基于SDN的電力通信網的安全防護架構設計

張思拓，謝 堯，吳 柳，辜曉波

（中國南方電網有限責任公司 廣東 廣州510663）

基于SDN的電力通信網的安全防護架構設計

張思拓，謝 堯，吳 柳，辜曉波

（中國南方電網有限責任公司 廣東 廣州510663）

針對電力通信網絡對SDN網絡安全可靠性的需求，提出了一種SDN網絡安全防護架構，從而提高SDN網絡架構的穩定性。該網絡使用了一種應用等級劃分的授權管理機制和一種動態密碼方式的身份認證機制，更加關注SDN架構中實體間的授權管理機制和身份認證機制，使SDN的控制器和交換機均擁有"代理"中記錄的身份特征。仿真實驗結果表明，該架構提高了鏈路和控制器的可靠性，加強了身份識別，降低了秘鑰管理的復雜度，能有效避免單點失效問題，且解耦了應用層和控制層的依賴關系。

SDN；電力通信網絡；安全防護；授權管理；動態身份認證

Abstract:In order to meet the requirement of security and reliability of SDN network for power communication network，an security protection architecture based on SDN network is proposed to improve the stability of SDN network architecture.The network focuses on the authorization management mechanism and identity authentication mechanism among the entities in the SDN architecture.It uses an authorization management mechanism of application level division and a dynamic authentication mechanism of password，so that the SDN controller and the switch have the identity in the record of"agent".The simulation results show that the architecture improves the reliability of the link and the controller，enhances the identification and reduces the complexity of the secret key management， can effectively avoid the failure of single point，and decouple the dependencies between application layer and control layer.

Key words:SDN； power communication network； security protection；authorization management；dynamic authentication

電力系統是由分散在各個地區的發電、輸變電、配電和用電這4個部分組成[1]。而電力通信網絡是用于保障供電系統這4部分的安全性、經濟性以及電能分配合理性的統一調度和集中管理的通信網絡[2]。電力通信網絡通常由電力線載波通信、衛星通信、光纖通信和微波通信構建而成[3]，彌補了公網發展速度慢和電力通信高需求通信能力的不足。該網絡使用EPON+SDH/PTN組網方式，即由EPON完成業務的接入及由SDH/PTN完成業務的傳輸。電力通信網絡通常使用無金屬自承式光纜和纏繞式光纜進行光纖通信[5]。

隨著物聯網技術的發展，電力通信網絡的流量驟增，電力業務也逐漸“IP”化[7]，因傳統通信架構的上述局限性使其難以滿足現階段電力通信網絡的發展需求。 目前，SDN 網絡[8]（Software Defined Networking，軟件定義網絡）逐漸替代傳統的電力通信網絡，被電力系統所認同與接受。SDN的接口開放、靈活能支持按需調用，在邏輯層面進行集中控制能滿足靈活調度的要求。SDN技術與網絡虛擬化技術的結合使用，使得不同業務相互隔離，網絡安全性更高。通過結合使用傳統的物理通信網絡和SDN技術，能實現敏捷和智能的電力通信網[9]，為電力通信業務提供有力的網絡支持。然而，SDN的控制器易產生單點失效的問題，且缺乏全局視圖和總體控制能力，從而整個網絡的可靠性較低[9]，制約了電力通信網絡的發展。

為了保證電力通信網絡安全可靠運行，本文提出了一種SDN網絡安全防護架構，提高SDN網絡架構的穩定性。該網絡使用了一種應用等級劃分的授權管理機制和一種動態密碼方式的身份認證機制，更加關注SDN架構中實體間的授權管理機制和身份認證機制，使SDN的控制器及交換機均擁有“代理”中記錄的身份特征。

1 SDN相關技術

圖1 SDN架構

雖然SDN的集中控制性和可編程性為SDN網絡提供各種優勢，同時也為SDN帶來了一些獨特的安全問題。如圖2所示為SDN架構常見的安全問題及其對應的層次。

圖2 SDN安全問題分析

2 基于SDN的電力通信網的安全防護架構

針對電力通信網絡對SDN網絡安全可靠性的需求，本文提出了一種SDN網絡安全防護架構，提高SDN網絡架構的穩定性。該網絡使用了一種應用等級劃分的授權管理機制和一種動態密碼方式的身份認證機制，更加關注SDN架構中實體間的授權管理機制與身份認證機制，使SDN的控制器和交換機均擁有“代理”中記錄的身份特征。該架構具有以下優點：

1）解耦了應用層和控制層的依賴關系，使應用不再強烈依賴控制層，便于靈活部署；

2）解耦了控制層中的網絡管理與授權管理，更加清晰簡明控制層的功能；

3）加強了身份識別；

4）降低了秘鑰管理的復雜度；

5）能有效避免單點失效問題。

從腦血管系統、中樞神經系統、運動系統、心肺系統、感覺系統、心理健康6個方面對老年康復服務對象的康復服務需求進行統計。結果顯示，康復服務需求前五位為腦血管疾病康復、骨關節疾病康復、高血壓康復、視力康復、聽力康復，此外冠心病、糖尿病的康復需求也較高。調研結果還顯示，智能障礙及心理問題康復需求也是存在的，需要我們多加關注。

SDN網絡安全防護架構總體設計，如圖3所示。該架構包括數據通信線路和配置通信線路，數據通信線路使用雙向通信，配置通信線路則采用受限雙向通信。圖3中，認證代理是應用和設備的身份登記與授權機構。在實體登記入網時，需要登記其身份特征并接受控制器的查詢請求。當控制失效時，代理可隨時向實體發送命令。控制器和設備間采用OpenFlow協議連接，本文修改了該協議以方便進行動態秘鑰認證。代理與控制器的通信方式選用TLS方式，不僅可以滿足通信效率的需求，且能保證通信安全。控制器與應用之間采用動態秘鑰進行通信。

圖3 SDN網絡安全防護架構總體設計

系統成功驗證各個實體的身份后，使用隨機數加密身份信息并進行通信。該系統使用動態密碼進行身份認證，結合時間和坐標等動態因素，通過專用的算法計算用戶的長口令并生成變化的密碼。

本文使用HMAC-SHA1算法生成動態密碼，該算法使用SHA1散列算法將一個任意長的消息或秘鑰生成一個20字節長的消息摘要，計算公式為：

HMAC（K，M）=H（K XOR Opad，H（K XOR Ipad，M））

其中，H表示迭代式散列算法，K表示共享秘鑰；M表示待驗證數據塊；Ipad表示0x36初始化的、長度為B字節的數據塊；Opad表示0x5C初始化的、長度為B字節的數據塊。詳細密碼計算流程，如圖4所示。系統加密處理流程，如圖5所示。

圖4 密碼計算流程

圖5 系統加密處理流程

應用于控制器和認證代理之間的認證過程，如圖6所示。采用動態密碼技術進行身份識別，并對應用標識不同的安全等級進行授權管理，具體的通信認證過程為：

圖6 控制器和認證代理之間的認證過程

1）代理注冊應用的編號、應用名和秘鑰等信息；

2）應用發送連接請求，并計算動態密碼S；

3）接收到請求后，控制器向代理查詢身份并設置該應用所對應的安全等級，若查不到應用的信息，則拒絕其連接請求；

4）控制器計算動態密碼，S’用于應用的驗證；

5）如通過驗證，則接收該應用的調用并記錄操作日志；

6）每隔一定的時間間隔，控制器發送修改動態密碼的請求，并等待應用修改成功的消息；

7）修改成功后需要修改代理中的配置。

3 實驗分析

3.1 實驗設置

本文選用的實驗平臺上網絡的軟硬件規格如下：選用Mikrotik R52 Hn和Ubiquiti Routerstation Pro作為SDN中網絡路由器的網卡和網絡板卡。其中，Routerstation Pro為含有680 MHz AR7161芯片的無線高性能板卡，R52 Hn使用AR9220芯片集，其的物理層能支持高達300 Mbps的傳輸數據率。此外，嵌入式Linux選用OpenWrt KAMIKAZE r22190數據包。

本實驗使用OpenFlow1.4.0實現SDN控制器，網絡拓撲圖，如圖8所示。其中，包含7個電網節點（A～G）。

圖7 實驗網絡拓撲圖

圖8 非法控制器連接

3.2 實驗結果與分析

在SDN網絡安全防護架構中，應用層和轉發層均使用動態密碼身份認證，文中首先進行了動態密碼認證功能的有效性驗證實驗。在配置好代理和控制器的雙向認證后，代理在數據庫中記錄了控制器的非對稱秘鑰。此外，本文還使用非法控制器進行接入實驗。結果表明，網絡能識別出非法接入，并拒絕連接，結果如圖8所示。

配置和登記好交換機的初始信息后，模擬發送內容相同的信息，并由wireshark抓包。結果如圖9所示，表明對于相同的發送信息得到的加密結果均不同，從而暴露出未加密的信息。

同時文中也驗證了系統的QoS和DOS（Denial of Service），實驗結果如圖 10所示。 圖 10（a）給出了流量限制時系統的不同吞吐量。可以看出，前20 s沒有使用QoS，而在25 s進行了比率限制。圖10（b）為實時監控對DOS攻擊的場景，當使用泛洪攻擊時，ICMP回應被淹沒的節點。此時出現了DOS不可用的情況，經過一段時間后，才能正常使用DOS控制。

圖9 wireshark抓取未加密數據

4 結束語

文中針對電力通信網絡對SDN網絡安全可靠性的需求，提出了一種SDN網絡安全防護架構，提高SDN網絡架構的穩定性。該網絡使用了一種應用等級劃分的授權管理機制和一種動態密碼方式的身份認證機制，更加關注SDN架構中實體間的授權管理機制和身份認證機制，使SDN的控制器和交換機均擁有“代理”中記錄的身份特征。仿真實驗結果表明，該架構提高了鏈路和控制器的可靠性，加強了身份識別，降低了秘鑰管理的復雜度，能有效避免單點失效問題，且解耦了應用層與控制層的依賴關系。

[1]朱宏.電網規劃智能輔助決策系統的設計與實現[J].科技創業家，2014（7）:77-82.

[2]Nguyen V G， Do T X， Kim Y H.SDN and Virtualization-Based LTE Mobile Network Architectures:A Comprehensive Survey[J].Wireless Personal Communications， 2016，86（3）:1401-1438.

[3]Cui L， Yu F R， Yan Q.When big data meets software-defined networking:SDN for big data and big data for SDN[J].IEEE Network， 2016，30（1）:58-65.

[4]Aslan M，Matrawy A.On the Impact of Network StateCollection on thePerformanceofSDN Applications[J].IEEE Communications Letters，2016，20（1）:5-8.

[5]Nakao A.Application Specific Slicing For MVNO Through Software-Defined Data Plane Enhancing SDN[J].Ieice Transactions on Communications，2016，E98.B（11）:2111-2120.

[6]Sitohang D.Implementasi Load-Balancing dengan Metode Round Robin dalam Software Defined Networking（SDN） Menggunakan Controller Pox[J].Econometrica， 2016，43（3）:513-18.

[7]蔣濤，秦奮，俞偉勇，等.電網通信網絡設備智能巡檢體系研究及應用[J].電信技術，2014（4）:69-72.

[8]黃輝，王易文，沈衛康.面向電力通信網的高可靠SDN架構及數據保護策略研究[J].電子設計工程，2016，24（17）:77-80.

[9]林斌，曾瑛，李星南，等.基于近鄰傳播聚類的電力通信告警分析方法 [J].電子設計工程，2016，24（16）:142-145.

[10]Mckeown N，Anderson T，Balakrishnan H，et al.OpenFlow:enabling innovation in campus networks[J].Acm Sigcomm Computer Communication Review，2008，38（2）:69-74.

[11]葉斐.SDN在電力通信網中的適應性研究[D].重慶:重慶大學，2014.

[12]劉川，黃輝，喻強，等.基于SDN的電力通信集中控制高可靠性業務支撐機制研究[J].電力信息與通信技術，2015（12）:1-5.

[13]陳彬，李虹.電力通信系統服務安全與風險評估技術研究[J].電子科技，2016，29（12）:126-129.

[14]郭云飛，劉世棟，王瑤.SDN技術在電力光通信網絡中的應用研究[J].微型機與應用，2014（23）:68-71.

[15]喬林，尹曉華，邸卓，等.支撐電力大數據平臺的SDN架構研究[J].電力信息與通信技術，2015，13（1）:21-26.

[16]伍連啟.基于SDN的WLAN功率控制技術研究[J].廣東通信技術，2017，37（2）:76-79.

[17]廖珊.基于VPN的機房網絡架構及安全體系設計[J].電子科技，2016（4）:187-189.

[18]汪海波，任偉濤，劉旭，等.基于任意波形發生器產生模擬HPM脈沖[J].現代應用物理，2015（1）：66-69.

Design of security protection architecture of power communication network based on SDN

ZHANG Si-tuo，XIE Yao，WU Liu，GU Xiao-bo
（China Southern Power Grid Company Limited， Guangzhou510663，China）

圖10 QoS和DOS測試

TN915

A

1674－6236（2017）19-0136-05

2017-03-07稿件編號201703067

南方電網通信網管及業務應用平臺統一安全架構研究及示范項目（ZDKJXM00000010）

張思拓（1983—），男，湖南岳陽人，碩士，高級工程師。研究方向：電力系統通信與數據網絡。