一种基于SDN的用户认证方法及系统,其中,所述基于SDN的用户认证方法包括:提供一控制器,所述控制器包括用户认证数据库,以存储至少一用户认证信息;当所述控制器接收来自一交换机发送的未匹配流表的用户报文时,该控制器要求与所述用户报文对应的客户端进行用户认证,并将所述客户端发送的认证信息在所述用户认证数据库中进行认证,认证通过后,所述控制器向所述交换机下发用于转发该用户报文的流表。在处理未匹配流表的用户报文时,通过SDN中控制器对发送给该用户报文的客户端进行用户认证,通过控制器对客户端的接入配置进行集中控制,便于管理和运营维护,提高了配置效率,降低了对管理员的要求。
【技术实现步骤摘要】
本专利技术涉及通信
,特别是涉及一种基于SDN的用户认证方法及系统。
技术介绍
随着移动办公及驻地网运营等应用的大规模发展,服务提供者需要对用户的接入进行控制和配置。尤其是WLAN的应用和LAN接入在电信网上大规模开展,有必要对端口加以控制以实现用户级的接入控制,802.1X就是IEEE为了解决基于端口的接入控制(Port-Based NetworkAccess Control)而定义的一个标准。802.1X是一种基于端口的认证协议,是一种对用户进行认证的方法和策略。端口可以是一个物理端口,也可以是一个逻辑端口(如VLAN)。对于无线局域网来说,一个端口就是一个信道。802.1X认证的最终目的就是确定一个端口是否可用。对于一个端口,如果认证成功那么就“打开”这个端口,允许所有的报文通过;如果认证不成功就使这个端口保持“关闭”,即只允许802.1X的认证协议报文通过。传统的802.1x系统为典型的Client/Server结构,如图1所示其包括三个实体,即客户端(Client)、设备端(Device)和认证服务器(Server)。客户端是位于局域网段一端的一个实体,由该链路另一端的设备端对其进行认证。客户端一般为一个用户终端设备,用户可以通过启动客户端软件发起802.1x认证。客户端必须支持EAPOL(ExtensibleAuthentication Protocol over LAN,局域网上的可扩展认证协议)。设备端是位于局域网段一端的另一个实体,对所连接的客户端进行认证。设备端通常为支持802.1x协议的网络设备,它为客户端提供接入局域网的端口,该端口可以是物理端口,也可以是逻辑端口。认证服务器是为设备端提供认证服务的实体。认证服务器用于实现对用
户进行认证、授权和计费,通常为RADIUS(Remote Authentication Dial-In User Service,远程认证拨号用户服务)服务器。802.1x系统在对用户进行认证时,需要引入认证服务器,组网复杂;而且802.1x系统需要基于每台转发设备进行配置,配置分散,对管理员的要求较高。在公开号为CN104702607A、专利技术名称为“一种软件定义网络的接入认证方法、装置及系统”的中国专利申请中,公开了一种软件定义网络SDN的接入认证方法,该方法应用于SDN控制器,该方法包括:向SDN交换机下发第一流表项,所述第一流表项用于将SDN交换机从认证客户端接收到的局域网上的可扩展认证协议EAPOL报文承载于SDN报文并发送到SDN控制器,所述EAPOL报文包含可扩展认证协议EAP报文;从所述SDN报文中解析出所述EAPOL报文,从所述EAPOL报文中解析出所述EAP报文,将所述EAP报文承载于远程认证拨号用户服务RADIUS报文并发送到认证服务器,并以EAP中继的方式与所述认证服务器执行认证。故,软件定义网络SDN在用户进行认证时,也需要引入认证服务器,同样存在组网复杂的问题。由上可知,无论传统802.1x系统,还是软件定义网络SDN中,在对用户进行认证时,均需要引入引入认证服务器,存在组网复杂的问题。
技术实现思路
本专利技术解决的问题是提供一种基于SDN的用户认证方法及系统,通过SDN中控制器对客户端进行用户认证,网络结构简单;且能够通过控制器对所有用户接入配置进行集中控制,便于管理和运营维护,提高了配置效率,降低了对管理员的要求。为解决上述问题,本专利技术提供一种基于SDN的用户认证方法,包括:提供一控制器,所述控制器包括用户认证数据库,以存储至少一用户认证信息;当所述控制器接收来自一交换机发送的未匹配流表的用户报文时,该控
制器要求与所述用户报文对应的客户端进行用户认证,并将所述客户端发送的认证信息在所述用户认证数据库中进行认证,认证通过后,所述控制器向所述交换机下发用于转发该用户报文的流表。可选的,所述用户认证信息包括预设客户端ID及其对应的预设密码信息;所述控制器要求与所述用户报文对应的客户端进行用户认证,并将所述客户端发送的认证信息在所述用户认证数据库中进行认证,包括:所述控制器向所述客户端发送身份验证请求;所述客户端接收所述身份验证请求,并向所述控制器发送其客户端ID;在所述客户端ID为预设客户端ID时,所述控制器向所述客户端发送密码验证请求;所述客户端接收所述密码验证请求,并向所述控制器发送密码信息;所述控制器判断所述密码信息是否为与客户端ID对应的预设密码信息;若是,所述客户端通过所述用户认证。可选的,所述密码信息包括预设认证密码和预设认证密钥;所述密码验证请求包括与所述客户端ID对应的预设认证密钥;所述密码信息包括通过所述预设认证密钥加密的认证密码;所述控制器判断所述密码信息是否为与客户端ID对应的预设密码信息包括:所述控制器对通过预设认证密钥加密后的认证密码进行解密;判断解密后的认证密码是否为与客户端ID对应的预设认证密码;若解密后的认证密码为与客户端ID对应的预设认证密码,所述客户端通过所述用户认证。可选的,所述控制器通过EAP报文向所述客户端发送身份验证请求和密码验证请求。可选的,若所述客户端未通过所述用户认证,则所述控制器丢弃所述用户报文。相应的,本专利技术还提供了一种基于SDN的用户认证系统,包括客户端、
交换机和控制器;所述控制器包括用户认证数据库,以存储至少一用户认证信息;所述控制器用于在接收来自一交换机发送的未匹配流表的用户报文时,要求与所述用户报文对应的客户端进行用户认证,并将所述客户端发送的认证信息在所述用户认证数据库中进行认证,以及在认证通过后,用于向所述交换机下发用于转发该用户报文的流表。可选的,所述用户认证信息包括预设客户端ID及其对应的预设密码信息;所述控制器还包括:报文接收单元,与所述交换机连接,用于接收未匹配流表的用户报文;第一请求单元,与所述交换机和报文接收单元连接,用于通过所述交换机向与未匹配流表的所述用户报文对应的客户端发送身份验证请求;身份验证单元,与所述用户认证数据库和交换机连接,用于通过所述交换机接收所述客户端的客户端ID,以及判断所述客户端ID是否为预设客户端ID;第二请求单元,与所述身份验证单元和所述交换机连接,用于在所述客户端ID为预设客户端ID时,通过所述交换机向所述客户端发送密码验证请求;密码验证单元,与所述用户认证数据库和交换机连接,用于通过所述交换机接收所述客户端发送的密码信息,以及判断所述密码信息是否为与客户端ID对应的预设密码信息;用户认证单元,与所述密码验证单元连接,用于在所述密码信息为与客户端ID对应的预设密码信息时,确定所述客户端通过所述用户认证。可选的,所述密码信息包括预设认证密码和预设认证密钥;所述密码验证请求包括与所述客户端ID对应的预设认证密钥;所述密码信息包括通过所述预设认证密钥加密的认证密码;所述身份验证单元包括:解密单元,与所述用户认证数据库和交换机连接,用于对通过预设认证密钥加密后的认证密码进行解密;匹配单元,与所述用户认证数据库、所述解密单元和用户认证单元连接,用于判断解密后的认证密码是否为与客户端ID对应的预设认证密码。可选的,所述控制器通过EAP报文向所述客户端发送身份验证请求和密码验证请求。可选的,本文档来自技高网...
【技术保护点】
一种基于SDN的用户认证方法,其特征在于,包括:提供一控制器,所述控制器包括用户认证数据库,以存储至少一用户认证信息;当所述控制器接收来自一交换机发送的未匹配流表的用户报文时,该控制器要求与所述用户报文对应的客户端进行用户认证,并将所述客户端发送的认证信息在所述用户认证数据库中进行认证,认证通过后,所述控制器向所述交换机下发用于转发该用户报文的流表。
【技术特征摘要】
1.一种基于SDN的用户认证方法,其特征在于,包括:提供一控制器,所述控制器包括用户认证数据库,以存储至少一用户认证信息;当所述控制器接收来自一交换机发送的未匹配流表的用户报文时,该控制器要求与所述用户报文对应的客户端进行用户认证,并将所述客户端发送的认证信息在所述用户认证数据库中进行认证,认证通过后,所述控制器向所述交换机下发用于转发该用户报文的流表。2.根据权利要求1所述的基于SDN的用户认证方法,其特征在于,所述用户认证信息包括预设客户端ID及其对应的预设密码信息;所述控制器要求与所述用户报文对应的客户端进行用户认证,并将所述客户端发送的认证信息在所述用户认证数据库中进行认证,包括:所述控制器向所述客户端发送身份验证请求;所述客户端接收所述身份验证请求,并向所述控制器发送其客户端ID;在所述客户端ID为预设客户端ID时,所述控制器向所述客户端发送密码验证请求;所述客户端接收所述密码验证请求,并向所述控制器发送密码信息;所述控制器判断所述密码信息是否为与客户端ID对应的预设密码信息;若是,所述客户端通过所述用户认证。3.根据权利要求2所述的基于SDN的用户认证方法,其特征在于,所述密码信息包括预设认证密码和预设认证密钥;所述密码验证请求包括与所述客户端ID对应的预设认证密钥;所述密码信息包括通过所述预设认证密钥加密的认证密码;所述控制器判断所述密码信息是否为与客户端ID对应的预设密码信息包括:所述控制器对通过预设认证密钥加密后的认证密码进行解密;判断解密后的认证密码是否为与客户端ID对应的预设认证密码;若解密后的认证密码为与客户端ID对应的预设认证密码,所述客户端通过所述用户认证。4.根据权利要求2或3所述的基于SDN的用户认证方法,其特征在于,所述控制器通过EAP报文向所述客户端发送身份验证请求和密码验证请求。5.根据权利要求1至4任一所述的基于SDN的用户认证方法,其特征在于,若所述客户端未通过所述用户认证,则所述控制器丢弃所述用户报文。6.一种基于SDN的用户认证系统,其特征在于,包括客户端、交换机和控制器;所述控制器包括用户认证数据库,以存储至少一用户认证信息;所述控制器用于在接...
【专利技术属性】
技术研发人员:翟跃,
申请(专利权)人:上海斐讯数据通信技术有限公司,
类型:发明
国别省市:上海;31
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。