用于工业互联网的网络边界控制方法及装置与流程

本发明涉及互联网领域，具体为一种用于工业互联网的网络边界控制方法及装置。

背景技术：

随着互联网+、物联网、人工智能等高新信息技术的发展，我国工业领域发展正走向信息化、自动化、智能化的发展道路，致力于突破工业控制系统的封闭性、工业设备管理的复杂性、工业数据共享的安全性问题，构建工业数据中心、工业园区网络、企业办公设备的数据共享网络，打造基于万物互联的工业互联网新生态。与此同时，万物互联带来了更多的安全隐患，较传统的互联网安全问题而言，工业互联网的安全、隐私、边界问题往往带来巨大经济损失和社会危害，如2010年伊朗“震网”攻击导致20％离心机报废以及有毒的放射性物质泄漏，如2012年“火焰”攻击中东能源行业，严重打击了石油国家的经济命脉，又如2016年乌克兰智能电网工控系统遭到攻击，导致家庭供电大规模中断。

现有的工业互联网安全解决方案主要集中在四个方面。在违规外联工控设备检测方面，研究工作围绕网络空间系统设备探测和网络空间测量两方面展开，前者主要基于混合udp、tcp、ack扫描方式实现对plc设备探测，后者则主要采用计算机网络拓扑探测方法实现对工业互联网的测绘。在工控系统检测与专网流量监测方面，主要集中在针对系统漏洞挖掘与检测，以及针对网络协议验证和监测。在工控系统取证溯源反制方面，2008年fabro等人首先提出了控制系统网络取证方法，但是并没给出数据的融合分析方法，后续的研究工作主要集中在对scada和plc内存和数据的取证技术，目前仍处于起步阶段；在物联网安全检测方面，研究工作主要分为节点安全防护方法及恶意行为检测方法的研究。综上，现有工作在工业网络测量、工业流量审计及工业系统取证漏洞挖掘及检测等方面的研究取得了阶段性的进展，但针对工业控制系统及新型技术支撑平台等安全通信、网络互联安全保障问题，国内外研究才刚刚起步。

针对工业互联网异构网络设备的复杂认证、违规接入、非法访问等网络安全与权限隐私问题，本发明提出了一种用于工业互联网的网络边界控制方法及装置，涉及基于软件定义广域网的网络边界控制架构、软件定义安全控制器装置和边缘网关装置，基于sds思想的集中式控制器管理underlay网络设备验证、授权和计费的统一认证策略、underlay网络设备及用户的接入控制列表和overlay网络服务的虚拟路由转发规则，实现对工业互联网异构网络设备的可信认证、可靠接入和可控路由等网络边界控制。

技术实现要素：

本发明的目的在于提供一种用于工业互联网的网络边界控制方法及装置，以解决上述背景技术中提出的问题；针对工业互联网异构网络设备的复杂认证、违规接入、非法访问等网络安全与权限隐私问题，本发明提出一种基于sd-wan的网络边界控制方法，基于sds思想采用集中式控制器方案管理underlay网络设备的统一认证，控制underlay网络设备及用户的可靠接入，保证overlay网络服务的可控路由，实现对工业互联网异构网络设备的可信认证、可靠接入和可控路由等网络边界控制。

为实现上述目的，本发明提供如下技术方案：一种基于sd-wan的网络边界控制装置，包括sds控制器装置和边缘网关装置，所述sds控制器装置包括第一控制通道模块、服务抽象层、aaa计算模块、acl计算模块、vrf计算模块和rest驱动接口；

第一控制通道模块：与边缘网关装置建立基于openflow协议的通信连接；

服务抽象层：北向aaa计算模块、acl计算模块、vrf计算模块提供动态链接加载，南向控制通道模块提供openflow协议；

rest驱动接口：提供基于http协议的rpcapi；

所述边缘网关装置包括第二控制通道模块、数据通道模块、overlay协议驱动接口和aaa匹配模块、acl匹配模块和vrf匹配模块；

第二控制通道模块：与控制器装置建立基于openflow协议的通信连接；

数据通道模块：与边缘网关建立基于overlay的安全隧道用于实现边缘网关装置的跨域网络互联和安全可靠通信；

overlay协议驱动接口：对待发送和接收到的报文进行预处理；

aaa匹配模块和vrf匹配模块：分别根据控制器下发的aaa规则和vrf规则对overlay流量匹配，进行统一认证和路由转发，若未匹配规则，则将流量转发至控制器acl计算模块和vrf计算模块进一步决策。

本发明还涉及一种基于sd-wan的网络边界控制方法，适用于工业互联网异构网络设备，所述方法用于管理underlay网络设备的统一认证，控制underlay网络设备及用户的可靠接入，保证overlay网络服务的可控路由，包括：

underlay数据平面：由与互联网连通的边缘网关组成，均位于sd-wan网络边缘位置，经过基本网络配置接入互联网，并保持与sd-wan控制器的控制通道长连接；

overlay数据平面：由边缘网关提供覆盖网络服务，通过sd-wan提供的ott服务将工业企业总部、工业企业分支与工业企业数据中心的网络通信限制打通，实现基于overlay安全隧道的互联互通；

控制平面：控制器对管理服务分发的aaa规则、acl规则与vrf规则入库、编排、计算、下发、跟踪并周期性检测wan边缘网关的安全规则状态；

管理平面：管理服务根据rest驱动接口定义标准，获取wan网络拓扑和安全规则的全局视图。

进一步的，所述方法包括一种面向underlay的统一认证管理方法，采用aaa本地缓存和sds控制端相结合，其步骤如下：

(1)边缘网关设备aaa匹配模块识别包含多维属性的认证流量并提取关键属性序列p；

(2)aaa匹配模块将属性序列p与预加载于前缀树内存机构之中的aaa本地缓存比较，并返回结果；

(3)若匹配到本地缓存的一条记录，则转步骤(4)；否则，转(5)；

(4)返回认证成功结果；

(5)aaa匹配模块将属性序列p通过openflow控制通道发送至控制器aaa分类模块；

(6)aaa分类模块识别属性序列是验证、授权、计费任意一种的服务请求；

(7)radius客户端根据步骤(6)识别的服务请求，计算并封装radius协议请求报文；

(8)radius服务端解析收到的请求报文，并根据请求的服务类型查询aaa数据库；

(9)radius服务端根据数据库查询结果，封装radius响应报文，并发至radius客户端；

(10)radius客户端解析radius响应报文，并将服务请求结果反馈至aaa分类模块；

(11)aaa分类模块通过openflow控制通道将属性序列p的认证结果反馈至aaa匹配模块；

(12)若认证成功，则转步骤(13)；否则，转步骤(14)；

(13)aaa匹配模块将认证成功的结果加载至aaa本地缓存；

(14)aaa匹配模块返回认证结果至发起认证请求的网络设备。

进一步的，所述方法还包括一种面向underlay的网络接入控制方法，该方法包括acl匹配模块和acl计算模块；

acl匹配模块：基于压缩前缀树存储acl规则，包括匹配域、优先级、计数器和动作四个属性；

acl计算模块：基于分布式哈希表存储各边缘网关的acl规则子集，包括上述acl规则属性，还包括用于标识所属边缘网关设备的分布式哈希索引dhtid。

进一步的，所述匹配域包含源网络地址/掩码、源端口/端口区间、目的网络地址/掩码、目的端口/端口区间、网络协议、时间/时间区间属性；

所述优先级包含{p1,p2,···,pn}在内的n个等级，支持用户按需定义；

所述动作包含允许和丢弃。

进一步的，所述的一种面向underlay的网络接入控制方法，其步骤如下：

a.acl匹配模块对流入边缘网关装置报文的特征匹配域fi进行提取；

b.acl匹配模块在本地acl规则缓存中基于压缩前缀树搜索算法查找是否存在一个规则的匹配域和fi相等；若存在，则允许该报文流入；否则，转c；

c.acl匹配模块将该报文的特征匹配域上传至控制器acl计算模块；

d.acl计算模块先根据边缘网关装置的网络地址、端口和设备id计算哈希值，查找dhtid等于该哈希值的acl规则子集，再根据特征匹配域的六元组计算哈希值，查找属于该报文的acl规则；

e.acl计算模块将规则查询结果反馈至acl匹配模块，若查询到一条acl规则记录rn+1，则将插入本地acl规则缓存，并根据该记录动作属性决定允许或丢弃该数据包；否则，直接丢弃该数据包并断开当前网络连接。

进一步的，所述方法还包括一种面向overlay的虚拟路由转发方法，由控制器vrf计算模块集中控制overlay网络拓扑域内/域间路由转发，对边缘网关vrf匹配模块加载的本地vrf规则缓存进行增删改查。

进一步的，所述控制器vrf规则由sd-wan管理服务定义，以规则id、流量特征flow和通信路径path三元组属性组；

进一步的，所述流量特征flow包括能够唯一标识一条流的五元组信息；所述通信路径path由从源主机到目的主机的节点集合组成。

与现有技术相比，本发明的有益效果是：

本发明提出的用于工业互联网的网络边界控制在方法能够实现对工业互联网中工业控制设备、网络通信设备、智能终端设备等异构设备集中式管理，对工业互联网络拓扑中数据中心网络、云服务网络、企业园区网络、移动办公网络等复杂网络节点、链路和拓扑智能化计算，对工业互联网络中用户身份认证、设备安全接入、流量路由转发等网络边界细粒度控制。应用后会有显著效果，比如该发明支持：工业分支企业数据共享；工业设备及控制系统数据上云；智能设备远程接入维护工业设备。

附图说明

图1为本发明基于sd-wan的网络边界控制架构；

图2为本发明涉及的控制器装置和边缘网关装置设计图；

图3为本发明面向underlay的统一认证管理方法流程示意图；

图4为本发明面向underlay的网路接入控制方法流程示意图；

图5为本发明面向overlay的虚拟路由转发方法流程示意图；

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

本发明提供一种技术方案：

如图2所示，一种基于sd-wan的网络边界控制装置，包括sds控制器装置和边缘网关装置，所述sds控制器装置包括第一控制通道模块、服务抽象层、aaa计算模块、acl计算模块、vrf计算模块和rest驱动接口；

第一控制通道模块：与边缘网关装置建立基于openflow协议的通信连接；

服务抽象层：北向aaa计算模块、acl计算模块、vrf计算模块提供动态链接加载，南向控制通道模块提供openflow协议；

rest驱动接口：提供基于http协议的rpcapi，简化了管理平面与控制平面之间通信的数据格式；

所述边缘网关装置包括第二控制通道模块、数据通道模块、overlay协议驱动接口和aaa匹配模块、acl匹配模块和vrf匹配模块；

第二控制通道模块：与控制器装置建立基于openflow协议的通信连接；

数据通道模块：与边缘网关建立基于overlay的安全隧道用于实现边缘网关装置的跨域网络互联和安全可靠通信；

overlay协议驱动接口：对待发送和接收到的报文进行预处理，具体而言，对于待发送的报文，该接口对报文进行加密，封装overlay报文首部后使用套接字发送overlay报文至目的地；对于接收到的报文，该接口对overlay报文首部进行校验和解析，验证完整性后对overlay报文负载解密，并将明文原始报文转交至上层aaa匹配模块和vrf匹配模块；

aaa匹配模块和vrf匹配模块：分别根据控制器下发的aaa规则和vrf规则对overlay流量匹配，进行统一认证(验证、授权、计费)和路由转发，若未匹配规则，则将流量转发至控制器acl计算模块和vrf计算模块进一步决策。

本发明还涉及一种基于sd-wan的网络边界控制方法，适用于工业互联网异构网络设备，所述方法用于管理underlay网络设备的统一认证，控制underlay网络设备及用户的可靠接入，保证overlay网络服务的可控路由，如图1所示，为该基于sd-wan的网络边界控制架构；

underlay数据平面：由与互联网连通的边缘网关组成，均位于sd-wan网络边缘位置，经过基本网络配置接入互联网，并保持与sd-wan控制器的控制通道长连接，具体而言，underlay边缘网关需要根据控制器下发的aaa规则和acl规则分别进行设备身份认证和流量接入控制。

overlay数据平面：由边缘网关提供覆盖网络服务，通过sd-wan提供的ott服务将工业企业总部、工业企业分支与工业企业数据中心的网络通信限制打通，实现基于overlay安全隧道的互联互通，其中，边缘网关overlay服务需根据控制器下发的vrf规则进行路由转发。

控制平面：控制器对管理服务分发的aaa规则、acl规则与vrf规则入库、编排、计算、下发、跟踪并周期性检测wan边缘网关的安全规则状态；

管理平面：管理服务根据rest驱动接口定义标准，获取wan网络拓扑和安全规则的全局视图，按需配置aaa规则、acl规则、vrf规则等网络安全规则，并下发至控制器进一步编排和计算。

所述方法包括一种面向underlay的统一认证管理方法，综合考虑了工业互联网用户、设备、网络等多个方面，涵盖用户名、口令、设备id、设备名称、系统版本、网络接入归属地、网络接入时间、网络接入服务器等多维属性，采用aaa本地缓存和sds控制端相结合，图3为面向underlay的统一认证管理方法流程示意图，其整体流程如下：

(1)边缘网关设备aaa匹配模块识别包含多维属性的认证流量并提取关键属性序列p；

(2)aaa匹配模块将属性序列p与预加载于前缀树内存机构之中的aaa本地缓存比较，并返回结果；

(3)若匹配到本地缓存的一条记录，则转步骤(4)；否则，转(5)；

(4)返回认证成功结果；

(5)aaa匹配模块将属性序列p通过openflow控制通道发送至控制器aaa分类模块；

(6)aaa分类模块识别属性序列是验证、授权、计费任意一种的服务请求；

(7)radius客户端根据步骤(6)识别的服务请求，计算并封装radius协议请求报文；

(8)radius服务端解析收到的请求报文，并根据请求的服务类型查询aaa数据库；

(9)radius服务端根据数据库查询结果，封装radius响应报文，并发至radius客户端；

(10)radius客户端解析radius响应报文，并将服务请求结果反馈至aaa分类模块；

(11)aaa分类模块通过openflow控制通道将属性序列p的认证结果反馈至aaa匹配模块；

(12)若认证成功，则转步骤(13)；否则，转步骤(14)；

(13)aaa匹配模块将认证成功的结果加载至aaa本地缓存；

(14)aaa匹配模块返回认证结果至发起认证请求的网络设备。

具体而言，上述流程和示意仅给出了基于aaa的统一认证管理方法中的验证流程，授权流程涉及管理平面和控制平面，通过管理平面rest接口将aaa规则写入aaa数据库；计费流程则与认证流程比较类似，在网络设备断开连接后，将连接信息通过aaa匹配模块、aaa计算模块写入aaa数据。授权与计费流程相对简单，因此不做过多赘述。

进一步的，所述方法还包括一种面向underlay的网络接入控制方法，该方法包括acl匹配模块和acl计算模块；

acl匹配模块：基于压缩前缀树存储acl规则，包括匹配域、优先级、计数器和动作四个属性；

acl计算模块：基于分布式哈希表存储各边缘网关的acl规则子集，包括上述acl规则属性，还包括用于标识所属边缘网关设备的分布式哈希索引dhtid。

进一步的，所述匹配域包含源网络地址/掩码、源端口/端口区间、目的网络地址/掩码、目的端口/端口区间、网络协议、时间/时间区间属性；

所述优先级包含{p1,p2,···,pn}在内的n个等级，支持用户按需定义；

所述动作包含允许和丢弃。

如图4所示，给出了对于任意流量特征匹配域fi,acl匹配模块的本地查找和acl计算模块的远端查找方法，其整体流程如下：

a.acl匹配模块对流入边缘网关装置报文的特征匹配域fi进行提取；

b.acl匹配模块在本地acl规则缓存中基于压缩前缀树搜索算法查找是否存在一个规则的匹配域和fi相等；若存在，则允许该报文流入；否则，转c；

c.acl匹配模块将该报文的特征匹配域上传至控制器acl计算模块；

d.acl计算模块先根据边缘网关装置的网络地址、端口和设备id计算哈希值，查找dhtid等于该哈希值的acl规则子集，再根据特征匹配域的六元组计算哈希值，查找属于该报文的acl规则；

e.acl计算模块将规则查询结果反馈至acl匹配模块，若查询到一条acl规则记录rn+1，则将插入本地acl规则缓存，并根据该记录动作属性决定允许或丢弃该数据包；否则，直接丢弃该数据包并断开当前网络连接。

所述方法还包括一种面向overlay的虚拟路由转发方法，由控制器vrf计算模块集中控制overlay网络拓扑域内/域间路由转发，对边缘网关vrf匹配模块加载的本地vrf规则缓存进行增删改查，如图5所示，给出了集中式虚拟路由转发控制方法的基本原理和路由规则存储方法。

具体而言，所述控制器vrf规则由sd-wan管理服务定义，以规则id、流量特征flow和通信路径path三元组属性组；

进一步的，所述流量特征flow包括能够唯一标识一条流的五元组信息(源网络地址，源端口，目的网络地址，目的端口，协议)；所述通信路径path由从源主机到目的主机的节点集合组成，边缘网关本地vrf规则缓存为控制器下发的vrf规则集合，以最长前缀匹配(longestprefixmatch,lpm)算法对网络流量进行实时匹配，未能匹配的网络流量需经控制通道上传至控制器进一步决策，该流程与acl规则查找过程类似，故不再赘述。借助控制器对wan网络拓扑和overlay虚拟路由转发规则的集中式控制，网络管理员能够高效地管理复杂网络、异构设备互联互通的访问边界。

利用本发明提出的基于sd-wan工业互联网边界控制方法能够实现工业分支企业数据共享、工业设备及控制系统数据上云、智能设备远程接入维护工业设备等工业互联互通网络环境的可信认证、可靠接入和可控路由，提供工业设备、工业系统、网络设备、智能终端的集中式、细粒度、统一化管理平台及服务。

尽管已经示出和描述了本发明的实施例，对于本领域的普通技术人员而言，可以理解在不脱离本发明的原理和精神的情况下可以对这些实施例进行多种变化、修改、替换和变型，本发明的范围由所附权利要求及其等同物限定。