CN108040058A - 一种列车监控装置数据无线换装的安全防护系统和方法 - Google Patents

Abstract

本发明提供一种列车监控装置数据无线换装的安全防护方法，包括：在车载无线通信模块上安装数字证书；所述车载无线通信模块向地面换装系统发起请求，所述地面换装系统对所述无线通信模块的数字证书进行身份认证；所述车载无线通信模块通过所述地面换装系统的身份认证后建立安全的网络通道；所述车载无线通信模块与所述地面换装系统通过所述安全的网络通道进行数据换装。本发明通过对无线网络的边界进行防护，对数据传输过程采取完整性和保密性措施，对网络通信和系统操作进行安全审计，对非法访问进行实时告警，为车‑地通信建立安全的传输通道，保障通信安全。

Description

一种列车监控装置数据无线换装的安全防护系统和方法

技术领域

本发明涉及一种无线数据的安全防护系统和方法，更具体地，涉及一种列车监控装置数据无线换装的安全防护系统和方法。

背景技术

列车监控装置(LKJ)是列车运行安全控制的核心部件，在保障列车行车安全上发挥了重要的作用。现有技术中，对列车运行监控装置的数据换装方式包括传统的人工换装方式和无线数据换装方式。人工换装是列车运行监控装置采用车载计算机预先存储地面路线数据的控制方式，当运行线路发生施工、信号机关闭、防洪防汛等线路数据变化的情况时需要将车载的线路数据进行更新维护。传统的人工换装方式耗费了大量的人力、物力和时间。而目前正在使用的另一种基于无线局域网(WLAN)和移动通信网络(4G/3G/2G)的无线数据换装方式虽然减少了人工干预，提高了工作效率，但是这种无线通信的方式并没有从网络层进行安全性设计，缺乏抵御黑客、病毒入侵的能力，列车运行监控装置线路数据在换装过程中存在被入侵、篡改的安全风险，无法满足国家信息安全等级保护的要求。

发明内容

本发明所要解决的技术问题是提供一种列车监控装置数据无线换装的安全防护系统和方法，实现列车监控装置在无线网络边界的隔离防护，阻断对列车监控装置的非法访问，确保列车监控装置换装数据在通信过程中的完整性、安全性和可靠性。

本发明提供一种列车监控装置数据无线换装的安全防护方法，包括：

在所述列车监控装置的无线通信模块上安装数字证书；

所述无线通信模块向地面换装系统发起请求，所述地面换装系统对所述无线通信模块的数字证书进行身份认证；

所述无线通信模块通过所述地面换装系统的身份认证后建立安全的网络通道；

所述无线通信模块与所述地面换装系统通过所述安全的网络通道进行数据换装。

在本发明的一实施例中，所述数字证书包括设备唯一ID号和设备公钥密码。

在本发明的一实施例中，所述密码的算法为SM2和SM3算法。

在本发明的一实施例中，所述网络通道为VPN通道。

在本发明的一实施例中，所述换装的数据采用国密算法进行加密。

在本发明的一实施例中，每次所述数据换装采用不同的密钥。

在本发明的一实施例中，所述数据换装包括网络层控制、应用层控制和安全运维管理控制。

在本发明的一实施例中，所述网络层控制包括包过滤、网络地址转换、状态检测、策略路由、动态端口开放、IP/MAC地址绑定、流量会话管理、拒绝服务攻击、网络扫描防护的一个或多个。

在本发明的一实施例中，所述应用层控制包括应用协议控制、应用内容控制、恶意代码防护、应用攻击防护的一个或多个。

在本发明的一实施例中，所述安全运维管理控制包括安全审计和安全支撑。

本发明还提供一种列车监控装置数据无线换装的安全防护方法，包括：

在所述列车监控装置的无线通信模块上安装数字证书；

所述无线通信模块发起身份认证请求；

所述车载无线通信模块通过身份认证后建立与地面换装系统安全的网络通道；

所述车载无线通信模块通过所述安全的网络通道接受数据换装。

本发明还提供一种列车监控装置数据无线换装的安全防护方法，包括：

地面换装系统对来自所述列车监控装置的身份认证请求进行身份认证；

所述地面换装系统对所述身份认证请求通过后建立与所述列车监控装置之间的安全的网络通道；

所述地面换装系统通过所述安全的网络通道进行对所述列车监控装置进行数据换装。

本发明还提供一种列车监控装置数据无线换装的安全防护系统，包括：

主机单元，其作为无线数据换装的对象；

扩展单元，所述扩展单元包括交换机、无线通信模块、WLAN插件，所述扩展单元通过所述交换机与主机单元连接；

地面换装系统，所述地面换装系统包括网络安全防护设备和服务器，所述地面换装系统通过无线连接将所述换装数据上传至所述主机单元；

所述无线通信模块包括第一处理器，所述地面换装系统包括第二处理器，所述第一处理器和第二处理器执行计算机指令以实现如上所述的安全防护方法。

本发明还提供一种带网络安全防护功能的列车监控装置数据的无线通信模块，包括：

CPU核心电路，所述CPU核心电路包括主处理器、国密芯片和存储器；

无线通信电路，所述无线通信电路连接至所述CPU核心电路，并且接收无线换装数据；

通信接口电路，所述通信接口电路连接至所述CPU核心电路；

其中所述存储器中存储有计算机指令，所述处理器执行所述计算机指令以实现如上所述的安全防护方法。

在本发明的一实施例中，所述无线通信电路包括GNSS模块和移动通信模块，所述GNSS模块接收外部GNSS信号和发送解码后的GNSS信号，所述移动通信模块用于接收和发送移动通信信号。

本发明提出的列车监控装置数据无线换装的安全防护系统和方法，能够提供安全可靠的4G/3G/2G数据通信和WLAN数据通信，通过对无线网络的边界进行防护，对数据传输过程采取完整性和保密性措施，对网络通信和系统操作进行安全审计，对非法访问进行实时告警，为车-地通信建立安全的传输通道，保障通信安全；通过以太网总线以路由转发方式或透明传输方式，为其它功能单元或设备与地面系统建立透明传输通道，不会对既有软硬件造成影响。

附图说明

为让本发明的上述目的、特征和优点能更明显易懂，以下结合附图对本发明的具体实施方式作详细说明，其中：

图1示出根据本发明的实施例的列车监控装置数据无线换装的安全防护系统的示意图；

图2示出根据本发明的实施例的带网络安全防护功能的无线通信模块的示意图；

图3示出根据本发明的实施例的建立车地VPN隧道的流程图；

图4示出根据本发明的实施例的换装业务的安全防护过程的流程图；

图5示出根据本发明的实施例的无线换装数据流向的示意图。

具体实施方式

下面结合具体实施例和附图对本发明作进一步说明，但不应以此限制本发明的保护范围。

实施例一

图1示出根据本发明的实施例的列车监控装置数据无线换装的安全防护系统100的示意图。列车监控装置数据无线换装的安全防护系统包括主机单元110、扩展单元120、组合天线和地面换装系统130。其中，主机单元110、扩展单元120和组合天线包含在列车监控装置中。

主机单元110为无线数据换装的对象，主机单元110通过多路以太网总线ETH与扩展单元120的以太网交换机插件121连接；由无线通信模块123将换装数据通过以太网交换机插件121转发给主机单元110，达到换装目的。

扩展单元120为承载无线通信模块123的机箱，内部包含电源插件(图未示)、以太网交换机插件121、WLAN插件122、无线通信模块123等功能插件。以太网交换机插件121和WLAN插件122通过扩展单元120内部以太网总线与无线通信模块123连接进行通信和数据接收、处理、转发。电源插件将外部电源转换为扩展单元内部插件所需的电源，提供电源供电。

组合天线从空间中获取全球卫星导航系统(GNSS)、WLAN无线局域网和移动通信(4G/3G/2G)信号提供给无线通信模块123和WLAN插件122。

尽管此处描述了两个分离的单元，即主机单元110和扩展单元120，但是可以理解，扩展单元120的功能也可以整合到主机单元110中，作为单个单元。

地面换装系统130包括网络安全防护设备131和服务器群132，其部署在铁路局内，负责车载设备的远程接入管理、换装数据车地传输、处理及应用，通过4G/3G/2G网络或WLAN网络将换装数据上传至列车监控装置。该系统与铁路内网、Internet网、WLAN网络之间的通信均通过网络安全防护设备131进行安全防护。

图2示出根据本发明的实施例的带网络安全防护功能的无线通信模块的示意图。带网络安全防护功能的无线通信模块123包括CPU核心电路210、无线通信电路220、通信接口电路230。

CPU核心电路210包括主处理器、易失性存储器、非易失性存储器、实时时钟和国密芯片。易失性存储器例如是DDR SDRAM。非易失性存储器例如是闪存、EEPROM等。国密芯片采用国家密码管理局批准认可的公司生产的国密芯片。能够通过对信息进行重新编码，在保证信息的完整性和正确性的同时，也保证信息的机密性，防止信息被篡改、伪造和泄露。本发明采用经过国家密码管理局批准的椭圆曲线密码算法协处理器芯片做国密算法处理。

无线通信电路220中包括GNSS模块221和移动通信模块222，GNSS模块221通过通用异步收发传输器(UART)与主处理器通信，移动通信模块222通过以太网与主处理器通信。

通信接口电路230包括以太网接口和CAN接口，通信接口电路230通过以太网接口与WLAN插件122、主处理器、以太网交换机插件121连接，通信接口电路230通过CAN接口与主处理器和其它无线通信模块连接。

无线通信模块的CPU核心电路针对外部WLAN插件和内部移动通信模块接收转发的无线数据进行处理从而达到无线网络边界防护的功能。

图3示出根据本发明的实施例的列车监控装置数据无线换装的安全防护方法的流程图。

步骤310：在列车监控装置的无线通信模块上安装数字证书。

在无线通信模块上安装数字证书，证书内容包括：设备唯一ID号、设备公钥密码。通过安装证书，实现地面换装系统的防火墙和车载设备之间设备公钥密码的交换，采用的密码算法为SM2和SM3。

步骤320：无线通信模块向地面换装系统发起请求。

步骤330：地面换装系统对所述无线通信模块的数字证书进行身份认证。

地面证书系统通过对接入系统中的设备进行数字证书的身份认证，只允许安装数字证书的合法设备接入本系统并进行通信服务，阻止非法网络终端通过车地网络边界进入地面换装系统。

步骤340：无线通信模块通过地面换装系统的身份认证后建立安全的网络通道。

地面换装系统防火墙和无线通信模块之间采用IPSec VPN的方式远程接入。由车载通信模块发起VPN请求到地面VPN网关，通过身份认证后在互联网环境下建立安全的网络通道(VPN隧道)。为保证通信安全，VPN隧道传输的数据采用国密算法加密(由无线通信模块的国密芯片处理)，以确保通信链路的安全，确保非法第三方获取车地之间传输的数据后无法识别数据内容，阻止车地之间交互数据的泄密。

步骤350：无线通信模块与地面换装系统通过安全的网络通道进行数据换装。

数据加密的密钥安全交换。为了确保地面防火墙和各个车载设备之间传输数据的安全，每次通过VPN通道传输数据时，采用一次一密，也就是每次传输都采用不同的密钥，采用的算法为SM4，每个密钥只对当前传输的数据有效，防止非法第三方破解密钥。

本发明的实施例能够提供安全可靠的4G/3G/2G数据通信和WLAN数据通信，通过对无线网络的边界进行防护，对数据传输过程采取完整性和保密性措施，对网络通信和系统操作进行安全审计，对非法访问进行实时告警，为车-地通信建立安全的传输通道，保障通信安全。

实施例二

针对现有技术中存在的缺陷，本实施例提供一种针对铁路行业列车监控装置无线换装功能的带网络安全防护功能的无线通信模块。根据国家信息产品等级保护基本要求，采用网络层控制、应用层控制、安全运维管理等方法，在列车监控装置车载系统的无线网络边界(包括4G和WLAN网络)建立隔离防护，阻断对列车监控装置车载系统的非法访问，确保核心线路数据在无线换装过程中的完整性、安全性和可靠性。图4示出根据本发明的实施例的换装业务的安全防护过程的流程图。

(1)网络层控制

包过滤：CPU对由无线数据(WLAN插件数据和移动通信模块数据)在网络层进行包过滤。通过MAC地址、IP地址、端口、协议类型、时间、白名单技术作为安全策略；

网络地址转换(NAT)：具备一对多、多对多网络地址转换，外部网络主机能够通过目的网络地址转换(DNAT)访问隔离区(DMZ)的服务器；

状态检测：根据换装系统制定的状态表进行访问控制，配置包过滤策略，容许满足条件的网络会话经过网络链路进行通讯；

策略路由：采用基于源、目的IP、下一跳接口、协议和端口或者LKJ换装应用类型等参数的策略路由；

动态端口开放：阻止对TCP、UDP、主机HOST、端口进行扫描；

IP/MAC地址绑定：对业务相关的IP/MAC地址进行绑定(如与LKJ装置的主机单元进行绑定)，针对绑定后的设备执行不同的安全策略，防止IP、MAC欺骗；

流量会话管理：根据IP地址、网络服务、时间和协议类型实行流量统计、带宽管理、连接数控制盒会话管理；

拒绝服务攻击：对安全区域进行DDOS攻击防护，包括SYN、UDP、ICMP、TearDrop、LAND、Fraggle和PingOfDeath的攻击防护；

网络扫描防护：对所有接口和受保护的网络的扫描进行检测、记录和抵御。

(2)应用层控制

应用协议控制：对网络流进行侦听，并自动生成5元组业务，自动识别通道服务；对LKJ网络安全区域数据报文特征字段和端口进行识别；通过基于隧道的数据通信加密和加密策略，与地面的网络安全防护设备之间进行VPN通信；利用国密芯片采用基于国密算法的IPSec VPN功能，建立VPN隧道，进行通道加密；支持数据加密标准(DES)、三重数据加密标准(3DES)、高级加密标准(AES)加密算法和消息摘要算法第五版(MD5)、安全哈希算法(SHA-1)认证算法；

应用内容控制：识别和过滤针对HTTP/FTP、SMTP的配置文件，限制其上传下载以及对关键词进行过滤；并识别换装系统已应用同事检查换装数据内容，阻断其他非换装协议应用；

恶意代码防护：对LKJ换装通信协议进行深度解析，识别和检测换装数据中是否有恶意代码，将恶意代码进行及时阻断；

应用攻击防护：对LKJ换装通信协议的深度解析，识别和监测是否有恶意代码，将恶意代码及时阻断。

(3)安全运维管理控制

安全审计：将接收到主机单元发来的标识作为安全审计的身份标识；记录管理端口上的认证请求，对日志文件进行存储和被封，并发送给地面换装系统的网络安全防护设备进行集中管理、分析；对任何非法访问进行实时预警，告警分为三级优先级控制，并将告警信息实时传输到地面系统；

安全支撑：只开放针对换装业务相关的端口和网络服务，其他多余的端口和网络服务都进行关闭；通过对主体和客体进行标记，实现重要信息资源设置敏感标记，主体不能随意更改权限，保证数据的游走，敏感数据不会被泄露，使数据的安全得到有效地保证。

图5示出根据本发明的实施例的无线换装数据流向的示意图。

LKJ换装业务数据从地面换装服务器通过WLAN/移动通信无线方式发送到车载端的WLAN插件和组合天线，车载的安全通信模块的处理器通过上述方案处理车载端的WLAN插件和组合天线接收的无线换装业务数据，最终将经过安全防护确认的数据发送给主机单元，作为列车安全运行监控的依据从而实现无线换装数据的安全防护。

本发明的实施例能够提供安全可靠的4G/3G/2G数据通信和WLAN数据通信，通过对无线网络的边界进行防护，对数据传输过程采取完整性和保密性措施，对网络通信和系统操作进行安全审计，对非法访问进行实时告警，为车-地通信建立安全的传输通道，保障通信安全；通过以太网总线以路由转发方式或透明传输方式，为其它功能单元或设备与地面系统建立透明传输通道，不会对既有软硬件造成影响。

尽管为使解释简单化将上述方法图示并描述为一系列动作，但是应理解并领会，这些方法不受动作的次序所限，因为根据一个或多个实施例，一些动作可按不同次序发生和/或与来自本文中图示和描述或本文中未图示和描述但本领域技术人员可以理解的其他动作并发地发生。

本领域技术人员将进一步领会，结合本文中所公开的实施例来描述的各种解说性逻辑板块、模块、电路、和算法步骤可实现为电子硬件、计算机软件、或这两者的组合。为清楚地解说硬件与软件的这一可互换性，各种解说性组件、框、模块、电路、和步骤在上面是以其功能性的形式作一般化描述的。此类功能性是被实现为硬件还是软件取决于具体应用和施加于整体系统的设计约束。技术人员对于每种特定应用可用不同的方式来实现所描述的功能性，但这样的实现决策不应被解读成导致脱离了本发明的范围。

结合本文所公开的实施例描述的各种解说性逻辑板块、模块、和电路可用通用处理器、数字信号处理器(DSP)、专用集成电路(ASIC)、现场可编程门阵列(FPGA)或其它可编程逻辑器件、分立的门或晶体管逻辑、分立的硬件组件、或其设计成执行本文所描述功能的任何组合来实现或执行。通用处理器可以是微处理器，但在替换方案中，该处理器可以是任何常规的处理器、控制器、微控制器、或状态机。处理器还可以被实现为计算设备的组合，例如DSP与微处理器的组合、多个微处理器、与DSP核心协作的一个或多个微处理器、或任何其他此类配置。

结合本文中公开的实施例描述的方法或算法的步骤可直接在硬件中、在由处理器执行的软件模块中、或在这两者的组合中体现。软件模块可驻留在RAM存储器、闪存、ROM存储器、EPROM存储器、EEPROM存储器、寄存器、硬盘、可移动盘、CD-ROM、或本领域中所知的任何其他形式的存储介质中。示例性存储介质耦合到处理器以使得该处理器能从/向该存储介质读取和写入信息。在替换方案中，存储介质可以被整合到处理器。处理器和存储介质可驻留在ASIC中。ASIC可驻留在用户终端中。在替换方案中，处理器和存储介质可作为分立组件驻留在用户终端中。

在一个或多个示例性实施例中，所描述的功能可在硬件、软件、固件或其任何组合中实现。如果在软件中实现为计算机程序产品，则各功能可以作为一条或更多条指令或代码存储在计算机可读介质上或藉其进行传送。计算机可读介质包括计算机存储介质和通信介质两者，其包括促成计算机程序从一地向另一地转移的任何介质。存储介质可以是能被计算机访问的任何可用介质。作为示例而非限定，这样的计算机可读介质可包括RAM、ROM、EEPROM、CD-ROM或其它光盘存储、磁盘存储或其它磁存储设备、或能被用来携带或存储指令或数据结构形式的合意程序代码且能被计算机访问的任何其它介质。任何连接也被正当地称为计算机可读介质。例如，如果软件是使用同轴电缆、光纤电缆、双绞线、数字订户线(DSL)、或诸如红外、无线电、以及微波之类的无线技术从web网站、服务器、或其它远程源传送而来，则该同轴电缆、光纤电缆、双绞线、DSL、或诸如红外、无线电、以及微波之类的无线技术就被包括在介质的定义之中。如本文中所使用的盘(disk)和碟(disc)包括压缩碟(CD)、激光碟、光碟、数字多用碟(DVD)、软盘和蓝光碟，其中盘(disk)往往以磁的方式再现数据，而碟(disc)用激光以光学方式再现数据。上述的组合也应被包括在计算机可读介质的范围内。

提供对本公开的先前描述是为使得本领域任何技术人员皆能够制作或使用本公开。对本公开的各种修改对本领域技术人员来说都将是显而易见的，且本文中所定义的普适原理可被应用到其他变体而不会脱离本公开的精神或范围。由此，本公开并非旨在被限定于本文中所描述的示例和设计，而是应被授予与本文中所公开的原理和新颖性特征相一致的最广范围。

Claims (15)

1.一种列车监控装置数据无线换装的安全防护方法，包括：

在所述列车监控装置的无线通信模块上安装数字证书；

所述无线通信模块向地面换装系统发起请求，所述地面换装系统对所述无线通信模块的数字证书进行身份认证；

所述无线通信模块通过所述地面换装系统的身份认证后建立安全的网络通道；

所述无线通信模块与所述地面换装系统通过所述安全的网络通道进行数据换装。

2.如权利要求1所述的安全防护方法，其特征在于，所述数字证书包括设备唯一ID号和设备公钥密码。

3.如权利要求2所述的安全防护方法，其特征在于，所述密码的算法为SM2和SM3算法。

4.如权利要求1所述的安全防护方法，其特征在于，所述安全的网络通道为VPN通道。

5.如权利要求1所述的安全防护方法，其特征在于，所述换装的数据采用国密算法进行加密。

6.如权利要求5所述的安全防护方法，其特征在于，每次所述数据换装采用不同的密钥。

7.如权利要求1所述的安全防护方法，其特征在于，所述数据换装包括网络层控制、应用层控制和安全运维管理控制。

8.如权利要求7所述的安全防护方法，其特征在于，所述网络层控制包括包过滤、网络地址转换、状态检测、策略路由、动态端口开放、IP/MAC地址绑定、流量会话管理、拒绝服务攻击、网络扫描防护的一个或多个。

9.如权利要求7所述的安全防护方法，其特征在于，所述应用层控制包括应用协议控制、应用内容控制、恶意代码防护、应用攻击防护的一个或多个。

10.如权利要求7所述的安全防护方法，其特征在于，所述安全运维管理控制包括安全审计和安全支撑。

11.一种列车监控装置数据无线换装的安全防护方法，包括：

在所述列车监控装置的无线通信模块上安装数字证书；

所述无线通信模块发起身份认证请求；

所述车载无线通信模块通过身份认证后建立与地面换装系统安全的网络通道；

所述车载无线通信模块通过所述安全的网络通道接受数据换装。

12.一种列车监控装置数据无线换装的安全防护方法，包括：

地面换装系统对来自所述列车监控装置的身份认证请求进行身份认证；

所述地面换装系统对所述身份认证请求通过后建立与所述列车监控装置之间的安全的网络通道；

所述地面换装系统通过所述安全的网络通道进行对所述列车监控装置进行数据换装。

13.一种列车监控装置数据无线换装的安全防护系统，包括：

主机单元，其作为无线数据换装的对象；

扩展单元，所述扩展单元包括交换机、无线通信模块、WLAN插件，所述扩展单元通过所述交换机与主机单元连接；

地面换装系统，所述地面换装系统包括网络安全防护设备和服务器，所述地面换装系统通过无线连接将所述换装数据上传至所述主机单元；

所述无线通信模块包括第一处理器，所述地面换装系统包括第二处理器，所述第一处理器和第二处理器执行计算机指令以实现如权利要求1-12任意一项所述的安全防护方法。

14.一种带网络安全防护功能的列车监控装置数据的无线通信模块，包括：

CPU核心电路，所述CPU核心电路包括主处理器、国密芯片和存储器；

无线通信电路，所述无线通信电路连接至所述CPU核心电路，并且接收无线换装数据；

通信接口电路，所述通信接口电路连接至所述CPU核心电路；

其中所述存储器中存储有计算机指令，所述处理器执行所述计算机指令以实现如权利要求11所述的安全防护方法。

15.如权利要求14所述的列车监控装置数据的无线通信模块，其特征在于，所述无线通信电路包括GNSS模块和移动通信模块，所述GNSS模块用于接收外部GNSS信号和发送解码后的GNSS信号，所述移动通信模块用于接收和发送移动通信信号。