列车车载以太网通信系统内生安全策略研究

2022-09-01殷建华

通信电源技术 2022年9期

殷建华

（中车株洲电力机车研究所有限公司，湖南株洲 412001）

0 引言

轨道交通领域，列车车载网络一般被称为列车控制与管理系统（Train Control and Monitor System，TCMS），传统上广泛采用绞线式列车总线（Wire Train Bus，WTB）/多功能车辆总线（Multifunction Vehicle Bus，MVB）通信技术，但经过多年的发展，以太网技术正在取代总线技术成为主流。由于以太网技术体系具备良好的开发性，因此安全性成为用户非常关心的问题，当前阶段往往采用防火墙技术解决边界安全的问题，却忽视了车载网络的内部安全问题[1]。

时间敏感网络（Time Sensitive Network，TSN）以太网技术正在全球范围内蓬勃发展，将会取代传统的以太网技术成为新的主流技术。本文希望借此时机，提前开展内生安全技术研究，以解决下一代列车车载网络的内部安全问题。

1 列车网络架构

IEC61375标准定义了基于以太网的列车网络架构，基于TSN以太网的列车通信系统基本遵守了该标准的定义。列车网络架构如图1所示，整体上采用了双平面冗余的思路，由3级网络构成。（1）骨干网，由以太网列车骨干节点（Ethernet Train Backbone Node，ETBN）交换机构成，解决列车重联与解编的问题。（2）编组网，由编组以太网节点（Ethernet Consist Network Node，ECNN）交换机构成，解决设备接入的问题。（3）终端层，由大量的网络终端节点（End Device，ED）构成，通过网络数据交互实现对车辆的控制。

图1 列车网络架构

2 标准选择

TSN技术体系由IEEE 802.1时间敏感网络工作组负责标准化，大约由40个子标准共同组成，轨道交通行业主要采用如下标准。（1）时间同步，采用IEEE 802.1 AS-Rev标准；（2）流量整形，增加采用IEEE 802.1 Qbv标准；（3）帧抢占，采用IEEE 802.1 Qbu标准；（4）健壮性，采用IEEE 802.1 CB标准。

3 现状分析

轨道交通行业列车车载网络安全问题是随着以太网技术的普及逐步暴露出来的。目前的解决方案是在地面和车载网络需要数据交互的地方增加防火墙，这样可以解决边界安全问题，但车载网络内部安全问题却很少涉及[2-4]。

列车车载网络内部风险主要体现在以下几点。（1）调试接口防护不足，为了车载网络维护的便捷性，调试网口和串口基本处于开放使用的状态，第三方可以以较小的代价获取非常高的访问权限；（2）数据防护不足，ECNN、ETBN设备在使用时往往会有剩余的空闲端口，第三方可通过端口镜像等技术监视网络中的所有数据流，甚至可以根据数据流分析反向破解通信协议；（3）设备级被替换风险高，由于通用技术的使用，第三方可以以较小代价替换整个系统中的某个设备，如ECNN或ETBN交换机；（4）缺乏针对内部网络攻击的防御部署。

4 内生安全策略设计

4.1 交换设备端口分类策略

现有数据端口之间是扁平、无差别的关系，这不利于整个网络的管理、规划与控制。本策略要改变这一现状，对交换设备的端口进行分类差异化管理，这是端口行为管理的基础[5]。设备端口的差异化对对终端设备来讲是透明的，端口角色的划分必须是受控可配置的，具体如表1所示。

表1 端口角色分类

4.2 交换设备端口行为策略

依据端口类别对端口行为进行约束管理，不同类别端口的行为会有所不同，主要的行为约束如下所示。

（1）主干端口约束。主干端口只用于交换设备间的互联，但2个交换设备间可以增加中继模块或非管理型交换机。当主干端口与ED设备、PC设备等连接时，为防止信息窃取，该端口会自动失效；交换设备间的管理报文只能在主干端口间转发，不能转发到其他端口，除非是进行了受控的端口镜像设置。

（2）环网端口约束。设备启动了环网功能以后，主干端口升级为环网端口，并遵守主干端口的约束。

（3）内部端口约束。内部端口只能用于连接己方的终端设备，否则该端口自动失效[6]。

（4）外部端口约束。外部端口是连接第三方终端设备的端口，己方私有协议的任何报文都不能转发给外部端口。

（5）管理端口约束。管理端口是给网络管理PC设备或其他类型的管理设备使用，网络系统中至少有一个管理端口始终处于使能状态，只有认证通过后，管理设备才能对网络进行管理配置。

（6）汇聚端口约束。汇聚端口组整体可作为内部端口、外部端口或者主干端口使用，但不能作为环网端口使用。

（7）镜像端口约束。端口镜像的设置由管理工具经过认证后进行，镜像源端口可以是任意端口，镜像目的端口只能是内部端口或者管理端口。

（8）空闲端口约束。空闲端口与设备连接且该设备通过认证后，空闲端口会升级为管理端口，否则该端口只能接收数据，不会转发和发送数据。

（9）边界端口约束。仅允许ECNN和ETBN互联使用，否则会失效。

4.3 接入认证策略

己方设备只有通过认证后才能进行使用，包含以下几点：（1）只有己方设备之间需要进行认证；（2）认证是双向的，有一个方向失败链路建立就会失效；（3）第三方设备与己方设备之间无需认证；（4）认证协议报文不能转发到外部端口；（5）认证方式可以是两两握手或者密钥方式进行；（6）每一次端口link发生变化都需要重新进行认证。

4.4 设备级防替换策略

以太网技术本身是开放技术，其系统级的替换几乎无法阻止，为此引入设备级的替换保护措施，通过保护设备级提升系统整体替换的风险和成本，达到最大限度的系统级保护目的，主要包括以下几点。（1）终端设备对交换设备的保护，己方终端设备接入网络前会向交换设备发出接入认证申请，申请失败后终端设备会禁用掉本地以太网端口。由于使用的是私有协议，因此针对交换设备级的替换不可行。（2）交换设备对终端设备的保护，交换设备会通过内部端口对己方终端设备发起认证申请，若申请失败则交换设备禁用掉该端口。由于使用的是私有协议，因此针对终端设备级的替换不可行。（3）交换设备相互保护，物理层链路建立之初，交换设备通过主干端口、环网端口或边界端口向邻居交换设备发出认证申请，认证失败则禁用掉该端口。由于使用的是私有协议，因此针对交换设备级的替换不可行。

4.5 设备绑定策略

设备绑定策略包括以下3点：（1）媒体访问控制（Media Access Control，MAC）地址绑定，指交换设备某个端口只能与特定MAC地址的设备建立连接；（2）IP地址绑定，指交换设备某个端口只能与特定IP地址的设备建立连接；（3）端口绑定，指交换设备某个端口只能与特定设备建立连接。

4.6 人机交互接口策略

此处的人机交互接口指以太网调试口和串口，通过人机接口任何人都可以访问、监视设备，更改设备配置，甚至下载设备固件或者恶意损坏设备软件。人机接口的完全开放，不但给系统运行安全带来了很大的隐患，而且提供了“山寨”“盗版”公司产品的途径。

人机交互接口策略包括以下几点：（1）通常情况下，关闭以太网调试口和串口；（2）管理工具支持远程打开任意设备以太网调试口和串口的功能；（3）管理工具支持直接连接以太网调试口、认证通过后更改人接接口配置的功能；（4）管理工具可实现调试以太网接口和串口的所有功能。

4.7 网络攻击预防策略

依靠交换设备建立系统级的网络攻击防护，包括以下几点：（1）数据流过滤功能；（2）地址解析协议（Address Resolution Protocol，ARP）攻击防护功能；（3）广播风暴防护功能；（4）带宽限制功能；（5）地址表攻击防护功能；（6）禁止恶意使用文件传输协议（File Transfer Protocol，FTP）、Telnet等协议功能；（7）伪造私有协议行为甄别功能。