湯紫霖，肖立志，伍 岳，周雪冬

（湖南中車時(shí)代通信信號(hào)有限公司，長(zhǎng)沙 410119）

列車運(yùn)行監(jiān)控裝置 (LKJ) 是鐵路機(jī)車、動(dòng)車的重要組成部分，是用于防止列車冒進(jìn)信號(hào)、運(yùn)行超速事故，輔助機(jī)車、動(dòng)車組司機(jī)提高操縱能力的重要行車設(shè)備[1]。LKJ 車載數(shù)據(jù)是LKJ 控制功能實(shí)現(xiàn)的基礎(chǔ)和進(jìn)行運(yùn)行分析的依據(jù)。隨著運(yùn)行線路、運(yùn)輸機(jī)車及行車方式的不同，LKJ 數(shù)據(jù)也不同[2]。而這些LKJ 基礎(chǔ)數(shù)據(jù)往往需要采用人工上車用IC 卡等方式將數(shù)據(jù)寫入LKJ 裝置的芯片中[3-4]。在換裝工作較多時(shí)，這種換裝方式耗費(fèi)大量的人力和物力，涉及電務(wù)、機(jī)務(wù)、調(diào)度、工務(wù)等多部門協(xié)調(diào)，且跨路局換裝成為換裝工作的一個(gè)難點(diǎn)和痛點(diǎn)[5]。

近年來，基于遠(yuǎn)程無(wú)線網(wǎng)絡(luò)（4G/3G）進(jìn)行LKJ 無(wú)線數(shù)據(jù)換裝成為一種全新的換裝方式，具備快速、便捷、減少人員投入、減少協(xié)調(diào)等優(yōu)點(diǎn)[6]。但是同時(shí)也面臨網(wǎng)絡(luò)安全問題，LKJ 數(shù)據(jù)無(wú)線換裝涉及LKJ 列控裝置，十分關(guān)鍵，一旦數(shù)據(jù)被破壞或者篡改，將可能危及行車安全，造成人生傷害乃至危害國(guó)計(jì)民生、公共利益，因此LKJ 安全通信裝置就具有非常重要的作用[7]。

1 LKJ無(wú)線數(shù)據(jù)換裝系統(tǒng)組成

LKJ 無(wú)線數(shù)據(jù)無(wú)線換裝系統(tǒng)由地面換裝系統(tǒng)和車載LKJ 安全通信裝置組成，LKJ-15 主機(jī)通過安全通信裝置與地面換裝系統(tǒng)進(jìn)行遠(yuǎn)程無(wú)線通信（3G/4G）。安全通信裝置在與地面換裝系統(tǒng)通過公網(wǎng)建立IPsecVPN 通道后，從地面換裝服務(wù)器獲取LKJ 換裝數(shù)據(jù)，并進(jìn)行解密、解壓、校驗(yàn)、暫存并對(duì)LKJ 主機(jī)進(jìn)行換裝等工作，如圖1 所示。

圖1 LKJ無(wú)線數(shù)據(jù)換裝系統(tǒng)組成圖Fig.1 LKJ wireless data reloading system composition diagram

2 安全通信裝置的總體功能設(shè)計(jì)

LKJ 安全通信裝置的總體設(shè)計(jì)如圖2 所示，以實(shí)現(xiàn)防護(hù)的需求，包括硬件功能和軟件功能，其中軟件功能又分為網(wǎng)絡(luò)層功能和應(yīng)用層功能[8]。為L(zhǎng)KJ 換裝數(shù)據(jù)建立可信任的網(wǎng)絡(luò)區(qū)域間通信的模型，采用白名單的安全策略，過濾一切非法訪問，保證只有可信任的設(shè)備能夠接入鐵路網(wǎng)絡(luò)，只有可信任的數(shù)據(jù)可以在網(wǎng)絡(luò)上傳輸，為機(jī)車內(nèi)部數(shù)據(jù)與鐵路局段管理的LKJ 換裝數(shù)據(jù)通信連接提供安全保障。從多個(gè)層面對(duì)LKJ 換裝數(shù)據(jù)的完整性、可靠性的進(jìn)行保護(hù)。

3 安全通信裝置的硬件設(shè)計(jì)

圖2 LKJ安全通信裝置的功能設(shè)計(jì)圖Fig.2 Functional design diagram of LKJ security communication device

本文設(shè)計(jì)一種基于ARM 處理器的安全通信裝置，具備嵌入式防火墻功能。采用的處理器為飛思卡爾公司的多核ARM CORTEXTM-A9 處理器IMX6 芯片，該芯片具有處理速度快、資源豐富、功耗低、溫升低等特點(diǎn)，符合作為機(jī)車嵌入式裝置的主處理器需求。256 kB 指令和數(shù)據(jù)L1 緩存，帶一個(gè)錯(cuò)誤檢測(cè)與校正位，針對(duì)指令和數(shù)據(jù)緩存提供ECC 保護(hù)，每個(gè)內(nèi)核256 kB 的一致性L2緩存，帶一個(gè)錯(cuò)誤檢測(cè)與校正位，提供ECC 保護(hù)。無(wú)線安全通信裝置的主板硬件架構(gòu)原理如圖3 所示。其組成包括：CPU 核心電路（時(shí)鐘、電源管理電路、看門狗電路以及調(diào)試接口）、DDR、NOR flash、eMMC、國(guó)密芯片、FPGA、無(wú)線通信電路等部分組成。IMX6 自帶1 個(gè)64 bit 的DDR 控制 器，具 備SATA、PCIe 接 口/ 集 成EIM 控 制器和RGMII 接口。本文設(shè)計(jì)中采 用4 片MT41K256M16 芯 片，DDR3 容量2 GB，作為大容量數(shù)據(jù)緩存。采用128 MB 并行NOR Flash，采取寫保護(hù)措施，作為文件系統(tǒng)和防火墻程序、應(yīng)用程序存儲(chǔ)介質(zhì)，并進(jìn)行分區(qū)存儲(chǔ)。用SATA 接口外掛一片8 GB eMMC存儲(chǔ)芯片，作為系統(tǒng)日志、換裝數(shù)據(jù)和應(yīng)用日志存儲(chǔ)的存儲(chǔ)空間，并進(jìn)行分區(qū)存儲(chǔ)和壞塊管理，提高可靠性。通過RGMII 接口獲得1 路千兆以太網(wǎng)口，作為主業(yè)務(wù)網(wǎng)口。另外還通過PCIe 接口的擴(kuò)展轉(zhuǎn)換為多路以太網(wǎng)接口。FPGA 采用XC6SLX16-3C，通過EIM總線與IMX6 連接。IMX6 通過USB 的高速接口與國(guó)密芯片通信，國(guó)密芯片采用32 位高性能密碼安全SOC 芯片，支持國(guó)密算法：SM1、SM2、SM3、SM4； 國(guó) 際 算 法：AES、DES/TDES、RSA、SHA、SSF33。移動(dòng)通信模組選用芯訊通的無(wú)線通信模組SIMCOM7100，與IMX6 之間采用USB2.0 高速接口通信。此外還通過I IC 接口連接溫度傳感器和RTC 芯片，實(shí)時(shí)監(jiān)控裝置板載溫度，并提供系統(tǒng)時(shí)間。

4 安全通信裝置的軟件設(shè)計(jì)

圖3 安全通信裝置硬件架構(gòu)原理圖Fig.3 Schematic diagram of hardware architecture of security communication device

安全通信裝置的軟件架構(gòu)如圖4 所示，軟件包括U-Boot引導(dǎo)程序、Linux 內(nèi)核程序和應(yīng)用軟件3 個(gè)部分。U-Boot 引導(dǎo)程序負(fù)責(zé)初始化硬件并加載linux 內(nèi)核，完成文件系統(tǒng)的掛載；通過TFTP 來下載內(nèi)核鏡像uImge、設(shè)備樹DTB、文件系統(tǒng)rootfs，并完成NOR Flash 的燒寫；另外還可以通過shell 命令直接訪問相應(yīng)的硬件，進(jìn)行硬件功能測(cè)試、環(huán)境變量的設(shè)置。Linux 內(nèi)核由進(jìn)程調(diào)度、虛擬文件系統(tǒng)、內(nèi)存管理、進(jìn)程間通信和網(wǎng)絡(luò)接口等子系統(tǒng)組成，為網(wǎng)絡(luò)防護(hù)和應(yīng)用程序提供系統(tǒng)調(diào)用接口，并驅(qū)動(dòng)硬件工作。應(yīng)用程序負(fù)責(zé)網(wǎng)絡(luò)安全防護(hù) （防火墻）程序、無(wú)線通信網(wǎng)絡(luò)的撥號(hào)與維持、與地面換裝系統(tǒng)的通信、數(shù)據(jù)的解密、解壓、校驗(yàn)、暫存、對(duì)LKJ 主機(jī)進(jìn)行換裝。

圖4 軟件結(jié)構(gòu)框圖Fig.4 Software structure diagram

5 網(wǎng)絡(luò)安全防護(hù)應(yīng)用軟件設(shè)計(jì)

當(dāng)?shù)孛嫦到y(tǒng)與安全通信裝置進(jìn)行通信和數(shù)據(jù)傳輸時(shí)，安全通信裝置的應(yīng)用軟件將進(jìn)行通信全過程的管理和控制。如網(wǎng)絡(luò)地址檢測(cè)、網(wǎng)絡(luò)端口檢測(cè)、網(wǎng)絡(luò)協(xié)議分析、數(shù)據(jù)解密、數(shù)據(jù)協(xié)議分析、數(shù)據(jù)內(nèi)容檢測(cè)等多項(xiàng)操作，確保異常報(bào)文將被阻斷，異常數(shù)據(jù)被丟棄。對(duì)進(jìn)出的所有網(wǎng)絡(luò)報(bào)文和數(shù)據(jù)都要進(jìn)行監(jiān)控和處理。這種獨(dú)特的兩層保護(hù)可以有效地防止未授權(quán)的接入和訪問，阻止各種非法數(shù)據(jù)報(bào)文進(jìn)出LKJ-15 主機(jī)，保護(hù)現(xiàn)場(chǎng)設(shè)備。LKJ 換裝數(shù)據(jù)的上下行流程和防護(hù)軟件設(shè)計(jì)如圖5、6 所示。

圖5 網(wǎng)絡(luò)安全控制軟件下行流程圖Fig.5 Network security control software downlink flow chart

圖6 網(wǎng)絡(luò)安全控制軟件數(shù)據(jù)上行流程圖Fig.6 Network security control software uplink flow chart

6 結(jié)束語(yǔ)

本文主要介紹一種基于ARM 平臺(tái)的安全通信裝置的設(shè)計(jì)與實(shí)現(xiàn)，解決傳統(tǒng)人工換裝費(fèi)時(shí)費(fèi)力、且需多方協(xié)調(diào)、配合的問題，并可有效避免普通遠(yuǎn)程無(wú)線網(wǎng)絡(luò)（4G/3G）換裝存在被攻擊和數(shù)據(jù)被篡改風(fēng)險(xiǎn)的問題。無(wú)線安全通信裝置在LKJ 換裝中具有快速、方便、安全、高可信度的特點(diǎn)。該裝置自2017 年來在多個(gè)路局的機(jī)車上開始了現(xiàn)場(chǎng)運(yùn)行，多次的換裝結(jié)果表明，該裝置能夠提高LKJ 換裝的自動(dòng)化水平，并具備網(wǎng)絡(luò)防護(hù)作用。