城市軌道交通作為國(guó)家重要工業(yè)基礎(chǔ)設(shè)施隨著信息化趨勢(shì)，在開放、互聯(lián)和標(biāo)準(zhǔn)化發(fā)展的同時(shí)，帶來了安全隱患風(fēng)險(xiǎn)挑戰(zhàn)。文章首先探討數(shù)據(jù)通信系統(tǒng)的安全防范技術(shù)與方案，包括物理層防范、訪問防范控制、身份認(rèn)證、完整性認(rèn)證等。再比較市面上常用的傳輸技術(shù)包括OTN、SDH+ATM、MSTP、RPR等，得出結(jié)論OTN最適合應(yīng)用于軌道交通信息傳輸中。最后應(yīng)用ASE算法到數(shù)據(jù)加密中，以此構(gòu)建相對(duì)更安全的軌道交通網(wǎng)絡(luò)數(shù)據(jù)傳輸安全策略。

　　關(guān)鍵詞：軌道交通；傳輸安全；OTN技術(shù)；數(shù)據(jù)加密

　　1概述

　　隨著計(jì)算機(jī)和網(wǎng)絡(luò)技術(shù)的日益發(fā)展，工業(yè)化與信息化高度融合的同時(shí)，也帶來了極大的挑戰(zhàn)，工業(yè)控制系統(tǒng)越來越多采用通用協(xié)議、通用硬件以及通用軟件，但是工控系統(tǒng)越來越開放的同時(shí)也削弱了與外界的隔離與保護(hù)，包括病毒、木馬向網(wǎng)絡(luò)擴(kuò)散的風(fēng)險(xiǎn)，而城市軌道交通是國(guó)家重要的工業(yè)基礎(chǔ)設(shè)施，由于信息化的趨勢(shì)，該行業(yè)的業(yè)務(wù)朝著開放、互聯(lián)和標(biāo)準(zhǔn)化的方向發(fā)展，城市軌道交通已經(jīng)不再是“信息的孤島”，開放性帶來的優(yōu)勢(shì)與風(fēng)險(xiǎn)并存，面對(duì)的網(wǎng)絡(luò)安全大多來自于對(duì)面骨干網(wǎng)絡(luò)和無線通信系統(tǒng)的攻擊，因此需要全方面、多層次的加固防護(hù)。地面骨干網(wǎng)絡(luò)由骨干網(wǎng)交換機(jī)和通信鏈路組成，連接著基于通信的列車自動(dòng)控制系統(tǒng)位于地面的所有設(shè)備，以TCP/IP協(xié)議傳輸設(shè)備之間的信息，通過明文方式進(jìn)行數(shù)據(jù)的傳輸，只要有黑客能接入該網(wǎng)絡(luò)之中，就有可能截取到信息，存在竊聽、篡改、偽裝、數(shù)據(jù)轟炸、IP地址欺騙等可能性，為日常地鐵運(yùn)維帶來極大的風(fēng)險(xiǎn)。而相較而言安全系統(tǒng)較高的就是有線網(wǎng)絡(luò)技術(shù)了。本文主要圍繞通信系統(tǒng)（DataCommunicationSystems）中安防技術(shù)方案、常用的傳輸技術(shù)、數(shù)據(jù)加密形式，探討加強(qiáng)軌道交通網(wǎng)絡(luò)數(shù)據(jù)傳輸安全性的策略和方式。

　　2數(shù)據(jù)通信系統(tǒng)的安全防范技術(shù)與方案

　　目前主要的防護(hù)手段包括軟件、硬件防范，硬件防護(hù)的防護(hù)措施主要用于數(shù)據(jù)鏈路層和物理層，例如安裝防火墻來提高入侵難度級(jí)別，防止通信線路免受自然災(zāi)害、搭線攻擊、認(rèn)為破壞。而軟件防護(hù)手段則是通過設(shè)置網(wǎng)絡(luò)安全協(xié)議。針對(duì)自動(dòng)控制系統(tǒng)，目前可采取的安全防范技術(shù)主要包括：（1）物理層防范：加強(qiáng)對(duì)交換機(jī)端口管理，使用光纖可以防范入侵者通過搭線的方式接入到網(wǎng)絡(luò)中，802.11標(biāo)準(zhǔn)是1997年IEEE最初制定的一個(gè)WLAN標(biāo)準(zhǔn)，該標(biāo)準(zhǔn)可通過跳頻、擴(kuò)頻、直序擴(kuò)頻等方式防范，達(dá)到保護(hù)的作用。（2）控制訪問防范措施：對(duì)所有接入至DataCommu－nicationSystems中設(shè)備實(shí)時(shí)監(jiān)控，以防未知和缺少授權(quán)的設(shè)備接入其中。有線網(wǎng)絡(luò)情況下，可以通過靜態(tài)端口配置、合理物理地址接入限制等管理光端機(jī)的端口措施來進(jìn)行訪問防護(hù)。無線通信傳輸系統(tǒng)中，802.11標(biāo)準(zhǔn)規(guī)范化了媒體訪問控制，只有合法的SSID的無線終端才允許接入到網(wǎng)絡(luò)中。（3）身份認(rèn)證：發(fā)送信息過程中添加數(shù)字簽名的方式，通過軟件實(shí)現(xiàn)，通常是在網(wǎng)絡(luò)層、傳輸層或者應(yīng)用層。（4）認(rèn)證完整度：在發(fā)送到接收端時(shí)增添例如驗(yàn)證碼形式的驗(yàn)證信息，通過數(shù)據(jù)完整度認(rèn)證后才予以接受。（5）序列代碼：為了防范數(shù)據(jù)有可能被隱藏在網(wǎng)絡(luò)中的黑客截取，所以需要給每一條發(fā)送的信息都賦予某種加密形式的序列號(hào)。（6）數(shù)據(jù)加密：對(duì)發(fā)送的數(shù)據(jù)進(jìn)行加密。（7）時(shí)效性：估計(jì)對(duì)等設(shè)備的時(shí)鐘偏差，在信息傳輸之前，時(shí)鐘偏差估計(jì)好以后，給發(fā)送的信息添加時(shí)間戳，接收端考慮并添加時(shí)鐘偏差影響之后計(jì)算延時(shí)情況，如果超過時(shí)間差，則排除該數(shù)據(jù)信息。

　　3常用的傳輸技術(shù)

　　（1）OTN技術(shù)：能支持多種協(xié)議、信息自主化實(shí)現(xiàn)，該技術(shù)起源于分復(fù)式技術(shù)，接收端接收到的數(shù)據(jù)信息在途經(jīng)通道后產(chǎn)生信號(hào)，以這種形式標(biāo)記來保障業(yè)務(wù)有序進(jìn)行。（2）SDH+ATM技術(shù)：采用SDH技術(shù)傳輸是在面臨實(shí)戰(zhàn)業(yè)務(wù)需求時(shí)最為傳統(tǒng)的解決方案，能根據(jù)不同類型的業(yè)務(wù)來分配適合的通道，對(duì)軌道交通系統(tǒng)而言，內(nèi)部的廣播、無線音頻、閉路電視、視頻監(jiān)控等數(shù)據(jù)都具備超強(qiáng)的實(shí)時(shí)性，因此對(duì)數(shù)據(jù)的質(zhì)量提出了很高的要求。傳統(tǒng)的SDH技術(shù)以點(diǎn)對(duì)點(diǎn)來傳輸，無法充分利用到網(wǎng)絡(luò)帶寬，為此增加ATM技術(shù)，能實(shí)現(xiàn)根據(jù)帶寬來靈活劃分業(yè)務(wù)需求。（3）多業(yè)務(wù)傳送平臺(tái)技術(shù)（MSTP）：以SDH平臺(tái)為基礎(chǔ)，使ATM、TDM、以太網(wǎng)等多種業(yè)務(wù)并入、處置、傳遞等功能實(shí)現(xiàn)，使用一致的多業(yè)務(wù)節(jié)點(diǎn)網(wǎng)關(guān)。優(yōu)點(diǎn)顯而易見，對(duì)數(shù)據(jù)兼容性更高，而且能實(shí)現(xiàn)多數(shù)據(jù)源接入，完成以太網(wǎng)的內(nèi)部高效率交換，能夠與SDH技術(shù)手段共同工作。（4）彈性分組環(huán)優(yōu)化協(xié)議技術(shù)（RPR技術(shù)）：該技術(shù)可對(duì)數(shù)據(jù)包優(yōu)化處置，針對(duì)用戶帶寬的各種需求后靈活調(diào)整，以太網(wǎng)幀的格式存在的用戶數(shù)據(jù)在視頻監(jiān)控系統(tǒng)中應(yīng)用，去掉所有的累贅運(yùn)行條件，從而提升工作效率，提高運(yùn)行質(zhì)量，監(jiān)控圖像清晰，同步率較高，能夠滿足用戶的需求。以上海城市軌道交通為例，目前上海地鐵2號(hào)線使用的是OTN技術(shù)，上海地鐵1、4、9號(hào)線使用的傳輸技術(shù)為MSTP技術(shù)，上海地鐵3、5號(hào)線使用到SDH+ATM技術(shù)。上述所介紹的傳輸技術(shù)從實(shí)際應(yīng)用來看，都基本能符合軌道交通業(yè)務(wù)通信安全傳輸?shù)囊�求，但是根�?jù)實(shí)戰(zhàn)提出的更高要求來看，以承載能力方面進(jìn)行比較，非實(shí)時(shí)性業(yè)務(wù)傳輸中，OTN可直接接入各類通信協(xié)議的接口中，無需再依托其他設(shè)備，所以O(shè)TN技術(shù)更為適用。以帶寬使用情況來看，OTN技術(shù)不僅開銷最少而且使用率也最高。總而言之，軌道交通通信系統(tǒng)傳輸技術(shù)還是選用OTN技術(shù)最為匹配。

　　4數(shù)據(jù)加密

　　無線網(wǎng)絡(luò)安全已經(jīng)是軌道交通備受關(guān)注的問題，目前常用的加密形式主要有：（1）WEP：兩臺(tái)設(shè)備無線傳輸加密的形式稱為有線等效保密協(xié)議，主要用來預(yù)防非認(rèn)證用戶入侵和竊聽工作無線網(wǎng)絡(luò)。主要原理是通過對(duì)無線電波里的數(shù)據(jù)加密來提升安全性能。該項(xiàng)技術(shù)源于RC4的RSA加密技術(shù)，可滿足高層次網(wǎng)絡(luò)安全實(shí)際業(yè)務(wù)需求。（2）TKIP：是源于IEEE802.11i規(guī)范里負(fù)責(zé)無線安全的加密協(xié)議。等于是在WEP外圍再增加一層保護(hù)殼，在利用WEP算法優(yōu)勢(shì)的同時(shí)，消除WEP缺點(diǎn)。（3）AES：密碼學(xué)中的相較高級(jí)的加密標(biāo)準(zhǔn)，用于替代DES加密標(biāo)準(zhǔn)，以對(duì)稱分組體系，密鑰的長(zhǎng)度有128、192、256位三種，每組長(zhǎng)度可至128位，是可實(shí)現(xiàn)各種軟件和硬件的算法。上述所提到的加密形式進(jìn)行比較，在WEP技術(shù)應(yīng)用中，其密鑰還是具有一定的預(yù)測(cè)規(guī)則邏輯，對(duì)于黑客來說入侵難度很低，非常容易破解。TKIP基于RC4加密，可以完全解決WEP目前的劣勢(shì)，可變化每個(gè)數(shù)據(jù)包的密鑰，通過多種形式混合一起生成，包括TKIP中成對(duì)瞬時(shí)密鑰、MAC地址、數(shù)據(jù)包里的序列號(hào)，靈活操控使無線發(fā)射站和接入端的驗(yàn)證要求減少到最低的程度，但是仍具備很安全的密碼強(qiáng)度，不易破解。AES密鑰按照效率高，設(shè)計(jì)邏輯簡(jiǎn)易，所需內(nèi)存空間少，能并行支持處置抵御所有已知攻擊等優(yōu)點(diǎn)，是一種動(dòng)態(tài)密鑰管理機(jī)制，定期更新，采用大量矩陣運(yùn)算的特點(diǎn)，改進(jìn)了傳統(tǒng)的基于查表運(yùn)算提高加解密速度的方法，提升AES算法加解密效率，節(jié)約存儲(chǔ)開銷并使空間優(yōu)化、速度提高。TKIP雖然是針對(duì)WEP進(jìn)行了改進(jìn)，但是不如AES更具有安全性，而且使用TKIP路由器的吞吐量又相較下降到3-5成，極大的影響路由器的使用性能，AES是相較于TKIP更高級(jí)的加密方式，所以軌道交通更適合使用AES，因?yàn)樵谙褴壍澜煌ㄟ@樣的移動(dòng)業(yè)務(wù)環(huán)境中的無線傳輸信息非常容易受到攻擊，傳輸?shù)臄?shù)據(jù)包很有可能出現(xiàn)丟失和出錯(cuò)的情況。采用該對(duì)稱加密技術(shù)，為無線網(wǎng)絡(luò)帶來更強(qiáng)大的安全防護(hù)。

　　5結(jié)束語

　　面對(duì)復(fù)雜的網(wǎng)絡(luò)安全威脅，地方軌道交通僅僅依靠自己的力量遠(yuǎn)遠(yuǎn)不夠，因此要借助政府和企業(yè)的通力合作，密切配合，通過建立健全靈活、反應(yīng)靈敏的信息共享與聯(lián)動(dòng)應(yīng)急處理機(jī)制，通過打造多聯(lián)動(dòng)防御體系進(jìn)一步提升城市軌道交通數(shù)據(jù)傳輸安全風(fēng)險(xiǎn)把控能力和安全事件處置水平。

　　參考文獻(xiàn)：

　　[1]謝橋.城市軌道交通信號(hào)系統(tǒng)信息安全等級(jí)保護(hù)策略研究與實(shí)現(xiàn)[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2020（06）：127-128.

　　[2]石軍.城市軌道交通信號(hào)系統(tǒng)網(wǎng)絡(luò)傳輸安全加密機(jī)制討論[J].科技信息，2013（06）：296.

　　[3]楊潔.智慧城市軌道交通安全網(wǎng)格化管理探討[J].現(xiàn)代營(yíng)銷（下旬刊），2020（05）：139-140.

　　[4]龔君杰.計(jì)算機(jī)技術(shù)在城市軌道交通運(yùn)營(yíng)上的應(yīng)用[J].電子世界，2020（06）：197.

　　作者：高盛