CN107968775B - 数据处理方法、装置、计算机设备及计算机可读存储介质 - Google Patents
数据处理方法、装置、计算机设备及计算机可读存储介质 Download PDFInfo
- Publication number
- CN107968775B CN107968775B CN201710973218.9A CN201710973218A CN107968775B CN 107968775 B CN107968775 B CN 107968775B CN 201710973218 A CN201710973218 A CN 201710973218A CN 107968775 B CN107968775 B CN 107968775B
- Authority
- CN
- China
- Prior art keywords
- data
- safety
- secure
- communication
- communication protocol
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/18—Network architectures or network communication protocols for network security using different networks or channels, e.g. using out of band channels
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
Abstract
本发明提供了一种数据处理方法、装置及计算机设备,其中,数据处理方法包括:根据数据的传输路径将数据分类为安全数据与非安全数据,其中,安全数据与非安全数据已封装至少一层安全通信协议;对安全数据封装内部安全通信协议;将非安全数据和已封装内部安全协议的安全数据分别在不同的物理通道上进行传输。通过本发明,可以确保系统数据的安全传输。
Description
技术领域
本发明涉及通信领域,具体地涉及一种数据处理方法、装置及计算机设备。
背景技术
随着铁路信号技术的发展,地面信号系统逻辑运算单元承载的业务量越来越庞大且复杂,这就要求逻辑运算硬件平台能够提供足够的运算性能和数据吞吐能力。特别是,应用在高铁的RBC(无线闭塞中心)和城轨ZC(区域控制器)系统,由于有控车数量和列车追踪间隔要求,对平台硬件的各项性能要求就会更高,现有安全计算机平台已不能满足此类需求。
在现有的安全计算机系统中,多采用二乘二取二的安全计算机结构,双套冗余设计,每系均包含A/B两系,两系均承担安全功能,并且通常在数据通信时只添加一层安全通信协议作为数据保护,并不区分系统中的安全与非安全数据。现有的方法在某些特殊情况下,有可能将非安全数据当作安全数据进行传输与处理,这对系统会带来未知的影响,对铁路信号设备的安全性以及可用性带来了威胁。
发明内容
有鉴于此,本发明的目的在于提供一种数据处理方法、装置及计算机设备,以解决上述提及的至少一个问题。
根据本发明的一方面,提供了一种数据处理方法,该方法包括:根据数据的传输路径将数据分类为安全数据与非安全数据,其中,安全数据与非安全数据已封装至少一层安全通信协议;对安全数据封装内部安全通信协议;将非安全数据和已封装内部安全协议的安全数据分别在不同的物理通道上进行传输。
根据本发明的另一方面,提供了一种数据处理装置,该装置包括:分类模块,用于根据数据的传输路径将数据分类为安全数据与非安全数据,其中,安全数据与非安全数据已封装了至少一层安全通信协议;协议封装模块,用于对安全数据封装内部安全通信协议;数据传输模块,用于将非安全数据和已封装内部安全协议的安全数据分别在不同的物理通道上进行传输。
根据本发明的还一方面,提供了一种计算机设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,该处理器执行计算机程序时实现上述的方法。
根据本发明的又一方面,提供了一种计算机可读存储介质,该计算机可读存储介质存储有执行上法的计算机程序。
通过本发明提供的技术方案,可以对安全数据进行额外的安全协议封装,并将安全数据与非安全数据分别在不同的物理通道上传输,从而可以确保系统数据的安全传输。
附图说明
通过以下参照附图对本发明实施例的描述,本发明的上述以及其它目的、特征和优点将更为清楚,在附图中:
图1是根据本发明实施例的数据处理装置的结构框图;
图2是根据本发明实施例的数据传输模块103的结构框图;
图3是根据本发明实施例的安全计算机系统的架构示意图;
图4是根据本发明实施例的安全计算机系统底板的以太网拓扑连接方式示意图;
图5是根据本发明实施例的安全环境子系统与非安全环境隔离的示意图;
图6是根据本发明实施例的外部数据进入安全计算机系统的流程示意图;
图7是根据本发明实施例的非安全数据传输格式示意图;
图8是根据本发明实施例的安全数据传输格式示意图;
图9是根据本发明实施例的数据处理方法的流程图。
具体实施方式
以下基于实施例对本发明进行描述,但是本发明并不仅仅限于这些实施例。
由于现有的铁路安全计算机系统不区分安全与非安全数据的现状,本发明实施例提出了一种基于物理通道隔离与多级安全协议相结合的数据隔离方案,使得安全计算机系统内的安全与非安全数据能够有效的安全隔离传输。
图1是根据本发明实施例的数据处理装置的结构框图,如图1所示,该装置包括:
分类模块101,用于根据数据的传输路径将数据分类为安全数据与非安全数据,其中,安全数据与非安全数据已封装了至少一层安全通信协议;
协议封装模块102,用于对安全数据封装内部安全通信协议;
数据传输模块103,用于将非安全数据和已封装内部安全协议的安全数据分别在不同的物理通道上进行传输。
通过分类模块101将数据分类为安全数据与非安全数据,协议封装模块102对安全数据进行额外的安全协议封装,以及数据传输模块103将安全数据与非安全数据分别在不同的物理通道上传输,确保了系统数据的安全传输,避免了现有技术中的由于将非安全数据当作安全数据进行传输与处理而导致的给铁路信号设备带来威胁的问题。
上述非安全数据包括以下至少之一:系统维护数据、系统中的外部通信设备与外部设备的通信数据以及外部通信设备之间的通信数据。
具体地,如图2所示,上述数据传输模块103包括:
非安全数据传输子模块1031,用于将不同类型的非安全数据分别在不同的物理通道上进行传输;
安全数据传输子模块1032,用于将不同类型的已封装所述内部安全协议的安全数据分别在不同的物理通道上进行传输。
也就是说,在铁路安全计算机系统内,不同类型的通信数据,均采用不同的物理通道进行传输,从而可以完成安全与非安全数据的隔离,内部数据与外部数据的隔离,使得系统的可控性、可用性增强,保障数据的安全传输。
为了更好地理解本发明实施例,以下基于图3所示的安全计算机系统为例来详细描述本发明实施例。
图3所示的安全计算机系统具备如下功能:
1.通信功能
系内和系间CPU之间具备数据通信通道;可提供多路以太网接口与外部系统通信(通信数据安全防护可由应用软件实现)。
2.安全计算冗余功能
系统具备二乘二取二安全比较功能;双系状态及应用数据同步功能;可向应用提供各种功能API(应用程序编程接口),实现数据传输、安全比较、故障处理等功能;逻辑运算单元可实现高速的逻辑运算功能,处理器运算能力大于10240MIPS。
3.存储功能
具有存储接口,可存储应用软件、配置数据文件以及上传并存储Log日志。
4.维护功能
提供维护监测通信接口,可向维护机发送系统状态和通信原始数据;维护机软件可显示和记录系统运行状态及通信原始数据,维护软件可独立运行于维护机。
图3所示的安全计算机系统采用二乘二取二双CPU对称冗余架构,每个系统均包含双CPU安全逻辑处理单元(SUA/SUB)和通信单元(SUC)。
SUA/SUB主要负责逻辑运算和比较,可以承担安全功能,负责与安全相关的所有计算工作;SUC用于完成系统的对外输入输出工作,实现系统中非安全相关的业务功能。在实际操作中,SUA/SUB处理的数据基本为安全数据,SUC处理的数据基本为非安全数据。
系内SUA、SUB间采用以太网接口进行数据交互,两个以太网接口直接对接,其物理信号通过底板PCB走直连;II系系内实现方式与I系的相同。I系与II系之间通信也采用以太网接口直接对接方式,I系SUA1与II系SUA2通过底板PCB走线,I系SUB1与II系SUB2通过底板走直连。具体的底板以太网拓扑连接方式可参见图4所示。
SUC与SUA/SUB、SUC与SUC之间采用内部交换机互联的方式,进行以太网通信数据交互。系统内为将安全数据与维护数据进行物理隔离,系统内部集成两个相互独立的交换机,分别为主控交换机和维护交换机。主控交换机传输系统内的安全数据,对外无接口。维护交换机传输与系统维护相关的非安全数据,对维护机提供对外接口。
在具体实施过程中,SUC对外可以提供多对(例如,3对)对立的以太网口,与外部设备进行数据通信。
在图3所示的系统中,安全数据类型可以包括:SUA/SUB系内CPU间通信、SUA1/SUA2系间通信、SUB1/SUB2系间通信以及SUA/SUB与SUC通信。非安全数据类型包括:SUC1/SUC2数据交叉、SUC与外部设备通信、维护数据等。
在实际操作中,安全计算机系统内不同类型的通信数据,均采用不同的物理通道进行传输。这样可以实现安全数据与非安全数据的隔离,内部数据与外部数据的隔离,使得系统的可控性、可用性增强,保障数据的安全传输。
表1示出了安全计算机系统中的所有数据类型,以及其对应的物理通信通道:
表1
为了保障安全数据的可靠性,需将安全数据与非安全数据隔离开,如图5所示,这样就可以给SUA/SUB提供一个安全环境子系统,这一安全环境子系统与非安全环境隔离,从而可以完成安全相关业务功能。
外部数据进入安全计算机系统,可以以安全协议保障数据的传输。如图6所示,当数据由SUC传输给SUA/SUB时,非安全数据将由非安全CPU传输给安全CPU,这时,在非安全数据的安全通信协议外层再包裹一层内部安全通信协议,将非安全数据转变为安全数据,从而可以将SUA/SUB与SUC隔离开,建立一个安全运算环境,保障安全相关功能正确执行。
图7为非安全数据传输格式,安全通信协议可采用通用的封闭网络安全协议。图8为安全数据传输格式,在安全通信协议外层,再封装内部安全通信协议,该内部安全通信协议可以为自定义的内部通信协议。这里的安全通信协议可以是铁路上通用的RSSP(铁路安全通信协议)协议。
在实际操作中,对安全数据还可以封装多级安全通信协议,本发明实施例不限于上述的两层安全通信协议。
基于相似的发明构思,本发明实施例还提供了一种数据处理方法,可以应用于上述的数据处理装置。
图9是根据本发明实施例的数据处理方法的流程图,如图9所示,该方法包括:
步骤901,根据数据的传输路径将数据分类为安全数据与非安全数据,其中,安全数据与非安全数据已封装至少一层安全通信协议;
步骤902,对安全数据封装内部安全通信协议;
步骤903,将非安全数据和已封装内部安全协议的安全数据分别在不同的物理通道上进行传输。
通过将数据分类为安全数据与非安全数据,并对安全数据进行额外的安全协议封装,以及将安全数据与非安全数据分别在不同的物理通道上传输,确保了系统数据的安全传输,避免了现有技术中的由于将非安全数据当作安全数据进行传输与处理而导致的给铁路信号设备带来威胁的问题。
上述的非安全数据包括以下至少之一:系统维护数据、系统中的外部通信设备与外部设备的通信数据以及外部通信设备之间的通信数据。
具体地,在步骤903中,不同类型的非安全数据分别在不同的物理通道上进行传输,同样地,不同类型的已封装内部安全协议的安全数据也分别在不同的物理通道上进行传输。
也就是说,在铁路安全计算机内,不同类型的通信数据,均采用不同的物理通道进行传输。从而可以完成安全与非安全数据的隔离,内部数据与外部数据的隔离,使得系统的可控性、可用性增强,保障数据的安全传输。
由于该方法解决问题的原理与数据处理装置相似,因此该方法的实施可以参见数据处理装置的实施,重复之处不再赘述。
本发明实施例还提供了一种计算机设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,该处理器执行计算机程序时实现上述的方法。
本发明实施例还提供了一种计算机可读存储介质,该计算机可读存储介质存储有执行上述方法的计算机程序。
相比于现有技术中的安全计算机系统不区分安全与非安全数据的数据处理方式,本发明实施例的基于物理通道隔离与多级安全协议相结合的数据隔离技术,使得安全计算机系统内安全与非安全数据能够有效的安全隔离传输,将系统中安全与非安全数据进行区分,在现有的安全通信协议的基础上,对安全数据增加了一层内部通信协议,形成多级安全协议保护;并对不同的数据采用不同的物理通道进行传输,对系统数据进行物理层隔离。本发明实施例的隔离技术弥补了原有安全技术的不足,保障了网间数据的安全传输。本发明实施例提供的安全计算机系统适用于铁路信号控制系统的通用安全平台,能够支持RBC(无线闭塞中心)、TSRS(临时限速服务器)、TCC(列控中心)、CBI(计算机联锁)、ZC(区域控制器)等多种信号系统。
显然,本领域技术人员应该明白,上述的本发明的各模块或各步骤可以用通用的计算机系统来实现,它们可以集中在单个计算机上,或者分布在多个计算装置所组成的网络上,可选地,他们可以用计算机装置可执行的程序代码来实现,从而可以将它们存储在存储装置中由计算装置来执行,或者将它们分别制作成各个集成电路模块,或者将它们中的多个模块或步骤制作成单个集成电路模块来实现。这样,本发明不限制于任何特定的硬件和软件的结合。
以上所述仅为本发明的优选实施例,并不用于限制本发明,对于本领域技术人员而言,本发明可以有各种改动和变化。凡在本发明的精神和原理之内所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (8)
1.一种数据处理方法,其特征在于,所述方法包括:
在铁路安全计算机系统中,根据数据的传输路径将数据分类为安全数据与非安全数据,其中,所述安全数据与所述非安全数据已封装至少一层安全通信协议,所述安全通信协议为铁路安全通信协议;
所述非安全数据包括以下至少之一:系统维护数据、系统中的外部通信设备与外部设备的通信数据以及所述外部通信设备之间的通信数据;
对所述安全数据封装内部安全通信协议;
铁路安全计算机系统采用二乘二取二双CPU对称冗余架构,每个系统均包含双CPU安全逻辑处理单元(SUA/SUB)和通信单元(SUC);
SUA/SUB主要负责逻辑运算和比较,可以承担安全功能;SUC用于完成系统的对外输入输出工作,实现系统中非安全相关的业务功能;
对所述安全数据封装内部安全通信协议,包括:当数据由SUC传输给SUA/SUB时,在非安全数据的安全通信协议外层再包裹一层内部安全通信协议,将非安全数据转变为安全数据;
将所述非安全数据和已封装所述内部安全通信协议的安全数据分别在不同的物理通道上进行传输。
2.根据权利要求1所述的数据处理方法,其特征在于,将所述非安全数据和封装所述内部安全通信协议后的安全数据分别在不同的物理通道上进行传输包括:
将不同类型的非安全数据分别在不同的物理通道上进行传输;
将不同类型的已封装所述内部安全通信协议的安全数据分别在不同的物理通道上进行传输。
3.根据权利要求2所述的数据处理方法,其特征在于,当所述非安全数据为所述外部通信设备与外部设备的通信数据时,所述方法还包括:
当将所述外部通信设备与外部设备的通信数据传输至系统内部时,对所述外部通信设备与外部设备的通信数据封装所述内部安全通信协议。
4.一种数据处理装置,其特征在于,所述装置包括:
分类模块,用于在铁路安全计算机系统中,根据数据的传输路径将数据分类为安全数据与非安全数据,其中,所述安全数据与所述非安全数据已封装了至少一层安全通信协议,所述安全通信协议为铁路安全通信协议;
所述分类模块分类的非安全数据包括以下至少之一:系统维护数据、系统中的外部通信设备与外部设备的通信数据以及所述外部通信设备之间的通信数据;
协议封装模块,用于对所述安全数据封装内部安全通信协议;
铁路安全计算机系统采用二乘二取二双CPU对称冗余架构,每个系统均包含双CPU安全逻辑处理单元(SUA/SUB)和通信单元(SUC);
SUA/SUB主要负责逻辑运算和比较,可以承担安全功能;SUC用于完成系统的对外输入输出工作,实现系统中非安全相关的业务功能;
对所述安全数据封装内部安全通信协议,包括:当数据由SUC传输给SUA/SUB时,在非安全数据的安全通信协议外层再包裹一层内部安全通信协议,将非安全数据转变为安全数据;
数据传输模块,用于将所述非安全数据和已封装所述内部安全通信协议的安全数据分别在不同的物理通道上进行传输。
5.根据权利要求4所述的数据处理装置,其特征在于,所述数据传输模块包括:
非安全数据传输子模块,用于将不同类型的非安全数据分别在不同的物理通道上进行传输;
安全数据传输子模块,用于将不同类型的已封装所述内部安全通信协议的安全数据分别在不同的物理通道上进行传输。
6.根据权利要求4所述的数据处理装置,其特征在于,当所述分类模块分类的所述非安全数据为所述外部通信设备与外部设备的通信数据时,所述协议封装模块还用于:
当所述数据传输模块将所述外部通信设备与外部设备的通信数据传输至系统内部时,对所述外部通信设备与外部设备的通信数据封装所述内部安全通信协议。
7.一种计算机设备,包括存储器、处理器及存储在所述存储器上并可在处理器上运行的计算机程序,其特征在于,所述处理器执行所述计算机程序时实现权利要求1至3中任一项所述的方法。
8.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质存储有执行权利要求1至3中任一项所述方法的计算机程序。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201710973218.9A CN107968775B (zh) | 2017-10-18 | 2017-10-18 | 数据处理方法、装置、计算机设备及计算机可读存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201710973218.9A CN107968775B (zh) | 2017-10-18 | 2017-10-18 | 数据处理方法、装置、计算机设备及计算机可读存储介质 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN107968775A CN107968775A (zh) | 2018-04-27 |
CN107968775B true CN107968775B (zh) | 2021-04-13 |
Family
ID=61997667
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201710973218.9A Active CN107968775B (zh) | 2017-10-18 | 2017-10-18 | 数据处理方法、装置、计算机设备及计算机可读存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN107968775B (zh) |
Families Citing this family (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110865619B (zh) * | 2019-11-26 | 2022-09-27 | 国核自仪系统工程有限公司 | Dcs系统信号流组态模组 |
CN111447240B (zh) | 2020-04-29 | 2022-02-15 | 安康鸿天科技股份有限公司 | 数据通信控制方法、装置、系统、存储介质及计算机设备 |
CN114024794B (zh) * | 2020-07-15 | 2023-01-10 | 辽宁邮电规划设计院有限公司 | 电力总线通信的安全与非安全数据传输、隔离方法与装置 |
CN114125583B (zh) * | 2021-11-15 | 2023-08-18 | 浙江中控技术股份有限公司 | 一种分布式控制网的通信控制方法 |
CN116257859B (zh) * | 2023-05-04 | 2023-09-19 | 北京全路通信信号研究设计院集团有限公司 | 一种系统中不同安全级的软件模块的安全隔离方法和系统 |
Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101996285A (zh) * | 2009-08-26 | 2011-03-30 | 联想(北京)有限公司 | 一种电子设备 |
Family Cites Families (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7496753B2 (en) * | 2004-09-02 | 2009-02-24 | International Business Machines Corporation | Data encryption interface for reducing encrypt latency impact on standard traffic |
US9179303B2 (en) * | 2010-11-17 | 2015-11-03 | Qualcomm Incorporated | Methods and apparatus for transmitting and receiving secure and non-secure data |
CN102231728A (zh) * | 2011-05-16 | 2011-11-02 | 铁道部运输局 | 列车控制数据的通信方法、设备及系统 |
-
2017
- 2017-10-18 CN CN201710973218.9A patent/CN107968775B/zh active Active
Patent Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101996285A (zh) * | 2009-08-26 | 2011-03-30 | 联想(北京)有限公司 | 一种电子设备 |
Non-Patent Citations (1)
Title |
---|
基于互联互通的区域控制器安全通信计算机设计;魏东冬等;《都市快轨交通》;20170830;第30卷(第4期);55-59,64 * |
Also Published As
Publication number | Publication date |
---|---|
CN107968775A (zh) | 2018-04-27 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN107968775B (zh) | 数据处理方法、装置、计算机设备及计算机可读存储介质 | |
CN110361979B (zh) | 一种铁路信号领域的安全计算机平台 | |
US10296685B2 (en) | Failure logic modeling method for a high-speed railway train operation control on-board system | |
CN107888599B (zh) | 一种航电高低安全网络域间的双向通信系统和方法 | |
CN104639437A (zh) | 堆叠系统中广播报文的转发方法及装置 | |
WO2018113763A1 (zh) | 基于轨道交通的计算机平台 | |
CN105763488A (zh) | 数据中心汇聚核心交换机及其背板 | |
CN110532202A (zh) | 一种存储集群系统、数据传输方法和装置 | |
CN102857436B (zh) | 一种基于irf网络的流量传输方法和设备 | |
CN107979587B (zh) | 一种rssp-ii安全协议分离部署方法 | |
US10187365B2 (en) | Method for exchanging numerical data frames and associated communication system | |
CN107959586B (zh) | 一种基于云平台的船端集成导航系统网络架构 | |
WO2019033220A1 (en) | METHODS AND SYSTEMS FOR RECONFIGURABLE NETWORK TOPOLOGIES | |
US20220360558A1 (en) | Method and transmission device for data transmission between two or more networks | |
US10356198B2 (en) | Data transmission between at least one safe producer and at least one safe consumer | |
CN108011791A (zh) | 一种机载双余度can通信系统构型 | |
CN110825057A (zh) | 提高发电厂厂级信息监控系统稳定性和安全性的方法 | |
CN107942779B (zh) | 一种leu处理板 | |
CN110830596A (zh) | 一种基于异构云的多重故障安全列车控制平台实现方法 | |
CN112074884A (zh) | 提供一种数字式交叉路口的系统和方法 | |
CN116318571B (zh) | 一种无线闭塞中心主机、通信数据存储方法、装置及介质 | |
CN110365577A (zh) | 一种安全资源池的引流系统 | |
CN116418601B (zh) | 一种基于区块链辅助校验的全流程信息安全监控系统 | |
CN108156098B (zh) | 一种基于powerlink的通信网络系统 | |
CN117284352A (zh) | 轨道交通数据的表决系统 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |