(19)中华人民共和国国家知识产权局(12)发明专利申请(10)申请公布号CN105978810A(43)申请公布日2016.09.28(21)申请号201610480573.8(22)申请日2016.06.27(71)申请人上海斐讯数据通信技术有限公司地址201616上海市松江区思贤路3666号(72)发明人翟跃(51)Int.Cl.H04L12/721(2013.01)H04L12/751(2013.01)H04L29/06(2006.01)权利要求书2页说明书8页附图3页(54)发明名称基于SDN的用户认证方法及系统(57)摘要一种基于SDN的用户认证方法及系统，其中，所述基于SDN的用户认证方法包括：提供一控制器，所述控制器包括用户认证数据库，以存储至少一用户认证信息；当所述控制器接收来自一交换机发送的未匹配流表的用户报文时，该控制器要求与所述用户报文对应的客户端进行用户认证，并将所述客户端发送的认证信息在所述用户认证数据库中进行认证，认证通过后，所述控制器向所述交换机下发用于转发该用户报文的流表。在处理未匹配流表的用户报文时，通过SDN中控制器对发送给该用户报文的客户端进行用户认证，通过控制器对客户端的接入配置进行集中控制，便于管理和运营维护，提高了配置效率，降低了对管理员的要求。CN105978810ACN105978810A权利要求书1/2页1.一种基于SDN的用户认证方法，其特征在于，包括：提供一控制器，所述控制器包括用户认证数据库，以存储至少一用户认证信息；当所述控制器接收来自一交换机发送的未匹配流表的用户报文时，该控制器要求与所述用户报文对应的客户端进行用户认证，并将所述客户端发送的认证信息在所述用户认证数据库中进行认证，认证通过后，所述控制器向所述交换机下发用于转发该用户报文的流表。2.根据权利要求1所述的基于SDN的用户认证方法，其特征在于，所述用户认证信息包括预设客户端ID及其对应的预设密码信息；所述控制器要求与所述用户报文对应的客户端进行用户认证，并将所述客户端发送的认证信息在所述用户认证数据库中进行认证，包括：所述控制器向所述客户端发送身份验证请求；所述客户端接收所述身份验证请求，并向所述控制器发送其客户端ID；在所述客户端ID为预设客户端ID时，所述控制器向所述客户端发送密码验证请求；所述客户端接收所述密码验证请求，并向所述控制器发送密码信息；所述控制器判断所述密码信息是否为与客户端ID对应的预设密码信息；若是，所述客户端通过所述用户认证。3.根据权利要求2所述的基于SDN的用户认证方法，其特征在于，所述密码信息包括预设认证密码和预设认证密钥；所述密码验证请求包括与所述客户端ID对应的预设认证密钥；所述密码信息包括通过所述预设认证密钥加密的认证密码；所述控制器判断所述密码信息是否为与客户端ID对应的预设密码信息包括：所述控制器对通过预设认证密钥加密后的认证密码进行解密；判断解密后的认证密码是否为与客户端ID对应的预设认证密码；若解密后的认证密码为与客户端ID对应的预设认证密码，所述客户端通过所述用户认证。4.根据权利要求2或3所述的基于SDN的用户认证方法，其特征在于，所述控制器通过EAP报文向所述客户端发送身份验证请求和密码验证请求。5.根据权利要求1至4任一所述的基于SDN的用户认证方法，其特征在于，若所述客户端未通过所述用户认证，则所述控制器丢弃所述用户报文。6.一种基于SDN的用户认证系统，其特征在于，包括客户端、交换机和控制器；所述控制器包括用户认证数据库，以存储至少一用户认证信息；所述控制器用于在接收来自一交换机发送的未匹配流表的用户报文时，要求与所述用户报文对应的客户端进行用户认证，并将所述客户端发送的认证信息在所述用户认证数据库中进行认证，以及在认证通过后，用于向所述交换机下发用于转发该用户报文的流表。7.根据权利要求6所述的基于SDN的用户认证系统，其特征在于，所述用户认证信息包括预设客户端ID及其对应的预设密码信息；所述控制器还包括：报文接收单元，与所述交换机连接，用于接收未匹配流表的用户报文；第一请求单元，与所述交换机和报文接收单元连接，用于通过所述交换机向与未匹配流表的所述用户报文对应的客户端发送身份验证请求；身份验证单元，与所述用户认证数据库和交换机连接，用于通过所述交换机接收所述客户端的客户端ID，以及判断所述客户端ID是否为预设客户端ID；2CN105978810A权利要求书2/2页第二请求单元，与所述身份验证单元和所述交换机连接，用于在所述客户端ID为预设客户端ID时，通过所述交换机向所述客户端发送密码验证请求；密码验证单元，与所述用户认证数据库和交换机连接，用于通过所述交换机接收所述客户端发送的密码信息，以及判断所述密码信息是否为与客户端ID对应的预设密码信息；