基于公网的重载铁路列控系统车-地通信技术研究

谢和欢

（1.北京全路通信信号研究设计院集团有限公司，北京 100070；2.北京市高速铁路运行控制系统工程技术研究中心，北京 100070）

中国从20 世纪 80 年代开始发展重载铁路运输，和西方发达国家相比，虽起步较晚，但发展快速。目前，国内铁路重载技术已经走在世界前列。随着国家“八纵八横”高速铁路网的逐步建成，客运需求得到很好的满足。与此同时，伴随国家经济的发展，社会对货运尤其是重载的运力需求显著增长。为满足国内日益增长的运力提升需求，“货运重载”将成为铁路建设的新重点：一方面是新建专用的货运重载铁路;另一方面是将既有客货混运铁路逐步改造为重载铁路。时代为重载铁路技术提供新的发展机遇，同时也带来新的挑战。

1 重载铁路列控技术及无线通信技术简述

早期国内大部分重载铁路的列车上通常仅安装通用式机车信号和列车运行监控装置（简称LKJ），运输效率较低，只能满足万吨级列车的运行需求。后来重载铁路机车开始安装同步操控系统，数据传输一般采用800 MHz 数传电台和GSM-R 系统。例如朔黄铁路开通后，采用基于800 MHz+400 kHz的无线通信网络（后升级为TD-LTE）的机车同步操控系统，可满足万吨组合列车运行需求：大秦铁路则采用LOCOTROL 列控技术与GSM-R 通讯技术有机结合的方式，通过多机重联实现单列2 万吨的运行目标。但对于更高吨位的重载列车，同步操控系统技术还是显得不足，需要更先进的重载铁路列控系统才能更好地满足行车需求。

无论是800 MHz 无线通信网络还是GSM-R网络都属于窄带通信，存在无线网络带宽不足以及信号场强覆盖受限等问题，只能满足2 万吨以下组合列车运行控制的需求。要想进一步提升牵引能力、满足3 万吨重载列车开行要求，则需要更高带宽、更高速率的无线通信网络来为重载铁路列控系统提供全IP 化的车-地信息传输通道。

但由于LTE 或5G 网络建设成本高昂，网络维护成本也很高，因此为重载铁路列控系统建设LTE或5G 专网并不是一个经济的方案。更为关键的是目前并没有专供重载铁路使用的无线频段，使得建设专网的方案根本不可行。考虑到电信运营商已经铺设覆盖广阔的LTE 和5G 公用网络，为各终端设备随时随地接入IP 网络提供可能。这样利用公网来传递车-地通信数据就显得顺理成章。因此研究基于公网的重载铁路列控系统车-地通信技术就具有很强的现实意义，它具有高速率、高带宽、高效率、低成本、无需分配专用频谱资源等显著优势，是目前满足重载铁路列控系统无线通信需求的一个很好的技术方案。

2 基于公网的重载铁路列控系统无线通信基本原理和关键技术

公网是由网络服务提供商建设，供公共用户使用的采用公有IP 地址通信的网络。而专网是为专业用户提供网络通信服务的专用网络，是使用私有IP地址空间的网络。在重载铁路列控系统中，车载设备和地面设备有各自的私网IP 地址，而私有IP 是无法直接通过互联网通信的，需要由公网进行IP 包的转发。

要在公网上实现重载铁路列控系统车-地无线通信，可以采用在公用网络上建立专用网络进行加密通信的方法，即所谓的虚拟专用网络（Virtual Private Network，VPN) 技术。VPN 可以在Internet 上为两个节点建立一条物理上虚拟的而逻辑上专有的通信链路。VPN 主要采用隧道技术、加解密技术、密钥技术和设备身份认证技术来保证通信的便捷性、安全性和可靠性。而要用VPN 技术实现重载铁路列控系统车-地无线通信，面临的主要问题有几个：一是无论是车载系统还是地面控制设备本身都不具备VPN 功能，故而无法让它们以直接建立VPN 隧道的方式来通信，这有别于VPN技术的常规应用。二是随着列车的运行，车载系统总是处在移动过程中，其要通信的目标地面控制设备也在不断变化，因此，车地之间的隧道也需要随时跟随列车的运行而不断重建。这也和VPN 技术的常规应用差别较大。三是重载铁路列控系统车-地通信业务数据关系列车行车安全，数据的私密性和安全性至关重要，需要有强大的防范来自互联网的攻击的能力，保证列控业务数据不被攻击者窥视、篡改和伪造。四是车-地业务数据传输具有很高的质量保障要求，因此，对隧道的传输质量要求也远高于常规的VPN 应用。下面将详细分析这几个关键问题，并寻求合适的解决方案。

2.1 隧道建立

要实现VPN，最为关键的是利用隧道技术在公网上建立起连接远端用户和内网的虚拟信道。隧道可以建在链路层或网络层。

链路层隧道采用二层隧道协议，主要是面向点对点连接。常规技术主要有PPTP、L2TP 技术等，其特点是协议简单，建立隧道灵活直接，非常适合远程移动用户。PPTP 和L2TP 都使用PPP 协议将数据封装成帧，以便数据能在公共网络上的传输。但L2TP 支持建立多条隧道并支持隧道验证，同时还继承了PPP 的所有安全特性，具有多种身份验证机制（如CHAP、口令验证、PAP 等），可以解决车载设备的身份认证问题。另外通过L2TP 所传输的数据更加安全保密，可靠性和容错性更高。因此，相比PPTP 而言，L2TP 更适合用于为重载铁路列控系统车-地无线通信快速建立二层隧道。

用于传输三层网络协议的隧道协议被称为三层隧道协议，也就是网络层隧道。目前，常用的三层隧道协议主要有IP 层加密标准协议（Internet Protocol Security，IPSec）和通用路由封装协议（Generic Routing Encapsulation，GRE）。其中，IPSec 是一个通过对 IP 协议的分组进行加密和认证来保护 IP 协议的网络传输协议族，它保护的是点对点之间的通信，数据在IPSec 隧道中都是加密传输的。而GRE 则允许在不同网络协议之间进行封装，从而实现多种网络层协议之间的互通，与需求没有什么关系。

就重载铁路列控系统车-地无线通信而言，既有车载设备灵活接入隧道的要求又有数据传输保密和安全的要求，也有通信质量保障的要求。因此最为理想的实现VPN 的方式是综合应用二层隧道协议和三层隧道协议。其中，二层隧道协议采用L2TP 协议实现，用于建立车-地通信的IP 传输隧道。三层隧道协议采用IPSec 协议实现，在IP 层对数据包进行加密和验证，可为IP 数据包提供高质量的、基于密码学的安全传输特性；从而实现在公网上为车-地通信建立安全可靠的数据传输通道的目标。

车载设备和地面控制设备由于系统受限自身均不具备VPN 功能，故无法直接在这两者间建立VPN 隧道，需要将VPN 功能转移至车-地通信系统上实现。

2.2 网络安全

对于基于公网的重载铁路列控系统无线通信系统而言，网络安全至关重要。网络安全一方面包括通信系统免受来自互联网的攻击，保障只有合法的车-地通信数据流量可以通过系统，这可以在车地两端增加防火墙来实现。另一方面包括车地业务数据在公网上传输的私密性和安全性，这就需要用到IPSec 隧道提供的安全机制。IPSec 隧道可以通过加密与数据源认证等方式实现来提供主动的保护，以防止来自公网的攻击，保证车-地通信IP 数据包在公网上传输的私有性、完整性并防重放。这样可以利用IPSec 的工作机制来保护车地业务数据在公网上传输的私密性和安全性，有效防止车-地通信的IP 数据包被截获、被篡改或被伪造，充分保证列控系统的通信安全。

车载端和地面端被设计成IPSec 的两端，并同时使用AH 和ESP 协议，其中，AH 协议用来对IP报文进行数据源认证和完整性校验，但它并不提供加密功能。而ESP 协议除了对IP 报文进行数据源认证和完整性校验以外，还能对数据进行加密，弥补AH 协议的不足。ESP 协议中使用的数据加解密算法包括数据加密标准（DES）、高级加密标准（AES）、国密算法（SM4）等。由于DES 算法安全性相对较低，存在安全风险，故基于公网的重载铁路列控系统无线通信系统宜选择安全等级更高的AES 或SM4 算法。

2.3 传输服务质量

VPN 的质量依赖于其下层的物理网络的质量。接入到不同运营商的Internet，存在各接入质量不一、链路利用效率低、QoS 无法保证等问题。

为尽可能减少VPN 质量对基于公网的重载铁路列控系统无线通信的影响，保障车地数据传输的可靠性，应从几方面来采取措施：一是车载设备和地面控制设备之间在传输层应采用面向连接的、可靠的TCP 通信，对收到的数据包及时确认，对丢失的数据包进行重传，从而实现高可靠性的数据包交换。二是车载应用设计时应充分考虑通信不畅带来的问题，做到一定的容忍度。三是在车地间建立TCP 冗余链路，两条链路同时传输应用数据，这样，即使一条链路上出现数据延迟甚至丢失的现象，也不会造成车地数据传输中断。四是底层选用高质量链路建立VPN 隧道组，并实时监控隧道质量，当其中一条隧道的质量下降或中断，将这条隧道承载的业务自切换到优质隧道上，从而最大限度确保传输的可靠性。

3 基于公网的重载铁路列控无线通信系统设计

根据上文介绍的基于公网的车-地通信原理，在设计上，重载铁路列控无线通信系统应包括车载防火墙、车载电台、接入路由器和地面防火墙等关键设备。其中，车载电台用于车载设备接入公网无线接入网，路由器用作接入公网有线核心网，同时车载电台和接入路由器还用作L2TP 隧道的两端。车载防火墙和地面防火墙则用作车-地通信系统的安全防护设备，通过配置安全策略，可以有效防止非法数据侵入通信系统，使车载设备和地面控制设备免受来自公网的网络攻击。同时它们还被用作IPSec 隧道的两端，一举两得。这种设计不但解决了车载设备和地面设备自身不具备VPN 能力的问题，还加强了通信系统自身的安全性。此外，为了加强对本无线通信系统终端用户的认证管理，在路由器上还引入用户认证和授权管理机制，只有合法的经过验证的车载设备才可以接入路由器，非法用户的连接请求将被拒绝。设计完成的重载铁路列控无线通信系统结构示意如图1 所示。

图1 基于公网的重载铁路列控无线通信系统结构示意Fig.1 Schematic structure diagram of public-network-based wireless communication system for train control of heavy haul railways

车载电台在LTE 或5G 接入网驻网后，直接尝试和地面接入路由器建立L2TP 隧道，在完成隧道ID、UDP 端口、主机名称和L2TP 版本等基本信息的协商后建立起L2TP 隧道，随后再协商出一个L2TP 会话。接着开始建立PPP 连接，经过LCP 协商、PPP 验证和IPCP 协商后完成PPP 连接的建立，这时电台获得了路由器分配给它的私网IP 地址，可以访问路由器后的内网，也就是地面控制设备所在的局域网。随后，车载防火墙首先通过IKE 协议和地面防火墙建立起安全联盟，然后进行密钥交换、身份认证、参数协商几个过程后，最终完成IPSec 隧道的建立。至此，车载和地面设备之间的在公网上的安全通信通道就建立起来了。然后车载和地面控制设备开始尝试建立TCP 连接，连接建立后就开始应用数据传输，传输过程中携带应用数据的IP 包会被加密和验证。车地间完整通信的建立过程如图2 所示。

图2 基于公网的重载铁路列控无线通信系统通信建立示意Fig.2 Schematic communication establishment diagram of public-network-based wireless communication system for train control of heavy haul railways

在实际应用中，为了进一步增强列控数据在公网传输的安全性，系统还在车载端和地面端分别添加了国密处理程序，负责对列控业务数据进行加解密操作。这样，业务数据既有自身的加密机制，也有携带该业务数据的IP 包被IPSec 隧道加密和保护机制，两种安全机制相结合，大大增强了列控业务数据在公网传输的安全性。

4 基于公网的重载铁路列控车-地通信系统验证

为验证基于公网的重载铁路列控车地通信系统的建立时延、传输时延和丢包率等关键通信指标，在实验室搭建仿真测试环境。用两台PC 机分别模拟车载端和地面控制设备，它们通过车-地通信系统来建立连接传输数据，数据流量参照重载列控系统车-地通信最高峰流量，约为1 000 Byte/s。

通过从车载端使用Wireshark 软件抓包来判定TCP 连接建立时延（从ATP 发出SYN 报文开始，到ATP 收到地面控制设备回复的SYN+ACK 报文后再发送ACK 报文完成TCP 连接建立），测试结果如图3 所示。根据对应信息包时间差可以计算得出TCP 连接建立时延为19 ms，高于系统要求指标。

图3 重载列控通信系统通信建立时延测试Fig.3 Communication establishment delay test of communication system for train control of heavy haul railways

通过从车载端向地面控制设备发PING 包来测试数据传输时延，测试结果如图4 所示。传输时延为15 ms，完全可以满足《铁路5 G专网业务和功能需求暂行规范》中规定的列控信息传输时延150 ms 的要求。

图4 重载列控通信系统数据传输时延测试Fig.4 Data transmission delay test of communication system for train control of heavy haul railways

在车载端和地面控制设备分别运行网络调试工具按照1 000 Byte/s 数据流量互发数据包，检查发送端发出的数据包数目和字节数目，对比接收端收到的数据包数目和字节数目，从而计算丢包率。如图5 所示，可以看到收发的数据包数目和字节数目完全一致，可见在实验室稳定的测试环境下通信系统没有产生丢包。

图5 重载列控通信系统数据传输丢包率测试Fig.5 Packet loss rate test for data transmission of communication system for train control of heavy haul railways

关于系统安全性验证，可以模拟非法用户以错误的用户名或密码来接入车-地通信系统，从认证服务器的记录来看，非法用户的接入请求均被拒绝。只有合法的用户接入请求才能被接受，如图6 所示。

图6 重载列控通信系统安全性验证Fig.6 Safety verification of communication system for train control of heavy haul railways

从捕获流经路由器的数据帧来分析数据安全性。如图7 所示，可以看到所有的应用数据均被加密后封装在了ESP 包中，与原始数据无论是在长度上还是内容上已经大相径庭，从而充分保证了应用数据的安全性。

图7 重载列控通信系统数据传输安全性验证Fig.7 Safety verification for data transmission of communication system for train control of heavy haul railways

5 结束语

车-地通信是重载铁路列控系统的关键技术之一，为车载 ATP 设备和地面控制设备提供了通过无线通信网络进行双向通信手段。本文探讨了通过建立虚拟专用网的方式来实现车-地通信， 创新地采用了L2TP 和IPSec VPN 技术相结合的方式，通过电信运营商提供的4G 或5G 公网来安全可靠地传输列控数据。车-地通信系统采用冗余通道来增强数据传输的可靠性，通过网络安全技术来保证数据的保密性和完整性。按照本文方法完成的车-地通信系统已成功运用在准池重载铁路，实现车-地设备无感通信。系统运行稳定可靠，能安全快速地传输重载铁路列控系统的车地通信数据。基于公网的重载铁路列控系统车-地通信技术是一种经济实用的车-地通信技术，它既省去了建设专网的巨额费用和浩大工程，也节省了后期专网的维护成本。更为重要的是这种车-地无线通信技术不需要专属无线频段，是实现重载铁路列控系统车-地通信的一种切实可行的技术方案。且由于其具有传输速率快、带宽高的优点，可承载较大数据流，这样亦可满足未来重载铁路列控系统深度智能化更高的通信需求。