【观点】智能铁路5G安全技术与策略综述

微信扫码，打开到小程序

智能铁路5G安全技术与策略综述 李盼盼, 吴昊, 刘佳佳, 段莉, 卢云龙 引用本文 李盼盼, 吴昊, 刘佳佳, 段莉, 卢云龙. 智能铁路5G安全技术与策略综述[J]. 计算机科学, 2024, 51(5): 1-11. LI Panpan, WU Hao, LIU Jiajia, DUAN Li, LU Yunlong. Overview of Security Technologies and Strategies for Intelligent Railway 5G [J]. Computer Science, 2024, 51(5): 1-11. 相似文章推荐（请使用火狐或 IE 浏览器查看文章） Similar articles recommended (Please use Firefox or IE to view the article) 联合ZINB模型与图注意力自编码器的自优化单细胞聚类 Self-optimized Single Cell Clustering Using ZINB Model and Graph Attention Autoencoder 计算机科学, 2023, 50(12): 104-112. https://doi.org/10.11896/jsjkx.221000167 基于多项式划分的NTRU加密域可逆数据隐藏方案 Reversible Data Hiding Scheme in NTRU Encrypted Domain Based on Polynomial Partition 计算机科学, 2023, 50(8): 294-303. https://doi.org/10.11896/jsjkx.220800245 一种基于强化学习的口令猜解模型 Password Guessing Model Based on Reinforcement Learning 计算机科学, 2023, 50(1): 334-341. https://doi.org/10.11896/jsjkx.211100001 区块链系统的存储可扩展性综述 Survey of Storage Scalability in Blockchain Systems 计算机科学, 2023, 50(1): 318-333. https://doi.org/10.11896/jsjkx.211200042 一种平衡探索和利用的优先经验回放方法 Exploration and Exploitation Balanced Experience Replay 计算机科学, 2022, 49(5): 179-185. https://doi.org/10.11896/jsjkx.210300084 http://www． jsjkx．com DOI:１０．１１８９６/jsjkx．２３１０００１０４ 到稿日期:２０２３Ｇ１０Ｇ１７ 返修日期:２０２４Ｇ０３Ｇ０７ 基金项目:中国国家铁路集团有限公司科技研究开发计划(K２０２２G０１８) ThisworkwassupportedbytheScienceandTechnologyResearchandDevelopmentPlanofChinaRailwayCo．,Ltd．(K２０２２G０１８)． 通信作者:吴昊(hwu＠bjtu．edu．cn) 智能铁路５G 安全技术与策略综述 李盼盼１,２ 吴 昊１,３ 刘佳佳１,２ 段 莉４ 卢云龙１,３ １ 北京交通大学先进轨道交通自主运行全国重点实验室 北京１０００４４ ２ 北京交通大学电子信息工程学院 北京１０００４４ ３ 北京交通大学智慧高铁系统前沿科学中心 北京１０００４４ ４ 北京交通大学计算机与信息技术学院 北京１０００４４ (１９１１１０２３＠bjtu．edu．cn) 摘 要 数字技术正在重塑各行各业,这是行业发展的必经之路.５G 等数字服务技术在为铁路等行业赋能的同时,也带来了 一些安全风险.安全是一切服务的先决条件.为促进 ５G 数字服务在智能铁路的创新应用,首先从基站空口、通信、数据、系 统、终端和公专网融合应用几个角度,系统梳理了智能铁路５G 通信网络面临的安全风险与挑战.然后针对大带宽、高可靠、低 时延的新业务场景及网络切片、边缘计算等新技术和大规模异构新型终端以及面向铁路的智能新应用,全面分析了智能铁路 ５G 服务的安全新需求,总结了密码算法、空口安全、隐私、统一认证及漫游等方面的５G 安全增强新特性.在此基础上,给出智 能铁路５G 通信网络在安全认证、物理层安全、终端安全、切片安全、边缘计算安全方面需关注的重点.针对５G 专网部署方式, 给出基础设施、通信安全、安全管理数据安全、内生安全防御体系方面的建议. 关键词:智能铁路;第５代移动通信系统(５G);内生安全;策略综述;数字服务 中图分类号 TN９１５ OverviewofSecurityTechnologiesandStrategiesforIntelligentRailway５G LIPanpan １,２,WU Hao １,３,LIUJiajia １,２,DUANLi ４andLU Yunlong １,３ １StateKeyLaboratoryofAdvancedRailAutonomousOperation,BeijingJiaotongUniversity,Beijing１０００４４,China ２SchoolofElectronicsandInformationEngineering,BeijingJiaotongUniversity,Beijing１０００４４,China ３FrontiersScienceCenterforSmartHighＧspeedRailwaySystem,BeijingJiaotongUniversity,Beijing１０００４４,China ４SchoolofComputerandInformationTechnology,BeijingJiaotongUniversity,Beijing１０００４４,China Abstract Digitaltechnologyisreshapingallwalksoflife,whichistheonlywayforthedevelopmentoftheindustry．Whiledigital servitizationtechnologiessuchas５Gempowerindustriessuchasrailways,theyalsobringsomesecurityrisks．SecurityisapreＧ requisiteforallservices．Inordertopromotetheinnovativeapplicationsof５Ginintelligentrailway,thispaperfirstsystematically reviewsthesecurityrisksandchallengesfacedbyintelligentrailway５Gfromtheperspectivesofterminal,airinterface,communiＧ cation,data,system,andpublicＧprivatenetworkintegration．Inviewofnewservicescenarios,weanalyzethenewtechnologies, newterminalsandnewapplicationsforrailways,andthenewrequirementsof５Gsecurityforsmartrailways．Thenewfeaturesof ５Gsecurityenhancementinaspectsofpasswordalgorithm,airinterfacesecurity,privacy,unifiedauthentication,androamingare alsosummarized．Onthisbasis,thekeypointsofsmartrailway５Gsecurityaregiven, includingcertification,physicallayersecuriＧ ty,terminalsecurity,slicesecurityandedgecomputingsecurity．For５Gprivatenetworkdeployment,recommendationsarealso givenintermsofinfrastructure,communicationsecurity,datasecurity,andendogenoussecuritydefensesystem． Keywords Intelligentrailway,The５thgenerationmobilecommunicationtechnology,Endogenoussecurity,OverviewofstrateＧ gies,Digitalservitization １ 引言 智能时代的到来对铁路创新发展提出了更高的要求.我 国在世界上较早提出了“智能高速铁路 ”的 概 念 ,并 在 京 张 、 京雄高铁中进行了创新应用.智能铁路将采用云计算、物联 网、大数据、北斗定位、第 ５代移动通 信 系 统(５G)、人 工 智 能 (AI)等新技术,实现铁路智能建造、智能装备、智能运营等水 平的全面提升[１Ｇ２]. 铁路智能化建设离不开信息通信技术与铁路业务的深度 融合.２０２０年３月,国家提出加快５G 等基础设施建设和５G 垂直行业应用的决策部署,因此,发展基于５G 技术的智能铁 路移动通信十分必要.这不仅可以加速铁路运营的数字化、 智能化和安全性发展,更能大幅提升乘客体验,巩固我国铁路 在世界上的领先地位. ２ 概述 智能铁路包括智能建造、智能装备和智能运营,基于５G 的铁路物联网智能运维应用如图１ [１]所示,包括智能 建 造 中 的精密勘测、动态监测等,施工现场数据实时回传分析;智能 装备中的自动 驾 驶 、列 车 运 行 控 制 等 ,智 能 运 营 中 的 主 动 性安 全 防 控 和 智 能 化 乘 客 服 务 都 亟 待 建 设 铁 路 新 一 代 全 平 台 通 信 和 数 据 共 享 系 统 ,以 便 更 好 地 利 用 智 能 化 技 术 全 面分 析 铁 路 运 行 状 况 ,预 测 安 全 风 险 ,为 乘 客 提 供 全 程 智 能 化 的 舒 适 体 验 .４G 及 以 前 的 通 信 方 式 难 以 满 足 以 上 智 能 铁 路 建 设 的 通 信 需 求 ,只 有 ５G 才 具 备 这 样 的 信 息 传 输 和 处 理 能 力 . 图１ 基于５G 的铁路物联网智能运维应用 Fig．１ IntelligentoperationandmaintenanceapplicationofrailwayIoTbasedon５G 作 为 信 息 交 互 的 基 础 设 施 ,５G 引 入 了 软 件 定 义 网 络 (SoftwareDefinedNetwork,SDN)、网 络 功 能 虚 拟 化 (NetＧ workFunctionsVirtualization,NFV)、移 动 边 缘 计 算(Mobile EdgeComputing,MEC)、网 络 切 片(NetworkSlicing)等 新 技 术 [２],并 充 分 利 用 人 工 智 能 与 大 数 据 挖 掘 的 融 合 革 新 支 撑 铁路 泛 在 互 联 、全 面 感 知 和 智 能 化 建 设 ,但 这 也 使 网 络 安 全 形 势 发 生 了 重 大 变 化 . 我 们 梳 理 了 ５G 相 对 LTE,GSM 的 安 全 增 强 ,如 表 １所 列 .但 同 时 ,５G 也 引 入 了 一 些 新 的 安 全 风 险 .首 先 ,设 备 自 身 计 算 、续 航 、安 全 防 护 能 力 差 , 易 遭 受 破 坏 和 安 全 威 胁 ;其 次 ,网 络 逐 渐 边 缘 化 ,复 杂 安 全 机制 部 署 受 限 ,软 件 逐 渐 虚 拟 化 ,导 致 轨 道 智 能 交 通 系 统 网 络 安 全 边 界 逐 渐 模 糊 ,传 统 的 依 赖 物 理 边 界 的 防 御 方 式 不 再 适 用 ;再 次 ,边 缘 计 算 、人 工 智 能 与 大 数 据 挖 掘 的 深 度 泛 在 融 合 ,也 使 铁 路 场 景 下 边 缘 网 络 数 据 安 全 问 题 面 临 前 所 未 有 的 新 挑 战 .因 此 ,为 更 好 地 保 障 智 能 铁 路 ５G 稳 步 推 进 ,首 先 分 析５G 技 术 在 铁 路 通 信 中 的 适 用 性 ,然 后 对 其 安 全 风 险 现 状 进 行 深 入 调 研 ,归 纳 总 结 智 能 铁 路 ５G 需 求 与特 性 ,并 针 对 当 前 工 作 的 进 展 和 不 足 ,探 讨 分 析 智 能 铁 路 ５G 关 键 安 全 技 术 和 相 应 的 下 一 步 安 全 防 范 研 究 方 向 和 思 路 . ３ 面临的安全风险与挑战 智能铁路５G 的开放性 和 支 撑 铁 路 多 业 务 场 景 的 特 性, 使５G 网络自 身 的 安 全 问 题 和 业 务 应 用 的 安 全 问 题 相 互 交 叉,这将带来以下几方面的安全威胁与挑战. ３．１ 基站空口风险 基站空口主要存在两类安全风险. (１)外部因素引起的安全风险,如伪基站干扰信号 ,导 致 铁 路５G 终 端 降 级 接 入 到 不 安 全 的 GSMＧR 网 络 中 ;铁 路 沿 线 安 全 防 护 不 足 的 海 量 物 联 网 传 感 设 备 若 遭 受 攻 击 ,则 可 能 对 基 站 或 核 心 网 发 起 DDoS攻 击 ,从 而 影 响 网 络 设 备 正 常 运 行 . (２)５G 空口 协 议 仍 存 在 安 全 风 险,３GPP 协 议 仍 在 完 善 之中,现存的安全漏洞可能面临身份假冒、服务抵赖、重放攻 击等风险,导致终端真实性降低. ３．２ 通信风险 铁路通信信号系统是保障铁路运输安全的基础之一,虽 然铁路目前采用专网通信,但由于铁路系统关键基础设施占 据重要地位,因此仍然面临许多攻击,传统安全威胁手段包括 病毒、木马、蠕虫、间谍软件、僵尸网络、程序漏洞等.随着５G ２ ComputerScience 计算机科学 Vol．５１,No．５,May２０２４ 技术在铁路通信中的应用和未来公专融合应用网络架构的构 建,新的漏洞和攻击手段也会出现.铁路通信系统庞大而复 杂,以列控系统为例,其通过数据信息交换,提供安全控车服 务.随着信息化的快速发展,一直以来被认为相对封闭、专业 和安全 的 列 控 系 统 在 ５G 系 统 中 将 不 再 是 一 座 安 全 的 “孤岛”,导致列控系统设备、主机、网络、数据极易遭受来自外 部及内部的网络安全攻击.因此,保障铁路通信系统安全可 靠是铁路安全运行的基础和关键. 表１ ５G 相对 LTE和 GSM 的安全增强 Table１ ５GSecurityenhancementcomparedtoLTEandGSM 安全方面 ５G LTE GSM 峰值速率 １０Gbps １００Mbps １００kbps 信任模型 由 AMF,SEF,AUSF,UDM 和 ARPF组成 由 MME,HSS和 AUC组成 由 MSC,AUC,HLR 和 VLR 组成 认证 使用 SUCI和 SUPI进 行 身 份 验 证,EAPＧ AKA 和５G AKA 是必要的身份 验 证 方 法. 如果需要外部数据网络,可以执行二次身份 验证 使用IMSI和 TMSI进行身份验 证,身份验证方法为 EPSAKA, 不支持二次身份验证 使用(RAND,SRES,Kc)三元组 进行身份认证,认证算法为 A３, 不支持二次身份验证 安全上下文 多重注册情况下附加安全上下文管理 不支持多个注册安全上下文 不支持多个注册安全上下文 PLMN 间 安全性 通过 SEPP 和 N３２ 接 口 确 保 PLMNs 之 间 的安全 无 SEPP 无 SEPP 移动性 通过更灵活的移动性管理,运营商可以根据 特定 gNB的安全特性决定是否为特定 gNB 执行 Xn或 N２ 切 换.Xn 切 换 仅 通 过 Xn 接口切换,不涉及 AMF 移动 性 管 理 必 须 通 过 MME 完成 移 动 性 管 理 由 MS 和 SGSN 完成 用户面安全 附加可选完整性和保密保护 没有完整性和保密保护 没有完整性和保密保护 ３．３ 数据风险 智能铁路系统是将物理环境、计算和网络有机结合的多 方位 系 统,需 要 通 过 计 算、通 信 和 控 制 的 交 叉 融 合,实 现 车Ｇ 地、车Ｇ车的实时感知、灵活控制和数据服务.随着５G 智能铁 路时代的到来,车载终端、高铁监测传感设备等会产生海量的 敏感类数据,在数据共享中存在泄露的风险.另外,在一些要 求高精度、低时延的应用场景下,例如列车自动驾驶、远程操 控维修等,云端完成计算已无法满足应用时延需求,越来越多 的人工智能应用需要迁移到边缘端.大规模异构设备连接、 泛在智能与网络通信计算能力的不断下沉,也使边缘网络和 设备面临数据安全受威胁、网络状态易探知、分布式架构难防 御等安全挑战.人工智能/机器学习算法需要将边缘设备采 集到的海量大数据传输到集中式的服务端进行训练,这在一 方面会大量占用网络带宽,另一方面也难以保证传输数据的 隐私安全. ３．４ 系统风险 铁路系统庞大而复杂,其中通信链路、网络、操作系统、应 用软件和 运 维 支 持 系 统 存 在 可 被 利 用 的 脆 弱 性.５G 技 术 NFV 和 SDN 使基础设施云化成为趋势,因而模糊了智能铁 路系统安全防护边界.传统物理隔离网元设备间安全风险的 方式可靠度降低,带来新的安全威胁,虚拟化安全成为关注焦 点.人为失误也使网络安全防护面临很大挑战,恶意人员利 用人为失误可能轻松越过网络安全防护措施.传统的安全风 险尚未完全解决,５G 新技术和架构又引入了更多新的安全威 胁.因此,５G 智能铁路系统不仅要从外部防范安全威胁,更 要打造内生安全架构,从内到外保障铁路通信和运行的安全 可靠. ３．５ 终端风险 新一代铁路物联网通过海量传感器和移动终端可以实现 铁路对感知、预测预警、自动控制和主动决策反应能力的整体 跃升,但海量异构终端意味着网络内部与外界之间可被攻击 的入口增多.自然环境对高铁安全有很大影响,地质灾害和 高温、强风、雨雪、冰冻等极端天气都对高铁安全运营构成一 定威胁.尽管５G 在用户身份认证过程中加强了安全性和身 份保密性,但仍有合法用户接入网络后被跟踪、服务被降级甚 至掉线的问题. ３．６ 公专融合应用风险 专网有限的资源难以满足铁路智能化发展带来的业务量 迅速膨胀,需要综合利用铁路专网和运营商公网两部分资源