一种无线接入铁路信息网络的方法及系统与流程

文档序号:14864534发布日期:2018-07-04 10:22阅读:470来源:国知局
导航: X技术> 最新专利>电子通信装置的制造及其应用技术
一种无线接入铁路信息网络的方法及系统与流程

本发明涉及计算机网络技术,特别涉及一种无线接入铁路信息网络的方法及系统。



背景技术:

随着计算机网络的普及,在铁路系统中也设置了铁路信息网络,铁路信息网络是基于网际协议(ip)技术的铁路信息综合承载网络,现已经覆盖铁路总公司和全路18个铁路局,近5000个基层站段。铁路信息网络承载了运输组织类、货运营销类、经营管理类、信息系统技术支持与运行保障类四大类业务50多个应用系统。为了保证铁路信息网络的安全性,在铁路总公司和全路18个铁路局部署了铁路计算机网络安全平台,在总公司和铁路局外部服务网、内部服务网和安全生产网之间进行安全隔离,形成三网分离的纵深防御体系,具备网络访问控制、用户身份认证/授权、统一用户管理、内外网信息安全交换等功能。直接关系铁路运输生产的铁路信息网络部署在安全生产网,为铁路内部提供一般性服务的铁路信息网络部署在内部服务网,为社会提供公共服务的应用系统部署在外部服务网。

随着铁路信息化进程的逐步推进,需要通过无线接入开展生产业务的需求也越来越迫切。目前铁路无线接入安全防护还缺乏全面及系统的技术手段,无形接入在提高工作效率的同时也引入了新的安全风险,如何保障无线接入安全就成为了当前迫切需要研究解决的问题。其中无线接入认证和授权存在的安全问题是无线网络攻击者可能伪装或假冒成合法用户,通过无线网络接入到业务系统中,从而进行信息窃取,破坏和攻击等行为。



技术实现要素:

有鉴于此,本发明实施例提供一种无线接入铁路信息网络的方法,该方法能够在无线接入铁路信息网络时保证认证或/和授权的安全性。

本发明实施例提供一种无线接入铁路信息网络的系统,该系统能够在无线接入铁路信息网络时保证认证或/和授权的安全性。

根据上述目的,本发明是这样实现的:

一种无线接入铁路信息网络的方法,铁路信息网络包括内部服务网和外部服务网,包括:

在内部服务网和外部服务网分别设置无线安全接入平台;

在内部服务网设置具有无线访问权限的用户组,其中包括多个具有无线访问权限的用户标识;

内部服务网将所述用户组复制到外部服务网内;

当移动终端要接入内部服务网或外部服务网时,将携带用户标识的证书发起请求发送给内部服务网或外部服务网的无线安全接入平台;

内部服务网或外部服务网的无线安全接入平台对证书认证并判断证书携带的用户标识是否在所述用户组内,如果是,将移动终端接入内部服务网或外部服务网。

所述对证书认证并判断证书携带的用户标识是否在所述用户组内之前,还包括:所述内部服务网或外部服务网的无线安全接入平台获取所述用户组,存储到本地数据库,称为ldap用户,在判断时,与ldap用户进行匹配。

所述用户标识为用户身份标识uid;

所述证书为x.509数字证书或者802.1x数字证书,其中的扩展字段携带用户标识。

所述发送携带用户标识的证书发起请求为:移动终端设置有安全防护软件,当其接入内部服务网或外部服务网时启动。

该方法还包括:移动终端中装载铁路信息网络提供的移动应用,在进行所述移动应用的接入时,也启动安全防护软件,进行认证且验证后,再成功接入所述移动应用。

一种无线接入铁路信息网络的系统,包括:内部服务网及外部服务网,在内部服务网中包括内部无线安全接入平台、路局内外核心单元、内网目录服务器及内网移动终端,在外部服务网中包括外部无线安全接入平台、路局外网核心单元、外网目录服务器及外网移动终端,内部无线安全接入平台及内网目录服务器分别接入路局内外核心单元,外部无线安全接入平台及外网目录服务器分别接入外网核心单元,内网目录服务器与外网目录服务器之间通过安全隔离设备相互连接;其中,

内网目录服务器,用于设置具有无线访问权限的用户组,其中包括多个具有无线访问权限的用户标识,将所设置的用户组传输给外网目录服务器;

外网目录服务器,用于将从内网目录服务器接收的所述用户组存储;

内网移动终端,用于向路局内网核心单元发送携带用户标识的证书发起请求;

路局内网核心单元,用于接收携带用户标识的证书发起请求后,转发给内部无线安全接入平台,接收内部无线安全接入平台发送的无线接入通知后,接入内网移动终端;

内部无线安全接入平台,用于对所接收请求中的证书进行认证后,从证书中提取携带的用户标识,通过路局内网核心单元从内网目录服务器调取所述用户组,判断是否在内网目录服务器中设置的用户组中,如果是,则发送无线接入通知给路局内网核心单元;

外网移动终端,用于向路局外网核心单元发送携带用户标识的证书发起请求;

外部无线安全接入平台,用于接收携带用户标识的证书发起请求后,转发给路局外网核心单元,接收路局外网核心单元发送的无线接入通知后,接入外网移动终端;

路局外网核心单元,用于对所接收请求中的证书进行认证后,从证书中提取携带的用户标识,通过路局外网核心单元从外网目录服务器调取所述用户组,判断是否在外网目录服务器中存储的用户组中,如果是,则发送无线接入通知给外部无线安全接入平台。

所述路局内网核心单元或路局外网核心单元中,分别包括交换机和防火墙,其中,防火墙分别用于将内部无线安全接入平台与内网目录服务器隔离,或外部无线安全接入平台与外网目录服务器隔离;交换机分别用于在铁路内网无线接入平台与内网移动终端及内网目录服务器之间交互信息;在铁路外网无线接入平台与外网移动终端及外网目录服务器之间交互信息。

所述在内网移动终端和路局内网核心单元之间还包括站场核心,所述站场核心具有交换机和防火墙,可以安全的接入应用系统服务区或内网移动终端;

所述在外网移动终端和路局外网核心单元之间还包括办公终端接入区,通过不同的接入点接入外网移动终端。

铁路内网无线安全接入平台中或铁路外网无线安全接入平台包含有移动设备管理mdm服务器及wifi接入网关,wifi接入网关用于对内网移动终端或外网移动终端的证书进行的认证并进行用户标识的提取,mdm服务器用于对用户标识是否在所述用户组中进行判断,确保内网移动终端或外网移动终端的无线接入安全;

或者mdm服务器及wifi接入网关都具有证书认证及判断功能,获取所述用户组,存储在本地数据库中,称为ldap用户,使用ldap用户进行移动终端的用户身份认证。

所述用户标识为uid;

所述证书为x.509数字证书或者802.1x数字证书,其中的扩展字段携带用户标识。

由上述方案可以看出,本发明实施例分别使得铁路信息网络中的内部服务网及外部服务网接入所设置的无线安全接入平台,在内部服务网设置具有无线访问权限的用户组,并将所述用户组同步到外部服务网中,当移动终端要接入内部服务网或外部服务网时,向内部服务网或外部服务网的无线安全接入平台发送携带用户标识的证书发起请求,由内部服务网或外部服务网的无线安全接入平台对证书认证并判断证书携带的用户标识是否在所述用户组内,如果是,则将移动终端接入内部服务网或外部服务网。由于本发明实施例在接入时采用证书认证且对移动终端的用户身份进行认证,所以在无线接入铁路信息网络时保证认证或/和授权的安全性。

附图说明

图1为本发明实施例提供的一种无线接入铁路信息网络的方法流程图;

图2为本发明实施例提供的一种无线接入铁路信息网络结构示意图;

图3为本发明实施例提供的一种无线接入铁路信息网络的方法具体例子流程图。

具体实施方式

为使本发明的目的、技术方案及优点更加清楚明白,以下参照附图并举实施例,对本发明作进一步详细说明。

为了在无线接入铁路信息网络时保证认证或/和授权的安全性,本发明实施例分别使得铁路信息网络中的内部服务网及外部服务网接入所设置的无线安全接入平台,在内部服务网设置具有无线访问权限的用户组,并将所述用户组同步到外部服务网中,当移动终端要接入内部服务网或外部服务网时,向内部服务网或外部服务网的无线安全接入平台发送携带用户标识的证书发起请求,由内部服务网或外部服务网的无线安全接入平台对证书认证并判断证书携带的用户标识是否在所述用户组内,如果是,则将移动终端接入内部服务网或外部服务网。由于本发明实施例在接入时采用证书认证且对移动终端的用户身份进行认证,所以可以解决背景技术提出的问题。

更进一步地,由于铁路信息网络中的外部服务网和内部服务网在接入移动终端时的认证是分开执行的,所以更加保证了接入无线移动终端的安全性。

图1为本发明实施例提供的一种无线接入铁路信息网络的方法流程图,其具体步骤为:

步骤101、在内部服务网和外部服务网分别设置无线安全接入平台;

步骤102、在内部服务网设置具有无线访问权限的用户组,其中包括多个具有无线访问权限的用户标识;

步骤103、内部服务网将所述用户组复制到外部服务网内;

步骤104、当移动终端要接入内部服务网或外部服务网时,将携带用户标识的证书发起请求发送给内部服务网或外部服务网的无线安全接入平台;

步骤105、内部服务网或外部服务网的无线安全接入平台对证书认证并判断证书携带的用户标识是否在所述用户组内,如果是,执行步骤106;如果否,则执行步骤107;

步骤106、内部服务网或外部服务网将移动终端接入内部服务网或外部服务网;

步骤107、内部服务网或外部服务网不允许移动终端接入内部服务网或外部服务网。

在该方法中,在对证书认证并判断证书携带的用户标识是否在所述用户组内之前,所述内部服务网或外部服务网的无线安全接入平台获取所述用户组,存储到本地数据库,称为ldap用户,在判断时,与ldap用户进行匹配。

图2为本发明实施例提供的一种无线接入铁路信息网络结构示意图,包括:内部服务网及外部服务网,在内部服务网中包括内部无线安全接入平台、路局内外核心单元、内网目录服务器及内网移动终端,在外部服务网中包括外部无线安全接入平台、路局外网核心单元、外网目录服务器及外网移动终端,其中,内部无线安全接入平台及内网目录服务器分别接入路局内外核心单元,外部无线安全接入平台及外网目录服务器分别接入外网核心单元,内网目录服务器与外网目录服务器之间通过安全隔离设备相互连接。具体地,

内网目录服务器,用于设置具有无线访问权限的用户组,其中包括多个具有无线访问权限的用户标识,将所设置的用户组传输给外网目录服务器;

外网目录服务器,用于将从内网目录服务器接收的所述用户组存储;

内网移动终端,用于向路局内网核心单元发送携带用户标识的证书发起请求;

路局内网核心单元,用于接收携带用户标识的证书发起请求后,转发给内部无线安全接入平台,接收内部无线安全接入平台发送的无线接入通知后,接入内网移动终端;

内部无线安全接入平台,用于对所接收请求中的证书进行认证后,从证书中提取携带的用户标识,通过路局内网核心单元从内网目录服务器调取所述用户组,判断是否在内网目录服务器中设置的用户组中,如果是,则发送无线接入通知给路局内网核心单元;

外网移动终端,用于向路局外网核心单元发送携带用户标识的证书发起请求;

外部无线安全接入平台,用于接收携带用户标识的证书发起请求后,转发给路局外网核心单元,接收路局外网核心单元发送的无线接入通知后,接入外网移动终端;

路局外网核心单元,用于对所接收请求中的证书进行认证后,从证书中提取携带的用户标识,通过路局外网核心单元从外网目录服务器调取所述用户组,判断是否在外网目录服务器中存储的用户组中,如果是,则发送无线接入通知给外部无线安全接入平台。

在该结构中,路局内网核心单元或路局外网核心单元中,分别包括交换机和防火墙,其中,防火墙分别用于将内部无线安全接入平台与内网目录服务器隔离,或外部无线安全接入平台与外网目录服务器隔离,保证内网目录服务器或外网服务器的安全性;交换机分别用于在铁路内网无线接入平台与内网移动终端及内网目录服务器之间交互信息;在铁路外网无线接入平台与外网移动终端及外网目录服务器之间交互信息。

在该结构中,内部服务网还包括应用系统服务区,与路局内网核心单元连接,用于提供各种信息。在内网移动终端和路局内网核心单元之间还包括站场核心,所述站场核心具有交换机和防火墙,可以安全的接入应用系统服务区或内网移动终端。

在该结构中,外部服务网还包括应用系统服务区,与路局外网核心单元连接,用于提供各种信息。在外网移动终端和路局外网核心单元之间还包括办公终端接入区,可以通过不同的接入点接入外网移动终端。路局外网核心单元还包括互联网出口,其中具有防火墙和入侵防御系统(ips),用于保证安全的接入互联网。

在该结构中,铁路内网无线安全接入平台或铁路外网无线安全接入平台中包含有移动设备管理(mdm)服务器及wifi接入网关,wifi接入网关用于对内网移动终端或外网移动终端的证书进行的认证并进行用户标识的提取,mdm服务器用于对用户标识是否在所述用户组中进行判断,确保内网移动终端或外网移动终端的无线接入安全。

当然,mdm服务器及wifi接入网关也可以都具有证书认证及判断功能,即mdm服务器及wifi接入网关获取所述用户组,存储在本地数据库中,称为ldap用户,使用ldap用户进行移动终端的用户身份认证。

在本发明实施例中,用户标识可以是用户身份标识(uid)。

在本发明实施例中,证书可以为x.509数字证书或者802.1x数字证书,其中的扩展字段携带用户标识,也就是uid,该uid在铁路信息网络中唯一。

在本发明实施例中,移动终端,比如内网移动终端或外网移动终端,可以是移动智能终端,其中设置有安全防护软件,当其接入内部服务网或外部服务网时,就可以启动,并发送携带用户标识的证书发起请求。在移动终端中还可以装载铁路信息网络提供的移动应用,在进行所述移动应用的接入时,也启动安全防护软件,进行认证且验证后,再成功接入。

在本发明实施例中,还可以设置所述用户组管理员用户,通过为该所述用户组管理用户设置的访问控制策略,使得该用户可以管理并创建所述用户组。该用户可以通过无线安全接入平台接入。

举一个具体例子进行说明,图3为本发明实施例提供的一种无线接入铁路信息网络的方法具体例子流程图,其具体步骤为:

分别以内部服务网和外部服务网的接入说明,内部服务网的内网目录服务器创建具有无线访问权限的用户组,包括多个具有无线访问权限的用户标识,将所述用户组同步复制到外部服务网中的外网目录服务器中,内网目录服务器或外网目录服务器分别将所述用户组提供给铁路内网无线安全接入平台或铁路外网无线安全接入平台。

内部服务网的接入过程

步骤301、移动终端在接入点的覆盖范围内,接收到接入点的扫描;

步骤302、移动终端通过接入点向路局内网核心单元发起连接;

步骤303、移动终端通过路局内网核心单元,向铁路内网无线安全接入平台发送采用携带用户标识的证书发起请求;铁路内网无线安全接入平台中的wifi接入网关对证书进行认证并提取携带的用户标识,判断用户标识是否在所述用户组中;

步骤304、铁路内网无线安全接入平台中的mdm服务器对证书进行认证并提取携带的用户标识,判断用户标识是否在所述用户组中;

步骤305、如果是,则使得移动终端铁路信息网络提供的移动应用中。

外部服务网的接入过程

步骤306、移动终端在接入点的覆盖范围内,接收到接入点的扫描;

步骤307、移动终端通过接入点向路局外网核心单元发起连接;

步骤308、移动终端通过路局外网核心单元,向铁路外网无线安全接入平台发送采用携带用户标识的证书发起请求;铁路外网无线安全接入平台中的wifi接入网关对证书进行认证并提取携带的用户标识,判断用户标识是否在所述用户组中;

步骤309、铁路外网无线安全接入平台中的mdm服务器对证书进行认证并提取携带的用户标识,判断用户标识是否在所述用户组中;

步骤310、如果是,则使得移动终端铁路信息网络提供的移动应用中。

可以看出,本发明实施例在铁路信息网络中的内部服务网和外部服务网中依托无线安全接入平台及统一用户的目录服务器完成安全接入移动终端。内网目录服务器和外网目录服务器是铁路信息网络中用户统一管理的核心基础设施,在总公司及十八个路局机关两级部署,通过各数据节点之间的同步复制实现了全系统的用户信息共享和同步。对铁路全局用户,可以在任何一个有权限的铁路内/外网无线安全接入平台使用同一个用户名登录,保证了用户身份的唯一性。更近一步地,如果是铁路全局用户,通过各路局节点之间的同步复制机制实现数据全路同步。

以上举较佳实施例,对本发明的目的、技术方案和优点进行了进一步详细说明,所应理解的是,以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内,所作的任何修改、等同替换和改进等,均应包含在本发明的保护范围之内。

完整全部详细技术资料下载
当前第1页1 2 
  • 该技术已申请专利。仅供学习研究,如用于商业用途,请联系技术所有人。
  • 技术研发人员:纪方;李赟;仇士春;王毅;邵青
  • 技术所有人:中国铁路总公司;中国铁路信息技术中心
  • 我是此专利的发明人
相关技术
网友询问留言 已有0条留言
  • 还没有人留言评论。精彩留言会获得点赞!
1
精彩留言,会给你点赞!
广道无线接入管控系统相关技术
无线接入系统相关技术
无线接入网络相关技术
铁路信息管理系统相关技术

使用协议| 关于我们| 联系X技术

© 2008-2024 【X技术】 版权所有,并保留所有权利。津ICP备16005673号-2