本申请提供一种列车通信网络安全防护系统,包括:获取模块、检测模块、数据防护模块、网络防护模块以及设备防护模块;获取模块包括:获取数据信息和设备信息,将数据信息和设备信息发送至检测模块,当检测到数据中的目的地址报文不属于已规划报文,则判断为威胁信息,并将威胁信息发送至网络防护模块;当检测到设备信息中包含的进程或任务为未规划的进程或任务,将设备信息对应的设备判断为威胁设备,并将威胁设备的设备信息发至设备防护模块;网络防护模块为对网络传输的边界和内部通信进行保护;设备防护模块接收设备信息,基于设备信息进行设备安全识别和防护。通过实时检测实现了对于列车通信网络的通信安全。降低了列车遭受网络攻击的风险。受网络攻击的风险。受网络攻击的风险。
【技术实现步骤摘要】
列车通信网络安全防护系统及防护方法
[0001]本申请涉及列车通信安全
,尤其涉及一种列车通信网络安全防护 系统及防护方法。
技术介绍
[0002]列车通信网络(Train Communication Network,简称TCN)是一种以计算 机网络为核心的分布式网络控制系统。列车通信网络相当于列车的“中枢神经
”ꢀ
关系到列车能否正常运行。列车通信网络分为两级网络:列车级网络和车辆级 网络。列车级网络主要负责传输列车级的控制和状态信息,车辆级网络负责收 集和传输车辆内各个设备的控制和状态信息。
[0003]一直以来,列车通信网络设备、网络及系统的设计、研发和部署主要针对 封闭式运行的环境,其主要设计指标是功能、性能、(物理)安全性、实时性 等,没有考虑网络安全的需求。在智慧轨道交通时代,轨道交通的安全、高效 和无人驾驶是高度自动化、智慧化集成的结果,势必存在大量数据信息互联互 通,数据信息“暴露面”急剧扩大,轨道交通面临的网络安全挑战越来越大。 一旦遭到网络攻击,严重时可能会威胁到人员生命安全及社会稳定。在自动驾 驶的应用场景中,控制指令还需要通过无线通道从地面传输到列车上。边界通 信、设备升级和维护以及所处的物理环境等都会引入网络安全问题。目前轨道 交通行业没有从列车通信网络自身安全进行深入研究,更没有形成系统防御体 系。这就意味着列车通信网络安全面临着严峻的挑战。
技术实现思路
[0004]有鉴于此,本申请的目的在于提出一种列车通信网络安全防护系统及防护 方法,用于对列车通信系统提供安全保障。
[0005]基于上述目的,本申请提供了一种列车通信网络安全防护系统,包括:获 取模块、检测模块、数据防护模块、网络防护模块以及设备防护模块;
[0006]其中,所述获取模块包括:
[0007]所述第一获取模块被配置为获取数据信息,并将所述数据信息发送至 第一检测模块;
[0008]所述第二获取模块被配置为获取设备信息,并将所述设备信息发送至 第二检测模块;
[0009]所述检测模块包括:
[0010]所述第一检测模块被配置为对所述数据信息中的威胁信息进行检 测,当检测到数据中的目的地址报文不属于已规划报文,则判断为威胁信息, 并将所述威胁信息发送至所述网络防护模块;
[0011]第二检测模块被配置为根据所述设备信息对威胁设备进行检测,当检 测到设备信息中包含的进程或任务为未规划的进程或任务,则将所述设备信息 对应的设备判断为
威胁设备,并将所述威胁设备的所述设备信息发送至所述设 备防护模块;
[0012]所述网络防护模块被配置为对网络传输的边界和内部通信进行保护;
[0013]所述设备防护模块被用于接收所述设备信息,基于所述设备信息进行设备 安全性识别和防护。
[0014]可选的,所述网络防护模块,包括:
[0015]边界防护单元,被配置为对列车通信网络的传输边界进行保护;其中包 括:通过防火墙对列车与地面的通信进行逻辑隔离。
[0016]可选的,所述边界防护单元,还包括:
[0017]通过设置应用网关对列车与网络媒体的通信进行物理隔离。
[0018]可选的,所述网络防护模块,还包括:
[0019]内部通信防护单元,被配置为对列车通信网络的内部通信进行安全保护。
[0020]可选的,还包括:
[0021]所述网络防护模块和所述设备防护模块均为冗余设置;
[0022]响应于检测到至少一处故障,则启动冗余设备,并通过冗余设备进行通信 传输。
[0023]可选的,所述内部通信防护单元,包括:
[0024]进一步被配置为对列车通信网络的数据传输进行检测;
[0025]响应于传输的数据量超出预设阈值,则对数据传输进行端口限流和/或广 播风暴抑制。
[0026]可选的,还包括:
[0027]数据审计模块,所述数据审计模块被配置为获取列车通信网络的审计数 据,并对所述审计数据进行分析、存储以及异常检测。
[0028]可选的,所述数据防护模块,还包括:
[0029]被配置为对所述网络防护模块的数据传输进行加密。
[0030]可选的,所述设备防护模块,还包括:
[0031]对不属于预设白名单的设备的访问进行阻值。
[0032]基于同一种专利技术构思,本申请还提供了一种列车通信网络安全防护方法, 包括:
[0033]获取所述获取模块中的被检测数据;
[0034]响应于检测到威胁信息,则将所述威胁信息发送至所述网络防护模块;
[0035]响应于检测到威胁设备,则将所述威胁设备的设备信息发送至所述设备防 护模块;
[0036]获取所述威胁信息,并根据所述威胁信息对列车通信网络边界的信息传输 和内部信息传输进行保护;
[0037]获取所述设备信息,并判断所述设备信息是否属于预设白名单,若不是, 则发出警报。
[0038]从上面所述可以看出,本申请提供的列车通信网络安全防护系统通过获取 模块、检测模块、数据防护模块、网络防护模块以及设备防护模块之间协同工 作,实现对物理环境、网络区域边界,车载设备端,网络内部通信,数据资产 等方面进行安全防护既考虑了列车通信网络系统的实时性要求,又考虑了系统 的安全防护,降低了列车通信网络遭受网络攻击的风险,实现事前、事中、事 后全方位立体动态的的主动防御,保证列车通信网络的运
行安全。
附图说明
[0039]为了更清楚地说明本申请或相关技术中的技术方案,下面将对实施例或相 关技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附 图仅仅是本申请的实施例,对于本领域普通技术人员来讲,在不付出创造性劳 动的前提下,还可以根据这些附图获得其他的附图。
[0040]图1为本申请实施例的列车通信网络总体框架示意图;
[0041]图2为本申请实施例的列车通信网络安全防护系统示意图;
[0042]图3为本申请实施例的列车通信网络安全防护方法示意图;
[0043]图4为本申请实施例的列车与地面通信示意图。
具体实施方式
[0044]为使本申请的目的、技术方案和优点更加清楚明白,以下结合具体实施 例,并参照附图,对本申请进一步详细说明。
[0045]需要说明的是,除非另外定义,本申请实施例使用的技术术语或者科学术 语应当为本申请所属领域内具有一般技能的人士所理解的通常意义。本申请实 施例中使用的“第一”、“第二”以及类似的词语并不表示任何顺序、数量或者重 要性,而只是用来区分不同的组成部分。“包括”或者“包含”等类似的词语意指 出现该词前面的元件或者物件涵盖出现在该词后面列举的元件或者物件及其 等同,而不排除其他元件或者物件。
[0046]如
技术介绍
所述,列车通信网络分为两级网络,分别为:列车级网络和车 辆级网络,其中,列车级网络负责传输列车级的控本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种列车通信网络安全防护系统,其特征在于,包括:获取模块、检测模块、数据防护模块、网络防护模块以及设备防护模块;其中,所述获取模块包括:所述第一获取模块被配置为获取数据信息,并将所述数据信息发送至第一检测模块;所述第二获取模块被配置为获取设备信息,并将所述设备信息发送至第二检测模块;所述检测模块包括:所述第一检测模块被配置为对所述数据信息中的威胁信息进行检测,当检测到数据中的目的地址报文不属于已规划报文,则判断为威胁信息,并将所述威胁信息发送至所述网络防护模块;第二检测模块被配置为根据所述设备信息对威胁设备进行检测,当检测到设备信息中包含的进程或任务为未规划的进程或任务,则将所述设备信息对应的设备判断为威胁设备,并将所述威胁设备的所述设备信息发送至所述设备防护模块;所述网络防护模块被配置为对网络传输的边界和内部通信进行保护;所述设备防护模块被用于接收所述设备信息,基于所述设备信息进行设备安全性识别和防护。2.根据权利要求1所述的防护系统,其特征在于,所述网络防护模块,包括:边界防护单元,被配置为对列车通信网络的传输边界进行保护;其中包括:通过防火墙对列车与地面的通信进行逻辑隔离。3.根据权利要求2所述的防护系统,其特征在于,所述边界防护单元,还包括:通过设置应用网关对列车与网络媒体的通信进行物理隔离。4.根据权利要求1所述的防护系统,其特征在于,所述网络防护模块,还包括:内部通信防护单元,被配置为对列车通信网络的内部通信进行安全保护。5.根据权利要求1所述的防护系统,其特征在...
【专利技术属性】
技术研发人员:刘海涛,荣智林,唐军,陈超群,邹智荣,
申请(专利权)人:中车株洲电力机车研究所有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。