《新华三:2024交通行业数字化转型白皮书(153页).pdf》由会员分享,可在线阅读,更多相关《新华三:2024交通行业数字化转型白皮书(153页).pdf(153页珍藏版)》请在三个皮匠报告上搜索。
1、新华三集团杭州总部杭州市滨江区长河路466号邮编:Copyright 2024新华三集团 保留一切权利CN--BR-SD-V1.0免责声明:虽然新华三集团试图在本资料中提供准确的信息,但不保证本资料的内容不含有技术性误差或印刷性错误,为此新华三集团对本资料中信息的准确性不承担任何责任。新华三集团保留在没有任何通知或提示的情况下对本资料的内容进行修改的权利。数字化转型白皮书精耕务实 为交通赋智慧近年来随着交通强国战略等一系列国家政策的施行,2035年我国将基本建成交通强国,形成123出行交通圈及123快货物流圈。正如交通强国纲要中所提到的,近两年我们参与多个交通行业
2、信息化项目建设,明显感受到了三个层面的变化:由速度规模向质量效益转变,交通基础设施建设增速减缓,从重视建设向建设运营并重转变;由独立交通向综合大交通转变,大型交通枢纽、城市综合交通、多式联运等交通一体化新形态繁现;由传统驱动向创新要素驱动转变,从运营交通到经营交通转型,从提供标准位移群体服务向精准消费个体服务演进。在国家大政策的引领下,交通行业数字化转型也进入爆发期,无论是中国城市交通协会发布的中国城市轨道交通智能城轨发展纲要,还是民航局发布的中国民航四型机场建设行动纲要,各省交通厅陆续发布的智慧高速公路建设指南,以及国铁集团发布的铁路信息化总体规划等行业政策,无一不在强调交通行业客户需求再发
3、生重大变化,行业客户更加务实,不再满足于基本需求,不再盲目追求新技术、新产品,更多追求数字化技术与行业业务场景的深度融合。与此同时,AIGC、云计算、大数据、5G、区块链等新技术也为智慧交通建设提供有效的支撑工具和手段。2019年全国高速公路取消省界收费站工程之所以能够快速建设完成,是因为ETC技术的成熟与普及;云计算技术和地铁业务深度融合,让城轨云建设成为地铁信息化建设的主流;多个城市地铁业主开始选择高性价比的5G公专网作为车地无线通信网络制式,铁路5G-R专网建设也提上了日程;生成式AI技术在交通运营和运维场景逐步渗透,极大的提升了运营运维效率,真正实现了降本增效。如上所述,智慧交通的建设
4、绝不是新技术和新产品的堆砌,而是技术和业务的深度融合。数字化技术需要从建设阶段走入规划、运营、经营全流程,在重点场景选择合适的、高性价比的产品技术,实实在在解决问题,而不是最新的、最流行的技术,单纯的新技术的应用不是创新,对生产运营有帮助的场景才是创新。当前交通行业的基础设施普遍缺乏数字化能力。例如,很多路侧、轨旁、场站及枢纽的终端还是“哑“的,尚未纳入交通运营管理。面对这个问题,也许大家首先想到的是5G技术去解决。诚然5G网络的低时延、广连接、大带宽特别适配交通移动性强、重资产、重安全等需求。我们也看到,无论是铁路、地铁、机场等行业都在积极布局5G行业的专属应用。但因为行业标准、产业生态、数
5、据安全等一系列问题,5G在交通行业大规模成熟的应用仍需时日,所以我认为交通基础设施数字化的首选技术不能唯5G论。在机场行业,物联网仍然是机场实现全域感知的重要技术手段。例如机场的无动力设备作业是航班地面保障的重要工作,然而无动力设备分布在机场机坪、停车场和库房等区域,数量多、使用分散、维护保养难,已成为整个行业近十年的管理难题。我们基于“云网一体化”的物联网数字基础设施,助力萧山机场打造了端到端无动力设备管理创新应用,采用“LoRa+卫星定位”技术方案,实现了室内、室外的连续性定位,有效提高了机场飞行区无动力设备的管理效率。在城轨行业,市域(郊)铁路建设如火如荼,市域轨道普遍设计时速较高,如雄
6、安新区至北京大兴国际机场快线(R1线),设计时速达到200km/h。市域(郊)铁路高速移动环境下,对车地无线通信网高速适应性提出了更高要求。新华三在业界率先完成了WLAN方案在260km/h高速移动环境测试,可达760Mbps传输带宽,完全满足市域铁路对于高速无线的需求。此外,Wi-Fi 6的技术也由生产领域延伸应用到运维、运营领域,为智能运维和智慧车站提供性价比极高的传输通道。技术的先进性不仅仅是指标的先进性,而是技术能否真正适合交通行业的应用场景。另外一个层面,无论是地铁、铁路、空管、公路等行业,目前均在使用传输技术构筑骨干承载网络。诚然,传输技术在可靠性、业务隔离度、稳定性等各方面均具备
7、得天独厚的优势。但随着智慧业务的发展,大量高清视频监控,车路协同以及智能传感器的引入,对交通骨干承载网的提出了新的业务诉求,如需要灵活地进行业务开通,给予业务更加精细化的带交通是最早使用信息化技术的行业之一,但由于交通行业的专业性较强,对安全可靠性要求高、移动性强等特点,在数字转型过程中相比于其他行业面临更多严峻的挑战和难题,例如安全和效率如何平衡、技术和场景如何融合、创新试点和规模复制之间如何转化等等。纵观交通行业信息化几十年发展史,经历了自动化、数字化、智慧化、绿色化四个阶段,每一个阶段的发展,都离不开政策的引领,需求的驱动以及创新技术的支撑。精耕务实,为交通赋智慧文/辛龙超政策引领、需求
8、驱动、技术支撑,交通行业数字化转型全面加速交通数字化转型需要技术和业务深度融合,创新业务价值前言宽保障。尤其是分布式云的出现,需要网络能够跟随算力实现精准的流量调度,能够可编程调度,而传输技术是无法满足这一点的。新华三凭借对行业骨干网业务的理解推动IPRAN技术进一步演进,通过单台设备的统一交换架构,融合支持IPv6+和光层的能力,深度挖掘IPv6+的网络切片,业务感知和智能运维等能力的基础上,融合支持光层的大带宽、低延时、高可靠和硬隔离的能力,更好的服务智慧交通的业务发展,同时也可极大降低建设及运维成本。通过参与众多交通行业云的实践,我们看到当前交通云的建设较以前发生了较大变化:云计算不再是
9、标准的产品和工具,实现基础资源的云化,客户更希望云服务更加场景化、套件化,更加贴合实际业务的定制化需求。例如PaaS平台在向aPaaS演进,基于专属的PaaS平台进行云原生业务的开发。此外,云平台建设不仅是软硬产品的简单集成,更是一套复杂的系统方案,所以在云平台的建设上,客户不仅仅是在选择产品,更是在选择一家具备技术实力,能够长期稳定合作的行业伙伴。我们提出与交通行业客户深度合作,打造专属于客户的私有行业云。截止目前,我们已经服务全国60余个城轨云建设,包括北京、南京、上海等一线城市超大规模城轨云项目。根据IDC发布的中国城轨云基础设施市场分析报告,新华三市场份额已连续三年排名第一。之所以取得
10、这样的成绩,是因为我们将标准的云方案进行了深度的改造,以适配城轨云的特殊需求:针对CCTV业务进行组播数据优化,满足安全生产、内部管理、外部服务在三网隔离前提下实现统一云管,解决AFC系统在客流高峰期承载压力大的问题,满足信号系统上云的安全可靠性需求,兼顾未来新建或改造线路的接入扩容等等。这些改造和适配都需要大量的实践经验,需要对行业标准的深刻理解,用超强的方案定制开发能力去实现。在车路协同场景中,智能网联车辆对于道路交通系统信息反馈的实时性、准确性、连续性的要求大幅提升,传统交通信息技术和系统无法满足这些新的要求。我们联合交通部公路院,搭建一套新的云边协同架构,通过引入高效、高可靠的边缘计算
11、节点提升整个交通信息系统的协同服务能力。在智能交通技术交通运输行业重点实验室的支撑下,公路院与新华三集团组成了联合研究团队,研发了高可靠云边协同系统的架构原型,并在公路交通试验场开展了功能验证与应用示范,该云边协同架构能够实现当边缘设备出现故障及算力不足时,基于云平台调度功能实现边边、云边协同,大幅提升系统的可靠性及稳定性,通过云边之间的资源共享及协同控制,保障车路协同业务的连续性。AI大模型已成为面向未来的战略性技术,数字时代的PC互联网、云计算大数据等技术带来了生产效率的提升,AI只是扮演了脑力辅助角色。而在智能时代,AI大模型将实现脑力生产效率的二次跃升,带来一场生产力和人机交互的革命。
12、然而,通用AI大模型在交通行业落地面临着训练成本高、部署和运维复杂、行业数据安全风险高、行业专属能力差等一系列问题。为此,需要将AI通用大模型进行裁剪,使其能够轻量化低成本部署;同时公有大模型需要私域化部署,让行业专有数据不出域、可用不可见,帮助客户以私有数据训练订制化的人工智能,建设最“放心”的私域大模型;同时,也需要聚焦细分场景,打通垂直应用数据,形成精准、精确、精益的私域垂直特定能力,建设最懂行业的私域大模型,从AI in ALL到AI for ALL。2023年6月,新华三在业界率先发布了百业灵犀私域大模型,致力于为百行百业客户建设行业专注、区域专属、数据专有、价值专享的私域大模型解决
13、方案。在交通行业,我们与机场、公路、地铁多个客户的业务场景进行适配开发,发布了智能客服、安全事件分析、智能运维、运维管理、高速公路绿通违规解释、交通安全事件应急处置建议等多个场景化方案,极大提升了客户生产、运维领域的效率,降低了相关的成本。注重合适性就是要在技术应用上要与行业的实际需求相契合。盲目地跟随科技潮流而投入昂贵的技术并不一定能够创造真正的价值。相反,交通企业应当审慎考虑自身的业务痛点,选择能够解决实际问题的技术方案。这需要深入了解交通生产、运营、运维的各个方面,从而找到真正适合的数字化解决方案。其次,追求务实,不仅仅关注技术的高级程度,更要关注技术的可操作性和实施的可行性。只有在技术
14、创新与实际业务需求相结合的基础上,数字化转型才能够真正取得成果。未来,新华三将持续以不断创新的技术实力,与客户、合作伙伴一道,精耕交通行业需求,推出更多务实、合适的行业解决方案,持续助力大交通行业数字化转型升级!最后,我认为交通行业的数字化转型关键在于将技术与业务深度结合,实现创新和效率的双赢。然而,这并非简单地追求技术的领先地位,更不能被大而全的理念所迷惑。合适和务实已成为交通行业智能化建设的普遍理念。合适和务实成为交通行业智能化建设的普遍理念CONTENTS目录01第一章探索城轨IPRAN骨干承载网新应用第一节 城轨骨干承载网技术演进趋势第二节 IPRAN技术挖掘城轨骨干传输网络新价值02
15、03第二章第一节 背景介绍第二节 智慧城轨无线业务类型第三节 智慧城轨无线通信系统现状第四节 智慧城轨无线通信系统发展趋势智慧城轨无线通信系统发展趋势 07070809第三章第一节 背景介绍第二节 城市轨道交通5G专网通信场景及应用需求第三节 运营商垂直行业5G专网组网方案第四节 地铁5G专网发展现状城市轨道交通5G专网通信应用探讨12131317第四章第一节 城轨智能运维需求第二节 Wi-Fi与IoT技术结合改变传统管理手段第三节 复用PIS系统轨旁AP实现轨行区的双网覆盖第四节 基于Wi-Fi+IoT的运维体系实现全流程自动化、智能化Wi-Fi与IoT创新融合,构建城轨智能运维体系1919
16、2021第六章第一节 IaaS底座,让创新与可靠合二为一第二节 推动“云数智”融合,以DaaS平台激活数据价值第三节 以业务逻辑为导向,加速云原生理念落地第四节 从安全、运维到运营,与城轨云变革相伴而行扎实基础,创新延续:新华三如何定义下一代城轨云?29313133第八章第一节 城轨边缘数字底座的概念和特点第二节 城轨边缘数字底座的构建第三节 城轨边缘数字底座场景化应用探索与实践构建城轨边缘数字底座解决方案404147第五章第一节 TSN技术简介第二节 TSN在城轨的应用TSN在城轨行业的应用展望2325第七章第一节 主备同构,一云统管城轨云“和而不同”的发展之道34第二节 跨网异构,分散风险
17、第三节 综合运管,全局统览3638第十章基于云平台的城轨信号系统建设探索与思考第一节 城市轨道交通信号系统智能化发展趋势第二节 新华三助力城轨信号系统安全云平台的探索与思考第三节 城轨信号系统安全云平台的优势616263第十一章城轨云安全体系建设研究第一节 城轨行业的网络安全问题第二节 城轨云安全体系技术全景研究第三节 未来城轨安全技术研究656674第十二章城市轨道交通云平台安全资源池最优方案探讨第一节 总体需求第二节 城轨云安全资源池最优方案探讨7578第十三章城轨云平台商用密码应用安全性评估及建设第一节 背景介绍第二节 城轨云平台密码应用需求第三节 密码应用技术方案第四节 密码应用安全性
18、评估87899092第十四章城轨数据中心液冷技术发展浅析第一节 液冷技术发展背景第二节 液冷技术介绍第三节 新华三液冷解决方案949699第九章第一节 容灾技术规范和标准第二节 容灾需求分析第三节 技术路线分析495153城市轨道交通云容灾技术分析云城轨 智行远02智慧高速如何“智慧”?第一节 智慧高速概述第二节 智慧高速发展历程第三节 智慧高速建设模式第四节 智慧高速整体建设思路9第二节 大模型私域落地需要关注什么第三节 高速行业AIGC场景落地的思考第四节 高速行业AIGC场景落地进度规划第五节 新华三AIGC能力框架4云协路网 智行未来03云上
19、机场 数智启航第十六章第一节 传统网络不足以支撑车路协同全面建设第二节 基于IPv6的解决方案第三节 SRv6 Policy:让数据在高速公路网络中“自动驾驶”基于SRv6的高速公路“自动驾驶”网络113114115第十七章第一节 从个性到共性,当前高速公路路段接入网技术路线应用分析第二节 迈向智慧高速,路段接入网建设需求发生转变第三节 基于“IPv6+”技术底座,IPRAN2.0推动高速公路路段接入网络变革IPRAN2.0在高速公路路段接入网的应用探讨118118120第十八章第一节 基于新华三IPRAN2.0,重构武汉绕城高速公路通信网第二节 构筑坚实网络底座,推动智慧高速高质量发展新华三
20、IPRAN2.0让武汉绕城高速通信网“随需而变”123126第十九章第一节 “新技术”+“老场景”,智慧收费站开辟新路径第二节 站级云化智能底座是收费站标准化的核心第三节 站级云化智能底座的价值依托站级云化智能底座推进收费站标准化128129131第二十章第一节 高速公路收费系统安全能力现状分析及建议 第二节 高速公路安全能力提升思路高速公路收费系统安全能力提升的思考133135第二十一章第一节 AIGC的发展背景及私域建设的必要性关于高速行业如何用好AIGC的思考137第二十二章第一节 零碳服务区建设背景第二节 零碳服务区解决方案第三节 零碳服务区建设优势145145148零碳智慧服务区建设
21、方案第二十三章第一节 公路基础设施全生命周期管理的概念与方法第二节 公路基础设施全生命周期管理的不同阶段第三节 存在的问题及相关建议第四节 公路基础设施全生命周期数字化管理解决方案第五节 公路基础设施全生命周期管理的意义对公路基础设施全生命周期管理的思考1153第二十四章第一节 标准规范建设体系第二节 数字化路网事件管理系统总体架构第三节 数字化路网事件管理业务流程第四节 数字化路网事件管理系统功能设计第五节 数字化路网事件管理的意义数字化路网事件管理系统建设思路7159第二十五章第一节 对机场云的思考与理解第二节 机场云建设解读第三节 新华三机场云
22、解决方案优势第四节 某国际机场云平台实践6机场上云、用云、云数融合思考与实践第二十六章构筑机场集团“一朵云”,打造一云统管、资源共享、统一高效的数字底座第一节 机场集团“一朵云”建设分析第二节 新华三机场集团“一朵云”解决方案第三节 广东机场集团“一朵云”案例实践168169171第二十七章聚、治、融、享,高可信数据中台助力智慧机场建设第一节 数据中台是机场突破数据瓶颈迈向智慧型机场的关键第二节 聚焦“聚、治、融、享”,打造高可信数据中台体系172173第二十八章第十五章四大集约化助力绿智城轨发展第一节 业务集约化第二节 数据集约化第三节 平台集约化第四节 组织集约化10
23、2103104105机场AIGC应用场景探讨第一节 AIGC正在成为数字科技的新变量第二节 AIGC+机场:探索智慧机场发展的新方向第三节 聚力同行,新华三以科技力量助力机场行业AIGC建设大放异彩177178183第二十九章“智慧墙”打造新一代机场飞行区周界安全防护系统第一节 传统周界安全防护技术流派对比及适用场景分析第二节 新一代周界安全防护技术引领行业发展第三节 新华三“智慧墙”新一代周界安全防护解决方案第四节 机场智慧墙项目实践8第三十章机场物联网解决方案及案例实践第一节 传统机场物联网建设模式分析第二节 新华三机场物联网解决方案第三节 杭州萧山国际机场物联网案例
24、实践189190193第三十一章04浅谈双碳背景下智慧绿色港口建设之路第一节 双碳背景第二节 如何降低港口碳排放第三节 建设智慧绿色港口的关键技术和应用浅析人工智能在港口安全应急的应用第一节 当前港口应急遇到的痛点第二节 人工智能助力打造港口智慧安全立体防护网第三节 人工智能在港口安全应急场景中的应用价值数智赋能航道 安全与效率齐升第一节 智慧航道概述第二节 新华三智慧航道解决方案第一节 铁路综合视频一体化云平台解决方案第二节 方案价值京广高铁(武汉)综合视频一体化云平台第一节 当前港口发展现状第二节 智港口的建设目标及整体框架第三节 新型数字化技术在港口的应用237238 240241242
25、新型数字化技术在智慧港口的应用浅析云端列车 智通四海05云港联动 智慧领航AIGC时代,核心算力基础GPU技术与应用场景解读第一节 GPU需求背景第二节 GPU计算技术详解AIGC在交通规划领域的应用探讨第一节 AIGC概述第二节 交通规划领域的“老大难”问题第三节 用AIGC预测城际出行交通方式第一节 IPRAN的前世今生第二节 IPRAN技术演进第三节 主流无线承载网技术对比2482492560262277277284285286270271274全新视角下的IPRAN06行业探索智能网络解决方案打造融合可信、畅通无阻的机场信息化“跑道”第一节 SDN:软件定义,融合
26、统一第二节 SRv6:极简部署,灵活编排第三节 网络分片:带宽保障,一网多用196198200第三十二章行业专属路由器助力智慧空管建设第一节 安全与创新之间需要平衡点第二节 空管特性业务IP化分析第三节 新华三空管特性专用路由器,助力空管业务IP化转型 第四节 空管智慧化业务新方向探讨确定性网络技术202203206208第三十三章第一节 铁路5G承载网络技术分析第二节 数据通信网与5G-R承载网络融合部署探索探索铁路下一代承载网发展趋势212218第三十四章第一节 现状分析第二节 综合视频监控系统建设目标第三节 综合视频监控管理节点关键技术应用铁路综合视频监控新标准实践分析222223224
27、第三十五章第一节 拥抱数字化,引领六大核心业务系统加速上云第二节 链接未来,为智慧高铁升级进化构建扎实底座从“中国智慧”到“中国速度”,以云服务助力雅万高铁数智求变235236第三十六章第三十九章第四十章第四十一章第四十二章第四十三章第四十四章第三十七章第三十八章探索城轨IPRAN骨干承载网新应用文/刘杰当前城轨行业通信系统骨干承载网建设主要以MS-OTN或PTN/SPN两大技术路线为主,但随着城轨业务系统的不断演进及业务数据模型的不断变化,传统传输技术体系在应用中也显现出一些弊端。从业务维度审视,当前城轨行业的业务系统基本已经全部完成了IP化演进,当前城轨骨干承载网基本不再需要传统的E1接口
28、和TDM数据的承载能力。传统的传输技术方案均保留了TDM业务的承载能力,从而导致设备成本较高。从技术维度审视,传输技术封闭性较强,兼容异构能力低,业务编排与规划基本以手工方式为主,缺乏自动化编排和部署的能力。在后期运维阶段缺乏智能化的运维手段,对运维人员的专业技能要求较高。从市场维度审视,由于技术的封闭性导致城轨行业传输市场完全被少数厂商垄断。由于传输系统无兼容异构能力,各家厂商设备均不支持异构组网,极易导致最终用户被设备厂商绑定,大大降低了最终用户的议价能力,投资成本往往居高不下。一、城轨骨干承载网技术演进趋势各省、自治区、直辖市通信管理局,各省、自治区、直辖市及新疆生产建设兵团工业和信息化
29、主管部门、党委网信办、发展改革委、教育厅(教委、局)、交通运输厅(委、局)、能源局,人民银行上海总部、各分行,有关中央企业、中央金融企业、工业和信息化部直属高校;按照中央网络安全和信息化委员会办公室 国家发展和改革委员会 工业和信息化部关于加快推进互联网协议第六版(IPv6)规模部署和应用工作的通知(中网办发文202115号)要求,为加快推进IPv6技术演进和应用创新发展,推进数字中国建设,现提出以下意见。工业和信息化部等八部门关于推进IPv6技术演进和应用创新发展的实施意见国家发展和改革委员会;工业和信息化部;交通运输部;人民银行;国务院国有资产监督管理委员会;国家能源局;教育部;国家互联网
30、信息办公室发文机关:工业和信息化部网站来 源:意见公文种类:工信部联通信202345号工业和信息化部等八部门关于推进IPv6技术演进和应用创新发展的实施意见标 题:工信部联通信202345号发文字号:工业、交通信息产业(含电信)主题分类:2023年04月20日成文日期:第一章 探索城轨IPRAN骨干承载网新应用0201云城轨,智行远探索城轨IPRAN骨干承载网新应用 智慧城轨无线通信系统发展趋势 城市轨道交通5G专网通信应用探讨 Wi-Fi与IoT创新融合,构建城轨智能运维体系TSN在城轨行业的应用展望扎实基础,创新延续:新华三如何定义下一代城轨云?城轨云“和而不同”的发展之道构建城轨边缘数字
31、底座解决方案 城市轨道交通云容灾技术分析 基于云平台的城轨信号系统建设探索与思考 城轨云安全体系建设研究 城市轨道交通云平台安全资源池最优方案探讨 城轨云平台商用密码应用安全性评估及建设 城轨数据中心液冷技术发展浅析四大集约化助力绿智城轨发展 第01章第02章第03章第04章第05章第06章第07章第08章第09章第10章第11章第12章第13章第14章第15章02079496065758794102云城轨,智行远012023年4月工信部发布工业和信息化部等八部门关于推进IPv6技术演进和应用创新发展的实施意见。文件中明确指出“要求政务、金融、能源、交通、教育、制造等行业
32、和领域,在IPv6规模部署基础上实现IPv6+技术的广泛应用”。“IPv6+”即指在IPv6网络的基础上引入分段路由(SRv6)、网络切片、随流检测、应用感知网络(APN)和网络智能化等新型技术。交通行业作为IPv6+落地的重点行业,网络的智慧化转型需求迫切。二、IPRAN技术挖掘城轨骨干传输网络新价值城轨云已经成为当前智慧城轨建设标配,云化建设模式下的云网联动、云边协同催生了算力自动化调度的需求。业务系统已经全面拥抱IP化,需要一种更贴近IP化技术的承载方案。同时现阶段城轨骨干承载网建设也越来越看重技术的开放性、不同厂商间的设备异构兼容能力。具有更强开放性的技术方案将可引入更多的厂商共同构建
33、良性的市场竞争环境,让客户有更多的选择和更强的议价能力。基于上述需求,城轨IPRAN骨干网承载方案应运而生。IPRAN方案目前还未规模应用于城轨行业,但IPRAN技术本身已经非常成熟,被运营商行业应用多年,是标准的无线回传骨干网方案,其业务承载能力、网络可靠性、网络保护能力、自动化编排能力指标均可满足城轨业务的承载需求。1.IP+光提供超宽业务承载能力城轨IPRAN骨干承载网方案可支持灰光、采光两种承载能力。对于城轨传统业务,数据流向为车站-车站、车站-控制中心,站间数据交互较多,更适宜用灰光承载。而随着城轨智慧化发展,越来越多的智慧业务未来都会引入到城轨行业,这些智慧类业务往往会围绕5G、A
34、I、大模型等新技术构建。此类业务数据量较大,对骨干承载网的传输能力需求大幅提高。IPRAN方案的彩光承载能力通过DWDM密集波分复用技术,可在单根光纤中可同时传送多达80个100G波道,在不增加光纤资源的前提下近乎无限制的提升网络带宽。CCTV电话增强型IPRAN增强型IPRAN增强型IPRAN现网骨干网OTN增强型IPRAN时钟PIS智慧列车运行智慧乘客服务智慧企业管理IPRAN传输网40-100G灰光承载传统业务智慧业务采光一跳直达IPRAN传输网40-100GXOCC城轨云2.FlexE技术实现业务物理隔离城轨骨干承载网承载业务系统众多,各业务系统间均要求具备一定的隔离度,以避免不同业务
35、数据抢占传输通道。城轨IPRAN承载网方案引入了FlexE技术,在以太网基础上通过时隙交叉技术和端口捆绑技术提供低成本、可动态配置的电信级接口。既保留了以太网技术的低成本、高可靠、灵活运维的优势,还具备了多粒度速率灵活可变、业务间硬隔离等特性。当前城轨行业主流骨干承载网带宽为100Gbps,通过FlexE技术可以实现在骨干传输通道中切分出最小为10Mbps颗粒度的刚性传输通道,保障业务数据互相隔离,同时也满足了城轨场景小带宽业务的承载需求,提高整体带宽利用率。150G FlexE Group50GE50GE50GE50GE50GE50GE10个时隙150G FlexEGroup时隙带宽为5GF
36、lexE物理接口FlexE业务接口12个时隙7个时隙3个时隙10个时隙10个时隙50GE50GE50GE60GE35GE15GE3.SDN引入智能化的业务编排和运维能力IPRAN方案基于以太网技术,支持引入SDN的能力实现业务、流量的自动化编排。基于SDN控制器可以支持更细粒度的运维能力,传统传输体系主要关注链路的质量,而基于以太网的IPRAN方案则在关注链路质量的同时还可以实时反应业务的传送情况,通过iFIT技术可跟随业务的报文对网络质量进行实时监测,可以反映出网络的真实丢包率和时延等性能参数。通过SDN的引入不但大大降低了业务规划的工作量,还从多维度为运维人员提供了更多的网络状态信息,更有
37、利于保障网络的可靠性和稳定性。4.基于SRv6的完善保护机制保障网络可靠性城轨行业对网络稳定性、可靠性要求极高,在骨干承载网建设时要求具备完善的网络保护机制,一旦出现网络的故障则要求在极短的时间内完成保护链路的倒切,避免出现业务的中断。传统的IP化网络在出现网络故障时均需要进行路由收敛计算,一旦涉及到计算过程则第一章 探索城轨IPRAN骨干承载网新应用0403第一章 探索城轨IPRAN骨干承载网新应用云城轨,智行远结语未来的城市轨道交通一定是“云智原生”的,各个业务系统基于云生出智慧。城轨系统内的云、边、端纵向交互和业务系统间的横向交互纷繁复杂,业务的快速迭代,数据流量模型的不断变化,要求骨干
38、承载网也能够灵活敏捷的满足业务承载需求。基于SRv6、FlexE等技术的IPRAN骨干承载网堪称专为业务快速变化的场景打造,同时基于iFIT等智能化的检测技术也可以提升运维的智慧化水平,在成本方面得益于技术的开放性最大限度降低了客户的投资规模,更加智能、更加灵活、更加开放的IPRAN骨干承载方案应用将是轨道交通行业发展的必然趋势。承载网技术演进|IPRAN成交通行业最佳选择5.IPRAN方案相比传统传输方案投资规模降低40%现有传输体系技术方案的技术封闭性较高,不具备兼容异构的能力,极容易形成用户与设备生产厂商的绑定关系,也因此导致了传输网络建设的成本居高不下。反观IPRAN方案,由于其基于以
39、太网为底层技术,开放性非常强,市场竞争积极而和谐。良性的市场竞争也推动了解决方案,提供商不断优化方案,为客户提供更具性价比的解决方案。再加之IPRAN方案引入的SDN能力从业务规划和网络运维层面,全面提升了城轨骨干承载网的智慧化水平,从运维层面也实现了降本增效。流量会快速切换到备份路径继续转发,从而最大程度上避免流量的丢失。TI-LFA会预先计算出备份路径,某处链路或节点发生故障时,通过SID列表显式指定备份路径,将流量快速切换到备份路径继续转发。完全不需要在链路故障时进行路由的计算,所以IPRAN方案的链路倒切时延并并不受链路节点数数量影响。中国信通院测试报告中显示可在20ms内完成故障链路
40、的倒切。收敛时间就会受链路节点数量影响,往往节点越多,则链路倒切时间越长。IPRAN方案底层基于SRv6技术,通过TI-LFA可支持任意拓扑的链路和节点保护,当某处链路或节点故障时,第一章 探索城轨IPRAN骨干承载网新应用0605第一章 探索城轨IPRAN骨干承载网新应用1、按照如上测试拓扑搭建测试环境,配置相应IP地址及ICP协议,实现路由互通2、创建VPN实例,配置SRv6 SID相关参数,配置IGP协议发布Locator3、DUT1、DUT4作为L3VPN PE配置MP-IBGP邻居,与测试仪相连的端口绑定VPN。仪表A、B口模拟CE,接入VPN。配置链路COST使DUT1上不能形成到
41、DUT4路由的FRR,R-LFA。使能IGP TI-LFA4、查看MP-IBGP邻居状态,查看路由备份情况。测试仪A、B互发流量。有预期结果15、模拟故障,观察流量,有预期结果21、步骤4中,邻居状态已建立,有备份路由,流量无丢包2、步骤5中,切换后流量无丢包。记录收敛时间符合预期,通过收敛时间:16.41ms测试拓扑AB测试步骤预测结果测试结果数据网络测试仪DUT1DUT4DUT2DUT3主流技术应用困境演进趋势新兴技术应用价值未来发展政策驱动IPv6+降低TCO智能运维兼容异构IP+光大带宽降本40%支持SDNIPRAN生态友好SRv6高可靠云智原生大模型数据传输灵活进化智能开放FlexE
42、安全隔离投资成本高技术门槛高PTN/SPNMS-OTN市场封闭云城轨,智行远智慧城轨无线通信系统发展趋势文/李婧伴随着中国城市轨道交通智慧城轨发展纲要和中国城市轨道交通绿色城轨发展行动方案的发布,城市轨道交通行业各类智慧化、绿色化的应用进入快速发展阶段,对于无线通信网络的需求越来越高。本文分析了智慧城轨无线业务需求、无线通信系统发展现状,旨在从不同角度探索智慧城轨无线通信发展趋势,助力智慧城轨高质量发展。一、背景介绍中国城市轨道交通协会在2020年3月印发中国城市轨道交通智慧城轨发展纲要,纲要明确提出了智慧城轨的定义:应用云计算、大数据、物联网、人工智能、5G、卫星通信、区块链等新兴信息技术,
43、全面感知、深度互联和智能融合乘客、设施、设备、环境等实体信息,经自主进化,创新服务、运营、建设管理模式,构建安全、便捷、高效、绿色、经济的新一代中国式智慧型城市轨道交通。智慧城轨是利用新兴信息技术集成城轨交通各系统和集成各类服务的结晶,是城轨交通领域信息化建设进入新阶段的集中体现,因而信息化建设是智慧城轨建设的核心和基础。无线通信是利用电磁波信号对可以在自由空间中传播的特性进行信息交换的一种通信方式。城市轨道交通的车地无线系统是支持业务系统运行中重要的通信系统,城市轨道交通行业各类智慧化、绿色化的应用进入快速发展阶段,对于无线通信网络的需求越来越高。二、智慧城轨无线业务类型城轨车地无线承载的业
44、务主要包含信号系统和PIS乘客信息系统、IMS视频监控等业务系统。信号系统是列车安全、精准运营的基础,与PIS、IMS等业务系统均为城市轨道交通重要的通信基础设施,其系统性能直接影响到运营的效率和乘客的体验。城轨车地无线系统主要承载的业务类型如下:列车运行控制业务列车运行控制是列车的间隔控制,是以保障行车安全与效率为核心的系统。根据自动运行三、智慧城轨无线通信系统现状截至目前,国内无线通信网络用到的技术包括WLAN、LTE-M、TETRA、物联网IoT、5G等。地铁车地无线通信系统目前所涉及的主要技术有如下几种:的程度,可以分为四个不同的等级GOA1、GOA2、GOA3、GOA4。列车紧急文本
45、下发业务列车紧急文本是指地面PIS服务器传送给车载PIS终端的紧急文本信息。IMS视频监控业务IMS视频监控是指将列车驾驶室、列车车厢的视频监控图像通过无线的方式实时传输到控制中心或地面监控站,进行集中监控。PIS视频业务PIS视频业务是指由地面将视频或图像信息通过组播传输到车厢内播放。WLANWLAN车地无线通信网络采用工作在开放频段,通过公共开放的非授权频段,实现轨道交通的无线覆盖。城市轨道交通无线网络作为有线网络的补充,提供列车与地面的通信。随着Wi-Fi 6技术和产品的成熟,从2020年开始新建线路主要以Wi-Fi 6为主。WLAN方案的组网包括轨旁和车载两部分,PIS系统中基于WLA
46、N的无线通信,由车载AP经过车地通信网络与轨旁AP完成通信,车头车尾的2台车载AP进行冗余,实现主备通信。列车运行状态监测业务列车运行状态监测业务是指列车运行状态实时监测系统,它主要是将传感器采集到的列车关键参数实时传送到地面监测中心,列车运行状态监测业务为周期性数据。第二章 智慧城轨无线通信系统发展趋势0807第二章 智慧城轨无线通信系统发展趋势TETRATETRA数字集群通信系统是欧洲通信标准协会为了满足欧洲各国的专业部门对移动通信的需要而设计、制订的统一标准的开放性系统。地铁无线通信采用800MHz频段的TETRA数字云城轨,智行远四、智慧城轨无线通信系统发展趋势当下,城市轨道交通行业各
47、类智慧化、绿色化的应用进入快速发展阶段,对于无线通信网络的需求越来越高。车地无线支持高速移动、高可靠、低时延、跨线运营,互联互通。集群系统为地铁运营的控制中心人员、车辆段人员,以及车站维护人员提供可靠的语音和数据交换,是重要的通信手段,保障列车的安全行车,提高地铁的整体运输效率以及改善地铁的服务质量,大幅提高地铁运营管理水平。LTELTE是第四代无线移动通信技术,采用更大的载波带宽,并以OFDM与MIMO为基础,致力于降低传输时延、提高传输速率、提升系统带宽容量和增强网络覆盖范围。我国行业专网采用TDD制式,即TD-LTE。TD-LTE行业专网是相对于运营商建设的移动通信公众网络而言的,所谓L
48、TE行业专网即各个行业用户根据自己的使用需求而建设的独立的、私有的TD-LTE制式的无线网络。LTE-M标准是为了满足轨道交通行业综合承载业务需求,在3GPP、B-TrunC等标准基础上为轨道交通行业定制化的行业标准。LTE-M基于TD-LTE制式,在满足CBTC业务数据传输的同时,还支持列车运行状态、集群调度业务等信息的综合承载。5G5G技术具有大带宽、低时延、广连接的特性,可以为城市轨道交通提供所需的无线通信带宽,成为LTE-M系统的有效补充,助力绿色智慧城轨高质量发展。目前中国城市轨道交通协会组织编制的城市轨道交通 5G公专网系列团体标准,提出基于运营商5G公网,利用网络切片技术,提供专
49、属网络能力,承载轨道交通相关数据业务,覆盖轨道交通全场景,实现5G公网专用。物联网IoT现有物联网业务多样化,不同的物联网终端厂家采用不同的物联网协议信号进行数据的交互,实现数据实时采集、人员/设备定位、实时感知预警、资产实时定位等作用。常用的物联网采用2.4G RFID、BLE和UWB、ZigBee等物联网协议。目前的物联网也支持无线控制器管理,WLAN和物联网产品融合管理,统一设备管理平台,简化用户管理难度。根据轨道交通行业业务需求现状和无线通信技术发展趋势,与轨道交通生产安全相关的列车运行控制业务由LTE-M系统承载。目前在建城市轨道交通线路CBTC系统均已采用LTE-M 技术,宽带集群
50、采用LTE-M技术也已经成为发展趋势。城市轨道交通建设和运营正在从单线向互联互通发展,为满足日益增长的跨线和并线运营的要求,不同线路的信号系统需要通过互联互通实现对列车的调度控制。目前轨道交通领域内已有对于铁路信号系统互联互通实现和测试方法、城市轨道交通CBTC系统互联互通实现方法的研究。作为城市轨道交通CBTC系统的业务承载网络,LTE-M系统互联互通是实现CBTC业务互联互通的前提。LTE-M互联互通包括数据业务的互联互通和宽带集群业务的互联互通,相比数据业务互联互通只在轨道交通列车跨线、共线或者延伸线场景中被需要,集群业务互联互通应用要广泛得多,在换乘站、控制中心等都需用到。LTE-M宽
51、带集群互联互通标准是以B-TrunC2.0标准为基础进行深度行业定制,在本地组网的基础上,支持跨核心网的规模化组网,实现统一管理用户数据、支持本地网之间的互通,以及在不同本地网之间漫游等功能,从而为城市轨道交通特定业务提供支撑。1.LTE-M高可靠保证列车运行安全智慧城轨无线业务的需求还有很多:涉及智慧乘客服务的PIS业务、智能列车运行的列车大数据业务、智能运维安全的视频监视业务和检修业务等。这些智慧城轨无线业务数据量大,传输数据速率高,因LTE-M系统带宽受限,需其他无线技术手段来解决。WLAN技术和5G技术是一种选择。但因5G技术在城轨行业上还处于试验和探索阶段,针对城轨行业5G公网专用的
52、切片技术、商业合作模式、相关技术标准均还不完善。目前中国城市轨道交通协会组织编制城市轨道交通5G公专网系列团体标准,提出5G公专网承载的业务应包含:集群调度业务、列车运行状态监测业务、车载信号运维数据业务、车辆健康管理业务、列车紧急文本下发业务、PIS视频业务、数据采集类业务、轨行区综合巡检业务、车辆基地综合维修业务、信息管理业务、IMS视频监控业务等。2.城轨5G公专网仍试验探索以智慧城轨为建设背景,城轨智慧无线可以提高运维效率、降本增效,为城轨行业的绿3.WLAN+IoT物联网融合,助力城轨智能运维第二章 智慧城轨无线通信系统发展趋势1009第二章 智慧城轨无线通信系统发展趋势云城轨,智行
53、远智融合提供业务承载通道。智能运维体系中需要实现后端智慧业务平台与前端运维人员的实时通信,运维人员的智能终端设备需要无线接入服务。接入网及物联网的建设目标就是为了给各类智慧业务提供数据交互的通道,实现智能终端与业务后台之间的实时交互。对运维作业人员进行高精度定位,实时了解运维人员的位置信息。与运维相关的智慧类业务会不断的向城轨行业拓展,无线网络建设的两个大方向:一个是实现各类终端的无线接入,一个是通过物联网或Wi-Fi网络实现高精度定位。接入网及物联网的建设目标是为了给各类智慧业务提供数据交互的通道,实现智能终端与业务后台之间的实时交互。WLAN+IoT物联网融合,可以充分利用Wi-Fi方案与
54、IoT方案的融合能力,在站厅站台区域通过AP设备下挂物联网基站满足接入和定位需求,在轨行区则利用PIS系统建设的轨旁AP设备下挂物联网基站满足接入和定位需求。轨旁AP在提供MESH服务的同时还开启接入服务,在车辆运营结束后运维人员可在轨行区实现手持终端的Wi-Fi接入。结语城市轨道交通安全、高效的运营,需要一个庞大且功能完善的通信网络为之服务。智慧城轨无线通信系统在列车运行控制、维修指挥和客流疏导等工作中发挥着重要的作用。无线通信系统为城市轨道交通内部的固定工作人员和运营指挥人员提供了高效的数据及语音的通信。城市轨道交通行业各类智慧化、绿色化的应用对于无线通信网络的需求越来越高。车地无线通信系
55、统要求支持高速移动、高可靠、低时延、跨线运营,互联互通等特点。信号系统LTE-M将长期存在,除了因为地铁列车自身运行高安全可靠的要求,另外还要考虑CBTC本身的互联互通问题。LTE+5G公专网是地铁车地无线长期存在的两种技术路线,LTE-M承载与列车运行直接相关的业务,5G作为补充LTE-M未来可能承载智能终端的视频大带宽业务。面对目前的智能运维,智慧乘客服务,WLAN+IoT物联网融合,接入网及物联网的融合,则可以给各类智慧业务提供数据交互的通道,实现智能终端与业务后台之间的实时交互。城市轨道交通5G专网通信应用探讨文/李婧5G是第五代移动通信系统的简称,ITU为5G定义了eMBB增强型移动
56、带宽、mMTC海量物联网通信和uRLLC超高可靠与低延时通信三大应用场景。5G的愿景与需求是满足未来爆炸性的移动数据流量增长、海量的设备连接、不断涌现的新业务和应用场景,满足垂直行业终端互联的多样化需求,实现人人、人物、物物通信的真正“万物互联”。本文探讨了5G技术在城市轨道交通中的应用需求,针对业务与应用需求,分析了城轨5G发展背景、运营商5G专网建网模式、城轨交通5G专网通信应用存在的问题,旨在从不同角度推动探索5G在城轨行业的应用,助力智慧城轨建设和城轨行业高质量发展。一、背景介绍近年来,国家明确提出要加快“新基建”,发展以5G、人工智能、工业互联网为代表的新一代信息基础设施,通信基础设
57、施中将5G置于首位;国家战略中的5G为城轨行业带来了新的发展机遇,城轨交通行业也在大力发展轨道交通与传统行业的深度融合,5G在城轨的探索和实践,旨在建设智能交通等融合基础设施。中国城市轨道交通协会在2020年3月印发中国城市轨道交通智慧城轨发展纲要,纲要明确提出强力推进云计算、大数据、物联网、人工智能、5G等新兴信息技术和城轨交通业务深度融合,推动城轨交通数字技术应用,推进城轨信息化,发展智能系统,建设智慧城轨。国家战略中的5G为城轨行业带来新的发展机遇。在新基建背景下,5G是城轨行业实现“十四五”规划中高质量发展的重要途径。交通强国建设纲要更是明确提出要瞄准新一代信息技术、智能制造等世界科技
58、前沿技术,加强有可能引发交通产业变革的前瞻性、颠覆性技术研究。毫无疑问,5G是推动新一轮城轨通信产业变革的重要角色。5G低延时、高带宽、广连接的特点将为城轨应用场景的不断丰富提供强有力的支撑,5G技术赋能城轨网络将是一个革命性的改变,然而如何把5G网络能力赋予城轨专网通信,5G如何助力智慧城轨建设运营,却依然是目前电信运营商、设备商及行业客户等共同探讨的话题。第三章 城市轨道交通5G专网通信应用探讨1211第二章 智慧城轨无线通信系统发展趋势云城轨,智行远二、城市轨道交通5G专网通信场景及应用需求5G通信技术在城市轨道交通中的应用将有力推动城市轨道交通朝着更加自动化、智能化方向高速发展。相比于
59、4G网络,5G在继续提升人与人之间通信服务质量的基础上,更侧重于满足物与物之间的通信服务需求,致力于实现“增强宽带、万物互联”,从而保障未来新型信息产业的应用。5G无线网络为了满足不同业务对带宽、时延、可靠性、连接数、吞吐量和移动速度等多样化需求,必须打破传统,设计一种新的、灵活的网络架构。5G从技术上使用新的编码方式、更宽的无线频谱、波束赋形、大规模天线阵列、超密集组网、新型多址,SDN/NFV、边缘计算、网络切片等全新技术。未来的地铁无线通信系统必须具备更多样化的性能保证以承载各种新兴业务,从而促进工业化和信息化的深度融合。5G的三大特性可以结合地铁典型业务场景进行深度融合,5G的特点就是
60、最好的支撑架构,能够给轨道交通带来无限可能。三、运营商垂直行业5G专网组网方案由于工信部目前只向四大运营商颁发了5G频谱,所以国内各垂直行业使用5G专网时并不能像WLAN非授权频率一样自主采购设备建设,故垂直行业专网必须通过运营商建设并使用运营商的频率。5G赋能垂直行业是各大运营商在5G时代的重要战略之一。低时延通过5G实现高速行驶下的列车信号控制系统通信,列车最高级别的全自动运行、车-车通信,使得整个列车控制的时间更短、列车行驶间隙更短,实现状态信息的高效传输,提升高速列车运行稳定性与安全性,大力提升运营效率。海量连接将轨道的设备传感器、各类智能传感器通过物联网整体接入联网,更实时地监控到全
61、轨道状况,解决危险事件的发生,满足大规模通信设备连接需求。大带宽5G+云+AI,基于5G技术实时传输高清视频、虚拟现实等海量数据,实时监控车辆内部、车厢内部的紧急情况;通过AI实现智能识别,代替人工巡检,实现智能运维,提高运维效率,构建物与物、人与物、人与人相互沟通。各大运营商分别推出了针对垂直行业的5G专网模式,根据不同应用场景和用户需求,垂直行业专网包括三种组网方式。运营商5G面向垂直行业的三大建网模式分别是虚拟切片、虚拟切片+边缘计算和物理专网,探索各自的5G公有频谱的专网化的新道路。图1 运营商专网部署模式对比 与公网完全共享 与公网部分共享 独立部著图2 运营商提供垂直行业三种可选组
62、网方案5G时代业务需求多样,对延迟、吞吐量、容量、可用性和安全隔离性有不同的要求。网络切片提供了一种解决方案,在相同的网络基础设施下,通过切片满足各业务的要求。5G的网络切片技术,则主要针对不同的业务应用,进行网络资源的切片化处理,在网络结构上也完全类似于一张独立的专网。虚拟切片组网,对应中国移动的“优享”、中国电信的“致远”及中国联通的“虚拟专网”。将运营商5G大网通过网络切片方式划分出部分虚拟资源用于不同的垂直行业用户,各个切片用户和公众用户使用同一套物理资源,但在逻辑上是独立的,通过业务逻辑隔离,满足客户对特定网络速率、时延及可靠性的优先保障需求,支持按需灵活配置。1.虚拟切片第三章 城
63、市轨道交通5G专网通信应用探讨1413第三章 城市轨道交通5G专网通信应用探讨5G专网部署模式 优享模式 专享模式 尊享模式运营商机房虚拟切片+边缘计算物理专网本地机房信令流数据流中国移动 致远模式 比邻模式 如翼模式中国电信 5G虚拟专网 5G混合专网 5G独立专网中国联通用户设备用户设备用户设备虚拟切片核心网传输网络基站用户设备用户设备用户设备核心网传输网络本地核心网用户设备用户设备用户设备核心网传输网络边缘计算基站基站云城轨,智行远图3 交控科技5G创新实验室基于独立核心网,打造行业5G专网创新应用优势:成本低、业务开通速度快。5G网络提供商可以为城轨行业及其他不同行业应用在共享的网络基
64、础设施上,通过能力开放、智能调度、安全隔离等技术分别构建彼此隔离的5G网络切片,提供差异化的网络服务。虚拟切片+边缘计算,对应中国移动的“专享”、中国电信的“比邻”及中国联通的“混合专网”。将运营商5G大网通过网络切片方式划分出部分虚拟资源用于不同的垂直行业用户,同时部署边缘计算设备将行业用户数据流本地卸载,只有信令流进入运营商大网,数据流本地处理。通过边缘计算技术,实现数据流量卸载、本地业务处理,满足数据不出场、超低时延等业务需求,为客户提供专属网络服务。优势:数据流本地处理,安全性提高,端到端时延减小。实现5G MEC取决于一个关键设备角色,即5G核心网的用户面网元UPF。5G核心网采用服
65、务化网络架构和SDN/NFV技术实现网络重构,将控制面功能(包括AMF和SMF等)和用户面功能(UPF)分离。作为5G数据处理和转发的核心,UPF常被形象地比喻为5G用户数据流量接入行业客户网络的“桥梁”、运营商拓展5G ToB市场的“钥匙”。城轨专网私有数据流通过私有切片传递到城轨私有UPF;公网数据流通过公网切片传递给电信运营商边缘云中的UPF。城轨内部控制数据、视频数据等保留在城轨行业内部,公众语音和互联网公共网络数据流则被传输至电信运营商的网络中。MEC边缘计算将数据缓存能力、流量转发能力与应用服务能力进行下沉,网络位置更接近用户,能够大幅降低业务时延,满足轨道交通应用场景中低时延业务
66、需求,减少对传输网的带宽压力,降低传输成本,提升用户体验。同时,采用5G MEC可实现地铁业务数据不出本地,提高地铁数据安全性。2.虚拟切片+边缘计算物理专网组网架构,对应中国移动的“尊享”、中国电信的“如翼”及中国联通的“独立专网”。运营商为垂直行业用户建设独立的本地轻量化核心网,针对行业终端的信令流和数据流都在本地处理,与运营商大网物理隔离。通过对基站、频率、核心网等专建专享,为企业构建专用5G网络,提供高安全性、高隔离度的尊享定制化网络服务。优势:数据安全性较高,时延低。这是城轨最理想的一种状态,对于生产型的数据、乘客数据是最优方式,时延也是最有保障的一种。此种“物理专网”模式,新华三联
67、合交控科技股份有限公司、北京移动,共同打造了“交控科技5G创新实验室”,进行了行业成功创新应用。中国移动向交控科技该行业客户提供了新华三的5G专网设备,在交控科技建设完整的5G网络,与5G公网完全隔离,专网专用,此种方式,控制面和数据面均在本地,对于城轨应用场景,对业务数据安全性及可靠性要求较高,5G独立专网是较为符合城轨应用场景的架构。新华三为该项目提供基于中国移动4.9GHz频段的5G专网整体解决方案,包括5G轻量化核心网v5GC、5G基带处理单元BBU、光口皮站扩展单元FSW、皮站射频拉远单元pRRU及相关配套软硬件产品,同时包含无线网络优化等服务,通过5G数字化室分实现交控科技大楼创新
68、实验室区域内的无线信号覆盖,打造基于5G独立核心网的交通行业解决方案,验证实现5G轨道交通相关应用的创新解决方案,包括基于5G的车地通信、协同编队、远程驾驶、智能监控、轨旁检测、智能感知等应用,为推进5G网络在轨道交通领域的工程应用奠定基础。3.物理专网第三章 城市轨道交通5G专网通信应用探讨1615第三章 城市轨道交通5G专网通信应用探讨5G核心网v5GC交换机BBUFSWpRRU车载5G TAU测试验证基于5G的轨交应用场景,包括基于5G的车地通信、协同编队、远程驾驶、智能监控、轨旁检测、智能感知等应用提供端到端5G独立专网设备最终客户新华三交控科技建网模式北京移动提供4.9GHz频率5G
69、独立专网服务整体网络架构由行业轻量化核心网5GC、交换机、基带单元BBU、扩展单元FSW、远端射频单元pRRU组成业务平台010302功能需求系统架构云城轨,智行远四、城轨5G专网发展现状原有的通讯承载方式已经形成了集成优势和成本优势,更换到5G,需要电信运营商、5G设备商和传统城轨系统制造商一起协作,协会通过引导和制定标准来推进。5G目前在轨道交通还处于起步阶段,5G产业可能会影响城轨原有的产业构造,一些系统可能会出局。新的一些潜在合作商,如一些互联网企业已经开始深度介入城轨领域发展,整个城轨格局和运用模式可能面临重构。1.运营模式面临重构工信部目前只向四大运营商颁发了5G频谱,以地铁行业为
70、代表的行业用户目前暂无5G行业专网频谱资源,只能依赖运营商的5G网络,即采用5G公专网。目前中国城市轨道交通协会组织编制的城市轨道交通 5G公专网系列团体标准,提出基于运营商5G公网,利用网络切片技术,提供专属网络能力,承载城市轨道交通语音、数据等各类业务,覆盖城市轨道交通全场景,实现5G公网专用。多个城市也都在进行5G网络在城轨的应用探索建设。2.城轨5G公专网逐步推广城轨5G方案主要为公网专用,完全复用运营商的网络。城轨行业客户侧部署专用边缘计算节点进行数据分流。但这种方案业务承载能力受运营商5G大网业务模型影响较大,城轨受5G公网时隙配比策略影响承载能力有限,即上行带宽较低,与城轨行业客
71、户的业务模型存在不匹配的问题。城轨行业客户的业务大部分均为上行业务,而公众用户大都是下行业务,导致5G公网方案上行能力有限,业务需要去适应5G网络的能力。3.城轨上行业务带宽受限5G在城轨的产业链终端还处在初级阶段,需要订制城轨行业的专用5G终端,切片、MEP等在轨道交通应用上也需要一些时间,需要不断关注5G产业链的发展。目前国内轨道交通还没有5G专用频谱,要通过MEC边缘计算等跟运营商一起合作。如5G智慧维修传感器模块,因为需适应不同专业特点,差异化环境的产品还不够丰富。另外,5G模组目前价格较贵,针对智慧城轨需采用的大量5G终端模组,成本会较高。4.产业链终端供给不足结语全球信息化变革以及
72、通信技术的发展日新月异,从2020年5G在国内进入商用部署元年开始,5G网络建设成为新基建的热点,5G技术赋能城轨网络更是一个革命性的改变,5G技术在城轨交通中应用还有很长的路要走。5G技术不仅针对公众用户,而且要赋能百行百业,目前5G网络的建设主要由电信运营商来推动,但电信运营商对城轨行业并不完全了解,在推动行业专网应用上存在较大难度,因此,5G在城轨的应用不仅是技术问题,更是一个5G产业生态问题。城轨5G公网专用对于城轨运营的安全和效率尤为重要,5G是面向垂直行业和运营商深度融合的网络,在安全性方面主要采用切片、边缘计算等技术来保证安全性和不同的服务等级要求,5G能否满足CBTC的要求还需
73、进一步研究。另外,城轨5G公专网和公众用户共享大网资源,在地铁乘客无线接入终端大幅增加时将对系统的承载能力及信息安全性带来极大压力。5G系统由于频率较高,无线信号的传输损耗也大幅增加,5G网络部署较为密集,无线系统的维护管理工作量将大幅增加。作为地铁众多的无线通信技术之一,5G还需要进一步与城轨业务系统相融合,发挥其技术优势与特点。5G在城轨行业普及,需要业主、设计院、厂商、运营商等“产、学、研、用”强强联合,合理、高效地共同推进5G在城市轨道交通中的应用落地。第三章 城市轨道交通5G专网通信应用探讨1817第三章 城市轨道交通5G专网通信应用探讨云城轨,智行远智慧城轨运维管理体系建设两大维度
74、宽窄带一体化融合网络架构轨旁AP与物联网基站共站址部署站厅站台采用室内型物联网基站Wi-Fi与IoT创新融合构建城轨智能运维体系文/刘杰随着我国城市轨道交通运营线网规模持续扩张,整个轨道交通行业对于保障运营安全、提高服务质量及降低运营成本需求愈发明显,同时对设施设备的可靠性、高可用性及安全性提出了更高要求。如此大体量的设备运维涉及到大量的人力投入及复杂的流程管理体系。而当前城轨行业运维管理体系仍然比较落后,仍存在大量以纸质工单、表格为载体的管理手段。管理流程也基本基于人工进行管理,缺乏自动化、流程化、信息化的管理手段。相对较为落后的管理手段也导致在管理流程中存在诸多安全隐患。据中国城市轨道交通
75、协会数据统计,每公里城轨投资约8亿元,根据行业经验,城市轨道交通运维支出占总投资的2%3%。如何进一步提升运维工作的管理效率、降低运维成本成为城轨行业客户普遍关注的核心需求。新华三深刻理解用户需求,将Wi-Fi+IoT融合的无线网络技术与运维管理流程进行深度融合,实现了城轨运维管理的数字化变革。一、城轨智能运维需求城市轨道交通是复杂的系统,涉及车辆、信号、供电、通信、自动售检票等多个系统,包括众多子系统及产品部件,线网级的城轨系统设施设备的数量超过数十万台(套),零散分布于线网的延申区域,每天需要执行大量的运维任务,并且有大量的运维人员参与其中。传统的纸质任务工单管理模式效率低、问题回溯难。针
76、对运维人员的管控精细度差,特别是在轨行区,运维人员基本属于“半失联”状态,针对运维工作进行中可能存在的风险无法做到及时感知。因此需要一套更加智能化的运维管理系统针对流程、工单、人员进行精细化管理,提高管理效率、降低管理难度、规避施工风险。二、Wi-Fi与IoT技术结合改变传统管理手段基于Wi-Fi与IoT网络的智能运维体系建设是基于两个维度,一个维度是建立人与智能业务系统的实时关联,第二个维度是实现对运维人员的高精度定位,并结合智能运维平台与人员的位置信息进行运维管理。两大维度的应用需求主要通过Wi-Fi+IoT的宽窄带融合网络进行承载,其中Wi-Fi 6网络支撑海量终端接入的需求,充分发挥W
77、i-Fi 6网络的特性,在终端数量较多且频繁漫游的环境下提供更优异的接入体验。特别融合新华三自主研发的4i(iRadio、iStation、iEdge、iHeal)技术在无线网络空口性能、漫游接入、应用保障、网络自动化等各个方面可以不断的深入优化网络,让无线网络更适应城轨行业的复杂环境。同时在宽带Wi-Fi 6接入网络之上融合窄带物联网技术,通过UWB方案实现运维人员的高精度定位,UWB技术以其较高的定位精度和低功耗特性著称,特别适合于城轨的站厅、站台、轨行区等地下空间部署。三、复用PIS系统轨旁AP实现轨行区的双网覆盖轨行区是运维作业的集中区域,运维人员多,运维工作复杂,是需要进行高度精细化
78、管理的区域。在轨行区域最优化的部署方式就是将IoT物联网关与车地通信系统既有的轨旁无线AP设备进行融合部署,既满足了网络覆盖的需求,又提高了设备的使用效率,降低了投资成本。IoT物联网关可支持灵活多样的部第四章 Wi-Fi与IoT创新融合,构建城轨智能运维体系2019第四章 Wi-Fi与IoT创新融合,构建城轨智能运维体系通过宽带接入网实现运维人员的实时在线,将原有的纸质工单及流程体系全部进行数字化改造通过窄带物联网实时掌握运维人员的位置信息,基于位置信息实现运维人员的智慧化管理建立人与系统的实时连接智能运维管理体系实现人员的高精度定位运维计划智能终端(手机、PAD)定位终端(手环、胸卡、安全
79、帽等)Wi-Fi 6+UWB宽窄带一体化网络绿洲物联平台无线业务管理平台应用层平台层网络层感知层运维执行运维评价云城轨,智行远署方案,满足轨行区较为苛刻的安装环境。在布线困难安装条件受限的情况下可考虑IoT物联网关与轨旁AP设备共站址的方案进行部署。每台轨旁AP下挂一台IoT物联网关,通过小型外置天线扩大UWB网络覆盖范围,在150米间隔部署的环境下仍可以实现5米的定位精度。四、基于Wi-Fi+IoT的运维体系实现全流程自动化、智能化如何将新技术与实际的业务应用需求结合是构建城轨智能运维体系的重点探索方向。新华三基于高精度的位置信息,为城轨行业客户开发了智能化的运维管理软件,贯穿了城轨运维工作
80、的各个流程环节,同时实现了监督人员、管理人员、监管人员、作业人员等运维主体的有机整合。传统运维管理流程中在运维计划阶段往往存在大量的纸质台账、工单、记录,管理效率低下等问题。基于智能运维管理平台可以将原有的流程全部实现电子化,将原有的台账、工单等全部转化为电子流,不但大幅提高了运维管理的效率,还可以在计划阶段将每一项运维工作的人员配置信息、运维工作内容、运维作业区域进行精细化的编排。在智能运维平台可以基于线路情况及每一项运维作业的工作内容,为每一项巡检任务绘制具体的作业区域,再将高精度定位终端与运维任务进行绑定,即可实现人员、区域、任务的精细化管理。同时需要针对每一项运维任务指定合理的告警规则
81、,包括界内/界外告警、聚众告警、离群告警、徘徊告警、超员告警等。一旦出现与原运维计划不符的情况,管理人员可及时接收到告警信息。1.运维计划阶段在运维执行阶段,作业人员首先在电子流程中完成运维任务的登记和确认。按照运维计划佩戴好定位终端,之后进入到计划好的作业区域进行运维作业,管理人员可以在智能运维平台实时监控作业人员的位置,通过智能运维平台与视频监控平台的对接,管理人员可以随时调取作业区域周围的视频终端实时调看作业区域的视频图像,在触发告警时也可以实现告警信息与视频监控的自动联动。对于一些重要的运维器材和仪器仪表也可以通过加装定位终端避免设备遗落在轨行区影响运营安全。2.运维执行阶段基于高精度
82、位置信息的智慧运维管理流程当天运维工作结束后,可通过电子点名功能对所有定位终端的位置信息进行刷新,由于人员已经与定位终端进行了强制绑定,则可以通过定位终端的位置,确保人出清、车安全。运维平台会记录所有作业人员的行动轨迹,一旦发现运维遗留问题及安全性风险可对运维工作进行全流程的追溯,责任落实到人。3.运维评价阶段结语网络化是智能城市轨道交通的基础条件和支撑平台,也是实现轨道交通资源共享和协同创新的重要途径。智能城市轨道交通将进一步利用云计算、物联网、移动互联网技术等,实现轨道交通系统的数据集成、信息互联、服务互通等功能。而融合的网络势必成为网络化建设的重要标准,Wi-Fi与IoT技术的融合是目前
83、应用前景最广阔、生态链最完善、性价比最高的融合方案。特别是IoT能力,将赋予无线网更加广阔的应用空间,不但可实现高精度的定位功能,还可以利用声、光、热、电、力学、化学、生物、位置等传感器采集到各种需要的城市轨道交通信息。通过采集到的数据支撑智慧运维业务应用,实现轨道交通系统的自主学习、自适应调整、自我优化、自我诊断等功能,提高轨道交通的智能化程度和运营效果。第四章 Wi-Fi与IoT创新融合,构建城轨智能运维体系2221第四章 Wi-Fi与IoT创新融合,构建城轨智能运维体系准备工作运维计划运维执行运维完成销点后,施工人员归还定位终端给工班管理员控制中心调度员确认具备行车条件请销点车站值班员确
84、认施工人员符合实施工要求(佩戴定位终端),并确认施工条件施工人员按规定完成施工,并进行安全管理工班管理员根据施工计划清单录入施工时间、责任人、施工区域和虚拟围栏,工班组长审核工班管理员在“请点”前为施工人员发放定位终端工班管理员负责定位终端生命周期管理为保证定位终端可用,地铁运营公司制定管理办法,安全管理部门负责定期督查云城轨,智行远图1 TSN技术发展历程表1 TSN相关协议TSN在城轨行业的应用展望文/童修品TSN(Time Sensitive Networking,时间敏感网络),是IEEE 802.1工作组的时间敏感网络任务组制定的一组标准,具有时间同步、延时保证,以确保网络数据传输的
85、时间确定性,以及智能开放的运维管理架构,可以保证多种业务流量的共网高质量传输,兼具性能及成本优势。相较于传统网络的“尽力而为”传输,TSN可为网络中的业务传输提供确定性的时延,被普遍认为是下一代网络的演进方向,它将是未来汽车、轨道、工业4.0、电网、5G场景中的主要网络技术之一。城市轨道交通统各业务系统传输的业务数据种类繁多,对网络的要求差别较大。面对这种情况,实际项目中或采用划分多个虚拟局域网,或采用建设多张物理网络方式进行传输各类业务系统不同的数据。无论采用哪种方式,对时延、安全性、可靠性以及建设成本都不能做到良好兼顾。利用TSN技术或许可以解决这一问题。一、TSN技术简介2004年7月1
86、EEE 802.3研究组提出为家庭以太网中的音视频业务提供精准时间同步、有界时延抖动和带宽保障等能力的技术研究,之后该研究项目由IEEE 802.3迁移至IEEE 802.1,并于2006年3月正式成立AVB任务组。2012年,AVB更名为TSN,标志着其应用方向不再局限于音视频业务,而是面向对传输时延、丢包率等要求更严苛的工业控制等行业领域。2015年,互联网工程任务组(IETF)成立了确定性网络(DetNet)工作组,致力于将TSN中开发的技术扩展到路由器,这样在TSN中开发的技术就可以扩展到路由数据流。2019年,成立了汽车等更多的TSN行业应用工作组,同时成为确定性网络的候选底层技术。
87、TSN技术不是一个协议标准,而是由一簇工作在MAC层的协议组成。在这些协议的支持下,一方面TSN能够确保交换网络中的数据传输时延,另一方面时间敏感数据流和非时间敏感数据流能够在同一网络中混合传输,非关键负载的并行传输不会影响到关键负载的传输时延。按照其功能可以归纳为时钟同步、低时延、可靠性保证、资源预留4种。每一种功能特性都可应用在城轨通信网络。时间同步:为列车通信网络提供统一的时钟基准,用于流量调度和提供时间服务,为实现分布式功能同步提供支撑。实现时间同步的是IEEE 802.1AS协议,它是TSN的核心协议,也是实现其他协议功能的基础。而新华三在这一方面为用户提供“SyncE频率同步PTP
88、相位同步”的综合方案来实现高精度的时间同步,精度可达到纳秒级别。技术标准时间同步(IEEE 802.1AS)基于信用的整形器(IEEE 802.1Qav3)帧抢占(IEEE 802.3br&802.1Qbu1)流量调度(IEEE 802.1Qbv1)循环队列及转发(IEEE 802.1Qch1)异步整形(IEEE P802.1Qcr)QoS保障(IEEE 802.1DC)帧复制(IEEE 802.1CB)路径控制(IEEE 802.1Qca1)流过滤(IEEE 802.1Qci1)时间同步可靠性(IEEE P802.1 AS-Rev)流量预留协议(IEEE 802.1Qat3)TSN配置(IE
89、EE 802.1Qcc2)1.发展历程网络特性时间同步确定性低延迟高可靠性资源管理2.TSN主要功能特性IEEE 802.1工作组成立了AVB任务组,负责制定音视频数据实时传输的标准AVB任务组在其章程中扩大了时间确定性以太网的应用需求和使用范围成立了工业互联网的实时性工作组,即IEEE 802.1 TSN任务组Interworking任务组和TSN任务合并为新的TSN任务组IEEE和IEC联合成立了IEC 60802工作组,目标是定义TSN应用于工业自动化网络的标准成立802.1DF工作组,目标是定义TSN应用于服务提供网络的方案类标准成立802.1DG工作组,目标是定义TSN应用于车载网络
90、的方案类标准RFC8655:TSN成为DetNet的候选底层技术一2006年2012年2015年2018年2019年第五章 TSN在城轨行业的应用展望2423第五章 TSN在城轨行业的应用展望云城轨,智行远图2 新一代的城轨运行系统图3 城轨信号系统地面网络确定性低延迟:流量调度、循环队列及转发技术能够实现端到端的确定性传输,传输信息经过每个网络交换机的延时是在固定范围内的,保证控制信息传输延迟确定性。帧抢占技术可以保障紧急制动等安全控制数据的最高传输优先级和最低传输延迟。高可靠性:帧复制实现交换机和终端站的冗余传输帧的识别与复制、重复帧识别和消除重复帧,能够实现无丢帧的线路冗余切换性能,支持
91、环网线路冗余和并联线路冗余,为网络冗余提供统一的技术标准,解决目前各个厂家网络设备冗余协议不兼容的问题。相比传统的环网技术,节省了倒切的时间,进一步降低网络时延。资源管理:TSN遵循SDN体系架构,配置从系统视角对TSN单元进行集中配置,按照网络承载的业务数据传输需求划分网络资源,进行网络性能计算分析。TSN的研发重点是对网络数据链路层进行特性增强,为关键性的业务数据流提供确定的延时,进而保证流量的确定性。二、TSN在城轨的应用未来新一代的城轨运行系统整体采用“云-边-端”三层架构,实现车-车、车-地、车-云的控制协同和安全协同,实现任何车辆任何时间任何地点互联,将列车从单车智能过渡到列车/车
92、队/车轨协同的多智能体智能。然而多智能体的协同需要城轨通信网络提供确定性的时延和可靠,才能真正提升新一代城轨运行系统的效率与安全性。城轨通信网络主要有车载网络和地面网络。目前城轨地面通信网络主要有信号系统独立建设的环网和其他多业务系统共用的通信传输网,本文主要讨论TSN是如何为信号系统地面网络和车载网络提供确定性的时延和高可靠性的。目前城轨信号系统地面网络多采用五张独立的环网,或七环网,分为ATS双网、ATC双环网、无线双环网(五环网时与ATC网合并建设)和一张MSS环网。ATS、ATC等采用A/B双网冗余架构,其中A网单独用于信号系统控制数据的传输,B网用于控制数据的备份并传输语音、CCTV
93、等其他业务。同时ATC环网或无线网业务需要支持1588V2时钟同步协议为信号各终端提供统一的时钟基准。信号系统之所以独立建设通信网络,且采用多张物理隔离的环网,就是因为传统以太网的“尽力而为”的传输模式无法保证业务低时延、高可靠、时钟同步的需求。多环网模式堆砌的可靠性、低时延也造成了网络建设成本较高,网络结构复杂。同时,信号系统也在不断发展,未来车地通信可能采用5G技术来提供更低的时延,更大的带宽,需要车载和地面网络同步具有低时延、大带宽的特性才能充分发挥5G等新技术的优势,为未来新一代的城轨运行系统提供支撑。近年来,城轨信号系统厂家正在研究为信号系统各个终端设备建立实时数字孪生体,可以在后台
94、实时掌握各终端的状态,及时发现因终端1.TSN在信号系统地面网络的应用信号系统地面网络的现状与需求第五章 TSN在城轨行业的应用展望2625第五章 TSN在城轨行业的应用展望TAUTAU车载交换机车载交换机车站有线网络车辆无线网络ATS环网ATC环网MSS环网设备集中站工业交换机设备集中站工业交换机非集中站工业交换机非集中站工业交换机非集中站工业交换机非集中站工业交换机非集中站工业交换机设备集中站工业交换机设备集中站工业交换机车载工业交换机车载工业交换机设备集中站工业交换机设备集中站工业交换机效率线路容量增加65%运输能力提升100%调度中心EUHT 5GEUHT 5G大数据中心中心层C-AV
95、COS虚拟连挂灵活编组列车一体化平台及网络决策“大脑”+“神经”执行“四肢”感知“眼睛”V2X环境主动感知车轨协同感知防护轨旁层L-AVCOS列车云T-AVCOS安全障碍物检测距离提升300m成本建设成本降低50%改造成本降低60%出行乘客零换乘时间两大场景两大技术云城轨,智行远图4 新一代城轨运行系统下的列车车载网络设备问题带来的城轨运行安全隐患。以上的需求都需要城轨通信网络具有低时延、高可靠、大带宽、良好的兼容性等特性,如果采用传统以太网就略显能力不足。而遵循标准的以太网协议体系的TSN技术或许可以解决这些问题。2.TSN在车载网络的应用信号系统车载网络的现状与需求TSN在信号系统地面网络
96、应用探讨TSN网络中的流量调度、循环队列及转发技术能够实现端到端的确定性传输,传输信息经过每个网络交换机的延时是在固定范围内的,保证控制信息传输延迟确定性。帧抢占技术可以保障紧急制动等安全控制数据的最高传输优先级和最低传输延迟。基于IEEE 802.1Qbv或IEEE 802.1Qch标准的门控调度机制对特定标识的数据帧加以控制,结合IEEE 802.1Qci标准对入口数据进行筛选和过滤,是实现数据安全确定性传输底层的技术基础。TSN最关键的目的在于“同一”网络的数据传输,即周期性地控制通信数据与非周期的数据在同一个网络中传输。信号系统网络所承载业务中的CBTC信息、紧急文本信息、视频监控等业
97、务的优先级和所需的带宽各不相同,因此可以使用TSN交换机构建有线网,给网络中各个业务规划固定的传输时隙。具体而言,基于时分多址的思想,在循环周期内根据各业务带宽划分指定时隙给对应的业务,时隙大小根据业务带宽而定,如此规划后,不仅各个业务的传输互不被干扰且时延可控,同时可将各业务集中在同一物理网络上传输。七环网将可以减至2张TSN网,甚至1张,大大减少网络建设成本。车载网络主要用来连接TCMS(列车控制与管理系统)、PIS(乘客信息系统)、TCU(牵引控制单元)和BCU(制动控制单元)等。因为各业务系统对网路时延带宽的需求不一,以及传统以太网数据传输的不确定性,无法保证传输PIS等大带宽的多媒体
98、流数据时对TCMS等列车控制数据的零影响,传统的车载网络是将信号系统的车载网络和PIS车载网络采用物理隔离的两套设备构建。这种模式布线成本高,网络架构复杂,占用有限的车上空间。列车多网融合是指采用单一的网络来连接列车上所有的设备,是未来主流的列车网络形式。这就需要融合网络能解决车上各业务系统单元数据在同一网络中传输可以区别性地提供不同时延、不同带宽、不同优先级的问题。TSN在车载网络的应用探讨在车载网络中,确保流量中的帧在确定的、可预测的时间内送达是一个非常重要的技术指标要求。精确同步的时钟是TSN的基本元素,采用基于IEEE 802.1 AS实现全网时间同步,并在此基础上进行数据流量调度。基
99、于IEEE 802.1Qbv或IEEE 802.1Qch标准的门控调度机制对特定标识的数据帧加以控制,结合IEEE 802.1Qci标准对入口数据进行筛选和过滤,是实现数据安全确定性传输底层的技术基础。使用TSN交换机将TSN时间同步、帧抢占、帧复制技术应用到列车多网融合网络系统中,将安全等级高的数据和安全等级低的数据予以区分,可保证TCMS等控车数据传输的确定性,消除多媒体流数据在网络拥堵时对TCMS等控车数据传输造成的影响,进而实现列车网络真正的融合,简化车载网络架构。结语TSN具有实时性、可靠性、灵活性、可扩展性和开放标准等多个优势,使其能够满足不同行业和应用的实时、确定和可靠的数据传输
100、需求。然而目前TSN准协议簇中部分协议依旧处于修订、更新和评审状态,尚未得到广泛应用。同时,要想真正发挥TSN的价值,需要整个网络系统中的各个节点均支持TSN相关协议,需要有支持TSN各项协议的终端器件。随着各方面技术的成熟及行业迫切应用需求的增加,相信未来TSN技术将会在轨道交通领域得到广泛的应用。第五章 TSN在城轨行业的应用展望2827第五章 TSN在城轨行业的应用展望SIL4TIDSSIL4协同编队SIL2ATOSIL2TCMS功能分配框架TSN网络分布式硬件SIL4TIDSTCMS网络PA+PIS网络CCTV网络火灾网络其他网络实时过程数据+消息数据(MVB、以太网)语音+视频流数据
101、(以太网)视频流数据(以太网)串行数据(RS485)其他类型数据广播视频精确时钟同步安全的实时控制信息实时控制信息感知信息监控视频TSNSIL4协同编队SIL2ATOSIL2TCMS功能分配框架TSN网络分布式硬件PISCCTVPA牵引制动门控无线接入设备一体化MIMI一体化MIMITSN交换机TSN交换机TSN交换机TSN交换机ETBETB业务模型云城轨,智行远城轨云的异构统管权威认证多云管理的异构开源云内多虚拟化异构扎实基础,创新延续:新华三如何定义下一代城轨云?文/张一琛城轨业务上云,既受数字经济深化融合趋势的外在推动,也是城轨提升效率、优化体验、服务升级的内生要求。过去多年,从虚拟化到
102、云计算,城轨云在底层技术的演进下经过了几个不同的阶段。在摸索和试验的1.0阶段,城轨云缺少整体的规划和部署,难以实现高效的资源调度和灵活的业务匹配,“数据孤岛”仍旧是一个难以根除的问题。随着私有云、专有云等云架构的普及和应用,2.0阶段的城轨云在很大程度上解决了遗留的问题,让业务上云的模式日趋成熟,建设周期不断缩短,开始以“数据+业务”的双轮驱动,实现城轨效率、服务和体验的全面优化升级。站在新的起点上,城轨云在业务敏捷创新和数据价值交付等方面,也需要新的技术来解决新的难题。作为数字化解决方案领导者,新华三集团依托在全国参与城轨云建设所积累的经验和技术,从城轨数据中心、安全、业务的顶层规划设计出
103、发,以“全域统一管理”作为立足点,以专业服务团队提供全生命周期服务,通过综合运管平台、IaaS、PaaS、DaaS以及云安全、云运维、云运营等各个层面的融合创新,实现资源一体化管理,优化运行效率和应用体验,重塑下一代城轨云的规划理念和建设范本。一、IaaS底座,让创新与可靠合二为一一座城市的城轨要为千百万乘客提供出行服务,其多样化的需求必然会造就更复杂的业务架构,也让城轨云需要应对更多场景的转型挑战。一方面,城轨云不仅要承载普通车站、集中车站、智慧枢纽等不同分支机构的云上业务,另一方面更要为办公管理、专业生产、创新测试等应用场景提供专业、高效的服务和资源。为此,新华三在城轨云的设计和建设上,十
104、分重视提升IaaS的可靠性,通过多云异构解决了技术绑定、风险集中等问题,复合式灾备架构在提升可用性的同时,避免数据和业务的“割裂”,保障业务的稳健运行。此外,在稳定可靠的基础上,新华三在可扩展性的提升上也采取了多项创新举措,计算、存储、网络的弹性调度和多线路接入,给未来的增长预留了扩展的空间,同时以性能提升数倍的核心交换机和专业定制开发支撑起大规模线网云SDN组播技术的应用,简化业务运行逻辑,提升城轨云承载业务的整体效率和性能。为了避免重复建设带来的浪费,新华三在城轨云的设计上也尤为注重基础设施的充分复用。特别是在SDN软件定义网络的利用上,PaaS平台可以复用SDN实现跨数据中心的大规模组网
105、,打破社区开源网络组件的规模局限性;南北向、东西向的云安全也可以复用SDN网络对流量进行安全编排,复用底层的虚拟化集群,在降本增效的基础上持续提升城轨云的灵活性和安全可靠性。此外,新华三将创新的能力延伸到车站边缘,以瘦终端VDI推动控制中心降本增效,以胖终端IDV、VOI满足车站智能转型的全方位需求,并且能够以“零信任”的理念重新定义城轨云的接入和管理标准,让城轨云桌面走向“胖瘦终端皆为美”的新阶段。第六章 扎实基础,创新延续:新华三如何定义下一代城轨云?3029第六章 扎实基础,创新延续:新华三如何定义下一代城轨云?因项目招标、建设周期、厂商技术壁垒等因素导致多种异构:中心云按业务属性异构:
106、线路、线网云平台异构,生产、管理网异构 中心和车站云异构:中心云平台和车站边缘云异构云平台的漏洞和升级风险随规模增大而增加招标阶段通过多家竞争,可有效降低采购成本城轨云异构是中城协专家认可的方案,有深圳地铁项目作为参考多云异构适配开放API接口的多云管理平台云管平台纳管KVM、VMware、Hyper-V、Xenserver等虚拟化私有云1服务目录运营管理运维管理资源管理用户管理业务管理CMP多云统一管理平台云管理云分析云优化云增值统一云服务统一云运营统一云运维统一云认证云计算开放API开放API多云统一管理平台可广泛对接不同厂商的云平台,API接口类型丰富,成熟度高,快速交付开放API开放A
107、PI云存储云网络云安全云数据库云中间件云组织适配层私有云2私有云3私有云N避免单一绑定多云分散风险竞争降本建设方被单一供应商绑定,导致方案固化,升级路线单一云城轨,智行远二、推动“云数智”融合,以DaaS平台激活数据价值数字底座提供了高效调度的算力,但只有算力在算法的驱动下与数据充分融合,才能最大程度上推动行业变革。新华三整合了多源数据,以沉淀多年的数据治理和开发能力打造出大数据平台,租户可以通过统一云门户自助申请、部署、配置和使用大数据资源,大数据应用的发布,云管理者也能高效灵活地对大数据资源进行调度,提升云数融合的深度,以全方位的数字化能力引领智慧车站、智能调度、智慧运营等应用的创新和部署
108、。三、以业务逻辑为导向,加速云原生理念落地在PaaS平台的建设上,新华三坚持以业务逻辑为指导进行IT架构的规划布局,推动业务的微服务化改造,将新技术能否满足业务需求作为衡量PaaS平台性能和价值的标准。例如在北京地铁,新华三构建的PaaS平台就立足容器、微服务、DevOps等云原生技术构建高效灵活的容器云底座,引入Kafka中间件、DRDS分布式数据库等,以微服务架构应对潮汐流量的高并发、和业务敏捷开发的快速更新迭代场景,满足ITP等创新型业务的实际需求。在数据接入、治理、挖掘等全生命周期的建设上,新华三从数据标准、数据模型、指标计算、数据服务等维度出发,全力推动城轨大数据治理服务的场景化、套
109、件化,从完整的数据治理体系中提炼出随产品配套发布的安装包和技术文档,规范数据治理服务中的接口、标准、流程、服务等工作,不仅能够降低数据治理的成本,提升数据应用的效率,更把过去的经验化为后续建设的工具,以大规模复制的模式,让城轨大数据平台建设事半功倍。新华三在推动技术创新之外,更聚焦于提升城轨PaaS平台的建设和部署效率。一方面,新华三整合过往经验推出了全流程维护手册,覆盖建设前、中、后各个阶段,以整体性的设计避免了多厂商微服务“孤岛化”的复现,彻底打通技术和业务架构。另一方面,新华三也将“套件化”的理念延伸到了PaaS平台的建设上,将城轨云建设积累下的资源评估原则、组件选择方法、应用服务发布方
110、式以及持续监测、治理的建设理念沉淀为城轨PaaS行业套件,全面提速业务系统的微服务改造、微服务架构部署、PaaS组件支撑等场景落地。城轨大数据的云数深度融合下一代城轨云平台发展趋势第六章 扎实基础,创新延续:新华三如何定义下一代城轨云?3231第六章 扎实基础,创新延续:新华三如何定义下一代城轨云?资源管控统一云门户租户申请大数据服务资源云管理员审核通过,分配大数据资源云租户部署、配置、使用大数据资源,完成大数据应用发布薄前台:调用中台能力,结合业务场景开发轻应用即插即用:轻应用快速开发,跨平台适配厚中台:业务支撑模型沉淀;业务中台:容器+微服务+DevOps+中间件定制化:项目经验标准化形成
111、行业套件、工具薄前台:调用中台能力,快速采集、传输数据即插即用:封转流程,规范数据模型,提供套用模版厚中台:数据建设模型沉淀;数据中台:Hadoop+MPP+数据集成运营平台定制化:依据行业规范、项目经验标准化形成行业套件、工具终端行业套件数字基础设施数据治理接口协议适配数据转换程序主题明细汇总集市计算存储网络融合集成平台云管平台云管理云服务目录云运维云运营云安全应急指挥大屏BI运营管理生产分析其他监管信号闸机告警列车付费Hadoop数据库中间件AIMPP大数据应用发布云租户自助申请使用大数据资源云数融合数据运营平台应用开发平台底座+生态大数据平台计算资源池存储资源池网络资源池安全资源池MyS
112、QLDRDS集群Redis集群ZookeeperAPI网关Kong网关Ingress传输管理交易管理支付系统计费系统客流管理SpringCloud 微服务引擎容器云(容器+微服务+DevOps开发流水线)地铁售票业务中间件数据库其他数据库接入网关层IaaS云平台PaaS平台业务驱动业务中台(厚)行业套件形态:容器微服务前台:应用服务组件(薄)AFC框架中间件调教DB选择并发应对模型云数+业务的融合业务服务、数据服务整合到云平台服务目录,形成城轨特有的云原生应用云原生应用平台综合运管平台DaaS平台数据驱动数据中台(厚)行业套件形态:虚机、微服务前台:城轨数据工具(薄)接口规范数据标准数据模型治
113、理流程RocketMQ、Kafka地铁票地铁卡地铁手机APP云城轨,智行远四、从安全、运维到运营,与城轨云变革相伴而行在安全层面,新华三以“融汇平台统保,贯通系统自保”为基本理念,通过为城轨云打造一体化的安全保障体系,实现云安全资源池的统一部署,规避安全建设“各自为政”导致的混乱无序。同时,新华三顺应云原生技术的部署需求,针对城轨云安全生产网、内部管理网、外部服务网提供数据安全、零信任、PaaS安全等全方位的场景化安全能力,在满足等保合规的基础上,向着局部安全进行精耕细作。在运维层面,新华三积极推动城轨云从技术运维向业务运维转型的建设理念,以业务为视角,以CMDB为核心,以IT基础架构运维数据
114、为基础,实现故障的快速定位和处理,进一步聚焦用户的真实体验,得出应用性能指数,在此基础上对应用进行自动发现、追踪和故障诊断,保障业务应用程序正常工作;在运维模式上,新华三也积极推动IT运维流程工单服务化,制定出一整套完整的IT运维流程,打破云运维和业务、设备运维之间的边界,实现不同运维逻辑的纵向贯通,确保每一项运维任务可跟踪、可管理,为城轨云提供及时、有效、全方位的服务保障。在运营层面,新华三将业务运营的场景化定制服务作为推进创新的重要手段,依托统一、高效的数据治理和洞察能力,打造出智慧线网指挥中心、智慧车站、智慧防汛、智慧工地、智慧客服等一站式的场景化智慧城轨解决方案。例如智慧防汛,能通过对
115、天气预报、雨情监测、城轨运行等数据的协同分析进行灾情推演,从而做到及时、精准的告警,保障乘客的人身安全和地铁的运行安全。目前,新华三已经参与了北京、上海、广州、深圳、南京等47个城市的城轨数字化建设,落地60+城轨云实践。在“云智原生”战略的深化之年,新华三继续推动城轨云在“云数智”不同层面上的融合创新,以云平台、数据平台、业务平台以及配套服务体系的全面进化,满足智慧城轨业务应用的转型需求,与生态合作伙伴一道,推动智慧城轨向未来加速变革和前行。在新华三看来,伴随着数字化的加速创新以及与业务的深度融合,“厚中台、薄前台”将是未来城轨云建设的潜在发展趋势。在统一的IaaS平台基础上,由DaaS平台
116、逐步演化出的数据中台以及由PaaS平台演化出的业务中台,将为城轨云的建设和部署提供丰富的行业套件,通过与生态合作伙伴紧密配合,新华三将以“厚中台、薄前台”的理念重构未来城轨云,将业务服务、数据服务整合到云平台服务目录,打造城轨行业专属的云原生应用平台,进一步提升城轨云部署的效率,激活数据价值,赋能云原生应用的改造和创新。主备同构,跨网异构,全局统览城轨云“和而不同”的发展之道文/张一琛经过近6年的反复实践验证,从2023年开始,全国各地城轨云的建设已经进入快速、大规模的发展阶段。过去是OA办公云、AFC清分票务云等一系列小规模试点建设,现在则是承载多线路业务和线网业务的线网级大云,体量和规模翻
117、了将近十倍之多。线网大云一般含有一套主备双中心,三网架构,测试云一套,同时协同多线路的站段边缘云,共同打造一整套完整的城轨云体系。量变引起质变,当项目规模超过一定体量的时候,就不得不重新思考既有的城轨云建设模式是否还能继续适用。线网云平台的主备中心的灾备关系需不需要考虑云平台厂商的异构?六张网络资源池要不要采用同一云平台架构?会不会出现所有鸡蛋都放在一个篮子里的风险?这么多张网络、不同地理位置的云资源池和管理平台怎么才能全局统筹监管?都是摆在全国地铁业主面前亟待解决的棘手难题。新华三基于已参与的60余个城轨云项目,分析洞察到部分城轨云未来的建设趋势会呈现出一、主备同构,一云统管城轨云从来都不是
118、单一数据中心的孤岛建设,为了充分发挥云平台高可用性的优势,灾备中心的建设成为最佳实践方案。在既有城轨业务系统自带的降级机制之上,叠加了云平台的灾备切换机制,使得主备双中心的城轨云在灾备等级上能够达到最高级6级,RTO和RPO均约等于0。“主备同构,跨网异构,全局统览”的大趋势。这种趋势不是任何一家业主、设计院、厂商能够主导的,是全国各地城轨云项目建设者的智慧集大成的体现。这种趋势既承接了过去专业云、单线路云的建设特点,又解决了线网大云存在的各种潜在风险。第七章 城轨云“和而不同”的发展之道3433第六章 扎实基础,创新延续:新华三如何定义下一代城轨云?综合运管平台主中心备中心安全生产网内部管理
119、网外部服务网安全生产网内部管理网外部服务网一云遮天灾备同构一云遮天灾备同构一云遮天灾备同构跨网异构跨网异构云城轨,智行远二、跨网异构,分散风险2023年临近尾声,业界出现了几起大型云服务中断事件。据官方故障定位的道歉声明来看,可以发现上层基于云原生技术开发和发布的应用,其崩溃宕机多是由云平台故障导致。这一连串同构云平台的事故给国内大型云平台建设项目敲响了警钟,单一品牌的同构云平台存在全局雪崩的风险,需考虑引入异构云平台进行风险分担。如果着眼于城轨业务系统的属性区别,安全生产网主要面向信号系统、综合监控系统、自动售检票系统等业务的运营和基础硬件设施的运维,内部管理网主要面向轨道交通集团员工的办公
120、管理场景,外部服务网主要面向乘客民众对信息获取的需求。业务系统之间的差异会产生物理和逻辑上的隔离,这种隔离就导致我们常采用网闸和防火墙来应对,甚至采用不同厂商的云平台即异构云来实现隔离的深化建设。2021年,深圳轨道交通网络运营控制中心(NOCC)二期项目中就因为线路业务系统和线网业务系统需要同时部署上云,且整体云资源投入达数亿,规模较大。经过深圳地铁业主、中城协等多方专家充分论证后,大家一致明确提出了“线路、线网采用异构资源池,可实现业务系统的应用级互备,以分散风险,防止单一资源池架构性故障,影响全部业务系统,造成业务瘫痪”。线路云和线网云分别由不同云平台厂家提供专业的技术支持服务,共同开放
121、北向API接口,接受多云管理平台对异构云的资源的统一管理和运维。2022年,西安市地铁线网云平台工程项目中,因整体项目同样存在体量大,云平台将跨安全生产网、内部管理网和外部服务网的不同属性的业务系统资源过于集中的问题,西安地铁最终决定采用跨网之间的云平台异构方案。随着方案论证的深入,跨网异构的方案优势主备中心均部署安全生产网、内部管理网和外部服务网,跨中心的相同网络上的云平台和业务系统实现冗余灾备。过去在备中心多采用3-4级的数据级备份来保障数据的完整性,现在线网云的灾备水平逐步提高到5级实现业务系统的容灾,甚至是6级实现业务系统的双活。灾备等级的提高会涉及存储层的数据同步,计算虚拟化层的HA
122、,数据层的数据库迁移,网络层的大二层快速切换,安全层的设备冗余,云管理层的心跳监测和应用层的无状态双活等多因素跨中心的联动。这就必然要求跨中心的相同网络云平台要由同构云厂商来承接建设,才能用最低的人力、时间成本实现最高的灾备水平。同构云平台部署在主备中心的安全生产网、内部管理网或者外部服务网时,可以充分贯彻“一云统管”的技术策略。采用一朵云架构,一套SDN平台,对接主备双中心的相同网络的资源池,实现一朵云统一管理多地域Fabric的建设方案。该思路在城市轨道交通云计算应用指南中就曾重点提及,“一云双中心”高级别灾备模式是经过中国城市轨道交通专家们详细论证的先进理念。整个方案就只存在“云管理平台
123、-业务资源池”两层架构,避免了“多云管理平台-云管理平台-业务资源池”的三层架构的出现。新华三城轨云经过深度开发定制,在北京等地已经落地该二层架构方案,完美契合城轨业务系统从“线网-线路-车站”向着“线网-车站”两层架构演进思路。主备中心技术栈同构才能满足应用级灾备要求深度定制,一云统管,统筹全市多中心第七章 城轨云“和而不同”的发展之道3635第七章 城轨云“和而不同”的发展之道应用层(异构应用难双活)应用集群部署、应用无状态、应用多活云管理层(异构云管难同步)配置数据随动、虚机纳管、云平台备份安全层(异构安全难切换)FW虚拟机随动、WAF随动网络层(异构网络难切换)跨中心L2网络互通、DN
124、S、GSLB数据库层(异构DB难迁移)数据库备份、双活、跨中心集群计算层(异构虚机难HA)跨中心高可用、负载均衡、迁移调度每天定时备份RTO=4-12hRPO=30mins数据级备份(3-4级)一主一备,手动自动切换RTO=30minsRPO 0业务主备容灾(5级)双主同时提供服务,需同步一致RTO 0RPO 0应用级主主双活(6级)存储层(异构存储难同步)存储远程复制、存储跨中心双活多云管理平台or综合运管平台一朵生产云资源池1安全生产网(主)跨中心灾备跨中心灾备跨中心灾备跨中心灾备跨中心灾备跨中心灾备安全生产网(备)内部管理网(主)内部管理网(备)外部服务网(主)外部服务网(备)安全生产网
125、(主)安全生产网(备)内部管理网(主)内部管理网(备)外部服务网(主)外部服务网(备)资源池4资源池2资源池5资源池3资源池6资源池1资源池4资源池2资源池5资源池3资源池6一朵管理云一朵管理云一朵云跨中心,跨三网,对接6大资源池从多云管-云管-资源池3层架构 精简为云管-资源池2层架构新华三专业定制:一朵云VS云城轨,智行远三、综合运管,全局统览在主备同构,跨网异构的整体建设下,必然需要有一个“全局统览”的指挥官辅助用户对整个城轨云数据中心进行深度运维。经过在武汉、西安、太原、上海等地的城轨云项目建设印证后,综合运管平台能够兼容异构资源池,开放数据协议和接口API,实现对各城市建设的主备云中
126、心、站段云节点、大数据平台、测试平台等多个云资源统一运维,满足兼容异构云平台的统一账号管理、统一业务管理规范、异构云资源的统一调度和管理要求,支持用户实现资源的创建申请、释放申请,以及云主机、负载均衡等服务管理内容,实现运维管理、安全管理、网络管理等统一查看。综合运管平台的搭建是异构多云管理平台的技术延伸,是基础设施软硬件运维的功能扩展,为全国线网云的主备同构,跨网异构的框架赋予统筹管理、高效协同、智能加持和便捷交互的能力,助力城轨云的快速高质量发展。愈发明显:生产网和管理网的异构云平台能够将故障风险分摊,避免一个篮子中的鸡蛋全部碎掉。异构云平台可避免被单一云厂商绑定,形成“鲶鱼效应”,激活不
127、同云厂商的技术竞争,将技术路线和价格谈判的主动权牢牢掌握在业主手中。通过综合运管平台纳管异构云能提升整体数据中心的兼容性,足够的兼容开放带来足够的稳定性,原理类似软件的开源思路。2023年,济南城市轨道交通4号线一期工程中基于同样考量,采用了类似西安的跨网异构模式,在生产网和管理网之间通过不同厂商的云平台实现风险分摊,最上层通过定制化的云管平台同时接入多个分布在不同地域的资源池,或通过同一个云管平台对主备中心生产网、管理网的资源池进行统一管理。如果纵向梳理历年各地建设的城轨云项目,会发现存在四种异构方案。第一种,根据线网和线路业务系统的属性差异,决定线网云和线路云之间异构建设。第二种,根据安全
128、生产网和内部管理网或外部服务网之间的业务系统和面向对象的差异,决定在不同网络中建设不同异构云平台。第三种,城轨控制中心或线网指挥中心云平台和车站边缘云异构。第四种,云平台软件和底层基础设施硬件异构建设。前两种按照业务属性差异划分异构云,第三种按照部署地理位置差异划分异构云,最后一种按照设备的软硬形态差异实现方案的异构建设。城轨云的四种异构方案第七章 城轨云“和而不同”的发展之道3837第七章 城轨云“和而不同”的发展之道DataDataA系统A系统B系统C系统D系统DataData线路云线网云DataData线网-线路异构中心-车站异构生产网-管理网异构软件-硬件异构DataA系统B系统C系统
129、D系统生产云管理云B系统C系统中心云B系统车站边缘云A系统C系统DataDataDataA系统B系统C系统云计算软件DataDataDataData计算资源网络资源存储资源安全资源基础硬件DataDataData云城轨,智行远构建城轨边缘数字底座解决方案文/吕飞 随着城市轨道交通的快速发展,全国各地铁集团正在大力建设城轨云平台,以实现从自动化向智能化的技术升级,城轨云在发展上经历过三个阶段:第一阶段,验证可行性:将管理类业务系统及个别生产业务系统做上云改造。第二阶段,强化可靠性:将生产业务进行上云改造,主要通过虚拟化、容器方式做承载,强化生产业务的云上稳定性。第三阶段,发挥先进性:将安全生产、
130、内部管理、外部服务全域业务进行云化适配与优化,应用IaaS、PaaS、DaaS全栈能力。以上主要目标集中于通过云平台、大数据平台赋能中心级业务升级、改造。但既有城轨云项目普遍采用重中心化建设的模式,而在边缘侧只设置了“两台云节点服务器、两台车站汇聚交换机和防火墙”,这就导致了城轨云方案无法满足车站改造、智慧车站升级、智慧枢纽建设等复杂场景的需求。同时车站、车辆段系统依然大量采用传统模式,其建设和运维面临着一系列的挑战,我们可以看到在地铁建设、运营、运维各阶段,边缘侧存在着效率低、成本高、运维散、架构重以及创新差等一系列问题和挑战。这些问题不仅严重影响了车站系统的正常运行,还给城市轨道交通的正常
131、运营管理带来了困扰。在建设阶段,首先,建设成本高、建设效率低是当前车站系统面临的一个主要问题,由于传统招采模式的限制,各类基础资源和智能服务资源的单独招采和重复构建,大幅提高了建设成本;其次,各类业务系统施工建设、部署安装和业务上线的割裂建设,资源缺乏有效整合;同时,改造难是由架构陈旧给车站系统带来的困扰,车站、场段业务的ICT基础架构陈旧,设备数量、冗余机制和安全防护具有明确的数量要求,相互存在绑定关系,灵活性差,不方便改造。在运营阶段,创新能力差是边缘侧丞待解决的问题,传统业务的ICT基础设施无法满足业务智慧化升级和赋能的需求,无法提供例如物联网、云IaaS、云PaaS、大数据等智能服务的
132、能力,缺乏统一的边缘智慧化服务能力的统一规划也加剧了边缘场景的割裂性。在运维阶段,运维效率低、成本高是另一个边缘侧突出的问题,目前大多数业务系统的运维服务采用人员外包模式进行,各个专业单独运维,不同运维班组和网管室之间缺乏有效的协作和沟通,对于ICT知识的了解也仅限于基础水平,缺乏统一的管理机制和手段,面对复杂问题的相互推诿和重复排查,各自为政,运维及其分散,难以针对性解决。综上所述,当前车站系统面临着成本高、效率低、运维散、架构重和创新差等一系列问题和挑战,解决这些问题需要采取系统的建设模式、管理措施的变革,城轨边缘数字底座平台建设可以帮助实现包括提高建设和运维效率、降低成本,统一运维和管理
133、、更新架构、促进创新,最终实现车站系统的高效、安全、智能运营等目标。一、城轨边缘数字底座的概念和特点城轨边缘数字底座是基于云边缘计算服务概念构建的,云边缘计算服务是指在靠近设备或数据源头的网络边缘侧,融合计算、存储、网络、安全、控制等能力,就近提供边缘智能服务,简称边缘计算服务(EaaS)。边缘数字底座是构建在城市轨道交通车站、枢纽、场段等边缘场景下的云计算平台,为车站、枢纽、场段边缘位置提供计算、网络、存储、安全等全栈能力的云计算服务,并联通中心城轨云和边缘终端,构成“云边端三体协同”的端到端的技术构架,通过把网络转发、存储、计算,智能化数据分析等工作放在边缘处理,降低响应时延,减轻云端压力
134、、降低带宽成本,并能提供城轨线网级的调度、算力分发等云服务。1.城轨边缘数字底座概念城轨边缘数字底座是城轨云的一个组成部分,纳入中心云平台统一管理,具备与中心城轨云平台全面协同的能力,可灵活设置于车站、车辆段等。城轨边缘数字底座特点:承上启下:边缘数字底座北向通过线路骨干网与中心云平台进行数据交互,南向通过站段局域网与边缘无线网络接入端侧设备进行数据交互。2.城轨边缘数字底座与城轨云平台的关系第八章 构建城轨边缘数字底座解决方案4039第八章 构建城轨边缘数字底座解决方案云城轨,智行远图1 城轨边缘数字底座总体架构图图2 边缘数字底座系统功能架构图二、城轨边缘数字底座的构建边缘数字底座的部署位
135、置可灵活设置于车站、车辆段等,并与城轨中心云平台、云及边缘端侧设备构成完整的城市轨道交通信息化“云-边-端”三层架构,边缘数字底座的总体架构如图1所示:1.城轨边缘数字底座系统架构边缘数字底座的网络架构与中心城轨云平台对应,同样划分为“安全生产网”、“内部管理网”及“外部服务网”的三网架构,不同的是,边缘场景由于业务及其对应资源部署情况与中心存在很大差异,边缘侧不再独立设置边界防护硬件设备。2.城轨边缘数字底座网络架构支持降级:边缘数字底座与中心通信正常的情况下,具备与中心云平台全面协同的能力,在与中心通信异常的情况下,边缘数字底座可实现自身的管理功能。架构灵活:云边缘可根据地铁实际建设情况、
136、业务系统功能需求进行“模块化”灵活配置。边缘数字底座通过采用超融合硬件设备作为资源承载主体,通过统一边缘局域网络,实现资源共享,同时边缘物联节点、视频节点可容器化部署在其中,提供可与中心协同的物联、视频分析能力。边缘数字底座系统功能架构如图2所示:正常情况下,边缘数字底座通过骨干环网与中心云通信,具备与中心云平台全面协同的能力,在与中心通信异常的情况下,边缘数字底座也可实现自身的管理功能,支持业务系统降级模式;同时,云边缘可根据地铁实际建设情况、业务系统功能需求,将IaaS、PaaS、物联、视频分析等服务进行灵活的“模块化”配置。局域网络(边缘冗余汇聚接入交换)城轨云骨干传输网络微模块数据中心
137、边缘数字底座边缘物联节点云边缘节点(提供 IaaS、轻量化PaaS、大数据、AIGC)边缘视频节点计算节点1计算节点2计算节点3计算节点无线网电扶梯、水泵、风机、蓄电池、智能照明智能运维轨旁巡检、图像识别、视频终端云边端视频存储节点Wi-Fi 6及其他制式PIS接入AFC接入ISCS接入PIS终端AFC终端CCTV接入 智慧业务手持PIS、AFC运维终端线路环网云边缘管理UIS-Manage车站n车站2车站1 裸金属物理资源规划按需以1台为粒度按需增加物理资源规划既有普通车站3台,以1台为粒度按需增加物理资源规划按需增加2台形成热备业务应用CCTV、PIS、PA、ISCS等(含智慧化改造)扩展
138、站段级计算资源池常规站段级计算资源池扩展站段级计算资源业务应用ATS(含智慧化改造)业务应用AFC及创新智慧业务(含智慧化改造)线路环网中心CloudOS综合运管平台智慧类支撑组件:大数据、物联、视频分析(存算检)、AI组件(含大模型)数据库:ORACL等PaaS组件:中间件、分布式数据库云桌面安全资源池站段级业务中心云服务边缘数字底座模式-计算资源视频云存云下专业设备云桌面无线物联终端虚拟机容器应用应用HostOSHostOS云原生内核应用应用GuestOSGuestOS应用应用PodPodK8S虚拟机虚拟机第八章 构建城轨边缘数字底座解决方案4241第八章 构建城轨边缘数字底座解决方案云城
139、轨,智行远横向维度,对于采用RJ45端口、TCPIP网络协议作通信的生产业务专用设备及终端,通过云下接入交换机做汇聚后接入边缘数字底座核心交换机,对于物联网传感器类等采用物联、工控协议做通信的终端,则通过POE交换机做汇聚后接入边缘数字底座核心交换机。纵向维度,边缘网络包含边缘网络设备及边缘接入终端,边缘终端和计算资源池通过边缘网络核心设备与中心云平台进行联通。边缘网络架构如图3所示:图3 边缘网络架构图表1 站段业务系统采用基础ICT设备建设模式下资源占用表边缘数字底座平台可按需灵活配置云IaaS、轻量化云PaaS、大数据、AIGC、物联管理、视频分析等平台功能和服务。常规情况下,通过3台超
140、融合服务器提供业务系统所需的虚拟机资源及边缘数字底座IaaS服务,当资源不足时,可按需以1台超融合服务器为最小单位进行增加。同时,可以通过1台超融合服务器作为最小单元提供边缘场景下的轻量化云PaaS服务,包括容器集群管理、容器资源自动分发等。对于调度类业务的操作工作站需求、边缘视频类业务的分布式存储需求,可以在边缘数字底座上扩展相关云桌面、视频云存资源池,进行能力接入,与中心云平台进行能力协同。在机房建设方面,边缘数字底座采用模块化机房的模式进行建设,即将机架式形式同时将“配电单元”、“空调”、“UPS”、平台管理、计算、存储、网络、安全节点进行融合部署,将机房中配电、制冷、监控、计算等集成到
141、一体化机柜当中,提高机柜空间使用率、减少机房面积、降低能耗,减低机房整体PUE,同时通过动环监控系统实现机房运行的实时监控,承载所有ICT设备,最大限度实现边缘侧的绿色节能。此外,当边缘业务系统的云下设备及端侧设备需要与云平台进行通信时,则通过边缘局域网络、边缘网络提供有线和无线不同接入方式,实现业务系统的云-边-端互联。3.城轨边缘数字底座系统构建4.城轨边缘数字底座成本分析 通过边缘数字底座方式改造后需要资源为8台超融合服务器、2台汇聚交换机、2台防火墙、1台视频云存储及10台云桌面,传统模式边缘侧可云化业务系统资源与边缘数字底座建设模式可云化业务系统资源,如表1、2所示:设备成本分析序号
142、类型业务系统服务器交换机防火墙工作站存储备注1传统业务ISCS422202AFC120203公专电话020004PIS510005CCTV111016信号系统032607智慧业务智慧车站42200客流监测、应急联动等8智能客服222009智能管控2220010智能运维4220011智慧枢纽82200智慧商业、智慧物业等合计372519101轨旁AP轨旁AP无线AP轨旁AP轨旁APIoT模块外部服务网中心业务资源池(按需规划)内部管理网中心业务资源池(按需规划)云下有线接入边缘云资源接入无线物联接入本地出口(按需规划)中心出口中心AI+数字底座边界防护边界防护边界防护安全生产网中心业务资源池外部
143、服务网站段业务资源(按需规划)外部管理网站段业务资源(按需规划)外部生产网站段业务资源LEAF云下接入交换机FWLEAFPOE交换机车站核心线路环网车辆车地无线无线智慧终端终端接入边缘云资源池边缘AI+数字底座边缘网络边缘网络物联传感器车站1车站n第八章 构建城轨边缘数字底座解决方案4443第八章 构建城轨边缘数字底座解决方案云城轨,智行远表2 站段业务系统采用边缘数字底座建设模式下资源占用表分析对比得出,城轨边缘数字底座将原有92台ICT设备整合为33台ICT设备,设备数量综合降低75%,其中计算节点设备数量降低88%,网络设备数量降低92%,安全设备数量降低90%。对于传统业务:每站减少I
144、SCS机柜5个、通信机柜4个(PIS机柜2个、CCTV机柜2个)、AFC机柜1个、信号机柜2个(设备集中站2个、非集中站1个),减少共计12个机柜。对于智慧业务:因功能配置、实现方式以及软件ISV的不同,每站按照智慧安检、智慧枢纽、智慧车站、智能管控、智能运维、安全防护集成的机柜最小总体规模核算,约减少8台机柜。边缘数字底座考虑优化设备资源空间占用、降低整体能耗,建议进行“模块化机房”建设,将传统机柜优化为4个边缘数字底座机柜,整合了配电、制冷、监控、资源承载能力,同时预留智慧类业务机柜资源能力,可减少机柜总计数量约20台。分析对比得出,机柜数量总体降低约80%。机柜数量成本分析针对设备室IC
145、T设备机柜总额定功率做估算50KW(5KW*10台),对边缘数字底座计算、存储、网络、安全设备机柜总额定功率做上限预估(包含智慧类业务)30KW(10KW*3台),全线共降低(20KW*20个站段*24小时*365天)约350万KW,全线每年约减少电费350万;同时估算供电系统总额定功率约50%(提供80KW)给ICT设备使用,边缘数字底座建设模式可降低50%ICT供电额定功率(提供40KW)。ICT能耗降低约40%,全年站段电费降低350万。能耗成本分析弱电机房包含边缘数字底座加传统业务系统工控设备机柜,单个车站机柜总面积可以从260(以杭州5号线为例,车站信号设备室100,综合监控设备室4
146、0,专用通信设备室60,公安通信设备室40,该线路边缘不含智慧业务资源占用)减少至120(其中传统业务系统专用设备机房占用面积进行整合为100,边缘数字底座资源占用20)。机房面积总体降低约50%。由于边缘数字底座将通用资源进行整合部署,同时优化设备资源空间占用,考虑车站综合机房面积成本分析序号类型业务系统超融合服务器交换机防火墙云桌面存储1传统业务ISCS8221012AFC3公专电话4PIS5CCTV6信号系统7智慧业务智慧车站8智能客服9智能管控10智能运维11智慧枢纽合计8221015.对于改造线路边缘建设场景的适配当前各地铁集团都陆续迎来了改造、大修期,线路改造的主体是生产业务系统,
147、采用“以专业为单位,分步骤招标、改造”的模式,相应的弊端逐渐显现:架构陈旧:虽然硬件设备不断更新、性能不断升级,但没有改变业务系统架构陈旧的本质。建设割裂:由于没有统一的数字化底座提供全栈能力支撑,业务即便存在新技术需求,也不得不独立建设一套包括云IaaS、PaaS、大数据、物联网在内的多个平台,反而加剧了边缘场景的割裂性。实施繁琐:每个专业改造时,都需要部署、调试硬件环境,工作量巨大,同时故障点也大幅增加。资源重复:每个业务建设有自己独立网络、安全、计算设备,独立升级改造,能力超标,资源重复,造成了建设成本和运营成本的浪费。而边缘数字底座的灵活架构、强大功能、通用能力可以很好的解决这些问题,
148、传统建设模式、城轨云建设模式下,边缘场景改造过程优化如图4所示:第八章 构建城轨边缘数字底座解决方案4645第八章 构建城轨边缘数字底座解决方案云城轨,智行远图4 边缘场景改造过程优化图图5 边缘数字底座场景下的智能运维架构图图7 智慧防汛系统图1.轨旁智能运维场景的实践三、城轨边缘数字底座场景化应用探索与实践基于城轨边缘数字底座能力与架构模块化灵活配置的构建思想,此方案已经在一些城市进行率先的尝试和探索,我借助于新华三集团及北京交通大学在各地铁线路项目建设上的机会,参与了如下实践。例如,在青岛地铁针对于轨旁、站厅、站台业务智能运维的场景,基于业务实际需求构建了以模块化数据中心、边缘数字底座节
149、点、大数据节点、物联网节点为基础,覆盖云IaaS、大数据、物联网能力的边缘数字底座,并配置了手持台、手环等终端实现了物联网技术对轨旁运维人员的定位,这也是边缘数字底座方案在青岛地铁大规模应用,通过UWB定位实现的智能导航、电子围栏、Wi-Fi网络实现的智能终端接入功能,加之边缘数字底座节点上业务资源的快速部署、策略快速分发,大大提升了青岛地铁的运维效率,系统架构如图5所示:2.客流分析与客运调度场景的实践此外,上海申通地铁针对于车站厅、站台的客流分析与客运调度场景,基于边缘数字底座的云计算、大数据、物联网的能力进行了实践应用。首先将客流分析、调度场景拆解为站外、进站、站内、站台、换乘、乘车六大
150、场景,以边缘大量感知终端视频数据为参照,做视频分析。其次,通过边缘数字底座联通边缘终端设备,及控制中心的分析、调度应用系统。最后,实现线路人数统计、人群密度、排队长度、候车留乘等场景下的客流分析与乘客调度能力,场景分解如图6所示:3.车站智慧防汛的实践由于目前极端天气、突发情况频繁出现,昆明地铁基于车站智慧防汛场景也做了课题实践,在边缘侧搭建边缘数字底座模型,并将车站站外、站内进行智慧防汛的场景进行联动,最终实现防汛监测、视频监控、应急响应等功能,智慧防汛系统实践效果如图7所示:传统模式单站CCTV业务PIS业务业务汇聚FW、IPS车站PIS服务CCTV车站服务ISCS现地服务SC计算服务器数
151、据库服务器业务汇聚AFC业务ISCS业务边缘数字化底座单站业务汇聚FW、IPS业务汇聚业务汇聚FW、IPS业务汇聚业务汇聚FW、IPS业务汇聚ISCS现地服务ISCSAFC业务改造智能运维轨旁智能运维服务CCTVCCTV车站服务物联管理云边缘管理平台-裸金属 虚拟化 容器视频分析云桌面超融合计算节点视频云存非云业务原有功能专用设备无线网络传感器网络微模块化数据中心安全传输系统轨行区站厅、站台区手持台、手环T320轨旁AP车站交换机车站交换机车站APT320T320手持台、手环轨旁无线智能运维业务系统云边缘节点(超融合管理平台)微模块化数据中心物联网平台大数据平台融合集成平台数据运营平台物联网平
152、台边缘网络数字无线图6 客流分析与客运调度场景分解图服务器工作站服务器工作站服务器工作站服务器工作站集中式存储集中式存储集中式存储集中式存储传统机柜传统机柜传统机柜传统机柜SC计算服务器数据库服务器第八章 构建城轨边缘数字底座解决方案4847第八章 构建城轨边缘数字底座解决方案云城轨,智行远容灾等级要求GBT20988-2007信息系统灾难恢复规范RTO/RPO与灾难恢复能力等级的关系城市轨道交通云容灾技术分析文/史钰果信息系统的连续性服务是城市轨道交通运营管理的生命线,对安全生产和故障应急而言至关重要。近年来,一二线城市均构建了较为完善的城轨云平台,广泛应用到生产和运营管理等各专业领域,部分
153、二三线城市也积极推进云平台扩建和在建,特别是新建地铁城市,基于云平台架构建设基本成为标配。然而随着线路规模的快速扩展和运营业务的日益增加,城轨云平台信息系统连续性服务工作面临巨大挑战,为保证信息系统安全、稳定、可靠运行,一些城市在着手规划建设应用级容灾中心,以期在本地业务系统出现不可恢复的物理故障时,有容灾中心提供业务接管和应用服务。快速发展的云计算技术和相关业务服务,为容灾中心建设提供了新的方案选择。通常情况下城轨云规划建设两个大型数据中心,两个数据中心的业务和数据系统为双活或主备架构。当灾难发生时,需实现从生产中心到容灾中心的切换,实现业务连续性的要求,且数据库恢复点目标(RPO)接近于0
154、(亚秒级),恢复时间目标(RTO)为510分钟,容灾中心信息资源水平需要与生产中心水平相当。一、容灾技术规范和标准信息安全技术信息系统灾难恢复规范国家标准(GBT20988-2007)是我国灾难备份与恢复行业的第一个国家标准。该标准由国务院信息化工作办公室领导编制,并于2007年11月1日开始正式实施。该标准规定了信息系统灾难恢复应遵循的基本要求,适用于信息系统灾难恢复的规划、审批、实施和管理,并参照国际标准SHARE 78的7个层级定义,确定了符合中国国情的6个容灾能力等级,要求如下表所示:国际标准SHARE78信息系统灾难恢复规范GBT20988-2007国际标准SHARE78信息系统灾难
155、恢复规范GBT20988-2007Tier-0无异地备份数据第1级基本级,基本支持备份介质并场外存放Tier-1有备份数据,无异地备用系统,用交通工具运送备份数据Tier-3通过网络传输备份数据,提高灾难恢复速度第3级电子传输和部分设备支持。容灾中心配备部分业务处理和网络设备,具备部分通讯链路,关键数据定时传送Tier-4定时备份数据,网络自动传输,根据备份策略的不同,数据的丢失与恢复时间达到天或小时级第4级电子传输和完整设备支持。数据定时批量传送,网络/系统始终就绪,少量数据丢失Tier-5数据在两个站点之间相互镜像,由远程异步提交来同步,为关键应用使用双重在线存储,所以在灾难发生时,仅传输
156、中的数据被丢失,恢复的时间被降低到了分钟级第5级实时数据传输及完整设备支持。采用远程复制技术,实现数据实时复制,数据丢失趋于0,网络具备自动或集中切换能力,业务处理系统就绪或运行中Tier-6/7数据零丢失,数据同时被写入到两个站点。在本地和远程的所有数据被更新的同时,利用了双重在线存储和完全的网络切换能力,不仅保证数据的完全一致性,而且存储和网络等环境具备了应用的自动切换能力。一旦发生灾难,备份站点不仅有全部的数据,而且应用可以自动接管,实现零数据丢失的备份第6级数据零丢失和远程集群支持。数据实时备份、零丢失,系统/应用远程集群,可自动切换,用户同时接入主备中心根据智慧城市轨道交通信息技术架
157、构及网络安全规范要求云平台总体架构应按照GBT20988-2007标准,满足各业务系统等保安全的需求,能够支持智慧城市轨道交通信息技术架构达到4级以上的灾难恢复等级,具体RTO/RPO等级要求可参照下表所示:等级等级要求RTORPO第1级基本级,基本支持备份介质并场外存放2天以上1天至7天第2级备份场地支持,网络和业务处理系统可在预定时间内调配到备份中心24小时以后1天至7天第3级电子传输和部分设备支持。容灾中心配备部分业务处理和网络设备,具备部分通讯链路,关键数据定时传送12小时以上数小时至1天第4级电子传输和完整设备支持。数据定时批量传送,网络/系统始终就绪,少量数据丢失数小时至2天数小时
158、至1天第5级实时数据传输及完整设备支持。采用远程复制技术,实现数据实时复制,数据丢失趋于0,网络具备自动或集中切换能力,业务处理系统就绪或运行中数分钟至2天0至30分钟第6级数据零丢失和远程集群支持。数据实时备份、零丢失,系统/应用远程集群,可自动切换,用户同时接入主备中心数分钟0第九章 城市轨道交通云容灾技术分析50Tier-2有备份数据,有异地热备份站点,用交通工具运送备份数据第2级备份场地支持,网络和业务处理系统可在预定时间内调配到备份中心49第九章 城市轨道交通云容灾技术分析云城轨,智行远二、容灾需求分析根据智慧城市轨道交通信息技术架构及网络安全规范要求云平台总体架构应按照GBT209
159、88-2007标准,满足各业务系统容灾需求。结合当前各城市轨道交通云平台及入云业务系统的现状及规划,通过云平台容灾系统的建设,需能够支持智慧城市轨道交通信息技术架构总体达到5级及以上的灾难恢复等级。云容灾系统涉及三方面的容灾需求,包括云平台自身、线网级业务系统及线路级业务系统的容灾需求,下面逐个进行分析。1.云平台自身容灾需求云平台作为重要基础设施,承载线网级、线路中心级业务系统,云平台自身应达到5级以上的灾难恢复等级。当主用中心云平台瘫痪时,容灾中心云平台应能具备云平台管理能力,继续为线网级业务系统提供计算、网络、存储、安全等服务。整体而言,云平台整体RTO应为分钟级,RPO应为分钟级。云平
160、台自身容灾对象包括云管系统、SDN管理系统及云平台配套的网络接入及安全防护设备。云管系统和SDN管理系统是云主机、云网络、云存储等云服务生命周期管理的重要工具。在主用中心故障时,备中心云管系统和SDN系统应支持云管理平台业务平滑切换至备中心。网管系统用于对容灾中心云平台设备的网元级管理,包括数据中心存储、服务器、交换机等物理设备,需保证所有物理设备的集中监控,并对网络的配置、服务器的部署、存储的资源配置提供可视化界面,实现对数据中心物理设备的统一管理。容灾系统切换后,备中心云平台应支持远程管理主用中心资源的能力,可在主用中心云平台管理面业务出现重大故障或重大升级时,临时接管云管理业务,不影响线
161、网及线路业务系统的运行。2.线网级业务系统容灾需求3.线路级业务系统容灾需求线路级业务系统相比于线网级业务系统的重要性略低,且故障时影响业务范围也较小,因此线路级业务系统容灾优先考虑数据级备份能力。云平台可以为线路级业务系统提供数据备份空间及工具,线路业务系统可通过备份工具设置不同的备份策略,将关键数据周期性备份至容灾中心云平台。关于数据备份,具体要求至少包括:备份系统宜采用基于备份软件的集中备份方式,可由备份管理服务器、备份介质服务器、备份存储系统、备份软件、备份网络等构成。线网级系统指入云的线网控制中心级系统,线网级系统需在容灾中心具备对应计算、存储、网络及安全等方面服务能力和资源,在主用
162、中心故障时,备中心能够有足够的资源承载线网级系统平滑切换。具体要求包括:采用应用级容灾模式,容灾中心具备实现主用中心出现重大问题时,接管主用中心线网中心业务的能力。主用中心、容灾中心具备后续扩展能力,支撑后续入云的线网中心级系统提供主备/双活容灾。容灾中心部署与主用中心相同配置的计算、存储、网络及安全等资源池,在主用中心和容灾中心均部署容灾应用系统的数据库、中间件和应用软件。容灾中心具备与主用中心数据处理系统一致的数据处理能力,可实现容灾切换。主用中心和容灾中心存储系统实现数据同步,并保障数据一致性。主用中心和容灾中心实现基础物理网络、虚拟网络、网络资源管理能力,提供充足的网络带宽,保证数据传
163、输带宽大于业务峰值所需的带宽需求。第九章 城市轨道交通云容灾技术分析5251第九章 城市轨道交通云容灾技术分析云城轨,智行远4.容灾总体目标通过需求分析,城市轨道交通容灾中心的主要目标包括:云平台管理业务自身应具备主备中心切换能力,并能够实现分Region管理。当主用中心出现问题时,云平台管理业务可平滑切换至容灾中心,RTO分钟级、RPO分钟级。实现线网中心级系统的应用级容灾,当主用中心故障时,容灾中心可拉起业务云主机,接管线网中心级系统业务。为线路业务系统提供数据备份服务能力。1.应用级容灾主备容灾即同一时间只有一个云数据中心提供在线服务,容灾中心处于空闲状态,负责在灾难发生后接管应用系统运
164、行。在很多情况下往往将业务系统分为两部分,选择不同的数据中心分别作为这两部分业务的主中心,对这些业务而言,另一个数据中心即为其灾备中心,这种互为主备容灾的方式能够在考虑业务系统容灾需求的情况下充分利用灾备中心的资源。主备容灾适用场景为同城两个数据中心由一套云管理平台统一管理,不同业务分别承载在两个数据中心内。生产状态下,业务在主数据内运行,提供业务访问;当主用数据中心发生故障后,业务异常,业务访问中断;通过容灾切换,将容灾业务在备中心恢复,重新提供业务访问。对于单一业务来说,在两个数据中心实现主备容灾。主备容灾方案中容灾中心业务系统与主用中心业务系统的软件和操作系统环境相同,主用中心系统业务软
165、件调整后,容灾中心系统应能自动进行同步保持一致;容灾中心可按主用中心相同配置或等比例减配计算和存储资源。云计算中心作为主生产中心,负责日常所有业务系统的运行,灾难发生时,整个数据中心进行切换,由容灾中心接管运行生产运营关键业务,保证各个业务系统的核心数据不丢失。主备容灾技术方案主要包含以下技术要点:两个数据中心各自部署一套标准的计算、存储、网络、安全资源池。两个数据中心共用一套云管平台和SDN控制器平台。两个数据中心通过波分设备物理互联。两个中心的网络、存储复制链路分别需要互联。备份管理服务器、备份介质服务器宜采用物理服务器冗余部署方式;根据备份数据量可采用合设或分设模式;备份介质服务器可按服
166、务器集群方式进行横向扩展。根据异地数据备份的需求,在主用中心和容灾中心之间宜提供不小于10GE的专用数据备份链路;在不影响主备中心之间业务应用数据传输的条件下,可共享业务平面网络互联链路。数据备份系统应能纳入云管理平台实现统一管理。备份系统应能实现对操作系统、数据库、文件系统、虚拟机等的备份,应能针对不同的备份对象制定相应的数据备份及恢复策略。备份系统应支持完全图形化的管理功能,实现对分布在不同地点的备份系统进行集中统一管理,具备备份策略管理功能,针对客户端可统一定义和修改备份计划策略、存储策略和恢复计划策略等。三、技术路线分析容灾技术是系统高可用性技术的一个组成部分,容灾系统更加强调处理外界
167、环境对系统的影响,特别是灾难性事件对整个IT节点的影响,提供节点级别的系统恢复功能。从其对系统的保护程度来分,可以将容灾系统分为:数据容灾和应用容灾,数据容灾就是指建立一个异地的数据系统,该系统是本地关键应用数据的一个定时或实时复制。应用容灾是在数据容灾的基础上,在异地建立一套完整的与本地生产系统相当的灾备应用系统(可以是互为灾备),在灾难情况下,远程系统迅速接管业务运行,数据容灾是抗御灾难的保障,而应用容灾则是容灾系统建设的目标。主备容灾1.1 技术路线第九章 城市轨道交通云容灾技术分析5453第九章 城市轨道交通云容灾技术分析云网络区存储资源区云管理区云管理区EVPN管理网互通链路业务网互
168、通链路存储网互通链路主中心灾备中心CloudOS(active)SeerEngine(active)FWFWLB核心交换机互联交换机业务接入交换机分布式存储集中式存储业务接入交换机业务接入交换机CloudOS(backup)SeerEngine(backup)业务虚拟化资源池PaaS组件资源池云桌面资源池计算资源区云网络区存储资源区EVPNFWFWLB核心交换机互联交换机业务接入交换机分布式存储集中式存储业务接入交换机业务接入交换机业务虚拟化资源池PaaS组件资源池云桌面资源池计算资源区中心间互联网络云城轨,智行远双活容灾即两个数据中心都处于运行当中,运行相同的应用,能够提供跨中心业务负载均衡
169、运行能力,充分利用资源,实现持续的应用可用性和灾难备份能力。双活容灾适用场景为同城两个数据中心由一套云管理平台统一管理,在同城两个数据中心同时对外提供相同业务,实现业务双活。通过在数据中心出口位置部署GSLB,实现不同客户端对同一业务进行访问时的流量在两个数据中心进行负载均衡;当一个中心出现业务故障时,GSLB会将该中心原有的访问流量切换到另一数据中心,提供故障后的自动切换保护。双活容灾技术方案主要包含以下技术要点:两个数据中心各自部署一套标准的计算、存储、网络、安全资源池。两个数据中心出口各部署两台GSLB全局负载均衡设备(4台组成集群)。两个数据中心共用一套云管平台和SDN控制器平台。两个
170、数据中心通过波分设备物理互联。两个中心的网络、存储复制链路及两个数据中心的ED设备分别需要互联。通过以上各项对比,结合城市轨道交通云平台建设现状从以下几个维度展开分析:实现可落地性方面,主备容灾技术技术成熟、落地案例多且可快速交付,而双活容灾技术复杂,落地案例较少。建设难度及成本方面,主备容灾需要对两个数据中心存储层面做远程复制,网络链路延迟不高于50ms,整体建设难度较小、成本适中;而双活容灾对主用数据中心和容灾数据中心之间的网络链路要求高,存储层需要部署双活,网络链路延迟不高于10ms,且需要部署全局负载均衡、本地负载均衡、DNS服务器联动保证业务自动切换,整体建设难度大、成本高。业务改造
171、方面,主备容灾模式业务系统同时运行在单个数据中心,在容灾切换后业务访问IP地址不变,对业务无影响且不需要业务系统进行改造。而双活容灾模式下业务系统需要同时运行在两个数据中心,业务访问的IP地址不同可能导致部分业务系统不支持双中心同时运行,需要对业务系统改造,改造难度较大。资源占用方面,主备容灾计算及存储资源按照1:1预留,主备业务只占用一个IP,通常情况下仅主用中心运行能耗,资源占用较少;而双活容灾虽然计算及存储资源也按照1:1预留,但双活业务需要占用两个IP,双活业务运行能耗也为两份,资源占用较多。综上所述,结合城市轨道交通云平台线网级业务系统现状,针对应用级容灾需求建议选择主备容灾模式,同
172、时保持对双活容灾技术的跟进,待双活容灾技术成熟后视业务需求将主备容灾模式升级为双活容灾模式。双活容灾1.2 技术对比1.3 对比分析指标项主备容灾双活容灾指标项主备容灾双活容灾容灾能力等级4-5级5-6级RTO分钟级分钟级RPO分钟级0容灾切换一键手工切换通过双活主机的状态探测触发自动切换,在主用节点故障时自动将业务切换到备用节点资源占用较少,计算、存储资源1:1预留主备业务占用一个IP仅主业务运行能耗较多,计算、存储资源1:1预留双活业务占用两个IP双活业务运行能耗为双份地域可同城、可异地同城关键技术实现方式基于镜像文件复制、存储LUN级复制、数据库日志复制基于业务应用驱动业务数据层面同步、
173、GSLB、DNS、SLB联动切换成本投入适中较高实现可落地性技术成熟,可快速交付技术复杂,案例较少是否需要业务改造不需要业务系统改造,容灾切换后IP不变,对业务无影响需要业务系统改造,个别业务系统可能不支持双中心同时运行(IP不同),不同IP下运行需要支持主备角色切换性能影响单中心运行,无影响要保证数据强一致性,对业务性能有影响第九章 城市轨道交通云容灾技术分析5655第九章 城市轨道交通云容灾技术分析云网络区存储资源区云管理区云管理区EVPN管理网互通链路业务网互通链路存储网互通链路主中心灾备中心CloudOS(active)SeerEngine(active)FWFWFWGSLBLB核心交
174、换机互联交换机业务接入交换机分布式存储集中式存储业务接入交换机业务接入交换机CloudOS(backup)SeerEngine(backup)业务虚拟化资源池PaaS组件资源池云桌面资源池计算资源区云网络区存储资源区EVPNLB核心交换机互联交换机业务接入交换机分布式存储集中式存储业务接入交换机业务接入交换机业务虚拟化资源池PaaS组件资源池云桌面资源池计算资源区中心间互联网络FWGSLBFWFW云城轨,智行远通过以上各项对比,结合城市轨道交通云平台建设现状从以下几个维度展开分析:在数据一致性方面,数据定时备份技术是通过应用API备份接口获取的数据,极端情况下依然能够保障数据一致性;而数据实时
175、复制技术由于备份客户端软件通过持续监控磁盘扇区数据块的变化,不考虑应用、不通过应用的备份接口获取数据,备份数据极端环境存在应用数据不一致的可能。在代理方面,数据定时备份技术支持无代理备份,减少了资源消耗;而数据实时复制需要在目标主机安装客户端代理,通过对数据块持续的监控,连续捕获数据变化,将变化后的数据块进行同步保护,降低了物理设备的资源使用率。在与云平台的集成方面,数据定时备份技术支持与容灾中心云管理平台的深度融合,在数据定时备份数据定时备份是一种定时数据保护机制,根据备份策略和计划,在指定时间发起备份任务,读取需保护的数据,并写入备份介质。应用类型不同,其支持的备份类型也各有差异。数据定时
176、备份技术具有良好的操作系统兼容性,可支持目前在使用的大多数所有操作系统,同时备份系统可支持主流数据库接口级备份功能,以满足用户在现在及未来的任何发展需要。常见的备份类型包括如下表所示:2.数据级备份数据实时复制数据实时复制技术主要是将业务系统中的数据实时复制到指定路径,与数据备份方式不同,数据实时复制技术通过在操作系统核心层中植入文件过滤驱动程序,来实时捕获所有文件访问操作。对于需要实时备份保护的文件,当数据实时复制管理模块经由文件过滤驱动拦截到其改写操作时,则预先将数据变化部分连同当前的系统时间戳一起自动备份到存储资源,从而实现主、备应用数据的实时一致性。数据实时复制技术需要首次将磁盘底层完
177、全镜像,后续的实时日志采用I/O录像模式记录变化数据块的方式;通过客户端的持续监控磁盘扇区数据块变化情况,然后对比磁盘位图信息确保一致性,结合定时增量备份数据在服务端进行逻辑上的融合,当需要提取改点数据时会自动形成一个全量数据点。2.1 技术路线备份类型描述特点完全备份将所有选定的数据源备份到指定目的地中最常见的备份类型。备份完整数据,恢复方便备份耗时久,且反复备份,占用存储空间较多增量备份只备份自上一次备份(完全备份或增量备份)后新增或变化的数据备份数据量小,备份速度快相对而言,所需恢复时间比完全备份或差异备份所需时间长差异备份执行差异备份时,仅备份自上次完全备份后新增或变化的数据备份数据量
178、小,备份速度比完全备份快相对而言,恢复数据所耗费的时间比完全备份时间长。如果大量数据发生变化,差异备份所耗费的时间比增量备份时间长事务日志备份备份数据库中的事务日志。事务日志是数据库中已发生的所有修改和执行每次修改的事务的一连串记录使用事务日志备份,可将数据恢复到精确的故障点2.2 技术对比2.3 对比分析指标项数据定时备份数据实时复制RTO与数据量有关,小时或天级分钟或小时级RPO小时级秒级或分钟级数据获取方式通过客户端软件调用应用API备份接口通过客户端软件对磁盘扇区数据块持续的监控数据一致性极端情况下依然能够保障数据一致性极端环境存在应用数据不一致的可能架构支持方面LAN、SAN都支持L
179、AN、SAN都支持有无代理无有云平台集成能力有无备份方式定时备份、全量备份、增量备份、差异备份首次磁盘底层完全镜像,后续实时日志采用I/O录像模式记录变化数据块存放方式通常为数据库打包集格式或备份系统私有格式通常基于磁盘I/O监控模式保留格式为磁盘底层原块格式备份数据恢复存在一定的恢复时间,恢复时间与数据量和带宽资源成正比由于数据格式同原数据格式一致,恢复耗时短业务连续性需要一定的时间进行业务和数据恢复,无法保障业务连续性具备一定的业务连续性运维成本低高第九章 城市轨道交通云容灾技术分析第九章 城市轨道交通云容灾技术分析5857云城轨,智行远云管理平台云服务目录的备份界面即可实现备份服务功能的
180、下发操作,降低了运维成本;而数据实时复制不能与云管理平台深度融合,独立的管理服务界面以及业务操作流程提升了业务的复杂度,增加了运维成本。另外,根据线路级业务系统容灾需求,数据备份系统应能纳入云管理平台实现统一管理,数据实时复制技术无法满足此需求。综上所述,结合城市轨道交通云平台线路级业务系统现状,推荐采用数据定时备份技术。后续随着容灾技术的不断发展及业务系统需求的变化,可继续开展针对线路级应用数据实时复制技术的研究和探索。结语城市轨道交通数据中心双活容灾解决方案对于集中式管理的数据中心,可更大程度保证业务的连续性,也可有效保障灾难发生后业务恢复的时效性。该技术架构需解决存储双活、网络层双活、数
181、据库双活、计算层双活、应用层双活,容灾切换速度快,资源利用率高,应用服务可靠性高,理论上可做到RPO&RTO=0。但是,双活容灾中心投资高,实施难度大,运维复杂,对运营维护人员要求高,且无法规避逻辑灾难。对于生产中心设置于控制中心,灾备中心设置于车辆段的方案,生产与灾备中心同时接纳数据交互,技术难度很大,需要更改众多业务系统底层程序。当灾难发生时,两中心间的数据同步效率如达不到要求,将会造成业务数据的丢失。城轨云容灾应充分利用云计算特性,结合各业务系统应用需求,统筹考虑各业务系统的业务强相关性和当地人力、物力的配备,按需选择实现底层存储双活、网络双活、数据库双活,甚至计算层双活和应用层双活,利
182、用云计算的漂移特性、主备中心互联网络,可使调度、指挥等工作按照一个控制中心来实现。而对于使用者和管理者来讲,具体业务实现是由生产中心提供还是灾备中心提供是透明的。基于云平台的城轨信号系统建设探索与思考文/吕飞作为城市轨道交通运行的“大脑”和“中枢神经”,城轨信号系统无疑是保障安全、可靠、高效运行的最重要、“最传统”的系统之一,说其传统是因为其系统可靠性会直接影响到整个城市轨道交通线网的运行与乘客生命及财产安全,建设方、总包商会对其持有更严谨、更严苛的态度,而具体到实现方式,往往是通过设置多重冗余机制与硬件设备,采用工控设备、异构芯片等从不同维度保证其安全性。近几年云计算、大数据等新技术在城市轨
183、道交通行业的实践和应用逐渐增多,同时,越来越多的地铁建设单位、信号系统总包商也期望通过数字化手段对城轨信号系统进行智能化升级,以精简其复杂的系统硬件架构、减少硬件投资、实现旧线“无感改造”、提高线路运维的效率和灵活性、实时全面的进行设备监控,最终实现动态时刻表,改变传统城市轨道交通运营方式、优化乘客出行体验,就此,一个“基于云平台的城轨信号系统”新趋势拉开序幕。所谓基于云平台的城轨信号系统,即利用云计算技术将原有架构基于工业服务器进行替代,将其演进成为基于云服务承载的、多核CPU安全平台的信号系统。在建设投资方面,云信号系统可以精简复杂的系统硬件设备架构,减少硬件投资,实现更高的经济效益并有利
184、于可持续发展。在行车控制方面,云信号系统可以利用云计算、大数据等新技术做数据分析,智能化的进行列车运行控制,不仅可以提高行车效率和准点率,还能够更好地应对客流高峰期的运力需求,减少人员和物质资源的浪费,实现动态时刻表,解决仅通过固定时间间隔、人工操作带来的列车行驶效率低和资源浪费的问题。在运行维护方面,云信号系统将所有的运营数据和实时状态进行管理和分析,运营管理人员能够快速根据系统状态作出相应的调整和决策,实现智能、高效的运维,同时对信号系统长期的数据进行分析,可以更科学、合理的制定维修计划,即实现状态修和预测修。在乘客出行方面,由于精简硬件架构、高效运维可以有效降低系统故障率,减少乘客出第九
185、章 城市轨道交通云容灾技术分析第十章 基于云平台的城轨信号系统建设探索与思考6059云城轨,智行远基于云平台的城轨信号系统二、新华三助力城轨信号系统安全云平台的探索与思考新华三长期以来致力于城市轨道交通行业数字化建设,通过提供ICT基础设施能力,助力地铁集团实现数字化转型,助力业务实现智慧化升级、迭代。近年来,通过不断与合作伙伴针对云信号系统的可行性评估、工程化落地方案进行深入研究,逐步打破了由于安全性、实时性等严苛要求导致的信号系统鲜有实质性创新的局面。新华三与合作伙伴经过研究推出基于云平台的城轨信号系统架构,即由基础设施、云操作系统、功能组件、业务系统资源、业务系统应用软件等五层架构组成,
186、其中主要攻坚点集中在云操作系统层与业务系统安全相关功能组件层的融合、适配与调优,在不影响业务系统实时性的前提下,充分利用云服务及其强大算力实现信号系统灵活的功能调度、智能管理及运维。那么,如何实现在云平台上构建一个满足SIL4等级要求的信号系统?需要重点在以下几个方面进行研究,即可靠性、实时性、安全性、同步机制、信息安全,以解决由于云平台的加入带来的潜在风险和隐患,简单阐述说明:可靠性:云平台统筹规划,与集成商一同做系统设计,例如原有SIL4级别安全系统的影响多停留于本站,现在上升到云平台层,虽然影响范围变成了整个线路或线网,但可以通过云服务协同联动站间功能组件的方式增加系统可靠性,或者在云平
187、台外挂安全计算单元,使系统多一层保障,增加保障系统功能安全方式,灵活设计、选择方案。行方面的投诉,同时,传统模式下乘客往往需要面对列车延误、拥挤和不确定性等问题带来的威胁也有望解决。1.城轨信号系统发展历史和周期分析一、城市轨道交通信号系统智能化发展趋势城市轨道交通信号系统运行控制方式的发展,大致可以总结为三个阶段:第一个阶段,从传统的基于点式控制方式的信号系统发展为基于通信的列车控制系统,即CBTC系统。第二个阶段,由CBTC系统发展为全自动运行系统,即FAO系统。第三个阶段,由FAO系统发展到列车自主运行控制系统,即TACS系统。每个阶段的发展大概均需经历5-8年的过渡周期,当前城市轨道交
188、通的信号系统虽然在控制方式、安全性、运行效率等方面较之前已经取得了大幅的升级迭代,但随着新技术、新需求的不断涌现,以及为应对例如北、上、广、深等超大规模城市乘客出行特点所带来的新挑战,一个利用云计算技术的,架构更精简、运维更高效、支持无感改造的“基于云平台的城轨信号系统”成为必然的发展选择。2.“云信号系统”的出现背景及应用根据可查阅的材料显示,早在2018年西门子与奥地利铁路集团就“基于通用设备的联锁系统”展开了现场测试,并于2020年在奥地利铁路实地投入运营。这是信号系统中SIL4安全等级功能首次基于虚拟化技术进行落地实践,该实践证明了通过虚拟化技术承载大多数信号系统功能组件可能性。而该实
189、践也得到地铁建设、运营单位、行业专家越来越多的关注,同时,由于信号系统安全功能组件被虚拟化承载的可行性已被验证,也有一些信号系统集成商提出进一步将信号系统功能组件全面云化,通过应用云服务将系统智能化升级,更大程度的实现城轨信号系统灵活调度、高效运维、全域监控、实时智能调整运行方式的目标。第十章 基于云平台的城轨信号系统建设探索与思考第十章 基于云平台的城轨信号系统建设探索与思考计算设备、存储设备、网络设备、安全设备基础设施虚拟化管理、分布式存储、SDN管理、安全管理操作系统应用管理功能组件业务资源业务应用维护管理时钟管理时延管理裸金属虚拟机虚拟机容器容器联锁、ZC、ATP、安全计算SIL4AT
190、O、ATSSIL2运行维护管理、网络管理SIL06261云城轨,智行远三、城轨信号系统安全云平台的优势基于云平台的城轨信号系统一旦完成验证和工程化实践,对城市轨道交通型号系统成本优化、行车控制、运行维护等多方面能力和效果都会带来飞越式的提升。首先,其可以精简复杂的系统硬件设备架构,减少硬件投资,更高的经济效益并有利于可持续发展。其次,充分利用云服务及其强大算力可以更灵活的做功能调度与智能管理。再次,支持实时、全面的设备监控功能,实现更高效的维护服务。最后,云信号系统采用精简、统一化的硬件架构设计,这可以让业务系统在升级或改造时仅关注于应用软件本身,最终实现“无感改造”。展望下一步,新华三将与合
191、作伙伴在“单主机、虚拟机、容器失效影响分析”、“虚拟机间可预测性分析”、“多任务安全执行保障机制”、“非预期性行为监测与可控”等方面继续加大投入,持续测试与优化。未来,城市轨道交通信号系统一定会从现有的传统建设、运行模式转向基于云平台的城轨信号系统的建设、运行模式,这种智能化升级,不仅可以精简复杂的系统硬件设备冗余设计,减少硬件投资,提高线路运维的效率和灵活性、更实时全面的进行设备监控,还便于后期的旧线“无感改造”,最终实现动态时刻表,改变城市轨道交通运营的方式、乘客出行体验,为城市绿色高效出行、智慧交通可持续发展提供新的支撑和动力。实时性:根据安全功能控制周期(即输入到控制逻辑再到输出执行整
192、个时间)的要求,通过云平台在平台层提供快周期的任务执行机制,满足有实时性要求的业务需求。安全性:由于业务承载方式从服务器升级为云平台,这意味着系统复杂度上升,需要将平台与业务软件失效带来的影响最小化。可以通过软、硬件异构、多重表决等多种方式来应对。例如,当一个业务进程表决不通过,有序退出再经过同步重新进入,云平台强大的计算能力,可以既满足多重表决的性能需求,也兼顾安全和可用性,避免简单地导向系统宕机的机制。信息安全:功能安全设计并不能覆盖信息安全攻击带来的影响,由于云服务与业务系统功能调度的深度相关性,需从全生命周期考虑信息安全威胁以及防护机制,新华三结合云计算和工控系统信息安全的总体需求,打
193、造了一套面向信号安全云系统的满足等保三级的网络安全体系。目前,经过先后数轮测试,初步验证了云平台计算、存储、网络等服务在满足业务逻辑的前提下与业务系统协同调度的可行性。第十章 基于云平台的城轨信号系统建设探索与思考第十章 基于云平台的城轨信号系统建设探索与思考 6463云城轨,智行远1.城轨安全的整体框架仍需完善在城市轨道交通跨入蓬勃发展的黄金机遇期,城轨云建设也已进入到大规模开发和应用阶段。然而城市轨道交通行业尚未形成统一的、成体系的信息网络安全的建设思路,仍旧将等保测评要求作为面临传统安全威胁和新兴云平台安全威胁的唯一安全基线,业务和云平台难以剥离,安全建设缺乏统一规划,迫切需要完善的城轨
194、安全整体框架来指导城市轨道交通信息系统网络安全的长期演进。2.等保测评难匹配城轨行业的安全特性需求在国内全行业统一执行的信息安全技术网络安全等级保护测评要求不完全匹配城轨行业的防护场景,难以针对新兴的云平台、云上租户安全、容器安全、数据安全、各业务特征进行专属性安全防护,需要额外参考诸如智慧城市轨道交通信息技术架构及网络安全规范、数据安全法等标准来完善城轨安全建设。3.城轨云的建设引入新的威胁风险面云安全联盟CSA罗列出了最为常见、危害程度最大的7种威胁:滥用和恶意使用云计算、不安全的接口和API、不怀好意的内部人员、基础设施共享问题、数据丢失或泄露、账户被劫持,以及其他未知的风险。将上述风险
195、类型归纳,主要包括5类城轨云安全风险。3.1 城轨云访问授权的身份假冒城轨云平台基于网络为各个业务应用提供云服务,即作为各业务系统访问的第一道防线。一旦攻击者获取到用户的身份验证信息,假冒合法用户,用户数据将完全暴露在其面前,其他安全措施都将失效,攻击者将可以窃取、修改用户数据,窃听用户活动,恶意消费等。因此,合适的身份认证机制对于确保身份识别信息的安全性至关重要。城轨云安全体系建设研究文/张一琛一、城轨行业的网络安全问题3.2 城轨云资源共享的风险城轨云中软硬件平台通过虚拟化为多个运营公司或者运维管理员担当的租户所共享,以此实现IT资源利用效率和灵活性的最大化,但是虚拟化技术也打破了物理安全
196、边界,使得各租户间隔离更加脆弱,之间的恶意代码传播更加容易,常出现数据泄漏到多租户的情况。3.3 城轨云数据安全风险及隐私泄露城轨云业务系统产生的生产管理数据在传输、处理、存储的各个环节都存在泄漏和被篡改的风险。疏于防范的信号系统、AFC系统客户端可能被黑客控制或者运行木马程序,导致重要数据从终端泄露或者被篡改;综合监控系统和时钟、ATS、ACS等业务之间有接口,需要接收数据并监管各业务系统,进而导致数据被过度访问甚至篡改。3.4 城轨云平台本身存在风险城轨云平台以多种标准和协议为基础,包含虚拟机管理软件、操作系统、中间件及各类应用系统等大量软件,系统非常复杂,且地铁业务系统的保守性直接导致云
197、平台多年不更新版本,因而很难避免漏洞的存在,防护不当的计算和存储会导致用户的私密数据被非授权用户非法访问。3.5 城轨云与业务系统之间的风险接口城轨云会按照三网架构内不同类型应用,将硬件和平台的API接口开放给应用软件和用户,由用户将其集成到上层应用,按需使用。不安全的API将使云计算应用面临极大风险,如通过API实施注入攻击,可能篡改或者破坏用户数据。3.6 城轨云原生安全建设的忽视城轨行业的ITP业务、能源管理、智能火灾报警等诸多新应用开始尝试采用容器微服务框架开发部署,云原生平台和云平台有着本质区别,但是云原生安全的风险评估和防护机制仍缺乏统一标准,还处于探索之中。二、城轨云安全体系技术
198、全景研究为了避免城轨行业在数字化网络化发展过程中出现信息安全和网络安全问题,保证当下城轨信息技术系统和未来智慧城轨系统的传统架构安全、云计算环境安全、工控安全、数据安全以及主要业务系统安全,结合诸如北京地铁、太原地铁积累的顶层规划设计经验,南京第十一章 城轨云安全体系建设研究第十一章 城轨云安全体系建设研究6665云城轨,智行远城轨云安全落地交付经验,再结合城轨行业的建设特点,本文提出新华三自主创新的城轨安全体系技术全景图,如下:1.城轨安全建设理论模型中城协提出纵深防御,安全可控的二十字方针:系统自保,平台统保,边界防护,等保达标,安全确保,其整体思路是结合城轨行业特性的等级保护建设的一种延
199、伸,但仍处于被动防御阶段。城轨行业在安全领域需求已逐步过渡到“主动安全”的范畴,倡导“主动发现,智能分析,提前预警,及时响应”的建设思路,与广为接受的国外网络滑动标尺模型不谋而合。网络滑动标尺模型将企业信息安全能力建设分为五个阶段:基础架构阶段,被动防御阶段,积极防御阶段,威胁情报阶段和进攻反制阶段。如果结合我国城轨安全建设的阶段特点,可以凝练为四个阶段:安全政策驱动阶段,安全事件驱动阶段,未知威胁驱动阶段和安全即服务驱动阶段。安全政策驱动阶段:基于网络安全法律法规进行初步的安全防护建设。纵观全国,很明显各地地铁公司的安全建设几乎都是政策驱动,以过等级保护测评为目标。安全事件驱动阶段:基于已知
200、的外部威胁及安全事件进行的事前事中事后的安全防护建设。在满足等级保护建设之后,如果考虑继续完善城轨安全防护体系,那么就可以结合具体城轨行业常见的威胁风险有针对性的完善安全建设,从而进入到主动安全阶段。2.城轨云安全建设在过去几年的城轨安全实践中,参照“系统自保”的原则建设后,发现城轨安全出现一个棘手的问题-各系统厂商采用的安全建设手段不统一。为了避免全网中安全设备孤岛化,各设备难联动,每年都要重复造轮子等问题,因此考虑城轨云安全建设需要由安全厂商统一负责,参考传统业务安全建设模式,结合云上租户安全的规划,实现云上云下统一步调的安全体系。在云平台的IaaS层面,遵照中城协提出的“平台统保,系统自
201、保”的安全建设原则,结合全国已有案例实践,提出“融汇平台统保,贯通系统自保”的新建设理念。平台统保需要融汇既有和新建的软硬件安全资源,系统自保需要在原有各业务系统建设安全防护的过程中时刻强调租户防护的贯通。确保贯通云平台和业务系统租户的安全建设,贯通安全设备的联动,避免安全建设的一盘大棋被下成各自为政的安全孤岛。2.1 融汇平台统保新华三城轨云安全通过“云网安一体化”的建设思路,打造具备完善安全能力的云平台。将安全能力与云平台、SDN网络、虚拟化平台等深度融合,并在云平台上呈现唯一用户接口,灵活、高效地实现云安全的整体交付。以等级保护三级作为基线,将云平台视为地铁运行的一个业务系统,并进行外部
202、基础架构的安全防护和内部虚拟化安全的策略部署。城轨云平台的安全管理中心城轨云平台本身的等保建设需要首先考虑整个安全体系的大脑,即安全管理中心。安全管理中心包括系统管理,审计管理,安全管理和集中管控。前三者的设定是基于三权分立思想提出,要求系统、审计、安全管理员各司其职,协同管理。未知威胁驱动阶段:基于潜在的威胁风险,进行的识别、阻止、缓解威胁攻击,发现控制有效性不足的安全防护建设。主动跟踪行业内前沿的安全技术发展,及时关注收集漏洞发布信息,并联合相关科研院所进行专业性研究和防护。安全即服务驱动阶段:基于安全现状的梳理而进行的安全评估类、运营类、运维类、培训类和规划类服务的提供。第十一章 城轨云
203、安全体系建设研究第十一章 城轨云安全体系建设研究国外理论参考模型网络滑动标尺模型基础安全建设被动防御主动防御情报收集进攻防御国内的建设理论模型政策驱动(当下阶段)安全事件(已知威胁)驱动未知威胁驱动安全及服务驱动云上安全IaaS云安全1、等保测评:云平台统保,云租户安全2、密码测评1、态势感知和其他安全设备的联动2、零信任的SDP、微隔离安 全 运 营 中 心SOC,提升安全体系管理与审计工作的自动化能力1、风险评估:信息安全风险评估,新系统上线评估2、咨询规划:安全规划与架构设计,数据安全治理咨询3、工程实施:安全加固服务,安全产品维护服务4、攻防对抗:安全应急响应服务,安全攻防演练服务5、
204、教育培训:攻防对抗培训,实验室共建服务PaaS微服务安全PaaS过等保,作为云平台的一部分,复用云平台统保,过等保2.0评测PaaS平台全套设施的安全方案,含有容器、微服务、流水线、中间件的完整性防护DaaS大数据安全DaaS过等保,大数据平台算作云平台的一部分,过等保2.0评测大数据数据安全体系防护云下安全传统等保等保测评:一中心三重防护态势感知和其他安全设备(含探针)的联动工控安全依据信息安全技术 网络安全等级保护基本要求工业控制系统安全扩展要求、工业控制系统信息安全防护指南、关键信息基础设施安全保护条例过等保2.0的测评工控安全管理平台发挥全局联动功能增加工控安全监测与审计设备作为探针数
205、据库安全等保中的数据安全防护:二级或三级测评中数据备份和有效性数据安全法的安全防护要求安全日志的历史数据的安全数据库安全防护体系新华三安全理念3.0业务感知零信任业务安全新中台 业务运营即服务6867云城轨,智行远系统管理,审计管理,安全管理均要求对其管理员进行身份鉴别,限定操作方式,并对其操作行为审计,因此在安全管理中心常采用安全运维审计设备实现。常采用态势感知和日志审计设备对审计数据进行汇总和集中分析,对安全策略、恶意代码、补丁升级等事项进行集中管理,同时能对网络的各种安全事件识别、报警和分析。城轨云平台的安全区域边界安全区域边界内容细分包含边界防护、访问控制、入侵防御、恶意代码和垃圾邮件
206、防范、安全审计以及可信验证等多个部分。可以采用下一代防火墙应对边界完整性检查,使得跨边界的访问和数据流经过边界设备的清洗后再通信。城轨云平台的安全通信网络安全通信网络从根本上对整体架构的安全性、冗余性和业务处理性能提出了针对性要求。比如网络设备应满足业务高峰时的带宽需求,这需要在方案设计阶段给出交换机网络设备具有合理的参数和策略。地铁生产业务系统中,因涉及民生安全,极少有VPN使用场景,所以城轨云的安全通信网络的建设更应该关注在网络设备的性能、区域划分、隔离、链路选择等策略的实现上。城轨云平台的安全计算环境安全计算环境必然离不开管理用户的登录和访问,其权限设置则需要依赖堡垒机,可见安全设备的作
207、用并不局限在某一个位置上,而是在一个中心三重防御中多处反复体现。关键数据库审计功能要覆盖到每一个云租户,对异常的租户行为进行审计,虽然数据库审计放在了安全管理中心,但是也会在安全计算环境中发挥作用。以此类推,安全计算环境的安全审计依赖态势感知、日志审计等,入侵防范和恶意代码依赖防火墙或IPS。剩余的终端PC、工作站或服务器的安全和数据防护,需要在终端部署主机安全卫士、EDR等终端安全管理软件守护好最后一道防线,从而达到等保合规,满足网络安全法等政策要求。2.2 贯通租户自保新华三城轨云安全建设过程中提出安全即服务(security as a service)的理念,为云计算基础设施和云承载的I
208、aaS、PaaS和SaaS提供南北向及东西向的安全防护能力。一体化方案从逻辑控制层的角度出发,屏蔽底层技术细节,将各类安全能力从单纯的产品配置转变为服务化配置,将繁琐的安全业务重新进行定义,从用户业务的角度出发,抽象为必要的实现逻辑。安全防护主要分为三个层次,包含控制平面、数据平面和日志平面。控制平面:主要通过网络控制器将网络和安全进行流量引导和策略下发,在云安全服务中心中为每一个租户也分配独立的安全资源,并打通安全资源与云计算资源的路径,实现安全资源与计算资源的衔接。数据平面:通过专用硬件资源和NFV实现快速弹性的资源池化,通过专用硬件资源为所有租户提供高性能流量处理以及基于策略的快速转发;
209、针对个性化的应用层安全能力,可以通过NFV的方式实现单租户个性化业务的快速部署,满足个性化需求。日志平面:云安全资源池部署位置位于云计算存储资源池,能够处理95%以上的南北、东西向流量,可以全面抓取进出云租户的全部流量,所以在云平台内通过结合各大虚拟审计设备系统,可以分别对租户的外部威胁和流量进行完整的分析,为云租户分别呈现各自的整体安全态势。新华三城轨云安全资源池在逻辑上可以细分为两大类:安全防护资源池和综合审计资源池。城轨云租户的安全防护资源池南北向安全防护依据建设需求,利用硬件防火墙虚拟化实例技术通过区域边界划分和安全隔离,实现内部边界重塑,确保各业务系统重新树立安全边界。在平台边界进行
210、多层防御,采用防火墙硬件设备实现云网络和其他区域的边界隔离,以帮助应对网络边界面临的外部攻击。东西向安全防护在云平台内部的计算环境中,虚拟机之间的虚拟交换组件使得安全计算域的划分、域内的结构安全、访问控制、边界完整性和通讯保密性等都变得较为复杂。针对虚拟机内部网络的数据隔离、过滤和基于VLAN的策略执行,都采用东西向的虚拟防火墙、云入侵防御等综合方案来实现云平台的安全。利用防火墙的硬件虚拟化技术,构建防火墙基本策略,实现虚机与虚机之间的微隔离,实现跨VLAN的安全访问控制,实现东西向的安全访问控制,从而确保云租户、云服务方或第三方云资源的安全访问、使用和管理。第十一章 城轨云安全体系建设研究第
211、十一章 城轨云安全体系建设研究7069云城轨,智行远云平台内存在大量主机,其底层和业务应用系统的安全漏洞多是来自于最基础的TCP/IP协议漏洞,也可能是来自于操作系统、数据库或应用程序漏洞。构建入侵防御安全策略,对访问云平台的外部流量进行分析、检测、过滤,防护SQL注入,对攻击行为进行识别预警,从而发现网络攻击行为、识别网络攻击类型,并过滤网络攻击流量。城轨云租户的综合审计资源池租户级数据库审计为云平台上每一个租户部署一套虚拟数据库审计,实现租户数据库的独立审计。虚拟数据库审计提供代理插件,以解决云环境数据库流量的精准审计。数据库审计系统通过全面记录对数据库服务器的连接情况,记录会话相关的各种
212、信息和原始SQL语句。租户级运维审计为每一个租户部署一套虚拟堡垒机,实现租户级别的独立运维审计。通过引流方式将运维人员对各类IT资产的管理流量牵引至虚拟运维审计组件中,实现资产集中管理,单点登录,运维安全策略下发和运维安全审计。租户级漏洞扫描为每一个租户部署一套虚拟漏扫,实现租户级别的独立漏洞扫描工具,和云平台方案一致,通过漏洞扫描系统,实现各业务系统或主机脆弱性的统一管理。租户级日志审计为每一个租户部署一套虚拟日志审计,实现租户级别独立的综合日志审计能力,和云平台一致,对安全设备如防火墙、Web应用防火墙、数据库审计、网络行为审计等产生的安全日志进行收集,再结合操作系统日志、中间件日志等,综
213、合对这些日志进行关联分析,从多个维度对目标的运行状态、主机情况进行分析,得出一段时间内目标系统及相关设备的安全运行状态。通过城轨云安全服务中心的搭建,统管各项软硬件安全设备,构建安全资源池,同时复用云平台的SDN服务链引流串接安全资源池中的安全原子资源,将虚机、容器细颗粒度的安全资源划分到对应的业务系统上,从而实现安全厂商统一保障云平台以及业务系统一体化的建设模式。3.城轨云原生安全建设第十一章 城轨云安全体系建设研究第十一章 城轨云安全体系建设研究新华三城轨云在建设中,涉及到了能源管理、信号智能运维和智能运管业务的容器微服务化的部署。其运行环境和云平台的虚拟机有着本质的区别,但是当前全行业缺
214、乏相关安全规范要求,因此暂时划归到城轨云的一部分来复用城轨云的安全保障措施。该方法不具有持久性,因此借鉴互联网和金融行业的云原生安全案例,整理出针对城轨行业的云原生安全的初步建设思路。3.1 城轨云原生平台的容器安全城轨云原生平台的容器运行的全生命周期主要包括容器镜像、容器配置和容器运行三个阶段,保障这三个阶段容器的安全运行便是容器安全工作的重中之重。容器镜像安全需要通过镜像数字签名技术防止镜像被篡改或损坏。在日常构建镜像时,接入白盒扫描,一旦核查出错就会直接中断CI构建,阻止后续代码的持续集成。容器配置安全常采用Dockerfile核查技术判断容器文件是否具有漏洞以防被恶意利用,另外也会采用
215、强制访问控制技术保障每个主体和客体之间都有一个安全标记。容器之间的隔离则借助Cgroups限制宿主机中不同的容器的资源使用量,借助namespace保证容器与容器,容器与宿主机的资源隔离。容器运行时的安全则依赖于HIDS实时监控计算机内部的动态,以及黑白盒扫描来对应用功能的程序源代码进行查漏补缺。3.2 城轨云原生平台的微服务安全城轨云业务系统如互联网售票系统ITP的解耦部署会带来大量的微服务应用,跨多个微服务的调用会导致请求更难追踪,微服务之间共享上下文会要求信息传输中能够防泄漏防篡改。因此,在微服务的入口网关处需要提升身份认证和授权的安全性,需要能够类似传统防火墙对外部流量控制扫描以及能够
216、在微服务访问链路中进行传输加密避免信息劫持。3.3 城轨云原生平台的DevOps安全DevOps安全需要关注内部研发团队的自研代码和外部第三方开源软件的安全,对于开发用到的代码所使用的依赖关系必须明确。如果底层依赖有风险,必须快速反向分析哪些软件会受到同样的威胁,常通过单元测试、静态扫描等基本手段进行代码安全合规性检查,扫描结果7271云城轨,智行远4.城轨云下的传统架构的安全建设全国城轨云的建设几乎都是针对新建线路开展的,老旧线路因为每天的运营的需求,无法短时间内进行业务迁移上云,更多的是将老旧线路的传统IT架构设施尝试接入到城轨云的网络之中,然而老旧线路并不能完全复用城轨云安全设施,只能继
217、续参考以往模式-单线路单业务系统的二级或三级的等级保护测评的建设要求,其建设思路和城轨云平台统保思路一致。5.城轨云数据安全建设城轨行业的数据存储在安全的终端环境中,也即是在云平台和租户都满足各自安全基线的前提下,继续保障数据安全,由此后续的数据安全建设便可以剥离云平台的干扰只考虑数据本身的安全性了。目前国内已颁发网络安全法、信息安全技术个人信息安全规范等相关的法律和规范。为适应日趋严格的数据安全监管要求,并能灵活应对城轨业务的变化,在数据分类分级的基础上,遵循最小权限和动态授权原则,在数据全生命周期各个阶段建立数据可信接入、数据加密、数据脱敏、认证授权、数据操作审计等措施。整体流程可概括为满
218、足数据安全政策驱动达标,保障日志等历史数据的安全以及备份的有效性,加强终端数据防泄漏,最后做到专项敏感数据防护。从而实现如下目标:数据可见:数据分布可见、数据流转可见、数据访问可见。数据风险可控:风险驱动,减少数据安全的风险暴露面,提升整体安全效能。数据可管:贯彻IPDRR的理念(识别、保护、检测、响应、恢复),实现数据全生命周期可管。一般包括bug、坏味道和漏洞等,方便在代码构建之前发现潜在的安全风险。3.4 城轨云原生平台的中间件安全在整个云原生环境中,中间件如MQ(Kafka、RocketMQ等)、Redis基本都是运行在云平台的虚拟机中,因此该组件的安全防护可以复用云安全服务中心的防护
219、策略。第十一章 城轨云安全体系建设研究第十一章 城轨云安全体系建设研究三、未来城轨安全技术研究城轨行业的网络安全建设方兴未艾,安全领域还有大量安全技术手段没有落实到项目实践和安全体系规划当中。诸如基于城轨云安全服务中心建设云安全运营平台。2016年4月19日,习近平在网络安全和信息化工作座谈会上发表讲话强调:全天候全方位感知网络安全态势。知己知彼,才能百战不殆。没有意识到风险是最大的风险。随着时间的推移,安全大脑态势感知等设备的安全日志日积月累,越来越多,这时需要以态势感知作为日志的统一管理出口,将采集后的日志传输到安全服务厂商,经过安全服务商的安全中心建模,给本地用户提供云安全SaaS服务和
220、云安全运维服务。让专业的人做专业的事,从而解放用户的安全管理压力。考虑到城轨行业因其基础架构的复杂性,整个安全防护方案中缺少一个强统治力的安全智慧大脑。在城轨行业的安全建设中,将态势感知与统一运维管理平台合二为一,实现“安全+运维”的防护手段,将网络和安全融汇通,践行云网安融合的安全理念。同时态势感知可以适配云上云下不同场景,通过云安全服务中心集成态势感知,将网络安全和统一运维横向覆盖了云上云下全场景,进而做到了后台云网安一把抓,极大地释放了用户的管理压力。另外还有身份认证加强版的零信任技术,安全颗粒度精细化的微分段技术以及量子密码技术等都可以在城轨云安全的土地上不断深耕,未来智慧城轨的安全建
221、设需要摆脱传统设备的桎梏,大胆打开思路,尝试将新颖的安全防护技术纳入到安全体系建设中,注入新鲜血液,让城轨的安全建设体系不断升级迭代,与时俱进,才能真正推动城轨行业的安全能力达到领先水准。7473云城轨,智行远城市轨道交通云平台安全资源池最优方案探讨以某市轨道交通生产业务云平台为例随着近年来我国城市化进程的不断加快,城市轨道交通建设如火如荼,为了实现地铁各业务系统统一部署、数据集中管理,中国城市轨道交通智慧城轨发展纲要将城轨云作为智慧城轨纲要的重点建设之一,极大加快了城轨上云的建设进度。当前,全国各大城市所建设的城轨云,无论是专业云、线路云、抑或是线网云,工作重心均在业务系统入云,但业务系统所
222、需的安全资源并未能由云平台提供,即“业务系统入云,业务安全未入云”。在这样的情况下,各业务系统的安全能力仍采用云下各自建设、各自管理的方式。这种割裂的、烟囱式的建设管理方式,存在重复建设、成本高、资源固化浪费等问题,而云平台安全资源池的出现就是为了解决上述问题。云平台除统一提供自身三级等保能力之外,也为各入云业务系统提供所需的云安全服务,从而提供计算、存储、网络、安全等全方面的云服务能力。云安全资源池通过不断地汇聚云安全能力,构建一个统一管理、弹性扩容、按需分配、安全能力完善的云安全池化能力体系,可帮助用户实现云安全运营和云安全统一管理,快速应对云上租户安全问题,为用户提供一站式立体化的云安全
223、综合解决方案,针对性解决用户业务上云后面临的难点与痛点。智慧城轨的基础是云计算,伴随着云计算的到来,城轨云安全资源池的建设成为智慧城轨必不可少的一环。某市作为国内轨道交通建设线网规模最大、线路长度最长城市,具有代表性。本文以某市轨道交通生产业务云平台为例,探讨城市轨道交通云平台安全资源池建设的最优方案。一、总体需求1.1 生产业务云平台安全建设某市轨道交通生产业务云平台数据中心架构如下图所示。在中心生产业务云平台部署CloudOS云管平台进行统一运营管理。整体网络区域分为生产业务域、运维管理域、应用研发及检测域、互联网缓冲区。生产业务域是中心云平台的核心区域,各业务系统服务器运行在本区域;运维
224、管理域包括云管平台、云运维平台和云安全管理平台,以及云平台自身的信息安全区。云平台自身安全在防御能力、监测能力和检测能力三方面建设情况如下:防御能力部署核心防火墙、边界接入的线路云业务防火墙、线路非云业务防火墙、外部系统防火墙、业务和管理网边界防火墙、各车站节点车站防火墙做访问控制,保证区域间互访的安全性。核心接入防火墙按照每个租户划分虚拟防火墙实现租户间的安全边界防护能力。在核心交换区部署IPS防御外部入侵攻击。通过主机安全软件对云主机/服务器进行统一病毒查杀防护。1.现状分析第十二章 城市轨道交通云平台安全资源池最优方案探讨76互联网缓冲区运维管理区管理网核心交换区业务应用区业务应用区(仿
225、真)核心交换区(仿真)接入区(仿真)安全服务区业务网核心交换区接入区关键业务备份区信息安全区运维管理域生产业务域应用研发及检测域路由器云综合管理平台态势感知日志审计运维审计漏洞扫描防病毒云管平台云运维平台云安全管理平台安全资源池信号ATS数据交换互联网接入区外部系统接入区线路云业务接入区线路非云业务接入区终端接入区核心交换机核心防火墙核心入侵防御智慧化业务 线网中心级 自动售检票计算、存储资源池计算、存储资源池交通行业数据专区综合监控综合业务乘客服务智能分析仿真中心检验检测车站01应用研发核心交换机线路云业务接入区线路非云业务接入区终端接入区核心防火墙车站02仿真车站备份一体机安全设备交换机核
226、心交换机核心防火墙75第十二章 城市轨道交通云平台安全资源池最优方案探讨文/沈明宇云城轨,智行远监测能力信息安全区部署堡垒机对云平台运维人员的操作行为进行审计和监控,部署日志审计实现云平台设备一体化日志收集审计,数据库审计实现对数据库的操作进行审计。资产管理:通过云管理平台对上云资产进行登记记录。通过安全态势感知实现对云平台网络安全状态的一体化监视、展示。检测能力信息安全区部署漏洞扫描系统实现对云平台网络安全设备、服务器、数据库、Web应用等的漏洞风险发现。二、城轨云安全资源池最优方案探讨1.方案思路1.2 业务系统安全建设云平台目前根据业务系统划分为信号资源池、综合监控资源池、综合业务资源池
227、和数据分析资源池4个资源池,再按不同线路划分不同VPC,云平台已通过等保三级测评。各线网中心级系统和线路级业务系统按照等级保护要求进行安全建设。根据智慧城市轨道交通信息技术架构及网络安全规范第3部分:网络安全要求,各系统应满足的网络安全保护等级如下:业务系统安全建设应符合国家网络安全等级保护要求,同时需结合轨道交通网络安全规范要求。为满足某市轨道交通业务安全管理需求,需要在轨道交通生产业务云平台当前建设的基础上,按照等级保护要求和信息系统密码要求建立完善的纵深安全防御体系,包括:满足国家相关部门的安全标准和规范:符合信息安全技术网络安全等级保护基本要求(GB/T22239-2019)标准的相关
228、要求。符合国家网络安全法的相关要求,其中相关日志、运行数据至少留存6个月。构建安全资源池提供安全服务:配置能够满足业务系统安全需求所要求的各类安全软硬件和存储资源,并可针对不同的业务安全需求,提供不同类型的安全资源和服务。形成全域纵深防御体系:针对可能遇到的各种安全威胁和风险,分别在边界防护、系统安全、身份认证、安全管理、安全监测等方面采取行之有效的技术和管理措施,形成功能完善的信息安全保障体系,并进行监督管理。1.1 生产业务云平台安全建设云安全资源池为生产业务提供安全服务,整体建设思路如下:根据轨道交通生产业务云平台架构,规划安全资源池部署方案。根据合规要求及业务安全防护情况,梳理安全服务
229、能力需求。部署安全资源池,根据业务系统规模数量,规划安全资源池服务软件资源。云平台提供的云安全服务与业务系统云下部分按照等保要求建设的安全边界防护设备协同保障业务系统整体安全。业务系统网络安全保护等级业务系统类别业务系统网络安全保护等级业务系统类别2.安全需求TCC三级线网中心级业务系统ACC三级线网中心级业务系统信号 ATS三级线路级业务系统综合监控系统三级线路级业务系统多线路集约化电力监控系统(MSCADA)三级线路级业务系统多线路集约化环境与设备监控系统(MBAS)三级线路级业务系统多线路集约化火灾自动报警系统(MFAS)三级线路级业务系统通信系统专用电话系统二级线路级业务系统综合无线通
230、信系统二级线路级业务系统视频监视系统二级线路级业务系统公务电话系统二级线路级业务系统乘客信息系统二级线路级业务系统广播系统二级线路级业务系统时钟系统二级线路级业务系统线路传输系统二级线路级业务系统通信综合数据网络二级线路级业务系统自动售检票系统(AFC)二级线路级业务系统乘客服务系统二级线路级业务系统第十二章 城市轨道交通云平台安全资源池最优方案探讨第十二章 城市轨道交通云平台安全资源池最优方案探讨7877云城轨,智行远2.总体架构2.1 云安全资源池定位基于某市轨道交通生产业务安全防护需求,构建云安全资源池,将安全资源池化,为线路级/路网级业务系统提供安全服务。通过构建统一的安全资源池,业务
231、系统按需申请云安全服务,云上安全业务快速部署,自动下发策略,避免传统安全设备采购、上线等冗长的周期。安全资源云端统一运维,提高解决问题的效率,降低故障响应时间。2.2 技术方案比选通常,云安全资源池有混合部署和独立部署两种技术方案。2.3 安全资源池整体架构方案一采用混合部署方式,即在业务系统资源池本地混合部署云安全资源池。将所需安全组件部署在本业务系统VPC内,为其提供安全防护。该方案安全组件需要占用对应业务系统VPC内的计算、存储和网络资源。方案二采用独立部署方式,建设独立的安全资源池,部署业务系统安全VPC,利用SDN打通对应业务系统的VPC网络,为其提供安全防护。安全资源池的计算,存储
232、,网络资源可独立分配。通过对比以上两种方案可以发现,方案一,适用于超融合或云平台规模较小的场景,存在计算节点和安全节点故障相互影响,管理界面不清晰的问题。方案二适用于云平台规模较大的场景,其管理界面清晰,计算节点和安全资源池发生故障互不影响,便于故障定位,但搭建独立的安全资源池需要网络等基础设备的投资。结合某市生产业务云平台的规模以及未来的发展规划,推荐使用独立部署方案。构建独立云安全资源池,为业务系统提供云安全服务,各项云安全服务可按需扩展。在云平台管理区部署云安全管理平台,统一管理云平台安全资源池的各项云安全服务。安全资源池通过将底层硬件安全设备NFV功能虚拟化或采用安全软件加虚拟化服务器
233、的形式部署,可以形成包含防火墙、负载均衡、日志审计、运维审计、数据库审计、态势感知、漏洞扫描、入侵防御、虚机杀毒、容器安全、物理机杀毒、统一身份认证、密码安全等在内的安全服务目录。并可以等保服务包的形式为二级业务系统和三级业务系统分别提供不同的安全服务组件组合,形成标准的安全服务建设内容。通过安全资源池管理平台对用户、日志、授权、系统、资产、监控告警等进行管理,并与云管平台融合,形成统一的管理界面。同时还可将相关数据同步至运维中心或运营中心,辅助运营团队、运维团队生成相应的安全生产报告。2.4 与既有云平台对接云安全管理平台作为云平台的一个组件,部署于云平台上。通过登录云平台,完成云安全管理平
234、台组件的部署,即启用相关功能。云安全管理平台与既有云平台兼容,可实现业务系统/账户/资产信息同步;可实现对各类云安全服务的资源管理、策略管理、资源监控等,并在既有云平台上形成云安全服务目录;可调度既有SDN控制器,对安全服务进行引流、编排和配置下发。第十二章 城市轨道交通云平台安全资源池最优方案探讨第十二章 城市轨道交通云平台安全资源池最优方案探讨日志审计运维审计数据库审计xx号线信号系统VPC漏洞扫描主机安全信号系统资源池日志审计运维审计数据库审计漏洞扫描主机安全日志审计运维审计数据库审计漏洞扫描主机安全日志审计运维审计数据库审计xx号线综合监控系统VPC漏洞扫描主机安全综合监控系统资源池x
235、x号线信号系统VPC业务系统资源池安全资源池xx号线综合监控系统VPC日志收集授权管理系统概览订单管理资产管理费用管理监控告警系统管理报表管理OpenAPI*防火墙漏洞扫描负载均衡运维审计数据库审计态势感知*虚机杀毒容器杀毒*物理机杀毒密码管理统一身份认证X86服务器X86服务器X86服务器X86服务器核心防火墙*入侵防御*日志审计核心IPS密码机三级业务系统:ACC、TCC、ATS、ISCS二级业务系统:通信专业(CCTV/PIS)、AFC二级等保服务包三级等保服务包等保服务包安全资源池服务目录*二级系统必选 用户管理运维中心运营中心安全资源池管理平台X86服务器安全硬件云平台硬件资源SDN
236、8079云城轨,智行远3.技术方案3.1 云安全管理平台云安全管理平台实现对各类软硬件安全资源的纳管,提供安全服务化、流量编排、策略管理、计量计费、态势呈现等诸多功能。安全资源纳管云安全管理平台可实现安全资源的全生命周期管理,包括热启动、安全防护策略的管理、安全服务的网络编排调度、安全服务的日常运营以及运维的统一化审计。业务系统可持续运营安全管理平台同时也是一个安全资源的运营平台,在分发安全资源同时,提供运营管理功能,管理员通过运营分析能够对安全服务运营情况了如指掌,从而达到一个平台统管各类安全资源的目的,有针对性地制定运营策略,达到精细化运营的目标。可视化运营运维大屏云安全管理平台的可视化大
237、屏是针对城轨云安全综合运营情况所展示的数据大屏。包括整体云安全的评分、风险资产、风险业务系统Top5排名、运营过程中需要关注的告警信息等。第十二章 城市轨道交通云平台安全资源池最优方案探讨第十二章 城市轨道交通云平台安全资源池最优方案探讨态势感知CSAP防火墙vFW入侵防御vIPS负载均衡vLBVPN日志审计vLA数据库审计vDBA运维审计vBHWeb应用防护vWAF漏洞扫描vSysScan主机安全SSMS终端杀毒ESM云安全管理平台H3C SecCloud OMP安全网元能力云化,包含云堡垒机、云WAF、云漏扫、云防火墙等多种安全能力安全能力服务化提供全局和租户视角的云内态势感知,消除监测盲
238、区,租户级威胁分析呈现与溯源云内态势感知根据租户业务发展,按需提供弹性可扩容的安全业务,软件定义安全,自动化引流调度弹性扩展统一资源管理,安全策略下发,云端运维云租户自服务,订单管理,营收台账可视可持续运营云安全管理平台H3C SecCloud OMP运营大屏主要展示以业务系统维度,统计各个业务系统的资源使用情况、工单情况、以及安全投入等综合数据情况。运维大屏主要展示运维角度的综合数据,主要包含安全资源池的资源占用率、运维告警、运维工单跟踪等。3.2 云安全资源池安全资源池采用“虚拟化安全软件+安全硬件NFV”的方式进行部署,所有资源归属云安全管理平台纳管。可提供的云安全服务包括虚拟防火墙、虚
239、拟运维审计、虚拟日志审计、虚拟数据库审计、虚拟漏洞扫描、虚拟态势感知、主机安全、统一身份认证、密码安全等。业务系统可以通过云平台申请相应的虚拟化安全产品部署在自己的VPC内。部署通用x86/ARM服务器、专用硬件作为安全资源池载体,服务器数量根据业务需求量而定,可以按需平滑扩展。服务器通过安全资源区的Leaf交换机接入到业务网。服务器上运行虚拟主机,每个主机承载一个安全业务,业务系统申请时,按照虚拟机方式交付。流量通过SDN技术引流到VPC内部安全池相应的安全虚拟机上进行安全处理,然后转发到最终目的地,从而可以实现虚拟机迁移后相关安全策略可以自动跟随。可视化大屏示例图8281云城轨,智行远3.
240、3 兼容性云安全管理平台提供丰富的REST API接口与第三方系统对接,根据第三方系统的业务需求,提供相应的API接口的定制开发,保证与第三方应用系统的对接,实现一个安全与平台兼容的系统。云安全管理平台通过开放北向API接口对接第三方平台,涉及租户管理或同步、主机管理或同步、网络同步、防火墙、负载均衡、漏洞扫描、堡垒机、数据审计、日志审计等服务,可以满足多数用户API对接需求,对于客户新的API需求可以快速响应,通过快速开发相应的API接口,及时与用户系统进行对接。在接口开发前,需要针对具体的业务需求,经过分析预演,制定出合理接口实现方案,满足接口原则及规范。云安全管理平台可提供完整的API接
241、口文档,下表为主要API接口类别以及相应功能说明。API类别说明阶段建设内容托管模式半托管模式职责说明安全资源池管理提供云安全资源池服务的列表查询、新增,云安全资源池服务的详情信息,包括型号、实例状态、分配状态、安全可用域等接口防火墙管理提供防火墙的创建、查询、编辑、删除,防火墙策略的创建、查询、编辑、删除,IPS/防病毒的创建、查询、编辑、删除等接口运维审计管理提供运维审计服务的创建、查询、编辑、删除,单点登录等数据库审计管理提供数据库审计服务的创建、查询、编辑、删除,单点登录等接口日志审计管理提供日志审计服务的创建、查询、编辑、删除,单点登录等漏洞扫描管理提供漏洞扫描服务的创建、查询、编辑
242、、删除,漏洞扫描任务的创建、查询、编辑、删除,漏扫报告查询等接口操作日志查询所有操作日志定制API接口数量业务应用需求,提供API接口定制4.云安全服务模式4.1 云安全服务组合包按照等级保护要求,云安全资源池可提供定制化的安全组合包。如二级业务系统云安全服务组合包如下:必选组合包:防火墙、入侵防御、防病毒、日志审计。推荐组合包:数据库审计、运维审计、漏洞扫描、态势感知。等保三级系统云安全服务组合包如下:必选:防火墙、入侵防御、防病毒、日志审计、运维审计、数据库审计、漏洞扫描。推荐:态势感知,密码安全等。4.2 云安全服务提供方式云安全服务提供方式主要分为托管模式和半托管模式两种。在云安全建设
243、阶段,无论是托管模式还是半托管模式,云平台需要负责防火墙,入侵防御等安全能力的建设。半托管模式云平台需要根据业务系统接入终端的地址,在云平台接入网络设备和防火墙上配置相应的放通策略,保证业务系统的安管终端可以接入云平台的网络。在安全运营阶段,云平台需要对防火墙等云安全服务进行开通,同时还需要将防火墙,入侵防御等防护类安全服务分租户配置相应的安全策略,还需要按租户分配数据库、日志审计等审计类安全服务的账号和权限。安全设备巡检,安全事件分析,系统漏洞扫描,安全加固建议,云审计,服务策略,配置优化等建设内容,托管模式由云平台负责,半托管模式由业务系统负责。在安全维护阶段包括保护资产管理,漏洞修复和风
244、险处置等方面的内容均由业务系统负责。安全建设安全能力资源建设云平台云平台负责防火墙、入侵防御、数据库审计、日志审计、运维审计、漏洞扫描、态势感知、主机防病毒等安全能力资源建设安管终端接入云平台网络-云平台按业务系统接入终端地址,在云平台接入路径网络设备和防火墙配置放通策略第十二章 城市轨道交通云平台安全资源池最优方案探讨第十二章 城市轨道交通云平台安全资源池最优方案探讨8483云城轨,智行远阶段建设内容托管模式半托管模式职责说明结语两种管理模式,主要区别在于全托管模式云平台需要建立安全运营中心,以满足不同阶段的职责要求,包括组织架构,业务流程,人员团队和工具平台等方面的内容,而半托管模式云平台
245、仅需为业务系统提供接入安全资源池管理平台的网络,以满足业务系统对所用安全组件的监管需求即可。安全运营云安全服务开通云平台云平台防火墙、入侵防御、数据库审计、日志审计、运维审计、漏洞扫描、态势感知、主机防病毒等云安全服务开通云防护服务策略配置优化云平台云平台防火墙、入侵防御按照租户配置安全策略并优化业务侧账号管理分配云平台云平台按业务系统分配数据库审计、日志审计、运维审计、漏洞扫描、态势感知、主机防病毒资源和账号安全设备巡检云平台业务系统定期巡检,查看安全设备运行日志、分析设备运行状况,及时处理设备告警信息安全事件监测分析云平台业务系统定期对态势感知、日志审计、数据库审计、防病毒等安全事件监测分
246、析系统漏洞扫描云平台业务系统定期对系统进行漏洞扫描,将漏洞扫描结果反馈给业务系统负责人提出安全加固建议云平台业务系统协助业务部门安全加固,提出事件处置和漏洞修复建议云审计服务策略配置优化云平台业务系统数据库审计、日志审计、运维审计、漏洞扫描、态势感知、主机防病毒等服务策略配置/优化安全维护保护资产管理业务系统业务系统同步需加入防护的资产给云平台,接入系统信息等沟通确认漏洞修复业务系统业务系统对业务系统漏洞扫描发现的漏洞进行修复风险处置业务系统业务系统对安全监测发现的业务系统风险进行处置第十二章 城市轨道交通云平台安全资源池最优方案探讨第十二章 城市轨道交通云平台安全资源池最优方案探讨8685本
247、文以某市生产业务云平台为例,对城市轨道交通云平台安全资源池最优方案进行探讨,形成宜采用独立云安全资源池建设方案的结论。独立云安全资源池方案采用云网安一体化的网络架构,可与既有云平台形成一体化解决方案,云、SDN、安全管理平台相互嵌套调用,带来深度融合的优势。云安全资源池支持软件和硬件混合部署,防护类安全能力采用硬件NFV形式提供,稳定可靠性能高;审计类安全能力采用安全软件形式提供,虚拟化层基于既有云平台虚拟化环境开发,安全性能更好,并且部署扩展灵活,带来软硬互补的优势。除此之外,安全资源池账户与既有云平台账户体系全局打通,可以做到操作界面的统一。从而实现了城轨云安全防护的自动化,从追逐数据流到
248、定义数据流,解决了传统模式下自动不够,手动来凑的问题。城轨云安全资源池的建设不仅补齐计算、网络、存储、安全四大服务板块,使得云平台云服务多样性、全面性大大提升。而且安全服务云化,通过提供标准云安全服务,灵活快速配给满足业务系统安全需求,助力提升业务系统安全可靠的快速开通。同时,云平台面向线网业务系统和正线业务系统提供统一的安全运营中心、统一管理安全态势,实现安全事件闭环管理。除此之外,业务系统按需申请云安全服务,云平台统一建设,集约高效,节约机房空间,符合绿色城轨的发展方向。云城轨,智行远城轨云平台商用密码应用安全性评估及建设近年来,轨道交通信息化系统的集成化、智能化程度越来越高,业务运行过程
249、对信息系统的依赖性日益增强,随之而来的网络安全面临更大的挑战。信息系统一旦停滞,车辆调度、故障报警、安全运维等各个环节都无法正常进行。轨道交通系统一旦出现网络安全事故将直接影响人民的正常生活,造成的损失不可估量。密码技术作为网络安全的基石和核心技术,关系到我国轨道交通领域信息安全底座的建设与保障。在网络安全作为国家安全战略的形势下,轨道交通密码技术信息安全保障更具有重要价值和意义。密码在我国发展已经很多年了,2012年国家首次推出自主创新的密码标准,祖冲之序列密码算法,直到今天我国密码标准仍然在不断拓展完善。新修订的商用密码管理条例于2023年7月1日正式施行,全面落实中华人民共和国密码法要求
250、。条例为推进新时代商用密码高质量发展、保障网络与信息安全、维护国家安全和社会公共利益、保护公民合法权益提供了有力法治保障。本文探讨了商用密码技术在城轨云平台的应用需求,针对业务与应用需求,分析了商用密码应用建设背景、城轨商用密码应用建设技术方案,旨在促进城轨商用密码应用的安全性建设,进一步加强城轨业务系统安全防护。一、背景介绍随着网络信息的迅猛发展,用户身份认证盗用、黑客攻击、数据意外泄露等信息安全事件频发,越来越多的企事业单位开始关注信息系统的安全问题,尤其是一些关系国计民生的重点单位。加密技术作为加强信息系统安全的重要手段被广泛使用。国产商用密码技术为我国自主创新的加密技术,已成为我国信息
251、加密的首选技术。密码是国家重要战略资源,是保障网络与信息安全的核心技术和基础支撑,是解决网络与信息安全问题最有效、最可靠、最经济的手段。密码工作是党和国家的一项特殊重要工作,直接关系国家政治安全、经济安全、国防安全和信息安全。商用密码技术作为国家自主创新的核心技术,在维护国家安全、促进经济发展、保护人民群众利益中发挥着不可替代的重要作用。中华人民共和国网络安全法第三章第三十一条中明确提出:“国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域等关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护”。中华人民共和国密码法第二十七条中明确提出“法律、行政法
252、规和国家有关规定要求使用商用密码进行保护的关键信息基础设施,其运营者应当使用商用密码进行保护,自行或者委托商用密码检测机构开展商用密码应用安全性评估”。为贯彻落实中华人民共和国密码法、新修订的商用密码管理条例等规定,2023年9月26日,国家密码管理局公布商用密码应用安全性评估管理办法,统筹细化商用密码应用安全性评估(以下简称密评)对象范围、责任主体、工作原则、程序内容、实施规范等规定,依法规范密评工作,自2023年11月1日起施行。重要网络与信息系统建成运行后,其运营者应当自行或者委托商用密码检测机构每年至少开展一次商用密码应用安全性评估,确保商用密码保障系统正确有效运行。文/李婧1.密码的
253、定义与分类密码是指采用特定变换的方法对信息等进行加密保护、安全认证的技术、产品和服务。中华人民共和国密码法规定密码分为核心密码、普通密码和商用密码。商用密码用于保护不属于国家秘密的信息,公民、法人和其他组织可以依法使用。2.商用密码应用安全性评估对采用商用密码技术、产品和服务集成建设的网络和信息系统密码应用的合规性、正确性、有效性进行评估。合规性:信息系统使用的密码技术、产品和服务是否符合国密要求。正确性:受保护对象是否明确,密码功能是否实现准确,密码产品参数是否配置正确。有效性:检验或验证密码应用是否合规、正确,是否真正实现了受保护对象的安全防护需求。第十三章 城轨云平台商用密码应用安全性评
254、估及建设第十三章 城轨云平台商用密码应用安全性评估及建设8887云城轨,智行远图1 信息系统密码应用基本要求大数据、云计算、物联网、人工智能等新兴技术的大规模兴起,有力地推动了城轨信息化产业的迅速发展。城轨信息化的健康发展离不开高效可靠的网络安全保障,高效可靠的网络安全保障要求采用高性能、高安全、高可靠的密码产品为信息系统提供网络安全保障服务,同时还要保证密码产品的自主创新。二、城轨云平台密码应用需求目前云计算、大数据、5G、物联网等主流技术已广泛应用于智慧城轨的建设,在新技术的应用中,也随时面临着身份假冒、重要信息内容篡改、敏感信息泄露等安全风险。结合城轨网络安全的要求,依据GB/T 397
255、86-2021信息安全技术 信息系统密码应用基本要求,城轨云平台商用密码应用在各地城轨云建设中同步规划同步建设,使之符合网络安全等保三级的标准技术防护要求及信息系统密码应用三级要求,消除或降低安全风险及隐患。参照GB/T 39786-2021信息安全技术 信息系统密码应用基本要求中云平台三级系统指标要求,分别从物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全、安全管理等层面进行密码应用设计,为云平台安全稳定运行提供高效的密码支撑,满足云平台应用的安全需求。第十三章 城轨云平台商用密码应用安全性评估及建设第十三章 城轨云平台商用密码应用安全性评估及建设身份鉴别电子门禁记录数据存储完
256、整性视频记录数据存储完整性身份鉴别日志记录完整性 远程管理通道安全 重要信息资源安全标记完整性 系统资源访问控制信息完整性 重要可执行程序完整性重要可执行程序来源真实性 身份鉴别通信数据完整性通信过程中重要数据的机密性 网络边界访问控制信息的完整性 安全接入认证 身份鉴别访问控制信息完整性 重要信息资源安全标记完整性 重要数据传输机密性重要数据存储机密性重要数据传输完整性重要数据存储完整性 不可否认性 管理要求(30分)管理制度(6项)人员管理(5项)建设运行(5项)应急处置(3项)技术要求(70分)设备与计算安全(10分)网络和通信安全GB/T 39786-2021 信息系统密码应用基本要求
257、(20分)物理和环境安全(10分)应用和数据安全(30分)通用要求密码算法合规密码技术合规密码产品、密码服务合规三、密码应用技术方案图2 密码应用安全合规流程图1.物理和环境安全物理和环境安全方面主要考虑被测系统所在机房访问控制及记录数据的保护情况,涉及的测评对象主要为所在机房的电子门禁系统和视频监控系统。城轨云平台所在机房部署需符合GMT 0036-2014采用非接触卡的门禁系统密码应用技术指南标准要求的电子门禁系统对进出机房人员进行身份鉴别,实现对电子门禁纪录进行完整性保护;需要采用符合密码相关国家、行业标准要求的国密视频监控系统,对视频记录进行完整性保护,防止记录数据被非授权篡改导致数据
258、不可信,提高记录数据的真实可靠性。2.网络和通信安全网络和通信安全方面主要考虑在数据传输过程中的安全接入和控制,涉及的测评对象为信息系统与网络边界外建立的网络通信信道、访问业务应用系统的网络通信信道。在运维管理网部署符合密码相关的国家和行业标准要求SSL VPN安全网关,平台管理员通过SSL VPN访问到平台内部实现对网络安全设备、服务器、数据库等远程管理,并基于密码技术实现平台管理员与SSL VPN服务端之间通信实体的身份真实性,防止与假冒实体进行通信;国密安全测览器内网运维人员智能密码钥匙堡垒机国密监控设备国密门禁设备VPN客户端国密安全测览器外网业务/运维人员智能密码钥匙国密安全测览器内
259、网业务人员智能密码钥匙签名验签&时间戳服务器日志记录完整性业务应用系统数据库系统第三方CA或自建CA证书发放国密SSL代理网关国密SSLVPN网关 第三方外联或异地备份国密IPSec VPN国密IPSec VPN密码机签名验签&时间戳网络设备安全设备数据库设备与计算资源服务器物理和环境安全网络和通信安全应用和数据安全设备和计算安全正常的HTTPS、SSH、RDP等运维通道国密HTTPS通道正常https或者http通道国密SSL VPN通道国密HTTPS通道加解密服务:加解密功能或数字信封技术功能完整性服务:签名验签功能或HMAC功能身份鉴别服务:统一身份认证功能或签名验签+证书识别与解析功能
260、抗抵赖服务:签名验签功能9089云城轨,智行远3.设备和计算安全设备和计算安全方面主要考虑设备的身份鉴别、远程管理通道安全及相关数据的安全防护,测评对象主要为通用服务器(如应用服务器、数据库服务器)、数据库管理系统、整机类和系统类的密码产品、堡垒机、各类虚拟设备等。云平台运维人员的办公终端配发智能密码钥匙(含管理员合法可信身份证书),运维管理网部署签名验签与时间戳二合一服务器,并与堡垒机进行对接开发,实现堡垒机基于数字证书方式进行身份鉴别,防止假冒人员登录;基于密码技术保证各类运维人员在对平台设备进行运维管理时,使用安全的管理通道进行管理,保证管理数据在传输过程中的机密性和完整性,防止非法人员
261、对平台设备和软件进行非授权的管理和操作。通过部署符合密码相关的国家和行业标准要求签名验签与时间戳二合一服务器,基于密码技术保护服务器、数据库、网络安全设备等日志记录、系统资源访问控制信息的完整性,防止被非授权篡改;基于密码技术对需要安装的重要可执行程序的来源真实性和完整性进行验证,防止非可信程序的安装和部署。5.管理制度密码应用正确有效的发挥作用依赖于密码技术和密码管理措施并举、双管齐下。基于GB/T 39786-2021信息安全技术 信息系统密码应用基本要求中关于密码管理安全方面的要求,建立各项与密码相关的管理制度,储备和任命密码相关管理人员,在平台建设和运行阶段,同步建设和落地执行密码应用
262、相关制度要求,建立应急策略和安全事件上报流程,降低管理不到位的风险。4.应用和数据安全针对云管理平台的密码应用进行改造,向云管理平台管理员PC端配发智能密码钥匙(存储符合国密要求的数字证书),服务端利用签名验签与时间戳二合一服务器,基于数字签名的方式对管理员进行身份鉴别,防止非授权人员登录。在运维管理网部署符合密码相关国家、行业标准要求的签名验签与时间戳二合一服务器,对访问权限控制列表、配置文件等进行完整性保护,防止应用资源被非授权用户篡改。部署符合密码相关国家、行业标准要求的服务器密码机,在重要数据存储和读取的过程中进行加解密处理和完整性校验,保证数据存储的机密性和完整性,防止数据泄露给非授
263、权的个人、进程,或被非授权的个人、进程进行非法篡改等。并在通信过程中建立安全的传输通道,保护通信过程中重要数据的完整性和机密性,防止数据被非授权篡改,防止敏感数据泄露;部署符合密码相关的国家和行业标准要求SSL代理网关,实现云平台管理系统页面的SSL反向代理,远程访问云管理平台系统时采用HTTPS基于国产密码协议建立安全的传输通道,保护通信过程中重要数据的完整性和机密性,防止数据被非授权篡改,防止敏感数据泄露。在不同系统间的边界接入区分别部署符合密码相关国家、行业标准要求的IPSec VPN,实现在通信前通信双方的身份鉴别,并建立安全的数据传输通道,保护通信过程中重要数据的完整性和机密性,防止
264、数据被非授权篡改,防止敏感数据泄露。基于密码技术保护云管理平台管理用户与平台之间的网络边界设备中的访问控制信息的完整性,防止被非授权篡改。四、密码应用安全性评估完成密码应用方案编制后,用户单位可以委托密评机构对方案进行评估,评估通过后,将系统密码应用改造方案向用户单位所属地密码管理部门备案,并同步对信息系统进行密码应用改造,选用通过检测认证合格的商用密码产品,合规、正确、有效的建设密码保障系统。上线运行后,需要每年对系统进行一次密码应用安全性评估,并根据评估意见进行整改。当本系统在运行过程中发现重大密码应用安全隐患时,将停止系统运行,制定整改方案,按照整改方案对系统进行整改和密码应用安全性评估
265、,评估通过后重新上线运行。结语随着国家合规标准的发布,给城轨行业用户提供了密码建设指导。从短期来看是以密码应用合规为主,来完善城轨自身的业务安全体系建设,长期来看,能够提升城轨行业整体安全体系架构的技术先进性,更好地应对未来可能存在的风险威胁。第十三章 城轨云平台商用密码应用安全性评估及建设第十三章 城轨云平台商用密码应用安全性评估及建设9291云城轨,智行远目前城轨业务系统如信号系统、综合监控系统、自动售检票系统等的密钥均有采用国外密码算法,还未大范围应用国产商用密码标准算法,国密算法在城轨业务系统应用还需要进一步普及。针对目前的密评改造,城轨可根据业务属性及数据重要程度,对数据的传输、存储
266、及人员操作行为进行分析,根据密码应用安全防护需求,明确以下密码应用改造方向。明确重点,重点改造高风险点。针对身份鉴别、网络层通信数据机密性,设备层远程管理通道安全,应用和数据层的传输和存储机密性,通过数字签名技术防止人员关键操作行为的抵赖等这些高风险项目,进行重点改造。聚焦难点,集中突破。针对业务系统定制化改造,调用密码机和签名验签服务器实现身份鉴别,实现传输及存储数据的机密性、完整性保护,重要信息的完整性保护;通过安全产品定制化改造,如日志审计、堡垒机定制化改造调用密码产品来实现日志记录完整性保护,身份鉴别,访问完整性保护。力争得分点,稳住合规。针对物理和环境安全,部署合规的电子门禁系统、安
267、全视频系统;针对通信和网络安全,部署国密SSL/IPSec VPN,保证通信传输机密性及完整性;建立密码安全管理体系并落地执行。这些不涉及对业务系统的改造,较为容易得分。按照等级保护要求完成“一个中心,三重防护”安全防护体系建设的同时,为了进一步提升网络安全防护能力和水平,积极响应建设网络强国的号召,贯彻密码法关于密码应用的指导作用,落实国家密码管理局相关指示精神,促进密码网络及重要领域的应用,有效解决身份冒用、信息泄露、数据篡改、行为抵赖等安全问题。新华三提前全力布局密码产品,并借助自身产品研发及解决方案能力,完成了防火墙、国密代理网关、WAF、日志审计、运维审计、云管平台、大数据平台等与密
268、码的全面融合。新华三以自有商密产品为基础,充分整合密码应用需求,可以帮助城轨行业用户建立一套安全、合规、完整、有效的密码应用体系;底座云平台、网络资源、计算资源、存储资源已与密码产品完成对接,具备国密能力,提供多种密码安全服务,形成“云网安密”一体化的能力。第十三章 城轨云平台商用密码应用安全性评估及建设93城轨数据中心液冷技术发展浅析当前,我国城市轨道交通仍处于快速发展阶段,截至2022年底,中国内地累计有55个城市投运城轨交通线路超过一万公里。积极引导低碳出行,加快城市轨道交通等大容量公共交通基础设施建设,成为了轨道交通的发展方向,其中绿色低碳是轨道交通发展的重大机遇。城市轨道交通系统非常
269、复杂,各个生产业务系统综合应用了云计算、大数据、物联网、5G等多种信息技术以提高业务系统运行效率及稳定安全。然而随着城轨线路的不断增多、各种信息化技术的不断运用,各地轨道交通总能耗不断上升,当前轨道交通总能耗94亿kWh,约占全国总耗电1.7,未来预计年耗电量将达400亿度,占未来全国总耗电5以上。根据对地铁的用电负荷统计分析,通风空调系统的能耗占总能耗的70%左右,这其中数据中心机房通风空调系统又占较大的比重,因此无论从绿色低碳的发展要求,还是从减轻城市运营成本的角度考量,地铁节能的必要性毋庸置疑,如何建成“低碳排、高效能、大运量”三个维度的绿色城轨,正成为行业发展的重中之重。当前城轨数据中
270、心单位空间所产生的热量,伴随着芯片、服务器设备功耗的持续增长而不断提升,也使得单机柜功率密度越来越高,传统的风冷已无法满足数据中心散热的及时性要求,亟需探索液冷技术在城轨数据中心的落地应用。文/史钰果一、液冷技术发展背景1.政策背景随着新基建、东数西算国家战略的持续赋能,新型数据中心建设迎来新机遇,成为我国数字经济高质量发展的关键基础设施。2020年9月习近平总书记在第75届联合国大会上提出了我国“二氧化碳排放力争于2030年前达到峰值,努力争取2060年前实现碳中和”的目标,在此背景下国家相继发布了信息通信行业绿色低碳发展行动计划(2022-2025年)、工业能效提升行动计划等系列文件,明确
271、提出数据中心绿色可持续发展的行动计划,因此面向双碳,亟需顺应绿色节能、低碳可持续的发展趋势,探索新型绿色数据中心高质量发展路径,助力“3060”目标的实现。第十四章 城轨数据中心液冷技术发展浅析94云城轨,智行远3.用户需求当前各一二线城市轨道交通已完成城轨云平台的建设工作,其他城市也纷纷进行城轨云的建设,城轨云建设通常会采用设备集中的方式,以提高设备的利用率和生产效率,这对数据中心机房的散热能力提出了较高的要求;另外随着城轨智能化发展,越来越多的领域和业务场景都需要较高的计算和处理能力,城轨行业客户也在不断探索和应用GPU等异构计算技术,导致城轨数据中心整体能耗不断上升,越来越多的客户都在探
272、索新的数据中心散热技术以发展绿色城轨建设。随着AIGC等人工智能、大数据技术浪潮的来袭,服务器设备算力与功耗持续增长,数据中心单位空间所产生的热量也随之提升。如上图所示,服务器CPU的TDP(热设计功耗)已经接近500W,而GPU功耗更是达到700W,在提供强大算力的同时也对散热造成了极大困扰,散热能力不足则意味着设备一来无法达到正常的运行状态、发挥最佳性能,二来会对设备稳定性造成极大影响,此外为保证散热效果,往往会降低机柜内的设备部署密度,从而对机柜和机房的空间造成极大浪费;换而言之,一旦能有效解决目前高能耗设备的散热瓶颈,就能充分释放算力,提升机房效率。液冷散热是利用液体介质的高换热系数、
273、大比热容,通过液体对流、换热,将电子器件产生的热量带走,从而降低器件的温度,防止高温条件下的电子器件失效或快速老化,让电子设备发挥出最佳性能。与风冷相比,液冷的优势明显,冷却效率更高,同体积的传热介质,冷却剂传递热量的速度是空气的数倍,冷却液传热次数更少,容量衰减更小,可更有效降低CPU、GPU等关键组件的运行温度及性能损失,因此液冷技术凭借其支持高功耗芯片、实现高密度部署、节约电费、减少碳排放等优势,成为新型数据中心建设的重要选择。中国城市轨道交通协会在2022年8月发布了中国城市轨道交通绿色城轨发展行动方案,方案提到以“绿色转型为主线,清洁能源为方向,节能降碳为重点,智慧赋能,创新驱动,开
274、展六大绿色城轨行动,实现碳达峰碳中和,建设绿色城轨”为总体思路,在建设绿色城轨过程中实现碳达峰碳中和,在实现碳达峰碳中和过程中建设绿色城轨,统筹铺画设计“1-6-6-1-N”的绿色城轨发展的“一张蓝图”;重点实施“绿色规划先行行动、节能降碳增效行动、出行占比提升行动、绿色能源替代行动、绿色装备制造行动、全面绿色转型行动”的六大绿色城轨行动;制定实施“提高思想站位、创新体制机制、压实各方责任、引导试点示范、多策并举发力、建立标准评价体系”的六项保障措施;精心打造一批绿色城轨示范工程,引导企业编制实施“N个企业绿色城轨发展实施方案”,确保如期实现碳达峰碳中和目标,建成绿色城轨。随着双碳战略的纵深推
275、进,各地城市轨道交通近期密集发布系列绿色低碳政策,进一步明确了数据中心的能效要求,推动数据中心绿色、高质量、加速发展。2.技术趋势二、液冷技术介绍液冷是一种用液体来冷却电子设备的散热技术。液冷的工作原理是以液体作为冷媒,利用液体的高热容和高热传导性能,通过液体流动将IT设备的内部元器件产生的热量传递到设备外,使IT设备的发热器件得到冷却,以保证IT设备在安全温度范围内运行。根据冷却液与发热器件的接触方式不同,可以分为间接液冷和直接液冷。间接液冷是指服务器热源与冷却液之间没有直接接触的换热过程,以冷板式液冷技术为主。直接液冷是指将发热部件与冷却液直接接触的冷却方式,包括浸没式和喷淋式液冷技术。其
276、中又可以根据冷却液是否会发生液态到气态的转变,将浸没式液冷分为单相浸没式液冷和双相浸没式液冷。当前,冷板式液冷和浸没式液冷为液冷的主要形式。液冷系统通用架构包括室外侧和室内侧两部分:室外侧包含冷却塔、一次侧管网、一次侧冷却液;室内侧包含CDU、液冷机柜、ICT设备、二次侧管网和二次侧冷却液。室外侧为外部冷源,通常为室外的冷水机组、冷却塔或干冷器,热量转移主要通过水温的升降实现;室内侧包括供液环路和服务器内部流道,主要通过冷却液温度的升降实现热量转移;两个部分通过CDU中的板式换热器发生间壁式换热。95第十四章 城轨数据中心液冷技术发展浅析第十四章 城轨数据中心液冷技术发展浅析96云城轨,智行远
277、1.冷板式液冷冷板式液冷属于间接液冷,冷却液不与服务器芯片直接接触。冷板式液冷也被称作芯片级液冷,技术原理是通过在服务器组件(如CPU、GPU等高发热部件)上安装液冷板(通常为铜铝等导热金属构成的封闭腔体),服务器组件通过导热部件将热量传导到液冷板上,然后利用液冷板内部的液体循环将热量传递到远离服务器的散热单元;同时一般会增设风冷单元为低发热元件进行散热。冷板式液冷系统主要由冷却塔、CDU、一次侧&二次侧液冷管路、冷却介质、液冷机柜组成;其中液冷机柜内包含液冷板、设备内液冷管路、流体连接器、分液器等。2.浸没式液冷浸没式液冷属于直接液冷,将发热器件浸没在冷却液中进行热交换,依靠冷却液流动循环带
278、走热量。浸没式液冷系统室外侧包含冷却塔、一次侧管网、一次侧冷却液;室内侧包含CDU、浸没腔体、IT设备、二次侧管网和二次侧冷却液。使用过程中IT设备完全浸没在二次侧冷却液中,因此二次侧循环冷却液需要采用不导电液体,如矿物油、硅油、氟化液等。浸没式液冷根据冷却液换热过程中是否发生相变,可以进一步分为单相浸没式液冷和双相浸没式液冷技术。3.喷淋式液冷喷淋式液冷属于直接液冷,将冷却液精准喷洒于电子设备器件进行散热。冷却液借助特制的喷淋板精准喷洒至发热器件或与之相连接的固体导热材料上,并与之进行热交换,吸热后的冷却液换热后将通过回液管、回液箱等集液装置进行收集并通过循环泵输送至CDU进行下一次制冷循环
279、。喷淋式液冷系统主要由冷却塔、CDU、一次侧&二次侧液冷管路、冷却介质和喷淋式液冷机柜组成;其中喷淋式液冷机柜通常包含管路系统、布液系统、喷淋模块、回液系统等。4.不同液冷技术对比2.1 单相浸没式液冷在单相浸没式液冷中,冷却液在热量传递过程中仅发生温度变化,而不存在相态转变。单相浸没式液冷的技术原理为:CDU循环泵驱动二次侧低温冷却液由浸没腔体底部进入,流经竖插在浸没腔体中的IT设备时带走发热器件热量;吸收热量升温后的二次侧冷却液由浸没腔体顶部出口流回CDU;通过CDU内部的板式换热器将吸收的热量传递给一次侧冷却液;吸热升温后的一次侧冷却液通过外部冷却装置(如冷却塔)将热量排放到大气环境中,
280、完成整个冷却过程。单相浸没液冷基本一致,主要差异在于二次侧冷却液仅在浸没腔体内部循环区域,浸没腔体内顶部为气态区、底部为液态区;IT设备完全浸没在低沸点的液态冷却液中,液态冷却液吸收设备热量后发生沸腾,汽化产生的高温气态冷却液因密度较小,会逐渐汇聚到浸没腔体顶部,与安装在顶部的冷凝器发生换热后冷凝为低温液态冷却液,随后在重力作用下回流至腔体底部,实现对IT设备的散热。2.2 双相浸没式液冷双相浸没式液冷的不同之处在于冷却液会发生相态转变。双相浸没式液冷的传热路径与冷板式液冷浸没式液冷喷淋式液冷双相浸没式单向浸没式原理冷板贴近服务器芯片等高发热元件,利用冷板中冷却液带走热量:同时增设风冷单元带走
281、低发热元件散热服务器完全浸没在冷却液中,冷却液发生相变气化并带走热量服务器完全浸没在冷却液中,冷却液循环流动并带走热量冷却液从服务器机箱顶部喷淋下来,通过对流换热为发热部件降温节能性(PUE)1.21.04-1.071.091.1 左右主要优势兼容性:可兼容现有硬件架构,改造成本低,灵活适用于旧机房改造和新建机房散热效果与节能性:冷却效果和节能性要远好于风冷可靠性:液体与设备不直接接触,可靠性更高维护性:系统易维护噪声:风机转速大幅降低散热效果与节能性:直接接触式的热交换,传热系数高,冷却效果与节能性更好紧凑:支持高密机柜;同时,机柜间无需隔开距离,机房不需要架空地板、无需安装冷热通道封闭设施
282、等可靠性:设备完全浸没在液体中,排除了温度灰坐等带来的可靠性问题噪声:100%液体冷却,无需配置风扇安装便捷,空间利用率高,设备静音,节省冷却液97第十四章 城轨数据中心液冷技术发展浅析第十四章 城轨数据中心液冷技术发展浅析98云城轨,智行远新华三全栈液冷解决方案组成通过冷板式液冷、浸没式液冷和喷淋式液冷三种技术的对比分析可以看到,目前冷板式液冷技术无论是从兼容性、可靠性、维护性以及落地成熟度来讲都是最适合城轨数据中心的,因此建议城轨数据中心优先采用冷板式液冷技术,并保持对浸没式液冷和喷淋式液冷技术的不断跟进,待技术成熟时再考虑这两种路线。冷板式液冷浸没式液冷喷淋式液冷双相浸没式单向浸没式局限
283、性液体没有与电子器件直接接触,而是通过金属管壁进行热交换,与直接接触的浸没式液冷相比冷却与节能效果欠佳IT设备、冷却液、管路、供配电等不统一,服务器多与机柜深耦合管路接头、密封件较多,漏液维护复杂兼容性差:IT设备需要定制,光模块、硬盘等部件兼容性仍待验证维护复杂:浸没式液冷设备维护时需要打开Tank上盖,并配备可移动机械吊臂或专业维护车实现设备的竖直插,维护复杂度高承重要求高:因浸没式液冷系统Tank内充满冷却液,整柜重量大幅增加,对机房有特殊承重要求国产冷媒待验证:单相浸没式液冷方案所使用的国产冷媒仍待验证节能效果差于浸没式液冷,且存在与浸没式液冷相同的局限性问题应用范围目前应用最为广泛适
284、用于对功率密度、节能性要求较高的大型数据中心不适合高密度服务器和超大规模数据中心,现阶段落地应用相对较少三、新华三液冷解决方案为了进一步降低数据中心PUE,提升算力效能,新华三集团推出了数据中心全栈液冷解决方案,从节流入手,提升数据中心运用效率,降低PUE,其中的关键之一就是降低冷却ICT设备的高能耗,推动液冷技术在数据中心的应用和部署。作为数字化解决方案领导者,新华三集团在液冷机房的设计上参与了多项行业标准规范编写,在板式液冷、浸没式液冷等方面进行了持续的投入和研发,推出涵盖多元异构算力服务器、交换机、核心路由器、液冷基础设施、运维管理的全栈式液冷解决方案,适用于云计算、HPC、智算中心、传
285、统数据中心改造等多种高功率密度数据中心的场景。1.新华三数据中心全生命周期服务能力新华三数据中心业务,在数据中心行业内享有盛誉,是国内最顶尖的数据中心专业服务厂2.新华三全栈式液冷基础设施解决方案能力商。服务涵盖数据中心咨询、设计、实施、验证、运维全生命周期,同时也提供项目管理、数字化转型BIM服务、ECC及数字展厅服务以及微模块数据中心解决方案等。过去的10年,新华三服务了近400个数据中心,建筑总面积超过300万平方米,也是业界唯一同时为BAT互联网巨头提供设计、管理及测试验证服务的厂商,也为四大国有银行、上交所、中债登、深交所等众多金融业主提供了专业的服务,其中就包括业内颇具样板效应的液
286、冷数据中心。IT需求分析迁移规划IT运维服务 规划立项咨询服务 IT及设施需求分析咨询 选址、等级规划咨询 数据中心概念设计咨询 数据中心评估咨询 最佳实践:全球800+数据中心案例,国内400+案例,互联网三巨头,三大国有银行,四大交易所信赖的合作伙伴 行业标准:参与国际国内多项标准和白皮书编写 业内唯一:为互联网三巨头都提供了设计和验证、项目管理等专业服务、国内最早最大规模液冷集群设计服务 绿色节能:最节能数据中心PUE1.1 安全可靠:国内第一个金融业Uptime T4认证 各专业工艺设计服务 节能降碳专项设计 设施改造扩容设计服务 LEED认证服务 UPTIME认证服务 工程实施服务
287、扩容改造实施服务 项目管理服务 造价支持服务 微模块产品 验证及集成测试服务 BMS自控厂验调试咨询 能效评估EEA2.0服务 数据中心验证3.0服务 数据中心数字化转型BIM 运维体系搭建培训 设施运维外包服务 运维流程评估与咨询 数据中心健康检查数据中心咨询规划立项设计阶段实施阶段运维阶段数据中心设计数据中心施工数据中心验证数据中心运维新华三数据中心全生命周期服务针对数据中心液冷方案组成的ICT设备、散热设施、液冷统一管理和配套服务,提供完整的方案覆盖和交付能力1液冷ICT设备2液冷配套设施3提供统一的智能液冷运维管理液冷统一管理4液冷基础设施配套服务包括服务器、交换机、路由器包括机柜、C
288、DU、Tank、液冷监控模块、Manifold等提供液冷数据中心咨询、设计、施工交付、验证、运维全周期服务能力液冷基础设施配套服务液冷机柜或Tank制冷机液冷统一管理平台342122机房内基础设施集中式CDU液冷机柜和分布式CDUICT设备ICT设备水冷塔99第十四章 城轨数据中心液冷技术发展浅析第十四章 城轨数据中心液冷技术发展浅析100云城轨,智行远四大集约化助力绿智城轨发展随着智慧城轨发展纲要和绿色城轨发展行动方案的相继发布,智慧城轨建设为绿色城轨提供强大创新动力,绿色城轨建设为智慧城轨提供更大发展空间。城轨绿色和智慧是一体之两翼、驱动之双轮,必须统一谋划、统一部署、统一推进、统一实施。
289、中国的城市轨道交通无论是从建设速度还是整体规模的发展都是处于世界前列的水平,新华三始终坚持行驶在智慧城轨的主干道上。城轨行业的发展从过去的自动化,到现在的数字化,以及即将完全迈进的智慧化和绿色化,都在昭示着“绿智融合”之下的城轨建设有着极大的发挥空间。经过近些年的建设和思考,我们发现:智慧城轨的发展开始向着“四大集约化”逐步迈进。这四大集约化涵盖了:基于技术架构搭建的云化IT平台,基于数据架构搭建的数字化运营平台,基于业务架构搭建的能力数字化平台和基于组织架构组建的轻量应用队伍,最后以上内容全部服务于上层的业务运营和后台运维。一、业务集约化每次谈到智慧城轨,大家都会联想到城轨数字化转型,转型的
290、核心是“重构”。城轨行业中重构的原因是什么?是业务系统的打通,是协同联动。那打通和协同联动的原因是什么?是城轨场景化的建设需求。因此可以得到一个严密的逻辑结论:数字化转型的前提是重构,重构的前提是业务系统打通,打通的前提是场景化的建设需求,而现在智慧城轨的落脚点必然聚焦到一个又一个待挖掘的智慧场景中。面向场景化的建设,最先要解决的就是要打通城轨业务系统之间的烟囱壁垒。目前有两类方式:一是城轨业务系统的厂家,如ISCS系统开发商倾向采用ESB服务总线来打通各个业务系统之间的通信路由。另一种就是做基础云平台的厂家,如新华三则选择了“多业务微服务共享平台”的路线。文/张一琛101第十四章 城轨数据中
291、心液冷技术发展浅析新华三全栈液冷解决方案包含完整的液冷数据中心设施及服务:由液冷服务器、交换机、路由器等产品所组成的液冷ICT基础设施。由液冷机柜或浸没式TANK、集中式或分布式CDU冷量分配单元、机柜监控模块、Manifold分集水器及快接头所组成的液冷配套设施;并同时支持冷板式、浸没式多制冷技术路线。基于设备、机柜、机房级别的统一运维管理。提供数据中心咨询、设计、施工交付、验证、运维全周期服务。结语据估算到2025年,中国数据中心液冷市场规模将达到359亿元左右,AI数据中心液冷市场规模将达到280亿元左右。城轨数据中心液冷虽然还处于起步阶段,但随着生成式人工智能横空出世,助推AI算力到达
292、一个新的景气度。受ChatGPT为代表的生成式人工智能大模型等新业态带动,全新的AI应用场景有望在未来3-5年爆发,城市轨道交通也势必会受到影响,积极探寻液冷技术在数据中心的落地将是每个大中型城市必须要关注的课题,新华三也将持续深耕全栈液冷解决方案,助力城轨客户数据中心全生命周期绿色降碳。第十五章 四大集约化助力绿智城轨发展102云城轨,智行远二、数据集约化城轨行业的数据集约化讲究“全连接”,从过去的数据仓库到现在的数据湖称呼,就能体现一二。业务层面要连接IoT各种业务系统的前端设备和物理模型,运维层面要连接各种ICT基础设施的指标度量。只要是地铁用户的资产,全都尝试用数字化呈现在数字大屏和数
293、字空间。当海量的城轨大数据源源不断涌来时,应对的最佳方案是“宜疏不宜堵”。数据集约化的最终目标不是封闭,而是开放,予取予求般地开放,开放是数据流通的最佳路径。正如新华三基于既有项目经验,打造出来的城轨行业通用套件,零编码一站式API开放平台,能够使得数据的提取、推送就像吃饭喝水一样简单。用户可以通过该平台完成数据的采集、存储、分析、应用等全流程管理,极大地降低了数据开发成本。随着城轨大数据平台的不断融汇贯通,可以预见数据集约化的成果会是一个“养成系”产物。大量地铁行车数据、时刻数据、客流数据、巡检数据等,就是养料,训练规矩则是特定智慧场景的算法模型。无规矩不成方圆,如果没有算法模型点石成金的辅
294、助,就不能将数据价值真正变现为业务价值,就更谈不上用数据指导决策了。当下全球掀起了AIGC技术大潮,恰逢其时地成为带动智慧城轨跨越“算法沟壑”的大杀器。新华三坚持相信,未来“大模型”三、平台集约化随着城轨云建设的推进,各城市云平台建设格局已基本形成。在后续的城轨云基础设施建设中,逐步放缓,用户关注点也从建设转向运营和运维。未来,城轨用户将更加关注如何形成具有行业特色的统一云管理、服务和运维门户。综合运管平台是平台集约化的集大成者,妥妥的城轨云服务的百宝箱。如果说2017年是城轨云IaaS的起步点,那么2023年的综合运管平台的大规模推广就表明开始进入到IaaS的收尾阶段。综合运管平台具有统一云
295、门户、统一云服务、统一云运营、统一云认证,统一云运维的五大功能,横向拉通云、数、网、安、运维等工作,兼容异构资源池,纳管各城市建设的主中心、备中心、站段云节点、大数据平台、测试平台。综合运管平台还能将物理机房动环信息纳入管理范围,实现对城轨数据中心的全量监管,为绿色数据中心建设打下坚实基础。2022年2月,随着“东数西算”工程全面启动,该工程被业界认为是一项开启算力经济时代的世纪工程,这意味着持续优化数据中心能源使用效率、提高算力基础设施的有效利用率,让用户以更低的价格获得更大的算力,成为未来的数据中心的方向。绿色城轨发展行动方案中也强调提出要推进城轨数据中心集约化、高密化,促进新建数据中心全
296、部达到绿色数据中心要求。竞争的制高点一定在“私域”数据,城轨大模型的制高点一定在场景创新和场景服务。为此,新华三将为垂直行业和专属地域的客户,提供端到端的全栈ICT能力,提供安全、订制、独享、生长的智能化服务,将充分发掘城轨大数据平台潜在的业务价值。当城轨数据的价值要在双碳战略背景下展现出来时,新华三认为城轨要实现降碳节能目标有四个发力点:源、探、管、服。源,即绿色能源的采用,绿电消纳,自发自用;探,即观碳,算碳,摸清城轨行业碳排放的家底,碳足迹,对轨道交通进行碳排放核算,实现双碳数字化。管,即能源管理和优化,依托城轨行业的历史大数据来建设综合能耗管理系统,一体化节能减排。服,即碳服务,为用户
297、提供碳数据的处理和咨询服务,落实双碳路径规划,为碳服务碳交易提供碳排放数据资产服务。通过对城轨行业的能源消耗、碳排放、生产、减排、配额等海量数据的汇聚管理和分析,赋能碳排放核算、碳资产盘点、碳配额预估,推动减排潜力挖掘,降低履约成本,制定交易方案,打通碳资产管理和交易中心,为碳中和的达成提供强大服务支撑。第一种方式本质上是SOA架构,由于场景化的全局业务通信压力都集中在服务总线,一旦总线故障那么全盘停机。而且场景化的各业务和数据分隔在不同的烟囱中,对于城轨业务的持续发展和沉淀没有任何帮助。第二种方式本质是采用微服务架构来搭建业务系统、数据可共享的平台,实现多业务互联打通,沉淀业务服务模块,推动
298、快速开发更新迭代,避免重复造轮子,最终实现跨场景跨业务的开放共享。基于上述原因,SOA架构也已逐步被微服务架构取代。这里将新华三在全国落地的几个采用业务微服务架构的城市案例罗列出来:北京AFC改造、太原ITP-ACC重构、南京能效管理系统和深圳能源管理系统的微服务部署。当前以上各城市仅仅向着“微服务资源沉淀,多业务系统联动共享”迈出了第一步。如果我们将各个城市名称隐藏掉,当成是一个城市的建设成果,就会发现一旦微服务化业务形成规模,必然就会出现“共享业务服务,共享数据服务”的特性。业务集约化的建设过程,就好像背后有一只隐形的手推动着我们站在前人的肩膀上,复用既有业务服务资源,做厚共享平台,创新场
299、景应用,实现快速的新业务新方案的创新。103第十五章 四大集约化助力绿智城轨发展第十五章 四大集约化助力绿智城轨发展104云城轨,智行远四、组织集约化当业务、数据、平台集约化之后,匹配的必然是组织集约化。为了将业务与IT深入融合,将云平台与上层业务深度整合,城轨用户必然需要一个多兵种多功能的团队才能掌控全局,这样的团队应该包括业务人员、IT人员、数据人员、产品人员等角色。经常有城轨用户问到:云平台建设后,云平台的运维技术人员是统一安排在一个部门合适,还是分别部署在各个业务部门合适?当地铁场景化建设的需求不断铺展开来,云、数、微服务、物联等平台与业务系统再难解难分时,全能型的组织就要求既懂业务又
300、懂技术,只有这样才能盘活完整的“城轨云业务”系统,才能真正推动智慧城轨的快速迭代发展。城轨行业的四大集约化建设路径将会长期伴随着“绿智融合”的推进和开展,从技术架构、数据架构、业务架构以及管理架构上全面深入改造升级,让智慧城轨找到合适的场景,找到合适的技术平台,从而走出真正的数字化转型之路。为了降低城轨数据中心的PUE值,使之能够满足新型数据中心发展三年行动计划要求:“2023年底新建大型及以上数据中心PUE降低到1.3以下,严寒和寒冷地区力争降低到1.25以下”,最佳的方式就是液冷数据中心给机房设备洗个冷水澡。如果以IT负载6000kw数据中心为例,沉浸式液冷方案比风冷方案的PUE值降低约0
301、.62,全年碳排放减少4005吨,年运营电费节省2073万元。微模块化机房则进一步扩展机房“乐高积木式”模块化的思想,比如配电模块化、制冷模块化、全预制数据中心模块化等,可以实现快速部署、弹性扩容、运维简单,极大缩短设备从进场、安装、调试到最终运行交付时间周期。同时配合液冷服务器、液冷交换机等液冷全套方案,能够实现更高的能效水平,和更低的PUE值。为了给服务器降温,传统数据中心仍采用老实本分的堆料模式,但是大量精密空调机组的使用导致高耗能,高PUE,不符合当前社会“双碳”数据中心建设要求。因此,城轨数据中心的打造要从“人工硬冷”进化到“AI智冷”。“AI智冷”数据中心采用预制化、模块化建设,将
302、AI技术应用于数据中心,通过大数据建立神经网络模型,深度自适应逻辑控制,建立能耗与IT负载、气候条件、设备运行数量等机器学习模型,准确推理和配置出数据中心最优控制逻辑,实时调节参数,让数据中心的PUE再降一个台阶。智慧高速如何“智慧”?基于SRv6的高速公路“自动驾驶”网络 IPRAN2.0在高速公路路段接入网的应用探讨 新华三IPRAN2.0让武汉绕城高速通信网“随需而变”依托站级云化智能底座推进收费站标准化高速公路收费系统安全能力提升的思考关于高速行业如何用好AIGC的思考 零碳智慧服务区建设方案 对公路基础设施全生命周期管理的思考 数字化路网事件管理系统建设思路第16章第17章第18章第
303、19章第20章第21章第22章第23章第24章第25章3514915402云协路网,智行未来106105第十五章 四大集约化助力绿智城轨发展云城轨,智行远智慧高速如何“智慧”?文/王泽宁一、智慧高速概述高速公路本身是一个民生工程,体量非常大,高速公路建设面临诸多痛点,通行效率、收费效率及准确率、路网安全等都是建设高速公路所必须关注的问题。普通高速公路领域的在用系统大概有几十个业务系统。如果总试图升级这些系统去变革面向管理者的建、养、管、运、服的全业务链,就还谈不上智慧高速,只能算是高速信息化。我们对于智慧高速的内涵理解如下:首先,智慧高速的核心本质是
304、在“智慧”一词上,应该具备像人一样感知、思考、理解、分析、执行、反馈的能力;其次,智慧高速的核心任务是保障人、车、路、环境、信息等多个要素之间高度协同运行,使得智慧高速系统整体运行效益最高;再次,智慧高速的核心目标是提质增效,也就是让高速公路更加安全、高效、便捷、绿色;最后,智慧高速庞杂的硬件设备和软件平台,应当有一套完善的运维管理系统作为支撑,保障核心系统的不间断运行。二、智慧高速发展历程一般认为智慧高速将经历三个发展阶段:智慧高速1.0(信息化):本阶段以高速公路传统应用和基础设施的数字化改造为主,逐渐用信息系统代替人工操作,减少人为失误。丰富路网感知手段,智能获取路网及路面状态,形成多维
305、路网监测体系,同时服务于应急指挥及信息服务,提升服务体验。在顶层设计方面,初步形成智慧高速建设共识,逐步明确行动计划。智慧高速2.0(智能化):本阶段致力于为高速公路的相关方提供差异化、智能化服务。通过多维感知体系,结合AI智能分析,精准掌控路网状态,实时、高效应急处置;结合ETC(或北斗)等技术手段,实现快速精准收费;优化服务区产业,打造服务区+旅游、服务区+枢纽等主题服务区,提供精准个性的定制化服务;初步探索自动驾驶、车路协同等前沿方向,在建设模式、运营模式方面形成经验积累。三、智慧高速建设模式高速公路ITS系统的发展经历了很多年,近些年也涌现出了很多智慧高速的项目建设,然而到目前为止,对
306、于“智慧高速”的专业的名词解释,基本很难去定义。务实的讲,受限于一次性投入的投资规模、项目建设时业界的技术水平等原因,并没有出现管理体制、运营模式等方面革命性的变化。通过调研现有的智慧高速试点项目,我们发现大部分项目是选取了某一个或某几个方向进行深入的探索,如精准养护、基础设施数字化等等。然而,智慧高速的建设存在着非常明显的木桶效应,这与高速公路本身的服务属性有关,服务是全方位的。比如养护系统很先进,能够长期保证一个良好的路面运行情况,但是服务区的服务体验不良,应急处置不太及时,对于高速公路的使用者来说,仍旧不是一条“智慧高速”。因此,“智慧高速”不能仅仅作为一个项目去建设,而应是一整套的建设
307、体系和顶层规划。近年来智慧高速的发展呈现出由“全面智慧”向“经济实用”转变的趋势。行业认识到智慧类建设应当适度超前,由大而全的智慧公路向能够解决实际问题的小智慧场景转变。智慧高速3.0(自动化):本阶段将基本形成智慧化、无人化的营运体系。自动驾驶实现全天候、全路段普及,大幅提升交通运输效率,实现“四零”目标,即:零拥堵、零死亡、零管制、零排放。有别于智能制造的发展历程(信息化-自动化-智能化),智慧高速的发展历程有着高速公路行业独有的特点。2019年的“撤站”,深化了高速公路收费联网体系,重构了高速公路的收费逻辑,夯实了全网自由流收费的基础,配合收费稽查、在线计费等系统,基本实现了精准计费;2
308、020年的全国高速公路视频云联网,构建了一套庞大的在线视频共享体系,通过AI在线分析,及时发现路网运行事件,为应急指挥、运营管控提供了强有力的数据支撑;自2017年以来,在北京、江苏、浙江、上海等地开展了大规模的车联网示范区和先导区的建设,自动驾驶的产业结构基本形成,商业运营模式也开始进入探索阶段,为自动驾驶的推广创造了基本的发展条件。因此,我国目前正处在智慧高速发展2.0-3.0的阶段。但信息化、智能化、自动化三个阶段并不完全是依次演进的过程,而是呈现出融合发展、协同发展的态势。信息化是智能化、自动化的支撑,不同程度的信息化水平,支撑不同程度的智能化和自动化。第十六章 智慧高速如何“智慧”?
309、第十六章 智慧高速如何“智慧”?108107云协路网,智行未来四、智慧高速整体建设思路为更好的应对未来发展形势,我们提出统筹规划、因地制宜、适度超前、经济实用的发展建设思路。统筹规划:统筹布局做好建设方向、空间布局、建设时序规划,近期应关注成熟技术的规模化、网络化应用,远期应跟踪前沿科技布置试点研究,并做好对接和预留。因地制宜:结合特定区域、特定阶段、特定需求来开展高速公路智慧化建设。要针对不同高速公路的痛点问题给出有针对性的解决方案,实现“一路一策”,甚至“一路多策”。适度超前:智慧高速建设应基于现状,适度超前布局,在技术、数据架构上适度超前布局,为未来做好技术预留。经济实用:优先考虑解决实
310、际问题和发展需要,着眼于效益提升,优先建设标准化收费站、车道级管控、在线计费、自动化运维、智能化养护、主动安全防护等能带来核心价值的业务应用,再考虑其他扩展场景的智慧化建设。基于此思路,构建智慧高速的整体架构,分为以下几个层级:泛物联感知层:物联感知是智慧高速系统的神经末梢,如“撤站”新建的ETC门架(RSU、视频感知终端等)、视频云联网新建或改造的监控终端等,服务区也是高速感知系统中的重要数据开源之一。此外,对于桥梁、隧道,甚至是易损坏、车流量大的普通路段,可能部署有压力传感器、形变传感器等。随着北斗3号组网成功,促进卫星定位、导航、授时服务功能的应用,技术自主创新,配合差分定位,在一些高精
311、度位移测量的场景,如边坡监测、桥梁监测方面也已有小规模应用。物联感知获取数据的准确性、全面性,将直接影响智慧高速系统可用性、实用性。数字基础设施层:分为两个板块,ICT基础设施和智慧传输。ICT基础设施即计算、存储等硬件承载平台,它是所有信息系统的基础。智慧传输即有线传输+以5G为代表的无线通信技术,新华三率先在高速行业提出IPRAN2.0技术路线,借助设备层实现电层和光层的融合,在控制层、转发层、光层实现突破,通过“IPv6+光”的扁平化架构大幅简化网络,提升多层网络控制、算路、维护的统一,进一步提升通信网络的服务能力。数据中台层:分为三部分,智慧高速云、智慧高速数字孪生、业务能力平台。反应
312、在建设及改造需求上,则有以下几个主要的转变:第一,传统系统升级的需求迫切。拿收费系统举例,从2020年5月后联网收费稳定运行,路网运行更通畅、人民出行更便捷、为促进物流降本增效、服务构建新发展格局奠定了坚实基础。然而对标全国高速公路“一张网运行、一体化服务”新形势的要求,现有收费系统在计费准确性、业务规范化程度、系统标准化程度等方面,还有很大的提升空间。放在监控系统里也是一样,距离“可控、可服务”的目标,还有一段路要走。第二,更加追求发挥现有数据的价值,而不是新建大量的感知手段。全国目前2.7万个门架、20余万路视频感知终端,还有很多物联传感器,高速公路的数据保有量至少是以10PB为单位计量的
313、,这些数据如何进行标准化、如何保障数据共享及数据安全,是当前需要解决的迫切问题之一。第三,服务方式从“有服务”向“好服务”转变。“好服务”的含义分为两个层面,一是向出行者提供更好的服务,如强化服务区的服务能力,通过普及率已经超过70%的ETC技术向车主提供更多的信息服务等;二是向路段公司提供更好的服务,充分发挥数据的主观能动性,为路段公司在路网运营、应急指挥等方面提供更好的决策支撑。第四,适度的智慧,由大而全的智慧公路向能够解决实际问题的小智慧场景转变,更加关注新技术与旧场景的结合,解决生产过程中的实际问题。第十六章 智慧高速如何“智慧”?第十六章 智慧高速如何“智慧”?路网运行监测预警视频云
314、联网统一运维系统三维可视化养护养护流程监管系统可预测养护收费系统优化零碳服务区桥隧综合管控高速综合服务系统情报展示系统评价反馈系统车路协同系统视频AI分析GIS+BIM建设管理工程建设监管系统工程建设归档系统主 动 安 全 体 系ETC门架系统室外机柜网络安全视频终端门架计费RSU/控制器高速监控外场视频终端气象检测车辆检测可变信息标志桥/隧外场桥梁健康监测隧道健康监测隧道照明风机控制高速公路服务区停车管理无线覆盖服务区物业能耗监控高速配电系统配电箱电源发生器电缆备用电源泛物联感知收费专网监控专网通信专网数字基础设施公众服务大屏监测运维管理领导驾驶舱可变情报板建管养运服新第三方数据交换智慧传输
315、/5G业务能力平台智慧应用展示呈现统 一 运 维 体 系P数字中台服务数据引擎AI服务IoT服务业务中台服务开发服务VDI服务安全服务视频图像解析视频图像大数据视频联网共享平台视频图像算法仓智能计算存储智能网络智能边缘智能终端智慧高速数据中台以泛物联感知为触手,以数字基础设施为支撑,以业务能力中台为核心,以路网承载力倍增和全天候通行为目的,实现资产数据化、数据资产化,驱动高速公路“建”、“管”、“养”、“运”、“服”、“新”协同发展。110109云协路网,智行未来智慧高速云是数据中台的底层支撑,但过分强调云平台本身的技术路线、私有公有其实毫无意义,应当关注云带来的技术便利:如云平台能够兼容异构
316、IT设备,考虑到高速公路分路段建设的模式,异构兼容能够大大提升设备折旧率,有效保护投资;如GPU资源池化,视频云联网之后,大量的视频数据需要通过AI分析才能发挥其最大价值。智慧高速数字孪生平台由静态孪生和动态孪生组成。静态孪生是指通过搭建高速公路核心业务数据中台,融合原来的资产管理相关的业务管理系统前台与其数据后台,形成全生命周期的全资产管理体系、标准与管理信息平台,建立公路资产“0”号台账,提供资产保值、增值的大数据支持,为企业的管理提供决策支持;动态孪生是指对公路建设、运营的过程进行建模仿真,从而提供除静态孪生(BIM等)外的动态信息(结构安全、路面状况、运行状况等)。利用全生命周期管理,
317、基于BIM+GIS全生命周期管控系统,采用云计算、人工智能物联网(AIoT)、结构健康预测、数字认证等技术实现基础设施动态管理网络化。业务能力平台为上层应用提供必要的数据库、中间件、算法引擎等Paas服务。智慧应用层:在建、管、养、运、服、新六个方面展开。建设板块主要围绕项目建设流程、进度、归档、资产移交等方面,强调的是工程全流程监控及呈现;管理板块以路网运行监测、入口治超为主;养护板块包含养护流程监管、基础设施健康监测、可预测养护等;运营板块主要聚焦服务区运营,服务区作为除高速通行费第二大收入来源,是运营板块的重要组成部分;服务板块主要是指公众服务系统、紧急报障系统等;新业态板块以车路协同为
318、主进行探索。主动安全体系,保证业务系统安全合规,统一运维体系,采用自动化运维手段,降低运维工作对人员、财力的开销。智慧+建设:围绕建设工程项目管理的核心业务,融合项目管理各应用系统模块采集和生产的数据进行数据挖掘分析,实现多层级、多维度的项目数据可视化展现,让项目管理者、施工方能够及时掌握项目动态,为管理决策提供科学支持。智慧+管理:以路网数字化、交通全要素感知为基础,实现路网事件全生命周期管理,通过AI视觉,实现交通事件的自动发现,在应急处置过程中,涉及到数据的跨部门共享,将由数据中台作为底层支撑;此外,构建一套统一的高速公路统一运维平台,实现巡检自动化、配置合规自动化、维护操作自动化、安装
319、部署自动化、配置手机自动化等能力,提供移动APP端,与运维工单系统联动,实现移动巡检,加强高速公路机电系统管理水平。智慧+养护:在线监测与维修一体化:在线监测,健康状态评估,建立在线监测与维修桥梁关系,实现在线监测与维修一体化。故障诊断与维修方法一体化:构建故障诊断模型,基于日志分析系统,生成维修对策,建立故障与维修方法的关系,实现故障诊断与维修方法一体化;运维评估一体化,运维工作成果由运营监测指标体系的回升作为评判依据。智慧+运营:智慧服务区、智慧商业管理系统:采用分级管理模式,服务区内商超拥有自主经营权,同时向集团上报每日经营情况,集团可以根据全省及该区域的商品销售趋势,指导各服务区优化商
320、品销售策略,达到增值创收的效果。同时可以结合ETC支付的方式,实现无现金支付,做到人、车、物三合一。智慧能耗管理系统:构建源-探-管-服的零碳服务区体系架构,通过智能水表、智能电表等终端,实时监控服务区能耗情况,做到无人低耗、无车低耗;部署智能照明系统,做到无人弱光、无车弱光,大大降低服务区的能耗开销。智慧+服务:基于云统一服务门户,整合路网监测系统、应急指挥系统、交通事件查询系统等,提供准确、实时的交通信息查询服务。智慧+新场景:私域大模型,探索AIGC与行业场景的融合,在智能客服、绿通查验、应急指挥等场景,充分发挥NLP、CV、跨模态大模型的能力,助力传统业务数字化变革。车路协同采用先进云
321、边协同架构,保障算力基础设施的高可靠性,探索V2X通信全流程的安全防护体系。结语因此,建设统一平台、应用新技术、融合全数据成为智慧高速建设的关键。在这样的理解下,新华三为高速公路行业量身定制了智慧高速解决方案,助力用户构建“高速公路数字大脑”,通过建设一张实现业务灵活调度的融合承载网络、一套具备全栈能力的云与智能平台、一套集成资产管理的主动安全防护体系、一个深入业务应用的统一运维平台,构筑智慧高速建设的基石,同时广泛与合作伙伴深度融合创新,共享资源,共建智慧高速。第十六章 智慧高速如何“智慧”?第十六章 智慧高速如何“智慧”?112111云协路网,智行未来基于SRv6的高速公路“自动驾驶”网络
322、文/李洋龙自动驾驶已成为行业近十年来热议话题,在自动驾驶技术实现路径上,国家大力支持车路协同方案,指出车路协同是未来智慧高速的重要发展方向。目前多地都建设了智能网联先行先试示范区,推动车端、路端、云端应用布局不断得到完善,产业链也愈加成熟。随着测试场景从封闭走向开放、从单一走向多元化,车路云之间的智能信息交换共享对高速公路通信网络也提出了新的需求。第一,能够为海量的智能终端提供足够多的IP地址,随时随地发起连接;第二,能够为不同场景业务灵活提供差异化的网络质量保障;第三,车路协同系统中,车端设备关注的是数据是否可信、可靠,信息量是否充足,必须统筹考虑终端安全,通信安全;第四,需要一种智能的网络
323、管控机制,实现基于业务意图的算网融合,使数据在网络中实现“自动驾驶”,赋能车路协同到端边云协同的发展。一、传统网络不足以支撑车路协同全面建设在现有车路协同项目中,通信网络通常采用以太环网建设方案,在这种传统网络的建设思维中,经常通过考量带宽、延迟、丢包率三个指标,来不断的对网络升级改造。而车路协同的需求指出,连接和计算才是整个系统的基石,传统网络不具弹性的结构,“尽力而为”的服务模型已无法再满足未来车路协同逐步走向规模化与市场化过程中对网络海量的、随时随地可能发起的数据连接的要求,而且其使用的IPv4协议在寻址方式、对应用的保障能力及数据安全性上也存在着缺陷。1.寻址方式首先IPv4的私有地址
324、空间很难满足车路协同大规模建设对网络地址的庞大需求,同时,IPv4在设计之初并没有充分考虑到节点移动性带来的路由问题,可能导致车路协同场景下车辆等节点移动时上层应用无法与移动后的车辆通信,而MIPv4(移动IPv4)虽然可以解决这一问题,但其实现机制只支持少量节点移动,当大量车端在不同网络间切换时会导致网络资源迅速被耗尽,影响整网通信。第十七章 基于SRv6的高速公路“自动驾驶”网络第十七章 基于SRv6的高速公路“自动驾驶”网络二、基于IPv6的解决方案IPv6是v6版本的IP协议,拥有128比特的网络地址空间,这个空间约有340万亿亿亿亿个,可以满足未来全国超大规模的车路协同建设所需的海量
325、IP地址,让更多的车辆和设备能够互相通信,同时,它解决了上述传统IPv4网络中的一系列问题。2.质量保证网络的质量直接影响服务质量,是任何应用技术发展过程中必须解决的问题。目前网络中通过QoS来实现质量保证,例如可使用资源预留协议或是采用差分服务技术。这些技术从一定程度上解决了敏感业务对丢包、时延、抖动的需求,但这些方法往往是基于网络侧指标的考量,并没有从应用侧的实际需求出发,而车路协同场景中的服务质量往往需要感知侧和上层应用紧密结合。3.安全性在车路协同建设中,制造成本决定了很多终端感知设备都是基于简单的硬件,不具备处理复杂应用层加密算法的能力。因此,靠传统的应用层加密技术很难满足终端侧数据
326、在网络传输过程中的数据加密需求,数据存在被篡改、替换、重放的风险,成为影响交通安全的潜在因素。1.IPv6对移动性的支持IPv6在设计时充分考虑了对终端节点移动性的支持,解决了MIPv4(移动IPv4)模式下网络的三角路由问题。首先,IPv4为了支持移动性所做的路由优化,在移动IPv6中是个内建的协议基础部分。其次,IPv6邻居发现使用的是ND(Neighbor Discovery,邻居发现),而不是移动IPv4使用的ARP(地址解析协议),由于不需要考虑ARP中的数据链路层,因此它增强了协议的健壮性并且简化了基于移动IP的应用。另外移动IPv6采用的动态宿主代理发现机制,使其更加高效和可靠。
327、因此如果想真正实现终端对移动性的支持,IPv6是必然的选择。2.IPv6的服务质量与IPv4相同的是,在IPv6的数据包结构中有8比特字段用来对报文的业务类别进行标识,114113云协路网,智行未来图1 SRv6数据包结构三、SRv6 Policy:让数据在高速公路网络中“自动驾驶”除了车路协同等新兴业务,高速公路通信网络还承载了包括收费、视频监控、图像、语音等多种传统业务,随着这些业务走向全面数字化和智慧化,其对网络的需求不再仅是作为底层的传输通道,而是要求网络连接数量可以无限扩展,同时尽量减少其他与业务相关的限制,实现任意发展业务,即在可以满足基本通信连接的需求下,网络能主动“适应”业务流
328、量,做到网络随应用需求而变。SRv6是当下最热门的Segment Routing和IPv6两种技术结合体,为了在IPv6网络中实现SRv6转发,引入了SRH(SRv6扩展头)。如图1所示,通过在数据包中插入Segment指令(SID)来表达网络功能,这种指令可以理解为用户意图(SLA、服务链),包含寻址和行为的信息。一个数据包中可以插入一系列Segment指令组合形成SRv6路径,在网络源节点基于这些指令就可实现整网转发路径的预先定义,从而达到中间节点无状态的智能选路目的。另外,SRH中的每个Segment可以灵活分段,每段长度也可以变化,Segment序列后的可选TLV字段(Type(类型)
329、,Length(长度),Value(值)支持封装一些非规则信息,通过这三层的编程空间,使SRv6具备了强大的编程能力,可以更好地满足不同业务对网络路径的质量需求。在传统的高速公路网络运营中,通常为了保证收费等关键业务的网络质量,使其获得了过高的服务造成网络资源浪费,而未来的网络模型应当是由业务端发起,并由应用的具体需求来定义的连接。因此,我们需要让网络能够实现从传统的静态策略到动态策略的智能感知和自主优化的进阶,实现业务数据在高速公路网络中“自动驾驶”,保障上层业务的极致体验。在“自动驾驶”网络中,我们可以通过引入融合管、控、析一体的智能控制平台,统一整合全网资源、多维观测网络状态、智能分析运
330、行数据,帮助网络管理者全方位理解业务意图,并将业务模型转换成网络模型,自动编排为Segment列表下发给网络设备,实现网络的自动、自愈、自优、自治(如图2所示)。例如当新建高速公路需要开通网络时,只需将设备安装到位连线加电,完成基本的Internet连通性配置后控制器会自动收集全网拓扑并推送最佳组网部署方案,减少施工周期和成本;当遇到节假日出行高峰时,控制平台可根据各场景应用的SLA等级,灵活定制调度策略,合理利用带宽资源优化链路质量,分级保障业务体验;当本地主机故障需要调度其它站点算力资源时,控制平台可通过建立跨广域的大二层连接,满足云主机的灵活迁移需求,实现应用与物理位置的解耦;当日常运维
331、时,可通过流量预测及仿真,辅助运维进行网络优化设计,也可自动进行故障预测,评估链路或设备故障对网络的影响;当故障发生时,可在告警的基础上进一歩根据内置的专家系统库,获取设备的状态及配置信息,得出故障的根本原因并联动进行故障恢复。基于此,由应用驱动的数据流可跨越传统网络边界,在动态调整的网络中实现“自动驾驶”。3.IPv6的安全性IPv6将IPSec协议嵌入到了协议栈中,路侧和云端的通信可以启用IPSec加密数据信息,这样即使外部攻击者通过中间人方式对通信过程进行了劫持获取了数据包,也无法进行解码获取通信节点内容。同时,IPv6地址的分段设计将用户信息与网络信息进行了分离,使用户在网络中很容易被
332、定位,保证了可以对攻击行为进行实时监控,提升了整网监控能力。4.IPv6的扩展性IPv6的报头由一个基本包头和多个扩展包头构成,扩展包头理论上可以任意扩展,使其具备了IPv4无法比拟的可扩展性,通过修改和定义扩展包头,IPv6可以实现对多种应用的灵活支持,同时又为未来支持新的应用提供了可能。目前基于IPv6扩展包头设计的IPv6+中的一系列技术已广泛应用于智能广域网,包括SRv6、IFIT和以网络分析、自动调优等网络智能化为代表的技术创新。另外IPv6有20比特的流标签字段用来对属于同一业务流的包做标识。这样对于具有相同流标签的同一数据流,网络就可以进行做快速相同的处理。IPv6可以只在必要的
333、时候才对数据包携带标签,即只有节点在发送重要数据时,动态的提高应用服务质量,从而做到对服务质量的精细化控制。第十七章 基于SRv6的高速公路“自动驾驶”网络第十七章 基于SRv6的高速公路“自动驾驶”网络128bitsIPHeaderPayload128bits128bits128bitsIPv6 SRHLocatorSIDFunction代表着任意功能,可以是L2VPN/L3VPN或者其他服务和应用路由到执行Function的节点Function(ARG)116115云协路网,智行未来图2 自动驾驶网络架构结语随着SRv6技术和标准的不断成熟,SRv6跨域组大型网络、易于增量部署升级、快速业务开通的优势得到了充分体现。SRv6基于IPv6转发,完全兼容现有IPv6网络,其基于IP可达性可以让不同的网络域间更容易的连接,为未来基于人车路互联的智慧高速的发展带来更多增值可能。同时在大规模网络