[发明专利]一种适用于电力专网的通用网络安全接入区系统及报文处理方法

权利要求书

1.一种适用于电力专网的通用网络安全接入区系统，用于内网区与外网区之间的连接通信，其特征是：包括通用接入装置、电力专用正向网络隔离装置和电力专用反向网络隔离装置：

通用接入装置包括主机连接端、报文输入端、报文输出端和报文处理模块；通用接入装置数量为2个，两个通用接入装置的主机连接端口分别连接内网主机和外网主机；电力专用正向网络隔离装置的内网口和外网口，分别连接内网侧通用接入装置报文输出端口和外网侧通用接入装置的报文输入端口；电力专用反向网络隔离装置的外网口和内网口，分别连接外网侧通用接入装置的报文输出端口和内网侧通用接入装置的报文输入端口；

通用接入装置与电力专用正向/反向网络隔离装置之间基于私有协议进行通信，通用接入装置与外网主机/内网主机之间基于网络协议进行通信；

通用接入装置的报文处理模块对接收到的报文数据进行处理，包括：

1）对主机连接端端口接收到报文数据进行网络协议剥离；

根据电力专用正/反向网络隔离装置的私有通信规约，对报文进行私有协议封装；

将私有协议封装后的报文，通过报文输出端口传输至电力专用正/反向网络隔离装置；

2）对报文输入端口接收到的私有协议报文进行私有协议剥离；

根据外网侧/内网侧数据传输网络协议，对私有协议剥离后的报文数据进行网络协议封装；

将网络协议封装后的报文，通过主机连接端输出至外网主机/内网主机。

2.根据权利要求1所述的适用于电力专网的通用网络安全接入区系统，其特征是，通用接入装置还包括加密UKEY连接端口，报文数据处理模块检测加密UKEY的接入状态，利用已接入的加密UKEY对网络协议/私有协议剥离后的报文数据进行报文加密/解密。

3.根据权利要求1所述的适用于电力专网的通用网络安全接入区系统，其特征是，通用接入装置还包括认证UKEY连接端口，报文数据处理模块检测认证UKEY的接入状态，利用已接入的认证UKEY对私有协议封装前的报文数据进行认证签名，或对私有协议剥离后的报文数据进行认证验签。

4.根据权利要求1所述的适用于电力专网的通用网络安全接入区系统，其特征是，通用接入装置的报文数据处理模块还包括ARP报文处理单元，通用接入装置的报文数据处理模块利用ARP报文处理单元，在内网/外网侧主机与正向/反向隔离装置之间传输ARP请求报文和ARP应答报文。

5.根据权利要求1所述的适用于电力专网的通用网络安全接入区系统，其特征是，所述内网区为电力系统生产控制大区；所述外网区为无线通信网、电力企业其它数据网（非电力调度数据网）或者外部公用数据网。

6.一种适用于电力专网的通用网络安全接入区的报文处理方法，其特征是：

A．报文传输方向为外网区/内网区传输至安全接入区时，包括：

S11，获取外网主机/内网主机输出的网络协议报文；

S12，对网络协议报文进行网络协议剥离；

S13，检测是否有加密UKEY接入，若是则利用加密UKEY对协议剥离后的报文数据进行加密；

S14，检测是否有认证UKEY接入，若是则利用认证UKEY对加密后的报文数据进行签名认证；

S15，根据电力专用正/反向网络隔离装置的私有通信规约，对报文数据进行私有协议封装；

S16，将私有协议封装后的报文，通过报文输出端口传输至电力专用正/反向网络隔离装置；

B．报文传输方向为安全接入区传输至内网区/外网区时，包括：

S21，获取正/反向网络隔离装置输出的私有协议报文；

S22，对私有协议报文进行私有协议剥离；

S23，对于经过签名认证的报文，检测是否有认证UKEY接入，若是则利用验证UKEY对报文进行验签认证；

S24，对于经过加密的报文，检测是否有加密UKEY接入，若是则利用加密UKEY对报文进行解密；

S25，根据外网侧/内网侧数据传输网络协议，对报文数据进行网络协议封装；

S26，将网络协议封装后的报文，输出至外网主机/内网主机。