轨道交通车载软件远程安全传输设计＊

石艳红 李声涛

（中车青岛四方机车车辆股份有限公司，山东青岛 266111）

0.引言

与城轨板块、动车板块相比，列车软件升级方法和步骤存在明显差别，受运维人员数量有限、认识不足等因素影响，升级工作始终未能得到有序开展。以往多采用人工车载软件升级方式，具有耗时长、成本投入高、时效性差等缺陷，难以满足智能化发展的新要求。对此，可采用远程升级的方式，有效弥补传统人工软件升级的不足，使上述问题迎刃而解。要想充分发挥远程升级的优势，重点在于保证数据传输安全。可见，轨道交通车载软件远程安全传输设计显得十分关键。

1.列车车载软件远程安全传输系统整体设计

1.1 总体框架

由地面管理中心负责提供任务管理及安全传输等功能，确保列车软件可得到高效且安全的远程升级。为实现远程升级目标，提出对1+1+1+N系统框架进行构建，具体内容如：（1）地面管理中心可借助手动导入或数据接口方式，对供应商及列车数据进行采集，为上层业务的有序开展提供支持[1]。（2）充分利用列车所搭载网络及服务器，为管理中心主机高效运行提供保证，同时为信息传输打造安全环境。（3）建设车地管理中心，确保软件存储及加密传输等工作可得到高效开展，根据软件远程升级所具有需求，为其提供相应的服务。在顶层对监控中心进行建设，由其负责指标监控和信息推送等工作，通过实时监管的方式，保证软件升级所存在问题能被及时发现和处理。

1.2 技术架构

管理中心依托Nginx达到负载均衡目的，该技术可根据用户请求的内容及特点，将其分发给对应业务功能，并完成相应的操作。系统数据层创造性地引入了HDFS技术，用于操作大数据，基于MySQL对结构化数据进行及时且完整的存储，在存储以及下载升级包或相关文件时，以SFTP为核心技术，用Redis进行缓存操作[2]。由TCP协议负责连接列车和管理中心，SFTP则被用来对升级包进行安全传输。车载软件地面管理中心系统相关的技术要点如下：系统包括SaaS层、PaaS层、IaaS层与边缘层。其中，在SaaS层中设计了车地域、运维域、分析域和挖掘域，通过上述区域设计，完成对数据资源的对比分析与交互应用；在PaaS层中，重点设计了应用开发服务、数据管理、工具组件，并做好数据存储和离线处理，形成了系统数据库与应用层数据库，同时对分布式文件进行了传输。在IaaS层上，设计人员采取了大数据集群设计理念，充分利用了X86服务器与网络系统，完成对这一层面的优化设计，以达到理想的控制效果。边缘层则主要收集车地数据、对地面隧道情况进行分析，并做好生产运维数据采集。内网接口主要与文件存储服务器相连接；外网接口则主要与应用服务器相连，并且在内网与外网之间设置了防火墙，确保双向通信安全。

2.列车车载软件远程安全传输系统设计要点

2.1 传输流程

现有大数据平台、地面管理中心均位于四方股份中心，由四方股份负责提供升级、解析软件包的相关协议，确保数据能够依托互联网、SFTP协议得到及时且准确的传输。业主方可利用所获取加密数据进行协议解析、软件升级等。根据轨道交通车辆安全行驶要求，在车载软件的设计中，应做好门数据缓冲区的设计。网关需要管理60个车门，要求在数据的采集上具有较高的时效性，并且能够满足同时并发处理。在具体设计环节，相关人员考虑到短距离无线模块宽带性能较差，由此设计出数据缓存模块，并完善车载网关多级缓存体系，缓存区包括串口缓存、单门数据缓存、多门数据缓存等多项功能。首先，数据被存储在串口缓存区，通过Linux内核实现该部分功能；然后，根据门ID号将数据提取出来，并与单门数据缓存区对应，每个车门均与一个循环链表对应，并将数据存储在链表终端；最后，车载软件系统需要判断数据传输是否完整，倘若数据完整，则提取链表中数据，组合成完整的开门或关门数据包，以执行相关具体操作。数据传输流程如图1所示。

图1 门数据缓存与传输示意图

在数据传输中，要求以密钥服务器所提供主密钥为依据，通过握手的方式对双方身份进行确认，避免出现身份被冒充的情况。首先，在公私钥进行分发期间，为确保身份验证过程安全且结果可靠，需定期对公私钥进行更新，同时借助主密钥完成加密传输。其次，在顺利通过身份验证的情况下，地面服务器便可对密钥进行分发，随着公私钥的加入，传输过程所具有保密性可得到显著提高。服务器可根据实际情况对加密算法具体种类加以确定，通过一次一密的模式，向接收端传递相关数据，现阶段，得到广泛应用的对称加密算法，主要有RC、AES还有DES。传输前后均要以实际情况为依据进行相应的拆包及组包，并对数据进行处理，确保数据一致。传输期间由相应对称密钥负责加密，出于确保数据传输完整的考虑，每次传输均应生成数据摘要并加以记录，该环节所应用算法以SHA-256和SM3为主。最后，数据终止通常由接收端提出，同时利用对称密钥对握手过程所涉及数据进行加密处理，确保数据安全且具有实际意义。

2.2 加密系统框架

该框架所采取加密模式为3层加密，由对称密钥、主密钥和非对称密钥分别进行加密（见图2）。主密钥的常见形式为短信验证码，即：密钥服务器向执行人员、管理中心发送验证码。事实证明，对主密钥加以使用，可使通信各方身份所具有准确性得到保证。另外，主密钥还具有加密非对称密钥的功能，使密钥处于加密传输的状态。密钥服务器所生成并负责分发的非对称密钥，其功能是加密对称密钥，为对称密钥所具有安全性提供保障。

图2 加密系统

2.3 传输功能

密钥服务器的主要功能是生成密钥，并对密钥进行分发及存储，分别向各接收端发送不同的公私钥。待接收端获取对应公私钥后，以公私钥所搭载数据为依据，联合服务器完成验证身份、传输对称密钥等操作。服务器负责对数据、接收端私钥进行存储，根据实际需求处理相关数据，参考安全传输对报文格式所作出规定，对处理后数据进行组包并加密，确保数据能够被安全且完整的传输至接收端。在获得加密数据后，接收端先要对其进行解密，再对其准确性进行确认并完成后续的处理，确保数据价值可得到最大程度的实现。

2.4 密钥管理

（1）生成密钥与算法。车地安全传输设计采用三种加密算法，即对称秘钥、非对称秘钥、消息摘要算法。生成密钥的过程与生成算法密切相关，可供本项目使用的算法如：SM3摘要算法，RSA非对称算法，AES对称算法。其中，RSA非对称秘钥算法安全性高、应用范围广泛，缺陷在于秘钥尺寸大，加解密速度慢，通常用于加密少量数据；AES对称加密算法为分组密码，安全性高、运算速度快、资源消耗少、灵活性高；SM3消息摘要算法校验结果为256位，适用于商用密码应用中的数字签名、验证消息认证码生成、验证和随机数的生成。由系统定期生成全新公私钥并替换原有公私钥，对称密钥通常在传输期间生成，其特点为一次一密，这样设计可保证传输过程具有理想保密性，数据自然能够获得全方位的安全保护。

（2）分发密钥。分发密钥所描述内容为生成并向使用者提供密钥的各个环节。传递密钥的关键是借助主密钥为会话密钥提供保护，确保密钥传递安全，同时利用MAC白名单、手机白名单以及IP白名单，对主密钥进行传递。除特殊情况外，公私钥均需要由主密钥进行加密护送，公私钥的作用主要是护送对称密钥，确保其能够得到安全传递。该系统可定期对公私钥进行分发，并借助短信验证对主密钥进行传递，考虑到公私钥的应用频率较高，需定期进行更换，而应用频率较低的主密钥，其更换周期通常较公私钥更长。在分发公私钥时，为保证分发过程安全，通常不会对公钥进行公布，而是采取与私钥相同的方式，即加密发送。对公私钥进行更新的方法如：由服务器根据各接收端情况，分别生成相应的公私钥并进行更新，根据公私钥所搭载信息，对接收端、服务器身份进行验证。

（3）交互系统设计。根据轨道交通运营安全需求，对车载系统进行了升级，以车载旅客资讯系统为例，目前实现了个性化信息切换，通过人工与自动语音相结合的方式，为旅客提供了视频、滚动字幕、静让图片。同时，升级完成后的系统，也实现了信息交互功能，交互对象包括人员基本信息、车辆配属、技术加工单、供应商信息等等，通过上述方式完成对车辆履历的更新。更新后的系统也可与PHM系统和其他子系统进行集成，并通过预留接口调整交互需求。车载交互系统的创新设计，使得系统本身性能得以提升，系统访问量明显提高，可稳定支持100个用户以上同时在线，交互操作的响应时间缩短，其平均响应时间为2s，最长响应时间也未能超过5s，极大提高了车载系统服务稳定性。

3.列车车载软件远程安全传输系统的安全保障

3.1 主机安全

优选安全系数较高的操作系统，对系统版本标注化管理，详细记录各软件版本；针对升级、补丁制定相关方案；定期扫描IT系统软件，包括漏洞扫描、数据库软件安全、中间件安全等进行安全防护处理和检查，确保漏洞及其他安全威胁可得到及时解决；由主机维护人员联合系统运维人员，对主机进行管理，主机维护人员的任务主要是检查硬件安全，系统运维人员负责检查系统配置及数据，并定期开展安全漏洞和安全扫描检查工作。

3.2 数据安全

对数据进行脱敏、备份/删除处理，可确保数据始终处于安全状态。一般来说，由脱敏模块负责筛选数据，以访问者角色为依据，对敏感数据进行相应的模糊处理。对数据进行备份/删除的要点：（1）人工设定备份周期及方式。（2）引入部分备份、增量备份还有全备份3种备份模式。（3）可选择脱机备份或是联机备份。（4）支持人工备份以及自动备份。对于全部数据库用户口令禁止在程序内写死，用户可根据自身需求灵活修改，全部口令均要符合密码复杂度要求。

3.3 应用安全

（1）以用户角色为依据，为其分配相应的操作权限，同时监控其访问过程并进行记录。（2）集中管理账号权限，引入用户会话控制、强密码管理模式，根据现有规则对验证系统进行完善，具体包括：1）保证用户识别是对用户身份进行确认的唯一手段；2）对全部默认密码进行修改；3）不得打印或是显示具体密码；4）连续3次输入错误密码，需禁用该用户身份；5）要求用户定期更换密码，保证密码长度在6个字符以上，同时包括大小写字母、数字及标点符号。

4.结语

本文以远程升级车载软件为切入点，从安全传输的角度出发对相应的升级平台进行了构建，该系统强调以地面维护中心为依托，充分利用软件服务器对数据协议进行可靠且安全的传输，在保证软件得到远程升级的前提下降低运维人员的工作难度并减少其工作量。