高思凡 胡立強

(石家莊鐵道大學(xué)電氣與電子工程學(xué)院， 050043， 石家莊∥第一作者， 本科生)

如果城市軌道交通(以下簡為“城軌”)通信系統(tǒng)被別有用心的黑客控制[1]，或城軌網(wǎng)絡(luò)空間中的信息流被惡意監(jiān)聽抓取，則會嚴(yán)重威脅到列車安全與乘客的生命安全。可見，城軌通信系統(tǒng)的網(wǎng)絡(luò)安全能力現(xiàn)已成為城軌發(fā)展的底線能力與保障基石。

近年來，城軌領(lǐng)域的功能安全和網(wǎng)絡(luò)空間安全一體化的問題受到了國內(nèi)外學(xué)者的高度關(guān)注。現(xiàn)有的研究主要借鑒CPS(信息物理系統(tǒng))和工控系統(tǒng)的風(fēng)險管控方法，能夠在一定程度上解決城市軌道交通網(wǎng)絡(luò)安全的風(fēng)險與挑戰(zhàn)。本文旨在研究城軌列車運行控制系統(tǒng)所面臨的網(wǎng)絡(luò)安全問題，針對城市軌道交通可能遭遇的網(wǎng)絡(luò)安全梳理了當(dāng)前的檢測方法。為城軌構(gòu)建信息安全基石，助力軌道交通行業(yè)從業(yè)者貫徹執(zhí)行“系統(tǒng)自保、平臺統(tǒng)保、邊界防護、等保達標(biāo)、安全確?！钡牟呗?，確保城軌云平臺的全面支撐和城軌的安全發(fā)展。

城軌系統(tǒng)每天承載著上千萬人的出行，一旦發(fā)生網(wǎng)絡(luò)安全事故，后果十分嚴(yán)重。而列車控制系統(tǒng)的通信系統(tǒng)具有結(jié)構(gòu)龐大、地理位置分散、互聯(lián)系統(tǒng)多、網(wǎng)絡(luò)邊界不明確，以及防護薄弱等特點。這些特點導(dǎo)致其容易被不法分子入侵和破壞。本文將分析城軌網(wǎng)絡(luò)空間安全的各個方面，如安全性需求、可能的攻擊[2]及現(xiàn)有的應(yīng)對措施[3-4]。

1 城軌網(wǎng)絡(luò)空間的安全性需求

1) 增加容錯性。當(dāng)城軌列車運行于橋梁、隧道及洞窟等復(fù)雜環(huán)境中時，不僅列車的行駛速度不同，而且網(wǎng)絡(luò)條件變化迅速，故網(wǎng)絡(luò)質(zhì)量并不穩(wěn)定。不穩(wěn)定的網(wǎng)絡(luò)質(zhì)量與有限的帶寬會嚴(yán)重影響城軌的實時通信效率。在低容錯性系統(tǒng)中，任何微小的時延和錯誤都會增大城軌網(wǎng)絡(luò)空間安全的風(fēng)險。故增加容錯性是重要的城軌網(wǎng)絡(luò)空間安全性需求。

2) 高移動性。為保證通信的高效和安全，列車的通信數(shù)據(jù)包必須及時發(fā)送、傳遞與解析，且在傳遞的過程中不可被修改。但在城軌列車運行控制系統(tǒng)的網(wǎng)絡(luò)動態(tài)拓?fù)浣Y(jié)構(gòu)下，列車的高移動性會影響列車通信的安全性，難以保證通信數(shù)據(jù)包不被修改[5]。因此要提高城軌網(wǎng)絡(luò)空間安全性，就必須在高移動性的前提下保證通信的高效和安全。

3) 隱私性與安全性的均衡。如果城軌網(wǎng)絡(luò)空間系統(tǒng)被入侵，則列車很容易被不法攻擊者控制，進而導(dǎo)致列車的功能安全被破壞。因此，城軌安全系統(tǒng)建設(shè)必不可少。由于安全系統(tǒng)的海量數(shù)據(jù)采集會將居民個人的日常數(shù)據(jù)納入數(shù)據(jù)庫，故城軌安全系統(tǒng)的增多又會增大居民個人隱私的泄漏風(fēng)險，從而產(chǎn)生隱私性問題的威脅?？梢?，實現(xiàn)安全性和隱私性的均衡是城軌網(wǎng)絡(luò)空間安全的一個主要挑戰(zhàn)[6-7]。

4) 云平臺及其數(shù)據(jù)傳輸?shù)陌踩孕枨蟆，F(xiàn)階段的城軌系統(tǒng)入侵檢測功能都是基于大數(shù)據(jù)技術(shù)和高性能計算來實現(xiàn)的，其在數(shù)據(jù)存儲方面依賴于云平臺的服務(wù)，故云平臺自身的穩(wěn)定性至關(guān)重要[8]。此外，云平臺與列車之間需進行精準(zhǔn)的數(shù)據(jù)交互，而二者間的數(shù)據(jù)傳輸過程存在潛在的風(fēng)險。為了保護隱私性，需要在數(shù)據(jù)傳輸和存儲兩方面都實現(xiàn)高效的加密算法。在數(shù)據(jù)的安全性方面，應(yīng)能有效檢測識別惡意節(jié)點或中間人，以避免危險數(shù)據(jù)注入時的嚴(yán)重后果。

2 城軌的網(wǎng)絡(luò)空間攻擊

城軌網(wǎng)絡(luò)的復(fù)雜環(huán)境使得列車及列車通信環(huán)境暴露于各類攻擊和威脅當(dāng)中[9]。在發(fā)生網(wǎng)絡(luò)空間入侵時，不法進攻者的惡意行為會對城軌系統(tǒng)功能安全造成威脅或?qū)Τ擒壪到y(tǒng)網(wǎng)絡(luò)空間安全造成威脅，進而影響城軌運行的功能安全。

為保障城軌網(wǎng)絡(luò)的安全，針對不法攻擊者的入侵行為實現(xiàn)有效的預(yù)防與反制，應(yīng)了解影響城軌網(wǎng)絡(luò)空間安全的各種攻擊，掌握其攻擊特點。城軌網(wǎng)絡(luò)空間安全攻擊可分為主動攻擊與被動攻擊。主動攻擊是指攻擊者或惡意用戶為了從網(wǎng)絡(luò)中提取敏感信息而主動參與攻擊的行為，可分為信息收集攻擊、系統(tǒng)入侵攻擊、數(shù)據(jù)欺騙攻擊、拒絕服務(wù)攻擊和物理破壞攻擊等[10]。被動攻擊，指攻擊者被動地收集網(wǎng)絡(luò)信息，而不對網(wǎng)絡(luò)進行實際篡改或注入任何信息。ID(身份標(biāo)識號)紕漏攻擊就屬于被動攻擊。常見的城軌通信系統(tǒng)網(wǎng)絡(luò)空間攻擊分類見表1。

表1 常見的城軌通信系統(tǒng)網(wǎng)絡(luò)空間安全攻擊分類

2.1 女巫攻擊

女巫攻擊是一種主動攻擊，在城軌安全系統(tǒng)中屬于較為嚴(yán)重的威脅，在其他安全要求較高的系統(tǒng)中也是最危險、最難解決的攻擊之一。在1個單純的分布式P2P(對等計算機)網(wǎng)絡(luò)中，任何節(jié)點只需對外暴露其在P2P網(wǎng)絡(luò)中的唯一標(biāo)識，即可隨意地加入和退出P2P網(wǎng)絡(luò)，不受任何限制。女巫攻擊利用了P2P網(wǎng)絡(luò)的這一特性，將1個節(jié)點偽裝成多個節(jié)點，并將這多個偽裝節(jié)點(也稱“Sybil 節(jié)點”)廣播到整個P2P網(wǎng)絡(luò)中，即可實現(xiàn)獲得網(wǎng)絡(luò)控制權(quán)、拒絕響應(yīng)或干擾查詢等的操作[11]。

在女巫攻擊中，由于惡意攻擊者具有多個身份，故很難確定接收到的信息是否來自偽裝節(jié)點。有惡意行為的偽裝節(jié)點或車輛被稱為女巫節(jié)點。來自女巫節(jié)點的信息可誤導(dǎo)調(diào)度中心及線路上的其他列車進行錯誤操作，甚至造成交通事故。其實現(xiàn)方式為：惡意攻擊者可在線路上創(chuàng)建1個虛假的車輛或冒用合法車輛的身份，通過發(fā)送虛假的堵塞或到站等信息，或是提供錯誤的行駛路線，來欺騙城軌調(diào)度中心與其他列車。可見，女巫節(jié)點的破壞行為能對整個城軌網(wǎng)絡(luò)空間造成干擾，嚴(yán)重影響車輛功能安全與乘客生命安全[12-14]。

如圖1所示，按通信方式、參與方式和身份來源，女巫攻擊可分為通信類型(Communication type)、參與類型(Participation type)和身份類型(Sybil identity type)。

圖1 女巫攻擊的分類Fig.1 Classification of witch attacks

2.2 中間人攻擊

中間人攻擊是城軌網(wǎng)絡(luò)空間中的重要攻擊。在有線網(wǎng)絡(luò)中，中間人攻擊是通過ARP(地址解析協(xié)議)實現(xiàn)的。在無線網(wǎng)絡(luò)中，攻擊者在與原始接收者的通信中扮演“虛假發(fā)送者”角色，并在與原始發(fā)送者的通信中扮演“虛假接收者”角色，從而實現(xiàn)攔截和篡改通信數(shù)據(jù)。如圖2所示，攻擊者在同時竊取2列列車的通信數(shù)據(jù)，并向2列列車傳出錯誤信息，進而發(fā)動攻擊。在城軌列控系統(tǒng)中，通信數(shù)據(jù)用于傳輸重要的控制命令，一旦被攻擊者篡改，則會影響列車運行的安全性。中間人攻擊違反了安全需求的數(shù)據(jù)完整性和隱私性目標(biāo)，會對傳輸信息的真實性造成負(fù)面影響，危及網(wǎng)絡(luò)安全[15-16]。

圖2 中間人攻擊示意圖Fig.2 Diagram of man-in-the-middle attack

3 網(wǎng)絡(luò)空間入侵的檢測

為避免網(wǎng)絡(luò)空間入侵帶來的安全危害，有必要采取入侵檢測技術(shù)，通過收集和分析城軌網(wǎng)絡(luò)空間中關(guān)鍵數(shù)據(jù)的特征信息，來檢測網(wǎng)絡(luò)空間中的攻擊行為。對于城軌通信網(wǎng)絡(luò)來說，入侵檢測技術(shù)作為防火墻之外的網(wǎng)絡(luò)空間安全保障，能在不影響城軌正常運行的情況下，實時監(jiān)測網(wǎng)絡(luò)狀態(tài)，還能分析網(wǎng)絡(luò)中的通信行為和數(shù)據(jù)流量，針對網(wǎng)絡(luò)攻擊及時給出告警，并為防御響應(yīng)提供重要依據(jù)。對于不同的攻擊，入侵檢測方案有所不同。

3.1 女巫攻擊的入侵檢測

從女巫攻擊的基本流程可知，簡單的密鑰檢測已不再安全有效。惡意攻擊者通過竊取或偽造正常運行列車的身份，可破解密鑰，并發(fā)送錯誤信息，進而影響列車的運行效率或造成相鄰列車的追尾等嚴(yán)重事故。

對女巫攻擊入侵檢測的常用方法有：

1) 時間戳與臨時認(rèn)證方法[17]。時間戳認(rèn)證基于以下事實：極少有2列列車會幾乎同時發(fā)出信息。故當(dāng)信息中包含一系列極為相近的時間戳?xí)r，可判定受到了女巫攻擊。臨時認(rèn)證：給每列列車分配唯一的臨時認(rèn)證密鑰，即1列列車只能擁有1對有效的臨時密鑰。這可有效避免女巫攻擊。

2) 車輛運行的真實軌跡方法[18]。設(shè)定2個路邊單元時間不能少于最短可能時間等限定條件，判斷只有符合限定條件的車輛軌跡才是真實的車輛軌跡，其余車輛運行軌跡均為女巫攻擊的虛假信息。

3) 本地安全認(rèn)證方法[19]?；贚TE-T2T(長期演進-車車通信)的城軌列車中心無線通信系統(tǒng)，提出了在用戶鏈路建立時用于列車安全認(rèn)證的本地安全認(rèn)證方案，再以本地安全認(rèn)證方案為基礎(chǔ)，進一步提出了用戶防御女巫攻擊的協(xié)作式信息安全檢測方法。

上述方法的利弊分析：

1) 時間戳與臨時認(rèn)證方法可行性較強，對網(wǎng)絡(luò)數(shù)據(jù)傳輸?shù)囊筝^低，可以判別大多數(shù)情況，但相比于另外兩種方法其認(rèn)證方法的效率較低。

2) 車輛運行的真實軌跡方法雖能有效檢測女巫攻擊，但針對不同的路況環(huán)境，其限定條件往往難以統(tǒng)一。尤其對于重慶等路況復(fù)雜的地域而言，其確認(rèn)合理限定條件的復(fù)雜度會大大增加。

3) 就現(xiàn)階段而言，本地安全認(rèn)證方法的實現(xiàn)較為困難。相比于另外兩種方法，該方法對列車與列車之間、列車與控制中心之間數(shù)據(jù)傳輸?shù)乃俣群蜏?zhǔn)確度要求較高。

3.2 中間人攻擊的入侵檢測

目前常見的中間人攻擊方法主要有ARP(地址解析協(xié)議)欺騙、DNS(域名系統(tǒng))欺騙和SSL(安全套接字協(xié)議)欺騙。

對于中間人攻擊入侵檢測的常用方法有：

1) 認(rèn)證、申請狀態(tài)模型檢測方法[20]。參照802.1X-2004認(rèn)證和申請狀態(tài)模型基礎(chǔ)，從RSNA(強健安全網(wǎng)絡(luò)關(guān)聯(lián))建立過程角度判斷RSN(強健安全網(wǎng)絡(luò))中的中間人攻擊，RSN會利用RSNA過程完成STA(發(fā)放-觸發(fā)平均方法)和網(wǎng)絡(luò)間的雙向認(rèn)證，如果此過程異常中斷則斷定受到了中間人攻擊。

2) 端口重定向和證書鏈檢測方法[21]。大型網(wǎng)絡(luò)系統(tǒng)大多采用SSL協(xié)議保護用戶的敏感數(shù)據(jù)，但是由于存在瀏覽器證書驗證隱患、用戶的疏忽以及網(wǎng)站服務(wù)器架設(shè)方式缺陷等問題，攻擊者仍然可以借此發(fā)動中間人攻擊。其攻擊主要體現(xiàn)在端口非正常變化、非正常安裝證書以及ARP緩存改變。

3) 基于貝葉斯博弈的檢測和防御方法[22]。從博弈和控制角度檢測中間人攻擊，當(dāng)發(fā)生中間人攻擊時會產(chǎn)生信息的博弈對局，而從博弈對局的角度看雙方的信息都將不完全，地面系統(tǒng)的信息集將會較大程度縮小，由此可以檢驗出中間人攻擊。

上述檢測方法分析：

1) 認(rèn)證、申請狀態(tài)模型檢測方法對于中間人攻擊識別度較高，但局限于RSNA的建立，對于其他類型的中間人攻擊無法檢測。

2) 端口重定向和證書鏈檢測方法較為簡單，但需要頻繁進行ARP查詢來驗證是否遭到攻擊，在實際應(yīng)用中可行性較低。

3) 基于貝葉斯博弈的檢測和防御方法可以較好地實現(xiàn)對多種中間人攻擊的檢測和防御，從而降低其攻擊造成的城軌系統(tǒng)損失，但對數(shù)據(jù)傳輸?shù)乃俣群蜏?zhǔn)確度要求較高。

4 結(jié)語

本文研究并探索了城軌網(wǎng)絡(luò)空間安全的安全性需求；分析了網(wǎng)絡(luò)空間中不同類型攻擊行為的模型與其對城軌功能安全的影響機理；歸納梳理了典型城軌攻擊行為的網(wǎng)絡(luò)空間安全入侵檢測方案。通過對攻擊模型以及入侵檢測方案的研究，可以為未來城軌網(wǎng)絡(luò)空間管理系統(tǒng)的發(fā)展與更新提供新思路，加強對城軌新技術(shù)發(fā)展的研究，使其技術(shù)更加成熟，便于推廣和應(yīng)用。這不僅有利于形成整體性的、全局性的安全管理體系，符合時代發(fā)展需求，而且能為智慧城軌的實現(xiàn)奠定扎實的基礎(chǔ)，具有重要意義。