CN106506515A - 一种认证方法和装置 - Google Patents
一种认证方法和装置 Download PDFInfo
- Publication number
- CN106506515A CN106506515A CN201611047821.6A CN201611047821A CN106506515A CN 106506515 A CN106506515 A CN 106506515A CN 201611047821 A CN201611047821 A CN 201611047821A CN 106506515 A CN106506515 A CN 106506515A
- Authority
- CN
- China
- Prior art keywords
- address
- virtual machine
- access layer
- message
- layer equipment
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/02—Details
- H04L12/14—Charging, metering or billing arrangements for data wireline or wireless communications
- H04L12/1432—Metric aspects
- H04L12/1439—Metric aspects time-based
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/105—Multiple levels of security
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请提供一种认证方法和装置,该方法包括:在获得虚拟机的IP地址后,向接入层设备发送packet out报文,所述packet out报文携带认证通知报文,以使所述接入层设备将所述认证通知报文发送给所述虚拟机;接收所述接入层设备发送的packet in报文,所述packet in报文携带认证请求报文;从所述认证请求报文中解析出认证信息;通过所述认证信息查询预先配置的用户数据表;若所述用户数据表中包括所述认证信息,则确定所述虚拟机认证成功,并将所述虚拟机的IP地址记录为已认证成功的IP地址。通过本申请的技术方案,可以实现用户的认证,有效控制用户的接入,大大提高了SDN的可靠性。
Description
技术领域
本申请涉及通信技术领域,尤其涉及一种认证方法和装置。
背景技术
SDN(Software Defined Network,软件定义网络)是一种新型网络架构,其核心思想是分离网络设备的控制层面与转发层面,通过SDN控制器对网络流量进行集中和灵活控制,从而为核心网络以及应用的创新提供良好的平台。
如图1所示,为SDN的组网示意图,SDN控制器分别与接入层设备建立连接、与汇聚层设备建立连接、与核心层设备建立连接。接入层设备在接收到来自虚拟机的报文后,若本地存在该报文对应的流表,则利用该流表转发该报文。若本地没有该报文对应的流表,则将该报文发送给SDN控制器,由SDN控制器转发该报文,并生成该报文对应的流表,并将该流表下发给接入层设备。
在传统的SDN中,无法实现用户的认证,从而无法有效控制用户的接入。
发明内容
本申请提供一种认证方法,应用于控制器,所述方法包括:
在获得虚拟机的IP地址后,向接入层设备发送packet out报文,所述packet out报文携带用于使所述虚拟机进行认证的认证通知报文,以使所述接入层设备将所述认证通知报文发送给所述虚拟机;
接收所述接入层设备发送的packet in报文,所述packet in报文是接入层设备收到来自虚拟机的认证请求报文,并将其封装到packet in报文后发送的;
从所述认证请求报文中解析出认证信息;
通过所述认证信息查询预先配置的用户数据表;
若所述用户数据表中包括所述认证信息,则确定所述虚拟机认证成功,并将所述虚拟机的IP地址记录为已认证成功的IP地址。
本申请提供一种认证装置,应用于控制器,所述装置包括:
发送模块,用于在获得虚拟机的IP地址后,向接入层设备发送packet out报文,所述packet out报文携带用于使所述虚拟机进行认证的认证通知报文,以使所述接入层设备将所述认证通知报文发送给所述虚拟机;
接收模块,用于接收所述接入层设备发送的packet in报文,所述packet in报文是所述接入层设备收到来自虚拟机的认证请求报文,并将所述认证请求报文封装到packetin报文后发送的;
解析模块,用于从所述认证请求报文中解析出认证信息;
查询模块,用于通过所述认证信息查询预先配置的用户数据表;
处理模块,用于当所述用户数据表中包括所述认证信息时,则确定所述虚拟机认证成功,并将所述虚拟机的IP地址记录为已认证成功的IP地址。
基于上述技术方案,本申请实施例中,在SDN中,可以由控制器对用户进行认证,从而实现用户的认证,可以有效控制用户的接入,大大提高了SDN的可靠性。而且,控制器可以集中管理数据报文的传输流程,实现用户的流量计费以及访问权限的控制,从而更加有效的控制用户的接入,保证网络的安全性。
附图说明
为了更加清楚地说明本申请实施例或者现有技术中的技术方案,下面将对本申请实施例或者现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请中记载的一些实施例,对于本领域普通技术人员来讲,还可以根据这些附图获得其他的附图。
图1是SDN的组网示意图;
图2是本申请一种实施方式中的认证方法的流程图;
图3是本申请一种实施方式中的控制器的硬件结构图;
图4是本申请一种实施方式中的认证装置的结构图。
具体实施方式
在本申请使用的术语仅仅是出于描述特定实施例的目的,而非限制本申请。本申请和权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式,除非上下文清楚地表示其它含义。还应当理解,本文中使用的术语“和/或”是指包含一个或多个相关联的列出项目的任何或所有可能组合。
应当理解,尽管在本申请可能采用术语第一、第二、第三等来描述各种信息,但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如,在不脱离本申请范围的情况下,第一信息也可以被称为第二信息,类似地,第二信息也可以被称为第一信息。取决于语境,此外,所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。
本申请实施例中提出一种认证方法,该方法可以应用于控制器(如SDN控制器),参见图2所示,为该认证方法的流程图,该方法可以包括以下步骤:
步骤201,在获得虚拟机的IP地址后,向接入层设备发送packet out(数据包出方向)报文,其中,该packet out报文携带用于使虚拟机进行认证的认证通知报文,以使接入层设备将该认证通知报文发送给该虚拟机。
在一个例子中,针对“获得虚拟机的IP地址”的过程,可以包括但不限于如下方式:向接入层设备下发第一控制流表,该第一控制流表用于使接入层设备将来自虚拟机的DHCP(Dynamic Host Configuration Protocol,动态主机配置协议)报文上送给控制器;基于此,控制器在接收到该DHCP报文之后,为该虚拟机分配IP地址(即虚拟机的IP地址),并将该IP地址发送给该虚拟机。或者,向接入层设备下发第二控制流表,该第二控制流表用于使接入层设备将来自虚拟机的ARP(Address Resolution Protocol,地址解析协议)报文上送给控制器;基于此,控制器在接收到该ARP报文之后,可以从该ARP报文中解析出虚拟机的IP地址。或者,直接在控制器上配置虚拟机的IP地址。
在一个例子中,针对“向接入层设备发送packet out报文,以使接入层设备将认证通知报文发送给该虚拟机”的过程,控制器先获得一个认证通知报文,并将该认证通知报文封装在packet out报文中,然后将该packet out报文发送给接入层设备。接入层设备在接收到packet out报文后,从该packet out报文中解析出该认证通知报文,并将该该认证通知报文发送给虚拟机。
步骤202,接收接入层设备发送的packet in(数据包入方向)报文,其中,该packetin报文是接入层设备接收到来自虚拟机的认证请求报文,并将该认证请求报文封装到packet in报文后发送的。
在一个例子中,虚拟机在接收到认证通知报文后,从该认证通知报文中解析出认证页面,并向用户显示该认证页面,由用户在认证页面输入认证信息(如用户名和密码等)。虚拟机利用该认证信息生成认证请求报文,并将该认证请求报文发送给接入层设备。接入层设备在接收到该认证请求报文后,将该认证请求报文封装到packet in报文中,并将该packet in报文发送给控制器。
步骤203,从该认证请求报文中解析出认证信息(如用户名和密码等)。
步骤204,通过该认证信息查询预先配置的用户数据表。
步骤205,若该用户数据表中包括该认证信息,则确定该虚拟机认证成功,并将该虚拟机的IP地址记录为已认证成功的IP地址。
若该用户数据表中不包括该认证信息,则确定该虚拟机认证失败。
在一个例子中,可以预先在控制器上配置用户数据表,该用户数据表用于记录能够访问网络的认证信息。若认证请求报文中携带的认证信息位于用户数据表中,则表明用户输入的认证信息正确,因此虚拟机认证成功,允许该虚拟机访问网络。若认证请求报文中携带的认证信息不位于用户数据表中,则表明用户输入的认证信息不正确,因此虚拟机认证失败,拒绝该虚拟机访问网络。
在一个例子中,控制器在接收到接入层设备上送的数据报文之后,先解析该数据报文的源IP地址。若该源IP地址是已认证成功的IP地址,则控制器生成该数据报文对应的第三控制流表,并将该第三控制流表发送给该接入层设备,以使该接入层设备利用该第三控制流表转发数据报文。若该源IP地址不是已认证成功的IP地址,则控制器直接丢弃该数据报文。
在一个例子中,在控制器生成该数据报文对应的第三控制流表之前,控制器还可以通过该源IP地址查询用户数据表,以得到该源IP地址对应的访问权限。其中,在用户数据表中还记录有IP地址与访问权限的对应关系,因此,控制器在通过源IP地址查询用户数据表之后,就可以得到该源IP地址对应的访问权限。
然后,控制器解析该数据报文的目的IP地址,并判断该目的IP地址是否属于该访问权限对应的IP地址。如果是,则控制器生成该数据报文对应的第三控制流表。如果否,则控制器拒绝生成所述数据报文对应的第三控制流表。
在一个例子中,在控制器将该虚拟机的IP地址记录为已认证成功的IP地址之后,控制器还可以将当前时间记录为该虚拟机的上线时间。然后,控制器在接收到接入层设备发送的携带下线通知报文的packet in报文后,将该packet in报文的接收时间记录为虚拟机的下线时间。控制器可以利用该上线时间和该下线时间对该虚拟机进行计费处理。其中,虚拟机在需要下线时,向接入层设备发送下线通知报文,接入层设备在接收到该下线通知报文后,将该下线通知报文封装到packet in报文中,并将该packet in报文发送给控制器。或者,接入层设备在发现虚拟机已经下线后,生成该虚拟机对应的下线通知报文,将该下线通知报文封装到packet in报文中,并将该packet in报文发送给控制器。
基于上述技术方案,本申请实施例中,在SDN中,可以由控制器对用户进行认证,从而实现用户的认证,可以有效控制用户的接入,大大提高了SDN的可靠性。而且,控制器可以集中管理数据报文的传输流程,实现用户的流量计费以及访问权限的控制,从而更加有效的控制用户的接入,保证网络的安全性。
以下结合图1所示的应用场景,对本申请实施例的上述技术方案进行详细说明。在本应用场景下,如图1所示,控制器分别与接入层设备1、接入层设备2、接入层设备3、汇聚层设备、核心层设备建立连接(如OPENFLOW连接等)。接入层设备1分别与虚拟机1、虚拟机2连接,接入层设备2与虚拟机3连接,接入层设备3与虚拟机4连接。汇聚层设备分别与接入层设备1、接入层设备2、接入层设备3连接。核心层设备与汇聚层设备连接。
在一个例子中,控制器上可以预先配置用户数据表,该用户数据表可以包括但不限于认证信息、IP地址、上线时间、下线时间、是否已认证成功、访问权限的对应关系,如表1所示。当然,表1只是用户数据表的一个示例,实际应用中并不局限于此,还可以包括其它内容,对此用户数据表的内容不做限制。
表1
| 认证信息 | IP地址 | 上线时间 | 下线时间 | 是否已认证成功 | 访问权限 |
| w07523+123456 | 内网资源 | ||||
| f8360+456789 | 内网+外网资源 |
在上述应用场景下,本申请实施例提出的认证方法可以包括以下步骤:
步骤1、控制器向各接入层设备下发第一控制流表,该第一控制流表用于使各接入层设备将来自虚拟机的DHCP报文上送给控制器。
在一个例子中,若接入层设备为物理交换机,则控制器向接入层设备下发的第一控制流表中,匹配选项可以为:协议类型为UDP(User Datagram Protocol,用户数据报协议),源端口为第一标识,目的端口为第二标识;动作选项可以为:将匹配到该匹配选项的报文(即DHCP报文)上送给控制器。若接入层设备为OVS(Open VSwitch,开源虚拟交换机),则控制器向接入层设备下发的第一控制流表中,匹配选项可以为:协议类型为UDP,目的端口为第三标识;动作选项可以为:将匹配到该匹配选项的报文(即DHCP报文)上送给控制器。
其中,第一标识可以为67,第二标识可以为68;或者,第一标识可以为68,第二标识可以为67;或者,第一标识可以为67,第二标识可以为67。此外,第三标识可以为67,或者,第三标识可以为68。当然,上述只是给出了第一标识、第二标识、第三标识的几个示例,在实际应用中并不局限于此,对此不做限制。
步骤2、在虚拟机(后续以虚拟机1为例进行说明)启动后,若虚拟机1还没有IP地址,则发送DHCP报文(如DHCP请求报文),以请求IP地址。
步骤3、接入层设备1在接收到该DHCP报文后,由于该DHCP报文的协议类型为UDP,源端口为第一标识,目的端口为第二标识,因此,接入层设备1将该DHCP报文封装到packet-in消息中,并将该packet-in消息上送给控制器。
步骤4、控制器在接收到packet-in消息后,从packet-in消息中解析出DHCP报文,并为虚拟机1分配IP地址10.10.10.10,并将该IP地址发送给虚拟机1。
在一个例子中,接入层设备1还可以将接收到DHCP报文的端口1封装到packet-in消息中。控制器在接收到packet-in消息后,从packet-in消息中解析出端口1。针对“控制器将该IP地址发送给虚拟机1”的过程,控制器可以生成包括IP地址10.10.10.10的DHCP响应报文,并将DHCP响应报文和端口1封装到packet-out消息中,并将packet-out消息发送给接入层设备1。接入层设备1在接收到packet-out消息后,可以从packet-out消息中解析出端口1和DHCP响应报文,并通过端口1发送该DHCP响应报文,从而将DHCP响应报文发送给虚拟机1,这样,虚拟机1可以从DHCP响应报文中解析出IP地址10.10.10.10。
基于上述步骤1-步骤4,控制器可以获得虚拟机1的IP地址,当然,上述只是给出了控制器获得虚拟机1的IP地址的一个示例。在另一个例子中,若虚拟机已经配置有IP地址,则不需要控制器为虚拟机分配IP地址,基于此,控制器可以向各接入层设备下发第二控制流表。在虚拟机1启动后,若虚拟机1有IP地址,则发送携带该IP地址的免费ARP报文。接入层设备1在接收到免费ARP报文后,若免费ARP报文可以匹配到第二控制流表,就将该免费ARP报文上送给控制器,以使控制器从该免费ARP报文中解析出虚拟机1的IP地址。
步骤5、控制器在获得虚拟机1的IP地址10.10.10.10后,生成用于使虚拟机1进行认证的认证通知报文,该认证通知报文包括基于HTTP(Hyper Text Transfer Protocol,超文本传输协议)的portal认证页面。
步骤6、控制器向接入层设备1发送携带该认证通知报文的packet-out消息,由接入层设备1将该认证通知报文发送给虚拟机1。
在一个例子中,控制器可以将该认证通知报文以及端口1封装到packet-out消息中,并将该packet-out消息发送给接入层设备1。
进一步的,接入层设备1在接收到该packet-out消息后,可以从该packet-out消息中解析出端口1和该认证通知报文,并通过该端口1发送该认证通知报文,从而可以将该认证通知报文发送给虚拟机1。
步骤7、虚拟机1在接收到认证通知报文后,得到portal认证页面,将portal认证页面显示给用户,用户在portal认证页面输入认证信息(如用户名和密码)。
步骤8、虚拟机1在接收到该认证信息之后,生成包括该认证信息的认证请求报文,并将该认证请求报文发送给接入层设备1。接入层设备1将该认证请求报文封装到packet-in消息中,并将该packet-in消息上送给控制器。
步骤9、控制器在接收到该packet-in消息之后,先从该packet-in消息中解析出认证请求报文,然后,从该认证请求报文中解析出认证信息。
步骤10、控制器通过该认证信息查询表1所示的用户数据表。
步骤11、若该用户数据表中包括该认证信息,则控制器确定虚拟机1认证成功,在用户数据表中记录虚拟机1的IP地址,并将虚拟机1的IP地址记录为已认证成功的IP地址,如表2所示,为更新后的用户数据表的示例。
表2
| 认证信息 | IP地址 | 上线时间 | 下线时间 | 是否已认证成功 | 访问权限 |
| w07523+123456 | 10.10.10.10 | 是 | 内网资源 | ||
| f8360+456789 | 内网+外网资源 |
在另一个例子中,若该用户数据表中不包括该认证信息,则控制器确定该虚拟机1认证失败,触发虚拟机1重新进行认证,具体认证过程不再赘述。
步骤12、控制器将当前时间记录为虚拟机1的上线时间,如表3所示。
表3
| 认证信息 | IP地址 | 上线时间 | 下线时间 | 是否已认证成功 | 访问权限 |
| w07523+123456 | 10.10.10.10 | 00:50:43 | 是 | 内网资源 | |
| f8360+456789 | 内网+外网资源 |
上述步骤1-步骤12是针对虚拟机1的认证过程,在虚拟机1认证通过之后,虚拟机1就可以使用IP地址10.10.10.10访问网络,即发送源IP地址为10.10.10.10的数据报文,针对该数据报文的处理流程,还可以包括以下步骤:
步骤13、接入层设备1在接收到虚拟机1发送的数据报文后,由于本地没有该数据报文匹配的控制流表,因此,将该数据报文发送给控制器。
步骤14、控制器在接收到该数据报文之后,先解析该数据报文的源IP地址。若该源IP地址不是已认证成功的IP地址,则控制器直接丢弃该数据报文。若该源IP地址是已认证成功的IP地址,则执行步骤15。参见表3所示,由于该数据报文的源IP地址10.10.10.10是已认证成功的IP地址,因此,执行步骤15。
步骤15、控制器通过该源IP地址10.10.10.10查询表3所示的用户数据表,并得到该源IP地址10.10.10.10对应的访问权限为内网资源。
步骤16、控制器解析数据报文的目的IP地址,并判断目的IP地址是否属于内网资源对应的IP地址。如果否,丢弃该数据报文。如果是,执行步骤17。
步骤17、控制器利用数据报文的目的IP地址发送该数据报文,并生成该数据报文对应的第三控制流表,并将该第三控制流表发送给接入层设备1。其中,针对控制器生成该数据报文对应的第三控制流表的过程,在此不再赘述。
步骤18、接入层设备1再次接收到虚拟机1发送的数据报文后,由于本地有该数据报文匹配的第三控制流表,因此利用该第三控制流表发送该数据报文。
而且,上述步骤13-步骤18就是针对虚拟机1的数据报文传输过程。
在数据报文传输完成后,当虚拟机1下线时,虚拟机1还可以生成下线通知报文,并将该下线通知报文发送给接入层设备1。接入层设备1将下线通知报文封装到packet-in消息中,并将packet-in消息上送给控制器。控制器在接收到packet-in消息之后,从packet-in消息中解析出下线通知报文,获知虚拟机1下线,将packet-in消息的接收时间记录为该虚拟机1的下线时间,如表4所示。之后,控制器可以利用该上线时间和该下线时间对该虚拟机1进行计费处理。
表4
| 认证信息 | IP地址 | 上线时间 | 下线时间 | 是否已认证成功 | 访问权限 |
| w07523+123456 | 10.10.10.10 | 00:50:43 | 02:50:43 | 是 | 内网资源 |
| f8360+456789 | 内网+外网资源 |
在一个例子中,控制器向接入层设备1发送的第三控制流表中,还可以包括字节统计字段。接入层设备1每次接收到匹配该第三控制流表的数据报文后,就将该数据报文的字节数累加到该字节统计字段。这样,控制器就可以从接入层设备1的第三控制流表中,获取到与该第三控制流表匹配的总字节数。
基于上述技术方案,本申请实施例中,在SDN中,可以由控制器对用户进行认证,从而实现用户的认证,可以有效控制用户的接入,大大提高了SDN的可靠性。而且,控制器可以集中管理数据报文的传输流程,实现用户的流量计费以及访问权限的控制,从而更加有效的控制用户的接入,保证网络的安全性。
基于与上述方法同样的申请构思,本申请实施例中还提供了一种认证装置,该认证装置可以应用在控制器上。其中,该认证装置可以通过软件实现,也可以通过硬件或者软硬件结合的方式实现。以软件实现为例,作为一个逻辑意义上的装置,是通过该认证装置所在的控制器的处理器,读取非易失性存储器中对应的计算机程序指令形成的。从硬件层面而言,如图3所示,为本申请提出的认证装置所在的控制器的一种硬件结构图,除了图3所示的处理器、非易失性存储器外,该控制器还可以包括其他硬件,如负责处理报文的转发芯片、网络接口、内存等;从硬件结构上来讲,该控制器还可能是分布式设备,可能包括多个接口卡,以便在硬件层面进行报文处理的扩展。
如图4所示,为本申请提出的认证装置的结构图,所述装置包括:
发送模块11,用于在获得虚拟机的IP地址后,向接入层设备发送packet out报文,所述packet out报文携带用于使所述虚拟机进行认证的认证通知报文,以使所述接入层设备将所述认证通知报文发送给所述虚拟机;
接收模块12,用于接收所述接入层设备发送的packet in报文,所述packet in报文是所述接入层设备收到来自虚拟机的认证请求报文,并将所述认证请求报文封装到packet in报文后发送的;
解析模块13,用于从所述认证请求报文中解析出认证信息;
查询模块14,用于通过所述认证信息查询预先配置的用户数据表;
处理模块15,用于当所述用户数据表中包括所述认证信息时,则确定所述虚拟机认证成功,并将所述虚拟机的IP地址记录为已认证成功的IP地址。
在一个例子中,所述认证装置还包括(在图中未体现):
获得模块,用于获得虚拟机的IP地址;在获得虚拟机的IP地址的过程中,向接入层设备下发第一控制流表,所述第一控制流表用于使所述接入层设备将来自虚拟机的动态主机配置协议DHCP报文上送给控制器;在接收到DHCP报文后,为所述虚拟机分配IP地址,并将该IP地址发送给所述虚拟机;或者,向接入层设备下发第二控制流表,所述第二控制流表用于使所述接入层设备将来自虚拟机的地址解析协议ARP报文上送给所述控制器;在接收到所述ARP报文后,从所述ARP报文中解析出所述虚拟机的IP地址。
在一个例子中,所述解析模块13,还用于在接收到接入层设备上送的数据报文后,解析所述数据报文的源IP地址;
所述发送模块11,还用于当所述源IP地址是已认证成功的IP地址时,则生成所述数据报文对应的第三控制流表,并将所述第三控制流表发送给所述接入层设备,以使所述接入层设备利用所述第三控制流表转发数据报文;当所述源IP地址不是已认证成功的IP地址时,则丢弃所述数据报文。
在一个例子中,所述查询模块14,还用于当所述源IP地址是已认证成功的IP地址时,则通过所述源IP地址查询所述用户数据表,得到所述源IP地址对应的访问权限;所述解析模块13,还用于解析所述数据报文的目的IP地址;所述发送模块11,还用于判断所述目的IP地址是否属于所述访问权限对应的IP地址;如果是,则生成所述数据报文对应的第三控制流表;如果否,则拒绝生成所述数据报文对应的第三控制流表。
在一个例子中,所述处理模块15,还用于在将所述虚拟机的IP地址记录为已认证成功的IP地址之后,将当前时间记录为所述虚拟机的上线时间;
在接收到所述接入层设备发送的携带下线通知报文的packet in报文后,将该packet in报文的接收时间记录为所述虚拟机的下线时间;
利用所述上线时间和所述下线时间对所述虚拟机进行计费处理。
上述实施例阐明的系统、装置、模块或单元,具体可以由计算机芯片或实体实现,或者由具有某种功能的产品来实现。一种典型的实现设备为计算机,计算机的具体形式可以是个人计算机、膝上型计算机、蜂窝电话、相机电话、智能电话、个人数字助理、媒体播放器、导航设备、电子邮件收发设备、游戏控制台、平板计算机、可穿戴设备或者这些设备中的任意几种设备的组合。
为了描述的方便,描述以上装置时以功能分为各种单元分别描述。当然,在实施本申请时可以把各单元的功能在同一个或多个软件和/或硬件中实现。
本领域内的技术人员应明白,本申请的实施例可提供为方法、系统、或计算机程序产品。因此,本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本申请实施例可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本申请是参照根据本申请实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可以由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其它可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其它可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
而且,这些计算机程序指令也可以存储在能引导计算机或其它可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或者多个流程和/或方框图一个方框或者多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其它可编程数据处理设备上,使得在计算机或者其它可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其它可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
本领域技术人员应明白,本申请的实施例可提供为方法、系统或计算机程序产品。因此,本申请可以采用完全硬件实施例、完全软件实施例、或者结合软件和硬件方面的实施例的形式。而且,本申请可以采用在一个或者多个其中包含有计算机可用程序代码的计算机可用存储介质(可以包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
以上所述仅为本申请的实施例而已,并不用于限制本申请。对于本领域技术人员来说,本申请可以有各种更改和变化。凡在本申请的精神和原理之内所作的任何修改、等同替换、改进等,均应包含在本申请的权利要求范围之内。
Claims (10)
1.一种认证方法,应用于控制器,其特征在于,所述方法包括:
在获得虚拟机的IP地址后,向接入层设备发送packet out报文,所述packetout报文携带用于使所述虚拟机进行认证的认证通知报文,以使所述接入层设备将所述认证通知报文发送给所述虚拟机;
接收所述接入层设备发送的packet in报文,所述packet in报文是接入层设备收到来自虚拟机的认证请求报文,并将其封装到packet in报文后发送的;
从所述认证请求报文中解析出认证信息;
通过所述认证信息查询预先配置的用户数据表;
若所述用户数据表中包括所述认证信息,则确定所述虚拟机认证成功,并将所述虚拟机的IP地址记录为已认证成功的IP地址。
2.根据权利要求1所述的方法,其特征在于,
所述获得虚拟机的IP地址的过程,具体包括:
向接入层设备下发第一控制流表,所述第一控制流表用于使所述接入层设备将来自虚拟机的动态主机配置协议DHCP报文上送给控制器;在接收到DHCP报文后,为所述虚拟机分配IP地址,并将该IP地址发送给所述虚拟机;或者,向接入层设备下发第二控制流表,所述第二控制流表用于使所述接入层设备将来自虚拟机的地址解析协议ARP报文上送给所述控制器;在接收到所述ARP报文后,从所述ARP报文中解析出所述虚拟机的IP地址。
3.根据权利要求1所述的方法,其特征在于,所述方法还包括:
在接收到接入层设备上送的数据报文后,解析所述数据报文的源IP地址;
若所述源IP地址是已认证成功的IP地址,则生成所述数据报文对应的第三控制流表,并将所述第三控制流表发送给所述接入层设备,以使所述接入层设备利用所述第三控制流表转发数据报文;
若所述源IP地址不是已认证成功的IP地址,则丢弃所述数据报文。
4.根据权利要求3所述的方法,其特征在于,
所述生成所述数据报文对应的第三控制流表之前,所述方法还包括:
通过所述源IP地址查询用户数据表,得到所述源IP地址对应的访问权限;
解析所述数据报文的目的IP地址;
判断所述目的IP地址是否属于所述访问权限对应的IP地址;
如果是,则执行生成所述数据报文对应的第三控制流表的过程;
如果否,则拒绝生成所述数据报文对应的第三控制流表。
5.根据权利要求1所述的方法,其特征在于,所述将所述虚拟机的IP地址记录为已认证成功的IP地址之后,所述方法还包括:
将当前时间记录为所述虚拟机的上线时间;
在接收到所述接入层设备发送的携带下线通知报文的packet in报文后,将该packetin报文的接收时间记录为所述虚拟机的下线时间;
利用所述上线时间和所述下线时间对所述虚拟机进行计费处理。
6.一种认证装置,应用于控制器,其特征在于,所述装置包括:
发送模块,用于在获得虚拟机的IP地址后,向接入层设备发送packet out报文,所述packet out报文携带用于使所述虚拟机进行认证的认证通知报文,以使所述接入层设备将所述认证通知报文发送给所述虚拟机;
接收模块,用于接收所述接入层设备发送的packet in报文,所述packet in报文是所述接入层设备收到来自虚拟机的认证请求报文,并将所述认证请求报文封装到packet in报文后发送的;
解析模块,用于从所述认证请求报文中解析出认证信息;
查询模块,用于通过所述认证信息查询预先配置的用户数据表;
处理模块,用于当所述用户数据表中包括所述认证信息时,则确定所述虚拟机认证成功,并将所述虚拟机的IP地址记录为已认证成功的IP地址。
7.根据权利要求6所述的装置,其特征在于,还包括:
获得模块,用于获得虚拟机的IP地址;在获得虚拟机的IP地址的过程中,向接入层设备下发第一控制流表,所述第一控制流表用于使所述接入层设备将来自虚拟机的动态主机配置协议DHCP报文上送给控制器;在接收到DHCP报文后,为所述虚拟机分配IP地址,并将该IP地址发送给所述虚拟机;或者,向接入层设备下发第二控制流表,所述第二控制流表用于使所述接入层设备将来自虚拟机的地址解析协议ARP报文上送给所述控制器;在接收到所述ARP报文后,从所述ARP报文中解析出所述虚拟机的IP地址。
8.根据权利要求6所述的装置,其特征在于,所述解析模块,还用于在接收到接入层设备上送的数据报文后,解析所述数据报文的源IP地址;
所述发送模块,还用于当所述源IP地址是已认证成功的IP地址时,则生成所述数据报文对应的第三控制流表,并将所述第三控制流表发送给所述接入层设备,以使所述接入层设备利用所述第三控制流表转发数据报文;
当所述源IP地址不是已认证成功的IP地址时,则丢弃所述数据报文。
9.根据权利要求8所述的装置,其特征在于,
所述查询模块,还用于当所述源IP地址是已认证成功的IP地址时,则通过所述源IP地址查询所述用户数据表,得到所述源IP地址对应的访问权限;
所述解析模块,还用于解析所述数据报文的目的IP地址;
所述发送模块,还用于判断所述目的IP地址是否属于所述访问权限对应的IP地址;如果是,则生成所述数据报文对应的第三控制流表;如果否,则拒绝生成所述数据报文对应的第三控制流表。
10.根据权利要求6所述的装置,其特征在于,
所述处理模块,还用于在将所述虚拟机的IP地址记录为已认证成功的IP地址之后,将当前时间记录为所述虚拟机的上线时间;
在接收到所述接入层设备发送的携带下线通知报文的packet in报文后,将该packetin报文的接收时间记录为所述虚拟机的下线时间;
利用所述上线时间和所述下线时间对所述虚拟机进行计费处理。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201611047821.6A CN106506515B (zh) | 2016-11-22 | 2016-11-22 | 一种认证方法和装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201611047821.6A CN106506515B (zh) | 2016-11-22 | 2016-11-22 | 一种认证方法和装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN106506515A true CN106506515A (zh) | 2017-03-15 |
| CN106506515B CN106506515B (zh) | 2020-01-03 |
Family
ID=58328594
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201611047821.6A Active CN106506515B (zh) | 2016-11-22 | 2016-11-22 | 一种认证方法和装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN106506515B (zh) |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109067937A (zh) * | 2018-09-30 | 2018-12-21 | 锐捷网络股份有限公司 | 终端准入控制方法、装置、设备、系统及存储介质 |
| WO2019113728A1 (zh) * | 2017-12-11 | 2019-06-20 | 华为技术有限公司 | 一种网络及网络管理方法 |
| CN111182085A (zh) * | 2018-11-12 | 2020-05-19 | 中移(杭州)信息技术有限公司 | 基于多级流表控制报文转发方法、系统、装置及存储介质 |
| CN112637154A (zh) * | 2020-12-09 | 2021-04-09 | 迈普通信技术股份有限公司 | 设备认证方法、装置、电子设备及存储介质 |
| CN112995179A (zh) * | 2021-02-25 | 2021-06-18 | 杭州迪普信息技术有限公司 | 一种应答报文处理方法及设备 |
| CN115378636A (zh) * | 2022-07-11 | 2022-11-22 | 中国电子科技集团公司第三十研究所 | 一种sdn架构下虚拟网络接入鉴权系统 |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2014097003A1 (en) * | 2012-12-17 | 2014-06-26 | Telefonaktiebolaget L M Ericsson (Publ) | Extending the reach and effectiveness of header compression in access networks using sdn |
| CN104104744A (zh) * | 2014-07-09 | 2014-10-15 | 杭州华三通信技术有限公司 | 一种ip地址分配的方法和装置 |
| CN104283983A (zh) * | 2014-10-27 | 2015-01-14 | 杭州华三通信技术有限公司 | 一种软件定义网络中虚拟机ip地址分配方法及装置 |
| CN104767696A (zh) * | 2014-01-07 | 2015-07-08 | 上海贝尔股份有限公司 | Sdn化的接入网中控制用户接入的方法及装置 |
| EP2919423A1 (en) * | 2014-03-12 | 2015-09-16 | Xieon Networks S.à.r.l. | A network element of a software-defined network |
| CN105119911A (zh) * | 2015-07-28 | 2015-12-02 | 上海斐讯数据通信技术有限公司 | 一种基于sdn流的安全认证方法及系统 |
| CN105915550A (zh) * | 2015-11-25 | 2016-08-31 | 北京邮电大学 | 一种基于SDN的Portal/Radius认证方法 |
-
2016
- 2016-11-22 CN CN201611047821.6A patent/CN106506515B/zh active Active
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2014097003A1 (en) * | 2012-12-17 | 2014-06-26 | Telefonaktiebolaget L M Ericsson (Publ) | Extending the reach and effectiveness of header compression in access networks using sdn |
| CN104767696A (zh) * | 2014-01-07 | 2015-07-08 | 上海贝尔股份有限公司 | Sdn化的接入网中控制用户接入的方法及装置 |
| EP2919423A1 (en) * | 2014-03-12 | 2015-09-16 | Xieon Networks S.à.r.l. | A network element of a software-defined network |
| CN104104744A (zh) * | 2014-07-09 | 2014-10-15 | 杭州华三通信技术有限公司 | 一种ip地址分配的方法和装置 |
| CN104283983A (zh) * | 2014-10-27 | 2015-01-14 | 杭州华三通信技术有限公司 | 一种软件定义网络中虚拟机ip地址分配方法及装置 |
| CN105119911A (zh) * | 2015-07-28 | 2015-12-02 | 上海斐讯数据通信技术有限公司 | 一种基于sdn流的安全认证方法及系统 |
| CN105915550A (zh) * | 2015-11-25 | 2016-08-31 | 北京邮电大学 | 一种基于SDN的Portal/Radius认证方法 |
Cited By (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2019113728A1 (zh) * | 2017-12-11 | 2019-06-20 | 华为技术有限公司 | 一种网络及网络管理方法 |
| CN110313155A (zh) * | 2017-12-11 | 2019-10-08 | 华为技术有限公司 | 一种网络及网络管理方法 |
| CN110313155B (zh) * | 2017-12-11 | 2020-10-09 | 华为技术有限公司 | 网络、网络管理方法以及该网络的控制器和交换机 |
| US11223597B2 (en) | 2017-12-11 | 2022-01-11 | Huawei Technologies Co., Ltd. | Network and network management method |
| CN109067937A (zh) * | 2018-09-30 | 2018-12-21 | 锐捷网络股份有限公司 | 终端准入控制方法、装置、设备、系统及存储介质 |
| CN109067937B (zh) * | 2018-09-30 | 2021-08-17 | 锐捷网络股份有限公司 | 终端准入控制方法、装置、设备、系统及存储介质 |
| CN111182085A (zh) * | 2018-11-12 | 2020-05-19 | 中移(杭州)信息技术有限公司 | 基于多级流表控制报文转发方法、系统、装置及存储介质 |
| CN111182085B (zh) * | 2018-11-12 | 2022-06-28 | 中移(杭州)信息技术有限公司 | 基于多级流表控制报文转发方法、系统、装置及存储介质 |
| CN112637154A (zh) * | 2020-12-09 | 2021-04-09 | 迈普通信技术股份有限公司 | 设备认证方法、装置、电子设备及存储介质 |
| CN112637154B (zh) * | 2020-12-09 | 2022-06-21 | 迈普通信技术股份有限公司 | 设备认证方法、装置、电子设备及存储介质 |
| CN112995179A (zh) * | 2021-02-25 | 2021-06-18 | 杭州迪普信息技术有限公司 | 一种应答报文处理方法及设备 |
| CN115378636A (zh) * | 2022-07-11 | 2022-11-22 | 中国电子科技集团公司第三十研究所 | 一种sdn架构下虚拟网络接入鉴权系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN106506515B (zh) | 2020-01-03 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN106506515A (zh) | 一种认证方法和装置 | |
| CN108881232B (zh) | 业务系统的登录访问方法、装置、存储介质和处理器 | |
| CN104967585B (zh) | 一种远程调试移动终端的方法和装置 | |
| EP3116177A1 (en) | Service implementation method for nfv system, and communications unit | |
| CN106878181A (zh) | 一种报文传输方法和装置 | |
| CN104967590B (zh) | 一种传输通信消息的方法、装置和系统 | |
| CN107547242B (zh) | Vm配置信息的获取方法及装置 | |
| CN106878084A (zh) | 一种权限控制方法和装置 | |
| CN105634956A (zh) | 一种报文转发方法、装置和系统 | |
| CN106878194A (zh) | 一种报文处理方法和装置 | |
| CN105472023A (zh) | 一种远程直接存储器存取的方法及装置 | |
| CN105744555B (zh) | 一种终端维护方法、维护装置以及网管服务器 | |
| CN108011754A (zh) | 转控分离系统、备份方法和装置 | |
| CN105847108A (zh) | 容器间的通信方法及装置 | |
| CN106921578A (zh) | 一种转发表项的生成方法和装置 | |
| CN109981360A (zh) | 物联网设备站点开通方法、装置、系统及存储介质 | |
| CN108667732A (zh) | 一种报文转发方法及装置 | |
| CN107547346A (zh) | 一种报文传输方法和装置 | |
| CN111654559A (zh) | 一种容器数据传输方法及装置 | |
| CN105072212B (zh) | 对码方法与对码系统 | |
| CN113038192B (zh) | 视频处理方法、装置、电子设备和存储介质 | |
| CN106878030A (zh) | 一种计费方法和装置 | |
| CN103650457B (zh) | 一种共享接入的检测方法、设备和终端设备 | |
| CN110585727B (zh) | 一种资源获取方法及装置 | |
| CN109672594A (zh) | IPoE报文处理方法、装置及宽带远程接入服务器 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| CB02 | Change of applicant information |
Address after: 310052 Binjiang District Changhe Road, Zhejiang, China, No. 466, No. Applicant after: Xinhua three Technology Co., Ltd. Address before: 310052 Binjiang District Changhe Road, Zhejiang, China, No. 466, No. Applicant before: Huasan Communication Technology Co., Ltd. |
|
| CB02 | Change of applicant information | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |