摘要：当前我国的城市化工程建设发展进程加快,城市轨道交通网络建设发展迅速。为了与城市社会生活紧密融合,列车通信网络不断提高其开放性与网络互联性,但无法保证其网络安全性。采用OPNET网络仿真软件对具备车地通信功能的以太列车通信网络进行网络层模型、节点层模型和进程层模型的搭建，为了测试其网络安全性，对该模型进行了一次网络攻击仿真。仿真结果表明，该模型具备网络防御能力，能够保障列车通信网络的安全性。

0  引言

随着我国经济科技的发展与进步，我国城市化建设进程加快，地面交通拥挤状况日益严峻。城市轨道交通作为当前解决这一基础性问题的最佳途径，近几年发展迅速。同时，人们对于城市轨道交通的安全性、稳定性、开放性和互联性等提出了更高要求。列车通信网络作为现代城市轨道交通的核心，是保障城市轨道交通安全、便捷以及准时运行的重要技术支撑。面对全球范围内的网络信息安全问题日益突出的现状，列车通信网络的安全问题显得尤为重要。

1  列车通信网络结构

列车通信网络作为现代列车的核心组成部分，经过几十年的发展形成了几种较为常见的列车网络总线技术，如LonWorks、WorldFIP、CAN以及TCN等。传统TCN技术主要是低速总线产品，用于传输检测信息、控制信息等小容量数据时实时性和数据确定性高，能够很好地实现列车快速、实时、可靠的控制要求。

但是，随着通信网络技术与现代社会生活的进一步融合，列车通信网络规模不断扩大，这些传统总线技术已无法满足大容量的故障诊断信息和视频监视信息的采集和传输。以太网作为一种国际标准局域网通信技术，具有高带宽、高传输率以及组网方便灵活等优点，完全符合现代列车通信网络对数据速率和网络数据吞吐量日益增高的技术要求。

以太列车通信网络采用分层结构，包含一个或多个列车骨干网络子网和一个或多个列车编组网络子网，如图1所示。以太列车骨干网节点具有网关功能，负责以太列车编组网与以太列车骨干网之间的连接和数据传输。

为了打破列车通信网络作为专网运营的现状，现代列车通信网络中添加移动通信网关，从而实现了车载网络与地面网络的无线连接，其核心为一个连接车载网络和地面网络的移动接入路由器。每个编组至少提供一个移动通信网关，与地面网络用户建立永久性或临时性的静态或者漫游连接。考虑到通信冗余问题，可在冗余节点上提供两个同样的移动通信网关。

其中，一个移动通信网关处于工作状态，另一个处于备份状态且不向终端提供任何服务的方式，实时监控编组网中的通信情况。当工作状态的移动通信网关失效时，备份单元检测到这个失效，将关闭失效的移动通信网关单元，同时接管工作状态。

图1　以太列车通信网络结构

2  列车通信网络安全技术

随着网络信息与社会生活的不断融合，将原来封闭的列车通信网络与互联网相连通，使其具有更高的开放性和更广泛的互联性，同时给列车通信网络的安全性、稳定性和可靠性带来了诸多负面影响。据国外媒体报道，2015年全年英国铁路网络共遭受了4次严重的网络攻击。2017年我国铁路通信网络也遭受了WannaCry勒索病毒的袭击。可见，深入研究列车通信网络的网络安全问题具有重大意义。

目前，普遍采取的网络安全技术主要包括防火墙、入侵检测、数据加密以及网络隔离技术等。

( 1 ) 防火墙。防火墙系统通常放置在被保护网络特定的边界处，根据用户所配置的数据包控制要求对进出网络的数据流进行过滤或其他应对保护操作，从而起到保护网络的作用。到目前为止，虽然各种网络安全技术层出不穷，但防火墙仍然是最常用的技术。

( 2 ) 入侵检测。入侵检测也称网络实时监控技术，通过实时监测数据流的特征情况，再匹配入侵特征数据库。若入侵特征匹配成功，则根据用户定义进行切断网络连接或通知防火墙等相关防护操作。

( 3 ) 加密技术。数据加密技术作为最基本的网络安全技术，至今仍是提高系统及数据安全性、防止信息被破坏或窃取的重要技术之一。

( 4 ) 网络隔离技术。科技的发展使得新的网络攻击手段层出不穷。为了满足现代网络对安全越来越高的要求，在原有安全技术的基础上取长补短，发展形成了网络隔离技术，可以最大程度保障网络的稳定性和安全性。

为了保证列车通信网络的安全性能，将移动通信网关模块设计成屏蔽子网体系结构，如图2所示，在Intranet和列车网络之间通过移动通信网关连接，同时被移动通信网关隔离。外部包过滤路由器实现与外部网络的通信连接，也可被称为访问路由器，控制Intranet数据流，但几乎不限制数据从通信网关出站。

内部包过滤路由器主要过滤流入数据包，保护列车网络免受外部网络的侵犯。壁垒主机处于内外路由器之间，形成“缓冲地带”，主要用来访问和存储外部网络和列车网络中可交互的信息和数据。Intranet和列车网络均可访问通信网关内的壁垒主机，但禁止它们穿过屏蔽子网相互通信。这样即使攻击者已经控制了壁垒主机，但是内部的列车网络依旧是安全的。

图2　移动通信网关结构

3  列车通信网络仿真模型

3.1　OPNET软件介绍

OPNET是一款商用软件，凭借完备的协议模型库和通信设备库在通信网络仿真领域占据重要的地位。OPNET不仅在技术上遥遥领先，而且在用户使用感上也较同类型软件更为简便，深受国内华为、中兴和电信等大型公司和科研机构的欢迎。

本文中选择OPNET 14.5版本软件作为搭建列车网络模型的平台，主要考虑以下因素。

( 1 ) 三层建模结构。OPNET通过图形界面实现网络层（Network Model）、节点层（Node Model）和进程层（Process Model）三层架构搭建模型，层次清晰，简化原本组成复杂的通信网络系统，为仿真功能实现带来便利，如图3所示。

图3　OPNET三层建模机制

( 2 ) 流程清晰。在进程层模型中，将不同状态模块组合成有限状态机，并通过对其强制状态和非强制状态之间的转换，达到对不同协议建模的目的。

( 3 ) 可再编程性。三层建模结构中，最底层的进程层模型是实现整个仿真模型功能的载体和核心。OPNET仿真软件自带400多库函数和许多协议模型，可直接使用现有模型，方便建模。

3.2　列车通信网络模型

目前，地铁列车多为4动2拖或3动3拖两种结构，本文仿真中选取4动2拖结构的列车作为仿真模型，列车编组型式为-TC*MP*M=M*MP*TC-。其中，TC为拖车（带司机室），MP为动车（带受电弓），M为动车，将6节车厢分为Consist1和Consist2两个编组。模拟场景设置为200 m×400 m范围。仿真中，地铁列车以太骨干网络选用总线型连接，链路的传输速率为100 Mb/s。为了提高以太列车骨干网传输数据的可靠性，整个网络配置两条总线进行数据传输。总线上设置节点代表以太列车编组网，其中编组1中包含subnet_0和subnet_1两个列车编组网络子网。列车网络层模型如图4所示。

图4　以太列车骨干网络模型

每个子网提供移动通信网关实现列车网络与外界Internet的无线连接。子网中主要包括无线终端节点、移动通信网关、列车终端节点、交换机节点和服务器节点5部分。子网节点层模型如图5所示。

图5　Subnet0子网网络模型

无线终端节点。模拟外部Internet用户，节点通过无线802.11协议接入移动通信网关。

移动通信网关。移动通信网关由外部路由器（extern Router）、缓存服务器（cache Server）和内部路由器（inside Router）组成，其中缓存服务器（cache Server）相当于防火墙和数据缓存的作用，内部配有基于特征检测的检测系统，可记录检测到的攻击行为。

列车终端节点（node）。列车编组网内部终端节点，模拟车辆内各个节点的行为。通过编组网内部的工业以太网总线向内部服务器传输数据内容。

交换机节点（switch）。连接各个编组网内部，构建成整体的列车通信网。

服务器节点（subway Server）。服务器负责列车以太网内部的管理和数据收集。

IEC61375标准中定义了列车通信网络中5种基本数据类型——监视数据、过程数据、消息数据、流数据和最大努力交付数据，根据数据传输特点将其归类为3种。

( 1 ) 实时周期数据，主要包括监视数据和过程数据。此类数据实时性要求高且具有周期性。监视数据指列车通信网络运行所需要的数据，如列车出运行的数据或网络冗余控制的数据。过程数据是由控制单元发出的实时控制数据和列车状态实时监视信息。

( 2 ) 实时非周期数据，主要包括消息数据和流数据，如列车故障的报警信号和列车监控的视频音频等。

( 3 ) 非实时数据，包括尽力而为数据，主要是其他允许在网络上传输但不影响其他数据类型的信息。

如图6所示，列车终端节点进程模型中包含7个进程模块、2个列队模块和1对总线收发模块。source1、source2和source3为数据包产生模块，分别对应产生上述3种数据类型。Source Manage为转发队列模块，在本文中采取传统的先入先出方式，并按此服务算法将上层数据包传送给Transport模块。Transport为TCP传输协议仿真模块。

Eth_mac_intf为以太网MAC接口模块，用来实现Transport模块和MAC模块的连接通信。MAC为以太网CSMA/CD协议仿真模块，监听链路状态。若信道空闲，则可发送数据；若信道占用，则继续保持监听。Bus_txo和bus_rx0为总线收发信机，用来接收/发送数据。Defer为总线监控模块，用来监督总线链路的传输状况，判断总线信道是否空闲，是否可以传输数据。

图6　列车终端节点模型

如图7所示，交换机节点模型包含3个进程模块、1个列队模块、2对点对点收发模块和1对总线收发模块。switch为交换模块，对不同子网之间的数据进行交换。pr_1、pt_1、pr_2、pt_2为有线点对点收发信机，负责和不同子网之间建立数据连接。

图7　交换机节点模型

3.3　仿真结果分析

本文以DDoS攻击为例，测试列车通信网络防御能力。DDoS攻击是网络黑客通过控制多个代理端主机向攻击目标同时且不断发送大量相同的攻击数据包来达到攻击目的的一种攻击方式。

本文将多个外部以太网无线终端设置为向列车通信网络发起DDoS攻击。从图8仿真结果可以看出，若不进行网络安全防御，DDoS攻击通过不断传输大量的数据包占用大部分网络带宽，将导致总线信道被占用，使得列车通信网络上数据包传输产生冲突，平均数据重传次数增加，端到端时延增加并出现较大的抖动。

但是，当采用具有屏蔽子网体系结构的移动通信网关隔离开外部Internet和列车通信网络时，列车通信网络上数据吞吐量、端到端延时以及平均数据包重传次数曲线均与未遭受攻击时一样，列车通信网络本身未受到DDoS攻击的影响。可见，本文的仿真模型能够很好地防御DDoS攻击，保证列车通信网络的安全。

( a ) 吞吐量

( b ) 端到端时延

( c ) 平均数据重传次数

( d ) 攻击行为记录

图8　DDoS攻击仿真结果

4  结语

随着通信网络技术与社会生活的深度融合，列车通信网络打破一贯专网运行的状态，逐步提高了其开放性与互联性，同时急需完善的安全保障体系来保障列车通信网络的安全性和可靠性。

本文采用OPNET软件搭建基于工业以太网的现代地铁列车通信网络，并将其与地面Internet实现互联，模拟当其遭受外部DDoS攻击时该网络的网络安全技术的防御能力。仿真结果表明，设计的现代地铁列车通信网络具有屏蔽子网体系结构的移动通信网关，在一定程度上能够起到很好的防御保护作用，保障列车通信网络的安全性。

选自《通信技术》2020年第10期（为便于排版，已省去原文参考文献）

原文来源：信息安全与通信保密杂志社

原文始发于微信公众号（关键基础设施安全应急响应中心）：现代城轨列车通信网络安全性仿真研究