CN112218269B - 一种列车信息安全网关系统、数据传输方法及机车 - Google Patents

一种列车信息安全网关系统、数据传输方法及机车 Download PDF

Info

Publication number
CN112218269B
CN112218269B CN202011078486.2A CN202011078486A CN112218269B CN 112218269 B CN112218269 B CN 112218269B CN 202011078486 A CN202011078486 A CN 202011078486A CN 112218269 B CN112218269 B CN 112218269B
Authority
CN
China
Prior art keywords
data
network
train
security gateway
firewall
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202011078486.2A
Other languages
English (en)
Other versions
CN112218269A (zh
Inventor
刘泰
李兴国
卢京廷
车聪聪
杨杰
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
CRRC Qingdao Sifang Co Ltd
Original Assignee
CRRC Qingdao Sifang Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by CRRC Qingdao Sifang Co Ltd filed Critical CRRC Qingdao Sifang Co Ltd
Priority to CN202011078486.2A priority Critical patent/CN112218269B/zh
Publication of CN112218269A publication Critical patent/CN112218269A/zh
Application granted granted Critical
Publication of CN112218269B publication Critical patent/CN112218269B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/46Interconnection of networks
    • H04L12/4641Virtual LANs, VLANs, e.g. virtual private networks [VPN]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W4/00Services specially adapted for wireless communication networks; Facilities therefor
    • H04W4/30Services specially adapted for particular environments, situations or purposes
    • H04W4/40Services specially adapted for particular environments, situations or purposes for vehicles, e.g. vehicle-to-pedestrians [V2P]
    • H04W4/42Services specially adapted for particular environments, situations or purposes for vehicles, e.g. vehicle-to-pedestrians [V2P] for mass transport vehicles, e.g. buses, trains or aircraft

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Aviation & Aerospace Engineering (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Small-Scale Networks (AREA)

Abstract

本公开提出了一种列车信息安全网关系统、数据传输方法及机车,包括:数据服务器及防火墙;所述数据服务器被配置为通过防火墙与虚拟子网通信,其中,所述防火墙与虚拟子网一一对应连接;所述虚拟子网分为私有域及公共域,所述公共域被配置为轨旁无线数据的传输及故障检修设备的接入,所述私有域被配置为列车车辆网络的接入。本公开技术方案基于设置的数据库服务器,该数据库服务器可以作为数据隔离区,将外部接入数据进行隔离处理,避免网络攻击。

Description

一种列车信息安全网关系统、数据传输方法及机车
技术领域
本公开属于网关技术领域,尤其涉及一种列车信息安全网关系统及机车。
背景技术
本部分的陈述仅仅是提供了与本公开相关的背景技术信息,不必然构成在先技术。
当前列车网络信息安全设计,主要集中在物理防护层面,即将所有设备锁在柜子中,从而隔绝外部的入侵。
为了车辆状态和故障数据的下载、软件更新等执行,往往也会预留维护端口,供检修人员连接PTU电脑等设备来执行相应的工作。
上述操作存在的问题是:PTU电脑等相关设备和列车网络系统的直接连接,将导致外部网络入侵和列车网络系统信息的泄露。
发明内容
为克服上述现有技术的不足,本公开提供了一种列车信息安全网关系统,可以有效的防止未授权设备的入侵,提升列车的网络安全。
为实现上述目的,本公开的一个或多个实施例提供了如下技术方案:
第一方面,公开了一种列车信息安全网关系统,包括:
数据服务器及防火墙;
所述数据服务器被配置为通过防火墙与虚拟子网通信,其中,所述防火墙与虚拟子网一一对应连接;
所述虚拟子网分为私有域及公共域,所述公共域被配置为轨旁无线数据的传输及故障检修设备的接入,所述私有域被配置为列车车辆网络的接入。
第二方面,公开了一种列车信息安全网关系统的数据传输方法,包括:
故障检修设备通过防火墙和数据库服务器进行数据交换并对故障检修设备进行认证,认证通过后数据库服务器和列车网络进行数据交换,以隔绝故障检修设备和车辆网络的直接通讯;
轨旁无线设备通过防火墙和数据库服务器进行数据交换,数据库服务器和列车网络进行数据交换,以隔绝轨旁无线设备和车辆网络的直接通讯。
以上一个或多个技术方案存在以下有益效果:
本公开技术方案基于设置不同的防火墙,外部设备连接至列车车辆网络时,需要经过对应的防火墙的监控,避免了没有经过认证的外部网络入侵和列车网络系统信息的泄露,有效的防止未授权设备的入侵,提升列车的网络安全。
本公开技术方案基于设置的数据库服务器,该数据库服务器可以作为数据隔离区,将外部接入数据进行隔离处理,避免网络攻击。
本发明附加方面的优点将在下面的描述中部分给出,部分将从下面的描述中变得明显,或通过本发明的实践了解到。
附图说明
构成本公开的一部分的说明书附图用来提供对本公开的进一步理解,本公开的示意性实施例及其说明用于解释本公开,并不构成对本公开的不当限定。
图1为本公开实施例列车信息安全网关系统结构示意图。
具体实施方式
应该指出,以下详细说明都是示例性的,旨在对本公开提供进一步的说明。除非另有指明,本文使用的所有技术和科学术语具有与本公开所属技术领域的普通技术人员通常理解的相同含义。
需要注意的是,这里所使用的术语仅是为了描述具体实施方式,而非意图限制根据本公开的示例性实施方式。如在这里所使用的,除非上下文另外明确指出,否则单数形式也意图包括复数形式,此外,还应当理解的是,当在本说明书中使用术语“包含”和/或“包括”时,其指明存在特征、步骤、操作、器件、组件和/或它们的组合。
在不冲突的情况下,本公开中的实施例及实施例中的特征可以相互组合。
基于目前的列车在进行网络通信时,一般是通过在列车上设置无线路由器,外部设备通过无线路由器与列车网络系统进行通信,上述外部设备连接方式为通过无线路由器直接连接至列车网络系统,存在比较大的安全隐患。
有鉴于此,本申请的技术构思是单独增加安全网关系统,作为外部设备与列车网络系统进行数据交互的中转站,即外部设备在与列车网络系统建立通信之前先通过安全网关系统,经过安全网关系统进行数据处理后才能建立与列车网络系统的通信,同样的道理,列车网络系统若发送数据至外部设备,同样需要经过安全网关系统进行数据处理后才能建立与外部设备的数据交互,通过该种中转及隔离作用的安全网关系统能够有效的避免列车网络系统信息的泄露。
具体的,本实施例公开了一种列车信息安全网关系统,参见附图1所示,包括数据服务器及三个防火墙,数据服务器被配置为通过防火墙与虚拟子网通信,其中,所述防火墙与虚拟子网一一对应连接;
虚拟子网分为私有域及公共域,所述公共域被配置为轨旁无线数据的传输及故障检修设备的接入,所述私有域被配置为列车车辆网络的接入。
再次参见附图1所示,本公开技术方案将网关的不同的防火墙的网口配置成不同的虚拟子网VLAN,在一实施例子中,VLAN1和VLAN2都可视为公共域,其中,VLAN1用于轨旁无线数据的传输,VLAN2用于PTU电脑的有线连接。VLAN3可视为私有域,用于车辆网络的连接。
另外,VLAN可用于数据隔离,对于车辆需要发送到外部的数据,均是从车辆子系统发送到数据服务器中进行保存。外部设备通过连接VLAN,从数据服务器中获取数据,每个网口连接至设备防火墙,设备通过防火墙与服务器进行信息交互。
在上述实施例子中,不同的虚拟子网VLAN的数量可以根据需要进行扩展,其所接入的数据也可以根据实际的要求接入对应的数据,上述数据需要通过防火墙的安全认证,提前存入在防火墙的白名单中。
在上述实施例子中,安全网关中设置数据服务器,作为各个子网的中心节点。不同VLAN之间数据交换时,相当于所有连接都是和数据服务器进行,数据都需要解封至应用层数据,经过数据服务器的保存,之后再封装转发至目的VLAN。
在该实施例子中,安全网关中的数据服务器,可以作为数据隔离区(DMZ)。无论数据是已何种协议(TCP,TRDP或者无线)发送至安全网关,都需要解封到数据格式再封装,解封到应用层数据,避免网络攻击。
另外,数据服务器在进行数据转换时,需要根据与数据服务器连接的目的网络的协议进行转换。
例如,处于VLAN1的轨旁设备与处于VLAN3的列车车辆网络进行数据交换时,轨旁设备将数据访问请求发送至与该网络连接的防火墙,该防火墙对该轨旁设备的访问请求进行判断,若符合对应的访问规则,则允许接入数据服务器,在数据服务器中,再次对经过防火墙的轨旁设备的访问请求进行解封至应用层数据,经过数据服务器的保存(由数据服务器根据请求信息,再次封装数据并发送到目的设备),之后再封装转发至目的VLAN3的列车车辆网络,通讯成功后,获取相应的数据。
在该实施例子中,数据库服务器和每个VLAN之间,都配置防火墙。只有在满足防火墙规则的情况下,数据才允许通过,当未授权设备企图入侵时,防火墙会发出报警,通过列车网络发送警惕给司机。
在该实施例子中,安全网关可以实现PTU电脑的认证(通过防火墙对设备进行认证),只有认证的笔记本电脑才能通过安全网关,连接至列车网络。
在该实施例子中,安全网关中的防火墙,可以设置各种访问规则,以及监控数据流量,起到入侵检测的作用。
在另一实施例子中,公开了基于上述一种列车信息安全网关系统的数据传输方法,包括:
故障检修设备通过防火墙和数据库服务器进行数据交换并对故障检修设备进行认证,认证通过后数据库服务器和列车网络进行数据交换,以隔绝故障检修设备和车辆网络的直接通讯,保护了车辆网络的信息安全;
轨旁无线设备通过防火墙和数据库服务器进行数据交换,数据库服务器和列车网络进行数据交换,以隔绝轨旁无线设备和车辆网络的直接通讯。
在一实施例中,故障检修设备可以为PTU电脑。
数据库服务器作为传输中点,分别与PTU、列车网络和轨旁设备进行通讯,具体通讯内容依据项目有所不同。在一实施例子中,具体传输的内容包括:状态数据、故障信息、远程软件更新等。
本公开技术方案中采用了多个防火墙和数据库服务器的形式构造了数据隔离区,对于任何网络攻击,都需要攻破至少两道防火墙。并且数据库服务器的设定,更增加了网络攻击进列车网络的难度。
本领域内的技术人员应明白,本发明的实施例可提供为方法、系统、或计算机程序产品。因此,本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本领域技术人员应该明白,上述本公开的各模块或各步骤可以用通用的计算机装置来实现,可选地,它们可以用计算装置可执行的程序代码来实现,从而,可以将它们存储在存储装置中由计算装置来执行,或者将它们分别制作成各个集成电路模块,或者将它们中的多个模块或步骤制作成单个集成电路模块来实现。本公开不限制于任何特定的硬件和软件的结合。
以上所述仅为本公开的优选实施例而已,并不用于限制本公开,对于本领域的技术人员来说,本公开可以有各种更改和变化。凡在本公开的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本公开的保护范围之内。
上述虽然结合附图对本公开的具体实施方式进行了描述,但并非对本公开保护范围的限制,所属领域技术人员应该明白,在本公开的技术方案的基础上,本领域技术人员不需要付出创造性劳动即可做出的各种修改或变形仍在本公开的保护范围以内。

Claims (7)

1.一种列车信息安全网关系统,其特征是,包括:
数据服务器及防火墙;
所述数据服务器被配置为通过防火墙与虚拟子网通信,其中,所述防火墙与虚拟子网一一对应连接;
所述虚拟子网分为私有域及公共域,所述公共域被配置为轨旁无线数据的传输及故障检修设备的接入,所述私有域被配置为列车车辆网络的接入;
所述防火墙分别设置有与其所接入的设备的相对应的访问规则,允许认证过的设备接入;
不同虚拟子网之间数据交换时,数据解封至应用层数据,经过数据服务器的保存,之后再封装转发至目的虚拟子网。
2.如权利要求1所述的一种列车信息安全网关系统,其特征是,所述虚拟子网为通过配置与防火墙相连的网络而成的。
3.如权利要求1所述的一种列车信息安全网关系统,其特征是,所述虚拟子网至少为三个,所述虚拟子网通过有线或无线的方式连接待接入的设备。
4.如权利要求1所述的一种列车信息安全网关系统,其特征是,所述数据库服务器作为数据隔离区,对所接收的数据解封到数据格式再封装。
5.如权利要求1所述的一种列车信息安全网关系统,其特征是,所述故障检修设备为PTU电脑;
当未授权设备企图入侵时,防火墙会发出报警,通过列车网络发送警惕。
6.一种列车信息安全网关系统的数据传输方法,其特征是,包括:
处于虚拟子网中的故障检修设备通过防火墙和数据库服务器进行数据交换并对故障检修设备进行认证,认证通过后数据库服务器和列车网络进行数据交换,以隔绝故障检修设备和车辆网络的直接通讯;
处于另一虚拟子网轨旁无线设备通过防火墙和数据库服务器进行数据交换,数据库服务器和列车网络进行数据交换,以隔绝轨旁无线设备和车辆网络的直接通讯;
所述虚拟子网之间数据交换时,数据解封至应用层数据,经过数据服务器的保存,之后再封装转发至目的虚拟子网。
7.一种机车,其特征是,所述机车上安全有上述权利要求1-5任一所述的列车信息安全网关系统。
CN202011078486.2A 2020-10-10 2020-10-10 一种列车信息安全网关系统、数据传输方法及机车 Active CN112218269B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202011078486.2A CN112218269B (zh) 2020-10-10 2020-10-10 一种列车信息安全网关系统、数据传输方法及机车

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202011078486.2A CN112218269B (zh) 2020-10-10 2020-10-10 一种列车信息安全网关系统、数据传输方法及机车

Publications (2)

Publication Number Publication Date
CN112218269A CN112218269A (zh) 2021-01-12
CN112218269B true CN112218269B (zh) 2022-12-30

Family

ID=74053084

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202011078486.2A Active CN112218269B (zh) 2020-10-10 2020-10-10 一种列车信息安全网关系统、数据传输方法及机车

Country Status (1)

Country Link
CN (1) CN112218269B (zh)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114301665A (zh) * 2021-12-27 2022-04-08 山石网科通信技术股份有限公司 数据处理方法及装置

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103746997A (zh) * 2014-01-10 2014-04-23 浪潮电子信息产业股份有限公司 一种云计算中心网络安全解决方案
CN103795736A (zh) * 2014-03-10 2014-05-14 成都达信通通讯设备有限公司 针对移动终端不同联网通道的防火墙联网系统
CN104363221A (zh) * 2014-11-10 2015-02-18 青岛微智慧信息有限公司 一种网络安全隔离文件传输控制方法
CN110708338A (zh) * 2019-11-05 2020-01-17 江苏税软软件科技有限公司 一种基于三层网络架构的内外网数据交互系统及其方法
CN111385326A (zh) * 2018-12-28 2020-07-07 比亚迪股份有限公司 轨道交通通信系统

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
FR2960368B1 (fr) * 2010-05-21 2013-03-15 Thales Sa Systeme securise d'interconnexion entre deux reseaux publics

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103746997A (zh) * 2014-01-10 2014-04-23 浪潮电子信息产业股份有限公司 一种云计算中心网络安全解决方案
CN103795736A (zh) * 2014-03-10 2014-05-14 成都达信通通讯设备有限公司 针对移动终端不同联网通道的防火墙联网系统
CN104363221A (zh) * 2014-11-10 2015-02-18 青岛微智慧信息有限公司 一种网络安全隔离文件传输控制方法
CN111385326A (zh) * 2018-12-28 2020-07-07 比亚迪股份有限公司 轨道交通通信系统
CN110708338A (zh) * 2019-11-05 2020-01-17 江苏税软软件科技有限公司 一种基于三层网络架构的内外网数据交互系统及其方法

Also Published As

Publication number Publication date
CN112218269A (zh) 2021-01-12

Similar Documents

Publication Publication Date Title
US11134064B2 (en) Network guard unit for industrial embedded system and guard method
CN100594476C (zh) 用于实现基于端口的网络访问控制的方法和装置
CN110337799A (zh) 具有车辆内部的数据网络的机动车以及运行机动车的方法
CN107251511B (zh) 一种车辆通信的方法和系统
CN102571738B (zh) 基于虚拟局域网交换的入侵防御方法与系统
KR20150079236A (ko) 가상 사설망 게이트웨이 및 그의 보안 통신 방법
CN102209360A (zh) 通信中继装置、通信中继方法
CN102546592A (zh) 智能电气装置和包括所述装置的网络系统
CN101072157A (zh) 虚拟专用网负载备份系统及其建立方法与数据转发方法
US11606334B2 (en) Communication security apparatus, control method, and storage medium storing a program
US20170134342A1 (en) Data Network Of A Device, In Particular A Vehicle
CN112218269B (zh) 一种列车信息安全网关系统、数据传输方法及机车
CN109495448A (zh) 基于核电应急控制的信息安全系统
US20040255166A1 (en) Network access system
CN102571814A (zh) 一种ip监控系统中穿越隔离设备的方法及代理设备
JP3668731B2 (ja) 仮想プライベートネットワーク(vpn)システム及び中継ノード
CN103036761A (zh) 一种隧道服务器和客户端装置
EP1645098B1 (de) Vorrichtung und koppelgerät, so genannter secure-switch, zur sicherung eines datenzugriffes
CN113596192B (zh) 一种基于网闸组网的通信方法、装置、设备及介质
CN115580432A (zh) 一种工业控制网络与信息化网络安全连接方法
Cisco Interfaces
JP2023531034A (ja) サービス伝送方法、装置、ネットワーク機器及び記憶媒体
CN112039854A (zh) 一种数据传输方法、装置和存储介质
KR20210085090A (ko) 방화벽 기반의 선박 접근 제어 시스템
JP2015012594A (ja) ネットワークシステム、通信制御方法、通信制御装置、およびプログラム

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant