• 内蒙古煤炭经济杂志社官网
当前位置: 主页 > 刊社新闻 > >详细介绍
资讯信息

电力通信网安全防护架构设计策略

时间:2019-08-16 来源:《内蒙古煤炭经济》杂志 作者:admin 点击:

  【摘要】电力通信网负责为供电系统的安全运行提供所需通信网络,加强对电力通信网的安全防护,也是切实保障供电系统实现长稳运行的重要举措。因此本文将从SDN网络架构的角度出发,在阐明其基本构成的基础上,着重围绕基于SDN的电力通信网的安全防护架构设计进行简要分析研究,旨在为设计电力通信网安全防护架构提供相应理论参考与指导帮助。

  【关键词】SDN;电力通信网;安全防护架构;设计策略

  由于SDN网络的接口具有较高的开放性和灵活性,可以按需调用并且具有良好的网络安全性,因此能够有效弥补以往电力通信网络的不足。通过探究基于SDN的电力通信网安全防护架构设计,一方面可以有效帮助人们正确认识SDN网络及其架构组成,另一方面也能够为设计SDN为基础的电力通信网安全防护架构提供相关设计思路。

  1SDN网络架构的基本构成

  SDN网络即软件定义网络,通过运用分层设计理念,对原本封闭性极大的网络体系进行分解处理,使之可以被细分成三个层面,分别为控制与数据层面以及应用层面。使得SDN网络可以从逻辑层面上转发分离数据,在有效提高编程接口开放性的同时达到集中控制的目的。因此SDN网络架构的主要构成分别为应用与基础设施层以及控制层。其中,应用层当中包含各种类型的业务及应用,其处于SDN架构顶层位置。SDN架构中间位置为控制层,主要用于维护网络状态,并负责将各API接口提供给应用层。控制层连接着应用层与基础设施层,而含有众多网络转发设备的基础设施层,主要用于搜集整理各类信息数据并依照实际需要对其进行收发处理。由于SDN网络架构的接口开放性与灵活性较高,并且在配合使用网络虚拟化技术下,可以有效分离各类业务以保障通信网络的安全性,因此将其运用在电力通信网安全防护架构设计中,可以有效达到提高电力通信网运行安全可靠性的效果。

  2SDN下的电力通信网安全防护架构设计策略

  2.1整体架构设计

  本文通过参考相关研究资料,在设计基于SDN的电力通信网安全防护架构时,选择将数据与配置通信线路作为整个架构的两大重要组成部分。其中前者主要采用双向通信,而后者中则主要使用受限双向通信。所有应用与设备的身份登记均需要在架构中的认证代理内完成[1]。实体在登记入网的过程中,受限需要进行身份特征登记,随后需对控制器发送的查询请求进行及时接收。一旦控制失效,代理将根据实际情况随时向实体发送命令。此外,本文设计使OpenFlow协议将控制器与设备进行相互连接,在TLS方式的作用下,代理和控制器之间可以进行高效通信传输,进而在有效提升通行效率之余,也可以达到提高通信安全性的目的。

  2.2加密处理设计

  本文所设计的SDN下的电力通信网安全防护架构中,控制器和应用在进行相互通信时需要使用动态密钥,以此有效保障通信传输的安全性与可靠性。系统一旦完成各实体身份的成功验证后,在通信时将会借助随机数对实体身份信息进行加密处理。本文所设计的架构在身份验证的过程中以使用动态密码为主,在与各种相关动态因素,如时间、坐标等进行充分考虑下,引入专门的算法即HMAC-SHA1算法对用户长口令进行精准计算,并在此基础上生成动态密码。借助该算法,所有长度不一的消息、密钥均会统一转化成字节长度固定为20的信息摘要,在计算密码时需要使用如下公式:HMAC(K,M)=H(KXOROpad,H(KXORIpad,M))在这一公式当中,H、K与M分别代表着迭代式散列算法、共享密钥与需要被验证的数据块。Ipad与Opad则分别代表着由0x36和0x5C初始化的,字节长度统一为B字节数据块[2]。

  2.3系统通信设计

  在本文设计的SDN下的电力通信网的安全防护架构当中,控制器与认证代理进行认证操作时,首先需要利用动态密码技术完成实体身份精准识别,其次需授权管理各标识下的应用安全等级。即根据代理注册应用的具体应用名与编号等基本信息,由应用负责发送连接请求,同时完成动态密码S的准确计算。待控制器顺利接收到由应用发送的连接请求后,将直接向代理查询身份,同时对与对应着这一应用的安全等级进行相应设置。如果无法正确查询显示相应应用信息,控制器将会直接拒绝由应用所发送的连接请求。控制器在完成动态密码的准确计算后,此时生成的动态密码将会被用于验证应用信息,一旦其顺利通过验证,应用将会立即将调用请求发送给控制器,此时控制器在接收到请求后直接调用相应应用即可,但需要同时对应用调用的操作日志进行准确记录[3]。出于电力通信网安全性的考虑,控制器每隔一段时间便需要发送动态密码修改请求,直至应用接收请求并顺利完成动态密码修改操作后,再将这一信息及时反馈回控制器中。最后根据动态密码的修改情况对代理中的配置及时进行相应修改即可。

  3SDN下的电力通信网安全防护架构应用实验

  3.1实验平台设置

  为有效证明本身所设计的架构具有较高的应用性和实践性,本文将重点对SDN下的电力通信网安全防护架构进行实验。在实验过程中,SDN网络路由器网卡、网络板卡分别选择使用MIkrotikR52Hn与UbiquitiRoutersatationPro,其中前者中采用了R9220芯片集,其物理层可支持最高传输数据率达300Mbps,后者属于无线高性能网络板卡。在SDN控制器中,本实验选择使用OpenFlow.1.4.0,在运用专业软件建立的相关网络拓扑图当中共计拥有7个电网节点。

  3.2实验结果分析

  根据相关实验结果可知,在本文所设计的基于SDN的电力通信网安全防护架构当中,无论是应用层还是转发层,在身份认证中一律需要采用动态密码技术。操作人员在根据实际情况,对控制器与代理进行双向认证配置之后,数据库将同步记录下由代理负责完成的控制器非对称密钥记录信息。实验中,操作人员在完成交换机初始信息的配置与登记之后,wire-shark将会对其发送的信息进行精准抓包,在动态密钥的作用下,即便所发送的信息内容完全一样,所获得的加密结果也存在极大差异,因此操作人员可以迅速判断出未被加密的信息。在系统数据服务功能中,本实验通过借助相关仿真模拟软件,模拟出实时监控攻击数据服务器的情况。结合实验结果来看,在模拟使用泛洪攻击的情况下,ICMP回应被淹没的节点。此时系统数据服务功能处于失效状态,操作人员需等待一段时间后系统才可重新恢复对数据服务器控制功能的正常应用。而实验中通过模拟有非法控制器尝试接入电力通信网中的情况,根据实验结果可知,非法控制器在无法顺利通过身份验证下,系统将直接拒绝其连接请求,以有效达到对电力通信网进行安全防护的效果。

  3.3架构应用成效

  在我国物联网技术水平的逐渐提高下,电力通信网络流量持续增加,使得大量电力业务开始朝着IP化的方向发展。而以往使用的电力通信网架构中,无论业务类型如何全部集中在同一个电力通信网络中,加之其接口的适用对象较为有限,因此难以支持按需调用,无法满足持续增加的电力通信网络流量与通信需求。而通过设计使用基于SDN的电力通信网的安全防护架构,在引入可以授权管理应用等级划分的机制下,借助动态密码技术进行身份验证,使得建立在SDN网络架构上的控制器与交换机同时具有记录在“代理”当中的身份特征,相比于传统电力通信网架构,本文所设计的新安全防护架构将控制层与应用层,控制层当中的网络与授权管理进行成功解耦,大大降低了应用对控制层的依赖度,使得控制层功能得以更加简洁明了,为实现架构的灵活部署创造了良好条件。此外,在动态密码下的身份认证机制作用下,配合使用便捷的动态密钥管理方式,使得电力通信网安全防护架构的身份识别功能可以得到进一步强化,对于保障电力通信网的安全性与可靠性发挥了重要的帮助作用。而本身SDN网络架构具有较高的稳定性,因此也有助于实现电力通信网安全防护架构的长久、稳定运行,使得架构的应有效用得以充分发挥。

  4结束语

  综上所述,本文通过运用由控制层、应用层与基础设施层共同构成的SDN网络架构,设计建立基于SDN的电力通信网安全防护架构体系,在身份认证中运用动态密码技术,同时采用应用等级划分的授权管理机制。可以在有效保护信息数据安全、完整的同时,防止有非法控制器接入电力通信网中,而在充分发挥SDN网络优势作用下,有助于全面提升电力通信网运行的安全性与可靠性。

  参考文献

  [1]胡春霞.基于大数据的电力通信网的安全防护系统及实现研究[J].中国新通信,2018,20(23):141.

  [2]代诗磊.电力通信网的安全防护措施与需求分析[J].通讯世界,2018(07):234-235.

  [3]胡伟珂.跨省电力通信SDH传输网络架构优化研究[D].浙江工业大学,2017.

郑重声明:如您要查看原文 请到知网 万方 维普收录网站付费下载

相关信息
主管单位:内蒙古新华报业中心 主办单位:内蒙古煤炭经济杂志社 国际刊号:ISSN1008-0155   国内刊号:CN15-1115/F   邮发代号:
内蒙古煤炭经济杂志社版权所有@未经本刊授权,不得转载本站资料 ,如有侵权请联系投稿邮箱