CN113885474A - 控制网络及列车 - Google Patents
控制网络及列车 Download PDFInfo
- Publication number
- CN113885474A CN113885474A CN202111162196.0A CN202111162196A CN113885474A CN 113885474 A CN113885474 A CN 113885474A CN 202111162196 A CN202111162196 A CN 202111162196A CN 113885474 A CN113885474 A CN 113885474A
- Authority
- CN
- China
- Prior art keywords
- data processing
- processing device
- routing information
- data
- information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000012545 processing Methods 0.000 claims abstract description 143
- 230000005540 biological transmission Effects 0.000 claims description 45
- 230000006870 function Effects 0.000 claims description 27
- 238000000034 method Methods 0.000 claims description 24
- 230000008569 process Effects 0.000 claims description 15
- 238000012550 audit Methods 0.000 claims description 12
- 238000004891 communication Methods 0.000 claims description 10
- 230000001629 suppression Effects 0.000 claims description 8
- 230000003068 static effect Effects 0.000 claims description 7
- 238000004458 analytical method Methods 0.000 claims description 4
- 238000000605 extraction Methods 0.000 claims description 3
- 230000002159 abnormal effect Effects 0.000 description 8
- 230000004048 modification Effects 0.000 description 8
- 238000012986 modification Methods 0.000 description 8
- 238000007726 management method Methods 0.000 description 5
- 238000010586 diagram Methods 0.000 description 4
- 230000008878 coupling Effects 0.000 description 3
- 238000010168 coupling process Methods 0.000 description 3
- 238000005859 coupling reaction Methods 0.000 description 3
- 230000003287 optical effect Effects 0.000 description 3
- 230000005856 abnormality Effects 0.000 description 2
- 238000001514 detection method Methods 0.000 description 2
- 230000002265 prevention Effects 0.000 description 2
- 230000006399 behavior Effects 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 238000001914 filtration Methods 0.000 description 1
- 238000010338 mechanical breakdown Methods 0.000 description 1
- 230000004044 response Effects 0.000 description 1
- 238000000926 separation method Methods 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B23/00—Testing or monitoring of control systems or parts thereof
- G05B23/02—Electric testing or monitoring
- G05B23/0205—Electric testing or monitoring by means of a monitoring system capable of detecting and responding to faults
- G05B23/0218—Electric testing or monitoring by means of a monitoring system capable of detecting and responding to faults characterised by the fault detection method dealing with either existing or incipient faults
- G05B23/0221—Preprocessing measurements, e.g. data collection rate adjustment; Standardization of measurements; Time series or signal analysis, e.g. frequency analysis or wavelets; Trustworthiness of measurements; Indexes therefor; Measurements using easily measured parameters to estimate parameters difficult to measure; Virtual sensor creation; De-noising; Sensor fusion; Unconventional preprocessing inherently present in specific fault detection methods like PCA-based methods
Landscapes
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Engineering & Computer Science (AREA)
- Automation & Control Theory (AREA)
- Small-Scale Networks (AREA)
Abstract
本申请提供的一种控制网络及列车,所述数据处理装置包括:采用数据处理装置来构建列车的控制网络,通过所述头车上设有两个所述数据处理装置,每个其他车上设有一个所述数据处理装置,所述头车的两个所述数据处理装置中一个所述数据处理装置为主数据处理装置,除主数据处理装置之外的其他所述数据处理装置为从数据处理装置,所述头车的冗余设备与对应的从数据处理装置连接,每个其他车的冗余设备与对应的从数据处理装置连接,每个从数据处理装置与所述主数据处理装置连接,实现控制网络的分布式管理,能够提高了安全防护部署的灵活性。
Description
技术领域
本申请涉及轨道交通通信技术领域,特别地涉及一种控制网络及列车。
背景技术
随着列车网络控制系统以太网化,以及与外部网络系统越来越多的互联互通,现有的“内网模式+管理制度”不足以防御恶意攻击行为,列车网络控制系统信息安全风险也日益凸显。一旦列车网络控制系统遭到入侵攻击,轻者可造成列车无法启动,出现机破事故,重者可能引发列车行车安全事故。因此,针对以太网控车的列车网络控制系统进行信息安全防护具有十分重要的意义。
发明内容
针对上述现有技术的的一个或多个问题,本申请实施例提供一种控制网络及列车。
本申请提供了一种控制网络,应用于列车,所述列车包括:头车和其他车,所述控制网络包括多个数据处理装置,所述头车上设有两个所述数据处理装置,每个其他车上设有一个所述数据处理装置,所述头车的两个所述数据处理装置中一个所述数据处理装置为主数据处理装置,除主数据处理装置之外的其他所述数据处理装置为从数据处理装置,所述头车的冗余设备与对应的从数据处理装置连接,每个其他车的冗余设备与对应的从数据处理装置连接,每个从数据处理装置与所述主数据处理装置连接,其中,数据处理装置,包括:控制模块和数据传输模块,控制模块用于获取配置信息,所述配置信息包括第一路由信息;数据传输模块与所述控制模块通信连接,所述数据传输模块从所述控制模块获取所述第一路由信息,并在接收到报文的情况下,基于所述第一路由信息对所述报文进行处理。
在一些实施例中,所述主数据处理装置用于接收配置信息,所述配置信息包括各个从数据处理装置的第一路由信息,并将各个从数据处理装置对应的第一路由信息发送给各个从数据处理装置;
各个从数据处理装置在接收到报文的情况下,各个从数据处理装置基于对应的第一路由信息对报文进行处理。
在一些实施例中,各个从数据处理装置还用于将报文进行镜像处理,得到镜像数据,并将所述镜像数据发送给所述主数据处理装置;
所述主数据处理装置还用于基于所述镜像数据进行安全审计。
在一些实施例中,所述数据传输模块与所述控制模块采用OpenFlow协议进行通信,或所述数据传输模块与所述控制模块基于高速串行计算机扩展总线进行通信。
在一些实施例中,所述数据传输模块包括:
接收单元,用于接收报文;
解析单元,用于对所述报文进行解析,以获得所述报文的第二路由信息;
对比单元,用于比较所述第一路由信息和所述第二路由信息,得到比较结果;
第一处理单元,用于在所述比较结果表征所述第一路由信息和所述第二路由信息相匹配的情况下,对所述报文进行传输。
第二处理单元,用于在所述比较结果表征所述第一路由信息和所述第二路由信息不匹配的情况下,丢弃所述报文。
在一些实施例中,所述数据传输模块还包括:
发送单元,用于在所述将所述报文进行镜像处理,得到镜像数据,并将所述镜像数据发送给所述控制模块;
所述控制模块还用于基于所述镜像数据进行安全审计。
在一些实施例中,数据传输模块还包括:
限流处理单元,用于对所述数据传输模块的端口进行限流处理;
广播风暴抑制单元,用于对所述数据传输模块的端口开启广播风暴抑制功能。
在一些实施例中,所述配置信息还包括:特征匹配库,所述特征匹配库包括攻击特征与防护规则的对应关系;
所述控制模块还用于对所述镜像数据进行特征提取得到特征信息,并确定所述特征信息是否在所述特征匹配库中,在确定所述特征信息在所述特征匹配库中的情况下,执行所述特征信息对应的防护规则。
在一些实施例中,所述配置信息还包括:权限信息,不同的权限信息对应不同的配置功能,所述第一路由信息包括:源IP、源MAC、目的IP、目的MAC、组播地址,所述第一路由信息存储在静态配置表中。
本申请实施例提供一种列车,包括上述任一项所述的控制网络。
本申请提供的一种控制网络及列车,采用数据处理装置来构建列车的控制网络,通过所述头车上设有两个所述数据处理装置,每个其他车上设有一个所述数据处理装置,所述头车的两个所述数据处理装置中一个所述数据处理装置为主数据处理装置,除主数据处理装置之外的其他所述数据处理装置为从数据处理装置,所述头车的冗余设备与对应的从数据处理装置连接,每个其他车的冗余设备与对应的从数据处理装置连接,每个从数据处理装置与所述主数据处理装置连接,实现控制网络的分布式管理,能够提高了安全防护部署的灵活性。
附图说明
在下文中将基于实施例并参考附图来对本申请进行更详细的描述。
图1为本申请实施例提供的一种控制网络的结构示意图;
图2为本申请实施例提供的一种数据处理装置的结构示意图。
在附图中,相同的部件使用相同的附图标记,附图并未按照实际的比例绘制。
具体实施方式
为了使本申请的目的、技术方案和优点更加清楚,下面将结合附图对本申请作进一步地详细描述,所描述的实施例不应视为对本申请的限制,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其它实施例,都属于本申请保护的范围。
在以下的描述中,涉及到“一些实施例”,其描述了所有可能实施例的子集,但是可以理解,“一些实施例”可以是所有可能实施例的相同子集或不同子集,并且可以在不冲突的情况下相互结合。
如果申请文件中出现“第一\第二\第三”的类似描述则增加以下的说明,在以下的描述中,所涉及的术语“第一\第二\第三”仅仅是是区别类似的对象,不代表针对对象的特定排序,可以理解地,“第一\第二\第三”在允许的情况下可以互换特定的顺序或先后次序,以使这里描述的本申请实施例能够以除了在这里图示或描述的以外的顺序实施。
除非另有定义,本文所使用的所有的技术和科学术语与属于本申请的技术领域的技术人员通常理解的含义相同。本文中所使用的术语只是为了描述本申请实施例的目的,不是旨在限制本申请。
基于相关技术中存在的问题,本申请实施例再提供一种控制网路,应用于列车,所述列车包括:头车和其他车,所述控制网络包括:多个数据处理装置,其中,所述头车上设有两个数据处理装置,其他车上设有一个数据处理装置,所述头车的两个数据处理装置中一个为主数据处理装置,除主数据处理装置之外的其他数据处理装置为从数据处理装置,所述头车的冗余设备与对应的从数据处理装置连接,每个其他车的冗余设备与对应的从数据处理装置连接,每个从数据处理装置与所述主数据处理装置连接,其中,数据处理装置,包括:控制模块和数据传输模块,控制模块用于获取配置信息,所述配置信息包括第一路由信息;数据传输模块与所述控制模块通信连接,所述数据传输模块从所述控制模块获取所述第一路由信息,并在接收到报文的情况下,基于所述第一路由信息对所述报文进行处理。
本申请实施例中,列车可以是高铁、地铁等,所述数据处理装置可以为交换机、路由器等。
示例性地,图1为本申请实施例提供的一种控制网络的结构示意图,如图1所示,数据处理装置为交换机,以列车有4节车厢为列,头车布置2个交换机,头车(1车)布置的两个交换机中的一个为主交换机,另一个为从交换机,2至4车部署1个交换机,2至4车的交换机都为从交换机。同一车厢的设备的冗余通信端口同时连接至对应的从交换机上,各个从交换机与主交换机连接。
本申请实施例中,所有安全规则在主交换机中进行配置,然后由主交换机将配置的安全规则发送给从交换机。主交换机在接收到从交换机的“配置成功”应答后,不再发送安全规则,直至主交换机的安全规则被修改。
本申请实施例提供一种数据处理装置,包括:控制模块和数据传输模块,控制模块用于获取配置信息,所述配置信息包括第一路由信息;数据传输模块与所述控制模块采用OpenFlow协议进行通信,或与所述控制模块基于高速串行计算机扩展总线进行通信,所述数据传输模块从所述控制模块获取所述第一路由信息,并在接收到报文的情况下,基于所述第一路由信息对所述报文进行处理。
本申请实施例中,所述数据处理装置可以是交换机、路由器等。
本申请实施例中,通过采用OpenFlow协议进行通信可以实现控制模块和数据传输模块的管转分离,控制模块数据传输模块可以采用软件的方式来定义网络,使得控制模块和数据传输模块基于OpenFlow协议进行通信。
在一些实施例中,图2为本申请实施例提供的一种数据处理装置的结构示意图,如图2所示,控制模块201可以包括嵌入式微处理器,数据传输模块202可以包括交换芯片,嵌入式微处理器负责控制模块201的功能,交换芯片负责数据传输模块202的功能,嵌入式微处理器与交换芯片采用工业级高速串行计算机扩展总线PCIe总线进行交互。
本申请实施例中,所述数据传输模块主要负责报文的转发、过滤等。所述控制模块主要负责数据流的控制,还负责配置信息的获取。
本申请实施例中,所述配置信息可以包括:第一路由信息、安全审计信息、特征匹配库、权限信息等。
本申请实施例中,第一路由信息可以包括:源IP、源MAC、目的IP、目的MAC、组播信息等。控制模块可以接收用户的定义,采用离线定义的方式来设定第一路由信息。由于列车网络系统拓扑、设备相对固定,并采用组播通信的方式,因此,在系统中设备发生更换的情况下,控制模块可以接收用户的操作,更改对应的源IP、源MAC、目的IP、目的MAC。
本申请实施例中,在确定了第一路由信息后,控制模块可以通过OpenFlow协议或PCIe总线与数据传输模块进行通信,以将第一路由信息发送给数据传输模块。
本申请实施例中,在数据传输模块获取到第一路由信息后,将第一路由信息进行读取,在读取完毕后,以加密的方式将其保存在数据传输模块中。所述报文可以是以基于以太网发送的报文,也可以是列车的冗余设备发送的报文。在数据传输模块接收到报文后,对所述报文进行解析,以获取报文中的第二路由信息。本申请实施例中,对报文进行处理,可以是将报文进行转发,也可以是将报文进行丢弃,还可以是将报文进行镜像处理。数据处理模块在确定第二路由信息后,将第二路由信息与第一路由信息进行比较,判断第一路由信息和第二路由信息是否完全相同。在第一路由信息和第二路由信息完全相同的情况下,则数据传输模块对报文进行转发,当第一路由信息与所述第二路由信息不完全相同的情况下,则数据传输模块丢弃所述报文。
本申请提供的一种数据处理装置,通过控制模块与数据传输模块采用OpenFlow协议进行通信,或控制模块与所述数据传输模块基于高速串行计算机扩展总线进行通信,控制模块用于获取配置信息,数据模块用于对报文进行处理,能够实现管理和报文传输的分离,提高了数据处理装置的安全性和可靠性,通过所述头车上设有两个所述数据处理装置,每个其他车上设有一个所述数据处理装置,所述头车的两个所述数据处理装置中一个所述数据处理装置为主数据处理装置,除主数据处理装置之外的其他所述数据处理装置为从数据处理装置,所述头车的冗余设备与对应的从数据处理装置连接,每个其他车的冗余设备与对应的从数据处理装置连接,每个从数据处理装置与所述主数据处理装置连接,实现控制网络的分布式管理,能够提高了安全防护部署的灵活性。
在一些实施例中,所述数据传输模块包括:接收单元、解析单元、对比单元、第一处理单元和第二处理单元,其中,接收单元用于接收报文。解析单元用于对所述报文进行解析,以获得所述报文的第二路由信息;对比单元用于比较所述第一路由信息和所述第二路由信息,得到比较结果;第一处理单元用于在所述比较结果表征所述第一路由信息和所述第二路由信息相匹配的情况下对所述报文进行传输。第二处理单元用于在所述比较结果表征所述第一路由信息和所述第二路由信息不匹配的情况下,丢弃所述报文。
本申请实施例中,所述报文可以是经过数据传输模块所有的报文,也可以是异常报文。示例性地,所述报文包括列车速度异常、牵引/制动级位异常、控制指令无效等与列车控制相关的数据。
在一些实施例中,所述数据传输模块还包括:发送单元,用于在所述将所述报文进行镜像处理,得到镜像数据,并将所述镜像数据发送给所述控制模块;所述控制模块还用于基于所述镜像数据进行安全审计。
本申请实施例中,通过镜像的方式将数据发送给控制模块,控制模块可以将数据进行存储,可以通过控制模块的端口将数据转发至存储设备进行存储。
本申请实施例中,通过对镜像数据进行安全审计,可以确定数据是否异常,在异常的情况下,可以发出报警信号,提醒用户。
在一些实施例中,所述数据传输模块还包括:限流处理单元,用于对所述数据传输模块的端口进行限流处理;广播风暴抑制单元,用于对所述数据传输模块的端口开启广播风暴抑制功能。
本申请实施例中,数据传输模块所有端口采用限流处理,并启用广播风暴抑制功能,能够有效应对拒绝服务攻击。
在一些实施例中,所述配置信息还包括:特征匹配库,所述特征匹配库包括攻击特征与防护规则的对应关系;
所述控制模块还用于对所述镜像数据进行特征提取得到特征信息,并确定所述特征信息是否在所述特征匹配库中,在确定所述特征信息在所述特征匹配库中的情况下,执行所述特征信息对应的防护规则。
控制模块采用基于特征的检测方法,预先建立针对攻击特征的特征匹配库,并对由数据平面镜像至控制平面的数据进行实时分析,能够实现对已知攻击的准确识别。
在一些实施例中,所述配置信息还包括:权限信息,不同的权限信息对应不同的配置功能。
示例性地,权限信息包括:3级访问权限功能,3级访问权限可以包括:超级管理员、管理员、用户。超级管理员具备登录用户账户分配、权限分配、交换机配置修改等功能。管理员具备账户密码修改、交换机配置修改等功能,用户只具备交换机配置修改功能。所有针对交换机的访问用户及操作,均被加密记录,掉电保存、不可修改。
在一些实施例中,所述第一路由信息包括:源IP、源MAC、目的IP、目的MAC、组播地址,所述第一路由信息存储在静态配置表中。
本申请实施例中,采用基于源IP、源MAC、目的IP、目的MAC、组播地址等内容的匹配方式,能够有效应对中间人攻击。
本申请实施例中,第一路由信息存储在静态配置表中,可以简化配置流程。当需要对第一路由信息进行更改时,可以直接在静态配置表中进行更改。
在一些实施例中,所述主数据处理装置用于接收配置信息,所述配置信息包括各个从数据处理装置的第一路由信息,并将各个从数据处理装置对应的第一路由信息发送给各个从数据处理装置;
各个从数据处理装置在接收到报文的情况下,各个从数据处理装置基于对应的第一路由信息对报文进行处理。
在一些实施例中,各个从数据处理装置还用于将报文进行镜像处理,得到镜像数据,并将所述镜像数据发送给所述主数据处理装置;
所述主数据处理装置还用于基于所述镜像数据进行安全审计。
安全审计功能,在实际应用中,如果定义了与列车控制相关数据的安全审计功能,头车的主交换机负责收集本交换机连接的设备数据和另一交换机收集的设备数据,并统一处理。如果发现两个交换机的相关数据信号不一致,或者相关数据超过预先定义的允许范围,则判定为数据异常,并记录。2~4车的交换机通过2路冗余的链路收集设备数据,如果两路数据中需要判定的数据信号不一致,或者数据超过预先定义的允许范围,则判定为数据异常,并记录。对于入侵防范功能和访问控制功能,由各车的交换机自行负责执行。
本申请实施例提供的控制网络,通过主交换机来配置安全规则,并将安全规则发送给各个交换机,安全防护由各个车厢的交换机进行分布式管控,提高了安全防护部署的灵活性,并降低了对安全设备性能的要求。
基于前述的各个实施例,本申请实施例再提供一种数据处理装置,本申请实施例中,数据处理装置以安全交换机为例进行说明,
安全交换机分成两个平面:数据平面(同上述实施例中的数据传输模块)和控制平面(同上述实施例中的控制模块)。数据平面负责数据的转发,控制平面负责数据流的控制。数据平面和控制平面的实现方式有两种:1)采用软件定义网络,数据平面和控制平面完全分开,由两套独立的设备分别负责,并两个平面采用OpenFlow协议进行交互;2)采用嵌入式微处理器和交换芯片的方式,嵌入式微处理器负责控制平面的功能,交换芯片负责数据平面的功能,两个平面采用工业级PCIe总线进行交互。
数据平面的安全策略主要是实现对报文的过滤。由于列车网络系统拓扑、设备相对固定,并且采用组播通信的方式。因此在数据平面定义的策略需包括:源IP、源MAC、目的IP、目的MAC、组播地址等五项内容的匹配。如果能完全匹配,则将报文转发至目的设备;如果不能完全匹配,则将报文直接丢弃。控制平面负责对源IP、源MAC、目的IP、目的MAC、组播地址等五项内容进行定义,采用离线定义的方式。若系统发生设备更换,则需要手动更改对应的IP和MAC地址。为了简化配置流程,可将源IP、源MAC、目的IP、目的MAC、组播地址等形成静态配置表,由交换机读取。交换机读取完毕后,以加密的方式将其保存在本地,并删除原静态配置表,防止该配置表信息泄露。
交换机具备安全审计功能。安全审计所需的数据由数据平面通过镜像的方式将其发送至控制平面。数据可以直接存储在交换机本地,也可以通过交换机某一端口,由数据平面转发至其它设备进行存储。安全审计具备两种方式,一种是全流量统计,即:统计流经交换机所有的报文;另一种是异常流量统计,即:只统计数据平面上不能与定义的规则所匹配的报文。所述规则由控制平面定义,其内容须包括:源IP、源MAC、目的IP、目的MAC、组播地址,并可根据实际需要,包括列车速度异常、牵引/制动级位异常、控制指令无效等与列车控制相关的数据(该内容定义成可配置模式,根据实际情况设定)。
交换机具备入侵防范功能。在数据平面,采用基于源IP、源MAC、目的IP、目的MAC、组播地址等内容的匹配方式,能够有效应对中间人攻击;数据平面所有端口采用限流处理,并启用广播风暴抑制功能,能够有效应对拒绝服务攻击。交换机控制平面采用基于特征的检测方法,预先建立针对攻击特征的特征匹配库,并对由数据平面镜像至控制平面的数据进行实时分析,能够实现对已知攻击的准确识别。
交换机具备访问控制功能。交换机采用3级访问权限功能:超级管理员、管理员、用户。超级管理员具备登录用户账户分配、权限分配、交换机配置修改等功能。管理员具备账户密码修改、交换机配置修改等功能,用户只具备交换机配置修改功能。所有针对交换机的访问用户及操作,均被加密记录,掉电保存、不可修改。
需要说明的是,本申请实施例中,如果以软件功能模块的形式实现上述的数据处理装置,并作为独立的产品销售或使用时,也可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请实施例的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机、服务器、或者网络设备等)执行本申请各个实施例所述方法的全部或部分。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,ReadOnly Memory)、磁碟或者光盘等各种可以存储程序代码的介质。这样,本申请实施例不限制于任何特定的硬件和软件结合。
应理解,说明书通篇中提到的“一个实施例”或“一实施例”意味着与实施例有关的特定特征、结构或特性包括在本申请的至少一个实施例中。因此,在整个说明书各处出现的“在一个实施例中”或“在一实施例中”未必一定指相同的实施例。此外,这些特定的特征、结构或特性可以任意适合的方式结合在一个或多个实施例中。应理解,在本申请的各种实施例中,上述各过程的序号的大小并不意味着执行顺序的先后,各过程的执行顺序应以其功能和内在逻辑确定,而不应对本申请实施例的实施过程构成任何限定。上述本申请实施例序号仅仅为了描述,不代表实施例的优劣。
需要说明的是,在本文中,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者装置不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者装置所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括该要素的过程、方法、物品或者装置中还存在另外的相同要素。
在本申请所提供的几个实施例中,应该理解到,所揭露的设备和方法,可以通过其它的方式实现。以上所描述的设备实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,如:多个单元或组件可以结合,或可以集成到另一个系统,或一些特征可以忽略,或不执行。另外,所显示或讨论的各组成部分相互之间的耦合、或直接耦合、或通信连接可以是通过一些接口,设备或单元的间接耦合或通信连接,可以是电性的、机械的或其它形式的。
上述作为分离部件说明的单元可以是、或也可以不是物理上分开的,作为单元显示的部件可以是、或也可以不是物理单元;既可以位于一个地方,也可以分布到多个网络单元上;可以根据实际的需要选择其中的部分或全部单元来实现本实施例方案的目的。
另外,在本申请各实施例中的各功能单元可以全部集成在一个处理单元中,也可以是各单元分别单独作为一个单元,也可以两个或两个以上单元集成在一个单元中;上述集成的单元既可以采用硬件的形式实现,也可以采用硬件加软件功能单元的形式实现。
本领域普通技术人员可以理解:实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成,前述的程序可以存储于计算机可读取存储介质中,该程序在执行时,执行包括上述方法实施例的步骤;而前述的存储介质包括:移动存储设备、只读存储器(ROM,Read Only Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
或者,本申请上述集成的单元如果以软件功能模块的形式实现并作为独立的产品销售或使用时,也可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请实施例的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台控制器执行本申请各个实施例所述方法的全部或部分。而前述的存储介质包括:移动存储设备、ROM、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述,仅为本申请的实施方式,但本申请的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本申请揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本申请的保护范围之内。因此,本申请的保护范围应以所述权利要求的保护范围为准。
Claims (10)
1.一种控制网络,应用于列车,所述列车包括:头车和其他车,其特征在于,所述控制网络包括多个数据处理装置,所述头车上设有两个所述数据处理装置,每个其他车上设有一个所述数据处理装置,所述头车的两个所述数据处理装置中一个所述数据处理装置为主数据处理装置,除主数据处理装置之外的其他所述数据处理装置为从数据处理装置,所述头车的冗余设备与对应的从数据处理装置连接,每个其他车的冗余设备与对应的从数据处理装置连接,每个从数据处理装置与所述主数据处理装置连接,其中,数据处理装置,包括:控制模块和数据传输模块,控制模块用于获取配置信息,所述配置信息包括第一路由信息;数据传输模块与所述控制模块通信连接,所述数据传输模块从所述控制模块获取所述第一路由信息,并在接收到报文的情况下,基于所述第一路由信息对所述报文进行处理。
2.根据权利要求1所述的控制网络,其特征在于,所述主数据处理装置用于接收配置信息,所述配置信息包括各个从数据处理装置的第一路由信息,并将各个从数据处理装置对应的第一路由信息发送给各个从数据处理装置;
各个从数据处理装置在接收到报文的情况下,各个从数据处理装置基于对应的第一路由信息对报文进行处理。
3.根据权利要求2所述的控制网络,其特征在于,各个从数据处理装置还用于将报文进行镜像处理,得到镜像数据,并将所述镜像数据发送给所述主数据处理装置;
所述主数据处理装置还用于基于所述镜像数据进行安全审计。
4.根据权利要求3所述的控制网络,其特征在于,所述数据传输模块与所述控制模块采用OpenFlow协议进行通信,或所述数据传输模块与所述控制模块基于高速串行计算机扩展总线进行通信。
5.根据权利要求4所述数据处理装置,其特征在于,所述数据传输模块包括:
接收单元,用于接收报文;
解析单元,用于对所述报文进行解析,以获得所述报文的第二路由信息;
对比单元,用于比较所述第一路由信息和所述第二路由信息,得到比较结果;
第一处理单元,用于在所述比较结果表征所述第一路由信息和所述第二路由信息相匹配的情况下,对所述报文进行传输。
第二处理单元,用于在所述比较结果表征所述第一路由信息和所述第二路由信息不匹配的情况下,丢弃所述报文。
6.根据权利要求5所述的数据处理装置,其特征在于,所述数据传输模块还包括:
发送单元,用于在所述将所述报文进行镜像处理,得到镜像数据,并将所述镜像数据发送给所述控制模块;
所述控制模块还用于基于所述镜像数据进行安全审计。
7.根据权利要求6所述的数据处理装置,其特征在于,数据传输模块还包括:
限流处理单元,用于对所述数据传输模块的端口进行限流处理;
广播风暴抑制单元,用于对所述数据传输模块的端口开启广播风暴抑制功能。
8.根据权利要求6所述的数据处理装置,其特征在于,所述配置信息还包括:特征匹配库,所述特征匹配库包括攻击特征与防护规则的对应关系;
所述控制模块还用于对所述镜像数据进行特征提取得到特征信息,并确定所述特征信息是否在所述特征匹配库中,在确定所述特征信息在所述特征匹配库中的情况下,执行所述特征信息对应的防护规则。
9.根据权利要求1所述的数据处理装置,所述配置信息还包括:权限信息,不同的权限信息对应不同的配置功能,所述第一路由信息包括:源IP、源MAC、目的IP、目的MAC、组播地址,所述第一路由信息存储在静态配置表中。
10.一种列车,其特征在于,包括权利要求1至9任一项所述的控制网络。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111162196.0A CN113885474A (zh) | 2021-09-30 | 2021-09-30 | 控制网络及列车 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111162196.0A CN113885474A (zh) | 2021-09-30 | 2021-09-30 | 控制网络及列车 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN113885474A true CN113885474A (zh) | 2022-01-04 |
Family
ID=79004984
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202111162196.0A Pending CN113885474A (zh) | 2021-09-30 | 2021-09-30 | 控制网络及列车 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN113885474A (zh) |
Citations (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1388030A (zh) * | 2002-07-01 | 2003-01-01 | 胡秉谊 | 一种列车安全监控系统 |
| CN105791071A (zh) * | 2016-02-23 | 2016-07-20 | 中车青岛四方车辆研究所有限公司 | 一种列车控制、服务共网的宽带通信网络架构及通信方法 |
| CN106131083A (zh) * | 2016-08-30 | 2016-11-16 | 迈普通信技术股份有限公司 | 一种攻击报文检测和防范的方法及交换机 |
| CN106411820A (zh) * | 2015-07-29 | 2017-02-15 | 中国科学院沈阳自动化研究所 | 一种基于sdn架构的工业通信流传输安全控制方法 |
| CN109347783A (zh) * | 2018-08-01 | 2019-02-15 | 株洲凯创技术有限公司 | 数据过滤方法、装置、系统及列车车载防火墙设备 |
| CN209064113U (zh) * | 2018-11-07 | 2019-07-05 | 中国铁路总公司 | 可变编组动车组网络系统 |
| CN111510494A (zh) * | 2020-04-16 | 2020-08-07 | 中车青岛四方车辆研究所有限公司 | 车载网络安全架构及实现方法 |
| CN112019478A (zh) * | 2019-05-29 | 2020-12-01 | 中车株洲电力机车研究所有限公司 | 基于trdp协议列车网络的安全防护方法、装置及系统 |
| CN112202814A (zh) * | 2020-11-04 | 2021-01-08 | 中国电子科技集团公司第三十研究所 | 一种路由交换设备内生安全动态防护功能的处理方法 |
| CN113315744A (zh) * | 2020-07-21 | 2021-08-27 | 阿里巴巴集团控股有限公司 | 可编程交换机、流量统计方法、防御方法和报文处理方法 |
-
2021
- 2021-09-30 CN CN202111162196.0A patent/CN113885474A/zh active Pending
Patent Citations (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1388030A (zh) * | 2002-07-01 | 2003-01-01 | 胡秉谊 | 一种列车安全监控系统 |
| CN106411820A (zh) * | 2015-07-29 | 2017-02-15 | 中国科学院沈阳自动化研究所 | 一种基于sdn架构的工业通信流传输安全控制方法 |
| CN105791071A (zh) * | 2016-02-23 | 2016-07-20 | 中车青岛四方车辆研究所有限公司 | 一种列车控制、服务共网的宽带通信网络架构及通信方法 |
| US20180123703A1 (en) * | 2016-02-23 | 2018-05-03 | Crrc Qingdao Sifang Rolling Stock Research Institute Co., Ltd | Broadband communication network architecture with train control network and train serving network combined, and communication method thereof |
| CN106131083A (zh) * | 2016-08-30 | 2016-11-16 | 迈普通信技术股份有限公司 | 一种攻击报文检测和防范的方法及交换机 |
| CN109347783A (zh) * | 2018-08-01 | 2019-02-15 | 株洲凯创技术有限公司 | 数据过滤方法、装置、系统及列车车载防火墙设备 |
| CN209064113U (zh) * | 2018-11-07 | 2019-07-05 | 中国铁路总公司 | 可变编组动车组网络系统 |
| CN112019478A (zh) * | 2019-05-29 | 2020-12-01 | 中车株洲电力机车研究所有限公司 | 基于trdp协议列车网络的安全防护方法、装置及系统 |
| CN111510494A (zh) * | 2020-04-16 | 2020-08-07 | 中车青岛四方车辆研究所有限公司 | 车载网络安全架构及实现方法 |
| CN113315744A (zh) * | 2020-07-21 | 2021-08-27 | 阿里巴巴集团控股有限公司 | 可编程交换机、流量统计方法、防御方法和报文处理方法 |
| CN112202814A (zh) * | 2020-11-04 | 2021-01-08 | 中国电子科技集团公司第三十研究所 | 一种路由交换设备内生安全动态防护功能的处理方法 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101411156B (zh) | 对网络入侵者的自动阻止 | |
| CN113619652B (zh) | 一种信息安全防护方法及装置 | |
| US7873038B2 (en) | Packet processing | |
| CN103609070B (zh) | 网络流量检测方法、系统、设备及控制器 | |
| EP1774716B1 (en) | Inline intrusion detection using a single physical port | |
| WO2019146976A1 (ko) | 차량 내 네트워크에 보안을 제공하는 시스템 및 방법 | |
| US8054833B2 (en) | Packet mirroring | |
| CN103688489B (zh) | 一种策略处理的方法及网络设备 | |
| CN108063753A (zh) | 一种信息安全监测方法及系统 | |
| EP2748981B1 (en) | Network environment separation | |
| JP6387195B2 (ja) | 通信装置及びシステム及び方法 | |
| CN109479013B (zh) | 计算机网络中的业务的日志记录 | |
| JP2007006054A (ja) | パケット中継装置及びパケット中継システム | |
| GB2353449A (en) | Monitoring a network gateway for cracker attacks | |
| JP2006339933A (ja) | ネットワークアクセス制御方法、およびシステム | |
| CA2458662A1 (en) | Method and system for secure communication | |
| CN110933021B (zh) | 用于在车辆中进行异常识别的方法和设备 | |
| Kwon et al. | Mitigation mechanism against in-vehicle network intrusion by reconfiguring ECU and disabling attack packet | |
| Anwar et al. | Security assessment of in-vehicle communication protocols | |
| US20050138171A1 (en) | Logical network traffic filtering | |
| CN109861961B (zh) | 网络防御装置以及网络防御系统 | |
| KR20240134094A (ko) | 가상 네트워크 기능을 이용한 네트워크 트래픽 감시 방법 및 장치 | |
| Douss et al. | State-of-the-art survey of in-vehicle protocols and automotive Ethernet security and vulnerabilities | |
| US7562389B1 (en) | Method and system for network security | |
| CN113885474A (zh) | 控制网络及列车 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |