铁路机务运用安全管理系统的设计与实现

铁路机务运用安全管理系统的设计与实现 铁路机务运用安全管理系统的设计与实现 申请上海交通大学工程硕士学位 论文 政研论文下载论文大学下载论文大学下载关于长拳的论文浙大论文封面下载 铁路机务运用安全管理系统的设计与实现 学校代码: 作者姓名: 学 号: 第一导师: 沈备军 第二导师: 学科专业: 软件工程 答辩日期: 年 月 日 上海交通大学软件学院 年 月 铁路机务运用安全管理系统的设计与实现 A Dissertation Submitted to Shanghai Jiao Tong University for Master Degree of Engineering Design and Implementation of Management System of Railroad Locomotive Operation and Safety University Code: Author: Beijun Shen Mentor 1: Mentor 2: Software Engineering Field: Date of Oral Defense: Jan. 16， 2008 School of Software Shanghai Jiaotong University Dec.， 2007 铁路机务运用安全管理系统的设计与实现 上海交通大学 学位论文原创性声明 本人郑重声明:所呈交的学位论文，是本人在导师的指导下，独立进行研究工作所取得的成果。除文中已经注明引用的内容外，本论文不包含任何其他个人或集体已经发表或撰写过的作品成果。对本文的研究做出重要贡献的个人和集体，均已在文中以明确方式标明。本人完全意识到本声明的法律结果由本人承担。 学位论文作者签名: 日期: 年 月 日 铁路机务运用安全管理系统的设计与实现 上海交通大学 学位论文版权使用授权书 本学位论文作者完全了解学校有关保留、使用学位论文的规定，同意学校保留并向国家有关部门或机构送交论文的复印件和电子版，允许论文被查阅和借阅。本人授权上海交通大学可以将本学位论文的全部或部分内容编入有关数据库进行检索，可以采用影印、缩印或扫描等复制手段保存和汇编本学位论文。 年解密后适用本授权书。 保密?，在 本学位论文属于 不保密,。 (请在以上方框内打“?”) 学位论文作者签名: 指导教师签名: 日期: 年 月 日 日期: 年 月 日 铁路机务运用安全管理系统的设计与实现 铁路机务运用安全管理系统的设计与实现 摘 要 铁路机务运用安全管理系统简称“运安系统”，是从现代运输管理的角度构建的全新现代化综合管理系统。随着铁路信息化步伐不断的加快，智能技术在铁路运输中的广泛应用，运安系统对铁路机务管理工作提出了新的要求。本论文在此背景下， 对运输安全管理系统的设计与实现进行了深入的研究。综合考虑C,S模式在信息事务处理方面的实时性、高效性及B,S模式在信息浏览、查询和发布方面的优势，对基于B,S和C,S结构的调度指挥管理信息系统(TDCS)和乘务员管理系统的设计与实现进行了深入的探索。同时结合web services模型和数据库安全方面的技术，保证管理系统的安全运行，使其运安系统发挥最大的功能。 关键词:C/S，B/S，Web Services，Database I 铁路机务运用安全管理系统的设计与实现 Design and Implementation of Management System of Railroad Locomotive Operation and Safety ABSTRACT A system for Railroad Locomotive’s safety management is called “Management System of Railroad Locomotive Operation and Safety”; it is in terms of modern transportation management to build a new modern integrated management system. With constant speed up the pace of railroad’s informatization, the widely use of intelligence technologies in railroad transportation, Management System of Railroad Locomotive Operation and Safety raises new requirements to the work of Locomotive’s management. This paper under this background did the deeply discovery about design and realization of Management System of Railroad Locomotive Operation and Safety. Comprehensive consideration C/S mode in the transaction of information timely and effectively, and the advantage of B/S mode in scan、search and publish of information, this paper did the deeply discovery about the design and realization of Train operation Dispatching Command System (TDCS) and Management System of Engine Driver based on B/S and C/S structure. Simultaneous combination web services model and the technology of databank’s safety, make sure the operation of management system safely, that Management System of Railroad Locomotive Operation and Safety can gives full scope to its greatest functions. Keywords : C/S , B/S , WebServices , Database II 铁路机务运用安全管理系统的设计与实现 目 录 摘 要 ......................................................................................................................... I ABSTRACT ........................................................................................................... II 1 绪 论 .....................................................................................................................1 1.1 研究背景 ...................................................................................................... 1 1.2 研究目的和意义 ........................................................................................... 2 1.3 研究目标和内容 ........................................................................................... 2 2 运用安全管理系统的概述 ....................................................................................4 2.1 运用安全管理系统的概况 ........................................................................... 4 2.1.1 国外发展 .............................................................................................. 4 2.1.2 国内现状 .............................................................................................. 5 2.2 运用安全管理系统的功能 ........................................................................... 5 2.3 信息化运输安全系统技术需求 .................................................................... 7 2.3.1 基于B_S和C_S结构的研究 ............................................................. 8 2.3.2 基于WebServices的系统模型的研究 ................................................. 8 2.3.3 数据库安全及维护 ............................................................................ 10 3 运安系统基于B_S和C_S结构的研究 ............................................................. 11 3.1 B/S和C/S结构的概述 .............................................................................. 11 3.1.1 传统C/S结构 .................................................................................... 11 3.1.2 B/S结构概述 ..................................................................................... 14 3.1.3 C/S和/B/S模式体系结构的对比 ...................................................... 16 3.1.4 C/S与B/S混合模型特点 .................................................................. 17 3.1.5 C/S和B/S的选用原则 ...................................................................... 18 3.2 乘务员管理信息系统中B_S结构的研究.................................................. 19 3.2.1 建立司机管理信息系统的必要性 ..................................................... 19 3.2.2 系统特点及要求 ................................................................................ 19 3.2.3 系统设计目标 .................................................................................... 20 III 铁路机务运用安全管理系统的设计与实现 4 基于B/S和C/S结构的铁路调度指挥管理信息系统的研究 ............................ 22 4.1 铁路调度指挥管理信息系统的概述 ...................................................... 22 4.1.1 铁路运输调度工作简述 ..................................................................... 22 4.1.2 调度所组主要职责范围 ..................................................................... 22 4.1.3 铁路调度管理信息系统的组成和结构 .............................................. 24 4.1.4 TDCS系统(铁路调度指挥管理信息系统) ........................................ 27 4.2 行调台子系统的需求分析 ...................................................................... 30 4.2.1客户需求 ............................................................................................. 31 4.2.2系统需求分析 ..................................................................................... 31 4.2.3与TMIS结合相关需求 ...................................................................... 36 4.3 行调台子系统体系结构分析 .................................................................. 38 4.3.1基于C/S和B/S混合体系结构的TDCS系统 ................................... 38 4.3.2行调台子系统结构分析与设计 .......................................................... 39 4.3.3查询模块结构分析 ............................................................................. 46 4.3.4基于B/S和C/S信息基础上数据的完整性和一致性的分析 ............ 47 5 基于WEBSERVICES系统的研究 ................................................................... 49 5.1 WEB SERVICE的基本协议 ...................................................................... 49 5.1.1 SOAP协议 ....................................................................................... 49 5.1.2 WSDL .............................................................................................. 51 5.1.3 UDDI ................................................................................................ 52 5.2 XML及其在WEB SERVICE中的应用 .................................................... 53 5.2.1 XML的文档结构 ............................................................................ 53 5.2.2 XML的名称空间 ............................................................................ 53 5.2.3 XML在Web Service中的应用 ........................................................ 54 5.3 WEB SERVICE安全性的研究................................................................... 56 5.3.1 Web Service安全性的特点和基本要求 ............................................ 56 5.3.2 SOAP的安全性 ............................................................................... 58 5.3.3 现有安全技术的研究 ....................................................................... 60 6 数据库安全体系的研究 ...................................................................................... 62 IV 铁路机务运用安全管理系统的设计与实现 6.1 数据库安全概述 ......................................................................................... 62 6.1.1 数据库安全定义 ................................................................................ 62 6.1.2 数据库安全的重要性与必要性 ......................................................... 62 6.1.3 数据库安全的常用技术 ..................................................................... 63 6.2 数据库安全分析 ......................................................................................... 64 6.2.1网络环境下据库安全性需求分析 ...................................................... 64 6.2.2数据库安全的实现途径 ...................................................................... 65 6.3 数据库安全技术研究 ................................................................................. 66 6.3.1标志和鉴别 ......................................................................................... 66 6.3.2访问控制 ............................................................................................. 66 6.3.3信息流控制 ......................................................................................... 68 6.3.4审计 .................................................................................................... 69 6.3.5加密 .................................................................................................... 69 7 总结与展望 ......................................................................................................... 71 7.1 本文工作小结 ............................................................................................. 71 7.2 展望 ............................................................................................................ 71 参考文献 ................................................................................................................. 72 攻读学位期间发表的学术论文 .............................................................................. 75 V 铁路机务运用安全管理系统的设计与实现 1 绪 论 1.1 研究背景 铁路作为国家的重要基础设施、大众化交通工具，在全面建设小康社会中肩负着提供运力支持、当好先行的重要历史使命，铁路信息化建设无疑是实现这一宏伟目标 [1]的技术职称和保障，加快铁路系统的信息化建设步伐显得尤为迫切。 铁路运输业是一个高度集中统一指挥管理的国民经济生产部门，其特点是点多、线长、面广、分散。长期以来，我国的铁路行车指挥工作一直处予手工作业方式，指挥行车的工具就靠一支笔、一把尺、一张图和一电话，获得的信息量少、实时性差、可靠度低，编制的运输计划兑现率低、计划赶不上变化是普遍现象。这种传统的调度指挥方式，已不适应铁路提速和技术发展的需要，严重制约了铁路运能和效率的提高，并成为铁路信息化建设的瓶颈。随着通信程控交换技术、光纤技术、计算机技术、数据库技术、网络技术、数字通信技术等迅速发展，铁路运输生产组织指挥管理工作有 [2]了现代化的管理手段，这些迅速发展的新技术促进了铁路的技术革命。 为适应国民经济快速发展的需要，铁道部提出了实现新时期新阶段铁路跨越式发展的战略任务。铁道部研究制定并正式颁布了“铁路信息化总体规划”，提出了建设具有中国特色、世界一流的铁路智能运输信息系统的总体目标、体系结构、发展战略与实施策略。铁路信息化建设将在铁路跨越式发展的总体战略指导下，适应铁路高速化、重载化、密集化的发展趋势，铁路调度指挥信息管理系统在这方面起着极其重要的作用。 铁路运输安全管理系统，是一个覆盖全路的运输信息采集、传输、处理系统。它综会了通信、信号、计算程及忘了、运输组织等多门学科，是一个庞大的系统工程，源于运输的需要，是为行车调度指挥服务的，所以必须依靠运输生产的需求而发展。因此，铁路运输安全管理系统建设必须充分考虑行车调度的需求，与行车调度指挥和乘务员出勤紧密结合，必须符合我国铁路运输的特点，尤其要适应运输繁忙、行车密度大、客货运混跑以及提速后列车运行特点的需要。另一方面，铁路调度指挥管理系统的建立能够极大的改善调度人员的工作条件和环境，而且为使用人员和有关领导提供列车运行的大量信息和决策依据，对提高行车指挥的技术水平以及管理水平，实现 [3]调度指挥工作的现代化、铁路信息化建设有着重要的意义。 1 铁路机务运用安全管理系统的设计与实现 因此运用国内外先进技术，以大运输的历年构建新型的、智能化及现代化的运输安全管理系统，使铁路运输组织进一步适应国民经济快速发展的需要，已成为铁路运输管理的迫切需要。 1.2 研究目的和意义 目前，哈尔滨机务段本部使用的“机务段运用安全管理系统”是一段单点的管理系统，系统仅按传统的手工作业模式开发，功能单一，过程烦琐复杂，之间相互割裂，人员重复作业，自动化、智能化程度低。随着机务生产布局调整，接管外点的增多，点多线广，加大了管理的跨度及难度，运用安全管理系统的重新构架和设计已经迫在眉睫。哈尔滨机务段合段前原各系统都是以本段为主的单机版软件，致使哈尔滨机务段无法实现机车运用安全的有效统一管理。 因此，我们必须充分依靠信息化手段整合生产资源，共享路局“TDCS”信息、乘务员出退勤系统以及监控等相关部门信息，实现外点联网控制，使系统不再仅限于本段管理，通过网络技术，对段本部及各外点机车调度、人员派班等行车组织的每一个作业环节形成闭环管理，有效对全段人、车进行实时监控、跟踪，实现机车运用安全自上而下的垂直式管理，为机务行车安全生产提供技术保障。 1.3 研究目标和内容 本课 题 快递公司问题件快递公司问题件货款处理关于圆的周长面积重点题型关于解方程组的题及答案关于南海问题 的研究目标，本课题的研究目标:在充分考察和研究乘务员作业卡控点和安全作业规律的基础上，采用系统融合的方法，综合各种因素之间的制约作用，采用先进的信息技术手段，设计和实现一个铁路机务运用安全管理系统，从而达到在遵循安全规律的基础上全面控制的目的，提高乘务员作业安全管理水平。 本课题的研究内容包括: 1)、分析现状，调研系统的需求 现在哈尔滨机务段本部所使用的“运用安全管理系统”是一段单点的管理系统，大部分重要工作都需要手工作业的方式来完成。单一的功能和复杂而烦琐的过程，导致各部门无法实时联系与紧密沟通，生产效率过低等问题。随着机务生产布局调整，接管外点的增多，分布广，距离远，增加了管理的跨度及难度。因此，当前运用安全管理系统的局限性充分地体现出来了。而前期工作主要是对哈尔滨机务段的运安管理系统进行分析调研，搜集计划、派班、出退勤、候班，动态管理，行车组织，机车辅助操纵等人员的反馈信息及需求，整合全段的运用管理机制，为管理系统的设计与实现提供基础。 2 铁路机务运用安全管理系统的设计与实现 2)、设计系统架构的总体，划分子系统及模块 总体设计主要是在系统需求分析的基础上，确定系统的C/S或B/S架构，对整个系统的划分、设备的配置、数据的存贮方式以及整个系统实现规划等方面进行合理的安排。 C/S和B/S是当今世界开发模式技术架构的两大主流技术。本课题将针对各部门的工作性质、工作特点和工作需求，选择合适的C/B/S的架构，并克服其架构中的弱项。 系统的逻辑设计的任务是划分子系统，然后确定子系统的模块结构。在设计中必须考虑以的几个问题:如何将一个系统划分成多个子系统;每个子系统如何划分成多个模块;如何确定子系统之间、模块之间传送的数据及其调用关系;如何评价并改进模块结构的质量。 3)、详细设计模块内部结构并实现系统 详细设计主要有处理过程设计以确定每个模块内部的详细执行过程，包括局部数据组织、控制流、每一步的具体加工要求等，一般来说，处理过程模块详细设计的难度已不太大，关键是用一种合适的方式来描述每个模块的执行过程，常用的有流程图、问题分析图和过程设计语言等;除了处理过程设计，还有代码设计、界面设计、数据库设计、输入输出设计等。 4)、测试系统，在单一部门进行试运行，根据测试结果和试运行结果进行改进 此部分对已完成的运安管理系统进行测试，然后在段内进行试点运行。在测试过程和试运行过程中，对所出现的问题进行及时的修正，并在工作人员的反馈下对系统进行改进。 3 铁路机务运用安全管理系统的设计与实现 2 运用安全管理系统的概述 随着nIterne/tIntrnaet和Wbe技术的日益成熟，目前企业纷纷信息化手段现信息通讯、企业管理和电子商务。作为关系国家经济命脉的铁路系统，为了实现跨越式发展的目标也加快了信息化管理的步伐。 中国铁路自上个世纪九十年代后步入了一个高速增长期，高科技在铁路各行业部门得到了广泛应用，使铁路正从一个传统行业向现代化企业过渡。一九九二年哈局在原南岔机务段研制开发了“机车运用安全微机管理系统” ，并于两年后通过了哈尔滨铁路局的局级鉴定。在铁道部运输局的大力支持下，近年来该系统经过不断开发和继续完善，已在哈局全部机务段推广应用。2002年铁道部发布了新的《机务行车安全管理规则》，按照新的《机务行车安全管理规则》的规定和要求，哈尔滨机务段投入大量的人力和物力，在原有运用安全管理信息系统的基础上，与北京金京铭科技公司合作，对系统进行了全面改造和重新开发。目前，系统的全面开发工作已经完成，进入全面试运行阶段。新的运用安全管理信息系统包括机车调度室自动化系统、监控安全分析系统和运用干部管理系统三个部分，基本实现了机务段运用安全微机自动化管理。运用安全管理信息系统经过多年的研究开发，已经有了深厚经验积累和技术积淀，为系统的进一步开发打下了坚实的基础。今后，我们的目标是实现运用安全管理信息系统的全路联网，建立异地车间、本段、路局之间的广域网络，最终并入全路 TMIS 网 [4]络。 2.1 运用安全管理系统的概况 2.1.1 国外发展 在国外发达地区所采用列车运行控制系统，能使各部门联系紧密，信息传输快，高自动化，智能化，运输效率高，同时采用模块化结构，便于系统的维护和管理。欧洲是世界上铁路最发达的地区之一。在较大范围内开发并应用新型计算机辅助铁路运输管理系统;使用European Train Control System取代陈旧技术，自动化系统得到广泛应用;为了欧洲铁路信号系统的互联和兼容问题，制定了统一的、开放性信号系统标 [5] 准，达到了安全、高效、科学的运行模式。 以计算机为基础的运用安全管理系统产生于上世纪五十年代，发展与六十年代，特别是六十年代中期，美国南太平洋铁路公司研制建立了综合运营管理信息系统 4 铁路机务运用安全管理系统的设计与实现 TOPS(Total Operations Processing Systerm)获得了极大成功，成为铁路运输管理应用计算机的一个里程碑。随后北美铁路和美国铁路等十余个公司纷纷对TOPS进行了技术改造，建立了自己的运用安全管理系统，西欧许多国家和日本等技术比较先进的国家也随之建立了类似的管理系统。 世界上发展较快，效果最好的运用安全管理系统有:日本新干线的COMTRAC系统。他是1972年投入使用的。 东日本铁路公司开发了一种心的综合系统，在其管辖区域内对新干线忘了进行运营控制和管理。该系统名为:COSMOS，于1996年11月投入使用。与先前的系统相比，它具有下列优点:能适应新干线网络扩展的要求;改善了调度功能;管理系统化; [6]客运服务质量提高。 之后系统内容不断扩大，功能日益强大。为日本新干线列车的管理组织运输做出了重要贡献，是委屈位置比较成功的运用安全管理系统。 2.1.2 国内现状 在国内，随着机务生产布局调整，以及跨局继乘机车数量的不断增加，对机车运行的安全性和可靠性有了更高的要求，需要一段多点制的调度集中。机务段原使用的运用安全管理系统必须在功能上有所扩展，形式上有所整合，管理上有所卡控。现在的机车乘务员作业管理(计划、派班、出退勤、候班，人员动态管理，行车组织，机车辅助操纵)都是单系统且不具有关联性和相互制约的作用，人为因素比较多，效率低，在管理上存在漏洞，不适应安全、高效的铁路发展需要。、 几年来，我们过铁路按照铁道部的总体部署，已把管理信息系统的建设和应用作为加强运输生产组织、指挥、管理、促进市场营销、推进铁路现代化的重要内容。1996年，铁道部决定建设运输调度指挥管理系统(简称DMIS系统)。该系统采用铁路信号、计算机、通信等技术，通过铁路专用的数据通道，将铁道部调度中心，各个铁路局调度中心、所以分居调度中心及覆盖全路的所以车站的DMIS设备连接成一个实时、可靠、安全的DMIS网络系统。后改名为TDCS系统。以TDCS为平台，组建分散自律、智能化、高安全、高可靠的新一代调度集中系统(简称CTC系统)，是实现铁路提速、高速以及减员增效的跨越式发展的根本保证。 2.2 运用安全管理系统的功能 运用安全系统是实现机务段运用车间微机自动化管理的应用软件系统。运用安全管理信息系统包括三个部分:机车调度室自动化系统、乘务员出退勤系统和服务器系 5 铁路机务运用安全管理系统的设计与实现 统 自动化系统包括机车周转图系统、机车计划管理、人员计划管理、人员管理、考勤管理、出退勤管理、换乘点(外段)出退勤管理、乘务员待班管理、运行揭示管理、电话查询、触摸屏查询、大屏幕显示等管理功能，系统实现了机车周转图、电子名牌、自动派班、换乘点(外段)出退勤远程管理等关键技术。 1、机车周转图:编制基本图、计划图、实际图;自动接受机调图;由机车周转图生成机统1、机统27; 2、机车计划与人员计划:编制机车计划，或由机车周转图生成机车计划;自动接受机调机车计划;编制人员计划(自动派班生成人员计划);自动生成出勤计划、待班计划;编制机车检修计划; 3、人员管理: ?电子名牌管理:自动倒牌、手工倒牌、记录出退勤信息、特征标识、人员查询、人员交换、机班交换、人员请销假、名牌备份、名牌发布; ?考勤管理:人员考勤台帐、人员考勤查询与汇总; 4、待班管理 ?待乘台帐:由人员计划自动生成待乘计划;记录出入寓信息，待乘台帐查询; ?乘务员出入寓卡控:IC卡出入寓、自动记录出入寓正晚点、自动提醒叫班、保休时间不足报醒; ?干部查房管理:干部查房登记(IC卡)、干部查房情况记录; ?无计划人员待班;待班楼房间管理; 5、出勤管理: ?出勤台帐:由人员计划自动生成出勤计划;记录出勤信息，出勤台帐查询; 6 铁路机务运用安全管理系统的设计与实现 ?乘务员出勤卡控:IC卡出勤、记录出勤时间、自动记录出勤正晚点、自动提醒叫班、出勤预警、保休不足报警、连续三个夜班报警; ?运行揭示:运行揭示出勤核对、交付乘务员的运行揭示打印; ?明示图:交付乘务员的明示图打印; 6、退勤管理: ?退勤台帐:自动生成退勤台帐、记录退勤信息;退勤台帐查询; ?乘务员退勤卡控:退勤IC卡控制、记录退勤时间、退勤名牌自动倒牌; 7、换乘点(外段)远程工作站: ?接收计划:从本段接收指定的计划，准备出勤; ?出勤登记:IC卡出勤，或手工输入出勤信息; ?退勤登记:IC卡退勤，或手工输入退勤信息; ?更新数据置本段服务器:将出勤退勤信息发送回本段服务器; 8、大屏幕控制:机车、人员计划发布到大屏幕显示，或显示用户自定义的内容。 9、电话查询:乘务员通过电话查询计划及名牌位置; 10、触摸屏查询:查询个人信息、操纵评分、运行揭示、规章制度、检修计划等; 11、运行揭示:运行揭示编辑及打印;运行揭示自动出示和撤除; 12、明示图:明示图绘图及打印; 13、运用报表:乘务员百安赛、个人走行公里、出勤计划、待班计划、学习名单、出勤登记薄、退勤登记薄、待乘登记薄、交班表、考勤表等; 14、操作记录:电话查询记录;退勤检索记录;值班员操作记录(记录值班员所有有关计划、名牌等操作，用于备查); 15、系统名称设置:人员交路设置、计划名称设置、运行揭示线路设置、机车周转图线路、区段设置、车种、车型设置、机车状态设置等; 16、系统安全: ?工作站设置:规定各工作站功能分布，确保系统运行稳定安全; ?用户权限设置:对各级用户规定读写权限，使系统各种操作可控，保证系统数据安全。 2.3 信息化运输安全系统技术需求 铁路机务运安系统在研究与设计的同时，需要多方面的计算机的技术来支持。包含多种网络和数据安全技术。 7 铁路机务运用安全管理系统的设计与实现 2.3.1 基于B_S和C_S结构的研究 在系统架构的研究中，主要运用到了C/S和B/S两种结构。然而这两种结构都具有各自的特点，优势与劣势。因此在系统架构的研究中，整体架构的设计，子系统与C/S、B/S架构之间的选择都对系统的优劣起着至关重要的作用。因此，如何设计统架构，如何科学的使用C/S、B/S及突破其架构的限制和劣势等难点，就成为了主要的研 [7]究对象。 C/S架构的劣势在于维护成本和投资大。在整个运输安全系统中，必须建立实时的数据同步，这就要在两地间建立实时的通讯连接，保持两地的数据库服务器在线运行，网络管理人员既要对服务器维护管理，又要对客户端维护和管理，这需要大量的时间和复杂的技术支持，维护成本很高，维护任务量大。同时C/S结构的软件还需要针对不同的操作系统系统开发不同版本的软件，并且在以后的软件更新升级工作中，也存在着诸多的不便。 B/S应用服务器运行数据负荷较重。由于B/S架构管理软件只安装在服务器端(Server)上，网络管理人员只需要管理服务器就行了，用户界面主要事务逻辑在服务器(Server)端完全通过WWW浏览器实现，极少部分事务逻辑在前端(Browser)实现，所有的客户端只有浏览器，网络管理人员只需要做硬件维护。但是，应用服务器运行数据负荷较重，一旦发生服务器“崩溃”等问题，后果不堪设想。因此，B/S架构中存在着较大的安全隐患。 2.3.2 基于WebServices的系统模型的研究 WebService 作为一项新的技术出现在我们面前，它的出世是用于解决在不同的平台下的应用的协同的。WebService的应用非常广泛，然而如果缺乏对WebService更深的了解，不能很好的在设计阶段处理好一些重要的问题，那么最终完成的系统必然是 [8]效率低下，没有可靠性的产品。 WebService 主要由以下几块技术所构成，SOAP (Simple Object Access Protocol)， WSDL (Web service Description Language)， 以及UDDI (Universal Description， Discovery and Integration)。这些技术对设计WebService起着关键的作用，在设计WebService 应用时，以下几点务必要考虑到: a。管理好与外系统的协同关系 b。掌握底层的传输模型 c。提供与应用相适应的安全策略 d。计划好部署的相关事项 设计WebService中常用的模式有很多，而在运安系统中所应用的哪种模式也成了 8 铁路机务运用安全管理系统的设计与实现 本部分中最重要的部分。 DOM vs。 SAX 许多的WebService开发环境，将开发者从底层的XML文档的解析和处理中解放出来，他们提供了自动化或者很方便的工具，使得这一过程变得很简单。但是对于一些有特殊要求的WebService应用，比如需要更好的柔性或者对速度要求特别高的应用，就需要手工处理XML文档。这时候两种XML解析的模型,DOM 和SAX的选择，将成为重要的问题。DOM先将XML文档映射成一颗树，然后通过采用一系列与树相关的操作去处理这份文档。这种方法有很多的好处，首先开发者很容易理解，使用一颗树这对于开发者来说是最常见不过的了。DOM最常用于XML在Service中需要频繁修改的场合。当然DOM也有它的缺点，在处理XML文档的时候，它需要载入整个文档，而不管你需要修改的是否只是其中的一小部分。因此它的运行效率以及对内存的使用显然是不能接受的，尤其是面对很大的XML文档。 SAX使用事件驱动的模型来处理XML文档。通过一系列事件的触发，来完成对XML的解析，你可以只关心你所要处理的事件，当这些事件发生时，会调用到相应的回调函数来通知到你。采用这种方式就可以在很大程度上提高XML文档解析的效率。但是它的缺点在于难于使用，以及对同一文档的多次处理会存在一些问题。 总而言之，DOM更适合处理那种文档型的XML文件，而SAX则适于那种想直接将XML结构映射成在你系统中的一个对象的操作。 文档交换vs。 RPC模型 这两种交互方式应该在应用架构的设计初始就应该详加考虑，因为它将在很大程度上决定系统的耦合程度。 而文档交换方式，与RPC相比较在XML文件中不是做远程方法的映射，而是一份完整的自包含的业务文档，当Service端收到这份文档后，先进行预处理(比如词汇的翻译和映射)，然后再构造出返回消息。这个构造返回消息的过程中，往往不再是简简单单的一个方法调用，而是多个对象协同完成一个事务的处理，再将结果返回。 RPC(Remote Procedure Call)本质上就是远程方法的调用。尽管WebService是基于XML的但是你仍然可以使用远程方法调用这种模式来进行WebService的实现，尤其是在那种简单的请求相应的模型中。在这个过程中，传输中的XML文件所描述的更多是有关远程方法的信息，比如方法名，方法参数等等。 WebService的设计及模式中所应用的模型，对系统的各方面性能影响都非常大，在整个系统中起着极其重要的作用，因此在WebService中，对其设计模式所采用的模型成为了本部分研究的重点。 9 铁路机务运用安全管理系统的设计与实现 2.3.3 数据库安全及维护 随着数据库的广泛应用，越来越多的企业都将数据(如个人资料、专利和工程数据等)保存在数据库中，若存储这些至关重要数据的数据库安全性无法保证，造成的后果将不堪设想。然而数据库没有像操作系统和网络在安伞性上受到重视，并且数据库安全性正受到非法用户侵入、病毒、推理和聚集攻击等多方面的威胁，这就使数据库的 [9]安全问题更加严峻。因此，有效地保证数据库的安全已成为数据库研究领域重要课题之一。本部分针对目前数据库面临的安全威胁，重点介绍了保证数据库安全所采用的措施，并设计出了一种安全数据库体系结构，展望了未来的研究方向。由此可见，对于网上支付平台的规划上，不仅需要考虑到安全性，也需要考虑对交易各方的便捷性。只有在安全与便捷之间取得平衡，才能保证平台的可实施性和可推广性。 数据库安全通常通过存取管理、安全管理和数据库加密来实现。存取管理就是一套防止未授权用户使用和访问数据库的方法、机制和过程，通过正在运行的程序来控制数据的存取和防止非授权用户对共享数据库的访问。安全管理指采取何种安全管理机制实现数据库管理权限分配，一般分集中控制和分散控制两种方式。数据库加密主要包括:库内加密(以一条记录或记录的一个属性值作为文件进行加密)、库外加密(整个数据库包括数据库结构和内容作为文件进行加密) 硬件加密等 3 大方面。 虽然数据库安全模型和安全体系结构以及数据库安全机制对于数据库安全来说也非常重要，但是对其的研究和应用进展缓慢。迄今为止，在数据库安全模型上已做了很多工作，但仍然有许多难题;安全体系结构方面的研究工作还刚刚开始;安全机制 90 年代以来，数据库安全的主要工作围绕着关系数上仍保持着传统的机制。20 世纪 据库系统的存取管理技术的研究展开。 10 铁路机务运用安全管理系统的设计与实现 3 运安系统基于B_S和C_S结构的研究 随着计算机的应用从数值计算发展到数据库，数据管理模式成为数据库开发必须解决的一个问题。数据库最初的运行结构是在一台主机上运行的。它的基本思想就是在计算机上建立一个或多个应用程序，然后对本机上的文件系统进行操作。随着计算机网络的发展，特别是Intranet/Extranet/Internet网络平台的日益建立，这种传统的数据库应用就显得力不从心了。与之相适应的终端/服务器(T/S)、客户/服务器(C/S)、浏 [10]器(B/S)模式等先后被采用。终端/服务器(T/S)模式的前端采用哑终端，后览器/服务 端采用小型机或大型机作为主服务器，它是以主机为中心的计算环境，数据管理、事务处理高度集中，起始成本高，系统维护升级只涉及主机，管理成本低，但用户端缺乏个人定置，无任何处理功能。只适用于规模集中式应用，存在执行效率及容量不足等问题。所以现在一般较少使用，下面我们主要来介绍C/S和B/S两种模式。。 3.1 B/S和C/S结构的概述 3.1.1 传统C/S结构 传统C/S模式，被称为两层客户机/服务器模式 (Client/Server模式)，也被称为胖客户结构，其分布结构如图2-1。用户通过应用程序向客户机提出数据请求，客户机通过网络将用户的数据请求提交给服务器，服务器的数据库管理系统接收数据处理任务，然后把经过处理后的用户需要的那部分数据传输到客户机上，由客户机完成对其所需数据的处理。客户机服务器系统比文件服务器系统提供更高的性能，因为客户机和服务器将应用的处理要求分开，同时又共同实现其处理要求(即“分布式应用处理”)。服务器为多个客户机管理数据，而客户机发送请求和分析从服务器接收的数据。在一个客户机服务器应用中，客户端应用程序是针对一个小的、特定的数据集，如一个表的行来进行操作的，而不是像文件服务器那样针对整个文件进行，客户端应用程序是对某一条记录进行封锁，而不是对整个文件进行封锁，因此保证了系统的并发性，并使网络上传输的数据量减到最少，从而改善了系统的性能。 11 铁路机务运用安全管理系统的设计与实现 图3-1 C/S结构 客户机/服务器模型具有以下的优点: (1)专用性和交互性强，能处理大量的实时数据流; (2)采用安全性好的局域网络协议，如NetBELll协议，存取数据安全; (3)网络通讯量低，处理速度快; (4)可将客户机的业务逻辑与外观表示层分开，实现三层C/S结构。 但这种结构显示逻辑和业务处理逻辑部分均被放在客户端，使客户端承受着双重任务，负担很重，成为胖客户机，而服务器端的任务较轻，成为瘦服务器。该结构的程序是针对性开发，变更不够灵活，维护和管理的难度较大。通常只局限于小型局域网，不利一于扩展。并且，由于该结构的每台客户机都需要安装相应的客户端程序，分布功能弱且兼容性差，不能实现快速部署安装和配置，因此缺少通用性，具有较大的局限性。要求具有一定专业水准的技术人员去完成。因此，这种结构一般用于小规模的、用户较少、数据库单一且有安全性和快速性保障的局域网环境。在此体系结构中，虽然可以方便、统一地对数据进行管理，但仍有规模受限、数据安全方面存在不足、开发成本高和客户端应用程序部署繁琐等等问题。 C/S模式是一种两层或三层结构的系统。在两层模式中(如图3-1)，一端为客户端，另一端为服务器。数据存放在服务器上，客户端界面作为程序的另一部分存在于客户桌面计算机上。客户端的主要任务是向服务器发送请求，并接受结果;而服务器的主要任务是接受请求，完成计算，并把结果反馈给客户端。在二层结构中，桌面客户机应用程序对在局域网上的数据库服务器提出数据请求。这种结构适用于决策支持应用 12 铁路机务运用安全管理系统的设计与实现 程序。在决策支持应用程序中，由客户机向数据库服务发出单个查询请求可以得到大量的数据用于桌面客户机随后的分析、处理和展示。这种结构也适用于局部化低事务 LTP，二层结构只适用于客户端少于100个、1个数据源、基于局域网处理应给率的O 的系统。这是一种“肥客户机(Fat Client)”、“瘦服务器(Thin Server)”的网络计算模式。其工作过程如图3-2: 图3-2 两层C/S模式处理流程 在三层C/S结构中，如图2所示，引入了中间层，这个中间层既作为一个浏览服务器，又作为一个应用服务器。在这个中间服务器中，可以将整个应用逻辑驻留其上，而只有表示层存在于客户机上。这种结构被称之为“瘦客户机”。这种结构中，无论是应用的HTML页还是Java Applet都是运行时刻动态下载的，只需随机地增加中间层的服务(应用服务器)，即可满足扩充系统的需要。三层C/S模式的数据流程如图3-3所示。 三层结构是将应用功能分成表示层、功能层和数据层三部分。其解决 方案 气瓶 现场处置方案 .pdf气瓶 现场处置方案 .doc见习基地管理方案.doc关于群访事件的化解方案建筑工地扬尘治理专项方案下载 是:对这三层进行明确分割，并在逻辑上使其独立。原来的数据层作为DBMS已经独立出来， 13 铁路机务运用安全管理系统的设计与实现 所以关键是要将表示层和功能层分离成各自独立的程序，并且还要使这两层间的接口简洁明了。一般情况下只将表示层放置在客户机上。在三层C/S中，表示层是应用的用户接口部分，它担负着用户与应用间的对话功能。它用于检查用户从键盘等输入的数据，显示应用输出的数据。功能层相当于应用的本体，它是将具体的业务处理逻辑地编入程序中。表示层和功能层之间的数据交往要尽可能简洁。数据层就是DBMS，负责管理对数据库数据的读写。 在三层结构中，中间件是最重要的部件。它是一个用API定义的软件层，是具有强大通信能力和良好可扩展性的分布式软件管理框架。它的功能是在客户机和服务器或服务器和服务器之间传送数据，实现客户机群和服务器群之间的通信。 图3-2 三层C/S模式的处理流程 3.1.2 B/S结构概述 B/S模式是一种以}Veb技术为基础的新型MIS平台模式。它把传统C/S模式中的服务器部分分解为一个数据服务器与一个Web服务器，从而构成一个三层结构的体 14 铁路机务运用安全管理系统的设计与实现 系。第一层:通用的浏览器软件，用户通过网页与第二层的web服务器交互。第二层:Web服务器，它将来自用户的请求转换成SQL数据查询语一言并以此与第三层数据库服务 [11]器交互，并将结果动态生成一串HTML代码返回给客户机浏览器。第三层:数据库服务器，其任务类似于C/S模式，处理SQL请求并返回结果。其分布结构如图3-3。 图3-3 B/S结构 在B/S体系结构系统中，用户通过浏览器向分布在网络上的许多服务器发出请求，服务器对浏览器的请求进行处理，将用户所需信息返回到浏览器。而其余如数据请求、加工、结果返回以及动态网页生成、对数据库的访问和应用程序的执行等工作全部由 WebServer完成。随着Windows将浏览器技术植入操作系统内部，这种结构已成为当今应用软件的首选体系结构。显然B/S结构应用程序相对于传统的C/S结构应用程序是一个非常大的进步。B/S结构的主要特点是分布性强、维护方便、开发简单且共享性强、总体拥有成本低。但数据安全性问题、对服务器要求过高、数据传输速度慢、软件的个性化特点明显降低，这些缺点是有目共睹的，难以实现传统模式下的特殊功能要求。例如通过浏览器进行大量的数据输入或进行报表的应答、专用性打印输出都比较困难和不便。此外，实现复杂的应用构造有较大的困难。虽然可以用Ajax、。Net等技术开发较为复杂的应用，但是相对于发展已非常成熟C/S的一系列应用工具来说， [12]这些技术的开发复杂，并没有完全成熟的技术工具供使用。 15 铁路机务运用安全管理系统的设计与实现 3.1.3 C/S和/B/S模式体系结构的对比 (1)硬件环境不同。C/S一般建立在专用的网络上，小范围里的网络环境，局域网之间再通过专门服务器提供连接和数据交换服务。而B/S是建立在广域网之上，不必用专门的网络硬件环境。有比C/S更强的适应范围，一般只要有操作系统和浏览器就行。 (2)系统的开放性不同。C/S对操作系统依赖性强，不同的操作系统之间数据交流困难。而B/S模式可跨平台支持，可移植性，用与操作系统和网络协议无关的方式存数据。 (3)使用方便性不同。C/S用户的界面是由客户端软件所决定的，其使用的方法和界面各不相同。而B/S用户的界面都统一在浏览器上，浏览器易于使用、界面友好，用户只需学会使用WWW浏览器，即可进行各类信息资料的检索和翻阅，特别适合非计算机人员使用。 (4)开发和维护成本不同。C/S的应用必须开发出专用的客户端软件，无论是安装、配置还是升级都需要在所有的客户机上实施，极大浪费了人力和物力。而B/S的所有功能都在Web服务器上实现，不需在客户端进行任何改变，故而可降低开发和维护成本。 (5)安全性不同。C/S模式一般面向相对固定的用户群，对信息安全的控制能力强。而B/S不能直接存取数据库中的数据，增强了数据的安全性，但由于当前系统软件安全性技术较差，再加上用户多，从而降低了应用程序的安全性。 (6)交互性不同。C/S模式在客户端有一套完整应用程序，可以设计复杂的用户界面，并在出错提示、在线帮助等方面功能强大，从而较之B/S模式交互性更强。 (7)对程序架构不同。C/S程序可以更加注重流程，可以对权限多层次校验，对系统运行速度可以较少考虑。而B/S对安全以及访问速度的多重的考虑，建立在需要更加优化的基础上。 (8)系统灵活性不同。C/S系统中的模块有一部分需改变就要关联到其它模块的变动，使其系统极难升级。而B/S系统三部分模块各自相对独立，其中一部分模块改变时，其它模块不受影响，应用的增加、删除等操作不影响用户个数和执行环境，系统改进变得非常容易，且可以用不同厂家的产品来组成性能更好的系统。 (9)网络通信量不同[。C/S网络只包括Client和Server之间的通信量，网络通信量大。而B/S采用逻辑上的三层结构，而在物理上的网络结构仍然是原来的以太网或环形网，这样第一层与第二层结构之间的通信、第二层与第三层结构之间的通信都需占 16 铁路机务运用安全管理系统的设计与实现 用同一条网络线路，所以网络通信量低。 (10)信息共享度不同。 C/S系统使用专用的客户端软件，其数据格式为专用格式文件。而B/S系统使用的是HTML，HTML是数据格式的一个开放标准，目前大多数流行的软件均支持HTML，同时MIME技术使得Browser可访问多种格式文件。 C/S与B/S混合模型特点 3.1.4 C/S模式体系结构具有较强的事务处理能力，适合企事业内部信息的快速处理;该模型比较适用于组织结构简单、封闭式操作较多、与外部信息流交互较少、同时管理者对系统功能需求不高的中小型企业。因我国仍存在众多这种类型的中小企业，传统C/S信息系统结构仍占很大市场。随着信息化不断发展的进程，即使是中小企业也要随时访问外界信息或与外部交流，闭门造车终究会被淘汰，B/S模式的信息系统能有效地解决这种问题，它将企业从信息孤岛中解放出来，它使企业信息系统更具有开放性、扩展性和简易性。因其自身的不足，目前B/S模式也不能完全替代传统C/S结构，如前面所述，大都数企业仍脱离不了以前的工作方式。 从上述中可以看出，两种单一模式都有各自的应用范围，传统的C/S体系结构并非一无是处，而新兴的B/S体系结构也并非十全十美。但采用以上任何一种单一模式都不能完全满足企业整个信息系统需求，未能全面考虑企业信息化的整体规划与整体解决，在信息系统集成的深度与广度上都存在一定的问题。需求方在构建其中一个子系统后还要花很大的精力投入到另一个功能子系统的设计开发，各子系统的协同工作能力明显不足。在此矛盾与背景下，一种全新的替代解决方案已被业者提出，基于C/S与B/S混合软件体系结构就是较为理性的选择，它能从企业战略层的角度出发，解决上述的问题。它可以利用前述两种单一体系结构的优点而舍去其缺点，满足企业真正所需，使企业信息水平最优化。其分布结构如图3-4: 17 铁路机务运用安全管理系统的设计与实现 图3-4 混合模式结构图 基于C/S与B/S混合模式的优点在于，第一:传输率高。由于内部实现了客户机和服务器直接通信，无需通过网络服务器，减少了对传输量的瓶颈约束，增加了数据传输量。第二:增强信息系统健壮性与可扩展性。一方面以查询、浏览、地理位置分散、功能要求不高的服务为主体的子系统采用B/S模式;另一方面对于内部事务处理、复杂服务提供、多维统计报表或图表、决策支持等功能采用C/S模式，应用不同的业务采取不同的模式。第三:有利于企业各信息子系统的高度集成，它能将企业不同运行环境下的软件产品(如E即、CAD、PDM)整合为一，集中数据管理，信息共享，协同交互。第四:降低信息系统的开发维护成本。针对不同的功能采用不同的模式，节约开发成本，更有利于更新维护。 3.1.5 C/S和B/S的选用原则 在安全性要求高、交互性强、处理数据量大、数据查询灵活的地点固定的小范围内使用C/S模式;在安全性和交互性不高，地点灵活的广域范围内使用B/S模式。这样能充分发挥各自的长处，开发出安全可靠、灵活方便、效率高的软件系统。 18 铁路机务运用安全管理系统的设计与实现 3.2 乘务员管理信息系统中B_S结构的研究 3.2.1 建立司机管理信息系统的必要性 人事管理是企业内部很重要的一个管理事项，但传统的手工操作为信息的管理者带来诸多不便。特别是员工数量及记录的事项不断增多，手工操作很难满足及时记录、随时查询等需要，而运用一般编程语言进行信息管理系统的开发，由于开发工具本身的限制，对网络功能的支持程度不是很强，为以后软件升级到互联网带来了麻烦。因此有必要开发一个基于网络的管理系统，能在网络环境下实现数据的录入、插入、删除、查询、统计、更新、制表等功能。 2010年底，通过到机务段的实地走访调查，发现目前这些部门仍然采用传统的人工方式对司机进行管理，信息的收集、处理和传递都由专人负责，这使得管理部门不仅要组织庞大的人力来记录数据，还要花费大量的时间和精力同各种人工报表打交道。这些部门的工作繁杂，比如需要定期通过人工报表的方式进行数据的手工汇总或计算机单机汇总，然后逐级人工上报，这样做使采集到的信息很难保证准确、规范、及时传递，同时也不利于管理者根据实际情况做出正确的决策分析。因此，2004年铁道部制定并颁布了新的《铁路机车司机管理办法》，要求借助于管理信息系统的方法，利用先进的计算机网络技术和数据库技术，开发出一套涉及铁路司机管理的各个方面的CI卡式管理信息系统，这套系统包括CI卡、读卡器和计算机信息管理软件系统，论文所做的主要工作是计算机信息管理软件系统部分，包括:司机基本信息管理，驾驶证管理，CI卡记分管理，挂失、调动申请与批准，培训管理，考试，信息查询，统计制表，打印等。 3.2.2 系统特点及要求 该系统主要具有以下特点和要求: (1)信息共享:铁路机车司机的管理系统要求以共享信息的形式，提供司机个人以及与司机管理相关内容的准确和最新的详细资料;能给注册用户包括司机、管理部门和监察部门人员、系统管理员等提供访问和更新信息的服务;能辅助管理人员进行管理维护，帮助分析司机违规事故多发内容和年龄阶段，提供司机选拔的更合理的方案; 19 铁路机务运用安全管理系统的设计与实现 (2)数据量大:目前铁道部拥有司机15万余人，同时系统涉及的业务种类繁多，所以数据量很大;另一方面，。随着时间的推移，每年都会有大量新的司机数据加入，老司机的数据也将逐年递增，因此在建立数据库时应考虑采用分布式结构; (3)联机事务处理(OLTP)多:由于系统前端采用读卡机先对CI卡进行记分处理，之后再将读卡机的信息录入应用系统中更新数据库，因此更新的数据需及时地送入数据库，才能保证管理人员实时掌握IC卡分值以便进行处理，并为用户的随时查询提供准确信息; (4)系统的可靠性需求高:为保证司机所有资料的安全、准确，尤其是记分卡的信息，系统的可靠性要求很高，这种可靠性表现在正确性、安全性、使用的方便性、可维护性以及功能的可扩充性等方面; (5)用户(司机)能够通过内部intrnaet或外部internet随时上网查询自己各种信息;实时了解自己的CI卡分值，以及扣分原因、时间、执行者，如有异议，可通过网上邮件或其它形式向有关机构的提出，管理员根据审核情况可进行数据恢复;并可直接在网上进行挂失、调动等各种申请; (6)管理员可以在网上录入、删除、修改、查找司机资料，对司机提出的要求进行审批并将处理结果发布在网上;管理员在司机申请注册为网上用户时，为其分配适合的权限，如果发生变化，能够及时修改权限及相关信息; (7)CI卡扣分累计计分周期为一年，每隔一年，在记分卡上输入初始分数12分，自初发证日期累加计算一个计分周期期满后，扣分未达12分的，该周期内的扣分记录被消除，分值恢复为12;若在此期间，司机CI卡分值小于等于0，管理员应通知其所在单位，令其暂时离职培训，并将卡设置为无效; (8)该系统直接面向大众服务，强调实用性，在功能方面，同时满足三类用户的需求，即一般用户、各级管理部门的管理者和保障系统运行的系统管理员，用户界面必须易学易用，应适合各岗位层次的用户的使用需求。 3.2.3 系统设计目标 系统可为铁路机车司机管理部门提供方便、准确、及时的信息服务，同时通过对各种信息的收集、存储和分析整理，使管理者可以了解使用CI卡管理办法的运行情况，并及时做出决策，提高管理水平，更好的为广大客户服务，增加经济效益，在市场竞 20 铁路机务运用安全管理系统的设计与实现 争中处于有利地位。由于铁道部目前尚为正式使用网络CI卡计分管理，铁路司机管理信息系统的建立可能跟实际需要有一定的偏差，从而给软件设计带来一定的难度。因此采用结构化系统开发方法和原型法相结合，按功能模块进行划分，这样可以根据实际情况进行改动，而不影响整个系统的运行，直到满足实际设计需要。设计目标具体包括以下三点: (1)设计建立分布式数据库管理系统。按照系统所涉及的管理内容、约束 条件、性能属性、设计要求，将各种数据转换为数据库信息，并按照地域进行 合理地分布式划分。 (2)建立BS/模式的信息访问平台。数据库中的信息通过该平台与用户交 互，同时实现对数据的各种处理要求，具体实现的功能将在下面章节介绍。 (3)在上述两个目标实现后，应充分考虑系统的安全性问题，确保数据准 确无误。 21 铁路机务运用安全管理系统的设计与实现 4 基于B/S和C/S结构的铁路调度指挥管理信息系统的研究 4.1铁路调度指挥管理信息系统的概述 4.1.1 铁路运输调度工作简述 铁路运输行业是一个庞大而复杂的联动机构，它有着分工明确、点多面广、连续性和动态性强的特点。它的生产过程要求参与铁路运输的各单位和各工种必须有节奏的协同动作，这就决定了铁路运输生产必须实行高度集中、统一指挥;才能够高效有序的运转。因此铁路运输需要一个能够宏观管理、统一指挥、动态调整、实时监控的工作机构，铁路运输调度机构担任的就是这样的职责。铁路运输调度机构是铁路日常运输的指挥中枢。宅通过编制与执行铁路运输日常工作计划，对运输有关备部门、各工种进行调度和指挥，协调各部门之间的关系，促使器工种按照一定的组织模式棚点配合，以满足旅客和货物的运输需蘩。为有效实现铁路运输调度的只能，实现铁路运输资源的高效运转，铁路运输调艘必须要有一套完整的组织体系，按照安全生产、集中领导、统一指挥、逐级负嚣的原则，根据中华人民菸和国铁道部《铁路运输调度规则》的规定，目前我国的铁路运输调度体系由三级调度机构组成，分别是——铁道部设调度处、铁路局(集团公司)设调度所、技术站设调度室。他们分别代表铁道部长、铁路局长、站长，根据分级管理、逐级负赞、统一指挥的原则，分别掌管全国铁路、铁路局、车站的日常运输组织指挥工作。在组织日常运输生产过程中，上级调度还同 [13]时担负着监督和检套下级调度工作的职责，下缀调度必须服从上级调度的指挥。 4.1.2 调度所组主要职责范围 铁路局调度负责局管内日常运输组织指挥工作，其县体职责为: 1(负责铁路局管内的火流、车流组织和车流调整，按阶段均衡地完成铁道都、 下达的车流调整计划，经济合理地使用机车车辆，充分利用通过能力和运输设备， 及时、准确地掌握现在车数及其分布情况，编制路局运输工作日常计划，并组织 织、段完成。 22 铁路机务运用安全管理系统的设计与实现 2。组织车站按列车编组计划、列车运行图和运输方案编发列车，保证列车按 运行圈正点运行，检查各站、段日(班)计划执行情况，处理区间内装卸车，落实施 工方案，办理区间和线路临时封锁活开通。 3(按铁路局批准的计划组织列车在分界站均衡交接，保证机车与列车的紧密 衔接，经常保持与邻局的密切联系，及时洽商、解决发生的问题，保证分界站畅通 无阻。 4。按铁路局批准的日计划装车去向，审批各站日装卸和限制口的装车计划， 组织各站、段按日计划完成装卸车任务。 5.掌握铁路局管内各站和主要厂矿、企业、港口装卸车，搞好与路外单位的 协作。 6.负责铁路局管内客运、军运、行包专列、“五定”班列、重载列车、重点 货物和挂有装载超限货物车辆的列车运行、挂运情况及直达列车、成组装车和排 空列车的开行情况。 7.及时收取、上报调度工作报告，并向邻局作出正确的列车预报。 8.认真执行部备用货车的 管理制度 档案管理制度下载食品安全管理制度下载三类维修管理制度下载财务管理制度免费下载安全设施管理制度下载 ，严格掌握铁路局管内部备用货车及港 口、国境站备用货车的备用、解除。 9.掌握铁路局管内客流、旅客列车运行情况，组织车站按计划、及时地输送 旅客，负责组织局管内旅客列车的临时加开、停运、迂回运输和客车甩挂。 10.负责铁路局管内专用货车的调整，军运备品的回送，篷布的运用和备用、 解除。 11.检查、通报各站、段安全正点情况，及时收取、上报事故概况和自然灾害情况，对中断行车事故，应按《铁路行车事故处理规则》规定，向铁路部调度、上级领导及各有关部门报告，并采取积极措施迅速恢复行车，必要时，调动管内救援列车或向铁道部调度提出请求，调动跨铁路局的救援列车。 12.维护调度纪律，严格执行上级调度命令。检查各站、段执行调度命令和规章制度的情况，对违令、违章造成不良后果的进行通报批评并提出处理意见。 13.负责铁路局日常运输工作完成情况及调度安全工作情况分析，抓好典型，及时总结、推广运输生产先进经验。 14.负责铁路局调度技术教育、培训和安全基础工作，积极采用和推广先进设备和 23 铁路机务运用安全管理系统的设计与实现 技术.促进调度指挥工作现代化.不断提高调度人员的运输组织指挥水平。 4.1.3 铁路调度管理信息系统的组成和结构 总的来说调度管理信息系统是以现代化的通信技术、计算机技术为手段，通过电子计算机实现铁路运输生产实时科学化管理，改善管理水平，提高运输效率，增加运输收入。 具体来说铁路调度指挥管理信息系统通过铁路数据通信传输网络，实时收集主要站段装车、卸车、待卸车，货物列车到发时刻及编组内容，在站车辆位置、状态、去向及数量，检修机车、运用机车出入库情况，旅客列车到开及甩挂情况，以及其他调度台有关的信息，利用这些收集来的原始信息，根据上级下达的日生产指令，分别编制各调度台的日班计划和修正阶段计划，使运输生产真正在计划指导下有序进行，达到快速、高效、均衡生产，实现对列车、车辆、货物的实时追踪，并为用户提供良好 [14]的查询服务。 图4-1 调度系统内部信息流程 FM1组成内容: 装车工作计划，卸车工作计划 装卸车统计分析 FM2组成内容: 客车编组计划，客车运行计划 旅客人数、行包统计分析、计划与实际图表绘制打印 24 铁路机务运用安全管理系统的设计与实现 FM3组成内容: 货物列车到开计划，列车计划执行与调整 兑现率的分析，计划与实际图表绘制打印 FM4组成内容: 机车工作计划的编制，机车工作计划执行与调整 机车运行情况，计划与实际图表绘制打印 FM5组成内容: 列车交会计划的编制，列车交会计划的调整 列车正晚点分析，计划与实际图表绘制打印 FM6组成内容: 自备车运行工作计划编制 自备车的回送，统计分析 FM7组成内容: 军特种运输计划的编制 军特种运输计划执行情况分析 FM8组成内容: 计划的编制 计划执行情况分析 铁路调度综合管理信息系统包括TDCS系统(行调台子系统、车站子系统、调监子系统、车次追踪子系统、无线调度命令子系统)FMOS系统、机务系统、客票系统、TMIS系统等。他将这些系统的信息有机结合和充分利用，把基层站段和调度所利用网络连接成一个有机的整体，协调工作。 25 铁路机务运用安全管理系统的设计与实现 图4-2调度综合管理信息系统结构图 铁路调度管理信息系统包括计划调度、列车调度、机车调度、客车调度、货车调度5种调度方式，其功能基本覆盖了这5个调度工种的调度指挥和调度综合信息处理工作。 (1)计划调度实现与车站现车系统的联网，与确报系统的无缝连接，实现站存车的自动上报与上表，到达车和出发车的自动入流，自动铺画计划线，可自动编制列车日班计划和阶段计划以及计划的自动下达等功能。 (2)列车调度实现与车站的联网，做到自动采集列车的到发点和计划的自动下达，实际运行图的自动生成，正晚点的自动统计，计划线的自动铺画和计划的自动调整。 (3)机车调度实现与机务段的联网，做到机车实际周转图的自动绘制，机车计划图的自动编制和调整，对联网机务段的计划自动下达和信息交换，以及统计分析报表的自动生成。 26 铁路机务运用安全管理系统的设计与实现 (4)货车调度实现与FMOS系统的连接和与车站的联网，实现请求车的自动收集和承认车的审批与下达，结合人工干预生成运货五、运货三和运货四等报表。 (5)客车调度实现与客运，客车车辆段的联网，实现18: 00客运数据、客车发送人数、客车正晚点、分界口客运数据等统计和客调命令的制作、下达及管理，以及客车车辆的管理。 其中TDCS系统是调度工作的关键组成部分，它的侧重点在行车调度指挥和管理上，它的应用和工作性质确定了它的系统必须是高可靠和高安全的。 4.1.4 TDCS系统(铁路调度指挥管理信息系统) 铁路列车调度指挥系统(Train Dispatch and Command System，简称TDCS )原名为铁路运输调度指挥管理信息系统(Dispatch Management InformationSystem，简称DMIS ) o TDCS是实现铁路各级运输调度对列车运行实行透明指挥、实时调整、集中控制的现代化信息系统。TDCS由铁道部、铁路局TDCS中心局域网及车站基层网组成，是 [15]一个覆盖全路的现代化铁路运输调度指挥和控制系统，是调度工作的核心部分。它改变了传统铁路信号的观念，用网络的观点对现有铁路信号专业技术门类进行改造，把传统的区间、车站、编组站三段式信号组织方式改造为铁道部、铁路局等两级调度指挥中心的控制结构。系统构成如下: 图4-3 TDCS系统结构图 TDCS系统主要用于行车指挥自动化，重点是行车调度指挥和管理，属于动态调度，其主要功能如下: , 具有干线区段宏观监视功能 , 具有列车运行正点率统计功能 27 铁路机务运用安全管理系统的设计与实现 , 具有列车运行密度统计功能 , 具有列车追踪功能; , 具有区间和车站行车及进路实时监视; , 具有分界口实时监视; , 实现所有调度区段车站和区间透明显示; , 具有车次自动报点; , 具有运行图管理功能; , 具有调度命令下达功能; , 具有计划下达功能; , 具有运统二、运统三自动生成功能: , 具有车站之间的透明功能; , 具有与其他系统交换信息的能力; , 具有调度集中的功能; , 具有下列调度管理或控制系统功能:列车运行管理、列车运行调度与控 制、向旅客服务系统提供信息、设备集中管理监控与维护、统计、资料 管理、人员培训功能等。 1.系统管理功能 对本系统中心设备、车站设备及通信通道状态进行监视、报警、纪录和打印。设备信息可保留一个月以上。系统提供上机和下机登录功能，可以记录调度员和操作员在岗或离岗的日期、时间，在岗人员使用系统前需进行注册，离岗前必须注销，下一班调度员将重新登记注册。进入系统的时间将被记录。 2.列车运行监视 采用CRT和大屏幕显示器，以图象和图形的方式显示列车运行信息，便于调度人员快速、形象、直观地理解大量的信息。 3.调度集中控制 具有远程控制车站的能力，根据实际情况对车站进行遥控。 4.列车运行追踪 28 铁路机务运用安全管理系统的设计与实现 在全部监控范围内自动完成列车追踪和车次号显示;列车追踪采用软件追踪、调度计划、无线车次号校核相结合的方法，并提供修改界面，以便车次号不准确时，有调度员或车站值班员进行修改。 5.列车运行图管理 主要包括运行图的显示、编辑、冲突检测、自动调整、计划下达、保存、统计、打印等功能。 6.操作与数据记录及统计处理 所有动态操作和有关行车及设备的数据均用适当的格式统计、记录。列车运行和设备状态能自动或按调度员的指示输出、记录。全动态存储及回溯显示时间不小于一个月。 7.仿真培训功能 系统设置仿真培训子系统，模拟环境，在安装调试阶段能够在线进行仿真调试投入运营，能够离线运行进行培训。 8.与其他系统接口功能 系统在车站和中心都预留网络、RS232等接口，可以与其它系统交换信息并处理有关的信息提供给中心的调度员和车站值班员。包括: (1) TMIS系统; (2)通信系统; (3)无线通信系统; (4)通信时钟; (5)旅客向导系统; (6)列车识别系统; 9.时钟 系统以GPS时钟为基准，自动校时，系统内所有时钟保持同步。 10.系统维护及维修 系统具有完善的自检功能，同时能够监视各设备的运行状态，故障时报警并纪录，设维护台可以查阅历史纪录，判断系统故障原因和故障范围。具有远程诊断设备功能，在调度中心维护台可以监测到调度中心设备和分布在车站设备的工作状态。维护站通过广域网与主备服务器连接，可以远程访问数据库中的各车站实时信息、信息传送的 29 铁路机务运用安全管理系统的设计与实现 记录等。 TDCS改变了传统铁路信号的观念，整个系统具有如下特点: , 先进性:系统设计起点高，采用了当今最先进的并具有发展前景的技术， 如信息技术、智能决策技术等。 , 实时性:是对列车进行实时过程控制和实时信息处理 , 安全性:闭环系统，专用网络，铁道部、铁路局调度中心匀配制网络防火 墙及入侵检测系统。 , 可靠性:网络及关键设备采用双套设计以及双电源，提供容错机制，保证 系统连续不间断地稳定运行，保证数据信息的安全性和正确性。 , 开放性:采用了复合国际标准和工业标准的开放式系统平台。 , 可维护性:提供了方便的维护手段，便于维护和维修。 , 互操作性:采用统一的规范标准，统一的数据传输和交换的格式标准，不 同研制单位能够交叉互控，而且充分考虑与铁路其他系统之间交换数据 的功能。 , 可扩展性:按国际标准和规范设计，预留今后方便的进行系统升级和功能 扩展。 , 友好性:从方便用户以人为本的角度出发，提供了友好的人一机界面和方 便灵活的使用方法。 , 节约性:严格按照铁道部对各管理信息系统功能和范围的界定，遵循不重 复建设、不重复投资的原则，充分利用现有设备，并在设计中预留与其 他系统的接口，实现与其他系统地信息共享。 4.2行调台子系统的需求分析 需求分析阶段的研究对象是软件项目的客户需求。分析时，必须全面理解客户的各项要求，但又不能不加分析地全盘接受客户的所有要求。对客户提出的笼统要求应该分解细化;对其中含混的要求需要进一步澄清;对用户提出的不切实际的要求必须做深入细致的解释说服工作，以便客户放弃不合理的要求。准确的描述客户需求是开发软件的基础，整个软件的开发都必须围绕客户的需求进行，偏离或者违背客户需求 [16]开发出的软件最终必定会导致软件开发的失败。本节主要是理顺铁路局运输调度的业务，并且结合行调提出的需求，综合描述客户的需求。 30 铁路机务运用安全管理系统的设计与实现 4.2.1客户需求 行调台子系统是调度指挥信息管理系统的重要组成部分，其主要职能是行车调度。该子系统必须包括以下几项功能:运行图功能、调度命令功能、采集功能、系统管理功能、查询及信息共享功能。其中前三个功能实现了行调台的三大功能(这里称业务需求)，其关系如图4-4所示。 图4-4业务需求与功能需求关系图 4.2.2系统需求分析 , 运行图功能(Plot ) 系统必须提供几下种运行图功能: , 运行图显示功能，包括:基本运行图显示、工作运行图显示、运行图显示 调整、运行图自动滚动、股道占用情况显示。 , 运行图编辑功能，包括:计划运行图列车运行线编辑、特殊符号编辑以及 实际运行图列车运行线自动铺画、人工描绘功能; , 运行图冲突检查功能:系统必须能对编辑后的运行图进行冲突检查。检查 31 铁路机务运用安全管理系统的设计与实现 的内容包括: a)由某一车站发往同一区间的两连续列车间隔必须妻同方向连发间隔时间。 b)列车在车辆段的技术作业时间必须)技术作业时间标准。 c)列车在基本段和折返段所在站的停留时间必须)停留时间标准。 d)列车在区间的运行时分必须)最小运行时分(区间里程/列车最大时速)。 e)车站停留列车数必须毛车站股道数。 f)列车不得在封锁、信闭或反向运行的区间和车站运行。 当出现以下几种情况时，系统必须进行冲突检查: a)新增加一条列车运行线。 b)有列车运行线被修改。 c)下达列车运行计划。 d)区间封锁、限速。 e)车站封锁、限速。 f)电网维护。 , 运行图自动调整功能:系统能对运行图中存在的冲突进行自动调整，调整 后的运行图不能与《调规》相矛盾。 , 运行图计划下达功能:系统必须能够将调整后的列车运行计划下达到车 站。当该功能被触发后，系统必须提示用户选择计划的接收者(即所管辖 的车站)和时间段(指定计划时间段的终止时间，起始时间即上次计划下达 的终止时间，由系统自动确定)。 , 运行图统计功能:系统必须提供列车运行图的兑现率统计功能。运行图兑 现率是通过比较基本运行图和实际运行图而得的一个统计数据。 , 运行图保存功能:用户可以将运行图保存到数据库中。运行图打印功能: 用户可以预览实际或计划运行图并将其输出到打印机。系统必须能设置 打印的运行图的内容和格式。 , 采集功能(Collection) , 自动采集:系统必须能自动从车站收集列车的运行时分。列车运行时分可 以由车站值班人员上报，也可以由调监系统自动上传。 , 手动采集:系统必须提供手动从车站收集列车的运行时分的功能。用户可 32 铁路机务运用安全管理系统的设计与实现 以向车站请求上报指定的一列或几列列车的运行时分，车站接收到请求 后，返回相应车次的运行时分。 , 调度命令功能(DispatchCmd) 调度命令功能是主要实现向各车站发送施工、行车调度命令。 , 调度命令编辑功能:系统必须提供调度命令的增加、删除及修改功能。 , 调度命令搜索功能:系统必须提供根据各种字段及其组合查询调度命令 的功能。 , 调度命令审批请求功能:对于某些重要调度命令，用户可以上报到调度长 台审批。只有需审批而未审批的调度命令才能报调度长审批。系统必须 标识已审批的调度命令。 , 调度命令下达功能:系统必须提供调度命令下达功能。用户可以下达刚编 辑好的调度命令，也可以下达事先编辑好的调度命令。要下达的调度命 令必须是未下达或下达未成功的调度命令。系统必须标识已下达成功的 调度命令，同时保存下达成功的调度命令备查。 , 系统管理功能(System) , 用户安全管理:系统必须提供用户安全管理。用户只有输入正确的口令后 方能进入系统。 , 提醒功能:当发生重要事件时，系统必须给出明显的声音或文字提示，提 醒用户及时进行处理。 , 日志功能:系统必须记录用户的下列重要操作，记录的内容包括:时间，内 容、结果以及操作者。 1、系统启动; 2、操作员登录: 3、通信连接建立: 4、通信失败: 5、通信中断; 6、计划下达; 7、调度命令下达; 8、调度命令审批; 33 铁路机务运用安全管理系统的设计与实现 9、运行图存储; 10、操作员注销; 11、系统退出 , 查询及信息共享功能 , 子系统内 1.令a台信息(计划信息，实际到发点信息)自动交换。 2.令a站信息(实际到发点信息)自动交换。 , 调度所内 1.与计划系统的信息共享 (1)行调子系统向计划系统提供的信息: ?.列车实际和计划到达编组区段站的时刻 ?.中间站实际甩挂列车信息 (2)行调读入计划系统的信息: ?日班计划和阶段调整计划，行调台据此生成编组区段站的开车计划 ?.超限车信息和其他重点事项内容 ?列车编组内容(运统一) ?中间站计划甩挂列车信息 2.与机调系统的信息共享 (1)行调子系统向机调系统提供的信息: ?.列车运行的实际和计划时刻 ?.车站上报的机车号码 (2)行调读入机调系统的信息: ?.司机姓名、机车型号、叫班时间等资料 ?.机车交路图 3.与客调系统的信息共享 (1)行调子系统向客调系统提供的信息: ?.分界口接入和交出时刻和主要客运站的到发时刻 34 铁路机务运用安全管理系统的设计与实现 ?.客车晚点原因 (2)行调读入客调系统的信息: 客调向行调发布和由行调转发的调度命令 4.与统计系统的信息共享 行调子系统向统计系统提供的信息: ?.列车实际接入、到达、出发时刻(实际运行图) ?.中间站的现车信息(到达、出发、结存等情况) 5.与分析系统的信息共享 行调子系统向统计系统提供的信息: ?.运行图的所有资料 6.与调度长(主任)系统的信息共享 (1)行调子系统向调度长系统提供的信息: 列车运行的实际和计划运行图 (2)行调读入调度长系统的信息: ?.计划及命令签发信息 ?重点注意事项内容 7.与军特调系统的信息共享 (1)行调子系统向军特调系统提供的信息: ?.军特调有关的列车实际和计划运行图 (2)行调读入军特调系统的信息: ?.军特调的调度命令 ?.超限车等重点注意事项 , .铁路局内 a.向局办公系统的交班系统提供实际运行图信息和分界口接入，交出车信息 b.向局客运信息查询系统提供客车的实际和计划运行图信息，由该系统在互联 网上和语音信息台发布客车的正晚点信息。 c.向路局调度提供计划和实际运行图信息和分界口接入，交出车信息 35 铁路机务运用安全管理系统的设计与实现 d.向邻局行调子系统交换计划信息 , 铁道部 a.向铁道部电子中心的中央实时系统提供实际运行图信息和货车的列车编组内 容，实现货车追踪 b.向邻路局行调子系统交换计划信息全社会将列车运行图信息和列车编组内容经过组织后在互联网上发布，让货主能在网上查到自己货在什么位置和预计到达时间。 4.2.3 与TMIS结合相关需求 作为铁路调度指挥管理信息系统的核心组成部分，TDCS系统和TMIS系统均起着十分重要的作用。两个系统相互独立，但在局调度指挥中心和车站存在着部分功能交叉，例如:行车调度要对列车运行方案进行实时调整，需要了解和掌握其他调度的相关信息;其他调度在作业时，也需要了解列车实际运行情况、阶段计划的安排，以及区段列车甩挂作业的情况。因此根据各自的运行特点和应用要求，采取两系统独立运 [17]行、逻辑隔离、安全顺畅、信息透明的原则进行结合。具体需求分析如下: 1) TMIS向TDCS传送的信息 TDCS系统的行车调度子系统，需要从TMIS系统中获得日班计划、区段施工安排、机车运用、列车确报等信息以及重点事项，以便能及时、准确地对区段运行的列车进行调整。 TMIS传送的数据信息有: , .列车运行图。TDCS获取邻台信息后，在行车调度的计算机上以列车运 行图的形式显示并可以进行查询。 , 日班计划。TDCS获得传送的数据信息后，分区段按24 h运行图格式显 示。日班计划规定的开行车次、开行时间、担当牵引的机车号均在运行 图中表示出。 , 列车确报。DMIS获取确报信息后，供行车调度调用和查询使用。具体 信息数据包括: 1.基本图运行线 2.日班计划运行线 3.区间封锁、慢行 4.维修天窗 36 铁路机务运用安全管理系统的设计与实现 5.车站(股道、咽喉)封锁、慢行 6.出发列车编组结构、列车编组 7.调度命令 2) TDCS向TMIS传送的数据信息 行车调度以外的其他调度如:计划调度、货运调度、机车调度等，需要从TDCS中了解和掌握列车实际运行情况、中间站车辆甩挂作业情况、阶段计划的安排情况，以 [18]便安排好编、区站的列车改编和接续，机车的运用和次日(班)计划。TDCS传送的信息有: , 实际列车运行图和阶段计划。TMIS接收信息后，以区段主要编、区站到发运 行图的格式显示出来，并标注出到发车次、到发时间、牵引机车号，利用接收 的信息还可提供各种查询、可以计算出各种运用指标，如列车的正晚点、日班 计划的兑现、列车运行速度等。 , 中间站车辆的甩挂以及小编组、现在车信息。利用TDCS提供的这些信息， 可以使计划调度全面了解和掌握车流的情况，及时为货运调度提供各站装卸车 的情况和站存车的信息，为编制次日(班)计划服务。 具体信息数据包括: 1.实际运行图 2.日班计划运行线 3.区间封锁、慢行 4.维修天窗 5.车站(股道、咽喉)封锁、慢行 6.现在车 7.调度命令 8.甩挂车编组作业 通过TMIS和TDCS的结合，整合两个系统中的共用信息，实现信息共享，可进一步完善和扩大两系统已有的功能，更好地为运输组织和运输指挥服务。 37 铁路机务运用安全管理系统的设计与实现 4.3 行调台子系统体系结构分析 4.3.1 基于C/S和B/S混合体系结构的TDCS系统 考虑到目前铁路局调度指挥工作的实际需要，行调子系统的业务需求对于系统的 [19]安全性及快速响应性能有很高的要求，用户集中。因此，对于业务需求的设计，选择基于C/S的软件体系结构。可以保证综合系统的有效性、实时性和可用性。 查询模块对于在子系统内部的邻台信息邻站信息因为实时性要求也比较高固也应该采用C/S结构。而对于整个系统所涉及铁路车站、铁路局调度、铁道部等各工种的作业方法及制度的不同业务人员能根据需要及时准确地查询到相关信息，查询模块则采取B/S模式。车站、铁路局调度、铁道部各用户可以通过WWW浏览器向Web服务器发送动态或静态的HTTP请求，Web服务器接收客户端发送来的请求并进行分析，如果请求的是静态页面，就将所请求的页面发送到客户端;如果请求的是动态页面，Web服务器可以根据用户的请求访问数据库服务器并动态地更新页面上的信息，然后 [20]将执行结果发送回客户端。 由于TDCS和TMIS在铁路调度管理信息系统中的所起着的重要作用，又有部分功能交叉，因此要有部分数据共享，同时在这部分数据中有些属于动态调度数据有些属于静态调度数据，对于属于动态调度的数据如邻台列车运行实际图等对实时性安全性要求比较高的数据应该采用C/S结构共享。而对于属于静态调度的数据如基本图，已下达的调度命令等数据实时性要求不高则应采用B/S结构。 经过以上简单分析，可以看出利用传统方法，简单的将系统划分为适用C/S结构的功能加适用B/S结构的功能，然后分别按着两种结构进行系统实现，势必会造成系统结构混乱，资源浪费，系统的安全性高效性也无法保证，也不可能完全达到系统的要求。 因此根据前面提到B/S和C/S混合体系结构，鉴于对TDCS行调台子系统的需求分析提出了一种全新的体系结构。如图4-5 38 铁路机务运用安全管理系统的设计与实现 图4-5混合TDCS体系结构图 在新的结构体系中，在数据存储层新增加应用数据库，保持与TDCS数据库同步更新，所有查询业务的数据和一部分行调数据都直接从该库中存取。而该库又同时可作为与TMIS结合所使用的中间库。同时两个数据库又相对独立，自成体系，互为备份。当一个数据库发生故障时可以切换到另一个数据库上，保证数据的安全，高效。 4.3.2 行调台子系统结构分析与设计 一个好的应用系统，理性、灵活性、健壮性，来自应用程序设计开始就要考虑其体系结构的合理，力争做到既可以满足当前应用的复杂需求也能为今后系统的调整和 [21]升级留有余地，尽量延长整个应用的生命周期，减少系统维护的开销和难度。 由于整个调度指挥信息管理系统，数据在系统中占有极其重要的作用。为了更深刻地认识该系统，我们用数据流图的分析方法，对该系统中的行调台子系统进行逐层 39 铁路机务运用安全管理系统的设计与实现 地分析，进而得出了行调台子系统功能分解图。 0层数据流图: 在0层中，我们把行调台子系统当成一个“黑盒子”，确定与系统联系的外界因素，这些因素可以是用户，也可以是其它子系统以及数据存储。对于行调台子系统，其外界因素有调度员、车站子系统、控制子系统、调度长台子系统以及基础数据、基本运行图、实际运行图、调度命令，如图4- 6 图4-6行调台子系统0层数据流图 在0层数据流图中，我们分析并定义出各外界因素与行调台子系统存在的数据交互。在此基础上，我们对行调台子系统作进一步的分析。 1层数据流图: 40 铁路机务运用安全管理系统的设计与实现 在1层数据流图中我们要分析出行调台子系统存在哪些功能模块，模块之间又有什么联系。通过分析，我们得出，行调台子系统有三大功能要完成:运行图功能、调度 - 7 命令功能、采集功能。各功能模块的联系如图4 图4-7行调台子系统1层数据流图 2层数据流图:在1层数据流图的基础上，我们可以对各模块作更进一步的分析，从而形成2层数据流图。 , 2层数据流图――运行图 首先，我们确定与运行图功能有关联的外界因素，这里指的外界因素是相对运行图功能模块而言。从1层数据流图中，我们可以看出和运行图功能相关的外界因素有: 41 铁路机务运用安全管理系统的设计与实现 调度员、车站子系统、控制子系统、时分采集模块、打印机以及基础数据、基本运行图、实际运行图等数据存储。运行图功能是行调台子系统的主要功能，它包括的功能有:运行图显示、运行图编辑、运行图冲突检查(简称冲突检查)、列车运行计划下达(简称计划下达)、运行图统计、运行图保存、运行图打印。 其数据流图如图4- 8 图4-8 行调台子系统2层数据流图-运行图功能 其中实际运行图数据、计划运行图数据、工作运行图以及运行图统计报表是属于运行图功能模块内部潜在的对象，在1层数据流图中不可见。 , 2层数据流图――调度命令 42 铁路机务运用安全管理系统的设计与实现 现在我们在分析调度命令功能模块。同样，从1层数据流图中我们可以看出，与 调度命令功能相关联的外界因素有:调度员、车站子系统、调度长台子系统以及调度命令、系统数据。 调度命令功能模块包括的功能有:调度命令编辑、调度命令修改、调度命令搜索、调度命令删除、调度命令审批、调度命令下达。其数据流图如图4- 9: 图4-9 行调台子系统2层数据流图――调度命令 43 铁路机务运用安全管理系统的设计与实现 其中，调度命令列表属于功能模块内部的对象，在1层数据流图中不可见。 , 2层数据流图一时分采集功能 时分采集功能模块相对简单，其外界因素有:车站子系统和运行图功能模块。功能也相对简单，包括接收运行时分、处理运行时分。其数据流图如图4-10。 图4-10 行调台子系统2层数据流图――时分采集 行调台子系统功能分解图: 前面我们对行调台子系统逐层作了分析，在分析的过程，着重对系统的三大功能进行考查。在此基础上，加上系统应具备的其它功能，形成系统完整的功能需求，如图4-11。 44 铁路机务运用安全管理系统的设计与实现 图4-11 行调台子系统功能分解图 45 铁路机务运用安全管理系统的设计与实现 4.3.3 查询模块结构分析 在保证网络安全的前提下，在局调度指挥中心实现TDCS和TMIS的连接。采用公用共享数据库，完成两者间的数据交换，实现系统间的信息共享。使数据达到了统一存储。 查询模块是铁路局调度信息系统的重要部分，根据不同用户的需求提供不同的查询功能。查询模块可以放在行调子系统中作为其复视功能之一，也可以供调度所其他调度、车站、其它铁路局调度、铁道部等不同用户使用。 查询模块主要包括基本数据查询、历史数据查询、用户管理、统计打印四部分，具体内容如下: (1)基本数据查询。 以铁路局为索引，查询调度台列表; 以调度台为索引，查询径路列表和基本时刻表列表; 以基本时刻表为索引，查询具体内容; 以径路为索引，查询车站和区间列表; 以车站或区间为索引，查询相应内容。 (2)历史数据查询 以调度台为索引，查询历史时刻表列表; 以历史时刻表为索引，查询列车历史时刻具体内容; 以调度台和时间为索引，查询调度命令列表; 以调度命令为索引，查询调度命令具体内容; 以调度台和时间为索引，查询天窗、区间封锁、间慢行信息列表; 以调度台和时间为索引，查询列车列表; 以调度台、时间和列车为索引，查询列车甩挂作业内容; 以调度台、时间和列车为索引，查询列车编组概况; 以调度台、车站和时间为索引，查询站存车内容。 (3)用户管理 获得用户名和密码; 根据用户名和密码确定不同的组; 46 铁路机务运用安全管理系统的设计与实现 对组进行权限赋予。 (4)统计和打印 及时生成统计信息，用户可以随时进行查询。 分别以铁路局、办事处、调度台、列车(客、货)和时间为索引，查询列车早、晚点情况 分别以铁路局、办事处、调度台、列车(客、货)和时间为索引，查询列车旅行速度和技术速度。 以调度台、时间和列车为索引，查询列车编组顺序表。 用户在查询的过程中可以随时进行打印 这样用户通过浏览器发送HTTP请求后，Web服务器将按照请求的种类做出不同的响应。 查询模块采用B/S结构模式，适合铁路地域分散的特点，便于实现系统的无缝 升级，使系统维护开支减到最小，维护人员只需在服务器端进行更新便可实现系统升级。 4.3.4 基于B/S和C/S信息基础上数据的完整性和一致性的分析 数据的完整性和一致性是应用系统设计的基本要求，它关系到一个系统的成败。当具有不同权限的用户对数据进行维护时，存在着如何保证数据的完整性和一致性的问题。 系统数据库采用并发访问方式(并发访问就是多用户的多个事务同时访问一个数据库)，对于单个数据源，并发访问的控制相当重要，如果并发访问控制不当，可能会出现下列数据不一致问题，例如: 丢失更新:当两个应用程序A1和A2同时从数据库中读取相同的行，计算后update同行中某列数据，但事务提交A1在A2前，这时A1的修改数据就被丢失了。 存取未提交的数据:应用程序A1欲更新数据库中数据B1为B2，而应用程序A2在B2提交前读取了数据B2，之后A1提交不成功，数据回滚为Bl，于是造成了数据的不一致，A2提取了未提交的数据Bl。 不可重复读:应用程序A1从数据库中读取一行，然后继续处理其它SQL语句，此时.应用程序A2试图再次修改或删除该行并提交。之后，如果应用程序A1试图再次读取原始行，则它将接受到被A2修改的行或发现原始行已不存在。 47 铁路机务运用安全管理系统的设计与实现 幻象读现象:应用程序A1根据某些查询条件从数据库中读取一组行，然后继续处理其它SQL语句，此时，应用程序A2插入或更新数据拜后提交，A2插入或更新的数据中有一部分满足应用程序A1的查询条件稍后，如果应用程序A1重复查询(在同一事务中).就会出现幻象读现象。 因此为了避免上述情况的发生，系统采用如下2种方法实现数据的完整性及一致性: 1.在后端数据库建立表约束、规则、缺省和触发器等进行数据完整性和一致性约束 2.在应用程序中对数据的处理引人加锁机制。锁是一个程序加在数据片断上的声明或限制，可以保护当前正在被访问或修改的数据不会被其它用户更改，从而保证数据的完整性和一致性。 48 铁路机务运用安全管理系统的设计与实现 5 基于WEBSERVICES系统的研究 Web Service所实现的是向它的客户端提供某个基本功能以供其使用，也可以以复合方式使用Web Service来集成一组似乎完全不同的现有应用程序。以WebService方式提供现有应用程序，可以构建新的、更强大的应用程序。Web Services的核心技术 [22]主要是XML技术、SOAP技术、WSDL及UDDI等。 5.1 WEB SERVICE的基本协议 5.1.1 SOAP协议 SOAP是“简单对象访问i办议”( Simple Object Access Protocol)的简称，这种方式能够使用现有的Internet体系结构，创建运行在Internet上的、分布广泛的复杂计算环境。SOAP所涉及的应用程序以非常丰富的方式通过Internet直接进行相互通信。SOAP规范的其他部分介绍如何将程序数据表示为XML，以及如何使用SOAP进行远程过程调用(RPC)。这些可选的规范部分用十实现RPC形式的应用程序，其中客户端将发出一条SOAP消息(包含可调用函数，以及要传送到该函数的参数)，然后服务器将返回包含函数执行结果的消息。目前，多数SOAP实现方案都支持RPC应用程序，这是因为习惯十开发COM或CORBA应用程序的编程人员熟悉RPC形式。SOAP还支持文档形式的应用程序，在这类应用程序中，SOAP消息只是XML文档的一个包装。文档形式的SOAP应用程序非常灵活，许多新的XML Web Service都利用这一特 [23]点来构建使用RPC难以实现的服务。 SOAP规范的最后一个可选部分定义了包含SOAP消息的HTTP消息的样式。此 []HTTP绑定非常重要，因为几乎所有当前的OS(以及许多以前的OS)都支持HTTP 。HTTP绑定虽然是可选的，但几乎所有SOAP实现方案都支持HTTP绑定，因为它是SOAP的唯一标准协议。由于这一原因，人们通常误认为SOAP必须使用HTTP。其实，有些实现方案也支持MSMQ， MQ系列、SMTP或TCP/IP传输，但由于HTTP非常普遍，几乎所有当前的XML Web Service都使用它。由于HTTP是Web的核心l办议，因此大多数组织的网络基础结构都支持HTTP，并目_员工已经了解了如何对其进行管理。如今，已经建立了用十HTTP的安全保护、监视和负载平衡的基础结构。 SOAP由以下四个部分组成: 49 铁路机务运用安全管理系统的设计与实现 SOAP封装(envelop):它构造定义了一个整体的表示框架，可用十表示一个描述消息中的内容是什么，是谁发送的，谁应当接受并处理它以及如何处理它们。 SOAP编码规则(encoding rules):它定义了一个数据的编序机制，通过这样一个机制来定义应用程序中需要使用的数据类型，并可用十交换由这些应用程序定义的数据类型所衍生的实例。 SOAP RPC表示(RPC representation):它定义了一个用十表示远端过程调用不I I响应的约定。 SOAP绑定(((binding):它定义了一个使用底层传输协议来完成在节点间交换SOAP信封的约定。 这四部分在功能上是相交的、彼此独立的，特别是封装和编码规则被定义在不同的XML命名空间(name space)中，这样使得定义更加简单。 SOAP首先是XML，是由XSD大纲定义的XML，所以它一定包含XML元素，这些元素在一定程度上可以看作对象，每个对象有各自不同的目的，图2- 2列出了SOAP消息中的主要XML元素以及它们的关系。总体上看，SOAP消息包括以下3个主要元素。 (1) SOAP Envelope:它是整个SOAP消息的根元素，也是每个SOAP消息中必须有的元素。其他两个元素都在这个元素内部。 (2) SOAP Header:它是SOAP消息中的可选元素，也就是说不是每个SOAP消息中都必须由

元素。但如果有，必须是的第一个直接元素。

元素中包括多个头条目元素。 (3) SOAP Body:它是每个SOAP消息中都必须有的元素，i fu b‘是< Envelope>元素的直接子元素。Body为该消息的最终接收者所想要得到的那些强制消息(最终接收者必须理解的消息)提供了一个容器。此外，SOAP还定义了Body的一个子元素Fault用于报告错误。 50 铁路机务运用安全管理系统的设计与实现 图5-1 SOAP结构图 5.1.2 WSDL WSDL (Web Services Description Language)表示Web服务说明语言。在部分中，我们可以认为WSDL文件是一个XML文档，用十说明一组SOAP消息以及如何交换这些消息。换句话说，WSDL对十SOAP的作用就象IDL对十CORBA或COM的作用。由于WSDL是XML文档，因此很容易进行阅读和编辑;但大多数情况下，它由软件生成和使用。 WSDL文件用十说明消息格式的表示法以XML架构标准为基础，这意味着它与编程语言无关，而且以标准为基础，因此适用十说明可从不同平台、以不同编程语言 [24]访问的XML Web Service接口。除说明消息内容外，WSDL还定义了服务的位置，以及使用什么通信协议与服务进行通信。也就是说，WSDL文件定义了编写使用XML WebService的程序所需的全部内容。有几种工具可以读取WSDL文件，并生成与XMLWeb Service通信所需的代码。 WSDL文档只是一个Web Service相关特征、规范的定义集，在根部有一个"definitions”元素，其中包含一些定义。具体来说，服务使使用以下六个主要元素来定义的: (1) types(类型)，它提供了用十描述正在交换的消息的数据类型定义。 (2) message(消息)，它表示了正在传递的数据的抽象定义。消息包括多个逻辑部分，每一部分与某种类型系统中的一个定义相关。 (3) port type(端口类型)，它是一组抽象操作。每个操作指向一个输入消息和多个输出消息。 (4) binding(绑定)，它为由特定端口类型定义的操作和消息指定具体的协议和数据格式规范。 (5) port(端口)，它指出用十绑定的地址，因此定义了单个通讯终端。 (6) service(服务)，它用十集成一组相关的端口。重要的是WSDL没有引入新的类型定义语言。WSDL承认需要描述消息格式的类型系统，但它把XML计划规范当作它规范的类型系统。然而，因为期望使用一种类型系统语法描述目前和将来所有的消息格式是不切实际的，所以WSDL允许通过扩展使用其它类型定义语言。 另外，定义了通用绑定机制。它用十将一种特定协议或数据格式或结构附加到抽象消息，操作或终端。使用此机制可以对抽象定义进行重用。 51 铁路机务运用安全管理系统的设计与实现 5.1.3 UDDI 通用发现、说明和集成(UDDI)是Web服务的黄页。您可以搜索提供所需服务的公司，阅读以了解所提供的服务，然后与某人联系以获得更多信息。当然，您也可以提供Web服务而不在UDDI中注册，就象在地下室开展业务，依靠的是口头吃喝;但是如果您希一望拓展市场，则需要UDDI以便能被客户发现。 UDDI目录条目是介绍所提供的业务和服务的XML文件。UDDI目录条目包括二个部分。“白页”介绍提供服务的公司:名称、地址、联系方式等等;“黄页”包括基十标准分类法(例如North American Industry Classification System }I I Standard IndustrialClassification)的行业类别;“绿页”详细介绍了访问服务的接口，以便用户能够编写应用程序以使用Web服务。服务的定义是通过一个称为类型模型(或tModel)的UDDI文档来完成的。多数情况下，tModel包含一个WSDL文件，用十说明访问XML WebService的SOAP接口，但是tModel非常灵活，可以说明几乎所有类型的服务。 UDDI提供了一套操作方法来访问分布式的UDDI商业注册中心(UDDI Registry， [25]所有提供UDDI注册服务的站点的统称)。公共UDDI注册中心面向全球企业，其中的不同站点采用P2P(对等网络)进行构架，也就是说，从其中任一站点都可以访问整个公共UDDI注册中心。UDDI商业注册中心维护了许多描述企业及该企业提供的Web服务的全球目录，而且‘其中的信息描述格式遵循通用的XML格式。 UDDI商业注册是UDD工的核心组件，该注册使用一个XML文档来描述企业及其提供的Web服务。UDDI商业注册所提供的信息从概念上来说分为二个部分;白页(WhitePage)表示与企业有关的基本信息，包括企业名称、经营范围、联系地址、企业标识等等;黄页(Yellow page)用来依据标准分类法区分不同的行业类别，使企业能够在更大的范围(如地域范围)内查找已经在注册中心注册的企业或Web服务;绿页(Green Page)则包括了关十该企业所提供的Web服务的技术信息，其形式可能是一些指向文件或是URL的指针，而这些文件或URL是服务发现机制的必要组成部分。 企业所有的UDD工商业注册信息都存储在某一个UDDI商业注册中心([匕如IBM的UDDI商业注册中心)中。UDDI消息是如下传输的。从客户端发出的SOAP请求首先通过HTTP传到注册中心节点。注册中心服务器的SOAP服务器在接收到UDDI SOAP消息并进行处理之后，把SOAP响应返回给客户端。就注册中心的安全要求而言，客户端发出的修改数据的请求必须是安全的、经过验证的事务([匕如采用SSL协议)。 52 铁路机务运用安全管理系统的设计与实现 5.2 XML及其在WEB SERVICE中的应用 5.2.1 XML的文档结构 XML中描述的数据对象被称为XML文档。XML文档的定义形式是一个简单的层次树，其中仅有一个根节点，成为文档实体或者文档根。所有XML文档都必须符合句法限制，即满足格式规范的要求。在一定条件下，要求XML满足特定规则的语言限制，即满足有效性要求。定义XML文档有效性规则的方式有多种，但是在Web Service中将使用XML Schema(XML模式)。总的来说，格式规范的XML的文档要满足以下的一些 规定: (1)语法符合XML规范要求。 (2)每个XML文档至少包括一个元素。 构成了一个层次树型结构，其中根节点只包含一个文档元素。 (3) XML文档的元素 对十所有的元素，如果其起始标签在另外一个元素中，那么结束标签也应该在相同的元素中。 支持XML的浏览器能够自动检查XML文档是否满足格式规范的要求。XML文档中有的元素是可以相互嵌套的，而有些元素是并列的兄弟节点，其他还有从属元素的属性，这样的关系构成了XML文档的逻辑结构。 XML文档有一个文档的声明和一个根节点元素。XML声明包括声明XML的版本、字符集等信息;根元素有自己的元素值、属性和属性值，元素值和属性值都是根元素节点的叶节点，即值节点。整个XML文档有且只有一个根元素，但是根元素以下的元素都可以有多个自己的子元素，每个子元素都可以有自己的多个属性，每个属性都可以有自己的属性值，每个子元素也可以有自己的元素值。所有的值都以文本的形式存放，这些节点都是文档结构的叶子节点，即值节点。 从另外的角度看，无论是根还是叶，还是当中的子元素或者其他标记，每个节点都将对应各自的存储单兀，它们形成了XML的物理结构。XML文档是由一个或者多个存储单兀构成，这些存储单兀就是所谓的实体。XML文档就是通过引用定义的实体，或者在实体中引用其他的实体来组成的。实体的定义是指可以收集并存储与之相关的数据的某种对象。在XML中，实体的目的是用来表达和存储用十XML文档中的数据对象。 5.2.2 XML的名称空间 如果在一个XML文档中相同的标记词汇出现在多个不同的位置，则XML处理程 序如何正确的识别这些相同的标记词汇成为一个需要解决的问题。可见需要寻找一个 53 铁路机务运用安全管理系统的设计与实现 新的方法，可以用来区分元素的特定用途，特别是支持在相同的XML文档中混用不同的标记，或者相同名称的标记具有不同的含义。为了解决这样的问题，引入“XML名称空间”的概念。 XML名称空间借助了计算机语言中的name space的概念，但是它和一般的namespace机制有所不同，主要区别在于XML中名称空间不仅提供了名称的集合，而且提供了文档的内部结构。XML名称空间将XML文档内容和引用通用资源标识符(URI)的名称空间结合起来，来限定其中的元素和属性名。这些名称由URI的引用唯一表示，在XML文档中用作元素类型和属性名称。 XML名称空间的使用包括两个步骤，首先必须声明名称空间，其次是在合适的地 方利用名称空间来限定元素和属性。名称空间可以在多个元素中声明，也可以在一个元素中声明多个名称空间。如果在两个元素中声明名称空间，可以在改元素中的所有属性和子元素中使用该名称空间，也可以在多个元素中声明各自的名称空间。XML中通过保留的属性来声明名称空间，其属性必须是xmlns或者以xmlns:为前缀。 XML文件的整体结构。XML文件包括二部分:XML声明、处理指示(可选)、XML 元素。 XML文档的一个基本要求是形式良好的( well formed)，一个形式良好的XML 文档要包含这二个部分。一个完整的XML文件如下: <乘务员名册> <乘务员) <名字>二胖(/名字> <籍贯>黑龙江 <年龄>24 <电话号码>11115555 从这个例子中，可以简单体现如下内容:一是可以存储数据，事实上这个文件就储存了有意义的数据;二是经过转换又可以被浏览器通过不同的形式实现显示;二是内容便十阅读，也就是说就算没有了处理程序，甚至这个文件出现了损坏，仍然从中可以理解这个文件所要表达的内容。正因为如此XML作为Web Service。的交换基础，可以便十交换的规范性，便十广泛的应用。 5.2.3 XML在Web Service中的应用 XML己经成为一种用十在Internet上交换数据的有效机制。SOAP，这种发送XML 54 铁路机务运用安全管理系统的设计与实现 消息的方式，促使进程以一种前所未有的方式相互通信，而 UDDI看起来正在快速成为整合Web Service的供应商和用户的标准;服务本身是XML以WSDL(即"Web Service 描述语言”)形式描述的。 通过Internet完成软件、服务、客户、供应商、商业流程的互操作、交换和协作将成为一种发展趋势，主要体现在以下几个方面: , 软件模式的变化:软件即服务((Software as Service)、应用软件、套装软件将以 一种服务的形式向用户提供。而被封装成Web Service己成为一种趋势。 , Web技术、Internet的快速发展，要求软件和服务能够通过Internet取得和访 问到。而 Web Service标准、技术和应用的迅速发展也加快了这一进程的发 展。 , CORBA，J2EE等复杂的分布式技术需要通过Web Service更方便、简单地提 供给用户。使复杂、专用的技术变得简单，通用。 首先，Web Service作为未来电子商务的标准构架，必须要能对各种信息和数据进 行交换处理。而数据处理的核心问题在十机器对信息的识别，并能根据数据内容进行自动处理。从技术上说，电子商务就是通过互联网传输和交换数据，并能根据各种数据进行人工或自动处理。由于XML超强的数据描述能力以及描述格式的一致性，使它成为电子商务的核心基础技术。 同时，在以Web Service为核心的电子商务应用中，经常客户需要对不同的数据源进行交互，而数据可能来自不同的数据库，有各自不同的格式。这就要求客户与数据库间要有一种标准的语言进行交互，而 XML成功的担任起了这一角色。由于XML的自定义性和可扩展性，使它能在不同的数据库间进行传递。即，XML成功的解决了数据的统一接口问题。并且 XML没有定义数据文件中数据出现社具体规范，而是在数据中附加标一记来表达数据的逻辑结构和含义，这使XML成为一种程序能自动理解的规范。 其次，XML为Web Service提供了独立十供应商和平台的信息交换与整合机制。作为Web Service的供应商，当然希一望有尽可能多的用户使用自己提供的服务。而由于供应商与客户之间以及不同供应商之间往往采用不同的操作平台，使用不同的数据库，应用不同的语言开发平台编写的程序，这就对Web Service的跨平台能力提出了很高的要求。而 XML则成为解决这一问题的最佳选择。XML作为通用的信息描述手段，采用的是最简单的文本格式，使用任何文本工具都能处理，因而大大简化了信息交换的过程。在供应商与客户之间以及不同供应商之间，只要在使用什么标记来标注信息上达成共识(即遵循同一个XML Schema的规范)就可以方便的进行信息交互，无需考虑对方的后台系统是如何实现的，唯一需要做的就是采用同一个标记集合。 55 铁路机务运用安全管理系统的设计与实现 5.3 WEB SERVICE安全性的研究 5.3.1 Web Service安全性的特点和基本要求 , Web Service安全性的特点 正因为Web服务具有开放性、跨平台和互操作性等特点，安全性就成为其发展和进一步普及必须解决的重要问题。关十Web服务的安全性规范，目前尚无普遍认可的标准。服务请求者和服务提供者，或服务提供者之间通信使用的并不是二进制的协议，而是普通的文本协议。这种以文本形式存在的消息或协议，在网络上传输时更容易受 [26]到威胁。信息安全主要保护那些有价值的、机密的企业数据。虽然对十网络应用的安全，业界已经有一套现成的而被广泛接受的安全机制，然而它们并不能为Web Service提供足够的安全性。这是因为Web Service具有不同十其他应用安全性需求的几个特点: , 端到端安全 安全传输协议，如SSL和IPSec只能在点对点的情况下为传输层提供消息的安全性和机密性。因为SOAP消息可以由中介体接收并处理的，所以虽然两点间的通信链路是可信任的，只要在所有的中介体之间没有信任关联((trust association)，那么中间人有可能会故意或者通过在两个传输层的安全会话之间留出“空隙”来泄露信息，端对端的安全就是不能保证的。 , 传输独立性 Web Service框架只定义了封装消息的格式，并没有给出传递消息的专用协议，它依靠和应用层协议的绑定来完成消息的传送任务，在传送消息的过程中可能会绑定不同的传输协议，所以当安全信息(如消息发送者的身份验证)需要被转移到消息路径中的下一个传输安全性域时，就可能会导致完整性方面的缺陷。另外，虽然第一代Web Service几乎都使用HTTP，但是第二代Web Service不希一望使用HTTP， 而使用更可靠的消息发送架构(如HTTPR)以及对等技术(例如Tabber)，因此Web Service安全不能依赖某一种底层网络协议的安全机制。 , 元素级别的安全性 XML封装的数据是一种结构化的数据，包含了控制信息和消息内容两部分，其中消息的内容包括各种层次化的需要传送的具体信息。如果将XML文档整篇加密，然后安全地发送给一个或多个接收方，这是SSL或IPSec的常见功能，但是更令人感兴趣的是如何对同一文档的不同部分进行不同处理的情况。XML的一个有价值的好处是可以将一整篇XML作为一个操作发送，然后在本地保存，从而减少通信量。但是，这就带来了一个问题:如何控制对不同元素组的授权查看。比方说在进行交易的时候，商家可能需要知道顾客的名字和地址，但是不需要也不可以知道顾客使用的任何信用 56 铁路机务运用安全管理系统的设计与实现 卡的情况;而在银行方面就需要知道用户信用卡的详细情况，而不需要知道其采购商品的情况。显然，在这一方面，SSL或TLS是无能为力的，而对不同对象采用不同的授权级别显然是必须的。 , 终端用户的间接访问 SOAP是一种使软件能够比以前更容易地与其他软件进行通信的技术。很多时候，不是由终端用户直接访问Web Service， 而是由第二方代表终端用户访问Web ServicesWeb Service无法了解终端用户的实际身份，因此无法做出相应的授权决策。 通过上述对Web Service安全的分析可以看出，要确保Web Service安全，就必须把安全原则应用十包括多个请求/响应消息的安全上下文。这个问题的解决方案是在SOAP消息中保存安全数据。这样，在一次通信结束后，安全数据不会丢失。SOAP消息中的机密信息可以在经过许多SOAP跃点的过程中保持机密。通过对SOAP协议消息头进行扩展，可以在SOAP消息中保存安全数据。为此开发了许多行业规范，这些规范可以构成两个不同的类别: , 用XML格式表示安全数据的标准。这些安全信息应该用十高级安全原则:机 密性、身份验证、授权、完整性等。这类规范包括XML加密，XML签名等。 , 在SOAP消息中包含XML格式的安全数据的标准化架构，这由WS-Security 规范定义。 , Web Service安全性的基本要求 WebService安全性的基本要求分为如下五个部分: , 身份验证:身份验证是指通讯双方可以根据需要验证对方身份的真实性。在现 实世界的网络中，网络资源并不是无偿提供的，因此需要对访问者的身份做 出判别。身份验证对十服务方十分重要，可以帮助确认服务所面向的用户， 此外，身份验证也是授权机制的基础。 , 数据机密性:机密性指信息对没有经过授权的个人、实体或进程的不可用性或 不公开性，未经验证授权的用户可能知道数据的存在，但是无法理解数据的 内容。机密性使通讯双方传输的数据在网络上传输时，内容不被任何第二方 获取，即通讯的内容对其他第二方是完全保密的。机密性是通过加密来实现 的，敏感的信息经过加密处理可以在不可信信道中传输。对十Web服务环境 来说，可以利用加密的方法对Internet中传输Web服务的一系列请求和响应 进行加密，保证数据的机密性。加密的方法特别适用十这种在开放网络环境 中“多到多”的通信。 , 数据完整性:保证数据没有被未经授权的用户改变或者破坏，从而确保消息在 传送的过程中不会被偶然或故意修改。数据完整性是指要传送的信息在不安 全信道中传输时，发送者和接收者可以根据需要检测传输的信息有没有被篡 改。完整性并不是指为了避免传输的信息不被篡改，而是指如果信息发生了 57 铁路机务运用安全管理系统的设计与实现 被篡改的情况，通讯双方可以检测出这一篡改，从而根据相应策略做出反应。 因为在不可信信道中，不可能完全保证信息在发送地传往目的地的过程中没 有被篡改过，所以必须通过检测以判断信息是否被篡改这一事实。数据完整 性通常通过散列算法实现。 , 授权:授权指权限的授予，包括根据访问权限授予访问权和保证发送方被授权 发送消息。在网络安全环境中，访问控制是限制和控制对主机系统和应用程 序进行访问的能力。在Web服务环境中授权是授予主体访问Web服务资源的 许可，而目_为访问控制提供基础。执行身份验证的主要目的是为了授权。典 型的授权策略根据己验证身份的用户的不同集合，来授予对不同资源的访问， 例如角色、组或特权。授权策略可以限制访问很多不同的资源集合:主机、文 件、Web页、应用程序接口、方法、实例和数据库记录等等。 , 不可否认性:不可否认性是一个用户确保另一个用户不能否认或拒绝所执行 的特定动作，防止系统用户口后否认己经完成的交易。电子商务、电子政务 等网络应用都要求保证不可否认性。电子商务网站的消费者不能否认其曾经 确认过的订单请求，同时网站的服务者也不能否认曾经确认订单响应。在网 络环境中，要实现不可否认性，通常通过基十公开密钥基础设施((PKI)的数字 证书来实现，也就是通过非对称加密算法来实现。发送者利用私钥对发送消 息进行数字签名。而在非对称加密算法中，要想从公钥计算出私钥是不可能 的，除非拥有特定信息。因为除发送者外的任何人，都不可能利用发送者的 私钥进行数字签名。因此只要利用发送者的公钥对签名验证成功，就可以说 明发送者曾经发送过这条消息。在Web服务环境中，通常对XML消息进行 数字签名，以保证XML消息发送行为的不可否认性。 5.3.2 SOAP的安全性 从上面对Web Service安全性的分析中，还可以发现一个特点:Web Service安全性的问题主要是SOAP消息的安全性问题。如果能够解决SOAP消息的安全性问题，那么Web Service的安全性问题也就基本解决。 在前面的章节中，‘曾经介绍了SOAP协议的机制以及SOAP消息的构成，可以看出SOAP是一个集可扩展性、简单性和独立十传输协议等众多优点，并目_可以保证很强的互操作性的协议，同时也可以看出，SOAP除了不具备路由和可靠性等分布式系统的特性之外，更重要的是缺乏安全性，由十Web Service最主要的应用之一是使得企业之间的信息可以实现无缝集成，而作为Web Service的消息框架的SOAP协议，在传输消息的过程中却没有采取任何安全措施，这就将企业之间传递的消息完全暴露十企业之外，而这些消息往往又包含非常机密和重要的内容，这就对SOAP协议 58 铁路机务运用安全管理系统的设计与实现 的安全性提出了新的挑战。 然而，SOAP协议本身是从简单性和可扩展性出发的，要想实现SOAP消息的安全，就只能利用SOAP协议可扩展性强的优点，将SOAP协议进行安全性扩展，从而实现SOAP消息的安全。 SOAP不是一个独立的网络通信协议，而是建立在HTTP， SMTP等协议基础上，通过这些协议进行XML格式的SOAP消息传送的，但同时SOAP也是独立十网络通信协议的，因为它不依靠十某一个具体的网络通信协议。 前一节介绍了Web Service安全性的五个要求，SOAP的安全性也正是基十这五个方面，要达到这五个要求，其基本做法就是通过XML签名和XML加密，通过和数字证书联系在一起，提供身份验证和授权，同时通过XML加密和XML签名对XML格式的数据进行加密和数字签名，从而保证SOAP消息实现机密性、完整性和不可否认性。 , SOAP消息的机密性。XML加密可以对SOAP消息中包含的XML格式 的数据进行加密，从而可以保证数据不被窃听，而 }_在整个的消息传送 过程中始终保持加密状态，避免了通过ssL等现有的安全机制传输数据 时在不同的l办议之间进行数据转换时出现的暂时的未加密状态，例如 soAP消息(明文，未加密)要传送到web service的服务器端，首先通过 HTTP协议进行传送，然后通过SMTP协议进行转发，还有可能通过 MSMQ等技术进行后续的转发，最后传到服务器端，这样在不同的协议 之间，由十采用的现有加密技术类型不同，如HTTP采用SSL，SMTP 采用S/MIME(Secure/Multipurpose Internet Mail Extensions)等技术，导致 真实数据在这些协议之间传递的时候是处十明文状态的，因为原始数据 是明文，数据传递也仅仅只是改变了发送信息的协议头信息，如由HTTP 协议头改为了SMTP协议头，在不同I办议之间的交接点处，就会出现 信息的未加密状态。如果信息处十加密状态，而-}_ XML加密可以实现 密钥信息和加密数据绑定在一起，这样不管信息经过多少不同类型的协 议进行传送，也不管在这些协议内部经过多少次不同类型的加密转换， XML格式的SOAP消息始终处十加密状态，这样就避免了上面提到的“未 加密状态”的情况，同时由十数据本身是加密的，在不同协议之间进行 传送的时候，各个协议就可以不需要采用该协议自身的加密技术来确保 数据加密。 , SOAP消息的完整性、不可否认性、身份验证和授权。数字证书的内容 包含了所有者是谁、证书所属的组织、从何处签发证书、有效口期、公 共密钥、密钥长度、密钥用法等。有效的数字证书都是通过证书颁发机 构进行审核通过然后颁发给数字证书的中请者的，证书颁发机构如 59 铁路机务运用安全管理系统的设计与实现 Verisign， Thawte和GeoTrust等都是国际公认的权威性的证书颁发机构， 通常证书如果是这些机构颁发的，就认为证书是有效的，当然证书的有 效口期也是一个决定因素。在数字签名过程中，通过附加数字证书的内 容可以证明消息的发送方是预期的那个人，接收方通过验证数字证书的 有效性保证消息来自预期的发送者，这就保证了SOAP消息是通过身份 验证的。同时由十证书代表的是用户的身份，因而，可以根据用户的身 份来判定用户属十哪种类型，从而根据不同类型的用户分配不同的权限， 达到了权限分配和权限管理的目的。 从技术上来讲，证书颁发机构颁发的证书都是经过自身签名的，当证书验证的时候，一方面验证证书的有效口期，另一方面验证证书签名的有效性，包括公钥/私钥对是否吻合以及证书是否被修改过。可以看出，数字证书是用十数字签名的，同时数字证书也是被数字签名的，数字证书用十数字签名是证书的应用，而数字证书被数字签名是用十验证证书的有效性。由十数字证书代表了消息发送者的身份，所以数字证书不仅可以保证SOAP消息的身份验证，同时也可以保证SOAP消息的不可否认性，这里的不可否认性就是指消息在发送出去之后发送方不能抵赖，包括不能否认自己没有发送过消息，或者声明自己发送过某个消息，而实际上却没有发送过。 5.3.3 现有安全技术的研究 上面一节提到的WS-Security标准本身就是一系列安全技术的融合，除此之外，对SOAP消息的安全，通常是利用SOAP的扩展机制进行安全性扩展实现的，这主要有XML加密、XML签名等。XML加密实现交换信息的机密性，防止未经授权的用户、实体或进程窃取信息;XML签名保证信息的完整性和统一性，使得未经授权的用户不能改变或者删除信息，实现信息在传送的过程中不会被偶然或故意破坏，并目_可以提供信息的原始性证明，保证消息可以被接收方成功地解密。 XML Encryption Syntax and Processing (XML加密语法与处理)是W3C的一个工作小组(XML Encryption Working Group)开发出来的规范。这个规范描述了对数据的加密过程及加密结果的XML表示，XML加密的使用范围非常广泛，可以应用十下面所列举的几种情况: , 可以加密整个XML文档; , 可以加密XML文档中的单一元素; , 可以加密XML文档元素的内容; , 可以加密非XML元素，如JPEG数据类型; , 可以对己经加密的元素进行再加密。 在对XML进行加密时使用元素或者元素来标识。 60 铁路机务运用安全管理系统的设计与实现 其中，元素用来表示除加密密钥以外所有的加密内容，该元素中有一个Type属性用来表示加密的类型，另一个子元素CipherData表示加密以后的内容。如果加密后的数据是一个加密密钥，则使用元素来表示，该元素用十交换对称会话密钥，即EncryptedKey中包含的是加密了的对称密钥。通过其中的一个子元素ReferenceLis t可以让接收方需要用这个密钥解密的是哪一部分。 XML加密无意替换或取代SSLITLS } 而是为了有效的解决传统加密技术不能适应多样化的用户需求的问题。它提供了SSL未涵盖的安全性需求机制，在可以有选择的加密的同时也为需要结构化数据交换的应用程序提供了一种端到端的安全性。 XML加密并不定义任何新的加密算法，而只是提供一个标准的格式和处理模型，在加密技术中有对称加密和非对称加密两种。 对称加密技术的缺陷是共享密钥交换难以处理，而非对称密钥可以解决这个问题。尽管对称加密技术有自身的缺陷，但它的最大的优点是加密解密的速度快，使用共享密钥加密消息要比使用非对称密钥加密快得多。 非对称算法用十生成成对的密钥，在密钥对中，私钥只被拥有密钥对的实体使用。消息的发送方使用接收方的公钥加密消息，预期的接收者使用相应的私钥解密消息并阅读消息。而公钥可以对一般公众公开，这样就能解决共享密钥交换的问题。非对称算法的一个缺点是加密消息要比对称密钥花费更长的时间，而 }_加密时间直接与消息的长短成正。 61 铁路机务运用安全管理系统的设计与实现 6 数据库安全体系的研究 我们知道，大量的数据存放于数据库系统中，并且为众多用户共享，很容易造成信息的泄漏，信息的窃取或篡改，从而造成企业不可估量的损失，甚至危及国家的安全。随着计算机利一学技术的发展以及普及和数据库技术、数据库本身的广泛应用，数据库安全已是当前信息社会特别关注的严重问题。现在迫在眉睫的问题是:如何保证和加强数据库安全性和保密性。 6.1 数据库安全概述 6.1.1 数据库安全定义 数据库安全是指数据库的任何部分都不允许受到恶意侵害或未经授权的存取或修改。其主要内涵包括三个方而:(1)保密性。不允许未经授权的用户存取信息。(2)完整性。只允许被授权的用户修改数据。(3)可用性。不应拒绝已授权的用户对数据进行存取。 当前对数据库安全的威胁主要分为物理上的威胁和逻辑上的威胁。物理上的威胁是如水灾、火灾等造成的硬件故障，从而导致数据的损坏和丢失等。为了消除物理上的威胁通常采用备份和恢复的策略。逻辑上的威胁主要是指对信息的未 被授权的存取，可以分为三类:(1)信息泄漏，包括直接和非直接(通过推理)地对保护数据的存取:(2)非法的数据修改，由操作人员的失误或非法用户的故意修改引起;(3)拒绝服务，通过独占系统资源份致其他用户不能访问数据库。为了消除逻辑上的威胁， [27]DBMS必须提供可靠的安全策略，以确保数据库的安全性。 6.1.2 数据库安全的重要性与必要性 近年来，随着计算机技术的迅猛发展，各领域中数据库的广泛运用，应用系统数据库数据安全、重要数据的防窃取、防篡改越发值得引起高度重视。 现代信息社会，数据信息既是资源，也是社会财富。集中存储了很多信息的数据库系统的最大优点是使数据共享得以实现，与此同时，也必然引发数据库安全隐患。若数据库中的数据安全不能由数据库管理系统严格保护，很大程度上影响了数据库应用的深度、广度。所以，探讨数据库安全风险防范意义重大。 ?有效保护数据资源 62 铁路机务运用安全管理系统的设计与实现 大部分政府部门、机构、及企业网站上，各式各样的数据库起到保存大量数据资料如用户信息、内部资料(客户资料、员工信息等)等的作用，叫实现信息的集中保存及处理，部门电子商务网站的数据库还包含有商业事务、交易记录、账号数据、市场计划信息等。 ?适时保护操作系统的安全 即便是在很安全的操作系统上运行，数据库系统中网络入侵者仍可经由执行部分内置扩展存储获取操作系统权限。该存储过程可提供部分执行操作系统命令的接口，并可访问全部系统资源;入侵者还可严重威胁与该数据库服务器建立信任关系的其他服务器的全部区域数据安全。 ?充分保护商业网站安全 Web服务、Java及其他技术是大多电子交易、电子商务的焦点，客户系统及B2B系统是以关系数据库为基础，其数据库安全格外重要，直接关系着系统的可靠性、数据信息的完整性、保密性。 6.1.3 数据库安全的常用技术 数据库安全通常通过存取管理、安全管理和数据库加密来实现。存取管理就是一套防止未授权用户使用和访问数据库的方法、机制和过程，通过正在运行的程序来控 [28]制数据的存取和防止非授权用户对共享数据库的访问。安全管理指采取何种安全管理机制实现数据库管理权限分配，一般分集中控制和分散控制两种方式。数据库加密主要包括:库内加密(以一条记录或记录的一个属性值作为文件进行加密)、库外加密(整个数据库包括数据库结构和内容作为文件进行加密)、硬件加密等3大方面。 虽然数据库安全模型和安全体系结构以及数据库安全机制对于数据库安全来说也非常重要，但是对其的研究和应用进展缓慢。迄今为止，在数据库安全模型上己做了很多工作，但仍然有许多难题;安全体系结构方面的研究工作还刚刚开始;安全机制上仍保持着传统的机制。20世纪90年代以来，数据库安全的主要工作围绕着关系数据库系统的存取管理技术的研究展开。 , 存取管理技术 存取管理技术包括用户身份认证技术和存取控制技术两方面。用户身份认证技术包括用户身份验证和用户身份识别技术。存取控制包括数据的浏览控制和修改控制。浏览控制是为了保护数据的保密性，而修改控制是为了保护数据的正确性和提高数据的可信性。在一个数据资源共享的环境中，存取控制就显得非常重要。 , 安全管理技术 63 铁路机务运用安全管理系统的设计与实现 安全管理指采取何种安全管理机制实现数据库管理权限分配，安全管理分集中控制和分散控制2种方式。集中控制单个授权者来控制系统的整个安全维护，分散控制则采用可用的管理程序控制数据库的不同部分来实现系统的安全维护。集中控制的安全管理可以更有效、更方便实现安全管理。安全管理机制可采用数据库管理员、数据库安全员、数据库审计员各负其责，相互制约的方式，通过自主存取控制、强制存取控制实现数据库的安全管理。数据管理员必须专门负责每个特定数据的存取，DBMS必须强制执行这条原则，应避免多人或多个程序来建立新用户，应确保每个用户或程序有唯一的注册账户来使用数据库。安全管理员能从单一地点部署强大的控制、符合特定标准的评估，以及大量的用户账号、口令安全管理任务。数据库审计员根据日志审计跟踪用户的行为和导致数据的变化，监视数据访问和用户行为是最基本的管理手段，这样如果数据库服务出现问题，可以进行审计追查。 , 数据库加密 一般而言，数据库系统提供的安全控制措施能满足一般的数据库应用，但对于一些重要部门或敏感领域的应用，仅有这些是难以完全保证数据的安全性的。因此有必要在存取管理、安全管理之上对数据库中存储的重要数据进行加密处理，以强化数据存储的安全保护。 数据加密是防止数据库中数据泄露的有效手段，与传统的通信或网络加密技术相比，由于数据保存的时间要长得多，对加密强度的要求也更高。而且，由于数据库中数据是多用户共享，对加密和解密的时间要求也更高，以不会明显降低系统性能为要求。 6.2 数据库安全分析 6.2.1网络环境下据库安全性需求分析 网络化环境下信息的逻辑安全性环节有:传输信息的安全、存储信息的安全和访问信息的安全。传输信息的安全主要由网络操作系统及其有关传输协议保证.采用以密码学为理论基础的各种数据加密/解密的技术和措施。 数据库及其管理系统作为信息数据的存储地和处理访问地.应能对信息数据的安全存储和安全访问提供服务.并具有安全防范的能力。主要包括:(1)要求数据库具有保密性，即能防止非法用户的访问，保护数据库中数据的机密不被泄露和篡改;(2)要求数据库具有完整性和一致性，即能防止对数据库进行不正确的操作或非法用户的恶意攻击;(3)要求数据库具有可用性，即能防止或及时修复因软、硬件系统的错误所造成的数据库恶性破坏，并拒绝和清楚数据库垃圾，使数据库随时保持可用状态;(4)要求 64 铁路机务运用安全管理系统的设计与实现 能对数据库变化作跟踪记录.以利于追查并防止否认对数据库的安全责任。. 6.2.2数据库安全的实现途径 目前对数据库系统的安全改造主要有2种发展趋势:(1)对数据库系统本身进行安全改造，建立多级安全数据库系统;(2)对数据库系统运行的平台进行安全改造，采用安全级别更高的操作系统或安全的通信平台，如VPN(虚拟专用网)。后一种方式对所有的数据库系统透明，通用性强，但保护的力度不足。此处主要介绍前一种方式。 (1)采用对数据库驱动程序进行安全扩展的方法 在数据库存取接口上，通过扩展标准的SQL语句，透明地实现对数据库中敏感信息的加密和完整性保护，对关系数据库的操作可以采用SQL DDL和SQL DML语言，通过ODBC，JDBC，BDE等数据库驱动程序实现对数据库中表格、记录或字段的存取控制;并对用户操作进行日志记录和审计，从内部增强关系数据库的存储和存取安全。这种方式具有通用性，并且不会对数据库系统的性能造成大的影响。该模型在常规数据库驱动程序中增加密钥管理、审计日志管理、完整性验证和数据加解密等安全扩展模块，通过附加的安全属J险如数据库存储加密密钥和审计日志等与安全相关的信息来加强数据库的安全;同时，增加数据库主密钥设置、更新和加密算法设置等安全属性来提高SQL语句的安全性。 (2)采用基于视图的数据库安全模型 SQL Serve:通用安全模型的特点是将权限赋予表，用户要查询数据、更改数据或对数据库进行其它操作时，直接存取表，用户只要有对表的Select权限，就可以检索表中所有的信息。但是，现实世界中大多数的应用都要求对信息本身划分为不同的保密级别，如军队中对信息的分类就不能简单地划分为公开和保密2类，而是需要更加细致的分类，可能 对同一记录内的不同字段都要划分为不同的保密级别。甚至同一字段的不同值之间都要求划分为不同的保密级别。多级保密系统中，对不同数据项赋予不同的保密级别，然后根据数据项的密级，给存取本数据项的操作赋予不同的级别。SQLServe:通用安全模式显然不能将不同的字段和同一字段的不同值分为不同的保密级别，这是因为用户直接存取存储数据的数据库表。采用基于视图的数据库安全模型，这个问题就可迎刃而解。 利用视图限制对表的存取和操作:通过限制表中的某些列来保护数据;限制表中的某些行来保护数据。视图和权限创建一个视图后，必须给视图授予对象权限，用户才能存取和操作视图中的数据，不必给作为视图表的基础表授予权限。 65 铁路机务运用安全管理系统的设计与实现 (3)采用增强数据库安全的应用服务器((DSAS) 在现有的C2级安全的DBMS基础上，采用增强数据库安全的应用服务器，从而可达到所期望的B类安全标准。DSAS作为数据库服务器的特种安全保障软件，用以增强抵御来自系统外部和内部的对数据库安全攻击的内在能力，使计算机信息系统在更安全的数据库环境中运行。它具有如下特征: 1)强制存取控制:实现基于敏感度标记的强制存取控制; 2)双向身份认证:提供用户与安全应用服务器DSAS之间的双向身份认证; 3)加密通信:提供安全通信的密钥，保障信道上数据的保密性与完整性; 4)增强的安全审计跟踪:增加跟踪记录与安全性有关的操作，以辨清安全责任 6.3 数据库安全技术研究 当前DBMS所采用的数据库安全技术主要有标志和鉴别、访问控制、信息流控制、 [29]推理控制、审计和加密等，其中目前应用最广也最为有效的是访问控制技术。 6.3.1标志和鉴别 标志是指用户向系统出不自己的身份证明，最简单的方法是输入用户ID和密码。标志机制用于唯一标志进入系统的每个用户的身份，因此必须保证标志的唯一性。鉴别是指系统检查验证用户的身份证明，鉴别机制用于检验用户身份的合法性。标志和鉴别功能的存在保证了只有合法的用户才能存取系统中的资源。 身份的标志和鉴别是DBMS对访问者授权的前提，并通过审计机制使DBMS保留追究用户行为责任的能力。功能完善的标志与鉴别机制，也是访问控制机制有效实施的基础。特别是在一个开放的多用户系统的网络环境中，识别授权用户是构筑DBMS安全防线的第一个重要环竹。标志过程易与鉴别过程相混淆，标志过程是将用户ID与程序或进程联系起来;鉴别过程的目的则在于将用户ID和真正的合法授权用户相关联。 近年来标志和鉴别技术发展迅速，主要有口令验证、智能卡验证、指纹验证、手型儿何验证、声音识别验证、虹膜识别验证等技术。 6.3.2访问控制 任何计算机系统都有两种资源:主动的主体和被动的客体。在数据库系统中，用户、进程等是存取动作的主体;而客体是数据、表、记录、元组、字段等。访问控制就是当主体请求对客体访问时，系统根据主体(进程)的用户和组的标识符、安全级和权限， 66 铁路机务运用安全管理系统的设计与实现 客体的安全级、访问权限以及存取访问的检查规则，决定是否允许主体对客体请求的存取访问方式(读、写、修改、删除、加入记录等)的访问。访问控制策略的正确性取决于正确的用户标志和对访问控制机制的保护。在设计一个正确的访问控制策略和构建一个正确的访问控制安全模型时，必须考虑以下原则(1)最小权限和最人权限原则;(2)开放式系统和封闭式系统原则; (3)集中管理和分散管理原则;(4}粒度原则;(5)访问权限原则。 访问控制分为DAC ( Discretionary Access Control ) ，MAC(Mandatroy Access Control)和RBAC(Role-Based Access Control)三种类型。 DAC最旱出现在20世纪60年代末期的分时系统中，它是根据主体身份或者主体所属组的身份或者一者的结合，对客体访问进行限制的一种方法，其粒度是单个用户。当主体具有某种访问权，同时又拥有将该权限授予其他用户的权利时，他能够自行决定将其访问权直接或间接地转授给其他主体。 DAC的优点是简单、灵活，在一定程度上实现了多用户环境下的权限隔离和资源保护，易于扩展和理解;缺点是很难控制已授出去的访问权限，易遭受特洛伊木马等旁路攻击。为了增强数据库系统的安全性，需要对授权传播进行限制。HRU访问控制模型对其进行了改进，其基本思想是采用客体主人自主管理该客体的访问和安全管理员限制访问权限随意扩散相结合的半自主式的资源管理方案。 DAC的一般实现机制是访问控制矩阵，常见实现方法是访问控制表(ALL)，访问能力表和授权关系表。DAC对授权的管理主要有集中式管理、分级式管理、基于所有者的管理、协作式管理和分散式管理等五种方式。由于DAC本质上的问 题，引入了MAC。 MAC最旱出现在20世纪70年代，80年代得到普遍应用，其理论基础是Bell- LaPadula模型。其基本思想是通过给主体(用户)和客体(数据对象)指定安全级，并根据安全级匹配规则来确定某主体是否被准许访问某客体。安全级L包括两个元素:密级(Classification)和范围(Categories) o主体的安全级反映主体的可信度，客体的安全级反映客体的敏感度。 MAC主要采用以下规则分别保证信息的机密性和完整性。为了保证信息的机密性，要求:(1)无上读，主体仅能读取安全级别受此主体安全级别支配的客体的信息;(2)无下写，主体仅能向安全级别支配此主体安全级别的客体写信息。为了保证信息的完整性，要求:(1)无下读，主体仅能读取安全级别支配此主体安全级别的客体的信息;(2)无上写，主体仅能向安全级别受此主体安全级别支配的客体写信息。上述规则保证了信息的单向流动。 将MAC应用于RDBMS会产生多级关系和引出多实例化问题，故支持MAC的DBMS也称为多级安全DBMS。MAC的优点是能够防止特洛伊木马和隐通适的攻击以及防范用户滥用权限;缺点是配置粒度人，缺乏灵活性而且强制性太强，使得应用 67 铁路机务运用安全管理系统的设计与实现 的领域比较窄，一般只用于军方等具有明显等级观念的行业或领域。关SecureComputing公司对其进行了改进，提出了TE( Type Enforcement)控制技术，该技术把主体和客体分别进行归类，它们之间是否有访问授权由TE授权表决定。TE授权表由安全管理员负责管理和维护。 RBAC的概念旱在20 世纪70年代由关国George Mason大学的Ravi Sandu教授提出，但在相当长的一段时间内没有得到人们的关注。进入90年代，由于安全需求的发展，RBAC又引起了人们极大的关注。 RBAC中涉及的基本元素包括用户(Ueer) ，角色(Role) ，访问权(Permission)和会话(Sessions ) 。RBAC与传统访问控制的差别在于在用户和访问许可权之间引入了角色这一层。角色是一组用户和一组操作权限的集合，角色中所属的用户可以有权执行这此操作权限。用户与角色间是多对多的关系，角色与访问许可权之间也是多对多关系。当用户登录到RBAC系统时会得到一个会话，这个会话可能激活的角色是该用户全 部角色的一个子集。角色可以根据实际的工作需要生成或取消，而且用户也可以根据自己的需要动态激活自己拥有的角色，这样避兔了用户无意中危害系统安全，而且容易实施最小特权原则。由于数据库应用层的角色的逻辑意义更为明显和直接，因此RBAC非常适用于数据库应用层的安全模型。 RBAC的优点主要在以下儿个方而: (1)角色控制相对独立，根据配置可使某此角色接近DAC，某此角色接近MAC 。因此RBAC既可以构造出MAC系统，也可以构造出DAC系统，还可以构造出同时具备MAC和DAC的系统。 (2 ) RBAC是一种策略无关的访问控制技术，它不局限于特定的安全策略，儿乎可以描述任何的安全策略，甚至DAC和MAC也可以用RBAC来描述。 (3 ) RBAC具有自管理的能力。利用RBAC思想产生出的ARBAC(Adminstrative RBAC)模型能够很好地实现对RBAC的管理。 由于RBAC比DAC和MAC复杂，系统实现难度人，而且 RBAC的策略无关性需要用户自己定义适合本领域的安全策略。定义众多的角色和访问权限及它们之间的关系也是一件非常复杂的工作。 6.3.3信息流控制 20旧_纪70年代后期，Denning提出了信息流控制的基本思路用以对可访问的对象之间的信息流程加以监控和管理。信息流控制机制对系统的所有元素、组成成分等划分类别和级别。在对象X和对象Y之间的流程是指由对象X读取数据的值之后将该值写入对象Y的过程。信息流控制负责检查信息的流向，使高保护级别对象所含信 68 铁路机务运用安全管理系统的设计与实现 息不会被传送到低保护级别的对象中去，而不论这个过程是显式的(如拷贝过程)或是隐式的(如隐秘通适)，这可以避兔某此怀有恶意的用户从较低保护级别的后一个对象中取得较为秘密的信息。 信息流控制技术分为静态信息流控制技术和动态信息流控制技术。日前信息流控制技术还不够成熟，难以彻底解决隐秘通适等问题，这是因为实际系统的复杂程度超过了形式化验证技术所能处理的复杂程度。令人欣喜的是，国内外学者在坚持儿十年的努力之后，对解决这个问题持积极乐观的态度。 6.3.4 审计 审计功能是DBMS安全性方而重要的一部分。由于任何系统的安全保护措施都不是无解可击的，蓄意盗窃、破坏数据的人总是想方设法打破控制。通过审计，可以把用户对数据库的所有操作自动记录下来放入审计日志中，这样数据库系统可以利用审计跟踪的信息，重现份致数据库现有状况的一系列事件，找出非法存取数据的人、时间和内容等，以便于追查有关责任;同时审计也有助于发现系统安全方而的弱点和漏洞。按照TDI/TCSEC标准中安全策略的要求，审计功能也是DBMS达到C2以上安全级别必不可少的一项指标。 审计日志对于事后的检查十分有效，它有效地增强了数据的物理完整性。但是对于粒度过细(如每个记录值的改变)的审计，是很费时间和空间的，特别是在人型分布和数据复制环境下的人批量、短事务处理的应用系统中，实际上是很难实现的。因此DBMS往往将其作为可选特征，允许数据库系统根据应用对安全性的要求，灵活地打开或关闭审计功能。审计功能一般主要川于安全性要求较高的部门。 6.3.5 加密 对于数据库中存储的高度敏感机密性数据，如则务数据、军事数据、国家机密等，除以上安全性措施外，还应该采用数据加密技术。 数据加密是防i1:数据库中的数据在存储和传输中失密的有效手段。加密的基本思想是根据一定的算法将原始数据(明文，Plain Text)变换为不可直接识别的格式(密文，CipheiText)，从而使得不知适解密算法的人无法获知数据的内容。数据库加密系统有其自身的要求和特点。传统的加密以报文为单位，加/脱密都是从头至尾顺序进行。数据库数据的使用方法决定了它不可能以整个数据库文件为单位进行加密，在日前条件下，加/脱密的粒度是每个记录的字段数据。 传统加密方法主要有替换和置换。现在比较流行的加密方法是使用公开密钥进行加密，其优点是难以破解，但是加/脱密速度较慢，而且不符合数据库加密机制的“既可加密又可脱密的可逆过程”这个特性。在实际应用时采川改进的分组加密算法，使 69 铁路机务运用安全管理系统的设计与实现 其符合数据库加密的要求。 数据库加密对DBMS有影响:(1)对数据约束条件定义的影响。(2)SQL语言中的内部函数将对加密数据失去作川。(3)将不能对密文数据进行排序、分组和分类。(4)DBMS的一此应用开发工具的使用受到限制。 70 铁路机务运用安全管理系统的设计与实现 7 总结与展望 7.1 本文工作小结 现代铁路环境下，机务运用越来越倾向于协调多个参与方、多种运输形式共同作业，而运用系统的整合又严重依赖于各部门之间充分的信息共享。文中简要介绍了铁路运用安全管理系统研究设计与实现，对铁路调度系统(TDCS)和乘务员管理信息系统涉及的两种模式即C/S模式和B/S模式和WebServices技术进行了介绍;并对数据库安全方面的技术进行了简要的介绍与分析。 本文的主要工作包括: 1)结合国内机务运用系统的现状，提出了适合铁路环境运用系统的研究设计方 案，并且针对运用系统的关键 工作流程 财务工作流程表财务工作流程怎么写财务工作流程图财务工作流程及制度公司财务工作流程 进行了深入的分析，确定研究方案。 2)建立了调度系统和人员管理系统的模型，并根据该模型，进行了系统的需求分 析。 3)根据平台的需求，设计研究整体架构，确定各子系统之间的相互联系。 4)研究和实现了运用安全管理系统中的调度系统和乘务员管理系统。 试运行的结果表明，所设计的铁路运用安全管理系统提高了机务系统的工作效率，同时具备较好的安全性保障和稳定性。 7.2 展望 通过本论文的工作，初步建立了运安系统的框架，并且在测试和试运行中得到了检验。综合测试和试运行中的反馈，该平台还有一些值得进一步研究和改善的地方，主要包含以下二点: 5)该系统各部门之间的信息共享，以及安全信息验证系统与持卡人交互的页面还 需要进一步优化，以降低网络传输数据的大小，进一步提高网络传输的效率， 减少网络延迟和系统复杂度。 6)该系统的所处的网络环境相对特殊，对于二层和三层网络的相互访问还存在诸 多不足与障碍。该系统应进一步推广至其他站段，因此在对网络方面的优化也 非常必要。 71 铁路机务运用安全管理系统的设计与实现 参考文献 [1] 中华人民共和国铁道部，铁路机车运用管理规程，北京:中国铁道出版社，2000 [2] 铁道部，铁路信息化总体规划，2005年03期 [3] 吴芳，铁路运输设备，中国铁道出版社，2003 [4] 赵吉山，肖贵平，铁路运输安全管理，中国铁道工业出版社，1999 [5] Jacques，Future Development in ERTMS，2001 [6] 张文奎，日本交通运输网的特点及其整治，现代日本经济，1984年03期 [7] 刘毅,系统开发中C/S模式与B/S模式之比较,乐山师范学院学报,2003(18) [8] 李炽明，莫倩，徐明，基于Java技术的Web环境下分布式数据库互操作性的实现， 微型机与应用，1999年03期 [9] 王丽华，田文英，何丽娟，网络数据库安全研究及防范，科技信息，2009(29) [10] 肖敏，熊前兴，赵玉伟,基于C/S与B/S混合模式的应用研究,武汉理工大学学报(信 息与管理工程版)，2006.3 [11] 易开祥，胡敏，杨建，石教英.基于B/S模式的信息系统研究与设计,计算机工程 2000.8 [12] 樊银亭，何鸿云,基于客户机/服务器体系的一层与三层结构研究,计算机应川研究， 2001,18 (12) [13] 宋晓萍，周杰，铁路列车调度指挥系统(TDCS)实用问答，中国铁道工业出版社， 2008 [14] 鲍维千，杜怡主编，铁路机务，成都:西南交通大学出版社，1998 [15] 廖济广，莫正坤，铁路安全系统工程，长沙:湖南大学出版社，1987 [16] 王卓，贾利民，王艳辉，李平，中国铁路智能运输系统关键技术体系及战略研究， 交通运输系统工程与信息，2005 1 (1) 72 铁路机务运用安全管理系统的设计与实现 [17] 龚昕，王慈光，铁路运输统计与分析，中国铁道出版社，2010 [18] 徐树亮， 耿幸福， 宁斌，城市轨道交通运营安全，人民交通出版社，2010 [19] 闻清良，重载铁路货运技术，中国铁道出版社，2009 [20] 邵辉.蔡林沁，基于B/S与C/S的煤矿安全管理信息系统开发研究，矿业安全与环 保，2002 29(4) [21] Ross J. Anderson，信息安全工程，机械工业出版社，2003 [22] 古凌岚，罗佳，张婵，Java程序设计，北京:清华大学出版社，2005 [23] 钱乐秋，张敬周，朱三元，Agile方法研究综述，计算机应用与软件，2002(6) [24] 卫红春，信息系统体系结构研究，计算机工程与应用，2003 39(23) [25] 姜旭平，信息系统开发方法-方法、策略、技术、工具和发展，清华大学出版社1997 [26] 中华人民共和国铁道部，机运(1995)56号“于关发布《安全标准机务段管理体系 标准》的通知”，1995 [27] 焦岩，关于数据库系统安全现状的研究，计算机安全，2010(5) [28] 卢佐华，网络在安全体系架构中的位置，2006(03) [29] 温丹吴、陆阳，基于数字签名技术的数据库安个共享机制，网络安个技术与应用， 2005(6):55-57 73 铁路机务运用安全管理系统的设计与实现 致 谢 本文从选题、研究到撰写，都是在我的导师沈备军教授的悉心指导下完成的。作为我的指导老师，您给我提供了宝贵的学习和科研实践机会，让我积累了宝贵的实践经验，也逐步提高了科研能力。您耐心细致的帮我解决工作和学习中遇到的问题，教给了我不少解决问题的思路和方法。您还给我的每一篇文章都提出了宝贵的修改意见和建议，让我得以不断进步。感谢您对我研究方向的指点在此谨向导师致以衷心的感谢。沈老师渊博的知识，严谨的治学态度，正直高尚的品格，以及对事业执着追求的精神，给我留下了深刻的印象，必将成为我今后的工作、生活的榜样。 从我最初跌跌撞撞进入本论文涉及的研究领域到论文最终成稿，其间伴随着对陌生领域的好奇，也多次在困难面前感到畏惧。感谢我身边的及远方的朋友们，谢谢你们在我感觉研究工作举步维艰、想要退缩、放弃的时侯给我的鼓励与支持，是你们，让这段有苦有甜的岁月变得弥足珍贵。本论文得以顺利完成也得到了单位领导同事和家人的大力支持，为我创造条件，使我能够全身心地投入到毕业设计中。在此，我向他们表示衷心的感谢! 最后，各位专家百忙之中来参加我的论文评审工作，在此表示深切地感谢!。 74 铁路机务运用安全管理系统的设计与实现 攻读学位期间发表的学术论文 75