CN110535696A - 网络设备配置方法、控制器及网络设备 - Google Patents
网络设备配置方法、控制器及网络设备 Download PDFInfo
- Publication number
- CN110535696A CN110535696A CN201910775668.6A CN201910775668A CN110535696A CN 110535696 A CN110535696 A CN 110535696A CN 201910775668 A CN201910775668 A CN 201910775668A CN 110535696 A CN110535696 A CN 110535696A
- Authority
- CN
- China
- Prior art keywords
- dhcp
- message
- network equipment
- equipment
- account
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/08—Configuration management of networks or network elements
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/50—Address allocation
- H04L61/5007—Internet protocol [IP] addresses
- H04L61/5014—Internet protocol [IP] addresses using dynamic host configuration protocol [DHCP] or bootstrap protocol [BOOTP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0815—Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0876—Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Power Engineering (AREA)
- Small-Scale Networks (AREA)
Abstract
本申请提供一种网络设备配置方法、控制器及网络设备,所述方法包括:接收网络设备发送的第一DHCP报文,所述第一DHCP报文包括所述网络设备的设备标识及设备账号;创建与所述设备账号对应的临时密码,并将所述设备账号及临时密码配置到仓库服务器中;向所述网络设备发送第二DHCP报文,所述第二DHCP报文包括所述临时密码及与所述设备标识匹配的文件标识,以使所述网络设备通过所述设备账号及所述临时密码登录所述仓库服务器,并获取与所述文件标识对应的启动文件,如此,提高了网络系统中各设备之间交互的安全性。
Description
技术领域
本申请涉及网络通信技术领域,具体而言,涉及一种网络设备配置方法、控制器及网络设备。
背景技术
软件定义网络(Software Define Network,SDN)通常包括控制器及由控制器管理的大量的网络设备。对于产品类型或者角色不同的网络设备,需要在上线接入SDN网络的过程中加载不同的系统文件或配置文件。
在规模较大的SDN网络中,可以采用网络设备自动化上线的方式减少管理的人工配置动作。在网络设备自动化上线的场景中,网络设备可以使用通用的系统文件或配置文件启动,然后由控制器与网络设备进行交互,通知网络设备从指定的仓库服务器获取与该网络设备的产品类型或角色对应的系统文件或配置文件,网络设备再重新启动并加载新获取到的系统文件或配置文件完成上线。
但当前控制器与网络设备之间的信息交互安全性低,仓库服务器地址容易暴露,到时非法设备可以直接访问仓库服务器获取窃取系统文件或配置文件进行版本更新。
发明内容
本申请提供一种网络设备配置方法、控制器及网络设备,通过改进控制器与网络设备之间的交互过程,可以使网络设备自动化上线的流程更加安全。
第一方面,本申请提供一种网络设备配置方法,应用于控制器;所述方法包括:
接收网络设备发送的第一DHCP报文,所述第一DHCP报文包括所述网络设备的设备标识及设备账号;
创建与所述设备账号对应的临时密码,并将所述设备账号及临时密码配置到仓库服务器中;
向所述网络设备发送第二DHCP报文,所述第二DHCP报文包括所述临时密码及与所述设备标识匹配的文件标识,以使所述网络设备通过所述设备账号及所述临时密码登录所述仓库服务器,并获取与所述文件标识对应的启动文件。
可选地,所述第一DHCP报文具体为DHCP发现报文或DHCP请求报文;
所述接收网络设备发送的第一DHCP报文,包括:
接收所述网络设备发送的DHCP发现报文,所述DHCP发现报文包括所述设备标识;
向所述网络设备发送针对所述DHCP发现报文的DHCP提供报文;
接收所述网络设备针对所述DHCP提供报文发送的DHCP请求报文,所述DHCP请求报文包括所述设备账号。
可选地,所述设备标识携带在所述DHCP发现报文包括的预设标识字段内;所述设备账号携带在所述DHCP请求报文包括的预设标识字段内。
可选地,所述控制器预存有合法设备标识集,所述合法设备标识集中记录有合法网络设备的设备标识;
所述向所述网络设备发送针对所述DHCP发现报文的DHCP提供报文之前,所述方法还包括:
检测所述合法设备标识集中是否记录有所述设备标识;
若所述合法设备标识集中记录有所述设备标识,则向所述网络设备发送针对所述DHCP发现报文的DHCP提供报文。
可选地,所述DHCP提供报文还包括为所述网络设备分配的随机码;所述DHCP请求报文包括的所述设备账号由所述网络设备通过所述随机码加密;
所述接收所述网络设备发送的DHCP请求报文之后,所述方法还包括:
通过所述随机码对加密的所述设备账号进行解密,获得解密后的设备账号;
所述向所述网络设备发送第二DHCP报文,包括:
通过所述随机码对所述临时密码及所述文件标识进行加密,向所述网络设备发送第二DHCP报文,所述第二DHCP报文包括加密后的所述临时密码及所述文件标识。
可选地,所述DHCP提供报文或所述第二DHCP报文还包括通过所述随机码加密的所述仓库服务器的地址,以使所述网络设备根据仓库服务器的地址访问所述仓库服务器并获取所述启动文件。
可选地,所述方法还包括:
接收所述网络设备发送的第三DHCP报文;
若所述第三DHCP报文包括所述随机码,则获取所述第三DHCP报文中通过所述随机码加密的纳管账号及纳管密码;
根据所述纳管账号及纳管密码登录所述网络设备,并对所述网络设备进行纳管控制。
第二方面,本申请提供一种网络设备配置方法,应用于网络设备,所述方法包括:
发送第一DHCP报文,所述第一DHCP报文包括该网络设备的设备标识及设备账号;
接收控制器针对所述第一DHCP报文发送的第二DHCP报文,所述第二DHCP报文包括所述控制器为根据该网络设备的设备账号分配的临时密码及根据该网络设备的设备标识确定出的文件标识;
通过所述设备账号及所述临时密码登录仓库服务器,并从所述仓库服务器获取与所述文件标识对应的启动文件。
可选地,所述第一DHCP报文具体为DHCP发现报文或DHCP请求报文;所述发送第一DHCP报文,包括:
发送DHCP发现报文,所述DHCP发现报文包括所述设备标识;
接收所述控制器针对所述DHCP发现报文发送的DHCP提供报文;
发送针对所述DHCP提供报文的DHCP请求报文,所述DHCP请求报文包括所述设备账号。
可选地,所述设备标识携带在所述DHCP发现报文包括的预设标识字段内;所述设备账号携带在所述DHCP请求报文包括的预设标识字段内。
可选地,所述DHCP提供报文还包括为所述网络设备分配的随机码;所述发送针对所述DHCP提供报文的DHCP请求报文,包括:
通过所述随机码对所述设备账号进行加密,发送所述DHCP请求报文,所述DHCP请求报文包括加密后的所述设备账号;
所述第二DHCP报文包括的所述临时密码及文件标识由所述控制器通过所述随机码加密;所述接收控制器针对所述第一DHCP报文发送的第二DHCP报文之后,所述方法还包括:
通过所述随机码对加密的所述临时密码及文件标识进行解码,获得解密后所述随机码及文件标识。
可选地,所述DHCP提供报文或所述第二DHCP报文还包括通过所述随机码加密的所述仓库服务器的地址;所述通过所述设备账号及所述临时密码登录仓库服务器,并从所述仓库服务器获取与所述文件标识对应的启动文件,包括:
根据所述仓库服务器的地址、所述设备账号及所述临时密码登录所述仓库服务器,并获取与所述文件标识对应的启动文件。
可选地,所述方法还包括:
向所述控制器发送第三DHCP报文,所述第三DHCP报文包括所述随机码及通过所述随机码加密的纳管账号及纳管密码,以使所述控制器根据所述随机码对所述第三DHCP报文进行验证,在验证通过后根据所述纳管账号及纳管密码登录所述网络设备,并对所述网络设备进行纳管控制。
第三方面,本申请提供一种控制器,包括机器可读存储介质及处理器,所述机器可读存储介质存储有机器可执行指令,所述机器可执行指令在被所述处理器执行时,所述控制器实现本申请提供所述网络设备配置方法。
第四方面,本申请提供一种网络设备,包括机器可读存储介质及处理器,所述机器可读存储介质存储有机器可执行指令,所述机器可执行指令在被所述处理器执行时,所述网络设备实现本申请提供所述网络设备配置方法。
相对于现有技术而言,本申请具有以下有益效果:
本申请提供的网络配置方法、控制器及网络设备,通过在控制器为网络设备分配设备通信地址的报文交互过程中,获取网络设备的设备账号,并为网络设备分配临时密码,然后将网络设备的设备账号和临时密码配置到仓库服务器中,从而使仓库服务器可以对登录的网络设备进行验证,防止非法设备可以直接从仓库服务器窃取系统文件或配置文件。
附图说明
为了更清楚地说明本申请实施例的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,应当理解,以下附图仅示出了本申请的某些实施例,因此不应被看作是对范围的限定,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他相关的附图。
图1为本申请第一实施例提供的SDN网络系统的示意图之一;
图2为本申请第一实施例提供的SDN网络系统的示意图之二;
图3为本申请第一实施例提供的网络设备配置方法的步骤流程示意图;
图4为本申请第二实施例提供的网络设备配置方法的步骤流程示意图;
图5为本申请第三实施例提供的控制器的硬件示意图;
图6为本申请第三实施例提供的第一网络设备配置装置的功能模块示意图;
图7为本申请第四实施例提供的网络设备的硬件示意图;
图8为本申请第四实施例提供的第而网络设备配置装置的功能模块示意图。
具体实施方式
为使本申请实施例的目的、技术方案和优点更加清楚,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本申请一部分实施例,而不是全部的实施例。通常在此处附图中描述和示出的本申请实施例的组件可以以各种不同的配置来布置和设计。
因此,以下对在附图中提供的本申请的实施例的详细描述并非旨在限制要求保护的本申请的范围,而是仅仅表示本申请的选定实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步定义和解释。
第一实施例
请参照图1,图1为本申请实施例提供的SDN网络系统的示意图,该SDN网络系统包括控制器100、网络设备200及仓库服务器300。其中,控制器100可以与各网络设备200通信,通过向各网络设备200下发配置指令或控制指令的方式控制网络设备200的转发动作。仓库服务器300可以存储有不同产品类型或者不同角色的网络设备200启动所需的启动文件,例如,系统文件及配置文件,网络设备200可以通过与仓库服务器300交互获取启动文件。
控制器100可以与各网络设备200通信,且控制器100运行有地址分配服务(例如,动态主机设置协议(Dynamic Host Configuration Protocol,DHCP)服务),使控制器100可以与网络设备200进行DHCP报文交互,以为网络设备200分配通信地址。
仓库服务器300可以与各网络设备200通信,并且仓库服务器300运行有文件传输服务(例如,简单文件传输协议(Trivial File Transfer Protocol,TFTP)服务),使网络设备200可以从仓库服务器300获取其存储的系统文件或配置文件。
在一个例子中,控制器100与仓库服务器300可以是能够相互通信的两台独立的设备,如图1所示。在另一个例子中,控制器100上也可以运行文件传输服务,即,将仓库服务器300作为控制器100上的一个服务进程,如图2所示。
请参照图3,图3为本实施例提供的一种应用于图1所示控制器100的网络设备配置方法,下面对该方法的各个步骤进行详细解释。
步骤S110,接收网络设备200发送的第一DHCP报文,所述第一DHCP报文包括所述网络设备的设备标识及设备账号。
可选地,在本实施例中,所述第一DHCP报文具体可以为DHCP发现报文(DHCPdiscover)或DHCP请求报文(DHCPrequest)。
新上线的网络设备200可以先使用预设的通用启动文件执行启动,并在启动后广播DHCP发现报文,以请求控制器100为其分配设备通信地址并提供启动文件。所述DHCP发现报文中包括的网络设备200的设备标识可以为该网络设备200在SDN网络系统的唯一身份标识,如网络设备200的设备编号。
控制器100在接收到DHCP发现报文后,可以为网络设备200分配相应的设备通信地址。所述设备通信地址可以为互联协议(Internet Protocol,IP)地址。
例如,控制器100可以预先记录有不同的设备被标识所对应的地址池或地址分配区间,控制器100在接收到DHCP发现报文后,根据网络设备200的设备标识确定网络设备的角色,并根据该网络设备的角色在对应的地址池或地址分配区间中选择一个空闲的地址分配给所述网络设备200作为设备通信地址。
然后控制器100向网络设备200发送包括该设备通信地址的DHCP提供报文。
网络设备200在接收到DHCP提供报文后,可以针对所述DHCP提供报文广播发送的DHCP请求报文,所述DHCP请求报文包括所述设备账号。
在本实施例中,可以通过在DHCP报文中新定义的预设标识字段记录所述设备标识、设备账号等信息。例如,所述预设标识字段可以为DHCP报文的可选(Option)字段中,Option ID为91的字段。所述设备标识携带在所述DHCP发现报文包括的预设标识字段内。
可选地,控制器100可以预存有合法设备标识集,所述合法设备标识集中记录有合法网络设备的设备标识。
控制器100在接收到DHCP发现报文后,可以先检查DHCP发现报文是否具有所述预设标识字段。
若所述DHCP发现报文中没有所述预设标识字段,则该DHCP发现报文可能不是需要获取启动文件的网络设备200发送的,控制器100不对该DHCP发现报文进行处理。
若所述DHCP发现报文具有所述预设标识字段,则表示该DHCP报文是需要获取启动文件的网络设备200发送的,控制器100再检测所述合法设备标识集中是否记录有该DHCP发现报文携带的设备标识。
若所述合法设备标识集中记录有该DHCP发现报文携带的设备标识,则表示发送该DHCP发现报文的网络设备200是合法设备,所述控制器100才执行向该网络设备200发送针对所述DHCP发现报文的DHCP提供报文的动作。
网络设备200在接收到DHCP提供报文以后,会广播发送DHCP请求报文(DHCPrequest),DHCP请求报文可以包括该网络设备200将要使用的设备通信地址,以通告给各个DHCP服务端。在本实施例中,所述设备账号可以携带在所述DHCP请求报文包括的预设标识字段内。
步骤S120,创建与所述设备账号对应的临时密码,并将所述设备账号及临时密码配置到仓库服务器300中。
控制器100可以将网络设备200的设备账号及为该网络设备200创建的临时密码配置到仓库服务器300中,以使仓库服务器300可以根据获得的设备账号及临时密码对网络设备200的访问登录进行验证。
步骤S130,向所述网络设备200发送第二DHCP报文,所述第二DHCP报文包括所述临时密码及与所述设备标识匹配的文件标识,以使网络设备200通过所述设备账号及所述临时密码登录所述仓库服务器300,并获取与所述文件标识对应的启动文件。
在本实施例中,可以根据不同的网络设备200所需要的启动文件,在控制器100中预先存储不同的设备标识对应的启动文件的文件标识。
在与网络设备200交互的过程中,控制器100可以根据步骤S110中获得的该网络设备200的设备标识确定对应的文件标识。然后将为该网络设备200分配临时密码及确定出文件标识添加至第二DHCP报文中发送给该网络设备200。在本实施例中,该第二DHCP报文可以为DHCP确认报文(DHCPacknowledgement)。
网络设备200在接收到第二DHCP报文后,获得所述临时密码,并可以正式配置使用控制器100为其分配的设备通信地址。
然后,网络设备200可以使用其设备账号及该临时密码访问仓库服务器300,从仓库服务器300获取与所述文件标识对应的启动文件。获得启动文件后,网络设备200可以应用该启动文件重启,并在重启后再次上线。
可选地,在本实施例中,控制器100发送给网络设备200的DHCP提供报文中还包括控制器100为该网络设备200分配的随机码。网络设备200发送给控制器100的DHCP请求报文包括的所述设备账号由所述网络设备通过所述随机码加密。
控制器100接收到DHCP请求报文后,可以通过所述随机码对加密的所述设备账号进行解密,获得解密后的设备账号。
在步骤S130中,控制器100可以通过所述随机码对分配的临时密码及文件标识进行加密,然后向网络设备200发送第二DHCP报文,所述第二DHCP报文包括加密后的所述临时密码及所述文件标识。
如此,通过随机码加密的方式提高了信息传递的安全性,可以防止非法设备截取控制器100与网络设备200之间的交互报文从而获取网络设备200访问仓库服务器300的设备账号和临时密码。
可选地,控制器100向网络设备200发送的所述DHCP提供报文或所述第二DHCP报文还可以包括仓库服务器300的地址,以使网络设备200可以根据仓库服务器300的地址访问仓库服务器300。如此,可以防止非法设备获取到仓库服务器300的地址对仓库服务器300发起网络攻击。
可选地,在本实施例中,不同的网络设备200可以采用不同的加解密算法,控制器100预先记录有不同网络设备200的设备标识对应的加解密算法,并根据步骤S110中获得网络设备200的设备标识,确定后续与该网络设备200交互过程中采用的加解密算法。
可选地,在本实施例中,网络设备200在使用获取到的启动文件完成重新启动后,可以向控制器100发送第三DHCP报文,该第三DHCP报文可以包括控制器100为其分配的随机码以及通过随机码加密的纳管账号及纳管密码。
控制器100接收到第三DHCP报文后,可以检测所述第三DHCP报文中是否包括为该网络设备200分配的随机码。
若所述第三DHCP报文中包括所述随机码,则获取所述第三DHCP报文中加密的纳管账号及纳管密码,并通过所述随机码进行解密。然后,通过纳管账号及纳管密码对所述网络设备200进行纳管控制。
其中,第三DHCP报文包括通过所述随机码加密的纳管账号及纳管密码。例如,第三DHCP报文可以为DHCP信息报文(DHCPinform),该报文可以携网络设备200的网络配置协议(Netconf)账号和密码。然后控制器100可以通过所述纳管账号及纳管密码登录所述网络设备200,并对所述网络设备200进行纳管控制。
若所述第三DHCP报文中未包括所述随机码,该第三DHCP报文可能是非法设备发送的伪造信息,则控制器100不对该第三DHCP报文进行处理。
一方面通过对是否携带有随机码的检测,可以避免控制器100对非法设备发送的信息进行处理;另一方面,纳管账号和纳管密码的传递也通过随机码加密,可以避免非法设备获取到纳管账号和纳管密码从而控制网络设备200,如此,可以是网络系统的管理更加安全和可靠。
第二实施例
请参照图4,本实施例提供一种应用于图1所示网络设备200的网络设备200配置方法,下面对该方法的各个步骤进行详细阐述。
步骤S210,发送第一DHCP报文,所述第一DHCP报文包括该网络设备的设备标识及设备账号;
步骤S220,接收控制器针对所述第一DHCP报文发送的第二DHCP报文,所述第二DHCP报文包括所述控制器为根据该网络设备的设备账号分配的临时密码及根据该网络设备的设备标识确定出的文件标识;
步骤S230,通过所述设备账号及所述临时密码登录仓库服务器,并从所述仓库服务器获取与所述文件标识对应的启动文件。
其中,控制器100与网络设备200之间详细的交互过程可以参见第一实施例的相关描述,此处不再赘述。
第三实施例
请参照图5,图5为本实施例提供的一种控制器100的硬件结构示意图。该控制器100可包括第一处理器130及第一机器可读存储介质120。第一处理器130与第一机器可读存储介质120可经由系统总线通信。并且,第一机器可读存储介质120存储有机器可执行指令,通过读取并执行第一机器可读存储介质120中与网络配置方法逻辑对应的机器可执行指令,第一处理器130可执行上文描述的网络配置方法方法。
本文中提到的第一机器可读存储介质120可以是任何电子、磁性、光学或其它物理存储装置,可以包含或存储信息,如可执行指令、数据,等等。例如,第一机器可读存储介质120可以是:RAM(Radom Access Memory,随机存取存储器)、易失存储器、非易失性存储器、闪存、存储驱动器(如硬盘驱动器)、固态硬盘、任何类型的存储盘(如光盘、dvd等),或者类似的存储介质,或者它们的组合。
请参照图6,本实施例还提供一种第一网络设备配置装置110,第一网络设备配置装置110包括至少一个可以软件形式存储于第一机器可读存储介质120中的功能模块。从功能上划分,第一网络设备配置装置110可以包括第一接收模块111、密码创建模块112及第一发送模块113。
第一接收模块111用于接收网络设备200发送的第一DHCP报文,所述第一DHCP报文包括所述网络设备200的设备标识及设备账号。
密码创建模块112用于创建与所述设备账号对应的临时密码,并将所述设备账号及临时密码配置到仓库服务器中。
第一发送模块113用于向所述网络设备200发送第二DHCP报文,所述第二DHCP报文包括所述临时密码及与所述设备标识匹配的文件标识,以使所述网络设备200通过所述设备账号及所述临时密码登录所述仓库服务器,并获取与所述文件标识对应的启动文件。
可选地,所述第一DHCP报文具体为DHCP发现报文或DHCP请求报文。第一接收模块111具体用于接收所述网络设备200发送的DHCP发现报文,所述DHCP发现报文包括所述设备标识;向所述网络设备200发送针对所述DHCP发现报文的DHCP提供报文;接收所述网络设备200针对所述DHCP提供报文发送的DHCP请求报文,所述DHCP请求报文包括所述设备账号。
可选地,所述设备标识携带在所述DHCP发现报文包括的预设标识字段内;所述设备账号携带在所述DHCP请求报文包括的预设标识字段内。
可选地,所述控制器100预存有合法设备标识集,所述合法设备标识集中记录有合法网络设备200的设备标识。第一网络设备配置装置110还包括检测模块。
所述检测模块用于检测所述合法设备标识集中是否记录有所述设备标识;若所述合法设备标识集中记录有所述设备标识,则向所述网络设备200发送针对所述DHCP发现报文的DHCP提供报文。
可选地,所述DHCP提供报文还包括为所述网络设备200分配的随机码;所述DHCP请求报文包括的所述设备账号由所述网络设备200通过所述随机码加密。
所述第一网络设备配置装置110还包括第一解密模块。所述第一解密模块用于通过所述随机码对加密的所述设备账号进行解密,获得解密后的设备账号。
所述第一发送模块113具体用于通过所述随机码对所述临时密码及所述文件标识进行加密,向所述网络设备200发送第二DHCP报文,所述第二DHCP报文包括加密后的所述临时密码及所述文件标识。
可选地,所述DHCP提供报文或所述第二DHCP报文还包括通过所述随机码加密的所述仓库服务器的地址,以使所述网络设备200根据仓库服务器的地址访问所述仓库服务器并获取所述启动文件。
可选地,第一网络设备配置装置110还包括纳管控制模块。
所述纳管控制模块用于接收所述网络设备200发送的第三DHCP报文;若所述第三DHCP报文包括所述随机码,则获取所述第三DHCP报文中通过所述随机码加密的纳管账号及纳管密码;根据所述纳管账号及纳管密码登录所述网络设备200,并对所述网络设备200进行纳管控制。
第四实施例
请参照图7,图7为本实施例提供的一种网络设备200的硬件结构示意图。该网络设备200可包括第二处理器230及第二机器可读存储介质220。第二处理器230与第二机器可读存储介质220可经由系统总线通信。并且,第二机器可读存储介质220存储有机器可执行指令,通过读取并执行第二机器可读存储介质220中与网络配置方法逻辑对应的机器可执行指令,第二处理器230可执行上文描述的网络配置方法方法。
本文中提到的第二机器可读存储介质220可以是任何电子、磁性、光学或其它物理存储装置,可以包含或存储信息,如可执行指令、数据,等等。例如,第二机器可读存储介质220可以是:RAM(Radom Access Memory,随机存取存储器)、易失存储器、非易失性存储器、闪存、存储驱动器(如硬盘驱动器)、固态硬盘、任何类型的存储盘(如光盘、dvd等),或者类似的存储介质,或者它们的组合。
请参照图8,本实施例还提供一种第二网络设备配置装置210配置装置,第二网络设备配置装置210配置装置包括至少一个可以软件形式存储于第二机器可读存储介质220中的功能模块。从功能上划分,第二网络设备配置装置210配置装置可以包括第二发送模块211、第二接收模块212及文件获取模块213。
第二发送模块211用于发送第一DHCP报文,所述第一DHCP报文包括该网络设备200的设备标识及设备账号。
第二接收模块212用于接收控制器100针对所述第一DHCP报文发送的第二DHCP报文,所述第二DHCP报文包括所述控制器100为根据该网络设备200的设备账号分配的临时密码及根据该网络设备200的设备标识确定出的文件标识。
文件获取模块213用于通过所述设备账号及所述临时密码登录仓库服务器300,并从所述仓库服务器300获取与所述文件标识对应的启动文件。
可选地,所述第一响应报文或所述第二响应报文还包括所述仓库服务器300的地址。文件获取模块213具体用于根据所述仓库服务器300的地址、所述设备账号及所述临时密码登录所述仓库服务器300,并获取与所述文件标识对应的启动文件。
可选地,所述第一DHCP报文具体为DHCP发现报文或DHCP请求报文。第二发送模块211具体用于发送DHCP发现报文,所述DHCP发现报文包括所述设备标识;接收所述控制器100针对所述DHCP发现报文发送的DHCP提供报文;发送针对所述DHCP提供报文的DHCP请求报文,所述DHCP请求报文包括所述设备账号。
可选地,所述设备标识携带在所述DHCP发现报文包括的预设标识字段内。所述设备账号携带在所述DHCP请求报文包括的预设标识字段内。
可选地,所述DHCP提供报文还包括为所述网络设备200分配的随机码。第二发送模块211具体用于通过所述随机码对所述设备账号进行加密,发送所述DHCP请求报文,所述DHCP请求报文包括加密后的所述设备账号。
所述第二DHCP报文包括的所述临时密码及文件标识由所述控制器100通过所述随机码加密;所述第二机器可读存储介质220还包括第二解密模块。
所述第二解密模块用于通过所述随机码对加密的所述临时密码及文件标识进行解码,获得解密后所述随机码及文件标识。
可选地,所述DHCP提供报文或所述第二DHCP报文还包括通过所述随机码加密的所述仓库服务器的地址。所述文件获取模块213具体用于根据所述仓库服务器的地址、所述设备账号及所述临时密码登录所述仓库服务器,并获取与所述文件标识对应的启动文件。
可选地,所述第二机器可读存储介质220还包括纳管请求模块。
所述纳管请求模块用于向所述控制器100发送第三DHCP报文,所述第三DHCP报文包括所述随机码及通过所述随机码加密的纳管账号及纳管密码,以使所述控制器100根据所述随机码对所述第三DHCP报文进行验证,在验证通过后根据所述纳管账号及纳管密码登录所述网络设备200,并对所述网络设备200进行纳管控制。
综上所述,本申请提供的网络配置方法、控制器及网络设备,通过在控制器为网络设备分配设备通信地址的报文交互过程中,获取网络设备的设备账号,并为网络设备分配临时密码,然后将网络设备的设备账号和临时密码配置到仓库服务器中,从而使仓库服务器可以对登录的网络设备进行验证,防止非法设备可以直接从仓库服务器窃取系统文件或配置文件。
在本申请所提供的实施例中,应该理解到,所揭露的装置和方法,也可以通过其它的方式实现。以上所描述的装置实施例仅仅是示意性的,例如,附图中的流程图和框图显示了根据本申请的多个实施例的装置、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段或代码的一部分,所述模块、程序段或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现方式中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个连续的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合,可以用执行规定的功能或动作的专用的基于硬件的系统来实现,或者可以用专用硬件与计算机指令的组合来实现。
另外,在本申请各个实施例中的各功能模块可以集成在一起形成一个独立的部分,也可以是各个模块单独存在,也可以两个或两个以上模块集成形成一个独立的部分。
以上所述,仅为本申请的各种实施方式,但本申请的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本申请揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本申请的保护范围之内。因此,本申请的保护范围应所述以权利要求的保护范围为准。
Claims (15)
1.一种网络设备配置方法,其特征在于,应用于控制器;所述方法包括:
接收网络设备发送的第一DHCP报文,所述第一DHCP报文包括所述网络设备的设备标识及设备账号;
创建与所述设备账号对应的临时密码,并将所述设备账号及临时密码配置到仓库服务器中;
向所述网络设备发送第二DHCP报文,所述第二DHCP报文包括所述临时密码及与所述设备标识匹配的文件标识,以使所述网络设备通过所述设备账号及所述临时密码登录所述仓库服务器,并获取与所述文件标识对应的启动文件。
2.根据权利要求1所述的方法,其特征在于,所述第一DHCP报文具体为DHCP发现报文或DHCP请求报文;
所述接收网络设备发送的第一DHCP报文,包括:
接收所述网络设备发送的DHCP发现报文,所述DHCP发现报文包括所述设备标识;
向所述网络设备发送针对所述DHCP发现报文的DHCP提供报文;
接收所述网络设备针对所述DHCP提供报文发送的DHCP请求报文,所述DHCP请求报文包括所述设备账号。
3.根据权利要求2所述的方法,其特征在于,所述设备标识携带在所述DHCP发现报文包括的预设标识字段内;所述设备账号携带在所述DHCP请求报文包括的预设标识字段内。
4.根据权利要求3所述的方法,其特征在于,所述控制器预存有合法设备标识集,所述合法设备标识集中记录有合法网络设备的设备标识;
所述向所述网络设备发送针对所述DHCP发现报文的DHCP提供报文之前,所述方法还包括:
检测所述合法设备标识集中是否记录有所述设备标识;
若所述合法设备标识集中记录有所述设备标识,则向所述网络设备发送针对所述DHCP发现报文的DHCP提供报文。
5.根据权利要求2所述的方法,其特征在于,所述DHCP提供报文还包括为所述网络设备分配的随机码;所述DHCP请求报文包括的所述设备账号由所述网络设备通过所述随机码加密;
所述接收所述网络设备发送的DHCP请求报文之后,所述方法还包括:
通过所述随机码对加密的所述设备账号进行解密,获得解密后的设备账号;
所述向所述网络设备发送第二DHCP报文,包括:
通过所述随机码对所述临时密码及所述文件标识进行加密,向所述网络设备发送第二DHCP报文,所述第二DHCP报文包括加密后的所述临时密码及所述文件标识。
6.根据权利要求5所述的方法,其特征在于,所述DHCP提供报文或所述第二DHCP报文还包括通过所述随机码加密的所述仓库服务器的地址,以使所述网络设备根据仓库服务器的地址访问所述仓库服务器并获取所述启动文件。
7.根据权利要求5所述的方法,其特征在于,所述方法还包括:
接收所述网络设备发送的第三DHCP报文;
若所述第三DHCP报文包括所述随机码,则获取所述第三DHCP报文中通过所述随机码加密的纳管账号及纳管密码;
根据所述纳管账号及纳管密码登录所述网络设备,并对所述网络设备进行纳管控制。
8.一种网络设备配置方法,其特征在于,应用于网络设备,所述方法包括:
发送第一DHCP报文,所述第一DHCP报文包括该网络设备的设备标识及设备账号;
接收控制器针对所述第一DHCP报文发送的第二DHCP报文,所述第二DHCP报文包括所述控制器为根据该网络设备的设备账号分配的临时密码及根据该网络设备的设备标识确定出的文件标识;
通过所述设备账号及所述临时密码登录仓库服务器,并从所述仓库服务器获取与所述文件标识对应的启动文件。
9.根据权利要求8所述的方法,其特征在于,所述第一DHCP报文具体为DHCP发现报文或DHCP请求报文;所述发送第一DHCP报文,包括:
发送DHCP发现报文,所述DHCP发现报文包括所述设备标识;
接收所述控制器针对所述DHCP发现报文发送的DHCP提供报文;
发送针对所述DHCP提供报文的DHCP请求报文,所述DHCP请求报文包括所述设备账号。
10.根据权利要求9所述的方法,其特征在于,所述设备标识携带在所述DHCP发现报文包括的预设标识字段内;所述设备账号携带在所述DHCP请求报文包括的预设标识字段内。
11.根据权利要求9所述的方法,其特征在于,所述DHCP提供报文还包括为所述网络设备分配的随机码;所述发送针对所述DHCP提供报文的DHCP请求报文,包括:
通过所述随机码对所述设备账号进行加密,发送所述DHCP请求报文,所述DHCP请求报文包括加密后的所述设备账号;
所述第二DHCP报文包括的所述临时密码及文件标识由所述控制器通过所述随机码加密;所述接收控制器针对所述第一DHCP报文发送的第二DHCP报文之后,所述方法还包括:
通过所述随机码对加密的所述临时密码及文件标识进行解码,获得解密后所述随机码及文件标识。
12.根据权利要求11所述的方法,其特征在于,所述DHCP提供报文或所述第二DHCP报文还包括通过所述随机码加密的所述仓库服务器的地址;所述通过所述设备账号及所述临时密码登录仓库服务器,并从所述仓库服务器获取与所述文件标识对应的启动文件,包括:
根据所述仓库服务器的地址、所述设备账号及所述临时密码登录所述仓库服务器,并获取与所述文件标识对应的启动文件。
13.根据权利要求11所述的方法,其特征在于,所述方法还包括:
向所述控制器发送第三DHCP报文,所述第三DHCP报文包括所述随机码及通过所述随机码加密的纳管账号及纳管密码,以使所述控制器根据所述随机码对所述第三DHCP报文进行验证,在验证通过后根据所述纳管账号及纳管密码登录所述网络设备,并对所述网络设备进行纳管控制。
14.一种控制器,其特征在于,包括机器可读存储介质及处理器,所述机器可读存储介质存储有机器可执行指令,所述机器可执行指令在被所述处理器执行时,所述控制器实现权利要求1-7任意一项所述的方法。
15.一种网络设备,其特征在于,包括机器可读存储介质及处理器,所述机器可读存储介质存储有机器可执行指令,所述机器可执行指令在被所述处理器执行时,所述网络设备实现权利要求8-13任意一项所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910775668.6A CN110535696A (zh) | 2019-08-21 | 2019-08-21 | 网络设备配置方法、控制器及网络设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910775668.6A CN110535696A (zh) | 2019-08-21 | 2019-08-21 | 网络设备配置方法、控制器及网络设备 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN110535696A true CN110535696A (zh) | 2019-12-03 |
Family
ID=68664009
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910775668.6A Pending CN110535696A (zh) | 2019-08-21 | 2019-08-21 | 网络设备配置方法、控制器及网络设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN110535696A (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN116132163A (zh) * | 2023-02-10 | 2023-05-16 | 南京百敖软件有限公司 | 使用dhcp协议实现设备限定局域网络围栏的方法 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1595894A (zh) * | 2003-09-10 | 2005-03-16 | 华为技术有限公司 | 一种无线局域网接入认证的实现方法 |
| CN103957117A (zh) * | 2014-04-14 | 2014-07-30 | 武汉烽火网络有限责任公司 | 实现网络设备智能安装的系统及其方法 |
| CN105791235A (zh) * | 2014-12-23 | 2016-07-20 | 华为技术有限公司 | 一种配置信息下载方法和设备 |
| CN106464654A (zh) * | 2014-06-27 | 2017-02-22 | 华为技术有限公司 | 配置文件的获取方法、装置和系统 |
| CN108092988A (zh) * | 2017-12-28 | 2018-05-29 | 北京网瑞达科技有限公司 | 基于动态创建临时密码的无感知认证授权网络系统和方法 |
| CN108738013A (zh) * | 2017-04-18 | 2018-11-02 | 华为技术有限公司 | 网络接入方法、装置和网络设备 |
-
2019
- 2019-08-21 CN CN201910775668.6A patent/CN110535696A/zh active Pending
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1595894A (zh) * | 2003-09-10 | 2005-03-16 | 华为技术有限公司 | 一种无线局域网接入认证的实现方法 |
| CN103957117A (zh) * | 2014-04-14 | 2014-07-30 | 武汉烽火网络有限责任公司 | 实现网络设备智能安装的系统及其方法 |
| CN106464654A (zh) * | 2014-06-27 | 2017-02-22 | 华为技术有限公司 | 配置文件的获取方法、装置和系统 |
| CN105791235A (zh) * | 2014-12-23 | 2016-07-20 | 华为技术有限公司 | 一种配置信息下载方法和设备 |
| CN108738013A (zh) * | 2017-04-18 | 2018-11-02 | 华为技术有限公司 | 网络接入方法、装置和网络设备 |
| CN108092988A (zh) * | 2017-12-28 | 2018-05-29 | 北京网瑞达科技有限公司 | 基于动态创建临时密码的无感知认证授权网络系统和方法 |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN116132163A (zh) * | 2023-02-10 | 2023-05-16 | 南京百敖软件有限公司 | 使用dhcp协议实现设备限定局域网络围栏的方法 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US9003485B2 (en) | Systems and methods for the rapid deployment of network security devices | |
| US8990902B2 (en) | Client authentication during network boot | |
| US12177244B2 (en) | Method for emulating a known attack on a target computer network | |
| US20160007070A1 (en) | Remote Control Processing Method, Device and System | |
| CN102739623B (zh) | 授权方法和终端设备 | |
| CN111541534B (zh) | 物联网终端的控制方法、设备及存储介质 | |
| CA2827175C (en) | Dynamically configurable online data update system | |
| CN116527397A (zh) | 云计算节点的安全配置 | |
| CN104113534A (zh) | 应用程序app的登录系统及方法 | |
| CN108289074B (zh) | 用户账号登录方法及装置 | |
| CN110535696A (zh) | 网络设备配置方法、控制器及网络设备 | |
| US8490155B2 (en) | Method and apparatus for detecting downloadable conditional access system host with duplicated secure micro | |
| US20240179175A1 (en) | System and method for emulating a known attack on a target computer network | |
| US12118092B2 (en) | Secure firmware interface | |
| US20140089963A1 (en) | Method of managing multiple content servers | |
| CN112540809A (zh) | 一种基于状态机的事件状态控制方法和装置 | |
| CN102215275B (zh) | 业务处理方法及系统、机顶盒 | |
| CN103139177A (zh) | 多媒体数据下载方法和通信系统 | |
| US20090150552A1 (en) | Method and apparatus for management and transmission of classified conditional access application to provide downloadable conditional access system service | |
| CN103685147A (zh) | 网络接入安全处理方法、设备及系统 | |
| CN110572490A (zh) | 一种定向发现服务器设备的方法、装置、存储介质和设备 | |
| CN108768987A (zh) | 数据交互方法、装置及系统 | |
| US20240179174A1 (en) | System and method for emulating a known attack on a target computer network | |
| CN113543123A (zh) | 无线网路动态设定权限方法与装置 | |
| CN115242857A (zh) | 网络摄像机接入方法、网络录像机、电子设备及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20191203 |
|
| RJ01 | Rejection of invention patent application after publication |