SD-SSDN:基于SDN架構的高速鐵路信號系統安全數據網的安全管控研究

李賽飛，閆連山，郭 偉，陳建譯

(1.西南交通大學信息科學與技術學院, 四川成都 610031；2.廣州鐵路集團公司電務處, 廣東廣州 510088)

近年來，信息資源與關鍵基礎設施已成為國家發展重要的戰略資產和核心要素，網絡安全在國家安全諸要素中的地位日益凸顯。與此同時，我國高速鐵路和城市軌道交通高速發展，信息網絡技術已經滲透到其中的各個領域。本文所關注的鐵路信號控制技術與信息網絡技術不斷融合，在促進我國高速鐵路快速發展的同時，所帶來的網絡安全問題也得到越來越多的關注。

從信號系統網絡自身發展來講，原來信號系統孤立封閉運行，隨著網絡信息技術大量運用，業務需求不斷增長，未來將具有更高的開放性和更廣泛的互聯性。然而，與信號控制系統網絡相適應的安全防護技術尚未完善；與此同時，網絡規模不斷擴大，網絡配置管理越來越復雜，也給信號系統網絡的可控性、安全性和可靠性帶來了潛在的負面影響。從信號系統專用網絡外部環境來講，恐怖主義和黑客行為，對國家關鍵信息基礎設施網絡安全造成嚴重威脅，各個國家和組織越來越注重對關鍵信息基礎設施網絡攻擊的技術儲備，力爭在網絡空間安全中掌握主動。據國外媒體報道[1]，僅2015年英國鐵路網絡就已經遭受4次嚴重的網絡攻擊。鐵路信號控制系統作為國家關鍵基礎設施，其相關的網絡安全研究在國內外引起高度重視[2-7]，已有研究在整體上對歐洲鐵路信號系統的安全性進行了分析，但相關技術細節由于敏感性原因，未對外界披露，因此，我國鐵路信號系統網絡安全防護研究亟待加強。我國在歐洲鐵路信號控制系統的基礎上進行了創新發展，深入研究我國鐵路信號控制系統網絡信息安全具有重大意義。

信號系統安全數據網[8-9]承載著我國高速鐵路列控核心業務，聯鎖CBI、列控中心TCC、無線閉塞中心RBC和臨時限速服務器TSRS等關鍵信號設備均連接在信號系統安全數據網之上。信號系統安全數據網具有分布式工業控制系統網絡特點，并且每條高鐵線路上的車站之間，不同線路的信號系統安全數據網之間，跨越廣闊地域，互聯互通。隨著我國高速鐵路的建設，將成為覆蓋全國的大型網絡。結合信號系統安全數據網現狀與未來發展，存在以下幾個方面的問題需要深入研究和解決：

第一，由于信號系統安全數據網的分布式工業控制系統網絡特點，網絡結構扁平(信號安全數據網基本上采用二層網絡組網)，覆蓋廣闊地域，設計之初較少考慮網絡攻擊問題，設備生命周期長，所采用的技術及安全手段容易被黑客超越，信號控制設備計算資源有限，并且對可靠性和實時性的要求較高，傳統的網絡安全方案不能很好地解決其所面臨的問題，故在信號系統安全數據網中沒有部署防火墻等傳統網絡安全設備，信號控制設備上也較難安裝防病毒軟件或終端加固程序等。然而，一般全面的防護需要從設備終端、網絡邊界和網絡本身實施縱深防御，由于信號系統安全數據網的特點，需要從新的技術和角度提高其安全性。

第二，信號安全數據網配置及安全管理復雜性問題。很多網絡安全問題由網絡配置和管理的復雜性引起，網絡和業務越復雜，越容易導致配置和管理失誤。高速鐵路建設不斷發展，新建高速鐵路需要與正在運營的高速鐵路互聯互通，同時越來越多的線路引入鐵路樞紐地區，導致樞紐地區信號系統安全數據網接入越來越多，多條線路的信號系統安全數據網之間互聯互通，往往牽一發而動全身，增加了信號系統安全數據網規劃、配置和網絡安全防護的復雜性[10]。

第三，信號系統安全數據網網絡信息安全(Security)對整個系統RAMS(可靠性、可用性、可維護性和安全性Safety)影響[11]。網絡攻擊可能會嚴重影響信號系統安全數據網的可靠性及可用性，信號系統在設計時未考慮網絡和信息安全對系統安全性的影響。例如鄭西高鐵信號系統安全數據網曾因為環網網絡震蕩引起網絡風暴，造成列控中心板卡故障，嚴重影響整個鄭西高速鐵路列控系統的可用性[12]。

針對上述問題，本文進行深入探索，提出一種基于SDN的信號系統安全數據網網絡架構和網絡統一安全管控方案，命名為SD-SSDN(Software-defined Signal Safety Date Network)，使網絡具有可編程特性，可以應對網絡管控的復雜性，使得網絡管控和配置更加自動化和智能化；進一步通過統一管控，使網絡具有強大精細的網絡流控能力，減小了信號系統安全數據網攻擊面，提高網絡的安全性，同時可以滿足鐵路信號控制系統網絡高可靠性和實時性要求。

軟件定義網絡(Software-Defined Networking)是一種新的網絡架構[13-14]，通過把網絡的控制平面和數據平面分離，實現對網絡的集中和統一管控，具有網絡可編程特性。SDN核心理念是希望提供一種網絡架構，通過對網絡數據平面和控制平面的合理抽象，摒棄現在網絡分散控制及修修補補的做法，從根本設計上解決網絡及網絡安全所面臨的各種問題，被認為是下一代網絡的演進方向，因此成為國內外研究的熱點。目前已結合網絡功能虛擬化(Network Function Virtualization)等技術用以解決運營商網絡以及數據中心網絡等難以解決的問題。

本文針對鐵路信號系統業務特點，利用SDN架構探索定制信號系統安全數據網的解決方案。通過面向業務的白名單控制器邏輯流表設計方法，使得安全成為SD-SSDN的一個根本屬性，針對信號系統專有協議，最小化網絡訪問控制粒度，從而提高信號安全數據網的安全性。在此基礎上高效地實現了基于SDN的信號系統安全數據網抗網絡震蕩的環網冗余技術和自適應鏈路聚合技術等保障信號系統網絡高可靠性的技術，滿足信號系統安全數據網可靠性要求。另一方面，基于白名單的SDN流控技術把訪問控制安全作為網絡設備的一個基本特性，不采用專用的網絡安全設備(例如防火墻)架設在通信線路之中，在增加安全性的同時，不會增加網絡時延，保證了信號系統安全數據網實時性要求。

1 SD-SSDN網絡安全管控架構

1.1 系統架構概述

SD-SSDN管控架構分為3個平面，分別為數據平面、控制平面和應用平面。通過3個平面的劃分，對每一個平面進行合理的定義和抽象，每個平面屏蔽自身的復雜性，為上層平面提供統一、簡潔的應用接口，這是SDN實現網絡功能的一種新方式，為解決工業控制系統網絡安全問題提供一種新的思路。簡單來講，SDN把網絡數據平面抽象為Match和Action操作，定義了數據平面處理數據包的行為，對于匹配到的數據包，做出相應的處理，處理包括對數據包的轉發、修改和丟棄等。邏輯集中的網絡控制平面負責與交換機進行通信，生成整個網絡的全局視圖，提供給網絡應用平面。最后，應用平面根據全局的網絡視圖，編寫程序，實現網絡功能，對網絡進行控制。

本文通過對高速鐵路信號系統安全數據網3個平面的設計和實現，研究探索如何基于SDN架構，提高信號系統安全數據網(或類似具有高可靠性和高實時性要求的工業控制網絡)的網絡安全性。所提出的基于SDN的信號系統安全數據網數據平面包括支持軟件定義網絡管理的協議棧(OpenFlow[13,15])和網絡交換硬件設備。網絡架構和系統組成如圖1所示。

圖1 SD-SSDN網絡架構和系統組成

1.2 SD-SSDN網絡數據平面

(1)專用信令網絡和通道

信號系統安全數據網聯通鐵路沿線各個車站，每個車站均設置有信號系統安全數據網交換機，光纜沿鐵路沿線鋪設。SD-SSDN可以利用鐵路沿線光纜鏈路，構建信令專用物理鏈路和網絡，與網絡傳輸的業務數據分離。網絡控制數據和業務數據傳輸物理隔離，從而進一步增加網絡安全性和可靠性。在傳統網絡架構中，網絡自身的控制數據和其所承載的業務數據只能在同一個網絡上傳輸，存在諸多安全隱患，例如，信號系統安全數據網中由于鏈路震蕩所引起的廣播風暴問題。

(2)數據平面設計

SD-SSDN管控方案的基本設計思想是把信號系統安全數據網中所承載的列控業務流映射為數據平面的網絡流，采用業務流和網絡流白名單機制，實現網絡接入控制、網絡訪問控制和異常檢測，實現精細粒度的信號系統安全數據網網絡流控，從而最大程度上減小信號系統安全數據網網絡攻擊界面。對信號系統安全數據網業務流進行分析，包括理清信號系統安全數據網中所需協議類型，設備之間的業務通信關系和流量模型等，把業務流映射為網絡流；根據網絡流及要實現的其他管控功能(如環網冗余)，設計網絡數據平面流表，進一步實現網絡流到交換機流表的映射，以及網絡管控功能到流表的映射。

信號系統安全數據網承載著地面列控核心設備之間的通信業務，地面列控設備包括TCC、CBI、TSRS和RBC。以CBI與RBC之間的通信業務為例，對SD-SSDN數據平面設計進行說明。CBI與RBC之間業務流分析見表1，根據分析所設計的交換機流表(圖2)，總體結構上流表可以分為3類：資產綁定及流控、業務流流量限速和冗余轉發流表。

物理綁定關系過濾流表，可以實現接入設備的MAC地址、IP地址和交換機端口的綁定，不符合綁定關系的數據包進入交換機后，在此流表中會被過濾。

表1 CBI-RBC業務流分析

圖2 SD-SSDN數據平面流表結構設計

網絡允許協議流表，可以根據網絡管理的需要設定網絡允許哪些協議，對于網絡中沒有設置允許的協議類型的數據包，交換機會進行過濾處理。同時，此流表根據數據包協議類型，完成對于下一級流表的映射，把數據包轉發到其相對應的協議策略流表進行處理。

網絡流過濾流表組包括對網絡允許協議進行處理的策略流表。以CBI-RBC業務流為例(表1)，CBI-RBC采用TCP協議進行通信，通過源物理端口、目的物理端口、源IP、目的IP、源TCP端口、目的TCP端口以及業務流向7元組可以精確描述此業務流。通過應用控制平面對業務進行注冊，實現對信號安全數據網中業務流的精細管控，對于未注冊的業務，可以把其數據包丟棄，或者把數據流導向蜜網，對惡意流量及異常行為進行分析，實現主動防護。另外，對于需要限速的網絡流，可以對數據包DSCP字段進行設置，交換機可以根據限速值進行限速。

經過前面3個流表的過濾，符合規則的網絡流將進入流量限速流表，交換機會根據數據包DSCP字段值，對業務量流量進行相應的限速。

圖2中流表5和流表6為環網冗余和自適應鏈路聚合流表。網絡控制平面對信號系統安全數據網所有的鏈路失效情況進行計算，針對不同的鏈路失效，生成在此鏈路失效情況下的轉發流表。環網冗余映射流表會根據鏈路狀態，把數據包映射到相應的轉發流表進行轉發。進入轉發流表后，如果此交換機相鄰交換機存在多條鏈路，交換機將會根據鏈路負載情況，選擇一條鏈路把數據包發送出去。環網冗余和自適應鏈路聚合功能將在應用平面設計中具體介紹。

1.3 SD-SSDN網絡控制平面

控制器為SD-SSDN網絡控制的一個核心部件，為保證信號系統安全數據網的高可靠性，本文根據不同的網絡場景，設計采用不同的多控制器協同控制方案，當某個或某些控制器失效時不會影響網絡正常運行。包括多控制器主從控制模式、分布式控制模式和分布式集群控制模式。

(1)主從控制模式設計

在多控制器主從控制模式下，每個交換機可以連接多個控制器，所有連接的控制器中，有一個主控制，其余為從控制器；由主控制器控制網絡，從控制器維持與交換機的連接，并且從主控制器同步網絡狀態。控制器同步模塊主要實現控制器之間信息同步、主控制器選舉、控制器狀態監測以及控制器身份切換等。

(2)分布式控制模式設計

根據全球SDN測試認證中心的測試報告[16]，以RYU控制為例，最多控制300個交換機，超過額定數量的交換機，需要額外的控制器。另外，為了保障控制器與交換機通信的時延較小，需要分布式控制。在分布式控制模式下，不同控制域的交換機與各自的區域控制器建立連接，對于各自控制域內的網絡業務流，由該區域控制器獨立控制；需要跨越多個控制域的網絡流，各個區域控制器協同控制。對于應用平面來講，控制平面為其提供全局的網絡視圖。這種架構存在的問題在于，如果區域控制器1失效，則控制域1內的交換機將失去控制，因此，對于規模龐大，可靠性要求高的網絡，還需要分布式控制器集群工作模式。

(3)分布式集群控制模式設計

針對規模龐大，可靠性要求較高的網絡，本文設計提出分布式集群控制模式。為了使得每個控制器都可以獲得全局網絡信息，同時把復雜性控制在可以接受的范圍內，控制器的同步分為域間同步和域內同步。域間同步模塊負責不同控制域的信息同步，域內同步模塊負責控制器域內的信息同步。在一個控制域內，所有控制器服從主從工作模式，不同域的主控制器同時還處于分布式控制模式。控制域A主控制器的域間同步模塊和域內同步模塊同時處于工作狀態，控制域A從控制器則只有域內同步模塊處于工作狀態。當控制域A主控制器失效時，則在該域內的從控制器中產生一個新的該域主控制器。

1.4 SD-SSDN網絡應用平面

SD-SSDN網絡管控功能由應用平面實現。網絡管控實現對信號系統安全數據網中網絡流的精細管控。網絡流控的物理基礎是網絡信息系統中的所有資產(包括網絡設備和終端設備)；網絡流控的依據是信息系統中資產間所流動的信息流和業務鏈。SD-SSDN應用平面實現了如下4個功能模塊，包括網絡資產的注冊和管理、信號系統安全數據網業務流的嚴格控制、網絡高可靠性管理以及網絡風險感知和檢測。

(1)信號系統安全數據網資產注冊及管理

SD-SSDN管控的基礎是對網絡中所有交換機和接入終端的管理，通過對資產的注冊，應用平面可以實現對網絡設備、終端設備和網絡業務的認證。首先對交換機進行認證，然后對接入網絡的終端設備進行認證。結合數據平面設計，對于終端設備的認證是基于物理位置(設備接入交換機物理端口)、設備指紋(如MAC地址、IP地址、操作系統等)和業務關系三者之間的綁定。可以實現對設備接入和訪問的嚴格管理。另一方面，SD-SSDN可以簡化網絡配置和管理，通過集中統一管控，利用圖形化、可視化和可編程網絡等技術，把管理員從復雜命令行形式的網絡管理中解放出來。

(2)面向信號系統安全數據網業務流控

業務流控指的是通過對信號系統安全數據網設備間通信應用層業務進行描述，網絡中只允許配置的業務流通行，根據應用層業務白名單，實現對網絡的精細管控，在最大程度上減小信號安全數據網的攻擊界面。目前，信號安全數據網是一個廣泛互聯的二層以太網網絡，一般只有在不同信號安全數據網連接處設置有ACL功能的三層交換機設備。SD-SSDN整個網絡本身構成了一個應用層防火墻，而且利用邏輯集中、統一管控和可視化等技術，使得配置方便簡單，配合資產注冊及管理模塊，使信號安全數據網的防護更加嚴密。

如圖3所示，在理清信號系統安全數據網設備業務通信關系的基礎上，管理員可以通過Web管理界面對全網的通信業務進行描述和注冊。例如，某車站CBI與RBC通信業務，采用RSSP-Ⅱ協議，CBI為客戶端(設備名稱：A站CBI，IP地址為10.0.0.1)，TCP源端口為5000，RBC為服務端(設備名稱：武廣RBC1，IP地址為10.0.0.2)，目的端口為5001，管理員在Web界面錄入信號數據網中各個業務信息，SD-SSDN應用平面根據輸入數據信息生成SD-SSDN控制程序可以理解的數據結構，即為信號系統安全數據網業務通信矩陣，從而實現信號安全數據網業務流控。然后，根據全局網絡信息，針對不同交換機，生成不同的過濾流表項，通過控制平面下發給交換機。

(3)信號系統安全數據網高可靠性管理

在SD-SSDN架構上，本文提出一種基于OpenFlow多級流表的環網冗余技術與自適應鏈路聚合技術，并且解決了因為環網冗余技術失效而引起的網絡廣播風暴問題，提高了信號安全數據網的安全性和可靠性。下面對本文提出的兩個技術分別進行介紹。

①基于OpenFlow多級流表的冗余流表映射冗余技術信號系統安全數據網環網冗余要求當鏈路或交換機失效時，對網絡轉發進行快速切換(網絡恢復時間<500 ms)。本文所提出的方案利用統一管控優勢[17]，提出一種全新的環網冗余實現方法——基于OpenFlow多級流表的冗余流表映射技術RFTM (Redundant Flow Table Mapping)。SD-SSDN控制器對網絡擁有全局視角，獲取整個網絡拓撲如圖4所示，為5個網絡節點和鏈路組成的環網，RFTM算法枚舉每條鏈路失效情況，并計算生成每條鏈路失效情況下的冗余轉發流表。例如，RFTM假設鏈路1失效，根據鏈路1失效情況下的拓撲，利用Floyd算法，計算每一個交換機節點到其他任何一個交換機節點的轉發路徑，并根據計算所得的轉發路徑為各交換機生成對應的冗余轉發流表1。RFTM在初始化階段設置鏈路1為冗余備用鏈路，并使網絡采用鏈路1失效時的冗余流表1進行轉發。當RFTM檢測到其他路徑失效時(例如鏈路2失效)，采用OpenFlow Goto Table指令，使網絡中各交換機節點采用鏈路2失效時所對應的冗余轉發流表2進行轉發，完成環網冗余切換。不需要重新計算路由并進行大范圍修改操作，原理上大幅提高了鏈路失效的網絡恢復時間。

圖3 應用平面業務流控模塊

RFTM技術將網絡恢復操作的時間縮短到了修改一條流表項的時間，再加上SD-SSDN架構下，控制器的網絡全局視野對鏈路失效的檢測發現時間遠低于傳統網絡鏈路失效的發現時長。因此，RFTM技術在原理上優于傳統環網冗余技術。因此不存在網絡鏈路震蕩問題。

②自適應鏈路聚合技術

鏈路聚合技術是一種提高網絡帶寬、增強網絡健壯性的技術，傳統網絡中通常使用鏈路聚合控制協議LACP(Link Aggregation Control Protocol)來實現此功能，使用此協議最大的缺點就是需要人為地對每臺交換機進行配置，通過命令將某些端口加入一個聚合組，從而通過LACP協議來實現負載均衡、故障倒換等功能，因此網絡缺乏靈活性，網絡發生變化時需要人工對每臺交換機重新進行配置，增加了網絡管理的復雜性。

與LACP協議不同，SD-SSDN利用全局網絡信息可以自動判斷兩臺交換機的直連鏈路和端口情況，識別出需要聚合的鏈路，實現了網絡的自適應鏈路聚合功能，管理員不需要進行任何配置。SD-SSDN鏈路聚合功能模塊基于LLDP(鏈路層發現協議)技術，通過發送/接收LLDP報文，可以識別兩個交換機之間物理鏈路的增加和斷開情況，根據兩臺交換機之間相連的物理鏈路數量(當數量大于1時)，把多條物理鏈路聚合成一條邏輯鏈路，并且利用OpenFlow Group Table技術，在多條鏈路上實現負載均衡，增加鏈路帶寬。原理同上，當有物理鏈路故障時，功能模塊會將該鏈路的流量快速轉移到其余鏈路上，并在其余鏈路上重新負載均衡，增強了網絡的健壯性。當交換機之間增加鏈路時，不需要管理員進行干預，明顯降低了網絡管理的復雜性，節省了鐵路施工寶貴的天窗時間。

(4)信號系統安全數據網風險感知及檢測

通過信號系統安全數據網業務通信矩陣和設備資產綁定注冊，SD-SSDN可以準確地識別出網絡中的異常流量。對于不符合業務通信矩陣和資產綁定注冊關系的流量，SD-SSDN風險感知及檢測模塊記錄數據的指紋信息(例如，所在交換機端口、MAC地址、IP地址等)，提供給網絡管理人員進行追蹤溯源，及時發現問題；另一面，可以把異常流量導入蜜網中，進行誘導和主動防御，進一步獲取攻擊所采用的技術手段等安全情報信息。

2 實驗原型系統及測試床

為了驗證本文所提出方案，在實驗室搭建了高速鐵路信號系統半實物仿真平臺，最多可以模擬15個車站的高速鐵路信號系統安全數據網，并模擬CBI、TCC、RBC和TSRS等列控業務。SDN交換機采用Linux操作系統，運行OpenvSwitch[18]交換機程序，支持OpenFlow1.5協議，有2個萬兆光口和8個千兆以太網口，組成光纖環網，光纖鏈路長度為1 km。SDN控制器硬件采用3臺聯想RD640服務器，軟件程序在Ryu[19]基礎上進行開發。

3 實驗設計及結果

3.1 基于攻擊鏈的攻擊防護測試

(1)實驗原理

攻擊者的攻擊行為可以用攻擊鏈來表示，本文簡要將其分為4個階段：偵察階段、滲透攻擊階段、攻陷控制階段和惡意行為階段。

偵察階段：攻擊者通過網絡掃描器(例如Nmap[20])收集信息，掌握目標機器的系統、端口和漏洞等信息。

滲透攻擊階段：攻擊者利用棧堆方面的漏洞、系統平臺方面的漏洞、邏輯配置錯誤方面的漏洞、內存破壞方面的漏洞等，對目標主機發起攻擊，向目標主機發送相關的漏洞利用代碼。

攻陷控制階段：攻擊者成功進入目標主機后在目標主機中安裝惡意軟件(如木馬，后門等)，通過這些惡意的工具實現與黑客的控制鏈接。

惡意行為階段：攻擊者可以偷取系統信息，刪除文件，破壞系統信息的完整性和可用性，或者以控制機器為跳板，攻擊其他主機等。

實驗根據上述攻擊鏈，假設一個針對信號系統安全數據網的攻擊場景，驗證SD-SSDN對攻擊的防護能力。該實驗攻擊場景同時適用于SDN和非SDN控制架構。實驗場景的前提條件和假設如下：

假設一 攻擊者潛入一個無人值守車站的信號機房，控制了一臺信號安全數據網終端設備，可以通過此終端發起攻擊。或者可以完全偽裝成一臺合法的信號系統安全數據網終端設備，包括接入端口、MAC地址、IP地址等。

假設二 信號安全數據網中某一臺終端設備存在緩沖區溢出漏洞(MS08-067)，并且攻擊者可以成功利用此漏洞。

實驗拓撲如圖5所示，假設實驗網絡中的通信業務見表2，終端A為攻擊者所控制的信號系統安全數據網設備，終端B、C、T為信號系統安全數據網中的合法終端，其中終端T具有緩沖區溢出漏洞(MS08-067)。根據表2所示業務流，SD-SSDN應用平面生成信號系統安全網業務通信矩陣，交換機數據平面業務流和網絡流白名單如圖6所示。通過對比實驗來說明SD-SSDN對攻擊鏈上各個攻擊環節的阻斷情況。

表2 實驗網絡中的通信業務

圖5 攻擊防護測試原理圖

圖6 SD-SSDN數據平面網絡流白名單流表

(2)實驗結果

網絡主機發現掃描結果對比：攻擊者通過終端A獲得信號系統安全數據網網段信息，通過nmap對網絡中存在的主機進行掃描，如圖7(a)所示，攻擊者可以發現網絡中的所有設備(B、C和T)。在SD-SSDN防護下，攻擊者只能發現與終端A有業務通信的終端T，無法知道終端B和C的存在，掃描結果如圖7(b)所示。SD-SSDN減小了攻擊面，降低了系統終端遭受攻擊的風險，可以把攻擊者隔離在較小的網絡系統范圍內。

主機端口和漏洞掃描結果對比：攻擊者發現網絡中存在的主機后，通過命令(nmap - - script=smb-vuln-ms08-067.nse - - script-args=unsafe=1 10.0.0.2)對終端T所開放的端口進行掃描，并檢查終端T是否存在smb服務相關漏洞，結果如圖8(a)所示，攻擊者可以獲得終端T的端口信息(包括445端口等11個端口的信息)、操作系統信息，并準確識別出了系統所存在的緩沖區溢出漏洞。在SD-SSDN防護下實驗結果如圖8(b)所示，如果攻擊者在不知道終端A與T的通信業務端口的情況下，會隨機選擇一個源端口發送掃描數據包，攻擊者不能獲得任何端口和漏洞信息；如果攻擊者通過其他方式，知道終端A與其他終端業務通信所采用的源端口，攻擊者在指定掃描所采用的源端口為5000時(通信業務見表2)，只能獲得445端口信息，并且不能識別出系統所存在漏洞；在指定掃描所采用的源端口為5001時，只能獲得6002端口信息。在黑客對主機進行端口和漏洞掃描階段，SD-SSDN可以進行有效的防護，使攻擊者不能識別出系統的漏洞信息，同時，攻擊者也不能獲取其他的端口信息。

圖7 網絡主機發現掃描結果對比

圖8 主機端口和漏洞掃描結果對比

攻陷控制結果對比：假設攻擊者在發現系統存在漏洞后，將嘗試利用漏洞攻陷系統，例如取得系統遠程控制權限或對系統進行DoS攻擊。如圖9(a)所示，攻擊者利用Metasploit[21]工具，對漏洞(ms08_067_netapi)進行滲透攻擊，攻擊載荷采用TCP反向連接，可以使被攻擊終端T反彈一個Windows命令行，攻擊者通過該命令行對終端T進行控制。攻擊者在取得終端T的控制權限后就可以進入后續的惡意行為階段。在SD-SSDN防護下實驗結果如圖9(b)所示，攻擊者不能成功利用ms08_067漏洞，因為任何不符合信號系統安全數據網業務通信矩陣的網絡流均不能進入網絡。

圖9 攻陷控制結果對比

實驗表明，SD-SSDN提高了攻擊者的攻擊門檻，在攻擊鏈的各個階段制造相應的障礙，防止攻擊進行，即使攻擊者發現了系統漏洞，也不能對漏洞系統進行遠程控制，提高了信號系統安全數據網的安全性。

3.2 網絡可靠性測試

(1)環網冗余測試實驗

鏈路失效將導致發送端到接收端鏈路上所傳輸數據包的丟失，根據數據包丟失的個數和發送數據包之間的時間間隔，可以估算網絡通信恢復時間。如圖10所示，假設網絡初始時，鏈路10為阻塞鏈路，終端A到B的數據傳輸路徑為1-2-3-4-5，假設當鏈路1斷開時，A到B的數據傳輸路徑需要切換為10-9-8-7-6，定義鏈路切換過程中，丟失數據包個數為N(N>0)，且每個數據包發送的時間間隔為Ti，則環網冗余恢復時間Trecovery可以簡單的估算為Trecovery=NTi。

圖10 環網冗余實驗拓撲圖

實驗中，終端A每過一個時間間隔(Ti=1 ms)向終端B發送一個UDP數據包，數據包Payload為遞增的序列號，終端B收到數據包后對Payload中的序列號進行解析與記錄。在鏈路切換的過程中，會出現UDP數據包丟失，統計丟失數據包數量，估算鏈路切換時間。在進行50次切換實驗后，平均丟包數N=8，實驗中數據包發送時間間隔Ti為1 ms，因此網絡通信的恢復時間估算值Trecovery=8 ms。與信號安全數據網傳統環網冗余技術相比，RFTM利用SD-SSDN統一管控，預先計算并存貯了環網冗余切換的轉發信息，當鏈路失效時，網絡直接采用冗余流表進行轉發，不需要重新計算并刷新交換機的轉發表，從而可以實現更快速的切換[22]。

(2)控制器失效切換實驗

圖11所示為控制器失效切換過程。

圖11 控制器失效切換時間及實驗原理

T1時刻：MC失效。

T2時刻：SYN模塊通過心跳包的丟失，檢測到MC失效離線；并通知所有從控制器，進入主控制選舉流程。

T3時刻：SYN模塊根據從控制的選舉信息，產生新的主控制器，并通知該控制器為主控制器，可以接管整個網絡。

T4時刻：SC接收到自己成為主控制器的信息，切換完成時間用Tswitching_controller表示。

實驗中采用兩臺控制器，處于主從工作模式，測量Tswitching_controller表征網絡控制器的失效恢復能力。控制器與交換機通信采用OpenFlow協議equal模式，即對于交換機來說，主從控制器處于平等地位，交換機可以同時接收并執行主從控制器發送的命令；主從控制器的區分由同步模塊決定，一旦控制器被同步模塊告知為主控制器則控制整個網絡，從控制器只監聽交換機狀態，不會向交換機下發控制命令。

實驗重復100次，測量Tswitching_controller，最小值為176 ms，最大值為268 ms，根據實驗結果，繪制CDF(Cumulative Distribution Function)曲線，表示在時間t(ms)內，可以完成控制器切換的概率，如圖12所示。

圖12 控制器切換時間概率分布圖

SD-SSDN應用平面確定信號系統安全數據網的管控策略后，把控制器信息映射到交換機流表中，原理上，控制器切換只會影響到需要上發到控制器處理的網絡流量，對于信號系統安全數據網業務流量不會造成影響。實驗中用Iperf[23]模擬2條UDP業務流，帶寬為10 Mbit/s，如圖13所示。一條為需要上發到控制器處理的業務流(圖13上方曲線)，另一條為SD-SSDN根據信號系統安全數據網業務預先下發給交換機的業務流(圖13下方曲線)。

圖13 控制器切換對信號系統安全數據網業務影響

(3)自適應鏈路聚合實驗

本部分實驗主要測試模塊對鏈路的自適應聚能功能，假設兩臺交換機間單條鏈路帶寬為Bi，用終端產生4×Bi的流量，當兩個交換機之間的鏈路數量從1條逐漸增加到4條時，觀察TCP帶寬的變化情況。

實驗中利用4臺主機充當客戶端(C1/C2/C3/C4)，4臺主機充當服務器(S1/S2/S3/S4)，如圖14所示。在客戶端和服務器上利用Iperf進行TCP帶寬測試，設置TCP帶寬為1 Gbit/s，由于主機為千兆網卡，預計可產生接近4 Gbit/s的流量。當SDN交換機之間只有一條鏈路時，總TCP帶寬約為950 Mbit/s，隨著鏈路數量的增加，各個TCP流的帶寬也隨之增加，總的TCP帶寬階梯增長，最后每個TCP流的帶寬接近設置帶寬，約為950 Mbit/s，實驗測試結果如圖15所示，鏈路總帶寬的增加正比于鏈路數量的增加，從而驗證了鏈路聚合功能的有效性。

圖14 自適應鏈路聚合實驗原理

圖15 鏈路總帶寬變化結果

4 結束語

對于實時性和可靠性要求較高的工業控制系統網絡，不能因為網絡安全措施而影響系統的實時性和可靠性。本文針對我國高速鐵路信號系統安全數據網特點，提出SD-SSDN解決方案，利用軟件定義網絡技術，降低網絡管控的復雜性，在保障高實時性和可靠性的前提下，提高了信號系統安全數據網的安全性。另外，也驗證了SDN技術可以較好地應用于類似信號系統安全數據網的工業控制系統網絡中。