本发明属于网络安全
技术领域:
,具体涉及以中欧满足跨区数据交互的电力设备安全隔离装置。
背景技术:
:随着信息技术的飞速发展,互联网世界正在发生着天翻地覆的变化,信息网络向互联互通转变、数据向交互共享转变、业务向横向贯通转变,企业的信息网络也在随之不断变化。但是信息化在带来便利的同时也带来了大量的安全隐患,为了避免政府、企业等核心网络遭受外部网络安全威胁,网络隔离技术得到了大量采用,通过网络隔离技术,使得核心网络与外部网络进行有效分割,从而最大程度上限制外来网络攻击对于核心网络带来的影响。按照国家对于电力监控系统安全防护要求,目前电力系统大量采用单向物理隔离装置实现生产控制大区与管理信息大区的网络隔离,在保证物理隔离强度的同时,满足基本的跨区通信需求。但是随着电力物联网的快速发展,电力终端设备的接入量将呈现爆炸式增长趋势,终端设备之间的横向数据交互将大大增加,电力网络将由原来的集中式管控模式转向区域性自治,不同自治区域之间的业务共享与数据协同将成为物联网快速响应及智能联动的必要手段。在此形势下,电力网络原有的网络隔离装置由于其部署模式、运行功耗等原因,已经无法满足未来电力设备安全交互需求,需要在终端侧解决单向隔离设备小型化、轻量级、低功耗的设计需求。目前电力系统采用单向物理隔离装置实现生产控制大区与管理信息大区的网络隔离,为了更好的满足电网各业务数据融合及业务交互需求,边缘物联代理将集成单向隔离功能从而实现感知层的数据安全交互。如何在边缘物联代理设备中实现小型化、轻量级、低功耗的单向隔离是设计需求,需要解决的问题。技术实现要素:本发明的目的在于针对现有技术中存在的问题提供一种满足跨区数据交互的电力设备安全隔离装置,本发明实现物联终端统一采集、处处应用的同时,实现跨区、跨域的数据安全交互,强化泛在电力物联网边界安全防护。本发明的技术方案是:一种满足跨区数据交互的电力设备安全隔离装置,包括基于fpga的单向透传通信模型,所述的通信模型包括生产控制大区fpga模块及与其连接的管理信息大区fpga模块;通信报文通过生产控制大区终端设备发出并经过数据接口传输给生产控制大区fpga模块,经生产控制大区fpga模块处理过的数据通过光纤传输到管理信息大区fpga模块。具体的,所述的生产控制大区fpga模块包括接收通信报文的数据接口组件、对接收的报文数据进行处理核对的数据发送模块、接收同步数据并对数据重新编码后进行发送的第一光纤驱动模块。具体的,所述的管理信息大区fpga模块包括接收来自第一光纤驱动模块歘传输的数据并进行传输的第二光纤驱动模块、接收并读取数据的数据接收模块、上传给控制信息大区的业务平台的数据接口组件。具体的,所述的生产控制大区fpga模块的数据发送模块包括光发送适配器,其对数据的处理包括如下步骤:s1.发送端服务程序接收数据并传输给光发送适配器;s2.光发送适配器将传送的数据进分片处理,每次传输光接收器可接受的数据大小,并通过流量监视自动调整分片大小;s3.分片数据使用高效的压缩算法进行压缩数据,并提供传输吞吐量;s4.压缩数据再进行签名处理,保证传输数据完整性;s5.签名数据最后加上头信息进行传输。具体的,所述的管理信息大区fpga模块的数据接收模块包括光接收总结器,其对数据的处理包括如下步骤:s1.光接收终结器接收生产控制大区fpga模块传输过来的分片数据分片接收;s2.根据签名进行分片校验;s3.根据头信息对分片数据进行分片解压缩并重组为应用数据;s4.对数据包还原,并通过接收端服务程序发送。具体的,所述的数据发送模块和数据接收模块进行数据处理过程中使用基于前向纠错的差错控制方式发现错误并判断错误码元所在的位置并进行自动纠正。目前电力系统采用单向物理隔离装置的实现原理是通过单向传输电路或单向光纤连接两套独立处理系统,从而实现网络间的单向隔离,难以满足小型化、轻量级、低功耗的设计需求;同时在两接入端采用mac地址的认证方式,不能满足边缘物联代理中多容器间单向物理隔离的通信要求;在单向物理隔离中部署有操作系统,也增加了操作系统界别入侵的风险。而本发明通过采用fpga(现场可编程门阵列)技术结合单向光纤,将单向物理隔离传输和认证程序部署设计为虚拟电路级实现,从而实现达到单向物理隔离强度的小型、低功耗、高性能物理隔离模块,可实现在空间、功耗都有限制的边缘物理代理装置中部署。由于是在电路级实现单向数据传输功能,不需要操作系统,从而也杜绝了操作系统级别攻击的可能。通过多场景跨区边缘物联代理安全隔离技术研究,在实现物联终端统一采集、处处应用的同时,实现跨区、跨域的数据安全交互,强化泛在电力物联网边界安全防护。本发明涉及的轻量级物理隔技术是采用单向光纤作为传输介质,基于fpga的模块化硬件设计,集成物理隔离,实时数据迁移,自定义数据包格式,数据校验纠错等多种功能为一体,可以应用于不同的安全等级的网络之间,在实现两个网络物理隔离的同时,能够实现有保障的、高质量的数据传输。附图说明图1是本发明提供的基于fpga的单向透传通信模型图;图2是本发明提供的数据传输流程示意图;图3是前向纠错原理示意图。具体实施方式下面结合附图及具体实施方式对本发明的技术方案进行详细的说明。一种满足跨区数据交互的电力设备安全隔离装置,包括基于fpga的单向透传通信模型,所述的通信模型包括生产控制大区fpga模块及与其连接的管理信息大区fpga模块;通信报文通过生产控制大区终端设备发出并经过数据接口传输给生产控制大区fpga模块,经生产控制大区fpga模块处理过的数据通过光纤传输到管理信息大区fpga模块。如图1所示为本发明的提供的基于fpga的单向透传通信模型图。单向物理隔离透传通信机制有如下几个步骤:通信报文由生产控制大区终端设备发出,经过边缘物理代理的数据接口组件输入,经fpga上的数据发送模块接收与“拆包”分析核对,并当接收完前导码后,将数据同步发送给光纤驱动模块,光纤驱动模块把传入的数据重新编码经光纤传输给管理信息大区的fpga接收模块,管理信息大区光前驱动模块接收数据后,首先存入自己的缓存中,再通知数据接收模块读取数据,最后数据经数据接口组件上传给控制信息大区的业务平台。本发明是基于aurora协议实现fpga与fpga之间的快速点对点数据传输。用于在点对点串行链路间传输数据的可扩展轻量级链路层协议,数据传输流程图如图2所示。实质上,所述的生产控制大区fpga模块包括接收通信报文的数据接口组件、对接收的报文数据进行处理核对的数据发送模块、接收同步数据并对数据重新编码后进行发送的第一光纤驱动模块。所述的生产控制大区fpga模块的数据发送模块包括光发送适配器,其对数据的处理包括如下步骤:s1.发送端服务程序接收数据并传输给光发送适配器;s2.光发送适配器将传送的数据进分片处理,每次传输光接收器可接受的数据大小,并通过流量监视自动调整分片大小;s3.分片数据使用高效的压缩算法进行压缩数据,并提供传输吞吐量;s4.压缩数据再进行签名处理,保证传输数据完整性;s5.签名数据最后加上头信息进行传输。而所述的管理信息大区fpga模块包括接收来自第一光纤驱动模块歘传输的数据并进行传输的第二光纤驱动模块、接收并读取数据的数据接收模块、上传给控制信息大区的业务平台的数据接口组件,所述的管理信息大区fpga模块的数据接收模块包括光接收总结器,其对数据的处理包括如下步骤:s1.光接收终结器接收生产控制大区fpga模块传输过来的分片数据分片接收;s2.根据签名进行分片校验;s3.根据头信息对分片数据进行分片解压缩并重组为应用数据;s4.对数据包还原,并通过接收端服务程序发送。所述的数据发送模块和数据接收模块进行数据处理过程中使用基于前向纠错的差错控制方式发现错误并判断错误码元所在的位置并进行自动纠正,前向纠错方式记为fec,发送端发送能够纠正错误的码,收端收到解码之后,不仅可以发现错误,而且能够判断错误码元所在的位置,并自动纠正。这种方法的特点是单向传输,实时性好,传输效率高,因此这种纠错方式广泛用于数据通信设备中。如图3所示为其前向纠错原理示意图。本发明对对rs编码方式研究如下:rs编码是多进制bch码,具有同时纠正突发错误和随机错误的能力,且纠正突发错误更有效,在gf(q)上,码长n=q-1的本原bch码称为rs码,纠正t个错误的如下参数,见下表所示:表1rs码参数表码长n=q-1信息位长k校验位长n-k=2t字符长m最大纠错个数t足校距离d=2t+1最后应当说明的是:以上实施例仅用以说明本发明的技术方案而非对其限制;尽管参照较佳实施例对本发明进行了详细的说明,所属领域的普通技术人员应当理解:依然可以对本发明的具体实施方式进行修改或者对部分技术特征进行等同替换;而不脱离本发明技术方案的精神,其均应涵盖在本发明请求保护的技术方案范围当中。当前第1页1 2 3
技术特征:1.一种满足跨区数据交互的电力设备安全隔离装置,其特征在于,包括基于fpga的单向透传通信模型,所述的通信模型包括生产控制大区fpga模块及与其连接的管理信息大区fpga模块;通信报文通过生产控制大区终端设备发出并经过数据接口传输给生产控制大区fpga模块,经生产控制大区fpga模块处理过的数据通过光纤传输到管理信息大区fpga模块。
2.根据权利要求1所述满足跨区数据交互的电力设备安全隔离装置,其特征在于,所述的生产控制大区fpga模块包括接收通信报文的数据接口组件、对接收的报文数据进行处理核对的数据发送模块、接收同步数据并对数据重新编码后进行发送的第一光纤驱动模块。
3.根据权利要求1所述满足跨区数据交互的电力设备安全隔离装置,其特征在于,所述的管理信息大区fpga模块包括接收来自第一光纤驱动模块歘传输的数据并进行传输的第二光纤驱动模块、接收并读取数据的数据接收模块、上传给控制信息大区的业务平台的数据接口组件。
4.根据权利要求2所述满足跨区数据交互的电力设备安全隔离装置,其特征在于,所述的生产控制大区fpga模块的数据发送模块包括光发送适配器,其对数据的处理包括如下步骤:
s1.发送端服务程序接收数据并传输给光发送适配器;
s2.光发送适配器将传送的数据进分片处理,每次传输光接收器可接受的数据大小,并通过流量监视自动调整分片大小;
s3.分片数据使用高效的压缩算法进行压缩数据,并提供传输吞吐量;
s4.压缩数据再进行签名处理,保证传输数据完整性;
s5.签名数据最后加上头信息进行传输。
5.根据权利要求3所述满足跨区数据交互的电力设备安全隔离装置,其特征在于,所述的管理信息大区fpga模块的数据接收模块包括光接收总结器,其对数据的处理包括如下步骤:
s1.光接收终结器接收生产控制大区fpga模块传输过来的分片数据分片接收;
s2.根据签名进行分片校验;
s3.根据头信息对分片数据进行分片解压缩并重组为应用数据;
s4.对数据包还原,并通过接收端服务程序发送。
6.根据权利要求1所述满足跨区数据交互的电力设备安全隔离装置,其特征在于,所述的数据发送模块和数据接收模块进行数据处理过程中使用基于前向纠错的差错控制方式发现错误并判断错误码元所在的位置并进行自动纠正。
技术总结本发明属于网络安全技术领域,具体涉及以中欧满足跨区数据交互的电力设备安全隔离装置,包括基于FPGA的单向透传通信模型,所述的通信模型包括生产控制大区FPGA模块及与其连接的管理信息大区FPGA模块;通信报文通过生产控制大区终端设备发出并经过数据接口传输给生产控制大区FPGA模块,经生产控制大区FPGA模块处理过的数据通过光纤传输到管理信息大区FPGA模块。本发明实现物联终端统一采集、处处应用的同时,实现跨区、跨域的数据安全交互,强化泛在电力物联网边界安全防护。
技术研发人员:郭志民;吕卓;陈岑;张铮;蔡军飞;李暖暖;杨文;李鸣岩
受保护的技术使用者:国网河南省电力公司电力科学研究院;国家电网有限公司
技术研发日:2020.11.27
技术公布日:2021.04.06
