一种基于sdn流的安全认证方法及系统的制作方法
【技术领域】
[0001]本发明属于通信技术领域,涉及一种认证方法,特别是涉及一种基于SDN流的安全认证方法及系统。
【背景技术】
[0002]软件定义网络(Software Defined Network, SDN),是Emulex网络一种新型网络创新架构,是网络虚拟化的一种实现方式,其核心技术OpenFlow通过将网络设备控制面与数据面分离开来,从而实现了网络流量的灵活控制,使网络作为管道变得更加智能。
[0003]在SDN网络中,如果SDN用户不提供接入认证,只要用户能接入SDN交换机,就可以访问SDN网中的设备或资源。这种方式无疑存在严重的安全隐患。
[0004]传统的802.1x认证体系为典型的Client/Server体系结构,包括三个实体,如图1所示,分别为:SuppIicant system(客户端)、Authenticator system(接入控制单元)以及Authenticat1n server system(认证服务器)。客户端是位于局域网段一端的一个实体,由该链路另一端的接入控制单元对其进行认证。客户端一般为一个用户终端设备,用户通过启动客户端软件发起802.1x认证。接入控制单元是位于局域网段一端的另一个实体,对所连接的客户端进行认证。接入控制单元通常为支持802.1x协议的网络设备,它为客户端提供接入局域网的端口,该端口可以是物理端口,也可以是逻辑端口。认证服务器是为接入控制单元提供认证服务的实体。认证服务器用于实现对用户进行认证、授权和计费,通常为 RADIUS (Remote Authenticat1n Dial-1n User Service,远程认证拨号用户服务)服务器。该服务器可以存储有关用户的信息,包括用户名、密码以及其它参数,例如用户所属的VLAN、端口等。
[0005]传统的802.1x认证是基于端口的,粒度比较粗。原有的网络是分布式控制,很难感知报文的转发路径。一旦网络发生变化,需重新发起认证请求。涉及到设备也比较复杂,例如=RADIUS服务器。
【发明内容】
[0006]鉴于以上所述现有技术的缺点,本发明的目的在于提供一种基于SDN流的安全认证方法及系统,用于解决现有SDN网络中不存在用户接入认证,存在安全隐患的问题。
[0007]为实现上述目的及其他相关目的,本发明提供一种基于SDN流的安全认证方法,所述基于SDN流的安全认证方法包括:接收客户端通过源SDN交换机上报的认证请求;所述认证请求包括流特征码、用户名和密码;提取所述流特征码,计算SDN流的转发路径;根据所述认证请求中包含的流特征码、用户名和密码匹配SDN流安全认证策略;根据匹配认证结果,向所述源SDN交换机下发流表;所述流表包括所述SDN流的转发路径;若所述流表表示认证通过,则使所述源SDN交换机转发所述客户端的报文;若所述流表表示认证失败,则使所述源SDN交换机丢弃所述客户端的报文。
[0008]可选地,所述计算SDN流的转发路径的实现过程包括:根据MAC地址信息,LLDP信息和所述流特征码,计算所述SDN流的转发路径;所述流特征码包括目的MAC地址,源MAC地址,目的IP地址和源IP地址。
[0009]可选地,所述基于SDN流的安全认证方法还包括:接收客户端通过源SDN交换机上报的认证终结请求;从所述认证终结请求中解析出流特征码;根据解析出的流特征码匹配所述SDN流安全认证策略;移除所述源SDN交换机的流表,使所述源SDN交换机丢弃所述客户端的报文。
[0010]可选地,所述基于SDN流的安全认证方法还包括:所述源SDN交换机监听客户端发送的SDN流,查询流表;若所述流表表示认证通过,则所述源SDN交换机将所述SDN流的源MAC地址和源端口学习或更新到MAC地址表;所述源SDN交换机上报新学习的所述SDN流的源MAC地址和源端口 ;若所述流表表示认证失败,则所述源SDN交换机丢弃报文。
[0011]可选地,所述认证请求和终结认证请求的报文格式相同,均包括目的MAC字段,源MAC字段,流源MAC字段和流目的MAC字段。
[0012]本发明还提供一种基于SDN流的安全认证系统,所述基于SDN流的安全认证系统包括SDN控制器,所述SDN控制器包括:接收模块,与SDN交换机相连,接收客户端通过源SDN交换机上报的认证请求;所述认证请求包括流特征码、用户名和密码;提取模块,与所述接收模块相连,从所述认证请求中提取出流特征码;计算模块,与所述提取模块相连,根据所述流特征码计算SDN流的转发路径;匹配模块,与所述接收模块相连,根据所述认证请求中包含的流特征码、用户名和密码匹配SDN流安全认证策略;认证模块,与所述计算模块和匹配模块相连,根据匹配认证结果,向所述源SDN交换机下发流表;所述流表包括所述SDN流的转发路径;若所述流表表示认证通过,则使所述源SDN交换机转发所述客户端的报文;若所述流表表示认证失败,则使所述源SDN交换机丢弃所述客户端的报文。
[0013]可选地,所述SDN控制器还包括:所述接收模块接收客户端通过源SDN交换机上报的认证终结请求;所述提取模块从所述认证终结请求中解析出流特征码;所述匹配模块根据解析出的流特征码匹配所述SDN流安全认证策略;终结模块,与所述匹配模块和认证模块分别相连,移除所述源SDN交换机的流表,使所述源SDN交换机丢弃所述客户端的报文。
[0014]可选地,所述源SDN交换机包括:监听模块,监听客户端发送的SDN流,查询流表;学习或更新模块,与所述监听模块相连,若所述流表表示认证通过,则将所述SDN流的源MAC地址和源端口学习或更新到MAC地址表;学习上报模块,与所述监听模块和所述SDN控制器分别相连,向所述SDN控制器上报新学习的所述SDN流的源MAC地址和源端口 ;丢弃模块,与所述监听模块相连,若所述流表表示认证失败,则所述源SDN交换机丢弃报文。
[0015]可选地,所述认证请求和终结认证请求的报文格式相同,均包括目的MAC字段,源MAC字段,流源MAC字段和流目的MAC字段。
[0016]如上所述,本发明的基于SDN流的安全认证方法及系统,具有以下有益效果:
[0017]本发明采用了 SDN架构,SDN控制器能够感知报文的转发路径和网络变化,通过下发流表的方式,动态的对SDN流进行安全认证,从而实现了全网SDN流的安全认证。由于安全认证由SDN控制器自动计算完成,因此整个网络的管理和配置非常简单和智能,只需配置基于全网SDN流的安全认证策略。
【附图说明】
[0018]图1显示为传统的802.1x认证体系的结构示意图。
[0019]图2显示为本发明实施例所述的基于SDN流的安全认证方法的一种实现流程示意图。
[0020]图3显示为本发明实施例所述的基于SDN流的安全认证方法的SDN控制器安全认证流程示意图。
[0021]图4显示为本发明实施例所述的基于SDN流的安全认证方法的另一种实现流程示意图。
[0022]图5显示为本发明实施例所述的认证请求/认证终结请求的报文格式示意图。
[0023]图6显示为本发明实施例所述的基于SDN流的安全认证方法的SDN控制器终结认证流程示意图。
[0024]图7显示为本发明实施例所述的基于SDN流的安全认证方法的第三种实现流程示意图。
[0025]图8显示为本发明实施例所述的基于SDN流的安全认证方法的SDN交换机新学MAC地址上报示意图。
[0026]图9显示为本发明实施例所述的基于SDN流的安全认证方法的一种总实现流程示意图。
[0027]图10显示为本发明实施例所述的基于SDN流的安全认证方法的另一种总实现流程不意图。
[0028]图11显示为本发明实施例所述的基于SDN流的安全认证系统的一种实现结构示意图。
[0029]图12显示为本发明实施例所述的基于SDN流的安全认证系统的SDN控制器的一种实现结构示意图。
[0030]图13显示为本发明实施例所述的基于SDN流的安全认证系统的SDN交换机的一种实现结构示意图。
[0031]元件标号说明
[0032]100基于SDN流的安全认证系统
[0033]110SDN 控制器
[0034]111接收模块
[0035]112提取模块
[0036]113计算模块
[0037]114匹配模块
[0038]115认证模块
[0039]116终结模块
[0040]120SDN 交换机
[0041]121监听模块
[0042]122学习或更新模块
[0043]123学习上报模块
[0044]124丢弃模块
[0045]130客户端
[0046]SI ?Sn 步骤
【具体实施方式】
[0047]以下通过特定的具体实例说明本发明的实施方式,本领域技术人员可由本说明书所揭露的内容轻易地了解本发明的其他优点与功效。本发明还可以通过另外不同的【具体实施方式】加以实施或应用,本说明书中的各项细节也可以基于不同观点与应用,在没有背离本发明的精神下进行各种修饰或改变。需说明的是,在不冲突的情况下,以下实施例及实施例中的特征可以