本發(fā)明涉及工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全
技術(shù)領(lǐng)域:
:,更具體的說是涉及一種基于SDN架構(gòu)的工業(yè)通信流傳輸安全控制方法�����。
背景技術(shù):
::隨著網(wǎng)絡(luò)技術(shù)的發(fā)展�����,現(xiàn)有的網(wǎng)絡(luò)結(jié)構(gòu)已經(jīng)不能滿足急劇膨脹的網(wǎng)絡(luò)規(guī)模和不斷豐富的應(yīng)用類型需求�����,世界各國(guó)已經(jīng)開展未來網(wǎng)絡(luò)體系架構(gòu)的研究,并取得了一些進(jìn)展��。軟件定義網(wǎng)絡(luò)(SoftwareDefinedNetwork,SDN)得到了工業(yè)界和學(xué)術(shù)界的廣泛重視����,它是一種新型網(wǎng)絡(luò)創(chuàng)新架構(gòu),是網(wǎng)絡(luò)虛擬化的一種實(shí)現(xiàn)方式��,其核心技術(shù)OpenFlow通過將網(wǎng)絡(luò)設(shè)備控制平面與數(shù)據(jù)平面分離開來����,從而實(shí)現(xiàn)了網(wǎng)絡(luò)流量的靈活控制��,使網(wǎng)絡(luò)作為管道變得更加智能����。SDN將控制功能從網(wǎng)絡(luò)設(shè)備中分離出來,在SDN交換機(jī)上維護(hù)流表(flowtable)結(jié)構(gòu)�����,數(shù)據(jù)報(bào)文按照流表進(jìn)行轉(zhuǎn)發(fā)���,而流表的生成�、維護(hù)����、配置則由管理控制器來管理����。流表結(jié)構(gòu)將網(wǎng)絡(luò)處理層次扁平化��,使得網(wǎng)絡(luò)數(shù)據(jù)的處理滿足細(xì)粒度的處理要求����。在這種控制轉(zhuǎn)發(fā)分離架構(gòu)下,網(wǎng)絡(luò)的邏輯控制功能和高層策略可以通過管理控制器靈活地進(jìn)行動(dòng)態(tài)管理和配置�����,可在不影響傳統(tǒng)網(wǎng)絡(luò)正常流量的情況下�����,在現(xiàn)有的網(wǎng)絡(luò)中實(shí)現(xiàn)和部署新型網(wǎng)絡(luò)架構(gòu)���,SDN的基本網(wǎng)絡(luò)架構(gòu)如圖1所示�����。目前國(guó)內(nèi)外的工業(yè)界已經(jīng)開展了對(duì)SDN網(wǎng)絡(luò)在工業(yè)控制系統(tǒng)中的應(yīng)用研究��,美國(guó)能源部(DOE)于2013年10月開展了基于SDN的工業(yè)網(wǎng)絡(luò)研究項(xiàng)目���,目的是將基于SDN的流控制器引入到能源系統(tǒng)�����,滿足能源輸送系統(tǒng)的信息傳輸與交換目標(biāo)���,構(gòu)建一個(gè)能夠維持關(guān)鍵功能、抵御攻擊事件���、具有彈性的能源輸送系統(tǒng)����,并且工業(yè)4.0也將SDN網(wǎng)絡(luò)作為用于工業(yè)通信的重要研究?jī)?nèi)容�。數(shù)據(jù)通信的傳輸控制技術(shù)也可稱作通信的訪問控制技術(shù)�����,是一種網(wǎng)絡(luò)中控制數(shù)據(jù)流傳輸?shù)陌踩U戏椒?,一般?yīng)用于各種防火墻的設(shè)計(jì)中,尤其是基于包過濾的防火墻。它能增強(qiáng)網(wǎng)絡(luò)內(nèi)部的安全性�����,可以確定合法的數(shù)據(jù)通信允許傳輸���,非法的數(shù)據(jù)通信被丟棄�。訪問控制通過檢查流經(jīng)的每一個(gè)數(shù)據(jù)報(bào)文����,進(jìn)行數(shù)據(jù)解析,與預(yù)設(shè)的訪問控制規(guī)則進(jìn)行匹配�,根據(jù)規(guī)則的先后順序進(jìn)行一一比較,執(zhí)行符合規(guī)則的處理操作����,從而保護(hù)網(wǎng)絡(luò)的通信安全。一般訪問控制的處理操作包括兩種:一種是阻止傳輸流通過����;另一種是允許傳輸流通過。工業(yè)控制系統(tǒng)的通信流傳輸控制要面向于多種工業(yè)專有通信協(xié)議���,例如�����,Modbus/TCP�、OPC、DNP3等�,而這些協(xié)議都是一種應(yīng)用層協(xié)議,因此需要深度包解析技術(shù)對(duì)各種工業(yè)專有通信協(xié)議的應(yīng)用數(shù)據(jù)進(jìn)行深度分析����,在此基礎(chǔ)上,實(shí)現(xiàn)工業(yè)通信數(shù)據(jù)流的傳輸控制����。技術(shù)實(shí)現(xiàn)要素:有鑒于此,本發(fā)明的目的是提供一種基于SDN架構(gòu)的工業(yè)通信流傳輸安全控制方法����,符合“縱深防御”的思想,解決基于SDN網(wǎng)絡(luò)架構(gòu)的工業(yè)控制系統(tǒng)脆弱性和安全防護(hù)問題��,保障工業(yè)控制系統(tǒng)的安全運(yùn)行����。本發(fā)明的進(jìn)一步目的是提供一種基于SDN架構(gòu)的工業(yè)通信流傳輸安全控制方法���,針對(duì)工業(yè)控制系統(tǒng)中使用的工業(yè)專有通信協(xié)議��,完成應(yīng)用數(shù)據(jù)的深度解析�����,實(shí)現(xiàn)工業(yè)通信數(shù)據(jù)流的傳輸控制�,檢測(cè)與阻止異常的入侵行為,保護(hù)工業(yè)控制系統(tǒng)中關(guān)鍵基礎(chǔ)設(shè)施的安全�。本發(fā)明為實(shí)現(xiàn)上述目的所采用的技術(shù)方案是:一種基于SDN架構(gòu)的工業(yè)通信流傳輸控制方法,包括以下步驟:步驟一:當(dāng)SDN交換機(jī)收到工控終端發(fā)送的工業(yè)通信數(shù)據(jù)流后�,首先進(jìn)行數(shù)據(jù)報(bào)文解析,與自身存儲(chǔ)的流表進(jìn)行逐條匹配�,若與某條匹配,轉(zhuǎn)到步驟二���;若與流表全不匹配����,轉(zhuǎn)到步驟三����;步驟二:SDN交換機(jī)檢查流表中相應(yīng)匹配條目的安全控制標(biāo)識(shí)是否為1,若為1����,則將流ID��、工業(yè)通信協(xié)議類型和數(shù)據(jù)報(bào)文中的應(yīng)用層信息發(fā)送給管理控制器��,請(qǐng)求對(duì)通信內(nèi)容進(jìn)行檢測(cè)���,轉(zhuǎn)到步驟四;若為0��,SDN交換機(jī)按照流表的動(dòng)作執(zhí)行相應(yīng)的操作�����;步驟三:SDN交換機(jī)將數(shù)據(jù)報(bào)文發(fā)送至管理控制器�����,管理控制器解析該數(shù)據(jù)報(bào)文��,利用內(nèi)部的基本服務(wù)功能為該數(shù)據(jù)報(bào)文制定流的傳輸路徑�,計(jì)算轉(zhuǎn)發(fā)流表信息,分配流ID�����,然后通過內(nèi)部的流安全控制模塊判斷是否需要對(duì)該條數(shù)據(jù)流進(jìn)行管控�����,若需要?jiǎng)t將流表信息中的安全控制標(biāo)識(shí)置1�����;否則�,置0,然后將流表信息發(fā)送給路徑上的所有SDN交換機(jī)��;步驟四:流安全控制模塊對(duì)數(shù)據(jù)報(bào)文中的應(yīng)用層信息按照不同工業(yè)通信協(xié)議進(jìn)行深度解析�,將解析結(jié)果與工業(yè)規(guī)則策略庫(kù)中的每一條工業(yè)規(guī)則策略進(jìn)行匹配,若匹配成功��,則將檢測(cè)結(jié)果發(fā)送給SDN交換機(jī)�,轉(zhuǎn)到步驟五;若匹配不成功����,則告知SDN交換機(jī)將該整個(gè)工業(yè)通信數(shù)據(jù)流做丟棄處理;步驟五:SDN交換機(jī)按照檢測(cè)結(jié)果對(duì)工業(yè)通信數(shù)據(jù)流進(jìn)行進(jìn)一步處理���。所述流表的表項(xiàng)結(jié)構(gòu)包括包頭域���、計(jì)數(shù)器���、安全控制標(biāo)識(shí)和動(dòng)作部分;所述包頭域用于數(shù)據(jù)報(bào)文匹配�;所述計(jì)數(shù)器用于統(tǒng)計(jì)匹配數(shù)據(jù)報(bào)文個(gè)數(shù);所述安全控制標(biāo)識(shí)用于判斷是否需要進(jìn)行流安全控制�����;所述動(dòng)作用于展示匹配數(shù)據(jù)報(bào)文的處理方式����。所述流表的動(dòng)作包括轉(zhuǎn)發(fā)、丟棄����、排隊(duì)和/或修改域。所述管理控制器的基本服務(wù)功能用于基本的網(wǎng)絡(luò)管理����,包括網(wǎng)絡(luò)拓?fù)涔芾怼⒕W(wǎng)絡(luò)設(shè)備注冊(cè)�����、路由計(jì)算、Qos保障���,能夠通過維護(hù)整個(gè)網(wǎng)絡(luò)視圖來維護(hù)整個(gè)網(wǎng)絡(luò)的基本信息,為每一個(gè)通信數(shù)據(jù)流計(jì)算路由路徑信息�����,制定轉(zhuǎn)發(fā)流表信息����,分配流ID,并能將流表信息發(fā)送給路徑上的每個(gè)SDN交換機(jī)�����。所述將流表信息發(fā)送給路徑上的所有SDN交換機(jī)���,僅僅該傳輸路徑上第一個(gè)SDN交換機(jī)的流表信息中安全控制標(biāo)識(shí)置1�����,其他SDN交換機(jī)的流表信息中安全控制標(biāo)識(shí)都置為0��。所述流安全控制模塊�����,用于完成兩個(gè)功能����,包括:(1)對(duì)于首次收到某一工業(yè)通信數(shù)據(jù)流的數(shù)據(jù)報(bào)文,根據(jù)工業(yè)規(guī)則策略庫(kù)判斷是否需要對(duì)該流進(jìn)行安全傳輸管控����,即在制定轉(zhuǎn)發(fā)流表信息時(shí)是否需要設(shè)置安全控制標(biāo)識(shí);(2)對(duì)于需要進(jìn)行流安全傳輸管控的數(shù)據(jù)報(bào)文���,按照不同的工業(yè)通信協(xié)議規(guī)約進(jìn)行報(bào)文應(yīng)用層內(nèi)容的深度解析�,與預(yù)設(shè)置工業(yè)規(guī)則策略進(jìn)行匹配����,執(zhí)行工業(yè)規(guī)則策略的規(guī)定的控制處理操作。所述工業(yè)規(guī)則策略庫(kù)用于存儲(chǔ)用戶設(shè)置的所有工業(yè)規(guī)則策略����,工業(yè)規(guī)則策略庫(kù)通過用戶自定義添加,用戶可以對(duì)每一條工業(yè)規(guī)則策略進(jìn)行修改����、更新���、刪除操作;其中的每一條工業(yè)規(guī)則策略包括規(guī)則ID�����、源IP地址�、目的IP地址�、工業(yè)通信協(xié)議類型、協(xié)議規(guī)約規(guī)定的關(guān)鍵字段信息內(nèi)容以及處理操作部分�����。所述工業(yè)通信協(xié)議類型包括Modbus/TCP����、Modbus/UDP、DNP3����、OPC、Profinet���、IEC60870-5-104���、MMS���、GOOSE通用的工業(yè)通信協(xié)議。所述理控制器的流安全控制模塊要保存工業(yè)規(guī)則策略的規(guī)則ID與流ID的對(duì)應(yīng)關(guān)系����,這種對(duì)應(yīng)關(guān)系為一對(duì)一、或一對(duì)多的方式���,便于通過流ID查找相應(yīng)的工業(yè)規(guī)則策略�����。根據(jù)權(quán)利要求1所述的一種基于SDN架構(gòu)的工業(yè)通信流傳輸控制方法���,其特征在于,所述管理控制器中流安全控制模塊的檢測(cè)結(jié)果反映了相應(yīng)工業(yè)規(guī)則策略規(guī)定的控制處理操作�,包括丟棄和按流表中動(dòng)作處理兩種方式。本發(fā)明具有以下優(yōu)點(diǎn)及有益效果:1.經(jīng)由上述技術(shù)方案可知�����,與現(xiàn)有技術(shù)相比,本發(fā)明公開提供了一種基于SDN架構(gòu)的工業(yè)通信流傳輸控制方法���,在SDN技術(shù)的基礎(chǔ)上�����,增加了工業(yè)通信數(shù)據(jù)的檢查與控制機(jī)制��,保障了工業(yè)終端不會(huì)受到非法訪問�����,保障了基于SDN架構(gòu)工業(yè)控制系統(tǒng)的安全性。2.該方法符合“縱深防御”的基本安全思想����,通過工業(yè)規(guī)則策略的設(shè)置,能夠支持對(duì)工業(yè)控制系統(tǒng)進(jìn)行重點(diǎn)安全區(qū)域的劃分��,實(shí)現(xiàn)不同區(qū)域之間流的傳輸控制���。3.該方法在管理控制器上設(shè)計(jì)了流安全控制模塊�,支持對(duì)工業(yè)通信專有協(xié)議的深度解析����,滿足工業(yè)控制系統(tǒng)中這種內(nèi)容深層次檢測(cè)的特殊通信安全需求��,同時(shí)在管理控制器上實(shí)現(xiàn)流安全控制模塊��,降低了SDN交換機(jī)的計(jì)算負(fù)載��,增加了網(wǎng)絡(luò)整體的安全可擴(kuò)展性����,并且用戶自定義的工業(yè)規(guī)則策略設(shè)置方式提高了用戶對(duì)網(wǎng)絡(luò)安全的管理控制能力�。附圖說明圖1為本發(fā)明中SDN網(wǎng)絡(luò)基本架構(gòu)示意圖;圖2為本發(fā)明的基本模型示意圖�����;圖3為本發(fā)明實(shí)施例中SDN交換機(jī)流表中表項(xiàng)結(jié)構(gòu)示意圖���;圖4為本發(fā)明的執(zhí)行過程實(shí)施例示意圖����;圖5為本發(fā)明的流表信息生成過程示意圖���;圖6為本發(fā)明的匹配流程示意圖�。具體實(shí)施方式下面將結(jié)合本發(fā)明實(shí)施例中的附圖,對(duì)本發(fā)明實(shí)施例中的技術(shù)方案進(jìn)行清楚���、完整地描述�����,顯然����,所描述的實(shí)施例僅僅是本發(fā)明一部分實(shí)施例���,而不是全部的實(shí)施例���。基于本發(fā)明中的實(shí)施例���,本領(lǐng)域普通技術(shù)人員在沒有做出創(chuàng)造性勞動(dòng)前提下所獲得的所有其他實(shí)施例,都屬于本發(fā)明保護(hù)的范圍���。本發(fā)明的方法屬于軟件定義網(wǎng)絡(luò)(SDN)的范疇����。軟件定義網(wǎng)絡(luò)是目前一種新型的網(wǎng)絡(luò)創(chuàng)新架構(gòu),它將傳統(tǒng)固定式的路由配置變換成靈活的軟件形式���,將網(wǎng)絡(luò)設(shè)備上的控制權(quán)分立出來����,由集中的控制器管理�,無須以來底層網(wǎng)絡(luò)設(shè)備,屏蔽了來自底層網(wǎng)絡(luò)設(shè)備的差異��,并且控制權(quán)是完全開放的���,用戶可以自定義任何想實(shí)現(xiàn)的網(wǎng)絡(luò)路由和傳輸策略��,從而更加靈活和智能�����,圖1給出了典型SDN網(wǎng)絡(luò)的基本架構(gòu)示意圖����。為了保障基于SDN架構(gòu)的工業(yè)控制系統(tǒng)的通信安全����,防止系統(tǒng)中出現(xiàn)的惡意攻擊或誤操作等行為���,本發(fā)明提供了一種基于SDN架構(gòu)的工業(yè)通信流傳輸控制控制方法。參見圖2�,示出了本發(fā)明一種基于SDN架構(gòu)的工業(yè)通信流傳輸控制方法的基本模型,該模型主要包括三個(gè)部分:控制層面����、數(shù)據(jù)層面和終端層面?��?刂茖用嬷饕梢粋€(gè)或多個(gè)分布式的管理控制器組成���,管理控制器根據(jù)網(wǎng)絡(luò)的具體狀態(tài)和用戶的配置,制定所有數(shù)據(jù)層面SDN交換機(jī)的路由轉(zhuǎn)發(fā)策略���。管理控制器包括SDN網(wǎng)絡(luò)中原有的基本服務(wù)功能和新增的流安全控制模塊�����,同時(shí)根據(jù)流安全控制模塊的需求,管理控制器還配備了工業(yè)規(guī)則策略庫(kù)用于存儲(chǔ)用戶自設(shè)定的工業(yè)規(guī)則策略�����。基本服務(wù)功能用于基本的網(wǎng)絡(luò)管理����,包括網(wǎng)絡(luò)拓?fù)涔芾怼⒕W(wǎng)絡(luò)設(shè)備注冊(cè)�����、路由計(jì)算����、Qos保障等,能夠通過維護(hù)整個(gè)網(wǎng)絡(luò)視圖來維護(hù)整個(gè)網(wǎng)絡(luò)的基本信息��,如拓?fù)?�、網(wǎng)絡(luò)單元和提供的服務(wù)等���,能夠?yàn)槊恳粋€(gè)通信數(shù)據(jù)流計(jì)算路由路徑信息�����,制定轉(zhuǎn)發(fā)流表信息����,分配流ID,并能將流表信息發(fā)送給路徑上的每個(gè)SDN交換機(jī)���。流安全控制模塊主要完成兩個(gè)功能��,包括:一種功能是對(duì)于首次收到某一工業(yè)通信數(shù)據(jù)流的數(shù)據(jù)報(bào)文�����,根據(jù)工業(yè)規(guī)則策略庫(kù)判斷是否需要對(duì)該流進(jìn)行安全傳輸管控�����,即在制定轉(zhuǎn)發(fā)流表信息時(shí)是否需要設(shè)置安全控制標(biāo)識(shí)���;另一種功能是對(duì)于需要進(jìn)行流安全傳輸管控的數(shù)據(jù)報(bào)文,按照不同的工業(yè)通信協(xié)議規(guī)約進(jìn)行報(bào)文應(yīng)用層內(nèi)容的深度解析���,與預(yù)設(shè)置工業(yè)規(guī)則策略進(jìn)行匹配�,執(zhí)行工業(yè)規(guī)則策略的規(guī)定的控制處理操作�。深度解析,又稱深度包檢測(cè)技術(shù)�����,為現(xiàn)有技術(shù)��,國(guó)內(nèi)外均有相關(guān)文獻(xiàn)記載���,可參考http://blog.sina.com.cn/s/blog_4b108ce20100afwf.html�。數(shù)據(jù)層面主要由SDN交換機(jī)所組成��,系統(tǒng)中所有SDN交換機(jī)連接后共同組成了整個(gè)傳輸網(wǎng)絡(luò)�����,每一個(gè)SDN交換機(jī)都擁有一個(gè)或多個(gè)流表���,該流表的表項(xiàng)結(jié)構(gòu)主要由四部分組成——包頭域�、計(jì)算器����、安全控制標(biāo)識(shí)和動(dòng)作,如圖3所示���,其中本發(fā)明方法要求包頭域中必有包括源IP地址����、目的IP地址、IP協(xié)議�、TCP/UDP源端口和TCP/UDP目的端口等元組,其他的可選元組可參照OpenFlow流表中包頭域的定義�����,包頭域用于數(shù)據(jù)報(bào)文匹配�,計(jì)數(shù)器用于統(tǒng)計(jì)匹配數(shù)據(jù)報(bào)文個(gè)數(shù),安全控制標(biāo)識(shí)用于判斷是否需要進(jìn)行流安全控制�,動(dòng)作用于展示匹配數(shù)據(jù)報(bào)文的處理方式,可包括轉(zhuǎn)發(fā)�����、丟棄等必備動(dòng)作�,也可包括OpenFlow中定義的排隊(duì)、修改域等可選動(dòng)作�����。在本發(fā)明方法中�,SDN交換機(jī)不僅依據(jù)流表在本地做簡(jiǎn)單的高速數(shù)據(jù)轉(zhuǎn)發(fā),同時(shí)也要負(fù)責(zé)將需要流傳輸控制的數(shù)據(jù)報(bào)文發(fā)送給管理控制器�����。終端層面主要包括一些典型的工業(yè)終端,例如可編程邏輯控制器PLC���、遠(yuǎn)程終端單元RTU、DCS控制器��、工程師站��、操作員站�、OPCServer、OPCClient����、人機(jī)接口HMI等各種工業(yè)計(jì)算設(shè)備。本發(fā)明方法不需要對(duì)現(xiàn)有的工業(yè)終端做任何修改���,即控制層面和數(shù)據(jù)層面對(duì)終端層面是透明的����,現(xiàn)有工業(yè)控制系統(tǒng)中的工業(yè)終端設(shè)備可完全適用于本發(fā)明方法���。為了清楚的說明本發(fā)明方法對(duì)工業(yè)通信數(shù)據(jù)流傳輸控制的執(zhí)行過程和處理方法�,下面以Modbus/TCP協(xié)議的應(yīng)用場(chǎng)景進(jìn)行詳細(xì)的介紹,參見圖4��,示出了一種基于SDN架構(gòu)的工業(yè)通信流傳輸控制方法的執(zhí)行過程實(shí)施例示意圖�。首先,用戶根據(jù)具體的安全需求設(shè)定工業(yè)規(guī)則策略庫(kù)��,本實(shí)施例中給出了Rule1和Rule2兩條工業(yè)規(guī)則策略����,規(guī)則策略中的主要項(xiàng)目表示如下含義:Rule1、Rule2表示工業(yè)規(guī)則策略的規(guī)則ID���;M1-SIP表示Modbus主站M1的IP地址�����、M2-SIP表示Modbus主站M2的IP地址��、S1-DIP表示Modbus從站S1的IP地址��;Modbus/TCP表示為工業(yè)通信協(xié)議類型��;K-info1��、K-info2分別表示規(guī)則1和規(guī)則2中需要檢測(cè)的Modbus/TCP協(xié)議規(guī)定的關(guān)鍵字段信息��;Drop�、F-Action分別表示對(duì)通信流做丟棄處理和按流表中動(dòng)作進(jìn)行處理。下面以兩個(gè)工業(yè)通信流的執(zhí)行過程說明本發(fā)明方法的兩種通信流處理方式��,需要說明的是����,實(shí)施例只是給出了兩種常用的處理方式,其他適用于本發(fā)明方法的處理方式也在本發(fā)明的保護(hù)范圍內(nèi)�。(1)當(dāng)SDN交換機(jī)SW1中沒有工業(yè)通信流1所對(duì)應(yīng)的流表信息Flow1時(shí)��,針對(duì)工業(yè)通信流1的數(shù)據(jù)報(bào)文的執(zhí)行過程:步驟一:Modbus主站M1首次向SDN交換機(jī)SW1發(fā)送通信流1的數(shù)據(jù)報(bào)文����,SW1收到數(shù)據(jù)報(bào)文后首先提取報(bào)文中的包頭信息與自己的流表進(jìn)行逐一匹配,若與某一條匹配���,則執(zhí)行該條流表規(guī)定的動(dòng)作����;若全不匹配����,則將數(shù)據(jù)報(bào)文轉(zhuǎn)發(fā)給管理控制器�����;步驟二:管理控制器收到通信流1的數(shù)據(jù)報(bào)文后�,首先利用基本服務(wù)功能為該數(shù)據(jù)報(bào)文制定流的傳輸路徑����,計(jì)算轉(zhuǎn)發(fā)流表信息,然后利用流安全控制模塊通過數(shù)據(jù)包的源����、目的IP地址和工業(yè)通信協(xié)議(通過目的端口確定)在工業(yè)規(guī)則策略庫(kù)中進(jìn)行查找,發(fā)現(xiàn)數(shù)據(jù)報(bào)文中的源IP地址�、目的IP地址、工業(yè)通信協(xié)議分別與規(guī)則Rule1中的M1-SIP�、S1-DIP、Modbus/TCP相匹配�����,則確定此通信流需要安全傳輸控制���,然后對(duì)數(shù)據(jù)報(bào)文的應(yīng)用層數(shù)據(jù)進(jìn)行深度解析�,將解析后的內(nèi)容與規(guī)則Rule1中的關(guān)鍵字段信息K-info1進(jìn)行匹配,若匹配成功��,則將流表信息Flow1和控制處理操作Drop發(fā)送給SW1��,最后丟棄該數(shù)據(jù)報(bào)文����;步驟三:SDN交換機(jī)SW1收到流表信息Flow1后,將控制處理操作Drop作為流表信息Flow1的動(dòng)作���,此時(shí)流表信息Flow1中P-header1為流1數(shù)據(jù)報(bào)文的包頭域信息����,count為計(jì)數(shù)器�,F(xiàn)-control為安全控制標(biāo)識(shí)����,其值為1,動(dòng)作為Drop��,即丟棄處理����。當(dāng)SDN交換機(jī)SW1收到后續(xù)Modbus主站M1發(fā)送的通信流1的數(shù)據(jù)報(bào)文時(shí),SW1與流表信息Flow1進(jìn)行匹配�,然后執(zhí)行丟棄處理�����。(2)當(dāng)SDN交換機(jī)SW2中有工業(yè)通信流2所對(duì)應(yīng)的流表信息Flow2時(shí)�,針對(duì)工業(yè)通信流2的數(shù)據(jù)報(bào)文的執(zhí)行過程:步驟一:當(dāng)Modbus主站M2向SDN交換機(jī)SW2發(fā)送通信流2的數(shù)據(jù)報(bào)文時(shí)����,SW2收到數(shù)據(jù)報(bào)文后提取報(bào)文中的包頭信息與自己的流表進(jìn)行逐一匹配,發(fā)現(xiàn)與流信息Flow2匹配成功�����,然后檢查安全控制標(biāo)識(shí)F-control為1�����,則將流ID:Flow2和應(yīng)用層信息發(fā)送給管理控制器�;步驟三:當(dāng)管理控制器收到SW2發(fā)送過來的信息后,流安全控制模塊首先通過流ID:Flow2查找對(duì)應(yīng)的工業(yè)規(guī)則策略Rule2�����,然后按照Modbus/TCP協(xié)議對(duì)應(yīng)用層信息進(jìn)行深度解析�����,將解析后的內(nèi)容與規(guī)則Rule2中的關(guān)鍵字段信息K-info2進(jìn)行匹配,若匹配成功�����,則將處理操作F-action發(fā)送給SW2��;否則���,告知SW2丟棄此數(shù)據(jù)報(bào)文�;步驟三:當(dāng)SW2收到處理操作F-action后����,則將此通信流2的數(shù)據(jù)報(bào)文按照流表中的動(dòng)作Forward即轉(zhuǎn)發(fā)處理,通信流2的數(shù)據(jù)報(bào)文最終被轉(zhuǎn)發(fā)至Modbus從站S2��,完成一次訪問通信����。為了說明本發(fā)明方法中管理控制器為SDN交換機(jī)制定流表信息的詳細(xì)過程����,參見圖5,示出了本發(fā)明一種基于SDN架構(gòu)的工業(yè)通信流傳輸控制方法的流表信息生成過程示意圖。主要步驟如下:步驟一:當(dāng)管理控制器收到SDN交換機(jī)首次發(fā)送的數(shù)據(jù)報(bào)文后�����,利用基本服務(wù)功能首先解析數(shù)據(jù)報(bào)文的包頭信息����,然后根據(jù)解析后的包頭信息、網(wǎng)絡(luò)拓?fù)?���、鏈路狀態(tài)等制定初始流表信息,包括流ID����、包頭域、計(jì)數(shù)器����、動(dòng)作等部分,具體的過程參照OpenFlow協(xié)議中規(guī)定方法����,本專利不再詳述。步驟二:管理控制器中流安全控制模塊根據(jù)數(shù)據(jù)報(bào)文中的源IP地址����、目的IP地址和應(yīng)用層協(xié)議查找工業(yè)規(guī)則策略庫(kù)�,若與某一條工業(yè)規(guī)則策略匹配�����,則轉(zhuǎn)到步驟三�;若全不匹配,則管理控制器將初始流表信息的安全控制標(biāo)識(shí)F-control置0�����,然后將此條流表信息發(fā)送給SDN交換機(jī)��;步驟三:按照不同的工業(yè)通信協(xié)議類型����,管理控制器對(duì)數(shù)據(jù)報(bào)文的應(yīng)用層信息進(jìn)行深度解析,與相應(yīng)的工業(yè)規(guī)則策略中的K-info進(jìn)行匹配�,若匹配,轉(zhuǎn)到步驟四���;若不匹配����,則管理控制器將初始流表信息的安全控制標(biāo)識(shí)F-control置0����,然后將此條流表信息發(fā)送給SDN交換機(jī);步驟四:管理控制器判斷相應(yīng)的工業(yè)規(guī)則策略的處理操作方式����,若為Drop,則將初始流表信息的安全控制標(biāo)識(shí)F-control置1���,并將初始流表信息的動(dòng)作設(shè)置為Drop�����,然后將此條流表信息發(fā)送給SDN交換機(jī)�;若為F-action��,則將初始流表信息的安全控制標(biāo)識(shí)F-control置1���,然后將此條流表信息發(fā)送給SDN交換機(jī)�。參見圖6���,示出了發(fā)明一種基于SDN架構(gòu)的工業(yè)通信流傳輸控制方法中SDN交換機(jī)依據(jù)流表處理數(shù)據(jù)報(bào)文的流程示意圖��,主要步驟如下:步驟一:當(dāng)SDN交換機(jī)收到終端發(fā)送的數(shù)據(jù)報(bào)文后����,首先解析數(shù)據(jù)報(bào)文的包頭信息,與自身存儲(chǔ)的流表中每一條目的包頭域P-header進(jìn)行匹配�����,若匹配其中的某一條流表信息��,則轉(zhuǎn)至步驟二���;若與流表中的所有條目都不匹配��,則將此數(shù)據(jù)包發(fā)送至管理控制器進(jìn)一步處理�����;步驟二:SDN交換機(jī)判斷此條流表信息的動(dòng)作�,若為Drop����,則直接將此數(shù)據(jù)報(bào)文丟棄,同時(shí)計(jì)算器count加1�����;若為其他��,即轉(zhuǎn)發(fā)�����、排隊(duì)或修改等動(dòng)作��,則轉(zhuǎn)至步驟三�����;步驟三:SDN交換機(jī)繼續(xù)判斷此條流表信息的安全控制標(biāo)識(shí)F-control���,若為1�����,則將此數(shù)據(jù)報(bào)文對(duì)應(yīng)的流ID和應(yīng)用層信息發(fā)送至管理控制器進(jìn)一步處理���;若為0,按照此條流表信息的動(dòng)作對(duì)數(shù)據(jù)報(bào)文進(jìn)行處理��,同時(shí)計(jì)算器count加1。當(dāng)前第1頁(yè)1 2 3 當(dāng)前第1頁(yè)1 2 3