[发明专利]一种适用于电力专网的通用网络安全接入区系统及报文处理方法

说明书

本发明公开一种适用于电力专网的通用网络安全接入区系统及报文处理方法，安全接入区系统包括两相同的通用接入装置、电力专用正向网络隔离装置和电力专用反向网络隔离装置组成。通用接入装置用作内网区和外网区主机的报文代理，将原始报文转换为可以通过电力专用正向网络隔离装置和电力专用反向网络隔离装置的报文，从而实现对内网区和外网区主机的无感接入。电力专用正向/反向网络隔离装置用做物理隔离和协议转换。本发明具有系统结构简单、不影响原接入方式、降低接入难度、通用接入设备免配置、降低网络故障风险、便于运行维护的优点，可在内网区和外网区需要纵向联接的时候，为内网区提供安全接入的保护。

技术领域

本发明涉及电力系统数据通信安全技术领域，特别是一种适用于电力专网的通用网络安全接入区系统及报文处理方法。

背景技术

生产控制大区的个别业务系统或其功能模块（或子系统）在与其终端的纵向联接中使用无线通信网、电力企业其它数据网（非电力调度数据网）或者外部公用数据网的虚拟专用网络方式（VPN）等进行通信的，其安全防护水平低于生产控制大区内其他系统时，应当设立安全接入区。安全接入区与生产控制大区中其他部分的联接处必须设置电力专用横向单向安全隔离装置。

现有安全接入区的典型实现方式如图1所示，安全接入区由接入服务器、代理服务器、电力专用正向网络隔离装置和电力专用反向网络隔离装置组成。接入服务器和代理服务器主要用于实现代理通信，并将报文转存为文件，通过电力专用正向网络隔离装置和电力专用反向网络隔离装置传到对侧。由于内网区和外网区主机的通信规约是可变的，通常针对电力系统规约（如IEC104，DNP规约等）需要单独开发接入服务器和代理服务器的程序。对于复杂的规约来说，开发工作量大，且程序的复杂性不利于后期的维护及规约的扩展。另一方面，接入服务器和代理服务器将报文转化为文件后，需要等待电力专用正向网络隔离装置或电力专用反向网络隔离装置配套软件的扫描周期，才能将文件传到另一侧，这无疑增加了整个通信过程的延时。

发明内容

本发明的目的是，提供一种适用于电力专网的通用网络安全接入区系统及报文处理方法，简化安全接入区的设计开发，减小整个通信过程的延时。

本发明采取的技术方案为：一种适用于电力专网的通用网络安全接入区系统，用于内网区与外网区之间的连接通信，包括通用接入装置、电力专用正向网络隔离装置和电力专用反向网络隔离装置：

通用接入装置包括主机连接端、报文输入端、报文输出端和报文处理模块；通用接入装置数量为2个，两个通用接入装置的主机连接端口分别连接内网主机和外网主机；电力专用正向网络隔离装置的内网口和外网口，分别连接内网侧通用接入装置报文输出端口和外网侧通用接入装置的报文输入端口；电力专用反向网络隔离装置的外网口和内网口，分别连接外网侧通用接入装置的报文输出端口和内网侧通用接入装置的报文输入端口；

通用接入装置与电力专用正向/反向网络隔离装置之间基于私有协议进行通信，通用接入装置与外网主机/内网主机之间基于网络协议进行通信；

通用接入装置的报文处理模块对接收到的报文数据进行处理，包括：

1）对主机连接端端口接收到报文数据进行网络协议剥离；

根据电力专用正/反向网络隔离装置的私有通信规约，对报文进行私有协议封装；

将私有协议封装后的报文，通过报文输出端口传输至电力专用正/反向网络隔离装置；

2）对报文输入端口接收到的私有协议报文进行私有协议剥离；

根据外网侧/内网侧数据传输网络协议，对私有协议剥离后的报文数据进行网络协议封装；

将网络协议封装后的报文，通过主机连接端输出至外网主机/内网主机。