专利名称:具有安全防护功能的高速公路收费网络系统的制作方法
技术领域:
本实用新型涉及高速公路收费网络系统,尤其涉及一种具有安全防护功能的高速公路收费网络系统。
技术背景 目前高速公路收费网络系统均由分布在各车道的收费站、与路段对应的收费分中心及汇总所有路段收费的收费信息中心三级网络构成,整个收费网络系统基于TCP/IP网络互联,但与INTERNET网物理隔离。这种网络架构杜绝了黑客从外部网络入侵、篡改数据及使收费系统瘫痪的威胁,但来自网络内部的安全隐患依然无法排除,尤其是病毒爆发和带有安全隐患的主机非法接入。一旦病毒爆发,往往造成收费站不能正常工作,从而会引发收费口压车的问题,而且由于高速公路收费网络系统规模大,站点分布广,往往短时间无法有效解决。尤其随着ETC (Electronic Toll Collection)不停车收费系统的开设,高速公路收费网络系统的安全运行更成为急待解决的问题。图I示出现有高速公路收费网络系统的结构框图。如图I所示,高速公路收费网络系统中,设有包括信息中心服务器及与其连接的信息中心交换机的收费信息中心C ;收费信息中心C连接P个收费分中心Bl-Bp,各收费分中心Bl-Bp分别包括分中心服务器及与其连接的分中心交换机,各收费分中心Bl-Bp分别连接若干下属收费站,如收费分中心BI连接η个下属收费站All-Aln,收费分中心Bp连接m个下属收费站APl-APm,各收费站分别包括设有多个车道工控机的车道工控机组、收费站服务器及收费站交换机;各收费站的车道工控机组及收费站服务器分别连接本收费站的收费站交换机,各收费站交换机分别通过收费站级通信链路10连接隶属的收费分中心的分中心交换机,各分中心交换机分别通过信息中心级通信链路20及信息中心交换机连接信息中心服务器。图中介于收费分中心BI与收费分中心Bp之间的收费分中心除包含的收费站数量及工控机组中工控机数量不完全相同外,其他结构完全相同,图中省略,此不详述。在上述收费网络系统中车道工控机用作高速公路联网收费终端,收费站服务器用于接收各车道工控机上传的数据,并将数据排队转发给分中心服务器和信息中心服务器;分中心服务器用于接收收费站服务器上传的数据并对本路段数据进行汇总统计,生成报表;信息中心服务器用于接收收费站服务器上传的数据并对全路网数据进行拆分,汇总统计并生成报表。收费站级通信链路是各收费站和分中心之间传输数据使用的通信链路;信息中心级通信链路是各分中心和信息中心之间传输数据使用的通信链路,其带宽相比收费站级通信链路的带宽高。目前高速公路收费系统的主要问题是存在如下安全隐患⑴在全网中没有任何的访问控制策略,网络中的任意一台主机均可以访问到全网的任意资源,数据无安全性。⑵全网中所有主机的通信端口全面开放,一旦有某一台主机受到病毒感染,可以通过网络轻易地到达任意一台其他主机,并隐藏下来,不定期爆发造成不可控的严重后果。⑶网络带宽无法控制,一旦网络中有病毒或木马爆发,会产生较大网络流量,使网络造成堵塞,影响收费数据的正常传输。⑷对陌生主机进入网络缺乏认证,如网络维护人员、应用维护人员在使用个人笔记本电脑接入网络的过程中,只需要一个IP地址即可,没有任何其他的准入策略,未对即将接入收费网的主机进行身份认证或“是否安装规定的杀毒软件”等检测。随着网络的快速发展带来了新的安全威胁和对管理上的挑战,根据广大网络用户的需求,新的安全架构和网络安全设备也应运而生。目前安全网关及对其进行策略配置和系统维护的网络安全工作站已应用于电信、金融和企业等多种网络环境中。安全网关通过网络安全工作站对其进行策略控制,具有传输接口访问控制功能、网络内主机通信端口访问控制功能、网络带宽控制功能及对网络接入主机的安全检查及强制准入功能。如能将该安全设施引入高速公路收费网络系统,将会彻底 解决高速公路收费系统的安全隐患,为高速公路的正常运营提供可靠保证。
实用新型内容本实用新型的主要目的在于针对上述问题,在现有高速公路收费网络系统的基础上进行改进,在三级网络层中分别设置安全防护设施,提供出一种具有安全防护功能的高速公路收费网络系统,彻底解决高速公路收费系统的安全隐患,为高速公路的正常运营提供可靠保证。本实用新型解决其技术问题所采用的技术方案一种具有安全防护功能的高速公路收费网络系统,为一包括自上而下设有信息中心服务器的收费信息中心、与所述收费信息中心通过信息中心级通信链路连接的分别包括分中心服务器的若干收费分中心及与各收费分中心通过收费站级通信链路连接的若干收费站的三级收费网络系统,其中,各收费站包括设有多个车道工控机的车道工控机组及收费站服务器;其特征在于在收费信息中心设置与信息中心服务器连接的信息中心安全网关,在收费分中心设置与分中心服务器连接的分中心安全网关,在各收费站设置分别与该收费站服务器及车道工控机组的各车道工控机连接的收费站安全网关,各收费站安全网关分别通过收费站级通信链路连接隶属的各分中心安全网关,各分中心安全网关通过信息中心级通信链路连接信息中心安全网关,信息中心安全网关还连接网络安全管理工作站。所述网络安全管理工作站包括专网网卡、分别与专网网卡连接的管理控制模块及数据采集模块,数据采集模块还连接数据显示模块。本实用新型的有益效果是将现有高速公路收费网络系统中分设在三级网络层中的收费信息中心交换机、收费分中心交换机及收费站交换机分别替换成信息中心安全网关、分中心安全网关及收费站安全网关,并增设了网络安全管理工作站,由此,⑴使收费站的每一台车道工控机在收费站安全网关上设定独立传输接口,可禁止互访,即使有某一台车道工控机中毒,也不会影响到其他的车道工控机,防止病毒蔓延,将病毒控制在小范围内,也保证了系统数据安全性。⑵通过收费站安全网关的策略设置,使车道工控机只开放收费业务所需通信端口,其余的通信端口一律禁止访问,使每一个分中心服务器与车道工控机隔离,有效的降低了病毒向分中心服务器传播的风险,大大降低了车道工控机成为病毒源头的可能性。⑶面对病毒爆发时会出现长时间的突发大流量,造成网络堵塞,影响关键的收费业务的现状,通过各级网络层中安全网关的设置,可以对关键业务预留足够的带宽,实现关键业务带宽保障,这样,即使出现突发的病毒大流量也能保证关键的收费业务正常运行,从而为高速公路的正常运营提供可靠保证。⑷陌生主机进入网络需要认证,首先检测接入主机设置的IP地址是否在策略允许的I P范围,如果不在范围则禁止访问网络资源;再检测接入主机是否装有指定的防病毒软件,如果没有则禁止访问网络资源。未获得认证的设备一律不能访问网络中的任何资源,从而保证了网络数据的安全。
图I是现有高速公路收费网络系统结构框图;图2是本实用新型提供的具有安全防护功能的高速公路收费网络系统结构框图;图3是图2中网络安全管理工作站 的结构框图。图中10.收费站级通信链路,20.信息中心级通信链路,Al 1-Aln, APl-APm, Al I ; -Aln ; ,API ; -APm ; 收费站,Bl-Bp、BI ' -Bp ;.收费分中心,C.C ;.收费信息中心。
具体实施方式
以下结合附图和实施例对本实用新型详细说明。图2 图3示出一种具有安全防护功能的高速公路收费网络系统,本实施例中,图2中的P为8, η为9, m为6,也即该收费网络系统为一包括自上而下设有信息中心服务器的收费信息中心C'、与所述收费信息中心C'通过信息中心级通信链路20连接的分别包括8个收费分中心BI ' -B8 '及与各收费分中心BI ' -B8 '通过收费站级通信链路10连接的若干收费站的三级收费网络系统,本例中,收费分中心BI丨下属9个收费站All' -A19',收费分中心B8'下属6个收费站A81' -A86 /,各收费站中分别包括设有多个车道工控机的车道工控机组及收费站服务器,在收费分中心BI丨及收费分中心B8丨之间的6个收费分中心B2 ' -B6 ;与收费分中心BI ' ,B8 ;除包含的收费站数量及车道工控机组中工控机数量不完全相同外,其他结构完全相同,图中省略,此不详述。本实用新型的特征在于在收费信息中心C丨设置与信息中心服务器连接的信息中心安全网关,在8个收费分中心BI' -B8/中分别设置与各分中心服务器连接的分中心安全网关,在各收费站设置分别与该收费站服务器及车道工控机组的各工控机连接的收费站安全网关,各收费站安全网关分别通过收费站级通信链路10连接隶属的各分中心安全网关,各分中心安全网关通过信息中心级通信链路20连接信息中心安全网关,信息中心安全网关还连接网络安全管理工作站。由于分别设置在上述收费信息中心、收费分中心及收费站三级网络层中的信息中心安全网关、分中心安全网关及收费站安全网关所包含的终端数量不同,为了保证各级安全网关的运行稳定可靠,选择设备类型时在设备性能、支持的节点数目和数据吞吐量上有所区别,所选用的安全网关主要参数描述如下收费站安全网关采用了新一代多核安全网关SG-6000-M3100,其防火墙吞吐量为lGbps,最大并发连接(标配/最大)分别为40/100万,防病毒吞吐量为70Mbps。分中心安全网关采用了新一代多核安全网关SG-6000-G2110,其防火墙吞吐量为2Gbps,最大并发连接(标配/最大)分别为100/200万,防病毒吞吐量为250Mbps。信息中心安全网关采用了新一代多核安全网关SG-6000-G2120,其防火墙吞吐量为4Gbps,最大并发连接(标配/最大)分别为100/200万,防病毒吞吐量为350Mbps。上述收费站安全网关、分中心安全网关及信息中心安全网关的主要功能是限制网络中主机的访问权限及开放的端口,过滤病毒,对网络流量进行监控,保证正常业务所需的网络带宽,并对接入的主机进行安全检查及强制准入。上述网络安全管理工作站,采用了 IBM工作站,安装了与上述三级网络层中的安全网关匹配的安全管理系统对各安全网关进行监视和管理。图3示出网络安全管理工作站的结构,包括专网网卡、分别与专网网卡连接的管理控制模块及数据采集模块,数据采集模块还连接数据显示模块。信息中心安全网关通过专网网卡连接数据采集模块及管理控制模块;数据采集模块负责采集信息,接收上述各级网络层中安全网关上传的数据并进而传送给数据显示模块,通过数据显示模块以图形化界面的方式显示,方便用户进行直观的数据统计和查看设备状态。管理控制模块负责对网络中各级网络层中的安全网关进行策略配置和系统维护,对接入网络的主机的准入策略是⑴检测接入主机 设置的IP地址是否在策略允许的IP范围,如果不在策略允许的IP范围则禁止访问网络资源。⑵检测接入主机是否装有指定的防病毒软件,如果没有则禁止访问网络资源。对网络维护人员、应用维护人员在使用个人笔记本电脑接入网络的过程中,需要进行上述认证才能获准进入网络,从而保证了网络数据的安全。在上述收费网络系统中车道工控机用作高速公路联网收费终端,收费站服务器用于接收各车道工控机上传的数据,并将数据排队转发给分中心服务器和信息中心服务器;分中心服务器用于接收收费站服务器上传的数据并对本路段数据进行汇总统计,生成报表;信息中心服务器用于接收收费站服务器上传的数据并对全路网数据进行拆分,汇总统计并生成报表。收费站级通信链路是各收费站和分中心之间传输数据使用的通信链路;信息中心级通信链路是各分中心和信息中心之间传输数据使用的通信链路,其带宽相比收费站级通信链路的带宽高。以收费分中心为例,工作时,其下属各收费站Al^ -A19 ;的车道工控机组中的车道工控机产生收费数据后,通过收费站安全网关把数据分别上传给收费站服务器,收费站服务器将来自各车道工控机的数据排队,然后,一路通过收费站安全网关、收费站级通信链路10及分中心安全网关将数据转发给收费分中心BI丨的分中心服务器,另一路通过收费站安全网关、收费站级通信链路10、分中心安全网关、信息中心级通信链路20及信息中心安全网关将数据转发给信息中心服务器。收费网络系统中的其余7个收费分中心B2/ -B8/的工作过程与收费分中心BI'相同,将数据分两路分别转发给各自分中心服务器及信息中心服务器。各分中心服务器用于接收收费站服务器上传的数据并对本路段数据进行汇总统计,生成报表;信息中心服务器用于接收收费站服务器上传的数据并对全路网数据进行拆分,汇总统计并生成报表。网络安全管理工作站通过专网网卡将接收数据传送给数据采集模块并通过数据显示模块以图形化界面的方式显示,方便用户进行直观的数据统计和查看设备状态;并通过管理控制模块对网络中各级网络层中的安全网关进行策略配置和系统维护。由于将现有高速公路收费网络系统中各级网络层中的交换机用安全网关代替,通过网络安全工作站对收费站安全网关、分中心安全网关及信息中心安全网关进行策略控制,实现了传输接口访问控制功能、网络内主机通信端口访问控制功能、网络带宽控制功能及对网络接入主机的安全检查及强制准入功能。[0025]以上内容并非对本实用新型的结构、形状作任何形式上的限制。凡是依据本实用新型的技术实质对以上实施例所作的任何简单修改、等同变化与修饰,均仍属于本实用新型技术方案的范围 内。
权利要求1.一种具有安全防护功能的高速公路收费网络系统,为一包括自上而下设有信息中心服务器的收费信息中心、与所述收费信息中心通过信息中心级通信链路连接的分别包括分中心服务器的若干收费分中心及与各收费分中心通过收费站级通信链路连接的若干收费站的三级收费网络系统,其中,各收费站包括设有多个车道工控机的车道工控机组及收费站服务器;其特征在于在收费信息中心设置与信息中心服务器连接的信息中心安全网关,在收费分中心设置与分中心服务器连接的分中心安全网关,在各收费站设置分别与该收费站服务器及车道工控机组的各车道工控机连接的收费站安全网关,各收费站安全网关分别通过收费站级通信链路连接隶属的各分中心安全网关,各分中心安全网关通过信息中心级通信链路连接信息中心安全网关,信息中心安全网关还连接网络安全管理工作站。
2.根据权利要求I所述的具有安全防护功能的高速公路收费网络系统,其特征在于所述网络安全管理工作站包括专网网卡、分别与专网网卡连接的管理控制模块及数据采集模块,数据采集模块还连接数据显示模块。
专利摘要本实用新型涉及一种具有安全防护功能的高速公路收费网络系统,为一包括设有信息中心服务器的收费信息中心、包括分中心服务器的若干个收费分中心及其连接的若干收费站构成的三级收费网络系统,各收费站包括车道工控机组及收费站服务器;其特征是在收费信息中心、收费分中心、各收费站分别设置与信息中心服务器连接的信息中心安全网关,与分中心服务器连接的分中心安全网关,与收费站服务器及车道工控机组连接的收费站安全网关,收费站安全网关分别连接各分中心安全网关,各分中心安全网关连接信息中心安全网关,信息中心安全网关还连接网络安全管理工作站。本实用新型的优点是控制病毒,保障关键业务带宽,陌生主机入网认证,数据安全。
文档编号G07B15/06GK202584231SQ201220236548
公开日2012年12月5日 申请日期2012年5月23日 优先权日2012年5月23日
发明者吴刚, 张忠庆, 石伟, 王宝魁, 翟泽, 阎岩, 金烁 申请人:天津高速公路集团有限公司