CN113411343A - 一种跨隔离装置的内外网请求摆渡系统及方法 - Google Patents
一种跨隔离装置的内外网请求摆渡系统及方法 Download PDFInfo
- Publication number
- CN113411343A CN113411343A CN202110713753.7A CN202110713753A CN113411343A CN 113411343 A CN113411343 A CN 113411343A CN 202110713753 A CN202110713753 A CN 202110713753A CN 113411343 A CN113411343 A CN 113411343A
- Authority
- CN
- China
- Prior art keywords
- request
- information
- intranet
- service
- extranet
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0263—Rule management
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
Landscapes
- Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Business, Economics & Management (AREA)
- General Business, Economics & Management (AREA)
- Small-Scale Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明公开了一种跨隔离装置的内外网请求摆渡系统及方法,包括信息内网应用、信息内网数据库、信息内网转发请求服务、外网接收请求服务、电力信息安全网络隔离装置。本发明通过内网根据外网应用的请求进行模拟请求调用内网应用接口,从而达到请求摆渡的目的,实现了信息外网请求可以按需穿透至内网进行获取数据,减少了外网的应用服务端的部署,提高了服务器的利用率,也降低了外网服务被渗透的几率。本发明可以在有内外网应用交互的系统如:省级智慧能源服务平台、营销服务系统中具有良好的市场前景。
Description
技术领域
本发明涉及一种跨隔离装置的内外网请求摆渡系统及方法,属于电网配电自动化技术领域。
背景技术
随着互联网从无到有以飞速的发展,它的开放性在给人们带来巨大便利的同时,也带来了系统入侵、信息泄密等网络安全问题。网络的存在使得信息高度共享和迅速传递,但网络安全问题作为一个十分重要和极具威胁的问题也一直存在着。遵循国家及电力系统相关文件规范,电力系统信息大区划分为信息内网和信息外网两个网络安全区域,在两个安全区域中分别部署安全等级不同的应用,满足安全等级不同的业务需求;两个安全区域之间采用符合安全规范的信息安全网络隔离装置进行硬件隔离,同时信息安全网络隔离装置采用接口代理的技术架构,替换客户端访问的JDBC驱动,通过隔离装置硬件设备进行实际的数据库访问,从而在保证两个网络安全区域信息安全的同时,为网络信息安全区域的数据交互提供了可能性。
信息内外网应用数据交互的应用场景通常是:信息外网应用完成数据处理之后,将需要发送给信息内网应用的数据组成SQL语句,通过信息安全网络隔离装置写入信息内网的MySQL数据库,信息内网应用从数据库中读取数据,从而完成信息内外网的数据交互。
在上述应用场景中,信息安全网络隔离装置仅仅支持数据的写入和读取,但并不能支撑请求的传递,由于外网需要访问已建内网业务应用系统的接口,同时也需要访问无法在外网部署的业务应用系统接口。
因此,缺乏一种方法既能使外网无感知的访问内网服务,减少外网服务端的部署,降低被攻击的几率,同时又能够在外网建立一道安全闸门,目前处理的方式就是在外网同时部署一套服务端,而且要考虑内外网数据的同步问题,如果既要考虑服务安全又要考虑内外网的数据同步的时效性,只能频繁轮询内网数据库,发现有新的数据即读取并且处理,这种解决方式不但效率低下,而且会对内网数据库造成长期、稳定的无效高负载。
发明内容
目的:为了克服现有技术中存在的外网应用系统无法调用信息内网应用接口的问题,本发明提供一种跨隔离装置的内外网请求摆渡系统及方法,在保证应用数据实时性的同时降低系统负载、提高系统的并发能力。
技术方案:为解决上述技术问题,本发明采用的技术方案为:
一种跨隔离装置的内外网请求摆渡系统,包括信息内网应用、信息内网数据库、信息内网转发请求服务、外网接收请求服务、电力信息安全网络隔离装置。
所述信息内网应用,用于提供调用的信息内网应用接口服务,接收信息内网转发请求服务的调用内网应用请求,将处理完成的请求返回的数据提供给信息内网转发请求服务。
所述信息内网数据库,用于接收外网接收请求服务存入的请求信息并提供给信息内网转发请求服务,接收信息内网转发请求服务存入的请求返回信息并提供给外网接收请求服务;用于通过电力信息安全网络隔离装置固定端口提供数据库接口服务给外网接收请求服务。
所述信息内网转发请求服务,用于接收信息内网数据库存入的请求信息,提供请求返回数据给信息内网数据库;用于按照信息内网数据库存入的请求信息模拟调用信息内网应用的接口。
所述外网接收请求服务,用于接收外网服务调用方发出的请求,返回请求数据给外网服务调用方;用于根据安全配置进行过滤外网服务调用发出的请求,并将过滤后的请求信息发送给信息内网数据库。
作为优选方案,所述信息内网转发请求服务、外网接收请求服务之间通过电力信息安全网络隔离装置映射的信息内网数据库进行交互。
一种跨隔离装置的内外网请求摆渡方法,包括以下步骤:
步骤(A),信息外网应用请求内网应用服务,外网接收请求服务接收到信息外网应用的请求,外网接收请求服务根据安全规则对请求入参进行特殊字符验证、请求IP进行过滤、请求地址过滤、身份令牌验证,如果信息外网应用的请求不符合安全规则,则返回信息外网应用没有通过安全校验,如果信息外网应用的请求符合安全规则,则执行步骤(B);
步骤(B),外网接收请求服务将符合安全规则的请求信息通过电力信息安全网络隔离装置存到信息内网数据库,请求信息的状态置为“外网插入”状态,并保持延迟等待且执行步骤(C),根据配置的超时时间,等待超时则返回信息外网应用超时响应;
步骤(C),信息内网转发请求服务实时监测信息内网数据库中状态为“外网插入”的请求信息,当监测有新的请求信息时,信息内网转发请求服务根据请求信息模拟调用内网应用请求,根据调用内网应用请求调用信息内网应用的接口服务,获取信息内网应用的请求返回的数据,同时将这条请求信息的状态置为“内网已获取”,并将信息内网应用的请求返回的数据存到信息内网数据库中对应的请求信息中的“返回参数”字段,同时将这条请求信息的状态置为“内网已返回”,并执行步骤(D);
步骤(D),外网接收请求服务监测到信息内网数据库中请求返回的数据,外网接收请求服务将请求返回的数据格式化成对象,并将对象返回给信息外网应用。
作为优选方案,外网接收请求服务的安全规则包括:根据配置的白名单、黑名单、请求IP地址、特殊字符、身份令牌的关键字的值,对请求进行校验。
作为优选方案,外网接收请求服务将符合安全规则请求中的请求地址、请求参数、请求header、请求时间、请求类型、请求IP、请求状态,通过电力信息安全网络隔离装置存到映射的信息内网数据库中。
作为优选方案,步骤(C)还包括:
当调用内网应用请求异常时,则将异常数据和异常状态存到对应的请求信息中的“返回参数”字段中。
当调用内网应用请求无返回,则等待超时,将超时信息和超时状态存到对应的请求信息中的“返回参数”字段中。
有益效果:本发明提供的一种跨隔离装置的内外网请求摆渡系统及方法,克服了外网应用系统无法调用信息内网应用接口的问题,打通外网应用系统调用信息内网应用接口的通道,贯通内外网的业务闭环。
本发明通过内网根据外网应用的请求进行模拟请求调用内网应用接口,从而达到请求摆渡的目的,实现了信息外网请求可以按需穿透至内网进行获取数据,减少了外网的应用服务端的部署,提高了服务器的利用率,也降低了外网服务被渗透的几率。本发明可以在有内外网应用交互的系统如:省级智慧能源服务平台、营销服务系统中具有良好的市场前景。
附图说明
图1是本发明的系统结构及数据流示意图。
图2是本发明的方法流程交互示意图。
具体实施方式
下面结合具体实施例对本发明作更进一步的说明。
如图1所示,一种跨隔离装置的内外网请求摆渡系统,包括信息内网应用、信息内网数据库、信息内网转发请求服务、外网接收请求服务、电力信息安全网络隔离装置。
所述信息内网应用,用于提供调用的信息内网应用接口服务,接收信息内网转发请求服务的请求,将处理完成的请求数据提供给信息内网转发请求服务。
所述信息内网数据库,用于接收外网接收请求服务存入的请求信息并提供给信息内网转发请求服务,接收信息内网转发请求服务存入的请求返回信息并提供给外网接收请求服务;用于通过电力信息安全网络隔离装置固定端口提供数据库接口服务给外网接收请求服务。
所述信息内网转发请求服务,用于接收信息内网数据库存入的请求信息,提供请求返回数据给信息内网数据库;用于按照信息内网数据库存入的请求信息模拟调用信息内网应用的接口。
所述外网接收请求服务,用于接收外网服务调用方发出的请求,返回请求数据给外网服务调用方;用于根据安全配置进行过滤外网服务调用发出的请求,并将过滤后的请求信息发送给信息内网数据库。
所述信息内网转发请求服务、外网接收请求服务之间通过电力信息安全网络隔离装置映射的信息内网数据库进行交互。
如图2所示,一种跨隔离装置的内外网请求摆渡方法,信息外网请求能够在安全的允许范围内无感知的请求内网服务,具体包括以下步骤:
步骤(A),信息外网应用请求内网应用服务,外网接收请求服务接收到信息外网应用的请求,外网接收请求服务根据安全规则对请求入参进行特殊字符验证、请求IP进行过滤、请求地址过滤、身份令牌验证,如果信息外网应用的请求不符合安全规则,则返回信息外网应用没有通过安全校验,如果信息外网应用的请求符合安全规则,则执行步骤(B);
步骤(B),外网接收请求服务将符合安全规则的请求信息通过电力信息安全网络隔离装置存到信息内网数据库,请求信息的状态置为“外网插入”状态,并保持延迟等待且执行步骤(C),根据配置的超时时间,等待超时则返回信息外网应用超时响应;
步骤(C),信息内网转发请求服务实时监测信息内网数据库中状态为“外网插入”的请求信息,当监测有新的请求信息时,信息内网转发请求服务根据请求信息模拟调用内网应用请求,根据调用内网应用请求调用信息内网应用的接口服务,获取信息内网应用的请求返回的数据,同时将这条请求信息的状态置为“内网已获取”,并将信息内网应用的请求返回的数据存到信息内网数据库中对应的请求信息中的“返回参数”字段,同时将这条请求信息的状态置为“内网已返回”,并执行步骤(D);
步骤(D),外网接收请求服务监测到信息内网数据库中请求返回的数据,外网接收请求服务将请求返回的数据格式化成对象,并将对象返回给信息外网应用。
其中,步骤(A),外网接收请求服务的安全规则包括:根据配置的白名单、黑名单、请求IP地址、特殊字符、身份令牌的关键字的值,对请求进行校验。
其中,步骤(B),外网接收请求服务将符合安全规则请求中的请求地址、请求参数、请求header、请求时间、请求类型、请求IP、请求状态,通过电力信息安全网络隔离装置存到映射的信息内网数据库中。
其中,步骤(C)还包括:
当调用内网应用请求异常时,则将异常数据和异常状态存到对应的请求信息中的“返回参数”字段中。
当调用内网应用请求无返回,则等待超时,将超时信息和超时状态存到对应的请求信息中的“返回参数”字段中。
以上所述仅是本发明的优选实施方式,应当指出:对于本技术领域的普通技术人员来说,在不脱离本发明原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也应视为本发明的保护范围。
Claims (8)
1.一种跨隔离装置的内外网请求摆渡系统,其特征在于:包括信息内网应用、信息内网数据库、信息内网转发请求服务、外网接收请求服务、电力信息安全网络隔离装置;
所述信息内网应用,用于提供调用的信息内网应用接口服务,接收信息内网转发请求服务的调用内网应用请求,将处理完成的请求返回的数据提供给信息内网转发请求服务;
所述信息内网数据库,用于接收外网接收请求服务存入的请求信息并提供给信息内网转发请求服务,接收信息内网转发请求服务存入的请求返回的数据并提供给外网接收请求服务;通过电力信息安全网络隔离装置固定端口提供数据库接口服务给外网接收请求服务;
所述信息内网转发请求服务,用于接收信息内网数据库存入的请求信息,提供请求返回的数据给信息内网数据库;按照信息内网数据库存入的请求信息模拟调用信息内网应用的接口;
所述外网接收请求服务,用于接收外网服务调用方发出的请求,返回请求数据给外网服务调用方;根据安全规则进行过滤外网服务调用发出的请求,并将过滤后的请求信息发送给信息内网数据库。
2.根据权利要求1所述的一种跨隔离装置的内外网请求摆渡系统,其特征在于:所述信息内网转发请求服务、外网接收请求服务之间通过电力信息安全网络隔离装置映射的信息内网数据库进行交互。
3.一种跨隔离装置的内外网请求摆渡方法,其特征在于:包括如下步骤:
步骤A,信息外网应用请求内网应用服务,外网接收请求服务接收到信息外网应用的请求,外网接收请求服务根据安全规则对请求入参进行特殊字符验证、请求IP进行过滤、请求地址过滤、身份令牌验证,如果信息外网应用的请求符合安全规则,则执行步骤B;
步骤B,外网接收请求服务将符合安全规则的请求信息通过电力信息安全网络隔离装置存到信息内网数据库,请求信息的状态置为“外网插入”状态,并保持延迟等待且执行步骤C;
步骤C,信息内网转发请求服务实时监测信息内网数据库中状态为“外网插入”的请求信息,当监测有新的请求信息时,信息内网转发请求服务根据请求信息模拟调用内网应用请求,根据调用内网应用请求调用信息内网应用的接口服务,获取信息内网应用的请求返回的数据,同时将请求信息的状态置为“内网已获取”,并将信息内网应用的请求返回的数据存到信息内网数据库中对应的请求信息中的“返回参数”字段,同时将请求信息的状态置为“内网已返回”,并执行步骤D;
步骤D,外网接收请求服务监测到信息内网数据库中请求返回的数据,外网接收请求服务将请求返回的数据格式化成对象,并将对象返回给信息外网应用。
4.根据权利要求3所述的一种跨隔离装置的内外网请求摆渡方法,其特征在于:所述步骤A中如果信息外网应用的请求不符合安全规则,则返回信息外网应用没有通过安全校验。
5.根据权利要求3所述的一种跨隔离装置的内外网请求摆渡方法,其特征在于:所述步骤B中,当保持延迟等待时,根据配置的超时时间,等待超时则返回信息外网应用超时响应。
6.根据权利要求3所述的一种跨隔离装置的内外网请求摆渡方法,其特征在于:所述外网接收请求服务的安全规则包括:根据配置的白名单、黑名单、请求IP地址、特殊字符、身份令牌的关键字的值,对请求进行校验。
7.根据权利要求3所述的一种跨隔离装置的内外网请求摆渡方法,其特征在于:所述外网接收请求服务将符合安全规则请求中的请求地址、请求参数、请求header、请求时间、请求类型、请求IP、请求状态,通过电力信息安全网络隔离装置存到映射的信息内网数据库中。
8.根据权利要求3所述的一种跨隔离装置的内外网请求摆渡方法,其特征在于:所述步骤C还包括:
当调用内网应用请求异常时,则将异常数据和异常状态存到对应的请求信息中的“返回参数”字段中;
当调用内网应用请求无返回,则等待超时,将超时信息和超时状态存到对应的请求信息中的“返回参数”字段中。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110713753.7A CN113411343A (zh) | 2021-06-25 | 2021-06-25 | 一种跨隔离装置的内外网请求摆渡系统及方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110713753.7A CN113411343A (zh) | 2021-06-25 | 2021-06-25 | 一种跨隔离装置的内外网请求摆渡系统及方法 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN113411343A true CN113411343A (zh) | 2021-09-17 |
Family
ID=77679706
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202110713753.7A Pending CN113411343A (zh) | 2021-06-25 | 2021-06-25 | 一种跨隔离装置的内外网请求摆渡系统及方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN113411343A (zh) |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN114124976A (zh) * | 2021-11-30 | 2022-03-01 | 北京中电普华信息技术有限公司 | 一种实现内外网穿透的业务请求处理系统及方法 |
CN114143066A (zh) * | 2021-11-26 | 2022-03-04 | 国网四川省电力公司南充供电公司 | 一种基于代理隔离装置的内外网对接系统及方法 |
CN114257580A (zh) * | 2021-12-22 | 2022-03-29 | 北京博思致新互联网科技有限责任公司 | 边界网闸无感交互方法 |
CN117082058A (zh) * | 2023-10-18 | 2023-11-17 | 国网信息通信产业集团有限公司 | 一种数据库隔离装置环境下的文件传输方法 |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN108234451A (zh) * | 2017-12-11 | 2018-06-29 | 厦门亿力吉奥信息科技有限公司 | 电力内外网请求转发代理方法及计算机可读存储介质 |
CN110636096A (zh) * | 2018-06-25 | 2019-12-31 | 中国科学院沈阳自动化研究所 | 基于数据库存储过程的电力内外网信息交互接口服务系统 |
-
2021
- 2021-06-25 CN CN202110713753.7A patent/CN113411343A/zh active Pending
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN108234451A (zh) * | 2017-12-11 | 2018-06-29 | 厦门亿力吉奥信息科技有限公司 | 电力内外网请求转发代理方法及计算机可读存储介质 |
CN110636096A (zh) * | 2018-06-25 | 2019-12-31 | 中国科学院沈阳自动化研究所 | 基于数据库存储过程的电力内外网信息交互接口服务系统 |
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN114143066A (zh) * | 2021-11-26 | 2022-03-04 | 国网四川省电力公司南充供电公司 | 一种基于代理隔离装置的内外网对接系统及方法 |
CN114124976A (zh) * | 2021-11-30 | 2022-03-01 | 北京中电普华信息技术有限公司 | 一种实现内外网穿透的业务请求处理系统及方法 |
CN114257580A (zh) * | 2021-12-22 | 2022-03-29 | 北京博思致新互联网科技有限责任公司 | 边界网闸无感交互方法 |
CN117082058A (zh) * | 2023-10-18 | 2023-11-17 | 国网信息通信产业集团有限公司 | 一种数据库隔离装置环境下的文件传输方法 |
CN117082058B (zh) * | 2023-10-18 | 2024-01-23 | 国网信息通信产业集团有限公司 | 一种数据库隔离装置环境下的文件传输方法 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN113411343A (zh) | 一种跨隔离装置的内外网请求摆渡系统及方法 | |
CN110554856A (zh) | 一种微服务治理系统 | |
US11146641B2 (en) | Internet of things information system | |
CN204350029U (zh) | 数据交互系统 | |
CN106936791A (zh) | 拦截恶意网址访问的方法和装置 | |
CN112565220A (zh) | 一种基于国网隔离装置安全的http服务网关实现方法 | |
CN102271331B (zh) | 一种检测业务提供商sp站点可靠性的方法及系统 | |
CN109241157A (zh) | 数据调用方法、装置、通信设备及存储介质 | |
CN103633736B (zh) | 从变电子站至主站的在线监测通信方法 | |
CN109218142A (zh) | 一种基于OneM2M协议物联网平台终端接入方法和装置 | |
CN112581307B (zh) | 一种实现智能传感器即插即用的交互方法及系统 | |
CN114885012A (zh) | 物联网平台的系统接入方法及系统 | |
CN103647760A (zh) | 一种智能变电站数字保护装置的mms通讯平台及其访问方法 | |
CN114281905A (zh) | 一种实现物联网设备连接管理的方法及系统 | |
CN109981738B (zh) | 一种适用于窄带物联网应用的云服务器 | |
US9479579B2 (en) | Grouping processing method and system | |
CN110958148A (zh) | 一种分布式接入设备的部署系统 | |
CN105306315B (zh) | 基于smb协议手机远程访问家庭网关设备的系统及方法 | |
CN112291207B (zh) | 一种前端设备目录获取方法及装置 | |
CN104113841A (zh) | 一种针对移动互联网Botnet的虚拟化检测系统及检测方法 | |
WO2023169097A1 (zh) | 5g消息终端的识别方法、服务平台和存储介质 | |
Qi et al. | BFFBM: A Bloom Filter Based Full-Link Blacklist Monitoring Method on AMI Microservice | |
CN111683104B (zh) | 一种物联网终端用防劫持设备 | |
CN112291210B (zh) | 一种前端设备目录获取方法及装置 | |
Qi et al. | A secure real-time internal and external network data exchange method based on web service protocol |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |