Data security protection technology for Jakarta-Bandung high-speed railway
-
摘要:
雅万(雅加达—万隆)高速铁路(简称:高铁)进入常态化运营后,其数据资产规模逐步扩大,存在数据安全防护体系不够完善等问题。文章结合我国与印度尼西亚两国数据安全法律法规要求,分析了雅万高铁项目的数据安全防护需求,设计了针对雅万高铁项目的数据安全防护体系,研究了数据全生命周期防护与管理技术和流动数据的高效加解密技术,为雅万高铁实现数据流动状态可视、分类分级防护、全面监控审计等防护能力提供技术支撑和参考。
Abstract:After the Jakarta Bandung high-speed railway entered normal operation, its data asset scale gradually expanded, and there are problems such as insufficient data security protection system. This paper combined the requirements of data security laws and regulations in China and Indonesia to analyze the data security protection needs of the Jakarta-Bandung high-speed railway project, designed a data security protection system for the Jakarta-Bandung high-speed railway project, studied data lifecycle protection and management technology, and efficient encryption and decryption technology for mobile data. It provides technical support and reference for the Jakarta-Bandung high-speed railway to implement data flow status visualization, classification and grading protection, comprehensive monitoring and auditing, and other protection capabilities.
-
作为铁路货运的发展方向,重载铁路运输因其运能大、效率高、运输成本低等优点,受到世界各国的重视,成为铁路发展的重要趋势[1]。经过多年发展,国家能源集团重载铁路网运营里程达到
2408 km,年运输能力5.3亿t,重载铁路技术创新和安全保障能力不断提高,已形成以“朔黄(朔州—黄骅)模式”为显著特征的重载运输技术体系[2]。近年来,为保障重载铁路列车运行安全,国家能源集团重载铁路部分线路先后建设了视频监控、防灾/防洪监测、列车接近防护预警、异物侵限监测、钢轨断轨监测等系统。然而上述监测系统各自独立运行,尚未实现数据的互联互通,视频监控和安全监测报警信息不能第一时间推送至机车司机室,重载列车运行前方若发生周界入侵、基础设施结构异常等影响行车安全的突发险情,仍须通过行车调度通知机车司机实施紧急处置。因此,重载列车应对特殊自然环境和线路设备故障条件下的主动安全防范能力有待进一步提升。丁茂廷[3]提出要推动重载运输技术智能化发展,需要加大“北斗+”、5G移动通信、大数据、人工智能等新技术应用,以自动驾驶为核心,推进智能装备、智能运维、智能运营、智能安全管理等领域技术研究应用;陈建译[4]、宁和平[5]、赵颖[6]、罗浩[7]在高速铁路列车超视距行车辅助技术方面,分别开展了车地灾害协同监控、系统架构设计、车地信息推送策略等相关研究和实践。
综上,本文结合重载铁路运输现状,以列车运行安全主动防控为导向,对重载铁路机车远程监视系统关键技术开展研究,设计了重载铁路机车远程监视系统,实现重载列车运行前方环境视频与列车位置、报警信息与视频准确关联匹配。基于移动公网,将重点线路区段实时视频和报警信息传送至机车司机室,延伸司机目视范围,辅助司机提前发现险情,提升危情处置效率。
1 系统设计
1.1 总体架构
重载铁路机车远程监视系统(简称:本文系统)总体架构如图1所示。其中,地面数据处理子系统部署于朔黄铁路公司信息中心综合信息网(办公网),车载监视终端安装在机车操作台位置,车地间通过移动运营商4G/5G网络进行数据传输,内外网边界部署网络安全隔离设备,实现车地间数据的安全传输。
1.1.1 数据源
朔黄铁路视频监控系统为本文系统提供视频数据来源,列车运行净空安全感知系统、列车接近防护预警系统和钢轨断轨监测系统等安全监测报警系统作为监测报警数据的来源,通过地面数据处理子系统的接口服务器推送监测报警信息。
1.1.2 地面数据处理子系统
地面数据处理子系统主要包括数据处理中心和系统运行维护(简称:运维)终端两部分。数据处理中心主要实现视频信息和危及行车安全的监测报警数据接入、重载列车与视频和监测信息的关联,以及视频和监测报警信息的车地传输;按照GB28181标准,从视频监控系统中获取机车行驶前方相机的原始视频流,并在地面视频服务器中对原始视频流进行编码、解码、压缩等二次封装。系统运维终端提供机车定位可视化展示、设备运行状态展示、视频服务、报警查询、统计分析等功能,以满足地面调度和运维等人员的业务需求。
1.1.3 车载监视终端
车载监视终端装载在重载机车上,通过机车LKJ TSC2装置获取机车实时位置信息,从地面数据处理中心获取视频码流和监测报警信息,并提供实时播放、报警声光提醒、视频点播等功能。
1.2 技术架构
本文系统基于B/S架构,技术架构如图2所示。
1.2.1 资源层
朔黄铁路信息中心为本文系统提供服务器、存储设施、网络设施、安全防护设施等基础资源,承载数据处理和存储等任务。
1.2.2 接口层
接口层使用API接口、消息队列、GB28181协议等技术实现安全监测信息和视频监控信息的接入。
1.2.3 存储层
存储层综合运用关系型数据库、缓存数据库和对象存储技术实现结构化数据和非结构化数据的高效存储与应用。
1.2.4 服务层
服务层采用Spring Boot技术框架构建后端服务,基于Spring Security框架提供数据接口鉴权机制,实现按钮操作粒度级别访问控制。
1.2.5 表示层
表示层使用VUE、Element UI等技术框架实现前端开发,前后端之间使用RESTful API接口实现业务数据的交互[8],使用Echarts等可视化图表和地理信息系统(GIS,Geographic Information System)技术实现前端页面渲染。
1.2.6 软负载
使用Nginx+Keepalived中间件搭建负载均衡环境,关键节点冗余配置,提高系统稳定性,避免单节点故障导致系统不可用。
2 系统功能
2.1 系统概览
主要展示线路实况和设备状态。该模块接入了GIS地图,可以准确地描绘朔黄线路和各个站点的位置,实时显示当前运行的机车,并可根据机车运行情况在GIS地图中实时变化位置。在地图上点击机车图标可查看当前机车行驶前方的实时视频。如果铁路沿线出现报警,在GIS地图显示报警位置附近的相机,点击相机可以查看当前报警的实时视频。同时,可展示接入相机和车载监视终端的总数量及在线离线状态。
2.2 视频服务
实现对铁路沿线相机的实时点播功能,可选择相机查看其实时监测视频和回放视频,并支持1分屏和4分屏观看。
2.3 监测报警信息管理
展示安全监测报警系统推送的监测报警详细信息,包括报警时间、报警来源、报警类型、报警位置、报警内容、本次报警推送车次、报警解除状态、解除时间等字段,并可对报警位置、报警解除状态、报警时间和报警类型进行筛选查看,以精确匹配指定报警信息。
2.4 台账管理
对相机台账、线路台账、机车信息台账、车载监视终端台账和安全监测报警系统管理台账等基本台账信息的管理。
2.5 系统监控
监控并展示车载监视终端、安全监测报警系统和沿线相机的运行状态,供地面人员随时掌握现场设备运行情况。
2.6 系统管理
主要包含用户管理、角色管理和部门管理等3个主要功能,记录本文系统的基本信息并进行相关权限控制。
3 关键技术研究
3.1 关联匹配方法
机车定位信息、视频监控信息、监测报警信息的关联匹配,精准定位监控相机并将其视频码流推送至车载监视终端,是本文系统的核心功能。为提高本文系统运行效率,在地面数据处理子系统设置缓存队列,用于保存关联匹配结果,供车载监视终端调用。本文使用多线程和并行计算技术,实现了多元数据在分布式环境下的高效流转,关联匹配业务逻辑如图3所示。
(1)车载监视终端定期发送心跳请求至地面数据处理子系统应用服务器(简称:应用服务器),包括终端编码、机车实时里程、经纬度、预设的目视距离和信号强度等信息。
(2)应用服务器收到车载监视终端心跳请求后,根据机车实时里程判断机车前方10 km范围内是否有报警信息;若有,则获取覆盖报警位置处的监控相机编码,否则,获取里程位置+目视距离范围外的最近1路相机编码。
(3)应用服务器根据相机编码请求缓存队列,如缓存队列中存在该相机的视频码流信息及其附属信息,返回至车载监视终端,完成此次心跳请求生命周期;如缓存队列不存在该相机信息,则启动异步线程,执行拉流操作。
(4)异步线程传输相机编码至视频服务器,通过GB28181协议连接视频监控系统,预先提取并传输(简称:预拉)该相机及其后3路相机的视频码流信息,视频服务器同步进行视频转码、压缩等操作,每路相机均生成全码率和低码率两种视频码流,并将码流地址和相关危情信息缓存至队列中,供车载监视终端下一次心跳请求调用。
3.2 视频接入与处理
本文的视频接入与处理服务在开源流媒体服务框架基础上进行二次开发,部署在视频服务器上,基于GB28181协议与视频监控系统连接,实现视频信息的接入,视频流支持H.264/H.265(HEVC)视频编码格式,音频流支持AAC/G711音频编码格式。视频服务器以RTSP、HTTP-FLV等协议输出视频码流,兼容车载监视终端、系统运维终端等各类终端的视频播放能力;基于视频服务器GPU算力提供视频点播、历史回放、视频压缩、编解码、分转发等功能。视频接入与处理技术架构如图4所示。
视频服务器对接入的监控视频信息进行编解码,生成全码率和低码率两种视频码流,根据车载监视终端无线通信信号强度自动选择返回相应码率的视频流,自适应码率技术兼顾了车载监视终端视频播放的清晰度和流畅度,提升了终端软件使用体验。
3.3 监测信息接入
地面数据处理子系统提供标准的数据接口和完备的鉴权机制,实现机车心跳信息和安全监测报警信息的可信有效传输。监测信息传输流程如图5所示。
(1)获取认证:依照OAuth 2.0标准,车载监视终端、安全监测报警系统从地面数据处理子系统接口服务器上取得认证并获得可使用的访问令牌。如果访问令牌已失去时效,须重新获取新的访问令牌。
(2)数据加密:采用国产密码SM4算法的ECB模式,对关键信息加密后进行传输,加密所需要的key由地面数据处理子系统接口服务器提供。
(3)数据传输:调用数据接口,实现业务数据加密传输。调用接口时,请求参数的消息头需要添加第一步获取到的访问令牌,消息体的请求参数字段使用JSON字符串通过HTTPS协议的GET/POST方式提交数据。
4 系统应用
4.1 系统部署
本文系统中的地面数据处理子系统部署于朔黄公司信息中心内网区,通过安全隔离设备与部署在专网区的视频监控系统实现视频信息交互;在外部发布区配置1台虚拟机作为接口服务器,负责业务数据内外网转发,实现车载监视终端与地面数据处理子系统的信息交互;车载监视终端请求互联网出口区固定公网IP地址,向地面下发机车定位、设备心跳等信息,经外部发布区接口服务器转发至内网区的接口服务器;地面数据处理子系统完成信息关联匹配后,向车载监视终端返回相应的视频信息和报警信息。本文系统部署方案如图6所示。
4.2 应用情况
本文系统于2023年11月,在朔黄铁路上线运行。运行过程中,本文系统实时接入机车定位信息、安全监测报警信息和视频监控信息;其中,安全监测报警信息主要包括异物侵限、钢轨断轨、列车接近预警等,接入监控相机共计421路,涵盖朔黄铁路区间防洪重点区域、高路堑护坡、落石监测、桥头桥尾、小半径曲线处、上跨下穿处、隧道口、隧道内打冰等重点区段,并综合应用上述数据,提供机车定位可视化展示、设备运行状态、视频服务、报警查询等功能,其中,视频服务功能界面如图7所示。
5 结束语
本文对重载铁路机车远程监视系统进行系统总体架构、技术架构和功能架构的设计,并对车地信息关联匹配方法、视频信息接入与处理技术、安全监测信息接入等关键技术开展研究,提出了适用于重载铁路机车定位、视频监控、安全监测报警等信息的关联匹配方法,在朔黄铁路进行示范应用,实现了朔黄铁路沿线监控相机视频信息和安全监测报警信息的实时接入,辅助机车司机及时掌握重载铁路线路环境情况,为保障重载铁路运输安全提供了技防手段。下一步,应结合示范应用情况,在规范报警响应机制、视频并发处理能力、车载监视终端人机界面友好度等方面进行完善和优化,进一步提升系统应用效果。
-
[1] 鞠国江. 雅万高铁建设项目管理创新[J]. 中国铁路,2023(12):10-19. [2] Widiatedja I G N P, Mishra N. Establishing an independent data protection authority in Indonesia: a future–forward perspective[J]. International Review of Law, Computers & Technology, 2023, 37(3): 252-273.
[3] 江文彬,刘兆霖,谢仕康,等. 基于层次化主题分析的铁路敏感数据智能识别与分类分级方法[J]. 铁路计算机应用,2024,33(10):7-12. DOI: 10.3969/j.issn.1005-8451.2024.10.02 [4] 陈泓铭,张苔丝,马 锐,等. 面向铁路敏感数据的识别方法综述[J]. 铁路计算机应用,2024,33(10):13-22. DOI: 10.3969/j.issn.1005-8451.2024.10.03 [5] 黄朝阳,陈少英. 糅合多种因素的双向身份认证密钥协商协议[J]. 蚌埠学院学报,2024,13(5):56-66, DOI: 10.13900/j.cnki.jbc.2024.05.001. [6] 向 丽,何 花,宋 春. 电力企业敏感信息数据防泄密技术研究[J]. 网络安全技术与应用,2021(12):110-112. [7] 贾徽徽,王 潮,纪祥敏. 数据脱敏关键技术研究[J]. 微型电脑应用,2024,40(6):164-167. [8] 张维真,任 爽. 隐私计算技术在铁路行业应用刍议[J]. 铁路计算机应用,2024,33(10):56-62. [9] 房成萍. 面向分布式异构环境的轻量级数据传输协议及其应用研究[D]. 济南:济南大学,2011. [10] 唐 彪. 伪随机可变密钥透明加解密技术研究[D]. 成都:电子科技大学,2017.
下载:
计量
- 文章访问数: 33
- HTML全文浏览量: 8
- PDF下载量: 15
