局域网内用户按需动态认证连接的系统及方法与流程

本发明涉及计算机网络领域，尤其涉及一种局域网内用户按需动态认证连接的系统及方法。

背景技术：

随着人们对数字化产品的需求不断增加及使用，数字化办公已经成为不可或缺的条件，公司、学校和一些公共场所组建的大型局域网络也是在不断增加，越来越需求组建一个安全稳定的局域网络，然而目前的网络环境中存在着大量的隐患。局域网内用户主机间同过交换机相连，用户主机长期在线，使攻击者很容易就获得了网络拓扑结构，并可针对用户主机进行长期控制监控；大量的通信报文通过广播传输，通信网络呈网状结构，这就给攻击者进行监听和劫取报文创造了良好的环境。这些安全问题就促使我们需要一种按需连接的网络环境，用户上线需通过动态认证的方式进行注册，尽可能减少不需要的网络连接和空闲的用户在线状态，使用户主机的安全性得到最大的保护。

技术实现要素：

鉴于此，本发明提出了一种在局域网内用户主机按需动态注册认证进行连接的系统及方法，目的是解决普通局域网内用户主机长期在线，网络拓扑基本不变，攻击者可利用该条件进行攻击和信息窃取的风险问题。

为了达到上述目的，本发明是通过以下技术方案实现的：

一种局域网内用户按需动态认证连接的系统，包括三个平面组成，分别为数据平面、控制平面和管理平面，所述数据平面与控制平面之间通过Openflow协议通信，控制平面与管理平面运行在操作系统中，通过进程间通信进行交互，其中：

数据平面包括一个Openflow交换机，用于负责与控制平面的数据交互，根据转发策略模块下发的流表进行数据转发；

控制平面包括有用户名解析模块和转发策略模块；

管理平面包括有用户管理模块、组管理模块和连接管理模块。

所述用户名解析模块用于负责注册名和标识名的解析上报工作，识别区分用户主机的注册上线和通信申请行为，并上交申请，非注册用户则不上交通信申请，并记录注册用户的MAC地址和IP地址。

所述转发策略模块用于负责根据连接管理模块下发的通信连接需求，生成相应的流表；下发或删除Openflow交换机上的转发流表；转发流表为点对点通信模式，无网状结构连接状态。

所述用户管理模块用于负责用户动态注册认证，用户标识动态映射表的维护，以及用户注册名和标识名的带外通告。

所述组管理模块用于负责用户间通信权限的管理，即注册用户按照规则被分配到不同权限等级的不同组中。

所述连接管理模块用于负责根据用户需求进行连接管理，连接状态的维护。

本发明还提供一种局域网内用户按需动态认证连接的方法，包括以下步骤：

步骤一：用户管理模块根据系统的接口号生成注册名映射表，为每一个与系统相连的用户主机分配一个注册名，该注册名与接口号绑定，且注册名是动态变换的，通过带外通道通告给用户；

步骤二：用户A主机按需申请注册上线，需先通过带外通道的方式获取用户管理模块分配给用户A的注册名；

步骤三：用户A向系统发送注册上线申请，申请中包含注册名和申请在线时长；

步骤四：系统收到用户A的注册上线申请，由用户名解析模块识别是否为注册申请；若是，将申请上交给用户管理模块，否则丢弃；

步骤五：用户管理模块收到注册上线申请后，判断申请中的注册名与收到申请的接口号与当前的注册名映射表是否相符，若相符，则回复注册上线成功的消息，动态随机地为用户A主机分配一个IP地址，并将用户A在线的状态记录在用户管理模块中，否则丢弃；

步骤六：用户A上线后，用户管理模块专为用户A动态生成一个当前在线可通信用户的标识名映射表，同时将用户A其更新到其他在线用户的标识名映射表中；

步骤七：当上线时间达到申请时长的1/2时，用户管理模块会向用户通告用户A新的注册名，若用户A需延长在线时间，则用新的注册名在线重新注册，并提交申请上线时间，延长在线时间，在线时间为两次申请时间总和，重新注册过程不中断用户连接；若超时，用户管理模块会将用户A下线，删除用户A在其他在线用户的标识名映射表中的标识名。

进一步地，所述步骤六中，若用户A注册上线成功，与标识名映射表中另一个用户B的主机进行连接通信，则进行以下步骤：

步骤一：用户A根据用户管理模块通告的标识名映射表中用户B的标识名，向系统发出与用户B的连接申请，其中包含用户B的标识名和连接申请时长；

步骤二：系统的用户管理模块收到申请后，验证申请中用户B的标识名是否存在于用户A所拥有的标识名映射表，若存在，将请求转发给连接管理模块，然后生成相应的流表策略下发各OPenflow交换机，使用户A主机与用户B主机实现点对点的连接通信，否则丢弃；

步骤三：当连接通信时长达到申请时长的1/2时，用户管理模块会自动更新用户B在用户A的标识名映射表上的标识名，如需延长连接通信时间，仅用户A可根据用户B新的标识名重新申请连接，连接状态不会中断；若超时，连接管理模块会删除用户A与用户B通信相对应的流表，中断用户A与用户B的连接通信。

进一步地，所述步骤六中，用户A上线后，租管理模块将用户A分配到不同权限等级的不同组中，每个注册用户不可主动申请与同权限不同组或高权限的用户连接通信；用户管理模块根据组管理模块中的分组，专为用户A动态生成一个当前在线可通信用户的标识名映射表，同一用户在不同用户的标识名映射表中的标识名不同，标识名映射表会通过带外通道通告给用户A。

本发明的的有益效果主要体现在以下几个机制上：

1.用户按需上线动态认证机制。由于普通局域网内用户长期在线，导致攻击者可扫描获取到比较稳定的网络拓扑环境，然后针对环境中的主机进行长期的监听和控制，为解决该问题，提出用户按需注册上线，然后通过用户动态认证的方式，进行上线管理，实现该功能的模块为控制平面的用户名解析模块和管理平面的用户管理模块。注册用户通过带外通信方式获取用户管理模块动态生成的注册名，按需进行主动地上线申请，自主设定在线时间，并可根据需要延长在线时间，实现自主可控的局域网间通信。当用户在线超时时，会被自动下线，使用户主机在非通信状态下不可见，实现网络拓扑不固定，阻止攻击者长期监听和控制其他用户主机；

2.用户主机根据动态生成的用户标识名进行按需通信申请机制。当注册用户上线后，同样为避免网络拓扑扫描和端口扫描等攻击，消除不必要的通信通道带来的风险，系统的通信方式采用按需通信申请的机制。注册主机可根据动态生成的标识名映射表，使用按需申请的机制进行通信请求；转换普通局域网以MAC地址和IP地址为基准的转发规则，使用动态生成的主机标识名作为主机间通信通道建立的依据，有效防止了攻击者依据MAC或IP欺骗所做的攻击；

3.依据权限和分组进行通信申请限制机制。为保护一些存有重要文件的用户主机，在用户按需注册上线和通信的基础上，引入权限和分组机制。将不同的用户按照权限大小进行区分，权限小的用户不能主动发起与权限高的用户的连接通信；同一权限的用户也可进行分组，同一权限不同组之间的用户不能互相发起连接通信，但一个用户可以同时属于同一权限的不同组中；

4.户间通信动态维护机制。为防止用户间连接通道连通后，连接通道不释放，造成安全隐患，在用户申请连接请求时，需按需提交连接时长，若用户未在申请连接时长内重新申请连接，则会自动关闭连接通道；当连接时长达到申请时长的1/2时，用户管理模块会自动更新被连接用户在主动申请连接用户的标识名映射表上的标识名，如需延长连接时间，主动连接用户可根据新的标识名重新申请连接，连接状态不会中断；若在连接过程中，有某一用户注册上线时长超时，连接通道也会自动关闭。

附图说明：

图1为本发明所述系统的功能模块结构关系图；

图2为本发明所述方法中用户按需上线动态认证流程图；

图3为本发明所述方法中用户按需申请连接通信动态认证流程图；

具体实施方式：

依照以下的附图详细说明关于本发明的示例性实施例。

本发明实施例提供一种局域网内用户按需动态认证连接的系统，如图1所示，包括三个平面组成，分别为数据平面、控制平面和管理平面，所述数据平面与控制平面之间通过Openflow协议通信，控制平面与管理平面运行在操作系统中，通过进程间通信进行交互，其中：

数据平面包括Openflow交换机，主要负责与控制平面的数据交互，根据转发策略模块下发的流表进行数据转发。

控制平面包括用户名解析模块和转发策略模块：

用户名解析模块：主要负责注册名和标识名的解析上报工作。识别区分用户主机的注册上线和通信申请行为，并上交申请，非注册用户不上交通信申请；记录注册用户的MAC地址和IP地址；

转发策略模块：主要负责根据连接管理模块下发的通信连接需求，生成相应的流表；下发或删除Openflow交换机上的转发流表；转发流表为点对点通信模式，无网状结构连接状态。

管理平面包括用户管理模块、组管理模块和连接管理模块：

用户管理模块：主要负责用户动态注册认证，用户标识动态映射表的维护，以及用户注册名和标识名的带外通告。系统依据用户主机连接的接口号，动态生成对应的用户主机注册名，注册名会在用户在线达到申请在线时间1/2或下线时，动态更新注册名，注册名通过带外通信的方式通告给用户；用户注册上线时，需提交申请的上线时间，当上线时间达到申请时间的1/2时，用户管理模块会向用户通告新的注册名，用户可通过在线重新注册，并提交申请上线时间的方式，延长在线时间，在线时间为两次申请时间总和，重新注册过程不中断用户连接；包含DHCP服务器，用户在注册上线时被动态随机分配一个IP地址，且每次上线所分配IP均不同；若用户在申请上线时间内未重新注册，则会被被动下线；当用户注册上线成功后，该模块会针对该用户动态生成一个可通信设备的标识名映射表，不同注册用户的标识名映射表均不同；当用户申请与其他用户通信时，根据该注册用户所拥有的标识名映射表进行验证许可；当一个用户注册上线或下线时，会同步跟新其在其他注册用户所拥有的标识名映射表中的标识名；映射表中的标识名，在两台主机非通信状态下，会动态的周期性变化；

组管理模块：主要负责用户间通信权限的管理。注册用户按照规则被分配到不同权限等级的不同组中，注册用户不可主动申请与同权限不同组或高权限用户连接通信；一个注册用户可同时属于同一权限不同组中；

连接管理模块主要负责根据用户需求进行连接管理，连接状态的维护。在连接通信连接均为点对点，用户对用户通信。在用户申请连接请求时，需提交申请连接时长，当连接时长达到申请时长的1/2时，用户管理模块会自动更新被连接用户在主动申请连接用户的标识名映射表上的标识名，主动申请连接用户如需延长连接时间，需在申请时长内根据新的标识名重新申请连接，此时连接状态不会中断，否则连接管理模块会在超过连接时长后关闭连接通道；用户连接为用户对用户的连接状态，无网状结构连接状态。

本发明实施例还提供一种局域网内用户按需动态认证连接的方法，包括以下步骤：

步骤一：用户管理模块根据系统的接口号生成注册名映射表，为每一个与系统相连的用户主机分配一个注册名，该注册名与接口号绑定，且注册名是动态变换的，通过带外通道通告给用户；

步骤二：用户A主机按需申请注册上线，需先通过带外通道的方式获取用户管理模块分配给用户A的注册名；

步骤三：用户A向系统发送注册上线申请，申请中包含注册名和申请在线时长；

步骤四：系统收到用户A的注册上线申请，由用户名解析模块识别是否为注册申请；若是，将申请上交给用户管理模块，否则丢弃；

步骤五：用户管理模块收到注册上线申请后，判断申请中的注册名与收到申请的接口号与当前的注册名映射表是否相符，若相符，则回复注册上线成功的消息，动态随机地为用户A主机分配一个IP地址，并将用户A在线的状态记录在用户管理模块中，否则丢弃；

步骤六：用户A上线后，用户管理模块专为用户A动态生成一个当前在线可通信用户的标识名映射表，同时将用户A其更新到其他在线用户的标识名映射表中；

步骤七：当上线时间达到申请时长的1/2时，用户管理模块会向用户通告用户A新的注册名，若用户A需延长在线时间，则用新的注册名在线重新注册，并提交申请上线时间，延长在线时间，在线时间为两次申请时间总和，重新注册过程不中断用户连接；若超时，用户管理模块会将用户A下线，删除用户A在其他在线用户的标识名映射表中的标识名。

进一步地，所述步骤六中，若用户A注册上线成功，与标识名映射表中另一个用户B的主机进行连接通信，则进行以下步骤：

步骤一：用户A根据用户管理模块通告的标识名映射表中用户B的标识名，向系统发出与用户B的连接申请，其中包含用户B的标识名和连接申请时长；

步骤二：系统的用户管理模块收到申请后，验证申请中用户B的标识名是否存在于用户A所拥有的标识名映射表，若存在，将请求转发给连接管理模块，然后生成相应的流表策略下发各OPenflow交换机，使用户A主机与用户B主机实现点对点的连接通信，否则丢弃；

步骤三：当连接通信时长达到申请时长的1/2时，用户管理模块会自动更新用户B在用户A的标识名映射表上的标识名，如需延长连接通信时间，仅用户A可根据用户B新的标识名重新申请连接，连接状态不会中断；若超时，连接管理模块会删除用户A与用户B通信相对应的流表，中断用户A与用户B的连接通信。

进一步地，所述步骤六中，用户A上线后，租管理模块将用户A分配到不同权限等级的不同组中，每个注册用户不可主动申请与同权限不同组或高权限的用户连接通信；用户管理模块根据组管理模块中的分组，专为用户A动态生成一个当前在线可通信用户的标识名映射表，同一用户在不同用户的标识名映射表中的标识名不同，标识名映射表会通过带外通道通告给用户A。

本发明所提供的方法主要体现在以下两个方面：

一、用户按需上线动态认证：

用户管理模块作为系统的核心模块，主要实现了动态认证的功能。用户管理模块根据系统的接口号生成注册名映射表，为每一个与系统相连的用户主机分配了一个注册名，该注册名与接口号绑定，且注册名是动态变换的，通过带外通道通告给用户。

图2中，用户A主机按需申请注册上线，需先通过带外通道的方式获取用户管理模块分配给用户A的注册名，然后向系统发送注册上线申请，申请中包含注册名和申请在线时长。系统收到用户A的注册上线申请，由用户名解析模块识别是否为注册申请，若为是，将申请上交给用户管理模块，否则丢弃。用户管理模块收到注册上线申请后，判断申请中的注册名与收到申请的接口号与当前的注册名映射表是否相符，若相符，则回复注册上线成功的消息，动态随机地为用户A主机分配一个IP地址，并将用户A在线的状态记录在用户管理模块中，否则丢弃。

用户A上线后，用户管理模块将其更新到其他在线用户的标识名映射表中。

当上线时间达到申请时长的1/2时，用户管理模块会向用户通告用户A新的注册名，若用户需延长在线时间，可用新的注册名在线重新注册，并提交申请上线时间，延长在线时间，在线时间为两次申请时间总和，重新注册过程不会中断用户连接。若超时，用户管理模块会将用户A下线，删除用户A在其他在线用户的标识名映射表中的标识名。

二、用户按需申请连接通信动态认证：

组管理模块中包含各个用户的权限等级和分组情况，用户只能申请连接通信优先级低于自己或与自己同组的用户。

当用户A注册上线成功后，用户管理模块根据组管理模块中的分组，专为用户A动态生成一个当前在线可通信用户的标识名映射表，同一用户在不同用户的标识名映射表中的标识名不同，标识名映射表会通过带外通道通告给用户A。同一用户重复上线，生成的用户标识名不同，通过这种动态性可以有效的防止攻击者对网络拓扑的描绘。

根据图3，用户A按需申请与用户B的连接通信。用户A根据用户管理模块通告的标识名映射表中用户B的标识名，向系统发出与用户B的连接申请，其中包含用户B的标识名和连接申请时长。用户管理模块收到申请后，验证申请中用户B的标识名是否存在于用户A所拥有的标识名映射表，若存在，将请求转发给连接管理模块，然后生成相应的流表策略下发各OPenflow交换机，使用户A主机与用户B主机实现点对点的连接通信。

当连接通信时长达到申请时长的1/2时，用户管理模块会自动更新用户B在用户A的标识名映射表上的标识名，如需延长连接通信时间，仅用户A可根据用户B新的标识名重新申请连接，连接状态不会中断。若超时，连接管理模块会删除用户A与用户B通信相对应的流表，中断用户A与用户B的连接通信。

以上所述仅为本发明示意性的具体实施方式，并非用以限定本发明的范围，任何本领域的技术人员在不脱离本发明构思和原则的前提下所做出的等同变化与修改，均应属于本发明保护的范围。