面向鐵路信號(hào)控制網(wǎng)絡(luò)的協(xié)議安全隔離系統(tǒng)的制作方法
【專(zhuān)利摘要】本發(fā)明公開(kāi)了一種面向鐵路信號(hào)控制網(wǎng)絡(luò)的協(xié)議安全隔離系統(tǒng),由第一通信接口101、第二通信接口203、第一處理器102、第二處理器202、高速雙口RAM通信緩存302、內(nèi)存RAM、掉電存儲(chǔ)FLASH、人機(jī)交互平臺(tái)105以及電源模塊301組成;第一通信接口和第二通信接口從鏈路層截獲對(duì)應(yīng)網(wǎng)絡(luò)的數(shù)據(jù),交由第一處理器分析,分析結(jié)果及通信內(nèi)容送人機(jī)交互界面105顯示并寫(xiě)入數(shù)據(jù)庫(kù),同時(shí)將安全的網(wǎng)絡(luò)數(shù)據(jù)信息通過(guò)高速雙口RAM通信緩存302以“擺渡”的方式傳送給第二處理器,再通過(guò)第二處理器驅(qū)動(dòng)的第二通信接口203傳送至目標(biāo)終端或網(wǎng)絡(luò)。本發(fā)明綜合了多種網(wǎng)絡(luò)技術(shù)對(duì)現(xiàn)有鐵路信號(hào)控制網(wǎng)絡(luò)進(jìn)行實(shí)時(shí)監(jiān)測(cè)與安全隔離。
【專(zhuān)利說(shuō)明】面向鐵路信號(hào)控制網(wǎng)絡(luò)的協(xié)議安全隔離系統(tǒng)
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及嵌入式產(chǎn)品設(shè)計(jì)、鐵路通信、網(wǎng)絡(luò)信息安全及軌道交通領(lǐng)域。通過(guò)對(duì)數(shù)據(jù)的綜合分析,實(shí)現(xiàn)了控制網(wǎng)絡(luò)數(shù)據(jù)的實(shí)時(shí)監(jiān)測(cè)與過(guò)濾。
【背景技術(shù)】
[0002]隨著中國(guó)鐵路的飛速發(fā)展,鐵路信號(hào)控制網(wǎng)絡(luò)的網(wǎng)絡(luò)安全至關(guān)重要。研究國(guó)外的鐵路安全標(biāo)準(zhǔn)、安全評(píng)估、認(rèn)證體系,并結(jié)合中國(guó)鐵路通信信號(hào)發(fā)展的實(shí)際情況,建立中國(guó)鐵路通信信號(hào)系統(tǒng)安全分析評(píng)估系統(tǒng)和認(rèn)證體系勢(shì)在必行。
[0003]雖然,鐵路通信向數(shù)字化、智能化、網(wǎng)絡(luò)化和一體化的方向發(fā)展是一個(gè)必然趨勢(shì);但是,由于計(jì)算機(jī)網(wǎng)絡(luò)所具有的開(kāi)放性、互連性和共享性等特征使網(wǎng)上信息安全存在著先天不足,再加上系統(tǒng)軟件中的安全漏洞以及所欠缺的嚴(yán)格管理,致使網(wǎng)絡(luò)極易受到破壞。同時(shí),我國(guó)的工控市場(chǎng)過(guò)度開(kāi)放(如pic國(guó)內(nèi)產(chǎn)品市場(chǎng)占有率不到1%,衛(wèi)星導(dǎo)航系統(tǒng)芯片95%依賴(lài)進(jìn)口),大部分控制系統(tǒng)的核心控制模塊都是從國(guó)外引進(jìn),而國(guó)外工業(yè)控制芯片、工業(yè)控制系統(tǒng)產(chǎn)品的設(shè)計(jì)和配置等在一定程度上存在漏洞或后門(mén),這使得我國(guó)工控網(wǎng)(包括鐵路控制網(wǎng)絡(luò))的安全受到了嚴(yán)重威脅。此外,高鐵、城際鐵路信號(hào)系統(tǒng)的信息傳送通道——信號(hào)安全數(shù)據(jù)網(wǎng),目前采用內(nèi)部封閉式運(yùn)行,僅網(wǎng)絡(luò)上連接的設(shè)備之間相互進(jìn)行信息交換,內(nèi)部并未設(shè)置網(wǎng)絡(luò)與信息安全設(shè)備,這給鐵路信號(hào)控制網(wǎng)絡(luò)埋下了很大的安全隱患。
【發(fā)明內(nèi)容】
[0004]鑒于目前我國(guó)鐵路信號(hào)控制系統(tǒng)的安全隱患以及有關(guān)控制網(wǎng)絡(luò)現(xiàn)有技術(shù)的以上不足,本發(fā)明型旨在提供一種高可靠性的網(wǎng)絡(luò)數(shù)據(jù)隔離系統(tǒng)。
[0005]本發(fā)明的目的是基于如下的手段實(shí)現(xiàn)的:
[0006]一種面向鐵路信號(hào)控制網(wǎng)絡(luò)的協(xié)議安全隔離系統(tǒng),由第一通信接口 101、第二通信接口 203、第一處理器102、第二處理器202、高速雙口 RAM通信緩存302、內(nèi)存RAM、掉電存儲(chǔ)FLASH、人機(jī)交互平臺(tái)105以及電源模塊301組成;第一通信接口和第二通信接口從鏈路層截獲對(duì)應(yīng)網(wǎng)絡(luò)的數(shù)據(jù),交由第一處理器分析,分析結(jié)果及通信內(nèi)容送人機(jī)交互界面105顯示并寫(xiě)入數(shù)據(jù)庫(kù),同時(shí)將安全的網(wǎng)絡(luò)數(shù)據(jù)信息通過(guò)高速雙口 RAM通信緩存302以“擺渡”的方式傳送給第二處理器,再通過(guò)第二處理器驅(qū)動(dòng)的第二通信接口 203傳送至目標(biāo)終端或網(wǎng)絡(luò)。
[0007]本發(fā)明采用UCOS-1I實(shí)時(shí)操作系統(tǒng),運(yùn)行在208MHZ的時(shí)鐘頻率下,集成了以太網(wǎng)接口、CAN總線(xiàn)協(xié)議接口、PR0FIBUS總線(xiàn)協(xié)議接口、422總線(xiàn)協(xié)議接口以及232總線(xiàn)協(xié)議接□。
[0008]所述高速雙口 RAM通信緩存302分為A、B兩個(gè)存儲(chǔ)區(qū);將A、B存儲(chǔ)區(qū)域劃分為N個(gè)相等的小塊存儲(chǔ)區(qū)a1、bi(l≤i≤N),K1和K2的約束為Klai*K2ai=0且Klbi*K2bi=0(其中,Klai表示Kl與ai相連)。
[0009]本發(fā)明在滿(mǎn)足鐵路所需安全——故障原則的前提下,從控制網(wǎng)的網(wǎng)絡(luò)傳輸安全角度出發(fā),基于嵌入式實(shí)時(shí)操作系統(tǒng)的網(wǎng)絡(luò)協(xié)議分析系統(tǒng),采用無(wú)協(xié)議棧的方式,從底層捕獲網(wǎng)絡(luò)數(shù)據(jù);結(jié)合網(wǎng)絡(luò)隔離技術(shù)、防火墻技術(shù)、入侵檢測(cè)技術(shù)、白名單技術(shù)以及數(shù)據(jù)包深度檢測(cè)技術(shù)和現(xiàn)有的鐵路信號(hào)模擬網(wǎng)絡(luò),透明地分析各終端間的數(shù)據(jù),使得控制網(wǎng)絡(luò)數(shù)據(jù)在提高安全性的同時(shí)充分滿(mǎn)足相應(yīng)通信協(xié)議技術(shù)標(biāo)準(zhǔn)。
[0010]本發(fā)明系統(tǒng)基于雙CPU+雙端口 RAM結(jié)構(gòu)和實(shí)時(shí)嵌入式操作系統(tǒng)而設(shè)計(jì):數(shù)據(jù)采集與轉(zhuǎn)發(fā)部分、白名單存儲(chǔ)部分、數(shù)據(jù)安全分析部分、處理器間通信部分和分析結(jié)果顯示部分。系統(tǒng)對(duì)所得的網(wǎng)絡(luò)通信數(shù)據(jù)進(jìn)行分層分析、多層匹配得到網(wǎng)絡(luò)數(shù)據(jù)的實(shí)時(shí)通信參數(shù);同時(shí),對(duì)截獲的網(wǎng)絡(luò)數(shù)據(jù)包進(jìn)行特征記錄,多包之間根據(jù)記錄特征邏輯分析得到網(wǎng)絡(luò)數(shù)據(jù)的邏輯指標(biāo)。網(wǎng)絡(luò)數(shù)據(jù)的實(shí)時(shí)通信參數(shù)與網(wǎng)絡(luò)數(shù)據(jù)的邏輯指標(biāo)結(jié)合白名單庫(kù),不僅實(shí)現(xiàn)了通信雙方的安全隔離,更防范了網(wǎng)絡(luò)中多包組合的隱性攻擊,進(jìn)而杜絕了網(wǎng)絡(luò)中非法數(shù)據(jù)的傳輸與擴(kuò)散。
[0011]系統(tǒng)采用如下的方式進(jìn)行數(shù)據(jù)分析與轉(zhuǎn)發(fā):當(dāng)外部終端I的數(shù)據(jù)到達(dá)所述網(wǎng)絡(luò)隔離平臺(tái)時(shí),第一處理器就會(huì)截獲物理層以上的數(shù)據(jù)幀,并根據(jù)安全等級(jí)調(diào)用相應(yīng)的安全策略對(duì)數(shù)據(jù)進(jìn)行安全分析。若數(shù)據(jù)安全,則寫(xiě)入高速緩存雙口 RAM并通知第二處理器,第二處理器接收到通知后,將緩存數(shù)據(jù)轉(zhuǎn)發(fā)給外部終端2 ;若數(shù)據(jù)不安全,則根據(jù)不同的安全等級(jí)采取相應(yīng)措施(如丟棄、報(bào)警等),如此完成數(shù)據(jù)的安全交換。反之,亦然。
[0012]實(shí)現(xiàn)本發(fā)明任務(wù)的裝置可采用:開(kāi)關(guān)電源;數(shù)字電源模塊;以太網(wǎng)物理收發(fā)器(CPU自帶以太網(wǎng)MAC控制器);CAN網(wǎng)絡(luò)物理收發(fā)器、CAN網(wǎng)絡(luò)控制器;PR0FIBUS主從站控制器與收發(fā)器;422收發(fā)器;主控ARM平臺(tái);高速雙口靜態(tài)RAM組成。所述以太網(wǎng)物理收發(fā)器與主控ARM自帶的MAC控制器一起組成以太網(wǎng)數(shù)據(jù)采集電路;所述CAN收發(fā)器與CAN控制器一起構(gòu)成CAN網(wǎng)絡(luò)數(shù)據(jù)采集電路;所述PR0FIBUS主從站構(gòu)成PR0FIBUS網(wǎng)絡(luò)數(shù)據(jù)采集電路;422收發(fā)器與ARM的串行控制器一起組成422網(wǎng)絡(luò)數(shù)據(jù)采集電路。各路數(shù)據(jù)采集電路都受控于主控平臺(tái)ARM,采集的數(shù)據(jù)都需經(jīng)過(guò)ARM平臺(tái)的分析與過(guò)濾。
[0013]本發(fā)明的措施能同時(shí)分析通信過(guò)程中數(shù)據(jù)幀的可靠性與數(shù)據(jù)幀來(lái)源的真實(shí)性,在很大程度上杜絕了各種非法網(wǎng)絡(luò)數(shù)據(jù)的傳輸與擴(kuò)散,確保了控制系統(tǒng)的安全運(yùn)營(yíng)。類(lèi)似系統(tǒng)可以用于控制網(wǎng)絡(luò)信號(hào)系統(tǒng)的終端加固和邊界防護(hù),提高信號(hào)系統(tǒng)的安全性。
[0014]圖1為本發(fā)明型的系統(tǒng)組成原理圖。
[0015]圖2為本發(fā)明型在鐵路信號(hào)控制網(wǎng)絡(luò)中的應(yīng)用圖。
[0016]圖3為本發(fā)明型的高速雙口 RAM設(shè)計(jì)原理圖。
[0017]圖4為本發(fā)明型的系統(tǒng)軟件設(shè)計(jì)流程圖。
[0018]圖5為本發(fā)明型的數(shù)據(jù)安全分析流程圖。
[0019]圖6為本發(fā)明實(shí)例系統(tǒng)實(shí)時(shí)性能測(cè)試圖。
[0020]圖7為本發(fā)明實(shí)例系統(tǒng)分析數(shù)據(jù)時(shí)延測(cè)試圖。
【具體實(shí)施方式】
[0021]為使本申請(qǐng)的上述目的、特征和優(yōu)點(diǎn)能更加明顯易懂,下面結(jié)合附圖對(duì)本申請(qǐng)實(shí)例中的技術(shù)方案進(jìn)行詳細(xì)描述。所述實(shí)例只是本發(fā)明的一部分實(shí)例,而不是全部實(shí)例?;诒景l(fā)明的實(shí)例,本領(lǐng)域普通技術(shù)人員在沒(méi)有做出創(chuàng)造性勞動(dòng)前,都屬于本發(fā)明保護(hù)的范圍。
[0022]圖1為所述系統(tǒng)的原理框圖,如圖所示。所述系統(tǒng)由第一通信接口 101、第二通信接口 203,第一處理器102、第二處理器202,高速雙口 RAM通信緩存302,內(nèi)存RAM103、內(nèi)存RAM201,第一掉電存儲(chǔ)FLASH104、第二掉電存儲(chǔ)FLASH204,人機(jī)交互平臺(tái)105以及電源模塊301共同組成。通信接口模塊從鏈路層截獲對(duì)應(yīng)網(wǎng)絡(luò)的數(shù)據(jù),交由第一處理器分析,分析結(jié)果及通信內(nèi)容送人機(jī)交互界面105顯示并寫(xiě)入數(shù)據(jù)庫(kù);同時(shí)把安全的網(wǎng)絡(luò)數(shù)據(jù)信息通過(guò)緩存302以“擺渡”的方式傳送給第二處理器,再通過(guò)第二處理器所驅(qū)動(dòng)的通信接口 203傳送至目標(biāo)終端或網(wǎng)絡(luò)。反之,亦然。所述系統(tǒng)實(shí)例采用UCOS-1I實(shí)時(shí)操作系統(tǒng),運(yùn)行在208MHZ的時(shí)鐘頻率下,集成了以太網(wǎng)接口、CAN總線(xiàn)協(xié)議接口、PR0FIBUS總線(xiàn)協(xié)議接口、422總線(xiàn)協(xié)議接口以及232總線(xiàn)協(xié)議接口。
[0023]圖2是本系統(tǒng)在鐵路信號(hào)控制網(wǎng)絡(luò)中的應(yīng)用圖。目前,鐵路信號(hào)控制網(wǎng)絡(luò)由信號(hào)系統(tǒng)安全數(shù)據(jù)網(wǎng)、CTC數(shù)據(jù)通信網(wǎng)、信號(hào)集中監(jiān)測(cè)數(shù)據(jù)通信網(wǎng)三張子網(wǎng)組成,它們均采用迂回、環(huán)狀、冗余等方式組網(wǎng)。在本發(fā)明的實(shí)際應(yīng)用中,鐵路通信設(shè)備需通過(guò)所述系統(tǒng)才能與環(huán)網(wǎng)相連,通信設(shè)備所有的收發(fā)數(shù)據(jù)都必須經(jīng)過(guò)所述系統(tǒng)安檢才能下放到執(zhí)行終端。即只有在設(shè)備間的通信數(shù)據(jù)完全符合所述系統(tǒng)設(shè)定的信息安全庫(kù)和邏輯關(guān)系時(shí),才能被本系統(tǒng)以“擺渡”的方式轉(zhuǎn)發(fā)到目的通信網(wǎng)絡(luò)或終端。同時(shí),所述系統(tǒng)可以使鐵路信號(hào)控制終端在因惡意劫持或誤操作時(shí),自動(dòng)隔離自身,脫離環(huán)網(wǎng),杜絕了非法數(shù)據(jù)的擴(kuò)撒與傳播,有效保護(hù)了網(wǎng)絡(luò)的通信安全。
[0024]圖3是高速雙口 RAM設(shè)計(jì)原理圖。高速雙口 RAM302是網(wǎng)絡(luò)協(xié)議分析平臺(tái)中兩個(gè)處理器之間的數(shù)據(jù)通信緩存。因此,系統(tǒng)的帶寬主要受限于處理器的性能以及雙端口 RAM的數(shù)據(jù)交換速度:處理器的性能越好、雙口 RAM的交換速度越快,系統(tǒng)的帶寬就越大。為提高數(shù)據(jù)的交換速度,所述系統(tǒng)采用帶緩沖區(qū)的多通道實(shí)時(shí)開(kāi)關(guān)技術(shù)來(lái)設(shè)計(jì)雙端口 RAM(此處以雙通道為例說(shuō)明原理)。首先,把雙端口 RAM分為A、B兩個(gè)存儲(chǔ)區(qū)。再將A、B存儲(chǔ)區(qū)域劃分為N個(gè)相等的小塊存儲(chǔ)區(qū)a1、bi(l≤i≤N),K1和K2的約束為Klai*K2ai=0且Klbi*K2bi=0(其中,Klai表示Kl與ai相連)。這樣的設(shè)計(jì)使得第一處理器、第二處理器中的一方對(duì)ai或bi進(jìn)行訪(fǎng) 問(wèn)時(shí),另一方仍可以對(duì)aj或bj(i# j)進(jìn)行訪(fǎng)問(wèn),減少了讀寫(xiě)沖突的發(fā)生幾率,提高了數(shù)據(jù)通道的效率,從而加快了兩處理器之間數(shù)據(jù)交換速度。
[0025]圖4為本發(fā)明型的系統(tǒng)軟件設(shè)計(jì)流程圖。所述系統(tǒng)實(shí)例由4個(gè)接口任務(wù)、一個(gè)雙端口 RAM任務(wù)、一個(gè)系統(tǒng)配置任務(wù)和一個(gè)主任務(wù),共7個(gè)任務(wù)組成。程序啟動(dòng)時(shí),主任務(wù)根據(jù)功能開(kāi)關(guān)的不同取值,創(chuàng)建不同的工作任務(wù)去分析、處理相應(yīng)的網(wǎng)絡(luò)數(shù)據(jù),并把處理結(jié)果及數(shù)據(jù)內(nèi)容實(shí)時(shí)地傳送給人機(jī)交互平臺(tái)顯示。如需改變、添加或刪除通信終端,則重啟系統(tǒng)并設(shè)置功能開(kāi)關(guān)的取值進(jìn)入配置任務(wù),重新配置系統(tǒng),當(dāng)配置完成后系統(tǒng)自動(dòng)觸發(fā)重啟模塊,重啟系統(tǒng),系統(tǒng)再次進(jìn)入正常的數(shù)據(jù)分析模式。所述系統(tǒng)采用雙CPU架構(gòu),兩個(gè)CPU的軟件設(shè)計(jì)基本對(duì)稱(chēng)(僅第一處理器驅(qū)動(dòng)人機(jī)交互平臺(tái)105,故第二處理器的分析結(jié)果需通過(guò)雙端口 RAM302實(shí)時(shí)地傳送給第一處理器進(jìn)行顯示)。
[0026]圖5為本發(fā)明型的數(shù)據(jù)安全分析流程圖。所述系統(tǒng)從線(xiàn)路上捕獲數(shù)據(jù)幀后,根據(jù)不同的工作任務(wù)觸發(fā)不同的數(shù)據(jù)安全分析函數(shù)分別處理不同網(wǎng)絡(luò)數(shù)據(jù)。
[0027]鐵路信號(hào)安全數(shù)據(jù)網(wǎng)絡(luò)中所用的安全通信協(xié)議主要為RSSP-1I協(xié)議,該協(xié)議在TCP/IP協(xié)議基礎(chǔ)上增加了適配及冗余管理層、消息鑒定層、安全應(yīng)用中間層。因此,它的安全實(shí)質(zhì)上就是專(zhuān)網(wǎng)的網(wǎng)絡(luò)安全。所述系統(tǒng)結(jié)合鐵路控制網(wǎng)絡(luò)具體需求,對(duì)采集到的網(wǎng)絡(luò)數(shù)據(jù)幀分層分析,逐層匹配,多包間組合分析;全方位抵御網(wǎng)絡(luò)中的非法活動(dòng)。[0028]鐵路信號(hào)控制系統(tǒng)中除了以太網(wǎng)外,還有CAN總線(xiàn)、422總線(xiàn)以及PR0FIBUS總線(xiàn)等現(xiàn)場(chǎng)總線(xiàn)網(wǎng)絡(luò)。這些現(xiàn)場(chǎng)總線(xiàn)協(xié)議作為工業(yè)控制底層網(wǎng)絡(luò),其信息量較少,實(shí)時(shí)性要求較高,因此,它們的模型結(jié)構(gòu)只取了 OSI底層的物理層、數(shù)據(jù)鏈路層和頂層的應(yīng)用層。這些協(xié)議與RSSP-1I協(xié)議相比相對(duì)簡(jiǎn)單、攻擊隱蔽。在分析這些網(wǎng)絡(luò)數(shù)據(jù)時(shí),除直接對(duì)單包應(yīng)用層數(shù)據(jù)進(jìn)行白名單匹配外,還需采用“跨包匹配法”對(duì)連續(xù)多包進(jìn)行邏輯分析,從而防御多包組合攻擊。
[0029]圖6為本發(fā)明實(shí)例系統(tǒng)實(shí)時(shí)性能測(cè)試圖。所述系統(tǒng)實(shí)例基于A(yíng)RM+UC0S-1I而設(shè)計(jì)。UCOS-1I是專(zhuān)門(mén)為嵌入式系統(tǒng)設(shè)計(jì)的硬實(shí)時(shí)、基于優(yōu)先級(jí)調(diào)度的搶占式實(shí)時(shí)內(nèi)核。它的內(nèi)核精簡(jiǎn),多任務(wù)管理功能相對(duì)完善,實(shí)時(shí)性能良好,可裁剪,可固化,源碼開(kāi)放,可移植性強(qiáng)。UCOS-1I系統(tǒng)中最多可以支持64個(gè)任務(wù),分別對(duì)應(yīng)優(yōu)先級(jí)O?63,其中O為最高優(yōu)先級(jí)。63為最低級(jí),系統(tǒng)保留了 4個(gè)最高優(yōu)先級(jí)的任務(wù)和4個(gè)最低優(yōu)先級(jí)的任務(wù),所有用戶(hù)可以使用的任務(wù)數(shù)只有56個(gè)。所述系統(tǒng)實(shí)例的實(shí)時(shí)性取決于UCOS-1I操作系統(tǒng),而UCOS-1I的實(shí)時(shí)性體現(xiàn)在任務(wù)的切換時(shí)間上:切換時(shí)間越短,系統(tǒng)的實(shí)時(shí)性就越高。程序利用CPU計(jì)數(shù)器為任務(wù)搶占切換時(shí)間所提供的系統(tǒng)時(shí)間戳函數(shù)OSTimeGetO來(lái)計(jì)算時(shí)間,任務(wù)的切換通過(guò)優(yōu)先級(jí)的動(dòng)態(tài)改變來(lái)實(shí)現(xiàn)。以下給出本實(shí)例任務(wù)切換時(shí)間的計(jì)算方法(以?xún)蓚€(gè)任務(wù)為例):首先,創(chuàng)建兩個(gè)任務(wù)A、B。規(guī)定任務(wù)A的優(yōu)先級(jí)為N,任務(wù)B的優(yōu)先級(jí)為N+1。程序啟動(dòng)后,任務(wù)A首先搶占CPU ;某個(gè)時(shí)刻任務(wù)B的優(yōu)先級(jí)減去2,同時(shí)記錄時(shí)間戳,任務(wù)B搶占CPU后,馬上把自身的優(yōu)先級(jí)加上2,任務(wù)A重新?lián)屨糃PU,再記錄一次時(shí)間戳。整個(gè)過(guò)程發(fā)生兩次任務(wù)調(diào)度切換,將兩次的時(shí)間戳相減除以2后再除以CPU的頻率,即得到任務(wù)的切換時(shí)間。
[0030]圖7為本發(fā)明實(shí)例系統(tǒng)分析數(shù)據(jù)時(shí)延測(cè)試圖。所述系統(tǒng)實(shí)例的時(shí)延性能是在信號(hào)系統(tǒng)安全數(shù)據(jù)網(wǎng)模擬網(wǎng)絡(luò)中測(cè)得。設(shè)定模擬網(wǎng)絡(luò)中某通信終端間的應(yīng)用數(shù)據(jù)從IOBytes至IOOOBytes漸變,測(cè)試加入隔離系統(tǒng)前后數(shù)據(jù)在傳輸過(guò)程中的延遲時(shí)間。在圖7中,橫軸表示每幀數(shù)據(jù)的傳輸長(zhǎng)度(Byte),縱軸表示每幀數(shù)據(jù)的傳輸時(shí)延(ms)。由圖可知,當(dāng)數(shù)據(jù)幀長(zhǎng)度為10?1000比特時(shí),隔離系統(tǒng)轉(zhuǎn)發(fā)時(shí)延為0.11?0.5ms。鐵路安全數(shù)據(jù)網(wǎng)規(guī)范指定通信設(shè)備間信息傳輸總延時(shí)不大于50ms,因此,加入隔離系統(tǒng)后不影響網(wǎng)絡(luò)傳輸?shù)膶?shí)時(shí)性,同時(shí)也能滿(mǎn)足大多數(shù)工控網(wǎng)的實(shí)時(shí)性要求。
【權(quán)利要求】
1.一種面向鐵路信號(hào)控制網(wǎng)絡(luò)的協(xié)議安全隔離系統(tǒng),其特征在于,由第一通信接口(101)、第二通信接口(203)、第一處理器(102)、第二處理器(202)、高速雙口 RAM通信緩存(302)、內(nèi)存RAM、掉電存儲(chǔ)FLASH、人機(jī)交互平臺(tái)(105)以及電源模塊(301)組成;第一通信接口和第二通信接口從鏈路層截獲對(duì)應(yīng)網(wǎng)絡(luò)的數(shù)據(jù),交由第一處理器分析,分析結(jié)果及通信內(nèi)容送人機(jī)交互界面(105)顯示并寫(xiě)入數(shù)據(jù)庫(kù),同時(shí)將安全的網(wǎng)絡(luò)數(shù)據(jù)信息通過(guò)高速雙口 RAM通信緩存(302)以“擺渡”的方式傳送給第二處理器,再通過(guò)第二處理器驅(qū)動(dòng)的第二通信接口(203)傳送至目標(biāo)終端或網(wǎng)絡(luò)。
2.根據(jù)權(quán)利要求1所述之系統(tǒng),其特征在于,采用UCOS-1I實(shí)時(shí)操作系統(tǒng),運(yùn)行在208MHZ的時(shí)鐘頻率下,集成了以太網(wǎng)接口、CAN總線(xiàn)協(xié)議接口、PR0FIBUS總線(xiàn)協(xié)議接口、422總線(xiàn)協(xié)議接口以及232總線(xiàn)協(xié)議接口。
3.根據(jù)權(quán)利要求1所述之系統(tǒng),其特征在于,所述高速雙口RAM通信緩存(302)分為A、B兩個(gè)存儲(chǔ)區(qū);將A、B存儲(chǔ)區(qū)域劃分為N個(gè)相等的小塊存儲(chǔ)區(qū)a1、bi(l < i <N),K1和K2的約束為Klai*K2ai=0且Klbi*K2bi=0 (其中,Klai表示Kl與ai相連)。
【文檔編號(hào)】H04L29/06GK103888446SQ201410070530
【公開(kāi)日】2014年6月25日 申請(qǐng)日期:2014年2月28日 優(yōu)先權(quán)日:2014年2月28日
【發(fā)明者】閆連山, 孫政, 鐘能, 李賽飛, 潘煒, 郭進(jìn), 張志勇 申請(qǐng)人:西南交通大學(xué)