基于GSM-R的列控通信系统安全防控
2016-01-25程学庆邓一维唐于宋筱茜
程学庆,邓一维,唐于,宋筱茜
(1.西南交通大学 交通运输与物流学院,四川 成都 610031;
2.西南交通大学 综合交通运输智能化国家地方联合工程实验室,四川 成都 610031)
基于GSM-R的列控通信系统安全防控
程学庆1,2,邓一维1,唐于1,宋筱茜1
(1.西南交通大学 交通运输与物流学院,四川 成都 610031;
2.西南交通大学 综合交通运输智能化国家地方联合工程实验室,四川 成都 610031)
摘要:为适应我国高速铁路列车通信的要求,我国采用全球领先的GSM-R通信系统作为高速铁路列车的移动通信系统。但由于网络结构和自身开发平台等的一些制约,GSM-R本身存在一定的安全风险。经过简单分析GSM-R通信系统的网络构成和工作原理,并针对GSM-R系统可能存在的安全风险从人为因素、设备因素、环境因素和管理因素4个方面应用事故树分析的方法得出安全风险的重要度并对每个重要度从高到低进行排序,最后对相应的危险因素提出风险控制措施。
关键词:GSM-R;通信传输;风险分析;风险控制
为适应高速铁路列车最高速度350 km/h的要求,原铁道部正式确定将GSM-R(Global System for Mobile Communication-Railway)系统(铁路综合数字移动通信系统)作为我国铁路移动通信的发展方向。正是随着我国高速铁路和客运专线的修建,使GSM-R系统作为铁路专用无线通信系统得到了更好的发展与应用,它基于GSM,但两者又有不同。GSM是ETSI(欧洲标准化组织)提出的数字蜂窝抵用通信标准,其业务主要有用户终端业务、承载业务和补充业务。而GSM-R系统在业务方面增加了广播呼叫(VBS)、组呼(VGCS)、多优先级强插与抢占(eMLPP)等这些专业性更强的业务来完成一整套调度语音通信业务,让GSM-R系统可以提供铁路行车调度与列车控制数据传输、列车无线调度电话、区间及枢纽公务移动通信、应急抢险通信和旅客服务信息传送等服务功能[1-4],符合高速车-地通信技术的需要。在欧洲,随着高速铁路在欧洲发达国家迅速修建,欧洲各国急需解决列车在高速运行中的稳定可靠的语音数据传输。由于GSM-R成本相对较低,运行性能稳定可靠,并且专业业务性更强等特点,GSM-R系统在欧洲得到了广泛应用。在我国,2002年以来原铁道部决定将GSM-R系统引入中国作为铁路专用移动通信系统,并在试点线路青藏线、大秦线和胶济线取得成功。现在GSM-R已经在如京津城际等客运专线上发挥巨大作用。今后GSM-R系统将逐渐构建相关无线接入网络接口,从而最终覆盖整个中国铁路网络。GSM-R虽然比传统铁路通信设施有明显的优势,但是由于GSM系统在安全设计上并不完善,在运行中也随之暴露了一些安全问题,对高速铁路行车安全也产生了一定的影响。
1GSM-R系统网络构成及工作原理
1.1 GSM-R系统网络构成
GSM-R系统网络主要包括移动台(MS)、基站子系统(BSS)、网络子系统(NSS)和操作与维护子系统(OSS)4部分,如图1所示。
图1 GSM-R系统网络结构Fig.1 Structure of GSM-R system network
移动台(MS)包括了移动端和终端设备,通过无线接口Um接入到GSM-R系统;基站子系统(BSS)主要包括基站控制器(BSC)、基站发收信机(BTS)和编码速率适配单元(TRAU)组成;BTS与BSC之间由Abis接口实现无线连接,并且移动终端中的GSM-R车载电台通过Um接口与BTS相连,从而实现车-地之间的通信[5];网络子系统(NSS)的主要作用是完成网络的交换功能,管理用户、移动台和固网(PSTN)的接口,它的组成部分包括了语音组呼与广播寄存器(GCR)、访问位置寄存器(VLR)、归属位置寄存器(HLR)和移动设备识别器(EIR)等[6]。网络子系统(NSS)建立在移动交换中心(MSC)上,负责端到端的呼叫、用户数据管理、移动性管理和与固定网络的连接。 NSS 通过A接口连接 BSS,与固定网络的接口决定于互联网络的类型[7];操作和维护子系统(OSS)是相对独立的子系统,其主要功能是移动用户管理、移动设备管理、网络操作和控制。这些功能主要是通过操作维护中心来完成的,其中OMC-R负责管理基站子系统,OMC-S负责管理网络子系统[8];外部网络主要包括公共交换电话网络(PSTN)、综合业务数字网(ISDN)、分组交换数据网(PSDN)等。其主要功能是实现与外部固定网络之间的链接与通信[9]。
1.2 GSM-R系统的工作原理
GSM-R系统主要包括了以下3个部分:车载设备、地面设备以及车地之间无线通信传输设备。其地面设备主要包括地面车载主控主机、通信接口、信号微机监测接口等;车载设备主要有车载主机、GPS定位系统、列车运行安全监控记录装置通信接口和查询器等[10-11]。如图2所示,当高速铁路列车进入GSM-R系统无线场强覆盖范围内时,地面设备将采集到的行车信息,包括行车许可、空闲闭塞分区数量、道岔限速、线路长度和列车定位等,经过安全编码处理后,通过车地之间的无线传输设备发送给列车,列车工作人员可通过列车上的车载无线通信设备接收到的行车信息,利用车载无线通信设备自动生成防护曲线可判断列车行驶是否正常,若列车行驶不正常,列车员可通过无线设备通知指挥列车安全运行[12]。目前,GSM-R系统在高速铁路列车上已得到了广泛应用,并在专业性上得到了认可。但由于GSM系统存在的安全隐患GSM-R系统中同样也存在,同时由于GSM-R的网络特殊性,它可能还存在其他的安全隐患。这些安全隐患可能出现在通信接口,导致地面设备无法与车载设备同步,也可能是黑客侵入信号微机监控接口,导致传输信号外泄,或者是车载无线通信设备出现故障,导致地面工作人员无法知道列车运行情况。这些隐患,都将可能导致高速铁路列车运行出现危险。
图2 GSM-R工作原理图Fig.2 GSM-R working principle diagram
2GSM-R系统的安全影响因素分析
2.1 人为因素
在利用GSM-R系统进行通信传输运作过程中会遇到许多人为因素造成的问题,主要分为工作人员失误和人为攻击系统。工作人员错误:1)未严格遵守安全准则。在日常行车、维护过程中,由于图方便省事,有些铁路工作人员没有严格遵守安全准则,甚至违规操作,这样做常常会存在安全隐患,久而久之,这些问题积累而又没有引起重视可能会导致安全事故。2)工作人员操作失误。在日常行车、维护过程中,由于有些工作人员刚上岗位对工作流程、业务不熟悉或个人生理原因可能造成高速铁路列车通信出现安全隐患,并对出现的这些安全隐患存在侥幸心理,没有向上级汇报,直到发生安全事故,在紧急情况下惊慌失措,犹豫不决导致更大的列车安全事故。3)部分职工素质不高。职工的素质高低是作业标准化水平高低的关键和前提,高水平的职工素质能够引导其他职工标准化作业,二者成因果关系。目前,作业标准化在现场作业中没有得到足够的重视,不能在职工中很好地贯彻执行,很多一线职工特别是年轻职工对业务知识只是停留在熟练的基础上,认为车站的工作大多是熟练工,无较深的理论知识,在设备维护上出现瓶颈,导致在通信上容易出现安全隐患。
人为攻击系统:1)利用无线接口进行攻击。由于与GSM系统结构相同,在GSM-R系统网络传输过程中,移动基站和固定网络断之间的所有通信都只能依靠无线接口来传输数据。但无线接口是开放的,任何拥有适当无线设备的人员都可以通过此无线接口来窃听无线信道从而获得其中的传输信息,所以GSM-R系统存在来自无线接口的网络攻击,其攻击方式主要包括无线窃听、假冒身份和篡改数据,攻击类型主要分为非授权访问数据、非授权访问网络和威胁数据完整性,如表1所示。2)利用网络端进行攻击。GSM-R系统中,网络端的组成比较复杂,不仅包括各种功能单元,而且不同单元之间的通信媒质也不尽相同。因此,由于网络端结构组成复杂,攻击者可以利用无线窃听、假冒身份、篡改数据和服务抵赖等方式进行攻击。根据其攻击类型也可分为非授权访问数据、非授权访问网络服务、威胁数据完整性和服务后抵赖,如表2所示[13]。3)利用移动端进行攻击。用户的手持式移动设备如果丢失,有可能被黑客利用,从而获取信息。
表1 无线接口攻击方式
表2 网络端攻击方式
人员管理力度不足:1)激励机制不到位。由于缺乏适当的奖励和惩罚机制,当前,车间对上级的检查通报,虽然都能及时在广大职工中传达学习并提出整改措施,,防止同样问题重发发生,但缺少奖励和惩罚措施,同样的问题容易重复发生。2)三级安全教育不足。对新入职员工进行三级教育时,由于管理的疏忽和对三级安全教育的不重视,容易产生教育程序不明,教育级别不全,教育实践不够,教育内容陈旧,教育形式单一,教育走过场等现象,让职工对安全不够重视,忽视安全的重要性,在遇到突发事故时难以及时处理造成安全隐患。3)防护制度不足。没有建立严格的防护制度,办公与维护若共用计算机网,易受到病毒和黑客攻击。某些工作人员在维护用计算机上办公或做一些与维护无关的工作也易受到攻击。维护用计算机还应取消使用常用外接接口,避免外部存储介质与计算机接触[14]。4)防护技术不足。没有专业技术工程师,提供技术支持。没有在计算机维护终端上安装杀毒软件、定期升级操作系统的补丁软件和在网络上安装防火墙使通信系统存在安全漏洞。对于不通过防火墙的网络连接,没有安装如入侵检测系统(IDS)等系统,对系统进行动态监测,预警黑客可能的攻击,使通信系统存在潜在的安全隐患。
2.2 设备因素
通信设施是GSM-R系统通信传输中的基础设备,其设备好坏将影响信息传输的质量。高速铁路的特点是路线长,设备多且较分散,线路分歧点多。若通信设备质量不过关,无法保证安全传输信息的要求[15]。1)线路自动检测技术水平不高。GSM-R系统中基站与交换机、交换机之间为有线连接,部分地区基站与交换机、交换机之间过长,如果在长距离传输过程中其中一点出现问题,或线路有所破损。现在的通信检测技术难以在短时间内找到出现问题的具体位置。在确定具体位置的过程中,高速铁路的通信随即受到了影响,可能会给整个高速铁路运输受到损失[16]。2)信号可靠性不高。高速铁路通信是沿铁路沿线建设,铁路沿线不仅只有高速铁路通信线路,在不同地区也会有不同信号源,而GSM-R通信与其他通信传输一样属开放信号,这样难免会出现信号相互交杂的混杂现象[17]。加之铁路沿线设备多且分散难以管理,或遇恶劣天气,这些因素的叠加可能影响整个沿线信号的可靠性[18]。3)对设备的日常防护不足。由于GSM-R通信系统地面设备多且分布在铁路沿线,对于日常维护是一个难题,常常因为维护人员自身原因或突发状况,产生维护不到位的情况,使高速铁路通信出现问题,带来安全隐患[19]。
2.3 雷害因素
高速铁路通信安全还应注意防雷击。我国由于地缘辽阔,气候复杂,某些地区属易发生雷害区域,GSM-R系统一旦受到雷击影响可能会对铁路通信产生重大影响。在温州“7.23”中,雷击致使温州南站轨道电路4个发送盒损坏,造成轨道电路与列控中心信号传输的CAN总线阻抗下降,导致5829AG轨道电路发送器与列控中心通信故障,从而引发该事故。所以应有效防止雷害对高速铁路通信的影响。
2.4 应急预案
若由于以上原因对GSM-R通信系统产通信产生了重大影响,从而可能对高速铁路列车行车产生重大安全隐患的,应有相对应的应急方案,来有效控制、减少安全隐患。
3GSM-R安全风险分析及控制
3.1 GSM-R安全风险分析
3.1.1事故树分析
利用事故树对GSM-R系统进行风险分析。事故树又称故障树,是一种演绎的系统安全分析方法。它是从要分析的特定事故或故障开始层层分析其发生原因,一直分析到不能再分解位置。将特定的事故和各层原因之间用逻辑门符号链接起来,得到形象、简介地表达其逻辑关系的逻辑树图形[20]。根据上节对GSM-R各安全因素的分析,便可绘制其顶上事件及其有关的所有之间原因和各种因素。其事故树如图3所示。
图3 GSM-R系统安全事故树Fig.3 Fault tree analysis of GSM-R system
3.1.2结构重要度分析
依据GSM-R系统安全事故事故树可以求出最小割集。该事故树的结构函数式为:
T=(A1+A2+X1)X14
T=X14B1B2+X14A2+X1X14
=X14(C1+C2)(X2+X3+X4+X5)+X14X15(X6+X7)+X1X14
=X14(X8+X9+X10+X11+X12+X13)(X2+X3+X4+X5)+X6X14X15+X7X14X15+X1X14
=X2X8X14+X3X8X14+X4X8X14+X5X8X14+X2X9X14+X3X9X14+X4X9X14+X5X9X14
=X2X10X14+X3X10X14+X4X10X14+X5X10X14+X2X11X14+X3X11X14+X4X11X14+X5X11X14
=X2X12X14+X3X12X14+X4X12X14+X5X12X14+X2X13X14+X3X13X14+X4X13X14+X5X13X14
=X6X14X15+X7X14X15+X1X14
得出最小割集共计27个最小割集。然后进行结构重要度分析,由式(1)算得结构重要度系数。
(1)
I(1)=I(15)=0.5
I(2)=I(3)=I(4)=I(5)=1.5
I(6)=I(7)=0.33
I(8)=I(9)=I(10)=I(11)=I(12)=I(13)=1
I(14)=7
结构重要度顺序为
I(14)>I(2)=I(3)=I(4)=I(5)>I(8)=I(9)=I(10)=I(11)=I(12)=I(13)>I(1)=I(15)>I(6)=I(7)
通过分析可知该事故树有27个最小割集,其中任何一个发生都会导致顶上事件的发生。通过分析可知出台有效的危险应急预案是防止GSM-R系统安全事故的最重要的环节,其次是落实激励机制,严格进行三级安全教育,建立有效的防护制度并保障合理的防护技术。另外,应严格遵守安全准则,杜绝工作人员操作失误,提高部分职工素质等措施也是减少GSM-R通信事故的重要方法。
3.2 GSM-R系统安全风险控制
3.2.1对人为因素的控制
1)对工作人员的控制。深化教育,注重安全意识的培养。通过各种形式,如岗前培训、岗中带班、岗后总结、专题培训等来提高员工的安全责任意识,形成严格标准化、遵规守纪常态化的队伍。2)对GSM-R系统网络攻击者的控制。GSM-R系统对接入网络的用户身份进行认证,采用与其他开放信号和固定网络不通的算法,当信令失败时需要保证系统能够自我恢复以减少网络的运行风险;GSM-R系统对用户身份、信息和数据进行加密是为了防止网络攻击者盗取合法用户的无线网络资源。
3.2.2对设备因素的控制
1)建立安全监测机制。由于高速铁路通信的特殊性,为更好地保障通信安全,应建立全方位安全监测机制。构建铁路通信安全监测机制为了远程实时监控各个站点安全状况,并及时提醒维护人员所存在安全隐患;2)合理选择通信方式。无线传输的方式成本较低,信息传输容量也较大,但抗干扰能力不足,而光纤传输具有抗干扰能力强,信号传输质量高等优势,在特殊地区可使用光纤传输弥补无线传输的不足。
3.2.3对雷害的控制
在高速铁路全路段都应装备铁路防雷系统。铁路防雷系统是雷击发生时,雷击放电诱发雷击电磁脉冲过电压和过电流,经站场电源系统、通信信号传输通道、接地系统及建筑物直击的雷防护系统,要求必须在车站的供电系统、天馈系统、信号采集传输系统、程控交换系统、计算机网络系统、机房接地系统等进行可靠有效的防护,在拦截、分流、均衡、接地、布线、布局等方面作完整的,多层次的综合防护。
3.2.4应急预案
针对可能出现的不同的安全隐患,应及时出台不同的危险应急预案,以减少当危险发生时带来的伤害。1)GPRS系统应急预案:若SGSN、GGSN设备掉电或宕机,GPRS业务将全部中断。此时,应首先通知调度员,同时快速定位故障点,进行故障排查,定位故障原因并处理,联系厂家工程师进行技术支持,恢复后进行业务的恢复确认。2)MSC系统技术应急预案:当MSC宕机时,应首先检查供电情况,如无异状再根据故障现象定位故障点,采用主备主控板切换、软复位和再启动、更换板卡等方法排除故障,同时联系厂家进行技术支持;当MSC与调度交换系统全部中继阻断时,应通知列车调度员或车站值班员采用自动电话、GSM-R手持终端等方式保持与司机的应急联络;当MSC与BSC(TRAU)通信中断时,应先判别故障点,再采取相应措施排除故障。3)无线子系统技术应急预案:当BSC、编译码和TRAU故障时,应对其系统进行排查,定位故障点并处理;当BTS或区间直放站故障时,应及时锁闭故障基站,在天窗点内要点处理。4)机车综合无线通信设备(CIR)应急预案:当CIR故障时,工作人员应判断终端语音、数据模块工作情况,可通过司机GSM-R手持终端联络司机,指导复位CIR设备;当CIR语音模块故障不能通过复位恢复时,列车调度员和司机间可通过司机GSM-R手持终端进行语音联络;当CIR数据模块故障不能通过复位恢复时,应及时在调度所的《行车设备检查登记簿》内登记停用,动车组入库后处理。
4结论
1)GSM-R通信系统与传统铁路通信系统相比在可靠性和效率性上得到了相当大的提升,极大满足了高速铁路列车的通信需求。
2)GSM-R通信系统是基于GSM系统平台建立,由于GSM自身平台和设计网络结构的不完善,可能造成高速铁路安全隐患。
3)利用事故树分析法从人为因素、设备因素、雷害因素和管理因素四个方面分析了容易产生安全隐患的行为,并计算出了各行为的危险重要度。出台及时有效的应急预案是避免或减少危险的重要举措。铁路通信部门应对各个可能发生的安全隐患做好充分准备,制定有针对性的应急预案将危险降至最小。
参考文献:
[1] 郑州铁路局.高速铁路通信[M].北京:中国铁道出版社,2012.
Zhengzhou Railway Bureau.High speed railway communication[M].Beijing: China Railway Publishing House, 2012.
[2] 蒋笑冰.GSM-R 系统技术演进发展方向[ J ].铁路技术创新, 2011(2): 126-129.
JIANG Xiaobing.GSM-R system technology evolution direction of development[J] .Railway Technological Innovation, 2011(2):126-129.
[3] 钟章队,艾渤,刘研秋.铁路数字移动通信系统(GSM-R)应用基础理论[M].北京:清华大学出版社,北京交通大学出版社,2009:43-68.
ZHONG Zhangdui, AI bo, LIU Yanqiu.GSM-R application basic theory[M].Beijing: Tsinghua University Press, Beijing Jiaotong University Press, 2009:43-68.
[4] 柯嘉.浅析GSM-R技术在我国铁路通信的应用及发展趋势[J].科技创新与应用,2012(8):32.
KE Jia.The application and development trend of GSM-R technology in railway communication in China[J].Technology Innovation and Application, 2012(8):32.
[5] 卢西文.CTCS-3系统中GSM-R的可靠性研究[D].兰州: 兰州交通大学,2010:1-10.
LU Xiwen.Reliability of GSM-R in CTCS-3 system[D].Lanzhou: Lanzhou Jiaotong University, 2010:1-10.
[6] 杨花.基于GSM-R系统信息安全传输的研究[D].成都:西南交通大学,2014:5-6.
YANG Hua.Research on GSM-R system information secure transmission[D].Chengdu: Southwest Jiaotong University, 2014:65-6.
[7] Pande A, Ramamurthi V, Mohapatra P.Quality-oriented video delivery over LTE usingadaptive modulation and Coding [J].Proceedings of IEEE Global Communication Conference, 2011(3): 1-5.
[8] Lin S, Zhong Z, Ai B.Transmission interference improvement of railway communication via distributed antennas system [C]//Proceedings of IEEE 71st Vehicular Technology Conference, 2010: 1-5.
[9] 耿直.胶济线GSM-R无线通信系统工程[J].北京:铁道通信信号,2006,42(2):34-37.
GENG Zhi.GSM-R wireless communication system engineering Jinan line[J].Railway Communication Signal, 2006,42(2):34-37.
[10] Rappaport T S.Wireless communication principles and practice [M].2nd ed.Beijing: Publishing House of Electonics’ Industry, 2008.
[11] Wang F, Huang J, Zhao Y.Delay sensitive communications over cognitive radio networks[J].IEEE Transactions on Wireless Communications, 2012, 11(4):1402-1411.
[12] Sklar B.Digital communications: fundamentals and applications [M].2nd ed.Beijing: Publishing House of Elec-tonics’ Industry, 2008.
[13] Aguado M.Wimax on rails [J].IEEE Vehicular Technology Magazine, 2008, 3(3):47-56.
[14] 李雷,郑伟.GSM-R网络结构及各系统概述[J].大科技·科技天地,2011 (5):88-89.
LI Lei, ZHENG Wei.Overview of GSM-R network structure and system[J].Super Science, 2011(5):88-89
[15] Yeh C, Chow C, Liu Y, et al.Theory and technology for standard wimax over fiber in highspeed train systems [J].IEEE Journal of Light Wave Technology, 2010, 28(15):2327-2336.
[16] 钟章队,任静.对国内外GSM-R发展的研究[J].移动通信,2007(7):26-28.
ZHONG Zhangdui, REN Jing.Study on the domestic and foreign GSM-R development[J].Mobile Communication, 2007(7):26-28.
[17] 庄小君, 吴昊.浅析GSM-R网络系统的安全[C]//GSM-R移动通信及无线电管理学术会议论文集.北京:北京交通大学现代通信技术研究所, 2006:44-48.
ZHUNAG Xiaojun,WU Hao.Analysis of GSM-R network security system[C]// Symposium on mobile communications and radio management in GSM-R.Beijing: Beijing Jiaotong University Modern Communication Studies, 2006:44-48.
[18] 刘小英,邢丽芬.铁路通信信号设备维护计算机的安全防护[J].铁路通信信号,2006,42(11):33-34.
LIU Xiaoying,XING Lifen.Railway signal and communication equipment maintenance and safety protection of computer[J].Railway Signal and Communication, 2006,42(11):33-34.
[19] 张艳辉.关于铁路通信网光纤传输安全及其保护措施分析[J].信息通信,2013(3):206-207.
ZHANG Yanhui.Analysis on the railway communication network security and protection measures of optical fiber transmission[J].Information Communication, 2013(3):206-207.
[20] 罗云,樊运晓,马晓春.风险分析与安全评价[M].北京:化学工业出版社, 2009:162.
LUO Yum,FAN Yunxiao,MA Xiaochun.Risk analysis and safety evaluation[M].Beijing: Chemical Industry Press, 2009:162.
(编辑蒋学东)
Safety analysis of communication system in train control system based on GSM-R
CHENG Xueqing1,2,DENG Yiwei1,TANG Yu1,SONG Xiaoqian1
(1.School of Transportation and Logistics, SouthwestJiaotong University, Chengdu 610031, China;
2.National United Engineering Laboratory of Integrated and Intelligent Transportation, SouthwestJiaotong University, Chengdu 610031, China)
Abstract:In order to meet the requirements of China's high-speed railway train communication,our country adopts the GSM-Ras the mobile communication system of high-speed railway.But GSM-R itself has some certain safety factors, because of some restricting network structure and its development platform.This paper briefly described the network composition and working principle of the GSM-R system.From the aspects of human factors, equipment factors, environmental factors, and management factors, the possible security risks were also analyzed.This paper used method of fault tree the security risk and importance of each important degree from high to low ranking.Finally to analyze the risk control measures for the corresponding risk factors were put forward.
Key words:GSM-R; communication transmission; risk analysis; risk control
通讯作者:程学庆(1978-),男,江苏连云港人,副教授,博士,从事交通运输安全理论及技术、交通运输系统决策与优化、智能交通理论与应用技术研究;E-mail: cxq@swjtu.edu.cn
基金项目:中国铁路总公司科技研究开发计划重点资助项目(2014D001-B);郑州铁路局科技计划资助项目(2014Q1)
收稿日期:2015-04-12
中图分类号:U285.21+1
文献标志码:A
文章编号:1672-7029(2015)06-1289-07