CN110536267B - 列车运行监控记录装置数据的换装方法及设备 - Google Patents
列车运行监控记录装置数据的换装方法及设备 Download PDFInfo
- Publication number
- CN110536267B CN110536267B CN201910585886.3A CN201910585886A CN110536267B CN 110536267 B CN110536267 B CN 110536267B CN 201910585886 A CN201910585886 A CN 201910585886A CN 110536267 B CN110536267 B CN 110536267B
- Authority
- CN
- China
- Prior art keywords
- reloading
- tunnel
- data
- data file
- wireless network
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 37
- 238000012544 monitoring process Methods 0.000 title claims abstract description 32
- 238000004891 communication Methods 0.000 claims description 34
- 238000012545 processing Methods 0.000 claims description 14
- 230000005540 biological transmission Effects 0.000 claims description 13
- 238000001514 detection method Methods 0.000 claims description 12
- 238000013467 fragmentation Methods 0.000 claims description 8
- 238000006062 fragmentation reaction Methods 0.000 claims description 8
- 238000012546 transfer Methods 0.000 claims description 4
- 230000008569 process Effects 0.000 description 9
- 238000001914 filtration Methods 0.000 description 8
- 238000005516 engineering process Methods 0.000 description 6
- 230000006870 function Effects 0.000 description 5
- 230000002776 aggregation Effects 0.000 description 3
- 238000004220 aggregation Methods 0.000 description 3
- 238000010586 diagram Methods 0.000 description 3
- 230000006835 compression Effects 0.000 description 2
- 238000007906 compression Methods 0.000 description 2
- 238000012806 monitoring device Methods 0.000 description 2
- 230000003287 optical effect Effects 0.000 description 2
- 230000009471 action Effects 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000008901 benefit Effects 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 238000006243 chemical reaction Methods 0.000 description 1
- 238000012790 confirmation Methods 0.000 description 1
- 230000007123 defense Effects 0.000 description 1
- 239000000284 extract Substances 0.000 description 1
- 239000012634 fragment Substances 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 230000000977 initiatory effect Effects 0.000 description 1
- 230000003137 locomotive effect Effects 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 239000007787 solid Substances 0.000 description 1
- 238000013519 translation Methods 0.000 description 1
- 230000005641 tunneling Effects 0.000 description 1
Images
Classifications
-
- B—PERFORMING OPERATIONS; TRANSPORTING
- B61—RAILWAYS
- B61L—GUIDING RAILWAY TRAFFIC; ENSURING THE SAFETY OF RAILWAY TRAFFIC
- B61L25/00—Recording or indicating positions or identities of vehicles or trains or setting of track apparatus
- B61L25/02—Indicating or recording positions or identities of vehicles or trains
- B61L25/021—Measuring and recording of train speed
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/08—Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
- H04L43/0805—Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters by checking availability
- H04L43/0811—Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters by checking availability by checking connectivity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0272—Virtual private networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/06—Protocols specially adapted for file transfer, e.g. file transfer protocol [FTP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W4/00—Services specially adapted for wireless communication networks; Facilities therefor
- H04W4/30—Services specially adapted for particular environments, situations or purposes
- H04W4/40—Services specially adapted for particular environments, situations or purposes for vehicles, e.g. vehicle-to-pedestrians [V2P]
- H04W4/42—Services specially adapted for particular environments, situations or purposes for vehicles, e.g. vehicle-to-pedestrians [V2P] for mass transport vehicles, e.g. buses, trains or aircraft
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W76/00—Connection management
- H04W76/10—Connection setup
- H04W76/12—Setup of transport tunnels
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Environmental & Geological Engineering (AREA)
- Mechanical Engineering (AREA)
- Aviation & Aerospace Engineering (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本发明公开了一种列车运行监控记录装置数据的换装方法及设备,属于列车运行监控记录装置领域。所述方法包括:列车运行监控记录装置LKJ数据的换装设备建立与地面换装服务器之间的无线网络隧道;检测所述无线网络隧道的连通状态;基于检测到的所述无线网络隧道的连通状态,接收所述地面换装服务器通过所述无线网络隧道发送的换装数据文件;将所述换装数据文件传输至LKJ,以使所述LKJ基于所述换装数据文件进行数据换装。
Description
技术领域
本发明涉及列车运行监控记录装置领域,特别涉及一种列车运行监控记录装置数据的换装方法及设备。
背景技术
LKJ(列车运行监控记录装置,简称监控装置),用于采集记录与列车安全运行有关的各种机车运行状态信息,是我国铁路研制的以保证列车运行安全为主要目的列车速度监控装置。在不同的运行线路和环境中,随着运输设备、设施技术数据或行车方式等的变化,引起LKJ数据文件变化。这时,需进行LKJ数据的换装,以对LKJ车载数据文件进行相应变更。
LKJ数据的换装过程包括,地面系统在铁路专网内完成换装计划制定,由地面通信服务器通过无线网络与车载进行车地通信,在满足换装条件下换装人员从地面发起启动或车载发起启动完成LKJ车载数据在线更新。
在实现本发明的过程中,发明人发现现有技术至少存在以下问题:LKJ数据换装是利用无线网络进行数据传输,在数据传输过程中,存在诸多安全和可靠性风险,例如数据被侦听和篡改、以及入侵攻击风险。
发明内容
本发明实施例提供了一种列车运行监控记录装置数据的换装方法及设备,能够保证数据换装的安全性。所述技术方案如下:
第一方面,提供了一种列车运行监控记录装置数据的换装方法,所述方法包括:
列车运行监控记录装置LKJ数据的换装设备建立与地面换装服务器之间的无线网络隧道;
检测所述无线网络隧道的连通状态;
基于检测到的所述无线网络隧道的连通状态,获取所述地面换装服务器通过所述无线网络隧道发送的换装数据文件;
将所述换装数据文件传输至LKJ,以使所述LKJ基于所述换装数据文件进行数据换装。
可选地,所述连通状态为隧道请求建立阶段、隧道已建立阶段或隧道断开阶段,所述基于检测到的所述无线网络隧道的连通状态,获取所述地面换装服务器通过所述无线网络隧道发送的换装数据文件,包括:
接收所述地面换装服务器发送的数据包;
当所述连通状态为所述隧道已建立阶段时,将所述数据包作为所述换装数据文件进行存储;
当所述连通状态为所述隧道请求建立阶段或所述隧道断开阶段时,丢弃所述数据包。
可选地,所述将所述数据包作为所述换装数据文件进行存储,包括:
确定所述数据包对应的网络连接的标识;
基于所述数据包对应的网络连接的标识、以及网络连接的标识与流标签的对应关系,确定所述数据包对应的连接的标识的流标签,所述数据包对应的连接的标识的流标签是检测到所述无线网络隧道的连通状态为所述隧道已建立阶段时为所述无线网络隧道的网络连接分配的,所述无线网络隧道的网络连接对应的流标签用于指示将来自所述无线网络隧道的数据包作为所述换装数据文件进行存储;
当所述流标签为所述无线网络隧道的网络连接对应的流标签时,将所述数据包作为所述换装数据文件进行存储。
可选地,所述建立与地面换装服务器之间的无线网络隧道,包括:
确定虚拟专用网络VPN数字证书;
对确定的VPN数字证书进行压缩;
向所述地面换装服务器发送隧道建立请求,所述隧道建立请求包括所述LKJ数据的换装设备的标识、以及压缩后的VPN数字证书;
接收所述地面换装服务器发送的隧道允许建立反馈,所述隧道允许建立反馈是所述地面换装服务器在收到所述隧道建立请求,确定所述LKJ数据的换装设备的标识对应的VPN数字证书,对所述压缩后的VPN数字证书进行解压,当确定的VPN数字证书与解压后的VPN数字证书一致时向LKJ数据的换装设备发送的。
可选地,所述换装数据文件包括至少两个子数据文件,所述获取所述地面换装服务器通过所述无线网络隧道发送的换装数据文件,包括:
接收所述地面换装服务器通过所述无线网络隧道发送的第N个子数据文件,N为自然数;
生成所述第N个子数据文件的收到反馈,所述第N个子数据文件的反馈为互联网安全协议IPsec报文,所述IPsec报文的乘客协议包括超文本传输协议,所述IPsec报文的承载协议包括用户数据报协议;
向所述地面换装服务器发送所述第N个子数据文件的收到反馈,所述第N个子数据文件的收到反馈用于指示所述地面换装服务器发送第N+1个子数据文件。
可选地,所述生成所述第N个子数据文件的收到反馈,包括:
生成所述第N个子数据文件的原始收到反馈,所述第N个子数据文件的原始收到反馈为承载协议报文;
当所述第N个子数据文件的原始收到反馈的报文长度大于目标报文长度时,对所述第N个子数据文件的原始收到反馈进行碎包处理,得到多个小报文;
分别为所述多个小报文增加乘客协议报文头,得到多个IPsec小报文,所述第N个子数据文件的收到反馈包括所述多个IPsec小报文。
第二方面,提供了一种列车运行监控记录装置数据的换装设备,所述设备包括:
建立模块,用于建立与地面换装服务器之间的无线网络隧道;
检测模块,用于检测所述无线网络隧道的连通状态;
获取模块,用于基于检测到的所述无线网络隧道的连通状态,获取所述地面换装服务器通过所述无线网络隧道发送的换装数据文件;
传输模块,用于将所述换装数据文件传输至LKJ,以使所述LKJ基于所述换装数据文件进行数据换装。
可选地,所述连通状态为隧道请求建立阶段、隧道已建立阶段或隧道断开阶段,
所述换装设备还包括接收模块,所述接收模块用于,接收所述地面换装服务器发送的数据包;
所述获取模块用于,当所述连通状态为所述隧道已建立阶段时,将所述数据包作为所述换装数据文件进行存储,当所述连通状态为所述隧道请求建立阶段或所述隧道断开阶段时,丢弃所述数据包。
可选地,所述获取模块用于,
确定所述数据包对应的网络连接的标识;
基于所述数据包对应的网络连接的标识、以及网络连接的标识与流标签的对应关系,确定所述数据包对应的连接的标识的流标签,所述数据包对应的连接的标识的流标签是检测到所述无线网络隧道的连通状态为所述隧道已建立阶段时为所述无线网络隧道的网络连接分配的,所述无线网络隧道的网络连接对应的流标签用于指示将来自所述无线网络隧道的数据包作为所述换装数据文件进行存储;
当所述流标签为所述无线网络隧道的网络连接对应的流标签时,将所述数据包作为所述换装数据文件进行存储。
第三方面,提供了一种列车运行监控记录装置数据的换装设备,所述换装设备包括处理器和存储器,所述存储器中存储有至少一条指令,所述指令由所述处理器加载并执行以实现前述列车运行监控记录装置数据的换装方法。
本发明实施例提供的技术方案带来的有益效果是:
通过建立LKJ数据的换装设备与地面换装服务器之间的无线网络隧道;基于无线网络隧道的连通状态,通过无线网络隧道获取服务器发送的换装数据文件;能够对换装数据文件进行安全保护,有效提高了换装数据的安全性和可靠性。
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本发明实施例提供的LKJ数据的换装设备的一示例性应用场景示意图;
图2是本发明实施例提供的一种列车运行监控记录装置数据的换装方法的流程图;
图3和图4是本发明实施例提供的一种列车运行监控记录装置数据的换装设备的结构框图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚,下面将结合附图对本发明实施方式作进一步地详细描述。
为便于理解本发明实施例提供的技术方案,首先介绍一下该技术方案适用的一示例性应用场景。在本发明实施例中,参见图1,LKJ数据的换装设备1通过局域网与LKJ主机2通信,并通过无线网络(4G或者无线局域网)3与地面换装服务器4通信。数据换装过程包括如下步骤:
A、LKJ数据的换装设备1与地面换装服务器4建立连接。
B、地面换装服务器4向LKJ数据的换装设备1传输LKJ数据换装文件。
数据换装文件比较大,地面换装服务器4一般是分次传输数据,LKJ数据的换装设备1每收到一次数据,会向地面换装服务器4反馈确认信息。当LKJ数据换装文件输出完毕后,LKJ数据的换装设备1将完整的LKJ数据换装文件传输给LKJ主机2,由LKJ主机2进行更新。
C、换装完成后,LKJ数据的换装设备1向地面换装服务器4反馈换装结果。
其中,LKJ数据的换装设备1可以通过接口1a与无线网络3连接,接口1a用于转发局域网与局域网的外部网络之间的业务数据流(包括换装数据)。LKJ数据的换装设备1还用于进行业务数据流(非换装数据)的转发。在LKJ数据的换装设备1上设置有防火墙系统。防火墙系统用于确保局域网的网络安全,防止非法用户通过接口1a转发的业务数据流对局域网进行入侵。本发明实施例提供的列车运行监控记录装置数据的换装方法可以由该LKJ数据的换装设备1执行。需要说明的是,图1示出的应用场景仅用于举例,本发明实施例提供的列车运行监控记录装置数据的换装方法及设备所适用的应用场景并不仅限于此。
图2示出了本发明实施例提供的一种列车运行监控记录装置数据的换装方法。参见图2,该方法流程包括如下步骤。
步骤101、建立LKJ数据的换装设备与地面换装服务器之间的无线网络隧道。
步骤102、检测无线网络隧道的连通状态。
其中,该连通状态可以为隧道请求建立阶段、隧道已建立阶段或隧道断开阶段。
步骤103、基于检测到的无线网络隧道的连通状态,获取地面换装服务器通过无线网络隧道发送的换装数据文件。
步骤104、将换装数据文件传输至LKJ,以使LKJ基于换装数据文件进行数据换装。
可选地,步骤101还可以包括,监控无线网络是否改变或者无线网络的传输质量是否较优。若无线网络发生改变或者断开或者传输质量较差,则需要重新接入无线网络,同时需要重新建立无线网络隧道。
可选地,步骤102还可以包括,在检测到无线网络隧道的连通状态为隧道请求建立阶段之后、且首次检测到无线网络隧道的连通状态为隧道已建立阶段时,为无线网络隧道的网络连接分配流标签,无线网络隧道的网络连接对应的流标签用于指示,将来自无线网络隧道的数据包作为换装数据文件进行存储。相应地,在检测到无线网络隧道的连通状态为隧道已建立阶段之后、且首次检测到无线网络隧道的连通状态为隧道断开阶段时,删除相应的流标签。
本发明实施例通过建立LKJ数据的换装设备与地面换装服务器之间的无线网络隧道;基于无线网络隧道的连通状态,通过无线网络隧道获取服务器发送的换装数据文件;能够对换装数据文件进行安全保护,有效提高了换装数据的安全性和可靠性。
步骤101中,无线网络隧道能够确保采用VPN(Virtual Private Network,虚拟专用网络)实现LKJ数据的换装设备与地面换装服务器之间的通信。隧道连接过程一般包括:首先,客户端向服务器发出建立隧道连接的请求;其次,服务器需要对客户端的身份进行合法性判断,例如,需要客户端提供用户名和口令(VPN数字证书);然后,客户端用户名和口令发送给服务器;最后,服务器用用户名对数据库进行检索,若用户名和口令合法,则需要对用户的远程访问权限进行检查,查看用户是否有权访问内部资源。如果以上检查都通过后,则服务器与客户端建立隧道连接。其中,VPN数字证书一般有2000-3000字节,超过了链路一次发送的报文的长度。为了减少分片报文,本实施例对证书传输前进行了压缩,从而减少了传送的数据量,使协商通信能够正常进行。基于此,示例性地,步骤101可以包括如下步骤。
第一步、确定VPN数字证书。
在将LKJ数据的换装设备安装到列车之前,在LKJ数据的换装设备中导入VPN数字证书。地面换装服务器可以在与LKJ数据的换装设备建立的IPSec(Internet ProtocolSecurity,互联网安全协议)第一阶段(IPSec VPN隧道建立过程包括第一阶段和在第一阶段之后的第二阶段)中通过该VPN数字证书,判断接入的合法性。
第二步、对确定的VPN数字证书进行压缩。
压缩方式可以采用zip压缩方式。
第三步、向地面换装服务器发送隧道建立请求。
其中,隧道建立请求包括LKJ数据的换装设备的标识、以及压缩后的VPN数字证书。通过IPSec第一阶段的证书选项可以承载压缩后的VPN数字证书。具体地,针对协商加密算法的块大小,将压缩后的VPN数字证书进行相应填充,同时在协商Flags(标记)中表明是带有加密标识,并附相应填充长度。
第四步、接收地面换装服务器发送的隧道允许建立反馈。
其中,隧道允许建立反馈是地面换装服务器在收到隧道建立请求,确定LKJ数据的换装设备的标识对应的VPN数字证书,对压缩后的VPN数字证书进行解压,当确定的VPN数字证书与解压后的VPN数字证书一致时向LKJ数据的换装设备发送的。地面换装服务器存储有LKJ数据的换装设备的标识对应的授权的VPN数字证书,当LKJ数据的换装设备发送的VPN数字证书与地面换装服务器存储的VPN数字证书一致时,地面换装服务器确定LKJ数据的换装设备的身份是合法的。
前述数据换装过程中,换装服务器是分次传输换装数据文件。其中,换装数据文件包括至少两个子数据文件。目前市场上许多低端、不合IP(Internet Protocol,网络之间互连的协议)协议规范的接入设备对网络通信报文支持较差,主要体现在一下几个方面:首先,较大的UDP(User Datagram Protocol,用户数据报协议)报文无法通过。其次,分片报文会被无线网络中某些NAT(Network Address Translation,网络地址转换)设备直接丢弃。最后,链路丢包率比较大,造成通信无法成功。VPN采用的IPSec协议无法穿过复杂的访问控制网络环境,而隐蔽通信技术可以帮助无法穿越防火墙的通信经过隧道顺利的进行通信,而其中常用的隐蔽通信技术就是HTTP(HyperText Transfer Protocol,超文本传输协议)Tunnel(隧道)。基于此,示例性地,步骤102可以包括如下步骤。
第2a,接收地面换装服务器通过无线网络隧道发送的第N个子数据文件,N为自然数。
第2b、生成第N个子数据文件的收到反馈,第N个子数据文件的反馈为IPsec报文,IPsec报文的乘客协议包括HTTP,IPsec报文的承载协议包括UDP。
IPsec报文的乘客协议用于对报文进行封装,位置在报文头。IPsec报文的承载协议为报文载荷的传输协议。
第2c、向地面换装服务器发送第N个子数据文件的收到反馈,第N个子数据文件的收到反馈用于指示地面换装服务器发送第N+1个子数据文件。
需要说明的是,当N+1为最后一个子数据文件时,在N+1个子数据文件传输完毕后,将断开连接。
由于常规报文经过IPSec处理之后会增加新的协议头字段,使报文长度变大,引发分片。为了减少分片,本实施例提前对需要进行IPSec处理的大报文进行碎包,以将之前的大报文变成若干个小报文,然后每一个小报文再经过IPSec的单独处理并最终发送出去,这样就防止了大报文在发送的时候被分片的情况。基于此,上述第2b可以包括如下步骤。
第一步、生成第N个子数据文件的原始收到反馈,第N个子数据文件的原始收到反馈为承载协议报文。
第二步、比较第N个子数据文件的原始收到反馈的报文长度与目标报文长度。
当第N个子数据文件的原始收到反馈的报文长度大于目标报文长度时,执行第三步。当第N个子数据文件的原始收到反馈的报文长度等于或小于目标报文长度时,执行第五步。
第三步、对第N个子数据文件的原始收到反馈进行碎包处理,得到多个小报文。其中,多个包括两个或两个以上。
在第三步之后执行第四步。
第四步、分别为多个小报文增加乘客协议报文头,得到多个IPsec小报文,第N个子数据文件的收到反馈包括多个IPsec小报文。
第五步、分别为第N个子数据文件的原始收到反馈增加乘客协议报文头,得到第N个子数据文件的收到反馈。
步骤102中,防火墙状态检测技术会监视每个连接发起到结束的全过程。当连接发起时,它通过检查连接对应的应用程序信息,来判断端口是否允许需要临时打开。当连接结束时,及时将端口恢复为关闭状态。同时,通过状态检测虚拟机维护一个动态的状态表,记录所有的连接的通信信息、通信状态,其中,状态表中,连接的标识可以包括连接双方的IP地址、端口号、以及传输协议的标识。状态表中还存储有连接的连接状态。
基于该状态表,能够完成对数据包的检测和过滤,最大限度地保证了网络的安全。在数据包的检测方面,当用户访问的请求到达防火墙时,状态检测器要抽取有关的数据进行分析,结合网络配置和安全规则完成接纳、拒绝、身份认证、报警或加密等处理动作。以TCP(Transmission Control Protocol,传输控制协议)连接为例,在请求TCP连接时,客户端(如换装设备)的连接状态为SYN_SENT,当客户端与服务端(如地面换装服务器)建立连接,准备发送数据时,连接状态为ESTABLISHED,当客户端与服务端连接完全断开时,连接状态为CLOSING,如果不停的有SYN_SENT状态的连接,则可能产生SYN_FLOOD攻击。在数据包的过滤方面,防火墙根据IP包头的信息与安全策略来确定是否转发IP包。通常的包过滤机制在接到每一个IP包时,IP包是被单独匹配和检查的,系统认为IP包之间是没有关联的,是独立地进行路由和转发的,独立地在过滤规则集中寻找相对应的过滤规则。过滤规则通常是顺序相关的,需要从前到后与每条规则进行匹配,效率非常低下。为了克服这一缺点,改造包过滤防火墙的(IP包是被单独匹配和检查的)的技术瓶颈,本实施例从系统上层协议(包括TCP、UDP、ICMP(Internet Control Message Protocol,控制报文协议))的连接状态中,选择出属于相同协议会话、以及相同连接状态的IP数据流。通过为有关联的IP数据流(即相同连接和相同连接状态的数据流)设置过滤和处理规则,来批量过滤和处理IP数据包,而不是独立地检查单个IP数据包,达到提高系统转发效率的目的。基于此,步骤103可以包括如下步骤。
A,接收地面换装服务器发送的数据包。
B,确定无线网络隧道的连通状态。
前述连通状态可以通过查询状态表中连接状态获得。当连通状态为隧道已建立阶段时,将数据包作为换装数据文件进行存储;当连通状态为隧道请求建立阶段或隧道断开阶段时,丢弃数据包。
为了提高换装数据的传输效率,在本实施例中,将换装数据设置为快速通道处理的数据,相比于慢速通道处理的数据,快速通道处理的数据不必进行策略查找,仅需要进行相应的安全检测。基于此,如前述,为无线网络隧道的网络连接分配了相应的流标签。相应地,步骤B中将数据包作为换装数据文件进行存储,可以包括如下步骤。
首先,确定数据包对应的网络连接的标识。
其次,基于数据包对应的网络连接的标识、以及网络连接的标识与流标签的对应关系,确定数据包对应的网络连接的标识的流标签。其中,数据包对应的连接的标识的流标签是检测到无线网络隧道的连通状态为隧道已建立阶段时为无线网络隧道的网络连接分配的,无线网络隧道的网络连接对应的流标签用于指示将来自无线网络隧道的数据包作为换装数据文件进行存储。
当流标签为无线网络隧道的网络连接对应的流标签时,将数据包作为换装数据文件进行存储。这样,快速地对数据包进行了处理,提高了处理效率。
可选地,还可以为换装数据文件设置安全检测策略,该安全检测策略与相应的流标签对应。流标签用于指示对换装数据文件进行相对应的安全检测。
除隧道的网络连接之外的连接,可以对应安全检测的流标签。这类连接下的数据直接进行相应的安全检测。而对于查不到流标签的数据包,需对数据包进行策略查找,比如进行地址转换、流量统计、DDoS(Distributed denial of service attack,分布式拒绝服务攻击)防御等,处理效率相对较慢。
可选地,本实施例中,LKJ数据的换装设备还提供基于多路聚合技术的IPSec VPN隧道备份和均衡技术。虽然Internet(因特网)的通信能力有很大提高,但是仍然可能出现丢包、断线等失效情况。从IPSec VPN的可用性角度出发,考虑充分利用多条物理链路的通信资源,通过通信链路的冗余提高整个VPN系统隧道通信可用性。理想的方案是为同一对内部子网在每条物理链路上单独协商并维护1个IPSec隧道以同时在多条链路上进行IPSec通信。这样,支持多链路协商的M-IKE(Internet Key Exchange,网络密钥交换)模块取代传统IKE模块在不同的链路上为同一保护子网对进行多个隧道协商。经过M-IKE的协商,保护同一对子网通信的多组IPSec SA(Security Association,安全关联)会被写入到支持多路聚合的MA-IPSec模块中。MA-IPSec将多个链路上的IPSec SA聚合起来为同一对子网提供通信服务,并且在聚合中实现多链路的负载均衡。基于此,前述步骤101中,LKJ数据的换装设备与地面换装服务器之间的无线网络隧道的数量为2条或2条以上。
图3示出了本发明实施例提供的一种列车运行监控记录装置数据的换装设备,参见图3,该设备800包括建立模块31、检测模块32、获取模块33和传输模块34。
建立模块31,用于建立与地面换装服务器之间的无线网络隧道。
检测模块32,用于检测无线网络隧道的连通状态。
获取模块33,用于基于检测到的无线网络隧道的连通状态,获取地面换装服务器通过无线网络隧道发送的换装数据文件。
传输模块34,用于将换装数据文件传输至LKJ,以使LKJ基于换装数据文件进行数据换装。
示例性地,建立模块31用于,确定VPN数字证书;对确定的VPN数字证书进行压缩。
相应地,该换装设备800还包括发送模块,该发送模块用于,向地面换装服务器发送隧道建立请求,隧道建立请求包括LKJ数据的换装设备的标识、以及压缩后的VPN数字证书。
相应地,该换装设备800还包括接收模块,该接收模块用于,接收地面换装服务器发送的隧道允许建立反馈,隧道允许建立反馈是地面换装服务器在收到隧道建立请求,确定LKJ数据的换装设备的标识对应的VPN数字证书,对压缩后的VPN数字证书进行解压,当确定的VPN数字证书与解压后的VPN数字证书一致时向LKJ数据的换装设备发送的。
其中,换装数据文件包括至少两个子数据文件,该接收模块还用于,接收地面换装服务器通过无线网络隧道发送的第N个子数据文件,N为自然数。
该获取模块33用于,生成第N个子数据文件的收到反馈,第N个子数据文件的反馈为IPsec报文,IPsec报文的乘客协议为HTTP,IPsec报文的承载协议包括UDP。
相应地,发送模块还用于,向地面换装服务器发送第N个子数据文件的收到反馈,第N个子数据文件的收到反馈用于指示地面换装服务器发送第N+1个子数据文件。
示例性地,获取模块33用于,生成第N个子数据文件的原始收到反馈,第N个子数据文件的原始收到反馈为承载协议报文;当第N个子数据文件的原始收到反馈的报文长度大于目标报文长度时,对第N个子数据文件的原始收到反馈进行碎包处理,得到多个小报文;分别为多个小报文增加乘客协议报文头,得到多个IPsec小报文,第N个子数据文件的收到反馈包括多个IPsec小报文。
其中,连通状态为隧道请求建立阶段、隧道已建立阶段或隧道断开阶段。示例性地,获取模块33用于,接收地面换装服务器发送的数据包;当连通状态为隧道已建立阶段时,将数据包作为换装数据文件进行存储;当连通状态为隧道请求建立阶段或隧道断开阶段时,丢弃数据包。
示例性地,获取模块33用于,确定数据包对应的网络连接的标识;基于数据包对应的网络连接的标识、以及网络连接的标识与流标签的对应关系,确定数据包对应的连接的标识的流标签,数据包对应的连接的标识的流标签是检测到无线网络隧道的连通状态为隧道已建立阶段时为无线网络隧道的网络连接分配的,无线网络隧道的网络连接对应的流标签用于指示将来自无线网络隧道的数据包作为换装数据文件进行存储;当流标签为无线网络隧道的网络连接对应的流标签时,将数据包作为换装数据文件进行存储。
本发明实施例通过建立LKJ数据的换装设备与地面换装服务器之间的无线网络隧道;基于无线网络隧道的连通状态,通过无线网络隧道获取服务器发送的换装数据文件;能够对换装数据文件进行安全保护,有效提高了换装数据的安全性和可靠性。
需要说明的是:上述实施例提供的列车运行监控记录装置数据的换装设备在列车运行监控记录装置数据的换装时,仅以上述各功能模块的划分进行举例说明,实际应用中,可以根据需要而将上述功能分配由不同的功能模块完成,即将设备的内部结构划分成不同的功能模块,以完成以上描述的全部或者部分功能。另外,上述实施例提供的列车运行监控记录装置数据的换装设备与列车运行监控记录装置数据的换装方法实施例属于同一构思,其具体实现过程详见方法实施例,这里不再赘述。
图4示出了本发明一个示例性实施例提供的列车运行监控记录装置数据的换装设备的结构框图。该换装设备可以是计算机300。计算机300包括中央处理单元(CPU)301、包括随机存取存储器(RAM)302和只读存储器(ROM)303的系统存储器304,以及连接系统存储器304和中央处理单元301的系统总线305。计算机300还可以包括帮助计算机内的各个器件之间传输信息的基本输入/输出系统(I/O系统)306,和用于存储操作系统313、应用程序314和其他程序模块315的大容量存储设备307。
基本输入/输出系统306包括有用于显示信息的显示器308和用于用户输入信息的诸如鼠标、键盘之类的输入设备309。其中显示器308和输入设备309都通过连接到系统总线305的输入输出控制器310连接到中央处理单元301。基本输入/输出系统306还可以包括输入输出控制器310以用于接收和处理来自键盘、鼠标、或电子触控笔等多个其他设备的输入。类似地,输入输出控制器310还提供输出到显示屏、打印机或其他类型的输出设备。
大容量存储设备307通过连接到系统总线305的大容量存储控制器(未示出)连接到中央处理单元301。大容量存储设备307及其相关联的计算机可读介质为计算机300提供非易失性存储。也就是说,大容量存储设备307可以包括诸如硬盘或者CD-ROM驱动器之类的计算机可读介质(未示出)。
不失一般性,计算机可读介质可以包括计算机存储介质和通信介质。计算机存储13介质包括以用于存储诸如计算机可读指令、数据结构、程序模块或其他数据等信息的任何方法或技术实现的易失性和非易失性、可移动和不可移动介质。计算机存储介质包括RAM、ROM、EPROM、EEPROM、闪存或其他固态存储其技术,CD-ROM、DVD或其他光学存储、磁带盒、磁带、磁盘存储或其他磁性存储设备。当然,本领域技术人员可知计算机存储介质不局限于上述几种。上述的系统存储器304和大容量存储设备307可以统称为存储器。
根据本发明的各种实施例,计算机300还可以通过诸如因特网等网络连接到网络上的远程计算机运行。也即计算机300可以通过连接在系统总线305上的网络接口单元311连接到网络312,或者说,也可以使用网络接口单元311来连接到其他类型的网络或远程计算机系统(未示出)。
上述存储器还包括一个或者一个以上的程序,一个或者一个以上程序存储于存储器中,被配置由CPU执行。所述一个或者一个以上程序包含用于进行本发明实施例提供的前述列车运行监控记录装置数据的换装方法的指令。
本领域普通技术人员可以理解实现上述实施例的全部或部分步骤可以通过硬件来完成,也可以通过程序来指令相关的硬件完成,所述的程序可以存储于一种计算机可读存储介质中,上述提到的存储介质可以是只读存储器,磁盘或光盘等。
以上所述仅为本发明的较佳实施例,并不用以限制本发明,凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (8)
1.一种列车运行监控记录装置数据的换装方法,其特征在于,所述方法包括:
列车运行监控记录装置LKJ数据的换装设备建立与地面换装服务器之间的无线网络隧道;
检测所述无线网络隧道的连通状态;
基于检测到的所述无线网络隧道的连通状态,获取所述地面换装服务器通过所述无线网络隧道发送的换装数据文件;
将所述换装数据文件传输至LKJ,以使所述LKJ基于所述换装数据文件进行数据换装;
所述连通状态为隧道请求建立阶段、隧道已建立阶段或隧道断开阶段,所述基于检测到的所述无线网络隧道的连通状态,获取所述地面换装服务器通过所述无线网络隧道发送的换装数据文件,包括:
接收所述地面换装服务器发送的数据包;
当所述连通状态为所述隧道已建立阶段时,将所述数据包作为所述换装数据文件进行存储;
当所述连通状态为所述隧道请求建立阶段或所述隧道断开阶段时,丢弃所述数据包。
2.根据权利要求1所述的方法,其特征在于,所述将所述数据包作为所述换装数据文件进行存储,包括:
确定所述数据包对应的网络连接的标识;
基于所述数据包对应的网络连接的标识、以及网络连接的标识与流标签的对应关系,确定所述数据包对应的连接的标识的流标签,所述数据包对应的连接的标识的流标签是检测到所述无线网络隧道的连通状态为所述隧道已建立阶段时为所述无线网络隧道的网络连接分配的,所述无线网络隧道的网络连接对应的流标签用于指示将来自所述无线网络隧道的数据包作为所述换装数据文件进行存储;
当所述流标签为所述无线网络隧道的网络连接对应的流标签时,将所述数据包作为所述换装数据文件进行存储。
3.根据权利要求1所述的方法,其特征在于,所述建立与地面换装服务器之间的无线网络隧道,包括:
确定虚拟专用网络VPN数字证书;
对确定的VPN数字证书进行压缩;
向所述地面换装服务器发送隧道建立请求,所述隧道建立请求包括所述LKJ数据的换装设备的标识、以及压缩后的VPN数字证书;
接收所述地面换装服务器发送的隧道允许建立反馈,所述隧道允许建立反馈是所述地面换装服务器在收到所述隧道建立请求,确定所述LKJ数据的换装设备的标识对应的VPN数字证书,对所述压缩后的VPN数字证书进行解压,当确定的VPN数字证书与解压后的VPN数字证书一致时向LKJ数据的换装设备发送的。
4.根据权利要求1所述的方法,其特征在于,所述换装数据文件包括至少两个子数据文件,所述获取所述地面换装服务器通过所述无线网络隧道发送的换装数据文件,包括:
接收所述地面换装服务器通过所述无线网络隧道发送的第N个子数据文件,N为自然数;
生成所述第N个子数据文件的收到反馈,所述第N个子数据文件的反馈为互联网安全协议IPsec报文,所述IPsec报文的乘客协议包括超文本传输协议,所述IPsec报文的承载协议包括用户数据报协议;
向所述地面换装服务器发送所述第N个子数据文件的收到反馈,所述第N个子数据文件的收到反馈用于指示所述地面换装服务器发送第N+1个子数据文件。
5.根据权利要求4所述的方法,其特征在于,所述生成所述第N个子数据文件的收到反馈,包括:
生成所述第N个子数据文件的原始收到反馈,所述第N个子数据文件的原始收到反馈为承载协议报文;
当所述第N个子数据文件的原始收到反馈的报文长度大于目标报文长度时,对所述第N个子数据文件的原始收到反馈进行碎包处理,得到多个小报文;
分别为所述多个小报文增加乘客协议报文头,得到多个IPsec小报文,所述第N个子数据文件的收到反馈包括所述多个IPsec小报文。
6.一种列车运行监控记录装置数据的换装设备,其特征在于,所述设备包括:
建立模块,用于建立与地面换装服务器之间的无线网络隧道;
检测模块,用于检测所述无线网络隧道的连通状态;
获取模块,用于基于检测到的所述无线网络隧道的连通状态,获取所述地面换装服务器通过所述无线网络隧道发送的换装数据文件;
传输模块,用于将所述换装数据文件传输至LKJ,以使所述LKJ基于所述换装数据文件进行数据换装;
所述连通状态为隧道请求建立阶段、隧道已建立阶段或隧道断开阶段,
所述换装设备还包括接收模块,所述接收模块用于,接收所述地面换装服务器发送的数据包;
所述获取模块用于,当所述连通状态为所述隧道已建立阶段时,将所述数据包作为所述换装数据文件进行存储,当所述连通状态为所述隧道请求建立阶段或所述隧道断开阶段时,丢弃所述数据包。
7.根据权利要求6所述的换装设备,其特征在于,所述获取模块用于,
确定所述数据包对应的网络连接的标识;
基于所述数据包对应的网络连接的标识、以及网络连接的标识与流标签的对应关系,确定所述数据包对应的连接的标识的流标签,所述数据包对应的连接的标识的流标签是检测到所述无线网络隧道的连通状态为所述隧道已建立阶段时为所述无线网络隧道的网络连接分配的,所述无线网络隧道的网络连接对应的流标签用于指示将来自所述无线网络隧道的数据包作为所述换装数据文件进行存储;
当所述流标签为所述无线网络隧道的网络连接对应的流标签时,将所述数据包作为所述换装数据文件进行存储。
8.一种列车运行监控记录装置数据的换装设备,其特征在于,所述换装设备包括处理器和存储器,所述存储器中存储有至少一条指令,所述指令由所述处理器加载并执行以实现如权利要求1至5任一项所述的列车运行监控记录装置数据的换装方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910585886.3A CN110536267B (zh) | 2019-07-01 | 2019-07-01 | 列车运行监控记录装置数据的换装方法及设备 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910585886.3A CN110536267B (zh) | 2019-07-01 | 2019-07-01 | 列车运行监控记录装置数据的换装方法及设备 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN110536267A CN110536267A (zh) | 2019-12-03 |
CN110536267B true CN110536267B (zh) | 2022-11-01 |
Family
ID=68659419
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201910585886.3A Active CN110536267B (zh) | 2019-07-01 | 2019-07-01 | 列车运行监控记录装置数据的换装方法及设备 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN110536267B (zh) |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
EP1479194A1 (fr) * | 2002-02-05 | 2004-11-24 | Thales | Reseau local d'echange de donnees entre les micro-ordinateurs portables des passagers d'un aeronef |
CN108040058A (zh) * | 2017-12-18 | 2018-05-15 | 湖南中车时代通信信号有限公司 | 一种列车监控装置数据无线换装的安全防护系统和方法 |
CN108259301A (zh) * | 2017-08-16 | 2018-07-06 | 新华三技术有限公司 | 一种隧道上线方法及装置 |
CN109080669A (zh) * | 2018-07-11 | 2018-12-25 | 中车大连机车研究所有限公司 | 一种基于移动专用虚拟网的城轨车辆监测装置及系统 |
-
2019
- 2019-07-01 CN CN201910585886.3A patent/CN110536267B/zh active Active
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
EP1479194A1 (fr) * | 2002-02-05 | 2004-11-24 | Thales | Reseau local d'echange de donnees entre les micro-ordinateurs portables des passagers d'un aeronef |
CN108259301A (zh) * | 2017-08-16 | 2018-07-06 | 新华三技术有限公司 | 一种隧道上线方法及装置 |
CN108040058A (zh) * | 2017-12-18 | 2018-05-15 | 湖南中车时代通信信号有限公司 | 一种列车监控装置数据无线换装的安全防护系统和方法 |
CN109080669A (zh) * | 2018-07-11 | 2018-12-25 | 中车大连机车研究所有限公司 | 一种基于移动专用虚拟网的城轨车辆监测装置及系统 |
Non-Patent Citations (1)
Title |
---|
列车运行监控设备监测管理系统(LMD)构建与实施;姜智等;《铁道通信信号》;20171217(第12期);全文 * |
Also Published As
Publication number | Publication date |
---|---|
CN110536267A (zh) | 2019-12-03 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10305904B2 (en) | Facilitating secure network traffic by an application delivery controller | |
US7823194B2 (en) | System and methods for identification and tracking of user and/or source initiating communication in a computer network | |
US10027761B2 (en) | Facilitating a secure 3 party network session by a network device | |
US7797411B1 (en) | Detection and prevention of encapsulated network attacks using an intermediate device | |
US9509663B2 (en) | Secure distribution of session credentials from client-side to server-side traffic management devices | |
US6668282B1 (en) | System and method to monitor and determine if an active IPSec tunnel has become disabled | |
US9762546B2 (en) | Multi-connection system and method for service using internet protocol | |
US20070186281A1 (en) | Securing network traffic using distributed key generation and dissemination over secure tunnels | |
US10205756B2 (en) | Dynamic virtual private network | |
CN114629678B (zh) | 一种基于tls的内网穿透方法及装置 | |
CA2506418C (en) | Systems and apparatuses using identification data in network communication | |
CN111343083B (zh) | 即时通信方法、装置、电子设备及可读存储介质 | |
CN110536267B (zh) | 列车运行监控记录装置数据的换装方法及设备 | |
CN115348118B (zh) | 一种基于密码技术的网络地址和端口号隐藏方法 | |
Bejarano et al. | Security in IP satellite networks: COMSEC and TRANSEC integration aspects | |
CN116346421A (zh) | 一种船岸信息通信方法及装置 | |
CN1581869A (zh) | 一种基于双重身份的多方通信方法 | |
CN116389169B (zh) | 一种避免国密IPSecVPN网关数据包乱序、分片的方法 | |
KR101005870B1 (ko) | 미인증 장비의 티시피 세션 차단 방법 | |
KR20110087972A (ko) | 세션 테이블을 이용한 비정상 트래픽의 차단 방법 | |
CN118316616A (zh) | 基于多租户的虚拟网络管理方法及其系统、设备、介质 | |
CN118316617A (zh) | 基于网络隧道的代理通信方法及其系统、电子设备、介质 | |
CN113904868A (zh) | 一种基于IPsec的远程网管的管理方法 | |
CN112954055A (zh) | 一种基于ftp的访问控制方法和装置 | |
CN116471345A (zh) | 一种数据通信方法、装置、设备及介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |