CN105119911B - 一种基于sdn流的安全认证方法及系统 - Google Patents

一种基于sdn流的安全认证方法及系统 Download PDF

Info

Publication number
CN105119911B
CN105119911B CN201510452184.XA CN201510452184A CN105119911B CN 105119911 B CN105119911 B CN 105119911B CN 201510452184 A CN201510452184 A CN 201510452184A CN 105119911 B CN105119911 B CN 105119911B
Authority
CN
China
Prior art keywords
sdn
source
certification
flow table
streams
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201510452184.XA
Other languages
English (en)
Other versions
CN105119911A (zh
Inventor
翟跃
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Huzhou YingLie Intellectual Property Operation Co.,Ltd.
Original Assignee
Shanghai Feixun Data Communication Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Shanghai Feixun Data Communication Technology Co Ltd filed Critical Shanghai Feixun Data Communication Technology Co Ltd
Priority to CN201510452184.XA priority Critical patent/CN105119911B/zh
Publication of CN105119911A publication Critical patent/CN105119911A/zh
Application granted granted Critical
Publication of CN105119911B publication Critical patent/CN105119911B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/02Topology update or discovery
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/74Address processing for routing
    • H04L45/745Address table lookup; Address filtering
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/107Network architectures or network communication protocols for network security for controlling access to devices or network resources wherein the security policies are location-dependent, e.g. entities privileges depend on current location or allowing specific operations only from locally connected terminals

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Power Engineering (AREA)
  • Small-Scale Networks (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

本发明提供一种基于SDN流的安全认证方法及系统,该方法包括:接收客户端通过源SDN交换机上报的认证请求;认证请求包括流特征码、用户名和密码;提取流特征码,计算SDN流的转发路径;根据认证请求中包含的流特征码、用户名和密码匹配SDN流安全认证策略;根据匹配认证结果,向源SDN交换机下发流表;流表包括SDN流的转发路径;若流表表示认证通过,则使源SDN交换机转发客户端的报文;若流表表示认证失败,则使源SDN交换机丢弃客户端的报文。本发明采用了SDN架构,SDN控制器能够感知报文的转发路径和网络变化,通过下发流表的方式,动态的对SDN流进行安全认证,从而实现了全网SDN流的安全认证。

Description

一种基于SDN流的安全认证方法及系统
技术领域
本发明属于通信技术领域,涉及一种认证方法,特别是涉及一种基于SDN流的安全认证方法及系统。
背景技术
软件定义网络(Software Defined Network,SDN),是Emulex网络一种新型网络创新架构,是网络虚拟化的一种实现方式,其核心技术OpenFlow通过将网络设备控制面与数据面分离开来,从而实现了网络流量的灵活控制,使网络作为管道变得更加智能。
在SDN网络中,如果SDN用户不提供接入认证,只要用户能接入SDN交换机,就可以访问SDN网中的设备或资源。这种方式无疑存在严重的安全隐患。
传统的802.1x认证体系为典型的Client/Server体系结构,包括三个实体,如图1所示,分别为:Supplicant system(客户端)、Authenticator system(接入控制单元)以及Authentication server system(认证服务器)。客户端是位于局域网段一端的一个实体,由该链路另一端的接入控制单元对其进行认证。客户端一般为一个用户终端设备,用户通过启动客户端软件发起802.1x认证。接入控制单元是位于局域网段一端的另一个实体,对所连接的客户端进行认证。接入控制单元通常为支持802.1x协议的网络设备,它为客户端提供接入局域网的端口,该端口可以是物理端口,也可以是逻辑端口。认证服务器是为接入控制单元提供认证服务的实体。认证服务器用于实现对用户进行认证、授权和计费,通常为RADIUS(Remote Authentication Dial-In User Service,远程认证拨号用户服务)服务器。该服务器可以存储有关用户的信息,包括用户名、密码以及其它参数,例如用户所属的VLAN、端口等。
传统的802.1x认证是基于端口的,粒度比较粗。原有的网络是分布式控制,很难感知报文的转发路径。一旦网络发生变化,需重新发起认证请求。涉及到设备也比较复杂,例如:RADIUS服务器。
发明内容
鉴于以上所述现有技术的缺点,本发明的目的在于提供一种基于SDN流的安全认证方法及系统,用于解决现有SDN网络中不存在用户接入认证,存在安全隐患的问题。
为实现上述目的及其他相关目的,本发明提供一种基于SDN流的安全认证方法,所述基于SDN流的安全认证方法包括:接收客户端通过源SDN交换机上报的认证请求;所述认证请求包括流特征码、用户名和密码;提取所述流特征码,计算SDN流的转发路径;根据所述认证请求中包含的流特征码、用户名和密码匹配SDN流安全认证策略;根据匹配认证结果,向所述源SDN交换机下发流表;所述流表包括所述SDN流的转发路径;若所述流表表示认证通过,则使所述源SDN交换机转发所述客户端的报文;若所述流表表示认证失败,则使所述源SDN交换机丢弃所述客户端的报文。
可选地,所述计算SDN流的转发路径的实现过程包括:根据MAC地址信息,LLDP信息和所述流特征码,计算所述SDN流的转发路径;所述流特征码包括目的MAC地址,源MAC地址,目的IP地址和源IP地址。
可选地,所述基于SDN流的安全认证方法还包括:接收客户端通过源SDN交换机上报的认证终结请求;从所述认证终结请求中解析出流特征码;根据解析出的流特征码匹配所述SDN流安全认证策略;移除所述源SDN交换机的流表,使所述源SDN交换机丢弃所述客户端的报文。
可选地,所述基于SDN流的安全认证方法还包括:所述源SDN交换机监听客户端发送的SDN流,查询流表;若所述流表表示认证通过,则所述源SDN交换机将所述SDN流的源MAC地址和源端口学习或更新到MAC地址表;所述源SDN交换机上报新学习的所述SDN流的源MAC地址和源端口;若所述流表表示认证失败,则所述源SDN交换机丢弃报文。
可选地,所述认证请求和终结认证请求的报文格式相同,均包括目的MAC字段,源MAC字段,流源MAC字段和流目的MAC字段。
本发明还提供一种基于SDN流的安全认证系统,所述基于SDN流的安全认证系统包括SDN控制器,所述SDN控制器包括:接收模块,与SDN交换机相连,接收客户端通过源SDN交换机上报的认证请求;所述认证请求包括流特征码、用户名和密码;提取模块,与所述接收模块相连,从所述认证请求中提取出流特征码;计算模块,与所述提取模块相连,根据所述流特征码计算SDN流的转发路径;匹配模块,与所述接收模块相连,根据所述认证请求中包含的流特征码、用户名和密码匹配SDN流安全认证策略;认证模块,与所述计算模块和匹配模块相连,根据匹配认证结果,向所述源SDN交换机下发流表;所述流表包括所述SDN流的转发路径;若所述流表表示认证通过,则使所述源SDN交换机转发所述客户端的报文;若所述流表表示认证失败,则使所述源SDN交换机丢弃所述客户端的报文。
可选地,所述SDN控制器还包括:所述接收模块接收客户端通过源SDN交换机上报的认证终结请求;所述提取模块从所述认证终结请求中解析出流特征码;所述匹配模块根据解析出的流特征码匹配所述SDN流安全认证策略;终结模块,与所述匹配模块和认证模块分别相连,移除所述源SDN交换机的流表,使所述源SDN交换机丢弃所述客户端的报文。
可选地,所述源SDN交换机包括:监听模块,监听客户端发送的SDN流,查询流表;学习或更新模块,与所述监听模块相连,若所述流表表示认证通过,则将所述SDN流的源MAC地址和源端口学习或更新到MAC地址表;学习上报模块,与所述监听模块和所述SDN控制器分别相连,向所述SDN控制器上报新学习的所述SDN流的源MAC地址和源端口;丢弃模块,与所述监听模块相连,若所述流表表示认证失败,则所述源SDN交换机丢弃报文。
可选地,所述认证请求和终结认证请求的报文格式相同,均包括目的MAC字段,源MAC字段,流源MAC字段和流目的MAC字段。
如上所述,本发明的基于SDN流的安全认证方法及系统,具有以下有益效果:
本发明采用了SDN架构,SDN控制器能够感知报文的转发路径和网络变化,通过下发流表的方式,动态的对SDN流进行安全认证,从而实现了全网SDN流的安全认证。由于安全认证由SDN控制器自动计算完成,因此整个网络的管理和配置非常简单和智能,只需配置基于全网SDN流的安全认证策略。
附图说明
图1显示为传统的802.1x认证体系的结构示意图。
图2显示为本发明实施例所述的基于SDN流的安全认证方法的一种实现流程示意图。
图3显示为本发明实施例所述的基于SDN流的安全认证方法的SDN控制器安全认证流程示意图。
图4显示为本发明实施例所述的基于SDN流的安全认证方法的另一种实现流程示意图。
图5显示为本发明实施例所述的认证请求/认证终结请求的报文格式示意图。
图6显示为本发明实施例所述的基于SDN流的安全认证方法的SDN控制器终结认证流程示意图。
图7显示为本发明实施例所述的基于SDN流的安全认证方法的第三种实现流程示意图。
图8显示为本发明实施例所述的基于SDN流的安全认证方法的SDN交换机新学MAC地址上报示意图。
图9显示为本发明实施例所述的基于SDN流的安全认证方法的一种总实现流程示意图。
图10显示为本发明实施例所述的基于SDN流的安全认证方法的另一种总实现流程示意图。
图11显示为本发明实施例所述的基于SDN流的安全认证系统的一种实现结构示意图。
图12显示为本发明实施例所述的基于SDN流的安全认证系统的SDN控制器的一种实现结构示意图。
图13显示为本发明实施例所述的基于SDN流的安全认证系统的SDN交换机的一种实现结构示意图。
元件标号说明
100 基于SDN流的安全认证系统
110 SDN控制器
111 接收模块
112 提取模块
113 计算模块
114 匹配模块
115 认证模块
116 终结模块
120 SDN交换机
121 监听模块
122 学习或更新模块
123 学习上报模块
124 丢弃模块
130 客户端
S1~Sn 步骤
具体实施方式
以下通过特定的具体实例说明本发明的实施方式,本领域技术人员可由本说明书所揭露的内容轻易地了解本发明的其他优点与功效。本发明还可以通过另外不同的具体实施方式加以实施或应用,本说明书中的各项细节也可以基于不同观点与应用,在没有背离本发明的精神下进行各种修饰或改变。需说明的是,在不冲突的情况下,以下实施例及实施例中的特征可以相互组合。
需要说明的是,以下实施例中所提供的图示仅以示意方式说明本发明的基本构想,遂图式中仅显示与本发明中有关的组件而非按照实际实施时的组件数目、形状及尺寸绘制,其实际实施时各组件的型态、数量及比例可为一种随意的改变,且其组件布局型态也可能更为复杂。
请参阅图2,本发明提供一种基于SDN流的安全认证方法,所述基于SDN流的安全认证方法包括:
S21,接收客户端通过源SDN交换机上报的认证请求;所述认证请求包括流特征码、用户名和密码。所述流特征码为SDN流的四元组特征码,四元组包括目的MAC地址,源MAC地址,目的IP地址,源IP地址。即私有的客户端认证请求带有用户名,密码和SDN流的四元组信息:目的MAC地址,源MAC地址,目的IP地址,源IP地址。所述源SDN交换机就是普通的SDN交换机,之所以加上了“源”字,是为了指代清楚。所述源SDN交换机是指向SDN控制器上报客户端认证请求的SDN交换机,当然,SDN控制器反馈下发的流表也是发给源SDN交换机的。
S22,提取所述流特征码,计算SDN流的转发路径。即,SDN控制器根据SDN交换机上报的MAC地址信息,端口信息和网络拓扑信息(根据LLDP报文,计算获得),计算报文的转发路径。进一步,所述计算SDN流的转发路径的实现过程包括:根据MAC地址信息,LLDP信息和所述流特征码,计算所述SDN流的转发路径;所述流特征码包括目的MAC地址,源MAC地址,目的IP地址和源IP地址。具体地,根据MAC地址信息、LLDP(Link Layer Discovery Protocol,链路层发现协议)信息和流特征码,计算流转发路径。
S23,根据所述认证请求中包含的流特征码、用户名和密码匹配SDN流安全认证策略。
S24,根据匹配认证结果,向所述源SDN交换机下发流表;所述流表包括所述SDN流的转发路径。SDN控制器根据基于全网SDN流的安全认证策略对转发路径上的源SDN交换机下发流表,从而实现全网SDN流的安全认证。
S25,若所述流表表示认证通过,则使所述源SDN交换机转发所述客户端的报文;若所述流表表示认证失败,则使所述源SDN交换机丢弃所述客户端的报文。具体地,本发明需要扩充OF流表指令集,此指令集用于基于SDN流的安全认证(认证通过,流转发。认证不通过,丢弃)。SDN控制器和交换机需要支持扩充的OF流表指令集。
所述步骤S21至S25由SDN控制器实现。所述SDN控制器的实现逻辑比较复杂,本实施例提供SDN控制器的一种具体工作流程,参见图3所示,首先需要SDN控制器根据MAC地址信息,LLDP信息和流特征码计算流转发路径,然后SDN控制器从认证请求中解析出用户名,密码和流特征码;SDN控制器再根据流特征码,用户名和密码匹配SDN流安全认证策略;如果认证通过,下发流表到源SDN交换机,使源SDN交换机转发流;如果认证不通过,下发流表到源SDN交换机,使源SDN交换机丢弃报文。
进一步,参见图4所示,所述基于SDN流的安全认证方法还包括:
S41,接收客户端通过源SDN交换机上报的认证终结请求。所述认证请求和终结认证请求的报文格式相同,均包括目的MAC字段,源MAC字段,流源MAC字段和流目的MAC字段。具体地,客户端私有的认证/终结请求报文格式如图5所示,其中,TYPE为0x999e表示认证请求,TYPE为0x999f表示认证终结。只有在TYPE为0x999e的时候,用户名和密码字段才有意义。
S42,从所述认证终结请求中解析出流特征码。
S43,根据解析出的流特征码匹配所述SDN流安全认证策略。
S44,移除所述源SDN交换机的流表,使所述源SDN交换机丢弃所述客户端的报文。
所述步骤S41至S44由SDN控制器实现。所述SDN控制器的实现逻辑比较复杂,本实施例提供SDN控制器的另一种具体工作流程,参见图6所示,SDN控制器根据MAC地址信息,LLDP信息和流特征码计算流转发路径。SDN控制器从终结认证请求中解析出流特征码。SDN控制器根据流特征码匹配SDN流安全认证策略。SDN控制器移除源SDN交换机的流表,发送到源SDN交换机中的报文将被送往SDN控制器而丢弃。
进一步,参见图7所示,所述基于SDN流的安全认证方法还包括:
S71,所述源SDN交换机监听客户端发送的SDN流,查询流表。
S72,若所述流表表示认证通过,则所述源SDN交换机将所述SDN流的源MAC地址和源端口学习或更新到MAC地址表。SDN交换机新学一条MAC地址,需立即上报给SDN控制器;SDN交换机老化一条MAC地址,需立即上报给SDN控制器。
S73,所述源SDN交换机上报新学习的所述SDN流的源MAC地址和源端口。
S74,若所述流表表示认证失败,则所述源SDN交换机丢弃报文。
所述步骤S71至S74由SDN交换机实现。本实施例提供SDN交换机的一种具体工作流程,参见图8所示,SDN交换机监听SDN流,查询流表。如果SDN流认证不通过,SDN交换机将丢弃报文。如果认证通过,SDN交换机将源MAC地址和源端口学习或更新到MAC地址表;如果是新增表项,SDN交换机则将源MAC地址和源端口上报给SDN控制器。
本发明是为了解决SDN网络用户的接入认证问题。如果SDN用户不提供接入认证,只要用户能接入SDN交换机,就可以访问SDN网中的设备或资源。这将存在明显的安全隐患。本发明为了解决基于SDN流的网络接入控制问题,提供了上述基于SDN流的安全认证方法。“基于SDN流的网络接入控制”是指根据SDN流的特征在SDN流这一级对所接入的用户设备进行认证和控制。如果SDN流能通过认证,就可以访问SDN网中的资源;如果不能通过认证,则无法访问SDN网中的资源。
本发明实现了基于SDN对接入控制的集中管理。参见图9所示,首先客户端发起认证请求(携带SDN流的四元组特征码,目的MAC地址,源MAC地址,目的IP地址,源IP地址),SDN控制器提取SDN流的特征码计算SDN流的转发路径,最后SDN控制器根据认证服务的配置和SDN流的转发路径,自动下发流表给SDN交换机,实现了SDN流的安全认证。
参见图10所示,SDN交换机学习或老化一条MAC地址信息,需立即上报给SDN控制器。交换机需要把客户端发送的认证请求(流特征码,用户名和密码)上报给SDN控制器。控制器根据MAC地址信息,LLDP信息,流特征码,计算流转发路径。SDN控制器根据流特征码,用户名和密码匹配SDN流安全认证策略。控制器根据认证结果,下发流表到源SDN交换机,若认证通过,则报文转发,否则丢弃报文。SDN交换机需要把客户端发送的终结请求(流特征码)上交给SDN控制器,SDN控制器清除SDN交换机的流表。对应的SDN交换机中的SDN流将交给SDN控制器处理进行丢弃。
本发明所述的基于SDN流的安全认证方法的保护范围不限于本实施例列举的步骤执行顺序,凡是根据本发明的原理所做的现有技术的步骤增减、步骤替换所实现的方案都包括在本发明的保护范围内。
本发明还提供一种基于SDN流的安全认证系统,所述基于SDN流的安全认证系统可以实现本发明所述的基于SDN流的安全认证方法,但本发明所述的基于SDN流的安全认证方法的实现装置包括但不限于本实施例列举的基于SDN流的安全认证系统的结构,凡是根据本发明的原理所做的现有技术的结构变形和替换,都包括在本发明的保护范围内。
参见图11所示,所述基于SDN流的安全认证系统100包括SDN控制器110,SDN交换机120,客户端130。
参见图12所示,所述SDN控制器110包括:接收模块111,提取模块112,计算模块113,匹配模块114,认证模块115,终结模块116。
所述接收模块111与SDN交换机120相连,接收客户端通过源SDN交换机上报的认证请求;所述认证请求包括流特征码、用户名和密码;所述接收模块111接收客户端通过源SDN交换机上报的认证终结请求。所述认证请求和终结认证请求的报文格式相同,均包括目的MAC字段,源MAC字段,流源MAC字段和流目的MAC字段。所述流特征码为SDN流的四元组特征码,四元组包括目的MAC地址,源MAC地址,目的IP地址,源IP地址。即私有的客户端认证请求带有用户名,密码和SDN流的四元组信息:目的MAC地址,源MAC地址,目的IP地址,源IP地址。所述源SDN交换机就是普通的SDN交换机,之所以加上了“源”字,是为了指代清楚。所述源SDN交换机是指向SDN控制器上报客户端认证请求的SDN交换机,当然,SDN控制器反馈下发的流表也是发给源SDN交换机的。客户端私有的认证/终结请求报文格式如图5所示,其中,TYPE为0x999e表示认证请求,TYPE为0x999f表示认证终结。只有在TYPE为0x999e的时候,用户名和密码字段才有意义。
所述提取模块112与所述接收模块111相连,从所述认证请求中提取出流特征码;所述提取模块112从所述认证终结请求中解析出流特征码。即,SDN控制器根据SDN交换机上报的MAC地址信息,端口信息和网络拓扑信息(根据LLDP报文,计算获得),计算报文的转发路径。
所述计算模块113与所述提取模块112相连,根据所述流特征码计算SDN流的转发路径。所述计算模块113根据MAC地址信息,LLDP信息和所述流特征码,计算所述SDN流的转发路径;所述流特征码包括目的MAC地址,源MAC地址,目的IP地址和源IP地址。根据MAC地址信息、LLDP(Link Layer Discovery Protocol,链路层发现协议)信息和流特征码,计算流转发路径。
所述匹配模块114与所述接收模块111相连,根据所述认证请求中包含的流特征码、用户名和密码匹配SDN流安全认证策略;所述匹配模块114根据解析出的流特征码匹配所述SDN流安全认证策略。所述流表包括所述SDN流的转发路径。SDN控制器根据基于全网SDN流的安全认证策略对转发路径上的源SDN交换机下发流表,从而实现全网SDN流的安全认证。
所述认证模块115与所述计算模块113和匹配模块114相连,根据匹配认证结果,向所述源SDN交换机下发流表;所述流表包括所述SDN流的转发路径;若所述流表表示认证通过,则使所述源SDN交换机转发所述客户端的报文;若所述流表表示认证失败,则使所述源SDN交换机丢弃所述客户端的报文。具体地,本发明需要扩充OF流表指令集,此指令集用于基于SDN流的安全认证(认证通过,流转发。认证不通过,丢弃)。SDN控制器和交换机需要支持扩充的OF流表指令集。
所述终结模块116与所述匹配模块114和认证模块115分别相连,移除所述源SDN交换机的流表,使所述源SDN交换机丢弃所述客户端的报文。SDN控制器根据MAC地址信息,LLDP信息和流特征码计算流转发路径。SDN控制器从终结认证请求中解析出流特征码。SDN控制器根据流特征码匹配SDN流安全认证策略。SDN控制器移除源SDN交换机的流表,发送到源SDN交换机中的报文将被送往SDN控制器而丢弃。
参见图13所示,所述源SDN交换机120包括:监听模块121,学习或更新模块122,学习上报模块123,丢弃模块124。
所述监听模块121监听客户端发送的SDN流,查询流表。
所述学习或更新模块122与所述监听模块121相连,若所述流表表示认证通过,则将所述SDN流的源MAC地址和源端口学习或更新到MAC地址表。SDN交换机新学一条MAC地址,需立即上报给SDN控制器;SDN交换机老化一条MAC地址,需立即上报给SDN控制器。
所述学习上报模块123与所述监听模块121和所述SDN控制器110分别相连,向所述SDN控制器上报新学习的所述SDN流的源MAC地址和源端口。
所述丢弃模块124与所述监听模块121相连,若所述流表表示认证失败,则所述源SDN交换机丢弃报文。
SDN交换机监听SDN流,查询流表。如果SDN流认证不通过,SDN交换机将丢弃报文。如果认证通过,SDN交换机将源MAC地址和源端口学习或更新到MAC地址表;如果是新增表项,SDN交换机则将源MAC地址和源端口上报给SDN控制器。
本发明采用了SDN架构,SDN控制器能够感知报文的转发路径和网络变化,通过下发流表的方式,动态的对SDN流进行安全认证,从而实现了全网SDN流的安全认证。由于安全认证由SDN控制器自动计算完成,因此整个网络的管理和配置非常简单和智能,只需配置基于全网SDN流的安全认证策略。
综上所述,本发明有效克服了现有技术中的种种缺点而具高度产业利用价值。
上述实施例仅例示性说明本发明的原理及其功效,而非用于限制本发明。任何熟悉此技术的人士皆可在不违背本发明的精神及范畴下,对上述实施例进行修饰或改变。因此,举凡所属技术领域中具有通常知识者在未脱离本发明所揭示的精神与技术思想下所完成的一切等效修饰或改变,仍应由本发明的权利要求所涵盖。

Claims (5)

1.一种基于SDN流的安全认证方法,其特征在于,所述基于SDN流的安全认证方法包括:
接收客户端通过源SDN交换机上报的认证请求;所述认证请求包括流特征码、用户名和密码;
提取所述流特征码,计算SDN流的转发路径;
根据所述认证请求中包含的流特征码、用户名和密码匹配SDN流安全认证策略;
根据匹配认证结果,向所述源SDN交换机下发流表;所述流表包括所述SDN流的转发路径;
若所述流表表示认证通过,则使所述源SDN交换机转发所述客户端的报文;若所述流表表示认证失败,则使所述源SDN交换机丢弃所述客户端的报文;
接收客户端通过源SDN交换机上报的认证终结请求;
从所述认证终结请求中解析出流特征码;
根据解析出的流特征码匹配所述SDN流安全认证策略;
移除所述源SDN交换机的流表,使所述源SDN交换机丢弃所述客户端的报文;所述源SDN交换机监听客户端发送的SDN流,查询流表;
若所述流表表示认证通过,则所述源SDN交换机将所述SDN流的源MAC地址和源端口学习或更新到MAC地址表;
所述源SDN交换机上报新学习的所述SDN流的源MAC地址和源端口;
若所述流表表示认证失败,则所述源SDN交换机丢弃报文。
2.根据权利要求1所述的基于SDN流的安全认证方法,其特征在于,所述计算SDN流的转发路径的实现过程包括:
根据MAC地址信息,LLDP信息和所述流特征码,计算所述SDN流的转发路径;所述流特征码包括目的MAC地址,源MAC地址,目的IP地址和源IP地址。
3.根据权利要求1所述的基于SDN流的安全认证方法,其特征在于:所述认证请求和终结认证请求的报文格式相同,均包括目的MAC字段,源MAC字段,流源MAC字段和流目的MAC字段。
4.一种基于SDN流的安全认证系统,其特征在于,所述基于SDN流的安全认证系统包括SDN控制器,所述SDN控制器包括:
接收模块,与SDN交换机相连,接收客户端通过源SDN交换机上报的认证请求;
所述认证请求包括流特征码、用户名和密码;
提取模块,与所述接收模块相连,从所述认证请求中提取出流特征码;
计算模块,与所述提取模块相连,根据所述流特征码计算SDN流的转发路径;
匹配模块,与所述接收模块相连,根据所述认证请求中包含的流特征码、用户名和密码匹配SDN流安全认证策略;
认证模块,与所述计算模块和匹配模块相连,根据匹配认证结果,向所述源SDN交换机下发流表;所述流表包括所述SDN流的转发路径;若所述流表表示认证通过,则使所述源SDN交换机转发所述客户端的报文;若所述流表表示认证失败,则使所述源SDN交换机丢弃所述客户端的报文;
所述接收模块接收客户端通过源SDN交换机上报的认证终结请求;
所述提取模块从所述认证终结请求中解析出流特征码;
所述匹配模块根据解析出的流特征码匹配所述SDN流安全认证策略;
终结模块,与所述匹配模块和认证模块分别相连,移除所述源SDN交换机的流表,使所述源SDN交换机丢弃所述客户端的报文;
所述源SDN交换机包括:
监听模块,监听客户端发送的SDN流,查询流表;
学习或更新模块,与所述监听模块相连,若所述流表表示认证通过,则将所述SDN流的源MAC地址和源端口学习或更新到MAC地址表;
学习上报模块,与所述监听模块和所述SDN控制器分别相连,向所述SDN控制器上报新学习的所述SDN流的源MAC地址和源端口;
丢弃模块,与所述监听模块相连,若所述流表表示认证失败,则所述源SDN交换机丢弃报文。
5.根据权利要求4所述的基于SDN流的安全认证系统,其特征在于:所述认证请求和终结认证请求的报文格式相同,均包括目的MAC字段,源MAC字段,流源MAC字段和流目的MAC字段。
CN201510452184.XA 2015-07-28 2015-07-28 一种基于sdn流的安全认证方法及系统 Active CN105119911B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201510452184.XA CN105119911B (zh) 2015-07-28 2015-07-28 一种基于sdn流的安全认证方法及系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201510452184.XA CN105119911B (zh) 2015-07-28 2015-07-28 一种基于sdn流的安全认证方法及系统

Publications (2)

Publication Number Publication Date
CN105119911A CN105119911A (zh) 2015-12-02
CN105119911B true CN105119911B (zh) 2018-10-12

Family

ID=54667799

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201510452184.XA Active CN105119911B (zh) 2015-07-28 2015-07-28 一种基于sdn流的安全认证方法及系统

Country Status (1)

Country Link
CN (1) CN105119911B (zh)

Families Citing this family (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106506295B (zh) * 2016-11-15 2021-03-02 新华三技术有限公司 一种虚拟机接入网络的方法及装置
CN106506515B (zh) * 2016-11-22 2020-01-03 新华三技术有限公司 一种认证方法和装置
CN107294961A (zh) * 2017-06-09 2017-10-24 华南理工大学 一种用户真实信息安全认证系统和方法
CN107094157A (zh) * 2017-06-22 2017-08-25 电子科技大学 一种基于sdn的radius安全认证方法及系统
CN110691151B (zh) * 2019-10-09 2020-09-22 广州市品高软件股份有限公司 一种分布式设备ip地址分配管控方法及系统
CN110839036B (zh) * 2019-11-19 2021-09-03 武汉思普崚技术有限公司 一种sdn网络的攻击检测方法及系统
CN111343108B (zh) * 2020-02-24 2021-10-22 苏州盛科通信股份有限公司 一种Mac表项学习转发的方法及装置

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104702607A (zh) * 2015-03-12 2015-06-10 杭州华三通信技术有限公司 一种软件定义网络的接入认证方法、装置和系统
CN104702509A (zh) * 2015-03-31 2015-06-10 杭州华三通信技术有限公司 一种隔离sdn协议报文和数据报文的方法及装置
CN104780147A (zh) * 2014-01-14 2015-07-15 杭州华三通信技术有限公司 一种byod访问控制的方法及装置

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9071529B2 (en) * 2012-10-08 2015-06-30 Telefonaktiebolaget L M Ericsson (Publ) Method and apparatus for accelerating forwarding in software-defined networks

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104780147A (zh) * 2014-01-14 2015-07-15 杭州华三通信技术有限公司 一种byod访问控制的方法及装置
CN104702607A (zh) * 2015-03-12 2015-06-10 杭州华三通信技术有限公司 一种软件定义网络的接入认证方法、装置和系统
CN104702509A (zh) * 2015-03-31 2015-06-10 杭州华三通信技术有限公司 一种隔离sdn协议报文和数据报文的方法及装置

Also Published As

Publication number Publication date
CN105119911A (zh) 2015-12-02

Similar Documents

Publication Publication Date Title
CN105119911B (zh) 一种基于sdn流的安全认证方法及系统
CN108075920B (zh) 一种视联网终端的管理方法和系统
CN107995231B (zh) 一种远程控制设备的方法和装置
CN108023910A (zh) 一种基于视联网的终端监控方法和系统
CN108228338B (zh) 一种视联网资源管理方法和系统
CN105790990B (zh) 一种监管配用电通信业务的方法及其系统
CN108023858A (zh) 一种视联网网管安全认证方法及其系统
CN108616549A (zh) 一种文件上传方法及文件服务器
CN103036653A (zh) 一种对OpenFlow网络进行网络编码的方法
CN109743595A (zh) 终端数据同步方法和装置
CN108964962A (zh) 一种控制视联网终端的方法和系统
CN109302642A (zh) 数据采集方法和装置
CN107888401A (zh) 一种实时监控视联网终端cpu利用率的方法和系统
CN106850803A (zh) 一种基于sdn的加权轮询系统及算法
Zhang et al. Demo abstract: An intent solver for enabling intent-based SDN
CN108989274A (zh) 一种多方会议的调试方法及装置
CN110048903A (zh) 一种协转网关状态监控方法和装置
CN109687985B (zh) 一种变电站过程层网络自动配置方法及系统
CN104796340B (zh) 一种组播数据传输方法和设备
CN106162387A (zh) 光接入模块的认证注册方法、装置及系统
CN110418097A (zh) 一种会议监控方法和装置
CN108632075A (zh) 一种视联网终端的烧写方法和装置
CN105376197B (zh) 实现层次化网络抽象的方法和系统
CN110475087A (zh) 一种业务处理系统、方法及电子设备
CN109743265A (zh) 一种获取证件信息的方法和装置

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant
TR01 Transfer of patent right

Effective date of registration: 20201130

Address after: Room 10242, No. 260, Jiangshu Road, Xixing street, Binjiang District, Hangzhou City, Zhejiang Province

Patentee after: Hangzhou Jiji Intellectual Property Operation Co., Ltd

Address before: 201616 Shanghai city Songjiang District Sixian Road No. 3666

Patentee before: Phicomm (Shanghai) Co.,Ltd.

TR01 Transfer of patent right
TR01 Transfer of patent right

Effective date of registration: 20201222

Address after: 233000 3rd floor, Dong'an Market, Fengyang West Road, Longzihu District, Bengbu City, Anhui Province

Patentee after: Bengbu 309 Technology Consulting Co.,Ltd.

Address before: Room 10242, No. 260, Jiangshu Road, Xixing street, Binjiang District, Hangzhou City, Zhejiang Province

Patentee before: Hangzhou Jiji Intellectual Property Operation Co., Ltd

TR01 Transfer of patent right
TR01 Transfer of patent right

Effective date of registration: 20210208

Address after: 313001 room 1019, Xintiandi office building, Yishan street, Wuxing District, Huzhou, Zhejiang, China

Patentee after: Huzhou YingLie Intellectual Property Operation Co.,Ltd.

Address before: 233000 3rd floor, Dong'an Market, Fengyang West Road, Longzihu District, Bengbu City, Anhui Province

Patentee before: Bengbu 309 Technology Consulting Co.,Ltd.

TR01 Transfer of patent right