CN114745454A - 边界防护装置、系统、方法、计算机设备及存储介质 - Google Patents
边界防护装置、系统、方法、计算机设备及存储介质 Download PDFInfo
- Publication number
- CN114745454A CN114745454A CN202210372374.0A CN202210372374A CN114745454A CN 114745454 A CN114745454 A CN 114745454A CN 202210372374 A CN202210372374 A CN 202210372374A CN 114745454 A CN114745454 A CN 114745454A
- Authority
- CN
- China
- Prior art keywords
- processing unit
- message
- transmitted
- service host
- host
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 36
- 238000012545 processing Methods 0.000 claims abstract description 130
- 230000005540 biological transmission Effects 0.000 claims abstract description 114
- 238000002955 isolation Methods 0.000 claims abstract description 35
- 238000004891 communication Methods 0.000 claims abstract description 22
- 239000000284 extract Substances 0.000 claims abstract description 7
- 238000004590 computer program Methods 0.000 claims description 24
- 230000002159 abnormal effect Effects 0.000 claims description 9
- 238000012544 monitoring process Methods 0.000 description 11
- 230000007123 defense Effects 0.000 description 7
- 238000010586 diagram Methods 0.000 description 6
- 238000001914 filtration Methods 0.000 description 6
- 230000008569 process Effects 0.000 description 6
- 230000007246 mechanism Effects 0.000 description 4
- 230000000903 blocking effect Effects 0.000 description 3
- 238000005516 engineering process Methods 0.000 description 3
- 238000004364 calculation method Methods 0.000 description 2
- 230000009977 dual effect Effects 0.000 description 2
- 238000005192 partition Methods 0.000 description 2
- OKTJSMMVPCPJKN-UHFFFAOYSA-N Carbon Chemical compound [C] OKTJSMMVPCPJKN-UHFFFAOYSA-N 0.000 description 1
- 238000004458 analytical method Methods 0.000 description 1
- 230000001413 cellular effect Effects 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 238000001514 detection method Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 230000006870 function Effects 0.000 description 1
- 229910021389 graphene Inorganic materials 0.000 description 1
- 239000004973 liquid crystal related substance Substances 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 238000011160 research Methods 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
- 239000000126 substance Substances 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/22—Parsing or analysis of headers
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/10—Active monitoring, e.g. heartbeat, ping or trace-route
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/16—Implementation or adaptation of Internet protocol [IP], of transmission control protocol [TCP] or of user datagram protocol [UDP]
- H04L69/161—Implementation details of TCP/IP or UDP/IP stack architecture; Specification of modified or new header fields
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y04—INFORMATION OR COMMUNICATION TECHNOLOGIES HAVING AN IMPACT ON OTHER TECHNOLOGY AREAS
- Y04S—SYSTEMS INTEGRATING TECHNOLOGIES RELATED TO POWER NETWORK OPERATION, COMMUNICATION OR INFORMATION TECHNOLOGIES FOR IMPROVING THE ELECTRICAL POWER GENERATION, TRANSMISSION, DISTRIBUTION, MANAGEMENT OR USAGE, i.e. SMART GRIDS
- Y04S40/00—Systems for electrical power generation, transmission, distribution or end-user application management characterised by the use of communication or information technologies, or communication or information technology specific aspects supporting them
- Y04S40/20—Information technology specific aspects, e.g. CAD, simulation, modelling, system security
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Health & Medical Sciences (AREA)
- Cardiology (AREA)
- General Health & Medical Sciences (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请涉及一种边界防护装置、系统、方法、计算机设备及存储介质,所述装置包括第一业务主机、第二业务主机、第一处理单元、第二处理单元和隔离部件,所述第一处理单元通过所述隔离部件与所述第二处理单元通信连接;所述第一处理单元,用于接收所述第一业务主机发送的待传输报文,并提取所述待传输报文中的数据信息,通过所述隔离部件将所述数据信息传输至所述第二处理单元;所述第二处理单元,用于接收所述第一处理单元发送的所述数据信息,并基于所述数据信息生成目标报文,将所述目标报文发送至所述第二业务主机。采用本方案不仅能够实现不同业务主机之间的数据交换,保证数据通过指定通道传输,而且提高了不同业务主机之间的通信安全性。
Description
技术领域
本申请涉及电力监控技术领域,特别是涉及一种边界防护装置、系统、方法、计算机设备、存储介质和计算机程序产品。
背景技术
近几年来,随着电力领域的改革,电力信息的安全成为电力改革内容的重要衡量指标,因此,如何建立安全的电力防护措施成为研究的重点。目前电网已按照“安全分区、网络专用、横向隔离、纵向认证”的总体策略,初步建立了安全防护体系。
但是,随着分布式新能源、配网自动化、智能电网、无人值守变电站等新技术的快速发展和应用,电力监控系统使用无线公网进行数据通信的情况日益普遍,已突破传统的分区网络隔离,同时随着数字电网的改革,电力监控系统已由一区、二区、三区向四、五区延伸,部分电力监控系统由一区、二区直接面向公网,传统的安全防护体系已无法完全满足电力监控系统的安全防护要求,因此亟需提出全面的安全防护策略,有效提高电力监控系统内不同安全区设备之间的通信安全性及性能,解决电力监控系统因数字变革带来的工控本质安全问题。
发明内容
基于此,有必要针对上述传统的安全防护体系已无法完全满足电力监控系统的安全防护要求的技术问题,提供一种边界防护装置、系统、方法、计算机设备、计算机可读存储介质和计算机程序产品。
第一方面,本申请提供了一种边界防护装置。所述装置包括第一业务主机、第二业务主机、第一处理单元、第二处理单元和隔离部件,所述第一处理单元通过所述隔离部件与所述第二处理单元通信连接;所述第一处理单元与所述第一业务主机通信连接,所述第二处理单元与所述第二业务主机通信连接;
所述第一处理单元,用于接收所述第一业务主机发送的待传输报文,并提取所述待传输报文中的数据信息,通过所述隔离部件将所述数据信息传输至所述第二处理单元;
所述第二处理单元,用于接收所述第一处理单元发送的所述数据信息,并基于所述数据信息生成目标报文,将所述目标报文发送至所述第二业务主机。
在其中一个实施例中,所述第一处理单元,还用于在接收所述第一业务主机发送的待传输报文时,将所述待传输报文与预设传输条件进行比对;若所述待传输报文满足所述预设传输条件,则提取所述待传输报文中的数据信息。
所述第一处理单元,还用于对所述待传输报文的报文首部进行解析,得到所述待传输报文的配置信息;若所述配置信息满足预设配置规则,则确定所述待传输报文满足所述预设传输条件;
或者,对所述待传输报文的报文首部进行解析,得到所述待传输报文的传输协议;若所述待传输报文符合所述传输协议对应的匹配规则,则确定所述待传输报文满足所述预设传输条件。
在其中一个实施例中,所述第一处理单元通过第一传输协议与所述第一业务主机进行报文传输,所述第二处理单元通过第二传输协议与所述第二业务主机进行报文传输。
在其中一个实施例中,所述装置还包括第一加密部件和第二加密部件,所述第一加密部件与所述第一处理单元连接,所述第二加密部件与所述第二处理单元连接;
所述第一加密部件,用于对所述第一处理单元提取的所述数据信息进行加密,得到加密信息,使所述第一处理单元通过所述隔离部件将所述加密信息传输至所述第二处理单元;
所述第二加密部件,用于对所述第二处理单元接收的所述加密信息进行解密,得到解密信息,使所述第二处理单元基于所述解密信息生成所述目标报文。
在其中一个实施例中,所述装置还包括旁路单元,所述旁路单元包括第一数据传输端口、第二数据传输端口和旁路继电器,所述第一数据传输端口和所述第二数据传输端口均与所述旁路继电器电连接,所述第一数据传输端口连接至所述第一业务主机,所述第二数据传输端口连接至所述第二业务主机;
所述旁路单元,用于在所述边界防护装置出现异常的情况下,控制所述旁路继电器闭合,以使所述第一业务主机发送的待传输报文可通过所述第一数据传输端口和所述第二数据传输端口传输至所述第二业务主机。
第二方面,本申请还提供了一种边界防护系统。所述系统包括边界防护主机及所述边界防护主机对应的边界防护备机,所述边界防护主机和所述边界防护备机中均设置上述实施例所述的边界防护装置。
在其中一个实施例中,所述边界防护备机,用于检测所述边界防护主机发送的心跳报文,根据所述心跳报文确定所述边界防护主机的状态,并在所述边界防护主机的状态异常时自动启动,以使所述边界防护备机替代所述边界防护主机实现第一业务主机和第二业务主机之间的报文传输。
在其中一个实施例中,所述边界防护主机和所述边界防护备机均为多个。
第三方面,本申请还提供了一种边界防护方法。所述方法应用于第一处理单元,包括:
接收第一业务主机发送的待传输报文,并提取所述待传输报文中的数据信息;
通过隔离部件将所述数据信息传输至第二处理单元,以使所述第二处理单元基于所述数据信息生成目标报文,将所述目标报文发送至第二业务主机。
在其中一个实施例中,在接收第一业务主机发送的待传输报文之后,还包括:将所述待传输报文与预设传输条件进行比对;若所述待传输报文满足所述预设传输条件,则提取所述待传输报文中的数据信息。
在其中一个实施例中,所述方法还包括:
对待传输报文的报文首部进行解析,得到待传输报文的配置信息;若配置信息满足预设配置规则,则确定待传输报文满足预设传输条件;
或者,对待传输报文的报文首部进行解析,得到待传输报文的传输协议;若待传输报文符合传输协议对应的匹配规则,则确定待传输报文满足预设传输条件。
第四方面,本申请还提供了一种计算机设备。所述计算机设备包括存储器和处理器,所述存储器存储有计算机程序,所述处理器执行所述计算机程序时实现以下步骤:
接收第一业务主机发送的待传输报文,并提取所述待传输报文中的数据信息;
通过隔离部件将所述数据信息传输至第二处理单元,以使所述第二处理单元基于所述数据信息生成目标报文,将所述目标报文发送至第二业务主机。
第五方面,本申请还提供了一种计算机可读存储介质。所述计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现以下步骤:
接收第一业务主机发送的待传输报文,并提取所述待传输报文中的数据信息;
通过隔离部件将所述数据信息传输至第二处理单元,以使所述第二处理单元基于所述数据信息生成目标报文,将所述目标报文发送至第二业务主机。
第六方面,本申请还提供了一种计算机程序产品。所述计算机程序产品,包括计算机程序,该计算机程序被处理器执行时实现以下步骤:
接收第一业务主机发送的待传输报文,并提取所述待传输报文中的数据信息;
通过隔离部件将所述数据信息传输至第二处理单元,以使所述第二处理单元基于所述数据信息生成目标报文,将所述目标报文发送至第二业务主机。
上述边界防护装置、系统、方法、计算机设备、存储介质和计算机程序产品,通过使用两个处理单元分别与两个不同的业务主机通信,并且两个处理单元之间通过采用隔离部件的方式,进行纯粹的数据传输,不仅能够实现不同业务主机之间的数据交换,保证数据通过指定通道传输,而且提高了不同业务主机之间的通信安全性。
附图说明
图1为一个实施例中边界防护装置的结构示意图;
图2为另一个实施例中边界防护装置的结构示意图;
图3为一个实施例中边界防护系统的结构示意图;
图4为一个实施例中边界防护方法的流程示意图;
图5为一个实施例中计算机设备的内部结构图。
具体实施方式
为了使本申请的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本申请进行进一步详细说明。应当理解,此处描述的具体实施例仅仅用以解释本申请,并不用于限定本申请。
需要说明的是,本申请的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的本申请的实施例能够以除了在这里图示或描述的那些以外的顺序实施。还需要说明的是,本申请所涉及的用户信息(包括但不限于用户设备信息、用户个人信息等)和数据(包括但不限于用于分析的数据、存储的数据、展示的数据等),均为经用户授权或者经过各方充分授权的信息和数据。
参考图1,为一示例性实施例示出的边界防护装置100的结构示意图,如图1所示,边界防护装置100包括第一处理单元101、第二处理单元102和隔离部件103,第一处理单元101可以通过隔离部件103与第二处理单元102通信连接;第一处理单元101与第一业务主机201通信连接,第二处理单元102与第二业务主机202通信连接。其中,
第一处理单元101,用于接收第一业务主机201发送的待传输报文,并提取待传输报文中的数据信息,通过隔离部件将数据信息传输至第二处理单元102;
第二处理单元102,用于接收第一处理单元101发送的数据信息,并基于数据信息生成目标报文,将目标报文发送至第二业务主机202。
其中,第一业务主机201和第二业务主机202可以位于不同的安全区内。
其中,边界防护装置100可以采用“2+1”硬件体系结构,即可以包含双嵌入式主机(即第一处理单元101和第二处理单元102)和专用隔离部件(即隔离部件103),双嵌入式主机之间采用专用隔离部件进行单向通信。
具体实现中,第一处理单元101可以被配置为通过第一通信接口与第一业务主机201连接,以接收第一业务主机201发送的待传输报文,并提取待传输报文中的数据信息,通过隔离部件103将数据信息传输至第二处理单元102。第二处理单元102可以被配置为通过第二通信接口与第二业务主机202连接,以基于接收的数据信息生成目标报文,并将目标报文发送至第二业务主机202。
在实际应用中,边界防护装置100可以应用于电力监控系统中,第一业务主机201可以为电力监控系统高安全区内的设备,第二业务主机202可以为电力监控系统低安全区内的设备。具体地,第一处理单元101可以采用代理机制,与高安全区的第一业务主机201实现传输控制协议(Transmission Control Protocol,TCP)握手和断开机制,该过程终止于第一处理单元101;第二处理单元102可以采用代理机制,与低安全区的第二业务主机202实现TCP握手和断开机制,该过程终止于第二处理单元102。第一处理单元101与第二处理单元102之间通过隔离部件103进行数据传输,由于第一处理单元101与第二处理单元102之间没有任何协议如TCP的握手或断开等信息,是纯粹的应用数据传输,因此可以为不同安全区内的设备提供一条安全的信息通道。
在实际应用中,第一处理单元101、第二处理单元102和隔离部件103可以采用自主可控的零部件,以保证设备的硬件安全性;边界防护装置100的操作系统也可以采用自主可控的操作系统,以保证操作系统的安全性。
本实施例提供的边界防护装置,通过使用两个处理单元分别与两个不同的业务主机通信,并且两个处理单元之间通过采用隔离部件的方式,进行纯粹的数据传输,不仅能够实现不同业务主机之间的数据交换,保证数据通过指定通道传输,而且提高了不同业务主机之间的通信安全性。
在一示例性实施例中,第一处理单元101,还用于在接收到第一业务主机201发送的待传输报文时,将待传输报文与预设传输条件进行比对;若待传输报文满足预设传输条件,则提取待传输报文中的数据信息。
具体实现中,第一处理单元101可以连接受保护的高安全区设备(即第一业务主机201),接收高安全区设备发送的报文,并运行专用的软件,负责根据预设传输条件识别、过滤、丢弃、封装各种网络信息,通过隔离部件103向第二处理单102传递信息,从而提供一条安全信息通道。同样地,第二处理单102可以连接低安全区设备(即第二业务主机202),接收低安全区设备发送的报文,同样运行专用的软件,负责根据预设传输条件识别、过滤、丢弃、封装各种网络信息,通过隔离部件103向第一处理单101传递信息,从而提供一条安全信息通道。
本实施例中,第一处理单元在接收到第一业务主机发送的待传输报文时,先通过预设传输条件对待传输报文进行安全识别,在待传输报文满足预设传输条件时,才进一步提取待传输报文中的数据信息,传输至第二处理单元,可以保证所传输报文的安全性。
进一步地,在一示例性实施例中,第一处理单元101将待传输报文与预设传输条件进行比对的方式包括:对待传输报文的报文首部进行解析,得到待传输报文的配置信息;若配置信息满足预设配置规则,则确定待传输报文满足预设传输条件;
或者,对待传输报文的报文首部进行解析,得到待传输报文的传输协议;若待传输报文符合传输协议对应的匹配规则,则确定待传输报文满足预设传输条件。
其中,配置信息可包括源媒体存取控制(Media Access Control,MAC)地址、目的MAC地址、源互联网协议(Internet Protocol,IP)地址、目的IP地址、源端口、目的端口和传输协议等信息。
具体实现中,确定待传输报文是否满足预设传输条件的方式有多种,例如:
在一种实现方式中,第一处理单元101可以对待传输报文的报文首部进行解析,得到待传输报文的配置信息,并根据预设配置规则,基于待传输报文的配置信息进行基础过滤,将不符合预设配置规则的报文丢弃。其中,预设配置规则可以根据实际需要进行预先设置,也可以由安全控制中心或态势感知系统发送至边界防护装置100,本申请对此不作限制。可以理解的是,通过对待传输报文的配置信息进行过滤,可以准确判断待传输报文在业务层的合法性和安全性,实现业务层报文的阻断和告警。
在另一种实现方式中,第一处理单元101还可以对待传输报文的报文首部进行解析,确定待传输报文的传输协议,并通过传输协议对应的匹配规则对待传输报文进行识别,判断待传输报文是否为异常协议报文,将识别异常的报文丢弃。可以理解的是,通过利用待传输报文的传输协议对应的匹配规则对待传输报文进行过滤,可以准确判断待传输报文是否满足该传输协议对应的规则,实现应用层报文的阻断和告警,进一步保证报文的合法性和安全性。
在又一种实现方式中,还可以定制开发针对特定协议的安全检测,例如维护一个传输协议的白名单/黑名单,如果第一处理单元101识别待传输报文的传输协议位于白名单/黑名单中,直接判定满足/不满足预设传输条件。
需要说明的是,在一些可能的实施例中,还可以通过其他方法来判断待传输报文是否满足预设传输条件,本申请对此不作限制。例如,针对某些特定传输协议,还可以通过关键字过滤等方式来判断待传输报文是否满足预设传输条件。具体地,当第一处理单元101确定待传输报文的传输协议后,可以确定传输协议对应的关键字信息,并判断待传输报文是否包含关键字,当待传输报文包含(或者不包含)关键字信息,则可以判定满足预设传输条件。
本实施例中,在报文传输过程中通过多种信息对报文进行过滤,仅响应符合安全策略的报文,能够实现对可疑报文和具有潜在威胁报文的阻挡和管控。
在一示例性实施例中,第一处理单元101通过第一传输协议与第一业务主机201进行报文传输,第二处理单元102通过第二传输协议与第二业务主机202进行报文传输。
其中,第一传输协议和第二传输协议不相同。
其中,第一传输协议或第二传输协议可以为预设的工控协议、常用的TCP/IP协议以及自定义的传输协议等。其中,工控协议可以为电力系统常见的工控协议,包括IEC61850、IEC60870-101/102/104/103、tase2、dl476、MODBUS、OPC等协议中的任意一种或多种,所述TCP/IP协议可以包括HTTP、SFTP、SMTP、FTP、RPC等协议。
本实施例中,通过在第一处理单元和第一业务主机之间,以及第二处理单元和第二业务主机之间设置两种不同的传输协议,避免第一处理单元与第二业务主机,或第二处理单元与第一业务主机之间的通信可能性,从而进一步保证报文传输的安全性。
在一示例性实施例中,如图2所示,边界防护装置100还包括第一加密部件104和第二加密部件105,第一加密部件104与第一处理单元101连接,第二加密部件105与第二处理单元102连接;
第一加密部件104,用于对第一处理单元101提取的数据信息进行加密,得到加密信息,使第一处理单元101通过隔离部件将加密信息传输至第二处理单元;
第二加密部件105,用于对第二处理单元102接收的加密信息进行解密,得到解密信息,使第二处理单元102基于解密信息生成目标报文。
其中,第一加密部件和第二加密部件均可以进行加密和解密操作。
可以理解的是,当从第二业务主机向第一业务主机传输报文时,则第二加密部件将用于对第二处理单元提取的数据信息进行加密,而第一加密部件,则用于对第一处理单元接收的加密信息进行解密。
具体实现中,第一加密部件104和第二加密部件105可以为加密卡等安全芯片,第一处理单元101可以调用第一加密部件104的加密接口,满足需要的加解密计算过程,第二处理单元102可以调用第二加密部件105的加密接口,满足需要的加解密计算过程。
本实施例中,通过设置加密部件对传输报文进行加密和解密,能够进一步提高报文传输的安全性。
在一示例性实施例中,边界防护装置100还包括旁路单元,旁路单元包括第一数据传输端口、第二数据传输端口和旁路继电器,第一数据传输端口和第二数据传输端口均与旁路继电器电连接,第一数据传输端口连接至第一业务主机201,第二数据传输端口连接至第二业务主机202;
旁路单元,用于在边界防护装置出现异常的情况下,控制旁路继电器闭合,以使第一业务主机201发送的待传输报文可通过第一数据传输端口和第二数据传输端口传输至第二业务主机202。
具体实现中,当检测到界面防护装置出现故障或断电等的异常情况下,可以由旁路单元发送闭合指令至旁路继电器,控制旁路继电器闭合,以使第一业务主机201发送的待传输报文可通过第一数据传输端口和第二数据传输端口传输至第二业务主机202,保证报文的正常传输。
本实施例中,当边界防护装置100故障或断电时,可以自动合上旁路继电器,进入旁路模式,使得第一业务主机201发送的待传输报文可以经旁路通过,以保证业务的正常运行。
参考图3,为一示例性实施例提供的一种边界防护系统300的结构示意图,如图3所示,边界防护系统300包括边界防护主机301及其对应的边界防护备机302,边界防护主机301和边界防护备机302中均设置有如图1所示的边界防护装置100。
进一步地,在一示例性实施例中,边界防护备机302被配置成检测边界防护主机301发送的心跳报文,根据所述心跳报文确定边界防护主机301的状态,当边界防护主机301的状态异常时自动启动,以使得边界防护备机302替代边界防护主机301实现第一业务主机201和第二业务主机202之间的报文传输。
具体地,边界防护备机302还可以通过检测边界防护主机301发送的心跳报文,来完成链路状态数据的备份;当边界防护备机302检测到边界防护主机301故障后,立刻启动,由于链路状态数据是实时备份的,因而能够实现链路的无缝切换;当边界防护备机302检测到边界防护主机301恢复后,立即将链路切换到主机。该过程无需人工干预,能够自动完成链路的切换和持续运行。
本实施例提供的边界防护系统,通过设计实现双机热备、双机容错服务功能,使用2台设备互相备份,共同执行同一服务,当主机链路出现故障时,可以由备机设备承担报文传输任务,从而在不需要人工干预的情况下,自动保证系统能持续提供服务。
在一示例性实施例中,边界防护主机301和边界防护备机302均为多个。
具体地,可以通过使用多台边界防护主机301对流量进行负载均衡,以减轻各个边界防护主机301的压力,不仅能够避免拥塞,提高报文传输的效率,还能够避免边界防护主机301因压力过大导致崩溃的现象,保证边界防护系统的正常运行,提高防护效率。
基于同样的发明构思,本申请实施例还提供了一种与上述边界防护装置对应的边界防护方法。该方法所提供的解决问题的实现方案与上述装置中所记载的实现方案相似,故下面所提供的一个或多个边界防护方法实施例中的具体限定可以参见上文中对于边界防护装置的限定,在此不再赘述。
在一个实施例中,如图4所示,提供了一种边界防护方法,以该方法应用于图1中的第一处理单元101为例进行说明,包括以下步骤:
步骤S410,接收第一业务主机发送的待传输报文,并提取待传输报文中的数据信息;
步骤S420,通过隔离部件将数据信息传输至第二处理单元,以使第二处理单元基于数据信息生成目标报文,将目标报文发送至第二业务主机。
具体实现中,第一处理单元可以通过第一通信接口与第一业务主机连接,以接收第一业务主机发送的待传输报文,并提取待传输报文中的数据信息,通过隔离部件将数据信息传输至第二处理单元。第二处理单元可以通过第二通信接口与第二业务主机连接,以基于接收的数据信息生成目标报文,并将目标报文发送至第二业务主机。
本实施例提供的边界防护方法,通过使用两个处理单元分别与两个不同的业务主机通信,并且两个处理单元之间通过采用隔离部件的方式,进行纯粹的数据传输,不仅能够实现不同业务主机之间的数据交换,保证数据通过指定通道传输,而且提高了不同业务主机之间的通信安全性。
在一示例性实施例中,在步骤S410,接收第一业务主机发送的待传输报文之后,还包括:在接收到第一业务主机发送的待传输报文时,将待传输报文与预设传输条件进行比对;若待传输报文满足预设传输条件,则提取待传输报文中的数据信息。
在一示例性实施例中,上述步骤S410还包括:对待传输报文的报文首部进行解析,得到待传输报文的配置信息;若配置信息满足预设配置规则,则确定待传输报文满足预设传输条件;
或者,对待传输报文的报文首部进行解析,得到待传输报文的传输协议;若待传输报文符合传输协议对应的匹配规则,则确定待传输报文满足预设传输条件。
应该理解的是,虽然如上所述的各实施例所涉及的流程图中的各个步骤按照箭头的指示依次显示,但是这些步骤并不是必然按照箭头指示的顺序依次执行。除非本文中有明确的说明,这些步骤的执行并没有严格的顺序限制,这些步骤可以以其它的顺序执行。而且,如上所述的各实施例所涉及的流程图中的至少一部分步骤可以包括多个步骤或者多个阶段,这些步骤或者阶段并不必然是在同一时刻执行完成,而是可以在不同的时刻执行,这些步骤或者阶段的执行顺序也不必然是依次进行,而是可以与其它步骤或者其它步骤中的步骤或者阶段的至少一部分轮流或者交替地执行。
在一个实施例中,提供了一种计算机设备,该计算机设备可以是终端,其内部结构图可以如图5所示。该计算机设备包括通过系统总线连接的处理器、存储器、通信接口、显示屏和输入装置。其中,该计算机设备的处理器用于提供计算和控制能力。该计算机设备的存储器包括非易失性存储介质、内存储器。该非易失性存储介质存储有操作系统和计算机程序。该内存储器为非易失性存储介质中的操作系统和计算机程序的运行提供环境。该计算机设备的通信接口用于与外部的终端进行有线或无线方式的通信,无线方式可通过WIFI、移动蜂窝网络、NFC(近场通信)或其他技术实现。该计算机程序被处理器执行时以实现一种边界防护方法。该计算机设备的显示屏可以是液晶显示屏或者电子墨水显示屏,该计算机设备的输入装置可以是显示屏上覆盖的触摸层,也可以是计算机设备外壳上设置的按键、轨迹球或触控板,还可以是外接的键盘、触控板或鼠标等。
本领域技术人员可以理解,图5中示出的结构,仅仅是与本申请方案相关的部分结构的框图,并不构成对本申请方案所应用于其上的计算机设备的限定,具体的计算机设备可以包括比图中所示更多或更少的部件,或者组合某些部件,或者具有不同的部件布置。
在一个实施例中,还提供了一种计算机设备,包括存储器和处理器,存储器中存储有计算机程序,该处理器执行计算机程序时实现上述各方法实施例中的步骤。
在一个实施例中,提供了一种计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现上述各方法实施例中的步骤。
在一个实施例中,提供了一种计算机程序产品,包括计算机程序,该计算机程序被处理器执行时实现上述各方法实施例中的步骤。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,所述的计算机程序可存储于一非易失性计算机可读取存储介质中,该计算机程序在执行时,可包括如上述各方法的实施例的流程。其中,本申请所提供的各实施例中所使用的对存储器、数据库或其它介质的任何引用,均可包括非易失性和易失性存储器中的至少一种。非易失性存储器可包括只读存储器(Read-OnlyMemory,ROM)、磁带、软盘、闪存、光存储器、高密度嵌入式非易失性存储器、阻变存储器(ReRAM)、磁变存储器(Magnetoresistive Random Access Memory,MRAM)、铁电存储器(Ferroelectric Random Access Memory,FRAM)、相变存储器(Phase Change Memory,PCM)、石墨烯存储器等。易失性存储器可包括随机存取存储器(Random Access Memory,RAM)或外部高速缓冲存储器等。作为说明而非局限,RAM可以是多种形式,比如静态随机存取存储器(Static Random Access Memory,SRAM)或动态随机存取存储器(Dynamic RandomAccess Memory,DRAM)等。本申请所提供的各实施例中所涉及的数据库可包括关系型数据库和非关系型数据库中至少一种。非关系型数据库可包括基于区块链的分布式数据库等,不限于此。本申请所提供的各实施例中所涉及的处理器可为通用处理器、中央处理器、图形处理器、数字信号处理器、可编程逻辑器、基于量子计算的数据处理逻辑器等,不限于此。
以上实施例的各技术特征可以进行任意的组合,为使描述简洁,未对上述实施例中的各个技术特征所有可能的组合都进行描述,然而,只要这些技术特征的组合不存在矛盾,都应当认为是本说明书记载的范围。
以上所述实施例仅表达了本申请的几种实施方式,其描述较为具体和详细,但并不能因此而理解为对本申请专利范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本申请构思的前提下,还可以做出若干变形和改进,这些都属于本申请的保护范围。因此,本申请的保护范围应以所附权利要求为准。
Claims (12)
1.一种边界防护装置,其特征在于,所述装置包括第一业务主机、第二业务主机、第一处理单元、第二处理单元和隔离部件,所述第一处理单元通过所述隔离部件与所述第二处理单元通信连接;所述第一处理单元与所述第一业务主机通信连接,所述第二处理单元与所述第二业务主机通信连接;
所述第一处理单元,用于接收所述第一业务主机发送的待传输报文,并提取所述待传输报文中的数据信息,通过所述隔离部件将所述数据信息传输至所述第二处理单元;
所述第二处理单元,用于接收所述第一处理单元发送的所述数据信息,并基于所述数据信息生成目标报文,将所述目标报文发送至所述第二业务主机。
2.根据权利要求1所述的装置,其特征在于,所述第一处理单元,还用于在接收到所述第一业务主机发送的待传输报文时,将所述待传输报文与预设传输条件进行比对;若所述待传输报文满足所述预设传输条件,则提取所述待传输报文中的数据信息。
3.根据权利要求2所述的装置,其特征在于,所述第一处理单元,还用于对所述待传输报文的报文首部进行解析,得到所述待传输报文的配置信息;若所述配置信息满足预设配置规则,则确定所述待传输报文满足所述预设传输条件;
或者,对所述待传输报文的报文首部进行解析,得到所述待传输报文的传输协议;若所述待传输报文符合所述传输协议对应的匹配规则,则确定所述待传输报文满足所述预设传输条件。
4.根据权利要求1-3任一项所述的装置,其特征在于,所述第一处理单元通过第一传输协议与所述第一业务主机进行报文传输,所述第二处理单元通过第二传输协议与所述第二业务主机进行报文传输。
5.根据权利要求1所述的装置,其特征在于,所述装置还包括第一加密部件和第二加密部件,所述第一加密部件与所述第一处理单元连接,所述第二加密部件与所述第二处理单元连接;
所述第一加密部件,用于对所述第一处理单元提取的所述数据信息进行加密,得到加密信息,使所述第一处理单元通过所述隔离部件将所述加密信息传输至所述第二处理单元;
所述第二加密部件,用于对所述第二处理单元接收的所述加密信息进行解密,得到解密信息,使所述第二处理单元基于所述解密信息生成所述目标报文。
6.根据权利要求1所述的装置,其特征在于,所述装置还包括旁路单元,所述旁路单元包括第一数据传输端口、第二数据传输端口和旁路继电器,所述第一数据传输端口和所述第二数据传输端口均与所述旁路继电器电连接,所述第一数据传输端口连接至所述第一业务主机,所述第二数据传输端口连接至所述第二业务主机;
所述旁路单元,用于在所述边界防护装置出现异常的情况下,控制所述旁路继电器闭合,以使所述第一业务主机发送的待传输报文可通过所述第一数据传输端口和所述第二数据传输端口传输至所述第二业务主机。
7.一种边界防护系统,其特征在于,所述系统包括边界防护主机及所述边界防护主机对应的边界防护备机,所述边界防护主机和所述边界防护备机中均设置有如权利要求1-6任意一项所述的边界防护装置。
8.根据权利要求7所述的系统,其特征在于,所述边界防护备机,用于检测所述边界防护主机发送的心跳报文,根据所述心跳报文确定所述边界防护主机的状态,并在所述边界防护主机的状态异常时自动启动,以使所述边界防护备机替代所述边界防护主机实现第一业务主机和第二业务主机之间的报文传输。
9.一种边界防护方法,其特征在于,应用于第一处理单元,所述方法包括:
接收第一业务主机发送的待传输报文,并提取所述待传输报文中的数据信息;
通过隔离部件将所述数据信息传输至第二处理单元,以使所述第二处理单元基于所述数据信息生成目标报文,将所述目标报文发送至第二业务主机。
10.一种计算机设备,包括存储器和处理器,所述存储器存储有计算机程序,其特征在于,所述处理器执行所述计算机程序时实现权利要求9所述方法的步骤。
11.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现权利要求9所述方法的步骤。
12.一种计算机程序产品,包括计算机程序,其特征在于,该计算机程序被处理器执行时实现权利要求9所述方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210372374.0A CN114745454A (zh) | 2022-04-11 | 2022-04-11 | 边界防护装置、系统、方法、计算机设备及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210372374.0A CN114745454A (zh) | 2022-04-11 | 2022-04-11 | 边界防护装置、系统、方法、计算机设备及存储介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN114745454A true CN114745454A (zh) | 2022-07-12 |
Family
ID=82282288
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202210372374.0A Pending CN114745454A (zh) | 2022-04-11 | 2022-04-11 | 边界防护装置、系统、方法、计算机设备及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN114745454A (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115617574A (zh) * | 2022-09-28 | 2023-01-17 | 中国南方电网有限责任公司 | 多电力调度系统、数据传输方法和计算机可读存储介质 |
Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1571398A (zh) * | 2004-04-29 | 2005-01-26 | 上海交通大学 | 基于代理映射的网络安全隔离与信息交换系统及方法 |
| CN106131067A (zh) * | 2016-08-27 | 2016-11-16 | 山东万博科技股份有限公司 | 一种基于异构协议通道的数据摆渡装置及方法 |
| CN106161330A (zh) * | 2015-03-16 | 2016-11-23 | 机械工业仪器仪表综合技术经济研究所 | 一种应用于profinet工业以太网的安全隔离系统 |
| CN106330973A (zh) * | 2016-10-27 | 2017-01-11 | 国网江苏省电力公司南京供电公司 | 一种基于黑白名单的数据安全交换方法 |
| CN106941494A (zh) * | 2017-03-30 | 2017-07-11 | 中国电力科学研究院 | 一种适用于用电信息采集系统的安全隔离网关及其使用方法 |
| US20180225230A1 (en) * | 2015-09-15 | 2018-08-09 | Gatekeeper Ltd. | System and method for securely connecting to a peripheral device |
| CN110337799A (zh) * | 2017-02-09 | 2019-10-15 | 奥迪股份公司 | 具有车辆内部的数据网络的机动车以及运行机动车的方法 |
| CN111541718A (zh) * | 2020-05-15 | 2020-08-14 | 国家电网有限公司 | 一种电力终端的内外网交互方法、系统及数据传输方法 |
| CN112073375A (zh) * | 2020-08-07 | 2020-12-11 | 中国电力科学研究院有限公司 | 一种适用于电力物联网客户侧的隔离装置及隔离方法 |
-
2022
- 2022-04-11 CN CN202210372374.0A patent/CN114745454A/zh active Pending
Patent Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1571398A (zh) * | 2004-04-29 | 2005-01-26 | 上海交通大学 | 基于代理映射的网络安全隔离与信息交换系统及方法 |
| CN106161330A (zh) * | 2015-03-16 | 2016-11-23 | 机械工业仪器仪表综合技术经济研究所 | 一种应用于profinet工业以太网的安全隔离系统 |
| US20180225230A1 (en) * | 2015-09-15 | 2018-08-09 | Gatekeeper Ltd. | System and method for securely connecting to a peripheral device |
| CN106131067A (zh) * | 2016-08-27 | 2016-11-16 | 山东万博科技股份有限公司 | 一种基于异构协议通道的数据摆渡装置及方法 |
| CN106330973A (zh) * | 2016-10-27 | 2017-01-11 | 国网江苏省电力公司南京供电公司 | 一种基于黑白名单的数据安全交换方法 |
| CN110337799A (zh) * | 2017-02-09 | 2019-10-15 | 奥迪股份公司 | 具有车辆内部的数据网络的机动车以及运行机动车的方法 |
| CN106941494A (zh) * | 2017-03-30 | 2017-07-11 | 中国电力科学研究院 | 一种适用于用电信息采集系统的安全隔离网关及其使用方法 |
| CN111541718A (zh) * | 2020-05-15 | 2020-08-14 | 国家电网有限公司 | 一种电力终端的内外网交互方法、系统及数据传输方法 |
| CN112073375A (zh) * | 2020-08-07 | 2020-12-11 | 中国电力科学研究院有限公司 | 一种适用于电力物联网客户侧的隔离装置及隔离方法 |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115617574A (zh) * | 2022-09-28 | 2023-01-17 | 中国南方电网有限责任公司 | 多电力调度系统、数据传输方法和计算机可读存储介质 |
| CN115617574B (zh) * | 2022-09-28 | 2024-04-16 | 中国南方电网有限责任公司 | 多电力调度系统、数据传输方法和计算机可读存储介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN112637166B (zh) | 一种数据传输方法、装置、终端及存储介质 | |
| US8566934B2 (en) | Apparatus and method for enhancing security of data on a host computing device and a peripheral device | |
| CN106487802B (zh) | 基于DPD协议的IPSec SA的异常探测方法及装置 | |
| CN114448727B (zh) | 基于工业互联网标识解析体系的信息处理方法及系统 | |
| CN103577280A (zh) | 一种数据备份的方法和系统 | |
| Dash et al. | Ransomware auto-detection in IoT devices using machine learning | |
| CN110972136A (zh) | 物联网安全通信模组、终端、安全控制系统及认证方法 | |
| EP3713147B1 (en) | Railway signal security encryption method and system | |
| CN111818081B (zh) | 虚拟加密机管理方法、装置、计算机设备和存储介质 | |
| CN114745454A (zh) | 边界防护装置、系统、方法、计算机设备及存储介质 | |
| Poonia | Internet of Things (IoT) security challenges | |
| CN109104385A (zh) | 一种防止macsec安全通道故障的方法和装置 | |
| CN111526018A (zh) | 一种基于电力配电的通信加密系统及通信加密方法 | |
| CN113852544B (zh) | 一种基于LoraWan和区块链的安全网关 | |
| CN105207991A (zh) | 数据加密方法及系统 | |
| CN114915503A (zh) | 基于安全芯片的数据流拆分处理加密方法及安全芯片装置 | |
| Tundalwar et al. | A Taxonomy of IoT Security Attacks and Emerging Solutions | |
| JP2023531034A (ja) | サービス伝送方法、装置、ネットワーク機器及び記憶媒体 | |
| CN114257424A (zh) | 基于电力专用芯片的数据包接收处理方法及装置 | |
| CN107516044A (zh) | 一种识别方法、装置和系统 | |
| CN103888416B (zh) | 防止安防系统终端设备存储的ip信息泄露的方法及装置 | |
| CN112929357A (zh) | 一种虚拟机数据的分析方法、装置、设备及存储介质 | |
| Mani Sekhar et al. | Security and privacy in 5G-enabled internet of things: a data analysis perspective | |
| CN114666173B (zh) | 基于中间设备的物联网信息传输方法及装置 | |
| Bahrami et al. | Considering safety in the internet of things and necessities of technological investigation |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |