买专利,只认龙图腾
首页 专利交易 科技果 科技人才 科技服务 商标交易 会员权益 IP管家助手 需求市场 关于龙图腾
 /  免费注册
到顶部 到底部
清空 搜索

【发明授权】数据处理方法、装置、计算机设备及计算机可读存储介质_北京全路通信信号研究设计院集团有限公司_201710973218.9 

申请/专利权人:北京全路通信信号研究设计院集团有限公司

申请日:2017-10-18

公开(公告)日:2021-04-13

公开(公告)号:CN107968775B

主分类号:H04L29/06(20060101)

分类号:H04L29/06(20060101)

优先权:

专利状态码:有效-授权

法律状态:2021.04.13#授权;2018.05.22#实质审查的生效;2018.04.27#公开

摘要:本发明提供了一种数据处理方法、装置及计算机设备,其中,数据处理方法包括:根据数据的传输路径将数据分类为安全数据与非安全数据,其中,安全数据与非安全数据已封装至少一层安全通信协议;对安全数据封装内部安全通信协议;将非安全数据和已封装内部安全协议的安全数据分别在不同的物理通道上进行传输。通过本发明,可以确保系统数据的安全传输。

主权项:1.一种数据处理方法,其特征在于,所述方法包括:在铁路安全计算机系统中,根据数据的传输路径将数据分类为安全数据与非安全数据,其中,所述安全数据与所述非安全数据已封装至少一层安全通信协议,所述安全通信协议为铁路安全通信协议;所述非安全数据包括以下至少之一:系统维护数据、系统中的外部通信设备与外部设备的通信数据以及所述外部通信设备之间的通信数据;对所述安全数据封装内部安全通信协议;铁路安全计算机系统采用二乘二取二双CPU对称冗余架构,每个系统均包含双CPU安全逻辑处理单元SUASUB和通信单元SUC;SUASUB主要负责逻辑运算和比较,可以承担安全功能;SUC用于完成系统的对外输入输出工作,实现系统中非安全相关的业务功能;对所述安全数据封装内部安全通信协议,包括:当数据由SUC传输给SUASUB时,在非安全数据的安全通信协议外层再包裹一层内部安全通信协议,将非安全数据转变为安全数据;将所述非安全数据和已封装所述内部安全通信协议的安全数据分别在不同的物理通道上进行传输。

全文数据:数据处理方法、装置、计算机设备及计算机可读存储介质技术领域[0001]本发明涉及通信领域,具体地涉及一种数据处理方法、装置及计算机设备。背景技术[0002]随着铁路信号技术的发展,地面信号系统逻辑运算单元承载的业务量越来越庞大且复杂,这就要求逻辑运算硬件平台能够提供足够的运算性能和数据吞吐能力。特别是,应用在高铁的RBC无线闭塞中心)和城轨ZC区域控制器系统,由于有控车数量和列车追踪间隔要求,对平台硬件的各项性能要求就会更高,现有安全计算机平台已不能满足此类需求。[0003]在现有的安全计算机系统中,多采用二乘二取二的安全计算机结构,双套冗余设计,每系均包含AB两系,两系均承担安全功能,并且通常在数据通信时只添加一层安全通信协议作为数据保护,并不区分系统中的安全与非安全数据。现有的方法在某些特殊情况下,有可能将非安全数据当作安全数据进行传输与处理,这对系统会带来未知的影响,对铁路信号设备的安全性以及可用性带来了威胁。发明内容[0004]有鉴于此,本发明的目的在于提供一种数据处理方法、装置及计算机设备,以解决上述提及的至少一个问题。[0005]根据本发明的一方面,提供了一种数据处理方法,该方法包括:根据数据的传输路径将数据分类为安全数据与非安全数据,其中,安全数据与非安全数据已封装至少一层安全通信协议;对安全数据封装内部安全通信协议;将非安全数据和已封装内部安全协议的安全数据分别在不同的物理通道上进行传输。[0006]根据本发明的另一方面,提供了一种数据处理装置,该装置包括:分类模块,用于根据数据的传输路径将数据分类为安全数据与非安全数据,其中,安全数据与非安全数据已封装了至少一层安全通信协议;协议封装模块,用于对安全数据封装内部安全通信协议;数据传输模块,用于将非安全数据和已封装内部安全协议的安全数据分别在不同的物理通道上进行传输。[0007]根据本发明的还一方面,提供了一种计算机设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,该处理器执行计算机程序时实现上述的方法。[0008]根据本发明的又一方面,提供了一种计算机可读存储介质,该计算机可读存储介质存储有执行上法的计算机程序。[0009]通过本发明提供的技术方案,可以对安全数据进行额外的安全协议封装,并将安全数据与非安全数据分别在不同的物理通道上传输,从而可以确保系统数据的安全传输。附图说明[0010]通过以下参照附图对本发明实施例的描述,本发明的上述以及其它目的、特征和优点将更为清楚,在附图中:[0011]图1是根据本发明实施例的数据处理装置的结构框图;[0012]图2是根据本发明实施例的数据传输模块103的结构框图;[0013]图3是根据本发明实施例的安全计算机系统的架构示意图;[00M]图4是根据本发明实施例的安全计算机系统底板的以太网拓扑连接方式示意图;[0015]图5是根据本发明实施例的安全环境子系统与非安全环境隔离的示意图;[0016]图6是根据本发明实施例的外部数据进入安全计算机系统的流程示意图;[0017]图7是根据本发明实施例的非安全数据传输格式示意图;[0018]图8是根据本发明实施例的安全数据传输格式示意图;[0019]图9是根据本发明实施例的数据处理方法的流程图。具体实施方式[0020]以下基于实施例对本发明进行描述,但是本发明并不仅仅限于这些实施例。[0021]由于现有的铁路安全计算机系统不区分安全与非安全数据的现状,本发明实施例提出了一种基于物理通道隔离与多级安全协议相结合的数据隔离方案,使得安全计算机系统内的安全与非安全数据能够有效的安全隔离传输。[0022]图1是根据本发明实施例的数据处理装置的结构框图,如图1所示,该装置包括:[0023]分类模块101,用于根据数据的传输路径将数据分类为安全数据与非安全数据,其中,安全数据与非安全数据已封装了至少一层安全通信协议;[0024]协议封装模块102,用于对安全数据封装内部安全通信协议;[0025]数据传输模块103,用于将非安全数据和已封装内部安全协议的安全数据分别在不同的物理通道上进行传输。[0026]通过分类模块101将数据分类为安全数据与非安全数据,协议封装模块102对安全数据进行额外的安全协议封装,以及数据传输模块103将安全数据与非安全数据分别在不同的物理通道上传输,确保了系统数据的安全传输,避免了现有技术中的由于将非安全数据当作安全数据进行传输与处理而导致的给铁路信号设备带来威胁的问题。[0027]上述非安全数据包括以下至少之一:系统维护数据、系统中的外部通信设备与外部设备的通信数据以及外部通信设备之间的通信数据。[0028]具体地,如图2所示,上述数据传输模块103包括:[0029]非安全数据传输子模块1031,用于将不同类型的非安全数据分别在不同的物理通道上进行传输;[0030]安全数据传输子模块1032,用于将不同类型的已封装所述内部安全协议的安全数据分别在不同的物理通道上进行传输。[0031]也就是说,在铁路安全计算机系统内,不同类型的通信数据,均采用不同的物理通道进行传输,从而可以完成安全与非安全数据的隔离,内部数据与外部数据的隔离,使得系统的可控性、可用性增强,保障数据的安全传输。[0032]为了更好地理解本发明实施例,以下基于图3所示的安全计算机系统为例来详细描述本发明实施例。[0033]图3所示的安全计算机系统具备如下功能:[0034]1.通信功能[0035]系内和系间CPU之间具备数据通信通道;可提供多路以太网接口与外部系统通信通信数据安全防护可由应用软件实现)。[0036]2.安全计算冗余功能[0037]系统具备二乘二取二安全比较功能;双系状态及应用数据同步功能;可向应用提供各种功能API应用程序编程接口),实现数据传输、安全比较、故障处理等功能;逻辑运算单元可实现高速的逻辑运算功能,处理器运算能力大于10240MIPS。[0038]3.存储功能[0039]具有存储接口,可存储应用软件、配置数据文件以及上传并存储Log日志。[0040]4.维护功能[0041]提供维护监测通信接口,可向维护机发送系统状态和通信原始数据;维护机软件可显示和记录系统运行状态及通信原始数据,维护软件可独立运行于维护机。[0042]图3所示的安全计算机系统采用二乘二取二双CPU对称冗余架构,每个系统均包含双CPU安全逻辑处理单元SUASUB和通信单元SUC。[0043]SUASUB主要负责逻辑运算和比较,可以承担安全功能,负责与安全相关的所有计算工作;sue用于完成系统的对外输入输出工作,实现系统中非安全相关的业务功能。在实际操作中,SUASUB处理的数据基本为安全数据,SUC处理的数据基本为非安全数据。[0044]系内SUA、SUB间采用以太网接口进行数据交互,两个以太网接口直接对接,其物理信号通过底板PCB走直连;II系系内实现方式与I系的相同。I系与II系之间通信也采用以太网接口直接对接方式,I系SUA1与II系SUA2通过底板PCB走线,I系SUB1与II系SUB2通过底板走直连。具体的底板以太网拓扑连接方式可参见图4所示。[0045]SUC与SUASUB、SUC与SUC之间采用内部交换机互联的方式,进行以太网通信数据交互。系统内为将安全数据与维护数据进行物理隔离,系统内部集成两个相互独立的交换机,分别为主控交换机和维护交换机。主控交换机传输系统内的安全数据,对外无接口。维护交换机传输与系统维护相关的非安全数据,对维护机提供对外接口。[0046]在具体实施过程中,SUC对外可以提供多对例如,3对对立的以太网口,与外部设备进行数据通信。[0047]在图3所示的系统中,安全数据类型可以包括:SUASUB系内CPU间通信、SUA1SUA2系间通信、SUB1SUB2系间通信以及SUASUB与SUC通信。非安全数据类型包括:SUC1SUC2数据交叉、SUC与外部设备通信、维护数据等。[0048]在实际操作中,安全计算机系统内不同类型的通信数据,均采用不同的物理通道进行传输。这样可以实现安全数据与非安全数据的隔离,内部数据与外部数据的隔离,使得系统的可控性、可用性增强,保障数据的安全传输。[0049]表1示出了安全计算机系统中的所有数据类型,以及其对应的物理通信通道:[0050]表1[0053]为了保障安全数据的可靠性,需将安全数据与非安全数据隔离开,如图5所示,这样就可以给SUASUB提供一个安全环境子系统,这一安全环境子系统与非安全环境隔离,从而可以完成安全相关业务功能。[0054]外部数据进入安全计算机系统,可以以安全协议保障数据的传输。如图6所示,当数据由SUC传输给SUASUB时,非安全数据将由非安全CPU传输给安全CPU,这时,在非安全数据的安全通信协议外层再包裹一层内部安全通信协议,将非安全数据转变为安全数据,从而可以将SUASUB与SUC隔离开,建立一个安全运算环境,保障安全相关功能正确执行。[0055]图7为非安全数据传输格式,安全通信协议可采用通用的封闭网络安全协议。图8为安全数据传输格式,在安全通信协议外层,再封装内部安全通信协议,该内部安全通信协议可以为自定义的内部通信协议。这里的安全通信协议可以是铁路上通用的RSSP铁路安全通信协议协议。[0056]在实际操作中,对安全数据还可以封装多级安全通信协议,本发明实施例不限于上述的两层安全通信协议。[0057]基于相似的发明构思,本发明实施例还提供了一种数据处理方法,可以应用于上述的数据处理装置。[0058]图9是根据本发明实施例的数据处理方法的流程图,如图9所示,该方法包括:[0059]步骤901,根据数据的传输路径将数据分类为安全数据与非安全数据,其中,安全数据与非安全数据已封装至少一层安全通信协议;[0060]步骤902,对安全数据封装内部安全通信协议;[0061]步骤903,将非安全数据和已封装内部安全协议的安全数据分别在不同的物理通道上进行传输。[0062]通过将数据分类为安全数据与非安全数据,并对安全数据进行额外的安全协议封装,以及将安全数据与非安全数据分别在不同的物理通道上传输,确保了系统数据的安全传输,避免了现有技术中的由于将非安全数据当作安全数据进行传输与处理而导致的给铁路信号设备带来威胁的问题。[0063]上述的非安全数据包括以下至少之一:系统维护数据、系统中的外部通信设备与外部设备的通信数据以及外部通信设备之间的通信数据。[0064]具体地,在步骤903中,不同类型的非安全数据分别在不同的物理通道上进行传输,同样地,不同类型的已封装内部安全协议的安全数据也分别在不同的物理通道上进行传输。[0065]也就是说,在铁路安全计算机内,不同类型的通信数据,均采用不同的物理通道进行传输。从而可以完成安全与非安全数据的隔离,内部数据与外部数据的隔离,使得系统的可控性、可用性增强,保障数据的安全传输。[0066]由于该方法解决问题的原理与数据处理装置相似,因此该方法的实施可以参见数据处理装置的实施,重复之处不再赘述。[0067]本发明实施例还提供了一种计算机设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,该处理器执行计算机程序时实现上述的方法。[0068]本发明实施例还提供了一种计算机可读存储介质,该计算机可读存储介质存储有执行上述方法的计算机程序。[0069]相比于现有技术中的安全计算机系统不区分安全与非安全数据的数据处理方式,本发明实施例的基于物理通道隔离与多级安全协议相结合的数据隔离技术,使得安全计算机系统内安全与非安全数据能够有效的安全隔离传输,将系统中安全与非安全数据进行区分,在现有的安全通信协议的基础上,对安全数据增加了一层内部通信协议,形成多级安全协议保护;并对不同的数据采用不同的物理通道进行传输,对系统数据进行物理层隔离。本发明实施例的隔离技术弥补了原有安全技术的不足,保障了网间数据的安全传输。本发明实施例提供的安全计算机系统适用于铁路信号控制系统的通用安全平台,能够支持RBC无线闭塞中心)、TSRS临时限速服务器)、TCC列控中心)、CBI计算机联锁)、ZC区域控制器)等多种信号系统。[0070]显然,本领域技术人员应该明白,上述的本发明的各模块或各步骤可以用通用的计算机系统来实现,它们可以集中在单个计算机上,或者分布在多个计算装置所组成的网络上,可选地,他们可以用计算机装置可执行的程序代码来实现,从而可以将它们存储在存储装置中由计算装置来执行,或者将它们分别制作成各个集成电路模块,或者将它们中的多个模块或步骤制作成单个集成电路模块来实现。这样,本发明不限制于任何特定的硬件和软件的结合。[0071]以上所述仅为本发明的优选实施例,并不用于限制本发明,对于本领域技术人员而言,本发明可以有各种改动和变化。凡在本发明的精神和原理之内所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。

权利要求:1.一种数据处理方法,其特征在于,所述方法包括:根据数据的传输路径将数据分类为安全数据与非安全数据,其中,所述安全数据与所述非安全数据已封装至少一层安全通信协议;对所述安全数据封装内部安全通信协议;将所述非安全数据和已封装所述内部安全协议的安全数据分别在不同的物理通道上进行传输。2.根据权利要求1所述的数据处理方法,其特征在于,将所述非安全数据和封装所述内部安全协议后的安全数据分别在不同的物理通道上进行传输包括:将不同类型的非安全数据分别在不同的物理通道上进行传输;将不同类型的已封装所述内部安全协议的安全数据分别在不同的物理通道上进行传输。3.根据权利要求1或2所述的数据处理方法,其特征在于,所述非安全数据包括以下至少之一:系统维护数据、系统中的外部通信设备与外部设备的通信数据以及所述外部通信设备之间的通信数据。4.根据权利要求3所述的数据处理方法,其特征在于,当所述非安全数据为所述外部通信设备与外部设备的通信数据时,所述方法还包括:当将所述外部通信设备与外部设备的通信数据传输至系统内部时,对所述外部通信设备与外部设备的通信数据封装所述内部安全通信协议。5.—种数据处理装置,其特征在于,所述装置包括:分类模块,用于根据数据的传输路径将数据分类为安全数据与非安全数据,其中,所述安全数据与所述非安全数据已封装了至少一层安全通信协议;协议封装模块,用于对所述安全数据封装内部安全通信协议;数据传输模块,用于将所述非安全数据和已封装所述内部安全协议的安全数据分别在不同的物理通道上进行传输。6.根据权利要求5所述的数据处理装置,其特征在于,所述数据传输模块包括:非安全数据传输子模块,用于将不同类型的非安全数据分别在不同的物理通道上进行传输;安全数据传输子模块,用于将不同类型的已封装所述内部安全协议的安全数据分别在不同的物理通道上进行传输。7.根据权利要求5或6所述的数据处理装置,其特征在于,所述分类模块分类的非安全数据包括以下至少之一:系统维护数据、系统中的外部通信设备与外部设备的通信数据以及所述外部通信设备之间的通信数据。8.根据权利要求7所述的数据处理装置,其特征在于,当所述分类模块分类的所述非安全数据为所述外部通信设备与外部设备的通信数据时,所述协议封装模块还用于:当所述数据传输模块将所述外部通信设备与外部设备的通信数据传输至系统内部时,对所述外部通信设备与外部设备的通信数据封装所述内部安全通信协议。9.一种计算机设备,包括存储器、处理器及存储在所述存储器上并可在处理器上运行的计算机程序,其特征在于,所述处理器执行所述计算机程序时实现权利要求1至4中任一项所述的方法。10.—种计算机可读存储介质,其特征在于,所述计算机可读存储介质存储有执行权利要求1至4中任一项所述方法的计算机程序。

百度查询: 北京全路通信信号研究设计院集团有限公司 数据处理方法、装置、计算机设备及计算机可读存储介质

免责声明
1、本报告根据公开、合法渠道获得相关数据和信息,力求客观、公正,但并不保证数据的最终完整性和准确性。
2、报告中的分析和结论仅反映本公司于发布本报告当日的职业理解,仅供参考使用,不能作为本公司承担任何法律责任的依据或者凭证。