一种基于中间数据库的配电网数据防护系统及其方法与流程

1.本发明涉及信息安全技术领域，尤其涉及一种基于中间数据库的配电网数据防护系统及其方法。


背景技术：

2.近年来我国电力行业快速发展，越来越多的新技术应用于电力系统，配电网作为电力输送的重要节点，其较高的建设标准、天然的电力供应优势以及完善的通信网络，具备建设储能站、电动汽车充电站、数据中心的各项条件；电力行业探索出，将配电网、综合能源站及数据中心站融合建设成智慧能源站的模式，为了保障智慧能源站监控系统的安全，防范黑客及恶意代码等对监控系统的攻击及侵害，防止监控系统的崩溃或瘫痪，以及由此造成设备事故或安全事故，结合智慧能源站监控系统的信息交互特点，提出本方法。中压配电网通信信息安全是配电网正常运行的前提条件之一。针对中压配电网的信息安全攻击事件日益频繁，安全防护设备之间相对孤立，安全孤岛现象突出。恶意网络攻击对配电网造成的危害严重，可能会导致配电网终端数据泄露，甚至会造成大面积停电等社会危害。现有技术中，当需要与电网数据进行数据交换时，通常利用应用终端直接与配电网进行通信，这种方法使得配电网数据中心直接暴露在网络中，面临被恶意攻击的危险。
3.例如，一种在中国专利文献上公开的“一种智能配电网系统的网络安全系统”，其公告号cn105208106a，包括远程监控单元，网络通讯单元，服务器单元，供电单元和配电负载单元，所述的远程监控单元通过有线或无线局域网的方式连接网络通讯单元，起到远程监测和控制的作用；所述的网络通讯单元通过有线的方式电性连接服务器单元，起到提供网络数据的作用；所述的服务器单元电性连接网络通讯单元、供电单元和配电负载单元，起到对配电网进行智能控制的功能。但是仍然有较大被攻击的风险。


技术实现要素：

4.本发明主要解决现有技术中配电网通信时暴露在网络中安全性较低的问题；提供一种基于中间数据库的配电网数据防护系统及其方法。
5.本发明的上述技术问题主要是通过下述技术方案得以解决的：本发明的配电网数据防护系统包括数据库服务器、终端服务器，中间数据库服务器，终端服务器通过中间数据库服务器与数据库服务器进行数据通信，中间数据库服务器的ip地址及相应的空闲端口中包括对数据库服务器所提供的服务的映射。利用中间数据库服务器，将数据库服务器隐藏起来，应用终端即终端服务器通过中间数据库服务器间接地与数据库服务器进行数据交换，恶意攻击者很难对真实的数据库服务器进行攻击，从而大大提高了配电网信息的安全性。
6.作为优选，所述的中间数据库服务器中设置双向通信端口，中间数据库服务器通过双向通信端口与数据库服务器及终端服务器进行通信。
7.作为优选，所述的中间数据服务器包括：
服务映射模块：用于接收所述终端服务器的连接请求；服务映射模块将数据库服务器所提供的服务映射到中间数据库服务器的ip地址以及指定的空闲端口，中间数据库服务器可以同时与多个数据库服务器建立映射关系，当终端服务器发出通信请求时中间数据库服务器会对终端服务器进行验证后建立对应的通信。
8.密钥处理模块：用于对通信信息进行加密处理，进行密钥生成以及解密操作。中间数据库服务器生成的密钥分配给各个终端服务器，同时也生成密钥分配到各个数据库服务器，各个终端服务器与中间数据库的加密通信信息利用终端服务器与中间数据库服务器之间的密钥解密，中间数据库服务器验证通过后再将加密信息送给数据库服务器，数据库服务器再利用中间数据库服务器与数据库服务器之间的密钥解密，实现数据交换。通过双层密钥加密，提高通信的安全性。
9.还公开一种基于中间数据库的配电网数据防护方法，包括如下步骤：a1：建立中间数据库；a2：将数据库服务器所提供的服务映射到所述中间数据库服务器中；a3：中间数据库服务器接收来自终端服务器的通信请求；a4：中间数据库服务器判断终端服务器是否有通信权限，若是，则执行步骤a5；若否，则关闭连接；a5：中间数据库服务器将终端服务器通信信息解密再加密后传递给数据库服务器。
10.作为优选，所述的中间数据库服务器判断终端服务器是否有通信权限的步骤包括：a41：中间数据库服务器对终端服务器进行ip验证，若所述终端服务器的ip为非法ip，则关闭连接；若ip合法，则执行步骤a42；a42：中间数据库服务器对终端服务器的数据库名、用户名进行分析，检查ip和用户名是否为合法组合，若是，则建立通信；若否，则关闭连接。其中，终端服务器的ip和用户名的合法组合被预先存储在中间数据库服务器中，终端服务器的ip和用户名的合法组合可以根据需要实时更新。
11.作为优选，在所述中间数据库服务器与终端服务器之间设立对称密钥；在中间数据库服务器与数据库服务器之间设立对称密钥。即便攻击者通过中间数据库服务器找到了数据库服务器也无法与数据库服务器直接通信，从而保证了信息安全。
12.作为优选，中间数据库服务器利用与终端服务器之间的公用密钥对通信信息解密后，利用与数据库服务器之间的公用密钥对通信信息进行加密后传递给所述数据库服务器。
13.作为优选，所述中间数据库服务器与数据库服务器之间的密钥定时更新。通过定时更新密钥提高系统的安全性。
14.本发明的有益效果是：1.通过中间数据库，避免终端应用于数据服务器直接通信，防止数据库服务器被攻击；2.通过中间数据库服务器的双层验证提高安全性；3.通过双层密钥，降低被攻击的风险。
附图说明
15.图1是本发明的一种基于中间数据库的配电网数据防护系统的结构框图；图2是本发明的一种基于中间数据库的配电网数据防护方法的流程示意图；图中1.数据库服务器，2.中间数据库服务器，3.终端服务器。
具体实施方式
16.下面通过实施例，并结合附图，对本发明的技术方案作进一步具体的说明。
17.实施例：本实施例的一种基于中间数据库的配电网数据防护系统，如图1所示，包括中间数据库服务器2、数据库服务器1和终端服务器3，其中，中间数据库服务器2相当于一个虚假服务器，数据库服务器1为真实服务器，中间数据库服务器2将自己暴露在网络中，与终端服务器3进行通信，可以代替数据库服务器1遭受攻击，而即使中间数据库服务器2被攻击，攻击者也只能获得受限的权限，无法对数据库服务器1造成威胁，从而达到保护数据库数据安全的目的。中间数据库服务器2包括服务映射模块和密钥处理模块，其中，服务映射模块将数据库服务器1上提供的服务映射到中间数据库服务器2的ip地址以及空闲的端口中，从而中间数据库服务器能够像数据库服务器一样与终端服务器建立通信，并进行数据交换；密钥处理模块对通信信息进行加密和解密操作。中间数据库服务器2上设置双向通信端口，可以同时和数据库服务器1以及终端服务器3通信。
18.本实施例还公开了一种基于中间数据库的配电网数据防护方法，包括如下步骤：a1：建立中间数据库；在中间数据库中预先存储了可以与数据库服务器1建立通信的终端服务器3的ip地址、用户名、ip与用户名的合法组合用来验证终端服务器的合法性，还储存了密钥信息；a2：将数据库服务器1所提供的服务映射到所述中间数据库服务器2中；通过映射，中间数据库服务器2可以与终端服务器3建立连接，接收终端服务器3的连接请求；a3：中间数据库服务器2接收来自终端服务器3的通信请求；a4：中间数据库服务器2判断终端服务器3是否有通信权限，若是，则执行步骤a5；若否，则关闭连接；其中，中间数据库服务器判断终端服务器是否有通信权限的步骤包括：a41：中间数据库服务器2对终端服务器3进行ip验证，若所述终端服务器3的ip为非法ip，则关闭连接；若ip合法，则执行步骤a42；a42：中间数据库服务器2对终端服务器3的数据库名、用户名进行分析，检查ip和用户名是否为合法组合，若是，则建立通信；若否，则关闭连接。通过两层权限验证，可以识别出试图与数据库服务器建立连接的非法终端，从而防止数据库服务器遭受攻击；a5：中间数据库服务器2将终端服务器3通信信息解密再加密后传递给数据库服务器1。在中间数据库服务器2与终端服务器3之间设立对称密钥；在中间数据库服务器2与数据库服务器1之间设立对称密钥；终端服务器3将通信请求、用户名、ip等信息加密后传递给中间数据库服务器2，中间数据库服务器2利用与终端服务器3之间的对称密钥对这些信息进行解密，经过验证合法后则将连接请求等信息重新加密后传递给数据库服务器1，数据库服务器1再利用与中间数据库服务器2之间的密钥对信息解密，其中，数据库服务器1与中间数据库服务器2之间的密钥和终端服务器3与中间数据库服务器2之间的密钥是不同的；此
外，中间数据库服务器2与数据库服务器1之间的密钥定时更新，以防止密钥信息被破解而失去保护效果。
19.本实施例中，通过中间数据库服务器2建立数据库服务器1与终端服务器3之间的通信，使数据库服务器1不直接暴露在网络中，降低数据库服务器1被攻击的风险；通过多层级加密，保护通信信息的安全性；通过多层级权限验证，保证通信安全性。
20.应理解，实施例仅用于说明本发明而不用于限制本发明的范围。此外应理解，在阅读了本发明讲授的内容之后，本领域技术人员可以对本发明作各种改动或修改，这些等价形式同样落于本技术所附权利要求书所限定的范围。