面向智能电网的一种新型可信可控网络体系架构
2018-10-10亢银柱刘泽辉
亢银柱,刘泽辉
(国网山西省电力公司电力科学研究院,山西 太原 030001)
0 引言
在电力技术飞速前进的新世纪,国家电网有限公司以特高压电网为骨干网架,以各级电网协调发展的坚强电网为基础,利用新型的信息通信技术,创新性地提出构建国际领先、自主创新、中国特色的智能电网[1-3]。智能电网的实现技术涵盖了当前诸多热门领域,其中以“互联网+”为代表的信息通信技术是众多核心技术之一,是实现全球能源互联网的基础[4-8]。然而,近年来,利用电力信息网中的网络漏洞对智能电网进行攻击并破坏物理设备的事件时有发生。
2015年12月23日,乌克兰当地城市电力设施突然不能正常工作,成百上千用户居民家中停电,城市陷入恐慌当中。随后,乌克兰安全部门当即宣布,这次停电不是因为电力短缺,而是一起针对电力公司的网络恶意攻击事件。安全部门的调查指出,致使乌克兰部分地区停电的“幕后黑手”是一款名为“黑暗力量”(Black Energy)的恶意病毒。2016年1月25日,以色列能源部长宣布,以色列遭遇到了历史上规模最大、影响最为严重的一次网络攻击。事后根据相关部门的调查结果可知,在此次攻击事件中网络攻击者利用含有病毒文件的钓鱼邮件感染电力局工作人员的办公电脑,将勒索软件(Ransomware)植入到办公系统中。为了防止事态进一步扩散,阻止勒索软件进一步在电力信息网中传播,以色列当局被迫关闭了所有被病毒感染的计算机,致使该国部分电力网络关闭。
由乌克兰和以色列国家电网遭受网络攻击事件可以得到启示[9]:电力系统作为国家关键性基础设施已经成为网络攻击的重要目标;网络攻击能达到类似于物理攻击的效果,从而导致变电站乃至整个能源供给系统的瘫痪;电力系统中信息基础设施的脆弱性客观存在,传统的网络体系难以完全有效抵御此类网络攻击。
1 新型网络体系架构模型
随着电力信息网络的快速发展,电力信息网络的规模不断扩大,网络结构呈现多层级、广分布的复杂特点。电力信息网络建设需要一个相对传统网络更加安全可靠、可控可管的新型网络体系架构。本文提出的一种原创可信可控网络系统架构——标签分离聚类映射网络体系架构,能够很好地满足电力信息网络的安全可靠、可控可管需求,并从技术路线、理论依据和应用场景等多方面对本系统架构进行论证。
1.1 标签分离聚类映射网络体系架构
根据安全可靠、可控可管的智能电网需求,标签分离聚类映射网络体系结构采用身份与位置标签分离聚类映射技术,完全剥离了传统网络地址所具有的路由系统定位符和主机身份标签符的双重功能。
本质上,现有网络上的一切资源都仅仅是由IP地址来表示的。正是因为现有体系结构中存在的这种缺点,标签分离聚类映射体系提出将网络中标签的身份功能和位置功能分开的解决方案,并且在身份和位置之间建立完善的标签分离聚类映射机制,能够使得用户和交换网中的路由设备及时获知网络中的标签对应关系,作为路由转发的依据。标签分离聚类映射体系示意图如图1所示。
图1 标签分离聚类映射网络体系示意图
1.2 身份标签与位置标签定义
1.2.1 身份标签定义
身份标签的长度可变、格式灵活,并从服务商无关(PI,Provider Independent)地址块中划分。各个用户可以采用自己的身份标签格式,即各个用户的身份标签格式可以自己定义。身份标签用于表示用户中用户的身份属性,在端到端通信等网络业务中代表对端身份。用户可以拥有一个或多个身份标签,在通信过程中根据业务需求使用其中一个或者多个。身份标签在用户移动等过程中不发生改变。身份标签不能作为位置标签。
1.2.2 位置标签定义
此次研制出的10 kV配电网不停电作业综合绝缘抱杆,较传统带电作业用绝缘抱杆相比,有了多方面的功能提升,整套工具更安全、更适用、更方便,体现在以下6个方面:
位置标签是交换网中网络层的标签符,标签分离聚类映射模块为该用户网络中用户分配位置标签,形成<身份标签,位置标签>映射信息。交换网络中的节点使用位置标签互相通信。已经分配给交换网络节点作为网络部分标签符的位置标签,不能再被分配给用户的节点代表位置信息。
1.3 标签分离聚类映射机制
标签分离聚类映射机制是标签分离聚类映射网络的核心技术,它在用户中引入身份标签表示用户身份信息,在交换网中引入位置标签表示用户位置信息,在标签分离聚类映射模块将用户和交换网分离,建立标签映射服务器存储身份标签与位置标签的映射关系。图2为标签分离聚类映射网络体系拓扑图,下面依据该图对标签分离聚类映射技术进行详细介绍。
1.3.1 标签分离聚类映射模块
标签分离聚类映射模块负责用户与交换网之间的数据转发,是用户网络接入交换网络的接入点。标签分离聚类映射模块为用户中的节点分配<身份标签,位置标签>映射关系。标签分离聚类映射模块可以从用户一侧接收源和目的均为身份标签的数据包,也可以从交换网一侧接收源和目的均为位置标签的数据包。在需要时,标签分离聚类映射模块对数据包中的身份标签或位置标签执行映射操作。映射操作是身份标签与对应位置标签的替换。在必要的情况下,标签分离聚类映射模块会执行<身份标签,位置标签>映射关系的查找。在交换网中,只有标签分离聚类映射模块可以使用身份标签,并且身份标签仅能够被用来和用户中的节点进行通信。
图2 标签分离聚类映射机制示意图
1.3.2 标签映射服务器
标签映射服务器用来维护<身份标签,位置标签>映射信息的全局性数据库。
标签分离聚类映射网络采用了基于网络的标签分离聚类映射机制,标签分离聚类映射过程在标签分离聚类映射模块上完成,因此,用户使用身份标签的方式与传统互联网用户使用IPv4或者IPv6地址的方式基本一致。通过身份标签建立通信连接,并作为用户数据报头的源地址和目的地址。但是,与传统互联网不同的是,身份标签仅仅代表用户的身份属性,始终保持不变。路由器的基本功能仍然是维护路由表和进行数据包转发。标签分离聚类映射模块是关键设备,用来执行数据包中身份标签与位置标签的映射。在一个用户向其通信对端发送数据的过程中,当标签分离聚类映射模块从用户向交换网转发数据包时,将数据包首部中的身份标签映射为位置标签;当标签分离聚类映射模块从交换网向用户中转发数据包时,将数据包首部中的位置标签映射为身份标签。
2 新型网络体系架构通信流程
图3描述了128位标签分离聚类映射网络的一次完整的通信流程,接入路由器AR包含了标签分离聚类映射核心模块。
步骤1:ARA建立本地用户映射表,在地址池中为用户A根据当前的路由策略选择最佳的位置标签,并建立身份标签与位置标签之间的映射关系。
步骤2:ARA将新增加的映射关系汇报至标签映射服务器,并在标签映射服务器的本地数据库中存储下该条映射关系。
步骤3:当用户A向用户B发送数据请求包时,数据请求包的源标签为用户A的身份标签,数据包的目的标签为用户B的身份标签。
步骤4:当ARA收到第一个用户A发给B的数据请求包时,由于在ARA本地映射表中没有保存用户B的身份标签与位置标签之间的映射关系,因此,ARA需要向标签映射服务器进行查询。
步骤5:当标签映射服务器向ARA返回用户B的身份标签和位置标签映射关系后,ARA将该条映射关系存储到本地对端用户映射表中。
步骤6:ARA将用户A向用户B的数据请求包中的源和目的身份标签替换为相对应的位置标签,然后把替换后的数据请求包转发出去;交换网中的网络交换路由器根据数据包中的位置标签将该数据包转发给ARB。
步骤7:ARB收到ARA发送来的数据包后,由于是第一次接收到用户A向用户B发出的数据请求包,ARB的对端用户映射表中没有存储用户A的映射信息,所以向标签映射服务器查询。
步骤8:当标签映射服务器向ARB返回对应的映射关系后,将数据请求包中用户A的身份标签与位置标签之间的映射关系存储到本地对端用户映射表中。
步骤9:ARB获取映射关系后,将源和目的标签由位置标签替换回身份标签,并向用户B进行转发,最后用户B收到用户A发送的数据包。
图3 标签分离聚类映射网络的基本通信流程
以上是标签分离聚类映射网络中一次正常的通信过程,充分体现标签分离聚类映射网络的设计理念。该方案解决了现有网络存在的若干问题,显示出了其强大的优越性。
3 新型网络体系架构测试与验证
对新型网络体系架构的测试主要分为两部分:标签映射服务器的存储能力和解析时延分析。图4为1个域内的前缀数目的累积分布函数,其中横坐标为对数坐标。由图4可以看出,约42.52%的自治域只有1个前缀,也就是42.52%的自治域内的映射服务器只需管理1 000个<身份标签,路由标签>映射对。因此,从映射服务器存储能力上看,新型网络体系架构是可行的。
图4 每个自治域内前缀数目的累积分布函数
同时测试了本地用户映射信息缓存中的映射条目数量对第一个数据包的转发时延的影响,如图5所示。从图5可以看出,随着本地用户映射信息缓存中映射信息条目数量的增加,两种情况下的数据转发时延都呈现增长趋势,主要是由于标签分离聚类映射模块数据处理负担加重和查找映射缓存时间增长,但查询时延只在毫秒级。因此,从映射服务器解析时延分析上看,新型网络体系架构是可行的。
图5 映射信息查询对数据转发时延的影响
4 结论
我国的电力通信网络已成为世界上最大的电力专用通信网络,然而在安全防御机制、信息数据传输机制等方面在国际研究领域还处于劣势。
因此,我国的电力通信网络建设必须适应和满足我国的智能电网的建设和需求。也就是说,必须研究适合我国电网需求的新型可信可控网络体系架构,为智能电网高效、可靠和稳定运行奠定技术基础。