一种实现列控系统信息安全防护的方法、装置及系统与流程

本申请涉及但不限于移动通信技术，尤指一种实现列控系统信息安全防护的方法、装置及系统。

背景技术：

目前，高速铁路动车组装备有用于安全控制列车运行的列车控制系统。中国列车控制系统(ctcs，chinesetraincontrolsystem，下文中简称为列控系统)中包含的各种设备统称为信号设备。通常，高速铁路使用的列控系统包括车载设备和地面设备两部分，这些设备均为信号设备。信号设备是安全相关产品，遵循故障-安全原则，因此，信号设备在软件设计中多考虑一旦发生故障，设备会进入或保持在安全状态。这里，安全指的是不出现人身事故和对环境的损害事故。

传统列控系统中的设备多使用继电电路或点对点传输方式实现，不会接入网络，即为封闭网络。因此，在软件设计中不会考虑信息安全的问题。这里，信息安全指的是防止黑客通过发送虚假数据、侵入列控系统网络等手段干扰列车运行，与上一段所述的故障-安全中的安全为不同概念。

随着计算机技术和列控系统技术的发展，列控系统使用了以太网和无线通信技术，通信网络包括地面安全数据网和用于车地通信的铁路无线专用网络。其中，地面安全数据网虽然是封闭网络，但是使用以太网技术的列控系统设备有暴露在以太网攻击技术下的风险；无线网络更是开放网络。随着列控系统越来越多的使用通信网络，信号设备尤其是高速铁路系统中的信号设备需要考虑信息安全问题。

技术实现要素：

本发明提供一种实现列控系统信息安全防护的方法、装置及系统，能够更好地保证信息安全免受黑客的干扰。

为了达到本发明目的，本发明提供了一种实现列控系统信息安全防护的方法，包括：

无线闭塞中心rbc设备通过预先建立的安全通道接收车载设备回传的用于控制行车的第二控制信息；

rbc设备比较接收到的第二控制信息与rbc设备自身发送给车载设备的第一控制信息；

rbc设备结合比较的结果和预先设置的处理条件，确定自身发送给车载设备的第一控制信息是否受到攻击。

可选地，所述rbc设备通过预先建立的安全通道接收车载设备回传的用于控制行车的第二控制信息方法之前，还包括：

所述rbc设备向所述车载设备发送用于控制行车的所述第一控制信息。

可选地，所述安全通道为：基于用于铁路通信及应用的国际无线通信标准gsm-r分组域方式的通道，或者基于长期演进lte方式的通道。

可选地，所述rbc设备比较接收到的第二控制信息与rbc设备自身发送给车载设备的第一控制信息包括：

所述rbc设备根据时间戳对所述第二控制信息中和所述第一控制信息中时间戳相同的消息分别进行比较。

可选地，所述确定自身发送给车载设备的第一控制信息是否受到攻击，包括：

如果所述第一控制信息与所述第二控制信息相同，则确定所述第一控制信息没有受到攻击，继续执行接收所述第二控制信息的步骤；

如果所述第一控制信息与所述第二控制信息不相同，则进一步判断是否连续不相同，如果连续不相同且连续预设第一时长均不相同，则确定所述第一控制信息受到攻击，所述rbc设备向车载设备发送无条件紧急停车命令；如果不是连续预设第一时长均不相同，则进一步判断是否在预设第一时长内有预设第一次数次连续不相同，如果在预设第一时长内有预设第一次连续数次不相同，则确定所述第一控制信息受到攻击，所述rbc设备发出高等级报警，如果在预设第一时长内没有预设第一次数次连续不相同，则确定所述第一控制信息没有受到攻击，继续执行接收所述第二控制信息的步骤；

如果所述第一控制信息与所述第二控制信息不是连续不相同，则进一步判断是否在预设第二时长内存在预设第二次数次不相同，如果在预设第二时长内存在预设第二次数次不相同，则确定所述第一控制信息受到攻击，所述rbc设备发出低等级报警；如果在预设第二时长内没有达到预设第二次数次不相同，则确定所述第一控制信息没有受到攻击，继续执行接收所述第二控制信息的步骤。

本申请还提供了一种计算机可读存储介质，其上存储有计算机程序，所述计算机程序被处理器执行时实现上述任一项实现列控系统信息安全防护的方法。

本申请再提供了一种实现列控系统信息安全防护的设备，包括处理器和计算机可读存储介质，所述计算机可读存储介质中存储有指令，当所述指令被所述处理器执行时，实现上述任一项实现列控系统信息安全防护的方法。

本申请又提供了一种实现列控系统信息安全防护的装置，包括：收发模块、比较模块、处理模块；其中，

收发模块，用于通过预先建立的安全通道接收车载设备回传的用于控制行车的第二控制信息；

比较模块，用于比较接收到的第二控制信息与比较模块自身所属装置发送给车载设备的第一控制信息。

处理模块，用于结合比较的结果和预先设置的处理条件，确定自身发送给车载设备的第一控制信息是否受到攻击。

可选地，所述收发模块还用于：向所述车载设备发送用于控制行车的第一控制信息。

可选地，所述处理模块具体用于：

如果所述第一控制信息与所述第二控制信息相同，则确定所述第一控制信息没有受到攻击，通知所述收发模块继续接收；

如果所述第一控制信息与所述第二控制信息不相同，则进一步判断是否连续不相同，如果是连续不相同且连续预设第一时长内均不相同，则确定所述第一控制信息受到严重攻击，向所述车载设备发送无条件紧急停车命令；如果不是连续预设第一时长均不相同，则进一步判断是否在预设第一时长内有预设第一次数次连续不相同，如果在预设第一时长内有预设第一次数次连续不相同，则确定所述第一控制信息受到攻击，发出高等级报警，如果在预设第一时长内没有预设第一次数次连续不相同，则确定所述第一控制信息没有受到攻击，通知所述收发模块继续接收；

如果所述第一控制信息与所述第二控制信息不是连续不相同，则进一步判断是否在预设第二时长内存在预设第二次数次不相同，如果在预设第二时长内存在预设第二次数次不相同，则确定所述第一控制信息受到攻击，发出低等级报警；如果在预设第二时长内没有达到预设第二次数次不相同，则确定所述第一控制信息没有受到攻击，通知所述收发模块继续接收。

本申请还提供了一种实现列控系统信息安全防护的系统，包括：rbc设备、车载设备；其中，

车载设备用于：通过预先建立的安全通道向rbc设备发送用于控制行车的第二控制信息；

rbc设备用于：通过预先建立的安全通道接收车载设备回传的用于控制行车的第二控制信息；rbc设备比较接收到的第二控制信息与rbc设备自身发送给车载设备的第一控制信息；rbc设备结合比较的结果和预先设置的处理条件，确定自身发送给车载设备的第一控制信息是否受到攻击。

可选地，所述rbc设备包括上述任一项所述的实现列控系统信息安全防护的装置。

可选地，所述安全通道为：基于gsm-r分组域方式的通道，或者基于lte方式的通道。

本申请技术方案至少包括：rbc设备通过预先建立的安全通道接收来自车载设备的用于控制行车的第二控制信息；rbc设备比较接收到的第二控制信息与rbc设备自身发送给车载设备的第一控制信息；rbc设备结合比较的结果和预先设置的处理条件，确定自身发送给车载设备的第一控制信息是否受到攻击。本申请在地面rbc设备和车载设备之间增加一条物理安全通道，通过在这条物理通道上再次建立逻辑链接来传输信息安全相关的消息，更好地保证了信息安全免受黑客的干扰。

特别地，通过本申请增强了ctcs-3级列控系统主要信号设备的信息安全防护。

本发明的其它特征和优点将在随后的说明书中阐述，并且，部分地从说明书中变得显而易见，或者通过实施本发明而了解。本发明的目的和其他优点可通过在说明书、权利要求书以及附图中所特别指出的结构来实现和获得。

附图说明

附图用来提供对本申请技术方案的进一步理解，并且构成说明书的一部分，与本申请的实施例一起用于解释本申请的技术方案，并不构成对本申请技术方案的限制。

图1为相关技术中rbc设备和车载设备交互信息的网络架构示意图；

图2为本申请rbc设备和车载设备交互信息的网络架构示意图；

图3为本申请实现列控系统信息安全防护的方法的流程图；

图4为本申请实现列控系统信息安全防护的装置的组成结构示意图；

图5为本申请实现列控系统信息安全防护的实施例的流程图。

具体实施方式

为使本申请的目的、技术方案和优点更加清楚明白，下文中将结合附图对本申请的实施例进行详细说明。需要说明的是，在不冲突的情况下，本申请中的实施例及实施例中的特征可以相互任意组合。

在本申请一个典型的配置中，计算设备包括一个或多个处理器(cpu)、输入/输出接口、网络接口和内存。

内存可能包括计算机可读介质中的非永久性存储器，随机存取存储器(ram)和/或非易失性内存等形式，如只读存储器(rom)或闪存(flashram)。内存是计算机可读介质的示例。

计算机可读介质包括永久性和非永久性、可移动和非可移动媒体可以由任何方法或技术来实现信息存储。信息可以是计算机可读指令、数据结构、程序的模块或其他数据。计算机的存储介质的例子包括，但不限于相变内存(pram)、静态随机存取存储器(sram)、动态随机存取存储器(dram)、其他类型的随机存取存储器(ram)、只读存储器(rom)、电可擦除可编程只读存储器(eeprom)、快闪记忆体或其他内存技术、只读光盘只读存储器(cd-rom)、数字多功能光盘(dvd)或其他光学存储、磁盒式磁带，磁带磁磁盘存储或其他磁性存储设备或任何其他非传输介质，可用于存储可以被计算设备访问的信息。按照本文中的界定，计算机可读介质不包括非暂存电脑可读媒体(transitorymedia)，如调制的数据信号和载波。

在附图的流程图示出的步骤可以在诸如一组计算机可执行指令的计算机系统中执行。并且，虽然在流程图中示出了逻辑顺序，但是在某些情况下，可以以不同于此处的顺序执行所示出或描述的步骤。

中国高速铁路使用的列控系统等级包括ctcs-2级、ctcs-3级。其中，ctcs-3级列控系统的核心设备是车载设备和无线闭塞中心(rbc，radioblockcenter)设备。ctcs-3级列控系统的列控车载设备安装在动车组上，负责接收地面数据(如坡度、速度等)和命令信息(如紧急停车命令等)以生成控制曲线以控制列车运行，监控列车运行以保证列车运行安全。在ctcs-3级列控系统中，rbc设备是ctcs-3级列控系统的地面核心设备。rbc设备从联锁设备接收进路和闭塞分区占用消息，从临时限速服务器接收临时限速消息，从相邻rbc接收行车许可相关消息，从用于行车指挥的调度集中系统(ctc)设备接收无条件紧急停车(uem)命令，从车载设备接收位置报告等信息，然后，根据接收到的信息生成列车行车许可等用于控制行车的控制信息，最后，通过无线通信方式发送给车载设备，以控制列车的安全追踪运行。

rbc设备和车载设备之间的消息交互是非常重要的，车载设备使用rbc设备发送的列车行车许可等用于控制行车的控制信息生成控制曲线以控制列车运行，因此，这些消息不能经受黑客的干扰，不能被修改或者大量丢失，否则将会带来不可想象的灾难。相关技术中，rbc设备和车载设备之间是通过gsm-r无线网络的电路域(铁路专用无线通信网络)交互信息，硬件连接如图1所示。

为了更好地保证信息安全免受黑客的干扰，本申请发明人提出：在地面rbc设备和车载设备之间增加一条物理通道，即图2中安全通道，通过在这条物理通道上再次建立逻辑链接来传输信息安全相关的消息。这条安全通道可以是基于gsm-r分组域或者长期演进(lte)网络的物理通道，用于车载设备箱rbc设备回传信息。本领域技术人员知道，根据设备制式的不同，信息安全相关的消息的种类会稍有差别，这个并不用于限定本申请的保护范围。

图3为本申请实现列控系统信息安全防护的方法的流程图，如图3所示，包括：

步骤300：rbc设备通过预先建立的安全通道接收车载设备回传的用于控制行车的第二控制信息。

可选地，本领域技术人员知道，根据设备制式的不同，信息安全相关的第二控制信息的种类会稍有差别，这个并不用于限定本申请的保护范围。比如，第二控制信息包括但不限于：消息编号为3的行车许可信息，编号为24的一般信息等。

本步骤之前还包括：

在rbc设备与车载设备之间建立安全通道。

可选地，安全专用通道，可以是基于用于铁路通信及应用的国际无线通信标准(gsm-r，globalsystemformobilecommunications–railway)分组域方式的通道，也可以是基于铁路无线通信可能采用的新的通信制式如长期演进(lte)方式的通道。分组域和lte的共同点都是在无线通道上采用传输控制协议/网间协议(tcp/ip)的协议方式传输数据，类似互联网，而与ctcs-3级列控系统现有的电路域方式相比，不同的是在无线通道上采用电信的高级数据链路控制(hdlc，high-leveldatalinkcontrol)等协议传输数据，信号设备接入安全通道的物理资源后，彼此之间建立tcp/ip连接并传输信息安全数据。

本步骤之前还包括：

通过图1中的基于gsm-r无线网络的电路域建立的物理通道，rbc设备向车载设备发送用于控制行车的第一控制信息。

可选地，第一控制信息包括但不限于：消息编号为3的行车许可信息和消息编号为24的一般信息(用于传输临时限速数据)，消息6(确认退出冒进防护模式)，消息8(列车数据确认)，消息15(有条件紧急停车)，消息16(无条件紧急停车)，消息18(取消紧急停车)等。需要说明的是，本领域技术人员知道，根据设备制式的不同，信息安全相关的第二控制信息的种类会稍有差别，这个并不用于限定本申请的保护范围。

而车载设备在收到第一控制信息后，不会对第一控制信息做任何处理，直接将接收到的第一控制信息通过预先建立的安全通道返回给rbc设备。这里，由于第一控制信息在传输过程中可能受到攻击，因此，从车载设备返回给rbc设备的控制信息不一定是rbc设备发送给车载设备的第一控制信息了，这里，为了区别，将车载设备回传给rbc设备的控制信息称为第二控制信息。

步骤301：rbc设备比较接收到的第二控制信息与rbc设备自身发送给车载设备的第一控制信息。

可选地，由于rbc设备发送给车载设备的信息中包含的消息都具有唯一标识的时间戳，因此，rbc设备可以根据时间戳对第二控制信息中和第一控制信息中时间戳相同的消息分别进行比较。

步骤302：rbc设备结合比较的结果和预先设置的处理条件，确定自身发送给车载设备的第一控制信息是否受到攻击。

如果第一控制信息与第二控制信息相同，则确定第一控制信息没有受到攻击，返回步骤300继续接收；

如果第一控制信息与第二控制信息不相同，则进一步判断是否连续不相同，如果是连续不相同且连续预设第一时长如10分钟均不相同，则确定第一控制信息受到攻击，rbc设备通过图1中的基于gsm-r无线网络的电路域建立的物理通道，向车载设备发送无条件紧急停车命令；如果不是连续预设第一时长如10分钟均不相同，则进一步判断是否在预设第一时长内有预设第一次数次如20次连续不相同，如果在预设第一时长内有预设第一次数次连续不相同，则确定第一控制信息受到攻击，rbc设备发出高等级报警，如果在预设第一时长内没有预设第一次数次连续不相同，则确定第一控制信息没有受到攻击，返回步骤300继续接收；

如果不是连续不相同，则进一步判断是否在预设第二时长如1小时内存在预设第二次数次如10次不相同，如果在预设第二时长内存在预设第二次数次不相同，则确定第一控制信息受到攻击，rbc设备发出低等级报警；如果在预设第二时长内没有达到预设第二次数次不相同，则确定第一控制信息没有受到攻击，返回步骤300继续接收。

需要说明的是，上述连续20次，10分钟，以及一小时10次，这些数字仅仅是示例中的参考值，随着网络和设备制式不同可以进行修改，并不用于限定本申请的保护范围。

可选地，报警可以采用两种，一种是在rbc设备的维护终端上报警，比如对于低等级的报警；另一种是rbc设备将报警信息发送到ctc并显示，比如对于高等级报警。

本申请还提供一种计算机可读存储介质，其上存储有计算机程序，所述计算机程序被处理器执行时实现上述任一项实现列控系统信息安全防护的方法。

本申请再一种实现列控系统信息安全防护的设备，包括处理器和计算机可读存储介质，所述计算机可读存储介质中存储有指令，当所述指令被所述处理器执行时，实现上述任一项实现列控系统信息安全防护的方法。

本申请还提供一种实现列控系统信息安全防护的方法，包括：

车载设备通过预先建立的安全通道向rbc设备发送用于控制行车的第二控制信息。

图4为本申请实现列控系统信息安全防护的装置的组成结构示意图，如图4所示，至少包括：收发模块、比较模块、处理模块；其中，

收发模块，用于通过预先建立的安全通道接收车载设备回传的用于控制行车的第二控制信息；

比较模块，用于比较接收到的第二控制信息与比较模块自身所属装置发送给车载设备的第一控制信息。

处理模块，用于结合比较的结果和预先设置的处理条件，确定自身发送给车载设备的第一控制信息是否受到攻击。

可选地，

收发模块还用于：通过图1中的基于gsm-r无线网络的电路域建立的物理通道，向车载设备发送用于控制行车的第一控制信息。

处理模块具体用于：

如果第一控制信息与第二控制信息相同，则确定第一控制信息没有受到攻击，通知收发模块继续接收；

如果第一控制信息与第二控制信息不相同，则进一步判断是否连续不相同，如果是连续不相同且连续预设第一时长如10分钟内均不相同，则确定第一控制信息受到严重攻击，通过图1中的基于gsm-r无线网络的电路域建立的物理通道，向车载设备发送无条件紧急停车命令；如果不是连续预设第一时长均不相同，则进一步判断是否在预设第一时长内有预设第一次数次如20次连续不相同，如果在预设第一时长内有预设第一次数次连续不相同，则确定第一控制信息受到攻击，发出高等级报警，如果在预设第一时长内没有预设第一次数次连续不相同，则确定第一控制信息没有受到攻击，通知收发模块继续接收；

如果不是连续不相同，则进一步判断是否在预设第二时长如1小时内存在预设第二次数次如10次不相同，如果在预设第二时长内存在预设第二次数次不相同，则确定第一控制信息受到攻击，发出低等级报警；如果在预设第二时长内没有达到预设第二次数次不相同，则确定第一控制信息没有受到攻击，通知收发模块继续接收。

可选地，报警可以采用两种，一种是在rbc设备的维护终端上报警，比如对于低等级的报警；另一种是rbc设备将报警信息发送到ctc并显示，比如对于高等级报警。

图4所示的装置可以设置在rbc设备中。

本申请还提供一种实现列控系统信息安全防护的系统，至少包括：rbc设备、车载设备；其中，

车载设备用于：通过预先建立的安全通道向rbc设备发送用于控制行车的第二控制信息；

rbc设备用于：通过预先建立的安全通道接收车载设备回传的用于控制行车的第二控制信息；rbc设备比较接收到的第二控制信息与rbc设备自身发送给车载设备的第一控制信息；rbc设备结合比较的结果和预先设置的处理条件，确定自身发送给车载设备的第一控制信息是否受到攻击。

可选地，rbc设备包括图4所示的任一项所述信息处理装置。

图5为本申请实现列控系统信息安全防护的实施例的流程图，本实施例中，假设预设第一时长为10分钟、预设第一次数次为20次、预设第二时长为1小时、预设第二次数次为10次；如图5所示，在rbc设备开始运行后，包括：

步骤500：为了保证信息安全，在rbc设备和车载设备之间增加一条物理通道即安全专用通道，在该物理通道上建立逻辑链接。

步骤501：rbc设备接收来自车载设备的通过安全专用通道发送的消息。

车载设备会将来自rbc设备的用于控制行车的消息，不做改动地通过安全专用通道回发送给rbc设备。

步骤502：rbc设备判断接收到的消息是否为信息安全相关消息，如果是信息安全相关消息，继续执行步骤503；如果不是信息安全相关消息，则返回步骤501。本步骤为可选步骤。

步骤503～步骤504：rbc设备比对车载设备回传的消息，判断车载设备回传的消息是否与rbc设备自身发送给车载设备的消息相同，如果相同，返回步骤501；如果不相同，进入步骤505。

步骤505：判断车载设备回传的消息与rbc设备自身发送给车载设备的消息是否连续不相同，如果是，则进入步骤506；否则进入步骤510。

比如：rbc设备发送的消息是以1,2,3,4…..10为序列号的消息，连续不相同就意味着回传的这10个序列号的消息均不相同，因为黑客如果控制了用于传输控车数据的第一个通道即通过图1中的基于gsm-r无线网络的电路域建立的物理通道，黑客需要连续发送错误的数据才能达到目的。

以最重要的消息3(行车许可)为例，如果黑客不是连续修改这个消息，中间还有rbc设备发送的正确数据，那么，列车的控车结果有时候是正确的，有时候是错误的，行车许可(行车许可简单说就是列车能运行多远距离)的长度会异常变化，这时司机在驾驶过程中很可能会察觉异常，并采取相应处理措施，这样，黑客的攻击就失败了。

而对于不连续的情况，比如上述10个消息中，只有2号消息和5号消息不相同，其他消息是相同的，那么，可能是通道出现故障，而不是黑客的行为。

通过本步骤，对黑客攻击和通道出现故障这两种情况进行了清楚的区分。

步骤506：判断车载设备回传的消息与rbc设备自身发送给车载设备的消息是否连续10分钟不相同，如果是，则进入步骤507；否则进入步骤508。

步骤507：rbc设备向车载设备发送无条件紧急停车命令。结束本流程。

步骤508：判断是否在10分钟内有20次连续不相同，如果是，进入步骤509；否则返回步骤501。

步骤509：rbc设备发送高等级报警。结束本流程。

步骤510：判断车载设备回传的消息与rbc设备自身发送给车载设备的消息是否在1小时内存在10次不相同，如果是，进入步骤511；否则返回步骤501。

步骤511：rbc设备发送低等级报警。结束本流程。

虽然本申请所揭露的实施方式如上，但所述的内容仅为便于理解本申请而采用的实施方式，并非用以限定本申请。任何本申请所属领域内的技术人员，在不脱离本申请所揭露的精神和范围的前提下，可以在实施的形式及细节上进行任何的修改与变化，但本申请的专利保护范围，仍须以所附的权利要求书所界定的范围为准。