技術領域

本發明屬于列車控制領域，尤其涉及一種應用于列車控制的數據通信系統。

背景技術

在列車控制系統中，需要傳輸多種類型的數據。從數據所屬功能類別來看，主要分為安全控制信息和非安全信息兩類。目前，所有安全信息和非安全信息在列車控制系統中的傳輸共享一個數據通信系統。

數據通信系統通常分為有線網絡和無線網絡兩部分，其中無線網絡在安全方面存在著先天不足，由于通訊介質是開放的無線信號，所以入侵者可以通過監聽的辦法來獲取無線通訊數據包，存在偶然的或者惡意的原因而遭受到入侵、破壞、更改等可能性。其次，有線網絡中的無線接入設備（例如：軌旁AP箱）鋪設在室外，也很容易被惡意入侵，接入到列車控制系統的數據通信系統，獲取列車控制系統的通信信息。由于軌道交通的重要性，當然對安全性也就有了很高的要求，因此數據通信系統的網絡安全問題需要得到很好的解決。

發明內容

本發明所要解決的技術問題是提供一種應用信息安全技術的列車數據通信系統，它可以在列車控制信息通信過程中保證通信數據安全，不被監聽或偷窺，不被惡意攻擊。

為了解決以上技術問題，本發明提供了一種應用信息安全技術的列車數據通信系統；在列控系統的安全信息網絡和數據通信網絡之間，有一個安全通信設備實現安全信息網絡和非安全的數據通信網絡隔離；將安全信息數據進行加密認證處理后，通過開放的數據通信網絡傳輸到目的端的安全通信設備；在目的端安全通信設備上進行解密還原成原始數據包，送到目的安全信息網絡。

本發明的有益效果在于：在列車控制信息通信過程中保證通信數據安全，不被監聽或偷窺，不被惡意攻擊等。使得重要的列車控制信息經過數據通信系統后的完整性、機密性和不可否認性。

在需要通信的兩個安全信息網絡之間進行協商出雙方共有的加密密鑰和高安全性的加密算法，然后交換各自的認證算法和密鑰。

當有安全信息設備發送數據包后，在數據包被發送到數據通信網絡前，將整個三層數據包進行加密，同時計算出認證碼添加到加密的數據后面，并在前面封裝源IP地址和目的IP地址，這里的源、目的IP地址是數據通信網絡與安全網絡之間的接口IP地址。

整個數據包根據標準的IP包結構進行封裝，然后將新建構好的數據包傳送到數據通信網絡中。

當數據包到達目的地后，具有解密秘鑰和認證秘鑰的真正通信對象，可成功解密數據包，并計算驗證信息與數據包中的驗證信息進行比對，成功比對的數據包才會被還原，并送達安全通信的目的網絡。

附圖說明

下面結合附圖和具體實施方式對本發明作進一步詳細說明。

圖1是本發明所述應用信息安全技術的列車數據通信系統示意圖。

具體實施方式

如圖1所示，針對列車控制系統信息傳輸的安全要求，設計安全解決方案，確保列車控制系統中安全控制信息的通信過程中的安全性。數據通信系統是列車控制系統中的一個功能子系統，主要完成列車控制系統中各種信息的傳送功能。通常采用二、三層數據網絡設備組建數據網絡，實現安全信息和非安全信息的傳輸功能。為區分安全信息和非安全信息，可以劃分為多個子網，安全信息和非安全信息的設備分別屬于不同的IP子網。安全信息設備之間傳輸的是安全控制信息，對信息傳輸過程中的安全要求很敏感，要求在傳輸過程中不會被任何人偷窺、入侵、修改等。因此，安全信息在進入數據通信網絡之前需要被加密和認證。

具體技術如下：

首先，在需要通信的兩個安全信息網絡之間進行協商出雙方共有的加密密鑰和高安全性的加密算法，然后交換各自的認證算法和密鑰，以及一些其它安全通信需要的相關信息。

然后，當有安全信息設備發送數據包后，在數據包被發送到數據通信網絡前，將整個三層數據包進行加密，同時計算出認證碼添加到加密的數據后面，并在前面封裝源IP地址和目的IP地址，這里的源、目的IP地址是數據通信網絡與安全網絡之間的接口IP地址。整個數據包根據標準的IP包結構進行封裝，然后將新建構好的數據包傳送到數據通信網絡中。由于數據包已經被加密并認證，傳輸過程中有任何人獲得該數據包，由于沒有解密密鑰，無法獲知數據包內容，數據得到很好的保護。即使他能解密數據包并篡改內容，由于他沒有認證秘鑰，也會被接收端認證數據檢驗出來而被丟棄。數據的安全性得到很好的保護。

最后，當數據包到達目的地后，具有解密秘鑰和認證秘鑰的真正通信對象，可成功解密數據包，并計算驗證信息與數據包中的驗證信息進行比對。成功比對的數據包才會被還原，并送達安全通信的目的網絡。