CN108696535B

CN108696535B - 基于sdn的网络安全防护系统和方法

Info

Publication number: CN108696535B
Application number: CN201810688828.9A
Authority: CN
Inventors: 陈丽琼; 何心; 刘微
Original assignee: Shanghai Institute of Technology
Current assignee: Shanghai Institute of Technology
Priority date: 2018-06-28
Filing date: 2018-06-28
Publication date: 2021-03-23
Anticipated expiration: 2038-06-28
Also published as: CN108696535A

Abstract

本发明提供了一种基于SDN的网络安全防护系统和方法，该系统包括：感知层控制中心、转发层、控制层、应用层，其中：感知层控制中心与所述控制层通信连接，用于接收感知层布设的传感器所采集的初始数据，对初始数据进行分析处理，以筛选出初始数据中的异常数据；并将异常数据通过转发层发送给应用层；转发层将感知层控制中心发送的异常数据转发给应用层，或者将初始数据发送给控制层进行处理；控制层实现对所述感知层控制中心、转发层，以及感知层布设的传感器的控制；应用层接收所述感知层控制中心发送的所述异常数据，并将异常数据推送给用户，以实现与用户的交互。本发明可以增强系统的抗攻击性能，并快速地定位到异常问题，便于系统的恢复。

Description

基于SDN的网络安全防护系统和方法

技术领域

本发明涉及网络安全技术领域，具体地，涉及基于软件定义网络(SoftwareDefined Network，SDN)的网络安全防护系统和方法。

背景技术

随着物联网(Internet of Things)技术的发展，地下轨道交通系统也逐渐引入物联网相关技术。具体地，引入物联网技术的地铁系统分为三部分：感知层、网络层、应用层。其中，最底层为感知层，例如地铁设备上配置的传感器、RFID标签等，用于收集控制对象的信息。中间层为网络层，用于实现网络数据的传输；最顶层为应用层，用于实现人机交互层。基于物联网的地铁系统可以实现对地铁运行的实时监控、故障处理、联动决策等，从而有效提高了地铁系统的智能性。

但是，相比于互联网，物联网的复杂性导致其面临着更多安全隐患。无论是地下轨道交通设施自身，还是引入物联网技术的计算机管理系统，都面临着诸多安全隐患。

发明内容

针对现有技术中的缺陷，本发明的目的是提供一种基于SDN的网络安全防护系统和方法。

根据本发明提供的一种基于SDN的网络安全防护系统，包括：感知层控制中心、转发层、控制层、应用层，其中：

所述感知层控制中心与所述控制层通信连接，用于接收感知层布设的传感器所采集的初始数据，对所述初始数据进行分析处理，以筛选出所述初始数据中的异常数据；并将所述异常数据通过转发层发送给应用层；

所述转发层包括：路由器、交换机，用于将所述感知层控制中心发送的异常数据转发给应用层，或者将初始数据发送给所述控制层进行处理；

所述控制层包括：多个控制器，并由一个随机选取的控制器作为中心控制器，所述中心控制器的权限高于其它控制器，用语协调调度其它控制器；当所述中心控制器的软硬件出现故障时，自动从其他控制器中随机选出一个控制器作为新的中心控制器；所述控制层用于实现对所述感知层控制中心、转发层，以及感知层布设的传感器的控制；

所述应用层，用于接收所述感知层控制中心发送的所述异常数据，并将所述异常数据推送给用户，以实现与用户的交互。

可选地，所述控制层与所述转发层之间通过OpenFlow协议进行信息交互；

当所述转发层的数据传输正常时，所述OpenFlow协议的状态开关处于闭合状态；

当所述转发层的数据传输发生异常时，所述OpenFlow协议的状态开关处于开启状态，所述转发层与所述控制层连接，由所述控制层对数据进行直接处理。

可选地，所述应用层还通过API接口与网络层进行信息交互，且所述API接口保持畅通状态。

可选地，还包括：安全自测模块，所述安全自测模块用于对外部访问信号进行检测。

可选地，所述安全自测模块包括：授权模块、防护墙模块、信号发射模块；

所述授权模块，用于对系统内部传输的数据进行验证，对用户发送的访问请求进行验证，以及对用户的访问权限进行授权；

所述防护墙模块，用于对系统外部的访问请求进行监测；

所述信号发射模块，用于将检测结果发给所述授权模块、防护墙模块；所述检测结果包括：安全、危险、可疑；当结果为安全时，信号被允许传输，用户请求将被允许；当结果为危险时，拦截信息，并拒绝信号发送方的信号或用户的请求；当检测结果为可疑的时，对信号进行标注，并向所述授权模块、防护墙模块发送标注的可疑信号，以使得所述授权模块、防护墙模块针对所述可疑进行处理。

可选地，所述安全自测模块的数量为多个，分别设置在感知层控制中心、转发层、控制层、应用层。

本发明还提供一种基于SDN的网络安全防护方法，其应用上述任一项所述的基于SDN的网络安全防护系统，实现对轨道交通物联网安全防护。

与现有技术相比，本发明具有如下的有益效果：

1、本发明提供的基于SDN的网络安全防护系统的中心控制器对外隐藏，不易被攻击，一旦软硬件损坏，中心控制器可以随机或根据算法进行转移，从而提升了系统的健壮性。

2、本发明提供的基于SDN的网络安全防护系统，采用局部功能划分方式，将系统划分成多个模块，并分别对这些模块进行管理和检测；当系统遭到攻击时，本发明可以根据信号发射模块上所标注的可疑信号进行回溯，迅速找出异常出现点；便于对系统进行恢复。

附图说明

通过阅读参照以下附图对非限制性实施例所作的详细描述，本发明的其它特征、目的和优点将会变得更明显：

图1为应用在地铁物联网的网络安全架构示意图；

图2为本发明中全自测模块的架构示意图；

图3为应用在地铁物联网的安全防护系统的架构示意图。

具体实施方式

下面结合具体实施例对本发明进行详细说明。以下实施例将有助于本领域的技术人员进一步理解本发明，但不以任何形式限制本发明。应当指出的是，对本领域的普通技术人员来说，在不脱离本发明构思的前提下，还可以做出若干变化和改进。这些都属于本发明的保护范围。

联网的技术的引入使地铁系统构成复杂，软硬件数量大、种类多，特别是网络层。传统的网络配置是静态的、不变的，通常对用户不可见。这些性质会导致网络传输层扩展性差，传输效率低。近年来，软件定义网络SDN技术逐渐发展起来，它的控制层面与转发平面互相分离，具有较好的扩展性与可编程性，可以较好地弥补传统网络的不足。因此，SDN技术适用于安全地铁安全处理框架。

本发明提供的基于SDN的网络安全防护系统，包括：感知层控制中心、转发层、控制层、应用层，其中：

所述转发层，用于将所述感知层控制中心发送的异常数据转发给应用层，或者将初始数据发送给所述控制层进行处理；

所述控制层，用于实现对所述感知层控制中心、转发层，以及感知层布设的传感器的控制；

本实施例中，所述控制层与所述转发层之间通过OpenFlow协议进行信息交互；当所述转发层的数据传输正常时，所述OpenFlow协议的状态开关处于闭合状态；当所述转发层的数据传输发生异常时，所述OpenFlow协议的状态开关处于开启状态，所述转发层与所述控制层连接，由所述控制层对数据进行直接处理。

本实施例中，所述应用层还通过API接口与网络层进行信息交互，且所述API接口保持畅通状态。

进一步地，如图2所示，本发明提供的基于SDN的网络安全防护系统，还包括：安全自测模块，所述安全自测模块用于对外部访问信号进行检测。

本实施例中，所述安全自测模块包括：授权模块、防护墙模块、信号发射模块；

所述授权模块，用于对系统内部传输的数据进行验证，对用户发送的访问请求进行验证，以及对用户的访问权限进行授权；所述防护墙模块，用于对系统外部的访问请求进行监测；所述信号发射模块，用于将检测结果发给其他模块。检测结果有三种，安全、危险、可疑。当结果为安全，信号被允许传输，用户请求将被允许；当结果为危险，该模块将拦截信息，拒绝信号发送方的信号或用户的请求；当检测结果为可疑的时候，将在信号疑似危险出标注，并向其它模块发送结果，收到可疑信号的模块将作出反应，例如升级防护墙检测算法。

本实施例中，所述安全自测模块的数量可以为多个，分别设置在感知层控制中心、转发层、控制层、应用层。

另外，本发明还提供一种基于SDN的网络安全防护方法，应用上述的基于SDN的网络安全防护系统，实现对轨道交通物联网安全防护。

具体地，以地铁内部的温度监测为例，对本发明中的基于SDN的网络安全防护系统进行详细说明，需要指出的是，本实施例仅以温度监测为例，但是不限定对监测数据类型以及数量的限定，本领域技术人员可以在本发明的基础上，实现对其他参数的监测。

具体地，基于SDN的地铁物联网被默认为一个宏大的系统，每个地铁线路、班次虽然有差异，但彼此可以相互影响。因此需要在传输过程中谨慎关注，一方面单个线路车次发生问题可能会影响系统内其它线路和车次，因此要进行协调联动处理；另一方面要避免系统对微小事件过于敏感，从而降低系统运行效率。讨论地铁内温度发生异常对于整个地铁系统的影响。

当地铁内温度发生异常，被地铁内设置的传感器感知，传感器通信连接的安全自测模块迅速对其采集到的温度数据进行验证，如果发现该温度数据不安全则在稍做处理后迅速发送至感知层控制中心，由感知层控制中心尝试解决该问题，并且安全自测模块同时进行对内安全检测与对外部信息的防护。假设感知层控制中心采取的措施是重启地铁内温控系统，但重启后未能改善温度异常情况。那么，接下来信息被传输至转发层进行传输，转发层的安全自测模块对接收到的信息进行安全性验证。当通过转发层的安全自测模块的安全性验证之后，且此时不满足触发控制层的条件，则转发层自动将其转发给附近的车次管理方的API模块，同时经过API模块的安全自测模块进行安全验证处理，然后再转发至应用层。应用层与用户都要经过安全自测模块进行验证，针对用户的安全自测模块主要验证用户的身份，即该用户是否有权限对地铁内设备进行处理，假设双方都被确认为安全，则用户开始处理异常。用户得出结论为：此次异常发生的原因是地铁内温控设备损坏。并对其采取维修。

需要说明的是，本发明提供的所述基于SDN的网络安全防护方法中的步骤，可以利用所述基于SDN的网络安全防护系统中对应的模块、装置、单元等予以实现，本领域技术人员可以参照所述系统的技术方案实现所述方法的步骤流程，即，所述系统中的实施例可理解为实现所述方法的优选例，在此不予赘述。

本领域技术人员知道，除了以纯计算机可读程序代码方式实现本发明提供的系统及其各个装置以外，完全可以通过将方法步骤进行逻辑编程来使得本发明提供的系统及其各个装置以逻辑门、开关、专用集成电路、可编程逻辑控制器以及嵌入式微控制器等的形式来实现相同功能。所以，本发明提供的系统及其各项装置可以被认为是一种硬件部件，而对其内包括的用于实现各种功能的装置也可以视为硬件部件内的结构；也可以将用于实现各种功能的装置视为既可以是实现方法的软件模块又可以是硬件部件内的结构。

以上对本发明的具体实施例进行了描述。需要理解的是，本发明并不局限于上述特定实施方式，本领域技术人员可以在权利要求的范围内做出各种变化或修改，这并不影响本发明的实质内容。在不冲突的情况下，本申请的实施例和实施例中的特征可以任意相互组合。

Claims

1.一种基于SDN的网络安全防护系统，其特征在于，包括：感知层控制中心、转发层、控制层、应用层，以及分别设置在感知层控制中心、转发层、控制层、应用层各层的安全自测模块，其中：

所述控制层包括：多个控制器，并由一个随机选取的控制器作为中心控制器，所述中心控制器的权限高于其它控制器，用于协调调度其它控制器；当所述中心控制器的软硬件出现故障时，自动从其他控制器中随机选出一个控制器作为新的中心控制器；所述控制层用于实现对所述感知层控制中心、转发层，以及感知层布设的传感器的控制；

所述应用层，用于接收所述感知层控制中心发送的所述异常数据，并将所述异常数据推送给用户，以实现与用户的交互；

所述安全自测模块用于对外部访问信号进行检测。

2.根据权利要求1所述的基于SDN的网络安全防护系统，其特征在于，所述控制层与所述转发层之间通过OpenFlow协议进行信息交互；

3.根据权利要求1所述的基于SDN的网络安全防护系统，其特征在于，所述应用层还通过API接口与网络层进行信息交互，且所述API接口保持畅通状态。

4.根据权利要求1所述的基于SDN的网络安全防护系统，其特征在于，所述安全自测模块包括：授权模块、防护墙模块、信号发射模块；

所述防护墙模块，用于对系统外部的访问请求进行监测；

5.一种基于SDN的网络安全防护方法，其特征在于，应用权利要求1-4中任一项所述的基于SDN的网络安全防护系统，实现对轨道交通物联网安全防护。