一种CBTC系统的安全加密设备的冗余架构技术方案

本发明专利技术公开了一种CBTC系统的安全加密设备的冗余架构，包括两台硬件平台，每台所述硬件平台安装VMware ESX server，每个所述VMware ESX server安装OpenBSD的虚拟操作系统。本发明专利技术用以解决轨道交通行业安全加密设备硬件更新换代的问题。

【技术实现步骤摘要】

本专利技术涉及轨道交通中CBTC(基于通信的列车自动控制系统)系统的安全加密设备。
技术介绍
CBTC系统的DCS(数据通信子系统)网络中有着大量的基于OpenBSD(类UNIX操作系统)操作系统的安全加密设备，这些安全加密设备保证了CBTC数据的完整性及保密性，因此这些安全加密设备对于其设备本身稳定性以及持续性的要求非常高。而这些安全加密设备是基于OpenBSD的操作系统，在硬件选型上很难保证10年内都有可持续性的硬件平台的支持。为了满足项目10年或20年的安全加密设备的持续性，DCS小组需要不停的寻找可以承载OpenBSD操作系统的硬件平台，每一次的硬件变更，DCS小组都需要在实验室完成大量的安全测试。并且随着计算机技术的日新月异，老的OpenBSD操作系统越来越难以找到可以承载它的硬件平台，这些问题都无疑给DCS设计带来困难。安全加密设备基于OpenBSD操作系统以及CARP(共用地址冗余协议)协议完成故障转移服务，这两台SD(安全加密设备)各自有独立的IP地址，并提供完全一样的服务。用于故障转移的SD有两个CARP接口，分别配置另外两台SD的IP地址。当一台SD发生故障时，另一台会自动得到故障SD的IP地址。这样一来，用户就完全感觉不到发生了故障。CARP从每一个carp的接口上发出组播包。由于每一个CARP组都将使用相同的组播地址，故对于不同的Cluster(集群)组，其包含的虚拟主机ID(名称)也应不同。所有在CARP组中的SD都能够收到组播包，如果发现收到的组播包包含的虚拟主机ID与自身的不同，就将此组播包丢弃。由于设备配置这些组播包包含虚拟主机ID，所以多个Cluster组的SD可以部署在同一个二层的LAN(局域网)中。集群系统的故障转移的无缝连接，需要该组的成员之间彼此交换工作状态。采用心跳网络。接口直接通过交叉线相互连接。由于心跳接口不传输的业务流量，故只有内部群集的成员操作系统的IP地址分配，这些接口地址被设置为特定的值，并可以与其他的SD相同。Cluster进程会周期性地检测系统硬件的状态，如果硬件发生故障，HA(高可用性)会把与该硬件相关的服务转移到后备服务器上。当某项服务发生转移时，HA首先在运行服务器上停止该服务，之后由备份服务器上的HA在备份服务器上启动该服务。由于停止和启动该服务需要一定的时间，所以，当服务被切换(转移)时，该服务会有短暂的中断，转移完成后，服务自动恢复正常运行。
技术实现思路
本专利技术的目的在于提供一种CBTC系统的安全加密设备的冗余架构，用以解决轨道交通行业安全加密设备硬件更新换代的问题。实现上述目的的技术方案是：一种CBTC系统的安全加密设备的冗余架构，包括两台硬件平台，每台所述硬件平台安装VMwareESXserver(通用环境下分区和整合系统的虚拟主机软件)，每个所述VMwareESXserver安装OpenBSD的虚拟操作系统。在上述的CBTC系统的安全加密设备的冗余架构中，所述硬件平台包括CPU、内存、至少一个网络适配器和磁盘驱动器；所述硬件平台还包括SCSI(小型计算机系统接口)适配器、光纤通道适配器或者RAID(磁盘阵列)控制器。在上述的CBTC系统的安全加密设备的冗余架构中，通过VMware(威睿)的DirectPathI/O(直接访问I/O设备)，虚拟机可以使用I/O内存管理单元访问硬件平台上的物理PCI(外设部件互连标准)功能。本专利技术的有益效果是：本专利技术在底层硬件平台上安装VMwareESXserver，然后在其上创建基于OpenBSD的安全加密系统，使用两台相同类型的硬件创建了安全加密系统的冗余架构，从而满足CBTC系统对网络设备冗余性的要求。使得硬件选型难度大大降低，安全加密系统运行在虚拟机的环境中，对底层硬件平台不再敏感。同时，由于VMware的一些特性(比如VMwareESX服务器压缩虚拟主机镜像以便它们在环境间能被非常容易的迁移)，确保软件测试者和质量检验工程师在相对少的时间和硬件状态下做更多有效的测试，也大量减少了实验室以及现场排查故障的工作量。附图说明图1是VMwareESXserver的基础架构；图2是本专利技术的CBTC系统的安全加密设备的冗余架构的结构图。具体实施方式下面将结合附图对本专利技术作进一步说明。请参阅图1，为VMwareESXserver的基础架构，可以看到ESX主要可被分为两部分：其一是用于提供管理服务的ServiceConsole(服务控制器)；其二是ESX的核心，也是主要提供虚拟化能力的VMKernel(虚拟内核)。请参阅图2，本专利技术的CBTC系统的安全加密设备的冗余架构，包括两台硬件平台，每台所述硬件平台安装VMwareESXserver，每个所述VMwareESXserver安装OpenBSD的虚拟操作系统。硬件平台包括CPU、内存、至少一个网络适配器和磁盘驱动器，以及SCSI适配器、光纤通道适配器或者RAID控制器。由于HA的功能由OpenBSD来实现，并非通过VMwareESXserver来实现，通过DirectPathI/O，虚拟机OpenBSD可以使用I/O内存管理单元访问平台上的物理网卡PCI功能。前提是CPU和主板需要支持和开启VT-D(英特尔支持直接I/O访问的VT虚拟化技术)功能。因为DirectPathI/O功能绕开了hypervisor(运行在物理服务器和操作系统之间的中间软件层)对I/O的处理，所以具有速度快和CPU开销小的优点。以上实施例仅供说明本专利技术之用，而非对本专利技术的限制，有关
的技术人员，在不脱离本专利技术的精神和范围的情况下，还可以作出各种变换或变型，因此所有等同的技术方案也应该属于本专利技术的范畴，应由各权利要求所限定。本文档来自技高网...

【技术保护点】
一种CBTC系统的安全加密设备的冗余架构，其特征在于，包括两台硬件平台，每台所述硬件平台安装VMware ESX server，每个所述VMware ESX server安装OpenBSD的虚拟操作系统。

【技术特征摘要】
1.一种CBTC系统的安全加密设备的冗余架构，其特征在于，包括两台硬件平台，每台所述硬件平台安装VMwareESXserver，每个所述VMwareESXserver安装OpenBSD的虚拟操作系统。2.根据权利要求1所述的CBTC系统的安全加密设备的冗余架构，其特征在于，所述硬件平台包括CPU...

【专利技术属性】
技术研发人员：卢晓宇，陶伟，王志骏，夏明亮，
申请(专利权)人：上海自仪泰雷兹交通自动化系统有限公司，
类型：发明
国别省市：上海;31