一种SDN控制器的访问控制方法及系统技术方案

技术编号:15519965 阅读:200 留言:0更新日期:2017-06-04 09:39
本发明专利技术公开了一种SDN控制器的访问控制方法及系统。本系统包括SDN控制器、交换机和至少一项北向应用;北向应用分为三种安全级别:管理员类别、网络配置类别和用户类别;其中,管理员类别允许读写数据平面中的设备数据;网络配置类别的北向应用允许读写数据平面中的用于管理转发数据包的控制数据,以及数据平面中的用于控制数据包转发的控制数据;用户类别允许读写数据平面中的转发数据;所述北向应用将用户分类在对应用的安全级别中;以及将用户信息以及访问请求发送给SDN控制器中对应的基础应用;该基础应用根据用户的安全级别确定该用户是否具有对所请求访问数据的访问权限,进行访问控制。本发明专利技术提高了SDN网络中网络信息的机密性。

Access control method and system for SDN controller

The invention discloses an access control method and a system of an SDN controller. The system comprises a SDN controller, the switch and the at least one north to the north; to the application is divided into three categories: administrators, security level network configuration categories and categories of users; the administrator category allows read and write device data in the data plane; network configuration category application allows north to read and write data in the plane for the management of data packet forwarding control, and the data plane control data for controlling data packet forwarding; user class allows you to read and write data in the data forwarding plane; the application of user classification in the north to the level of security to the application; and the user information and the access request to the SDN controller in the corresponding based on the application of the basic application; determine whether the user has access to the requested data access according to the user's security level, access control . The invention improves the confidentiality of the network information in the SDN network.

【技术实现步骤摘要】
一种SDN控制器的访问控制方法及系统
本专利技术属于SDN安全领域,涉及一种SDN控制器的访问控制方法及系统,以保护SDN网络中网络信息的机密性,提高SDN网络中控制器的可靠性,为SDN网络提供安全保证。
技术介绍
SDN网络(SoftwareDefinedNetwork,软件定义网络)是一种新型网络创新架构,其核心技术OpenFlow通过将网络设备控制面与数据面分离开来,从而实现了网络流量的灵活控制。与传统网络相比,SDN网络的基本特征有三点:其一是控制与转发分离,转发平面由受控转发的设备组成,转发方式以及业务逻辑由运行在分离出去的控制面上的控制应用所控制;其二是控制平面与转发平面之间的开放接口,SDN为控制平面提供开放可编程接口,通过这种方式,控制应用只需要关注自身逻辑,而不需要关注底层更多的实现细节;其三是逻辑上的集中控制,逻辑上集中的控制平面可以控制多个转发面设备,也就是控制整个物理网络,因而可以获得全局的网络状态视图,并根据该全局网络状态视图实现对网络的优化控制。由于在SDN网络中,控制器平面提供开放可编程接口,通过这种方式,控制器端的北向应用可以对控制器下发管理指令,通过交换机与控制器之间的openflow协议进行通信,这使得网络控制器的北向应用成为SDN网络的实际管理模块,同时也成为SDN网络的安全焦点,北向应用的访问控制以及其权限划分直接关系到整个网络的安全性。在现有的部署模式和安全手段下,由于北向应用可以获取整个系统的网络信息,网络信息成为一个公开的数据,难以保证SDN网络中网络信息的机密性。上述问题的根源在于控制器端存储的数据没有合理的访问控制规则,而SDN控制器存储的数据对于底层网络具有充分的描述,所以攻击者仅仅需要获取北向接口就可以获取整个网络的所有信息,只有对于这种数据进行包婚才能保证SDN控制器的安全性,才能保证整个网路的安全性。
技术实现思路
针对在现有SDN控制器北向应用的缺陷,本专利技术提供了一种SDN控制器的访问控制方法及系统,用以提高SDN网络中网络信息的机密性,提高SDN控制器的可靠性,为SDN网络提供安全保证。为实现上述目的,本专利技术采用如下技术方案:一种SDN控制器的访问控制方法,其中,SDN网络中的北向应用分为三种安全级别:管理员类别、网络配置类别和用户类别;管理员类别的北向应用允许读写数据平面中的设备数据,但无法读写数据平面中的转发数据;网络配置类别的北向应用允许读写数据平面中的用于管理转发数据包的控制数据,以及数据平面中的用于控制数据包转发的控制数据,但是不允许读写数据平面中的设备数据;用户类别的北向应用允许读写数据平面中的转发数据,但是不允许读写数据平面中的控制转发数据和设备数据;其步骤为:1)用户向北向应用发出资源请求,该资源请求中包括用户的认证信息、用户所请求的北向应用URL和资源类别;2)北向应用根据该资源请求中的认证信息对该用户进行认证;认证通过之后,该北向应用获取该用户的用户ID以及安全级别,并将用户ID、安全级别、该用户资源请求对应的北向应用ID以及访问请求发送给SDN控制器中对应的基础应用;3)该基础应用根据用户ID确定该用户所请求访问的数据类别,然后根据用户的安全级别确定该用户是否具有对所请求访问数据的访问权限;如果具有访问权限,则根据北向应用ID以及资源请求生成响应数据返回给该北向应用,否则拒绝访问。进一步的,该基础应用根据北向应用ID以及资源请求生成响应数据的方法为:该基础应用根据北向应用ID以及资源请求向SDN控制器发起查询请求,SDN控制器对该用户的查询请求进行验证,验证通过后将该查询请求转发给SDN控制器基础模块获取响应数据;其中,基础模块提供的北向接口包含用户的身份信息,并与SDN控制器中的基础应用信息一一对应。进一步的,所述认证信息包括用户名以及密码。进一步的,SDN控制器中设有一权限对应表,所述权限对应表记录北向应用与基础应用关于用户身份信息的一一对应关系。一种SDN控制器的访问控制系统,其特征在于,包括SDN控制器、交换机和至少一项北向应用;所述北向应用分为三种安全级别:管理员类别、网络配置类别和用户类别;其中,管理员类别允许读写数据平面中的设备数据,但无法读写数据平面中的转发数据;网络配置类别的北向应用允许读写数据平面中的用于管理转发数据包的控制数据,以及数据平面中的用于控制数据包转发的控制数据,但是不允许读写数据平面中的设备数据;用户类别允许读写数据平面中的转发数据,但是不允许读写数据平面中的控制转发数据和设备数据;所述北向应用,根据用户提供的身份认证信息,将用户分类在对应用的安全级别中;以及将用户的用户ID、安全级别、该用户资源请求对应的北向应用ID以及访问请求发送给SDN控制器中对应的基础应用;该基础应用根据用户ID确定该用户所请求访问的数据类别,然后根据用户的安全级别确定该用户是否具有对所请求访问数据的访问权限;如果具有访问权限,则根据北向应用ID以及资源请求生成响应数据返回给该北向应用,否则拒绝访问。本专利技术的访问控制系统,包括SDN控制器、交换机和至少一项北向应用;所述北向应用,负责将网络控制指令下发给控制器,并获取控制器的部分信息以及本应用相关的信息。本专利技术中北向应用被分为三种安全级别:管理员类别、网络配置类别和用户类别。管理员类别允许读写数据平面中的设备数据,此类北向应用可以对SDN网络本身的设备进行管理,但无法读写数据平面中的转发数据(即转发的数据包);网络配置类别允许读写数据平面中的用于管理转发的数据包的控制数据,如:流表,以及数据平面中用于控制数据包转发的控制数据,但是不允许读写数据平面中的设备数据;用户类别允许读写数据平面中的转发数据,但是不允许读写其余两类数据:数据平面中的控制转发数据和设备数据。管理员类别中的基础模块如附图1中所描述包括:设备管理、模块管理、内存管理以及拓扑发现;网络配置类别包括流表下发以及流表检测;用户类别包括数据包数据采集。由于SDN网络中是多用户环境,用户需要表明身份信息,用以确定SDN控制器中的数据是否是其所属数据。北向应用根据用户提供的身份认证信息对用户进行认证,认证通过之后,北向应用获取用户ID以及用户的安全级别,并将用户ID、安全级别、该用户资源请求对应的北向应用ID以及访问请求发送给基础应用。基础模块提供的北向接口同时包含用户的身份信息,并与SDN控制器中的基础应用信息一一对应。在用户调用数据的过程中,需要通过北向应用的身份认证。当北向应用对发起的请求通过认证之后,需要分类用户信息,并将用户身份信息以及其安全类别下发给基础应用,由基础应用进行认证之后,决定其是否有权限访问控制器中的对应数据。本专利技术采用上述系统的基于SDN控制器的北向应用访问控制方法,其步骤包括:1)用户发出资源请求,请求包括用户所请求的北向应用URL、资源类别、用户名以及密码;2)北向应用对用户进行认证;3)认证通过之后,北向应用获取用户ID以及用户的安全级别,并将用户ID、安全级别、该用户资源请求对应的北向应用ID以及访问请求发送给SDN控制器中对应的基础应用。4)基础应用根据用户ID确定用户所请求访问的数据类别,根据用户的安全级别确定是否具有访问权限,如果具有访问权限,则根据北向应用ID本文档来自技高网
...
一种SDN控制器的访问控制方法及系统

【技术保护点】
一种SDN控制器的访问控制方法,其中,SDN网络中的北向应用分为三种安全级别:管理员类别、网络配置类别和用户类别;管理员类别的北向应用允许读写数据平面中的设备数据,但无法读写数据平面中的转发数据;网络配置类别的北向应用允许读写数据平面中的用于管理转发数据包的控制数据,以及数据平面中的用于控制数据包转发的控制数据,但是不允许读写数据平面中的设备数据;用户类别的北向应用允许读写数据平面中的转发数据,但是不允许读写数据平面中的控制转发数据和设备数据;其步骤为:1)用户向北向应用发出资源请求,该资源请求中包括用户的认证信息、用户所请求的北向应用URL和资源类别;2)北向应用根据该资源请求中的认证信息对该用户进行认证;认证通过之后,该北向应用获取该用户的用户ID以及安全级别,并将用户ID、安全级别、该用户资源请求对应的北向应用ID以及访问请求发送给SDN控制器中对应的基础应用;3)该基础应用根据用户ID确定该用户所请求访问的数据类别,然后根据用户的安全级别确定该用户是否具有对所请求访问数据的访问权限;如果具有访问权限,则根据北向应用ID以及资源请求生成响应数据返回给该北向应用,否则拒绝访问。

【技术特征摘要】
1.一种SDN控制器的访问控制方法,其中,SDN网络中的北向应用分为三种安全级别:管理员类别、网络配置类别和用户类别;管理员类别的北向应用允许读写数据平面中的设备数据,但无法读写数据平面中的转发数据;网络配置类别的北向应用允许读写数据平面中的用于管理转发数据包的控制数据,以及数据平面中的用于控制数据包转发的控制数据,但是不允许读写数据平面中的设备数据;用户类别的北向应用允许读写数据平面中的转发数据,但是不允许读写数据平面中的控制转发数据和设备数据;其步骤为:1)用户向北向应用发出资源请求,该资源请求中包括用户的认证信息、用户所请求的北向应用URL和资源类别;2)北向应用根据该资源请求中的认证信息对该用户进行认证;认证通过之后,该北向应用获取该用户的用户ID以及安全级别,并将用户ID、安全级别、该用户资源请求对应的北向应用ID以及访问请求发送给SDN控制器中对应的基础应用;3)该基础应用根据用户ID确定该用户所请求访问的数据类别,然后根据用户的安全级别确定该用户是否具有对所请求访问数据的访问权限;如果具有访问权限,则根据北向应用ID以及资源请求生成响应数据返回给该北向应用,否则拒绝访问。2.如权利要求1所述的方法,其特征在于,该基础应用根据北向应用ID以及资源请求生成响应数据的方法为:该基础应用根据北向应用ID以及资源请求向SDN控制器发起查询请求,SDN控制器对该用户的查询请求进行验证,验证通过后将该查询请求转发给SDN控制器基础模块获取响应数据;其中,基础模块提供的北向接口包含用户的身份信息,并与SDN控制器中的基础应用信息一一对应。3.如权利要求1或2所述的方法,其特征在于,所述认证信息包括用户名以及密码。4.如权利要求1或2所述的方法,其特征在于,SDN控制器中设有一权限对应...

【专利技术属性】
技术研发人员:荀浩宋晨王利明史淼杨倩谢德俊
申请(专利权)人:中国科学院信息工程研究所
类型:发明
国别省市:北京,11

网友询问留言 已有0条评论
  • 还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。

1