CN106713263B - 局域网内用户按需动态认证连接的系统及方法 - Google Patents

局域网内用户按需动态认证连接的系统及方法 Download PDF

Info

Publication number
CN106713263B
CN106713263B CN201611014427.2A CN201611014427A CN106713263B CN 106713263 B CN106713263 B CN 106713263B CN 201611014427 A CN201611014427 A CN 201611014427A CN 106713263 B CN106713263 B CN 106713263B
Authority
CN
China
Prior art keywords
user
management module
connection
application
identification name
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201611014427.2A
Other languages
English (en)
Other versions
CN106713263A (zh
Inventor
张建辉
李晨晖
江逸茗
陈祥
张霞
周锟
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
National Digital Switch System Engineering Technology Research Center
Zhuhai Gao Ling information Polytron Technologies Inc
Original Assignee
NATIONAL DIGITAL SWITCH SYSTEM ENGINEERING TECHNOLOGY RESEARCH CENTER
Shanghai Red Array Mdt Infotech Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NATIONAL DIGITAL SWITCH SYSTEM ENGINEERING TECHNOLOGY RESEARCH CENTER, Shanghai Red Array Mdt Infotech Ltd filed Critical NATIONAL DIGITAL SWITCH SYSTEM ENGINEERING TECHNOLOGY RESEARCH CENTER
Priority to CN201611014427.2A priority Critical patent/CN106713263B/zh
Publication of CN106713263A publication Critical patent/CN106713263A/zh
Application granted granted Critical
Publication of CN106713263B publication Critical patent/CN106713263B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/45Network directories; Name-to-address mapping
    • H04L61/4505Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols
    • H04L61/4511Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols using domain name system [DNS]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/104Grouping of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/10Protocols in which an application is distributed across nodes in the network
    • H04L67/104Peer-to-peer [P2P] networks
    • H04L67/1074Peer-to-peer [P2P] networks for supporting data block transmission mechanisms
    • H04L67/1078Resource delivery mechanisms

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明涉及计算机网络领域,尤其涉及一种局域网内用户按需动态认证连接的系统及方法,包括三个平面组成,分别为数据平面、控制平面和管理平面,所述数据平面与控制平面之间通过Openflow协议通信,控制平面与管理平面运行在操作系统中,通过进程间通信进行交互,其中:数据平面包括一个Openflow交换机,用于负责与控制平面的数据交互,根据转发策略模块下发的流表进行数据转发;控制平面包括有用户名解析模块和转发策略模块;管理平面包括有用户管理模块、组管理模块和连接管理模块。本发明解决了普通局域网内用户主机长期在线,网络拓扑基本不变,攻击者可利用该条件进行攻击和信息窃取的风险问题。

Description

局域网内用户按需动态认证连接的系统及方法
技术领域
本发明涉及计算机网络领域,尤其涉及一种局域网内用户按需动态认证连接的系统及方法。
背景技术
随着人们对数字化产品的需求不断增加及使用,数字化办公已经成为不可或缺的条件,公司、学校和一些公共场所组建的大型局域网络也是在不断增加,越来越需求组建一个安全稳定的局域网络,然而目前的网络环境中存在着大量的隐患。局域网内用户主机间同过交换机相连,用户主机长期在线,使攻击者很容易就获得了网络拓扑结构,并可针对用户主机进行长期控制监控;大量的通信报文通过广播传输,通信网络呈网状结构,这就给攻击者进行监听和劫取报文创造了良好的环境。这些安全问题就促使我们需要一种按需连接的网络环境,用户上线需通过动态认证的方式进行注册,尽可能减少不需要的网络连接和空闲的用户在线状态,使用户主机的安全性得到最大的保护。
发明内容
鉴于此,本发明提出了一种在局域网内用户主机按需动态注册认证进行连接的系统及方法,目的是解决普通局域网内用户主机长期在线,网络拓扑基本不变,攻击者可利用该条件进行攻击和信息窃取的风险问题。
为了达到上述目的,本发明是通过以下技术方案实现的:
一种局域网内用户按需动态认证连接的系统,包括三个平面组成,分别为数据平面、控制平面和管理平面,所述数据平面与控制平面之间通过Openflow协议通信,控制平面与管理平面运行在操作系统中,通过进程间通信进行交互,其中:
数据平面包括一个Openflow交换机,用于负责与控制平面的数据交互,根据转发策略模块下发的流表进行数据转发;
控制平面包括有用户名解析模块和转发策略模块;
管理平面包括有用户管理模块、组管理模块和连接管理模块。
所述用户名解析模块用于负责注册名和标识名的解析上报工作,识别区分用户主机的注册上线和通信申请行为,并上交申请,非注册用户则不上交通信申请,并记录注册用户的MAC地址和IP地址。
所述转发策略模块用于负责根据连接管理模块下发的通信连接需求,生成相应的流表;下发或删除Openflow交换机上的转发流表;转发流表为点对点通信模式,无网状结构连接状态。
所述用户管理模块用于负责用户动态注册认证,用户标识动态映射表的维护,以及用户注册名和标识名的带外通告。
所述组管理模块用于负责用户间通信权限的管理,即注册用户按照规则被分配到不同权限等级的不同组中。
所述连接管理模块用于负责根据用户需求进行连接管理,连接状态的维护。
本发明还提供一种局域网内用户按需动态认证连接的方法,包括以下步骤:
步骤一:用户管理模块根据系统的接口号生成注册名映射表,为每一个与系统相连的用户主机分配一个注册名,该注册名与接口号绑定,且注册名是动态变换的,通过带外通道通告给用户;
步骤二:用户A主机按需申请注册上线,需先通过带外通道的方式获取用户管理模块分配给用户A的注册名;
步骤三:用户A向系统发送注册上线申请,申请中包含注册名和申请在线时长;
步骤四:系统收到用户A的注册上线申请,由用户名解析模块识别是否为注册申请;若是,将申请上交给用户管理模块,否则丢弃;
步骤五:用户管理模块收到注册上线申请后,判断申请中的注册名与收到申请的接口号与当前的注册名映射表是否相符,若相符,则回复注册上线成功的消息,动态随机地为用户A主机分配一个IP地址,并将用户A在线的状态记录在用户管理模块中,否则丢弃;
步骤六:用户A上线后,用户管理模块专为用户A动态生成一个当前在线可通信用户的标识名映射表,同时将用户A其更新到其他在线用户的标识名映射表中;
步骤七:当上线时间达到申请时长的1/2时,用户管理模块会向用户通告用户A新的注册名,若用户A需延长在线时间,则用新的注册名在线重新注册,并提交申请上线时间,延长在线时间,在线时间为两次申请时间总和,重新注册过程不中断用户连接;若超时,用户管理模块会将用户A下线,删除用户A在其他在线用户的标识名映射表中的标识名。
进一步地,所述步骤六中,若用户A注册上线成功,与标识名映射表中另一个用户B的主机进行连接通信,则进行以下步骤:
步骤一:用户A根据用户管理模块通告的标识名映射表中用户B的标识名,向系统发出与用户B的连接申请,其中包含用户B的标识名和连接申请时长;
步骤二:系统的用户管理模块收到申请后,验证申请中用户B的标识名是否存在于用户A所拥有的标识名映射表,若存在,将请求转发给连接管理模块,然后生成相应的流表策略下发各OPenflow交换机,使用户A主机与用户B主机实现点对点的连接通信,否则丢弃;
步骤三:当连接通信时长达到申请时长的1/2时,用户管理模块会自动更新用户B在用户A的标识名映射表上的标识名,如需延长连接通信时间,仅用户A可根据用户B新的标识名重新申请连接,连接状态不会中断;若超时,连接管理模块会删除用户A与用户B通信相对应的流表,中断用户A与用户B的连接通信。
进一步地,所述步骤六中,用户A上线后,租管理模块将用户A分配到不同权限等级的不同组中,每个注册用户不可主动申请与同权限不同组或高权限的用户连接通信;用户管理模块根据组管理模块中的分组,专为用户A动态生成一个当前在线可通信用户的标识名映射表,同一用户在不同用户的标识名映射表中的标识名不同,标识名映射表会通过带外通道通告给用户A。
本发明的的有益效果主要体现在以下几个机制上:
1.用户按需上线动态认证机制。由于普通局域网内用户长期在线,导致攻击者可扫描获取到比较稳定的网络拓扑环境,然后针对环境中的主机进行长期的监听和控制,为解决该问题,提出用户按需注册上线,然后通过用户动态认证的方式,进行上线管理,实现该功能的模块为控制平面的用户名解析模块和管理平面的用户管理模块。注册用户通过带外通信方式获取用户管理模块动态生成的注册名,按需进行主动地上线申请,自主设定在线时间,并可根据需要延长在线时间,实现自主可控的局域网间通信。当用户在线超时时,会被自动下线,使用户主机在非通信状态下不可见,实现网络拓扑不固定,阻止攻击者长期监听和控制其他用户主机;
2.用户主机根据动态生成的用户标识名进行按需通信申请机制。当注册用户上线后,同样为避免网络拓扑扫描和端口扫描等攻击,消除不必要的通信通道带来的风险,系统的通信方式采用按需通信申请的机制。注册主机可根据动态生成的标识名映射表,使用按需申请的机制进行通信请求;转换普通局域网以MAC地址和IP地址为基准的转发规则,使用动态生成的主机标识名作为主机间通信通道建立的依据,有效防止了攻击者依据MAC或IP欺骗所做的攻击;
3.依据权限和分组进行通信申请限制机制。为保护一些存有重要文件的用户主机,在用户按需注册上线和通信的基础上,引入权限和分组机制。将不同的用户按照权限大小进行区分,权限小的用户不能主动发起与权限高的用户的连接通信;同一权限的用户也可进行分组,同一权限不同组之间的用户不能互相发起连接通信,但一个用户可以同时属于同一权限的不同组中;
4.户间通信动态维护机制。为防止用户间连接通道连通后,连接通道不释放,造成安全隐患,在用户申请连接请求时,需按需提交连接时长,若用户未在申请连接时长内重新申请连接,则会自动关闭连接通道;当连接时长达到申请时长的1/2时,用户管理模块会自动更新被连接用户在主动申请连接用户的标识名映射表上的标识名,如需延长连接时间,主动连接用户可根据新的标识名重新申请连接,连接状态不会中断;若在连接过程中,有某一用户注册上线时长超时,连接通道也会自动关闭。
附图说明:
图1为本发明所述系统的功能模块结构关系图;
图2为本发明所述方法中用户按需上线动态认证流程图;
图3为本发明所述方法中用户按需申请连接通信动态认证流程图;
具体实施方式:
依照以下的附图详细说明关于本发明的示例性实施例。
本发明实施例提供一种局域网内用户按需动态认证连接的系统,如图1所示,包括三个平面组成,分别为数据平面、控制平面和管理平面,所述数据平面与控制平面之间通过Openflow协议通信,控制平面与管理平面运行在操作系统中,通过进程间通信进行交互,其中:
数据平面包括Openflow交换机,主要负责与控制平面的数据交互,根据转发策略模块下发的流表进行数据转发。
控制平面包括用户名解析模块和转发策略模块:
用户名解析模块:主要负责注册名和标识名的解析上报工作。识别区分用户主机的注册上线和通信申请行为,并上交申请,非注册用户不上交通信申请;记录注册用户的MAC地址和IP地址;
转发策略模块:主要负责根据连接管理模块下发的通信连接需求,生成相应的流表;下发或删除Openflow交换机上的转发流表;转发流表为点对点通信模式,无网状结构连接状态。
管理平面包括用户管理模块、组管理模块和连接管理模块:
用户管理模块:主要负责用户动态注册认证,用户标识动态映射表的维护,以及用户注册名和标识名的带外通告。系统依据用户主机连接的接口号,动态生成对应的用户主机注册名,注册名会在用户在线达到申请在线时间1/2或下线时,动态更新注册名,注册名通过带外通信的方式通告给用户;用户注册上线时,需提交申请的上线时间,当上线时间达到申请时间的1/2时,用户管理模块会向用户通告新的注册名,用户可通过在线重新注册,并提交申请上线时间的方式,延长在线时间,在线时间为两次申请时间总和,重新注册过程不中断用户连接;包含DHCP服务器,用户在注册上线时被动态随机分配一个IP地址,且每次上线所分配IP均不同;若用户在申请上线时间内未重新注册,则会被被动下线;当用户注册上线成功后,该模块会针对该用户动态生成一个可通信设备的标识名映射表,不同注册用户的标识名映射表均不同;当用户申请与其他用户通信时,根据该注册用户所拥有的标识名映射表进行验证许可;当一个用户注册上线或下线时,会同步跟新其在其他注册用户所拥有的标识名映射表中的标识名;映射表中的标识名,在两台主机非通信状态下,会动态的周期性变化;
组管理模块:主要负责用户间通信权限的管理。注册用户按照规则被分配到不同权限等级的不同组中,注册用户不可主动申请与同权限不同组或高权限用户连接通信;一个注册用户可同时属于同一权限不同组中;
连接管理模块主要负责根据用户需求进行连接管理,连接状态的维护。在连接通信连接均为点对点,用户对用户通信。在用户申请连接请求时,需提交申请连接时长,当连接时长达到申请时长的1/2时,用户管理模块会自动更新被连接用户在主动申请连接用户的标识名映射表上的标识名,主动申请连接用户如需延长连接时间,需在申请时长内根据新的标识名重新申请连接,此时连接状态不会中断,否则连接管理模块会在超过连接时长后关闭连接通道;用户连接为用户对用户的连接状态,无网状结构连接状态。
本发明实施例还提供一种局域网内用户按需动态认证连接的方法,包括以下步骤:
步骤一:用户管理模块根据系统的接口号生成注册名映射表,为每一个与系统相连的用户主机分配一个注册名,该注册名与接口号绑定,且注册名是动态变换的,通过带外通道通告给用户;
步骤二:用户A主机按需申请注册上线,需先通过带外通道的方式获取用户管理模块分配给用户A的注册名;
步骤三:用户A向系统发送注册上线申请,申请中包含注册名和申请在线时长;
步骤四:系统收到用户A的注册上线申请,由用户名解析模块识别是否为注册申请;若是,将申请上交给用户管理模块,否则丢弃;
步骤五:用户管理模块收到注册上线申请后,判断申请中的注册名与收到申请的接口号与当前的注册名映射表是否相符,若相符,则回复注册上线成功的消息,动态随机地为用户A主机分配一个IP地址,并将用户A在线的状态记录在用户管理模块中,否则丢弃;
步骤六:用户A上线后,用户管理模块专为用户A动态生成一个当前在线可通信用户的标识名映射表,同时将用户A其更新到其他在线用户的标识名映射表中;
步骤七:当上线时间达到申请时长的1/2时,用户管理模块会向用户通告用户A新的注册名,若用户A需延长在线时间,则用新的注册名在线重新注册,并提交申请上线时间,延长在线时间,在线时间为两次申请时间总和,重新注册过程不中断用户连接;若超时,用户管理模块会将用户A下线,删除用户A在其他在线用户的标识名映射表中的标识名。
进一步地,所述步骤六中,若用户A注册上线成功,与标识名映射表中另一个用户B的主机进行连接通信,则进行以下步骤:
步骤一:用户A根据用户管理模块通告的标识名映射表中用户B的标识名,向系统发出与用户B的连接申请,其中包含用户B的标识名和连接申请时长;
步骤二:系统的用户管理模块收到申请后,验证申请中用户B的标识名是否存在于用户A所拥有的标识名映射表,若存在,将请求转发给连接管理模块,然后生成相应的流表策略下发各OPenflow交换机,使用户A主机与用户B主机实现点对点的连接通信,否则丢弃;
步骤三:当连接通信时长达到申请时长的1/2时,用户管理模块会自动更新用户B在用户A的标识名映射表上的标识名,如需延长连接通信时间,仅用户A可根据用户B新的标识名重新申请连接,连接状态不会中断;若超时,连接管理模块会删除用户A与用户B通信相对应的流表,中断用户A与用户B的连接通信。
进一步地,所述步骤六中,用户A上线后,租管理模块将用户A分配到不同权限等级的不同组中,每个注册用户不可主动申请与同权限不同组或高权限的用户连接通信;用户管理模块根据组管理模块中的分组,专为用户A动态生成一个当前在线可通信用户的标识名映射表,同一用户在不同用户的标识名映射表中的标识名不同,标识名映射表会通过带外通道通告给用户A。
本发明所提供的方法主要体现在以下两个方面:
一、用户按需上线动态认证:
用户管理模块作为系统的核心模块,主要实现了动态认证的功能。用户管理模块根据系统的接口号生成注册名映射表,为每一个与系统相连的用户主机分配了一个注册名,该注册名与接口号绑定,且注册名是动态变换的,通过带外通道通告给用户。
图2中,用户A主机按需申请注册上线,需先通过带外通道的方式获取用户管理模块分配给用户A的注册名,然后向系统发送注册上线申请,申请中包含注册名和申请在线时长。系统收到用户A的注册上线申请,由用户名解析模块识别是否为注册申请,若为是,将申请上交给用户管理模块,否则丢弃。用户管理模块收到注册上线申请后,判断申请中的注册名与收到申请的接口号与当前的注册名映射表是否相符,若相符,则回复注册上线成功的消息,动态随机地为用户A主机分配一个IP地址,并将用户A在线的状态记录在用户管理模块中,否则丢弃。
用户A上线后,用户管理模块将其更新到其他在线用户的标识名映射表中。
当上线时间达到申请时长的1/2时,用户管理模块会向用户通告用户A新的注册名,若用户需延长在线时间,可用新的注册名在线重新注册,并提交申请上线时间,延长在线时间,在线时间为两次申请时间总和,重新注册过程不会中断用户连接。若超时,用户管理模块会将用户A下线,删除用户A在其他在线用户的标识名映射表中的标识名。
二、用户按需申请连接通信动态认证:
组管理模块中包含各个用户的权限等级和分组情况,用户只能申请连接通信优先级低于自己或与自己同组的用户。
当用户A注册上线成功后,用户管理模块根据组管理模块中的分组,专为用户A动态生成一个当前在线可通信用户的标识名映射表,同一用户在不同用户的标识名映射表中的标识名不同,标识名映射表会通过带外通道通告给用户A。同一用户重复上线,生成的用户标识名不同,通过这种动态性可以有效的防止攻击者对网络拓扑的描绘。
根据图3,用户A按需申请与用户B的连接通信。用户A根据用户管理模块通告的标识名映射表中用户B的标识名,向系统发出与用户B的连接申请,其中包含用户B的标识名和连接申请时长。用户管理模块收到申请后,验证申请中用户B的标识名是否存在于用户A所拥有的标识名映射表,若存在,将请求转发给连接管理模块,然后生成相应的流表策略下发各OPenflow交换机,使用户A主机与用户B主机实现点对点的连接通信。
当连接通信时长达到申请时长的1/2时,用户管理模块会自动更新用户B在用户A的标识名映射表上的标识名,如需延长连接通信时间,仅用户A可根据用户B新的标识名重新申请连接,连接状态不会中断。若超时,连接管理模块会删除用户A与用户B通信相对应的流表,中断用户A与用户B的连接通信。
以上所述仅为本发明示意性的具体实施方式,并非用以限定本发明的范围,任何本领域的技术人员在不脱离本发明构思和原则的前提下所做出的等同变化与修改,均应属于本发明保护的范围。

Claims (8)

1.一种局域网内用户按需动态认证连接的方法,该方法应用于局域网内用户按需动态认证连接系统,系统包括三个平面组成,分别为数据平面、控制平面和管理平面,其特征在于,所述数据平面与控制平面之间通过Openflow协议通信,控制平面与管理平面运行在操作系统中,通过进程间通信进行交互,其中:
数据平面包括一个Openflow交换机,用于负责与控制平面的数据交互,根据转发策略模块下发的流表进行数据转发;
控制平面包括有用户名解析模块和转发策略模块;
管理平面包括有用户管理模块、组管理模块和连接管理模块;
依据以上系统的方法包括以下步骤:
步骤一:用户管理模块根据系统的接口号生成注册名映射表,为每一个与该系统相连的用户主机分配一个注册名,该注册名与接口号绑定,且注册名是动态变换的,通过带外通道通告给用户;
步骤二:用户A主机按需申请注册上线,需先通过带外通道的方式获取用户管理模块分配给用户A的注册名;
步骤三:用户A向系统发送注册上线申请,申请中包含注册名和申请在线时长;
步骤四:系统收到用户A的注册上线申请,由用户名解析模块识别是否为注册申请;若是,将申请上交给用户管理模块,否则丢弃;
步骤五:用户管理模块收到注册上线申请后,判断申请中的注册名与收到申请的接口号与当前的注册名映射表是否相符,若相符,则回复注册上线成功的消息,动态随机地为用户A主机分配一个IP地址,并将用户A在线的状态记录在用户管理模块中,否则丢弃;
步骤六:用户A上线后,用户管理模块专为用户A动态生成一个当前在线可通信用户的标识名映射表,同时将用户A其更新到其他在线用户的标识名映射表中;
步骤七:当上线时间达到申请时长的1/2时,用户管理模块会向用户通告用户A新的注册名,若用户A需延长在线时间,则用新的注册名在线重新注册,并提交申请上线时间,延长在线时间,在线时间为两次申请时间总和,重新注册过程不中断用户连接;若超时,用户管理模块会将用户A下线,删除用户A在其他在线用户的标识名映射表中的标识名。
2.根据权利要求1所述的局域网内用户按需动态认证连接的方法,其特征在于,所述用户名解析模块用于负责注册名和标识名的解析上报工作,识别区分用户主机的注册上线和通信申请行为,并上交申请,非注册用户则不上交通信申请,并记录注册用户的MAC地址和IP地址。
3.根据权利要求1所述的局域网内用户按需动态认证连接的方法,其特征在于,所述转发策略模块用于负责根据连接管理模块下发的通信连接需求,生成相应的流表;下发或删除Openflow交换机上的转发流表;转发流表为点对点通信模式,无网状结构连接状态。
4.根据权利要求1所述的局域网内用户按需动态认证连接的方法,其特征在于,所述用户管理模块用于负责用户动态注册认证,用户标识动态映射表的维护,以及用户注册名和标识名的带外通告。
5.根据权利要求1所述的局域网内用户按需动态认证连接的方法,其特征在于,所述组管理模块用于负责用户间通信权限的管理,即注册用户按照规则被分配到不同权限等级的不同组中。
6.根据权利要求1所述的局域网内用户按需动态认证连接的方法,其特征在于,所述连接管理模块用于负责根据用户需求进行连接管理,连接状态的维护。
7.根据权利要求1所述的局域网内用户按需动态认证连接的方法,其特征在于,所述步骤六中,若用户A注册上线成功,与标识名映射表中另一个用户B的主机进行连接通信,则进行以下步骤:
步骤一:用户A根据用户管理模块通告的标识名映射表中用户B的标识名,向系统发出与用户B的连接申请,其中包含用户B的标识名和连接申请时长;
步骤二:系统的用户管理模块收到申请后,验证申请中用户B的标识名是否存在于用户A所拥有的标识名映射表,若存在,将请求转发给连接管理模块,然后生成相应的流表策略下发各OPenflow交换机,使用户A主机与用户B主机实现点对点的连接通信,否则丢弃;
步骤三:当连接通信时长达到申请时长的1/2时,用户管理模块会自动更新用户B在用户A的标识名映射表上的标识名,如需延长连接通信时间,仅用户A可根据用户B新的标识名重新申请连接,连接状态不会中断;若超时,连接管理模块会删除用户A与用户B通信相对应的流表,中断用户A与用户B的连接通信。
8.根据权利要求1所述的局域网内用户按需动态认证连接的方法,其特征在于,所述步骤六中,用户A上线后,租管理模块将用户A分配到不同权限等级的不同组中,每个注册用户不可主动申请与同权限不同组或高权限的用户连接通信;用户管理模块根据组管理模块中的分组,专为用户A动态生成一个当前在线可通信用户的标识名映射表,同一用户在不同用户的标识名映射表中的标识名不同,标识名映射表会通过带外通道通告给用户A。
CN201611014427.2A 2016-11-18 2016-11-18 局域网内用户按需动态认证连接的系统及方法 Active CN106713263B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201611014427.2A CN106713263B (zh) 2016-11-18 2016-11-18 局域网内用户按需动态认证连接的系统及方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201611014427.2A CN106713263B (zh) 2016-11-18 2016-11-18 局域网内用户按需动态认证连接的系统及方法

Publications (2)

Publication Number Publication Date
CN106713263A CN106713263A (zh) 2017-05-24
CN106713263B true CN106713263B (zh) 2018-07-13

Family

ID=58940642

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201611014427.2A Active CN106713263B (zh) 2016-11-18 2016-11-18 局域网内用户按需动态认证连接的系统及方法

Country Status (1)

Country Link
CN (1) CN106713263B (zh)

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101369893A (zh) * 2008-10-06 2009-02-18 中国移动通信集团设计院有限公司 一种对临时用户进行局域网络接入认证的方法
CN102293047A (zh) * 2009-01-22 2011-12-21 贝拉尔网络公司 提供无线局域网作为服务的系统和方法
CN103229468A (zh) * 2012-11-19 2013-07-31 华为技术有限公司 分组交换资源分配方法及设备
CN104702607A (zh) * 2015-03-12 2015-06-10 杭州华三通信技术有限公司 一种软件定义网络的接入认证方法、装置和系统
CN104811338A (zh) * 2015-04-16 2015-07-29 中国科学院计算技术研究所 一种面向sdn网络的控制层与数据层通信通道自配置方法及其系统

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101188604A (zh) * 2006-11-16 2008-05-28 中兴通讯股份有限公司 一种网络用户权限鉴定方法
US8448238B1 (en) * 2013-01-23 2013-05-21 Sideband Networks, Inc. Network security as a service using virtual secure channels
CN104580116B (zh) * 2013-10-25 2018-09-14 新华三技术有限公司 一种安全策略的管理方法和设备

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101369893A (zh) * 2008-10-06 2009-02-18 中国移动通信集团设计院有限公司 一种对临时用户进行局域网络接入认证的方法
CN102293047A (zh) * 2009-01-22 2011-12-21 贝拉尔网络公司 提供无线局域网作为服务的系统和方法
CN103229468A (zh) * 2012-11-19 2013-07-31 华为技术有限公司 分组交换资源分配方法及设备
CN104702607A (zh) * 2015-03-12 2015-06-10 杭州华三通信技术有限公司 一种软件定义网络的接入认证方法、装置和系统
CN104811338A (zh) * 2015-04-16 2015-07-29 中国科学院计算技术研究所 一种面向sdn网络的控制层与数据层通信通道自配置方法及其系统

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
《基于OpenFlow的SDN技术研究》;左青云等;《软件学报》;20130531(第5期);全文 *

Also Published As

Publication number Publication date
CN106713263A (zh) 2017-05-24

Similar Documents

Publication Publication Date Title
US7855956B2 (en) Method and system for controlling the multicast source
US20050111474A1 (en) IP multicast communication system
EP1250791B1 (en) System and method for using an ip address as a wireless unit identifier
JP4693518B2 (ja) マルチキャスト通信装置及びこれを用いたponシステム
US20090292914A1 (en) Nodes and systems and methods for distributing group key control message
CN102546666B (zh) 防止igmp欺骗和攻击的方法及装置
CN109525601B (zh) 内网中终端间的横向流量隔离方法和装置
CN108234677B (zh) 一种面向多区块链平台的区块链网络节点服务装置
CN102255918A (zh) 一种基于DHCP Option 82的用户接入权限控制方法
CN101394277A (zh) 实现组播认证的方法和装置
CN102238543A (zh) 一种无线Portal认证的方法及无线控制器
Lou et al. Security, privacy, and accountability in wireless access networks
CN104618522B (zh) 终端ip地址自动更新的方法及以太网接入设备
CN106027491B (zh) 基于隔离ip地址的独立链路式通信处理方法和系统
CN102546428A (zh) 基于DHCPv6侦听的IPv6报文交换系统及方法
CN102571811A (zh) 用户接入权限控制系统和方法
KR101786620B1 (ko) 소프트웨어 정의 네트워크에서 서브넷을 지원하는 방법, 장치 및 컴퓨터 프로그램
Liyanage et al. Securing virtual private LAN service by efficient key management
Odi et al. The proposed roles of VLAN and inter-VLAN routing in effective distribution of network services in Ebonyi State University
CN106878481A (zh) 一种网络互连协议ip地址获取方法、装置和系统
CN102882861B (zh) 基于解析dhcp报文实现防ip地址欺诈的方法
CN106161340B (zh) 业务分流方法和系统
CN106713263B (zh) 局域网内用户按需动态认证连接的系统及方法
CN100334854C (zh) 在接入设备中管理组播业务的方法
CN114465745B (zh) 一种基于虚拟网络的网络拓扑混淆虚拟装置及虚拟方法

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant
TR01 Transfer of patent right
TR01 Transfer of patent right

Effective date of registration: 20190513

Address after: 519000 No. 1 Pingdong Road, Nanping Science and Technology Industrial Park, Zhuhai City, Guangdong Province

Co-patentee after: National Digital Switch System Engineering Technology Research Center

Patentee after: Zhuhai Gao Ling information Polytron Technologies Inc

Address before: Room A501, Building No. 1588, Lianhai Road, Minhang District, Shanghai 201100

Co-patentee before: National Digital Switch System Engineering Technology Research Center

Patentee before: Shanghai red array Mdt InfoTech Ltd