[发明专利]一种基于SDN架构的权限控制方法、系统

说明书

本申请公开了一种基于SDN架构的权限控制方法、系统，该方法包括：确定在SDN系统中的前端与业务层之间设置的权限控制模块；通过所述权限控制模块，对所述前端的用户请求进行拦截，校验所述用户请求对应的IP地址是否在白名单中；若所述IP地址在所述白名单中，则检查所述用户请求对应的被请求功能与预先向所述用户分配的操作权限中的功能是否一致；若检查一致，允许所述用户请求执行。

技术领域

本申请涉及网络工程领域，尤其涉及一种基于SDN架构的权限控制方法、系统。

背景技术

软件定义网络(Software Defined Network，SDN)框架主要由业务层，控制层，转发层组成。其中业务层提供应用和服务比如网管、安全、流控等服务，控制层提供统一的控制和管理，比如协议计算、策略下发、链路信息收集等，转发层提供硬件设备进行数据转发，比如交换机、路由器、防火墙等。

一般SDN框架的控制层为OpenDaylight控制器平台，即ODL，目前ODL的权限是基于AAA来实现的。

但AAA权限系统只能控制ODL控制器方面的权限，对于基于ODL技术自主开发的SDN软件功能，权限无法覆盖。

发明内容

本发明提供了一种基于SDN架构的权限控制方法、系统，下面进行具体说明。

一种基于SDN架构的权限控制方法，包括：

确定在SDN系统中的前端与业务层之间设置的权限控制模块；

通过所述权限控制模块，对所述前端的用户请求进行拦截，校验所述用户请求对应的IP地址是否在白名单中；

若所述IP地址在所述白名单中，则检查所述用户请求对应的被请求功能与预先向所述用户分配的操作权限中的功能是否一致；

若检查一致，允许所述用户请求执行。

在本申请的一种实施例中，检查所述IP地址对应的用户请求使用的功能和操作权限中的功能是否一致，具体包括：

获得所述用户请求中包含的统一资源定位符URL地址；

将所述URL地址和所述操作权限对应的URL地址进行匹配，确定是否一致。

在本申请的一种实施例中，允许所述用户请求执行，具体包括：

允许所述用户请求执行，调用业务层中的业务功能接口；

接收所述用户请求对所述业务功能接口对应的功能的数据进行的查询、修改、删除、保存的操作。

在本申请的一种实施例中，检查所述用户请求对应的被请求功能与预先向所述用户分配的操作权限中的功能是否一致之前，所述方法还包括：

判断所述用户请求对应的用户角色；

若是管理员，则对所述管理员开放业务层的所有功能。

在本申请的一种实施例中，接收所述管理员的操作，对所述白名单中的IP地址进行增加、删除、修改。

在本申请的一种实施例中，接收所述管理员的操作，对向所述用户分配的操作权限进行增加、删除、修改。

在本申请的一种实施例中，接收管理员设置用户对数据的访问权限，对用户对系统数据的具体操作进行限制。

在本申请的一种实施例中，判断所述IP地址不在白名单时，禁止用户访问系统并作出用户没有权限的提示。

一种基于SDN架构的权限控制系统，包括：

前端，用于给用户展现浏览网页，接收用户操作；

权限控制模块，用于筛选拥有权限的前端用户进入业务层；