LKJ车载数据无线换装系统 安全架构研究

何之煜，李 辉，郑理华，侯大山，吉志军

（1.中国铁道科学研究院集团有限公司 通信信号研究所，北京 100081；2.北京华铁信息技术有限公司 列控事业部，北京 100081)

0 引言

近年来，由于既有线改造、线路设备设施变化、长交路跨线运行等多种因素影响，导致列车运行监控装置(LKJ)基础数据变更频繁，随之而来的是LKJ数据换装的巨大压力[1-3]。而目前以人工换装为主的换装方式，存在漏换、错换、提前换等安全隐患，且费时费力，已无法满足对LKJ车载数据换装日益增长的需求。在上述背景下，LKJ车载数据无线换装方案被提出，用于解决这一迫切需要。根据换装计划安排，LKJ车载数据无线换装通过无线通信网络将LKJ车载数据文件传输至LKJ车载设备进行缓存，当换装条件满足时，地面换装人员通过远程控制的方式实现车载数据的更新，这种方式既可以提高数据换装效率，也可以节约人力物力成本[4-6]。

与CTCS-2和CTCS-3级列控系统不同，LKJ采用车载数据预存的方式，因此车载数据是LKJ控车的核心，保障LKJ列车的运行安全。对于LKJ车载数据无线换装系统，保障LKJ数据文件和换装相关业务数据的网络传输安全是系统安全架构设计的关键。为了进一步适应和满足LKJ车载数据无线换装系统的数据安全需求，提高系统安全设计的完整性，从数据存储安全、传输安全和网络安全3个方面展开分析，构建系统的安全体系架构。通过技术手段可以有效提高系统中数据传输的安全性，提升LKJ车载数据无线换装系统的可用性，进而提高以车载数据为行车依据的LKJ列车控车的安全性，提升路网的运输效率。

1 LKJ车载数据无线换装系统安全需求

LKJ车载数据无线换装系统分为车载LKJ系统、无线通信网络和地面系统3部分。车载LKJ系统主要负责接收来自地面的换装数据文件，进行解密、解压、校验，并缓存至缓存区等待数据加载指令；在数据加载过程中，负责与LKJ主机进行信息的交互。无线通信网络是LKJ无线换装车地通信的载体，系统采用的是公共移动通信网络(3G/4G/5G)。地面系统主要负责与车载LKJ系统进行换装业务相关的信息交互，并将数据传输至主机服务器进行存储、处理和分析，铁路局集团公司终端设备则通过可视化界面对数据换装进行全方位的管理，包括数据换装计划管理、过程控制、数据版本监测、销号管理和查询统计等。LKJ车载数据无线换装系统总体架构如图1所示。

图1 LKJ车载数据无线换装系统总体架构Fig.1 Architecture of wireless reloading system for LKJ onboard data

按照安全功能划分，从车载数据文件的存储安全、传输安全和系统网络安全等角度分析LKJ车载数据无线换装系统安全性需求。

（1）LKJ采用预存的方式将车载数据预先存储在车载系统上，LKJ列车依据存储的车载数据行车，LKJ车载数据文件的存储安全直接关系到列车的运行安全，因此需要保障LKJ车载数据文件在地面系统存储的安全性。

（2）LKJ车载数据文件通过公共移动通信网络(3G/4G/5G)实现地面到车载，需要在公共移动通信网络的基础上建立安全的数据传输通道；在地面系统中，由于地面在外网接收车载数据，而换装业务处理在铁路内网进行，因此需要研究数据在铁路内外网的安全交互技术。

（3）LKJ车载数据无线换装地面系统是无线换装业务功能实现的主体，也是保障车载数据文件和换装数据存储、处理、分析、管理等网络安全的核心，因此需要研究地面系统网络安全架构及设备部署方案。

2 LKJ车载数据无线换装系统安全架构分析

结合LKJ车载数据无线换装系统安全性需求分析，从存储安全、传输安全和网络安全3个方面分析LKJ车载数据无线换装系统安全架构。

2.1 存储安全分析

相比于传统的集中式数据存储方式，LKJ车载数据无线换装系统采用的是分布式存储架构，通过采用可扩展的系统结构，利用多台存储服务器分担存储负荷，利用位置服务器定位存储信息，不但可以提高系统的可靠性、可用性和存取效率，还易于扩展[7-8]。

为保证系统数据存储的安全性，在分布式存储架构下，采用三副本四存储单元的存储架构。LKJ车载数据无线换装系统三副本存储结构如图2所示，左侧为双机热备冗余架构的交换机，是LKJ无线换装相关业务数据写入存储设备的媒介；中间4台为三副本架构的存储单元，是系统主要的存储介质；右侧为双机热备冗余的万兆交换机，主要用于数据的备份和同步。当LKJ无线换装数据通过图2左端交换机准备写入存储单元时，系统会在内部对数据进行线性地址切分，将切分后的子数据复制3份，分别存入3个存储单元中，并按照一定的逻辑和策略将这些副本放在集群的不同节点上，保证数据的可靠和安全。

图2 LKJ车载数据无线换装系统三副本存储结构Fig.2 Architecture of three-copy storage for LKJ onboard data

当某个存储单元由于电源等设备的故障而导致失效时，系统可以使用其他存储单元上的副本修复发生的故障，从而提高业务数据的存活率；另外，当有数据节点损坏，或系统存储单元发生故障时，这时有效的数据副本数量不足3份，系统就会通过图2右端的万兆交换机迅速将故障单元的数据复制到其他存储单元上，使故障数据的副本数量始终保持3份，从而保证数据的同步和安全。

2.2 传输安全分析

按照功能和应用场景划分，LKJ车载数据无线换装系统传输安全可以分为车地无线传输安全和铁路内外网交互安全2个方面。

2.2.1 车地无线传输安全分析

LKJ无线换装与既有换装方式最本质的区别，是无线换装采用无线通信技术手段将LKJ车载数据文件由地面传输至车载，由于系统采用的是公共移动通信网络实现数据的车地传输，鉴于LKJ车载数据对于LKJ控车安全的重要性，需要在公共移动通信网络的基础上建立一条加密的安全传输通道，保障数据的传输安全。车地IPSec VPN网络示意图如图3所示。

图3 车地IPSec VPN网络示意图Fig.3 IPSec VPN for train-ground transmission

系统采用IPSec VPN技术建立车地安全传输通道，保障车地之间传输通道的网络安全[9]，原因如下：一是IPSec VPN建立在网络层，能够对网络层所有的传输数据进行保护，一旦发现攻击者对换装过程进行网络攻击，系统立即阻断车地通信链接，从而保护车载和地面数据安全；二是车载和地面都需要安装相应的应用软件，在车地通信时，受到特定的接入设备、客户端、用户认证机制和预定义安全规则的限制。LKJ无线换装属于特定的端到端通信(授权的车载安全通信插件和授权的地面外网通信服务器)，因而车地通信具有高安全性。

为保证数据安全，系统采用国密算法建立IPSec VPN车地通道以及加密保护数据。通过国密非对称算法SM2和哈希算法SM3，基于数字证书认证的方式，对车载和地面进行双向的身份认证，防止网络攻击者仿冒车载或地面对换装过程发起网络攻击行为，具有车地身份的不可抵赖性；通过国密对称算法SM4对换装数据进行加密，基于分组加密的思想，对车地交互数据进行对称加密，密钥长度达到128 bit，具有较高的安全性。

2.2.2 铁路内外网交互安全分析

如图3所示，LKJ无线换装地面系统通过外网通信服务器接收来自车载的业务数据，且按照《铁路站(场)局域网无线安全接入暂行技术要求》(铁总运[2014] 214号)，铁路业务系统不能暴露在外部网络，因此LKJ车载数据无线换装系统的车载数据、换装计划等数据按规定只能存储于铁路内网中。

由于LKJ车载数据无线换装系统基于公共移动通信网络将LKJ车载数据文件上传至车载，用于列车运行控制，对数据传输的及时性、传输速率和安全性要求较高，需要研究一种高效、可控、安全的铁路内外网数据交互方法，保障LKJ车载数据无线换装等业务系统运用，满足现场安全生产运用需求。

系统采用数字证书认证的方式，通过铁路安全传输平台实现铁路内外网的数据交互，使用基于用户名/口令的正向代理实现从内网访问外网，使用基于数字证书的反向代理实现从外网访问内网。铁路内外网交互原理图如图4所示。

图4 铁路内外网交互原理图Fig.4 Communication of internal and external networks of railways

铁路内外网数据安全交互主要涉及外网通信服务器、内网通信服务器和铁路安全传输平台。换装数据在由外网传输至内网的过程中，外网通信服务器接入层接收来自车载的换装数据，TCP通信服务将数据写入到外网Receive队列，数据转发层通过调用铁路安全传输平台提供的数字证书，将车载数据发送到内网通信服务器，内网通信服务器中的内网HttpServer接收到数据后，将数据写入内网Receive队列中，换装数据处理层实时读取Receive队列数据并进行业务逻辑处理，而后数据写入Send队列。

同时，换装数据在由内网传输至外网的过程中，数据转发层通过调用http请求，并携带数字证书中的认证令牌环信息，实时由内网获取数据并写入外网Send队列，外网通信程序实时读取Send队列数据并加密传输到LKJ车载安全通信插件。

2.3 网络安全分析

LKJ车载数据无线换装系统按照信息安全等级保护三级的要求建设，通过部署网络设备(交换机、路由器等)、安全设备(防火墙、入侵检测系统、堡垒机、安全监管与审计平台、防病毒系统等)和应用设备(外网/内网通信服务器、超融合IT架构等)实现LKJ业务数据的安全传输和处理。LKJ车载数据无线换装系统安全架构如图5所示。

按照LKJ车载数据无线换装系统网络安全功能划分，将系统分为数据存储及核心业务安全域、无线通信网络安全域和车载内部网络安全域3部分，网络安全区域划分如图6所示。综合图5系统安全架构，对系统安全设备的部署方案和安全策略分析如下。

图5 LKJ车载数据无线换装系统安全架构Fig.5 Security Architecture of wireless reloading system for LKJ onboard data

图6 网络安全区域划分Fig.6 Division of network security zones

（1）防火墙。防火墙作为网络安全主要的防护设备，通过其内部配置的安全策略实现对系统的网络边界防护和访问控制。根据系统边界防护需求和安全部署策略，可以将防火墙分为内网防火墙、车地防火墙和车载防火墙3种。3种防火墙网络安全分析如表1所示。

表1 3种防火墙网络安全分析Tab.1 Network security analysis of three types of firewalls

（2）入侵检测系统。与防火墙不同，入侵检测系统采用主动防御方式，通过网络监听内外网穿透以及铁路综合信息网各终端设备的网络通信，并通过内置的攻击特征库识别网络中的攻击行为，并对网络攻击行为进行记录，供管理人员对攻击行为进行识别和分析。根据防护网络安全区域的不同分为外网入侵检测系统和内网入侵检测系统，分别部署于地面系统外网核心交换机旁路和地面系统内网核心交换机旁路。

（3）堡垒机。堡垒机部署在地面系统数据存储及核心业务安全域，具有综合核心系统运维和安全审计管控两大主要功能。核心系统运维可以拦截非法访问和恶意攻击，对不合法命令进行命令阻断，过滤所有对目标设备的非法访问行为；安全审计管控对设备、主机服务器日常运维操作进行权限控制，审计监控内部人员误操作和非法操作，为安全事件和风险防范提供视频、日志等可追溯的历史分析依据，以便事后责任追踪。

（4）安全监管与审计平台。安全监管与审计平台部署在地面系统数据存储及核心业务安全域，地面系统内网核心交换机旁路，采用以LKJ数据无线换装业务为核心的网络安全、应用安全、业务安全一体化的安全管理解决思路，将安全审计、监管功能融入统一平台进行数据采集、分析、监控和预警。以保障系统安全、可用为中心，围绕资产和业务，实现从设备管理、策略部署管理、运转监控、风险预警到安全联动响应的完整、安全、闭环管理，实现安全风险的可视、可管、可预防。

（5）防病毒系统。防病毒系统部署在地面系统数据存储及核心业务安全域，安装在主机服务器层内，客户端安装在内网通信服务器、数据库服务器、应用服务器、数字证书服务器、时钟同步服务器、外网通信服务器内，为各主机服务器操作系统提供病毒及恶意代码安全防护。

3 LKJ车载数据无线换装系统安全优化分析

既有的以人工为主的车载数据换装方式需要换装人员携带专用IC卡定时、定点上车作业，费时费力，且存在错换、漏换、提前换等安全隐患，LKJ无线换装技术能够优化数据换装管理，提升数据安全及人身安全，具体体现在以下方面。

（1）由于线路改造、施工、行车组织变化等因素，导致LKJ数据变化频繁，频繁的换装导致人工需求大、工作强度和压力大，而LKJ无线换装只需作业人员在换装终端作业，就能够将LKJ车载数据传输至车载设备，可以极大减轻现场换装作业压力。

（2）既有人工换装在执行过程中需要人工盯控，涉及到电务、机务、调度等多个部门协同操作、沟通协调，效率较低，采用LKJ无线换装的方式，通过信息化的手段对换装流程进行把控，能够提高数据换装各相关部门的工作效率，同时也有助于解决应急换装中出现的数据错换、漏换等安全隐患。

（3）在途换装场景中，人工换装方式需要作业人员前往列车运行途中站点进行蹲守，并且需要联合机务、调度部门进行配合，拦截列车进行上车换装作业，对换装人员存在人身安全隐患的同时，还降低了路网的运输效率，而LKJ无线换装能够消除上述安全隐患，地面换装终端随时可以将LKJ车载数据传输至LKJ车载缓存。

（4）机车长交路跨局运行中，人工换装需要车辆配属的铁路局集团公司委托换装，或派遣驻外人员对所属机车进行换装，而委托换装导致责任增加，属地铁路局集团公司对承接其他铁路局集团公司委托的换装业务有畏难情绪，而LKJ无线换装通过无线传输的方式进行数据的车地传输，无需委托换装，责任分工明确。

（5）LKJ车载数据无线换装系统能够对车载数据版本进行实时把控，一旦发生数据错换或意外换装等情况，地面及时进行报警处理，通过信息化的手段保障车载数据的安全性，进而提升LKJ列车的行车安全。

4 结束语

LKJ车载数据是保障LKJ列车运行安全的基础和核心，是LKJ车载设备进行“两冒一超”安全防护的依据，LKJ无线换装系统安全架构的研究，保证了LKJ车载数据从地面终端到车载设备一整套传输过程的安全性，从而保障了LKJ列车行车的安全性，为铁路信息安全系统的建设提供借鉴。由于目前对于LKJ无线换装系统安全架构的研究仅停留在理论研究的层面，缺乏在实际应用上的实践经验，在后续正式应用于铁路生产中，还需根据实际情况对系统网络安全进行改进和优化。