隔離網(wǎng)閘在軌道交通車輛數(shù)據(jù)傳輸上的應(yīng)用研究

覃事東，肖 曦，侯 波

（1.大功率交流傳動電力機車系統(tǒng)集成國家重點實驗室，湖南 株洲 412001；2.中車株洲電力機車有限公司，湖南 株洲 412001）

隨著信息通信技術(shù)的不斷發(fā)展，以車輛為代表的軌道交通裝備智能化程度也越來越高，物聯(lián)網(wǎng)、5G等技術(shù)也在車輛感知和數(shù)據(jù)傳輸領(lǐng)域獲得了越來越多的應(yīng)用，使得更多的車輛數(shù)據(jù)可以被采集、傳輸和分析，為車輛的運用和維護(hù)的智能化提升奠定了基礎(chǔ)。

而軌道交通行業(yè)是一個安全高度敏感的行業(yè)，在關(guān)注軌道交通系統(tǒng)智能化的同時，也需要高度關(guān)注系統(tǒng)安全，并在設(shè)計時進(jìn)行綜合考量。

當(dāng)前軌道交通車輛車地?zé)o線傳輸主要使用防火墻保證車輛網(wǎng)絡(luò)和地面網(wǎng)絡(luò)的隔離[1]，但防火墻是在保障互聯(lián)互通的前提下進(jìn)行的安全防火措施。在智能電網(wǎng)等安全性要求極高的系統(tǒng)中，通常還會引入隔離網(wǎng)閘[2]從物理上斷掉網(wǎng)絡(luò)連接，阻斷外部網(wǎng)絡(luò)對系統(tǒng)本身的威脅，如一般工控系統(tǒng)與網(wǎng)絡(luò)間的隔離會同時采用防火墻和隔離網(wǎng)閘共同實現(xiàn)[3]，以保障系統(tǒng)的安全。

本文主要研究了軌道交通車輛數(shù)據(jù)傳輸安全保障需求，提出了隔離網(wǎng)閘在車輛數(shù)據(jù)傳輸上的應(yīng)用方案，并給出了相應(yīng)的測試結(jié)果及示例。

1 應(yīng)用需求分析

1.1 功能需求

由于軌道交通車輛網(wǎng)絡(luò)屬于典型的工業(yè)控制網(wǎng)絡(luò)，需要極高的安全性，故相對封閉。接入網(wǎng)絡(luò)的所有設(shè)備均需要滿足相關(guān)測試認(rèn)證要求，而車輛無線傳輸設(shè)備需要將采集的車載數(shù)據(jù)發(fā)送至地面，故不可避免地要與車輛外部網(wǎng)絡(luò)發(fā)生數(shù)據(jù)交換，這為車輛網(wǎng)絡(luò)乃至車輛本身的安全帶來了一定的威脅。

為了保證車輛網(wǎng)絡(luò)的安全，通常采用防火墻進(jìn)行防護(hù)。應(yīng)用防火墻的目的是為了內(nèi)部網(wǎng)絡(luò)的安全防護(hù)，防止外部網(wǎng)絡(luò)對內(nèi)部網(wǎng)絡(luò)的攻擊，同時對內(nèi)網(wǎng)訪問外部網(wǎng)絡(luò)的行為進(jìn)行控制。防火墻的設(shè)計原則是在保障互聯(lián)互通的前提下，盡可能安全。

隔離網(wǎng)閘一般用于具有極高安全性的數(shù)據(jù)中心或網(wǎng)絡(luò)中，如電力系統(tǒng)[2]、油田網(wǎng)絡(luò)[4]等用于實現(xiàn)內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)的物理連接上的隔離，其基本工作原理是信息擺渡，也就是可以實現(xiàn)完全隔離的不同網(wǎng)段之間的有條件訪問，在同一時刻網(wǎng)閘只與內(nèi)部網(wǎng)絡(luò)或外部網(wǎng)絡(luò)之一建立物理連接，使得內(nèi)外網(wǎng)之間無法建立持續(xù)的物理通信連接，只進(jìn)行數(shù)據(jù)的無協(xié)議“擺渡”，所以隔離網(wǎng)閘從物理上隔離、阻斷了具有潛在攻擊可能的一切連接。網(wǎng)閘所擺渡的信息均需要按要求重新建立協(xié)議。網(wǎng)閘的設(shè)計原則是在保證安全的前提下，盡可能互聯(lián)互通。

防火墻與隔離網(wǎng)閘對比見表1。將防火墻應(yīng)用于軌道交通車輛數(shù)據(jù)傳輸已是較為成熟的方案，而應(yīng)用網(wǎng)閘隔離車輛網(wǎng)絡(luò)與外部網(wǎng)絡(luò)，完成車輛數(shù)據(jù)傳輸則是一個值得研究的課題。

表1 防火墻與隔離網(wǎng)閘對比

1.2 數(shù)據(jù)流分析

軌道交通車輛數(shù)據(jù)傳輸主要是采集車輛數(shù)據(jù)并將數(shù)據(jù)發(fā)送至地面，傳輸過程可以使用專用網(wǎng)絡(luò)和公用網(wǎng)絡(luò)，具體如圖1所示。

圖1 數(shù)據(jù)傳輸過程

對于使用專用網(wǎng)絡(luò)傳輸數(shù)據(jù)的方案，整個數(shù)據(jù)流在內(nèi)部封閉網(wǎng)絡(luò)中進(jìn)行，安全性很高，采用防火墻防護(hù)即可滿足安全要求。特定情況下地面數(shù)據(jù)中心可能需要與外部開放網(wǎng)絡(luò)通信，此時則需要更完善的網(wǎng)絡(luò)安全防護(hù)方案，通常會在數(shù)據(jù)中心與外部網(wǎng)絡(luò)間部署隔離網(wǎng)閘[5]。

對于使用公用網(wǎng)絡(luò)傳輸數(shù)據(jù)的方案，每列車的數(shù)據(jù)傳輸設(shè)備均需要接入外部開放網(wǎng)絡(luò)，為了保障系統(tǒng)安全和數(shù)據(jù)安全，傳輸設(shè)備通常會采用防火墻、VPN、數(shù)據(jù)加密等措施。

在車載網(wǎng)絡(luò)與共用網(wǎng)絡(luò)間應(yīng)用隔離網(wǎng)閘，可實現(xiàn)網(wǎng)絡(luò)間的隔離與信息交換，進(jìn)一步提高網(wǎng)絡(luò)安全性。隔離網(wǎng)閘可部署在車載網(wǎng)絡(luò)與傳輸設(shè)備之間，但這樣會導(dǎo)致系統(tǒng)集成度不高、數(shù)據(jù)采集無集中管控、對數(shù)據(jù)發(fā)送設(shè)備有額外要求等問題。本文研究將隔離網(wǎng)閘集成在傳輸設(shè)備中的方式，在盡可能不改變原有數(shù)據(jù)傳輸方式的前提下，進(jìn)一步增強系統(tǒng)的安全性。

要在車輛數(shù)據(jù)傳輸中使用隔離網(wǎng)閘，則需要將網(wǎng)閘應(yīng)用于車載設(shè)備中，或單獨研發(fā)一款可裝車的網(wǎng)閘設(shè)備。本文主要研究將網(wǎng)閘集成在車載無線傳輸設(shè)備中的方案。即對車載無線傳輸設(shè)備提出了如下新的需求：

（1）將隔離網(wǎng)閘的功能集成在無線傳輸設(shè)備中，即采用嵌入式、可裝車方案。

（2）在設(shè)備上阻斷車輛網(wǎng)絡(luò)與外部網(wǎng)絡(luò)的直接物理連接和邏輯連接，且不依賴操作系統(tǒng)、不支持內(nèi)外網(wǎng)TCP/IP信息交互。

（3）具備安全審查功能和工業(yè)防火墻功能，能根據(jù)需要對原始數(shù)據(jù)的安全性進(jìn)行檢查，處理掉可能的病毒代碼、惡意攻擊代碼等，保證擺渡的數(shù)據(jù)具備安全性。

（4）具有管理功能，能夠定制傳輸策略。

2 方案設(shè)計

2.1 架構(gòu)設(shè)計

基于隔離網(wǎng)閘架構(gòu)的車載數(shù)據(jù)傳輸系統(tǒng)，是兩個獨立的主機系統(tǒng)通過網(wǎng)閘進(jìn)行隔離，使系統(tǒng)間不存在通信的物理連接、邏輯連接及信息傳輸協(xié)議，不存在依據(jù)協(xié)議進(jìn)行的信息交換，只有數(shù)據(jù)的無協(xié)議擺渡，隔離網(wǎng)閘從物理上隔離、阻斷了具有潛在攻擊可能的一切連接?；诠I(yè)網(wǎng)閘架構(gòu)的車載數(shù)據(jù)傳輸系統(tǒng)的硬件拓?fù)淙鐖D2所示。

圖2 產(chǎn)品拓?fù)鋱D

隔離網(wǎng)閘將傳輸設(shè)備隔離為內(nèi)端機和外端機兩部分，內(nèi)端機負(fù)責(zé)與車輛網(wǎng)絡(luò)通信，實現(xiàn)數(shù)據(jù)采集、匯集和預(yù)處理，并將數(shù)據(jù)交付至隔離網(wǎng)閘。外端機負(fù)責(zé)接收隔離網(wǎng)閘擺渡的數(shù)據(jù)，并通過無線通訊模塊將數(shù)據(jù)傳輸至地面端。

2.2 詳細(xì)設(shè)計

在內(nèi)端機側(cè)，系統(tǒng)主要完成車輛數(shù)據(jù)的采集與匯集，因此，根據(jù)具體項目需要，內(nèi)端機側(cè)配置MVB、CAN、以太網(wǎng)、TRDP、RS485/422/232等接口，接入車輛網(wǎng)絡(luò)。內(nèi)端機數(shù)據(jù)采集與處理接口間通過以太網(wǎng)和CPCI總線連通并通信。

外端機側(cè)實現(xiàn)系統(tǒng)采集的數(shù)據(jù)通過可用網(wǎng)絡(luò)發(fā)送至地面服務(wù)器，可用的網(wǎng)絡(luò)包括專用網(wǎng)絡(luò)（如通信系統(tǒng)提供的綜合承載通道、專網(wǎng)LTE網(wǎng)絡(luò)、內(nèi)網(wǎng)WLAN網(wǎng)絡(luò)等）及公用的3G/4G/5G網(wǎng)絡(luò)，并按實際項目需求決定是否配置天線接口。

隔離網(wǎng)閘按GB/T 37934—2019《信息安全技術(shù)工業(yè)控制網(wǎng)絡(luò)安全隔離與信息交換系統(tǒng)安全技術(shù)要求》[6]中的增強級要求設(shè)計。隔離網(wǎng)閘是內(nèi)端機和外端機之間唯一的數(shù)據(jù)通路，不支持TCP/IP之類的公共協(xié)議，通過分時通斷的連接方式實現(xiàn)內(nèi)外端機兩端的數(shù)據(jù)擺渡，以形成一個無實時物理連接的安全隔離數(shù)據(jù)閘。

訪問控制方面，網(wǎng)閘采用白名單訪問控制，并提供IP/MAC地址綁定功能，支持基于IP、端口、傳輸協(xié)議等進(jìn)行訪問控制配置。

數(shù)據(jù)傳輸方面，根據(jù)某典型的城軌車輛數(shù)據(jù)傳輸實際需求（表2），支持TCP、UDP、FTP、SFTP、HTTP、MQ等協(xié)議，通過數(shù)據(jù)鏈路分時切換完成信息擺渡，且不可旁路。網(wǎng)閘還具備基本的防火墻抗攻擊功能。為了保證系統(tǒng)的正常使用，提升可靠性，還具備雙機熱備功能。

表2 車輛數(shù)據(jù)傳輸需求

網(wǎng)閘提供相應(yīng)的管理和配置工具，支持用戶標(biāo)識和鑒別，根據(jù)用戶權(quán)限，提供配置源IP、源端口、目的IP、目的端口、傳輸協(xié)議等信息的相關(guān)功能和權(quán)限。

3 測試驗證

3.1 安全認(rèn)證

產(chǎn)品安全測試送專業(yè)機構(gòu)按（GB/T 37934—2019）增強級要求進(jìn)行測試認(rèn)證，確保產(chǎn)品滿足安全隔離需求。

3.2 功能測試

測試環(huán)境搭建如圖3所示。

圖3 產(chǎn)品拓?fù)鋱D

使用網(wǎng)閘配置工具，按測試要求配置IP、端口、協(xié)議等配置項，分別測試TCP、UDP、HTTP、FTP、SFTP、MQ等協(xié)議傳輸情況。測試結(jié)果均可正常實現(xiàn)數(shù)據(jù)擺渡與傳輸，其中FTP上傳下載平均速率為40 MB/s，SFTP上傳速率7 MB/s，SFTP下載速率11 MB/s，可滿足車輛數(shù)據(jù)傳輸?shù)墓δ芤蟆?/p>

3.3 性能測試

網(wǎng)閘內(nèi)端機建立1條UDP協(xié)議規(guī)則，采用2分法，初始速率100 Mbps，最小速率5 Mbps，最大速率1 000 Mbps，分別測試64/128/256/512/1024/1518字節(jié)時延和吞吐量，結(jié)果表明系統(tǒng)可滿足車輛數(shù)據(jù)傳輸?shù)男阅芤?，見?。

表3 性能測試結(jié)果

4 結(jié)束語

文章分析了軌道交通車輛數(shù)據(jù)傳輸?shù)陌踩枨?，分析了隔離網(wǎng)閘技術(shù)的特點與需求的契合點，設(shè)計了集成隔離網(wǎng)閘的車輛數(shù)據(jù)傳輸系統(tǒng)，經(jīng)過測試具備隔離網(wǎng)閘的數(shù)據(jù)傳輸系統(tǒng)能滿足車輛數(shù)據(jù)傳輸?shù)墓δ芤蠛托阅芤?，較大程度地提高了車輛對外部網(wǎng)絡(luò)攻擊的防護(hù)能力，提升了系統(tǒng)本身及車輛網(wǎng)絡(luò)的安全性。增加隔離網(wǎng)閘使得車輛與地面的數(shù)據(jù)傳輸網(wǎng)絡(luò)不存在實時物理連接，對于需要持久連接的應(yīng)用場景會產(chǎn)生不利影響，測試結(jié)果表明對系統(tǒng)的數(shù)據(jù)傳輸效率也有一定的負(fù)面影響，可結(jié)合實際情況選用通過私有協(xié)議以邏輯的方式實現(xiàn)協(xié)議隔離的方式。