高銳，魏光輝，趙弘洋

（工業(yè)和信息化部電子第五研究所，廣東 廣州 510006）

0 引言

城市軌道交通在民眾的工作生活中扮演著重要的角色，為了緩解城市交通壓力發(fā)揮了重要的作用，軌道交通的發(fā)展情況在一定程度上反映了一個城市的現(xiàn)代化發(fā)展水平。近年來我國城市軌道交通的客流呈逐年增長的趨勢，在部分城市，客流的增速已經(jīng)大大超過了線路運能的增速，城市軌道交通的運營壓力日益地增加。為了緩解運營壓力，軌道交通線路的聯(lián)網(wǎng)程度不斷地提升，列車運行間隔不斷地縮短，列車的行駛速度也在不斷地提高，這對列車、信號系統(tǒng)和通信系統(tǒng)等軌道交通設備都提出了更高的要求[1]。

信號系統(tǒng)的安全、可靠地運行是在聯(lián)網(wǎng)化、小間隔、高速度的應用環(huán)境下保障列車安全行駛的關鍵?；谕ㄐ诺牧熊囘\行控制 （CBTC：Communication Based Train Control）系統(tǒng)由于其傳輸信息量大、傳輸速度快、易以實現(xiàn)和投資少等優(yōu)點被廣泛地應用于國內(nèi)地鐵的建設中。車地無線通信子系統(tǒng)是地鐵CBTC系統(tǒng)中一個相對獨立的子系統(tǒng)，用于車載設備和地面設備之間傳輸列車控制命令等重要的數(shù)據(jù)。隨著信號系統(tǒng)技術(shù)的不斷發(fā)展，WLAN技術(shù)逐漸地替代了早期采用的TETRA、GSM-R等專用通信系統(tǒng)，成為了DCS的主要通信組網(wǎng)方式，并成為應用和發(fā)展的熱點[2]。深圳地鐵2、3、5號線，廣州地鐵3、4、5號線，APM線和廣佛線等多條線路的CBTC信號系統(tǒng)在車地通信過程中均采用了開放的2.4 GHz頻段，利用IEEE 802.11協(xié)議進行數(shù)據(jù)通信。它通過軌旁無線接入點AP和車載天線將車載與地面信號互連起來，使車與地的信號系統(tǒng)形成了一個有機結(jié)合體[3-6]。

開放標準的無線通信方式雖然與專用無線通信方式相比，可以大幅度地降低系統(tǒng)建造成本，提供更加便捷的維護性和互操作性，然而，隨之帶來的安全問題也越來越突出[7-10]。國內(nèi)外地鐵運營中曾發(fā)生過多起安全事故，如乘客所持便攜式WiFi設備發(fā)出的WiFi信號多次逼停深圳地鐵2號線列車；上海地鐵10號線由于信號系統(tǒng)問題導致列車相撞；北京地鐵5號線車站遭疑似黑客入侵而導致乘客信息顯示系統(tǒng) （PIS：Passenger Information System）屏出現(xiàn)藍屏白字的異常顯示；美國舊金山地鐵系統(tǒng)曾受到過黑客攻擊。由此可見，CBTC中車地無線通信的安全性關系著地鐵能否安全、可靠地運行，一旦遭到惡意干擾和黑客入侵，則后果將不堪設想。

本文主要從CBTC車地無線接口入手，研究基于IEEE 802.11協(xié)議的城市軌道交通車地無線通信系統(tǒng)面臨的信息安全風險，分析現(xiàn)有的安全措施存在的問題，并對CBTC車地無線通信子系統(tǒng)的安全研究重點進行展望，為軌道交通的安全運營提供有益的支持。

1 CBTC系統(tǒng)組成及特點

CBTC系統(tǒng)是一種完整的列車自動控制 （ATC：Automatic Train Control）系統(tǒng)，主要包括列車自動監(jiān)控 （ATS：Automatic Train Supervision）、 列車自動防護 （ATP：Automatic Train Protection）、 計算機聯(lián)鎖 （CBI： Computer Based Interlocking）、 列車自動運行 （ATO：AutomaticTrainOperation）和數(shù)據(jù)通信系統(tǒng) （DCS：Data Communication System）等子系統(tǒng)，各部分的主要功能特點如下所述：

a）ATS

主要實現(xiàn)列車運行實時監(jiān)控、事件和報警顯示、自動進路 （包括終點的折返）、運行的調(diào)整、模擬和回放，以及數(shù)據(jù)的統(tǒng)計和報告等功能。

b）ATP

主要實現(xiàn)列車間安全間距的監(jiān)控、列車的超速防護、安全開關門的監(jiān)控和進路的安全監(jiān)控等功能，以確保列車和乘客的安全。

c）CBI

按一定的程序和條件控制道岔、信號，建立列車或調(diào)車進路，與列車運行和行車指揮等系統(tǒng)結(jié)合而實現(xiàn)進路的人工或自動控制，顯示區(qū)段占用和進路狀態(tài)、信號開放和道岔狀態(tài)、遙控和站控等各種狀態(tài)和聲光報警。

d）ATO

主要用于實現(xiàn)地對車控制，即用地面信息實現(xiàn)對列車驅(qū)動、惰行和制動的控制，傳送車門和屏蔽門同步開關信號，執(zhí)行車站之間列車的自動運行、列車在車站的定點停車、在終點的自動折返等功能。

e）DCS

實現(xiàn)CBTC系統(tǒng)地面設備之間，以及車地設備之間的雙向信息交互，由有線骨干網(wǎng)、有線接入網(wǎng)、車地無線通信網(wǎng)3個網(wǎng)絡，以及網(wǎng)絡管理、維護設備組成，如圖1所示。其中有線骨干網(wǎng)絡用于連接參與通信的地面設備，包括軌旁控制器、中央控制器和中央數(shù)據(jù)庫等。無線通信網(wǎng)實現(xiàn)地面中心設備、車站設備、軌旁設備與車載設備之間的連接和通信，所有的列車狀態(tài)信息和控制命令都要經(jīng)過這個無線網(wǎng)絡傳輸。

圖1 DCS子系統(tǒng)網(wǎng)絡架構(gòu)

2 車地無線通信系統(tǒng)的信息安全風險

有線網(wǎng)絡技術(shù)發(fā)展成熟、安全級別較高，因此，DCS面臨的安全風險主要集中在車地無線通信網(wǎng)絡上。CBTC信號系統(tǒng)中所有的列車狀態(tài)、調(diào)度、控制信息都是以無線方式在列車和軌旁網(wǎng)絡之間傳遞的，這些信息的安全傳輸直接關系著地鐵的運行安全。然而，由于無線網(wǎng)絡的開放性，地鐵無線信號極易被無關人員發(fā)現(xiàn)，并受到干擾或攻擊，如帶有WiFi功能的智能手機可以很容易地搜索到地鐵信號系統(tǒng)的無線接入點AP的服務集標識符（SSID：Service Set Identifier），這使得無線信息的傳輸成為了地鐵CBTC信號系統(tǒng)的重要安全隱患點。CBTC信號系統(tǒng)一旦被黑客惡意干擾或非法入侵并發(fā)布錯誤的車輛控制信息，輕則造成列車停運，影響運營效率；重則導致列車運行安全事故，造成嚴重的人員傷亡及經(jīng)濟損失，甚至會影響到社會的穩(wěn)定。

車地無線通信遵循IEEE 802.11協(xié)議，并采用2.4 GHz/5.8 GHz公共頻段信道進行信號傳輸，這使得車地通信過程不僅面臨著有線網(wǎng)絡會遇到的安全隱患，還面臨著更多的、針對無線網(wǎng)絡的安全隱患。目前車地無線通信系統(tǒng)所面臨的潛在安全隱患如下所述。

2.1 惡意干擾

無線設備對地鐵CBTC系統(tǒng)的干擾主要有兩種情況。

a）鄰道干擾

當便攜式WiFi、藍牙等設備和CBTC系統(tǒng)使用的IEEE 802.11協(xié)議中規(guī)定的不同信道傳輸信號時，CBTC系統(tǒng)中軌旁AP到車載天線的下行鏈路受到這些便攜設備到車載天線鏈路的干擾，從而造成車載調(diào)制解調(diào)器的接收信號的有效吞吐量降低，影響CBTC系統(tǒng)通信質(zhì)量。車載天線到軌旁AP的上行鏈路亦然。目前國際標準規(guī)定普通WLAN設備的發(fā)射功率上限為100 mW，CBTC系統(tǒng)的最大發(fā)射功率為200 mW，但某些山寨無線網(wǎng)卡的發(fā)射功率已超過300 mW。因此，若入侵者采用同頻大功率無線設備，就極易干擾地鐵CBTC無線通信系統(tǒng)，從而影響系統(tǒng)運行的穩(wěn)定性。

b）同道干擾

當車內(nèi)外來無線系統(tǒng)和地鐵CBTC系統(tǒng)使用IEEE 802.11協(xié)議規(guī)定的同一信道傳輸信號時，外來無線系統(tǒng)和CBTC系統(tǒng)中的各個節(jié)點形成對同一信道的競爭復用關系，節(jié)點將依照CSMA/CA機制去競爭信道。此時，只有外來的無線系統(tǒng)鏈路和CBTC系統(tǒng)鏈路在一個系統(tǒng)時隙內(nèi)僅有一條鏈路占用該信道的傳輸數(shù)據(jù)幀，才能保證各自數(shù)據(jù)傳輸?shù)恼_性。當外來系統(tǒng)終端節(jié)點的數(shù)量達到一定的程度時，將會導致CBTC系統(tǒng)數(shù)據(jù)包傳輸產(chǎn)生較大延時甚至被堵塞而發(fā)生傳送失敗，這就可能嚴重地影響地鐵CBTC系統(tǒng)的正常工作，導致地鐵信號系統(tǒng)安全保護功能動作，使列車緊急制動。2012年深圳地鐵就曾因乘客使用便攜式WiFi設備干擾了DCS無線通信子系統(tǒng)，導致列車啟動自動防護功能，在正常運行過程中被逼停。因此，若入侵者故意采用大量的大功率無線設備試探各信道，造成惡意的信道干擾，將對列車正常運行造成嚴重的安全威脅。

如圖 2 所示， 2.4 GHz 頻段為 2.4～2.483 GHz，共有13個信道，每個信道中心頻點間隔5 MHz，信道帶寬20 MHz，相臨近的信道之間存在頻率重疊，因而存在鄰道干擾。從圖中可以看出，WLAN在2.4 GHz頻段最多有3個互不重疊的信道[11]。

圖2 WLAN在2.4 GHz頻段的信道劃分情況

2.2 資源掃描

在WLAN中，AP默認通過廣播信標幀向周圍移動站廣播自己的SSID、所支持的無線鏈路速率和功耗等配置信息，移動站也可以主動地向AP詢問這些信息，這使得AP信息極易被掃描獲得。例如：在北京地鐵、上海地鐵等地鐵系統(tǒng)的部分站點，旅客可以用智能手機搜到DSC-RED、DSCBLUE這兩個無線信號，而這正是CBTC系統(tǒng)中DCS無線通信子系統(tǒng)中相互冗余的兩個無線網(wǎng)絡信號。事實上，廣州地鐵APM線等線路也存在類似的情況。入侵者可以利用一些無線鏈路掃描工具掃描地鐵車地無線網(wǎng)絡資源，進而實施偽裝AP攻擊、弱配置AP攻擊和Ad-Hoc移動臺攻擊等。

2.3 數(shù)據(jù)嗅探

在WLAN中，數(shù)據(jù)幀對任何在相同信道且在信號覆蓋范圍內(nèi)的無線設備，都是可見的。CBTC系統(tǒng)多數(shù)采用 WEP加密，但由于 802.11協(xié)議中WEP加密的安全級別較低，攻擊者在獲取鏈路上的報文后，可以對密文進行解密，如果CBTC系統(tǒng)未采用IPsec等其他加密措施，就很容易地被獲取明文信息，與此相關的攻擊方式包括WEP、WPA、LEAP破解和字典攻擊等。

2.4 偽裝攻擊

入侵者通過掃描、監(jiān)聽等其他手段，獲取車地無線網(wǎng)絡合法移動站 （如車載無線設備）的相關信息后，將非法移動站的標識和配置修改為與合法移動站相同的內(nèi)容，從而掩蓋其真實身份與CBTC系統(tǒng)內(nèi)的其他設備進行通信，可以達到竊取無線局域網(wǎng)信息等目的。這類偽裝形式既有可能偽裝成車載無線設備，也有可能偽裝成軌旁AP。

攻擊者偽裝車載無線設備的原理如圖3所示，步驟1～4是合法運行列車與軌旁無線接入點AP通過基于共享密鑰方式進行身份認證的流程；同時，偽裝的攻擊者通過數(shù)據(jù)嗅探獲取P1和C1，并計算得到密鑰序列RC4（IV，Key） =C1⊕P1； 步驟5～8是偽裝的攻擊者冒充合法運行列車與軌旁無線接入點AP進行身份認證的流程，攻擊者能夠得逞的關鍵點在于：利用WEP算法的漏洞，計算嗅探到的數(shù)據(jù)可得出密鑰序列。

圖3 偽裝車載無線設備原理圖

2.5 注入攻擊

入侵者可能利用未正確配置的WLAN或者偽裝AP，以實施無線網(wǎng)絡注入攻擊。這種攻擊方式通過向無線鏈路會話中注入數(shù)據(jù)，以修改會話主體的鏈路狀態(tài)。如通過向AP發(fā)送大量的偽隨機數(shù)據(jù)包來增大無線網(wǎng)絡的流量，繼而破解無線網(wǎng)絡密鑰。

2.6 DoS 拒絕服務攻擊

拒絕服務攻擊在WLAN的各個網(wǎng)絡層次上都大量存在，如在物理層，攻擊者利用無線設備發(fā)送干擾信號，非法占用大量的信道資源 （如設置大的持續(xù)時間值，使得合法移動站長時間無法獲取信道等；在數(shù)據(jù)鏈路層，由于合法移動站在數(shù)據(jù)傳輸前有認證和關聯(lián)過程，以及與之相對應的去認證和去關聯(lián)過程，攻擊者利用非法無線設備偽裝成AP，發(fā)送偽造的去認證或去關聯(lián)幀給合法移動站，使得移動站認為AP已切斷其服務，便主動斷開與AP的連接，繼而造成整個網(wǎng)絡癱瘓。

隨著信息技術(shù)的發(fā)展，除上述安全隱患外，無線局域網(wǎng)暴露出來的安全風險也越來越多，黑客的攻擊手段也越來越高明，這些問題都威脅著CBTC車地無線通信的安全性。

3 現(xiàn)有安全措施存在的問題

為了保證WLAN安全，IEEE 802.11標準制定了一系列安全措施，如身份認證、數(shù)據(jù)加密和訪問控制，以及數(shù)據(jù)完整性檢驗等。但是，由于其核心部分WEP加密機制的脆弱性，該通信系統(tǒng)在保證數(shù)據(jù)的機密性、完整性和訪問控制上都存在嚴重的漏洞。主要表現(xiàn)在以下幾個方面：

a）加密機制漏洞

WEP使用了RC4對稱密鑰加密算法，但由于其核心算法——RC4算法本身的缺陷，以及密鑰調(diào)度算法過于簡單，加密機制沒有達到預期的效果。RC4算法存在密鑰重復問題，如果攻擊者獲得由相同的密鑰流序列加密后得到的兩段密文，并將兩段密文異或，生成的就是兩段明文的異或。RC4算法的密鑰空間還存在大量的弱密鑰，對于弱密鑰而言，密鑰流的輸出存在一定的規(guī)律，并不是真正意義上的隨機輸出。

b）認證體系漏洞

802.11 協(xié)議提供兩種類型的認證：開放系統(tǒng)認證和共享密鑰認證。開放系統(tǒng)認證實質(zhì)上是空認證，采用這種認證方式的任何用戶都可以成功認證。共享密鑰認證與實現(xiàn)WEP加密一樣，其認證步驟依賴于存在著安全漏洞的RC4加密算法，攻擊者可以利用這些漏洞，繞過認證，獲得網(wǎng)絡訪問權(quán)。而且，該認證機制中并未對AP進行認證，攻擊者可以通過一定的手段偽裝成合法AP，進而實施一系列的網(wǎng)絡攻擊。

c）完整性校驗漏洞

WEP采用32位CRC來保證信息的完整性，但CRC并不是一種真正意義上的信息認證碼，不能滿足實際的安全需求，因此IEEE 802.11協(xié)議本身的安全認證服務幾乎是無效的。為了保證軌旁AP和列車單元之間傳送數(shù)據(jù)的安全性，許多CBTC信號系統(tǒng)采用了一種專有的數(shù)據(jù)隧道格式，其安全性基于IPSec標準，加密水平可調(diào)節(jié)至1024 bit加密，可有效地防止對被傳輸數(shù)據(jù)的任何未經(jīng)授權(quán)的訪問或操作。列車控制數(shù)據(jù)的最低安全性設置為帶驗證報頭的IPSec，以確保正在發(fā)送信息的完整性，并保證其來源能夠被識別。同時，采用壓縮安全有效載荷 （ESP），通過對數(shù)據(jù)加密來提供額外的保密性，包括為交通流量提供保護。廣州地鐵4、5號線就采用AES-CBC-128（128解碼）加密標準，廣佛線采用了AES-CBC-256（256解碼）加密標準。

然而，任何技術(shù)總有局限性，雖然IPSec協(xié)議是目前公認有效的一種安全方案，甚至有專家證明，基于IPsec保密系統(tǒng)比現(xiàn)在有線網(wǎng)絡中應用的系統(tǒng)更為安全，其保密性超過大多數(shù)站點設備的物理安全保障，但使用它代替WLAN原有的安全機制也存在一些客觀問題。例如：IPSec網(wǎng)絡通信加密和解密，它們增加了計算機CPU的負荷；管理IPSec策略可能會很復雜；IPSec保護措施在網(wǎng)絡層而非MAC層，因此對網(wǎng)絡設備 （如防火墻）并非完全透明；IPSec能夠保護數(shù)據(jù)包內(nèi)的數(shù)據(jù)，但并未保護WLAN本身，入侵者仍然可以連接到WLAN，并嘗試探測或攻擊與之連接的所有設備或偵聽IPSec未保護的任何通信等。

英國國家基礎設施安全協(xié)調(diào)中心 （NISCC）在一篇安全公告中警告說，黑客 “稍加努力”就可以利用IPsec框架中的主要安全漏洞獲得受IPsec保護的明文版本的通信信息。如果IPSec配置部署了tunnel模式的壓縮安全有效載荷ESP，而沒有使用認證首部AH保護報文完整性，那么黑客就可能對IPSec協(xié)議發(fā)動某些攻擊。如果使用了AH，但某些配置不當?shù)脑挘瑒tIPSec也可能遭到非法攻擊。這些漏洞的起因是上述配置的ESP沒有對ESP報文負載進行完整性檢查，攻擊者可以利用這個漏洞獲取泄漏的明文IP數(shù)據(jù)報和敏感信息，進而實施進一步的攻擊。由此可見，網(wǎng)絡層的安全保護機制IPsec也存在著安全漏洞，而且當配置不當時安全隱患更加嚴重。

4 結(jié)束語

隨著城市軌道交通運輸向聯(lián)網(wǎng)化、小間隔、高速度等方面的發(fā)展，無線CBTC已成為列車控制系統(tǒng)應用和發(fā)展的主流趨勢。CBTC車地無線通信系統(tǒng)的可靠性與安全性直接決定了列車的運行安全性，是影響CBTC能否全面實施的決定性因素。本文從基于IEEE 802.11協(xié)議的CBTC系統(tǒng)出發(fā)，探討研究了CBTC車地無線通信子系統(tǒng)面臨的潛在信息安全風險，以及黑客可能采用的攻擊形式，并分析了CBTC系統(tǒng)現(xiàn)有安全措施存在的問題。

隨著信息技術(shù)和網(wǎng)絡技術(shù)的不斷發(fā)展，有組織、有計劃地入侵等破壞活動越來越頻繁，CBTC車地無線通信子系統(tǒng)面臨著更加復雜的安全風險與更加高明的黑客攻擊手段。因此需要發(fā)現(xiàn)與挖掘更多的車地無線通信系統(tǒng)信息安全漏洞，明確黑客可能的攻擊形式，并針對這些漏洞與攻擊手段研究相對應的安全防護策略，以加強對城市軌道交通系統(tǒng)的安全保障。

[1]林海香，董昱.基于通信的列車控制在軌道交通中應用的關鍵技術(shù) [J].城市軌道交通研究，2010，13（9）：81-84.

[2]舒安潔.CBTC信息安全傳輸?shù)难芯?[D].北京：北京交通大學，2006.

[3]鄧俊.廣州地鐵CBTC信號系統(tǒng)車-地通信傳輸方式的分析比較 [J].鐵道通信信號，2011，47（11）：52-55.

[4]ALEXANDER R P， MORTLOCK E A， HAMILTON B A.Controlling and executing communications based train control（CBTC） installation&testing with a CBTC-ready vehicle[C]//Rail Conference， 2005 IEEE.2005： 193-198.

[5]ZHU L， ZHANG Y， NING B， et al.Train-ground communication in CBTC based on 802.11 b：Design and performance research[C]//Communications and Mobile Computing， 2009 IEEE.2009： 368-372.

[6]IEEE std 1474.1-2004，IEEE Standard for Communication Based Train Control（CBTC） performance and functional requirements[S].

[7]PARK J S， DICOI D.WLAN security： current and future[J].IEEE Internet Computing， 2003， 7 （5）： 60-65.

[8]BELLARDO J，SAVAGE S.802.11 Denial-of-Service Attacks： Real Vulnerabilities and Practical Solutions[C]//USENIX Security.2003：15-28.

[9]GEIER J.802.11 WEP：Concepts and vulnerability[Z].Wi-Fi Planet，2002.

[10]REDDY S V， SAI R K， RIJUTHA K， et al.Wireless hacking-a WiFi hack by cracking WEP[C]//Education Technology and Computer （ICETC）， 20102nd International Conference on.IEEE.2010：189-193.

[11]張建明.城 軌交通CBTC車-地無線通信的分析與思考[J].現(xiàn)代城市軌道交通，2014（1）：47-51.