李賽飛，閆連山，郭 偉，陳建譯

(1.西南交通大學(xué)信息科學(xué)與技術(shù)學(xué)院, 四川成都 610031；2.廣州鐵路集團(tuán)公司電務(wù)處, 廣東廣州 510088)

近年來，信息資源與關(guān)鍵基礎(chǔ)設(shè)施已成為國家發(fā)展重要的戰(zhàn)略資產(chǎn)和核心要素，網(wǎng)絡(luò)安全在國家安全諸要素中的地位日益凸顯。與此同時，我國高速鐵路和城市軌道交通高速發(fā)展，信息網(wǎng)絡(luò)技術(shù)已經(jīng)滲透到其中的各個領(lǐng)域。本文所關(guān)注的鐵路信號控制技術(shù)與信息網(wǎng)絡(luò)技術(shù)不斷融合，在促進(jìn)我國高速鐵路快速發(fā)展的同時，所帶來的網(wǎng)絡(luò)安全問題也得到越來越多的關(guān)注。

從信號系統(tǒng)網(wǎng)絡(luò)自身發(fā)展來講，原來信號系統(tǒng)孤立封閉運(yùn)行，隨著網(wǎng)絡(luò)信息技術(shù)大量運(yùn)用，業(yè)務(wù)需求不斷增長，未來將具有更高的開放性和更廣泛的互聯(lián)性。然而，與信號控制系統(tǒng)網(wǎng)絡(luò)相適應(yīng)的安全防護(hù)技術(shù)尚未完善；與此同時，網(wǎng)絡(luò)規(guī)模不斷擴(kuò)大，網(wǎng)絡(luò)配置管理越來越復(fù)雜，也給信號系統(tǒng)網(wǎng)絡(luò)的可控性、安全性和可靠性帶來了潛在的負(fù)面影響。從信號系統(tǒng)專用網(wǎng)絡(luò)外部環(huán)境來講，恐怖主義和黑客行為，對國家關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全造成嚴(yán)重威脅，各個國家和組織越來越注重對關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)攻擊的技術(shù)儲備，力爭在網(wǎng)絡(luò)空間安全中掌握主動。據(jù)國外媒體報(bào)道[1]，僅2015年英國鐵路網(wǎng)絡(luò)就已經(jīng)遭受4次嚴(yán)重的網(wǎng)絡(luò)攻擊。鐵路信號控制系統(tǒng)作為國家關(guān)鍵基礎(chǔ)設(shè)施，其相關(guān)的網(wǎng)絡(luò)安全研究在國內(nèi)外引起高度重視[2-7]，已有研究在整體上對歐洲鐵路信號系統(tǒng)的安全性進(jìn)行了分析，但相關(guān)技術(shù)細(xì)節(jié)由于敏感性原因，未對外界披露，因此，我國鐵路信號系統(tǒng)網(wǎng)絡(luò)安全防護(hù)研究亟待加強(qiáng)。我國在歐洲鐵路信號控制系統(tǒng)的基礎(chǔ)上進(jìn)行了創(chuàng)新發(fā)展，深入研究我國鐵路信號控制系統(tǒng)網(wǎng)絡(luò)信息安全具有重大意義。

信號系統(tǒng)安全數(shù)據(jù)網(wǎng)[8-9]承載著我國高速鐵路列控核心業(yè)務(wù)，聯(lián)鎖CBI、列控中心TCC、無線閉塞中心RBC和臨時限速服務(wù)器TSRS等關(guān)鍵信號設(shè)備均連接在信號系統(tǒng)安全數(shù)據(jù)網(wǎng)之上。信號系統(tǒng)安全數(shù)據(jù)網(wǎng)具有分布式工業(yè)控制系統(tǒng)網(wǎng)絡(luò)特點(diǎn)，并且每條高鐵線路上的車站之間，不同線路的信號系統(tǒng)安全數(shù)據(jù)網(wǎng)之間，跨越廣闊地域，互聯(lián)互通。隨著我國高速鐵路的建設(shè)，將成為覆蓋全國的大型網(wǎng)絡(luò)。結(jié)合信號系統(tǒng)安全數(shù)據(jù)網(wǎng)現(xiàn)狀與未來發(fā)展，存在以下幾個方面的問題需要深入研究和解決：

第一，由于信號系統(tǒng)安全數(shù)據(jù)網(wǎng)的分布式工業(yè)控制系統(tǒng)網(wǎng)絡(luò)特點(diǎn)，網(wǎng)絡(luò)結(jié)構(gòu)扁平(信號安全數(shù)據(jù)網(wǎng)基本上采用二層網(wǎng)絡(luò)組網(wǎng))，覆蓋廣闊地域，設(shè)計(jì)之初較少考慮網(wǎng)絡(luò)攻擊問題，設(shè)備生命周期長，所采用的技術(shù)及安全手段容易被黑客超越，信號控制設(shè)備計(jì)算資源有限，并且對可靠性和實(shí)時性的要求較高，傳統(tǒng)的網(wǎng)絡(luò)安全方案不能很好地解決其所面臨的問題，故在信號系統(tǒng)安全數(shù)據(jù)網(wǎng)中沒有部署防火墻等傳統(tǒng)網(wǎng)絡(luò)安全設(shè)備，信號控制設(shè)備上也較難安裝防病毒軟件或終端加固程序等。然而，一般全面的防護(hù)需要從設(shè)備終端、網(wǎng)絡(luò)邊界和網(wǎng)絡(luò)本身實(shí)施縱深防御，由于信號系統(tǒng)安全數(shù)據(jù)網(wǎng)的特點(diǎn)，需要從新的技術(shù)和角度提高其安全性。

第二，信號安全數(shù)據(jù)網(wǎng)配置及安全管理復(fù)雜性問題。很多網(wǎng)絡(luò)安全問題由網(wǎng)絡(luò)配置和管理的復(fù)雜性引起，網(wǎng)絡(luò)和業(yè)務(wù)越復(fù)雜，越容易導(dǎo)致配置和管理失誤。高速鐵路建設(shè)不斷發(fā)展，新建高速鐵路需要與正在運(yùn)營的高速鐵路互聯(lián)互通，同時越來越多的線路引入鐵路樞紐地區(qū)，導(dǎo)致樞紐地區(qū)信號系統(tǒng)安全數(shù)據(jù)網(wǎng)接入越來越多，多條線路的信號系統(tǒng)安全數(shù)據(jù)網(wǎng)之間互聯(lián)互通，往往牽一發(fā)而動全身，增加了信號系統(tǒng)安全數(shù)據(jù)網(wǎng)規(guī)劃、配置和網(wǎng)絡(luò)安全防護(hù)的復(fù)雜性[10]。

第三，信號系統(tǒng)安全數(shù)據(jù)網(wǎng)網(wǎng)絡(luò)信息安全(Security)對整個系統(tǒng)RAMS(可靠性、可用性、可維護(hù)性和安全性Safety)影響[11]。網(wǎng)絡(luò)攻擊可能會嚴(yán)重影響信號系統(tǒng)安全數(shù)據(jù)網(wǎng)的可靠性及可用性，信號系統(tǒng)在設(shè)計(jì)時未考慮網(wǎng)絡(luò)和信息安全對系統(tǒng)安全性的影響。例如鄭西高鐵信號系統(tǒng)安全數(shù)據(jù)網(wǎng)曾因?yàn)榄h(huán)網(wǎng)網(wǎng)絡(luò)震蕩引起網(wǎng)絡(luò)風(fēng)暴，造成列控中心板卡故障，嚴(yán)重影響整個鄭西高速鐵路列控系統(tǒng)的可用性[12]。

針對上述問題，本文進(jìn)行深入探索，提出一種基于SDN的信號系統(tǒng)安全數(shù)據(jù)網(wǎng)網(wǎng)絡(luò)架構(gòu)和網(wǎng)絡(luò)統(tǒng)一安全管控方案，命名為SD-SSDN(Software-defined Signal Safety Date Network)，使網(wǎng)絡(luò)具有可編程特性，可以應(yīng)對網(wǎng)絡(luò)管控的復(fù)雜性，使得網(wǎng)絡(luò)管控和配置更加自動化和智能化；進(jìn)一步通過統(tǒng)一管控，使網(wǎng)絡(luò)具有強(qiáng)大精細(xì)的網(wǎng)絡(luò)流控能力，減小了信號系統(tǒng)安全數(shù)據(jù)網(wǎng)攻擊面，提高網(wǎng)絡(luò)的安全性，同時可以滿足鐵路信號控制系統(tǒng)網(wǎng)絡(luò)高可靠性和實(shí)時性要求。

軟件定義網(wǎng)絡(luò)(Software-Defined Networking)是一種新的網(wǎng)絡(luò)架構(gòu)[13-14]，通過把網(wǎng)絡(luò)的控制平面和數(shù)據(jù)平面分離，實(shí)現(xiàn)對網(wǎng)絡(luò)的集中和統(tǒng)一管控，具有網(wǎng)絡(luò)可編程特性。SDN核心理念是希望提供一種網(wǎng)絡(luò)架構(gòu)，通過對網(wǎng)絡(luò)數(shù)據(jù)平面和控制平面的合理抽象，摒棄現(xiàn)在網(wǎng)絡(luò)分散控制及修修補(bǔ)補(bǔ)的做法，從根本設(shè)計(jì)上解決網(wǎng)絡(luò)及網(wǎng)絡(luò)安全所面臨的各種問題，被認(rèn)為是下一代網(wǎng)絡(luò)的演進(jìn)方向，因此成為國內(nèi)外研究的熱點(diǎn)。目前已結(jié)合網(wǎng)絡(luò)功能虛擬化(Network Function Virtualization)等技術(shù)用以解決運(yùn)營商網(wǎng)絡(luò)以及數(shù)據(jù)中心網(wǎng)絡(luò)等難以解決的問題。

本文針對鐵路信號系統(tǒng)業(yè)務(wù)特點(diǎn)，利用SDN架構(gòu)探索定制信號系統(tǒng)安全數(shù)據(jù)網(wǎng)的解決方案。通過面向業(yè)務(wù)的白名單控制器邏輯流表設(shè)計(jì)方法，使得安全成為SD-SSDN的一個根本屬性，針對信號系統(tǒng)專有協(xié)議，最小化網(wǎng)絡(luò)訪問控制粒度，從而提高信號安全數(shù)據(jù)網(wǎng)的安全性。在此基礎(chǔ)上高效地實(shí)現(xiàn)了基于SDN的信號系統(tǒng)安全數(shù)據(jù)網(wǎng)抗網(wǎng)絡(luò)震蕩的環(huán)網(wǎng)冗余技術(shù)和自適應(yīng)鏈路聚合技術(shù)等保障信號系統(tǒng)網(wǎng)絡(luò)高可靠性的技術(shù)，滿足信號系統(tǒng)安全數(shù)據(jù)網(wǎng)可靠性要求。另一方面，基于白名單的SDN流控技術(shù)把訪問控制安全作為網(wǎng)絡(luò)設(shè)備的一個基本特性，不采用專用的網(wǎng)絡(luò)安全設(shè)備(例如防火墻)架設(shè)在通信線路之中，在增加安全性的同時，不會增加網(wǎng)絡(luò)時延，保證了信號系統(tǒng)安全數(shù)據(jù)網(wǎng)實(shí)時性要求。

1 SD-SSDN網(wǎng)絡(luò)安全管控架構(gòu)

1.1 系統(tǒng)架構(gòu)概述

SD-SSDN管控架構(gòu)分為3個平面，分別為數(shù)據(jù)平面、控制平面和應(yīng)用平面。通過3個平面的劃分，對每一個平面進(jìn)行合理的定義和抽象，每個平面屏蔽自身的復(fù)雜性，為上層平面提供統(tǒng)一、簡潔的應(yīng)用接口，這是SDN實(shí)現(xiàn)網(wǎng)絡(luò)功能的一種新方式，為解決工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全問題提供一種新的思路。簡單來講，SDN把網(wǎng)絡(luò)數(shù)據(jù)平面抽象為Match和Action操作，定義了數(shù)據(jù)平面處理數(shù)據(jù)包的行為，對于匹配到的數(shù)據(jù)包，做出相應(yīng)的處理，處理包括對數(shù)據(jù)包的轉(zhuǎn)發(fā)、修改和丟棄等。邏輯集中的網(wǎng)絡(luò)控制平面負(fù)責(zé)與交換機(jī)進(jìn)行通信，生成整個網(wǎng)絡(luò)的全局視圖，提供給網(wǎng)絡(luò)應(yīng)用平面。最后，應(yīng)用平面根據(jù)全局的網(wǎng)絡(luò)視圖，編寫程序，實(shí)現(xiàn)網(wǎng)絡(luò)功能，對網(wǎng)絡(luò)進(jìn)行控制。

本文通過對高速鐵路信號系統(tǒng)安全數(shù)據(jù)網(wǎng)3個平面的設(shè)計(jì)和實(shí)現(xiàn)，研究探索如何基于SDN架構(gòu)，提高信號系統(tǒng)安全數(shù)據(jù)網(wǎng)(或類似具有高可靠性和高實(shí)時性要求的工業(yè)控制網(wǎng)絡(luò))的網(wǎng)絡(luò)安全性。所提出的基于SDN的信號系統(tǒng)安全數(shù)據(jù)網(wǎng)數(shù)據(jù)平面包括支持軟件定義網(wǎng)絡(luò)管理的協(xié)議棧(OpenFlow[13,15])和網(wǎng)絡(luò)交換硬件設(shè)備。網(wǎng)絡(luò)架構(gòu)和系統(tǒng)組成如圖1所示。

圖1 SD-SSDN網(wǎng)絡(luò)架構(gòu)和系統(tǒng)組成

1.2 SD-SSDN網(wǎng)絡(luò)數(shù)據(jù)平面

(1)專用信令網(wǎng)絡(luò)和通道

信號系統(tǒng)安全數(shù)據(jù)網(wǎng)聯(lián)通鐵路沿線各個車站，每個車站均設(shè)置有信號系統(tǒng)安全數(shù)據(jù)網(wǎng)交換機(jī)，光纜沿鐵路沿線鋪設(shè)。SD-SSDN可以利用鐵路沿線光纜鏈路，構(gòu)建信令專用物理鏈路和網(wǎng)絡(luò)，與網(wǎng)絡(luò)傳輸?shù)臉I(yè)務(wù)數(shù)據(jù)分離。網(wǎng)絡(luò)控制數(shù)據(jù)和業(yè)務(wù)數(shù)據(jù)傳輸物理隔離，從而進(jìn)一步增加網(wǎng)絡(luò)安全性和可靠性。在傳統(tǒng)網(wǎng)絡(luò)架構(gòu)中，網(wǎng)絡(luò)自身的控制數(shù)據(jù)和其所承載的業(yè)務(wù)數(shù)據(jù)只能在同一個網(wǎng)絡(luò)上傳輸，存在諸多安全隱患，例如，信號系統(tǒng)安全數(shù)據(jù)網(wǎng)中由于鏈路震蕩所引起的廣播風(fēng)暴問題。

(2)數(shù)據(jù)平面設(shè)計(jì)

SD-SSDN管控方案的基本設(shè)計(jì)思想是把信號系統(tǒng)安全數(shù)據(jù)網(wǎng)中所承載的列控業(yè)務(wù)流映射為數(shù)據(jù)平面的網(wǎng)絡(luò)流，采用業(yè)務(wù)流和網(wǎng)絡(luò)流白名單機(jī)制，實(shí)現(xiàn)網(wǎng)絡(luò)接入控制、網(wǎng)絡(luò)訪問控制和異常檢測，實(shí)現(xiàn)精細(xì)粒度的信號系統(tǒng)安全數(shù)據(jù)網(wǎng)網(wǎng)絡(luò)流控，從而最大程度上減小信號系統(tǒng)安全數(shù)據(jù)網(wǎng)網(wǎng)絡(luò)攻擊界面。對信號系統(tǒng)安全數(shù)據(jù)網(wǎng)業(yè)務(wù)流進(jìn)行分析，包括理清信號系統(tǒng)安全數(shù)據(jù)網(wǎng)中所需協(xié)議類型，設(shè)備之間的業(yè)務(wù)通信關(guān)系和流量模型等，把業(yè)務(wù)流映射為網(wǎng)絡(luò)流；根據(jù)網(wǎng)絡(luò)流及要實(shí)現(xiàn)的其他管控功能(如環(huán)網(wǎng)冗余)，設(shè)計(jì)網(wǎng)絡(luò)數(shù)據(jù)平面流表，進(jìn)一步實(shí)現(xiàn)網(wǎng)絡(luò)流到交換機(jī)流表的映射，以及網(wǎng)絡(luò)管控功能到流表的映射。

信號系統(tǒng)安全數(shù)據(jù)網(wǎng)承載著地面列控核心設(shè)備之間的通信業(yè)務(wù)，地面列控設(shè)備包括TCC、CBI、TSRS和RBC。以CBI與RBC之間的通信業(yè)務(wù)為例，對SD-SSDN數(shù)據(jù)平面設(shè)計(jì)進(jìn)行說明。CBI與RBC之間業(yè)務(wù)流分析見表1，根據(jù)分析所設(shè)計(jì)的交換機(jī)流表(圖2)，總體結(jié)構(gòu)上流表可以分為3類：資產(chǎn)綁定及流控、業(yè)務(wù)流流量限速和冗余轉(zhuǎn)發(fā)流表。

物理綁定關(guān)系過濾流表，可以實(shí)現(xiàn)接入設(shè)備的MAC地址、IP地址和交換機(jī)端口的綁定，不符合綁定關(guān)系的數(shù)據(jù)包進(jìn)入交換機(jī)后，在此流表中會被過濾。

表1 CBI-RBC業(yè)務(wù)流分析

圖2 SD-SSDN數(shù)據(jù)平面流表結(jié)構(gòu)設(shè)計(jì)

網(wǎng)絡(luò)允許協(xié)議流表，可以根據(jù)網(wǎng)絡(luò)管理的需要設(shè)定網(wǎng)絡(luò)允許哪些協(xié)議，對于網(wǎng)絡(luò)中沒有設(shè)置允許的協(xié)議類型的數(shù)據(jù)包，交換機(jī)會進(jìn)行過濾處理。同時，此流表根據(jù)數(shù)據(jù)包協(xié)議類型，完成對于下一級流表的映射，把數(shù)據(jù)包轉(zhuǎn)發(fā)到其相對應(yīng)的協(xié)議策略流表進(jìn)行處理。

網(wǎng)絡(luò)流過濾流表組包括對網(wǎng)絡(luò)允許協(xié)議進(jìn)行處理的策略流表。以CBI-RBC業(yè)務(wù)流為例(表1)，CBI-RBC采用TCP協(xié)議進(jìn)行通信，通過源物理端口、目的物理端口、源IP、目的IP、源TCP端口、目的TCP端口以及業(yè)務(wù)流向7元組可以精確描述此業(yè)務(wù)流。通過應(yīng)用控制平面對業(yè)務(wù)進(jìn)行注冊，實(shí)現(xiàn)對信號安全數(shù)據(jù)網(wǎng)中業(yè)務(wù)流的精細(xì)管控，對于未注冊的業(yè)務(wù)，可以把其數(shù)據(jù)包丟棄，或者把數(shù)據(jù)流導(dǎo)向蜜網(wǎng)，對惡意流量及異常行為進(jìn)行分析，實(shí)現(xiàn)主動防護(hù)。另外，對于需要限速的網(wǎng)絡(luò)流，可以對數(shù)據(jù)包DSCP字段進(jìn)行設(shè)置，交換機(jī)可以根據(jù)限速值進(jìn)行限速。

經(jīng)過前面3個流表的過濾，符合規(guī)則的網(wǎng)絡(luò)流將進(jìn)入流量限速流表，交換機(jī)會根據(jù)數(shù)據(jù)包DSCP字段值，對業(yè)務(wù)量流量進(jìn)行相應(yīng)的限速。

圖2中流表5和流表6為環(huán)網(wǎng)冗余和自適應(yīng)鏈路聚合流表。網(wǎng)絡(luò)控制平面對信號系統(tǒng)安全數(shù)據(jù)網(wǎng)所有的鏈路失效情況進(jìn)行計(jì)算，針對不同的鏈路失效，生成在此鏈路失效情況下的轉(zhuǎn)發(fā)流表。環(huán)網(wǎng)冗余映射流表會根據(jù)鏈路狀態(tài)，把數(shù)據(jù)包映射到相應(yīng)的轉(zhuǎn)發(fā)流表進(jìn)行轉(zhuǎn)發(fā)。進(jìn)入轉(zhuǎn)發(fā)流表后，如果此交換機(jī)相鄰交換機(jī)存在多條鏈路，交換機(jī)將會根據(jù)鏈路負(fù)載情況，選擇一條鏈路把數(shù)據(jù)包發(fā)送出去。環(huán)網(wǎng)冗余和自適應(yīng)鏈路聚合功能將在應(yīng)用平面設(shè)計(jì)中具體介紹。

1.3 SD-SSDN網(wǎng)絡(luò)控制平面

控制器為SD-SSDN網(wǎng)絡(luò)控制的一個核心部件，為保證信號系統(tǒng)安全數(shù)據(jù)網(wǎng)的高可靠性，本文根據(jù)不同的網(wǎng)絡(luò)場景，設(shè)計(jì)采用不同的多控制器協(xié)同控制方案，當(dāng)某個或某些控制器失效時不會影響網(wǎng)絡(luò)正常運(yùn)行。包括多控制器主從控制模式、分布式控制模式和分布式集群控制模式。

(1)主從控制模式設(shè)計(jì)

在多控制器主從控制模式下，每個交換機(jī)可以連接多個控制器，所有連接的控制器中，有一個主控制，其余為從控制器；由主控制器控制網(wǎng)絡(luò)，從控制器維持與交換機(jī)的連接，并且從主控制器同步網(wǎng)絡(luò)狀態(tài)?？刂破魍侥K主要實(shí)現(xiàn)控制器之間信息同步、主控制器選舉、控制器狀態(tài)監(jiān)測以及控制器身份切換等。

(2)分布式控制模式設(shè)計(jì)

根據(jù)全球SDN測試認(rèn)證中心的測試報(bào)告[16]，以RYU控制為例，最多控制300個交換機(jī)，超過額定數(shù)量的交換機(jī)，需要額外的控制器。另外，為了保障控制器與交換機(jī)通信的時延較小，需要分布式控制。在分布式控制模式下，不同控制域的交換機(jī)與各自的區(qū)域控制器建立連接，對于各自控制域內(nèi)的網(wǎng)絡(luò)業(yè)務(wù)流，由該區(qū)域控制器獨(dú)立控制；需要跨越多個控制域的網(wǎng)絡(luò)流，各個區(qū)域控制器協(xié)同控制。對于應(yīng)用平面來講，控制平面為其提供全局的網(wǎng)絡(luò)視圖。這種架構(gòu)存在的問題在于，如果區(qū)域控制器1失效，則控制域1內(nèi)的交換機(jī)將失去控制，因此，對于規(guī)模龐大，可靠性要求高的網(wǎng)絡(luò)，還需要分布式控制器集群工作模式。

(3)分布式集群控制模式設(shè)計(jì)

針對規(guī)模龐大，可靠性要求較高的網(wǎng)絡(luò)，本文設(shè)計(jì)提出分布式集群控制模式。為了使得每個控制器都可以獲得全局網(wǎng)絡(luò)信息，同時把復(fù)雜性控制在可以接受的范圍內(nèi)，控制器的同步分為域間同步和域內(nèi)同步。域間同步模塊負(fù)責(zé)不同控制域的信息同步，域內(nèi)同步模塊負(fù)責(zé)控制器域內(nèi)的信息同步。在一個控制域內(nèi)，所有控制器服從主從工作模式，不同域的主控制器同時還處于分布式控制模式。控制域A主控制器的域間同步模塊和域內(nèi)同步模塊同時處于工作狀態(tài)，控制域A從控制器則只有域內(nèi)同步模塊處于工作狀態(tài)。當(dāng)控制域A主控制器失效時，則在該域內(nèi)的從控制器中產(chǎn)生一個新的該域主控制器。

1.4 SD-SSDN網(wǎng)絡(luò)應(yīng)用平面

SD-SSDN網(wǎng)絡(luò)管控功能由應(yīng)用平面實(shí)現(xiàn)。網(wǎng)絡(luò)管控實(shí)現(xiàn)對信號系統(tǒng)安全數(shù)據(jù)網(wǎng)中網(wǎng)絡(luò)流的精細(xì)管控。網(wǎng)絡(luò)流控的物理基礎(chǔ)是網(wǎng)絡(luò)信息系統(tǒng)中的所有資產(chǎn)(包括網(wǎng)絡(luò)設(shè)備和終端設(shè)備)；網(wǎng)絡(luò)流控的依據(jù)是信息系統(tǒng)中資產(chǎn)間所流動的信息流和業(yè)務(wù)鏈。SD-SSDN應(yīng)用平面實(shí)現(xiàn)了如下4個功能模塊，包括網(wǎng)絡(luò)資產(chǎn)的注冊和管理、信號系統(tǒng)安全數(shù)據(jù)網(wǎng)業(yè)務(wù)流的嚴(yán)格控制、網(wǎng)絡(luò)高可靠性管理以及網(wǎng)絡(luò)風(fēng)險(xiǎn)感知和檢測。

(1)信號系統(tǒng)安全數(shù)據(jù)網(wǎng)資產(chǎn)注冊及管理

SD-SSDN管控的基礎(chǔ)是對網(wǎng)絡(luò)中所有交換機(jī)和接入終端的管理，通過對資產(chǎn)的注冊，應(yīng)用平面可以實(shí)現(xiàn)對網(wǎng)絡(luò)設(shè)備、終端設(shè)備和網(wǎng)絡(luò)業(yè)務(wù)的認(rèn)證。首先對交換機(jī)進(jìn)行認(rèn)證，然后對接入網(wǎng)絡(luò)的終端設(shè)備進(jìn)行認(rèn)證。結(jié)合數(shù)據(jù)平面設(shè)計(jì)，對于終端設(shè)備的認(rèn)證是基于物理位置(設(shè)備接入交換機(jī)物理端口)、設(shè)備指紋(如MAC地址、IP地址、操作系統(tǒng)等)和業(yè)務(wù)關(guān)系三者之間的綁定。可以實(shí)現(xiàn)對設(shè)備接入和訪問的嚴(yán)格管理。另一方面，SD-SSDN可以簡化網(wǎng)絡(luò)配置和管理，通過集中統(tǒng)一管控，利用圖形化、可視化和可編程網(wǎng)絡(luò)等技術(shù)，把管理員從復(fù)雜命令行形式的網(wǎng)絡(luò)管理中解放出來。

(2)面向信號系統(tǒng)安全數(shù)據(jù)網(wǎng)業(yè)務(wù)流控

業(yè)務(wù)流控指的是通過對信號系統(tǒng)安全數(shù)據(jù)網(wǎng)設(shè)備間通信應(yīng)用層業(yè)務(wù)進(jìn)行描述，網(wǎng)絡(luò)中只允許配置的業(yè)務(wù)流通行，根據(jù)應(yīng)用層業(yè)務(wù)白名單，實(shí)現(xiàn)對網(wǎng)絡(luò)的精細(xì)管控，在最大程度上減小信號安全數(shù)據(jù)網(wǎng)的攻擊界面。目前，信號安全數(shù)據(jù)網(wǎng)是一個廣泛互聯(lián)的二層以太網(wǎng)網(wǎng)絡(luò)，一般只有在不同信號安全數(shù)據(jù)網(wǎng)連接處設(shè)置有ACL功能的三層交換機(jī)設(shè)備。SD-SSDN整個網(wǎng)絡(luò)本身構(gòu)成了一個應(yīng)用層防火墻，而且利用邏輯集中、統(tǒng)一管控和可視化等技術(shù)，使得配置方便簡單，配合資產(chǎn)注冊及管理模塊，使信號安全數(shù)據(jù)網(wǎng)的防護(hù)更加嚴(yán)密。

如圖3所示，在理清信號系統(tǒng)安全數(shù)據(jù)網(wǎng)設(shè)備業(yè)務(wù)通信關(guān)系的基礎(chǔ)上，管理員可以通過Web管理界面對全網(wǎng)的通信業(yè)務(wù)進(jìn)行描述和注冊。例如，某車站CBI與RBC通信業(yè)務(wù)，采用RSSP-Ⅱ協(xié)議，CBI為客戶端(設(shè)備名稱：A站CBI，IP地址為10.0.0.1)，TCP源端口為5000，RBC為服務(wù)端(設(shè)備名稱：武廣RBC1，IP地址為10.0.0.2)，目的端口為5001，管理員在Web界面錄入信號數(shù)據(jù)網(wǎng)中各個業(yè)務(wù)信息，SD-SSDN應(yīng)用平面根據(jù)輸入數(shù)據(jù)信息生成SD-SSDN控制程序可以理解的數(shù)據(jù)結(jié)構(gòu)，即為信號系統(tǒng)安全數(shù)據(jù)網(wǎng)業(yè)務(wù)通信矩陣，從而實(shí)現(xiàn)信號安全數(shù)據(jù)網(wǎng)業(yè)務(wù)流控。然后，根據(jù)全局網(wǎng)絡(luò)信息，針對不同交換機(jī)，生成不同的過濾流表項(xiàng)，通過控制平面下發(fā)給交換機(jī)。

(3)信號系統(tǒng)安全數(shù)據(jù)網(wǎng)高可靠性管理

在SD-SSDN架構(gòu)上，本文提出一種基于OpenFlow多級流表的環(huán)網(wǎng)冗余技術(shù)與自適應(yīng)鏈路聚合技術(shù)，并且解決了因?yàn)榄h(huán)網(wǎng)冗余技術(shù)失效而引起的網(wǎng)絡(luò)廣播風(fēng)暴問題，提高了信號安全數(shù)據(jù)網(wǎng)的安全性和可靠性。下面對本文提出的兩個技術(shù)分別進(jìn)行介紹。

①基于OpenFlow多級流表的冗余流表映射冗余技術(shù)信號系統(tǒng)安全數(shù)據(jù)網(wǎng)環(huán)網(wǎng)冗余要求當(dāng)鏈路或交換機(jī)失效時，對網(wǎng)絡(luò)轉(zhuǎn)發(fā)進(jìn)行快速切換(網(wǎng)絡(luò)恢復(fù)時間<500 ms)。本文所提出的方案利用統(tǒng)一管控優(yōu)勢[17]，提出一種全新的環(huán)網(wǎng)冗余實(shí)現(xiàn)方法——基于OpenFlow多級流表的冗余流表映射技術(shù)RFTM (Redundant Flow Table Mapping)。SD-SSDN控制器對網(wǎng)絡(luò)擁有全局視角，獲取整個網(wǎng)絡(luò)拓?fù)淙鐖D4所示，為5個網(wǎng)絡(luò)節(jié)點(diǎn)和鏈路組成的環(huán)網(wǎng)，RFTM算法枚舉每條鏈路失效情況，并計(jì)算生成每條鏈路失效情況下的冗余轉(zhuǎn)發(fā)流表。例如，RFTM假設(shè)鏈路1失效，根據(jù)鏈路1失效情況下的拓?fù)?，利用Floyd算法，計(jì)算每一個交換機(jī)節(jié)點(diǎn)到其他任何一個交換機(jī)節(jié)點(diǎn)的轉(zhuǎn)發(fā)路徑，并根據(jù)計(jì)算所得的轉(zhuǎn)發(fā)路徑為各交換機(jī)生成對應(yīng)的冗余轉(zhuǎn)發(fā)流表1。RFTM在初始化階段設(shè)置鏈路1為冗余備用鏈路，并使網(wǎng)絡(luò)采用鏈路1失效時的冗余流表1進(jìn)行轉(zhuǎn)發(fā)。當(dāng)RFTM檢測到其他路徑失效時(例如鏈路2失效)，采用OpenFlow Goto Table指令，使網(wǎng)絡(luò)中各交換機(jī)節(jié)點(diǎn)采用鏈路2失效時所對應(yīng)的冗余轉(zhuǎn)發(fā)流表2進(jìn)行轉(zhuǎn)發(fā)，完成環(huán)網(wǎng)冗余切換。不需要重新計(jì)算路由并進(jìn)行大范圍修改操作，原理上大幅提高了鏈路失效的網(wǎng)絡(luò)恢復(fù)時間。

圖3 應(yīng)用平面業(yè)務(wù)流控模塊

RFTM技術(shù)將網(wǎng)絡(luò)恢復(fù)操作的時間縮短到了修改一條流表項(xiàng)的時間，再加上SD-SSDN架構(gòu)下，控制器的網(wǎng)絡(luò)全局視野對鏈路失效的檢測發(fā)現(xiàn)時間遠(yuǎn)低于傳統(tǒng)網(wǎng)絡(luò)鏈路失效的發(fā)現(xiàn)時長。因此，RFTM技術(shù)在原理上優(yōu)于傳統(tǒng)環(huán)網(wǎng)冗余技術(shù)。因此不存在網(wǎng)絡(luò)鏈路震蕩問題。

②自適應(yīng)鏈路聚合技術(shù)

鏈路聚合技術(shù)是一種提高網(wǎng)絡(luò)帶寬、增強(qiáng)網(wǎng)絡(luò)健壯性的技術(shù)，傳統(tǒng)網(wǎng)絡(luò)中通常使用鏈路聚合控制協(xié)議LACP(Link Aggregation Control Protocol)來實(shí)現(xiàn)此功能，使用此協(xié)議最大的缺點(diǎn)就是需要人為地對每臺交換機(jī)進(jìn)行配置，通過命令將某些端口加入一個聚合組，從而通過LACP協(xié)議來實(shí)現(xiàn)負(fù)載均衡、故障倒換等功能，因此網(wǎng)絡(luò)缺乏靈活性，網(wǎng)絡(luò)發(fā)生變化時需要人工對每臺交換機(jī)重新進(jìn)行配置，增加了網(wǎng)絡(luò)管理的復(fù)雜性。

與LACP協(xié)議不同，SD-SSDN利用全局網(wǎng)絡(luò)信息可以自動判斷兩臺交換機(jī)的直連鏈路和端口情況，識別出需要聚合的鏈路，實(shí)現(xiàn)了網(wǎng)絡(luò)的自適應(yīng)鏈路聚合功能，管理員不需要進(jìn)行任何配置。SD-SSDN鏈路聚合功能模塊基于LLDP(鏈路層發(fā)現(xiàn)協(xié)議)技術(shù)，通過發(fā)送/接收LLDP報(bào)文，可以識別兩個交換機(jī)之間物理鏈路的增加和斷開情況，根據(jù)兩臺交換機(jī)之間相連的物理鏈路數(shù)量(當(dāng)數(shù)量大于1時)，把多條物理鏈路聚合成一條邏輯鏈路，并且利用OpenFlow Group Table技術(shù)，在多條鏈路上實(shí)現(xiàn)負(fù)載均衡，增加鏈路帶寬。原理同上，當(dāng)有物理鏈路故障時，功能模塊會將該鏈路的流量快速轉(zhuǎn)移到其余鏈路上，并在其余鏈路上重新負(fù)載均衡，增強(qiáng)了網(wǎng)絡(luò)的健壯性。當(dāng)交換機(jī)之間增加鏈路時，不需要管理員進(jìn)行干預(yù)，明顯降低了網(wǎng)絡(luò)管理的復(fù)雜性，節(jié)省了鐵路施工寶貴的天窗時間。

(4)信號系統(tǒng)安全數(shù)據(jù)網(wǎng)風(fēng)險(xiǎn)感知及檢測

通過信號系統(tǒng)安全數(shù)據(jù)網(wǎng)業(yè)務(wù)通信矩陣和設(shè)備資產(chǎn)綁定注冊，SD-SSDN可以準(zhǔn)確地識別出網(wǎng)絡(luò)中的異常流量。對于不符合業(yè)務(wù)通信矩陣和資產(chǎn)綁定注冊關(guān)系的流量，SD-SSDN風(fēng)險(xiǎn)感知及檢測模塊記錄數(shù)據(jù)的指紋信息(例如，所在交換機(jī)端口、MAC地址、IP地址等)，提供給網(wǎng)絡(luò)管理人員進(jìn)行追蹤溯源，及時發(fā)現(xiàn)問題；另一面，可以把異常流量導(dǎo)入蜜網(wǎng)中，進(jìn)行誘導(dǎo)和主動防御，進(jìn)一步獲取攻擊所采用的技術(shù)手段等安全情報(bào)信息。

2 實(shí)驗(yàn)原型系統(tǒng)及測試床

為了驗(yàn)證本文所提出方案，在實(shí)驗(yàn)室搭建了高速鐵路信號系統(tǒng)半實(shí)物仿真平臺，最多可以模擬15個車站的高速鐵路信號系統(tǒng)安全數(shù)據(jù)網(wǎng)，并模擬CBI、TCC、RBC和TSRS等列控業(yè)務(wù)。SDN交換機(jī)采用Linux操作系統(tǒng)，運(yùn)行OpenvSwitch[18]交換機(jī)程序，支持OpenFlow1.5協(xié)議，有2個萬兆光口和8個千兆以太網(wǎng)口，組成光纖環(huán)網(wǎng)，光纖鏈路長度為1 km。SDN控制器硬件采用3臺聯(lián)想RD640服務(wù)器，軟件程序在Ryu[19]基礎(chǔ)上進(jìn)行開發(fā)。

3 實(shí)驗(yàn)設(shè)計(jì)及結(jié)果

3.1 基于攻擊鏈的攻擊防護(hù)測試

(1)實(shí)驗(yàn)原理

攻擊者的攻擊行為可以用攻擊鏈來表示，本文簡要將其分為4個階段：偵察階段、滲透攻擊階段、攻陷控制階段和惡意行為階段。

偵察階段：攻擊者通過網(wǎng)絡(luò)掃描器(例如Nmap[20])收集信息，掌握目標(biāo)機(jī)器的系統(tǒng)、端口和漏洞等信息。

滲透攻擊階段：攻擊者利用棧堆方面的漏洞、系統(tǒng)平臺方面的漏洞、邏輯配置錯誤方面的漏洞、內(nèi)存破壞方面的漏洞等，對目標(biāo)主機(jī)發(fā)起攻擊，向目標(biāo)主機(jī)發(fā)送相關(guān)的漏洞利用代碼。

攻陷控制階段：攻擊者成功進(jìn)入目標(biāo)主機(jī)后在目標(biāo)主機(jī)中安裝惡意軟件(如木馬，后門等)，通過這些惡意的工具實(shí)現(xiàn)與黑客的控制鏈接。

惡意行為階段：攻擊者可以偷取系統(tǒng)信息，刪除文件，破壞系統(tǒng)信息的完整性和可用性，或者以控制機(jī)器為跳板，攻擊其他主機(jī)等。

實(shí)驗(yàn)根據(jù)上述攻擊鏈，假設(shè)一個針對信號系統(tǒng)安全數(shù)據(jù)網(wǎng)的攻擊場景，驗(yàn)證SD-SSDN對攻擊的防護(hù)能力。該實(shí)驗(yàn)攻擊場景同時適用于SDN和非SDN控制架構(gòu)。實(shí)驗(yàn)場景的前提條件和假設(shè)如下：

假設(shè)一 攻擊者潛入一個無人值守車站的信號機(jī)房，控制了一臺信號安全數(shù)據(jù)網(wǎng)終端設(shè)備，可以通過此終端發(fā)起攻擊?；蛘呖梢酝耆珎窝b成一臺合法的信號系統(tǒng)安全數(shù)據(jù)網(wǎng)終端設(shè)備，包括接入端口、MAC地址、IP地址等。

假設(shè)二 信號安全數(shù)據(jù)網(wǎng)中某一臺終端設(shè)備存在緩沖區(qū)溢出漏洞(MS08-067)，并且攻擊者可以成功利用此漏洞。

實(shí)驗(yàn)拓?fù)淙鐖D5所示，假設(shè)實(shí)驗(yàn)網(wǎng)絡(luò)中的通信業(yè)務(wù)見表2，終端A為攻擊者所控制的信號系統(tǒng)安全數(shù)據(jù)網(wǎng)設(shè)備，終端B、C、T為信號系統(tǒng)安全數(shù)據(jù)網(wǎng)中的合法終端，其中終端T具有緩沖區(qū)溢出漏洞(MS08-067)。根據(jù)表2所示業(yè)務(wù)流，SD-SSDN應(yīng)用平面生成信號系統(tǒng)安全網(wǎng)業(yè)務(wù)通信矩陣，交換機(jī)數(shù)據(jù)平面業(yè)務(wù)流和網(wǎng)絡(luò)流白名單如圖6所示。通過對比實(shí)驗(yàn)來說明SD-SSDN對攻擊鏈上各個攻擊環(huán)節(jié)的阻斷情況。

表2 實(shí)驗(yàn)網(wǎng)絡(luò)中的通信業(yè)務(wù)

圖5 攻擊防護(hù)測試原理圖

圖6 SD-SSDN數(shù)據(jù)平面網(wǎng)絡(luò)流白名單流表

(2)實(shí)驗(yàn)結(jié)果

網(wǎng)絡(luò)主機(jī)發(fā)現(xiàn)掃描結(jié)果對比：攻擊者通過終端A獲得信號系統(tǒng)安全數(shù)據(jù)網(wǎng)網(wǎng)段信息，通過nmap對網(wǎng)絡(luò)中存在的主機(jī)進(jìn)行掃描，如圖7(a)所示，攻擊者可以發(fā)現(xiàn)網(wǎng)絡(luò)中的所有設(shè)備(B、C和T)。在SD-SSDN防護(hù)下，攻擊者只能發(fā)現(xiàn)與終端A有業(yè)務(wù)通信的終端T，無法知道終端B和C的存在，掃描結(jié)果如圖7(b)所示。SD-SSDN減小了攻擊面，降低了系統(tǒng)終端遭受攻擊的風(fēng)險(xiǎn)，可以把攻擊者隔離在較小的網(wǎng)絡(luò)系統(tǒng)范圍內(nèi)。

主機(jī)端口和漏洞掃描結(jié)果對比：攻擊者發(fā)現(xiàn)網(wǎng)絡(luò)中存在的主機(jī)后，通過命令(nmap - - script=smb-vuln-ms08-067.nse - - script-args=unsafe=1 10.0.0.2)對終端T所開放的端口進(jìn)行掃描，并檢查終端T是否存在smb服務(wù)相關(guān)漏洞，結(jié)果如圖8(a)所示，攻擊者可以獲得終端T的端口信息(包括445端口等11個端口的信息)、操作系統(tǒng)信息，并準(zhǔn)確識別出了系統(tǒng)所存在的緩沖區(qū)溢出漏洞。在SD-SSDN防護(hù)下實(shí)驗(yàn)結(jié)果如圖8(b)所示，如果攻擊者在不知道終端A與T的通信業(yè)務(wù)端口的情況下，會隨機(jī)選擇一個源端口發(fā)送掃描數(shù)據(jù)包，攻擊者不能獲得任何端口和漏洞信息；如果攻擊者通過其他方式，知道終端A與其他終端業(yè)務(wù)通信所采用的源端口，攻擊者在指定掃描所采用的源端口為5000時(通信業(yè)務(wù)見表2)，只能獲得445端口信息，并且不能識別出系統(tǒng)所存在漏洞；在指定掃描所采用的源端口為5001時，只能獲得6002端口信息。在黑客對主機(jī)進(jìn)行端口和漏洞掃描階段，SD-SSDN可以進(jìn)行有效的防護(hù)，使攻擊者不能識別出系統(tǒng)的漏洞信息，同時，攻擊者也不能獲取其他的端口信息。

圖7 網(wǎng)絡(luò)主機(jī)發(fā)現(xiàn)掃描結(jié)果對比

圖8 主機(jī)端口和漏洞掃描結(jié)果對比

攻陷控制結(jié)果對比：假設(shè)攻擊者在發(fā)現(xiàn)系統(tǒng)存在漏洞后，將嘗試?yán)寐┒垂ハ菹到y(tǒng)，例如取得系統(tǒng)遠(yuǎn)程控制權(quán)限或?qū)ο到y(tǒng)進(jìn)行DoS攻擊。如圖9(a)所示，攻擊者利用Metasploit[21]工具，對漏洞(ms08_067_netapi)進(jìn)行滲透攻擊，攻擊載荷采用TCP反向連接，可以使被攻擊終端T反彈一個Windows命令行，攻擊者通過該命令行對終端T進(jìn)行控制。攻擊者在取得終端T的控制權(quán)限后就可以進(jìn)入后續(xù)的惡意行為階段。在SD-SSDN防護(hù)下實(shí)驗(yàn)結(jié)果如圖9(b)所示，攻擊者不能成功利用ms08_067漏洞，因?yàn)槿魏尾环闲盘栂到y(tǒng)安全數(shù)據(jù)網(wǎng)業(yè)務(wù)通信矩陣的網(wǎng)絡(luò)流均不能進(jìn)入網(wǎng)絡(luò)。

圖9 攻陷控制結(jié)果對比

實(shí)驗(yàn)表明，SD-SSDN提高了攻擊者的攻擊門檻，在攻擊鏈的各個階段制造相應(yīng)的障礙，防止攻擊進(jìn)行，即使攻擊者發(fā)現(xiàn)了系統(tǒng)漏洞，也不能對漏洞系統(tǒng)進(jìn)行遠(yuǎn)程控制，提高了信號系統(tǒng)安全數(shù)據(jù)網(wǎng)的安全性。

3.2 網(wǎng)絡(luò)可靠性測試

(1)環(huán)網(wǎng)冗余測試實(shí)驗(yàn)

鏈路失效將導(dǎo)致發(fā)送端到接收端鏈路上所傳輸數(shù)據(jù)包的丟失，根據(jù)數(shù)據(jù)包丟失的個數(shù)和發(fā)送數(shù)據(jù)包之間的時間間隔，可以估算網(wǎng)絡(luò)通信恢復(fù)時間。如圖10所示，假設(shè)網(wǎng)絡(luò)初始時，鏈路10為阻塞鏈路，終端A到B的數(shù)據(jù)傳輸路徑為1-2-3-4-5，假設(shè)當(dāng)鏈路1斷開時，A到B的數(shù)據(jù)傳輸路徑需要切換為10-9-8-7-6，定義鏈路切換過程中，丟失數(shù)據(jù)包個數(shù)為N(N>0)，且每個數(shù)據(jù)包發(fā)送的時間間隔為Ti，則環(huán)網(wǎng)冗余恢復(fù)時間Trecovery可以簡單的估算為Trecovery=NTi。

圖10 環(huán)網(wǎng)冗余實(shí)驗(yàn)拓?fù)鋱D

實(shí)驗(yàn)中，終端A每過一個時間間隔(Ti=1 ms)向終端B發(fā)送一個UDP數(shù)據(jù)包，數(shù)據(jù)包Payload為遞增的序列號，終端B收到數(shù)據(jù)包后對Payload中的序列號進(jìn)行解析與記錄。在鏈路切換的過程中，會出現(xiàn)UDP數(shù)據(jù)包丟失，統(tǒng)計(jì)丟失數(shù)據(jù)包數(shù)量，估算鏈路切換時間。在進(jìn)行50次切換實(shí)驗(yàn)后，平均丟包數(shù)N=8，實(shí)驗(yàn)中數(shù)據(jù)包發(fā)送時間間隔Ti為1 ms，因此網(wǎng)絡(luò)通信的恢復(fù)時間估算值Trecovery=8 ms。與信號安全數(shù)據(jù)網(wǎng)傳統(tǒng)環(huán)網(wǎng)冗余技術(shù)相比，RFTM利用SD-SSDN統(tǒng)一管控，預(yù)先計(jì)算并存貯了環(huán)網(wǎng)冗余切換的轉(zhuǎn)發(fā)信息，當(dāng)鏈路失效時，網(wǎng)絡(luò)直接采用冗余流表進(jìn)行轉(zhuǎn)發(fā)，不需要重新計(jì)算并刷新交換機(jī)的轉(zhuǎn)發(fā)表，從而可以實(shí)現(xiàn)更快速的切換[22]。

(2)控制器失效切換實(shí)驗(yàn)

圖11所示為控制器失效切換過程。

圖11 控制器失效切換時間及實(shí)驗(yàn)原理

T1時刻：MC失效。

T2時刻：SYN模塊通過心跳包的丟失，檢測到MC失效離線；并通知所有從控制器，進(jìn)入主控制選舉流程。

T3時刻：SYN模塊根據(jù)從控制的選舉信息，產(chǎn)生新的主控制器，并通知該控制器為主控制器，可以接管整個網(wǎng)絡(luò)。

T4時刻：SC接收到自己成為主控制器的信息，切換完成時間用Tswitching_controller表示。

實(shí)驗(yàn)中采用兩臺控制器，處于主從工作模式，測量Tswitching_controller表征網(wǎng)絡(luò)控制器的失效恢復(fù)能力。控制器與交換機(jī)通信采用OpenFlow協(xié)議equal模式，即對于交換機(jī)來說，主從控制器處于平等地位，交換機(jī)可以同時接收并執(zhí)行主從控制器發(fā)送的命令；主從控制器的區(qū)分由同步模塊決定，一旦控制器被同步模塊告知為主控制器則控制整個網(wǎng)絡(luò)，從控制器只監(jiān)聽交換機(jī)狀態(tài)，不會向交換機(jī)下發(fā)控制命令。

實(shí)驗(yàn)重復(fù)100次，測量Tswitching_controller，最小值為176 ms，最大值為268 ms，根據(jù)實(shí)驗(yàn)結(jié)果，繪制CDF(Cumulative Distribution Function)曲線，表示在時間t(ms)內(nèi)，可以完成控制器切換的概率，如圖12所示。

圖12 控制器切換時間概率分布圖

SD-SSDN應(yīng)用平面確定信號系統(tǒng)安全數(shù)據(jù)網(wǎng)的管控策略后，把控制器信息映射到交換機(jī)流表中，原理上，控制器切換只會影響到需要上發(fā)到控制器處理的網(wǎng)絡(luò)流量，對于信號系統(tǒng)安全數(shù)據(jù)網(wǎng)業(yè)務(wù)流量不會造成影響。實(shí)驗(yàn)中用Iperf[23]模擬2條UDP業(yè)務(wù)流，帶寬為10 Mbit/s，如圖13所示。一條為需要上發(fā)到控制器處理的業(yè)務(wù)流(圖13上方曲線)，另一條為SD-SSDN根據(jù)信號系統(tǒng)安全數(shù)據(jù)網(wǎng)業(yè)務(wù)預(yù)先下發(fā)給交換機(jī)的業(yè)務(wù)流(圖13下方曲線)。

圖13 控制器切換對信號系統(tǒng)安全數(shù)據(jù)網(wǎng)業(yè)務(wù)影響

(3)自適應(yīng)鏈路聚合實(shí)驗(yàn)

本部分實(shí)驗(yàn)主要測試模塊對鏈路的自適應(yīng)聚能功能，假設(shè)兩臺交換機(jī)間單條鏈路帶寬為Bi，用終端產(chǎn)生4×Bi的流量，當(dāng)兩個交換機(jī)之間的鏈路數(shù)量從1條逐漸增加到4條時，觀察TCP帶寬的變化情況。

實(shí)驗(yàn)中利用4臺主機(jī)充當(dāng)客戶端(C1/C2/C3/C4)，4臺主機(jī)充當(dāng)服務(wù)器(S1/S2/S3/S4)，如圖14所示。在客戶端和服務(wù)器上利用Iperf進(jìn)行TCP帶寬測試，設(shè)置TCP帶寬為1 Gbit/s，由于主機(jī)為千兆網(wǎng)卡，預(yù)計(jì)可產(chǎn)生接近4 Gbit/s的流量。當(dāng)SDN交換機(jī)之間只有一條鏈路時，總TCP帶寬約為950 Mbit/s，隨著鏈路數(shù)量的增加，各個TCP流的帶寬也隨之增加，總的TCP帶寬階梯增長，最后每個TCP流的帶寬接近設(shè)置帶寬，約為950 Mbit/s，實(shí)驗(yàn)測試結(jié)果如圖15所示，鏈路總帶寬的增加正比于鏈路數(shù)量的增加，從而驗(yàn)證了鏈路聚合功能的有效性。

圖14 自適應(yīng)鏈路聚合實(shí)驗(yàn)原理

圖15 鏈路總帶寬變化結(jié)果

4 結(jié)束語

對于實(shí)時性和可靠性要求較高的工業(yè)控制系統(tǒng)網(wǎng)絡(luò)，不能因?yàn)榫W(wǎng)絡(luò)安全措施而影響系統(tǒng)的實(shí)時性和可靠性。本文針對我國高速鐵路信號系統(tǒng)安全數(shù)據(jù)網(wǎng)特點(diǎn)，提出SD-SSDN解決方案，利用軟件定義網(wǎng)絡(luò)技術(shù)，降低網(wǎng)絡(luò)管控的復(fù)雜性，在保障高實(shí)時性和可靠性的前提下，提高了信號系統(tǒng)安全數(shù)據(jù)網(wǎng)的安全性。另外，也驗(yàn)證了SDN技術(shù)可以較好地應(yīng)用于類似信號系統(tǒng)安全數(shù)據(jù)網(wǎng)的工業(yè)控制系統(tǒng)網(wǎng)絡(luò)中。