一种基于OPENFLOW协议的OPENFLOW交换机报文安全监控方法.pdf

摘要
申请专利号：	CN201410447226.6	申请日：	2014.09.04
公开号：	CN104202322A	公开日：	2014.12.10
当前法律状态：	授权	有效性：	有权
法律详情：	授权\|\|\|专利申请权的转移IPC(主分类):H04L 29/06登记生效日:20161213变更事项:申请人变更前权利人:国家电网公司变更后权利人:国家电网公司变更事项:地址变更前权利人:100031 北京市西城区西长安街86号变更后权利人:100031 北京市西城区西长安街86号变更事项:申请人变更前权利人:中国电力科学研究院国网上海市电力公司变更后权利人:中国电力科学研究院全球能源互联网研究院国网上海市电力公司\|\|\|实质审查的生效IPC(主分类):H04L 29/06申请日:20140904\|\|\|公开
IPC分类号：	H04L29/06	主分类号：	H04L29/06
申请人：	国家电网公司; 中国电力科学研究院; 国网上海市电力公司
发明人：	孙晓艳; 张增华; 吴军民; 张刚; 黄辉; 黄在朝; 于海; 虞跃; 姚启桂; 黄治; 王向群; 李春龙; 喻强; 任杰; 陈伟; 于鹏飞; 刘川; 吴鹏; 陈磊; 陶静; 邓辉; 王玮; 沈文
地址：	100031 北京市西城区西长安街86号
优先权：
专利代理机构：	北京安博达知识产权代理有限公司 11271	代理人：	徐国文
PDF下载：	PDF下载

内容摘要

本发明提供一种基于OpenFlow协议的OpenFlow交换机报文安全监控方法，包括以下步骤：SDN控制器通过OpenFlow协议与OpenFlow交换机进行交互，按照规则定义流表项；将通过工业以太网交换机的报文转送到OpenFlow交换机中，匹配OpenFlow交换机流表中的流表项；工业以太网交换机将被修改过源IP的报文传送到汇聚层，完成报文从接入层到汇聚层的安全控制处理。本发明基于OpenFlow协议中的流表指定的匹配字段，利用OpenFlow交换机的清洗功能，将发往工业以太网交换机的非法报文丢掉，把合法报文重新送回交换机，实现一种集中式控制的报文检测，以保证电力系统中从接入层到汇聚层报文传输的安全可靠性。

权利要求书

1.  一种基于OpenFlow协议的OpenFlow交换机报文安全监控方法，其特征在于：所述方法具体包括以下步骤：
步骤1：SDN控制器通过OpenFlow协议与OpenFlow交换机进行交互，按照规则定义流表项；
步骤2：将通过工业以太网交换机的报文转送到OpenFlow交换机中，匹配OpenFlow交换机流表中的流表项；
步骤3：工业以太网交换机将被修改过源IP的报文传送到汇聚层，完成报文从接入层到汇聚层的安全控制处理。

2.  根据权利要求1所述的基于OpenFlow协议的OpenFlow交换机报文安全监控方法，其特征在于：所述步骤1中，按规则定义OpenFlow交换机流表中的流表项，包括设置流表项包头域中的源IP、目的IP和Ingress端口，以及设置流表项中相应的行动。

3.  根据权利要求1所述的基于OpenFlow协议的OpenFlow交换机报文安全监控方法，其特征在于：所述步骤2中，当工业以太网交换机的某一固定端口接收到报文后，则从另一特定端口将该报文转送到OpenFlow交换机中，根据SDN控制器预先配置好的OpenFlow交换机，匹配OpenFlow交换机流表中的流表项。

4.  根据权利要求3所述的基于OpenFlow协议的OpenFlow交换机报文安全监控方法，其特征在于：若通过工业以太网交换机转送到OpenFlow交换机中报文的源IP、目的IP和Ingress端口与流表项中的任何一项都不匹配，视该报文为非法报文，并将该报文丢到丢弃箱中；若通过工业以太网交换机转送到OpenFlow交换机中报文的源IP、目的IP和Ingress端口与流表项中的任一项匹配，视该报文为合法报文，并将该报文的源IP改为OpenFlow交换机的IP，再将修改后的报文重新送回到工业以太网交换机中。

说明书

一种基于OpenFlow协议的OpenFlow交换机报文安全监控方法
技术领域
本发明属于电力系统通信技术领域，具体涉及一种基于OpenFlow协议的OpenFlow交换机报文安全监控方法。
背景技术
SDN作为一种新型的网络技术，其控制平面与数据转发平面分离的思想，正符合信息网络中对信息高度可控性的要求。SDN将原来与单独的网络设备紧紧绑定在一起的控制面板迁移到一个中央控制器上，负责监控管理整个网络。控制平面与转发平面的分离在极大程度上简化了网络的设计和运行，同时也能够简化网络设备，因为它不再需要了解和处理各种各样的协议，只需接受来自SDN控制器的指令即可。
目前，接入层的目的是将终端节点设备连接到网络，因此，它需要支持端口安全功能、VLAN、快速以太网/千兆以太网、PoE和链路聚合等功能。其中，端口安全功能决定允许多少设备或哪些设备连接到交换机，因此，接入层的端口安全功能是保护网络的第一道重要防线。
发明内容
为了克服上述现有技术的不足，本发明提供一种基于OpenFlow协议的OpenFlow交换机报文安全监控方法，基于OpenFlow协议中的流表指定的匹配字段，利用OpenFlow交换机的清洗功能，将发往工业以太网交换机的非法报文丢掉，把合法报文重新送回交换机，实现一种集中式控制的报文检测，以保证电力系统中从接入层到汇聚层报文传输的安全可靠性。
为了实现上述发明目的，本发明采取如下技术方案：
本发明提供一种基于OpenFlow协议的OpenFlow交换机报文安全监控方法，所述方法具体包括以下步骤：
步骤1：SDN控制器通过OpenFlow协议与OpenFlow交换机进行交互，按照规则定义流表项；
步骤2：将通过工业以太网交换机的报文转送到OpenFlow交换机中，匹配OpenFlow交换机流表中的流表项；
步骤3：工业以太网交换机将被修改过源IP的报文传送到汇聚层，完成报文从接入层到汇聚层的安全控制处理。
所述步骤1中，按规则定义OpenFlow交换机流表中的流表项，包括设置流表项包头域中的源IP、目的IP和Ingress端口，以及设置流表项中相应的行动。
所述步骤2中，当工业以太网交换机的某一固定端口接收到报文后，则从另一特定端口将该报文转送到OpenFlow交换机中，根据SDN控制器预先配置好的OpenFlow交换机，匹配OpenFlow交换机流表中的流表项。
若通过工业以太网交换机转送到OpenFlow交换机中报文的源IP、目的IP和Ingress端口与流表项中的任何一项都不匹配，视该报文为非法报文，并将该报文丢到丢弃箱中；若通过工业以太网交换机转送到OpenFlow交换机中报文的源IP、目的IP和Ingress端口与流表项中的任一项匹配，视该报文为合法报文，并将该报文的源IP改为OpenFlow交换机的IP，再将修改后的报文重新送回到工业以太网交换机中。
与现有技术相比，本发明的有益效果在于：
1、本发明针对电力通信网络中交换机报文的安全控制处理，引入SDN技术，并基于OpenFlow协议通过SDN控制器控制OpenFlow交换机流表中的流表项，从而有效地实现了交换机报文安全的集中控制处理。
2、本发明在对报文进行清洗后，将合法报文的源IP修改为OpenFlow交换机的IP，防止交换机再将此报文送回来，避免形成环。
附图说明
图1是本发明实施例中基于OpenFlow协议的OpenFlow交换机报文安全监控方法流程图；
图2是本发明实施例中基于OpenFlow协议的网络架构示意图；
图3是本发明实施例中基于OpenFlow协议的网络应用拓扑图。
具体实施方式
下面结合附图对本发明作进一步详细说明。
本发明通过SDN控制器集中控制发送到工业以太网交换机中的报文，并基于OpenFlow交换机流表中的流表项，控制传送到交换机上的报文，将那些非法报文丢弃，同时将过滤后的合法报文传送到汇聚层交换机中。该方法可以快速、集中、有效地控制接入层报文的输入，并有效提高了报文传输的安全性，在创建一个更加动态、灵活、自动化、可管理的网络的同时，还创建了能够满足特定性能和安全的私有网络。
如图1，本发明提供一种基于OpenFlow协议的OpenFlow交换机报文安全监控方法，引入了OpenFlow技术，通过SDN控制器集中控制工业以太网交换机中的报文，滤掉所述报文中的非法报文，有效地实现了报文安全的集中控制及处理。具体包括以下步骤：
步骤1：SDN控制器通过OpenFlow协议与OpenFlow交换机进行交互，按照规则定义流表项；
步骤2：将通过工业以太网交换机的报文转送到OpenFlow交换机中，匹配OpenFlow交换机流表中的流表项；
步骤3：工业以太网交换机将被修改过源IP的报文传送到汇聚层，完成报文从接入层到汇聚层的安全控制处理。
所述步骤1中，按规则定义OpenFlow交换机流表中的流表项，包括设置流表项包头域中的源IP、目的IP和Ingress端口，以及设置流表项中相应的行动(Action)。
所述步骤2中，当工业以太网交换机的某一固定端口接收到报文后，则从另一特定端口将该报文转送到OpenFlow交换机中，根据SDN控制器预先配置好的OpenFlow交换机，匹配OpenFlow交换机流表中的流表项。
若通过工业以太网交换机转送到OpenFlow交换机中报文的源IP、目的IP和Ingress端口与流表项中的任何一项都不匹配，视该报文为非法报文，并将该报文丢到丢弃箱中；若通过工业以太网交换机转送到OpenFlow交换机中报文的源IP、目的IP和Ingress端口与流表项中的任一项匹配，视该报文为合法报文，并将该报文的源IP改为OpenFlow交换机的IP，再将修改后的报文重新送回到工业以太网交换机中。修改报文的源IP的目的是防止工业以太网交换机再将该合法报文送回到OpenFlow交换机中，形成环，造成不必要的网络拥塞。
最后应当说明的是：以上实施例仅用以说明本发明的技术方案而非对其限制，所属领域的普通技术人员参照上述实施例依然可以对本发明的具体实施方式进行修改或者等同替换，这些未脱离本发明精神和范围的任何修改或者等同替换，均在申请待批的本发明的权利要求保护范围之内。

资源描述

《一种基于OPENFLOW协议的OPENFLOW交换机报文安全监控方法.pdf》由会员分享，可在线阅读，更多相关《一种基于OPENFLOW协议的OPENFLOW交换机报文安全监控方法.pdf（7页珍藏版）》请在专利查询网上搜索。

1、10申请公布号CN104202322A43申请公布日20141210CN104202322A21申请号201410447226622申请日20140904H04L29/0620060171申请人国家电网公司地址100031北京市西城区西长安街86号申请人中国电力科学研究院国网上海市电力公司72发明人孙晓艳张增华吴军民张刚黄辉黄在朝于海虞跃姚启桂黄治王向群李春龙喻强任杰陈伟于鹏飞刘川吴鹏陈磊陶静邓辉王玮沈文74专利代理机构北京安博达知识产权代理有限公司11271代理人徐国文54发明名称一种基于OPENFLOW协议的OPENFLOW交换机报文安全监控方法57摘要本发明提供一种基于OPENFLOW协。

2、议的OPENFLOW交换机报文安全监控方法，包括以下步骤SDN控制器通过OPENFLOW协议与OPENFLOW交换机进行交互，按照规则定义流表项；将通过工业以太网交换机的报文转送到OPENFLOW交换机中，匹配OPENFLOW交换机流表中的流表项；工业以太网交换机将被修改过源IP的报文传送到汇聚层，完成报文从接入层到汇聚层的安全控制处理。本发明基于OPENFLOW协议中的流表指定的匹配字段，利用OPENFLOW交换机的清洗功能，将发往工业以太网交换机的非法报文丢掉，把合法报文重新送回交换机，实现一种集中式控制的报文检测，以保证电力系统中从接入层到汇聚层报文传输的安全可靠性。51INTCL权利要。

3、求书1页说明书3页附图2页19中华人民共和国国家知识产权局12发明专利申请权利要求书1页说明书3页附图2页10申请公布号CN104202322ACN104202322A1/1页21一种基于OPENFLOW协议的OPENFLOW交换机报文安全监控方法，其特征在于所述方法具体包括以下步骤步骤1SDN控制器通过OPENFLOW协议与OPENFLOW交换机进行交互，按照规则定义流表项；步骤2将通过工业以太网交换机的报文转送到OPENFLOW交换机中，匹配OPENFLOW交换机流表中的流表项；步骤3工业以太网交换机将被修改过源IP的报文传送到汇聚层，完成报文从接入层到汇聚层的安全控制处理。2根据权利要求。

4、1所述的基于OPENFLOW协议的OPENFLOW交换机报文安全监控方法，其特征在于所述步骤1中，按规则定义OPENFLOW交换机流表中的流表项，包括设置流表项包头域中的源IP、目的IP和INGRESS端口，以及设置流表项中相应的行动。3根据权利要求1所述的基于OPENFLOW协议的OPENFLOW交换机报文安全监控方法，其特征在于所述步骤2中，当工业以太网交换机的某一固定端口接收到报文后，则从另一特定端口将该报文转送到OPENFLOW交换机中，根据SDN控制器预先配置好的OPENFLOW交换机，匹配OPENFLOW交换机流表中的流表项。4根据权利要求3所述的基于OPENFLOW协议的OPEN。

5、FLOW交换机报文安全监控方法，其特征在于若通过工业以太网交换机转送到OPENFLOW交换机中报文的源IP、目的IP和INGRESS端口与流表项中的任何一项都不匹配，视该报文为非法报文，并将该报文丢到丢弃箱中；若通过工业以太网交换机转送到OPENFLOW交换机中报文的源IP、目的IP和INGRESS端口与流表项中的任一项匹配，视该报文为合法报文，并将该报文的源IP改为OPENFLOW交换机的IP，再将修改后的报文重新送回到工业以太网交换机中。权利要求书CN104202322A1/3页3一种基于OPENFLOW协议的OPENFLOW交换机报文安全监控方法技术领域0001本发明属于电力系统通信技术。

6、领域，具体涉及一种基于OPENFLOW协议的OPENFLOW交换机报文安全监控方法。背景技术0002SDN作为一种新型的网络技术，其控制平面与数据转发平面分离的思想，正符合信息网络中对信息高度可控性的要求。SDN将原来与单独的网络设备紧紧绑定在一起的控制面板迁移到一个中央控制器上，负责监控管理整个网络。控制平面与转发平面的分离在极大程度上简化了网络的设计和运行，同时也能够简化网络设备，因为它不再需要了解和处理各种各样的协议，只需接受来自SDN控制器的指令即可。0003目前，接入层的目的是将终端节点设备连接到网络，因此，它需要支持端口安全功能、VLAN、快速以太网/千兆以太网、POE和链路聚合等。

7、功能。其中，端口安全功能决定允许多少设备或哪些设备连接到交换机，因此，接入层的端口安全功能是保护网络的第一道重要防线。发明内容0004为了克服上述现有技术的不足，本发明提供一种基于OPENFLOW协议的OPENFLOW交换机报文安全监控方法，基于OPENFLOW协议中的流表指定的匹配字段，利用OPENFLOW交换机的清洗功能，将发往工业以太网交换机的非法报文丢掉，把合法报文重新送回交换机，实现一种集中式控制的报文检测，以保证电力系统中从接入层到汇聚层报文传输的安全可靠性。0005为了实现上述发明目的，本发明采取如下技术方案0006本发明提供一种基于OPENFLOW协议的OPENFLOW交换机报。

8、文安全监控方法，所述方法具体包括以下步骤0007步骤1SDN控制器通过OPENFLOW协议与OPENFLOW交换机进行交互，按照规则定义流表项；0008步骤2将通过工业以太网交换机的报文转送到OPENFLOW交换机中，匹配OPENFLOW交换机流表中的流表项；0009步骤3工业以太网交换机将被修改过源IP的报文传送到汇聚层，完成报文从接入层到汇聚层的安全控制处理。0010所述步骤1中，按规则定义OPENFLOW交换机流表中的流表项，包括设置流表项包头域中的源IP、目的IP和INGRESS端口，以及设置流表项中相应的行动。0011所述步骤2中，当工业以太网交换机的某一固定端口接收到报文后，则从另。

9、一特定端口将该报文转送到OPENFLOW交换机中，根据SDN控制器预先配置好的OPENFLOW交换机，匹配OPENFLOW交换机流表中的流表项。说明书CN104202322A2/3页40012若通过工业以太网交换机转送到OPENFLOW交换机中报文的源IP、目的IP和INGRESS端口与流表项中的任何一项都不匹配，视该报文为非法报文，并将该报文丢到丢弃箱中；若通过工业以太网交换机转送到OPENFLOW交换机中报文的源IP、目的IP和INGRESS端口与流表项中的任一项匹配，视该报文为合法报文，并将该报文的源IP改为OPENFLOW交换机的IP，再将修改后的报文重新送回到工业以太网交换机中。00。

10、13与现有技术相比，本发明的有益效果在于00141、本发明针对电力通信网络中交换机报文的安全控制处理，引入SDN技术，并基于OPENFLOW协议通过SDN控制器控制OPENFLOW交换机流表中的流表项，从而有效地实现了交换机报文安全的集中控制处理。00152、本发明在对报文进行清洗后，将合法报文的源IP修改为OPENFLOW交换机的IP，防止交换机再将此报文送回来，避免形成环。附图说明0016图1是本发明实施例中基于OPENFLOW协议的OPENFLOW交换机报文安全监控方法流程图；0017图2是本发明实施例中基于OPENFLOW协议的网络架构示意图；0018图3是本发明实施例中基于OPENF。

11、LOW协议的网络应用拓扑图。具体实施方式0019下面结合附图对本发明作进一步详细说明。0020本发明通过SDN控制器集中控制发送到工业以太网交换机中的报文，并基于OPENFLOW交换机流表中的流表项，控制传送到交换机上的报文，将那些非法报文丢弃，同时将过滤后的合法报文传送到汇聚层交换机中。该方法可以快速、集中、有效地控制接入层报文的输入，并有效提高了报文传输的安全性，在创建一个更加动态、灵活、自动化、可管理的网络的同时，还创建了能够满足特定性能和安全的私有网络。0021如图1，本发明提供一种基于OPENFLOW协议的OPENFLOW交换机报文安全监控方法，引入了OPENFLOW技术，通过SDN。

12、控制器集中控制工业以太网交换机中的报文，滤掉所述报文中的非法报文，有效地实现了报文安全的集中控制及处理。具体包括以下步骤0022步骤1SDN控制器通过OPENFLOW协议与OPENFLOW交换机进行交互，按照规则定义流表项；0023步骤2将通过工业以太网交换机的报文转送到OPENFLOW交换机中，匹配OPENFLOW交换机流表中的流表项；0024步骤3工业以太网交换机将被修改过源IP的报文传送到汇聚层，完成报文从接入层到汇聚层的安全控制处理。0025所述步骤1中，按规则定义OPENFLOW交换机流表中的流表项，包括设置流表项包头域中的源IP、目的IP和INGRESS端口，以及设置流表项中相应的。

13、行动ACTION。0026所述步骤2中，当工业以太网交换机的某一固定端口接收到报文后，则从另一特定端口将该报文转送到OPENFLOW交换机中，根据SDN控制器预先配置好的OPENFLOW交换机，匹配OPENFLOW交换机流表中的流表项。说明书CN104202322A3/3页50027若通过工业以太网交换机转送到OPENFLOW交换机中报文的源IP、目的IP和INGRESS端口与流表项中的任何一项都不匹配，视该报文为非法报文，并将该报文丢到丢弃箱中；若通过工业以太网交换机转送到OPENFLOW交换机中报文的源IP、目的IP和INGRESS端口与流表项中的任一项匹配，视该报文为合法报文，并将该报文的源IP改为OPENFLOW交换机的IP，再将修改后的报文重新送回到工业以太网交换机中。修改报文的源IP的目的是防止工业以太网交换机再将该合法报文送回到OPENFLOW交换机中，形成环，造成不必要的网络拥塞。0028最后应当说明的是以上实施例仅用以说明本发明的技术方案而非对其限制，所属领域的普通技术人员参照上述实施例依然可以对本发明的具体实施方式进行修改或者等同替换，这些未脱离本发明精神和范围的任何修改或者等同替换，均在申请待批的本发明的权利要求保护范围之内。说明书CN104202322A1/2页6图1说明书附图CN104202322A2/2页7图2图3说明书附图CN104202322A。

展开阅读全文