一种SDN架构下虚拟网络接入鉴权系统技术方案

本发明专利技术提供了一种SDN架构下虚拟网络接入鉴权系统，包括：虚拟机，虚拟机内部部署有认证客户端，负责802.1x认证、注销的发起；虚拟交换机，部署于虚拟机的宿主机内，用于根据SDN控制器下发的OpenFlow流表对端口进行授权以及对虚拟机流量进行转发；SDN控制器，部署于云平台中，与虚拟交换机的管理网络连接，转发认证报文至认证服务器，基于验证结果与入网信息，生成OpenFlow流表指导交换机进行转发；认证服务器，用于验证认证报文信息，返回验证结果与入网信息至SDN控制器。本发明专利技术实现了云计算环境下基于SDN和802.1X协议的虚拟机接入认证、授权、注销的完整流程和功能。注销的完整流程和功能。注销的完整流程和功能。

【技术实现步骤摘要】
一种SDN架构下虚拟网络接入鉴权系统


[0001]本专利技术涉及虚拟机网络接入领域，特别涉及一种SDN架构下虚拟网络接入鉴权系统。

技术介绍

[0002]近年来，云计算作为一种新的计算模式，已快速发展成为一个新兴研究和应用领域，得到了越来越多的关注和广泛的应用，在数字化转型的浪潮下，各行各业传统业务系统都在向云上迁移。云计算环境中大量使用虚拟化技术，将原本固定、不易伸缩的物理资源，通过“软件定义”的方式抽象为可灵活配置、弹性伸缩的虚拟资源，这种模式极大的提高了资源利用率和使用的灵活性，但也存在一定的安全隐患。在虚拟机的网络接入方面，由于在目前基于SDN的云计算虚拟化网络环境下，缺乏有效的接入鉴权机制，原有防火墙、主机防火墙等边界防护手段无法有效、准确的阻止云内虚机对租户网络的非授权访问，所以发展适应云内虚拟资源动态变化、迁移的虚拟网络接入鉴权技术势在必行。
[0003]传统的接入鉴权机制基于局域网接入鉴权协议(802.1x协议)，建立在对传统网络的构建基础之上，通过基于物理交换机端口实现接入鉴权。然而，在基于SDN架构的云计算环境下，同一宿主机中的虚拟机共用一个物理网卡，使用同一个交换机端口接入网络，导致传统的接入鉴权方案无法实现对单个虚拟机的接入鉴权控制；同时，同一宿主机内部的虚拟机间通讯通过内部虚拟交换机，导致通过物理交换机端口进行接入鉴权的方式无法生效。

技术实现思路

[0004]针对云计算环境下虚拟机的网络接入鉴权问题，为了最大程度保持和现行技术体制的一致，兼容现有身份管理、认证鉴权系统，实现接入鉴权方案从物理环境到虚拟化环境的平滑迁移，提出了一种基于802.1x的SDN架构下虚拟机网络接入鉴权系统，实现云计算环境中虚拟机的接入鉴权。
[0005]本专利技术采用的技术方案如下：一种SDN架构下虚拟网络接入鉴权系统，包括：
[0006]虚拟机，虚拟机内部部署有认证客户端，负责802.1x认证、注销的发起；
[0007]虚拟交换机，部署于虚拟机的宿主机内，用于根据SDN控制器下发的OpenFlow流表对端口进行授权以及对虚拟机流量进行转发；
[0008]SDN控制器，部署于云平台中，与虚拟交换机的管理网络连接，转发认证报文至认证服务器，基于验证结果与入网信息，生成OpenFlow流表指导虚拟交换机进行转发；
[0009]认证服务器，用于验证认证报文信息，返回验证结果与入网信息至SDN控制器；
[0010]其中，虚拟机初次启动时，虚拟交换机向SDN控制器注册虚拟机端口，SDN控制器下发初始流表策略至虚拟交换机，禁止除EAPoL协议包之外的数据报通过。
[0011]进一步的，宿主机内设有多个虚拟机，每个虚拟机均部署有认证客户端。
[0012]进一步的，所述虚拟交换机包括接口授权模块和报文转发模块，接口授权模块用
于根据OpenFlow流表完成虚拟接口的授权和访问控制策略的配置；报文转发模块，用于将认证客户端发送的报文转发至SDN控制器。
[0013]进一步的，所述SDN控制器还包括认证管理模块与流表控制模块，认证管理模块用于转发认证报文并根据认证服务器返回的入网信息生成OpenFlow流表，流表控制模块用于将OpenFlow流表下发至虚拟交换机。
[0014]进一步的，所述认证服务器包括认证模块和授权模块，所述认证模块用于根据认证报文配合认证客户端实现虚拟机的认证鉴权，授权模块负责维护和管理虚拟机的网络访问权限，并在认证成功后返回入网信息至SDN控制器。
[0015]进一步的，认证过程具体为：
[0016]步骤1、虚拟机启动，虚拟交换机向SDN控制器注册虚拟机端口；
[0017]步骤2、SDN控制器下发初始流表策略给虚拟交换机，禁止除EAPoL协议包之外的数据包通过；
[0018]步骤3、认证客户端发起认证，通过EAPoL协议发送认证报文到虚拟交换机；
[0019]步骤4、虚拟交换机收到认证报文后，转发至SDN控制器；
[0020]步骤5、SDN控制器将认证报文通过EAPoR协议格式封装发送给认证服务器进行认证；
[0021]步骤6、认证服务器接收到认证报文后进行验证，验证通过后发送入网信息至SDN控制器；
[0022]步骤7、SDN控制器将入网信息翻译成Openflow流表下发至虚拟交换机；
[0023]步骤8、虚拟交换机通过Openflow流表完成虚拟接口的授权和访问控制策略的配置，并对虚拟机网卡对应的端口进行授权；
[0024]步骤9、虚拟交换机发送认证成功帧给认证客户端，完成虚拟机入网认证。
[0025]进一步的，注销过程为：
[0026]步骤A、认证客户端提出注销请求，发送注销报文至虚拟交换机；
[0027]步骤B、虚拟交换机将注销报文转发给SDN控制器；
[0028]步骤C、SDN控制器根据注销报文中的出网信息翻译成Openflow流表，并下发给虚拟机交换机；
[0029]步骤D、虚拟交换机通过Openflow流表将相应的端口状态从授权状态改变成未授权状态、并删除相应的访问控制策略；
[0030]步骤E、虚拟交换机发送认证失败帧给客户端，注销流程结束。
[0031]与现有技术相比，采用上述技术方案的有益效果为：本专利技术实现了云计算环境下基于SDN和802.1X协议的虚拟机接入认证、授权、注销的完整流程和功能，可以沿用物理环境的认证客户端和服务端，具有较强的普适性；端口授权方面，基于最流行的OVS虚拟交换机和OpenFlow协议设计，能够兼容大多数的云计算平台。
附图说明
[0032]图1为本专利技术提出的SDN架构下虚拟网络接入鉴权系统组成图
[0033]图2为本专利技术提出的虚拟网络接入鉴权系统中认证与注销过程示意图。
具体实施方式
[0034]下面详细描述本申请的实施例，所述实施例的示例在附图中示出，其中自始至终相同或类似的标号表示相同或类似的模块或具有相同或类似功能的模块。下面通过参考附图描述的实施例是示例性的，仅用于解释本申请，而不能理解为对本申请的限制。相反，本申请的实施例包括落入所附加权利要求书的精神和内涵范围内的所有变化、修改和等同物。
[0035]基于对802.1X协议工作原理和SDN架构的研究和分析，认证的客户端和认证服务器可以复用物理环境的现有系统，实现基于虚拟端口的接入鉴权的关键是需要解决虚拟化环境下EAP报文的传递问题和非授权状态的端口访问权限限制问题。本实施例提出了一种SDN架构下虚拟网络接入鉴权系统，具体包括：
[0036]虚拟机，虚拟机内部部署有认证客户端，负责802.1x认证、注销的发起；
[0037]虚拟交换机，部署于虚拟机的宿主机内，用于根据SDN控制器下发的OpenFlow流表进行端口授权以及对虚拟机流量进行转发，同时在认证的初始阶段实现非认证报文的过滤。
[0038]SDN控制器，部署于云平台中，与虚本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种SDN架构下虚拟网络接入鉴权系统，其特征在于，包括：虚拟机，虚拟机内部部署有认证客户端，负责802.1x认证、注销的发起；虚拟交换机，部署于虚拟机的宿主机内，用于根据SDN控制器下发的OpenFlow流表对端口进行授权以及对虚拟机流量进行转发；SDN控制器，部署于云平台中，与虚拟交换机的管理网络连接，转发认证报文至认证服务器，基于验证结果与入网信息，生成OpenFlow流表指导虚拟交换机进行转发；认证服务器，用于验证认证报文信息，返回验证结果与入网信息至SDN控制器；其中，虚拟机初次启动时，虚拟交换机向SDN控制器注册虚拟机端口，SDN控制器下发初始流表策略至虚拟交换机，禁止除EAPoL协议包之外的数据报通过。2.根据权利要求1所述的SDN架构下虚拟网络接入鉴权系统，其特征在于，宿主机内设有多个虚拟机，每个虚拟机均部署有认证客户端。3.根据权利要求1或2所述的SDN架构下虚拟网络接入鉴权系统，其特征在于，所述虚拟交换机包括接口授权模块和报文转发模块，接口授权模块用于根据OpenFlow流表完成虚拟接口的授权和访问控制策略的配置；报文转发模块，用于将认证客户端发送的报文转发至SDN控制器。4.根据权利要求3所述的SDN架构下虚拟网络接入鉴权系统，其特征在于，所述SDN控制器还包括认证管理模块与流表控制模块，认证管理模块用于转发认证报文并根据认证服务器返回的入网信息生成OpenFlow流表，流表控制模块用于将OpenFlow流表下发至虚拟交换机。5.根据权利要求4所述的SDN架构下虚拟网络接入鉴权系统，其特征在于，所述认证服务器包括认证模块和授权模块，所述认证模块用于...

【专利技术属性】
技术研发人员：金鑫，王瑞，尚旭，王进，周志龙，林琦力，汪汇林，
申请(专利权)人：中国电子科技集团公司第三十研究所，
类型：发明
国别省市：