石艷紅 李聲濤

（中車(chē)青島四方機(jī)車(chē)車(chē)輛股份有限公司，山東青島 266111）

0.引言

與城軌板塊、動(dòng)車(chē)板塊相比，列車(chē)軟件升級(jí)方法和步驟存在明顯差別，受運(yùn)維人員數(shù)量有限、認(rèn)識(shí)不足等因素影響，升級(jí)工作始終未能得到有序開(kāi)展。以往多采用人工車(chē)載軟件升級(jí)方式，具有耗時(shí)長(zhǎng)、成本投入高、時(shí)效性差等缺陷，難以滿足智能化發(fā)展的新要求。對(duì)此，可采用遠(yuǎn)程升級(jí)的方式，有效彌補(bǔ)傳統(tǒng)人工軟件升級(jí)的不足，使上述問(wèn)題迎刃而解。要想充分發(fā)揮遠(yuǎn)程升級(jí)的優(yōu)勢(shì)，重點(diǎn)在于保證數(shù)據(jù)傳輸安全?？梢?jiàn)，軌道交通車(chē)載軟件遠(yuǎn)程安全傳輸設(shè)計(jì)顯得十分關(guān)鍵。

1.列車(chē)車(chē)載軟件遠(yuǎn)程安全傳輸系統(tǒng)整體設(shè)計(jì)

1.1 總體框架

由地面管理中心負(fù)責(zé)提供任務(wù)管理及安全傳輸?shù)裙δ埽_保列車(chē)軟件可得到高效且安全的遠(yuǎn)程升級(jí)。為實(shí)現(xiàn)遠(yuǎn)程升級(jí)目標(biāo)，提出對(duì)1+1+1+N系統(tǒng)框架進(jìn)行構(gòu)建，具體內(nèi)容如：（1）地面管理中心可借助手動(dòng)導(dǎo)入或數(shù)據(jù)接口方式，對(duì)供應(yīng)商及列車(chē)數(shù)據(jù)進(jìn)行采集，為上層業(yè)務(wù)的有序開(kāi)展提供支持[1]。（2）充分利用列車(chē)所搭載網(wǎng)絡(luò)及服務(wù)器，為管理中心主機(jī)高效運(yùn)行提供保證，同時(shí)為信息傳輸打造安全環(huán)境。（3）建設(shè)車(chē)地管理中心，確保軟件存儲(chǔ)及加密傳輸?shù)裙ぷ骺傻玫礁咝ч_(kāi)展，根據(jù)軟件遠(yuǎn)程升級(jí)所具有需求，為其提供相應(yīng)的服務(wù)。在頂層對(duì)監(jiān)控中心進(jìn)行建設(shè)，由其負(fù)責(zé)指標(biāo)監(jiān)控和信息推送等工作，通過(guò)實(shí)時(shí)監(jiān)管的方式，保證軟件升級(jí)所存在問(wèn)題能被及時(shí)發(fā)現(xiàn)和處理。

1.2 技術(shù)架構(gòu)

管理中心依托Nginx達(dá)到負(fù)載均衡目的，該技術(shù)可根據(jù)用戶請(qǐng)求的內(nèi)容及特點(diǎn)，將其分發(fā)給對(duì)應(yīng)業(yè)務(wù)功能，并完成相應(yīng)的操作。系統(tǒng)數(shù)據(jù)層創(chuàng)造性地引入了HDFS技術(shù)，用于操作大數(shù)據(jù)，基于MySQL對(duì)結(jié)構(gòu)化數(shù)據(jù)進(jìn)行及時(shí)且完整的存儲(chǔ)，在存儲(chǔ)以及下載升級(jí)包或相關(guān)文件時(shí)，以SFTP為核心技術(shù)，用Redis進(jìn)行緩存操作[2]。由TCP協(xié)議負(fù)責(zé)連接列車(chē)和管理中心，SFTP則被用來(lái)對(duì)升級(jí)包進(jìn)行安全傳輸。車(chē)載軟件地面管理中心系統(tǒng)相關(guān)的技術(shù)要點(diǎn)如下：系統(tǒng)包括SaaS層、PaaS層、IaaS層與邊緣層。其中，在SaaS層中設(shè)計(jì)了車(chē)地域、運(yùn)維域、分析域和挖掘域，通過(guò)上述區(qū)域設(shè)計(jì)，完成對(duì)數(shù)據(jù)資源的對(duì)比分析與交互應(yīng)用；在PaaS層中，重點(diǎn)設(shè)計(jì)了應(yīng)用開(kāi)發(fā)服務(wù)、數(shù)據(jù)管理、工具組件，并做好數(shù)據(jù)存儲(chǔ)和離線處理，形成了系統(tǒng)數(shù)據(jù)庫(kù)與應(yīng)用層數(shù)據(jù)庫(kù)，同時(shí)對(duì)分布式文件進(jìn)行了傳輸。在IaaS層上，設(shè)計(jì)人員采取了大數(shù)據(jù)集群設(shè)計(jì)理念，充分利用了X86服務(wù)器與網(wǎng)絡(luò)系統(tǒng)，完成對(duì)這一層面的優(yōu)化設(shè)計(jì)，以達(dá)到理想的控制效果。邊緣層則主要收集車(chē)地?cái)?shù)據(jù)、對(duì)地面隧道情況進(jìn)行分析，并做好生產(chǎn)運(yùn)維數(shù)據(jù)采集。內(nèi)網(wǎng)接口主要與文件存儲(chǔ)服務(wù)器相連接；外網(wǎng)接口則主要與應(yīng)用服務(wù)器相連，并且在內(nèi)網(wǎng)與外網(wǎng)之間設(shè)置了防火墻，確保雙向通信安全。

2.列車(chē)車(chē)載軟件遠(yuǎn)程安全傳輸系統(tǒng)設(shè)計(jì)要點(diǎn)

2.1 傳輸流程

現(xiàn)有大數(shù)據(jù)平臺(tái)、地面管理中心均位于四方股份中心，由四方股份負(fù)責(zé)提供升級(jí)、解析軟件包的相關(guān)協(xié)議，確保數(shù)據(jù)能夠依托互聯(lián)網(wǎng)、SFTP協(xié)議得到及時(shí)且準(zhǔn)確的傳輸。業(yè)主方可利用所獲取加密數(shù)據(jù)進(jìn)行協(xié)議解析、軟件升級(jí)等。根據(jù)軌道交通車(chē)輛安全行駛要求，在車(chē)載軟件的設(shè)計(jì)中，應(yīng)做好門(mén)數(shù)據(jù)緩沖區(qū)的設(shè)計(jì)。網(wǎng)關(guān)需要管理60個(gè)車(chē)門(mén)，要求在數(shù)據(jù)的采集上具有較高的時(shí)效性，并且能夠滿足同時(shí)并發(fā)處理。在具體設(shè)計(jì)環(huán)節(jié)，相關(guān)人員考慮到短距離無(wú)線模塊寬帶性能較差，由此設(shè)計(jì)出數(shù)據(jù)緩存模塊，并完善車(chē)載網(wǎng)關(guān)多級(jí)緩存體系，緩存區(qū)包括串口緩存、單門(mén)數(shù)據(jù)緩存、多門(mén)數(shù)據(jù)緩存等多項(xiàng)功能。首先，數(shù)據(jù)被存儲(chǔ)在串口緩存區(qū)，通過(guò)Linux內(nèi)核實(shí)現(xiàn)該部分功能；然后，根據(jù)門(mén)ID號(hào)將數(shù)據(jù)提取出來(lái)，并與單門(mén)數(shù)據(jù)緩存區(qū)對(duì)應(yīng)，每個(gè)車(chē)門(mén)均與一個(gè)循環(huán)鏈表對(duì)應(yīng)，并將數(shù)據(jù)存儲(chǔ)在鏈表終端；最后，車(chē)載軟件系統(tǒng)需要判斷數(shù)據(jù)傳輸是否完整，倘若數(shù)據(jù)完整，則提取鏈表中數(shù)據(jù)，組合成完整的開(kāi)門(mén)或關(guān)門(mén)數(shù)據(jù)包，以執(zhí)行相關(guān)具體操作。數(shù)據(jù)傳輸流程如圖1所示。

圖1 門(mén)數(shù)據(jù)緩存與傳輸示意圖

在數(shù)據(jù)傳輸中，要求以密鑰服務(wù)器所提供主密鑰為依據(jù)，通過(guò)握手的方式對(duì)雙方身份進(jìn)行確認(rèn)，避免出現(xiàn)身份被冒充的情況。首先，在公私鑰進(jìn)行分發(fā)期間，為確保身份驗(yàn)證過(guò)程安全且結(jié)果可靠，需定期對(duì)公私鑰進(jìn)行更新，同時(shí)借助主密鑰完成加密傳輸。其次，在順利通過(guò)身份驗(yàn)證的情況下，地面服務(wù)器便可對(duì)密鑰進(jìn)行分發(fā)，隨著公私鑰的加入，傳輸過(guò)程所具有保密性可得到顯著提高。服務(wù)器可根據(jù)實(shí)際情況對(duì)加密算法具體種類(lèi)加以確定，通過(guò)一次一密的模式，向接收端傳遞相關(guān)數(shù)據(jù)，現(xiàn)階段，得到廣泛應(yīng)用的對(duì)稱加密算法，主要有RC、AES還有DES。傳輸前后均要以實(shí)際情況為依據(jù)進(jìn)行相應(yīng)的拆包及組包，并對(duì)數(shù)據(jù)進(jìn)行處理，確保數(shù)據(jù)一致。傳輸期間由相應(yīng)對(duì)稱密鑰負(fù)責(zé)加密，出于確保數(shù)據(jù)傳輸完整的考慮，每次傳輸均應(yīng)生成數(shù)據(jù)摘要并加以記錄，該環(huán)節(jié)所應(yīng)用算法以SHA-256和SM3為主。最后，數(shù)據(jù)終止通常由接收端提出，同時(shí)利用對(duì)稱密鑰對(duì)握手過(guò)程所涉及數(shù)據(jù)進(jìn)行加密處理，確保數(shù)據(jù)安全且具有實(shí)際意義。

2.2 加密系統(tǒng)框架

該框架所采取加密模式為3層加密，由對(duì)稱密鑰、主密鑰和非對(duì)稱密鑰分別進(jìn)行加密（見(jiàn)圖2）。主密鑰的常見(jiàn)形式為短信驗(yàn)證碼，即：密鑰服務(wù)器向執(zhí)行人員、管理中心發(fā)送驗(yàn)證碼。事實(shí)證明，對(duì)主密鑰加以使用，可使通信各方身份所具有準(zhǔn)確性得到保證。另外，主密鑰還具有加密非對(duì)稱密鑰的功能，使密鑰處于加密傳輸?shù)臓顟B(tài)。密鑰服務(wù)器所生成并負(fù)責(zé)分發(fā)的非對(duì)稱密鑰，其功能是加密對(duì)稱密鑰，為對(duì)稱密鑰所具有安全性提供保障。

圖2 加密系統(tǒng)

2.3 傳輸功能

密鑰服務(wù)器的主要功能是生成密鑰，并對(duì)密鑰進(jìn)行分發(fā)及存儲(chǔ)，分別向各接收端發(fā)送不同的公私鑰。待接收端獲取對(duì)應(yīng)公私鑰后，以公私鑰所搭載數(shù)據(jù)為依據(jù)，聯(lián)合服務(wù)器完成驗(yàn)證身份、傳輸對(duì)稱密鑰等操作。服務(wù)器負(fù)責(zé)對(duì)數(shù)據(jù)、接收端私鑰進(jìn)行存儲(chǔ)，根據(jù)實(shí)際需求處理相關(guān)數(shù)據(jù)，參考安全傳輸對(duì)報(bào)文格式所作出規(guī)定，對(duì)處理后數(shù)據(jù)進(jìn)行組包并加密，確保數(shù)據(jù)能夠被安全且完整的傳輸至接收端。在獲得加密數(shù)據(jù)后，接收端先要對(duì)其進(jìn)行解密，再對(duì)其準(zhǔn)確性進(jìn)行確認(rèn)并完成后續(xù)的處理，確保數(shù)據(jù)價(jià)值可得到最大程度的實(shí)現(xiàn)。

2.4 密鑰管理

（1）生成密鑰與算法。車(chē)地安全傳輸設(shè)計(jì)采用三種加密算法，即對(duì)稱秘鑰、非對(duì)稱秘鑰、消息摘要算法。生成密鑰的過(guò)程與生成算法密切相關(guān)，可供本項(xiàng)目使用的算法如：SM3摘要算法，RSA非對(duì)稱算法，AES對(duì)稱算法。其中，RSA非對(duì)稱秘鑰算法安全性高、應(yīng)用范圍廣泛，缺陷在于秘鑰尺寸大，加解密速度慢，通常用于加密少量數(shù)據(jù)；AES對(duì)稱加密算法為分組密碼，安全性高、運(yùn)算速度快、資源消耗少、靈活性高；SM3消息摘要算法校驗(yàn)結(jié)果為256位，適用于商用密碼應(yīng)用中的數(shù)字簽名、驗(yàn)證消息認(rèn)證碼生成、驗(yàn)證和隨機(jī)數(shù)的生成。由系統(tǒng)定期生成全新公私鑰并替換原有公私鑰，對(duì)稱密鑰通常在傳輸期間生成，其特點(diǎn)為一次一密，這樣設(shè)計(jì)可保證傳輸過(guò)程具有理想保密性，數(shù)據(jù)自然能夠獲得全方位的安全保護(hù)。

（2）分發(fā)密鑰。分發(fā)密鑰所描述內(nèi)容為生成并向使用者提供密鑰的各個(gè)環(huán)節(jié)。傳遞密鑰的關(guān)鍵是借助主密鑰為會(huì)話密鑰提供保護(hù)，確保密鑰傳遞安全，同時(shí)利用MAC白名單、手機(jī)白名單以及IP白名單，對(duì)主密鑰進(jìn)行傳遞。除特殊情況外，公私鑰均需要由主密鑰進(jìn)行加密護(hù)送，公私鑰的作用主要是護(hù)送對(duì)稱密鑰，確保其能夠得到安全傳遞。該系統(tǒng)可定期對(duì)公私鑰進(jìn)行分發(fā)，并借助短信驗(yàn)證對(duì)主密鑰進(jìn)行傳遞，考慮到公私鑰的應(yīng)用頻率較高，需定期進(jìn)行更換，而應(yīng)用頻率較低的主密鑰，其更換周期通常較公私鑰更長(zhǎng)。在分發(fā)公私鑰時(shí)，為保證分發(fā)過(guò)程安全，通常不會(huì)對(duì)公鑰進(jìn)行公布，而是采取與私鑰相同的方式，即加密發(fā)送。對(duì)公私鑰進(jìn)行更新的方法如：由服務(wù)器根據(jù)各接收端情況，分別生成相應(yīng)的公私鑰并進(jìn)行更新，根據(jù)公私鑰所搭載信息，對(duì)接收端、服務(wù)器身份進(jìn)行驗(yàn)證。

（3）交互系統(tǒng)設(shè)計(jì)。根據(jù)軌道交通運(yùn)營(yíng)安全需求，對(duì)車(chē)載系統(tǒng)進(jìn)行了升級(jí)，以車(chē)載旅客資訊系統(tǒng)為例，目前實(shí)現(xiàn)了個(gè)性化信息切換，通過(guò)人工與自動(dòng)語(yǔ)音相結(jié)合的方式，為旅客提供了視頻、滾動(dòng)字幕、靜讓圖片。同時(shí)，升級(jí)完成后的系統(tǒng)，也實(shí)現(xiàn)了信息交互功能，交互對(duì)象包括人員基本信息、車(chē)輛配屬、技術(shù)加工單、供應(yīng)商信息等等，通過(guò)上述方式完成對(duì)車(chē)輛履歷的更新。更新后的系統(tǒng)也可與PHM系統(tǒng)和其他子系統(tǒng)進(jìn)行集成，并通過(guò)預(yù)留接口調(diào)整交互需求。車(chē)載交互系統(tǒng)的創(chuàng)新設(shè)計(jì)，使得系統(tǒng)本身性能得以提升，系統(tǒng)訪問(wèn)量明顯提高，可穩(wěn)定支持100個(gè)用戶以上同時(shí)在線，交互操作的響應(yīng)時(shí)間縮短，其平均響應(yīng)時(shí)間為2s，最長(zhǎng)響應(yīng)時(shí)間也未能超過(guò)5s，極大提高了車(chē)載系統(tǒng)服務(wù)穩(wěn)定性。

3.列車(chē)車(chē)載軟件遠(yuǎn)程安全傳輸系統(tǒng)的安全保障

3.1 主機(jī)安全

優(yōu)選安全系數(shù)較高的操作系統(tǒng)，對(duì)系統(tǒng)版本標(biāo)注化管理，詳細(xì)記錄各軟件版本；針對(duì)升級(jí)、補(bǔ)丁制定相關(guān)方案；定期掃描IT系統(tǒng)軟件，包括漏洞掃描、數(shù)據(jù)庫(kù)軟件安全、中間件安全等進(jìn)行安全防護(hù)處理和檢查，確保漏洞及其他安全威脅可得到及時(shí)解決；由主機(jī)維護(hù)人員聯(lián)合系統(tǒng)運(yùn)維人員，對(duì)主機(jī)進(jìn)行管理，主機(jī)維護(hù)人員的任務(wù)主要是檢查硬件安全，系統(tǒng)運(yùn)維人員負(fù)責(zé)檢查系統(tǒng)配置及數(shù)據(jù)，并定期開(kāi)展安全漏洞和安全掃描檢查工作。

3.2 數(shù)據(jù)安全

對(duì)數(shù)據(jù)進(jìn)行脫敏、備份/刪除處理，可確保數(shù)據(jù)始終處于安全狀態(tài)。一般來(lái)說(shuō)，由脫敏模塊負(fù)責(zé)篩選數(shù)據(jù)，以訪問(wèn)者角色為依據(jù)，對(duì)敏感數(shù)據(jù)進(jìn)行相應(yīng)的模糊處理。對(duì)數(shù)據(jù)進(jìn)行備份/刪除的要點(diǎn)：（1）人工設(shè)定備份周期及方式。（2）引入部分備份、增量備份還有全備份3種備份模式。（3）可選擇脫機(jī)備份或是聯(lián)機(jī)備份。（4）支持人工備份以及自動(dòng)備份。對(duì)于全部數(shù)據(jù)庫(kù)用戶口令禁止在程序內(nèi)寫(xiě)死，用戶可根據(jù)自身需求靈活修改，全部口令均要符合密碼復(fù)雜度要求。

3.3 應(yīng)用安全

（1）以用戶角色為依據(jù)，為其分配相應(yīng)的操作權(quán)限，同時(shí)監(jiān)控其訪問(wèn)過(guò)程并進(jìn)行記錄。（2）集中管理賬號(hào)權(quán)限，引入用戶會(huì)話控制、強(qiáng)密碼管理模式，根據(jù)現(xiàn)有規(guī)則對(duì)驗(yàn)證系統(tǒng)進(jìn)行完善，具體包括：1）保證用戶識(shí)別是對(duì)用戶身份進(jìn)行確認(rèn)的唯一手段；2）對(duì)全部默認(rèn)密碼進(jìn)行修改；3）不得打印或是顯示具體密碼；4）連續(xù)3次輸入錯(cuò)誤密碼，需禁用該用戶身份；5）要求用戶定期更換密碼，保證密碼長(zhǎng)度在6個(gè)字符以上，同時(shí)包括大小寫(xiě)字母、數(shù)字及標(biāo)點(diǎn)符號(hào)。

4.結(jié)語(yǔ)

本文以遠(yuǎn)程升級(jí)車(chē)載軟件為切入點(diǎn)，從安全傳輸?shù)慕嵌瘸霭l(fā)對(duì)相應(yīng)的升級(jí)平臺(tái)進(jìn)行了構(gòu)建，該系統(tǒng)強(qiáng)調(diào)以地面維護(hù)中心為依托，充分利用軟件服務(wù)器對(duì)數(shù)據(jù)協(xié)議進(jìn)行可靠且安全的傳輸，在保證軟件得到遠(yuǎn)程升級(jí)的前提下降低運(yùn)維人員的工作難度并減少其工作量。