CN115333860A - 一种基于零信任的tsn网络控制方法 - Google Patents

一种基于零信任的tsn网络控制方法 Download PDF

Info

Publication number
CN115333860A
CN115333860A CN202211245334.6A CN202211245334A CN115333860A CN 115333860 A CN115333860 A CN 115333860A CN 202211245334 A CN202211245334 A CN 202211245334A CN 115333860 A CN115333860 A CN 115333860A
Authority
CN
China
Prior art keywords
flow
controller
traffic
data
destination address
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202211245334.6A
Other languages
English (en)
Other versions
CN115333860B (zh
Inventor
宗鑫
宗海峰
吴凡
李静
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing Hezhong Fangda Technology Co ltd
Original Assignee
Beijing Hezhong Fangda Technology Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Hezhong Fangda Technology Co ltd filed Critical Beijing Hezhong Fangda Technology Co ltd
Priority to CN202211245334.6A priority Critical patent/CN115333860B/zh
Publication of CN115333860A publication Critical patent/CN115333860A/zh
Application granted granted Critical
Publication of CN115333860B publication Critical patent/CN115333860B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2463/00Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
    • H04L2463/146Tracing the source of attacks

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Small-Scale Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

本发明提供了一种基于零信任的TSN网络控制方法,属于TSN网络控制技术领域;在网络控制器中,将零信任的安全能力和时间确定进行融合,首先基于流量进行分类,形成安全流标签,统一由控制器管理;基于IEEE 802.1Qbv标准之上进行底层扩展,提出多门控机制,由控制器控制关门时间;当流量匹配进入配置门控窗口的流量,上送控制器,进行流量异常分析;本发明的方法可以在工业和行业网络中同时提供确定性和零信任的安全性,充分保障关键网络基础设施的可靠性;控制器对流量状态可追溯,在网络运维和异常追溯都可以提供全面有效的信息。

Description

一种基于零信任的TSN网络控制方法
技术领域
本发明属于TSN网络控制技术领域,具体涉及一种基于零信任的TSN网络控制方法。
背景技术
在工业和重大行业应用中,网络的确定性和安全性最关键的两个特性元素。时间敏感型网络(timesensitive network,TSN)是目前国际产业界正在积极推动的全新工业通信技术。时间敏感型网络允许周期性与非周期性数据在同一网络中传输,使得标准以太网具有确定性传输的优势,并通过厂商独立的标准化进程,已成为广泛聚焦的关键技术。目前,IEEE、IEC等组织均在制定基于TSN的工业应用网络的底层互操作性标准与规范。时间敏感型网络TSN是为了将时间敏感的数据以闭环的方式传递给计算机,并处理标准以太网无法处理的情况,时间敏感型网络还可以在减少事故风险和提高工厂安全水平方面发挥作用。网络零信任是网络安全追求的目标。但TSN对网络安全当前的考虑尚未不完善,而且如果在交换机叠加单点安全防护,会让TSN已经非常复杂的机制过于复杂。
发明内容
有鉴于此,本发明的目的是提供一种基于零信任的TSN网络控制方法,可以支撑网络的高可靠、确定性的有效运转。
一种基于零信任的TSN网络控制方法,包括:
对于TSN网络中没有规范的源地址和目的地址,首先识别其合法性,对其标记安全标签:合法流量或者非法流量;将流量数据中表征源地址和目的地址的关键标识信息转换为传统的网络层的源地址和目的地址;
根据IEEE 802.1Qbv标准,在每个时间周期内,设定两个以上的门控窗口,将流量数据配置给相应的门控窗口;转发器在流量数据接收时,将非法流量配置的门控窗口减小,将该流量数据上送控制器;
对于上送到控制器的非法流量数据,控制器继续判断为合法流量或者为非法流量;如果是合法流量,则在以后的时间周期中,转发器将其正常放行;如果是非法流量,则在以后的时间周期中,转发器继续减小其门控窗口后进行接收和转发。
较佳的,将流量数据中表征源地址和目的地址的关键标识信息转换为传统的网络层的源地址和目的地址时,通过VRF ID来标志该流量数据。
较佳的,将流量数据的全部上送控制器。
较佳的,将流量数据抽样后的部分流量数据上送控制器。
较佳的,在控制器中,如果控制器将之前检测为非法流量数据检测为合法流量,则在以后的时间周期中,转发器将其正常放行。
本发明具有如下有益效果:
本发明提供一种基于零信任的TSN网络控制方法,在网络控制器中,将零信任的安全能力和时间确定进行融合,首先基于流量进行分类,形成安全流标签,统一由控制器管理;基于IEEE 802.1Qbv标准之上进行底层扩展,提出多门控机制,由控制器控制关门时间;当流量匹配进入配置门控窗口的流量,上送控制器,进行流量异常分析;本发明的方法可以在工业和行业网络中同时提供确定性和零信任的安全性,充分保障关键网络基础设施的可靠性;控制器对流量状态可追溯,在网络运维和异常追溯都可以提供全面有效的信息。
附图说明
图1为本发明的方法原理示意图;
图2为本发明的控制器的异常流量分析流程图。
具体实施方式
下面结合附图并举实施例,对本发明进行详细描述。
针对TSN网络安全性不足的问题,本发明提出一种基于零信任的TSN网络控制方法,在网络控制器中,将零信任的安全能力和时间确定进行融合。首先基于流量进行分类,形成安全流标签,统一由控制器管理;第二、基于IEEE 802.1Qbv标准之上进行底层扩展,提出Gate Mask机制,由控制器控制关门时间;第三、当流量匹配进入配置Gate Mask的流量,上送控制器,进行流量异常分析。
本发明的TSN网络控制方法包括确定流量标签、多窗口确定性机制和异常流量分析三个主要部分。
(1)确定流量标签
确定流标签是网络安全的基础,在工业和行业确定性网络中,基于网络报文的链路层源地址、目的地址和VLAN信息,如果报文是三层报文,则分析网络层源地址、目的地址。
在工业和行业网络中,例如很多控制信令非常短,没有规范的源地址和目的地址,是基于传统CAN、FlexRay总线的延伸。对于该类流量数据,首先转发器识别其合法性,对其标记安全标签-合法流量或者非法流量;并且,本发明还基于类IP解析方法,将流量数据中表征源地址和目的地址的关键标识信息转换为传统的网络层的源地址和目的地址,并通过VRF ID来标志这类流量。
在此基础上,网络控制器算法将实现通用化,全面基于链路层源地址、目的地址目的地址,网络层源地址、目的地址进行流量的标识,以及进行后续的安全管理策略。
(2)多门控窗口确定性机制
传统的IEEE 802.1Qbv标准定义的门控机制,但仅有两个优先级,无法满足特种行业的细分管理控制需求。本发明提出在每个时间周期内,设定两个以上的门控窗口,并简化时间周期的配置方法,如图1所示,周期内包含了Gate TC1、Gate TC2和Gate TC3三个门控窗口;假设有三个流量,分别配置到三个门控窗口中进行转发,第一条是机器与机器之间控制信令,第二条是监控的视频流量,需要的时间最多,第三条是机器状态的上报流量。通过门控机制,三条流量之间不会互相干扰,因此提供了网络的确定性。
本发明使用Gate Mask技术,对非法流量标识安全标签,当安全标签非法时,转发器在流量接收时,将非法流量配置的门控窗口Gate TC2减小,将该流量的全部或者抽样后的部分流量上送控制器,同时,也保障了关键业务具备更佳的确定性。同时,在流量转发时,也使用Gate Mask技术,对非法流量减少门控窗口,按照转换后的源地址和目的地址。
如,对于确定性时延流量,按照一个时间周期为1s,每个时间切片配置为10ms,由此将该时间周期分为100个切片,将切片划分成多个门控窗口;基于本发明提出的确定性标签技术,根据流量的标签选择进入不同的门控窗口,以支持多种工业协议、以太网的周期窗口确定可控。
(3)异常流量分析
基于零信任的理念,对于上送到控制器的流量,首先进行学习,获得安全标签,根据控制器当前数据库信息,判断为合法流量或者为非法流量,如果是合法流量,则在以后的时间周期中,转发器将其正常放行;如果是非法流量,则在以后的时间周期中,转发器采用上述Gate Mask技术进行控制。如果控制器将非法流量检测为合法流量,,则消除异常流量,转变为安全流量,则在以后的时间周期中,转发器直接将其放行。
综上所述,以上仅为本发明的较佳实施例而已,并非用于限定本发明的保护范围。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。

Claims (5)

1.一种基于零信任的TSN网络控制方法,其特征在于,包括:
对于TSN网络中没有规范的源地址和目的地址,首先识别其合法性,对其标记安全标签:合法流量或者非法流量;将流量数据中表征源地址和目的地址的关键标识信息转换为传统的网络层的源地址和目的地址;
根据IEEE 802.1Qbv标准,在每个时间周期内,设定两个以上的门控窗口,将流量数据配置给相应的门控窗口;转发器在流量数据接收时,将非法流量配置的门控窗口减小,将该流量数据上送控制器;
对于上送到控制器的非法流量数据,控制器继续判断为合法流量或者为非法流量;如果是合法流量,则在以后的时间周期中,转发器将其正常放行;如果是非法流量,则在以后的时间周期中,转发器继续减小其门控窗口后进行接收和转发。
2.如权利要求1所述的一种基于零信任的TSN网络控制方法,其特征在于,将流量数据中表征源地址和目的地址的关键标识信息转换为传统的网络层的源地址和目的地址时,通过VRF ID来标志该流量数据。
3.如权利要求1所述的一种基于零信任的TSN网络控制方法,其特征在于,将流量数据的全部上送控制器。
4.如权利要求1所述的一种基于零信任的TSN网络控制方法,其特征在于,将流量数据抽样后的部分流量数据上送控制器。
5.如权利要求1所述的一种基于零信任的TSN网络控制方法,其特征在于,在控制器中,如果控制器将之前检测为非法流量数据检测为合法流量,则在以后的时间周期中,转发器将其正常放行。
CN202211245334.6A 2022-10-12 2022-10-12 一种基于零信任的tsn网络控制方法 Active CN115333860B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202211245334.6A CN115333860B (zh) 2022-10-12 2022-10-12 一种基于零信任的tsn网络控制方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202211245334.6A CN115333860B (zh) 2022-10-12 2022-10-12 一种基于零信任的tsn网络控制方法

Publications (2)

Publication Number Publication Date
CN115333860A true CN115333860A (zh) 2022-11-11
CN115333860B CN115333860B (zh) 2023-02-03

Family

ID=83914597

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202211245334.6A Active CN115333860B (zh) 2022-10-12 2022-10-12 一种基于零信任的tsn网络控制方法

Country Status (1)

Country Link
CN (1) CN115333860B (zh)

Citations (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101827017A (zh) * 2010-02-04 2010-09-08 蓝盾信息安全技术股份有限公司 一种动态分配网络流量的方法及系统
CN112073388A (zh) * 2020-08-20 2020-12-11 上海交通大学 一种工业控制系统的时间敏感异构网络系统及管理方法
CN112291161A (zh) * 2020-10-10 2021-01-29 燕山大学 一种时间敏感网络混合流量调度方法
CN114172849A (zh) * 2021-11-26 2022-03-11 华中科技大学 一种基于博弈论的确定性流量整形方法
CN114302402A (zh) * 2021-12-24 2022-04-08 国网福建省电力有限公司 一种基于5g的电力调控业务安全通信方法
CN114389944A (zh) * 2022-03-01 2022-04-22 重庆邮电大学 一种面向工业应用的时间敏感网络完全分布式配置方法
CN114598413A (zh) * 2022-01-25 2022-06-07 浙江大学 一种支持时间敏感网络功能的安全分布式控制系统
US20220200920A1 (en) * 2020-12-18 2022-06-23 Intel Corporation Dynamic adaptation of time-aware communications in time-sensitive systems
CN114866482A (zh) * 2022-07-07 2022-08-05 中汽创智科技有限公司 一种数据流传输方法和装置
CN115150334A (zh) * 2022-09-02 2022-10-04 北京智芯微电子科技有限公司 基于时间敏感网络的数据传输方法、装置及通信设备

Patent Citations (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101827017A (zh) * 2010-02-04 2010-09-08 蓝盾信息安全技术股份有限公司 一种动态分配网络流量的方法及系统
CN112073388A (zh) * 2020-08-20 2020-12-11 上海交通大学 一种工业控制系统的时间敏感异构网络系统及管理方法
CN112291161A (zh) * 2020-10-10 2021-01-29 燕山大学 一种时间敏感网络混合流量调度方法
US20220200920A1 (en) * 2020-12-18 2022-06-23 Intel Corporation Dynamic adaptation of time-aware communications in time-sensitive systems
CN114172849A (zh) * 2021-11-26 2022-03-11 华中科技大学 一种基于博弈论的确定性流量整形方法
CN114302402A (zh) * 2021-12-24 2022-04-08 国网福建省电力有限公司 一种基于5g的电力调控业务安全通信方法
CN114598413A (zh) * 2022-01-25 2022-06-07 浙江大学 一种支持时间敏感网络功能的安全分布式控制系统
CN114389944A (zh) * 2022-03-01 2022-04-22 重庆邮电大学 一种面向工业应用的时间敏感网络完全分布式配置方法
CN114866482A (zh) * 2022-07-07 2022-08-05 中汽创智科技有限公司 一种数据流传输方法和装置
CN115150334A (zh) * 2022-09-02 2022-10-04 北京智芯微电子科技有限公司 基于时间敏感网络的数据传输方法、装置及通信设备

Non-Patent Citations (3)

* Cited by examiner, † Cited by third party
Title
ANNA ARESTOVA; WOJCIECH BARON; KAI-STEFFEN J. HIELSCHER; REINHAR: "ITANS: Incremental Task and Network Scheduling for Time-Sensitive Networks", 《IEEE OPEN JOURNAL OF INTELLIGENT TRANSPORTATION SYSTEMS》 *
吴云坤等: "一种基于零信任的SDN网络访问控制方法", 《信息网络安全》 *
许方敏等: "时间敏感网络(TSN)及无线TSN技术", 《电信科学》 *

Also Published As

Publication number Publication date
CN115333860B (zh) 2023-02-03

Similar Documents

Publication Publication Date Title
CN108809852B (zh) 用于时间敏感业务的弹性网络配置的方法和系统
US20180237040A1 (en) Locomotive control system
US20190014137A1 (en) IoT DEVICE SECURITY
US20230254328A1 (en) Attribute-based policies for integrity monitoring and network intrusion detection
CN103560923B (zh) 分组传送网的网络故障快速定位方法
CN105208132A (zh) 智能终端云管理系统
US9973349B2 (en) Relay system and switching device
CN105306560A (zh) 分布式终端实施动态管理平台
CN105227365A (zh) 基于安卓平台的物联网终端管控系统
CN105763387A (zh) 网络流量监控方法和装置
CN102217248B (zh) 分布式分组流检查和处理
CN111726414A (zh) 一种车辆上报数据的处理方法和车辆数据上报系统
CN115333860B (zh) 一种基于零信任的tsn网络控制方法
KR20110093204A (ko) 보안 위협 방어 장치 및 방법, 그 기록 매체
CN111726256A (zh) 车辆指令下发处理方法和系统及车辆数据处理方法和系统
Valdivia et al. Cybersecurity-the forgotten issue in railways: security can be woven into safety designs
CN101374115B (zh) 基于profibus报文快速识别的多端口控制方法
CN108418794B (zh) 一种智能变电站通信网络抵御arp攻击的方法及系统
CN101547127B (zh) 一种内、外网络报文的识别方法
CN113904994B (zh) 一种家庭网关大数据统一上报平台的方法
CN113110354B (zh) 一种基于摆渡的工业数据安全系统和方法
US11611488B2 (en) AI machine learning technology based fault management system for network equpment that supports SDN open flow protocol
CN105376167A (zh) 分布式分组流检查和处理
CN110730163B (zh) 一种变电站主辅控联动方法及变电站辅控设备
Jafary et al. Analyzing reliability of the communication for secure and highly available goose-based logic selectivity

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant