铁路信息系统安全防护体系的研究

基于现有的铁道部、铁路局和车站三级网络基础平台,构建1个中心支撑下的三重防护系统.1个中心是指安全管理中心,包括安全管理平台和铁路CA认证平台.三重防护系统是指通信网络防护系统、区域边界防护系统和计算环境防护系统.安全管理平台对全路各类信息系统进行综合监管;铁路CA认证平台通过身份认证和访问授权技术,实行分等级、分权限的访问控制.通信网络防护系统通过加强业务数据流安全,保障通信数据传输的机密性、完整性和不可抵赖性;区域边界防护系统通过铁路内外网接入平台,保护内网数据,隔离外网安全威胁;计算环境防护系统采用合理的访问控制策略和审计功能,提高系统主机层面的安全性.     

铁路信息系统安全管理中心的设计

针对我国铁路信息系统安全建设的现状,提出以安全管理平台和CA认证平台为支撑的安全管理中心建设思想,设计出符合铁路三网结构的安全管理中心网络结构.在铁路现有安全防护体系的基础上,将安全管理平台资源进行重新整合,同时将铁路CA认证体系范围进行扩充,构建符合信息系统等级保护要求的高安全性、高可用性的铁路信息系统安全管理中心.     

客运专线运营调度系统中CA认证中心的设计

介绍PKI/CA的基本概念,针对客运专线运营调度系统提出一种CA结构设计,同时应用面向对象的Java鳊程语言,给出用根证书验证实体证书的一个应用实例.     

基于登录代理的统一身份认证服务平台构建

针对目前企业内部各应用系统分散式认证的种种弊端,构建了一个基于登录代理技术的统一身份认证服务平台.该平台为企业内已运行和新部署的应用系统提供了单点登录、统一身份认证和访问控制的集成环境,对统一身份认证服务平台的整体设计思想、结构框架、系统功能规划以及工作流程做了论述.     

PKI技术增强3G安全性研究

3G系统执行认证与密钥分配协议,在移动台和服务网络之间进行双向认证,在互相确认对方身份的基础上生成数据加密密钥CK和数据完整性密钥IK。3G安全体系的鉴权认证阶段是其薄弱环节,针对其缺陷,结合PKI技术,提出基于SSL握手协议的鉴权认证方案。在3G网络中加入认证中心及注册中心,用于验证用户身份、发放和恢复证书。针对无线终端特性,为服务器端使用的证书定义一个新的PKI证书格式———WTLS证书,并使用短时效证书SLC作为验证证书有效期的方案。该认证方案可以与3G现有安全模式并行,建议3G设置双模式认证方式来提高其安全强度。在无线终端侧实现了用户证书的存储管理,从而实现了加解密、数据完整性保护等各方面的功能,验证了基于SSL握手协议的鉴权认证方式是可行的。     

“中国铁物电子招投标平台”EBS颁证仪式在北京举行

正7月17日,"中国铁物电子招投标平台"EBS颁证仪式在北京举行,由中铁物总国际招标有限公司主导开发的"中国铁物电子招投标平台"获得电子招标投标系统三星级认证证书。中国铁物党委常委、副总裁杜波会见了EBS认证机构—中国     

铁路客票网络安全系统PKI子系统的设计与实现

从信任模型、管理体制、安全性设计等方面提出适合于铁路客票系统的基于PKI的安全解决方案。方案包括证书及其撤销列表的生成与签发(CA)和存储与发布(LDAP)、密钥的生成与管理(KMC)、用户注册管理(RA)及系统安全管理等5部分。方案不仅支持系统内人员和设备的密钥管理、身份认证及公钥密码运算,而且还对加密密钥进行管理。各组成部分之间使用数字信封来实现相关安全通信操作,并依靠"安全通信中间件"完成通信。基于角色的访问控制进行身份认证和授权管理也在系统中得到了运用。     

铁路企业社会保障管理信息系统统一身份认证平台的设计与实现

铁路企业社会保障管理信息系统采用分布式架构,并且需要融合多个异构系统。为了确保系统安全、方便使用,引入统一身份认证成为系统发展的必然。基于单点登陆、Session共享和NOSQL技术,提出多技术融合的统一身份认证平台的总体设计思路和功能设计,并给出了平台的具体实现路径。这不仅解决了铁路企业社会保障管理信息系统的身份认证问题,也为解决分布式系统的统一身份认证提供了可行的方案。     

OPC UA在城市轨道交通信号系统互联互通中的应用研究

数据通信是互联互通的关键，以实现设备互换、联通联运后列车安全可靠运行，基于OPC UA在数据采集、通信方面的高安全可靠性，对其在城轨信号系统互联互通中的应用展开研究。分析了城市轨道交通信号系统架构，从结构功能出发，定义服务器和客户端。在VS2015开发平台上，制作X.509证书，采用SSL协议，使客户端对服务器进行单向认证，对满足OPC UA的服务器和客户端之间信息交互过程进行仿真。结果表明，OPC UA协议能使消息在不同设备间安全交互，与传统多设备多驱动多协议相比，降低了软件设计的复杂度。     

铁路企业单点登录平台的研究与实现

针对铁路企业中多个应用系统造成的数据不能共享及需要多次身份认证和用户信息独立管理的问题,提出采用基于LDAP目录服务的单点登录技术,设计了铁路企业单点登录平台,实现了统—的身份认证和用户管理,系统资源的统一管理和授权,方便用户进行系统应用.     

铁路信号系统中以太网转CAN网关设计

设计一种适用于铁路信号系统的以太网转CAN网关设备,将PowerPC405EP作为主控处理器芯片,采用Linux操作系统,利用其自带的协议栈实现以太网通信功能,外扩SJA1000实现CAN总线数据收发功能。为了便于工程施工和现场快速配置,相关通信配置文件及应用程序均存储在外扩的CF卡中。另外,系统还配备了专用的监测以太网接口通道,设备开通运营后可将其工作状态和上下行的通信原始数据上传至监测计算机用于故障分析。     

软件路由技术在DMIS及微机监测系统中的应用

本文首先介绍了DMIS及信号微机监测系统的基本概念,并简介了软件路由技术的产生背景。紧接着,给出了在PC104平台上的Linux环境下,软件路由技术在DMIS及信号微机监测系统中的应用。最后,指出了该技术的发展空间。     

基于Linux-FLTK的动车组人机界面软件设计

列车人机通信系统是列车网络监控系统的重要组成部分，其主要功能可显示车辆当前运行状态、报警和故障信息，可实现列车重要控制功能，可保存车辆运行历史数据等。本文设计了一种基于Linux-FLTK（Fast Light Tool Kit）的人机界面，采用性能优越的ARM架构作为硬件平台、采用稳定性强的嵌入式Linux作为软件平台，利用开源图形工具FLULD进行程序界面开发。经过验证，该程序具有编程结构简化、开发周期短，可移植性强，目标程序小等优点，在轨道车辆领域得到广泛应用。     

地铁地下结构抗震分析并行计算显式与隐式算法比较

基于EM64T硬件构架、双路Intel Xeon处理器、Linux操作系统、64位ABAQUS软件、千兆以太网络为集群子网络构建的32CPU并行计算集群平台,对有限元并行计算中心差分显式算法与Hilber-Hughes-Taylor隐式算法的计算精度和效率以及ABAQUS软件中设置黏弹性人工边界计算精度进行比较验证。结果表明:显式与隐式算法计算精度基本相当,但显式算法计算效率远高于隐式算法。对地铁地下结构三维和二维非线性地震反应分析有限元并行计算显式和隐式算法进行对比研究,结果表明:对于自由度数为387 426的地铁车站结构三维非线性地震反应分析,8、16、32CPU并行计算显式和隐式算法耗时比依次为21.89%、23.10%、4.32%;对于自由度数为10 516的地铁车站结构二维非线性地震反应分析,1、2、4CPU并行计算隐式和显式算法计算耗时比依次为41.4%、45.3%、51.8%;多CPU并行计算显式算法适合求解大规模数值计算问题,多CPU并行计算隐式算法适合求解小规模数值计算问题。     

用于列车网络的司机显示单元的系统设计与实现

地铁列车司机显示单元(DDU:Dirver Display Unit)作为列车网络的重要部分,是完成人机对话和系统信息显示的重要系统.为驾驶员的操作及地铁车辆安全运行提供信息保证.本设计选择X86架构计算机作为DDU单元的硬件平台,嵌入Linux操作系统,构建了基于CANopen通信协议的地铁列车司机显示单元.本文详细介绍了DDU的系统原理和软件架构设计.     

网格中多CA环境密钥管理方案的研究

针对网格环境中的CA认证模型,提出基于可信任第四方的密钥全托管机制,对用户密钥进行统一的托管、存取、查询和验证.该模型独立于现有的分布式CA,将密钥的管理与用户本身的密钥保密强度分离,从而最大程度地降低密钥丢失和被窃的可能性.利用上述理论,作者将密钥托管机制应用在数字图书馆的资源权限认证过程中,降低了数字图书馆用户群复杂性对数字资源安全的危害程度.     

铁路局计量管理信息系统的设计与实现

深入分析现场计量管理难点，阐述铁路局计量管理信息系统的整体设计、实现过程及推广应用情况。系统以计量器具基础管理为依托，规范动态过程管理，精细化量值溯源体系和计量监督管理，实现计量证书、通知书以及委托书等自动生成。     

基于图形化编程语言的列车人机界面设计

详细介绍一种适用于城市地铁车辆人机界面的设计方案.通过对比分析,选择功能强大的x86架构硬件平台、开源但稳定性好的Linux系统及图形化编程语言LabVIEW.组建并论述人杌界面的整体架构和各个界面的对应功能,实验结果验证了系统设计方案的正确性和优越性.     

基于Linux的入侵防御系统设计与实现

在研究防火墙与入侵检测系统联动的基础上,设计并实现了一种基于Linux平台的入侵防御系统.该系统结合Iptables防火墙与Snort入侵检测系统的优势,将Snort报警信息实时有效地转换为Iptables防火墙规则来实现网络动态防御.最后通过实验分析验证该系统的性能.