基于中間件的多源數據交換系統

李偉偉，張 濤，馬媛媛，周 誠

(國網智能電網研究院,江蘇 南京 210003)

基于中間件的多源數據交換系統

李偉偉，張 濤，馬媛媛，周 誠

(國網智能電網研究院,江蘇 南京 210003)

隨著智能電網互動化的發展，信息內外網邊界交互數據種類呈現多樣化趨勢，除了傳統的各種數據庫等結構化數據以外，一些以電子文檔數據為代表的非結構化數據也將頻繁地在信息內外網之間進行交互。為更好地應對電力系統業務系統數據交換的多源化、文件過濾復雜化的需求，文中詳細設計了一種基于中間件的插件調度和管理體系，各種定制安全中間件實現不同的解析和過濾功能，并由中間件調度器調度形成統一、高效、安全的過濾能力。采用該方法實現的基于中間件的數據交換系統可在確保電力信息內網安全的前提下，滿足業務系統多源數據交換的需求。系統測試結果表明，通過該方法可以實現多源數據交換，文件接收和標簽過濾等各項功能和性能滿足電力系統數據交換要求。

中間件；安全；數據交換；隔離

0 引 言

隨著病毒和黑客攻擊造成的危害越來越大，網絡安全成為人們關注的焦點。Internet為電力系統的數據交換提供了方便快捷的途徑，同時也帶來了安全威脅。電力系統中許多重要的內部網絡都采取了與Internet隔離[1-3]的方式，避免了來自Internet的各類侵擾,也阻斷了必需的信息交換。

數據交換系統[4-8]可以在安全內網與非信任外網在物理隔離的前提下,安全完成兩網之間的信息交換功能。在對非法網絡通路進行安全網絡隔離的同時，還能保證正常、合法的網絡應用，從而實現既保證正常、合法的網絡應用，又保證關鍵網絡資源的安全網絡隔離的理想目標。

1 電力系統數據交換面臨的問題

隨著智能電網互動化的發展，信息外網展現的內容越來越豐富，除了傳統的各種數據庫等結構化數據以外，一些以電子文檔數據為代表的非結構化數據也將頻繁地在信息內外網之間進行交互。電子商務平臺、財務管控系統、基建管控中的現場管理系統、統計系統及綜合管理系統等各種業務信息系統中均涉及到多種類型的電子文檔，迫切需要對多源數據交換技術進行研究，使之在不降低公司原有信息安全“三道防線”隔離強度與效率的情況下，滿足智能電網的“互動”業務需求，將成為堅強智能電網信息安全保障體系建設過程中迫切需要思考和解決的問題。

在信息內外網間交換多源數據是現實且迫切的需求。然而，多源數據格式各異、數據量極大，同時包含大量敏感信息，是病毒、木馬的理想載體。因此多源數據交換既有迫切需求，又蘊含安全風險。如何構建一個交換體系，在確保信息安全的前提下，適應各種多源數據格式，滿足大數據量的交換需求，以合理的性能提供信息內外網間的多源數據交換功能。

2 基于中間件的多源數據交換系統

多源數據交換功能涉及的過濾技術更加復雜和多元化，因管理要求的變化、文件格式的不同都可能會產生新的過濾需求。為了更好地應對這些過濾需求，文中引入基于中間件[9-10]的插件調度和管理體系，各種安全中間件實現不同的解析和過濾功能，并由調度器調度形成統一的安全過濾能力。

通過中間件技術，可靈活擴展多種協議、多種數據格式、多種過濾算法。研究基于標準中間件的多種安全過濾方法組合技術，可靈活組合基于等級標簽的過濾、基于協議的過濾、基于特征的過濾和基于內容識別的過濾等多種安全過濾技術[11-14]。

2.1 系統架構

多源數據交換系統框架包括驅動、接收模塊、安全過濾中間件、配置管理和監控頁面等模塊。多源數據經過驅動預處理后，使用私有協議，添加標簽信息，經加密通道送至隔離服務接收模塊，在經過安全過濾中間件過濾后，交換至目標文件服務器。

該系統架構可在業務系統和文件服務器之間實現安全的數據交換。業務系統作為交換的發起方，文件服務器作為數據的接收方。該體系可實現雙向數據交換，且內外網均可發起數據交換請求。所不同的是，自內而外的數據交換主要關注的是數據防泄漏，而自外而內的數據交換則更關注對惡意文件的過濾。

基于中間件插件的多源數據交換系統設計架構如圖1所示。

圖1 基于中間件插件的多源數據交換系統設計架構

2.2 處理流程

業務系統通過代理驅動提交文件交換請求，服務端的文件接收進程接收文件交換請求，將文件緩存在本地文件緩沖區，同時在進程內部的任務隊列中生成文件交換任務，然后向客戶端報告文件交換請求已受理。服務端可同時存在多個過濾和執行進程，每個過濾和執行進程可獨立完成文件的過濾和交換任務。過濾和執行進程向文件接收進程請求任務列表，并依次處理列表中的每個任務。過濾和執行進程的核心是中間件調度線程，該線程按照配置文件的要求依次調用各過濾插件執行各項過濾任務，最后將通過過濾的文件提交給文件存儲線程，并完成交換。

2.3 功能模塊

基于中間件插件的多源數據交換系統主要包含安全驅動、文件接收模塊、過濾中間件調度、存儲適配器、配置管理和狀態監控模塊。

2.3.1 安全驅動

文件安全代理驅動部分的作用是給用戶提供創建文件對象和發送文件的接口。用戶可以調用這些接口來實現文件交換，接口內部預處理包括了系統對文件對象和標簽對象的創建和維護，其中標簽對象包含了數據的屬性信息，文件接收進程可通過標簽信息進行報文的過濾，最后將數據封裝成統一的安全交換數據，經過SSL加密隧道進行傳輸。

2.3.2 文件接收模塊

文件接收模塊位于服務端，此模塊的功能是監聽客戶端請求，接收客戶端發送的文件，進行格式解析和標簽過濾，最后存放到數據緩存中。

文件接收模塊從數據監聽開始，客戶端有文件上傳后開始接收文件，文件接收完畢后生成待處理任務，并在中間件模塊請求任務時執行任務分發，任務分發完畢后文件接收模塊流程結束。

2.3.3 中間件調度

中間件調度器的主要功能是根據配置文件生成中間件調度序列，并且在多源數據過濾的過程中根據配置項調用指定的中間件。多源數據中的每個具體的應用對應不同的中間件調度序列，該調度序列在配置文件中配置。

中間件調度器根據配置文件配置的中間件信息生成中間件調度序列。當需要使用中間件時，首先從中間件調度序列中獲取對應中間件的信息，然后根據中間件信息中的中間存放路徑，以及中間件對外提供的接口名調用中間件。

(1)生成中間件調度序列。

中間件調度器在系統中采用鏈表的方式實現，序列鏈表生成過程如圖2所示。

圖2 中間件調度器生成流程圖

生成的中間件調度序列結構如圖3所示。

(2)獲取中間件。

當收到多源交換任務時，根據任務對應的應用系統，遍歷中間件調度器，查找應用系統對應的所有中間件，獲取中間件。

(3)調用中間件。

存儲中間件以動態鏈接庫的形式存在。只有當需要調用某個存儲中間件時，才加載該中間件對應的動態鏈接庫。調用動態鏈接庫提供的函數時需要知道動態鏈接庫的位置，同時還要知道動態鏈接庫對外提供的函數的名稱。這些信息在獲取存儲中間件時已經得到。

圖3 中間件調度器結構圖

2.3.4 存儲適配器

存儲中間件的功能是將過濾完成的多源數據轉存到其他位置。由于存在多種存儲方式，因此相應地也存在多個存儲中間件。存儲適配器完成對所有存儲中間件的維護和調用。

存儲適配器采用與中間件調度器相似的實現方式，即存儲中間件以動態鏈接庫的形式存在，存儲適配器維護存儲中間件鏈表，并且在需要調用存儲中間件時從存儲中間件鏈表中讀取存儲中間件信息，完成存儲多源數據的操作。

2.3.5 配置管理和監控頁面

配置管理模塊需要的配置內容包括系統基礎配置、系統運行參數配置和策略配置。系統基礎配置是配置系統的一些基本信息，如日志數據庫地址、文件上傳地址等；系統運行參數配置是針對系統運行參數的配置，如臨時文件隊列的清理時間；策略配置是對文件的過濾策略配置，如限定文件的上傳時間等。

監控頁面用于對系統的運行狀態進行監控，監控數據由各個模塊中的監控線程收集，并反映到監控界面。

3 系統應用

業務系統要提交數據或文件等到內網都要經過多源數據交換系統。基于中間件的多源數據交換系統與業務系統的接口關系如圖4所示。

應用系統通過調用驅動接口函數發送文件，驅動與服務通過socket進行通信，并使用專有協議封裝標簽和加密信息，通過服務的中間件調度序列過濾和存儲適配器將文件保存的內網的目的地并返回文件操作結果信息，實現多源數據的隔離交換功能。

4 系統測試

4.1 測試環境

實驗設備硬件環境為Intel5500+ICH10R芯片組，2路4核CPU。操作系統是32位凝思定制安全操作系統。測試采用的是LoadRunner性能測試工具。

4.2 測試結果

4.2.1 文件接收性能測試

測試步驟如下：

(1)啟動多源數據交換服務，開啟文件接收進程；

(2)上傳文件(單個文件大小90MB)；

(3)統計文件接收進程處理時間。

測試過程中，在上傳總文檔大小為4 050MB的情況下，平均處理速率為425.456Mbps，具體測試結果見表1。

表1 文件接收性能測試結果

4.2.2 標簽過濾插件測試

測試步驟如下：

(1)啟動多源數據交換服務，開啟插件過濾進程；

(2)上傳文件(單個文件大小90MB)；

(3)統計標簽過濾插件處理時間。

測試過程中，在過濾總文件大小為4 050MB情況下，平均處理速率為4 385.324Mbps，具體測試結果見表2。

表2 標簽過濾插件性能測試結果

4.3 測試結論

系統處理文件速率滿足性能要求。測試過程中，服務器CPU、內存和硬盤各項指標檢測正常。

5 結束語

通過基于安全過濾中間件的多源數據交換系統，可以解決電力系統業務系統多源數據發送內網的安全問題。各種安全中間件實現不同的解析和過濾功能，并由調度器調度形成統一的安全過濾能力，有效實現了多源數據交換功能，保證了內網的安全。

[1] 孫學軍.隔離網絡數據安全交換系統的設計與實現[J].網絡與信息,2011,25(4):60-61.

[2] 林朝愛,傅 鸝．網絡物理隔離體系結構的研究[J]．現代計算機,2007(7):105-107.

[3] 夏漢民.一種網絡隔離技術的實現方案[J].計算機安全，2009(6):57-59.

[4] 王亞玲,郝 赫,曹占峰,等.數據交換平臺在國家電網公司信息化建設中的應用[J].電力信息化,2011,9(2):116-120.

[5] 邱麗麗,俞 烽.異構數據動態交互平臺設計與實現[J].計算機應用與軟件,2013,30(3):182-185.

[6] 石彥華，李蜀瑜.動態服務的數據交換模型研究[J].計算機應用研究,2011,28(12):4576-4580.

[7] 周紅波,孫宇達,王繼霞,等.基于XML的數據交換及其參照完整性研究[J].計算機工程與設計,2006,27(14):2611-2613.

[8] 何 慧,孫 芙,李 遂.異構數據庫數據類型轉換模型[J].計算機工程與設計,2005,26(9):2461-2463.

[9] 劉 海,陳啟買.基于角色的數據交換中間件的研究與實現[J].計算機應用,2009,29(1):326-327.

[10] 曾小寧,黎 明.基于XML的數據交換中間件的研究與實現[J].計算機工程與設計,2007,28(12):2999-3002.

[11]KirianskyV,BrueningD,AmarasingheS.Secureexecutionviaprogramshepherding[C]//Proceedingsofthe11thUSENIXsecuritysymposium.[s.l.]:USENIX,2002:191-206.

[12]AbadiM,BudiuM,ErlingssonU,etal.Control-flowintegrityprinciples,implementations,andapplications[J].ACMTransactionsonInformationandSystemSecurity,2009,13(1):1-40.

[13]ShuG,RanaOF,AvisNJ,etal.Ontology-basedsemanticmatchmakingapproach[J].AdvancesinEngineeringSoftware,2007,38(1):59-67.

[14]AfratiF,LiChen,MitraP.Rewritingqueriesusingviewsinthepresenceofarithmeticcomparisons[J].TheoreticalComputerScience,2006,368(1-2):88-123.

Multi-dataExchangeSystemBasedonMiddlewareTechnology

LIWei-wei,ZHANGTao,MAYuan-yuan,ZHOUCheng

(ChinaSmartGridResearchInstitute，Nanjing210003，China)

Withthedevelopmentofsmartgridinteractive,thedatawhichinteractsnetworkboundarybecomesdiversified.Inadditiontothevariousdatabasesandothertraditionalstructureddata,someofnon-structureddataliketheelectronicdocumentdataforrepresentationbegintointeractfrequentlybetweentheinternalandexternalofelectronicinformationnetwork.Tosolvethecomplexityanddiversityofdataexchangeingridsystem,aplugscheduleandmanagementsystembasedonmiddlewaretechnologyisdesignedindetail,whichrealizesdifferentparsingandfiltering,andformstheunified,efficientandsafefilteringcapabilitiesbymiddleware.Thesystemrealizedbythemethodproposedcanmeettheneedofdataexchangeonthepremisethatnetworksecuritycanbeguaranteed.Thetestresultsshowthatfunctionalityandperformanceofthesystemmeettherequirementsofdataisolationandexchange.

middleware;safety;dataexchange;isolation

2014-12-12

2015-04-08

時間：2016-05-05

國家電網公司科技項目(EPRIXXKJ[2014]2244)

李偉偉(1985-),女,工程師，碩士,研究方向為信息安全；張 濤，碩士,高級工程師,研究方向為信息安全。

http://www.cnki.net/kcms/detail/61.1450.TP.20160505.0814.018.html

TP

A

1673-629X(2016)05-0095-04

10.3969/j.issn.1673-629X.2016.05.020