CN106453332A - 一种基于sdn的动态用户权限控制方法、装置和系统 - Google Patents
一种基于sdn的动态用户权限控制方法、装置和系统 Download PDFInfo
- Publication number
- CN106453332A CN106453332A CN201610908843.0A CN201610908843A CN106453332A CN 106453332 A CN106453332 A CN 106453332A CN 201610908843 A CN201610908843 A CN 201610908843A CN 106453332 A CN106453332 A CN 106453332A
- Authority
- CN
- China
- Prior art keywords
- message
- address
- authority
- source
- user right
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L47/00—Traffic control in data switching networks
- H04L47/10—Flow control; Congestion control
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L47/00—Traffic control in data switching networks
- H04L47/10—Flow control; Congestion control
- H04L47/24—Traffic characterised by specific attributes, e.g. priority or QoS
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供一种基于SDN的动态用户权限控制方法、装置和系统,其中方法包括:控制器预先设置基于SDN的动态用户权限控制算法配置表,所述动态用户权限控制算法配置表中包括用于配置用户权限的用户权限控制表;当控制器接收到交换机上报的未匹配流表的报文时,计算所述报文的转发路径,并将所述报文和所述用户权限控制表进行匹配;控制器通知交换机根据匹配结果对所述报文采取相应的动作。本发明能够基于SDN架构控制用户的访问权限,无需复杂而且繁琐的配置且组网简单。
Description
技术领域
本发明实施方式涉及数据通讯技术领域,尤其涉及一种基于SDN(SoftwareDefined Network,软件定义网络)的动态用户权限控制方法、装置和系统。
背景技术
随着互联网的发展,越来越多的用户通过不同的方式在使用信息系统,大量各类不同的用户可访问的信息资源的结构日趋复杂,规模日益增大,如何确保信息系统的安全性越来越成为更加突出的问题。任何非法用户进入或者越权操作而造成的系统内容的窜改或破坏,都将给整个信息系统带来十分严重的后果。
传统的动态用户权限控制算法通过和AAA(Authentication、Authorization、Accounting,验证、授权和记账)服务器配合,交换设备支持对认证用户动态下发带宽、VLAN(Virtual Local Area Network,虚拟局域网)、ACL(Access Control List,访问控制列表)、优先级等参数,对于不同的用户群和业务可以控制其访问网络的权限,限制网络资源的使用,通过VLAN和优先级来标识用户和业务,并做到业务隔离。
在实施本发明的过程中,发明人发现现有技术至少存在如下问题:
传统的动态用户权限控制技术是本地的,需要配置每台交换机的单个端口或者单个VLAN,配置工作复杂而且繁琐,而且需要配合AAA服务器,导致组网复杂。
应该注意,上面对技术背景的介绍只是为了方便对本发明的技术方案进行清楚、完整的说明,并方便本领域技术人员的理解而阐述的。不能仅仅因为这些方案在本发明的背景技术部分进行了阐述而认为上述技术方案为本领域技术人员所公知。
发明内容
针对上述问题,本发明实施方式的目的在于提供一种基于SDN的动态用户权限控制方法、装置和系统,能够基于SDN架构控制用户的访问权限,无需复杂而且繁琐的配置且组网简单。
为实现上述目的,本发明实施方式提供一种基于SDN的动态用户权限控制方法,包括:控制器预先设置基于SDN的动态用户权限控制算法配置表,所述动态用户权限控制算法配置表中包括用于配置用户权限的用户权限控制表;当控制器接收到交换机上报的未匹配流表的报文时,计算所述报文的转发路径,并将所述报文和所述用户权限控制表进行匹配;控制器通知交换机根据匹配结果对所述报文采取相应的动作。
进一步地,所述动态用户权限控制算法配置表的配置项包括动态用户权限控制功能和用户权限控制表,其中,所述动态用户权限控制功能用于设置打开和关闭基于SDN的动态用户权限控制功能;所述用户权限控制表的配置项包括用户IP地址、FTP权限、TFTP权限、WEB权限和PING权限。
进一步地,所述当控制器接收到交换机上报的未匹配流表的报文时,计算所述报文的转发路径,并将所述报文和所述用户权限控制表进行匹配,包括:当报文进入到SDN网络后,SDN网络中的入口交换机查询流表,如果所述报文匹配流表,则将所述报文根据流表中的转发路径进行转发;如果所述报文未匹配流表,则将所述报文上报给控制器;所述控制器获取所述报文的源IP地址、目的IP地址、报文类型和入端口ID,根据所述目的IP地址计算所述报文的转发路径,根据所述报文的源IP地址查找用户权限控制表,确定匹配的源IP地址、报文类型和报文类型的访问权限。
进一步地,所述方法还包括:控制器预先扩展流表支持动态用户权限控制,所述流表的配置项包括匹配源IP地址和报文类型,报文类型的访问权限,以及采取的动作;所述控制器通知交换机根据匹配结果对所述报文采取相应的动作,包括:控制器将计算的转发路径以及匹配的源IP地址、报文类型和该报文类型的访问权限添加在流表中下发给入端口ID对应的入口交换机,使得接收到所述流表的交换机根据匹配源IP地址和报文类型以及报文类型的访问权限采取相应的动作。
进一步地,所述动作包括:当根据用户权限控制表匹配到源IP地址和FTP报文且FTP权限访问受控时,则丢弃此FTP报文;当根据用户权限控制表匹配到源IP地址和FTP报文且FTP权限访问不受控时,则根据转发路径转发所述FTP报文;当根据用户权限控制表匹配到源IP地址和TFTP报文且TFTP权限访问受控时,则丢弃此TFTP报文;当根据用户权限控制表匹配到源IP地址和TFTP报文且TFTP权限访问不受控时,则根据转发路径转发所述TFTP报文;当根据用户权限控制表匹配到源IP地址和HTTP报文且HTTP权限访问受控时,则丢弃此HTTP报文;当根据用户权限控制表匹配到源IP地址和HTTP报文且HTTP权限访问不受控时,则根据转发路径转发所述HTTP报文;当根据用户权限控制表匹配到源IP地址和PING报文且PING权限访问受控时,则丢弃此PING报文;当根据用户权限控制表匹配到源IP地址和PING报文且PING权限访问不受控时,则根据转发路径转发所述PING报文。
为实现上述目的,本发明实施方式还提供一种基于SDN的动态用户权限控制系统,包括:交换机,用于当接收到报文时,上报未匹配流表的报文;控制器,用于预先设置基于SDN的动态用户权限控制算法配置表,所述动态用户权限控制算法配置表中包括用于配置用户权限的用户权限控制表;当接收到交换机上报的未匹配流表的报文时,计算所述报文的转发路径,并将所述报文和所述用户权限控制表进行匹配;通知交换机根据匹配结果对所述报文采取相应的动作。
为实现上述目的,本发明实施方式还提供一种基于SDN的动态用户权限控制装置,包括:第一处理模块,用于预先设置基于SDN的动态用户权限控制算法配置表,所述动态用户权限控制算法配置表中包括用于配置用户权限的用户权限控制表;第二处理模块,用于当接收到交换机上报的未匹配流表的报文时,计算所述报文的转发路径,并将所述报文和所述用户权限控制表进行匹配;第三处理模块,用于通知交换机根据匹配结果对所述报文采取相应的动作。
由上可见,本发明实施方式提供的一种基于SDN的动态用户权限控制方法、装置和系统,基于SDN架构,只需在控制器上指定用户的权限,控制器通过扩展的流表对于不同的用户群和业务提供不同的访问网络的权限,限制网络资源的使用,并下发流表,在入口交换机控制用户的访问权限,无需复杂而且繁琐的配置,而且无需AAA服务器参与,组网简单。
附图说明
为了更清楚地说明本发明实施方式或现有技术中的技术方案,下面将对实施方式或现有技术描述中所需要使用的附图逐一简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施方式,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施方式提供的基于SDN的动态用户权限控制系统的架构示意图;
图2为本发明实施方式提供的基于SDN的动态用户权限控制方法的流程示意图;
图3为本发明实施方式扩展的Experimenter消息格式的示意图;
图4为本发明实施方式提供的基于SDN的动态用户权限控制装置的结构示意图。
具体实施方式
为使本发明实施方式的目的、技术方案和优点更加清楚,下面将结合本发明实施方式中的附图,对本发明实施方式中的技术方案进行清楚、完整地描述,显然,所描述的实施方式是本发明一部分实施方式,而不是全部的实施方式。基于本发明中的实施方式,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施方式,都属于本发明保护的范围。
SDN是一种新型的网络架构,其可以通过OpenFlow(开放流)技术将网络设备的控制面与数据面进行分离,从而实现对网络流量的灵活控制。在SDN中,包含实现控制面功能的控制器和若干实现数据面功能的交换机。
本发明实施方式提供一种基于SDN的动态用户权限控制系统,如图1所示,SDN网络中包括控制器和交换机,其中SDN网络中的交换机由集中的控制器管理。此外,客户端和服务器分别和交换机连接,通过SDN网络进行通讯,其中服务器包括WEB(网站)服务器和FTP(File Transfer Protocol,文件传输协议)服务器,当然还可以有其他类型服务器,在此不限制。
本发明实施方式提供一种基于SDN的动态用户权限控制方法。请参阅图2,所述方法应用于SDN中的控制器上,包括以下步骤:
步骤S1:控制器预先设置基于SDN的动态用户权限控制算法配置表,所述动态用户权限控制算法配置表中包括用于配置用户权限的用户权限控制表。
在本实施方式中,控制器预先设置基于SDN的动态用户权限控制算法配置表,该配置表中的配置项包括动态用户权限控制功能和用户权限控制表,其中动态用户权限控制功能用于设置打开和关闭基于SDN的动态用户权限控制功能,缺省是打开此功能;用户权限控制表用于静态配置的用户权限配置表,具体如表1所示。
表1
在本实施方式中,控制器还进一步对用户权限控制表进行了设置,指明了用户的访问网络资源的权限,该用户权限控制表的配置项包括用户IP地址、FTP权限、TFTP(Trivial File Transfer Protocol,简单文件传输协议)权限、WEB权限和PING权限,具体如表2所示。
表2
步骤S2:控制器接收交换机上报的MAC地址和端口信息。
在本实施方式中,SDN交换机首先需要建立和控制器的通道,即需要初始化开放流(OpenFlow)通道。然后交换机通过私有的Experimenter报文向控制器上报交换机自己的MAC地址和端口信息。
和现有技术相比,本实施方式对私有Experimenter报文进行了扩展,扩展的Experimenter消息格式如图3所示,Experimenter值为255需要向ONF组织申请;Experimenter type值为1表明是从交换机到控制器,Experimenter type值为2表明是从控制器到交换机。此外,在扩展的Experimenter消息中,还包括自己的MAC地址(Own MACaddress)和端口ID(Port ID),其中端口ID最大支持128个。
步骤S3:控制器接收交换机上报的未匹配流表的报文,计算所述报文的转发路径,并将所述报文和所述用户权限控制表进行匹配。
在本实施方式中,当报文进入到SDN网络后,入口交换机查询流表,如果所述报文匹配流表,则将所述报文根据流表中的转发路径进行转发;如果所述报文未匹配流表,则将所述报文上报给控制器。
所述报文进入到控制器后,控制器获取所述报文的源IP地址、目的IP地址、报文类型和入端口ID,从而控制器可以根据目的IP地址计算所述报文的转发路径。此外,控制器还可以根据所述报文的源IP地址查找用户权限控制表,确定匹配的源IP地址、报文类型和该报文类型的访问权限。
步骤S4:控制器通知交换机根据匹配结果对所述报文采取相应的动作。
本发明实施例还需要预先扩展流表支持动态用户权限控制,具体如表3所示。
表3
在本实施方式中,将计算的转发路径以及匹配的源IP地址、报文类型和该报文类型的访问权限添加在扩展流表中下发给入端口ID对应的入口交换机,使入口交换机根据所述流表处理所述报文。
具体地:
如果流表中为根据用户权限控制表匹配到源IP地址和FTP报文且FTP权限访问受控时,则丢弃此FTP报文;如果流表中为根据用户权限控制表匹配到源IP地址和FTP报文且FTP权限访问不受控时,则根据转发路径转发所述FTP报文;
如果流表中为根据用户权限控制表匹配到源IP地址和TFTP报文且TFTP权限访问受控时,则丢弃此TFTP报文;如果流表中为根据用户权限控制表匹配到源IP地址和TFTP报文且TFTP权限访问不受控时,则根据转发路径转发所述TFTP报文;
如果流表中为根据用户权限控制表匹配到源IP地址和HTTP报文且HTTP权限访问受控时,则丢弃此HTTP报文;如果流表中为根据用户权限控制表匹配到源IP地址和HTTP报文且HTTP权限访问不受控时,则根据转发路径转发所述HTTP报文;
如果流表中为根据用户权限控制表匹配到源IP地址和PING报文且PING权限访问受控时,则丢弃此PING报文;如果流表中为根据用户权限控制表匹配到源IP地址和PING报文且PING权限访问不受控时,则根据转发路径转发所述PING报文。
请再次参考图1,客户端1和客户端2通过SDN网络与FTP服务器和WEB服务器连通,控制器设置动态用户权限控制功能,并设置客户端1的FTP服务受限,客户端2的WEB服务受限,则客户端1可以通过SDN网络访问WEB服务器,不可以访问FTP服务器,客户端2可以通过SDN网络访问FTP服务器,不可以访问WEB服务器。
控制器修改动态用户权限控制功能,客户端1的WEB服务受限,客户端2的FTP服务受限,则客户端1可以通过SDN网络访问FTP服务器,不可以访问WEB服务器,客户端2可以通过SDN网络访问WEB服务器,不可以访问FTP服务器。
请继续参阅图1。本发明实施方式提供一种基于SDN的动态用户权限控制系统,包括:
交换机,用于和控制器建立通道,并当接收到报文时上报未匹配流表的报文;
控制器,用于预先设置基于SDN的动态用户权限控制算法配置表,所述动态用户权限控制算法配置表中包括用于配置用户权限的用户权限控制表;当接收到交换机上报的未匹配流表的报文时,计算所述报文的转发路径,并将所述报文和所述用户权限控制表进行匹配;通知交换机根据匹配结果对所述报文采取相应的动作。
具体地,
所述控制器,具体用于:当接收到交换机上报的未匹配流表的报文时,获取所述报文的源IP地址、目的IP地址、报文类型和入端口ID,根据所述目的IP地址计算所述报文的转发路径,根据所述报文的源IP地址查找用户权限控制表,确定匹配的源IP地址、报文类型和报文类型的访问权限。
所述控制器,还具体用于:预先扩展流表支持动态用户权限控制,所述流表的配置项包括匹配源IP地址和报文类型,报文类型的访问权限,以及采取的动作;将计算的转发路径以及匹配的源IP地址、报文类型和该报文类型的访问权限添加在流表中下发给入端口ID对应的入口交换机,使得接收到所述流表的交换机根据匹配源IP地址和报文类型以及报文类型的访问权限采取相应的动作;
其中所述动作包括,
当根据用户权限控制表匹配到源IP地址和FTP报文且FTP权限访问受控时,则丢弃此FTP报文;当根据用户权限控制表匹配到源IP地址和FTP报文且FTP权限访问不受控时,则根据转发路径转发所述FTP报文;
当根据用户权限控制表匹配到源IP地址和TFTP报文且TFTP权限访问受控时,则丢弃此TFTP报文;当根据用户权限控制表匹配到源IP地址和TFTP报文且TFTP权限访问不受控时,则根据转发路径转发所述TFTP报文;
当根据用户权限控制表匹配到源IP地址和HTTP报文且HTTP权限访问受控时,则丢弃此HTTP报文;当根据用户权限控制表匹配到源IP地址和HTTP报文且HTTP权限访问不受控时,则根据转发路径转发所述HTTP报文;
当根据用户权限控制表匹配到源IP地址和PING报文且PING权限访问受控时,则丢弃此PING报文;当根据用户权限控制表匹配到源IP地址和PING报文且PING权限访问不受控时,则根据转发路径转发所述PING报文。
请参阅图4。本发明实施方式提供一种基于SDN的动态用户权限控制装置,该装置为SDN中的控制器,包括:
第一处理模块,用于预先设置基于SDN的动态用户权限控制算法配置表,所述动态用户权限控制算法配置表中包括用于配置用户权限的用户权限控制表;
第二处理模块,用于当接收到交换机上报的未匹配流表的报文时,计算所述报文的转发路径,并将所述报文和所述用户权限控制表进行匹配;
第三处理模块,用于通知交换机根据匹配结果对所述报文采取相应的动作。
具体地,
所述第一处理模块,还用于:
预先扩展流表支持动态用户权限控制,所述流表的配置项包括匹配源IP地址和报文类型,报文类型的访问权限,以及采取的动作;
第二处理模块,具体用于:
当接收到交换机上报的未匹配流表的报文时,获取所述报文的源IP地址、目的IP地址、报文类型和入端口ID,根据所述目的IP地址计算所述报文的转发路径,根据所述报文的源IP地址查找用户权限控制表,确定匹配的源IP地址、报文类型和报文类型的访问权限;
所述第三处理模块,具体用于:
将计算的转发路径以及匹配的源IP地址、报文类型和该报文类型的访问权限添加在流表中下发给入端口ID对应的入口交换机,使得接收到所述流表的交换机根据匹配源IP地址和报文类型以及报文类型的访问权限采取相应的动作。
上述的涉及到的基于SDN的动态用户权限控制装置和系统的具体技术细节和基于SDN的动态用户权限控制方法中的类似,故在此不再具体赘述。
由上可见,本发明实施方式提供的一种基于SDN的动态用户权限控制方法、装置和系统,基于SDN架构,只需在控制器上指定用户的权限,控制器通过扩展的流表对于不同的用户群和业务提供不同的访问网络的权限,限制网络资源的使用,并下发流表,在入口交换机控制用户的访问权限,无需复杂而且繁琐的配置,而且无需AAA服务器参与,组网简单。
本说明书中的各个实施方式均采用递进的方式描述,各个实施方式之间相同相似的部分互相参见即可,每个实施方式重点说明的都是与其他实施方式的不同之处。
最后应说明的是:上面对本发明的各种实施方式的描述以描述的目的提供给本领域技术人员。其不旨在是穷举的、或者不旨在将本发明限制于单个公开的实施方式。如上所述,本发明的各种替代和变化对于上述技术所属领域技术人员而言将是显而易见的。因此,虽然已经具体讨论了一些另选的实施方式,但是其它实施方式将是显而易见的,或者本领域技术人员相对容易得出。本发明旨在包括在此已经讨论过的本发明的所有替代、修改、和变化,以及落在上述申请的精神和范围内的其它实施方式。
Claims (10)
1.一种基于SDN的动态用户权限控制方法,其特征在于,包括:
控制器预先设置基于SDN的动态用户权限控制算法配置表,所述动态用户权限控制算法配置表中包括用于配置用户权限的用户权限控制表;
当控制器接收到交换机上报的未匹配流表的报文时,计算所述报文的转发路径,并将所述报文和所述用户权限控制表进行匹配;
控制器通知交换机根据匹配结果对所述报文采取相应的动作。
2.根据权利要求1所述的基于SDN的动态用户权限控制方法,其特征在于,所述动态用户权限控制算法配置表的配置项包括动态用户权限控制功能和用户权限控制表,其中,
所述动态用户权限控制功能用于设置打开和关闭基于SDN的动态用户权限控制功能;
所述用户权限控制表的配置项包括用户IP地址、FTP权限、TFTP权限、WEB权限和PING权限。
3.根据权利要求2所述的基于SDN的动态用户权限控制方法,其特征在于,所述当控制器接收到交换机上报的未匹配流表的报文时,计算所述报文的转发路径,并将所述报文和所述用户权限控制表进行匹配,包括:
当报文进入到SDN网络后,SDN网络中的入口交换机查询流表,如果所述报文匹配流表,则将所述报文根据流表中的转发路径进行转发;如果所述报文未匹配流表,则将所述报文上报给控制器;
所述控制器获取所述报文的源IP地址、目的IP地址、报文类型和入端口ID,根据所述目的IP地址计算所述报文的转发路径,根据所述报文的源IP地址查找用户权限控制表,确定匹配的源IP地址、报文类型和报文类型的访问权限。
4.根据权利要求3所述的基于SDN的动态用户权限控制方法,其特征在于,所述方法还包括:
控制器预先扩展流表支持动态用户权限控制,所述流表的配置项包括匹配源IP地址和报文类型,报文类型的访问权限,以及采取的动作;
所述控制器通知交换机根据匹配结果对所述报文采取相应的动作,包括:
控制器将计算的转发路径以及匹配的源IP地址、报文类型和该报文类型的访问权限添加在流表中下发给入端口ID对应的入口交换机,使得接收到所述流表的交换机根据匹配源IP地址和报文类型以及报文类型的访问权限采取相应的动作。
5.根据权利要求4所述的基于SDN的动态用户权限控制方法,其特征在于,所述动作包括:
当根据用户权限控制表匹配到源IP地址和FTP报文且FTP权限访问受控时,则丢弃此FTP报文;当根据用户权限控制表匹配到源IP地址和FTP报文且FTP权限访问不受控时,则根据转发路径转发所述FTP报文;
当根据用户权限控制表匹配到源IP地址和TFTP报文且TFTP权限访问受控时,则丢弃此TFTP报文;当根据用户权限控制表匹配到源IP地址和TFTP报文且TFTP权限访问不受控时,则根据转发路径转发所述TFTP报文;
当根据用户权限控制表匹配到源IP地址和HTTP报文且HTTP权限访问受控时,则丢弃此HTTP报文;当根据用户权限控制表匹配到源IP地址和HTTP报文且HTTP权限访问不受控时,则根据转发路径转发所述HTTP报文;
当根据用户权限控制表匹配到源IP地址和PING报文且PING权限访问受控时,则丢弃此PING报文;当根据用户权限控制表匹配到源IP地址和PING报文且PING权限访问不受控时,则根据转发路径转发所述PING报文。
6.一种基于SDN的动态用户权限控制系统,其特征在于,包括:
交换机,用于和控制器建立通道,并当接收到报文时上报未匹配流表的报文;
控制器,用于预先设置基于SDN的动态用户权限控制算法配置表,所述动态用户权限控制算法配置表中包括用于配置用户权限的用户权限控制表;当接收到交换机上报的未匹配流表的报文时,计算所述报文的转发路径,并将所述报文和所述用户权限控制表进行匹配;通知交换机根据匹配结果对所述报文采取相应的动作。
7.根据权利要求6所述的基于SDN的动态用户权限控制系统,其特征在于,所述控制器,具体用于:
当接收到交换机上报的未匹配流表的报文时,获取所述报文的源IP地址、目的IP地址、报文类型和入端口ID,根据所述目的IP地址计算所述报文的转发路径,根据所述报文的源IP地址查找用户权限控制表,确定匹配的源IP地址、报文类型和报文类型的访问权限。
8.根据权利要求7所述的基于SDN的动态用户权限控制系统,其特征在于,所述控制器,还具体用于:
预先扩展流表支持动态用户权限控制,所述流表的配置项包括匹配源IP地址和报文类型,报文类型的访问权限,以及采取的动作;
将计算的转发路径以及匹配的源IP地址、报文类型和该报文类型的访问权限添加在流表中下发给入端口ID对应的入口交换机,使得接收到所述流表的交换机根据匹配源IP地址和报文类型以及报文类型的访问权限采取相应的动作;
其中所述动作包括,
当根据用户权限控制表匹配到源IP地址和FTP报文且FTP权限访问受控时,则丢弃此FTP报文;当根据用户权限控制表匹配到源IP地址和FTP报文且FTP权限访问不受控时,则根据转发路径转发所述FTP报文;
当根据用户权限控制表匹配到源IP地址和TFTP报文且TFTP权限访问受控时,则丢弃此TFTP报文;当根据用户权限控制表匹配到源IP地址和TFTP报文且TFTP权限访问不受控时,则根据转发路径转发所述TFTP报文;
当根据用户权限控制表匹配到源IP地址和HTTP报文且HTTP权限访问受控时,则丢弃此HTTP报文;当根据用户权限控制表匹配到源IP地址和HTTP报文且HTTP权限访问不受控时,则根据转发路径转发所述HTTP报文;
当根据用户权限控制表匹配到源IP地址和PING报文且PING权限访问受控时,则丢弃此PING报文;当根据用户权限控制表匹配到源IP地址和PING报文且PING权限访问不受控时,则根据转发路径转发所述PING报文。
9.一种基于SDN的动态用户权限控制装置,所述装置为SDN中的控制器,其特征在于,包括:
第一处理模块,用于预先设置基于SDN的动态用户权限控制算法配置表,所述动态用户权限控制算法配置表中包括用于配置用户权限的用户权限控制表;
第二处理模块,用于当接收到交换机上报的未匹配流表的报文时,计算所述报文的转发路径,并将所述报文和所述用户权限控制表进行匹配;
第三处理模块,用于通知交换机根据匹配结果对所述报文采取相应的动作。
10.根据权利要求9所述的基于SDN的动态用户权限控制装置,其特征在于,所述第一处理模块,还用于:
预先扩展流表支持动态用户权限控制,所述流表的配置项包括匹配源IP地址和报文类型,报文类型的访问权限,以及采取的动作;
第二处理模块,具体用于:
当接收到交换机上报的未匹配流表的报文时,获取所述报文的源IP地址、目的IP地址、报文类型和入端口ID,根据所述目的IP地址计算所述报文的转发路径,根据所述报文的源IP地址查找用户权限控制表,确定匹配的源IP地址、报文类型和报文类型的访问权限;
所述第三处理模块,具体用于:
将计算的转发路径以及匹配的源IP地址、报文类型和该报文类型的访问权限添加在流表中下发给入端口ID对应的入口交换机,使得接收到所述流表的交换机根据匹配源IP地址和报文类型以及报文类型的访问权限采取相应的动作;
所述动作包括:
当根据用户权限控制表匹配到源IP地址和FTP报文且FTP权限访问受控时,则丢弃此FTP报文;当根据用户权限控制表匹配到源IP地址和FTP报文且FTP权限访问不受控时,则根据转发路径转发所述FTP报文;
当根据用户权限控制表匹配到源IP地址和TFTP报文且TFTP权限访问受控时,则丢弃此TFTP报文;当根据用户权限控制表匹配到源IP地址和TFTP报文且TFTP权限访问不受控时,则根据转发路径转发所述TFTP报文;
当根据用户权限控制表匹配到源IP地址和HTTP报文且HTTP权限访问受控时,则丢弃此HTTP报文;当根据用户权限控制表匹配到源IP地址和HTTP报文且HTTP权限访问不受控时,则根据转发路径转发所述HTTP报文;
当根据用户权限控制表匹配到源IP地址和PING报文且PING权限访问受控时,则丢弃此PING报文;当根据用户权限控制表匹配到源IP地址和PING报文且PING权限访问不受控时,则根据转发路径转发所述PING报文。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610908843.0A CN106453332A (zh) | 2016-10-18 | 2016-10-18 | 一种基于sdn的动态用户权限控制方法、装置和系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610908843.0A CN106453332A (zh) | 2016-10-18 | 2016-10-18 | 一种基于sdn的动态用户权限控制方法、装置和系统 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN106453332A true CN106453332A (zh) | 2017-02-22 |
Family
ID=58177128
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201610908843.0A Pending CN106453332A (zh) | 2016-10-18 | 2016-10-18 | 一种基于sdn的动态用户权限控制方法、装置和系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN106453332A (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108366068A (zh) * | 2018-02-26 | 2018-08-03 | 浙江大学 | 一种软件定义网络下基于策略语言的云端网络资源管理控制系统 |
| CN112968880A (zh) * | 2021-02-01 | 2021-06-15 | 浪潮思科网络科技有限公司 | 一种基于sdn架构的权限控制方法、系统 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104994065A (zh) * | 2015-05-20 | 2015-10-21 | 上海斐讯数据通信技术有限公司 | 基于软件定义网络的访问控制列表运行系统和方法 |
| US20150334029A1 (en) * | 2014-05-15 | 2015-11-19 | Cisco Technology, Inc. | Differentiated quality of service using security as a service |
| CN105681102A (zh) * | 2016-03-01 | 2016-06-15 | 上海斐讯数据通信技术有限公司 | 一种基于sdn的行为策略方法和系统 |
| CN105933225A (zh) * | 2016-04-20 | 2016-09-07 | 上海斐讯数据通信技术有限公司 | 一种基于sdn的策略路由方法和系统 |
-
2016
- 2016-10-18 CN CN201610908843.0A patent/CN106453332A/zh active Pending
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20150334029A1 (en) * | 2014-05-15 | 2015-11-19 | Cisco Technology, Inc. | Differentiated quality of service using security as a service |
| CN104994065A (zh) * | 2015-05-20 | 2015-10-21 | 上海斐讯数据通信技术有限公司 | 基于软件定义网络的访问控制列表运行系统和方法 |
| CN105681102A (zh) * | 2016-03-01 | 2016-06-15 | 上海斐讯数据通信技术有限公司 | 一种基于sdn的行为策略方法和系统 |
| CN105933225A (zh) * | 2016-04-20 | 2016-09-07 | 上海斐讯数据通信技术有限公司 | 一种基于sdn的策略路由方法和系统 |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108366068A (zh) * | 2018-02-26 | 2018-08-03 | 浙江大学 | 一种软件定义网络下基于策略语言的云端网络资源管理控制系统 |
| CN112968880A (zh) * | 2021-02-01 | 2021-06-15 | 浪潮思科网络科技有限公司 | 一种基于sdn架构的权限控制方法、系统 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11159487B2 (en) | Automatic configuration of perimeter firewalls based on security group information of SDN virtual firewalls | |
| CN107409089B (zh) | 一种在网络引擎中实施的方法及虚拟网络功能控制器 | |
| US9219638B2 (en) | Apparatus and method for applying network policy at a network device | |
| US8201168B2 (en) | Virtual input-output connections for machine virtualization | |
| US6079020A (en) | Method and apparatus for managing a virtual private network | |
| US7925737B2 (en) | System and method for dynamic configuration of network resources | |
| US8380819B2 (en) | Method to allow seamless connectivity for wireless devices in DHCP snooping/dynamic ARP inspection/IP source guard enabled unified network | |
| JP5062967B2 (ja) | ネットワークアクセス制御方法、およびシステム | |
| Liu et al. | Leveraging software-defined networking for security policy enforcement | |
| TWI395435B (zh) | 開放網路連接 | |
| US10805390B2 (en) | Automated mirroring and remote switch port analyzer (RSPAN) functions using fabric attach (FA) signaling | |
| EP3917096B1 (en) | Data center tenant network isolation using logical router interconnects for virtual network route leaking | |
| CN102882758A (zh) | 虚拟私云接入网络的方法、网络侧设备和数据中心设备 | |
| US20220116427A1 (en) | Dynamic security scaling | |
| JP6591621B2 (ja) | 多様なエンドツーエンド隔離をサポートする仮想プライベートネットワークサービス実装システム | |
| CN104468633B (zh) | 一种sdn南向安全代理产品 | |
| CN104158767A (zh) | 一种网络准入装置及方法 | |
| CN106559342A (zh) | 一种基于sdn的协议端口保护方法、装置和系统 | |
| CN105227541A (zh) | 一种安全策略动态迁移方法及装置 | |
| US10965648B2 (en) | Enforcing instructions of a segmentation policy on a network midpoint device | |
| CN105681102A (zh) | 一种基于sdn的行为策略方法和系统 | |
| Odi et al. | The proposed roles of VLAN and inter-VLAN routing in effective distribution of network services in Ebonyi State University | |
| CN106453332A (zh) | 一种基于sdn的动态用户权限控制方法、装置和系统 | |
| KR102092015B1 (ko) | 소프트웨어 정의 네트워크에서 네트워크 장비를 인식하는 방법, 장치 및 컴퓨터 프로그램 | |
| Yao et al. | Toward live inter-domain network services on the exogeni testbed |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20170222 |
|
| RJ01 | Rejection of invention patent application after publication |