鐵路動車組WiFi運營服務系統安全與防護

董興芝，王富章，王忠峰

(中國鐵道科學研究院 研究生部，北京 100081)

0 引言

信息化時代，公共無線網絡備受人們追捧，無線WiFi網絡覆蓋越來越多的公共場所，真正實現了“走到哪兒，WiFi連到哪兒”。鐵路動車組WiFi運營服務系統作為“復興號”標動列車的配套設施相繼問世，自2018年7月1日鐵路調圖以來，復興號列車日開行量增至170.5對。伴隨標動列車上線數量的增加以及開行范圍擴大，其車載WiFi服務系統運營環境日趨復雜，旅客在享受免費休閑便利的同時，也面臨著諸多網絡安全風險。

在當前移動通信技術日益發展的今天，公共場所無線WiFi的安全風險已有諸多的應對策略，如文獻[1]提出基于網絡隔離域、訪問控制等機制對公共場所無線WiFi系統進行安全防護，文獻[2]提出規范無線網絡建設、建立WiFi管理機制以降低無線網絡安全風險等。盡管目前諸多無線網絡安全防護策略已在公共場所得到實際應用，但是，鑒于鐵路動車組WiFi運營服務應用場景的特殊性，在無線安全防護業界沒有可以借鑒的成熟經驗或技術，迫切需要自身投入研究。針對上述問題，本文基于鐵路動車組WiFi運營服務系統應用場景，綜合分析系統面臨的安全風險，并從多維度提出了安全應對策略，建立安全防控體系，維護了系統平臺穩健運行，保障了接入用戶的信息安全。

1 動車組WiFi運營服務的安全風險分析

1.1 WiFi運營服務系統組成架構

鐵路動車組WiFi運營服務系統主要由地面運維中心、互聯網接入通道、車載局域網和車載服務與管理平臺4部分組成，車載局域網作為鐵路動車組WiFi運營服務系統的重要組成部分[3-4]，為旅客提供豐富的局域網及互聯網接入服務，車載局域網主要是由中心服務器、單車服務器和AP組成。其組網方案是短編組列車配置1臺中心服務器、8臺單車服務器、16臺AP和車廂AP直連單車服務器上，中心、單車服務器之間以交換機作為節點通過千兆以太網，實現車載局域網的互聯互通。中心服務器通過車頂3G/4G天線與鐵路沿線運營商公網基站建立無線通道，為旅客提供互聯網接入服務。 鐵路動車組WiFi運營服務系統結構如圖1所示。

圖1 系統總體結構

1.2 WiFi運營服務系統風險因素分析

鐵路動車組作為一種運營量極大的公共交通方式，其客流量大、密度高，一節滿車廂為60～100人，每天進行長達近11 h長距離行駛[5]。其服務空間封閉，區域范圍固定為列車車廂內部，旅客在接受旅途中密閉、漫長的車旅服務同時，對途中休閑娛樂、網上商城和互聯網接入等服務有著強勁需求，這給鐵路動車組WiFi運營服務系統帶來了巨大用戶訪問量。經對京滬線“復興號”列車WiFi接入用戶數據采集分析，鐵路動車組WiFi運營服務系統每分鐘活躍用戶總數始終保持在100以上[6]。

無線網絡比有線網絡更顯開放，車載無線局域網以空中公共電磁波為載體，直接暴露于動車組車廂中，無明顯網絡安全邊界。此外，鐵路動車組WiFi運營服務系統采用半開放式連接方式，意味著任何WiFi信號覆蓋范圍內，惡意攻擊者都可輕易竊取和儲存無線局域網中任何交通信息，通過使用惡意監聽軟件嗅探抓包，監聽旅客交互信息，截獲用戶瀏覽終端設備數據、網銀信息以及各種賬號密碼等；車載無線局域網易于訪問和配置簡單，這使非法分子很容易偽裝或搭建一個偽裝AP，通過改變或抑制節點之間傳輸數據，導致信息的完整性丟失。眾多風險因素及安全隱患，促使鐵路動車組的WiFi運營服務系統在用戶身份鑒別、系統訪問控制、非法入侵檢測等方面實施有效防護對策，以保障系統穩定、安全、可靠運行。

2 動車組WiFi運營服務安全防護關鍵技術

鐵路動車組WiFi運營服務系統的安全防護總體上基于訪問代理控制、網絡域隔離及風控預警等機制，形成由外及內的系統縱深協同保護。從系統應用安全設計及系統網絡安全設計角度出發，通過用戶身份鑒別、系統訪問控制、安全通信傳輸、安全檢測與監控及故障告警等關鍵技術，結合必要的安全管理措施，形成鐵路站車WiFi運營服務系統從接入終端到車載局域網再到地面管理中心一條龍式的安全防護體系 。

2.1 安全認證

嚴格的認證方式和認證策略是鐵路動車組WiFi運營服務系統的重要保障，該系統統一客戶端與各應用系統之間的單點登錄流程，統一用戶信息、電商信息和交易信息等關鍵信息通過應用平臺的統一認證。

① 旅客用戶通過Portal頁輸入手機號和短信驗證碼認證接入車載局域網，平臺建立手機號碼和終端MAC的綁定關系，并提供定期強制重新綁定，認證信息請求采用安全套接層(SSL)證書技術與安全超文本傳輸協議(HTTPS)，對用戶及服務器進行認證[1]，對傳送數據進行加密，保證傳輸網絡的機密性和完整性[7]。

② 采用遠程撥號認證服務(Remote Authentication Dial In User Service，RADIUS)認證服務器，WiFi接入者的安全信息資料直接保存于RADIUS認證服務器中，維護了用戶隱私信息安全[8-9]。

③ 通用SSH雙因子認證方式遠程登錄車載WiFi平臺，提高了網絡系統的安全性和便利性[10]。雙因子認證(2FA)是基于SSH協議上組合2種不同的驗證方式進行用戶身份驗證的機制，SSH協議與遠程服務器之間的通信數據是安全加密的[11]，同時協議使用的MD5和SHA-1等算法避免數據傳輸中被篡改或源目的地址的偽造，確保了數據的完整性。SSH雙因子認證在SSH單因子認證(1FA)基礎上再添安全層，除SSH公鑰驗證外再借助其他工具提供一個基于時間的一次性的密碼(TOTP)驗證碼，其認證過程如圖2所示。

圖2 SSH雙因子認證流程

2.2 安全檢測與監控

安全入侵檢測與監控是網絡安全的關鍵技術之一，是作為實現網絡安全防護的重要手段[12]，在傳統有線網絡環境中已有較為成熟的應用，但將其應用于無線網絡中仍面臨著許多技術難題。鐵路動車組WiFi運營服務系統場景的開放性和復雜性要求系統具備全面安全檢測與監控功能。本系統基于現有技術條件，深入監控分析協議流量、入侵病毒、資源消耗、漏洞違規、主機設備狀態及應用，檢測系統外侵資源違規活動[13]，創建高效預警機制，尤其在車載AP狀態監控與防護、偽裝AP檢測與阻斷、用戶行為審計等方面對系統實施了有效的防護措施，確保了系統運行安全穩定。

2.2.1 車載AP狀態監控與防護

鐵路動車組WiFi運營服務系統設定30 s為一上報周期，對車載AP的狀態進行監控，設定AP在線狀態值為1，不在線狀態值0。車載AC(車載WiFi無線接入控制器)設定15 mins為一周期對AP上報狀態結果進行分析，以單車廂分組(每單車廂固定配置2個AP)，通過分析周期內上報數據的最新值、最小值、平均值及最大值來實時監控車載AP的運行狀態，其狀態分析展示如圖3所示，通過單車廂預設閾值N作為警報觸發器，一旦平均值小于閥值N，會直接進行報警。

圖3 AP狀態監控圖

2.2.2 偽裝AP監測與阻斷

車載AP作為與用戶連接握手的最直接設備，其安全性尤為重要，有效檢測非法AP入侵并積極對其阻斷是全系統安全防護的關鍵環節[14]。鐵路動車組WiFi運營服務系統通過對車載AP進行唯一性加密包裝，在車載局域網中組建成“親密性”網絡域，一方面外侵AP無法輕易進入該網絡域，另一面車載自身網絡可敏感察覺外侵AP，并可快速識別判斷其位置，進而對其阻斷，主要防護過程如下：

(1)AP加密生成唯一標識

車廂內偽裝AP會偽裝成與車載AP同SSID、同開放形式，甚至同功率、同頻道。如何在混雜環境中有效識別合法授權AP，這需要車載AP之間通過特有握手“暗號”進行互識確認?；谲囕d環境密閉和干擾性小的條件下，通過抓獲網絡數據包分析SSID、MAC、Vendor等多重屬性，完全可以定義AP網絡的唯一性，但以目前黑客的手段，這些信息完全可被模擬，這會讓偽裝AP有機可乘。理論上最可行的方法是對車載AP設置唯一ID，此ID不可被模擬且能夠被識別。鐵路動車組WiFi運營服務系統根據802.11系列相關協議中Beacon數據包會攜帶AP網絡相關屬性進行廣播這一特點，利用協議標準未定義的224字段進行唯一性標識加密，唯一性標識加密算法是通過RC4、設備MAC地址與隨機碼組合，不定期更新。Beacon數據包攜帶的網絡屬性信息如圖4所示。

圖4 Beacon包

(2)偽裝AP監測

考慮到偽裝AP所在的頻道不固定，檢測偽裝AP要在2.4 GHz和5.8 GHz頻段所有頻道上進行掃描。同一車載環境下，車載AP既要辨識同身份AP，又要檢測偽裝AP，還不能對系統本身性能產生過大影響。因此，系統采用AP間歇性掃描形式檢測，偶數車廂靠近車頭一側AP在2.4 GHz網卡中虛擬出終端接口，奇數車廂靠車尾一側AP在5.8 GHz網卡中虛擬出終端接口，都設置為Monitor模式，進行全列車數據包采集，調整虛擬接口到過濾模式，僅接收Beacon包。監聽網卡不斷輪循所有頻道，設置每個頻道的監聽時間為0.5 s，20 mins一個掃描周期，對接收的Beacon包進行提取分析，提取字段如下：

① Beacon包中代表AP或者路由器設備的MAC地址；

② 提取加密類型；

③ 提取信號值大??；

④ 提取SSID；

⑤ 提取224字段值，如果存在進行解密。

通過驗證數據包中攜帶的網絡SSID、開放形式和224字段是否定義或者224字段解密后標識不能與Beacon包中的MAC匹對一致，檢測出AP的真偽。

(3)偽裝AP的阻斷

監聽網卡一旦判斷出AP的真實身份，立刻將分析結果上報給車載AC無線控制器，車載AC根據上報的結果進行偽裝AP位置車廂判斷，進而進行阻斷，其詳細步驟如下：① 每一車廂的車載AP都具備阻斷模式，因此只需模糊判定出偽裝AP所在的車廂位置，車載AC控制器即可下發阻斷指令到對應車廂所在AP，由其負責阻斷偽裝AP。車載監聽網卡布置范圍分配如圖5所示，系統對偽裝AP位置車廂的判斷采用基于RSSI定位算法[15]，RSSI定位算法是把偽裝AP在臨近之間的監聽網卡上接收的場強建成一個場強集合，通過預先設定的閾值T及場強集合中各元素進行比對，模糊定位出偽裝AP的所在位置車廂號，其匹配過程如下：

圖5 車載AP監聽網卡范圍分布

設定：

1. 2x:偶數車廂號；2x±1:奇數車廂號；x∈(1,2,3……)；

2.APA:車廂內靠近車頭一側AP;APB:單車廂內靠近車尾一側AP；

4.T:設置車廂內信號強度閾值，單位為：dBm；

6.ap:車廂內偽裝AP;D:車載AP掃描到的數據包集合；

7.Bapy：攜帶偽裝AP信息的Beacon包;y表示偽裝AP所在車廂號。

判斷2.4 GHz頻段偽裝AP位置算法如下：

提取相鄰偶數車廂(2x，2(x-1)，2(x+1))車頭監聽AP的采集信息進行配對。

1. 輸入：

2. 輸出：y

①；

②；

輸出：y=2x偽裝AP位于2x車廂；

③；

④；

⑤；

⑥；

輸出：y=2(x+1)

偽裝AP位于2(x+1)車廂

end if

輸出：y=2x+1

偽裝AP位于2(x-1)車廂

end if

輸出：y=2(x-1)

偽裝AP位于2(x-1)車廂

end if

輸出：y=2x-1 偽裝AP位于2x-1車廂

end if

end if

5. returny定位出偽裝AP所在車廂號

偽裝AP位置車廂已確定，車載AC控制器下發阻斷指令到y車廂內的車載AP。該車載AP接到阻斷指令后切換到與偽裝AP相同頻道上，首先虛擬一個用戶，去接入此偽裝AP，將返回的URL地址等記錄保存下來，并上傳車載AC控制器，對其違法行為進行記錄。

該攜帶任務的車載切換到阻斷模式，通過虛擬接口不斷廣播帶有取消身份驗證的報文，用戶終端自認為該報文來自連接中的AP，在大量阻斷包作用下，進行Deauth阻斷。

在一定的時間范圍內沒有收到偽裝AP的Beacon數據包視為偽裝AP消失，結束阻斷模式，進入到監聽模式，偽裝AP成功被阻斷。

2.2.3 用戶安全審計

鐵路動車組WiFi運營服務系統AC管理平臺可對車廂內網絡數據進行實時監控，通過對終端認證方式、用戶行為信息的跟蹤監控，全程把控車載WiFi網絡的使用和接入情況，存留用戶行為日志、終端地址、位置軌跡等在線以及離線數據作為審計。除此之外，車載AC管理平臺在服務訪問點AP上啟用MAC過濾器功能，在AP列表中記錄不合常規的終端設備MAC地址，定期刷新和檢查日志記錄，以提高系統安全信息可追溯性，增強平臺安全應急效率。

2.3 故障告警

故障監測與告警是鐵路動車組WiFi系統平臺安全穩定運行的前提保障。鐵路動車組WiFi運營服務系統運用Zabbix監控技術，對系統運行狀態進行全方位監控，并運用多級預警機制，實現對系統故障的實時檢測與告警。通過對系統各進程、內存占用率、CPU負載及CMS應用等重要參數指標添加觸發器，預設告警閾值，一旦Zabbix系統檢測出安全隱患，立即響應預警機制。Zabbix系統監控界面如圖6所示，可直觀展示出最新監測的告警信息，通過不同顏色描述故障嚴重等級。從監控主界面可直接查看到發生告警車底號、警告內容和歷時時間等信息。

基于Zabbix監控平臺之上，增加系統告警媒介，當觸發器觸發時產生報警信息，由Zabbix直接推報到告警媒介，實現終端告警推送[16-17]。鐵路動車組Wi-Fi運營服務系統以釘釘作為媒介來接收告警信息，其告警日志如圖7所示。

圖6 Zabbix系統監控界面

圖7 告警日志

報警日志由主要問題類型、問題描述、項目鍵值、問題級別以及發送對象組成[18]，日志中的“2:3”即為要發送的釘釘群組tokenId。接收端將報警信息格式化處理，根據tokenId從配置文件中獲取釘釘報警群組的token，調用釘釘的接口發送報警信息到對應群組中。釘釘的報警推送效果如圖8所示。

圖8 報警推送效果圖

3 結束語

隨著無線局域網應用領域的不斷擴展，其安全問題會越來越受重視?；阼F路動車組WiFi運營服務系統實際應用場景，本文主要在系統安全認證、安全檢測與監控和故障告警3方面做了深層次分析，形成了鐵路動車組WiFi運營服務系統安全防護體系，確保了系統安全運轉和平穩運行。該防護方案已在“復興號”標動列車無線局域網中進行了實際應用，保障了接入旅客私有信息安全，提高了旅客乘車體驗感，打造了一個安全放心的鐵路動車組WiFi接入服務平臺。同時，此安全防護技術的應用對類似系統安全運維具有參考借鑒價值。