The invention provides a wireless replacement system for LKJ data, including car parts, wireless network, and part of the ground, the car parts including LKJ device and vehicle wireless communication plug-in, the plug-in vehicle wireless communication includes vehicle safety control module through the access control strategy to realize the vehicle part network boundary isolation protection, the ground part includes a facelift the terminal is deployed in the railway information network and is located in the railway integrated information network and wireless network access to the host server, firewall for the first part of the network through the realization of the ground boundary isolation protection access control strategy is provided between the host server and the wireless network, second firewall for railway information network through the implementation of border quarantine prevention access control strategy is provided between the host and server and the railway integrated information network Support.
【技术实现步骤摘要】
LKJ数据的无线换装系统
本专利技术涉及铁路行业LKJ(列车运行监控装置)生产控制管理领域,尤其涉及一种LKJ数据的安全增强型无线换装系统。
技术介绍
LKJ车载数据是LKJ控制功能实现的基础和运行分析的依据。在不同的运行线路和环境中,随着运输设备、设施技术数据或行车方式等的变化,引起LKJ数据文件变化。LKJ车载数据文件需进行相应变更,同时车载控制文件版本也需进行相应升级。通常路局对车载LKJ2000/LKJ-15进行数据无线换装过程中,地面系统在铁路专网内完成换装计划制定,由地面通信服务器通过无线网络(4G/Internet)与车载进行车地通信,在满足换装条件下换装人员从地面发起启动或车载发起启动完成LKJ车载数据在线更新。由于目前LKJ数据无线换装系统的实现方案利用公用网络或无线局域网进行车地数据传输,系统从安全性、可靠性角度分析,存在诸多风险。图1示出了数据换装风险分析业务流程图,如图所示,首先LKJ数据无线换装系统的车载部分、地面部分存在边界非法访问风险。其次,LKJ数据无线换装系统本身只针对无线传输通道层面进行加密防护,网络层面尚未涉及,存在传输过程中数据被侦听和篡改的风险。再者,LKJ数据无线换装系统内部网络部署有通信处理服务器、数据库服务器、应用服务器和各应用终端等,内部网络存在通过系统漏洞进行入侵攻击的风险。最后,LKJ数据无线换装系统地面系统存在主机恶意代码攻击风险。综上所述,为解决上述因无线数据换装带来的网络安全问题,确保列车运行行车安全,利用网络安全技术、通信安全技术、数据文件加密技术、身份认证技术等措施,研制一种LKJ数据无线换装 ...
【技术保护点】
一种LKJ数据的无线换装系统,包括车载部分、无线网络、地面部分,所述车载部分经由所述无线网络与所述地面部分进行无线通信以实现LKJ数据的无线换装,所述车载部分包括LKJ装置和车载无线通信插件,所述LKJ装置包括至少一个LKJ主机单元,且通过所述车载无线通信插件接入所述无线网络,其中所述车载无线通信插件包括车载安全控制模块以通过访问控制策略实现车载部分网络边界隔离防护,阻断来自所述无线网络的非法主机对车载部分的访问;所述地面部分包括部署于铁路综合信息网中的换装终端和位于铁路综合信息网外且接入所述无线网络的主机服务器,所述换装终端用于生成待提供至所述LKJ装置的换装数据,所述主机服务器用于所述换装数据的车地传送、处理、及应用,其中所述主机服务器与所述无线网络之间设有第一防火墙以用于通过访问控制策略实现地面部分网络边界隔离防护,阻断来自所述无线网络的非法主机对所述主机服务器的访问,以及所述主机服务器与所述铁路综合信息网之间设有第二防火墙以用于通过访问控制策略实现铁路综合信息网网络边界隔离防护,阻断来自所述铁路综合信息网的非法主机对所述主机服务器的访问。
【技术特征摘要】
1.一种LKJ数据的无线换装系统,包括车载部分、无线网络、地面部分,所述车载部分经由所述无线网络与所述地面部分进行无线通信以实现LKJ数据的无线换装,所述车载部分包括LKJ装置和车载无线通信插件,所述LKJ装置包括至少一个LKJ主机单元,且通过所述车载无线通信插件接入所述无线网络,其中所述车载无线通信插件包括车载安全控制模块以通过访问控制策略实现车载部分网络边界隔离防护,阻断来自所述无线网络的非法主机对车载部分的访问;所述地面部分包括部署于铁路综合信息网中的换装终端和位于铁路综合信息网外且接入所述无线网络的主机服务器,所述换装终端用于生成待提供至所述LKJ装置的换装数据,所述主机服务器用于所述换装数据的车地传送、处理、及应用,其中所述主机服务器与所述无线网络之间设有第一防火墙以用于通过访问控制策略实现地面部分网络边界隔离防护,阻断来自所述无线网络的非法主机对所述主机服务器的访问,以及所述主机服务器与所述铁路综合信息网之间设有第二防火墙以用于通过访问控制策略实现铁路综合信息网网络边界隔离防护,阻断来自所述铁路综合信息网的非法主机对所述主机服务器的访问。2.如权利要求1所述的无线换装系统,其特征在于,所述主机服务器和所述换装终端上皆安装有安全软件以用于安全管理、检测和安全防御。3.如权利要求2所述的无线换装系统,其特征在于,所述主机服务器上的安全软件通过白名单技术实现所述主机服务器的恶意软件防护,同时实现所述主机服务器文件的完整性保护和外设网络端口的保护。4.如权利要求1所述的无线换装系统,其特征在于,所述主机服务器包括通信服务器、数据处理服务器、应用服务器和磁盘阵列,所述数据处理服务器、所述应用服务器和所述磁盘阵列与核心交换机相连,所述通信服务器和所述核心交换机皆经由所述第一防火墙接入所述无线网络,所述核心交换机经由所述第二防火墙连接主干交换机,并通过所述主干交换机与所述铁路综合信息网中的所述换装终端通信。5.如权利要求4所述的无线换装系统,其特征在于,所述地面部分还包括安全审计平台,所述安全审计平台旁路接入所述核心交换机,以实现数据处理层和数据应用层所有流量的实时监测分析,并通过图形界面展示网络安全运行状态,同时基于工控网络的协议、流量、内容和行为进行全方位的审计。6.如权利要求4所述的无线换装系统,其特征在于,所述地面部分还包括安全监管平台,所述安全监管平台旁路接入所述主干交换机,以实现对网络行为进行监控和智能安全分析。7.如权利要求6所述的无线换装系统,其特征在于,所述安全监管平台进一步用于通过可视化的界面快速创建整个铁路安全控制网络模型,用于统一配置、管理、监测网络安全,检测所述铁路综合信息网中出现的外部攻击、蠕虫病毒及非法入侵、设备异常情况,并对危及系统网络安全的因素做出智能预警分析,为管理者提供决策支持,为网络安全故障排查和分析提供依据。8.如权利要求4所述的无线换装系统,其特征在于,所述主干交换机与所述无线网络之间包括两路冗余的线路,每条线路上包括所述通信服务器、所述数据处理服务器、所述应用服务器和所述磁盘阵列以及所述核心交换机、所述第一防火墙和所述第二防火墙,两条线路上的所述核心交换机之间相连,以实现地面部分的安全性冗余。9.如权利要求4所述的无线换装系统,其特征在于,所述车载安全控制模块对接收自所述地面部分的所述通信服务器的加密数据进行解析,以对源/目标IP进行身份识别,将不符合规则的加密数据丢弃...
【专利技术属性】
技术研发人员:阳亦斌,肖立志,胡嗣钦,吴俊亮,欧盛芬,叶理辉,汤紫霖,樊亮,夏伟,
申请(专利权)人:湖南中车时代通信信号有限公司,
类型:发明
国别省市:湖南,43
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。