一種交通信號機(jī)通信方法與流程

文檔序號：12037904閱讀：397來源：國知局

導(dǎo)航： X技術(shù)> 最新專利>電子通信裝置的制造及其應(yīng)用技術(shù)

本發(fā)明實(shí)施例涉及交通網(wǎng)絡(luò)安全領(lǐng)域，特別涉及一種交通信號機(jī)通信方法。

背景技術(shù)：

交通信號機(jī)主要用于城市道路交通信號的控制和管理，是交通系統(tǒng)的重要組成部分。

交通信號機(jī)的各個(gè)顏色的信號燈的跳變可以通過定時(shí)控制或聯(lián)網(wǎng)控制方式實(shí)現(xiàn)。

目前，國內(nèi)交通信號機(jī)控制網(wǎng)絡(luò)一般租用網(wǎng)絡(luò)運(yùn)營商網(wǎng)絡(luò)，由網(wǎng)絡(luò)運(yùn)營商構(gòu)建虛擬專網(wǎng)。交通信號機(jī)控制系統(tǒng)包括控制設(shè)備和交通信號機(jī)，交通信號機(jī)采集所在位置當(dāng)前時(shí)刻的交通信息，并發(fā)送至控制設(shè)備，控制設(shè)備根據(jù)當(dāng)前時(shí)刻的交通狀態(tài)確定控制策略，通過智能優(yōu)化算法對各個(gè)交通信號機(jī)的信號燈進(jìn)行配置。

然而，現(xiàn)有的交通信號機(jī)控制網(wǎng)絡(luò)的網(wǎng)段與其他網(wǎng)段之間缺乏可靠的技術(shù)隔離手段和有效的區(qū)域隔離，交通信號機(jī)控制系統(tǒng)中的設(shè)備容易受到攻擊，存在安全隱患。

技術(shù)實(shí)現(xiàn)要素：

為了解決現(xiàn)有技術(shù)的問題，本發(fā)明實(shí)施例提供了一種交通信號機(jī)通信方法。該技術(shù)方案如下：

第一方面，提供了一種交通信號機(jī)通信方法，應(yīng)用于交通信號機(jī)控制系統(tǒng)，所述交通信號機(jī)控制系統(tǒng)包括網(wǎng)關(guān)管理系統(tǒng)、上位機(jī)系統(tǒng)以及至少一個(gè)信號機(jī)節(jié)點(diǎn)，所述上位機(jī)系統(tǒng)包括上位機(jī)和第一類安全接入網(wǎng)關(guān)，所述信號機(jī)節(jié)點(diǎn)包括交通信號機(jī)和第二類安全接入網(wǎng)關(guān)，所述上位機(jī)與所述第一類安全接入網(wǎng)關(guān)連接，所述交通信號機(jī)與所述第二類安全接入網(wǎng)關(guān)連接，所述第一類安全接入網(wǎng)關(guān)與所述網(wǎng)關(guān)管理系統(tǒng)連接，所述第二類安全接入網(wǎng)關(guān)通過所述第一類安全接入網(wǎng)關(guān)與所述網(wǎng)關(guān)管理系統(tǒng)連接；

該方法包括：

設(shè)置所述第一類安全接入網(wǎng)關(guān)和所述第二類安全接入網(wǎng)關(guān)的驗(yàn)證信息，所述驗(yàn)證信息包括數(shù)據(jù)保護(hù)密鑰、設(shè)備證書、設(shè)備私鑰；

通過所述網(wǎng)關(guān)管理系統(tǒng)向所述第一類安全接入網(wǎng)關(guān)和所述第二類安全接入網(wǎng)關(guān)發(fā)送設(shè)備訪問列表；

所述第一類安全接入網(wǎng)關(guān)和所述第二類安全接入網(wǎng)關(guān)分別接收所述設(shè)備訪問列表；

所述第一類安全接入網(wǎng)關(guān)與所述第二類安全接入網(wǎng)關(guān)建立加密通信信道；

所述第一類安全接入網(wǎng)關(guān)與所述第二類安全接入網(wǎng)關(guān)通過所述加密通信信道傳輸通過所述設(shè)備私鑰簽名的通信信息，所述通信信息至少包括交通信號機(jī)控制指令。

可選的，所述設(shè)置所述第一類安全接入網(wǎng)關(guān)和所述第二類安全接入網(wǎng)關(guān)的驗(yàn)證信息，所述驗(yàn)證信息包括數(shù)據(jù)保護(hù)密鑰、設(shè)備證書、設(shè)備私鑰，包括：

通過所述網(wǎng)關(guān)管理系統(tǒng)生成根證書、根證書私鑰以及所述數(shù)據(jù)保護(hù)密鑰；

將所述數(shù)據(jù)保護(hù)密鑰安裝至所述第一類安全接入網(wǎng)關(guān)和第二類安全接入網(wǎng)關(guān)；

通過所述網(wǎng)關(guān)管理系統(tǒng)根據(jù)所述根證書私鑰確定所述設(shè)備證書和所述設(shè)備私鑰；

通過所述網(wǎng)關(guān)管理系統(tǒng)利用所述數(shù)據(jù)保密密鑰對所述根證書、所述設(shè)備證書和所述設(shè)備私鑰進(jìn)行加密，并將加密后的所述根證書、所述設(shè)備證書和所述設(shè)備私鑰存儲至移動(dòng)密鑰設(shè)備；

所述第一類安全接入網(wǎng)關(guān)和第二類安全接入網(wǎng)關(guān)分別與所述移動(dòng)密鑰設(shè)備建立物理連接，并從所述移動(dòng)密鑰設(shè)備獲取加密后的所述根證書、所述設(shè)備證書和所述設(shè)備私鑰；

所述第一類安全接入網(wǎng)關(guān)和第二類安全接入網(wǎng)關(guān)根據(jù)所述數(shù)據(jù)保護(hù)密鑰對加密后的所述根證書、所述設(shè)備證書和所述設(shè)備私鑰進(jìn)行解密，得到所述根證書、所述設(shè)備證書和所述設(shè)備私鑰。

可選的，所述通過所述網(wǎng)關(guān)管理系統(tǒng)向所述第一類安全接入網(wǎng)關(guān)和所述第二類安全接入網(wǎng)關(guān)發(fā)送設(shè)備訪問列表，包括：

通過網(wǎng)關(guān)管理系統(tǒng)利用根證書私鑰對設(shè)備訪問列表進(jìn)行簽名，所述設(shè)備訪問列表包括在所述網(wǎng)關(guān)管理系統(tǒng)注冊的安全接入網(wǎng)關(guān)的設(shè)備證書的標(biāo)識和網(wǎng)絡(luò)協(xié)議ip地址；

通過所述網(wǎng)關(guān)管理系統(tǒng)向所述第一類安全接入網(wǎng)關(guān)和第二類安全接入網(wǎng)關(guān)發(fā)送簽名后的所述設(shè)備訪問列表；

所述第一類安全接入網(wǎng)關(guān)和所述第二類安全接入網(wǎng)關(guān)分別接收所述設(shè)備訪問列表，包括：

所述第一類安全接入網(wǎng)關(guān)和所述第二類安全接入網(wǎng)關(guān)分別接收所述設(shè)備訪問列表；

所述第一類安全接入網(wǎng)關(guān)和所述第二類安全接入網(wǎng)關(guān)分別利用根證書驗(yàn)證所述設(shè)備訪問列表的簽名是否正確；

若驗(yàn)證所述設(shè)備訪問列表的簽名正確，則存儲所述設(shè)備訪問列表。

可選的，所述第一類安全接入網(wǎng)關(guān)與所述第二類安全接入網(wǎng)關(guān)建立加密通信信道，包括：

所述第一類安全接入網(wǎng)關(guān)和所述第二類安全接入網(wǎng)關(guān)進(jìn)行身份驗(yàn)證；

若所述第一類安全接入網(wǎng)關(guān)和所述第二類安全接入網(wǎng)關(guān)身份驗(yàn)證成功，則所述第一類安全接入網(wǎng)關(guān)和所述第二類安全接入網(wǎng)關(guān)建立所述加密通信信道。

可選的，所述第一類安全接入網(wǎng)關(guān)和第二類安全接入網(wǎng)關(guān)進(jìn)行身份驗(yàn)證，包括：

接收通信信道連接請求，所述通信信道連接請求包括安全接入網(wǎng)關(guān)的ip地址，所述通信信道連接請求是所述第一類安全接入網(wǎng)關(guān)或所述第二類安全接入網(wǎng)關(guān)發(fā)送的；

檢測所述設(shè)備訪問列表中是否存在所述設(shè)備證書的標(biāo)識和ip地址；

若檢測到所述設(shè)備訪問列表中存在所述設(shè)備證書的標(biāo)識和ip地址，則身份驗(yàn)證成功。

可選的，所述第一類安全接入網(wǎng)關(guān)和所述第二類安全接入網(wǎng)關(guān)建立所述加密通信信道，包括：

所述第一類安全接入網(wǎng)關(guān)和所述第二類安全接入網(wǎng)關(guān)利用ipsec協(xié)議建立所述加密通信信道。

可選的，該方法還包括：

通過所述網(wǎng)關(guān)管理系統(tǒng)獲取所述第一類安全接入網(wǎng)關(guān)和/或所述第二類安全接入網(wǎng)關(guān)的安全態(tài)勢信息，所述安全態(tài)勢信息包括配置信息、運(yùn)行信息和網(wǎng)絡(luò)的流量信息；

通過所述網(wǎng)關(guān)管理系統(tǒng)根據(jù)所述安全態(tài)勢信息評估所述交通信號機(jī)控制系統(tǒng)的網(wǎng)絡(luò)安全。

本發(fā)明實(shí)施例提供的技術(shù)方案帶來的有益效果是：

通過設(shè)置第一類安全接入網(wǎng)關(guān)和第二類安全接入網(wǎng)關(guān)的驗(yàn)證信息，通過網(wǎng)關(guān)管理系統(tǒng)向第一類安全接入網(wǎng)關(guān)和第二類安全接入網(wǎng)關(guān)發(fā)送設(shè)備訪問列表；第一類安全接入網(wǎng)關(guān)和第二類安全接入網(wǎng)關(guān)分別接收設(shè)備訪問列表；第一類安全接入網(wǎng)關(guān)與第二類安全接入網(wǎng)關(guān)建立加密通信信道；第一類安全接入網(wǎng)關(guān)與第二類安全接入網(wǎng)關(guān)通過加密通信信道傳輸利用設(shè)備私鑰加密的通信信息；解決了交通信號機(jī)控制網(wǎng)絡(luò)容易受到攻擊，交通信號機(jī)的控制和數(shù)據(jù)存儲的保密性難以保障問題；達(dá)到了提高交通信號機(jī)數(shù)據(jù)傳輸?shù)谋Ｃ苄院捅ＷC交通信號機(jī)控制系統(tǒng)的安全性的效果。

此外，該交通信號機(jī)通信方法，針對交通信號機(jī)控制系統(tǒng)的網(wǎng)絡(luò)層和應(yīng)用層安全防護(hù)的密碼需要，在安全接入網(wǎng)關(guān)上提供密碼服務(wù)資源，不需要再額外提供服務(wù)器密碼機(jī)，減少需要部署的設(shè)備數(shù)量；還通過網(wǎng)關(guān)管理系統(tǒng)實(shí)現(xiàn)安全接入網(wǎng)關(guān)的在線管理。

此外，根據(jù)國家標(biāo)準(zhǔn)中的交通信號機(jī)通信協(xié)議，將交通信號機(jī)通信協(xié)議與數(shù)字簽名技術(shù)結(jié)合，在不改變信號機(jī)通信協(xié)議的基礎(chǔ)上實(shí)現(xiàn)交通信號機(jī)的通信安全，保證交通信號機(jī)的通信命令的完整性和可信度。

附圖說明

為了更清楚地說明本發(fā)明實(shí)施例中的技術(shù)方案，下面將對實(shí)施例描述中所需要使用的附圖作簡單地介紹，顯而易見地，下面描述中的附圖僅僅是本發(fā)明的一些實(shí)施例，對于本領(lǐng)域普通技術(shù)人員來講，在不付出創(chuàng)造性勞動(dòng)的前提下，還可以根據(jù)這些附圖獲得其他的附圖。

圖1是根據(jù)一示例性實(shí)施例示出的一種交通信號機(jī)控制系統(tǒng)的結(jié)構(gòu)示意圖；

圖2是根據(jù)一示例性實(shí)施例示出的一種交通信號機(jī)通信方法的流程圖；

圖3是根據(jù)另一示例性實(shí)施例示出的一種交通信號機(jī)通信方法的流程圖。

具體實(shí)施方式

為使本發(fā)明的目的、技術(shù)方案和優(yōu)點(diǎn)更加清楚，下面將結(jié)合附圖對本發(fā)明實(shí)施方式作進(jìn)一步地詳細(xì)描述。

請參考圖1，其示出了本發(fā)明一個(gè)實(shí)施例提供的交通信號機(jī)控制系統(tǒng)的結(jié)構(gòu)示意圖。該交通信號機(jī)控制系統(tǒng)包括網(wǎng)關(guān)管理系統(tǒng)110、上位機(jī)系統(tǒng)120以及至少一個(gè)信號機(jī)節(jié)點(diǎn)130。

上位機(jī)系統(tǒng)120包括上位機(jī)121和第一類安全接入網(wǎng)關(guān)122。

上位機(jī)121與第一類安全接入網(wǎng)關(guān)122連接。

可選的，上位機(jī)系統(tǒng)120包括至少一臺上位機(jī)121和至少一個(gè)第一類安全接入網(wǎng)關(guān)122。

信號機(jī)節(jié)點(diǎn)130包括交通信號機(jī)131和第二類安全接入網(wǎng)關(guān)132。

交通信號機(jī)131與第二類安全接入網(wǎng)關(guān)132連接。

可選的，信號機(jī)節(jié)點(diǎn)130還包括其他設(shè)備，其他設(shè)備與第二類安全接入網(wǎng)關(guān)連接。

上位機(jī)用于控制信號機(jī)節(jié)點(diǎn)中的交通信號機(jī)。

第一類安全接入網(wǎng)關(guān)122通過有線網(wǎng)絡(luò)或無線網(wǎng)絡(luò)與網(wǎng)關(guān)管理系統(tǒng)110連接。

第二類安全接入網(wǎng)關(guān)132通過有線網(wǎng)絡(luò)或無線網(wǎng)絡(luò)與第一類安全接入網(wǎng)關(guān)122連接，第二類安全接入網(wǎng)關(guān)132通過第一類安全接入網(wǎng)關(guān)122與網(wǎng)關(guān)管理系統(tǒng)110連接。

第一類安全接入網(wǎng)關(guān)和第二類安全接入網(wǎng)關(guān)都是安全接入網(wǎng)關(guān)。

請參考圖2，其示出了本發(fā)明一個(gè)實(shí)施例提供的交通信號機(jī)通信方法的流程圖。該交通信號機(jī)通信方法適用于如圖1所示的交通信號機(jī)控制系統(tǒng)中。如圖2所示，該交通信號機(jī)通信方法可以包括以下步驟：

步驟201，設(shè)置第一類安全接入網(wǎng)關(guān)和第二類安全接入網(wǎng)關(guān)的驗(yàn)證信息。

驗(yàn)證信息包括數(shù)據(jù)保護(hù)密鑰、設(shè)備證書、設(shè)備私鑰。

驗(yàn)證信息是網(wǎng)關(guān)管理系統(tǒng)生成的。設(shè)備證書對應(yīng)有設(shè)備證書的標(biāo)識。

驗(yàn)證信息用于數(shù)據(jù)加密、數(shù)據(jù)解密、身份認(rèn)證、數(shù)據(jù)簽名以及簽名驗(yàn)證。

在第一安全接入網(wǎng)關(guān)和第二類安全接入網(wǎng)關(guān)中安裝軟件時(shí)，安裝數(shù)據(jù)保護(hù)密鑰。

以離線方式設(shè)置第一類安全接入網(wǎng)關(guān)和第二類安全接入網(wǎng)關(guān)的設(shè)備證書和設(shè)備私鑰。

需要說明的是，設(shè)置第一類安全接入網(wǎng)關(guān)的驗(yàn)證信息和設(shè)置第二類安全接入網(wǎng)關(guān)的驗(yàn)證信息可以同時(shí)執(zhí)行，或者，設(shè)置第一類安全接入網(wǎng)關(guān)的驗(yàn)證信息在設(shè)置第二類安全接入網(wǎng)關(guān)的驗(yàn)證信息之前執(zhí)行，或者，設(shè)置第一類安全接入網(wǎng)關(guān)的驗(yàn)證信息在設(shè)置第二類安全接入網(wǎng)關(guān)的驗(yàn)證信息之后執(zhí)行。

步驟202，通過網(wǎng)關(guān)管理系統(tǒng)向第一類安全接入網(wǎng)關(guān)和第二類安全接入網(wǎng)關(guān)發(fā)送設(shè)備訪問列表。

可選的，設(shè)備訪問列表包括安全接入網(wǎng)關(guān)的設(shè)備證書的標(biāo)識和ip(internetprotocol，網(wǎng)絡(luò)協(xié)議)地址。

發(fā)送給第一類安全接入網(wǎng)關(guān)的設(shè)備訪問列表與發(fā)送給第二類安全接入網(wǎng)關(guān)的設(shè)備訪問列表不同，發(fā)送給不同安全接入網(wǎng)關(guān)的設(shè)備訪問列表不同。

需要說明的是，通過網(wǎng)關(guān)管理系統(tǒng)向第一類安全接入網(wǎng)關(guān)發(fā)送設(shè)備訪問列表和通過網(wǎng)關(guān)管理系統(tǒng)向第二類安全接入網(wǎng)關(guān)發(fā)送設(shè)備訪問列表可以同時(shí)執(zhí)行，或者，通過網(wǎng)關(guān)管理系統(tǒng)向第一類安全接入網(wǎng)關(guān)發(fā)送設(shè)備訪問列表在通過網(wǎng)關(guān)管理系統(tǒng)向第二類安全接入網(wǎng)關(guān)發(fā)送設(shè)備訪問列表之前執(zhí)行，或者，通過網(wǎng)關(guān)管理系統(tǒng)向第一類安全接入網(wǎng)關(guān)發(fā)送設(shè)備訪問列表在通過網(wǎng)關(guān)管理系統(tǒng)向第二類安全接入網(wǎng)關(guān)發(fā)送設(shè)備訪問列表之后執(zhí)行。

步驟203，第一類安全接入網(wǎng)關(guān)和第二類安全接入網(wǎng)關(guān)分別接收設(shè)備訪問列表。

第一類安全接入網(wǎng)關(guān)接收設(shè)備訪問列表，第二類安全接入網(wǎng)關(guān)接收設(shè)備訪問列表。

第一類安全接入網(wǎng)關(guān)接收的設(shè)備訪問列表與第二類安全接入網(wǎng)關(guān)收到的設(shè)備訪問列表不同，不同安全接入網(wǎng)關(guān)設(shè)備接收到的設(shè)備訪問列表不同。

步驟204，第一類安全接入網(wǎng)關(guān)與第二類安全接入網(wǎng)關(guān)建立加密通信信道。

步驟205，第一類安全接入網(wǎng)關(guān)與第二類安全接入網(wǎng)關(guān)通過加密通信信道傳輸通過設(shè)備私鑰簽名的通信信息。

通信信息至少包括交通信號機(jī)控制指令。

可選的，第一類安全接入網(wǎng)關(guān)利用加密通信信道向第二類安全接入網(wǎng)關(guān)發(fā)送經(jīng)過設(shè)備私鑰進(jìn)行數(shù)字簽名的交通信號機(jī)控制指令，第二類安全接入網(wǎng)關(guān)利用接收交通信號機(jī)控制指令，第二類安全接入網(wǎng)關(guān)利用設(shè)備證書中的公鑰驗(yàn)證交通信號機(jī)控制指令，并將驗(yàn)證后的交通信號機(jī)控制指令發(fā)送至交通信號機(jī)，交通信號機(jī)執(zhí)行交通信號機(jī)控制指令。

可選的，通信信息包括當(dāng)前交通狀態(tài)信息，第二類安全接入網(wǎng)關(guān)通過加密通信信道向第一類安全接入網(wǎng)關(guān)發(fā)送當(dāng)前交通狀態(tài)信息，第一類安全接入網(wǎng)關(guān)利用設(shè)備證書中的公鑰驗(yàn)證當(dāng)前交通狀態(tài)信息后發(fā)送至上位機(jī)，上位機(jī)根據(jù)當(dāng)前交通狀態(tài)信息確定交通信號機(jī)控制指令。

可選的，通信信息包括安全態(tài)勢信息。第二類安全接入網(wǎng)關(guān)通過加密通信信道向第一類安全接入網(wǎng)關(guān)發(fā)送安全態(tài)勢信息，第一類安全接入網(wǎng)關(guān)接收安全態(tài)勢信息，并發(fā)送至網(wǎng)關(guān)管理系統(tǒng)。

綜上所述，本發(fā)明實(shí)施例提供的交通信號機(jī)通信方法，通過設(shè)置第一類安全接入網(wǎng)關(guān)和第二類安全接入網(wǎng)關(guān)的驗(yàn)證信息，通過網(wǎng)關(guān)管理系統(tǒng)向第一類安全接入網(wǎng)關(guān)和第二類安全接入網(wǎng)關(guān)發(fā)送設(shè)備訪問列表；第一類安全接入網(wǎng)關(guān)和第二類安全接入網(wǎng)關(guān)分別接收設(shè)備訪問列表；第一類安全接入網(wǎng)關(guān)與第二類安全接入網(wǎng)關(guān)建立加密通信信道；第一類安全接入網(wǎng)關(guān)與第二類安全接入網(wǎng)關(guān)通過加密通信信道傳輸利用設(shè)備私鑰加密的通信信息；解決了交通信號機(jī)控制網(wǎng)絡(luò)容易受到攻擊，交通信號機(jī)的控制和數(shù)據(jù)存儲的保密性難以保障問題；達(dá)到了提高交通信號機(jī)數(shù)據(jù)傳輸?shù)谋Ｃ苄院捅ＷC交通信號機(jī)控制系統(tǒng)的安全性的效果。

請參考圖3，其示出了本發(fā)明另一個(gè)實(shí)施例提供的交通信號機(jī)通信方法的流程圖。該交通信號機(jī)通信方法適用于如圖1所示的交通信號機(jī)控制系統(tǒng)中。如圖3所示，該交通信號機(jī)通信方法可以包括以下步驟：

步驟301，通過網(wǎng)關(guān)管理系統(tǒng)生成根證書、根證書私鑰以及數(shù)據(jù)保護(hù)密鑰。

網(wǎng)關(guān)管理系統(tǒng)在初始化時(shí)，生成根證書、根證書私鑰以及數(shù)據(jù)保護(hù)密鑰。

步驟302，將數(shù)據(jù)保護(hù)密鑰安裝至第一類安全接入網(wǎng)關(guān)和第二類安全接入網(wǎng)關(guān)。

在第一類安全接入網(wǎng)關(guān)安裝軟件時(shí)，將數(shù)據(jù)保護(hù)密鑰安裝至第一類安全接入網(wǎng)關(guān)。

在第二類安全接入網(wǎng)關(guān)安裝軟件時(shí)，將數(shù)據(jù)保護(hù)密鑰安裝至第二類安全接入網(wǎng)關(guān)。

步驟303，通過網(wǎng)關(guān)管理系統(tǒng)根據(jù)根證書私鑰確定設(shè)備證書和設(shè)備私鑰。

網(wǎng)關(guān)管理系統(tǒng)根據(jù)根證書私鑰生成并簽署安全接入網(wǎng)關(guān)的設(shè)備證書和設(shè)備私鑰。

設(shè)備證書對應(yīng)有設(shè)備證書的標(biāo)識。

步驟304，通過網(wǎng)關(guān)管理系統(tǒng)利用數(shù)據(jù)保密密鑰對根證書、設(shè)備證書和設(shè)備私鑰進(jìn)行加密，并將加密后的根證書、設(shè)備證書和設(shè)備私鑰存儲至移動(dòng)密鑰設(shè)備。

步驟305，第一類安全接入網(wǎng)關(guān)和第二類安全接入網(wǎng)關(guān)分別與移動(dòng)密鑰設(shè)備建立物理連接，并從移動(dòng)密鑰設(shè)備獲取加密后的根證書、設(shè)備證書和設(shè)備私鑰。

第一類安全接入網(wǎng)關(guān)與移動(dòng)密鑰設(shè)備建立物理連接，比如：將移動(dòng)密鑰設(shè)備插入第一類安全接入網(wǎng)關(guān)，第一類安全接入網(wǎng)關(guān)從移動(dòng)密鑰設(shè)備獲取加密后的根證書、設(shè)備證書和設(shè)備私鑰。

第二類安全接入網(wǎng)關(guān)與移動(dòng)密鑰設(shè)備建立物理連接，比如：將移動(dòng)密鑰設(shè)備插入第二類安全接入網(wǎng)關(guān)，第二類安全接入網(wǎng)關(guān)從移動(dòng)密鑰設(shè)備獲取加密后的根證書、設(shè)備證書和設(shè)備私鑰。

可選的，設(shè)備證書和設(shè)備私鑰是安全接入網(wǎng)關(guān)的唯一身份標(biāo)識。

步驟306，第一類安全接入網(wǎng)關(guān)和第二類安全接入網(wǎng)關(guān)根據(jù)數(shù)據(jù)保護(hù)密鑰對加密后的根證書、設(shè)備證書和設(shè)備私鑰進(jìn)行解密，得到根證書、設(shè)備證書和設(shè)備私鑰。

第一類安全接入網(wǎng)關(guān)根據(jù)數(shù)據(jù)保護(hù)密鑰對加密后的根證書、設(shè)備證書和設(shè)備私鑰進(jìn)行解密，得到根證書、設(shè)備證書和設(shè)備私鑰。

第二類安全接入網(wǎng)關(guān)根據(jù)數(shù)據(jù)保護(hù)密鑰對加密后的根證書、設(shè)備證書和設(shè)備私鑰進(jìn)行解密，得到根證書、設(shè)備證書和設(shè)備私鑰。

步驟307，通過網(wǎng)關(guān)管理系統(tǒng)利用根證書私鑰對設(shè)備訪問列表進(jìn)行簽名。

設(shè)備訪問列表包括在網(wǎng)關(guān)管理系統(tǒng)注冊的安全接入網(wǎng)關(guān)的設(shè)備證書的標(biāo)識和ip地址。

安全接入網(wǎng)關(guān)需要在網(wǎng)關(guān)管理系統(tǒng)中進(jìn)行注冊，實(shí)現(xiàn)接入網(wǎng)關(guān)管理系統(tǒng)；當(dāng)安全接入網(wǎng)關(guān)在網(wǎng)關(guān)管理系統(tǒng)中注冊時(shí)，網(wǎng)關(guān)管理系統(tǒng)將該安全接入網(wǎng)關(guān)添加至設(shè)備訪問列表，也即網(wǎng)關(guān)管理系統(tǒng)將安全接入網(wǎng)關(guān)對應(yīng)的設(shè)備證書的標(biāo)識和ip地址添加至設(shè)備訪問列表。

當(dāng)安全接入網(wǎng)關(guān)退出網(wǎng)關(guān)管理系統(tǒng)時(shí)，安全接入網(wǎng)關(guān)在網(wǎng)關(guān)管理系統(tǒng)中注銷，網(wǎng)關(guān)管理系統(tǒng)從設(shè)備訪問列表中移除該安全接入網(wǎng)關(guān)，也即將安全接入網(wǎng)關(guān)對應(yīng)的設(shè)備證書的標(biāo)識和ip地址從設(shè)備訪問列表刪除。

步驟308，通過網(wǎng)關(guān)管理系統(tǒng)向第一類安全接入網(wǎng)關(guān)和第二類安全接入網(wǎng)關(guān)發(fā)送簽名后的設(shè)備訪問列表。

網(wǎng)關(guān)管理系統(tǒng)向第一類安全接入網(wǎng)關(guān)發(fā)送經(jīng)過根證書私鑰簽名后的設(shè)備訪問列表。

網(wǎng)關(guān)管理系統(tǒng)通過第一類安全接入網(wǎng)關(guān)向第二類安全接入網(wǎng)關(guān)發(fā)送經(jīng)過根證書私鑰簽名后的設(shè)備訪問列表。

網(wǎng)關(guān)管理系統(tǒng)向不同安全接入網(wǎng)關(guān)發(fā)送的設(shè)備訪問列表不同。

步驟309，第一類安全接入網(wǎng)關(guān)和第二類安全接入網(wǎng)關(guān)分別接收設(shè)備訪問列表。

第一類安全接入網(wǎng)關(guān)接收簽名后的設(shè)備訪問列表。

第二類安全接入網(wǎng)關(guān)接收簽名后的設(shè)備訪問列表。

步驟310，第一類安全接入網(wǎng)關(guān)和第二類安全接入網(wǎng)關(guān)分別利用根證書驗(yàn)證設(shè)備訪問列表的簽名是否正確。

第一類安全接入網(wǎng)關(guān)利用根證書驗(yàn)證設(shè)備訪問列表的簽名是否正確。

第二類安全接入網(wǎng)關(guān)利用根證書驗(yàn)證設(shè)備訪問列表的簽名是否正確。

步驟311，若驗(yàn)證設(shè)備訪問列表的簽名正確，則存儲設(shè)備訪問列表。

若第一類安全接入網(wǎng)關(guān)驗(yàn)證訪問設(shè)備列表的簽名正確，則第一類安全接入網(wǎng)關(guān)存儲設(shè)備訪問列表。

若第二類安全接入網(wǎng)關(guān)驗(yàn)證訪問設(shè)備列表的簽名正確，則第二類安全接入網(wǎng)關(guān)存儲設(shè)備訪問列表。

需要說明的是，當(dāng)有安全接入網(wǎng)關(guān)在網(wǎng)關(guān)管理系統(tǒng)中注冊或者注銷時(shí)，網(wǎng)關(guān)管理系統(tǒng)更新設(shè)備訪問列表，并執(zhí)行步驟307至311。

步驟312，第一類安全接入網(wǎng)關(guān)和第二類安全接入網(wǎng)關(guān)進(jìn)行身份驗(yàn)證。

第一類安全接入網(wǎng)關(guān)和第二類安全接入網(wǎng)關(guān)均可以發(fā)送通信信道連接請求，若第一類安全接入網(wǎng)關(guān)發(fā)送通信信道連接請求，則第二類安全接入網(wǎng)關(guān)接收通信信道連接請求；若第二類安全接入網(wǎng)關(guān)發(fā)送通信信道連接請求，則第一類安全接入網(wǎng)關(guān)接收通信信道連接請求。通信信道連接請求包括安全接入網(wǎng)關(guān)的ip地址。

該步驟可由如下幾個(gè)步驟實(shí)現(xiàn)：

1、接收通信信道連接請求。

需要說明的是，除安全接入網(wǎng)關(guān)以外的設(shè)備也能夠發(fā)送通信信道連接請求。

2、檢測設(shè)備訪問列表中是否存在設(shè)備證書的標(biāo)識和ip地址。

3、若檢測到設(shè)備訪問列表中存在設(shè)備證書的標(biāo)識和ip地址，則身份驗(yàn)證成功。

若檢測到設(shè)備訪問列表中存在設(shè)備證書的標(biāo)識和ip地址，說明發(fā)送通信信道請求的安全接入網(wǎng)關(guān)已經(jīng)在網(wǎng)關(guān)管理系統(tǒng)中注冊，則身份驗(yàn)證成功，執(zhí)行步驟313。

若檢測到設(shè)備訪問列表中不存在設(shè)備證書的標(biāo)識和ip地址，說明發(fā)送通信信道連接請求的安全接入網(wǎng)關(guān)未在網(wǎng)關(guān)管理系統(tǒng)中注冊，則身份驗(yàn)證失敗，斷開發(fā)送通信信道連接請求的設(shè)備與安全接入網(wǎng)關(guān)的連接。

以第一類安全接入網(wǎng)關(guān)向第二類安全接入網(wǎng)關(guān)發(fā)送通信信道連接請求為例，該步驟的實(shí)現(xiàn)如下：

第一類安全接入網(wǎng)關(guān)向第二類安全接入網(wǎng)關(guān)發(fā)送通信信道連接請求；

第二類安全接入網(wǎng)關(guān)接收通信信道連接請求，檢測設(shè)備訪問列表中是否存在通信信道連接請求中包括的設(shè)備證書的標(biāo)識ip地址；

若檢測到設(shè)備訪問列表請求中存在通信信道連接請求中包括的設(shè)備證書標(biāo)識和ip地址，則身份驗(yàn)證成功；若檢測到設(shè)備訪問列表請求中不存在通信信道連接請求中包括的設(shè)備證書的標(biāo)識和ip地址，則身份驗(yàn)證失敗。

步驟313，若第一類安全接入網(wǎng)關(guān)和第二類安全接入網(wǎng)關(guān)身份驗(yàn)證成功，則第一類安全接入網(wǎng)關(guān)和第二類安全接入網(wǎng)關(guān)建立加密通信信道。

第一類安全接入網(wǎng)關(guān)和第二類安全接入網(wǎng)關(guān)利用ipsec協(xié)議建立加密通信信道。

當(dāng)?shù)谝活惏踩尤刖W(wǎng)關(guān)是發(fā)送方時(shí)，第二類安全接入網(wǎng)關(guān)是接收方；當(dāng)?shù)诙惏踩尤刖W(wǎng)關(guān)是發(fā)送方時(shí)，第一類安全接入網(wǎng)關(guān)是接收方。

該步驟通過如下方式具體實(shí)現(xiàn)：

在發(fā)送方發(fā)送通信信道連接請求時(shí)，通信信道連接請求還包括一條多組策略提議，該條多組策略提議包括加密算法、散列算法、dh(diffie-hellman)組表示、認(rèn)證方式和ike(internetkeyexchange，因特網(wǎng)密鑰交換)sa(securityassociation，安全聯(lián)盟)生命周期。

接收方對通信信道請求進(jìn)行回應(yīng)，并檢測與發(fā)送方的ike策略是否匹配，若匹配，則建立ipsec隧道，若不匹配，則終止ipsec隧道建立。

在ipsec隧道建立后，由發(fā)送方向?qū)Φ润w發(fā)出發(fā)送方的dh公共值和nonce隨機(jī)數(shù)。

接收方向發(fā)送方發(fā)送接收方的dh公關(guān)值和nonce隨機(jī)數(shù)。

由發(fā)送方向接收方發(fā)送，通過預(yù)共享密鑰驗(yàn)證對端。

由接收方向發(fā)送方發(fā)送，通過預(yù)共享密鑰驗(yàn)證對端。

發(fā)送方和接收方協(xié)商ipsecsa使用的安全參數(shù)，創(chuàng)建ipsecsa，使用ah來加密ip數(shù)據(jù)流。

步驟314，第一類安全接入網(wǎng)關(guān)與第二類安全接入網(wǎng)關(guān)通過加密通信信道傳輸通過設(shè)備私鑰簽名的通信信息。

通信信息至少包括交通信號機(jī)控制指令。

在通過加密通信信道傳輸通信信息之前，利用設(shè)備私鑰對通信信息進(jìn)行數(shù)字簽名，再利用加密通信信道傳輸經(jīng)過簽名的通信信息。

通信信息的結(jié)構(gòu)如表一所示：

在對通信信息進(jìn)行數(shù)字簽名時(shí)，發(fā)送設(shè)備利用設(shè)備私鑰和加密服務(wù)進(jìn)行數(shù)字簽名，將數(shù)字簽名信息插入保留位中。

當(dāng)接收設(shè)備接收到通信信息后，從保留位中取出數(shù)字簽名信息，利用設(shè)備證書中的公鑰和密碼服務(wù)對數(shù)字簽名信息進(jìn)行驗(yàn)證，以確定通信信息的來源。

若對數(shù)字簽名信息的驗(yàn)證通過，則接收設(shè)備將接收到的通信信息發(fā)送至于該安全接入網(wǎng)關(guān)連接的上位機(jī)或交通信號機(jī)。

需要說明的是，若第一類安全接入網(wǎng)關(guān)是發(fā)送設(shè)備，則第二類安全接入網(wǎng)關(guān)是接收設(shè)備；若第二類安全接入網(wǎng)關(guān)是發(fā)送設(shè)備，則第一類安全接入網(wǎng)關(guān)是接收設(shè)備。

步驟315，通過網(wǎng)關(guān)管理系統(tǒng)獲取第一類安全接入網(wǎng)關(guān)和/或第二類安全接入網(wǎng)關(guān)的安全態(tài)勢信息。

安全態(tài)勢信息包括配置信息、運(yùn)行信息和網(wǎng)絡(luò)的流量信息。

配置信息為靜態(tài)，配置信息包括安全接入網(wǎng)關(guān)的設(shè)備訪問列表、交通信號機(jī)控制系統(tǒng)的網(wǎng)絡(luò)拓?fù)湫畔?、狀態(tài)信息等環(huán)境配置信息。

運(yùn)行信息為動(dòng)態(tài)，運(yùn)行信息包括交通信號機(jī)控制系統(tǒng)中的各個(gè)設(shè)備的系統(tǒng)日志信息、安全接入網(wǎng)關(guān)的運(yùn)行日志、網(wǎng)關(guān)管理系統(tǒng)的操作日志。

網(wǎng)絡(luò)的流量信息包括網(wǎng)絡(luò)數(shù)據(jù)的五元組信息、數(shù)據(jù)通信時(shí)間以及數(shù)據(jù)通信量。

步驟316，通過網(wǎng)關(guān)管理系統(tǒng)根據(jù)安全態(tài)勢信息評估交通信號機(jī)控制系統(tǒng)的網(wǎng)絡(luò)安全。

網(wǎng)關(guān)管理系統(tǒng)對安全接入網(wǎng)關(guān)的安全態(tài)勢信息進(jìn)行局部評估得到局部評估結(jié)果，選取相應(yīng)的模型參數(shù)對局部評估結(jié)果建立隸屬度函數(shù)，并將隸屬度函數(shù)劃分至相應(yīng)的模糊集合，實(shí)現(xiàn)具體數(shù)字的模糊化，并將結(jié)果進(jìn)行量化得到量化結(jié)果；檢測每個(gè)狀態(tài)屬性對應(yīng)的量化結(jié)果是否超過預(yù)設(shè)閾值，若量化結(jié)果超過預(yù)設(shè)閾值，則將局部評估結(jié)果作為因果推理的輸入，通過模糊規(guī)則推理對態(tài)勢進(jìn)行分類識別，完成對交通信號機(jī)控制系統(tǒng)的網(wǎng)絡(luò)安全的評估。

網(wǎng)關(guān)管理系統(tǒng)還可以將安全態(tài)勢信息進(jìn)行可視化，比如：繪制安全接入網(wǎng)關(guān)的數(shù)據(jù)流向網(wǎng)絡(luò)圖譜圖，顯示網(wǎng)絡(luò)基于時(shí)間軸的數(shù)據(jù)流向信息；展示交通信號機(jī)控制系統(tǒng)的配置詳細(xì)信息；繪制流量異常信息展示圖；展示安全報(bào)警信息。

需要說明的是：上述本發(fā)明實(shí)施例序號僅僅為了描述，不代表實(shí)施例的優(yōu)劣。

本領(lǐng)域普通技術(shù)人員可以理解實(shí)現(xiàn)上述實(shí)施例的全部或部分步驟可以通過硬件來完成，也可以通過程序來指令相關(guān)的硬件完成，所述的程序可以存儲于一種計(jì)算機(jī)可讀存儲介質(zhì)中，上述提到的存儲介質(zhì)可以是只讀存儲器，磁盤或光盤等。

以上所述僅為本發(fā)明的較佳實(shí)施例，并不用以限制本發(fā)明，凡在本發(fā)明的精神和原則之內(nèi)，所作的任何修改、等同替換、改進(jìn)等，均應(yīng)包含在本發(fā)明的保護(hù)范圍之內(nèi)。

完整全部詳細(xì)技術(shù)資料下載

當(dāng)前第1頁1 2

該技術(shù)已申請專利。僅供學(xué)習(xí)研究，如用于商業(yè)用途，請聯(lián)系技術(shù)所有人。
技術(shù)研發(fā)人員：朱玲;鄧佳偉;張濤;張文文
技術(shù)所有人：無錫十月中宸科技有限公司
我是此專利的發(fā)明人

上一篇：身份驗(yàn)證方法及裝置與流程
上一篇：電臺通信協(xié)議轉(zhuǎn)換方法、裝置及系統(tǒng)與流程

該領(lǐng)域下的技術(shù)專家
如您需求助技術(shù)專家，請點(diǎn)此查看客服電話進(jìn)行咨詢。
1、王老師：1.數(shù)字信號處理 2.傳感器技術(shù)及應(yīng)用 3.機(jī)電一體化產(chǎn)品開發(fā) 4.機(jī)械工程測試技術(shù) 5.逆向工程技術(shù)研究
2、王老師：1.機(jī)器人 2.嵌入式控制系統(tǒng)開發(fā)
3、孫老師：1.振動(dòng)信號時(shí)頻分析理論與測試系統(tǒng)設(shè)計(jì) 2.汽車檢測系統(tǒng)設(shè)計(jì) 3.汽車電子控制系統(tǒng)設(shè)計(jì)
4、畢老師：機(jī)構(gòu)動(dòng)力學(xué)與控制
5、袁老師：1.計(jì)算機(jī)視覺 2.無線網(wǎng)絡(luò)及物聯(lián)網(wǎng)
如您是高校老師，可以點(diǎn)此聯(lián)系我們加入專家?guī)臁?/a>

相關(guān)技術(shù)

網(wǎng)友詢問留言已有0條留言

還沒有人留言評論。精彩留言會(huì)獲得點(diǎn)贊！

精彩留言，會(huì)給你點(diǎn)贊！

海信交通信號控制機(jī)相關(guān)技術(shù)

道路交通信號控制機(jī)相關(guān)技術(shù)

交通信號控制機(jī)相關(guān)技術(shù)

交通信號機(jī)相關(guān)技術(shù)

道路交通信號機(jī)相關(guān)技術(shù)

亚洲成年人黄色一级片,日本香港三级亚洲三级,黄色成人小视频,国产青草视频,国产一区二区久久精品,91在线免费公开视频,成年轻人网站色直接看

一種交通信號機(jī)通信方法與流程