基于信息交换总线的内外网数据库访问方法
【专利摘要】本发明涉及一种基于信息交换总线的内外网数据库访问方法,步骤包括:(1)总线对进入总线的通信数据在TCP/IP层进行解析,根据关表格数据流协议和透明网络底层协议做数据包分析;(2)透明网络底层协议数据包处理,处理步骤包括:(3)关表格数据流协议数据包处理;(4)将过滤后的安全数据包经过总线的流转发送至指定的数据库服务器。本发明方法实现了跨电力信息内外网的信息安全传输,更加对数据库的操作访问进行了分析、过滤,避免了外网对电力信息内网的数据库注入攻击。
【专利说明】基于信息交换总线的内外网数据库访问方法
【技术领域】
[0001]本发明属于电力企业信息系统信息集成领域的跨因特网和电力信息内网的信息交换【技术领域】,特别是一种基于信息交换总线的内外网数据库访问方法。
【背景技术】
[0002]电力信息网承载着电力市场交易、招投标、营销等多个业务系统,对内提供如审计、评标、核算等业务,对外提供发布、投标、缴费等各项服务。若对信息系统分级过多将会导致各个分区间数据交换带来的大量延时。为此,把电力信息网络分为信息内网和信息外网。信息外网和因特网之间采用防火墙相连,属于低安全级别区域,信息内网与信息外网逻辑隔离,与电力内部其他数据网物理隔离,属于高级别安全区域,各个业务系统根据其具体需要把相应的服务器分别放置在信息内外网。
[0003]为了最大程度地保证电力信息系统的安全,把尽可能多的业务放到信息内网,把对外提供服务的服务器设在外网,其他对内服务器、个人计算机等所有主机都放置在信息内网,特别需要强调为了保护数据的安全,所有业务系统的数据库放置在信息内网。
[0004]目前,由于安全隔离总线放置在信息内外网的边界,所以首先要起到一般防火墙的基本作用来保证对各个访问主机的控制。电力信息网络各个业务系统的主机IP地址、MAC地址、端口等都比较固定,电力系统应用范围最广的为Oracle数据库和SQL Server数据库,这两者占据了电力系统数据库的90%以上。Oracle数据库的数据通信采用TNS协议,SQL Server和Sybase数据库采用TDS协议,目前信息系统遭受攻击最多的是针对数据库的SQL注入攻击,若能够把这两种协议分析出来,并且对其采用JDBC驱动进行偏移量分析,就能实现SQL语句的还原,进而可以基本满足电力信息系统数据库访问控制的需要。
[0005]另外,电力信息系统有较多的业务要经过总线进行内外网通信,若此装置的效率不够高的话将会成为内外网通信的瓶颈。
【发明内容】
[0006]本发明的目的在于针对现有技术的不足,提供一种基于信息交换总线的内外网数据库访问方法。
[0007]本发明解决其技术问题是采取以下技术方案实现的:
[0008]一种基于信息交换总线的内外网数据库访问方法,步骤如下:
[0009]( I)总线对进入总线的通信数据在TCP/IP层进行解析,根据关表格数据流协议和透明网络底层协议做数据包分析;
[0010](2)透明网络底层协议数据包处理,处理步骤包括:
[0011]①分析数据包头,得到数据包长度、数据长度及包括连接、接收、确认、拒绝、重定向内容的数据包类型;
[0012]②根据数据包头中的参数,计算数据在数据包中的偏移量,分析出数据所处位置;[0013]③将数据取出翻译成数据库查询字符串;
[0014]④将数据库查询字符串根据配置好的过滤规则进行排查,符合过滤规则的语句进入下一步操作,其它做丢弃处理;
[0015](3)关表格数据流协议数据包处理;
[0016](4)将过滤后的安全数据包经过总线的流转发送至指定的数据库服务器。
[0017]而且,所述步骤(I)做数据包分析的具体方法为:
[0018]①根据数据包头的不同来区分关表格数据流协议数据包和透明网络底层协议数据包,不同协议的数据包进入各自的解析通道;
[0019]②其余的数据包做丢弃处理。
[0020]而且,所述步骤(3)关表格数据流协议数据包处理的方法步骤与步骤(2)透明网络底层协议数据包处理步骤相同。
[0021 ] 本发明的优点和积极效果是
[0022]本发明针对跨电力信息内网和因特网的业务应用系统对数据库安全访问和操作做了基于信息交换总线的安全访问方法,该方法实现了跨电力信息内外网的信息安全传输,更加对数据库的操作访问进行了分析、过滤,避免了外网对电力信息内网的数据库注入攻击。
【专利附图】
【附图说明】
[0023]图1是本发明基于的信息交换总线的原理示意图;
[0024]图2是本发明基于信息交换总线内外网数据库访问方法基本逻辑流程。
【具体实施方式】
[0025]以下结合附图对本发明实施例做进一步详述,以下实施例只是描述性的,不是限定性的,不能以此限定本发明的保护范围。
[0026]本发明的基本原理
[0027]本发明方法的实现是基于对网络通信协议进行分析,然后基于传输控制/网际协议(TCP/IP)通信流上的数据库访问协议解析出数据库查询语句进行过滤。
[0028]如图1所示,首先,总线开放通信端口,使得外网的数据库访问信息通过该入口进入总线;总线将该部分的数据经过流转,进入到数据库操作过滤代理模块;代理模块进行数据库协议的解析分离出查询语句并还原,根据制定的规则进行过滤;过滤后的数据包从信息交换总线发送出去。从而实现外网到内网的数据库安全访问。
[0029]一种基于信息交换总线的内外网数据库访问方法,如图2所示,步骤如下:
[0030](I)总线对进入总线的通信数据在TCP/IP层进行解析,根据关表格数据流协议(TDS)和透明网络底层协议(TNS)做数据包分析;具体方法为,
[0031]①根据数据包头的不同来区分TDS协议数据包和TNS协议数据包,不同协议的数据包进入各自的解析通道;
[0032]②其余的数据包做丢弃处理;
[0033](2)透明网络底层协议(TNS)数据包处理,处理步骤如下:
[0034]①分析数据包头,得到数据包长度、数据长度及包括连接、接收、确认、拒绝、重定向内容的数据包类型;
[0035]②根据数据包头中的参数,计算数据在数据包中的偏移量,分析出数据所处位置;
[0036]③将数据取出翻译成数据库查询字符串;
[0037]④将数据库查询字符串根据配置好的过滤规则进行排查;比如,过滤掉所有数据库定义语句,如:创建表(Create )、废弃表(Drop )、删除语句(DeIete ),符合过滤规则的语句进入下一步操作,不符合规则的语句所属数据包均做丢弃处理;
[0038](3)关表格数据流协议(TDS)数据包处理,处理步骤如下:
[0039]①分析数据包头,得到数据包长度、数据长度及包括连接、接收、确认、拒绝、重定向内容的数据包类型;
[0040]②根据数据包头中的参数,计算数据在数据包中的偏移量,分析出数据所处位置;
[0041]③将数据取出翻译成数据库查询字符串;
[0042]④将数据库查询字符串根据配置好的过滤规则进行排查;比如,过滤掉所有数据库定义语句,如:创建表(Create)、废弃表(Drop)、删除语句(Delete),符合过滤规则的语句进入下一步操作,不符合规则的语句所属数据包均做丢弃处理;
[0043](4)将过滤后的安全数据包经过总线的流转发送至指定的数据库服务器。
【权利要求】
1.一种基于信息交换总线的内外网数据库访问方法,其特征在于:步骤如下: (1)总线对进入总线的通信数据在TCP/IP层进行解析,根据关表格数据流协议和透明网络底层协议做数据包分析; (2)透明网络底层协议数据包处理,处理步骤包括: ①分析数据包头,得到数据包长度、数据长度及包括连接、接收、确认、拒绝、重定向内容的数据包类型; ②根据数据包头中的参数,计算数据在数据包中的偏移量,分析出数据所处位置; ③将数据取出翻译成数据库查询字符串; ④将数据库查询字符串根据配置好的过滤规则进行排查,符合过滤规则的语句进入下一步操作,其它做丢弃处理; (3)关表格数据流协议数据包处理; (4 )将过滤后的安全数据包经过总线的流转发送至指定的数据库服务器。
2.根据权利要求1所述的基于信息交换总线的内外网数据库访问方法,其特征在于:所述步骤(I)做数据包分析的具体方法为: ①根据数据包头的不同来区分关表格数据流协议数据包和透明网络底层协议数据包,不同协议的数据包进入各自的解析通道; ②其余的数据包做丢弃处理。
3.根据权利要求1所述的基于信息交换总线的内外网数据库访问方法,其特征在于:所述步骤(3)关表格数据流协议数据包处理的方法步骤与步骤(2)透明网络底层协议数据包处理步骤相同。
【文档编号】G06F17/30GK103731417SQ201310680082
【公开日】2014年4月16日 申请日期:2013年11月26日 优先权日:2013年11月26日
【发明者】齐昕, 周仁, 李武兴, 周亚楠, 米娜, 陈沛 申请人:国家电网公司, 国网天津市电力公司