基于Open Flow访问控制系统的无线局域网漫游实施和评价

摘 要：一种通过用户身份验证的灵活访问控制是校园必备的无线局域网的漫游机制。一般情况下，通过VLAN标记和防火墙来实现它。然而，常规的VLAN机制是可扩展性较低的较大系统。一个基于OpenFlow建立的系统是我们所要研究的问题。在本篇文章中，我们指出常规系统的一些局限性并创建新的访问控制系统。我们还实施我们的系统，并证明它正常工作时可接受服务器的负载和高可用性。

关键词：无线局域网；网络漫游；访问控制；OpenFlow

中图分类号：TN925.93

1 介绍

校园无线宽带漫游系统[1]是为研究和教育机构研发的，它的基础是各机构之间的信度关系。在2003年，跨欧洲研究和教育网络协会研发出校园无线宽带漫游系统[1]。在国际无线漫游中，用户的首页机构是一个ID（Idp），访问上是服务提供商（SP）。SP为了实现漫游，要求Idp使用者提供用户身份验证。举个例子，IdP的政策，IdP可能禁止他们的学生访问一些网站（比如非法视频网站）。因此，访问控制是反应SP和IdP的政策所需要的。

G.Lopez[2]等人，在基于SAML（安全断言标记语言）的控制下，启用访问扩展的国际无线漫游。他们访问控制侧重于一个应用程序层，例如单点登录功能。有人提出了yanmasaki`s系统[3]，Yamasaki等人使用OpenFlow[4]，一种新的网络控制机制，并且让OpenFlow和eduroam（国际无线漫游）合作以启用访问控制。在这篇文章中，我们提出一个新的访问控制系统。我们的系统几乎不受协议限制并且数据库维护成本较低。我们仍然继续实施我们的系统，并且完善其评价的功能和性能。

2 OPENFLOW NETWORK（开放流量网络）

OpenFlow Network包括某些OpenFlow Switches（OFSs，开放流量交换机），其中仅有转发功能和一个OpenFlow Controller（OFC，开放流量控制器）功能，它控制着所有的OFSs。OFSs中的流量表可以显示如何处理每点流量，并且OFC安装了流量表条目。条目指示下一个跃点、QoS控制、数据包的缺失等等。举个例子，OFS批转有关此表的数据包。

图1显示了OpenFlow`s流量传输的例子。当一个OFS接收数据包时，OFS指的是它的使用流程表。如果表格中存在与数据包有关的流量信息，那么OFS可以通过它来传输数据。否则，OFS将数据包传输给OFC来咨询流量的使用情况。OFC决定流量的使用，并且在OFSs的表格中添加流量使用记录。然后，OFS传输同样流量的数据包。

图1 OpenFlow`s流量传输

3 灵活的网络访问控制属性

我们介绍一种基于组ID（基于ID）访问控制技术。同样，我们还介绍SP政策的角色信息，让管理IdP政策的IdP去解决以上所述的问题。

所有网络节点都有GIDs，GIDs正如下面所叙述的那样。资源服务器有自己组和用户的GID，并且用户想访问这里时，终端具有所允许的组的GID。在这里，当用户访问几个资源服务器组时，几个GID被分配到用户的终端。当OFC从OFS中接收流量查询时，OFC检索资源的GIDs和GID―DB流量的目标节点。如果存在共同的GID，OFC指示OFSs转发流量，以及其他方式消耗流量。这时候应该检查用户的访问权限。IdP的政策是由GIDs颁布的，GIDs表示允许访问，并且储存在对应用户名称的Policy―DB中。Policy―DB通过在IdP的管理员来配置。在这里，我们假设每个GID的定义由在SP和IdP的管理员实现初步共享实现的。这种假设是合理的，因为基于SP和IdP之间的相互信任，国际无线漫游已经实施了。

4 实施和评价

我们第一次确认我们的系统可以灵活访问控制。下一步，我们评估了服务器的负载和可用性。我们分别用组1、组2和组3来登陆3个资源服务器，服务器1、服务器2和服务器3。表1显示机器的详细信息，表2描述了软件的安装和配置。

每个系统中完成十次试验，平均连接时间见表1。我们系统的连接时间需求比旧版本系统多出大约80%的时间。然而，在可用性方面，所需的281ms的时间仍然很小。对于该延迟，Yamasaki的第一次回声循环时间和我们系统的回声时间都比较长。第二次回声的循环时间近似等于旧版本系统的。这是因为流量开始使用从OFS到OFC开始计时，虽然OFS转发数据包指的是它在第二个数据包情况下的流量表。我们确认，我们系统的延迟与旧版本系统是一样的。因此，我们的系统具有较高的可用性。

表1 系统对比测试结果

1st echo[ms] 2nd echo[ms]

legacy 1.23 1.22

Yamasaki 8.03 1.19

提出的方法 8.85 1.16

5 结束语

我们指出无线LAN漫游传统的访问控制系统与EAP方法相比仍有一些局限性，并且需要消耗维修的成本，所以我们提出一种新的访问控制系统区解决问题。在我们的系统中，角色信息首次定义为SP的策略，并且IdP的策略归IdP管理。在这项工作中，我们采用了基于GID访问政策，其中GIDs是初步定义的。在改进我们的系统中，我们意识到未来工作将包括实现这种访问控制技术。

参考文献：

[1]韩鹏，田华，谢威.异构认知网络中基于非随机接入方式的对等接入策略分析[J].应用科学学报，2013（06）：551-558.

[2]王晓飞，张希，张权.认知无线网络随机接入MAC协议建模与性能分析[J].电子与信息学报，2013（04）：1007-1011.

[3]H.Meyerhenke，B.Monien，S.Schamberger.Graph partitioning and disturbed diffusion[J].Parallel Computing，35，2009：544-569.

[4]T.Verbelen，T.Stevens，P.Simoens，F.De Turck，B.Dhoedt.Dynamic deployment and quality adaptation for mobile augmented reality applications[J].Journal of Systems and Software，84，2011：1871-1882.

作者简介：赵高权（1985-），男，四川成都人，硕士，助教，主要研究方向：形式化方法、信息安全。

作者单位：西华大学应用技术学院，四川彭州 611930