CN106506295A - 一种虚拟机接入网络的方法及装置 - Google Patents
一种虚拟机接入网络的方法及装置 Download PDFInfo
- Publication number
- CN106506295A CN106506295A CN201611013132.3A CN201611013132A CN106506295A CN 106506295 A CN106506295 A CN 106506295A CN 201611013132 A CN201611013132 A CN 201611013132A CN 106506295 A CN106506295 A CN 106506295A
- Authority
- CN
- China
- Prior art keywords
- virtual machine
- access device
- address
- sent
- information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/2854—Wide area networks, e.g. public data networks
- H04L12/2856—Access arrangements, e.g. Internet access
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/50—Address allocation
- H04L61/5007—Internet protocol [IP] addresses
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Small-Scale Networks (AREA)
Abstract
本发明实施例公开了一种虚拟机接入网络的方法及装置,应用于SDN控制器,该方法包括:接收接入设备上送的虚拟机发送的认证请求报文,通过接入设备向虚拟机发送身份请求报文;接收接入设备上送的虚拟机发送的包括第一身份信息的第一身份请求响应报文和包括第一密码信息的第二身份请求响应报文;当第一密码信息与预设数据库中存储的第一身份信息对应的第二密码信息相同时,确定虚拟机认证通过;为虚拟机分配IP地址,并通过接入设备将IP地址发送虚拟机,以使虚拟机根据IP地址接入网络。应用本发明实施例,实现了SDN控制器集中控制虚拟机接入网络,降低了网络建设成本。
Description
技术领域
本发明涉及通信技术领域,特别涉及一种虚拟机接入网络的方法及装置。
背景技术
如图1所示,局域网内可以包括:SDN(Software Defined Network,软件定义网络)控制器100、认证服务器200、接入设备300和虚拟机400。
当虚拟机400需要接入网络时,该虚拟机400需要通过接入设备300将认证请求报文发送给认证服务器200;在认证通过后,该虚拟机400通过接入设备300将地址请求报文发送给SDN控制器100;SDN控制器100根据地址请求报文为该虚拟机400分配IP(InternetProtocol,网络协议)地址;这样,该虚拟机400就可以根据分配的IP地址接入网络了。
由上可知,现有技术中,虚拟机接入网络,是由SDN控制器和认证服务器这两个设备来控制的,无法实现SDN控制器集中控制虚拟机接入网络,增加了网络建设成本。
发明内容
本发明实施例公开了一种虚拟机接入网络的方法及装置,以实现SDN控制器集中控制虚拟机接入网络,降低网络建设成本。
为达到上述目的,本发明实施例公开了一种虚拟机接入网络的方法,应用于SDN控制器,所述方法包括:
接收接入设备上送的虚拟机发送的认证请求报文,并根据所述认证请求报文,通过所述接入设备向所述虚拟机发送身份请求报文;
接收所述接入设备上送的所述虚拟机发送的第一身份请求响应报文;所述第一身份请求响应报文包括:所述虚拟机的第一身份信息;
接收所述接入设备上送的所述虚拟机发送的第二身份请求响应报文;所述第二身份请求响应报文包括:所述第一身份信息对应的第一密码信息;
当所述第一密码信息与预设数据库中存储的所述第一身份信息对应的第二密码信息相同时,确定所述虚拟机认证通过;所述预设数据库中存储有身份信息与密码信息的对应关系;
为所述虚拟机分配IP地址,并通过所述接入设备将所述IP地址发送给所述虚拟机,以使所述虚拟机根据所述IP地址接入网络。
为达到上述目的,本发明实施例还公开了一种虚拟机接入网络的装置,应用于SDN控制器,所述装置包括:
第一接收单元,用于接收接入设备上送的虚拟机发送的认证请求报文,并根据所述认证请求报文,通过所述接入设备向所述虚拟机发送身份请求报文;
第二接收单元,用于接收所述接入设备上送的所述虚拟机发送的第一身份请求响应报文;所述第一身份请求响应报文包括:所述虚拟机的第一身份信息;
第三接收单元,用于接收所述接入设备上送的所述虚拟机发送的第二身份请求响应报文;所述第二身份请求响应报文包括:所述第一身份信息对应的第一密码信息;
确定单元,用于当所述第一密码信息与预设数据库中存储的所述第一身份信息对应的第二密码信息相同时,确定所述虚拟机认证通过;所述预设数据库中存储有身份信息与密码信息的对应关系;
分配单元,用于为所述虚拟机分配IP地址,并通过所述接入设备将所述IP地址发送给所述虚拟机,以使所述虚拟机根据所述IP地址接入网络。
本发明实例提供了一种虚拟机接入网络的方法及装置,SDN控制器中预先设置有一个数据库,该数据库中存储有身份信息与密码信息的对应关系,当虚拟机需要认证上线时,该虚拟机将认证请求报文发送给SDN控制器;SDN控制器再向该虚拟机发送身份请求报文,从该虚拟机中获取到第一身份信息和第一身份信息对应的第一密码信息,当第一密码信息与预设数据库中存储的第一身份信息对应的第二密码信息相同时,确认该虚拟机为合法用户,该虚拟机认证通过,继而SDN控制器可以为该虚拟机分配IP地址,该虚拟机接入网络,上线成功。可见,本发明实施例中,SDN控制器既可以对虚拟机进行认证,也可以为虚拟机分配IP地址,实现了SDN控制器集中控制虚拟机接入网络,降低了网络建设成本。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为一种局域网的结构示意图;
图2为本发明实施例提供的一种虚拟机接入网络的方法的一种流程示意图;
图3为本发明实施例使用的局域网的结构示意图;
图4为本发明实施例提供的一种虚拟机接入网络的方法的另一种流程示意图;
图5为为基于图2所示实施例的另一种实施例的部分流程图;
图6为本发明实施例提供的一种虚拟机接入网络的装置的结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
目前,无法实现SDN控制器集中控制虚拟机接入网络,当虚拟机需要通过认证接入网络时,需要在网络中加设一台认证服务器,由该认证服务器对虚拟机进行认证,再由SDN控制器为虚拟机分配IP地址,增加了网络建设成本。本发明实施例提供了一种虚拟机接入网络的方法及装置,以实现SDN控制器集中控制虚拟机接入网络,降低网络建设成本。
下面通过具体实施例,对本发明进行详细说明。
参考图2,图2为本发明实施例提供的一种虚拟机接入网络的方法的一种流程示意图,应用于SDN控制器,该方法包括:
S201:接收接入设备上送的虚拟机发送的认证请求报文,并根据所述认证请求报文,通过所述接入设备向所述虚拟机发送身份请求报文;
当虚拟机启动时,若该虚拟机需要进行认证,该虚拟机可以向SDN控制器发送一个目的MAC(Media Access Control,媒体访问控制)地址为SDN控制器的全局虚拟MAC地址的认证请求报文(例如EAPOL-Start报文);SDN控制器接收到认证请求报文,确定该虚拟机需要进行认证,向该虚拟机发送身份请求报文,以获取该虚拟机的第一身份信息。这里,身份请求报文可以为:Identity类型的请求报文。
本发明实施例中,局域网的结构可参考图3,虚拟机500需要通过接入设备600与SDN控制器700连接。这种情况下,SDN控制器700接收到的虚拟机500发送的认证请求报文可以为:虚拟机500通过接入设备600发送的认证请求报文,也就是,虚拟机500将认证请求报文发送给接入设备600,接入设备600封装该认证请求报文后,再将封装后的认证请求报文发送给SDN控制器接700;另外,向虚拟机500发送的身份请求报文为:通过接入设备600,向虚拟机500发送的身份请求报文,也就是,SDN控制器700将身份请求报文发送给接入设备600,接入设备600再将身份请求报文发送给虚拟机500。
这里,接入设备600可以包括:硬件交换设备和OVS(Open vSwitch,开放式交换设备)等。对于OVS,在OVS中存储有一条所有报文都上送SDN控制器的流表;但对于硬件交换设备,在硬件交换设备中不存在所有报文都上送SDN控制器的流表。这种情况下,为了保证硬件交换设备能够将接收到的虚拟机发送的所有报文都上送给SDN控制器,SDN控制器在接收到虚拟机通过硬件交换设备发送的认证请求报文之前,可以向硬件交换设备下发第二流表,该第二流表用于将目的MAC地址为SDN控制器的全局虚拟MAC地址的所有报文都上送SDN控制器。
S202:接收所述接入设备上送的所述虚拟机发送的第一身份请求响应报文;所述第一身份请求响应报文包括:所述虚拟机的第一身份信息;
参考图3,虚拟机500接收到SDN控制器700通过接入设备600发送的身份请求报文后,可以将用户输入的第一身份信息携带在第一身份请求响应报文中发送给接入设备600,接入设备600封装该第一身份请求响应报文后,再将封装后的第一身份请求响应报文发送给SDN控制器接700。这里,身份信息可以为:用户名信息,第一身份请求响应报文可以为:Identity类型的响应报文,第一身份请求响应报文的目的MAC地址为SDN控制器的全局虚拟MAC地址。
S203:接收所述接入设备上送的所述虚拟机发送的第二身份请求响应报文;所述第二身份请求响应报文包括:所述第一身份信息对应的第一密码信息;
参考图3,虚拟机500接收到SDN控制器700通过接入设备600发送的身份请求报文后,可以将用户输入的第一身份信息对应的第一密码信息携带在第二身份请求响应报文中发送给接入设备600,该第二身份请求响应报文的目的MAC地址为SDN控制器的全局虚拟MAC地址,接入设备600封装该第二身份请求响应报文后,再将封装后的第二身份请求响应报文发送给SDN控制器接700。另外,该第二身份请求响应报文也可以为:Identity类型的响应报文。
S204:当所述第一密码信息与预设数据库中存储的所述第一身份信息对应的第二密码信息相同时,确定所述虚拟机认证通过;
这里,预设数据库中存储有身份信息与密码信息的对应关系。预设数据库中存储的信息为用户预先配置的,可以理解为,预设数据库中存储的信息为合法用户的信息。
这种情况下,若第一密码信息与第二密码信息不同,可以说明该虚拟机为非法用户,该虚拟机认证失败;若第一密码信息与第二密码信息相同,可以说明该虚拟机为合法用户,该虚拟机认证通过,上线成功,此时SDN控制器可以为该虚拟机分配IP地址,使得该虚拟机接入网络。另外,在虚拟机访问网络时,该SDN控制器可以根据认证信息下发流表,进而控制流量转发,实现了SDN控制器集中控制流量的转发。
需要说明的是,虚拟机接入网络的认证可以为802.1X认证。这种情况下,需要在虚拟机上安装802.1X客户端,虚拟机与SDN控制器间的交互,实际上为虚拟机上802.1X客户端与SDN控制器间的交互。
S205:为所述虚拟机分配IP地址,并通过所述接入设备将所述IP地址发送给所述虚拟机,以使所述虚拟机根据所述IP地址接入网络。
SDN控制器为虚拟机分配IP地址,并将IP地址发送给虚拟机的过程与现有技术相同,一般为,参考图3,SDN控制器700通过DHCP(Dynamic Host Configuration Protoco,动态主机设置协议)服务器为虚拟机500分配IP地址,再通过接入设备600将IP地址发送给虚拟机500,也就是,将该IP地址发送给接入设备600,接入设备600再将该IP地址发送给虚拟机500,虚拟机500根据该IP地址接入网络。
本发明其他实施例中,为了保证虚拟机的安全,可以分开获得身份信息和密码信息,并对密码信息进行加密。具体地,参考图4,在图2的基础上,S202之后,上述虚拟机接入网络的方法还可以包括:
S401:从预设数据库中查找所述第一身份信息对应的第二密码信息,并根据预设加密算法对所述第二密码信息进行加密;
获得第一身份信息后,可以在预设数据库中查找第一身份信息,当查找到时,获得该第一身份信息对应的第二密码信息;若查找不到,可以认为该虚拟机认证失败。
这里,预设加密算法可以为MD5算法等,保证了加密后的密码信息是唯一的一个值。例如,SDN控制器在预设数据库中查找到第一身份信息,并获得了第二密码信息后,可以随机生成一个MD5质询选项(例如MD5Challenge选项),按照MD5算法对第二密码信息进行加密。
S402:通过所述接入设备将所述预设加密算法发送给所述虚拟机,以使所述虚拟机根据所述预设加密算法对本地所述第一身份信息对应的第一密码信息进行加密;
SDN控制器700可以将预设加密算法携带在质询接入报文(例如RADIUS Access-Challenge报文)中发送给接入设备600,接入设备600再将质询接入报文发送给虚拟机500。虚拟机500接收到质询接入报文后,按照该质询接入报文中携带的预设加密算法对第一密码信息进行加密。例如,质询接入报文中携带有MD5质询选项,则预设加密算法为MD5算法,虚拟机需要按照MD5算法对第一密码信息进行加密。虚拟机500对第一密码信息进行加密后,可以将加密后的第一密码信息携带在第二身份请求响应报文(例如EAP-Response/MD5Challenge报文)中发送给接入设备600,接入设备600再将该第二身份请求响应报文发送给SDN控制器700。
这种情况下,S204可以为:
当加密后的所述第一密码信息与加密后的所述第二密码信息相同时,确定所述虚拟机认证通过。
这里,虚拟机和SDN控制器间传递的密码信息都是经过加密后的,使得密码信息不易被窃取到,提高了虚拟机的安全性;另外,加密后的密码信息是唯一的,能够准确的确定出第一密码信息与第二密码信息是否相同,进一步提高了虚拟机的安全性。
为了保证虚拟机的安全,节约SDN控制器的路径计算资源和防止SDN控制器受到攻击,在本发明其他实施例中,SDN控制器通过接入设备,将IP地址发送给虚拟机之后,参考图5,在图2的基础上,上述虚拟机接入网络的方法还可以包括:
S501:在所述预设数据库中,存储所述第一身份信息、所述IP地址和所述虚拟机的MAC地址的对应关系,并通过所述接入设备向所述虚拟机发送第一端口配置信息;
这样,虚拟机根据第一端口配置信息将发送认证请求报文的第一端口设置为授权状态。
需要说明的是,授权状态可以理解为up状态,虚拟机将第一端口设置为up状态后,其可以通过该第一端口发送流量。
另外,预设数据库中存储有身份信息IP地址和MAC地址的对应关系。例如,虚拟机的MAC地址为MAC1,分配给该虚拟机的IP地址为IP1,第一身份信息为qqq,密码信息为111111,在预设数据库中可以存储的信息如表1所示。
表1
身份信息 | 密码信息 | IP+MAC |
qqq | 111111 | IP1+MAC1 |
在本发明的一个实施例中,为了避免因虚拟机异常下线而SDN控制器无法感知到的情况,在虚拟机上线期间,SDN控制器可以通过接入设备,定时向虚拟机发送针对第一端口的握手报文;若SDN控制器发送预设数量个握手报文,均未接收到接入设备上送的该虚拟机通过第一端口发送的握手响应报文,则通过接入设备向该虚拟机发送第二端口配置信息,该虚拟机根据第二端口配置信息,将第一端口的状态设置为未授权状态;同时,删除预设数据库中第一身份信息对应的IP地址和该虚拟机的MAC地址,该虚拟机下线成功。这里,未授权状态可以理解为down状态,虚拟机将本地上线端口的状态设置为down状态后,该虚拟机将不可以通过该上线端口发送流量。
在本发明的另一个实施例中,虚拟机还可以通过第一端口发送下线报文(例如EAPOL-Logoff报文)主动请求下线。一般的,虚拟机通过接入设备将下线报文发送给SDN控制器;SDN控制器接收到接入设备上送的虚拟机通过第一端口发送的下线报文后,根据该下线报文,通过接入设备向虚拟机发送第二端口配置信息和下线成功报文(例如EPAOL-Failure报文);同时,删除预设数据库中第一身份信息对应的IP地址和虚拟机的MAC地址,该虚拟机下线成功。
在本发明的一个实施例中,为了便于计费,还可以在预设数据库中存储上线时间和下线时间。具体的,SDN控制器在通过接入设备,将IP地址发送给虚拟机之后,虚拟机上线成功,将当前时刻作为上线时间,在预设数据库中存储第一身份信息与上线时间的对应关系;在删除预设数据库中第一身份信息对应的IP地址和该虚拟机的MAC地址之后,该虚拟机下线成功,将当前时刻作为下线时间,在预设数据库中存储第一身份信息与下线时间的对应关系。仍以上面的例子进行说明,当虚拟机上线成功后,当前时刻为10:00,将10:00作为上线时间,在预设数据库中存储第一身份信息与上线时间的对应关系;当虚拟机下线成功后,当前时刻为11:00,将11:00作为下线时间,在预设数据库中存储第一身份信息与下线时间的对应关系,如表2所示。
表2
身份信息 | 密码信息 | 上线成功 | 下线时间 | IP+MAC |
qqq | 111111 | 10:00 | 11:00 | IP1+MAC1 |
S502:接收所述接入设备上送的所述虚拟机通过所述第一端口发送的流量;
S503:判断所述流量的源IP地址、源MAC地址、目的IP地址和目的MAC地址是否为所述预设数据库中记录的信息或所述SDN控制器的虚拟MAC地址;如果是,S504;否则,S505;
SDN控制器接收到的流量可能是来自局域网外的流量,也可能是来自本局域网的流量,为了避免SDN控制器受到攻击,导致局域网内的虚拟机的不安全,可以对比流量的源IP地址、源MAC地址、目的IP地址和目的MAC地址是否为预设数据库中记录的信息或SDN控制器的虚拟MAC地址,如果是,也就是,流量的源IP地址和源MAC地址的对应关系包含在预设数据库中,并且该流量的目的IP地址和目的MAC地址的对应关系包含在预设数据库中或该流量的目的MAC地址为SDN控制器的全局虚拟MAC地址,则确定该流量对应的源虚拟机和目的虚拟机为合法用户,该次访问为安全的访问,执行S504;否则,确定该次访问为不安全的访问,执行S505。
S504:根据所述流量的源IP地址、源MAC地址、目的IP地址和目的MAC地址,计算针对所述流量的第一流表,并将所述第一流表下发给所述接入设备;
这样,接入设备就可以根据该第一流表转发该流量。
值得一提的是,预设数据库中还可以存储用户设置的访问权限信息。仍以S501中的例子进行说明,访问权限信息为*****,如表3所示。
表3
身份信息 | 密码信息 | 上线成功 | 下线时间 | 访问权限信息 | IP+MAC |
qqq | 111111 | 10:00 | 11:00 | ***** | IP1+MAC1 |
这样情况下,可以根据第一身份信息对应的访问权限信息,控制第一流表下发给接入设备,当第一身份信息对应的访问权限信息为:允许下发流表时,将第一流表下发给接入设备;当第一身份信息对应的访问权限信息为:禁止下发流表,则拒绝将第一流表下发给接入设备。
S505:丢弃所述流量。
应用上述实施例,SDN控制器中预先设置有一个数据库,该数据库中存储有身份信息与密码信息的对应关系,当虚拟机需要认证上线时,该虚拟机将认证请求报文发送给SDN控制器;SDN控制器再向该虚拟机发送身份请求报文,从该虚拟机中获取到第一身份信息和第一身份信息对应的第一密码信息,当第一密码信息与预设数据库中存储的第一身份信息对应的第二密码信息相同时,确认该虚拟机为合法用户,该虚拟机认证通过,继而SDN控制器可以为该虚拟机分配IP地址,该虚拟机接入网络,上线成功。可见,本发明实施例中,SDN控制器既可以对虚拟机进行认证,也可以为虚拟机分配IP地址,实现了SDN控制器集中控制虚拟机接入网络,降低了网络建设成本。
参考图6,图6为本发明实施例提供的一种虚拟机接入网络的装置的结构示意图,应用于SDN控制器,所述装置包括:
第一接收单元601,用于接收接入设备上送的虚拟机发送的认证请求报文,并根据所述认证请求报文,通过所述接入设备向所述虚拟机发送身份请求报文;
第二接收单元602,用于接收所述接入设备上送的所述虚拟机发送的第一身份请求响应报文;所述第一身份请求响应报文包括:所述虚拟机的第一身份信息;
第三接收单元603,用于接收所述接入设备上送的所述虚拟机发送的第二身份请求响应报文;所述第二身份请求响应报文包括:所述第一身份信息对应的第一密码信息;
确定单元604,用于当所述第一密码信息与预设数据库中存储的所述第一身份信息对应的第二密码信息相同时,确定所述虚拟机认证通过;所述预设数据库中存储有身份信息与密码信息的对应关系;
分配单元605,用于为所述虚拟机分配IP地址,并通过所述接入设备将所述IP地址发送给所述虚拟机,以使所述虚拟机根据所述IP地址接入网络。
在本发明其他实施例中,所述装置还可以包括:
加密单元(图6中未示出),用于在接收所述接入设备上送的所述虚拟机发送的第一身份请求响应报文之后,从预设数据库中查找所述第一身份信息对应的第二密码信息,并根据预设加密算法对所述第二密码信息进行加密;
第一发送单元(图6中未示出),用于通过所述接入设备将所述预设加密算法发送给所述虚拟机,以使所述虚拟机根据所述预设加密算法对本地所述第一身份信息对应的第一密码信息进行加密;
这种情况下,所述第二身份请求响应报文包括的所述第一身份信息对应的第一密码信息具体为:加密后的所述第一密码信息;
所述确定单元604,具体可以用于:
当加密后的所述第一密码信息与加密后的所述第二密码信息相同时,确定所述虚拟机认证通过。
在本发明其他实施例中,所述装置还可以包括:
存储单元(图6中未示出),用于在通过所述接入设备将所述IP地址发送给所述虚拟机之后,在所述预设数据库中,存储所述第一身份信息、所述IP地址和所述虚拟机的MAC地址的对应关系,并通过所述接入设备向所述虚拟机发送第一端口配置信息,以使所述虚拟机根据所述第一端口配置信息将发送所述认证请求报文的第一端口设置为授权状态;
第四接收单元(图6中未示出),用于接收所述接入设备上送的所述虚拟机通过所述第一端口发送的流量;
计算单元(图6中未示出),用于若所述流量的源IP地址和源MAC地址的对应关系包含在所述预设数据库中,并且所述流量的目的IP地址和目的MAC地址的对应关系包含在所述预设数据库中或所述流量的目的MAC地址为所述SDN控制器的全局虚拟MAC地址,则根据所述流量的源IP地址、源MAC地址、目的IP地址和目的MAC地址,计算针对所述流量的第一流表,并将所述第一流表下发给所述接入设备,以使所述接入设备根据所述第一流表转发所述流量;否则,丢弃所述流量。
在本发明其他实施例中,所述预设数据库中还可以存储有用户设置的访问权限信息;
这种情况下,所述计算单元,具体可以用于:
当所述第一身份信息对应的访问权限信息为允许下发时,将所述第一流表下发给所述接入设备。
在本发明其他实施例中,所述装置还可以包括:
第二发送单元(图6中未示出),用于在通过所述接入设备向所述虚拟机发送第一端口配置信息之后,通过所述接入设备,定时向所述虚拟机发送针对所述第一端口的握手报文;
第三发送单元(图6中未示出),用于若所述SDN控制器发送预设数量个握手报文,均未接收到所述接入设备上送的所述虚拟机通过所述第一端口发送的握手响应报文,通过所述接入设备向所述虚拟机发送第二端口配置信息,以使所述虚拟机根据所述第二端口配置信息将所述第一端口设置为未授权状态;
删除单元(图6中未示出),用于删除所述预设数据库中所述第一身份信息对应的所述IP地址和所述虚拟机的MAC地址。
在本发明其他实施例中,所述装置还可以包括:
第五接收单元(图6中未示出),用于在通过所述接入设备向所述虚拟机发送第一端口配置信息之后,接收所述接入设备上送的所述虚拟机通过所述第一端口发送的下线报文;
第四发送单元(图6中未示出),用于根据所述下线报文,通过所述接入设备向所述虚拟机发送第二端口配置信息和下线成功报文,以使所述虚拟机根据所述第二端口配置信息将所述第一端口设置为未授权状态;
删除单元(图6中未示出),用于删除所述预设数据库中所述第一身份信息对应的所述IP地址和所述虚拟机的MAC地址。
在本发明其他实施例中,所述认证请求报文、所述第一身份请求响应报文和所述第二身份请求响应报文的目的MAC地址为所述SDN控制器的全局虚拟MAC地址;
这种情况下,所述装置还可以包括:
下发单元(图6中未示出),用于在接收接入设备上送的虚拟机通过接入设备发送的认证请求报文之前,向所述接入设备下发第二流表,其中,所述第二流表用于将目的MAC地址为所述SDN控制器的全局虚拟MAC地址的所有报文上送至所述SDN控制器。
应用上述实施例,SDN控制器中预先设置有一个数据库,该数据库中存储有身份信息与密码信息的对应关系,当虚拟机需要认证上线时,该虚拟机将认证请求报文发送给SDN控制器;SDN控制器再向该虚拟机发送身份请求报文,从该虚拟机中获取到第一身份信息和第一身份信息对应的第一密码信息,当第一密码信息与预设数据库中存储的第一身份信息对应的第二密码信息相同时,确认该虚拟机为合法用户,该虚拟机认证通过,继而SDN控制器可以为该虚拟机分配IP地址,该虚拟机接入网络,上线成功。可见,本发明实施例中,SDN控制器既可以对虚拟机进行认证,也可以为虚拟机分配IP地址,实现了SDN控制器集中控制虚拟机接入网络,降低了网络建设成本。
对于装置实施例而言,由于其基本相似于方法实施例,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
本领域普通技术人员可以理解实现上述方法实施方式中的全部或部分步骤是可以通过程序来指令相关的硬件来完成,所述的程序可以存储于计算机可读取存储介质中,这里所称得的存储介质,如:ROM/RAM、磁碟、光盘等。
以上所述仅为本发明的较佳实施例而已,并非用于限定本发明的保护范围。凡在本发明的精神和原则之内所作的任何修改、等同替换、改进等,均包含在本发明的保护范围内。
Claims (14)
1.一种虚拟机接入网络的方法,其特征在于,应用于软件定义网络SDN控制器,所述方法包括:
接收接入设备上送的虚拟机发送的认证请求报文,并根据所述认证请求报文,通过所述接入设备向所述虚拟机发送身份请求报文;
接收所述接入设备上送的所述虚拟机发送的第一身份请求响应报文;所述第一身份请求响应报文包括:所述虚拟机的第一身份信息;
接收所述接入设备上送的所述虚拟机发送的第二身份请求响应报文;所述第二身份请求响应报文包括:所述第一身份信息对应的第一密码信息;
当所述第一密码信息与预设数据库中存储的所述第一身份信息对应的第二密码信息相同时,确定所述虚拟机认证通过;所述预设数据库中存储有身份信息与密码信息的对应关系;
为所述虚拟机分配网络协议IP地址,并通过所述接入设备将所述IP地址发送给所述虚拟机,以使所述虚拟机根据所述IP地址接入网络。
2.根据权利要求1所述的方法,其特征在于,在接收所述接入设备上送的所述虚拟机发送的第一身份请求响应报文之后,所述方法还包括:
从预设数据库中查找所述第一身份信息对应的第二密码信息,并根据预设加密算法对所述第二密码信息进行加密;
通过所述接入设备将所述预设加密算法发送给所述虚拟机,以使所述虚拟机根据所述预设加密算法对本地所述第一身份信息对应的第一密码信息进行加密;
所述第二身份请求响应报文包括的所述第一身份信息对应的第一密码信息具体为:加密后的所述第一密码信息;
所述当所述第一密码信息与预设数据库中存储的所述第一身份信息对应的第二密码信息相同时,确定所述虚拟机认证通过,包括:
当加密后的所述第一密码信息与加密后的所述第二密码信息相同时,确定所述虚拟机认证通过。
3.根据权利要求1所述的方法,其特征在于,在通过所述接入设备将所述IP地址发送给所述虚拟机之后,所述方法还包括:
在所述预设数据库中,存储所述第一身份信息、所述IP地址和所述虚拟机的媒体访问控制MAC地址的对应关系,并通过所述接入设备向所述虚拟机发送第一端口配置信息,以使所述虚拟机根据所述第一端口配置信息将发送所述认证请求报文的第一端口设置为授权状态;
接收所述接入设备上送的所述虚拟机通过所述第一端口发送的流量;
若所述流量的源IP地址和源MAC地址的对应关系包含在所述预设数据库中,并且所述流量的目的IP地址和目的MAC地址的对应关系包含在所述预设数据库中或所述流量的目的MAC地址为所述SDN控制器的全局虚拟MAC地址,则根据所述流量的源IP地址、源MAC地址、目的IP地址和目的MAC地址,计算针对所述流量的第一流表,并将所述第一流表下发给所述接入设备,以使所述接入设备根据所述第一流表转发所述流量;
否则,丢弃所述流量。
4.根据权利要求3所述的方法,其特征在于,所述预设数据库中还存储有用户设置的访问权限信息;
所述将所述第一流表下发给所述接入设备,包括:
当所述第一身份信息对应的访问权限信息为允许下发时,将所述第一流表下发给所述接入设备。
5.根据权利要求3所述的方法,其特征在于,在通过所述接入设备向所述虚拟机发送第一端口配置信息之后,所述方法还包括:
通过所述接入设备,定时向所述虚拟机发送针对所述第一端口的握手报文;
若所述SDN控制器发送预设数量个握手报文,均未接收到所述接入设备上送的所述虚拟机通过所述第一端口发送的握手响应报文,通过所述接入设备向所述虚拟机发送第二端口配置信息,以使所述虚拟机根据所述第二端口配置信息将所述第一端口设置为未授权状态;
删除所述预设数据库中所述第一身份信息对应的所述IP地址和所述虚拟机的MAC地址。
6.根据权利要求3所述的方法,其特征在于,在通过所述接入设备向所述虚拟机发送第一端口配置信息之后,所述方法还包括:
接收所述接入设备上送的所述虚拟机通过所述第一端口发送的下线报文;
根据所述下线报文,通过所述接入设备向所述虚拟机发送第二端口配置信息和下线成功报文,以使所述虚拟机根据所述第二端口配置信息将所述第一端口设置为未授权状态;
删除所述预设数据库中所述第一身份信息对应的所述IP地址和所述虚拟机的MAC地址。
7.根据权利要求1-6任一项所述的方法,其特征在于,所述认证请求报文、所述第一身份请求响应报文和所述第二身份请求响应报文的目的MAC地址为所述SDN控制器的全局虚拟MAC地址;
在接收接入设备上送的虚拟机通过接入设备发送的认证请求报文之前,所述方法还包括:
向所述接入设备下发第二流表,其中,所述第二流表用于将目的MAC地址为所述SDN控制器的全局虚拟MAC地址的所有报文上送至所述SDN控制器。
8.一种虚拟机接入网络的装置,其特征在于,应用于软件定义网络SDN控制器,所述装置包括:
第一接收单元,用于接收接入设备上送的虚拟机发送的认证请求报文,并根据所述认证请求报文,通过所述接入设备向所述虚拟机发送身份请求报文;
第二接收单元,用于接收所述接入设备上送的所述虚拟机发送的第一身份请求响应报文;所述第一身份请求响应报文包括:所述虚拟机的第一身份信息;
第三接收单元,用于接收所述接入设备上送的所述虚拟机发送的第二身份请求响应报文;所述第二身份请求响应报文包括:所述第一身份信息对应的第一密码信息;
确定单元,用于当所述第一密码信息与预设数据库中存储的所述第一身份信息对应的第二密码信息相同时,确定所述虚拟机认证通过;所述预设数据库中存储有身份信息与密码信息的对应关系;
分配单元,用于为所述虚拟机分配网络协议IP地址,并通过所述接入设备将所述IP地址发送给所述虚拟机,以使所述虚拟机根据所述IP地址接入网络。
9.根据权利要求8所述的装置,其特征在于,所述装置还包括:
加密单元,用于在接收所述接入设备上送的所述虚拟机发送的第一身份请求响应报文之后,从预设数据库中查找所述第一身份信息对应的第二密码信息,并根据预设加密算法对所述第二密码信息进行加密;
第一发送单元,用于通过所述接入设备将所述预设加密算法发送给所述虚拟机,以使所述虚拟机根据所述预设加密算法对本地所述第一身份信息对应的第一密码信息进行加密;
所述第二身份请求响应报文包括的所述第一身份信息对应的第一密码信息具体为:加密后的所述第一密码信息;
所述确定单元,具体用于:
当加密后的所述第一密码信息与加密后的所述第二密码信息相同时,确定所述虚拟机认证通过。
10.根据权利要求8所述的装置,其特征在于,所述装置还包括:
存储单元,用于在通过所述接入设备将所述IP地址发送给所述虚拟机之后,在所述预设数据库中,存储所述第一身份信息、所述IP地址和所述虚拟机的媒体访问控制MAC地址的对应关系,并通过所述接入设备向所述虚拟机发送第一端口配置信息,以使所述虚拟机根据所述第一端口配置信息将发送所述认证请求报文的第一端口设置为授权状态;
第四接收单元,用于接收所述接入设备上送的所述虚拟机通过所述第一端口发送的流量;
计算单元,用于若所述流量的源IP地址和源MAC地址的对应关系包含在所述预设数据库中,并且所述流量的目的IP地址和目的MAC地址的对应关系包含在所述预设数据库中或所述流量的目的MAC地址为所述SDN控制器的全局虚拟MAC地址,则根据所述流量的源IP地址、源MAC地址、目的IP地址和目的MAC地址,计算针对所述流量的第一流表,并将所述第一流表下发给所述接入设备,以使所述接入设备根据所述第一流表转发所述流量;否则,丢弃所述流量。
11.根据权利要求10所述的装置,其特征在于,所述预设数据库中还存储有用户设置的访问权限信息;
所述计算单元,具体用于:
当所述第一身份信息对应的访问权限信息为允许下发时,将所述第一流表下发给所述接入设备。
12.根据权利要求10所述的装置,其特征在于,所述装置还包括:
第二发送单元,用于在通过所述接入设备向所述虚拟机发送第一端口配置信息之后,通过所述接入设备,定时向所述虚拟机发送针对所述第一端口的握手报文;
第三发送单元,用于若所述SDN控制器发送预设数量个握手报文,均未接收到所述接入设备上送的所述虚拟机通过所述第一端口发送的握手响应报文,通过所述接入设备向所述虚拟机发送第二端口配置信息,以使所述虚拟机根据所述第二端口配置信息将所述第一端口设置为未授权状态;
删除单元,用于删除所述预设数据库中所述第一身份信息对应的所述IP地址和所述虚拟机的MAC地址。
13.根据权利要求10所述的装置,其特征在于,所述装置还包括:
第五接收单元,用于在通过所述接入设备向所述虚拟机发送第一端口配置信息之后,接收所述接入设备上送的所述虚拟机通过所述第一端口发送的下线报文;
第四发送单元,用于根据所述下线报文,通过所述接入设备向所述虚拟机发送第二端口配置信息和下线成功报文,以使所述虚拟机根据所述第二端口配置信息将所述第一端口设置为未授权状态;
删除单元,用于删除所述预设数据库中所述第一身份信息对应的所述IP地址和所述虚拟机的MAC地址。
14.根据权利要求8-13任一项所述的装置,其特征在于,所述认证请求报文、所述第一身份请求响应报文和所述第二身份请求响应报文的目的MAC地址为所述SDN控制器的全局虚拟MAC地址;
所述装置还包括:
下发单元,用于在接收接入设备上送的虚拟机通过接入设备发送的认证请求报文之前,向所述接入设备下发第二流表,其中,所述第二流表用于将目的MAC地址为所述SDN控制器的全局虚拟MAC地址的所有报文上送至所述SDN控制器。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201611013132.3A CN106506295B (zh) | 2016-11-15 | 2016-11-15 | 一种虚拟机接入网络的方法及装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201611013132.3A CN106506295B (zh) | 2016-11-15 | 2016-11-15 | 一种虚拟机接入网络的方法及装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN106506295A true CN106506295A (zh) | 2017-03-15 |
CN106506295B CN106506295B (zh) | 2021-03-02 |
Family
ID=58324706
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201611013132.3A Active CN106506295B (zh) | 2016-11-15 | 2016-11-15 | 一种虚拟机接入网络的方法及装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN106506295B (zh) |
Cited By (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106961394A (zh) * | 2017-03-31 | 2017-07-18 | 联想(北京)有限公司 | 抑制交换机泛洪风暴的方法和装置 |
CN107395439A (zh) * | 2017-08-24 | 2017-11-24 | 郑州云海信息技术有限公司 | 一种网络配置方法、装置及控制器 |
CN110138819A (zh) * | 2018-02-02 | 2019-08-16 | 思锐科技股份有限公司 | 网络交换机的主机状态检测方法与系统 |
CN111277506A (zh) * | 2020-01-20 | 2020-06-12 | 山东汇贸电子口岸有限公司 | 一种提高SLAAC分配IPv6地址可靠性的方法 |
CN114117373A (zh) * | 2021-11-25 | 2022-03-01 | 云南电网有限责任公司信息中心 | 一种基于密钥的设备认证系统和方法 |
CN115051866A (zh) * | 2022-06-22 | 2022-09-13 | 中银金融科技有限公司 | 一种报文处理方法及装置、存储介质及电子设备 |
CN116389032A (zh) * | 2022-12-29 | 2023-07-04 | 国网甘肃省电力公司庆阳供电公司 | 一种基于sdn架构的电力信息传输链路身份验证方法 |
Citations (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103457878A (zh) * | 2013-09-05 | 2013-12-18 | 电子科技大学 | 一种基于流的网络接入控制方法 |
CN104219337A (zh) * | 2014-09-11 | 2014-12-17 | 杭州华三通信技术有限公司 | 应用于sdn中的ip地址分配方法和设备 |
CN104378455A (zh) * | 2014-11-13 | 2015-02-25 | 杭州华三通信技术有限公司 | Ip地址分配方法以及装置 |
US9038151B1 (en) * | 2012-09-20 | 2015-05-19 | Wiretap Ventures, LLC | Authentication for software defined networks |
CN104702607A (zh) * | 2015-03-12 | 2015-06-10 | 杭州华三通信技术有限公司 | 一种软件定义网络的接入认证方法、装置和系统 |
CN104780147A (zh) * | 2014-01-14 | 2015-07-15 | 杭州华三通信技术有限公司 | 一种byod访问控制的方法及装置 |
CN105119911A (zh) * | 2015-07-28 | 2015-12-02 | 上海斐讯数据通信技术有限公司 | 一种基于sdn流的安全认证方法及系统 |
CN105978810A (zh) * | 2016-06-27 | 2016-09-28 | 上海斐讯数据通信技术有限公司 | 基于sdn的用户认证方法及系统 |
-
2016
- 2016-11-15 CN CN201611013132.3A patent/CN106506295B/zh active Active
Patent Citations (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US9038151B1 (en) * | 2012-09-20 | 2015-05-19 | Wiretap Ventures, LLC | Authentication for software defined networks |
CN103457878A (zh) * | 2013-09-05 | 2013-12-18 | 电子科技大学 | 一种基于流的网络接入控制方法 |
CN104780147A (zh) * | 2014-01-14 | 2015-07-15 | 杭州华三通信技术有限公司 | 一种byod访问控制的方法及装置 |
CN104219337A (zh) * | 2014-09-11 | 2014-12-17 | 杭州华三通信技术有限公司 | 应用于sdn中的ip地址分配方法和设备 |
CN104378455A (zh) * | 2014-11-13 | 2015-02-25 | 杭州华三通信技术有限公司 | Ip地址分配方法以及装置 |
CN104702607A (zh) * | 2015-03-12 | 2015-06-10 | 杭州华三通信技术有限公司 | 一种软件定义网络的接入认证方法、装置和系统 |
CN105119911A (zh) * | 2015-07-28 | 2015-12-02 | 上海斐讯数据通信技术有限公司 | 一种基于sdn流的安全认证方法及系统 |
CN105978810A (zh) * | 2016-06-27 | 2016-09-28 | 上海斐讯数据通信技术有限公司 | 基于sdn的用户认证方法及系统 |
Cited By (11)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106961394A (zh) * | 2017-03-31 | 2017-07-18 | 联想(北京)有限公司 | 抑制交换机泛洪风暴的方法和装置 |
CN107395439A (zh) * | 2017-08-24 | 2017-11-24 | 郑州云海信息技术有限公司 | 一种网络配置方法、装置及控制器 |
CN110138819A (zh) * | 2018-02-02 | 2019-08-16 | 思锐科技股份有限公司 | 网络交换机的主机状态检测方法与系统 |
CN110138819B (zh) * | 2018-02-02 | 2022-01-18 | 思锐科技股份有限公司 | 网络交换机的主机状态检测方法与系统 |
CN111277506A (zh) * | 2020-01-20 | 2020-06-12 | 山东汇贸电子口岸有限公司 | 一种提高SLAAC分配IPv6地址可靠性的方法 |
CN114117373A (zh) * | 2021-11-25 | 2022-03-01 | 云南电网有限责任公司信息中心 | 一种基于密钥的设备认证系统和方法 |
CN114117373B (zh) * | 2021-11-25 | 2022-10-28 | 云南电网有限责任公司信息中心 | 一种基于密钥的设备认证系统和方法 |
CN115051866A (zh) * | 2022-06-22 | 2022-09-13 | 中银金融科技有限公司 | 一种报文处理方法及装置、存储介质及电子设备 |
CN115051866B (zh) * | 2022-06-22 | 2024-01-30 | 中银金融科技有限公司 | 一种报文处理方法及装置、存储介质及电子设备 |
CN116389032A (zh) * | 2022-12-29 | 2023-07-04 | 国网甘肃省电力公司庆阳供电公司 | 一种基于sdn架构的电力信息传输链路身份验证方法 |
CN116389032B (zh) * | 2022-12-29 | 2023-12-08 | 国网甘肃省电力公司庆阳供电公司 | 一种基于sdn架构的电力信息传输链路身份验证方法 |
Also Published As
Publication number | Publication date |
---|---|
CN106506295B (zh) | 2021-03-02 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN106506295A (zh) | 一种虚拟机接入网络的方法及装置 | |
CN101170409B (zh) | 实现设备访问控制的方法、系统、业务设备和认证服务器 | |
CN106888084B (zh) | 一种量子堡垒机系统及其认证方法 | |
US8817985B2 (en) | Encryption key distribution system | |
US6067620A (en) | Stand alone security device for computer networks | |
CN104811444B (zh) | 一种安全的云端控制方法 | |
CN101772024B (zh) | 一种用户身份确定方法及装置和系统 | |
CN106027463B (zh) | 一种数据传输的方法 | |
CN102195957A (zh) | 一种资源共享方法、装置及系统 | |
CN106961451A (zh) | Cdn中的鉴权方法、鉴权系统、边缘节点及鉴权服务器 | |
CN104539420B (zh) | 一种通用的智能硬件的安全密钥管理方法 | |
CN102255918A (zh) | 一种基于DHCP Option 82的用户接入权限控制方法 | |
CN101986598B (zh) | 认证方法、服务器及系统 | |
CN104753953A (zh) | 访问控制系统 | |
CN106027466B (zh) | 一种身份证云认证系统及读卡系统 | |
KR20190030317A (ko) | 블록체인을 이용한 사물인터넷 보안 시스템 및 보안 방법 | |
CN106685919A (zh) | 一种具有被动式动态密钥分发机制的安全云存储方法 | |
CN102546580A (zh) | 一种用户口令的更新方法、系统及装置 | |
CN104361489A (zh) | 一种敏感信息的标识化系统及其方法 | |
CN115001770A (zh) | 一种基于零信任的业务访问控制系统及控制方法 | |
WO2015169003A1 (zh) | 一种账户分配方法和装置 | |
CN115250203A (zh) | 一种控制设备准入的方法、装置及相关产品 | |
CN101873216A (zh) | 主机认证方法、数据包发送方法和接收方法 | |
CN105188057B (zh) | 一种提高网络接入认证安全的方法及系统 | |
CN102185867A (zh) | 一种实现网络安全的方法和一种星形网络 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
CB02 | Change of applicant information | ||
CB02 | Change of applicant information |
Address after: 310052 Binjiang District Changhe Road, Zhejiang, China, No. 466, No. Applicant after: Xinhua three Technology Co., Ltd. Address before: 310053 Hangzhou science and Technology Industrial Park, high tech Industrial Development Zone, Zhejiang Province, No. six and road, No. 310 Applicant before: Huasan Communication Technology Co., Ltd. |
|
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |