列车维护以太网网络安全分析 .pdfVIP

列车维护以太网网络安全分析

摘要：目前大多数的列车网络控制系统都配备了以太网维护网络。通过维护网

络对网络控制系统中各子系统设备进行维护操作、数据自动下传，不但能做到集

中维护，同时提高维护效率。但以太网的使用，也给列车网络控制系统带来了更

多的安全风险。为此，本文对维护以太网的安全风险漏洞进行了相关分析测试，

并提出了相关安全设计思路。

关键词：列车网络系统；维护以太网；安全分析

1.介绍

列车网络控制系统是以计算机控制及网络通信技术为核心的列车控制系统。

通过MVB通信总线连接车辆所有相关子系统控制器，收集列车相关信息并将命

令传送到各车厢，从而实现对全车的控制。该系统通常配备以太网维护网络，将

大多甚至所有子系统设备维护接口连接到该网络，不但可以集中直接对车载各子

系统进行维护，同时维护网配置车地无线设备，可将车载故障等数据入库后自动

下载到地面服务器。但维护以太网及无线设备的引入给列车网络控制系统安全性

也带来了风险。

本文针对当前典型的维护以太网拓扑结构，进行了安全风险漏洞分析及测试，

确认其风险点，并提出了基本的安全风险防护设计。控制通信以太网需要再此基

础上进一步加强非法接入、恶意操作、通信端口堵塞、数据窃听拦截及记录等方

面的安全设计。

2.维护以太网配置及说明

典型6节编组的地铁列车以太网维护网络每节车厢设置1个以太网交换机，

一列车共设置6个，采用总线型结构，贯穿整列车。头车采用3层网管型交换机，

中间车采用2层非网管型交换机，主要连接列车网络控制系统设备及子系统主机，

用于设备维护、车载数据的下载、专家系统数据和故障信息数据等传输至地面等。

维护PC通过接入任一车的交换机，可对连接至该维护网的相关设备进行维护，

包括数据下载、软件加载、设备配置等功能。

车载无线AP与两头车交换机相连，车辆入库后可自动连接地面无线网络将

TCMS故障等车载数据发送至地面服务器接收端。下图所示为典型车载维护网配

置图。

3.当前维护以太网主要安全风险点

基于维护以太网的架构设计及功能，车载维护网络的安全薄弱点主要在于网

络边界的车地无线wifi传输部分，安全设计需考虑通过车地无线传输通道或地面

服务器等对车载系统进行攻击干扰。另外，需同时注意在车载交换机的直连攻击。

4.安全设计

根据系统架构及风险分析，在车载三层网管型交换机处：设置访问交换机的

用户名密码；用户接口协议仅允许HTTPS；仅允许配置的IP设备对其访问。

地面AP接收端设备配置为无线设备服务器端，对其进行了SSID及密码配置。

SSID隐藏，密码采用16位数字加字符，密码设置有效期，禁用密码强度检测。

加密类型WPA2，AES算法一小时更新一次。IP地址过滤、MAC地址过滤功能，

仅允许网络内的IP地址及MAC地址设备连接。

对车载无线AP设备禁用系统日志、Web网页访问功能，并配置网络防火墙

功能，仅允许固定IP设备的TCP协议报文通过。

5.测试验证

如下图搭建简化版测试平台进行系统攻击测试。并按照上述安全思路进行相

关配置。

车载部分配置两台三层网管型交换机，中间车配置一台二层非网管型交换机；

司机显示单元DDU及车辆控制单元VCU各配置一个分别连接到两头三层网管型

交换机，中间通过MVB总线连接进行数据交换；配置一台车载无线AP与交换机

通过以太网连接并实时传输来自车辆控制单元VCU的数据到地面服务器设备。地

面部分配置AP客户端用于接收车载数据，并配置地面服务器解析查看接收的车

载数据。车地之间有实时数据传输。

攻击测试分为三个路径：分别从无线通道，地面服务器端及车载交换机端进

行攻击尝试。

1)通过无线方式尝试接入。在距离车载或地面AP较近且SSID上有正常连接时，

使用相关工具，尝试破解车地无线通信并接入车载系统。

2)攻击设备有线接入地面网络服务器通过ARP欺骗，尝试接入车载网络；

3)攻击设备直接有线接入车载交换机设备对车载系统进行攻击。

6.测试结果

1)通过无线方式接入：

使用Aircrack-ng工具，采用aireplay，伪造解链数据报文，可短暂中断车地之

间通信连接，在再次尝试连接时获取到SSID名字同时录制登陆数据用来进行离线

密码破解，如下图。

但纯暴力密码破解以最理想的2P计算力来评估，12位的全字符集密码破解

需要一万多小