高速铁路信号系统网络安全与统一管控

李赛飞， 闫连山， 郭 伟， 郭 进，陈建译， 潘 炜， 方旭明

(1.西南交通大学信息科学与技术学院，四川成都 610031;2.广州铁路集团公司，广东广州 510088)

铁路运输系统作为我国最重要的基础设施之一，其对于安全性的要求不言而喻.这里的安全性具有两层含义:首先指系统网络不能因为自身故障等原因而导致危险的发生，最终目的是在尽可能降低故障发生概率的基础上，即便是出现了故障，也要求不会导致相关系统陷入危险的状态(即导向安全);其次是指系统网络具有抵抗外界入侵和防范网络病毒的能力.长期以来铁路信号系统的安全性研究大多围绕系统的安全可靠(safety)进行，认为铁路信号系统网络作为专有网络，不存在外界入侵和网络病毒传播的问题.然而随着新型病毒(例如，专门针对工业控制系统的“震网病毒”[1])和新的攻击手段(例如ATP攻击[2])的出现，再加上高速铁路信号系统发展对数据共享和大容量数据通信的迫切需求，使得高速铁路信号系统对外界具有前所未有的开放性，所以高速铁路信号系统的网络安全(security)应该得到更多的研究和重视.

铁路信号系统的网络化和信息化已经成为实现铁路企业运营管理现代化的客观要求和必然趋势.铁路信号系统的网络化是铁路运输综合调度指挥的基础，在此基础上实现信息化，将使得我国铁路信号系统运营管理进入集中化、智能化的新时代.计算机技术、通信技术和控制技术[3-4]的结合以及迅速发展，将共同促进这一进程.

以太网技术在确保其传输的实时性、可靠性和确定性方面得到了很大发展[5]，其在通信容量、通信速率和配置部署等方面的巨大优势，能够满足大部分工业控制系统(如铁路信号控制系统)的通信要求.近年来，以太网技术结合TCP/IP技术在控制系统网络中(包括铁路信号控制系统网络)得到了广泛的应用，大量采用了Internet网络中比较成熟的技术.因此，现在的工业控制系统网络具有了更高的互联互通特性.与此同时，2010年席卷全球工业界的“震网病毒”，使得工业控制系统网络正面临着越来越严峻的网络信息安全问题.

随着车-地之间双向、大容量、实时和可靠信息传输的迫切需求，CTCS-3[6]级列控系统引入GSMR无线通信技术应用在时速300 km/h以上的高速铁路中，地面设备增加无线闭塞中心(RBC)和GSM-R无线通信网络.然而，GSM-R采用无线公共信道，这使得铁路信号系统网络作为专网，具有了更高的开放性，提供了从公共信道渗透铁路信号系统的通道，增加了铁路信号系统信息安全的脆弱性.

我国高速铁路信号系统(CTCS-3)网络主要由4部分组成:CTC(central traffic control)分散自律调度集中系统网络[7]、信号安全通信数据网络[8]、集中监测网络[9-10]以及 GSM-R 通信网络[11].高速铁路信号系统网络复杂、异质异构(涉及到IP网络、工控网络、无线网络)、安全等级不同、网络设备管理配置复杂、故障定位及维护困难，还没有达到统一安全策略、统一安全管控的信息安全目标，以及配置管理集中化和智能化的运营要求.

目前，我国铁路信号系统信息安全防护大量采用传统的防火墙、访问控制、隔离、病毒漏洞扫描等技术，未针对我国铁路通信应用及相关安全通信协议(如 RSSP-Ⅱ协议[12])进行专门的安全防护，致使有些情况下防护措施不能起到应有的作用;另外，为了保证铁路信号设备通信的实时性和可靠性，我国高速铁路CTCS-3级列控系统信号安全通信数据网中未采用信息安全防护措施.

本文从我国高速铁路信号系统网络整体架构出发，对信号系统的网络安全性进行了全面、详细的分析，着重分析了高速铁路信号系统中各个子系统间的接口安全，以及从较低安全等级网络/系统(如CTC系统网络)向高安全等级网络/系统(如信号安全通信数据网)渗透的可能性.在分析的基础上，提出了基于软件定义网络(SDN)的高速铁路信号系统网络统一安全管控方案，并对其功能特性进行了分析和介绍.

1 高速铁路信号系统网络架构分析

现代铁路信号系统不是各种信号设备的简单组合，而是功能完善、层次分明的控制系统.系统内部各功能单元之间独立工作，同时又相互联系，交换信息，构成复杂的网络化结构.指挥者需要能够全面了解辖区内的各种情况，灵活配置系统资源，保证铁路系统的高效、安全运营.

图1 高速铁路信号系统典型组成架构Fig.1 Typical architecture of Chinese high-speed railway signal system

高速铁路信号系统(如图1所示)，包括列控系统、行车指挥系统、联锁系统和信号集中监测系统.列控系统主要由列控中心(TCC)、车载设备、应答器、无线闭塞中心(RBC)、临时限速服务器和传输网络组成;行车指挥系统由CTC中心、自律分机、传输网络、服务器系统、行调台、辅助台和电源系统组成;联锁系统由联锁设备、轨道电路、道岔转换、信号机和电源系统组成.信号集中监测通过标准接口与联锁系统、列车控制中心、TDCS/CTC、智能电源屏、ZPW-2000轨道电路系统、有源应答器、RBC、TSRS的信号设备连接，监测设备状态.CTC分散自律调度集中通信网络、信号安全通信数据网和集中监测网络安全等级不同，独立成网，采用物理手段隔离(双宿主机、接口服务器等)，但逻辑上依然相连.从理论上讲，有可能从各个网络的接口相互渗透.

2 高速铁路信号系统网络接口分析

2.1 列控系统接口安全分析

列车与RBC建立连接并保持连接，对列车与RBC连接状态的准确确认，是保证列控中心指令正确传达的基础.列控中心与联锁系统采用以太网连接，两者之间未设置防火墙进行隔离.如果引入防火墙进行隔离以及相关的数据验证，有可能会影响数据传输的实时性.列车车载设备与地面设备之间进行相互通信，并向列控中心传输数据，因地面设备和列控中心之间的距离不同，从而会导致一定的时延误差，有可能会影响行车的精确性.RBC与临时限速服务器之间采用基于TCP/IP的安全数据通信网，保证数据的安全性，但是两者之间未设置防火墙进行防护.

2.2 联锁系统接口安全分析

2.2.1 联锁系统上位机和CTC分机之间接口

(1)安全问题及措施

联锁系统经上位机与CTC系统的车站分机之间接口，采用局域网通信和TCP/IP协议，二者间的通信未采用安全通信协议.二者之间已经采用了防火墙进行防护.由于CTC系统为非安全系统，从系统边界防护角度考虑，应该对CTC分机和上位机的通信接口采用安全通信协议.由于联锁系统要与信号安全数据通信以太网(控制网)通信，而CTC分机要与调度集中数据通信以太网通信，对CTC分机和上位机之间的通信接口采用安全通信协议，可有效避免二网之间的相互渗透问题，尤其可防止调度集中数据通信以太网对信号安全数据通信以太网(控制网)的渗透问题.

(2)可能带来的影响

由于上位机和CTC并不负责控制命令的执行，故采用安全协议后，虽然会影响上位机和CTC分机的实时性，但对控制系统核心功能(由联锁主机执行)的执行不会产生影响，这主要是因为通信部分软件功能的完善，不会增加额外的维护开销.

2.2.2 联锁系统电务维修机和集中监测系统接口

(1)安全问题及措施

计算机联锁系统经维修机与集中监测系统的车站分机之间接口，通过局域网通信，采用TCP/IP协议和安全通信协议，二者之间未采用防火墙进行防护.由于集中监测系统为非安全系统，从系统边界防护角度考虑，应该对集中监测系统和维修机的通信接口采用安全通信协议，对二者之间的接口采用防火墙进行防护.由于联锁系统要与信号安全数据通信以太网(控制网)通信，而集中监测系统站内分机要与集中监测数据通信以太网通信，如果对电务维修机和集中监测系统之间的通信接口采用安全通信协议，并采用防火墙进行防护，可有效避免二网之间的相互渗透问题，尤其是集中监测数据通信以太网对信号安全数据通信以太网的渗透问题.

(2)可能带来的影响

由于维修机和集中监测系统均只从联锁系统取信息，并不负责向联锁主机发送关键控制命令，故采用安全协议和防火墙防护后，对控制系统核心功能的执行不会产生影响，不会增加额外的维护.

2.2.3 联锁系统与列控中心、无线闭塞中心之间的接口

(1)安全问题及措施

联锁系统与TCC、RBC之间的接口，通过信号安全数据通信以太网进行通信，采用TCP/IP协议，信号安全数据通信以太网采用安全通信协议.各系统之间未采用防火墙进行隔离.

几个系统均为安全-关键系统，均为冗余结构，负责关键控制功能的执行.安全问题涉及各个系统自身安全问题和信号安全数据通信网通信安全性两个方面.如何加强各系统之间的边界防护是一个重要问题.

(2)可能带来的影响

这几个系统是铁路信号核心控制系统，增强系统关键部分和信号安全数据通信网安全防护措施，都可能对系统实时性造成影响，是否会对关键功能的执行带来影响因系统不同而不同，需具体分析.

2.3 集中监测系统接口分析

(1)安全问题及措施

集中监测系统与其它控制系统之间的接口，采用站内局域网和TCP/IP协议，二者间的通信未采用安全通信协议和防火墙.

由于集中监测系统为非安全系统，从系统边界防护角度考虑，应该对集中监测系统和其它系统之间的通信接口采用安全通信协议.集中监控系统站内部分与系统中心之间应采用防火墙进行防护，与其它系统接口之间也应进行防火墙防护.由于控制系统(车站联锁、TCC)要与信号安全数据通信以太网(控制网)通信，CTC系统与调度集中数据通信以太网通信，而集中监测系统站内分机要与集中监测数据通信以太网通信，采用安全通信协议和防火墙隔离，可有效避三网之间的相互渗透问题，尤其是对信号安全数据通信以太网的渗透问题.

(2)可能带来的影响

由于集中监测系统均不下达控制命令，故几者之间采用安全通信协议后，对控制系统核心功能的执行不会产生影响.

2.4 GSM-R与公网接口安全分析

在GSM-R系统中的数据业务在核心网中经过GRPS的网络节点SGSN和GGSN与外网相联通，因此GSM-R系统与公网接口的信息安全问题也是极其重要的，需要通过不同手段在铁路专网与公网间建立起一道有效的信息安全屏障.

我国的GSM-R系统的安全机制主要来源于GSM的原始方案，并针对一些比较关键的安全缺陷做了一些弥补措施，如表1所示.

由于GSM系统的方案确立于20世纪80年代末，方案中的很多核心算法和技术方案的设计过程均不公开，随着技术的发展，在实际使用中已暴露出了一些安全缺陷，如单向身份认证、基站与基站间数据明文传输等.

表1 GSM-R系统安全分析Tab.1 Security analysis of GSM-R system

虽然RSSP-Ⅱ协议为车-地信息传输提供了额外的完整性保护，但考虑到实时性和可靠性，高优先级数据并未受到保护.

3 低安全等级网络向高安全等级网络渗透可行性分析

在高速铁路信号系统各个子系统网络中，信号安全数据网负责联锁、列控、RBC和临时限速服务器的通信，这些设备将直接影响列车的控制运行，所以信号安全数据网为安全等级最高的网络子系统;相对于信号安全数据网，CTC系统网络间接控制现场设备和列车为较低安全等级网络子系统.集中监测系统只负责监测现场设备状态，发出故障报警等信息，不负责列车及设备控制，安全等级最低.由于集中监测网络不负责列车控制，所以本文重点分析从CTC系统(低安全等级)向信号安全数据网(高安全等级)渗透的可行性.

如图2所示，在CTC系统和信号安全数据网中部署了大量服务器，采用了多个通用及专用操作系统，包括 Windows Server 2003/2008、Windows NT系列、Windows XP、Linux、FreeBSD、RedHat等，而大多数专用操作系统往往没有内置安全功能.由于信号系统的特殊性，软件变更和补丁升级周期较长，必须进行彻底的测试，以递增的方式部署到整个系统中，以确保系统的完整性和可靠性，但是，这样对于系统和软件新出现的漏洞不能及时更新，增加了被攻击渗透的风险.

如果以CTC车站局域网作为起点，有两条路径可以入侵到信号安全数据网中.第1条路径如图2(a)所示，首先从CTC车站子系统入侵到CTC中心系统中，关键是取得CTC-RBC接口服务器的控制权，下一步就可以通过信号安全数据网一侧的接口服务器VIA入侵到信号安全数据网子系统中.第2条路径如图2(b)所示，同第1条路径类似，关键是取得临时限速接口服务器的控制权，如果与临时限速接口服务器连接的路由器配置不当，则可以直接向信号安全数据网发起攻击.

图2 CTC车站局域网、CTC中心局域网和信号安全数据网连接拓扑Fig.2 Topology and connectivity of CTC station LAN，CTC centre LAN and signal security data network

4 基于SDN的信号系统网络统一安全管控方案

SDN[13-14]是一种新的网络架构，它把传统网络路由器和交换机的数据平面和控制平面分离，由逻辑统一的控制器(编写的软件程序)控制所有设备的数据转发，进行统一控制和全局管理.SDN架构如图3所示.

图3 软件定义网络架构Fig.3 Software defined networking architecture

当网络的控制平面和数据平面分离，网络的控制平面可以抽象成网络操作系统[15]和网络虚拟化层，与服务器虚拟化类，网络操作系统为上层提供全局网络资源[16]，在此基础上可以进行网络虚拟化，形成网络虚拟化层[17]，再由不同的控制程序分别来控制不同网络虚拟化拓扑的网络管理和数据转发.

如图1所示，我国高速铁路信号系统网络由3张子网构成:CTC系统网络、信号安全数据网和集中监测网络，它们为各自独立的物理网络，通过物理手段进行隔离(如双宿主机，接口服务器等)，使得不同系统间接口复杂，并且安全等级不同，维护管理困难，导致系统整体安全性降低.为此，本文基于SDN架构，提出软件定义高速铁路信号系统网络，以解决信号系统复杂网络的安全管理问题.首先，把CTC系统网络，信号安全数据和集中监测网络3个物理独立的子网，融为基于SDN的统一网络硬件平台(如图4所示)，由逻辑统一的分布式控制技术和基于SDN的冗余技术[18]保障高可靠性，在统一的网络硬件平台基础上，通过网络虚拟化技术，软件定义信号系统的各个功能子网，由原来复杂的物理隔离网络变为高效可控的软件隔离网络，进一步实现了信号系统网络安全的统一管控.基于SDN的信号系统网络统一安全管控方案如图5所示.

图4 软件定义高速铁路信号系统网络架构Fig.4 Architecture of software defined Chinese train control systems(SD-CTCS)

4.1 资产注册和服务管理

根据每个设备开启的网络服务，或者是需要由哪个设备提供的网络服务，首先要在铁路设备资产安全管理服务器上进行注册和认证，没有认证的服务或访问关系，网络控制器不允许其使用网络，大大提高了对网络服务和终端设备的管控力度.

4.2 安全通信管理和访问控制

根据已经注册和认证的合理网络服务及各个服务的访问关系，制定业务通信管理矩阵，网络控制器可以通过业务通信管理矩阵强制控制某个设备或程序可以访问的网络服务资源，从而达到全局的安全通信管理和访问控制的目的.

4.3 网络数据追踪溯源和网络诊断

网络控制器可以标识和记录每个数据包的来源(设备、地址、交换机、交换机端口、业务ID等)，实现数据包和其来源信息的绑定.当网络安全检测设备发现异常时，可以及时准确的追踪溯源.另外，当发现业务或数据异常时，也可以根据绑定信息对异常设备进行迅速定位.

图5 信号系统网络统一安全管控方案Fig.5 Unified security control and management strategy for Chinese train control network

5 结束语

本文全面分析了我国高速铁路信号系统信息安全和网络安全，包括不同系统之间接口所面临的安全问题、GSM-R系统的安全问题以及从信号系统较低安全等级网络向高安全等级网络渗透等问题.在安全性分析的基础上，对我国信号系统网络的发展进行了积极的探索，提出了一种基于SDN

的下一代铁路信号系统网络架构.在此架构上通过对信号系统资产注册和服务管理、访问控制以及网络数据的追踪，可以提高我国高速铁路信号系统网络安全性，减少对信号系统复杂网络管理的复杂性，促进我国高速铁路信号系统网络的发展.

[1]CHEN T M，ABU-NIMEH S.Lessons from stuxnet[J].Computer，2011，44(4):91-93.

[2]BREWER R.Advanced persistent threats:minimising the damaged[J].Network Security，2014，2014(4):5-9.

[3]北京交通大学，株洲南车时代电气股份有限公司.GB/T 24339.1—2009轨道交通 通信、信号和处理系统第1部分 封闭式传输系统中的安全相关通信[S].北京:国家质检总局，2009.

[4]北京交通大学，株洲南车时代电气股份有限公司.GB/T 24339.2—2009轨道交通 通信、信号和处理系统第2部分 开放式传输系统中的安全相关通信[S].北京:国家质检总局，2009.

[5]DECOTIGNIE JD. Ethernet-based real-timeand industrial communications[J]. Proceeding of IEEE，2005，93(6):1102-1117.

[6]中华人民共和国铁道部.科技运[2008]34号 CTCS-3级列控系统总体技术方案[S].北京:中国铁道出版社，2008.

[7]中华人民共和国铁道部.科技运[2004]15号 分散自律调度集中系统技术条件[S/OL].(2004-02-12)[2014-08-05].http://www.cqvip.com/QK/71135X/201107/15210729.html.

[8]中华人民共和国铁道部.运基信号[2009]223号 客运专线信号系统安全数据网技术方案 V2.0[S/OL].(2010-11-12)[2014-08-05].http://wenku.baidu.com/link?url=8TJbHyzuhblXjG3n-yuHBIwiiorh3 M55dV2clXl_njji-DQ_fKeGG_POi-R1emfjXzM89sH2p MOjpnOKJG2hWM7pFey2UB45zLAyhD0Jsqe.

[9]中华人民共和国铁道部.运基信号[2010]709号 铁路信号集中监测系统技术条件[S/OL].(2010-09-20) [2014-08-05]. http://www.doc88.com/p-387779310476.html.

[10]刘大为，郭进，王小敏，等.中国铁路信号系统智能监测技术[J].西南交通大学学报，2014，49(5):904-912.

LIU Dawei， GUO Jin， WANG Xiaomin， etal.Intelligent monitoring technologies for railway signaling systems in China[J].Journal of Southwest Jiaotong University，2014，49(5):904-912.

[11]中华人民共和国铁道部.运基通信[2006]185号GSM-R与CTC系统接口规范[S/OL].(2006-06-08)[2014-08-05]http://wenku.baidu.com/link?url=Ojz-WTidYAHvmsH8GHDIpiOPeTMLBl4Fv8WzmqKF gyUgsaZLk_Z1mJoUoK9AdgcKVrD6kdumiROkLgIi8weIeb 4jv9PI7Qi0V_R12HmdnMi.

[12]中华人民共和国铁道部.运基信号[2010]267号铁路信号安全通信协议技术规范[S/OL].[2014-08-05].http://down.51cto.com/data/967413.

[13]MARTIN C，MICHAEL J，JUSTIN P，et al.Ethane:taking control of the enterprise[J].ACM SIGCOMM Computer Communication Review，2007，37(4):1-12.

[14]ONF.Software-defined networking:the new norm for networks[DB/OL].(2012-04-13)[2014-08-05].https://www.opennetworking.org/images/stories/down loads/sdn-resources/white-papers/wp-sdn-newnorm.pdf.

[15]GUDE N，KOPNNEN T，PETTIT J，et al.NOX:towards and operating system for networks[J].ACM Sigcomm Computer Communication Review，2008，38(3):105-110.

[16]NICK M，ANDERSON T，BALAKRISHNAN H，et al.OpenFlow:enabling innovation in campus networks[J].ACM Sigcomm ComputerCommunication Review，2008，38(2):69-74.

[17]SHERWOOD R，GIBB G，YAP K K，et al.Carving research slices out of your production networks with OpenFlow[J]. ACM Sigcomm Computer Communication Review，2010，40(1):129-130.

[18]LI S F，YAN L S，XING H L，et al.Enhanced robustness of control network for chinese train control system level 3(CTCS-3)facilitated by software defined networking[J]. International Journal of Rail Transportation，2014，2(4):239-252.