[发明专利]一种基于SM3和SM4通信加密的地铁综合监控系统

说明书

本发明涉及一种基于SM3和SM4通信加密的地铁综合监控系统，属于地铁监控技术领域。本发明包括密钥管理中心和若干个监控中心；各个监控中心之间通过综合监控系统主干网连接；每个监控中心均包括通过网络总线连接的工作站、FEP和服务器；工作站、FEP和服务器分别配有工作站端UKey、FEP端UKey和服务器端UKey；工作站、FEP和服务器上均设有安全中间件模块。本发明每次在需要启动监控程序时，都先通过工作站、FEP和服务器对应的UKey和安全中间件模块进行设备的自我认证，同时服务器端还需要经过针对操作员的用户认证，通过后，才能启动相应的监控程序，之后再进行密钥协商和数据加密通信。本发明能够高效地避免非法侵入的发生，提高地铁综合监控系统的安全性。

技术领域

本发明涉及一种基于SM3和SM4通信加密的地铁综合监控系统，属于地铁监控技术领域。

背景技术

地铁综合监控系统（ISCS）的主要功能包括对机电设备的实时集中监控功能和各系统之间协调联动功能两大部分。一方面，通过地铁综合监控系统可实现对电力设备、火灾报警信息及其设备、车站环控设备、区间环控设备、环境参数、屏蔽门设备、防淹门设备、电扶梯设备、照明设备、门禁设备、自动售检票设备、广播和闭路电视设备、乘客信息显示系统的播出信息和时钟信息等进行实时集中监视和控制的基本功能；另一方面，通过地铁综合监控系统，还可实现晚间非运营情况下、日间正常运营情况下、紧急突发情况下和重要设备故障情况下各相关系统设备之间协调互动等高级功能。因此，地铁综合监控系统对于地铁线路的综合运营极为重要。

目前，非云化的地铁综合监控系统是分布式多层应用，最主要特征是各个车站均配置有节点服务器和几台工作站，这些分散在不同环境下的计算机设备通过双环冗余网络与监控中心主机房连成一个跨越整条线路的网络应用系统。正因如此，地铁综合监控系统存在主机非法接入与非法操作的风险，进而造成非法启停系统服务导致系统失效、非法启动大量服务降低系统性能、非法控制子系统设备、非法修改配置数据和非法连接请求或伪造通信数据等潜在危险的发生，最终将危及整个地铁线路的运营安全。

因此，如何提高地铁综合监控系统的安全性能以避免系统非法侵入的发生是亟需解决的技术难题。

发明内容

本发明的目的是提供一种基于SM3和SM4通信加密的地铁综合监控系统，以解决目前地铁综合监控系统容易被非法侵入的问题。

本发明为解决上述技术问题而提供一种基于SM3和SM4通信加密的地铁综合监控系统，其特征在于，该地铁综合监控系统包括密钥管理中心和若干个监控中心；各个监控中心之间通过综合监控系统主干网连接；每个监控中心均包括通过网络总线连接的工作站、FEP和服务器；

各个工作站、FEP和服务器分别配有工作站端UKey、FEP端UKey和服务器端UKey；各个工作站、FEP和服务器上均设有安全中间件模块；

安全中间件模块包括底层的设备层、中层的密码服务层和上层的API接口层；设备层用于连接用户端UKey、工作站端UKey、FEP端UKey和/或服务器端UKey；密码服务层用于提供对称密码算法和非对称密码算法的密码运算功能；API接口层用来受工作站、EFP和/或服务器的调用；

用户端UKey中存储有用户账号标识及其对应的私钥信息；工作站端UKey中存储有工作站的设备特征信息及其对应的私钥信息；FEP端UKey中存储有FEP的设备特征信息及其对应的私钥信息；服务器端UKey中存储有服务器的设备特征信息及其对应的私钥信息；

密钥管理中心包括SM9标识密码管理系统和SM9标识密码机，SM9标识密码管理系统与SM9标识密码机连接，用于计算生成用户端UKey、工作站端UKey、FEP端UKey和服务器端UKey中的私钥信息，并将该私钥信息写入到对应UKey中；

工作站、FEP和服务器中的任意两方进行通信时，其中一方为通信发起方，另一方为通信提供方；