董兴芝，王富章，王忠峰

(中国铁道科学研究院 研究生部，北京 100081)

0 引言

信息化时代，公共无线网络备受人们追捧，无线WiFi网络覆盖越来越多的公共场所，真正实现了“走到哪儿，WiFi连到哪儿”。铁路动车组WiFi运营服务系统作为“复兴号”标动列车的配套设施相继问世，自2018年7月1日铁路调图以来，复兴号列车日开行量增至170.5对。伴随标动列车上线数量的增加以及开行范围扩大，其车载WiFi服务系统运营环境日趋复杂，旅客在享受免费休闲便利的同时，也面临着诸多网络安全风险。

在当前移动通信技术日益发展的今天，公共场所无线WiFi的安全风险已有诸多的应对策略，如文献[1]提出基于网络隔离域、访问控制等机制对公共场所无线WiFi系统进行安全防护，文献[2]提出规范无线网络建设、建立WiFi管理机制以降低无线网络安全风险等。尽管目前诸多无线网络安全防护策略已在公共场所得到实际应用，但是，鉴于铁路动车组WiFi运营服务应用场景的特殊性，在无线安全防护业界没有可以借鉴的成熟经验或技术，迫切需要自身投入研究。针对上述问题，本文基于铁路动车组WiFi运营服务系统应用场景，综合分析系统面临的安全风险，并从多维度提出了安全应对策略，建立安全防控体系，维护了系统平台稳健运行，保障了接入用户的信息安全。

1 动车组WiFi运营服务的安全风险分析

1.1 WiFi运营服务系统组成架构

铁路动车组WiFi运营服务系统主要由地面运维中心、互联网接入通道、车载局域网和车载服务与管理平台4部分组成，车载局域网作为铁路动车组WiFi运营服务系统的重要组成部分[3-4]，为旅客提供丰富的局域网及互联网接入服务，车载局域网主要是由中心服务器、单车服务器和AP组成。其组网方案是短编组列车配置1台中心服务器、8台单车服务器、16台AP和车厢AP直连单车服务器上，中心、单车服务器之间以交换机作为节点通过千兆以太网，实现车载局域网的互联互通。中心服务器通过车顶3G/4G天线与铁路沿线运营商公网基站建立无线通道，为旅客提供互联网接入服务。 铁路动车组WiFi运营服务系统结构如图1所示。

图1 系统总体结构

1.2 WiFi运营服务系统风险因素分析

铁路动车组作为一种运营量极大的公共交通方式，其客流量大、密度高，一节满车厢为60～100人，每天进行长达近11 h长距离行驶[5]。其服务空间封闭，区域范围固定为列车车厢内部，旅客在接受旅途中密闭、漫长的车旅服务同时，对途中休闲娱乐、网上商城和互联网接入等服务有着强劲需求，这给铁路动车组WiFi运营服务系统带来了巨大用户访问量。经对京沪线“复兴号”列车WiFi接入用户数据采集分析，铁路动车组WiFi运营服务系统每分钟活跃用户总数始终保持在100以上[6]。

无线网络比有线网络更显开放，车载无线局域网以空中公共电磁波为载体，直接暴露于动车组车厢中，无明显网络安全边界。此外，铁路动车组WiFi运营服务系统采用半开放式连接方式，意味着任何WiFi信号覆盖范围内，恶意攻击者都可轻易窃取和储存无线局域网中任何交通信息，通过使用恶意监听软件嗅探抓包，监听旅客交互信息，截获用户浏览终端设备数据、网银信息以及各种账号密码等；车载无线局域网易于访问和配置简单，这使非法分子很容易伪装或搭建一个伪装AP，通过改变或抑制节点之间传输数据，导致信息的完整性丢失。众多风险因素及安全隐患，促使铁路动车组的WiFi运营服务系统在用户身份鉴别、系统访问控制、非法入侵检测等方面实施有效防护对策，以保障系统稳定、安全、可靠运行。

2 动车组WiFi运营服务安全防护关键技术

铁路动车组WiFi运营服务系统的安全防护总体上基于访问代理控制、网络域隔离及风控预警等机制，形成由外及内的系统纵深协同保护。从系统应用安全设计及系统网络安全设计角度出发，通过用户身份鉴别、系统访问控制、安全通信传输、安全检测与监控及故障告警等关键技术，结合必要的安全管理措施，形成铁路站车WiFi运营服务系统从接入终端到车载局域网再到地面管理中心一条龙式的安全防护体系 。

2.1 安全认证

严格的认证方式和认证策略是铁路动车组WiFi运营服务系统的重要保障，该系统统一客户端与各应用系统之间的单点登录流程，统一用户信息、电商信息和交易信息等关键信息通过应用平台的统一认证。

① 旅客用户通过Portal页输入手机号和短信验证码认证接入车载局域网，平台建立手机号码和终端MAC的绑定关系，并提供定期强制重新绑定，认证信息请求采用安全套接层(SSL)证书技术与安全超文本传输协议(HTTPS)，对用户及服务器进行认证[1]，对传送数据进行加密，保证传输网络的机密性和完整性[7]。

② 采用远程拨号认证服务(Remote Authentication Dial In User Service，RADIUS)认证服务器，WiFi接入者的安全信息资料直接保存于RADIUS认证服务器中，维护了用户隐私信息安全[8-9]。

③ 通用SSH双因子认证方式远程登录车载WiFi平台，提高了网络系统的安全性和便利性[10]。双因子认证(2FA)是基于SSH协议上组合2种不同的验证方式进行用户身份验证的机制，SSH协议与远程服务器之间的通信数据是安全加密的[11]，同时协议使用的MD5和SHA-1等算法避免数据传输中被篡改或源目的地址的伪造，确保了数据的完整性。SSH双因子认证在SSH单因子认证(1FA)基础上再添安全层，除SSH公钥验证外再借助其他工具提供一个基于时间的一次性的密码(TOTP)验证码，其认证过程如图2所示。

图2 SSH双因子认证流程

2.2 安全检测与监控

安全入侵检测与监控是网络安全的关键技术之一，是作为实现网络安全防护的重要手段[12]，在传统有线网络环境中已有较为成熟的应用，但将其应用于无线网络中仍面临着许多技术难题。铁路动车组WiFi运营服务系统场景的开放性和复杂性要求系统具备全面安全检测与监控功能。本系统基于现有技术条件，深入监控分析协议流量、入侵病毒、资源消耗、漏洞违规、主机设备状态及应用，检测系统外侵资源违规活动[13]，创建高效预警机制，尤其在车载AP状态监控与防护、伪装AP检测与阻断、用户行为审计等方面对系统实施了有效的防护措施，确保了系统运行安全稳定。

2.2.1 车载AP状态监控与防护

铁路动车组WiFi运营服务系统设定30 s为一上报周期，对车载AP的状态进行监控，设定AP在线状态值为1，不在线状态值0。车载AC(车载WiFi无线接入控制器)设定15 mins为一周期对AP上报状态结果进行分析，以单车厢分组(每单车厢固定配置2个AP)，通过分析周期内上报数据的最新值、最小值、平均值及最大值来实时监控车载AP的运行状态，其状态分析展示如图3所示，通过单车厢预设阈值N作为警报触发器，一旦平均值小于阀值N，会直接进行报警。

图3 AP状态监控图

2.2.2 伪装AP监测与阻断

车载AP作为与用户连接握手的最直接设备，其安全性尤为重要，有效检测非法AP入侵并积极对其阻断是全系统安全防护的关键环节[14]。铁路动车组WiFi运营服务系统通过对车载AP进行唯一性加密包装，在车载局域网中组建成“亲密性”网络域，一方面外侵AP无法轻易进入该网络域，另一面车载自身网络可敏感察觉外侵AP，并可快速识别判断其位置，进而对其阻断，主要防护过程如下：

(1)AP加密生成唯一标识

车厢内伪装AP会伪装成与车载AP同SSID、同开放形式，甚至同功率、同频道。如何在混杂环境中有效识别合法授权AP，这需要车载AP之间通过特有握手“暗号”进行互识确认。基于车载环境密闭和干扰性小的条件下，通过抓获网络数据包分析SSID、MAC、Vendor等多重属性，完全可以定义AP网络的唯一性，但以目前黑客的手段，这些信息完全可被模拟，这会让伪装AP有机可乘。理论上最可行的方法是对车载AP设置唯一ID，此ID不可被模拟且能够被识别。铁路动车组WiFi运营服务系统根据802.11系列相关协议中Beacon数据包会携带AP网络相关属性进行广播这一特点，利用协议标准未定义的224字段进行唯一性标识加密，唯一性标识加密算法是通过RC4、设备MAC地址与随机码组合，不定期更新。Beacon数据包携带的网络属性信息如图4所示。

图4 Beacon包

(2)伪装AP监测

考虑到伪装AP所在的频道不固定，检测伪装AP要在2.4 GHz和5.8 GHz频段所有频道上进行扫描。同一车载环境下，车载AP既要辨识同身份AP，又要检测伪装AP，还不能对系统本身性能产生过大影响。因此，系统采用AP间歇性扫描形式检测，偶数车厢靠近车头一侧AP在2.4 GHz网卡中虚拟出终端接口，奇数车厢靠车尾一侧AP在5.8 GHz网卡中虚拟出终端接口，都设置为Monitor模式，进行全列车数据包采集，调整虚拟接口到过滤模式，仅接收Beacon包。监听网卡不断轮循所有频道，设置每个频道的监听时间为0.5 s，20 mins一个扫描周期，对接收的Beacon包进行提取分析，提取字段如下：

① Beacon包中代表AP或者路由器设备的MAC地址；

② 提取加密类型；

③ 提取信号值大小；

④ 提取SSID；

⑤ 提取224字段值，如果存在进行解密。

通过验证数据包中携带的网络SSID、开放形式和224字段是否定义或者224字段解密后标识不能与Beacon包中的MAC匹对一致，检测出AP的真伪。

(3)伪装AP的阻断

监听网卡一旦判断出AP的真实身份，立刻将分析结果上报给车载AC无线控制器，车载AC根据上报的结果进行伪装AP位置车厢判断，进而进行阻断，其详细步骤如下：① 每一车厢的车载AP都具备阻断模式，因此只需模糊判定出伪装AP所在的车厢位置，车载AC控制器即可下发阻断指令到对应车厢所在AP，由其负责阻断伪装AP。车载监听网卡布置范围分配如图5所示，系统对伪装AP位置车厢的判断采用基于RSSI定位算法[15]，RSSI定位算法是把伪装AP在临近之间的监听网卡上接收的场强建成一个场强集合，通过预先设定的阈值T及场强集合中各元素进行比对，模糊定位出伪装AP的所在位置车厢号，其匹配过程如下：

图5 车载AP监听网卡范围分布

设定：

1. 2x:偶数车厢号；2x±1:奇数车厢号；x∈(1,2,3……)；

2.APA:车厢内靠近车头一侧AP;APB:单车厢内靠近车尾一侧AP；

4.T:设置车厢内信号强度阈值，单位为：dBm；

6.ap:车厢内伪装AP;D:车载AP扫描到的数据包集合；

7.Bapy：携带伪装AP信息的Beacon包;y表示伪装AP所在车厢号。

判断2.4 GHz频段伪装AP位置算法如下：

提取相邻偶数车厢(2x，2(x-1)，2(x+1))车头监听AP的采集信息进行配对。

1. 输入：

2. 输出：y

①；

②；

输出：y=2x伪装AP位于2x车厢；

③；

④；

⑤；

⑥；

输出：y=2(x+1)

伪装AP位于2(x+1)车厢

end if

输出：y=2x+1

伪装AP位于2(x-1)车厢

end if

输出：y=2(x-1)

伪装AP位于2(x-1)车厢

end if

输出：y=2x-1 伪装AP位于2x-1车厢

end if

end if

5. returny定位出伪装AP所在车厢号

伪装AP位置车厢已确定，车载AC控制器下发阻断指令到y车厢内的车载AP。该车载AP接到阻断指令后切换到与伪装AP相同频道上，首先虚拟一个用户，去接入此伪装AP，将返回的URL地址等记录保存下来，并上传车载AC控制器，对其违法行为进行记录。

该携带任务的车载切换到阻断模式，通过虚拟接口不断广播带有取消身份验证的报文，用户终端自认为该报文来自连接中的AP，在大量阻断包作用下，进行Deauth阻断。

在一定的时间范围内没有收到伪装AP的Beacon数据包视为伪装AP消失，结束阻断模式，进入到监听模式，伪装AP成功被阻断。

2.2.3 用户安全审计

铁路动车组WiFi运营服务系统AC管理平台可对车厢内网络数据进行实时监控，通过对终端认证方式、用户行为信息的跟踪监控，全程把控车载WiFi网络的使用和接入情况，存留用户行为日志、终端地址、位置轨迹等在线以及离线数据作为审计。除此之外，车载AC管理平台在服务访问点AP上启用MAC过滤器功能，在AP列表中记录不合常规的终端设备MAC地址，定期刷新和检查日志记录，以提高系统安全信息可追溯性，增强平台安全应急效率。

2.3 故障告警

故障监测与告警是铁路动车组WiFi系统平台安全稳定运行的前提保障。铁路动车组WiFi运营服务系统运用Zabbix监控技术，对系统运行状态进行全方位监控，并运用多级预警机制，实现对系统故障的实时检测与告警。通过对系统各进程、内存占用率、CPU负载及CMS应用等重要参数指标添加触发器，预设告警阈值，一旦Zabbix系统检测出安全隐患，立即响应预警机制。Zabbix系统监控界面如图6所示，可直观展示出最新监测的告警信息，通过不同颜色描述故障严重等级。从监控主界面可直接查看到发生告警车底号、警告内容和历时时间等信息。

基于Zabbix监控平台之上，增加系统告警媒介，当触发器触发时产生报警信息，由Zabbix直接推报到告警媒介，实现终端告警推送[16-17]。铁路动车组Wi-Fi运营服务系统以钉钉作为媒介来接收告警信息，其告警日志如图7所示。

图6 Zabbix系统监控界面

图7 告警日志

报警日志由主要问题类型、问题描述、项目键值、问题级别以及发送对象组成[18]，日志中的“2:3”即为要发送的钉钉群组tokenId。接收端将报警信息格式化处理，根据tokenId从配置文件中获取钉钉报警群组的token，调用钉钉的接口发送报警信息到对应群组中。钉钉的报警推送效果如图8所示。

图8 报警推送效果图

3 结束语

随着无线局域网应用领域的不断扩展，其安全问题会越来越受重视。基于铁路动车组WiFi运营服务系统实际应用场景，本文主要在系统安全认证、安全检测与监控和故障告警3方面做了深层次分析，形成了铁路动车组WiFi运营服务系统安全防护体系，确保了系统安全运转和平稳运行。该防护方案已在“复兴号”标动列车无线局域网中进行了实际应用，保障了接入旅客私有信息安全，提高了旅客乘车体验感，打造了一个安全放心的铁路动车组WiFi接入服务平台。同时，此安全防护技术的应用对类似系统安全运维具有参考借鉴价值。