覃事东，肖 曦，侯 波

（1.大功率交流传动电力机车系统集成国家重点实验室，湖南 株洲 412001；2.中车株洲电力机车有限公司，湖南 株洲 412001）

随着信息通信技术的不断发展，以车辆为代表的轨道交通装备智能化程度也越来越高，物联网、5G等技术也在车辆感知和数据传输领域获得了越来越多的应用，使得更多的车辆数据可以被采集、传输和分析，为车辆的运用和维护的智能化提升奠定了基础。

而轨道交通行业是一个安全高度敏感的行业，在关注轨道交通系统智能化的同时，也需要高度关注系统安全，并在设计时进行综合考量。

当前轨道交通车辆车地无线传输主要使用防火墙保证车辆网络和地面网络的隔离[1]，但防火墙是在保障互联互通的前提下进行的安全防火措施。在智能电网等安全性要求极高的系统中，通常还会引入隔离网闸[2]从物理上断掉网络连接，阻断外部网络对系统本身的威胁，如一般工控系统与网络间的隔离会同时采用防火墙和隔离网闸共同实现[3]，以保障系统的安全。

本文主要研究了轨道交通车辆数据传输安全保障需求，提出了隔离网闸在车辆数据传输上的应用方案，并给出了相应的测试结果及示例。

1 应用需求分析

1.1 功能需求

由于轨道交通车辆网络属于典型的工业控制网络，需要极高的安全性，故相对封闭。接入网络的所有设备均需要满足相关测试认证要求，而车辆无线传输设备需要将采集的车载数据发送至地面，故不可避免地要与车辆外部网络发生数据交换，这为车辆网络乃至车辆本身的安全带来了一定的威胁。

为了保证车辆网络的安全，通常采用防火墙进行防护。应用防火墙的目的是为了内部网络的安全防护，防止外部网络对内部网络的攻击，同时对内网访问外部网络的行为进行控制。防火墙的设计原则是在保障互联互通的前提下，尽可能安全。

隔离网闸一般用于具有极高安全性的数据中心或网络中，如电力系统[2]、油田网络[4]等用于实现内部网络与外部网络的物理连接上的隔离，其基本工作原理是信息摆渡，也就是可以实现完全隔离的不同网段之间的有条件访问，在同一时刻网闸只与内部网络或外部网络之一建立物理连接，使得内外网之间无法建立持续的物理通信连接，只进行数据的无协议“摆渡”，所以隔离网闸从物理上隔离、阻断了具有潜在攻击可能的一切连接。网闸所摆渡的信息均需要按要求重新建立协议。网闸的设计原则是在保证安全的前提下，尽可能互联互通。

防火墙与隔离网闸对比见表1。将防火墙应用于轨道交通车辆数据传输已是较为成熟的方案，而应用网闸隔离车辆网络与外部网络，完成车辆数据传输则是一个值得研究的课题。

表1 防火墙与隔离网闸对比

1.2 数据流分析

轨道交通车辆数据传输主要是采集车辆数据并将数据发送至地面，传输过程可以使用专用网络和公用网络，具体如图1所示。

图1 数据传输过程

对于使用专用网络传输数据的方案，整个数据流在内部封闭网络中进行，安全性很高，采用防火墙防护即可满足安全要求。特定情况下地面数据中心可能需要与外部开放网络通信，此时则需要更完善的网络安全防护方案，通常会在数据中心与外部网络间部署隔离网闸[5]。

对于使用公用网络传输数据的方案，每列车的数据传输设备均需要接入外部开放网络，为了保障系统安全和数据安全，传输设备通常会采用防火墙、VPN、数据加密等措施。

在车载网络与共用网络间应用隔离网闸，可实现网络间的隔离与信息交换，进一步提高网络安全性。隔离网闸可部署在车载网络与传输设备之间，但这样会导致系统集成度不高、数据采集无集中管控、对数据发送设备有额外要求等问题。本文研究将隔离网闸集成在传输设备中的方式，在尽可能不改变原有数据传输方式的前提下，进一步增强系统的安全性。

要在车辆数据传输中使用隔离网闸，则需要将网闸应用于车载设备中，或单独研发一款可装车的网闸设备。本文主要研究将网闸集成在车载无线传输设备中的方案。即对车载无线传输设备提出了如下新的需求：

（1）将隔离网闸的功能集成在无线传输设备中，即采用嵌入式、可装车方案。

（2）在设备上阻断车辆网络与外部网络的直接物理连接和逻辑连接，且不依赖操作系统、不支持内外网TCP/IP信息交互。

（3）具备安全审查功能和工业防火墙功能，能根据需要对原始数据的安全性进行检查，处理掉可能的病毒代码、恶意攻击代码等，保证摆渡的数据具备安全性。

（4）具有管理功能，能够定制传输策略。

2 方案设计

2.1 架构设计

基于隔离网闸架构的车载数据传输系统，是两个独立的主机系统通过网闸进行隔离，使系统间不存在通信的物理连接、逻辑连接及信息传输协议，不存在依据协议进行的信息交换，只有数据的无协议摆渡，隔离网闸从物理上隔离、阻断了具有潜在攻击可能的一切连接。基于工业网闸架构的车载数据传输系统的硬件拓扑如图2所示。

图2 产品拓扑图

隔离网闸将传输设备隔离为内端机和外端机两部分，内端机负责与车辆网络通信，实现数据采集、汇集和预处理，并将数据交付至隔离网闸。外端机负责接收隔离网闸摆渡的数据，并通过无线通讯模块将数据传输至地面端。

2.2 详细设计

在内端机侧，系统主要完成车辆数据的采集与汇集，因此，根据具体项目需要，内端机侧配置MVB、CAN、以太网、TRDP、RS485/422/232等接口，接入车辆网络。内端机数据采集与处理接口间通过以太网和CPCI总线连通并通信。

外端机侧实现系统采集的数据通过可用网络发送至地面服务器，可用的网络包括专用网络（如通信系统提供的综合承载通道、专网LTE网络、内网WLAN网络等）及公用的3G/4G/5G网络，并按实际项目需求决定是否配置天线接口。

隔离网闸按GB/T 37934—2019《信息安全技术工业控制网络安全隔离与信息交换系统安全技术要求》[6]中的增强级要求设计。隔离网闸是内端机和外端机之间唯一的数据通路，不支持TCP/IP之类的公共协议，通过分时通断的连接方式实现内外端机两端的数据摆渡，以形成一个无实时物理连接的安全隔离数据闸。

访问控制方面，网闸采用白名单访问控制，并提供IP/MAC地址绑定功能，支持基于IP、端口、传输协议等进行访问控制配置。

数据传输方面，根据某典型的城轨车辆数据传输实际需求（表2），支持TCP、UDP、FTP、SFTP、HTTP、MQ等协议，通过数据链路分时切换完成信息摆渡，且不可旁路。网闸还具备基本的防火墙抗攻击功能。为了保证系统的正常使用，提升可靠性，还具备双机热备功能。

表2 车辆数据传输需求

网闸提供相应的管理和配置工具，支持用户标识和鉴别，根据用户权限，提供配置源IP、源端口、目的IP、目的端口、传输协议等信息的相关功能和权限。

3 测试验证

3.1 安全认证

产品安全测试送专业机构按（GB/T 37934—2019）增强级要求进行测试认证，确保产品满足安全隔离需求。

3.2 功能测试

测试环境搭建如图3所示。

图3 产品拓扑图

使用网闸配置工具，按测试要求配置IP、端口、协议等配置项，分别测试TCP、UDP、HTTP、FTP、SFTP、MQ等协议传输情况。测试结果均可正常实现数据摆渡与传输，其中FTP上传下载平均速率为40 MB/s，SFTP上传速率7 MB/s，SFTP下载速率11 MB/s，可满足车辆数据传输的功能要求。

3.3 性能测试

网闸内端机建立1条UDP协议规则，采用2分法，初始速率100 Mbps，最小速率5 Mbps，最大速率1 000 Mbps，分别测试64/128/256/512/1024/1518字节时延和吞吐量，结果表明系统可满足车辆数据传输的性能要求，见表3。

表3 性能测试结果

4 结束语

文章分析了轨道交通车辆数据传输的安全需求，分析了隔离网闸技术的特点与需求的契合点，设计了集成隔离网闸的车辆数据传输系统，经过测试具备隔离网闸的数据传输系统能满足车辆数据传输的功能要求和性能要求，较大程度地提高了车辆对外部网络攻击的防护能力，提升了系统本身及车辆网络的安全性。增加隔离网闸使得车辆与地面的数据传输网络不存在实时物理连接，对于需要持久连接的应用场景会产生不利影响，测试结果表明对系统的数据传输效率也有一定的负面影响，可结合实际情况选用通过私有协议以逻辑的方式实现协议隔离的方式。