專利名稱:具有安全防護功能的高速公路收費網絡系統的制作方法
技術領域:
本實用新型涉及高速公路收費網絡系統,尤其涉及一種具有安全防護功能的高速公路收費網絡系統。
技術背景 目前高速公路收費網絡系統均由分布在各車道的收費站、與路段對應的收費分中心及匯總所有路段收費的收費信息中心三級網絡構成,整個收費網絡系統基于TCP/IP網絡互聯,但與INTERNET網物理隔離。這種網絡架構杜絕了黑客從外部網絡入侵、篡改數據及使收費系統癱瘓的威脅,但來自網絡內部的安全隱患依然無法排除,尤其是病毒爆發和帶有安全隱患的主機非法接入。一旦病毒爆發,往往造成收費站不能正常工作,從而會引發收費口壓車的問題,而且由于高速公路收費網絡系統規模大,站點分布廣,往往短時間無法有效解決。尤其隨著ETC (Electronic Toll Collection)不停車收費系統的開設,高速公路收費網絡系統的安全運行更成為急待解決的問題。圖I示出現有高速公路收費網絡系統的結構框圖。如圖I所示,高速公路收費網絡系統中,設有包括信息中心服務器及與其連接的信息中心交換機的收費信息中心C ;收費信息中心C連接P個收費分中心Bl-Bp,各收費分中心Bl-Bp分別包括分中心服務器及與其連接的分中心交換機,各收費分中心Bl-Bp分別連接若干下屬收費站,如收費分中心BI連接η個下屬收費站All-Aln,收費分中心Bp連接m個下屬收費站APl-APm,各收費站分別包括設有多個車道工控機的車道工控機組、收費站服務器及收費站交換機;各收費站的車道工控機組及收費站服務器分別連接本收費站的收費站交換機,各收費站交換機分別通過收費站級通信鏈路10連接隸屬的收費分中心的分中心交換機,各分中心交換機分別通過信息中心級通信鏈路20及信息中心交換機連接信息中心服務器。圖中介于收費分中心BI與收費分中心Bp之間的收費分中心除包含的收費站數量及工控機組中工控機數量不完全相同外,其他結構完全相同,圖中省略,此不詳述。在上述收費網絡系統中車道工控機用作高速公路聯網收費終端,收費站服務器用于接收各車道工控機上傳的數據,并將數據排隊轉發給分中心服務器和信息中心服務器;分中心服務器用于接收收費站服務器上傳的數據并對本路段數據進行匯總統計,生成報表;信息中心服務器用于接收收費站服務器上傳的數據并對全路網數據進行拆分,匯總統計并生成報表。收費站級通信鏈路是各收費站和分中心之間傳輸數據使用的通信鏈路;信息中心級通信鏈路是各分中心和信息中心之間傳輸數據使用的通信鏈路,其帶寬相比收費站級通信鏈路的帶寬高。目前高速公路收費系統的主要問題是存在如下安全隱患⑴在全網中沒有任何的訪問控制策略,網絡中的任意一臺主機均可以訪問到全網的任意資源,數據無安全性。⑵全網中所有主機的通信端口全面開放,一旦有某一臺主機受到病毒感染,可以通過網絡輕易地到達任意一臺其他主機,并隱藏下來,不定期爆發造成不可控的嚴重后果。⑶網絡帶寬無法控制,一旦網絡中有病毒或木馬爆發,會產生較大網絡流量,使網絡造成堵塞,影響收費數據的正常傳輸。⑷對陌生主機進入網絡缺乏認證,如網絡維護人員、應用維護人員在使用個人筆記本電腦接入網絡的過程中,只需要一個IP地址即可,沒有任何其他的準入策略,未對即將接入收費網的主機進行身份認證或“是否安裝規定的殺毒軟件”等檢測。隨著網絡的快速發展帶來了新的安全威脅和對管理上的挑戰,根據廣大網絡用戶的需求,新的安全架構和網絡安全設備也應運而生。目前安全網關及對其進行策略配置和系統維護的網絡安全工作站已應用于電信、金融和企業等多種網絡環境中。安全網關通過網絡安全工作站對其進行策略控制,具有傳輸接口訪問控制功能、網絡內主機通信端口訪問控制功能、網絡帶寬控制功能及對網絡接入主機的安全檢查及強制準入功能。如能將該安全設施引入高速公路收費網絡系統,將會徹底 解決高速公路收費系統的安全隱患,為高速公路的正常運營提供可靠保證。
實用新型內容本實用新型的主要目的在于針對上述問題,在現有高速公路收費網絡系統的基礎上進行改進,在三級網絡層中分別設置安全防護設施,提供出一種具有安全防護功能的高速公路收費網絡系統,徹底解決高速公路收費系統的安全隱患,為高速公路的正常運營提供可靠保證。本實用新型解決其技術問題所采用的技術方案一種具有安全防護功能的高速公路收費網絡系統,為一包括自上而下設有信息中心服務器的收費信息中心、與所述收費信息中心通過信息中心級通信鏈路連接的分別包括分中心服務器的若干收費分中心及與各收費分中心通過收費站級通信鏈路連接的若干收費站的三級收費網絡系統,其中,各收費站包括設有多個車道工控機的車道工控機組及收費站服務器;其特征在于在收費信息中心設置與信息中心服務器連接的信息中心安全網關,在收費分中心設置與分中心服務器連接的分中心安全網關,在各收費站設置分別與該收費站服務器及車道工控機組的各車道工控機連接的收費站安全網關,各收費站安全網關分別通過收費站級通信鏈路連接隸屬的各分中心安全網關,各分中心安全網關通過信息中心級通信鏈路連接信息中心安全網關,信息中心安全網關還連接網絡安全管理工作站。所述網絡安全管理工作站包括專網網卡、分別與專網網卡連接的管理控制模塊及數據采集模塊,數據采集模塊還連接數據顯示模塊。本實用新型的有益效果是將現有高速公路收費網絡系統中分設在三級網絡層中的收費信息中心交換機、收費分中心交換機及收費站交換機分別替換成信息中心安全網關、分中心安全網關及收費站安全網關,并增設了網絡安全管理工作站,由此,⑴使收費站的每一臺車道工控機在收費站安全網關上設定獨立傳輸接口,可禁止互訪,即使有某一臺車道工控機中毒,也不會影響到其他的車道工控機,防止病毒蔓延,將病毒控制在小范圍內,也保證了系統數據安全性。⑵通過收費站安全網關的策略設置,使車道工控機只開放收費業務所需通信端口,其余的通信端口一律禁止訪問,使每一個分中心服務器與車道工控機隔離,有效的降低了病毒向分中心服務器傳播的風險,大大降低了車道工控機成為病毒源頭的可能性。⑶面對病毒爆發時會出現長時間的突發大流量,造成網絡堵塞,影響關鍵的收費業務的現狀,通過各級網絡層中安全網關的設置,可以對關鍵業務預留足夠的帶寬,實現關鍵業務帶寬保障,這樣,即使出現突發的病毒大流量也能保證關鍵的收費業務正常運行,從而為高速公路的正常運營提供可靠保證。⑷陌生主機進入網絡需要認證,首先檢測接入主機設置的IP地址是否在策略允許的I P范圍,如果不在范圍則禁止訪問網絡資源;再檢測接入主機是否裝有指定的防病毒軟件,如果沒有則禁止訪問網絡資源。未獲得認證的設備一律不能訪問網絡中的任何資源,從而保證了網絡數據的安全。
圖I是現有高速公路收費網絡系統結構框圖;圖2是本實用新型提供的具有安全防護功能的高速公路收費網絡系統結構框圖;圖3是圖2中網絡安全管理工作站 的結構框圖。圖中10.收費站級通信鏈路,20.信息中心級通信鏈路,Al 1-Aln, APl-APm, Al I ; -Aln ; ,API ; -APm ; 收費站,Bl-Bp、BI ' -Bp ;.收費分中心,C.C ;.收費信息中心。
具體實施方式
以下結合附圖和實施例對本實用新型詳細說明。圖2 圖3示出一種具有安全防護功能的高速公路收費網絡系統,本實施例中,圖2中的P為8, η為9, m為6,也即該收費網絡系統為一包括自上而下設有信息中心服務器的收費信息中心C'、與所述收費信息中心C'通過信息中心級通信鏈路20連接的分別包括8個收費分中心BI ' -B8 '及與各收費分中心BI ' -B8 '通過收費站級通信鏈路10連接的若干收費站的三級收費網絡系統,本例中,收費分中心BI丨下屬9個收費站All' -A19',收費分中心B8'下屬6個收費站A81' -A86 /,各收費站中分別包括設有多個車道工控機的車道工控機組及收費站服務器,在收費分中心BI丨及收費分中心B8丨之間的6個收費分中心B2 ' -B6 ;與收費分中心BI ' ,B8 ;除包含的收費站數量及車道工控機組中工控機數量不完全相同外,其他結構完全相同,圖中省略,此不詳述。本實用新型的特征在于在收費信息中心C丨設置與信息中心服務器連接的信息中心安全網關,在8個收費分中心BI' -B8/中分別設置與各分中心服務器連接的分中心安全網關,在各收費站設置分別與該收費站服務器及車道工控機組的各工控機連接的收費站安全網關,各收費站安全網關分別通過收費站級通信鏈路10連接隸屬的各分中心安全網關,各分中心安全網關通過信息中心級通信鏈路20連接信息中心安全網關,信息中心安全網關還連接網絡安全管理工作站。由于分別設置在上述收費信息中心、收費分中心及收費站三級網絡層中的信息中心安全網關、分中心安全網關及收費站安全網關所包含的終端數量不同,為了保證各級安全網關的運行穩定可靠,選擇設備類型時在設備性能、支持的節點數目和數據吞吐量上有所區別,所選用的安全網關主要參數描述如下收費站安全網關采用了新一代多核安全網關SG-6000-M3100,其防火墻吞吐量為lGbps,最大并發連接(標配/最大)分別為40/100萬,防病毒吞吐量為70Mbps。分中心安全網關采用了新一代多核安全網關SG-6000-G2110,其防火墻吞吐量為2Gbps,最大并發連接(標配/最大)分別為100/200萬,防病毒吞吐量為250Mbps。信息中心安全網關采用了新一代多核安全網關SG-6000-G2120,其防火墻吞吐量為4Gbps,最大并發連接(標配/最大)分別為100/200萬,防病毒吞吐量為350Mbps。上述收費站安全網關、分中心安全網關及信息中心安全網關的主要功能是限制網絡中主機的訪問權限及開放的端口,過濾病毒,對網絡流量進行監控,保證正常業務所需的網絡帶寬,并對接入的主機進行安全檢查及強制準入。上述網絡安全管理工作站,采用了 IBM工作站,安裝了與上述三級網絡層中的安全網關匹配的安全管理系統對各安全網關進行監視和管理。圖3示出網絡安全管理工作站的結構,包括專網網卡、分別與專網網卡連接的管理控制模塊及數據采集模塊,數據采集模塊還連接數據顯示模塊。信息中心安全網關通過專網網卡連接數據采集模塊及管理控制模塊;數據采集模塊負責采集信息,接收上述各級網絡層中安全網關上傳的數據并進而傳送給數據顯示模塊,通過數據顯示模塊以圖形化界面的方式顯示,方便用戶進行直觀的數據統計和查看設備狀態。管理控制模塊負責對網絡中各級網絡層中的安全網關進行策略配置和系統維護,對接入網絡的主機的準入策略是⑴檢測接入主機 設置的IP地址是否在策略允許的IP范圍,如果不在策略允許的IP范圍則禁止訪問網絡資源。⑵檢測接入主機是否裝有指定的防病毒軟件,如果沒有則禁止訪問網絡資源。對網絡維護人員、應用維護人員在使用個人筆記本電腦接入網絡的過程中,需要進行上述認證才能獲準進入網絡,從而保證了網絡數據的安全。在上述收費網絡系統中車道工控機用作高速公路聯網收費終端,收費站服務器用于接收各車道工控機上傳的數據,并將數據排隊轉發給分中心服務器和信息中心服務器;分中心服務器用于接收收費站服務器上傳的數據并對本路段數據進行匯總統計,生成報表;信息中心服務器用于接收收費站服務器上傳的數據并對全路網數據進行拆分,匯總統計并生成報表。收費站級通信鏈路是各收費站和分中心之間傳輸數據使用的通信鏈路;信息中心級通信鏈路是各分中心和信息中心之間傳輸數據使用的通信鏈路,其帶寬相比收費站級通信鏈路的帶寬高。以收費分中心為例,工作時,其下屬各收費站Al^ -A19 ;的車道工控機組中的車道工控機產生收費數據后,通過收費站安全網關把數據分別上傳給收費站服務器,收費站服務器將來自各車道工控機的數據排隊,然后,一路通過收費站安全網關、收費站級通信鏈路10及分中心安全網關將數據轉發給收費分中心BI丨的分中心服務器,另一路通過收費站安全網關、收費站級通信鏈路10、分中心安全網關、信息中心級通信鏈路20及信息中心安全網關將數據轉發給信息中心服務器。收費網絡系統中的其余7個收費分中心B2/ -B8/的工作過程與收費分中心BI'相同,將數據分兩路分別轉發給各自分中心服務器及信息中心服務器。各分中心服務器用于接收收費站服務器上傳的數據并對本路段數據進行匯總統計,生成報表;信息中心服務器用于接收收費站服務器上傳的數據并對全路網數據進行拆分,匯總統計并生成報表。網絡安全管理工作站通過專網網卡將接收數據傳送給數據采集模塊并通過數據顯示模塊以圖形化界面的方式顯示,方便用戶進行直觀的數據統計和查看設備狀態;并通過管理控制模塊對網絡中各級網絡層中的安全網關進行策略配置和系統維護。由于將現有高速公路收費網絡系統中各級網絡層中的交換機用安全網關代替,通過網絡安全工作站對收費站安全網關、分中心安全網關及信息中心安全網關進行策略控制,實現了傳輸接口訪問控制功能、網絡內主機通信端口訪問控制功能、網絡帶寬控制功能及對網絡接入主機的安全檢查及強制準入功能。[0025]以上內容并非對本實用新型的結構、形狀作任何形式上的限制。凡是依據本實用新型的技術實質對以上實施例所作的任何簡單修改、等同變化與修飾,均仍屬于本實用新型技術方案的范圍 內。
權利要求1.一種具有安全防護功能的高速公路收費網絡系統,為一包括自上而下設有信息中心服務器的收費信息中心、與所述收費信息中心通過信息中心級通信鏈路連接的分別包括分中心服務器的若干收費分中心及與各收費分中心通過收費站級通信鏈路連接的若干收費站的三級收費網絡系統,其中,各收費站包括設有多個車道工控機的車道工控機組及收費站服務器;其特征在于在收費信息中心設置與信息中心服務器連接的信息中心安全網關,在收費分中心設置與分中心服務器連接的分中心安全網關,在各收費站設置分別與該收費站服務器及車道工控機組的各車道工控機連接的收費站安全網關,各收費站安全網關分別通過收費站級通信鏈路連接隸屬的各分中心安全網關,各分中心安全網關通過信息中心級通信鏈路連接信息中心安全網關,信息中心安全網關還連接網絡安全管理工作站。
2.根據權利要求I所述的具有安全防護功能的高速公路收費網絡系統,其特征在于所述網絡安全管理工作站包括專網網卡、分別與專網網卡連接的管理控制模塊及數據采集模塊,數據采集模塊還連接數據顯示模塊。
專利摘要本實用新型涉及一種具有安全防護功能的高速公路收費網絡系統,為一包括設有信息中心服務器的收費信息中心、包括分中心服務器的若干個收費分中心及其連接的若干收費站構成的三級收費網絡系統,各收費站包括車道工控機組及收費站服務器;其特征是在收費信息中心、收費分中心、各收費站分別設置與信息中心服務器連接的信息中心安全網關,與分中心服務器連接的分中心安全網關,與收費站服務器及車道工控機組連接的收費站安全網關,收費站安全網關分別連接各分中心安全網關,各分中心安全網關連接信息中心安全網關,信息中心安全網關還連接網絡安全管理工作站。本實用新型的優點是控制病毒,保障關鍵業務帶寬,陌生主機入網認證,數據安全。
文檔編號G07B15/06GK202584231SQ201220236548
公開日2012年12月5日 申請日期2012年5月23日 優先權日2012年5月23日
發明者吳剛, 張忠慶, 石偉, 王寶魁, 翟澤, 閻巖, 金爍 申請人:天津高速公路集團有限公司