CN104683315B - 数据报文传输方法和设备 - Google Patents

数据报文传输方法和设备 Download PDF

Info

Publication number
CN104683315B
CN104683315B CN201310641787.5A CN201310641787A CN104683315B CN 104683315 B CN104683315 B CN 104683315B CN 201310641787 A CN201310641787 A CN 201310641787A CN 104683315 B CN104683315 B CN 104683315B
Authority
CN
China
Prior art keywords
address
source
terminal
user
edge
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201310641787.5A
Other languages
English (en)
Other versions
CN104683315A (zh
Inventor
姚宁
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Huawei Technologies Co Ltd
Original Assignee
Huawei Technologies Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Huawei Technologies Co Ltd filed Critical Huawei Technologies Co Ltd
Priority to CN201310641787.5A priority Critical patent/CN104683315B/zh
Publication of CN104683315A publication Critical patent/CN104683315A/zh
Application granted granted Critical
Publication of CN104683315B publication Critical patent/CN104683315B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/101Access control lists [ACL]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明实施例提供一种数据报文传输方法和设备,该方法包括:源边缘路由设备接收源终端发送的第一数据报文,第一数据报文携带有源终端IP地址和目的终端IP地址;将第一数据报文中的源终端IP地址转换为源用户IP地址,将目的终端IP地址转换为目的用户IP地址,获得第二数据报文,源用户IP地址是根据源用户信息生成的,目的用户IP地址是根据目的用户信息生成的,源用户IP地址和目的用户IP地址属于私网IP地址;将源用户信息和目的用户信息均匹配访问控制策略的第二数据报文发送给中间网络设备,以使中间网络设备通过目的边缘路由设备将第二数据报文发送给目的终端。从而可以实现用户到用户的访问控制,提高访问控制的准确率。

Description

数据报文传输方法和设备
技术领域
本发明实施例涉及通信技术领域,尤其涉及一种数据报文传输方法和设备。
背景技术
随着企业园区网的应用和发展,企业生产和经营活动对于网络的依赖性不断增强,因此网络安全成为企业用户最关心的问题。现有技术中为了保证网络安全,通过在交换机和防火墙等网络设备上进行访问控制列表(Access Control List,简称:ACL)策略部署,在网络设备接收到数据报文时,可以根据配置的ACL对该数据报文进行访问控制,也就是判断数据报文的源互联网协议(Internet Protocol,简称:IP)地址是否属于ACL中所配置的源IP地址段,目的IP地址是否属于ACL中所配置的目的IP地址段,若否,则可以禁止该数据报文通行,以限制非法用户的访问。
然而,若合法用户采用的IP地址发生了变化,变化后的IP地址不属于ACL中配置的源IP地址段,那么在进行安全策略访问控制时无法对进行该用户访问控制,从而降低了访问控制的准确率。
发明内容
本发明提供一种数据报文传输方法和设备,用于实现用户到用户的访问控制,提高访问控制的准确率。
第一方面,本发明实施例提供一种数据报文传输方法,包括:
源边缘路由设备接收源终端发送的第一数据报文,所述第一数据报文携带有源终端互联网协议IP地址和目的终端IP地址;
所述源边缘路由设备将所述第一数据报文中的所述源终端IP地址转换为源用户IP地址,并将所述第一数据报文中的所述目的终端IP地址转换为目的用户IP地址,获得第二数据报文,所述源用户IP地址是根据源用户信息生成的,所述目的用户IP地址是根据目的用户信息生成的,所述源用户IP地址和目的用户IP地址属于私网IP地址;
所述源边缘路由设备将所述第二数据报文发送给中间网络设备,以使所述中间网络设备通过目的边缘路由设备将所述第二数据报文发送给所述目的终端,所述第二数据报文中的所述源用户信息和所述目的用户信息匹配访问控制策略。
在第一方面的第一种可能的实现方式中,所述源用户信息包括所述源用户所属的用户组的标识ID和/或所述源用户的ID;
所述目的用户信息包括所述目的用户所属的用户组的ID和/或所述目的用户的ID。
结合第一方面或第一方面的第一种可能的实现方式,在第一方面的第二种可能的实现方式中,所述源边缘路由设备将所述源用户信息和所述目的用户信息都匹配访问控制策略的所述第二数据报文发送给中间网络设备之前,还包括:
所述源边缘路由设备判断所述源用户信息和所述目的用户信息与配置在所述源边缘路由设备上的访问控制策略是否匹配;
所述源边缘路由设备将所述源用户信息和所述目的用户信息都匹配访问控制策略的所述第二数据报文发送给中间网络设备,包括:
若匹配,则所述源边缘路由设备将所述第二数据报文发送给所述中间网络设备。
结合第一方面或第一方面的第一种可能的实现方式或第一方面的第二种可能的实现方式,在第一方面的第三种可能的实现方式中,所述源边缘路由设备将所述第一数据报文中的所述源终端IP地址转换为源用户IP地址,并将所述第一数据报文中的所述目的终端IP地址转换为目的用户IP地址,获得第二数据报文之前,还包括:
所述源边缘路由设备根据所述源终端IP地址和源终端IP地址与源用户IP地址的映射关系获得所述源用户IP地址,并根据所述目的终端IP地址和目的终端IP地址与目的用户IP地址的映射关系获得所述目的用户IP地址。
结合第一方面的第三种可能的实现方式,在第一方面的第四种可能的实现方式中,还包括:所述源边缘路由设备获取所述源终端IP地址和源用户IP地址的映射关系,以及获取所述目的终端IP地址和目的用户IP地址的映射关系。
结合第一方面的第四种可能的实现方式,在第一方面的第五种可能的实现方式中,所述源边缘路由设备获取所述源终端IP地址和源用户IP地址的映射关系之前,包括:
所述源边缘路由设备接收源终端发送的第一上线认证请求,所述第一上线认证请求中包括所述源终端IP地址、源用户的账号和密码;
所述源边缘路由设备将所述第一上线认证请求发送给认证授权计费AAA服务器,以使所述AAA服务器在对所述源用户上线认证成功后,确定所述源用户信息,并根据所述源用户信息生成所述源用户IP地址。
结合第一方面的第五种可能的实现方式,在第一方面的第六种可能的实现方式中,还包括:
所述源边缘路由设备接收所述AAA服务器发送所述源用户IP地址;
所述源边缘路由设备根据所述源用户IP地址,生成所述源用户IP地址的动态路由表项;
所述源边缘路由设备通过动态路由协议向所述中间网络设备和至少一个边缘路由设备发送第一动态路由表项增加消息,所述第一动态路由表项增加消息包括所述源用户IP地址的动态路由表项,所述至少一个路由设备包括所述目的边缘路由设备,以使所述中间网络设备和至少一个边缘路由设备根据所述第一动态路由表项增加消息获取源用户IP地址的动态路由表项。
结合第一方面的第六种可能的实现方式,在第一方面的第七种可能的实现方式中,所述源边缘路由设备通过动态路由协议向所述中间网络设备和至少一个边缘路由设备发送第一动态路由表项增加消息,包括:
所述源边缘路由设备通过所述动态路由协议向所述中间网络设备和至少一个边缘路由设备发送包括所述源用户IP地址的动态路由表项和所述源终端IP地址的第一动态路由表项增加消息,以使所述中间网络设备和至少一个边缘路由设备根据所述第一动态路由表项增加消息获取所述源用户IP地址的动态路由表项,以及所述至少一个边缘路由设备根据所述源用户IP地址的动态路由表项和所述源终端IP地址生成所述源终端IP地址和源用户IP地址的映射关系。
结合第一方面的第六种可能的实现方式或第一方面的第七种可能的实现方式,在第一方面的第八种可能的实现方式中,所述源边缘路由设备获取所述源终端IP地址和源用户IP地址的映射关系,包括:
所述源边缘路由设备获取所述AAA服务器发送的所述源终端IP地址和源用户IP地址的映射关系,所述源终端IP地址和源用户IP地址的映射关系为所述AAA服务器根据所述源终端IP地址和所述源用户IP地址生成的。
结合第一方面的第六种可能的实现方式或第一方面的第七种可能的实现方式,在第一方面的第九种可能的实现方式中,所述源边缘路由设备获取所述源终端IP地址和源用户IP地址的映射关系,包括:
所述源边缘路由设备根据所述源终端IP地址和所述源用户IP地址,生成所述源终端IP地址和源用户IP地址的映射关系。
结合第一方面的第六种可能的实现方式或第一方面的第七种可能的实现方式或第一方面的第八种可能的实现方式或第一方面的第九种可能的实现方式,在第一方面的第十种可能的实现方式中,还包括:
当所述AAA服务器对所述源用户下线认证成功后,所述源边缘路由设备通过动态路由协议向所述中间网络设备和至少一个边缘路由设备发送第一动态路由表项删除消息,所述第一动态路由表项删除消息包括所述源用户IP地址的动态路由表项,以使所述中间网络设备和至少一个边缘路由设备根据所述第一动态路由表项删除消息,删除所述源用户IP地址的动态路由表项。
结合第一方面的第十种可能的实现方式,在第一方面的第十一种可能的实现方式中,所述源边缘路由设备通过动态路由协议向所述中间网络设备和至少一个边缘路由设备发送第一动态路由表项删除消息,包括:
所述源边缘路由设备通过所述动态路由协议向所述中间网络设备和至少一个边缘路由设备发送包括所述源用户IP地址的动态路由表项和所述源终端IP地址的第一动态路由表项删除消息,以使所述中间网络设备和至少一个边缘路由设备根据所述第一动态路由表项删除消息删除所述源用户IP地址的动态路由表项,以及所述至少一个边缘路由设备根据所述源用户IP地址的动态路由表项和所述源终端IP地址删除所述源终端IP地址和源用户IP地址的映射关系。
结合第一方面的第十种可能的实现方式,在第一方面的第十二种可能的实现方式中,还包括:
当所述AAA服务器在对所述源用户下线认证成功后,所述源边缘路由设备接收所述AAA服务器发送的第一删除指示消息,所述第一册除指示消息包括所述源终端IP地址和源用户IP地址的映射关系;
所述源边缘路由设备根据所述第一删除指示消息,删除所述源终端IP地址和源用户IP地址的映射关系。
结合第一方面的第四到第十二种实现方式的任意一种可能的实现方式,在第一方面的第十三种可能的实现方式中,还包括:
所述源边缘路由设备接收所述目的边缘路由设备通过动态路由协议发送的第二动态路由表项增加消息,所述第二动态路由表项增加消息包括所述目的用户IP地址的动态路由表项;
所述源边缘路由设备根据所述第二动态路由表项增加消息,获取所述目的用户IP地址的动态路由表项。
结合第一方面的第十三种可能的实现方式,在第一方面的第十四种可能的实现方式中,所述源边缘路由设备接收所述目的边缘路由设备通过动态路由协议发送的第二动态路由表项增加消息,包括:
所述源边缘路由设备接收所述目的边缘路由设备通过动态路由协议发送的包括所述目的用户IP地址的动态路由表项和所述目的终端IP地址的第二动态路由表项增加消息;
所述源边缘路由设备获取所述目的终端IP地址和目的用户IP地址的映射关系,包括:
所述源边缘路由设备根据所述第二动态路由表项增加消息中的所述目的用户IP地址的动态路由表项和目的终端IP地址,生成所述目的终端IP地址和目的用户IP地址的映射关系。
结合第一方面的第十三种可能的实现方式,在第一方面的第十五种可能的实现方式中,所述源边缘路由设备获取所述目的终端IP地址和目的用户IP地址的映射关系,包括:
所述源边缘路由设备获取所述AAA服务器在对所述目的用户上线认证成功之后发送的所述目的终端IP地址和目的用户IP地址的映射关系。
结合第一方面的第十三种可能的实现方式或第一方面的第十四种可能的实现方式或第一方面的第十五种可能的实现方式,在第一方面的第十六种可能的实现方式中,还包括:
当所述AAA服务器在对所述目的用户下线认证成功后,所述源边缘路由设备接收所述目的边缘路由设备通过动态路由协议发送的第二动态路由表项删除消息,所述第二动态路由表项删除消息包括所述目的用户IP地址的动态路由表项;
所述源边缘路由设备根据所述第二动态路由表项删除消息,删除所述目的用户IP地址的路由表项。
结合第一方面的第十六种可能的实现方式,在第一方面的第十七种可能的实现方式中,所述源边缘路由设备接收所述目的边缘路由设备通过动态路由协议发送的第二动态路由表项删除消息,包括:
所述源边缘路由设备接收所述目的边缘路由设备通过动态路由协议发送的包括所述目的用户IP地址的动态路由表项和所述目的终端IP地址的第二动态路由表项删除消息;
所述方法,还包括:
所述源边缘路由设备根据所述目的用户IP地址的动态路由表项和所述目的终端IP地址,删除所述目的终端IP地址和目的用户IP地址的映射关系。
结合第一方面的第十六种可能的实现方式,在第一方面的第十八种可能的实现方式中,还包括:
当所述AAA服务器在对所述源用户下线认证成功后,所述源边缘路由设备接收所述AAA服务器发送的第二删除指示消息,所述第二删除指示消息包括所述目的终端IP地址和目的用户IP地址的映射关系;
所述源边缘路由设备根据所述第二删除指示消息,删除所述目的终端IP地址和目的用户IP地址的映射关系。
第二方面,本发明实施例还提供一种数据报文传输方法,包括:
目的边缘路由设备接收源边缘路由设备通过中间网络设备发送的第二数据报文,所述第二数据报文携带有源用户IP地址和目的用户IP地址,所述源用户IP地址是根据源用户信息生成的,所述目的用户IP地址是根据目的用户信息生成的,所述源用户IP地址和目的用户IP地址属于私网IP地址;
所述目的边缘路由设备将所述第二数据报文中的所述源用户IP地址转换为源终端IP地址,并将所述第二数据报文中的所述目的用户IP地址转换为目的终端IP地址,获得第一数据报文,所述第二数据报文中的所述源用户信息和所述目的用户信息匹配访问控制策略;
所述目的边缘路由设备将所述第一数据报文发送给所述目的终端。
在第二方面的第一种可能的实现方式中,所述源用户信息包括所述源用户所属的用户组的标识ID和/或所述源用户的ID;
所述目的用户信息包括所述目的用户所属的用户组的ID和/或所述目的用户的ID。
结合第二方面或第二方面的第一种可能的实现方式,在第二方面的第二种可能的实现方式中,所述目的边缘路由设备将第二数据报文中的源用户IP地址转换为源终端IP地址,并将目的用户IP地址转换为目的终端IP地址,获得第一数据报文之前,还包括:
所述目的边缘路由设备判断所述源用户信息和所述目的用户信息与配置在所述目的边缘路由设备上的访问控制策略是否匹配;
所述目的边缘路由设备将所述第二数据报文中的所述源用户IP地址转换为源终端IP地址,并将所述第二数据报文中的所述目的用户IP地址转换为目的终端IP地址,获得第一数据报文,包括:
若匹配,则所述目的边缘路由设备将所述第二数据报文中的源用户IP地址转换为源终端IP地址,并将所述第二数据报文中的所述目的用户IP地址转换为目的终端IP地址,获得第一数据报文。
结合第二方面或第二方面的第一种可能的实现方式或第二方面的第二种可能的实现方式,在第二方面的第三种可能的实现方式中,所述目的边缘路由设备将所述第二数据报文中的所述源用户IP地址转换为源终端IP地址,并将所述第二数据报文中的所述目的用户IP地址转换为目的终端IP地址,获得第一数据报文之前,还包括:
所述目的边缘路由设备根据所述源用户IP地址和源终端IP地址与源用户IP地址的映射关系获得所述源终端IP地址,并根据所述目的用户IP地址和目的终端IP地址与目的用户IP地址的映射关系获得所述目的终端IP地址。
结合第二方面的第三种可能的实现方式,在第二方面的第四种可能的实现方式中,还包括:所述目的边缘路由设备获取所述源终端IP地址和源用户IP地址的映射关系,以及获取所述目的终端IP地址和目的用户IP地址的映射关系。
结合第二方面的第四种可能的实现方式,在第二方面的第五种可能的实现方式中,还包括:
所述目的边缘路由设备接收所述源边缘路由设备通过动态路由协议发送的第一动态路由表项增加消息,所述第一动态路由表项增加消息包括所述源用户IP地址的动态路由表项;
所述目的边缘路由设备根据所述第一动态路由表项增加消息,获取所述源用户IP地址的动态路由表项。
结合第二方面的第五种可能的实现方式,在第二方面的第六种可能的实现方式中,所述目的边缘路由设备接收所述源边缘路由设备通过动态路由协议发送的第一动态路由表项增加消息,包括:
所述目的边缘路由设备接收所述源边缘路由设备通过动态路由协议发送的包括所述源用户IP地址的动态路由表项和所述源终端IP地址的第一动态路由表项增加消息;
所述目的边缘路由设备获取所述源终端IP地址和源用户IP地址的映射关系,包括:
所述目的边缘路由设备根据所述第一动态路由表项增加消息中的所述源用户IP地址的动态路由表项和所述源终端IP地址,生成所述源终端IP地址和源用户IP地址的映射关系。
结合第二方面的第五种可能的实现方式,在第二方面的第七种可能的实现方式中,述目的边缘路由设备获取所述源终端IP地址和源用户IP地址的映射关系,包括:
所述目的边缘路由设备获取所述AAA服务器发送的所述源终端IP地址和源用户IP地址的映射关系。
结合第二方面的第五种可能的实现方式或第二方面的第六种可能的实现方式或第二方面的第七种可能的实现方式,在第二方面的第八种可能的实现方式中,还包括:
当认证授权计费AAA服务器在对所述源用户下线认证成功后,所述目的边缘路由设备接收所述源边缘路由设备通过动态路由协议发送第一动态路由表项删除消息,所述第一动态路由表项删除消息包括所述源用户IP地址的动态路由表项;
所述目的边缘路由设备根据所述第一动态路由表项删除消息,删除所述源用户IP地址的动态路由表项。
结合第二方面的第八种可能的实现方式,在第二方面的第九种可能的实现方式中,所述目的边缘路由设备接收所述源边缘路由设备通过动态路由协议发送第一动态路由表项删除消息,包括:
所述目的边缘路由设备接收所述源边缘路由设备通过动态路由协议发送包括所述源用户IP地址的动态路由表项和所述源终端IP地址的第一动态路由表项删除消息;
所述方法,还包括:
所述目的边缘路由设备根据所述源用户IP地址的动态路由表项和所述源终端IP地址,删除所述源终端IP地址和源用户IP地址的映射关系。
结合第二方面的第八种可能的实现方式,在第二方面的第十种可能的实现方式中,还包括:
当所述AAA服务器在对所述源用户下线认证成功后,所述目的边缘路由设备接收所述AAA服务器发送的第一删除指示消息,所述第一册除指示消息包括所述源终端IP地址和源用户IP地址的映射关系;
所述目的边缘路由设备根据所述第一删除指示消息,删除所述源终端IP地址和源用户IP地址的映射关系。
结合第二方面的第四种至第十种实现方式中的任意一种可能的实现方式,在第二方面的第十一种可能的实现方式中,所述目的边缘路由设备获取所述目的终端IP地址和源用户IP地址的映射关系之前,包括:
所述目的边缘路由设备接收目的终端发送的第二上线认证请求,所述第二上线认证请求中包括所述目的终端IP地址、目的用户的账号和密码;
所述目的边缘路由设备将所述第二上线认证请求转发给AAA服务器,以使所述AAA服务器在对所述目的用户上线认证成功后,确定所述目的用户信息,并根据所述目的用户信息生成所述目的用户IP地址。
结合第二方面的第十一种可能的实现方式,在第二方面的第十二种可能的实现方式中,还包括:
所述目的边缘路由设备接收所述AAA服务器发送所述目的用户IP地址;
所述目的边缘路由设备根据所述目的用户IP地址,生成所述目的用户IP地址的动态路由表项;
所述目的边缘路由设备通过动态路由协议向所述中间网络设备和至少一个边缘路由设备发送第二动态路由表项增加消息,所述第二动态路由表项增加消息包括所述目的用户IP地址的动态路由表项,所述至少一个路由设备包括所述源边缘路由设备,以使所述中间网络设备和至少一个边缘路由设备根据所述第二动态路由表项增加消息获取所述目的用户IP地址的动态路由表项。
结合第二方面的第十二种可能的实现方式,在第二方面的第十三种可能的实现方式中,所述目的边缘路由设备通过动态路由协议向所述中间网络设备和至少一个边缘路由设备发送第二动态路由表项增加消息,包括:
所述目的边缘路由设备通过所述动态路由协议向所述中间网络设备和至少一个边缘路由设备发送包括所述目的用户IP地址的动态路由表项和所述目的终端IP地址的第二动态路由表项增加消息,以使所述中间网络设备和至少一个边缘路由设备根据所述第二动态路由表项增加消息获取所述目的用户IP地址的动态路由表项,以及所述至少一个边缘路由设备根据所述目的用户IP地址的动态路由表项和所述目的终端IP地址生成所述目的终端IP地址和目的用户IP地址的映射关系。
结合第二方面的第十二种可能的实现方式或第二方面的第十三种可能的实现方式,在第二方面的第十四种可能的实现方式中,所述目的边缘路由设备获取所述目的终端IP地址和目的用户IP地址的映射关系,包括:
当所述AAA服务器在对所述目的用户上线认证成功后,所述目的边缘路由设备获取所述AAA服务器发送的所述目的终端IP地址和目的用户IP地址的映射关系,所述目的终端IP地址和目的用户IP地址的映射关系为所述AAA服务器根据所述目的终端IP地址和所述目的用户IP地址生成的。
结合第二方面的第十二种可能的实现方式或第二方面的第十三种可能的实现方式,在第二方面的第十五种可能的实现方式中,所述目的边缘路由设备获取所述目的终端IP地址和目的用户IP地址的映射关系,包括:
所述目的边缘路由设备根据所述目的终端IP地址和所述目的用户IP地址,生成所述目的终端IP地址和目的用户IP地址的映射关系。
结合第二方面的第十二种可能的实现方式或第二方面的第十三种可能的实现方式或第二方面的第十四种可能的实现方式或第二方面的第十五种可能的实现方式,在第二方面的第十六种可能的实现方式中,还包括:
当所述AAA服务器在对所述目的用户下线认证成功后,所述目的边缘路由设备通过动态路由协议向所述中间网络设备和至少一个边缘路由设备发送第二动态路由表项删除消息,所述第二动态路由表项删除消息包括所述目的用户IP地址的动态路由表项;以使所述中间网络设备和至少一个边缘路由设备根据所述第二动态路由表项删除消息,删除所述目的用户IP地址的路由表项。
结合第二方面的第十六种可能的实现方式,在第二方面的第十七种可能的实现方式中,所述目的边缘路由设备通过动态路由协议向所述中间网络设备和至少一个边缘路由设备发送第二动态路由表项删除消息,包括:
所述目的边缘路由设备通过所述动态路由协议向所述中间网络设备和至少一个边缘路由设备发送包括所述目的用户IP地址的动态路由表项和所述目的终端IP地址的第二动态路由表项删除消息,以使所述中间网络设备和至少一个边缘路由设备根据所述第二动态路由表项删除消息删除所述目的用户IP地址的动态路由表项,以及所述至少一个边缘路由设备根据所述目的用户IP地址的动态路由表项和所述目的终端IP地址删除所述目的终端IP地址和目的用户IP地址的映射关系。
结合第二方面的第十六种可能的实现方式,在第二方面的第十八种可能的实现方式中,还包括:
当所述AAA服务器在对所述目的用户下线认证成功后,所述目的边缘路由设备接收所述AAA服务器发送的第二删除指示消息,所述第二删除指示消息包括所述目的终端IP地址和目的用户IP地址的映射关系;
所述目的边缘路由设备根据所述第二删除指示消息,删除所述目的终端IP地址和目的用户IP地址的映射关系。
第三方面,本发明实施例提供一种源边缘路由设备,包括:
接收单元,用于接收源终端发送的第一数据报文,所述第一数据报文携带有源终端互联网协议IP地址和目的终端IP地址;
处理单元,用于将所述第一数据报文中的所述源终端IP地址转换为源用户IP地址,并将所述第一数据报文中的所述目的终端IP地址转换为目的用户IP地址,获得第二数据报文,所述源用户IP地址是根据源用户信息生成的,所述目的用户IP地址是根据目的用户信息生成的,所述源用户IP地址和目的用户IP地址属于私网IP地址;
发送单元,用于将所述第二数据报文发送给中间网络设备,以使所述中间网络设备通过目的边缘路由设备将所述第二数据报文发送给所述目的终端,所述第二数据报文中的所述源用户信息和所述目的用户信息匹配访问控制策略。
在第三方面的第一种可能的实现方式中,所述源用户信息包括所述源用户所属的用户组的标识ID和/或所述源用户的ID;
所述目的用户信息包括所述目的用户所属的用户组的ID和/或所述目的用户的ID。
结合第三方面或第三方面的第一种可能的实现方式,在第三方面的第二种可能的实现方式中,还包括:
判断单元,用于所述发送单元将所述源用户信息和所述目的用户信息都匹配访问控制策略的所述第二数据报文发送给中间网络设备之前,判断所述源用户信息和所述目的用户信息与配置在所述源边缘路由设备上的访问控制策略是否匹配;
所述发送单元具体用于所述判断单元判断所述源用户信息和所述目的用户信息与配置在所述源边缘路由设备上的访问控制策略匹配,则将所述第二数据报文发送给所述中间网络设备。
结合第三方面或第三方面的第一种可能的实现方式或第三方面的第二种可能的实现方式,在第三方面的第三种可能的实现方式中,还包括:
获取单元,用于所述处理单元将所述第一数据报文中的所述源终端IP地址转换为源用户IP地址,并将所述第一数据报文中的所述目的终端IP地址转换为目的用户IP地址,获得第二数据报文之前,根据所述源终端IP地址和源终端IP地址与源用户IP地址的映射关系获得所述源用户IP地址,并根据所述目的终端IP地址和目的终端IP地址与目的用户IP地址的映射关系获得所述目的用户IP地址。
结合第三方面的第三种可能的实现方式,在第三方面的第四种可能的实现方式中,所述获取单元还用于获取所述源终端IP地址和源用户IP地址的映射关系,以及获取所述目的终端IP地址和目的用户IP地址的映射关系。
结合第三方面的第四种可能的实现方式,在第三方面的第五种可能的实现方式中,所述接收单元,还用于所述获取单元获取所述源终端IP地址和源用户IP地址的映射关系之前,接收源终端发送的第一上线认证请求,所述第一上线认证请求中包括所述源终端IP地址、源用户的账号和密码;
所述发送单元,还用于将所述第一上线认证请求发送给认证授权计费AAA服务器,以使所述AAA服务器在对所述源用户上线认证成功后,确定所述源用户信息,并根据所述源用户信息生成所述源用户IP地址。
结合第三方面的第五种可能的实现方式,在第三方面的第六种可能的实现方式中,还包括:生成单元;
所述接收单元,还用于接收所述AAA服务器发送所述源用户IP地址;
所述生成单元,用于根据所述源用户IP地址,生成所述源用户IP地址的动态路由表项;
所述发送单元,还用于通过动态路由协议向所述中间网络设备和至少一个边缘路由设备发送第一动态路由表项增加消息,所述第一动态路由表项增加消息包括所述源用户IP地址的动态路由表项,所述至少一个路由设备包括所述目的边缘路由设备,以使所述中间网络设备和至少一个边缘路由设备根据所述第一动态路由表项增加消息获取源用户IP地址的动态路由表项。
结合第三方面的第六种可能的实现方式,在第三方面的第七种可能的实现方式中,所述发送单元具体用于通过所述动态路由协议向所述中间网络设备和至少一个边缘路由设备发送包括所述源用户IP地址的动态路由表项和所述源终端IP地址的第一动态路由表项增加消息,以使所述中间网络设备和至少一个边缘路由设备根据所述第一动态路由表项增加消息获取所述源用户IP地址的动态路由表项,以及所述至少一个边缘路由设备根据所述源用户IP地址的动态路由表项和所述源终端IP地址生成所述源终端IP地址和源用户IP地址的映射关系。
结合第三方面的第六种可能的实现方式或第三方面的第七种可能的实现方式,在第三方面的第八种可能的实现方式中,所述获取单元具体用于获取所述AAA服务器发送的所述源终端IP地址和源用户IP地址的映射关系,所述源终端IP地址和源用户IP地址的映射关系为所述AAA服务器根据所述源终端IP地址和所述源用户IP地址生成的。
结合第三方面的第六种可能的实现方式或第三方面的第七种可能的实现方式,在第三方面的第九种可能的实现方式中,所述获取单元具体用于根据所述源终端IP地址和所述源用户IP地址,生成所述源终端IP地址和源用户IP地址的映射关系。
结合第三方面的第六种可能的实现方式或第三方面的第七种可能的实现方式或第三方面的第八种可能的实现方式或第三方面的第九种可能的实现方式,在第三方面的第十种可能的实现方式中,当所述AAA服务器对所述源用户下线认证成功后,所述发送单元还用于通过动态路由协议向所述中间网络设备和至少一个边缘路由设备发送第一动态路由表项删除消息,所述第一动态路由表项删除消息包括所述源用户IP地址的动态路由表项,以使所述中间网络设备和至少一个边缘路由设备根据所述第一动态路由表项删除消息,删除所述源用户IP地址的动态路由表项。
结合第三方面的第十种可能的实现方式,在第三方面的第十一种可能的实现方式中,所述发送单元具体用于通过所述动态路由协议向所述中间网络设备和至少一个边缘路由设备发送包括所述源用户IP地址的动态路由表项和所述源终端IP地址的第一动态路由表项删除消息,以使所述中间网络设备和至少一个边缘路由设备根据所述第一动态路由表项删除消息删除所述源用户IP地址的动态路由表项,以及所述至少一个边缘路由设备根据所述源用户IP地址的动态路由表项和所述源终端IP地址删除所述源终端IP地址和源用户IP地址的映射关系。
结合第三方面的第十种可能的实现方式,在第三方面的第十二种可能的实现方式中,当所述AAA服务器在对所述源用户下线认证成功后,所述接收单元还用于接收所述AAA服务器发送的第一删除指示消息,所述第一册除指示消息包括所述源终端IP地址和源用户IP地址的映射关系;
所述处理单元,还用于根据所述第一删除指示消息,删除所述源终端IP地址和源用户IP地址的映射关系。
结合第三方面的第四到第十二种实现方式的任意一种可能的实现方式,在第三方面的第十三种可能的实现方式中,所述接收单元还用于接收所述目的边缘路由设备通过动态路由协议发送的第二动态路由表项增加消息,所述第二动态路由表项增加消息包括所述目的用户IP地址的动态路由表项;
所述获取单元,还用于根据所述第二动态路由表项增加消息,获取所述目的用户IP地址的动态路由表项。
结合第三方面的第十三种可能的实现方式,在第三方面的第十四种可能的实现方式中,所述接收单元具体用于接收所述目的边缘路由设备通过动态路由协议发送的包括所述目的用户IP地址的动态路由表项和所述目的终端IP地址的第二动态路由表项增加消息;
所述获取单元具体用于根据所述第二动态路由表项增加消息中的所述目的用户IP地址的动态路由表项和目的终端IP地址,生成所述目的终端IP地址和目的用户IP地址的映射关系。
结合第三方面的第十三种可能的实现方式,在第三方面的第十五种可能的实现方式中,所述获取单元具体用于获取所述AAA服务器在对所述目的用户上线认证成功之后发送的所述目的终端IP地址和目的用户IP地址的映射关系。
结合第三方面的第十三种可能的实现方式或第三方面的第十四种可能的实现方式或第三方面的第十五种可能的实现方式,在第三方面的第十六种可能的实现方式中,当所述AAA服务器在对所述目的用户下线认证成功后,所述接收单元还用于接收所述目的边缘路由设备通过动态路由协议发送的第二动态路由表项删除消息,所述第二动态路由表项删除消息包括所述目的用户IP地址的动态路由表项;
所述处理单元还用于根据所述第二动态路由表项删除消息,删除所述目的用户IP地址的路由表项。
结合第三方面的第十六种可能的实现方式,在第三方面的第十七种可能的实现方式中,所述接收单元具体用于接收所述目的边缘路由设备通过动态路由协议发送的包括所述目的用户IP地址的动态路由表项和所述目的终端IP地址的第二动态路由表项删除消息;
所述处理单元还用于根据所述目的用户IP地址的动态路由表项和所述目的终端IP地址,删除所述目的终端IP地址和目的用户IP地址的映射关系。
结合第三方面的第十六种可能的实现方式,在第三方面的第十八种可能的实现方式中,当所述AAA服务器在对所述源用户下线认证成功后,所述接收单元还用于接收所述AAA服务器发送的第二删除指示消息,所述第二删除指示消息包括所述目的终端IP地址和目的用户IP地址的映射关系;
所述处理单元还用于根据所述第二删除指示消息,删除所述目的终端IP地址和目的用户IP地址的映射关系。
第四方面,本发明实施例提供一种目的边缘路由设备,包括:接收单元,用于接收源边缘路由设备通过中间网络设备发送的第二数据报文,所述第二数据报文携带有源用户IP地址和目的用户IP地址,所述源用户IP地址是根据源用户信息生成的,所述目的用户IP地址是根据目的用户信息生成的,所述源用户IP地址和目的用户IP地址属于私网IP地址;
处理单元,用于将所述第二数据报文中的所述源用户IP地址转换为源终端IP地址,并将所述第二数据报文中的所述目的用户IP地址转换为目的终端IP地址,获得第一数据报文,所述第二数据报文中的所述源用户信息和所述目的用户信息匹配访问控制策略;
发送单元,用于将所述第一数据报文发送给所述目的终端。
在第四方面的第一种可能的实现方式中,所述源用户信息包括所述源用户所属的用户组的标识ID和/或所述源用户的ID;
所述目的用户信息包括所述目的用户所属的用户组的ID和/或所述目的用户的ID。
结合第四方面或第四方面的第一种可能的实现方式,在第四方面的第二种可能的实现方式中,还包括:
判断单元,用于所述处理单元将第二数据报文中的源用户IP地址转换为源终端IP地址,并将目的用户IP地址转换为目的终端IP地址,获得第一数据报文之前,判断所述源用户信息和所述目的用户信息与配置在所述目的边缘路由设备上的访问控制策略是否匹配;
所述处理单元具体用于所述判断单元判断所述源用户信息和所述目的用户信息与配置在所述目的边缘路由设备上的访问控制策略匹配,则将所述第二数据报文中的源用户IP地址转换为源终端IP地址,并将所述第二数据报文中的所述目的用户IP地址转换为目的终端IP地址,获得第一数据报文。
结合第四方面或第四方面的第一种可能的实现方式或第四方面的第二种可能的实现方式,在第四方面的第三种可能的实现方式中,还包括:
获取单元,用于所述处理单元将所述第二数据报文中的所述源用户IP地址转换为源终端IP地址,并将所述第二数据报文中的所述目的用户IP地址转换为目的终端IP地址,获得第一数据报文之前,根据所述源用户IP地址和源终端IP地址与源用户IP地址的映射关系获得所述源终端IP地址,并根据所述目的用户IP地址和目的终端IP地址与目的用户IP地址的映射关系获得所述目的终端IP地址。
结合第四方面的第三种可能的实现方式,在第四方面的第四种可能的实现方式中,所述获取单元还用于获取所述源终端IP地址和源用户IP地址的映射关系,以及获取所述目的终端IP地址和目的用户IP地址的映射关系。
结合第四方面的第四种可能的实现方式,在第四方面的第五种可能的实现方式中,所述接收单元还用于接收所述源边缘路由设备通过动态路由协议发送的第一动态路由表项增加消息,所述第一动态路由表项增加消息包括所述源用户IP地址的动态路由表项;
所述获取单元,还用于根据所述第一动态路由表项增加消息,获取所述源用户IP地址的动态路由表项。
结合第四方面的第五种可能的实现方式,在第四方面的第六种可能的实现方式中,所述接收单元具体用于接收所述源边缘路由设备通过动态路由协议发送的包括所述源用户IP地址的动态路由表项和所述源终端IP地址的第一动态路由表项增加消息;
所述获取单元具体用于根据所述第一动态路由表项增加消息中的所述源用户IP地址的动态路由表项和所述源终端IP地址,生成所述源终端IP地址和源用户IP地址的映射关系。
结合第四方面的第五种可能的实现方式,在第四方面的第七种可能的实现方式中,所述获取单元具体用于获取所述AAA服务器发送的所述源终端IP地址和源用户IP地址的映射关系。
结合第四方面的第五种可能的实现方式或第四方面的第六种可能的实现方式或第四方面的第七种可能的实现方式,在第四方面的第八种可能的实现方式中,当认证授权计费AAA服务器在对所述源用户下线认证成功后,所述接收单元还用于接收所述源边缘路由设备通过动态路由协议发送第一动态路由表项删除消息,所述第一动态路由表项删除消息包括所述源用户IP地址的动态路由表项;
所述处理单元,还用于根据所述第一动态路由表项删除消息,删除所述源用户IP地址的动态路由表项。
结合第四方面的第八种可能的实现方式,在第四方面的第九种可能的实现方式中,所述接收单元具体用于接收所述源边缘路由设备通过动态路由协议发送包括所述源用户IP地址的动态路由表项和所述源终端IP地址的第一动态路由表项删除消息;
所述处理单元还用于根据所述源用户IP地址的动态路由表项和所述源终端IP地址,删除所述源终端IP地址和源用户IP地址的映射关系。
结合第四方面的第八种可能的实现方式,在第四方面的第十种可能的实现方式中,当所述AAA服务器在对所述源用户下线认证成功后,所述接收单元还用于接收所述AAA服务器发送的第一删除指示消息,所述第一册除指示消息包括所述源终端IP地址和源用户IP地址的映射关系;
所述处理单元还用于根据所述第一删除指示消息,删除所述源终端IP地址和源用户IP地址的映射关系。
结合第四方面的第四种至第十种实现方式中的任意一种可能的实现方式,在第四方面的第十一种可能的实现方式中,所述接收单元还用于所述获取单元获取所述目的终端IP地址和源用户IP地址的映射关系之前,接收目的终端发送的第二上线认证请求,所述第二上线认证请求中包括所述目的终端IP地址、目的用户的账号和密码;
所述发送单元还用于将所述第二上线认证请求转发给AAA服务器,以使所述AAA服务器在对所述目的用户上线认证成功后,确定所述目的用户信息,并根据所述目的用户信息生成所述目的用户IP地址。
结合第四方面的第十一种可能的实现方式,在第四方面的第十二种可能的实现方式中,还包括:生成单元;
所述接收单元还用于接收所述AAA服务器发送所述目的用户IP地址;
所述生成单元,用于根据所述目的用户IP地址,生成所述目的用户IP地址的动态路由表项;
所述发送单元还用于通过动态路由协议向所述中间网络设备和至少一个边缘路由设备发送第二动态路由表项增加消息,所述第二动态路由表项增加消息包括所述目的用户IP地址的动态路由表项,所述至少一个路由设备包括所述源边缘路由设备,以使所述中间网络设备和至少一个边缘路由设备根据所述第二动态路由表项增加消息获取所述目的用户IP地址的动态路由表项。
结合第四方面的第十二种可能的实现方式,在第四方面的第十三种可能的实现方式中,所述发送单元具体用于通过所述动态路由协议向所述中间网络设备和至少一个边缘路由设备发送包括所述目的用户IP地址的动态路由表项和所述目的终端IP地址的第二动态路由表项增加消息,以使所述中间网络设备和至少一个边缘路由设备根据所述第二动态路由表项增加消息获取所述目的用户IP地址的动态路由表项,以及所述至少一个边缘路由设备根据所述目的用户IP地址的动态路由表项和所述目的终端IP地址生成所述目的终端IP地址和目的用户IP地址的映射关系。
结合第四方面的第十二种可能的实现方式或第四方面的第十三种可能的实现方式,在第四方面的第十四种可能的实现方式中,当所述AAA服务器在对所述目的用户上线认证成功后,所述获取单元具体用于获取所述AAA服务器发送的所述目的终端IP地址和目的用户IP地址的映射关系,所述目的终端IP地址和目的用户IP地址的映射关系为所述AAA服务器根据所述目的终端IP地址和所述目的用户IP地址生成的。
结合第四方面的第十二种可能的实现方式或第四方面的第十三种可能的实现方式,在第四方面的第十五种可能的实现方式中,所述获取单元具体用于根据所述目的终端IP地址和所述目的用户IP地址,生成所述目的终端IP地址和目的用户IP地址的映射关系。
结合第四方面的第十二种可能的实现方式或第四方面的第十三种可能的实现方式或第四方面的第十四种可能的实现方式或第四方面的第十五种可能的实现方式,在第四方面的第十六种可能的实现方式中,当所述AAA服务器在对所述目的用户下线认证成功后,所述发送单元还用于通过动态路由协议向所述中间网络设备和至少一个边缘路由设备发送第二动态路由表项删除消息,所述第二动态路由表项删除消息包括所述目的用户IP地址的动态路由表项;以使所述中间网络设备和至少一个边缘路由设备根据所述第二动态路由表项删除消息,删除所述目的用户IP地址的路由表项。
结合第四方面的第十六种可能的实现方式,在第四方面的第十七种可能的实现方式中,所述发送单元具体用于通过所述动态路由协议向所述中间网络设备和至少一个边缘路由设备发送包括所述目的用户IP地址的动态路由表项和所述目的终端IP地址的第二动态路由表项删除消息,以使所述中间网络设备和至少一个边缘路由设备根据所述第二动态路由表项删除消息删除所述目的用户IP地址的动态路由表项,以及所述至少一个边缘路由设备根据所述目的用户IP地址的动态路由表项和所述目的终端IP地址删除所述目的终端IP地址和目的用户IP地址的映射关系。
结合第四方面的第十六种可能的实现方式,在第四方面的第十八种可能的实现方式中,当所述AAA服务器在对所述目的用户下线认证成功后,所述接收单元还用于接收所述AAA服务器发送的第二删除指示消息,所述第二删除指示消息包括所述目的终端IP地址和目的用户IP地址的映射关系;
所述处理单元具体用于根据所述第二删除指示消息,删除所述目的终端IP地址和目的用户IP地址的映射关系。
本发明实施例提供的数据报文传输方法和设备,通过源边缘路由设备接收源终端发送的第一数据报文;将第一数据报文中的源终端IP地址转换为源用户IP地址,并将第一数据报文中的目的终端IP地址转换为目的用户IP地址,获得第二数据报文;以及将源用户信息和目的用户信息均匹配访问控制策略的第二数据报文发送给中间网络设备,以使中间网络设备通过目的边缘路由设备将第二数据报文发送给目的终端。由于第二数据报文携带的是源用户IP地址和目的用户IP地址,所以源边缘路由设备、中间网络设备、目的边缘路由设备均可以根据源用户IP地址和目的用户IP地址进行访问控制,从而可以实现用户到用户的访问控制,提高访问控制的准确率。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明数据报文传输方法的一种应用场景的示意图
图2为本发明数据报文传输方法实施例一的流程图;
图3为本发明数据报文传输方法实施例二的流程图;
图4为本发明数据报文传输方法实施例三的流程图;
图5为本发明数据报文传输方法实施例四的流程图;
图6为本发明数据报文传输方法实施例五的流程图;
图7为本发明数据报文传输方法实施例六的流程图;
图8为本发明源边缘路由设备实施例一的结构示意图;
图9为本发明源边缘路由设备实施例二的结构示意图;
图10为本发明目的边缘路由设备实施例一的结构示意图;
图11为本发明目的边缘路由设备实施例二的结构示意图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
图1为本发明数据报文传输方法的一种应用场景的示意图,如图1所示,用户与边缘路由设备通信的区域可以称为终端IP地址域,边缘路由设备与边缘路由设备之间通信的区域可以称为用户IP地址域,本发明实施例仅示出两个边缘路由设备和一个中间网络设备,但本发明实施例并不以此为限制,本发明下述各实施例可以基于图1所示的应用场景来实现。
图2为本发明数据报文传输方法实施例一的流程图,如图2所示,本实施例的方法可以包括:
S101、源边缘路由设备接收源终端发送的第一数据报文。
本实施例中,第一数据报文携带有源IP地址和目的IP地址,源IP地址为源终端IP地址,目的IP地址为目的终端IP地址。
S102、源边缘路由设备将第一数据报文中的源终端IP地址转换为源用户IP地址,并将第一数据报文中的目的终端IP地址转换为目的用户IP地址,获得第二数据报文。
本实施例中,源边缘路由设备在接收到第一数据报文之后,将第一数据报文中的源终端IP地址转换为源用户IP地址,并将第一数据报文中的目的终端IP地址转换为目的用户IP地址,从而可以将第一数据报文转换为第二数据报文,第二数据报文中的源IP地址为源用户IP地址,第二数据报文中的目的IP地址为目的用户IP地址,源用户为使用该源终端的用户,目的用户为使用该目的终端的用户,并且源用户IP地址是根据源用户信息生成的,目的用户IP地址是根据目的用户信息生成的,因此源用户IP地址可以标识源用户,目的用户IP地址可以标识目的用户。为了保证不改变现有网络的架构,转换后得到的源用户IP地址和目的用户IP地址属于私网IP地址。
S103、源边缘路由设备将第二数据报文发送给中间网络设备,以使中间网络设备通过目的边缘路由设备将第二数据报文发送给目的终端。
本实施例中,源边缘路由设备获得第二数据报文之后,源边缘路由设备将第二数据报文发送给中间网络设备,第二数据报文中的所述源用户信息和所述目的用户信息匹配访问控制策略,也即源边缘路由设备可以将源用户信息和目的用户信息均匹配访问控制策略的第二数据报文发送给中间网络设备,中间网络设备为第二数据报文从源边缘路由设备流至目的边缘路由设备之间的网络设备,中间网络设备为核心层网络设备和/或汇聚层网络设备,例如:中间网络设备包括用户路由设备(U设备)和一般设备。然后中间网络设备可以将源用户信息和目的用户信息均匹配访问控制策略的第二数据报文发送给目的边缘路由设备,目的边缘路由设备可以将源用户信息和目的用户信息均匹配访问控制策略的第二数据报文转换为上述的第一数据报文后发送给目的终端,从而可以实现对源用户与目的用户的访问进行控制。由于在将第二数据报文进行访问控制的时候,是判断第二数据报文中的源用户信息和目的用户信息是否匹配访问控制策略,因此无论源用户和目的用户如何更改各自所使用终端,源用户信息和目的用户信息均不会发生变化,从而可以提高访问控制的准确率。
需要说明的是,第二数据报文中的所述源用户信息和所述目的用户信息匹配访问控制策略,可以有两种可行的实现方式,在第一种可行的实现方式中,访问控制策略中包括有允许访问的源用户信息表和目的用户信息表,若第二数据报文中的源用户信息和目的用户信息分别属于源用户信息表和目的用户信息表,则说明第二数据报文中的所述源用户信息和所述目的用户信息匹配访问控制策略,可以将该第二数据报文进行传输;若第二数据报文中的源用户信息和目的用户信息分别不属于源用户信息表和目的用户信息表,则说明第二数据报文中的所述源用户信息和所述目的用户信息不匹配访问控制策略,可以丢弃该第二数据报文。在第二种可行的实现方式中,访问控制策略中包括有禁止访问的源用户信息表和目的用户信息表,若第二数据报文中的源用户信息和目的用户信息分别不属于源用户信息表和目的用户信息表,则说明第二数据报文中的所述源用户信息和所述目的用户信息匹配访问控制策略,可以将该第二数据报文进行传输;若第二数据报文中的源用户信息和目的用户信息分别属于源用户信息表和目的用户信息表,则说明第二数据报文中的源用户信息和目的用户信息不匹配访问控制策略,可以丢弃该第二数据报文。
本发明实施例一提供的数据报文传输方法,通过源边缘路由设备接收源终端发送的第一数据报文;将第一数据报文中的源终端IP地址转换为源用户IP地址,并将第一数据报文中的目的终端IP地址转换为目的用户IP地址,获得第二数据报文;以及将源用户信息和目的用户信息均匹配访问控制策略的第二数据报文发送给中间网络设备,以使中间网络设备通过目的边缘路由设备将第二数据报文发送给目的终端。从而可以实现用户到用户的访问控制,提高访问控制的准确率。
在本发明上述实施例的基础上,可选地,源用户信息包括源用户所属的用户组的标识(Identity,简称:ID)和/或源用户的ID;目的用户信息包括目的用户所属的用户组的ID和/或目的用户的ID,例如:用户组为研发组或非研发组。
可选地,在第一种可行的实现方式中,源边缘路由设备将第二数据报文发送给中间网络设备,以使中间网络设备通过目的边缘路由设备将第二数据报文发送给所述目的终端,包括:源边缘路由设备判断源用户信息和目的用户信息与配置在源边缘路由设备上的访问控制策略是否匹配;若匹配,则将源边缘路由设备将第二数据报文发送给中间网络设备,以使中间网络设备将第二数据报文发送给目的边缘路由设备,以使目的边缘路由设备将第二数据报文发送给目的终端。若不匹配,则源边缘路由设备阻止源用户的访问,丢失该第二数据报文。
在第二种可行的实现方式中,源边缘路由设备将第二数据报文发送给中间网络设备,以使中间网络设备通过目的边缘路由设备将第二数据报文发送给所述目的终端,包括:源边缘路由设备将第二数据报文发送给中间网络设备;以使中间网络设备判断源用户信息和目的用户信息与配置在中间网络设备上的访问控制策略是否匹配,若匹配,则中间网络设备将第二数据报文发送给目的边缘路由设备,以使目的边缘路由设备将第二数据报文发送给目的终端,具体地,目的边缘路由设备将第二数据报文转换为第一数据报文后发送给目的终端。
第三种可行的实现方式中,源边缘路由设备将第二数据报文发送给中间网络设备,以使中间网络设备通过目的边缘路由设备将第二数据报文发送给所述目的终端,包括:源边缘路由设备将第二数据报文发送给中间网络设备;以使中间网络设备将第二数据报文发送给目的边缘路由设备,以使目的边缘路由设备判断源用户信息和目的用户信息与配置在目的边缘路由设备上的访问控制策略是否匹配,若匹配,则目的边缘路由设备将第二数据报文转换为第一数据报文,并将第一数据报文发送给目的终端。
需要说明的是,上述三种可行的实现方式可以相互间结合使用,例如:源边缘路由设备、中间网络设备和目的边缘路由设备中至少有一个设备判断源用户信息和目的用户信息与配置的访问控制策略是否匹配。
可选地,源边缘路由设备将第一数据报文中的源终端IP地址转换为源用户IP地址,并将第一数据报文中的目的终端IP地址转换为目的用户IP地址,获得第二数据报文之前,还包括:源边缘路由设备根据源终端IP地址和源终端IP地址与源用户IP地址的映射关系获得源用户IP地址,并根据目的终端IP地址和目的终端IP地址与目的用户IP地址的映射关系获得所述目的用户IP地址,其中,源终端IP地址与源用户IP地址存在一一对应的关系,目的终端IP地址与目的用户IP地址存在一一对应的关系。
可选地,源边缘路由设备根据源终端IP地址和源终端IP地址与源用户IP地址的映射关系获得源用户IP地址,并根据目的终端IP地址和目的终端IP地址与目的用户IP地址的映射关系获得目的用户IP地址之前,还包括:源边缘路由设备获取源终端IP地址和源用户IP地址的映射关系,以及目的终端IP地址和目的用户IP地址的映射关系。
图3为本发明数据报文传输方法实施例二的流程图,如图3所示,本实施例的方法可以包括:
S201、目的边缘路由设备接收源边缘路由设备通过中间网络设备发送的第二数据报文。
本实施例中,源边缘路由设备将第二数据报文发送给中间网络设备,中间网络设备为第二数据报文从源边缘路由设备流至目的边缘路由设备之间的网络设备,中间网络设备包括核心层网络设备和/或汇聚层网络设备,例如:中间网络设备包括用户路由设备(U设备)和一般设备。中间网络设备可以将第二数据报文发送给目的边缘路由设备,目的边缘路由设备可以接收第二数据报文,该第二数据报文携带有源IP地址和目的IP地址,第二数据报文的源IP地址为源用户IP地址,第二数据报文的目的IP地址为目的用户IP地址,源用户为使用源终端的用户,目的用户为使用目的终端的用户,源用户IP地址根据源用户信息生成的,目的用户IP地址是根据目的用户信息生成的,因此源用户IP地址可以标识源用户,目的用户IP地址可以标识目的用户,本领域技术人员可知,为了保证不改变现有网络的架构,源用户IP地址和目的用户IP地址属于私网IP地址。
S202、目的边缘路由设备将第二数据报文中的源用户IP地址转换为源终端IP地址,并将第二数据报文中的目的用户IP地址转换为目的终端IP地址,获得第一数据报文。
本实施例中,第二数据报文中的源用户信息和目的用户信息匹配访问控制策略,那么目的边缘路由设备可以将该第二数据报文转换为第一数据报文,具体地,将第二数据报文中的源用户IP地址转换为源终端IP地址,并将第二数据报文中的目的用户IP地址转换为目的终端IP地址,从而可以将第二数据报文转换为第一数据报文,第一数据报文中的源IP地址为源终端IP地址,第一数据报文中的目的IP地址为目的终端IP地址。
S203、目的边缘路由设备将第一数据报文发送给目的终端。
本实施例中,目的边缘路由设备可以根据第一数据报文中的目的终端IP地址将第一数据报文发送给目的终端,从而实现对源用户与目的用户之间的访问进行控制。由于在将第二数据报文进行访问控制的时候,是判断第二数据报文中的源用户信息和目的用户信息是否匹配访问控制策略,因此无论源用户和目的用户如何更改各自所使用终端,源用户信息和目的用户信息均不会发生变化,从而可以提高访问控制的准确率。
本发明实施例二提供的数据报文传输方法,通过目的边缘路由设备接收源边缘路由设备通过中间网络设备发送的第二数据报文;将第二数据报文中的源用户IP地址转换为源终端IP地址,并将第二数据报文中的目的用户IP地址转换为目的终端IP地址,获得第一数据报文,该第二数据报文中的源用户信息和目的用户信息均匹配访问控制策略的;将第一数据报文发送给目的终端。从而可以实现用户到用户的访问控制,提高访问控制的准确率。
在本发明上述实施例的基础上,可选地,源用户信息包括源用户所属的用户组的ID和/或所述源用户的ID;目的用户信息包括目的用户所属的用户组的ID和/或目的用户的ID。
可选地,在第一种可行的实现方式中,目的边缘路由设备将第二数据报文中的源用户IP地址转换为源终端IP地址,并将第二数据报文中的目的用户IP地址转换为目的终端IP地址,获得第一数据报文之前,还包括:目的边缘路由设备判断源用户信息和目的用户信息与配置在目的边缘路由设备上的访问控制策略是否匹配;目的边缘路由设备将源用户信息和目的用户信息匹配访问控制策略的第二数据报文中的源用户IP地址转换为源终端IP地址,并将第二数据报文中的目的用户IP地址转换为目的终端IP地址,获得第一数据报文,包括:若匹配,则目的边边缘路由设备将第二数据报文中的源用户IP地址转换为源终端IP地址,并将第二数据报文中的目的用户IP地址转换为目的终端IP地址,获得第一数据报文。
在第二种可行的实现方式中,目的边缘路由设备接收源边缘路由设备通过中间网络设备发送的第二数据报文,包括:目的边缘路由设备接收中间网络设备发送的第二数据报文,第二数据报文为源边缘路由设备判断出源用户信息和目的用户信息匹配配置在源边缘路由设备上的访问控制策略并发送给中间网络设备的,然后由中间网络设备发送给目的边缘路由设备。
在第三种可行的实现方式中,目的边缘路由设备接收源边缘路由设备通过中间网络设备发送的第二数据报文,包括:目的边缘路由设备接收中间网络设备发送的第二数据报文,第二数据报文为中间网络设备接收源边缘路由设备发送的并判断出源用户信息和目的用户信息匹配配置在中间网络设备上的访问控制策略后发送的。
可选地,目的边缘路由设备将第二数据报文中的源用户IP地址转换为源终端IP地址,并将第二数据报文中的目的用户IP地址转换为目的终端IP地址,获得第一数据报文之前,还包括:目的边缘路由设备根据源用户IP地址和源终端IP地址与源用户IP地址的映射关系获得源终端IP地址,并根据目的用户IP地址和目的终端IP地址与目的用户IP地址的映射关系获得目的终端IP地址。
可选地,目的边缘路由设备根据源用户IP地址和源终端IP地址与源用户IP地址的映射关系获得源终端IP地址,并根据目的用户IP地址和目的终端IP地址与目的用户IP地址的映射关系获得目的终端IP地址之前,还包括:目的边缘路由设备获取源终端IP地址和源用户IP地址的映射关系,以及目的终端IP地址和目的用户IP地址的映射关系。
图4为本发明数据报文传输方法实施例三的流程图,如图4所示,本实施例的方法可以包括:
S301、发送第一上线认证请求。
本实施例中,源用户使用源终端向目的用户使用的目的终端发送数据报文之前,源用户使用源终端需要进行用户身份认证,那么源用户会将源用户的账号和密码输入至源终端中,源终端再向源边缘路由设备发送第一上线认证请求,该第一上线认证请求包括源终端IP地址、源用户的账号和密码。
S302、发送第一上线认证请求。
本实施例中,源边缘路由设备可以接收源终端发送的第一上线认证请求,源边缘路由设备将第一上线认证请求发送给认证授权计费(Authentication AuthorizationAccounting,简称:AAA)服务器,以使AAA服务器对源终端进行身份认证。
S303、确定源用户信息,并根据源用户信息生成源用户IP地址。
本实施例中,AAA服务器可以对源用户进行上线认证,具体实现过程与现有技术类似,本发明实施例在此不再赘述。AAA服务器在对源用户上线认证成功后,AAA服务器可以向源边缘路由设备发送第一上线认证响应,源边缘路由设备可以向源终端发送第一上线认证响应,以通知源用户已通过上线认证。
AAA服务器对源用户上线认证成功后,可以根据源用户的账号和密码确定源用户信息,例如:AAA服务器中存储有源用户的账号与源用户信息的对应关系,具体地,AAA服务器可以根据源用户的账号确定源用户所属的用户组的ID和/或源用户的ID。
AAA服务器在确定源用户信息后,可以根据源用户信息生成源用户IP地址。本实施例中,源用户IP地址采用指定的私网IP地址,例如:10.0.0.0~10.255.255.255,可用范围一共24位,因此可以灵活划分给用户组和用户使用,如果用户组使用前10位进行标识,则用户组共1024个,每个用户组内可包含16384个用户。例如AAA服务器可以根据源用户的账号确定源用户属于的用户组为部门1,该源用户为用户A,从而可以确定部门1的ID为10,用户A的ID为1,从而可以根据部门1的ID和用户A的ID确定出源用户IP地址为10.10.0.1,该源用户IP地址用于唯一标识源用户。
S304、发送源用户IP地址。
S305、生成源用户IP地址的动态路由表项。
本实施例中,AAA服务器在确定出源用户IP地址之后,将源用户IP地址发送给源边缘路由设备。源边缘路由设备可以接收AAA服务器发送的源用户IP地址,然后根据该源用户IP地址,建立源用户IP地址的动态路由表项。源边缘路由设备还可以通过动态路由协议向中间网络设备和至少一个边缘路由设备发送第一动态路由表项增加消息,该第一动态路由表项增加消息包括源用户IP地址的动态路由表项,第一动态路由表项增加消息用于指示接收该第一动态路表项增加消息的设备增加该源用户IP地址的动态路由表项。从而以使中间网络设备和至少一个边缘路由设备根据第一动态路由表项增加消息获取源用户IP地址的动态路由表项。具体地,可以通过S306-S309来实现。
S306、通过动态路由协议发送第一动态路由表项增加消息。
本实施例中,源边缘路由设备可以将源用户IP地址的动态路由表项引入动态路由向全网发布,用户IP地址域内的边缘路由设备与中间网络设备通过动态路由交互用户IP地址路由表项信息,因此用户IP地址域中所有的边缘路由设备都有整网的用户IP地址路由表项信息,然后在用户IP地址域中可以依据用户IP地址进行正常的路由转发。
源边缘路由设备通过动态路由协议向中间网络设备发送第一动态路由表项增加消息,该第一动态路由表项增加消息包括源用户IP地址的动态路由表项。需要说明的是,中间网络设备为至少一个,本实施例仅示出一个。
S307、获取源用户IP地址的动态路由表项。
S308、通过动态路由协议发送第一动态路由表项增加消息。
本实施例中,中间网络设备可以接收源边缘路由设备发送的第一动态路由表项增加消息,然后中间网络设备根据第一动态路由表项增加消息,获取源用户IP地址的动态路由表项。中间网络设备也可以通过动态路由协议向目的边缘路由设备发送第一动态路由表项增加消息。中间网络设备也可以通过动态路由协议向与该中间网络设备通信的其它边缘路由设备发送第一动态路由表项增加消息,以使得其它边缘路由设备也可以获取源用户IP地址的动态路由表项。
S309、获取源用户IP地址的动态路由表项。
本实施例中,目的边缘路由设备可以接收中间网络设备发送的第一动态路由表项增加消息,根据第一动态路由表项增加消息获取源用户IP地址的动态路由表项。
S310、生成源终端IP地址与源用户IP地址的映射关系。
S311、发送源终端IP地址与源用户IP地址的映射关系。
S312、发送源终端IP地址与源用户IP地址的映射关系。
本实施例中,AAA根据源用户信息生成源用户IP地址之后,根据源终端IP地址和源用户IP地址生成源终端IP地址与源用户IP地址的映射关系,例如:源终端IP地址为172.16.1.1,那么生成的源终端IP地址与源用户IP地址的映射关系如下所示:
源终端IP地址源用户IP地址
172.16.1.1 10.10.0.1
然后AAA服务器可以向源边缘路由设备发送源终端IP地址与源用户IP地址的映射关系,AAA服务器也可以向目的边缘路由设备发送源终端IP地址与源用户IP地址的映射关系,进一步地,AAA服务器还可以向其它边缘路由设备发送源终端IP地址与源用户IP地址的映射关系,从而达到将源终端IP地址与源用户IP地址的映射关系同步给全网的所有边缘路由设备。从而源边缘路由设备可以通过S311获取源终端IP地址与源用户IP地址的映射关系,目的边缘路由设备可以通过S312获取源终端IP地址与源用户IP地址的映射关系。
需要说明的是,S310-S312与S306-S309的执行顺序不分前后,本发明实施例不做限定。
S313、发送第二上线认证请求。
S314、发送第二上线认证请求。
本实施例中,该第二上线认证请求包括目的终端IP地址、目的用户的账号和密码。
S315、确定目的用户信息,并根据目的用户信息生成目的用户IP地址。
本实施例中,AAA服务器在确定目的用户信息后,可以根据目的用户信息生成目的用户IP地址。例如AAA服务器可以根据目的用户的账号确定目的用户属于的用户组为部门2,该目的用户为用户D,从而可以确定部门2的ID为11,用户D的ID为2,从而可以根据部门2的ID和用户D的ID确定出目的用户IP地址为10.11.0.2,该目的用户IP地址用于唯一标识源用户。
S316、发送目的用户IP地址。
S317、生成目的用户IP地址的动态路由表项。
本实施例中,AAA服务器根据该目的用户IP地址,建立目的用户IP地址的动态路由表项。
本实施例中,目的边缘路由设备还可以通过动态路由协议向中间网络设备和至少一个边缘路由设备发送第二动态路由表项增加消息,至少一个路由设备包括源边缘路由设备,该第二动态路由表项增加消息包括目的用户地址的动态路由表项,以使中间网络设备和至少一个边缘路由设备根据第二动态路由表项增加消息获取目的用户IP地址的动态路由表项。具体地,可以通过S318-S321来实现。
S318、通过动态路由协议发送第二动态路由表项增加消息。
本实施例中,该第二动态路由表项增加消息包括目的用户IP地址的动态路由表项。
S319、获取目的用户IP地址的动态路由表项。
S320、通过动态路由协议发送第二动态路由表项增加消息。
S321、获取目的用户IP地址的动态路由表项。
S322、生成目的终端IP地址与目的用户IP地址的映射关系。
本实施例中,AAA服务器在对所述目的用户上线认证成功之后,根据目的终端IP地址和目的用户IP地址生成目的终端IP地址与目的用户IP地址的映射关系,例如:目的终端IP地址为172.16.2.2,那么生成的目的终端IP地址与目的用户IP地址的映射关系如下所示:
源终端IP地址 源用户IP地址
172.16.2.2 10.11.0.2
S323、发送目的终端IP地址与目的用户IP地址的映射关系。
S324、发送目的终端IP地址与目的用户IP地址的映射关系。
然后AAA服务器可以向目的边缘路由设备发送目的终端IP地址与目的用户IP地址的映射关系,AAA服务器也可以向源边缘路由设备发送目的终端IP地址与目的用户IP地址的映射关系,进一步地,AAA服务器还可以向其它边缘路由设备发送目的终端IP地址与目的用户IP地址的映射关系,从而达到将目的终端IP地址与目的用户IP地址的映射关系同步给全网的所有边缘路由设备。从而目的边缘路由设备可以通过S321获取目的终端IP地址与目的用户IP地址的映射关系,源边缘路由设备可以通过S322获取目的终端IP地址与目的用户IP地址的映射关系。
本实施例中,S313-S324的具体实现过程与本发明实施例中S301-S312的具体实现过程类似,详细可以参见本发明实施例中上述的相关记载,本发明实施例在此不再赘述。其中,S301-S311与S312-S322的执行顺序不分前后。
S325、发送第一数据报文。
本实施例中,源终端向源边缘路由设备发送第一数据报文,源边缘路由设备接收源终端发送的第一数据报文,第一数据报文携带有源终端IP地址和目的终端IP地址。例如源终端IP地址为172.16.1.1,目的终端IP地址为172.16.2.2。
S326、将第一数据报文中的源终端IP地址转换为源用户IP地址,并将第一数据报文中的目的终端IP地址转换为目的用户IP地址,获得第二数据报文。
本实施例中,源用户IP地址是根据源用户信息生成的,目的用户IP地址是根据目的用户信息生成的,源用户IP地址和目的用户IP地址属于私网IP地址。源边缘路由设备根据源终端IP地址与源用户IP地址的映射关系,确定源用户IP地址为10.10.0.1,源边缘路由设备根据目的终端IP地址与目的用户IP地址的映射关系确定目的用户IP地址为10.11.2.2。然后将第一数据报文中的源IP地址更换为10.10.0.1,将目的IP地址更换为10.11.2.2。
S327、发送第二数据报文。
本实施例中,源边缘路由设备根据目的用户IP地址的动态路由表项将第二数据报文发送给中间网络设备,在一种可行的实现方式中,源边缘路由设备判断源用户信息和目的用户信息是否匹配配置在源边缘路由设备上的访问控制策略,若匹配,则源边缘路由设备根据目的用户IP地址的动态路由表项将第二数据报文发送给中间网络设备;若不匹配,则源边缘路由设备丢弃该第二数据报文。
S328、发送第二数据报文。
本实施例中,中间网络设备可以接收源边缘路由设备发送的第二数据报文,然后根据目的用户IP地址的动态路由表项将第二数据报文发送给目的边缘路由设备,在一种可行的实现方式中,中间网络设备判断源用户信息和目的用户信息是否匹配配置在中间网络设备上的访问控制策略,若匹配,则中间网络设备根据目的用户IP地址的动态路由表项将第二数据报文发送给目的边缘路由设备;若不匹配,则中间网络设备丢弃该第二数据报文。
访问控制策略可以为允许用户组为部门1的用户访问用户组为部门2的用户,也可以为允许用户组为部门1的用户A访问用户组为部门2的用户D,因此访问控制策略的控制粒度可以为用户组也可以为用户。
S329、将源用户信息和目的用户信息匹配访问控制策略的第二数据报文中的源用户IP地址转换为源终端IP地址,并将第二数据报文中的目的用户IP地址转换为目的终端IP地址,获得第一数据报文。
本实施例中,目的边缘路由设备接收中间网络设备发送的第二数据报文,在一种可行的实现方式中,目的边缘路由设备判断源用户信息和目的用户信息是否匹配配置在目的边缘路由设备上的访问控制策略,若匹配,则目的边缘路由设备根据源用户IP地址的动态路由表项和目的用户IP地址的动态路由表项将第二数据报文转换为第一数据报文并发送给目的终端;若不匹配,则目的边缘路由设备丢弃该第二数据报文。
目的边缘路由设备可以根据源终端IP地址与源用户IP地址的映射关系,确定源终端IP地址为172.16.1.1,目的边缘路由设备根据目的终端IP地址与目的用户IP地址的映射关系确定目的终端IP地址为172.16.2.2。然后将第二数据报文中的源IP地址更换为172.16.1.1,将目的IP地址更换为172.16.2.2。
S330、发送第一数据报文。
本实施例中,目的边缘路由设备将第一数据报文发送给目的终端。
需要说明的是,由哪个设备来判断源用户信息和目的用户信息是否匹配访问控制策略可以根据实际的应用场景而定,本发明实施例在此不做限制。
需要说明的是,S301-S324在S325-S330之前完成即可,并不是每次执行S325-S330都必须执行S301-S324。
本发明实施例三提供的数据报文传输方法,通过在源用户使用源终端进行上线认证成功后,各边缘路由设备均会获取到用于标识该源用户的源用户IP地址与源终端IP地址的映射关系;在目的用户使用目的终端进行上线认证成功后,各边缘路由设备均会获取到用于标识该目的用户的目的用户IP地址与目的终端IP地址的映射关系,从而使得源边缘路由设备与目的边缘路由设备之间传输的数据报文的源IP地址为源用户IP地址,目的IP地址为目的用户IP地址,从而可以根据源用户IP地址和目的用户IP地址进行访问策略控制,从而达到用户到用户的访问控制的目的,提高访问控制的准确率。
图5为本发明数据报文传输方法实施例四的流程图,如图5所示,本实施例的方法在图4所示方法实施例的基础上,进一步地,本实施例的方法还可以包括:
S401、发送第一下线认证请求。
本实施例中,源用户使用源终端向目的用户使用的目的终端传输数据报文之后,源用户需要下线,那么源终端向源边缘路由设备发送第一下线认证请求,该第一下线认证请求包括源终端IP地址、源用户的账号和密码。
S402、发送第一下线认证请求。
本实施例中,源边缘路由设备向AAA服务器发送第一下线认证请求。
S403、在对源用户下线认证成功后,确定出属于源用户的源终端IP地址与源用户IP地址的映射关系。
本实施例中,AAA服务器接收第一下线认证请求后对源用户进行下线认证,具体实现过程与现有技术类似,本发明实施例在此不再赘述。AAA服务器在对源用户下线认证成功后,AAA服务器可以向源边缘路由设备发送第一下线认证响应,源边缘路由设备可以向源终端发送第一下线认证响应,以通知源用户已通过下线认证。
AAA服务器在对源用户下线认证成功后,可以确定出属于源用户的源终端IP地址与源用户IP地址的映射关系。进一步地,AAA服务器也可以删除源终端IP地址与源用户IP地址的映射关系。
S404、发送第一删除指示消息。
S405、删除源终端IP地址和源用户IP地址的映射关系。
本实施例中,AAA服务器可以向源终端边缘路由设备发送第一删除指示消息,该第一删除指示消息包括源终端IP地址和源用户IP地址的映射关系。源边缘路由设备接收AAA服务器发送的第一删除指示消息之后,根据第一删除指示消息删除源终端IP地址和源用户IP地址的映射关系。
S406、发送第一删除指示消息。
S407、删除源终端IP地址和源用户IP地址的映射关系。
本实施例中,AAA服务器还可以向目的终端边缘路由设备发送第一删除指示消息,该第一删除指示消息包括源终端IP地址和源用户IP地址的映射关系。目的边缘路由设备接收AAA服务器发送的第一删除指示消息之后,根据第一删除指示消息删除源终端IP地址和源用户IP地址的映射关系。进一步地,AAA服务器还可以向其它边缘路由设备发送第一删除指示消息,从而达到全网的所有边缘路由设备同步删除源终端IP地址与源用户IP地址的映射关系的目的。
需要说明的是,S404和S405与S406和S407的执行顺序不分前后。
当AAA服务器在对源用户下线认证成功后,源边缘路由设备可以删除源用户IP地址的动态路由表项,源边缘路由设备也可以通过动态路由协议向中间网络设备和至少一个边缘路由设备发送第一动态路由表项删除消息,第一动态路由表项删除消息包括源用户IP地址的动态路由表项,第一动态路由表项删除消息用于指示接收该第一动态路由表项删除消息的设备删除源用户IP地址的动态路由表项,从而以使中间网络设备和至少一个边缘路由设备根据第一动态路由表项删除消息删除源用户IP地址的动态路由表项。具体地,可以通过S408-S411来实现。
S408、通过动态路由协议发送第一动态路由表项删除消息。
本实施例中,源边缘路由设备在获知AAA服务器对源用户下线认证成功之后,例如:源边缘路由设备接收AAA服务器发送的第一删除指示消息之后或者源边缘路由设备接收AAA服务器发送的第一下线认证响应之后,源边缘路由设备通过动态路由协议向中间网络设备发送第一动态路由表项删除消息,第一动态路由表项删除消息包括源用户IP地址的动态路由表项。
S409、删除源用户IP地址的动态路由表项。
本实施例中,中间网络设备接收到源边缘路由设备发送的第一动态路由表项删除消息,根据第一动态路由表项删除消息,删除源用户IP地址的动态路由表项。
S410、通过动态路由协议发送第一动态路由表项删除消息。
本实施例中,中间网络设备通过动态路由协议向目的边缘路由设备发送第一动态路由表项删除消息,第一动态路由表项删除消息包括源用户IP地址的动态路由表项。中间网络设备也可以通过动态路由协议向与该中间网络设备通信的其它边缘路由设备发送第一动态路由表项删除消息,以使得其它边缘路由设备也可以删除源用户IP地址的动态路由表项。
S411、删除源用户IP地址的动态路由表项。
本实施例中,目的边缘路由设备接收到中间网络设备发送的第一动态路由表项删除消息,根据第一动态路由表项删除消息,删除源用户IP地址的动态路由表项。
可选地,本发明实施例还可以包括:
S412、发送第二下线认证请求。
S413、发送第二下线认证请求。
本实施例中,第二下线认证请求包括目的终端IP地址、目的用户的账号和密码。
S414、在对目的用户下线认证成功后,确定出属于目的用户的目的终端IP地址与目的用户IP地址的映射关系。
S415、发送第二删除指示消息。
本实施例中,第二删除指示消息包括目的终端IP地址与目的用户IP地址的映射关系。
S416、删除目的终端IP地址和目的用户IP地址的映射关系。
S417、发送第二删除指示消息。
S418、删除目的终端IP地址和目的用户IP地址的映射关系。
S419、通过动态路由协议发送第二动态路由表项删除消息。
本实施例中,第二动态路由表项删除消息包括目的用户IP地址的动态路由表项。
S420、删除目的用户IP地址的动态路由表项。
本实施例中,中间网络设备接收到目的边缘路由设备发送的第二动态路由表项删除消息,根据第二动态路由表项删除消息,删除目的用户IP地址的动态路由表项。
S421、通过动态路由协议发送第二动态路由表项删除消息。
S422、删除目的用户IP地址的动态路由表项。
本实施例中,S412-S422的具体实现过程与本发明实施例中S401-S411的具体实现过程类似,详细可以参见本发明实施例中上述的相关记载,本发明实施例在此不再赘述。其中,S401-S411与S412-S422的执行顺序不分前后。
值得注意的是,源用户或目的用户有可能非正常下线,因此,源边缘路由设备和目的边缘路由设备上存储的上述映射关系具有自动老化机制,即在预设时间内用户未上线,则将属于该用户的映射关系删除,若用户在预设时间内重新上线,则可以将映射关系进行同步刷新。
本发明实施例四提供的数据报文传输方法,进一步地,当源用户下线的时候,可以将各边缘路由设备上的源终端IP地址与源用户IP地址的映射关系删除,当目的用户下线的时候,可以将各边缘路由设备上的目的终端IP地址与目的用户IP地址的映射关系删除,以保证各边缘路由设备上的映射关系为最新的,从而可以避免同一个终端IP地址与不同的用户IP地址进行映射。进一步保证了访问控制的准确率。
图6为本发明数据报文传输方法实施例五的流程图,如图6所示,本实施例的方法可以包括:
S501、发送第一上线认证请求。
S502、发送第一上线认证请求。
S503、在对源用户上线认证成功后,确定源用户信息并根据源用户信息生成源用户IP地址。
S504、发送源用户IP地址。
本实施例中,S501-S504的具体实现过程与本发明方法实施例三中的S301-S304的具体实现过程类似,详细可以参见本发明上述方法实施例中的相关记载。
S505、生成源用户IP地址的动态路由表项;以及生成源终端IP地址和源用户IP地址的映射关系。
本实施例中,源边缘路由设备接收到AAA服务器发送的源用户IP地址之后,可以根据源用户IP地址生成源用户IP地址的动态路由表项,也可以根据源终端IP地址与源用户IP地址,生成源终端IP地址与源用户IP地址的映射关系。本实施例中,源边缘路由设备可以通S505获取源终端IP地址和源用户IP地址的映射关系。
源边缘路由设备通过动态路由协议向中间网络设备和至少一个边缘路由设备发送包括源用户IP地址的动态路由表项和源终端IP地址的第一动态路由表项增加消息,以使中间网络设备和至少一个边缘路由设备根据第一动态路由表项增加消息获取源用户IP地址的动态路由表项,以及至少一个边缘路由设备根据源用户IP地址的动态路由表项和源终端IP地址生成源终端IP地址和源用户IP地址的映射关系。具体地,可以通过S506-S509。
S506、通过动态路由协议发送第一动态路由表项增加消息。
本实施例中,第一动态路由表项增加消息包括:源用户IP地址的动态路由表项和源终端IP地址。
S507、获取源用户IP地址的动态路由表项。
本发明实施例中,源边缘路由设备可以通过动态路由协议向中间网络设备发送包括源用户IP地址的动态路由表项和源终端IP地址的第一动态路由表项增加消息,本实施例中的动态路由协议是对现有技术中动态路由协议的扩展。本实施例的第一动态路由表项增加消息中包括源用户IP地址的动态路由表项和源终端IP地址,那么中间网络设备获取第一动态路由表项增加消息中的源用户IP地址的动态路由表项。
S508、通过动态路由协议发送第一动态路由表项增加消息。
本实施例中,第一动态路由表项增加消息包括:源用户IP地址的动态路由表项和源终端IP地址,中间网络设备可以通过动态路由协议向目的边缘路由设备发送包括源用户IP地址的动态路由表项和源终端IP地址的第一动态路由表项增加消息。中间网络设备也可以通过动态路由协议向与该中间网络设备通信的其它边缘路由设备发送包括源用户IP地址的动态路由表项和源终端IP地址的第一动态路由表项增加消息,以使得其它边缘路由设备也可以获取源用户IP地址的动态路由表项,并生成源终端IP地址和源用户IP地址的映射关系。
S509、获取源用户IP地址的动态路由表项,并生成源终端IP地址和源用户IP地址的映射关系。
本实施例中,目的边缘路由设备可以接收中间网络设备发送的包括源用户IP地址的动态路由表项和源终端IP地址的第一动态路由表项增加消息,获取第一动态路由表项增加消息中的源用户IP地址的动态路由表项和源终端IP地址,并根据源用户IP地址的动态路由表项和源终端IP地址生成源终端IP地址和源用户IP地址的映射关系。本实施例中,目的边缘路由设备可以通S509获取源终端IP地址和源用户IP地址的映射关系。
S510、发送第二上线认证请求。
S511、发送第二上线认证请求。
S512、在对目的用户上线认证成功后,确定目的用户信息并根据目的用户信息生成目的用户IP地址。
S513、发送目的用户IP地址。
本实施例中,S510-S513的具体实现过程与本发明方法实施例三中的S312-S315的具体实现过程类似,详细可以参见本发明上述方法实施例中的相关记载,此处不再赘述。
S514、生成目的用户IP地址的动态路由表项;以及生成目的终端IP地址和目的用户IP地址的映射关系。
目的边缘路由设备通过动态路由协议向中间网络设备和至少一个边缘路由设备发送包括目的终端IP地址和目的用户IP地址的第二动态路由表项增加消息,以使中间网络设备和至少一个边缘路由设备各自根据目的用户IP地址建立目的用户IP地址的动态路由表项,以及至少一个边缘路由设备根据目的终端IP地址和目的用户IP地址生成目的终端IP地址和目的用户IP地址的映射关系。具体地,可以通过S515-S518来实现。
S515、通过动态路由协议发送第二动态路由表项增加消息。
本实施例中,第二动态路由表项增加消息包括目的用户IP地址的动态路由表项和目的终端IP地址。
S516、获取目的用户IP地址的动态路由表项。
S517、通过动态路由协议发送第二动态路由表项增加消息。
本实施例中,第二动态路由表项增加消息包括目的用户IP地址的动态路由表项和目的终端IP地址。
S518、获取目的用户IP地址的动态路由表项,并生成目的终端IP地址和目的用户IP地址的映射关系。
本实施例中,S514-S518的具体实现过程与本发明实施例中的S505-S509的具体实现过程类似,详细可以参见本发明实施例中的相关记载,此处不再赘述。其中,S501-S509与S510-S518的执行顺序不分前后。
S519、发送第一数据报文。
S520、将第一数据报文中的源终端IP地址转换为源用户IP地址,并将第一数据报文中的目的终端IP地址转换为目的用户IP地址,获得第二数据报文。
S521、发送第二数据报文。
S522、发送第二数据报文。
S523、将源用户信息和目的用户信息匹配访问控制策略的第二数据报文中的源用户IP地址转换为源终端IP地址,并将第二数据报文中的目的用户IP地址转换为目的终端IP地址,获得第一数据报文。
S524、发送第一数据报文。
本实施例中,S519-S524的具体实现过程与本发明方法实施例三中的S323-S328的具体实现过程类似,详细可以参见本发明上述方法实施例中的相关记载,此处不再赘述。
本发明实施例五提供的数据报文传输方法,通过在源用户使用源终端进行上线认证成功后,各边缘路由设备均会获取到用于标识该源用户的源用户IP地址与源终端IP地址的映射关系;在目的用户使用目的终端进行上线认证成功后,各边缘路由设备均会获取到用于标识该目的用户的目的用户IP地址与目的终端IP地址的映射关系,从而使得源边缘路由设备与目的边缘路由设备之间传输的数据报文的源IP地址为源用户IP地址,目的IP地址为目的用户IP地址,从而可以根据源用户IP地址和目的用户IP地址进行访问策略控制,从而达到用户到用户的访问控制的目的,提高访问控制的准确率。
图7为本发明数据报文传输方法实施例六的流程图,如图7所示,本实施例的方法在图6所示方法实施例的基础上,进一步地,本实施例的方法还可以包括:
S601、发送第一下线认证请求。
S602、发送第一下线认证请求。
S603、在对源用户下线认证成功后,确定出属于源用户的源终端IP地址与源用户IP地址的映射关系。
S604、发送第一删除指示消息。
S605、删除源终端IP地址和源用户IP地址的映射关系。
本实施例中,S601-S605的具体实现过程与本发明方法实施例四中的S401-S405的具体实现过程类似,详细可以参见本发明上述方法实施例中的相关记载,此处不再赘述。
当AAA服务器在对源用户下线认证成功后,源边缘路由设备可以删除源用户IP地址的动态路由表项,源边缘路由设备也可以通过动态路由协议向中间网络设备和至少一个边缘路由设备发送包括源用户IP地址的动态路由表项和源终端IP地址的第一动态路由表项删除消息,以使中间网络设备和至少一个边缘路由设备根据第一动态路由表项删除消息删除源用户IP地址的动态路由表项,以及至少一个边缘路由设备根据源用户IP地址的动态路由表项和源终端IP地址删除源终端IP地址和源用户IP地址的映射关系。具体地,可以通过S606-S609来实现。
S606、通过动态路由协议发送包括源用户IP地址的动态路由表项和源终端IP地址的第一动态路由表项删除消息。
S607、删除源用户IP地址的动态路由表项。
本实施例中,源边缘路由设备可以通过动态路由协议向中间网络设备发送包括源用户IP地址的动态路由表项和源终端IP地址的第一动态路由表项删除消息,本实施例中的动态路由协议是对现有技术中动态路由协议的扩展。本实施例的第一动态路由表项删除消息中包括源用户IP地址的动态路由表项和源终端IP地址,那么中间网络设备根据第一动态路由表项删除消息删除源用户IP地址的动态路由表项。
S608、通过动态路由协议发送包括源用户IP地址的动态路由表项和源终端IP地址的第一动态路由表项删除消息。
本实施例中,中间网络设备可以通过动态路由协议向目的边缘路由设备发送包括源用户IP地址的动态路由表项和源终端IP地址的第一动态路由表项删除消息。中间网络设备也可以通过动态路由协议向与该中间网络设备通信的其它边缘路由设备发送包括源用户IP地址的动态路由表项和源终端IP地址的第一动态路由表项删除消息,以使得其它边缘路由设备也可以删除源用户IP地址的动态路由表项,并删除源终端IP地址和源用户IP地址的映射关系。
S609、删除源用户IP地址的动态路由表项,并根据源用户IP地址的动态路由表项和源终端IP地址删除源终端IP地址和源用户IP地址的映射关系。
本实施例中,目的边缘路由设备可以接收中间网络设备发送的包括源用户IP地址的动态路由表项和源终端IP地址的第一动态路由表项删除消息,根据第一动态路由表项删除消息,删除源用户IP地址的动态路由表项,以及根据源目的用IP地址的动态路由表项和源终端IP地址,删除源终端IP地址和源用户IP地址的映射关系。
S610、发送第二下线认证请求。
S611、发送第二下线认证请求。
本实施例中,第二下线认证请求包括目的终端IP地址、目的用户的账号和密码。
S612、在对目的用户下线认证成功后,确定出属于目的用户的目的终端IP地址与目的用户IP地址的映射关系。
S613、发送第二删除指示消息。
S614、删除目的终端IP地址和目的用户IP地址的映射关系。
本实施例中,S610-S614的具体实现过程与本发明方法实施例五中的S412-S416的具体实现过程类似,详细可以参见本发明上述方法实施例中的相关记载,此处不再赘述。
目的边缘路由设备可以删除目的用户IP地址的动态路由表项,目的边缘路由设备也可以通过动态路由协议向中间网络设备和至少一个边缘路由设备发送包括目的终端IP地址和目的用户IP地址的第二动态路由表项删除消息,以使中间网络设备和至少一个边缘路由设备各自根据目的用户IP地址删除目的用户IP地址的动态路由表项,以及至少一个边缘路由设备根据目的终端IP地址和目的用户IP地址删除目的终端IP地址和目的用户IP地址的映射关系。具体地,可以通过S615-S619来实现。
S615、通过动态路由协议发送包括目的用户IP地址的动态路由表项和目的终端IP地址的第二动态路由表项删除消息。
S616、删除目的用户IP地址的动态路由表项。
S617、通过动态路由协议发送包括目的用户IP地址的动态路由表项和目的终端IP地址的第二动态路由表项删除消息。
S618、删除目的用户IP地址的动态路由表项,并根据目的用户IP地址的动态路由表项和目的终端IP地址删除目的终端IP地址和目的用户IP地址的映射关系。
本实施例中,S615-S618的具体实现过程与本发明实施例中的S606-S609的具体实现过程类似,详细可以参见本发明实施例中的相关记载,此处不再赘述。
本发明实施例六提供的数据报文传输方法,进一步地,当源用户下线的时候,可以将各边缘路由设备上的源终端IP地址与源用户IP地址的映射关系删除,当目的用户下线的时候,可以将各边缘路由设备上的目的终端IP地址与目的用户IP地址的映射关系删除,以保证各边缘路由设备上的映射关系为最新的,从而可以避免同一个终端IP地址与不同的用户IP地址进行映射。进一步保证了访问控制的准确率。
图8为本发明源边缘路由设备实施例一的结构示意图,如图8所示,本实施例的设备可以包括:接收单元11、处理单元12和发送单元13,其中,接收单元11用于接收源终端发送的第一数据报文,所述第一数据报文携带有源终端互联网协议IP地址和目的终端IP地址;处理单元12用于将所述第一数据报文中的所述源终端IP地址转换为源用户IP地址,并将所述第一数据报文中的所述目的终端IP地址转换为目的用户IP地址,获得第二数据报文,所述源用户IP地址是根据源用户信息生成的,所述目的用户IP地址是根据目的用户信息生成的,所述源用户IP地址和目的用户IP地址属于私网IP地址;发送单元13用于将所述第二数据报文发送给中间网络设备,以使所述中间网络设备通过目的边缘路由设备将所述第二数据报文发送给所述目的终端,所述第二数据报文中的所述源用户信息和所述目的用户信息匹配访问控制策略。
本实施例的设备,可以用于执行本发明上述方法实施例中的源边缘路由设备所执行的技术方案,其实现原理和技术效果类似,详细可以参见本发明上述方法实施例中的相关记载,此处不再赘述。
图9为本发明源边缘路由设备实施例二的结构示意图,如图9所示,本实施例的设备在图8所示设备结构的基础上,可选地,所述源用户信息包括所述源用户所属的用户组的标识ID和/或所述源用户的ID;所述目的用户信息包括所述目的用户所属的用户组的ID和/或所述目的用户的ID。
可选地,本实施例中的设备还可以包括:判断单元14,判断单元14用于发送单元13将所述源用户信息和所述目的用户信息都匹配访问控制策略的所述第二数据报文发送给中间网络设备之前,判断所述源用户信息和所述目的用户信息与配置在所述源边缘路由设备上的访问控制策略是否匹配。
发送单元13具体用于判断单元14判断所述源用户信息和所述目的用户信息与配置在所述源边缘路由设备上的访问控制策略匹配,则将所述第二数据报文发送给所述中间网络设备。
可选地,本实施例中的设备还可以包括:获取单元15,获取单元15用于处理单元12将所述第一数据报文中的所述源终端IP地址转换为源用户IP地址,并将所述第一数据报文中的所述目的终端IP地址转换为目的用户IP地址,获得第二数据报文之前,根据所述源终端IP地址和源终端IP地址与源用户IP地址的映射关系获得所述源用户IP地址,并根据所述目的终端IP地址和目的终端IP地址与目的用户IP地址的映射关系获得所述目的用户IP地址。
可选地,获取单元15还用于获取所述源终端IP地址和源用户IP地址的映射关系,以及获取所述目的终端IP地址和目的用户IP地址的映射关系。
可选地,接收单元11还用于获取单元15获取所述源终端IP地址和源用户IP地址的映射关系之前,接收源终端发送的第一上线认证请求,所述第一上线认证请求中包括所述源终端IP地址、源用户的账号和密码。
发送单元13还用于将所述第一上线认证请求发送给认证授权计费AAA服务器,以使所述AAA服务器在对所述源用户上线认证成功后,确定所述源用户信息,并根据所述源用户信息生成所述源用户IP地址。
可选地,本实施例中的设备还可以包括:生成单元16,接收单元11还用于接收所述AAA服务器发送所述源用户IP地址。
生成单元16用于根据所述源用户IP地址,生成所述源用户IP地址的动态路由表项。
发送单元13还用于通过动态路由协议向所述中间网络设备和至少一个边缘路由设备发送第一动态路由表项增加消息,所述第一动态路由表项增加消息包括所述源用户IP地址的动态路由表项,所述至少一个路由设备包括所述目的边缘路由设备,以使所述中间网络设备和至少一个边缘路由设备根据所述第一动态路由表项增加消息获取源用户IP地址的动态路由表项。
可选地,发送单元13具体用于通过所述动态路由协议向所述中间网络设备和至少一个边缘路由设备发送包括所述源用户IP地址的动态路由表项和所述源终端IP地址的第一动态路由表项增加消息,以使所述中间网络设备和至少一个边缘路由设备根据所述第一动态路由表项增加消息获取所述源用户IP地址的动态路由表项,以及所述至少一个边缘路由设备根据所述源用户IP地址的动态路由表项和所述源终端IP地址生成所述源终端IP地址和源用户IP地址的映射关系。
可选地,获取单元15具体用于获取所述AAA服务器发送的所述源终端IP地址和源用户IP地址的映射关系,所述源终端IP地址和源用户IP地址的映射关系为所述AAA服务器根据所述源终端IP地址和所述源用户IP地址生成的。
可选地,获取单元15具体用于根据所述源终端IP地址和所述源用户IP地址,生成所述源终端IP地址和源用户IP地址的映射关系。
可选地,当所述AAA服务器对所述源用户下线认证成功后,发送单元13还用于通过动态路由协议向所述中间网络设备和至少一个边缘路由设备发送第一动态路由表项删除消息,所述第一动态路由表项删除消息包括所述源用户IP地址的动态路由表项,以使所述中间网络设备和至少一个边缘路由设备根据所述第一动态路由表项删除消息,删除所述源用户IP地址的动态路由表项。
可选地,发送单元13具体用于通过所述动态路由协议向所述中间网络设备和至少一个边缘路由设备发送包括所述源用户IP地址的动态路由表项和所述源终端IP地址的第一动态路由表项删除消息,以使所述中间网络设备和至少一个边缘路由设备根据所述第一动态路由表项删除消息删除所述源用户IP地址的动态路由表项,以及所述至少一个边缘路由设备根据所述源用户IP地址的动态路由表项和所述源终端IP地址删除所述源终端IP地址和源用户IP地址的映射关系。
可选地,当所述AAA服务器在对所述源用户下线认证成功后,接收单元11还用于接收所述AAA服务器发送的第一删除指示消息,所述第一册除指示消息包括所述源终端IP地址和源用户IP地址的映射关系。
处理单元12还用于根据所述第一删除指示消息,删除所述源终端IP地址和源用户IP地址的映射关系。
可选地,接收单元11还用于接收所述目的边缘路由设备通过动态路由协议发送的第二动态路由表项增加消息,所述第二动态路由表项增加消息包括所述目的用户IP地址的动态路由表项。
获取单元15还用于根据所述第二动态路由表项增加消息,获取所述目的用户IP地址的动态路由表项。
可选地,接收单元11具体用于接收所述目的边缘路由设备通过动态路由协议发送的包括所述目的用户IP地址的动态路由表项和所述目的终端IP地址的第二动态路由表项增加消息。
获取单元15具体用于根据所述第二动态路由表项增加消息中的所述目的用户IP地址的动态路由表项和目的终端IP地址,生成所述目的终端IP地址和目的用户IP地址的映射关系。
可选地,获取单元15具体用于获取所述AAA服务器在对所述目的用户上线认证成功之后发送的所述目的终端IP地址和目的用户IP地址的映射关系。
可选地,当所述AAA服务器在对所述目的用户下线认证成功后,接收单元11还用于接收所述目的边缘路由设备通过动态路由协议发送的第二动态路由表项删除消息,所述第二动态路由表项删除消息包括所述目的用户IP地址的动态路由表项。
处理单元12还用于根据所述第二动态路由表项删除消息,删除所述目的用户IP地址的路由表项。
可选地,接收单元11具体用于接收所述目的边缘路由设备通过动态路由协议发送的包括所述目的用户IP地址的动态路由表项和所述目的终端IP地址的第二动态路由表项删除消息。
处理单元12还用于根据所述目的用户IP地址的动态路由表项和所述目的终端IP地址,删除所述目的终端IP地址和目的用户IP地址的映射关系。
可选地,当所述AAA服务器在对所述源用户下线认证成功后,接收单元11还用于接收所述AAA服务器发送的第二删除指示消息,所述第二删除指示消息包括所述目的终端IP地址和目的用户IP地址的映射关系。
处理单元12还用于根据所述第二删除指示消息,删除所述目的终端IP地址和目的用户IP地址的映射关系。
本实施例的设备,可以用于执行本发明上述方法实施例中的源边缘路由设备所执行的技术方案,其实现原理和技术效果类似,详细可以参见本发明上述方法实施例中的相关记载,此处不再赘述。
在硬件实现上,以上接收单元11可以为接收机或收发机,以上发送单元13可以为发射机或收发机,且该接收单元11和发送单元13可以集成在一起构成收发单元,对应于硬件实现为收发机。以上处理单元12、判断单元14、获取单元15和生成单元16可以以硬件形式内嵌于或独立于源边缘路由设备的处理器中,也可以以软件形式存储于源边缘路由设备的存储器中,以便于处理器调用执行以上各个单元对应的操作。该处理器可以为中央处理单元(Central Processing Unit,简称:CPU)、微处理器、单片机等。
图10为本发明目的边缘路由设备实施例一的结构示意图,如图10所示,本实施例的设备可以包括:接收单元21、处理单元22和发送单元23,其中,接收单元21用于接收源边缘路由设备通过中间网络设备发送的第二数据报文,所述第二数据报文携带有源用户IP地址和目的用户IP地址,所述源用户IP地址是根据源用户信息生成的,所述目的用户IP地址是根据目的用户信息生成的,所述源用户IP地址和目的用户IP地址属于私网IP地址;处理单元22用于将所述第二数据报文中的所述源用户IP地址转换为源终端IP地址,并将所述第二数据报文中的所述目的用户IP地址转换为目的终端IP地址,获得第一数据报文,所述第二数据报文中的所述源用户信息和所述目的用户信息匹配访问控制策略;发送单元23用于将所述第一数据报文发送给所述目的终端。
本实施例的设备,可以用于执行本发明上述方法实施例中的目的边缘路由设备所执行的技术方案,其实现原理和技术效果类似,详细可以参见本发明上述方法实施例中的相关记载,此处不再赘述。
图11为本发明目的边缘路由设备实施例二的结构示意图,如图11所示,本实施例的设备在图10所示设备结构的基础上,可选地,所述源用户信息包括所述源用户所属的用户组的标识ID和/或所述源用户的ID;所述目的用户信息包括所述目的用户所属的用户组的ID和/或所述目的用户的ID。
可选地,本实施例的设备还可以包括:判断单元24,判断单元24用于处理单元22将第二数据报文中的源用户IP地址转换为源终端IP地址,并将目的用户IP地址转换为目的终端IP地址,获得第一数据报文之前,判断所述源用户信息和所述目的用户信息与配置在所述目的边缘路由设备上的访问控制策略是否匹配。
处理单元22具体用于判断单元24判断所述源用户信息和所述目的用户信息与配置在所述目的边缘路由设备上的访问控制策略匹配,则将所述第二数据报文中的源用户IP地址转换为源终端IP地址,并将所述第二数据报文中的所述目的用户IP地址转换为目的终端IP地址,获得第一数据报文。
可选地,本实施例的设备还可以包括:获取单元25,获取单元25用于处理单元22将所述第二数据报文中的所述源用户IP地址转换为源终端IP地址,并将所述第二数据报文中的所述目的用户IP地址转换为目的终端IP地址,获得第一数据报文之前,根据所述源用户IP地址和源终端IP地址与源用户IP地址的映射关系获得所述源终端IP地址,并根据所述目的用户IP地址和目的终端IP地址与目的用户IP地址的映射关系获得所述目的终端IP地址。
可选地,获取单元25还用于获取所述源终端IP地址和源用户IP地址的映射关系,以及获取所述目的终端IP地址和目的用户IP地址的映射关系。
可选地,接收单元21还用于接收所述源边缘路由设备通过动态路由协议发送的第一动态路由表项增加消息,所述第一动态路由表项增加消息包括所述源用户IP地址的动态路由表项。
获取单元25还用于根据所述第一动态路由表项增加消息,获取所述源用户IP地址的动态路由表项。
可选地,接收单元21具体用于接收所述源边缘路由设备通过动态路由协议发送的包括所述源用户IP地址的动态路由表项和所述源终端IP地址的第一动态路由表项增加消息。
获取单元25具体用于根据所述第一动态路由表项增加消息中的所述源用户IP地址的动态路由表项和所述源终端IP地址,生成所述源终端IP地址和源用户IP地址的映射关系。
可选地,获取单元25具体用于获取所述AAA服务器发送的所述源终端IP地址和源用户IP地址的映射关系。
可选地,当认证授权计费AAA服务器在对所述源用户下线认证成功后,接收单元21还用于接收所述源边缘路由设备通过动态路由协议发送第一动态路由表项删除消息,所述第一动态路由表项删除消息包括所述源用户IP地址的动态路由表项。
处理单元22还用于根据所述第一动态路由表项删除消息,删除所述源用户IP地址的动态路由表项。
可选地,接收单元21具体用于接收所述源边缘路由设备通过动态路由协议发送包括所述源用户IP地址的动态路由表项和所述源终端IP地址的第一动态路由表项删除消息。
处理单元22还用于根据所述源用户IP地址的动态路由表项和所述源终端IP地址,删除所述源终端IP地址和源用户IP地址的映射关系。
可选地,当所述AAA服务器在对所述源用户下线认证成功后,接收单元21还用于接收所述AAA服务器发送的第一删除指示消息,所述第一册除指示消息包括所述源终端IP地址和源用户IP地址的映射关系。
处理单元22还用于根据所述第一删除指示消息,删除所述源终端IP地址和源用户IP地址的映射关系。
可选地,接收单元21还用于获取单元25获取所述目的终端IP地址和源用户IP地址的映射关系之前,接收目的终端发送的第二上线认证请求,所述第二上线认证请求中包括所述目的终端IP地址、目的用户的账号和密码。
发送单元23还用于将所述第二上线认证请求转发给AAA服务器,以使所述AAA服务器在对所述目的用户上线认证成功后,确定所述目的用户信息,并根据所述目的用户信息生成所述目的用户IP地址。
可选地,本实施例的设备还可以包括:生成单元26;接收单元21还用于接收所述AAA服务器发送所述目的用户IP地址。
生成单元26用于根据所述目的用户IP地址,生成所述目的用户IP地址的动态路由表项。
发送单元23还用于通过动态路由协议向所述中间网络设备和至少一个边缘路由设备发送第二动态路由表项增加消息,所述第二动态路由表项增加消息包括所述目的用户IP地址的动态路由表项,所述至少一个路由设备包括所述源边缘路由设备,以使所述中间网络设备和至少一个边缘路由设备根据所述第二动态路由表项增加消息获取所述目的用户IP地址的动态路由表项。
可选地,发送单元23具体用于通过所述动态路由协议向所述中间网络设备和至少一个边缘路由设备发送包括所述目的用户IP地址的动态路由表项和所述目的终端IP地址的第二动态路由表项增加消息,以使所述中间网络设备和至少一个边缘路由设备根据所述第二动态路由表项增加消息获取所述目的用户IP地址的动态路由表项,以及所述至少一个边缘路由设备根据所述目的用户IP地址的动态路由表项和所述目的终端IP地址生成所述目的终端IP地址和目的用户IP地址的映射关系。
可选地,当所述AAA服务器在对所述目的用户上线认证成功后,获取单元25具体用于获取所述AAA服务器发送的所述目的终端IP地址和目的用户IP地址的映射关系,所述目的终端IP地址和目的用户IP地址的映射关系为所述AAA服务器根据所述目的终端IP地址和所述目的用户IP地址生成的。
可选地,获取单元25具体用于根据所述目的终端IP地址和所述目的用户IP地址,生成所述目的终端IP地址和目的用户IP地址的映射关系。
可选地,当所述AAA服务器在对所述目的用户下线认证成功后,发送单元23还用于通过动态路由协议向所述中间网络设备和至少一个边缘路由设备发送第二动态路由表项删除消息,所述第二动态路由表项删除消息包括所述目的用户IP地址的动态路由表项;以使所述中间网络设备和至少一个边缘路由设备根据所述第二动态路由表项删除消息,删除所述目的用户IP地址的路由表项。
可选地,发送单元23具体用于通过所述动态路由协议向所述中间网络设备和至少一个边缘路由设备发送包括所述目的用户IP地址的动态路由表项和所述目的终端IP地址的第二动态路由表项删除消息,以使所述中间网络设备和至少一个边缘路由设备根据所述第二动态路由表项删除消息删除所述目的用户IP地址的动态路由表项,以及所述至少一个边缘路由设备根据所述目的用户IP地址的动态路由表项和所述目的终端IP地址删除所述目的终端IP地址和目的用户IP地址的映射关系。
可选地,当所述AAA服务器在对所述目的用户下线认证成功后,接收单元21还用于接收所述AAA服务器发送的第二删除指示消息,所述第二删除指示消息包括所述目的终端IP地址和目的用户IP地址的映射关系。
处理单元22具体用于根据所述第二删除指示消息,删除所述目的终端IP地址和目的用户IP地址的映射关系。
本实施例的设备,可以用于执行本发明上述方法实施例中的目的边缘路由设备所执行的技术方案,其实现原理和技术效果类似,详细可以参见本发明上述方法实施例中的相关记载,此处不再赘述。
在硬件实现上,以上接收单元21可以为接收机或收发机,以上发送单元23可以为发射机或收发机,且该接收单元21和发送单元23可以集成在一起构成收发单元,对应于硬件实现为收发机。以上处理单元22、判断单元24、获取单元25和生成单元26可以以硬件形式内嵌于或独立于目的边缘路由设备的处理器中,也可以以软件形式存储于目的边缘路由设备的存储器中,以便于处理器调用执行以上各个单元对应的操作。该处理器可以为CPU、微处理器、单片机等。
本领域普通技术人员可以理解:实现上述各方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成。前述的程序可以存储于一计算机可读取存储介质中。该程序在执行时,执行包括上述各方法实施例的步骤;而前述的存储介质包括:ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质。
最后应说明的是:以上各实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述各实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分或者全部技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的范围。

Claims (76)

1.一种数据报文传输方法,其特征在于,包括:
源边缘路由设备接收源终端发送的第一数据报文,所述第一数据报文携带有源终端互联网协议IP地址和目的终端IP地址;
所述源边缘路由设备将所述第一数据报文中的所述源终端IP地址转换为源用户IP地址,并将所述第一数据报文中的所述目的终端IP地址转换为目的用户IP地址,获得第二数据报文,所述源用户IP地址是根据源用户信息生成的,所述目的用户IP地址是根据目的用户信息生成的,所述源用户IP地址和目的用户IP地址属于私网IP地址;
所述源边缘路由设备将所述第二数据报文发送给中间网络设备,以使所述中间网络设备通过目的边缘路由设备将所述第二数据报文发送给所述目的终端,所述第二数据报文中的所述源用户信息和所述目的用户信息匹配访问控制策略。
2.根据权利要求1所述的方法,其特征在于,所述源用户信息包括所述源用户所属的用户组的标识ID和/或所述源用户的ID;
所述目的用户信息包括所述目的用户所属的用户组的ID和/或所述目的用户的ID。
3.根据权利要求1所述的方法,其特征在于,所述源边缘路由设备将所述源用户信息和所述目的用户信息都匹配访问控制策略的所述第二数据报文发送给中间网络设备之前,还包括:
所述源边缘路由设备判断所述源用户信息和所述目的用户信息与配置在所述源边缘路由设备上的访问控制策略是否匹配;
所述源边缘路由设备将所述源用户信息和所述目的用户信息都匹配访问控制策略的所述第二数据报文发送给中间网络设备,包括:
若匹配,则所述源边缘路由设备将所述第二数据报文发送给所述中间网络设备。
4.根据权利要求1-3任意一项所述的方法,其特征在于,所述源边缘路由设备将所述第一数据报文中的所述源终端IP地址转换为源用户IP地址,并将所述第一数据报文中的所述目的终端IP地址转换为目的用户IP地址,获得第二数据报文之前,还包括:
所述源边缘路由设备根据所述源终端IP地址和源终端IP地址与源用户IP地址的映射关系获得所述源用户IP地址,并根据所述目的终端IP地址和目的终端IP地址与目的用户IP地址的映射关系获得所述目的用户IP地址。
5.根据权利要求4所述的方法,其特征在于,还包括:所述源边缘路由设备获取所述源终端IP地址和源用户IP地址的映射关系,以及获取所述目的终端IP地址和目的用户IP地址的映射关系。
6.根据权利要求5所述的方法,其特征在于,所述源边缘路由设备获取所述源终端IP地址和源用户IP地址的映射关系之前,包括:
所述源边缘路由设备接收源终端发送的第一上线认证请求,所述第一上线认证请求中包括所述源终端IP地址、源用户的账号和密码;
所述源边缘路由设备将所述第一上线认证请求发送给认证授权计费AAA服务器,以使所述AAA服务器在对所述源用户上线认证成功后,确定所述源用户信息,并根据所述源用户信息生成所述源用户IP地址。
7.根据权利要求6所述的方法,其特征在于,还包括:
所述源边缘路由设备接收所述AAA服务器发送所述源用户IP地址;
所述源边缘路由设备根据所述源用户IP地址,生成所述源用户IP地址的动态路由表项;
所述源边缘路由设备通过动态路由协议向所述中间网络设备和至少一个边缘路由设备发送第一动态路由表项增加消息,所述第一动态路由表项增加消息包括所述源用户IP地址的动态路由表项,所述至少一个边缘路由设备包括所述目的边缘路由设备,以使所述中间网络设备和至少一个边缘路由设备根据所述第一动态路由表项增加消息获取源用户IP地址的动态路由表项。
8.根据权利要求7所述的方法,其特征在于,所述源边缘路由设备通过动态路由协议向所述中间网络设备和至少一个边缘路由设备发送第一动态路由表项增加消息,包括:
所述源边缘路由设备通过所述动态路由协议向所述中间网络设备和至少一个边缘路由设备发送包括所述源用户IP地址的动态路由表项和所述源终端IP地址的第一动态路由表项增加消息,以使所述中间网络设备和至少一个边缘路由设备根据所述第一动态路由表项增加消息获取所述源用户IP地址的动态路由表项,以及所述至少一个边缘路由设备根据所述源用户IP地址的动态路由表项和所述源终端IP地址生成所述源终端IP地址和源用户IP地址的映射关系。
9.根据权利要求7或8所述的方法,其特征在于,所述源边缘路由设备获取所述源终端IP地址和源用户IP地址的映射关系,包括:
所述源边缘路由设备获取所述AAA服务器发送的所述源终端IP地址和源用户IP地址的映射关系,所述源终端IP地址和源用户IP地址的映射关系为所述AAA服务器根据所述源终端IP地址和所述源用户IP地址生成的。
10.根据权利要求7或8所述的方法,其特征在于,所述源边缘路由设备获取所述源终端IP地址和源用户IP地址的映射关系,包括:
所述源边缘路由设备根据所述源终端IP地址和所述源用户IP地址,生成所述源终端IP地址和源用户IP地址的映射关系。
11.根据权利要求7或8任意一项所述的方法,其特征在于,还包括:
当所述AAA服务器对所述源用户下线认证成功后,所述源边缘路由设备通过动态路由协议向所述中间网络设备和至少一个边缘路由设备发送第一动态路由表项删除消息,所述第一动态路由表项删除消息包括所述源用户IP地址的动态路由表项,以使所述中间网络设备和至少一个边缘路由设备根据所述第一动态路由表项删除消息,删除所述源用户IP地址的动态路由表项。
12.根据权利要求11所述的方法,其特征在于,所述源边缘路由设备通过动态路由协议向所述中间网络设备和至少一个边缘路由设备发送第一动态路由表项删除消息,包括:
所述源边缘路由设备通过所述动态路由协议向所述中间网络设备和至少一个边缘路由设备发送包括所述源用户IP地址的动态路由表项和所述源终端IP地址的第一动态路由表项删除消息,以使所述中间网络设备和至少一个边缘路由设备根据所述第一动态路由表项删除消息删除所述源用户IP地址的动态路由表项,以及所述至少一个边缘路由设备根据所述源用户IP地址的动态路由表项和所述源终端IP地址删除所述源终端IP地址和源用户IP地址的映射关系。
13.根据权利要求11所述的方法,其特征在于,还包括:
当所述AAA服务器在对所述源用户下线认证成功后,所述源边缘路由设备接收所述AAA服务器发送的第一删除指示消息,所述第一删除指示消息包括所述源终端IP地址和源用户IP地址的映射关系;
所述源边缘路由设备根据所述第一删除指示消息,删除所述源终端IP地址和源用户IP地址的映射关系。
14.根据权利要求6-8任一项所述的方法,其特征在于,还包括:
所述源边缘路由设备接收所述目的边缘路由设备通过动态路由协议发送的第二动态路由表项增加消息,所述第二动态路由表项增加消息包括所述目的用户IP地址的动态路由表项;
所述源边缘路由设备根据所述第二动态路由表项增加消息,获取所述目的用户IP地址的动态路由表项。
15.根据权利要求14所述的方法,其特征在于,所述源边缘路由设备接收所述目的边缘路由设备通过动态路由协议发送的第二动态路由表项增加消息,包括:
所述源边缘路由设备接收所述目的边缘路由设备通过动态路由协议发送的包括所述目的用户IP地址的动态路由表项和所述目的终端IP地址的第二动态路由表项增加消息;
所述源边缘路由设备获取所述目的终端IP地址和目的用户IP地址的映射关系,包括:
所述源边缘路由设备根据所述第二动态路由表项增加消息中的所述目的用户IP地址的动态路由表项和目的终端IP地址,生成所述目的终端IP地址和目的用户IP地址的映射关系。
16.根据权利要求14所述的方法,其特征在于,所述源边缘路由设备获取所述目的终端IP地址和目的用户IP地址的映射关系,包括:
所述源边缘路由设备获取所述AAA服务器在对所述目的用户上线认证成功之后发送的所述目的终端IP地址和目的用户IP地址的映射关系。
17.根据权利要求15或16所述的方法,其特征在于,还包括:
当所述AAA服务器在对所述目的用户下线认证成功后,所述源边缘路由设备接收所述目的边缘路由设备通过动态路由协议发送的第二动态路由表项删除消息,所述第二动态路由表项删除消息包括所述目的用户IP地址的动态路由表项;
所述源边缘路由设备根据所述第二动态路由表项删除消息,删除所述目的用户IP地址的路由表项。
18.根据权利要求17所述的方法,其特征在于,所述源边缘路由设备接收所述目的边缘路由设备通过动态路由协议发送的第二动态路由表项删除消息,包括:
所述源边缘路由设备接收所述目的边缘路由设备通过动态路由协议发送的包括所述目的用户IP地址的动态路由表项和所述目的终端IP地址的第二动态路由表项删除消息;
所述方法,还包括:
所述源边缘路由设备根据所述目的用户IP地址的动态路由表项和所述目的终端IP地址,删除所述目的终端IP地址和目的用户IP地址的映射关系。
19.根据权利要求17所述的方法,其特征在于,还包括:
当所述AAA服务器在对所述源用户下线认证成功后,所述源边缘路由设备接收所述AAA服务器发送的第二删除指示消息,所述第二删除指示消息包括所述目的终端IP地址和目的用户IP地址的映射关系;
所述源边缘路由设备根据所述第二删除指示消息,删除所述目的终端IP地址和目的用户IP地址的映射关系。
20.一种数据报文传输方法,其特征在于,包括:
目的边缘路由设备接收源边缘路由设备通过中间网络设备发送的第二数据报文,所述第二数据报文携带有源用户IP地址和目的用户IP地址,所述源用户IP地址是根据源用户信息生成的,所述目的用户IP地址是根据目的用户信息生成的,所述源用户IP地址和目的用户IP地址属于私网IP地址;
所述目的边缘路由设备将所述第二数据报文中的所述源用户IP地址转换为源终端IP地址,并将所述第二数据报文中的所述目的用户IP地址转换为目的终端IP地址,获得第一数据报文,所述第二数据报文中的所述源用户信息和所述目的用户信息匹配访问控制策略;
所述目的边缘路由设备将所述第一数据报文发送给所述目的终端。
21.根据权利要求20所述的方法,其特征在于,所述源用户信息包括所述源用户所属的用户组的标识ID和/或所述源用户的ID;
所述目的用户信息包括所述目的用户所属的用户组的ID和/或所述目的用户的ID。
22.根据权利要求20或21所述的方法,其特征在于,所述目的边缘路由设备将第二数据报文中的源用户IP地址转换为源终端IP地址,并将目的用户IP地址转换为目的终端IP地址,获得第一数据报文之前,还包括:
所述目的边缘路由设备判断所述源用户信息和所述目的用户信息与配置在所述目的边缘路由设备上的访问控制策略是否匹配;
所述目的边缘路由设备将所述第二数据报文中的所述源用户IP地址转换为源终端IP地址,并将所述第二数据报文中的所述目的用户IP地址转换为目的终端IP地址,获得第一数据报文,包括:
若匹配,则所述目的边缘路由设备将所述第二数据报文中的源用户IP地址转换为源终端IP地址,并将所述第二数据报文中的所述目的用户IP地址转换为目的终端IP地址,获得第一数据报文。
23.根据权利要求20或21所述的方法,其特征在于,所述目的边缘路由设备将所述第二数据报文中的所述源用户IP地址转换为源终端IP地址,并将所述第二数据报文中的所述目的用户IP地址转换为目的终端IP地址,获得第一数据报文之前,还包括:
所述目的边缘路由设备根据所述源用户IP地址和源终端IP地址与源用户IP地址的映射关系获得所述源终端IP地址,并根据所述目的用户IP地址和目的终端IP地址与目的用户IP地址的映射关系获得所述目的终端IP地址。
24.根据权利要求23所述的方法,其特征在于,还包括:所述目的边缘路由设备获取所述源终端IP地址和源用户IP地址的映射关系,以及获取所述目的终端IP地址和目的用户IP地址的映射关系。
25.根据权利要求24所述的方法,其特征在于,还包括:
所述目的边缘路由设备接收所述源边缘路由设备通过动态路由协议发送的第一动态路由表项增加消息,所述第一动态路由表项增加消息包括所述源用户IP地址的动态路由表项;
所述目的边缘路由设备根据所述第一动态路由表项增加消息,获取所述源用户IP地址的动态路由表项。
26.根据权利要求25所述的方法,其特征在于,所述目的边缘路由设备接收所述源边缘路由设备通过动态路由协议发送的第一动态路由表项增加消息,包括:
所述目的边缘路由设备接收所述源边缘路由设备通过动态路由协议发送的包括所述源用户IP地址的动态路由表项和所述源终端IP地址的第一动态路由表项增加消息;
所述目的边缘路由设备获取所述源终端IP地址和源用户IP地址的映射关系,包括:
所述目的边缘路由设备根据所述第一动态路由表项增加消息中的所述源用户IP地址的动态路由表项和所述源终端IP地址,生成所述源终端IP地址和源用户IP地址的映射关系。
27.根据权利要求25所述的方法,其特征在于,所述目的边缘路由设备获取所述源终端IP地址和源用户IP地址的映射关系,包括:
所述目的边缘路由设备获取AAA服务器发送的所述源终端IP地址和源用户IP地址的映射关系。
28.根据权利要求25-27任意一项所述的方法,其特征在于,还包括:
当认证授权计费AAA服务器在对所述源用户下线认证成功后,所述目的边缘路由设备接收所述源边缘路由设备通过动态路由协议发送第一动态路由表项删除消息,所述第一动态路由表项删除消息包括所述源用户IP地址的动态路由表项;
所述目的边缘路由设备根据所述第一动态路由表项删除消息,删除所述源用户IP地址的动态路由表项。
29.根据权利要求28所述的方法,其特征在于,所述目的边缘路由设备接收所述源边缘路由设备通过动态路由协议发送第一动态路由表项删除消息,包括:
所述目的边缘路由设备接收所述源边缘路由设备通过动态路由协议发送包括所述源用户IP地址的动态路由表项和所述源终端IP地址的第一动态路由表项删除消息;
所述方法,还包括:
所述目的边缘路由设备根据所述源用户IP地址的动态路由表项和所述源终端IP地址,删除所述源终端IP地址和源用户IP地址的映射关系。
30.根据权利要求28所述的方法,其特征在于,还包括:
当所述AAA服务器在对所述源用户下线认证成功后,所述目的边缘路由设备接收所述AAA服务器发送的第一删除指示消息,所述第一删除指示消息包括所述源终端IP地址和源用户IP地址的映射关系;
所述目的边缘路由设备根据所述第一删除指示消息,删除所述源终端IP地址和源用户IP地址的映射关系。
31.根据权利要求24-27任意一项所述的方法,其特征在于,所述目的边缘路由设备获取所述目的终端IP地址和源用户IP地址的映射关系之前,包括:
所述目的边缘路由设备接收目的终端发送的第二上线认证请求,所述第二上线认证请求中包括所述目的终端IP地址、目的用户的账号和密码;
所述目的边缘路由设备将所述第二上线认证请求转发给AAA服务器,以使所述AAA服务器在对所述目的用户上线认证成功后,确定所述目的用户信息,并根据所述目的用户信息生成所述目的用户IP地址。
32.根据权利要求31所述的方法,其特征在于,还包括:
所述目的边缘路由设备接收所述AAA服务器发送所述目的用户IP地址;
所述目的边缘路由设备根据所述目的用户IP地址,生成所述目的用户IP地址的动态路由表项;
所述目的边缘路由设备通过动态路由协议向所述中间网络设备和至少一个边缘路由设备发送第二动态路由表项增加消息,所述第二动态路由表项增加消息包括所述目的用户IP地址的动态路由表项,所述至少一个边缘路由设备包括所述源边缘路由设备,以使所述中间网络设备和至少一个边缘路由设备根据所述第二动态路由表项增加消息获取所述目的用户IP地址的动态路由表项。
33.根据权利要求32所述的方法,其特征在于,所述目的边缘路由设备通过动态路由协议向所述中间网络设备和至少一个边缘路由设备发送第二动态路由表项增加消息,包括:
所述目的边缘路由设备通过所述动态路由协议向所述中间网络设备和至少一个边缘路由设备发送包括所述目的用户IP地址的动态路由表项和所述目的终端IP地址的第二动态路由表项增加消息,以使所述中间网络设备和至少一个边缘路由设备根据所述第二动态路由表项增加消息获取所述目的用户IP地址的动态路由表项,以及所述至少一个边缘路由设备根据所述目的用户IP地址的动态路由表项和所述目的终端IP地址生成所述目的终端IP地址和目的用户IP地址的映射关系。
34.根据权利要求32或33所述的方法,其特征在于,所述目的边缘路由设备获取所述目的终端IP地址和目的用户IP地址的映射关系,包括:
当所述AAA服务器在对所述目的用户上线认证成功后,所述目的边缘路由设备获取所述AAA服务器发送的所述目的终端IP地址和目的用户IP地址的映射关系,所述目的终端IP地址和目的用户IP地址的映射关系为所述AAA服务器根据所述目的终端IP地址和所述目的用户IP地址生成的。
35.根据权利要求32或33所述的方法,其特征在于,所述目的边缘路由设备获取所述目的终端IP地址和目的用户IP地址的映射关系,包括:
所述目的边缘路由设备根据所述目的终端IP地址和所述目的用户IP地址,生成所述目的终端IP地址和目的用户IP地址的映射关系。
36.根据权利要求32或33所述的方法,其特征在于,还包括:
当所述AAA服务器在对所述目的用户下线认证成功后,所述目的边缘路由设备通过动态路由协议向所述中间网络设备和至少一个边缘路由设备发送第二动态路由表项删除消息,所述第二动态路由表项删除消息包括所述目的用户IP地址的动态路由表项;以使所述中间网络设备和至少一个边缘路由设备根据所述第二动态路由表项删除消息,删除所述目的用户IP地址的路由表项。
37.根据权利要求36所述的方法,其特征在于,所述目的边缘路由设备通过动态路由协议向所述中间网络设备和至少一个边缘路由设备发送第二动态路由表项删除消息,包括:
所述目的边缘路由设备通过所述动态路由协议向所述中间网络设备和至少一个边缘路由设备发送包括所述目的用户IP地址的动态路由表项和所述目的终端IP地址的第二动态路由表项删除消息,以使所述中间网络设备和至少一个边缘路由设备根据所述第二动态路由表项删除消息删除所述目的用户IP地址的动态路由表项,以及所述至少一个边缘路由设备根据所述目的用户IP地址的动态路由表项和所述目的终端IP地址删除所述目的终端IP地址和目的用户IP地址的映射关系。
38.根据权利要求36所述的方法,其特征在于,还包括:
当所述AAA服务器在对所述目的用户下线认证成功后,所述目的边缘路由设备接收所述AAA服务器发送的第二删除指示消息,所述第二删除指示消息包括所述目的终端IP地址和目的用户IP地址的映射关系;
所述目的边缘路由设备根据所述第二删除指示消息,删除所述目的终端IP地址和目的用户IP地址的映射关系。
39.一种源边缘路由设备,其特征在于,包括:
接收单元,用于接收源终端发送的第一数据报文,所述第一数据报文携带有源终端互联网协议IP地址和目的终端IP地址;
处理单元,用于将所述第一数据报文中的所述源终端IP地址转换为源用户IP地址,并将所述第一数据报文中的所述目的终端IP地址转换为目的用户IP地址,获得第二数据报文,所述源用户IP地址是根据源用户信息生成的,所述目的用户IP地址是根据目的用户信息生成的,所述源用户IP地址和目的用户IP地址属于私网IP地址;
发送单元,用于将所述第二数据报文发送给中间网络设备,以使所述中间网络设备通过目的边缘路由设备将所述第二数据报文发送给所述目的终端,所述第二数据报文中的所述源用户信息和所述目的用户信息匹配访问控制策略。
40.根据权利要求39所述的源边缘路由设备,其特征在于,所述源用户信息包括所述源用户所属的用户组的标识ID和/或所述源用户的ID;
所述目的用户信息包括所述目的用户所属的用户组的ID和/或所述目的用户的ID。
41.根据权利要求39或40所述的源边缘路由设备,其特征在于,还包括:
判断单元,用于所述发送单元将所述源用户信息和所述目的用户信息都匹配访问控制策略的所述第二数据报文发送给中间网络设备之前,判断所述源用户信息和所述目的用户信息与配置在所述源边缘路由设备上的访问控制策略是否匹配;
所述发送单元具体用于所述判断单元判断所述源用户信息和所述目的用户信息与配置在所述源边缘路由设备上的访问控制策略匹配,则将所述第二数据报文发送给所述中间网络设备。
42.根据权利要求39或40所述的源边缘路由设备,其特征在于,还包括:
获取单元,用于所述处理单元将所述第一数据报文中的所述源终端IP地址转换为源用户IP地址,并将所述第一数据报文中的所述目的终端IP地址转换为目的用户IP地址,获得第二数据报文之前,根据所述源终端IP地址和源终端IP地址与源用户IP地址的映射关系获得所述源用户IP地址,并根据所述目的终端IP地址和目的终端IP地址与目的用户IP地址的映射关系获得所述目的用户IP地址。
43.根据权利要求42所述的源边缘路由设备,其特征在于,所述获取单元还用于获取所述源终端IP地址和源用户IP地址的映射关系,以及获取所述目的终端IP地址和目的用户IP地址的映射关系。
44.根据权利要求43所述的源边缘路由设备,其特征在于,所述接收单元,还用于所述获取单元获取所述源终端IP地址和源用户IP地址的映射关系之前,接收源终端发送的第一上线认证请求,所述第一上线认证请求中包括所述源终端IP地址、源用户的账号和密码;
所述发送单元,还用于将所述第一上线认证请求发送给认证授权计费AAA服务器,以使所述AAA服务器在对所述源用户上线认证成功后,确定所述源用户信息,并根据所述源用户信息生成所述源用户IP地址。
45.根据权利要求44所述的源边缘路由设备,其特征在于,还包括:生成单元;
所述接收单元,还用于接收所述AAA服务器发送所述源用户IP地址;
所述生成单元,用于根据所述源用户IP地址,生成所述源用户IP地址的动态路由表项;
所述发送单元,还用于通过动态路由协议向所述中间网络设备和至少一个边缘路由设备发送第一动态路由表项增加消息,所述第一动态路由表项增加消息包括所述源用户IP地址的动态路由表项,所述至少一个边缘路由设备包括所述目的边缘路由设备,以使所述中间网络设备和至少一个边缘路由设备根据所述第一动态路由表项增加消息获取源用户IP地址的动态路由表项。
46.根据权利要求45所述的源边缘路由设备,其特征在于,所述发送单元具体用于通过所述动态路由协议向所述中间网络设备和至少一个边缘路由设备发送包括所述源用户IP地址的动态路由表项和所述源终端IP地址的第一动态路由表项增加消息,以使所述中间网络设备和至少一个边缘路由设备根据所述第一动态路由表项增加消息获取所述源用户IP地址的动态路由表项,以及所述至少一个边缘路由设备根据所述源用户IP地址的动态路由表项和所述源终端IP地址生成所述源终端IP地址和源用户IP地址的映射关系。
47.根据权利要求45或46所述的源边缘路由设备,其特征在于,所述获取单元具体用于获取所述AAA服务器发送的所述源终端IP地址和源用户IP地址的映射关系,所述源终端IP地址和源用户IP地址的映射关系为所述AAA服务器根据所述源终端IP地址和所述源用户IP地址生成的。
48.根据权利要求45或46所述的源边缘路由设备,其特征在于,所述获取单元具体用于根据所述源终端IP地址和所述源用户IP地址,生成所述源终端IP地址和源用户IP地址的映射关系。
49.根据权利要求45或46所述的源边缘路由设备,其特征在于,当所述AAA服务器对所述源用户下线认证成功后,所述发送单元还用于通过动态路由协议向所述中间网络设备和至少一个边缘路由设备发送第一动态路由表项删除消息,所述第一动态路由表项删除消息包括所述源用户IP地址的动态路由表项,以使所述中间网络设备和至少一个边缘路由设备根据所述第一动态路由表项删除消息,删除所述源用户IP地址的动态路由表项。
50.根据权利要求49所述的源边缘路由设备,其特征在于,所述发送单元具体用于通过所述动态路由协议向所述中间网络设备和至少一个边缘路由设备发送包括所述源用户IP地址的动态路由表项和所述源终端IP地址的第一动态路由表项删除消息,以使所述中间网络设备和至少一个边缘路由设备根据所述第一动态路由表项删除消息删除所述源用户IP地址的动态路由表项,以及所述至少一个边缘路由设备根据所述源用户IP地址的动态路由表项和所述源终端IP地址删除所述源终端IP地址和源用户IP地址的映射关系。
51.根据权利要求49所述的源边缘路由设备,其特征在于,当所述AAA服务器在对所述源用户下线认证成功后,所述接收单元还用于接收所述AAA服务器发送的第一删除指示消息,所述第一删除指示消息包括所述源终端IP地址和源用户IP地址的映射关系;
所述处理单元,还用于根据所述第一删除指示消息,删除所述源终端IP地址和源用户IP地址的映射关系。
52.根据权利要求44-46任一项所述的源边缘路由设备,其特征在于,所述接收单元还用于接收所述目的边缘路由设备通过动态路由协议发送的第二动态路由表项增加消息,所述第二动态路由表项增加消息包括所述目的用户IP地址的动态路由表项;
所述获取单元,还用于根据所述第二动态路由表项增加消息,获取所述目的用户IP地址的动态路由表项。
53.根据权利要求52所述的源边缘路由设备,其特征在于,所述接收单元具体用于接收所述目的边缘路由设备通过动态路由协议发送的包括所述目的用户IP地址的动态路由表项和所述目的终端IP地址的第二动态路由表项增加消息;
所述获取单元具体用于根据所述第二动态路由表项增加消息中的所述目的用户IP地址的动态路由表项和目的终端IP地址,生成所述目的终端IP地址和目的用户IP地址的映射关系。
54.根据权利要求52所述的源边缘路由设备,其特征在于,所述获取单元具体用于获取AAA服务器在对所述目的用户上线认证成功之后发送的所述目的终端IP地址和目的用户IP地址的映射关系。
55.根据权利要求53或54所述的源边缘路由设备,其特征在于,当所述AAA服务器在对所述目的用户下线认证成功后,所述接收单元还用于接收所述目的边缘路由设备通过动态路由协议发送的第二动态路由表项删除消息,所述第二动态路由表项删除消息包括所述目的用户IP地址的动态路由表项;
所述处理单元还用于根据所述第二动态路由表项删除消息,删除所述目的用户IP地址的路由表项。
56.根据权利要求55所述的源边缘路由设备,其特征在于,所述接收单元具体用于接收所述目的边缘路由设备通过动态路由协议发送的包括所述目的用户IP地址的动态路由表项和所述目的终端IP地址的第二动态路由表项删除消息;
所述处理单元还用于根据所述目的用户IP地址的动态路由表项和所述目的终端IP地址,删除所述目的终端IP地址和目的用户IP地址的映射关系。
57.根据权利要求55所述的源边缘路由设备,其特征在于,当所述AAA服务器在对所述源用户下线认证成功后,所述接收单元还用于接收所述AAA服务器发送的第二删除指示消息,所述第二删除指示消息包括所述目的终端IP地址和目的用户IP地址的映射关系;
所述处理单元还用于根据所述第二删除指示消息,删除所述目的终端IP地址和目的用户IP地址的映射关系。
58.一种目的边缘路由设备,其特征在于,包括:
接收单元,用于接收源边缘路由设备通过中间网络设备发送的第二数据报文,所述第二数据报文携带有源用户IP地址和目的用户IP地址,所述源用户IP地址是根据源用户信息生成的,所述目的用户IP地址是根据目的用户信息生成的,所述源用户IP地址和目的用户IP地址属于私网IP地址;
处理单元,用于将所述第二数据报文中的所述源用户IP地址转换为源终端IP地址,并将所述第二数据报文中的所述目的用户IP地址转换为目的终端IP地址,获得第一数据报文,所述第二数据报文中的所述源用户信息和所述目的用户信息匹配访问控制策略;
发送单元,用于将所述第一数据报文发送给所述目的终端。
59.根据权利要求58所述的目的边缘路由设备,其特征在于,所述源用户信息包括所述源用户所属的用户组的标识ID和/或所述源用户的ID;
所述目的用户信息包括所述目的用户所属的用户组的ID和/或所述目的用户的ID。
60.根据权利要求58或59所述的目的边缘路由设备,其特征在于,还包括:
判断单元,用于所述处理单元将第二数据报文中的源用户IP地址转换为源终端IP地址,并将目的用户IP地址转换为目的终端IP地址,获得第一数据报文之前,判断所述源用户信息和所述目的用户信息与配置在所述目的边缘路由设备上的访问控制策略是否匹配;
所述处理单元具体用于所述判断单元判断所述源用户信息和所述目的用户信息与配置在所述目的边缘路由设备上的访问控制策略匹配,则将所述第二数据报文中的源用户IP地址转换为源终端IP地址,并将所述第二数据报文中的所述目的用户IP地址转换为目的终端IP地址,获得第一数据报文。
61.根据权利要求58或59所述的目的边缘路由设备,其特征在于,还包括:
获取单元,用于所述处理单元将所述第二数据报文中的所述源用户IP地址转换为源终端IP地址,并将所述第二数据报文中的所述目的用户IP地址转换为目的终端IP地址,获得第一数据报文之前,根据所述源用户IP地址和源终端IP地址与源用户IP地址的映射关系获得所述源终端IP地址,并根据所述目的用户IP地址和目的终端IP地址与目的用户IP地址的映射关系获得所述目的终端IP地址。
62.根据权利要求61所述的目的边缘路由设备,其特征在于,所述获取单元还用于获取所述源终端IP地址和源用户IP地址的映射关系,以及获取所述目的终端IP地址和目的用户IP地址的映射关系。
63.根据权利要求62所述的目的边缘路由设备,其特征在于,所述接收单元还用于接收所述源边缘路由设备通过动态路由协议发送的第一动态路由表项增加消息,所述第一动态路由表项增加消息包括所述源用户IP地址的动态路由表项;
所述获取单元,还用于根据所述第一动态路由表项增加消息,获取所述源用户IP地址的动态路由表项。
64.根据权利要求63所述的目的边缘路由设备,其特征在于,所述接收单元具体用于接收所述源边缘路由设备通过动态路由协议发送的包括所述源用户IP地址的动态路由表项和所述源终端IP地址的第一动态路由表项增加消息;
所述获取单元具体用于根据所述第一动态路由表项增加消息中的所述源用户IP地址的动态路由表项和所述源终端IP地址,生成所述源终端IP地址和源用户IP地址的映射关系。
65.根据权利要求63所述的目的边缘路由设备,其特征在于,所述获取单元具体用于获取AAA服务器发送的所述源终端IP地址和源用户IP地址的映射关系。
66.根据权利要求63-65任意一项所述的目的边缘路由设备,其特征在于,当认证授权计费AAA服务器在对所述源用户下线认证成功后,所述接收单元还用于接收所述源边缘路由设备通过动态路由协议发送第一动态路由表项删除消息,所述第一动态路由表项删除消息包括所述源用户IP地址的动态路由表项;
所述处理单元,还用于根据所述第一动态路由表项删除消息,删除所述源用户IP地址的动态路由表项。
67.根据权利要求66所述的目的边缘路由设备,其特征在于,所述接收单元具体用于接收所述源边缘路由设备通过动态路由协议发送包括所述源用户IP地址的动态路由表项和所述源终端IP地址的第一动态路由表项删除消息;
所述处理单元还用于根据所述源用户IP地址的动态路由表项和所述源终端IP地址,删除所述源终端IP地址和源用户IP地址的映射关系。
68.根据权利要求66所述的目的边缘路由设备,其特征在于,当所述AAA服务器在对所述源用户下线认证成功后,所述接收单元还用于接收所述AAA服务器发送的第一删除指示消息,所述第一删除指示消息包括所述源终端IP地址和源用户IP地址的映射关系;
所述处理单元还用于根据所述第一删除指示消息,删除所述源终端IP地址和源用户IP地址的映射关系。
69.根据权利要求62-65任意一项所述的目的边缘路由设备,其特征在于,所述接收单元还用于所述获取单元获取所述目的终端IP地址和源用户IP地址的映射关系之前,接收目的终端发送的第二上线认证请求,所述第二上线认证请求中包括所述目的终端IP地址、目的用户的账号和密码;
所述发送单元还用于将所述第二上线认证请求转发给AAA服务器,以使所述AAA服务器在对所述目的用户上线认证成功后,确定所述目的用户信息,并根据所述目的用户信息生成所述目的用户IP地址。
70.根据权利要求69所述的目的边缘路由设备,其特征在于,还包括:生成单元;
所述接收单元还用于接收所述AAA服务器发送所述目的用户IP地址;
所述生成单元,用于根据所述目的用户IP地址,生成所述目的用户IP地址的动态路由表项;
所述发送单元还用于通过动态路由协议向所述中间网络设备和至少一个边缘路由设备发送第二动态路由表项增加消息,所述第二动态路由表项增加消息包括所述目的用户IP地址的动态路由表项,所述至少一个边缘路由设备包括所述源边缘路由设备,以使所述中间网络设备和至少一个边缘路由设备根据所述第二动态路由表项增加消息获取所述目的用户IP地址的动态路由表项。
71.根据权利要求70所述的目的边缘路由设备,其特征在于,所述发送单元具体用于通过所述动态路由协议向所述中间网络设备和至少一个边缘路由设备发送包括所述目的用户IP地址的动态路由表项和所述目的终端IP地址的第二动态路由表项增加消息,以使所述中间网络设备和至少一个边缘路由设备根据所述第二动态路由表项增加消息获取所述目的用户IP地址的动态路由表项,以及所述至少一个边缘路由设备根据所述目的用户IP地址的动态路由表项和所述目的终端IP地址生成所述目的终端IP地址和目的用户IP地址的映射关系。
72.根据权利要求70或71所述的目的边缘路由设备,其特征在于,当所述AAA服务器在对所述目的用户上线认证成功后,所述获取单元具体用于获取所述AAA服务器发送的所述目的终端IP地址和目的用户IP地址的映射关系,所述目的终端IP地址和目的用户IP地址的映射关系为所述AAA服务器根据所述目的终端IP地址和所述目的用户IP地址生成的。
73.根据权利要求70或71所述的目的边缘路由设备,其特征在于,所述获取单元具体用于根据所述目的终端IP地址和所述目的用户IP地址,生成所述目的终端IP地址和目的用户IP地址的映射关系。
74.根据权利要求70或71所述的目的边缘路由设备,其特征在于,当所述AAA服务器在对所述目的用户下线认证成功后,所述发送单元还用于通过动态路由协议向所述中间网络设备和至少一个边缘路由设备发送第二动态路由表项删除消息,所述第二动态路由表项删除消息包括所述目的用户IP地址的动态路由表项;以使所述中间网络设备和至少一个边缘路由设备根据所述第二动态路由表项删除消息,删除所述目的用户IP地址的路由表项。
75.根据权利要求74所述的目的边缘路由设备,其特征在于,所述发送单元具体用于通过所述动态路由协议向所述中间网络设备和至少一个边缘路由设备发送包括所述目的用户IP地址的动态路由表项和所述目的终端IP地址的第二动态路由表项删除消息,以使所述中间网络设备和至少一个边缘路由设备根据所述第二动态路由表项删除消息删除所述目的用户IP地址的动态路由表项,以及所述至少一个边缘路由设备根据所述目的用户IP地址的动态路由表项和所述目的终端IP地址删除所述目的终端IP地址和目的用户IP地址的映射关系。
76.根据权利要求75所述的目的边缘路由设备,其特征在于,当所述AAA服务器在对所述目的用户下线认证成功后,所述接收单元还用于接收所述AAA服务器发送的第二删除指示消息,所述第二删除指示消息包括所述目的终端IP地址和目的用户IP地址的映射关系;
所述处理单元具体用于根据所述第二删除指示消息,删除所述目的终端IP地址和目的用户IP地址的映射关系。
CN201310641787.5A 2013-12-03 2013-12-03 数据报文传输方法和设备 Active CN104683315B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201310641787.5A CN104683315B (zh) 2013-12-03 2013-12-03 数据报文传输方法和设备

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201310641787.5A CN104683315B (zh) 2013-12-03 2013-12-03 数据报文传输方法和设备

Publications (2)

Publication Number Publication Date
CN104683315A CN104683315A (zh) 2015-06-03
CN104683315B true CN104683315B (zh) 2018-07-20

Family

ID=53317914

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201310641787.5A Active CN104683315B (zh) 2013-12-03 2013-12-03 数据报文传输方法和设备

Country Status (1)

Country Link
CN (1) CN104683315B (zh)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105515772B (zh) * 2014-06-09 2020-04-03 华为技术有限公司 信息处理方法、网络节点、验证方法和服务器
US10104205B2 (en) * 2015-10-28 2018-10-16 Mediatek Inc. Flexible data packet information mapping and modification
CN109150796B (zh) * 2017-06-15 2022-02-22 阿里巴巴(中国)有限公司 数据访问方法和装置

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6195705B1 (en) * 1998-06-30 2001-02-27 Cisco Technology, Inc. Mobile IP mobility agent standby protocol
CN101150519A (zh) * 2007-10-30 2008-03-26 杭州华三通信技术有限公司 网络地址转换业务控制方法及装置
CN101465856A (zh) * 2008-12-31 2009-06-24 杭州华三通信技术有限公司 一种对用户进行访问控制的方法和系统
CN101888388A (zh) * 2010-07-15 2010-11-17 中兴通讯股份有限公司 一种实现虚拟媒体访问控制地址的方法及装置
CN103139075A (zh) * 2013-03-13 2013-06-05 杭州华三通信技术有限公司 一种报文传输方法和设备

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6195705B1 (en) * 1998-06-30 2001-02-27 Cisco Technology, Inc. Mobile IP mobility agent standby protocol
CN101150519A (zh) * 2007-10-30 2008-03-26 杭州华三通信技术有限公司 网络地址转换业务控制方法及装置
CN101465856A (zh) * 2008-12-31 2009-06-24 杭州华三通信技术有限公司 一种对用户进行访问控制的方法和系统
CN101888388A (zh) * 2010-07-15 2010-11-17 中兴通讯股份有限公司 一种实现虚拟媒体访问控制地址的方法及装置
CN103139075A (zh) * 2013-03-13 2013-06-05 杭州华三通信技术有限公司 一种报文传输方法和设备

Also Published As

Publication number Publication date
CN104683315A (zh) 2015-06-03

Similar Documents

Publication Publication Date Title
CN109146679A (zh) 基于区块链的智能合约调用方法及装置、电子设备
CN1586065B (zh) 利用网络地址转换的对等网络通信方法、设备及系统
CN105323237B (zh) 权限授予系统、方法及认证服务器系统
CN107800708A (zh) 一种车机账户自动登录方法和车机装置
CN105491077B (zh) 一种身份认证的系统
CN108009825A (zh) 一种基于区块链技术的身份管理系统及方法
CN102647423B (zh) 一种数字签章及印鉴的鉴别方法及系统
CN107209659A (zh) 移动虚拟网络中的移动认证
CN109753817A (zh) 基于区块链的医疗信息安全存储方案
CN104079548A (zh) 电子名片管理方法、装置、服务器及通信系统
KR101876674B1 (ko) 블록 체인을 이용한 공동 계좌 관리 방법 및 이를 실행하는 시스템
CN108337677A (zh) 网络鉴权方法及装置
CN110417502A (zh) 一种区块链节点时钟共识方法及装置
CN108769230A (zh) 交易数据存储方法、装置、服务器及存储介质
CN104683315B (zh) 数据报文传输方法和设备
CN103152335A (zh) 一种网络设备上防止arp欺骗的方法及装置
CN110417790A (zh) 区块链实名制排队系统及方法
CN108632325A (zh) 一种应用的调用方法及装置
CN102891832A (zh) 身份标识绑定方法及系统
CN110365711A (zh) 多平台用户身份关联方法及装置
CN105765941A (zh) 一种非法访问服务器防止方法以及装置
CN106059760A (zh) 一种从用户端密码模块调用系统私钥的密码系统
CN106254226B (zh) 一种信息同步方法及装置
CN105262848A (zh) 用户互联网身份标识及生成方法和系统
CN109788528A (zh) 接入点及其上网业务开通方法和系统

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant