CN104202322B - 一种基于OpenFlow协议的OpenFlow交换机报文安全监控方法 - Google Patents

一种基于OpenFlow协议的OpenFlow交换机报文安全监控方法 Download PDF

Info

Publication number
CN104202322B
CN104202322B CN201410447226.6A CN201410447226A CN104202322B CN 104202322 B CN104202322 B CN 104202322B CN 201410447226 A CN201410447226 A CN 201410447226A CN 104202322 B CN104202322 B CN 104202322B
Authority
CN
China
Prior art keywords
message
openflow
flow table
ethernet switch
industrial ethernet
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201410447226.6A
Other languages
English (en)
Other versions
CN104202322A (zh
Inventor
孙晓艳
张增华
吴军民
张刚
黄辉
黄在朝
于海
虞跃
姚启桂
黄治
王向群
李春龙
喻强
任杰
陈伟
于鹏飞
刘川
吴鹏
陈磊
陶静
邓辉
王玮
沈文
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
State Grid Corp of China SGCC
China Electric Power Research Institute Co Ltd CEPRI
Global Energy Interconnection Research Institute
State Grid Shanghai Electric Power Co Ltd
Original Assignee
State Grid Corp of China SGCC
China Electric Power Research Institute Co Ltd CEPRI
Global Energy Interconnection Research Institute
State Grid Shanghai Electric Power Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by State Grid Corp of China SGCC, China Electric Power Research Institute Co Ltd CEPRI, Global Energy Interconnection Research Institute, State Grid Shanghai Electric Power Co Ltd filed Critical State Grid Corp of China SGCC
Priority to CN201410447226.6A priority Critical patent/CN104202322B/zh
Publication of CN104202322A publication Critical patent/CN104202322A/zh
Application granted granted Critical
Publication of CN104202322B publication Critical patent/CN104202322B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明提供一种基于OpenFlow协议的OpenFlow交换机报文安全监控方法,包括以下步骤:SDN控制器通过OpenFlow协议与OpenFlow交换机进行交互,按照规则定义流表项;将通过工业以太网交换机的报文转送到OpenFlow交换机中,匹配OpenFlow交换机流表中的流表项;工业以太网交换机将被修改过源IP的报文传送到汇聚层,完成报文从接入层到汇聚层的安全控制处理。本发明基于OpenFlow协议中的流表指定的匹配字段,利用OpenFlow交换机的清洗功能,将发往工业以太网交换机的非法报文丢掉,把合法报文重新送回交换机,实现一种集中式控制的报文检测,以保证电力系统中从接入层到汇聚层报文传输的安全可靠性。

Description

一种基于OpenFlow协议的OpenFlow交换机报文安全监控方法
技术领域
本发明属于电力系统通信技术领域,具体涉及一种基于OpenFlow协议的OpenFlow交换机报文安全监控方法。
背景技术
SDN作为一种新型的网络技术,其控制平面与数据转发平面分离的思想,正符合信息网络中对信息高度可控性的要求。SDN将原来与单独的网络设备紧紧绑定在一起的控制面板迁移到一个中央控制器上,负责监控管理整个网络。控制平面与转发平面的分离在极大程度上简化了网络的设计和运行,同时也能够简化网络设备,因为它不再需要了解和处理各种各样的协议,只需接受来自SDN控制器的指令即可。
目前,接入层的目的是将终端节点设备连接到网络,因此,它需要支持端口安全功能、VLAN、快速以太网/千兆以太网、PoE和链路聚合等功能。其中,端口安全功能决定允许多少设备或哪些设备连接到交换机,因此,接入层的端口安全功能是保护网络的第一道重要防线。
发明内容
为了克服上述现有技术的不足,本发明提供一种基于OpenFlow协议的OpenFlow交换机报文安全监控方法,基于OpenFlow协议中的流表指定的匹配字段,利用OpenFlow交换机的清洗功能,将发往工业以太网交换机的非法报文丢掉,把合法报文重新送回交换机,实现一种集中式控制的报文检测,以保证电力系统中从接入层到汇聚层报文传输的安全可靠性。
为了实现上述发明目的,本发明采取如下技术方案:
本发明提供一种基于OpenFlow协议的OpenFlow交换机报文安全监控方法,所述方法具体包括以下步骤:
步骤1:SDN控制器通过OpenFlow协议与OpenFlow交换机进行交互,按照规则定义流表项;
步骤2:将通过工业以太网交换机的报文转送到OpenFlow交换机中,匹配OpenFlow交换机流表中的流表项;
步骤3:工业以太网交换机将被修改过源IP的报文传送到汇聚层,完成报文从接入层到汇聚层的安全控制处理。
所述步骤1中,按规则定义OpenFlow交换机流表中的流表项,包括设置流表项包头域中的源IP、目的IP和Ingress端口,以及设置流表项中相应的行动。
所述步骤2中,当工业以太网交换机的某一固定端口接收到报文后,则从另一特定端口将该报文转送到OpenFlow交换机中,根据SDN控制器预先配置好的OpenFlow交换机,匹配OpenFlow交换机流表中的流表项。
若通过工业以太网交换机转送到OpenFlow交换机中报文的源IP、目的IP和Ingress端口与流表项中的任何一项都不匹配,视该报文为非法报文,并将该报文丢到丢弃箱中;若通过工业以太网交换机转送到OpenFlow交换机中报文的源IP、目的IP和Ingress端口与流表项中的任一项匹配,视该报文为合法报文,并将该报文的源IP改为OpenFlow交换机的IP,再将修改后的报文重新送回到工业以太网交换机中。
与现有技术相比,本发明的有益效果在于:
1、本发明针对电力通信网络中交换机报文的安全控制处理,引入SDN技术,并基于OpenFlow协议通过SDN控制器控制OpenFlow交换机流表中的流表项,从而有效地实现了交换机报文安全的集中控制处理。
2、本发明在对报文进行清洗后,将合法报文的源IP修改为OpenFlow交换机的IP,防止交换机再将此报文送回来,避免形成环。
附图说明
图1是本发明实施例中基于OpenFlow协议的OpenFlow交换机报文安全监控方法流程图;
图2是本发明实施例中基于OpenFlow协议的网络架构示意图;
图3是本发明实施例中基于OpenFlow协议的网络应用拓扑图。
具体实施方式
下面结合附图对本发明作进一步详细说明。
本发明通过SDN控制器集中控制发送到工业以太网交换机中的报文,并基于OpenFlow交换机流表中的流表项,控制传送到交换机上的报文,将那些非法报文丢弃,同时将过滤后的合法报文传送到汇聚层交换机中。该方法可以快速、集中、有效地控制接入层报文的输入,并有效提高了报文传输的安全性,在创建一个更加动态、灵活、自动化、可管理的网络的同时,还创建了能够满足特定性能和安全的私有网络。
如图1,本发明提供一种基于OpenFlow协议的OpenFlow交换机报文安全监控方法,引入了OpenFlow技术,通过SDN控制器集中控制工业以太网交换机中的报文,滤掉所述报文中的非法报文,有效地实现了报文安全的集中控制及处理。具体包括以下步骤:
步骤1:SDN控制器通过OpenFlow协议与OpenFlow交换机进行交互,按照规则定义流表项;
步骤2:将通过工业以太网交换机的报文转送到OpenFlow交换机中,匹配OpenFlow交换机流表中的流表项;
步骤3:工业以太网交换机将被修改过源IP的报文传送到汇聚层,完成报文从接入层到汇聚层的安全控制处理。
所述步骤1中,按规则定义OpenFlow交换机流表中的流表项,包括设置流表项包头域中的源IP、目的IP和Ingress端口,以及设置流表项中相应的行动(Action)。
所述步骤2中,当工业以太网交换机的某一固定端口接收到报文后,则从另一特定端口将该报文转送到OpenFlow交换机中,根据SDN控制器预先配置好的OpenFlow交换机,匹配OpenFlow交换机流表中的流表项。
若通过工业以太网交换机转送到OpenFlow交换机中报文的源IP、目的IP和Ingress端口与流表项中的任何一项都不匹配,视该报文为非法报文,并将该报文丢到丢弃箱中;若通过工业以太网交换机转送到OpenFlow交换机中报文的源IP、目的IP和Ingress端口与流表项中的任一项匹配,视该报文为合法报文,并将该报文的源IP改为OpenFlow交换机的IP,再将修改后的报文重新送回到工业以太网交换机中。修改报文的源IP的目的是防止工业以太网交换机再将该合法报文送回到OpenFlow交换机中,形成环,造成不必要的网络拥塞。
最后应当说明的是:以上实施例仅用以说明本发明的技术方案而非对其限制,所属领域的普通技术人员参照上述实施例依然可以对本发明的具体实施方式进行修改或者等同替换,这些未脱离本发明精神和范围的任何修改或者等同替换,均在申请待批的本发明的权利要求保护范围之内。

Claims (1)

1.一种基于OpenFlow协议的OpenFlow交换机报文安全监控方法,其特征在于:所述方法具体包括以下步骤:
步骤1:SDN控制器通过OpenFlow协议与OpenFlow交换机进行交互,按照规则定义流表项;
步骤2:将通过工业以太网交换机的报文转送到OpenFlow交换机中,匹配OpenFlow交换机流表中的流表项;
步骤3:工业以太网交换机将被修改过源IP的报文传送到汇聚层,完成报文从接入层到汇聚层的安全控制处理;
所述步骤1中,按规则定义OpenFlow交换机流表中的流表项,包括设置流表项包头域中的源IP、目的IP和Ingress端口,以及设置流表项中相应的行动;
所述步骤2中,当工业以太网交换机的某一固定端口接收到报文后,则从另一特定端口将该报文转送到OpenFlow交换机中,根据SDN控制器预先配置好的OpenFlow交换机,匹配OpenFlow交换机流表中的流表项;
若通过工业以太网交换机转送到OpenFlow交换机中报文的源IP、目的IP和Ingress端口与流表项中的任何一项都不匹配,视该报文为非法报文,并将该报文丢到丢弃箱中;若通过工业以太网交换机转送到OpenFlow交换机中报文的源IP、目的IP和Ingress端口与流表项中的任一项匹配,视该报文为合法报文,并将该报文的源IP改为OpenFlow交换机的IP,再将修改后的报文重新送回到工业以太网交换机中。
CN201410447226.6A 2014-09-04 2014-09-04 一种基于OpenFlow协议的OpenFlow交换机报文安全监控方法 Active CN104202322B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201410447226.6A CN104202322B (zh) 2014-09-04 2014-09-04 一种基于OpenFlow协议的OpenFlow交换机报文安全监控方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201410447226.6A CN104202322B (zh) 2014-09-04 2014-09-04 一种基于OpenFlow协议的OpenFlow交换机报文安全监控方法

Publications (2)

Publication Number Publication Date
CN104202322A CN104202322A (zh) 2014-12-10
CN104202322B true CN104202322B (zh) 2018-01-19

Family

ID=52087547

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201410447226.6A Active CN104202322B (zh) 2014-09-04 2014-09-04 一种基于OpenFlow协议的OpenFlow交换机报文安全监控方法

Country Status (1)

Country Link
CN (1) CN104202322B (zh)

Families Citing this family (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106161548B (zh) * 2015-04-15 2019-01-04 先智云端数据股份有限公司 用于软件定义网络中数据库、应用程序与储存安全的系统
CN106411820B (zh) * 2015-07-29 2019-05-21 中国科学院沈阳自动化研究所 一种基于sdn架构的工业通信流传输安全控制方法
CN105591804B (zh) * 2015-09-22 2019-02-19 新华三技术有限公司 一种配置改变处理方法及装置
CN105610615B (zh) * 2015-12-29 2018-12-11 国网辽宁省电力有限公司 一种基于软件定义网络的配电网调度方法与系统
US9967257B2 (en) 2016-03-16 2018-05-08 Sprint Communications Company L.P. Software defined network (SDN) application integrity
CN106059930B (zh) * 2016-07-29 2019-06-25 北京智芯微电子科技有限公司 一种电力通信网络系统
CN112994994B (zh) * 2019-12-16 2022-09-06 中国科学院沈阳自动化研究所 基于工业以太网协议在工业sdn中的接入方法
CN113259387B (zh) * 2021-06-21 2021-09-24 江苏天翼安全技术有限公司 一种基于虚拟交换的防止蜜罐被控成为跳板机的方法

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1553691A (zh) * 2003-05-26 2004-12-08 ��Ϊ�������޹�˾ 大容量宽带接入方法及系统
CN103428094A (zh) * 2013-08-12 2013-12-04 杭州华三通信技术有限公司 开放流OpenFlow系统中的报文转发方法及装置
CN103491095A (zh) * 2013-09-25 2014-01-01 中国联合网络通信集团有限公司 流量清洗架构、装置及流量牵引、流量回注方法

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10645032B2 (en) * 2013-02-28 2020-05-05 Texas Instruments Incorporated Packet processing match and action unit with stateful actions

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1553691A (zh) * 2003-05-26 2004-12-08 ��Ϊ�������޹�˾ 大容量宽带接入方法及系统
CN103428094A (zh) * 2013-08-12 2013-12-04 杭州华三通信技术有限公司 开放流OpenFlow系统中的报文转发方法及装置
CN103491095A (zh) * 2013-09-25 2014-01-01 中国联合网络通信集团有限公司 流量清洗架构、装置及流量牵引、流量回注方法

Also Published As

Publication number Publication date
CN104202322A (zh) 2014-12-10

Similar Documents

Publication Publication Date Title
CN104202322B (zh) 一种基于OpenFlow协议的OpenFlow交换机报文安全监控方法
EP3206356B1 (en) Controlling transmission security of industrial communications flow in a sdn architecture
TWI677218B (zh) 基於sdn的封包鏡像方法及網路流量監控管理系統
CA3017063C (en) Controllers for interconnected lighting devices
EP2816772A1 (en) Lacp negotiation processing method, relay node and system
CN104092684B (zh) 一种OpenFlow协议支持VPN的方法及设备
CN103428094A (zh) 开放流OpenFlow系统中的报文转发方法及装置
CN105227393B (zh) 一种双向转发检测方法
CN105119911B (zh) 一种基于sdn流的安全认证方法及系统
CN104579894B (zh) 分布式虚拟交换机系统的IGMP Snooping实现方法及装置
JP5900652B2 (ja) スイッチ装置、vlan設定管理方法及びプログラム
CN108390821A (zh) 一种openflow交换机实现双活的方法及系统
CN103856352A (zh) 一种基于单网卡实现双网络跨网段访问的方法
CN103595712B (zh) 一种Web认证方法、装置及系统
CN102480485A (zh) 实现同一vlan内端口跨设备隔离的系统、方法和交换设备
CN102326370A (zh) 一种报文处理方法、设备和系统
CN104320322B (zh) 一种报文控制方法和设备
WO2014069502A1 (ja) 通信システム、経路情報交換装置、通信ノード、経路情報の転送方法及びプログラム
CN103312908B (zh) 一种用于Voice VLAN的数据传输方法
CN104604186A (zh) 网络系统及通信装置
CN105516116A (zh) 一种基于ForCES控制件控制OpenFlow交换机的系统及协议转换方法
WO2016074126A1 (zh) 控制器、服务节点和数据包转发方法
CN104486119A (zh) 通过改进openflow协议实现批量管理交换机的方法及系统
WO2013183664A1 (ja) スイッチ装置、vlan設定管理方法及びプログラム
CN104219151B (zh) 一种基于SDN的Goose报文流表过滤方法

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
C41 Transfer of patent application or patent right or utility model
TA01 Transfer of patent application right

Effective date of registration: 20161213

Address after: 100031 Xicheng District West Chang'an Avenue, No. 86, Beijing

Applicant after: State Power Networks Co

Applicant after: China Electric Power Research Institute

Applicant after: GLOBAL ENERGY INTERCONNECTION RESEARCH INSTITUTE

Applicant after: State Grid Shanghai Municipal Electric Power Company

Address before: 100031 Xicheng District West Chang'an Avenue, No. 86, Beijing

Applicant before: State Power Networks Co

Applicant before: China Electric Power Research Institute

Applicant before: State Grid Shanghai Municipal Electric Power Company

GR01 Patent grant
GR01 Patent grant