CN115333860B - 一种基于零信任的tsn网络控制方法 - Google Patents
一种基于零信任的tsn网络控制方法 Download PDFInfo
- Publication number
- CN115333860B CN115333860B CN202211245334.6A CN202211245334A CN115333860B CN 115333860 B CN115333860 B CN 115333860B CN 202211245334 A CN202211245334 A CN 202211245334A CN 115333860 B CN115333860 B CN 115333860B
- Authority
- CN
- China
- Prior art keywords
- flow
- controller
- traffic
- data
- destination address
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2463/00—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
- H04L2463/146—Tracing the source of attacks
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Small-Scale Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明提供了一种基于零信任的TSN网络控制方法,属于TSN网络控制技术领域;在网络控制器中,将零信任的安全能力和时间确定进行融合,首先基于流量进行分类,形成安全流标签,统一由控制器管理;基于IEEE 802.1Qbv标准之上进行底层扩展,提出多门控机制,由控制器控制关门时间;当流量匹配进入配置门控窗口的流量,上送控制器,进行流量异常分析;本发明的方法可以在工业和行业网络中同时提供确定性和零信任的安全性,充分保障关键网络基础设施的可靠性;控制器对流量状态可追溯,在网络运维和异常追溯都可以提供全面有效的信息。
Description
技术领域
本发明属于TSN网络控制技术领域,具体涉及一种基于零信任的TSN网络控制方法。
背景技术
在工业和重大行业应用中,网络的确定性和安全性最关键的两个特性元素。时间敏感型网络(timesensitive network,TSN)是目前国际产业界正在积极推动的全新工业通信技术。时间敏感型网络允许周期性与非周期性数据在同一网络中传输,使得标准以太网具有确定性传输的优势,并通过厂商独立的标准化进程,已成为广泛聚焦的关键技术。目前,IEEE、IEC等组织均在制定基于TSN的工业应用网络的底层互操作性标准与规范。时间敏感型网络TSN是为了将时间敏感的数据以闭环的方式传递给计算机,并处理标准以太网无法处理的情况,时间敏感型网络还可以在减少事故风险和提高工厂安全水平方面发挥作用。网络零信任是网络安全追求的目标。但TSN对网络安全当前的考虑尚未不完善,而且如果在交换机叠加单点安全防护,会让TSN已经非常复杂的机制过于复杂。
发明内容
有鉴于此,本发明的目的是提供一种基于零信任的TSN网络控制方法,可以支撑网络的高可靠、确定性的有效运转。
一种基于零信任的TSN网络控制方法,包括:
对于TSN网络中没有规范的源地址和目的地址,首先识别其合法性,对其标记安全标签:合法流量或者非法流量;将流量数据中表征源地址和目的地址的关键标识信息转换为传统的网络层的源地址和目的地址;
根据IEEE 802.1Qbv标准,在每个时间周期内,设定两个以上的门控窗口,将流量数据配置给相应的门控窗口;转发器在流量数据接收时,将非法流量配置的门控窗口减小,将该流量数据上送控制器;
对于上送到控制器的非法流量数据,控制器继续判断为合法流量或者为非法流量;如果是合法流量,则在以后的时间周期中,转发器将其正常放行;如果是非法流量,则在以后的时间周期中,转发器继续减小其门控窗口后进行接收和转发。
较佳的,将流量数据中表征源地址和目的地址的关键标识信息转换为传统的网络层的源地址和目的地址时,通过VRF ID来标志该流量数据。
较佳的,将流量数据的全部上送控制器。
较佳的,将流量数据抽样后的部分流量数据上送控制器。
较佳的,在控制器中,如果控制器将之前检测为非法流量数据检测为合法流量,则在以后的时间周期中,转发器将其正常放行。
本发明具有如下有益效果:
本发明提供一种基于零信任的TSN网络控制方法,在网络控制器中,将零信任的安全能力和时间确定进行融合,首先基于流量进行分类,形成安全流标签,统一由控制器管理;基于IEEE 802.1Qbv标准之上进行底层扩展,提出多门控机制,由控制器控制关门时间;当流量匹配进入配置门控窗口的流量,上送控制器,进行流量异常分析;本发明的方法可以在工业和行业网络中同时提供确定性和零信任的安全性,充分保障关键网络基础设施的可靠性;控制器对流量状态可追溯,在网络运维和异常追溯都可以提供全面有效的信息。
附图说明
图1为本发明的方法原理示意图;
图2为本发明的控制器的异常流量分析流程图。
具体实施方式
下面结合附图并举实施例,对本发明进行详细描述。
针对TSN网络安全性不足的问题,本发明提出一种基于零信任的TSN网络控制方法,在网络控制器中,将零信任的安全能力和时间确定进行融合。首先基于流量进行分类,形成安全流标签,统一由控制器管理;第二、基于IEEE 802.1Qbv标准之上进行底层扩展,提出Gate Mask机制,由控制器控制关门时间;第三、当流量匹配进入配置Gate Mask的流量,上送控制器,进行流量异常分析。
本发明的TSN网络控制方法包括确定流量标签、多窗口确定性机制和异常流量分析三个主要部分。
(1)确定流量标签
确定流标签是网络安全的基础,在工业和行业确定性网络中,基于网络报文的链路层源地址、目的地址和VLAN信息,如果报文是三层报文,则分析网络层源地址、目的地址。
在工业和行业网络中,例如很多控制信令非常短,没有规范的源地址和目的地址,是基于传统CAN、FlexRay总线的延伸。对于该类流量数据,首先转发器识别其合法性,对其标记安全标签-合法流量或者非法流量;并且,本发明还基于类IP解析方法,将流量数据中表征源地址和目的地址的关键标识信息转换为传统的网络层的源地址和目的地址,并通过VRF ID来标志这类流量。
在此基础上,网络控制器算法将实现通用化,全面基于链路层源地址、目的地址目的地址,网络层源地址、目的地址进行流量的标识,以及进行后续的安全管理策略。
(2)多门控窗口确定性机制
传统的IEEE 802.1Qbv标准定义的门控机制,但仅有两个优先级,无法满足特种行业的细分管理控制需求。本发明提出在每个时间周期内,设定两个以上的门控窗口,并简化时间周期的配置方法,如图1所示,周期内包含了Gate TC1、Gate TC2和Gate TC3三个门控窗口;假设有三个流量,分别配置到三个门控窗口中进行转发,第一条是机器与机器之间控制信令,第二条是监控的视频流量,需要的时间最多,第三条是机器状态的上报流量。通过门控机制,三条流量之间不会互相干扰,因此提供了网络的确定性。
本发明使用Gate Mask技术,对非法流量标识安全标签,当安全标签非法时,转发器在流量接收时,将非法流量配置的门控窗口Gate TC2减小,将该流量的全部或者抽样后的部分流量上送控制器,同时,也保障了关键业务具备更佳的确定性。同时,在流量转发时,也使用Gate Mask技术,对非法流量减少门控窗口,按照转换后的源地址和目的地址。
如,对于确定性时延流量,按照一个时间周期为1s,每个时间切片配置为10ms,由此将该时间周期分为100个切片,将切片划分成多个门控窗口;基于本发明提出的确定性标签技术,根据流量的标签选择进入不同的门控窗口,以支持多种工业协议、以太网的周期窗口确定可控。
(3)异常流量分析
基于零信任的理念,对于上送到控制器的流量,首先进行学习,获得安全标签,根据控制器当前数据库信息,判断为合法流量或者为非法流量,如果是合法流量,则在以后的时间周期中,转发器将其正常放行;如果是非法流量,则在以后的时间周期中,转发器采用上述Gate Mask技术进行控制。如果控制器将非法流量检测为合法流量,,则消除异常流量,转变为安全流量,则在以后的时间周期中,转发器直接将其放行。
综上所述,以上仅为本发明的较佳实施例而已,并非用于限定本发明的保护范围。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (5)
1.一种基于零信任的TSN网络控制方法,其特征在于,包括:
对于TSN网络中没有规范的源地址和目的地址,首先识别其合法性,对其标记安全标签:合法流量或者非法流量;其中,合法流量为按照标准以太网要求的报文格式,非法流量为未按照标准以太网要求的报文格式;将流量数据中表征源地址和目的地址的关键标识信息转换为传统的网络层的源地址和目的地址;
根据IEEE 802.1Qbv标准,在每个时间周期内,设定两个以上的门控窗口,将流量数据配置给相应的门控窗口;转发器在流量数据接收时,将非法流量配置的门控窗口减小,将该流量数据上送控制器;
对于上送到控制器的非法流量数据,控制器继续判断为合法流量或者为非法流量;如果是合法流量,则在以后的时间周期中,转发器将其正常放行;如果是非法流量,则在以后的时间周期中,转发器继续减小其门控窗口后进行接收和转发。
2.如权利要求1所述的一种基于零信任的TSN网络控制方法,其特征在于,将流量数据中表征源地址和目的地址的关键标识信息转换为传统的网络层的源地址和目的地址时,通过VRF ID来标志该流量数据。
3.如权利要求1所述的一种基于零信任的TSN网络控制方法,其特征在于,将流量数据的全部上送控制器。
4.如权利要求1所述的一种基于零信任的TSN网络控制方法,其特征在于,将流量数据抽样后的部分流量数据上送控制器。
5.如权利要求1所述的一种基于零信任的TSN网络控制方法,其特征在于,在控制器中,如果控制器将之前检测为非法流量数据检测为合法流量,则在以后的时间周期中,转发器将其正常放行。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202211245334.6A CN115333860B (zh) | 2022-10-12 | 2022-10-12 | 一种基于零信任的tsn网络控制方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202211245334.6A CN115333860B (zh) | 2022-10-12 | 2022-10-12 | 一种基于零信任的tsn网络控制方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN115333860A CN115333860A (zh) | 2022-11-11 |
CN115333860B true CN115333860B (zh) | 2023-02-03 |
Family
ID=83914597
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202211245334.6A Active CN115333860B (zh) | 2022-10-12 | 2022-10-12 | 一种基于零信任的tsn网络控制方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN115333860B (zh) |
Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101827017A (zh) * | 2010-02-04 | 2010-09-08 | 蓝盾信息安全技术股份有限公司 | 一种动态分配网络流量的方法及系统 |
CN112291161A (zh) * | 2020-10-10 | 2021-01-29 | 燕山大学 | 一种时间敏感网络混合流量调度方法 |
CN114172849A (zh) * | 2021-11-26 | 2022-03-11 | 华中科技大学 | 一种基于博弈论的确定性流量整形方法 |
CN114389944A (zh) * | 2022-03-01 | 2022-04-22 | 重庆邮电大学 | 一种面向工业应用的时间敏感网络完全分布式配置方法 |
CN114598413A (zh) * | 2022-01-25 | 2022-06-07 | 浙江大学 | 一种支持时间敏感网络功能的安全分布式控制系统 |
CN114866482A (zh) * | 2022-07-07 | 2022-08-05 | 中汽创智科技有限公司 | 一种数据流传输方法和装置 |
CN115150334A (zh) * | 2022-09-02 | 2022-10-04 | 北京智芯微电子科技有限公司 | 基于时间敏感网络的数据传输方法、装置及通信设备 |
Family Cites Families (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN112073388B (zh) * | 2020-08-20 | 2021-07-23 | 上海交通大学 | 一种工业控制系统的时间敏感异构网络系统及管理方法 |
US20220200920A1 (en) * | 2020-12-18 | 2022-06-23 | Intel Corporation | Dynamic adaptation of time-aware communications in time-sensitive systems |
CN114302402B (zh) * | 2021-12-24 | 2023-05-12 | 国网福建省电力有限公司 | 一种基于5g的电力调控业务安全通信方法 |
-
2022
- 2022-10-12 CN CN202211245334.6A patent/CN115333860B/zh active Active
Patent Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101827017A (zh) * | 2010-02-04 | 2010-09-08 | 蓝盾信息安全技术股份有限公司 | 一种动态分配网络流量的方法及系统 |
CN112291161A (zh) * | 2020-10-10 | 2021-01-29 | 燕山大学 | 一种时间敏感网络混合流量调度方法 |
CN114172849A (zh) * | 2021-11-26 | 2022-03-11 | 华中科技大学 | 一种基于博弈论的确定性流量整形方法 |
CN114598413A (zh) * | 2022-01-25 | 2022-06-07 | 浙江大学 | 一种支持时间敏感网络功能的安全分布式控制系统 |
CN114389944A (zh) * | 2022-03-01 | 2022-04-22 | 重庆邮电大学 | 一种面向工业应用的时间敏感网络完全分布式配置方法 |
CN114866482A (zh) * | 2022-07-07 | 2022-08-05 | 中汽创智科技有限公司 | 一种数据流传输方法和装置 |
CN115150334A (zh) * | 2022-09-02 | 2022-10-04 | 北京智芯微电子科技有限公司 | 基于时间敏感网络的数据传输方法、装置及通信设备 |
Non-Patent Citations (3)
Title |
---|
Anna Arestova ; Wojciech Baron ; Kai-Steffen J. Hielscher ; Reinhar.ITANS: Incremental Task and Network Scheduling for Time-Sensitive Networks.《IEEE Open Journal of Intelligent Transportation Systems》.2022,第3卷 * |
一种基于零信任的SDN网络访问控制方法;吴云坤等;《信息网络安全》;20200810(第08期);全文 * |
时间敏感网络(TSN)及无线TSN技术;许方敏等;《电信科学》;20200604(第08期);全文 * |
Also Published As
Publication number | Publication date |
---|---|
CN115333860A (zh) | 2022-11-11 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US20180237040A1 (en) | Locomotive control system | |
CN112105080B (zh) | 一种时间敏感网络数据传输系统及传输方法 | |
US10447606B2 (en) | Time-sensitive networking differentiation of traffic based upon content | |
US20230254328A1 (en) | Attribute-based policies for integrity monitoring and network intrusion detection | |
CN101517564B (zh) | 一体式安全事件管理系统 | |
CN105208132A (zh) | 智能终端云管理系统 | |
CN1985473A (zh) | 利用单个物理端口的在线入侵检测 | |
CN106209640B (zh) | Down MEP报文处理方法与系统 | |
CN105306560A (zh) | 分布式终端实施动态管理平台 | |
US9031091B2 (en) | Connection system of building facility device managing system, connection method of building facility device managing system, and connection program of building facility device managing system | |
CN102217248B (zh) | 分布式分组流检查和处理 | |
CN105227365A (zh) | 基于安卓平台的物联网终端管控系统 | |
CN111726414A (zh) | 一种车辆上报数据的处理方法和车辆数据上报系统 | |
CN105763387A (zh) | 网络流量监控方法和装置 | |
CN115333860B (zh) | 一种基于零信任的tsn网络控制方法 | |
CN101374115B (zh) | 基于profibus报文快速识别的多端口控制方法 | |
CN108418794B (zh) | 一种智能变电站通信网络抵御arp攻击的方法及系统 | |
US11611488B2 (en) | AI machine learning technology based fault management system for network equpment that supports SDN open flow protocol | |
CN101547127B (zh) | 一种内、外网络报文的识别方法 | |
CN116880281A (zh) | 一种基于确定性网络的融合控制系统 | |
CN113904994B (zh) | 一种家庭网关大数据统一上报平台的方法 | |
CN110099011A (zh) | 一种实体网关接入虚拟家庭网关的方法及系统 | |
CN115280739B (zh) | 通过以太网网络传送来自工业终端设备的消息 | |
CN113110354B (zh) | 一种基于摆渡的工业数据安全系统和方法 | |
CN110730163B (zh) | 一种变电站主辅控联动方法及变电站辅控设备 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |