[发明专利]一种SDN架构下虚拟网络接入鉴权系统

权利要求书

1.一种SDN架构下虚拟网络接入鉴权系统，其特征在于，包括：

虚拟机，虚拟机内部部署有认证客户端，负责802.1x认证、注销的发起；

虚拟交换机，部署于虚拟机的宿主机内，用于根据SDN控制器下发的OpenFlow流表对端口进行授权以及对虚拟机流量进行转发；

SDN控制器，部署于云平台中，与虚拟交换机的管理网络连接，转发认证报文至认证服务器，基于验证结果与入网信息，生成OpenFlow流表指导虚拟交换机进行转发；

认证服务器，用于验证认证报文信息，返回验证结果与入网信息至SDN控制器；

其中，虚拟机初次启动时，虚拟交换机向SDN控制器注册虚拟机端口，SDN控制器下发初始流表策略至虚拟交换机，禁止除EAPoL协议包之外的数据报通过。

2.根据权利要求1所述的SDN架构下虚拟网络接入鉴权系统，其特征在于，宿主机内设有多个虚拟机，每个虚拟机均部署有认证客户端。

3.根据权利要求1或2所述的SDN架构下虚拟网络接入鉴权系统，其特征在于，所述虚拟交换机包括接口授权模块和报文转发模块，接口授权模块用于根据OpenFlow流表完成虚拟接口的授权和访问控制策略的配置；报文转发模块，用于将认证客户端发送的报文转发至SDN控制器。

4.根据权利要求3所述的SDN架构下虚拟网络接入鉴权系统，其特征在于，所述SDN控制器还包括认证管理模块与流表控制模块，认证管理模块用于转发认证报文并根据认证服务器返回的入网信息生成OpenFlow流表，流表控制模块用于将OpenFlow流表下发至虚拟交换机。

5.根据权利要求4所述的SDN架构下虚拟网络接入鉴权系统，其特征在于，所述认证服务器包括认证模块和授权模块，所述认证模块用于根据认证报文配合认证客户端实现虚拟机的认证鉴权，授权模块负责维护和管理虚拟机的网络访问权限，并在认证成功后返回入网信息至SDN控制器。

6.根据权利要求1所述的SDN架构下虚拟网络接入鉴权系统，其特征在于，认证过程具体为：

步骤1、虚拟机启动，虚拟交换机向SDN控制器注册虚拟机端口；

步骤2、SDN控制器下发初始流表策略给虚拟交换机，禁止除EAPoL协议包之外的数据包通过；

步骤3、认证客户端发起认证，通过EAPoL协议发送认证报文到虚拟交换机；

步骤4、虚拟交换机收到认证报文后，转发至SDN控制器；

步骤5、SDN控制器将认证报文通过EAPoR协议格式封装发送给认证服务器进行认证；

步骤6、认证服务器接收到认证报文后进行验证，验证通过后发送入网信息至SDN控制器；

步骤7、SDN控制器将入网信息翻译成Openflow流表下发至虚拟交换机；

步骤8、虚拟交换机通过Openflow流表完成虚拟接口的授权和访问控制策略的配置，并对虚拟机网卡对应的端口进行授权；

步骤9、虚拟交换机发送认证成功帧给认证客户端，完成虚拟机入网认证。

7.根据权利要求6所述的SDN架构下虚拟网络接入鉴权系统，其特征在于，注销过程为：

步骤A、认证客户端提出注销请求，发送注销报文至虚拟交换机；

步骤B、虚拟交换机将注销报文转发给SDN控制器；

步骤C、SDN控制器根据注销报文中的出网信息翻译成Openflow流表，并下发给虚拟机交换机；

步骤D、虚拟交换机通过Openflos流表将相应的端口状态从授权状态改变成未授权状态、并删除相应的访问控制策略；

步骤E、虚拟交换机发送认证失败帧给客户端，注销流程结束。