0 引言
当前,以新一代信息技术与铁路深度融合为特征的智能铁路是铁路高质量发展的重要方向。铁路通信是铁路信息化、数字化、现代化、智能化的重要基础设施和关键载体,对支撑智能铁路发展具有重要作用。铁路专用移动通信是智能铁路技术体系的重要组成部分,自2020年确定采用5G技术作为铁路新一代专用移动通信系统制式以来,中国国家铁路集团有限公司(简称国铁集团)开展了铁路5G-R关键技术研究、核心产品研发和系统性标准制订等工作,标志我国铁路专用移动通信正在迈向5G时代。
按照铁路5G-R系统的应用场景,5G-R终端可分为智能手持终端、物联网通信终端、车载综合无线传输设备以及列车运行控制车载通信单元等多种类型,通过空中接口及5G-R网络接入列车运行控制、铁路调度通信、行车调度指挥、运营维护等各类铁路关键应用业务系统。这些移动终端数量庞大、分布广泛,安全能力差异大,且不易管理,容易遭到非法攻击和劫持,进而对5G-R系统及铁路内部应用业务系统安全造成威胁。
列车运行控制系统对终端及接入安全要求较高,一般由相应的列车运行控制系统采取必要措施对车载通信单元接入进行安全管控。而对于5G-R手持终端、物联网通信终端以及车载综合无线传输设备,有必要针对5G-R系统安全中最薄弱的5G-R终端接入环节,制定适用于铁路实际需求的安全管控措施,以应对5G-R手持终端智能化、物联网通信终端轻量化以及车载终端公专融合化带来的安全挑战,保障5G-R系统及其承载的铁路应用业务安全稳定运行。
1 铁路5G-R终端类型及应用数据流向分析
1.1 5G-R终端类型
按照铁路5G-R系统的应用场景,5G-R终端设备可分为手持终端、物联网通信终端、车载综合无线传输设备等几大类(见图1)。此外,还包括列车运行控制系统单独设置的车载通信单元。
图1 铁路5G-R终端设备类型
手持终端包括作业手持终端和通用手持终端,主要用于铁路工作人员之间、与地面应用业务系统之间的语音、视频、数据通信。与GSM-R手持终端不同,5G-R手持终端采用智能操作系统,可加载各类铁路应用业务移动APP,为铁路运输组织、运营维护提供更加便捷的移动宽带接入,也为铁路应用业务由地面应用向移动应用的重大演进提供运用条件。
物联网通信终端的形态有通用数据模组和传输网关等,主要用于工务、供电、电务等铁路基础设备设施状态监测检测等应用,为感知节点通过5G-R网络接入地面应用系统提供5G-R移动接入和基于WLAN的数据汇聚。
车载综合无线传输设备是铁路5G-R车载设备的重大创新,通过对车地5G公、专网铁路应用业务的统一承载,实现“统一接入、统一传输、统一时空基准信息”三位一体的信息共享和综合传输平台。
列车运行控制系统车载通信单元为车地间列控信息传送提供基于5G-R和GSM-R的专用移动通信接入和数据传输平台,由列车运行控制系统单独设置并进行安全管控。
1.2 5G-R应用数据流向
5G-R终端规划承载铁路行车指挥调度、运营维护等两大类45项应用业务,通过MC设备、5G-R应用接口/接入设备、5G-R核心网UPF/边缘UPF接入铁路其他通信系统及应用业务系统。5G-R终端接入铁路应用系统的业务数据流向和流经网元见图2。
图2 5G-R终端接入铁路应用系统示意图
(1)通过UPF和MC设备与GSM-R系统、铁路有线调度通信系统、多媒体调度通信系统,铁路程控电话交换网、铁路电话IP交换网等铁路通信系统互联。
(2)通过UPF和5G-R应用接口/接入设备(包括5G-GRIS、RMS-I、CMP),与铁路应用业务系统互联。其中,通过5G-GRIS与CTC/TDCS系统互联;通过RMS-I与车载监测检测、车载运用等应用业务系统互联;通过CMP与铁路基础设备设施监测检测等系统互联。
(3)通过UPF与CTCS-3列控、下一代列控、列车自动驾驶等列车运行控制应用业务系统互联。
(4)通过边缘UPF为5G-R边缘计算节点与本地应用业务系统互联提供接口。
2 铁路5G-R终端安全管控需求
2.1 5G-R终端面临的主要风险
5G-R终端面临的安全风险主要来源于终端自身软硬件以及网络通信。终端的芯片设计缺陷、硬件防护漏洞、安全能力不足,可能导致敏感数据泄露和篡改;智能操作系统开放应用程序编程接口(API)和软件开发工具包(SDK),可能存在调用API/SDK执行恶意行为,导致隐私窃取、远程控制;移动通信中的终端还面临身份被盗用、数据被窃取和篡改以及恶意终端攻击等风险。
针对面临的安全风险,5G-R终端在硬件、操作系统、应用软件、通信及外围接口、数据安全等方面构建了必要的安全能力。但由于智能终端和移动通信的开放性,还需要进一步加强终端的安全管控能力。
2.2 5G-R终端安全管控需求
为应对手持终端智能化、车载终端公专融合化、物联网通信终端轻量化以及5G-R空口开放性可能带来的终端安全风险,在增强5G-R终端自身安全能力的基础上,有必要加强对5G-R终端的安全管控,具体需求见图3。
图3 5G-R终端安全管控需求
2.2.1 终端合法性和机卡一致性认证
5G-R系统采用了统一的鉴权认证框架,实现了移动用户与5G-R服务网络/归属网络之间的双向认证,确保具有合法身份的移动用户通过合法基站接入5G-R核心网,有效规避了伪基站干扰等安全风险。但当存在恶意攻击时,可能会面临非法终端使用合法SIM卡接入5G-R网络的安全风险,在运维过程中也存在合法终端和SIM卡混用从而造成机卡混乱的情况。因此,有必要对终端身份合法性和机卡一致性建立认证机制。
2.2.2 终端接入铁路应用业务系统身份认证
5G-R终端通过地面网络接入铁路应用业务系统,如果在应用层不做防范措施,一旦终端被非法劫持或被不法分子利用,则有可能穿透5G-R网络,对铁路应用业务系统发起攻击,从而对铁路内部系统安全造成威胁。因此,有必要在5G-R网络层面对终端合法性进行认证的基础上,对终端接入铁路应用业务系统进行应用接入认证。
考虑到5G-R终端的差异性,特别是通用数据模组采用低功耗运算能力平台进行研制,受本身性能所限,不能采用特别复杂的安全防护协议和机制,因此需要结合5G-R终端能力构建一种统一、高效的应用接入认证框架及协议。
2.2.3 终端访问控制
为避免5G-R终端超权限、不可信访问铁路应用业务系统,需对其接入铁路应用业务系统的业务访问和数据访问进行权限管理。特定环境下合规用户的权限设置除了与接入应用业务系统的实际需求相关,还与用户可信状态相关,因此需要综合多因素对用户状态进行可信分析,并根据当前可信状态对用户的业务访问权限、数据访问权限进行控制。
2.2.4 终端行为审计
对于5G-R物联网通信终端、车载综合无线传输设备等非智能化终端,主要面向应用业务系统提供服务,可通过运用管理、物理防护等手段保障终端运用安全,针对上述终端的行为审计主要聚焦其网络行为的审计,即对终端应用业务数据流量、流向的审计。
对于5G-R智能化手持终端,操作系统漏洞使得非法软件有机会得到更高的权限,访问、修改系统层的数据和文件,给用户造成更加严重的安全隐患和损失;同时由于手持终端由铁路工作人员随身携带使用,存在被恶意盗用、劫持的可能。因此,对于手持终端的行为审计主要在于对用户和应用操作行为相关的行为审计。
2.2.5 移动应用管控
5G-R智能化终端的应用为铁路应用业务由地面应用向移动应用的演进提供了运用条件。为确保铁路移动应用APP安全可信,5G-R智能化终端APP下载渠道正规,有必要建立统一的移动应用商店,对移动应用APP的发布、下载、安装进行管控。
2.2.6 终端安全管理
5G-R终端数量规模大、分布广泛。为便于铁路运维人员随时掌握5G-R终端发放入网情况,随时了解终端实时安全状态和安全加固情况,对终端安全信息进行统计分析,有必要对终端进行覆盖上述需求的安全管理。
2.2.7 统一的终端安全管控平台
基于铁路应用业务系统与安全体系解耦的总体架构,有必要建立统一的5G-R终端管理和安全管控系统,提供对5G-R终端身份认证、应用安装、行为审计等安全管控需求的统一解决方案,并提供对5G-R终端的统一管理,避免各应用业务系统针对上述需求的重复建设和投入。
3 铁路5G-R终端安全管控技术方案
3.1 设计原则
依据已发布的《铁路5G专用移动通信(5G-R)系统总体技术要求(暂行)》,充分借鉴5G公网行业应用终端安全技术措施,在5G-R系统总体技术架构的基础上,对5G-R终端安全管控进行能力增强,规避对铁路应用业务系统造成影响和改造。
3.2 系统构成
建议构建5G-R终端安全管控系统,对铁路配置的5G-R手持终端、物联网通信终端、车载综合无线设备接入铁路应用系统进行统一的安全管控和安全管理,对铁路移动应用发布、下载、安装进行统一的管理。
5G-R终端安全管控系统采用三级架构,由国铁集团5G-R终端安全管控系统(一级)、铁路局集团公司5G-R终端安全管控系统(二级)和5G-R终端安全管控App/插件组成。5G-R终端安全管控系统构成见图4。
图4 5G-R终端安全管控系统构成
3.2.1 国铁集团5G-R终端安全管控系统
国铁集团级5G-R终端安全管控系统由5G-EIR、5G-R终端安全管控设备(一级)、RMS-I(一级)、CMP(一级)构成,设置在北京、武汉两地。5G-EIR负责对全路5G-R终端的入网合法性进行认证,5G-R 终端安全管控设备(一级)负责对全路5G-R终端安全管控和手持终端安全管理关键信息的收集和管理,并对铁路移动应用发布管理。RMS-I(一级)、CMP(一级) 分别负责对车载综合无线传输设备和物联网通信终端安全管理关键信息的收集和管理。
3.2.2 铁路局集团公司5G-R终端安全管控系统
铁路局集团公司5G-R终端安全管控系统由5G-R终端安全管控设备(二级)、CMP(二级)、RMS-I(二级)构成。5G-R终端安全管控设备(二级)负责对5G-R手持终端、物联网通信终端和车载综合无线传输设备接入 铁路应用业务系统进行统一安全管控,对5G-R手持终端的终端和安全管理,支持铁路移动应用APP下载,并将关键信息上报至相应一级设备。RMS-I(二级)、CMP (二级)分别负责对车载综合无线传输设备和物联网通信 终端的终端安全管理,并将关键信息上报至相应一级设备。
3.2.3 5G-R终端安全管控移动客户端
5G-R终端安全管控App/插件安装在5G-R手持终端、物联网通信终端和车载综合无线传输设备上,与地面终端安全管控设备配合,实现对5G-R终端的安全管控、终端安全管理以及移动应用APP下载管控。
3.3 功能实现
3.3.1 终端入网认证及机卡绑定
全路5G-R终端的入网认证及机卡绑定由5G-EIR实现,通过IMEISV校验对终端设备合法性进行认证,提供黑名单、白名单、灰名单3种校验方式,并对终端IMEISV和SUPI进行一对一绑定认证。
5G-EIR集中设置在北京、武汉两地,采用本地冗余部署和异地容灾备份组网方式。本地双机采用浮动IP地址对外提供服务,异地冗余5G-EIR之间采用主备工作方式,并通过承载网进行静态数据同步,确保设备单点故障时终端认证业务不中断。
3.3.2 终端接入铁路应用系统安全管控
5G-R手持终端、物联网通信终端、车载综合无线传输设备接入铁路应用业务系统的安全管控由5G-R终端安全管控设备实现,包括接入认证、访问控制、网络行为分析及证书分发管理等四大终端安全管控模块。
5G-R终端在出厂前预安装5G-R终端安全管控APP/插件,并由证书分发管理模块发放用于接入认证的身份信息和密钥信息。5G-R终端开机后,自动运行5G-R终端安全管控APP/插件,执行与相应铁路局集团公司5G-R终端安全管控设备的连接,利用预存的身份信息和密钥信息完成终端接入认证及终端权限配置。随后,5G-R终端安全管控设备对5G-R终端与应用业务系统间的业务数据进行细粒度审查、流量流向审查 等网络行为审计,对发现的异常接入、异常行为、异常数据进行告警。
5G-R终端安全管控设备按照2级部署,铁路局集团公司级设备是5G-R终端安全管控的实施主体,国铁集团级设备收集汇总全路5G-R终端安全管控关键信息、与5G-EIR对接获取设备认证信息,并向铁路局集团公司级设备分发所需信息。国铁集团级设备、铁路局集团公司级设备采用冗余部署方式,确保设备单点故障时终端接入认证业务不中断。
3.3.3 移动应用软件发布及下载管理
移动应用软件发布及下载管理由5G-R终端安全管控设备实现,包括移动应用发布管理模块、移动应用下载管理模块等。
移动应用发布管理模块设置在国铁集团,铁路移动应用软件开发者需要在该模块注册,申请证书并进行应用签名后,上传至该模块进行应用审查。审查的重点包括对应用签名审查,以保证应用来源的合法性;对应用内容审查,保证应用不违反法律法规,不涉嫌侵权等;对应用安全性检查,检查应用是否有木马、病毒等安全风险。
移动应用下载管理模块设置在各铁路局集团公司,供授权终端进行铁路移动应用的下载、更新,并支持对移动应用的反馈和统计。
3.3.4 终端管理及安全管理
5G-R终端安全管控设备、RMS-I、CMP分别实现对5G-R手持终端、车载综合无线传输设备和物联网通信终端的终端管理及安全管理。
终端管理及安全管理除了需要具备涵盖终端设备履历、品牌版本、生命周期的资产管理,安全信息统计分析,以及远程下线终端等通用功能外,对不同类型终端管理的侧重点有所不同:
(1)对于5G-R手持终端,重点关注对终端安全行为的检测与分析功能,判断终端异常状态,对违规行为进行告警,对攻击行为进行预警;重点关注对终端补丁检查与部署、漏洞自动修复等安全加固管理;重点关注对终端应用下载、安装、启动的监测和权限管控。
(2)对于物联网通信终端,重点关注模组占用网络资源的监控和管理,包括根据小区可用资源总量控制模组最大并发传输带宽、控制模组数据发送时机等。
(3)对于车载综合无线传输设备,重点关注终端占用带宽监测。
3.4 通信接口
铁路5G-R终端安全管控系统内外部接口设置如下:
(1)5G-R终端安全管控设备之间:二级5G-R终端安全管控设备向一级设备上报终端准入认证结果、终端接入信息(接入终端的SUPI、IP地址、访问权限等)、证书更新以及安全管控关键信息;一级5G-R终端安全管控设备向二级设备提供IMEISV认证日志信息,并向二级设备广播全路终端准入认证结果及终端接入信息(接入终端的SUPI、IP地址、访问权限等)。
(2)5G-R终端安全管控设备与5G-EIR之间:一级5G-R终端安全管控设备从5G-EIR获取IMEISV认证日志信息。
(3)5G-R终端安全管控设备与铁路通信CA认证中心之间:一级5G-R终端安全管控设备从铁路通信CA认证中心获取客户端和服务器端数字证书,并定期进行证书更新。
(4)5G-R终端安全管控设备与智能管控平台之间:根据需要,5G-R终端安全管控设备将终端安全管控关键信息同步至智能管控平台。
4 结束语
5G-R空中接口和移动终端接入是5G-R系统安全的薄弱环节,对终端进行安全管控,是5G-R专网及其承载应用业务系统实现安全稳定运行的重要基础,可为5G-R高质量发展提供坚实保障。从5G-R系统承载铁路应用业务安全需求出发,结合5G-R终端应用场景、运用模式、设备能力等方面差异,依据终端安全及安全管控相关国家标准以及铁路安全相关行业标准,提出5G-R终端安全管控系统的总体架构、功能实现及接口设置等成套解决方案,增强现有铁路5G-R系统架构下终端安全管控能力,可为5G-R系统安全技术标准制定、专用设备研发提供参考和技术支撑。
节选自《中国铁路》2024年第8期
相关信息
作 者:
马君,中国铁道科学研究院集团有限公司通信信号研究所。
刘畅,中国铁道科学研究院集团有限公司通信信号研究所。
蔺伟,中国铁道科学研究院集团有限公司通信信号研究所。
李辉,中国铁道科学研究院集团有限公司通信信号研究所。
引用文本:马君,刘畅,蔺伟,等. 铁路5G-R终端及应用接入安全管控关键技术[J]. 中国铁路, 2024(8): 1-8.
声明:本文来自铁路期刊网,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
