公开(公告)号：CN106790219A

公开(公告)日：2017-05-31

申请号：CN201710018099.1

申请日：2017-01-10

Applicant: 中国科学院信息工程研究所

Inventor： 荀浩 ,  宋晨 ,  王利明 ,  史淼 ,  杨倩 ,  谢德俊

IPC: H04L29/06 ,  H04L12/24

Abstract: 本发明公开了一种SDN控制器的访问控制方法及系统。本系统包括SDN控制器、交换机和至少一项北向应用；北向应用分为三种安全级别：管理员类别、网络配置类别和用户类别；其中，管理员类别允许读写数据平面中的设备数据；网络配置类别的北向应用允许读写数据平面中的用于管理转发数据包的控制数据，以及数据平面中的用于控制数据包转发的控制数据；用户类别允许读写数据平面中的转发数据；所述北向应用将用户分类在对应用的安全级别中；以及将用户信息以及访问请求发送给SDN控制器中对应的基础应用；该基础应用根据用户的安全级别确定该用户是否具有对所请求访问数据的访问权限，进行访问控制。本发明提高了SDN网络中网络信息的机密性。

公开(公告)号：CN106341418A

公开(公告)日：2017-01-18

申请号：CN201610877753.X

申请日：2016-10-08

Applicant: 中国科学院信息工程研究所

Inventor： 杨倩 ,  宋晨 ,  荀浩 ,  史淼 ,  谢德俊 ,  王利明

IPC: H04L29/06

CPC classification number: H04L63/1458 ,  H04L63/1408

Abstract: 本发明公开了一种DNS分布式反射型拒绝服务攻击检测、防御方法与系统。本方法为：1)SDN控制器提取网络中匹配各个交换机流表的数据包字节数，计算同一交换机中相同IP地址的上下行流量差异值P，若P大于阈值，则生成对较小流量进行采样标记的流表规则并下发到交换机；2)各交换机根据该流表规则对数据包进行采样；3)分析模块根据采样信息将数据包的源、目的IP地址以及经过的所有交换机ID和入口端口信息发送到SDN控制器；4)SDN控制器根据网络拓扑确定数据包进入网络的首个交换机ID和入口端口，将该首个交换机ID与该数据包的地址对应的流表所属的交换机ID信息进行比较，若不匹配，则检测为攻击流量，对其进行隔离。