基于中間件的多源數(shù)據(jù)交換系統(tǒng)

李偉偉，張 濤，馬媛媛，周 誠

(國網(wǎng)智能電網(wǎng)研究院,江蘇 南京 210003)

基于中間件的多源數(shù)據(jù)交換系統(tǒng)

李偉偉，張 濤，馬媛媛，周 誠

(國網(wǎng)智能電網(wǎng)研究院,江蘇 南京 210003)

隨著智能電網(wǎng)互動化的發(fā)展，信息內(nèi)外網(wǎng)邊界交互數(shù)據(jù)種類呈現(xiàn)多樣化趨勢，除了傳統(tǒng)的各種數(shù)據(jù)庫等結(jié)構(gòu)化數(shù)據(jù)以外，一些以電子文檔數(shù)據(jù)為代表的非結(jié)構(gòu)化數(shù)據(jù)也將頻繁地在信息內(nèi)外網(wǎng)之間進(jìn)行交互。為更好地應(yīng)對電力系統(tǒng)業(yè)務(wù)系統(tǒng)數(shù)據(jù)交換的多源化、文件過濾復(fù)雜化的需求，文中詳細(xì)設(shè)計了一種基于中間件的插件調(diào)度和管理體系，各種定制安全中間件實現(xiàn)不同的解析和過濾功能，并由中間件調(diào)度器調(diào)度形成統(tǒng)一、高效、安全的過濾能力。采用該方法實現(xiàn)的基于中間件的數(shù)據(jù)交換系統(tǒng)可在確保電力信息內(nèi)網(wǎng)安全的前提下，滿足業(yè)務(wù)系統(tǒng)多源數(shù)據(jù)交換的需求。系統(tǒng)測試結(jié)果表明，通過該方法可以實現(xiàn)多源數(shù)據(jù)交換，文件接收和標(biāo)簽過濾等各項功能和性能滿足電力系統(tǒng)數(shù)據(jù)交換要求。

中間件；安全；數(shù)據(jù)交換；隔離

0 引 言

隨著病毒和黑客攻擊造成的危害越來越大，網(wǎng)絡(luò)安全成為人們關(guān)注的焦點。Internet為電力系統(tǒng)的數(shù)據(jù)交換提供了方便快捷的途徑，同時也帶來了安全威脅。電力系統(tǒng)中許多重要的內(nèi)部網(wǎng)絡(luò)都采取了與Internet隔離[1-3]的方式，避免了來自Internet的各類侵?jǐn)_,也阻斷了必需的信息交換。

數(shù)據(jù)交換系統(tǒng)[4-8]可以在安全內(nèi)網(wǎng)與非信任外網(wǎng)在物理隔離的前提下,安全完成兩網(wǎng)之間的信息交換功能。在對非法網(wǎng)絡(luò)通路進(jìn)行安全網(wǎng)絡(luò)隔離的同時，還能保證正常、合法的網(wǎng)絡(luò)應(yīng)用，從而實現(xiàn)既保證正常、合法的網(wǎng)絡(luò)應(yīng)用，又保證關(guān)鍵網(wǎng)絡(luò)資源的安全網(wǎng)絡(luò)隔離的理想目標(biāo)。

1 電力系統(tǒng)數(shù)據(jù)交換面臨的問題

隨著智能電網(wǎng)互動化的發(fā)展，信息外網(wǎng)展現(xiàn)的內(nèi)容越來越豐富，除了傳統(tǒng)的各種數(shù)據(jù)庫等結(jié)構(gòu)化數(shù)據(jù)以外，一些以電子文檔數(shù)據(jù)為代表的非結(jié)構(gòu)化數(shù)據(jù)也將頻繁地在信息內(nèi)外網(wǎng)之間進(jìn)行交互。電子商務(wù)平臺、財務(wù)管控系統(tǒng)、基建管控中的現(xiàn)場管理系統(tǒng)、統(tǒng)計系統(tǒng)及綜合管理系統(tǒng)等各種業(yè)務(wù)信息系統(tǒng)中均涉及到多種類型的電子文檔，迫切需要對多源數(shù)據(jù)交換技術(shù)進(jìn)行研究，使之在不降低公司原有信息安全“三道防線”隔離強度與效率的情況下，滿足智能電網(wǎng)的“互動”業(yè)務(wù)需求，將成為堅強智能電網(wǎng)信息安全保障體系建設(shè)過程中迫切需要思考和解決的問題。

在信息內(nèi)外網(wǎng)間交換多源數(shù)據(jù)是現(xiàn)實且迫切的需求。然而，多源數(shù)據(jù)格式各異、數(shù)據(jù)量極大，同時包含大量敏感信息，是病毒、木馬的理想載體。因此多源數(shù)據(jù)交換既有迫切需求，又蘊含安全風(fēng)險。如何構(gòu)建一個交換體系，在確保信息安全的前提下，適應(yīng)各種多源數(shù)據(jù)格式，滿足大數(shù)據(jù)量的交換需求，以合理的性能提供信息內(nèi)外網(wǎng)間的多源數(shù)據(jù)交換功能。

2 基于中間件的多源數(shù)據(jù)交換系統(tǒng)

多源數(shù)據(jù)交換功能涉及的過濾技術(shù)更加復(fù)雜和多元化，因管理要求的變化、文件格式的不同都可能會產(chǎn)生新的過濾需求。為了更好地應(yīng)對這些過濾需求，文中引入基于中間件[9-10]的插件調(diào)度和管理體系，各種安全中間件實現(xiàn)不同的解析和過濾功能，并由調(diào)度器調(diào)度形成統(tǒng)一的安全過濾能力。

通過中間件技術(shù)，可靈活擴展多種協(xié)議、多種數(shù)據(jù)格式、多種過濾算法。研究基于標(biāo)準(zhǔn)中間件的多種安全過濾方法組合技術(shù)，可靈活組合基于等級標(biāo)簽的過濾、基于協(xié)議的過濾、基于特征的過濾和基于內(nèi)容識別的過濾等多種安全過濾技術(shù)[11-14]。

2.1 系統(tǒng)架構(gòu)

多源數(shù)據(jù)交換系統(tǒng)框架包括驅(qū)動、接收模塊、安全過濾中間件、配置管理和監(jiān)控頁面等模塊。多源數(shù)據(jù)經(jīng)過驅(qū)動預(yù)處理后，使用私有協(xié)議，添加標(biāo)簽信息，經(jīng)加密通道送至隔離服務(wù)接收模塊，在經(jīng)過安全過濾中間件過濾后，交換至目標(biāo)文件服務(wù)器。

該系統(tǒng)架構(gòu)可在業(yè)務(wù)系統(tǒng)和文件服務(wù)器之間實現(xiàn)安全的數(shù)據(jù)交換。業(yè)務(wù)系統(tǒng)作為交換的發(fā)起方，文件服務(wù)器作為數(shù)據(jù)的接收方。該體系可實現(xiàn)雙向數(shù)據(jù)交換，且內(nèi)外網(wǎng)均可發(fā)起數(shù)據(jù)交換請求。所不同的是，自內(nèi)而外的數(shù)據(jù)交換主要關(guān)注的是數(shù)據(jù)防泄漏，而自外而內(nèi)的數(shù)據(jù)交換則更關(guān)注對惡意文件的過濾。

基于中間件插件的多源數(shù)據(jù)交換系統(tǒng)設(shè)計架構(gòu)如圖1所示。

圖1 基于中間件插件的多源數(shù)據(jù)交換系統(tǒng)設(shè)計架構(gòu)

2.2 處理流程

業(yè)務(wù)系統(tǒng)通過代理驅(qū)動提交文件交換請求，服務(wù)端的文件接收進(jìn)程接收文件交換請求，將文件緩存在本地文件緩沖區(qū)，同時在進(jìn)程內(nèi)部的任務(wù)隊列中生成文件交換任務(wù)，然后向客戶端報告文件交換請求已受理。服務(wù)端可同時存在多個過濾和執(zhí)行進(jìn)程，每個過濾和執(zhí)行進(jìn)程可獨立完成文件的過濾和交換任務(wù)。過濾和執(zhí)行進(jìn)程向文件接收進(jìn)程請求任務(wù)列表，并依次處理列表中的每個任務(wù)。過濾和執(zhí)行進(jìn)程的核心是中間件調(diào)度線程，該線程按照配置文件的要求依次調(diào)用各過濾插件執(zhí)行各項過濾任務(wù)，最后將通過過濾的文件提交給文件存儲線程，并完成交換。

2.3 功能模塊

基于中間件插件的多源數(shù)據(jù)交換系統(tǒng)主要包含安全驅(qū)動、文件接收模塊、過濾中間件調(diào)度、存儲適配器、配置管理和狀態(tài)監(jiān)控模塊。

2.3.1 安全驅(qū)動

文件安全代理驅(qū)動部分的作用是給用戶提供創(chuàng)建文件對象和發(fā)送文件的接口。用戶可以調(diào)用這些接口來實現(xiàn)文件交換，接口內(nèi)部預(yù)處理包括了系統(tǒng)對文件對象和標(biāo)簽對象的創(chuàng)建和維護，其中標(biāo)簽對象包含了數(shù)據(jù)的屬性信息，文件接收進(jìn)程可通過標(biāo)簽信息進(jìn)行報文的過濾，最后將數(shù)據(jù)封裝成統(tǒng)一的安全交換數(shù)據(jù)，經(jīng)過SSL加密隧道進(jìn)行傳輸。

2.3.2 文件接收模塊

文件接收模塊位于服務(wù)端，此模塊的功能是監(jiān)聽客戶端請求，接收客戶端發(fā)送的文件，進(jìn)行格式解析和標(biāo)簽過濾，最后存放到數(shù)據(jù)緩存中。

文件接收模塊從數(shù)據(jù)監(jiān)聽開始，客戶端有文件上傳后開始接收文件，文件接收完畢后生成待處理任務(wù)，并在中間件模塊請求任務(wù)時執(zhí)行任務(wù)分發(fā)，任務(wù)分發(fā)完畢后文件接收模塊流程結(jié)束。

2.3.3 中間件調(diào)度

中間件調(diào)度器的主要功能是根據(jù)配置文件生成中間件調(diào)度序列，并且在多源數(shù)據(jù)過濾的過程中根據(jù)配置項調(diào)用指定的中間件。多源數(shù)據(jù)中的每個具體的應(yīng)用對應(yīng)不同的中間件調(diào)度序列，該調(diào)度序列在配置文件中配置。

中間件調(diào)度器根據(jù)配置文件配置的中間件信息生成中間件調(diào)度序列。當(dāng)需要使用中間件時，首先從中間件調(diào)度序列中獲取對應(yīng)中間件的信息，然后根據(jù)中間件信息中的中間存放路徑，以及中間件對外提供的接口名調(diào)用中間件。

(1)生成中間件調(diào)度序列。

中間件調(diào)度器在系統(tǒng)中采用鏈表的方式實現(xiàn)，序列鏈表生成過程如圖2所示。

圖2 中間件調(diào)度器生成流程圖

生成的中間件調(diào)度序列結(jié)構(gòu)如圖3所示。

(2)獲取中間件。

當(dāng)收到多源交換任務(wù)時，根據(jù)任務(wù)對應(yīng)的應(yīng)用系統(tǒng)，遍歷中間件調(diào)度器，查找應(yīng)用系統(tǒng)對應(yīng)的所有中間件，獲取中間件。

(3)調(diào)用中間件。

存儲中間件以動態(tài)鏈接庫的形式存在。只有當(dāng)需要調(diào)用某個存儲中間件時，才加載該中間件對應(yīng)的動態(tài)鏈接庫。調(diào)用動態(tài)鏈接庫提供的函數(shù)時需要知道動態(tài)鏈接庫的位置，同時還要知道動態(tài)鏈接庫對外提供的函數(shù)的名稱。這些信息在獲取存儲中間件時已經(jīng)得到。

圖3 中間件調(diào)度器結(jié)構(gòu)圖

2.3.4 存儲適配器

存儲中間件的功能是將過濾完成的多源數(shù)據(jù)轉(zhuǎn)存到其他位置。由于存在多種存儲方式，因此相應(yīng)地也存在多個存儲中間件。存儲適配器完成對所有存儲中間件的維護和調(diào)用。

存儲適配器采用與中間件調(diào)度器相似的實現(xiàn)方式，即存儲中間件以動態(tài)鏈接庫的形式存在，存儲適配器維護存儲中間件鏈表，并且在需要調(diào)用存儲中間件時從存儲中間件鏈表中讀取存儲中間件信息，完成存儲多源數(shù)據(jù)的操作。

2.3.5 配置管理和監(jiān)控頁面

配置管理模塊需要的配置內(nèi)容包括系統(tǒng)基礎(chǔ)配置、系統(tǒng)運行參數(shù)配置和策略配置。系統(tǒng)基礎(chǔ)配置是配置系統(tǒng)的一些基本信息，如日志數(shù)據(jù)庫地址、文件上傳地址等；系統(tǒng)運行參數(shù)配置是針對系統(tǒng)運行參數(shù)的配置，如臨時文件隊列的清理時間；策略配置是對文件的過濾策略配置，如限定文件的上傳時間等。

監(jiān)控頁面用于對系統(tǒng)的運行狀態(tài)進(jìn)行監(jiān)控，監(jiān)控數(shù)據(jù)由各個模塊中的監(jiān)控線程收集，并反映到監(jiān)控界面。

3 系統(tǒng)應(yīng)用

業(yè)務(wù)系統(tǒng)要提交數(shù)據(jù)或文件等到內(nèi)網(wǎng)都要經(jīng)過多源數(shù)據(jù)交換系統(tǒng)。基于中間件的多源數(shù)據(jù)交換系統(tǒng)與業(yè)務(wù)系統(tǒng)的接口關(guān)系如圖4所示。

應(yīng)用系統(tǒng)通過調(diào)用驅(qū)動接口函數(shù)發(fā)送文件，驅(qū)動與服務(wù)通過socket進(jìn)行通信，并使用專有協(xié)議封裝標(biāo)簽和加密信息，通過服務(wù)的中間件調(diào)度序列過濾和存儲適配器將文件保存的內(nèi)網(wǎng)的目的地并返回文件操作結(jié)果信息，實現(xiàn)多源數(shù)據(jù)的隔離交換功能。

4 系統(tǒng)測試

4.1 測試環(huán)境

實驗設(shè)備硬件環(huán)境為Intel5500+ICH10R芯片組，2路4核CPU。操作系統(tǒng)是32位凝思定制安全操作系統(tǒng)。測試采用的是LoadRunner性能測試工具。

4.2 測試結(jié)果

4.2.1 文件接收性能測試

測試步驟如下：

(1)啟動多源數(shù)據(jù)交換服務(wù)，開啟文件接收進(jìn)程；

(2)上傳文件(單個文件大小90MB)；

(3)統(tǒng)計文件接收進(jìn)程處理時間。

測試過程中，在上傳總文檔大小為4 050MB的情況下，平均處理速率為425.456Mbps，具體測試結(jié)果見表1。

表1 文件接收性能測試結(jié)果

4.2.2 標(biāo)簽過濾插件測試

測試步驟如下：

(1)啟動多源數(shù)據(jù)交換服務(wù)，開啟插件過濾進(jìn)程；

(2)上傳文件(單個文件大小90MB)；

(3)統(tǒng)計標(biāo)簽過濾插件處理時間。

測試過程中，在過濾總文件大小為4 050MB情況下，平均處理速率為4 385.324Mbps，具體測試結(jié)果見表2。

表2 標(biāo)簽過濾插件性能測試結(jié)果

4.3 測試結(jié)論

系統(tǒng)處理文件速率滿足性能要求。測試過程中，服務(wù)器CPU、內(nèi)存和硬盤各項指標(biāo)檢測正常。

5 結(jié)束語

通過基于安全過濾中間件的多源數(shù)據(jù)交換系統(tǒng)，可以解決電力系統(tǒng)業(yè)務(wù)系統(tǒng)多源數(shù)據(jù)發(fā)送內(nèi)網(wǎng)的安全問題。各種安全中間件實現(xiàn)不同的解析和過濾功能，并由調(diào)度器調(diào)度形成統(tǒng)一的安全過濾能力，有效實現(xiàn)了多源數(shù)據(jù)交換功能，保證了內(nèi)網(wǎng)的安全。

[1] 孫學(xué)軍.隔離網(wǎng)絡(luò)數(shù)據(jù)安全交換系統(tǒng)的設(shè)計與實現(xiàn)[J].網(wǎng)絡(luò)與信息,2011,25(4):60-61.

[2] 林朝愛,傅 鸝．網(wǎng)絡(luò)物理隔離體系結(jié)構(gòu)的研究[J]．現(xiàn)代計算機,2007(7):105-107.

[3] 夏漢民.一種網(wǎng)絡(luò)隔離技術(shù)的實現(xiàn)方案[J].計算機安全，2009(6):57-59.

[4] 王亞玲,郝 赫,曹占峰,等.數(shù)據(jù)交換平臺在國家電網(wǎng)公司信息化建設(shè)中的應(yīng)用[J].電力信息化,2011,9(2):116-120.

[5] 邱麗麗,俞 烽.異構(gòu)數(shù)據(jù)動態(tài)交互平臺設(shè)計與實現(xiàn)[J].計算機應(yīng)用與軟件,2013,30(3):182-185.

[6] 石彥華，李蜀瑜.動態(tài)服務(wù)的數(shù)據(jù)交換模型研究[J].計算機應(yīng)用研究,2011,28(12):4576-4580.

[7] 周紅波,孫宇達(dá),王繼霞,等.基于XML的數(shù)據(jù)交換及其參照完整性研究[J].計算機工程與設(shè)計,2006,27(14):2611-2613.

[8] 何 慧,孫 芙,李 遂.異構(gòu)數(shù)據(jù)庫數(shù)據(jù)類型轉(zhuǎn)換模型[J].計算機工程與設(shè)計,2005,26(9):2461-2463.

[9] 劉 海,陳啟買.基于角色的數(shù)據(jù)交換中間件的研究與實現(xiàn)[J].計算機應(yīng)用,2009,29(1):326-327.

[10] 曾小寧,黎 明.基于XML的數(shù)據(jù)交換中間件的研究與實現(xiàn)[J].計算機工程與設(shè)計,2007,28(12):2999-3002.

[11]KirianskyV,BrueningD,AmarasingheS.Secureexecutionviaprogramshepherding[C]//Proceedingsofthe11thUSENIXsecuritysymposium.[s.l.]:USENIX,2002:191-206.

[12]AbadiM,BudiuM,ErlingssonU,etal.Control-flowintegrityprinciples,implementations,andapplications[J].ACMTransactionsonInformationandSystemSecurity,2009,13(1):1-40.

[13]ShuG,RanaOF,AvisNJ,etal.Ontology-basedsemanticmatchmakingapproach[J].AdvancesinEngineeringSoftware,2007,38(1):59-67.

[14]AfratiF,LiChen,MitraP.Rewritingqueriesusingviewsinthepresenceofarithmeticcomparisons[J].TheoreticalComputerScience,2006,368(1-2):88-123.

Multi-dataExchangeSystemBasedonMiddlewareTechnology

LIWei-wei,ZHANGTao,MAYuan-yuan,ZHOUCheng

(ChinaSmartGridResearchInstitute，Nanjing210003，China)

Withthedevelopmentofsmartgridinteractive,thedatawhichinteractsnetworkboundarybecomesdiversified.Inadditiontothevariousdatabasesandothertraditionalstructureddata,someofnon-structureddataliketheelectronicdocumentdataforrepresentationbegintointeractfrequentlybetweentheinternalandexternalofelectronicinformationnetwork.Tosolvethecomplexityanddiversityofdataexchangeingridsystem,aplugscheduleandmanagementsystembasedonmiddlewaretechnologyisdesignedindetail,whichrealizesdifferentparsingandfiltering,andformstheunified,efficientandsafefilteringcapabilitiesbymiddleware.Thesystemrealizedbythemethodproposedcanmeettheneedofdataexchangeonthepremisethatnetworksecuritycanbeguaranteed.Thetestresultsshowthatfunctionalityandperformanceofthesystemmeettherequirementsofdataisolationandexchange.

middleware;safety;dataexchange;isolation

2014-12-12

2015-04-08

時間：2016-05-05

國家電網(wǎng)公司科技項目(EPRIXXKJ[2014]2244)

李偉偉(1985-),女,工程師，碩士,研究方向為信息安全；張 濤，碩士,高級工程師,研究方向為信息安全。

http://www.cnki.net/kcms/detail/61.1450.TP.20160505.0814.018.html

TP

A

1673-629X(2016)05-0095-04

10.3969/j.issn.1673-629X.2016.05.020