摘要:城市轨道交通作为国家重要工业基础设施随着信息化趋势,在开放、互联和标准化发展的同时,带来了安全隐患风险挑战。文章首先探讨数据通信系统的安全防范技术与方案,包括物理层防范、访问防范控制、身份认证、完整性认证等。再比较市面上常用的传输技术包括OTN、SDH+ATM、MSTP、RPR等,得出结论 OTN最适合应用于轨道交通信息传输中。最后应用ASE算法到数据加密中,以此构建相对更安全的轨道交通网络数据传输安全策略。
关键词:轨道交通,传输安全,OTN技术,数据加密
1 概述
随着计算机和网络技术的日益发展,工业化与信息化高度融合的同时,也带来了极大的挑战,工业控制系统越来越多采用通用协议、通用硬件以及通用软件,但是工控系统越来越开放的同时也削弱了与外界的隔离与保护,包括病毒、木马向网络扩散的风险,而城市轨道交通是国家重要的工业基础设施,由于信息化的趋势,该行业的业务朝着开放、互联和标准化的方向发展,城市轨道交通已经不再是“信息的孤岛”,开放性带来的优势与风险并存,面对的网络安全大多来自于对面骨干网络和无线通信系统的攻击,因此需要全方面、多层次的加固防护。
地面骨干网络由骨干网交换机和通信链路组成,连接着基于通信的列车自动控制系统位于地面的所有设备,以TCP/IP协议传输设备之间的信息,通过明文方式进行数据的传输,只要有黑客能接入该网络之中,就有可能截取到信息,存在窃听、篡改、伪装、数据轰炸、IP地址欺骗等可能性,为日常地铁运维带来极大的风险。而相较而言安全系统较高的就是有线网络技术了。本文主要围绕通信系统(Data Communication Systems)中安防技术方案、常用的传输技术、数据加密形式,探讨加强轨道交通网络数据传输安全性的策略和方式。
2 数据通信系统的安全防范技术与方案
目前主要的防护手段包括软件、硬件防范,硬件防护的防护措施主要用于数据链路层和物理层,例如安装防火墙来提高入侵难度级别,防止通信线路免受自然灾害、搭线攻击、认为破坏。而软件防护手段则是通过设置网络安全协议。针对自动控制系统,目前可采取的安全防范技术主要包括:
(1)物理层防范:加强对交换机端口管理,使用光纤可以防范入侵者通过搭线的方式接入到网络中,802.11标准是1997年IEEE最初制定的一个WLAN标准,该标准可通过跳频、扩频、直序扩频等方式防范,达到保护的作用。
(2)控制访问防范措施:对所有接入至Data Communication Systems中设备实时监控,以防未知和缺少授权的设备接入其中。有线网络情况下,可以通过静态端口配置、合理物理地址接入限制等管理光端机的端口措施来进行访问防护。无线通信传输系统中,802.11标准规范化了媒体访问控制,只有合法的SSID的无线终端才允许接入到网络中。
(3)身份认证:发送信息过程中添加数字签名的方式,通过软件实现,通常是在网络层、传输层或者应用层。
(4)认证完整度:在发送到接收端时增添例如验证码形式的验证信息,通过数据完整度认证后才予以接受。
(5)序列代码:为了防范数据有可能被隐藏在网络中的黑客截取,所以需要给每一条发送的信息都赋予某种加密形式的序列号。
(6)数据加密:对发送的数据进行加密。
(7)时效性:估计对等设备的时钟偏差,在信息传输之前,时钟偏差估计好以后,给发送的信息添加时间戳,接收端考虑并添加时钟偏差影响之后计算延时情况,如果超过时间差,则排除该数据信息。
3 常用的传输技术
(1)OTN技术:能支持多种协议、信息自主化实现,该技术起源于分复式技术,接收端接收到的数据信息在途经通道后产生信号,以这种形式标记来保障业务有序进行。
(2)SDH+ATM技术:采用SDH技术传输是在面临实战业务需求时最为传统的解决方案,能根据不同类型的业务来分配适合的通道,对轨道交通系统而言,内部的广播、无线音频、闭路电视、视频监控等数据都具备超强的实时性,因此对数据的质量提出了很高的要求。传统的SDH技术以点对点来传输,无法充分利用到网络带宽,为此增加ATM技术,能实现根据带宽来灵活划分业务需求。
(3)多业务传送平台技术(MSTP):以SDH平台为基础,使ATM、TDM、以太网等多种业务并入、处置、传递等功能实现,使用一致的多业务节点网关。优点显而易见,对数据兼容性更高,而且能实现多数据源接入,完成以太网的内部高效率交换,能够与SDH技术手段共同工作。
(4)弹性分组环优化协议技术(RPR技术):该技术可对数据包优化处置,针对用户带宽的各种需求后灵活调整,以太网帧的格式存在的用户数据在视频监控系统中应用,去掉所有的累赘运行条件,从而提升工作效率,提高运行质量,监控图像清晰,同步率较高,能够满足用户的需求。
以上海城市轨道交通为例,目前上海地铁2号线使用的是OTN技术,上海地铁1、4、9号线使用的传输技术为MSTP技术,上海地铁3、5号线使用到SDH+ATM技术。上述所介绍的传输技术从实际应用来看,都基本能符合轨道交通业务通信安全传输的要求,但是根据实战提出的更高要求来看,以承载能力方面进行比较,非实时性业务传输中,OTN可直接接入各类通信协议的接口中,无需再依托其他设备,所以OTN技术更为适用。以带宽使用情况来看,OTN技术不仅开销最少而且使用率也最高。总而言之,轨道交通通信系统传输技术还是选用OTN技术最为匹配。
4 数据加密
无线网络安全已经是轨道交通备受关注的问题,目前常用的加密形式主要有:
(1)WEP:两台设备无线传输加密的形式称为有线等效保密协议,主要用来预防非认证用户入侵和窃听工作无线网络。主要原理是通过对无线电波里的数据加密来提升安全性能。该项技术源于RC4的RSA加密技术,可满足高层次网络安全实际业务需求。
(2)TKIP:是源于IEEE802.11i规范里负责无线安全的加密协议。等于是在WEP外围再增加一层保护壳,在利用WEP算法优势的同时,消除WEP缺点。
(3)AES:密码学中的相较高级的加密标准,用于替代DES加密标准,以对称分组体系,密钥的长度有128、192、256位三种,每组长度可至128位,是可实现各种软件和硬件的算法。
上述所提到的加密形式进行比较,在WEP技术应用中,其密钥还是具有一定的预测规则逻辑,对于黑客来说入侵难度很低,非常容易破解。TKIP基于RC4加密,可以完全解决WEP目前的劣势,可变化每个数据包的密钥,通过多种形式混合一起生成,包括TKIP中成对瞬时密钥、MAC地址、数据包里的序列号,灵活操控使无线发射站和接入端的验证要求减少到最低的程度,但是仍具备很安全的密码强度,不易破解。AES密钥按照效率高,设计逻辑简易,所需内存空间少,能并行支持处置抵御所有已知攻击等优点,是一种动态密钥管理机制,定期更新,采用大量矩阵运算的特点,改进了传统的基于查表运算提高加解密速度的方法,提升AES算法加解密效率,节约存储开销并使空间优化、速度提高。TKIP虽然是针对WEP进行了改进,但是不如AES更具有安全性,而且使用TKIP路由器的吞吐量又相较下降到3-5成,极大的影响路由器的使用性能,AES是相较于TKIP更高级的加密方式,所以轨道交通更适合使用AES,因为在像轨道交通这样的移动业务环境中的无线传输信息非常容易受到攻击,传输的数据包很有可能出现丢失和出错的情况。采用该对称加密技术,为无线网络带来更强大的安全防护。
结束语
面对复杂的网络安全威胁,地方轨道交通仅仅依靠自己的力量远远不够,因此要借助政府和企业的通力合作,密切配合,通过建立健全灵活、反应灵敏的信息共享与联动应急处理机制,通过打造多联动防御体系进一步提升城市轨道交通数据传输安全风险把控能力和安全事件处置水平。
参考文献
[1]谢桥.城市轨道交通信号系统信息安全等级保护策略研究与实现[J].网络安全技术与应用,2020(06):127-128.
[2]石军.城市轨道交通信号系统网络传输安全加密机制讨论[J].科技信息,2013(06):296.
[3]杨洁.智慧城市轨道交通安全网格化管理探讨[J].现代营销(下旬刊),2020(05):139-140.
[4]龚君杰.计算机技术在城市轨道交通运营上的应用[J].电子世界,2020(06):197.