[发明专利]一种SDN控制器的访问控制方法及系统有效
| 申请号: | 201710018099.1 | 申请日: | 2017-01-10 |
| 公开(公告)号: | CN106790219B | 公开(公告)日: | 2019-11-26 |
| 发明(设计)人: | 荀浩;宋晨;王利明;史淼;杨倩;谢德俊 | 申请(专利权)人: | 中国科学院信息工程研究所 |
| 主分类号: | H04L29/06 | 分类号: | H04L29/06;H04L12/24 |
| 代理公司: | 11200 北京君尚知识产权代理有限公司 | 代理人: | 司立彬<国际申请>=<国际公布>=<进入 |
| 地址: | 100093 *** | 国省代码: | 北京;11 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | 本发明公开了一种SDN控制器的访问控制方法及系统。本系统包括SDN控制器、交换机和至少一项北向应用;北向应用分为三种安全级别:管理员类别、网络配置类别和用户类别;其中,管理员类别允许读写数据平面中的设备数据;网络配置类别的北向应用允许读写数据平面中的用于管理转发数据包的控制数据,以及数据平面中的用于控制数据包转发的控制数据;用户类别允许读写数据平面中的转发数据;所述北向应用将用户分类在对应用的安全级别中;以及将用户信息以及访问请求发送给SDN控制器中对应的基础应用;该基础应用根据用户的安全级别确定该用户是否具有对所请求访问数据的访问权限,进行访问控制。本发明提高了SDN网络中网络信息的机密性。 | ||
| 搜索关键词: | 一种 sdn 控制器 访问 控制 方法 系统 | ||
【主权项】:
1.一种SDN控制器的访问控制方法,其中,SDN网络中的北向应用分为三种安全级别:管理员类别、网络配置类别和用户类别;管理员类别的北向应用允许读写数据平面中的设备数据,但无法读写数据平面中的转发数据;网络配置类别的北向应用允许读写数据平面中的用于管理转发数据包的控制数据,以及数据平面中的用于控制数据包转发的控制数据,但是不允许读写数据平面中的设备数据;用户类别的北向应用允许读写数据平面中的转发数据,但是不允许读写数据平面中的控制转发数据和设备数据;其步骤为:/n1)用户向北向应用发出资源请求,该资源请求中包括用户的认证信息、用户所请求的北向应用URL和资源类别;/n2)北向应用根据该资源请求中的认证信息对该用户进行认证;认证通过之后,该北向应用获取该用户的用户ID以及安全级别,并将用户ID、安全级别、该用户资源请求对应的北向应用ID以及访问请求发送给SDN控制器中对应的基础应用;/n3)该基础应用根据用户ID确定该用户所请求访问的数据类别,然后根据用户的安全级别确定该用户是否具有对所请求访问数据的访问权限;如果具有访问权限,则根据北向应用ID以及资源请求向SDN控制器发起查询请求,SDN控制器对该用户的查询请求进行验证,验证通过后将该查询请求转发给SDN控制器基础模块获取响应数据返回给该北向应用,否则拒绝访问;其中,基础模块提供的北向接口包含用户的身份信息,并与SDN控制器中的基础应用信息一一对应。/n
下载完整专利技术内容需要扣除积分,VIP会员可以免费下载。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于中国科学院信息工程研究所,未经中国科学院信息工程研究所许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/patent/201710018099.1/,转载请声明来源钻瓜专利网。
