專利名稱:跨安全區(qū)應用服務隔離平臺的制作方法
技術領域:
本發(fā)明為 一種基于物理隔離裝置的安全數(shù)據(jù)服務平臺�,實現(xiàn)兩個不互相連通的網(wǎng) 絡區(qū)域之間的數(shù)據(jù)和信息的雙向傳遞���,屬于電力系統(tǒng)自動控制技術領域��。
背景技術:
在電力系統(tǒng)網(wǎng)絡劃分為基于物理隔離裝置的內、外網(wǎng)以后����,兩個區(qū)域的網(wǎng)絡并不 互相連通而導致的數(shù)據(jù)和信息無法正常傳遞,從而使得電力系統(tǒng)原有的應用服務無法正常 使用�。為了保證原有系統(tǒng)能正常使用,應創(chuàng)建一個可以在安全區(qū)之間進行數(shù)據(jù)和信息傳 輸?shù)钠脚_���,在《電力二次系統(tǒng)安全防護總體方案》規(guī)定的指導下�����,信息數(shù)據(jù)平臺應采用多種 技術手段來保證系統(tǒng)及數(shù)據(jù)的安全���,并在硬件、軟件配置上提供對系統(tǒng)備份和快速恢復的 手段�,保證系統(tǒng)的安全、穩(wěn)定運行���。目前一些同步傳輸平臺大多采用正常的TCP/IP方式�����,沒有一個安全�����、可靠和高效 率的網(wǎng)絡安全技術方案可以滿足嚴格的網(wǎng)絡信息安全要求和傳輸要求��。由于技術上的復雜 性�����,有些網(wǎng)絡同步技術方案還存在著運行不穩(wěn)定和嚴重的設計邏輯錯誤�����,造成同步后的數(shù) 據(jù)不一致���,丟失和破壞了數(shù)據(jù)的完整性���,嚴重的甚至引起數(shù)據(jù)庫運行不穩(wěn)定,給數(shù)據(jù)庫應用 和網(wǎng)絡信息安全帶來極大的危害���。
發(fā)明內容
本發(fā)明所要解決的技術問題是在兩個并不互相連通的網(wǎng)絡中實現(xiàn)數(shù)據(jù)和信息安 全�����、穩(wěn)定的雙向傳輸����,確保電力系統(tǒng)原有的應用服務正常使用。本平臺基于物理隔離裝置的文件傳輸機制����,提供了一種內外網(wǎng)信息傳遞的途徑����, 通過提供多種語言的API及SOCKET、FTP��、WebService的接入方式�,上層應用程序可以以安 全可控的方式在信息內外網(wǎng)之間交互應用數(shù)據(jù),從而實現(xiàn)原有的應用系統(tǒng)在安全改造之后 的正常使用����。對于數(shù)據(jù)庫的同步,采用基于觸發(fā)器的數(shù)據(jù)庫雙向同步模塊通過在信息外網(wǎng) 建立信息內網(wǎng)的數(shù)據(jù)庫的鏡像�����,并且以準實時的方式將信息內網(wǎng)的數(shù)據(jù)庫中的增量數(shù)據(jù)同 步到信息外網(wǎng)的鏡像數(shù)據(jù)庫中。從而實現(xiàn)了信息外網(wǎng)的應用程序對內網(wǎng)信息的訪問�。為實現(xiàn)上述目的,本發(fā)明采取以下技術方案進行實現(xiàn)的一種跨安全區(qū)應用服務隔離平臺���,其特征在于����,包括以下各功能模塊主動獲取模塊用于主動獲取外部數(shù)據(jù)源�;被動調用模塊用于調用外部應用服務的數(shù)據(jù);發(fā)送端接口模塊分別由主動獲取模塊和被動調用模塊通過主動獲取的方式或被 動調用的方式由外部數(shù)據(jù)源或者外部應用服務調用此接口并向其傳輸數(shù)據(jù)�;所述接口模塊 包括 Socket、Webservice 和各種 API 接口�。發(fā)送端應用認證模塊根據(jù)預先注冊好的應用信息,對連接入接口的應用進行認 證����;所述認證包括應用ID和密碼認證、IP地址認證(可通配)��、網(wǎng)卡地址認證�����、連接時間認證、關鍵字過濾認證����。除了以上提到的用戶名和密碼是必須的之外,其他驗證方式都是可 選����,可以設置也可以不設置。發(fā)送端數(shù)據(jù)緩沖模塊經(jīng)過認證的數(shù)據(jù)進入數(shù)據(jù)緩沖模塊���,將所有的通過平臺傳 輸?shù)臄?shù)據(jù)以文本的文件保存在某一個本地文件夾中���。因此此流程是將各種數(shù)據(jù)保存成不同 的文本文件�����,用文件的名稱和文件頭作為應用的標識����,而預先為不同應用設定好的文件大 小也會在這里起作用,可以將大數(shù)據(jù)量的文件拆分成若干小文件�;發(fā)送端完整性驗證模塊用于文件保存以后驗證某一次傳輸數(shù)據(jù)的完整性;發(fā)送端文件傳輸模塊用于將完整的文本文件傳輸至擺渡文件夾中���;在傳輸數(shù)據(jù)文件時����,根據(jù)預先設定好的流量限制進行傳遞,在某一時間段內最大 傳輸文件的數(shù)量會影響到每次傳遞文件的多少�。文件擺渡模塊由隔離裝置的傳輸軟件控制,負責定時地將發(fā)送端計算機文件夾 下的數(shù)據(jù)保存至接收端計算機的某一個文件夾下���。接收端文件傳輸模塊負責將數(shù)據(jù)從文件擺渡模塊的擺渡文件夾傳輸至接收端緩 存文件夾���;接收端完整性驗證模塊用于在傳輸時驗證應用數(shù)據(jù)的完整性;接收端應用認證模塊對接收的應用信息進行認證���;所述認證包括應用ID和密 碼認證�、IP地址認證(可通配)��、網(wǎng)卡地址認證��、連接時間認證��、關鍵字過濾認證�����;接收端接口模塊用于輸出相應的數(shù)據(jù),或通過主動推送模塊����、被動調用模塊將相 應的數(shù)據(jù)發(fā)送到相應的外部數(shù)據(jù)源中。所述接口模塊包括SockeLWebservice和各種API 接口��。主動推送模塊將相應的數(shù)據(jù)推送到相應的外部數(shù)據(jù)源中���;被動調用模塊用于通過被動調用的方式送到相應的外部數(shù)據(jù)源中�����。前述的跨安全區(qū)應用服務隔離平臺��,其特征在于在所述文件擺渡模塊中�,同時將 配置和監(jiān)控信息也以文件擺渡的方式傳遞至接收端�。將創(chuàng)建三張表���,用于記錄和維護同步信息���。這三張表分別是前述的跨安全區(qū)應用服務隔離平臺,其特征在于所述在所述主動推送模塊中����,包 括以下三個數(shù)據(jù)表����,DTS_UPDATE_HIS_RECOR:更新歷史表�����,用于存儲目標數(shù)據(jù)庫中數(shù)據(jù)的變動信息���,每次同步結束以后�����,系統(tǒng)將刪除已被同步成功的數(shù)據(jù)��;DTS_UPDATE_MANAGE_TABLE 存儲系統(tǒng)中各個數(shù)據(jù)表的同步信息��,包括同步策 略�、同步時間間隔�、同步時間長度、當前已經(jīng)同步的時間�����;DTS_L0G_REC0RD_TABLE 存儲同步系統(tǒng)的運行日志信息,系統(tǒng)啟動架構掃描線程定期掃描數(shù)據(jù)庫�����,獲取當前系統(tǒng)中的新增表����,對每個新增 表,系統(tǒng)會向DTS_UPDATE_MANAGE_TABLE中登記其信息����,添加新增、刪除��、修改觸發(fā)器�����,用于 對該表的數(shù)據(jù)變動進行監(jiān)控��;系統(tǒng)啟動數(shù)據(jù)獲取線程�����,對每一張要求增量同步的表從DTS_UPDATE_HIS_RECOR 獲取該表在最近同步時間以后的規(guī)定時間長度內的增量數(shù)據(jù)�,根據(jù)增量數(shù)據(jù)的主鍵和類型 信息,到原表中查找其相關信息���,并且生成新增���、修改語句,并且將這些語句寫入到數(shù)據(jù)文件中��;系統(tǒng)啟動數(shù)據(jù)備份線程�,定期掃描指定目錄的數(shù)據(jù)文件,當系統(tǒng)發(fā)現(xiàn)有其同步的 數(shù)據(jù)文件時����,將會對這些數(shù)據(jù)文件進行分析,如果這些數(shù)據(jù)文件是數(shù)據(jù)時��,則執(zhí)行導入����;如 果是遠端處理結果,則刪除��;如果是請求文件���,則獲取數(shù)據(jù)�����,并且寫入到增量數(shù)據(jù)文件夾的 數(shù)據(jù)文件中����,系統(tǒng)同步失敗時,將不刪除數(shù)據(jù)文件����,重復執(zhí)行一定的次數(shù);如果該數(shù)據(jù)文件 超過一段的時間沒有被執(zhí)行�,將被移除到指定的目錄中,以便手工恢復����。前述的跨安全區(qū)應用服務隔離平臺,其特征在于所述文件擺渡模塊設置多個���,對 于一個接口產生的數(shù)據(jù)�,在多個隔離裝置上平衡傳輸數(shù)據(jù)��,以達到響應時間最優(yōu)化�。在所述發(fā)送端數(shù)據(jù)緩沖模塊中�����,對應用程序進行優(yōu)先級設置,按照優(yōu)先級高低進 行數(shù)據(jù)先后傳輸?shù)墓δ?����,同時如果請求文件大于配置值�,則拆分成多個文件進行傳輸,以利 于優(yōu)先級高的數(shù)據(jù)能夠盡快的被傳輸���。前述的跨安全區(qū)應用服務隔離平臺�����,其特征在于在所述主動推送模塊中�����,采用 DataReader技術分批讀取BLOB字段內容����,讀取完一條記錄以后立即將該記錄數(shù)據(jù)都寫入 到數(shù)據(jù)文件中���?�;谖锢砀綦x的應用數(shù)據(jù)傳輸負責將通過接口接入的連接進行身份認證�、文件 緩沖、流量控制����、文件分割和驗證,然后通過擺渡文件夾傳遞到接收方����。在接收方,通過文件 完整性和正確性驗證��,將文件從擺渡文件夾下載到緩沖文件夾���,等到有接口調用時����,先依然 要進行身份驗證����,然后將此數(shù)據(jù)返回給相應的接口調用者。保證只有被認證的應用�����,其數(shù)據(jù) 才能經(jīng)過本平臺進行交換。這樣通過阻斷其他一切網(wǎng)絡訪問�����,來保障網(wǎng)絡的安全��?���;诟綦x裝置的數(shù)據(jù)庫同步本發(fā)明采用觸發(fā)器的方式獲取增量數(shù)據(jù)�����,在任何情 況下�,同步系統(tǒng)不會無故刪除原有數(shù)據(jù)庫中的數(shù)據(jù);系統(tǒng)第一次運行時����,將會自動掃描數(shù) 據(jù)庫中現(xiàn)有數(shù)據(jù)表,根據(jù)配置文件中的要同步的表的Schemas(可有多個)��,自動創(chuàng)建該 Schemas下的各個數(shù)據(jù)表的(新增�、刪除����、修改)觸發(fā)器�����;系統(tǒng)運行過程中���,會動態(tài)掃描用戶 表��。當系統(tǒng)發(fā)現(xiàn)新增的數(shù)據(jù)表�����,且該表屬于配置文件中定義的Schema����,則動態(tài)創(chuàng)建該表的 (新增�����、刪除��、修改)觸發(fā)器;上述觸發(fā)器分別在數(shù)據(jù)庫接收到插入數(shù)據(jù)�、更新數(shù)據(jù)、刪除數(shù) 據(jù)消息時����,自動將變動的記錄的主鍵記錄到DTS_UPDATE_HIS_RECOR表中,并且記錄數(shù)據(jù)變 動的類型���,從而完成了數(shù)據(jù)表增量數(shù)據(jù)的實時采集���;同步系統(tǒng)定時掃描DTS_UPDATE_HIS_ RECOR表中的數(shù)據(jù),完成了增量數(shù)據(jù)的準實時獲取����。WebService透明代理提供同步和異步兩種方式的調用��,提供對Web Service數(shù) 據(jù)訪問的透明支持���,針對某些原來直接調用內部Web Service獲取數(shù)據(jù)的情況�����,可以采取同 步的Web Service調用方式�����,通過將Web Service部署到信息內網(wǎng)���,應用程序部署到信息外 網(wǎng)��。在信息外網(wǎng)的應用程序將對原Web Service的調用轉發(fā)給隔離平臺軟件����,隔離平臺將請 求擺渡到內網(wǎng)以后����,解析并且轉發(fā)給原Web Service,并且將調用結果打包擺渡到外網(wǎng)側�, 從而實現(xiàn)應用程序對內網(wǎng)數(shù)據(jù)的無縫查詢和修改。如果應用程序沒有使用WEB Service來 獲取和處理數(shù)據(jù)����,則同步方式不可使用。通過WebService方式異步傳輸數(shù)據(jù)�,即發(fā)送和接收分別進行。此種方式無論是發(fā) 送還是接收都要通過第三方應用程序訪問預先為該應用定義好的WebService地址�����;此種 方式支持字節(jié)流和DataObject對象兩種數(shù)據(jù)格式。系統(tǒng)提供了多種語言的API及SOCKET�、FTP、WebService的接入方式����,為各種應用程序的接入提供了方便。多個隔離裝置間傳輸量的負載平衡通過設置相應的策略�,平衡的利用多個隔 離裝置的傳輸通道的傳輸能力,對于一個接口產生的數(shù)據(jù)�,可以在多個隔離裝置上平衡 傳輸數(shù)據(jù),以達到響應時間最優(yōu)化�;也可以設定一個隔離裝置只用于傳輸一類數(shù)據(jù)(如 WebService請求以及響應),其它類型的數(shù)據(jù)不能占用該隔離裝置的傳輸通道�����。對應用程序進行優(yōu)先級設置����,可以按照優(yōu)先級高低進行數(shù)據(jù)先后傳輸?shù)墓δ?���,?時平臺在緩沖接口生成的數(shù)據(jù)時,如果請求文件大于1M(可配置)���,則需要拆分成1M(配 置)大小的多個文件進行傳輸���,以利于優(yōu)先級高的數(shù)據(jù)能夠盡快的被傳輸��。為確保數(shù)據(jù)傳輸?shù)男时景l(fā)明采用DataReader技術分批讀取BLOB字段內容����,讀 取完一條記錄以后立即將該記錄數(shù)據(jù)都寫入到數(shù)據(jù)文件中���;對類型為BLOB數(shù)據(jù)的數(shù)據(jù)文 件�����,讀取完一條記錄的內容以后�,將其數(shù)據(jù)更新到數(shù)據(jù)庫�����,這里的更新使用帶參數(shù)的SQL語 法���,采用DBCommand和DBParameter的方式�。通過上述方式����,解決了 BLOB數(shù)據(jù)占用內存大���、 讀取速度慢的問題。為了確保數(shù)據(jù)傳輸?shù)母叨劝踩员景l(fā)明采用以下方式來保證數(shù)據(jù)安全����,包括(1)網(wǎng)絡安全系統(tǒng)默認僅會占用6631非標準端口(可配置),不會監(jiān)控其他任何 端口 ���;Webservice網(wǎng)絡代理必須設置其使用80端口��;(2)數(shù)據(jù)安全所有傳輸數(shù)據(jù)通訊全部采用自定義協(xié)議�,無任何明文傳輸���;服務器 端連接的數(shù)據(jù)庫信息�����、網(wǎng)絡信息和各種配置信息對客戶端絕緣,不會發(fā)送任何類似安全信 息給客戶端�����;服務器端涉及密碼安全等信息,全部采用加密存儲�����,無任何明文存放����;(3)操作安全性未預留任何后門協(xié)議,系統(tǒng)對于未授權的用戶禁止訪問或修改�����; 服務器可以設置客戶端訪問權限���,允許IP和網(wǎng)卡綁定���,允許設置傳輸速度;整個系統(tǒng)在獨 立服務進程內無人值守運行��,即使不登錄��,也可以提供網(wǎng)絡服務����。為了確保數(shù)據(jù)同步后的完整性和一致性本發(fā)明采用完整的數(shù)據(jù)備份功能��,將所 有操作以文本形式保存在備份文件夾下�����,以備后期數(shù)據(jù)的核查���;同時提供了手動對指定的 數(shù)據(jù)表進行導入導出的功能。導入將從遠端數(shù)據(jù)庫的相應表的指定范圍內查詢數(shù)據(jù)����,并且 將結果插入到本地數(shù)據(jù)庫;導出是指將本地數(shù)據(jù)庫中的指定表的某個時間段的數(shù)據(jù)查詢并 且導出到數(shù)據(jù)文件中����,并且將該數(shù)據(jù)文件通過平臺傳輸?shù)竭h端網(wǎng)絡��,將數(shù)據(jù)插入到遠端數(shù) 據(jù)庫的相應表中���。導入導出的數(shù)據(jù)在插入到目標數(shù)據(jù)表之前�,需要刪除目標數(shù)據(jù)表中相應 主鍵范圍內的數(shù)據(jù)。本發(fā)明所達到的有益效果本發(fā)明為跨安全區(qū)的應用服務隔離改造提供一個安全傳輸?shù)钠脚_���,實現(xiàn)了一系列 的API給上層應用程序使用���,使得上層應用程序可以以安全、可控����、透明的方式在信息內外 網(wǎng)之間進行信息的雙向傳輸;提供了授權機制對可以使用傳輸平臺的上層應用程序進行控 制�;平臺同時提供了友好的WEB操作界面給系統(tǒng)管理員進行通信授權、策略等信息的配置 以及流量���、運行日志等信息的監(jiān)控和管理����。
圖1是本發(fā)明的總體架構圖���;圖2是本發(fā)明的數(shù)據(jù)庫同步功能流程7
圖3是本發(fā)明的數(shù)據(jù)庫同步結構圖��。
具體實施例方式以下結合附圖對本發(fā)明作具體的介紹圖1是本發(fā)明的總體架構圖���,如圖所示,系統(tǒng)按照如下流程進行數(shù)據(jù)傳輸1.系統(tǒng)包括不同的接口供各種應用調用���,這里的接口包括SocketWebservice和各種API�����。分別由主動獲取模塊和被動調用模塊通過主動獲取的方式或被動調用的方式由 外部數(shù)據(jù)源或者外部應用服務調用此接口并向其傳輸什么樣的數(shù)據(jù)��。2.根據(jù)預先注冊好的應用信息���,平臺對連接入接口的應用進行認證���,這里的認證 包括應用ID和密碼認證、IP地址認證(可通配)�����、網(wǎng)卡地址認證�����、連接時間認證�、關鍵字過 濾認證。除了以上提到的用戶名和密碼是必須的之外����,其他驗證方式都是可選,可以設置也 可以不設置。3.如果數(shù)據(jù)經(jīng)過認證��,則可以通過平臺進行傳遞����,下一步進入數(shù)據(jù)緩沖區(qū)����,所有的 通過平臺傳輸?shù)臄?shù)據(jù)都會以文本的文件保存在某一個運行此平臺的本地文件夾中。因此此 流程是將各種數(shù)據(jù)保存成不同的文本文件��,用文件的名稱和文件頭作為應用的標識��,而預 先為不同應用設定好的文件大小也會在這里起作用���,可以將大數(shù)據(jù)量的文件拆分成若干小 文件�����。4.文件保存完以后�,首先要做完整性驗證�����,在文件傳輸模塊中,會驗證某一次傳輸 數(shù)據(jù)的完整性并將完整的文本文件傳輸至擺渡文件夾中��,在傳輸?shù)耐瑫r��,還需要根據(jù)預先 設定好的流量限制進行傳遞�,在某一時間段內最大傳輸文件的數(shù)量會影響到每次傳遞文件 的多少。5.文件擺渡模塊由另外的系統(tǒng)控制��,負責定時的將發(fā)送端計算機文件夾下的數(shù)據(jù) 保存至接收端計算機的某一個文件夾下�����。6.在接收端�����,文件傳輸負責將數(shù)據(jù)從擺渡文件夾傳輸至平臺自己的緩存文件夾�, 并在傳輸時驗證其完整性,只能等到某一個應用的數(shù)據(jù)完全傳遞完畢后才進行如上操作�。7.最后,在接收端的已經(jīng)注冊過的應用可以通過接收端接口獲取相應的數(shù)據(jù)���,也 可以通過主動推送模塊將相應的數(shù)據(jù)推送到相應的外部數(shù)據(jù)源中���。這里的獲取方式也是接 收端的應用進行主動調用�。安全認證的方式如發(fā)送端所述���。8.另外��,在整個流程中����,通過系統(tǒng)可以實時檢測到各應用傳輸數(shù)據(jù)的情況和各種 日志�����。同時配置和監(jiān)控信息也可以通過發(fā)送端通過文件擺渡的方式傳遞至接收端����。圖2是數(shù)據(jù)庫同步功能流程圖�,系統(tǒng)第一次運行時,將創(chuàng)建三張表�,用于記錄和維 護同步信息。這三張表分別是> DTS_UPDATE_HIS_RECOR 更新歷史表�����,用于存儲目標數(shù)據(jù)庫中數(shù)據(jù)的變動信息�����, 每次同步結束以后,系統(tǒng)將刪除已被同步成功的數(shù)據(jù)���。> DTS_UPDATE_MANAGE_TABLE 存儲系統(tǒng)中各個數(shù)據(jù)表的同步信息��,包括同步策 略(不同步����、完全同步��、增量同步)����、同步時間間隔、同步時間長度��、當前已經(jīng)同步的時間等����。> DTS_L0G_REC0RD_TABLE 存儲同步系統(tǒng)的運行日志信息。系統(tǒng)啟動架構掃描線程定期掃描數(shù)據(jù)庫�,獲取當前系統(tǒng)中的新增表(已經(jīng)創(chuàng)建 但尚未在DTS_UPDATE_MANAGE_TABLE登記的表)。對每個新增表��,系統(tǒng)會向DTS_UPDATE_MANAGE_TABLE中登記其信息,添加新增��、刪除����、修改觸發(fā)器,用于對該表的數(shù)據(jù)變動進行監(jiān) 控�。系統(tǒng)啟動數(shù)據(jù)獲取線程(此處依據(jù)表的數(shù)量,將可能創(chuàng)建多線程)�。對每一張要求 增量同步的表從DTS_UPDATE_HIS_RECOR獲取該表在最近同步時間以后的規(guī)定時間長度內 的增量數(shù)據(jù)。根據(jù)增量數(shù)據(jù)的主鍵和類型信息�,到原表中查找其相關信息,并且生成新增��、 修改語句(對于刪除類型的記錄�,則直接生成)�����。并且將這些語句寫入到數(shù)據(jù)文件中���。系統(tǒng)啟動數(shù)據(jù)備份線程���,定期掃描指定目錄的數(shù)據(jù)文件�。當系統(tǒng)發(fā)現(xiàn)有其同步的 數(shù)據(jù)文件時�����,將會對這些數(shù)據(jù)文件進行分析����。如果這些數(shù)據(jù)文件是數(shù)據(jù)時,則執(zhí)行導入����。如 果是遠端處理結果,則刪除�。如果是請求文件,則獲取數(shù)據(jù)�,并且寫入到增量數(shù)據(jù)文件夾的 數(shù)據(jù)文件中。系統(tǒng)同步失敗時����,將不刪除數(shù)據(jù)文件,重復執(zhí)行一定的次數(shù)��。如果該數(shù)據(jù)文件 超過一段的時間沒有被執(zhí)行�,將被移除到指定的目錄中,以便手工恢復�。出于數(shù)據(jù)安全方面的考慮���,對同一張表的同步是單向的,即只能對網(wǎng)絡隔離裝置 一側的數(shù)據(jù)進行變動�。如果原有業(yè)務系統(tǒng)有這方面的需求,則需要對原有業(yè)務系統(tǒng)進行改 造�����。圖3是數(shù)據(jù)庫同步的結構圖����,如圖所示,完成一次數(shù)據(jù)庫增量數(shù)據(jù)的同步步驟如 下1�、同步服務器定期獲取指定數(shù)據(jù)庫的增量數(shù)據(jù),生成相應的數(shù)據(jù)文件����;2�����、同步服務器通過調用跨安全區(qū)應用服務隔離平臺軟件的API將數(shù)據(jù)文件傳輸 到網(wǎng)絡隔離裝置的另一側���;3���、在網(wǎng)絡隔離裝置另一側的�,同步服務器調用跨安全區(qū)應用服務隔離平臺的API 獲取傳遞過來的數(shù)據(jù)����;4、同步服務器將這些數(shù)據(jù)寫入到鏡像數(shù)據(jù)庫����。以上已以較佳實施例公布本發(fā)明如上,然其并非用以限制本發(fā)明�����,凡采取等同替 換或等效變換的方式所獲得的技術方案���,均落在本發(fā)明的保護范圍內�����。
9
權利要求
一種跨安全區(qū)應用服務隔離平臺��,其特征在于�����,包括以下各功能模塊主動獲取模塊用于主動獲取外部數(shù)據(jù)源��;被動調用模塊用于調用外部應用服務的數(shù)據(jù)����;發(fā)送端接口模塊分別由主動獲取模塊和被動調用模塊通過主動獲取的方式或被動調用的方式由外部數(shù)據(jù)源或者外部應用服務調用此接口并向其傳輸數(shù)據(jù);發(fā)送端應用認證模塊根據(jù)預先注冊好的應用信息��,對連接入接口的應用進行認證�;發(fā)送端數(shù)據(jù)緩沖模塊經(jīng)過認證的數(shù)據(jù)進入數(shù)據(jù)緩沖模塊,將所有的通過平臺傳輸?shù)臄?shù)據(jù)以文本的文件保存在某一個本地文件夾中�;發(fā)送端完整性驗證模塊用于文件保存以后驗證某一次傳輸數(shù)據(jù)的完整性;發(fā)送端文件傳輸模塊用于將完整的文本文件傳輸至擺渡文件夾中���;文件擺渡模塊由隔離裝置的傳輸軟件控制�,負責定時地將發(fā)送端計算機文件夾下的數(shù)據(jù)保存至接收端計算機的某一個文件夾下����;接收端文件傳輸模塊負責將數(shù)據(jù)從文件擺渡模塊的擺渡文件夾傳輸至接收端緩存文件夾;接收端完整性驗證模塊在接收端用于在傳輸時驗證應用數(shù)據(jù)的完整性���;接收端應用認證模塊對接收的應用信息進行認證;接收端接口模塊用于輸出相應的數(shù)據(jù)�,或通過主動推送模塊���、被動調用模塊將相應的數(shù)據(jù)發(fā)送到相應的外部數(shù)據(jù)源中;主動推送模塊將相應的數(shù)據(jù)推送到相應的外部數(shù)據(jù)源中�����;被動調用模塊用于通過被動調用的方式送到相應的外部數(shù)據(jù)源中��。
2.根據(jù)權利要求1所述的跨安全區(qū)應用服務隔離平臺�����,其特征在于所述發(fā)送端接口 模塊和接收端接口模塊包括Socket�、Webservice和各種API接口。
3.根據(jù)權利要求1所述的跨安全區(qū)應用服務隔離平臺����,其特征在于在發(fā)送端應用認 證模塊和接收端應用認證模塊中,所述認證包括應用ID和密碼認證�、IP地址認證、網(wǎng)卡地 址認證���、連接時間認證����、關鍵字過濾認證。
4.根據(jù)權利要求1或2或3所述的跨安全區(qū)應用服務隔離平臺�����,其特征在于在所述 文件擺渡模塊中�,同時將配置和監(jiān)控信息也以文件擺渡的方式傳遞至接收端。
5.根據(jù)權利要求1或2或3所述的跨安全區(qū)應用服務隔離平臺��,其特征在于所述主 動推送模塊包括以下三個數(shù)據(jù)表�,DTS_UPDATE_HIS_RECOR:更新歷史表,用于存儲目標數(shù)據(jù)庫中數(shù)據(jù)的變動信息��,每次同 步結束以后�,系統(tǒng)將刪除已被同步成功的數(shù)據(jù);DTS_UPDATE_MANAGE_TABLE 存儲系統(tǒng)中各個數(shù)據(jù)表的同步信息��,包括同步策略���、同 步時間間隔����、同步時間長度���、當前已經(jīng)同步的時間����;DTS_L0G_REC0RD_TABLE 存儲同步系統(tǒng)的運行日志信息���,啟動架構掃描線程定期掃描數(shù)據(jù)庫����,獲取當前系統(tǒng)中的新增表�����,對每個新增表����,系統(tǒng)會 向DTS_UPDATE_MANAGE_TABLE中登記其信息,添加新增���、刪除���、修改觸發(fā)器,用于對該表的 數(shù)據(jù)變動進行監(jiān)控���;啟動數(shù)據(jù)獲取線程��,對每一張要求增量同步的表從DTS_UPDATE_HIS_RECOR獲取該表 在最近同步時間以后的規(guī)定時間長度內的增量數(shù)據(jù)��,根據(jù)增量數(shù)據(jù)的主鍵和類型信息����,到原表中查找其相關信息,并且生成新增�����、修改語句��,并且將這些語句寫入到數(shù)據(jù)文件中���;啟動數(shù)據(jù)備份線程�,定期掃描指定目錄的數(shù)據(jù)文件���,當系統(tǒng)發(fā)現(xiàn)有其同步的數(shù)據(jù)文件 時�����,將會對這些數(shù)據(jù)文件進行分析�,如果這些數(shù)據(jù)文件是數(shù)據(jù)時,則執(zhí)行導入�����;如果是遠端 處理結果�,則刪除��;如果是請求文件���,則獲取數(shù)據(jù)�����,并且寫入到增量數(shù)據(jù)文件夾的數(shù)據(jù)文件 中��,系統(tǒng)同步失敗時����,將不刪除數(shù)據(jù)文件����,重復執(zhí)行一定的次數(shù);如果該數(shù)據(jù)文件超過一段 的時間沒有被執(zhí)行����,將被移除到指定的目錄中����,以便手工恢復����。
6. 根據(jù)權利要求1或2或3所述的跨安全區(qū)應用服務隔離平臺,其特征在于所述文 件擺渡模塊設置多個�����,對于一個接口產生的數(shù)據(jù)��,在多個隔離裝置上平衡傳輸數(shù)據(jù)�����。
7.根據(jù)權利要求1或2或3所述的跨安全區(qū)應用服務隔離平臺�����,其特征在于在所述 發(fā)送端數(shù)據(jù)緩沖模塊中����,對應用程序進行優(yōu)先級設置��,按照優(yōu)先級高低進行數(shù)據(jù)先后傳輸 的功能����,同時如果請求文件大于設置值�����,則拆分成多個文件進行傳輸�����。
8.根據(jù)權利要求1或2或3所述的跨安全區(qū)應用服務隔離平臺���,其特征在于在所述 主動推送模塊中,采用DataReader技術分批讀取BLOB字段內容�����,讀取完一條記錄以后立即 將該記錄數(shù)據(jù)都寫入到數(shù)據(jù)文件中�。
全文摘要
本發(fā)明為跨安全區(qū)的應用服務系統(tǒng)隔離改造提供了一個安全數(shù)據(jù)服務的基礎平臺,可支持多種語言的應用程序接入����,支持關系性數(shù)據(jù)庫增量數(shù)據(jù)雙向同步����,提供WebService透明代理���。本發(fā)明解決了在電力系統(tǒng)網(wǎng)絡劃分為基于物理隔離裝置的內��、外網(wǎng)以后��,兩個區(qū)域的網(wǎng)絡并不互相連通而導致的數(shù)據(jù)和信息無法正常傳遞�����,從而使得電力系統(tǒng)原有的應用服務無法正常使用的現(xiàn)象����。
文檔編號H04L29/06GK101820449SQ20101015090
公開日2010年9月1日 申請日期2010年4月20日 優(yōu)先權日2010年4月20日
發(fā)明者孫大雁, 尹飛, 熊政, 祝永晉, 蘇大威, 謝林楓, 鄭海雁, 陳玉權, 霍雪松, 黃強 申請人:江蘇電力調度通信中心;江蘇方天電力技術有限公司