The invention discloses an access control method and a system of an SDN controller. The system comprises a SDN controller, the switch and the at least one north to the north; to the application is divided into three categories: administrators, security level network configuration categories and categories of users; the administrator category allows read and write device data in the data plane; network configuration category application allows north to read and write data in the plane for the management of data packet forwarding control, and the data plane control data for controlling data packet forwarding; user class allows you to read and write data in the data forwarding plane; the application of user classification in the north to the level of security to the application; and the user information and the access request to the SDN controller in the corresponding based on the application of the basic application; determine whether the user has access to the requested data access according to the user's security level, access control . The invention improves the confidentiality of the network information in the SDN network.
【技术实现步骤摘要】
一种SDN控制器的访问控制方法及系统
本专利技术属于SDN安全领域,涉及一种SDN控制器的访问控制方法及系统,以保护SDN网络中网络信息的机密性,提高SDN网络中控制器的可靠性,为SDN网络提供安全保证。
技术介绍
SDN网络(SoftwareDefinedNetwork,软件定义网络)是一种新型网络创新架构,其核心技术OpenFlow通过将网络设备控制面与数据面分离开来,从而实现了网络流量的灵活控制。与传统网络相比,SDN网络的基本特征有三点:其一是控制与转发分离,转发平面由受控转发的设备组成,转发方式以及业务逻辑由运行在分离出去的控制面上的控制应用所控制;其二是控制平面与转发平面之间的开放接口,SDN为控制平面提供开放可编程接口,通过这种方式,控制应用只需要关注自身逻辑,而不需要关注底层更多的实现细节;其三是逻辑上的集中控制,逻辑上集中的控制平面可以控制多个转发面设备,也就是控制整个物理网络,因而可以获得全局的网络状态视图,并根据该全局网络状态视图实现对网络的优化控制。由于在SDN网络中,控制器平面提供开放可编程接口,通过这种方式,控制器端的北向应用可以对控制器下发管理指令,通过交换机与控制器之间的openflow协议进行通信,这使得网络控制器的北向应用成为SDN网络的实际管理模块,同时也成为SDN网络的安全焦点,北向应用的访问控制以及其权限划分直接关系到整个网络的安全性。在现有的部署模式和安全手段下,由于北向应用可以获取整个系统的网络信息,网络信息成为一个公开的数据,难以保证SDN网络中网络信息的机密性。上述问题的根源在于控制器端存储的数据没有合理的 ...
【技术保护点】
一种SDN控制器的访问控制方法,其中,SDN网络中的北向应用分为三种安全级别:管理员类别、网络配置类别和用户类别;管理员类别的北向应用允许读写数据平面中的设备数据,但无法读写数据平面中的转发数据;网络配置类别的北向应用允许读写数据平面中的用于管理转发数据包的控制数据,以及数据平面中的用于控制数据包转发的控制数据,但是不允许读写数据平面中的设备数据;用户类别的北向应用允许读写数据平面中的转发数据,但是不允许读写数据平面中的控制转发数据和设备数据;其步骤为:1)用户向北向应用发出资源请求,该资源请求中包括用户的认证信息、用户所请求的北向应用URL和资源类别;2)北向应用根据该资源请求中的认证信息对该用户进行认证;认证通过之后,该北向应用获取该用户的用户ID以及安全级别,并将用户ID、安全级别、该用户资源请求对应的北向应用ID以及访问请求发送给SDN控制器中对应的基础应用;3)该基础应用根据用户ID确定该用户所请求访问的数据类别,然后根据用户的安全级别确定该用户是否具有对所请求访问数据的访问权限;如果具有访问权限,则根据北向应用ID以及资源请求生成响应数据返回给该北向应用,否则拒绝访问。
【技术特征摘要】
1.一种SDN控制器的访问控制方法,其中,SDN网络中的北向应用分为三种安全级别:管理员类别、网络配置类别和用户类别;管理员类别的北向应用允许读写数据平面中的设备数据,但无法读写数据平面中的转发数据;网络配置类别的北向应用允许读写数据平面中的用于管理转发数据包的控制数据,以及数据平面中的用于控制数据包转发的控制数据,但是不允许读写数据平面中的设备数据;用户类别的北向应用允许读写数据平面中的转发数据,但是不允许读写数据平面中的控制转发数据和设备数据;其步骤为:1)用户向北向应用发出资源请求,该资源请求中包括用户的认证信息、用户所请求的北向应用URL和资源类别;2)北向应用根据该资源请求中的认证信息对该用户进行认证;认证通过之后,该北向应用获取该用户的用户ID以及安全级别,并将用户ID、安全级别、该用户资源请求对应的北向应用ID以及访问请求发送给SDN控制器中对应的基础应用;3)该基础应用根据用户ID确定该用户所请求访问的数据类别,然后根据用户的安全级别确定该用户是否具有对所请求访问数据的访问权限;如果具有访问权限,则根据北向应用ID以及资源请求生成响应数据返回给该北向应用,否则拒绝访问。2.如权利要求1所述的方法,其特征在于,该基础应用根据北向应用ID以及资源请求生成响应数据的方法为:该基础应用根据北向应用ID以及资源请求向SDN控制器发起查询请求,SDN控制器对该用户的查询请求进行验证,验证通过后将该查询请求转发给SDN控制器基础模块获取响应数据;其中,基础模块提供的北向接口包含用户的身份信息,并与SDN控制器中的基础应用信息一一对应。3.如权利要求1或2所述的方法,其特征在于,所述认证信息包括用户名以及密码。4.如权利要求1或2所述的方法,其特征在于,SDN控制器中设有一权限对应...
【专利技术属性】
技术研发人员:荀浩,宋晨,王利明,史淼,杨倩,谢德俊,
申请(专利权)人:中国科学院信息工程研究所,
类型:发明
国别省市:北京,11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。