CN116094760A - 一种基于报文字典的跨正向隔离装置数据传输方法 - Google Patents
一种基于报文字典的跨正向隔离装置数据传输方法 Download PDFInfo
- Publication number
- CN116094760A CN116094760A CN202211551247.3A CN202211551247A CN116094760A CN 116094760 A CN116094760 A CN 116094760A CN 202211551247 A CN202211551247 A CN 202211551247A CN 116094760 A CN116094760 A CN 116094760A
- Authority
- CN
- China
- Prior art keywords
- message
- data
- dictionary
- isolation device
- bit
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 230000005540 biological transmission Effects 0.000 title claims abstract description 44
- 238000002955 isolation Methods 0.000 title claims abstract description 37
- 238000000034 method Methods 0.000 title claims abstract description 35
- 238000004891 communication Methods 0.000 claims abstract description 46
- 238000004088 simulation Methods 0.000 claims description 33
- 238000012790 confirmation Methods 0.000 claims description 4
- 238000012544 monitoring process Methods 0.000 claims description 4
- 230000000977 initiatory effect Effects 0.000 claims description 3
- 230000001960 triggered effect Effects 0.000 claims description 2
- 238000012216 screening Methods 0.000 claims 1
- 238000012546 transfer Methods 0.000 description 3
- 238000013461 design Methods 0.000 description 2
- 230000002159 abnormal effect Effects 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000003139 buffering effect Effects 0.000 description 1
- 238000010586 diagram Methods 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
Landscapes
- Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明提供了一种基于报文字典的跨正向隔离装置数据传输方法。在电站仅包含正向隔离装置的场景下,解决了将简单控制指令从非安全区传递给安全区的问题。该方法主要组成部分包括五个步骤:(1)安全区建立通讯客户端。(2)非安全区建立通讯服务端。(3)依据需求建立报文字典。(4)非安全区建立比特报文分发模块。(5)安全区建立比特报文接收模块。本发明公开的数据传输方法基于报文字典模式,将数据从安全区传递至非安全区,将简单指令从非安全区传递至安全区,具有数据单向传输,指令逆向传递,网络使用率可控等优点。
Description
技术领域
本发明属于数据传输技术领域,具体涉及一种基于报文字典的跨正向隔离装置数据传输方法。
背景技术
电力系统将信息网络依据安全等级划分为I、II、III、IV区,安全区(I、II)向(III、IV)非安全区传递数据时要求部署正向隔离装置。
传统的电力仿真系统通常处于孤立的网络环境中,其运行不依赖于真实机组的运行数据。随着在线仿真技术在电力行业的逐渐应用,仿真系统的运行则需要紧密结合当下运行数据,于是该数据需要实时传递到仿真系统。
因为仿真系统通常处于非安全区,而真实电站的数据存储于安全区,二者之间存在着因为安全考虑而设计的正向隔离装置。因此需要设计一套传输策略,使得真实数据可以穿透正向隔离装置,从安全区发送至非安全区。
目前电站存在着大量的单向传递数据的场景,同时也存在着大量的单向传递数据的策略,但仿真系统对真实数据的获取过程具备其独有的特点,诸如:仿真系统未工作时无需获取电站数据,为了减轻带宽资源需要停止数据的传输;仿真系统工作时会获取大量历史数据及实时数据,其数据传输量将远超常规实时数据传输;仿真系统所需要的数据点往往不是全厂数据,而是指定站点的部分数据;仿真系统对数据传递的实时性要求远低于实时控制系统;等等。因此需要设计一套针对上述具体特点的数据传输策略。
通常正向隔离装置只允许表示层与应用层数据单向传输,即从非安全区到安全区的应答报文禁止携带任何应用数据(最多只能通过一个字节的数据,而且要求全为0,或者全为1)。在此背景下,既要考虑正向的数据传递安全,又要考虑逆向的控制信息传递。本发明提出了一种具有数据单向传输,指令逆向传递,网络使用率可控等优点的跨正向隔离装置数据传输方法。
发明内容
为解决现有技术中存在的上述问题,本发明公开了一种基于报文字典的跨正向隔离装置数据传输方法。
使用本发明一种基于报文字典的跨正向隔离装置数据传输方法的前提条件如下:
前提1:存在允许逆向传输一个字节的正向隔离装置。
通常正向隔离装置只允许表示层与应用层数据单向传输,即从非安全区到安全区的应答报文禁止携带任何应用数据。但是通常允许其通过一个字节的数据,而且要求全为0(0x00),或者全为1(0xFF)。
前提2:安全侧存在持续稳定的数据源。
在正向隔离装置的安全侧存在持续稳定的数据,其包括实时或者历史数据。通常电站的分散式控制系统均具备实时或者历史数据的接口,并可将该数据提供给第三方使用。该数据的正常稳定输出是本发明应用的前提条件。
前提3:非安全侧需要获取对侧数据,且简单指令需要传递给对侧。
正向隔离装置的非安全侧有获取对侧数据的需求,并且非安全侧的简单指令需要传递给对侧。
比如针对仿真系统而言,正向隔离装置非安全侧的仿真系统运行时需基于安全区的运行数据,其需间断获取指定数据。数据获取的间断性,意味着其具备占用和放弃网络带宽的切换场景;数据获取的指定性,意味着其具备数据范围的切换场景;这些指令要发送给正向隔离装置的对侧。
本发明采用如下技术方案:
一种基于报文字典的跨正向隔离装置数据传输方法,包括以下步骤:
步骤1:安全区建立通讯客户端:在正向隔离装置的安全侧建立通讯客户端,负责连接电站数据库,连接正向隔离装置对侧的通讯服务端,依据消息队列中的控制指令,把指定的数据发送出去;
步骤2:非安全区建立通讯服务端:在正向隔离装置的非安全侧建立通讯服务端,其负责识别应用程序的数据需求,监听通讯客户端发起的连接请求,并将把接收到的数据解读出来提供给仿真系统;
步骤3:依据需求建立报文字典:根据应用需求,将仿真系统触发的控制指令逐条列出,并转化为报文,最终生成报文序列和控制指令对应的报文字典;
步骤4:非安全区建立比特报文分发模块:依据报文字典,查找控制指令对应的报文序列,在非安全区将报文序列转换为比特报文,然后分条发送;
步骤5:安全区建立比特报文接收模块:在安全区接收、合并、识别获取到的比特报文,经差错控制,得到可用报文。依据报文字典,查找报文序列对应的控制指令,写入消息队列。
上述仿真系统为电力仿真系统,具体可采用基于Battery AI和Energy AI,利用IoT和大数据平台构架,搭建的虚拟电厂。
本发明具有如下有益效果:
在跨正向隔离装置的场景下,基于报文字典模式,将数据从安全区传递至非安全区,将简单指令从非安全区传递至安全区,具有数据单向传输,指令逆向传递,网络使用率可控等优点。
附图说明
图1为一种基于报文字典的跨正向隔离装置数据传输方法的物理布局图。
图2为一种基于报文字典的跨正向隔离装置数据传输方法的简要流程图。
具体实施方式
下面结合附图对本发明做进一步的解释说明。
如图1所示,整个部署环境被正向隔离装置分割为安全区和非安全区两部分。
其中安全区包括以下部分:稳定的电站数据库;定制的报文字典;用于发起连接并传输数据的通讯客户端;用于接收指令的比特报文接收模块。
其中非安全区包括以下部分:具备特定功能的仿真系统;定制的报文字典;用于接收连接并接收数据的通讯服务端;用于发送指令的比特报文分发模块。
如图2所示,一种基于报文字典的跨正向隔离装置数据传输方法,包括以下步骤:
1、安全区建立通讯客户端。实现步骤如下:
1.1、连接电站数据库。处于安全区的通讯客户端,加载数据点表,依据数据接口连接电站数据库,成功获取仿真系统的控制指令后,将数据按照需求进行传输。
加载数据点表:连通数据库的过程中,加载电站数据库的配置点表,该点表同时存在于非安全区的通讯服务端的加载过程中,确保通讯两侧获取的数据保持位置索引一致。
数据接口:通常情况电站数据库会提供历史数据以及实时数据两类数据接口,通讯客户端需要对两类接口分别处理连接。
1.2、连接通讯服务端。向非安全区的通讯服务端发起连接请求,建立连接后等待执行下一步。
1.3、执行消息队列中的控制指令。读取消息队列中的控制指令,当队列为空时继续保持上周期的执行指令;当读取到新指令后,调整执行过程,对发送数据的内容及方式给予修正。
消息队列:被比特报文接收模块成功解析的控制指令将存储于消息队列,本步骤从消息队列提取消息并执行。
2、非安全区建立通讯服务端。实现步骤如下:
2.1、连接仿真系统。加载数据点表,识别仿真系统所需电站数据的内容,同时将获取的数据传递给仿真系统。
加载数据点表:连接数据库的过程中,加载电站数据库的点表,该点表同时存在于安全区的通讯客户端的加载过程中,确保通讯两侧获取的数据保持位置索引一致。
2.2、监听通讯客户端。打开端口监听客户端的请求,建立连接。
2.3、解析通讯数据。将接收到的数据依据数据类型分别解析并应用。
数据类型:接收的内容依据其含义分为历史数据、实时数据;依据占用网络带宽的程度分为连续数据、离散数据;依据获取数据的方式分为变位传递,总召获取。
3、依据需求建立报文字典。实现步骤如下:
3.1、整理仿真系统的指令种类;
依据具体需求,将需求指令进行分类汇总,以便整理出对应的字典。例如,控制类(开始传输、停止传输)、反馈类(接受正常、异常代码X)、数据范围类(选择A号站数据、选择B号机组数据、索引为C的小时历史曲线)、时间范围类(从X时刻到Y时刻对应数据模式、实时数据模式)。
3.2、为指令种类建立固定长度的报文字典。
报文字典:将总结出的控制指令分别设计相应的报文,通讯客户端与通讯服务端同时拥有该字典,以便对指令编码化,对编码指令化。
固定长度:依据报文类型的规模,确定合适的字典编码长度,并将字典化的编码比特化,记字典的每个条目比特流长度为L。
4、非安全区建立比特报文分发模块。实现步骤如下:
4.1、获取报文编码:依据报文字典,查找控制指令对应的报文编码。
控制指令:控制指令为仿真系统发起的指令,本步骤将此指令在报文字典中进行查找,得到对应的报文编码。
4.2、组建报文序列:将报文编码组入整体报文中,形成一组可以传输的报文比特序列。
整体报文:报文格式设计如下:报文头部+控制报文+校验报文+报文尾部。该报文序列将以二进制形式存在,从而对应比特流信息。报文中各个部分比特流长度相等。报文头部与报文尾部为字典里未曾出现的比特流序列,进而确保接收端程序能明确切割比特流,定位出原始数据包的起始终止位置。
校验报文:对控制报文的校验方法采用异或校验策略,以便接收端能够识别该数据流。
4.3、启动比特报文发送机制:作为一类有确认的面向连接服务,发送端进行流量控制,通过停止等待策略确保数据能正常传递给对侧。
流量控制:为了避免较高的发送速度与较低的接收能力不匹配,在发送过程中增加停止等待的流量控制功能,确保每次发送的字节接收方都能准确接收。该功能与对侧消息确认配合使用。
5、安全区建立比特报文接收模块。实现步骤如下:
5.1、启动比特报文接收机制:接收到发送端传递来的数据,并对每一个数据包进行消息确认,放置于比特流缓存。
消息确认:该功能与对侧的流量控制配合使用,对接收到的每一个数据包进行返回确认操作,确保数据按正确顺序接收。
比特流缓存:将获取到的比特数据放置于接收缓存中,以便后续步骤可以进行数据包的完整性识别。
5.2、识别控制报文:对比特流缓存中的信息启用识别功能、差错控制功能,最终得到控制报文。
识别功能:采用固定窗口移动比对策略,得到数据包的起始终止位置,提取出完整的数据包。
差错控制:提取完整的数据包中的控制报文与校验报文,依据异或算法进行核实,最终得到可信的控制报文。
5.3、查找消息队列。依据报文字典,查找控制报文对应的控制指令。
5.4、写入消息队列。按照先入后出的准则,将上述步骤中获得的控制指令写入消息队列中供通讯客户端读取并执行。
综上,本发明提出一种基于报文字典的跨正向隔离装置数据传输方法,其部署环境为安全侧存在持续稳定的数据源,比如电站实时控制系统数据库;非安全侧需要获取对侧数据,且简单指令需要传递给对侧,比如仿真控制系统数据需要实时获取电站实时运行数据,并且能够切换对电站实时数据的获取需求;同时位于安全侧与非安全侧之间存在允许逆向传输一个字节的正向隔离装置。在上述环境中可应用本发明中提及的数据传输方法。仿真系统对电站控制系统的数据需求频繁发生变化,因此需要将非安全侧仿真系统的当下数据需求传递给安全侧,进而从安全侧获取仿真系统所需要的对应数据。仿真系统依据自身对实时数据的需求类型,将控制指令编制为报文字典,之后将指令转化为极小化控制报文;同时建立报文分发模块,将报文序列转化为比特数据流,进而实现了仅依赖单一字节的传递输达到极小化控制指令传输的目的。
Claims (6)
1.一种基于报文字典的跨正向隔离装置数据传输方法,其特征在于,包括以下步骤:
1)安全区建立通讯客户端:在正向隔离装置的安全侧建立通讯客户端,该通讯客户端一端与电站数据库连接,另一端连接正向隔离装置对侧的通讯服务端,依据消息队列中的控制指令,发送指定数据;
2)非安全区建立通讯服务端;在正向隔离装置的非安全侧建立通讯服务端 ,该通讯服务端负责将数据存储至仿真系统的数据库,监听通讯客户端,并对通讯客户端传输来的数据进行解析;
3)依据需求建立报文字典:根据应用需求,将仿真系统触发的控制指令逐条列出,并转化为报文,最终生成报文序列和控制指令对应的报文字典;
4)非安全区建立比特报文分发模块:依据报文字典,查找与控制指令对应的报文序列,并在非安全区将报文序列转换为比特报文,然后分条发送;
5)安全区建立比特报文接收模块:在安全区接收、合并、识别获取到的比特报文,经差错控制,得到可用报文;随后依据报文字典,查找与报文序列对应的控制指令,写入通讯客户端的消息队列。
2.根据权利要求1所述一种基于报文字典的跨正向隔离装置数据传输方法,其特征在于:在步骤1)中,安全区建立通讯客户端包括以下内容:
连接电站数据库,使得通讯服务端可以获取到电站的真实、稳定、持续的数据信息;
连接通讯服务端,向非安全区的通讯服务端发起连接请求,确保连接目标是可信赖的数据的接收方,
执行消息队列中的控制指令,读取消息队列,依据获取到的控制指令进行传输数据内容与方式的调整。
3.根据权利要求1所述一种基于报文字典的跨正向隔离装置数据传输方法,其特征在于:在步骤2)中,非安全区建立通讯服务端包括以下内容:
识别仿真系统的数据需求,进而对接收到的数据进行筛选与应用;
监听通讯客户端;
解析通讯数据,将接收到的数据依据数据类型分别解析并应用。
4.根据权利要求1所述一种基于报文字典的跨正向隔离装置数据传输方法,其特征在于:在步骤3)中,依据需求建立报文字典包括以下内容:
整理仿真系统的指令种类;
根据指令种类建立固定长度的报文字典。
5.根据权利要求1所述一种基于报文字典的跨正向隔离装置数据传输方法,其特征在于:在步骤4)中,非安全区建立比特报文分发模块包括以下内容:
获取报文编码:依据报文字典,查找控制指令对应的报文编码;
组建报文序列:将报文编码组入整体报文中,形成一组可以传输的报文比特序列;
启动比特报文发送机制:作为一类有确认的面向连接服务,发送端进行流量控制,通过停止等待策略确保数据能正常传递给对侧。
6.根据权利要求1所述一种基于报文字典的跨正向隔离装置数据传输方法,其特征在于:在步骤5)中,安全区建立比特报文接收模块包括以下内容:
启动比特报文接收机制:接收到发送端传递来的数据,并对每一个数据包进行消息确认,放置于比特流缓存;
识别控制报文:对比特流缓存中的信息启用识别功能、差错控制功能,最终得到控制报文;
查找消息队列:依据报文字典,查找控制报文对应的控制指令;
写入消息队列:按照先入后出的准则,将上述步骤中获得的控制指令写入消息队列中供通讯客户端读取并执行。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202211551247.3A CN116094760B (zh) | 2022-12-05 | 2022-12-05 | 一种基于报文字典的跨正向隔离装置数据传输方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202211551247.3A CN116094760B (zh) | 2022-12-05 | 2022-12-05 | 一种基于报文字典的跨正向隔离装置数据传输方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN116094760A true CN116094760A (zh) | 2023-05-09 |
| CN116094760B CN116094760B (zh) | 2024-06-25 |
Family
ID=86207183
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202211551247.3A Active CN116094760B (zh) | 2022-12-05 | 2022-12-05 | 一种基于报文字典的跨正向隔离装置数据传输方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN116094760B (zh) |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20050138110A1 (en) * | 2000-11-13 | 2005-06-23 | Redlich Ron M. | Data security system and method with multiple independent levels of security |
| CN102088393A (zh) * | 2009-12-02 | 2011-06-08 | 南京南瑞继保电气有限公司 | 一种跨安全区正反向数据传输方法 |
| US20160315774A1 (en) * | 2013-12-13 | 2016-10-27 | University Of North Dakota | Smart grid secure communications method and apparatus |
| CN106899662A (zh) * | 2017-02-06 | 2017-06-27 | 中山大学 | 一种异种智能传感网协作通信的通用平台 |
| CN106982235A (zh) * | 2017-06-08 | 2017-07-25 | 江苏省电力试验研究院有限公司 | 一种基于iec 61850的电力工业控制网络入侵检测方法及系统 |
| CN109995856A (zh) * | 2019-03-21 | 2019-07-09 | 国电南瑞科技股份有限公司 | 一种电网运行数据广域汇集方法及系统 |
| CN112565231A (zh) * | 2020-11-30 | 2021-03-26 | 国网江苏省电力有限公司电力科学研究院 | 基于电力调度数据网安全ii区和iii区数据同步方法及装置 |
-
2022
- 2022-12-05 CN CN202211551247.3A patent/CN116094760B/zh active Active
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20050138110A1 (en) * | 2000-11-13 | 2005-06-23 | Redlich Ron M. | Data security system and method with multiple independent levels of security |
| CN102088393A (zh) * | 2009-12-02 | 2011-06-08 | 南京南瑞继保电气有限公司 | 一种跨安全区正反向数据传输方法 |
| US20160315774A1 (en) * | 2013-12-13 | 2016-10-27 | University Of North Dakota | Smart grid secure communications method and apparatus |
| CN106899662A (zh) * | 2017-02-06 | 2017-06-27 | 中山大学 | 一种异种智能传感网协作通信的通用平台 |
| CN106982235A (zh) * | 2017-06-08 | 2017-07-25 | 江苏省电力试验研究院有限公司 | 一种基于iec 61850的电力工业控制网络入侵检测方法及系统 |
| CN109995856A (zh) * | 2019-03-21 | 2019-07-09 | 国电南瑞科技股份有限公司 | 一种电网运行数据广域汇集方法及系统 |
| CN112565231A (zh) * | 2020-11-30 | 2021-03-26 | 国网江苏省电力有限公司电力科学研究院 | 基于电力调度数据网安全ii区和iii区数据同步方法及装置 |
Non-Patent Citations (1)
| Title |
|---|
| 孙浩然;田业;: "二次系统跨安全区数据传输方法及其在负荷预测中的应用", 电网技术, no. 06, 5 June 2011 (2011-06-05) * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN116094760B (zh) | 2024-06-25 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN106850188B (zh) | 一种基于多路异构单向传输通道的数据传输系统 | |
| CN101547161B (zh) | 文件夹传输系统、文件夹传输装置及文件夹传输方法 | |
| CN101447999B (zh) | 安全交换系统及其实现方法 | |
| CN111083161A (zh) | 数据传输的处理方法及装置、物联网设备 | |
| EP2192715A2 (en) | System including transmitter and receiver | |
| CN101447862A (zh) | 安全交换系统及其安全交换方法 | |
| CN102480335A (zh) | 一种业务数据的发送方法及系统 | |
| CN115549954A (zh) | 一种基于异构的碎片化网络资源安全拼接通信系统 | |
| CN106790511A (zh) | 一种数据上传方法及系统 | |
| CN111901308B (zh) | 信息交互方法 | |
| CN108040041A (zh) | 一种基于业务驱动的图像差异传输协议设计系统及方法 | |
| CN116094760B (zh) | 一种基于报文字典的跨正向隔离装置数据传输方法 | |
| KR102325688B1 (ko) | 통합 안전 통신 인터페이스를 구비한 열차 제어 시스템 및 그의 구동 방법 | |
| US10574392B2 (en) | System. methods and devices for transmitting and/or receiving data using an inter communication link | |
| CN115834973B (zh) | 一种云端向本地终端数据高速传输方法及系统 | |
| CN107070740A (zh) | 一种高效的paas平台监控方法及系统 | |
| CN115361455B (zh) | 一种数据传输存储方法、装置以及计算机设备 | |
| CN110928828B (zh) | 处理器间业务处理系统 | |
| CN110430023B (zh) | 一种适用于SpaceWire总线通讯的数据传输方法 | |
| CN112437095A (zh) | 一种跨安全区的客户端与服务端通信交互方法 | |
| CN117793172B (zh) | 一种基于消息队列的轻量级数据采集方法 | |
| KR101024270B1 (ko) | 네트워크기반 무인시스템 원격통제 데이터링크방법 | |
| CN118042024B (zh) | 一种多协议自适应中控系统 | |
| CN101499149B (zh) | 实现word格式需求文档自动导入项目管理系统的方法 | |
| CN118509813B (zh) | 一种车路协同自动驾驶路侧基础设施的消息处理方法、设备及系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| TA01 | Transfer of patent application right |
Effective date of registration: 20240417 Address after: 737104 No. 2 Lanzhou Road, Beijing Road Street, Jinchuan District, Jinchang City, Gansu Province Applicant after: Jinchuan Group Nickel Cobalt Co.,Ltd. Country or region after: China Address before: No.98, Jinchuan Road, Jinchuan District, Jinchang City, Gansu Province 737100 Applicant before: JINCHUAN GROUP Co.,Ltd. Country or region before: China |
|
| TA01 | Transfer of patent application right | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |