本發(fā)明公開(kāi)了一種SDN控制器的訪問(wèn)控制方法及系統(tǒng)。本系統(tǒng)包括SDN控制器、交換機(jī)和至少一項(xiàng)北向應(yīng)用；北向應(yīng)用分為三種安全級(jí)別：管理員類別、網(wǎng)絡(luò)配置類別和用戶類別；其中，管理員類別允許讀寫數(shù)據(jù)平面中的設(shè)備數(shù)據(jù)；網(wǎng)絡(luò)配置類別的北向應(yīng)用允許讀寫數(shù)據(jù)平面中的用于管理轉(zhuǎn)發(fā)數(shù)據(jù)包的控制數(shù)據(jù)，以及數(shù)據(jù)平面中的用于控制數(shù)據(jù)包轉(zhuǎn)發(fā)的控制數(shù)據(jù)；用戶類別允許讀寫數(shù)據(jù)平面中的轉(zhuǎn)發(fā)數(shù)據(jù)；所述北向應(yīng)用將用戶分類在對(duì)應(yīng)用的安全級(jí)別中；以及將用戶信息以及訪問(wèn)請(qǐng)求發(fā)送給SDN控制器中對(duì)應(yīng)的基礎(chǔ)應(yīng)用；該基礎(chǔ)應(yīng)用根據(jù)用戶的安全級(jí)別確定該用戶是否具有對(duì)所請(qǐng)求訪問(wèn)數(shù)據(jù)的訪問(wèn)權(quán)限，進(jìn)行訪問(wèn)控制。本發(fā)明提高了SDN網(wǎng)絡(luò)中網(wǎng)絡(luò)信息的機(jī)密性。

技術(shù)領(lǐng)域

本發(fā)明屬于SDN安全領(lǐng)域，涉及一種SDN控制器的訪問(wèn)控制方法及系統(tǒng)，以保護(hù)SDN網(wǎng)絡(luò)中網(wǎng)絡(luò)信息的機(jī)密性，提高SDN網(wǎng)絡(luò)中控制器的可靠性，為SDN網(wǎng)絡(luò)提供安全保證。

背景技術(shù)

SDN網(wǎng)絡(luò)(Software Defined Network,軟件定義網(wǎng)絡(luò))是一種新型網(wǎng)絡(luò)創(chuàng)新架構(gòu)，其核心技術(shù)OpenFlow通過(guò)將網(wǎng)絡(luò)設(shè)備控制面與數(shù)據(jù)面分離開(kāi)來(lái)，從而實(shí)現(xiàn)了網(wǎng)絡(luò)流量的靈活控制。與傳統(tǒng)網(wǎng)絡(luò)相比，SDN網(wǎng)絡(luò)的基本特征有三點(diǎn)：其一是控制與轉(zhuǎn)發(fā)分離，轉(zhuǎn)發(fā)平面由受控轉(zhuǎn)發(fā)的設(shè)備組成，轉(zhuǎn)發(fā)方式以及業(yè)務(wù)邏輯由運(yùn)行在分離出去的控制面上的控制應(yīng)用所控制；其二是控制平面與轉(zhuǎn)發(fā)平面之間的開(kāi)放接口，SDN為控制平面提供開(kāi)放可編程接口，通過(guò)這種方式，控制應(yīng)用只需要關(guān)注自身邏輯，而不需要關(guān)注底層更多的實(shí)現(xiàn)細(xì)節(jié)；其三是邏輯上的集中控制，邏輯上集中的控制平面可以控制多個(gè)轉(zhuǎn)發(fā)面設(shè)備，也就是控制整個(gè)物理網(wǎng)絡(luò)，因而可以獲得全局的網(wǎng)絡(luò)狀態(tài)視圖，并根據(jù)該全局網(wǎng)絡(luò)狀態(tài)視圖實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)的優(yōu)化控制。

由于在SDN網(wǎng)絡(luò)中，控制器平面提供開(kāi)放可編程接口，通過(guò)這種方式，控制器端的北向應(yīng)用可以對(duì)控制器下發(fā)管理指令，通過(guò)交換機(jī)與控制器之間的openflow協(xié)議進(jìn)行通信，這使得網(wǎng)絡(luò)控制器的北向應(yīng)用成為SDN網(wǎng)絡(luò)的實(shí)際管理模塊，同時(shí)也成為SDN網(wǎng)絡(luò)的安全焦點(diǎn)，北向應(yīng)用的訪問(wèn)控制以及其權(quán)限劃分直接關(guān)系到整個(gè)網(wǎng)絡(luò)的安全性。在現(xiàn)有的部署模式和安全手段下，由于北向應(yīng)用可以獲取整個(gè)系統(tǒng)的網(wǎng)絡(luò)信息，網(wǎng)絡(luò)信息成為一個(gè)公開(kāi)的數(shù)據(jù)，難以保證SDN網(wǎng)絡(luò)中網(wǎng)絡(luò)信息的機(jī)密性。

上述問(wèn)題的根源在于控制器端存儲(chǔ)的數(shù)據(jù)沒(méi)有合理的訪問(wèn)控制規(guī)則，而SDN控制器存儲(chǔ)的數(shù)據(jù)對(duì)于底層網(wǎng)絡(luò)具有充分的描述，所以攻擊者僅僅需要獲取北向接口就可以獲取整個(gè)網(wǎng)絡(luò)的所有信息，只有對(duì)于這種數(shù)據(jù)進(jìn)行包婚才能保證SDN控制器的安全性，才能保證整個(gè)網(wǎng)路的安全性。

發(fā)明內(nèi)容

針對(duì)在現(xiàn)有SDN控制器北向應(yīng)用的缺陷，本發(fā)明提供了一種SDN控制器的訪問(wèn)控制方法及系統(tǒng)，用以提高SDN網(wǎng)絡(luò)中網(wǎng)絡(luò)信息的機(jī)密性，提高SDN控制器的可靠性，為SDN網(wǎng)絡(luò)提供安全保證。

為實(shí)現(xiàn)上述目的，本發(fā)明采用如下技術(shù)方案：

一種SDN控制器的訪問(wèn)控制方法，其中，SDN網(wǎng)絡(luò)中的北向應(yīng)用分為三種安全級(jí)別：管理員類別、網(wǎng)絡(luò)配置類別和用戶類別；管理員類別的北向應(yīng)用允許讀寫數(shù)據(jù)平面中的設(shè)備數(shù)據(jù)，但無(wú)法讀寫數(shù)據(jù)平面中的轉(zhuǎn)發(fā)數(shù)據(jù)；網(wǎng)絡(luò)配置類別的北向應(yīng)用允許讀寫數(shù)據(jù)平面中的用于管理轉(zhuǎn)發(fā)數(shù)據(jù)包的控制數(shù)據(jù)，以及數(shù)據(jù)平面中的用于控制數(shù)據(jù)包轉(zhuǎn)發(fā)的控制數(shù)據(jù)，但是不允許讀寫數(shù)據(jù)平面中的設(shè)備數(shù)據(jù)；用戶類別的北向應(yīng)用允許讀寫數(shù)據(jù)平面中的轉(zhuǎn)發(fā)數(shù)據(jù)，但是不允許讀寫數(shù)據(jù)平面中的控制轉(zhuǎn)發(fā)數(shù)據(jù)和設(shè)備數(shù)據(jù)；其步驟為：

1)用戶向北向應(yīng)用發(fā)出資源請(qǐng)求，該資源請(qǐng)求中包括用戶的認(rèn)證信息、用戶所請(qǐng)求的北向應(yīng)用URL和資源類別；

2)北向應(yīng)用根據(jù)該資源請(qǐng)求中的認(rèn)證信息對(duì)該用戶進(jìn)行認(rèn)證；認(rèn)證通過(guò)之后，該北向應(yīng)用獲取該用戶的用戶ID以及安全級(jí)別，并將用戶ID、安全級(jí)別、該用戶資源請(qǐng)求對(duì)應(yīng)的北向應(yīng)用ID以及訪問(wèn)請(qǐng)求發(fā)送給SDN控制器中對(duì)應(yīng)的基礎(chǔ)應(yīng)用；