汤紫霖，肖立志，伍 岳，周雪冬

（湖南中车时代通信信号有限公司，长沙 410119）

列车运行监控装置 (LKJ) 是铁路机车、动车的重要组成部分，是用于防止列车冒进信号、运行超速事故，辅助机车、动车组司机提高操纵能力的重要行车设备[1]。LKJ 车载数据是LKJ 控制功能实现的基础和进行运行分析的依据。随着运行线路、运输机车及行车方式的不同，LKJ 数据也不同[2]。而这些LKJ 基础数据往往需要采用人工上车用IC 卡等方式将数据写入LKJ 装置的芯片中[3-4]。在换装工作较多时，这种换装方式耗费大量的人力和物力，涉及电务、机务、调度、工务等多部门协调，且跨路局换装成为换装工作的一个难点和痛点[5]。

近年来，基于远程无线网络（4G/3G）进行LKJ 无线数据换装成为一种全新的换装方式，具备快速、便捷、减少人员投入、减少协调等优点[6]。但是同时也面临网络安全问题，LKJ 数据无线换装涉及LKJ 列控装置，十分关键，一旦数据被破坏或者篡改，将可能危及行车安全，造成人生伤害乃至危害国计民生、公共利益，因此LKJ 安全通信装置就具有非常重要的作用[7]。

1 LKJ无线数据换装系统组成

LKJ 无线数据无线换装系统由地面换装系统和车载LKJ 安全通信装置组成，LKJ-15 主机通过安全通信装置与地面换装系统进行远程无线通信（3G/4G）。安全通信装置在与地面换装系统通过公网建立IPsecVPN 通道后，从地面换装服务器获取LKJ 换装数据，并进行解密、解压、校验、暂存并对LKJ 主机进行换装等工作，如图1 所示。

图1 LKJ无线数据换装系统组成图Fig.1 LKJ wireless data reloading system composition diagram

2 安全通信装置的总体功能设计

LKJ 安全通信装置的总体设计如图2 所示，以实现防护的需求，包括硬件功能和软件功能，其中软件功能又分为网络层功能和应用层功能[8]。为LKJ 换装数据建立可信任的网络区域间通信的模型，采用白名单的安全策略，过滤一切非法访问，保证只有可信任的设备能够接入铁路网络，只有可信任的数据可以在网络上传输，为机车内部数据与铁路局段管理的LKJ 换装数据通信连接提供安全保障。从多个层面对LKJ 换装数据的完整性、可靠性的进行保护。

3 安全通信装置的硬件设计

图2 LKJ安全通信装置的功能设计图Fig.2 Functional design diagram of LKJ security communication device

本文设计一种基于ARM 处理器的安全通信装置，具备嵌入式防火墙功能。采用的处理器为飞思卡尔公司的多核ARM CORTEXTM-A9 处理器IMX6 芯片，该芯片具有处理速度快、资源丰富、功耗低、温升低等特点，符合作为机车嵌入式装置的主处理器需求。256 kB 指令和数据L1 缓存，带一个错误检测与校正位，针对指令和数据缓存提供ECC 保护，每个内核256 kB 的一致性L2缓存，带一个错误检测与校正位，提供ECC 保护。无线安全通信装置的主板硬件架构原理如图3 所示。其组成包括：CPU 核心电路（时钟、电源管理电路、看门狗电路以及调试接口）、DDR、NOR flash、eMMC、国密芯片、FPGA、无线通信电路等部分组成。IMX6 自带1 个64 bit 的DDR 控制 器，具 备SATA、PCIe 接 口/ 集 成EIM 控 制器和RGMII 接口。本文设计中采 用4 片MT41K256M16 芯 片，DDR3 容量2 GB，作为大容量数据缓存。采用128 MB 并行NOR Flash，采取写保护措施，作为文件系统和防火墙程序、应用程序存储介质，并进行分区存储。用SATA 接口外挂一片8 GB eMMC存储芯片，作为系统日志、换装数据和应用日志存储的存储空间，并进行分区存储和坏块管理，提高可靠性。通过RGMII 接口获得1 路千兆以太网口，作为主业务网口。另外还通过PCIe 接口的扩展转换为多路以太网接口。FPGA 采用XC6SLX16-3C，通过EIM总线与IMX6 连接。IMX6 通过USB 的高速接口与国密芯片通信，国密芯片采用32 位高性能密码安全SOC 芯片，支持国密算法：SM1、SM2、SM3、SM4； 国 际 算 法：AES、DES/TDES、RSA、SHA、SSF33。移动通信模组选用芯讯通的无线通信模组SIMCOM7100，与IMX6 之间采用USB2.0 高速接口通信。此外还通过I IC 接口连接温度传感器和RTC 芯片，实时监控装置板载温度，并提供系统时间。

4 安全通信装置的软件设计

图3 安全通信装置硬件架构原理图Fig.3 Schematic diagram of hardware architecture of security communication device

安全通信装置的软件架构如图4 所示，软件包括U-Boot引导程序、Linux 内核程序和应用软件3 个部分。U-Boot 引导程序负责初始化硬件并加载linux 内核，完成文件系统的挂载；通过TFTP 来下载内核镜像uImge、设备树DTB、文件系统rootfs，并完成NOR Flash 的烧写；另外还可以通过shell 命令直接访问相应的硬件，进行硬件功能测试、环境变量的设置。Linux 内核由进程调度、虚拟文件系统、内存管理、进程间通信和网络接口等子系统组成，为网络防护和应用程序提供系统调用接口，并驱动硬件工作。应用程序负责网络安全防护 （防火墙）程序、无线通信网络的拨号与维持、与地面换装系统的通信、数据的解密、解压、校验、暂存、对LKJ 主机进行换装。

图4 软件结构框图Fig.4 Software structure diagram

5 网络安全防护应用软件设计

当地面系统与安全通信装置进行通信和数据传输时，安全通信装置的应用软件将进行通信全过程的管理和控制。如网络地址检测、网络端口检测、网络协议分析、数据解密、数据协议分析、数据内容检测等多项操作，确保异常报文将被阻断，异常数据被丢弃。对进出的所有网络报文和数据都要进行监控和处理。这种独特的两层保护可以有效地防止未授权的接入和访问，阻止各种非法数据报文进出LKJ-15 主机，保护现场设备。LKJ 换装数据的上下行流程和防护软件设计如图5、6 所示。

图5 网络安全控制软件下行流程图Fig.5 Network security control software downlink flow chart

图6 网络安全控制软件数据上行流程图Fig.6 Network security control software uplink flow chart

6 结束语

本文主要介绍一种基于ARM 平台的安全通信装置的设计与实现，解决传统人工换装费时费力、且需多方协调、配合的问题，并可有效避免普通远程无线网络（4G/3G）换装存在被攻击和数据被篡改风险的问题。无线安全通信装置在LKJ 换装中具有快速、方便、安全、高可信度的特点。该装置自2017 年来在多个路局的机车上开始了现场运行，多次的换装结果表明，该装置能够提高LKJ 换装的自动化水平，并具备网络防护作用。