一种应用于轨道交通列车的智能型维护以太网的制作方法

1.本发明涉及一种轨道交通车辆维护网络技术，属于网络通讯技术领域。


背景技术：

2.目前大多数的地铁列车网络控制系统都配备了以太网维护网络，列车网络控制系统的主机都与以太网维护网络相连接，维护人员通过维护电脑接入到以太网维护网络对网络控制系统中各系统主机设备进行软件更新、数据下载等维护操作，不但能做到集中维护，同时提高了维护效率。但目前国内列车网络控制系统的维护以太网都缺少必要的信息安全防护功能，导致列车的网络控制系统极易受到各类病毒和非法入侵软件的攻击。
3.另一方面，目前地铁项目中列车维护以太网的维护操作一般是人工操作，对于操作人员的身份、操作权限以及操作内容、操作时间等内容没有一定的权限限制，即使有密码管理，密码也无法做到动态授权管理，导致密码安全防护失效，且操作人员需上车连接设备操作，浪费一定的人力成本。
4.此外对于交换机的端口管理以及整个维护网络的工作状态等并未监控，不仅浪费了一定的交换机资源，更是对于维护以太网甚至列车控制网络的安全性留有一定的隐患。


技术实现要素：

5.本发明所要解决的技术问题是克服现有技术的缺陷，提供一种应用于轨道交通列车的智能型维护以太网。
6.为解决上述技术问题，本发明采用的技术方案如下：
7.一种应用于轨道交通列车的智能型维护以太网，采用4台二层交换机以及2台三层交换机组建骨干网，4台二层交换机分别设置在第2、3、4、5节车，2台三层交换机分别放置在头车与尾车，骨干网采用全千兆以太环网，三层交换机通过vrrp协议实现路由冗余，在头车配置一套无线网络接入点ap，对外提供服务集标识ssid，实现维护网络的无线通讯；各三层交换机、二层交换机均通过百兆网线与所在的子网中的子系统设备连接；
8.智能管控单元通过千兆网线连接在三层交换机的千兆网口上；在正常模式下，智能管控单元禁止一切非法接入；便携式测试单元ptu通过授权u盾与智能管控单元进行信息的交换，通过授权u盾确认合法身份后才允许维护电脑接入三层交换机或者wifi的通道，进入维护模式进行维护；
9.便携式测试单元ptu对维护过程进行管理；
10.维护网关控制单元通过百兆网口连接在三层交换机的百兆网口上，对授权u盾进行授权管理。
11.进一步地，维护网关控制单元对授权u盾进行授权管理时，包括对维护时间、维护权限的分级和维护行为记录的设置管理。
12.进一步地，维护行为记录包括对维护人员姓名、维护操作日志和维护时间的智能记录。
13.进一步地，便携式测试单元ptu与智能管控单元之间授权动态管理过程中的信息交换步骤如下：
14.步骤1、便携式测试单元ptu向智能管控单元发送维护请求；
15.步骤2、智能管控单元收到维护请求后，向发送维护请求的便携式测试单元ptu发送一随机信息；
16.步骤3、便携式测试单元ptu收到该随机信息后，向智能管控单元发送对随机信息的反馈；
17.步骤4、智能管控单元校验便携式测试单元ptu返回的信息是否为该随机信息；
18.步骤5、根据校验信息开启或关闭授权的服务端口。
19.进一步地，智能管控单元用于对交换机进行批量配置，智能切断所有人工配置交换机的通道，智能分配固定静态网络地址到所有连接交换机的各子系统设备的控制单元，批量导入配置文件，分配ip地址，划分虚拟局域网vlan，并管理维护端口。
20.进一步地，采用便携式测试单元ptu实现维护过程的智能化管理，包括临时维护许可智能认证、临时维护权限智能管控和对维护行为记录安全存储。
21.进一步地，地面乘客信息服务系统pis通过标准的千兆以太网接口接入智能型维护以太网中以，用于地面乘客信息服务系统pis及车地大容量转储系统传输视频数据。
22.进一步地，智能运维系统通过标准的千兆以太网接口接入智能型维护以太网中，配合智能运维系统的平台上服务器的终端使用需求，负责车辆的采集数据挖掘、状态分析、健康管理功能相关的地面需求接口。
23.本发明所达到的有益效果：
24.本技术方案提出通过以千兆环网、智能管控单元、维护网关控制单元以及维护电脑等设备构建一个完整的一体的信息安全防护体系，实现对维护以太网的智能化安全访问管理，提高了列车网络的安全性，避免网络控制系统受到病毒和非法入侵软件的攻击。
附图说明
25.图1是本发明实施例的应用于轨道交通列车的智能型维护以太网系统架构图；
26.图中，实心圆圈代表千兆网口，空心圆圈代表百兆网口，细实线代表百兆网线，粗实线代表千兆网线。
具体实施方式
27.下面结合附图对本发明作进一步描述。以下实施例仅用于更加清楚地说明本发明的技术方案，而不能以此来限制本发明的保护范围。
28.结合图1，本实施例对应用于轨道交通列车的智能型维护以太网进行详细说明。
29.本实施例中应用于轨道交通列车的列车智能型维护以太网采用4台二层交换机switch2、switch3、switch4、switch5以及2台三层交换机switch1、switch6组建骨干网。4台二层交换机分别放置在2、3、4、5车mc1、mc2，2台三层交换机switch1、switch6分别放置在头车tc1与尾车tc2，骨干环网采用全千兆以太环网，环网自愈时间可达到20ms。三层交换机通过vrrp协议实现路由冗余。并在头车配置一套无线网络接入点ap，对外提供服务集标识ssid，实现维护网络的无线操作。各三层交换机、二层交换机均通过百兆网线与所在的子网
中的子系统设备连接。
30.本发明通过构建智能维护以太网，在列车无人现场干预交换机的配置的情况下(可通过无线模块实现)，实现交换机以及便携式测试单元ptu智能化管理，以保证列车的安全性。
31.智能管控单元通过千兆网线连接在三层交换机的千兆网口上，当维护以太网在正常模式下，禁止一切非法接入(便携式测试单元ptu通过插授权u盾才可以与智能管控单元进行信息的交换，且授权u盾的过程需运营管理人员通过授权u盾功能模块实现)，即使接入三层交换机或者wifi的通道后，均不能正常通信。网络安全智能管理控制单元在维护人员进行远程维护的时候需要对维护人员的资格进行授权审查，系统确认合法身份后才允许维护人员进入维护模式进行维护。
32.智能管控单元能实现对交换机进行批量配置，列车无人现场干预交换机的配置情况下，智能切断所有人工配置交换机的通道，智能分配固定静态网络地址到所有连接交换机的各子系统控制单元，批量导入配置文件，实现智能分配ip地址，智能划分虚拟局域网vlan，并智能管理维护端口。
33.通过智能分配ip地址功能模块，基于端口的dhcp，将ip与端口绑定，实现端口自动开启功能，即当该端口设备故障后，更换新的设备，无需对新设备进行配置，即可沿用之前设定好的ip地址；通过智能划分虚拟局域网vlan功能模块，实现vlan配置的一键下发，无需每一列车去配置；通过智能管理维护功能模块，实现空闲端口的开启与关闭。
34.例如：维护时间限制，5分钟维护无操作退出维护模式，以及空闲端口的开启和关闭(一般为默认关闭)；同时也可以智能诊断网络状态，展现整个交换机连接网络拓扑，能够查看实时状态信息，以及日志记录。
35.维护网关控制单元通过百兆网口连接在三层交换机的百兆网口上。维护网关控制单元的权限授权，通过授权u盾形式体现，当维护人员进行维护之前，维护网关控制单元需要对授权u盾进行授权处理，例如授权维护时间、维护权限的分级设置、维护行为记录包括但不限于对维护人员姓名、维护操作日志、维护时间长短等，若授权u盾丢失，车辆运营人员可以在系统服务器上对授权u盾进行删除相关权限访问策略。
36.在对授权u盾以及维护人员的便携式测试单元ptu软件授权时，密码均为动态管理，本次的密码只能本次使用，且具备一定的实效性，维护结束后，密码均失效。维护过程中，所有便携式测试单元ptu授权的密码通过md5进行加密，实现维护以太网及ptu维护过程中动态密码管理。
37.维护以太网及便携式测试单元ptu维护过程中所涉及到的密码均为动态管理。
38.当异常情况下，智能管控单元通过相应的功能模块在一定时间内检测不到维护连接到的对应的端口的心跳，则停止该端口的维护操作。
39.经授权以后的便携式测试单元ptu才可以与智能管控单元进行信息的交互，该授权动态管理主要过程如下：
40.1、便携式测试单元ptu向智能管控单元发送维护请求；
41.2、智能管控单元收到维护请求后，向发送维护请求的便携式测试单元ptu发送一随机信息；
42.3、便携式测试单元ptu收到该随机信息后，向智能管控单元发送对随机信息的反
馈；
43.4、智能管控单元校验便携式测试单元ptu返回的信息是否为该随机信息；校验方法为通过各种算法验证，比如采用md5验证；
44.5、根据校验信息开启或关闭授权的服务端口。
45.便携式测试单元ptu通过维护以太网实现维护过程的智能化管理，包括临时维护许可智能认证、临时维护权限智能管控、维护行为智能记录安全存储等。
46.维护网关设备具有访问控制的功能，网络边界通过配置访问控制设备，增加网络边界安全。
47.采用多种方式实现无线层面以及有线层面上的网络安全保证。通过以下方式，例如ip、mac地址过滤、arp绑定、ssid多线程支持以及ssid隐藏、多种加密方式以及加密算法等技术实现无线层面安全保证。通过地址黑白名单过滤；802.1x认证，ip+mac+端口绑定；具备防攻击功能，syn dos、ping攻击、cpu攻击防护；支持acl访问控制、ip/mac/基于时间段的策略应用等技术实现有线层面安全保证。
48.地面乘客信息服务系统pis以及智能运维系统均通过标准的千兆以太网接口接入智能维护以太网中，因地面乘客信息服务系统pis及车地大容量转储系统传输视频等数据需要大量带宽，智能维护以太网给地面乘客信息服务系统pis留有标准的千兆以太网物理接口，因智能运维系统是基于大数据的基础上的数据挖掘，智能维护以太网将给智能运维系统也留有标准的千兆以太网物理接口，此外tcms会将车辆上全量数据，包括控制、故障、状态等，全部输出给智能运维系统，为健康诊断做依据。
49.通过给地面乘客信息服务系统pis及车地大容量转储系统留有千兆的物理网络接口，为pis系统通过接入骨干网以实现多网融合提供一定的基础。具备与地面乘客信息服务系统pis及车地大容量转储系统的物理接口，具备与地面车辆智能运维系统的数据接口，配合地面车辆智能运维系统的平台上服务器的终端使用需求，负责车辆的采集数据挖掘、状态分析、健康管理等功能的使用界面和相关的地面需求及接口。
50.此外负责车辆的采集数据挖掘、状态分析、健康管理等功能诊断，为车辆智能运维系统提供支持。
51.以上所述仅是本发明的优选实施方式，应当指出，对于本技术领域的普通技术人员来说，在不脱离本发明技术原理的前提下，还可以做出若干改进和变形，这些改进和变形也应视为本发明的保护范围。