一种Portal认证方法及装置制造方法及图纸

本发明专利技术提供一种Portal认证方法及装置，该方法包括：portal控制器接收openflow交换机上送的与第一重定向流表相匹配的数据流；发起对数据流的源端进行认证，在认证通过时，记录源端的认证信息，并下发转发策略给openflow控制器；接收openflow控制器发送的认证查询请求；当本地存在源端的认证信息时，发送认证通过通知给openflow控制器，以由openflow控制器生成从源端至与第二重定向流表相匹配的数据流的目的端的转发流表并发送到openflow交换机，指导openflow交换机根据转发流表对匹配的数据流进行转发。本发明专利技术实现了SDN中的portal认证。

【技术实现步骤摘要】

本专利技术涉及通信
，尤其涉及一种Portal认证方法及装置。
技术介绍
门户(Portal)认证通常也称为Web认证，一般将Portal认证网站称为门户网站。当用户需要使用互联网中的受限资源时，需要登录到特定站点进输入用户名、密码等认证凭据进行接入认证，在认证通过后才可以使用互联网资源。SDN(SoftwareDefinedNetwork，软件定义网络)的核心思想是将网络设备的控制层面与转发层面分离，以实现通过SDN控制器对网络流量的灵活控制。随着SDN中支持OpenFlow协议的交换机大规模的应用，逐渐代替了传统网络架构，因此如何将传统网络中的Portal认证与SDN相结合成为亟待解决的问题。
技术实现思路
有鉴于此，本专利技术提供一种Portal认证方法及装置来解决现有技术在SDN中无法实现portal认证的问题。具体地，本专利技术是通过如下技术方案实现的：本专利技术提供一种Portal认证方法，所述方法应用于SDN中的portal控制器，所述方法包括：接收openflow交换机上送的与第一重定向流表相匹配的数据流，所述第一重定向流表是由openflow控制器根据portal控制器下发的重定向策略生成后下发给openflow交换机的，用于指导openflow交换机将入接口为用户接入的接口且报文类型为预设类型的数据流上送到portal控制器；发起对所述数据流的源端进行认证，在认证通过时，记录所述源端的认证信息，并下发转发策略给openflow控制器，以使openflow控制器根据所述转发策略生成第二重定向流表并下发至openflow交换机，用于指导openflow交换机将源IP地址为所述源端的IP地址的数据流上送到openflow控制器，所述第二重定向流表的优先级大于所述第一重定向流表的优先级；接收openflow控制器发送的认证查询请求，所述认证查询请求是openflow控制器在接收到所述openflow交换机上送的与所述第二重定向流表相匹配的数据流后发送的；当本地存在所述源端的认证信息时，发送认证通过通知给openflow控制器，以由openflow控制器生成从所述源端至与所述第二重定向流表相匹配的数据流的目的端的转发流表并发送到openflow交换机，指导openflow交换机根据所述转发流表对匹配的数据流进行转发。进一步的，发起对所述数据流的源端进行认证包括：判断所述数据流是否访问本地的HTTP页面，如果否，将本地的认证页面发送给源端；获取源端在认证页面输入的认证信息；发起对所述认证信息的认证。进一步的，当本地不存在所述源端的认证信息时，所述方法还包括：发送认证未通过通知给openflow控制器，以由openflow控制器通知openflow交换机删除所述第二重定向流表。本专利技术还提供另一种Portal认证方法，所述方法应用于SDN中的openflow控制器，所述SDN中还包括portal控制器，所述方法包括：接收portal控制器下发的重定向策略，根据所述重定向策略生成第一重定向流表并下发至openflow交换机，所述第一重定向流表用于指导openflow交换机将入接口为用户接入的接口且报文类型为预设类型的数据流上送到portal控制器；接收portal控制器下发的转发策略，根据所述转发策略生成第二重定向流表并下发至openflow交换机，所述转发策略为portal控制器在发起对所述数据流的源端进行认证，并在认证通过时记录所述源端的认证信息后发送的，所述第二重定向流表用于指导openflow交换机将源IP地址为所述源端的IP地址的数据流上送到openflow控制器，所述第二重定向流表的优先级大于所述第一重定向流表的优先级；接收openflow交换机上送的与所述第二重定向流表相匹配的数据流，向portal控制器发送认证查询请求；接收portal控制器在本地存在所述源端的认证信息时发送的认证通过通知，生成从所述源端至与所述第二重定向流表相匹配的数据流的目的端的转发流表并发送到openflow交换机，指导openflow交换机根据所述转发流表对匹配的数据流进行转发。进一步的，所述方法还包括：接收portal控制器在本地不存在所述源端的认证信息时发送的认证未通过通知；通知openflow交换机删除所述第二重定向流表。基于相同的构思，本专利技术还提供一种Portal认证装置，所述装置应用于SDN中的portal控制器，所述装置包括：第一接收单元，用于接收openflow交换机上送的与第一重定向流表相匹配的数据流，所述第一重定向流表是由openflow控制器根据portal控制器下发的重定向策略生成后下发给openflow交换机的，用于指导openflow交换机将入接口为用户接入的接口且报文类型为预设类型的数据流上送到portal控制器；下发单元，用于发起对所述数据流的源端进行认证，在认证通过时，记录所述源端的认证信息，并下发转发策略给openflow控制器，以使openflow控制器根据所述转发策略生成第二重定向流表并下发至openflow交换机，用于指导openflow交换机将源IP地址为所述源端的IP地址的数据流上送到openflow控制器，所述第二重定向流表的优先级大于所述第一重定向流表的优先级；第二接收单元，用于接收openflow控制器发送的认证查询请求，所述认证查询请求是openflow控制器在接收到所述openflow交换机上送的与所述第二重定向流表相匹配的数据流后发送的；通知发送单元，用于当本地存在所述源端的认证信息时，发送认证通过通知给openflow控制器，以由openflow控制器生成从所述源端至与所述第二重定向流表相匹配的数据流的目的端的转发流表并发送到openflow交换机，指导openflow交换机根据所述转发流表对匹配的数据流进行转发。进一步的，所述下发单元，具体用于：判断所述数据流是否访问本地的HTTP页面，如果否，将本地的认证页面发送给源端；获取源端在认证页面输入的认证信息；发起对所述认证信息的认证。进一步的，所述通知发送单元，还用于当本地不存在所述源端的认证信息时，发送认证未通过通知给openflow控制器，以由openflow控制器通知openflow交换机删除所述第二重定向流表。本专利技术还提供另一种Portal认证装置，所述装置应用于SDN中的openflow控制器，所述SDN中还包括portal控制器，所述装置包括：第一接收单元，用于接收portal控制器下发的重定向策略，根据所述重定向策略生成第一重定向流表并下发至openflow交换机，所述第一重定向流表用于指导openflow交换机将入接口为用户接口且报文类型为预设类型的数据流上送到portal控制器；第二接收单元，用于接收portal控制器下发的转发策略，根据所述转发策略生成第二重定向流表并下发至openflow交换机，所述转发策略为portal控制器在发起对所述数据流的源端进行认证，并在认证通过时记录所述源端的认证信息后发送的，所述第二重定向流表用于指导openflow交换机将源IP地址为所述源端的IP地址的数据流上送到openflow控制器，所述第二重定向流表的优先级大于所述第一重定向流表的优先级；认本文档来自技高网...

【技术保护点】
一种门户Portal认证方法，其特征在于，所述方法应用于软件定义网络SDN中的portal控制器，所述方法包括：接收openflow交换机上送的与第一重定向流表相匹配的数据流，所述第一重定向流表是由openflow控制器根据portal控制器下发的重定向策略生成后下发给openflow交换机的，用于指导openflow交换机将入接口为用户接入的接口且报文类型为预设类型的数据流上送到portal控制器；发起对所述数据流的源端进行认证，在认证通过时，记录所述源端的认证信息，并下发转发策略给openflow控制器，以使openflow控制器根据所述转发策略生成第二重定向流表并下发至openflow交换机，用于指导openflow交换机将源IP地址为所述源端的IP地址的数据流上送到openflow控制器，所述第二重定向流表的优先级大于所述第一重定向流表的优先级；接收openflow控制器发送的认证查询请求，所述认证查询请求是openflow控制器在接收到所述openflow交换机上送的与所述第二重定向流表相匹配的数据流后发送的；当本地存在所述源端的认证信息时，发送认证通过通知给openflow控制器，以由openflow控制器生成从所述源端至与所述第二重定向流表相匹配的数据流的目的端的转发流表并发送到openflow交换机，指导openflow交换机根据所述转发流表对匹配的数据流进行转发。...

【技术特征摘要】
1.一种门户Portal认证方法，其特征在于，所述方法应用于软件定义网络SDN中的portal控制器，所述方法包括：接收openflow交换机上送的与第一重定向流表相匹配的数据流，所述第一重定向流表是由openflow控制器根据portal控制器下发的重定向策略生成后下发给openflow交换机的，用于指导openflow交换机将入接口为用户接入的接口且报文类型为预设类型的数据流上送到portal控制器；发起对所述数据流的源端进行认证，在认证通过时，记录所述源端的认证信息，并下发转发策略给openflow控制器，以使openflow控制器根据所述转发策略生成第二重定向流表并下发至openflow交换机，用于指导openflow交换机将源IP地址为所述源端的IP地址的数据流上送到openflow控制器，所述第二重定向流表的优先级大于所述第一重定向流表的优先级；接收openflow控制器发送的认证查询请求，所述认证查询请求是openflow控制器在接收到所述openflow交换机上送的与所述第二重定向流表相匹配的数据流后发送的；当本地存在所述源端的认证信息时，发送认证通过通知给openflow控制器，以由openflow控制器生成从所述源端至与所述第二重定向流表相匹配的数据流的目的端的转发流表并发送到openflow交换机，指导openflow交换机根据所述转发流表对匹配的数据流进行转发。2.根据权利要求1所述的方法，其特征在于，发起对所述数据流的源端进行认证包括：判断所述数据流是否访问本地的HTTP页面，如果否，将本地的认证页面发送给源端；获取源端在认证页面输入的认证信息；发起对所述认证信息的认证。3.根据权利要求1所述的方法，其特征在于，当本地不存在所述源端的认证信息时，所述方法还包括：发送认证未通过通知给openflow控制器，以由openflow控制器通知openflow交换机删除所述第二重定向流表。4.一种门户Portal认证方法，其特征在于，所述方法应用于软件定义网络SDN中的openflow控制器，所述SDN中还包括portal控制器，所述方法包括：接收portal控制器下发的重定向策略，根据所述重定向策略生成第一重定向流表并下发至openflow交换机，所述第一重定向流表用于指导openflow交换机将入接口为用户接入的接口且报文类型为预设类型的数据流上送到portal控制器；接收portal控制器下发的转发策略，根据所述转发策略生成第二重定向流表并下发至openflow交换机，所述转发策略为portal控制器在发起对所述数据流的源端进行认证，并在认证通过时记录所述源端的认证信息后发送的，所述第二重定向流表用于指导openflow交换机将源IP地址为所述源端的IP地址的数据流上送到openflow控制器，所述第二重定向流表的优先级大于所述第一重定向流表的优先级；接收openflow交换机上送的与所述第二重定向流表相匹配的数据流，向portal控制器发送认证查询请求；接收portal控制器在本地存在所述源端的认证信息时发送的认证通过通知，生成从所述源端至与所述第二重定向流表相匹配的数据流的目的端的转发流表并发送到openflow交换机，指导openflow交换机根据所述转发流表对匹配的数据流进行转发。5.根据权利要求4所述的方法，其特征在于，所述方法还包括：接收portal控制器在本地不存在所述源端的认证信息时发送的认证未通过通知；通知openflow交换机删除所述第二重定向流表。6.一种门户Portal认证装置，其特征在于，...

【专利技术属性】
技术研发人员：张永昌，
申请(专利权)人：杭州华三通信技术有限公司，
类型：发明
国别省市：浙江;33