著通信網絡技術與社會生活的深度融合，列車通信網絡打破一貫專網運行的狀態(tài)，逐步提高了其開放性與互聯(lián)性，同時急需完善的安全保障體系來保障列車通信網絡的安全性和可靠性。本文采用OPNET 軟件搭建基于工業(yè)以太網的現代地鐵列車通信網絡，并將其與地面Internet 實現互聯(lián)，模擬當其遭受外部DDoS 攻擊時該網絡的網絡安全技術的防御能力。仿真結果表明，設計的現代地鐵列車通信網絡具有屏蔽子網體系結構的移動通信網關，在一定程度上能夠起到很好的防御保護作用，保障列車通信網絡的安全性。