CN114006763A - 一种基于快速表的快速检索匹配方法及系统 - Google Patents
一种基于快速表的快速检索匹配方法及系统 Download PDFInfo
- Publication number
- CN114006763A CN114006763A CN202111283978.XA CN202111283978A CN114006763A CN 114006763 A CN114006763 A CN 114006763A CN 202111283978 A CN202111283978 A CN 202111283978A CN 114006763 A CN114006763 A CN 114006763A
- Authority
- CN
- China
- Prior art keywords
- hash value
- fast
- data
- strategy
- configuration strategy
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
Landscapes
- Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
Abstract
本发明涉及一种基于快速表的快速检索匹配方法及系统,接收内网数据;基于数据携带的策略计算hash值;将所述内网数据的hash值与快速表中的hash值进行对比,如果匹配,则采用快速表中的hash值对应配置策略向外网传输所述内网数据;匹配不成功则将所述内网数据的hash值与配置策略总表中的hash值进行对比,如果匹配,则将配置策略总表中对应的配置策略以及hash值加入快速表,采用配置策略总表中对应的配置策略向外网传输所述内网数据;否则丢弃数据。本发明通过生成快速表提高了匹配的速度,提高了传输数据的效率。
Description
技术领域
本发明涉及电力电子技术领域,尤其涉及一种基于快速表的快速检索匹配方法及系统。
背景技术
随着电力事业的发展,全国大电网的形成,电网之间分为各个的安全区,安全分区是电力监控系统安全防护体系的结构基础。发电企业、电网企业内部基于计算机和网络技术的业务系统,原则上划分为生产控制大区和管理信息大区。电力监控系统安全防护的总体原则为“安全分区、网络专用、横向隔离、纵向认证”。安全防护主要针对电力监控系统,即用于监视和控制电力生产及供应过程的、基于计算机及网络技术的业务系统及智能设备,以及作为基础支撑的通信及数据网络等。重点强化边界防护,同时加强内部的物理、网络、主机、应用和数据安全。
电力二次安全防护网络安全隔离装置(简称正向隔离装置)应用于电力生产控制大区与管理信息大区之间实现调度数据网络与综合业务数据网之间的安全防护,电力专用横向单向安全隔离装置(正向型)是指适用于电力系统中安全防护等级较高的安全域向安全防护等级较低的安全域传递数据,具备数据单向传输等功能的网络安全隔离装置,包含装置和管理软件。
在隔离装置中实现由内网到外网的单向TCP、UDP应用层数据传输;将内网的纯数据通过单向数据通道发送到外网,同时只允许应用层不带任何数据的TCP控制信息返回到内网。内网的数据发送到外网时候,需要提前设置策略。在内网侧实现策略配置功能,配置策略通过专用隔离部件同步至外网侧后即时生效,支持报文过滤的策略配置功能,实现一种快速的数据与策略匹配的技术。
如图1所示,装置使用时,会在内部设置很多的多策略,每个策略都会具有基于MAC地址、IP地址、传输协议、传输端口以及通方式(UDP或者TCP)的综合报文过滤与访问控制功能,采用单向数据传输方式,即应用数据从内网侧到外网侧的单向数据传输;仅允许装置与网络间通过TCP及UDP协议的通信方式。输入的数据根据自身设置的参数查找已经配置的策略,在查找的过程中如果进行顺序查找,将数据输入的设置与每个策略的配置进行匹配,效率太低。
发明内容
针对现有技术中存在的问题,本发明提供一种基于快速表的快速检索匹配方法及系统,通过生成快速表增加了匹配的速度,提高了传输数据的效率。
为达到上述目的,本发明提供了一种基于快速表的快速检索匹配方法,包括:
(1)接收内网数据;
(2)基于数据携带的策略计算hash值;
(3)将所述内网数据的hash值与快速表中的hash值进行对比,如果匹配,则采用快速表中的hash值对应配置策略向外网传输所述内网数据;否则进入步骤(4);
(4)将所述内网数据的hash值与配置策略总表中的hash值进行对比,如果匹配,则将配置策略总表中对应的配置策略以及hash值加入快速表,采用配置策略总表中对应的配置策略向外网传输所述内网数据;否则丢弃数据。
进一步地,数据携带的策略包括MAC地址、IP地址、传输协议以及传输端口;
所述配置策略MAC地址、IP地址、传输协议、传输端口以及通信方式。进一步地,采用基数转换法计算hash值,将十进制数X看作M进制数值,M为大于1的整数,作为M进制数转换成十进制数,从中提取5~10位作为X的hash值。
进一步地,配置策略总表中的各个策略计算hash值,包括:基数转换法计算hash值,将十进制数X看作M进制数值,M为大于1的整数,作为M进制数转换成十进制数,从中提取5~10位作为X的hash值。
另一方面提供一种基于快速表的快速检索匹配系统,包括:
接收模块,接收内网数据;
数据hash值计算模块,基于数据携带的策略计算hash值;
快速表匹配模块,将所述内网数据的hash值与快速表中的hash值进行对比,如果匹配,则输出快速表中的hash值对应配置策略,作为向外网传输所述内网数据的策略;否则启动策略总表匹配模块;
策略总表匹配模块,将所述内网数据的hash值与配置策略总表中的hash值进行对比,如果匹配,则将配置策略总表中对应的配置策略以及hash值加入快速表,输出配置策略总表中对应的配置策略作为向外网传输所述内网数据的策略;否则丢弃数据。
进一步地,数据携带的策略包括MAC地址、IP地址、传输协议以及传输端口;
所述配置策略MAC地址、IP地址、传输协议、传输端口以及通信方式。
进一步地,数据hash值计算模块,采用基数转换法计算hash值,将十进制数X看作M进制数值,M为大于1的整数,作为M进制数转换成十进制数,从中提取5~10位作为X的hash值。
进一步地,配置策略总表中的各个策略计算hash值的计算包括:基数转换法计算hash值,将十进制数X看作M进制数值,M为大于1的整数,作为M进制数转换成十进制数,从中提取5~10位作为X的hash值。
第三方面提供一种电力二次安全防护网络正向隔离设备,包括所述的基于快速表的快速检索匹配系统。
第四方面提供一种计算机可读存储介质,所述计算机可读存储介质中存储有程序指令,当所述程序指令由处理器运行时,实现所述的基于快速表的快速检索匹配方法。
本发明的上述技术方案具有如下有益的技术效果:
本发明提供一种基于快速表的快速检索匹配方法及系统,通过生成快速表提高了匹配的速度,提高了传输数据的效率。采用该快速检索匹配方法的正向隔离装置,在保证数据安全的前提下,提高了数据传输效率。
附图说明
图1是现有顺序查找策略示意图;
图2本发明快速检索匹配方法示意图。
图3本发明快速检索匹配系统示意图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚明了,下面结合具体实施方式并参照附图,对本发明进一步详细说明。应该理解,这些描述只是示例性的,而并非要限制本发明的范围。此外,在以下说明中,省略了对公知结构和技术的描述,以避免不必要地混淆本发明的概念。
一种基于快速表的快速检索匹配方法,结合图2,每次收到一个数据,计算这个输入的hash值,然后查找对应的策略,如果匹配成功就将该策略加入快速表,下次再有数据输入时,先计算hash值,然后在快速表中查找,如果成功就直接传输数据,如果不成功再在策略里面查找。根据实际使用,能够提高数据传输效率60%。
一种基于快速表的快速检索匹配方法,结合图2,每次接收内网数据后,执行以下步骤:
(1)接收内网数据。
(2)基于数据携带的策略计算hash值。
输入的数据会携带有配置的自己的策略,数据携带的策略包括:MAC地址、IP地址、传输协议以及传输端口。
利用“基数转换法”将策略换算成唯一的hash值。
将十进制数X看作其他进制,比如十三进制,再按照十三进制数转换成十进制数,提取其中若干为作为X的哈希值。一般取大于原来基数的数作为转换的基数,并且两个基数应该是互素的。Hash(80127429)=(80127429)13=8*137+0*136+1*135+2*134+7*133+4*132+2*131+9=(502432641)10如果取中间五位作为哈希值,得Hash(80127429)=24326
(3)将所述内网数据的hash值与快速表中的hash值进行对比,如果匹配,则采用快速表中的hash值对应配置策略向外网传输所述内网数据;否则进入步骤(4)。
快速表中包括配置策略和对应的hash值。不断地将使用过的配置策略加入快速表,使快速表中包括常用的配置策略和对应的hash值。通过快速表即可获得大部分数据的策略,相对于查找策略总表提高了查找速度。
(4)将所述内网数据的hash值与配置策略总表中的hash值进行对比,如果匹配,则将配置策略总表中对应的配置策略以及hash值加入快速表,采用配置策略总表中对应的配置策略向外网传输所述内网数据;否则丢弃数据。
配置策略总表中包括全部的配置策略以及对应的hash值。hash值的计算方法与输入数据的hash值计算方法相同,均利用MAC地址、IP地址、传输协议、传输端口基于“基数转换法”计算hash值。
正向隔离装置配置的策略有MAC地址、IP地址、传输协议、传输端口以及通信方式--UDP或者TCP。需要传输的数据也是配置了MAC地址、IP地址、传输协议、传输端口,将装置的策略换与我们需要传输数据的MAC地址、IP地址、传输协议、传输端口都算成hash,看两者的hash是否一致。
配置策略总表中包含大量的策略,相对于快速表查找速度较慢。因此将一些使用过的策略作为常用策略,加入快速表中,实现快速查找。
将数据携带的策略进行计算得到hash值,然后与实现配置策略的hash值进行对比,如果匹配成功,说明该数据符合要求就可以进行正常传输,然后将该策略的hash值加入快速表,下次再来数据,首先在快速表中比对,如果发现匹配成功就可以直接传输,如果不成功则和配置策略的hash值进行比对,如果还不成功就丢弃该数据,如果成功则继续将该hash值加入快速表。
另一方面提供一种基于快速表的快速检索匹配系统,结合图3,包括接收模块、数据hash值计算模块、快速表匹配模块以及策略总表匹配模块。
接收模块,接收内网数据。数据携带的策略包括MAC地址、IP地址、传输协议以及传输端口。
数据hash值计算模块,基于数据携带的策略计算hash值。采用基数转换法计算hash值,将十进制数X看作M进制数值,M为大于1的整数,作为M进制数转换成十进制数,从中提取5~10位作为X的hash值。
快速表匹配模块,将所述内网数据的hash值与快速表中的hash值进行对比,如果匹配,则输出快速表中的hash值对应配置策略,作为向外网传输所述内网数据的策略;否则启动策略总表匹配模块。所述配置策略MAC地址、IP地址、传输协议、传输端口以及通信方式。
策略总表匹配模块,将所述内网数据的hash值与配置策略总表中的hash值进行对比,如果匹配,则将配置策略总表中对应的配置策略以及hash值加入快速表,输出配置策略总表中对应的配置策略作为向外网传输所述内网数据的策略;否则丢弃数据。
配置策略总表中的各个策略计算hash值计算包括:基数转换法计算hash值,将十进制数X看作M进制数值,M为大于1的整数,作为M进制数转换成十进制数,从中提取5~10位作为X的hash值。
第三方面提供一种电力二次安全防护网络正向隔离设备,包括所述的基于快速表的快速检索匹配系统。
第四方面提供一种计算机可读存储介质,所述计算机可读存储介质中存储有程序指令,当所述程序指令由处理器运行时,实现所述的基于快速表的快速检索匹配方法。
处理器可以采用通用的中央处理器(central processing unit,CPU),微处理器,应用专用集成电路(application specific integrated circuit,ASIC),或者一个或多个集成电路,用于执行相关程序,以实现本申请方法实施例的图像处理的方法。
处理器还可以是一种集成电路芯片,具有信号的处理能力。在实现过程中,本申请实施例的图像处理的方法的各个步骤可以通过处理器中的硬件的集成逻辑电路或者软件形式的指令完成。
上述处理器还可以是通用处理器、数字信号处理器(digital signalprocessing,DSP)、专用集成电路(ASIC)、现成可编程门阵列(field programmable gatearray,FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。可以实现或者执行本申请实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。
计算机可读存储介质例如可以包括智能电话的存储卡、平板电脑的存储部件、个人计算机的硬盘、只读存储器(ROM)、可擦除可编程只读存储器(EPROM)、便携式紧致盘只读存储器(CD-ROM)、USB存储器、或者上述存储介质的任意组合。计算机可读存储介质可以是一个或多个计算机可读存储介质的任意组合。
综上所述,本发明涉及一种基于快速表的快速检索匹配方法及系统,接收内网数据;基于数据携带的策略计算hash值;将所述内网数据的hash值与快速表中的hash值进行对比,如果匹配,则采用快速表中的hash值对应配置策略向外网传输所述内网数据;匹配不成功则将所述内网数据的hash值与配置策略总表中的hash值进行对比,如果匹配,则将配置策略总表中对应的配置策略以及hash值加入快速表,采用配置策略总表中对应的配置策略向外网传输所述内网数据;否则丢弃数据。本发明通过生成快速表提高了匹配的速度,提高了传输数据的效率。
应当理解的是,本发明的上述具体实施方式仅仅用于示例性说明或解释本发明的原理,而不构成对本发明的限制。因此,在不偏离本发明的精神和范围的情况下所做的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。此外,本发明所附权利要求旨在涵盖落入所附权利要求范围和边界、或者这种范围和边界的等同形式内的全部变化和修改例。
Claims (10)
1.一种基于快速表的快速检索匹配方法,其特征在于,包括:
(1)接收内网数据;
(2)基于数据携带的策略计算hash值;
(3)将所述内网数据的hash值与快速表中的hash值进行对比,如果匹配,则采用快速表中的hash值对应配置策略向外网传输所述内网数据;否则进入步骤(4);
(4)将所述内网数据的hash值与配置策略总表中的hash值进行对比,如果匹配,则将配置策略总表中对应的配置策略以及hash值加入快速表,采用配置策略总表中对应的配置策略向外网传输所述内网数据;否则丢弃数据。
2.根据权利要求1所述的基于快速表的快速检索匹配方法,其特征在于,数据携带的策略包括MAC地址、IP地址、传输协议以及传输端口;
所述配置策略MAC地址、IP地址、传输协议、传输端口以及通信方式。
3.根据权利要求1或2所述的基于快速表的快速检索匹配方法,其特征在于,采用基数转换法计算hash值,将十进制数X看作M进制数值,M为大于1的整数,作为M进制数转换成十进制数,从中提取5~10位作为X的hash值。
4.根据权利要求1或2所述的基于快速表的快速检索匹配方法,其特征在于,配置策略总表中的各个策略计算hash值,包括:基数转换法计算hash值,将十进制数X看作M进制数值,M为大于1的整数,作为M进制数转换成十进制数,从中提取5~10位作为X的hash值。
5.一种基于快速表的快速检索匹配系统,其特征在于,包括:
接收模块,接收内网数据;
数据hash值计算模块,基于数据携带的策略计算hash值;
快速表匹配模块,将所述内网数据的hash值与快速表中的hash值进行对比,如果匹配,则输出快速表中的hash值对应配置策略,作为向外网传输所述内网数据的策略;否则启动策略总表匹配模块;
策略总表匹配模块,将所述内网数据的hash值与配置策略总表中的hash值进行对比,如果匹配,则将配置策略总表中对应的配置策略以及hash值加入快速表,输出配置策略总表中对应的配置策略作为向外网传输所述内网数据的策略;否则丢弃数据。
6.根据权利要求5所述的基于快速表的快速检索匹配系统,其特征在于,数据携带的策略包括MAC地址、IP地址、传输协议以及传输端口;
所述配置策略MAC地址、IP地址、传输协议、传输端口以及通信方式。
7.根据权利要求5或6所述的基于快速表的快速检索匹配系统,其特征在于,数据hash值计算模块,采用基数转换法计算hash值,将十进制数X看作M进制数值,M为大于1的整数,作为M进制数转换成十进制数,从中提取5~10位作为X的hash值。
8.根据权利要求5或6所述的基于快速表的快速检索匹配系统,其特征在于,配置策略总表中的各个策略计算hash值的计算包括:基数转换法计算hash值,将十进制数X看作M进制数值,M为大于1的整数,作为M进制数转换成十进制数,从中提取5~10位作为X的hash值。
9.一种电力二次安全防护网络正向隔离设备,其特征在于,包括权利要求6至8之一所述的基于快速表的快速检索匹配系统。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质中存储有程序指令,当所述程序指令由处理器运行时,实现权利要求1至4之一所述的基于快速表的快速检索匹配方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111283978.XA CN114006763A (zh) | 2021-11-01 | 2021-11-01 | 一种基于快速表的快速检索匹配方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111283978.XA CN114006763A (zh) | 2021-11-01 | 2021-11-01 | 一种基于快速表的快速检索匹配方法及系统 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN114006763A true CN114006763A (zh) | 2022-02-01 |
Family
ID=79926173
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202111283978.XA Pending CN114006763A (zh) | 2021-11-01 | 2021-11-01 | 一种基于快速表的快速检索匹配方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN114006763A (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115905414A (zh) * | 2023-03-03 | 2023-04-04 | 北京和升达信息安全技术有限公司 | 一种内外网数据同步方法、系统、电子设备及介质 |
| CN117596073A (zh) * | 2023-12-24 | 2024-02-23 | 中国人民解放军61660部队 | 一种带有噪音数据保护的信息跨域传递方法 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101068212A (zh) * | 2007-06-11 | 2007-11-07 | 中兴通讯股份有限公司 | 一种网络地址转换转发的装置及方法 |
| CN103746920A (zh) * | 2014-01-24 | 2014-04-23 | 成都卫士通信息产业股份有限公司 | 一种基于网闸实现数据传输的方法 |
| CN104468381A (zh) * | 2014-12-01 | 2015-03-25 | 国家计算机网络与信息安全管理中心 | 一种多域流规则匹配的实现方法 |
| CN106330973A (zh) * | 2016-10-27 | 2017-01-11 | 国网江苏省电力公司南京供电公司 | 一种基于黑白名单的数据安全交换方法 |
| CN109067551A (zh) * | 2018-09-26 | 2018-12-21 | 深圳壹账通智能科技有限公司 | 一种实名认证方法、计算机可读存储介质和终端设备 |
| CN110381175A (zh) * | 2019-07-08 | 2019-10-25 | 新华三信息安全技术有限公司 | 一种安全策略加速表构建方法及装置 |
-
2021
- 2021-11-01 CN CN202111283978.XA patent/CN114006763A/zh active Pending
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101068212A (zh) * | 2007-06-11 | 2007-11-07 | 中兴通讯股份有限公司 | 一种网络地址转换转发的装置及方法 |
| CN103746920A (zh) * | 2014-01-24 | 2014-04-23 | 成都卫士通信息产业股份有限公司 | 一种基于网闸实现数据传输的方法 |
| CN104468381A (zh) * | 2014-12-01 | 2015-03-25 | 国家计算机网络与信息安全管理中心 | 一种多域流规则匹配的实现方法 |
| CN106330973A (zh) * | 2016-10-27 | 2017-01-11 | 国网江苏省电力公司南京供电公司 | 一种基于黑白名单的数据安全交换方法 |
| CN109067551A (zh) * | 2018-09-26 | 2018-12-21 | 深圳壹账通智能科技有限公司 | 一种实名认证方法、计算机可读存储介质和终端设备 |
| CN110381175A (zh) * | 2019-07-08 | 2019-10-25 | 新华三信息安全技术有限公司 | 一种安全策略加速表构建方法及装置 |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115905414A (zh) * | 2023-03-03 | 2023-04-04 | 北京和升达信息安全技术有限公司 | 一种内外网数据同步方法、系统、电子设备及介质 |
| CN117596073A (zh) * | 2023-12-24 | 2024-02-23 | 中国人民解放军61660部队 | 一种带有噪音数据保护的信息跨域传递方法 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN114006763A (zh) | 一种基于快速表的快速检索匹配方法及系统 | |
| US8290934B2 (en) | Method and system for processing access control lists using a hashing scheme | |
| JP6004299B2 (ja) | フローテーブルをマッチングするための方法及び装置、並びにスイッチ | |
| US7890672B2 (en) | Data processing apparatus and data transfer method | |
| US20160239540A1 (en) | Data Query Method and Apparatus, Server, and System | |
| CN112965824B (zh) | 报文的转发方法及装置、存储介质、电子设备 | |
| EP2933961A1 (en) | Method and apparatus for routing and forwarding, building routing tables, and obtaining contents | |
| US20130007008A1 (en) | Hash algorithm-based data storage method and system | |
| US20220210071A1 (en) | Network congestion control method, node, system, and storage medium | |
| CN104168222A (zh) | 一种报文传输方法和设备 | |
| CN101789905A (zh) | 防止未知组播攻击cpu的方法和设备 | |
| US20220045875A1 (en) | Multicast message processing method and apparatus, storage medium and processor | |
| CN106412140A (zh) | 短链接地址生成方法及系统 | |
| CN101651628A (zh) | 一种三状态内容可寻址存储器实现方法及装置 | |
| Yu et al. | Proof of ownership in deduplicated cloud storage with mobile device efficiency | |
| CN103220219A (zh) | 一种报文转发方法和设备 | |
| CN103618733A (zh) | 一种应用于移动互联网的数据过滤系统及方法 | |
| EP2924926A1 (en) | Lookup table creation method and query method, and controller, forwarding device and system therefor | |
| CN103326925B (zh) | 一种消息推送方法及装置 | |
| CN101605132A (zh) | 一种网络数据流识别方法 | |
| CN107196949A (zh) | 限制同一用户账号登录终端数量的系统 | |
| CN103167002A (zh) | 发送名片的方法及系统 | |
| CN108092896B (zh) | 堆叠系统和聚合组建立装置 | |
| CN109379401A (zh) | 基于Kafka的原始流量存储装置 | |
| CN206863938U (zh) | 一种带断点续传的数据通讯机 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |