博思特

跨正向隔离装置文件传输协议的设计与实现

为保障电力信息网络的安全性,电力系统根据安全等级把信息网络划分为I、Ⅱ、Ⅲ等区。I/Ⅱ区向Ⅲ区传递数据要求有正向隔离装置做隔离。

网络隔离技术在确保保障电力信息网络安全的同时,也给信息的跨区通信带来了不便。本文设计了一个可透过正向隔离装置的文件传输协议,据此实现的文件传输系统系统,为I/Ⅱ区向Ⅲ区的数据传输提供了很好的支持。

跨正向隔离装置文件传输协议的设计与实现

正向隔离装置工作原理

正向隔离装置主要功能体现在禁止两个区域的应用之间直接建立TCP连接。它将两个区域的应用之间的TCP连接分解成两个区域的应用各自到隔离装置内外两个网卡的两个TCP虚拟连接。隔离装置内外两个网卡在装置内部为非网络连接。正向隔离装置工的作模式如图1所示。

正向隔离装置只允许表示层与应用层数据单向传输,即从安全区III到安全区I/II的应答报文禁止携带应用数据(最多只能通过一个字节的数据,而且要么全为0,要么全为1)。

电力二次系统I/Ⅱ区与Ⅲ区增设正向隔离装置后,普通的C/S和B/S程序无法穿越该装置,需按隔离装置编程规定修改程序,才能进行数据通信。

这使得常规网络中容易解决的问题,变得复杂了。如Ⅲ区的应用想要获得I/Ⅱ区的文件,常见的文件共享方法如FTP服务、共享文件夹等都无法使用。需使用专门的跨正向隔离装置的文件传输系统。虽然正向隔离装置的生产商都提供了基于Java的文件透传系统,但并非所有的设备都能运行Java程序,特別是资源紧张的嵌入式设备。而若部署专门的文件传输服务器,又增加了成本。因此,有必要自行开发跨正向隔离装置的文件传输系统。

跨正向隔离装置传输文件的通信协议,完全能够满足电力系统中跨区传输文件的需求,弥补了信息跨区传输的不便问题。文中介绍了协议的报文格式、工作机制和状态迁移过程。该协议设计简单、易于实现,便于扩展,具有一定的通用性。本文给出了基于C++语言/Qt框架的实现作为参考,不过采用其他语言或框架也很容易实现该协议。协议的实现可以采用多种方式,协议的设计也可以根据具体的实际需要来扩展。


联系方式:仲经理

电       话:15852924296

邮       箱:njbosite@aliyun.com

Q       Q891705066@qq.com