CN109921944A - 用于工业互联网的网络边界控制方法及装置 - Google Patents
用于工业互联网的网络边界控制方法及装置 Download PDFInfo
- Publication number
- CN109921944A CN109921944A CN201910217190.5A CN201910217190A CN109921944A CN 109921944 A CN109921944 A CN 109921944A CN 201910217190 A CN201910217190 A CN 201910217190A CN 109921944 A CN109921944 A CN 109921944A
- Authority
- CN
- China
- Prior art keywords
- network
- acl
- module
- aaa
- rule
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明涉及一种用于工业互联网的网络边界控制方法及装置,包括一种基于SD‑WAN的网络边界控制装置,还提出一种基于SD‑WAN的网络边界控制方法,能够实现对工业互联网中工业控制设备、网络通信设备、智能终端设备等异构设备集中式管理,对工业互联网络拓扑中数据中心网络、云服务网络、企业园区网络、移动办公网络等复杂网络节点、链路和拓扑智能化计算,对工业互联网络中用户身份认证、设备安全接入、流量路由转发等网络边界细粒度控制。
Description
技术领域
本发明涉及互联网领域,具体为一种用于工业互联网的网络边界控制方 法及装置。
背景技术
随着互联网+、物联网、人工智能等高新信息技术的发展,我国工业领域 发展正走向信息化、自动化、智能化的发展道路,致力于突破工业控制系统 的封闭性、工业设备管理的复杂性、工业数据共享的安全性问题,构建工业 数据中心、工业园区网络、企业办公设备的数据共享网络,打造基于万物互 联的工业互联网新生态。与此同时,万物互联带来了更多的安全隐患,较传 统的互联网安全问题而言,工业互联网的安全、隐私、边界问题往往带来巨 大经济损失和社会危害,如2010年伊朗“震网”攻击导致20%离心机报废以 及有毒的放射性物质泄漏,如2012年“火焰”攻击中东能源行业,严重打击 了石油国家的经济命脉,又如2016年乌克兰智能电网工控系统遭到攻击,导 致家庭供电大规模中断。
现有的工业互联网安全解决方案主要集中在四个方面。在违规外联工控 设备检测方面,研究工作围绕网络空间系统设备探测和网络空间测量两方面 展开,前者主要基于混合UDP、TCP、ACK扫描方式实现对PLC设备探测,后 者则主要采用计算机网络拓扑探测方法实现对工业互联网的测绘。在工控系 统检测与专网流量监测方面,主要集中在针对系统漏洞挖掘与检测,以及针 对网络协议验证和监测。在工控系统取证溯源反制方面,2008年Fabro等人 首先提出了控制系统网络取证方法,但是并没给出数据的融合分析方法,后 续的研究工作主要集中在对SCADA和PLC内存和数据的取证技术,目前仍处 于起步阶段;在物联网安全检测方面,研究工作主要分为节点安全防护方法 及恶意行为检测方法的研究。综上,现有工作在工业网络测量、工业流量审 计及工业系统取证漏洞挖掘及检测等方面的研究取得了阶段性的进展,但针 对工业控制系统及新型技术支撑平台等安全通信、网络互联安全保障问题, 国内外研究才刚刚起步。
针对工业互联网异构网络设备的复杂认证、违规接入、非法访问等网络安 全与权限隐私问题,本发明提出了一种用于工业互联网的网络边界控制方法 及装置,涉及基于软件定义广域网的网络边界控制架构、软件定义安全控制 器装置和边缘网关装置,基于SDS思想的集中式控制器管理Underlay网络设 备验证、授权和计费的统一认证策略、Underlay网络设备及用户的接入控制 列表和Overlay网络服务的虚拟路由转发规则,实现对工业互联网异构网络 设备的可信认证、可靠接入和可控路由等网络边界控制。
发明内容
本发明的目的在于提供一种用于工业互联网的网络边界控制方法及装 置,以解决上述背景技术中提出的问题;针对工业互联网异构网络设备的复 杂认证、违规接入、非法访问等网络安全与权限隐私问题,本发明提出一种 基于SD-WAN的网络边界控制方法,基于SDS思想采用集中式控制器方案管理 Underlay网络设备的统一认证,控制Underlay网络设备及用户的可靠接入, 保证Overlay网络服务的可控路由,实现对工业互联网异构网络设备的可信 认证、可靠接入和可控路由等网络边界控制。
为实现上述目的,本发明提供如下技术方案:一种基于SD-WAN的网络边 界控制装置,包括SDS控制器装置和边缘网关装置,所述SDS控制器装置包 括第一控制通道模块、服务抽象层、AAA计算模块、ACL计算模块、VRF计算 模块和REST驱动接口;
第一控制通道模块:与边缘网关装置建立基于OpenFlow协议的通信连接;
服务抽象层:北向AAA计算模块、ACL计算模块、VRF计算模块提供动态 链接加载,南向控制通道模块提供OpenFlow协议;
REST驱动接口:提供基于HTTP协议的RPC API;
所述边缘网关装置包括第二控制通道模块、数据通道模块、Overlay协议 驱动接口和AAA匹配模块、ACL匹配模块和VRF匹配模块;
第二控制通道模块:与控制器装置建立基于OpenFlow协议的通信连接;
数据通道模块:与边缘网关建立基于Overlay的安全隧道用于实现边缘 网关装置的跨域网络互联和安全可靠通信;
Overlay协议驱动接口:对待发送和接收到的报文进行预处理;
AAA匹配模块和VRF匹配模块:分别根据控制器下发的AAA规则和VRF规 则对Overlay流量匹配,进行统一认证和路由转发,若未匹配规则,则将流 量转发至控制器ACL计算模块和VRF计算模块进一步决策。
本发明还涉及一种基于SD-WAN的网络边界控制方法,适用于工业互联网 异构网络设备,所述方法用于管理Underlay网络设备的统一认证,控制 Underlay网络设备及用户的可靠接入,保证Overlay网络服务的可控路由, 包括:
Underlay数据平面:由与互联网连通的边缘网关组成,均位于SD-WAN网 络边缘位置,经过基本网络配置接入互联网,并保持与SD-WAN控制器的控制 通道长连接;
Overlay数据平面:由边缘网关提供覆盖网络服务,通过SD-WAN提供的 OTT服务将工业企业总部、工业企业分支与工业企业数据中心的网络通信限制 打通,实现基于Overlay安全隧道的互联互通;
控制平面:控制器对管理服务分发的AAA规则、ACL规则与VRF规则入库、 编排、计算、下发、跟踪并周期性检测WAN边缘网关的安全规则状态;
管理平面:管理服务根据REST驱动接口定义标准,获取WAN网络拓扑和 安全规则的全局视图。
进一步的,所述方法包括一种面向Underlay的统一认证管理方法,采用AAA本地缓存和SDS控制端相结合,其步骤如下:
(1)边缘网关设备AAA匹配模块识别包含多维属性的认证流量并提取关 键属性序列P;
(2)AAA匹配模块将属性序列P与预加载于前缀树内存机构之中的AAA 本地缓存比较,并返回结果;
(3)若匹配到本地缓存的一条记录,则转步骤(4);否则,转(5);
(4)返回认证成功结果;
(5)AAA匹配模块将属性序列P通过OpenFlow控制通道发送至控制器 AAA分类模块;
(6)AAA分类模块识别属性序列是验证、授权、计费任意一种的服务请 求;
(7)RADIUS客户端根据步骤(6)识别的服务请求,计算并封装RADIUS 协议请求报文;
(8)RADIUS服务端解析收到的请求报文,并根据请求的服务类型查询 AAA数据库;
(9)RADIUS服务端根据数据库查询结果,封装RADIUS响应报文,并发 至RADIUS客户端;
(10)RADIUS客户端解析RADIUS响应报文,并将服务请求结果反馈至 AAA分类模块;
(11)AAA分类模块通过OpenFlow控制通道将属性序列P的认证结果反 馈至AAA匹配模块;
(12)若认证成功,则转步骤(13);否则,转步骤(14);
(13)AAA匹配模块将认证成功的结果加载至AAA本地缓存;
(14)AAA匹配模块返回认证结果至发起认证请求的网络设备。
进一步的,所述方法还包括一种面向Underlay的网络接入控制方法,该 方法包括ACL匹配模块和ACL计算模块;
ACL匹配模块:基于压缩前缀树存储ACL规则,包括匹配域、优先级、计 数器和动作四个属性;
ACL计算模块:基于分布式哈希表存储各边缘网关的ACL规则子集,包括 上述ACL规则属性,还包括用于标识所属边缘网关设备的分布式哈希索引 DHTID。
进一步的,所述匹配域包含源网络地址/掩码、源端口/端口区间、目的 网络地址/掩码、目的端口/端口区间、网络协议、时间/时间区间属性;
所述优先级包含{P1,P2,···,Pn}在内的n个等级,支持用户按需定 义;
所述动作包含允许和丢弃。
进一步的,所述的一种面向Underlay的网络接入控制方法,其步骤如下:
A.ACL匹配模块对流入边缘网关装置报文的特征匹配域Fi进行提取;
B.ACL匹配模块在本地ACL规则缓存中基于压缩前缀树搜索算法查找是否 存在一个规则的匹配域和Fi相等;若存在,则允许该报文流入;否则,转C;
C.ACL匹配模块将该报文的特征匹配域上传至控制器ACL计算模块;
D.ACL计算模块先根据边缘网关装置的网络地址、端口和设备ID计算哈 希值,查找DHTID等于该哈希值的ACL规则子集,再根据特征匹配域的六元 组计算哈希值,查找属于该报文的ACL规则;
E.ACL计算模块将规则查询结果反馈至ACL匹配模块,若查询到一条ACL 规则记录Rn+1,则将插入本地ACL规则缓存,并根据该记录动作属性决定允许 或丢弃该数据包;否则,直接丢弃该数据包并断开当前网络连接。
进一步的,所述方法还包括一种面向Overlay的虚拟路由转发方法,由 控制器VRF计算模块集中控制Overlay网络拓扑域内/域间路由转发,对边缘 网关VRF匹配模块加载的本地VRF规则缓存进行增删改查。
进一步的,所述控制器VRF规则由SD-WAN管理服务定义,以规则ID、流 量特征FLOW和通信路径PATH三元组属性组;
进一步的,所述流量特征FLOW包括能够唯一标识一条流的五元组信息; 所述通信路径PATH由从源主机到目的主机的节点集合组成。
与现有技术相比,本发明的有益效果是:
本发明提出的用于工业互联网的网络边界控制在方法能够实现对工业互 联网中工业控制设备、网络通信设备、智能终端设备等异构设备集中式管理, 对工业互联网络拓扑中数据中心网络、云服务网络、企业园区网络、移动办 公网络等复杂网络节点、链路和拓扑智能化计算,对工业互联网络中用户身 份认证、设备安全接入、流量路由转发等网络边界细粒度控制。应用后会有 显著效果,比如该发明支持:工业分支企业数据共享;工业设备及控制系统 数据上云;智能设备远程接入维护工业设备。
附图说明
图1为本发明基于SD-WAN的网络边界控制架构;
图2为本发明涉及的控制器装置和边缘网关装置设计图;
图3为本发明面向Underlay的统一认证管理方法流程示意图;
图4为本发明面向Underlay的网路接入控制方法流程示意图;
图5为本发明面向Overlay的虚拟路由转发方法流程示意图;
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行 清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而 不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做 出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本发明提供一种技术方案:
如图2所示,一种基于SD-WAN的网络边界控制装置,包括SDS控制器装 置和边缘网关装置,所述SDS控制器装置包括第一控制通道模块、服务抽象 层、AAA计算模块、ACL计算模块、VRF计算模块和REST驱动接口;
第一控制通道模块:与边缘网关装置建立基于OpenFlow协议的通信连接;
服务抽象层:北向AAA计算模块、ACL计算模块、VRF计算模块提供动态 链接加载,南向控制通道模块提供OpenFlow协议;
REST驱动接口:提供基于HTTP协议的RPC API,简化了管理平面与控制 平面之间通信的数据格式;
所述边缘网关装置包括第二控制通道模块、数据通道模块、Overlay协议 驱动接口和AAA匹配模块、ACL匹配模块和VRF匹配模块;
第二控制通道模块:与控制器装置建立基于OpenFlow协议的通信连接;
数据通道模块:与边缘网关建立基于Overlay的安全隧道用于实现边缘 网关装置的跨域网络互联和安全可靠通信;
Overlay协议驱动接口:对待发送和接收到的报文进行预处理,具体而言, 对于待发送的报文,该接口对报文进行加密,封装Overlay报文首部后使用 套接字发送Overlay报文至目的地;对于接收到的报文,该接口对Overlay 报文首部进行校验和解析,验证完整性后对Overlay报文负载解密,并将明 文原始报文转交至上层AAA匹配模块和VRF匹配模块;
AAA匹配模块和VRF匹配模块:分别根据控制器下发的AAA规则和VRF规 则对Overlay流量匹配,进行统一认证(验证、授权、计费)和路由转发, 若未匹配规则,则将流量转发至控制器ACL计算模块和VRF计算模块进一步 决策。
本发明还涉及一种基于SD-WAN的网络边界控制方法,适用于工业互联网 异构网络设备,所述方法用于管理Underlay网络设备的统一认证,控制 Underlay网络设备及用户的可靠接入,保证Overlay网络服务的可控路由, 如图1所示,为该基于SD-WAN的网络边界控制架构;
Underlay数据平面:由与互联网连通的边缘网关组成,均位于SD-WAN网 络边缘位置,经过基本网络配置接入互联网,并保持与SD-WAN控制器的控制 通道长连接,具体而言,Underlay边缘网关需要根据控制器下发的AAA规则 和ACL规则分别进行设备身份认证和流量接入控制。
Overlay数据平面:由边缘网关提供覆盖网络服务,通过SD-WAN提供的 OTT服务将工业企业总部、工业企业分支与工业企业数据中心的网络通信限制 打通,实现基于Overlay安全隧道的互联互通,其中,边缘网关Overlay服 务需根据控制器下发的VRF规则进行路由转发。
控制平面:控制器对管理服务分发的AAA规则、ACL规则与VRF规则入库、 编排、计算、下发、跟踪并周期性检测WAN边缘网关的安全规则状态;
管理平面:管理服务根据REST驱动接口定义标准,获取WAN网络拓扑和 安全规则的全局视图,按需配置AAA规则、ACL规则、VRF规则等网络安全规 则,并下发至控制器进一步编排和计算。
所述方法包括一种面向Underlay的统一认证管理方法,综合考虑了工业 互联网用户、设备、网络等多个方面,涵盖用户名、口令、设备ID、设备名 称、系统版本、网络接入归属地、网络接入时间、网络接入服务器等多维属 性,采用AAA本地缓存和SDS控制端相结合,图3为面向Underlay的统一认 证管理方法流程示意图,其整体流程如下:
(1)边缘网关设备AAA匹配模块识别包含多维属性的认证流量并提取关 键属性序列P;
(2)AAA匹配模块将属性序列P与预加载于前缀树内存机构之中的AAA 本地缓存比较,并返回结果;
(3)若匹配到本地缓存的一条记录,则转步骤(4);否则,转(5);
(4)返回认证成功结果;
(5)AAA匹配模块将属性序列P通过OpenFlow控制通道发送至控制器AAA分类模块;
(6)AAA分类模块识别属性序列是验证、授权、计费任意一种的服务请 求;
(7)RADIUS客户端根据步骤(6)识别的服务请求,计算并封装RADIUS 协议请求报文;
(8)RADIUS服务端解析收到的请求报文,并根据请求的服务类型查询 AAA数据库;
(9)RADIUS服务端根据数据库查询结果,封装RADIUS响应报文,并发 至RADIUS客户端;
(10)RADIUS客户端解析RADIUS响应报文,并将服务请求结果反馈至 AAA分类模块;
(11)AAA分类模块通过OpenFlow控制通道将属性序列P的认证结果反 馈至AAA匹配模块;
(12)若认证成功,则转步骤(13);否则,转步骤(14);
(13)AAA匹配模块将认证成功的结果加载至AAA本地缓存;
(14)AAA匹配模块返回认证结果至发起认证请求的网络设备。
具体而言,上述流程和示意仅给出了基于AAA的统一认证管理方法中的 验证流程,授权流程涉及管理平面和控制平面,通过管理平面REST接口将AAA 规则写入AAA数据库;计费流程则与认证流程比较类似,在网络设备断开连 接后,将连接信息通过AAA匹配模块、AAA计算模块写入AAA数据。授权与计 费流程相对简单,因此不做过多赘述。
进一步的,所述方法还包括一种面向Underlay的网络接入控制方法,该 方法包括ACL匹配模块和ACL计算模块;
ACL匹配模块:基于压缩前缀树存储ACL规则,包括匹配域、优先级、计 数器和动作四个属性;
ACL计算模块:基于分布式哈希表存储各边缘网关的ACL规则子集,包括 上述ACL规则属性,还包括用于标识所属边缘网关设备的分布式哈希索引 DHTID。
进一步的,所述匹配域包含源网络地址/掩码、源端口/端口区间、目的 网络地址/掩码、目的端口/端口区间、网络协议、时间/时间区间属性;
所述优先级包含{P1,P2,···,Pn}在内的n个等级,支持用户按需定 义;
所述动作包含允许和丢弃。
如图4所示,给出了对于任意流量特征匹配域Fi,ACL匹配模块的本地 查找和ACL计算模块的远端查找方法,其整体流程如下:
A.ACL匹配模块对流入边缘网关装置报文的特征匹配域Fi进行提取;
B.ACL匹配模块在本地ACL规则缓存中基于压缩前缀树搜索算法查找是否 存在一个规则的匹配域和Fi相等;若存在,则允许该报文流入;否则,转C;
C.ACL匹配模块将该报文的特征匹配域上传至控制器ACL计算模块;
D.ACL计算模块先根据边缘网关装置的网络地址、端口和设备ID计算哈 希值,查找DHTID等于该哈希值的ACL规则子集,再根据特征匹配域的六元 组计算哈希值,查找属于该报文的ACL规则;
E.ACL计算模块将规则查询结果反馈至ACL匹配模块,若查询到一条ACL 规则记录Rn+1,则将插入本地ACL规则缓存,并根据该记录动作属性决定允许 或丢弃该数据包;否则,直接丢弃该数据包并断开当前网络连接。
所述方法还包括一种面向Overlay的虚拟路由转发方法,由控制器VRF 计算模块集中控制Overlay网络拓扑域内/域间路由转发,对边缘网关VRF匹 配模块加载的本地VRF规则缓存进行增删改查,如图5所示,给出了集中式 虚拟路由转发控制方法的基本原理和路由规则存储方法。
具体而言,所述控制器VRF规则由SD-WAN管理服务定义,以规则ID、流 量特征FLOW和通信路径PATH三元组属性组;
进一步的,所述流量特征FLOW包括能够唯一标识一条流的五元组信息(源 网络地址,源端口,目的网络地址,目的端口,协议);所述通信路径PATH 由从源主机到目的主机的节点集合组成,边缘网关本地VRF规则缓存为控制 器下发的VRF规则集合,以最长前缀匹配(Longest Prefix Match,LPM)算法 对网络流量进行实时匹配,未能匹配的网络流量需经控制通道上传至控制器 进一步决策,该流程与ACL规则查找过程类似,故不再赘述。借助控制器对 WAN网络拓扑和Overlay虚拟路由转发规则的集中式控制,网络管理员能够高 效地管理复杂网络、异构设备互联互通的访问边界。
利用本发明提出的基于SD-WAN工业互联网边界控制方法能够实现工业分 支企业数据共享、工业设备及控制系统数据上云、智能设备远程接入维护工 业设备等工业互联互通网络环境的可信认证、可靠接入和可控路由,提供工 业设备、工业系统、网络设备、智能终端的集中式、细粒度、统一化管理平 台及服务。
尽管已经示出和描述了本发明的实施例,对于本领域的普通技术人员而 言,可以理解在不脱离本发明的原理和精神的情况下可以对这些实施例进行 多种变化、修改、替换和变型,本发明的范围由所附权利要求及其等同物限 定。
Claims (9)
1.一种基于SD-WAN的网络边界控制装置,包括SDS控制器装置和边缘网关装置,其特征在于:
所述SDS控制器装置包括第一控制通道模块、服务抽象层、AAA计算模块、ACL计算模块、VRF计算模块和REST驱动接口;
第一控制通道模块:与边缘网关装置建立基于OpenFlow协议的通信连接;
服务抽象层:北向AAA计算模块、ACL计算模块、VRF计算模块提供动态链接加载,南向控制通道模块提供OpenFlow协议;
REST驱动接口:提供基于HTTP协议的RPC API;
所述边缘网关装置包括第二控制通道模块、数据通道模块、Overlay协议驱动接口和AAA匹配模块、ACL匹配模块和VRF匹配模块;
第二控制通道模块:与控制器装置建立基于OpenFlow协议的通信连接;
数据通道模块:与边缘网关建立基于Overlay的安全隧道用于实现边缘网关装置的跨域网络互联和安全可靠通信;
Overlay协议驱动接口:对待发送和接收到的报文进行预处理;
AAA匹配模块和VRF匹配模块:分别根据控制器下发的AAA规则和VRF规则对Overlay流量匹配,进行统一认证和路由转发,若未匹配规则,则将流量转发至控制器ACL计算模块和VRF计算模块进一步决策。
2.一种基于SD-WAN的网络边界控制方法,适用于工业互联网异构网络设备,其特征在于,所述方法用于管理Underlay网络设备的统一认证,控制Underlay网络设备及用户的可靠接入,保证Overlay网络服务的可控路由,包括:
Underlay数据平面:由与互联网连通的边缘网关组成,均位于SD-WAN网络边缘位置,经过基本网络配置接入互联网,并保持与SD-WAN控制器的控制通道长连接;
Overlay数据平面:由边缘网关提供覆盖网络服务,通过SD-WAN提供的OTT服务将工业企业总部、工业企业分支与工业企业数据中心的网络通信限制打通,实现基于Overlay安全隧道的互联互通;
控制平面:控制器对管理服务分发的AAA规则、ACL规则与VRF规则入库、编排、计算、下发、跟踪并周期性检测WAN边缘网关的安全规则状态;
管理平面:管理服务根据REST驱动接口定义标准,获取WAN网络拓扑和安全规则的全局视图。
3.根据权利要求2所述的一种基于SD-WAN的网络边界控制方法,其特征在于,所述方法包括一种面向Underlay的统一认证管理方法,采用AAA本地缓存和SDS控制端相结合,其步骤如下:
(1)边缘网关设备AAA匹配模块识别包含多维属性的认证流量并提取关键属性序列P;
(2)AAA匹配模块将属性序列P与预加载于前缀树内存机构之中的AAA本地缓存比较,并返回结果;
(3)若匹配到本地缓存的一条记录,则转步骤(4);否则,转(5);
(4)返回认证成功结果;
(5)AAA匹配模块将属性序列P通过OpenFlow控制通道发送至控制器AAA分类模块;
(6)AAA分类模块识别属性序列是验证、授权、计费任意一种的服务请求;
(7)RADIUS客户端根据步骤(6)识别的服务请求,计算并封装RADIUS协议请求报文;
(8)RADIUS服务端解析收到的请求报文,并根据请求的服务类型查询AAA数据库;
(9)RADIUS服务端根据数据库查询结果,封装RADIUS响应报文,并发至RADIUS客户端;
(10)RADIUS客户端解析RADIUS响应报文,并将服务请求结果反馈至AAA分类模块;
(11)AAA分类模块通过OpenFlow控制通道将属性序列P的认证结果反馈至AAA匹配模块;
(12)若认证成功,则转步骤(13);否则,转步骤(14);
(13)AAA匹配模块将认证成功的结果加载至AAA本地缓存;
(14)AAA匹配模块返回认证结果至发起认证请求的网络设备。
4.根据权利要求2所述的一种基于SD-WAN的网络边界控制方法,其特征在于,所述方法还包括一种面向Underlay的网络接入控制方法,该方法包括ACL匹配模块和ACL计算模块;
ACL匹配模块:基于压缩前缀树存储ACL规则,包括匹配域、优先级、计数器和动作四个属性;
ACL计算模块:基于分布式哈希表存储各边缘网关的ACL规则子集,包括上述ACL规则属性,还包括用于标识所属边缘网关设备的分布式哈希索引DHTID。
5.根据权利要求4所述的一种基于SD-WAN的网络边界控制方法,其特征在于,所述匹配域包含源网络地址/掩码、源端口/端口区间、目的网络地址/掩码、目的端口/端口区间、网络协议、时间/时间区间属性;
所述优先级包含{P1,P2,···,Pn}在内的n个等级,支持用户按需定义;
所述动作包含允许和丢弃。
6.根据权利要求4所述的一种基于SD-WAN的网络边界控制方法,其特征在于,所述的一种面向Underlay的网络接入控制方法,其步骤如下:
A.ACL匹配模块对流入边缘网关装置报文的特征匹配域Fi进行提取;
B.ACL匹配模块在本地ACL规则缓存中基于压缩前缀树搜索算法查找是否存在一个规则的匹配域和Fi相等;若存在,则允许该报文流入;否则,转C;
C.ACL匹配模块将该报文的特征匹配域上传至控制器ACL计算模块;
D.ACL计算模块先根据边缘网关装置的网络地址、端口和设备ID计算哈希值,查找DHTID等于该哈希值的ACL规则子集,再根据特征匹配域的六元组计算哈希值,查找属于该报文的ACL规则;
E.ACL计算模块将规则查询结果反馈至ACL匹配模块,若查询到一条ACL规则记录Rn+1,则将插入本地ACL规则缓存,并根据该记录动作属性决定允许或丢弃该数据包;否则,直接丢弃该数据包并断开当前网络连接。
7.根据权利要求2所述的一种基于SD-WAN的网络边界控制方法,其特征在于,所述方法还包括一种面向Overlay的虚拟路由转发方法,由控制器VRF计算模块集中控制Overlay网络拓扑域内/域间路由转发,对边缘网关VRF匹配模块加载的本地VRF规则缓存进行增删改查。
8.根据权利要求7所述的一种基于SD-WAN的网络边界控制方法,其特征在于:所述控制器VRF规则由SD-WAN管理服务定义,以规则ID、流量特征FLOW和通信路径PATH三元组属性组。
9.根据权利要求8所述的一种基于SD-WAN的网络边界控制方法,其特征在于,所述流量特征FLOW包括能够唯一标识一条流的五元组信息;所述通信路径PATH由从源主机到目的主机的节点集合组成。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910217190.5A CN109921944B (zh) | 2019-03-21 | 2019-03-21 | 用于工业互联网的网络边界控制方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910217190.5A CN109921944B (zh) | 2019-03-21 | 2019-03-21 | 用于工业互联网的网络边界控制方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN109921944A true CN109921944A (zh) | 2019-06-21 |
| CN109921944B CN109921944B (zh) | 2021-12-14 |
Family
ID=66966146
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910217190.5A Active CN109921944B (zh) | 2019-03-21 | 2019-03-21 | 用于工业互联网的网络边界控制方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN109921944B (zh) |
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110769067A (zh) * | 2019-10-30 | 2020-02-07 | 任子行网络技术股份有限公司 | 一种基于sd-wan的工业互联网安全监管系统及方法 |
| CN112214258A (zh) * | 2020-10-19 | 2021-01-12 | 中国信息通信研究院 | 基于软件定义广域网的端到端能力基准测试方法和装置 |
| CN112910847A (zh) * | 2021-01-15 | 2021-06-04 | 北京开物数智科技有限公司 | 一种基于切片的工业网络安全实现方法 |
| US11129023B2 (en) * | 2019-06-06 | 2021-09-21 | Cisco Technology, Inc. | Systems and methods for distributing SD-WAN policies |
| CN113923159A (zh) * | 2021-08-24 | 2022-01-11 | 锦翰科技(深圳)有限公司 | 一种数据消息集中处理的方法 |
| CN114640626A (zh) * | 2020-12-01 | 2022-06-17 | 中国联合网络通信集团有限公司 | 一种基于软件定义广域网sd-wan的通信系统和方法 |
| CN115347935A (zh) * | 2022-06-29 | 2022-11-15 | 深圳市高德信通信股份有限公司 | 一种基于无人机IPv6化的传感数据接入传输系统及方法 |
| WO2024066059A1 (zh) * | 2022-09-30 | 2024-04-04 | 中通服和信科技有限公司 | 基于sdp和边缘计算的工业互联网安全系统及方法 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104125569A (zh) * | 2013-04-28 | 2014-10-29 | 中兴通讯股份有限公司 | 一种通信管理方法及通信系统 |
| CN105915550A (zh) * | 2015-11-25 | 2016-08-31 | 北京邮电大学 | 一种基于SDN的Portal/Radius认证方法 |
| CN106559382A (zh) * | 2015-09-25 | 2017-04-05 | 北京计算机技术及应用研究所 | 基于opc协议的安全网关防护系统访问控制方法 |
| US20170339109A1 (en) * | 2015-07-29 | 2017-11-23 | Shenyang Institute Of Automation, Chinese Academy Of Sciences | Method for controlling transmission security of industrial communications flow based on sdn architecture |
| CN107547351A (zh) * | 2017-08-11 | 2018-01-05 | 新华三技术有限公司 | 地址分配方法和装置 |
-
2019
- 2019-03-21 CN CN201910217190.5A patent/CN109921944B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104125569A (zh) * | 2013-04-28 | 2014-10-29 | 中兴通讯股份有限公司 | 一种通信管理方法及通信系统 |
| US20170339109A1 (en) * | 2015-07-29 | 2017-11-23 | Shenyang Institute Of Automation, Chinese Academy Of Sciences | Method for controlling transmission security of industrial communications flow based on sdn architecture |
| CN106559382A (zh) * | 2015-09-25 | 2017-04-05 | 北京计算机技术及应用研究所 | 基于opc协议的安全网关防护系统访问控制方法 |
| CN105915550A (zh) * | 2015-11-25 | 2016-08-31 | 北京邮电大学 | 一种基于SDN的Portal/Radius认证方法 |
| CN107547351A (zh) * | 2017-08-11 | 2018-01-05 | 新华三技术有限公司 | 地址分配方法和装置 |
Non-Patent Citations (1)
| Title |
|---|
| 龚霞等: "运营级SD-WAN解决方案浅谈", 《2017广东通信青年论坛优秀论文集》 * |
Cited By (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US11129023B2 (en) * | 2019-06-06 | 2021-09-21 | Cisco Technology, Inc. | Systems and methods for distributing SD-WAN policies |
| US12052569B2 (en) | 2019-06-06 | 2024-07-30 | Cisco Technology, Inc. | Systems and methods for distributing SD-WAN policies |
| CN110769067A (zh) * | 2019-10-30 | 2020-02-07 | 任子行网络技术股份有限公司 | 一种基于sd-wan的工业互联网安全监管系统及方法 |
| CN110769067B (zh) * | 2019-10-30 | 2020-08-04 | 任子行网络技术股份有限公司 | 一种基于sd-wan的工业互联网安全监管系统及方法 |
| CN112214258A (zh) * | 2020-10-19 | 2021-01-12 | 中国信息通信研究院 | 基于软件定义广域网的端到端能力基准测试方法和装置 |
| CN114640626A (zh) * | 2020-12-01 | 2022-06-17 | 中国联合网络通信集团有限公司 | 一种基于软件定义广域网sd-wan的通信系统和方法 |
| CN114640626B (zh) * | 2020-12-01 | 2023-07-18 | 中国联合网络通信集团有限公司 | 一种基于软件定义广域网sd-wan的通信系统和方法 |
| CN112910847A (zh) * | 2021-01-15 | 2021-06-04 | 北京开物数智科技有限公司 | 一种基于切片的工业网络安全实现方法 |
| CN112910847B (zh) * | 2021-01-15 | 2023-04-07 | 北京开物数智科技有限公司 | 一种基于切片的工业网络安全实现方法 |
| CN113923159A (zh) * | 2021-08-24 | 2022-01-11 | 锦翰科技(深圳)有限公司 | 一种数据消息集中处理的方法 |
| CN115347935A (zh) * | 2022-06-29 | 2022-11-15 | 深圳市高德信通信股份有限公司 | 一种基于无人机IPv6化的传感数据接入传输系统及方法 |
| WO2024066059A1 (zh) * | 2022-09-30 | 2024-04-04 | 中通服和信科技有限公司 | 基于sdp和边缘计算的工业互联网安全系统及方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN109921944B (zh) | 2021-12-14 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109921944A (zh) | 用于工业互联网的网络边界控制方法及装置 | |
| CN110996318B (zh) | 一种变电站智能巡检机器人安全通信接入系统 | |
| Hameed et al. | Security issues in IoT: A survey | |
| CN110351381B (zh) | 一种基于区块链的物联网可信分布式数据共享方法 | |
| CN101159718B (zh) | 嵌入式工业以太网安全网关 | |
| CN101651597B (zh) | 一种地址分离映射网络中IPSec-VPN的部署方法 | |
| CN104539598B (zh) | 一种改进Tor的安全匿名网络通信系统及方法 | |
| CN103873461B (zh) | 基于iec62351的goose报文的安全交互方法 | |
| CN114302402A (zh) | 一种基于5g的电力调控业务安全通信方法 | |
| CN100483997C (zh) | 基于自治系统互联关系的真实IPv6源地址验证方法 | |
| CN104468349B (zh) | 一种基于逐跳监督的bgp路由验证方法 | |
| CN103621028A (zh) | 控制网络访问策略的计算机系统、控制器和方法 | |
| CN106656792B (zh) | 一种基于sdn架构的bgp路由可信验证方法 | |
| CN106385404B (zh) | 基于移动终端的电力信息系统构建方法 | |
| CN102469078A (zh) | 一种校园网接入外部网络的实现方法、系统及装置 | |
| CN115118756B (zh) | 能源互联网场景下安全交互协议设计方法及装置 | |
| CN106100836A (zh) | 一种工业用户身份认证和加密的方法及系统 | |
| CN105978883B (zh) | 大规模车联网下安全的数据采集方法 | |
| CN105610854B (zh) | 一种网络协同防御系统 | |
| CN109104428A (zh) | 物联网数据量子加密传输设备及传输方法 | |
| CN111447067A (zh) | 一种电力传感设备加密认证方法 | |
| CN111988328A (zh) | 一种新能源厂站发电单元采集终端数据安全保障方法及系统 | |
| CN110855707A (zh) | 物联网通信管道安全控制系统和方法 | |
| CN109617875A (zh) | 一种终端通信网的安全接入平台及其实现方法 | |
| CN105981028B (zh) | 通信网络上的网络元件认证 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |