問控制列表中對(duì)新增規(guī)則 進(jìn)行匹配檢測(cè)��,匹配定義為:新增的訪問控制規(guī)則的作用域被已有的訪問控制規(guī)則作用域 覆蓋�,即該新增訪問控制規(guī)則無效。如發(fā)現(xiàn)匹配��,向用戶返回出錯(cuò)信息并拒絕用戶的添加操 作��,否則為該新增規(guī)則生成一個(gè)全局唯一序號(hào)�,向全局訪問控制列表添加該規(guī)則并進(jìn)一步 通過流表項(xiàng)實(shí)現(xiàn)該新增規(guī)則。當(dāng)用戶請(qǐng)求刪除已有規(guī)則時(shí)�,首先從用戶請(qǐng)求中提取待刪除 的規(guī)則序號(hào),對(duì)該序號(hào)的存在性進(jìn)行檢測(cè)�����,如該序號(hào)不存在,向用戶返回出錯(cuò)信息并拒絕用 戶的刪除操作�,否則使用該序號(hào)從全局訪問控制列表中刪除該規(guī)則并觸發(fā)對(duì)流表項(xiàng)的管理 工作。
[0026] 圖4是實(shí)施訪問控制更新的流程圖����。首先判斷更新類型。如果用戶請(qǐng)求增加訪問 控制規(guī)則���,檢測(cè)新增訪問控制規(guī)則中的源網(wǎng)絡(luò)地址字段是否為通配符字段�,若不為通配符�����, 向抽象網(wǎng)絡(luò)視圖管理模塊提供的getDpidSet方法傳入該源網(wǎng)絡(luò)地址����,獲取入口交換機(jī)集 合;若為通配符��,向抽象網(wǎng)絡(luò)視圖管理模塊提供的getDpidSet方法傳入該訪問控制規(guī)則的 目的網(wǎng)絡(luò)地址�����,獲取出口交換機(jī)集合�����。對(duì)于交換機(jī)集合中的每一臺(tái)交換機(jī)�,根據(jù)新增訪問控 制規(guī)則生成一條訪問控制流表項(xiàng)并進(jìn)行下發(fā)。訪問控制流表項(xiàng)被表示為八元組�;{流表項(xiàng) 序號(hào),優(yōu)先級(jí)��,交換機(jī)DPID�����,網(wǎng)絡(luò)層協(xié)議���,源網(wǎng)絡(luò)地址����,目的網(wǎng)絡(luò)地址�����,目的端口號(hào)�,動(dòng)作}, 訪問控制流表項(xiàng)的生成規(guī)則如下�����;為每條流表項(xiàng)生成全局唯一的序號(hào),并確保先生成的流 表項(xiàng)擁有更高的優(yōu)先級(jí)�,流表項(xiàng)的交換機(jī)DPID為對(duì)應(yīng)交換機(jī)集合中的DPID,流表項(xiàng)的網(wǎng)絡(luò) 層協(xié)議����、源網(wǎng)絡(luò)地址、目的網(wǎng)絡(luò)地址�、目的端口號(hào)為對(duì)應(yīng)訪問控制規(guī)則中的對(duì)應(yīng)字段值,流 表項(xiàng)的動(dòng)作字段為DROP當(dāng)對(duì)應(yīng)訪問控制規(guī)則的動(dòng)作字段為DENY,動(dòng)作字段為FORWARDto CONTROLLER當(dāng)對(duì)應(yīng)訪問控制規(guī)則的動(dòng)作字段為A化OW��。維護(hù)一個(gè)訪問控制規(guī)則到訪問控制 流表項(xiàng)的映射表��,記錄訪問控制規(guī)則的序號(hào)到對(duì)應(yīng)流表項(xiàng)序號(hào)的映射關(guān)系�����。如果用戶請(qǐng)求 刪除訪問控制規(guī)則����,根據(jù)待刪除規(guī)則序號(hào)從規(guī)則映射表中獲取對(duì)應(yīng)流表項(xiàng)序號(hào),并利用該 序號(hào)刪除對(duì)應(yīng)流表項(xiàng)�,最后從規(guī)則映射表中刪除指定表項(xiàng)。
[0027] 圖5是動(dòng)態(tài)響應(yīng)網(wǎng)絡(luò)視圖更新的流程圖�。首先監(jiān)聽網(wǎng)絡(luò)主機(jī)更新事件并判斷新事 件的更新類型。若網(wǎng)絡(luò)中新增主機(jī)���,判斷新增主機(jī)與現(xiàn)有訪問控制規(guī)則的關(guān)聯(lián)性�����,即判斷該 主機(jī)的IP地址是否包含在全局訪問控制列表中規(guī)則的網(wǎng)絡(luò)地址字段中�。如果關(guān)聯(lián)���,根據(jù)關(guān) 聯(lián)規(guī)則生成一條新的訪問控制流表項(xiàng)并下發(fā)至指定的交換機(jī)中�,之后更新抽象網(wǎng)絡(luò)視圖�����; 如果不關(guān)聯(lián)�����,直接更新抽象網(wǎng)絡(luò)視圖�。維護(hù)一個(gè)抽象網(wǎng)絡(luò)視圖中接口信息到對(duì)應(yīng)訪問控制 流表項(xiàng)序號(hào)的映射表,若網(wǎng)絡(luò)中某臺(tái)主機(jī)被刪除���,通過查閱該映射表獲取待刪除的流表項(xiàng) 序號(hào)并進(jìn)行刪除�����,之后更新抽象網(wǎng)絡(luò)視圖�����。
【主權(quán)項(xiàng)】
1. 一種用戶驅(qū)動(dòng)的SDN網(wǎng)絡(luò)集中式訪問控制方法����,其特征在于, 該SDN網(wǎng)絡(luò)集中式訪問控制方法通過REST API���、抽象網(wǎng)絡(luò)視圖管理�、訪問控制規(guī)則管 理三大模塊來實(shí)現(xiàn)��; REST API為用戶提供一個(gè)友好的����、集中式的管理接口供用戶添加、刪除與查詢?cè)L問控 制規(guī)則���; 抽象網(wǎng)絡(luò)視圖管理模塊共分為抽象網(wǎng)絡(luò)視圖更新與抽象網(wǎng)絡(luò)視圖查詢兩個(gè)子模塊���, 前者負(fù)責(zé)將全局網(wǎng)絡(luò)視圖簡化為抽象網(wǎng)絡(luò)視圖���,并通過監(jiān)聽網(wǎng)絡(luò)中的主機(jī)更新事件對(duì)該抽 象網(wǎng)絡(luò)視圖進(jìn)行及時(shí)更新,后者負(fù)責(zé)提供全局接口供其他功能模塊對(duì)抽象網(wǎng)絡(luò)視圖進(jìn)行查 詢���; 訪問控制規(guī)則管理模塊由訪問控制列表更新、訪問控制列表實(shí)現(xiàn)����、抽象網(wǎng)絡(luò)視圖更新 處理三個(gè)功能子模塊組成,其中訪問控制列表更新模塊負(fù)責(zé)添加與刪除訪問控制規(guī)則同時(shí) 在添加規(guī)則時(shí)進(jìn)行匹配檢測(cè)����,訪問控制列表實(shí)現(xiàn)負(fù)責(zé)管理交換機(jī)中的流表以實(shí)現(xiàn)新增規(guī)則 與已刪除規(guī)則,抽象網(wǎng)絡(luò)視圖更新處理負(fù)責(zé)對(duì)網(wǎng)絡(luò)中新增以及已刪除的主機(jī)進(jìn)行處理�; 下表2描述了對(duì)訪問控制規(guī)則的定義:每個(gè)訪問控制規(guī)則生成一個(gè)全局唯一的序號(hào),其中網(wǎng)絡(luò)層協(xié)議����、源網(wǎng)絡(luò)地址、目的網(wǎng)絡(luò) 地址����、目的端口號(hào)被稱為匹配字段,該字段既可被指定為一個(gè)特定值也可被指定為通配符 以匹配所有可能的屬性值�����;源網(wǎng)絡(luò)地址與目的網(wǎng)絡(luò)地址被表示為CIDR IP地址,既可表示 一個(gè)特定的IP地址�,也可表示為一個(gè)IP地址范圍;允許用戶通過HTTP請(qǐng)求發(fā)送包含有相 應(yīng)請(qǐng)求信息的JSON字符串實(shí)現(xiàn)添加�����、刪除與查詢?cè)L問控制規(guī)則�; 通過隱藏內(nèi)部網(wǎng)絡(luò)拓?fù)渲挥涗浲獠恐鳈C(jī)與邊緣交換機(jī)的接口信息將全局網(wǎng)絡(luò)視圖映 射為抽象網(wǎng)絡(luò)視圖,并將接口信息表示為三元組:{接口序號(hào)�,交換機(jī)DPID,主機(jī)IP};通過 監(jiān)聽主機(jī)更新事件維護(hù)一個(gè)抽象網(wǎng)絡(luò)視圖并提供一個(gè)全局接口方法getDpidSet����,對(duì)于給定 的CIDR IP地址,通過搜索抽象網(wǎng)絡(luò)視圖�,返回一個(gè)交換機(jī)DPID集合,該集合包含所有與該 IP地址表示的主機(jī)相連的交換機(jī)DPID ; 維護(hù)一個(gè)全局訪問控制列表��,流程為:首先監(jiān)聽用戶對(duì)訪問控制列表的更新請(qǐng)求��,并對(duì) 接收的新請(qǐng)求進(jìn)行有效性檢測(cè)��,若該請(qǐng)求無效則向用戶返回出錯(cuò)信息并繼續(xù)進(jìn)行監(jiān)聽,否 則判斷用戶請(qǐng)求類型��;當(dāng)用戶請(qǐng)求添加新規(guī)則時(shí)�����,首先將該請(qǐng)求轉(zhuǎn)換為一個(gè)對(duì)應(yīng)的訪問控 制列表規(guī)則并在訪問控制列表中對(duì)新增規(guī)則進(jìn)行匹配檢測(cè)��;匹配定義為:新增的訪問控制 規(guī)則的作用域被已有的訪問控制規(guī)則作用域覆蓋�,即該新增訪問控制規(guī)則無效����;如發(fā)現(xiàn)匹 配,向用戶返回出錯(cuò)信息并拒絕用戶的添加操作�����,否則為該新增規(guī)則生成一個(gè)全局唯一序 號(hào)���,向全局訪問控制列表添加該規(guī)則并進(jìn)一步通過流表項(xiàng)實(shí)現(xiàn)該新增規(guī)則����;當(dāng)用戶請(qǐng)求刪 除已有規(guī)則時(shí)���,首先從用戶請(qǐng)求中提取待刪除的規(guī)則序號(hào)����,對(duì)該序號(hào)的存在性進(jìn)行檢測(cè),如 該序號(hào)不存在��,向用戶返回出錯(cuò)信息并拒絕用戶的刪除操作����,否則使用該序號(hào)從全局訪問 控制列表中刪除該規(guī)則并觸發(fā)對(duì)流表項(xiàng)管理工作; 實(shí)施訪問控制更新:首先判斷更新類型���;如果用戶請(qǐng)求增加訪問控制規(guī)則���,檢測(cè)新增 訪問控制規(guī)則中的源網(wǎng)絡(luò)地址字段是否為通配符字段,若不為通配符�����,向抽象網(wǎng)絡(luò)視圖管 理模塊提供的getDpidSet方法傳入該源網(wǎng)絡(luò)地址��,獲取入口交換機(jī)集合��;若為通配符�����,向 抽象網(wǎng)絡(luò)視圖管理模塊提供的getDpidSet方法傳入該訪問控制規(guī)則的目的網(wǎng)絡(luò)地址,獲 取出口交換機(jī)集合�����;對(duì)于交換機(jī)集合中的每一臺(tái)交換機(jī)���,根據(jù)新增訪問控制規(guī)則生成一條 訪問控制流表項(xiàng)并進(jìn)行下發(fā)�����;訪問控制流表項(xiàng)被表示為八元組:{流表項(xiàng)序號(hào),優(yōu)先級(jí)��,交 換機(jī)DPID����,網(wǎng)絡(luò)層協(xié)議,源網(wǎng)絡(luò)地址�����,目的網(wǎng)絡(luò)地址�����,目的端口號(hào),動(dòng)作}���,訪問控制流表項(xiàng) 的生成規(guī)則如下:為每條流表項(xiàng)生成全局唯一的序號(hào)�,并確保先生成的流表項(xiàng)擁有更高的 優(yōu)先級(jí)�����,流表項(xiàng)的交換機(jī)DPID為對(duì)應(yīng)交換機(jī)集合中的DPID�����,流表項(xiàng)的網(wǎng)絡(luò)層協(xié)議�、源網(wǎng)絡(luò) 地址、目的網(wǎng)絡(luò)地址����、目的端口號(hào)為對(duì)應(yīng)訪問控制規(guī)則中的對(duì)應(yīng)字段值,流表項(xiàng)的動(dòng)作字段 為DROP當(dāng)對(duì)應(yīng)訪問控制規(guī)則的動(dòng)作字段為DENY�,動(dòng)作字段為FORWARD to CONTROLLER當(dāng) 對(duì)應(yīng)訪問控制規(guī)則的動(dòng)作字段為ALLOW ;維護(hù)一個(gè)訪問控制規(guī)則到訪問控制流表項(xiàng)的映射 表,記錄訪問控制規(guī)則的序號(hào)到對(duì)應(yīng)流表項(xiàng)序號(hào)的映射關(guān)系��;如果用戶請(qǐng)求刪除訪問控制 規(guī)則�,根據(jù)待刪除規(guī)則序號(hào)從規(guī)則映射表中獲取對(duì)應(yīng)流表項(xiàng)序號(hào)��,并利用該序號(hào)刪除對(duì)應(yīng) 流表項(xiàng)����,最后從規(guī)則映射表中刪除指定表項(xiàng)����; 動(dòng)態(tài)響應(yīng)網(wǎng)絡(luò)視圖更新:首先監(jiān)聽網(wǎng)絡(luò)主機(jī)更新事件并判斷新事件的更新類型;若網(wǎng) 絡(luò)中新增主機(jī)�,判斷新增主機(jī)與現(xiàn)有訪問控制規(guī)則的關(guān)聯(lián)性,即判斷該主機(jī)的IP地址是否 包含在全局訪問控制列表中規(guī)則的網(wǎng)絡(luò)地址字段中�����;如果關(guān)聯(lián)��,根據(jù)關(guān)聯(lián)規(guī)則生成一條新 的訪問控制流表項(xiàng)并下發(fā)至指定的交換機(jī)中��,之后更新抽象網(wǎng)絡(luò)視圖����;如果不關(guān)聯(lián)�,直接更 新抽象網(wǎng)絡(luò)視圖;維護(hù)一個(gè)抽象網(wǎng)絡(luò)視圖中接口信息到對(duì)應(yīng)訪問控制流表項(xiàng)序號(hào)的映射 表�,若網(wǎng)絡(luò)中某臺(tái)主機(jī)被刪除��,通過查閱該映射表獲取待刪除的流表項(xiàng)序號(hào)并進(jìn)行刪除�����,之 后更新抽象網(wǎng)絡(luò)視圖��。
【專利摘要】一種用戶驅(qū)動(dòng)的SDN網(wǎng)絡(luò)集中式訪問控制方法�����,屬于計(jì)算機(jī)應(yīng)用技術(shù)領(lǐng)域�。其特征是使用REST API為用戶提供一個(gè)友好的�����、集中式的管理接口�����;將全局網(wǎng)絡(luò)視圖簡化為抽象網(wǎng)絡(luò)視圖����;對(duì)用戶請(qǐng)求新增的訪問控制列表規(guī)則進(jìn)行匹配檢測(cè);根據(jù)用戶請(qǐng)求通過主動(dòng)方式基于抽象網(wǎng)絡(luò)視圖實(shí)現(xiàn)訪問控制���;動(dòng)態(tài)響應(yīng)網(wǎng)絡(luò)視圖更新事件及時(shí)更新流表�����。本發(fā)明提供了集中式接口為用戶簡化了網(wǎng)絡(luò)管理����,采用主動(dòng)方式實(shí)現(xiàn)訪問控制降低數(shù)據(jù)包轉(zhuǎn)發(fā)時(shí)延,通過進(jìn)行匹配檢測(cè)節(jié)約流表空間�����,并能動(dòng)態(tài)響應(yīng)網(wǎng)絡(luò)視圖更新事件確保高層決策的正確性��。
【IPC分類】H04L29/06
【公開號(hào)】CN104901958
【申請(qǐng)?zhí)枴緾N201510266393
【發(fā)明人】李克秋, 盧鵬飛, 齊恒, 喻海生
【申請(qǐng)人】大連理工大學(xué)
【公開日】2015年9月9日
【申請(qǐng)日】2015年5月21日