基于sdn的用戶(hù)認(rèn)證方法及系統(tǒng)的制作方法
【專(zhuān)利摘要】一種基于SDN的用戶(hù)認(rèn)證方法及系統(tǒng)���,其中�����,所述基于SDN的用戶(hù)認(rèn)證方法包括:提供一控制器���,所述控制器包括用戶(hù)認(rèn)證數(shù)據(jù)庫(kù)��,以存儲(chǔ)至少一用戶(hù)認(rèn)證信息��;當(dāng)所述控制器接收來(lái)自一交換機(jī)發(fā)送的未匹配流表的用戶(hù)報(bào)文時(shí)�,該控制器要求與所述用戶(hù)報(bào)文對(duì)應(yīng)的客戶(hù)端進(jìn)行用戶(hù)認(rèn)證���,并將所述客戶(hù)端發(fā)送的認(rèn)證信息在所述用戶(hù)認(rèn)證數(shù)據(jù)庫(kù)中進(jìn)行認(rèn)證����,認(rèn)證通過(guò)后�����,所述控制器向所述交換機(jī)下發(fā)用于轉(zhuǎn)發(fā)該用戶(hù)報(bào)文的流表���。在處理未匹配流表的用戶(hù)報(bào)文時(shí)�����,通過(guò)SDN中控制器對(duì)發(fā)送給該用戶(hù)報(bào)文的客戶(hù)端進(jìn)行用戶(hù)認(rèn)證�,通過(guò)控制器對(duì)客戶(hù)端的接入配置進(jìn)行集中控制,便于管理和運(yùn)營(yíng)維護(hù)����,提高了配置效率,降低了對(duì)管理員的要求�����。
【專(zhuān)利說(shuō)明】
基于SDN的用戶(hù)認(rèn)證方法及系統(tǒng)
技術(shù)領(lǐng)域
[0001]本發(fā)明涉及通信技術(shù)領(lǐng)域�����,特別是涉及一種基于SDN的用戶(hù)認(rèn)證方法及系統(tǒng)��。
【背景技術(shù)】
[0002]隨著移動(dòng)辦公及駐地網(wǎng)運(yùn)營(yíng)等應(yīng)用的大規(guī)模發(fā)展���,服務(wù)提供者需要對(duì)用戶(hù)的接入進(jìn)行控制和配置����。尤其是WLAN的應(yīng)用和LAN接入在電信網(wǎng)上大規(guī)模開(kāi)展����,有必要對(duì)端口加以控制以實(shí)現(xiàn)用戶(hù)級(jí)的接入控制,802.1X就是IEEE為了解決基于端口的接入控制(Port-Based NetworkAccess Control)而定義的一個(gè)標(biāo)準(zhǔn)�����。
[0003]802.1X是一種基于端口的認(rèn)證協(xié)議�����,是一種對(duì)用戶(hù)進(jìn)行認(rèn)證的方法和策略�����。端口可以是一個(gè)物理端口���,也可以是一個(gè)邏輯端口(如VLAN)��。對(duì)于無(wú)線局域網(wǎng)來(lái)說(shuō)���,一個(gè)端口就是一個(gè)信道。802.1X認(rèn)證的最終目的就是確定一個(gè)端口是否可用����。對(duì)于一個(gè)端口,如果認(rèn)證成功那么就“打開(kāi)”這個(gè)端口�����,允許所有的報(bào)文通過(guò);如果認(rèn)證不成功就使這個(gè)端口保持“關(guān)閉”,即只允許802.1X的認(rèn)證協(xié)議報(bào)文通過(guò)��。
[0004]傳統(tǒng)的802.1x系統(tǒng)為典型的Client/Server結(jié)構(gòu)�����,如圖1所示其包括三個(gè)實(shí)體�,SP客戶(hù)端(Client)、設(shè)備端(Device)和認(rèn)證服務(wù)器(Server)��?����?蛻?hù)端是位于局域網(wǎng)段一端的一個(gè)實(shí)體���,由該鏈路另一端的設(shè)備端對(duì)其進(jìn)行認(rèn)證�?���?蛻?hù)端一般為一個(gè)用戶(hù)終端設(shè)備,用戶(hù)可以通過(guò)啟動(dòng)客戶(hù)端軟件發(fā)起802.1x認(rèn)證�����?��?蛻?hù)端必須支持EAPOL(ExtensibleAuthenticat1n Protocol over LAN��,局域網(wǎng)上的可擴(kuò)展認(rèn)證協(xié)議)����。
[0005]設(shè)備端是位于局域網(wǎng)段一端的另一個(gè)實(shí)體��,對(duì)所連接的客戶(hù)端進(jìn)行認(rèn)證���。設(shè)備端通常為支持802.1x協(xié)議的網(wǎng)絡(luò)設(shè)備�,它為客戶(hù)端提供接入局域網(wǎng)的端口����,該端口可以是物理端口,也可以是邏輯端口��。
[0006]認(rèn)證服務(wù)器是為設(shè)備端提供認(rèn)證服務(wù)的實(shí)體��。認(rèn)證服務(wù)器用于實(shí)現(xiàn)對(duì)用戶(hù)進(jìn)行認(rèn)證�����、授權(quán)和計(jì)費(fèi),通常為RADIUS(Remote Authenticat1n Dial-1n User Service�,遠(yuǎn)程認(rèn)證撥號(hào)用戶(hù)服務(wù))服務(wù)器。
[0007]802.1x系統(tǒng)在對(duì)用戶(hù)進(jìn)行認(rèn)證時(shí)����,需要引入認(rèn)證服務(wù)器,組網(wǎng)復(fù)雜;而且802.1x系統(tǒng)需要基于每臺(tái)轉(zhuǎn)發(fā)設(shè)備進(jìn)行配置��,配置分散���,對(duì)管理員的要求較高���。
[0008]在公開(kāi)號(hào)為CN104702607A、發(fā)明名稱(chēng)為“一種軟件定義網(wǎng)絡(luò)的接入認(rèn)證方法���、裝置及系統(tǒng)”的中國(guó)專(zhuān)利申請(qǐng)中����,公開(kāi)了一種軟件定義網(wǎng)絡(luò)SDN的接入認(rèn)證方法����,該方法應(yīng)用于SDN控制器����,該方法包括:向SDN交換機(jī)下發(fā)第一流表項(xiàng)�,所述第一流表項(xiàng)用于將SDN交換機(jī)從認(rèn)證客戶(hù)端接收到的局域網(wǎng)上的可擴(kuò)展認(rèn)證協(xié)議EAPOL報(bào)文承載于SDN報(bào)文并發(fā)送到SDN控制器�����,所述EAPOL報(bào)文包含可擴(kuò)展認(rèn)證協(xié)議EAP報(bào)文;從所述SDN報(bào)文中解析出所述EAPOL報(bào)文��,從所述EAPOL報(bào)文中解析出所述EAP報(bào)文���,將所述EAP報(bào)文承載于遠(yuǎn)程認(rèn)證撥號(hào)用戶(hù)服務(wù)RADIUS報(bào)文并發(fā)送到認(rèn)證服務(wù)器�����,并以EAP中繼的方式與所述認(rèn)證服務(wù)器執(zhí)行認(rèn)證����。故����,軟件定義網(wǎng)絡(luò)SDN在用戶(hù)進(jìn)行認(rèn)證時(shí),也需要引入認(rèn)證服務(wù)器,同樣存在組網(wǎng)復(fù)雜的問(wèn)題����。
[0009]由上可知,無(wú)論傳統(tǒng)802.1x系統(tǒng)�����,還是軟件定義網(wǎng)絡(luò)SDN中�����,在對(duì)用戶(hù)進(jìn)行認(rèn)證時(shí)�,均需要引入引入認(rèn)證服務(wù)器,存在組網(wǎng)復(fù)雜的問(wèn)題���。
【發(fā)明內(nèi)容】
[0010]本發(fā)明解決的問(wèn)題是提供一種基于SDN的用戶(hù)認(rèn)證方法及系統(tǒng)��,通過(guò)SDN中控制器對(duì)客戶(hù)端進(jìn)行用戶(hù)認(rèn)證���,網(wǎng)絡(luò)結(jié)構(gòu)簡(jiǎn)單;且能夠通過(guò)控制器對(duì)所有用戶(hù)接入配置進(jìn)行集中控制,便于管理和運(yùn)營(yíng)維護(hù)���,提高了配置效率���,降低了對(duì)管理員的要求�。
[0011]為解決上述問(wèn)題�,本發(fā)明提供一種基于SDN的用戶(hù)認(rèn)證方法,包括:
[0012]提供一控制器�,所述控制器包括用戶(hù)認(rèn)證數(shù)據(jù)庫(kù),以存儲(chǔ)至少一用戶(hù)認(rèn)證信息�;
[0013]當(dāng)所述控制器接收來(lái)自一交換機(jī)發(fā)送的未匹配流表的用戶(hù)報(bào)文時(shí),該控制器要求與所述用戶(hù)報(bào)文對(duì)應(yīng)的客戶(hù)端進(jìn)行用戶(hù)認(rèn)證�����,并將所述客戶(hù)端發(fā)送的認(rèn)證信息在所述用戶(hù)認(rèn)證數(shù)據(jù)庫(kù)中進(jìn)行認(rèn)證��,認(rèn)證通過(guò)后�����,所述控制器向所述交換機(jī)下發(fā)用于轉(zhuǎn)發(fā)該用戶(hù)報(bào)文的流表�����。
[0014]可選的���,所述用戶(hù)認(rèn)證信息包括預(yù)設(shè)客戶(hù)端ID及其對(duì)應(yīng)的預(yù)設(shè)密碼信息;所述控制器要求與所述用戶(hù)報(bào)文對(duì)應(yīng)的客戶(hù)端進(jìn)行用戶(hù)認(rèn)證,并將所述客戶(hù)端發(fā)送的認(rèn)證信息在所述用戶(hù)認(rèn)證數(shù)據(jù)庫(kù)中進(jìn)行認(rèn)證,包括:
[0015]所述控制器向所述客戶(hù)端發(fā)送身份驗(yàn)證請(qǐng)求����;
[0016]所述客戶(hù)端接收所述身份驗(yàn)證請(qǐng)求,并向所述控制器發(fā)送其客戶(hù)端ID;
[0017]在所述客戶(hù)端ID為預(yù)設(shè)客戶(hù)端ID時(shí)�����,所述控制器向所述客戶(hù)端發(fā)送密碼驗(yàn)證請(qǐng)求��;
[0018]所述客戶(hù)端接收所述密碼驗(yàn)證請(qǐng)求����,并向所述控制器發(fā)送密碼信息;
[0019]所述控制器判斷所述密碼信息是否為與客戶(hù)端ID對(duì)應(yīng)的預(yù)設(shè)密碼信息��;
[0020]若是��,所述客戶(hù)端通過(guò)所述用戶(hù)認(rèn)證����。
[0021]可選的,所述密碼信息包括預(yù)設(shè)認(rèn)證密碼和預(yù)設(shè)認(rèn)證密鑰;所述密碼驗(yàn)證請(qǐng)求包括與所述客戶(hù)端ID對(duì)應(yīng)的預(yù)設(shè)認(rèn)證密鑰;所述密碼信息包括通過(guò)所述預(yù)設(shè)認(rèn)證密鑰加密的認(rèn)證密碼�����;
[0022]所述控制器判斷所述密碼信息是否為與客戶(hù)端ID對(duì)應(yīng)的預(yù)設(shè)密碼信息包括:所述控制器對(duì)通過(guò)預(yù)設(shè)認(rèn)證密鑰加密后的認(rèn)證密碼進(jìn)行解密;判斷解密后的認(rèn)證密碼是否為與客戶(hù)端ID對(duì)應(yīng)的預(yù)設(shè)認(rèn)證密碼;
[0023]若解密后的認(rèn)證密碼為與客戶(hù)端ID對(duì)應(yīng)的預(yù)設(shè)認(rèn)證密碼����,所述客戶(hù)端通過(guò)所述用戶(hù)認(rèn)證。
[0024]可選的����,所述控制器通過(guò)EAP報(bào)文向所述客戶(hù)端發(fā)送身份驗(yàn)證請(qǐng)求和密碼驗(yàn)證請(qǐng)求。
[0025]可選的��,若所述客戶(hù)端未通過(guò)所述用戶(hù)認(rèn)證�����,則所述控制器丟棄所述用戶(hù)報(bào)文����。
[0026]相應(yīng)的���,本發(fā)明還提供了一種基于SDN的用戶(hù)認(rèn)證系統(tǒng)��,包括客戶(hù)端����、交換機(jī)和控制器;
[0027]所述控制器包括用戶(hù)認(rèn)證數(shù)據(jù)庫(kù),以存儲(chǔ)至少一用戶(hù)認(rèn)證信息���;
[0028]所述控制器用于在接收來(lái)自一交換機(jī)發(fā)送的未匹配流表的用戶(hù)報(bào)文時(shí)��,要求與所述用戶(hù)報(bào)文對(duì)應(yīng)的客戶(hù)端進(jìn)行用戶(hù)認(rèn)證���,并將所述客戶(hù)端發(fā)送的認(rèn)證信息在所述用戶(hù)認(rèn)證數(shù)據(jù)庫(kù)中進(jìn)行認(rèn)證,以及在認(rèn)證通過(guò)后�����,用于向所述交換機(jī)下發(fā)用于轉(zhuǎn)發(fā)該用戶(hù)報(bào)文的流表�。
[0029]可選的,所述用戶(hù)認(rèn)證信息包括預(yù)設(shè)客戶(hù)端ID及其對(duì)應(yīng)的預(yù)設(shè)密碼信息;所述控制器還包括:
[0030]報(bào)文接收單元�,與所述交換機(jī)連接,用于接收未匹配流表的用戶(hù)報(bào)文�����;
[0031]第一請(qǐng)求單元�,與所述交換機(jī)和報(bào)文接收單元連接,用于通過(guò)所述交換機(jī)向與未匹配流表的所述用戶(hù)報(bào)文對(duì)應(yīng)的客戶(hù)端發(fā)送身份驗(yàn)證請(qǐng)求�����;
[0032]身份驗(yàn)證單元,與所述用戶(hù)認(rèn)證數(shù)據(jù)庫(kù)和交換機(jī)連接���,用于通過(guò)所述交換機(jī)接收所述客戶(hù)端的客戶(hù)端ID��,以及判斷所述客戶(hù)端ID是否為預(yù)設(shè)客戶(hù)端ID;
[0033]第二請(qǐng)求單元����,與所述身份驗(yàn)證單元和所述交換機(jī)連接����,用于在所述客戶(hù)端ID為預(yù)設(shè)客戶(hù)端ID時(shí),通過(guò)所述交換機(jī)向所述客戶(hù)端發(fā)送密碼驗(yàn)證請(qǐng)求��;
[0034]密碼驗(yàn)證單元����,與所述用戶(hù)認(rèn)證數(shù)據(jù)庫(kù)和交換機(jī)連接�,用于通過(guò)所述交換機(jī)接收所述客戶(hù)端發(fā)送的密碼信息,以及判斷所述密碼信息是否為與客戶(hù)端ID對(duì)應(yīng)的預(yù)設(shè)密碼信息;
[0035]用戶(hù)認(rèn)證單元�����,與所述密碼驗(yàn)證單元連接����,用于在所述密碼信息為與客戶(hù)端ID對(duì)應(yīng)的預(yù)設(shè)密碼信息時(shí)����,確定所述客戶(hù)端通過(guò)所述用戶(hù)認(rèn)證����。
[0036]可選的,所述密碼信息包括預(yù)設(shè)認(rèn)證密碼和預(yù)設(shè)認(rèn)證密鑰;所述密碼驗(yàn)證請(qǐng)求包括與所述客戶(hù)端ID對(duì)應(yīng)的預(yù)設(shè)認(rèn)證密鑰;所述密碼信息包括通過(guò)所述預(yù)設(shè)認(rèn)證密鑰加密的認(rèn)證密碼;所述身份驗(yàn)證單元包括:
[0037]解密單元�,與所述用戶(hù)認(rèn)證數(shù)據(jù)庫(kù)和交換機(jī)連接,用于對(duì)通過(guò)預(yù)設(shè)認(rèn)證密鑰加密后的認(rèn)證密碼進(jìn)行解密��;
[0038]匹配單元���,與所述用戶(hù)認(rèn)證數(shù)據(jù)庫(kù)���、所述解密單元和用戶(hù)認(rèn)證單元連接,用于判斷解密后的認(rèn)證密碼是否為與客戶(hù)端ID對(duì)應(yīng)的預(yù)設(shè)認(rèn)證密碼�。
[0039]可選的,所述控制器通過(guò)EAP報(bào)文向所述客戶(hù)端發(fā)送身份驗(yàn)證請(qǐng)求和密碼驗(yàn)證請(qǐng)求����。
[0040]可選的,所述控制器還用于在所述客戶(hù)端未通過(guò)所述用戶(hù)認(rèn)證時(shí)��,丟棄所述用戶(hù)報(bào)文。
[0041]與現(xiàn)有技術(shù)相比�,本發(fā)明的技術(shù)方案具有以下優(yōu)點(diǎn):
[0042]于SDN中控制器設(shè)置用戶(hù)認(rèn)證數(shù)據(jù)庫(kù),該用戶(hù)認(rèn)證數(shù)據(jù)庫(kù)用以存儲(chǔ)至少一用戶(hù)認(rèn)證信息�����;當(dāng)所述控制器接收來(lái)自一交換機(jī)發(fā)送的未匹配流表的用戶(hù)報(bào)文時(shí)���,該控制器要求與所述用戶(hù)報(bào)文對(duì)應(yīng)的客戶(hù)端進(jìn)行用戶(hù)認(rèn)證��,并將所述客戶(hù)端發(fā)送的認(rèn)證信息在所述用戶(hù)認(rèn)證數(shù)據(jù)庫(kù)中進(jìn)行認(rèn)證�,認(rèn)證通過(guò)后����,所述控制器向所述交換機(jī)下發(fā)用于轉(zhuǎn)發(fā)該用戶(hù)報(bào)文的流表。從而在處理未匹配流表的用戶(hù)報(bào)文時(shí)����,通過(guò)SDN中控制器對(duì)發(fā)送給該用戶(hù)報(bào)文的客戶(hù)端進(jìn)行用戶(hù)認(rèn)證,通過(guò)控制器對(duì)客戶(hù)端的接入配置進(jìn)行集中控制���,便于管理和運(yùn)營(yíng)維護(hù),提高了配置效率�����,降低了對(duì)管理員的要求。
[0043]進(jìn)一步���,用戶(hù)認(rèn)證信息包括預(yù)設(shè)客戶(hù)端ID及其對(duì)應(yīng)的預(yù)設(shè)密碼信息��;控制器對(duì)與用戶(hù)報(bào)文對(duì)應(yīng)的客戶(hù)端進(jìn)行用戶(hù)認(rèn)證時(shí)����,先通過(guò)控制器向客戶(hù)端發(fā)送身份驗(yàn)證請(qǐng)求�����,客戶(hù)端接收身份驗(yàn)證請(qǐng)求并向控制器發(fā)送其客戶(hù)端ID�����,在客戶(hù)端ID為預(yù)設(shè)客戶(hù)端ID時(shí)�����,再通過(guò)控制器向客戶(hù)端發(fā)送密碼驗(yàn)證請(qǐng)求�����,客戶(hù)端接收密碼驗(yàn)證請(qǐng)求并向控制器發(fā)送密碼信息,在控制器判斷密碼信息為與客戶(hù)端ID對(duì)應(yīng)的預(yù)設(shè)密碼信息時(shí)��,客戶(hù)端通過(guò)該用戶(hù)認(rèn)證���。由于對(duì)客戶(hù)端進(jìn)行身份驗(yàn)證和密碼驗(yàn)證雙重驗(yàn)證�����,提高了用戶(hù)驗(yàn)證的準(zhǔn)確性�����,進(jìn)而提高了 SDN的安全性�����。
[0044]進(jìn)一步的�����,在進(jìn)行密碼驗(yàn)證過(guò)程中�����,密碼信息中包括的認(rèn)證密碼為密文密碼����,具體的�����,密碼信息包括預(yù)設(shè)認(rèn)證密碼和預(yù)設(shè)認(rèn)證密鑰��,密碼驗(yàn)證請(qǐng)求包括與客戶(hù)端ID對(duì)應(yīng)的預(yù)設(shè)認(rèn)證密鑰���,密碼信息包括通過(guò)預(yù)設(shè)認(rèn)證密鑰加密的認(rèn)證密碼;在控制器判斷密碼信息是否為與客戶(hù)端ID對(duì)應(yīng)的預(yù)設(shè)密碼信息時(shí)��,客戶(hù)端向控制器發(fā)送包括通過(guò)預(yù)設(shè)認(rèn)證密鑰加密的認(rèn)證密碼的密碼信息���,然后控制器對(duì)通過(guò)預(yù)設(shè)認(rèn)證密鑰加密后的認(rèn)證密碼進(jìn)行解密,以及判斷解密后的認(rèn)證密碼是否為與客戶(hù)端ID對(duì)應(yīng)的預(yù)設(shè)認(rèn)證密碼;在解密后的認(rèn)證密碼為與客戶(hù)端ID對(duì)應(yīng)的預(yù)設(shè)認(rèn)證密碼���,客戶(hù)端通過(guò)用戶(hù)認(rèn)證�。相對(duì)于認(rèn)證密碼為明文密碼的密碼驗(yàn)證�,該用戶(hù)認(rèn)證方法準(zhǔn)確性更高,SDN的安全性更好�����。
[0(Μ5] 進(jìn)一步的,控制器通過(guò)EAP報(bào)文向客戶(hù)端發(fā)送身份驗(yàn)證請(qǐng)求和密碼驗(yàn)證請(qǐng)求�。由于EAP報(bào)文允許遠(yuǎn)程客戶(hù)端與控制器之間進(jìn)行開(kāi)端對(duì)話,實(shí)現(xiàn)控制器對(duì)客戶(hù)端的身份驗(yàn)證和密碼驗(yàn)證���,進(jìn)而實(shí)現(xiàn)了控制器對(duì)客戶(hù)端的用戶(hù)認(rèn)證���。
[0046]進(jìn)一步的,在客戶(hù)端未通過(guò)用戶(hù)認(rèn)證時(shí)��,控制器丟棄用戶(hù)報(bào)文�,避免SDN中保留過(guò)多的垃圾報(bào)文,提尚SDN的運(yùn)彳丁效率�。
【附圖說(shuō)明】
[0047]圖1是傳統(tǒng)802.1x系統(tǒng)的Client/Server結(jié)構(gòu)。
[0048]圖2是本發(fā)明基于SDN的用戶(hù)認(rèn)證方法于一個(gè)實(shí)施例的流程圖�����;
[0049]圖3是本發(fā)明基于SDN的用戶(hù)認(rèn)證方法于另一個(gè)實(shí)施例中控制器對(duì)客戶(hù)端進(jìn)行用戶(hù)認(rèn)證的流程圖�;
[0050]圖4是本發(fā)明基于SDN的用戶(hù)認(rèn)證系統(tǒng)于一個(gè)實(shí)施例的結(jié)構(gòu)示意圖;
[0051 ]圖5是圖4中控制器的結(jié)構(gòu)示意圖����。
【具體實(shí)施方式】
[0052]傳統(tǒng)802.1x系統(tǒng)以及軟件定義網(wǎng)絡(luò)SDN中����,在對(duì)用戶(hù)進(jìn)行認(rèn)證時(shí)����,均需要引入認(rèn)證服務(wù)器�,組網(wǎng)復(fù)雜;另外�,802.1x系統(tǒng)需要基于每臺(tái)轉(zhuǎn)發(fā)設(shè)備進(jìn)行配置,配置分散����,對(duì)管理員的要求較高。
[0053]為此���,本發(fā)明提供了一種基于基于SDN的用戶(hù)認(rèn)證方法及系統(tǒng)�����,SDN中控制器包括用戶(hù)認(rèn)證數(shù)據(jù)庫(kù)�,該用戶(hù)認(rèn)證數(shù)據(jù)庫(kù)用以存儲(chǔ)至少一用戶(hù)認(rèn)證信息�;當(dāng)所述控制器接收來(lái)自一交換機(jī)發(fā)送的未匹配流表的用戶(hù)報(bào)文時(shí),該控制器要求與所述用戶(hù)報(bào)文對(duì)應(yīng)的客戶(hù)端進(jìn)行用戶(hù)認(rèn)證���,并將所述客戶(hù)端發(fā)送的認(rèn)證信息在所述用戶(hù)認(rèn)證數(shù)據(jù)庫(kù)中進(jìn)行認(rèn)證��,認(rèn)證通過(guò)后��,所述控制器向所述交換機(jī)下發(fā)用于轉(zhuǎn)發(fā)該用戶(hù)報(bào)文的流表�。從而在處理未匹配流表的用戶(hù)報(bào)文時(shí),通過(guò)SDN中控制器對(duì)發(fā)送給該用戶(hù)報(bào)文的客戶(hù)端進(jìn)行用戶(hù)認(rèn)證����,通過(guò)控制器對(duì)客戶(hù)端的接入配置進(jìn)行集中控制,便于管理和運(yùn)營(yíng)維護(hù)��,提高了配置效率���,降低了對(duì)管理員的要求���。
[0054]以下通過(guò)特定的具體實(shí)例說(shuō)明本發(fā)明的實(shí)施方式,本領(lǐng)域技術(shù)人員可由本說(shuō)明書(shū)所揭露的內(nèi)容輕易地了解本發(fā)明的其他優(yōu)點(diǎn)與功效�����。本發(fā)明還可以通過(guò)另外不同的【具體實(shí)施方式】加以實(shí)施或應(yīng)用����,本說(shuō)明書(shū)中的各項(xiàng)細(xì)節(jié)也可以基于不同觀點(diǎn)與應(yīng)用����,在沒(méi)有背離本發(fā)明的精神下進(jìn)行各種修飾或改變��。需說(shuō)明的是����,在不沖突的情況下,以下實(shí)施例及實(shí)施例中的特征可以相互組合��。
[0055]需要說(shuō)明的是���,以下實(shí)施例中所提供的圖示僅以示意方式說(shuō)明本發(fā)明的基本構(gòu)想,遂圖式中僅顯示與本發(fā)明中有關(guān)的組件而非按照實(shí)際實(shí)施時(shí)的組件數(shù)目�、形狀及尺寸繪制,其實(shí)際實(shí)施時(shí)各組件的型態(tài)���、數(shù)量及比例可為一種隨意的改變�,且其組件布局型態(tài)也可能更為復(fù)雜����。
[0056]參考圖2,為本發(fā)明基于SDN的用戶(hù)認(rèn)證方法于一個(gè)實(shí)施例的流程圖����。
[0057]軟件定義網(wǎng)絡(luò)(Software DefinedNetwork�����,SDN)是Emulex網(wǎng)絡(luò)一種新型網(wǎng)絡(luò)創(chuàng)新架構(gòu)��,是網(wǎng)絡(luò)虛擬化的一種實(shí)現(xiàn)方式���,其核心技術(shù)OpenFlow通過(guò)將網(wǎng)絡(luò)設(shè)備控制面與數(shù)據(jù)面分離開(kāi)來(lái),從而實(shí)現(xiàn)了網(wǎng)絡(luò)流量的靈活控制��,使網(wǎng)絡(luò)作為管道變得更加智能�����。SDN包括控制器和與控制器連接的交換機(jī)��。圖2實(shí)施例中基于SDN的用戶(hù)認(rèn)證方法包括:
[0058]步驟S10��,提供一控制器����,所述控制器包括用戶(hù)認(rèn)證數(shù)據(jù)庫(kù),以存儲(chǔ)至少一用戶(hù)認(rèn)證信息;
[0059]步驟S20�,當(dāng)所述控制器接收來(lái)自一交換機(jī)發(fā)送的未匹配流表的用戶(hù)報(bào)文時(shí),該控制器要求與所述用戶(hù)報(bào)文對(duì)應(yīng)的客戶(hù)端進(jìn)行用戶(hù)認(rèn)證���,并將所述客戶(hù)端發(fā)送的認(rèn)證信息在所述用戶(hù)認(rèn)證數(shù)據(jù)庫(kù)中進(jìn)行認(rèn)證���,認(rèn)證通過(guò)后,所述控制器向所述交換機(jī)下發(fā)用于轉(zhuǎn)發(fā)該用戶(hù)報(bào)文的流表��。
[0060]本實(shí)施例中����,于SDN中控制器設(shè)置用戶(hù)認(rèn)證數(shù)據(jù)庫(kù),該用戶(hù)認(rèn)證數(shù)據(jù)庫(kù)用以存儲(chǔ)至少一用戶(hù)認(rèn)證信息�����;當(dāng)所述控制器接收來(lái)自一交換機(jī)發(fā)送的未匹配流表的用戶(hù)報(bào)文時(shí)�����,該控制器要求與所述用戶(hù)報(bào)文對(duì)應(yīng)的客戶(hù)端進(jìn)行用戶(hù)認(rèn)證����,并將所述客戶(hù)端發(fā)送的認(rèn)證信息在所述用戶(hù)認(rèn)證數(shù)據(jù)庫(kù)中進(jìn)行認(rèn)證,認(rèn)證通過(guò)后���,所述控制器向所述交換機(jī)下發(fā)用于轉(zhuǎn)發(fā)該用戶(hù)報(bào)文的流表��。從而在處理未匹配流表的用戶(hù)報(bào)文時(shí)�����,通過(guò)SDN中控制器對(duì)發(fā)送給該用戶(hù)報(bào)文的客戶(hù)端進(jìn)行用戶(hù)認(rèn)證����,通過(guò)控制器對(duì)客戶(hù)端的接入配置進(jìn)行集中控制�����,便于管理和運(yùn)營(yíng)維護(hù)�����,提高了配置效率�����,降低了對(duì)管理員的要求����。
[0061]參考圖3�,為本發(fā)明基于SDN的用戶(hù)認(rèn)證方法于另一個(gè)實(shí)施例中控制器對(duì)客戶(hù)端進(jìn)行用戶(hù)認(rèn)證的流程圖���。本實(shí)施例中��,所述用戶(hù)認(rèn)證信息包括預(yù)設(shè)客戶(hù)端ID及其對(duì)應(yīng)的預(yù)設(shè)密碼信息�����。圖3中基于SDN的用戶(hù)認(rèn)證方法在控制器對(duì)客戶(hù)端進(jìn)行用戶(hù)認(rèn)證時(shí)包括:
[0062]步驟S201����,所述控制器向所述客戶(hù)端發(fā)送身份驗(yàn)證請(qǐng)求�����;
[0063]步驟S202�,所述客戶(hù)端接收所述身份驗(yàn)證請(qǐng)求,并向所述控制器發(fā)送其客戶(hù)端ID;
[0064]步驟S203�,在所述客戶(hù)端ID為預(yù)設(shè)客戶(hù)端ID時(shí)����,所述控制器向所述客戶(hù)端發(fā)送密碼驗(yàn)證請(qǐng)求;
[0065]步驟S204,所述客戶(hù)端接收所述密碼驗(yàn)證請(qǐng)求����,并向所述控制器發(fā)送密碼信息;
[0066]步驟S205�,所述控制器判斷所述密碼信息是否為與客戶(hù)端ID對(duì)應(yīng)的預(yù)設(shè)密碼信息;
[0067]步驟S206,所述客戶(hù)端通過(guò)所述用戶(hù)認(rèn)證����。
[0068]與圖2中實(shí)施例相比,本實(shí)施例中用戶(hù)認(rèn)證信息進(jìn)一步包括預(yù)設(shè)客戶(hù)端ID及其對(duì)應(yīng)的預(yù)設(shè)密碼信息�;該基于SDN的用戶(hù)認(rèn)證方法在控制器對(duì)與用戶(hù)報(bào)文對(duì)應(yīng)的客戶(hù)端進(jìn)行用戶(hù)認(rèn)證時(shí),先通過(guò)控制器向客戶(hù)端發(fā)送身份驗(yàn)證請(qǐng)求�,客戶(hù)端接收身份驗(yàn)證請(qǐng)求并向控制器發(fā)送其客戶(hù)端ID,在客戶(hù)端ID為預(yù)設(shè)客戶(hù)端ID時(shí)�,再通過(guò)控制器向客戶(hù)端發(fā)送密碼驗(yàn)證請(qǐng)求,客戶(hù)端接收密碼驗(yàn)證請(qǐng)求并向控制器發(fā)送密碼信息�,在控制器判斷密碼信息為與客戶(hù)端ID對(duì)應(yīng)的預(yù)設(shè)密碼信息時(shí),客戶(hù)端通過(guò)該用戶(hù)認(rèn)證�。由于對(duì)客戶(hù)端進(jìn)行身份驗(yàn)證和密碼驗(yàn)證雙重驗(yàn)證,提高了用戶(hù)驗(yàn)證的準(zhǔn)確性��,進(jìn)而提高了 SDN的安全性��。
[0069]在一個(gè)實(shí)施例中�,所述密碼信息包括預(yù)設(shè)認(rèn)證密碼和預(yù)設(shè)認(rèn)證密鑰���;所述密碼驗(yàn)證請(qǐng)求包括與所述客戶(hù)端ID對(duì)應(yīng)的預(yù)設(shè)認(rèn)證密鑰;所述密碼信息包括通過(guò)所述預(yù)設(shè)認(rèn)證密鑰加密的認(rèn)證密碼��。
[0070]此時(shí)���,所述控制器判斷所述密碼信息是否為與客戶(hù)端ID對(duì)應(yīng)的預(yù)設(shè)密碼信息進(jìn)一步包括:
[0071 ] 所述控制器對(duì)通過(guò)預(yù)設(shè)認(rèn)證密鑰加密后的認(rèn)證密碼進(jìn)行解密;
[0072]判斷解密后的認(rèn)證密碼是否為與客戶(hù)端ID對(duì)應(yīng)的預(yù)設(shè)認(rèn)證密碼����;
[0073]若解密后的認(rèn)證密碼為與客戶(hù)端ID對(duì)應(yīng)的預(yù)設(shè)認(rèn)證密碼,所述客戶(hù)端通過(guò)所述用戶(hù)認(rèn)證�。
[0074]具體的,密碼信息中包括的認(rèn)證密碼為密文密碼�。客戶(hù)端通過(guò)交換機(jī)向控制器發(fā)送的密碼信息為通過(guò)預(yù)設(shè)認(rèn)證密鑰加密的認(rèn)證密碼���?����?刂破鹘邮盏皆撁艽a信息之后�,對(duì)通過(guò)預(yù)設(shè)認(rèn)證密鑰加密后的認(rèn)證密碼進(jìn)行解密��,以及判斷解密后的認(rèn)證密碼是否為與客戶(hù)端ID對(duì)應(yīng)的預(yù)設(shè)認(rèn)證密碼;在解密后的認(rèn)證密碼為與客戶(hù)端ID對(duì)應(yīng)的預(yù)設(shè)認(rèn)證密碼��,客戶(hù)端通過(guò)用戶(hù)認(rèn)證����。相對(duì)于上實(shí)施例中認(rèn)證密碼為明文密碼的密碼驗(yàn)證,本實(shí)施例中基于SDN的用戶(hù)認(rèn)證方法準(zhǔn)確性更高�,SDN的安全性更好。
[0075]在另一個(gè)實(shí)施例中�,所述控制器通過(guò)EAP報(bào)文向所述客戶(hù)端發(fā)送身份驗(yàn)證請(qǐng)求和密碼驗(yàn)證請(qǐng)求。
[0076]EAP(ExtensibleAuthenticat1n Protocol)為可擴(kuò)展身份驗(yàn)證協(xié)議����,是一系列驗(yàn)證方式的集合,設(shè)計(jì)理念是滿(mǎn)足任何鏈路層的身份驗(yàn)證需求�����,支持多種鏈路層認(rèn)證方式��。EAP協(xié)議是IEEE 802.1x認(rèn)證機(jī)制的核心��,它將實(shí)現(xiàn)細(xì)節(jié)交由附屬的EAP Method協(xié)議完成��,如何選取EAP method由認(rèn)證系統(tǒng)特征決定���。EAP可分為四層:EAP底層��,EAP層����,EAP對(duì)等和認(rèn)證層(EAPpeer and authenticat1n layer)和EAP方法層。
[0077]由于EAP報(bào)文允許遠(yuǎn)程客戶(hù)端與控制器之間進(jìn)行開(kāi)端對(duì)話���,其能夠?qū)崿F(xiàn)控制器對(duì)客戶(hù)端的身份驗(yàn)證和密碼驗(yàn)證�����,進(jìn)而實(shí)現(xiàn)了控制器對(duì)客戶(hù)端的用戶(hù)認(rèn)證�。
[0078]在再一個(gè)實(shí)施例中�����,若所述客戶(hù)端未通過(guò)所述用戶(hù)認(rèn)證����,則所述控制器丟棄所述用戶(hù)報(bào)文。從而在客戶(hù)端未通過(guò)用戶(hù)認(rèn)證時(shí)�����,控制器丟棄用戶(hù)報(bào)文��,避免SDN中保留過(guò)多的垃圾報(bào)文,提尚SDN的運(yùn)彳丁效率�。
[0079]參考圖4,為本發(fā)明基于SDN的用戶(hù)認(rèn)證系統(tǒng)于一個(gè)實(shí)施例的結(jié)構(gòu)示意圖�。圖4中基于SDN的用戶(hù)認(rèn)證系統(tǒng)客戶(hù)端40�、交換機(jī)31、交換機(jī)32�����、交換機(jī)33�����、交換機(jī)34�����、控制器20以及服務(wù)器50�,所述客戶(hù)端40與所述交換機(jī)33連接,所述控制器20與所述交換機(jī)31�、交換機(jī)32、交換機(jī)33和交換機(jī)34連接;服務(wù)器50與交換機(jī)34連接���。
[0080]需要說(shuō)明的是���,以所述客戶(hù)端40向所述交換機(jī)33發(fā)送未匹配報(bào)文的用戶(hù)數(shù)據(jù)為例��,對(duì)本發(fā)明中基于SDN的用戶(hù)認(rèn)證系統(tǒng)進(jìn)行說(shuō)明����。在其他實(shí)施例中�����,還可以包括其他客戶(hù)端���,以及通過(guò)其他交換機(jī)向控制器轉(zhuǎn)發(fā)未匹配報(bào)文的用戶(hù)報(bào)文�����,其處理方式與本實(shí)施例中處理方式相同�����,在此不做贅述�。
[0081 ]本實(shí)施例中�,所述基于SDN的用戶(hù)認(rèn)證系統(tǒng)中:
[0082]所述控制器20包括用戶(hù)認(rèn)證數(shù)據(jù)庫(kù)(圖未示),以存儲(chǔ)至少一用戶(hù)認(rèn)證信息;
[0083]所述控制器20用于在接收來(lái)自交換機(jī)33發(fā)送的未匹配流表的用戶(hù)報(bào)文時(shí)��,要求與所述用戶(hù)報(bào)文對(duì)應(yīng)的客戶(hù)端40進(jìn)行用戶(hù)認(rèn)證�����,并將所述客戶(hù)端40發(fā)送的認(rèn)證信息在所述用戶(hù)認(rèn)證數(shù)據(jù)庫(kù)中進(jìn)行認(rèn)證�,以及在認(rèn)證通過(guò)后,用于向所述交換機(jī)33下發(fā)用于轉(zhuǎn)發(fā)該用戶(hù)報(bào)文的流表�����。
[0084]具體的��,客戶(hù)端40向交換機(jī)33發(fā)送用戶(hù)報(bào)文����。交換機(jī)33判斷客戶(hù)端40向其發(fā)送的用戶(hù)報(bào)文是否匹配流表����。在該用戶(hù)報(bào)文未匹配流表時(shí),交換機(jī)33將該用戶(hù)報(bào)文轉(zhuǎn)發(fā)至所述控制器20�。所述控制器20在接收到未匹配流表的用戶(hù)報(bào)文時(shí),對(duì)與所述用戶(hù)報(bào)文對(duì)應(yīng)的客戶(hù)端40進(jìn)行用戶(hù)認(rèn)證���。然后����,若所述客戶(hù)端40通過(guò)所述用戶(hù)認(rèn)證,則控制器20向所述客戶(hù)端40下發(fā)流表��。
[0085]本實(shí)施例中����,于SDN中控制器20設(shè)置用戶(hù)認(rèn)證數(shù)據(jù)庫(kù),該用戶(hù)認(rèn)證數(shù)據(jù)庫(kù)用以存儲(chǔ)至少一用戶(hù)認(rèn)證信息����;當(dāng)所述控制器20接收來(lái)自一交換機(jī)33發(fā)送的未匹配流表的用戶(hù)報(bào)文時(shí),該控制器20要求與所述用戶(hù)報(bào)文對(duì)應(yīng)的客戶(hù)端40進(jìn)行用戶(hù)認(rèn)證���,并將所述客戶(hù)端40發(fā)送的認(rèn)證信息在所述用戶(hù)認(rèn)證數(shù)據(jù)庫(kù)中進(jìn)行認(rèn)證���,認(rèn)證通過(guò)后,所述控制器20向所述交換機(jī)33下發(fā)用于轉(zhuǎn)發(fā)該用戶(hù)報(bào)文的流表��。從而在處理未匹配流表的用戶(hù)報(bào)文時(shí)��,通過(guò)SDN中控制器20對(duì)發(fā)送給該用戶(hù)報(bào)文的客戶(hù)端40進(jìn)行用戶(hù)認(rèn)證�,通過(guò)控制器20對(duì)客戶(hù)端40的接入配置進(jìn)行集中控制�,便于管理和運(yùn)營(yíng)維護(hù)�,提高了配置效率,降低了對(duì)管理員的要求�����。
[0086]參考圖5�,為圖4中控制器的結(jié)構(gòu)示意圖。圖5中控制器20除包括用戶(hù)認(rèn)證數(shù)據(jù)庫(kù)201之外��,還包括:
[0087]報(bào)文接收單元203�,與所述交換機(jī)(圖未示)連接,用于接收未匹配流表的用戶(hù)報(bào)文��;
[0088]第一請(qǐng)求單元205��,與所述交換機(jī)和報(bào)文接收單元203連接���,用于通過(guò)所述交換機(jī)向與未匹配流表的所述用戶(hù)報(bào)文對(duì)應(yīng)的客戶(hù)端(圖未示)發(fā)送身份驗(yàn)證請(qǐng)求;
[0089]身份驗(yàn)證單元207��,與所述用戶(hù)認(rèn)證數(shù)據(jù)庫(kù)201和交換機(jī)連接���,用于通過(guò)所述交換機(jī)接收所述客戶(hù)端的客戶(hù)端ID��,以及判斷所述客戶(hù)端ID是否為預(yù)設(shè)客戶(hù)端ID;
[0090]第二請(qǐng)求單元209�����,與所述身份驗(yàn)證單元207和所述交換機(jī)連接��,用于在所述客戶(hù)端ID為預(yù)設(shè)客戶(hù)端ID時(shí)���,通過(guò)所述交換機(jī)向所述客戶(hù)端發(fā)送密碼驗(yàn)證請(qǐng)求�����;
[0091]密碼驗(yàn)證單元211�,與所述用戶(hù)認(rèn)證數(shù)據(jù)庫(kù)201和交換機(jī)連接��,用于通過(guò)所述交換機(jī)接收所述客戶(hù)端發(fā)送的密碼信息�,以及判斷所述密碼信息是否為與客戶(hù)端ID對(duì)應(yīng)的預(yù)設(shè)密碼信息;
[0092]用戶(hù)認(rèn)證單元213�,與所述密碼驗(yàn)證單元211連接,用于在所述密碼信息為與客戶(hù)端ID對(duì)應(yīng)的預(yù)設(shè)密碼信息時(shí)��,確定所述客戶(hù)端通過(guò)所述用戶(hù)認(rèn)證��。
[0093]其中���,所述用戶(hù)認(rèn)證數(shù)據(jù)庫(kù)201中用戶(hù)認(rèn)證信息包括預(yù)設(shè)客戶(hù)端ID及其對(duì)應(yīng)的預(yù)設(shè)密碼信息����;
[0094]與圖4中實(shí)施例相比,本實(shí)施例中基于SDN的用戶(hù)認(rèn)證系統(tǒng)的報(bào)文接收單元203在接收到未匹配流表的用戶(hù)報(bào)文之后��,先通過(guò)第一請(qǐng)求單元205向客戶(hù)端發(fā)送身份驗(yàn)證請(qǐng)求���,客戶(hù)端接收身份驗(yàn)證請(qǐng)求并向控制器20中身份驗(yàn)證單元207發(fā)送其客戶(hù)端ID���,在客戶(hù)端ID為預(yù)設(shè)客戶(hù)端ID時(shí),再通過(guò)控制器20中第二請(qǐng)求單元209向客戶(hù)端發(fā)送密碼驗(yàn)證請(qǐng)求����,客戶(hù)端接收密碼驗(yàn)證請(qǐng)求并向控制器20中密碼驗(yàn)證單元211發(fā)送密碼信息,在控制器判斷密碼信息為與客戶(hù)端ID對(duì)應(yīng)的預(yù)設(shè)密碼信息時(shí)���,用戶(hù)認(rèn)證單元213確定該客戶(hù)端通過(guò)該用戶(hù)認(rèn)證。在對(duì)客戶(hù)端進(jìn)行用戶(hù)認(rèn)證過(guò)程中��,由于對(duì)客戶(hù)端進(jìn)行身份驗(yàn)證和密碼驗(yàn)證雙重驗(yàn)證���,提高了用戶(hù)驗(yàn)證的準(zhǔn)確性����,進(jìn)而提高了 SDN的安全性。
[0095]在一個(gè)實(shí)施例中��,所述密碼信息包括預(yù)設(shè)認(rèn)證密碼和預(yù)設(shè)認(rèn)證密鑰���;所述密碼驗(yàn)證請(qǐng)求包括與所述客戶(hù)端ID對(duì)應(yīng)的預(yù)設(shè)認(rèn)證密鑰;所述密碼信息包括通過(guò)所述預(yù)設(shè)認(rèn)證密鑰加密的認(rèn)證密碼�����。本實(shí)施例中���,所述身份驗(yàn)證單元207進(jìn)一步包括:
[0096]解密單元(圖未示),與所述用戶(hù)認(rèn)證數(shù)據(jù)庫(kù)201和交換機(jī)連接��,用于對(duì)通過(guò)預(yù)設(shè)認(rèn)證密鑰加密后的認(rèn)證密碼進(jìn)行解密��;
[0097]匹配單元(圖未示)����,與所述用戶(hù)認(rèn)證數(shù)據(jù)庫(kù)201、所述解密單元和用戶(hù)認(rèn)證單元連接�,用于判斷解密后的認(rèn)證密碼是否為與客戶(hù)端ID對(duì)應(yīng)的預(yù)設(shè)認(rèn)證密碼。
[0098]本實(shí)施例中���,在接收到該密碼信息之后���,解密單元對(duì)通過(guò)預(yù)設(shè)認(rèn)證密鑰加密后的認(rèn)證密碼進(jìn)行解密�����,然后由匹配單元判斷解密后的認(rèn)證密碼是否為與客戶(hù)端ID對(duì)應(yīng)的預(yù)設(shè)認(rèn)證密碼;在解密后的認(rèn)證密碼為與客戶(hù)端ID對(duì)應(yīng)的預(yù)設(shè)認(rèn)證密碼時(shí)��,用戶(hù)認(rèn)證單元213確定客戶(hù)端通過(guò)用戶(hù)認(rèn)證�����。相對(duì)于上實(shí)施例中認(rèn)證密碼為明文密碼的密碼驗(yàn)證�����,本實(shí)施例中基于SDN的用戶(hù)認(rèn)證系統(tǒng)準(zhǔn)確性更高�,SDN的安全性更好�����。
[0099]在又一個(gè)實(shí)施例中��,所述控制器通過(guò)EAP報(bào)文向所述客戶(hù)端發(fā)送身份驗(yàn)證請(qǐng)求和密碼驗(yàn)證請(qǐng)求��。
[0100]EAP為可擴(kuò)展身份驗(yàn)證協(xié)議����,是一系列驗(yàn)證方式的集合,設(shè)計(jì)理念是滿(mǎn)足任何鏈路層的身份驗(yàn)證需求�,支持多種鏈路層認(rèn)證方式。EAP協(xié)議是IEEE802.1x認(rèn)證機(jī)制的核心�,它將實(shí)現(xiàn)細(xì)節(jié)交由附屬的EAP Method協(xié)議完成,如何選取EAP method由認(rèn)證系統(tǒng)特征決定����。EAP可分為四層:EAP底層,EAP層��,EAP對(duì)等和認(rèn)證層和EAP方法層����。
[0101]由于EAP報(bào)文允許遠(yuǎn)程客戶(hù)端與控制器之間進(jìn)行開(kāi)端對(duì)話,其能夠?qū)崿F(xiàn)控制器對(duì)客戶(hù)端的身份驗(yàn)證和密碼驗(yàn)證����,進(jìn)而實(shí)現(xiàn)了控制器對(duì)客戶(hù)端的用戶(hù)認(rèn)證。
[0102]在另一個(gè)實(shí)施例中��,若所述客戶(hù)端未通過(guò)所述用戶(hù)認(rèn)證�,則所述控制器丟棄所述用戶(hù)報(bào)文。從而在客戶(hù)端未通過(guò)用戶(hù)認(rèn)證時(shí)�����,控制器丟棄用戶(hù)報(bào)文�����,避免SDN中保留過(guò)多的垃圾報(bào)文����,提尚SDN的運(yùn)彳丁效率。
[0103]綜上所述�,本發(fā)明實(shí)施例中,在處理未匹配流表的用戶(hù)報(bào)文時(shí)��,通過(guò)SDN中控制器對(duì)發(fā)送給該用戶(hù)報(bào)文的客戶(hù)端進(jìn)行用戶(hù)認(rèn)證�,進(jìn)而通過(guò)控制器對(duì)客戶(hù)端的接入配置進(jìn)行集中控制,便于管理和運(yùn)營(yíng)維護(hù)����,提高了配置效率,降低了對(duì)管理員的要求��。
[0104]上述實(shí)施例僅例示性說(shuō)明本發(fā)明的原理及其功效�����,而非用于限制本發(fā)明。任何熟悉此技術(shù)的人士皆可在不違背本發(fā)明的精神及范疇下���,對(duì)上述實(shí)施例進(jìn)行修飾或改變��。因此����,舉凡所屬技術(shù)領(lǐng)域中具有通常知識(shí)者在未脫離本發(fā)明所揭示的精神與技術(shù)思想下所完成的一切等效修飾或改變��,仍應(yīng)由本發(fā)明的權(quán)利要求所涵蓋�。
【主權(quán)項(xiàng)】
1.一種基于SDN的用戶(hù)認(rèn)證方法,其特征在于��,包括: 提供一控制器�,所述控制器包括用戶(hù)認(rèn)證數(shù)據(jù)庫(kù),以存儲(chǔ)至少一用戶(hù)認(rèn)證信息�����; 當(dāng)所述控制器接收來(lái)自一交換機(jī)發(fā)送的未匹配流表的用戶(hù)報(bào)文時(shí)��,該控制器要求與所述用戶(hù)報(bào)文對(duì)應(yīng)的客戶(hù)端進(jìn)行用戶(hù)認(rèn)證�����,并將所述客戶(hù)端發(fā)送的認(rèn)證信息在所述用戶(hù)認(rèn)證數(shù)據(jù)庫(kù)中進(jìn)行認(rèn)證����,認(rèn)證通過(guò)后,所述控制器向所述交換機(jī)下發(fā)用于轉(zhuǎn)發(fā)該用戶(hù)報(bào)文的流表�����。2.根據(jù)權(quán)利要求1所述的基于SDN的用戶(hù)認(rèn)證方法�����,其特征在于����,所述用戶(hù)認(rèn)證信息包括預(yù)設(shè)客戶(hù)端ID及其對(duì)應(yīng)的預(yù)設(shè)密碼信息;所述控制器要求與所述用戶(hù)報(bào)文對(duì)應(yīng)的客戶(hù)端進(jìn)行用戶(hù)認(rèn)證,并將所述客戶(hù)端發(fā)送的認(rèn)證信息在所述用戶(hù)認(rèn)證數(shù)據(jù)庫(kù)中進(jìn)行認(rèn)證��,包括: 所述控制器向所述客戶(hù)端發(fā)送身份驗(yàn)證請(qǐng)求; 所述客戶(hù)端接收所述身份驗(yàn)證請(qǐng)求���,并向所述控制器發(fā)送其客戶(hù)端ID �; 在所述客戶(hù)端ID為預(yù)設(shè)客戶(hù)端ID時(shí)�,所述控制器向所述客戶(hù)端發(fā)送密碼驗(yàn)證請(qǐng)求����; 所述客戶(hù)端接收所述密碼驗(yàn)證請(qǐng)求,并向所述控制器發(fā)送密碼信息���; 所述控制器判斷所述密碼信息是否為與客戶(hù)端ID對(duì)應(yīng)的預(yù)設(shè)密碼信息���; 若是,所述客戶(hù)端通過(guò)所述用戶(hù)認(rèn)證����。3.根據(jù)權(quán)利要求2所述的基于SDN的用戶(hù)認(rèn)證方法,其特征在于�����,所述密碼信息包括預(yù)設(shè)認(rèn)證密碼和預(yù)設(shè)認(rèn)證密鑰�����;所述密碼驗(yàn)證請(qǐng)求包括與所述客戶(hù)端ID對(duì)應(yīng)的預(yù)設(shè)認(rèn)證密鑰;所述密碼信息包括通過(guò)所述預(yù)設(shè)認(rèn)證密鑰加密的認(rèn)證密碼; 所述控制器判斷所述密碼信息是否為與客戶(hù)端ID對(duì)應(yīng)的預(yù)設(shè)密碼信息包括:所述控制器對(duì)通過(guò)預(yù)設(shè)認(rèn)證密鑰加密后的認(rèn)證密碼進(jìn)行解密;判斷解密后的認(rèn)證密碼是否為與客戶(hù)端ID對(duì)應(yīng)的預(yù)設(shè)認(rèn)證密碼���; 若解密后的認(rèn)證密碼為與客戶(hù)端ID對(duì)應(yīng)的預(yù)設(shè)認(rèn)證密碼��,所述客戶(hù)端通過(guò)所述用戶(hù)認(rèn)證����。4.根據(jù)權(quán)利要求2或3所述的基于SDN的用戶(hù)認(rèn)證方法����,其特征在于,所述控制器通過(guò)EAP報(bào)文向所述客戶(hù)端發(fā)送身份驗(yàn)證請(qǐng)求和密碼驗(yàn)證請(qǐng)求�����。5.根據(jù)權(quán)利要求1至4任一所述的基于SDN的用戶(hù)認(rèn)證方法����,其特征在于,若所述客戶(hù)端未通過(guò)所述用戶(hù)認(rèn)證���,則所述控制器丟棄所述用戶(hù)報(bào)文����。6.—種基于SDN的用戶(hù)認(rèn)證系統(tǒng),其特征在于�,包括客戶(hù)端、交換機(jī)和控制器����; 所述控制器包括用戶(hù)認(rèn)證數(shù)據(jù)庫(kù),以存儲(chǔ)至少一用戶(hù)認(rèn)證信息�����; 所述控制器用于在接收來(lái)自一交換機(jī)發(fā)送的未匹配流表的用戶(hù)報(bào)文時(shí)�,要求與所述用戶(hù)報(bào)文對(duì)應(yīng)的客戶(hù)端進(jìn)行用戶(hù)認(rèn)證�����,并將所述客戶(hù)端發(fā)送的認(rèn)證信息在所述用戶(hù)認(rèn)證數(shù)據(jù)庫(kù)中進(jìn)行認(rèn)證���,以及在認(rèn)證通過(guò)后��,用于向所述交換機(jī)下發(fā)用于轉(zhuǎn)發(fā)該用戶(hù)報(bào)文的流表�。7.根據(jù)權(quán)利要求6所述的基于SDN的用戶(hù)認(rèn)證系統(tǒng)���,其特征在于����,所述用戶(hù)認(rèn)證信息包括預(yù)設(shè)客戶(hù)端ID及其對(duì)應(yīng)的預(yù)設(shè)密碼信息;所述控制器還包括: 報(bào)文接收單元,與所述交換機(jī)連接��,用于接收未匹配流表的用戶(hù)報(bào)文����; 第一請(qǐng)求單元,與所述交換機(jī)和報(bào)文接收單元連接����,用于通過(guò)所述交換機(jī)向與未匹配流表的所述用戶(hù)報(bào)文對(duì)應(yīng)的客戶(hù)端發(fā)送身份驗(yàn)證請(qǐng)求; 身份驗(yàn)證單元��,與所述用戶(hù)認(rèn)證數(shù)據(jù)庫(kù)和交換機(jī)連接���,用于通過(guò)所述交換機(jī)接收所述客戶(hù)端的客戶(hù)端ID��,以及判斷所述客戶(hù)端ID是否為預(yù)設(shè)客戶(hù)端ID; 第二請(qǐng)求單元��,與所述身份驗(yàn)證單元和所述交換機(jī)連接���,用于在所述客戶(hù)端ID為預(yù)設(shè)客戶(hù)端ID時(shí)��,通過(guò)所述交換機(jī)向所述客戶(hù)端發(fā)送密碼驗(yàn)證請(qǐng)求�����; 密碼驗(yàn)證單元����,與所述用戶(hù)認(rèn)證數(shù)據(jù)庫(kù)和交換機(jī)連接����,用于通過(guò)所述交換機(jī)接收所述客戶(hù)端發(fā)送的密碼信息,以及判斷所述密碼信息是否為與客戶(hù)端ID對(duì)應(yīng)的預(yù)設(shè)密碼信息��; 用戶(hù)認(rèn)證單元�����,與所述密碼驗(yàn)證單元連接����,用于在所述密碼信息為與客戶(hù)端ID對(duì)應(yīng)的預(yù)設(shè)密碼信息時(shí)���,確定所述客戶(hù)端通過(guò)所述用戶(hù)認(rèn)證���。8.根據(jù)權(quán)利要求7所述的基于SDN的用戶(hù)認(rèn)證系統(tǒng)��,其特征在于�����,所述密碼信息包括預(yù)設(shè)認(rèn)證密碼和預(yù)設(shè)認(rèn)證密鑰�;所述密碼驗(yàn)證請(qǐng)求包括與所述客戶(hù)端ID對(duì)應(yīng)的預(yù)設(shè)認(rèn)證密鑰;所述密碼信息包括通過(guò)所述預(yù)設(shè)認(rèn)證密鑰加密的認(rèn)證密碼;所述身份驗(yàn)證單元包括: 解密單元�����,與所述用戶(hù)認(rèn)證數(shù)據(jù)庫(kù)和交換機(jī)連接�,用于對(duì)通過(guò)預(yù)設(shè)認(rèn)證密鑰加密后的認(rèn)證密碼進(jìn)行解密; 匹配單元�,與所述用戶(hù)認(rèn)證數(shù)據(jù)庫(kù)、所述解密單元和用戶(hù)認(rèn)證單元連接�,用于判斷解密后的認(rèn)證密碼是否為與客戶(hù)端ID對(duì)應(yīng)的預(yù)設(shè)認(rèn)證密碼。9.根據(jù)權(quán)利要求7或8所述的基于SDN的用戶(hù)認(rèn)證系統(tǒng)�����,其特征在于�,所述控制器通過(guò)EAP報(bào)文向所述客戶(hù)端發(fā)送身份驗(yàn)證請(qǐng)求和密碼驗(yàn)證請(qǐng)求。10.根據(jù)權(quán)利要求6至9任一所述的基于SDN的用戶(hù)認(rèn)證系統(tǒng),其特征在于����,所述控制器還用于在所述客戶(hù)端未通過(guò)所述用戶(hù)認(rèn)證時(shí),丟棄所述用戶(hù)報(bào)文�����。
【文檔編號(hào)】H04L12/721GK105978810SQ201610480573
【公開(kāi)日】2016年9月28日
【申請(qǐng)日】2016年6月27日
【發(fā)明人】翟躍
【申請(qǐng)人】上海斐訊數(shù)據(jù)通信技術(shù)有限公司