一、基于SDN的通信网络系统设计
SDN是电力通信数据网络发展形势下的一种新型网络结构,该技术能够通过分离网络控制和转发技术手段,加上编程技术,实现电力数据网络系统的控制。这种技术结构能够将通信网络系统中的控制层移植到外部设备,提高了底层基础结构的应用能力,增强了网络技术可用性。随着互联网应用的兴起,互联网用户的数量也随之大幅度的增长,接踵而来的是海量数据的产生,传统电网以IP架构的通信系统存在IP地址重叠、无法为用户提供等截面带宽和链路实际利用率低等问题。现有技术中的SDN技术虽然在一定程度上能够解决上述技术问题,但是该技术充分利用数据中心物理网络资源,将其内的资源数据进行不同程度地虚拟化。将单个数据中心的网络容量组合成统一的网络能力池,解决大型云数据中心承载多用户业务时面临的可扩展性和灵活性问题,增强数据间联网方案的网络智能承载的集约化运营能力。
基于SDN的通信网络系统总体技术方案,通过SDN控制器能够与任意个与数据平面相关联的DPI接口进行数据通信,也可支持多个对应不同应用的API接口,管理接口通常只有一个。通过SDN控制器控制多个下层设备,实现数据的集约化管理,并且简化了运维复杂度,增加了管控弹性,控制层和转发层的解耦合,提高了信息处理的运算速度和收敛速度,北向API接口连接应用设备,实现业务的柔性和可拓展性,统一化的数据转发硬件平台,实现了网络的智能化、自动化和标准化,减少了网络运维的难度和恶意接口的数量。
二、SDN架构的电力通信数据网络系统及关键技术
(一)路由算法
IETF工作组基于PCE的多域网络体系架构提出了一种基于反向回溯的路由算法,即BRPC算法(BackwardRecursivePCEbasedComputation,BRPC),该算法是通过已知域序列逐级计算、逐步寻优得出源节点与目的节点间的最优路径。具体实现如下:第一步,计算宿节点n1所在域到出口边界节点e的虚拟最短路径树t1,并保存为最优路径;第二步,将t1反馈给n1上级节点n2所在域出入口边界节点的虚拟最短路径树t2,并保存为最优路径;第三步,重复步骤二,直至得出源节点和宿节点之间的最优路径。该方法实现简单,但是存在需要人工指定域序列和每个控制器都要实现复杂的BRPC协议的缺点。因此,BRPC算法在电力系统中应用还需结合不同电力业务路径、数据流量设置合理参数,并进行算法针对性改进。
(二)安全性
数码的很多业务开展对安全性要求比较高,而且不少业务中都涉及了电力系统的敏感信息,而随着数据高度共享、电子业务的融合发展,网络受到攻击的形式也在逐渐发生改变,在这种情况下,一些动态变化比较大的用户会存在较大的安全资源风险。而通SDN由于具备了集中管控以及开放性等一些特征,从而使得传统的通讯网络安全特性也体现出了差异性。与传统的网络相比较,SDN作为一种新型网络构架对当前的安全模式产生较大冲击。传统网络模式下,会在网络中的固定位置来设置防火墙等安全设施,以此来对信息流进行过滤。而SDN本身属于一种流规则驱动型网络,流规则直接决定着信息流的路径,在这种情况下固定位置布置安全设备已经不能发挥作用。因此,必须要针对SDN控制器加大开发力度,与此同时要采取安全模块库与控制器组合开发和部署的方式,另外还要针对流规则的合法性和一致性进行严格检验,并充分保证北向接口的安全性。
(三)分域资源协同管控
SDN交换机主要实现业务数据的转发和处理,多台SDN交换机组成了转发平面。转发平面一是完成业务数据的传送;二是完成SDN网络自身控制指令和网管数据的传送,并提供信息传输过程中的操作维护管理(OperationAdministrationandMaintenance,OAM)和保护恢复功能。控制平面,即控制层由集成了控制功能的网管系统、域控制器、协同控制器组成。网管系统协同域控制器完成对SDN网络统一管控。协同控制器是管理整个SDN域的控制器,通过对域控制器的管理间接管理底层交换机,同时协同控制器向上连接网络管理系统。因此,协同控制器运行的功能模块主要用于接收网络管理员下发的指令,分析指令并将解析后的参数下发给域控制器。协同控制器的功能模块主要分为任务模块、任务分析模块、任务下发模块、边界网关协议(BorderGatewayProtocol,BGP)模块、链路保护模块、告警模块。
任务模块为网管和协同控制器之间的交互接口。协同控制器通过接受网管系统下发的请求,并进行协议转换后,下发配置参数至任务分析模块。协同控制器也可以通过任务分析模块向网管系统上传消息。结合数据库中储存的路由数据以及外部获取的信息,基于接受任务模块传递的相关参数,综合计算后传递配置参数给任务执行模块。同时,获取网管设置的业务QoS参数,下发给任务执行模块。任务下发模块根据从任务分析模块接收的参数,结合数据库存储信息,经特定运算生成针对于不同任务,并下发给相应的域控制器。
域控制器与协同控制器均具备用于最优路由选择的数据库,但两者功能定位存在较大差异,其中域控制器主要处理域内事务,协调处于同一域内的SDN交换机;协同控制器主要处理域间事务,协调处于不同域的控制器。协同控制器中储存了下属所有实体交换机和虚拟节点的网络拓扑信息、运行状态信息、端口流量统计信息、路由选择信息,以及通信链路吞吐量、实时性、QoS策略等信息。
(四)系统通信设计
首先需要利用动态密码技术完成实体身份精准识别,其次需授权管理各标识下的应用安全等级。即根据代理注册应用的具体应用名与编号等基本信息,由应用负责发送连接请求,同时完成动态密码S的准确计算。待控制器顺利接收到由应用发送的连接请求后,将直接向代理查询身份,同时对与对应着这一应用的安全等级进行相应设置。如果无法正确查询显示相应应用信息,控制器将会直接拒绝由应用所发送的连接请求。控制器在完成动态密码的准确计算后,此时生成的动态密码将会被用于验证应用信息,一旦其顺利通过验证,应用将会立即将调用请求发送给控制器,此时控制器在接收到请求后直接调用相应应用即可,但需要同时对应用调用的操作日志进行准确记录。出于电力通信网安全性的考虑,控制器每隔一段时间便需要发送动态密码修改请求,直至应用接收请求并顺利完成动态密码修改操作后,再将这一信息及时反馈回控制器中。最后根据动态密码的修改情况对代理中的配置及时进行相应修改即可。
三、结论
综上所述,本文通过运用由控制层、应用层与基础设施层共同构成的SDN网络架构,设计建立基于SDN的电力通信网安全防护架构体系,在身份认证中运用动态密码技术,同时采用应用等级划分的授权管理机制。可以在有效保护信息数据安全、完整的同时,防止有非法控制器接入电力通信网中,而在充分发挥SDN网络优势作用下,有助于全面提升电力通信网运行的安全性与可靠性。
参考文献:
[1]胡春霞.基于大数据的电力通信网的安全防护系统及实现研究[J].中国新通信,2019,20(23):141.
[2]代诗磊.电力通信网的安全防护措施与需求分析[J].通讯世界,2019(07):234-235.
[3]胡伟珂.跨省电力通信SDH传输网络架构优化研究[D].浙江工业大学,2019.