The present invention relates to the field of computer network system, and particularly relates to a method for LAN users to connect on-demand dynamic authentication, including three planes, respectively for the data plane, control plane and management plane between the data plane and control plane through the Openflow protocol, control plane and management plane running in the operating system and interact through interprocess communication including: data plane includes a Openflow switch, and the control plane is responsible for the data exchange, according to the surface flow forwarding strategy issued by the data forwarding module; the control plane includes a user name analysis module and forwarding strategy module; the management plane includes user management module, management module and group connection management module. The invention solves the risk problem that an attacker can make use of the condition to attack and steal information on the condition that the host of the network is online for a long time and the network topology is basically unchanged.
【技术实现步骤摘要】
局域网内用户按需动态认证连接的系统及方法
本专利技术涉及计算机网络领域,尤其涉及一种局域网内用户按需动态认证连接的系统及方法。
技术介绍
随着人们对数字化产品的需求不断增加及使用,数字化办公已经成为不可或缺的条件,公司、学校和一些公共场所组建的大型局域网络也是在不断增加,越来越需求组建一个安全稳定的局域网络,然而目前的网络环境中存在着大量的隐患。局域网内用户主机间同过交换机相连,用户主机长期在线,使攻击者很容易就获得了网络拓扑结构,并可针对用户主机进行长期控制监控;大量的通信报文通过广播传输,通信网络呈网状结构,这就给攻击者进行监听和劫取报文创造了良好的环境。这些安全问题就促使我们需要一种按需连接的网络环境,用户上线需通过动态认证的方式进行注册,尽可能减少不需要的网络连接和空闲的用户在线状态,使用户主机的安全性得到最大的保护。
技术实现思路
鉴于此,本专利技术提出了一种在局域网内用户主机按需动态注册认证进行连接的系统及方法,目的是解决普通局域网内用户主机长期在线,网络拓扑基本不变,攻击者可利用该条件进行攻击和信息窃取的风险问题。为了达到上述目的,本专利技术是通过以下技术方案实现的:一种局域网内用户按需动态认证连接的系统,包括三个平面组成,分别为数据平面、控制平面和管理平面,所述数据平面与控制平面之间通过Openflow协议通信,控制平面与管理平面运行在操作系统中,通过进程间通信进行交互,其中:数据平面包括一个Openflow交换机,用于负责与控制平面的数据交互,根据转发策略模块下发的流表进行数据转发;控制平面包括有用户名解析模块和转发策略模块;管理平面包括有用 ...
【技术保护点】
一种局域网内用户按需动态认证连接的系统,包括三个平面组成,分别为数据平面、控制平面和管理平面,其特征在于,所述数据平面与控制平面之间通过Openflow协议通信,控制平面与管理平面运行在操作系统中,通过进程间通信进行交互,其中:数据平面包括一个Openflow交换机,用于负责与控制平面的数据交互,根据转发策略模块下发的流表进行数据转发;控制平面包括有用户名解析模块和转发策略模块;管理平面包括有用户管理模块、组管理模块和连接管理模块。
【技术特征摘要】
1.一种局域网内用户按需动态认证连接的系统,包括三个平面组成,分别为数据平面、控制平面和管理平面,其特征在于,所述数据平面与控制平面之间通过Openflow协议通信,控制平面与管理平面运行在操作系统中,通过进程间通信进行交互,其中:数据平面包括一个Openflow交换机,用于负责与控制平面的数据交互,根据转发策略模块下发的流表进行数据转发;控制平面包括有用户名解析模块和转发策略模块;管理平面包括有用户管理模块、组管理模块和连接管理模块。2.根据权利要求1所述的局域网内用户按需动态认证连接的系统,其特征在于,所述用户名解析模块用于负责注册名和标识名的解析上报工作,识别区分用户主机的注册上线和通信申请行为,并上交申请,非注册用户则不上交通信申请,并记录注册用户的MAC地址和IP地址。3.根据权利要求1所述的局域网内用户按需动态认证连接的系统,其特征在于,所述转发策略模块用于负责根据连接管理模块下发的通信连接需求,生成相应的流表;下发或删除Openflow交换机上的转发流表;转发流表为点对点通信模式,无网状结构连接状态。4.根据权利要求1所述的局域网内用户按需动态认证连接的系统,其特征在于,所述用户管理模块用于负责用户动态注册认证,用户标识动态映射表的维护,以及用户注册名和标识名的带外通告。5.根据权利要求1所述的局域网内用户按需动态认证连接的系统,其特征在于,所述组管理模块用于负责用户间通信权限的管理,即注册用户按照规则被分配到不同权限等级的不同组中。6.根据权利要求1所述的局域网内用户按需动态认证连接的系统,其特征在于,所述连接管理模块用于负责根据用户需求进行连接管理,连接状态的维护。7.一种局域网内用户按需动态认证连接的方法,其特征在于,包括以下步骤:步骤一:用户管理模块根据系统的接口号生成注册名映射表,为每一个与该装置相连的用户主机分配一个注册名,该注册名与接口号绑定,且注册名是动态变换的,通过带外通道通告给用户;步骤二:用户A主机按需申请注册上线,需先通过带外通道的方式获取用户管理模块分配给用户A的注册名;步骤三:用户A向系统发送注册上线申请,申请中包含注册名和申请在线时长;步骤四:系统收到用户A的注册上线申请,由用户名解析模块识别是否为注册申请;若是,将申请上交给用户管理模块...
【专利技术属性】
技术研发人员:张建辉,李晨晖,江逸茗,陈祥,张霞,周锟,
申请(专利权)人:上海红阵信息科技有限公司,国家数字交换系统工程技术研究中心,
类型:发明
国别省市:上海,31
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。