IP合法性檢查防止地址欺騙;
[0096]6)網(wǎng)絡(luò)進(jìn)出流量的日志和審計等;
[0097]7)利用靜態(tài)網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT)功能隱藏真實網(wǎng)絡(luò)地址;
[0098]8)外網(wǎng)防火墻采用雙機熱備提高可用性;
[0099]9)利用負(fù)載均衡進(jìn)行流量控制等;
[0100]10)利用安全平臺代理機制阻斷外網(wǎng)用戶對內(nèi)部資源的直接操作;
[0101]11)采用基于PKI/CA的強認(rèn)證/授權(quán)機制防止外部非法用戶和越權(quán)操作等。
[0102]3.2.3GMS車載設(shè)備安全設(shè)計
[0103]GMS車載設(shè)備安裝在軌道車上,負(fù)責(zé)在軌道車運行過程中進(jìn)行數(shù)據(jù)采集、處理和傳輸工作,是整個系統(tǒng)的數(shù)據(jù)源。因此在系統(tǒng)設(shè)計中充分考慮了 GMS車載設(shè)備的安全設(shè)計,主要包含兩方面內(nèi)容:保證被監(jiān)測設(shè)備安全的設(shè)計和保證GMS車載設(shè)備自身安全的設(shè)計。
[0104]3.2.3.1保證GYK設(shè)備的安全設(shè)計
[0105]GMS車載設(shè)備通過RS422總線接口或以太網(wǎng)接口向GYK設(shè)備轉(zhuǎn)儲GYK運行記錄數(shù)據(jù),GYK設(shè)備屬于控車設(shè)備,直接關(guān)系到軌道車的運行安全,GMS車載設(shè)備作為監(jiān)測設(shè)備,必須保證和其接口時不影響GYK設(shè)備的正常工作。因此在設(shè)備的原理設(shè)計中即采用了電氣隔離和通信隔離設(shè)計。
[0106]電氣隔離:GMS車載設(shè)備在接口電路設(shè)計部分采用了高阻隔離、電氣隔離的方式,保證GMS車載設(shè)備傳輸GYK運行記錄數(shù)據(jù)不影響GYK設(shè)備。
[0107]通信隔離:GMS車載設(shè)備通過RS422總線或以太網(wǎng)和GYK設(shè)備通信,轉(zhuǎn)儲GYK運行記錄數(shù)據(jù)。GMS車載設(shè)備通信接口電路設(shè)計中采用了電源隔離、光電隔離等隔離方式,實現(xiàn)通信的完全隔離,同時重視通信電纜的選型、屏蔽和防干擾處理,保證通信的穩(wěn)定和被監(jiān)測設(shè)備的穩(wěn)定。
[0108]3.2.3.2GMS車載設(shè)備自身安全設(shè)計
[0109]GMS車載設(shè)備在設(shè)備上電時即進(jìn)行狀態(tài)自檢,同時將自檢結(jié)果實時傳輸至鐵路局GMS數(shù)據(jù)中心,包括設(shè)備各組件的工作狀態(tài)、設(shè)備與GYK設(shè)備接口的通信狀態(tài)、設(shè)備軟件版本等信息。軌道車運行過程中,設(shè)備在正常工作的同時監(jiān)測設(shè)備狀態(tài)信息,一旦發(fā)現(xiàn)設(shè)備狀態(tài)發(fā)生變化,即某組件故障、某個通信數(shù)據(jù)中斷等(例如:GPS模塊失效),即將狀態(tài)報警信息實時傳回鐵路局GMS數(shù)據(jù)中心。GMS通信服務(wù)器接收到該信息后通過用戶終端報警提示框的形式實現(xiàn)報警。
[0110]如果GMS車載設(shè)備的2.5G/3G/4G和GSM-R通信模塊出現(xiàn)故障或設(shè)備軟件故障,GMS車載設(shè)備自身狀態(tài)信息均無法傳回鐵路局GMS數(shù)據(jù)中心。但設(shè)備系統(tǒng)會對自身的工作狀況以日志的形式進(jìn)行記錄和存儲。待軌道車作業(yè)完成回庫后,工作人員上車通過專用轉(zhuǎn)儲器下載日志文件分析該軌道車GMS車載設(shè)備的故障原因。
[0111]3.2.4數(shù)據(jù)傳輸安全設(shè)計
[0112]GMS車載設(shè)備采集和處理的GYK運行記錄數(shù)據(jù),經(jīng)鐵路專網(wǎng)或公網(wǎng)傳輸至GMS數(shù)據(jù)服務(wù)器。系統(tǒng)在保證GYK運行記錄數(shù)據(jù)正確、安全傳輸方面進(jìn)行了以下安全設(shè)計。
[0113]3.2.4.1數(shù)據(jù)完整性設(shè)計
[0114]采集和處理完成的GYK運行記錄數(shù)據(jù)信息,首先在GMS車載設(shè)備端進(jìn)行存儲和備份,然后通過有序分包傳輸至GMS數(shù)據(jù)服務(wù)器。即使因為無線網(wǎng)絡(luò)傳輸失敗,車載設(shè)備仍可將數(shù)據(jù)讀出再次傳輸。
[0115]3.2.4.2通信應(yīng)答設(shè)計
[0116]GMS車載設(shè)備在進(jìn)行GYK運行記錄數(shù)據(jù)信息傳輸時,需與鐵路局GMS數(shù)據(jù)中心建立通信確認(rèn)機制,GMS車載設(shè)備將需要傳輸?shù)腉YK運行記錄數(shù)據(jù)進(jìn)行分包處理,將每包數(shù)據(jù)進(jìn)行編號后傳輸至鐵路局GMS數(shù)據(jù)中心,鐵路局GMS數(shù)據(jù)中心接收到每包運行記錄數(shù)據(jù)后,根據(jù)數(shù)據(jù)包編號對GMS車載設(shè)備回復(fù)應(yīng)答信息,GMS車載設(shè)備若未收到某包數(shù)據(jù)的應(yīng)答信息,將進(jìn)行重復(fù)發(fā)送,直到接收到應(yīng)答信息。該通信安全設(shè)計保證了所有GYK運行記錄數(shù)據(jù)包的安全傳輸。
[0117]3.2.4.3數(shù)據(jù)包加密設(shè)計
[0118]GYK運行記錄數(shù)據(jù)與軌道車運行故障分析相關(guān),必須保證數(shù)據(jù)的安全,防止其他系統(tǒng)對GYK地面數(shù)據(jù)的截取和解析。系統(tǒng)在進(jìn)行數(shù)據(jù)傳輸前,首先對GYK運行記錄數(shù)據(jù)包進(jìn)行加密操作,接收方接收到信息后必須利用解密協(xié)議對數(shù)據(jù)進(jìn)行解析,方能得到完整的運行記錄數(shù)據(jù),該安全設(shè)計能夠保證運行記錄數(shù)據(jù)的安全性。
[0119]3.2.5GMS系統(tǒng)服務(wù)器安全設(shè)計
[0120]系統(tǒng)服務(wù)器安全設(shè)計包括系統(tǒng)物理安全設(shè)計和安全日志設(shè)計。
[0121]3.2.5.1物理安全設(shè)計
[0122]系統(tǒng)與目前所有鐵路關(guān)鍵應(yīng)用系統(tǒng)一樣,該系統(tǒng)的數(shù)據(jù)庫及應(yīng)用服務(wù)器等部屬在鐵路內(nèi)部生產(chǎn)網(wǎng)的生產(chǎn)機房中,物理安全得到可靠的保障。系統(tǒng)服務(wù)器限制不必要訪問端口、加強權(quán)限管理、實時監(jiān)測等技術(shù)和管理手段,保證了系統(tǒng)的安全性。另外,系統(tǒng)還要求定期對操作系統(tǒng)、平臺軟件、應(yīng)用軟件進(jìn)行安全性檢查及安全加固,關(guān)閉不需要的服務(wù),杜絕已知的安全漏洞,監(jiān)視服務(wù)器的安全運行情況,保障GMS系統(tǒng)服務(wù)器免遭入侵攻擊。
[0123]3.2.5.2安全日志設(shè)計
[0124]系統(tǒng)服務(wù)器對系統(tǒng)涉及的網(wǎng)絡(luò)、安全及應(yīng)用系統(tǒng)自身的訪問操作記錄以日志的形式進(jìn)行保存,安全日志包括以下內(nèi)容:
[0125]I)數(shù)據(jù)服務(wù)器對GMS車載設(shè)備所傳輸?shù)腉YK運行記錄數(shù)據(jù)流量的自動統(tǒng)計;
[0126]2)各用戶終端對鐵路局GMS數(shù)據(jù)服務(wù)器的訪問記錄;
[0127]3)各用戶終端的在線時長及數(shù)據(jù)傳輸記錄。
[0128]以上系統(tǒng)記錄以系統(tǒng)安全日志的方式在系統(tǒng)內(nèi)進(jìn)行存儲和備份,供管理部門對系統(tǒng)的用戶訪問控制、數(shù)據(jù)流量、用戶操作等進(jìn)行安全審計,作為系統(tǒng)更新、系統(tǒng)安全管理及系統(tǒng)安全策略修訂的重要依據(jù)。
[0129]對于本領(lǐng)域技術(shù)人員而言,顯然本發(fā)明不限于上述示范性實施例的細(xì)節(jié),而且在不背離本發(fā)明的精神或基本特征的情況下,能夠以其他的具體形式實現(xiàn)本發(fā)明。因此,無論從哪一點來看,均應(yīng)將實施例看作是示范性的,而且是非限制性的,本發(fā)明的范圍由所附權(quán)利要求而不是上述說明限定,因此旨在將落在權(quán)利要求的等同要件的含義和范圍內(nèi)的所有變化囊括在本發(fā)明內(nèi)。不應(yīng)將權(quán)利要求中的任何附圖標(biāo)記視為限制所涉及的權(quán)利要求。
【主權(quán)項】
1.一種遠(yuǎn)程傳輸GYK運行記錄數(shù)據(jù)文件的系統(tǒng),其特征在于,由GYK設(shè)備、GMS車載設(shè)備、M-GRIS/MTUP安全平臺、GMS通信服務(wù)器、GMS數(shù)據(jù)服務(wù)器和GMS用戶終端組成; GMS用戶終端采用分布式B/S架構(gòu),用戶終端通過Web網(wǎng)頁形式訪問GMS數(shù)據(jù)服務(wù)器; GMS數(shù)據(jù)服務(wù)器和GMS通信服務(wù)器通過光纖連接在交換機上并進(jìn)行數(shù)據(jù)交換; GMS數(shù)據(jù)服務(wù)器、GMS通信服務(wù)器和M-GRIS/MTUP安全平臺通過網(wǎng)線、光纖連接,且三者之間以TCP協(xié)議進(jìn)行通信; M-GRIS/MTUP安全平臺與GMS車載設(shè)備通過鐵路專網(wǎng)或公網(wǎng)以UDP/TCP協(xié)議進(jìn)行通?目; GMS車載設(shè)備通過RS422總線或以太網(wǎng)與GYK設(shè)備連接。2.根據(jù)權(quán)利要求1所述的遠(yuǎn)程傳輸GYK運行記錄數(shù)據(jù)文件的系統(tǒng),其特征在于,車載設(shè)備包含主控模塊、GSM-R模塊、2.5G/3G/4G模塊、GPS模塊、采集模塊、通信模塊、天線合路器和組合天線,主控模塊分別連接GSM-R模塊、2.5G/3G/4G模塊、GPS模塊、采集模塊和通信模塊,GSM-R模塊和2.5G/3G/4G模塊均通過天線合路器與組合天線進(jìn)行通信,組合天線直接與GPRS進(jìn)行通信,采集模塊和通信模塊通過通信接口連接GYK設(shè)備。3.根據(jù)權(quán)利要求1所述的遠(yuǎn)程傳輸GYK運行記錄數(shù)據(jù)文件的系統(tǒng),其特征在于,所述M-GRIS/MTUP安全平臺、GMS通信服務(wù)器、GMS數(shù)據(jù)服務(wù)器均采用1+1冗余熱備方式。4.一種如權(quán)利要求1或2所述的遠(yuǎn)程傳輸GYK運行記錄數(shù)據(jù)文件的系統(tǒng)的傳輸方法,其特征在于,工務(wù)、供電和電務(wù)GYK運行記錄數(shù)據(jù)分析人員通過GMS用戶終端將計劃回傳的GYK運行記錄數(shù)據(jù)文件名下發(fā)至GMS數(shù)據(jù)服務(wù)器,通過TCP協(xié)議傳輸至M-GRIS/MTUP安全平臺,接著通過鐵路專網(wǎng)或公網(wǎng)以無線通訊方式將要回傳的GYK運行記錄數(shù)據(jù)文件名遠(yuǎn)程傳輸至GMS車載設(shè)備,GMS車載設(shè)備通過RS422總線或以太網(wǎng)從GYK設(shè)備自動轉(zhuǎn)儲GYK運行記錄數(shù)據(jù)文件,最后再將GYK運行記錄數(shù)據(jù)文件通過無線網(wǎng)絡(luò)傳輸?shù)紾MS數(shù)據(jù)服務(wù)器,工務(wù)、供電和電務(wù)GYK運行記錄數(shù)據(jù)分析人員可以進(jìn)行數(shù)據(jù)共享,直接在線分析GYK運行記錄數(shù)據(jù)。
【專利摘要】本發(fā)明公開了一種遠(yuǎn)程傳輸GYK運行記錄數(shù)據(jù)文件的系統(tǒng)及方法,由GYK設(shè)備、GMS車載設(shè)備、M-GRIS/MTUP安全平臺、GMS通信服務(wù)器、GMS數(shù)據(jù)服務(wù)器和GMS用戶終端組成;數(shù)據(jù)分析人員通過GMS用戶終端將計劃回傳的GYK運行記錄數(shù)據(jù)文件名下發(fā)至GMS數(shù)據(jù)服務(wù)器,通過TCP協(xié)議傳輸至M-GRIS/MTUP安全平臺,再通過鐵路專網(wǎng)或公網(wǎng)傳輸至GMS車載設(shè)備,再從GYK設(shè)備自動轉(zhuǎn)儲GYK運行記錄數(shù)據(jù)文件,最后傳輸?shù)紾MS數(shù)據(jù)服務(wù)器,便于直接在線分析GYK運行記錄數(shù)據(jù)。本方法彌補不能及時回傳、漏轉(zhuǎn)儲、無法共享和遇故障無法及時調(diào)取GYK運行記錄數(shù)據(jù)的缺陷,最終實現(xiàn)GYK運行記錄數(shù)據(jù)的遠(yuǎn)程無線傳輸,提高工務(wù)、供電和電務(wù)GYK運行記錄數(shù)據(jù)分析人員的工作效率。
【IPC分類】H04L29/08
【公開號】CN105162862
【申請?zhí)枴緾N201510542380
【發(fā)明人】陳立, 胡敏惠, 郭金紅, 張國虎, 田云
【申請人】陜西西北鐵道電子有限公司
【公開日】2015年12月16日
【申請日】2015年8月28日