专利名称:列车运行控制系统的密钥处理方法、装置及系统的制作方法
技术领域:
本发明涉及列车运行控制技术,尤其涉及一种列车运行控制系统的密钥处理方法、装置及系统。
背景技术:
目前,中国列车运行控制系统(Chinese Train Control System,以下简称 CTCS)-3已经在国内铁路客运专线中应用,对于CTCS-3来说,车载设备、无线闭塞中心 (Radio Block Center,RBC)以及其他安全设备之间需要进行通信。其中,无线闭塞中心通过连锁设备、车载系统相应接收列车的进路信息和位置报告等列控信息,并通过GSM-R(GSM for Railway)网络将列车行车许可范围等相关信息发送给车载系统的列车地面控制系统。为防止列控信息、列车行车许可范围等相关信息被截取、篡改和干扰,保证行车安全,车载设备、无线闭塞中心(Radio Block Center, RBC)以及其他安全设备之间的通信需要很高的安全级别。为保证CTCS-3中的安全设备间的通信安全,CTCS-3中的安全设备间的通信需要通过认证密钥进行。现有技术的认证密钥的生成和管理是人工进行的,并由申请密钥的设备方人员直接从加密钥管理中心获得,这样设备方人员就有机会直接接触加密钥管理中心,从而增大了密钥的泄密危险。而且由于直接接触密钥的人员较多,一旦发生泄密,管理人员无法得知泄密发生在系统的哪个环节,从而无法积极有效地补救。同时,随着列车运行控制系统的电气化程度的不断攀升,CTCS-3中的安全设备的数量相比之前的列车运行控制系统增加了很多。通过人工生成和管理密钥的效率低、出错率高,泄密的风险极大,无法充分保障认证密钥的生成和管理的安全性。因此,如何使提高认证密钥的生成和管理的安全性就成为亟待解决的问题。
发明内容
本发明提供一种列车运行控制系统的密钥处理方法、装置及系统。本发明提供一种列车运行控制系统的密钥处理方法,包括接收密钥获取指令,并将所述密钥获取指令通过专网发送给密钥服务器;通过所述专网接收所述密钥服务器根据所述密钥获取指令反馈的密钥信息,所述密钥信息用于列车运行控制系统的安全通信。本发明还提供一种列车运行控制系统的密钥处理方法,包括接收密钥客户端通过专网发送的密钥获取指令;根据所述密钥获取指令通过所述专网向所述密钥客户端反馈密钥信息,所述密钥信息用于列车运行控制系统的安全通信。本发明还提供一种密钥服务器,包括密钥获取指令接收模块和密钥信息反馈模块,所述密钥获取指令接收模块分别与密钥客户端和密钥信息反馈模块连接,所述密钥信息反馈模块与所述密钥客户端连接,
所述密钥获取指令接收模块用于接收密钥客户端通过专网发送的密钥获取指令;所述密钥信息反馈模块用于根据所述密钥获取指令通过所述专网向所述密钥客户端反馈密钥信息,所述密钥信息用于列车运行控制系统的安全通信。本发明还提供一种密钥客户端,包括密钥获取指令接收模块、密钥获取指令发送模块和密钥信息接收模块,所述密钥获取指令接收模块与所述密钥获取指令发送模块连接,所述密钥获取指令发送模块通过专网与密钥服务器连接,所述密钥信息接收模块通过专网与所述密钥服务器连接,所述密钥获取指令接收模块用于接收密钥获取指令;所述密钥获取指令发送模块用于将接收到的密钥获取指令通过专网发送给所述密钥服务器;所述密钥信息接收模块用于通过所述专网接收所述密钥服务器根据所述密钥获取指令反馈的密钥信息,所述密钥信息用于列车运行控制系统的安全通信。本发明还提供一种列车运行控制系统的密钥处理系统,包括密钥客户端和密钥服务器,所述密钥客户端通过专网与密钥服务器连接,所述密钥客户端用于接收密钥获取指令,将所述密钥获取指令通过专网发送给密钥服务器,及接收所述密钥服务器反馈的密钥信息;所述密钥服务器用于接收密钥客户端发送的密钥获取指令,根据所述密钥获取指令向所述密钥客户端反馈密钥信息,所述密钥信息用于列车运行控制系统的安全通信。本发明的列车运行控制系统的密钥处理方法、装置及系统,可以使设备方人员不与密钥服务器接触,使其间接地获得密钥信息,有效地保障了密钥信息的安全性,并且通过专网传输密钥信息,可以节约密钥信息的管理成本,从而可以有效地提高密钥信息的生成和管理的安全性和效率。
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。图1为本发明列车运行控制系统的密钥处理方法实施例一的流程图;图2为本发明列车运行控制系统的密钥处理方法实施例二的流程图;图3为本发明列车运行控制系统的密钥处理方法实施例三的流程图;图4为本发明列车运行控制系统的密钥处理方法实施例四的流程图;图5为本发明密钥服务器实施例一的结构图;图6为本发明密钥服务器实施例二的结构图;图7为本发明密钥服务器实施例三的结构图;图8为本发明密钥客户端实施例一的结构图;图9为本发明列车运行控制系统的密钥处理系统实施例一的结构图。
具体实施例方式为使本发明的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。图1为本发明列车运行控制系统的密钥处理方法实施例一的流程图,如图1所示, 本实施例的方法可以包括步骤101、接收密钥获取指令,并将密钥获取指令通过专网发送给密钥服务器。举例来说,密钥客户端操作员通过在密钥客户端进行输入操作,使密钥客户端可以接收密钥客户端操作员发出的密钥获取指令。当设备方人员需要申请用于列车运行控制系统中的某一个或某几个设备的安全通信的密钥信息时,设备方人员通过不与专网连接的通信设备或直接向密钥客户端操作员提出申请,密钥客户端操作员确认设备方人员的权限后,根据其申请向密钥客户端输入与申请对应的密钥获取指令,以获取设备方人员需要获得的密钥信息。并将该密钥获取指令通过专网发送给密钥服务器,需要说明的是,本发明的各个实施例中的专网可以是封闭以太网(Private LAN),由于专网与公共网络之间没有接口,因此可以有效地保障专网中传输的信息的安全。步骤102、通过专网接收密钥服务器根据密钥获取指令反馈的密钥信息,密钥信息用于列车运行控制系统的安全通信。举例来说,密钥服务器根据密钥获取指令生成或读取相应的密钥信息后,通过专网将密钥信息发送给密钥客户端,密钥客户端操作员将接收到的密钥信息从密钥客户端中提取出来,具体的提取可通过刻录至光盘等方式进行,并将提取出来的密钥信息提供给设备方人员,以供设备方人员使用其进行列车运行控制系统的安全通信。优选地,执行步骤102后,还包括将密钥信息写入移动存储设备。举例来说,密钥客户端操作员可以将密钥信息写入移动存储设备,并将该移动存储设备提供给设备方人员,这样设备方人员就可以将移动存储设备中的密钥信息用于具体的安全设备的安全通信,从而使密钥信息的使用更加便捷。进一步优选地,密钥信息写入移动存储设备,具体为根据密钥信息生成校验码文件,密钥信息和校验码文件写入移动存储设备。举例来说,为了进一步提高密钥信息的安全性,可以根据密钥信息生成用于校验的校验码文件,通过该校验码文件可以用于唯一地标识密钥信息写入的移动存储设备。这样就可以防止写入密钥信息的移动存储设备被替换,进一步提高密钥信息的安全性。进一步优选地,移动存储设备可以包括光盘。具体地,由于目前运行的CTCS-3的相关标准要求将密钥写入光盘中,通过光盘将密钥信息载入到安全设备的芯片中来进行安全通信,并且将光盘中的密钥信息载入到安全设备的芯片中后,需要销毁该光盘。因此,为符合CTCS-3的标准,本发明的存储密钥信息的移动存储设备最好为光盘。本实施例可以使设备方人员不与密钥服务器接触,使其间接地获得密钥信息,有效地保障了密钥信息的安全性,并且通过专网传输密钥信息,可以节约密钥信息的管理成本,从而可以有效地提高密钥信息的生成和管理的安全性和效率。图2为本发明列车运行控制系统的密钥处理方法实施例二的流程图,如图2所示, 本实施例的方法可以包括步骤201、接收密钥客户端通过专网发送的密钥获取指令。举例来说,密钥服务器接收到密钥客户端通过专网发送的密钥获取指令后,即可通过该指令了解密钥客户端需要的密钥信息的类型、名称等相关参数,从而可以确定密钥客户端请求获取的具体的密钥信息。步骤202、根据密钥获取指令通过专网向密钥客户端反馈密钥信息,密钥信息用于列车运行控制系统的安全通信。举例来说,密钥服务器通过步骤201确定密钥客户端请求获取的密钥信息后,通过调用加密程序进行相应的加密运算获得相应的密钥信息,或者通过查找存储的密钥信息以获得密钥客户端请求获取的密钥信息。然后通过专用网络将该密钥信息发送给密钥客户端,以供密钥客户端使用。优选地,接收密钥客户端通过专网发送的密钥获取指令,具体为对密钥客户端的ID进行校验。根据校验结果确定是否接受所述密钥获取指令。举例来说,为充分保障密钥信息的安全,防止密钥信息的泄露,密钥服务器可以对密钥客户端的身份进行校验,以防止在专网被侵入的情况下,有非法的客户端冒充密钥客户端从密钥服务器中获取密钥信息。此时,密钥获取指令中包含密钥客户端的ID,如果密钥客户端的ID在密钥服务器中的合法客户端ID的列表中,则接受该密钥获取指令,并执行相应的获取密钥的操作。若密钥客户端的ID不在密钥服务器中的合法客户端ID的列表中, 则不执行该密钥获取指令,并可以进一步向密钥服务器的操作人员发出报警信息。这样就可以进一步提高密钥信息的安全性。图3为本发明列车运行控制系统的密钥处理方法实施例三的流程图,如图3,本实施例在实施例二的基础上,包括以下步骤步骤301、接收密钥客户端通过专网发送的密钥获取指令。由于步骤301与实施例二的步骤201的实现原理以及技术效果类似,此处不再赘述。步骤302、根据密钥获取指令确定所要获取的密钥信息的保密级别。步骤303、根据密钥获取指令向密钥客户端反馈密钥信息。由于目前应用的列车运行控制系统中所用的密钥信息具有不同的保密级别,而不同保密级别的密钥信息的取得方式并不相同,密钥服务器需要根据密钥获取指令确定密钥客户端所要获取的密钥信息的保密级别,并根据相应的保密级别确定该密钥信息的取得方式,这样才能有效地获得密钥信息。图4为本发明列车运行控制系统的密钥处理方法实施例四的流程图,如图4所示, 本实施例在实施例二的基础上,包括以下步骤步骤401、接收密钥客户端通过专网发送的密钥获取指令。由于步骤401与实施例二的步骤201的实现原理以及技术效果类似,此处不再赘述。
步骤402、根据保密级别生成密钥信息或读取所存储的密钥信息。步骤403、将密钥信息通过专网发送给密钥客户端。具体地,由于目前CTCS-3的相关标准将密钥分为不同的保密级别,保密级别较低的密钥信息可以在密钥服务器中直接通过随机数生成算法生成,而保密级别较高的密钥信息需要在加密钥管理中心生成,并存储在密钥服务器的存储器上。因此,根据CTCS-3的相关标准的要求,需要有效地区分保密级别较低的密钥信息和保密级别较高的保密信息。根据密钥获取指令中所包含的密钥信息的类型、名称等相关参数确定密钥信息的保密级别, 密钥服务器就可以根据密钥信息的保密级别相应进行生成密钥信息或读取密钥信息的操作,从而达到CTCS-3相关标准的要求。本实施例可以使设备方人员不与密钥服务器接触,使其间接地获得密钥信息,有效地保障了密钥信息的安全性,并且通过专网传输密钥信息,可以节约密钥信息的管理成本,从而可以有效地提高密钥信息的生成和管理的安全性和效率。图5为本发明密钥服务器实施例一的结构图,如图5所示,本实施例的密钥服务器 1可以包括密钥获取指令接收模块11和密钥信息反馈模块12,密钥获取指令接收模块11分别与密钥客户端2和密钥信息反馈模块12连接,密钥信息反馈模块12与密钥客户端2连接。密钥获取指令接收模块11用于接收密钥客户端2通过专网发送的密钥获取指令。密钥信息反馈模块12用于根据密钥获取指令通过专网向密钥客户端2反馈密钥信息,密钥信息用于列车运行控制系统的安全通信。本实施例的系统与图2所示的方法的实施例的实现原理以及技术效果类似,此处不再赘述。图6为本发明密钥服务器实施例二的结构图,如图6所示,本实施例的密钥服务器 1还可以包括ID校验模块13,ID校验模块13分别与密钥获取指令接收模块11和密钥信息反馈模块12连接。ID校验模块13用于对密钥客户端2的ID进行校验。密钥信息反馈模块12还用于根据校验结果确定是否接受密钥获取指令。本实施例的系统与图2所示的方法的实施例的实现原理以及技术效果类似,此处不再赘述。图7为本发明密钥服务器实施例三的结构图,如图7所示,本实施例的密钥服务器 1还可以包括保密级别确定模块14,保密级别确定模块14分别与密钥获取指令接收模块 11和密钥信息反馈模块12连接,保密级别确定模块14用于根据密钥获取指令确定所要获取的密钥信息的保密级别。密钥信息反馈模块12还用于根据密钥信息的保密级别生成密钥信息或读取所存储的密钥信息,并将密钥信息反馈给密钥客户端2。本实施例的系统与图4所示的方法的实施例的实现原理以及技术效果类似,此处不再赘述。图8为本发明密钥客户端实施例一的结构图,如图8所示,本实施例的密钥客户端2还可以包括密钥获取指令接收模块15、密钥获取指令发送模块16和密钥信息接收模块 17,密钥获取指令接收模块15与密钥获取指令发送模块16连接,密钥获取指令发送模块16 通过专网与密钥服务器1连接,密钥信息接收模块17通过专网与密钥服务器1连接。密钥获取指令接收模块15用于接收密钥获取指令。密钥获取指令发送模块16用于将接收到的密钥获取指令通过专网发送给密钥服务器1。密钥信息接收模块17用于通过专网接收密钥服务器1根据密钥获取指令反馈的密钥信息,密钥信息用于列车运行控制系统的安全通信。本实施例的系统与图1所示的方法的实施例的实现原理以及技术效果类似,此处不再赘述。图9为本发明列车运行控制系统的密钥处理系统实施例一的结构图,如图9所示, 本实施例的密钥处理系统可以包括密钥客户端2和密钥服务器1,密钥客户端2通过专网与密钥服务器1连接,密钥客户端2用于接收密钥获取指令,将密钥获取指令通过专网发送给密钥服务器1,及接收密钥服务器1反馈的密钥信息;密钥服务器1用于接收密钥客户端2发送的密钥获取指令,根据密钥获取指令向密钥客户端2反馈密钥信息,密钥信息用于列车运行控制系统的安全通本实施例的系统与图1或2所示的方法的实施例的实现原理以及技术效果类似, 此处不再赘述。最后应说明的是以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。
权利要求
1.一种列车运行控制系统的密钥处理方法,其特征在于,包括 接收密钥获取指令,并将所述密钥获取指令通过专网发送给密钥服务器;通过所述专网接收所述密钥服务器根据所述密钥获取指令反馈的密钥信息,所述密钥信息用于列车运行控制系统的安全通信。
2.根据权利要求1所述的方法,其特征在于,通过专网接收所述密钥服务器根据所述密钥获取指令反馈的密钥信息后,还包括将所述密钥信息写入移动存储设备。
3.根据权利要求2所述的方法,其特征在于,将所述密钥信息写入移动存储设备,具体为根据所述密钥信息生成校验码文件,将所述密钥信息和校验码文件写入所述移动存储设备。
4.根据权利要求2 3中任一权利要求所述的方法,其特征在于,所述移动存储设备包括光盘。
5.一种列车运行控制系统的密钥处理方法,其特征在于,包括 接收密钥客户端通过专网发送的密钥获取指令;根据所述密钥获取指令通过所述专网向所述密钥客户端反馈密钥信息,所述密钥信息用于列车运行控制系统的安全通信。
6.根据权利要求5所述的方法,其特征在于,接收密钥客户端通过专网发送的密钥获取指令,具体为对所述密钥客户端的ID进行校验;根据校验结果确定是否接受所述密钥获取指令。
7.根据权利要求5所述的方法,其特征在于,接收密钥客户端通过专网发送的密钥获取指令后,还包括根据所述密钥获取指令确定所要获取的密钥信息的保密级别。 根据所述密钥获取指令向所述密钥客户端反馈密钥信息,具体为 根据所述保密级别生成密钥信息或读取所存储的密钥信息; 将所述密钥信息通过所述专网发送给所述密钥客户端。
8.—种密钥服务器,其特征在于,包括密钥获取指令接收模块和密钥信息反馈模块, 所述密钥获取指令接收模块分别与密钥客户端和密钥信息反馈模块连接,所述密钥信息反馈模块与所述密钥客户端连接,所述密钥获取指令接收模块用于接收密钥客户端通过专网发送的密钥获取指令; 所述密钥信息反馈模块用于根据所述密钥获取指令通过所述专网向所述密钥客户端反馈密钥信息,所述密钥信息用于列车运行控制系统的安全通信。
9.根据权利要求8所述的服务器,其特征在于,还包括ID校验模块,所述ID校验模块分别与所述密钥获取指令接收模块和所述密钥信息反馈模块连接,所述ID校验模块用于对所述密钥客户端的ID进行校验; 所述密钥信息反馈模块还用于根据校验结果确定是否接受所述密钥获取指令。
10.根据权利要求8所述的服务器,其特征在于,还包括保密级别确定模块,所述保密级别确定模块分别与所述密钥获取指令接收模块和所述密钥信息反馈模块连接,所述保密级别确定模块用于根据所述密钥获取指令确定所要获取的密钥信息的保密级别;所述密钥信息反馈模块还用于根据密钥信息的保密级别生成密钥信息或读取所存储的密钥信息,并将密钥信息反馈给密钥客户端。
11.一种密钥客户端,其特征在于,包括密钥获取指令接收模块、密钥获取指令发送模块和密钥信息接收模块,所述密钥获取指令接收模块与所述密钥获取指令发送模块连接,所述密钥获取指令发送模块通过专网与密钥服务器连接,所述密钥信息接收模块通过专网与所述密钥服务器连接,所述密钥获取指令接收模块用于接收密钥获取指令;所述密钥获取指令发送模块用于将接收到的密钥获取指令通过专网发送给所述密钥服务器;所述密钥信息接收模块用于通过所述专网接收所述密钥服务器根据所述密钥获取指令反馈的密钥信息,所述密钥信息用于列车运行控制系统的安全通信。
12.—种列车运行控制系统的密钥处理系统,其特征在于,包括密钥客户端和密钥服务器,所述密钥客户端通过专网与密钥服务器连接,所述密钥客户端用于接收密钥获取指令,将所述密钥获取指令通过专网发送给密钥服务器,及接收所述密钥服务器反馈的密钥信息;所述密钥服务器用于接收密钥客户端发送的密钥获取指令,根据所述密钥获取指令向所述密钥客户端反馈密钥信息,所述密钥信息用于列车运行控制系统的安全通信。
全文摘要
本发明提供一种列车运行控制系统的密钥处理方法、装置及系统,其中密钥处理方法包括接收密钥获取指令,并将密钥获取指令通过专网发送给密钥服务器;通过专网接收密钥服务器根据密钥获取指令反馈的密钥信息,密钥信息用于列车运行控制系统的安全通信。本发明的列车运行控制系统的密钥处理方法、装置及系统,可以使设备方人员不与密钥服务器接触,使其间接地获得密钥信息,有效地保障了密钥信息的安全性,并且通过专网传输密钥信息,可以节约密钥信息的管理成本,从而可以有效地提高密钥信息的生成和管理的安全性和效率。
文档编号H04L9/32GK102170450SQ201110124900
公开日2011年8月31日 申请日期2011年5月16日 优先权日2011年5月16日
发明者李智, 欧帅, 王录录, 赵雅囡, 陈弘博 申请人:北京和利时系统工程有限公司