CN109067937A - 终端准入控制方法、装置、设备、系统及存储介质 - Google Patents
终端准入控制方法、装置、设备、系统及存储介质 Download PDFInfo
- Publication number
- CN109067937A CN109067937A CN201811160350.9A CN201811160350A CN109067937A CN 109067937 A CN109067937 A CN 109067937A CN 201811160350 A CN201811160350 A CN 201811160350A CN 109067937 A CN109067937 A CN 109067937A
- Authority
- CN
- China
- Prior art keywords
- terminal
- request message
- arp
- sent
- flow table
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/09—Mapping addresses
- H04L61/10—Mapping addresses of different types
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4641—Virtual LANs, VLANs, e.g. virtual private networks [VPN]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明涉及终端上网准入控制技术领域,公开了一种终端准入控制方法、装置、设备、系统及存储介质,所述方法包括:在收到终端发送的请求报文后,根据ARP上送控制器流表判断请求报文是否为ARP请求报文;若请求报文为ARP请求报文,则将请求报文上送到SDN控制器,以使SDN控制器在终端通过审批后下发终端的MAC地址和IP地址间的映射关系;接收SDN控制器下发的映射关系,并将映射关系加入转发表,其中,通过查询转发表中是否存在与终端对应的映射关系确定是否准许终端入网。本发明实施例提供的技术方案,无需部署Portal服务器与Radius服务器,减少了服务器部署及维护成本,同时,解决了网络不稳定和服务器宕机带来的终端无法上线的问题。
Description
技术领域
本发明涉及终端上网准入控制技术领域,尤其涉及一种终端准入控制方法、装置、设备、系统及存储介质。
背景技术
近年来,随着互联网技术的快速发展,各行业对网络终端接入的合法性要求日益增长。例如,企业网络访客(包括内部访客和外部访客)通过接入网络后,为了安全考虑,通常需要对访客的入网行为进行审核、认证等操作,以限制访客的访问权限。例如,高教网络随着高清视频、云服务、社交应用、Web 2.0等应用普及,网络接入带宽规模在几年内形成几何级数的增长,同时移动终端的高速普及,无线网络接入的需求也在校园网内逐步形成规模,一个学生配备多个上网设备已成为主流,故终端接入网络的合法性日显重要。从医疗行业来说,医疗网络系统(PDA、HIS、PACS等)也逐渐增多,基于用户隐私以及安全考虑,需要对接入医疗网络系统的终端进行严格的控制,只有合法终端才允许接入网络。
而通常的准入控制方案一般使用准入认证(1X/WEB等)。参考图1,其示出了一个典型的终端准入网络拓扑图,其中,核心设备14为整网认证设备,在核心设备14的接口上开启web认证或1x认证,终端11通过接入设备12和汇聚设备13向核心设备14成功获取动态IP地址,并通过身份认证之后,才能访问互联网,具体认证过程参考图2:终端11发起访问互联网的HTTP请求,请求访问外部网络服务;核心设备14将未认证用户发出的所有HTTP请求都拦截下来,并重定向到Portal服务器15,这样在终端11上将弹出一个认证页面;用户在认证页面上输入认证信息(用户名、口令、校验码等等),终端11将认证信息发送给Portal服务器15;Portal服务器15将用户的认证信息发给核心设备;核心设备向Radius服务器16发起认证,并将认证结果反馈给Portal服务器15;Portal服务器15向终端返回提示认证结果(成功或失败)。
可见,当前的WEB/1X认证需要依赖于Portal服务器与Radius服务器进行WEB提交认证信息与认证信息核对验证,这种方法对Portal服务器与Radius服务器的稳定性与可靠性有着非常高的要求,通常还需要做服务器热备以防止服务器单点故障。一旦连通Portal服务器与Radius服务器的网络出现故障或者服务器出现宕机,那么所有的终端将无法认证上线,而导致生产业务中断。因此,实际上客户基本不会部署认证服务器,即便部署了认证服务器也是疲于维护服务器与终端信息。此外,认证服务器的部署与维护十分繁琐,维护成本代价高。
发明内容
本发明实施例提供一种终端准入控制方法、装置、设备、系统及存储介质,以解决现有终端准入控制方案部署复杂、维护工作量大、系统稳定性差的问题。
第一方面,本发明一实施例提供了一种终端准入控制方法,包括:
在收到终端发送的请求报文后,根据地址解析协议ARP上送控制器流表判断请求报文是否为ARP请求报文,ARP上送控制器流表为软件定义网络SDN控制器下发的与开启准入管控的虚拟局域网VLAN对应的流表,ARP上送控制器流表的匹配域中记录了VLAN的VLAN标识以及ARP请求报文中包含的特征字段;
若请求报文为ARP请求报文,则将请求报文上送到SDN控制器,以使SDN控制器在终端通过审批后下发终端的媒体访问控制MAC地址和互联网协议IP地址间的映射关系;
接收SDN控制器下发的映射关系,并将映射关系加入转发表,其中,通过查询转发表中是否存在与终端对应的映射关系确定是否准许终端入网。
第二方面,本发明一实施例提供了一种终端准入控制方法,包括:
将开启准入管控的VLAN对应的ARP上送控制器流表下发至准入控制设备,ARP上送控制器流表的匹配域中记录了VLAN标识以及ARP请求报文中包含的特征字段,以使准入控制设备根据ARP上送控制器流表判断终端发送的请求报文是否为ARP请求报文;
接收准入控制设备上送的请求报文,请求报文为ARP请求报文;
在收到请求报文后对终端的合法性进行审批;
在终端通过审批后下发终端的MAC地址和IP地址间的映射关系至准入控制设备。
第三方面,本发明一实施例提供了一种准入控制设备,包括收发机、存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,收发机用于在处理器的控制下接收和发送数据,处理器执行程序时实现上述第一方面中方法的步骤。
第四方面,本发明一实施例提供了一种SDN控制器,包括收发机、存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,收发机用于在处理器的控制下接收和发送数据,处理器执行程序时实现上述第二方面中方法的步骤。
第五方面,本发明一实施例提供了一种终端准入控制系统,包括:SDN控制器、核心设备、接入设备和终端;
终端用于通过接入设备向核心设备发送终端请求报文;
核心设备用于执行第一方面中方法的步骤;
SDN控制器用于执行第二方面中方法的步骤。
第六方面,本发明一实施例提供了一种终端准入控制系统,包括:SDN控制器、核心设备、接入设备和终端;
终端用于向接入设备发送终端请求报文;
接入设备用于执行第一方面中方法的步骤;
SDN控制器用于执行第二方面中方法的步骤;
核心设备用于在收到接入设备上送的请求报文后,执行请求报文对应的操作。
第七方面,本发明一实施例提供了一种终端准入控制装置,包括:
ARP请求判断模块,用于在收到终端发送的请求报文后,根据地址解析协议ARP上送控制器流表判断请求报文是否为ARP请求报文,ARP上送控制器流表为软件定义网络SDN控制器下发的与开启准入管控的虚拟局域网VLAN对应的流表,ARP上送控制器流表的匹配域中记录了VLAN的VLAN标识以及ARP请求报文中包含的特征字段;
ARP请求上送模块,用于若请求报文为ARP请求报文,则将请求报文上送到SDN控制器,以使SDN控制器在终端通过审批后下发终端的媒体访问控制MAC地址和互联网协议IP地址间的映射关系;
转发表模块,用于接收SDN控制器下发的映射关系,并将映射关系加入转发表,其中,通过查询转发表中是否存在与终端对应的映射关系确定是否准许终端入网。
第八方面,本发明一实施例提供了一种终端准入控制装置,包括:
流表下发模块,用于将开启准入管控的VLAN对应的ARP上送控制器流表下发至准入控制设备,ARP上送控制器流表的匹配域中记录了VLAN标识以及ARP请求报文中包含的特征字段,以使准入控制设备根据ARP上送控制器流表判断终端发送的请求报文是否为ARP请求报文;
请求报文接收模块,用于接收准入控制设备上送的请求报文,请求报文为ARP请求报文;
审批模块,用于在收到请求报文后对终端的合法性进行审批;
映射关系下发模块,用于在终端通过审批后下发终端的MAC地址和IP地址间的映射关系至准入控制设备。
第九方面,本发明一实施例提供了一种计算机可读存储介质,其上存储有计算机程序指令,该程序指令被处理器执行时实现上述任一种方法的步骤。
本发明实施例提供的技术方案,实现了一种更加便捷、轻量的终端准入控制方法,无需部署Portal服务器与Radius服务器,减少了服务器部署及维护成本,同时,解决了网络不稳定和服务器宕机带来的终端无法上线的问题。
附图说明
为了更清楚地说明本发明实施例的技术方案,下面将对本发明实施例中所需要使用的附图作简单地介绍,显而易见地,下面所介绍的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为现有技术中一个典型的终端准入网络拓扑图;
图2为现有的终端准入控制方法的流程示意图;
图3为本发明实施例提供的终端准入控制方法的应用场景示意图;
图4为本发明一实施例提供的终端准入控制方法的流程示意图;
图5为本发明一实施例提供的终端准入控制方法的流程示意图;
图6为本发明一实施例提供的网关模式下的终端准入控制方法的流程示意图;
图7为本发明一实施例提供的网关模式下的终端准入控制方法的流程示意图;
图8为本发明一实施例提供的接入模式下的终端准入控制方法的流程示意图;
图9为本发明一实施例提供的接入模式下的终端准入控制方法的流程示意图;
图10为本发明一实施例提供的终端准入控制装置的结构示意图;
图11为本发明一实施例提供的终端准入控制装置的结构示意图;
图12为本发明一实施例提供的准入控制设备的结构示意图;
图13为本发明一实施例提供的SDN控制器的结构示意图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述。
为了方便理解,下面对本发明实施例中涉及的名词进行解释:
软件定义网络,即SDN(Software Defined Network),是Emulex网络一种新型网络创新架构,是网络虚拟化的一种实现方式,其核心技术OpenFlow通过将网络设备控制面与数据面分离开来,从而实现了网络流量的灵活控制,使网络作为管道变得更加智能。
地址解析协议,即ARP(Address Resolution Protocol),是根据IP地址获取物理地址的一个TCP/IP协议。主机发送信息时将包含目标IP地址的ARP请求广播到网络上的所有主机,并接收返回消息,以此确定目标的物理地址;收到返回消息后将该IP地址和物理地址存入本机ARP缓存中并保留一定时间,下次请求时直接查询ARP缓存以节约资源。
ARP上送控制器流表是一种OpenFlow流表,ARP上送控制器流表的每个流表项都由3部分组成:用于数据包匹配的匹配域(也可称为包头域,Header Fields),用于统计匹配数据包个数的计数器(Counters),用于展示匹配的数据包如何处理的动作(Actions)。
MAC地址,即Media Access Control或者Medium Access Control地址,意译为媒体访问控制,或称为物理地址、硬件地址,用来定义网络设备的位置。
IP地址,Internet Protocol Address,指互联网协议地址。IP地址是IP协议提供的一种统一的地址格式,它为互联网上的每一个网络和每一台主机分配一个逻辑地址,以此来屏蔽物理地址的差异。
虚拟局域网VLAN,是一组逻辑上的设备和用户,这些设备和用户并不受物理位置的限制,可以根据功能、部门及应用等因素将设备和用户组织到同一广播域中。
附图中的任何元素数量均用于示例而非限制,以及任何命名都仅用于区分,而不具有任何限制含义。
在具体实践过程中,当前采用的WEB/1X认证方式需要依赖于Portal服务器与Radius服务器进行认证信息的提交以及认证信息的核对验证等操作,这种方式对Portal服务器与Radius服务器的稳定性与可靠性有着非常高的要求,通常还需要做服务器热备以防止服务器单点故障。一旦连通Portal服务器与Radius服务器的网络出现故障或者服务器出现宕机,那么所有的终端将无法认证上线。此外,Portal服务器与Radius服务器的部署与维护繁琐,而网络管理员在这一方面的技术储备非常薄弱,维护成本高。另一方面,WEB/1X认证方式还需要终端用户设置用户名及密码,因此需要投入大量精力维护终端的用户信息,例如,经常需要进行开户、销户或者为忘记密码的用户提供服务等,这些再次增加了网络管理员的维护工作量。
为解决现有终端准入控制方案部署复杂、维护工作量大、系统稳定性差等问题,本发明的发明人考虑到,将终端准入管控机制部署到现有的网络设备(如核心设备、接入设备)中,并引入SDN控制器对整个网络的终端准入管控进行管理,通过拦截终端发送的上网请求防止终端随意入网,并在核实终端的合法性后,准许合法终端上网。
参考图3,其为本发明实施例提供的终端准入控制方法的一种应用场景示意图。在图3的应用场景下可实现两种不同的终端准入控制方案,一种是将终端准入控制方法设置核心设备34中,另一种是终端准入控制方法设置接入设备32中。
当终端准入控制方法设置核心设备34中时,网络管理员通过SDN控制器35的WEB界面或应用界面输入开启准入管控的指令,随后,SDN控制器35下发ARP上送控制器流表至核心设备34;当终端31的用户需要访问网络36时,终端31通过接入设备32和汇聚设备33将终端31访问网络36的请求报文上送至核心设备34;核心设备34截获终端31发送的请求报文,将截获的请求报文与ARP上送控制器流表进行比较,若请求报文命中ARP上送控制器流表,则表明该请求报文为ARP报文,将该请求报文上送到SDN控制器35;SDN控制器35在收到核心设备34上传的报文请求后,通过WEB界面显示终端的待审批信息,管理员对终端31的合法性进行审批,确定该终端31准许入网后,由SDN控制器35下发绑定终端31的MAC地址和IP地址间的映射关系的绑定信息至核心设备34;核心设备34将该绑定信息加入核心设备34中的转发表。因此,在核心设备34的转发表中存在绑定信息的终端为合法终端,而未存在绑定信息的终端为非法终端。当终端31再次发起访问网络的上网请求时,核心设备34通过查找转发表中是否存在该终端的绑定信息,来核实终端31是否为合法终端,响应合法终端的上网请求,丢弃非法终端的上网请求,以此达到控制合法终端入网、非法终端禁止入网的准入效果。
当终端准入控制方法设置接入设备32中时,网络管理员通过SDN控制器35的WEB界面上输入开启准入管控的指令,随后,SDN控制器35下发ARP上送控制器流表至接入设备32;当终端31的用户需要访问网络36时,终端31会通过接入设备32向核心设备34发送请求报文,此时,接入设备32截获终端31发送的请求报文,将截获的请求报文与ARP上送控制器流表进行比较,若请求报文命中ARP上送控制器流表,则表明该请求报文为ARP报文,将该请求报文上送到SDN控制器35;SDN控制器35在收到接入设备32上传的报文请求后,通过WEB界面显示终端的待审批信息,管理员对终端31的合法性进行审批,确定该终端31准许入网后,由SDN控制器35下发绑定终端31的MAC地址和IP地址间的映射关系的绑定信息至接入设备32;接入设备32将该绑定信息加入接入设备32中的转发表。因此,在接入设备32的转发表中存在绑定信息的终端为合法终端,而未存在绑定信息的终端为非法终端。当终端31再次发起访问网络的上网请求时,接入设备32截获上网请求,并通过查找接入设备32的转发表中是否存在该终端的绑定信息,来核实终端31是否为合法终端,将合法终端的上网请求发送给核心设备34,核心设备34响应合法终端的上网请求,而对于非法终端,接入设备32会直接丢弃非法终端的上网请求,以此达到控制合法终端入网、非法终端禁止入网的准入效果。
本发明实施例提供的终端准入控制方法,通过现有的网络设备实现了一种更加便捷、轻量的终端准入控制方法,无需部署Portal服务器与Radius服务器,从而解决了现有终端准入控制方案部署复杂、维护工作量大等问题。
在图3所示的应用场景下,终端31可以为便携设备(例如:手机、平板、笔记本电脑等),也可以为个人电脑(PC,Personal Computer)。接入设备32(Access Device)是一个用于远程访问网络资源的硬件设备,具体可以是路由器、复用器或调制调节器等。汇聚设备33是将多个接入设备32的数据汇聚并转发到核心设备34的一种设备,例如交换机。核心设备34可以是NAS(Network Attached Storage,网络附属存储),NAS是一种专用数据存储服务器,它以数据为中心,将存储设备与服务器彻底分离,集中管理数据,从而释放带宽、提高性能、降低总拥有成本、保护投资。网络36可以是互联网或局域网。
下面结合图3所示的应用场景,对本发明实施例提供的技术方案进行说明。
参考图4,本发明实施例提供一种终端准入控制方法,包括以下步骤:
S401、终端向准入控制设备发送请求报文。
S402、准入控制设备在收到终端发送的请求报文后,根据ARP上送控制器流表判断该请求报文是否为ARP请求报文,若该请求报文为ARP请求报文,则将该请求报文上送到SDN控制器。
ARP请求报文中包括终端的设备信息,其中,设备信息包括终端的MAC地址和IP地址。
具体实施时,SDN控制器会预先将开启准入管控的VLAN对应的ARP上送控制器流表下发到准入管控设备中,该ARP上送控制器流表的匹配域中记录了开启准入管控的VLAN的VLAN标识以及ARP请求报文中包含的特征字段。匹配域用于对准入控制设备接收到的请求报文中的包头内容进行匹配,以判断准入控制设备接收到的请求报文是否为ARP请求报文,例如,匹配域中记录的特征字段可以是ARP请求报文的报文类型“0806”。准入控制设备在收到终端发送的请求报文后,提取请求报文中的报文类型和终端所属VLAN的VLAN标识,若请求报文的报文类型与匹配域中记录的特征字段相同,且请求报文中的VLAN标识和匹配域中记录的报文类型相同,则该报文请求命中ARP上送控制器流表,表明该请求报文为ARP请求报文。当请求报文命中ARP上送控制器流表中的流表项后,准入控制设备立即执行该流表项中的动作,即:将该请求报文上送到SDN控制器。准入控制设备通过ARP上送控制器流表可从各种类型的请求报文中过滤出ARP请求报文,并上送ARP请求报文至SDN控制器。
其中,准入控制设备可以是布设在系统中的现有设备,如接入设备或核心设备,其能够拦截终端发送的请求报文。
终端仅在首次请求接入网络时会向核心设备发送ARP请求报文,以获取核心设备的物理地址,在后续请求入网时,不再发送ARP请求报文,而是直接发送HTTP等类型的请求报文。因此,准入控制设备仅将ARP请求报文上送SDN控制器,以对首次接入网络的终端进行合法性的审批。
S403、SDN控制器在收到准入控制设备上送的请求报文后,对终端的合法性进行审批,并在该终端通过审批后下发该终端的MAC地址和IP地址间的映射关系至准入控制设备。
例如,SDN控制器会在WEB界面显示包含各个待审批终端的审批列表,审批列表中包含待审批终端的信息,待审批终端的信息可以是MAC地址、IP地址、终端所属的VLAN等,待审批终端的信息可以从准入控制设备上送的请求报文中提取。管理员通过审批列表中的信息对请求入网的终端的合法性进行审批,并将是否准许该终端入网的审批结果反馈给SDN控制器。
S404、准入控制设备接收SDN控制器下发的映射关系,并将该映射关系加入转发表。
至此完成了对终端入网许可的审批工作,后续准入控制设备通过查询转发表中是否存在与请求入网的终端对应的映射关系确定是否准许该终端入网。例如,当终端再次请求上网时,准入控制设备拦截下终端发送的请求报文,在确定该请求报文为非ARP请求报文后,将该终端的MAC地址或IP地址与转发表中的映射关系中的MAC地址或IP地址进行匹配,若存在与该终端匹配的映射关系,则表示该终端属于合法终端,准许该终端入网,若不存在与该终端匹配的映射关系,则表示该终端属于未通过认证的终端,禁止该终端入网。
在具体实施过程中,一个网络中往往包含多个VLAN,而不同VLAN下终端具有不同的入网权限,例如,对企业来说,需要对涉密部门的终端接入外网的权限进行管控,而非涉密部门的终端则无需进行管控。为此,管理员可通过SDN控制器的WEB界面对网络中的多个VLAN单独进行设置,开启或关闭一个或多个VLAN的准入管控功能,以触发SDN控制器将开启准入管控的VLAN对应的ARP上送控制器流表下发至准入控制设备,准入控制设备在收到ARP上送控制器流表后,正式开启管控模式。
网络中的每个VLAN都对应一张ARP上送控制器流表,每个VLAN的VLAN标识记录在与其对应的ARP上送控制器流表中。SDN控制器仅将开启准入管控的VLAN对应的ARP上送控制器流表下发到准入控制设备中。当关闭某一VLAN的准入管控功能后,删除准入控制设备中该VLAN的ARP上送控制器流表,以终止对该VLAN下的终端的入网管控。
需要说明的是,上述SDN控制器下发ARP上送控制器流表的步骤仅在VLAN的准入管控状态发生变化时执行。
如图5所示,准入控制设备中执行的终端准入控制方法具体包括以下步骤:
S501、接收终端发送的请求报文。
S502、查找与请求报文中携带的VLAN标识匹配的ARP上送控制器流表。若查找到匹配的ARP上送控制器流表,则表示终端所属的VLAN开启了准入管控功能,执行步骤S503。若未查找到与请求报文中携带的VLAN标识匹配的ARP上送控制器流表,则表示该终端所属的VLAN并未开启准入管控功能,执行步骤S507。
具体实施时,系统会预先为接入设备上的各个端口分配一个所属的VLAN,终端通过接入设备发出的请求报文中均携带有端口所属VLAN的VLAN标识。通过ARP上送控制器流表中记录的VLAN标识,查找到与请求报文中携带的VLAN标识匹配的ARP上送控制器流表。
S503、将请求报文的包头内容与查找到的ARP上送控制器流表的匹配域内的特征字段进行匹配。若报文请求的包头内容与匹配域内的特征字段匹配成功,则确定该请求报文为ARP请求报文,执行步骤S504。若报文请求的包头内容与匹配域内的特征字段未匹配成功,表明该请求报文为非ARP请求报文,例如可能是HTTP请求报文,则执行步骤S506。
S504、将请求报文上送到SDN控制器,并等待接收SDN控制器返回的审批结果。若审批结果为通过,SDN控制器会下发该终端的MAC地址和IP地址间的映射关系,则准入控制设备执行步骤S505。若审批结果为未通过,则执行步骤S508。
S505、接收SDN控制器下发的映射关系,并将该映射关系加入转发表。
S506、查询转发表中是否存在终端对应的映射关系。若转发表中存在终端对应的映射关系,表明该终端为通过审批的合法终端,执行步骤S507。若转发表中不存在终端对应的映射关系,表明该终端为未通过审批的非法终端,执行步骤S508。
S507、准许该终端入网。
S508、丢弃该终端的请求报文,禁止该终端入网。
本发明实施例提供的终端准入控制方法可部署在现有网络中的任一设备中,以便用户根据实际需求实现不同的准入控制模式。例如,在网关模式下,终端准入控制方法被部署在核心设备中;在接入模式下,终端准入控制方法被部署在接入设备中。
终端上线后,终端发送的请求报文由接入设备转发到核心设备,再通过核心设备接入网络进行访问,此时在核心设备上或者接入设备上做终端准入管控,可拦截终端发送的请求报文,控制合法终端入网,禁止非法终端入网。因此,本发明实施例的终端准入控制方法,无需部署Portal服务器与Radius服务器,减少了服务器部署及维护成本,同时,解决了网络不稳定和服务器宕机带来的终端无法上线的问题。
如图6所示,给出了网关模式下的一种终端准入控制方法,具体包括以下步骤:
S601、SDN控制器将开启准入管控的VLAN对应的ARP上送控制器流表、关闭指令和清除指令下发至核心设备。
同样,由管理员通过SDN控制器的WEB界面或应用界面开启或关闭各个VLAN的准入管控功能。SDN控制器收到开启某一VLAN的准入管控功能后,执行步骤S601。SDN控制器通过Openflow协议下发ARP上送控制器流表、关闭指令和清除指令。
其中,关闭指令为关闭核心设备的动态ARP学习功能的指令,清除指令为清除开启准入管控的VLAN对应的ARP转发表中的信息的指令。
网关模式是基于核心设备中的ARP转发表实现的,当开启动态ARP学习功能时,核心设备会根据接收到的ARP请求动态修改ARP转发表中的信息,即ARP转发表的信息一直处于变化中。为此,在网关模式下必须先关闭动态ARP学习功能,才能保证存储到ARP转发表中的信息在通过认证后不会被随意修改。
S602、核心设备在收到SDN控制器下发的ARP上送控制器流表、关闭指令和清除指令后,保存ARP上送控制器流表,根据关闭指令关闭核心设备的动态ARP学习功能,根据清除指令清除开启准入管控的VLAN对应的ARP转发表中的信息。
ARP转发表是存储主机的IP地址和MAC地址的缓存区,其本质就是一个IP地址和MAC地址的对应表。在本实施例中,ARP转发表中每一个条目分别记录了合法终端的IP地址和对应的MAC地址,其作用相当于图4和图5所示实施例中的转发表。
S603、终端向核心设备发送请求报文。
S604、核心设备在收到终端发送的请求报文后,根据ARP上送控制器流表判断该请求报文是否为ARP请求报文,若该请求报文为ARP请求报文,则将该请求报文上送到SDN控制器。
核心设备通过Openflow通道将请求报文上送到SDN控制器。
S605、SDN控制器在收到核心设备上送的请求报文后,对终端的合法性进行审批,并在该终端通过审批后下发静态ARP表项至核心设备。
其中,静态ARP表项中包含该终端的MAC地址和IP地址间的映射关系。SDN控制器通过Netconf下发静态ARP表项至核心设备。
S606、核心设备接收SDN控制器下发的静态ARP表项,并将该静态ARP表项加入ARP转发表。
至此完成了对终端入网许可的审批工作,后续核心设备通过查询转ARP发表中是否存在与请求入网的终端对应的静态ARP表项,来确定是否准许该终端入网。例如,当终端再次请求上网时,核心设备拦截下终端发送的请求报文,在确定该请求报文为非ARP请求报文后,查询ARP转发表中是否存在与该终端的MAC地址或IP地址匹配的静态ARP表项,若存在与该终端匹配的静态ARP表项,则表示该终端属于合法终端,准许该终端入网,若不存在与该终端匹配的静态ARP表项,则表示该终端属于未通过认证的终端,禁止该终端入网。
如图7所示,网关模式下核心设备中执行的终端准入控制方法具体包括以下步骤:
S701、接收终端发送的请求报文。
参考图3,各个终端发送的请求报文通过接入设备和汇聚设备后到达核心设备。
S702、查找与请求报文中携带的VLAN标识匹配的ARP上送控制器流表。若查找到匹配的ARP上送控制器流表,则表示终端所属的VLAN开启了准入管控功能,执行步骤S703。若未查找到与请求报文中携带的VLAN标识匹配的ARP上送控制器流表,则表示该终端所属的VLAN并未开启准入管控功能,执行步骤S707。
S703、将请求报文的包头内容与查找到的ARP上送控制器流表的匹配域内的特征字段进行匹配。若报文请求的包头内容与匹配域内的特征字段匹配成功,则确定该请求报文为ARP请求报文,执行步骤S704。若报文请求的包头内容与匹配域内的特征字段未匹配成功,表明该请求报文为非ARP请求报文,例如可能是HTTP请求报文,则执行步骤S706。
S704、将请求报文上送到SDN控制器,并等待接收SDN控制器返回的审批结果。若审批结果为通过,SDN控制器会下发该终端的静态ARP表项,则核心设备执行步骤S705。若审批结果为未通过,则执行步骤S708。
S705、接收SDN控制器下发的静态ARP表项,并将该静态ARP表项加入ARP转发表。
S706、查询ARP转发表中是否存在终端对应的静态ARP表项。若ARP转发表中存在终端对应的静态ARP表项,表明该终端为通过审批的合法终端,执行步骤S707。若ARP转发表中不存在终端对应的静态ARP表项,表明该终端为未通过审批的非法终端,执行步骤S708。
S707、准许该终端入网。
S708、丢弃该终端的请求报文,禁止该终端入网。
如图8所示,给出了接入模式下的一种终端准入控制方法,具体包括以下步骤:
S801、SDN控制器将开启准入管控的VLAN对应的ARP上送控制器流表和IP报文丢弃流表下发至接入设备。
同样,由管理员通过SDN控制器的WEB界面或应用界面开启或关闭各个VLAN的准入管控功能。SDN控制器收到开启某一VLAN的准入管控功能后,执行步骤S801。SDN控制器通过Openflow协议下发ARP上送控制器流表和IP报文丢弃流表。
IP报文丢弃流表也是一种OpenFlow流表,IP报文丢弃流表的每个流表项都由3部分组成:用于数据包匹配的匹配域,用于统计匹配数据包个数的计数器,用于展示匹配的数据包如何处理的动作。ARP上送控制器流表的匹配域中记录了VLAN标识以及请求报文中包含的特征字段,匹配域用于对接入设备接收到的请求报文中的包头内容进行匹配,以判断接入设备接收到的请求报文是否为需要丢弃的报文。当请求报文匹配到ARP上送控制器流表中某一流表项后,接入设备立即执行该流表项中的动作,即:丢弃该请求报文。
S802、终端向接入设备发送请求报文。
S803、接入设备在收到终端发送的请求报文后,根据ARP上送控制器流表判断该请求报文是否为ARP请求报文,若该请求报文为ARP请求报文,则将该请求报文上送到SDN控制器。
接入设备通过Openflow通道将请求报文上送到SDN控制器。
S804、SDN控制器在收到接入设备上送的请求报文后,对终端的合法性进行审批,并在该终端通过审批后下发IP+MAC表项至接入设备。
其中,IP+MAC表项即表示该终端的MAC地址和IP地址间的映射关系。SDN控制器通过Netconf下发IP+MAC表项至接入设备。
S805、接入设备接收SDN控制器下发的IP+MAC表项,并将该IP+MAC表项加入端口安全转发表。
端口安全转发表中每一个条目分别记录了合法终端对应的IP+MAC表项,其作用相当于图4和图5所示实施例中的转发表。
至此完成了对终端入网许可的审批工作,后续接入设备通过查询端口安全转发表中是否存在与请求入网的终端对应的IP+MAC表项确定是否准许该终端入网。例如,当终端再次请求上网时,接入设备拦截下终端发送的请求报文,在确定该请求报文为非ARP请求报文后,查询端口安全转发表中是否存在与该终端的MAC地址或IP地址匹配的IP+MAC表项,若存在与该终端匹配的IP+MAC表项,则表示该终端属于合法终端,准许该终端入网,若不存在与该终端匹配的IP+MAC表项,则表示该终端属于未通过认证的终端,禁止该终端入网。
如图9所示,接入模式下接入设备中执行的终端准入控制方法具体包括以下步骤:
S901、接收终端发送的请求报文。
S902、查找与请求报文中携带的VLAN标识匹配的ARP上送控制器流表。若查找到匹配的ARP上送控制器流表,则表示终端所属的VLAN开启了准入管控功能,执行步骤S903。若未查找到与请求报文中携带的VLAN标识匹配的ARP上送控制器流表,则表示该终端所属的VLAN并未开启准入管控功能,执行步骤S907。
S903、将请求报文的包头内容与查找到的ARP上送控制器流表的匹配域内的特征字段进行匹配。若报文请求的包头内容与匹配域内的特征字段匹配成功,则确定该请求报文为ARP请求报文,执行步骤S904。若报文请求的包头内容与匹配域内的特征字段未匹配成功,表明该请求报文为非ARP请求报文,例如可能是HTTP请求报文,则执行步骤S906。
S904、将请求报文上送到SDN控制器,并等待接收SDN控制器返回的审批结果。若审批结果为通过,SDN控制器会下发该终端的IP+MAC表项,则接入设备执行步骤S905。若审批结果为未通过,则执行步骤S908。
S905、接收SDN控制器下发的IP+MAC表项,并将该IP+MAC表项加入端口安全转发表。
S906、查询端口安全转发表中是否存在终端对应的IP+MAC表项。若端口安全转发表中存在终端对应的IP+MAC表项,表明该终端为通过审批的合法终端,执行步骤S907。若端口安全转发表中不存在终端对应的IP+MAC表项,表明该终端为未通过审批的非法终端,执行步骤S908。
S907、准许该终端入网,将该请求报文上送接入设备。
S908、丢弃该终端的请求报文,禁止该终端入网。
非法终端的请求报文会命中IP报文丢弃流表,通过执行IP报文丢弃流表中的丢弃报文的动作来丢弃非法终端的请求报文。
为了实现自助式的准入管控服务,同时进一步减轻网络管理员的工作负荷,在图4所示的终端准入控制方法的基础上,本发明实施例提供另一种终端准入控制方法,包括以下步骤:
S4101、终端向准入控制设备发送请求报文。
S4102、准入控制设备在收到终端发送的请求报文后,根据ARP上送控制器流表判断该请求报文是否为ARP请求报文,若该请求报文为ARP请求报文,则将该请求报文上送到SDN控制器,并将终端重定向至SDN控制器的自助准入管控页面。
网络管理员预先录入了合法终端信息,并将合法终端信息存入SDN控制器中合法终端信息表中。合法终端信息表中的一条表项记录一条合法终端信息,合法终端信息中包括用户信息和设备信息,用户信息可以是用户的用户名、工号、手机号、邮箱等,设备信息可以是该用户使用的终端的IP地址和MAC地址。为满足用户的需求,一个用户名下可以记录多个终端的设备信息,一个终端下也可以记录多个用户信息。
SDN控制器中增加了自助准入管控开关,当SDN控制器开启自助准入管控功能时,SDN控制器通过NETCONF向准入控制设备下发网页重定向到SDN控制器的自助准入管控页面的网页重定向配置。当准入控制设备接收到ARP请求后,准入控制设备根据网页重定向配置将终端重定向至SDN控制器的自助准入管控页面。
S4103、终端显示自助准入管控页面。
用户通过自助准入管控页面输入用户信息,以使得SDN控制器获取到用户的用户信息。
S4104、SDN控制器在收到准入控制设备上送的请求报文和用户通过自助准入管控页面输入的用户信息后,根据预设的合法终端信息表判断用户信息和请求报文中的设备信息是否匹配,在确认用户信息和设备信息匹配后,向用户持有的通讯设备发送验证信息。
用户持有的通讯设备可以是手机、平板电脑或个人电脑。SDN控制器可以通过短信、邮件等推送方式向用户持有的通讯设备发送验证信息,该验证信息可以是验证码。其中,手机号、邮箱可以从合法终端信息表获取。
具体实施时,SDN控制器根据用户输入的用户信息在合法终端信息表中查找到匹配的用户信息所在的表项,比对查找到的表项中的设备信息与从请求报文中提取的设备信息是否匹配,若匹配,则向用户持有的通讯设备发送验证信息,否则,禁止该终端入网。SDN控制器也可以根据从请求报文中提取的设备信息在合法终端信息表中查找到匹配的设备信息所在的表项,比对查找到的表项中的用户信息与用户输入的用户信息是否匹配,若匹配,则向用户持有的通讯设备发送验证信息,否则,禁止该终端入网。当然,若无法在合法终端信息表中查找匹配的用户信息和终端信息,则表明该设备或用户并不是预先登记的合法终端或合法用户,禁止该终端入网。
S4105、终端将用户输入的验证信息发送至SDN控制器。
S4106、SDN控制器接收用户通过终端反馈的验证信息,若终端反馈的验证信息与SDN控制器发送的验证信息相同,则确定所述终端通过审批,下发该终端的MAC地址和IP地址间的映射关系至准入控制设备。
当用户通过终端输入的验证信息和SDN控制器发送给用户的验证信息一致时,表明当前使用该终端的用户为合法用户。通过校验验证信息,可以防止发生恶意用户盗用或伪造设备信息和用户信息以通过入网验证的情况。
S4107、准入控制设备接收SDN控制器下发的映射关系,并将该映射关系加入转发表。
通过SDN控制器中预设的合法终端信息表实现自动对终端合法性进行审批,帮助合法终端快速入网,此外通过比对用户信息和设备信息、短信验证码等多重手段对用户身份进行审核,可以防止非法终端通过伪造IP地址和MAC地址非法入网。
如图10所示,基于与上述终端准入控制方法相同的发明构思,本发明实施例还提供了一种终端准入控制装置100,包括ARP请求判断模块1001、ARP请求上送模块1002和转发表模块1003。
ARP请求判断模块1001用于根据ARP上送控制器流表判断请求报文是否为ARP请求报文,ARP上送控制器流表为SDN控制器下发的与开启准入管控的VLAN对应的流表,ARP上送控制器流表的匹配域中记录了VLAN的VLAN标识以及ARP请求报文中包含的特征字段;
ARP请求上送模块1002用于若请求报文为ARP请求报文,则将请求报文上送到SDN控制器,以使SDN控制器在终端通过审批后下发终端的媒体访问控制MAC地址和互联网协议IP地址间的映射关系;
转发表模块1003用于接收SDN控制器下发的映射关系,并将映射关系加入转发表,其中,通过查询转发表中是否存在与终端对应的映射关系确定是否准许终端入网。
可选地,ARP请求判断模块1001具体用于:查找到与请求报文中携带的VLAN标识匹配的ARP上送控制器流表;将请求报文的包头内容与查找到的ARP上送控制器流表的匹配域内的特征字段进行匹配;若报文请求的包头内容与匹配域内的特征字段匹配成功,则确定请求报文为ARP请求报文。
可选地,终端准入控制装置100还包括准许入网模块,用于若未查找到与请求报文中携带的VLAN标识匹配的ARP上送控制器流表,则准许终端入网。
可选地,终端准入控制装置100还包括入网管控模块,用于若报文请求的包头内容与匹配域内的特征字段未匹配成功,则查询转发表中是否存在终端对应的映射关系;若转发表中存在终端对应的映射关系,准许终端入网,否则,丢弃请求报文。
可选地,终端准入控制装置100还包括管控开启模块,用于关闭动态ARP学习功能并清除开启准入管控的VLAN对应的转发表中的信息。
可选地,入网管控模块具体用于若转发表中存在终端对应的映射关系,将请求报文发送给核心设备,以使核心设备执行请求报文对应的操作。
可选地,本实施例的终端准入控制装置100还包括重定向配置模块,用于若请求报文为ARP请求报文,则将终端重定向至SDN控制器的自助准入管控页面,以使SDN控制器获取用户通过自助准入管控页面输入的用户信息,在根据用户信息和ARP请求报文中的设备信息确认所述终端合法后,下发终端的MAC地址和IP地址间的映射关系。
本发明实施例提的终端准入控制装置与上述终端准入控制方法采用了相同的发明构思,能够取得相同的有益效果,在此不再赘述。
如图11所示,基于与上述终端准入控制方法相同的发明构思,本发明实施例还提供了一种终端准入控制装置110,包括流表下发模块1100、请求报文接收模块1101、审批模块1102和映射关系下发模块1103。
流表下发模块1100,用于将开启准入管控的VLAN对应的ARP上送控制器流表下发至准入控制设备,ARP上送控制器流表的匹配域中记录了VLAN标识以及ARP请求报文中包含的特征字段,以使准入控制设备根据ARP上送控制器流表判断终端发送的请求报文是否为ARP请求报文;
请求报文接收模块1101,用于接收准入控制设备上送的请求报文,请求报文为ARP请求报文;
审批模块1102,用于在收到请求报文后对终端的合法性进行审批;
映射关系下发模块1103,用于在终端通过审批后下发终端的MAC地址和IP地址间的映射关系至准入控制设备。
可选地,流表下发模块1100还用于在下发ARP上送控制器流表的同时,将开启准入管控的VLAN对应的IP报文丢弃流表下发至接入设备。
可选地,终端准入控制装置110还包括指令下发模块,用于将关闭指令和清除指令下发至核心设备,以使核心设备响应于关闭指令关闭动态ARP学习功能,并响应于清除指令清除开启准入管控的VLAN对应的转发表中的信息。
可选地,本实施例的终端准入控制装置110还包括用户信息获取模块,用于获取用户通过终端上显示的自助准入管控页面输入的用户信息。
相应地,审批模块1102具体用于:根据预设的合法终端信息表判断用户信息和ARP请求报文中的设备信息是否匹配,其中,合法终端信息表中包括合法终端的设备信息和用户信息;在确认用户信息和设备信息匹配后,向用户持有的通讯设备发送验证信息;接收用户通过终端反馈的验证信息,若终端反馈的验证信息与向用户持有的通讯设备发送的验证信息相同,则确定终端通过审批。
本发明实施例提的终端准入控制装置与上述终端准入控制方法采用了相同的发明构思,能够取得相同的有益效果,在此不再赘述。
基于与上述终端准入控制方法相同的发明构思,本发明实施例还提供了一种准入控制设备,该电子设备具体可以为布设在网络系统中的现有设备,如接入设备或核心设备。如图12所示,该准入控制设备120可以包括处理器1201、存储器1202和收发机1203。收发机1203用于在处理器1201的控制下接收和发送数据。
存储器1202可以包括只读存储器(ROM)和随机存取存储器(RAM),并向处理器提供存储器中存储的程序指令和数据。在本发明实施例中,存储器可以用于存储终端准入控制方法的程序。
处理器1201可以是CPU(中央处埋器)、ASIC(Application Specific IntegratedCircuit,专用集成电路)、FPGA(Field-Programmable Gate Array,现场可编程门阵列)或CPLD(Complex Programmable Logic Device,复杂可编程逻辑器件)处理器通过调用存储器存储的程序指令,按照获得的程序指令实现上述任一实施例中的终端准入控制方法。
基于与上述终端准入控制方法相同的发明构思,本发明实施例还提供了一种SDN控制器,如图13所示,该SDN控制器130可以包括处理器1301、存储器1302和收发机1303。收发机1303用于在处理器1301的控制下接收和发送数据。
存储器1302可以包括只读存储器(ROM)和随机存取存储器(RAM),并向处理器提供存储器中存储的程序指令和数据。在本发明实施例中,存储器可以用于存储终端准入控制方法的程序。
处理器1301可以是CPU(中央处埋器)、ASIC(Application Specific IntegratedCircuit,专用集成电路)、FPGA(Field-Programmable Gate Array,现场可编程门阵列)或CPLD(Complex Programmable Logic Device,复杂可编程逻辑器件)处理器通过调用存储器存储的程序指令,按照获得的程序指令实现上述任一实施例中的终端准入控制方法。
基于与上述终端准入控制方法相同的发明构思,本发明实施例还提供了一种终端准入控制系统,如图3所示,终端准入控制系统30包括:终端31、接入设备32、核心设备34和SDN控制器35。终端31通过接入设备32向核心设备34发送终端请求报文,核心设备34用于执行上述任一实施例中的终端准入控制方法的步骤,SDN控制器35配合核心设备执行终端准入控制方法的步骤,使得合法终端能够正常入网。
基于与上述终端准入控制方法相同的发明构思,本发明实施例还提供了一种终端准入控制系统,如图3所示,终端准入控制系统30包括:终端31、接入设备32、核心设备34和SDN控制器35。终端31向接入设备32发送终端请求报文,核心设备34执行上述任一实施例中的终端准入控制方法的步骤,SDN控制器配合核心设备执行终端准入控制方法的步骤。核心设备34仅将合法终端的请求报文上送至核心设备34,核心设备34在收到接入设备34上送的请求报文后,执行请求报文对应的操作,以使得合法终端能够正常入网。
本发明实施例提供了一种计算机可读存储介质,用于储存为上述电子设备所用的计算机程序指令,其包含用于执行上述终端准入控制方法的程序。
上述计算机存储介质可以是计算机能够存取的任何可用介质或数据存储设备,包括但不限于磁性存储器(例如软盘、硬盘、磁带、磁光盘(MO)等)、光学存储器(例如CD、DVD、BD、HVD等)、以及半导体存储器(例如ROM、EPROM、EEPROM、非易失性存储器(NAND FLASH)、固态硬盘(SSD))等。
以上所述,以上实施例仅用以对本申请的技术方案进行了详细介绍,但以上实施例的说明只是用于帮助理解本发明实施例的方法,不应理解为对本发明实施例的限制。本技术领域的技术人员可轻易想到的变化或替换,都应涵盖在本发明实施例的保护范围之内。
Claims (17)
1.一种终端准入控制方法,其特征在于,包括:
在收到终端发送的请求报文后,根据地址解析协议ARP上送控制器流表判断所述请求报文是否为ARP请求报文,所述ARP上送控制器流表为软件定义网络SDN控制器下发的与开启准入管控的虚拟局域网VLAN对应的流表,所述ARP上送控制器流表的匹配域中记录了所述VLAN的VLAN标识以及ARP请求报文中包含的特征字段;
若所述请求报文为ARP请求报文,则将所述请求报文上送到所述SDN控制器,以使所述SDN控制器在所述终端通过审批后下发所述终端的媒体访问控制MAC地址和互联网协议IP地址间的映射关系;
接收所述SDN控制器下发的所述映射关系,并将所述映射关系加入转发表,其中,通过查询所述转发表中是否存在与所述终端对应的映射关系确定是否准许所述终端入网。
2.根据权利要求1所述的方法,其特征在于,所述根据ARP上送控制器流表判断所述请求报文是否为ARP请求报文,具体包括:
查找到与所述请求报文中携带的VLAN标识匹配的ARP上送控制器流表;
将所述请求报文的包头内容与查找到的ARP上送控制器流表的匹配域内的特征字段进行匹配;
若所述报文请求的包头内容与所述匹配域内的特征字段匹配成功,则确定所述请求报文为ARP请求报文。
3.根据权利要求2所述的方法,其特征在于,所述方法还包括:
若未查找到与所述请求报文中携带的VLAN标识匹配的ARP上送控制器流表,则准许所述终端入网。
4.根据权利要求2所述的方法,其特征在于,所述方法还包括:
若所述报文请求的包头内容与所述匹配域内的特征字段未匹配成功,则查询所述转发表中是否存在所述终端对应的映射关系;
若所述转发表中存在所述终端对应的映射关系,准许所述终端入网,否则,丢弃所述请求报文。
5.根据权利要求1至4中任一项所述的方法,其特征在于,在将所述请求报文上送到所述SDN控制器的同时,还包括:
将所述终端重定向至所述SDN控制器的自助准入管控页面,以使所述SDN控制器获取用户通过所述自助准入管控页面输入的用户信息,在根据所述用户信息和所述ARP请求报文中的设备信息确认所述终端合法后,下发所述终端的MAC地址和IP地址间的映射关系。
6.根据权利要求5所述的方法,其特征在于,在接收所述终端发送的请求报文之前,所述方法还包括:
关闭动态ARP学习功能并清除开启准入管控的VLAN对应的转发表中的信息。
7.根据权利要求5所述的方法,其特征在于,还包括:
若所述转发表中存在所述终端对应的映射关系,将所述请求报文发送给核心设备,以使所述核心设备执行所述请求报文对应的操作。
8.一种终端准入控制方法,其特征在于,包括:
将开启准入管控的VLAN对应的ARP上送控制器流表下发至准入控制设备,所述ARP上送控制器流表的匹配域中记录了VLAN标识以及ARP请求报文中包含的特征字段,以使所述准入控制设备根据所述ARP上送控制器流表判断终端发送的请求报文是否为ARP请求报文;
接收所述准入控制设备上送的请求报文,所述请求报文为ARP请求报文;
在收到所述请求报文后对所述终端的合法性进行审批;
在所述终端通过审批后下发所述终端的MAC地址和IP地址间的映射关系至所述准入控制设备。
9.根据权利要求8所述的方法,其特征在于,当所述准入控制设备为核心设备时,在接收所述准入控制设备上送的请求报文之前,所述方法还包括:
将关闭指令和清除指令下发至所述核心设备,以使所述核心设备响应于所述关闭指令关闭动态ARP学习功能,并响应于所述清除指令清除所述开启准入管控的VLAN对应的转发表中的信息。
10.根据权利要求8所述的方法,其特征在于,在对所述终端的合法性进行审批之前,还包括:
获取用户通过所述终端上显示的自助准入管控页面输入的用户信息;
所述对所述终端的合法性进行审批,具体包括:
根据预设的合法终端信息表判断所述用户信息和所述ARP请求报文中的设备信息是否匹配,所述合法终端信息表中包括合法终端的设备信息和用户信息;
在确认所述用户信息和所述设备信息匹配后,向所述用户持有的通讯设备发送验证信息;
接收所述用户通过所述终端反馈的验证信息,若所述终端反馈的验证信息与向所述用户持有的通讯设备发送的验证信息相同,则确定所述终端通过审批。
11.一种准入控制设备,包括收发机、存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,其特征在于,所述收发机用于在所述处理器的控制下接收和发送数据,所述处理器执行所述程序时实现权利要求1至7任一项所述方法的步骤。
12.一种SDN控制器,包括收发机、存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,其特征在于,所述收发机用于在所述处理器的控制下接收和发送数据,所述处理器执行所述程序时实现权利要求8至10任一项所述方法的步骤。
13.一种终端准入控制系统,其特征在于,包括:SDN控制器、核心设备、接入设备和终端;
所述终端用于通过所述接入设备向所述核心设备发送终端请求报文;
所述核心设备用于执行权利要求1至6中任一所述方法的步骤;
所述SDN控制器用于执行权利要求8至10中任一所述方法的步骤。
14.一种终端准入控制系统,其特征在于,包括:SDN控制器、核心设备、接入设备和终端;
所述终端用于向所述接入设备发送终端请求报文;
所述接入设备用于执行权利要求7或权利要求1至5中任一所述方法的步骤;
所述SDN控制器用于执行权利要求8或10所述方法的步骤;
所述核心设备用于在收到所述接入设备上送的所述请求报文后,执行所述请求报文对应的操作。
15.一种终端准入控制装置,其特征在于,包括:
ARP请求判断模块,用于在收到终端发送的请求报文后,根据地址解析协议ARP上送控制器流表判断所述请求报文是否为ARP请求报文,所述ARP上送控制器流表为软件定义网络SDN控制器下发的与开启准入管控的虚拟局域网VLAN对应的流表,所述ARP上送控制器流表的匹配域中记录了所述VLAN的VLAN标识以及ARP请求报文中包含的特征字段;
ARP请求上送模块,用于若所述请求报文为ARP请求报文,则将所述请求报文上送到所述SDN控制器,以使所述SDN控制器在所述终端通过审批后下发所述终端的媒体访问控制MAC地址和互联网协议IP地址间的映射关系;
转发表模块,用于接收所述SDN控制器下发的所述映射关系,并将所述映射关系加入转发表,其中,通过查询所述转发表中是否存在与所述终端对应的映射关系确定是否准许所述终端入网。
16.一种终端准入控制装置,其特征在于,包括:
流表下发模块,用于将开启准入管控的VLAN对应的ARP上送控制器流表下发至准入控制设备,所述ARP上送控制器流表的匹配域中记录了VLAN标识以及ARP请求报文中包含的特征字段,以使所述准入控制设备根据所述ARP上送控制器流表判断终端发送的请求报文是否为ARP请求报文;
请求报文接收模块,用于接收所述准入控制设备上送的请求报文,所述请求报文为ARP请求报文;
审批模块,用于在收到所述请求报文后对所述终端的合法性进行审批;
映射关系下发模块,用于在所述终端通过审批后下发所述终端的MAC地址和IP地址间的映射关系至所述准入控制设备。
17.一种计算机可读存储介质,其上存储有计算机程序指令,其特征在于,该程序指令被处理器执行时实现权利要求1至10任一项所述方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811160350.9A CN109067937B (zh) | 2018-09-30 | 2018-09-30 | 终端准入控制方法、装置、设备、系统及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811160350.9A CN109067937B (zh) | 2018-09-30 | 2018-09-30 | 终端准入控制方法、装置、设备、系统及存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN109067937A true CN109067937A (zh) | 2018-12-21 |
| CN109067937B CN109067937B (zh) | 2021-08-17 |
Family
ID=64767369
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201811160350.9A Active CN109067937B (zh) | 2018-09-30 | 2018-09-30 | 终端准入控制方法、装置、设备、系统及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN109067937B (zh) |
Cited By (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109587286A (zh) * | 2018-12-27 | 2019-04-05 | 新华三技术有限公司 | 一种设备接入控制方法及装置 |
| CN110691101A (zh) * | 2019-10-28 | 2020-01-14 | 锐捷网络股份有限公司 | 哑终端免认证名单的配置方法及装置 |
| CN111083239A (zh) * | 2019-12-31 | 2020-04-28 | 东台市卫生信息中心 | 融合大数据与物联网的医养结合信息服务与预警系统 |
| CN111491351A (zh) * | 2020-04-28 | 2020-08-04 | 国家广播电视总局广播电视科学研究院 | 一种基于认证信息感知WiFi终端上线的方法及系统 |
| CN111917700A (zh) * | 2020-03-24 | 2020-11-10 | 北京融汇画方科技有限公司 | 基于混合准入技术解决单一准入技术带来的管控漏洞与环境兼容性问题 |
| CN112543203A (zh) * | 2020-12-28 | 2021-03-23 | 杭州迪普科技股份有限公司 | 终端接入方法、装置及系统 |
| CN113691521A (zh) * | 2021-08-19 | 2021-11-23 | 北京鼎普科技股份有限公司 | 一种基于终端网络准入的方法 |
| CN114329602A (zh) * | 2021-12-30 | 2022-04-12 | 奇安信科技集团股份有限公司 | 一种访问控制方法、服务器、电子设备及存储介质 |
| CN115412319A (zh) * | 2022-08-19 | 2022-11-29 | 浪潮思科网络科技有限公司 | 一种基于策略随行的网络权限控制方法、设备及介质 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20150071289A1 (en) * | 2013-09-11 | 2015-03-12 | Electronics And Telecommunications Research Institute | System and method for address resolution |
| CN104780088A (zh) * | 2015-03-19 | 2015-07-15 | 杭州华三通信技术有限公司 | 一种业务报文的传输方法和设备 |
| CN106506515A (zh) * | 2016-11-22 | 2017-03-15 | 杭州华三通信技术有限公司 | 一种认证方法和装置 |
| CN106533943A (zh) * | 2016-12-06 | 2017-03-22 | 中国电子科技集团公司第三十二研究所 | 基于网络交换芯片的微码和流表的实现方法 |
-
2018
- 2018-09-30 CN CN201811160350.9A patent/CN109067937B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20150071289A1 (en) * | 2013-09-11 | 2015-03-12 | Electronics And Telecommunications Research Institute | System and method for address resolution |
| CN104780088A (zh) * | 2015-03-19 | 2015-07-15 | 杭州华三通信技术有限公司 | 一种业务报文的传输方法和设备 |
| CN106506515A (zh) * | 2016-11-22 | 2017-03-15 | 杭州华三通信技术有限公司 | 一种认证方法和装置 |
| CN106533943A (zh) * | 2016-12-06 | 2017-03-22 | 中国电子科技集团公司第三十二研究所 | 基于网络交换芯片的微码和流表的实现方法 |
Cited By (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109587286A (zh) * | 2018-12-27 | 2019-04-05 | 新华三技术有限公司 | 一种设备接入控制方法及装置 |
| CN110691101A (zh) * | 2019-10-28 | 2020-01-14 | 锐捷网络股份有限公司 | 哑终端免认证名单的配置方法及装置 |
| CN111083239A (zh) * | 2019-12-31 | 2020-04-28 | 东台市卫生信息中心 | 融合大数据与物联网的医养结合信息服务与预警系统 |
| CN111917700A (zh) * | 2020-03-24 | 2020-11-10 | 北京融汇画方科技有限公司 | 基于混合准入技术解决单一准入技术带来的管控漏洞与环境兼容性问题 |
| CN111491351A (zh) * | 2020-04-28 | 2020-08-04 | 国家广播电视总局广播电视科学研究院 | 一种基于认证信息感知WiFi终端上线的方法及系统 |
| CN112543203A (zh) * | 2020-12-28 | 2021-03-23 | 杭州迪普科技股份有限公司 | 终端接入方法、装置及系统 |
| CN113691521A (zh) * | 2021-08-19 | 2021-11-23 | 北京鼎普科技股份有限公司 | 一种基于终端网络准入的方法 |
| CN114329602A (zh) * | 2021-12-30 | 2022-04-12 | 奇安信科技集团股份有限公司 | 一种访问控制方法、服务器、电子设备及存储介质 |
| CN115412319A (zh) * | 2022-08-19 | 2022-11-29 | 浪潮思科网络科技有限公司 | 一种基于策略随行的网络权限控制方法、设备及介质 |
| CN115412319B (zh) * | 2022-08-19 | 2024-03-26 | 浪潮思科网络科技有限公司 | 一种基于策略随行的网络权限控制方法、设备及介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN109067937B (zh) | 2021-08-17 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109067937A (zh) | 终端准入控制方法、装置、设备、系统及存储介质 | |
| JP2018116708A (ja) | ネットワーク接続自動化 | |
| CN107181720B (zh) | 一种软件定义网路sdn安全通信的方法及装置 | |
| US11405378B2 (en) | Post-connection client certificate authentication | |
| TW200905515A (en) | Systems, methods and media for firewall control via remote system information | |
| CN101986598B (zh) | 认证方法、服务器及系统 | |
| CN103404103A (zh) | 将访问控制系统与业务管理系统相结合的系统和方法 | |
| WO2016202007A1 (zh) | 一种设备运维方法及系统 | |
| KR101252787B1 (ko) | 다수의 중계 서버를 갖는 보안관리 시스템 및 보안관리 방법 | |
| CN111131310A (zh) | 访问控制方法、装置、系统、计算机设备和存储介质 | |
| US20220217143A1 (en) | Identity security gateway agent | |
| US11539695B2 (en) | Secure controlled access to protected resources | |
| CN112948842A (zh) | 一种鉴权方法及相关设备 | |
| JP2018502394A (ja) | レガシー統合のためのコンピュータ読み取り可能な記憶媒体ならびにそれを使用するための方法およびシステム | |
| US8769623B2 (en) | Grouping multiple network addresses of a subscriber into a single communication session | |
| CN115603932A (zh) | 一种访问控制方法、访问控制系统及相关设备 | |
| US20220158977A1 (en) | Authenticating to a hybrid cloud using intranet connectivity as silent authentication factor | |
| CN106888091A (zh) | 基于eap的可信网络接入方法和系统 | |
| TWI759908B (zh) | 產生授權允許名單的方法與利用其之資安系統 | |
| CN109660535A (zh) | Linux系统中数据的处理方法和装置 | |
| WO2021098213A1 (zh) | 一种可信状态监控的方法、设备及介质 | |
| US10298588B2 (en) | Secure communication system and method | |
| US20050097322A1 (en) | Distributed authentication framework stack | |
| US8185642B1 (en) | Communication policy enforcement in a data network | |
| KR101160903B1 (ko) | 네트워크 식별자 분류 시스템 및 그 방법 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |