基于SDN的电力通信网的安全防护架构设计

2017-10-12张思拓辜晓波

电子设计工程 2017年19期

关键词：秘钥电力通信代理

张思拓，谢尧，吴柳，辜晓波

（中国南方电网有限责任公司广东广州510663）

基于SDN的电力通信网的安全防护架构设计

张思拓，谢尧，吴柳，辜晓波

（中国南方电网有限责任公司广东广州510663）

针对电力通信网络对SDN网络安全可靠性的需求，提出了一种SDN网络安全防护架构，从而提高SDN网络架构的稳定性。该网络使用了一种应用等级划分的授权管理机制和一种动态密码方式的身份认证机制，更加关注SDN架构中实体间的授权管理机制和身份认证机制，使SDN的控制器和交换机均拥有"代理"中记录的身份特征。仿真实验结果表明，该架构提高了链路和控制器的可靠性，加强了身份识别，降低了秘钥管理的复杂度，能有效避免单点失效问题，且解耦了应用层和控制层的依赖关系。

SDN；电力通信网络；安全防护；授权管理；动态身份认证

Abstract:In order to meet the requirement of security and reliability of SDN network for power communication network，an security protection architecture based on SDN network is proposed to improve the stability of SDN network architecture.The network focuses on the authorization management mechanism and identity authentication mechanism among the entities in the SDN architecture.It uses an authorization management mechanism of application level division and a dynamic authentication mechanism of password，so that the SDN controller and the switch have the identity in the record of"agent".The simulation results show that the architecture improves the reliability of the link and the controller，enhances the identification and reduces the complexity of the secret key management， can effectively avoid the failure of single point，and decouple the dependencies between application layer and control layer.

Key words:SDN； power communication network； security protection；authorization management；dynamic authentication

电力系统是由分散在各个地区的发电、输变电、配电和用电这4个部分组成[1]。而电力通信网络是用于保障供电系统这4部分的安全性、经济性以及电能分配合理性的统一调度和集中管理的通信网络[2]。电力通信网络通常由电力线载波通信、卫星通信、光纤通信和微波通信构建而成[3]，弥补了公网发展速度慢和电力通信高需求通信能力的不足。该网络使用EPON+SDH/PTN组网方式，即由EPON完成业务的接入及由SDH/PTN完成业务的传输。电力通信网络通常使用无金属自承式光缆和缠绕式光缆进行光纤通信[5]。

随着物联网技术的发展，电力通信网络的流量骤增，电力业务也逐渐“IP”化[7]，因传统通信架构的上述局限性使其难以满足现阶段电力通信网络的发展需求。目前，SDN 网络[8]（Software Defined Networking，软件定义网络）逐渐替代传统的电力通信网络，被电力系统所认同与接受。SDN的接口开放、灵活能支持按需调用，在逻辑层面进行集中控制能满足灵活调度的要求。SDN技术与网络虚拟化技术的结合使用，使得不同业务相互隔离，网络安全性更高。通过结合使用传统的物理通信网络和SDN技术，能实现敏捷和智能的电力通信网[9]，为电力通信业务提供有力的网络支持。然而，SDN的控制器易产生单点失效的问题，且缺乏全局视图和总体控制能力，从而整个网络的可靠性较低[9]，制约了电力通信网络的发展。

为了保证电力通信网络安全可靠运行，本文提出了一种SDN网络安全防护架构，提高SDN网络架构的稳定性。该网络使用了一种应用等级划分的授权管理机制和一种动态密码方式的身份认证机制，更加关注SDN架构中实体间的授权管理机制和身份认证机制，使SDN的控制器及交换机均拥有“代理”中记录的身份特征。

1 SDN相关技术

图1 SDN架构

虽然SDN的集中控制性和可编程性为SDN网络提供各种优势，同时也为SDN带来了一些独特的安全问题。如图2所示为SDN架构常见的安全问题及其对应的层次。

图2 SDN安全问题分析

2 基于SDN的电力通信网的安全防护架构

针对电力通信网络对SDN网络安全可靠性的需求，本文提出了一种SDN网络安全防护架构，提高SDN网络架构的稳定性。该网络使用了一种应用等级划分的授权管理机制和一种动态密码方式的身份认证机制，更加关注SDN架构中实体间的授权管理机制与身份认证机制，使SDN的控制器和交换机均拥有“代理”中记录的身份特征。该架构具有以下优点：

1）解耦了应用层和控制层的依赖关系，使应用不再强烈依赖控制层，便于灵活部署；

2）解耦了控制层中的网络管理与授权管理，更加清晰简明控制层的功能；

3）加强了身份识别；

4）降低了秘钥管理的复杂度；

5）能有效避免单点失效问题。

从脑血管系统、中枢神经系统、运动系统、心肺系统、感觉系统、心理健康6个方面对老年康复服务对象的康复服务需求进行统计。结果显示，康复服务需求前五位为脑血管疾病康复、骨关节疾病康复、高血压康复、视力康复、听力康复，此外冠心病、糖尿病的康复需求也较高。调研结果还显示，智能障碍及心理问题康复需求也是存在的，需要我们多加关注。

SDN网络安全防护架构总体设计，如图3所示。该架构包括数据通信线路和配置通信线路，数据通信线路使用双向通信，配置通信线路则采用受限双向通信。图3中，认证代理是应用和设备的身份登记与授权机构。在实体登记入网时，需要登记其身份特征并接受控制器的查询请求。当控制失效时，代理可随时向实体发送命令。控制器和设备间采用OpenFlow协议连接，本文修改了该协议以方便进行动态秘钥认证。代理与控制器的通信方式选用TLS方式，不仅可以满足通信效率的需求，且能保证通信安全。控制器与应用之间采用动态秘钥进行通信。

图3 SDN网络安全防护架构总体设计

系统成功验证各个实体的身份后，使用随机数加密身份信息并进行通信。该系统使用动态密码进行身份认证，结合时间和坐标等动态因素，通过专用的算法计算用户的长口令并生成变化的密码。

本文使用HMAC-SHA1算法生成动态密码，该算法使用SHA1散列算法将一个任意长的消息或秘钥生成一个20字节长的消息摘要，计算公式为：

HMAC（K，M）=H（K XOR Opad，H（K XOR Ipad，M））

其中，H表示迭代式散列算法，K表示共享秘钥；M表示待验证数据块；Ipad表示0x36初始化的、长度为B字节的数据块；Opad表示0x5C初始化的、长度为B字节的数据块。详细密码计算流程，如图4所示。系统加密处理流程，如图5所示。

图4 密码计算流程

图5 系统加密处理流程

应用于控制器和认证代理之间的认证过程，如图6所示。采用动态密码技术进行身份识别，并对应用标识不同的安全等级进行授权管理，具体的通信认证过程为：

图6 控制器和认证代理之间的认证过程

1）代理注册应用的编号、应用名和秘钥等信息；

2）应用发送连接请求，并计算动态密码S；

3）接收到请求后，控制器向代理查询身份并设置该应用所对应的安全等级，若查不到应用的信息，则拒绝其连接请求；

4）控制器计算动态密码，S’用于应用的验证；

5）如通过验证，则接收该应用的调用并记录操作日志；

6）每隔一定的时间间隔，控制器发送修改动态密码的请求，并等待应用修改成功的消息；

7）修改成功后需要修改代理中的配置。

3 实验分析

3.1 实验设置

本文选用的实验平台上网络的软硬件规格如下：选用Mikrotik R52 Hn和Ubiquiti Routerstation Pro作为SDN中网络路由器的网卡和网络板卡。其中，Routerstation Pro为含有680 MHz AR7161芯片的无线高性能板卡，R52 Hn使用AR9220芯片集，其的物理层能支持高达300 Mbps的传输数据率。此外，嵌入式Linux选用OpenWrt KAMIKAZE r22190数据包。

本实验使用OpenFlow1.4.0实现SDN控制器，网络拓扑图，如图8所示。其中，包含7个电网节点（A～G）。

图7 实验网络拓扑图

图8 非法控制器连接

3.2 实验结果与分析

在SDN网络安全防护架构中，应用层和转发层均使用动态密码身份认证，文中首先进行了动态密码认证功能的有效性验证实验。在配置好代理和控制器的双向认证后，代理在数据库中记录了控制器的非对称秘钥。此外，本文还使用非法控制器进行接入实验。结果表明，网络能识别出非法接入，并拒绝连接，结果如图8所示。

配置和登记好交换机的初始信息后，模拟发送内容相同的信息，并由wireshark抓包。结果如图9所示，表明对于相同的发送信息得到的加密结果均不同，从而暴露出未加密的信息。

同时文中也验证了系统的QoS和DOS（Denial of Service），实验结果如图 10所示。图 10（a）给出了流量限制时系统的不同吞吐量。可以看出，前20 s没有使用QoS，而在25 s进行了比率限制。图10（b）为实时监控对DOS攻击的场景，当使用泛洪攻击时，ICMP回应被淹没的节点。此时出现了DOS不可用的情况，经过一段时间后，才能正常使用DOS控制。

图9 wireshark抓取未加密数据

4 结束语

文中针对电力通信网络对SDN网络安全可靠性的需求，提出了一种SDN网络安全防护架构，提高SDN网络架构的稳定性。该网络使用了一种应用等级划分的授权管理机制和一种动态密码方式的身份认证机制，更加关注SDN架构中实体间的授权管理机制和身份认证机制，使SDN的控制器和交换机均拥有“代理”中记录的身份特征。仿真实验结果表明，该架构提高了链路和控制器的可靠性，加强了身份识别，降低了秘钥管理的复杂度，能有效避免单点失效问题，且解耦了应用层与控制层的依赖关系。

[1]朱宏.电网规划智能辅助决策系统的设计与实现[J].科技创业家，2014（7）:77-82.

[2]Nguyen V G， Do T X， Kim Y H.SDN and Virtualization-Based LTE Mobile Network Architectures:A Comprehensive Survey[J].Wireless Personal Communications， 2016，86（3）:1401-1438.

[3]Cui L， Yu F R， Yan Q.When big data meets software-defined networking:SDN for big data and big data for SDN[J].IEEE Network， 2016，30（1）:58-65.

[4]Aslan M，Matrawy A.On the Impact of Network StateCollection on thePerformanceofSDN Applications[J].IEEE Communications Letters，2016，20（1）:5-8.

[5]Nakao A.Application Specific Slicing For MVNO Through Software-Defined Data Plane Enhancing SDN[J].Ieice Transactions on Communications，2016，E98.B（11）:2111-2120.

[6]Sitohang D.Implementasi Load-Balancing dengan Metode Round Robin dalam Software Defined Networking（SDN） Menggunakan Controller Pox[J].Econometrica， 2016，43（3）:513-18.

[7]蒋涛，秦奋，俞伟勇，等.电网通信网络设备智能巡检体系研究及应用[J].电信技术，2014（4）:69-72.

[8]黄辉，王易文，沈卫康.面向电力通信网的高可靠SDN架构及数据保护策略研究[J].电子设计工程，2016，24（17）:77-80.

[9]林斌，曾瑛，李星南，等.基于近邻传播聚类的电力通信告警分析方法 [J].电子设计工程，2016，24（16）:142-145.

[10]Mckeown N，Anderson T，Balakrishnan H，et al.OpenFlow:enabling innovation in campus networks[J].Acm Sigcomm Computer Communication Review，2008，38（2）:69-74.

[11]叶斐.SDN在电力通信网中的适应性研究[D].重庆:重庆大学，2014.

[12]刘川，黄辉，喻强，等.基于SDN的电力通信集中控制高可靠性业务支撑机制研究[J].电力信息与通信技术，2015（12）:1-5.

[13]陈彬，李虹.电力通信系统服务安全与风险评估技术研究[J].电子科技，2016，29（12）:126-129.

[14]郭云飞，刘世栋，王瑶.SDN技术在电力光通信网络中的应用研究[J].微型机与应用，2014（23）:68-71.

[15]乔林，尹晓华，邸卓，等.支撑电力大数据平台的SDN架构研究[J].电力信息与通信技术，2015，13（1）:21-26.

[16]伍连啟.基于SDN的WLAN功率控制技术研究[J].广东通信技术，2017，37（2）:76-79.

[17]廖珊.基于VPN的机房网络架构及安全体系设计[J].电子科技，2016（4）:187-189.

[18]汪海波，任伟涛，刘旭，等.基于任意波形发生器产生模拟HPM脉冲[J].现代应用物理，2015（1）：66-69.

Design of security protection architecture of power communication network based on SDN

ZHANG Si-tuo，XIE Yao，WU Liu，GU Xiao-bo
（China Southern Power Grid Company Limited， Guangzhou510663，China）