CN106411820B - 一种基于sdn架构的工业通信流传输安全控制方法 - Google Patents
一种基于sdn架构的工业通信流传输安全控制方法 Download PDFInfo
- Publication number
- CN106411820B CN106411820B CN201510459325.0A CN201510459325A CN106411820B CN 106411820 B CN106411820 B CN 106411820B CN 201510459325 A CN201510459325 A CN 201510459325A CN 106411820 B CN106411820 B CN 106411820B
- Authority
- CN
- China
- Prior art keywords
- industrial
- stream
- flow table
- rule
- sdn
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000004891 communication Methods 0.000 title claims abstract description 91
- 238000000034 method Methods 0.000 title claims abstract description 52
- 230000005540 biological transmission Effects 0.000 claims abstract description 36
- 238000012545 processing Methods 0.000 claims abstract description 29
- 238000004458 analytical method Methods 0.000 claims abstract description 9
- 238000007726 management method Methods 0.000 claims description 42
- 238000012360 testing method Methods 0.000 claims description 6
- 238000004364 calculation method Methods 0.000 claims description 3
- 238000012423 maintenance Methods 0.000 claims description 3
- 241000272814 Anser sp. Species 0.000 claims description 2
- 238000013461 design Methods 0.000 abstract description 2
- 238000010586 diagram Methods 0.000 description 9
- 230000008569 process Effects 0.000 description 6
- 238000005516 engineering process Methods 0.000 description 5
- 238000011160 research Methods 0.000 description 3
- 230000006399 behavior Effects 0.000 description 2
- 230000007123 defense Effects 0.000 description 2
- 238000001514 detection method Methods 0.000 description 2
- 238000007689 inspection Methods 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 244000089409 Erythrina poeppigiana Species 0.000 description 1
- 235000009776 Rathbunia alamosensis Nutrition 0.000 description 1
- 230000009471 action Effects 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 238000001914 filtration Methods 0.000 description 1
- 238000009472 formulation Methods 0.000 description 1
- 239000000203 mixture Substances 0.000 description 1
- 238000002360 preparation method Methods 0.000 description 1
- 238000003672 processing method Methods 0.000 description 1
- 238000000926 separation method Methods 0.000 description 1
- 238000012163 sequencing technique Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0263—Rule management
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B19/00—Programme-control systems
- G05B19/02—Programme-control systems electric
- G05B19/418—Total factory control, i.e. centrally controlling a plurality of machines, e.g. direct or distributed numerical control [DNC], flexible manufacturing systems [FMS], integrated manufacturing systems [IMS] or computer integrated manufacturing [CIM]
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B19/00—Programme-control systems
- G05B19/02—Programme-control systems electric
- G05B19/418—Total factory control, i.e. centrally controlling a plurality of machines, e.g. direct or distributed numerical control [DNC], flexible manufacturing systems [FMS], integrated manufacturing systems [IMS] or computer integrated manufacturing [CIM]
- G05B19/4185—Total factory control, i.e. centrally controlling a plurality of machines, e.g. direct or distributed numerical control [DNC], flexible manufacturing systems [FMS], integrated manufacturing systems [IMS] or computer integrated manufacturing [CIM] characterised by the network communication
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B19/00—Programme-control systems
- G05B19/02—Programme-control systems electric
- G05B19/418—Total factory control, i.e. centrally controlling a plurality of machines, e.g. direct or distributed numerical control [DNC], flexible manufacturing systems [FMS], integrated manufacturing systems [IMS] or computer integrated manufacturing [CIM]
- G05B19/4185—Total factory control, i.e. centrally controlling a plurality of machines, e.g. direct or distributed numerical control [DNC], flexible manufacturing systems [FMS], integrated manufacturing systems [IMS] or computer integrated manufacturing [CIM] characterised by the network communication
- G05B19/41855—Total factory control, i.e. centrally controlling a plurality of machines, e.g. direct or distributed numerical control [DNC], flexible manufacturing systems [FMS], integrated manufacturing systems [IMS] or computer integrated manufacturing [CIM] characterised by the network communication by local area network [LAN], network structure
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/74—Address processing for routing
- H04L45/745—Address table lookup; Address filtering
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L47/00—Traffic control in data switching networks
- H04L47/10—Flow control; Congestion control
- H04L47/24—Traffic characterised by specific attributes, e.g. priority or QoS
- H04L47/2441—Traffic characterised by specific attributes, e.g. priority or QoS relying on flow classification, e.g. using integrated services [IntServ]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L49/00—Packet switching elements
- H04L49/25—Routing or path finding in a switch fabric
- H04L49/253—Routing or path finding in a switch fabric using establishment or release of connections between ports
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/166—Implementing security features at a particular protocol layer at the transport layer
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/40—Network security protocols
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B2219/00—Program-control systems
- G05B2219/30—Nc systems
- G05B2219/45—Nc applications
- G05B2219/45103—Security, surveillance applications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L49/00—Packet switching elements
- H04L49/70—Virtual switches
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/30—Definitions, standards or architectural aspects of layered protocol stacks
- H04L69/32—Architecture of open systems interconnection [OSI] 7-layer type protocol stacks, e.g. the interfaces between the data link level and the physical level
- H04L69/322—Intralayer communication protocols among peer entities or protocol data unit [PDU] definitions
- H04L69/326—Intralayer communication protocols among peer entities or protocol data unit [PDU] definitions in the transport layer [OSI layer 4]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Computing Systems (AREA)
- Computer Hardware Design (AREA)
- Quality & Reliability (AREA)
- Automation & Control Theory (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- Manufacturing & Machinery (AREA)
- Business, Economics & Management (AREA)
- General Business, Economics & Management (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种基于SDN架构的工业通信流传输安全控制方法,该方法在管理控制器中设计流安全控制模块,对工业通信流数据进行深度解析,与预设置工业规则策略进行匹配,执行工业规则策略的控制处理操作,实现对工业通信流的传输控制。管理控制器中拥有工业规则策略库,用于存储用户设置的所有工业规则策略;SDN交换机维护流表结构,工业通信流按照流表进行转发,流表中具有安全控制标识,用于指示此通信流是否需要进行安全传输控制。本发明能够检测工业通信数据流的合法性,对不符合工业规则策略的工业通信实现访问控制,保障基于SDN架构的工业控制系统安全性与可靠性。
Description
技术领域
本发明涉及工业控制系统网络安全技术领域,更具体的说是涉及一种基于SDN架构的工业通信流传输安全控制方法。
背景技术
随着网络技术的发展,现有的网络结构已经不能满足急剧膨胀的网络规模和不断丰富的应用类型需求,世界各国已经开展未来网络体系架构的研究,并取得了一些进展。软件定义网络(Software Defined Network,SDN)得到了工业界和学术界的广泛重视,它是一种新型网络创新架构,是网络虚拟化的一种实现方式,其核心技术OpenFlow通过将网络设备控制平面与数据平面分离开来,从而实现了网络流量的灵活控制,使网络作为管道变得更加智能。SDN将控制功能从网络设备中分离出来,在SDN交换机上维护流表(flow table)结构,数据报文按照流表进行转发,而流表的生成、维护、配置则由管理控制器来管理。流表结构将网络处理层次扁平化,使得网络数据的处理满足细粒度的处理要求。在这种控制转发分离架构下,网络的逻辑控制功能和高层策略可以通过管理控制器灵活地进行动态管理和配置,可在不影响传统网络正常流量的情况下,在现有的网络中实现和部署新型网络架构,SDN的基本网络架构如图1所示。
目前国内外的工业界已经开展了对SDN网络在工业控制系统中的应用研究,美国能源部(DOE)于2013年10月开展了基于SDN的工业网络研究项目,目的是将基于SDN的流控制器引入到能源系统,满足能源输送系统的信息传输与交换目标,构建一个能够维持关键功能、抵御攻击事件、具有弹性的能源输送系统,并且工业4.0也将SDN网络作为用于工业通信的重要研究内容。
数据通信的传输控制技术也可称作通信的访问控制技术,是一种网络中控制数据流传输的安全保障方法,一般应用于各种防火墙的设计中,尤其是基于包过滤的防火墙。它能增强网络内部的安全性,可以确定合法的数据通信允许传输,非法的数据通信被丢弃。访问控制通过检查流经的每一个数据报文,进 行数据解析,与预设的访问控制规则进行匹配,根据规则的先后顺序进行一一比较,执行符合规则的处理操作,从而保护网络的通信安全。一般访问控制的处理操作包括两种:一种是阻止传输流通过;另一种是允许传输流通过。
工业控制系统的通信流传输控制要面向于多种工业专有通信协议,例如,Modbus/TCP、OPC、DNP3等,而这些协议都是一种应用层协议,因此需要深度包解析技术对各种工业专有通信协议的应用数据进行深度分析,在此基础上,实现工业通信数据流的传输控制。
发明内容
有鉴于此,本发明的目的是提供一种基于SDN架构的工业通信流传输安全控制方法,符合“纵深防御”的思想,解决基于SDN网络架构的工业控制系统脆弱性和安全防护问题,保障工业控制系统的安全运行。
本发明的进一步目的是提供一种基于SDN架构的工业通信流传输安全控制方法,针对工业控制系统中使用的工业专有通信协议,完成应用数据的深度解析,实现工业通信数据流的传输控制,检测与阻止异常的入侵行为,保护工业控制系统中关键基础设施的安全。
本发明为实现上述目的所采用的技术方案是:一种基于SDN架构的工业通信流传输控制方法,包括以下步骤:
步骤一:当SDN交换机收到工控终端发送的工业通信数据流后,首先进行数据报文解析,与自身存储的流表进行逐条匹配,若与某条匹配,转到步骤二;若与流表全不匹配,转到步骤三;
步骤二:SDN交换机检查流表中相应匹配条目的安全控制标识是否为1,若为1,则将流ID、工业通信协议类型和数据报文中的应用层信息发送给管理控制器,请求对通信内容进行检测,转到步骤四;若为0,SDN交换机按照流表的动作执行相应的操作;
步骤三:SDN交换机将数据报文发送至管理控制器,管理控制器解析该数据报文,利用内部的基本服务功能为该数据报文制定流的传输路径,计算转发 流表信息,分配流ID,然后通过内部的流安全控制模块判断是否需要对该条数据流进行管控,若需要则将流表信息中的安全控制标识置1;否则,置0,然后将流表信息发送给路径上的所有SDN交换机;
步骤四:流安全控制模块对数据报文中的应用层信息按照不同工业通信协议进行深度解析,将解析结果与工业规则策略库中的每一条工业规则策略进行匹配,若匹配成功,则将检测结果发送给SDN交换机,转到步骤五;若匹配不成功,则告知SDN交换机将该整个工业通信数据流做丢弃处理;
步骤五:SDN交换机按照检测结果对工业通信数据流进行进一步处理。
所述流表的表项结构包括包头域、计数器、安全控制标识和动作部分;
所述包头域用于数据报文匹配;
所述计数器用于统计匹配数据报文个数;
所述安全控制标识用于判断是否需要进行流安全控制;
所述动作用于展示匹配数据报文的处理方式。
所述流表的动作包括转发、丢弃、排队和/或修改域。
所述管理控制器的基本服务功能用于基本的网络管理,包括网络拓扑管理、网络设备注册、路由计算、Qos保障,能够通过维护整个网络视图来维护整个网络的基本信息,为每一个通信数据流计算路由路径信息,制定转发流表信息,分配流ID,并能将流表信息发送给路径上的每个SDN交换机。
所述将流表信息发送给路径上的所有SDN交换机,仅仅该传输路径上第一个SDN交换机的流表信息中安全控制标识置1,其他SDN交换机的流表信息中安全控制标识都置为0。
所述流安全控制模块,用于完成两个功能,包括:
(1)对于首次收到某一工业通信数据流的数据报文,根据工业规则策略库判断是否需要对该流进行安全传输管控,即在制定转发流表信息时是否需要设置安全控制标识;
(2)对于需要进行流安全传输管控的数据报文,按照不同的工业通信协议 规约进行报文应用层内容的深度解析,与预设置工业规则策略进行匹配,执行工业规则策略的规定的控制处理操作。
所述工业规则策略库用于存储用户设置的所有工业规则策略,工业规则策略库通过用户自定义添加,用户可以对每一条工业规则策略进行修改、更新、删除操作;其中的每一条工业规则策略包括规则ID、源IP地址、目的IP地址、工业通信协议类型、协议规约规定的关键字段信息内容以及处理操作部分。
所述工业通信协议类型包括Modbus/TCP、Modbus/UDP、DNP3、OPC、Profinet、IEC60870-5-104、MMS、GOOSE通用的工业通信协议。
所述理控制器的流安全控制模块要保存工业规则策略的规则ID与流ID的对应关系,这种对应关系为一对一、或一对多的方式,便于通过流ID查找相应的工业规则策略。
根据权利要求1所述的一种基于SDN架构的工业通信流传输控制方法,其特征在于,所述管理控制器中流安全控制模块的检测结果反映了相应工业规则策略规定的控制处理操作,包括丢弃和按流表中动作处理两种方式。
本发明具有以下优点及有益效果:
1.经由上述技术方案可知,与现有技术相比,本发明公开提供了一种基于SDN架构的工业通信流传输控制方法,在SDN技术的基础上,增加了工业通信数据的检查与控制机制,保障了工业终端不会受到非法访问,保障了基于SDN架构工业控制系统的安全性。
2.该方法符合“纵深防御”的基本安全思想,通过工业规则策略的设置,能够支持对工业控制系统进行重点安全区域的划分,实现不同区域之间流的传输控制。
3.该方法在管理控制器上设计了流安全控制模块,支持对工业通信专有协议的深度解析,满足工业控制系统中这种内容深层次检测的特殊通信安全需求,同时在管理控制器上实现流安全控制模块,降低了SDN交换机的计算负载,增加了网络整体的安全可扩展性,并且用户自定义的工业规则策略设置方式提高 了用户对网络安全的管理控制能力。
附图说明
图1为本发明中SDN网络基本架构示意图;
图2为本发明的基本模型示意图;
图3为本发明实施例中SDN交换机流表中表项结构示意图;
图4为本发明的执行过程实施例示意图;
图5为本发明的流表信息生成过程示意图;
图6为本发明的匹配流程示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本发明的方法属于软件定义网络(SDN)的范畴。软件定义网络是目前一种新型的网络创新架构,它将传统固定式的路由配置变换成灵活的软件形式,将网络设备上的控制权分立出来,由集中的控制器管理,无须以来底层网络设备,屏蔽了来自底层网络设备的差异,并且控制权是完全开放的,用户可以自定义任何想实现的网络路由和传输策略,从而更加灵活和智能,图1给出了典型SDN网络的基本架构示意图。
为了保障基于SDN架构的工业控制系统的通信安全,防止系统中出现的恶意攻击或误操作等行为,本发明提供了一种基于SDN架构的工业通信流传输控制控制方法。参见图2,示出了本发明一种基于SDN架构的工业通信流传输控制方法的基本模型,该模型主要包括三个部分:控制层面、数据层面和终端层面。
控制层面主要由一个或多个分布式的管理控制器组成,管理控制器根据网络的具体状态和用户的配置,制定所有数据层面SDN交换机的路由转发策略。 管理控制器包括SDN网络中原有的基本服务功能和新增的流安全控制模块,同时根据流安全控制模块的需求,管理控制器还配备了工业规则策略库用于存储用户自设定的工业规则策略。基本服务功能用于基本的网络管理,包括网络拓扑管理、网络设备注册、路由计算、Qos保障等,能够通过维护整个网络视图来维护整个网络的基本信息,如拓扑、网络单元和提供的服务等,能够为每一个通信数据流计算路由路径信息,制定转发流表信息,分配流ID,并能将流表信息发送给路径上的每个SDN交换机。流安全控制模块主要完成两个功能,包括:一种功能是对于首次收到某一工业通信数据流的数据报文,根据工业规则策略库判断是否需要对该流进行安全传输管控,即在制定转发流表信息时是否需要设置安全控制标识;另一种功能是对于需要进行流安全传输管控的数据报文,按照不同的工业通信协议规约进行报文应用层内容的深度解析,与预设置工业规则策略进行匹配,执行工业规则策略的规定的控制处理操作。深度解析,又称深度包检测技术,为现有技术,国内外均有相关文献记载,可参考 http:// blog.sina.com.cn/s/blog_4b108ce20100afwf.html。
数据层面主要由SDN交换机所组成,系统中所有SDN交换机连接后共同组成了整个传输网络,每一个SDN交换机都拥有一个或多个流表,该流表的表项结构主要由四部分组成——包头域、计算器、安全控制标识和动作,如图3所示,其中本发明方法要求包头域中必有包括源IP地址、目的IP地址、IP协议、TCP/UDP源端口和TCP/UDP目的端口等元组,其他的可选元组可参照OpenFlow流表中包头域的定义,包头域用于数据报文匹配,计数器用于统计匹配数据报文个数,安全控制标识用于判断是否需要进行流安全控制,动作用于展示匹配数据报文的处理方式,可包括转发、丢弃等必备动作,也可包括OpenFlow中定义的排队、修改域等可选动作。在本发明方法中,SDN交换机不仅依据流表在本地做简单的高速数据转发,同时也要负责将需要流传输控制的数据报文发送给管理控制器。
终端层面主要包括一些典型的工业终端,例如可编程逻辑控制器PLC、远 程终端单元RTU、DCS控制器、工程师站、操作员站、OPC Server、OPC Client、人机接口HMI等各种工业计算设备。本发明方法不需要对现有的工业终端做任何修改,即控制层面和数据层面对终端层面是透明的,现有工业控制系统中的工业终端设备可完全适用于本发明方法。
为了清楚的说明本发明方法对工业通信数据流传输控制的执行过程和处理方法,下面以Modbus/TCP协议的应用场景进行详细的介绍,参见图4,示出了一种基于SDN架构的工业通信流传输控制方法的执行过程实施例示意图。
首先,用户根据具体的安全需求设定工业规则策略库,本实施例中给出了Rule1和Rule2两条工业规则策略,规则策略中的主要项目表示如下含义:
Rule1、Rule2表示工业规则策略的规则ID;
M1-SIP表示Modbus主站M1的IP地址、M2-SIP表示Modbus主站M2的IP地址、S1-DIP表示Modbus从站S1的IP地址;
Modbus/TCP表示为工业通信协议类型;
K-info1、K-info2分别表示规则1和规则2中需要检测的Modbus/TCP协议规定的关键字段信息;
Drop、F-Action分别表示对通信流做丢弃处理和按流表中动作进行处理。
下面以两个工业通信流的执行过程说明本发明方法的两种通信流处理方式,需要说明的是,实施例只是给出了两种常用的处理方式,其他适用于本发明方法的处理方式也在本发明的保护范围内。
(1)当SDN交换机SW1中没有工业通信流1所对应的流表信息Flow1时,针对工业通信流1的数据报文的执行过程:
步骤一:Modbus主站M1首次向SDN交换机SW1发送通信流1的数据报文,SW1收到数据报文后首先提取报文中的包头信息与自己的流表进行逐一匹配,若与某一条匹配,则执行该条流表规定的动作;若全不匹配,则将数据报文转发给管理控制器;
步骤二:管理控制器收到通信流1的数据报文后,首先利用基本服务功能为该数据报文制定流的传输路径,计算转发流表信息,然后利用流安全控制模块通过数据包的源、目的IP地址和工业通信协议(通过目的端口确定)在工业规则策略库中进行查找,发现数据报文中的源IP地址、目的IP地址、工业通信协议分别与规则Rule1中的M1-SIP、S1-DIP、Modbus/TCP相匹配,则确定此通信流需要安全传输控制,然后对数据报文的应用层数据进行深度解析,将解析后的内容与规则Rule1中的关键字段信息K-info1进行匹配,若匹配成功,则将流表信息Flow1和控制处理操作Drop发送给SW1,最后丢弃该数据报文;
步骤三:SDN交换机SW1收到流表信息Flow1后,将控制处理操作Drop作为流表信息Flow1的动作,此时流表信息Flow1中P-header1为流1数据报文的包头域信息,count为计数器,F-control为安全控制标识,其值为1,动作为Drop,即丢弃处理。当SDN交换机SW1收到后续Modbus主站M1发送的通信流1的数据报文时,SW1与流表信息Flow1进行匹配,然后执行丢弃处理。
(2)当SDN交换机SW2中有工业通信流2所对应的流表信息Flow2时,针对工业通信流2的数据报文的执行过程:
步骤一:当Modbus主站M2向SDN交换机SW2发送通信流2的数据报文时,SW2收到数据报文后提取报文中的包头信息与自己的流表进行逐一匹配,发现与流信息Flow2匹配成功,然后检查安全控制标识F-control为1,则将流ID:Flow2和应用层信息发送给管理控制器;
步骤三:当管理控制器收到SW2发送过来的信息后,流安全控制模块首先通过流ID:Flow2查找对应的工业规则策略Rule2,然后按照Modbus/TCP协议对应用层信息进行深度解析,将解析后的内容与规则Rule2中的关键字段信息K-info2进行匹配,若匹配成功,则将处理操作F-action发送给SW2;否则,告知SW2丢弃此数据报文;
步骤三:当SW2收到处理操作F-action后,则将此通信流2的数据报文按照流表中的动作Forward即转发处理,通信流2的数据报文最终被转发至Modbus 从站S2,完成一次访问通信。
为了说明本发明方法中管理控制器为SDN交换机制定流表信息的详细过程,参见图5,示出了本发明一种基于SDN架构的工业通信流传输控制方法的流表信息生成过程示意图。主要步骤如下:
步骤一:当管理控制器收到SDN交换机首次发送的数据报文后,利用基本服务功能首先解析数据报文的包头信息,然后根据解析后的包头信息、网络拓扑、链路状态等制定初始流表信息,包括流ID、包头域、计数器、动作等部分,具体的过程参照OpenFlow协议中规定方法,本专利不再详述。
步骤二:管理控制器中流安全控制模块根据数据报文中的源IP地址、目的IP地址和应用层协议查找工业规则策略库,若与某一条工业规则策略匹配,则转到步骤三;若全不匹配,则管理控制器将初始流表信息的安全控制标识F-control置0,然后将此条流表信息发送给SDN交换机;
步骤三:按照不同的工业通信协议类型,管理控制器对数据报文的应用层信息进行深度解析,与相应的工业规则策略中的K-info进行匹配,若匹配,转到步骤四;若不匹配,则管理控制器将初始流表信息的安全控制标识F-control置0,然后将此条流表信息发送给SDN交换机;
步骤四:管理控制器判断相应的工业规则策略的处理操作方式,若为Drop,则将初始流表信息的安全控制标识F-control置1,并将初始流表信息的动作设置为Drop,然后将此条流表信息发送给SDN交换机;若为F-action,则将初始流表信息的安全控制标识F-control置1,然后将此条流表信息发送给SDN交换机。
参见图6,示出了发明一种基于SDN架构的工业通信流传输控制方法中SDN交换机依据流表处理数据报文的流程示意图,主要步骤如下:
步骤一:当SDN交换机收到终端发送的数据报文后,首先解析数据报文的包头信息,与自身存储的流表中每一条目的包头域P-header进行匹配,若匹配 其中的某一条流表信息,则转至步骤二;若与流表中的所有条目都不匹配,则将此数据包发送至管理控制器进一步处理;
步骤二:SDN交换机判断此条流表信息的动作,若为Drop,则直接将此数据报文丢弃,同时计算器count加1;若为其他,即转发、排队或修改等动作,则转至步骤三;
步骤三:SDN交换机继续判断此条流表信息的安全控制标识F-control,若为1,则将此数据报文对应的流ID和应用层信息发送至管理控制器进一步处理;若为0,按照此条流表信息的动作对数据报文进行处理,同时计算器count加1。
Claims (10)
1.一种基于SDN架构的工业通信流传输安全控制方法,其特征在于:包括以下步骤:
步骤一:当SDN交换机收到工控终端发送的工业通信流后,首先进行数据报文解析,与自身存储的流表进行逐条匹配,若与某条匹配,转到步骤二;若与流表全不匹配,转到步骤三;
步骤二:SDN交换机检查流表中相应匹配条目的安全控制标识是否为1,若为1,则将流ID、工业通信协议和数据报文中的应用层信息发送给管理控制器,请求对通信内容进行检测,转到步骤四;若为0,SDN交换机按照流表的动作执行相应的操作;
步骤三:SDN交换机将数据报文发送至管理控制器,管理控制器解析该数据报文,利用内部的基本服务功能为该数据报文制定流的传输路径,计算流表信息,分配流ID,然后通过内部的流安全控制模块判断是否需要对该工业通信流进行管控,若需要则将流表信息中的安全控制标识置1;否则,置0,然后将流表信息发送给传输路径上的所有SDN交换机;
步骤四:流安全控制模块对数据报文中的应用层信息按照不同工业通信协议进行深度解析,将解析结果与工业规则策略库中的每一条工业规则策略进行匹配,若匹配成功,则将检测结果发送给SDN交换机,转到步骤五;若匹配不成功,则告知SDN交换机将该工业通信流做丢弃处理;
步骤五:SDN交换机按照检测结果对工业通信流进行进一步处理。
2.根据权利要求1所述的一种基于SDN架构的工业通信流传输安全控制方法,其特征在于,所述流表的表项结构包括包头域、计数器、安全控制标识和动作;
所述包头域用于数据报文匹配;
所述计数器用于统计匹配数据报文个数;
所述安全控制标识用于判断是否需要进行流安全控制;
所述动作用于展示匹配数据报文的处理方式。
3.根据权利要求2所述的一种基于SDN架构的工业通信流传输安全控制方法,其特征在于,所述流表的动作包括转发、丢弃、排队和/或修改域。
4.根据权利要求1所述的一种基于SDN架构的工业通信流传输安全控制方法,其特征在于,所述管理控制器的基本服务功能用于基本的网络管理,包括网络拓扑管理、网络设备注册、路由计算、Qos保障,能够通过维护整个网络视图来维护整个网络的基本信息,为每一个工业通信流计算路由路径信息,制定流表信息,分配流ID,并能将流表信息发送给传输路径上的每个SDN交换机。
5.根据权利要求1所述的一种基于SDN架构的工业通信流传输安全控制方法,其特征在于,所述将流表信息发送给传输路径上的所有SDN交换机,仅仅该传输路径上第一个SDN交换机的流表信息中安全控制标识置1,其他SDN交换机的流表信息中安全控制标识都置为0。
6.根据权利要求1所述的一种基于SDN架构的工业通信流传输安全控制方法,其特征在于,所述流安全控制模块,用于完成两个功能,包括:
(1)对于首次收到某一工业通信流的数据报文,根据工业规则策略库判断是否需要对该工业通信流进行安全传输管控,在制定流表信息时设置安全控制标识;
(2)对于需要进行流安全传输管控的数据报文,按照不同的工业通信协议进行报文应用层内容的深度解析,与预设置工业规则策略进行匹配,执行工业规则策略的规定的控制处理操作。
7.根据权利要求1所述的一种基于SDN架构的工业通信流传输安全控制方法,其特征在于,所述工业规则策略库用于存储用户设置的所有工业规则策略,工业规则策略库通过用户自定义添加,用户可以对每一条工业规则策略进行修改、更新、删除操作;其中的每一条工业规则策略包括规则ID、源IP地址、目的IP地址、工业通信协议、协议规定的关键字段信息内容以及处理操作部分。
8.根据权利要求1所述的一种基于SDN架构的工业通信流传输安全控制方法,其特征在于,所述工业通信协议包括Modbus/TCP、Modbus/UDP、DNP3、OPC、Profinet、IEC60870-5-104、MMS、GOOSE。
9.根据权利要求1所述的一种基于SDN架构的工业通信流传输安全控制方法,其特征在于,所述管理控制器的流安全控制模块要保存工业规则策略的规则ID与流ID的对应关系,这种对应关系为一对一、或一对多的方式,便于通过流ID查找相应的工业规则策略。
10.根据权利要求1所述的一种基于SDN架构的工业通信流传输安全控制方法,其特征在于,所述管理控制器中流安全控制模块的检测结果反映了相应工业规则策略规定的控制处理操作,包括丢弃和按流表中动作处理两种方式。
Priority Applications (4)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201510459325.0A CN106411820B (zh) | 2015-07-29 | 2015-07-29 | 一种基于sdn架构的工业通信流传输安全控制方法 |
US15/525,667 US10447655B2 (en) | 2015-07-29 | 2015-12-25 | Method for controlling transmission security of industrial communications flow based on SDN architecture |
PCT/CN2015/098820 WO2017016162A1 (zh) | 2015-07-29 | 2015-12-25 | 一种基于sdn架构的工业通信流传输安全控制方法 |
EP15899509.2A EP3206356B1 (en) | 2015-07-29 | 2015-12-25 | Controlling transmission security of industrial communications flow in a sdn architecture |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201510459325.0A CN106411820B (zh) | 2015-07-29 | 2015-07-29 | 一种基于sdn架构的工业通信流传输安全控制方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN106411820A CN106411820A (zh) | 2017-02-15 |
CN106411820B true CN106411820B (zh) | 2019-05-21 |
Family
ID=57884030
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201510459325.0A Active CN106411820B (zh) | 2015-07-29 | 2015-07-29 | 一种基于sdn架构的工业通信流传输安全控制方法 |
Country Status (4)
Country | Link |
---|---|
US (1) | US10447655B2 (zh) |
EP (1) | EP3206356B1 (zh) |
CN (1) | CN106411820B (zh) |
WO (1) | WO2017016162A1 (zh) |
Families Citing this family (47)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
TW201605198A (zh) | 2014-07-31 | 2016-02-01 | 萬國商業機器公司 | 智慧網路管理裝置以及管理網路的方法 |
CN112135327A (zh) | 2015-09-23 | 2020-12-25 | 华为技术有限公司 | 一种报文处理的方法、网络设备及系统 |
US10110469B2 (en) * | 2016-07-21 | 2018-10-23 | Cisco Technology, Inc. | Detecting and preventing network loops |
AU2017307345B2 (en) * | 2016-08-03 | 2022-02-24 | Schneider Electric Industries Sas | Industrial software defined networking architecture for deployment in a software defined automation system |
US10819653B2 (en) * | 2016-12-29 | 2020-10-27 | Siemens Aktiengesellschaft | Control unit and method for operating an industrial automation system communication network comprising a plurality of communication devices |
CN108259335B (zh) * | 2017-03-31 | 2020-09-08 | 新华三技术有限公司 | 路径探测方法和装置 |
US20180309724A1 (en) * | 2017-04-24 | 2018-10-25 | Radiflow Ltd. | Control plane network security |
US10511523B1 (en) * | 2017-05-15 | 2019-12-17 | Barefoot Networks, Inc. | Network forwarding element with data plane packet snapshotting capabilities |
CN107465667B (zh) * | 2017-07-17 | 2019-10-18 | 全球能源互联网研究院有限公司 | 基于规约深度解析的电网工控安全协同监测方法及装置 |
CN108011865B (zh) * | 2017-10-28 | 2020-05-05 | 中国人民解放军信息工程大学 | 基于流水印和随机采样的sdn流迹追踪方法、装置及系统 |
CN108040011B (zh) * | 2017-12-13 | 2020-07-07 | 中国兵器装备集团自动化研究所 | 一种基于龙芯架构的软件定义网络交换装置及数据交换方法 |
JP6984499B2 (ja) * | 2018-03-12 | 2021-12-22 | オムロン株式会社 | FA(Factory Automation)システム、コントローラ、および制御方法 |
CN110290092B (zh) * | 2018-03-19 | 2021-05-28 | 中国科学院沈阳自动化研究所 | 一种基于可编程交换机的sdn网络配置管理方法 |
CN110290093A (zh) * | 2018-03-19 | 2019-09-27 | 杭州达乎科技有限公司 | Sd-wan网络架构及组网方法、报文转发方法 |
US20210194850A1 (en) * | 2018-06-18 | 2021-06-24 | Battelle Energy Alliance, Llc | Smart network switching systems and related methods |
US10979542B2 (en) * | 2018-08-28 | 2021-04-13 | Vmware, Inc. | Flow cache support for crypto operations and offload |
FR3087603A1 (fr) * | 2018-10-23 | 2020-04-24 | Orange | Technique de collecte d'informations relatives a un flux achemine dans un reseau |
CN109327377B (zh) * | 2018-11-27 | 2021-06-01 | 浙江工商大学 | 一种基于软件定义的广域工业网络互联方法 |
CN109861993B (zh) * | 2019-01-15 | 2021-08-13 | 中国电子科技网络信息安全有限公司 | 一种基于sdn的流量安全采集方法及系统 |
CN110190979B (zh) * | 2019-03-03 | 2022-02-11 | 杭州立思辰安科科技有限公司 | 高速策略匹配分析方法 |
CN109921944B (zh) * | 2019-03-21 | 2021-12-14 | 青岛铁木真软件技术有限公司 | 用于工业互联网的网络边界控制方法及装置 |
CN109922085B (zh) * | 2019-04-11 | 2021-12-24 | 江苏亨通工控安全研究院有限公司 | 一种基于plc中cip协议的安全防护系统及方法 |
EP3739407A1 (de) * | 2019-05-13 | 2020-11-18 | Siemens Aktiengesellschaft | Verfahren zur anpassung einer kommunikationstopologie in einem cyber-physischen system |
CN110381025B (zh) * | 2019-06-14 | 2020-08-04 | 浙江大学 | 一种软件定义防火墙系统的实现方法 |
CN110505150A (zh) * | 2019-09-04 | 2019-11-26 | 北京元安物联技术有限公司 | 物联网控制方法、装置、系统、物联网网关及sdn控制器 |
CN110460483B (zh) * | 2019-09-25 | 2022-04-12 | 重庆邮电大学 | 一种基于SDN的Profinet和Modbus设备异构组网方法 |
US11287808B2 (en) * | 2019-10-31 | 2022-03-29 | Honeywell International Inc. | Industrial process control and automation system having decoupled controllers |
CN112995038B (zh) * | 2019-12-16 | 2022-03-15 | 中国科学院沈阳自动化研究所 | Profinet协议在工业sdn中的接入方法 |
CN112994994B (zh) * | 2019-12-16 | 2022-09-06 | 中国科学院沈阳自动化研究所 | 基于工业以太网协议在工业sdn中的接入方法 |
CN111131489A (zh) * | 2019-12-30 | 2020-05-08 | 深圳市英威腾电气股份有限公司 | 数据传输方法、设备及存储介质 |
EP3883214B1 (en) * | 2020-03-20 | 2023-09-06 | Mitsubishi Electric R&D Centre Europe B.V. | A method for implementing an industrial communication gateway |
CN111797371A (zh) * | 2020-06-16 | 2020-10-20 | 北京京投信安科技发展有限公司 | 一种交换机加密系统 |
CN111752245B (zh) * | 2020-06-30 | 2021-06-25 | 北京和利时智能技术有限公司 | 数据访问及处理方法、装置、设备及可读存储介质 |
CN112187769B (zh) * | 2020-09-23 | 2022-06-24 | 中国核动力研究设计院 | 一种用于核电厂安全级dcs的权限管理系统 |
CN112152854B (zh) * | 2020-09-25 | 2023-11-07 | 绿盟科技集团股份有限公司 | 一种信息处理方法及装置 |
CN112272184B (zh) * | 2020-10-29 | 2022-07-01 | 杭州迪普科技股份有限公司 | 一种工业流量检测的方法、装置、设备及介质 |
CN112995316B (zh) * | 2021-02-25 | 2023-05-12 | 深信服科技股份有限公司 | 数据处理方法、装置、电子设备和存储介质 |
CN113162911B (zh) * | 2021-03-11 | 2022-07-05 | 南京邢天网络技术有限公司 | 基于sdn网络控制器的多协议兼容的数据交互方法及装置 |
CN113489679B (zh) * | 2021-06-03 | 2023-08-25 | 武汉理工大学 | 一种面向热冷加工离散制造企业的工业互联网标识解析方法 |
CN113595793B (zh) * | 2021-07-30 | 2023-11-07 | 桂林电子科技大学 | 基于fpga的sdn网络策略一致性的分段验证方法 |
US11956123B1 (en) * | 2021-09-29 | 2024-04-09 | Cisco Technology, Inc. | Monitoring interface configurations for network devices in fabrics |
CN113885474A (zh) * | 2021-09-30 | 2022-01-04 | 株洲中车时代电气股份有限公司 | 控制网络及列车 |
CN114124810B (zh) * | 2021-11-26 | 2023-11-17 | 江苏省未来网络创新研究院 | 一种基于SDN与openfalcon架构的虚拟试验平台试验流量监控方法 |
CN114143259A (zh) * | 2021-11-26 | 2022-03-04 | 中徽建技术有限公司 | 一种海量网络数据处理方法及系统 |
CN115174273B (zh) * | 2022-09-06 | 2023-01-06 | 军工保密资格审查认证中心 | 数据处理方法、工业控制系统、电子设备及存储介质 |
CN115242897B (zh) * | 2022-09-23 | 2023-01-06 | 北京六方云信息技术有限公司 | 设备通信方法、装置、终端设备以及存储介质 |
CN116886364A (zh) * | 2023-07-17 | 2023-10-13 | 武汉恒信永合电子技术有限公司 | 一种sdn交换机运行方法 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103051557A (zh) * | 2012-12-27 | 2013-04-17 | 华为技术有限公司 | 数据流处理方法及系统、控制器、交换设备 |
US20130163427A1 (en) * | 2011-12-22 | 2013-06-27 | Ludovic Beliveau | System for flexible and extensible flow processing in software-defined networks |
CN104202322A (zh) * | 2014-09-04 | 2014-12-10 | 国家电网公司 | 一种基于OpenFlow协议的OpenFlow交换机报文安全监控方法 |
CN104348819A (zh) * | 2013-08-07 | 2015-02-11 | 上海宽带技术及应用工程研究中心 | 一种软件定义网络中的防火墙系统及其实现方法 |
Family Cites Families (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8711860B2 (en) | 2011-12-22 | 2014-04-29 | Telefonaktiebolaget L M Ericsson (Publ) | Controller for flexible and extensible flow processing in software-defined networks |
WO2014205119A1 (en) * | 2013-06-18 | 2014-12-24 | The Regents Of The University Of Colorado, A Body Corporate | Software-defined energy communication networks |
KR101864813B1 (ko) * | 2013-08-31 | 2018-06-05 | 후아웨이 테크놀러지 컴퍼니 리미티드 | 저장 시스템에서 조작 요청을 처리하기 위한 방법 및 장치 |
CN104660507B (zh) | 2013-11-22 | 2018-11-16 | 华为技术有限公司 | 数据流转发路由的控制方法及装置 |
CN103916314A (zh) * | 2013-12-26 | 2014-07-09 | 杭州华为数字技术有限公司 | 报文转发控制方法和相关装置及物理主机 |
CN105099913B (zh) * | 2014-04-21 | 2018-07-20 | 新华三技术有限公司 | 一种报文转发方法及设备 |
WO2015180040A1 (zh) * | 2014-05-27 | 2015-12-03 | 华为技术有限公司 | 流表管理方法及相关设备和系统 |
EP3123667B1 (en) * | 2014-06-26 | 2020-08-05 | NEC Corporation | Method for monitoring a status in form of presence and/or absence of a network entity |
EP3228056A1 (en) * | 2014-12-01 | 2017-10-11 | Nokia Solutions and Networks Oy | Methods and computing devices to regulate packets in a software defined network |
WO2016137491A1 (en) * | 2015-02-27 | 2016-09-01 | Hewlett Packard Enterprise Development Lp | Software defined network controller for implementing tenant specific policy |
-
2015
- 2015-07-29 CN CN201510459325.0A patent/CN106411820B/zh active Active
- 2015-12-25 WO PCT/CN2015/098820 patent/WO2017016162A1/zh active Application Filing
- 2015-12-25 US US15/525,667 patent/US10447655B2/en active Active
- 2015-12-25 EP EP15899509.2A patent/EP3206356B1/en active Active
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20130163427A1 (en) * | 2011-12-22 | 2013-06-27 | Ludovic Beliveau | System for flexible and extensible flow processing in software-defined networks |
CN103051557A (zh) * | 2012-12-27 | 2013-04-17 | 华为技术有限公司 | 数据流处理方法及系统、控制器、交换设备 |
CN104348819A (zh) * | 2013-08-07 | 2015-02-11 | 上海宽带技术及应用工程研究中心 | 一种软件定义网络中的防火墙系统及其实现方法 |
CN104202322A (zh) * | 2014-09-04 | 2014-12-10 | 国家电网公司 | 一种基于OpenFlow协议的OpenFlow交换机报文安全监控方法 |
Also Published As
Publication number | Publication date |
---|---|
US20170339109A1 (en) | 2017-11-23 |
EP3206356B1 (en) | 2020-06-10 |
CN106411820A (zh) | 2017-02-15 |
EP3206356A4 (en) | 2018-07-18 |
EP3206356A1 (en) | 2017-08-16 |
WO2017016162A1 (zh) | 2017-02-02 |
US10447655B2 (en) | 2019-10-15 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN106411820B (zh) | 一种基于sdn架构的工业通信流传输安全控制方法 | |
CN104104718B (zh) | 一种基于软件定义网络的用户自主路由定制系统和方法 | |
EP2945350B1 (en) | Protocol splitter and corresponding communication method | |
CN108289104A (zh) | 一种工业SDN网络DDoS攻击检测与缓解方法 | |
US10313233B2 (en) | Method for routing data, computer program, network controller and network associated therewith | |
US20150249588A1 (en) | Distributed Processing System | |
CN104994065A (zh) | 基于软件定义网络的访问控制列表运行系统和方法 | |
US9544194B2 (en) | Network management service system, control apparatus, method, and program | |
CN106605392A (zh) | 用于使用控制器在网络上进行操作的系统和方法 | |
CN110213198A (zh) | 网络流量的监控方法及系统 | |
CN106161333A (zh) | 基于sdn的ddos攻击防护方法、装置及系统 | |
CN110086825B (zh) | 一种无人机电力巡检数据安全传输系统和方法 | |
CN105871811B (zh) | 控制应用程序权限的方法及控制器 | |
CN103621028A (zh) | 控制网络访问策略的计算机系统、控制器和方法 | |
CN105471907B (zh) | 一种基于Openflow的虚拟防火墙传输控制方法及系统 | |
CN101820383B (zh) | 限制交换机远程访问的方法及装置 | |
CN109558366A (zh) | 一种基于多处理器架构的防火墙 | |
CN108353068A (zh) | Sdn控制器辅助的入侵防御系统 | |
CN103957174B (zh) | 语义交换机松耦合系统进行信息处理的方法 | |
CN107360115A (zh) | 一种sdn网络防护方法及装置 | |
CN106326736A (zh) | 数据处理方法及系统 | |
JP2013070325A (ja) | 通信システム、通信装置、サーバ、通信方法 | |
CN103957173B (zh) | 语义交换机 | |
CN108418794A (zh) | 一种智能变电站通信网络抵御arp攻击的方法及系统 | |
KR101573150B1 (ko) | Sdn 네트워크 환경에서 플로우 테이블의 정합성 관리 방법 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |