基于通信的列车运行控制(CBTC)系统通过车地双向数据通信对列车进行控制和监督,提高了列车的安全性和运输效率。基于IEEE 802.11标准的无线局域网(WLAN)以其安装便捷、使用灵活、经济节约、易于扩展等优点,成为CBTC系统中应用最广泛的车地通信方式。同时,无线局域网固有的安全问题也引入了CBTC系统。因此,必须采取相关措施来提高基于IEEE 802.11标准的CBTC系统中数据通信的安全性。论文首先对CBTC系统中数据通信网络的安全体系及其漏洞进行了详细的分析,提出了采用IPSec机制来提高CBTC系统中数据通信的安全。其次,对IPSec体系中安全关联(SA)、安全协议(认证头AH和封装安全载荷ESP)、相关数据库(安全策略数据库SPD和安全关联数据库SAD)以及密钥交换(IKE)协议作了深入的阐述,同时根据CBTC系统的特点,提出了CBTC系统中IPSec机制的设计方案:在车载系统和地面系统之间采用隧道模式的ESP来提供安全保护,而在地面各个系统之间采用传输模式的AH或ESP来提供安全保护,并详细的说明了数据包处理流程和密钥交换流程。最后,把高级加密标准(AES)引入CBTC系统的IPSec机制中,用来实现IPSec中的加密和认证算法。高级加密标准(AES)是一个对称分组密码算法,将用来取代数据加密标准(DES),从而成为广泛使用的新型数据加密标准。它设计简单、需要的内存空间少、在所有平台上运行良好而且可以有效抵抗目前已知的所有攻击,因此,在IPSec机制中采用高级加密标准(AES)实现加密和认证算法是一种趋势。文中采用了FPGA来完成AES算法的设计,对整体方案和各个模块进行了详细的描述和仿真分析,并对实际电路板进行了测试分析,验证了设计方案的正确性。IPSec机制能为通信网络中IP数据包提供访问控制、完整性检测、身份认证、数据加密和抗重放攻击等安全服务,整体上提高了数据通信的安全,而且其开发周期短、成本低、易于扩展。因此,在CBTC系统中采用IPSec机制来提高的数据通信安全是一个很好的选择。