CN110611658B - 一种基于sd-wan的设备认证方法及系统 - Google Patents
一种基于sd-wan的设备认证方法及系统 Download PDFInfo
- Publication number
- CN110611658B CN110611658B CN201910770683.1A CN201910770683A CN110611658B CN 110611658 B CN110611658 B CN 110611658B CN 201910770683 A CN201910770683 A CN 201910770683A CN 110611658 B CN110611658 B CN 110611658B
- Authority
- CN
- China
- Prior art keywords
- wan
- equipment
- authentication
- ssh
- controller
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0876—Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/2866—Architectures; Arrangements
- H04L67/30—Profiles
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Power Engineering (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种基于SD‑WAN的设备认证方法及系统,涉及通信技术领域,该方法包括以下步骤:SD‑WAN控制器与WAN设备进行SSH连接,WAN设备根据WAN设备的认证配置文件中的设备认证标识,与SD‑WAN控制器进行SSH密钥交换;SD‑WAN控制器获取设备认证标识,并根据设备认证标识获得用户认证信息,并根据用户认证信息对WAN设备进行SSH用户认证。本发明基于认证配置文件中的设备认证标识,对各WAN设备进行认证,不受各WAN设备主动上线、IP地址变化以及设备信息独立的影响,保障设备认证工作的顺利进行。
Description
技术领域
本发明涉及通信技术领域,具体涉及一种基于SD-WAN的设备认证方法及系统。
背景技术
SDN(Software Defined Network,软件自定义网络)是一种新的网络架构,通过将网络虚拟化,建立集中化控制,从而提供更为敏捷灵活的网络服务。
广域网WAN(Wide Area Network)是一个覆盖较远距离的电信网络或者计算机网络,Virtual WAN基于现有的公共WAN网络,来实现用户的私有WAN,从而达到节约资金和运维成本的目的。
SD-WAN(Software-Defined Wide Area Network,广域软件定义网络)是VirtualWAN与传统WAN结合,在这之上做覆盖处理,SD-WAN将SDN理念用于用户私有WAN网络管理,实现对私有WAN的高效管理。
SD-WAN控制器是SD-WAN网络的集中式控制器,用于通过标准化的接口对WAN网络设备进行统一管理和配置,实现灵活的流量策略,故障监控,简化WAN管理和故障排查。
与数据中心网络不同,WAN网络要求网络设备支持灵活的路由配置和管理配置,目前数据中心常用的open flow协议无法满足WAN要求,而NETCONF(Network ConfigurationProtocol,网络配置协议)采用XML(Extensible Markup Language,可扩展标记语言)作为配置数据和协议消息内容的数据编码方式,基于TCP(Transmission Control Protocol,传输控制协议)的SSH(Secure Shell,安全外壳协议)进行传送,以RPC(Remote ProcedureCall,远程过程调用协议)方式实现设备操作和控制,故而NETCONF配置协议能够满足了WAN设备灵活配置管理的要求。
现有技术中,在设备使用NETCONF上线时候,一般采用主动方式即控制器主动连接设备,在该方式下设备的认证信息和设备的IP地址绑定,控制器主动使用设备认证信息连接设备IP地址完成设备认证,然而,在WAN网络中,用户的设备数量很多,同时设备连接IP地址会随着用户网络而发生动态变化,控制器无法预知设备的IP地址,需要采用设备主动上线认证。
因此,目前需要一种SD-WAN网络设备主动认证方法,用于解决WAN网络中设备主动上线、设备连接IP地址动态变化,不同设备认证信息独立情况下的设备认证问题。
发明内容
针对现有技术中存在的缺陷,本发明的目的在于提供一种基于SD-WAN的设备认证方法及系统,基于认证配置文件中的设备认证标识,对各WAN设备进行认证,不受各WAN设备主动上线、IP地址变化以及设备信息独立的影响,保障设备认证工作的顺利进行。
为达到以上目的,本发明采取的技术方案是:
第一方面,本发明公开一种基于SD-WAN的设备认证方法,所述方法包括以下步骤:
SD-WAN控制器与WAN设备进行SSH连接,所述WAN设备根据所述WAN设备的认证配置文件中的设备认证标识,与所述SD-WAN控制器进行SSH密钥交换;
所述SD-WAN控制器获取所述设备认证标识,并根据所述设备认证标识获得用户认证信息,并根据所述用户认证信息对所述WAN设备进行SSH用户认证。
在上述技术方案的基础上,所述WAN设备根据所述WAN设备的认证配置文件中的设备认证标识,与所述SD-WAN控制器进行SSH密钥交换,具体包括以下步骤:
所述WAN设备与所述SD-WAN控制器进行交互,统一密钥协议以及密钥交换算法;
所述WAN设备将所述认证配置文件中的所述设备认证标识设置为密钥交换特征值;
所述SD-WAN控制器与所述WAN设备进行密钥交换,并获取所述密钥交换特征值。
在上述技术方案的基础上,所述SD-WAN控制器获取所述设备认证标识,并根据所述设备认证标识获得用户认证信息,并根据所述用户认证信息对WAN设备进行SSH用户认证,具体包括以下步骤:
所述SD-WAN控制器根据所述设备认证标识在预设的本地数据表中获取所述WAN设备的用户认证信息;
所述SD-WAN控制器按照SSH协议标准,向所述WAN设备发送SSH用户认证请求,所述SSH用户认证请求包括所述用户认证信息;
所述WAN设备响应于所述用户认证信息,SSH用户认证通过。
在上述技术方案的基础上,所述方法还包括以下步骤:
所述WAN设备根据所述认证配置文件进行初始化;
SD-WAN控制器与所述WAN设备建立TCP连接,SD-WAN控制器向所述WAN设备发起SSH用户认证;
待所述WAN设备的SSH用户认证通过后,所述SD-WAN控制器向WAN设备发送NETCONF连接请求,所述WAN设备响应并生成NETCONF连接回馈。
在上述技术方案的基础上,所述方法还包括以下步骤:
SD-WAN控制器对WAN设备进行注册工作,并将生成设备上线表和设备认证表;
SD-WAN控制器生成所述认证配置文件,并向所述WAN设备发布所述认证配置文件;
其中,所述设备上线表用于记录已在所述SD-WAN控制器上完成设备注册的WAN设备,所述设备认证表用于记录所述SDN-WAN控制器的设备SSH认证信息。
第二方面,本发明还公开一种基于SD-WAN的设备认证系统,所述系统包括:
SSH密钥交换单元,其用于待SD-WAN控制器与WAN设备进行SSH连接后,根据所述WAN设备的认证配置文件中的设备认证标识,控制所述SD-WAN控制器与所述WAN设备进行SSH密钥交换;
SSH用户认证单元,其用于待所述SD-WAN控制器获取所述设备认证标识后,根据所述设备认证标识获得用户认证信息,并根据所述用户认证信息对所述WAN设备进行SSH用户认证。
在上述技术方案的基础上,所述SSH密钥交换单元还用于在所述WAN设备与所述SD-WAN控制器之间统一密钥协议以及密钥交换算法;
所述SSH密钥交换单元还用于将所述认证配置文件中的所述设备认证标识设置为密钥交换特征值;
所述SSH密钥交换单元还用于所述SD-WAN控制器与所述WAN设备完成SSH密钥交换后,控制所述SD-WAN控制器获取所述密钥交换特征值。
在上述技术方案的基础上,所述SSH用户认证单元还用于控制所述SD-WAN控制器根据所述设备认证标识在预设的本地数据表中获取所述WAN设备的用户认证信息;
所述SSH用户认证单元还用于控制所述SD-WAN控制器按照SSH协议标准,向所述WAN设备发送SSH用户认证请求,所述SSH用户认证请求包括所述用户认证信息;
所述SSH用户认证单元还用于待所述WAN设备响应于所述用户认证信息,发布SSH用户认证通过信息。
在上述技术方案的基础上,所述系统还包括:
TCP连接单元,其用于待WAN设备根据所述认证配置文件完成初始化后,控制所述WAN设备与所述SD-WAN控制器进行TCP连接;
NETCONF连接单元,其用于待所述WAN设备的SSH用户认证通过后,控制所述与所述SD-WAN控制器进行NETCONF连接;
认证判断单元,其用于当TCP连接完成、SHH认证通过以及NETCONF连接完成时,判定所述WAN设备通过设备认证,反之则所述WAN设备认证失败。
在上述技术方案的基础上,所述系统还包括:
预准备单元,其用于控制所述SD-WAN控制器对所述WAN设备进行注册工作,并将生成设备上线表和设备认证表;
所述预准备单元,其还用于控制所述SD-WAN控制器生成认证配置文件,并向所述WAN设备发布所述认证配置文件;
其中,所述设备上线表用于记录已在所述SD-WAN控制器上完成设备注册的WAN设备,所述设备认证表用于记录所述SDN-WAN控制器的设备SSH认证信息。
与现有技术相比,本发明的优点在于:
本发明基于认证配置文件中的设备认证标识,对各WAN设备进行认证,不受各WAN设备主动上线、IP地址变化以及设备信息独立的影响,保障设备认证工作的顺利进行。
附图说明
图1为本发明实施例中基于SD-WAN的设备认证方法的步骤流程图;
图2为本发明实施例中基于SD-WAN的设备认证方法的前序流程的步骤流程图;
图3为本发明实施例中基于SD-WAN的设备认证流程的步骤S1的步骤流程图;
图4为本发明实施例中基于SD-WAN的设备认证方法的步骤S2的步骤流程图;
图5为本发明实施例中基于SD-WAN的设备认证方法的预准备流程的步骤流程图;
图6为本发明实施例中基于SD-WAN的设备认证方法的步骤C1的步骤流程图;
图7为本发明实施例中基于SD-WAN的设备认证系统的结构框图;
图中:1、SSH密钥交换单元;2、SSH用户认证单元;3、TCP连接单元;4、NETCONF连接单元;5、认证判断单元;6、预准备单元。
具体实施方式
术语解释:
SDN:Software Defined Network,软件自定义网络;
WAN:Wide Area Network,广域网,是一个覆盖较远距离的电信网络或者计算机网络;
SD-WAN:Software-Defined Wide Area Network是Virtual WA N与传统WAN结合,在这之上做覆盖处理,SD-WAN将SDN理念用于用户私有WAN网络管理,实现对私有WAN的高效管理;
Virtual WAN:Virtual Wide Area Network,虚拟广域网;
TCP:Transmission Control Protocol,传输控制协议,是一种面向连接的、可靠的、基于字节流的传输层通信协议;
SSH:Secure Shell,安全外壳协议;
NETCONF:NETCONF协议,一种基于XML的网络配置协议;
IP地址:IP Address,Internet Protocol Address,互联网协议地址,又称网际协议地址,是分配给用户上网使用的网际协议的设备的数字标签;
Diffie-Hellman密钥交换算法:Diffie-Hellman-Group-Exchange-S HA算法,使得通信的双方能在非安全的信道中安全的交换密钥,用于加密后续的通信消息。
以下结合附图对本发明的实施例作进一步详细说明。
为达到上述技术效果,本申请的总体思路如下:
一种基于SD-WAN的设备认证方法,该方法包括以下步骤:
S1、SD-WAN控制器与WAN设备进行SSH连接,WAN设备根据WAN设备的认证配置文件中的设备认证标识,与SD-WAN控制器进行SSH密钥交换;
S2、SD-WAN控制器获取设备认证标识,并根据设备认证标识获得用户认证信息,并根据用户认证信息对WAN设备进行SSH用户认证。
本发明实施例,实现了WAN设备的主动上线,通过设备认证标识的使用,保证不同WAN设备的认证信息隔离,从而加强了设备上线认证的安全性。
参见图1至6所示,本发明的方法实施例提供一种基于SD-WAN的设备认证方法,该方法包括以下步骤:
S1、SD-WAN控制器与WAN设备进行SSH连接,WAN设备根据WAN设备的认证配置文件中的设备认证标识,与SD-WAN控制器进行SSH密钥交换;
S2、SD-WAN控制器获取设备认证标识,并根据设备认证标识获得用户认证信息,并根据用户认证信息对WAN设备进行SSH用户认证。
本发明实施例中,必要时,还存在前序流程,具体包括以下步骤:
Q1、WAN设备根据认证配置文件进行初始化;
Q2、SD-WAN控制器与WAN设备建立TCP连接,SD-WAN控制器向WAN设备发起SSH用户认证;
Q3、待WAN设备的SSH用户认证通过后,SD-WAN控制器向WAN设备发送NETCONF连接请求,WAN设备响应并生成NETCONF连接回馈。
本发明实施例中,首先WAN设备根据预设的认证配置文件进行初始化,具体操作时,WAN设备可以通过邮件或者其他方式获得认证配置文件内的上线配置信息,进而完成设备初始化操作;
其中,进行WAN设备根据认证配置文件,初始化设备,认证配置文件中的关键信息包括SD-WAN控制器IP地址、本地出口配置、SSH登陆用户名以及SSH用户认证信息(密码或者控制器公钥);
待WAN设备初始化完成后,SD-WAN控制器与WAN设备进行TCP连接,具体进行TCP连接时,可以是WAN设备使用SD-WAN控制器IP地址和端口主动向SDWAN控制器发起TCP连接,而SD-WAN控制器监听TCP的端口6622,进而获得WAN设备发起的TCP连接请求;
进而,待TCP连接完成后,SD-WAN控制器根据WAN设备的认证配置文件中的设备认证标识与WAN设备进行SSH用户认证;
进而在SSH用户认证过程,即在SSH连接过程中,需要进行密钥交换,而在密钥交换阶段中,使用配置属性中的设备认证标识作为Diffie-Hellman密钥交换算法的种子值,SD-WAN控制器按照SSH协议标准完成SSH密钥交换流程,建立SD-WAN控制器和WAN设备间的SSH会话,同时从接收到SSH密钥交换消息中获取密钥交换算法种子值,SD-WAN控制器获得Diffie-Hellman密钥交换算法的种子值作为WAN设备的认证的唯一标识,即设备认证标识,从本地数据表中获得WAN设备的SSH用户认证信息,进而SD-WAN控制器按照SSH协议标准,向WAN设备发送SSH用户认证消息,WAN设备响应SSH用户认证消息,完成SSH的用户认证;
SD-WAN控制器的NETCONF Client模块,即NETCONF客户端模块,使用SSH通道发送NETCONF的握手消息,建立NETCONF连接,SD-WAN控制器作为NETCONF客户端,使用NETCONF协议配置WAN设备,而WAN设备的NETCONF SERVICE模块,即NETCONF服务端模块,使用SSH通道接受NETCONF消息,响应SD-WAN控制器的NETCONF网络配置请求,并生成NETCONF连接回馈,则通过设备认证,反之则设备认证失败;
假设,当SD-WAN控制器和WAN设备发生连接异常,则WAN设备重新发起TCP请求,重新完成NETCONF over SSH流程。
本发明实施例中,实现了WAN设备的主动上线,通过设备认证标识的使用,保证不同WAN设备的认证信息隔离,从而加强了设备上线认证的安全性。
其中,Diffie-Hellman密钥交换算法,即Diffie-Hellman-Group-E xchange-SHA算法,DH算法是SSH2.0协议要求的密钥交换算法,D iffie-Hellman密钥交换算法的安全性依赖于这样一个事实:虽然计算以一个素数为模的指数相对容易,但计算离散对数却很困难,对于大的素数,计算出离散对数几乎是不可能的,这里提到的大素数,即设备认证标识。
需要说明的是,典型SD-WAN网络的组网拓扑,包括SD-WAN控制器,多个WAN设备,即WAN网络设备;
其中,SD-WAN控制器是整个网络的管理核心,它通过共同WA N网络(主要是Internet,MPLS专线)与网络中各个WAN设备进行通信,管理各个WAN设备的设备认证,同时为各个WAN设备分派认证消息,同时各个WAN设备也连接到相同的公共WAN网络之上,公共WAN网络保证了各个WAN设备IP可达,即到主机或者网络端口IP可达;
本发明实施例中提到的WAN设备主要是指具备路由功能WAN网络边缘路由器,这些设备可以是具体的硬件设施,也可以是虚拟化的软件,在SD-WAN网络中使用的设备,也称为SD-WAN设备;
本发明实施例中SD-WAN控制器是通过NETCONF协议管理网络设备,同时使用SSH协议作为NETCONF协议的连接层,简称N ETCONF over SSH,
其中SD-WAN控制器作为NETCONF客户端,而WAN设备为N ETCONF服务端。
另外,常用的NETCONF客户端连接服务器端的方式是客户端通过预先配置的服务器IP地址,SSH用户认证信息,主动发起SSH连接,SSH会话建立完成后,建立NETCONF连接;
从上面描述可以看出,NETCONF连接建立需要客户端(SD-WA N控制器)预先获得服务端(WAN设备)的IP地址和SSH用户认证,但是在SD-WAN场景中,WAN设备的数目众多,WAN设备IP地址动态分配,WAN设备的认证信息无法和WAN设备IP地址进行绑定,SD-WAN控制器在WAN设备IP地址发生变化后需要动态上线,传统的技术方案不符合SD-WAN网络特点,而本发明实施例能够应对该技术问题。
需要说明的是,认证配置文件包括SD-WAN控制器IP地址、本地出口配置、SSH登陆用户名以及SSH用户认证信息;
SSH用户认证信息与SSH用户认证消息不同,前者SSH用户认证信息为认证配置文件中与SSH用户认证相关的数据,而后者SSH用户认证消息则是在进行SSH用户认证工作时发送的消息。
本发明实施例中的另一种实施方式,WAN设备根据WAN设备的认证配置文件中的设备认证标识,与SD-WAN控制器进行SSH密钥交换,即步骤S1具体包括以下步骤:
A1、WAN设备与SD-WAN控制器进行交互,统一密钥协议以及密钥交换算法;
A2、WAN设备将认证配置文件中的设备认证标识设置为密钥交换特征值;
A3、SD-WAN控制器与WAN设备进行密钥交换,并获取密钥交换特征值。
具体的,本发明实施例中的另一种实施方式,SD-WAN控制器获取设备认证标识,并根据设备认证标识获得用户认证信息,并根据用户认证信息对WAN设备进行SSH用户认证,即步骤S2具体包括以下步骤:
B1、SD-WAN控制器根据设备认证标识在预设的本地数据表中获取WAN设备的用户认证信息;
B2、SD-WAN控制器按照SSH协议标准,向WAN设备发送SSH用户认证请求,SSH用户认证请求包括用户认证信息;
B3、WAN设备响应用户认证信息,SSH用户认证通过。
本发明实施例中的另一种实施方式,WAN设备根据预设的认证配置文件进行初始化之前,还包括预准备流程,预准备流程具体包括以下步骤:
C1、SD-WAN控制器对WAN设备进行注册工作,并将生成设备上线表和设备认证表;
C2、SD-WAN控制器生成认证配置文件,并向WAN设备发布认证配置文件;
其中,设备上线表用于记录已在SD-WAN控制器上完成设备注册的WAN设备,设备认证表用于记录SDN-WAN控制器的设备SS H认证信息,
而设备SSH认证信息记录有SDN-WAN控制器在进行SSH认证时,各WAN设备的SSH设备认证结果;
SD-WAN控制器对WAN设备进行注册工作时,SD-WAN控制器主要是根据设备注册消息生成设备上线表、设备认证表,上线表中关键数据为生成一个大素数作为设备的认证标识;
认证配置文件常见的配置形式包括:邮件认证URL、本地配置文件或本地安装包。
需要说明的是,步骤C1,SD-WAN控制器对WAN设备进行注册工作,并将生成设备上线表和设备认证表中,具体包括以下步骤:
C10、SD-WAN控制器根据设备注册消息为设备配置认证标识,该标识会作为后续算法中关键参数,按照DH密钥交换算法要求,设备认证标识是一个大素数;
C11、SD-WAN控制器根据设备用户的特性消息为WAN设备分配独立的SSH用户登陆名称和用户认证消息,SSH用户认证支持密钥认证和密钥认证;
C12、SD-WAN控制器根据设备注册消息为WAN设备配置上线信息,配置上线信息主要包括设备出口网络信息以及控制器网络消息;
C13、根据步骤C11以及步骤C12的结果,更新SD-WAN控制器的本地数据库内的设备认证表和设备上线表;
C14、根据设备认证表、设备上线表以及WAN设备支持的认证导入方式,生成WAN设备的认证配置文件;
C15、SD-WAN控制器通过离线或在线方式发布步骤C14中描述的认证配置文件。
另外,分别给出一种设备认证表以及设备上线表的形式,具体如下:
设备上线表:
设备用户认证表:
基于同一发明构思,本发明的系统实施例提供了一种基于SD-W AN的设备认证系统的实施例,具体如下:
如图7所示,一种基于SD-WAN的设备认证系统,该系统包括:
SSH密钥交换单元1,其用于待SD-WAN控制器与WAN设备进行SSH连接后,根据WAN设备的认证配置文件中的设备认证标识,控制SD-WAN控制器与WAN设备进行SSH密钥交换;
SSH用户认证单元2,其用于待SD-WAN控制器获取设备认证标识后,根据设备认证标识获得用户认证信息,并根据用户认证信息对WAN设备进行SSH用户认证;
需要说明的是,该系统还包括:
TCP连接单元3,其用于待WAN设备根据认证配置文件完成初始化后,控制WAN设备与SD-WAN控制器进行TCP连接;
NETCONF连接单元4,其用于待WAN设备的SSH用户认证通过后,控制与SD-WAN控制器进行NETCONF连接;
认证判断单元5,其用于当TCP连接完成、SHH认证通过以及NETCONF连接完成时,判定WAN设备通过设备认证,反之则WAN设备认证失败。
本发明实施例中,首先WAN设备根据预设的认证配置文件进行初始化,具体操作时,WAN设备可以通过邮件或者其他方式获得认证配置文件内的上线配置信息,进而完成设备初始化操作;
其中,进行WAN设备根据认证配置文件,初始化设备,认证配置文件中的关键信息包括SD-WAN控制器IP地址、本地出口配置、SSH登陆用户名以及SSH用户认证信息(密码或者控制器公钥);
待WAN设备初始化完成后,SD-WAN控制器与WAN设备进行TCP连接,具体进行TCP连接时,可以是WAN设备使用SD-WAN控制器IP地址和端口主动向SDWAN控制器发起TCP连接,而SD-WAN控制器监听TCP的端口6622,进而获得WAN设备发起的TCP连接请求;
进而,待TCP连接完成后,SD-WAN控制器根据WAN设备的认证配置文件中的设备认证标识与WAN设备进行SSH用户认证;
进而在SSH用户认证过程,即在SSH连接过程中,需要进行密钥交换,而在密钥交换阶段中,使用配置属性中的设备认证标识作为Diffie-Hellman密钥交换算法的种子值,SD-WAN控制器按照SSH协议标准完成SSH密钥交换流程,建立SD-WAN控制器和WAN设备间的SSH会话,同时从接收到SSH密钥交换消息中获取密钥交换算法种子值,SD-WAN控制器获得Diffie-Hellman密钥交换算法的种子值作为WAN设备的认证的唯一标识,即设备认证标识,从本地数据表中获得WAN设备的SSH用户认证信息,进而SD-WAN控制器按照SSH协议标准,向WAN设备发送SSH用户认证消息,WAN设备响应SSH用户认证消息,完成SSH的用户认证;
SD-WAN控制器的NETCONF Client模块,即NETCONF客户端模块,使用SSH通道发送NETCONF的握手消息,建立NETCONF连接,SD-WAN控制器作为NETCONF客户端,使用NETCONF协议配置WAN设备,而WAN设备的NETCONF SERVICE模块,即NETCONF服务端模块,使用SSH通道接受NETCONF消息,响应SD-WAN控制器的NETCONF网络配置请求,并生成NETCONF连接回馈,则通过设备认证,反之则设备认证失败;
假设,当SD-WAN控制器和WAN设备发生连接异常,则WAN设备重新发起TCP请求,重新完成NETCONF over SSH流程。
本发明实施例中,实现了WAN设备的主动上线,通过设备认证标识的使用,保证不同WAN设备的认证信息隔离,从而加强了设备上线认证的安全性。
其中,Diffie-Hellman密钥交换算法,即Diffie-Hellman-Group-E xchange-SHA算法,DH算法是SSH2.0协议要求的密钥交换算法,D iffie-Hellman密钥交换算法的安全性依赖于这样一个事实:虽然计算以一个素数为模的指数相对容易,但计算离散对数却很困难,对于大的素数,计算出离散对数几乎是不可能的,这里提到的大素数,即设备认证标识。
需要说明的是,典型SD-WAN网络的组网拓扑,包括SD-WAN控制器,多个WAN设备,即WAN网络设备;
其中,SD-WAN控制器是整个网络的管理核心,它通过共同WA N网络(主要是Internet,MPLS专线)与网络中各个WAN设备进行通信,管理各个WAN设备的设备认证,同时为各个WAN设备分派认证消息,同时各个WAN设备也连接到相同的公共WAN网络之上,公共WAN网络保证了各个WAN设备IP可达,即到主机或者网络端口IP可达;
本发明实施例中提到的WAN设备主要是指具备路由功能WAN网络边缘路由器,这些设备可以是具体的硬件设施,也可以是虚拟化的软件,在SD-WAN网络中使用的设备,也称为SD-WAN设备;
本发明实施例中SD-WAN控制器是通过NETCONF协议管理网络设备,同时使用SSH协议作为NETCONF协议的连接层,简称N ETCONF over SSH,
其中SD-WAN控制器作为NETCONF客户端,而WAN设备为N ETCONF服务端。
另外,常用的NETCONF客户端连接服务器端的方式是客户端通过预先配置的服务器IP地址,SSH用户认证信息,主动发起SSH连接,SSH会话建立完成后,建立NETCONF连接;
从上面描述可以看出,NETCONF连接建立需要客户端(SD-WA N控制器)预先获得服务端(WAN设备)的IP地址和SSH用户认证,但是在SD-WAN场景中,WAN设备的数目众多,WAN设备IP地址动态分配,WAN设备的认证信息无法和WAN设备IP地址进行绑定,SD-WAN控制器在WAN设备IP地址发生变化后需要动态上线,传统的技术方案不符合SD-WAN网络特点,而本发明实施例能够应对该技术问题。
需要说明的是,认证配置文件包括SD-WAN控制器IP地址、本地出口配置、SSH登陆用户名以及SSH用户认证信息。
本发明实施例中的另一种实施方式,SSH密钥交换单元1还用于在WAN设备与SD-WAN控制器之间统一密钥协议以及密钥交换算法;
SSH密钥交换单元1还用于将认证配置文件中的设备认证标识设置为密钥交换特征值;
SSH密钥交换单元1还用于SD-WAN控制器与WAN设备完成SSH密钥交换后,控制SD-WAN控制器获取密钥交换特征值。
本发明实施例中的另一种实施方式,SSH用户认证单元2还用于控制SD-WAN控制器根据设备认证标识在预设的本地数据表中获取WAN设备的用户认证信息;
SSH用户认证单元2还用于控制SD-WAN控制器按照SSH协议标准,向WAN设备发送SSH用户认证请求,SSH用户认证请求包括用户认证信息;
SSH用户认证单元2还用于待WAN设备响应于用户认证信息,发布SSH用户认证通过信息。
本发明实施例中的另一种实施方式,该系统还包括预准备单元6,其用于控制SD-WAN控制器对WAN设备进行注册工作,并将生成设备上线表和设备认证表;
预准备单元6,其还用于控制SD-WAN控制器生成认证配置文件,并向WAN设备发布认证配置文件;
其中,设备上线表用于记录已在SD-WAN控制器上完成设备注册的WAN设备,设备认证表用于记录SDN-WAN控制器的设备SS H认证信息,
而设备SSH认证信息记录有SDN-WAN控制器在进行SSH认证时,各WAN设备的SSH设备认证结果;
SD-WAN控制器对WAN设备进行注册工作时,SD-WAN控制器主要是根据设备注册消息生成设备上线表、设备认证表,上线表中关键数据为生成一个大素数作为设备的认证标识;
认证配置文件常见的配置形式包括:邮件认证URL、本地配置文件或本地安装包。
本领域内的技术人员应明白,本发明的实施例可提供为方法、系统、服务器或计算机程序产品。因此,本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器和光学存储器等)上实施的计算机程序产品的形式。
本发明是参照根据本发明实施例的方法、设备(系统)、服务器和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。
Claims (8)
1.一种基于SD-WAN的设备认证方法,其特征在于,所述方法包括以下步骤:
SD-WAN控制器与WAN设备进行SSH连接,所述WAN设备根据所述WAN设备的认证配置文件中的设备认证标识,与所述SD-WAN控制器进行SSH密钥交换;
所述SD-WAN控制器获取所述设备认证标识,并根据所述设备认证标识获得用户认证信息,并根据所述用户认证信息对所述WAN设备进行SSH用户认证;
所述方法还包括预准备流程,所述预准备流程包括以下步骤:
SD-WAN控制器根据设备注册消息为设备配置认证标识;
SD-WAN控制器根据设备用户的特性消息为WAN设备分配独立的SSH用户登陆名称和用户认证消息,SSH用户认证支持密钥认证和密钥认证;
SD-WAN控制器根据设备注册消息为WAN设备配置上线信息,配置上线信息主要包括设备出口网络信息以及控制器网络消息;
根据所述SSH用户登陆名称、所述用户认证消息以及所述配置上线信息,更新SD-WAN控制器的本地数据库内的设备认证表和设备上线表;
根据设备认证表、设备上线表以及WAN设备支持的认证导入方式,生成并发布WAN设备的认证配置文件;其中,
设备上线表用于记录已在SD-WAN控制器上完成设备注册的WAN设备,设备认证表用于记录SDN-WAN控制器的设备SSH认证信息,设备SSH认证信息记录有SDN-WAN控制器在进行SSH认证时,各WAN设备的SSH设备认证结果。
2.如权利要求1所述的方法,其特征在于,所述WAN设备根据所述WAN设备的认证配置文件中的设备认证标识,与所述SD-WAN控制器进行SSH密钥交换,具体包括以下步骤:
所述WAN设备与所述SD-WAN控制器进行交互,统一密钥协议以及密钥交换算法;
所述WAN设备将所述认证配置文件中的所述设备认证标识设置为密钥交换特征值;
所述SD-WAN控制器与所述WAN设备进行密钥交换,并获取所述密钥交换特征值。
3.如权利要求2所述的方法,其特征在于,所述SD-WAN控制器获取所述设备认证标识,并根据所述设备认证标识获得用户认证信息,并根据所述用户认证信息对WAN设备进行SSH用户认证,具体包括以下步骤:
所述SD-WAN控制器根据所述设备认证标识在预设的本地数据表中获取所述WAN设备的用户认证信息;
所述SD-WAN控制器按照SSH协议标准,向所述WAN设备发送SSH用户认证请求,所述SSH用户认证请求包括所述用户认证信息;
所述WAN设备响应于所述用户认证信息,SSH用户认证通过。
4.如权利要求1所述的方法,其特征在于,所述方法在SD-WAN控制器与WAN设备进行SSH连接,所述WAN设备根据所述WAN设备的认证配置文件中的设备认证标识,与所述SD-WAN控制器进行SSH密钥交换之前,还包括前序流程,所述前序流程包括以下步骤:
所述WAN设备根据所述认证配置文件进行初始化;
SD-WAN控制器与所述WAN设备建立TCP连接,SD-WAN控制器向所述WAN设备发起SSH用户认证;
待所述WAN设备的SSH用户认证通过后,所述SD-WAN控制器向WAN设备发送NETCONF连接请求,所述WAN设备响应并生成NETCONF连接回馈。
5.一种基于SD-WAN的设备认证系统,其特征在于,所述系统包括:
SSH密钥交换单元,其用于待SD-WAN控制器与WAN设备进行SSH连接后,根据所述WAN设备的认证配置文件中的设备认证标识,控制所述SD-WAN控制器与所述WAN设备进行SSH密钥交换;
SSH用户认证单元,其用于待所述SD-WAN控制器获取所述设备认证标识后,根据所述设备认证标识获得用户认证信息,并根据所述用户认证信息对所述WAN设备进行SSH用户认证;
所述系统还包括预准备单元,其用于
控制SD-WAN控制器根据设备注册消息为设备配置认证标识;
控制SD-WAN控制器根据设备用户的特性消息为WAN设备分配独立的SSH用户登陆名称和用户认证消息,SSH用户认证支持密钥认证和密钥认证;
控制SD-WAN控制器根据设备注册消息为WAN设备配置上线信息,配置上线信息主要包括设备出口网络信息以及控制器网络消息;
根据所述SSH用户登陆名称、所述用户认证消息以及所述配置上线信息,更新SD-WAN控制器的本地数据库内的设备认证表和设备上线表;
根据设备认证表、设备上线表以及WAN设备支持的认证导入方式,生成并发布WAN设备的认证配置文件;其中,
设备上线表用于记录已在SD-WAN控制器上完成设备注册的WAN设备,设备认证表用于记录SDN-WAN控制器的设备SSH认证信息,设备SSH认证信息记录有SDN-WAN控制器在进行SSH认证时,各WAN设备的SSH设备认证结果。
6.如权利要求5所述的系统,其特征在于:
所述SSH密钥交换单元还用于在所述WAN设备与所述SD-WAN控制器之间统一密钥协议以及密钥交换算法;
所述SSH密钥交换单元还用于将所述认证配置文件中的所述设备认证标识设置为密钥交换特征值;
所述SSH密钥交换单元还用于所述SD-WAN控制器与所述WAN设备完成SSH密钥交换后,控制所述SD-WAN控制器获取所述密钥交换特征值。
7.如权利要求5所述的系统,其特征在于:
所述SSH用户认证单元还用于控制所述SD-WAN控制器根据所述设备认证标识在预设的本地数据表中获取所述WAN设备的用户认证信息;
所述SSH用户认证单元还用于控制所述SD-WAN控制器按照SSH协议标准,向所述WAN设备发送SSH用户认证请求,所述SSH用户认证请求包括所述用户认证信息;
所述SSH用户认证单元还用于待所述WAN设备响应所述用户认证信息,发布SSH用户认证通过信息。
8.如权利要求5所述的系统,其特征在于,所述系统还包括:
TCP连接单元,其用于待WAN设备根据所述认证配置文件完成初始化后,控制所述WAN设备与所述SD-WAN控制器进行TCP连接;
NETCONF连接单元,其用于待所述WAN设备的SSH用户认证通过后,控制所述与所述SD-WAN控制器进行NETCONF连接;
认证判断单元,其用于当TCP连接完成、SHH认证通过以及NETCONF连接完成时,判定所述WAN设备通过设备认证,反之则所述WAN设备认证失败。
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910770683.1A CN110611658B (zh) | 2019-08-20 | 2019-08-20 | 一种基于sd-wan的设备认证方法及系统 |
| PCT/CN2019/124188 WO2021031465A1 (zh) | 2019-08-20 | 2019-12-10 | 一种基于sd-wan的设备认证方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910770683.1A CN110611658B (zh) | 2019-08-20 | 2019-08-20 | 一种基于sd-wan的设备认证方法及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN110611658A CN110611658A (zh) | 2019-12-24 |
| CN110611658B true CN110611658B (zh) | 2020-10-09 |
Family
ID=68889905
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910770683.1A Active CN110611658B (zh) | 2019-08-20 | 2019-08-20 | 一种基于sd-wan的设备认证方法及系统 |
Country Status (2)
| Country | Link |
|---|---|
| CN (1) | CN110611658B (zh) |
| WO (1) | WO2021031465A1 (zh) |
Families Citing this family (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111148056B (zh) * | 2020-04-03 | 2020-12-01 | 南京华智达网络技术有限公司 | 可运营网络配置方法及系统 |
| CN111526069B (zh) * | 2020-04-29 | 2022-03-11 | 深圳市吉祥腾达科技有限公司 | 基于sd-wan的并发隧道性能测试方法 |
| US11296947B2 (en) | 2020-06-29 | 2022-04-05 | Star2Star Communications, LLC | SD-WAN device, system, and network |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106685785A (zh) * | 2016-12-27 | 2017-05-17 | 北京航空航天大学 | 一种基于IPsec VPN代理的Intranet接入系统 |
| CN106936608A (zh) * | 2015-12-29 | 2017-07-07 | 华为技术有限公司 | 一种建立ssh连接的方法、相关设备及系统 |
| CN109068326A (zh) * | 2018-07-24 | 2018-12-21 | 腾讯科技(深圳)有限公司 | 一种认证方法、装置、终端、存储介质以及系统 |
Family Cites Families (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104272707B (zh) * | 2012-04-27 | 2018-04-06 | 交互数字专利控股公司 | 支持邻近发现过程的方法和装置 |
| US9319881B2 (en) * | 2013-03-15 | 2016-04-19 | Tyfone, Inc. | Personal digital identity device with fingerprint sensor |
| CN104468618B (zh) * | 2014-12-26 | 2017-10-03 | 重庆邮电大学 | 基于传感器网络的xmpp协议安全接入方法 |
| US20170289120A1 (en) * | 2016-04-04 | 2017-10-05 | Mastercard International Incorporated | Systems and methods for authenticating user for secure data access using multi-party authentication system |
| US10142298B2 (en) * | 2016-09-26 | 2018-11-27 | Versa Networks, Inc. | Method and system for protecting data flow between pairs of branch nodes in a software-defined wide-area network |
| US10523556B2 (en) * | 2017-08-08 | 2019-12-31 | Versa Networks, Inc. | Method and system for routing connections in a software-defined wide area network |
| CN108713309B (zh) * | 2018-03-21 | 2021-04-16 | 达闼机器人有限公司 | Sd-wan系统、sd-wan系统的使用方法及相关装置 |
| CN108964985B (zh) * | 2018-06-14 | 2020-07-28 | 烽火通信科技股份有限公司 | 一种使用协议报文的虚拟客户终端设备的管理方法 |
| CN109150907B (zh) * | 2018-09-30 | 2021-10-12 | 百度在线网络技术(北京)有限公司 | 车载工控机登录方法、装置、系统、计算机设备及介质 |
-
2019
- 2019-08-20 CN CN201910770683.1A patent/CN110611658B/zh active Active
- 2019-12-10 WO PCT/CN2019/124188 patent/WO2021031465A1/zh active Application Filing
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106936608A (zh) * | 2015-12-29 | 2017-07-07 | 华为技术有限公司 | 一种建立ssh连接的方法、相关设备及系统 |
| CN106685785A (zh) * | 2016-12-27 | 2017-05-17 | 北京航空航天大学 | 一种基于IPsec VPN代理的Intranet接入系统 |
| CN109068326A (zh) * | 2018-07-24 | 2018-12-21 | 腾讯科技(深圳)有限公司 | 一种认证方法、装置、终端、存储介质以及系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| WO2021031465A1 (zh) | 2021-02-25 |
| CN110611658A (zh) | 2019-12-24 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN108551464B (zh) | 一种混合云的连接建立、数据传输方法、装置和系统 | |
| CN104780069B (zh) | 一种面向sdn网络的控制层与数据层通信通道自配置方法及其系统 | |
| CN110611658B (zh) | 一种基于sd-wan的设备认证方法及系统 | |
| US8577044B2 (en) | Method and apparatus for automatic and secure distribution of an asymmetric key security credential in a utility computing environment | |
| CN112737690B (zh) | 一种光线路终端olt设备虚拟方法及相关设备 | |
| US7792939B2 (en) | Method and system for obtaining secure shell host key of managed device | |
| CN107426339A (zh) | 一种数据连接通道的接入方法、装置及系统 | |
| US20060285693A1 (en) | Method and apparatus for automatic and secure distribution of a symmetric key security credential in a utility computing environment | |
| CN104702607A (zh) | 一种软件定义网络的接入认证方法、装置和系统 | |
| US10541863B2 (en) | Provisioning hybrid services | |
| US10523657B2 (en) | Endpoint privacy preservation with cloud conferencing | |
| CN108023858B (zh) | 一种视联网网管安全认证方法及其系统 | |
| CN1658547B (zh) | 密钥分发方法 | |
| CN108174151A (zh) | 视频监控系统及控制方法、视频信息的调用方法 | |
| WO2019237683A1 (zh) | 一种协议报文以及虚拟客户终端设备的管理方法 | |
| CN100484027C (zh) | 一种应用简单网络管理协议的网络管理系统和方法 | |
| EP3288235B1 (en) | System and apparatus for enforcing a service level agreement (sla) in a cloud environment using digital signatures | |
| CN115086015A (zh) | 基于OAuth认证的云密码服务平台及密码资源分配方法 | |
| WO2011147334A1 (zh) | 提供虚拟私有网业务的方法、设备和系统 | |
| CN104917750B (zh) | 一种面向sdn网络的控制层与数据层通信通道自配置方法及其系统 | |
| CN115378578B (zh) | 一种基于国密sm4的sd-wan实现方法及系统 | |
| CN108933704A (zh) | 一种网络部署方法及装置 | |
| CN112887968B (zh) | 一种网络设备管理方法、装置、网络管理设备及介质 | |
| CN114640514B (zh) | 安全服务系统、访问控制方法和计算机可读存储介质 | |
| CN115001936B (zh) | 一种基于管理代理的运维管理系统、方法及计算机设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |