一种基于SDN的安全认证方法及相关设备与流程

本发明涉及通信技术领域，尤其是涉及一种基于软件定义网络(英文：Software Defined Network，简称：SDN)的安全认证方法及相关设备。

背景技术：

SDN网络是一个新兴的网络架构，通过控制面和转发面分离等技术，实现网络的集中管控。SDN网络典型的分层图如图1所示，主要划分为应用层、控制层和转发层。其中，控制层包括控制器或者控制器集群，通过南向接口管理转发层，通过北向接口与应用层进行通信连接，是整个SDN网络的核心。因此，保证控制层的安全性，对整个网络的正常运行起到了非常重要的作用。

为了避免攻击者对控制层发起攻击，在控制层与其他设备进行连接时，需要进行安全认证。目前的认证方式通常是采用传统的防火墙，具体实现时，当有一个连接需要接入控制层时，通过防火墙的认证功能对该连接进行安全认证，当认证通过时才允许接入控制层。

然而在上述认证方式中，需要依赖于防火墙的认证功能，而控制层和防火墙是分开设置的，因此上述认证方式实际上属于一种外部认证方式，存在一定的安全隐患。

技术实现要素：

本发明解决的技术问题在于提供一种基于SDN的安全认证方法及相关设备，通过控制器集群对接入的连接进行安全认证，不再依赖于防火墙，实现控制层内部的安全认证。

为此，本发明解决技术问题的技术方案是：

第一方面，本发明实施例提供了一种基于SDN的安全认证方法，SDN网络的控制层包括控制器集群，所述控制器集群包括流量分发模块、认证模块和业务模块；所述方法包括：

所述流量分发模块接收第一接入请求，所述第一接入请求指示出请求接 入所述控制层的第一连接；

所述流量分发模块确定出所述第一连接为未知连接；

所述流量分发模块将所述第一连接接入到所述认证模块；

所述流量分发模块接收所述认证模块发送的所述第一连接的认证结果；

所述流量分发模块根据所述认证结果，确定是否将所述第一连接切换到所述业务模块。

在第一方面的第一种可能的实现方式中，所述流量分发模块根据所述认证结果，确定是否将所述第一连接切换到所述业务模块，包括：

若所述认证结果表示对所述第一连接认证成功，所述流量分发模块将所述第一连接切换到所述业务模块，若所述认证结果表示对所述第一连接认证失败，所述流量分发模块不切换所述第一连接。

结合第一方面或者第一方面的第一种可能，在第一方面的第二种可能的实现方式中，所述方法还包括：

发生以下任一种情况时，所述流量分发模块对所述第一连接进行流量限制：

所述流量分发模块接收到所述认证结果之前、所述流量分发模块接收到的所述认证结果表示对所述第一连接认证失败、或者在预设时间段内所述流量分发模块接收到的接入请求的数量大于预设阈值。

结合第一方面或者第一方面的第一种可能，在第一方面的第三种可能的实现方式中，还包括：

所述流量分发模块接收第二接入请求，所述第二接入请求指示出请求接入所述控制层的第二连接；

所述流量分发模块确定出所述第二连接为已知连接；

所述流量分发模块将所述第二连接接入到所述业务模块。

第二方面，本发明实施例提供了一种基于SDN的安全认证方法，SDN网络的控制层包括控制器集群，所述控制器集群包括流量分发模块、认证模块和业务模块；所述方法包括：

所述认证模块通过所述流量分发模块接入到第一连接；

所述认证模块对所述第一连接进行认证获得所述第一连接的认证结果；

所述认证模块向所述流量分发模块发送所述第一连接的认证结果。

在第二方面的第一种可能的实现方式中，所述方法还包括：

若所述认证结果表示对所述第一连接认证失败，所述认证模块断开所述第一连接。

在第二方面的第二种可能的实现方式中，所述认证模块对所述第一连接进行认证获得所述第一连接的认证结果，包括：

所述认证模块获取所述第一连接的属性信息；

所述认证模块根据所述属性信息，确定出所述第一连接的发起设备；

所述认证模块确定所述第一连接的发起设备是否为合法设备，如果是，则表示对所述第一连接认证成功，如果否，则表示对所述第一连接认证失败。

第三方面，本发明实施例提供了一种用于控制器集群的流量分发模块，所述控制器集群位于SDN网络的控制层，所述控制器集群包括所述流量分发模块、认证模块和业务模块；所述流量分发模块包括：

第一接收单元，用于接收第一接入请求，所述第一接入请求指示出请求接入所述控制层的第一连接；

确定单元，用于所述第一接收单元接收所述第一接入请求之后，确定出所述第一连接为未知连接；

接入单元，用于所述确定单元确定出所述第一连接为未知连接之后，将所述第一连接接入到所述认证模块；

第二接收单元，用于接收所述认证模块发送的所述第一连接的认证结果；

切换单元，用于根据所述认证结果，确定是否将所述第一连接切换到所述业务模块。

在第三方面的第一种可能的实现方式中，所述切换单元具体用于，若所述认证结果表示对所述第一连接认证成功，将所述第一连接切换到所述业务模块，若所述认证结果表示对所述第一连接认证失败，不切换所述第一连接。

结合第三方面或者第三方面的第一种可能，在第三方面的第二种可能的实现方式中，还包括：流量限制单元，用于发生以下任一种情况时，对所述 第一连接进行流量限制：

所述第二接收单元接收到所述认证结果之前、所述第二接收单元接收到的所述认证结果表示对所述第一连接认证失败、或者在预设时间段内所述第一接收单元接收到的接入请求的数量大于预设阈值。

结合第三方面或者第三方面的第一种可能，在第三方面的第三种可能的实现方式中，所述第一接收单元，还用于接收第二接入请求，所述第二接入请求指示出请求接入所述控制层的第二连接；

所述确定单元，还用于所述第一接收单元接收第二接入请求之后，确定出所述第二连接为已知连接；

接入单元，还用于所述确定单元确定出所述第二连接为已知连接之后，将所述第二连接接入到所述业务模块。

第四方面，本发明实施例提供了一种用于控制器集群的认证模块，所述控制器集群位于SDN网络的控制层，所述控制器集群包括流量分发模块、所述认证模块和业务模块；所述认证模块包括：

接入单元，用于通过所述流量分发模块接入到第一连接；

认证单元，用于对所述第一连接进行认证获得所述第一连接的认证结果；

发送单元，用于向所述流量分发模块发送所述第一连接的认证结果。

在第四方面的第一种可能的实现方式中，还包括：

断开单元，用于若所述认证结果表示对所述第一连接认证失败，断开所述第一连接。

在第四方面的第二种可能的实现方式中，所述认证单元具体用于：

获取所述第一连接的属性信息；

根据所述属性信息，确定出所述第一连接的发起设备；

确定所述第一连接的发起设备是否为合法设备，如果是，则表示对所述第一连接认证成功，如果否，则表示对所述第一连接认证失败。

第四方面，本发明实施例提供了一种控制器集群，位于SDN网络的控制层，所述控制器集群包括：流量分发模块、认证模块和业务模块；

所述流量分发模块，用于接收第一接入请求，所述第一接入请求指示出 请求接入所述控制层的第一连接，确定出所述第一连接为未知连接，将所述第一连接接入到所述认证模块，接收所述认证模块发送的所述第一连接的认证结果，以及根据所述认证结果，确定是否将所述第一连接切换到所述业务模块；

所述认证模块，用于通过所述流量分发模块接入到第一连接，对所述第一连接进行认证获得所述第一连接的认证结果，以及向所述流量分发模块发送所述第一连接的认证结果。

通过上述技术方案可知，本发明实施例中，在SDN网络内部的控制器集群中部署流量分发模块、认证模块和业务模块，流量分发模块接收到第一连接的接入请求后，若确定出第一连接为未知连接，会将第一连接接入到认证模块，由认证模块进行认证，流量分发模块根据认证模块的认证结果确定是否将第一连接切换到业务模块，即接入到控制器集群。可见，本发明实施例由控制器集群对接入的连接进行安全认证，从而实现了控制层内部的安全认证，不再采用依赖于防火墙的外部认证方式，解决了由外部认证方式所带来的安全隐患。

附图说明

为了更清楚地说明本发明实施例中的技术方案，下面将对实施例描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其它的附图。

图1为一种SDN网络典型的分层示意图；

图2为本发明实施例提供的一种方法实施例的流程示意图；

图3为本发明实施例提供的控制器集群的一种装置实施例的结构示意图；

图4为本发明实施例提供的流量分发模块的一种装置实施例的结构示意图；

图5为本发明实施例提供的认证模块的一种装置实施例的结构示意图；

图6为本发明实施例提供的流量分发模块的另一种装置实施例的结构示意图；

图7为本发明实施例提供的认证模块的另一种装置实施例的结构示意图。

具体实施方式

SDN网络典型的分层图如图1所示，主要划分为应用层、控制层和转发层。下面对每一层分别进行说明。

转发层主要包括转发设备，例如交换机，路由器等。转发层通常开放有可编程的南向接口，控制层通过南向接口管理转发层，例如控制层通过南向接口下发控制策略控制转发层的转发行为。在SDN网络架构下，转发层由控制层进行管理，大大简化了转发设备，从而降低SDN网络对硬件的转发设备的依赖。

应用层主要面向用户业务，将原始的用户业务信息转换成控制层所提供的网络业务模型，通过北向接口实现网络业务模型的下发。在SDN网络架构下，应用层不需要针对每个转发设备进行业务控制和管理，从而简化应用层的功能逻辑。

控制层包括控制器或者控制器集群，对下通过南向接口管理和控制转发层，对上通过北向接口与应用层进行通信连接，是整个网络业务逻辑和计算的核心。因此，保证控制层的安全性，对整个网络的正常运行起到了非常重要的作用。其中，控制器集群由多个服务器构成。

由于控制层需要与应用层和转发层进行连接，从而完成相应的用户业务。因此攻击者可能会与控制层进行连接，并对控制层发起攻击。为了避免控制层受到攻击，在控制层与其他设备进行连接时，需要进行安全认证，即检验该设备的合法性。认证通过后，再与该设备连接并进行业务交互。

目前的认证方式通常是采用传统的防火墙。将防火墙部署在网络入口，控制层部署在内部网络，当有一个连接需要接入控制层时，通过防火墙的认证功能对该连接进行安全认证，当认证通过时才允许接入控制层，从而识别出潜在的攻击者并进行拦截，以保护内部网络安全。

然而在上述认证方式中，需要依赖于防火墙的认证功能，而控制层和防火墙是分开设置的，即防火墙设置在控制层的外部，因此上述认证方式实际上属于一种外部认证方式，存在一定的安全隐患，例如，容易造成防火墙的更新速度跟不上控制层的业务部署速度，导致安全隐患。

举例说明，当部署一个新业务时，不仅需要在控制层进行业务部署，还需要对防火墙进行更新，操作起来十分复杂，不利于新业务的扩展。如果没有及时更新防火墙，不仅会造成新业务存在潜在的威胁，还有可能会对新业务的使用造成影响。

而在本发明实施例中，提供一种基于SDN的安全认证方法及相关设备，通过控制器集群对接入的连接进行安全认证，不再依赖于防火墙，实现控制层内部的安全认证，因此能够解决由外部认证方式所带来的安全隐患。

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

本发明的说明书和权利要求书及上述附图中的术语“第一”、“第二”、“第三”或“第四”等是用于区别类似的对象，而不用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换，以便这里描述的实施例能够以除了在这里图示或描述的内容以外的顺序实施。此外，术语“包括”和“具有”以及他们的任何变形，意图在于覆盖不排他的包含，例如，包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元，而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。

请参阅图2，本发明实施例提供了基于SDN的安全认证方法的一种方法实施例。

在本实施例中，SDN网络如图1所示，包括应用层、控制层和转发层。其中，控制层如图3所示，包括控制器集群，可以为分布式架构。所述控制器集群包括流量分发模块31、认证模块32和业务模块33。其中流量分发模块31完成对连接的控制和流量分发，从而防止未经认证的连接对控制层的攻 击，认证模块32完成对连接的认证和管理，确保连接安全，业务模块33实现不同的用户业务。

本实施例的所述方法包括：

201：流量分发模块31接收第一接入请求。

在本实施例中，流量分发模块31作为所述控制器集群的对外接口模块，也就是说所有的用于接入所述控制层的接入请求都会先发送到流量分发模块31，由流量分发模块31进行流量分发。

其中，所述第一接入请求指示出请求接入所述控制层的第一连接。所述第一接入请求既可以是由应用层的设备发送的，也可以是由转发层的设备发送的。

202：流量分发模块31确定出所述第一连接为未知连接。

流量分发模块31在接收到第一接入请求后，会根据该请求，判断所述第一连接是否为未知连接，如果是，则确定出所述第一连接为未知连接，即所述第一连接为未经过验证的连接，如果否，则确定出所述第一连接为已知连接，即所述第一连接为曾经验证成功的连接。

203：流量分发模块31将所述第一连接接入到认证模块32。

流量分发模块31确定出第一连接为未知连接后，表示此时需要对第一连接的安全性进行认证，因此流量分发模块31将所述第一连接接入到认证模块32，也就是将第一连接对应的流量分发到认证模块32。

204：认证模块32对所述第一连接进行认证获得所述第一连接的认证结果。

当所述第一连接接入认证模块32后，认证模块32对所述第一连接进行认证，得到表示对所述第一连接认证成功或者认证失败的认证结果。认证模块32在实现认证时，可以是内嵌认证功能，即由认证模块32本地进行认证，也可以是向认证服务器发起认证请求。

其中，若认证结果表示对所述第一连接认证失败，则认证模块32可以断开所述第一连接。可以理解的是，这里所说的断开所述第一连接，并不是断开物理上的连接，而是表示不再接收通过所述第一连接发送的数据。

205：认证模块32向流量分发模块31发送所述第一连接的认证结果。

其中，所述认证结果表示对所述第一连接认证成功或者表示对所述第一连接认证失败。

206：流量分发模块31根据所述认证结果，确定是否将所述第一连接切换到业务模块33。

若所述认证结果表示对所述第一连接认证成功，则说明所述第一连接不存在安全威胁，因此流量分发模块31将所述第一连接切换到业务模块33，从而实现相应的用户业务。

其中，本实施例中通过流量分发模块31与认证模块32、业务模块33的相互协作，完成连接的切换过程，并且连接的切换属于控制器集群内部的处理，对外不体现，即发起第一连接的设备端不会感知到连接的切换过程。

在本发明实施例中，业务模块33可以包括多个服务器，其中可以按照多种方式划分各个服务器的功能，从而达到负载分担的目的。例如，可以按照管理的网络区域进行划分，各个服务器分别管理对应的区域的网络设备(包括转发层的设备和应用层的设备)；又例如，可以按照业务类型进行划分，各个服务器分别管理不同类型的用户业务。其中，为更好的适配不同的业务，可以根据业务的变化灵活的调整各个服务器的功能划分，更好地利用各个服务器的资源实现用户业务。因此，在本发明实施例中，可以在流量分发模块31或者认证模块32中配置有业务分配规则，根据该业务分配规则，流量分发模块31将所述第一连接切换到所述第一连接对应的业务模块中。例如，若在流量分发模块31中配置有业务分配规则，流量分发模块31根据业务分配规则从业务模块33中确定出所述第一连接对应的业务模块，并将所述第一连接切换到所述第一连接对应的业务模块中；若在认证模块32中配置有业务分配规则，认证模块32根据业务分配规则从业务模块33中确定出所述第一连接对应的业务模块，并指示流量分发模块31将所述第一连接切换到所述第一连接对应的业务模块中。其中，所述第一连接对应的业务模块可以为所述第一连接的业务类型对应的业务模块。

若所述认证结果表示对所述第一连接认证失败，则说明所述第一连接存在安全威胁，因此流量分发模块31不切换所述第一连接，也就是不会将所述第一连接切换到业务模块33。

通过上述技术方案可知，本发明实施例中，在SDN网络内部的控制器集群中部署流量分发模块31、认证模块32和业务模块33，流量分发模块31接收到第一连接的接入请求后，若确定出第一连接为未知连接，会将第一连接接入到认证模块32，由认证模块32进行认证，流量分发模块31根据认证模块32的认证结果确定是否将第一连接切换到业务模块33，即接入到控制器集群。可见，本发明实施例由控制器集群对接入的连接进行安全认证，从而实现了控制层内部的安全认证，保证了控制层的独立性，不再采用依赖于防火墙的外部认证方式，解决了由外部认证方式所带来的安全隐患。例如，当部署一个新业务时，可以在控制层进行业务部署的同时，在控制层进行安全认证的更新，更加利于新业务的扩展。

在本发明实施例中，流量分发模块31、认证模块32和业务模块33均可以为物理上独立的一个或多个服务器，更加利于集成化。例如，可以直接将认证设备集成到控制器集群中，只需对认证设备与控制器集群的其他设备之间的通信进行配置。

在本发明实施例中，若流量分发模块31接收到已知连接，即发起设备曾经接入到所述控制层，则不需要认证模块32进行认证，而是可以直接将该已知连接接入到业务模块33，从而实现相应的用户业务。具体地，所述方法还包括：流量分发模块31接收第二接入请求，所述第二接入请求指示出请求接入所述控制层的第二连接；流量分发模块31确定出所述第二连接为已知连接；流量分发模块31将所述第二连接接入到业务模块33。其中，流量分发模块31可以根据业务分配规则，将所述第二连接接入所述第二连接对应的业务模块中。

在本发明实施例中，由认证模块32对所述第一连接进行认证，其中，认证模块32具体可以是确定出所述第一连接的发起设备，根据所述第一连接的发起设备进行认证。下面提供一种可选的认证方式。

204具体包括：认证模块32获取所述第一连接的属性信息；认证模块32根据所述属性信息，确定出所述第一连接的发起设备；认证模块32确定所述第一连接的发起设备是否为合法设备，如果是，则表示对所述第一连接认证成功，如果否，则表示对所述第一连接认证失败。其中认证模块32可以是通过内嵌的认证功能，或者也可以是通过外部的认证服务器，确定所述第一连接的发起设备是否合法。

在本发明实施例中，若流量分发模块31确定出当前环境的安全性较低时，例如发生以下任一种情况时：流量分发模块31接收到所述认证结果之前、流量分发模块31接收到所述认证结果之后并且所述认证结果表示对所述第一连接认证失败、或者在预设时间段内流量分发模块31接收到的接入请求的数量大于预设阈值，则流量分发模块31还可以对所述第一连接进行流量限制，例如，将所述第一连接的流量限制到小于预设流量的范围内，从而进一步提高安全性。

除了认证模块32之外，本发明实施例中还可以在控制器集群中部署安全处理模块，流量分发模块31可以将第一连接接入到安全处理模块，进行更进一步的安全处理。

上面对本发明实施例中的基于SDN的安全认证方法的实施例进行了描述，下面将从模块化功能实体的角度对本发明实施例中的流量分发模块和认证模块分别进行描述。

请参阅图4，本申请实施例还提供了流量分发模块的一种装置实施例，本实施例的流量分发模块31用于控制器集群中。

在本实施例中，如图1所示的SDN网络，包括应用层、控制层和转发层。其中，控制层如图3所示，包括控制器集群，可以为分布式架构。所述控制器集群包括流量分发模块31、认证模块32和业务模块33。其中流量分发模块31完成对连接的控制和流量分发，从而防止未经认证的连接对控制层的攻击，认证模块32完成对连接的认证和管理，确保连接安全，业务模块33实现不同的用户业务。

本实施例的流量分发模块31包括：第一接收单元311、确定单元312、接入单元313、第二接收单元314和切换单元315。

第一接收单元311用于接收第一接入请求，所述第一接入请求指示出请求接入所述控制层的第一连接。

在本实施例中，流量分发模块31作为所述控制器集群的对外接口模块，也就是说所有的用于接入所述控制层的接入请求都会先发送到流量分发模块31的第一接收单元311，由流量分发模块31进行流量分发。

其中，所述第一接入请求指示出请求接入所述控制层的第一连接。所述第一接入请求既可以是由应用层的设备发送的，也可以是由转发层的设备发送的。

确定单元312用于所述第一接收单元接收所述第一接入请求之后，确定出所述第一连接为未知连接。

第一接收单元311在接收到第一接入请求后，确定单元312会根据该请求，判断所述第一连接是否为未知连接，如果是，则确定出所述第一连接为未知连接，即所述第一连接为未经过验证的连接，如果否，则确定出所述第一连接为已知连接，即所述第一连接为曾经验证成功的连接。

接入单元313用于所述确定单元确定出所述第一连接为未知连接之后，将所述第一连接接入到认证模块32。

确定单元312确定出第一连接为未知连接后，表示此时需要对第一连接的安全性进行认证，因此接入单元313将所述第一连接接入到认证模块32，也就是将第一连接对应的流量分发到认证模块32。

第二接收单元314用于接收所述认证模块发送的所述第一连接的认证结果。

当所述第一连接接入认证模块32后，认证模块32对所述第一连接进行认证，得到表示对所述第一连接认证成功或者认证失败的认证结果，并将该认证结果发送至第二接收单元314。

切换单元315用于根据所述认证结果，确定是否将所述第一连接切换到业务模块33。

若所述认证结果表示对所述第一连接认证成功，则说明所述第一连接不存在安全威胁，因此切换单元315具体用于将所述第一连接切换到业务模块33，从而实现相应的用户业务。

其中，本实施例中通过流量分发模块31与认证模块32、业务模块33的相互协作，完成连接的切换过程，并且连接的切换属于控制器集群内部的处理，对外不体现，即发起第一连接的设备端不会感知到连接的切换过程。

在本发明实施例中，业务模块33可以包括多个服务器，其中可以按照多种方式划分各个服务器的功能，从而达到负载分担的目的。例如，可以按照管理的网络区域进行划分，各个服务器分别管理对应的区域的网络设备(包括转发层的设备和应用层的设备)；又例如，可以按照业务类型进行划分，各个服务器分别管理不同类型的用户业务。其中，为更好的适配不同的业务，可以根据业务的变化灵活的调整各个服务器的功能划分，更好地利用各个服务器的资源实现用户业务。因此，在本发明实施例中，可以在流量分发模块31中配置有业务分配规则，切换单元315根据该业务分配规则从业务模块33中确定出所述第一连接对应的业务模块，并将所述第一连接切换到所述第一连接对应的业务模块中。

若所述认证结果表示对所述第一连接认证失败，则说明所述第一连接存在安全威胁，因此切换单元315具体用于不切换所述第一连接，也就是不会将所述第一连接切换到业务模块33。

通过上述技术方案可知，本发明实施例中，在SDN网络内部的控制器集群中部署流量分发模块31、认证模块32和业务模块33，流量分发模块31的第一接收单元311接收到第一连接的接入请求后，若确定单元312确定出第一连接为未知连接，接入单元313会将第一连接接入到认证模块32，由认证模块32进行认证，切换单元315根据认证模块32的认证结果确定是否将第一连接切换到业务模块33，即接入到控制器集群。可见，本发明实施例由控制器集群对接入的连接进行安全认证，从而实现了控制层内部的安全认证，保证了控制层的独立性，不再采用依赖于防火墙的外部认证方式，解决了由外部认证方式所带来的安全隐患。

在本发明实施例中，流量分发模块31、认证模块32和业务模块33均可以为物理上独立的一个或多个服务器，更加利于集成化。

在本发明实施例中，若流量分发模块31接收到已知连接，即发起设备曾经接入到所述控制层，则不需要认证模块32进行认证，而是可以直接将该已 知连接接入到业务模块33，从而实现相应的用户业务。具体地，第一接收单元311还用于接收第二接入请求，所述第二接入请求指示出请求接入所述控制层的第二连接，确定单元312还用于所述第一接收单元接收第二接入请求之后，确定出所述第二连接为已知连接，接入单元313还用于确定单元312确定出所述第二连接为已知连接之后，将所述第二连接接入到业务模块33。其中，接入单元313可以根据业务分配规则，将所述第二连接接入所述第二连接对应的业务模块中。

在本发明实施例中，流量分发模块31还可以包括流量限制单元，所述流量限制单元用于确定出当前环境的安全性较低时，例如发生以下任一种情况时：第二接收单元314接收到所述认证结果之前、第二接收单元314接收到的所述认证结果之后并且所述认证结果表示对所述第一连接认证失败、或者在预设时间段内第一接收单元311接收到的接入请求的数量大于预设阈值，则还可以对所述第一连接进行流量限制，例如，将所述第一连接的流量限制到小于预设流量的范围内，从而进一步提高安全性。

请参阅图5，本申请实施例还提供了流量分发模块的一种装置实施例，本实施例的流量分发模块31用于控制器集群中。

在本实施例中，如图1所示的SDN网络，包括应用层、控制层和转发层。其中，控制层如图3所示，包括控制器集群，可以为分布式架构。所述控制器集群包括流量分发模块31、认证模块32和业务模块33。其中流量分发模块31完成对连接的控制和流量分发，从而防止未经认证的连接对控制层的攻击，认证模块32完成对连接的认证和管理，确保连接安全，业务模块33实现不同的用户业务。

本实施例的认证模块32包括：接入单元321、认证单元322和发送单元323。

接入单元321用于通述流量分发模块31接入到第一连接。

流量分发模块31确定出第一连接为未知连接后，表示此时需要对第一连接的安全性进行认证，因此流量分发模块31将所述第一连接接入到认证模块32，也就是将第一连接对应的流量分发到认证模块32。

认证单元322用于对所述第一连接进行认证获得所述第一连接的认证结果。

当所述第一连接接入认证模块32后，认证单元322对所述第一连接进行认证，得到表示对所述第一连接认证成功或者认证失败的认证结果。认证单元322在实现认证时，可以是内嵌认证功能，即由认证单元322在认证模块32本地进行认证，也可以是向认证服务器发起认证请求。

其中，认证模块32还可以包括断开单元，所述断开单元用于若所述认证结果表示对所述第一连接认证失败，断开所述第一连接。可以理解的是，这里所说的断开所述第一连接，并不是断开物理上的连接，而是表示不再接收通过所述第一连接发送的数据。

发送单元323用于向所述流量分发模块发送所述第一连接的认证结果。

其中，所述认证结果表示对所述第一连接认证成功或者表示对所述第一连接认证失败。

在本发明实施例中，由认证单元322对所述第一连接进行认证，其中，认证单元322具体可以是确定出所述第一连接的发起设备，根据所述第一连接的发起设备进行认证。下面提供一种可选的认证方式。

认证单元322具体用于：获取所述第一连接的属性信息；根据所述属性信息，确定出所述第一连接的发起设备；确定所述第一连接的发起设备是否为合法设备，如果是，则表示对所述第一连接认证成功，如果否，则表示对所述第一连接认证失败。其中认证单元322可以是通过内嵌的认证功能，或者也可以是通过外部的认证服务器，确定所述第一连接的发起设备是否合法。

如图3所示，本申请还提供了控制器集群的一种装置实施例。本实施例的控制器集群位于SDN网络的控制层，所述控制器集群包括：流量分发模块31、认证模块32和业务模块33。

流量分发模块31，用于接收第一接入请求，所述第一接入请求指示出请求接入所述控制层的第一连接，确定出所述第一连接为未知连接，将所述第一连接接入到认证模块32，接收认证模块32发送的所述第一连接的认证结果，以及根据所述认证结果，确定是否将所述第一连接切换到业务模块33。

认证模块32，用于通过流量分发模块31接入到第一连接，对所述第一连接进行认证获得所述第一连接的认证结果，以及向流量分发模块31发送所述第一连接的认证结果。

本实施例中，关于流量分发模块31、认证模块32和业务模块33的描述具体请参见图2、图4和图5对应的实施例，这里不再赘述。

上面从模块化功能实体的角度对本发明提供的装置实施例进行描述。下面将从硬件处理的角度对本发明提供的装置实施例进行描述。

请参阅图6，本发明实施例提供的一种流量分发模块包括：处理器(processor)601、通信接口(Communications Interface)602、存储器(memory)603和通信总线604。

本实施例中，SDN网络的控制层包括控制器集群，所述控制器集群包括所述流量分发模块、认证模块和业务模块。

处理器601，通信接口602，存储器603通过总线604完成相互间的通信。

处理器601，用于执行程序605。

具体地，程序605可以包括程序代码，所述程序代码包括计算机操作指令。

处理器601可能是一个中央处理器CPU，或者是特定集成电路ASIC(Application Specific Integrated Circuit)，或者是被配置成实施本申请实施例的一个或多个集成电路。

存储器603，用于存放程序605。存储器603可能包含高速RAM存储器，也可能还包括非易失性存储器(non-volatile memory)，例如至少一个磁盘存储器。程序605用于执行以下步骤：

接收第一接入请求，所述第一接入请求指示出请求接入所述控制层的第一连接；

确定出所述第一连接为未知连接；

将所述第一连接接入到所述认证模块；

接收所述认证模块发送的所述第一连接的认证结果；

根据所述认证结果，确定是否将所述第一连接切换到所述业务模块。

程序605中各步骤的具体实现参见图4所示实施例中的相应单元的实现方式，在此不赘述。

请参阅图7，本发明实施例提供的一种认证模块包括：处理器(processor)701、通信接口(Communications Interface)702、存储器(memory)703和通信总线704。

本实施例中，SDN网络的控制层包括控制器集群，所述控制器集群包括流量分发模块、所述认证模块和业务模块。

处理器701，通信接口702，存储器703通过总线704完成相互间的通信。

处理器701，用于执行程序705。

具体地，程序705可以包括程序代码，所述程序代码包括计算机操作指令。

处理器701可能是一个中央处理器CPU，或者是特定集成电路ASIC(Application Specific Integrated Circuit)，或者是被配置成实施本申请实施例的一个或多个集成电路。

存储器703，用于存放程序705。存储器703可能包含高速RAM存储器，也可能还包括非易失性存储器(non-volatile memory)，例如至少一个磁盘存储器。程序705用于执行以下步骤：

通过所述流量分发模块接入到第一连接；

对所述第一连接进行认证获得所述第一连接的认证结果；

向所述流量分发模块发送所述第一连接的认证结果。

程序705中各步骤的具体实现参见图5所示实施例中的相应单元的实现方式，在此不赘述。

所属领域的技术人员可以清楚地了解到，为描述的方便和简洁，上述描述的系统，装置和单元的具体工作过程，可以参考前述方法实施例中的对应过程，在此不再赘述。

在本申请所提供的几个实施例中，应该理解到，所揭露的系统，装置和方法，可以通过其它的方式实现。例如，以上所描述的装置实施例仅仅是示意性的，例如，所述单元的划分，仅仅为一种逻辑功能划分，实际实现时可 以有另外的划分方式，例如多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口，装置或单元的间接耦合或通信连接，可以是电性，机械或其它的形式。

所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。

另外，在本发明各个实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现，也可以采用软件功能单元的形式实现。

所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：U盘、移动硬盘、只读存储器(ROM，Read-Only Memory)、随机存取存储器(RAM，Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。

以上所述，以上实施例仅用以说明本发明的技术方案，而非对其限制；尽管参照前述实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本发明各实施例技术方案的范围。