專利名稱:跨安全區(qū)的正向通信方法�����、裝置及系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及電力系統(tǒng)的信息安全技術(shù)�,特別是涉及跨安全區(qū)的正向通信方法、裝置及系統(tǒng)�。
背景技術(shù):
隨著電力自動化水平的提高��,為保障網(wǎng)絡(luò)的安全���,許多信息安全技術(shù)在網(wǎng)絡(luò)中得到了應(yīng)用,如在網(wǎng)絡(luò)中設(shè)置防火墻�����、防病毒系統(tǒng)�����,對網(wǎng)絡(luò)進行入侵檢測�����、漏洞掃描等�����。然而此類保護是一種邏輯機制���,必須有一道絕對安全的大門,保證不同安全區(qū)之間的安全強度���。針對電力信息網(wǎng)絡(luò)系統(tǒng)安全性的要求��,電力專用網(wǎng)絡(luò)隔離裝置已經(jīng)被廣泛應(yīng)用到電力信息網(wǎng)絡(luò)建設(shè)中����。
隔離裝置在確實保障電力信息網(wǎng)絡(luò)安全的同時,也在某種程度上給網(wǎng)絡(luò)通信帶來了不便�。在實現(xiàn)高安全級別的網(wǎng)絡(luò)隔離的同時,隔離裝置自身的功能特性也決定了它會給網(wǎng)絡(luò)通信帶來一定的延時和帶寬限制���。相關(guān)測試表明�����,傳統(tǒng)的通信方法存在如下問題首先����,大量的正向隔離裝置和網(wǎng)絡(luò)通道維護困難�����,使得故障的定位和排除難以及時完成�����;然后,新建設(shè)的系統(tǒng)需要設(shè)置相應(yīng)的正向隔離裝置以滿足跨安全區(qū)網(wǎng)絡(luò)通信的需求�����,無法利用已有的設(shè)備資源�����;其次�,受限于正向隔離裝置的性能,不同系統(tǒng)或新舊系統(tǒng)之間難以實現(xiàn)跨系統(tǒng)的數(shù)據(jù)通信����,限制了數(shù)據(jù)資源的有效利用;最后�����,由于正向隔離裝置往往會成為網(wǎng)絡(luò)性能的瓶頸����,因此部署了正向隔離裝置的系統(tǒng)往往難以滿足系統(tǒng)升級、擴容�����、業(yè)務(wù)范圍擴展的需求��,也使得系統(tǒng)的可靠性受到限制���。
發(fā)明內(nèi)容
基于此�,有必要針對上述問題�����,提供一種跨安全區(qū)的正向通信方法��、裝置及系統(tǒng)���,能夠簡化網(wǎng)絡(luò)結(jié)構(gòu)�,提高設(shè)備資料的利用率�,進而提升系統(tǒng)的可靠性和可擴展性。一種跨安全區(qū)的正向通信方法����,包括向各個隔離裝置發(fā)送探測包,通過所述探測包的回應(yīng)包獲取各個隔離裝置的工作狀態(tài)信息���;比較各個隔離裝置的所述工作狀態(tài)信息�����,根據(jù)比較的結(jié)果選擇其中一個隔離裝置傳輸正向通信數(shù)據(jù)包�����。相應(yīng)地,一種跨安全區(qū)的正向通信裝置,包括鏈路探測單元�,用于向各個隔離裝置發(fā)送探測包;與所述鏈路探測單元相連的狀態(tài)獲取單元���,用于通過所述探測包的回應(yīng)包獲取各個隔離裝置的工作狀態(tài)信息�;與所述狀態(tài)獲取單元相連的比較分析單元����,用于比較各個隔離裝置的所述工作狀態(tài)息;與所述比較分析單元相連的選擇發(fā)送單元,用于根據(jù)比較的結(jié)果選擇其中一個隔離裝置傳輸正向通信數(shù)據(jù)包�。
相應(yīng)地,一種跨安全區(qū)的正向通信系統(tǒng)����,包括如前所述的跨安全區(qū)的正向通信裝置;以及與所述跨安全區(qū)的正向通信裝置相連的隔離裝置陣列����;其中��,所述隔離裝置陣列包括預(yù)設(shè)數(shù)個在線工作的隔離裝置��。實施本發(fā)明����,具有如下有益效果本發(fā)明的跨安全區(qū)的正向通信方法及裝置�����,通過在統(tǒng)一的隔離網(wǎng)關(guān)一端與各個隔離裝置建立有效通信連接及信息交換關(guān)系���,搭建跨安全區(qū)通信的通信總線,從而簡化網(wǎng)絡(luò)結(jié)構(gòu)��。根據(jù)各個隔離裝置的工作狀態(tài)選擇其一�����,協(xié) 調(diào)傳輸通信數(shù)據(jù)包�,提高設(shè)備資源利用率。便于跨安全區(qū)系統(tǒng)之間的信息傳輸���,以及提升了系統(tǒng)性能�、擴展性和可靠性。本發(fā)明的跨安全區(qū)的正向通信系統(tǒng)��,采用并聯(lián)式的系統(tǒng)架構(gòu)�,相比于傳統(tǒng)技術(shù)僅是對單體隔離設(shè)備性能的改進,本發(fā)明將隔離裝置進行并聯(lián)����,能夠使數(shù)個隔離裝置同時在線工作。這對于業(yè)內(nèi)是一次影響較大的變革�。
圖1為本傳統(tǒng)的正向隔離裝置的通信示意圖;圖2為本發(fā)明一種跨安全區(qū)的正向通信方法的流程圖�����;圖3為本發(fā)明一種跨安全區(qū)的正向通信方法的實施例示意圖�����;圖4為本發(fā)明一種跨安全區(qū)的正向通信方法的實施例流程圖���;圖5為本發(fā)明一種跨安全區(qū)的正向通信裝置的示意圖�����;圖6為本發(fā)明一種跨安全區(qū)的正向通信裝置的實施例示意圖���;圖7為本發(fā)明一種跨安全區(qū)的正向通信系統(tǒng)的示意圖�����。
具體實施例方式為使本發(fā)明的目的����、技術(shù)方案和優(yōu)點更加清楚����,下面將結(jié)合附圖對本發(fā)明作進一步地詳細(xì)描述�����。圖1為本傳統(tǒng)的正向隔離裝置的通信示意圖���。隨著電力自動化水平的提高����,通信技術(shù)和網(wǎng)絡(luò)技術(shù)的發(fā)展�,電力系統(tǒng)越來越依賴電力信息網(wǎng)絡(luò)來保障其安全���、可靠和高效的運行,信息網(wǎng)絡(luò)的安全直接關(guān)系到電力系統(tǒng)的安全�,因此對電力系統(tǒng)信息安全關(guān)鍵技術(shù)的研究就顯得尤為重要。根據(jù)《全國電力二次系統(tǒng)安全防護總體方案》的要求�,電力二次系統(tǒng)劃分為不同的安全工作區(qū),反映了各區(qū)中業(yè)務(wù)系統(tǒng)重要性的差別���。不同的安全區(qū)確定了不同的安全防護要求��,從而決定了不同的安全等級和防護水平��。系統(tǒng)整體分為三個安全區(qū):安全I區(qū)(控制區(qū))����,安全II區(qū)(非控制區(qū))�����、安全III區(qū)(管理信息區(qū))�。其中安全I區(qū)和安全II區(qū)與生產(chǎn)相關(guān),因此二者統(tǒng)稱為生產(chǎn)控制區(qū)��。由于生產(chǎn)控制區(qū)和管理信息區(qū)的安全強度要求差異較大����,信息跨區(qū)域的傳遞有嚴(yán)格的限制��,因此區(qū)域之間需要采用電力專用網(wǎng)絡(luò)隔離裝置���,以達(dá)到最高的安全強度。如圖1所示�,網(wǎng)絡(luò)隔離技術(shù)是指內(nèi)部網(wǎng)絡(luò)不直接或間接地連接外部網(wǎng)絡(luò)。只有使內(nèi)部網(wǎng)和公共網(wǎng)隔離裝置����,保證內(nèi)部信息網(wǎng)絡(luò)不受來自互聯(lián)網(wǎng)的黑客攻擊。同時��,隔離裝置也為內(nèi)部網(wǎng)劃定了明確的安全邊界����,使得網(wǎng)絡(luò)的可控性增強��,便于內(nèi)部管理���。在電力信息網(wǎng)絡(luò)中����,正向隔離裝置和反向隔離裝置是實現(xiàn)網(wǎng)絡(luò)隔離技術(shù)的典型設(shè)備。其中����,安全隔離裝置(正向)用于安全區(qū)I/II到安全區(qū)III的單向數(shù)據(jù)傳遞,其具體功能如下(I)實現(xiàn)不同安全區(qū)之間的非網(wǎng)絡(luò)方式的安全的數(shù)據(jù)交換����,并且保證安全隔離裝置內(nèi)外兩個處理系統(tǒng)不同時連通;(2)表示層與應(yīng)用層數(shù)據(jù)完全單向傳輸��,即從安全區(qū)III到安全區(qū)I/II的TCP應(yīng)答禁止攜帶應(yīng)用數(shù)據(jù)���;(3)透明工作方式虛擬主機IP地址�����、隱藏MAC地址���;(4)基于MAC、IP����、傳輸協(xié)議、傳輸端口以及通信方向的綜合報文過濾與訪問控制��;(5)支持網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT, Network Address Translation);(6)防止穿透性TCP聯(lián)接禁止兩個應(yīng)用網(wǎng)關(guān)之間直接建立TCP聯(lián)接�����,將內(nèi)外兩個應(yīng)用網(wǎng)關(guān)之間的TCP聯(lián)接分解成內(nèi)外兩個應(yīng)用網(wǎng)關(guān)分別到隔離裝置內(nèi)外兩個網(wǎng)卡的兩個TCP虛擬聯(lián)接��。隔離裝置內(nèi)外兩個網(wǎng)卡在裝置內(nèi)部是非網(wǎng)絡(luò)連接���,且只允許數(shù)據(jù)單向傳輸;(7)具有可定制的應(yīng)用層解析功能��,支持應(yīng)用層特殊標(biāo)記識別����;安全���、方便的維護管理方式基于證書的管理人員認(rèn)證�,使用圖形化的管理界面�����。在實際生產(chǎn)中�,往往會遇到新建的系統(tǒng)需要調(diào)用已有系統(tǒng)的數(shù)據(jù)的場景����。如圖1�,一方面需要實現(xiàn)系統(tǒng)內(nèi)部的跨安全區(qū)通信����,另一方面還需要與新增系統(tǒng)跨安全區(qū)通信。為此需要在系統(tǒng)之間建立網(wǎng)絡(luò)通道��,如圖中虛線部分所示����。這種方式存在著兩點問題在不同系統(tǒng)之間建立網(wǎng)絡(luò)通道會增加網(wǎng)絡(luò)的復(fù)雜度,降低網(wǎng)絡(luò)的可維護性和安全性�。而且隨著業(yè)務(wù)系統(tǒng)的快速發(fā)展,原有系統(tǒng)中數(shù)據(jù)等資源的重用和新系統(tǒng)的大量建設(shè)無法避免��,這一問題將更加的突出�����。原有系統(tǒng)可能受限于正向隔離裝置性能�����,無法為更多的系統(tǒng)提供數(shù)據(jù)。此種網(wǎng)絡(luò)結(jié)構(gòu)與結(jié)構(gòu)二有相似之處���,不同之處在于結(jié)構(gòu)二是系統(tǒng)內(nèi)部的通信�����,只是共用了正向隔離裝置�;結(jié)構(gòu)三則是不同系統(tǒng)之間的通信��,必須共用正向隔離裝置��。圖2為本發(fā)明一種跨安全區(qū)的正向通信方法的流程圖����,包括SlOl :向各個隔離裝置發(fā)送探測包,通過所述探測包的回應(yīng)包獲取各個隔離裝置的工作狀態(tài)信息��;S102:比較各個隔離裝置的所述工作狀態(tài)信息���,根據(jù)比較的結(jié)果選擇其中一個隔離裝置傳輸正向通信數(shù)據(jù)包�����。圖3為本發(fā)明一種跨安全區(qū)的正向通信方法的實施例示意圖,以下結(jié)合圖2����、圖3對本發(fā)明做進一步的說明��。如圖3所示����,本發(fā)明的系統(tǒng)采用正向隔離裝置陣列代替原有獨立的正向隔離裝置���,并在安全I/II區(qū)和安全III區(qū)內(nèi)分別設(shè)置統(tǒng)一的隔離網(wǎng)關(guān)��。其中��,所述正向隔離裝置陣列包括至少一個隔離裝置��。本發(fā)明利用可靠連接將隔離網(wǎng)關(guān)與正向隔離裝置陣列相連接���,形成跨安全區(qū)正向通信的總線結(jié)構(gòu)。對于需要跨安全區(qū)進行正向通信的系統(tǒng)���,則直接連接至本安全區(qū)內(nèi)相應(yīng)的隔離網(wǎng)關(guān)�,也即連接至跨安全區(qū)正向通信總線�����。通過該總線完成與其他安全區(qū)之間的通信。正向隔離裝置陣列即將若干臺正向隔離裝置進行相同或類似的配置���,組成并行傳輸?shù)倪\行模式����,構(gòu)建正向隔離陣列網(wǎng)絡(luò)�,無需區(qū)別對待不同廠家生產(chǎn)的隔離裝置的配置問題,從而擴大網(wǎng)絡(luò)數(shù)據(jù)通信流量����,解決網(wǎng)絡(luò)流量的瓶頸。
具體地����,通過統(tǒng)一的隔離網(wǎng)關(guān),向正向隔離裝置陣列中的各個隔離裝置發(fā)送探測包����,所述探測包經(jīng)過各個隔離裝置,再通過統(tǒng)一的隔離網(wǎng)關(guān)接收�,分配至目標(biāo)系統(tǒng)。通過目標(biāo)系統(tǒng)對所述探測包返回的回應(yīng)包����,獲取各個隔離裝置的工作狀態(tài)信息�����。其中,所述工作狀態(tài)信息主要包括當(dāng)前的流量負(fù)擔(dān)信息��。不同的廠家���、不同型號的隔離裝置����,在傳輸帶寬���、運算速度方面可能有所不同�����,但本發(fā)明無需考慮其具體的性能參數(shù)���,根據(jù)實際的工作狀態(tài)信息進行協(xié)調(diào)。比較各個隔離裝置的所述工作狀態(tài)信息����,根據(jù)比較的結(jié)果選擇其中一個隔離裝置傳輸正向通信數(shù)據(jù)包�����。只要正向隔離裝置陣列中的所有設(shè)備不同時發(fā)生故障�����,則系統(tǒng)可以實現(xiàn)正?�?绨踩珔^(qū)通信并確保隔離裝置功能的實現(xiàn)���,從而提高了系統(tǒng)的可靠性;對于安全III區(qū)內(nèi)的原有或新增系統(tǒng)����,無需感知正向隔離裝置陣列內(nèi)部的結(jié)構(gòu)和具體設(shè)備狀態(tài),也無需知道具體的數(shù)據(jù)傳輸路徑��,即可需要��,從正向隔離裝置陣列中選擇其中合適的隔離裝置網(wǎng)關(guān)進行通信���,從而增強了系統(tǒng)的擴展 性��。綜上所述��,便于跨安全區(qū)系統(tǒng)之間的信息傳輸�。為了提供一種請求失敗的處理方案,本實施例還包括����,當(dāng)選擇所述隔離裝置傳輸正向通信數(shù)據(jù)包的請求失敗時�����,或當(dāng)傳輸所述正向通信數(shù)據(jù)包的通信過程中斷時�����,向所述隔離裝置再次發(fā)送所述傳輸正向通信數(shù)據(jù)包的請求�。圖4為本發(fā)明一種跨安全區(qū)的正向通信方法的實施例流程圖。與圖2相比���,圖4為具體實施例的示意圖����。S201 :向各個隔離裝置發(fā)送探測包�����,通過所述探測包的回應(yīng)包獲取各個隔離裝置的工作狀態(tài)信息;S202:比較各個隔離裝置的所述工作狀態(tài)信息�,根據(jù)所述設(shè)備正常工作信息比較的結(jié)果,從在線正常工作的隔離裝置中選擇其中一個隔離裝置傳輸正向通信數(shù)據(jù)包��;S203:根據(jù)所述設(shè)備流量負(fù)載信息比較的結(jié)果����,選擇當(dāng)前通信流量最小的隔離裝置傳輸正向通信數(shù)據(jù)包;S204:根據(jù)所述工作狀態(tài)信息設(shè)置各個隔離裝置的傳輸優(yōu)先級別�,選擇當(dāng)前所述傳輸優(yōu)先級別最高的隔離裝置傳輸所述正向通信數(shù)據(jù)包;S205:根據(jù)所述工作狀態(tài)信息判定隔離裝置離線或不正常工作時����,發(fā)出與該隔離裝置相對應(yīng)的通道異常告警。在其中一個實施例當(dāng)中���,所述工作狀態(tài)信息主要包括設(shè)備正常工作信息和設(shè)備流量負(fù)載信息����。根據(jù)所述設(shè)備正常工作信息比較的結(jié)果���,從在線正常工作的隔離裝置中選擇其中一個隔離裝置傳輸正向通信數(shù)據(jù)包����;和/或,根據(jù)所述設(shè)備流量負(fù)載信息比較的結(jié)果����,選擇當(dāng)前通信流量最小的隔離裝置傳輸正向通信數(shù)據(jù)包。本發(fā)明實施例將正常工作信息和/或設(shè)備流量負(fù)載信息作為隔離裝置的選取依據(jù)�,協(xié)調(diào)正向隔離裝置陣列的正常工作。在其中一個實施例當(dāng)中���,與上一實施例相比,本實施例并非簡單地以設(shè)備是否運行正常和當(dāng)前流量負(fù)擔(dān)的大小作為依據(jù)����。而是,進一步地�,對各個選取依據(jù)設(shè)置優(yōu)先級別,獲取一個具有綜合評估作用的優(yōu)先級數(shù)���,并以此優(yōu)先級數(shù)作為選取判斷的依據(jù)�����。根據(jù)所述工作狀態(tài)信息設(shè)置各個隔離裝置的傳輸優(yōu)先級別�,選擇當(dāng)前所述傳輸優(yōu)先級別最高的隔離裝置傳輸所述正向通信數(shù)據(jù)包;其中��,當(dāng)隔離裝置離線或不正常工作時��,設(shè)置其優(yōu)先級別為最低級數(shù)�;當(dāng)新增加的隔離裝置在線正常工作時,設(shè)置其優(yōu)先級別為最高級數(shù)��。需要補充說明的是��,這里根據(jù)設(shè)備正常工作與否設(shè)置最高/最低優(yōu)先級數(shù)��,還包括���,判斷安全III區(qū)特定系統(tǒng)的專用隔離裝置的離線或不正常工作時���,設(shè)定該專用隔離裝置的優(yōu)先級數(shù)為最低。當(dāng)新增加對于安全III區(qū)特定系統(tǒng)的專用隔離裝置在線正常工作時����,針對傳輸給該安全III區(qū)特定系統(tǒng)的數(shù)據(jù)包,設(shè)置其專用隔離裝置的優(yōu)先級數(shù)為最高��。當(dāng)選擇隔離裝置傳輸所述正向通信數(shù)據(jù)包之時,該隔離裝置的傳輸優(yōu)先級別降低
預(yù)設(shè)級數(shù)����;當(dāng)該隔離裝置完成所述正向通信數(shù)據(jù)的傳輸之后,所述傳輸優(yōu)先級別增加所述預(yù)設(shè)級數(shù)��。上述方案提供了根據(jù)實時流量負(fù)擔(dān)信息而動態(tài)更新的優(yōu)先級數(shù)����。為了提供一種請求失敗的處理方案,本實施例還包括�����,當(dāng)選擇所述隔離裝置傳輸正向通信數(shù)據(jù)包的請求失敗時�,或當(dāng)傳輸所述正向通信數(shù)據(jù)包的通信過程中斷時,向較低優(yōu)先級別的隔離裝置發(fā)送所述傳輸正向通信數(shù)據(jù)包的請求�;當(dāng)向所述隔離裝置發(fā)送預(yù)設(shè)數(shù)次所述傳輸正向通信數(shù)據(jù)包的請求�,仍失敗時,向較低優(yōu)先級別的隔離裝置發(fā)送所述傳輸正向通信數(shù)據(jù)包的請求���。根據(jù)所述工作狀態(tài)信息判定隔離裝置離線或不正常工作時����,發(fā)出與該隔離裝置相對應(yīng)的通道異常告警。在大多數(shù)的通信過程中����,往往要求整個過程具有連續(xù)性,從而保證通信的準(zhǔn)確和及時響應(yīng)���。結(jié)合本專利的架構(gòu)具體來說���,就是需要將一次完整的通信過程始終通過同一個正向隔離裝置傳送。關(guān)于如何界定一次完整的通信過程���,劃分通信間隔��,可以但不限于以下方法以會話的啟動至結(jié)束作為通信間隔�,在該通信間隔傳輸所述正向通信數(shù)據(jù)包����;或,將建立TCP連接至釋放該連接作為通信間隔�����,在該通信間隔傳輸所述正向通信數(shù)據(jù)包�����;或,以預(yù)設(shè)空閑時間劃分通信間隔�,在該通信間隔傳輸所述正向通信數(shù)據(jù)包。以應(yīng)用層上的會話機制為標(biāo)準(zhǔn)����,劃分通信間隔,可以保證每次會話通信的信息完整性�����;以網(wǎng)絡(luò)層上的TCP連接機制作為標(biāo)準(zhǔn)�,劃分通信間隔,可以保證按照TCP/IP協(xié)議完成每次正向通信數(shù)據(jù)包的有效傳輸�;以應(yīng)用層上的空閑時間劃分通信間隔,可以提高通信效率����,節(jié)省傳輸時間。圖5為本發(fā)明一種跨安全區(qū)的正向通信裝置的示意圖����,包括鏈路探測單元�����,用于向各個隔離裝置發(fā)送探測包;與所述鏈路探測單元相連的狀態(tài)獲取單元��,用于通過所述探測包的回應(yīng)包獲取各個隔離裝置的工作狀態(tài)信息����;與所述狀態(tài)獲取單元相連的比較分析單元,用于比較各個隔離裝置的所述工作狀態(tài)息;與所述比較分析單元相連的選擇發(fā)送單元�,用于根據(jù)比較的結(jié)果選擇其中一個隔離裝置傳輸正向通信數(shù)據(jù)包。
圖5與圖2相對應(yīng)��,圖中各個單元的運行方式與方法中的相同�。圖6為本發(fā)明一種跨安全區(qū)的正向通信裝置的實施例示意圖。如圖6所示,所述比較分析單元包括狀態(tài)分析單元和/或流量分析單元�;與所述選擇發(fā)送單元相連的所述狀態(tài)分析單元,用于根據(jù)所述設(shè)備正常工作信息比較的結(jié)果��,獲得在線正常工作的隔離裝置����;所述選擇發(fā)送單元用于從在線正常工作的隔離裝置中選擇其中一個隔離裝置傳輸正向通信數(shù)據(jù)包;與所述選擇發(fā)送單元相連的所述流量分析單元用于根據(jù)所述設(shè)備流量負(fù)載信息比較的結(jié)果����,獲得當(dāng)前通信流量最小的隔離裝置����;所述選擇發(fā)送單元用于選擇當(dāng)前通信流量最小的隔離裝置傳輸正向通信數(shù)據(jù)包�����。如圖6所示,還包括
連接在所述比較分析單元與所述選擇發(fā)送單元的優(yōu)先級單元��,用于根據(jù)所述工作狀態(tài)信息設(shè)置各個隔離裝置的傳輸優(yōu)先級別���;所述選擇發(fā)送單元還用于選擇當(dāng)前所述傳輸優(yōu)先級別最高的隔離裝置傳輸所述正向通信數(shù)據(jù)包�。與所述選擇發(fā)送單元相連的失敗處理單元����,用于在傳輸失敗的情況下,觸發(fā)所述選擇發(fā)送單元向所述隔離裝置再次發(fā)送所述傳輸正向通信數(shù)據(jù)包的請求��,或觸發(fā)所述選擇發(fā)送單元向較低優(yōu)先級別的隔離裝置發(fā)送所述傳輸正向通信數(shù)據(jù)包的請求�。與所述比較分析單元相連的異常告警單元,用于根據(jù)所述工作狀態(tài)信息判定隔離裝置離線或不正常工作時��,發(fā)出與該隔離裝置相對應(yīng)的通道異常告警����。在其中一個實施例當(dāng)中,所述選擇發(fā)送單元包括會話控制單元或網(wǎng)絡(luò)控制單元或時間控制單元�;所述會話控制單元,用于以會話的啟動至結(jié)束作為通信間隔�����,在該通信間隔傳輸所述正向通信數(shù)據(jù)包��;所述網(wǎng)絡(luò)控制單元�����,用于將建立TCP連接至釋放該連接作為通信間隔���,在該通信間隔傳輸所述正向通信數(shù)據(jù)包����;所述時間控制單元�����,用于以預(yù)設(shè)空閑時間劃分通信間隔��,在該通信間隔傳輸所述正向通信數(shù)據(jù)包�����。圖6與圖4相對應(yīng),圖中各個單元的運行方式與方法中的相同�����。需要補充說明的是��,本發(fā)明在跨安全區(qū)之間提供了統(tǒng)一的接收/發(fā)送隔離網(wǎng)關(guān)��。隔離網(wǎng)關(guān)是跨安全區(qū)正向通信總線在各個安全區(qū)的接入點��。在發(fā)送隔離網(wǎng)關(guān)一端實現(xiàn)本發(fā)明�����。圖7為本發(fā)明一種跨安全區(qū)的正向通信系統(tǒng)的示意圖�����,包括如前所述的跨安全區(qū)的正向通信裝置�����;以及與所述跨安全區(qū)的正向通信裝置相連的隔離裝置陣列��;其中,所述隔離裝置陣列包括預(yù)設(shè)數(shù)個在線工作的隔離裝置����。本發(fā)明的跨安全區(qū)的正向通信系統(tǒng)���,采用并聯(lián)式的系統(tǒng)架構(gòu)���,相比于傳統(tǒng)技術(shù)僅是對單體隔離設(shè)備性能的改進,本發(fā)明將隔離裝置進行并聯(lián)�,能夠使數(shù)個隔離裝置同時在線工作。這對于業(yè)內(nèi)是一次影響較大的變革��。相比現(xiàn)有技術(shù)方案�,本發(fā)明具有以下優(yōu)點簡化了網(wǎng)絡(luò)結(jié)構(gòu),降低了網(wǎng)絡(luò)建設(shè)和維護的復(fù)雜度�。通過設(shè)置總線式的跨安全區(qū)通信網(wǎng)絡(luò)架構(gòu),各系統(tǒng)統(tǒng)一接入“跨安全區(qū)正向通信總線”����,即可實現(xiàn)和不同安全區(qū)之間設(shè)備的通信,通信的可靠性及效率由總線保證���。網(wǎng)絡(luò)結(jié)構(gòu)清晰��,系統(tǒng)實現(xiàn)簡單����。提高了設(shè)備資源利用率,降低了系統(tǒng)建設(shè)成本����。新系統(tǒng)建設(shè)時,無需重復(fù)建設(shè)正向隔離裝置��,由跨安全區(qū)正向通信總線統(tǒng)一實現(xiàn)隔離裝置功能�����;隔離裝置陣列能夠充分利用所有隔離裝置設(shè)備的資源����,在必要時靈活擴展,有效的提升了設(shè)備資源的利用效率�。實現(xiàn)了不同系統(tǒng)之間的靈活通信,降低了資源重用的難度�。I/II區(qū)的系統(tǒng)能夠根據(jù)具體的業(yè)務(wù)需求,靈活的將數(shù)據(jù)發(fā)送到III區(qū)的不同系統(tǒng)中�����,實現(xiàn)對已有數(shù)據(jù)等資源的重復(fù)利用。消除了網(wǎng)絡(luò)性能瓶頸����。本發(fā)明技術(shù)方案 實現(xiàn)了高性能、可平滑擴展的隔離功能實現(xiàn)方式���,較好的解決了正向隔離裝置帶來的網(wǎng)絡(luò)瓶頸問題��。系統(tǒng)可靠性提升。正向隔離裝置陣列具有較強的容災(zāi)能力��,從而提高了系統(tǒng)整體的可靠性����。以上所述實施例僅表達(dá)了本發(fā)明的幾種實施方式,其描述較為具體和詳細(xì)��,但并不能因此而理解為對本發(fā)明專利范圍的限制��。應(yīng)當(dāng)指出的是��,對于本領(lǐng)域的普通技術(shù)人員來說����,在不脫離本發(fā)明構(gòu)思的前提下�����,還可以做出若干變形和改進��,這些都屬于本發(fā)明的保護范圍���。因此,本發(fā)明專利的保護范圍應(yīng)以所附權(quán)利要求為準(zhǔn)��。
權(quán)利要求
1.一種跨安全區(qū)的正向通信方法�,其特征在于,包括向各個隔離裝置發(fā)送探測包�����,通過所述探測包的回應(yīng)包獲取各個隔離裝置的工作狀態(tài)信息���;比較各個隔離裝置的所述工作狀態(tài)信息�����,根據(jù)比較的結(jié)果選擇其中一個隔離裝置傳輸正向通信數(shù)據(jù)包�。
2.根據(jù)權(quán)利要求1所述的跨安全區(qū)的正向通信方法,其特征在于��,所述工作狀態(tài)信息主要包括設(shè)備正常工作信息和設(shè)備流量負(fù)載信息�����,根據(jù)比較的結(jié)果選擇其中一個隔離裝置傳輸正向通信數(shù)據(jù)包的步驟���,包括根據(jù)所述設(shè)備正常工作信息比較的結(jié)果�����,從在線正常工作的隔離裝置中選擇其中一個隔離裝置傳輸正向通信數(shù)據(jù)包�����;和/或,根據(jù)所述設(shè)備流量負(fù)載信息比較的結(jié)果���,選擇當(dāng)前通信流量最小的隔離裝置傳輸正向通信數(shù)據(jù)包����。
3.根據(jù)權(quán)利要求1所述的跨安全區(qū)的正向通信方法��,其特征在于根據(jù)所述工作狀態(tài)信息設(shè)置各個隔離裝置的傳輸優(yōu)先級別,選擇當(dāng)前所述傳輸優(yōu)先級別最高的隔離裝置傳輸所述正向通信數(shù)據(jù)包����;其中,當(dāng)隔離裝置離線或不正常工作時�,設(shè)置其優(yōu)先級別為最低級數(shù);當(dāng)新增加的隔離裝置在線正常工作時�����,設(shè)置其優(yōu)先級別為最高級數(shù)�;當(dāng)選擇隔離裝置傳輸所述正向通信數(shù)據(jù)包之時,該隔離裝置的傳輸優(yōu)先級別降低預(yù)設(shè)級數(shù)��;當(dāng)該隔離裝置完成所述正向通信數(shù)據(jù)的傳輸之后�,所述傳輸優(yōu)先級別增加所述預(yù)設(shè)級數(shù)。
4.根據(jù)權(quán)利要求2或3所述的跨安全區(qū)的正向通信方法����,其特征在于,根據(jù)比較的結(jié)果選擇其中一個隔離裝置傳輸正向通信數(shù)據(jù)包的步驟���,包括當(dāng)選擇所述隔離裝置傳輸正向通信數(shù)據(jù)包的請求失敗時����,或當(dāng)傳輸所述正向通信數(shù)據(jù)包的通信過程中斷時,向所述隔離裝置再次發(fā)送所述傳輸正向通信數(shù)據(jù)包的請求���。
5.根據(jù)權(quán)利要求3所述的跨安全區(qū)的正向通信方法�,其特征在于�,根據(jù)比較的結(jié)果選擇其中一個隔離裝置傳輸正向通信數(shù)據(jù)包的步驟,包括當(dāng)選擇所述隔離裝置傳輸正向通信數(shù)據(jù)包的請求失敗時����,或當(dāng)傳輸所述正向通信數(shù)據(jù)包的通信過程中斷時,向較低優(yōu)先級別的隔離裝置發(fā)送所述傳輸正向通信數(shù)據(jù)包的請求��;當(dāng)向所述隔離裝置發(fā)送預(yù)設(shè)數(shù)次所述傳輸正向通信數(shù)據(jù)包的請求��,仍失敗時��,向較低優(yōu)先級別的隔離裝置發(fā)送所述傳輸正向通信數(shù)據(jù)包的請求�����。
6.根據(jù)權(quán)利要求1至5任一項所述的跨安全區(qū)的正向通信方法���,其特征在于根據(jù)所述工作狀態(tài)信息判定隔離裝置離線或不正常工作時,發(fā)出與該隔離裝置相對應(yīng)的通道異常告警����。
7.根據(jù)權(quán)利要求1至6任一項所述的跨安全區(qū)的正向通信方法����,其特征在于���,傳輸正向通信數(shù)據(jù)包的步驟����,包括以會話的啟動至結(jié)束作為通信間隔���,在該通信間隔傳輸所述正向通信數(shù)據(jù)包����;或����,將建立TCP連接至釋放該連接作為通信間隔,在該通信間隔傳輸所述正向通信數(shù)據(jù)包�����;或��,以預(yù)設(shè)空閑時間劃分通信間隔,在該通信間隔傳輸所述正向通信數(shù)據(jù)包�。
8.一種跨安全區(qū)的正向通信裝置,其特征在于����,包括鏈路探測單元,用于向各個隔離裝置發(fā)送探測包���;與所述鏈路探測單元相連的狀態(tài)獲取單元�����,用于通過所述探測包的回應(yīng)包獲取各個隔離裝置的工作狀態(tài)信息���;與所述狀態(tài)獲取單元相連的比較分析單元,用于比較各個隔離裝置的所述工作狀態(tài)信與所述比較分析單元相連的選擇發(fā)送單元��,用于根據(jù)比較的結(jié)果選擇其中一個隔離裝置傳輸正向通信數(shù)據(jù)包����。
9.根據(jù)權(quán)利要求8所述的跨安全區(qū)的正向通信裝置,其特征在于����,所述比較分析單元包括狀態(tài)分析單元和/或流量分析單元;與所述選擇發(fā)送單元相連的所述狀態(tài)分析單元���,用于根據(jù)所述設(shè)備正常工作信息比較的結(jié)果����,獲得在線正常工作的隔離裝置���;所述選擇發(fā)送單元用于從在線正常工作的隔離裝置中選擇其中一個隔離裝置傳輸正向通信數(shù)據(jù)包�;與所述選擇發(fā)送單元相連的所述流量分析單元用于根據(jù)所述設(shè)備流量負(fù)載信息比較的結(jié)果����,獲得當(dāng)前通信流量最小的隔離裝置;所述選擇發(fā)送單元用于選擇當(dāng)前通信流量最小的隔離裝置傳輸正向通信數(shù)據(jù)包�����。
10.根據(jù)權(quán)利要求8所述的跨安全區(qū)的正向通信裝置����,其特征在于,還包括連接在所述比較分析單元與所述選擇發(fā)送單元的優(yōu)先級單元�����,用于根據(jù)所述工作狀態(tài)信息設(shè)置各個隔離裝置的傳輸優(yōu)先級別;所述選擇發(fā)送單元還用于選擇當(dāng)前所述傳輸優(yōu)先級別最高的隔離裝置傳輸所述正向通信數(shù)據(jù)包���。
11.根據(jù)權(quán)利要求9或10所述的跨安全區(qū)的正向通信裝置���,其特征在于,還包括與所述選擇發(fā)送單元相連的失敗處理單元����,用于在傳輸失敗的情況下,觸發(fā)所述選擇發(fā)送單元向所述隔離裝置再次發(fā)送所述傳輸正向通信數(shù)據(jù)包的請求��,或觸發(fā)所述選擇發(fā)送單元向較低優(yōu)先級別的隔離裝置發(fā)送所述傳輸正向通信數(shù)據(jù)包的請求���。
12.根據(jù)權(quán)利要求8至11任一項所述的跨安全區(qū)的正向通信裝置���,其特征在于,還包括與所述比較分析單元相連的異常告警單元����,用于根據(jù)所述工作狀態(tài)信息判定隔離裝置離線或不正常工作時,發(fā)出與該隔離裝置相對應(yīng)的通道異常告警��。
13.根據(jù)權(quán)利要求8至12任一項所述的跨安全區(qū)的正向通信裝置,其特征在于�,所述選擇發(fā)送單元包括會話控制單元或網(wǎng)絡(luò)控制單元或時間控制單元����;所述會話控制單元,用于以會話的啟動至結(jié)束作為通信間隔����,在該通信間隔傳輸所述正向通信數(shù)據(jù)包;所述網(wǎng)絡(luò)控制單元���,用于將建立TCP連接至釋放該連接作為通信間隔���,在該通信間隔傳輸所述正向通信數(shù)據(jù)包;所述時間控制單元�,用于以預(yù)設(shè)空閑時間劃分通信間隔,在該通信間隔傳輸所述正向通信數(shù)據(jù)包�。
14.一種跨安全區(qū)的正向通信系統(tǒng),其特征在于���,包括如權(quán)利要求8至13任一項所述的跨安全區(qū)的正向通信裝置�����;以及與所述跨安全區(qū)的正向通信裝置相連的隔離裝置陣列��;其中 ���,所述隔離裝置陣列包括預(yù)設(shè)數(shù)個在線工作的隔離裝置��。
全文摘要
本發(fā)明公開了跨安全區(qū)的正向通信方法����、裝置及系統(tǒng)�。該方法包括向各個隔離裝置發(fā)送探測包,通過所述探測包的回應(yīng)包獲取各個隔離裝置的工作狀態(tài)信息�����;比較各個隔離裝置的所述工作狀態(tài)信息��,根據(jù)比較的結(jié)果選擇其中一個隔離裝置傳輸正向通信數(shù)據(jù)包�。采用本發(fā)明,可以搭建跨安全區(qū)通信的通信總線���,從而簡化網(wǎng)絡(luò)結(jié)構(gòu)���。根據(jù)各個隔離裝置的工作狀態(tài)選擇其一����,協(xié)調(diào)傳輸通信數(shù)據(jù)包��,提高設(shè)備資源利用率��。便于各個系統(tǒng)的互訪�,以及提升了系統(tǒng)性能����、擴展性和可靠性。
文檔編號H04L12/26GK103023722SQ20121053381
公開日2013年4月3日 申請日期2012年12月11日 優(yōu)先權(quán)日2012年12月11日
發(fā)明者蘇揚, 周安, 鄧大為, 徐展強, 曾堅永 申請人:廣東電網(wǎng)公司電力調(diào)度控制中心, 珠海市鴻瑞軟件技術(shù)有限公司