技術領域

本發明提供一種軌道交通監測數據的云安全存儲和處理方法及系統，涉及鐵路信號數據、鐵路通信數據、鐵路知識數據、系統報警數據、云計算、云存儲、云安全等技術領域，用以解決軌道交通監測數據云存儲和處理的安全性問題。

背景技術

云計算是一種基于互聯網的計算方式，通過這種方式，共享的軟硬件資源和信息可以按需求提供給計算機和其他設備。軌道交通領域在應用云計算技術時，基于虛擬化技術建立數據中心，將所有的軌道交通監測數據集中存儲到云平臺上。監測數據在云平臺上進行統一的數據管理和處理，包括對監測數據建立索引、利用數據挖掘算法挖掘數據的的潛在信息等，并基于這些數據對外發布查詢、統計和輔助決策等服務。

云計算技術在引入強大的計算、存儲及便捷的編程接口和服務的同時，也引入了新的安全威脅，包括數據中心主機安全、虛擬機安全、數據安全和客戶端安全等。數據中心的安全威脅包括：入侵威脅、拒絕服務攻擊、蠕蟲攻擊等。采取的應對手段有：入侵檢測和防護、拒絕服務攻擊檢測和減輕、蠕蟲檢測和消除。虛擬機安全威脅包括虛擬機逃逸、虛擬機失竊等。虛擬機溢出導致安全問題蔓延，管理程序設計過程中的安全隱患會傳染同臺物理主機上的虛擬機，這種現象被稱作“虛擬機溢出”。虛擬機成倍增長，補丁更新負擔加重。

數據安全威脅包括數據丟失、數據災難、數據隱私性威脅。其中數據隱私性安全威脅又包括：

1）傳輸中的數據。數據傳輸協議具有保密性和完整性，如HTTPS。因為部分檢測數據及云平臺提供的查詢、預警等服務需要通過互聯網對用戶提供。因此保證數據傳輸的保密性十分重要。

2）靜態數據。對靜態數據進行加密，保證檢測數據不會在未授權的情況下被盜用。主要是對數據庫中的數據進行加密，數據在云平臺上進行處理的時候是不進行加密的，否則會嚴重影響分布式計算的效率，處理之后的數據會存儲到數據庫中，這時候需要對數據進行加密處理。

3）數據處理，包括多用戶使用情況。數據處理時，單點失效不會造成任務的失敗或者丟失，當一個子任務沒有被執行的時候，主節點會檢測到改任務并將改任務分配給其他計算節點執行。

4）數據沿襲。對數據路徑的跟蹤，稱為數據的沿襲。

5）數據起源。不僅僅證實數據的完整性，還需要更加具體的數據起源的信息。

6）數據殘留。數據在刪除或者格式化之后并沒有徹底的將數據從硬盤上刪除，這時候仍有可能從廢棄的硬盤中獲取數據。因此需要按照安全監督機構發布的指導去進行清除。

發明內容

本發明的目的是針對數據在傳輸中的安全性和數據的隱私性，提供一種軌道交通監測數據的云安全存儲和處理方法及系統，通過各種安全配置和云安全控制服務器來保障軌道交通監測數據的存儲和處理安全。

為實現上述目的，本發明采用的技術方案如下：

一種軌道交通監測數據的云安全存儲和處理方法，其步驟包括：

1）數據采集系統采集軌道交通監測數據，使用云安全控制服務器的公鑰對采集的監測數據進行加密，然后將其傳輸到云安全控制服務器；

2）云安全控制服務器對接收到的監測數據使用本身的私鑰進行解密，并將監測數據存儲在云計算集群中；

3）客戶端在發送請求時使用云安全控制服務器的公鑰對數據進行加密，然后將數據傳輸給云安全控制服務器；

4）云安全控制服務器接收到來自客戶端的請求后使用自身的私鑰對數據進行解密，并根據客戶端的公鑰得到請求的來源，然后根據客戶端的請求在云計算集群中進行數據的相關處理，將處理結果使用客戶端的公鑰進行加密后傳輸給客戶端；

5）客戶端得到云安全控制服務器反饋的數據后，使用云安全控制服務器的公鑰對數據進行解密。

進一步地，所述云安全控制服務器根據數據采集系統的公鑰確定監測數據的來源是否為合法的數據采集系統，然后將來自合法的數據采集系統的監測數據存儲在云計算集群中。

進一步地，所述云安全控制服務器采用日志文件記錄自身的運行狀態，客戶端、數據采集系統與云計算集群的交互，以及云計算集群中各個節點的運行狀態，并將日志文件存儲到云計算集群中；云計算集群對日志文件進行分析處理并生成各種知識規則和分類器，以進行安全分析和管理。

進一步地，所述云安全控制服務器接收到來自客戶端或數據采集系統的請求時，基于所述知識規則和分類器以及實時的請求特征判斷是否為非法操作。