覃事東,肖 曦,侯 波
(1.大功率交流傳動電力機車系統(tǒng)集成國家重點實驗室,湖南 株洲 412001;2.中車株洲電力機車有限公司,湖南 株洲 412001)
隨著信息通信技術(shù)的不斷發(fā)展,以車輛為代表的軌道交通裝備智能化程度也越來越高,物聯(lián)網(wǎng)、5G等技術(shù)也在車輛感知和數(shù)據(jù)傳輸領(lǐng)域獲得了越來越多的應(yīng)用,使得更多的車輛數(shù)據(jù)可以被采集、傳輸和分析,為車輛的運用和維護(hù)的智能化提升奠定了基礎(chǔ)。
而軌道交通行業(yè)是一個安全高度敏感的行業(yè),在關(guān)注軌道交通系統(tǒng)智能化的同時,也需要高度關(guān)注系統(tǒng)安全,并在設(shè)計時進(jìn)行綜合考量。
當(dāng)前軌道交通車輛車地?zé)o線傳輸主要使用防火墻保證車輛網(wǎng)絡(luò)和地面網(wǎng)絡(luò)的隔離[1],但防火墻是在保障互聯(lián)互通的前提下進(jìn)行的安全防火措施。在智能電網(wǎng)等安全性要求極高的系統(tǒng)中,通常還會引入隔離網(wǎng)閘[2]從物理上斷掉網(wǎng)絡(luò)連接,阻斷外部網(wǎng)絡(luò)對系統(tǒng)本身的威脅,如一般工控系統(tǒng)與網(wǎng)絡(luò)間的隔離會同時采用防火墻和隔離網(wǎng)閘共同實現(xiàn)[3],以保障系統(tǒng)的安全。
本文主要研究了軌道交通車輛數(shù)據(jù)傳輸安全保障需求,提出了隔離網(wǎng)閘在車輛數(shù)據(jù)傳輸上的應(yīng)用方案,并給出了相應(yīng)的測試結(jié)果及示例。
由于軌道交通車輛網(wǎng)絡(luò)屬于典型的工業(yè)控制網(wǎng)絡(luò),需要極高的安全性,故相對封閉。接入網(wǎng)絡(luò)的所有設(shè)備均需要滿足相關(guān)測試認(rèn)證要求,而車輛無線傳輸設(shè)備需要將采集的車載數(shù)據(jù)發(fā)送至地面,故不可避免地要與車輛外部網(wǎng)絡(luò)發(fā)生數(shù)據(jù)交換,這為車輛網(wǎng)絡(luò)乃至車輛本身的安全帶來了一定的威脅。
為了保證車輛網(wǎng)絡(luò)的安全,通常采用防火墻進(jìn)行防護(hù)。應(yīng)用防火墻的目的是為了內(nèi)部網(wǎng)絡(luò)的安全防護(hù),防止外部網(wǎng)絡(luò)對內(nèi)部網(wǎng)絡(luò)的攻擊,同時對內(nèi)網(wǎng)訪問外部網(wǎng)絡(luò)的行為進(jìn)行控制。防火墻的設(shè)計原則是在保障互聯(lián)互通的前提下,盡可能安全。
隔離網(wǎng)閘一般用于具有極高安全性的數(shù)據(jù)中心或網(wǎng)絡(luò)中,如電力系統(tǒng)[2]、油田網(wǎng)絡(luò)[4]等用于實現(xiàn)內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)的物理連接上的隔離,其基本工作原理是信息擺渡,也就是可以實現(xiàn)完全隔離的不同網(wǎng)段之間的有條件訪問,在同一時刻網(wǎng)閘只與內(nèi)部網(wǎng)絡(luò)或外部網(wǎng)絡(luò)之一建立物理連接,使得內(nèi)外網(wǎng)之間無法建立持續(xù)的物理通信連接,只進(jìn)行數(shù)據(jù)的無協(xié)議“擺渡”,所以隔離網(wǎng)閘從物理上隔離、阻斷了具有潛在攻擊可能的一切連接。網(wǎng)閘所擺渡的信息均需要按要求重新建立協(xié)議。網(wǎng)閘的設(shè)計原則是在保證安全的前提下,盡可能互聯(lián)互通。
防火墻與隔離網(wǎng)閘對比見表1。將防火墻應(yīng)用于軌道交通車輛數(shù)據(jù)傳輸已是較為成熟的方案,而應(yīng)用網(wǎng)閘隔離車輛網(wǎng)絡(luò)與外部網(wǎng)絡(luò),完成車輛數(shù)據(jù)傳輸則是一個值得研究的課題。
表1 防火墻與隔離網(wǎng)閘對比
軌道交通車輛數(shù)據(jù)傳輸主要是采集車輛數(shù)據(jù)并將數(shù)據(jù)發(fā)送至地面,傳輸過程可以使用專用網(wǎng)絡(luò)和公用網(wǎng)絡(luò),具體如圖1所示。
圖1 數(shù)據(jù)傳輸過程
對于使用專用網(wǎng)絡(luò)傳輸數(shù)據(jù)的方案,整個數(shù)據(jù)流在內(nèi)部封閉網(wǎng)絡(luò)中進(jìn)行,安全性很高,采用防火墻防護(hù)即可滿足安全要求。特定情況下地面數(shù)據(jù)中心可能需要與外部開放網(wǎng)絡(luò)通信,此時則需要更完善的網(wǎng)絡(luò)安全防護(hù)方案,通常會在數(shù)據(jù)中心與外部網(wǎng)絡(luò)間部署隔離網(wǎng)閘[5]。
對于使用公用網(wǎng)絡(luò)傳輸數(shù)據(jù)的方案,每列車的數(shù)據(jù)傳輸設(shè)備均需要接入外部開放網(wǎng)絡(luò),為了保障系統(tǒng)安全和數(shù)據(jù)安全,傳輸設(shè)備通常會采用防火墻、VPN、數(shù)據(jù)加密等措施。
在車載網(wǎng)絡(luò)與共用網(wǎng)絡(luò)間應(yīng)用隔離網(wǎng)閘,可實現(xiàn)網(wǎng)絡(luò)間的隔離與信息交換,進(jìn)一步提高網(wǎng)絡(luò)安全性。隔離網(wǎng)閘可部署在車載網(wǎng)絡(luò)與傳輸設(shè)備之間,但這樣會導(dǎo)致系統(tǒng)集成度不高、數(shù)據(jù)采集無集中管控、對數(shù)據(jù)發(fā)送設(shè)備有額外要求等問題。本文研究將隔離網(wǎng)閘集成在傳輸設(shè)備中的方式,在盡可能不改變原有數(shù)據(jù)傳輸方式的前提下,進(jìn)一步增強系統(tǒng)的安全性。
要在車輛數(shù)據(jù)傳輸中使用隔離網(wǎng)閘,則需要將網(wǎng)閘應(yīng)用于車載設(shè)備中,或單獨研發(fā)一款可裝車的網(wǎng)閘設(shè)備。本文主要研究將網(wǎng)閘集成在車載無線傳輸設(shè)備中的方案。即對車載無線傳輸設(shè)備提出了如下新的需求:
(1)將隔離網(wǎng)閘的功能集成在無線傳輸設(shè)備中,即采用嵌入式、可裝車方案。
(2)在設(shè)備上阻斷車輛網(wǎng)絡(luò)與外部網(wǎng)絡(luò)的直接物理連接和邏輯連接,且不依賴操作系統(tǒng)、不支持內(nèi)外網(wǎng)TCP/IP信息交互。
(3)具備安全審查功能和工業(yè)防火墻功能,能根據(jù)需要對原始數(shù)據(jù)的安全性進(jìn)行檢查,處理掉可能的病毒代碼、惡意攻擊代碼等,保證擺渡的數(shù)據(jù)具備安全性。
(4)具有管理功能,能夠定制傳輸策略。
基于隔離網(wǎng)閘架構(gòu)的車載數(shù)據(jù)傳輸系統(tǒng),是兩個獨立的主機系統(tǒng)通過網(wǎng)閘進(jìn)行隔離,使系統(tǒng)間不存在通信的物理連接、邏輯連接及信息傳輸協(xié)議,不存在依據(jù)協(xié)議進(jìn)行的信息交換,只有數(shù)據(jù)的無協(xié)議擺渡,隔離網(wǎng)閘從物理上隔離、阻斷了具有潛在攻擊可能的一切連接?;诠I(yè)網(wǎng)閘架構(gòu)的車載數(shù)據(jù)傳輸系統(tǒng)的硬件拓?fù)淙鐖D2所示。
圖2 產(chǎn)品拓?fù)鋱D
隔離網(wǎng)閘將傳輸設(shè)備隔離為內(nèi)端機和外端機兩部分,內(nèi)端機負(fù)責(zé)與車輛網(wǎng)絡(luò)通信,實現(xiàn)數(shù)據(jù)采集、匯集和預(yù)處理,并將數(shù)據(jù)交付至隔離網(wǎng)閘。外端機負(fù)責(zé)接收隔離網(wǎng)閘擺渡的數(shù)據(jù),并通過無線通訊模塊將數(shù)據(jù)傳輸至地面端。
在內(nèi)端機側(cè),系統(tǒng)主要完成車輛數(shù)據(jù)的采集與匯集,因此,根據(jù)具體項目需要,內(nèi)端機側(cè)配置MVB、CAN、以太網(wǎng)、TRDP、RS485/422/232等接口,接入車輛網(wǎng)絡(luò)。內(nèi)端機數(shù)據(jù)采集與處理接口間通過以太網(wǎng)和CPCI總線連通并通信。
外端機側(cè)實現(xiàn)系統(tǒng)采集的數(shù)據(jù)通過可用網(wǎng)絡(luò)發(fā)送至地面服務(wù)器,可用的網(wǎng)絡(luò)包括專用網(wǎng)絡(luò)(如通信系統(tǒng)提供的綜合承載通道、專網(wǎng)LTE網(wǎng)絡(luò)、內(nèi)網(wǎng)WLAN網(wǎng)絡(luò)等)及公用的3G/4G/5G網(wǎng)絡(luò),并按實際項目需求決定是否配置天線接口。
隔離網(wǎng)閘按GB/T 37934—2019《信息安全技術(shù)工業(yè)控制網(wǎng)絡(luò)安全隔離與信息交換系統(tǒng)安全技術(shù)要求》[6]中的增強級要求設(shè)計。隔離網(wǎng)閘是內(nèi)端機和外端機之間唯一的數(shù)據(jù)通路,不支持TCP/IP之類的公共協(xié)議,通過分時通斷的連接方式實現(xiàn)內(nèi)外端機兩端的數(shù)據(jù)擺渡,以形成一個無實時物理連接的安全隔離數(shù)據(jù)閘。
訪問控制方面,網(wǎng)閘采用白名單訪問控制,并提供IP/MAC地址綁定功能,支持基于IP、端口、傳輸協(xié)議等進(jìn)行訪問控制配置。
數(shù)據(jù)傳輸方面,根據(jù)某典型的城軌車輛數(shù)據(jù)傳輸實際需求(表2),支持TCP、UDP、FTP、SFTP、HTTP、MQ等協(xié)議,通過數(shù)據(jù)鏈路分時切換完成信息擺渡,且不可旁路。網(wǎng)閘還具備基本的防火墻抗攻擊功能。為了保證系統(tǒng)的正常使用,提升可靠性,還具備雙機熱備功能。
表2 車輛數(shù)據(jù)傳輸需求
網(wǎng)閘提供相應(yīng)的管理和配置工具,支持用戶標(biāo)識和鑒別,根據(jù)用戶權(quán)限,提供配置源IP、源端口、目的IP、目的端口、傳輸協(xié)議等信息的相關(guān)功能和權(quán)限。
產(chǎn)品安全測試送專業(yè)機構(gòu)按(GB/T 37934—2019)增強級要求進(jìn)行測試認(rèn)證,確保產(chǎn)品滿足安全隔離需求。
測試環(huán)境搭建如圖3所示。
圖3 產(chǎn)品拓?fù)鋱D
使用網(wǎng)閘配置工具,按測試要求配置IP、端口、協(xié)議等配置項,分別測試TCP、UDP、HTTP、FTP、SFTP、MQ等協(xié)議傳輸情況。測試結(jié)果均可正常實現(xiàn)數(shù)據(jù)擺渡與傳輸,其中FTP上傳下載平均速率為40 MB/s,SFTP上傳速率7 MB/s,SFTP下載速率11 MB/s,可滿足車輛數(shù)據(jù)傳輸?shù)墓δ芤蟆?/p>
網(wǎng)閘內(nèi)端機建立1條UDP協(xié)議規(guī)則,采用2分法,初始速率100 Mbps,最小速率5 Mbps,最大速率1 000 Mbps,分別測試64/128/256/512/1024/1518字節(jié)時延和吞吐量,結(jié)果表明系統(tǒng)可滿足車輛數(shù)據(jù)傳輸?shù)男阅芤?,見?。
表3 性能測試結(jié)果
文章分析了軌道交通車輛數(shù)據(jù)傳輸?shù)陌踩枨?,分析了隔離網(wǎng)閘技術(shù)的特點與需求的契合點,設(shè)計了集成隔離網(wǎng)閘的車輛數(shù)據(jù)傳輸系統(tǒng),經(jīng)過測試具備隔離網(wǎng)閘的數(shù)據(jù)傳輸系統(tǒng)能滿足車輛數(shù)據(jù)傳輸?shù)墓δ芤蠛托阅芤?,較大程度地提高了車輛對外部網(wǎng)絡(luò)攻擊的防護(hù)能力,提升了系統(tǒng)本身及車輛網(wǎng)絡(luò)的安全性。增加隔離網(wǎng)閘使得車輛與地面的數(shù)據(jù)傳輸網(wǎng)絡(luò)不存在實時物理連接,對于需要持久連接的應(yīng)用場景會產(chǎn)生不利影響,測試結(jié)果表明對系統(tǒng)的數(shù)據(jù)傳輸效率也有一定的負(fù)面影響,可結(jié)合實際情況選用通過私有協(xié)議以邏輯的方式實現(xiàn)協(xié)議隔離的方式。