本發明公開了一種軌道交通云的終端安全管控方法，首先在軌道交通云部署安全網關，終端發送請求報文至安全網關，由安全網關轉發至軌道交通云；在軌道交通云部署終端安全管控服務，安全網關轉發至軌道交通云的請求報文通過終端安全管控服務進行安全編碼校驗；將軌道交通云的資源對象分別進行信息區編碼，通過終端安全管控服務進行信息區編碼校驗，根據信息區編碼對數據進行分流；數據通過安全網關以數據流的形式轉發至終端，終端不緩存數據流。本發明實現軌道交通云的信息安全，解決軌道交通云環境下終端接入和信息傳輸存在安全隱患的技術問題。

技術領域

本發明屬于軌道交通監控技術領域，具體涉及一種軌道交通云的終端安全管 控方法。

背景技術

云計算擁有高可靠性、動態可擴展性、超強計算和存儲、虛擬化技術和低 成本等顯著優點。以互聯網為基礎的云計算存在著一定的危險性和相當大的安 全隱患。由于網絡的篡改、劫持、跨站腳本攻擊、SQL注入、DoS攻擊等安全威 脅，信息安全一直是軌道交通云最大的軟肋之一。

發明內容

為解決上述問題，本發明提出一種軌道交通云的終端安全管控方法，實現軌 道交通云的信息安全，解決軌道交通云環境下終端接入和信息傳輸存在安全隱 患的技術問題。

本發明采用如下技術方案，一種軌道交通云的終端安全管控方法，具體步驟 如下：

1)在軌道交通云部署安全網關，終端發送請求報文至安全網關，由安全網 關轉發至軌道交通云；

2)在軌道交通云部署終端安全管控服務，安全網關轉發至軌道交通云的請 求報文通過終端安全管控服務進行安全編碼校驗，若校驗通過，則進入步驟3)， 否則請求終止；

3)將軌道交通云的資源對象分別進行信息區編碼，通過終端安全管控服務 進行信息區編碼校驗，軌道交通云與終端進行信息交流時根據信息區編碼對數 據進行分流；

4)軌道交通云返回給終端的數據通過安全網關以數據流的形式轉發至終端， 終端不緩存數據流。

優選地，所述步驟1)具體步驟為：

11)終端發送請求報文至安全網關，安全網關對請求報文進行識別和過濾， 通過加密的報文標識判斷報文是否合法,如果是非法訪問的報文,安全網關直接 丟棄報文，否則進入步驟12)；

12)安全網關識別出合法報文后，校驗報文頭包含的來回尋址信息是否合 法，如果是非法尋址信息，安全網關直接丟棄報文，否則進入步驟13)；

13)安全網關將合法報文轉發給軌道交通云。

優選地，所述步驟2)具體步驟為：

21)在軌道交通云登記所有合法的終端，設定唯一的安全編碼；

22)若終端發送登錄請求報文至安全網關，則進入步驟23)；若終端發送 數據請求報文至安全網關，則進入步驟24)；若終端發送操作請求報文至安全 網關，則進入步驟25)；

23)終端發送登錄請求報文至安全網關，安全網關校驗報文合法性后，將 合法報文轉發至終端安全管控服務，終端安全管控服務對終端的安全編碼進行 校驗，如果校驗通過，則進入步驟3)；否則登錄終止；

24)終端發送數據請求報文至安全網關，安全網關校驗報文合法性后，將 合法報文轉發至軌道交通云的數據服務，數據服務在處理請求前，調用終端安 全管控服務接口校驗終端的安全編碼；如果校驗通過，則進入步驟3)；如果校 驗失敗，則數據服務拒絕提供數據，請求終止；

25)終端發送操作請求報文至安全網關，安全網關校驗報文合法性后，將 合法報文轉發至軌道交通云的操作服務，操作服務在處理請求前，調用終端安 全管控服務接口校驗終端的安全編碼，如果校驗通過，則進入步驟3)；如果校 驗失敗，則操作服務拒絕執行操作，請求終止。