铁路站场无线Wi-Fi安全接入方案研究

针对目前铁路站场各类应用所使用的无线Wi-Fi网络接入存在的问题和风险，提出一种安全接入方案。依据等级保护相关技术要求和标准，从终端接入认证、用户身份认证、终端安全监测等方面对铁路站场移动终端安全接入方案进行构思，设计了铁路站场无线Wi-Fi安全接入框架及移动终端安全接入流程，明确了无线接入点、无线网络控制器、Wi-Fi安全接入网关、移动终端安全管理平台的功能定位。通过安全性分析，验证了该方案可实现铁路站场接入终端安全可控、接入用户安全可信、终端安全状态持续检测和异常终端拒绝接入等功能，支持铁路各站场Wi-Fi的统一管理和运维，降低了铁路站场网络安全防护的建设成本和运维成本，适用于各铁路局站场无线Wi-Fi环境。     

铁路信息网络准入控制方案研究

使用网络准入控制技术对接入终端进行身份认证、安全检查、授权访问,只允许合法的、值得信任的终端接入网络。结合铁路信息网络现状进行研究,提出一种铁路信息网络准入控制方案,从而提高网络的可用性和安全性。     

PKI技术增强3G安全性研究

3G系统执行认证与密钥分配协议,在移动台和服务网络之间进行双向认证,在互相确认对方身份的基础上生成数据加密密钥CK和数据完整性密钥IK。3G安全体系的鉴权认证阶段是其薄弱环节,针对其缺陷,结合PKI技术,提出基于SSL握手协议的鉴权认证方案。在3G网络中加入认证中心及注册中心,用于验证用户身份、发放和恢复证书。针对无线终端特性,为服务器端使用的证书定义一个新的PKI证书格式———WTLS证书,并使用短时效证书SLC作为验证证书有效期的方案。该认证方案可以与3G现有安全模式并行,建议3G设置双模式认证方式来提高其安全强度。在无线终端侧实现了用户证书的存储管理,从而实现了加解密、数据完整性保护等各方面的功能,验证了基于SSL握手协议的鉴权认证方式是可行的。     

基于移动数字证书的铁路身份认证方案研究

在移动互联网的广泛应用下,铁路行业业务模式和技术体系发生了深刻的变化,基于USBKey、TF卡实现的传统身份认证方案已无法满足现代数字化铁路信息系统便捷化、轻量化的密码应用需求。为进一步提高铁路各业务系统的安全性和密码应用便捷性,提出一种基于移动数字证书的身份认证方案。该方案利用移动数字证书作为身份凭证,结合密钥分割、协同签名等技术,实现移动设备快速、安全的身份认证,确保身份的真实性和可信度;将国内先进的密码技术与铁路业务深度融合,从密码使用合规性、业务便捷性和应用扩展性等方面为铁路数字化业务赋能,具备较高的可行性和推广价值,可有力推动铁路行业的数字化转型和发展。     

校园无线局域网部署及接入认证方式的探讨

针对校园无线局域网建设中,面临的校园无线局域网部署的方式和接入认讧方式的问题,探讨了无线局域网络的部署中常见的几种方式,分析了各自的优缺点。提出了校园无线局域网络应以本地转发模式进行建设的观点。给出了校园网无线局域网络接入应该采用802．1X的方法,以及如何与现有有线网络实现统一用户身份认证。通过这种方案进行校园网无线局域网建设,就能够保障校园无线局域网的高效、便捷和安全,实现有线网和无线局域网的统一管理。     

一种基于带宽估计的动态接入链路选择机制的研究与实现

在传统的无线网络环境中,当网络状态发生变化时终端无法自动获得吞吐量、拥塞信息等详细的网路参数,从而难以进行动态的接入链路选择,造成网络性能下降。本文提出一种动态接入链路选择机制DALSS(Dy-namic Access Link Selection Scheme)。DALSS是一种基于网络状况的接入链路选择机制,可以动态评估每条传输路径的容量和可用带宽,实现对路径的动态选择和替换。对于终端用户和网络而言,DALSS优点在于:(1)提供一种初始选择机制,便于终端在多种接入技术覆盖的无线网络环境中建立传输连接;(2)提供一种通信中的动态路径更替机制,使终端能够根据网络状况选择更优的路径,优化传输性能。为评估DALSS的性能,设计一种终端均衡分布的原则,使提高终端吞吐量的同时优化网络的整体性能。实验仿真进一步验证DALSS的有效性和可用性。     

基于铁路无线网络AAA系统的研究与实现

本文的研究基于货运铁路无线网络中的AAA(认证、授权、计费)系统,提出了一种针对铁路无线网络的认证授权方案,并做了具体的研究与实现。该AAA系统基于RADIUS协议,针对铁路系统的特殊应用进行了定制化的设计和实现。本系统可以对要接入铁路无线网络的客户端进行身份认证,并能根据客户端所属的业务组分配特定的网络使用权限,对铁路无线网络的权限管理和安全发挥重要作用。     

基于数字签名的多媒体认证

本文讨论多媒体认证框架和一种认证的算法,并针对目前基于身份签名方案中去除用户对私钥产生中心无条件信任的签名方案的不足,提出了一种新的基于身份的签名方案.该方案解决密钥托管的问题,除了用户对私钥产生中心的无条件信任,减少验证签名的时间,能抵抗适应性选择消息和身份的存在性伪造攻击.在同等安全性下,该方案具有更高的效率.     

上海地铁B-TrunC(宽带集群通信)网络互联互通关键协议研究

[目的]上海地铁B-TrunC(宽带集群通信)网络采用了多线共享热备集群核心网架构,需接入多条线路不同厂商的基站及终端。为了实现网络互联互通,需对集群核心网与基站、终端的接口协议进行标准化设计。[方法]在B-TrunC标准基础上,对集群核心网与基站、终端的部分接口协议进行细化和补充。在核心网热备情况下,集群核心网与基站的接口需补充集群核心网主备倒换的流程协议,综合分析了两种既有核心网主备倒换实现方案的优缺点,提出了优化后的功能要求和流程协议;针对终端集群功能互联互通要求,提出了实现终端加载通话组、集中录音录像、多媒体消息功能互联互通的相关协议配置细化方案。[结果及结论]接口协议补充和细化后,接入两家厂商基站、终端的上海地铁B-TrunC网络热备集群核心网,实现了核心网倒换时所有基站、终端正常对应倒换,以及集群语音呼叫、实时短数据、多媒体消息功能互联互通,突破了B-TrunC网络化资源共享的关键技术瓶颈。     

铁路无线售票系统安全技术研究及应用

根据实际需求,提出了适合铁路无线售票系统的安全理念,以成熟的技术、较小的投资代价建立多层次的防御体系,来保证无线售票终端与客票系统安全、高效地交易并可靠地工作。从智能卡用户管理、设置管理服务器和无线接入的连接方式三个方面详细论述铁路无线售票系统安全体系的构建;研究密码技术在铁路无线售票系统中的应用,制定了一套完整的加解密技术实现方案,并针对该系统提出了认证机制、密钥管理、备份恢复、加密防伪和日志记录等一系列应用系统安全管理技术。     

基于登录代理的统一身份认证服务平台构建

针对目前企业内部各应用系统分散式认证的种种弊端,构建了一个基于登录代理技术的统一身份认证服务平台.该平台为企业内已运行和新部署的应用系统提供了单点登录、统一身份认证和访问控制的集成环境,对统一身份认证服务平台的整体设计思想、结构框架、系统功能规划以及工作流程做了论述.     

城市轨道交通车站综合操作管理平台方案研究

为了解决城市轨道交通车站综合控制室（简称:综控室）台面终端摆放拥挤，通信系统间的信息孤岛，系统终端操作界面各异的问题，同时降低运营人员操作通信系统各终端的复杂度，提出了车站综合操作管理平台的整合方案。通过一台终端设备接入不同系统的操作管理入口，为系统间提供统一的操作入口，可以将通信系统车站终端进行整合，形成通信系统车站综合操作管理平台。实现一台终端对车站综控室内不同通信系统的用户管理、操作认证、可视化控制和接口适配等功能，提升地铁智慧化管理效率及服务水平，促进运营服务模式升级。     

基于SSL VPN协议的客户端安全接入应用

采用基于安全套接字协议(Secure Sockets Layer,SSL)的虚拟专用网络(Virtual Private Network,VPN)的接入认证及授权方式,通过SSL VPN协议的网络扩展和web代理等功能,实现铁路数据通信网各网管复示终端与网管服务器端的可信任安全加密通信.     

基于无证书公钥密码的铁路通信网访问控制方案研究

基于无证书公钥密码技术的铁路通信网访问控制，能够在显著降低系统开销、快速响应网络访问控制的同时，解决加密访问控制信息的公钥的真实性无法保证的问题。研究过程中使用了无证书公钥密码（CL-PKC，Certificateless Public Key Cryptography）技术和基于角色访问控制（RBAC，Role-Based Access Control），保证系统不被非法操作，相较于使用证书的密码技术，减少系统确认信息真实性的时间。此研究使得铁路通信网的访问控制实现了信息真实性和效率的充分兼顾，能够简单、高效地实现对铁路通信网内信息的保护，满足应用要求。     

基于匿名代理签名的LTE-R车-地无线通信安全认证方案

针对铁路下一代移动通信系统LTE-R的车地无线通信实体认证安全漏洞及认证效率问题,提出了基于匿名代理签名的车-地无线通信安全认证方案。该方案针对3种认证场景分别设计了注册认证协议、初始认证协议和重认证协议,通过引入匿名代理签名机制,实现了IMSI的机密性保护和MME的预认证功能,可抵抗中间人攻击、重放攻击和拒绝服务攻击。此外,本方案实现了认证信息的本地生成,有效提高了高速移动环境下频繁重认证的计算和通信效率,避免了认证向量耗尽而重启初始认证协议的问题。性能分析表明,本方案能够满足LTE-R系统车地认证对安全性和实时性的实际需求。     

铁路企业社会保障管理信息系统统一身份认证平台的设计与实现

铁路企业社会保障管理信息系统采用分布式架构,并且需要融合多个异构系统。为了确保系统安全、方便使用,引入统一身份认证成为系统发展的必然。基于单点登陆、Session共享和NOSQL技术,提出多技术融合的统一身份认证平台的总体设计思路和功能设计,并给出了平台的具体实现路径。这不仅解决了铁路企业社会保障管理信息系统的身份认证问题,也为解决分布式系统的统一身份认证提供了可行的方案。     

网络安全传输平台通用代理服务设计与开发

针对网络环境愈发复杂、现有网络安全传输平台边界安全防护力薄弱、平台接口功能存在缺陷和重复开发部署、效率低下等问题，采用Golang语言、Socket加密传输方式及身份认证技术开发了网络安全传输平台通用代理服务，该代理服务具有穿越网络安全传输平台的正反向透明代理、内/外网的网络安全防护身份认证、访问控制、行为检测和安全管理等功能。作为铁路互联网和移动App项目中的传输桥梁，网络安全传输平台通用代理服务已在多个系统中应用，应用效果良好。     

京张高铁自助票务优化方案

为帮助国内部分脱网人群和外国旅客顺利使用铁路自助票务,提出京张高铁自助票务优化方案;在既有自动售票系统的基础上,增设远程协助与交互服务器,对自动售票机和工作人员服务终端进行优化设计,改进了自动售票机的用户交互界面,为旅客提供可与客运服务工作人员直接沟通、便捷获取信息咨询和远程协助的服务渠道。概述京张高铁自助票务系统构成、服务终端硬件构成及系统功能设计,总结系统实现中所采用的音视频通话、信令控制、呼叫排队、远程桌面控制等关键技术。目前,该系统及相关设备已在京张高铁投入使用,取得了良好的应用效果。