[发明专利]一种BYOD访问控制的方法及装置

说明书

本发明公开了一种BYOD访问控制方法及装置。利用SDN网络中控制平面和转发平面相分离的特点，并根据SDN网络中控制平面对全网拓扑的了解和对全网的控制能力，实现SDN网络中对BYOD终端设备的接入访问权限、访问路径和SDN转发设备的精细化控制。

技术领域

本发明涉及通信技术领域，尤其涉及一种基于SDN网络BYOD（Bring Your Device，自带设备）访问控制的方法及装置。

背景技术

在现有技术中，提到BYOD概念，人们就会想到用户使用自己的设备（个人电脑、手机、平板电脑等）接入公司网络及办公应用系统。对于BYOD技术，虽然方便了人们办公，但与此同时，也给公司的网络安全带来了更大的风险，如何识别个人设备，并赋予个人设备给予精确的访问路径和接入权限成了网络管理中的难题。

发明内容

有鉴于此，本发明提供一种BYOD访问控制的方法及装置，以解决上述问题。

本发明提供一种BYOD访问控制方法，应用于包含有控制平面和转发平面的SDN网络中，用户终端设备通过转发平面与控制平面交互，其中所述方法包括：

所述控制平面接收来自用户终端设备的访问请求；

所述控制平面判断用户终端设备是否具有访问权限；

当判断用户终端设备具有访问权限之后，为所述用户终端设备选择访问路径并开放接入访问权限。

进一步地，在所述控制平面接收来自用户终端设备的访问请求之前，还包括：

所述用户终端设备向网管服务器进行接入认证注册，并在所述用户终端设备接入认证注册完成后，所述网管服务器会将该用户终端设备的识别信息、接入访问权限以及其他相应的网络配置信息翻译成SDN网络对应的流规则后上传给所述控制平面。

进一步地，所述控制平面确定用户终端设备是否具有访问权限，具体为：

所述控制平面接收到用户终端设备接入访问请求后，获取该终端设备的识别信息，并根据其上是否保存有该用户终端设备的识别信息与接入访问权限、其他相应的网络配置信息对应关系确定用户终端设备是否具有访问权限。

进一步地，所述控制平面为用户终端设备提供访问路径，具体为：

获取所述终端设备访问的应用类型，根据所述访问的应用类型，为终端设备选择满足该应用类型的最佳访问路径。

进一步地，所述控制平面具体为SDN控制器及其上层应用；所述转发平面是指为终端设备提供业务流转发路径的SDN交换机。

本发明同时提供一种BYOD访问控制装置，应用于包含有控制平面和转发平面的SDN网络中，用户终端设备通过转发平面与控制平面交互，其中所述装置包括：

接收模块，用于接收来自用户终端设备的访问请求；

判断模块，用于判断用户终端设备是否具有访问权限；

处理模块，用于当判断用户终端设备具有访问权限之后，为所述用户终端设备选择访问路径并开放接入访问权限。

进一步地，在所述接收模块在接收来自用户终端设备的访问请求之前，还用于：

所述接收模块在用户终端设备向网管服务器进行接入认证注册，并在所述用户终端设备接入认证注册完成后，接收网管服务器上送的对应该用户终端设备的识别信息、接入访问权限以及其他相应的网络配置信息的SDN流规则。

进一步地，所述判断模块判断用户终端设备是否具有访问权限，具体为：