基于安全网络隔离技术的串行网络数据传输方法及装置制造方法
【专利摘要】本发明涉及数据安全传输【技术领域】,尤其是一种基于安全网络隔离技术的串行网络数据传输方法及装置。本发明针对现有技术存在的问题,提供一种传输方法及装置。在配电远方终端中,将串行传输的101规约数据经过TCP/IP网络安全传输到远端服务器,并接收配网主站的远端服务器的信息,从而实现配电远方终端的信息收集、集中管理和状态监控,在该过程中对传输的数据进行合规性检查和安全保护,以保证经过该设备转发的数据都是合法的,而且数据传输过程中是安全可靠。本发明通过终端安全防护装置分别与配电远方终端、配网主站的远端服务器双向通信连接;检验所述数据帧是否能通过终端安全防护装置发送给配网主站的远端服务器配电远方终端。
【专利说明】基于安全网络隔离技术的串行网络数据传输方法及装置
【技术领域】
[0001]本发明涉及数据安全传输【技术领域】,尤其是一种基于安全网络隔离技术的串行网络数据传输方法及装置。
【背景技术】
[0002]配网自动化系统简单来说由配电远方终端和配网主站组成,配网自动化终端与配网主站的远端服务器通信,实现配电网的运行监视和控制的自动化,具备配电SCADA、馈线自动化、实时信息发布和数据交互等功能。
[0003]配电远方终端用于配电系统变压器、断路器、重合器、分段器、柱上负荷开关、环网柜、调压器、无功补偿电容器的监视与控制,与配电自动化主站通信,提供配电系统运行系统控制即管理所需的数据,执行主站给出的对配电设备的控制调节命令。根据应用对象的不同,配电远方终端可分为两类:一类用于变电站、开闭所,称为站内RTU;另一类安装在户外线路上,用于柱上开关、环网柜等设备的监视及控制,称为线路RTU或FTU。
[0004]配电主站的远端服务器安装在调度所,配电远方终端安装在各发电厂和变电站,远端服务器和配电主站的远端服务器之间通过通道互相通信,实现数据采集和监视与控制。配电远方终端是调度自动化系统与电力系统相连接的装置,功能之一是采集所在厂设备的运行状况和运行参数,如电压、电流、有功和无功功率、有功和无功电量、频率、水位、断路器分合信号、继电保护动作信号等。配电远方终端采集的信息通过通信通道送到配电主站的远端服务器。配电远方终端的第二个功能是接收配电主站的远端服务器通过通道送来的调度命令,输出断路器控制信号、功率调节信号或改变设备整定值的信号给其所在厂的自动控制装置,并向配电主站的远端服务器返回已完成的操作信息。配电主站包括主站通信控制器、远端服务器和人机联系设备。远端服务器接收各厂RTU送来的信息,将其送往主计算机,并将主计算机和调度人员发出的调度命令送往各厂RTU。
[0005]配电网自动化的所有功能都以通信为基础,国外采用的通信方式有电话线、配电网载波、光纤、电缆、无线通信、微波、卫星等,并且一致认为最佳通信方式应当是多种通信技术结合使用。
[0006]配电网常用通信规约分析:应答式规约、循环式规约、DNP3.0规约、IEC60870-5-101规约。其中IEC60870-5-101规约用于变电站远动设备和调度计算机系统之间,能够传输遥测、遥信、遥脉、遥控、保护事件信息、保护定值、录波等数据,其传输介质可以是双绞线、电力载波线和光纤等,采用FTl.2帧格式,一般采用点对点方式传输,信息传输采用平衡方式(主动循环发送和查询相结合的方法)。该协议传输数据是CDT协议的数倍,可传输变电站内包括保护和监控的所有类型信息,因此可以满足变电站自动化的信息传输要求。
[0007]终端安全防护设备和配网自动化终端采用串口连接,转发101规约的数据;终端安全防护设备需要将101数据安全传输到远端的配网主站服务器系统。如果传输的数据受到篡改或数据发生泄露,会对系统造成恶劣影响。
【发明内容】
[0008]本发明所要解决的技术问题是:针对现有技术存在的问题,提供一种基于安全网络隔离技术的串行网络数据传输方法及装置。在配电远方终端中,将串行传输的101规约数据经过TCP/IP网络安全传输到远端服务器,并接收配网主站的远端服务器的信息,从而实现配电远方终端的信息收集、集中管理和状态监控,在该过程中对传输的数据进行合规性检查和安全保护,以保证经过该设备转发的数据都是合法的,而且数据传输过程中是安全可靠。
[0009]本发明采用的技术方案如下:
一种基于安全网络隔离技术的串行网络数据传输方法包括:
步骤1:终端安全防护装置根据配电远方终端或配网主站的远端服务器发送的数据帧,建立对应的特征值库,执行步骤2 ;
步骤2:终端安全防护装置分别与配电远方终端、配网主站的远端服务器双向通信连接,执行步骤3或步骤4;
步骤3:当终端安全防护装置接收到配电远方终端发送的数据帧,计算得到配电远方终端发送的数据帧的特征值Hi,并检验所述数据帧是否能通过终端安全防护装置发送给配网主站的远端服务器;
步骤4:当终端安全防护装置接收到配网主站的远端服务器发送的数据帧,计算得到所述远端服务器的特征值Hs,并检验所述数据帧是否能通过终端安全防护装置发送给配电远方终端。
[0010]进一步的,所述步骤3中检验所述数据帧是否能通过终端安全防护装置发送给配网主站的远端服务器具体步骤包括:当并在终端安全防护装置中的特征值库中进行查找,若存在与特征值Hi相同的特征值,终端安全防护装置将配电远方终端输出的数据,发送到配网主站的远端服务器;否则,终端安全防护装置丢弃配电远方终端发送的数据。
[0011]进一步的,所述步骤4中检验所述数据帧是否能通过终端安全防护装置发送给配电远方终端具体步骤包括:在终端安全防护装置中的特征值库中进行查找,若存在与特征值Hs相同的特征值,终端安全防护装置将所述远端服务器输出的数据,发送到配电远方终端;否则,终端安全防护装置丢弃所述远端服务器发送的数据。
[0012]进一步的,所述步骤I具体过程是:终端安全防护装置根据配电远方终端或配网主站的远端服务器发送的数据帧,对应的数据传输标准,将所述数据帧中的固定字段初始化到终端安全防护装置中,终端安全防护装置对所述固定字段进行特征值计算,得到所述数据帧的特征值。
[0013]进一步的,所述数据帧格式为:起始符+命令字+控制域+地址域+数据+结束符;所述固定字段包括起始符、命令字、控制域、地址域。
[0014]进一步的,所述终端安全防护装置与配电远方终端通过串口连接,所述终端安全防护装置与配网主站的远端服务器进行VPN网络连接。
[0015]基于安全网络隔离技术的串行网络数据传输装置包括:
配电远方终端,用于发送本地数据帧到配网主站的远端服务器或者接收配网主站的远端服务器的数据帧; 配网主站的远端服务器,用于发送本地数据帧到配电远方终端或者接收配电远方终端的数据帧;
终端安全防护装置,用于根据配电远方终端或配网主站的远端服务器数据帧,建立对应的特征值库;终端安全防护装置分别与配电远方终端、配网主站的远端服务器双向通信连接;当终端安全防护装置接收到配电远方终端发送的数据帧,计算得到配电远方终端发送的数据帧的特征值Hi,并检验所述数据帧是否能通过终端安全防护装置发送给配网主站的远端服务器;
步骤4:当终端安全防护装置接收到配网主站的远端服务器发送的数据帧,计算得到所述远端服务器的特征值Hs,并检验所述数据帧是否能通过终端安全防护装置发送给配电远方终端。
[0016]进一步的,所述检验所述数据帧是否能通过终端安全防护装置发送给配网主站的远端服务器具体步骤包括:当并在终端安全防护装置中的特征值库中进行查找,若存在与特征值Hi相同的特征值,终端安全防护装置将配电远方终端输出的数据,发送到配网主站的远端服务器;否则,终端安全防护装置丢弃配电远方终端发送的数据。
[0017]进一步的,所述检验所述数据帧是否能通过终端安全防护装置发送给配电远方终端具体步骤包括:在终端安全防护装置中的特征值库中进行查找,若存在与特征值Hs相同的特征值,终端安全防护装置将所述远端服务器输出的数据,发送到配电远方终端;否则,终端安全防护装置丢弃所述远端服务器发送的数据。
[0018]进一步的,所述终端安全防护装置根据配电远方终端或配网主站的远端服务器数据帧,建立对应的特征值库的具体过程:终端安全防护装置根据配电远方终端或配网主站的远端服务器发送的数据帧,对应的数据传输标准,将所述数据帧中的固定字段初始化到终端安全防护装置中,终端安全防护装置对所述固定字段进行特征值计算,得到所述数据帧的特征值,所述数据帧格式为:起始符+命令字+控制域+地址域+数据+结束符;所述固定字段包括起始符、命令字、控制域、地址域。
[0019]综上所述,由于采用了上述技术方案,本发明的有益效果是:
1、终端安全防护装置通过串口与配电远方终端的连接,然后与远端服务器的建立网络连接,当连接建立后,同时对串口和网络连接进行监控,当有数据到来时,对数据进行处理。
[0020]2、建立VPN网络,使用VPN技术保护数据传输过程。
[0021]3、终端安全防护装置对需要转发的数据进行合规性检查,只有通过检查的数据才进行转发。数据的合规性检查主要根据相应的数据标准,提取数据标准中的命令字段生成特征值库,当接收到数据之后,提取数据生成特征值并在特征值库中进行查找比较,如果有相同的特征值,说明数据是合规的,否则是不合规的数据。
[0022]4、规约检查所用的特征值不受具体算法限制,可以直接使用固定字段生成,也可以采用HASH算法、SM3算法等对命令字段进行计算生成。
[0023]5、本发明对网络连接不受具体的网络形态限制,可以是有线网络,也可以是无线网络。
[0024]6、网络传输不受具体传输协议限制,可以是TCP或UDP传输协议,也可以是其它的网络传输协议。
[0025]7、采用本发明的技术方法,使用特征值比较保证转发数据的合规性,使用VPN技术保证数据传输的安全性,能够将串口设备的数据进行远距离安全传输,保证在远端的服务器安全的对串口设备进行信息采集、集中管理和远程监控,防止在远端对服务器进行攻击。
【专利附图】
【附图说明】
[0026]本发明将通过例子并参照附图的方式说明,其中:
图1是工作流程图。
【具体实施方式】
[0027]本说明书中公开的所有特征,或公开的所有方法或过程中的步骤,除了互相排斥的特征和/或步骤以外,均可以以任何方式组合。
[0028]本说明书(包括任何附加权利要求、摘要和附图)中公开的任一特征,除非特别叙述,均可被其他等效或具有类似目的的替代特征加以替换。即,除非特别叙述,每个特征只是一系列等效或类似特征中的一个例子而已。
[0029]本发明相关说明:
1、所述终端安全防护装置与配网主站的远端服务器是TCP/UDP传输协议或者其他网络传输协议。
[0030]2、步骤I之前还包括终端安全防护装置初始化、配电远方终端初始化、配网主站的远端服务器初始化。
[0031]3、终端安全防护装置通过处理器实现。
[0032]4、图1表示设备的工作流程图,设备在工作时从串口接收收据通过合规性检查后,采用VPN网络转发-1VPN网络接收数据,通过合规性检查后采用串口转发。
[0033]工作原理:在各个配电远方终端前面部署终端安全防护装置,经过终端安全防护装置及配网主站的远端服务器之间的101/104业务数据,采用VPN技术保护数据的传输安全,防止非法接入和冒名;采用规约数据检查来对数据进行过滤。
[0034]本发明包括下述的操作流程:
1.对终端安全防护装置进行初始,例如:初始化串口连接参数、具体网络连接协议的参数、计算特征值的原始数据(一般包括启动字符、命令字、控制域和地址域);
2.启动终端安全防护装置;
3.终端安全防护装置中进行特征库初始化,特征值库可以是一个数据表,也可以是数据库。在设备初始化过程中,根据终端安全防护装置所转发数据的数据传输标准,将标准中每一个命令的数据帧中的固定字段(包括启动字符、命令字、控制域、地址域)初始化到终端安全防护装置中。终端安全防护装置对一个命令的上述字段作为输入数据进行HASH运算,得到特征值Hi。使用相同的方法计算出所有命令的特征值。根据具体的应用,如果命令较少,则特征值相应较少,则可将所有的特征值存入数据表中;如果特征值较多,则将特征值存入数据库中。
[0035]4.终端安全防护装置与配网主站的远端服务器建立VPN通信隧道;
5.终端安全防护装置与配电远方终端建立串口,终端安全防护装置监控串口连接和网络连接; 6.当终端安全防护装置接收配电远方终端发送的数据帧,提取固定字段(包括启动字符、命令字、控制域、地址域)的数据使用HASH运算形成特征值Hs,在特征值库中的进行查找,如果没有和Hs —致的特征值则丢弃该数据包,如果有一致的特征值则将数据通过VPN网络发送到远端服务器;
7.当终端安全防护装置接收到配网主站的远端服务器发送的数据帧,进行数据解密,提取固定字段(包括启动字符、命令字、控制域、地址域)的数据使用HASH运算形成特征值Ht,在特征值库中的进行查找,如果没有和Ht —致的特征值则丢弃该数据包,如果有一致的特征值则将数据发送到串口;
本发明并不局限于前述的【具体实施方式】。本发明扩展到任何在本说明书中披露的新特征或任何新的组合,以及披露的任一新的方法或过程的步骤或任何新的组合。
【权利要求】
1.一种基于安全网络隔离技术的串行网络数据传输方法,其特征在于包括: 步骤1:终端安全防护装置根据配电远方终端或配网主站的远端服务器发送的数据帧,建立对应的特征值库,执行步骤2 ; 步骤2:终端安全防护装置分别与配电远方终端、配网主站的远端服务器双向通信连接,执行步骤3或步骤4; 步骤3:当终端安全防护装置接收到配电远方终端发送的数据帧,计算得到配电远方终端发送的数据帧的特征值Hi,并检验所述数据帧是否能通过终端安全防护装置发送给配网主站的远端服务器; 步骤4:当终端安全防护装置接收到配网主站的远端服务器发送的数据帧,计算得到所述远端服务器的特征值Hs,并检验所述数据帧是否能通过终端安全防护装置发送给配电远方终端。
2.根据权利要求1所述的基于安全网络隔离技术的串行网络数据传输方法,其特征在于所述步骤3中检验所述数据帧是否能通过终端安全防护装置发送给配网主站的远端服务器具体步骤包括:当并在终端安全防护装置中的特征值库中进行查找,若存在与特征值Hi相同的特征值,终端安全防护装置将配电远方终端输出的数据,发送到配网主站的远端服务器;否则,终端安全防护装置丢弃配电远方终端发送的数据。
3.根据权利要求1所述的基于安全网络隔离技术的串行网络数据传输方法,其特征在于所述步骤4中检验所述数据帧是否能通过终端安全防护装置发送给配电远方终端具体步骤包括:在终端安全防护装置中的特征值库中进行查找,若存在与特征值Hs相同的特征值,终端安全防护装置将所述远端服务器输出的数据,发送到配电远方终端;否则,终端安全防护装置丢弃所述远端服务器发送的数据。
4.根据权利要求1至3之一所述的基于安全网络隔离技术的串行网络数据传输方法,其特征在于所述步骤I具体过程是:终端安全防护装置根据配电远方终端或配网主站的远端服务器发送的数据帧,对应的数据传输标准,将所述数据帧中的固定字段初始化到终端安全防护装置中,终端安全防护装置对所述固定字段进行特征值计算,得到所述数据帧的特征值。
5.根据权利要求5所述的一种基于安全网络隔离技术的串行网络数据传输方法,其特征在于所述数据帧格式为:起始符+命令字+控制域+地址域+数据+结束符;所述固定字段包括起始符、命令字、控制域、地址域。
6.根据权利要求4所述的基于安全网络隔离技术的串行网络数据传输方法,其特征在于所述终端安全防护装置与配电远方终端通过串口连接,所述终端安全防护装置与配网主站的远端服务器进行VPN网络连接。
7.基于安全网络隔离技术的串行网络数据传输装置,其特征在于包括: 配电远方终端,用于发送本地数据帧到配网主站的远端服务器或者接收配网主站的远端服务器的数据帧; 配网主站的远端服务器,用于发送本地数据帧到配电远方终端或者接收配电远方终端的数据帧; 终端安全防护装置,用于根据配电远方终端或配网主站的远端服务器数据帧,建立对应的特征值库;终端安全防护装置分别与配电远方终端、配网主站的远端服务器双向通信连接;当终端安全防护装置接收到配电远方终端发送的数据帧,计算得到配电远方终端发送的数据帧的特征值Hi,并检验所述数据帧是否能通过终端安全防护装置发送给配网主站的远端服务器; 步骤4:当终端安全防护装置接收到配网主站的远端服务器发送的数据帧,计算得到所述远端服务器的特征值Hs,并检验所述数据帧是否能通过终端安全防护装置发送给配电远方终端。
8.根据权利要求7所述的基于安全网络隔离技术的串行网络数据传输装置,其特征在于所述检验所述数据帧是否能通过终端安全防护装置发送给配网主站的远端服务器具体步骤包括:当并在终端安全防护装置中的特征值库中进行查找,若存在与特征值Hi相同的特征值,终端安全防护装置将配电远方终端输出的数据,发送到配网主站的远端服务器;否贝U,终端安全防护装置丢弃配电远方终端发送的数据。
9.根据权利要求8所述的基于安全网络隔离技术的串行网络数据传输装置,其特征在于所述检验所述数据帧是否能通过终端安全防护装置发送给配电远方终端具体步骤包括:在终端安全防护装置中的特征值库中进行查找,若存在与特征值Hs相同的特征值,终端安全防护装置将所述远端服务器输出的数据,发送到配电远方终端;否则,终端安全防护装置丢弃所述远端服务器发送的数据。
10.根据权利要求7至9之一所述的基于安全网络隔离技术的串行网络数据传输装置,其特征在于所述终端安全防护装置根据配电远方终端或配网主站的远端服务器数据帧,建立对应的特征值库的具体 过程:终端安全防护装置根据配电远方终端或配网主站的远端服务器发送的数据帧,对应的数据传输标准,将所述数据帧中的固定字段初始化到终端安全防护装置中,终端安全防护装置对所述固定字段进行特征值计算,得到所述数据帧的特征值,所述数据帧格式为:起始符+命令字+控制域+地址域+数据+结束符;所述固定字段包括起始符、命令字、控制域、地址域。
【文档编号】H04L29/06GK103780628SQ201410046201
【公开日】2014年5月7日 申请日期:2014年2月10日 优先权日:2014年2月10日
【发明者】赵银春 申请人:成都卫士通信息产业股份有限公司