本發(fā)明提供一種軌道交通監(jiān)測(cè)數(shù)據(jù)的云安全存儲(chǔ)和處理方法及系統(tǒng)，涉及鐵路信號(hào)數(shù)據(jù)、鐵路通信數(shù)據(jù)、鐵路知識(shí)數(shù)據(jù)、系統(tǒng)報(bào)警數(shù)據(jù)、云計(jì)算、云存儲(chǔ)、云安全等技術(shù)領(lǐng)域，用以解決軌道交通監(jiān)測(cè)數(shù)據(jù)云存儲(chǔ)和處理的安全性問(wèn)題。

背景技術(shù)：
云計(jì)算是一種基于互聯(lián)網(wǎng)的計(jì)算方式，通過(guò)這種方式，共享的軟硬件資源和信息可以按需求提供給計(jì)算機(jī)和其他設(shè)備。軌道交通領(lǐng)域在應(yīng)用云計(jì)算技術(shù)時(shí)，基于虛擬化技術(shù)建立數(shù)據(jù)中心，將所有的軌道交通監(jiān)測(cè)數(shù)據(jù)集中存儲(chǔ)到云平臺(tái)上。監(jiān)測(cè)數(shù)據(jù)在云平臺(tái)上進(jìn)行統(tǒng)一的數(shù)據(jù)管理和處理，包括對(duì)監(jiān)測(cè)數(shù)據(jù)建立索引、利用數(shù)據(jù)挖掘算法挖掘數(shù)據(jù)的的潛在信息等，并基于這些數(shù)據(jù)對(duì)外發(fā)布查詢(xún)、統(tǒng)計(jì)和輔助決策等服務(wù)。云計(jì)算技術(shù)在引入強(qiáng)大的計(jì)算、存儲(chǔ)及便捷的編程接口和服務(wù)的同時(shí)，也引入了新的安全威脅，包括數(shù)據(jù)中心主機(jī)安全、虛擬機(jī)安全、數(shù)據(jù)安全和客戶(hù)端安全等。數(shù)據(jù)中心的安全威脅包括：入侵威脅、拒絕服務(wù)攻擊、蠕蟲(chóng)攻擊等。采取的應(yīng)對(duì)手段有：入侵檢測(cè)和防護(hù)、拒絕服務(wù)攻擊檢測(cè)和減輕、蠕蟲(chóng)檢測(cè)和消除。虛擬機(jī)安全威脅包括虛擬機(jī)逃逸、虛擬機(jī)失竊等。虛擬機(jī)溢出導(dǎo)致安全問(wèn)題蔓延，管理程序設(shè)計(jì)過(guò)程中的安全隱患會(huì)傳染同臺(tái)物理主機(jī)上的虛擬機(jī)，這種現(xiàn)象被稱(chēng)作“虛擬機(jī)溢出”。虛擬機(jī)成倍增長(zhǎng)，補(bǔ)丁更新負(fù)擔(dān)加重。數(shù)據(jù)安全威脅包括數(shù)據(jù)丟失、數(shù)據(jù)災(zāi)難、數(shù)據(jù)隱私性威脅。其中數(shù)據(jù)隱私性安全威脅又包括：1)傳輸中的數(shù)據(jù)。數(shù)據(jù)傳輸協(xié)議具有保密性和完整性，如HTTPS。因?yàn)椴糠謾z測(cè)數(shù)據(jù)及云平臺(tái)提供的查詢(xún)、預(yù)警等服務(wù)需要通過(guò)互聯(lián)網(wǎng)對(duì)用戶(hù)提供。因此保證數(shù)據(jù)傳輸?shù)谋Ｃ苄允种匾?)靜態(tài)數(shù)據(jù)。對(duì)靜態(tài)數(shù)據(jù)進(jìn)行加密，保證檢測(cè)數(shù)據(jù)不會(huì)在未授權(quán)的情況下被盜用。主要是對(duì)數(shù)據(jù)庫(kù)中的數(shù)據(jù)進(jìn)行加密，數(shù)據(jù)在云平臺(tái)上進(jìn)行處理的時(shí)候是不進(jìn)行加密的，否則會(huì)嚴(yán)重影響分布式計(jì)算的效率，處理之后的數(shù)據(jù)會(huì)存儲(chǔ)到數(shù)據(jù)庫(kù)中，這時(shí)候需要對(duì)數(shù)據(jù)進(jìn)行加密處理。3)數(shù)據(jù)處理，包括多用戶(hù)使用情況。數(shù)據(jù)處理時(shí)，單點(diǎn)失效不會(huì)造成任務(wù)的失敗或者丟失，當(dāng)一個(gè)子任務(wù)沒(méi)有被執(zhí)行的時(shí)候，主節(jié)點(diǎn)會(huì)檢測(cè)到改任務(wù)并將改任務(wù)分配給其他計(jì)算節(jié)點(diǎn)執(zhí)行。4)數(shù)據(jù)沿襲。對(duì)數(shù)據(jù)路徑的跟蹤，稱(chēng)為數(shù)據(jù)的沿襲。5)數(shù)據(jù)起源。不僅僅證實(shí)數(shù)據(jù)的完整性，還需要更加具體的數(shù)據(jù)起源的信息。6)數(shù)據(jù)殘留。數(shù)據(jù)在刪除或者格式化之后并沒(méi)有徹底的將數(shù)據(jù)從硬盤(pán)上刪除，這時(shí)候仍有可能從廢棄的硬盤(pán)中獲取數(shù)據(jù)。因此需要按照安全監(jiān)督機(jī)構(gòu)發(fā)布的指導(dǎo)去進(jìn)行清除。

技術(shù)實(shí)現(xiàn)要素：
本發(fā)明的目的是針對(duì)數(shù)據(jù)在傳輸中的安全性和數(shù)據(jù)的隱私性，提供一種軌道交通監(jiān)測(cè)數(shù)據(jù)的云安全存儲(chǔ)和處理方法及系統(tǒng)，通過(guò)各種安全配置和云安全控制服務(wù)器來(lái)保障軌道交通監(jiān)測(cè)數(shù)據(jù)的存儲(chǔ)和處理安全。為實(shí)現(xiàn)上述目的，本發(fā)明采用的技術(shù)方案如下：一種軌道交通監(jiān)測(cè)數(shù)據(jù)的云安全存儲(chǔ)和處理方法，其步驟包括：1)數(shù)據(jù)采集系統(tǒng)采集軌道交通監(jiān)測(cè)數(shù)據(jù)，使用云安全控制服務(wù)器的公鑰對(duì)采集的監(jiān)測(cè)數(shù)據(jù)進(jìn)行加密，然后將其傳輸?shù)皆瓢踩刂品?wù)器；2)云安全控制服務(wù)器對(duì)接收到的監(jiān)測(cè)數(shù)據(jù)使用本身的私鑰進(jìn)行解密，并將監(jiān)測(cè)數(shù)據(jù)存儲(chǔ)在云計(jì)算集群中；3)客戶(hù)端在發(fā)送請(qǐng)求時(shí)使用云安全控制服務(wù)器的公鑰對(duì)數(shù)據(jù)進(jìn)行加密，然后將數(shù)據(jù)傳輸給云安全控制服務(wù)器；4)云安全控制服務(wù)器接收到來(lái)自客戶(hù)端的請(qǐng)求后使用自身的私鑰對(duì)數(shù)據(jù)進(jìn)行解密，并根據(jù)客戶(hù)端的公鑰得到請(qǐng)求的來(lái)源，然后根據(jù)客戶(hù)端的請(qǐng)求在云計(jì)算集群中進(jìn)行數(shù)據(jù)的相關(guān)處理，將處理結(jié)果使用客戶(hù)端的公鑰進(jìn)行加密后傳輸給客戶(hù)端；5)客戶(hù)端得到云安全控制服務(wù)器反饋的數(shù)據(jù)后，使用客戶(hù)端自身的私鑰對(duì)數(shù)據(jù)進(jìn)行解密。進(jìn)一步地，所述云安全控制服務(wù)器根據(jù)數(shù)據(jù)采集系統(tǒng)的公鑰確定監(jiān)測(cè)數(shù)據(jù)的來(lái)源是否為合法的數(shù)據(jù)采集系統(tǒng)，然后將來(lái)自合法的數(shù)據(jù)采集系統(tǒng)的監(jiān)測(cè)數(shù)據(jù)存儲(chǔ)在云計(jì)算集群中。進(jìn)一步地，所述云安全控制服務(wù)器采用日志文件記錄自身的運(yùn)行狀態(tài)，客戶(hù)端、數(shù)據(jù)采集系統(tǒng)與云計(jì)算集群的交互，以及云計(jì)算集群中各個(gè)節(jié)點(diǎn)的運(yùn)行狀態(tài)，并將日志文件存儲(chǔ)到云計(jì)算集群中；云計(jì)算集群對(duì)日志文件進(jìn)行分析處理并生成各種知識(shí)規(guī)則和分類(lèi)器，以進(jìn)行安全分析和管理。進(jìn)一步地，所述云安全控制服務(wù)器接收到來(lái)自客戶(hù)端或數(shù)據(jù)采集系統(tǒng)的請(qǐng)求時(shí)，基于所述知識(shí)規(guī)則和分類(lèi)器以及實(shí)時(shí)的請(qǐng)求特征判斷是否為非法操作。進(jìn)一步地，所述云安全控制服務(wù)器通過(guò)心跳監(jiān)測(cè)機(jī)制收集云計(jì)算集群的運(yùn)行狀態(tài)，然后利用所述知識(shí)規(guī)則和分類(lèi)器并結(jié)合實(shí)時(shí)運(yùn)行狀態(tài)預(yù)測(cè)系統(tǒng)的健康情況，實(shí)現(xiàn)整個(gè)系統(tǒng)的智能安全保護(hù)。一種軌道交通監(jiān)測(cè)數(shù)據(jù)的云安全存儲(chǔ)和處理系統(tǒng)，包括云安全控制服務(wù)器，以及分別與其連接的客戶(hù)端、數(shù)據(jù)采集系統(tǒng)和云計(jì)算集群；所述客戶(hù)端包括：安全通信模塊，負(fù)責(zé)客戶(hù)端與所述云安全控制服務(wù)器之間的通信，保證數(shù)據(jù)在傳輸過(guò)程中的隱蔽性和完整性；權(quán)限認(rèn)證模塊，負(fù)責(zé)對(duì)數(shù)據(jù)的加解密以及保存客戶(hù)端的權(quán)限控制信息；業(yè)務(wù)模塊，負(fù)責(zé)客戶(hù)端的各種軌道交通服務(wù)的展示和處理；所述數(shù)據(jù)采集系統(tǒng)用于采集軌道交通監(jiān)測(cè)數(shù)據(jù)并傳輸給所述云安全控制服務(wù)器；所述云安全控制服務(wù)器包括：安全通信模塊，用于與所述客戶(hù)端的安全通信模塊配合以保證數(shù)據(jù)在傳輸過(guò)程中的隱蔽性和完整性；權(quán)限認(rèn)證模塊，用于與所述客戶(hù)端的權(quán)限認(rèn)證模塊配合以實(shí)現(xiàn)對(duì)數(shù)據(jù)的加解密，并保存客戶(hù)端的權(quán)限控制信息；云存儲(chǔ)管理模塊，負(fù)責(zé)與云計(jì)算集群中的云計(jì)算服務(wù)器進(jìn)行連接和通信；應(yīng)用接口模塊，用于提供各種云服務(wù)的接口；所述云計(jì)算集群包含若干云計(jì)算服務(wù)器，用于進(jìn)行軌道交通監(jiān)測(cè)數(shù)據(jù)的存儲(chǔ)和處理。進(jìn)一步地，所述云安全控制服務(wù)器還包括日志及配置模塊，負(fù)責(zé)記錄和保存云安全控制服務(wù)器的運(yùn)行日志以及配置云平臺(tái)的各項(xiàng)配置文件，對(duì)云端的服務(wù)器進(jìn)行安全管理。進(jìn)一步地，所述數(shù)據(jù)采集系統(tǒng)包括集中監(jiān)測(cè)系統(tǒng)、3G/LTE無(wú)線(xiàn)傳輸設(shè)備和安全通信模塊。本發(fā)明的軌道交通監(jiān)測(cè)數(shù)據(jù)的云安全存儲(chǔ)和處理方法及系統(tǒng)，通過(guò)對(duì)數(shù)據(jù)進(jìn)行加密，保證用戶(hù)在沒(méi)有私鑰的情況下無(wú)法解密原始數(shù)據(jù)，從而保障了數(shù)據(jù)的隱私性；數(shù)據(jù)采集和客戶(hù)端對(duì)云平臺(tái)數(shù)據(jù)的存取、查詢(xún)等操作都需要通過(guò)云安全控制服務(wù)器發(fā)送請(qǐng)求，而不能直接與云平臺(tái)進(jìn)行數(shù)據(jù)存取，保障了軌道交通監(jiān)測(cè)數(shù)據(jù)的存儲(chǔ)和處理安全。并且，通過(guò)云安全控制服務(wù)器可以比較方便的配置和搭建各種數(shù)據(jù)安全方案，如用戶(hù)分級(jí)的權(quán)限管理、監(jiān)測(cè)數(shù)據(jù)的備份管理、異地集群的管理等，可以直接在控制服務(wù)器上完成。附圖說(shuō)明圖1是實(shí)施例中軌道交通監(jiān)測(cè)數(shù)據(jù)的存儲(chǔ)和處理系統(tǒng)的架構(gòu)示意圖。圖2是實(shí)施例中云計(jì)算集群的層次結(jié)構(gòu)圖。圖3是實(shí)施例中客戶(hù)端與云安全控制服務(wù)器之間的交互及數(shù)據(jù)傳輸示意圖。圖4是實(shí)施例中數(shù)據(jù)采集系統(tǒng)與云安全控制服務(wù)器之間的數(shù)據(jù)傳輸示意圖。具體實(shí)施方式下面通過(guò)具體實(shí)施例和附圖，對(duì)本發(fā)明做詳細(xì)的說(shuō)明。圖1是本實(shí)施例的軌道交通監(jiān)測(cè)數(shù)據(jù)的存儲(chǔ)和處理系統(tǒng)的架構(gòu)示意圖，該系統(tǒng)由以下部分組成：客戶(hù)端(人機(jī)交互設(shè)備)、數(shù)據(jù)采集系統(tǒng)、云安全控制服務(wù)器及云計(jì)算集群，其中客戶(hù)端(人機(jī)交互設(shè)備)、數(shù)據(jù)采集系統(tǒng)和云計(jì)算集群分別與云安全控制服務(wù)器連接。下面分別進(jìn)行說(shuō)明。1.客戶(hù)端客戶(hù)端作為車(chē)站管理人員與云安全存儲(chǔ)系統(tǒng)的人機(jī)交互設(shè)備，向車(chē)站、電務(wù)段等鐵路運(yùn)營(yíng)部門(mén)的管理人員根據(jù)其權(quán)限定制相應(yīng)的展示界面，包括檢測(cè)數(shù)據(jù)的查詢(xún)和展示、實(shí)時(shí)的輔助決策信息等?？蛻?hù)端的具體設(shè)置取決于不同的鐵路交通運(yùn)營(yíng)體系。本實(shí)施例采用中國(guó)的鐵路交通體系，將客戶(hù)端設(shè)于車(chē)站(電務(wù)車(chē)間或工區(qū))、電務(wù)段、鐵路局和鐵路總公司。但本發(fā)明不以此為限制，本發(fā)明的方案也適用于企業(yè)鐵路、城市軌道交通等鐵路運(yùn)營(yíng)體系，此時(shí)電務(wù)段可采用其它名稱(chēng)，如信號(hào)段、通信段等，客戶(hù)端可以根據(jù)具體情況進(jìn)行設(shè)置。該客戶(hù)端包括安全通信模塊、權(quán)限認(rèn)證模塊和業(yè)務(wù)模塊三部分，下面分別介紹其主要功能。1)權(quán)限認(rèn)證模塊該模塊主要負(fù)責(zé)對(duì)數(shù)據(jù)的加解密以及保存客戶(hù)端的權(quán)限控制信息。對(duì)客戶(hù)端發(fā)出的請(qǐng)求使用本地機(jī)服務(wù)器端的公鑰進(jìn)行加密；對(duì)來(lái)自服務(wù)器端的反饋數(shù)據(jù)使用客戶(hù)端自身的私鑰進(jìn)行解密，還原成原始數(shù)據(jù)，以保證數(shù)據(jù)的安全性。該模塊與云安全控制服務(wù)器的權(quán)限認(rèn)證模塊相互配合，對(duì)每個(gè)用戶(hù)進(jìn)行權(quán)限配置，并隨機(jī)生成相應(yīng)的密鑰文件；云端響應(yīng)客戶(hù)端的請(qǐng)求時(shí)，對(duì)數(shù)據(jù)首先使用客戶(hù)端對(duì)應(yīng)的密鑰進(jìn)行加密處理，然后通過(guò)安全通信模塊將數(shù)據(jù)傳輸給客戶(hù)端，客戶(hù)端用本地的密鑰文件對(duì)加密數(shù)據(jù)進(jìn)行解密，還原原始數(shù)據(jù)。2)安全通信模塊該模塊主要負(fù)責(zé)客戶(hù)端與云安全控制服務(wù)器之間的通信，包括將加密數(shù)據(jù)傳輸給服務(wù)器端，在網(wǎng)絡(luò)傳輸時(shí)使用安全的網(wǎng)絡(luò)協(xié)議，如HTTPS等，以保證數(shù)據(jù)在傳輸過(guò)程中的隱蔽性和完整性。該模塊與云端安全控制器的安全通信模塊進(jìn)行交互，通過(guò)安全的通信協(xié)議(HTTPS)與云端進(jìn)行交互。3)業(yè)務(wù)模塊該模塊主要負(fù)責(zé)客戶(hù)端的各種軌道交通服務(wù)的展示、計(jì)算和其他處理，包括展示系統(tǒng)運(yùn)行狀態(tài)、預(yù)警信息和輔助決策信息等。在給定權(quán)限下，可以查詢(xún)對(duì)應(yīng)車(chē)間、電務(wù)段、鐵路線(xiàn)的運(yùn)行統(tǒng)計(jì)信息，并可以根據(jù)預(yù)警情況下發(fā)設(shè)備維護(hù)等命令，根據(jù)運(yùn)行情況完成系統(tǒng)的控制管理工作。2.數(shù)據(jù)采集系統(tǒng)數(shù)據(jù)采集系統(tǒng)負(fù)責(zé)采集監(jiān)測(cè)數(shù)據(jù)，包括在各車(chē)站、電務(wù)段、鐵路局、鐵路總公司的集中監(jiān)測(cè)系統(tǒng)(CSM)，和在鐵路管理部門(mén)(鐵路局、鐵路總公司)的3G/LTE無(wú)線(xiàn)傳輸設(shè)備，用于將采集到的監(jiān)測(cè)數(shù)據(jù)傳輸?shù)皆破脚_(tái)(云計(jì)算集群)中。該數(shù)據(jù)采集系統(tǒng)也包含一個(gè)安全通信模塊，與客戶(hù)端的安全通信模塊類(lèi)似，負(fù)責(zé)數(shù)據(jù)采集系統(tǒng)與云安全控制服務(wù)器之間的通信，保證數(shù)據(jù)在傳輸過(guò)程中的隱蔽性和完整性。數(shù)據(jù)采集系統(tǒng)采集的監(jiān)測(cè)數(shù)據(jù)包括歷史監(jiān)測(cè)數(shù)據(jù)和實(shí)時(shí)監(jiān)測(cè)數(shù)據(jù)兩種，分別是鐵路各站點(diǎn)的信號(hào)采集器采集到的信息。監(jiān)測(cè)信號(hào)的采集的方式也分為兩種，一種是通過(guò)與電務(wù)段CSM的連接直接將采集設(shè)備中的數(shù)據(jù)傳輸?shù)皆贫?；另外一種是通過(guò)車(chē)載ATP設(shè)備通過(guò)3G/LTE等方式與云端進(jìn)行通信，將采集到的數(shù)據(jù)存儲(chǔ)到云端。在有Wifi環(huán)境的情況下，各種監(jiān)測(cè)設(shè)備采集的數(shù)據(jù)可以通過(guò)Wifi傳輸給CSM系統(tǒng)。車(chē)載ATP(車(chē)載計(jì)算機(jī))在沒(méi)有Wifi環(huán)境的時(shí)候通過(guò)3G/LTE設(shè)備傳輸給鐵路局、鐵路總公司等鐵路管理部門(mén)的信息中心；然后將采集到的監(jiān)測(cè)數(shù)據(jù)通過(guò)自身的安全通信模塊傳輸給云安全控制服務(wù)器，并最終存儲(chǔ)在云計(jì)算集群中。各CSM系統(tǒng)的部署情況是：車(chē)站監(jiān)測(cè)系統(tǒng)與電務(wù)段監(jiān)測(cè)系統(tǒng)、鐵路局監(jiān)測(cè)系統(tǒng)連、鐵路總公司監(jiān)測(cè)系統(tǒng)依次連接；電務(wù)段的監(jiān)測(cè)系統(tǒng)與云安全控制服務(wù)器連接。車(chē)站集中監(jiān)測(cè)系統(tǒng)負(fù)責(zé)采集各類(lèi)監(jiān)測(cè)數(shù)據(jù)，包括TCC/CBI(列控中心/計(jì)算機(jī)聯(lián)鎖)、軌道電路應(yīng)答器、CTC站機(jī)電源屏、信號(hào)安全網(wǎng)、GSM-R無(wú)線(xiàn)網(wǎng)信號(hào)安全網(wǎng)、CTC中心(調(diào)度集中)及、DMS/LAIS(列控設(shè)備動(dòng)態(tài)監(jiān)測(cè)系統(tǒng)/列車(chē)運(yùn)行狀態(tài)系統(tǒng))、RBC/TSRS(無(wú)線(xiàn)閉塞/臨時(shí)限速服務(wù)器)、車(chē)載ATP(車(chē)載計(jì)算機(jī))等設(shè)備的監(jiān)測(cè)數(shù)據(jù)；并將采集的數(shù)據(jù)通過(guò)與電務(wù)段集中監(jiān)測(cè)系統(tǒng)的連接傳輸給電務(wù)段集中監(jiān)測(cè)系統(tǒng)。各CSM監(jiān)測(cè)系統(tǒng)包含人機(jī)交互的客戶(hù)端，用于顯示對(duì)應(yīng)的車(chē)間、電務(wù)段、鐵路線(xiàn)的運(yùn)行狀態(tài)，報(bào)警信息及實(shí)時(shí)監(jiān)測(cè)數(shù)據(jù)。根據(jù)部門(mén)權(quán)限的不同，監(jiān)測(cè)系統(tǒng)所展示的信息也是不同的，如鐵路局比電務(wù)段、車(chē)間有更多的權(quán)限，包括按照路線(xiàn)、故障等信息進(jìn)行檢索，故障監(jiān)測(cè)信息、輔助決策信息等，并且部分管理人員可以進(jìn)行操作，包括下達(dá)維修命令等。電務(wù)段的監(jiān)測(cè)系統(tǒng)與云安全控制服務(wù)器連接，用于向云平臺(tái)發(fā)送請(qǐng)求，以及接受來(lái)自云平臺(tái)的反饋數(shù)據(jù)，并通過(guò)與鐵路局、鐵路總公司的連接，將統(tǒng)計(jì)、分析數(shù)據(jù)傳輸給對(duì)應(yīng)的監(jiān)測(cè)系統(tǒng)。鐵路局的監(jiān)測(cè)系統(tǒng)接受來(lái)自電務(wù)段監(jiān)測(cè)系統(tǒng)傳輸?shù)母黝?lèi)統(tǒng)計(jì)信息，并通過(guò)人工或者機(jī)器分析的方式產(chǎn)生一些調(diào)度指揮命令，并發(fā)反饋給電務(wù)段集中監(jiān)測(cè)系統(tǒng)；鐵路局的監(jiān)測(cè)系統(tǒng)也會(huì)將部分或全部統(tǒng)計(jì)信息傳輸給鐵路總公司的監(jiān)測(cè)系統(tǒng)。鐵路總公司的監(jiān)測(cè)系統(tǒng)用來(lái)接收各類(lèi)統(tǒng)計(jì)信息，也可以查詢(xún)權(quán)限下線(xiàn)路、電務(wù)段的信息，并可以根據(jù)這些信息下達(dá)各種命令。3.云安全控制服務(wù)器位于云平臺(tái)的云安全控制服務(wù)器負(fù)責(zé)與客戶(hù)端、數(shù)據(jù)采集系統(tǒng)及云計(jì)算集群進(jìn)行連接和通信，主要涉及兩方面的內(nèi)容：一方面將數(shù)據(jù)采集系統(tǒng)得的監(jiān)測(cè)數(shù)據(jù)存儲(chǔ)到云計(jì)算集群中；另一方面與客戶(hù)端進(jìn)行連接，接收客戶(hù)端的各種服務(wù)請(qǐng)求，驗(yàn)證后將這些請(qǐng)求發(fā)送給云計(jì)算服務(wù)器，進(jìn)行數(shù)據(jù)查詢(xún)、計(jì)算等處理，并將結(jié)果解密后反饋給客戶(hù)端。云安全控制服務(wù)器包括安全通信模塊、權(quán)限認(rèn)證模塊、日志及配置模塊、云存儲(chǔ)管理模塊和應(yīng)用接口模塊。1)權(quán)限認(rèn)證模塊：主要負(fù)責(zé)對(duì)數(shù)據(jù)的加解密以及保存客戶(hù)端的權(quán)限控制信息；對(duì)客戶(hù)端發(fā)出的請(qǐng)求使用服務(wù)器端的私鑰進(jìn)行解密；對(duì)反饋給客戶(hù)端的數(shù)據(jù)使用客戶(hù)端的公鑰進(jìn)行加密，以保證數(shù)據(jù)傳輸過(guò)程中的安全性。2)安全通信模塊：主要負(fù)責(zé)云安全控制服務(wù)器與客戶(hù)端、數(shù)據(jù)采集系統(tǒng)之間的通信，包括將加密數(shù)據(jù)傳輸給客戶(hù)端，在網(wǎng)絡(luò)傳輸時(shí)使用安全的網(wǎng)絡(luò)協(xié)議，如HTTPS等，以保證數(shù)據(jù)在傳輸過(guò)程中的隱蔽性和完整性。3)云存儲(chǔ)管理模塊：主要負(fù)責(zé)與云計(jì)算集群中的云計(jì)算服務(wù)器進(jìn)行連接和通信，將客戶(hù)端的發(fā)送的業(yè)務(wù)請(qǐng)求轉(zhuǎn)化為各種查詢(xún)、計(jì)算和數(shù)據(jù)存取操作，通過(guò)云計(jì)算服務(wù)器的處理后，將結(jié)果通過(guò)應(yīng)用接口模塊將結(jié)果反饋給客戶(hù)端。4)應(yīng)用接口模塊：對(duì)外提供各種云服務(wù)的接口，主要負(fù)責(zé)接收來(lái)自客戶(hù)端的各種請(qǐng)求，并將其轉(zhuǎn)化為各種查詢(xún)、計(jì)算等指令，交由云計(jì)算集群在監(jiān)測(cè)數(shù)據(jù)的基礎(chǔ)上進(jìn)行各項(xiàng)計(jì)算，包括監(jiān)測(cè)數(shù)據(jù)的基本查詢(xún)及碎片查詢(xún)，發(fā)布監(jiān)測(cè)數(shù)據(jù)的統(tǒng)計(jì)結(jié)果及實(shí)時(shí)監(jiān)測(cè)數(shù)據(jù)的分析結(jié)果等。5)日志及配置模塊在上述模塊基礎(chǔ)上，云安全控制服務(wù)器還可包括日志及配置模塊。該模塊主要負(fù)責(zé)記錄保存云安全控制服務(wù)器的運(yùn)行日志(包括與客戶(hù)端的交互情況)，以及配置云平臺(tái)的各項(xiàng)配置文件，通過(guò)配置文件對(duì)云端的服務(wù)器進(jìn)行安全管理，包括加密協(xié)議、密鑰的更新周期、監(jiān)測(cè)數(shù)據(jù)的備份級(jí)別等。本發(fā)明能夠利用日志內(nèi)容進(jìn)行安全分析和管理，識(shí)別非法操作及保證服務(wù)器安全。具體說(shuō)明如下：a)云安全控制服務(wù)器的日志及配置模塊負(fù)責(zé)會(huì)記錄客戶(hù)端、數(shù)據(jù)采集系統(tǒng)與云計(jì)算集群的交互，以及服務(wù)器自身的運(yùn)行狀態(tài)；通過(guò)與云計(jì)算集群的心跳檢測(cè)機(jī)制，記錄云計(jì)算集群中各個(gè)節(jié)點(diǎn)的運(yùn)行狀態(tài)，包括CPU使用率、內(nèi)存使用率、硬盤(pán)使用率、網(wǎng)絡(luò)負(fù)載、溫度等信息；b)云安全控制服務(wù)器定期將日志文件存儲(chǔ)到云計(jì)算集群中，并使用數(shù)據(jù)挖掘算法，如樸素貝葉斯、支撐向量機(jī)、關(guān)聯(lián)規(guī)則等，定期對(duì)日志文件進(jìn)行分析處理，生成各種安全規(guī)則，如非法訪問(wèn)知識(shí)規(guī)則、服務(wù)器宕機(jī)隱患知識(shí)規(guī)則、網(wǎng)絡(luò)攻擊知識(shí)規(guī)則等，以及生成各種分類(lèi)器；分類(lèi)器用于對(duì)各種用戶(hù)操作、網(wǎng)絡(luò)訪問(wèn)進(jìn)行分類(lèi)，判別是否為非法操作或者不安全操作。然后發(fā)出預(yù)警信息；c)當(dāng)云安全控制服務(wù)器接收到來(lái)自客戶(hù)端、數(shù)據(jù)采集系統(tǒng)的請(qǐng)求時(shí)，利用分析算法基于知識(shí)規(guī)則、分類(lèi)器和實(shí)時(shí)的請(qǐng)求特征對(duì)服務(wù)器進(jìn)行分析，判斷是否為非法操作等；d)云安全控制服務(wù)器通過(guò)與云計(jì)算集群的心跳監(jiān)測(cè)機(jī)制，收集云計(jì)算集群的運(yùn)行狀態(tài)，然后利用知識(shí)規(guī)則、分類(lèi)器結(jié)合實(shí)時(shí)運(yùn)行狀態(tài)，預(yù)測(cè)系統(tǒng)的健康情況，并通過(guò)郵件、短信、可視化交互界面等方式展示給用戶(hù)，實(shí)現(xiàn)整個(gè)系統(tǒng)的智能安全保護(hù)；實(shí)現(xiàn)云計(jì)算平臺(tái)越用越安全的理想狀態(tài)。4.云計(jì)算集群云端的云計(jì)算集群由多個(gè)云計(jì)算服務(wù)器組成，是監(jiān)測(cè)數(shù)據(jù)實(shí)際存儲(chǔ)和處理的平臺(tái)，負(fù)責(zé)實(shí)際的存儲(chǔ)和處理監(jiān)測(cè)數(shù)據(jù)，包括對(duì)歷史數(shù)據(jù)的統(tǒng)計(jì)、分析和挖掘；對(duì)實(shí)時(shí)監(jiān)測(cè)數(shù)據(jù)進(jìn)行與知識(shí)規(guī)則進(jìn)行匹配和分析，得到輔助決策等數(shù)據(jù)。云計(jì)算集群包括數(shù)據(jù)庫(kù)集群、分布式文件系統(tǒng)、并行處理架構(gòu)、列式數(shù)據(jù)庫(kù)等模塊，用于存儲(chǔ)和計(jì)算監(jiān)測(cè)數(shù)據(jù)。具體來(lái)說(shuō)，云計(jì)算集群包含硬件資源和軟件資源兩部分，按照層次劃分包括資源層、數(shù)據(jù)處理層和接口層，如圖2所示。資源層包括物理資源和虛擬資源兩部分，物理資源指實(shí)際的運(yùn)行環(huán)境，包括計(jì)算節(jié)點(diǎn)、存儲(chǔ)節(jié)點(diǎn)和網(wǎng)絡(luò)資源。虛擬資源主要是指通過(guò)虛擬化技術(shù)對(duì)平臺(tái)的物理資源進(jìn)行虛擬化，產(chǎn)生的計(jì)算資源池、存儲(chǔ)資源池和網(wǎng)絡(luò)資源池。數(shù)據(jù)處理層主要包括HDFS分布式文件系統(tǒng)、Hbase和Oracle數(shù)據(jù)庫(kù)及MapReduce并行處理架構(gòu)，分別用于數(shù)據(jù)存儲(chǔ)和數(shù)據(jù)并行處理。接口層主要包括在虛擬機(jī)之上部署的各種WebService服務(wù)器，用于接收來(lái)自電務(wù)段集中監(jiān)測(cè)系統(tǒng)的監(jiān)測(cè)數(shù)據(jù)并對(duì)其進(jìn)行格式轉(zhuǎn)換和存儲(chǔ)；對(duì)HDFS上的數(shù)據(jù)建立索引及數(shù)據(jù)挖掘；根據(jù)實(shí)時(shí)監(jiān)測(cè)數(shù)據(jù)進(jìn)行信息統(tǒng)計(jì)和故障監(jiān)測(cè)等；發(fā)布碎片索引系統(tǒng)，客戶(hù)可以根據(jù)需要查詢(xún)相關(guān)的數(shù)據(jù)。云計(jì)算集群包括Oracle等關(guān)系型數(shù)據(jù)庫(kù)集群，用于直接存儲(chǔ)軌道交通的監(jiān)測(cè)數(shù)據(jù)，在進(jìn)行數(shù)據(jù)分析和挖掘時(shí)，需要將數(shù)據(jù)庫(kù)中的監(jiān)測(cè)數(shù)據(jù)轉(zhuǎn)換為文本存儲(chǔ)在分布式文件系統(tǒng)中，然后利用并行計(jì)算架構(gòu)對(duì)數(shù)據(jù)進(jìn)行并行處理，加快數(shù)據(jù)挖掘的速度。所述監(jiān)測(cè)數(shù)據(jù)包括歷史監(jiān)測(cè)數(shù)據(jù)和實(shí)時(shí)監(jiān)測(cè)數(shù)據(jù)。將獲取的歷史監(jiān)測(cè)數(shù)據(jù)轉(zhuǎn)換為文本格式存儲(chǔ)在HDFS上，并利用MapReduce并行處理架構(gòu)對(duì)HDFS上存儲(chǔ)的歷史監(jiān)測(cè)數(shù)據(jù)建立全文索引，結(jié)合發(fā)布引擎實(shí)現(xiàn)對(duì)監(jiān)測(cè)數(shù)據(jù)的碎片查詢(xún)；通過(guò)MapReduce并行處理架構(gòu)對(duì)歷史監(jiān)測(cè)數(shù)據(jù)進(jìn)行數(shù)據(jù)挖掘，產(chǎn)生所述知識(shí)規(guī)則數(shù)據(jù)并存儲(chǔ)在Hbase數(shù)據(jù)庫(kù)中；將接收到的實(shí)時(shí)監(jiān)測(cè)數(shù)據(jù)與所述知識(shí)規(guī)則數(shù)據(jù)進(jìn)行匹配并進(jìn)行統(tǒng)計(jì)分析，生成各類(lèi)統(tǒng)計(jì)信息。比如進(jìn)行故障分析時(shí)，利用統(tǒng)計(jì)學(xué)原理對(duì)歷史監(jiān)測(cè)數(shù)據(jù)進(jìn)行統(tǒng)計(jì)，形成監(jiān)測(cè)信號(hào)與故障之間的先驗(yàn)及后驗(yàn)概率，作為故障知識(shí)規(guī)則數(shù)據(jù)；進(jìn)而將實(shí)時(shí)監(jiān)測(cè)數(shù)據(jù)及相應(yīng)的故障知識(shí)規(guī)則數(shù)據(jù)進(jìn)行對(duì)比，判斷當(dāng)前系統(tǒng)是否存在安全隱患。下面說(shuō)明本實(shí)施例的軌道交通監(jiān)測(cè)數(shù)據(jù)的存儲(chǔ)和處理系統(tǒng)采用的密鑰算法及具體使用過(guò)程。首先采用國(guó)家認(rèn)可的安全加密算法(比如DESTripleDES對(duì)稱(chēng)加密算法)對(duì)客戶(hù)端、云安全控制服務(wù)器及數(shù)據(jù)采集系統(tǒng)生成相應(yīng)的公鑰和私鑰，云安全控制器存儲(chǔ)客戶(hù)端及數(shù)據(jù)采集系統(tǒng)的公鑰，客戶(hù)端存儲(chǔ)云安全控制服務(wù)器的公鑰。1)客戶(hù)端與云安全控制服務(wù)器之間的交互及數(shù)據(jù)傳輸，如圖3所示：客戶(hù)端在登陸系統(tǒng)之后獲取云安全控制服務(wù)器公鑰，在業(yè)務(wù)模塊向服務(wù)器端發(fā)送請(qǐng)求時(shí)，通過(guò)權(quán)限認(rèn)證模塊使用云安全控制服務(wù)器的公鑰對(duì)數(shù)據(jù)進(jìn)行加密，然后通過(guò)安全通信模塊傳輸給云安全控制服務(wù)器。云安全控制服務(wù)器通過(guò)自身的安全通信模塊接收到來(lái)自客戶(hù)端的請(qǐng)求后，通過(guò)權(quán)限認(rèn)證模塊使用自身的私鑰對(duì)數(shù)據(jù)進(jìn)行解密，并根據(jù)客戶(hù)端的公鑰就可以得到請(qǐng)求的來(lái)源，從而得到請(qǐng)求者及請(qǐng)求的內(nèi)容。云安全控制服務(wù)器根據(jù)客戶(hù)端的查詢(xún)請(qǐng)求，通過(guò)云存儲(chǔ)管理模塊到云計(jì)算服務(wù)器中進(jìn)行數(shù)據(jù)的檢索、處理和計(jì)算等相關(guān)處理，然后將處理之后的結(jié)果使用客戶(hù)端的公鑰進(jìn)行加密，之后通過(guò)安全通信模塊將數(shù)據(jù)傳輸給客戶(hù)端。客戶(hù)端得到云安全控制服務(wù)器的反饋數(shù)據(jù)之后，使用客戶(hù)端自身的私鑰對(duì)數(shù)據(jù)進(jìn)行解密，然后就可以對(duì)數(shù)據(jù)進(jìn)行進(jìn)一步的處理，包括統(tǒng)計(jì)分析和展示等。通過(guò)上面的密鑰算法及安全通信協(xié)議，可以實(shí)現(xiàn)云服務(wù)器端的數(shù)據(jù)不會(huì)被非法獲取和使用，保證了監(jiān)測(cè)數(shù)據(jù)的安全使用。2)數(shù)據(jù)采集系統(tǒng)與云安全控制服務(wù)器之間的數(shù)據(jù)傳輸，如圖4所示：數(shù)據(jù)采集系統(tǒng)通過(guò)電務(wù)段CSM系統(tǒng)及3G/LTE監(jiān)測(cè)采集設(shè)備的連接，可以獲取歷史監(jiān)測(cè)數(shù)據(jù)和實(shí)時(shí)監(jiān)測(cè)數(shù)據(jù)。數(shù)據(jù)采集系統(tǒng)持有云安全控制服務(wù)器的公鑰，數(shù)據(jù)采集系統(tǒng)接收到軌道交通的監(jiān)測(cè)數(shù)據(jù)時(shí)，使用云安全控制服務(wù)器的公鑰對(duì)數(shù)據(jù)進(jìn)行加密，然后通過(guò)自身的安全通信模塊將監(jiān)測(cè)數(shù)據(jù)傳輸?shù)皆瓢踩刂品?wù)器。云安全控制服務(wù)器的權(quán)限認(rèn)證模塊對(duì)接收到的監(jiān)測(cè)數(shù)據(jù)使用本身的私鑰進(jìn)行解密，并根據(jù)數(shù)據(jù)采集系統(tǒng)的公鑰可以確定監(jiān)測(cè)數(shù)據(jù)的來(lái)源是否為合法的數(shù)據(jù)采集系統(tǒng)，然后通過(guò)云存儲(chǔ)管理模塊，將得到監(jiān)測(cè)數(shù)據(jù)存儲(chǔ)在云計(jì)算集群中。通過(guò)上述的密鑰算法及數(shù)據(jù)管理流程，可以保證監(jiān)測(cè)數(shù)據(jù)在傳輸中不會(huì)丟失和破解，并且也可以保證云安全存儲(chǔ)系統(tǒng)所存儲(chǔ)的數(shù)據(jù)都是來(lái)自合法的數(shù)據(jù)采集系統(tǒng)。下面進(jìn)一步以車(chē)載ATP(車(chē)載計(jì)算機(jī))信號(hào)為例來(lái)描述上述各個(gè)模塊之間的關(guān)系和數(shù)據(jù)流程：(1)車(chē)載ATP信號(hào)的存儲(chǔ)a)首先是數(shù)據(jù)采集系統(tǒng)定時(shí)的去獲取車(chē)載ATP的監(jiān)測(cè)信號(hào)，當(dāng)車(chē)輛經(jīng)過(guò)有wifi信號(hào)的線(xiàn)路段時(shí)，車(chē)載ATP通過(guò)wifi連接到CSM系統(tǒng)，并將監(jiān)測(cè)信號(hào)傳輸給CSM系統(tǒng)；當(dāng)線(xiàn)路段沒(méi)有wifi信號(hào)時(shí)，則通過(guò)車(chē)輛的3G/LTE設(shè)備將監(jiān)測(cè)信號(hào)傳輸給數(shù)據(jù)采集系統(tǒng)；b)數(shù)據(jù)采集系統(tǒng)的安全通信模塊通過(guò)與云安全控制服務(wù)器安全通信模塊的連接，先與云安全控制服務(wù)器建立安全連接，然后將監(jiān)測(cè)數(shù)據(jù)傳輸給云安全控制服務(wù)器；c)云安全控制服務(wù)器接到來(lái)自數(shù)據(jù)采集系統(tǒng)的連接請(qǐng)求時(shí)，通過(guò)權(quán)限認(rèn)證模塊驗(yàn)證數(shù)據(jù)源的可靠性，然后將接收的監(jiān)測(cè)數(shù)據(jù)通過(guò)云存儲(chǔ)管理模塊將其傳輸?shù)皆朴?jì)算集群中。(2)車(chē)載ATP信號(hào)的處理a)云計(jì)算集群對(duì)監(jiān)測(cè)數(shù)據(jù)建立索引，利用不同的數(shù)據(jù)挖掘算法及監(jiān)測(cè)數(shù)據(jù)進(jìn)行分析挖掘，得到各種規(guī)則知識(shí)和統(tǒng)計(jì)信息，以提供給用戶(hù)查詢(xún)和展示；b)客戶(hù)端登陸時(shí)，首先通過(guò)安全通信模塊與云安全控制服務(wù)器的連接，與云安全控制服務(wù)器建立安全連接；c)云安全控制服務(wù)器接到來(lái)自客戶(hù)端的連接請(qǐng)求時(shí)，通過(guò)權(quán)限認(rèn)證模塊驗(yàn)證客戶(hù)端的身份及權(quán)限，并建立安全連接；d)客戶(hù)端登陸后在業(yè)務(wù)模塊選擇不同的線(xiàn)路、列車(chē)的車(chē)載ATP信號(hào)設(shè)備，及不同的操作類(lèi)型，如監(jiān)測(cè)信號(hào)查詢(xún)、實(shí)時(shí)信號(hào)展示、歷史數(shù)據(jù)統(tǒng)計(jì)、知識(shí)規(guī)則挖掘、關(guān)聯(lián)分析結(jié)果等；業(yè)務(wù)模塊將這些操作封裝為請(qǐng)求，然后通過(guò)本地的安全通信模塊將請(qǐng)求傳輸?shù)皆瓢踩刂品?wù)器；e)云安全控制服務(wù)器的安全通信模塊接收到來(lái)自客戶(hù)端的業(yè)務(wù)請(qǐng)求后，將請(qǐng)求交由應(yīng)用接口模塊進(jìn)行處理，解析請(qǐng)求的類(lèi)型和內(nèi)容，然后轉(zhuǎn)換為云計(jì)算集群可執(zhí)行的查詢(xún)、計(jì)算等操作命令，通過(guò)云存儲(chǔ)管理模塊將命令轉(zhuǎn)發(fā)給云計(jì)算集群；f)云計(jì)算集群執(zhí)行接受到的命令后，將執(zhí)行結(jié)果傳輸給云安全控制服務(wù)器，后者通過(guò)安全通信模塊將結(jié)果傳輸給客戶(hù)端；g)客戶(hù)端接收來(lái)自服務(wù)器端的數(shù)據(jù)后，在客戶(hù)端進(jìn)行展示。以上實(shí)施例僅用以說(shuō)明本發(fā)明的技術(shù)方案而非對(duì)其進(jìn)行限制，本領(lǐng)域的普通技術(shù)人員可以對(duì)本發(fā)明的技術(shù)方案進(jìn)行修改或者等同替換，而不脫離本發(fā)明的精神和范圍，本發(fā)明的保護(hù)范圍應(yīng)以權(quán)利要求所述為準(zhǔn)。