铁路客票网络安全系统PKI子系统的设计与实现

从信任模型、管理体制、安全性设计等方面提出适合于铁路客票系统的基于PKI的安全解决方案。方案包括证书及其撤销列表的生成与签发(CA)和存储与发布(LDAP)、密钥的生成与管理(KMC)、用户注册管理(RA)及系统安全管理等5部分。方案不仅支持系统内人员和设备的密钥管理、身份认证及公钥密码运算,而且还对加密密钥进行管理。各组成部分之间使用数字信封来实现相关安全通信操作,并依靠"安全通信中间件"完成通信。基于角色的访问控制进行身份认证和授权管理也在系统中得到了运用。     

铁路通信网密码技术应用研究

作为铁路的重要基础设施，铁路通信网的网络安全问题至关重要。密码技术应用是保障通信数据安全的重要手段之一。对当前主要密码技术和发展情况进行概述，分析主流密码技术的技术特点，并总结其不同的适用场景。结合铁路通信网现状和安全需求，对移动通信系统、数据通信网、综合视频监控系统等主要铁路通信系统密码技术选择的原则开展研究，提出密码技术选择方案。同时，根据铁路通信运维体制的特点，对支撑铁路通信网密钥技术使用的密码管理体系提出基本构想，提出统一密钥生成和系统分发的密钥管理架构，为进一步完善铁路通信网的安全防护体系提供了建议方案。     

铁路建造期通信保障方案研究

智能建造技术在铁路建造领域广泛应用。为实现铁路建设过程中智能化、信息化管理，需要构建覆盖建设管理、施工、设计、咨询、监理等全域高速可达的铁路建造期通信网络。通过对铁路建造期通信需求进行分析，分两部分开展研究：因地制宜地选择通信承载网络方案；基于需求建设通信应用业务系统。同时为避免大量临时通信设备对维护管理带来挑战，研究通过云技术对应用业务系统进行融合，建设融合的通信应用云平台。     

基于工作流的铁路无线电管理信息系统研究

针对当前铁路无线电管理信息化程度相对滞后的现状，开发了基于工作流引擎的铁路无线电管理信息系统。将铁路无线电管理业务划分为频率管理、台站管理、设备管理和秩序管理4个方面；分析了机车制式电台许可、GSM-R频率许可、地面台站许可的业务办理流程；对基于工作流思想的铁路无线电管理信息系统的功能和架构进行详细设计，实现了多种业务的信息化管理，并进行了测试试用。试用结果表明，该系统显著提升了铁路无线电管理信息化水平和效率。     

基于移动数字证书的铁路身份认证方案研究

在移动互联网的广泛应用下,铁路行业业务模式和技术体系发生了深刻的变化,基于USBKey、TF卡实现的传统身份认证方案已无法满足现代数字化铁路信息系统便捷化、轻量化的密码应用需求。为进一步提高铁路各业务系统的安全性和密码应用便捷性,提出一种基于移动数字证书的身份认证方案。该方案利用移动数字证书作为身份凭证,结合密钥分割、协同签名等技术,实现移动设备快速、安全的身份认证,确保身份的真实性和可信度;将国内先进的密码技术与铁路业务深度融合,从密码使用合规性、业务便捷性和应用扩展性等方面为铁路数字化业务赋能,具备较高的可行性和推广价值,可有力推动铁路行业的数字化转型和发展。     

分布式量子通信网络中的身份认证方案

建立了量子身份认证模型,同时提出了一种基于四粒子GHZ态的量子相干性的身份认证方案。该方案可以应用在分布式量子通信网络中,并证明是无条件安全的。     

铁路行车调度信息系统传输通道实施双径路保护

如何通过技术手段提高网络通道的安全性，尤其像调度通信等关系铁路行车安全的系统，是十分重要的问题。实践证明，对铁路行车调度信息系统传输通道实行双径路保护，是确保行车信息系统通道安全的良好措施。     

基于离散对数和因子分解签名方案的改进

Yang和Li提出了1个有效的基于离散对数和因子分解的签名方案,其安全性严格基于离散对数和因子分解两大困难问题之上。然而他们的方案需要t 2对密钥,其中t为1个单向哈希函数输出的比特长度,通常为128或160。为了克服其方案密钥量大的缺陷,通过去掉单向哈希函数,给出1个改进方案。从5种可能的攻击方式对改进方案进行安全性分析。结果显示,在离散对数和因子分解不能同时求解的情况下,改进方案是安全的。从密钥个数、计算复杂性和通信成本3个方面对改进方案与Yang和Li的方案进行比较。改进方案密钥个数下降至3个,计算复杂性明显低于Yang和Li的方案,通信成本相同。     

信息系统安全风险评估模型及其在铁路客票系统中的应用

提出一种基于模糊综合评判理论的信息系统安全风险综合评估模型与方法,实现量化信息系统安全风险的目标。通过确定信息系统的安全风险因素集、指标集以及因素的权重系数集,建立安全风险模糊综合评估矩阵,并应用于铁路客票预定与发售系统的安全风险评估。铁路客票预定与发售系统包括信息资产和物理资产,受到来自系统本身、外部环境以及人为和自然界的安全威胁。应用建立的信息系统安全风险评估模型,定量计算铁路客票预定与发售系统Web组件的安全风险值。根据计算值确定信息系统中的高风险组件,为系统管理与使用部门采取相应的防护技术和管理措施提供理论依据,增强系统安全性。     

基于5G通信技术的铁路危险货物运输监测方案

铁路危险货物运输监测对保证铁路运输安全至关重要，受限于现有通信制式的速率与时延，监测系统无法对采集到的高维度、大容量在途安全数据进行高速率、低时延传输。研究基于5G通信技术的铁路危险货物运输监测方案，运用物联网技术与5G通信技术实现图像、视频、温度、位置等数据的实时采集与远传，以及后台信息监测平台对多模数据的判断与预、报警信息的下发。此外，设计可嵌入至现有铁路货运生产系统的信息监测平台，实现信息系统之间的数据共享与互联互通。     

铁路信息系统安全防护体系的研究

基于现有的铁道部、铁路局和车站三级网络基础平台,构建1个中心支撑下的三重防护系统.1个中心是指安全管理中心,包括安全管理平台和铁路CA认证平台.三重防护系统是指通信网络防护系统、区域边界防护系统和计算环境防护系统.安全管理平台对全路各类信息系统进行综合监管;铁路CA认证平台通过身份认证和访问授权技术,实行分等级、分权限的访问控制.通信网络防护系统通过加强业务数据流安全,保障通信数据传输的机密性、完整性和不可抵赖性;区域边界防护系统通过铁路内外网接入平台,保护内网数据,隔离外网安全威胁;计算环境防护系统采用合理的访问控制策略和审计功能,提高系统主机层面的安全性.     

铁路安全双重预防机制运行评价体系研究

根据铁路安全双重预防机制建设和运行现状，从基础管理、安全风险管控、安全隐患排查治理、信息系统建设应用、投入激励5个方面构建铁路安全双重预防机制运行评价体系，包含14项2级评价指标和37项3级评价指标；应用构建的铁路安全双重预防机制运行评价体系，选取典型案例进行双重预防机制运行评价，验证体系的合理性；针对评价过程中存在的问题提出改进措施，实现铁路安全双重预防机制建设闭环管理，有效落实各层级履行安全生产主体责任，提升安全风险管控和隐患排查治理能力，推进铁路安全治理体系和治理能力现代化。     

铁路信息系统自动化运维平台方案研究

铁路信息化的快速发展对信息系统运维自动化提出了新要求。采用面向服务的体系结构设计及分布式数据采集、多层汇聚、实时计算、大数据分析等技术，完成铁路信息系统自动化运维平台设计，实现监控管理、配置管理、流程管理与自动化的融合，满足功能扩展、部署快速、弹性扩容等要求。旨在提升铁路信息系统运维管理效能，提高运维管理水平，保障信息系统安全稳定运行。     

铁路通信骨干网云安全技术保障体系研究

通过分析铁路通信骨干网云基础设施可能存在的网络安全风险,提出了基于WPDR3模型,以弹性自适应云安全体系为核心理念的铁路通信云安全技术保障体系架构;在贯彻落实等保2.0基本要求和云计算安全扩展要求的基础上,结合铁路通信骨干网业务特点,研究了以安全管理中心及云安全资源池为核心的云安全防护技术方案。     

GSM-R无线通信消息认证方案研究

GSM-R作为铁路专用的通信技术,正在世界铁路范围内得到越来越广泛地应用,推动着各国铁路行业的发展。分析了GSM-R移动通信系统中安全保密体系的特点,引入了防克隆机制、双向认证机制和认证五元组,通过在HLR上设计认证向量及其中的随机数字段与MILENA-GE加密算法,提高了防止恶意无线网络用户对合法列车用户进行克隆攻击的能力,通过设计认证令牌AUTN和采用＂挑战-应答＂机制,实现了列车用户与服务网络的双向认证,通过密钥协商确定周期更新的加密密钥和完整性密钥,提供更高的数据私密性保护。在此基础上进一步提出了基于用户信誉体系的快速认证方案,以减少越区切换时列控系统列车-地面之间认证过程对通信时延产生的影响,并对快速认证方案的时延开销以及用户信誉等参数的取值进行了深入地分析。     

铁路信息系统安全管理中心的设计

针对我国铁路信息系统安全建设的现状,提出以安全管理平台和CA认证平台为支撑的安全管理中心建设思想,设计出符合铁路三网结构的安全管理中心网络结构.在铁路现有安全防护体系的基础上,将安全管理平台资源进行重新整合,同时将铁路CA认证体系范围进行扩充,构建符合信息系统等级保护要求的高安全性、高可用性的铁路信息系统安全管理中心.     

铁路电子支付行业密钥技术研究

铁路电子支付行业密钥建设包括密钥系统建设和安全管理制度建设,主要讨论密钥系统建设方案和相关模块构建方法,通过对国内外电子支付应用现状及其配套密钥管理系统研究,提出铁路电子支付行业密钥建设的密钥算法、安全机制,以及系统结构、系统功能、性能要求和系统构建方案.该方案已在铁路行业得到推广应用,达到了保护铁路电子支付信息安全的目的.     

铁路安全风险预警信息系统的研究与设计

以提升铁路安全趋势分析能力，完善铁路安全风险预控管理体系为重点，在深入研究铁路安全风险构成、风险量化评价方法、安全状态评价模型及风险预警模型等关键技术的基础上，提出了铁路安全风险预警信息系统的建设目标、总体架构和主要功能设计。实践表明，通过系统的研究与应用，可以加强铁路安全风险的管理和预控能力，促进铁路安全管理的前移和科学化。     

铁路信息系统安全体系研究

分析中国铁路信息系统的安全现状和面临的信息安全威胁,提出铁路信息安全系统的顶层建设构思,构建基于铁路安全管理中心和PKI/CA认证中心支持下的安全应用环境子系统、区域边界防护子系统、通信网络防护子系统三重防护技术体系,以客票系统为例检验该体系的适用性。     

铁路基层站段信息系统安全管理实践

随着"智慧站段"概念的兴起,当前铁路基层站段都在大力推进信息化建设,结合生产和办公需求建设企业信息系统,在生产、管理、培训等方面普遍实现了信息互联互通,这些信息系统已逐渐成为支撑铁路基层站段生产的关键设施,一旦遭到安全威胁,将直接扰乱铁路基层站段的正常生产秩序,甚至影响铁路运输生产。为此,文章参照《信息安全技术—网络安全等级保护基本要求》,结合中国国家铁路集团有限公司某机务段机车整备作业综合管理系统的建设及应用实践,针对铁路基层站段信息系统安全管理的特点和要求,从人防、技防、物防等方面综合防控,制定了较为完善的安全管理措施,有效保障该系统长期稳定运行。对铁路基层站段信息系统安全管理提出思考和建议。