二十一世纪进入网络时代,Wi-Fi已经完全融入办公与生活。大量公司的研发办公、商务交流、BYOD移动办公等需要通过Wi-Fi接入办公网络。在这种场景下,传统的基于MAC地址绑定或者路由端唯一静态口令的Wi-Fi接入控制方式,存在灵活性差和安全性不足的问题。所以,如何利用身份关联和软件定义网络(SDN)技术,实现灵活的企业网络安全接入与控制,是企业信息资产的安全需要解决的问题。本文围绕基于SDN的智能接入控制网关研发任务,面向解决中小型企业Wi-Fi管理的问题,提出并实现了基于身份关联的接入控制机制,以及基于SDN的智能流量异常检测及控制方法,具体内容包括:(1)提出了基于身份关联的接入控制方法,通过管理员授权员工,员工授权外来设备的方式,解决了Wi-Fi接入灵活性差和安全性不足的问题。具体研究项包括员工拥有的与其身份关联、并定期更新账号和密码的生成机制;员工如何利用工作电脑和该账号连接Wi-Fi;员工如何为外来访客和BYOD设备生成二级账号密码;外来设备如何利用员工授权生成的二级账号密码连接Wi-Fi。该二级账号具有较短的可用周期、受限的数据操作和访问范围,并且二级账号的所有操作记录与账号关联,便于追踪审计。(2)提出了基于软件定义网络的流量异常检测方法,通过对网络特征参数的提取,建立检测流量异常模型的思路,解决了外部设备的安全状况各异且外部接入的恶意操作的问题。具体研究项包括基于SDN的实时分析与主动控制,智能接入控制网关实时对接入设备进行安全评估和网络行为、流量特征的实时分析,当发现异常情况时,自动生成对策并主动执行,限制网络访问行为,然后进行告警。(3)本文针对研究的基于身份关联的接入控制和基于软件定义网络的流量异常检测的内容,提供了管理平台的实现,通过平台可以掌握网络接入的情况。本文在支持Wi-Fi的主机设备上,对外部设备的接入控制以及多种操作行为分析进行了测试,结果表明本文的成果具有技术可行性,并且具有智能、易用、高效、准确的特点。