CN102790759A - 一种基于电力系统专用网闸的网络服务过滤方法 - Google Patents
一种基于电力系统专用网闸的网络服务过滤方法 Download PDFInfo
- Publication number
- CN102790759A CN102790759A CN201110402845XA CN201110402845A CN102790759A CN 102790759 A CN102790759 A CN 102790759A CN 201110402845X A CN201110402845X A CN 201110402845XA CN 201110402845 A CN201110402845 A CN 201110402845A CN 102790759 A CN102790759 A CN 102790759A
- Authority
- CN
- China
- Prior art keywords
- interface
- web service
- module
- soap
- network service
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Computer And Data Communications (AREA)
Abstract
本发明公开了一种基于应用网闸的网络服务过滤方法,过滤方法包括规则生成模块和网络服务过滤模块。规则生成模块包括WSDL解析器以及规则生成模块。网络服务过滤模块包括http调度器、soap解析器、接口匹配器和接口贮存器。本发明满足电力系统专用网闸关于网络服务接口调用的安全可靠性要求,以达到高强度、细粒度的安全、可信的接口调用。
Description
技术领域
本发明涉及一种基于电力系统专用网闸的Web Service过滤方法,属于电力系统信息安全领域。
背景技术
由于目前的防火墙、UTM等防护系统都不能保护保证攻击的一定阻断,入侵检测和入侵防御系统也不能保证入侵行为的完全捕获,电力系统安全防护方案采用以物理隔离的方式隔离内外网的业务连接,实现协议落地、数据交换的目的。采用网闸技术之后,不同安全级别的网络之间的TCP/IP通讯被完全终止,无法进行传统的SOAP over HTTP的Web Service调用。
目前, Web Service服务通过代理发布到物理隔离的不同网络之上使得客户端穿越网闸执行Web Service服务调用成为可能,这虽然解决了物理隔离环境下的Web Service集成,但对基于Web Service的接口调用无法进行细粒度的访问控制机制,以达到高强度、细粒度的安全、可信的接口调用。
发明内容
针对现有技术的不足,本发明所要解决的技术问题是,提供基于电力系统专用网闸的Web Service过滤方法, 通过解析WSDL文件将Web Service接口调用的接口信息规则化,保证Web Service接口调用的可控性,从而有效保证物理隔离环境下WebService客户端和服务端通讯的安全性。
为达到上述目的,本发明的技术方案具体实现方法如下:
一种基于应用网闸的Web Service过滤方法,其特征在于,所述方法包括规则生成模块和Web Service接口过滤模块。
所述规则生成模块用于,将wsdl文件解析成一个个提供服务的接口,用户为每一个接口配置访问规则,最后生成一个规则文件供Web Service接口过滤模块调用。
所述Web Service接口过滤模块用于,利用规则生成模块生成的规则文件提取接口信息放置于接口贮存器,soap请求通过接口贮存器匹配验证是否合法。
所述的Web Service接口过滤模块,包括HTTP调度器、WSDL解析器、接口贮存器和接口匹配器;
所述HTTP调度器用于,辨别客户端发过来的http请求是否为soap请求,如果是,将其解析为一个方法调用,交给接口匹配器匹配。
所述WSDL解析器用于,将Web Service的WSDL文件中的接口信息解析出放至接口贮存器里面。
所述接口贮存器用于,存储WSDL文件解析出来的接口信息。
所述接口匹配器用于,验证客户端的请求接口是否合法。
较佳的,所述方法进一步包括一个隔离网闸过滤加载模块。
所述过滤加载模块用于,作为隔离网闸的一个嵌入式模块,供隔离网闸调用。
所述的规则生成模块的规则生成包括如下步骤:
1.接收一个wsdl文件。
2.对wsdl文件进行语法解析,产生一系列接口以及相关接口信息,接口信息包括接口名称、接口参数个数和参数类型。
3.用户对每一个接口信息进行行为控制,行为控制包括每个接口的接口名、参数个数、参数类型以及接口允许的访问时间,生成一个规则文件。
所述的Web Service过滤模块包括如下步骤:
1.接收一个http请求
2.HTTP调度器判断http请求是否为soap请求,如果是,从soap协议中解析出调用接口以及相关接口信息
3.匹配解析出的调用接口在接口贮存器中存不存在相同的接口名,接口名相同再进而匹配参数个数和参数类型,如相同,最后验证接口的访问时间在不在允许的时间范围内,如果在,则匹配成功,反之则失败。
附图说明
图1为应用网闸过滤加载模块原理图。
图2为接口匹配器的匹配流程图。
具体实施方式
下面参照附图并结合实例对本专利作进一步详细描述。
具体实施方式如下:
1. 应用网闸以动态链接库的方式加载应用网闸过滤加载模块。
2. 用户通过导入wsdl文件,WSDL解析器解析出其描述的全部接口信息,用户手动配置各个接口的处理规则,由规则生成模块生成机器可识别的规则文件。
3. 客户端发起Web Service请求,HTTP调度器解析http请求,如果此http请求属于soap请求,将此请求交给soap解析器解析。
4. Soap解析器解析出请求接口,放入接口匹配器匹配,匹配成功,则过滤模块认为合法,反之,则认为不合法。
Claims (5)
1.一种基于电力系统专用网闸的Web Service过滤方法,其特征在于,所述方法包括规则生成模块和Web Service接口过滤模块;所述规则生成模块用于,将wsdl文件解析成一系列提供服务的接口,用户为每一个接口配置访问规则,最后生成一个规则文件供Web Service接口过滤模块调用;2. 所述Web Service接口过滤模块用于,利用规则生成模块生成的规则文件提取接口信息放置于接口贮存器,soap请求通过接口贮存器匹配验证是否合法。
2.如权利要求1所述的Web Service接口过滤模块,其特征在于,所述过滤模块包括HTTP调度器、SOAP解析器、接口贮存器和接口匹配器;所述HTTP调度器用于,辨别客户端发过来的http请求是否为soap请求,如果是,交给soap解析器将其解析为一个方法调用,交给接口匹配器匹配;所述WSDL解析器用于,将Web Service的WSDL文件中的接口信息解析出放至接口贮存器里面;所述接口贮存器用于,存储WSDL文件解析出来的接口信息;所述接口匹配器用于,验证客户端的请求接口是否合法。
3.如权利要求1所述的Web Service过滤方法,其特征在于,进一步包括一个隔离网闸过滤加载模块;所述过滤加载模块用于,作为隔离网闸的一个嵌入式模块,供隔离网闸调用。
4.如权利要求1所述的规则生成模块,其特征在于,所述的规则生成包括如下步骤:
401.接收一个wsdl文件;
402.对wsdl文件进行语法解析,产生一系列接口以及相关接口信息;
403.用户对每一个接口信息进行行为控制,生成一个规则文件。
5.如权利要求1所述的Web Service过滤模块,其特征在于,所述过滤步骤包括如下步骤:
501.接收一个http请求;
502.HTTP调度器判断http请求是否为soap请求,如果是,从soap协议中解析出调用接口以及相关接口信息;
503.匹配解析出的调用接口以及相关接口信息在接口贮存器存不存在,如存在,则匹配成功,如不存在,则匹配失败。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201110402845XA CN102790759A (zh) | 2011-12-07 | 2011-12-07 | 一种基于电力系统专用网闸的网络服务过滤方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201110402845XA CN102790759A (zh) | 2011-12-07 | 2011-12-07 | 一种基于电力系统专用网闸的网络服务过滤方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN102790759A true CN102790759A (zh) | 2012-11-21 |
Family
ID=47156060
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201110402845XA Pending CN102790759A (zh) | 2011-12-07 | 2011-12-07 | 一种基于电力系统专用网闸的网络服务过滤方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN102790759A (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109587135A (zh) * | 2018-12-04 | 2019-04-05 | 国网辽宁省电力有限公司大连供电公司 | 基于内外网隔离的服务交互平台系统 |
| CN111818008A (zh) * | 2020-05-21 | 2020-10-23 | 云南电网有限责任公司信息中心 | 一种基于Webservice的网络数据安全交换方法 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101284895A (zh) * | 2008-06-03 | 2008-10-15 | 重庆长寿化工有限责任公司 | 一种氯丁橡胶及其制备方法和应用 |
| CN102244664A (zh) * | 2011-08-29 | 2011-11-16 | 浙江中烟工业有限责任公司 | 多级安全互联平台的多级互联安全管理中心子系统 |
-
2011
- 2011-12-07 CN CN201110402845XA patent/CN102790759A/zh active Pending
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101284895A (zh) * | 2008-06-03 | 2008-10-15 | 重庆长寿化工有限责任公司 | 一种氯丁橡胶及其制备方法和应用 |
| CN102244664A (zh) * | 2011-08-29 | 2011-11-16 | 浙江中烟工业有限责任公司 | 多级安全互联平台的多级互联安全管理中心子系统 |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109587135A (zh) * | 2018-12-04 | 2019-04-05 | 国网辽宁省电力有限公司大连供电公司 | 基于内外网隔离的服务交互平台系统 |
| CN111818008A (zh) * | 2020-05-21 | 2020-10-23 | 云南电网有限责任公司信息中心 | 一种基于Webservice的网络数据安全交换方法 |
| CN111818008B (zh) * | 2020-05-21 | 2022-11-11 | 云南电网有限责任公司信息中心 | 一种基于Webservice的网络数据安全交换方法 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN103036886B (zh) | 工业控制网络安全防护方法 | |
| CN105208018A (zh) | 一种基于漏斗式白名单的工控网络信息安全监控方法 | |
| CN103269332B (zh) | 面向电力二次系统的安全防护系统 | |
| CN104702584A (zh) | 一种基于自学习规则的Modbus通信访问控制方法 | |
| CN103795735B (zh) | 安全设备、服务器及服务器信息安全实现方法 | |
| CN108270716A (zh) | 一种基于云计算的信息安全审计方法 | |
| CN101197715B (zh) | 一种移动数据业务状态的安全集中采集方法 | |
| CN102857486A (zh) | 下一代应用防火墙系统及防御方法 | |
| CN105357179A (zh) | 网络攻击的处理方法及装置 | |
| CN109543411A (zh) | 应用程序监控方法、装置、电子设备及可读存储介质 | |
| CN103166773A (zh) | 监测服务器运行状态的方法与系统 | |
| CN104363131A (zh) | 基于有限状态机动态可扩展的电力通信协议异常检测方法 | |
| CN103491060A (zh) | 一种防御Web攻击的方法、装置、及系统 | |
| CN105791269A (zh) | 一种基于数据白名单的信息安全网关 | |
| CN103607373A (zh) | 单一服务端口实现多种网络协议代理的方法 | |
| CN105227559A (zh) | 一种积极的自动检测http攻击的信息安全管理框架 | |
| CN104065921A (zh) | 安防广域网嵌入式监测设备及其控制方法 | |
| CN202975775U (zh) | 安全管理平台 | |
| CN105791027B (zh) | 一种工业网络异常中断的检测方法 | |
| CN107145786A (zh) | 基于数据库注入测试的安全测试系统及方法 | |
| CN102790759A (zh) | 一种基于电力系统专用网闸的网络服务过滤方法 | |
| CN103684792A (zh) | 一种oam的安全认证方法以及oam报文发送/接收装置 | |
| CN103096038A (zh) | 多协议视频监控设备接入的融合视频监控系统及监控方法 | |
| CN110011849A (zh) | 一种基于归一化事件格式的关联分析报警方法 | |
| Lakhoua | Review on scada cybersecurity for critical infrastructures |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C12 | Rejection of a patent application after its publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20121121 |