软件定义的网络中基于时间的网络操作简档制造技术

一种软件定义的网络控制器(SDN控制器)根据第一网络操作简档定义将要由联网设备选择性实现的第一网络流。SDN控制器根据第二网络操作简档定义将要由联网设备选择性实现的第二网络流。第一网络操作简档和第二网络操作简档存储在联网设备的存储器内，以基于经由联网设备上的精确时间输入端口的精确时间输入，在不同时间段期间选择性地被实现。在一些实施例中，联网设备可以检测网络事件，并基于精确时间输入，实现用于预设时间段的网络操作简档。

【技术实现步骤摘要】
【国外来华专利技术】软件定义的网络中基于时间的网络操作简档
本公开涉及软件定义的网络。更具体地，本公开涉及基于精确时间窗口在预定义的网络业务流(networktrafficflow)/网络操作简档(networkoperationprofile)之间切换。附图简述本文书面的公开描述了非限制性且非穷举的说明性实施例。本公开参考在下面描述的附图中描绘的某些这样的说明性实施例。图1图示了电力传输和分配系统的简化单线图的示例，其中，各种设备经由软件定义的网络(SDN)进行通信。图2图示了具有两个网络操作简档的联网设备，其中至少一个网络操作简档包括基于时间的网络流规则。图3A图示了存储了两个基于精确时间输入来实现的网络操作简档的联网设备。图3B图示了具有第二网络操作简档的联网设备，即使SDN控制器离线，第二网络操作简档也基于精确时间输入进行选择。图4A图示了具有多个联网设备的SDN，其中至少一个联网设备正在实现第一网络操作简档，该第一网络操作简档禁用经由人机界面(HMI)的工程访问。图4B图示了SDN，其中至少一个联网设备基于精确时间输入实现第二网络操作简档，其中第二网络操作简档启用工程访问。图5A图示了具有基于精确时间输入的状态可选择的八个网络操作简档的联网设备。图5B图示了具有基于精确时间输入的变化而选择的不同网络操作简档的联网设备。图6图示了用于在与基于时间的网络操作简档相关联的两个网络流之间进行选择的方法的示例的流程图。图7图示了用于响应于触发事件，以基于时间的规则为基础评估通信的方法的一般示例的流程图。图8图示了用于响应于触发事件，以基于时间的规则为基础评估通信的方法的特定示例的流程图。详细描述电力分配和传输系统包括各种监测和保护设备。各种各样的通信和联网技术可以使得在电力分配或传输系统中能够实现保护和监测功能。其中，通信和联网设备可以促进信息交换、控制指令的传输，并且使得数据采集成为可能。电力分配或传输内的一些通信可能是对时间敏感的。例如，如果迅速实现，则保护动作可能会挽救生命或装备。电力分配和传输系统的关键基础设施受到保护，以防止物理和电子入侵(intrusion)。例如，电力系统(以及其中的控制、监测和保护设备)可能会受到网络攻击。一些系统可以结合软件定义的网络(SDN)技术来调节将数据储存器、控制设备、监测设备、保护设备、人机接口和/或其他电子装备互连的网络上的通信。使用SDN可提供各种各样的数据安全和网络控制选项，包括但不限于默认拒绝(deny-by-default)安全、延迟保证、确定性输送能力、故障转移规划、容错、路径可靠性分析等。网络工程师或其他信息技术(IT)技术人员可以使用SDN流控制器(例如，在通用计算机上运行的软件应用)来对联网设备进行编程。适用于本文描述的系统和方法的联网设备的示例包括但不限于：交换机、集线器、中继器、网关、路由器、网桥、调制解调器、无线接入点和线路驱动器。如本文所使用的，术语“联网设备”在上下文允许的情况下还可以包括各种各样的混合联网设备，诸如多层交换机、协议转换器、终端适配器、桥接路由器、代理服务器、防火墙设备、网络地址转换器、多路复用器、网络接口控制器等。因此，虽然在本文中使用网络交换机作为示例来描述系统和方法的许多原理，但是应当理解，这些原理可以适用于许多其他联网设备类型。在一些实施例中，网络工程师使用SDN控制器或SDN流控制器来动态编程一个或更多个联网设备。网络工程师可以利用SDN控制器来定义将要由一个或更多个连接的联网设备实现的网络操作简档。其中，网络操作简档可以定义网络上允许哪些数据类型、网络上各种设备之间的数据路由、某些设备和/或数据类型的优先级、网络上允许哪些设备通信、允许哪些设备与哪些其他设备通信等。如上所述，网络工程师可以使用SDN控制器用特定的网络操作简档对联网设备进行编程。一旦被编程，即使SDN控制器离线或断开连接，联网设备也可以继续实现所定义的网络操作简档。当需要或期望改变时，网络工程师可以使用SDN控制器来修改网络操作简档或为联网设备定义新的网络操作简档。在一些实施例中，网络工程师可以使用SDN控制器实时修改网络操作简档，而不会扰乱网络上的数据流。在定义网络操作简档时，通常会在安全性、可访问性和/或可用性之间取得平衡。例如，网络交换机可以用网络操作简档来编程，该网络操作简档禁止从物理接入控制器(诸如人机界面(HMI))到配电系统的继电器的远程登录(Telnet)通信。禁用与继电器的远程登录通信可能会提高安全性，但也会妨碍被授权的操作员轻松访问继电器。根据上述实施例，网络工程师可以临时修改网络交换机的网络操作简档，以允许被授权的操作员经由远程登录通信与继电器进行交互。也就是说，可以通过使用SDN流控制器(诸如在通用计算机上运行的软件应用)来手动启用远程登录通信。这种过程可能需要多个用户，花费大量时间，需要对一个或更多个联网设备进行重新编程，和/或在重新编程时和当被授权的操作员完成而返回到初始编程时都很麻烦并且容易受到人为错误的影响。在控制系统环境中，各种智能电子设备(IED)被自动操作，以在SDN上相互通信。在各种实施例中，系统可以确定SDN上的IED之间的机器对机器通信业务(traffic)的基准状态。一些IED可能在小的抖动窗口内，以定义的间隔发送控制系统分组(packet)数据。例如，主设备可以连续地或周期性地(例如，经由DNP3请求)激励监测设备来请求信息。从监测设备接收的信息可用于保护、监测和/或更新仪表板或HMI上的信息。在这样的实施例中，主设备和监测设备之间的通信可以在一致的基础上发生，并且监视系统可以监测这样的通信，并且在SDN上建立数十个甚至数百个IED之间的通信的基准预期。在一些实施例中，SDN交换机内的联网设备可以用流规则来编程，该流规则包括用于接受符合所建立的基准的标称分组转发的精确时间条件。系统可以为多个时段中的每一个建立基准。每个时段可以用年、小时、分钟、秒或几分之一秒来定义。例如，某些网络业务可预期是在一天中的某些时间期间，但不会在一天中的其他时间期间。因此，第一基准可用于一天的一部分，并且第二基准可用于一天的第二部分。如果网络业务在给定时间段内偏离预期基准，则联网设备可以被配置成丢弃分组、复制并且转发到监视控制器、进行增强的分组检查以检测威胁、和/或向监视系统和/或操作员提供警报。作为特定的示例，SCADA控制器可以每两秒钟轮询一次监测设备。如果在1秒或15秒处观察到轮询，则相关联的网络分组可被标记为异常，并如上所述被仔细检查或处理。更普遍地，系统可以将在给定时间段内偏离已建立的基准的网络业务识别为可能的欺骗注入分组，其值得进行额外的分析。在一些实施例中，SDN控制器可以被配置成在特定时间修改一个或更多个联网设备的网络操作简档。然而，这种方法编程耗时、麻烦和/或要求SDN控制器始终可操作并且连接到联网设备。在一些实施例中，可能希望联网设备保持完全功能性，并且即使当SDN控制器断开连接时本文档来自技高网...

【技术保护点】
1.一种软件定义的联网设备，包括：/n处理器；/n多个通信端口，所述多个通信端口用于网络通信；/n精确时间输入端口，所述精确时间输入端口接收精确时间信号；/n非暂态计算机可读介质，所述非暂态计算机可读介质存储多个网络操作简档，/n其中，所述多个网络操作简档中的每一个能够由所述处理器实现，以经由所述多个通信端口控制网络行为，并且/n其中，所述网络操作简档中的至少一个包括基于时间的网络操作简档，所述基于时间的网络操作简档被定义用于在精确时间窗口期间实现；以及/n简档选择模块，所述简档选择模块基于所接收的精确时间信号，在所述精确时间窗口期间经由所述处理器实现至少一个基于时间的网络操作简档。/n

【技术特征摘要】
【国外来华专利技术】20180305 US 15/911,3441.一种软件定义的联网设备，包括：
处理器；
多个通信端口，所述多个通信端口用于网络通信；
精确时间输入端口，所述精确时间输入端口接收精确时间信号；
非暂态计算机可读介质，所述非暂态计算机可读介质存储多个网络操作简档，
其中，所述多个网络操作简档中的每一个能够由所述处理器实现，以经由所述多个通信端口控制网络行为，并且
其中，所述网络操作简档中的至少一个包括基于时间的网络操作简档，所述基于时间的网络操作简档被定义用于在精确时间窗口期间实现；以及
简档选择模块，所述简档选择模块基于所接收的精确时间信号，在所述精确时间窗口期间经由所述处理器实现至少一个基于时间的网络操作简档。


2.根据权利要求1所述的软件定义的联网设备，其中，所述基于时间的网络操作简档的精确时间窗口具有定义为绝对时间的开始时间。


3.根据权利要求1所述的软件定义的联网设备，其中，所述基于时间的网络操作简档的精确时间窗口具有相对于以下各项中的一项定义的开始时间：网络事件触发和第二基于时间的网络操作简档的结束时间。


4.根据权利要求1所述的软件定义的联网设备，其中，所述基于时间的网络操作简档的精确时间窗口具有结束时间，所述结束时间被定义为在绝对时间以及在网络事件触发之后的时间段中的一个。


5.根据权利要求1所述的软件定义的联网设备，其中，所述精确时间输入端口是使用网络时间协议(NTP)和精确时间协议(PTP)中的一个来接收信号的通信端口。


6.根据权利要求1所述的软件定义的联网设备，其中，所述基于时间的网络操作简档是根据所述多个网络操作简档中的另一个网络操作简档的变化来定义的。


7.根据权利要求1所述的软件定义的联网设备，还包括控制器端口，所述控制器端口从软件定义的网络(SDN)控制器接收通信，其中，包括所述基于时间的网络操作简档的所述多个网络操作简档中的每一个由所述SDN控制器定义。


8.根据权利要求1所述的软件定义的联网设备，其中，所述基于时间的网络操作简档在所述精确时间窗口期间，经由所述多个通信端口中的至少一个通信端口启用先前被禁用的通信协议。


9.根据权利要求1所述的软件定义的联网设备，其中，所述多个通信端口包括以下中的一个或更多个：DB-25端口、RS-485端口、RS-232端口、以太网端口、SFP端口、SONET端口、COM端口、EtherCAT端口、光纤通道端口、串行端口和并行端口。


10.根据权利要求1所述的软件定义的联网设备，其中，所述多个网络操作简档中的每一个当涉及以下中的一个或更多个时，经由所述多个通信端口来定义网络行为：端口转发、MAC地址处理、网络地址转换、协议启用和禁用、虚拟局域网创建、路由、端口访问控制、虚拟专用网络管理和服务质量管理。


11.一种操作软件定义的网络的方法，包括：
经由软件定义的网络控制器(SDN控制器)定义将要由联网设备...

【专利技术属性】
技术研发人员：丹尼斯·加梅尔，雷特·史密斯，
申请(专利权)人：施瓦哲工程实验有限公司，
类型：发明
国别省市：美国;US