[发明专利]一种无线接入铁路信息网络的方法及系统

说明书

本发明公开了一种无线接入铁路信息网络的方法及系统，分别使得移动终端以无线方式通过无线安全接入平台访问铁路内部服务网及外部服务网，在内部服务网设置具有无线访问权限的用户组，并将所述用户组同步到外部服务网中，当移动终端要接入内部服务网或外部服务网时，向内部服务网或外部服务网的无线安全接入平台发送携带用户标识的证书发起请求，由内部服务网或外部服务网的无线安全接入平台对证书认证并判断证书携带的用户标识是否在所述用户组内，如果是，则将移动终端接入内部服务网或外部服务网。由于本发明实施例在接入时采用证书认证且对移动终端的用户身份进行认证，所以在无线接入铁路信息网络时保证认证或/和授权的安全性。

技术领域

本发明涉及计算机网络技术，特别涉及一种无线接入铁路信息网络的方法及系统。

背景技术

随着计算机网络的普及，在铁路系统中也设置了铁路信息网络，铁路信息网络是基于网际协议(IP)技术的铁路信息综合承载网络，现已经覆盖铁路总公司和全路18个铁路局，近5000个基层站段。铁路信息网络承载了运输组织类、货运营销类、经营管理类、信息系统技术支持与运行保障类四大类业务50多个应用系统。为了保证铁路信息网络的安全性，在铁路总公司和全路18个铁路局部署了铁路计算机网络安全平台，在总公司和铁路局外部服务网、内部服务网和安全生产网之间进行安全隔离，形成三网分离的纵深防御体系，具备网络访问控制、用户身份认证/授权、统一用户管理、内外网信息安全交换等功能。直接关系铁路运输生产的铁路信息网络部署在安全生产网，为铁路内部提供一般性服务的铁路信息网络部署在内部服务网，为社会提供公共服务的应用系统部署在外部服务网。

随着铁路信息化进程的逐步推进，需要通过无线接入开展生产业务的需求也越来越迫切。目前铁路无线接入安全防护还缺乏全面及系统的技术手段，无形接入在提高工作效率的同时也引入了新的安全风险，如何保障无线接入安全就成为了当前迫切需要研究解决的问题。其中无线接入认证和授权存在的安全问题是无线网络攻击者可能伪装或假冒成合法用户，通过无线网络接入到业务系统中，从而进行信息窃取，破坏和攻击等行为。

发明内容

有鉴于此，本发明实施例提供一种无线接入铁路信息网络的方法，该方法能够在无线接入铁路信息网络时保证认证或/和授权的安全性。

本发明实施例提供一种无线接入铁路信息网络的系统，该系统能够在无线接入铁路信息网络时保证认证或/和授权的安全性。

根据上述目的，本发明是这样实现的：

一种无线接入铁路信息网络的方法，铁路信息网络包括内部服务网和外部服务网，包括：

在内部服务网和外部服务网分别设置无线安全接入平台；

在内部服务网设置具有无线访问权限的用户组，其中包括多个具有无线访问权限的用户标识；

内部服务网将所述用户组复制到外部服务网内；

当移动终端要接入内部服务网或外部服务网时，将携带用户标识的证书发起请求发送给内部服务网或外部服务网的无线安全接入平台；

内部服务网或外部服务网的无线安全接入平台对证书认证并判断证书携带的用户标识是否在所述用户组内，如果是，将移动终端接入内部服务网或外部服务网。

所述对证书认证并判断证书携带的用户标识是否在所述用户组内之前，还包括：所述内部服务网或外部服务网的无线安全接入平台获取所述用户组，存储到本地数据库，称为LDAP用户，在判断时，与LDAP用户进行匹配。

所述用户标识为用户身份标识UID；

所述证书为X.509数字证书或者802.1X数字证书，其中的扩展字段携带用户标识。

所述发送携带用户标识的证书发起请求为：移动终端设置有安全防护软件，当其接入内部服务网或外部服务网时启动。