CN107222433A - 一种基于sdn网络路径的访问控制方法及系统 - Google Patents
一种基于sdn网络路径的访问控制方法及系统 Download PDFInfo
- Publication number
- CN107222433A CN107222433A CN201710253313.1A CN201710253313A CN107222433A CN 107222433 A CN107222433 A CN 107222433A CN 201710253313 A CN201710253313 A CN 201710253313A CN 107222433 A CN107222433 A CN 107222433A
- Authority
- CN
- China
- Prior art keywords
- user
- sdn
- belief
- degree
- aca
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/09—Mapping addresses
- H04L61/10—Mapping addresses of different types
- H04L61/103—Mapping addresses of different types across network layers, e.g. resolution of network layer into physical layer addresses or address resolution protocol [ARP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L49/00—Packet switching elements
- H04L49/20—Support for services
- H04L49/208—Port mirroring
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L49/00—Packet switching elements
- H04L49/30—Peripheral units, e.g. input or output ports
- H04L49/3081—ATM peripheral units, e.g. policing, insertion or extraction
- H04L49/309—Header conversion, routing tables or routing tags
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供一种基于SDN网络路径选择的网络访问控制方法,基于现有SDN架构,通过SDN交换机、SDN控制器、认证服务器、流量分析设备、ACA对接入网络的主机进行实时的流量监控,确保访问网络服务的用户主机接入网络进行认证和授权,建立用户和服务器之间的访问路径,根据用户的行为证据计算信任度,根据信任度采取针对该用户的访问控制策略,保证内网的安全。
Description
技术领域
本发明涉及计算机网络安全领域,更为具体地,涉及一种基于SDN网络路径的访问控制方法及系统。
背景技术
随着计算机网络的发展,网络安全形势变得越来越严峻,网络安全问题也越来越受到国家、企业的重视。传统的网络安全威胁模型假设内网的人员和设备都比外网的安全可信得多,网络安全威胁主要来自网络外部。基于这种假设,出现了各种网络安全设备,如防火墙、入侵检测设备等,这些设备都是部署在网络的内部与外部的连接处,用来保证内部网络的安全。但是据美国CAI/FBI关于计算机犯罪及安全调查显示,有网络安全问题带来的损失68%与内部威胁有关;另外,全球调查机构IDC的安全统计数据显示,来自企业内部终端的安全威胁占整个安全威胁的70%以上;近年来发生的“棱镜门”事件、韩国信用局信用卡信息被盗事件都给各国、各企业和单位敲响了网络内部威胁的警钟。要保证网络的安全,做好对内部威胁的防护也相当重要。
但是当前对内部威胁的防护力度比较小,当前防护内网主机威胁的技术主要是网络访问控制技术,网络访问控制技术是根据安全策略,限制终端设备对网络资源的可用性来达到强化专有网络安全的方法。目前具有代表性的网络访问控制技术架构主要有Cisco的C-NAC架构、Microsoft的NAP架构和TCG的TNC架构。C-NAC、NAP和TCG三种网络访问控制技术在功能上具有相似性。它们都是为了保证网络终端的安全接入。当有终端要求接入本地网络时,需要对终端进行校验,不仅验证用户名、口令、用户证书等与用户相关的信息,而且验证终端是否与管理员预先制定的安全策略保持一致性。但三种技术对用户的检测主要集中在用户接入时,并且对用户权限的动态调整性差,用户接入网络后,如出现非法行为,无法自动调整其访问网络的权限。
发明内容
鉴于上述不足,本发明提供一种基于SDN网络路径的访问控制方法及系统,对接入网络的用户进行实时的流量监控,在内网中对用户接入网络进行认证和授权,建立用户与服务器之间的网络路径,根据用户的行为证据计算信任度,根据信任度采取针对该用户的访问控制策略,保证内网的安全。
为解决上述技术问题,本发明采用如下技术方案:
一种基于SDN网络路径选择的网络访问控制方法,步骤包括:
1)用户访问某网络服务时广播一ARP请求,该ARP请求由SDN交换机上传到SDN控制器,SDN控制器判断发出该ARP请求的用户是否已认证,如否,则要求其进行身份认证;
2)如用户通过认证,SDN控制器将其认证时所使用的认证信息报给ACA,该认证信息包括用户名、终端MAC地址以及用户终端连接SDN交换机的端口,同时给SDN交换机下发流表f3,该流表能将所有IP数据包上传到SDN控制器;
3)用户通过认证后,其ARP请求被正常处理,随之发出的IP数据包上传到SDN控制器,SDN控制器解析该IP数据包,获得地址信息并报给ACA,该地址信息包括源MAC地址、目的MAC地址、源IP地址、目的IP地址以及IP数据包中传输层端口字段;
4)ACA根据上述源MAC地址确定发起请求的用户,并根据用户的认证信息确定其权限,根据该权限判断其请求是否合法,如合法,则为该请求建立一条网络路径,否则通知SDN控制器生成并下发流表f5,将该请求的数据包丢弃;
5)SDN控制器根据上述网络路径信息生成流表f4,并下发到所涉及的SDN交换机上,以建立用户与服务器之间的网络路径;
6)将来自该用户的所有流量镜像到流量分析设备上以提取行为证据,并将该行为证据报给ACA,ACA根据该行为证据计算信任度的值,并根据信任度的值采取针对该用户的访问控制策略。
进一步地,初始状态下网络中所有用户的终端均为未注册状态,SDN交换机(边缘交换机)上含有流表f1,该流表将所有到达该SDN交换机的数据包丢弃。
进一步地,用户在接入网络之前,其接入的SDN交换机和所连接SDN交换机的端口由系统管理员配置,该配置信息由ACA传输到SDN控制器;SDN控制器根据该配置信息生成流表f2并下发到SDN交换机,该流表可将端口信息、源MAC为配置信息里的MAC的终端认证数据包和ARP数据包上传到SDN控制器。
进一步地,用户进行认证时,系统管理员给ACA提供注册信息,ACA将注册信息传输给SDN控制器,SDN控制器给SDN交换机下发流表f2以获取来自用户的认证数据包。
进一步地,如用户未通过认证,则ACA通知SDN控制器ARP请求非法,并下发流表f5给SDN交换机,以丢弃来自该请求的所有数据包,同时记录该次非法访问过程并作为该用户的行为证据。
进一步地,SDN交换机通过Packet_in消息将ARP请求上传到SDN控制器。
进一步地,流表f1、f2、f3、f4、f5的优先级为f5>f4>f3>f2>f1。
进一步地,行为证据包括身份可信度、越权访问、流量攻击、畸形数据包攻击、扫描网络中主机和端口;信任度包括子信任度和总信任度,子信任度与行为证据一一对应,包括身份安全子信任度、越权访问安全子信任度、流量安全子信任度、畸形数据包安全子信任度、扫描攻击安全子信任度。
进一步地,利用层次分析法计算子信任度和总信任度的值。
进一步地,所述根据信任度的值采取针对该用户的访问控制策略,是指比较子信任度和总信任度的值是否低于预设的阈值,如低于,则对用户采取相应的访问控制策略;访问控制策略为将不同的安全设备编排进网络路径,实现不同访问控制;包括:
如身份安全子信任度、越权访问安全子信任度低于阈值,则将用户身份确认设备编排进网络路径;如流量安全子信任度低于阈值,则将流量清洗设备编排进网络路径;如畸形数据包安全子信任度低于阈值,则将畸形包清洗设备编排进网络路径;如扫描攻击安全子信任度低于阈值,由于本方案未给越权访问建立访问路径,则系统扫描无效,路径不变;如总信任度低于阈值,则将用户进行隔离。
一种基于SDN网络路径的访问控制系统,基于现有SDN架构,包括:
ACA(Access Control Application,访问控制应用):是SDN应用层面应用,能够通过行为证据计算用户的信任度,决定访问控制策略;
SDN控制器:向ACA报告数据层信息,接收用户请求并请求ACA进行决策,接收ACA访问控制策略消息并生成流表下发;
SDN交换机:进行数据包的匹配和转发,为了满足系统对用户流量的监控,包括一镜像流表,用以镜像来自用户的所有流量以进行监控,并传输到流量分析设备;
流量分析设备:分析用户的流量,得出用户的行为证据;
认证服务器:与SDN控制器进行通信,为用户接入认证服务。
进一步地,ACA通过北向接口与SDN控制器进行通信,通过rest接口接收SDN控制器对数据层信息的报告。
SDN是一种新型网络创新架构,通过将网络设备控制面与数据面分离开来,实现了对网络流量的灵活控制,其网络可编程思想使得网络变得更加智能。在SDN网络中部署网络安全防御设备,并利用SDN牵引流量的优势,按需将这些设备编排进用户访问网络的路径形成网络防御路径,将访问控制策略对应到网络防御路径。同时,根据用户行为证据对用户的信任度进行计算,并根据信任度动态调整网络防御路径,实现对内部网络威胁动态、有效地防御。
通过以上分析可知,可以利用SDN网络架构来解决对内网威胁防御措施少、力度小的问题,并实时灵活地按需改变网络路径,实现动态的网络访问控制。
本发明具有如下有益效果:(1)用户通过接入认证之后,只有在用户对服务发起访问并且该请求合法时,才建立相应的网络链路,通过这种方式可以阻止大多数的非授权访问和扫描攻击;(2)将传统用于内外网之间的网络安全设备部署到网络内部,按照需要将相应的流量牵引至这些安全设备进行处理,这样可以保证内网服务的安全和抵御来自内部的威胁;(3)实时分析用户的信任度,并基于用户信任度和安全阈值对防御路径进行实时调整。
附图说明
图1是用户认证流程图。
图2是用户认证之后的路径控制流程图。
图3是根据信任度对用户访问路径进行动态调整的流程图。
具体实施方式
为使本发明的上述特征和优点能更明显易懂,下文特举实施例,并配合所附图作详细说明如下。可以理解的是,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本发明提供一种基于SDN网络路径选择的网络访问控制方法及系统,在现有SDN架构的基础之上,在SDN应用层加入ACA,数据层面的所有数据流都由ACA来控制,ACA通过北向接口与SDN控制器进行通信,SDN控制器通过SDN与数据层进行通信。同时为ACA添加了rest接口,SDN控制器可以通过这个接口主动向ACA报告数据层面的情况,该系统包括:
(1)ACA:是SDN应用层面应用,是整个系统的核心,能够通过行为证据计算用户的信任度,决定访问控制策略;
(2)SDN控制器:主要功能是向ACA报告数据层信息,接收用户请求并请求ACA进行决策,接收ACA访问控制策略消息并生成流表下发;
(3)SDN交换机:主要功能和一般SDN网络中的交换机相同,都是进行数据包的匹配和转发。为了满足系统对用户流量的监控,在用户所连接的交换机上添加了一条镜像流表,把来自用户的所有流量镜像到SDN交换机的某一端口,然后再传输到流量分析设备;
(4)流量分析设备:主要功能是分析用户的流量,得出用户的行为证据;
(5)认证服务器:与SDN控制器进行通信,为用户接入认证服务。
在ACA、SDN控制器、SDN交换机、流量分析设备和认证服务器的协同工作下,可以针对用户的访问请求自适应地进行相应的处理,并在用户访问过程动态调整访问控制策略。
本方法包括:
(1)初始状态下网络中所有的终端为未注册状态,边缘交换机(SDN交换机)上有流表f1,该流表将所有到达边缘交换机的数据包丢弃。用户在接入网络之前,必须由管理员配置终端接入的SDN交换机和所连接SDN交换机的端口,该配置信息由ACA传输到SDN控制器,SDN控制器收到该配置信息后,据以生成流表f2并下发到SDN交换机,该流表能够将来自某个端口、源MAC为配置信息里面的MAC的终端的认证数据包和ARP数据包上传到SDN控制器。
(2)当未认证的用户尝试访问某个网络中的服务时,用户将会广播一个ARP请求,查询目标地址对应的MAC地址。ARP请求到达SDN交换机之后,SDN交换机根据流表将此ARP请求通过Packet_in消息上传到SDN控制器。SDN控制器在处理Packet_in消息时,首先会分析发出该ARP请求的终端是否已经通过认证,如果没有,SDN控制器要求该终端进行身份认证。
(3)如果认证成功,SDN控制器将该终端认证时候所使用的用户名、终端的MAC地址以及终端连接边缘交换机的端口报告给ACA。同时,SDN控制器给终端所连接的边缘交换机下发流表f3,该流表能将所有IP数据包上传到SDN控制器;如用户未通过认证,则ACA通知SDN控制器ARP请求非法,并下发流表f5给SDN交换机,以丢弃来自该请求的所有数据包,同时记录该次非法访问过程并作为该用户的行为证据。
(4)终端认证成功之后,ARP请求可以被正常处理,随之发出的IP数据包可以上传到SDN控制器,SDN控制器收到该数据包之后进行解析,得到该数据包的地址信息,包括源MAC地址、目的MAC地址、源IP地址、目的IP地址以及IP数据包中传输层端口字段,并报告给ACA。
(5)ACA收到来自SDN控制器传来的地址信息,根据源MAC地址确定发起请求的终端,并根据该终端的认证信息确定其身份,然后根据身份信息确定其权限来判断该请求是否合法。如果该请求合法,ACA将会为该请求建立一条网络路径并将路径信息传输给SDN控制器,否则通知SDN控制器生成并下发流表f5,将该请求的数据包丢弃。
(6)当SDN控制器收到相应的路径信息,SDN控制器将会根据这些信息生成相应的流表f4(优先级:f5>f4>f3>f2>f1)并下发到所涉及的SDN交换机上,终端与服务器之间的网络路径建立完毕。
同时,所有来自该终端的流量都被镜像到流量分析设备进行行为证据的提取,这些证据定期报告给ACA,ACA根据证据利用层次分析法计算信任度,并通过信任度决定是否改变针对该终端的访问控制策略。访问控制策略是指将不同的安全设备编排进网络路径,实现不同访问控制。
为使本发明的实施例的目的、技术方案和优点更加清楚,下面进一步结合附图对本发明作详细描述。
1.图1是用户认证流程图,具体流程包括:所述访问控制策略为将不同的安全设备编排进网络路径,实现不同访问控制;
(1)用户注册阶段,系统管理员给ACA提供注册信息,ACA将注册信息传输给SDN控制器,SDN控制器给SDN交换机下发允许认证数据包和ARP数据包上传交换机的流表。之后,客户端发送的ARP request被发送到SDN交换机(步骤1);SDN交换机通过Packet_in消息将ARPrequest上传到SDN控制器(步骤2);
(2)SDN控制器解析Packet_in消息,发现源MAC未知,控制器发送一个EAP-Request/Identity消息打包给SDN交换机(步骤3);SDN交换机再将该消息发送到客户端(步骤4)以触发认证过程;
(3)客户端收到EAP-Request/Identity消息,回复一个EAP-Response/Identity(消息中包含要认证的用户名)发送到SDN交换机(步骤5);SDN交换机再通过Packet_in消息打包给SDN控制器(步骤6);
(4)SDN控制器将EAP-Response/Identity报文封装到RADIUS Access-Request(EAP-Response/Identity)报文中,发送给认证服务器(步骤7);
(5)认证服务器产生一个Challenge即RADIUS Access-Challenge(EAP-Response/Identity),发给SDN控制器(步骤8);
(6)SDN控制器将RADIUS Access-Challenge报文发送给SDN交换机,其中包含有EAP-Request/MD5-Challenge(步骤9);SDN交换机再发送给客户端,要求客户端进行认证(步骤10);
(7)客户端收到EAP-Request/MD5-Challenge报文后,将密码和Challenge做MD5算法后的Challenged-Pass-word,在EAP-Response/MD5-Challenge回应给SDN交换机(步骤11);SDN交换机打包到SDN控制器(步骤12);
(8)SDN控制器将Challenge,即RADIUS Access-Request(EAP-Response/MD5-Challenge),Challenged Password和用户名一起送到认证服务器(RADIUS服务器),由认证服务器进行认证(步骤13);
(9)认证服务器根据用户信息,做MD5算法,判断用户是否合法,然后回应认证成功/失败报文RADIUS Access-Accept(EAP-Success)/RADIUS Access-Reject(EAP-Failed)到SDN控制器(步骤14);认证成功,SDN控制器将相关的MAC加入到一个ACL中,同时将EAP_Success/EAP-Failed消息打包发送给SDN交换机(步骤15);SDN交换机将该消息发送给客户端(步骤16)。
2.图2是用户认证之后的路径控制流程图,具体流程包括:
(1)认证通过之后,SDN控制器给终端所连接的边缘交换机下发流表f3,该流表能将所有IP数据包上传到SDN控制器,使得来自该客户端且没有流表匹配的IP数据包将会上传到SDN控制器。
(2)SDN控制器将会分析该请求数据包,并将相关信息发送给ACA,ACA根据用户的权限决定针对该用户的访问控制策略,决定是否能让该用户访问该服务。
(3)如果请求是被允许的,ACA选择一条合理的路径并告知SDN控制器下发流表f4。否则,ACA通知SDN控制器该请求非法,并下发流表f5将所有的该请求的数据包丢弃。在这个过程中,ACA将会记住这次非法访问过程并将其作为用户信任度计算的依据。通过这种方式,可以有效禁止用户的越权访问行为。另外,如果某个客户端试图扫描网络中的主机或主机的端口,该客户端只能与其权限范围内的主机和服务建立连接,这样可以有效防止主机和端口扫描。
3.图3是根据信任度对用户访问路径进行动态调整的流程图,具体流程包括:
(1)根据常见的内部威胁类型,将用户信任度分解为5个子信任度,即身份安全子信任度、越权访问安全子信任度、流量安全子信任度、畸形数据包安全子信任度、扫描攻击安全子信任度。身份安全子信任度主要代表用户身份的可信程度;越权访问安全子信任度主要代表越权访问的严重程度;流量安全子信任度主要代表用户发动流量型攻击的可能性;畸形数据包安全子信任度代表用户发动畸形数据包攻击的可能性;扫描攻击安全子信任度代表用户扫描网络中主机和端口的可能性。
(2)通过ACA利用层次分析法计算信任度的值,具体是计算子信任度和总信任度的值。
(3)根据信任度值与设定的安全阈值确定信任度的值是否低于预设阈值,如果是,就给该用户访问路径中添加一个或多个安全设备,使得用户的流量到达服务器之前对其进行安全处理,降低甚至消除恶意流量对服务器的影响。
具体包括:如身份安全子信任度、越权访问安全子信任度低于阈值,则将用户身份确认设备编排进网络路径;如流量安全子信任度低于阈值,则将流量清洗设备编排进网络路径;如畸形数据包安全子信任度低于阈值,则将畸形包清洗设备编排进网络路径;如扫描攻击安全子信任度低于阈值,由于本方案未给越权访问建立访问路径,则系统扫描无效,路径不变;如总信任度低于阈值,则将用户进行隔离。
信任度的阈值由系统管理员根据系统安全策略进行确定,系统安全策略允许信任度证据的临界点计算出的信任度的值即为相应的阈值。
(4)定期监控行为证据并计算信任度,据以确定是否需要对路径进行变更。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到本发明在SDN中的实现过程,以上实施例仅用以说明本发明的技术方案而非对其进行限制,本领域的普通技术人员可以对本发明的技术方案进行修改或者等同替换,而不脱离本发明的精神和范围,本发明的保护范围应以权利要求书所述为准。
Claims (10)
1.一种基于SDN网络路径选择的网络访问控制方法,步骤包括:
1)用户访问某网络服务时广播一ARP请求,该ARP请求由SDN交换机上传到SDN控制器,SDN控制器判断发出该ARP请求的用户是否已认证,如否,则要求其进行身份认证;
2)如用户通过认证,SDN控制器将其认证时所使用的认证信息报给ACA,该认证信息包括用户名、终端MAC地址以及用户终端连接SDN交换机的端口,同时给SDN交换机下发流表f3,该流表能将所有IP数据包上传到SDN控制器;
3)用户通过认证后,其ARP请求被正常处理,随之发出的IP数据包上传到SDN控制器,SDN控制器解析该IP数据包,获得地址信息并报给ACA,该地址信息包括源MAC地址、目的MAC地址、源IP地址、目的IP地址以及IP数据包中传输层端口字段;
4)ACA根据上述源MAC地址确定发起请求的用户,并根据用户的认证信息确定其权限,根据该权限判断其请求是否合法,如合法,则为该请求建立一条网络路径,否则通知SDN控制器生成并下发流表f5,将该请求的数据包丢弃;
5)SDN控制器根据上述网络路径信息生成流表f4,并下发到所涉及的SDN交换机上,以建立用户与服务器之间的网络路径;
6)将来自该用户的所有流量镜像到流量分析设备上以提取行为证据,并将该行为证据报给ACA,ACA根据该行为证据计算信任度的值,并根据信任度的值采取针对该用户的访问控制策略。
2.根据权利要求1所述的方法,其特征在于,初始状态下网络中所有用户的终端均为未注册状态,SDN交换机上含有流表f1,该流表将所有到达该SDN交换机的数据包丢弃。
3.根据权利要求2所述的方法,其特征在于,用户在接入网络之前,其接入的SDN交换机和所连接SDN交换机的端口由系统管理员配置,该配置信息由ACA传输到SDN控制器;SDN控制器根据该配置信息生成流表f2并下发到SDN交换机,该流表可将端口信息、源MAC为配置信息里的MAC的终端认证数据包和ARP数据包上传到SDN控制器。
4.根据权利要求3所述的方法,其特征在于,用户进行认证时,系统管理员给ACA提供注册信息,ACA将注册信息传输给SDN控制器,SDN控制器给SDN交换机下发流表f2以获取来自用户的认证数据包。
5.根据权利要求3所述的方法,其特征在于,如用户未通过认证,则ACA通知SDN控制器ARP请求非法,并下发流表f5给SDN交换机,以丢弃来自该请求的所有数据包,同时记录该次非法访问过程并作为该用户的行为证据。
6.根据权利要求3、4或5所述的方法,其特征在于,流表f1、f2、f3、f4、f5的优先级为f5>f4>f3>f2>f1。
7.根据权利要求1或5所述的方法,其特征在于,行为证据包括身份可信度、越权访问、流量攻击、畸形数据包攻击、扫描网络中主机和端口;信任度包括子信任度和总信任度,子信任度与行为证据一一对应,包括身份安全子信任度、越权访问安全子信任度、流量安全子信任度、畸形数据包安全子信任度、扫描攻击安全子信任度。
8.根据权利要求7所述的方法,其特征在于,利用层次分析法计算子信任度和总信任度的值。
9.根据权利要求7所述的方法,其特征在于,所述根据信任度的值采取针对该用户的访问控制策略,是指比较子信任度和总信任度的值是否低于预设的阈值,如低于,则对用户采取相应的访问控制策略;访问控制策略为将不同的安全设备编排进网络路径,实现不同访问控制;包括:
如身份安全子信任度、越权访问安全子信任度低于阈值,则将用户身份确认设备编排进网络路径;如流量安全子信任度低于阈值,则将流量清洗设备编排进网络路径;如畸形数据包安全子信任度低于阈值,则将畸形包清洗设备编排进网络路径;如扫描攻击安全子信任度低于阈值,由于本方案未给越权访问建立访问路径,则系统扫描无效,路径不变;如总信任度低于阈值,则将用户进行隔离。
10.一种基于SDN网络路径的访问控制系统,基于现有SDN架构,包括:
ACA:是SDN应用层面应用,能够通过行为证据计算用户的信任度,决定访问控制策略;
SDN控制器:向ACA报告数据层信息,接收用户请求并请求ACA进行决策,接收ACA访问控制策略消息并生成流表下发;
SDN交换机:进行数据包的匹配和转发,为了满足系统对用户流量的监控,包括一镜像流表,用以镜像来自用户的所有流量以进行监控,并传输到流量分析设备;
流量分析设备:分析用户的流量,得出用户的行为证据;
认证服务器:与SDN控制器进行通信,为用户接入认证服务。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201710253313.1A CN107222433B (zh) | 2017-04-18 | 2017-04-18 | 一种基于sdn网络路径的访问控制方法及系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201710253313.1A CN107222433B (zh) | 2017-04-18 | 2017-04-18 | 一种基于sdn网络路径的访问控制方法及系统 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN107222433A true CN107222433A (zh) | 2017-09-29 |
CN107222433B CN107222433B (zh) | 2019-12-10 |
Family
ID=59927590
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201710253313.1A Active CN107222433B (zh) | 2017-04-18 | 2017-04-18 | 一种基于sdn网络路径的访问控制方法及系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN107222433B (zh) |
Cited By (19)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN108712364A (zh) * | 2018-03-22 | 2018-10-26 | 西安电子科技大学 | 一种sdn网络的安全防御系统及方法 |
CN109547478A (zh) * | 2018-12-27 | 2019-03-29 | 中国电子科技网络信息安全有限公司 | 一种基于sdn的抗网络扫描方法及系统 |
CN110753055A (zh) * | 2019-10-25 | 2020-02-04 | 电子科技大学 | 基于sdn的源地址认证方法 |
CN110855695A (zh) * | 2019-11-19 | 2020-02-28 | 武汉思普崚技术有限公司 | 一种改进的sdn网络安全认证方法及系统 |
CN111181979A (zh) * | 2019-12-31 | 2020-05-19 | 奇安信科技集团股份有限公司 | 访问控制方法、装置、计算机设备和计算机可读存储介质 |
CN111491330A (zh) * | 2020-03-11 | 2020-08-04 | 桂林电子科技大学 | Sdn网络与无线网络的融合组网方法 |
CN111756692A (zh) * | 2020-05-19 | 2020-10-09 | 中国科学院信息工程研究所 | 一种网络安全防护方法及系统 |
CN111756731A (zh) * | 2020-06-23 | 2020-10-09 | 全球能源互联网研究院有限公司 | 一种专用网络的可信测度方法及系统 |
CN112055029A (zh) * | 2020-09-16 | 2020-12-08 | 全球能源互联网研究院有限公司 | 零信任电力物联网设备和用户实时信任度评估方法 |
CN112528337A (zh) * | 2020-12-21 | 2021-03-19 | 中电福富信息科技有限公司 | 一种基于wfp的对数据库高危命令实时授权的方法 |
CN112615763A (zh) * | 2020-12-28 | 2021-04-06 | 广州西麦科技股份有限公司 | 一种基于spfa算法的网络时延编排系统和方法 |
CN112637154A (zh) * | 2020-12-09 | 2021-04-09 | 迈普通信技术股份有限公司 | 设备认证方法、装置、电子设备及存储介质 |
CN112968880A (zh) * | 2021-02-01 | 2021-06-15 | 浪潮思科网络科技有限公司 | 一种基于sdn架构的权限控制方法、系统 |
CN113179252A (zh) * | 2021-03-30 | 2021-07-27 | 新华三信息安全技术有限公司 | 一种安全策略管理方法、装置、设备及机器可读存储介质 |
CN113271285A (zh) * | 2020-02-14 | 2021-08-17 | 北京沃东天骏信息技术有限公司 | 接入网络的方法和装置 |
CN114513786A (zh) * | 2022-04-19 | 2022-05-17 | 国网天津市电力公司电力科学研究院 | 基于零信任的5g馈线自动化访问控制方法、装置及介质 |
CN114650184A (zh) * | 2022-04-15 | 2022-06-21 | 四川中电启明星信息技术有限公司 | 一种基于信任度的Docker进程安全访问控制方法 |
CN115065494A (zh) * | 2022-04-02 | 2022-09-16 | 北京北信源软件股份有限公司 | 网络连接的建立方法、装置、设备及介质 |
CN116389032A (zh) * | 2022-12-29 | 2023-07-04 | 国网甘肃省电力公司庆阳供电公司 | 一种基于sdn架构的电力信息传输链路身份验证方法 |
Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103561011A (zh) * | 2013-10-28 | 2014-02-05 | 中国科学院信息工程研究所 | 一种SDN控制器盲DDoS攻击防护方法及系统 |
CN104506385A (zh) * | 2014-12-25 | 2015-04-08 | 西安电子科技大学 | 一种软件定义网络安全态势评估方法 |
CN104506507A (zh) * | 2014-12-15 | 2015-04-08 | 蓝盾信息安全技术股份有限公司 | 一种sdn网络的蜜网安全防护系统及方法 |
CN104796261A (zh) * | 2015-04-16 | 2015-07-22 | 长安大学 | 一种网络终端节点的安全接入管控系统及方法 |
US20160050159A1 (en) * | 2014-08-13 | 2016-02-18 | Centurylink Intellectual Property Llc | Remoting Application Servers |
CN105429946A (zh) * | 2015-10-28 | 2016-03-23 | 广州西麦科技股份有限公司 | 一种基于sdn虚拟交换机的防伪造ip的系统及方法 |
-
2017
- 2017-04-18 CN CN201710253313.1A patent/CN107222433B/zh active Active
Patent Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103561011A (zh) * | 2013-10-28 | 2014-02-05 | 中国科学院信息工程研究所 | 一种SDN控制器盲DDoS攻击防护方法及系统 |
US20160050159A1 (en) * | 2014-08-13 | 2016-02-18 | Centurylink Intellectual Property Llc | Remoting Application Servers |
CN104506507A (zh) * | 2014-12-15 | 2015-04-08 | 蓝盾信息安全技术股份有限公司 | 一种sdn网络的蜜网安全防护系统及方法 |
CN104506385A (zh) * | 2014-12-25 | 2015-04-08 | 西安电子科技大学 | 一种软件定义网络安全态势评估方法 |
CN104796261A (zh) * | 2015-04-16 | 2015-07-22 | 长安大学 | 一种网络终端节点的安全接入管控系统及方法 |
CN105429946A (zh) * | 2015-10-28 | 2016-03-23 | 广州西麦科技股份有限公司 | 一种基于sdn虚拟交换机的防伪造ip的系统及方法 |
Non-Patent Citations (1)
Title |
---|
马超: ""云环境下SDN的流量异常检测性能分析"", 《计算机与现代化》 * |
Cited By (29)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN108712364B (zh) * | 2018-03-22 | 2021-01-26 | 西安电子科技大学 | 一种sdn网络的安全防御系统及方法 |
CN108712364A (zh) * | 2018-03-22 | 2018-10-26 | 西安电子科技大学 | 一种sdn网络的安全防御系统及方法 |
CN109547478A (zh) * | 2018-12-27 | 2019-03-29 | 中国电子科技网络信息安全有限公司 | 一种基于sdn的抗网络扫描方法及系统 |
CN110753055A (zh) * | 2019-10-25 | 2020-02-04 | 电子科技大学 | 基于sdn的源地址认证方法 |
CN110855695A (zh) * | 2019-11-19 | 2020-02-28 | 武汉思普崚技术有限公司 | 一种改进的sdn网络安全认证方法及系统 |
CN111181979A (zh) * | 2019-12-31 | 2020-05-19 | 奇安信科技集团股份有限公司 | 访问控制方法、装置、计算机设备和计算机可读存储介质 |
CN111181979B (zh) * | 2019-12-31 | 2022-06-07 | 奇安信科技集团股份有限公司 | 访问控制方法、装置、计算机设备和计算机可读存储介质 |
CN113271285B (zh) * | 2020-02-14 | 2023-08-08 | 北京沃东天骏信息技术有限公司 | 接入网络的方法和装置 |
CN113271285A (zh) * | 2020-02-14 | 2021-08-17 | 北京沃东天骏信息技术有限公司 | 接入网络的方法和装置 |
CN111491330A (zh) * | 2020-03-11 | 2020-08-04 | 桂林电子科技大学 | Sdn网络与无线网络的融合组网方法 |
CN111491330B (zh) * | 2020-03-11 | 2022-03-25 | 桂林电子科技大学 | Sdn网络与无线网络的融合组网方法 |
CN111756692A (zh) * | 2020-05-19 | 2020-10-09 | 中国科学院信息工程研究所 | 一种网络安全防护方法及系统 |
CN111756731A (zh) * | 2020-06-23 | 2020-10-09 | 全球能源互联网研究院有限公司 | 一种专用网络的可信测度方法及系统 |
CN111756731B (zh) * | 2020-06-23 | 2022-06-28 | 全球能源互联网研究院有限公司 | 一种专用网络的可信测度方法及系统 |
CN112055029A (zh) * | 2020-09-16 | 2020-12-08 | 全球能源互联网研究院有限公司 | 零信任电力物联网设备和用户实时信任度评估方法 |
CN112637154A (zh) * | 2020-12-09 | 2021-04-09 | 迈普通信技术股份有限公司 | 设备认证方法、装置、电子设备及存储介质 |
CN112637154B (zh) * | 2020-12-09 | 2022-06-21 | 迈普通信技术股份有限公司 | 设备认证方法、装置、电子设备及存储介质 |
CN112528337A (zh) * | 2020-12-21 | 2021-03-19 | 中电福富信息科技有限公司 | 一种基于wfp的对数据库高危命令实时授权的方法 |
CN112615763A (zh) * | 2020-12-28 | 2021-04-06 | 广州西麦科技股份有限公司 | 一种基于spfa算法的网络时延编排系统和方法 |
CN112968880A (zh) * | 2021-02-01 | 2021-06-15 | 浪潮思科网络科技有限公司 | 一种基于sdn架构的权限控制方法、系统 |
CN112968880B (zh) * | 2021-02-01 | 2022-07-12 | 浪潮思科网络科技有限公司 | 一种基于sdn架构的权限控制方法、系统 |
CN113179252A (zh) * | 2021-03-30 | 2021-07-27 | 新华三信息安全技术有限公司 | 一种安全策略管理方法、装置、设备及机器可读存储介质 |
CN113179252B (zh) * | 2021-03-30 | 2022-04-01 | 新华三信息安全技术有限公司 | 一种安全策略管理方法、装置、设备及机器可读存储介质 |
CN115065494A (zh) * | 2022-04-02 | 2022-09-16 | 北京北信源软件股份有限公司 | 网络连接的建立方法、装置、设备及介质 |
CN115065494B (zh) * | 2022-04-02 | 2023-11-14 | 北京北信源软件股份有限公司 | 网络连接的建立方法、装置、设备及介质 |
CN114650184A (zh) * | 2022-04-15 | 2022-06-21 | 四川中电启明星信息技术有限公司 | 一种基于信任度的Docker进程安全访问控制方法 |
CN114513786A (zh) * | 2022-04-19 | 2022-05-17 | 国网天津市电力公司电力科学研究院 | 基于零信任的5g馈线自动化访问控制方法、装置及介质 |
CN116389032A (zh) * | 2022-12-29 | 2023-07-04 | 国网甘肃省电力公司庆阳供电公司 | 一种基于sdn架构的电力信息传输链路身份验证方法 |
CN116389032B (zh) * | 2022-12-29 | 2023-12-08 | 国网甘肃省电力公司庆阳供电公司 | 一种基于sdn架构的电力信息传输链路身份验证方法 |
Also Published As
Publication number | Publication date |
---|---|
CN107222433B (zh) | 2019-12-10 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN107222433A (zh) | 一种基于sdn网络路径的访问控制方法及系统 | |
EP3151505B1 (en) | Method and network element for improved access to communications networks | |
CN104618396B (zh) | 一种可信网络接入与访问控制方法 | |
CN108965215B (zh) | 一种多融合联动响应的动态安全方法与系统 | |
US7552323B2 (en) | System, apparatuses, methods, and computer-readable media using identification data in packet communications | |
US7624437B1 (en) | Methods and apparatus for user authentication and interactive unit authentication | |
US8281371B1 (en) | Authentication and authorization in network layer two and network layer three | |
CN100464548C (zh) | 一种阻断蠕虫攻击的系统和方法 | |
CN114598540B (zh) | 访问控制系统、方法、装置及存储介质 | |
CN105915550B (zh) | 一种基于SDN的Portal/Radius认证方法 | |
CN106027463B (zh) | 一种数据传输的方法 | |
US10050938B2 (en) | Highly secure firewall system | |
CN105991647B (zh) | 一种数据传输的方法 | |
EP4236206A2 (en) | Actively monitoring encrypted traffic by inspecting logs | |
CN110830446B (zh) | 一种spa安全验证的方法和装置 | |
CN110830447A (zh) | 一种spa单包授权的方法及装置 | |
CN111770090A (zh) | 一种单包授权方法及系统 | |
CN106027466B (zh) | 一种身份证云认证系统及读卡系统 | |
CN106027476B (zh) | 一种身份证云认证系统及读卡系统 | |
US20110023088A1 (en) | Flow-based dynamic access control system and method | |
CA3060232A1 (en) | Computing system operational methods and apparatus | |
CN101764788B (zh) | 基于扩展802.1x认证系统的安全接入方法 | |
Toosarvandani et al. | The risk assessment and treatment approach in order to provide LAN security based on ISMS standard | |
CN110830444A (zh) | 一种单包增强安全验证的方法和装置 | |
CN116760633B (zh) | 一种安全可信物理网网关的实现方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |