尹 濤 李巍巍

(國電南瑞科技股份有限公司,210003,南京∥第一作者,工程師)

?

網(wǎng)絡(luò)報(bào)文過濾裝置在城市軌道交通路網(wǎng)指揮中心系統(tǒng)中的應(yīng)用

尹 濤 李巍巍

(國電南瑞科技股份有限公司,210003,南京∥第一作者,工程師)

為了保障城市軌道交通路網(wǎng)指揮中心系統(tǒng)安全運(yùn)行,在城市軌道交通路網(wǎng)指揮中心系統(tǒng)與綜合監(jiān)控系統(tǒng)之間安裝網(wǎng)絡(luò)報(bào)文過濾裝置。應(yīng)用linux平臺下的libpcap庫,結(jié)合配置文件,使得符合過濾條件的報(bào)文通過,不符合過濾條件的報(bào)文丟棄。測試結(jié)果顯示,使用該裝置之后,系統(tǒng)很難受到攻擊。最后形成了一套城市軌道交通路網(wǎng)指揮中心系統(tǒng)與綜合監(jiān)控系統(tǒng)網(wǎng)絡(luò)報(bào)文過濾與通信的解決方案,可為今后其他綜合系統(tǒng)與子系統(tǒng)網(wǎng)絡(luò)通信提供技術(shù)創(chuàng)新參考。

城市軌道交通; 路網(wǎng)指揮中心系統(tǒng); 綜合監(jiān)控系統(tǒng); 網(wǎng)絡(luò)報(bào)文過濾裝置

Author′s address NARI Technology Co.,Ltd.,210003,Nanjing,China

城市軌道交通是按線路為最小單位來監(jiān)控運(yùn)行,而綜合監(jiān)控系統(tǒng)(ISCS)是城市軌道交通自動化調(diào)度管理的重要工具,在城市軌道交通中發(fā)揮著重要作用。軌道交通ISCS是一個(gè)涵蓋多功能、多專業(yè)子系統(tǒng)的集成互聯(lián)控制系統(tǒng),它提供了一種信息共享平臺,方便地鐵運(yùn)營人員對地鐵的實(shí)時(shí)監(jiān)視與控制。隨著地鐵線路的增加,城市軌道交通路網(wǎng)指揮中心系統(tǒng)(TCC)應(yīng)運(yùn)而生。城市軌道交通TCC系統(tǒng)作為整個(gè)地鐵線路調(diào)控的平臺,通過專用內(nèi)網(wǎng)接入各條線路ISCS,負(fù)責(zé)城市各條地鐵線路監(jiān)視與控制,對于城市交通安全運(yùn)行有著重要的作用[1-3]。

由于每條地鐵線路的ISCS通過內(nèi)部專用網(wǎng)絡(luò)連接到TCC中,所以TCC不可能受到外部的網(wǎng)絡(luò)攻擊。但是，地鐵線路綜合監(jiān)控軟件由不同的廠家提供,這增加了內(nèi)網(wǎng)網(wǎng)絡(luò)風(fēng)暴產(chǎn)生的可能性,一旦發(fā)生網(wǎng)絡(luò)風(fēng)暴,將增加TCC服務(wù)器負(fù)荷,有可能使得整個(gè)TCC系統(tǒng)癱瘓。每條地鐵線路ISCS與TCC之間通信協(xié)議不盡相同，為了將各條地鐵線路ISCS接入TCC中,減少TCC負(fù)荷,并防止網(wǎng)絡(luò)攻擊,增加TCC安全性,必須引入網(wǎng)絡(luò)報(bào)文過濾裝置。又由于網(wǎng)絡(luò)報(bào)文過濾裝置只負(fù)責(zé)消息的過濾,并不儲存信息,所以雖然TCC服務(wù)器是兩臺冗余,但是網(wǎng)絡(luò)報(bào)文過濾裝置并不需要交叉冗余備份,只需普通直接連接，如圖1所示。

1 TCC與ISCS

1.1 TCC與ISCS功能

TCC位于線路控制中心,主要負(fù)責(zé)采集ISCS的轉(zhuǎn)發(fā)信號,主要功能是統(tǒng)計(jì)分析與決策,在權(quán)限允許的范圍內(nèi),下發(fā)行車安排、行車調(diào)度、電力調(diào)度等控制命令,控制各條線路安全運(yùn)行。

ISCS以冗余實(shí)時(shí)服務(wù)器和歷史服務(wù)器為基礎(chǔ),通過通信骨干網(wǎng)將所有的車站級監(jiān)控系統(tǒng)連接起來。車站級監(jiān)控系統(tǒng)位于車站和車輛段,通過專用的接口設(shè)備(FEP)和其他子系統(tǒng)接口,采集各子系統(tǒng)數(shù)據(jù)，并下發(fā)控制指令[4-5]。

圖1 網(wǎng)絡(luò)報(bào)文過濾裝置架構(gòu)圖

1.2 TCC通信方案

TCC負(fù)責(zé)整個(gè)城市軌道交通系統(tǒng)的指揮決策與控制，而ISCS則負(fù)責(zé)某一條軌道交通線路各個(gè)子系統(tǒng)的監(jiān)視與控制。TCC是以ISCS為基礎(chǔ),以一條地鐵線路為基本調(diào)控單位,調(diào)控的基礎(chǔ)是ISCS轉(zhuǎn)發(fā)來的各個(gè)專業(yè)的信號,通過TCC推理分析和決策等步驟,然后下發(fā)控制命令。在一般情況下,ISCS直接將信號通過網(wǎng)絡(luò)轉(zhuǎn)發(fā)給TCC,這樣就增加了TCC受到網(wǎng)絡(luò)攻擊的風(fēng)險(xiǎn),對TCC安全運(yùn)行構(gòu)成嚴(yán)重影響。在TCC與ISCS之間增加網(wǎng)絡(luò)報(bào)文過濾裝置,能夠起到屏蔽作用,使其免受網(wǎng)絡(luò)攻擊的危害。

2 網(wǎng)絡(luò)報(bào)文過濾裝置

網(wǎng)絡(luò)報(bào)文過濾裝置在ISCS與TCC之間起到一個(gè)橋梁的作用。利用網(wǎng)絡(luò)報(bào)文過濾裝置可以有效、方便地連接TCC,可以起到網(wǎng)絡(luò)隔離作用,使得TCC服務(wù)器免受攻擊。

2.1 設(shè)計(jì)方案

網(wǎng)絡(luò)報(bào)文過濾裝置主要分為以下幾個(gè)方面:程序初始化,讀取配置文件,通過libpcap庫抓取流經(jīng)網(wǎng)絡(luò)報(bào)文過濾裝置的報(bào)文,判斷報(bào)文的源IP地址和目的IP地址。符合配置文件要求的進(jìn)行下一步處理,不符合過濾條件的直接丟棄[6-7]。詳細(xì)流程見圖2。

2.2 初始化

首先利用libpcap庫,讀取網(wǎng)絡(luò)報(bào)文過濾裝置的網(wǎng)卡數(shù),針對每個(gè)網(wǎng)卡分別創(chuàng)建兩個(gè)線程,一個(gè)是網(wǎng)絡(luò)報(bào)文接受線程,另一個(gè)是網(wǎng)絡(luò)報(bào)文發(fā)送線程。接受線程與發(fā)送線程之間通過循環(huán)隊(duì)列傳遞報(bào)文信息。初始化主要包括獲取網(wǎng)卡名、網(wǎng)卡編號、數(shù)據(jù)報(bào)文更新時(shí)間以及過濾條件等。

圖2 網(wǎng)絡(luò)報(bào)文過濾裝置工作流程圖

2.3 配置文件結(jié)構(gòu)及處理

在初始化之后,讀取配置文件。配置文件主要包含一些過濾規(guī)則,接收報(bào)文主要依據(jù)這些過濾規(guī)則處理收到的報(bào)文(丟棄或重新組包)。配置文件的結(jié)構(gòu)如下所示:

其中:rules的節(jié)點(diǎn)屬性num表示規(guī)則個(gè)數(shù);rule0表示對應(yīng)的規(guī)則節(jié)點(diǎn)描述;sourceip表示接收報(bào)文的源IP地址;destip表示接收報(bào)文的目的IP地址;direction為過濾方向選擇,當(dāng)direction為1時(shí)表示sourceip和destip之間能相互通信,當(dāng)direction為0時(shí),報(bào)文只能從sourceip地址到destip地址,不能從destip發(fā)送報(bào)文到sourceip,只能允許單向傳送報(bào)文。

2.4 基于libpcap的網(wǎng)絡(luò)數(shù)據(jù)抓取

由于需要獲取報(bào)文的MAC地址以及IP地址等底層信息,同時(shí)為了提高報(bào)文抓取效率,網(wǎng)絡(luò)報(bào)文過濾裝置采用libpcap庫抓取對應(yīng)網(wǎng)卡的報(bào)文。在libpcap庫中,利用基于非回調(diào)函數(shù)的捕獲數(shù)據(jù)包函數(shù)pcap_next_ex 來捕獲報(bào)文。將抓取的報(bào)文交由其他程序處理,符合條件的對其重新組織報(bào)文,不符合條件的丟棄。

2.5 重新組織報(bào)文

在捕獲到報(bào)文之后,判斷報(bào)文是否符合過濾條件。如果符合過濾條件,則重新組織報(bào)文,之后放入與destip在同一網(wǎng)段的網(wǎng)絡(luò)報(bào)文過濾裝置的對應(yīng)網(wǎng)卡循環(huán)隊(duì)列里。在放入對應(yīng)網(wǎng)卡循環(huán)隊(duì)列之前,需要從新組織報(bào)文。報(bào)文組織流程如圖3所示。

在判斷捕獲到的報(bào)文符合過濾條件后,首先根據(jù)目的IP地址,在網(wǎng)絡(luò)報(bào)文過濾裝置可移植運(yùn)行庫(ARP)緩存中,利用ioctl(sockfd,SIOCGARP,&arpreq) 獲取緩存中IP地址對應(yīng)的MAC地址。如果緩存中沒有IP地址對應(yīng)的MAC地址,則通過發(fā)送ARP報(bào)文來獲取對方的MAC地址。

在成功獲取對方的MAC地址之后,重新組織報(bào)文頭部,然后將重新組織的報(bào)文放入網(wǎng)絡(luò)報(bào)文過濾裝置對應(yīng)網(wǎng)卡的循環(huán)隊(duì)列中。

3 測試結(jié)果

經(jīng)過上述配置,在模擬環(huán)境中,利用本文的多線程設(shè)計(jì)方法,在百兆網(wǎng)絡(luò)環(huán)境中,過濾速度能夠達(dá)到10 MB/s,ISCS數(shù)據(jù)量大、實(shí)時(shí)性要求高等特性也能輕松滿足。

4 結(jié)語

網(wǎng)絡(luò)報(bào)文過濾裝置在TCC中主要起到網(wǎng)絡(luò)隔離作用,通過一定的過濾規(guī)則,可以過濾掉不符合條件的報(bào)文,對符合條件的報(bào)文重新組織傳入TCC服

圖3 捕獲報(bào)文處理流程圖

務(wù)器中,這樣大大的提高了TCC服務(wù)器的安全性和可靠性,降低TCC服務(wù)器負(fù)荷,保證TCC免受攻擊,使其能夠安全穩(wěn)定地運(yùn)行。

[1] 劉曉娟,城市軌道交通智能控制系統(tǒng)[M].北京:中國鐵道出版社,2003.

[2] 劉孟覺,李冰,胡波.一種新型綜合監(jiān)控聯(lián)動功能模型的設(shè)計(jì)與實(shí)現(xiàn)[J].自動化與儀表,2012,27(11):31.

[3] 李冰.地鐵綜合監(jiān)控系統(tǒng)中的數(shù)據(jù)轉(zhuǎn)發(fā)研究[J].自動化與儀表,2011,26(06):8.

[4] 魏曉東.地鐵綜合監(jiān)控系統(tǒng)建設(shè)的關(guān)鍵問題分析[M].北京:電子工業(yè)出版社,2004.

[5] 吉春山，周韜,張?zhí)旒t,等.淺談網(wǎng)關(guān)機(jī)技術(shù)在實(shí)時(shí)數(shù)據(jù)采集系統(tǒng)中的應(yīng)用[J].自動化技術(shù)與應(yīng)用,2013,32(3):81.

[6] 岳紅梅,石冬發(fā),徐詠梅,等.基于嵌入式LINUX的網(wǎng)絡(luò)隔離系統(tǒng)研究與實(shí)現(xiàn)[J].計(jì)算機(jī)工程與應(yīng)用,2005,41(5):141.

[7] 鄧智群,劉福,慕德俊,等.網(wǎng)絡(luò)隔離體系結(jié)構(gòu)研究[J].計(jì)算機(jī)應(yīng)用研究,2005,22(5):219.

Application of Network Packet Filtering Device in Urban Rail Transit TCC

YIN Tao, LI Weiwei

In order to protect the safe operation of TCC, a network packet filtering device is installed between TCC and ISCS.Through a certain algorithm and combined with the configuration file,message that meet the filter criteria could pass through, while messages don't match the filter will be discarded.Experimental result shows that,after the installation of network isolation device,the system is very hard to attack. Thus, a solution of network packet filtering and communication to TCC and ISCS is finally formed, which provides technical reference and innovation for the future comprehensive system and subsystems of network communication.

urban rail transit; traffic control centre (TCC); integrated supervisory control system (ISCS); network packet filtering device

U 293.6

10.16037/j.1007-869x.2016.08.026

2014-10-14)