一种基于代理隔离装置的内外网对接系统及方法制造方法及图纸

本发明专利技术公开了一种基于代理隔离装置的内外网对接系统及方法，代理隔离装置用于根据指定的周期传输外网应用服务器的访问请求并根据安全规则完成访问请求的安全检测，还用于接收应答信息；数据库服务器用于调用对应的数据库暂存完成安全检测的访问请求和应答信息；消息中间层通过调用数据库服务器中的完成安全检测的访问请求并对其进行解析认证，并将解析认证通过后的访问请求传输给内网应用服务器，还用于将内网应用服务器返回的应答信息传输给数据库服务器，通过加入消息中间层作为消息持久层，保证信息可靠传输；数据库服务器只暂存交互数据，内外网应用服务器只和消息中间层进行通讯，提升内外网信息传输效率。提升内外网信息传输效率。提升内外网信息传输效率。

【技术实现步骤摘要】
一种基于代理隔离装置的内外网对接系统及方法


[0001]本专利技术属于电力物联网数据安全领域，具体涉及一种基于代理隔离装置的内外网对接系统及方法。

技术介绍

[0002]目前电力体系内部业务系统的应用均是采用内网数据交互模式，外部第三方单位系统无法直接通过互联网(公网)进入供电公司内部网络，现有的解决方案是人工导入数据方式，但人工导入方式，耗时耗力，数据更新周期频率也无法保证。
[0003]电力体系内部业务系统一般划分为信息内网和信息外网两个网络安全区域，在两个安全区域中分别部署安全等级不同的应用，满足安全等级不同的业务需求；两个安全区域之间采用符合安全规范的信息安全网络隔离装置进行硬件隔离，通过隔离装置硬件设备进行实际的数据库访问，从而在保证两个网络安全区域信息安全的同时，为网络信息安全区域的数据交互提供了可能性。网络隔离装置作为一种基于安全防护理念的网络安全技术，是通过物理隔离的方式，确保把有害的攻击隔离，在网络数据交换和保证网络内部信息不外泄的前提下，完成网间数据安全交换。信息内外网应用数据交互的应用场景通常是：信息外网应用完成数据处理之后，将需要发送给信息内网应用的数据组成SQL语句，通过信息安全网络隔离装置写入信息内网的MySQL数据库，信息内网应用从数据库中读取数据，从而完成信息内外网的数据交互。如果外网应用服务器被攻击和控制，则整个数据库数据可以被修改和窃取，且增加内网被攻击的风险；内外网应用服务器直接访问数据库接口，由于无法保证消息持久，只能通过同步通信的方式完成数据传输，内外网数据交互效率较低。
[0004]因此，缺乏一种方法既能保证信息可靠传输；又能提升内外网信息传输效率。

技术实现思路

[0005]本专利技术所要解决的技术问题是如何提高电力系统内外网信息的信息传输效率，本专利技术的目的在于提供一种基于代理隔离装置的内外网对接系统及方法，通过加入消息中间层作为消息持久层，保证信息可靠传输；其次，在电力内网中设置专用的数据库服务器作为穿透数据库，只暂存交互数据，内外网应用服务器只和消息中间层进行通讯，不再直接访问内网数据库，实现了与代理隔离装置的解耦，大幅提升内外网信息传输效率。
[0006]本专利技术通过下述技术方案实现：
[0007]一方面，本专利技术提供一种基于代理隔离装置的内外网对接系统，包括内网应用服务器、代理隔离装置、外网应用服务器、数据库服务器和消息中间层，其中，
[0008]所述代理隔离装置用于根据指定的周期传输外网应用服务器的访问请求并根据安全规则完成访问请求的安全检测，还用于接收应答信息；
[0009]数据库服务器用于调用对应的数据库暂存完成安全检测的访问请求和应答信息；
[0010]消息中间层通过调用数据库服务器中的完成安全检测的访问请求并对其进行解析认证，并将解析认证通过后的访问请求传输给内网应用服务器，还用于将内网应用服务
器返回的应答信息传输给数据库服务器。
[0011]若外网应用服务器通过sql语句直接对内网数据库进行增删查改操作，如果外网应用服务器被攻击和控制，则整个数据库数据可以被修改和窃取；对多个数据库进行查询时，需要连接多个代理进程，进行多次查询，内外网数据交互效率低；若外网应用服务器通过强隔离驱动JDBC方式将查询数据信息写入内网数据库，内网应用服务器通过正常的驱动JDBC方式访问数据库，取到查询参数后返回调用内网业务系统，取到内网数据并将查询结果写回到数据库结果表中，如果外网应用服务器被攻击和控制，内网和外网应用仍然可以交互信息，增加内网被攻击的风险；内外网应用服务器直接访问数据库接口，由于无法保证消息持久，只能通过同步通信的方式完成数据传输，内外网数据交互效率较低。因此，本专利技术通过在内外网传输过程中加入消息中间层作为消息持久，保证信息可靠传输；其次，在电力内网中设置专用的数据库服务器作为穿透数据库，只暂存交互数据，解除内网数据库与具体业务的强相关性。这样一来，内外网应用服务器只和消息中间层进行通讯，不再直接访问内网数据库，实现了与代理隔离装置的解耦，大幅提升内外网信息传输效率。
[0012]进一步地，所述代理隔离装置包括SQL代理隔离装置和JDBC驱动，其中，
[0013]所述JDBC驱动根据其内置的驱动程序实现SQL代理隔离装置与外网应用服务器的安全交互，并且对外网应用服务器发出的SQL请求进行初步安全检查；
[0014]所述SQL代理隔离装置用于接收经过初步安全检查后的SQL请求；并根据安全规则对接收的SQL请求进行安全检测，还用于将访问应答结果集序列化通过JDBC驱动传输给外网应用服务器。
[0015]进一步地，所述SQL代理隔离装置包括内网处理单元、外网处理单元和隔离交换单元，其中，
[0016]所述内网处理单元用于从数据库服务器中获取应答信息，并对应答信息进行协议分析后传输给隔离交换单元；
[0017]所述外网处理单元用于对经过初步安全检查后的SQL请求进行分析，并传输给隔离交换单元；
[0018]所述隔离交换单元在内网处理单元、外网处理单元间建立安全数据通道并按照指定的周期在内、外网处理单元间进行访问请求的摆渡，并根据安全规则完成访问请求信息的安全检测。
[0019]第二方面，本方面提供一种基于代理隔离装置的内外网对接方法，包括以下步骤：
[0020]通过代理隔离装置在指定的周期内不断接收外网应用服务器的访问请求，并根据安全规则完成访问请求的安全检测；
[0021]将完成安全检测的访问请求存入数据库服务器指定的数据库中并按指定的周期更新数据库服务器；
[0022]调用数据库中完成安全检测的访问请求并对其进行解析认证；
[0023]将内网应用服务器对解析认证通过后的访问请求的应答信息存入数据库服务器中指定的数据库中；
[0024]通过代理隔离装置将数据库中的应答信息写入对应的访问请求中并返回给外网应用服务器。
[0025]进一步地，访问请求在内网应用服务器和外网服务器之间传输时采用队列序列化
的顺序传输。
[0026]进一步地，对访问请求进行安全检测的过程为：
[0027]对访问请求进行初步安全检查：对访问请求进行身份认证，所述身份认证的条件包括加密协商、版本协商和连接认证，当同时满足身份认证的所有条件时，身份认证通过；
[0028]对通过身份认证的访问请求进行数据认证，所述数据认证包括验证所述访问请求是否为SQL请求且检查访问请求中是否携带数据库服务器的登录信息，若同时满足条件则所述访问请求通过数据认证，
[0029]对通过数据认证的访问请求采用安全规则进行安全检测。
[0030]进一步地，安全检测并更新数据库服务器的具体过程包括：
[0031]根据安全规则对访问请求的特殊字符进行验证、请求IP进行过滤、请求地址过滤、身份令牌验证；
[0032]将符合安全规则的访问请求的状态设置为待访问并对其进行编号，将编号后的访问请求放入访问请求队列本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种基于代理隔离装置的内外网对接系统，其特征在于，包括内网应用服务器、代理隔离装置、外网应用服务器、数据库服务器和消息中间层，其中，所述代理隔离装置用于根据指定的周期传输外网应用服务器的访问请求并根据安全规则完成访问请求的安全检测，还用于接收应答信息；数据库服务器用于调用对应的数据库暂存完成安全检测的访问请求和应答信息；消息中间层通过调用数据库服务器中的完成安全检测的访问请求并对其进行解析认证，并将解析认证通过后的访问请求传输给内网应用服务器，还用于将内网应用服务器返回的应答信息传输给数据库服务器。2.根据权利要求1所述的一种基于代理隔离装置的内外网对接系统，其特征在于，所述代理隔离装置包括SQL代理隔离装置和JDBC驱动，其中，所述JDBC驱动根据其内置的驱动程序实现SQL代理隔离装置与外网应用服务器的安全交互，并且对外网应用服务器发出的SQL请求进行初步安全检查；所述SQL代理隔离装置用于接收经过初步安全检查后的SQL请求；并根据安全规则对接收的SQL请求进行安全检测，还用于将访问应答结果集序列化通过JDBC驱动传输给外网应用服务器。3.根据权利要求2所述的一种基于代理隔离装置的内外网对接系统，其特征在于，所述SQL代理隔离装置包括内网处理单元、外网处理单元和隔离交换单元，其中，所述内网处理单元用于从数据库服务器中获取应答信息，并对应答信息进行协议分析后传输给隔离交换单元；所述外网处理单元用于对经过初步安全检查后的SQL请求进行分析，并传输给隔离交换单元；所述隔离交换单元在内网处理单元、外网处理单元间建立安全数据通道并按照指定的周期在内、外网处理单元间进行访问请求的摆渡，并根据安全规则完成访问请求信息的安全检测。4.一种基于代理隔离装置的内外网对接方法，其特征在于，包括以下步骤：通过代理隔离装置在指定的周期内不断接收外网应用服务器的访问请求，并根据安全规则完成访问请求的安全检测；将完成安全检测的访问请求存入数据库服务器指定的数据库中并按指定的周期更新数据库服务器；调用数据库中完成安全检测的访问请求并对其进行解析认证；将内网应用服务器对解析认证通过后的访问请求的应答信息存入数据库服务器中指定的数据库中；通过代理隔离装置将数据库中的应答信息写入对应的访问请求中并返回...

【专利技术属性】
技术研发人员：陈在新，汪渊，伍青，陈川，曹陇平，苟长松，于洋，贾承锦，陈莉，谢辉，覃红，
申请(专利权)人：国网四川省电力公司南充供电公司，
类型：发明
国别省市：