專利名稱:跨安全區(qū)的正向通信方法、裝置及系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及電力系統(tǒng)的信息安全技術(shù),特別是涉及跨安全區(qū)的正向通信方法、裝置及系統(tǒng)。
背景技術(shù):
隨著電力自動(dòng)化水平的提高,為保障網(wǎng)絡(luò)的安全,許多信息安全技術(shù)在網(wǎng)絡(luò)中得到了應(yīng)用,如在網(wǎng)絡(luò)中設(shè)置防火墻、防病毒系統(tǒng),對(duì)網(wǎng)絡(luò)進(jìn)行入侵檢測(cè)、漏洞掃描等。然而此類保護(hù)是一種邏輯機(jī)制,必須有一道絕對(duì)安全的大門,保證不同安全區(qū)之間的安全強(qiáng)度。針對(duì)電力信息網(wǎng)絡(luò)系統(tǒng)安全性的要求,電力專用網(wǎng)絡(luò)隔離裝置已經(jīng)被廣泛應(yīng)用到電力信息網(wǎng)絡(luò)建設(shè)中。
隔離裝置在確實(shí)保障電力信息網(wǎng)絡(luò)安全的同時(shí),也在某種程度上給網(wǎng)絡(luò)通信帶來(lái)了不便。在實(shí)現(xiàn)高安全級(jí)別的網(wǎng)絡(luò)隔離的同時(shí),隔離裝置自身的功能特性也決定了它會(huì)給網(wǎng)絡(luò)通信帶來(lái)一定的延時(shí)和帶寬限制。相關(guān)測(cè)試表明,傳統(tǒng)的通信方法存在如下問(wèn)題首先,大量的正向隔離裝置和網(wǎng)絡(luò)通道維護(hù)困難,使得故障的定位和排除難以及時(shí)完成;然后,新建設(shè)的系統(tǒng)需要設(shè)置相應(yīng)的正向隔離裝置以滿足跨安全區(qū)網(wǎng)絡(luò)通信的需求,無(wú)法利用已有的設(shè)備資源;其次,受限于正向隔離裝置的性能,不同系統(tǒng)或新舊系統(tǒng)之間難以實(shí)現(xiàn)跨系統(tǒng)的數(shù)據(jù)通信,限制了數(shù)據(jù)資源的有效利用;最后,由于正向隔離裝置往往會(huì)成為網(wǎng)絡(luò)性能的瓶頸,因此部署了正向隔離裝置的系統(tǒng)往往難以滿足系統(tǒng)升級(jí)、擴(kuò)容、業(yè)務(wù)范圍擴(kuò)展的需求,也使得系統(tǒng)的可靠性受到限制。
發(fā)明內(nèi)容
基于此,有必要針對(duì)上述問(wèn)題,提供一種跨安全區(qū)的正向通信方法、裝置及系統(tǒng),能夠簡(jiǎn)化網(wǎng)絡(luò)結(jié)構(gòu),提高設(shè)備資料的利用率,進(jìn)而提升系統(tǒng)的可靠性和可擴(kuò)展性。一種跨安全區(qū)的正向通信方法,包括向各個(gè)隔離裝置發(fā)送探測(cè)包,通過(guò)所述探測(cè)包的回應(yīng)包獲取各個(gè)隔離裝置的工作狀態(tài)信息;比較各個(gè)隔離裝置的所述工作狀態(tài)信息,根據(jù)比較的結(jié)果選擇其中一個(gè)隔離裝置傳輸正向通信數(shù)據(jù)包。相應(yīng)地,一種跨安全區(qū)的正向通信裝置,包括鏈路探測(cè)單元,用于向各個(gè)隔離裝置發(fā)送探測(cè)包;與所述鏈路探測(cè)單元相連的狀態(tài)獲取單元,用于通過(guò)所述探測(cè)包的回應(yīng)包獲取各個(gè)隔離裝置的工作狀態(tài)信息;與所述狀態(tài)獲取單元相連的比較分析單元,用于比較各個(gè)隔離裝置的所述工作狀態(tài)息;與所述比較分析單元相連的選擇發(fā)送單元,用于根據(jù)比較的結(jié)果選擇其中一個(gè)隔離裝置傳輸正向通信數(shù)據(jù)包。
相應(yīng)地,一種跨安全區(qū)的正向通信系統(tǒng),包括如前所述的跨安全區(qū)的正向通信裝置;以及與所述跨安全區(qū)的正向通信裝置相連的隔離裝置陣列;其中,所述隔離裝置陣列包括預(yù)設(shè)數(shù)個(gè)在線工作的隔離裝置。實(shí)施本發(fā)明,具有如下有益效果本發(fā)明的跨安全區(qū)的正向通信方法及裝置,通過(guò)在統(tǒng)一的隔離網(wǎng)關(guān)一端與各個(gè)隔離裝置建立有效通信連接及信息交換關(guān)系,搭建跨安全區(qū)通信的通信總線,從而簡(jiǎn)化網(wǎng)絡(luò)結(jié)構(gòu)。根據(jù)各個(gè)隔離裝置的工作狀態(tài)選擇其一,協(xié) 調(diào)傳輸通信數(shù)據(jù)包,提高設(shè)備資源利用率。便于跨安全區(qū)系統(tǒng)之間的信息傳輸,以及提升了系統(tǒng)性能、擴(kuò)展性和可靠性。本發(fā)明的跨安全區(qū)的正向通信系統(tǒng),采用并聯(lián)式的系統(tǒng)架構(gòu),相比于傳統(tǒng)技術(shù)僅是對(duì)單體隔離設(shè)備性能的改進(jìn),本發(fā)明將隔離裝置進(jìn)行并聯(lián),能夠使數(shù)個(gè)隔離裝置同時(shí)在線工作。這對(duì)于業(yè)內(nèi)是一次影響較大的變革。
圖1為本傳統(tǒng)的正向隔離裝置的通信示意圖;圖2為本發(fā)明一種跨安全區(qū)的正向通信方法的流程圖;圖3為本發(fā)明一種跨安全區(qū)的正向通信方法的實(shí)施例示意圖;圖4為本發(fā)明一種跨安全區(qū)的正向通信方法的實(shí)施例流程圖;圖5為本發(fā)明一種跨安全區(qū)的正向通信裝置的示意圖;圖6為本發(fā)明一種跨安全區(qū)的正向通信裝置的實(shí)施例示意圖;圖7為本發(fā)明一種跨安全區(qū)的正向通信系統(tǒng)的示意圖。
具體實(shí)施例方式為使本發(fā)明的目的、技術(shù)方案和優(yōu)點(diǎn)更加清楚,下面將結(jié)合附圖對(duì)本發(fā)明作進(jìn)一步地詳細(xì)描述。圖1為本傳統(tǒng)的正向隔離裝置的通信示意圖。隨著電力自動(dòng)化水平的提高,通信技術(shù)和網(wǎng)絡(luò)技術(shù)的發(fā)展,電力系統(tǒng)越來(lái)越依賴電力信息網(wǎng)絡(luò)來(lái)保障其安全、可靠和高效的運(yùn)行,信息網(wǎng)絡(luò)的安全直接關(guān)系到電力系統(tǒng)的安全,因此對(duì)電力系統(tǒng)信息安全關(guān)鍵技術(shù)的研究就顯得尤為重要。根據(jù)《全國(guó)電力二次系統(tǒng)安全防護(hù)總體方案》的要求,電力二次系統(tǒng)劃分為不同的安全工作區(qū),反映了各區(qū)中業(yè)務(wù)系統(tǒng)重要性的差別。不同的安全區(qū)確定了不同的安全防護(hù)要求,從而決定了不同的安全等級(jí)和防護(hù)水平。系統(tǒng)整體分為三個(gè)安全區(qū):安全I(xiàn)區(qū)(控制區(qū)),安全I(xiàn)I區(qū)(非控制區(qū))、安全I(xiàn)II區(qū)(管理信息區(qū))。其中安全I(xiàn)區(qū)和安全I(xiàn)I區(qū)與生產(chǎn)相關(guān),因此二者統(tǒng)稱為生產(chǎn)控制區(qū)。由于生產(chǎn)控制區(qū)和管理信息區(qū)的安全強(qiáng)度要求差異較大,信息跨區(qū)域的傳遞有嚴(yán)格的限制,因此區(qū)域之間需要采用電力專用網(wǎng)絡(luò)隔離裝置,以達(dá)到最高的安全強(qiáng)度。如圖1所示,網(wǎng)絡(luò)隔離技術(shù)是指內(nèi)部網(wǎng)絡(luò)不直接或間接地連接外部網(wǎng)絡(luò)。只有使內(nèi)部網(wǎng)和公共網(wǎng)隔離裝置,保證內(nèi)部信息網(wǎng)絡(luò)不受來(lái)自互聯(lián)網(wǎng)的黑客攻擊。同時(shí),隔離裝置也為內(nèi)部網(wǎng)劃定了明確的安全邊界,使得網(wǎng)絡(luò)的可控性增強(qiáng),便于內(nèi)部管理。在電力信息網(wǎng)絡(luò)中,正向隔離裝置和反向隔離裝置是實(shí)現(xiàn)網(wǎng)絡(luò)隔離技術(shù)的典型設(shè)備。其中,安全隔離裝置(正向)用于安全區(qū)I/II到安全區(qū)III的單向數(shù)據(jù)傳遞,其具體功能如下(I)實(shí)現(xiàn)不同安全區(qū)之間的非網(wǎng)絡(luò)方式的安全的數(shù)據(jù)交換,并且保證安全隔離裝置內(nèi)外兩個(gè)處理系統(tǒng)不同時(shí)連通;(2)表示層與應(yīng)用層數(shù)據(jù)完全單向傳輸,即從安全區(qū)III到安全區(qū)I/II的TCP應(yīng)答禁止攜帶應(yīng)用數(shù)據(jù);(3)透明工作方式虛擬主機(jī)IP地址、隱藏MAC地址;(4)基于MAC、IP、傳輸協(xié)議、傳輸端口以及通信方向的綜合報(bào)文過(guò)濾與訪問(wèn)控制;(5)支持網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT, Network Address Translation);(6)防止穿透性TCP聯(lián)接禁止兩個(gè)應(yīng)用網(wǎng)關(guān)之間直接建立TCP聯(lián)接,將內(nèi)外兩個(gè)應(yīng)用網(wǎng)關(guān)之間的TCP聯(lián)接分解成內(nèi)外兩個(gè)應(yīng)用網(wǎng)關(guān)分別到隔離裝置內(nèi)外兩個(gè)網(wǎng)卡的兩個(gè)TCP虛擬聯(lián)接。隔離裝置內(nèi)外兩個(gè)網(wǎng)卡在裝置內(nèi)部是非網(wǎng)絡(luò)連接,且只允許數(shù)據(jù)單向傳輸;(7)具有可定制的應(yīng)用層解析功能,支持應(yīng)用層特殊標(biāo)記識(shí)別;安全、方便的維護(hù)管理方式基于證書的管理人員認(rèn)證,使用圖形化的管理界面。在實(shí)際生產(chǎn)中,往往會(huì)遇到新建的系統(tǒng)需要調(diào)用已有系統(tǒng)的數(shù)據(jù)的場(chǎng)景。如圖1,一方面需要實(shí)現(xiàn)系統(tǒng)內(nèi)部的跨安全區(qū)通信,另一方面還需要與新增系統(tǒng)跨安全區(qū)通信。為此需要在系統(tǒng)之間建立網(wǎng)絡(luò)通道,如圖中虛線部分所示。這種方式存在著兩點(diǎn)問(wèn)題在不同系統(tǒng)之間建立網(wǎng)絡(luò)通道會(huì)增加網(wǎng)絡(luò)的復(fù)雜度,降低網(wǎng)絡(luò)的可維護(hù)性和安全性。而且隨著業(yè)務(wù)系統(tǒng)的快速發(fā)展,原有系統(tǒng)中數(shù)據(jù)等資源的重用和新系統(tǒng)的大量建設(shè)無(wú)法避免,這一問(wèn)題將更加的突出。原有系統(tǒng)可能受限于正向隔離裝置性能,無(wú)法為更多的系統(tǒng)提供數(shù)據(jù)。此種網(wǎng)絡(luò)結(jié)構(gòu)與結(jié)構(gòu)二有相似之處,不同之處在于結(jié)構(gòu)二是系統(tǒng)內(nèi)部的通信,只是共用了正向隔離裝置;結(jié)構(gòu)三則是不同系統(tǒng)之間的通信,必須共用正向隔離裝置。圖2為本發(fā)明一種跨安全區(qū)的正向通信方法的流程圖,包括SlOl :向各個(gè)隔離裝置發(fā)送探測(cè)包,通過(guò)所述探測(cè)包的回應(yīng)包獲取各個(gè)隔離裝置的工作狀態(tài)信息;S102:比較各個(gè)隔離裝置的所述工作狀態(tài)信息,根據(jù)比較的結(jié)果選擇其中一個(gè)隔離裝置傳輸正向通信數(shù)據(jù)包。圖3為本發(fā)明一種跨安全區(qū)的正向通信方法的實(shí)施例示意圖,以下結(jié)合圖2、圖3對(duì)本發(fā)明做進(jìn)一步的說(shuō)明。如圖3所示,本發(fā)明的系統(tǒng)采用正向隔離裝置陣列代替原有獨(dú)立的正向隔離裝置,并在安全I(xiàn)/II區(qū)和安全I(xiàn)II區(qū)內(nèi)分別設(shè)置統(tǒng)一的隔離網(wǎng)關(guān)。其中,所述正向隔離裝置陣列包括至少一個(gè)隔離裝置。本發(fā)明利用可靠連接將隔離網(wǎng)關(guān)與正向隔離裝置陣列相連接,形成跨安全區(qū)正向通信的總線結(jié)構(gòu)。對(duì)于需要跨安全區(qū)進(jìn)行正向通信的系統(tǒng),則直接連接至本安全區(qū)內(nèi)相應(yīng)的隔離網(wǎng)關(guān),也即連接至跨安全區(qū)正向通信總線。通過(guò)該總線完成與其他安全區(qū)之間的通信。正向隔離裝置陣列即將若干臺(tái)正向隔離裝置進(jìn)行相同或類似的配置,組成并行傳輸?shù)倪\(yùn)行模式,構(gòu)建正向隔離陣列網(wǎng)絡(luò),無(wú)需區(qū)別對(duì)待不同廠家生產(chǎn)的隔離裝置的配置問(wèn)題,從而擴(kuò)大網(wǎng)絡(luò)數(shù)據(jù)通信流量,解決網(wǎng)絡(luò)流量的瓶頸。
具體地,通過(guò)統(tǒng)一的隔離網(wǎng)關(guān),向正向隔離裝置陣列中的各個(gè)隔離裝置發(fā)送探測(cè)包,所述探測(cè)包經(jīng)過(guò)各個(gè)隔離裝置,再通過(guò)統(tǒng)一的隔離網(wǎng)關(guān)接收,分配至目標(biāo)系統(tǒng)。通過(guò)目標(biāo)系統(tǒng)對(duì)所述探測(cè)包返回的回應(yīng)包,獲取各個(gè)隔離裝置的工作狀態(tài)信息。其中,所述工作狀態(tài)信息主要包括當(dāng)前的流量負(fù)擔(dān)信息。不同的廠家、不同型號(hào)的隔離裝置,在傳輸帶寬、運(yùn)算速度方面可能有所不同,但本發(fā)明無(wú)需考慮其具體的性能參數(shù),根據(jù)實(shí)際的工作狀態(tài)信息進(jìn)行協(xié)調(diào)。比較各個(gè)隔離裝置的所述工作狀態(tài)信息,根據(jù)比較的結(jié)果選擇其中一個(gè)隔離裝置傳輸正向通信數(shù)據(jù)包。只要正向隔離裝置陣列中的所有設(shè)備不同時(shí)發(fā)生故障,則系統(tǒng)可以實(shí)現(xiàn)正??绨踩珔^(qū)通信并確保隔離裝置功能的實(shí)現(xiàn),從而提高了系統(tǒng)的可靠性;對(duì)于安全I(xiàn)II區(qū)內(nèi)的原有或新增系統(tǒng),無(wú)需感知正向隔離裝置陣列內(nèi)部的結(jié)構(gòu)和具體設(shè)備狀態(tài),也無(wú)需知道具體的數(shù)據(jù)傳輸路徑,即可需要,從正向隔離裝置陣列中選擇其中合適的隔離裝置網(wǎng)關(guān)進(jìn)行通信,從而增強(qiáng)了系統(tǒng)的擴(kuò)展 性。綜上所述,便于跨安全區(qū)系統(tǒng)之間的信息傳輸。為了提供一種請(qǐng)求失敗的處理方案,本實(shí)施例還包括,當(dāng)選擇所述隔離裝置傳輸正向通信數(shù)據(jù)包的請(qǐng)求失敗時(shí),或當(dāng)傳輸所述正向通信數(shù)據(jù)包的通信過(guò)程中斷時(shí),向所述隔離裝置再次發(fā)送所述傳輸正向通信數(shù)據(jù)包的請(qǐng)求。圖4為本發(fā)明一種跨安全區(qū)的正向通信方法的實(shí)施例流程圖。與圖2相比,圖4為具體實(shí)施例的示意圖。S201 :向各個(gè)隔離裝置發(fā)送探測(cè)包,通過(guò)所述探測(cè)包的回應(yīng)包獲取各個(gè)隔離裝置的工作狀態(tài)信息;S202:比較各個(gè)隔離裝置的所述工作狀態(tài)信息,根據(jù)所述設(shè)備正常工作信息比較的結(jié)果,從在線正常工作的隔離裝置中選擇其中一個(gè)隔離裝置傳輸正向通信數(shù)據(jù)包;S203:根據(jù)所述設(shè)備流量負(fù)載信息比較的結(jié)果,選擇當(dāng)前通信流量最小的隔離裝置傳輸正向通信數(shù)據(jù)包;S204:根據(jù)所述工作狀態(tài)信息設(shè)置各個(gè)隔離裝置的傳輸優(yōu)先級(jí)別,選擇當(dāng)前所述傳輸優(yōu)先級(jí)別最高的隔離裝置傳輸所述正向通信數(shù)據(jù)包;S205:根據(jù)所述工作狀態(tài)信息判定隔離裝置離線或不正常工作時(shí),發(fā)出與該隔離裝置相對(duì)應(yīng)的通道異常告警。在其中一個(gè)實(shí)施例當(dāng)中,所述工作狀態(tài)信息主要包括設(shè)備正常工作信息和設(shè)備流量負(fù)載信息。根據(jù)所述設(shè)備正常工作信息比較的結(jié)果,從在線正常工作的隔離裝置中選擇其中一個(gè)隔離裝置傳輸正向通信數(shù)據(jù)包;和/或,根據(jù)所述設(shè)備流量負(fù)載信息比較的結(jié)果,選擇當(dāng)前通信流量最小的隔離裝置傳輸正向通信數(shù)據(jù)包。本發(fā)明實(shí)施例將正常工作信息和/或設(shè)備流量負(fù)載信息作為隔離裝置的選取依據(jù),協(xié)調(diào)正向隔離裝置陣列的正常工作。在其中一個(gè)實(shí)施例當(dāng)中,與上一實(shí)施例相比,本實(shí)施例并非簡(jiǎn)單地以設(shè)備是否運(yùn)行正常和當(dāng)前流量負(fù)擔(dān)的大小作為依據(jù)。而是,進(jìn)一步地,對(duì)各個(gè)選取依據(jù)設(shè)置優(yōu)先級(jí)別,獲取一個(gè)具有綜合評(píng)估作用的優(yōu)先級(jí)數(shù),并以此優(yōu)先級(jí)數(shù)作為選取判斷的依據(jù)。根據(jù)所述工作狀態(tài)信息設(shè)置各個(gè)隔離裝置的傳輸優(yōu)先級(jí)別,選擇當(dāng)前所述傳輸優(yōu)先級(jí)別最高的隔離裝置傳輸所述正向通信數(shù)據(jù)包;其中,當(dāng)隔離裝置離線或不正常工作時(shí),設(shè)置其優(yōu)先級(jí)別為最低級(jí)數(shù);當(dāng)新增加的隔離裝置在線正常工作時(shí),設(shè)置其優(yōu)先級(jí)別為最高級(jí)數(shù)。需要補(bǔ)充說(shuō)明的是,這里根據(jù)設(shè)備正常工作與否設(shè)置最高/最低優(yōu)先級(jí)數(shù),還包括,判斷安全I(xiàn)II區(qū)特定系統(tǒng)的專用隔離裝置的離線或不正常工作時(shí),設(shè)定該專用隔離裝置的優(yōu)先級(jí)數(shù)為最低。當(dāng)新增加對(duì)于安全I(xiàn)II區(qū)特定系統(tǒng)的專用隔離裝置在線正常工作時(shí),針對(duì)傳輸給該安全I(xiàn)II區(qū)特定系統(tǒng)的數(shù)據(jù)包,設(shè)置其專用隔離裝置的優(yōu)先級(jí)數(shù)為最高。當(dāng)選擇隔離裝置傳輸所述正向通信數(shù)據(jù)包之時(shí),該隔離裝置的傳輸優(yōu)先級(jí)別降低
預(yù)設(shè)級(jí)數(shù);當(dāng)該隔離裝置完成所述正向通信數(shù)據(jù)的傳輸之后,所述傳輸優(yōu)先級(jí)別增加所述預(yù)設(shè)級(jí)數(shù)。上述方案提供了根據(jù)實(shí)時(shí)流量負(fù)擔(dān)信息而動(dòng)態(tài)更新的優(yōu)先級(jí)數(shù)。為了提供一種請(qǐng)求失敗的處理方案,本實(shí)施例還包括,當(dāng)選擇所述隔離裝置傳輸正向通信數(shù)據(jù)包的請(qǐng)求失敗時(shí),或當(dāng)傳輸所述正向通信數(shù)據(jù)包的通信過(guò)程中斷時(shí),向較低優(yōu)先級(jí)別的隔離裝置發(fā)送所述傳輸正向通信數(shù)據(jù)包的請(qǐng)求;當(dāng)向所述隔離裝置發(fā)送預(yù)設(shè)數(shù)次所述傳輸正向通信數(shù)據(jù)包的請(qǐng)求,仍失敗時(shí),向較低優(yōu)先級(jí)別的隔離裝置發(fā)送所述傳輸正向通信數(shù)據(jù)包的請(qǐng)求。根據(jù)所述工作狀態(tài)信息判定隔離裝置離線或不正常工作時(shí),發(fā)出與該隔離裝置相對(duì)應(yīng)的通道異常告警。在大多數(shù)的通信過(guò)程中,往往要求整個(gè)過(guò)程具有連續(xù)性,從而保證通信的準(zhǔn)確和及時(shí)響應(yīng)。結(jié)合本專利的架構(gòu)具體來(lái)說(shuō),就是需要將一次完整的通信過(guò)程始終通過(guò)同一個(gè)正向隔離裝置傳送。關(guān)于如何界定一次完整的通信過(guò)程,劃分通信間隔,可以但不限于以下方法以會(huì)話的啟動(dòng)至結(jié)束作為通信間隔,在該通信間隔傳輸所述正向通信數(shù)據(jù)包;或,將建立TCP連接至釋放該連接作為通信間隔,在該通信間隔傳輸所述正向通信數(shù)據(jù)包;或,以預(yù)設(shè)空閑時(shí)間劃分通信間隔,在該通信間隔傳輸所述正向通信數(shù)據(jù)包。以應(yīng)用層上的會(huì)話機(jī)制為標(biāo)準(zhǔn),劃分通信間隔,可以保證每次會(huì)話通信的信息完整性;以網(wǎng)絡(luò)層上的TCP連接機(jī)制作為標(biāo)準(zhǔn),劃分通信間隔,可以保證按照TCP/IP協(xié)議完成每次正向通信數(shù)據(jù)包的有效傳輸;以應(yīng)用層上的空閑時(shí)間劃分通信間隔,可以提高通信效率,節(jié)省傳輸時(shí)間。圖5為本發(fā)明一種跨安全區(qū)的正向通信裝置的示意圖,包括鏈路探測(cè)單元,用于向各個(gè)隔離裝置發(fā)送探測(cè)包;與所述鏈路探測(cè)單元相連的狀態(tài)獲取單元,用于通過(guò)所述探測(cè)包的回應(yīng)包獲取各個(gè)隔離裝置的工作狀態(tài)信息;與所述狀態(tài)獲取單元相連的比較分析單元,用于比較各個(gè)隔離裝置的所述工作狀態(tài)息;與所述比較分析單元相連的選擇發(fā)送單元,用于根據(jù)比較的結(jié)果選擇其中一個(gè)隔離裝置傳輸正向通信數(shù)據(jù)包。
圖5與圖2相對(duì)應(yīng),圖中各個(gè)單元的運(yùn)行方式與方法中的相同。圖6為本發(fā)明一種跨安全區(qū)的正向通信裝置的實(shí)施例示意圖。如圖6所示,所述比較分析單元包括狀態(tài)分析單元和/或流量分析單元;與所述選擇發(fā)送單元相連的所述狀態(tài)分析單元,用于根據(jù)所述設(shè)備正常工作信息比較的結(jié)果,獲得在線正常工作的隔離裝置;所述選擇發(fā)送單元用于從在線正常工作的隔離裝置中選擇其中一個(gè)隔離裝置傳輸正向通信數(shù)據(jù)包;與所述選擇發(fā)送單元相連的所述流量分析單元用于根據(jù)所述設(shè)備流量負(fù)載信息比較的結(jié)果,獲得當(dāng)前通信流量最小的隔離裝置;所述選擇發(fā)送單元用于選擇當(dāng)前通信流量最小的隔離裝置傳輸正向通信數(shù)據(jù)包。如圖6所示,還包括
連接在所述比較分析單元與所述選擇發(fā)送單元的優(yōu)先級(jí)單元,用于根據(jù)所述工作狀態(tài)信息設(shè)置各個(gè)隔離裝置的傳輸優(yōu)先級(jí)別;所述選擇發(fā)送單元還用于選擇當(dāng)前所述傳輸優(yōu)先級(jí)別最高的隔離裝置傳輸所述正向通信數(shù)據(jù)包。與所述選擇發(fā)送單元相連的失敗處理單元,用于在傳輸失敗的情況下,觸發(fā)所述選擇發(fā)送單元向所述隔離裝置再次發(fā)送所述傳輸正向通信數(shù)據(jù)包的請(qǐng)求,或觸發(fā)所述選擇發(fā)送單元向較低優(yōu)先級(jí)別的隔離裝置發(fā)送所述傳輸正向通信數(shù)據(jù)包的請(qǐng)求。與所述比較分析單元相連的異常告警單元,用于根據(jù)所述工作狀態(tài)信息判定隔離裝置離線或不正常工作時(shí),發(fā)出與該隔離裝置相對(duì)應(yīng)的通道異常告警。在其中一個(gè)實(shí)施例當(dāng)中,所述選擇發(fā)送單元包括會(huì)話控制單元或網(wǎng)絡(luò)控制單元或時(shí)間控制單元;所述會(huì)話控制單元,用于以會(huì)話的啟動(dòng)至結(jié)束作為通信間隔,在該通信間隔傳輸所述正向通信數(shù)據(jù)包;所述網(wǎng)絡(luò)控制單元,用于將建立TCP連接至釋放該連接作為通信間隔,在該通信間隔傳輸所述正向通信數(shù)據(jù)包;所述時(shí)間控制單元,用于以預(yù)設(shè)空閑時(shí)間劃分通信間隔,在該通信間隔傳輸所述正向通信數(shù)據(jù)包。圖6與圖4相對(duì)應(yīng),圖中各個(gè)單元的運(yùn)行方式與方法中的相同。需要補(bǔ)充說(shuō)明的是,本發(fā)明在跨安全區(qū)之間提供了統(tǒng)一的接收/發(fā)送隔離網(wǎng)關(guān)。隔離網(wǎng)關(guān)是跨安全區(qū)正向通信總線在各個(gè)安全區(qū)的接入點(diǎn)。在發(fā)送隔離網(wǎng)關(guān)一端實(shí)現(xiàn)本發(fā)明。圖7為本發(fā)明一種跨安全區(qū)的正向通信系統(tǒng)的示意圖,包括如前所述的跨安全區(qū)的正向通信裝置;以及與所述跨安全區(qū)的正向通信裝置相連的隔離裝置陣列;其中,所述隔離裝置陣列包括預(yù)設(shè)數(shù)個(gè)在線工作的隔離裝置。本發(fā)明的跨安全區(qū)的正向通信系統(tǒng),采用并聯(lián)式的系統(tǒng)架構(gòu),相比于傳統(tǒng)技術(shù)僅是對(duì)單體隔離設(shè)備性能的改進(jìn),本發(fā)明將隔離裝置進(jìn)行并聯(lián),能夠使數(shù)個(gè)隔離裝置同時(shí)在線工作。這對(duì)于業(yè)內(nèi)是一次影響較大的變革。相比現(xiàn)有技術(shù)方案,本發(fā)明具有以下優(yōu)點(diǎn)簡(jiǎn)化了網(wǎng)絡(luò)結(jié)構(gòu),降低了網(wǎng)絡(luò)建設(shè)和維護(hù)的復(fù)雜度。通過(guò)設(shè)置總線式的跨安全區(qū)通信網(wǎng)絡(luò)架構(gòu),各系統(tǒng)統(tǒng)一接入“跨安全區(qū)正向通信總線”,即可實(shí)現(xiàn)和不同安全區(qū)之間設(shè)備的通信,通信的可靠性及效率由總線保證。網(wǎng)絡(luò)結(jié)構(gòu)清晰,系統(tǒng)實(shí)現(xiàn)簡(jiǎn)單。提高了設(shè)備資源利用率,降低了系統(tǒng)建設(shè)成本。新系統(tǒng)建設(shè)時(shí),無(wú)需重復(fù)建設(shè)正向隔離裝置,由跨安全區(qū)正向通信總線統(tǒng)一實(shí)現(xiàn)隔離裝置功能;隔離裝置陣列能夠充分利用所有隔離裝置設(shè)備的資源,在必要時(shí)靈活擴(kuò)展,有效的提升了設(shè)備資源的利用效率。實(shí)現(xiàn)了不同系統(tǒng)之間的靈活通信,降低了資源重用的難度。I/II區(qū)的系統(tǒng)能夠根據(jù)具體的業(yè)務(wù)需求,靈活的將數(shù)據(jù)發(fā)送到III區(qū)的不同系統(tǒng)中,實(shí)現(xiàn)對(duì)已有數(shù)據(jù)等資源的重復(fù)利用。消除了網(wǎng)絡(luò)性能瓶頸。本發(fā)明技術(shù)方案 實(shí)現(xiàn)了高性能、可平滑擴(kuò)展的隔離功能實(shí)現(xiàn)方式,較好的解決了正向隔離裝置帶來(lái)的網(wǎng)絡(luò)瓶頸問(wèn)題。系統(tǒng)可靠性提升。正向隔離裝置陣列具有較強(qiáng)的容災(zāi)能力,從而提高了系統(tǒng)整體的可靠性。以上所述實(shí)施例僅表達(dá)了本發(fā)明的幾種實(shí)施方式,其描述較為具體和詳細(xì),但并不能因此而理解為對(duì)本發(fā)明專利范圍的限制。應(yīng)當(dāng)指出的是,對(duì)于本領(lǐng)域的普通技術(shù)人員來(lái)說(shuō),在不脫離本發(fā)明構(gòu)思的前提下,還可以做出若干變形和改進(jìn),這些都屬于本發(fā)明的保護(hù)范圍。因此,本發(fā)明專利的保護(hù)范圍應(yīng)以所附權(quán)利要求為準(zhǔn)。
權(quán)利要求
1.一種跨安全區(qū)的正向通信方法,其特征在于,包括向各個(gè)隔離裝置發(fā)送探測(cè)包,通過(guò)所述探測(cè)包的回應(yīng)包獲取各個(gè)隔離裝置的工作狀態(tài)信息;比較各個(gè)隔離裝置的所述工作狀態(tài)信息,根據(jù)比較的結(jié)果選擇其中一個(gè)隔離裝置傳輸正向通信數(shù)據(jù)包。
2.根據(jù)權(quán)利要求1所述的跨安全區(qū)的正向通信方法,其特征在于,所述工作狀態(tài)信息主要包括設(shè)備正常工作信息和設(shè)備流量負(fù)載信息,根據(jù)比較的結(jié)果選擇其中一個(gè)隔離裝置傳輸正向通信數(shù)據(jù)包的步驟,包括根據(jù)所述設(shè)備正常工作信息比較的結(jié)果,從在線正常工作的隔離裝置中選擇其中一個(gè)隔離裝置傳輸正向通信數(shù)據(jù)包;和/或,根據(jù)所述設(shè)備流量負(fù)載信息比較的結(jié)果,選擇當(dāng)前通信流量最小的隔離裝置傳輸正向通信數(shù)據(jù)包。
3.根據(jù)權(quán)利要求1所述的跨安全區(qū)的正向通信方法,其特征在于根據(jù)所述工作狀態(tài)信息設(shè)置各個(gè)隔離裝置的傳輸優(yōu)先級(jí)別,選擇當(dāng)前所述傳輸優(yōu)先級(jí)別最高的隔離裝置傳輸所述正向通信數(shù)據(jù)包;其中,當(dāng)隔離裝置離線或不正常工作時(shí),設(shè)置其優(yōu)先級(jí)別為最低級(jí)數(shù);當(dāng)新增加的隔離裝置在線正常工作時(shí),設(shè)置其優(yōu)先級(jí)別為最高級(jí)數(shù);當(dāng)選擇隔離裝置傳輸所述正向通信數(shù)據(jù)包之時(shí),該隔離裝置的傳輸優(yōu)先級(jí)別降低預(yù)設(shè)級(jí)數(shù);當(dāng)該隔離裝置完成所述正向通信數(shù)據(jù)的傳輸之后,所述傳輸優(yōu)先級(jí)別增加所述預(yù)設(shè)級(jí)數(shù)。
4.根據(jù)權(quán)利要求2或3所述的跨安全區(qū)的正向通信方法,其特征在于,根據(jù)比較的結(jié)果選擇其中一個(gè)隔離裝置傳輸正向通信數(shù)據(jù)包的步驟,包括當(dāng)選擇所述隔離裝置傳輸正向通信數(shù)據(jù)包的請(qǐng)求失敗時(shí),或當(dāng)傳輸所述正向通信數(shù)據(jù)包的通信過(guò)程中斷時(shí),向所述隔離裝置再次發(fā)送所述傳輸正向通信數(shù)據(jù)包的請(qǐng)求。
5.根據(jù)權(quán)利要求3所述的跨安全區(qū)的正向通信方法,其特征在于,根據(jù)比較的結(jié)果選擇其中一個(gè)隔離裝置傳輸正向通信數(shù)據(jù)包的步驟,包括當(dāng)選擇所述隔離裝置傳輸正向通信數(shù)據(jù)包的請(qǐng)求失敗時(shí),或當(dāng)傳輸所述正向通信數(shù)據(jù)包的通信過(guò)程中斷時(shí),向較低優(yōu)先級(jí)別的隔離裝置發(fā)送所述傳輸正向通信數(shù)據(jù)包的請(qǐng)求;當(dāng)向所述隔離裝置發(fā)送預(yù)設(shè)數(shù)次所述傳輸正向通信數(shù)據(jù)包的請(qǐng)求,仍失敗時(shí),向較低優(yōu)先級(jí)別的隔離裝置發(fā)送所述傳輸正向通信數(shù)據(jù)包的請(qǐng)求。
6.根據(jù)權(quán)利要求1至5任一項(xiàng)所述的跨安全區(qū)的正向通信方法,其特征在于根據(jù)所述工作狀態(tài)信息判定隔離裝置離線或不正常工作時(shí),發(fā)出與該隔離裝置相對(duì)應(yīng)的通道異常告警。
7.根據(jù)權(quán)利要求1至6任一項(xiàng)所述的跨安全區(qū)的正向通信方法,其特征在于,傳輸正向通信數(shù)據(jù)包的步驟,包括以會(huì)話的啟動(dòng)至結(jié)束作為通信間隔,在該通信間隔傳輸所述正向通信數(shù)據(jù)包;或,將建立TCP連接至釋放該連接作為通信間隔,在該通信間隔傳輸所述正向通信數(shù)據(jù)包;或,以預(yù)設(shè)空閑時(shí)間劃分通信間隔,在該通信間隔傳輸所述正向通信數(shù)據(jù)包。
8.一種跨安全區(qū)的正向通信裝置,其特征在于,包括鏈路探測(cè)單元,用于向各個(gè)隔離裝置發(fā)送探測(cè)包;與所述鏈路探測(cè)單元相連的狀態(tài)獲取單元,用于通過(guò)所述探測(cè)包的回應(yīng)包獲取各個(gè)隔離裝置的工作狀態(tài)信息;與所述狀態(tài)獲取單元相連的比較分析單元,用于比較各個(gè)隔離裝置的所述工作狀態(tài)信與所述比較分析單元相連的選擇發(fā)送單元,用于根據(jù)比較的結(jié)果選擇其中一個(gè)隔離裝置傳輸正向通信數(shù)據(jù)包。
9.根據(jù)權(quán)利要求8所述的跨安全區(qū)的正向通信裝置,其特征在于,所述比較分析單元包括狀態(tài)分析單元和/或流量分析單元;與所述選擇發(fā)送單元相連的所述狀態(tài)分析單元,用于根據(jù)所述設(shè)備正常工作信息比較的結(jié)果,獲得在線正常工作的隔離裝置;所述選擇發(fā)送單元用于從在線正常工作的隔離裝置中選擇其中一個(gè)隔離裝置傳輸正向通信數(shù)據(jù)包;與所述選擇發(fā)送單元相連的所述流量分析單元用于根據(jù)所述設(shè)備流量負(fù)載信息比較的結(jié)果,獲得當(dāng)前通信流量最小的隔離裝置;所述選擇發(fā)送單元用于選擇當(dāng)前通信流量最小的隔離裝置傳輸正向通信數(shù)據(jù)包。
10.根據(jù)權(quán)利要求8所述的跨安全區(qū)的正向通信裝置,其特征在于,還包括連接在所述比較分析單元與所述選擇發(fā)送單元的優(yōu)先級(jí)單元,用于根據(jù)所述工作狀態(tài)信息設(shè)置各個(gè)隔離裝置的傳輸優(yōu)先級(jí)別;所述選擇發(fā)送單元還用于選擇當(dāng)前所述傳輸優(yōu)先級(jí)別最高的隔離裝置傳輸所述正向通信數(shù)據(jù)包。
11.根據(jù)權(quán)利要求9或10所述的跨安全區(qū)的正向通信裝置,其特征在于,還包括與所述選擇發(fā)送單元相連的失敗處理單元,用于在傳輸失敗的情況下,觸發(fā)所述選擇發(fā)送單元向所述隔離裝置再次發(fā)送所述傳輸正向通信數(shù)據(jù)包的請(qǐng)求,或觸發(fā)所述選擇發(fā)送單元向較低優(yōu)先級(jí)別的隔離裝置發(fā)送所述傳輸正向通信數(shù)據(jù)包的請(qǐng)求。
12.根據(jù)權(quán)利要求8至11任一項(xiàng)所述的跨安全區(qū)的正向通信裝置,其特征在于,還包括與所述比較分析單元相連的異常告警單元,用于根據(jù)所述工作狀態(tài)信息判定隔離裝置離線或不正常工作時(shí),發(fā)出與該隔離裝置相對(duì)應(yīng)的通道異常告警。
13.根據(jù)權(quán)利要求8至12任一項(xiàng)所述的跨安全區(qū)的正向通信裝置,其特征在于,所述選擇發(fā)送單元包括會(huì)話控制單元或網(wǎng)絡(luò)控制單元或時(shí)間控制單元;所述會(huì)話控制單元,用于以會(huì)話的啟動(dòng)至結(jié)束作為通信間隔,在該通信間隔傳輸所述正向通信數(shù)據(jù)包;所述網(wǎng)絡(luò)控制單元,用于將建立TCP連接至釋放該連接作為通信間隔,在該通信間隔傳輸所述正向通信數(shù)據(jù)包;所述時(shí)間控制單元,用于以預(yù)設(shè)空閑時(shí)間劃分通信間隔,在該通信間隔傳輸所述正向通信數(shù)據(jù)包。
14.一種跨安全區(qū)的正向通信系統(tǒng),其特征在于,包括如權(quán)利要求8至13任一項(xiàng)所述的跨安全區(qū)的正向通信裝置;以及與所述跨安全區(qū)的正向通信裝置相連的隔離裝置陣列;其中 ,所述隔離裝置陣列包括預(yù)設(shè)數(shù)個(gè)在線工作的隔離裝置。
全文摘要
本發(fā)明公開(kāi)了跨安全區(qū)的正向通信方法、裝置及系統(tǒng)。該方法包括向各個(gè)隔離裝置發(fā)送探測(cè)包,通過(guò)所述探測(cè)包的回應(yīng)包獲取各個(gè)隔離裝置的工作狀態(tài)信息;比較各個(gè)隔離裝置的所述工作狀態(tài)信息,根據(jù)比較的結(jié)果選擇其中一個(gè)隔離裝置傳輸正向通信數(shù)據(jù)包。采用本發(fā)明,可以搭建跨安全區(qū)通信的通信總線,從而簡(jiǎn)化網(wǎng)絡(luò)結(jié)構(gòu)。根據(jù)各個(gè)隔離裝置的工作狀態(tài)選擇其一,協(xié)調(diào)傳輸通信數(shù)據(jù)包,提高設(shè)備資源利用率。便于各個(gè)系統(tǒng)的互訪,以及提升了系統(tǒng)性能、擴(kuò)展性和可靠性。
文檔編號(hào)H04L12/26GK103023722SQ20121053381
公開(kāi)日2013年4月3日 申請(qǐng)日期2012年12月11日 優(yōu)先權(quán)日2012年12月11日
發(fā)明者蘇揚(yáng), 周安, 鄧大為, 徐展強(qiáng), 曾堅(jiān)永 申請(qǐng)人:廣東電網(wǎng)公司電力調(diào)度控制中心, 珠海市鴻瑞軟件技術(shù)有限公司