CN109921944B - 用于工业互联网的网络边界控制方法及装置 - Google Patents
用于工业互联网的网络边界控制方法及装置 Download PDFInfo
- Publication number
- CN109921944B CN109921944B CN201910217190.5A CN201910217190A CN109921944B CN 109921944 B CN109921944 B CN 109921944B CN 201910217190 A CN201910217190 A CN 201910217190A CN 109921944 B CN109921944 B CN 109921944B
- Authority
- CN
- China
- Prior art keywords
- network
- acl
- module
- aaa
- wan
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明涉及一种用于工业互联网的网络边界控制方法及装置,包括一种基于SD‑WAN的网络边界控制装置,还提出一种基于SD‑WAN的网络边界控制方法,能够实现对工业互联网中工业控制设备、网络通信设备、智能终端设备等异构设备集中式管理,对工业互联网络拓扑中数据中心网络、云服务网络、企业园区网络、移动办公网络等复杂网络节点、链路和拓扑智能化计算,对工业互联网络中用户身份认证、设备安全接入、流量路由转发等网络边界细粒度控制。
Description
技术领域
本发明涉及互联网领域,具体为一种用于工业互联网的网络边界控制方法及装置。
背景技术
随着互联网+、物联网、人工智能等高新信息技术的发展,我国工业领域发展正走向信息化、自动化、智能化的发展道路。与此同时,万物互联带来了更多的安全隐患,较传统的互联网安全问题而言,工业互联网的安全、隐私、边界问题往往带来巨大经济损失和社会危害。
现有的工业互联网安全解决方案主要集中在四个方面。在违规外联工控设备检测方面,研究工作围绕网络空间***设备探测和网络空间测量两方面展开,前者主要基于混合UDP、TCP、ACK扫描方式实现对PLC设备探测,后者则主要采用计算机网络拓扑探测方法实现对工业互联网的测绘。在工控***检测与专网流量监测方面,主要集中在针对***漏洞挖掘与检测,以及针对网络协议验证和监测。在物联网安全检测方面,研究工作主要分为节点安全防护方法及恶意行为检测方法的研究。综上,现有工作在工业网络测量、工业流量审计及工业***取证漏洞挖掘及检测等方面的研究取得了阶段性的进展,但针对工业控制***及新型技术支撑平台等安全通信、网络互联安全保障问题,国内外研究才刚刚起步。
针对工业互联网异构网络设备的复杂认证、违规接入、非法访问等网络安全与权限隐私问题,本发明提出了一种用于工业互联网的网络边界控制方法及装置,涉及基于软件定义广域网的网络边界控制架构、软件定义安全控制器装置和边缘网关装置,基于SDS思想的集中式控制器管理Underlay网络设备验证、授权和计费的统一认证策略、Underlay网络设备及用户的接入控制列表和Overlay网络服务的虚拟路由转发规则,实现对工业互联网异构网络设备的可信认证、可靠接入和可控路由等网络边界控制。
发明内容
本发明的目的在于提供一种用于工业互联网的网络边界控制方法及装置,以解决上述背景技术中提出的问题;针对工业互联网异构网络设备的复杂认证、违规接入、非法访问等网络安全与权限隐私问题,本发明提出一种基于SD-WAN的网络边界控制方法,基于SDS思想采用集中式控制器方案管理Underlay网络设备的统一认证,控制Underlay网络设备及用户的可靠接入,保证Overlay网络服务的可控路由,实现对工业互联网异构网络设备的可信认证、可靠接入和可控路由等网络边界控制。
为实现上述目的,本发明提供如下技术方案:一种基于SD-WAN的网络边界控制装置,包括SDS控制器装置和边缘网关装置,所述SDS控制器装置包括第一控制通道模块、服务抽象层、AAA计算模块、ACL计算模块、VRF计算模块和REST驱动接口;
第一控制通道模块:与边缘网关装置建立基于OpenFlow协议的通信连接;
服务抽象层:北向AAA计算模块、ACL计算模块、VRF计算模块提供动态链接加载,南向控制通道模块提供OpenFlow协议;
REST驱动接口:提供基于HTTP协议的RPC API;
所述边缘网关装置包括第二控制通道模块、数据通道模块、Overlay协议驱动接口和AAA匹配模块、ACL匹配模块和VRF匹配模块;
第二控制通道模块:与控制器装置建立基于OpenFlow协议的通信连接;
数据通道模块:与边缘网关建立基于Overlay的安全隧道用于实现边缘网关装置的跨域网络互联和安全可靠通信;
Overlay协议驱动接口:对待发送和接收到的报文进行预处理;
AAA匹配模块和VRF匹配模块:分别根据控制器下发的AAA规则和VRF规则对Overlay流量匹配,进行统一认证和路由转发,若未匹配规则,则将流量转发至控制器ACL计算模块和VRF计算模块进一步决策。
本发明还涉及一种基于SD-WAN的网络边界控制方法,适用于工业互联网异构网络设备,所述方法用于管理Underlay网络设备的统一认证,控制Underlay网络设备及用户的可靠接入,保证Overlay网络服务的可控路由,包括:
Underlay数据平面:由与互联网连通的边缘网关组成,均位于SD-WAN网络边缘位置,经过基本网络配置接入互联网,并保持与SD-WAN控制器的控制通道长连接;
Overlay数据平面:由边缘网关提供覆盖网络服务,通过SD-WAN提供的OTT服务将工业企业总部、工业企业分支与工业企业数据中心的网络通信限制打通,实现基于Overlay安全隧道的互联互通;
控制平面:控制器对管理服务分发的AAA规则、ACL规则与VRF规则入库、编排、计算、下发、跟踪并周期性检测WAN边缘网关的安全规则状态;
管理平面:管理服务根据REST驱动接口定义标准,获取WAN网络拓扑和安全规则的全局视图。
进一步的,所述方法包括一种面向Underlay的统一认证管理方法,采用AAA本地缓存和SDS控制端相结合,其步骤如下:
(1)边缘网关设备AAA匹配模块识别包含多维属性的认证流量并提取关键属性序列P;
(2)AAA匹配模块将属性序列P与预加载于前缀树内存机构之中的AAA本地缓存比较,并返回结果;
(3)若匹配到本地缓存的一条记录,则转步骤(4);否则,转(5);
(4)返回认证成功结果;
(5)AAA匹配模块将属性序列P通过OpenFlow控制通道发送至控制器AAA分类模块;
(6)AAA分类模块识别属性序列是验证、授权、计费任意一种的服务请求;
(7)RADIUS客户端根据步骤(6)识别的服务请求,计算并封装RADIUS协议请求报文;
(8)RADIUS服务端解析收到的请求报文,并根据请求的服务类型查询AAA数据库;
(9)RADIUS服务端根据数据库查询结果,封装RADIUS响应报文,并发至RADIUS客户端;
(10)RADIUS客户端解析RADIUS响应报文,并将服务请求结果反馈至AAA分类模块;
(11)AAA分类模块通过OpenFlow控制通道将属性序列P的认证结果反馈至AAA匹配模块;
(12)若认证成功,则转步骤(13);否则,转步骤(14);
(13)AAA匹配模块将认证成功的结果加载至AAA本地缓存;
(14)AAA匹配模块返回认证结果至发起认证请求的网络设备。
进一步的,所述方法还包括一种面向Underlay的网络接入控制方法,该方法包括ACL匹配模块和ACL计算模块;
ACL匹配模块:基于压缩前缀树存储ACL规则,包括匹配域、优先级、计数器和动作四个属性;
ACL计算模块:基于分布式哈希表存储各边缘网关的ACL规则子集,包括上述ACL规则属性,还包括用于标识所属边缘网关设备的分布式哈希索引DHTID。
进一步的,所述匹配域包含源网络地址/掩码、源端口/端口区间、目的网络地址/掩码、目的端口/端口区间、网络协议、时间/时间区间属性;
所述优先级包含{P1,P2,···,Pn}在内的n个等级,支持用户按需定义;
所述动作包含允许和丢弃。
进一步的,所述的一种面向Underlay的网络接入控制方法,其步骤如下:
A.ACL匹配模块对流入边缘网关装置报文的特征匹配域Fi进行提取;
B.ACL匹配模块在本地ACL规则缓存中基于压缩前缀树搜索算法查找是否存在一个规则的匹配域和Fi相等;若存在,则允许该报文流入;否则,转C;
C.ACL匹配模块将该报文的特征匹配域上传至控制器ACL计算模块;
D.ACL计算模块先根据边缘网关装置的网络地址、端口和设备ID计算哈希值,查找DHTID等于该哈希值的ACL规则子集,再根据特征匹配域的六元组计算哈希值,查找属于该报文的ACL规则;
E.ACL计算模块将规则查询结果反馈至ACL匹配模块,若查询到一条ACL规则记录Rn+1,则将***本地ACL规则缓存,并根据该记录动作属性决定允许或丢弃该数据包;否则,直接丢弃该数据包并断开当前网络连接。
进一步的,所述方法还包括一种面向Overlay的虚拟路由转发方法,由控制器VRF计算模块集中控制Overlay网络拓扑域内/域间路由转发,对边缘网关VRF匹配模块加载的本地VRF规则缓存进行增删改查。
进一步的,所述控制器VRF规则由SD-WAN管理服务定义,以规则ID、流量特征FLOW和通信路径PATH三元组属性组;
进一步的,所述流量特征FLOW包括能够唯一标识一条流的五元组信息;所述通信路径PATH由从源主机到目的主机的节点集合组成。
与现有技术相比,本发明的有益效果是:
本发明提出的用于工业互联网的网络边界控制在方法能够实现对工业互联网中工业控制设备、网络通信设备、智能终端设备等异构设备集中式管理,对工业互联网络拓扑中数据中心网络、云服务网络、企业园区网络、移动办公网络等复杂网络节点、链路和拓扑智能化计算,对工业互联网络中用户身份认证、设备安全接入、流量路由转发等网络边界细粒度控制。应用后会有显著效果,比如该发明支持:工业分支企业数据共享;工业设备及控制***数据上云;智能设备远程接入维护工业设备。
附图说明
图1为本发明基于SD-WAN的网络边界控制架构;
图2为本发明涉及的控制器装置和边缘网关装置设计图;
图3为本发明面向Underlay的统一认证管理方法流程示意图;
图4为本发明面向Underlay的网路接入控制方法流程示意图;
图5为本发明面向Overlay的虚拟路由转发方法流程示意图;
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本发明提供一种技术方案:
如图2所示,一种基于SD-WAN的网络边界控制装置,包括SDS控制器装置和边缘网关装置,所述SDS控制器装置包括第一控制通道模块、服务抽象层、AAA计算模块、ACL计算模块、VRF计算模块和REST驱动接口;
第一控制通道模块:与边缘网关装置建立基于OpenFlow协议的通信连接;
服务抽象层:北向AAA计算模块、ACL计算模块、VRF计算模块提供动态链接加载,南向控制通道模块提供OpenFlow协议;
REST驱动接口:提供基于HTTP协议的RPC API,简化了管理平面与控制平面之间通信的数据格式;
所述边缘网关装置包括第二控制通道模块、数据通道模块、Overlay协议驱动接口和AAA匹配模块、ACL匹配模块和VRF匹配模块;
第二控制通道模块:与控制器装置建立基于OpenFlow协议的通信连接;
数据通道模块:与边缘网关建立基于Overlay的安全隧道用于实现边缘网关装置的跨域网络互联和安全可靠通信;
Overlay协议驱动接口:对待发送和接收到的报文进行预处理,具体而言,对于待发送的报文,该接口对报文进行加密,封装Overlay报文首部后使用套接字发送Overlay报文至目的地;对于接收到的报文,该接口对Overlay报文首部进行校验和解析,验证完整性后对Overlay报文负载解密,并将明文原始报文转交至上层AAA匹配模块和VRF匹配模块;
AAA匹配模块和VRF匹配模块:分别根据控制器下发的AAA规则和VRF规则对Overlay流量匹配,进行统一认证(验证、授权、计费)和路由转发,若未匹配规则,则将流量转发至控制器ACL计算模块和VRF计算模块进一步决策。
本发明还涉及一种基于SD-WAN的网络边界控制方法,适用于工业互联网异构网络设备,所述方法用于管理Underlay网络设备的统一认证,控制Underlay网络设备及用户的可靠接入,保证Overlay网络服务的可控路由,如图1所示,为该基于SD-WAN的网络边界控制架构;
Underlay数据平面:由与互联网连通的边缘网关组成,均位于SD-WAN网络边缘位置,经过基本网络配置接入互联网,并保持与SD-WAN控制器的控制通道长连接,具体而言,Underlay边缘网关需要根据控制器下发的AAA规则和ACL规则分别进行设备身份认证和流量接入控制。
Overlay数据平面:由边缘网关提供覆盖网络服务,通过SD-WAN提供的OTT服务将工业企业总部、工业企业分支与工业企业数据中心的网络通信限制打通,实现基于Overlay安全隧道的互联互通,其中,边缘网关Overlay服务需根据控制器下发的VRF规则进行路由转发。
控制平面:控制器对管理服务分发的AAA规则、ACL规则与VRF规则入库、编排、计算、下发、跟踪并周期性检测WAN边缘网关的安全规则状态;
管理平面:管理服务根据REST驱动接口定义标准,获取WAN网络拓扑和安全规则的全局视图,按需配置AAA规则、ACL规则、VRF规则等网络安全规则,并下发至控制器进一步编排和计算。
所述方法包括一种面向Underlay的统一认证管理方法,综合考虑了工业互联网用户、设备、网络等多个方面,涵盖用户名、口令、设备ID、设备名称、***版本、网络接入归属地、网络接入时间、网络接入服务器等多维属性,采用AAA本地缓存和SDS控制端相结合,图3为面向Underlay的统一认证管理方法流程示意图,其整体流程如下:
(1)边缘网关设备AAA匹配模块识别包含多维属性的认证流量并提取关键属性序列P;
(2)AAA匹配模块将属性序列P与预加载于前缀树内存机构之中的AAA本地缓存比较,并返回结果;
(3)若匹配到本地缓存的一条记录,则转步骤(4);否则,转(5);
(4)返回认证成功结果;
(5)AAA匹配模块将属性序列P通过OpenFlow控制通道发送至控制器AAA分类模块;
(6)AAA分类模块识别属性序列是验证、授权、计费任意一种的服务请求;
(7)RADIUS客户端根据步骤(6)识别的服务请求,计算并封装RADIUS协议请求报文;
(8)RADIUS服务端解析收到的请求报文,并根据请求的服务类型查询AAA数据库;
(9)RADIUS服务端根据数据库查询结果,封装RADIUS响应报文,并发至RADIUS客户端;
(10)RADIUS客户端解析RADIUS响应报文,并将服务请求结果反馈至AAA分类模块;
(11)AAA分类模块通过OpenFlow控制通道将属性序列P的认证结果反馈至AAA匹配模块;
(12)若认证成功,则转步骤(13);否则,转步骤(14);
(13)AAA匹配模块将认证成功的结果加载至AAA本地缓存;
(14)AAA匹配模块返回认证结果至发起认证请求的网络设备。
具体而言,上述流程和示意仅给出了基于AAA的统一认证管理方法中的验证流程,授权流程涉及管理平面和控制平面,通过管理平面REST接口将AAA规则写入AAA数据库;计费流程则与认证流程比较类似,在网络设备断开连接后,将连接信息通过AAA匹配模块、AAA计算模块写入AAA数据。授权与计费流程相对简单,因此不做过多赘述。
进一步的,所述方法还包括一种面向Underlay的网络接入控制方法,该方法包括ACL匹配模块和ACL计算模块;
ACL匹配模块:基于压缩前缀树存储ACL规则,包括匹配域、优先级、计数器和动作四个属性;
ACL计算模块:基于分布式哈希表存储各边缘网关的ACL规则子集,包括上述ACL规则属性,还包括用于标识所属边缘网关设备的分布式哈希索引DHTID。
进一步的,所述匹配域包含源网络地址/掩码、源端口/端口区间、目的网络地址/掩码、目的端口/端口区间、网络协议、时间/时间区间属性;
所述优先级包含{P1,P2,···,Pn}在内的n个等级,支持用户按需定义;
所述动作包含允许和丢弃。
如图4所示,给出了对于任意流量特征匹配域Fi,ACL匹配模块的本地查找和ACL计算模块的远端查找方法,其整体流程如下:
A.ACL匹配模块对流入边缘网关装置报文的特征匹配域Fi进行提取;
B.ACL匹配模块在本地ACL规则缓存中基于压缩前缀树搜索算法查找是否存在一个规则的匹配域和Fi相等;若存在,则允许该报文流入;否则,转C;
C.ACL匹配模块将该报文的特征匹配域上传至控制器ACL计算模块;
D.ACL计算模块先根据边缘网关装置的网络地址、端口和设备ID计算哈希值,查找DHTID等于该哈希值的ACL规则子集,再根据特征匹配域的六元组计算哈希值,查找属于该报文的ACL规则;
E.ACL计算模块将规则查询结果反馈至ACL匹配模块,若查询到一条ACL规则记录Rn+1,则将***本地ACL规则缓存,并根据该记录动作属性决定允许或丢弃该数据包;否则,直接丢弃该数据包并断开当前网络连接。
所述方法还包括一种面向Overlay的虚拟路由转发方法,由控制器VRF计算模块集中控制Overlay网络拓扑域内/域间路由转发,对边缘网关VRF匹配模块加载的本地VRF规则缓存进行增删改查,如图5所示,给出了集中式虚拟路由转发控制方法的基本原理和路由规则存储方法。
具体而言,所述控制器VRF规则由SD-WAN管理服务定义,以规则ID、流量特征FLOW和通信路径PATH三元组属性组;
进一步的,所述流量特征FLOW包括能够唯一标识一条流的五元组信息(源网络地址,源端口,目的网络地址,目的端口,协议);所述通信路径PATH由从源主机到目的主机的节点集合组成,边缘网关本地VRF规则缓存为控制器下发的VRF规则集合,以最长前缀匹配(Longest Prefix Match,LPM)算法对网络流量进行实时匹配,未能匹配的网络流量需经控制通道上传至控制器进一步决策,该流程与ACL规则查找过程类似,故不再赘述。借助控制器对WAN网络拓扑和Overlay虚拟路由转发规则的集中式控制,网络管理员能够高效地管理复杂网络、异构设备互联互通的访问边界。
利用本发明提出的基于SD-WAN工业互联网边界控制方法能够实现工业分支企业数据共享、工业设备及控制***数据上云、智能设备远程接入维护工业设备等工业互联互通网络环境的可信认证、可靠接入和可控路由,提供工业设备、工业***、网络设备、智能终端的集中式、细粒度、统一化管理平台及服务。
尽管已经示出和描述了本发明的实施例,对于本领域的普通技术人员而言,可以理解在不脱离本发明的原理和精神的情况下可以对这些实施例进行多种变化、修改、替换和变型,本发明的范围由所附权利要求及其等同物限定。
Claims (8)
1.一种基于SD-WAN的网络边界控制装置,包括SDS控制器装置和边缘网关装置,其特征在于:
所述SDS控制器装置包括第一控制通道模块、服务抽象层、AAA计算模块、ACL计算模块、VRF计算模块和REST驱动接口;
第一控制通道模块:与边缘网关装置建立基于OpenFlow协议的通信连接;
服务抽象层:北向AAA计算模块、ACL计算模块、VRF计算模块提供动态链接加载,南向控制通道模块提供OpenFlow协议;
REST驱动接口:提供基于HTTP协议的RPC API;
所述边缘网关装置包括第二控制通道模块、数据通道模块、Overlay协议驱动接口和AAA匹配模块、ACL匹配模块和VRF匹配模块;
第二控制通道模块:与控制器装置建立基于OpenFlow协议的通信连接;
数据通道模块:与边缘网关建立基于Overlay的安全隧道用于实现边缘网关装置的跨域网络互联和安全可靠通信;
Overlay协议驱动接口:对待发送和接收到的报文进行预处理;
AAA匹配模块和VRF匹配模块:分别根据控制器下发的AAA规则和VRF规则对Overlay流量匹配,进行统一认证和路由转发,若未匹配规则,则将流量转发至控制器ACL计算模块和VRF计算模块进一步决策。
2.一种基于SD-WAN的网络边界控制方法,适用于工业互联网异构网络设备,其特征在于,所述方法用于管理Underlay网络设备的统一认证,控制Underlay网络设备及用户的可靠接入,保证Overlay网络服务的可控路由,包括:
Underlay数据平面:由与互联网连通的边缘网关组成,均位于SD-WAN网络边缘位置,经过基本网络配置接入互联网,并保持与SD-WAN控制器的控制通道长连接;
Overlay数据平面:由边缘网关提供覆盖网络服务,通过SD-WAN提供的OTT服务将工业企业总部、工业企业分支与工业企业数据中心的网络通信限制打通,实现基于Overlay安全隧道的互联互通;
控制平面:控制器对管理服务分发的AAA规则、ACL规则与VRF规则入库、编排、计算、下发、跟踪并周期性检测WAN边缘网关的安全规则状态;
管理平面:管理服务根据REST驱动接口定义标准,获取WAN网络拓扑和安全规则的全局视图;
所述方法包括一种面向Underlay的统一认证管理方法,采用AAA本地缓存和SDS控制端相结合,其步骤如下:
(1)边缘网关设备AAA匹配模块识别包含多维属性的认证流量并提取关键属性序列P;
(2)AAA匹配模块将属性序列P与预加载于前缀树内存机构之中的AAA本地缓存比较,并返回结果;
(3)若匹配到本地缓存的一条记录,则转步骤(4);否则,转(5);
(4)返回认证成功结果;
(5)AAA匹配模块将属性序列P通过OpenFlow控制通道发送至控制器AAA分类模块;
(6)AAA分类模块识别属性序列是验证、授权、计费任意一种的服务请求;
(7)RADIUS客户端根据步骤(6)识别的服务请求,计算并封装RADIUS协议请求报文;
(8)RADIUS服务端解析收到的请求报文,并根据请求的服务类型查询AAA数据库;
(9)RADIUS服务端根据数据库查询结果,封装RADIUS响应报文,并发至RADIUS客户端;
(10)RADIUS客户端解析RADIUS响应报文,并将服务请求结果反馈至AAA分类模块;
(11)AAA分类模块通过OpenFlow控制通道将属性序列P的认证结果反馈至AAA匹配模块;
(12)若认证成功,则转步骤(13);否则,转步骤(14);
(13)AAA匹配模块将认证成功的结果加载至AAA本地缓存;
(14)AAA匹配模块返回认证结果至发起认证请求的网络设备。
3.根据权利要求2所述的一种基于SD-WAN的网络边界控制方法,其特征在于,所述方法还包括一种面向Underlay的网络接入控制方法,该方法包括ACL匹配模块和ACL计算模块;
ACL匹配模块:基于压缩前缀树存储ACL规则,包括匹配域、优先级、计数器和动作四个属性;
ACL计算模块:基于分布式哈希表存储各边缘网关的ACL规则子集,包括上述ACL规则属性,还包括用于标识所属边缘网关设备的分布式哈希索引DHTID。
4.根据权利要求3所述的一种基于SD-WAN的网络边界控制方法,其特征在于,所述匹配域包含源网络地址/掩码、源端口/端口区间、目的网络地址/掩码、目的端口/端口区间、网络协议、时间/时间区间属性;
所述优先级包含{P 1 , P 2 , ···, P n }在内的n个等级,支持用户按需定义;
所述动作包含允许和丢弃。
5.根据权利要求3所述的一种基于SD-WAN的网络边界控制方法,其特征在于,所述的一种面向Underlay的网络接入控制方法,其步骤如下:
A.ACL匹配模块对流入边缘网关装置报文的特征匹配域F i 进行提取;
B.ACL匹配模块在本地ACL规则缓存中基于压缩前缀树搜索算法查找是否存在一个规则的匹配域和F i 相等;若存在,则允许该报文流入;否则,转C;
C.ACL匹配模块将该报文的特征匹配域上传至控制器ACL计算模块;
D.ACL计算模块先根据边缘网关装置的网络地址、端口和设备ID计算哈希值,查找DHTID等于该哈希值的ACL规则子集,再根据特征匹配域的六元组计算哈希值,查找属于该报文的ACL规则;
E.ACL计算模块将规则查询结果反馈至ACL匹配模块,若查询到一条ACL规则记录R n+1 ,则将***本地ACL规则缓存,并根据该记录动作属性决定允许或丢弃记录R n+1 ;否则,直接丢弃记录R n+1 并断开当前网络连接。
6.根据权利要求2所述的一种基于SD-WAN的网络边界控制方法,其特征在于,所述方法还包括一种面向Overlay的虚拟路由转发方法,由控制器VRF计算模块集中控制Overlay网络拓扑域内/域间路由转发,对边缘网关VRF匹配模块加载的本地VRF规则缓存进行增删改查。
7.根据权利要求6所述的一种基于SD-WAN的网络边界控制方法,其特征在于:所述控制器VRF规则由SD-WAN管理服务定义,以规则ID、流量特征FLOW和通信路径PATH三元组属性组。
8.根据权利要求7所述的一种基于SD-WAN的网络边界控制方法,其特征在于,所述流量特征FLOW包括能够唯一标识一条流的五元组信息;所述通信路径PATH由从源主机到目的主机的节点集合组成。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910217190.5A CN109921944B (zh) | 2019-03-21 | 2019-03-21 | 用于工业互联网的网络边界控制方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910217190.5A CN109921944B (zh) | 2019-03-21 | 2019-03-21 | 用于工业互联网的网络边界控制方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN109921944A CN109921944A (zh) | 2019-06-21 |
| CN109921944B true CN109921944B (zh) | 2021-12-14 |
Family
ID=66966146
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910217190.5A Active CN109921944B (zh) | 2019-03-21 | 2019-03-21 | 用于工业互联网的网络边界控制方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN109921944B (zh) |
Families Citing this family (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US11129023B2 (en) * | 2019-06-06 | 2021-09-21 | Cisco Technology, Inc. | Systems and methods for distributing SD-WAN policies |
| CN110769067B (zh) * | 2019-10-30 | 2020-08-04 | 任子行网络技术股份有限公司 | 一种基于sd-wan的工业互联网******及方法 |
| CN112214258B (zh) * | 2020-10-19 | 2022-08-16 | 中国信息通信研究院 | 基于软件定义广域网的端到端能力基准测试方法和装置 |
| CN114640626B (zh) * | 2020-12-01 | 2023-07-18 | 中国联合网络通信集团有限公司 | 一种基于软件定义广域网sd-wan的通信***和方法 |
| CN112910847B (zh) * | 2021-01-15 | 2023-04-07 | 北京开物数智科技有限公司 | 一种基于切片的工业网络安全实现方法 |
| CN113923159A (zh) * | 2021-08-24 | 2022-01-11 | 锦翰科技(深圳)有限公司 | 一种数据消息集中处理的方法 |
| CN115347935A (zh) * | 2022-06-29 | 2022-11-15 | 深圳市高德信通信股份有限公司 | 一种基于无人机IPv6化的传感数据接入传输***及方法 |
| CN115580468A (zh) * | 2022-09-30 | 2023-01-06 | 中通服和信科技有限公司 | 基于sdp和边缘计算的工业互联网安全***及方法 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104125569A (zh) * | 2013-04-28 | 2014-10-29 | 中兴通讯股份有限公司 | 一种通信管理方法及通信*** |
| CN105915550A (zh) * | 2015-11-25 | 2016-08-31 | 北京邮电大学 | 一种基于SDN的Portal/Radius认证方法 |
| CN106559382A (zh) * | 2015-09-25 | 2017-04-05 | 北京计算机技术及应用研究所 | 基于opc协议的安全网关防护***访问控制方法 |
| CN107547351A (zh) * | 2017-08-11 | 2018-01-05 | 新华三技术有限公司 | 地址分配方法和装置 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106411820B (zh) * | 2015-07-29 | 2019-05-21 | 中国科学院沈阳自动化研究所 | 一种基于sdn架构的工业通信流传输安全控制方法 |
-
2019
- 2019-03-21 CN CN201910217190.5A patent/CN109921944B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104125569A (zh) * | 2013-04-28 | 2014-10-29 | 中兴通讯股份有限公司 | 一种通信管理方法及通信*** |
| CN106559382A (zh) * | 2015-09-25 | 2017-04-05 | 北京计算机技术及应用研究所 | 基于opc协议的安全网关防护***访问控制方法 |
| CN105915550A (zh) * | 2015-11-25 | 2016-08-31 | 北京邮电大学 | 一种基于SDN的Portal/Radius认证方法 |
| CN107547351A (zh) * | 2017-08-11 | 2018-01-05 | 新华三技术有限公司 | 地址分配方法和装置 |
Non-Patent Citations (1)
| Title |
|---|
| 运营级SD-WAN解决方案浅谈;龚霞等;《2017广东通信青年论坛优秀论文集》;20170513;第99-103页第2-4节,图1-4 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN109921944A (zh) | 2019-06-21 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109921944B (zh) | 用于工业互联网的网络边界控制方法及装置 | |
| CN110351381B (zh) | 一种基于区块链的物联网可信分布式数据共享方法 | |
| US9379970B2 (en) | Selective content routing and storage protocol for information-centric network | |
| US12015666B2 (en) | Systems and methods for distributing partial data to subnetworks | |
| US10027761B2 (en) | Facilitating a secure 3 party network session by a network device | |
| CN111277543B (zh) | 信息同步方法、认证方法及装置 | |
| CN107395500B (zh) | 感知计算存储一体化的智能网络架构及实现方法 | |
| US9654445B2 (en) | Network traffic filtering and routing for threat analysis | |
| US20170374017A1 (en) | Verification of server name in a proxy device for connection requests made using domain names | |
| US20130329738A1 (en) | Communication system, data base, control apparatus, communication method, and program | |
| US20130239172A1 (en) | Communication control apparatus, system, method, and non-transitory computer readable medium storing program thereon | |
| US10735453B2 (en) | Network traffic filtering and routing for threat analysis | |
| CN101232500A (zh) | 进行端到端通信的网络*** | |
| CN105187380A (zh) | 一种安全访问方法及*** | |
| Anjum et al. | Towards named data networking technology: Emerging applications, use cases, and challenges for secure data communication | |
| Rawal et al. | The disintegration protocol: An ultimate technique for cloud data security | |
| CN114598698B (zh) | 一种数据传输方法、装置、电子设备及计算机存储介质 | |
| CN113709741A (zh) | 一种局域网的认证接入*** | |
| CN116074125B (zh) | 一种端到端的密码中台零信任安全网关*** | |
| Tourani et al. | Distributed data-gathering and-processing in smart cities: An information-centric approach | |
| CN112769670B (zh) | 一种vpn数据安全访问控制方法及*** | |
| CN115174955B (zh) | 基于未来网络的数字电影全国高速发行*** | |
| Gardasu et al. | A fog computing solution for advanced security, storage techniques for platform infrastructure | |
| Jahanian | The Role of Naming in Information-Centric Networks | |
| Rifat et al. | Blockchain-Based Controller Recovery and SDN Packet Filtering Scheme for Softwarized UAVs |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |