亚洲成年人黄色一级片,日本香港三级亚洲三级,黄色成人小视频,国产青草视频,国产一区二区久久精品,91在线免费公开视频,成年轻人网站色直接看

一種基于流的網(wǎng)絡(luò)接入控制方法

文檔序號(hào):7769278閱讀:149來(lái)源:國(guó)知局
一種基于流的網(wǎng)絡(luò)接入控制方法
【專(zhuān)利摘要】本發(fā)明公開(kāi)了一種基于流的網(wǎng)絡(luò)接入控制方法,為每個(gè)用戶(hù)身份配置至少一個(gè)權(quán)限等級(jí),不同用戶(hù)身份的用戶(hù)訪(fǎng)問(wèn)不同應(yīng)用時(shí)具有相應(yīng)地所需訪(fǎng)問(wèn)權(quán)限,各用戶(hù)可以通過(guò)不同等級(jí)的權(quán)限登錄,從而實(shí)現(xiàn)不同應(yīng)用資源的訪(fǎng)問(wèn)。當(dāng)接入控制器接收到屬于新流的數(shù)據(jù)包時(shí),將其轉(zhuǎn)發(fā)給流控制器,流控制器對(duì)數(shù)據(jù)包進(jìn)行分析判斷,包括用戶(hù)是否登錄、當(dāng)前權(quán)限等級(jí)是否滿(mǎn)足等,根據(jù)不同情況,下發(fā)對(duì)應(yīng)的流表項(xiàng)給接入控制器,指導(dǎo)接入控制器的流處理。本發(fā)明用于對(duì)網(wǎng)絡(luò)接入進(jìn)行控制,將用戶(hù)身份和應(yīng)用統(tǒng)一進(jìn)行多級(jí)權(quán)限劃分,從而實(shí)現(xiàn)多用戶(hù)、多應(yīng)用的訪(fǎng)問(wèn)控制,適應(yīng)于日益復(fù)雜的網(wǎng)絡(luò)需要。
【專(zhuān)利說(shuō)明】—種基于流的網(wǎng)絡(luò)接入控制方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明屬于網(wǎng)絡(luò)接入【技術(shù)領(lǐng)域】,更為具體地講,涉及一種基于流的網(wǎng)絡(luò)接入控制方法。
【背景技術(shù)】
[0002]隨著各行各業(yè)的信息化程度不斷提高、用戶(hù)設(shè)備的日益多樣化,來(lái)自于病毒、木馬、外部人員甚至是內(nèi)部人員的不安全因素,給網(wǎng)絡(luò)安全管理帶來(lái)的嚴(yán)峻的考驗(yàn)。
[0003]傳統(tǒng)的網(wǎng)絡(luò)接入控制包括802.1X (基于端口的網(wǎng)絡(luò)接入控制)認(rèn)證和動(dòng)態(tài)接入控制等方式。
[0004]802.1X認(rèn)證包括三部分:請(qǐng)求者、認(rèn)證者和認(rèn)證服務(wù)器。請(qǐng)求者是希望接入到局域網(wǎng)的設(shè)備(如筆記本)。認(rèn)證者是一種網(wǎng)絡(luò)設(shè)備,可以是以太網(wǎng)交換機(jī)或者無(wú)線(xiàn)接入點(diǎn),負(fù)責(zé)轉(zhuǎn)發(fā)認(rèn)證信息、控制請(qǐng)求者的網(wǎng)絡(luò)訪(fǎng)問(wèn)。認(rèn)證服務(wù)器則是根據(jù)認(rèn)證者的信息,對(duì)請(qǐng)求者進(jìn)行最終的身份認(rèn)證的設(shè)備。初始化階段,請(qǐng)求者所連接的交換機(jī)(認(rèn)證者)的端口設(shè)置為“未授權(quán)”的狀態(tài)。若端口處于“未授權(quán)”狀態(tài),只允許802.1X報(bào)文通過(guò),其它報(bào)文(如IP協(xié)議報(bào)文)都會(huì)被丟棄。請(qǐng)求者發(fā)起身份認(rèn)證請(qǐng)求,認(rèn)證者轉(zhuǎn)發(fā)認(rèn)證請(qǐng)求至認(rèn)證服務(wù)器,開(kāi)始用戶(hù)身份的認(rèn)證,若認(rèn)證通過(guò),請(qǐng)求者所連接的端口進(jìn)入“已授權(quán)”狀態(tài),用戶(hù)可以正常進(jìn)行網(wǎng)絡(luò)訪(fǎng)問(wèn)。
[0005]動(dòng)態(tài)接入控制:根據(jù)連接到交換機(jī)端口上的設(shè)備所發(fā)送的數(shù)據(jù)包的源MAC地址,把該交換機(jī)端口動(dòng)態(tài)分配到相應(yīng)的VLAN。例如,Cisco設(shè)備則通過(guò)VMPS(VLAN ManagementPolicy Server,管理策略服務(wù)器)技術(shù)來(lái)實(shí)現(xiàn)動(dòng)態(tài)接入控制。通過(guò)基于端口的VLAN動(dòng)態(tài)分配,除了可隔離非法設(shè)備,還可以對(duì)合法設(shè)備進(jìn)行進(jìn)一步的劃分,如不同部門(mén)間的訪(fǎng)問(wèn)隔離。
[0006]802.1X認(rèn)證和動(dòng)態(tài)接入控制本質(zhì)上都是基于“用戶(hù)身份”的接入控制。802.1X中根據(jù)用戶(hù)身份信息的認(rèn)證是否通過(guò),決定設(shè)備所連接的端口狀態(tài)為“已授權(quán)”還是“未授權(quán)”。動(dòng)態(tài)接入控制中,使用設(shè)備的源MAC地址作為用戶(hù)身份的標(biāo)識(shí),根據(jù)用戶(hù)身份,把設(shè)備所連的端口分配到相應(yīng)的VLAN中。
[0007]隨著網(wǎng)絡(luò)技術(shù)發(fā)展,目前現(xiàn)實(shí)的企業(yè)網(wǎng)絡(luò)或者園區(qū)網(wǎng)絡(luò)中,存在“用戶(hù)身份”和“應(yīng)用”的多樣性,“用戶(hù)身份”的多樣性主要體現(xiàn)在企業(yè)中部門(mén)的多樣性和職位的多樣性,即不同的部門(mén)中有著多種職位,如劃分管理層和一般員工?!皯?yīng)用”的多樣性主要體現(xiàn)在部門(mén)的多樣性和資源的多樣性,例如各個(gè)部門(mén)中有著各自獨(dú)享的不同訪(fǎng)問(wèn)等級(jí)的資源,也存在可以共享的資源。802.1X認(rèn)證和動(dòng)態(tài)接入控制所提供的基于“用戶(hù)身份”的接入控制雖然簡(jiǎn)單,但無(wú)法適應(yīng)“用戶(hù)身份”多樣、“應(yīng)用”多樣的接入控制,因此需要更加靈活定義、綜合考慮的接入控制方式,適應(yīng)“用戶(hù)身份”和“應(yīng)用”的多樣性。

【發(fā)明內(nèi)容】

[0008]本發(fā)明的目的在于克服現(xiàn)有技術(shù)的不足,提供一種基于流的網(wǎng)絡(luò)接入控制方法,通過(guò)流的匹配來(lái)實(shí)現(xiàn)用戶(hù)身份、應(yīng)用類(lèi)型的匹配,在多用戶(hù)身份、多應(yīng)用的網(wǎng)絡(luò)環(huán)境中實(shí)現(xiàn)靈活多樣的接入控制。
[0009]為實(shí)現(xiàn)上述發(fā)明目的,本發(fā)明基于流的網(wǎng)絡(luò)接入控制方法,包括以下步驟:
[0010]S1:在信息存儲(chǔ)器中存儲(chǔ)系統(tǒng)的配置信息和狀態(tài)信息,配置信息包括:流匹配項(xiàng)與應(yīng)用的映射關(guān)系,用戶(hù)身份、應(yīng)用與訪(fǎng)問(wèn)權(quán)限的映射關(guān)系,每個(gè)用戶(hù)身份具有的權(quán)限等級(jí)與對(duì)應(yīng)密碼,其中每個(gè)用戶(hù)身份具有至少一個(gè)權(quán)限等級(jí);狀態(tài)信息包括:流匹配項(xiàng)與用戶(hù)身份的映射關(guān)系,用戶(hù)登錄狀態(tài)與當(dāng)前權(quán)限等級(jí);
[0011]S2:接入控制器從來(lái)自用戶(hù)或應(yīng)用資源服務(wù)器的數(shù)據(jù)包中提取流匹配項(xiàng),與本地流表的流表項(xiàng)進(jìn)行匹配,如果不存在匹配的流表項(xiàng),進(jìn)入步驟S3 ;如果存在匹配的流表項(xiàng),進(jìn)入步驟S12 ;
[0012]S3:接入控制器將數(shù)據(jù)包轉(zhuǎn)發(fā)至流控制器,進(jìn)入步驟S4 ;
[0013]S4:流控制器根據(jù)數(shù)據(jù)包中的應(yīng)用流匹配項(xiàng)從信息存儲(chǔ)器中存儲(chǔ)的流匹配項(xiàng)與應(yīng)用的映射關(guān)系查詢(xún)得到應(yīng)用類(lèi)型,判斷該應(yīng)用是否為無(wú)需權(quán)限認(rèn)證的默認(rèn)應(yīng)用,如果是,進(jìn)入步驟S9,如果不是,進(jìn)入步驟S5 ;
[0014]S5:流控制器提取數(shù)據(jù)包中的用戶(hù)流匹配項(xiàng),從信息存儲(chǔ)器中存儲(chǔ)的流匹配項(xiàng)與用戶(hù)身份的映射關(guān)系查詢(xún)得到該數(shù)據(jù)包對(duì)應(yīng)的用戶(hù)身份,并查詢(xún)得到用戶(hù)登錄狀態(tài)和當(dāng)前權(quán)限等級(jí),根據(jù)用戶(hù)登錄狀態(tài)判斷用戶(hù)是否登錄,如果未登錄,進(jìn)入步驟S10,如果已登錄,進(jìn)入步驟S6 ;
[0015]S6:根據(jù)步驟S4和步驟S5查詢(xún)得到的用戶(hù)身份和應(yīng)用類(lèi)型從信息存儲(chǔ)器存儲(chǔ)的用戶(hù)、應(yīng)用與訪(fǎng)問(wèn)權(quán)限的映射關(guān)系中查詢(xún)得到所需訪(fǎng)問(wèn)權(quán)限,判斷所需訪(fǎng)問(wèn)權(quán)限是否為“禁止訪(fǎng)問(wèn)”,如果是,進(jìn)入步驟S8,如果不是,進(jìn)入步驟S7 ;
[0016]S7:判斷步驟S6查詢(xún)得到的用戶(hù)當(dāng)前等級(jí)權(quán)限是否大于等于所需訪(fǎng)問(wèn)權(quán)限,如果是,進(jìn)入步驟S9,如果不是,進(jìn)入步驟SlO ;
[0017]S8:設(shè)置數(shù)據(jù)包所對(duì)應(yīng)的流的操作為“丟棄該流”,進(jìn)入步驟Sll ;
[0018]S9:設(shè)置數(shù)據(jù)包所對(duì)應(yīng)的流的操作為“允許流通過(guò)”,進(jìn)入步驟Sll ;
[0019]S10:設(shè)置數(shù)據(jù)包所對(duì)應(yīng)的流的操作為“強(qiáng)轉(zhuǎn)至登錄和權(quán)限服務(wù)器”,進(jìn)入步驟
Sll;
[0020]Sll:流控制器根據(jù)數(shù)據(jù)包的流匹配項(xiàng)和判斷得到的對(duì)應(yīng)的流的操作,下發(fā)流表項(xiàng)至接入控制器,進(jìn)入步驟S12 ;
[0021]S12:接入控制器根據(jù)流表中對(duì)應(yīng)流表項(xiàng)的流處理流程對(duì)數(shù)據(jù)包進(jìn)行操作;當(dāng)接入控制器將數(shù)據(jù)包強(qiáng)轉(zhuǎn)至登錄和權(quán)限服務(wù)器,登錄與權(quán)限服務(wù)器從信息存儲(chǔ)器中查詢(xún)到用戶(hù)登錄狀態(tài)和當(dāng)前權(quán)限等級(jí),提示用戶(hù)登錄或權(quán)限提升,如果改變了用戶(hù)登錄狀態(tài)或當(dāng)前權(quán)限等級(jí),登錄和權(quán)限服務(wù)器在信息存儲(chǔ)器中寫(xiě)入更改后的用戶(hù)登錄狀態(tài)和當(dāng)前權(quán)限等級(jí),否則不作任何操作;本次接入控制結(jié)束。
[0022]進(jìn)一步地,步驟S4前,流控制器還需判斷數(shù)據(jù)包的來(lái)源地址是否合法,如果不合法,進(jìn)入步驟S8,如果合法,進(jìn)入步驟S4。
[0023]進(jìn)一步地,所述步驟S5中用戶(hù)未登錄或步驟S7中用戶(hù)當(dāng)前權(quán)限等級(jí)小于所需訪(fǎng)問(wèn)權(quán)限時(shí),流控制器查詢(xún)得到所需訪(fǎng)問(wèn)權(quán)限,作為期待權(quán)限存儲(chǔ)到信息存儲(chǔ)器,在步驟S12中登錄與權(quán)限服務(wù)器從信息存儲(chǔ)器中查詢(xún)得到期待權(quán)限,直接提示用戶(hù)按照期待權(quán)限登錄。
[0024]進(jìn)一步地,所述信息存儲(chǔ)器中還存儲(chǔ)有用戶(hù)行為參數(shù),所述步驟S7在進(jìn)入步驟S9之前,流控制器還需要判斷本次訪(fǎng)問(wèn)行為是否符合用戶(hù)行為參數(shù),如果符合,則統(tǒng)計(jì)本次訪(fǎng)問(wèn)行為參數(shù),存儲(chǔ)至信息存儲(chǔ)器,進(jìn)入步驟S9 ;如果不符合,進(jìn)入步驟S10。
[0025]進(jìn)一步地,步驟SlO執(zhí)行前,流控制器還需要判斷數(shù)據(jù)包是否屬于登錄和權(quán)限服務(wù)器接收類(lèi)型,如果屬于,進(jìn)入步驟SlO ;如果不屬于,進(jìn)入步驟S8。
[0026]進(jìn)一步地,步驟S13中如果登錄和權(quán)限服務(wù)器改變了用戶(hù)的登錄狀態(tài)或當(dāng)前權(quán)限等級(jí),將會(huì)把更改通知發(fā)送給流控制器,否則不作任何操作;流控制器重新查詢(xún)信息存儲(chǔ)器中的用戶(hù)登錄狀態(tài)和當(dāng)前權(quán)限等級(jí),對(duì)接入控制器中的相應(yīng)限制流表項(xiàng)進(jìn)行刪除。
[0027]進(jìn)一步地,流控制器還會(huì)記錄刪除流表項(xiàng)對(duì)應(yīng)的用戶(hù)行為參數(shù)。
[0028]其中,用戶(hù)行為參數(shù)包括訪(fǎng)問(wèn)的應(yīng)用類(lèi)型和最后訪(fǎng)問(wèn)時(shí)間。
[0029]本發(fā)明的發(fā)明目的是這樣實(shí)現(xiàn)的:
[0030]本發(fā)明基于流的網(wǎng)絡(luò)接入控制方法,每個(gè)用戶(hù)身份具有至少一個(gè)權(quán)限等級(jí),不同用戶(hù)身份的用戶(hù)訪(fǎng)問(wèn)不同應(yīng)用時(shí)各自對(duì)應(yīng)有所需訪(fǎng)問(wèn)權(quán)限,各用戶(hù)可以通過(guò)不同等級(jí)的權(quán)限登錄,從而實(shí)現(xiàn)不同應(yīng)用資源的訪(fǎng)問(wèn)。當(dāng)接入控制器接收到屬于新流的數(shù)據(jù)包時(shí),將其轉(zhuǎn)發(fā)給流控制器,流控制器對(duì)數(shù)據(jù)包進(jìn)行分析判斷,包括用戶(hù)是否登錄、當(dāng)前權(quán)限等級(jí)是否滿(mǎn)足等,根據(jù)不同情況下發(fā)對(duì)應(yīng)的流表項(xiàng)給接入控制器,指導(dǎo)接入控制器的流處理。與傳統(tǒng)的基于用戶(hù)身份的網(wǎng)絡(luò)接入控制相比較,本發(fā)明將用戶(hù)和應(yīng)用統(tǒng)一起來(lái),進(jìn)行多級(jí)權(quán)限劃分,從而實(shí)現(xiàn)多用戶(hù)、多應(yīng)用的訪(fǎng)問(wèn)控制。在由于目前復(fù)雜網(wǎng)絡(luò)接入環(huán)境中,存在多種用戶(hù)和多種應(yīng)用類(lèi)型,兩者的范圍上存在相交和不相交的部分,所以在進(jìn)行權(quán)限劃分的時(shí)候,把兩者統(tǒng)一起來(lái)考慮,比把兩者分開(kāi)考慮再對(duì)應(yīng)起來(lái)更合適。
[0031]此外,基于流的網(wǎng)絡(luò)接入控制方法還涵蓋了用戶(hù)行為的合法性的分析。在用戶(hù)行為的合法性分析的基礎(chǔ)上,通過(guò)流來(lái)映射用戶(hù)身份和應(yīng)用,進(jìn)而表征用戶(hù)行為,進(jìn)而實(shí)現(xiàn)對(duì)以往用戶(hù)行為的統(tǒng)計(jì)、特征提取和對(duì)當(dāng)前流的合法性判斷。
【專(zhuān)利附圖】

【附圖說(shuō)明】
[0032]圖1是本發(fā)明實(shí)現(xiàn)所需的網(wǎng)絡(luò)接入控制系統(tǒng)示意圖;
[0033]圖2是本發(fā)明基于流的網(wǎng)絡(luò)接入控制方法的一種【具體實(shí)施方式】流程圖;
[0034]圖3是openflow協(xié)議中流表項(xiàng)的結(jié)構(gòu);
[0035]圖4是實(shí)施例所采用的網(wǎng)絡(luò)接入控制系統(tǒng)的結(jié)構(gòu)示意圖;
[0036]圖5是實(shí)施例中基于流的網(wǎng)絡(luò)接入控制方法的【具體實(shí)施方式】流程示意圖。
【具體實(shí)施方式】
[0037]下面結(jié)合附圖對(duì)本發(fā)明的【具體實(shí)施方式】進(jìn)行描述,以便本領(lǐng)域的技術(shù)人員更好地理解本發(fā)明。需要特別提醒注意的是,在以下的描述中,當(dāng)已知功能和設(shè)計(jì)的詳細(xì)描述也許會(huì)淡化本發(fā)明的主要內(nèi)容時(shí),這些描述在這里將被忽略。
[0038]為更好地對(duì)本發(fā)明進(jìn)行描述,先對(duì)本發(fā)明的主要相關(guān)概念進(jìn)行簡(jiǎn)單的說(shuō)明:
[0039]流:一系列具有相同特征的數(shù)據(jù)包的總稱(chēng),相同特征通常采用匹配項(xiàng)進(jìn)行表征,匹配項(xiàng)包括:源地址、目的地址等。[0040]流表:由多個(gè)流表項(xiàng)組成,每個(gè)流表項(xiàng)就是一個(gè)轉(zhuǎn)發(fā)規(guī)則。流表存儲(chǔ)在交換機(jī),進(jìn)入交換機(jī)的數(shù)據(jù)包通過(guò)查詢(xún)流表來(lái)獲得流處理流程。
[0041]流表項(xiàng):包括流匹配項(xiàng)和流處理流程。在基于流的網(wǎng)絡(luò)接入控制系統(tǒng)中,流匹配項(xiàng)內(nèi)容通常包括:流在接入控制器上的到達(dá)端口,OSI模型中的L2數(shù)據(jù)鏈路層、L3網(wǎng)絡(luò)層、L4傳輸層。流處理流程由互不沖突的一個(gè)或多個(gè)流操作組成,流操作包括丟棄數(shù)據(jù)包、轉(zhuǎn)發(fā)數(shù)據(jù)包、修改數(shù)據(jù)包頭部中的L2數(shù)據(jù)鏈路層、L3網(wǎng)絡(luò)層、L4傳輸層的內(nèi)容等。本發(fā)明的實(shí)施方式中,通過(guò)L2數(shù)據(jù)鏈路層、L3網(wǎng)絡(luò)層的匹配來(lái)進(jìn)行用戶(hù)的表征,通過(guò)L3網(wǎng)絡(luò)層、L4傳輸層的匹配來(lái)進(jìn)行應(yīng)用的表征。匹配項(xiàng)中,用來(lái)匹配用戶(hù)身份的部分,稱(chēng)為用戶(hù)流匹配項(xiàng),用來(lái)匹配應(yīng)用的部分,稱(chēng)為應(yīng)用流匹配項(xiàng)。同一個(gè)匹配項(xiàng)既可以作為用戶(hù)流匹配項(xiàng),也可以作為應(yīng)用流匹配項(xiàng)。
[0042]圖1是本發(fā)明實(shí)現(xiàn)所需的網(wǎng)絡(luò)接入控制系統(tǒng)示意圖。如圖1所示,本發(fā)明實(shí)現(xiàn)所需的網(wǎng)絡(luò)接入控制系統(tǒng)包括接入控制器、登錄和權(quán)限服務(wù)器、信息存儲(chǔ)器、流控制器。各組成設(shè)備的具體功能如下:
[0043]接入控制器,存儲(chǔ)有流表,用于將從用戶(hù)或應(yīng)用資源服務(wù)器收到的數(shù)據(jù)包與流表中的流匹配項(xiàng)進(jìn)行匹配,如果匹配,則進(jìn)行對(duì)應(yīng)的流處理流程,如果不匹配,就將數(shù)據(jù)包轉(zhuǎn)發(fā)給流控制器進(jìn)行分析。
[0044]信息存儲(chǔ)器,存儲(chǔ)系統(tǒng)的配置信息與狀態(tài)信息,配置信息包括:流匹配項(xiàng)與應(yīng)用的映射關(guān)系,用戶(hù)身份、應(yīng)用與訪(fǎng)問(wèn)權(quán)限的映射關(guān)系,每個(gè)用戶(hù)身份具有的權(quán)限等級(jí)與對(duì)應(yīng)密碼,其中每個(gè)用戶(hù)身份具有至少一個(gè)權(quán)限等級(jí);狀態(tài)信息包括:流匹配項(xiàng)與用戶(hù)身份的映射關(guān)系,用戶(hù)登錄狀態(tài)與當(dāng)前權(quán)限等級(jí)。多個(gè)用戶(hù)的用戶(hù)身份可能相同,例如對(duì)于某個(gè)應(yīng)用,有多個(gè)用戶(hù)均是管理員。
[0045]流控制器,用于根據(jù)信息存儲(chǔ)器中的信息對(duì)接入控制器轉(zhuǎn)發(fā)的數(shù)據(jù)包進(jìn)行分析判斷,如用戶(hù)是否登錄、用戶(hù)權(quán)限是否滿(mǎn)足、用戶(hù)行為是否合法等,得到對(duì)應(yīng)的流處理操作,下發(fā)流表給接入控制器,指導(dǎo)接入控制器進(jìn)行數(shù)據(jù)包處理。
[0046]登錄和權(quán)限服務(wù)器,用于用戶(hù)登錄和權(quán)限提升,每次操作成功后登錄和權(quán)限服務(wù)器將用戶(hù)登錄狀態(tài)或當(dāng)前權(quán)限等級(jí)的存儲(chǔ)至信息存儲(chǔ)器,還可以將更改通知發(fā)送給流控制器。
[0047]圖2是本發(fā)明基于流的網(wǎng)絡(luò)接入控制方法的一種【具體實(shí)施方式】流程圖。如圖2所示,本發(fā)明基于流的網(wǎng)絡(luò)接入控制方法包括以下步驟:
[0048]S201:接入控制器從用戶(hù)或應(yīng)用資源服務(wù)器接收數(shù)據(jù)包,進(jìn)入步驟S202。
[0049]S202:接入控制器從數(shù)據(jù)包中提取流匹配項(xiàng),與本地流表的流表項(xiàng)進(jìn)行匹配,如果不存在匹配的流表項(xiàng),進(jìn)入步驟S203 ;如果存在匹配的流表項(xiàng),進(jìn)入步驟S219。
[0050]S203:接入控制器將數(shù)據(jù)包轉(zhuǎn)發(fā)至流控制器,進(jìn)入步驟S204。
[0051]S204:流控制器判斷數(shù)據(jù)包所對(duì)應(yīng)的用戶(hù)IP地址是否合法,如果不合法,進(jìn)入步驟S205,如果合法,進(jìn)入步驟S206。本實(shí)施方式中,默認(rèn)應(yīng)用資源服務(wù)器都是可靠的,因此只針對(duì)來(lái)自用戶(hù)的數(shù)據(jù)包,對(duì)其源IP地址進(jìn)行判斷。本步驟的目的是保證數(shù)據(jù)包地址是正確合法的IP地址,而不是被篡改的IP地址。
[0052]S205:設(shè)置數(shù)據(jù)包所對(duì)應(yīng)的流的操作為“丟棄該流”,進(jìn)入步驟S218。
[0053]S206:流控制器提取數(shù)據(jù)包中的應(yīng)用流匹配項(xiàng),從信息存儲(chǔ)器中存儲(chǔ)的流匹配項(xiàng)與應(yīng)用的映射關(guān)系查詢(xún)得到應(yīng)用類(lèi)型ID,進(jìn)入步驟S207。應(yīng)用類(lèi)型ID即是每個(gè)應(yīng)用類(lèi)型的標(biāo)識(shí),用于區(qū)分不同的應(yīng)用類(lèi)型。
[0054]S207:根據(jù)應(yīng)用類(lèi)型ID判斷該應(yīng)用是否為無(wú)需權(quán)限認(rèn)證的默認(rèn)應(yīng)用,如果是,進(jìn)入步驟S217,如果不是,進(jìn)入步驟S208。默認(rèn)應(yīng)用是指一些基本網(wǎng)絡(luò)應(yīng)用,這些應(yīng)用無(wú)需權(quán)限認(rèn)證,即無(wú)論用戶(hù)是否登錄、無(wú)論用戶(hù)身份具有何種等級(jí)權(quán)限都可以訪(fǎng)問(wèn)的應(yīng)用。
[0055]S208:流控制器提取數(shù)據(jù)包中的用戶(hù)流匹配項(xiàng),從信息存儲(chǔ)器中存儲(chǔ)的流匹配項(xiàng)與用戶(hù)身份的映射關(guān)系查詢(xún)得到該數(shù)據(jù)包對(duì)應(yīng)的用戶(hù)身份ID,并查詢(xún)得到用戶(hù)登錄狀態(tài)和當(dāng)前權(quán)限等級(jí),進(jìn)入步驟S209。用戶(hù)身份ID即是每種用戶(hù)身份的標(biāo)識(shí),用于區(qū)分不同用戶(hù)身份。對(duì)于來(lái)自用戶(hù)的數(shù)據(jù)包,用戶(hù)流匹配項(xiàng)包括源IP地址、源MAC地址等;對(duì)于來(lái)自應(yīng)用資源服務(wù)器的數(shù)據(jù)包,用戶(hù)流匹配項(xiàng)包括目的IP地址、目的MAC地址等。在實(shí)際操作中,可以采用嘗試的方法查詢(xún)。
[0056]S209:根據(jù)用戶(hù)登錄狀態(tài)判斷用戶(hù)是否登錄,如果未登錄,進(jìn)入步驟S214,如果已登錄,進(jìn)入步驟S210。
[0057]S210:根據(jù)步驟S206和步驟S208查詢(xún)得到的用戶(hù)身份ID和應(yīng)用類(lèi)型ID從信息存儲(chǔ)器存儲(chǔ)的用戶(hù)身份、應(yīng)用與訪(fǎng)問(wèn)權(quán)限的映射關(guān)系中查詢(xún)得到所需訪(fǎng)問(wèn)權(quán)限,進(jìn)入步驟S211。
[0058]S211:判斷所需訪(fǎng)問(wèn)權(quán)限是否為“禁止訪(fǎng)問(wèn)”,如果是,進(jìn)入步驟S205,如果不是,進(jìn)入步驟S212?!敖乖L(fǎng)問(wèn)”表示不允許屬于該用戶(hù)身份的任何用戶(hù)以任何等級(jí)權(quán)限訪(fǎng)問(wèn)該應(yīng)用。
[0059]S212:判斷步驟S208查詢(xún)得到的用戶(hù)當(dāng)前等級(jí)權(quán)限是否大于等于所需訪(fǎng)問(wèn)權(quán)限,如果是,進(jìn)入步驟S213,如果不是,進(jìn)入步驟S214。
[0060]S213:判斷本次訪(fǎng)問(wèn)行為是否符合用戶(hù)行為參數(shù),如果是,進(jìn)入步驟S216,如果不是,進(jìn)入步驟S214。用戶(hù)行為參數(shù)是指在之前用戶(hù)進(jìn)行應(yīng)用資源訪(fǎng)問(wèn)的訪(fǎng)問(wèn)記錄,如訪(fǎng)問(wèn)的應(yīng)用類(lèi)型ID和該應(yīng)用最后訪(fǎng)問(wèn)時(shí)間等,如果對(duì)該應(yīng)用的本次訪(fǎng)問(wèn)行為的時(shí)間與最后訪(fǎng)問(wèn)時(shí)間之差大于預(yù)定閾值,即兩次訪(fǎng)問(wèn)間隔過(guò)長(zhǎng),即可視為本次訪(fǎng)問(wèn)行為不符合用戶(hù)行為參數(shù)。本步驟的主要作用是用于對(duì)用戶(hù)的訪(fǎng)問(wèn)行為進(jìn)行一些控制。
[0061]S214:判斷數(shù)據(jù)包是否屬于登錄和權(quán)限服務(wù)器接收類(lèi)型,如果不屬于,進(jìn)入步驟S205,如果屬于,進(jìn)入步驟S215。本操作的目的是為了在數(shù)據(jù)包無(wú)法被登錄和權(quán)限服務(wù)器接收時(shí),直接進(jìn)行丟棄,而不是在接入控制器強(qiáng)轉(zhuǎn)至登錄和權(quán)限服務(wù)器之后拒絕接收,可以減少接入控制器的不必要轉(zhuǎn)發(fā)。
[0062]S215:設(shè)置數(shù)據(jù)包所對(duì)應(yīng)的流的操作為“強(qiáng)轉(zhuǎn)至登錄和權(quán)限服務(wù)器”,進(jìn)入步驟S218。對(duì)于用戶(hù)未登錄的情況,本操作是提示用戶(hù)進(jìn)行登錄。對(duì)于當(dāng)前權(quán)限等級(jí)低于所需權(quán)限等級(jí)的情況,本操作是提示用戶(hù)輸入更高一級(jí)權(quán)限對(duì)應(yīng)的密碼,從而達(dá)到所需權(quán)限等級(jí)。對(duì)于本次訪(fǎng)問(wèn)行為不符合用戶(hù)行為參數(shù)的情況,本操作是提示用戶(hù)重新進(jìn)行權(quán)限等級(jí)確定。為了使用戶(hù)能夠采用一次操作就能達(dá)到所需訪(fǎng)問(wèn)權(quán)限,在用戶(hù)未登錄或用戶(hù)當(dāng)前權(quán)限等級(jí)小于所需訪(fǎng)問(wèn)權(quán)限時(shí),流控制器查詢(xún)得到所需訪(fǎng)問(wèn)權(quán)限,作為期待權(quán)限存儲(chǔ)到信息存儲(chǔ)器,在強(qiáng)轉(zhuǎn)至登錄與權(quán)限服務(wù)器時(shí),登錄與權(quán)限服務(wù)器就能從信息存儲(chǔ)器中查詢(xún)得到期待權(quán)限,直接提示用戶(hù)按照期待權(quán)限登錄。通常所用的形式為:告知用戶(hù)所需訪(fǎng)問(wèn)等級(jí),提示用戶(hù)輸入對(duì)應(yīng)的密碼。[0063]S216:對(duì)本次訪(fǎng)問(wèn)行為參數(shù)進(jìn)行統(tǒng)計(jì),進(jìn)入步驟S217。當(dāng)網(wǎng)絡(luò)接入控制方法中不根據(jù)訪(fǎng)問(wèn)行為參數(shù)對(duì)訪(fǎng)問(wèn)行為進(jìn)行控制時(shí),不需要執(zhí)行本步驟,直接從步驟S213進(jìn)入步驟S217。
[0064]S217:設(shè)置數(shù)據(jù)包所對(duì)應(yīng)的流的操作為“允許流通過(guò)”,進(jìn)入步驟S218。
[0065]S218:流控制器根據(jù)數(shù)據(jù)包的流匹配項(xiàng)和判斷得到的對(duì)應(yīng)的流的操作,下發(fā)流表項(xiàng)至接入控制器,進(jìn)入步驟S219。
[0066]S219:接入控制器根據(jù)流表中對(duì)應(yīng)流表項(xiàng)的流處理流程對(duì)數(shù)據(jù)包進(jìn)行處理。可見(jiàn),如果操作為“允許流通過(guò)”,則接入控制器令該數(shù)據(jù)包通過(guò);如果操作為“強(qiáng)轉(zhuǎn)至登錄和權(quán)限服務(wù)器”,則接入控制器對(duì)數(shù)據(jù)包中相關(guān)信息進(jìn)行更改,強(qiáng)轉(zhuǎn)連接至登錄和權(quán)限服務(wù)器進(jìn)行登錄或權(quán)限提升;如果操作為“丟棄該流”,則接入控制器將該數(shù)據(jù)包丟棄。并且如果執(zhí)行了 “強(qiáng)轉(zhuǎn)至登錄和權(quán)限服務(wù)器”的操作,接入控制器將數(shù)據(jù)包強(qiáng)轉(zhuǎn)至登錄和權(quán)限服務(wù)器,登錄與權(quán)限服務(wù)器從信息存儲(chǔ)器中查詢(xún)到用戶(hù)登錄狀態(tài)和當(dāng)前權(quán)限等級(jí),提示用戶(hù)登錄或權(quán)限提升,如果改變了用戶(hù)登錄狀態(tài)或當(dāng)前權(quán)限等級(jí),登錄和權(quán)限服務(wù)器在信息存儲(chǔ)器中寫(xiě)入更改后的用戶(hù)登錄狀態(tài)和當(dāng)前權(quán)限等級(jí),否則不作任何操作。本次接入控制結(jié)束。
[0067]并且,如果登錄和權(quán)限服務(wù)器改變了用戶(hù)的登錄狀態(tài)或當(dāng)前權(quán)限等級(jí),將更改通知發(fā)送給流控制器,否則不作任何操作;流控制器接收到更改通知后重新查詢(xún)信息存儲(chǔ)器中的用戶(hù)登錄狀態(tài)和當(dāng)前權(quán)限等級(jí),對(duì)接入控制器中的相應(yīng)限制流表項(xiàng)進(jìn)行刪除,流控制器還會(huì)在信息存儲(chǔ)器中記錄該刪除流表項(xiàng)對(duì)應(yīng)的用戶(hù)行為參數(shù)。
[0068]實(shí)施例
[0069]本實(shí)施例以openflow協(xié)議為基礎(chǔ),說(shuō)明本發(fā)明基于流的網(wǎng)絡(luò)接入控制系統(tǒng)及方法。
[0070]由于本實(shí)施例采用了 openflow協(xié)議,該協(xié)議規(guī)定的流表匹配項(xiàng)包括:
[0071]struct ofp_match {
[0072]uint32_t wildcards;表示對(duì)以下的匹配項(xiàng)是否通配。例如,若wildcards的第一個(gè)bit為I時(shí),則通配in_port這個(gè)匹配項(xiàng),即表示當(dāng)前流表匹配來(lái)自所有端口的流。
[0073]uintl6_t in_port;表示流是從哪個(gè)端口到達(dá)openf low交換機(jī)的。
[0074]uint8_t dl_src [0FP_ETH_ALEN];表示 MAC 源地址。
[0075]uint8_t dl_dst [0FP_ETH_ALEN];表示 MAC 目的地址。
[0076]uintl6_t dl_vlan;表不數(shù)據(jù)包的 VLAN ID。
[0077]uint8_t dl_vlan_pcp;表不 VLAN 優(yōu)先級(jí)。
[0078]uint8_t padl [I];用于將數(shù)據(jù)填充至64位。
[0079]uintl6_t dl_type;表示以太巾貞所承載的數(shù)據(jù)包類(lèi)型。
[0080]uint8_t nw_tos;表示區(qū)分服務(wù)碼。
[0081]uint8_t nw_proto;當(dāng)dl_type表示當(dāng)前數(shù)據(jù)包為IP數(shù)據(jù)包時(shí),nw_proto就是IP數(shù)據(jù)包的類(lèi)型;當(dāng)dl_type表示當(dāng)前數(shù)據(jù)包為ARP數(shù)據(jù)包時(shí),nw_proto就是ARP數(shù)據(jù)包中的 opcode。
[0082]uint8_t pad2[2];用于將數(shù)據(jù)填充至64位。
[0083]uint32_t nw_src;表不 IP 源地址。
[0084]uint32_t nw_dst;表不 IP 目的地址。[0085]uint 16_t tp_src;表示 TCP/UDP 的源端口。
[0086]uintl6_t tp_dst;表示 TCP/UDP 的目的端口。
[0087]};
[0088]0FP_ASSERT (sizeof (struct ofp_match)==40);
[0089]圖3是openflow協(xié)議中流表項(xiàng)的結(jié)構(gòu)示意圖。如圖3所示,openflow協(xié)議中流表項(xiàng)由頭域、計(jì)數(shù)器和操作組成,頭域是流表項(xiàng)的標(biāo)識(shí),包括多個(gè)流匹配項(xiàng);計(jì)數(shù)器用來(lái)計(jì)數(shù)流表項(xiàng)的統(tǒng)計(jì)數(shù)據(jù);操作表明了與該流表項(xiàng)匹配的數(shù)據(jù)包應(yīng)該執(zhí)行的流處理流程。在實(shí)際應(yīng)用中,也可以通過(guò)組合基本的openflow操作來(lái)形成符合邏輯的流處理流程。
[0090]圖4是實(shí)施例所采用的網(wǎng)絡(luò)接入控制系統(tǒng)的結(jié)構(gòu)示意圖。如圖4所示,本實(shí)施例中,接入控制器采用OpenVSwitch (openflow交換機(jī)),流控制器采用典型的openflow控制器一一N0X,信息存儲(chǔ)器采用MySQL實(shí)現(xiàn),登錄及權(quán)限服務(wù)采用web服務(wù)器,具體為apache服務(wù)器,DHCP服務(wù)器和DNS服務(wù)器使用輕量級(jí)的dnsmasq實(shí)現(xiàn)。各部分之間的交互通道有兩種:數(shù)據(jù)通道(虛線(xiàn))和控制通道(實(shí)線(xiàn))。數(shù)據(jù)通道中傳輸?shù)氖蔷W(wǎng)絡(luò)訪(fǎng)問(wèn)的數(shù)據(jù)包;控制通道中傳輸?shù)氖菍?shí)現(xiàn)網(wǎng)絡(luò)訪(fǎng)問(wèn)控制的各類(lèi)信息??刂仆ǖ赖膬啥丝梢远荚诒镜?即同一臺(tái)計(jì)算機(jī)上),也可以一端在本地,另外一端在遠(yuǎn)端(即兩臺(tái)計(jì)算機(jī)上)。各設(shè)備的主要功能如下:
[0091]MySQL,用于存儲(chǔ)系統(tǒng)的配置信息和狀態(tài)信息。本實(shí)施例中,MySQL中存儲(chǔ)的各種信息均以表格形式表不,包括用戶(hù)信息表、應(yīng)用信息表、設(shè)備信息表、訪(fǎng)問(wèn)權(quán)限表、用戶(hù)狀態(tài)表。
[0092]用戶(hù)信息表,記錄用戶(hù)賬號(hào)的基本信息,其中用戶(hù)身份ID用于表征用戶(hù)身份,每個(gè)用戶(hù)身份至少擁有一個(gè)密碼,每個(gè)密碼對(duì)應(yīng)不同的權(quán)限等級(jí)。表I是用戶(hù)信息表。
[0093]
【權(quán)利要求】
1.一種基于流的網(wǎng)絡(luò)接入控制方法,其特征在于包括以下步驟: S1:在信息存儲(chǔ)器中存儲(chǔ)系統(tǒng)的配置信息和狀態(tài)信息,配置信息包括:流匹配項(xiàng)與應(yīng)用的映射關(guān)系,用戶(hù)身份、應(yīng)用與訪(fǎng)問(wèn)權(quán)限的映射關(guān)系,每個(gè)用戶(hù)身份具有的權(quán)限等級(jí)與對(duì)應(yīng)密碼,其中每個(gè)用戶(hù)身份具有至少一個(gè)權(quán)限等級(jí);狀態(tài)信息包括:流匹配項(xiàng)與用戶(hù)身份的映射關(guān)系,用戶(hù)登錄狀態(tài)與當(dāng)前權(quán)限等級(jí); S2:接入控制器從來(lái)自用戶(hù)或應(yīng)用資源服務(wù)器的數(shù)據(jù)包中提取流匹配項(xiàng),與本地流表的流表項(xiàng)進(jìn)行匹配,如果不存在匹配的流表項(xiàng),進(jìn)入步驟S3 ;如果存在匹配的流表項(xiàng),進(jìn)入步驟S12 ; S3:接入控制器將數(shù)據(jù)包轉(zhuǎn)發(fā)至流控制器,進(jìn)入步驟S4 ; S4:流控制器根據(jù)數(shù)據(jù)包中的應(yīng)用流匹配項(xiàng)從信息存儲(chǔ)器中存儲(chǔ)的流匹配項(xiàng)與應(yīng)用的映射關(guān)系查詢(xún)得到該數(shù)據(jù)包對(duì)應(yīng)的應(yīng)用類(lèi)型,判斷該應(yīng)用是否為無(wú)需權(quán)限認(rèn)證的默認(rèn)應(yīng)用,如果是,進(jìn)入步驟S9,如果不是,進(jìn)入步驟S5 ; S5:流控制器提取數(shù)據(jù)包中的用戶(hù)流匹配項(xiàng),從信息存儲(chǔ)器中存儲(chǔ)的流匹配項(xiàng)與用戶(hù)身份的映射關(guān)系查詢(xún)得到該數(shù)據(jù)包對(duì)應(yīng)的用戶(hù)身份,并查詢(xún)得到用戶(hù)登錄狀態(tài)和當(dāng)前權(quán)限等級(jí),根據(jù)用戶(hù)登錄狀態(tài)判斷用戶(hù)是否登錄,如果未登錄,進(jìn)入步驟S10,如果已登錄,進(jìn)入步驟S6 ; S6:根據(jù)步驟S4和步驟S5查詢(xún)得到的用戶(hù)身份和應(yīng)用類(lèi)型從信息存儲(chǔ)器存儲(chǔ)的用戶(hù)、應(yīng)用與訪(fǎng)問(wèn)權(quán)限的映射關(guān)系中查詢(xún)得到所需訪(fǎng)問(wèn)權(quán)限,判斷所需訪(fǎng)問(wèn)權(quán)限是否為“禁止訪(fǎng)問(wèn)”,如果是,進(jìn)入步驟S8,如果不是,進(jìn)入步驟S7 ; 57:判斷步驟S6查詢(xún)得到的用戶(hù)當(dāng)前等級(jí)權(quán)限是否大于等于所需訪(fǎng)問(wèn)權(quán)限,如果是,進(jìn)入步驟S9,如果不是,進(jìn)入步驟SlO ; 58:設(shè)置數(shù)據(jù)包所對(duì)應(yīng)的流的操作為“丟棄該流”,進(jìn)入步驟Sll ; 59:設(shè)置數(shù)據(jù)包所對(duì)應(yīng)的流的操作為“允許流通過(guò)”,進(jìn)入步驟Sll ; 510:設(shè)置數(shù)據(jù)包所對(duì)應(yīng)的流的操作為“強(qiáng)轉(zhuǎn)至登錄和權(quán)限服務(wù)器”,進(jìn)入步驟Sll ; 511:流控制器根據(jù)數(shù)據(jù)包的流匹配項(xiàng)和判斷得到的對(duì)應(yīng)的流的操作,下發(fā)流表項(xiàng)至接入控制器,進(jìn)入步驟S12 ; 512:接入控制器根據(jù)流表中對(duì)應(yīng)流表項(xiàng)的流處理流程對(duì)數(shù)據(jù)包進(jìn)行操作;當(dāng)接入控制器將數(shù)據(jù)包強(qiáng)轉(zhuǎn)至登錄和權(quán)限服務(wù)器,登錄與權(quán)限服務(wù)器從信息存儲(chǔ)器中查詢(xún)到用戶(hù)登錄狀態(tài)和當(dāng)前權(quán)限等級(jí),提示用戶(hù)登錄或權(quán)限提升,如果改變了用戶(hù)登錄狀態(tài)或當(dāng)前權(quán)限等級(jí),登錄和權(quán)限服務(wù)器在信息存儲(chǔ)器中寫(xiě)入更改后的用戶(hù)登錄狀態(tài)和當(dāng)前權(quán)限等級(jí),否則不作任何操作;本次接入控制結(jié)束。
2.根據(jù)權(quán)利要求1所述的網(wǎng)絡(luò)接入控制方法,其特征在于,所述步驟S4前,流控制器還需判斷數(shù)據(jù)包的來(lái)源地址是否合法,如果不合法,進(jìn)入步驟S8,如果合法,進(jìn)入步驟S4。
3.根據(jù)權(quán)利要求1所述的網(wǎng)絡(luò)接入控制方法,其特征在于,所述步驟S5中用戶(hù)未登錄或步驟S7中用戶(hù)當(dāng)前權(quán)限等級(jí)小于所需訪(fǎng)問(wèn)權(quán)限時(shí),流控制器查詢(xún)得到所需訪(fǎng)問(wèn)權(quán)限,作為期待權(quán)限存儲(chǔ)到信息存儲(chǔ)器,在步驟S12中登錄與權(quán)限服務(wù)器從信息存儲(chǔ)器中查詢(xún)得到期待權(quán)限,直接提示用戶(hù)按照期待權(quán)限登錄。
4.根據(jù)權(quán)利要求1所述的網(wǎng)絡(luò)接入控制方法,其特征在于,所述信息存儲(chǔ)器中還存儲(chǔ)有用戶(hù)行為參數(shù),所述步驟S7在進(jìn)入步驟S9之前,流控制器還需要判斷本次訪(fǎng)問(wèn)行為是否符合用戶(hù)行為參數(shù),如果符合,則統(tǒng)計(jì)本次訪(fǎng)問(wèn)行為參數(shù),存儲(chǔ)至信息存儲(chǔ)器,進(jìn)入步驟S9 ;如果不符合,進(jìn)入步驟S10。
5.根據(jù)權(quán)利要求1所述的網(wǎng)絡(luò)接入控制方法,其特征在于,所述步驟SlO執(zhí)行前,流控制器還需要判斷數(shù)據(jù)包是否屬于登錄和權(quán)限服務(wù)器接收類(lèi)型,如果屬于,進(jìn)入步驟SlO ;如果不屬于,進(jìn)入步驟S8。
6.根據(jù)權(quán)利要求1所述的網(wǎng)絡(luò)接入控制方法,其特征在于,所述步驟S13中如果登錄和權(quán)限服務(wù)器改變了用戶(hù)的登錄狀態(tài)或當(dāng)前權(quán)限等級(jí),將會(huì)把更改通知發(fā)送給流控制器,否則不作任何操作;流控制器重新查詢(xún)信息存儲(chǔ)器中的用戶(hù)登錄狀態(tài)和當(dāng)前權(quán)限等級(jí),對(duì)接入控制器中的相應(yīng)限制流表項(xiàng)進(jìn)行刪除。
7.根據(jù)權(quán)利要求6所述的網(wǎng)絡(luò)接入控制方法,其特征在于,流控制器還會(huì)記錄刪除流表項(xiàng)對(duì)應(yīng)的用戶(hù)行為參數(shù)。
8.根據(jù)權(quán)利要求4或7所述的網(wǎng)絡(luò)接入控制方法,其特征在于,所述用戶(hù)行為參數(shù)包括訪(fǎng)問(wèn)的應(yīng)用類(lèi)型和最后訪(fǎng)問(wèn)時(shí)間。`
【文檔編號(hào)】H04L12/911GK103457878SQ201310397842
【公開(kāi)日】2013年12月18日 申請(qǐng)日期:2013年9月5日 優(yōu)先權(quán)日:2013年9月5日
【發(fā)明者】許都, 吳錦輝, 孫罡, 廖丹, 虞紅芳 申請(qǐng)人:電子科技大學(xué), 東莞電子科技大學(xué)電子信息工程研究院
網(wǎng)友詢(xún)問(wèn)留言 已有0條留言
  • 還沒(méi)有人留言評(píng)論。精彩留言會(huì)獲得點(diǎn)贊!
1