基于5G技术的电力网安全保障的管理方法和系统及设备与流程

本发明属于基于5g技术的电力通信网络领域，尤其涉及基于5g技术的电力网安全保障的管理方法和系统及设备。

背景技术：

1、随着我国5g网络的迅速发展，工业企业越来越多利用5g网络的高实时性和高带宽，作为其工业控制的主干网络。随着主干网络的大幅度拓宽，现场网络的带宽和流量保障出现了问题。工业控制领域的现场通信，往往存在多种用途，比如数据采集和指令下达、现场视频监控、过程数据采集、网络安全控制等。如果将这些通信都集中在一个子网络中进行传输，则极易引发网络拥堵；如果单独部署新网络进行通信隔离，则又会导致网络设备和线路建设成本大增。

2、现有电网的通信对流量要求大幅度增长，常导致数据采集和网络安全的通信流量大大超过了原来的数据采集和指令控制通信的流量，已经出现部分网络设备因无法进行差异化通信保障，反而使得数据采集和网络安全流量挤占了主业务通信流量。在电力物联网领域，我国已经大量投资了传统交换机，而非sdn交换机，要实现网络切片并不容易。如果采用sdn交换机进行基础网络设备的替换，则将导致大量已有投资的浪费。

3、当前电力物联网(电网层面)，往往直接采用控制工控设备(电表、变电器等)的网络模块直接接入工业交换机，常常采用环网或双环网进行网络通信保障。但随着工业物联网的智能化要求提高，需要建立工业大数据，即对工业控制过程的数据进行全方位采集，这种采集往往需要接近秒级的采集，会形成巨大的流量；物理安全方面，大量野外站需要建立视频监控，视频流的流量也至少达到每秒1兆左右；网络安全方面，设备的心跳、设备认证、通信密钥更新、访问控制策略，甚至零信任的认证处理，都会占用带宽。因此在工业物联网的发展下，原来工控部分的通信反而收到了挤压。如果不能处理好流量的分配和基于优先级的保障，原来部署的工业网络则面临重大的性能危机。

4、要在不改变原有线路的情况下，实现网络流量的充分利用，则需要首先对流量进行分类分级。比如工业控制通信是最高优先级的，首先需要得到保障；工业大数据采集则次之；最不重要的是视频监控。网络安全的流量虽然重要，但是实时性要求不高。目前要实现面向业务的流量分级智能管理，是更换新的交换机，将原来的工业交换机更换成sdn交换机，使之能够服从sdn总控交换机的指导，进行流量分类处理，但是更换数量大，成本高，另外sdn交换机没有工业型号，不能适应大量野外的工地情况。

5、现有技术不能很好实现如何从原来的网络流量进行分类分级，不能处理好流量的分配和基于优先级的保障，对带宽进行充分利用，容易发生网路拥塞等安全故障。

技术实现思路

1、为克服现有技术问题，本发明提出一种代理模式，通过交换机代理模式，形成对所有现场工控子网交换机的统一管理，通过对现有交换机策略能力的改进，使之能够在工控现场网络的子网层面，就可以进行切片管理，实现网络差异化通信保障能力的提升。

2、第一方面，本发明提供了基于5g技术的电力网安全保障的管理系统，包括总控服务器、网络接入路由器、工业交换机、多个工控设备，还设置交换机代理装置与所述工业交换机连接通信；所述交换机代理装置，用于对交换机的流量管理和对工控设备通信管理，根据所述总控服务器下发的流量控制策略，给子网内工控设备进行vlan划分，进行交换机流量管理；

3、所述总控服务器，用于代理管理，生成唯一标识写入交换机代理装置中，进行访问控制策略管理，对设备和子网进行分组，从而对分组设备进行访问控制策略编排；还用于网络接入设备管理，与所管辖设备进行设备信息采集，判断所采集信息与总控服务器写入或传输的信息是否一致，控制进行网络隔离；

4、进一步，所述交换机代理装置，用于根据总控服务器对交换机代理装置的访问控制信息，对交换机的vlan划分和vlan的qos等级设置，进行交换机流量集中管理。

5、进一步，所述交换机代理装置，包括操作系统和数据库，基础信息库，网络接口处理器，用于与原交换机的tcp/ip对接；串口接口处理器，用于采用ssh实现交换机登录脚本；

6、在网络接口控制层，还包括网络设备轮询模块：用于定期向arp协议存活的ip地址发送ping包，通过反馈，记录该端口是否存活，回包延迟和丢包率；arp协议读取模块：用于定期发送arp查询指令，通过交换机反馈，获得存活ip地址表；与总控服务器的通信接口：用于与所述总控服务器上传本地设备信息，获得总控服务器的访问控制信息；

7、在交换机串口控制层，还包括交换机配置读取模块：用于在串口接口处理器登录后，执行交换机配置信息读取指令，并对指令结果进行解析；交换机性能读取模块：用于在串口接口处理器登录后，执行交换机的cpu、内存信息，以及各个端口的流量信息，并根据所述总控服务器的要求，进行定时采集或阈值触发上报。

8、进一步，所述基础信息库包括网络接入设备信息库，用于对交换机每个有响应端口进行记录，存储信息包括设备唯一标识、mac地址、ip地址、交换机端口号、设备协议、设备用途、所属vlan、qos优先级；

9、交换机串口驱动库，存储信息包括交换机品牌、规格、ssh连接握手指令、配置读取指令、vlan配置指令、qos设置指令、交换机性能参数读取指令。

10、第二方面，本发明还提供了一种交换机代理装置，用于对交换机的vlan划分和vlan的qos等级设置，进行交换机流量集中管理；包括操作系统和数据库，基础信息库，网络接口处理器，用于与原交换机的tcp/ip对接；串口接口处理器，用于采用ssh实现交换机登录脚本；

11、在网络接口控制层，还包括网络设备轮询模块：用于定期向arp协议存活的ip地址发送ping包，通过反馈，记录该端口是否存活，回包延迟和丢包率；arp协议读取模块：用于定期发送arp查询指令，通过交换机反馈，获得存活ip地址表；与总控服务器的通信接口：用于与所述总控服务器上传本地设备信息，获得总控服务器的访问控制信息；(此处访问控制信息为总控服务器对交换机的vlan划分和vlan的qos等级设置等信息)

12、在交换机串口控制层，还包括交换机配置读取模块：用于在串口接口处理器登录后，执行交换机配置信息读取指令，并对指令结果进行解析；交换机性能读取模块：用于在串口接口处理器登录后，执行交换机的cpu、内存信息，以及各个端口的流量信息，并根据所述总控服务器的要求，进行定时采集或阈值触发上报。

13、第三方面，本发明还提供了一种基于5g技术的电力网安全保障的管理方法，包括：

14、交换机代理装置通过工业交换机接入工业子网，访问总控服务器，获得设备唯一标识；并对工控设备进行轮询访问，检查入网工控设备的在线情况和占用流量情况；

15、根据总控服务器下发的流量控制策略，给工业子网内的工控设备进行vlan划分，利用交换机的qos功能，对vlan设置qos优先级，从而实现交换机内部流量的差异化管理。

16、进一步，交换机代理装置对入网工控设备定期发送arp查询指令，通过交换机反馈，获得存活ip地址表；再定期向arp协议存活的ip地址发送ping包，通过反馈，记录该端口是否存活，回包延迟和丢包率；

17、通过与总控服务器的通信接口通信，实现与总控服务器上传本地设备信息，获得总控服务器的访问控制信息，该访问控制信息包括对交换机的vlan划分和vlan的qos等级设置。

18、进一步，交换机代理装置可通过接入原有交换机，通过arp协议获取本网络内的接入设备ip地址，询问获得mac地址；从原有交换机的console口获得交换机端口配置表，检测接驳了网络设备的端口，mac地址和接入设备ip地址是否匹配，如果发现是匹配不成功的端口，则立即将这个不匹配的交换机端口单独划出vlan，不允许这个端口与其他设备进行通信。

19、进一步，通过对不同类型的设备设置不同的vlan，将不同类型的设备放在不同的逻辑网络中管理，降低广播包的流量；

20、通过对不同类型的设备设置不同的qos等级，让通信包在交换机发送时，拥有不同的优先等级，qos等级低的设备可以在交换机轮询时，有更高的权重，一旦有通信需要，可以优先被交换机处理。

21、本发明系统和控制方法的优点是：

22、1)通过引入交换机代理方式，使得总控服务器可以对所有现场工控交换机进行集中管理，在强化设备入网管理的基础上，独特利用了交换机的cosole口命令行功能的能力，对交换机的vlan划分和vlan的qos等级设置，进行交换机流量集中管理，做到工控现场子网层面的切片管理，从而实现工业现场子网在不新增sdn交换机网络设备和接线的前提下，实现全网通信安全。

23、2)管理适用性强。本发明控制方法和系统不改变物联网终端和交换机本身的产品设计，将网络通信包的标记和子网切片管理，由新进入的交换机代理完成，使得整个方案部署适应当前主流技术，充分利用了原有网络系统设备，不用采用sdn交换机进行基础网络设备的更新替换，也不用采用环网或双环网进行网络通信保障，节省了大量建设成本。

24、3)智能化控制，让人员工作效率提高。本方法实现了对工业现场网络的集约化智能管理，减少了维护操作人员，通过实践操作可减少30％的调整设置工作量，方便让网络人员可以深入到工业现场，实现工控现场子网的切片管理，灵活适应大量野外的复杂工地情况，并能够随着业务的发展，不断扩展交换机代理装置的功能，提升保障能力。