李赛飞，闫连山，郭 伟，陈建译

(1.西南交通大学信息科学与技术学院, 四川成都 610031；2.广州铁路集团公司电务处, 广东广州 510088)

近年来，信息资源与关键基础设施已成为国家发展重要的战略资产和核心要素，网络安全在国家安全诸要素中的地位日益凸显。与此同时，我国高速铁路和城市轨道交通高速发展，信息网络技术已经渗透到其中的各个领域。本文所关注的铁路信号控制技术与信息网络技术不断融合，在促进我国高速铁路快速发展的同时，所带来的网络安全问题也得到越来越多的关注。

从信号系统网络自身发展来讲，原来信号系统孤立封闭运行，随着网络信息技术大量运用，业务需求不断增长，未来将具有更高的开放性和更广泛的互联性。然而，与信号控制系统网络相适应的安全防护技术尚未完善；与此同时，网络规模不断扩大，网络配置管理越来越复杂，也给信号系统网络的可控性、安全性和可靠性带来了潜在的负面影响。从信号系统专用网络外部环境来讲，恐怖主义和黑客行为，对国家关键信息基础设施网络安全造成严重威胁，各个国家和组织越来越注重对关键信息基础设施网络攻击的技术储备，力争在网络空间安全中掌握主动。据国外媒体报道[1]，仅2015年英国铁路网络就已经遭受4次严重的网络攻击。铁路信号控制系统作为国家关键基础设施，其相关的网络安全研究在国内外引起高度重视[2-7]，已有研究在整体上对欧洲铁路信号系统的安全性进行了分析，但相关技术细节由于敏感性原因，未对外界披露，因此，我国铁路信号系统网络安全防护研究亟待加强。我国在欧洲铁路信号控制系统的基础上进行了创新发展，深入研究我国铁路信号控制系统网络信息安全具有重大意义。

信号系统安全数据网[8-9]承载着我国高速铁路列控核心业务，联锁CBI、列控中心TCC、无线闭塞中心RBC和临时限速服务器TSRS等关键信号设备均连接在信号系统安全数据网之上。信号系统安全数据网具有分布式工业控制系统网络特点，并且每条高铁线路上的车站之间，不同线路的信号系统安全数据网之间，跨越广阔地域，互联互通。随着我国高速铁路的建设，将成为覆盖全国的大型网络。结合信号系统安全数据网现状与未来发展，存在以下几个方面的问题需要深入研究和解决：

第一，由于信号系统安全数据网的分布式工业控制系统网络特点，网络结构扁平(信号安全数据网基本上采用二层网络组网)，覆盖广阔地域，设计之初较少考虑网络攻击问题，设备生命周期长，所采用的技术及安全手段容易被黑客超越，信号控制设备计算资源有限，并且对可靠性和实时性的要求较高，传统的网络安全方案不能很好地解决其所面临的问题，故在信号系统安全数据网中没有部署防火墙等传统网络安全设备，信号控制设备上也较难安装防病毒软件或终端加固程序等。然而，一般全面的防护需要从设备终端、网络边界和网络本身实施纵深防御，由于信号系统安全数据网的特点，需要从新的技术和角度提高其安全性。

第二，信号安全数据网配置及安全管理复杂性问题。很多网络安全问题由网络配置和管理的复杂性引起，网络和业务越复杂，越容易导致配置和管理失误。高速铁路建设不断发展，新建高速铁路需要与正在运营的高速铁路互联互通，同时越来越多的线路引入铁路枢纽地区，导致枢纽地区信号系统安全数据网接入越来越多，多条线路的信号系统安全数据网之间互联互通，往往牵一发而动全身，增加了信号系统安全数据网规划、配置和网络安全防护的复杂性[10]。

第三，信号系统安全数据网网络信息安全(Security)对整个系统RAMS(可靠性、可用性、可维护性和安全性Safety)影响[11]。网络攻击可能会严重影响信号系统安全数据网的可靠性及可用性，信号系统在设计时未考虑网络和信息安全对系统安全性的影响。例如郑西高铁信号系统安全数据网曾因为环网网络震荡引起网络风暴，造成列控中心板卡故障，严重影响整个郑西高速铁路列控系统的可用性[12]。

针对上述问题，本文进行深入探索，提出一种基于SDN的信号系统安全数据网网络架构和网络统一安全管控方案，命名为SD-SSDN(Software-defined Signal Safety Date Network)，使网络具有可编程特性，可以应对网络管控的复杂性，使得网络管控和配置更加自动化和智能化；进一步通过统一管控，使网络具有强大精细的网络流控能力，减小了信号系统安全数据网攻击面，提高网络的安全性，同时可以满足铁路信号控制系统网络高可靠性和实时性要求。

软件定义网络(Software-Defined Networking)是一种新的网络架构[13-14]，通过把网络的控制平面和数据平面分离，实现对网络的集中和统一管控，具有网络可编程特性。SDN核心理念是希望提供一种网络架构，通过对网络数据平面和控制平面的合理抽象，摒弃现在网络分散控制及修修补补的做法，从根本设计上解决网络及网络安全所面临的各种问题，被认为是下一代网络的演进方向，因此成为国内外研究的热点。目前已结合网络功能虚拟化(Network Function Virtualization)等技术用以解决运营商网络以及数据中心网络等难以解决的问题。

本文针对铁路信号系统业务特点，利用SDN架构探索定制信号系统安全数据网的解决方案。通过面向业务的白名单控制器逻辑流表设计方法，使得安全成为SD-SSDN的一个根本属性，针对信号系统专有协议，最小化网络访问控制粒度，从而提高信号安全数据网的安全性。在此基础上高效地实现了基于SDN的信号系统安全数据网抗网络震荡的环网冗余技术和自适应链路聚合技术等保障信号系统网络高可靠性的技术，满足信号系统安全数据网可靠性要求。另一方面，基于白名单的SDN流控技术把访问控制安全作为网络设备的一个基本特性，不采用专用的网络安全设备(例如防火墙)架设在通信线路之中，在增加安全性的同时，不会增加网络时延，保证了信号系统安全数据网实时性要求。

1 SD-SSDN网络安全管控架构

1.1 系统架构概述

SD-SSDN管控架构分为3个平面，分别为数据平面、控制平面和应用平面。通过3个平面的划分，对每一个平面进行合理的定义和抽象，每个平面屏蔽自身的复杂性，为上层平面提供统一、简洁的应用接口，这是SDN实现网络功能的一种新方式，为解决工业控制系统网络安全问题提供一种新的思路。简单来讲，SDN把网络数据平面抽象为Match和Action操作，定义了数据平面处理数据包的行为，对于匹配到的数据包，做出相应的处理，处理包括对数据包的转发、修改和丢弃等。逻辑集中的网络控制平面负责与交换机进行通信，生成整个网络的全局视图，提供给网络应用平面。最后，应用平面根据全局的网络视图，编写程序，实现网络功能，对网络进行控制。

本文通过对高速铁路信号系统安全数据网3个平面的设计和实现，研究探索如何基于SDN架构，提高信号系统安全数据网(或类似具有高可靠性和高实时性要求的工业控制网络)的网络安全性。所提出的基于SDN的信号系统安全数据网数据平面包括支持软件定义网络管理的协议栈(OpenFlow[13,15])和网络交换硬件设备。网络架构和系统组成如图1所示。

图1 SD-SSDN网络架构和系统组成

1.2 SD-SSDN网络数据平面

(1)专用信令网络和通道

信号系统安全数据网联通铁路沿线各个车站，每个车站均设置有信号系统安全数据网交换机，光缆沿铁路沿线铺设。SD-SSDN可以利用铁路沿线光缆链路，构建信令专用物理链路和网络，与网络传输的业务数据分离。网络控制数据和业务数据传输物理隔离，从而进一步增加网络安全性和可靠性。在传统网络架构中，网络自身的控制数据和其所承载的业务数据只能在同一个网络上传输，存在诸多安全隐患，例如，信号系统安全数据网中由于链路震荡所引起的广播风暴问题。

(2)数据平面设计

SD-SSDN管控方案的基本设计思想是把信号系统安全数据网中所承载的列控业务流映射为数据平面的网络流，采用业务流和网络流白名单机制，实现网络接入控制、网络访问控制和异常检测，实现精细粒度的信号系统安全数据网网络流控，从而最大程度上减小信号系统安全数据网网络攻击界面。对信号系统安全数据网业务流进行分析，包括理清信号系统安全数据网中所需协议类型，设备之间的业务通信关系和流量模型等，把业务流映射为网络流；根据网络流及要实现的其他管控功能(如环网冗余)，设计网络数据平面流表，进一步实现网络流到交换机流表的映射，以及网络管控功能到流表的映射。

信号系统安全数据网承载着地面列控核心设备之间的通信业务，地面列控设备包括TCC、CBI、TSRS和RBC。以CBI与RBC之间的通信业务为例，对SD-SSDN数据平面设计进行说明。CBI与RBC之间业务流分析见表1，根据分析所设计的交换机流表(图2)，总体结构上流表可以分为3类：资产绑定及流控、业务流流量限速和冗余转发流表。

物理绑定关系过滤流表，可以实现接入设备的MAC地址、IP地址和交换机端口的绑定，不符合绑定关系的数据包进入交换机后，在此流表中会被过滤。

表1 CBI-RBC业务流分析

图2 SD-SSDN数据平面流表结构设计

网络允许协议流表，可以根据网络管理的需要设定网络允许哪些协议，对于网络中没有设置允许的协议类型的数据包，交换机会进行过滤处理。同时，此流表根据数据包协议类型，完成对于下一级流表的映射，把数据包转发到其相对应的协议策略流表进行处理。

网络流过滤流表组包括对网络允许协议进行处理的策略流表。以CBI-RBC业务流为例(表1)，CBI-RBC采用TCP协议进行通信，通过源物理端口、目的物理端口、源IP、目的IP、源TCP端口、目的TCP端口以及业务流向7元组可以精确描述此业务流。通过应用控制平面对业务进行注册，实现对信号安全数据网中业务流的精细管控，对于未注册的业务，可以把其数据包丢弃，或者把数据流导向蜜网，对恶意流量及异常行为进行分析，实现主动防护。另外，对于需要限速的网络流，可以对数据包DSCP字段进行设置，交换机可以根据限速值进行限速。

经过前面3个流表的过滤，符合规则的网络流将进入流量限速流表，交换机会根据数据包DSCP字段值，对业务量流量进行相应的限速。

图2中流表5和流表6为环网冗余和自适应链路聚合流表。网络控制平面对信号系统安全数据网所有的链路失效情况进行计算，针对不同的链路失效，生成在此链路失效情况下的转发流表。环网冗余映射流表会根据链路状态，把数据包映射到相应的转发流表进行转发。进入转发流表后，如果此交换机相邻交换机存在多条链路，交换机将会根据链路负载情况，选择一条链路把数据包发送出去。环网冗余和自适应链路聚合功能将在应用平面设计中具体介绍。

1.3 SD-SSDN网络控制平面

控制器为SD-SSDN网络控制的一个核心部件，为保证信号系统安全数据网的高可靠性，本文根据不同的网络场景，设计采用不同的多控制器协同控制方案，当某个或某些控制器失效时不会影响网络正常运行。包括多控制器主从控制模式、分布式控制模式和分布式集群控制模式。

(1)主从控制模式设计

在多控制器主从控制模式下，每个交换机可以连接多个控制器，所有连接的控制器中，有一个主控制，其余为从控制器；由主控制器控制网络，从控制器维持与交换机的连接，并且从主控制器同步网络状态。控制器同步模块主要实现控制器之间信息同步、主控制器选举、控制器状态监测以及控制器身份切换等。

(2)分布式控制模式设计

根据全球SDN测试认证中心的测试报告[16]，以RYU控制为例，最多控制300个交换机，超过额定数量的交换机，需要额外的控制器。另外，为了保障控制器与交换机通信的时延较小，需要分布式控制。在分布式控制模式下，不同控制域的交换机与各自的区域控制器建立连接，对于各自控制域内的网络业务流，由该区域控制器独立控制；需要跨越多个控制域的网络流，各个区域控制器协同控制。对于应用平面来讲，控制平面为其提供全局的网络视图。这种架构存在的问题在于，如果区域控制器1失效，则控制域1内的交换机将失去控制，因此，对于规模庞大，可靠性要求高的网络，还需要分布式控制器集群工作模式。

(3)分布式集群控制模式设计

针对规模庞大，可靠性要求较高的网络，本文设计提出分布式集群控制模式。为了使得每个控制器都可以获得全局网络信息，同时把复杂性控制在可以接受的范围内，控制器的同步分为域间同步和域内同步。域间同步模块负责不同控制域的信息同步，域内同步模块负责控制器域内的信息同步。在一个控制域内，所有控制器服从主从工作模式，不同域的主控制器同时还处于分布式控制模式。控制域A主控制器的域间同步模块和域内同步模块同时处于工作状态，控制域A从控制器则只有域内同步模块处于工作状态。当控制域A主控制器失效时，则在该域内的从控制器中产生一个新的该域主控制器。

1.4 SD-SSDN网络应用平面

SD-SSDN网络管控功能由应用平面实现。网络管控实现对信号系统安全数据网中网络流的精细管控。网络流控的物理基础是网络信息系统中的所有资产(包括网络设备和终端设备)；网络流控的依据是信息系统中资产间所流动的信息流和业务链。SD-SSDN应用平面实现了如下4个功能模块，包括网络资产的注册和管理、信号系统安全数据网业务流的严格控制、网络高可靠性管理以及网络风险感知和检测。

(1)信号系统安全数据网资产注册及管理

SD-SSDN管控的基础是对网络中所有交换机和接入终端的管理，通过对资产的注册，应用平面可以实现对网络设备、终端设备和网络业务的认证。首先对交换机进行认证，然后对接入网络的终端设备进行认证。结合数据平面设计，对于终端设备的认证是基于物理位置(设备接入交换机物理端口)、设备指纹(如MAC地址、IP地址、操作系统等)和业务关系三者之间的绑定。可以实现对设备接入和访问的严格管理。另一方面，SD-SSDN可以简化网络配置和管理，通过集中统一管控，利用图形化、可视化和可编程网络等技术，把管理员从复杂命令行形式的网络管理中解放出来。

(2)面向信号系统安全数据网业务流控

业务流控指的是通过对信号系统安全数据网设备间通信应用层业务进行描述，网络中只允许配置的业务流通行，根据应用层业务白名单，实现对网络的精细管控，在最大程度上减小信号安全数据网的攻击界面。目前，信号安全数据网是一个广泛互联的二层以太网网络，一般只有在不同信号安全数据网连接处设置有ACL功能的三层交换机设备。SD-SSDN整个网络本身构成了一个应用层防火墙，而且利用逻辑集中、统一管控和可视化等技术，使得配置方便简单，配合资产注册及管理模块，使信号安全数据网的防护更加严密。

如图3所示，在理清信号系统安全数据网设备业务通信关系的基础上，管理员可以通过Web管理界面对全网的通信业务进行描述和注册。例如，某车站CBI与RBC通信业务，采用RSSP-Ⅱ协议，CBI为客户端(设备名称：A站CBI，IP地址为10.0.0.1)，TCP源端口为5000，RBC为服务端(设备名称：武广RBC1，IP地址为10.0.0.2)，目的端口为5001，管理员在Web界面录入信号数据网中各个业务信息，SD-SSDN应用平面根据输入数据信息生成SD-SSDN控制程序可以理解的数据结构，即为信号系统安全数据网业务通信矩阵，从而实现信号安全数据网业务流控。然后，根据全局网络信息，针对不同交换机，生成不同的过滤流表项，通过控制平面下发给交换机。

(3)信号系统安全数据网高可靠性管理

在SD-SSDN架构上，本文提出一种基于OpenFlow多级流表的环网冗余技术与自适应链路聚合技术，并且解决了因为环网冗余技术失效而引起的网络广播风暴问题，提高了信号安全数据网的安全性和可靠性。下面对本文提出的两个技术分别进行介绍。

①基于OpenFlow多级流表的冗余流表映射冗余技术信号系统安全数据网环网冗余要求当链路或交换机失效时，对网络转发进行快速切换(网络恢复时间<500 ms)。本文所提出的方案利用统一管控优势[17]，提出一种全新的环网冗余实现方法——基于OpenFlow多级流表的冗余流表映射技术RFTM (Redundant Flow Table Mapping)。SD-SSDN控制器对网络拥有全局视角，获取整个网络拓扑如图4所示，为5个网络节点和链路组成的环网，RFTM算法枚举每条链路失效情况，并计算生成每条链路失效情况下的冗余转发流表。例如，RFTM假设链路1失效，根据链路1失效情况下的拓扑，利用Floyd算法，计算每一个交换机节点到其他任何一个交换机节点的转发路径，并根据计算所得的转发路径为各交换机生成对应的冗余转发流表1。RFTM在初始化阶段设置链路1为冗余备用链路，并使网络采用链路1失效时的冗余流表1进行转发。当RFTM检测到其他路径失效时(例如链路2失效)，采用OpenFlow Goto Table指令，使网络中各交换机节点采用链路2失效时所对应的冗余转发流表2进行转发，完成环网冗余切换。不需要重新计算路由并进行大范围修改操作，原理上大幅提高了链路失效的网络恢复时间。

图3 应用平面业务流控模块

RFTM技术将网络恢复操作的时间缩短到了修改一条流表项的时间，再加上SD-SSDN架构下，控制器的网络全局视野对链路失效的检测发现时间远低于传统网络链路失效的发现时长。因此，RFTM技术在原理上优于传统环网冗余技术。因此不存在网络链路震荡问题。

②自适应链路聚合技术

链路聚合技术是一种提高网络带宽、增强网络健壮性的技术，传统网络中通常使用链路聚合控制协议LACP(Link Aggregation Control Protocol)来实现此功能，使用此协议最大的缺点就是需要人为地对每台交换机进行配置，通过命令将某些端口加入一个聚合组，从而通过LACP协议来实现负载均衡、故障倒换等功能，因此网络缺乏灵活性，网络发生变化时需要人工对每台交换机重新进行配置，增加了网络管理的复杂性。

与LACP协议不同，SD-SSDN利用全局网络信息可以自动判断两台交换机的直连链路和端口情况，识别出需要聚合的链路，实现了网络的自适应链路聚合功能，管理员不需要进行任何配置。SD-SSDN链路聚合功能模块基于LLDP(链路层发现协议)技术，通过发送/接收LLDP报文，可以识别两个交换机之间物理链路的增加和断开情况，根据两台交换机之间相连的物理链路数量(当数量大于1时)，把多条物理链路聚合成一条逻辑链路，并且利用OpenFlow Group Table技术，在多条链路上实现负载均衡，增加链路带宽。原理同上，当有物理链路故障时，功能模块会将该链路的流量快速转移到其余链路上，并在其余链路上重新负载均衡，增强了网络的健壮性。当交换机之间增加链路时，不需要管理员进行干预，明显降低了网络管理的复杂性，节省了铁路施工宝贵的天窗时间。

(4)信号系统安全数据网风险感知及检测

通过信号系统安全数据网业务通信矩阵和设备资产绑定注册，SD-SSDN可以准确地识别出网络中的异常流量。对于不符合业务通信矩阵和资产绑定注册关系的流量，SD-SSDN风险感知及检测模块记录数据的指纹信息(例如，所在交换机端口、MAC地址、IP地址等)，提供给网络管理人员进行追踪溯源，及时发现问题；另一面，可以把异常流量导入蜜网中，进行诱导和主动防御，进一步获取攻击所采用的技术手段等安全情报信息。

2 实验原型系统及测试床

为了验证本文所提出方案，在实验室搭建了高速铁路信号系统半实物仿真平台，最多可以模拟15个车站的高速铁路信号系统安全数据网，并模拟CBI、TCC、RBC和TSRS等列控业务。SDN交换机采用Linux操作系统，运行OpenvSwitch[18]交换机程序，支持OpenFlow1.5协议，有2个万兆光口和8个千兆以太网口，组成光纤环网，光纤链路长度为1 km。SDN控制器硬件采用3台联想RD640服务器，软件程序在Ryu[19]基础上进行开发。

3 实验设计及结果

3.1 基于攻击链的攻击防护测试

(1)实验原理

攻击者的攻击行为可以用攻击链来表示，本文简要将其分为4个阶段：侦察阶段、渗透攻击阶段、攻陷控制阶段和恶意行为阶段。

侦察阶段：攻击者通过网络扫描器(例如Nmap[20])收集信息，掌握目标机器的系统、端口和漏洞等信息。

渗透攻击阶段：攻击者利用栈堆方面的漏洞、系统平台方面的漏洞、逻辑配置错误方面的漏洞、内存破坏方面的漏洞等，对目标主机发起攻击，向目标主机发送相关的漏洞利用代码。

攻陷控制阶段：攻击者成功进入目标主机后在目标主机中安装恶意软件(如木马，后门等)，通过这些恶意的工具实现与黑客的控制链接。

恶意行为阶段：攻击者可以偷取系统信息，删除文件，破坏系统信息的完整性和可用性，或者以控制机器为跳板，攻击其他主机等。

实验根据上述攻击链，假设一个针对信号系统安全数据网的攻击场景，验证SD-SSDN对攻击的防护能力。该实验攻击场景同时适用于SDN和非SDN控制架构。实验场景的前提条件和假设如下：

假设一 攻击者潜入一个无人值守车站的信号机房，控制了一台信号安全数据网终端设备，可以通过此终端发起攻击。或者可以完全伪装成一台合法的信号系统安全数据网终端设备，包括接入端口、MAC地址、IP地址等。

假设二 信号安全数据网中某一台终端设备存在缓冲区溢出漏洞(MS08-067)，并且攻击者可以成功利用此漏洞。

实验拓扑如图5所示，假设实验网络中的通信业务见表2，终端A为攻击者所控制的信号系统安全数据网设备，终端B、C、T为信号系统安全数据网中的合法终端，其中终端T具有缓冲区溢出漏洞(MS08-067)。根据表2所示业务流，SD-SSDN应用平面生成信号系统安全网业务通信矩阵，交换机数据平面业务流和网络流白名单如图6所示。通过对比实验来说明SD-SSDN对攻击链上各个攻击环节的阻断情况。

表2 实验网络中的通信业务

图5 攻击防护测试原理图

图6 SD-SSDN数据平面网络流白名单流表

(2)实验结果

网络主机发现扫描结果对比：攻击者通过终端A获得信号系统安全数据网网段信息，通过nmap对网络中存在的主机进行扫描，如图7(a)所示，攻击者可以发现网络中的所有设备(B、C和T)。在SD-SSDN防护下，攻击者只能发现与终端A有业务通信的终端T，无法知道终端B和C的存在，扫描结果如图7(b)所示。SD-SSDN减小了攻击面，降低了系统终端遭受攻击的风险，可以把攻击者隔离在较小的网络系统范围内。

主机端口和漏洞扫描结果对比：攻击者发现网络中存在的主机后，通过命令(nmap - - script=smb-vuln-ms08-067.nse - - script-args=unsafe=1 10.0.0.2)对终端T所开放的端口进行扫描，并检查终端T是否存在smb服务相关漏洞，结果如图8(a)所示，攻击者可以获得终端T的端口信息(包括445端口等11个端口的信息)、操作系统信息，并准确识别出了系统所存在的缓冲区溢出漏洞。在SD-SSDN防护下实验结果如图8(b)所示，如果攻击者在不知道终端A与T的通信业务端口的情况下，会随机选择一个源端口发送扫描数据包，攻击者不能获得任何端口和漏洞信息；如果攻击者通过其他方式，知道终端A与其他终端业务通信所采用的源端口，攻击者在指定扫描所采用的源端口为5000时(通信业务见表2)，只能获得445端口信息，并且不能识别出系统所存在漏洞；在指定扫描所采用的源端口为5001时，只能获得6002端口信息。在黑客对主机进行端口和漏洞扫描阶段，SD-SSDN可以进行有效的防护，使攻击者不能识别出系统的漏洞信息，同时，攻击者也不能获取其他的端口信息。

图7 网络主机发现扫描结果对比

图8 主机端口和漏洞扫描结果对比

攻陷控制结果对比：假设攻击者在发现系统存在漏洞后，将尝试利用漏洞攻陷系统，例如取得系统远程控制权限或对系统进行DoS攻击。如图9(a)所示，攻击者利用Metasploit[21]工具，对漏洞(ms08_067_netapi)进行渗透攻击，攻击载荷采用TCP反向连接，可以使被攻击终端T反弹一个Windows命令行，攻击者通过该命令行对终端T进行控制。攻击者在取得终端T的控制权限后就可以进入后续的恶意行为阶段。在SD-SSDN防护下实验结果如图9(b)所示，攻击者不能成功利用ms08_067漏洞，因为任何不符合信号系统安全数据网业务通信矩阵的网络流均不能进入网络。

图9 攻陷控制结果对比

实验表明，SD-SSDN提高了攻击者的攻击门槛，在攻击链的各个阶段制造相应的障碍，防止攻击进行，即使攻击者发现了系统漏洞，也不能对漏洞系统进行远程控制，提高了信号系统安全数据网的安全性。

3.2 网络可靠性测试

(1)环网冗余测试实验

链路失效将导致发送端到接收端链路上所传输数据包的丢失，根据数据包丢失的个数和发送数据包之间的时间间隔，可以估算网络通信恢复时间。如图10所示，假设网络初始时，链路10为阻塞链路，终端A到B的数据传输路径为1-2-3-4-5，假设当链路1断开时，A到B的数据传输路径需要切换为10-9-8-7-6，定义链路切换过程中，丢失数据包个数为N(N>0)，且每个数据包发送的时间间隔为Ti，则环网冗余恢复时间Trecovery可以简单的估算为Trecovery=NTi。

图10 环网冗余实验拓扑图

实验中，终端A每过一个时间间隔(Ti=1 ms)向终端B发送一个UDP数据包，数据包Payload为递增的序列号，终端B收到数据包后对Payload中的序列号进行解析与记录。在链路切换的过程中，会出现UDP数据包丢失，统计丢失数据包数量，估算链路切换时间。在进行50次切换实验后，平均丢包数N=8，实验中数据包发送时间间隔Ti为1 ms，因此网络通信的恢复时间估算值Trecovery=8 ms。与信号安全数据网传统环网冗余技术相比，RFTM利用SD-SSDN统一管控，预先计算并存贮了环网冗余切换的转发信息，当链路失效时，网络直接采用冗余流表进行转发，不需要重新计算并刷新交换机的转发表，从而可以实现更快速的切换[22]。

(2)控制器失效切换实验

图11所示为控制器失效切换过程。

图11 控制器失效切换时间及实验原理

T1时刻：MC失效。

T2时刻：SYN模块通过心跳包的丢失，检测到MC失效离线；并通知所有从控制器，进入主控制选举流程。

T3时刻：SYN模块根据从控制的选举信息，产生新的主控制器，并通知该控制器为主控制器，可以接管整个网络。

T4时刻：SC接收到自己成为主控制器的信息，切换完成时间用Tswitching_controller表示。

实验中采用两台控制器，处于主从工作模式，测量Tswitching_controller表征网络控制器的失效恢复能力。控制器与交换机通信采用OpenFlow协议equal模式，即对于交换机来说，主从控制器处于平等地位，交换机可以同时接收并执行主从控制器发送的命令；主从控制器的区分由同步模块决定，一旦控制器被同步模块告知为主控制器则控制整个网络，从控制器只监听交换机状态，不会向交换机下发控制命令。

实验重复100次，测量Tswitching_controller，最小值为176 ms，最大值为268 ms，根据实验结果，绘制CDF(Cumulative Distribution Function)曲线，表示在时间t(ms)内，可以完成控制器切换的概率，如图12所示。

图12 控制器切换时间概率分布图

SD-SSDN应用平面确定信号系统安全数据网的管控策略后，把控制器信息映射到交换机流表中，原理上，控制器切换只会影响到需要上发到控制器处理的网络流量，对于信号系统安全数据网业务流量不会造成影响。实验中用Iperf[23]模拟2条UDP业务流，带宽为10 Mbit/s，如图13所示。一条为需要上发到控制器处理的业务流(图13上方曲线)，另一条为SD-SSDN根据信号系统安全数据网业务预先下发给交换机的业务流(图13下方曲线)。

图13 控制器切换对信号系统安全数据网业务影响

(3)自适应链路聚合实验

本部分实验主要测试模块对链路的自适应聚能功能，假设两台交换机间单条链路带宽为Bi，用终端产生4×Bi的流量，当两个交换机之间的链路数量从1条逐渐增加到4条时，观察TCP带宽的变化情况。

实验中利用4台主机充当客户端(C1/C2/C3/C4)，4台主机充当服务器(S1/S2/S3/S4)，如图14所示。在客户端和服务器上利用Iperf进行TCP带宽测试，设置TCP带宽为1 Gbit/s，由于主机为千兆网卡，预计可产生接近4 Gbit/s的流量。当SDN交换机之间只有一条链路时，总TCP带宽约为950 Mbit/s，随着链路数量的增加，各个TCP流的带宽也随之增加，总的TCP带宽阶梯增长，最后每个TCP流的带宽接近设置带宽，约为950 Mbit/s，实验测试结果如图15所示，链路总带宽的增加正比于链路数量的增加，从而验证了链路聚合功能的有效性。

图14 自适应链路聚合实验原理

图15 链路总带宽变化结果

4 结束语

对于实时性和可靠性要求较高的工业控制系统网络，不能因为网络安全措施而影响系统的实时性和可靠性。本文针对我国高速铁路信号系统安全数据网特点，提出SD-SSDN解决方案，利用软件定义网络技术，降低网络管控的复杂性，在保障高实时性和可靠性的前提下，提高了信号系统安全数据网的安全性。另外，也验证了SDN技术可以较好地应用于类似信号系统安全数据网的工业控制系统网络中。