从1863年伦敦建设第一条地铁开始,轨道交通以其安全、舒适、快捷的突出优势,得到越来越多城市的欢迎,在国内除了北京、上海、广州等城市已经开通以外,未来10年要新建地铁的城市超过20个,轨道交通已经成为解决交通拥挤难题、改善城市环境,构造立体交通网络的最佳方案。
随着地铁行驶速度不断提升,目前最高速度可超过120Km/小时,如何在高速环境下确保运营安全,缩短行车间隔,提高运营效率,这对地铁车辆、信号系统、通信系统等都提出了极高要求,从最初的固定闭塞到准移动闭塞,再到现在最先进的基于通信的列车控制 CBTC(Communications-Based Train Control)移动闭塞系统的应用,信号系统的持续改进是推动列车提速、保障行驶安全的最关键技术,而作为CBTC信号系统的统一数据承载平台,DCS数据通讯子系统(Data Communication Subsystem)其安全性、可靠性要求也不言而喻,面对现有DCS系统大量采用的WLAN无线技术,如何解决无线环境下的防窃听、防攻击以及列车在高速移动环境下的WLAN快速切换等问题,是CBTC系统成功实施的前提。
现代地铁除了能以更快的速度不断缩短人们的出行时间以外,还引入更多人性化设置,满足乘客对舒适性、便捷性日益增长的要求,其中PIS(Passenger Information System)旅客信息系统和AFC(Automatic Fare Collection System)自动售检票系统是地铁现代化的重要标志。
地铁PIS系统除了在车厢内部以动态播报乘车须知、服务时间、列车到发时间、列车时刻表等信息以外,还可显示股票信息、媒体新闻、赛事直播、广告等实时动态信息,一旦出现火灾、阻塞及恐怖袭击等非正常情况,PIS系统还可提供动态紧急疏散提示。PIS系统的应用将原有封闭的车辆空间变成一个让“信息娱乐中心”,增加了乘客舒适感。由于所有信息都必须以无线方式从车站实时传递到列车,并且不能出行停顿、马赛克等情况,这必须有WLAN快速切换环境下“零丢包”技术、WLAN组播技术、WLAN服务质量保障QoS等多种技术的支持。
AFC系统以购票、检票、计费、收费、统计的全过程自动化为目标,对地铁运营公司而言,AFC系统的应用可大量减少票务管理人员、提高地铁系统的运行效率和效益;对乘客而言,则避免了排队购票,“找零”、人工检票的繁琐,出人地铁更加快捷方便。由于AFC系统事关地铁公司财务运营,并且与城市交通“一卡通”,银行等多个业务系统互联,一旦出现AFC系统故障或者收费数据丢失、篡改都会给地铁公司带来严重经济损失,作好安全防范,抵御非法入侵,保障信息安全是AFC系统设计的基本原则。
二 CBTC系统DCS承载网解决方案
CBTC信号系统是轨道交通行业的运营基础系统之一,主要用于列车行驶控制,在信号系统的发展过程中以通信发展为基础发生过几次重大的变化,以信号系统的闭塞的实现机理主要划分三大类,也体现的信号系统的发展史,即:
固定闭塞制式:系统无法知道列车在分区内的具体位置, 列车制动的起点和终点总在某一分区的边界,为充分保证安全,必须在两列车间增加一个防护区段,这使得列车间的安全间隔较大;
准移动闭塞制式CBTC系统:通过报文式轨道电路方式来判断列车的行驶位置,后续列车可据此判断距离先行列车的最大安全距离,但由于最大目标制动点仍必须在先行列车占用分区的外方,故并没有完全突破轨道电路的限制;
基于无线通信移动闭塞制式CBTC系统:通过车载设备和轨旁设备不间断的双向通信,控制中心可以根据列车实时的速度和位置动态计算和调整列车的最大制动距离,两个相邻列车能以很小的间隔同时前进,从而提高运营效率。
目前国内新建地铁线均采用CBTC移动闭塞系统,为了满足整个CBTC系统的可靠性要求,保障列车运营安全,H3C在CBTC数据承载子系统方案设计中,以高安全、高可靠为最高目标,综合采用了RPR、冗余备份、WLAN快速切换等大量先进成熟的网络技术。
2.1 CBTC系统高可靠解决方案
H3C CBTC通信子系统方案如下:
为保障CBTC系统DCS数据通信子系统高可靠,DCS的轨旁网络和车载网络均由两张配置完全相同,但物理独立的网络构成,两网将同步传递控制命令和车辆监控信息,由轨旁CBTC控制中心通过特定的安全算法来判断和选择正常工作的网络,即使出现单网故障,整个CBTC系统依然能正常工作。
为进一步提升网络可靠性,在每个单网内部,H3C还通过选择H3C S9500系列高端交换机以裸光纤互联方式构建RPR骨干环网,确保CBTC与其他应用系统安全隔离,结合RPR技术50ms的快速倒换能力,即使出现骨干网光纤中断的异常情况,依然能保障CBTC信号系统传输不受影响(CBTC系统要求延迟时间低于500ms)。
在车站汇聚层则配备了H3C光纤交换机S3600-28F,上行通过两千兆光纤接口与就近两个核心节点S9500交换机互联,避免单台S9500交换机故障导致的网络中断,下行可提供24个百兆光纤接口连接隧道轨旁AP WA22X-AG(内置了光纤接口),与传统添加成对光纤转换器相比,接入交换机和AP内置光口减少了设备故障点,可靠性更高。
为降低地铁隧道大量AP部署和管理的工作量,H3C选择WA22系列FIT AP产品和WX6100无线控制器方案,实现了AP的零配置,整个无线网的频率规划、安全防范、漫游切换等功能均由WX6100统一完成。
考虑到传统无线控制器组网方案存在严重的故障隐患,即一旦无线控制器故障,会导致整个无线网的瘫痪,为了满足地铁无线组网对安全性要求,H3C的WX6100还支持主备切换、负载分担功能,两台无线控制器可通过网络或者专用连接线实时同步状态信息,并互为主备,每个AP都将建立主备两条CAPWAP隧道与两台WX6100对接,任意单台无线控制器故障对网络不会造成任何影响。
2.2 CBTC网络无线可靠通信解决方案
在CBTC系统中,所有的列车调度、控制信息都是以无线方式在列车和轨旁网络之间进行传递,但由于无线网络的开放性,无线干扰及网络攻击的问题无法完全避免,严重情况下可导致列车停运的重大安全事故。如何通过技术手段将干扰和攻击所造成的影响减少到最低,是CBTC系统DCS数据通信网必须要解决的问题。
隧道环境多径干扰和多普勒效应防范
地铁隧道是典型的多径信道环境,无线信号在传播过程中会存在多个通过不同路径到达接收点,而这些信号分量所经过的路径延时不同,并且有反射过程中的信号倒相,使得到达接收点的所有信号分量在合成相位和幅度上发生大幅变化,最终造成通信的不稳定。
为降低多径干扰的影响,H3C建议采用IEEE 802.11g的正交频分复用(OFDM)技术,将高速数据流分配到数十个相互正交的子载波上,而在每个子载波上是窄带调制;同时,OFDM技术还通过增加循环前缀(CP)的方法极大的减少了干扰,使得信号传输对于多径效应具有鲁棒性。OFDM技术通过将能量和数据分散到多个子载波并结合交织技术和前向纠错编码(Forward Error Correction,FEC)技术,来取得频率分集,有效地应对由于多径而产生的频率选择性衰落。
其次,在高速移动环境中,由于发送机与接收机之间的相对运动,会导致接收信号的频率偏移,会导致接收信号出现误码。多普勒效应的影响取决于发射信号的载波频率和相对运动速度大小。根据理论计算,多普勒效应在2.4GHz~2.5GHz的IEEE 802.11g应用频段所引起的频偏在±250Hz以内(按照最高时速120公里/小时估算),目前H3C提供的AP产品系统频率裕量可以达到±1kHz,可完全满足地铁环境应用。
无线攻击及非法接入防范
无线通信由于不需要有线电缆的连接就可以完成设备以及终端的接入,这个特点给WLAN带来了无与伦比的方便性和组网快捷性等一系列优点,但是也给系统的安全带来了隐患。如果没有对非法、恶意AP接入系统进行有效的防范,则无线系统会给整个无线网络系统带来巨大的安全漏洞。
H3C系列AP产品均支持入侵检测和隔离功能,AP在进行数据接入的同时,还担负着射频环境扫描的功能,可预设定或按需进行射频扫描以识别未授权的AP,并向管理员发出警报。网管系统可根据事先定义非法AP的规则进行处理,如果认定为非法AP,可实施告警、反攻击等等相应的行为;
除此以外,还可结合多种措施防范非法用户的接入:
MAC地址过滤:只有拥有合法MAC地址的终端才允许接入;
SSID管理:SSID将无线网逻辑隔离成多个网络,终端和AP只有匹配相同的SSID才能正常通信,通过隐藏SSID,只有知道SSID的才能接入网络;
WEP加密:WEP加密是一种静态加密的机制,通信双方具有一个共同的密钥,终端发送的空口信息报文必须使用共同的密钥进行加密,防止报文被窃听;
AES加密,AES安全机制是一种动态密钥管理机制,同时密钥生成也基于不对称密钥机制来实现的,同时密钥的管理也定期更新,具有体的时间由系统可以设定,一般情况都设定为5分钟左右,由于WLAN数据传输率有限,非法用户无法在5分钟之内进行获取足够数量的报文进行匹配出密钥,其安全性非常高;另外H3C的无线方案中的密钥设置还可根据SSID信息与用户信息进行组合,即不同的SSID下不同的用户的密钥生成可以不一样,这样可以做不到不同的用户不同的管理方式,同时具备不同的权限;
2.3 CBTC关键技术――WLAN快速切换
CBTC系统要求列车AP和轨旁网络在移动过程中进行不间断通信,如果没有专有技术支持,通常802.11g的越区切换时间在500ms到2s之间(包括重新鉴权和其他以安全为目的额外开销),这么长时间的通信中断对于高速列车运行是绝对不能接受的,按照最高时速120公里/小时估算,最坏情况下,列车在大约65米的运行范围内可能与路边失去联系。
考虑到地铁的特殊应用环境,H3C开发了WHFT快速零切换时间技术,切换过程不丢失任何数据,切换流程示意图如下:
WHFT算法与标准802.11g切换算法的不同在于:WHFT允许车载AP在与轨旁旧AP(如APn)脱离前与新AP(如APn+1)建立连接,即在中断前连接(connection-before-break)。再加上相邻AP彼此重叠足够的区域,就能够实现零切换时间。那就是说,所有与切换有关的处理,在列车运行在相邻AP重叠区域内都会完成,而重叠区域的大小应该按照列车全速运行来设计。
在实际测试环境中,H3C的WHFT技术可将最大切换时延缩短到50ms以内。
三 PIS系统数据承载网解决方案
PIS系统作为面向旅客的导乘信息、运营信息、公益商业广告、地铁服务宣传的数字媒体信息综合发布和管理平台,要求能在车站、车辆内高质量的播放音、视频流信息,部分PIS系统还承载了车辆内部监控图像的上传业务。
PIS系统业务要求如下:
不同组别列车可显示不同的信息。视频显示不能出现明显断点、失帧、抖动、马赛克等,音频播放不能出现明显噪音、滑码等。
为支持电视直播,视频监控等要求,WLAN的数据传输的最小有效带宽:80Km/h速度下最小有效带宽不低于9Mbps,80Km/h速度下平均有效带宽不小于15Mbps。
需支持列车运行速度不大于80公里/小时的视频信息实时传输。
要求组播流的发送;
由于PIS系统以传递大数据流量的实时语音、视频流为主,并涉及组播等技术,这对PIS承载网的时延、QoS保障能力、移动环境下的组播要求非常高,H3C通过专有技术的研发,很好的解决这个问题。
与CBTC信号系统相比,PIS系统由于不涉及地铁安全运营,其可靠性要求稍低,目前普遍采用单网构架方式,但考虑到PIS系统是地铁运营公司和广大乘客的公共接口界面,一旦PIS系统出现故障,会直接影响地铁公司的品牌形象,如何在单网环境下提升PIS系统可靠性依然是要考虑的重点。
H3C建议PIS系统采用高可靠的双星型拓扑结构设计,车站AP接入交换机S3600-28F通过双千兆链路接入到核心,传输链路可选择裸光纤或MSTP传输,避免单链路故障或者单核心故障对网络造成的影响,S3600-28F下行通过百兆光纤口直接接入隧道轨旁AP,避免使用光电转换器降低系统可靠性。
核心交换机则建议选择支持冗余引擎、冗余电源、支持热插拔的高端交换机产品,例如H3C的S9500/S7500交换机产品,这些交换机均支持高密度的千兆、万兆接入,具有足够的性能和可靠性,非常适用核心环境使用。
由于一台S3600-28F可最大接入24个AP,如果这些AP相邻布置,就会出现接入交换机故障,导致一段地铁线路都无法正常工作的情况,为避免这种情况的发生,H3C建议隧道轨旁AP要跨站交叉部署,如上图所示。
3.1 PIS系统关键技术――组播环境0丢包技术
车辆内部的流媒体播放计算机作为PIS系统组播数据流的接收者,它直接与车载交换机互联,车载交换机上行接入车载AP设备,虽然列车移动过程中车载AP和轨旁AP有着持续的切换过程,但车载交换机和流媒体播放计算机却无法及时感知这个过程,因此也不会在AP切换后主动发起组播加入命令,直接导致广播流的中断。
H3C在前面描述的WFHT快速切换的技术之上,做了进一步开发,车载AP通过IGMP-Snooping功能,已经知道车载网络中是否有组播接收者的存在,在与新关联AP建立连接的过程中,车载AP会代替其后端的有线网络和接收者发起组播加入功能。
在新关联AP通道的组播报文没有到来以前,车载AP仍通过原有关联AP接收组播数据,一旦从新关联AP接收到报文,车载AP则代替后端网络发起组播离开报文,通过这种先建连接,后切换的技术,真正实现了0丢包功能。
由于标准协议的处理并不支持这样的功能,只有将标准协议与组播应用相关联后才能实现。
3.2 PIS系统关键技术――QoS技术
PIS系统的图像、语音是否联贯,与数据承载网的QoS能力紧密相关,由于PIS系统有线网络千兆骨干网带宽承载PIS流媒体业务绰绰有余,整个PIS系统性能瓶颈还集中在无线系统,WLAN部分的QoS决定了PIS的性能和表现。
H3C的有线、无线一体化解决方案可在所有的层次保证了用户数据的最高质量的优先级调度。
如图所示,在无线控制器和AP之间是通过隧道通信,不同的无线控制器之间也是通过隧道通信,业务的QoS保证是在二个层次内完成的,有无线的QoS保证与有线的QOS。
应用层数据与WLAN优先级的映射:
基于DiffServ的QoS映射:
AP进行WMM(Wi-Fi Multimedia)与COS/TOS之间映射
基于DiffServ的队列调度
AP在输出接口支持多个队列,按优先级调度
语音流和视频流放入严格优先级队列PQ中,监控和其他数据业务放入CBWFQ。H3C的WLAN AP设备可以支持二层优先级(802.1p/Q),三层优先级数据(TOS)到WLAN MAC层优先级的映射,并且可以数据的类型,将不同类型的报文使用不同的优先级传输。
在AP的QoS范畴内,不仅仅继承了IEEE802.11 MAC里面所规定的CSMA/CA(载波侦听多路访问/冲突避免)的DCF(分布式协调功能)机制,同时实现WMM所规定的EDCF(增强型分布式协调功能)。也就是将业务分为不同的4个队列Backgournd,Best Effort,Video和Voice,就可以把不同的业务类型放入不同的队列中,设定AP的QoS配置如下表:
3.3 PIS系统监控方案
早期地铁监控主要集中在车站级别,以模拟监控为主,通过监控系统,运营调度控制中心可实时直观的了解线路运营情况和事故灾害信息,从而能在最早时机做出控制反应,但由于模拟监控大规模部署成本高,不支持远程调阅,历史图像查询困难等多种原因,基于IP的数字监控系统已经成为新的发展潮流,尤其随着基于WLAN技术的PIS系统成熟,这使得车辆内部监控图像的实时上传也成为可能。
H3C的PIS监控解决方案充分整合了IP网络、视频、存储、信令等领域的技术,采用开放的架构,标准的技术实现。系统将信令控制与媒体流交换分离的先进理念引入视频监控系统。系统中音视频流并不在信令控制服务器上集中处理,而是通过网络的处理交换以分布式的形式分发出去,避免了由于媒体流处理的性能压力而造成的瓶颈问题,从而可以实现监控规模的无限制扩展
。 H3C的IP监控解决方案采用开放性的架构,具备较好的开放性,允许不同子模块的技术独立演进发展。同时,针对地铁原有的监控系统,不论它是采用模拟矩阵方式还是DVR方式,可以通过一个视频/控制网关接入到该系统,从而保护用户已有的投资。
H3C的IP监控系统采用最新的专业图像技术,可提供FULL D1高清晰图像分辨率,支持MPEG2/MPEG4/H.264多种编码格式。在车站级别,可采用编码带宽高达8M的高清编码模式,在车辆内部则可采用H.264标准的768K模式,适应PIS系统无线传输的需求。
所有监控图像均支持组播方式发送,具有良好的实时性,并适应突发情况下的大规模观看要求。由于IP监控采用一次编码、全网交换的方式,它很好的避免了传统监控系统因为矩阵多级级联而造成的图像质量下降和时延增加的现象,在多级扩展后仍可以保持最佳的高清晰。
IP智能监控由于它突出的特点,在雅典奥运会、伦敦机场、都灵冬奥会等得到大规模应用,已经成为监控市场技术主流方向。
四 AFC系统解决方案
地铁AFC系统的实施极大的提升了乘客的出行效率,乘客不必在经历排队购票、人工检票等冗长等待时间,出入地铁更便捷,更方便的是地铁电子票卡还可与城市公交卡、银行的小额支付卡互通,最终实现一卡在手,畅通无阻的理想境界。
由于AFC系统需要承载了所有地铁的运营财务数据,并与城市公交卡、银行系统等多个系统互联,如何保障网络的安全可靠和数据安全是AFC系统的设计重点。 4.1 AFC高可靠组网方案
AFC系统数据量不大,但要求网络可靠性高,整体网络方案设计以双星型归属为主,在线路中心放置两台高可靠的S7506R交换机,并运行VRRP热备协议。车站汇聚交换机以FE接口接入到MSTP平台,为保障车站网络的安全,车站汇聚交换机和接入交换机之间以光纤链路互联。线路票务中心、ACC清算中心等关键部门则以双归方式之间与核心交换机互联。
4.2 AFC信息安全解决方案
构建AFC财务管理安全门――EAD局域网端点准入防御解决方案据公安部最新统计,70%的信息泄密犯罪来自于企业内部,80%应用电脑的单位未设立相应的安全管理系统、技术措施和制度统计。对于AFC系统而言,如何解决内网安全显得尤为重要,这包括如何避免非法用户接入到内网,以及如何对内网合法用户的权限和安全状态进行管理多个方面。
H3C端点准入防御(EAD,Endpoint Admission Control)解决方案从网络终端准入控制入手,整合网络接入控制与终端安全产品,通过安全客户端、安全策略服务器、网络设备以及第三方软件的联动,可对接入网络的所有用户终端强制实施安全策略,严格控制终端用户的网络使用行为,可以有效的满足AFC系统对信息安全的严格需求。
EAD系统要求所有接入到AFC系统中的用户都必须通过身份认证,要求用户输入用户名、密码信息等,对于信息安全要求更高的应用环境,还可与计算机MAC地址等硬件信息、USB Token卡等多种安全设备捆绑认证,最大程度防范非法用户的接入。
即使通过了EAD的身份认证,EAD客户端还会检查用户计算机的安全状态,包括计算机操作系统补丁安装是否合格、病毒库定义是否合格、是否启动防病毒软件、是否安装了非法软件、是否只启用符合其身份的应用软件……只有通过安全认证,计算机才能正常接入到网络中开始工作,安全状态检查只要有一条不能满足要求,该计算机将被安全隔离到隔离区,并在隔离区内自动安装系统补丁、防病毒软件、卸载非法软件等。
除了提供用户安全认证,EAD解决方案还可实现基于网络的用户权限管理,不同级别的用户能访问的应用服务器各不相同,与传统基于应用的权限管理不同,不存在被破解的可能性,安全性更高。
IPS网络“B超”――AFC系统网络边界防御解决方案
由于业务的需要,AFC网络有多个外部网络连接,例如公交“一卡通”系统、银行结算网络等,如何对不同网络之间的通信进行严格的检测、控制和隔离,避免网络攻击和信息泄密是信息安全设计重点。
自从1995年开始出现防火墙产品以来,防火墙已经成为网络安全方案的关键设备,防火墙将网络划分成不同安全等级的网段,在网段边界放置防火墙,可进行有效的网段隔离和访问控制,在H3C AFC解决方案中,AFC网络出口放置了SecPath F系列防火墙。
但仅有防火墙产品还不能解决所有的安全问题,防火墙产品工作在IP层,只对源、目的IP地址之间的互访关系进行控制,如果符合防火墙安全访问规则,防火墙对数据流中承载的应用层信息不做任何判断,这使得目前以蠕虫、病毒、Email为主的应用层攻击难以检测。
为此在AFC系统的出口处,还放置了H3C基于应用层的入侵防御系统H3C IPS,H3C IPS入侵防御系统能够阻止蠕虫、病毒、木马、拒绝服务攻击、间谍软件、VOIP攻击以及点到点应用滥用。通过深达第七层的流量侦测,能够在发生损失之前阻断恶意流量。
SecPath防火墙、H3C IPS的紧密配合可为AFC系统提供一个全面的安全解决方案。
五 H3C在地铁行业的其他优势
地铁具有建设周期长、存在延长线、跨线互联中转等特征,这要求信息系统建设要有前瞻性,并选择成熟通用的标准,确保后续系统能与前期工程良好互通。同时地铁具有运行速度快,不允许中断的高可靠要求,这也对整个系统的售后服务保障提出了很高要求。H3C作为一家立足国内,面向全球的IP通信领域的领先者,在产品方案标准化、本地化快捷服务方面具有明显优势。
5.1 混合组网兼容性优势
H3C所有产品均基于拥有自主知识产权的Commware软件平台开发,完全遵守所有主流国际标准协议,目前基于Commware软件平台的网络产品全球累计销售超过200万台,在运营商、金融、政府、交通等各个行业领域得到广泛应用,据赛迪顾问CCID统计,2006上半年H3C国内市场综合市场份额达到37.5%,在全球运营商市场份额排名第三,H3C快速增长的市场份额与其良好产品质量,以及与其他厂商的兼容互通密不可分。除了支持与多厂商设备混合组网,H3C的网管平台还支持多厂商产品的统一管理,包括拓扑管理、故障管理、以及VPN业务管理等,良好设备兼容能力能最大程度降低用户网络后续升级、维护的成本。
5.2 快捷售后服务保障确保运营安全
根植中国,H3C将服务本土市场做为企业立身的根本,尤其对于地铁这样关系民生的重大公共项目,H3C深知服务的重要性,目前H3C在中国拥有最为完善的机构分布,在全国设有30个备件中心、30个用户服务中心,可全面保证对地铁客户的快速服务响应。
H3C除了能为地铁客户提供整网的设备解决方案,还致力于提供精细、主动、专业的网络服务,服务层次从履行责任制转向为针对行业客户的定制化服务,内容涵盖运行维护、系统优化、认证培训、运营咨询在内的全方位服务解决方案。
H3C力争为用优良的服务为地铁客户构筑竞争优势,让服务体现价值。
六 地铁信息化展望
面对地铁信息化浪潮不断涌现,H3C凭借深厚的产品技术积累,为满足地铁行业用户需求而持续不断投入资金和人力资源,开发了适应地铁环境的多种产品和技术方案。H3C的努力已经得到越来越多用户的认可,现已中标了沈阳地铁1号线CBTC系统、北京地铁4号线/10号线/13号线的AFC系统、广州地铁4号线AFC系统、北京地铁10号线PIS系统项目、北京地铁TCC系统。
H3C期盼与用户携手,在轨道交通行业信息化发展中共同成长!
