董興芝，王富章，王忠峰

(中國鐵道科學研究院 研究生部，北京 100081)

0 引言

信息化時代，公共無線網(wǎng)絡備受人們追捧，無線WiFi網(wǎng)絡覆蓋越來越多的公共場所，真正實現(xiàn)了“走到哪兒，WiFi連到哪兒”。鐵路動車組WiFi運營服務系統(tǒng)作為“復興號”標動列車的配套設施相繼問世，自2018年7月1日鐵路調(diào)圖以來，復興號列車日開行量增至170.5對。伴隨標動列車上線數(shù)量的增加以及開行范圍擴大，其車載WiFi服務系統(tǒng)運營環(huán)境日趨復雜，旅客在享受免費休閑便利的同時，也面臨著諸多網(wǎng)絡安全風險。

在當前移動通信技術日益發(fā)展的今天，公共場所無線WiFi的安全風險已有諸多的應對策略，如文獻[1]提出基于網(wǎng)絡隔離域、訪問控制等機制對公共場所無線WiFi系統(tǒng)進行安全防護，文獻[2]提出規(guī)范無線網(wǎng)絡建設、建立WiFi管理機制以降低無線網(wǎng)絡安全風險等。盡管目前諸多無線網(wǎng)絡安全防護策略已在公共場所得到實際應用，但是，鑒于鐵路動車組WiFi運營服務應用場景的特殊性，在無線安全防護業(yè)界沒有可以借鑒的成熟經(jīng)驗或技術，迫切需要自身投入研究。針對上述問題，本文基于鐵路動車組WiFi運營服務系統(tǒng)應用場景，綜合分析系統(tǒng)面臨的安全風險，并從多維度提出了安全應對策略，建立安全防控體系，維護了系統(tǒng)平臺穩(wěn)健運行，保障了接入用戶的信息安全。

1 動車組WiFi運營服務的安全風險分析

1.1 WiFi運營服務系統(tǒng)組成架構

鐵路動車組WiFi運營服務系統(tǒng)主要由地面運維中心、互聯(lián)網(wǎng)接入通道、車載局域網(wǎng)和車載服務與管理平臺4部分組成，車載局域網(wǎng)作為鐵路動車組WiFi運營服務系統(tǒng)的重要組成部分[3-4]，為旅客提供豐富的局域網(wǎng)及互聯(lián)網(wǎng)接入服務，車載局域網(wǎng)主要是由中心服務器、單車服務器和AP組成。其組網(wǎng)方案是短編組列車配置1臺中心服務器、8臺單車服務器、16臺AP和車廂AP直連單車服務器上，中心、單車服務器之間以交換機作為節(jié)點通過千兆以太網(wǎng)，實現(xiàn)車載局域網(wǎng)的互聯(lián)互通。中心服務器通過車頂3G/4G天線與鐵路沿線運營商公網(wǎng)基站建立無線通道，為旅客提供互聯(lián)網(wǎng)接入服務。 鐵路動車組WiFi運營服務系統(tǒng)結構如圖1所示。

圖1 系統(tǒng)總體結構

1.2 WiFi運營服務系統(tǒng)風險因素分析

鐵路動車組作為一種運營量極大的公共交通方式，其客流量大、密度高，一節(jié)滿車廂為60～100人，每天進行長達近11 h長距離行駛[5]。其服務空間封閉，區(qū)域范圍固定為列車車廂內(nèi)部，旅客在接受旅途中密閉、漫長的車旅服務同時，對途中休閑娛樂、網(wǎng)上商城和互聯(lián)網(wǎng)接入等服務有著強勁需求，這給鐵路動車組WiFi運營服務系統(tǒng)帶來了巨大用戶訪問量。經(jīng)對京滬線“復興號”列車WiFi接入用戶數(shù)據(jù)采集分析，鐵路動車組WiFi運營服務系統(tǒng)每分鐘活躍用戶總數(shù)始終保持在100以上[6]。

無線網(wǎng)絡比有線網(wǎng)絡更顯開放，車載無線局域網(wǎng)以空中公共電磁波為載體，直接暴露于動車組車廂中，無明顯網(wǎng)絡安全邊界。此外，鐵路動車組WiFi運營服務系統(tǒng)采用半開放式連接方式，意味著任何WiFi信號覆蓋范圍內(nèi)，惡意攻擊者都可輕易竊取和儲存無線局域網(wǎng)中任何交通信息，通過使用惡意監(jiān)聽軟件嗅探抓包，監(jiān)聽旅客交互信息，截獲用戶瀏覽終端設備數(shù)據(jù)、網(wǎng)銀信息以及各種賬號密碼等；車載無線局域網(wǎng)易于訪問和配置簡單，這使非法分子很容易偽裝或搭建一個偽裝AP，通過改變或抑制節(jié)點之間傳輸數(shù)據(jù)，導致信息的完整性丟失。眾多風險因素及安全隱患，促使鐵路動車組的WiFi運營服務系統(tǒng)在用戶身份鑒別、系統(tǒng)訪問控制、非法入侵檢測等方面實施有效防護對策，以保障系統(tǒng)穩(wěn)定、安全、可靠運行。

2 動車組WiFi運營服務安全防護關鍵技術

鐵路動車組WiFi運營服務系統(tǒng)的安全防護總體上基于訪問代理控制、網(wǎng)絡域隔離及風控預警等機制，形成由外及內(nèi)的系統(tǒng)縱深協(xié)同保護。從系統(tǒng)應用安全設計及系統(tǒng)網(wǎng)絡安全設計角度出發(fā)，通過用戶身份鑒別、系統(tǒng)訪問控制、安全通信傳輸、安全檢測與監(jiān)控及故障告警等關鍵技術，結合必要的安全管理措施，形成鐵路站車WiFi運營服務系統(tǒng)從接入終端到車載局域網(wǎng)再到地面管理中心一條龍式的安全防護體系 。

2.1 安全認證

嚴格的認證方式和認證策略是鐵路動車組WiFi運營服務系統(tǒng)的重要保障，該系統(tǒng)統(tǒng)一客戶端與各應用系統(tǒng)之間的單點登錄流程，統(tǒng)一用戶信息、電商信息和交易信息等關鍵信息通過應用平臺的統(tǒng)一認證。

① 旅客用戶通過Portal頁輸入手機號和短信驗證碼認證接入車載局域網(wǎng)，平臺建立手機號碼和終端MAC的綁定關系，并提供定期強制重新綁定，認證信息請求采用安全套接層(SSL)證書技術與安全超文本傳輸協(xié)議(HTTPS)，對用戶及服務器進行認證[1]，對傳送數(shù)據(jù)進行加密，保證傳輸網(wǎng)絡的機密性和完整性[7]。

② 采用遠程撥號認證服務(Remote Authentication Dial In User Service，RADIUS)認證服務器，WiFi接入者的安全信息資料直接保存于RADIUS認證服務器中，維護了用戶隱私信息安全[8-9]。

③ 通用SSH雙因子認證方式遠程登錄車載WiFi平臺，提高了網(wǎng)絡系統(tǒng)的安全性和便利性[10]。雙因子認證(2FA)是基于SSH協(xié)議上組合2種不同的驗證方式進行用戶身份驗證的機制，SSH協(xié)議與遠程服務器之間的通信數(shù)據(jù)是安全加密的[11]，同時協(xié)議使用的MD5和SHA-1等算法避免數(shù)據(jù)傳輸中被篡改或源目的地址的偽造，確保了數(shù)據(jù)的完整性。SSH雙因子認證在SSH單因子認證(1FA)基礎上再添安全層，除SSH公鑰驗證外再借助其他工具提供一個基于時間的一次性的密碼(TOTP)驗證碼，其認證過程如圖2所示。

圖2 SSH雙因子認證流程

2.2 安全檢測與監(jiān)控

安全入侵檢測與監(jiān)控是網(wǎng)絡安全的關鍵技術之一，是作為實現(xiàn)網(wǎng)絡安全防護的重要手段[12]，在傳統(tǒng)有線網(wǎng)絡環(huán)境中已有較為成熟的應用，但將其應用于無線網(wǎng)絡中仍面臨著許多技術難題。鐵路動車組WiFi運營服務系統(tǒng)場景的開放性和復雜性要求系統(tǒng)具備全面安全檢測與監(jiān)控功能。本系統(tǒng)基于現(xiàn)有技術條件，深入監(jiān)控分析協(xié)議流量、入侵病毒、資源消耗、漏洞違規(guī)、主機設備狀態(tài)及應用，檢測系統(tǒng)外侵資源違規(guī)活動[13]，創(chuàng)建高效預警機制，尤其在車載AP狀態(tài)監(jiān)控與防護、偽裝AP檢測與阻斷、用戶行為審計等方面對系統(tǒng)實施了有效的防護措施，確保了系統(tǒng)運行安全穩(wěn)定。

2.2.1 車載AP狀態(tài)監(jiān)控與防護

鐵路動車組WiFi運營服務系統(tǒng)設定30 s為一上報周期，對車載AP的狀態(tài)進行監(jiān)控，設定AP在線狀態(tài)值為1，不在線狀態(tài)值0。車載AC(車載WiFi無線接入控制器)設定15 mins為一周期對AP上報狀態(tài)結果進行分析，以單車廂分組(每單車廂固定配置2個AP)，通過分析周期內(nèi)上報數(shù)據(jù)的最新值、最小值、平均值及最大值來實時監(jiān)控車載AP的運行狀態(tài)，其狀態(tài)分析展示如圖3所示，通過單車廂預設閾值N作為警報觸發(fā)器，一旦平均值小于閥值N，會直接進行報警。

圖3 AP狀態(tài)監(jiān)控圖

2.2.2 偽裝AP監(jiān)測與阻斷

車載AP作為與用戶連接握手的最直接設備，其安全性尤為重要，有效檢測非法AP入侵并積極對其阻斷是全系統(tǒng)安全防護的關鍵環(huán)節(jié)[14]。鐵路動車組WiFi運營服務系統(tǒng)通過對車載AP進行唯一性加密包裝，在車載局域網(wǎng)中組建成“親密性”網(wǎng)絡域，一方面外侵AP無法輕易進入該網(wǎng)絡域，另一面車載自身網(wǎng)絡可敏感察覺外侵AP，并可快速識別判斷其位置，進而對其阻斷，主要防護過程如下：

(1)AP加密生成唯一標識

車廂內(nèi)偽裝AP會偽裝成與車載AP同SSID、同開放形式，甚至同功率、同頻道。如何在混雜環(huán)境中有效識別合法授權AP，這需要車載AP之間通過特有握手“暗號”進行互識確認?；谲囕d環(huán)境密閉和干擾性小的條件下，通過抓獲網(wǎng)絡數(shù)據(jù)包分析SSID、MAC、Vendor等多重屬性，完全可以定義AP網(wǎng)絡的唯一性，但以目前黑客的手段，這些信息完全可被模擬，這會讓偽裝AP有機可乘。理論上最可行的方法是對車載AP設置唯一ID，此ID不可被模擬且能夠被識別。鐵路動車組WiFi運營服務系統(tǒng)根據(jù)802.11系列相關協(xié)議中Beacon數(shù)據(jù)包會攜帶AP網(wǎng)絡相關屬性進行廣播這一特點，利用協(xié)議標準未定義的224字段進行唯一性標識加密，唯一性標識加密算法是通過RC4、設備MAC地址與隨機碼組合，不定期更新。Beacon數(shù)據(jù)包攜帶的網(wǎng)絡屬性信息如圖4所示。

圖4 Beacon包

(2)偽裝AP監(jiān)測

考慮到偽裝AP所在的頻道不固定，檢測偽裝AP要在2.4 GHz和5.8 GHz頻段所有頻道上進行掃描。同一車載環(huán)境下，車載AP既要辨識同身份AP，又要檢測偽裝AP，還不能對系統(tǒng)本身性能產(chǎn)生過大影響。因此，系統(tǒng)采用AP間歇性掃描形式檢測，偶數(shù)車廂靠近車頭一側AP在2.4 GHz網(wǎng)卡中虛擬出終端接口，奇數(shù)車廂靠車尾一側AP在5.8 GHz網(wǎng)卡中虛擬出終端接口，都設置為Monitor模式，進行全列車數(shù)據(jù)包采集，調(diào)整虛擬接口到過濾模式，僅接收Beacon包。監(jiān)聽網(wǎng)卡不斷輪循所有頻道，設置每個頻道的監(jiān)聽時間為0.5 s，20 mins一個掃描周期，對接收的Beacon包進行提取分析，提取字段如下：

① Beacon包中代表AP或者路由器設備的MAC地址；

② 提取加密類型；

③ 提取信號值大??；

④ 提取SSID；

⑤ 提取224字段值，如果存在進行解密。

通過驗證數(shù)據(jù)包中攜帶的網(wǎng)絡SSID、開放形式和224字段是否定義或者224字段解密后標識不能與Beacon包中的MAC匹對一致，檢測出AP的真?zhèn)巍?/p>

(3)偽裝AP的阻斷

監(jiān)聽網(wǎng)卡一旦判斷出AP的真實身份，立刻將分析結果上報給車載AC無線控制器，車載AC根據(jù)上報的結果進行偽裝AP位置車廂判斷，進而進行阻斷，其詳細步驟如下：① 每一車廂的車載AP都具備阻斷模式，因此只需模糊判定出偽裝AP所在的車廂位置，車載AC控制器即可下發(fā)阻斷指令到對應車廂所在AP，由其負責阻斷偽裝AP。車載監(jiān)聽網(wǎng)卡布置范圍分配如圖5所示，系統(tǒng)對偽裝AP位置車廂的判斷采用基于RSSI定位算法[15]，RSSI定位算法是把偽裝AP在臨近之間的監(jiān)聽網(wǎng)卡上接收的場強建成一個場強集合，通過預先設定的閾值T及場強集合中各元素進行比對，模糊定位出偽裝AP的所在位置車廂號，其匹配過程如下：

圖5 車載AP監(jiān)聽網(wǎng)卡范圍分布

設定：

1. 2x:偶數(shù)車廂號；2x±1:奇數(shù)車廂號；x∈(1,2,3……)；

2.APA:車廂內(nèi)靠近車頭一側AP;APB:單車廂內(nèi)靠近車尾一側AP；

4.T:設置車廂內(nèi)信號強度閾值，單位為：dBm；

6.ap:車廂內(nèi)偽裝AP;D:車載AP掃描到的數(shù)據(jù)包集合；

7.Bapy：攜帶偽裝AP信息的Beacon包;y表示偽裝AP所在車廂號。

判斷2.4 GHz頻段偽裝AP位置算法如下：

提取相鄰偶數(shù)車廂(2x，2(x-1)，2(x+1))車頭監(jiān)聽AP的采集信息進行配對。

1. 輸入：

2. 輸出：y

①；

②；

輸出：y=2x偽裝AP位于2x車廂；

③；

④；

⑤；

⑥；

輸出：y=2(x+1)

偽裝AP位于2(x+1)車廂

end if

輸出：y=2x+1

偽裝AP位于2(x-1)車廂

end if

輸出：y=2(x-1)

偽裝AP位于2(x-1)車廂

end if

輸出：y=2x-1 偽裝AP位于2x-1車廂

end if

end if

5. returny定位出偽裝AP所在車廂號

偽裝AP位置車廂已確定，車載AC控制器下發(fā)阻斷指令到y(tǒng)車廂內(nèi)的車載AP。該車載AP接到阻斷指令后切換到與偽裝AP相同頻道上，首先虛擬一個用戶，去接入此偽裝AP，將返回的URL地址等記錄保存下來，并上傳車載AC控制器，對其違法行為進行記錄。

該攜帶任務的車載切換到阻斷模式，通過虛擬接口不斷廣播帶有取消身份驗證的報文，用戶終端自認為該報文來自連接中的AP，在大量阻斷包作用下，進行Deauth阻斷。

在一定的時間范圍內(nèi)沒有收到偽裝AP的Beacon數(shù)據(jù)包視為偽裝AP消失，結束阻斷模式，進入到監(jiān)聽模式，偽裝AP成功被阻斷。

2.2.3 用戶安全審計

鐵路動車組WiFi運營服務系統(tǒng)AC管理平臺可對車廂內(nèi)網(wǎng)絡數(shù)據(jù)進行實時監(jiān)控，通過對終端認證方式、用戶行為信息的跟蹤監(jiān)控，全程把控車載WiFi網(wǎng)絡的使用和接入情況，存留用戶行為日志、終端地址、位置軌跡等在線以及離線數(shù)據(jù)作為審計。除此之外，車載AC管理平臺在服務訪問點AP上啟用MAC過濾器功能，在AP列表中記錄不合常規(guī)的終端設備MAC地址，定期刷新和檢查日志記錄，以提高系統(tǒng)安全信息可追溯性，增強平臺安全應急效率。

2.3 故障告警

故障監(jiān)測與告警是鐵路動車組WiFi系統(tǒng)平臺安全穩(wěn)定運行的前提保障。鐵路動車組WiFi運營服務系統(tǒng)運用Zabbix監(jiān)控技術，對系統(tǒng)運行狀態(tài)進行全方位監(jiān)控，并運用多級預警機制，實現(xiàn)對系統(tǒng)故障的實時檢測與告警。通過對系統(tǒng)各進程、內(nèi)存占用率、CPU負載及CMS應用等重要參數(shù)指標添加觸發(fā)器，預設告警閾值，一旦Zabbix系統(tǒng)檢測出安全隱患，立即響應預警機制。Zabbix系統(tǒng)監(jiān)控界面如圖6所示，可直觀展示出最新監(jiān)測的告警信息，通過不同顏色描述故障嚴重等級。從監(jiān)控主界面可直接查看到發(fā)生告警車底號、警告內(nèi)容和歷時時間等信息。

基于Zabbix監(jiān)控平臺之上，增加系統(tǒng)告警媒介，當觸發(fā)器觸發(fā)時產(chǎn)生報警信息，由Zabbix直接推報到告警媒介，實現(xiàn)終端告警推送[16-17]。鐵路動車組Wi-Fi運營服務系統(tǒng)以釘釘作為媒介來接收告警信息，其告警日志如圖7所示。

圖6 Zabbix系統(tǒng)監(jiān)控界面

圖7 告警日志

報警日志由主要問題類型、問題描述、項目鍵值、問題級別以及發(fā)送對象組成[18]，日志中的“2:3”即為要發(fā)送的釘釘群組tokenId。接收端將報警信息格式化處理，根據(jù)tokenId從配置文件中獲取釘釘報警群組的token，調(diào)用釘釘?shù)慕涌诎l(fā)送報警信息到對應群組中。釘釘?shù)膱缶扑托Ч鐖D8所示。

圖8 報警推送效果圖

3 結束語

隨著無線局域網(wǎng)應用領域的不斷擴展，其安全問題會越來越受重視?；阼F路動車組WiFi運營服務系統(tǒng)實際應用場景，本文主要在系統(tǒng)安全認證、安全檢測與監(jiān)控和故障告警3方面做了深層次分析，形成了鐵路動車組WiFi運營服務系統(tǒng)安全防護體系，確保了系統(tǒng)安全運轉和平穩(wěn)運行。該防護方案已在“復興號”標動列車無線局域網(wǎng)中進行了實際應用，保障了接入旅客私有信息安全，提高了旅客乘車體驗感，打造了一個安全放心的鐵路動車組WiFi接入服務平臺。同時，此安全防護技術的應用對類似系統(tǒng)安全運維具有參考借鑒價值。