属性SDN的访问控制北向部署

基于属性的SDN访问控制依托SDN应用层、控制层、数据层解耦架构应用层部署如下。

北向接口层是 SDN 控制器面向上层应用、运维终端、租户平台的开放 API 入口，协议以 RESTful 为主，辅以 NETCONF，也是北向越权攻击的高发区域。ABAC 在此层的定位是前置访问代理与属性初审，在请求抵达控制器内核前完成第一道权限过滤。

代理拦截模式通过外置独立北向安全网关，串接应用与控制器；二是在控制器北向服务内部植入 Filter 拦截插件，例如 OpenDaylight 的 MD-SAL 拦截器、ONOS 的 Application Proxy 组件。全程无需改动南向交换机转发硬件，属于软件层面改造，部署快捷，适合现有 SDN 网络升级。管控主体明确分为三类：管理员运维终端、多租户业务平台、第三方北向业务 APP。

该层级侧重采集上层访问相关属性，维度清晰：

1. 账号身份、租户 ID、应用唯一证书、APP 授信等级、终端 IP 与接入网段；
2. 精准识别当前调用的 API 类型，区分高危接口（Flow-Mod 流表下发、Topology 全网拓扑读取、Switch 设备配置修改）与普通查询接口（流量统计、端口状态读取）；
3. 新增、删除、查询、修改、批量下发流表等操作行为；
4. 访问时间、当前应用 API 调用频次、流表申请数量、带宽占用上限。

3. 完整执行流程

1. 请求拦截：所有北向 API 请求全部被代理捕获，过滤畸形、恶意格式报文；
2. 属性解析：自动提取请求报文与连接上下文的全部属性信息；
3. 策略匹配：调用本地轻量化策略库进行属性比对，执行预设规则，例如非工作时段禁止管理员调用配置类接口，第三方 APP 限制单次流表下发条数；
4. 结果处理：合规请求转发至控制器控制层做最终决策，越权请求直接拒绝，返回错误码并留存完整调用日志，用于后期审计溯源。

实际部署中会配套证书认证绑定主体属性，搭配访问频次、资源配额限流策略，最小化权限开放。针对不同控制器做适配开发，插件化集成便于后期策略更新与属性扩展，是 SDN 三层 ABAC 体系中落地门槛最低、实用性最强的一环。