城市軌道交通網絡數據傳輸安全技術研究

　　摘要：城市軌道交通作為國家重要工業基礎設施隨著信息化趨勢，在開放、互聯和標準化發展的同時，帶來了安全隱患風險挑戰。文章首先探討數據通信系統的安全防范技術與方案，包括物理層防范、訪問防范控制、身份認證、完整性認證等。再比較市面上常用的傳輸技術包括OTN、SDH+ATM、MSTP、RPR等，得出結論 OTN最適合應用于軌道交通信息傳輸中。最后應用ASE算法到數據加密中，以此構建相對更安全的軌道交通網絡數據傳輸安全策略。
　　
　　關鍵詞：軌道交通,傳輸安全,OTN技術,數據加密

　　
　　1 概述
　　
　　隨著計算機和網絡技術的日益發展，工業化與信息化高度融合的同時，也帶來了極大的挑戰，工業控制系統越來越多采用通用協議、通用硬件以及通用軟件，但是工控系統越來越開放的同時也削弱了與外界的隔離與保護，包括病毒、木馬向網絡擴散的風險，而城市軌道交通是國家重要的工業基礎設施，由于信息化的趨勢，該行業的業務朝著開放、互聯和標準化的方向發展，城市軌道交通已經不再是“信息的孤島”，開放性帶來的優勢與風險并存，面對的網絡安全大多來自于對面骨干網絡和無線通信系統的攻擊，因此需要全方面、多層次的加固防護。
　　
　　地面骨干網絡由骨干網交換機和通信鏈路組成，連接著基于通信的列車自動控制系統位于地面的所有設備，以TCP/IP協議傳輸設備之間的信息，通過明文方式進行數據的傳輸，只要有黑客能接入該網絡之中，就有可能截取到信息，存在竊聽、篡改、偽裝、數據轟炸、IP地址欺騙等可能性，為日常地鐵運維帶來極大的風險。而相較而言安全系統較高的就是有線網絡技術了。本文主要圍繞通信系統（Data Communication Systems）中安防技術方案、常用的傳輸技術、數據加密形式，探討加強軌道交通網絡數據傳輸安全性的策略和方式。
　　
　　2 數據通信系統的安全防范技術與方案
　　
　　目前主要的防護手段包括軟件、硬件防范，硬件防護的防護措施主要用于數據鏈路層和物理層，例如安裝防火墻來提高入侵難度級別，防止通信線路免受自然災害、搭線攻擊、認為破壞。而軟件防護手段則是通過設置網絡安全協議。針對自動控制系統，目前可采取的安全防范技術主要包括：
　　
　　(1）物理層防范：加強對交換機端口管理，使用光纖可以防范入侵者通過搭線的方式接入到網絡中，802.11標準是1997年IEEE最初制定的一個WLAN標準，該標準可通過跳頻、擴頻、直序擴頻等方式防范，達到保護的作用。
　　
　　(2）控制訪問防范措施：對所有接入至Data Communication Systems中設備實時監控，以防未知和缺少授權的設備接入其中。有線網絡情況下，可以通過靜態端口配置、合理物理地址接入限制等管理光端機的端口措施來進行訪問防護。無線通信傳輸系統中，802.11標準規范化了媒體訪問控制，只有合法的SSID的無線終端才允許接入到網絡中。
　　
　　(3）身份認證：發送信息過程中添加數字簽名的方式，通過軟件實現，通常是在網絡層、傳輸層或者應用層。
　　
　　(4）認證完整度：在發送到接收端時增添例如驗證碼形式的驗證信息，通過數據完整度認證后才予以接受。
　　
　　(5）序列代碼：為了防范數據有可能被隱藏在網絡中的黑客截取，所以需要給每一條發送的信息都賦予某種加密形式的序列號。
　　
　　(6）數據加密：對發送的數據進行加密。
　　
　　(7）時效性：估計對等設備的時鐘偏差，在信息傳輸之前，時鐘偏差估計好以后，給發送的信息添加時間戳，接收端考慮并添加時鐘偏差影響之后計算延時情況，如果超過時間差，則排除該數據信息。
　　
　　3 常用的傳輸技術
　　
　　(1)OTN技術：能支持多種協議、信息自主化實現，該技術起源于分復式技術，接收端接收到的數據信息在途經通道后產生信號，以這種形式標記來保障業務有序進行。
　　
　　(2)SDH+ATM技術：采用SDH技術傳輸是在面臨實戰業務需求時最為傳統的解決方案，能根據不同類型的業務來分配適合的通道，對軌道交通系統而言，內部的廣播、無線音頻、閉路電視、視頻監控等數據都具備超強的實時性，因此對數據的質量提出了很高的要求。傳統的SDH技術以點對點來傳輸，無法充分利用到網絡帶寬，為此增加ATM技術，能實現根據帶寬來靈活劃分業務需求。
　　
　　(3）多業務傳送平臺技術（MSTP）：以SDH平臺為基礎，使ATM、TDM、以太網等多種業務并入、處置、傳遞等功能實現，使用一致的多業務節點網關。優點顯而易見，對數據兼容性更高，而且能實現多數據源接入，完成以太網的內部高效率交換，能夠與SDH技術手段共同工作。
　　
　　(4）彈性分組環優化協議技術（RPR技術）：該技術可對數據包優化處置，針對用戶帶寬的各種需求后靈活調整，以太網幀的格式存在的用戶數據在視頻監控系統中應用，去掉所有的累贅運行條件，從而提升工作效率，提高運行質量，監控圖像清晰，同步率較高，能夠滿足用戶的需求。
　　
　　以上海城市軌道交通為例，目前上海地鐵2號線使用的是OTN技術，上海地鐵1、4、9號線使用的傳輸技術為MSTP技術，上海地鐵3、5號線使用到SDH+ATM技術。上述所介紹的傳輸技術從實際應用來看，都基本能符合軌道交通業務通信安全傳輸的要求，但是根據實戰提出的更高要求來看，以承載能力方面進行比較，非實時性業務傳輸中，OTN可直接接入各類通信協議的接口中，無需再依托其他設備，所以OTN技術更為適用。以帶寬使用情況來看，OTN技術不僅開銷最少而且使用率也最高�？偠�言之，軌道交通通信系統傳輸技術還是選用OTN技術最為匹配。
　　
　　4 數據加密
　　
　　無線網絡安全已經是軌道交通備受關注的問題，目前常用的加密形式主要有：
　　
　　(1)WEP：兩臺設備無線傳輸加密的形式稱為有線等效保密協議，主要用來預防非認證用戶入侵和竊聽工作無線網絡。主要原理是通過對無線電波里的數據加密來提升安全性能。該項技術源于RC4的RSA加密技術，可滿足高層次網絡安全實際業務需求。
　　
　　(2)TKIP：是源于IEEE802.11i規范里負責無線安全的加密協議。等于是在WEP外圍再增加一層保護殼，在利用WEP算法優勢的同時，消除WEP缺點。
　　
　　(3)AES：密碼學中的相較高級的加密標準，用于替代DES加密標準，以對稱分組體系，密鑰的長度有128、192、256位三種，每組長度可至128位，是可實現各種軟件和硬件的算法。
　　
　　上述所提到的加密形式進行比較，在WEP技術應用中，其密鑰還是具有一定的預測規則邏輯，對于黑客來說入侵難度很低，非常容易破解。TKIP基于RC4加密，可以完全解決WEP目前的劣勢，可變化每個數據包的密鑰，通過多種形式混合一起生成，包括TKIP中成對瞬時密鑰、MAC地址、數據包里的序列號，靈活操控使無線發射站和接入端的驗證要求減少到最低的程度，但是仍具備很安全的密碼強度，不易破解。AES密鑰按照效率高，設計邏輯簡易，所需內存空間少，能并行支持處置抵御所有已知攻擊等優點，是一種動態密鑰管理機制，定期更新，采用大量矩陣運算的特點，改進了傳統的基于查表運算提高加解密速度的方法，提升AES算法加解密效率，節約存儲開銷并使空間優化、速度提高。TKIP雖然是針對WEP進行了改進，但是不如AES更具有安全性，而且使用TKIP路由器的吞吐量又相較下降到3-5成，極大的影響路由器的使用性能，AES是相較于TKIP更高級的加密方式，所以軌道交通更適合使用AES，因為在像軌道交通這樣的移動業務環境中的無線傳輸信息非常容易受到攻擊，傳輸的數據包很有可能出現丟失和出錯的情況。采用該對稱加密技術，為無線網絡帶來更強大的安全防護。
　　
　　結束語
　　
　　面對復雜的網絡安全威脅，地方軌道交通僅僅依靠自己的力量遠遠不夠，因此要借助政府和企業的通力合作，密切配合，通過建立健全靈活、反應靈敏的信息共享與聯動應急處理機制，通過打造多聯動防御體系進一步提升城市軌道交通數據傳輸安全風險把控能力和安全事件處置水平。
　　
　　參考文獻　　
　　[1]謝橋.城市軌道交通信號系統信息安全等級保護策略研究與實現[J].網絡安全技術與應用，2020(06):127-128.　　
　　[2]石軍.城市軌道交通信號系統網絡傳輸安全加密機制討論[J].科技信息，2013(06):296.　　
　　[3]楊潔.智慧城市軌道交通安全網格化管理探討[J].現代營銷（下旬刊），2020(05):139-140.　　
　　[4]龔君杰.計算機技術在城市軌道交通運營上的應用[J].電子世界，2020(06):197.