城市軌道交通無線通信論文

導語：城市軌道交通無線通信論文一文來源于網友上傳，不代表本站觀點，若需要原創文章可咨詢客服老師，歡迎參考。

1通信安全的風險源

對CBTC系統車地無線通信安全構成威脅的風險源主要分為無線干擾和惡意攻擊2類。

1.1無線干擾目前，對車地無線通信造成干擾的來源主要有：乘客信息系統、商用無線網絡、多徑效應等［2］。

1）乘客信息系統（PassengerInformationSystem，簡為PIS）：是一個多媒體咨詢、播控與管理的平臺，可在多種顯示終端上顯示多種類型、多信息源、平行、分區、帶優先級的信息。其中，既包括數據量小的文本信息，也包括數據量大的媒體文件信息。目前，PIS主要采用IEEE802.11a／g／n標準的WLAN進行傳輸，并且和信號系統的WLAN使用了相同的頻段，從而可能對CBTC系統的車地無線通信造成同頻干擾。

2）商用無線網絡：3G網絡的普及使得人們可以隨時隨地自組WiFi無線網絡。這些無線網絡的信道是可變的，并很有可能會同城市軌道交通信號系統WLAN處于同一信道而造成干擾。乘客自組的WiFi無線網絡的頻段如果與CBTC系統車地通信頻段相同，就很容易造成無線干擾而影響信號系統的正常工作。

3）多徑效應：無線信號是沿著直線傳播的，但是在隧道和城市高樓林立的環境中，信號會經過建筑物的反射和衍射再到達接收端。這樣，接收端收到的信號就可能包括直線傳播的信號和經過若干次反射和衍射后的信號，這些信號因為傳播路徑的不一致而先后到達接收端，這就造成了多徑效應。多徑效應的存在使得信號不穩定并且可能會出現數據錯誤，因而對車地通信安全造成影響。

1.2安全攻擊黑客、恐怖分子等對城市軌道交通的惡意攻擊，不僅可能造成運營中斷，甚至還可能通過發送錯誤指令等方式造成列車相撞或者遠程控制列車。因此，軌道交通CBTC系統必須對網絡安全攻擊進行防護。網絡安全攻擊一般可以分為如下5種類型［1］。

1）被動攻擊：包括流量分析、對無防護通信進行監視、對弱加密的通信進行解碼、驗證信息捕獲等。被動攻擊可以在用戶不知情的情況下被攻擊者獲取信息或數據文件。

2）主動攻擊：包括繞開或破壞安全防線、植入惡意代碼、竊取或修改信息等。主動攻擊可以導致數據文件的泄露或傳播，拒絕服務或數據修改。

3）物理接入攻擊：未授權人員物理上接近網絡、系統或設備，目的是修改、搜集或拒絕訪問信息。物理上的接近可以是秘密的，也可以是公開的。

4）內部人員攻擊：可分為惡意和非惡意的攻擊2種。惡意攻擊是指內部人員有意地偷聽、竊取或破壞信息，欺詐性地使用信息或者拒絕其他授權用戶訪問信息；非惡意攻擊通常是由于不小心、缺乏相關知識等原因而繞開安全防護。

5）分發攻擊：這是集中在軟、硬件工廠或分發中對軟、硬件做出惡意修改。這種攻擊可能是向產品中引入惡意代碼。例如，為了在以后對信息或者系統功能進行未授權訪問所留的后門程序等。

2城市軌道交通安全保障的研發目標與措施

2.1安全保障研發目標針對當前城市軌道交通存在的信息安全隱患，以及城市軌道交通CBTC系統信息安全的新需求，應結合既有CBTC系統，開發適合當前城市軌道交通使用的CBTC系統數據加解密設備、專用防火墻、網絡攻擊檢測、安全車地無線通信設備等。應搭建信息安全管控平臺，通過技術和管理手段相結合，以有效避免城市軌道交通信息安全事故的發生。其核心技術的研發目標如下：

1）項目研發應具有實用性：相關技術的研究以城市軌道交通控制和調度系統應用為基礎，相關技術的應用不能影響信息的正常傳輸。

2）保證控制與調度信息的安全性：應保證通信網絡中數據不受到非法監聽、截獲及篡改，所研究的信息安全技術能夠保證傳輸數據的唯一性和真實性。

3）實現通信網絡的智能檢測：采用CS（客戶端—服務端）工作結構，全面實現對通信網絡工作狀態的監控和對網絡攻擊的定位；自動實現通信網絡健壯性的檢測，并提供相關報警和日志記錄。

4）建立身份認證管理機制：應實施客戶端身份認證管理和無線設備接入認證密鑰多樣化管理。

2.2安全保障措施安全保障措施包括行政措施和技術措施。行政措施包括制訂信息安全和網絡安全的管控措施、對網絡設備的投標和使用加強審查和控制等。以下列舉在實際應用中可使用的車地無線通信安全保障的技術措施。

1）數據加解密設備。車地無線通信運用的是基于SMS4密碼的加解密技術。SMS4GM／T0002—2012《SM4分組密碼算法》是國家密碼管理局批準的。該算法是一個分組算法，分組長度為128bit，密鑰長度為128bit。加密算法與密鑰擴展算法都采用32輪非線性迭代結構。

2）無線接入認證管理機制。該無線接入認證方式是疊加在既有控制系統的無線通信之上，且對控制系統的無線傳輸性能無影響。應接入認證密鑰的動態管理，采用多種密鑰更新方式。采用“工作站—服務器”模式，可實現各子系統、多條線路的接入認證管理。

3）網絡攻擊檢測和報警。針對軌道交通列車控制與調度系統的特點，采用專用的網絡攻擊檢測和報警系統，實現控制系統傳輸網絡邊界的自動識別。

4）網絡隔離系統。在保持內外網絡有效隔離的基礎上，實現兩網間安全、受控的數據交換。主要為用戶提供了一種在物理隔離的內外網之間（或高低密級網絡之間）安全地將外部信息（或低密級信息）通過以太網單向導入到內部網絡（或高密級網絡）的解決方案。

5）主機審計系統。主要用于監控和審計涉密計算機的數據輸入／輸出接口、設備以及被控端用戶的敏感行為，從而加強軌道交通列車控制與調度指揮系統的管理，以達到有效地預防失密、泄密事件發生的目的。本系統為鐵路機構提供了方便、準確、快捷的終端用戶安全管理手段。

6）主機加固技術。主要是提供主機的安全配置等設置的檢查，根據安全配置是否符合相應的安全要求，提出供主機加固的建議。

7）定義封閉系統。封閉系統是不對大家都可以訪問的默認SSID（ServiceSetIdentifier，服務網絡標識符）進行響應的系統，也不會向客戶端廣播SSID，即取消了SSID自動播放功能。封閉系統可以防止其它WLAN設備搜索無線信號，從而禁止非授權訪問。

8）MAC地址過濾。MAC（MediaAccessControl，媒體訪問控制）地址僅標識1臺無線網絡設備，不存在2塊具有相同MAC地址的網卡。MAC地址過濾可以起到阻止非信任硬件訪問的作用。

9）WPA2加密和動態密鑰。WPA2（WiFiProtectedAccess，WiFi保護接入）中采用AES（AdvancedEncryptionStandard，高級加密標準）加密，其算法不能破解，再結合動態密鑰，保證了信息傳輸的安全性。WPA2的PSK（Pre－sharedKey，預共享式保護訪問）認證中，每臺車載無線設備都需要1個密鑰才能接入無線網絡，且這個密鑰設置很復雜，能確保信息安全。

3結語

城市軌道交通中，車地無線通信的信息安全直接影響列車的運行安全，所以必須采取各種措施來對安全保障潛在危險進行防護。本文介紹的各種技術措施有一些已經應用在具體線路中，有一些還在研究當中。當然，不可能僅用一種技術措施就能確保車地無線通信的安全，在實際應用時應當綜合考慮設備具體情況、線路狀況和成本等因素，分析可能的風險源，采取多種技術措施相結合的手段來對車地無線通信進安全防護。

作者：張壯單位：烏魯木齊城市軌道集團有限公司