局域网内用户按需动态认证连接的系统及方法技术方案

本发明专利技术涉及计算机网络领域，尤其涉及一种局域网内用户按需动态认证连接的系统及方法，包括三个平面组成，分别为数据平面、控制平面和管理平面，所述数据平面与控制平面之间通过Openflow协议通信，控制平面与管理平面运行在操作系统中，通过进程间通信进行交互，其中：数据平面包括一个Openflow交换机，用于负责与控制平面的数据交互，根据转发策略模块下发的流表进行数据转发；控制平面包括有用户名解析模块和转发策略模块；管理平面包括有用户管理模块、组管理模块和连接管理模块。本发明专利技术解决了普通局域网内用户主机长期在线，网络拓扑基本不变，攻击者可利用该条件进行攻击和信息窃取的风险问题。

System and method for dynamically authentication connection of users on demand in LAN

The present invention relates to the field of computer network system, and particularly relates to a method for LAN users to connect on-demand dynamic authentication, including three planes, respectively for the data plane, control plane and management plane between the data plane and control plane through the Openflow protocol, control plane and management plane running in the operating system and interact through interprocess communication including: data plane includes a Openflow switch, and the control plane is responsible for the data exchange, according to the surface flow forwarding strategy issued by the data forwarding module; the control plane includes a user name analysis module and forwarding strategy module; the management plane includes user management module, management module and group connection management module. The invention solves the risk problem that an attacker can make use of the condition to attack and steal information on the condition that the host of the network is online for a long time and the network topology is basically unchanged.

【技术实现步骤摘要】
局域网内用户按需动态认证连接的系统及方法
本专利技术涉及计算机网络领域，尤其涉及一种局域网内用户按需动态认证连接的系统及方法。
技术介绍
随着人们对数字化产品的需求不断增加及使用，数字化办公已经成为不可或缺的条件，公司、学校和一些公共场所组建的大型局域网络也是在不断增加，越来越需求组建一个安全稳定的局域网络，然而目前的网络环境中存在着大量的隐患。局域网内用户主机间同过交换机相连，用户主机长期在线，使攻击者很容易就获得了网络拓扑结构，并可针对用户主机进行长期控制监控；大量的通信报文通过广播传输，通信网络呈网状结构，这就给攻击者进行监听和劫取报文创造了良好的环境。这些安全问题就促使我们需要一种按需连接的网络环境，用户上线需通过动态认证的方式进行注册，尽可能减少不需要的网络连接和空闲的用户在线状态，使用户主机的安全性得到最大的保护。
技术实现思路
鉴于此，本专利技术提出了一种在局域网内用户主机按需动态注册认证进行连接的系统及方法，目的是解决普通局域网内用户主机长期在线，网络拓扑基本不变，攻击者可利用该条件进行攻击和信息窃取的风险问题。为了达到上述目的，本专利技术是通过以下技术方案实现的：一种局域网内用户按需动态认证连接的系统，包括三个平面组成，分别为数据平面、控制平面和管理平面，所述数据平面与控制平面之间通过Openflow协议通信，控制平面与管理平面运行在操作系统中，通过进程间通信进行交互，其中：数据平面包括一个Openflow交换机，用于负责与控制平面的数据交互，根据转发策略模块下发的流表进行数据转发；控制平面包括有用户名解析模块和转发策略模块；管理平面包括有用户管理模块、组管理模块和连接管理模块。所述用户名解析模块用于负责注册名和标识名的解析上报工作，识别区分用户主机的注册上线和通信申请行为，并上交申请，非注册用户则不上交通信申请，并记录注册用户的MAC地址和IP地址。所述转发策略模块用于负责根据连接管理模块下发的通信连接需求，生成相应的流表；下发或删除Openflow交换机上的转发流表；转发流表为点对点通信模式，无网状结构连接状态。所述用户管理模块用于负责用户动态注册认证，用户标识动态映射表的维护，以及用户注册名和标识名的带外通告。所述组管理模块用于负责用户间通信权限的管理，即注册用户按照规则被分配到不同权限等级的不同组中。所述连接管理模块用于负责根据用户需求进行连接管理，连接状态的维护。本专利技术还提供一种局域网内用户按需动态认证连接的方法，包括以下步骤：步骤一：用户管理模块根据系统的接口号生成注册名映射表，为每一个与系统相连的用户主机分配一个注册名，该注册名与接口号绑定，且注册名是动态变换的，通过带外通道通告给用户；步骤二：用户A主机按需申请注册上线，需先通过带外通道的方式获取用户管理模块分配给用户A的注册名；步骤三：用户A向系统发送注册上线申请，申请中包含注册名和申请在线时长；步骤四：系统收到用户A的注册上线申请，由用户名解析模块识别是否为注册申请；若是，将申请上交给用户管理模块，否则丢弃；步骤五：用户管理模块收到注册上线申请后，判断申请中的注册名与收到申请的接口号与当前的注册名映射表是否相符，若相符，则回复注册上线成功的消息，动态随机地为用户A主机分配一个IP地址，并将用户A在线的状态记录在用户管理模块中，否则丢弃；步骤六：用户A上线后，用户管理模块专为用户A动态生成一个当前在线可通信用户的标识名映射表，同时将用户A其更新到其他在线用户的标识名映射表中；步骤七：当上线时间达到申请时长的1/2时，用户管理模块会向用户通告用户A新的注册名，若用户A需延长在线时间，则用新的注册名在线重新注册，并提交申请上线时间，延长在线时间，在线时间为两次申请时间总和，重新注册过程不中断用户连接；若超时，用户管理模块会将用户A下线，删除用户A在其他在线用户的标识名映射表中的标识名。进一步地，所述步骤六中，若用户A注册上线成功，与标识名映射表中另一个用户B的主机进行连接通信，则进行以下步骤：步骤一：用户A根据用户管理模块通告的标识名映射表中用户B的标识名，向系统发出与用户B的连接申请，其中包含用户B的标识名和连接申请时长；步骤二：系统的用户管理模块收到申请后，验证申请中用户B的标识名是否存在于用户A所拥有的标识名映射表，若存在，将请求转发给连接管理模块，然后生成相应的流表策略下发各OPenflow交换机，使用户A主机与用户B主机实现点对点的连接通信，否则丢弃；步骤三：当连接通信时长达到申请时长的1/2时，用户管理模块会自动更新用户B在用户A的标识名映射表上的标识名，如需延长连接通信时间，仅用户A可根据用户B新的标识名重新申请连接，连接状态不会中断；若超时，连接管理模块会删除用户A与用户B通信相对应的流表，中断用户A与用户B的连接通信。进一步地，所述步骤六中，用户A上线后，租管理模块将用户A分配到不同权限等级的不同组中，每个注册用户不可主动申请与同权限不同组或高权限的用户连接通信；用户管理模块根据组管理模块中的分组，专为用户A动态生成一个当前在线可通信用户的标识名映射表，同一用户在不同用户的标识名映射表中的标识名不同，标识名映射表会通过带外通道通告给用户A。本专利技术的的有益效果主要体现在以下几个机制上：1.用户按需上线动态认证机制。由于普通局域网内用户长期在线，导致攻击者可扫描获取到比较稳定的网络拓扑环境，然后针对环境中的主机进行长期的监听和控制，为解决该问题，提出用户按需注册上线，然后通过用户动态认证的方式，进行上线管理，实现该功能的模块为控制平面的用户名解析模块和管理平面的用户管理模块。注册用户通过带外通信方式获取用户管理模块动态生成的注册名，按需进行主动地上线申请，自主设定在线时间，并可根据需要延长在线时间，实现自主可控的局域网间通信。当用户在线超时时，会被自动下线，使用户主机在非通信状态下不可见，实现网络拓扑不固定，阻止攻击者长期监听和控制其他用户主机；2.用户主机根据动态生成的用户标识名进行按需通信申请机制。当注册用户上线后，同样为避免网络拓扑扫描和端口扫描等攻击，消除不必要的通信通道带来的风险，系统的通信方式采用按需通信申请的机制。注册主机可根据动态生成的标识名映射表，使用按需申请的机制进行通信请求；转换普通局域网以MAC地址和IP地址为基准的转发规则，使用动态生成的主机标识名作为主机间通信通道建立的依据，有效防止了攻击者依据MAC或IP欺骗所做的攻击；3.依据权限和分组进行通信申请限制机制。为保护一些存有重要文件的用户主机，在用户按需注册上线和通信的基础上，引入权限和分组机制。将不同的用户按照权限大小进行区分，权限小的用户不能主动发起与权限高的用户的连接通信；同一权限的用户也可进行分组，同一权限不同组之间的用户不能互相发起连接通信，但一个用户可以同时属于同一权限的不同组中；4.户间通信动态维护机制。为防止用户间连接通道连通后，连接通道不释放，造成安全隐患，在用户申请连接请求时，需按需提交连接时长，若用户未在申请连接时长内重新申请连接，则会自动关闭连接通道；当连接时长达到申请时长的1/2时，用户管理模块会自动更新被连接用户在主动申请连接用户的标识名映射表上的标识名，如需延长连接时间，主动连接用户可根据新的标识名重本文档来自技高网...

【技术保护点】
一种局域网内用户按需动态认证连接的系统，包括三个平面组成，分别为数据平面、控制平面和管理平面，其特征在于，所述数据平面与控制平面之间通过Openflow协议通信，控制平面与管理平面运行在操作系统中，通过进程间通信进行交互，其中：数据平面包括一个Openflow交换机，用于负责与控制平面的数据交互，根据转发策略模块下发的流表进行数据转发；控制平面包括有用户名解析模块和转发策略模块；管理平面包括有用户管理模块、组管理模块和连接管理模块。

【技术特征摘要】
1.一种局域网内用户按需动态认证连接的系统，包括三个平面组成，分别为数据平面、控制平面和管理平面，其特征在于，所述数据平面与控制平面之间通过Openflow协议通信，控制平面与管理平面运行在操作系统中，通过进程间通信进行交互，其中：数据平面包括一个Openflow交换机，用于负责与控制平面的数据交互，根据转发策略模块下发的流表进行数据转发；控制平面包括有用户名解析模块和转发策略模块；管理平面包括有用户管理模块、组管理模块和连接管理模块。2.根据权利要求1所述的局域网内用户按需动态认证连接的系统，其特征在于，所述用户名解析模块用于负责注册名和标识名的解析上报工作，识别区分用户主机的注册上线和通信申请行为，并上交申请，非注册用户则不上交通信申请，并记录注册用户的MAC地址和IP地址。3.根据权利要求1所述的局域网内用户按需动态认证连接的系统，其特征在于，所述转发策略模块用于负责根据连接管理模块下发的通信连接需求，生成相应的流表；下发或删除Openflow交换机上的转发流表；转发流表为点对点通信模式，无网状结构连接状态。4.根据权利要求1所述的局域网内用户按需动态认证连接的系统，其特征在于，所述用户管理模块用于负责用户动态注册认证，用户标识动态映射表的维护，以及用户注册名和标识名的带外通告。5.根据权利要求1所述的局域网内用户按需动态认证连接的系统，其特征在于，所述组管理模块用于负责用户间通信权限的管理，即注册用户按照规则被分配到不同权限等级的不同组中。6.根据权利要求1所述的局域网内用户按需动态认证连接的系统，其特征在于，所述连接管理模块用于负责根据用户需求进行连接管理，连接状态的维护。7.一种局域网内用户按需动态认证连接的方法，其特征在于，包括以下步骤：步骤一：用户管理模块根据系统的接口号生成注册名映射表，为每一个与该装置相连的用户主机分配一个注册名，该注册名与接口号绑定，且注册名是动态变换的，通过带外通道通告给用户；步骤二：用户A主机按需申请注册上线，需先通过带外通道的方式获取用户管理模块分配给用户A的注册名；步骤三：用户A向系统发送注册上线申请，申请中包含注册名和申请在线时长；步骤四：系统收到用户A的注册上线申请，由用户名解析模块识别是否为注册申请；若是，将申请上交给用户管理模块...

【专利技术属性】
技术研发人员：张建辉，李晨晖，江逸茗，陈祥，张霞，周锟，
申请(专利权)人：上海红阵信息科技有限公司，国家数字交换系统工程技术研究中心，
类型：发明
国别省市：上海,31