DSDP zero trust architecture for high-speed railway passenger service system
-
摘要:
为解决高速铁路旅客服务系统(简称:旅服系统)业务终端设备数量多且统一安全接入管理权限复杂、零信任访问控制手段不足,以及传统软件定义边界(SDP,Software Defined Perimeter)零信任架构在实际应用中存在单点故障等问题,设计一种DSDP(Dual-identity SDP)零信任架构,用以改造旅服系统主数据中心(简称:主数据中心)和铁路局集团公司服务器集群架构,保障其代管的车站业务终端设备接入的安全性;提出基于同态加密技术的双重认证流程算法,用以实现DSDP零信任架构下,主数据中心和铁路局集团公司SDP控制模块双向互认功能。实验结果表明: DSDP零信任架构可有效对抗劫持风险;在多用户的情况下,可保障旅服系统响应时间在合理范围内;具有可用性,可为旅服系统终端设备的统一接入与不同权限要求的零信任身份认证提供技术手段。
Abstract:To solve the problems of a large number of business terminal devices and complex unified security access management permissions in the high-speed railway passenger service system (referred to as the passenger service system), insufficient zero trust access control measures, and single point of failure in the traditional Software Defined Perimeter (SDP) zero trust architecture in practical applications, this paper designed a Dual identity SDP (DSDP) zero trust architecture to transform the main data center of the passenger service system and the server cluster architecture of the railway bureau group company, ensured the security of the station business terminal device access under its management. The paper proposed a dual authentication process algorithm based on homomorphic encryption technology to implement bidirectional mutual recognition between the main data center and the SDP control module of the railway group company under the zero trust architecture of DSDP. The experimental results show that the zero trust architecture of DSDP can effectively combat hijacking risks. In the case of multiple users, this architecture can ensure that the response time of the passenger service system is within a reasonable range and with availability, provide technical means for unified access of passenger service system terminal devices and zero trust identity authentication with different permission requirements.
-
-
表 1 符号定义
符号 定义 E( ),E’( ) 公钥加密 $ {m_i} $ 验证码 i D( ),D’( ) 私钥解密 M 验证码的逻辑与运算结果 $ \oplus $ 明文同态与运算 $ \odot $ 密文同态与运算 
下载: 导出CSV
-
[1] 中华人民共和国铁道部. 关于印发《铁路客运专线客运服务系统总体技术方案(暂行)》的通知(铁集成2008[41]号文)[R]. 北京:中华人民共和国铁道部,2008. [2] 国家铁路局. 铁路客运服务信息系统设计规范:TB 10074-2016[S]. 北京:中国铁道出版社,2016. [3] 百度百科. 软件定义边界(SDP)[DB/OL]. (2020-05-29)[2024-07-15]. https://baike.baidu.com/item/软件定义边界%28SDP%29/50363659?fr=aladdin. [4] 软件定义边界(SDP)工作组. SDP标准规范1.0[EB/OL]. (2020-07-06)[2024-07-15]. https://www.c-csa.cn/u_file/photo/20200706/40c72deb73.pdf. [5] 云安全联盟软件定义边界工作组. 软件定义边界(SDP)标准规范v2.0[EB/OL]. (2022-05-17)[2024-07-15]. https://www.c-csa.cn/u_file/photo/20220517/9286a8c3b5.pdf. [6] 诸葛程晨,王 群,刘家银,等. 零信任网络综述[J]. 计算机工程与应用,2022,58(22):12-29. [7] 谢欣梦. 软件定义边界的安全应用研究[D]. 成都:成都信息工程大学,2020. [8] Zhang L, Li H, Ge J G, et al. EDP: An eBPF-based dynamic perimeter for SDP in data center[C]//Proceedings of the 23rd Asia-Pacific Network Operations and Management Symposium, 28-30 September, 2022, Takamatsu, Japan. New York, USA: IEEE, 2022.
[9] Dong L M, Niu Z, Zhu Y, et al. Specifying and verifying SDP protocol based zero trust architecture using TLA+[C]//Proceedings of the 7th International Conference on Cyber Security and Information Engineering, 23-25 September, 2022, Brisbane, QLD, Australia. New York: ACM, 2022.
[10] Lucion E L R, Nunes R C. Software defined perimeter: improvements in the security of single packet authorization and user authentication[C]//Proceedings of 2018 XLIV Latin American Computer Conference, 01-05 October, 2018, Sao Paulo, Brazil. New York, USA: IEEE, 2018.
[11] Refaey A, Sallam A, Shami A. On IoT applications: a proposed SDP framework for MQTT[J]. Electronics Letters, 2019, 55(22): 1201-1203. DOI: 10.1049/el.2019.2334
[12] 吴克河,程 瑞,姜啸晨,等. 基于SDP的电力物联网安全防护方案[J]. 信息网络安全,2022,22(2):32-38. DOI: 10.3969/j.issn.1671-1122.2022.02.004 [13] 周 游,赵悠麒. 应对供应链攻击的铁路企业网络SDP部署方案研究[J]. 铁路计算机应用,2022,31(11):41-47. [14] 深信服科技有限公司. 深信服零信任的0号样板点[EB/OL]. (2023-03-30)[2024-07-15]. https://www.sangfor.com.cn/news/1680158317362. [15] 易安联网络技术有限公司. 易安联零信任助力奇瑞汽车项目落地案例[EB/OL]. (2021-11-26)[2024-07-15]. https://www.c-csa.cn/case/case-detail/i-222/. [16] 上海缔安科技股份有限公司. SDP解决方案在金融企业中的应用案例[EB/OL]. (2020-06-18)[2024-07-15]. https://www.c-csa.cn/case/case-detail/i-159/. [17] Kim D, Guyot C. Optimized privacy-preserving CNN inference with fully homomorphic encryption[J]. IEEE Transactions on Information Forensics and Security, 2023(18): 2175-2187. DOI: 10.1109/TIFS.2023.3263631
[18] Bay A, Erkin Z, Hoepman J H, et al. Practical multi-party private set intersection protocols[J]. IEEE Transactions on Information Forensics and Security, 2022(17): 1-15. DOI: 10.1109/TIFS.2021.3118879
[19] 邵 航,李子臣,王东飞. 基于ElGamal的同态云端密文存储检索方案[J]. 计算机系统应用,2022,31(10):108-115. [20] 陈志伟,张卷美,李子臣. 基于ElGamal变体同态的安全两方计算协议设计[J]. 通信学报,2015,36(2):204-211. [21] 方立娇,李子臣,丁海洋. 基于ElGamal的同态交换加密水印算法[J]. 计算机系统应用,2021,30(5):234-240. -
期刊类型引用(20)
1. 王震宇,武鹏,马露露,边原. 基于BIM参数化建模的接触网吊弦计算在京张高速铁路的应用研究. 铁道运输与经济. 2024(01): 67-73 . 
百度学术
2. 许建国,刘杰,孟祥奎,李育冰,王恒,王敬渊. 高速铁路接触网工程数字化安装关键技术. 电气化铁道. 2024(01): 8-12+21 . 百度学术
3. 凌杰. 浅谈BIM技术在铁路接触网工程现场指导施工技术研究. 中国设备工程. 2023(08): 203-205 . 百度学术
4. 张毅. 基于BIM的接触网腕臂装配设计系统研究. 铁路计算机应用. 2023(04): 38-42 . 本站查看
5. 伊金浩,张毅,陈善乐,张鹏. 基于BIM技术的接触网三维数字化设计软件研究. 铁道标准设计. 2023(10): 171-178 . 百度学术
6. 耿肖,石瑞霞,赵传. 参数化驱动的接触网腕臂装配BIM建模方法. 铁路技术创新. 2022(01): 98-103 . 百度学术
7. 韩旻志,马强,董小兵. 基于三层架构的铁路信号BIM设计技术路线研究. 智能制造. 2022(05): 90-95 . 百度学术
8. 韩旻志. 基于三层架构的铁路信号BIM设计技术路线研究. 铁道标准设计. 2021(01): 149-153+159 . 百度学术
9. 邓梦. BIM技术在高速铁路接触网工程应用. 电子技术与软件工程. 2021(09): 193-194 . 百度学术
10. 何利江. 智能化接触网腕臂预配技术研究及应用. 交通世界. 2021(18): 6-7 . 百度学术
11. 梁崇亮,金光,乔锦新,李银生. 高速铁路接触网BIM设计研究与应用. 铁路技术创新. 2021(04): 32-36 . 百度学术
12. 黄鑫,鲁小兵. BIM技术在400km/h高速铁路接触网工程中的应用. 高速铁路技术. 2021(05): 102-106 . 百度学术
13. 靳辰琨,郭志光. 铁路四电工程建设BIM技术应用研究. 铁道标准设计. 2021(12): 110-115 . 百度学术
14. 杨文成. 基于BIM设计的道岔设备建模方法研究. 铁道勘察. 2020(01): 133-136 . 百度学术
15. 付逸群. BIM技术在南阳东站机电工程中的应用研究. 铁路计算机应用. 2020(02): 38-43 . 本站查看
16. 范少杰. 高速铁路精密工程测量技术标准的研究与运用. 工程技术研究. 2020(06): 69-70 . 百度学术
17. 吴积钦,杨佳,关金发,刘涛. 中国铁路接触网数字化发展策略与实践. 高速铁路技术. 2020(04): 21-27 . 百度学术
18. 符跃忠. 既有高铁线路接触网双线腕臂支柱更换设计方案研究. 中国建设信息化. 2020(18): 58-59 . 百度学术
19. 安蕾,杨斌,西穷. 基于BIM的京雄城际铁路接触网智能预配管理系统与应用. 铁道建筑技术. 2020(09): 30-34 . 百度学术
20. 谈敦龙. BIM技术在高速铁路接触网工程中的应用研究. 智能城市. 2020(24): 109-110 . 百度学术
其他类型引用(6)
计量
- 文章访问数: 50
- HTML全文浏览量: 6
- PDF下载量: 21
- 被引次数: 26
