本申請公開了一種基于SDN架構的權限控制方法、系統，該方法包括：確定在SDN系統中的前端與業務層之間設置的權限控制模塊；通過所述權限控制模塊，對所述前端的用戶請求進行攔截，校驗所述用戶請求對應的IP地址是否在白名單中；若所述IP地址在所述白名單中，則檢查所述用戶請求對應的被請求功能與預先向所述用戶分配的操作權限中的功能是否一致；若檢查一致，允許所述用戶請求執行。

技術領域

本申請涉及網絡工程領域，尤其涉及一種基于SDN架構的權限控制方法、系統。

背景技術

軟件定義網絡(Software Defined Network，SDN)框架主要由業務層，控制層，轉發層組成。其中業務層提供應用和服務比如網管、安全、流控等服務，控制層提供統一的控制和管理，比如協議計算、策略下發、鏈路信息收集等，轉發層提供硬件設備進行數據轉發，比如交換機、路由器、防火墻等。

一般SDN框架的控制層為OpenDaylight控制器平臺，即ODL，目前ODL的權限是基于AAA來實現的。

但AAA權限系統只能控制ODL控制器方面的權限，對于基于ODL技術自主開發的SDN軟件功能，權限無法覆蓋。

發明內容

本發明提供了一種基于SDN架構的權限控制方法、系統，下面進行具體說明。

一種基于SDN架構的權限控制方法，包括：

確定在SDN系統中的前端與業務層之間設置的權限控制模塊；

通過所述權限控制模塊，對所述前端的用戶請求進行攔截，校驗所述用戶請求對應的IP地址是否在白名單中；

若所述IP地址在所述白名單中，則檢查所述用戶請求對應的被請求功能與預先向所述用戶分配的操作權限中的功能是否一致；

若檢查一致，允許所述用戶請求執行。

在本申請的一種實施例中，檢查所述IP地址對應的用戶請求使用的功能和操作權限中的功能是否一致，具體包括：

獲得所述用戶請求中包含的統一資源定位符URL地址；

將所述URL地址和所述操作權限對應的URL地址進行匹配，確定是否一致。

在本申請的一種實施例中，允許所述用戶請求執行，具體包括：

允許所述用戶請求執行，調用業務層中的業務功能接口；

接收所述用戶請求對所述業務功能接口對應的功能的數據進行的查詢、修改、刪除、保存的操作。

在本申請的一種實施例中，檢查所述用戶請求對應的被請求功能與預先向所述用戶分配的操作權限中的功能是否一致之前，所述方法還包括：

判斷所述用戶請求對應的用戶角色；

若是管理員，則對所述管理員開放業務層的所有功能。

在本申請的一種實施例中，接收所述管理員的操作，對所述白名單中的IP地址進行增加、刪除、修改。

在本申請的一種實施例中，接收所述管理員的操作，對向所述用戶分配的操作權限進行增加、刪除、修改。

在本申請的一種實施例中，接收管理員設置用戶對數據的訪問權限，對用戶對系統數據的具體操作進行限制。

在本申請的一種實施例中，判斷所述IP地址不在白名單時，禁止用戶訪問系統并作出用戶沒有權限的提示。

一種基于SDN架構的權限控制系統，包括：

前端，用于給用戶展現瀏覽網頁，接收用戶操作；

權限控制模塊，用于篩選擁有權限的前端用戶進入業務層；