CN106162639A - 基于Floodlight的SDN无线网络管理平台及认证方法 - Google Patents

Abstract

本发明是一种基于Floodlight的SDN无线网络管理平台及认证方法，属于无线网络管理领域。本发明的无线网络管理平台，在Apache服务器上实现，包括***管理模块、拓扑管理模块、配置管理模块、用户管理模块、AP管理模块和数据统计模块。在控制器中增加用于周期性地监视用户信息变化的线程。AP管理模块作为无线AP同时实现OpenFlow交换机功能。数据统计模块周期性获取网络数据，根据数据分析模型预测网络状态。通过分布式数据库彼此同步添加/修改的用户信息，保持整个网络的用户一致。本发明可实时处理频繁的用户变化，适应无线网络的管理需求，增加了SDN控制器数据存储与反馈能力，实现了网络用户认证的统一。

Description

基于Floodlight的SDN无线网络管理平台及认证方法

技术领域

本发明属于无线网络管理领域，涉及SDN的网络管理，具体涉及一种基于SDN控制器的集中式WLAN***的网络管理与用户认证方式。

背景技术

无线局域网技术由于其廉价高效的特性越来越得到广泛的应用，目前基于802.11协议的无线接入点(Access Point，AP)已经成为现阶段无线通信网络不可或缺的重要组成部分。无线网络流量的迅猛增加和用户需求的提升使得大量企业与场所开始布置自己的无线局域网，而一个无线接入节点的布网方式早已不能满足中大型场景的需要，基于802.11协议族的WLAN组网方式由于其方便部署、高性价比的特点，是现在各个客户的首选方案。目前大多数使用的WLAN架构是基于分布式的自主管理架构，即胖AP架构。AP直接控制WLAN用户的接入和认证过程，可以完成用户数据加密、用户认证、QOS等功能。由于每个AP都是一个单独的节点，独立于配置、其信道和功率，安装十分简便。然而，由于频段受限与MAC竞争机制的限制，以及无线接入点的快速增长；分布式的无线接入点之间干扰严重，难以管理。因此许多企业级WLAN***引入了基于接入控制(Access Control，AC)的瘦AP架构，所有无线接入功能由AP和AC共同完成，AC实现网络的QoS，移动性管理，资源分配，负载均衡等高级网络功能；AP则将工作重点放在无线功能上。AC与AP之间则通过国际标准的CAPWAP和LWAPP协议通信。这种集中管理的瘦AP结构能够提供统一的认证与安全设置，高效的网络管理以及区域内用户的切换与漫游服务，适用于较大型场景的应用。然而，这些瘦AP的解决方案通常是闭源的、专有的、昂贵的，且主要依靠硬件实现的，因而限制了整个网络的灵活性和扩展型。

其中基于Floodlight控制器的企业级SDN-WLAN***成为改变现状的一种有效解决方案。软件定义网络(Software Defined Network,SDN)，是一种新型网络创新架构，是网络虚拟化的一种实现方式，其核心技术OpenFlow通过将网络设备控制面与数据面分离开来，从而实现了网络流量的灵活控制，使网络作为管道变得更加智能。总的来说，SDN网络分成三层，即数据层，控制层和应用层。数据层的网络设备只负责单纯的数据转发，可以采用通用的硬件，专注于提升数据转发能力；而原来负责控制的操作***将提炼为独立的网络操作***，划分为控制层，负责对不同业务特性进行适配，而且网络操作***和业务特性以及硬件设备之间的通信都可以通过编程实现。Floodlight就是基于JAVA开发的模块化OpenFlow控制器，可以选择Floodlight启动时候所加载的模块，也可以加入你自己定义的功能的模块。而最上面的应用层，可以收集利用控制层获取的底层资源与信息，做出全局化，高层次的控制管理与网络优化，实现以需求为主导的网络应用。这种基于通用硬件和可编程软件的组网方式让网络具有更好的拓展性，造价更加低廉，升级更加方便，管理更加灵活。

在基于软件定义网络的WLAN中，AP只是作为实现无线接收和数据转发的单元，不具备网络智能，上层的功能需要控制器来实现，包括用户接入、安全认证、转发路径、移动性管理、功率控制等。并且控制器只是提供类似于操作***一样的资源抽象化流程，具体更高级的无线网络管理由应用层编写的软件程序代码实现。本发明将基于Floodlight控制器，实现网络的管理与用户的认证接入。在参考文献[1][2][3]中，已经提出了基于SDN的WLAN具体组网方案。整个WLAN网络都处于控制器的统一管理之中，网络管理者可以根据自身的需求动态改变管理方案，以适应网络状态的变化。由于大规模WLAN***对于接入管理有着更为严格的要求，统一管理下的网络平台能够方便的提供更加多样化的网络管理服务和多层次的权限管理。因此大大降低网络受到配置错误和错误操作带来的损失。这些方案的重点在于实现SDN网络的在无线体系中的实现，以达成控制的集中化，接入侧的简化，并没有实际的实现管理无线网络平台的***。同时，在简化接入侧的同时忽略了许多AP本身可用的管理功能，大大浪费了AP的固有管理能力。SDN思想应对的是传统的变化较少的有线网络，而在无线网络中用户的进入和离开都是随机且频繁的。虽然SDN网络可以使用负载均衡，流量管理技术很好的应对网络中流量的波动，但是对于网络用户本身的变化，它的管理近乎失败。在参考文献[1][2]中，控制器甚至需要重新启动，来读取用户列表的变化，每次控制器的重新启动都要花费数秒，无论是无线网络的QoS，还是用户体验，都是无法接受的。此外，目前的SDN控制器都是以实时获取数据为主，往往数据信息的请求都会带来急剧增大的控制器开销，此时网络的性能会有明显的下降，具体体现在网络响应时间的增加，传输抖动加剧，服务器CPU与内存使用率波动等方面。因此导致的网络稳定性问题也亟待解决。

参考文献如下：

[1]Vestin J,Dely P,Kassler A,et al.CloudMAC:towards software definedWLANs[J].Acm Sigmobile Mobile Computing&Communications Review,2013,16(4):42-45.

[2]Suresh L,Schulz-Zander J,Merz R,et al.Towards programmableenterprise WLANS with Odin[C]//Proceedings of the first workshop on Hottopics in software defined networks.ACM,2012:115-120.

[3]Lei T,Lu Z,Wen X,et al.SWAN:An SDN based campus WLAN framework[C]//Wireless Communications,Vehicular Technology,Information Theory andAerospace&Electronic Systems(VITAE),2014 4th International Conferenceon.IEEE,2014:1-5.

发明内容

针对基于SDN的无线网络缺乏有效管理措施的现状，本发明提出了一种基于Floodlight的SDN无线网络管理平台及认证方法，更改了SDN控制器在无线侧的管理架构，采用REST API接口，将floodlight的控制功能加以改进，把REST API扩展到AP端；通过数据库技术存储统计控制器的数据，降低控制器的负载并对数据做出分析预测；同时增加了用户管理的线程，使得可以进行实施的用户管理与认证。

本发明提供了一种基于Floodlight的SDN无线网络管理平台，在Apache服务器上实现，所应用网络中的SDN控制器为Floodlight。SDN控制器的编程接口包括JAVA接口和REST API接口。所述的管理平台包括***管理模块、拓扑管理模块、配置管理模块、用户管理模块、AP管理模块和数据统计模块。

所述的***管理模块获取Apache服务器和Floodlight控制器本身的信息。

所述的拓扑管理模块利用交换机的连接关系和用户的附着关系，绘制网络逻辑拓扑图，根据布置的AP位置，绘制网络的物理拓扑图。

所述的配置管理模块包括两个方面的配置管理，一是SDN的配置管理，包括RESTAPI操作控制器的配置和JAVA接口的应用配置；二是AP的配置管理，利用OpenWRT提供的URI(统一资源标识符)模拟REST流程，以统一的方式管理AP。

所述的用户管理模块在控制器中增加用于周期性地监视用户信息变化的线程。用户信息通过管理平台的WEB UI(用户界面)配置，用户信息变化通过数据库的触发器实现。用户信息存储在分布式数据库中，当网络中某一SDN控制器的数据库发生改变时，触发网络中SDN控制器的数据库的同步操作，保持整个网络中用户信息的一致。

所述的AP管理模块用于管理无线交换机数据，实现两方面功能，一是作为无线AP，将所有AP的操作指令存储到管理平台上，管理平台通过统一的远程操作调用AP的无线管理功能。二是作为网络中的数据面交换机，利用floodlight的交换机控制能力，实现流表配置与防火墙设置，实现通用的OpenFlow交换机功能。

所述的数据统计模块周期性地获取用户数量、交换机负载和用户使用情况数据，并进行分别存储，更新统计数据，存储的数据可以放在每一个控制器上，也可以集中放在数据中心里。数据统计模块通过建立的数据分析模型，根据获得的数据预测网络的状态，反馈下一时段中的网络参数给配置管理模块。

本发明还提出了一种基于所述管理平台的用户认证方法。该方法包括：

步骤1，管理员通过WEB UI在网络中某一个SDN控制器上添加/修改用户信息，WEBUI通过PHP接口连接到数据库；

步骤2，数据库检验管理员添加/修改的用户信息的合理性，驳回非法修改，更新合理的修改请求；

步骤3，分布式数据库之间彼此同步添加/修改的用户信息，保持整个网络的用户信息的一致，在同步未完成时，到来的该用户认证请求作为认证失败处理；

步骤4，AP接收到用户认证请求，上传给Floodlight控制器，控制器将用户的认证数据包转化成认证事件，激活用户管理线程；

步骤5，控制器根据认证用户的MAC地址或其他统一标识符，在数据库中查询用户信息是否存在，对于没有用户信息的用户不予接入网络；存在用户信息，但是用户属性或者用户权限异常，则将继续联结操作，接入后给予访问权限受控，并提示异常信息；存在用户信息，并且用户属性与用户权限都正常，继续联结与认证操作，完成MAC层的接入，并给AP下发对应的流表；

步骤6，在用户状态发生改变之后，由控制器修改对应数据库中的用户信息，同时用户管理模块获取该用户信息；

步骤7，分布式数据库之间彼此同步用户信息，保持整个网络的用户信息一致，以使得用户在不同AP/控制器间切换时不会重复认证和断开连接，完成用户认证流程。

相对于现有技术，本发明的优点和积极效果在于：

(1)增加SDN网络中无线管理功能。SDN的核心功能在于路由转发与流控制，对于无线侧的管理功能近乎没有。本发明因此在控制平台中集成了AP固有的无线管理功能指令，将AP的管理分成SDN交换机管理和无线AP管理，分别以OF config协议和带外信令的方式管理AP；同时修改了SDN控制器的结构，增加了处理无线用户的线程和数据库操作线程，将用户数据从文件管理转变为数据库管理，实时处理频繁的用户变化，更加适应无线网络的管理需求，如无缝切换。

(2)增加了SDN控制器数据存储与反馈能力。为了避免网络性能的波动，较大规模的网络数据操作可以在网络负载较轻时进行，管理员可以先请求最近的历史数据，以免在重负载下，继续增加控制器负担。通常，SDN控制器只是根据当前的网络状态实现网络的管理，在本管理平台中，网络管理应用程序将通过结合分析历史数据和当前网络情况，反馈给配置管理模块，做出更加合理的网络应用参数预测。

(3)实现网络用户认证的统一。本发明采用的Floodlight配合分布式数据库***模式，弥补了当前大多数SDN控制器缺乏东西向接口的不足。控制器的拓展性一直是SDN网络的软肋，由于用户认证中使用的是用户数据，因此多个控制器之间可以通过数据同步来实现统一的用户认证；这种变化并不需要对控制器做出更改，用户在某一控制器下的状态变化对于其他控制器是透明的，用户在移动过程中，用户认证操作不需要重新进行。

附图说明

图1是本发明的基于Floodlight的WLAN管理与认证平台的架构图；

图2是本发明的管理平台各模块协作与反馈关系图；

图3是本发明的用户统一接入认证的流程图。

具体实施方式

下面将结合附图和实施例对本发明作进一步的详细说明。

本发明提出了一种基于Floodlight的SDN无线网络管理平台及认证方法，其实现基于改进的模块化OpenFlow控制器Floodlight、分布式数据库***、上层管理应用以及基于WEB的可视化用户界面。其中，以改进的Floodlight控制器为核心，向下连接物理网络，完成基于SDN的WLAN***搭建，在SDN控制器上实现各种管理应用。管理平台实现在Apache服务器上，通过控制器和编程抽象网络参数、AP参数、用户参数、管理参数，提供给管理者以方便快捷的管理能力；并通过分布式数据库***实现无线用户认证与权限管理，弥补了一般的SDN控制器缺乏WLAN管理能力的缺点，提升了网络的整体性能与可控性。

图1为本发明的基于Floodlight的WLAN管理与认证平台的架构图。根据本发明提出的管理与认证架构，其基本原理是通过数据接口实现网络信息的收集和网络参数的配置，提供对于无线SDN网络的管理能力。本发明提供的一个具体实施例如下。

网络管理平台的运行环境为ThinkServer RD640S2620v2 4/300A2HROD；

主要参数有：

CPU型号：Xeon E5-2620v2； 标配CPU数量：1颗；

内存类型：DDR3； 内存容量：4GB；

硬盘接口类型：SAS； 标配硬盘容量：300GB；

运行操作***：Ubuntu 14.04操作***；

SDN控制器为Floodlight V1.0(无线功能为后添加)；

WEB环境：Apache 2.0+PHP 5.5+MySQL 5.5.44

AP环境：OpenWRT 12.09+OVS 2.3

网络部署的方式可参考文献[2][3]，这里主要介绍管理平台的架构与流程。Floodlight控制器是整个OpenFlow网络体系架构的控制中心，对整个OpenFlow网络具有全局的视野。控制器负责为数据流制定逻辑规则，并通过下发流表的方式实现数据流在指定路径上的传输。管理平台与WLAN网络控制器的交互主要是通过表述性状态传递接口(Representational State Transfer Application Programming Interface，REST API)实现，REST利用简单的HTTP、URI标准和XML语言构建起轻量级的Web服务，REST的框架下，控制层所有能够提供的信息都被抽象成REST的资源，每一个资源都被分配一个唯一的统一资源标识符(Uniform Resource Identifier，URI)。Floodlight提供了REST SERVER模块，将可供操作的模块将REST API接口暴露给用户，开发者通过对基于URI的操作，实现与网络的互操作，其操作方式可以参考文献[4]：路兆铭，王鲁晗，温向明，软件定义的无线接入网络架构与关键技术，北京邮电大学出版社，2015:170-174。

管理平台中的***管理模块、拓扑管理模块、配置管理模块、AP管理模块、数据统计模块的大多数信息都是通过SDN控制器的编程接口来获取。SDN控制器的编程接口包括JAVA接口和REST API接口。REST API通过在服务器中注册服务，获取SDN控制器的网络信息。管理平台需要对Floodlight控制器提供的数据进行筛选，剔除无法利用的网络信息，甄别出管理人员可用的网络信息，并以格式化的模式输出，形成用户友好的WEB UI。JAVA接口则直接与应用层/控制层相关联，获取网络数据。

***管理模块获取的是服务器和Floodlight控制器本身的信息，包括目前服务器的CPU，内存，IO使用状况，控制器的总体状态，工作模式，开启时长，控制器的模块信息，网络部件概述，连接交换机概述，流统计概述防火墙配置。服务器信息由Linux的shell指令获取，控制器信息则由REST API获取。

拓扑管理模块通过REST API收集OpenFlow交换机的连接关系和用户的附着关系，绘制网络逻辑拓扑图，拓扑数据通过数据统计信息或者实时查询获取。拓扑管理模块还根据所布置的AP位置信息，绘制网络的物理拓扑图，可作为用户定位的大致参考。

配置管理模块分为两个方面的配置管理，一是SDN的配置管理，包括REST API操作控制器的配置和JAVA接口的应用配置。根据Floodlight的开发者文档，本发明采取了部分与WLAN网络相关的REST API配置接口，例如设备管理，交换机信息获取，流表配置等，JAVA接口主要给管理员编写的应用层管理应用提供代码参数输入。二是AP的配置管理，本发明将REST API从控制器端扩展到AP端，利用OpenWRT提供的URI模拟REST流程，以统一的方式管理AP。从上层用户来看，并不需要区分REST API是来自Floodlight，还是AP。

图1右侧的数据统计模块的收集功能是独立于Floodlight控制器的，基于Linux的crontab命令实现，crond是Linux下用来周期性地执行某种任务或等待处理某些事件的一个守护进程，crond进程每分钟会定期检查是否有要执行的任务，如果有要执行的任务，则自动执行该任务。同时，管理平台根据网络负载情况决定是否真正执行数据采集。在WLAN网络规模较大时，一个控制器下可能会有十几个甚至几十个AP节点，获取全网信息会成为消耗大量CPU资源和内存资源的操作，例如获取拓扑信息，全网交换机信息等。当控制器负载已经很大时，典型值：CPU利用率大于70％，内存使用率大于65％，此时数据统计模块的收集功能将会被抑制，如果管理员请求较大规模数据也会优先使用既存的数据，因为一旦服务器资源使用过高，一些WLAN网络突发操作致使网络性能迅速下降，响应时间过长。因此数据统计作为低优先级线程，可以被推迟操作。数据将会被存放在数据仓库中，在此基础上可以建立数据分析模型，例如态势感知模型、数据挖掘模型，预测网络的状态，并通过判决算法，控制配置管理模块决定下一段时段网络的参数。

针对Floodlight缺乏管理用户的缺点，本发明对Floodlight的架构进行改进，提供了用户管理模块，在控制器中添加了实时监控用户数据库的线程，用于周期性地监视用户数据的变化。管理人员可以通过管理平台的WEB UI修改用户信息，用户信息变化通过数据库的触发器实现。触发器是一种特殊的存储过程。一般的存储过程是通过存储过程名直接调用，而触发器主要是通过事件(增、删、改)进行触发而被执行的，其在表中数据发生变化时自动强制执行。因此，如图1中当用户信息表有变动，触发器会在用户数据库里新建一张用户改动项的新表USER_CHANGE，Floodlight的用户管理线程一旦发现USER_CHANGE这个表有新的数据就会更新控制器里的用户信息；每次用户线程查询完USER_CHANGE表后，都会将其清空，表示更新操作已经完成。

同时，某一SDN控制器的数据库的改变将会触发网络中所有相关联数据库的同步操作，需要将控制器之间的用户数据库做同步操作。目前MySQL数据库支持两个数据库之间的互为主从关系。通常称变动的数据库为主数据库(Master)，采取同步的数据库为从数据库(Slave)。Slave上面的IO线程会连接上Master，并请求从指定日志文件的指定位置之后的日志内容；然后Master接收到来自Slave的IO线程的请求后，通过负责复制的IO线程根据请求信息读取指定日志指定位置之后的日志信息。之后，Slave的IO线程接收到信息后，将接收到的日志内容依次写入到Slave端的中继日志Relay Log文件的最末端，Slave的SQL线程检测到Relay Log中新增加了内容后，便会做出与Master一致的操作实现数据库的同步。这样就保证了整个WLAN网络中用户信息的一致性。

参照图1，管理平台不仅仅直接管理着Floodlight控制器，还在逻辑上直接与AP相连。这主要是为了完善管理平台的无线管理功能，SDN网络的核心在于简化路由转发网络，其本质上是路由管理和流管理，因而Floodlight的无线侧管理近乎没有。但是，基于SDN的WLAN***所用的AP通常是基于OpenWRT的，OpenWRT具有一定的无线管理功能以支持在胖AP模式下工作。因此本发明提供了AP管理模块，合理利用既有的AP功能以增加WALN网络的管理能力。AP管理模块作为无线AP，侧重于无线AP固有的管理功能，将所有AP的操作指令存储到管理平台上，管理平台通过统一的远程操作，这种操作在SDN网络体系之外，属于带外信令，调用AP特有的管理功能。AP管理模块还作为SDN网络中的数据面交换机，侧重于有线侧的路由转发管理和流管理，它利用floodlight的交换机控制能力，实现流表配置与防火墙设置，作为通用的OpenFlow交换机功能。AP管理模块的这两个功能在逻辑上是两条线路。在WLAN中，AP的IP地址一般不会变化，因此本发明的管理平台采用IP作为AP的标识符，集成OpenWRT提供的LUCI模块用户接口，统一进行AP管理。由于每一个AP都需要独立的登录，并且每一次登录都会产生新的session，因此整个网络在配置时，网络中每一个AP的管理密码需要被所述管理平台获知；在登录之后需要对登录的session信息进行截获，在操作同一个AP时，采用对应的session id与之通信。与REST API类似的，AP的控制命令被封装成URI+参数的形式，AP管理模块采用GET方式，获取AP的数据，更改AP的配置参数。管理平台将这些命令集成到模块中，配合IP地址与截取的session id，拼接成完整的请求URI实现对不同AP的统一管理。AP的路由转发则是由Floodlight控制器的转发模块负责，转发模块根据OpenFlow协议自动下发流表，实现AP的OpenFLow交换机功能，AP的交换机层面管理通过Floodlight控制器提供的流表推入接口实现。

图2是本发明提出的管理认证平台在运行时，各模块之间的协作关系示意图，管理平台各模块的协作关系主要分为三个部分：数据采集、分析决策和反馈执行。参考图2的层次结构，最下面的是数据采集层，这一层的功能是收集网络数据，为上次提供分析来源。其主要包括模块有***管理模块、拓扑管理模块、AP管理模块和用户管理模块，分别对应收集Floodlight控制器与服务器、网络结构描述、无线交换机数据、无线用户信息四个方面。数据采集的方式有两种，一是用户实时请求，二是使用Linux内核的crontab命令周期性获取；采集的数据可以按照时间、用户、占用资源三个维度划分。数据请求完毕后，会存储到数据统计模块的数据仓库中。

图2所示的分析决策层是由数据统计模块组成，它连接了数据采集层和反馈执行层，起到承上启下的作用，数据采集模块利用统计出来的数据进行数学建模分析，最后通过判决算法决定接下来WLAN网络要如何调整参数。需要指出的是，统计的分析结果利用fusion chart工具绘制成图表，可供管理人员直接阅读。

图2的顶层中主要是配置管理模块，也包括AP管理模块和用户管理模块、WLAN应用。其中AP管理模块和用户管理模块既属于数据采集层，又属于反馈执行层，因为这两个模块不仅具有从网络底层获取信息的能力，还能够更改这些信息。配置管理模块通过分析决策层制定的网络参数，配置WLAN应用，获得更好的网络性能。例如，当某一个AP的负载较大时，分析决策层就会调整负载均衡应用的参数，使负载较重的AP进行范围收缩，周边的AP范围扩增，将部分用户分流到其他的AP上，从而达到反馈的效果。再例如，当整个网络中的用户十分稀少时，分析决策层就会启用节能应用，查询数据库中每一个用户的附着情况，使没有用户附着的AP节点休眠，以降低网络的整体功耗。此外，配置管理模块还可配置***管理模块和数据统计模块，在服务器资源利用率不同时决定是否执行数据采集操作。反馈执行层还是管理员之间对网络管理的空间，这一层的功能模块需要向管理员提供友好的操作界面，并能够识别出危险操作，对管理员提出警告。

本发明提出的模块化的管理平台增强了管理的灵活性和可扩展性，各模块各司其职有相互协作，使网络具有智能，提升了网络的可管理性和稳定性。分析决策层的引入，解决了人工判别网络情况的复杂性，降低了判决错误带来的负面影响。

图3为本发明提出的基于Floodlight的WLAN用户认证流程，下面说明各个步骤。

步骤301，管理员通过WEB UI在网络中的某一台控制器上添加/修改用户信息。该步骤是用户加入WLAN网络的初始化步骤，需要管理员进行操作，一般用户不具有该步骤的权限。WLAN用户的数据结构包括用户标志、用户属性和用户权限。WEB UI通过PHP(超文本预处理器)接口连接到数据库。

步骤302，数据库检验管理员添加/修改的用户信息是否合法，驳回非法修改，更新合理的修改请求。这一步骤是需要管理员操作的权限。

步骤303，分布式数据库之间彼此同步添加/修改的用户信息，保持整个网络的用户信息一致。在同步未完成时，到来的该用户认证请求作为认证失败处理；未被修改的用户不受同步过程的影响。拒绝未同步用户的接入是考虑到用户信息不一致会导致控制器出现异常，如果未同步用户接入了网络，同时用户又更改了自身的属性，则在重新接入其他控制器下属的AP时，过去保存的用户信息会全部丢失，例如计费信息或充值信息等。

步骤304，AP接收到用户认证请求，上传给Floodlight控制器，控制器将用户的认证数据包转化成认证事件，激活用户管理线程。这个功能通过FloodlightProvider核心模块完成，其负责将收到的OF Packet(OpenFlow数据包)转换为一个个事件，而控制器的转发模块、链路学习模块、设备管理模块、统计模块向FloodlightProvider进行注册，注册后成为一个service，然后就可以处理相应的事件。

步骤305，控制器根据认证用户的MAC地址或其他的统一标识符，调用用户数据库中查询用户信息与用户权限，根据用户的不同属性与权限做出不同的应对方案。对于没有用户信息的用户不予接入网络，对于有用户信息，但是用户接入权限异常的用户将继续联结(association)操作，接入后给予访问权限受控，并提示异常信息。

步骤305进一步包括一下三个子步骤：

步骤305-1，当用户第一次接入WLAN网络时，OpenFlow交换机中没有该用户对应的流表项，OpenFLow交换机会将这个数据包作为packet-in消息上传给Floodlight控制器。Floodlight控制器解析Packet-in数据包的内容，提取用户标志，然后触发用户管理线程到用户数据库中查询用户标识符对应的用户数据，对比用户属性和用户权限。

步骤305-2，如果用户不存在，在直接结束认证；如果用户存在，但是用户属性或者用户权限出现异常，整套认证流程依然会继续，AP也允许用户接下来的联结操作。在完整接入后，控制器会根据用户权限，限定用户的访问范围；或是用户属性出现异常，控制器将会以WEB页面的方式推送错误信息。

步骤305-3，如果用户属性与权限都正常，控制器会告知AP继续完成联结操作，完成MAC层的接入，并给AP下发所需流表。此时如果AP直接连在汇聚交换机上，接下来的数据包都不需要Packet-in流程，直接被OpenFlow交换机转发；如果AP到汇聚路由器之间还有多条，同样会触发packet-in流程，但是Floodlight控制器会发现该用户标志为已接入状态，无需再次认证。

步骤306，在用户状态发生改变之后，由控制器修改对应于本控制器的数据库中的用户信息，同时管理平台的用户管理模块将该用户信息获取。

步骤307，各控制器对应的分布式数据库之间彼此同步用户信息，保持整个网络的用户一致，以保证用户在不同AP/控制器间切换时不会重复认证和断开连接，完成用户认证流程。

本发明提出的用户认证方式是SDN认证接入移动用户的方式，避免了传统SDN控制器读取用户配置文件的操作，使得用户管理更加的灵活，同时提高了用户体验。数据同步的引是整个网络的用户信息一致化，弥补了当前大多数SDN控制器缺乏东西向接口的缺点，防止因用户移动性而导致数据冲突，为基于Floodlight的SDN-WLAN网络实际管理提供了可行的解决方案。

以上所述的具体实施例，对本发明的目的、技术方案和有益效果进行了进一步详细说明，应理解的是，以上所述仅为本发明的具体实施例而已，并不用于限制本发明，凡在本发明的精神和原则之内，所做的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。

Claims (4)

1.一种基于Floodlight的SDN无线网络管理平台，在Apache服务器上实现，所应用网络中的SDN控制器为Floodlight；SDN控制器的编程接口包括JAVA接口和REST API接口；其特征在于，所述的管理平台包括***管理模块、拓扑管理模块、配置管理模块、用户管理模块、AP管理模块和数据统计模块；AP为无线接入点；

所述的***管理模块获取Apache服务器和Floodlight控制器本身的信息；

所述的拓扑管理模块利用交换机的连接关系和用户的附着关系，绘制网络逻辑拓扑图，根据布置的AP位置，绘制网络的物理拓扑图；

所述的配置管理模块包括两个方面的配置管理，一是SDN的配置管理，包括REST API操作控制器的配置和JAVA接口的应用配置；二是AP的配置管理，利用OpenWRT提供的URI模拟REST流程，以统一的方式管理AP；URI为统一资源标识符；

所述的用户管理模块在控制器中增加用于周期性地监视用户信息变化的线程；用户信息通过管理平台的WEB UI配置，用户信息变化通过数据库的触发器实现；用户信息存储在分布式数据库中，当网络中某一SDN控制器的数据库发生改变时，触发网络中SDN控制器的数据库的同步操作，保持整个网络中用户信息的一致；UI为用户界面；

所述的AP管理模块用于管理无线交换机数据，实现两方面功能，一是作为无线AP，将所有AP的操作指令存储到管理平台上，管理平台通过统一的远程操作调用AP的管理功能；二是实现流表配置与防火墙设置，实现OpenFlow交换机功能；

所述的数据统计模块周期性地获取用户数量、交换机负载和用户使用情况数据，并进行分别存储，存储在网络中的各SDN控制器上或者集中存储在数据中心里；数据统计模块通过建立的数据分析模型，根据获得的数据预测网络的状态，反馈下一时段中的网络参数给配置管理模块。

2.根据权利要求1所述的一种基于Floodlight的SDN无线网络管理平台，其特征在于，所述的数据统计模块，利用Linux的crontab命令实现数据采集，管理平台根据网络负载情况决定是否执行数据采集，数据统计作为低优先级线程。

3.根据权利要求1所述的一种基于Floodlight的SDN无线网络管理平台，其特征在于，所述的AP管理模块，采用IP作为AP的标识符，集成OpenWRT提供的LUCI模块用户接口，统一进行AP管理；网络在配置时，获知网络中每一个AP的管理密码，在登录后，对AP登录产生的session信息进行截获，在操作同一个AP时，采用对应的session id与该AP通信；AP的控制命令被封装成URI+参数的形式，AP管理模块采用GET方式，获取AP的数据，更改AP的配置参数；AP的路由转发由Floodlight控制器的转发模块负责，转发模块根据OpenFlow协议自动下发流表，实现AP的OpenFLow交换机功能。

4.基于权利要求1所述的管理平台的用户认证方法，其特征在于，实现步骤如下：

步骤1，管理员通过WEB UI在其中某一台控制器上编辑/添加用户信息，WEB UI通过PHP接口连接到数据库；

步骤2，数据库检验管理员修改/添加信息的合理性，驳回非法修改，更新合理的修改请求；

步骤3，分布式数据库之间彼此同步添加/修改的用户信息，保持整个网络的用户一致，在同步未完成时，到来的该用户认证请求作为认证失败处理；

步骤4，AP接收到用户认证请求，上传给Floodlight控制器，控制器将用户的认证数据包转化成认证事件，激活用户管理线程；

步骤5，控制器根据认证用户的MAC地址或统一标识符，在数据库中查询用户信息是否存在，对于没有用户信息的用户不予接入网络；存在用户信息，但是用户属性或者用户权限异常，则将继续联结操作，接入后给予访问权限受控，并提示异常信息；存在用户信息，用户属性与用户权限都正常，继续联结操作，完成MAC层的接入，并给AP下发对应的流表；

步骤6，在用户状态发生改变之后，控制器修改对应数据库中的用户信息，同时用户管理模块获取该用户信息；

步骤7，分布式数据库之间彼此同步用户信息，保持整个网络的用户信息一致，完成用户认证流程。