鐵路移動通信網(wǎng)網(wǎng)絡(luò)安全關(guān)鍵技術(shù)研究.pdf

1、隨著計算機(jī)網(wǎng)絡(luò)在各個領(lǐng)域的滲透，網(wǎng)絡(luò)攻擊手段越來越先進(jìn)，網(wǎng)絡(luò)不安全事件頻發(fā)。因此近幾年，我國已將網(wǎng)絡(luò)安全上升到國家戰(zhàn)略層面。而作為國家重要基礎(chǔ)設(shè)施的鐵路行業(yè)，鐵路移動通信網(wǎng)網(wǎng)絡(luò)安全防御也將面臨更大的威脅和挑戰(zhàn)。鑒于此，本文針對現(xiàn)有鐵路移動通信網(wǎng)絡(luò)存在的安全問題，進(jìn)行詳細(xì)的分析與討論，并提出相應(yīng)的安全解決方案，以全面保障鐵路移動通信網(wǎng)網(wǎng)絡(luò)安全。
　　本文首先針對鐵路移動通信網(wǎng)接入安全進(jìn)行了相應(yīng)的分析與討論。對于非法設(shè)備接入問題，簡要

2、分析了設(shè)備識別寄存器(Equipment Identification Register，EIR)的工作原理，并且詳細(xì)闡述了EIR的兩種方案在鐵路的布置流程以及后期的改進(jìn)方案。其次針對無線入侵的潛在威脅，簡要分析了A5算法缺陷以及偽基站對于鐵路安全的干擾。為了有效抵御偽基站等干擾攻擊，提出了的一種協(xié)商型的鑒權(quán)方式，實(shí)現(xiàn)移動臺和網(wǎng)絡(luò)的雙向鑒權(quán)，保障鐵路移動通信網(wǎng)接入的安全。
　　其次，針對鐵路移動通信系統(tǒng)GPRS子系統(tǒng)的安全，在端到

3、端安全傳輸方面提出了一個適用于鐵路GSM-R通信的安全傳輸模型。該模型在核心網(wǎng)增加了一個安全控制中心，主要負(fù)責(zé)密鑰分發(fā)與儲存，使得端到端會話都具有會話密鑰，從而保證了非安全數(shù)據(jù)在GPRS子系統(tǒng)傳輸?shù)陌踩?。在GRRS子系統(tǒng)組網(wǎng)安全方面，重點(diǎn)對域名系統(tǒng)(Domain Name System，DNS)，認(rèn)證服務(wù)器(Remote Authentication Dial In User Service，RADIUS)以及防火墻的布置進(jìn)行了詳細(xì)的安

4、全討論，針對RADIUS現(xiàn)有設(shè)備認(rèn)證業(yè)務(wù)與網(wǎng)管業(yè)務(wù)使用同一端口可能會暴露機(jī)車數(shù)據(jù)的問題，有針對性地進(jìn)行了優(yōu)化改造，實(shí)現(xiàn)業(yè)務(wù)分離，從而保障GPRS子系統(tǒng)的安全。
　　針對GPRS子系統(tǒng)的業(yè)務(wù)安全，對鐵路RADIUS、鐵路數(shù)字移動通信系統(tǒng)GPRS歸屬服務(wù)器(GRIS Home System，GROS)網(wǎng)絡(luò)日志進(jìn)行了兩種方法的監(jiān)測分析。首先在Linux環(huán)境下使用Python調(diào)用MySQL完成有關(guān)規(guī)則的算法實(shí)現(xiàn)，得出了異常結(jié)果，并對結(jié)果進(jìn)

5、行了分析驗證。在Windows環(huán)境下通過java編程設(shè)計出人機(jī)對話界面，實(shí)現(xiàn)了日志數(shù)據(jù)導(dǎo)入程序半自動化處理的功能。并對兩種數(shù)據(jù)處理方案進(jìn)行時間測試以及可操作性分析。在基于java編程分析的基礎(chǔ)上增加了邏輯規(guī)則閾值時間的可選。并引入異常率的概念，分析了各種閾值時間對異常率的影響。該日志分析軟件使得鐵路對異常業(yè)務(wù)的監(jiān)測分析更加便捷與準(zhǔn)確，保障鐵路移動通信網(wǎng)的業(yè)務(wù)安全。
　　最后，本文對鐵路移動通信網(wǎng)絡(luò)的安全工作進(jìn)行了總結(jié)，并對未來的工