[发明专利]一种基于SDN的智能船网络系统

权利要求书

1.一种基于SDN的智能船网络系统，其特征在于，包括内部通信网络和外部通信网络；

所述内部通信网络包括依次通信连接的数据平面、控制平面和应用平面，其中控制平面包括智能船SDN网络控制器，所述控制平面通过智能船SDN网络控制器的北向接口与应用平面进行数据交互、且通过智能船SDN网络控制器的南向接口与数据平面进行数据交互，

所述数据平面包括智能船主交换机、一级安全网络、二级安全网络和三级安全网络，智能船主交换机与一级安全网络、二级安全网络和三级安全网络中各节点连接通信，

所述一级安全网络包括机舱设备网络节点以及船桥设备网络节点，用于进行船舶驾驶相关设备间的信息通信，

所述二级安全网络包括船舶关键装备测试验证设备节点以及科学实验工作站节点，用于实现智能船关键装备的测试和科学研究节点的通信，

所述三级安全网络包括娱乐节点以及非航行业务相关设备节点，用于进行非运营业务通信，

所述一级安全网络、二级安全网络和三级安全网络的安全优先级依次降低；

所述外部通信网络包括SDN网关/路由器、4G/5G网络通信设备、AIS/VDES通信设备、NAVDAT通信设备、北斗通信设备以及卫星通信设备；

所述内部通信网络通过SDN网关/路由器与4G/5G网络通信设备、AIS/VDES通信设备、NAVDAT通信设备、北斗通信设备以及卫星通信设备进行数据交互。

2.根据权利要求1所述的一种基于SDN的智能船网络系统，其特征在于，所述数据平面还包括智能船备份交换机，所述智能船备份交换机分别与一级安全网络、二级安全网络和三级安全网络通信连接，当智能船主交换机故障时系统可立即启动智能船备份交换机工作。

3.根据权利要求1所述的一种基于SDN的智能船网络系统，其特征在于，所述一级安全网络内部网络节点不与外部通信设备直接相连，与所述一级安全网络交互的通信数据包需通过SDN网关安全验证审核后才能与外部通信设备进行交换。

4.根据权利要求3所述的一种基于SDN的智能船网络系统，其特征在于，与所述一级安全网络交互的通信数据包需通过SDN网关安全验证审核后才能与外部通信设备进行交换，包括：

对于允许进入一级安全网络的外部通信设备节点传输的公开标准格式的数据包，通过SDN网关安全验证审核后，将会动态设置数字签名，没有数字签名的通信节点的数据不能进入一级安全网络。

5.根据权利要求3所述的一种基于SDN的智能船网络系统，其特征在于，与所述一级安全网络交互的通信数据包需通过SDN网关安全验证审核后才能与外部通信设备进行交换，还包括：

外部通信设备节点与一级安全网络传输交互的私有业务数据包，通过SDN网关安全验证审核后，需先进行加密处理，再进行数据传输。

6.根据权利要求1所述的一种基于SDN的智能船网络系统，其特征在于，所有数据平面的数据交换，都需要进行基于机器学习的DDoS攻击检测，当判断当前流量为正常流量时则正常通信，当判断当前流量为DDoS流量，则进行网络防御，具体包括：

优先隐藏被攻击节点的IP地址，防止其继续遭受恶意攻击；同时命令智能船SDN控制器向智能船主交换机下发新的转发规则，修改被隐藏的IP地址，最后进行网络威胁追踪找到攻击者IP，清理智能船网络系统中该IP地址发送的恶意数据包，释放网络系统的存储空间。

7.根据权利要求1所述的一种基于SDN的智能船网络系统，其特征在于，对于允许进入二级安全网络的外部通信设备节点通过SDN网关设置动态数字签名，没有数字签名的节点数据不可以进入二级安全网络。

8.根据权利要求1所述的一种基于SDN的智能船网络系统，其特征在于，所述三级安全网络不与所述一级安全网络和二级安全网络进行数据传输。

9.根据权利要求1所述的一种基于SDN的智能船网络系统，其特征在于，所述应用平面用于配置智能船网络系统的管理策略，智能船SDN控制器根据通信内容调用相应的管理策略构建完整的智能船网络系统管理体系，所述管理策略包括网络切换策略、网络防御策略、网络监控策略、网络威胁追踪策略和网络数据采集策略；

所述网络切换策略被定义为：智能船通信网络中包含两个核心交换机，分别为智能船主交换机和智能船备份交换机，正常情况下智能船SDN控制器将控制信息下发至智能船主交换机，智能船主交换机根据控制器下发的规则转发一级安全网络、二级安全网络和三级安全网络中的流表信息，此时智能船备份交换机同步更新智能船主交换机的转发规则，当智能船主交换机出现故障时，无人船/智能船备份交换机上线，无人船/智能船SDN控制器将控制信息下发至无人船/智能船备份交换机，同时智能船备份交换机接替了智能船主交换机的工作，保证网络其他节点正常通信，进而保障了网络的灵活性；

所述网络防御策略被定义为：智能船检测到DDoS攻击后，优先隐藏被攻击节点的IP地址，防止其继续遭受恶意攻击；同时命令智能船SDN控制器向智能船主、备份交换机下发新的转发规则，修改被隐藏的IP地址，最后利用网络威胁追踪策略找到攻击者IP，清理智能船网络系统中该IP地址发送的恶意数据包，释放网络系统的存储空间，保证智能船网络节点的正常通信，体现了智能船网络系统遭受攻击后能够灵活组网的特性；

所述网络监控策略被定义为：实时提取网络信息采集数据库中的智能船网络信息，将网络流量信息、交换机流表信息和控制信息进行特征融合，建立网络安全状态评估模型，通过该模型对智能船网络进行实时监控、分析和预警，将分析报告和预警报告发送给智能船二级安全网络的网络管理设备，同时将报告展示给网络管理人员或科研人员进行网络系统的维护或研究，以保障网络的安全性；

所述网络威胁追踪策略被定义为：当智能船遭受DDoS攻击时，通过概率包标记算法，将智能船主、备份交换机经过的每一个数据包以一定概率在IP数据包首部中进行标记，从而让智能船的受害主机能够重构攻击路径，找到攻击者，并将攻击者IP列入黑名单中，不允许进入智能船网络系统，以提高网络的可靠性；

所述网络数据采集策略被定义为：智能船网络系统对网络环境中的网络信息进行采集并存储在网络信息采集数据库中，所述网络环境中的网络信息包括一级安全网络、二级安全网络和三级安全网络的网络流量信息，智能船主、备份交换机的流表信息以及智能船SDN控制器下发的控制信息，有利于网络状态监控和科研数据的收集，以保障网络数据交换的实时性。