[发明专利]局域网内用户按需动态认证连接的系统及方法

说明书

本发明涉及计算机网络领域，尤其涉及一种局域网内用户按需动态认证连接的系统及方法，包括三个平面组成，分别为数据平面、控制平面和管理平面，所述数据平面与控制平面之间通过Openflow协议通信，控制平面与管理平面运行在操作系统中，通过进程间通信进行交互，其中：数据平面包括一个Openflow交换机，用于负责与控制平面的数据交互，根据转发策略模块下发的流表进行数据转发；控制平面包括有用户名解析模块和转发策略模块；管理平面包括有用户管理模块、组管理模块和连接管理模块。本发明解决了普通局域网内用户主机长期在线，网络拓扑基本不变，攻击者可利用该条件进行攻击和信息窃取的风险问题。

技术领域

本发明涉及计算机网络领域，尤其涉及一种局域网内用户按需动态认证连接的系统及方法。

背景技术

随着人们对数字化产品的需求不断增加及使用，数字化办公已经成为不可或缺的条件，公司、学校和一些公共场所组建的大型局域网络也是在不断增加，越来越需求组建一个安全稳定的局域网络，然而目前的网络环境中存在着大量的隐患。局域网内用户主机间同过交换机相连，用户主机长期在线，使攻击者很容易就获得了网络拓扑结构，并可针对用户主机进行长期控制监控；大量的通信报文通过广播传输，通信网络呈网状结构，这就给攻击者进行监听和劫取报文创造了良好的环境。这些安全问题就促使我们需要一种按需连接的网络环境，用户上线需通过动态认证的方式进行注册，尽可能减少不需要的网络连接和空闲的用户在线状态，使用户主机的安全性得到最大的保护。

发明内容

鉴于此，本发明提出了一种在局域网内用户主机按需动态注册认证进行连接的系统及方法，目的是解决普通局域网内用户主机长期在线，网络拓扑基本不变，攻击者可利用该条件进行攻击和信息窃取的风险问题。

为了达到上述目的，本发明是通过以下技术方案实现的：

一种局域网内用户按需动态认证连接的系统，包括三个平面组成，分别为数据平面、控制平面和管理平面，所述数据平面与控制平面之间通过Openflow协议通信，控制平面与管理平面运行在操作系统中，通过进程间通信进行交互，其中：

数据平面包括一个Openflow交换机，用于负责与控制平面的数据交互，根据转发策略模块下发的流表进行数据转发；

控制平面包括有用户名解析模块和转发策略模块；

管理平面包括有用户管理模块、组管理模块和连接管理模块。

所述用户名解析模块用于负责注册名和标识名的解析上报工作，识别区分用户主机的注册上线和通信申请行为，并上交申请，非注册用户则不上交通信申请，并记录注册用户的MAC地址和IP地址。

所述转发策略模块用于负责根据连接管理模块下发的通信连接需求，生成相应的流表；下发或删除Openflow交换机上的转发流表；转发流表为点对点通信模式，无网状结构连接状态。

所述用户管理模块用于负责用户动态注册认证，用户标识动态映射表的维护，以及用户注册名和标识名的带外通告。

所述组管理模块用于负责用户间通信权限的管理，即注册用户按照规则被分配到不同权限等级的不同组中。

所述连接管理模块用于负责根据用户需求进行连接管理，连接状态的维护。

本发明还提供一种局域网内用户按需动态认证连接的方法，包括以下步骤：

步骤一：用户管理模块根据系统的接口号生成注册名映射表，为每一个与系统相连的用户主机分配一个注册名，该注册名与接口号绑定，且注册名是动态变换的，通过带外通道通告给用户；

步骤二：用户A主机按需申请注册上线，需先通过带外通道的方式获取用户管理模块分配给用户A的注册名；

步骤三：用户A向系统发送注册上线申请，申请中包含注册名和申请在线时长；