刘逸明,齐志华,向 斌,王龙生

(1.中国铁道科学研究院研究生部,北京 100081； 2.中国铁道科学研究院集团有限公司通信信号研究所,北京 100081；3.中国铁路乌鲁木齐铁路局集团有限公司乌鲁木齐铁建工程咨询有限公司,乌鲁木齐 830011)

近年来，全电子计算机联锁成为车站计算机联锁系统的一个重要发展方向[1-2]，它将车站联锁设备集成并模块化、电子化[3]，减少了设备使用数量，降低了设备维护难度[4]，得到越来越多用户的青睐。目前，在我国部分车站推广使用的全电子联锁系统当中，其电子执行单元通常设计有故障指示及监测功能[5]。在现场实际应用中，电务维护人员可以通过前往现场机械室查询维修机记录、观察执行模块指示灯或通过信号集中监测系统了解当前系统运行状态[6]。但由于存在信号机械室较为严格的作业时间限制、电务人员巡视不及时不到位等因素[7]，进而导致出现不能及时全面发现设备故障或隐患等问题。虽然，通过信号集中监测系统中心服务器可以远程查阅现场设备状态等信息，但其不与外界互联网连接，无法满足电务维护人员随时随地查看设备状态、故障或隐患信息的需要[8]。

为此，以全电子计算机联锁系统为基础，基于窄带物联网技术，研究了一种适用于全电子计算机联锁系统的远程监测系统，将全电子计算机联锁系统电子执行单元产生的监测数据经过动态加密上传至云端服务器，通过固定或移动终端访问云端服务器获取数据采样分析对系统运行状态进行诊断，同时针对系统在无线通信数据传输过程中可能出现的窃取、伪造攻击等风险，提出并分析了系统通信数据加密模型，实现了电务维护人员对全电子联锁系统的实时监测和维护管理。

1 全电子远程监测系统设计

1.1 系统通信方式

我国国土面积广阔，铁路线路所在地之间存在着较大的环境差异，在系统无线通信数据传输设计上，系统的通信方式直接关系到系统的普适性及可用性。通常来讲，设备与服务器之间的通信可以通过有线和无线两种方式来实现。目前，在无线方式上，窄带物联网(Narrow Band Internet of Things)作为新一代物联网通信技术[9-11]，构建于蜂窝网络，消耗带宽不超过180 kHz，可直接部署于GSM网络、UMTS网络或者LTE网络，能够实现平滑升级，与一般的无线网络通信具有低功耗、广覆盖、深穿透等特点，同时相较于传统有线光纤入网方式具有明显的成本优势[12-13]。

表1列出了窄带物联网与传统的光纤入网方式的对比，可以看出窄带物联网相较于光纤宽带入网方式在建设、运营成本、空间占用等方面存在着显著优势，同时其信号强度及通信速率也可以满足较为恶劣环境下的通信要求。

综合考虑各项入网方式的优劣，全电子联锁远程监测系统设计采用窄带物联网的方式实现系统状态信息与远程用户端的交互。

1.2 系统功能分析

全电子联锁远程监测系统主要用于实现电务维护人员及设备研制单位对全电子联锁设备稳定的实时监控。因此，结合系统选用的窄带物联网通信方式的固有特点，系统功能包括：(1)实时推送全电子联锁执行单元故障报警或故障恢复信息；(2)若某时段内出现大量频繁故障信息，为保证SIM卡流量使用不超过预存额度，则暂时中断该类信息传输，等待维护人员到达现场处理故障；(3)接收来自用户终端的查看设备运行状态指令，并发送状态信息至用户终端；(4)接收来自用户终端的控制通信模组指令，并发送执行状态信息至用户终端；(5)加密传输数据信息及设定访问权限。

在上述系统通信方式及功能分析的基础上，进行了系统的硬件及软件设计。

1.3 系统硬件设计

全电子联锁远程监测系统通过远程通信单元、云服务器管理单元及用户终端3个部分来实现电务维护人员对全电子联锁的监测功能。其中远程通信单元将从电子执行单元中采集到的设备运行状态及相关模拟量信息，进行相关逻辑及编码处理并发送至云服务器管理单元，电务维护人员通过搭载系统软件的通用终端访问云服务器管理单元获取监测数据。在这种工作方式下，远程通信单元承载着发送设备数据、接收用户命令及相关逻辑处理任务，为实现系统相关功能，需要对远程通信单元进行硬件设计。

远程通信单元为了实现云端与全电子执行单元安全且稳定的通信，采用热备冗余结构，其基本结构及接口如图1所示。

图1 全电子联锁远程监测系统结构

由图1可以得到，远程通信单元主要包括逻辑层、通信层及相关通信接口、电源层。

(1)逻辑层由两套互为主备的逻辑处理模块组成，用以完成用户与设备进行信息交互的逻辑处理，两模块分别通过串口与监测通信分机通信，接收来自全电子执行单元的设备相关信息，进行相关逻辑运算及加密处理后通过通信层的窄带物联网模块发送至云端，同时逻辑处理模块从通信层接收云端发来的用户指令，进行相关运算处理后将相应信息反馈给用户。逻辑处理模块之间进行主备通信，当一个模块逻辑处理或通信出现故障时，可以自动启动另一个模块，保证系统的稳定运行。

(2)通信层由两套完全相同的窄带物联网通信设备组成，包括窄带物联网通信模块，运营商SIM卡卡槽，天线等部分，用以完成远程通信单元与云端的通信联络。远程通信单元与监测通信分机之间采用串口通信，保证通信速率的同时兼顾了信息传输的安全性。

(3)电源层实现为远程通信单元供电的功能，可将输入的220 V电压转换为远程通信单元所需要的5 V工作电压。

1.4 系统软件设计

通过对系统进行功能分析，结合系统硬件设计，针对远程通信单元及用户终端分别进行软件设计研究。图2分别给出了两部分的软件流程。

图2 远程通信单元及用户终端软件流程

(1)远程通信单元部分的软件在对相关变量及通信模组进行初始化后，进入循环结构完成相应功能。如图2所示，远程通信单元分为两系共同工作，当系统状态发生变化或接收到用户端指令时，主系对数据进行加密并向服务器上传相关数据，如果数据上传失败则调用切系函数降为备系，确保用户能够接收到设备实时的故障信息。

(2)用户终端软件为获取设备信息，需要向云服务器管理单元提交身份认证信息，获得许可后发送查看设备运行状态等指令，凭借分配的密钥对接收到的设备状态等信息进行解密获得数据明文。

2 系统通信数据加密

全电子联锁远程监测系统数据通信采用无线方式，为了提高系统安全性并防止数据传输过程中可能出现的信息窃取、伪造信息传输等问题发生[14]，系统通信数据设计采用了一种数据加密模型[15]，同时为兼顾用户使用体验，研究了一种优化算法[16-17]，用于刷新加密密钥。

为保证信息传输过程的安全性，系统在云服务器管理单元设置密钥管理模块，用于向远程监测单元及用户分配及更新密钥，其基本架构如图3所示。

图3 系统数据加密传输架构

(1)

式中，t为密钥管理模块时间戳；Sid为车站的服务ID；Rnd()为随机函数，产生∈(0,1)的随机小数；h()为哈希算法。

本系统中采用SHA-256算法[18-19]，对上述参数进行两次哈希运算后生成一个固定长度为256 bit的密钥，随后用该站的既有密钥按式(2)对其进行AES对称加密[20]后传输给设备远程监测单元及用户使用。

设备远程监测单元及用户接收到新的密钥后，也采用AES对称加密算法，按式(3)对密钥进行解密得到该密钥，并返回确认信息至密钥管理模块，完成后以新的密钥对数据进行加密解密。

(2)

(3)

式(2)中，CS为待传输数据密文；E()为加密函数。式(3)中，PS为待传输数据明文；D()为解密函数。各个车站设备的密钥按照一定的时间周期进行更替，以保证信息传输的安全性。考虑到密钥管理模块与设备远程监测单元之间的通信受NB-IoT网络的限制，可能导致通信超时或丢包导致的密钥更新失败的情况发生，因此，密钥更新兼顾更新成功率、更新所用时长两个指标用于确保信息传输的可靠性，定义函数作为衡量密钥更新模型的指标：

ε=(1-PS)·TA

(4)

式中，ε为模型评估参数；PS为密钥更新成功率；TA为密钥更新所用平均时长。

由公式可以得到，参数ε与密钥更新成功率成反比，与密钥更新所用平均时长成正比，能够反映密钥更新模型的性能。根据该模型的数据交互过程，每次更新密钥所用时间可由下式表示

(5)

式中，N为密钥重传次数；TW为设定的等待确认消息最长时间；TS1和TS2分别表示密钥传输时长及返回确认信息所用时长。

当密钥管理模块发送密钥失败、远程监测单元未接到更新密钥消息、单元未返回确认信息且超过最大重传次数时，认定为该次密钥更新失败，设n为实验总次数，s为实验密钥更新成功次数，则可以得到

(6)

PS=s/n

(7)

联立式(4)、式(6)、式(7)可以推出

(8)

由式(8)可知，在该系统加密模型中，可以通过调整最大重传次数Nmax及等待确认消息时间TW来满足密钥更新的可靠性及时效性。故在该模型中，设定初始值为Nmax=2，此后随着每次密钥更新，基于近期数据传输丢包率情况进行动态调整，其流程如图4所示。

图4 系统密钥更新流程

图4中，参数δS是由近期数据传输丢包情况确定的经验值，作为调整最大重传次数的参照值，其与丢包率值成正比关系。由此可以得到，该模型可以随着网络状况的变化动态调整最大重传次数，从而达到优化更新成功率及更新所用时长的目的，确保了信息传输的可靠性。

3 系统设计及数据加密模型验证

3.1 系统设计测试

根据对全电子联锁远程监测系统设计的研究，研制了系统样机。将全电子联锁远程监测系统样机接入全电子计算机联锁系统当中进行系统功能测试，测试结果表明：远程监测系统能够准确表示全电子联锁的运行状态，当联锁系统出现故障时，全电子联锁远程监测系统能够准确及时地推送故障信息至用户终端，实现了终端主动发送命令查看联锁系统当前的设备状态信息及控制通信模块功能，能够满足电务维护使用要求。系统用户终端软件界面如图5所示。

图5 用户终端软件界面

3.2 系统通信数据加密模型验证

根据对系统通信数据加密模型及算法分析，密钥更新的成功率取决于当前环境通信的丢包率、设定的最大重传次数及等待确认消息时长。因此，采用将全电子联锁远程监测系统通信单元置于使其通信丢包率发生变化的不同屏蔽效果环境下，应用研究设计的通信数据加密模型及算法和单纯仅设置固定最大重传次数两种方法，对系统加密数据进行通信测试，用以对比验证研究设计的通信数据加密模型及算法的优越性、正确性，其更新成功率对比如图6所示。

图6 系统密钥更新成功率对比

由图6可以得到，随着通信丢包率的变化，研究设计的通信数据加密模型及算法生成的数据密钥更新方法能够对最大重传次数进行动态调整，密钥更新的成功率要高于设置固定最大重传次数的方法，较设置固定最大重传次数的方法有更高的正确性和更强的优越性。

在综合性能上，采用改变环境条件的方式调整通信丢包率对系统加密数据进行通信测试，并以同等条件下获得的模型评估参数值ε作为标准综合考量两方法的密钥更新成功率及所用时长，测试结果如图7所示。

图7 系统密钥更新评估参数对比

测试结果表明，系统密钥更新模型在不同环境下的成功率及性能两方面均优于设定固定最大重传次数更新密钥的方法，当通信环境恶劣时，其优势更为显著，采用该方案能够更有效地对密钥进行更新，从而确保了信息传输的可靠安全。

4 结语

随着窄带物联网的推广，在铁路领域中应用窄带物联网技术研究铁路信号系统顺应了科技发展趋势。这种基于窄带物联网技术的全电子联锁远程监测系统研究设计，实现了对全电子计算机联锁系统的远程监测功能，其通信数据信息传输加密方法能够在不同的现场环境下兼顾信息传输的安全性、所用时长及成功率，达到了预期的目的和效果。此外，这种研究设计的全电子联锁远程监测系统还具有成本较低、体积较小、相关功能易于扩展、能够及时有效地推送设备状态或故障信息给维护人员进行识别等特点，对于及时有效地排查计算机联锁系统设备故障隐患、缩短设备维修维护时间、提高铁路运营效率等，具有积极的推动作用和现实意义。