专利名称:跨安全区数据传输方法和系统的制作方法
技术领域:
本发明涉及电力技术领域,特别是涉及一种跨安全区数据传输方法和系统。
背景技术:
随着生产力的大力发展,电力已经成为我们日常生产生活中一种必不可少的能源。电力的应用无处不在,电力调度自动化系统是伴随着电力的广泛应用而产生的,它已经成为现代电网的重要组成部分,在电网安全、稳定运行中发挥着重要作用。随着接入电力调度自动化系统的应用系统越来越多,对电力调度自动化系统及其网络环境的安全也就提出了更高的要求。根据《全国电力二次系统安全防护总体方案》的要求,电力调度自动化系统分为4个安全区,分别为:安全一区,实时控制区;安全二区,非控制生产区;安全三区,生产管理区;安全四区,管理信息区。其中安全一区、安全三区间的通讯安全通过隔离通讯装置保证。正向型安全隔离装置用于生产控制大区(包括安全一区和安全二区)到管理信息大区(包括安全三区和安全四区)的单向数据传输。反向型安全隔离装置用于从管理信息大区到生产控制大区单向纯文本数据传输。反向安全隔离装置接收管理信息大区发向生产控制大区的数据,进行签名验证、编码转换、数据报文检查等处理后,转发给生产控制大区内的相关业务模块。由于生产控制大区与管理信息大区之间的访问控制策略原则上只允许生产控制大区主动与管理信息大区建立连接,不允许从管理信息大区反向访问生产控制大区。确有必要进行反向访问时,仅允许生产控制大区与管理信息大区间的业务数据传输,且必须对访问的地址、协议和端口实施严格的访问控制,禁止任何远程登录类的反向访问。这样,使得电网调度系统中各个安全区之间的数据交互变得非常困难,传输数据方面受到限制。另外,在一区到三区通讯方法中,大多无法满足实时数据的可靠性要求。目前一区到三区的通讯受国家 安全规范的限制,只能通过正向隔离装置向三区发送数据,同一线路上反方向只能返回一比特(一比特:是计算机中表示数据的最小单位)有效数据,表示此报文是否已经成功接收,但报文接收成功不代表三区应用已经成功处理此报文内容。实时数据有很强的时效性和前后关联性,如果中间有报文处理错误,而一区又不能重新转发,则可能造成三区系统因为数据不全而出现故障或处理错误。以往的补救措施是定期将一区数据库中的数据同步到三区,以保证两边数据的一致性,此方法一方面时效性较差,不能保证及时的发现问题,补发数据,另一方面全同步的数据流量较大,会影响其他实时数据的传输,当系统数据规模比较大时问题更加突出,可能造成短时间的网络拥塞,从而致使新的数据丢失情况发生,产生恶性循环。
发明内容
基于此,针对各安全区之间的数据交互困难、时效性差的问题,本发明的目的在于提供一种跨安全区数据传输方法和系统,其可以实现各安全区之间交互,增强时效性。
本发明的目的通过如下技术方案实现:一种跨安全区数据传输方法,包括如下步骤:在安全一区的ESB总线上注册、发布生产区代理服务;根据所述生产区代理服务在安全三区的ESB总线上注册、发布管理区代理服务;在所述安全三区的ESB总线上设置数据传输规则;通过调用所述生产区代理服务和所管理区代理服务,并按照所述数据传输规则进行跨安全区数据传输。一种跨安全区数据传输系统,包括:第一创建模块,用于在安全一区的ESB总线上注册、发布生产区代理服务;第二创建模块,用于根据所述生产区代理服务在安全三区的ESB总线上注册、发布管理区代理服务;设置模块,用于在所述安全三区的ESB总线上设置数据传输规则;传输模块,用于通过调用所述生产区代理服务和所管理区代理服务,并按照所述数据传输规则进行跨安全区数据传输。依据上述本发明的方案,其是在安全一区的ESB总线上注册、发布生产区代理服务后,根据所述生产区代理服务在安全三区的ESB总线上注册、发布管理区代理服务,并在所述安全三区的ESB总 线上设置数据传输规则,通过调用所述生产区代理服务和所管理区代理服务,并按照所述数据传输规则进行跨安全区数据传输,其是通过ESB总线上发布的这两个代理服务,让两个安全区之间的ESB总线实现一个通讯的链路,通过调用两个代理服务(生产区代理服务和管理区代理服务)实现通讯功能,实现了跨安全区数据传输的功能,增强数据交互的时效性。
图1为本发明的跨安全区数据传输方法实施例的流程示意图;图2为生产区代理服务和管理区代理服务的部署示意图;图3为本发明的跨安全区数据传输系统实施例的结构示意图。
具体实施例方式下面结合实施例及附图对本发明作进一步阐述,本发明的实现方式不限于此。参见图1所示,为本发明的跨安全区数据传输方法实施例的流程示意图。如图1所示,本实施例中的跨安全区数据传输方法包括如下步骤:步骤SlOl:在安全一区的ESB总线(Enterprise Service Bus,企业服务总线)上注册、发布生产区代理服务;步骤S102:根据所述生产区代理服务在安全三区的ESB总线上注册、发布管理区代理服务;步骤S103:在所述安全三区的ESB总线上设置数据传输规则;步骤S104:通过调用所述生产区代理服务和所管理区代理服务,并按照所述数据传输规则进行跨安全区数据传输。根据本实施例中的方案,其是在安全一区的ESB总线上注册、发布生产区代理服务后,根据所述生产区代理服务在安全三区的ESB总线上注册、发布管理区代理服务,并在所述安全三区的ESB总线上设置数据传输规则,通过调用所述生产区代理服务和所管理区代理服务,并按照所述数据传输规则进行跨安全区数据传输,其是通过ESB总线上发布的这两个代理服务,让两个安全区之间的ESB总线实现一个通讯的链路,通过调用两个代理服务(生产区代理服务和管理区代理服务)实现通讯功能,实现了跨安全区数据传输的功能,增强数据交互的时效性。其中 ,在安全三区的ESB总线上注册、发布的管理区代理服务是根据所述安全一区发布出来的生产区代理服务实现的,即将安全一区发布的生产区代理服务作为安全三区注册管理区代理服务的基础,目的是为了让两个代理服务之间有联系,进而通过两个代理服务去实现跨安全区通讯,通过采用代理服务的方式,可以在不改变已有系统的基础上进行集成,通过数据服务的发布方式,最大程度降低了数据交换带来的子系统之间耦合。另一方面,通过在所述安全三区的ESB总线上设置数据传输规则,是为了通过数据传输规则,只允许符合某种协议(tcp、udp等)要求的报文数据进行传输。此外,在安全一区的ESB总线上注册、发布生产区代理服务等操作是在安全一区的ESB总线平台上完成的,在安全三区的ESB总线上注册、发布管理区代理服务是在安全三区的ESB总线平台上完成的,通过导入一个WSDL(Web Services Description Language,Web服务描述语言)文件,创建实现业务功能的业务服务,再由业务服务创建基于代理模式的代理服务,而这个代理服务正是最终用于被调用的服务,它也具有业务服务的功能。据此,在本发明方案的一个具体示例中,在安全一区的ESB总线上注册、发布生产区代理服务可以具体包括如下步骤:接收第一创建指令,从URL(Uniform ResourceLocator,资源定位器)上导入WSDL文件,根据该WSDL文件创建业务服务,通过所述业务服务创建生产区代理服务;,其中,根据WSDL文件创建业务服务以及通过业务服务创建生产区代理服务均可以采用现有的方式,在此不予赘述。其中,按照本实施例中的方案,在安全一区发布出来的生产区代理服务可以视为WSDL文件,为此,在安全三区的ESB总线上注册、发布管理区代理服务方式也可以采用本实施例中在安全一区的ESB总线上注册、发布生产区代理服务的方式。据此,根据所述生产区代理服务在安全三区的ESB总线上注册、发布管理区代理服务可以具体包括如下步骤:接收第二创建指令,从URL上导入与生产区代理服务对应的WSDL文件,根据该WSDL文件创建业务服务,通过该业务服务创建管理区代理服务,其中,在此步骤中,从URL上导入的是与生产区代理服务对应的WSDL文件,目的是可以通过两个代理服务去实现跨安全区通讯,根据WSDL文件创建业务服务以及通过业务服务创建管理区代理服务均可以采用现有的方式,在此不予赘述。依据《电力二次系统安全防护规定》对安全区横向互联安全防护的要求和管理信息大区反向调用生产控制大区业务服务的需求,宜采用在反向隔离装置两侧设置代理的实现方式。即在管理信息大区ESB和反向隔离装置之间、生产控制大区ESB和反向隔离装置之间分别设置服务代理模块(即代理服务)。据此,在本发明方案的一个具体示例中,如图2所示,生产区代理服务设置在生产控制大区ESB与反向隔离器之间,管理区代理服务设置在管理信息大区ESB与所述反向隔离器之间。
为了便于理解通过调用生产区代理服务和管理区代理服务进行跨安全区数据传输的过程,以下分别以消息转发流程、报文通讯流程为例进行说明。首先,以消息转发流程为例进行说明。其过程是:管理区代理服务接收来自管理信息大区的SOAP (Simple Object Access Protocol, SOAP)信息,将该SOAP信息转换为所述反向隔离器支持的格式数据,并将转换后的数据发送给所述反向隔离器;生产区代理服务接收所述反向隔离器发送的数据,并将接收到的数据转换为SOAP信息,发送给生产控制大区的ESB总线,实现了跨安全区数据的传输,其中,SOAP信息包括服务请求信息、服务应答信息等,反向隔离器支持的格式包括E语言、.txt格式等。电力调度自动化系统的网络通讯由网络中间件完成,它包含区内通讯程序和跨区转发程序,跨区转发程序部署在一区和三区,跨区传输的报文截获过程如下:需要跨区传输的报文和区内传输的报文均存放在转发报文队列中,跨区转发程序在报文传输过程中,报文发送区根据接收区的应用发出的跨安全区报文订阅列表分析转发报文头中的订阅报文事件号或目的节点名,自动截获需要发往安全一区或安全三区的报文,即跨区传输的报文,并将其存放到跨安全区转发报文队列中,然后再调用跨区转发程序对存放到跨安全区转发报文队列中的报文进行转发。据此,以报文通讯流程为例,且以报文由三区转发到一区为例进行说明。其过程包括报文截获过程和报文转发过程,其中:对于本例的报文截获过程为:调用管理区代理服务,该管理区代理服务根据生产区代理服务的应用发出的跨安全区报文订阅列表分析转发报文头中的订阅报文事件号或目的节点名,自动截获跨区传输的报文,并将其存放到跨安全区转发报文队列中;分析转发报文头中的订阅报文事件号或目的节点名,自动截获跨区传输的报文的过程可以是:首先判断目的节点名是否为跨安全区对端节点,若是,则截获对应的报文,若不是,则判断事件号是否为跨安全区时间订阅号,是则截获对应的报文;报文转发过程:调用管理区代理服务根据所述数据传输规则传输负荷所述数据传输规则的数据包,调用生产区代理服务解析该数据包,并将其转换为目标格式,从而获取了管理区代理服务发送的数据报文,实现了跨安全区数据报文的传输。需要说明的是,消息转发流程、报文通讯流程是同一过程不同角度对应的实现方式,根据需要,可以同时采用上述两种方式进行跨安全区数据的传输。根据上述本发明的跨安全区数据传输方法,本发明还提供一种跨安全区数据传输系统。图2中示出了本发明的跨安全区数据传输系统实施例的结构示意图。
如图2所示,本实施例中的系统包括有:第一创建模块201,用于在安全一区的ESB总线上注册、发布生产区代理服务;第二创建模块202,用于根据所述生产区代理服务在安全三区的ESB总线上注册、发布管理区代理服务;设置模块203,用于在所述安全三区的ESB总线上设置数据传输规则; 传输模块204,用于通过调用所述生产区代理服务和所管理区代理服务,并按照所述数据传输规则进行跨安全区数据传输。在其中一个具体示例中,第一创建模块201接收第一创建指令,从URL上导入WSDL文件,根据该WSDL文件创建业务服务,通过所述业务服务创建生产区代理服务;
第二创建模块202接收第二创建指令,从URL上导入与生产区代理服务对应的WSDL文件,根据该WSDL文件创建业务服务,通过该业务服务创建管理区代理服务。在其中一个具体示例中,第一创建模块201将所述生产区代理服务部署在生产控制大区ESB与反向隔离器之间,第二创建模202将所述管理区代理服务部署在管理信息大区ESB与所述反向隔离器之间。在其中一个具体示例中,传输模块204调用所述管理区代理服务接收来自管理信息大区的SOAP信息,将该SOAP信息转换为所述反向隔离器支持的格式数据,并将转换后的数据发送给所述反向隔离器;调用所述生产区代理服务接收所述反向隔离器发送的数据,并将接收到的数据转换为服务请求,发送给生产控制大区的ESB总线。在其中一个具体不例中,如图2所不,传输模块204包括报文截获单兀2041和报文转发单元2042,其中:报文截获单元2041用于调用所述管理区代理服务根据生产区代理服务的应用发出的跨安全区报文订阅列表分析转发报文头中的订阅报文事件号或目的节点名,自动截获跨区传输的报文,并将其存放到跨安全区转发报文队列中;报文转发单元2042用于调用所述管理区代理服务根据所述数据传输规则传输负荷所述数据传输规则的数据包,调用所述生产区代理服务解析该数据包,并将其转换为目标格式。本发明系统中的各模块、单元等的具体实现方式,可以与上述本发明方法中的相同,在此不予详加赘述。以上所述实 施例仅表达了本发明的几种实施方式,其描述较为具体和详细,但并不能因此而理解为对本发明专利范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本发明构思的前提下,还可以做出若干变形和改进,这些都属于本发明的保护范围。因此,本发明专利的保护范围应以所附权利要求为准。
权利要求
1.一种跨安全区数据传输方法,其特征在于,包括如下步骤: 在安全一区的ESB总线上注册、发布生产区代理服务; 根据所述生产区代理服务在安全三区的ESB总线上注册、发布管理区代理服务; 在所述安全三区的ESB总线上设置数据传输规则; 通过调用所述生产区代理服务和所管理区代理服务,并按照所述数据传输规则进行跨安全区数据传输。
2.根据权利要求1所述的跨安全区数据传输方法,其特征在于: 所述在安全一区的ESB总线上注册、发布生产区代理服务包括如下步骤:接收第一创建指令,从URL上导入WSDL文件,根据该WSDL文件创建业务服务,通过所述业务服务创建生产区代理服务; 所述根据所述生产区代理服务在安全三区的ESB总线上注册、发布管理区代理服务包括步骤:接收第二创建指令,从URL上导入与生产区代理服务对应的WSDL文件,根据该WSDL文件创建业务服务,通过该业务服务创建管理区代理服务。
3.根据权利要求1或2所述的跨安全区数据传输方法,其特征在于,所述生产区代理服务部署在生产控制大区ESB与反向隔离器之间,所述管理区代理服务部署在管理信息大区ESB与所述反向隔离器之间。
4.根据权利要求3所述的跨安全区数据传输方法,其特征在于,所述通过调用所述生产区代理服务和所管理区代理服务,并按照所述数据传输规则进行跨安全区数据传输包括步骤:调用所述管理区代理服务接收来自管理信息大区的SOAP信息,将该SOAP信息转换为所述反向隔离器支持的格式数据,并将转换后的数据发送给所述反向隔离器;调用所述生产区代理服务接收所述反向隔离器发送的数据,并将接收到的数据转换为服务请求,发送给生产控制大区的ESB总线。
5.根据权利要求3所述的跨安全区数据传输方法,其特征在于,所述通过调用所述生产区代理服务和所管理区代理服务,并按照所述数据传输规则进行跨安全区数据传输包括报文截获过程和报文转发过程,其中: 报文截获过程:调用所述管理区代理服务根据生产区代理服务的应用发出的跨安全区报文订阅列表分析转发报文头中的订阅报文事件号或目的节点名,自动截获跨区传输的报文,并将其存放到跨安全区转发报文队列中; 报文转发过程:调用所述管理区代理服务根据所述数据传输规则传输负荷所述数据传输规则的数据包,调用所述生产区代理服务解析该数据包,并将其转换为目标格式。
6.一种跨安全区数据传输系统,其特征在于,包括: 第一创建模块,用于在安全一区的ESB总线上注册、发布生产区代理服务; 第二创建模块,用于根据所述生产区代理服务在安全三区的ESB总线上注册、发布管理区代理服务; 设置模块,用于在所述安全三区的ESB总线上设置数据传输规则; 传输模块,用于通过调用所述生产区代理服务和所管理区代理服务,并按照所述数据传输规则进行跨安全区数据传输。
7.根据权利要求6所述的跨安全区数据传输系统,其特征在于: 所述第一创建模块接收第一创建指令,从URL上导入WSDL文件,根据该WSDL文件创建业务服务,通过所述业务服务创建生产区代理服务; 所述第二创建模块接收第二创建指令,从URL上导入与生产区代理服务对应的WSDL文件,根据该WSDL文件创建业务服务,通过该业务服务创建管理区代理服务。
8.根据权利要求6或7所述的跨安全区数据传输系统,其特征在于,所述第一创建模块将所述生产区代理服务部署在生产控制大区ESB与反向隔离器之间,所述第二创建模块将所述管理区代理服务部署在管理信息大区ESB与所述反向隔离器之间。
9.根据权利要求8所述的跨安全区数据传输系统,其特征在于,所述传输模块调用所述管理区代理服务接收来自管理信息大区的SOAP信息,将该SOAP信息转换为所述反向隔离器支持的格式数据,并将转换后的数据发送给所述反向隔离器;调用所述生产区代理服务接收所述反向隔离器发送的数据,并将接收到的数据转换为服务请求,发送给生产控制大区的ESB总线。
10.根据权利要求8所述的跨安全区数据传输系统,其特征在于,所述传输模块包括报文截获单元和报文转发单元,其中: 所述报文截获单元用于调用所述管理区代理服务根据生产区代理服务的应用发出的跨安全区报文订阅列表分析转发报文头中的订阅报文事件号或目的节点名,自动截获跨区传输的报文,并将其存放到跨安全区转发报文队列中; 报文转发单元用于调用所述管理区代理服务根据所述数据传输规则传输负荷所述数据传输规则的数据包,调用所述生产区代理服务解析该数据包,并将其转换为目标格式。
全文摘要
本发明提供一种跨安全区数据传输方法和系统,其方法包括步骤在安全一区的ESB总线上注册、发布生产区代理服务;根据所述生产区代理服务在安全三区的ESB总线上注册、发布管理区代理服务;在所述安全三区的ESB总线上设置数据传输规则;通过调用所述生产区代理服务和所管理区代理服务,并按照所述数据传输规则进行跨安全区数据传输,其可以实现各安全区之间交互,增强时效性。
文档编号H04L29/06GK103220292SQ20131014060
公开日2013年7月24日 申请日期2013年4月22日 优先权日2013年4月22日
发明者夏亚君, 陈炯聪, 孙建伟, 黄缙华, 唐升卫, 汪贵州, 顾博川, 周家龙, 刘菲 申请人:广东电网公司电力科学研究院