Результат интеллектуальной деятельности: Система передачи ответственной информации по защищенным каналам радиосвязи

Изобретение относится к системам автоматизированного управления движением на железнодорожном транспорте и передачи данных в сети мобильной и беспроводной связи для организации движения поездов.

Известно устройство обмена данными по радиоканалу между поездным локомотивом и стационарным пунктом, содержащее стационарный комплект, состоящий из радиомодема, блока контролируемых и управляемых объектов, подключенного к стационарному обработчику данных, и локомотивный комплект, состоящий из радиомодема, комплексного локомотивного устройства безопасности, с подключенным к нему блоком датчиков, в стационарный комплект введены последовательно соединенные блок спутниковой навигации, стационарный блок управления и сопряжения, приемник сигнала регистрации, блок памяти номеров поездов, блок определения номера временного слота, выход которого подключен ко второму входу стационарного блока управления и сопряжения, первый и второй входы/выходы которого соединены с выходами/входами соответственно стационарного обработчика данных и радиомодема, а в локомотивный комплект введены блок хранения номеров временных слотов и последовательно соединенные блок спутниковой навигации, формирователь сигнала регистрации и локомотивный блок управления и сопряжения, первый и второй входы/выходы которого соединены с выходами/входами соответственно радиомодема и комплексного локомотивного устройства безопасности, дополнительный выход которого через блок хранения номеров временных слотов подключен ко второму входу локомотивного блока управления и сопряжения, третий вход которого подключен ко второму выходу блока спутниковой навигации. (RU 2476342, B61L 27/04, 27.02.13).

К недостатку известного технического решения следует отнести отсутствие криптографической защиты передаваемой информации.

В качестве прототипа выбрана система для оперативной передачи предупреждений и электронных карт на высокоскоростной поезд, содержащая установленное в диспетчерском пункте управления вычислительное устройство, которое через линию связи соединено с базовыми станциями систем радиосвязи, которые через каналы связи соединены с первым радиомодемом бортового вычислительного блока локомотива поезда, вычислительное устройство подключено к персональному компьютеру автоматизированного рабочего места оператора и состоит из двух соединенных между собой серверов, при этом один из серверов является основным, а другой - резервным, причем серверы по сети передачи данных соединены с управляемыми блоками хранения данных, в один из которых записаны графики движения поездов, а в другой - информация о временных ограничениях скорости поезда, основной сервер через блок шифрации и дешифрации по сети связи TETRA соединен с базовыми станциями, а резервный сервер через блок шифрации и дешифрации по сети связи GSM соединен с другими базовыми станциями, бортовой вычислительный блок состоит из двух соединенных между собой вычислительных модулей, один из которых является основным и подключен через блок шифрации и дешифрации к первому радиомодему сети связи TETRE, а другой - резервным и подключен через блок шифрации и дешифрации ко второму радиомодему сети связи GSM, выходы вычислительных модулей соединены с соответствующими входами блока контроля и сравнения данных, первый выход которого подключен к локомотивному устройству безопасности, а второй выход соединен с системой автоведения поезда (RU 2578643, B61L 27/04, 27.03.2016).

К недостаткам системы следует отнести отсутствие высокоскоростного защищенного канала передачи ответственной информации и отсутствие контроля целостности информации, подготавливаемой для передачи.

Техническим результатом изобретения является защита высокоскоростной передачи ответственной информации и контроль ее целостности.

Технический результат достигается тем, что система передачи ответственной информации по защищенным каналам радиосвязи, содержащая вычислительное устройство, которое подключено к персональному компьютеру автоматизированного рабочего места оператора и состоит из двух соединенных между собой серверов, которые по сети передачи данных соединены с управляемыми блоками хранения данных, в которых записаны графики движения поездов и информация о временных ограничениях скорости поезда, а на локомотиве установлены система автоведения поезда и локомотивное устройство безопасности, согласно изобретению снабжена терминалом, состоящий из вычислительного модуля, с подключенными к нему модулем криптографической защиты, который соединен с WiFi маршрутизатором, и модулем управления сетью передачи данных, соединенным с сетью передачи данных, к которой подключен персональный компьютер автоматизированного рабочего места контроля работы терминала, при этом в нее введены криптографический шлюз, с подключенными к нему сетью передачи данных, модулем контроля абонентов и узлом межсетевого взаимодействия, соединенного с первым сервером вычислительного устройства, а на локомотиве установлен и подключен к CAN шине, с которой соединены система автоведения поезда и локомотивное устройство безопасности, бортовой блок связи, соединенный по сети радиосвязи GSM с модулем контроля абонентов, а по каналу WiFi связи с WiFi маршрутизатором.

На чертеже (фиг. 1) представлена схема системы передачи ответственной информации по защищенным каналам радиосвязи.

Система передачи ответственной информации по защищенным каналам радиосвязи содержит вычислительное устройство 1, которое подключено к персональному компьютеру 2 автоматизированного рабочего места оператора коммуникационного вычислительного комплекса связи (АРМ КВКС) и состоит из двух соединенных между собой серверов 3 и 4, которые по сети передачи данных соединены с управляемыми блоками 5 и 6 хранения данных, в которых записаны графики движения поездов и информация о временных ограничениях скорости поезда, блоки 5 и 6 могут быть в составе автоматизированной системы учета, выдачи и отмены предупреждений (АСУВОП-2) и центральной базы данных пригородного расписания (ЦДБПР), терминал 7 состоит из вычислительного модуля 8, с подключенными к нему модулем 9 криптографической защиты, который соединен с WiFi маршрутизатором 10, и модулем 11 управления сетью передачи данных, соединенным с сетью 12 передачи данных, к которой подключен персональный компьютер 13 автоматизированного рабочего места контроля работы терминала, при этом в нее введены криптографический шлюз 14 (который может быть в составе узла доступа к информационным системам УДИС), с подключенными к нему сетью 12 передачи данных, модулем 15 контроля абонентов (который может быть в составе шлюз ЦСС) и узлом 16 межсетевого взаимодействия (ПИБ УМВ), соединенного с первым сервером 3 вычислительного устройства 1, а на локомотиве установлен и подключен к CAN шине 17, с которой соединены система 18 автоведения поезда и локомотивное устройство 19 безопасности, бортовой блок 20 связи, соединенный по сети радиосвязи GSM с модулем 15 контроля абонентов, а по каналу WiFi связи с WiFi маршрутизатором 10.

Система передачи ответственной информации по защищенным каналам радиосвязи работает следующим образом.

Система обеспечивает доступ бортового блока 20 связи, установленного на локомотиве, к удаленным блокам хранения данных 5 и 6, относящихся к информационным ресурсам, в которых хранятся предупреждения, расписания и информационные сообщения, переданные с использованием высокоскоростных беспроводных каналов радиосвязи с применением сертифицированных средств криптографической защиты информации.

Радиоканал WiFi является основным высокоскоростным каналом для подключения бортового блока 20 связи к информационным ресурсам, сеть радиосвязи GSM является резервным каналом. Информация по обоим каналам передается в крипто-защищенном виде в режиме пакетной передачи данных.

При работе в сети связи WiFi бортовой блок 20 связи с помощью встроенного радиомодема (на чертеже не показан) автоматически подключается к выбранной сети на основании ее идентификатора. После успешной аутентификации с проверкой подлинности подключаемого пользователя бортовому блоку 20 связи автоматически присваивается динамический IP адрес и включается в сегмент сети WiFi. Бортовой блок 20 связи через сеть WiFi пересылает пакеты данных в защищенном виде, зашифрованные встроенным модулем криптозащиты (на чертеже не показан) на терминал 7, через встроенный в терминал 7 WiFi маршрутизатор 10 данные передаются на модуль 9 криптографической защиты, который анализирует полученный информационный пакет на предмет корректности, соблюдения протокола передачи и отсутствия не декларируемых функций и исключает возможность компрометации и искажения данных, после чего обеспечивает расшифровку полученной информации, удостоверяет полученную информацию и далее передает ее в вычислительный модуль 8.

При работе в сети связи GSM, подключение выполняется через сеть передачи данных технологической ремонтно-оперативной радиосвязи (СПД РОРС GSM). В бортовом блоке 20 связи во встроенный модем устанавливается sim-карта закрытой группы, которая идентифицирует абонента и закреплена за сетью РОРС GSM. Авторизация бортового блока 20 связи в сети РОРС GSM осуществляется автоматически при нахождении в зоне действия радиоканала по данным от модуля 15 контроля абонентов, который с помощью своих сервисов обеспечивает аутентификацию, авторизацию и учет абонентов, подключаемых к сети РОРС GSM. В результате успешной авторизации в сети РОРС GSM бортовому блоку 20 связи автоматически присваивается динамический IP адрес, закрепленный за sim-картой в сети РОРС GSM. Бортовой блок 20 связи находясь в сети РОРС GSM пересылает пакеты данных в защищенном виде, зашифрованные встроенным модулем криптозащиты (на чертеже не показан) на модуль 15 контроля абонентов, который пересылает их на криптографический шлюз 14, анализирующий полученный информационный пакет на предмет корректности, соблюдения протокола передачи и отсутствие не декларируемых функций, после чего расшифровывает и удостоверяет полученную информацию.

Для подготовки данных, два сервера 3 и 4 вычислительного устройства 1, подключаются по сети передачи данных к блоку 5 хранения данных из состава АСУВОП-2, от которого в автоматическом режиме одновременно получают актуальные временные предупреждения и ограничения скорости движения по мере их обновления. Два сервера 3 и 4 вычислительного устройства 1, подключаются по сети передачи данных к блоку 6 хранения данных из состава ЦБДПР, от которого в автоматическом режиме с установленным промежутком времени одновременно получают нормативное расписание движения. Для формирования и передачи текстовых сообщений, предназначенных для машиниста, к двум серверам 3 и 4, в которых хранится база данных сообщений, подключен персональный компьютер 2 (ПК2) автоматизированного рабочего места оператора КВКС. Также ПК 2 АРМ КВКС встроенными сервисами обеспечивает мониторинг и диагностику технических средств, наличие и исправность каналов передачи данных двух серверов 3 и 4. После получения ответственной информации сервера 3 и 4 вычислительного устройства 1 обмениваются контрольными суммами принятых данных, на основании чего определяют их целостность.

Для передачи подготовленной ответственной информации временных предупреждений, нормативного расписания и текстовых сообщений для машиниста сервер 3 вычислительного устройства 1 непрерывно отслеживает актуальность данных хранимых в бортовом блоке 20 связи и принимает решение об их обновлении. После чего сервер 3 вычислительного устройства 1 автоматически определяет с применением какого канала связи WiFi или РОРС GSM осуществлять передачу ответственной информации. Если передача информации будет выполнена через канал WiFi, то сервер 3 вычислительного устройства 1 через узел 16 межсетевого взаимодействия, передает запрашиваемые данные на криптографический шлюз 14 и передает их через сеть 12 передачи данных на модуль 11 управления сетью передачи данных, с первого порта которого они передаются в модуль 8 вычислителя, с которого через другой порт передаются на модуль 9 криптографической защиты, в котором они шифруются и передаются через WiFi маршрутизатор 10 в защищенном виде по каналу радиосвязи стандарта WiFi в бортовой блок 20 связи. Если передача информации будет выполнена через канал РОРС GSM, то сервер 3 вычислительного устройства 1 через узел 16 межсетевого взаимодействия передает данные на криптографический шлюз 14, в котором они шифруются и передаются в модуль 15 контроля абонентов и передаются в защищенном виде по каналу радиосвязи стандарта РОРС GSM в бортовой блок 20 связи. Бортовой блок 20 связи, получив по каналам радиосвязи стандарта РОРС GSM или WiFi зашифрованные данные, обеспечивает их расшифровку и контроль целостности с помощью встроенного модуля криптозащиты (на чертеже не показан).

Взаимодействие бортового блока 20 связи и передача ответственной информации в устройство 19 безопасности и систему 18 автоведения осуществляется по CAN шине 17. Данные с ограничением скорости поезда передаются с бортового блока 20 связи на устройство 19 безопасности по запросу или по мере их актуализации, где вычисляется допустимая скорость движения поезда. Данные с расписанием движения с бортового блока 20 связи передаются на систему 18 автоведения. Данные от спутниковой навигационной сети поступают в бортовой блок 20 связи и используются для определения текущей геопозиции локомотива и корректировки системного времени.

Администрирование и мониторинг работы терминала 7 обеспечивается через сеть 12 передачи данных персональным компьютером 13 автоматизированного рабочего места контроля работы терминала 7.