基于軟件定義網(wǎng)絡(luò)的訪問控制列表運(yùn)行系統(tǒng)和方法
【技術(shù)領(lǐng)域】
[0001] 本發(fā)明涉及一種基于軟件定義網(wǎng)絡(luò)(SDN����,Software Defined Network)的訪問控 制列表(ACL,Access Control List)運(yùn)行系統(tǒng)和方法����,能根據(jù)需求自動(dòng)生成端對端的全網(wǎng) ACL規(guī)則,屬于網(wǎng)絡(luò)通信安全領(lǐng)域�。
【背景技術(shù)】
[0002] 為了保護(hù)內(nèi)部網(wǎng)絡(luò)資源不被他人侵?jǐn)_,提供允許或阻止業(yè)務(wù)來往的網(wǎng)絡(luò)通信安全 機(jī)制是非常必要的���。因此為了保護(hù)網(wǎng)絡(luò)的安全�����,最普遍的方案就是ACL����。ACL是路由器和交 換機(jī)接口的指令列表���,其基本用途是限制訪問網(wǎng)絡(luò)的用戶����,其通過使用包過濾技術(shù),對經(jīng)過 路由器的數(shù)據(jù)包按照設(shè)定的規(guī)則進(jìn)行過濾�����,可以使數(shù)據(jù)包有選擇的通過路由器�����,以起到防 火墻的作用��。
[0003] ACL由一組規(guī)則組成�����,在規(guī)則中定義允許或拒絕通過路由器的條件�����。ACL的過濾是 在路由器上讀取第三層及第四層包頭中的信息如源地址��、目的地址、源端口��、目的端口等�����, 根據(jù)預(yù)先定義好的規(guī)則對數(shù)據(jù)包進(jìn)行過濾�,從而達(dá)到訪問控制的目的���。一般情況下����,ACL的 過濾依據(jù)主要包括源MAC (Media Access Control�����,媒體訪問控制)地址�、目的MAC地址、源 IP地址�����、目的IP地址和四層協(xié)議字段等���。
[0004] 而ACL的限制內(nèi)容通常包括:1�、允許哪些用戶訪問網(wǎng)絡(luò),這是根據(jù)用戶的IP地址 進(jìn)行的限制�;2、允許用戶訪問的類型�,如允許http和ftp的訪問,但拒絕Telnet的訪問����,這 是根據(jù)用戶使用的上層協(xié)議進(jìn)行的限制。
[0005] ACL是由多條判斷指令組成的�����。每條指令給出一個(gè)條件和處理方式(也就是允許 或拒絕)��。路由器對收到的數(shù)據(jù)包按照判斷指令的書寫次序進(jìn)行檢查���,當(dāng)遇到相匹配的條件 時(shí)�,就按照指定的處理方式進(jìn)行處理����。ACL中各指令的書寫次序非常重要,如果一個(gè)數(shù)據(jù)包 和其中某一個(gè)判斷指令的條件相匹配時(shí)�,該數(shù)據(jù)包的匹配過程就結(jié)束了����,剩下的條件指令 就直接被忽略了�。
[0006] 傳統(tǒng)的ACL存在其局限性,由于ACL是使用包過濾技術(shù)來實(shí)現(xiàn)的�����,過濾的依據(jù)又 僅僅只是第三層和第四層包頭中的部分信息����,這種技術(shù)具有一些固有的局限性�����,具體包括 以下兩大缺點(diǎn)���,一是無法識(shí)別到具體的用戶�����,無法識(shí)別到應(yīng)用內(nèi)部的權(quán)限級(jí)別等��;另外�����,ACL 的配置是基于一臺(tái)路由器����,如果要實(shí)現(xiàn)端對端的權(quán)限控制目的,要求網(wǎng)絡(luò)管理員對具體業(yè) 務(wù)和網(wǎng)絡(luò)拓?fù)浞浅A私?,對于一個(gè)較大規(guī)模的網(wǎng)絡(luò),這項(xiàng)工作顯然不夠輕松��,而且非常容易 出錯(cuò)���。
【發(fā)明內(nèi)容】
[0007] 本發(fā)明的目的在于提供一種基于SDN的訪問控制列表運(yùn)行系統(tǒng)和方法�����,能自動(dòng)計(jì) 算完成訪問控制列表的生成��,并根據(jù)用戶需求自動(dòng)生成端對端的全網(wǎng)ACL規(guī)則�,簡化了網(wǎng) 絡(luò)維護(hù)工作��。
[0008] 為了達(dá)到上述目的���,本發(fā)明提供一種基于SDN的訪問控制列表運(yùn)行系統(tǒng)��,其基于 路由器設(shè)置����,包含:多個(gè)SDN交換機(jī),其中�,至少一個(gè)SDN交換機(jī)與Internet用戶連接,至少 一個(gè)SDN交換機(jī)與網(wǎng)絡(luò)資源連接�,其余SDN交換機(jī)為中間轉(zhuǎn)發(fā)接點(diǎn);SDN控制器�,其分別與 各個(gè)所述的SDN交換機(jī)相連接。
[0009]本發(fā)明還提供一種基于SDN的訪問控制列表運(yùn)行方法����,其基于所述的訪問控制列 表運(yùn)行系統(tǒng)實(shí)現(xiàn),具體包含以下步驟: 51����、 SDN控制器獲取網(wǎng)絡(luò)結(jié)構(gòu)和網(wǎng)絡(luò)資源��,并向所有SDN交換機(jī)下發(fā)交換機(jī)流表���; 52�、 SDN交換機(jī)接收用戶發(fā)出的報(bào)文���,并查詢交換機(jī)流表進(jìn)行匹配�;如報(bào)文與交換機(jī)流 表相匹配,則按交換機(jī)流表的規(guī)則轉(zhuǎn)發(fā)報(bào)文���;如報(bào)文與交換機(jī)流表不相匹配��,則繼續(xù)執(zhí)行 S3���; 53、 SDN交換機(jī)將未與交換機(jī)流表匹配的報(bào)文發(fā)送至SDN控制器���,并由SDN控制器對該 報(bào)文與ACL Profile表進(jìn)行匹配����;將未與ACL Profile表中任意ACL條目相匹配的報(bào)文丟 棄�; 54、 對于與ACL Profile表中某一 ACL條目相匹配的報(bào)文��,由SDN控制器確定其轉(zhuǎn)發(fā)路 徑���,在轉(zhuǎn)發(fā)路徑經(jīng)過的所有SDN交換機(jī)接口上設(shè)置與該報(bào)文相匹配的ACL條目規(guī)則���,并將該 報(bào)文按所選擇的轉(zhuǎn)發(fā)路徑進(jìn)行轉(zhuǎn)發(fā)����; 55����、 對SDN交換機(jī)上設(shè)置的ACL條目規(guī)則設(shè)置老化機(jī)制,將一定老化時(shí)間內(nèi)未被報(bào)文匹 配的ACL條目規(guī)則刪除���。
[0010]所述的Sl中���,具體包含以下步驟: Sl 1、SDN控制器根據(jù)LLDP協(xié)議獲知全網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)����; 512、 SDN控制器獲取計(jì)算資源���,存儲(chǔ)資源和網(wǎng)絡(luò)資源在網(wǎng)絡(luò)中的分布和位置; 513����、 SDN控制器向所有SDN交換機(jī)下發(fā)交換機(jī)流表,在SDN交換機(jī)上設(shè)置該交換機(jī)流 表的規(guī)則�����。
[0011] 所述的ACL Profi Ie表中還包含位于所有ACL條目之后的Deny Any條目,其表示 任何一個(gè)與之前各ACL條目都不匹配的報(bào)文將會(huì)被拒絕�����。
[0012]所述的ACL條目的字段結(jié)構(gòu)包含:源端條件����,其是源MAC地址、源IP地址��、源TCP端口�、源UDP端口中的一個(gè)條件,或是上述多個(gè)條件的"與"關(guān)系�����,或是上述多個(gè)條件的"或" 關(guān)系��;目的端條件�,其是目的MAC地址、目的IP地址��、目的TCP端口���、目的UDP端口中的一個(gè) 條件�,或是上述多個(gè)條件的"與"關(guān)系,或是上述多個(gè)條件的"或"關(guān)系��;動(dòng)作����,其包含允許或 拒絕;方向�����,其包含In方向和Out方向���,In方向表示在報(bào)文進(jìn)入時(shí)使用ACL進(jìn)行過濾��,Out 方向表示報(bào)文離開時(shí)使用ACL進(jìn)行過濾�����。
[0013] 所述的S3中�,具體包含以下步驟: 531����、 SDN交換機(jī)將未與交換機(jī)流表匹配的報(bào)文發(fā)送至SDN控制器; 532�����、 SDN控制器判斷報(bào)文是否匹配ACL Profile表中的其中一條ACL條目中的源端條 件和目的端條件�;如不匹配,則丟棄報(bào)文����;如匹配,則繼續(xù)執(zhí)行S33; 533���、 對于與報(bào)文匹配的ACL條目���,判斷其動(dòng)作是否為允許;如為拒絕��,則丟棄報(bào)文����;如 為允許,則繼續(xù)執(zhí)行S4�����。
[0014] 所述的S32中,具體包含以下步驟: 5321���、 讀取ACL Profile表中的一條ACL條目�; 5322�、 判斷報(bào)文是否匹配該ACL條目中的源端條件;如匹配���,則繼續(xù)執(zhí)行S323 ;如不匹 配��,則繼續(xù)執(zhí)行S324; 5323�����、 判斷報(bào)文是否匹配該ACL條目中的目的端條件�;如匹配�����,則繼續(xù)執(zhí)行S33 ;如不匹 配����,則繼續(xù)執(zhí)行S324; 5324�、 判斷當(dāng)前ACL條目是否為ACL Profile表中的最后一條ACL條目���,如不是,則繼 續(xù)讀取ACL Profile表中的下一條ACL條目�����,并返回執(zhí)行S322 ;如是�,則將報(bào)文匹配Deny Any條目,并丟棄報(bào)文�。
[0015] 所述的S5中,具體包含以下步驟: 551���、 SDN控制器設(shè)置老化時(shí)間�����; 552�����、 對于設(shè)置了 ACL條目規(guī)則且已經(jīng)與報(bào)文匹配的SDN交換機(jī)�,刷新其老化時(shí)間��; 553、 對于設(shè)置了 ACL條目規(guī)則但尚未與報(bào)文匹配的SDN交換機(jī)����,計(jì)算其設(shè)置ACL條目 規(guī)則后所經(jīng)過的時(shí)間,并判斷是否超過老化時(shí)間���;如未超過����,則返回執(zhí)行S53 ;如超過�,則繼 續(xù)執(zhí)行S54 ; 554、 刪除SDN交換機(jī)上的ACL條目規(guī)則���。
[0016] 所述的ACL條目規(guī)則采用多級(jí)流表結(jié)構(gòu)��,其中第一級(jí)流表用于匹配入端口 In方 向�����,后續(xù)N級(jí)流表用于匹配源端條件�,再接著的M級(jí)流表用于匹配目的端條件����,最后一級(jí)流 表用于匹配出端口 Out方向��。
[0017] 所述的ACL條目規(guī)則中還包含用于識(shí)別報(bào)文第七層的用戶字段���,其能夠識(shí)別某個(gè) 具體用戶。
[0018] 綜上所述����,本發(fā)明所提供的基于SDN的訪問控制列表運(yùn)行系統(tǒng)和方法�����,其基于SDN 架構(gòu)��,SDN控制器可以根據(jù)用戶需求自動(dòng)生成端對端的全網(wǎng)ACL規(guī)則�����,擴(kuò)展的ACL流表采用 協(xié)議無感知的設(shè)計(jì)����,可以精確地識(shí)別到具體用戶;并且SDN控制器能自動(dòng)計(jì)算完成訪問控 制列表的生成��,簡化了網(wǎng)絡(luò)維護(hù)工作�。
【附圖說明】
[0019] 圖1為本發(fā)明中基于SDN的訪問控制列表運(yùn)行系統(tǒng)的結(jié)構(gòu)示意圖���; 圖2為本發(fā)明中基于SDN的訪問控制列表運(yùn)行方法的流程圖; 圖3為本發(fā)明中SDN控制器獲取網(wǎng)絡(luò)結(jié)構(gòu)��、資源信息并下發(fā)ACL流表的流程圖����; 圖4為本發(fā)明中SDN控制器對報(bào)文進(jìn)行ACL Profile匹配的流程圖; 圖5為本發(fā)明中對ACL條目規(guī)則設(shè)置老化機(jī)制的流程圖��; 圖6為本發(fā)明中ACL條目規(guī)則的結(jié)構(gòu)示意圖����; 圖7為本發(fā)明中基于SDN的訪問控制列表運(yùn)行模擬環(huán)境的示意圖。
【具體實(shí)施方式】
[0020] 以下結(jié)合圖1~圖7,通過詳細(xì)說明一個(gè)較佳的具體實(shí)施例�,對本發(fā)明做進(jìn)一步闡 述。
[0021] 如圖1所示���,為本發(fā)明提供的基于SDN的訪問控制列表運(yùn)行系統(tǒng)����,其基于路由器設(shè) 置��,包含:多個(gè)SDN交換機(jī)�����,其中,至少一個(gè)SDN交換機(jī)Sl與Internet用戶連接���,至少一個(gè) SDN交換機(jī)S4與網(wǎng)絡(luò)資源連接�����,其余SDN交換機(jī)S2和S3為中間轉(zhuǎn)發(fā)接點(diǎn)�;SDN控制器����,其 分別與各個(gè)所述的SDN交換機(jī)相連接��。
[0022] 如圖2所示�����,本發(fā)明還提供一種基于SDN的訪問控制列表運(yùn)行方法��,具體包含以下 步驟: 51�、 SDN控制器獲取網(wǎng)絡(luò)結(jié)構(gòu)和網(wǎng)絡(luò)資源,并向所有SDN交換機(jī)下發(fā)交換機(jī)流表��; 52、 SDN交換機(jī)接收用戶發(fā)出的報(bào)文��,并查詢交換機(jī)流表進(jìn)行匹配����;如報(bào)文與交換機(jī)流 表相匹配,則按交換機(jī)流表的規(guī)則轉(zhuǎn)發(fā)報(bào)文����;如報(bào)文與交換機(jī)流表不相匹配,則繼續(xù)執(zhí)行 S3 ���; 53��、 SDN交換機(jī)將未與交換機(jī)流表匹配的報(bào)文發(fā)送至SDN控制器���,并由SDN控制器對該 報(bào)文與ACL Profile表進(jìn)行匹配;將未與ACL Profile表中任意ACL條目相匹配的報(bào)文丟 棄��; 54���、 對于與ACL Profile表中某一 ACL條目相匹配的報(bào)文�,由SDN控制器確定其轉(zhuǎn)發(fā)路 徑,在轉(zhuǎn)發(fā)路徑經(jīng)過的所有SDN交換機(jī)接口上設(shè)置與該報(bào)文相匹配的ACL條目規(guī)則(也稱為 下發(fā)ACL流表)�����,并將該報(bào)文按所選擇的轉(zhuǎn)發(fā)路徑進(jìn)行轉(zhuǎn)發(fā)����; 55、 對SDN交換機(jī)上設(shè)置的ACL條目規(guī)則設(shè)置老化機(jī)制���,將一定老化時(shí)間內(nèi)未被報(bào)文匹 配的ACL條目規(guī)則刪除���。
[0023] 如圖3所示,所述的S1中�����,具體包含以下步驟: SlUSDN控制器根據(jù)LLDP (Link Layer Discovery Protocol�����,鏈路層發(fā)現(xiàn)協(xié)議)協(xié)議 獲知全網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)���; 512、 SDN控制器獲取計(jì)算資源���,存儲(chǔ)資源和網(wǎng)絡(luò)資源在網(wǎng)絡(luò)中的分布和位置�����; 513���、 SDN控制器向所有SDN交換機(jī)下發(fā)交換機(jī)流表��,在SDN交換機(jī)上設(shè)置該交換機(jī)流 表的規(guī)則�。
[0024] 所述的ACL Profile表中除了包含多個(gè)ACL條目�,還包含位于整個(gè)ACL Profile 表最后(即所有ACL條目之后)的拒絕所有條目(Deny Any),其表示任何一個(gè)與之前各ACL 條目都不匹配的報(bào)文將會(huì)被拒絕����。
[0025] 如下表所示,為所述的ACL Profile表的ACL條目的字段結(jié)構(gòu)���,包含:源端條件�����, 其是源MAC地址�、源IP地址、源TCP (Transmission Control Protocol�����,傳輸控制協(xié)議)端 口���、源UDP (User Datagram Pr