[发明专利]一种轨道交通云的终端安全管控方法

说明书

本发明公开了一种轨道交通云的终端安全管控方法，首先在轨道交通云部署安全网关，终端发送请求报文至安全网关，由安全网关转发至轨道交通云；在轨道交通云部署终端安全管控服务，安全网关转发至轨道交通云的请求报文通过终端安全管控服务进行安全编码校验；将轨道交通云的资源对象分别进行信息区编码，通过终端安全管控服务进行信息区编码校验，根据信息区编码对数据进行分流；数据通过安全网关以数据流的形式转发至终端，终端不缓存数据流。本发明实现轨道交通云的信息安全，解决轨道交通云环境下终端接入和信息传输存在安全隐患的技术问题。

技术领域

本发明属于轨道交通监控技术领域，具体涉及一种轨道交通云的终端安全管 控方法。

背景技术

云计算拥有高可靠性、动态可扩展性、超强计算和存储、虚拟化技术和低 成本等显著优点。以互联网为基础的云计算存在着一定的危险性和相当大的安 全隐患。由于网络的篡改、劫持、跨站脚本攻击、SQL注入、DoS攻击等安全威 胁，信息安全一直是轨道交通云最大的软肋之一。

发明内容

为解决上述问题，本发明提出一种轨道交通云的终端安全管控方法，实现轨 道交通云的信息安全，解决轨道交通云环境下终端接入和信息传输存在安全隐 患的技术问题。

本发明采用如下技术方案，一种轨道交通云的终端安全管控方法，具体步骤 如下：

1)在轨道交通云部署安全网关，终端发送请求报文至安全网关，由安全网 关转发至轨道交通云；

2)在轨道交通云部署终端安全管控服务，安全网关转发至轨道交通云的请 求报文通过终端安全管控服务进行安全编码校验，若校验通过，则进入步骤3)， 否则请求终止；

3)将轨道交通云的资源对象分别进行信息区编码，通过终端安全管控服务 进行信息区编码校验，轨道交通云与终端进行信息交流时根据信息区编码对数 据进行分流；

4)轨道交通云返回给终端的数据通过安全网关以数据流的形式转发至终端， 终端不缓存数据流。

优选地，所述步骤1)具体步骤为：

11)终端发送请求报文至安全网关，安全网关对请求报文进行识别和过滤， 通过加密的报文标识判断报文是否合法,如果是非法访问的报文,安全网关直接 丢弃报文，否则进入步骤12)；

12)安全网关识别出合法报文后，校验报文头包含的来回寻址信息是否合 法，如果是非法寻址信息，安全网关直接丢弃报文，否则进入步骤13)；

13)安全网关将合法报文转发给轨道交通云。

优选地，所述步骤2)具体步骤为：

21)在轨道交通云登记所有合法的终端，设定唯一的安全编码；

22)若终端发送登录请求报文至安全网关，则进入步骤23)；若终端发送 数据请求报文至安全网关，则进入步骤24)；若终端发送操作请求报文至安全 网关，则进入步骤25)；

23)终端发送登录请求报文至安全网关，安全网关校验报文合法性后，将 合法报文转发至终端安全管控服务，终端安全管控服务对终端的安全编码进行 校验，如果校验通过，则进入步骤3)；否则登录终止；

24)终端发送数据请求报文至安全网关，安全网关校验报文合法性后，将 合法报文转发至轨道交通云的数据服务，数据服务在处理请求前，调用终端安 全管控服务接口校验终端的安全编码；如果校验通过，则进入步骤3)；如果校 验失败，则数据服务拒绝提供数据，请求终止；

25)终端发送操作请求报文至安全网关，安全网关校验报文合法性后，将 合法报文转发至轨道交通云的操作服务，操作服务在处理请求前，调用终端安 全管控服务接口校验终端的安全编码，如果校验通过，则进入步骤3)；如果校 验失败，则操作服务拒绝执行操作，请求终止。