CN114095275A - 边缘隔离设备和方法 - Google Patents
边缘隔离设备和方法 Download PDFInfo
- Publication number
- CN114095275A CN114095275A CN202210024099.3A CN202210024099A CN114095275A CN 114095275 A CN114095275 A CN 114095275A CN 202210024099 A CN202210024099 A CN 202210024099A CN 114095275 A CN114095275 A CN 114095275A
- Authority
- CN
- China
- Prior art keywords
- isolation
- network
- current frame
- ferrying
- ferry
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0209—Architectural arrangements, e.g. perimeter networks or demilitarized zones
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/02—Details
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Small-Scale Networks (AREA)
Abstract
本申请的实施例提供了一种边缘隔离设备和方法,涉及通信技术领域。所述边缘隔离设备,包括:内网侧网卡板,用于与内网侧设备连接;外网侧网卡板,用于与外网侧设备连接;隔离摆渡核心板,分别与所述内网侧网卡板和所述外网侧网卡板连接,用于实现电网边缘环节内外网的隔离。本申请能够改善在电力行业中,针对业务数据通信过程中的物理隔离,电网边缘环节各区网络的横向隔离问题还并未解决的问题,达到解决电网边缘环节各区网络的横向隔离问题,实现业务数据通信过程中的物理隔离的效果。
Description
技术领域
本申请的实施例涉及通信技术领域,尤其涉及一种边缘隔离设备和方法。
背景技术
物理隔离,是指采用物理方法将内网与外网隔离,从而避免入侵或信息泄露的风险的技术手段。物理隔离主要用来解决网络安全问题的,尤其是在那些需要绝对保证安全的保密网、专网和特种网络与互联网进行连接时,为了防止来自互联网的攻击和保证这些高安全性网络的保密性、安全性、完整性、防抵赖和高可用性,几乎全部要求采用物理隔离技术。
在实现本发明的过程中,发明人发现,在电力行业中,针对业务数据通信过程中的物理隔离,电网边缘环节各区网络的横向隔离问题还并未解决。
发明内容
本申请的实施例提供了一种边缘隔离设备和方法,能够改善在电力行业中,针对业务数据通信过程中的物理隔离,电网边缘环节各区网络的横向隔离问题还并未解决的问题。
在本申请的第一方面,提供了一种边缘隔离设备,包括:
内网侧网卡板,用于与内网侧设备连接;
外网侧网卡板,用于与外网侧设备连接;
隔离摆渡核心板,分别与所述内网侧网卡板和所述外网侧网卡板连接,用于实现电网边缘环节内外网的隔离。
通过采用以上技术方案,内网侧网卡板与内网侧设备连接,外网侧网卡板与外网侧设备连接;隔离摆渡核心板分别与内网侧网卡板和外网侧网卡板连接,实现电网边缘环节内外网的物理隔离,能够改善在电力行业中,针对业务数据通信过程中的物理隔离,电网边缘环节各区网络的横向隔离问题还并未解决的问题,达到解决电网边缘环节各区网络的横向隔离问题,实现业务数据通信过程中的物理隔离的效果。
在一种可能的实现方式中,所述内网侧网卡板连接有第一LAN网口、第一RS485串口和内网侧设备指示灯;
所述外网侧网卡板连接有第二LAN网口、第二RS485串口和外网侧设备指示灯。
在一种可能的实现方式中,所述隔离摆渡核心板包括FPGA和集成在所述FPGA上的RAM。
在一种可能的实现方式中,还包括:
电源接口、与所述电源接口连接的PWR电源指示灯和与所述FPGA连接的FPGA状态指示灯。
在本申请的第二方面,提供了一种边缘隔离方法,包括:
对待处理摆渡数据中所有帧进行如下处理:
获取待处理摆渡数据中当前帧;
对所述当前帧进行核验,若核验无误,则发送所述当前帧;
获取所述当前帧对应的应答帧,完成所述当前帧的摆渡。
在一种可能的实现方式中,在对待处理摆渡数据中所有帧进行处理之前,包括:
选择摆渡方式类型,所述摆渡方式类型包括网口摆渡方式和串口摆渡方式,所述网口摆渡方式和所述串口摆渡方式单独使用;
若选择网口摆渡方式,则待处理摆渡数基于边缘隔离设备提供的单个隔离通道进行摆渡;
若选择串口摆渡方式,则待处理摆渡数基于边缘隔离设备提供的至少两个独立隔离通道进行摆渡。
在一种可能的实现方式中,在选择摆渡方式类型之前,包括:
通过RS485串口,内网侧设备与外网侧设备分别与边缘隔离设备进行网口配置。
在本申请的第三方面,提供了一种边缘隔离装置,包括:
获取模块,用于获取待处理摆渡数据中当前帧;
核验模块,用于对所述当前帧进行核验,若核验无误,则发送所述当前帧;
完成模块,用于获取所述当前帧对应的应答帧,完成所述当前帧的摆渡。
在本申请的第四方面,提供了一种电子设备。该电子设备包括:存储器和处理器,所述存储器上存储有计算机程序,所述处理器执行所述计算机程序时实现如以上所述的方法。
在本申请的第五方面,提供了一种计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现所述方法的步骤。
应当理解,发明内容部分中所描述的内容并非旨在限定本申请的实施例的关键或重要特征,亦非用于限制本申请的范围。本申请的其它特征将通过以下的描述变得容易理解。
附图说明
结合附图并参考以下详细说明,本申请各实施例的上述和其他特征、优点及方面将变得更加明显。在附图中,相同或相似的附图标记表示相同或相似的元素,其中:
图1示出了本申请实施例中边缘隔离设备内部的结构图。
图2示出了本申请实施例中边缘隔离设备应用环境的示意图。
图3示出了本申请实施例中边缘隔离设备外部的结构图。
图4示出了本申请实施例中FPGA工作状态示意图。
图5示出了本申请实施例中边缘隔离方法的流程图。
图6示出了本申请实施例中以网口摆渡方式进行摆渡的示意图。
图7示出了本申请实施例中以串口摆渡方式进行摆渡的示意图。
图8示出了本申请实施例中边缘隔离设备进行网口配置的示意图。
图9示出了本申请实施例中边缘隔离装置的结构图。
图10示出了适于用来实现本申请实施例的电子设备结构示意图。
具体实施方式
为使本申请实施例的目的、技术方案和优点更加清楚,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述。
本申请实施例提供的边缘隔离设备可以应用于通信技术领域。
图1示出了本申请实施例中边缘隔离设备内部的结构图。参见图1,本实施例中边缘隔离设备包括与内网侧设备连接的内网侧网卡板3、与外网侧设备连接外网侧网卡板1以及分别与内网侧网卡板3和外网侧网卡板1连接的隔离摆渡核心板2,用于实现电网边缘环节内外网的隔离。
通过采用以上技术方案,内网侧网卡板与内网侧设备连接,外网侧网卡板与外网侧设备连接;隔离摆渡核心板分别与内网侧网卡板和外网侧网卡板连接,实现电网边缘环节内外网的物理隔离,能够改善在电力行业中,针对业务数据通信过程中的物理隔离,电网边缘环节各区网络的横向隔离问题还并未解决的问题,达到解决电网边缘环节各区网络的横向隔离问题,实现业务数据通信过程中的物理隔离的效果。
在本申请实施例中,内网侧网卡板3(内网侧网卡)包括10Mbps网卡、100Mbps网卡、10/100Mbps自适应网卡(百兆网卡)和10M/100M/1000M自适应网卡(千兆网卡);外网侧网卡板1(外网侧网卡)包括10Mbps网卡、100Mbps网卡、10/100Mbps自适应网卡(百兆网卡)和10M/100M/1000M自适应网卡(千兆网卡)。
可选的,内网侧网卡板3和外网侧网卡板1均选用10/100Mbps自适应网卡,相比千兆网卡,百兆网卡与电网的网络更加配适。
在本申请实施例中,内网侧网卡板3和外网侧网卡板1构成双硬盘隔离卡,可实现物理隔离,即通过边缘隔离设备传输的原始数据,不具有攻击或对网络安全有害的特性。
图2示出了本申请实施例中边缘隔离设备应用环境的示意图。参见图2,内网侧设备(内网侧主机、交换机或工业设备)包括电网智能网关以及与电网智能网关连接的物联管理平台、配电前置和用采前置。
进一步的,物联管理平台还连接有企业中台,企业中台包括业务中台和数据中台,数据中台分别连接有配电自动化系统、供电指挥系统和用电信息采集系统。其中,配电自动化系统连接配电前置,用电信息采集系统连接用采前置。
参见图2,外网侧设备包括(外网侧主机、交换机或工业设备)集中器以及与集中器连接的配电台区终端设备。其中,配电台区终端设备包括但不限于站房设备、配电设备、监测巡检装置、电能表和采集器。
在本申请实施例中,隔离摆渡核心板2(核心摆渡板)为边缘隔离设备的指令核心,隔离摆渡核心板2分别与内网侧网卡板3和外网侧网卡板1连接,使得边缘隔离设备实现隔离通信速率在RS485中的波特率在 9600至115200,隔离通信速率在以太网中传输速率为400kbps。其中,边缘隔离设备的隔离延迟为50us。
在本申请实施例中,隔离摆渡核心板2与内网侧网卡板3和外网侧网卡板1构成的驱动板可以选用GTEC—MK600。其中,隔离摆渡核心板2可以选用FPGA。隔离摆渡核心板2选用的具体产品不同,导致基于边缘隔离设备的边缘隔离方案也可能不同。
在一些实施例中,内网侧网卡板3连接有第一LAN网口4、第一RS485串口5和内网侧设备指示灯8;外网侧网卡板连接有第二LAN网口6、第二RS485串口7和外网侧设备指示灯9。
图3示出了本申请实施例中边缘隔离设备外部的结构图。参见图1、图3,第一LAN网口4(LAN-IN)为内外网隔离中接内网的网口,第二LAN网口6(LAN-OUT)内外网隔离中接外网的网口,第一LAN网口4和第二LAN网口6实现一路网络隔离通信。
在本申请实施例中,第一LAN网口4和第二LAN网口6为以太网网口。
在本申请实施例中,第一RS485串口5(RS485-IN)可以包括多个第一RS485子串口,多个第一RS485子串口中一个第一RS485子串口对接一路输入;第二RS485串口7(RS485-OUT)可以包括多个第二RS485子串口,多个第二RS485子串口中一个第二RS485子串口对接一路输出。第一RS485子串口与第二RS485子串口一一对应,一个第一RS485子串口和其对应的一个第二RS485子串口实现一路RS485 隔离通信。
基于此,第一RS485串口5和第二RS485串口7可以实现多路RS485 隔离通信。
需要说明的是,第一RS485串口5(RS485-IN)也可以仅包括一个第一RS485子串口,第二RS485串口7(RS485-OUT)也可以仅包括一个第二RS485子串口。基于此,第一RS485串口5和第二RS485串口7实现一路RS485 隔离通信。
可选的,第一RS485串口5(RS485-IN)包括两个第一RS485子串口,两个第一RS485子串口中一个第一RS485子串口对接一路输入;第二RS485串口7(RS485-OUT)包括两个第二RS485子串口,两个第二RS485子串口中一个第二RS485子串口对接一路输出。第一RS485子串口与第二RS485子串口一一对应,一个第一RS485子串口和其对应的一个第二RS485子串口实现一路RS485 隔离通信。
基于此,第一RS485串口5和第二RS485串口7可以实现两路RS485 隔离通信。
在本申请实施例中,内网侧设备指示灯8用于显示内网侧设备数据传输的工作状态,外网侧设备指示灯9用于显示外网侧设备数据传输的工作状态。
在一些实施例中,隔离摆渡核心2板包括FPGA和集成在FPGA上的RAM。
在本申请实施例中,内网侧设备与外网侧设备发送出的业务数据(待处理摆渡数据),经过边缘隔离设备时,均先临时储存在RAM(随机存储器)中。FPGA对RAM随机存储器中的业务数据进行判断,若符合预设的数字协议(通信协议),则进行摆渡;不符合则丢弃。
其中,预设的数字协议为FPGA内部协议,其为自定义协议,传输时已剥离TCP/IP、UDP以及电力和工厂系统设备协议。
进一步的,FPGA负责在摆渡过程(数据传输)中检查数据的正确性,如果发现待处理摆渡数据格式不对、摆渡过程遭受疑似攻击或是摆渡过程遭受异常设备加塞,则不会将待处理摆渡数据发至对方。
图4示出了本申请实施例中FPGA工作状态示意图。参见图4,FPGA同时负责控制内网侧设备和外网侧设备的通信使能,不会让内网、外网同时允许通信(没有通信任务的时候,则是双方通信使能全部关闭),而是等待一方发送完一个完整数据帧之后,才开放对方的通信使能。
其中,为控制内网、外网通信协议节奏一致,FPGA上运行有总时钟机制,以便在边缘隔离设备进入工作状态或准备进入工作状态时,调节内网和外网通信协议。
在一些实施例中,边缘隔离设备还包括电源接口12、与电源接口12连接的PWR电源指示灯10和与FPGA连接的FPGA状态指示灯11。
参见图3,电源接口12包括VIN 接口和GND接口。其中VIN 接口连接电源正极,GND接口连接负极。通过电源接口12,可以为缘隔离设备提供DC 24V电源。PWR电源指示灯10用于判断边缘隔离设备的输入电压是否出现异常。PWR电源指示灯10还用于检查边缘隔离设备工作状态是否正常。
例如,若PWR电源指示灯10不亮,则边缘隔离设备的输入电压出现异常,检查边缘隔离设备的输入电压是否正常。若边缘隔离设备的输入电压正常,表示边缘隔离设备工作状态异常,即边缘隔离设备无法正常使用(无法实现物理隔离)。
FPGA状态指示灯11与内网侧设备指示灯8和外网侧设备指示灯9相互配合,用于判断终端上线的状态。
例如,在正常的终端上线状态下,若FPGA状态指示灯闪烁11的状态为1秒一闪,且内网侧设备指示灯8和外网侧设备指示灯9均1.5秒一闪,则表示基于边缘隔离设备的数据通信正常。若FPGA状态指示灯11闪烁的状态为1秒一闪,且内网侧设备指示灯8和外网侧设备指示灯9均0.5秒一闪,则表示基于边缘隔离设备的数据被隔离。
综上可见,边缘隔离设备用于电网终端与网关之间,并遵循国家电网横向业务隔离的需求,采用双网卡加隔离卡的结构,实现业务数据通信过程中的物理隔离,保护网关及电网主机设备的安全。
同时,边缘隔离设备满足工业运行环境,可广泛应用于电力行业,并针对终端到网关的数据业务实施通信摆渡隔离。
图5示出了本申请实施例中边缘隔离方法流程图。参见图5,本实施例中边缘隔离方法包括:
对待处理摆渡数据中所有帧进行如下处理:
步骤501:获取待处理摆渡数据中当前帧。
步骤502:对所述当前帧进行核验,若核验无误,则发送所述当前帧。
步骤503:获取所述当前帧对应的应答帧,完成所述当前帧的摆渡。
在步骤501中,待处理摆渡数据可以是内网侧设备向外网侧设备传输的业务数据。待处理摆渡数据还可以是外网侧设备向内网侧设备传输的业务数据。当前帧为待处理摆渡数据中当前进行摆渡的数据帧。
在本申请实施例中,为方便对通信过程进行描述,以外网侧设备向内网侧设备传输业务数据的通信过程为例,对应用于边缘隔离设备的边缘隔离方法进行阐述。
例如,外网侧设备有多帧数据要摆渡到内网侧设备,则待处理摆渡数据为包括多帧的数据。
在本申请实施例中,多帧数据中每帧的长度可以不相同,但最大长度受帧的阈值限定。
可选的,帧的阈值为1024个字节,则外网侧设备向内网侧设备传输业务数据的通信过程中,每一帧的数据最大长度为1024个字节。
在本申请实施例中,待处理摆渡数据包括的多帧数据,将逐帧从外网侧设备传输至内网侧设备,内网侧设备每接到一个当前帧,就将给外网侧设备回复一个应答帧。
在本申请实施例中,待处理摆渡数据通过第二LAN网口或第二RS485串口,从外网侧设备传输至边缘隔离设备中的外网侧网卡板。边缘隔离设备中的外网侧网卡板获取待处理摆渡数据中当前帧后,将当前帧发送至隔离摆渡核心板。
在本申请实施例中,数据帧传输的通信通道包括SPI通道和UART通道。其中,SPI通道比UART通道的传输速度高。
在步骤502中,经过SPI通道或UART通道传输至隔离摆渡核心板的当前帧,将在隔离摆渡核心板内进行核验。
具体为,经过SPI通道或UART通道传输至隔离摆渡核心板的当前帧将临时被储存至隔离摆渡核心板中的RAM上,隔离摆渡核心板中的FPGA将对储存在RAM上的当前帧进行调用并处理。
进一步的,FPGA将基于预设的数据协议,对当前帧的数据进行检查,若发现当前帧的数据的格式不对,则将当前帧舍弃,不会将当前帧转发给内网侧设备。
更进一步的,当在当前帧传输的通信过程中,若发现疑似攻击或是异常设备加塞,也会在对当前帧进行核验时,判定当前帧存在问题,对当前帧进行舍弃。
基于此,当前帧核验无误,为当前帧的数据的格式正确,并在当前帧传输的通信过程中,未发现疑似攻击或是异常设备加塞。
在本申请实施例中,当对当前帧核对无误后,通过SPI通道或UART通道,当前帧将从隔离摆渡核心板传输至内网侧网卡板。随后,当前帧经过内网侧网卡板后,通过第二LAN网口或第二RS485串口,从内网侧网卡板传输至内网侧设备。
在步骤503中,内网侧设备在获取到当前帧后,将根据当前帧回复当前帧对应的应答帧给内网侧网卡板。应答帧的种类包括妥善接收等待下一帧、妥善接收并且摆渡完毕、接收错误请重传和接收错误并结束摆渡。
在本申请实施例中,基于当前帧从外网侧设备传输至内网侧设备的通信过程,外网侧设备接收到应答帧后,根据应答帧做下一步处理,即完成当前帧的摆渡。
在本申请实施例中,遍历待处理摆渡数据中的每一帧,直至完成所有帧的摆渡,结束对待处理摆渡数据的摆渡过程。
在本申请实施例中,待处理摆渡数据在通信的过程中,每一帧的发送时间,将受运行在FPGA上运行的总时钟机制的控制。总时钟机制基于握手协议,对待处理摆渡数据在通信的过程进行调控。
参见图4,总时钟机制在待处理摆渡数据中每一帧数据进行传输的过程中,都会基于握手协议对每一帧数据的开始时间做标记。当外网侧设备向内网侧设备传输数据时,总时钟机制首先控制外网侧时序开启,外网侧设备到FPGA通信使能(通信允许),FPGA到内网侧设备通信去使能(通信关闭)。其中,在外网侧设备到FPGA通信使能期间,外网侧网卡板将当前帧通过SPI通道或UART通道传输至FPGA。
在本申请实施例中,在FPGA对当前帧核验无误后,总时钟机制再控制内网侧时序开启,外网侧设备到FPGA的通信去使能,FPGA到内网侧设备通信使能。其中,在FPGA到内网侧设备通信使能期间,FPGA将当前帧通过SPI通道或UART通道传输至外网侧网卡板。
在本申请实施例中,从外网侧设备到内网侧设备进行数据传输时,数据传输的时间根据每一帧数据量的大小确定。例如,若每一帧的数据量一致,则出现如图4所示的等量时序。
在一些实施例中,在对待处理摆渡数据中所有帧进行处理之前,包括:步骤A1-步骤A3。
步骤A1:选择摆渡方式类型,所述摆渡方式类型包括网口摆渡方式和串口摆渡方式,所述网口摆渡方式和所述串口摆渡方式单独使用。
步骤A2:若选择网口摆渡方式,则则待处理摆渡数据基于边缘隔离设备提供的单个隔离通道进行摆渡。
步骤A3:若选择串口摆渡方式,则则待处理摆渡数据基于边缘隔离设备提供的至少两个独立隔离通道进行摆渡。
在本申请实施例中,以网口摆渡方式进行摆渡时,一台边缘隔离设备只能提供一个SPI通道,同一时刻,不可以有两个以上的设备同时向对方发送数据。如需要多设备摆渡,则应分时摆渡,即下一台设备应等待上一台设备的一系列数据帧摆渡完毕才能摆渡。
图6示出了本申请实施例中以网口摆渡方式进行摆渡的示意图。参见图6, 以网口摆渡方式进行摆渡时,同侧(内侧或外侧)两个设备不可同时向另一侧(对方)设备发送数据,或这一侧一个设备向另一侧(对方)一个设备发送的数据的时候,不可出现另一侧(对方)一个设备向这一侧一个设备发送数据。
在本申请实施例中,以串口摆渡方式进行摆渡时,一台边缘隔离设备提供两个相对独立的隔离通道(即外网侧第一设备对内网侧第一设备的第一隔离通道,外网侧第二设备对内网侧第二设备的第二隔离通道)。
图7示出了本申请实施例中以串口摆渡方式进行摆渡的示意图。参见图7,无论第一隔离通道还是第二隔离通道,第一隔离通道或第二隔离通道单路传输时使用SPI通道。第一隔离通道和第二隔离通道双路同时摆渡时,第一隔离通道启用SPI通道,第二隔离通道启用UART通道。
在本申请实施例中,隔离通道的数量根据边缘隔离设备包括的隔离通路确定,若边缘隔离设备至少包括两路隔离通道,则以串口摆渡方式进行摆渡时,可为待处理摆渡数据提供的至少两个独立隔离通道进行摆渡。
在本申请实施例中,网口摆渡方式和串口摆渡方式不可以同时使用。
在一些实施例中,在选择摆渡方式类型之前包括:步骤B。
步骤B:通过RS485串口,内网侧设备与外网侧设备分别与边缘隔离设备进行网口配置。
在本申请实施例中,内网侧设备与外网侧设备使用配置软件分别与边缘隔离设备进行网口配置。其中,配置软件采用MK600.exe为配置工具对边缘隔离设备进行网口配置。
图8示出了本申请实施例中边缘隔离设备进行网口配置的示意图。参见图8,边缘隔离设备支持网口隔离或 485 隔离,通过模式选择参数进行配置。具体地,LAN网口用于数据传输,并被限定为网络隔离可用,485 隔离不可用。RS485串口用于数据传输和用户配置,并被限定为485 隔离可用,网络隔离不可用。
例如,边缘隔离设备配置为网口隔离时,通过网络模式选择参数进行配置网口工作模式,具体含义如下;
server:本地网口被配置成服务端。
client:本地网口被配置成客户端。
在本申请实施例中,配置的参数包括接口参数、网络参数和通用参数。其中,接口参数如表1所示:
表1:接口参数
| 参数 | 值 |
| 串口号 | 依据电脑实际情况选择 |
| 波特率 | 9600(参数配置) |
| 数据位 | 8 |
| 校验位 | None |
| 停止位 | 1 |
网络参数如表2所示:
表2:网络参数
| 参数 | 值 |
| IP | 本地 IP |
| MASK | 本地子网掩码 |
| GW | 本地网关 |
| MAC | 本地 MAC |
| PORT | 本地端口 |
| 服务端 IP | 服务器 IP |
| 服务端 PORT | 服务器端口 |
通用参数如表3所示:
表3:通用参数
| 参数 | 值 |
| app 程序版本 | 保留 |
| 模式选择 | RS485(485 隔离)/LAN(网口隔离) |
| 网络模式 | 网口隔离状态下网口的工作模式(server、client) |
综上可见,边缘隔离方法着眼于网络边界安全,可以解决电网边缘环节各区网络的横向隔离问题。
需要说明的是,对于前述的各方法实施例,为了简单描述,故将其都表述为一系列的动作组合,但是本领域技术人员应该知悉,本申请并不受所描述的动作顺序的限制,因为依据本申请,某些步骤可以采用其他顺序或者同时进行。其次,本领域技术人员也应该知悉,说明书中所描述的实施例均属于可选实施例,所涉及的动作和模块并不一定是本申请所必须的。
以上是关于方法实施例的介绍,以下通过装置实施例,对本申请所述方案进行进一步说明。
图9示出了本申请实施例的一种边缘隔离装置的结构图。参见图9,该边缘隔离装置包括获取模块901、核验模块902和完成模块903。
获取模块901,用于获取待处理摆渡数据中当前帧。
核验模块902,用于对所述当前帧进行核验,若核验无误,则发送所述当前帧。
完成模块903,用于获取所述当前帧对应的应答帧,完成所述当前帧的摆渡。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,所述描述的模块的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
在一些实施例中,边缘隔离方法可以由电子设备执行。
图10示出了适于用来实现本申请实施例的电子设备的结构示意图。如图10所示,图10所示的电子设备1000包括:处理器1001和存储器1003。其中,处理器1001和存储器1003相连。可选地,电子设备1000还可以包括收发器1004。需要说明的是,实际应用中收发器1004不限于一个,该电子设备1000的结构并不构成对本申请实施例的限定。
处理器1001可以是CPU(Central Processing Unit,中央处理器),通用处理器,DSP(Digital Signal Processor,数据信号处理器),ASIC(Application SpecificIntegrated Circuit,专用集成电路),FPGA(Field Programmable Gate Array,现场可编程门阵列)或者其他可编程逻辑器件、晶体管逻辑器件、硬件部件或者其任意组合。其可以实现或执行结合本申请公开内容所描述的各种示例性的逻辑方框,模块和电路。处理器301也可以是实现计算功能的组合,例如包含一个或多个微处理器组合,DSP和微处理器的组合等。
总线1002可包括一通路,在上述组件之间传送信息。总线1002可以是PCI(Peripheral Component Interconnect,外设部件互连标准)总线或EISA(ExtendedIndustry Standard Architecture,扩展工业标准结构)总线等。总线1002可以分为地址总线、数据总线、控制总线等。为便于表示,图10中仅用一条粗线表示,但并不表示仅有一根总线或一种类型的总线。
存储器1003可以是ROM(Read Only Memory,只读存储器)或可存储静态信息和指令的其他类型的静态存储设备,RAM(Random Access Memory,随机存取存储器)或者可存储信息和指令的其他类型的动态存储设备,也可以是EEPROM(Electrically ErasableProgrammable Read Only Memory,电可擦可编程只读存储器)、CD-ROM(Compact DiscRead Only Memory,只读光盘)或其他光盘存储、光碟存储(包括压缩光碟、激光碟、光碟、数字通用光碟、蓝光光碟等)、磁盘存储介质或者其他磁存储设备、或者能够用于携带或存储具有指令或数据结构形式的期望的程序代码并能够由计算机存取的任何其他介质,但不限于此。
存储器1003用于存储执行本申请方案的应用程序代码,并由处理器1001来控制执行。处理器1001用于执行存储器1003中存储的应用程序代码,以实现前述方法实施例所示的内容。
其中,电子设备包括但不限于:移动电话、笔记本电脑、数字广播接收器、PDA(个人数字助理)、PAD(平板电脑)、PMP(便携式多媒体播放器)、车载终端(例如车载导航终端)等等的移动终端以及诸如数字TV、台式计算机等等的固定终端。图10示出的电子设备仅仅是一个示例,不应对本申请实施例的功能和使用范围带来任何限制。
本申请实施例提供了一种计算机可读存储介质,该计算机可读存储介质上存储有计算机程序,当其在计算机上运行时,使得计算机可以执行前述方法实施例中相应内容。与现有技术相比,本申请实施例中,内网侧网卡板与内网侧设备连接,外网侧网卡板与外网侧设备连接;隔离摆渡核心板分别与内网侧网卡板和外网侧网卡板连接,实现电网边缘环节内外网的物理隔离,能够改善在电力行业中,针对业务数据通信过程中的物理隔离,电网边缘环节各区网络的横向隔离问题还并未解决的问题,达到解决电网边缘环节各区网络的横向隔离问题,实现业务数据通信过程中的物理隔离的效果。
应该理解的是,虽然附图的流程图中的各个步骤按照箭头的指示依次显示,但是这些步骤并不是必然按照箭头指示的顺序依次执行。除非本文中有明确的说明,这些步骤的执行并没有严格的顺序限制,其可以以其他的顺序执行。而且,附图的流程图中的至少一部分步骤可以包括多个子步骤或者多个阶段,这些子步骤或者阶段并不必然是在同一时刻执行完成,而是可以在不同的时刻执行,其执行顺序也不必然是依次进行,而是可以与其他步骤或者其他步骤的子步骤或者阶段的至少一部分轮流或者交替地执行。
以上所述仅是本申请的部分实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本申请原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也应视为本申请的保护范围。
Claims (10)
1.一种边缘隔离设备,其特征在于,包括:
内网侧网卡板,用于与内网侧设备连接;
外网侧网卡板,用于与外网侧设备连接;
隔离摆渡核心板,分别与所述内网侧网卡板和所述外网侧网卡板连接,用于实现电网边缘环节内外网的隔离。
2.根据权利要求1所述的边缘隔离设备,其特征在于,
所述内网侧网卡板连接有第一LAN网口、第一RS485串口和内网侧设备指示灯;
所述外网侧网卡板连接有第二LAN网口、第二RS485串口和外网侧设备指示灯。
3.根据权利要求1所述的边缘隔离设备,其特征在于,
所述隔离摆渡核心板包括FPGA和集成在所述FPGA上的RAM。
4.根据权利要求1所述的边缘隔离设备,其特征在于,还包括:
电源接口、与所述电源接口连接的PWR电源指示灯和与所述FPGA连接的FPGA状态指示灯。
5.一种边缘隔离方法,应用于边缘隔离设备,其特征在于,包括:
对待处理摆渡数据中所有帧进行如下处理:
获取待处理摆渡数据中当前帧;
对所述当前帧进行核验,若核验无误,则发送所述当前帧;
获取所述当前帧对应的应答帧,完成所述当前帧的摆渡。
6.根据权利要求5所述的方法,其特征在于,在对待处理摆渡数据中所有帧进行处理之前,包括:
选择摆渡方式类型,所述摆渡方式类型包括网口摆渡方式和串口摆渡方式,所述网口摆渡方式和所述串口摆渡方式单独使用;
若选择网口摆渡方式,则待处理摆渡数据基于边缘隔离设备提供的单个隔离通道进行摆渡;
若选择串口摆渡方式,则待处理摆渡数据基于边缘隔离设备提供的至少两个独立隔离通道进行摆渡。
7.根据权利要求6所述的方法,其特征在于,在选择摆渡方式类型之前,包括:
通过RS485串口,内网侧设备与外网侧设备分别与边缘隔离设备进行网口配置。
8.一种边缘隔离装置,其特征在于,包括:
获取模块,用于获取待处理摆渡数据中当前帧;
核验模块,用于对所述当前帧进行核验,若核验无误,则发送所述当前帧;
完成模块,用于获取所述当前帧对应的应答帧,完成所述当前帧的摆渡。
9.一种电子设备,包括存储器和处理器,所述存储器上存储有计算机程序,其特征在于,所述处理器执行所述计算机程序时实现如权利要求5至7中任一项所述的方法。
10.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现如权利要求5至7中任一项所述的方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210024099.3A CN114095275A (zh) | 2022-01-11 | 2022-01-11 | 边缘隔离设备和方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210024099.3A CN114095275A (zh) | 2022-01-11 | 2022-01-11 | 边缘隔离设备和方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN114095275A true CN114095275A (zh) | 2022-02-25 |
Family
ID=80308473
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202210024099.3A Pending CN114095275A (zh) | 2022-01-11 | 2022-01-11 | 边缘隔离设备和方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN114095275A (zh) |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN2643556Y (zh) * | 2003-04-02 | 2004-09-22 | 北京寰龙科技开发有限公司 | 物理隔离器 |
| US20160266925A1 (en) * | 2013-10-23 | 2016-09-15 | Hangzhou H3C Technologies Co., Ltd. | Data forwarding |
| CN106502951A (zh) * | 2016-10-21 | 2017-03-15 | 南京南瑞集团公司 | Pcie接口数据摆渡卡及其摆渡数据的方法 |
| CN207475607U (zh) * | 2017-12-07 | 2018-06-08 | 北京中科伏瑞电气技术有限公司 | 一种电力数据隔离交换装置 |
| CN110943913A (zh) * | 2019-07-31 | 2020-03-31 | 广东互动电子网络媒体有限公司 | 一种工业安全隔离网关 |
-
2022
- 2022-01-11 CN CN202210024099.3A patent/CN114095275A/zh active Pending
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN2643556Y (zh) * | 2003-04-02 | 2004-09-22 | 北京寰龙科技开发有限公司 | 物理隔离器 |
| US20160266925A1 (en) * | 2013-10-23 | 2016-09-15 | Hangzhou H3C Technologies Co., Ltd. | Data forwarding |
| CN106502951A (zh) * | 2016-10-21 | 2017-03-15 | 南京南瑞集团公司 | Pcie接口数据摆渡卡及其摆渡数据的方法 |
| CN207475607U (zh) * | 2017-12-07 | 2018-06-08 | 北京中科伏瑞电气技术有限公司 | 一种电力数据隔离交换装置 |
| CN110943913A (zh) * | 2019-07-31 | 2020-03-31 | 广东互动电子网络媒体有限公司 | 一种工业安全隔离网关 |
Non-Patent Citations (1)
| Title |
|---|
| 王永建等: "网络安全物理隔离技术分析及展望", 《信息安全与通信保密》 * |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US8700820B2 (en) | Method for accessing USB device attached to home gateway, home gateway and terminal | |
| CN107070907A (zh) | 内外网数据单向传输方法及系统 | |
| CN111385180B (zh) | 通信隧道构建方法、装置、设备及介质 | |
| CN105450652A (zh) | 一种认证方法、装置及系统 | |
| CN111614580A (zh) | 一种数据转发方法、装置及设备 | |
| US7961614B2 (en) | Information processing device, information processing method, and recording medium for reducing consumption of memory capacity | |
| CN105373891A (zh) | 智能电网数据管理和传输系统 | |
| CN104539600A (zh) | 一种支持过滤iec104协议的工控防火墙实现方法 | |
| CN106888185B (zh) | 一种基于串行链路的工业网络安全防护方法 | |
| CN109068328B (zh) | 安全网络通信方法、终端及系统 | |
| CN108055172B (zh) | 一种双向转发检测方法及装置 | |
| US7181675B2 (en) | System and method for checksum offloading | |
| US20180248910A1 (en) | Anti-Attack Data Transmission Method and Device | |
| CN114095275A (zh) | 边缘隔离设备和方法 | |
| US20220116827A1 (en) | Bidirectional Forwarding Detection (BFD) Parameter Negotiation Method, Apparatus and Chip | |
| US20100229041A1 (en) | Device and method for expediting feedback on changes of connection status of monitioring equipments | |
| CN114978563B (zh) | 一种封堵ip地址的方法及装置 | |
| CN114598675A (zh) | 基于arp实现主机阻断的控制方法、装置、设备及介质 | |
| CN112995508A (zh) | 智能相机 | |
| US8812741B2 (en) | Management data input/output protocol with page write extension | |
| CN113037696A (zh) | 一种数据传输方法、系统服务器、存储介质和计算机设备 | |
| CN101257524A (zh) | 终端、通信设备和终端工作状态的识别方法 | |
| RU2545516C2 (ru) | Устройство обнаружения атак в беспроводных сетях стандарта 802.11g | |
| CN114978954B (zh) | 网络隔离有效性验证方法、装置、设备及存储介质 | |
| CN110545256A (zh) | 数据传输方法、系统、电子设备、中转服务器及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20220225 |