王崧

摘要：為了滿足我國(guó)高速鐵路工程的工作需要，進(jìn)行信號(hào)系統(tǒng)體系的健全是必要的，為了達(dá)到這個(gè)目的，需要從鐵路信號(hào)整體架構(gòu)體系出發(fā)，做好信號(hào)系統(tǒng)的整體網(wǎng)絡(luò)安全分析工作。本文從高速鐵路信號(hào)體系中的整個(gè)架構(gòu)進(jìn)行出發(fā)，對(duì)于信號(hào)體系的網(wǎng)絡(luò)安全性分析和評(píng)估，并提出了基于軟件定義網(wǎng)絡(luò)（SDN） 的高速鐵路信號(hào)系統(tǒng)網(wǎng)絡(luò)統(tǒng)一安全管控方案。

關(guān)鍵詞：高速鐵路信號(hào);網(wǎng)絡(luò)安全;管控

SDN高速鐵路信號(hào)體系是一種新型的軟件定義網(wǎng)絡(luò)模式，這種模式與高速鐵路信號(hào)系統(tǒng)網(wǎng)絡(luò)的安全性密切相關(guān)，為了提升高速鐵路工程的工作效益，需要做好信號(hào)安全數(shù)據(jù)、分散自律調(diào)度集中網(wǎng)絡(luò)等的管控及隔離工作的要求，從而實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)流量的統(tǒng)一性管理，這都離不開(kāi)統(tǒng)一性控制器的應(yīng)用，做好整體設(shè)備的注冊(cè)管理工作，確保安全通信訪問(wèn)控制工作的有效開(kāi)展，從而實(shí)現(xiàn)該工程信號(hào)系統(tǒng)安全性的提升，降低網(wǎng)絡(luò)安全管理復(fù)雜性。

一、高速鐵路信號(hào)系統(tǒng)網(wǎng)絡(luò)架構(gòu)

對(duì)于現(xiàn)代化的鐵路信號(hào)體系，不僅僅是將各種類型的信號(hào)設(shè)備進(jìn)行組合起來(lái)，而是要實(shí)現(xiàn)功能比較完善化、層次鮮明的體系。在體系的內(nèi)部，各個(gè)功能相互之間進(jìn)行獨(dú)立工作，與此同時(shí)，相互之間又是聯(lián)系的，可以實(shí)現(xiàn)信息之間的互換。使得復(fù)雜的網(wǎng)絡(luò)結(jié)構(gòu)形成。作為指揮人員，可以全方位的實(shí)現(xiàn)轄區(qū)內(nèi)的各種情況，從而能靈活的配置各大系統(tǒng)的資源，確保鐵路體系實(shí)現(xiàn)安全的運(yùn)營(yíng)。高速鐵路的信號(hào)體系，主要有列控體系、行車指揮體系以及連鎖體系和信號(hào)集中監(jiān)測(cè)體系構(gòu)成。其中列控體系是由列控控制中心、車載設(shè)備、應(yīng)答器以及無(wú)線閉塞中心等構(gòu)成;行車指揮體系包括了CTC 中心、自律分機(jī)、各大傳輸網(wǎng)絡(luò)、各個(gè)接口服務(wù)器體系等構(gòu)成;連鎖體系主要是由連鎖設(shè)備以及軌道電路系統(tǒng)，還有道岔轉(zhuǎn)化系統(tǒng)、信號(hào)機(jī)系統(tǒng)以及電源所構(gòu)成。對(duì)于信號(hào)的集中監(jiān)測(cè)，主要是通過(guò)標(biāo)準(zhǔn)接口和聯(lián)鎖體系進(jìn)行聯(lián)系的，列車的控制中心、TDCS/CTC 等，通過(guò)CTC 分散自律調(diào)度，可以使得通信網(wǎng)絡(luò)集中到一起，信號(hào)系統(tǒng)更加安全得進(jìn)行數(shù)據(jù)通信。

二、信號(hào)系統(tǒng)網(wǎng)絡(luò)接口方案的優(yōu)化

1、為了提升高鐵工程信號(hào)系統(tǒng)的安全性，必須實(shí)現(xiàn)列車與RBC無(wú)線承載控制系統(tǒng)的連接，確保其良好的連接性，這需要做好RBC系統(tǒng)與列車的連接確認(rèn)工作，保證列控中心指令的正確傳達(dá)，通過(guò)對(duì)以太網(wǎng)的應(yīng)用，實(shí)現(xiàn)聯(lián)鎖模塊及列控模塊的有效協(xié)調(diào)，這兩個(gè)模塊之間不需要進(jìn)行防火墻的隔離設(shè)置，因?yàn)橐坏└綦x，就可能影響到數(shù)據(jù)傳輸?shù)膶?shí)時(shí)性及安全性，這不利于鐵路數(shù)據(jù)信息數(shù)據(jù)的傳輸要求。在高鐵工程信號(hào)系統(tǒng)的應(yīng)用過(guò)程中，局域網(wǎng)通信協(xié)議是常見(jiàn)的網(wǎng)絡(luò)配置模式，信號(hào)網(wǎng)絡(luò)系統(tǒng)系統(tǒng)與上位機(jī)，信號(hào)網(wǎng)絡(luò)系統(tǒng)分機(jī)與上位機(jī)的接口，都是聯(lián)鎖系統(tǒng)的常見(jiàn)內(nèi)部配置模式，這些接口之間并非進(jìn)行安全通信協(xié)議的應(yīng)用，但應(yīng)用了防火墻防護(hù)方案?？陀^上來(lái)說(shuō)，信號(hào)網(wǎng)絡(luò)系統(tǒng)系統(tǒng)具備非安全性，為了確保系統(tǒng)邊界防護(hù)效益的提升，必須進(jìn)行安全通信協(xié)議的應(yīng)用，確保上位機(jī)及信號(hào)網(wǎng)絡(luò)系統(tǒng)分機(jī)接口的安全通信協(xié)議的應(yīng)用，通過(guò)對(duì)這兩者安全通信協(xié)議的應(yīng)用可以避免這兩種網(wǎng)絡(luò)體系的相互滲透問(wèn)題，避免以太網(wǎng)控制網(wǎng)系統(tǒng)內(nèi)部要素的相互滲透狀況。

2、信號(hào)網(wǎng)絡(luò)系統(tǒng)及上位機(jī)并不能進(jìn)行控制指令的傳遞，一旦采用安全協(xié)議，必然會(huì)導(dǎo)致信號(hào)網(wǎng)絡(luò)系統(tǒng)分機(jī)與上位機(jī)數(shù)據(jù)傳遞效率的降低，但是這并不影響控制系統(tǒng)的核心功能，通信系統(tǒng)部分軟件性能的提升，并不會(huì)增加該系統(tǒng)的維護(hù)成本。高鐵列車的安全運(yùn)行離不開(kāi)列車控制模塊的開(kāi)展，列控中心系統(tǒng)、計(jì)算機(jī)聯(lián)鎖系統(tǒng)、臨時(shí)限速服務(wù)器系統(tǒng)等都將直接影響到高鐵列車的安全運(yùn)行，信號(hào)安全數(shù)據(jù)網(wǎng)需要為最高等級(jí)的網(wǎng)絡(luò)子系統(tǒng)，信號(hào)網(wǎng)絡(luò)系統(tǒng)系統(tǒng)網(wǎng)絡(luò)負(fù)責(zé)現(xiàn)場(chǎng)設(shè)備及其相關(guān)網(wǎng)絡(luò)子系統(tǒng)的控制工作，集中監(jiān)測(cè)系統(tǒng)主要負(fù)責(zé)故障信息的報(bào)警，現(xiàn)場(chǎng)設(shè)備狀態(tài)的監(jiān)測(cè)等工作，并不負(fù)責(zé)列車及設(shè)備的控制工作，其整體安全性等級(jí)較低。列車的控制系統(tǒng)與集中監(jiān)測(cè)網(wǎng)絡(luò)并無(wú)太大的關(guān)聯(lián)。

三、網(wǎng)絡(luò)統(tǒng)一安全管控方案

SDN 是當(dāng)前比較新穎的一種網(wǎng)絡(luò)架構(gòu)方式，它是將傳統(tǒng)意義上的網(wǎng)絡(luò)路由器和交換機(jī)之間的數(shù)據(jù)平面進(jìn)行控制的方式，由一個(gè)統(tǒng)一的控制器進(jìn)行控制，實(shí)施統(tǒng)一的管理。當(dāng)網(wǎng)絡(luò)的控制平面和數(shù)據(jù)平面出現(xiàn)分離的情況后，我們可以將網(wǎng)絡(luò)的控制平面作為一個(gè)平臺(tái)，再通過(guò)不同的控制程序來(lái)對(duì)于各級(jí)的網(wǎng)絡(luò)平臺(tái)進(jìn)行管理，對(duì)于我國(guó)的高速鐵路信號(hào)管理體系，主要是通過(guò)三張子網(wǎng)組成的，即CTC 系統(tǒng)網(wǎng)絡(luò)、信號(hào)安全數(shù)據(jù)網(wǎng)和集中監(jiān)測(cè)網(wǎng)絡(luò)，通過(guò)各自獨(dú)立的網(wǎng)絡(luò)系統(tǒng)，采用物理方法進(jìn)行隔離，實(shí)現(xiàn)整體系統(tǒng)的安全性。將 CTC 系統(tǒng)網(wǎng)絡(luò)以及信號(hào)安全數(shù)據(jù)方面的問(wèn)題作為一個(gè)獨(dú)立的子網(wǎng)進(jìn)行設(shè)置，和SDN 融合到一個(gè)網(wǎng)絡(luò)平臺(tái)中，由統(tǒng)一的軟件進(jìn)行控制，基于虛擬化的技術(shù)，軟件定義信號(hào)體系中的各個(gè)功能子網(wǎng)變得統(tǒng)一起來(lái)，有效地實(shí)現(xiàn)信號(hào)系統(tǒng)的網(wǎng)絡(luò)安全管控。

1、資產(chǎn)注冊(cè)和服務(wù)管理。按照每一個(gè)設(shè)備進(jìn)行開(kāi)啟的網(wǎng)絡(luò)服務(wù)而言，弄清楚每一個(gè)設(shè)備對(duì)應(yīng)的網(wǎng)絡(luò)服務(wù)，在鐵路設(shè)備資產(chǎn)管理服務(wù)器上進(jìn)行注冊(cè)和認(rèn)證，對(duì)于沒(méi)有認(rèn)證的服務(wù)或者訪問(wèn)關(guān)系來(lái)說(shuō)，要通過(guò)網(wǎng)絡(luò)控制器來(lái)運(yùn)用相關(guān)的網(wǎng)絡(luò)設(shè)備，這樣可以極大地增強(qiáng)對(duì)于網(wǎng)絡(luò)服務(wù)和終端設(shè)備的監(jiān)管程度。

2、安全通信管理和訪問(wèn)控制。按照現(xiàn)在已經(jīng)注冊(cè)好的合理網(wǎng)絡(luò)服務(wù)，對(duì)于各個(gè)服務(wù)進(jìn)行一定的訪問(wèn)，制定出相關(guān)的通信管理矩陣，網(wǎng)絡(luò)控制器完全能夠通過(guò)業(yè)務(wù)通信管理矩陣實(shí)施某個(gè)設(shè)備，對(duì)于網(wǎng)絡(luò)服務(wù)資源進(jìn)行有效地訪問(wèn)，進(jìn)而實(shí)現(xiàn)全局的一個(gè)控制。

3、網(wǎng)絡(luò)數(shù)據(jù)追蹤溯源和網(wǎng)絡(luò)診斷。對(duì)于網(wǎng)絡(luò)控制器，完全能夠?qū)τ诿恳粋€(gè)數(shù)據(jù)包進(jìn)行標(biāo)記和記錄，從而實(shí)現(xiàn)數(shù)據(jù)之間的來(lái)源信息，綁定一些數(shù)據(jù)包，適時(shí)的獲取到相關(guān)的信息資源。一旦發(fā)現(xiàn)網(wǎng)絡(luò)安全出現(xiàn)問(wèn)題的時(shí)候，要及時(shí)地對(duì)于相關(guān)的位置進(jìn)行追蹤溯源，此外，一旦發(fā)現(xiàn)業(yè)務(wù)或者是數(shù)據(jù)有問(wèn)題的時(shí)候，也要按照所綁定的信息對(duì)于異常設(shè)備進(jìn)行定位。

通過(guò)對(duì)高速鐵路信號(hào)體系的安全接口問(wèn)題分析，對(duì)我國(guó)的鐵路信號(hào)系統(tǒng)中的網(wǎng)絡(luò)化發(fā)展奠定基礎(chǔ)。并提出了一種基于 SDN 的下一代鐵路信號(hào)系統(tǒng)網(wǎng)絡(luò)架構(gòu)。在這個(gè)架構(gòu)體系上，對(duì)于信號(hào)系統(tǒng)有一個(gè)更加詳細(xì)的了解，逐步增強(qiáng)了我國(guó)的高速鐵路信息體系的安全系數(shù)，有效地推動(dòng)我國(guó)的高速鐵路信號(hào)的發(fā)展。

參考文獻(xiàn)

[1]禹志陽(yáng).高速鐵路信號(hào)系統(tǒng)集成、測(cè)試技術(shù)及“走出去”策略[J].鐵路通信信號(hào)工程技術(shù)，2017（1）：12-14.

[2]李紹斌，李文濤.一種新型的鐵路智能信號(hào)控制系統(tǒng)設(shè)計(jì)與實(shí)現(xiàn)[J].現(xiàn)代電子技術(shù)，2016（14）：20-22.

[3]薛雨霏.高速鐵路通信系統(tǒng)技術(shù)淺談[J].中小企業(yè)管理與科技（中旬刊），2017（3）：17-19.