[發明專利]一種SDN控制器的訪問控制方法及系統有效
| 申請號: | 201710018099.1 | 申請日: | 2017-01-10 |
| 公開(公告)號: | CN106790219B | 公開(公告)日: | 2019-11-26 |
| 發明(設計)人: | 荀浩;宋晨;王利明;史淼;楊倩;謝德俊 | 申請(專利權)人: | 中國科學院信息工程研究所 |
| 主分類號: | H04L29/06 | 分類號: | H04L29/06;H04L12/24 |
| 代理公司: | 11200 北京君尚知識產權代理有限公司 | 代理人: | 司立彬<國際申請>=<國際公布>=<進入 |
| 地址: | 100093 *** | 國省代碼: | 北京;11 |
| 權利要求書: | 查看更多 | 說明書: | 查看更多 |
| 摘要: | |||
| 搜索關鍵詞: | 一種 sdn 控制器 訪問 控制 方法 系統 | ||
1.一種SDN控制器的訪問控制方法,其中,SDN網絡中的北向應用分為三種安全級別:管理員類別、網絡配置類別和用戶類別;管理員類別的北向應用允許讀寫數據平面中的設備數據,但無法讀寫數據平面中的轉發數據;網絡配置類別的北向應用允許讀寫數據平面中的用于管理轉發數據包的控制數據,以及數據平面中的用于控制數據包轉發的控制數據,但是不允許讀寫數據平面中的設備數據;用戶類別的北向應用允許讀寫數據平面中的轉發數據,但是不允許讀寫數據平面中的控制轉發數據和設備數據;其步驟為:
1)用戶向北向應用發出資源請求,該資源請求中包括用戶的認證信息、用戶所請求的北向應用URL和資源類別;
2)北向應用根據該資源請求中的認證信息對該用戶進行認證;認證通過之后,該北向應用獲取該用戶的用戶ID以及安全級別,并將用戶ID、安全級別、該用戶資源請求對應的北向應用ID以及訪問請求發送給SDN控制器中對應的基礎應用;
3)該基礎應用根據用戶ID確定該用戶所請求訪問的數據類別,然后根據用戶的安全級別確定該用戶是否具有對所請求訪問數據的訪問權限;如果具有訪問權限,則根據北向應用ID以及資源請求向SDN控制器發起查詢請求,SDN控制器對該用戶的查詢請求進行驗證,驗證通過后將該查詢請求轉發給SDN控制器基礎模塊獲取響應數據返回給該北向應用,否則拒絕訪問;其中,基礎模塊提供的北向接口包含用戶的身份信息,并與SDN控制器中的基礎應用信息一一對應。
2.如權利要求1所述的方法,其特征在于,所述認證信息包括用戶名以及密碼。
3.如權利要求1所述的方法,其特征在于,SDN控制器中設有一權限對應表,所述權限對應表記錄北向應用與基礎應用關于用戶身份信息的一一對應關系。
4.一種SDN控制器的訪問控制系統,其特征在于,包括SDN控制器、交換機和至少一項北向應用;所述北向應用分為三種安全級別:管理員類別、網絡配置類別和用戶類別;其中,管理員類別允許讀寫數據平面中的設備數據,但無法讀寫數據平面中的轉發數據;網絡配置類別的北向應用允許讀寫數據平面中的用于管理轉發數據包的控制數據,以及數據平面中的用于控制數據包轉發的控制數據,但是不允許讀寫數據平面中的設備數據;用戶類別允許讀寫數據平面中的轉發數據,但是不允許讀寫數據平面中的控制轉發數據和設備數據;
所述北向應用,根據用戶提供的身份認證信息,將用戶分類在對應用的安全級別中;
以及將用戶的用戶ID、安全級別、該用戶資源請求對應的北向應用ID以及訪問請求發送給SDN控制器中對應的基礎應用;該基礎應用根據用戶ID確定該用戶所請求訪問的數據類別,然后根據用戶的安全級別確定該用戶是否具有對所請求訪問數據的訪問權限;
如果具有訪問權限,則根據北向應用ID以及資源請求向SDN控制器發起查詢請求,SDN控制器對該用戶的查詢請求進行驗證,驗證通過后將該查詢請求轉發給SDN控制器基礎模塊獲取響應數據返回給該北向應用,否則拒絕訪問;其中,基礎模塊提供的北向接口包含用戶的身份信息,并與SDN控制器中的基礎應用信息一一對應。
5.如權利要求4所述的系統,其特征在于,該資源請求中包括用戶的認證信息、用戶所請求的北向應用URL和資源類別。
6.如權利要求4或5所述的系統,其特征在于,SDN控制器中設有一權限對應表,所述權限對應表記錄北向應用與基礎應用關于用戶身份信息的一一對應關系。
該專利技術資料僅供研究查看技術是否侵權等信息,商用須獲得專利權人授權。該專利全部權利屬于中國科學院信息工程研究所,未經中國科學院信息工程研究所許可,擅自商用是侵權行為。如果您想購買此專利、獲得商業授權和技術合作,請聯系【客服】
本文鏈接:http://www.szxzyx.cn/pat/books/201710018099.1/1.html,轉載請聲明來源鉆瓜專利網。
