一种适用于电力应用的Openflow控制器通道加密优化方法

摘要

本发明提供了一种适用于电力应用的Openflow控制器通道加密优化方法包括如下步骤：A、在控制通道上设置电力专用VPN网关；B、在软件定义网络的网络架构中定义Openflow交换机的安全级别，划分电力专用VPN网关的安全级别区域；C、对Openflow控制器发送的控制流信号随机加密后进行安全级别区域匹配判定，若匹配则将控制流信号发送到与安全级别区域相对应的电力专用VPN网关；D、电力专用VPN网关分析控制流信号的安全级别后将控制流信号发送到Openflow交换机。和现有技术相比，本发明提供的Openflow控制器通道加密优化方法可以有效提高电力系统中Openflow交换机与Openflow控制器之间控制通道的安全性并可以根据不同终端的安全等级要求进行选择性加密与深度加密。

说明书

技术领域

本发明涉及一种Openflow控制器通道的加密优化方法，具体讲涉及一种适用于电力应用 的Openflow控制器通道加密优化方法。

背景技术

软件定义网络（Software Defined Network，SDN）是一种全新的网络架构，它的设计理 念是将网络的控制平面与数据转发平面分离并实现可编程化控制。软件定义网络利用独立的 网络操作系统对网络进行控制，采用标准化的硬件设备，对网络和业务进行编程管理；由于 “控制和转发分离”，“控制平台逻辑集中”和“通用硬件及软件可编程”三大特性，软件定 义网络带来了一系列在成本、业务开展等方面的优势。

Openflow技术来源于对试验SDN新型网络协议的可编程网络的需求，其核心内容是对 网络数据流的分类算法。Openflow交换机由三部分组成：一个指示交换机如何处理数据流的 数据流表；一个用于连接交换机与外部控制器之间的指令和数据包传递的安全通道和一个为 外部控制器与交换机之间通信提供开放的、标准化方法的Openflow协议。在Openflow标准 中，交换机与外部控制器之间的安全通道采用TLS（Transport Layer Security）连接加密；当 交换机启动时，尝试连接到外部控制器的6633TCP端口，双方通过交换证书进行认证；因此， 每个交换机至少需配置两个证书，一个用来认证外部控制器，一个用来向外部控制器发出认 证。

但是，这种基于Openflow标准的通道加密方法无法区分每台Openflow交换机的安全级 别，并且在一些安全需求较高的应用环境，如电力通信中，不能满足通信安全的需求；因此 提供一种能够适用于电力应用的更为安全的Openflow控制器通道加密优化方法显得尤为重 要。

发明内容

为了满足现有技术的需要，本发明提供了一种适用于电力应用的Openflow控制器通道加 密优化方法；所述Openflow控制器通道为Openflow控制器与Openflow交换机之间的控制通 道；所述方法包括如下步骤：

A、在所述控制通道上设置电力专用VPN网关；

B、在软件定义网络的网络架构中定义Openflow交换机的安全级别，划分所述电力专用 VPN网关的安全级别区域；所述安全级别区域与所述安全级别一一对应；

C、对所述Openflow控制器发送的控制流信号随机加密后进行所述安全级别区域匹配判 定，若匹配则将所述控制流信号发送到与所述安全级别区域相对应的所述电力专用VPN网关；

D、所述电力专用VPN网关分析所述控制流信号的安全级别后将其发送到所述Openflow 交换机。

优选的，所述步骤C中的所述电力专用VPN网关接收所述控制流信号后依据所述控制流 信号的安全级别对所述控制通道进行认证和解密所述控制流信号；

优选的，所述步骤D中若所述安全级别低于安全级别阈值时，所述电力专用VPN网关将 所述控制流信号TLS连接加密后发送到所述Openflow交换机；若所述安全级别高于所述安全 级别阈值时，所述电力专用VPN网关通过隧道模式对所述控制通道认证和加密所述控制流信 号后将所述控制流信号发送到所述Openflow交换机；

优选的，所述电力专用VPN网关通过隧道模式对所述控制流信号加密时采用国密算法；

优选的，所述电力专用VPN网关对所述控制通道认证后，所述控制通道自动打开；所述 控制流信号以Openflow标准进行传递。

本发明的优异效果是：

1、本发明技术方案中，通过对每台Openflow交换机定义安全级别，并依据所述安全级 别划分电力专用VPN网关的安全级别区域，使得Openflow控制器通道加密时能够区分每台 Openflow交换机的安全级别，更加安全可靠；

2、本发明技术方案中，通过设定安全级别阈值判定控制流信号的安全级别，根据每台 Openflow交换机的安全级别进行选择性加密；安全级别较低的节点可直接通过VPN网关与 Openflow控制器以Openflow标准中定义的TLS连接加密进行通信，安全级别较高的节点与 VPN网关间通道加密采用不对外公开的国密算法，满足了电力通信系统等对通信安全要求较 高的应用环境的需求，增加了网络安全控制通道的灵活性、适用范围更广；

3、本发明技术方案中，采用电力专用VPN网关虚拟隔断Openflow控制器与Openflow交 换机之间控制通道，实现了Openflow交换机与VPN网关的通道间加密、认证及数据防篡改功 能；

4、本发明提供的一种适用于电力应用的Openflow控制器通道加密优化方法可以有效提 高电力系统中Openflow交换机与Openflow控制器之间控制通道的安全性并可以根据不同终 端的安全等级要求进行选择性加密与深度加密。

附图说明

下面结合附图对本发明进一步说明。

图1是：本发明实施例中的一种适用于电力应用的Openflow控制器通道加密优化方法流 程图。

图2是：本发明实施例中的Openflow控制器通道结构图。

具体实施方式

下面将结合本申请实施例中的附图，对本申请实施例中的技术方案进行清楚、完整地描 述。

图1示出了本发明提供的一种适用于电力应用的Openflow控制器通道加密优化方法的流 程图；所述方法包括如下步骤：

A、在Openflow控制器与Openflow交换机之间的控制通道上设置电力专用VPN网关 （Virtual Private Network，VPN）；

B、在软件定义网络的网络架构中定义Openflow交换机的安全级别，并依据所述安全级 别划分电力专用VPN网关的安全级别区域，使得安全级别区域与所述安全级别一一对应；

C、Openflow控制器与电力专用VPN网关之间的控制通道对Openflow控制器发送的控制 流信号进行随机加密；将随机加密后所述控制流信号与电力专用VPN网关的安全级别区域匹 配判定，若结果匹配则将控制流信号发送到与安全级别区域相对应的电力专用VPN网关；

电力专用VPN网关接收控制流信号后依据其安全级别对Openflow控制器与Openflow交 换机之间的控制通道进行认证并解密控制流信号；

D、电力专用VPN网关对控制流信号的安全级别进行分析后发送到相应的Openflow交换 机；所述分析方法包括：

在软件定义网络的网络架构中定义Openflow交换机的安全级别阈值；若控制流信号的安 全级别低于安全级别阈值时，电力专用VPN网关将控制流信号依据Openflow标准定义的TLS 连接加密后发送到Openflow交换机；

若控制流信号的安全级别高于安全级别阈值时，电力专用VPN网关通过隧道模式对 Openflow控制器与Openflow交换机之间的控制通道进行认证并对控制流信号加密后将控制 流信号发送到Openflow交换机。

所述方法中电力专用VPN网关通过IPSEC VPN（Internet Protocol Security，IPSEC）的隧 道模式对控制流信号加密时采用国密算法；电力专用VPN网关对Openflow控制器与Openflow 交换机之间的控制通道认证后，控制通道自动打开；控制流信号以Openflow标准进行传递。

图2示出了本实施例中的Openflow控制器通道结构图；Openflow控制器分别与N个 Openflow交换机相连，N的数目至少为2，形成N条控制通道；Openflow交换机以树型结构 相连；同时在Openflow控制器与Openflow交换机之间设置虚拟化的电力专用VPN网关。

本发明提供的一种适用于电力应用的Openflow控制器通道加密优化方法可以有效提高 电力系统中Openflow交换机与Openflow控制器之间控制通道的安全性并可以根据不同终端 的安全等级要求进行选择性加密与深度加密。

最后应当说明的是：所描述的实施例仅是本申请一部分实施例，而不是全部的实施例。 基于本申请中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其 他实施例，都属于本申请保护的范围。