CN107835099B - 一种信息同步方法及装置 - Google Patents
一种信息同步方法及装置 Download PDFInfo
- Publication number
- CN107835099B CN107835099B CN201711226607.1A CN201711226607A CN107835099B CN 107835099 B CN107835099 B CN 107835099B CN 201711226607 A CN201711226607 A CN 201711226607A CN 107835099 B CN107835099 B CN 107835099B
- Authority
- CN
- China
- Prior art keywords
- group
- online information
- information
- server
- forwarding
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/08—Configuration management of networks or network elements
- H04L41/0893—Assignment of logical groups to network elements
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0209—Architectural arrangements, e.g. perimeter networks or demilitarized zones
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0815—Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0892—Network architectures or network communication protocols for network security for authentication of entities by using authentication-authorization-accounting [AAA] servers or protocols
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Business, Economics & Management (AREA)
- Accounting & Taxation (AREA)
- Information Transfer Between Computers (AREA)
Abstract
本申请实施例提供了一种信息同步方法及装置,应用于网络中的AD服务器,网络中还包括多个FW设备,这多个FW设备被划分为多组;方法包括:接收用户设备发送的认证报文,认证报文包括认证信息;根据认证信息,对用户设备进行认证;当对用户设备认证通过后,获取用户设备的上线信息;针对每一组FW设备,向该组中的每个FW设备同步上线信息,以使该组中的每个FW设备获取上线信息。应用本申请实施例,提高了上线信息的同步效率。
Description
技术领域
本申请涉及通信技术领域,特别是涉及一种信息同步方法及装置。
背景技术
目前,为了实现活动目录(英文:Active Directory,简称:AD)服务器与防火墙(英文:Fire Wall,简称:FW)设备的联动,AD服务器在对用户设备认证通过后将获取的该用户设备的上线信息发送给FW设备,以使得用户设备上线成功后,可直接通过FW设备访问网络资源,FW设备不再对用户设备进行认证。
具体的,用户设备将用户名及密码等认证信息携带在认证报文中发送给AD服务器进行认证。AD服务器对用户设备认证通过后,用户设备上线成功。AD服务器获取该用户设备的上线信息,并且在对用户设备认证通过后,将获取的该用户设备的上线信息发送给FW设备。这里,上线信息包括用户名、用户设备的网络协议(英文:Internet Protocol,简称:IP)地址、虚拟专用网(英文:Virtual Private Network,简称:VPN)标识等。这样,用户设备上线成功的同时,可以直接通过FW设备访问网络资源,而不必由FW设备再对其认证一次,实现了AD服务器与FW设备的联动。
实际应用中,若网络中存在多台FW设备,为了保证用户设备可快速及时地访问网络资源,AD服务器对用户设备认证通过后,需要将上线信息逐一发送给各个FW设备。若网络中存在FW设备的台数较少,AD服务器可以及时地将上线信息逐一同步给各个FW设备;但,若网络中存在FW设备的台数较多,AD服务器将上线信息逐一同步给各个FW设备,将消耗过多时间,同步效率较低。
发明内容
本申请的目的在于提供一种信息同步方法及装置,以提高上线信息的同步效率。具体技术方案如下:
在第一方面,本申请公开了一种信息同步方法,应用于网络中的AD服务器,该网络中还包括多个FW设备,所述多个FW设备被划分为多组;所述方法包括:
接收第一用户设备发送的认证报文,所述认证报文包括认证信息;
根据所述认证信息,对所述第一用户设备进行认证;
当对所述第一用户设备认证通过后,获取所述第一用户设备的第一上线信息;
针对每一组FW设备,向该组中的每个FW设备同步所述第一上线信息,以使该组中的每个FW设备获取所述第一上线信息。
结合第一方面,在第一种可能的实现方式中,所述针对每一组FW设备,向该组中的每个FW设备同步所述上线信息,具体包括:
对所述上线信息进行安全校验;
当对所述上线信息安全校验通过后,针对每一组FW设备,向该组中的每个FW设备同步所述上线信息。
结合第一方面,在第二种可能的实现方式中,所述接收用户设备发送的认证报文之前,所述方法还包括:
为每一组FW设备开启对应的转发线程;
所述针对每一组FW设备,向该组中的每个FW设备同步所述上线信息,具体包括:
针对每一组FW设备,通过与该组对应的转发线程向该组中的每个FW设备同步所述上线信息。
结合第一方面,在第三种可能的实现方式中,所述针对每一组FW设备,向该组中的每个FW设备同步所述上线信息,具体包括:
针对每一组FW设备,确定与该组FW设备对应的转发服务器;
针对每一组FW设备,向与该组对应的转发服务器发送所述上线信息,以使该组对应的转发服务器通过该转发服务器中与该组对应的转发线程向该组中的每个FW设备同步所述上线信息。
结合第一方面的第二种、第三种可能的实现方式,在第四种可能的实现方式中,所述方法还包括:
接收第一FW设备发送的信息请求报文,所述信息请求报文包括所述第一FW设备的标识;
根据所述第一FW设备的标识,确定所述第一FW设备归属的FW设备组;
通过所述第一FW设备归属的FW设备组对应的转发线程获取在线用户设备的上线信息;
将获取的上线信息发送给所述第一FW设备。
在第二方面,本申请公开了一种信息同步装置,应用于网络中的AD服务器,该网络中还包括多个FW设备,所述多个FW设备被划分为多组;所述装置包括:
接收单元,用于接收用户设备发送的认证报文,所述认证报文包括认证信息;
认证单元,用于根据所述认证信息,对所述用户设备进行认证;
获取单元,用于当对所述用户设备认证通过后,获取所述用户设备的上线信息;
发送单元,用于针对每一组FW设备,向该组中的每个FW设备同步所述上线信息,以使该组中的每个FW设备获取所述上线信息。
结合第二方面,在第一种可能的实现方式中,所述发送单元,具体用于:
对所述上线信息进行安全校验;
当对所述第一上线信息安全校验通过后,针对每一组FW设备,向该组中的每个FW设备同步所述上线信息。
结合第二方面,在第二种可能的实现方式中,所述装置还包括:
开启单元,用于为每一组FW设备开启对应的转发线程;
所述发送单元,具体用于:
针对每一组FW设备,通过与该组对应的转发线程向该组中的每个FW设备同步所述上线信息。
结合第二方面,在第三种可能的实现方式中,所述发送单元,具体用于:
针对每一组FW设备,确定与该组FW设备对应的转发服务器;
针对每一组FW设备,向与该组对应的转发服务器发送所述上线信息,以使该组对应的转发服务器通过该转发服务器中与该组对应的转发线程向该组中的每个FW设备同步所述上线信息。
结合第二方面的第二种、第三种可能的实现方式,在第四种可能的实现方式中,所述装置还包括:确定单元;
所述接收单元,还用于接收第一FW设备发送的信息请求报文,所述信息请求报文包括所述第一FW设备的标识;
所述确定单元,用于根据所述第一FW设备的标识,确定所述第一FW设备归属的FW设备组;
所述获取单元,还用于通过所述第一FW设备归属的FW设备组对应的转发线程获取在线用户设备的上线信息;
所述发送单元,还用于将获取的上线信息发送给所述第一FW设备。
三方面,本申请实施例公开了一种AD服务器,包括处理器和机器可读存储介质,所述机器可读存储介质存储有能够被所述处理器执行的机器可执行指令,所述处理器被所述机器可执行指令促使实现上述信息同步方法。
四方面,本申请实施例公开了一种机器可读存储介质,存储有机器可执行指令,在被处理器调用和执行时,所述机器可执行指令促使所述处理器实现上述信息同步方法。
本申请提供的信息同步方法与装置中,AD服务器将网络中的FW设备划分为多组。AD服务器在同步上线信息时,分别向每组中的FW设备同步用户设备的上线信息,即AD服务器对多组中的FW设备同时进行上线信息的同步。由于一个组中FW设备的数量远远小于网络中FW设备的数量,这使得对每组FW设备同步上线信息所消耗的时间远远小于AD服务器将上线信息逐一同步给各个FW设备所消耗的时间,有效提高了上线信息的同步效率。当然,实施本申请的任一产品或方法必不一定需要同时达到以上所述的所有优点。
附图说明
为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本申请实施例提供的信息同步方法的一种流程示意图;
图2为本申请实施例提供的第一种网络示意图;
图3为本申请实施例提供的第二种网络示意图;
图4为本申请实施例提供的同步上线信息的第一种信令图;
图5为本申请实施例提供的同步上线信息的第二种信令图;
图6为本申请实施例提供的信息同步装置的一种结构示意图;
图7为本申请实施例提供的AD服务器的一种结构示意图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
在现有应用中,AD服务器将上线信息逐一同步给该AD服务器连接的各个FW设备,将消耗过多时间,同步效率较低。为了提高上线信息的同步效率,本申请实施例中,将网络中存在的FW设备划分为多个组,一组中的FW设备的数量远远小于网络中存在的FW设备的数量。AD服务器分别向每组中的FW设备同步用户设备的上线信息,即多组同时进行上线信息的同步,有效减少了上线信息同步所消耗的时间,有效提高了上线信息的同步效率。
在本申请的一个实施例中,在对FW设备进行分组时,用户可以预先在AD服务器上可以设置最大的分组数,并为每一组编号,最小组号为1,以便于管理FW设备。当有FW设备加入网络时,AD服务器可以从组1循环的添加,即选取最小组号的原则对新加入网络的FW设备进行分组。
例如,设置最大的分组数为10,若FW设备a1加入网络,则将FW设备a1加入组1;若FW设备a2加入网络,则将FW设备a2加入组2;若FW设备a3加入网络,则将FW设备a3加入组3;以此类推,将加入网络的FW设备加入不同的组。
若将FW设备a10加入了组10,当FW设备a11加入网络时,则重新从组1开始,将FW设备a11加入组1。
为了便于管理FW设备的组,本申请实施例还可以同时删除一个或多个FW设备组中的FW设备,更改FW设备组中FW设备的信息,查询FW设备组中FW设备的信息等。
下面通过具体实施例,对本申请实施例提供的基于多组FW设备的信息同步方法进行详细说明。
参考图1,图1为本申请实施例提供的信息同步方法的一种流程示意图,应用于AD服务器,网络中还包括多个FW设备,这多个FW设备被划分为多组。上述应用于AD服务器的信息同步方法包括:
步骤101:接收用户设备发送的认证报文。
这里,认证报文可以携带用户名及密码等认证信息。当用户设备需要上线时,向AD服务器发送携带用户名及密码等认证信息的认证报文。
步骤102:根据认证报文中携带的认证信息,对用户设备进行认证。
AD服务器接收到认证报文后,对用户设备进行认证。具体可以为,AD服务器将认证报文发送给认证服务器,例如验证授权计费(英文:Authentication AuthorizationAccounting,简称:AAA,或3A)服务器。
认证服务器根据认证报文携带的认证信息,对用户设备进行认证,并在认证后,将认证结果携带在认证应答报文中发送给AD服务器。若认证应答报文携带的认证结果为认证成功,则AD服务器可以确定对用户设备认证通过;若认证应答报文携带的认证结果为认证失败,则AD服务器可以确定对用户设备认证未通过。
上述认证服务器可以独立的位于一台物理机上。认证服务器也可以作为一个认证模块,与其他功能模块集成在一台物理机上。例如,认证服务器与AD服务器位于一台物理机上。
步骤103:当对用户设备认证通过后,获取用户设备的上线信息。
其中,上线信息可以包括:用户设备的用户名、IP地址、媒体访问控制(英文:MediaAccess Control,简称:MAC)地址、VPN标识等信息。若确定对用户设备认证通过,AD服务器在获取到用户设备的上线信息后,确定该用户设备上线成功,此时,该用户设备可以称为在线用户设备。在线用户设备通过AD服务器登录视窗操作(Windows)系统。
在本申请的一个实施例中,当确定对用户设备认证通过后,AD服务器可以从用户设备中获取到上线信息;若确定对用户设备认证未通过,则AD服务器丢弃认证应答报文,不从用户设备中获取到上线信息,以节约资源。
在本申请的另一个实施例中,AD服务器可以预先从用户设备中获取到上线信息,并将获取的上线信息存储在本地。当确定对用户设备认证通过后,AD服务器从本地获取到上线信息,以提高AD服务器获取到认证通过的用户设备的上线信息的速度。
在本申请的一个实施例中,AD服务器中可以预先配置一个采集上线信息的脚本,例如上报登录(ReportLogin)脚本,并且配置安装一个接收并处理上线信息的AD线程,例如AD单点登录(英文:AD Single Sign On,简称:ADSSO)线程。当用户设备需要上线时,用户设备可以从AD服务器中下载ReportLogin脚本,通过ReportLogin脚本采集本地的上线信息,并发送给AD服务器。AD服务器中的ADSSO线程接收上线信息。这样,AD服务器就从用户设备中获取到上线信息。
为了节约用户设备的存储空间,当用户设备上线成功后,用户设备可以将下载至本地的ReportLogin脚本删除。
步骤104:针对每一组FW设备,向该组中的每个FW设备同步上线信息。
AD服务器获取到上线信息后,根据对FW设备的分组情况,向每组中的每个FW设备同步上线信息。
这样,每组中的每个FW设备就都可以获取到上线信息。各个FW设备获取到上线信息后,用户设备就可以通过各个FW设备直接访问网络资源,不必由FW设备再对其认证一次,实现了AD服务器与FW设备的联动。
这里,AD服务器向每组中的每个FW设备同步上线信息,多组同时进行上线信息的同步。由于一个组中的FW设备的数量远远小于网络中的FW设备的数量,这使得对每组FW设备同步用户设备的上线信息所消耗的时间远远小于AD服务器将上线信息逐一同步给各个FW设备所消耗的时间,有效减少了上线信息同步所消耗的时间,提高了上线信息的同步效率。
可选地,为了保证用户设备的上线,AD服务器在获取到上线信息后,还对上线信息进行安全校验。若对上线信息的安全校验通过,AD服务器使用户设备上线,之后,AD服务器再针对每一组FW设备,向该组中的每个FW设备同步上线信息。若对上线信息的安全校验未通过,则AD服务器禁止使用户设备上线。
本申请实施例中,AD服务器可以采用多种方式对上线信息进行安全校验。
例如,AD服务器中可以预先存储大量正确的上线信息。在获取到用户设备的上线信息后,AD服务器比较获取的上线信息与预先存储的上线信息。若存储了与获取的上线信息匹配的上线信息且是在预设的时间范围内获取的上线信息,则AD服务器确定获取的上线信息的安全校验通过;若未存储与获取的上线信息匹配的上线信息,则AD服务器确定对获取的上线信息的安全校验未通过。
在一个例子中,AD服务器中预先存储的上线信息对应的用户设备请求ReportLogin脚本的时间与AD服务器获取上线信息的时间的时间差在预设时间范围内,且获取的上线信息与预先存储的上线信息相同,则AD服务器确定该预先存储的上线信息与获取的上线信息匹配,AD服务器确定对获取的上线信息的安全校验通过;若未存储与获取的上线信息匹配的上线信息,则AD服务器确定对获取的上线信息的安全校验未通过。
再例如,AD服务器中可以预先设置上线信息格式,在获取到上线信息后,AD服务器检查上线信息是否符合预设的上线信息格式。若符合,则AD服务器确定对上线信息安全校验通过;若不符合,则AD服务器确定对上线信息安全校验未通过。
可选地,AD服务器还可通过已开启的线程实现上述执行的接收、同步动作。例如,AD服务器通过接收线程接收用户设备、FW设备发送的信息;AD服务器通过转发线程向FW设备同步上线信息。可以理解的是,这两种线程均属于AD线程。其中作为示例而非限定,接收线程位于AD服务器上,转发线程可位于AD服务器上,也可位于其他转发服务器上。
在一个例子中,为了节约成本,转发线程可位于AD服务器上。如图2所示的第一种网络示意图,该网络中包括:用户设备10、AD服务器20和FW设备31-34。其中,AD服务器20中包括转发线程1和转发线程2,转发线程1对应FW设备31和FW设备32,转发线程2对应FW设备33和FW设备34。
为了保证每一组FW设备独立的同步用户数据,AD服务器在接收用户设备发送的认证报文之前,为每一组FW设备开启对应的转发线程。当AD服务器通过接收线程获取到上线信息后,对于每一组FW设备,AD服务器通过该组对应的转发线程将获取的上线信息发送给该组中的每一FW设备。
以图2所示网络为例进行说明,AD服务器20中开启了转发线程1和转发线程2。用户设备10将上线信息通过ReportLogin脚本发送给AD服务器20。AD服务器20通过接收线程接收上线信息。若AD服务器20对用户设备10认证通过,且对上线信息安全校验通过,则AD服务器20通过转发线程1将上线信息逐一发送给FW设备31和FW设备32,通过转发线程2将上线信息逐一发送给FW设备33和FW设备34。
在另一个例子中,为了减轻AD服务器的负担,进一步提高上线信息的同步效率,每一转发线程可位于一台独立的转发服务器上。如图3所示的第二种网络示意图,该网络中包括:用户设备10、AD服务器20、FW设备31-34和转发服务器41-42。其中,转发服务器41中包括转发线程1,转发服务器42中包括转发线程2,转发线程1对应FW设备31和FW设备32,转发线程2对应FW设备33和FW设备34,即,转发服务器41对应FW设备31和FW设备32,转发服务器42对应FW设备33和FW设备34。
为了保证每一转发服务器独立的同步用户数据,转发服务器在接收到AD服务器发送的上线信息前,该转发服务器为对应的一组FW设备开启对应转发线程。当AD服务器通过接收线程获取到上线信息后,对于每一组FW设备,AD服务器通过接收线程将获取的上线信息发送给该组对应的转发服务器。对于每一组FW设备,该组对应的转发服务器通过该组对应的转发线程将获取的上线信息发送给该组中的每一FW设备,即该组对应的转发服务器通过该转发服务器内的转发线程向该组中的每个FW设备同步获取的上线信息。
以图3所示网络为例进行说明,转发服务器41中开启了转发线程1,转发服务器42中开启了转发线程2。用户设备10将上线信息通过ReportLogin脚本发送给AD服务器20。AD服务器20通过接收线程接收上线信息。若AD服务器20对用户设备10认证通过,且对上线信息安全校验通过,则AD服务器20通过接收线程将上线信息发送给转发服务器41和转发服务器42。转发服务器41通过转发线程1将上线信息逐一发送给FW设备31和FW设备32。转发服务器42通过转发线程2将上线信息逐一发送给FW设备33和FW设备34。
下面通过图4对同步上线信息的过程进行说明。图4为本申请实施例提供的同步上线信息的第一种信令图。在图4中以接收线程、转发线程同时配置在AD服务器中为例进行说明。可以理解的是,转发线程还可位于转发服务器上,通过转发服务器将上线信息同步给FW设备的流程与图4所示的的信令图相似,区别在于转发线程位于转发服务器上。
在图4中,收集上线信息的脚本可以为ReportLogin脚本;接收线程可以为超文本传输协议上报(HttpReport)线程;转发线程可以为登录处理(LoginProc)线程。
01、用户设备通过ReportLogin脚本获取上线信息。
02、用户设备将获取的上线信息发送给AD服务器。
03、AD服务器中的HttpReport线程接收上线信息,并对接收的上线信息进行安全校验。
04、HttpRepor线程在对上线信息安全校验通过且对用户设备认证通过后,HttpRepor线程将上线信息交给AD服务器中各个LoginProc线程。
05、各个LoginProc线程分别对上线信息进行重新拆组包,并将拆组包后的上线信息逐一发送给各个LoginProc线程对应的FW设备。
可选地,在本申请实施例中,当FW设备已丢失用户设备的上线信息时,AD服务器根据FW发送的信息请求报文,通过对应的转发线程向FW设备下发在线用户设备的上线信息。
具体地,以第一FW设备为例进行说明。当第一FW设备出现故障或重启时,第一FW设备丢失已存储的用户设备的上线信息。在故障消除或重启后,为了获取到在线用户设备的上线信息,第一FW设备向AD服务器发送信息请求报文。其中,信息请求报文中携带有第一FW设备的标识。
AD服务器接收到信息请求报文后,根据第一FW设备的标识,确定第一FW设备归属的FW设备组,通过第一FW设备归属的FW设备组对应的转发线程获取在线用户设备的上线信息,将获取的上线信息发送给第一FW设备。
这样,第一FW设备通过其归属的FW设备组对应的转发线程获取到上线信息。第一FW设备在获取上线信息的过程中,不影响其他FW设备组中的FW设备通过对应的转发线程同步上线信息,在保证了用户设备访问网络资源的同时,减小了其他FW设备组同步上线信息的影响。
在一个例子中,若转发线程位于AD服务器上,仍以图2为例进行说明。若FW设备31故障后重启,则在重启后,FW设备31向AD服务器20发送信息请求报文1,信息请求报文1中携带有FW设备31的标识a。AD服务器20通过接收线程接收到信息请求报文1后,根据标识a确定FW设备31属于转发线程1对应的FW设备组。AD服务器通过转发线程1获取到在线用户设备的上线信息,并通过转发线程1将获取的上线信息发送给FW设备31。
在另一个例子中,若转发线程位于转发服务器上,仍以图3为例进行说明。若FW设备31故障后重启,则在重启后,FW设备31向AD服务器20发送信息请求报文2,信息请求报文2中携带有FW设备31的标识a。AD服务器20通过接收线程接收到信息请求报文2后,根据标识a确定FW设备31属于转发线程1对应的FW设备组。AD服务器将信息请求报文2发送给开启转发线程1的转发服务器41。转发服务器41通过转发线程1获取到在线用户设备的上线信息,并将获取的上线信息发送给FW设备31。
上述例子中,为了便于获取到在线用户设备的上线信息,转发线程可存储对用户设备认证通过后获取的用户设备的该上线信息。
下面通过图5对同步上线信息的过程进行说明。图5为本申请实施例提供的同步上线信息的第二种信令图。在图5中以接收线程、转发现在同时配置在AD服务器中为例进行说明。可以理解的是,转发线程还可位于转发服务器上,通过转发服务器将上线信息同步给FW设备的流程与图5所示的的信令图相似,区别在于转发线程位于转发服务器上。
在图5中,接收线程可以为HttpReport线程;转发线程可以为LoginProc线程。
11、FW设备向AD服务器发送信息请求报文。
12、AD服务器中的HttpReport线程接收信息请求报文,并对信息请求报文进行合法信息校验。
13、AD服务器中HttpReport线程对信息请求报文的合法信息校验通过后,HttpReport线程根据信息请求报文中携带的FW设备的标识,确定FW设备归属的FW设备组以及FW设备组对应的LoginProc线程,即HttpReport线程确定FW设备对应的LoginProc线程。
14、AD服务器中FW设备对应的LoginProc线程获取在线用户设备的上线信息。
15、AD服务器中FW设备对应的LoginProc线程将获取的上线信息发送给FW设备。
与信息同步方法实施例对应,本申请实施例还提供了一种信息同步装置。参考图6,图6为本申请实施例提供的信息同步装置的一种结构示意图,应用于网络中的AD服务器,该网络中还包括多个防火墙FW设备,多个FW设备被划分为多组,该装置包括:
接收单元601,用于接收用户设备发送的认证报文,认证报文包括认证信息;
认证单元602,用于根据认证信息,对用户设备进行认证;
获取单元603,用于当对用户设备认证通过后,获取用户设备的上线信息;
发送单元604,用于针对每一组FW设备,向该组中的每个FW设备同步所述上线信息,以使该组中的每个FW设备获取上线信息。
在本申请的一个实施例中,发送单元604,具体可以用于:
对上线信息进行安全校验;
当对上线信息安全校验通过后,针对每一组FW设备,向该组中的每个FW设备同步上线信息。
在本申请的一个实施例中,上述信息同步装置还可以包括:开启单元,用于为每一组FW设备开启对应的转发线程;
这种情况下,发送单元604,具体可以用于:
针对每一组FW设备,通过与该组对应的转发线程向该组中的每个FW设备同步上线信息。
在本申请的一个实施例中,发送单元604,具体可以用于:
针对每一组FW设备,确定与该组FW设备对应的转发服务器;
针对每一组FW设备,向与该组对应的转发服务器发送上线信息,以使该组对应的转发服务器通过该转发服务器中与该组对应的转发线程向该组中的每个FW设备同步上线信息。
在本申请的一个实施例中,上述信息同步装置还可以包括:确定单元;
接收单元601,还可以用于接收第一FW设备发送的信息请求报文,信息请求报文包括第一FW设备的标识;
确定单元,用于根据第一FW设备的标识,确定第一FW设备归属的FW设备组;
获取单元603,还可以用于通过第一FW设备归属的FW设备组对应的转发线程获取在线用户设备的上线信息;
发送单元604,还可以用于将获取的上线信息发送给第一FW设备。
应用本申请实施例,AD服务器将网络中的FW设备划分为多组。AD服务器在同步上线信息时,分别向每组中的FW设备同步用户设备的上线信息,即AD服务器对多组中的FW设备同时进行上线信息的同步。由于一个组中FW设备的数量远远小于网络中FW设备的数量,这使得对每组FW设备同步上线信息所消耗的时间远远小于AD服务器将上线信息逐一同步给各个FW设备所消耗的时间,有效提高了上线信息的同步效率。
与信息同步方法实施例对应,本申请实施例还提供了一种AD服务器,如图7所示,包括处理器701和机器可读存储介质702,机器可读存储介质702存储有能够被处理器701执行的机器可执行指令。
另外,如图7所示,AD服务器还可以包括:通信接口703和通信总线704;其中,处理器701、机器可读存储介质702、通信接口703通过通信总线704完成相互间的通信,通信接口703用于上述AD服务器与其他设备之间的通信。
处理器701被机器可执行指令促使实现信息同步方法。其中,该信息同步方法中,网络中包括AD服务器和多个FW设备,多个FW设备被划分为多组;该方法包括:
接收用户设备发送的认证报文,认证报文包括认证信息;
根据认证信息,对用户设备进行认证;
当对用户设备认证通过后,获取用户设备的上线信息;
针对每一组FW设备,向该组中的每个FW设备同步上线信息,以使该组中的每个FW设备获取上线信息。
在本申请的一个实施例中,针对每一组FW设备,向该组中的每个FW设备同步上线信息,具体可以包括:
对上线信息进行安全校验;
当对上线信息安全校验通过后,针对每一组FW设备,向该组中的每个FW设备同步上线信息。
在本申请的一个实施例中,接收用户设备发送的认证报文之前,该方法还可以包括:
为每一组FW设备开启对应的转发线程;
针对每一组FW设备,向该组中的每个FW设备同步上线信息,具体包括:
针对每一组FW设备,通过与该组对应的转发线程向该组中的每个FW设备同步上线信息。
在本申请的一个实施例中,针对每一组FW设备,向该组中的每个FW设备同步上线信息,具体可以包括:
针对每一组FW设备,确定与该组FW设备对应的转发服务器;
针对每一组FW设备,向与该组对应的转发服务器发送上线信息,以使该组对应的转发服务器通过该转发服务器中与该组对应的转发线程向该组中的每个FW设备同步上线信息。
在本申请的一个实施例中,该方法还可以包括:
接收第一FW设备发送的信息请求报文,信息请求报文包括第一FW设备的标识;
根据第一FW设备的标识,确定第一FW设备归属的FW设备组;
通过第一FW设备归属的FW设备组对应的转发线程获取在线用户设备的上线信息;
将获取的上线信息发送给第一FW设备。
应用本申请实施例,AD服务器将网络中的FW设备划分为多组。AD服务器在同步上线信息时,分别向每组中的FW设备同步用户设备的上线信息,即AD服务器对多组中的FW设备同时进行上线信息的同步。由于一个组中FW设备的数量远远小于网络中FW设备的数量,这使得对每组FW设备同步上线信息所消耗的时间远远小于AD服务器将上线信息逐一同步给各个FW设备所消耗的时间,有效提高了上线信息的同步效率。
上述通信总线704可以是外设部件互连标准(英文:Peripheral ComponentInterconnect,简称:PCI)总线或扩展工业标准结构(英文:Extended Industry StandardArchitecture,简称:EISA)总线等。该通信总线704可以分为地址总线、数据总线、控制总线等。为便于表示,图7中仅用一条粗线表示,但并不表示仅有一根总线或一种类型的总线。
机器可读存储介质702可以包括随机存取存储器(英文:RandomAccess Memory,简称:RAM),也可以包括非易失性存储器(英文:Non-Volatile Memory,简称:NVM),例如至少一个磁盘存储器。另外,机器可读存储介质702还可以是至少一个位于远离前述处理器的存储装置。
处理器701可以是通用处理器,包括中央处理器(英文:Central ProcessingUnit,简称:CPU)、网络处理器(英文:Network Processor,简称:NP)等;还可以是数字信号处理器(英文:Digital Signal Processing,简称:DSP)、专用集成电路(英文:ApplicationSpecific Integrated Circuit,简称:ASIC)、现场可编程门阵列(英文:Field-Programmable Gate Array,简称:FPGA)或其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。
与信息同步方法实施例对应,本申请实施例还提供了一种机器可读存储介质,存储有机器可执行指令,在被处理器调用和执行时,机器可执行指令促使所述处理器:实现信息同步方法。其中,该信息同步方法中,机器可读存储介质位于网络中AD服务器上,网络中还包括多个FW设备,多个FW设备被划分为多组;该方法包括:
接收用户设备发送的认证报文,认证报文包括认证信息;
根据认证信息,对用户设备进行认证;
当对用户设备认证通过后,获取用户设备的上线信息;
针对每一组FW设备,向该组中的每个FW设备同步上线信息,以使该组中的每个FW设备获取上线信息。
在本申请的一个实施例中,针对每一组FW设备,向该组中的每个FW设备同步上线信息,具体可以包括:
对上线信息进行安全校验;
当对上线信息安全校验通过后,针对每一组FW设备,向该组中的每个FW设备同步上线信息。
在本申请的一个实施例中,接收用户设备发送的认证报文之前,该方法还可以包括:
为每一组FW设备开启对应的转发线程;
针对每一组FW设备,向该组中的每个FW设备同步上线信息,具体包括:
针对每一组FW设备,通过与该组对应的转发线程向该组中的每个FW设备同步上线信息。
在本申请的一个实施例中,针对每一组FW设备,向该组中的每个FW设备同步上线信息,具体可以包括:
针对每一组FW设备,确定与该组FW设备对应的转发服务器;
针对每一组FW设备,向与该组对应的转发服务器发送上线信息,以使该组对应的转发服务器通过该转发服务器中与该组对应的转发线程向该组中的每个FW设备同步上线信息。
在本申请的一个实施例中,该方法还可以包括:
接收第一FW设备发送的信息请求报文,信息请求报文包括第一FW设备的标识;
根据第一FW设备的标识,确定第一FW设备归属的FW设备组;
通过第一FW设备归属的FW设备组对应的转发线程获取在线用户设备的上线信息;
将获取的上线信息发送给第一FW设备。
应用本申请实施例,AD服务器将网络中的FW设备划分为多组。AD服务器在同步上线信息时,分别向每组中的FW设备同步用户设备的上线信息,即AD服务器对多组中的FW设备同时进行上线信息的同步。由于一个组中FW设备的数量远远小于网络中FW设备的数量,这使得对每组FW设备同步上线信息所消耗的时间远远小于AD服务器将上线信息逐一同步给各个FW设备所消耗的时间,有效提高了上线信息的同步效率。
需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
本说明书中的各个实施例均采用相关的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。尤其,对于信息同步装置、AD服务器、机器可读存储介质实施例而言,由于其基本相似于信息同步方法实施例,所以描述的比较简单,相关之处参见信息同步方法实施例的部分说明即可。
以上所述仅为本申请的较佳实施例而已,并非用于限定本申请的保护范围。凡在本申请的精神和原则之内所作的任何修改、等同替换、改进等,均包含在本申请的保护范围内。
Claims (8)
1.一种信息同步方法,其特征在于,应用于网络中的活动目录AD服务器,所述网络中还包括多个防火墙FW设备,所述多个FW设备被划分为多组;所述方法包括:
接收用户设备发送的认证报文,所述认证报文包括认证信息;
根据所述认证信息,对所述用户设备进行认证;
当对所述用户设备认证通过后,获取所述用户设备的上线信息;
针对每一组FW设备,向该组中的每个FW设备同步所述上线信息,以使该组中的每个FW设备获取所述上线信息;
所述接收用户设备发送的认证报文之前,所述方法还包括:
为每一组FW设备开启对应的转发线程;所述转发线程为登录处理线程;所述转发线程位于AD服务器上或者转发服务器上;
所述针对每一组FW设备,向该组中的每个FW设备同步所述上线信息,具体包括:
针对每一组FW设备,通过与该组对应的转发线程向该组中的每个FW设备同步所述上线信息。
2.根据权利要求1所述的方法,其特征在于,所述针对每一组FW设备,向该组中的每个FW设备同步所述上线信息,具体包括:
对所述上线信息进行安全校验;
当对所述上线信息安全校验通过后,针对每一组FW设备,向该组中的每个FW设备同步所述上线信息。
3.根据权利要求1所述的方法,其特征在于,所述针对每一组FW设备,向该组中的每个FW设备同步所述上线信息,具体包括:
针对每一组FW设备,确定与该组FW设备对应的转发服务器;
针对每一组FW设备,向与该组对应的转发服务器发送所述上线信息,以使该组对应的转发服务器通过该转发服务器中与该组对应的转发线程向该组中的每个FW设备同步所述上线信息。
4.根据权利要求1或3所述的方法,其特征在于,所述方法还包括:
接收第一FW设备发送的信息请求报文,所述信息请求报文包括所述第一FW设备的标识;
根据所述第一FW设备的标识,确定所述第一FW设备归属的FW设备组;
通过所述第一FW设备归属的FW设备组对应的转发线程获取在线用户设备的上线信息;
将获取的上线信息发送给所述第一FW设备。
5.一种信息同步装置,其特征在于,应用于网络中的活动目录AD服务器,所述网络中还包括多个防火墙FW设备,所述多个FW设备被划分为多组;所述装置包括:
接收单元,用于接收用户设备发送的认证报文,所述认证报文包括认证信息;
认证单元,用于根据所述认证信息,对所述用户设备进行认证;
获取单元,用于当对所述用户设备认证通过后,获取所述用户设备的上线信息;
发送单元,用于针对每一组FW设备,向该组中的每个FW设备同步所述上线信息,以使该组中的每个FW设备获取所述上线信息;
所述装置还包括:
开启单元,用于为每一组FW设备开启对应的转发线程;所述转发线程为登录处理线程;所述转发线程位于AD服务器上或者转发服务器上;
所述发送单元,具体用于:
针对每一组FW设备,通过与该组对应的转发线程向该组中的每个FW设备同步所述上线信息。
6.根据权利要求5所述的装置,其特征在于,所述发送单元,具体用于:
对所述上线信息进行安全校验;
当对所述上线信息安全校验通过后,针对每一组FW设备,向该组中的每个FW设备同步所述上线信息。
7.根据权利要求5所述的装置,其特征在于,所述发送单元,具体用于:
针对每一组FW设备,确定与该组FW设备对应的转发服务器;
针对每一组FW设备,向与该组对应的转发服务器发送所述上线信息,以使该组对应的转发服务器通过该转发服务器中与该组对应的转发线程向该组中的每个FW设备同步所述上线信息。
8.根据权利要求5或7所述的装置,其特征在于,所述装置还包括:确定单元;
所述接收单元,还用于接收第一FW设备发送的信息请求报文,所述信息请求报文包括所述第一FW设备的标识;
所述确定单元,用于根据所述第一FW设备的标识,确定所述第一FW设备归属的FW设备组;
所述获取单元,还用于通过所述第一FW设备归属的FW设备组对应的转发线程获取在线用户设备的上线信息;
所述发送单元,还用于将获取的上线信息发送给所述第一FW设备。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201711226607.1A CN107835099B (zh) | 2017-11-29 | 2017-11-29 | 一种信息同步方法及装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201711226607.1A CN107835099B (zh) | 2017-11-29 | 2017-11-29 | 一种信息同步方法及装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN107835099A CN107835099A (zh) | 2018-03-23 |
CN107835099B true CN107835099B (zh) | 2021-09-03 |
Family
ID=61646472
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201711226607.1A Active CN107835099B (zh) | 2017-11-29 | 2017-11-29 | 一种信息同步方法及装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN107835099B (zh) |
Families Citing this family (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111447029B (zh) * | 2020-03-23 | 2023-04-07 | 浙江清环智慧科技有限公司 | 物联网通讯设备时间对表方法、装置及电子设备 |
CN115664746A (zh) * | 2022-10-18 | 2023-01-31 | 浪潮思科网络科技有限公司 | 一种堆叠系统的认证同步方法、装置、设备及介质 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103716292A (zh) * | 2012-09-29 | 2014-04-09 | 西门子公司 | 一种跨域的单点登录的方法和设备 |
CN103888540A (zh) * | 2014-03-31 | 2014-06-25 | 百度在线网络技术(北京)有限公司 | 登录信息同步方法、被同步和同步网络服务器 |
CN105490991A (zh) * | 2014-09-18 | 2016-04-13 | 北京大学 | 一种第三方应用全站式登录的实现方法及装置 |
CN107005547A (zh) * | 2014-09-30 | 2017-08-01 | 思杰系统有限公司 | 用于由中间装置执行对于客户机的远程桌面会话的单点登录的系统和方法 |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8763106B2 (en) * | 2011-09-08 | 2014-06-24 | Mcafee, Inc. | Application state sharing in a firewall cluster |
-
2017
- 2017-11-29 CN CN201711226607.1A patent/CN107835099B/zh active Active
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103716292A (zh) * | 2012-09-29 | 2014-04-09 | 西门子公司 | 一种跨域的单点登录的方法和设备 |
CN103888540A (zh) * | 2014-03-31 | 2014-06-25 | 百度在线网络技术(北京)有限公司 | 登录信息同步方法、被同步和同步网络服务器 |
CN105490991A (zh) * | 2014-09-18 | 2016-04-13 | 北京大学 | 一种第三方应用全站式登录的实现方法及装置 |
CN107005547A (zh) * | 2014-09-30 | 2017-08-01 | 思杰系统有限公司 | 用于由中间装置执行对于客户机的远程桌面会话的单点登录的系统和方法 |
Also Published As
Publication number | Publication date |
---|---|
CN107835099A (zh) | 2018-03-23 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11398912B2 (en) | Secure enrolment of security device for communication with security server | |
CN113364727B (zh) | 容器集群系统、容器控制台和服务器 | |
EP3259928B1 (en) | Establishing and managing identities for constrained devices | |
CN104580553B (zh) | 网络地址转换设备的识别方法和装置 | |
CN105791235B (zh) | 一种配置信息下载方法和设备 | |
CN114995214A (zh) | 远程访问应用的方法、系统、装置、设备及存储介质 | |
CN105873055B (zh) | 一种无线网络接入认证方法及装置 | |
WO2017215492A1 (zh) | 设备检测方法及装置 | |
CN107872445B (zh) | 接入认证方法、设备和认证系统 | |
US11943213B2 (en) | Device and method for mediating configuration of authentication information | |
CN107835099B (zh) | 一种信息同步方法及装置 | |
CN111327599B (zh) | 一种认证过程的处理方法及装置 | |
CN109495431B (zh) | 接入控制方法、装置和系统、以及交换机 | |
CN111031540B (zh) | 一种无线网络连接方法及计算机存储介质 | |
CN110958598B (zh) | 一种移动终端和sim卡的绑定认证方法和装置 | |
US20210195418A1 (en) | A technique for authenticating data transmitted over a cellular network | |
CN103812859A (zh) | 网络准入方法、终端准入方法、网络准入装置和终端 | |
CN108306875B (zh) | 一种控制有线终端接入的方法及装置 | |
CN105610667B (zh) | 建立虚拟专用网通道的方法和装置 | |
CN103227795B (zh) | 一种实现用户上网认证鉴权和报文标签的系统及其方法 | |
CN113098825A (zh) | 一种基于扩展802.1x的接入认证方法及系统 | |
CN113660328B (zh) | 通信连接的建立方法及装置、存储介质及电子设备 | |
CN114189767B (zh) | 宽带增值业务的认证方法及装置 | |
WO2016127583A1 (zh) | 认证处理方法及装置 | |
CN117040965A (zh) | 通信方法及装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |