一种基于信息交换总线内外网信息交换的方法.pdf

摘要
申请专利号：	CN201410410209.5	申请日：	2014.08.20
公开号：	CN104135492A	公开日：	2014.11.05
当前法律状态：	实审	有效性：	审中
法律详情：	实质审查的生效IPC(主分类):H04L 29/06申请日:20140820\|\|\|公开
IPC分类号：	H04L29/06; H04L12/40	主分类号：	H04L29/06
申请人：	国家电网公司; 国网天津市电力公司; 国电南瑞科技股份有限公司
发明人：	齐昕; 谭向红; 吴琳
地址：	100031 北京市西城区西长安街86号
优先权：
专利代理机构：	天津盛理知识产权代理有限公司 12209	代理人：	王来佳
PDF下载：	PDF下载

内容摘要

本发明公开了一种基于信息交换总线内外网信息交换的方法，该基于信息交换总线内外网信息交换的方法包括以下步骤：在安全隔离总线中通过对ARP层、TCP层和IP层的字段分析；根据配置的策略来控制，集成通用防火墙功能；在应用层对TNS和TDS协议分析、对基于JDBC驱动的字段偏移量查找到SQL语句位置，实现SQL语句的还原，进而实现SQL语句的过滤。本发明采用针对网络通信协议进行分析的安全隔离总线，实现了基于TCP/IP通信流的分层解析；本发明的基于信息交换总线的内外网信息交换技术，实现了电力信息安全内网和Internet网络之间信息安全交互，解决了外网信息无法进入内网的难题。

权利要求书

1.  一种基于信息交换总线内外网信息交换的方法，其特征在于，该基于信息交换总线内外网信息交换的方法包括以下步骤：
步骤一，在安全隔离总线中通过对ARP层、TCP层和IP层的字段分析；
步骤二，根据配置的策略来控制，集成通用防火墙功能；
步骤三，在应用层对TNS和TDS协议分析、对基于JDBC驱动的字段偏移量查找到SQL语句位置，实现SQL语句的还原，进而实现SQL语句的过滤。

2.  如权利要求1所述的基于信息交换总线内外网信息交换的方法，其特征在于，在步骤一中对数据报文的源IP地址、目的IP地址、协议域及相应的源、目的端口属性进行组合形成不同的数据包过滤规则，控制进出的信息流向和数据包。

3.  如权利要求1所述的基于信息交换总线内外网信息交换的方法，其特征在于，在步骤三中应用层收到报文后需要进行协议化处理，分析和过滤ARP，IP，TCP/UDP/ICMP报文，构造协议分析处理模块。

4.  如权利要求3所述的基于信息交换总线内外网信息交换的方法，其特征在于，在构造协议分析处理模块后设计支持TCP数据流重组的模块，进行可靠的协议解析。

5.  如权利要求1或4所述的基于信息交换总线内外网信息交换的方法，其特征在于，在协议栈流还原后，提取出Oracle、SQLServer数据库协议报文进行分析，根据协议关键字段识别TNS/TDS的控制，查询报文，从中提取出SQL语句。

6.  如权利要求1所述的基于信息交换总线内外网信息交换的方法，其特征在于，SQL语句再交由SQL过滤模块进行分析，首先将SQL语句格式化，然后调用规则库以及搜索算法对SQL语句进行过滤，根据返回结果判断是否继续传递。

说明书

一种基于信息交换总线内外网信息交换的方法
技术领域
本发明属于电力企业信息系统技术领域，尤其涉及一种基于信息交换总线内外网信息交换的方法。
背景技术
电力信息网承载着电力市场交易、招投标、营销等多个业务系统，对内提供如审计、评标、核算等业务，对外提供发布、投标、缴费等各项服务。若对信息系统分级过多将会导致各个分区间数据交换带来的大量延时。为此，把电力信息网络分为信息内网和信息外网。信息外网和Internet之间采用防火墙相连，属于低安全级别区域；信息内网与信息外网逻辑隔离，与电力内部其他数据网物理隔离，属于高级别安全区域。各个业务系统根据其具体需要把相应的服务器分别放置在信息内外网。
为了最大程度地保证电力信息系统的安全，把尽可能多的业务放到信息内网，把对外提供服务的服务器设在外网，其他对内服务器、个人PC机等所有主机都放置在信息内网。特别需要强调为了保护数据的安全，所有业务系统的数据库放置在信息内网。
由于安全隔离总线放置在信息内外网的边界，所以首先要起到一般防火墙的基本作用来保证对各个访问主机的控制。电力信息网络各个业务系统的主机IP地址、MAC地址、端口等都比较固定，可以根据这几项元素来对访问主机进行控制。据统计，目前信息系统遭受攻击最多的是针对数据库的SQL注入攻击，要实现对这种攻击的阻断，较为可靠的方式就是在应用层对SQL语句来进行还原，然后对SQL语句进行解析并过滤。
通过如上分析可以看出，安全隔离总线需要从网络多个层次上进行立体综合防护，在不同层次上提升应用系统的安全性，系统的总体防护思想和数据处理流程如附图所示。
电力信息系统有较多的业务要经过总线进行内外网通信，若此装置的效率不够高的话将会成为内外网通信的瓶颈，这里考虑在网络中进行协议解析的方式来实现可以较好的满足要求。
电力系统应用范围最广的为Oracle数据库和SQL Server数据库，这两者占据了电力系统数据库的90％以上。Oracle数据库的数据通信采用TNS协议，SQL Server和Sybase数据库采用TDS协议，若能够把这两种协议分析出来，并且对其采用JDBC驱动进行偏移量分析，就能实现SQL语句的还原，进而可以基本满足电力信息系统数据库访问控制的需要。
现有的Internet网络的信息无法进入电力信息安全内网，不能实现电力信息安全内网和Internet网络之间信息安全交互。
发明内容
本发明实施例的目的在于提供一种基于信息交换总线内外网信息交换的方法，旨在解决现有的Internet网络的信息无法进入电力信息安全内网，不能实现电力信息安全内网和Internet网络之间信息安全交互的问题。
本发明实施例是这样实现的，一种基于信息交换总线内外网信息交换的方法，该基于信息交换总线内外网信息交换的方法包括以下步骤：
步骤一，在安全隔离总线中通过对ARP层、TCP层和IP层的字段分析；
步骤二，根据配置的策略来控制，集成通用防火墙功能；
步骤三，在应用层对TNS和TDS协议分析、对基于JDBC驱动的字段偏移量查找到SQL语句位置，实现SQL语句的还原，进而实现SQL语句的过滤。
进一步，在步骤一中对数据报文的源IP地址、目的IP地址、协议域及相应的源、目的端口属性进行组合形成不同的数据包过滤规则，控制进出的信息流向和数据包。
进一步，在步骤三中应用层收到报文后需要进行协议化处理，分析和过滤ARP，IP，TCP/UDP/ICMP报文，构造协议分析处理模块。
进一步，在构造协议分析处理模块后设计支持TCP数据流重组的模块，进行可靠的协议解析。
进一步，在协议栈流还原后，提取出Oracle、SQLServer数据库协议报文进行分析，根据协议关键字段识别TNS/TDS的控制，查询报文，从中提取出SQL语句。
进一步，SQL语句再交由SQL过滤模块进行分析，首先将SQL语句格式化，然后调用规则库以及搜索算法对SQL语句进行过滤，根据返回结果判断是否继续传递。
本发明提供的基于信息交换总线内外网信息交换的方法，采用针对网络通信协议进行分析的安全隔离总线，实现了基于TCP/IP通信流的分层解析；本发明的基于信息交换总线的内外网信息交换技术，实现了电力信息安全内网和Internet网络之间信息安全交互，解决了外网信息无法进入内网的难题。
附图说明
图1是本发明实施例提供的基于信息交换总线内外网信息交换的方法流程图；
图2是本发明实施例提供的基于信息交换总线内外网信息交换的方法实施例流程图。
具体实施方式
为了使本发明的目的、技术方案及优点更加清楚明白，以下结合实施例，对本发明进行进一步详细说明。应当理解，此处所描述的具体实施例仅仅用以解释本发明，并不用于限定本发明。
下面结合附图及具体实施例对本发明的应用原理作进一步描述。
如图1所示，本发明实施例的基于信息交换总线内外网信息交换的方法包括以下步骤：
S101：在安全隔离总线中通过对ARP层、TCP层和IP层的字段分析；
S102：根据配置的策略来控制，集成通用防火墙功能；
S103：在应用层对TNS和TDS协议分析、对基于JDBC驱动的字段偏移量查找到SQL语句位置，实现SQL语句的还原，进而实现SQL语句的过滤。
如图2所示，本发明的具体步骤为：
第一步，对数据报文的源IP地址、目的IP地址、协议域及相应的源、目的端口等属性进行组合形成不同的数据包过滤规则，控制进出的信息流向和数据包，有效防止攻击者对信息内网的攻击、外部网络对内部网络的访问；
第二步，应用层收到报文后需要进行协议化处理，分析和过滤ARP，IP，TCP/UDP/ICMP等报文，构造一个高效的协议分析处理模块；
第三步，设计支持TCP数据流重组的模块，在其之上进行可靠的协议解析；
第四步，在协议栈流还原后，提取出Oracle、SQLServer等数据库协议报文进行分析，根据协议关键字段识别TNS/TDS的控制，查询等报文，从中提取出SQL语句；
第五步，SQL语句再交由SQL过滤模块进行分析。首先将其格式化，然后调用规则库以及搜索算法对SQL语句进行过滤，根据返回结果判断是否继续传递。
本发明实现了电力信息安全内网和Internet网络之间信息安全交互，解决了外网信息无法进入内网的难题。
以上所述仅为本发明的较佳实施例而已，并不用以限制本发明，凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等，均应包含在本发明的保护范围之内。

资源描述

《一种基于信息交换总线内外网信息交换的方法.pdf》由会员分享，可在线阅读，更多相关《一种基于信息交换总线内外网信息交换的方法.pdf（6页珍藏版）》请在专利查询网上搜索。

1、10申请公布号CN104135492A43申请公布日20141105CN104135492A21申请号201410410209522申请日20140820H04L29/06200601H04L12/4020060171申请人国家电网公司地址100031北京市西城区西长安街86号申请人国网天津市电力公司国电南瑞科技股份有限公司72发明人齐昕谭向红吴琳74专利代理机构天津盛理知识产权代理有限公司12209代理人王来佳54发明名称一种基于信息交换总线内外网信息交换的方法57摘要本发明公开了一种基于信息交换总线内外网信息交换的方法，该基于信息交换总线内外网信息交换的方法包括以下步骤在安全隔离总线中通过。

2、对ARP层、TCP层和IP层的字段分析；根据配置的策略来控制，集成通用防火墙功能；在应用层对TNS和TDS协议分析、对基于JDBC驱动的字段偏移量查找到SQL语句位置，实现SQL语句的还原，进而实现SQL语句的过滤。本发明采用针对网络通信协议进行分析的安全隔离总线，实现了基于TCP/IP通信流的分层解析；本发明的基于信息交换总线的内外网信息交换技术，实现了电力信息安全内网和INTERNET网络之间信息安全交互，解决了外网信息无法进入内网的难题。51INTCL权利要求书1页说明书3页附图1页19中华人民共和国国家知识产权局12发明专利申请权利要求书1页说明书3页附图1页10申请公布号CN1041。

3、35492ACN104135492A1/1页21一种基于信息交换总线内外网信息交换的方法，其特征在于，该基于信息交换总线内外网信息交换的方法包括以下步骤步骤一，在安全隔离总线中通过对ARP层、TCP层和IP层的字段分析；步骤二，根据配置的策略来控制，集成通用防火墙功能；步骤三，在应用层对TNS和TDS协议分析、对基于JDBC驱动的字段偏移量查找到SQL语句位置，实现SQL语句的还原，进而实现SQL语句的过滤。2如权利要求1所述的基于信息交换总线内外网信息交换的方法，其特征在于，在步骤一中对数据报文的源IP地址、目的IP地址、协议域及相应的源、目的端口属性进行组合形成不同的数据包过滤规则，控制进。

4、出的信息流向和数据包。3如权利要求1所述的基于信息交换总线内外网信息交换的方法，其特征在于，在步骤三中应用层收到报文后需要进行协议化处理，分析和过滤ARP，IP，TCP/UDP/ICMP报文，构造协议分析处理模块。4如权利要求3所述的基于信息交换总线内外网信息交换的方法，其特征在于，在构造协议分析处理模块后设计支持TCP数据流重组的模块，进行可靠的协议解析。5如权利要求1或4所述的基于信息交换总线内外网信息交换的方法，其特征在于，在协议栈流还原后，提取出ORACLE、SQLSERVER数据库协议报文进行分析，根据协议关键字段识别TNS/TDS的控制，查询报文，从中提取出SQL语句。6如权利要求。

5、1所述的基于信息交换总线内外网信息交换的方法，其特征在于，SQL语句再交由SQL过滤模块进行分析，首先将SQL语句格式化，然后调用规则库以及搜索算法对SQL语句进行过滤，根据返回结果判断是否继续传递。权利要求书CN104135492A1/3页3一种基于信息交换总线内外网信息交换的方法技术领域0001本发明属于电力企业信息系统技术领域，尤其涉及一种基于信息交换总线内外网信息交换的方法。背景技术0002电力信息网承载着电力市场交易、招投标、营销等多个业务系统，对内提供如审计、评标、核算等业务，对外提供发布、投标、缴费等各项服务。若对信息系统分级过多将会导致各个分区间数据交换带来的大量延时。为此，把。

6、电力信息网络分为信息内网和信息外网。信息外网和INTERNET之间采用防火墙相连，属于低安全级别区域；信息内网与信息外网逻辑隔离，与电力内部其他数据网物理隔离，属于高级别安全区域。各个业务系统根据其具体需要把相应的服务器分别放置在信息内外网。0003为了最大程度地保证电力信息系统的安全，把尽可能多的业务放到信息内网，把对外提供服务的服务器设在外网，其他对内服务器、个人PC机等所有主机都放置在信息内网。特别需要强调为了保护数据的安全，所有业务系统的数据库放置在信息内网。0004由于安全隔离总线放置在信息内外网的边界，所以首先要起到一般防火墙的基本作用来保证对各个访问主机的控制。电力信息网络各个业。

7、务系统的主机IP地址、MAC地址、端口等都比较固定，可以根据这几项元素来对访问主机进行控制。据统计，目前信息系统遭受攻击最多的是针对数据库的SQL注入攻击，要实现对这种攻击的阻断，较为可靠的方式就是在应用层对SQL语句来进行还原，然后对SQL语句进行解析并过滤。0005通过如上分析可以看出，安全隔离总线需要从网络多个层次上进行立体综合防护，在不同层次上提升应用系统的安全性，系统的总体防护思想和数据处理流程如附图所示。0006电力信息系统有较多的业务要经过总线进行内外网通信，若此装置的效率不够高的话将会成为内外网通信的瓶颈，这里考虑在网络中进行协议解析的方式来实现可以较好的满足要求。0007电力。

8、系统应用范围最广的为ORACLE数据库和SQLSERVER数据库，这两者占据了电力系统数据库的90以上。ORACLE数据库的数据通信采用TNS协议，SQLSERVER和SYBASE数据库采用TDS协议，若能够把这两种协议分析出来，并且对其采用JDBC驱动进行偏移量分析，就能实现SQL语句的还原，进而可以基本满足电力信息系统数据库访问控制的需要。0008现有的INTERNET网络的信息无法进入电力信息安全内网，不能实现电力信息安全内网和INTERNET网络之间信息安全交互。发明内容0009本发明实施例的目的在于提供一种基于信息交换总线内外网信息交换的方法，旨在解决现有的INTERNET网络的信息。

9、无法进入电力信息安全内网，不能实现电力信息安全说明书CN104135492A2/3页4内网和INTERNET网络之间信息安全交互的问题。0010本发明实施例是这样实现的，一种基于信息交换总线内外网信息交换的方法，该基于信息交换总线内外网信息交换的方法包括以下步骤0011步骤一，在安全隔离总线中通过对ARP层、TCP层和IP层的字段分析；0012步骤二，根据配置的策略来控制，集成通用防火墙功能；0013步骤三，在应用层对TNS和TDS协议分析、对基于JDBC驱动的字段偏移量查找到SQL语句位置，实现SQL语句的还原，进而实现SQL语句的过滤。0014进一步，在步骤一中对数据报文的源IP地址、目的。

10、IP地址、协议域及相应的源、目的端口属性进行组合形成不同的数据包过滤规则，控制进出的信息流向和数据包。0015进一步，在步骤三中应用层收到报文后需要进行协议化处理，分析和过滤ARP，IP，TCP/UDP/ICMP报文，构造协议分析处理模块。0016进一步，在构造协议分析处理模块后设计支持TCP数据流重组的模块，进行可靠的协议解析。0017进一步，在协议栈流还原后，提取出ORACLE、SQLSERVER数据库协议报文进行分析，根据协议关键字段识别TNS/TDS的控制，查询报文，从中提取出SQL语句。0018进一步，SQL语句再交由SQL过滤模块进行分析，首先将SQL语句格式化，然后调用规则库以及。

11、搜索算法对SQL语句进行过滤，根据返回结果判断是否继续传递。0019本发明提供的基于信息交换总线内外网信息交换的方法，采用针对网络通信协议进行分析的安全隔离总线，实现了基于TCP/IP通信流的分层解析；本发明的基于信息交换总线的内外网信息交换技术，实现了电力信息安全内网和INTERNET网络之间信息安全交互，解决了外网信息无法进入内网的难题。附图说明0020图1是本发明实施例提供的基于信息交换总线内外网信息交换的方法流程图；0021图2是本发明实施例提供的基于信息交换总线内外网信息交换的方法实施例流程图。具体实施方式0022为了使本发明的目的、技术方案及优点更加清楚明白，以下结合实施例，对本发。

12、明进行进一步详细说明。应当理解，此处所描述的具体实施例仅仅用以解释本发明，并不用于限定本发明。0023下面结合附图及具体实施例对本发明的应用原理作进一步描述。0024如图1所示，本发明实施例的基于信息交换总线内外网信息交换的方法包括以下步骤0025S101在安全隔离总线中通过对ARP层、TCP层和IP层的字段分析；0026S102根据配置的策略来控制，集成通用防火墙功能；0027S103在应用层对TNS和TDS协议分析、对基于JDBC驱动的字段偏移量查找到SQL语句位置，实现SQL语句的还原，进而实现SQL语句的过滤。0028如图2所示，本发明的具体步骤为说明书CN104135492A3/3页。

13、50029第一步，对数据报文的源IP地址、目的IP地址、协议域及相应的源、目的端口等属性进行组合形成不同的数据包过滤规则，控制进出的信息流向和数据包，有效防止攻击者对信息内网的攻击、外部网络对内部网络的访问；0030第二步，应用层收到报文后需要进行协议化处理，分析和过滤ARP，IP，TCP/UDP/ICMP等报文，构造一个高效的协议分析处理模块；0031第三步，设计支持TCP数据流重组的模块，在其之上进行可靠的协议解析；0032第四步，在协议栈流还原后，提取出ORACLE、SQLSERVER等数据库协议报文进行分析，根据协议关键字段识别TNS/TDS的控制，查询等报文，从中提取出SQL语句；0033第五步，SQL语句再交由SQL过滤模块进行分析。首先将其格式化，然后调用规则库以及搜索算法对SQL语句进行过滤，根据返回结果判断是否继续传递。0034本发明实现了电力信息安全内网和INTERNET网络之间信息安全交互，解决了外网信息无法进入内网的难题。0035以上所述仅为本发明的较佳实施例而已，并不用以限制本发明，凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等，均应包含在本发明的保护范围之内。说明书CN104135492A1/1页6图1图2说明书附图CN104135492A。

展开阅读全文