一种基于EN50159标准的综合监控系统中安全的通信方法与流程

本发明涉及综合监控iscs、scada分布式平台所应用的各个专业技术领域，涵盖综合监控、电力监控、环境与设备监控系统、火灾监控、轨道交通等自动化工业控制行业。

背景技术：

轨道交通综合监控(iscs)系统是以现代计算机技术、网络技术、自动化技术和信息技术为基础的大型计算机集成系统。该系统集成了多个自动化专业子系统，并在集成平台支持下对各专业进行统一监控，实现各专业系统的信息共享及系统之间的联动控制功能，提高运营效率，为实现城市轨道交通现代化运营管理提供信息化基础。

城市轨道交通一旦遭到破坏，会严重危害公共利益，属于关键信息基础设施的范围。城市轨道交通综合监控系统作为大中型城市地铁、轻轨、有轨电车等城市轨道交通的核心主体，其安全问题更加不容忽视。在2018年9月1日正式实施的《gb-t50636-2018城市轨道交通综合监控系统工程技术标准》中明确指出“综合监控系统的信息安全应符合现行国家标准《工业控制信息系统安全第1部分：评估规范》gb/t30976.1和《工业控制信息系统安全第2部分：验收规范》gb/t30976.2的规定，且宜按信息系统安全等级保护标准第三级进行设计、实施和验收”。而目前实际的情况是国内各综合监控系统的厂家都在以更高的要求进行设计和改造综合监控系统，使其能够满足更加专业的安全认证，典型的如sil(safetyintegritylevel-安全完整性等级)2级安全认证。

sil认证是基于iec61508(gb/t20438)，iec61511(gb/t21109)，iec61513，iec13849-1，iec62061，iec61800-5-2等标准，对安全设备的安全完整性等级(sil)或者性能等级(pl)进行评估和确认的一种第三方评估、验证和认证。

在b/s架构的城市轨道交通综合监控系统中，最关键、也是对安全性要求最高的功能就是要保证工作站(客户端)至服务器之间的通信安全。欧洲电工标准化委员会(cenelec)制定的网络传输系统安全通信标准en50159，该标准适用于为了通信使用封闭或开放传输系统的安全相关电子系统，为在连接到传输系统的安全相关设备之间达成安全相关的通信提出了具体要求。目前en50159的现行版本为2010年9月实施的en50159:2010标准。en50159:2010中对开放传输系统的划分更为详细,依据是否存在未经授权的接入的风险,分为免于此风险的开放传输系统及承受此风险的开放传输系统。在需要进行通信的系统sil2等级认证中主要使用en50159标准来检验系统的传输安全性。

综合监控系统在进行sil2等级认证过程中对安全软件的开发、设计方法进行了专门的培训，并学习了sil4等级的信号联锁系统的设计方法，结合b/s综合监控系统的特征，设计了一种在工作站和服务器之间使用webservice接口进行数据交互的安全性传输机制，该机制符合en50159标准中所规定的安全防护要求，能够有效地避免由于综合监控系统发生网络通信传输错误带来的安全性问题。

技术实现要素：

针对现有技术中存在的问题，本发明设计一种基于en50159标准的综合监控系统中安全的通信方法。

本采用的技术方案为：一种基于en50159标准的综合监控系统中安全的通信方法，其特征在于：

在工作站和服务器之间使用基于ssl加密的websocket通信，在b/s架构的轨道交通综合监控系统的工作站和服务器之间采用websocket通信机制，保证通信链路的长连接，并且工作站和服务器端的通信是完全双工的，相互之间发送数据；通过客户端主动发起http请求，通过建立连接-->传输数据-->断开连接的方式来传输数据，允许服务器端主动向客户端推送数据；在websocket中，客户端和服务器只需要完成一次握手，两者之间就直接创建持久性的连接，并进行双向数据传输；

在轨道交通综合监控系统的工作站与服务器端通信时采用了安全套接层ssl+websocket协议的通信方式，在tcp层对所有的交互报文进行加密，工作站只有在安装了证书的情况下，才能正常访问服务器，否则工作站会提示连接不安全，需要用户安装有效证书后，才能访问服务器；

对综合监控系统中工作站和服务器之间的通信在应用层协议上进行en50159标准的合规性设计，以满足sil2级认证的要求。

上述的基于en50159标准的综合监控系统中安全的通信方法，其进一步特征在于：

序列号设计，由于websocket的全双工特性，为服务端和客户端的每条报文均设计一个发送序列号sendseqno和一个接受序列号recvseqno；

sendseqno:unsignedint，每发送一帧报文增加1；

recvseqno:unsignedint，每接受到一帧报文增加1；

客户端的接受序列号recvseqno应等于服务端的发送序列号sendseqno；

服务端的接受序列号recvseqno应等于客户端的发送序列号sendseqno。

上述的基于en50159标准的综合监控系统中安全的通信方法，其进一步特征在于：

时间戳，为每条发送的报文设计一个时间戳sendtime；

sendtime：unsignedlong，发送报文的工作站和服务器的当前时间戳，为了节省传输报文的长度，不使用“yyyy-mm-ddhh:mm:ss”的格式，而是使用时间戳。

上述的基于en50159标准的综合监控系统中安全的通信方法，其进一步特征在于：

超时判断，设计最大超时时间为tmax，接收端须校验两个报文间的时间间隔是否超过允许的最大时间tmax，如超过，则视为传输发生了错误；若报文j接收到的时间t≤tmax则未超时，表示正常，否则认为发送错误。

上述的基于en50159标准的综合监控系统中安全的通信方法，其进一步特征在于：

源、宿标识符，为每条报文设计源标识符from，和宿标识符to分别记录报文的发送端ip和接收端ip地址，并提前在客户端和服务器中配置所有可能的源标识ip和宿标识ip，并在每次接收到报文后进行ip校验，从而避免非法ip的模拟报文介入。

上述的基于en50159标准的综合监控系统中安全的通信方法，其进一步特征在于：

反馈报文，在连续收到m，m＝8，帧报文后必须进行反馈，发送端连续发送m帧后会等待反馈报文，若在超时后其仍未收到反馈报文则认为传输错误。

上述的基于en50159标准的综合监控系统中安全的通信方法，其进一步特征在于：

认证程序，认证程序是在客户端和服务器端之间进行的、为保证正确身份以及正确行为的一个识别过程，在客户端首次连接服务器时发送身份信息向服务器申请秘钥token，服务端经过身份信息验证通过后返回token以及其失效时间，客户端使用该token在此段时间内的请求有效，若token时间超过则必须重新申请token；若服务器端身份验证信息失败，则直接拒绝请求。

上述的基于en50159标准的综合监控系统中安全的通信方法，其进一步特征在于：

安全编码，为每个报文设计一个32位的md5校验码字段，用于保存对除了该字段以外的内容进行md5校验的值。

上述的基于en50159标准的综合监控系统中安全的通信方法，其进一步特征在于：

加密技术，对所传输的报文整体进行加密，只有授权的用户，并具有相应的权限才能够进行解密。

有益效果：

本发声明使用ssl+websocket方式要求服务器与工作站之间的访问均是受信任的，在tcp层保证了通讯过程中数据不被泄密和不被窜改。同时又在业务应用层对交互的报文进行了en50159标准的合规性设计，通过技术手段保证通信报文的真实性、完整性、实时性和有序性，从而彻底地解决传输系统可能遇到的各种威胁。保证通信系统的安全性，从而最终保证综合监控系统正确稳定地运行，减少事故。

附图说明

图1是本发明实施例的超时判断方法。

图2是本发明实施例的最大连续m帧要求反馈报文方法。

图3是本发明实施例的带token的认证方法。

图4是本发明实施例的md5安全校验码设计方法。

具体实施方式

以下结合附图和具体实施例对本发明作进一步详细说明。

工作站和服务器之间基于ssl加密的websocket通信方法：

现阶段，由于b/s架构的完全瘦客户端特性，仅使用浏览器即可完成数据访问，而不需要在工作站上额外安装特定的客户端软件，越来越多的工业控制软件从原先c/s架构(或简单的web发布)转变为基于b/s架构的实现方式，但为了安全起见，早期的b/s架构下客户端和服务器端无法保持长连接的通信，而且服务端无也法直接推送数据至客户端，这使得工业控制领域数据传输的实时性变得很差，为了解决这种矛盾，同时也随着技术的发展，在b/s架构的轨道交通综合监控系统的工作站和服务器之间设计一种websocket通信机制，此方式与传统c/s架构下的socket方式一样，能够保证通信链路的长连接，并且工作站和服务器端的通信是完全双工的，可以相互之间发送数据。

websocket本质上还是一种计算机网络应用层的协议，用来弥补http协议在持久通信能力上的不足，由于http协议本身是无状态协议，每一个新的http请求，只能通过客户端主动发起，通过建立连接-->传输数据-->断开连接的方式来传输数据，而采用websocket通信使得b/s架构的工作站和服务器之间的数据交换变得简单，允许服务器端主动向客户端推送数据。在websocket中，客户端和服务器只需要完成一次握手，两者之间就直接可以创建持久性的连接，并进行双向数据传输。

单纯的websocket中数据是不加密的，数据很容易被人窃取，为了保护数据安全，在轨道交通综合监控系统的工作站与服务器端通信时采用了ssl(securesocketslayer安全套接层)+websocket协议的通信方式，这种通信方式在tcp层对所有的交互报文进行加密，工作站只有在安装了证书的情况下，才能正常访问服务器，否则工作站会提示连接不安全，需要用户安装有效证书后，才能访问服务器。此种要求使用证书的ssl+websocket方式要求服务器与工作站之间的访问均是受信任的，在tcp层保证了通讯过程中数据不被泄密和不被窜改。

en50159合规性安全通信协议设计方法：

虽然在tcp层使用了安全的websocket通信机制，但这在专用的sil2等级认证的系统中仍然不够，其还要求在应用层进行en50159标准的合规性设计。

en50159标准是专门针对铁路信号系统中安全相关通信而设立的,该标准从功能和技术层面提出传输系统可能遇到的威胁及安全要求和措施。为防御各种风险，其要求通信系统必须在应用层采用其所规定的防护措施进行安全保障，其核心思想是通过技术手段保证通信报文的真实性、完整性、实时性和有序性。en50159标准所规定的七种威胁和八种防护措施如下表1所示。

表1en50159标准中的威胁与防护措施

为了满足sil2级认证的要求，必须对综合监控系统中工作站和服务器之间的通信在应用层协议上进行en50159标准的合规性设计。

防护措施1：序列号设计

由于websocket的全双工特性，为服务端和客户端的每条报文均设计一个发送序列号sendseqno和一个接受序列号recvseqno。

sendseqno:unsignedint，每发送一帧报文增加1；

recvseqno:unsignedint，每接受到一帧报文增加1；

客户端的接受序列号recvseqno应等于服务端的发送序列号sendseqno；

服务端的接受序列号recvseqno应等于客户端的发送序列号sendseqno；

防护措施2：时间戳

为每条发送的报文设计一个时间戳sendtime。

sendtime：unsignedlong，发送报文的工作站和服务器的当前时间戳，为了节省传输报文的长度，不使用“yyyy-mm-ddhh:mm:ss”的格式，而是使用时间戳(指格林威治时间1970年01月01日00时00分00秒(北京时间1970年01月01日08时00分00秒)起至现在的总秒数)。

防护措施3：超时判断，如图1所示

设计最大超时时间为tmax，接收端须校验两个报文间的时间间隔是否超过允许的最大时间tmax，如超过，则视为传输发生了错误，如图1是本发明实施例的，左图中若报文j接收到的时间t≤tmax则未超时，表示正常，否则认为发送错误；右图中若报文j接收到的时间t≤tmax则未超时，表示正常，否则认为发送错误。另外，在无业务数据交互时，通过发送心跳报文来避免由于超时导致的错误。

防护措施4：源、宿标识符

为每条报文设计源标识符from，和宿标识符to分别记录报文的发送端ip和接收端ip地址，并提前在客户端和服务器中配置所有可能的源标识ip和宿标识ip，并在每次接收到报文后进行ip校验，从而避免非法ip的模拟报文介入。

防护措施5：反馈报文，如图2所示

并不要求每帧请求报文都必须要对应反馈报文，但是在连续收到m(m＝8)帧报文后必须进行反馈，发送端连续发送m帧后会等待反馈报文，若在超时后其仍未收到反馈报文则认为传输错误，如图2所示，最大连续m帧要求反馈报文设计。

防护措施6：认证程序

认证程序是在客户端和服务器端之间进行的、为保证正确身份以及正确行为的一个识别过程。在客户端首次连接服务器时发送身份信息(用户名，密码)向服务器申请秘钥token，服务端经过身份信息验证通过后返回token以及其失效时间，客户端使用该token在此段时间内的请求有效，若token时间超过则必须重新申请token；若服务器端身份验证信息失败，则直接拒绝请求，如

图3所示。

防护措施7：安全编码

为每个报文设计一个32位的md5校验码字段，用于保存对除了该字段以外的内容进行md5校验的值，如

图4所示。

防护措施8：加密技术

对所传输的报文整体进行加密(不同于md5的校验码)，只有授权的用户，并具有相应的权限才能够进行解密。由于在tcp层已使用ssl加密技术，因此在应用层可以不必在对报文进行加密。

典型应用：

本实施例所公开的安全通信机制主要用于需要满足sil2等级的城市轨道交通综合监控系统中，亦可用于大多数基于b/s架构的通信系统中。虽然目前国内大部分城市轨道交通综合监控系统暂未有sil2等级要求，但从新项目的招标中来看，基本上均开始提出了此类要求，因此在未来几年内基于sil2认证的安全功能肯定会广泛应用于实际项目中。

以上所述，仅为本发明的较佳实施例而已，并非对本发明作任何形式上的限制，虽然本发明已以较佳实施例揭露如上，然而并非用以限定本发明，任何熟悉本专业的技术人员，在不脱离本发明技术方案范围内，当可利用上述揭示的技术内容作出些许更改或修饰为等同变化的等效实施例，但凡是未脱离本发明技术方案的内容，依据本发明的技术实质对以上实施例所作的任何简单修改，等同变化与修饰，均仍属于本发明技术方案的范围内。