1  概述

在过去我国城市轨道交通快速发展的十几年中，城市轨道交通车辆的通信网络技术基本以成熟的多功能车辆总线MVB为主流技术手段。近些年来，随着地铁车辆的智能化发展，车载设备的数据量大大增加，既有列车网络不能满足传输大带宽、传输信息的安全可信度、列车控制与服务多样化的业务要求^[1]。近几年来，随着工业以太网技术的发展，TRDP实时以太网技术发展迅速，并在国内项目中得到越来越多的应用，逐渐成为新的网络发展趋势。以太网技术在带来高传输速率、高兼容性等优势的同时，也给车载通信网络带来了更多的安全风险，一旦其安全性受到威胁，会对列车行车安全造成巨大影响。因此，研究列车网络安全风险隐患，提升车辆网络安全防护能力变得越来越重要。

2  网络拓扑结构

列车实时以太通信网络拓扑采用环形拓扑+星型拓扑的复合式拓扑结构，通信总线采用以太网总线，采用控制网和多媒体网分离的方案，保障控制网信息安全。

列车通信网络按其层次结构可分为列车级和车辆级两级网络：

（1）列车级网络采用千兆以太网，每车各配置两台具有千兆以太网网口的列车级交换机、并采用环网结构连接进行冗余，当单节点或线路故障时，列车级通信环网可实现快速自愈，确保单点故障不影响列车级网络功能；

（2）车辆控制网采用百兆星型以太网，连接列车控制及监视系统相关部件和车辆各子系统微机控制单元到列车级交换机，实现对车辆各子系统的控制、监视、诊断及维护功能。关键子系统采用双归属方式接入车辆级网络，两个独立网口分别接入不同交换机进行链路冗余。

图1 列车实时以太网络拓扑

列车通信网络控制数据采用符合IEC 61375-2-3、IEC 61375-3-4标准规定的TRDP协议，实现系统间的数据传输；对于与行车安全相关的牵引系统、制动系统、辅助系统、信号系统采用安全的TRDP协议进行数据交互。列车网络系统设备中具有车载无线传输主机设备，其具有与地面通信网络/公网接入的接口，是列车网络边界隔离设备，也是车辆网络安全防护的重中之重。

3  车体传输业务场景

车载无线传输主机WTS依托列车通信网络和车地通信网络，收集TCMS和车载在线监测设备产生的各类数据，经过汇聚、处理后，利用无线传输通道实现对整车及关键部件数据的地面回传，该设备具备数据采集、数据处理、数据存储、数据加密、数据压缩、数据下载等功能。如下图2所示，WTS主机分别接入TRDP控制网和车载以太网维护网收集TCMS和各车辆子系统的数据，经过防火墙模块接入4G/5G/LTE/WLAN等车地通道接口向地面平台传输数据。

图2 车地传输场景示意图

5  风险分析

参考信息系统等级保护要求，结合业务安全需求特点，遵循适度安全为核心，以重点保护、分类防护、保障关键业务和成熟性为原则，将上述网络拓扑划分为“车载内网可信域”、“车地之间隔离域”和“地面平台安全域”等三块进行入侵分析，找出系统各个域内和域间的薄弱部分，详细分析如下。

5.1  车载内网可信域

域定义，即默认车载部分各控制器及相关电气部件为内网可信，其相关的升级维护按照车辆相关变更流程进行把控。

该域存在的薄弱问题为：由于各设备通过以太网和交换机等设备互联，容易在车辆调试阶段形成网络风暴，影响车辆网其它网络设备的正常工作。

5.2  车地之间隔离域

域定义，车辆和地面平台之间的各个通路连接，包括4G\5G\LTE\WLAN等车地传输通道及其所承载业务的安全性。

该域存在的薄弱问题为：

(1)对网络上信息的监听；

(2)对用户身份的仿冒；

(3)对网络上信息的篡改；

(4)对发出的信息予以否认；

(5)对信息进行重发。

5.3  地面平台安全域

域定义，地面机房中各类服务器等资源，通常用来收集车辆数据、计算和控制相关。该域存在的薄弱问题同其它信息系统类似，一般按照国家法规进行等保二级信息系统建设，例如配备防病毒服务器、日志审计和入侵防御系统。

6  安全防护措施

  针对上述车辆网络可能存在的风险点，地铁车辆在设计之初就应进行对应技术手段措施规划，用来保证车辆的绿色、安全和稳定。下面分别就上述三个域可能存在的风险和问题，研究地铁列车如何尽心设计和防范。

6.1  车载内网可信域

（1）基本原则是管理可信，即所有车辆内部电气设备默认是安全可信的，相应的设计变更和软件升级流程需各系统设备商按照正规流程进行管理。PTU通过车载防火墙接入车辆以太网，需经过安全认证及审计。

（2）针对车载网络中可能存在的网络风暴问题，车载交换机设备按照业务重要程度、优先级、所需带宽等因素进行VLAN的划分和端口限速，旨在隔离不相关业务（“划车道、定流速”）。针对网络风暴问题，交换机进行流量记录和日志分析功能，用来排查和定位问题。

（3）针对车载和车地间的通信，统一由车载防火墙进行隔离，所有流入和流出数据必须经过防火墙的规则审查，支持限定协议封包、指定MAC地址、ICMP洪峰过滤等功能。

6.2  车地之间隔离域

（1）针对网络上信息的监听问题，列车车地通信协议应采用协议封装和解析点表，每个项目各自独立。

（2）针对用户身份的仿冒问题，可在车载端和地面端设计身份识别和设备注册机制，只有设备身份合法且成功注册后，设备所发的消息才被认为合法且唯一。

（3）对网络上信息的篡改问题，传输报文中可采用加密和校验措施，仿造或篡改其中的某些字段，由于攻击者不清楚加密和校验方法，生成的报文地面平台不会进行处理，直接丢弃。

（4）对信息进行重发和否认问题，地面平台只作为接收方，符合正确规则的信息进行解析和前端推送等。重发和否认的消息的前提条件必须设备成功注册和建立通信正常后，此时重复发送由于和数据库中已有消息重复，该类消息不会入库，也不会前端推送。

（5）特别的针对4G/5G场景，车载上网时随机向运营商基站服务池中申请IP地址，理论上地面通过IP反向找到车载设备的概率为0。该种技术被广泛应用在汽车联网、手机联网等物联网场景的产品中。

6.3  地面平台安全域

（1）由于地面平台为信息化机房，容易遭受DDos攻击、缓冲区溢出攻击、Web应用攻击、SQL注入、XSS跨站脚本，蠕虫病毒等类型的攻击。因此按照信息系统等保二级进行加固，在防护墙的基础上，引入IPS入侵防御设备、数据库审计和日志审计设备。

（2）针对在信息化系统基础上特有的轨道交通运营使用场景下，配合车载部分、车地部分设计了设备身份认证、车地通信协议规则等机制进一步进行场景加固。

7  总结

随着城市轨道交通车辆智能化技术的不断发展，基于工业以太网的列车网络系统的应用越来越多，网络安全的问题也会愈加突出[2]。基于实时以太网的列车网络设计按照分域管控、主动防护的原则构建了车辆网络的安全防护体系，保证了列车网络的安全性。本项目设计理念可为国内其它以太网控制车辆项目提供参考，在具体的项目设计和实施时，根据项目实际需求进行列车网络的风险项点分析，确定安全控制需求，并针对性采取多种安全防护措施，避免网络风险事故的发生，切实提高列车网络安全防护能力，保障列车安全运行。

参考文献

[1]  徐燕芬，赵婧，姜仕军.下一代地铁列车网络控制系统的研制[J].铁道车辆，2017(7).

[2]  周淑辉，常振臣，张尧，吕默. 列车网络系统的网络安全分析与安全防护[J]，城市轨道交通研究，2020(2).