CN110536267B - 列车运行监控记录装置数据的换装方法及设备 - Google Patents

列车运行监控记录装置数据的换装方法及设备 Download PDF

Info

Publication number
CN110536267B
CN110536267B CN201910585886.3A CN201910585886A CN110536267B CN 110536267 B CN110536267 B CN 110536267B CN 201910585886 A CN201910585886 A CN 201910585886A CN 110536267 B CN110536267 B CN 110536267B
Authority
CN
China
Prior art keywords
reloading
tunnel
data
data file
wireless network
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201910585886.3A
Other languages
English (en)
Other versions
CN110536267A (zh
Inventor
黄发钧
张晓飞
宋威
杨孟远
宋良平
刘刚
陈雪莲
李再煜
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
722th Research Institute of CSIC
Original Assignee
722th Research Institute of CSIC
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 722th Research Institute of CSIC filed Critical 722th Research Institute of CSIC
Priority to CN201910585886.3A priority Critical patent/CN110536267B/zh
Publication of CN110536267A publication Critical patent/CN110536267A/zh
Application granted granted Critical
Publication of CN110536267B publication Critical patent/CN110536267B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • BPERFORMING OPERATIONS; TRANSPORTING
    • B61RAILWAYS
    • B61LGUIDING RAILWAY TRAFFIC; ENSURING THE SAFETY OF RAILWAY TRAFFIC
    • B61L25/00Recording or indicating positions or identities of vehicles or trains or setting of track apparatus
    • B61L25/02Indicating or recording positions or identities of vehicles or trains
    • B61L25/021Measuring and recording of train speed
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/08Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
    • H04L43/0805Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters by checking availability
    • H04L43/0811Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters by checking availability by checking connectivity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0272Virtual private networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/06Protocols specially adapted for file transfer, e.g. file transfer protocol [FTP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W4/00Services specially adapted for wireless communication networks; Facilities therefor
    • H04W4/30Services specially adapted for particular environments, situations or purposes
    • H04W4/40Services specially adapted for particular environments, situations or purposes for vehicles, e.g. vehicle-to-pedestrians [V2P]
    • H04W4/42Services specially adapted for particular environments, situations or purposes for vehicles, e.g. vehicle-to-pedestrians [V2P] for mass transport vehicles, e.g. buses, trains or aircraft
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W76/00Connection management
    • H04W76/10Connection setup
    • H04W76/12Setup of transport tunnels

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Aviation & Aerospace Engineering (AREA)
  • Environmental & Geological Engineering (AREA)
  • Mechanical Engineering (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

本发明公开了一种列车运行监控记录装置数据的换装方法及设备,属于列车运行监控记录装置领域。所述方法包括:列车运行监控记录装置LKJ数据的换装设备建立与地面换装服务器之间的无线网络隧道;检测所述无线网络隧道的连通状态;基于检测到的所述无线网络隧道的连通状态,接收所述地面换装服务器通过所述无线网络隧道发送的换装数据文件;将所述换装数据文件传输至LKJ,以使所述LKJ基于所述换装数据文件进行数据换装。

Description

列车运行监控记录装置数据的换装方法及设备
技术领域
本发明涉及列车运行监控记录装置领域,特别涉及一种列车运行监控记录装置数据的换装方法及设备。
背景技术
LKJ(列车运行监控记录装置,简称监控装置),用于采集记录与列车安全运行有关的各种机车运行状态信息,是我国铁路研制的以保证列车运行安全为主要目的列车速度监控装置。在不同的运行线路和环境中,随着运输设备、设施技术数据或行车方式等的变化,引起LKJ数据文件变化。这时,需进行LKJ数据的换装,以对LKJ车载数据文件进行相应变更。
LKJ数据的换装过程包括,地面系统在铁路专网内完成换装计划制定,由地面通信服务器通过无线网络与车载进行车地通信,在满足换装条件下换装人员从地面发起启动或车载发起启动完成LKJ车载数据在线更新。
在实现本发明的过程中,发明人发现现有技术至少存在以下问题:LKJ数据换装是利用无线网络进行数据传输,在数据传输过程中,存在诸多安全和可靠性风险,例如数据被侦听和篡改、以及入侵攻击风险。
发明内容
本发明实施例提供了一种列车运行监控记录装置数据的换装方法及设备,能够保证数据换装的安全性。所述技术方案如下:
第一方面,提供了一种列车运行监控记录装置数据的换装方法,所述方法包括:
列车运行监控记录装置LKJ数据的换装设备建立与地面换装服务器之间的无线网络隧道;
检测所述无线网络隧道的连通状态;
基于检测到的所述无线网络隧道的连通状态,获取所述地面换装服务器通过所述无线网络隧道发送的换装数据文件;
将所述换装数据文件传输至LKJ,以使所述LKJ基于所述换装数据文件进行数据换装。
可选地,所述连通状态为隧道请求建立阶段、隧道已建立阶段或隧道断开阶段,所述基于检测到的所述无线网络隧道的连通状态,获取所述地面换装服务器通过所述无线网络隧道发送的换装数据文件,包括:
接收所述地面换装服务器发送的数据包;
当所述连通状态为所述隧道已建立阶段时,将所述数据包作为所述换装数据文件进行存储;
当所述连通状态为所述隧道请求建立阶段或所述隧道断开阶段时,丢弃所述数据包。
可选地,所述将所述数据包作为所述换装数据文件进行存储,包括:
确定所述数据包对应的网络连接的标识;
基于所述数据包对应的网络连接的标识、以及网络连接的标识与流标签的对应关系,确定所述数据包对应的连接的标识的流标签,所述数据包对应的连接的标识的流标签是检测到所述无线网络隧道的连通状态为所述隧道已建立阶段时为所述无线网络隧道的网络连接分配的,所述无线网络隧道的网络连接对应的流标签用于指示将来自所述无线网络隧道的数据包作为所述换装数据文件进行存储;
当所述流标签为所述无线网络隧道的网络连接对应的流标签时,将所述数据包作为所述换装数据文件进行存储。
可选地,所述建立与地面换装服务器之间的无线网络隧道,包括:
确定虚拟专用网络VPN数字证书;
对确定的VPN数字证书进行压缩;
向所述地面换装服务器发送隧道建立请求,所述隧道建立请求包括所述LKJ数据的换装设备的标识、以及压缩后的VPN数字证书;
接收所述地面换装服务器发送的隧道允许建立反馈,所述隧道允许建立反馈是所述地面换装服务器在收到所述隧道建立请求,确定所述LKJ数据的换装设备的标识对应的VPN数字证书,对所述压缩后的VPN数字证书进行解压,当确定的VPN数字证书与解压后的VPN数字证书一致时向LKJ数据的换装设备发送的。
可选地,所述换装数据文件包括至少两个子数据文件,所述获取所述地面换装服务器通过所述无线网络隧道发送的换装数据文件,包括:
接收所述地面换装服务器通过所述无线网络隧道发送的第N个子数据文件,N为自然数;
生成所述第N个子数据文件的收到反馈,所述第N个子数据文件的反馈为互联网安全协议IPsec报文,所述IPsec报文的乘客协议包括超文本传输协议,所述IPsec报文的承载协议包括用户数据报协议;
向所述地面换装服务器发送所述第N个子数据文件的收到反馈,所述第N个子数据文件的收到反馈用于指示所述地面换装服务器发送第N+1个子数据文件。
可选地,所述生成所述第N个子数据文件的收到反馈,包括:
生成所述第N个子数据文件的原始收到反馈,所述第N个子数据文件的原始收到反馈为承载协议报文;
当所述第N个子数据文件的原始收到反馈的报文长度大于目标报文长度时,对所述第N个子数据文件的原始收到反馈进行碎包处理,得到多个小报文;
分别为所述多个小报文增加乘客协议报文头,得到多个IPsec小报文,所述第N个子数据文件的收到反馈包括所述多个IPsec小报文。
第二方面,提供了一种列车运行监控记录装置数据的换装设备,所述设备包括:
建立模块,用于建立与地面换装服务器之间的无线网络隧道;
检测模块,用于检测所述无线网络隧道的连通状态;
获取模块,用于基于检测到的所述无线网络隧道的连通状态,获取所述地面换装服务器通过所述无线网络隧道发送的换装数据文件;
传输模块,用于将所述换装数据文件传输至LKJ,以使所述LKJ基于所述换装数据文件进行数据换装。
可选地,所述连通状态为隧道请求建立阶段、隧道已建立阶段或隧道断开阶段,
所述换装设备还包括接收模块,所述接收模块用于,接收所述地面换装服务器发送的数据包;
所述获取模块用于,当所述连通状态为所述隧道已建立阶段时,将所述数据包作为所述换装数据文件进行存储,当所述连通状态为所述隧道请求建立阶段或所述隧道断开阶段时,丢弃所述数据包。
可选地,所述获取模块用于,
确定所述数据包对应的网络连接的标识;
基于所述数据包对应的网络连接的标识、以及网络连接的标识与流标签的对应关系,确定所述数据包对应的连接的标识的流标签,所述数据包对应的连接的标识的流标签是检测到所述无线网络隧道的连通状态为所述隧道已建立阶段时为所述无线网络隧道的网络连接分配的,所述无线网络隧道的网络连接对应的流标签用于指示将来自所述无线网络隧道的数据包作为所述换装数据文件进行存储;
当所述流标签为所述无线网络隧道的网络连接对应的流标签时,将所述数据包作为所述换装数据文件进行存储。
第三方面,提供了一种列车运行监控记录装置数据的换装设备,所述换装设备包括处理器和存储器,所述存储器中存储有至少一条指令,所述指令由所述处理器加载并执行以实现前述列车运行监控记录装置数据的换装方法。
本发明实施例提供的技术方案带来的有益效果是:
通过建立LKJ数据的换装设备与地面换装服务器之间的无线网络隧道;基于无线网络隧道的连通状态,通过无线网络隧道获取服务器发送的换装数据文件;能够对换装数据文件进行安全保护,有效提高了换装数据的安全性和可靠性。
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本发明实施例提供的LKJ数据的换装设备的一示例性应用场景示意图;
图2是本发明实施例提供的一种列车运行监控记录装置数据的换装方法的流程图;
图3和图4是本发明实施例提供的一种列车运行监控记录装置数据的换装设备的结构框图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚,下面将结合附图对本发明实施方式作进一步地详细描述。
为便于理解本发明实施例提供的技术方案,首先介绍一下该技术方案适用的一示例性应用场景。在本发明实施例中,参见图1,LKJ数据的换装设备1通过局域网与LKJ主机2通信,并通过无线网络(4G或者无线局域网)3与地面换装服务器4通信。数据换装过程包括如下步骤:
A、LKJ数据的换装设备1与地面换装服务器4建立连接。
B、地面换装服务器4向LKJ数据的换装设备1传输LKJ数据换装文件。
数据换装文件比较大,地面换装服务器4一般是分次传输数据,LKJ数据的换装设备1每收到一次数据,会向地面换装服务器4反馈确认信息。当LKJ数据换装文件输出完毕后,LKJ数据的换装设备1将完整的LKJ数据换装文件传输给LKJ主机2,由LKJ主机2进行更新。
C、换装完成后,LKJ数据的换装设备1向地面换装服务器4反馈换装结果。
其中,LKJ数据的换装设备1可以通过接口1a与无线网络3连接,接口1a用于转发局域网与局域网的外部网络之间的业务数据流(包括换装数据)。LKJ数据的换装设备1还用于进行业务数据流(非换装数据)的转发。在LKJ数据的换装设备1上设置有防火墙系统。防火墙系统用于确保局域网的网络安全,防止非法用户通过接口1a转发的业务数据流对局域网进行入侵。本发明实施例提供的列车运行监控记录装置数据的换装方法可以由该LKJ数据的换装设备1执行。需要说明的是,图1示出的应用场景仅用于举例,本发明实施例提供的列车运行监控记录装置数据的换装方法及设备所适用的应用场景并不仅限于此。
图2示出了本发明实施例提供的一种列车运行监控记录装置数据的换装方法。参见图2,该方法流程包括如下步骤。
步骤101、建立LKJ数据的换装设备与地面换装服务器之间的无线网络隧道。
步骤102、检测无线网络隧道的连通状态。
其中,该连通状态可以为隧道请求建立阶段、隧道已建立阶段或隧道断开阶段。
步骤103、基于检测到的无线网络隧道的连通状态,获取地面换装服务器通过无线网络隧道发送的换装数据文件。
步骤104、将换装数据文件传输至LKJ,以使LKJ基于换装数据文件进行数据换装。
可选地,步骤101还可以包括,监控无线网络是否改变或者无线网络的传输质量是否较优。若无线网络发生改变或者断开或者传输质量较差,则需要重新接入无线网络,同时需要重新建立无线网络隧道。
可选地,步骤102还可以包括,在检测到无线网络隧道的连通状态为隧道请求建立阶段之后、且首次检测到无线网络隧道的连通状态为隧道已建立阶段时,为无线网络隧道的网络连接分配流标签,无线网络隧道的网络连接对应的流标签用于指示,将来自无线网络隧道的数据包作为换装数据文件进行存储。相应地,在检测到无线网络隧道的连通状态为隧道已建立阶段之后、且首次检测到无线网络隧道的连通状态为隧道断开阶段时,删除相应的流标签。
本发明实施例通过建立LKJ数据的换装设备与地面换装服务器之间的无线网络隧道;基于无线网络隧道的连通状态,通过无线网络隧道获取服务器发送的换装数据文件;能够对换装数据文件进行安全保护,有效提高了换装数据的安全性和可靠性。
步骤101中,无线网络隧道能够确保采用VPN(Virtual Private Network,虚拟专用网络)实现LKJ数据的换装设备与地面换装服务器之间的通信。隧道连接过程一般包括:首先,客户端向服务器发出建立隧道连接的请求;其次,服务器需要对客户端的身份进行合法性判断,例如,需要客户端提供用户名和口令(VPN数字证书);然后,客户端用户名和口令发送给服务器;最后,服务器用用户名对数据库进行检索,若用户名和口令合法,则需要对用户的远程访问权限进行检查,查看用户是否有权访问内部资源。如果以上检查都通过后,则服务器与客户端建立隧道连接。其中,VPN数字证书一般有2000-3000字节,超过了链路一次发送的报文的长度。为了减少分片报文,本实施例对证书传输前进行了压缩,从而减少了传送的数据量,使协商通信能够正常进行。基于此,示例性地,步骤101可以包括如下步骤。
第一步、确定VPN数字证书。
在将LKJ数据的换装设备安装到列车之前,在LKJ数据的换装设备中导入VPN数字证书。地面换装服务器可以在与LKJ数据的换装设备建立的IPSec(Internet ProtocolSecurity,互联网安全协议)第一阶段(IPSec VPN隧道建立过程包括第一阶段和在第一阶段之后的第二阶段)中通过该VPN数字证书,判断接入的合法性。
第二步、对确定的VPN数字证书进行压缩。
压缩方式可以采用zip压缩方式。
第三步、向地面换装服务器发送隧道建立请求。
其中,隧道建立请求包括LKJ数据的换装设备的标识、以及压缩后的VPN数字证书。通过IPSec第一阶段的证书选项可以承载压缩后的VPN数字证书。具体地,针对协商加密算法的块大小,将压缩后的VPN数字证书进行相应填充,同时在协商Flags(标记)中表明是带有加密标识,并附相应填充长度。
第四步、接收地面换装服务器发送的隧道允许建立反馈。
其中,隧道允许建立反馈是地面换装服务器在收到隧道建立请求,确定LKJ数据的换装设备的标识对应的VPN数字证书,对压缩后的VPN数字证书进行解压,当确定的VPN数字证书与解压后的VPN数字证书一致时向LKJ数据的换装设备发送的。地面换装服务器存储有LKJ数据的换装设备的标识对应的授权的VPN数字证书,当LKJ数据的换装设备发送的VPN数字证书与地面换装服务器存储的VPN数字证书一致时,地面换装服务器确定LKJ数据的换装设备的身份是合法的。
前述数据换装过程中,换装服务器是分次传输换装数据文件。其中,换装数据文件包括至少两个子数据文件。目前市场上许多低端、不合IP(Internet Protocol,网络之间互连的协议)协议规范的接入设备对网络通信报文支持较差,主要体现在一下几个方面:首先,较大的UDP(User Datagram Protocol,用户数据报协议)报文无法通过。其次,分片报文会被无线网络中某些NAT(Network Address Translation,网络地址转换)设备直接丢弃。最后,链路丢包率比较大,造成通信无法成功。VPN采用的IPSec协议无法穿过复杂的访问控制网络环境,而隐蔽通信技术可以帮助无法穿越防火墙的通信经过隧道顺利的进行通信,而其中常用的隐蔽通信技术就是HTTP(HyperText Transfer Protocol,超文本传输协议)Tunnel(隧道)。基于此,示例性地,步骤102可以包括如下步骤。
第2a,接收地面换装服务器通过无线网络隧道发送的第N个子数据文件,N为自然数。
第2b、生成第N个子数据文件的收到反馈,第N个子数据文件的反馈为IPsec报文,IPsec报文的乘客协议包括HTTP,IPsec报文的承载协议包括UDP。
IPsec报文的乘客协议用于对报文进行封装,位置在报文头。IPsec报文的承载协议为报文载荷的传输协议。
第2c、向地面换装服务器发送第N个子数据文件的收到反馈,第N个子数据文件的收到反馈用于指示地面换装服务器发送第N+1个子数据文件。
需要说明的是,当N+1为最后一个子数据文件时,在N+1个子数据文件传输完毕后,将断开连接。
由于常规报文经过IPSec处理之后会增加新的协议头字段,使报文长度变大,引发分片。为了减少分片,本实施例提前对需要进行IPSec处理的大报文进行碎包,以将之前的大报文变成若干个小报文,然后每一个小报文再经过IPSec的单独处理并最终发送出去,这样就防止了大报文在发送的时候被分片的情况。基于此,上述第2b可以包括如下步骤。
第一步、生成第N个子数据文件的原始收到反馈,第N个子数据文件的原始收到反馈为承载协议报文。
第二步、比较第N个子数据文件的原始收到反馈的报文长度与目标报文长度。
当第N个子数据文件的原始收到反馈的报文长度大于目标报文长度时,执行第三步。当第N个子数据文件的原始收到反馈的报文长度等于或小于目标报文长度时,执行第五步。
第三步、对第N个子数据文件的原始收到反馈进行碎包处理,得到多个小报文。其中,多个包括两个或两个以上。
在第三步之后执行第四步。
第四步、分别为多个小报文增加乘客协议报文头,得到多个IPsec小报文,第N个子数据文件的收到反馈包括多个IPsec小报文。
第五步、分别为第N个子数据文件的原始收到反馈增加乘客协议报文头,得到第N个子数据文件的收到反馈。
步骤102中,防火墙状态检测技术会监视每个连接发起到结束的全过程。当连接发起时,它通过检查连接对应的应用程序信息,来判断端口是否允许需要临时打开。当连接结束时,及时将端口恢复为关闭状态。同时,通过状态检测虚拟机维护一个动态的状态表,记录所有的连接的通信信息、通信状态,其中,状态表中,连接的标识可以包括连接双方的IP地址、端口号、以及传输协议的标识。状态表中还存储有连接的连接状态。
基于该状态表,能够完成对数据包的检测和过滤,最大限度地保证了网络的安全。在数据包的检测方面,当用户访问的请求到达防火墙时,状态检测器要抽取有关的数据进行分析,结合网络配置和安全规则完成接纳、拒绝、身份认证、报警或加密等处理动作。以TCP(Transmission Control Protocol,传输控制协议)连接为例,在请求TCP连接时,客户端(如换装设备)的连接状态为SYN_SENT,当客户端与服务端(如地面换装服务器)建立连接,准备发送数据时,连接状态为ESTABLISHED,当客户端与服务端连接完全断开时,连接状态为CLOSING,如果不停的有SYN_SENT状态的连接,则可能产生SYN_FLOOD攻击。在数据包的过滤方面,防火墙根据IP包头的信息与安全策略来确定是否转发IP包。通常的包过滤机制在接到每一个IP包时,IP包是被单独匹配和检查的,系统认为IP包之间是没有关联的,是独立地进行路由和转发的,独立地在过滤规则集中寻找相对应的过滤规则。过滤规则通常是顺序相关的,需要从前到后与每条规则进行匹配,效率非常低下。为了克服这一缺点,改造包过滤防火墙的(IP包是被单独匹配和检查的)的技术瓶颈,本实施例从系统上层协议(包括TCP、UDP、ICMP(Internet Control Message Protocol,控制报文协议))的连接状态中,选择出属于相同协议会话、以及相同连接状态的IP数据流。通过为有关联的IP数据流(即相同连接和相同连接状态的数据流)设置过滤和处理规则,来批量过滤和处理IP数据包,而不是独立地检查单个IP数据包,达到提高系统转发效率的目的。基于此,步骤103可以包括如下步骤。
A,接收地面换装服务器发送的数据包。
B,确定无线网络隧道的连通状态。
前述连通状态可以通过查询状态表中连接状态获得。当连通状态为隧道已建立阶段时,将数据包作为换装数据文件进行存储;当连通状态为隧道请求建立阶段或隧道断开阶段时,丢弃数据包。
为了提高换装数据的传输效率,在本实施例中,将换装数据设置为快速通道处理的数据,相比于慢速通道处理的数据,快速通道处理的数据不必进行策略查找,仅需要进行相应的安全检测。基于此,如前述,为无线网络隧道的网络连接分配了相应的流标签。相应地,步骤B中将数据包作为换装数据文件进行存储,可以包括如下步骤。
首先,确定数据包对应的网络连接的标识。
其次,基于数据包对应的网络连接的标识、以及网络连接的标识与流标签的对应关系,确定数据包对应的网络连接的标识的流标签。其中,数据包对应的连接的标识的流标签是检测到无线网络隧道的连通状态为隧道已建立阶段时为无线网络隧道的网络连接分配的,无线网络隧道的网络连接对应的流标签用于指示将来自无线网络隧道的数据包作为换装数据文件进行存储。
当流标签为无线网络隧道的网络连接对应的流标签时,将数据包作为换装数据文件进行存储。这样,快速地对数据包进行了处理,提高了处理效率。
可选地,还可以为换装数据文件设置安全检测策略,该安全检测策略与相应的流标签对应。流标签用于指示对换装数据文件进行相对应的安全检测。
除隧道的网络连接之外的连接,可以对应安全检测的流标签。这类连接下的数据直接进行相应的安全检测。而对于查不到流标签的数据包,需对数据包进行策略查找,比如进行地址转换、流量统计、DDoS(Distributed denial of service attack,分布式拒绝服务攻击)防御等,处理效率相对较慢。
可选地,本实施例中,LKJ数据的换装设备还提供基于多路聚合技术的IPSec VPN隧道备份和均衡技术。虽然Internet(因特网)的通信能力有很大提高,但是仍然可能出现丢包、断线等失效情况。从IPSec VPN的可用性角度出发,考虑充分利用多条物理链路的通信资源,通过通信链路的冗余提高整个VPN系统隧道通信可用性。理想的方案是为同一对内部子网在每条物理链路上单独协商并维护1个IPSec隧道以同时在多条链路上进行IPSec通信。这样,支持多链路协商的M-IKE(Internet Key Exchange,网络密钥交换)模块取代传统IKE模块在不同的链路上为同一保护子网对进行多个隧道协商。经过M-IKE的协商,保护同一对子网通信的多组IPSec SA(Security Association,安全关联)会被写入到支持多路聚合的MA-IPSec模块中。MA-IPSec将多个链路上的IPSec SA聚合起来为同一对子网提供通信服务,并且在聚合中实现多链路的负载均衡。基于此,前述步骤101中,LKJ数据的换装设备与地面换装服务器之间的无线网络隧道的数量为2条或2条以上。
图3示出了本发明实施例提供的一种列车运行监控记录装置数据的换装设备,参见图3,该设备800包括建立模块31、检测模块32、获取模块33和传输模块34。
建立模块31,用于建立与地面换装服务器之间的无线网络隧道。
检测模块32,用于检测无线网络隧道的连通状态。
获取模块33,用于基于检测到的无线网络隧道的连通状态,获取地面换装服务器通过无线网络隧道发送的换装数据文件。
传输模块34,用于将换装数据文件传输至LKJ,以使LKJ基于换装数据文件进行数据换装。
示例性地,建立模块31用于,确定VPN数字证书;对确定的VPN数字证书进行压缩。
相应地,该换装设备800还包括发送模块,该发送模块用于,向地面换装服务器发送隧道建立请求,隧道建立请求包括LKJ数据的换装设备的标识、以及压缩后的VPN数字证书。
相应地,该换装设备800还包括接收模块,该接收模块用于,接收地面换装服务器发送的隧道允许建立反馈,隧道允许建立反馈是地面换装服务器在收到隧道建立请求,确定LKJ数据的换装设备的标识对应的VPN数字证书,对压缩后的VPN数字证书进行解压,当确定的VPN数字证书与解压后的VPN数字证书一致时向LKJ数据的换装设备发送的。
其中,换装数据文件包括至少两个子数据文件,该接收模块还用于,接收地面换装服务器通过无线网络隧道发送的第N个子数据文件,N为自然数。
该获取模块33用于,生成第N个子数据文件的收到反馈,第N个子数据文件的反馈为IPsec报文,IPsec报文的乘客协议为HTTP,IPsec报文的承载协议包括UDP。
相应地,发送模块还用于,向地面换装服务器发送第N个子数据文件的收到反馈,第N个子数据文件的收到反馈用于指示地面换装服务器发送第N+1个子数据文件。
示例性地,获取模块33用于,生成第N个子数据文件的原始收到反馈,第N个子数据文件的原始收到反馈为承载协议报文;当第N个子数据文件的原始收到反馈的报文长度大于目标报文长度时,对第N个子数据文件的原始收到反馈进行碎包处理,得到多个小报文;分别为多个小报文增加乘客协议报文头,得到多个IPsec小报文,第N个子数据文件的收到反馈包括多个IPsec小报文。
其中,连通状态为隧道请求建立阶段、隧道已建立阶段或隧道断开阶段。示例性地,获取模块33用于,接收地面换装服务器发送的数据包;当连通状态为隧道已建立阶段时,将数据包作为换装数据文件进行存储;当连通状态为隧道请求建立阶段或隧道断开阶段时,丢弃数据包。
示例性地,获取模块33用于,确定数据包对应的网络连接的标识;基于数据包对应的网络连接的标识、以及网络连接的标识与流标签的对应关系,确定数据包对应的连接的标识的流标签,数据包对应的连接的标识的流标签是检测到无线网络隧道的连通状态为隧道已建立阶段时为无线网络隧道的网络连接分配的,无线网络隧道的网络连接对应的流标签用于指示将来自无线网络隧道的数据包作为换装数据文件进行存储;当流标签为无线网络隧道的网络连接对应的流标签时,将数据包作为换装数据文件进行存储。
本发明实施例通过建立LKJ数据的换装设备与地面换装服务器之间的无线网络隧道;基于无线网络隧道的连通状态,通过无线网络隧道获取服务器发送的换装数据文件;能够对换装数据文件进行安全保护,有效提高了换装数据的安全性和可靠性。
需要说明的是:上述实施例提供的列车运行监控记录装置数据的换装设备在列车运行监控记录装置数据的换装时,仅以上述各功能模块的划分进行举例说明,实际应用中,可以根据需要而将上述功能分配由不同的功能模块完成,即将设备的内部结构划分成不同的功能模块,以完成以上描述的全部或者部分功能。另外,上述实施例提供的列车运行监控记录装置数据的换装设备与列车运行监控记录装置数据的换装方法实施例属于同一构思,其具体实现过程详见方法实施例,这里不再赘述。
图4示出了本发明一个示例性实施例提供的列车运行监控记录装置数据的换装设备的结构框图。该换装设备可以是计算机300。计算机300包括中央处理单元(CPU)301、包括随机存取存储器(RAM)302和只读存储器(ROM)303的系统存储器304,以及连接系统存储器304和中央处理单元301的系统总线305。计算机300还可以包括帮助计算机内的各个器件之间传输信息的基本输入/输出系统(I/O系统)306,和用于存储操作系统313、应用程序314和其他程序模块315的大容量存储设备307。
基本输入/输出系统306包括有用于显示信息的显示器308和用于用户输入信息的诸如鼠标、键盘之类的输入设备309。其中显示器308和输入设备309都通过连接到系统总线305的输入输出控制器310连接到中央处理单元301。基本输入/输出系统306还可以包括输入输出控制器310以用于接收和处理来自键盘、鼠标、或电子触控笔等多个其他设备的输入。类似地,输入输出控制器310还提供输出到显示屏、打印机或其他类型的输出设备。
大容量存储设备307通过连接到系统总线305的大容量存储控制器(未示出)连接到中央处理单元301。大容量存储设备307及其相关联的计算机可读介质为计算机300提供非易失性存储。也就是说,大容量存储设备307可以包括诸如硬盘或者CD-ROM驱动器之类的计算机可读介质(未示出)。
不失一般性,计算机可读介质可以包括计算机存储介质和通信介质。计算机存储13介质包括以用于存储诸如计算机可读指令、数据结构、程序模块或其他数据等信息的任何方法或技术实现的易失性和非易失性、可移动和不可移动介质。计算机存储介质包括RAM、ROM、EPROM、EEPROM、闪存或其他固态存储其技术,CD-ROM、DVD或其他光学存储、磁带盒、磁带、磁盘存储或其他磁性存储设备。当然,本领域技术人员可知计算机存储介质不局限于上述几种。上述的系统存储器304和大容量存储设备307可以统称为存储器。
根据本发明的各种实施例,计算机300还可以通过诸如因特网等网络连接到网络上的远程计算机运行。也即计算机300可以通过连接在系统总线305上的网络接口单元311连接到网络312,或者说,也可以使用网络接口单元311来连接到其他类型的网络或远程计算机系统(未示出)。
上述存储器还包括一个或者一个以上的程序,一个或者一个以上程序存储于存储器中,被配置由CPU执行。所述一个或者一个以上程序包含用于进行本发明实施例提供的前述列车运行监控记录装置数据的换装方法的指令。
本领域普通技术人员可以理解实现上述实施例的全部或部分步骤可以通过硬件来完成,也可以通过程序来指令相关的硬件完成,所述的程序可以存储于一种计算机可读存储介质中,上述提到的存储介质可以是只读存储器,磁盘或光盘等。
以上所述仅为本发明的较佳实施例,并不用以限制本发明,凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。

Claims (8)

1.一种列车运行监控记录装置数据的换装方法,其特征在于,所述方法包括:
列车运行监控记录装置LKJ数据的换装设备建立与地面换装服务器之间的无线网络隧道;
检测所述无线网络隧道的连通状态;
基于检测到的所述无线网络隧道的连通状态,获取所述地面换装服务器通过所述无线网络隧道发送的换装数据文件;
将所述换装数据文件传输至LKJ,以使所述LKJ基于所述换装数据文件进行数据换装;
所述连通状态为隧道请求建立阶段、隧道已建立阶段或隧道断开阶段,所述基于检测到的所述无线网络隧道的连通状态,获取所述地面换装服务器通过所述无线网络隧道发送的换装数据文件,包括:
接收所述地面换装服务器发送的数据包;
当所述连通状态为所述隧道已建立阶段时,将所述数据包作为所述换装数据文件进行存储;
当所述连通状态为所述隧道请求建立阶段或所述隧道断开阶段时,丢弃所述数据包。
2.根据权利要求1所述的方法,其特征在于,所述将所述数据包作为所述换装数据文件进行存储,包括:
确定所述数据包对应的网络连接的标识;
基于所述数据包对应的网络连接的标识、以及网络连接的标识与流标签的对应关系,确定所述数据包对应的连接的标识的流标签,所述数据包对应的连接的标识的流标签是检测到所述无线网络隧道的连通状态为所述隧道已建立阶段时为所述无线网络隧道的网络连接分配的,所述无线网络隧道的网络连接对应的流标签用于指示将来自所述无线网络隧道的数据包作为所述换装数据文件进行存储;
当所述流标签为所述无线网络隧道的网络连接对应的流标签时,将所述数据包作为所述换装数据文件进行存储。
3.根据权利要求1所述的方法,其特征在于,所述建立与地面换装服务器之间的无线网络隧道,包括:
确定虚拟专用网络VPN数字证书;
对确定的VPN数字证书进行压缩;
向所述地面换装服务器发送隧道建立请求,所述隧道建立请求包括所述LKJ数据的换装设备的标识、以及压缩后的VPN数字证书;
接收所述地面换装服务器发送的隧道允许建立反馈,所述隧道允许建立反馈是所述地面换装服务器在收到所述隧道建立请求,确定所述LKJ数据的换装设备的标识对应的VPN数字证书,对所述压缩后的VPN数字证书进行解压,当确定的VPN数字证书与解压后的VPN数字证书一致时向LKJ数据的换装设备发送的。
4.根据权利要求1所述的方法,其特征在于,所述换装数据文件包括至少两个子数据文件,所述获取所述地面换装服务器通过所述无线网络隧道发送的换装数据文件,包括:
接收所述地面换装服务器通过所述无线网络隧道发送的第N个子数据文件,N为自然数;
生成所述第N个子数据文件的收到反馈,所述第N个子数据文件的反馈为互联网安全协议IPsec报文,所述IPsec报文的乘客协议包括超文本传输协议,所述IPsec报文的承载协议包括用户数据报协议;
向所述地面换装服务器发送所述第N个子数据文件的收到反馈,所述第N个子数据文件的收到反馈用于指示所述地面换装服务器发送第N+1个子数据文件。
5.根据权利要求4所述的方法,其特征在于,所述生成所述第N个子数据文件的收到反馈,包括:
生成所述第N个子数据文件的原始收到反馈,所述第N个子数据文件的原始收到反馈为承载协议报文;
当所述第N个子数据文件的原始收到反馈的报文长度大于目标报文长度时,对所述第N个子数据文件的原始收到反馈进行碎包处理,得到多个小报文;
分别为所述多个小报文增加乘客协议报文头,得到多个IPsec小报文,所述第N个子数据文件的收到反馈包括所述多个IPsec小报文。
6.一种列车运行监控记录装置数据的换装设备,其特征在于,所述设备包括:
建立模块,用于建立与地面换装服务器之间的无线网络隧道;
检测模块,用于检测所述无线网络隧道的连通状态;
获取模块,用于基于检测到的所述无线网络隧道的连通状态,获取所述地面换装服务器通过所述无线网络隧道发送的换装数据文件;
传输模块,用于将所述换装数据文件传输至LKJ,以使所述LKJ基于所述换装数据文件进行数据换装;
所述连通状态为隧道请求建立阶段、隧道已建立阶段或隧道断开阶段,
所述换装设备还包括接收模块,所述接收模块用于,接收所述地面换装服务器发送的数据包;
所述获取模块用于,当所述连通状态为所述隧道已建立阶段时,将所述数据包作为所述换装数据文件进行存储,当所述连通状态为所述隧道请求建立阶段或所述隧道断开阶段时,丢弃所述数据包。
7.根据权利要求6所述的换装设备,其特征在于,所述获取模块用于,
确定所述数据包对应的网络连接的标识;
基于所述数据包对应的网络连接的标识、以及网络连接的标识与流标签的对应关系,确定所述数据包对应的连接的标识的流标签,所述数据包对应的连接的标识的流标签是检测到所述无线网络隧道的连通状态为所述隧道已建立阶段时为所述无线网络隧道的网络连接分配的,所述无线网络隧道的网络连接对应的流标签用于指示将来自所述无线网络隧道的数据包作为所述换装数据文件进行存储;
当所述流标签为所述无线网络隧道的网络连接对应的流标签时,将所述数据包作为所述换装数据文件进行存储。
8.一种列车运行监控记录装置数据的换装设备,其特征在于,所述换装设备包括处理器和存储器,所述存储器中存储有至少一条指令,所述指令由所述处理器加载并执行以实现如权利要求1至5任一项所述的列车运行监控记录装置数据的换装方法。
CN201910585886.3A 2019-07-01 2019-07-01 列车运行监控记录装置数据的换装方法及设备 Active CN110536267B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201910585886.3A CN110536267B (zh) 2019-07-01 2019-07-01 列车运行监控记录装置数据的换装方法及设备

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201910585886.3A CN110536267B (zh) 2019-07-01 2019-07-01 列车运行监控记录装置数据的换装方法及设备

Publications (2)

Publication Number Publication Date
CN110536267A CN110536267A (zh) 2019-12-03
CN110536267B true CN110536267B (zh) 2022-11-01

Family

ID=68659419

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201910585886.3A Active CN110536267B (zh) 2019-07-01 2019-07-01 列车运行监控记录装置数据的换装方法及设备

Country Status (1)

Country Link
CN (1) CN110536267B (zh)

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP1479194A1 (fr) * 2002-02-05 2004-11-24 Thales Reseau local d'echange de donnees entre les micro-ordinateurs portables des passagers d'un aeronef
CN108040058A (zh) * 2017-12-18 2018-05-15 湖南中车时代通信信号有限公司 一种列车监控装置数据无线换装的安全防护系统和方法
CN108259301A (zh) * 2017-08-16 2018-07-06 新华三技术有限公司 一种隧道上线方法及装置
CN109080669A (zh) * 2018-07-11 2018-12-25 中车大连机车研究所有限公司 一种基于移动专用虚拟网的城轨车辆监测装置及系统

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP1479194A1 (fr) * 2002-02-05 2004-11-24 Thales Reseau local d'echange de donnees entre les micro-ordinateurs portables des passagers d'un aeronef
CN108259301A (zh) * 2017-08-16 2018-07-06 新华三技术有限公司 一种隧道上线方法及装置
CN108040058A (zh) * 2017-12-18 2018-05-15 湖南中车时代通信信号有限公司 一种列车监控装置数据无线换装的安全防护系统和方法
CN109080669A (zh) * 2018-07-11 2018-12-25 中车大连机车研究所有限公司 一种基于移动专用虚拟网的城轨车辆监测装置及系统

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
列车运行监控设备监测管理系统(LMD)构建与实施;姜智等;《铁道通信信号》;20171217(第12期);全文 *

Also Published As

Publication number Publication date
CN110536267A (zh) 2019-12-03

Similar Documents

Publication Publication Date Title
US10630784B2 (en) Facilitating a secure 3 party network session by a network device
US10305904B2 (en) Facilitating secure network traffic by an application delivery controller
US7823194B2 (en) System and methods for identification and tracking of user and/or source initiating communication in a computer network
US7797411B1 (en) Detection and prevention of encapsulated network attacks using an intermediate device
US6668282B1 (en) System and method to monitor and determine if an active IPSec tunnel has become disabled
CN102347870B (zh) 一种流量安全检测方法、设备和系统
US20070186281A1 (en) Securing network traffic using distributed key generation and dissemination over secure tunnels
US10205756B2 (en) Dynamic virtual private network
EP0838930A2 (en) Pseudo network adapter for frame capture, encapsulation and encryption
CA2506418C (en) Systems and apparatuses using identification data in network communication
KR20130101674A (ko) 다중 mtu를 설정하는 모바일 디바이스 및 이를 이용한 데이터 전송 방법
CN111343083B (zh) 即时通信方法、装置、电子设备及可读存储介质
CN110536267B (zh) 列车运行监控记录装置数据的换装方法及设备
CN115348118B (zh) 一种基于密码技术的网络地址和端口号隐藏方法
CN114629678B (zh) 一种基于tls的内网穿透方法及装置
Bejarano et al. Security in IP satellite networks: COMSEC and TRANSEC integration aspects
CN1581869A (zh) 一种基于双重身份的多方通信方法
CN116389169B (zh) 一种避免国密IPSecVPN网关数据包乱序、分片的方法
JP2001358771A (ja) 通信品質制御装置
KR101005870B1 (ko) 미인증 장비의 티시피 세션 차단 방법
Pluskal et al. Network Forensic Investigations of Tunneled Traffic: A Case Study
CN113904868A (zh) 一种基于IPsec的远程网管的管理方法
CN112954055A (zh) 一种基于ftp的访问控制方法和装置
CN116346421A (zh) 一种船岸信息通信方法及装置
CN103139141A (zh) 一种基于Ipsec的权限管理方法

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant