CN112688898A - 一种配置方法及相关设备 - Google Patents
一种配置方法及相关设备 Download PDFInfo
- Publication number
- CN112688898A CN112688898A CN201910990152.3A CN201910990152A CN112688898A CN 112688898 A CN112688898 A CN 112688898A CN 201910990152 A CN201910990152 A CN 201910990152A CN 112688898 A CN112688898 A CN 112688898A
- Authority
- CN
- China
- Prior art keywords
- location
- authentication request
- cpe
- controller
- equipment
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/08—Configuration management of networks or network elements
- H04L41/0803—Configuration setting
- H04L41/084—Configuration by using pre-existing information, e.g. using templates or copying from other elements
- H04L41/0846—Configuration by using pre-existing information, e.g. using templates or copying from other elements based on copy from other elements
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0894—Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/2854—Wide area networks, e.g. public data networks
- H04L12/2856—Access arrangements, e.g. Internet access
- H04L12/2869—Operational details of access network equipments
- H04L12/2898—Subscriber equipments
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/12—Discovery or management of network topologies
- H04L41/122—Discovery or management of network topologies of virtualised topologies, e.g. software-defined networks [SDN] or network function virtualisation [NFV]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/107—Network architectures or network communication protocols for network security for controlling access to devices or network resources wherein the security policies are location-dependent, e.g. entities privileges depend on current location or allowing specific operations only from locally connected terminals
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/34—Network arrangements or protocols for supporting network services or applications involving the movement of software or configuration parameters
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/60—Context-dependent security
- H04W12/63—Location-dependent; Proximity-dependent
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W4/00—Services specially adapted for wireless communication networks; Facilities therefor
- H04W4/50—Service provisioning or reconfiguring
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本申请实施例公开了一种配置方法。本申请实施例方法可以应用于软件定义广域网SD‑WAN网络中,通过接收第一设备的设备标识和第一位置的对应关系,向第一设备发送与验证第一设备是否位于第一位置相关的验证请求,并接收针对验证请求的验证响应,根据验证响应确定是否为第一设备发送与第一位置对应的配置信息,本申请实施例中的方法具体可以由软件定义网络SDN控制器实施。
Description
技术领域
本申请实施例涉及通信领域,特别涉及一种配置方法及相关设备。
背景技术
企业分支一般通过租用运营商的线路或网络来实现互联,软件定义广域网(software defined-wan,SD-WAN)就是一种实现企业分支或企业分支和公有云/私有云之间高效安全联接的方案,这里面的分支对应SD-WAN网络中的站点概念,企业分支之间互联通过企业出口路由器(customer premises equipment,CPE)设备实现,每个CPE设备出厂时候拥有唯一的电子序列号(electronic serial number,ESN)。
在企业分支上线之前,SD-WAN网络中的运营商一般需要在软件定义网络(software defined networks,SDN)控制器上规划和配置对应的站点,包括该站点部署哪种CPE和对应ESN(每个CPE设备的ESN唯一)、配置虚拟专用网络(virtual privatenetwork,VPN)、以及广域网(wide area network,WAN)侧和局域网(local area network,LAN)侧业务等。然后,将CPE寄送到与CPE对应的开局站点,现场开局人员扫描CPE设备的二维码或条形码,得到ESN,在SDN控制器上配置CPE的ESN和开局站点的对应关系,CPE连接网络并与SDN控制器建立连接,CPE上报自身的ESN,SDN控制器根据该ESN查找对应的站点,然后将对应的业务配置下发到该CPE上,从而该CPE所在的分支站点就可以访问该企业的其他分支站点,包括总部站点。
现有技术中,二维码或条形码有可能被贴错或恶意篡改,所以通过扫码获取的ESN有可能是错误CPE,这会导致非法用户可以通过该错误CPE访问该企业的其他分支站点,造成信息泄露。
发明内容
本申请实施例提供了一种配置方法及相关设备,能够避免由于二维码贴错或被恶意篡改导致的信息泄露。
本申请实施例第一方面提供了一种配置方法,包括:
第一设备的厂商在生产第一设备时,会注入唯一的设备标识,作为第一设备的唯一标识,在实际应用中一般是将第一设备的设备标识做成二维码、条形码或铭牌等贴在第一设备上,但是可能存在第一设备的设备标识被错误的贴在第二设备上的情况,在这种情况下,可以扫描现场第二设备外壳的二维码等获取第一设备的设备标识,根据选择,接收第一设备的设备和第一设备所在位置的对应关系,由于可能存在二维码等错误的情况,向第一设备发送验证请求,该验证请求与验证第一设备是否在第一位置相关,接收与验证请求对应的验证响应,根据该验证响应确定是否为第一设备发送与第一位置对应的配置信息。
本申请实施例中,在第一设备上线后,向第一设备发送与验证第一设备是否位于第一位置相关的验证请求,接收并根据针对验证请求的验证响应确定是否为第一设备发送与第一位置对应的配置信息,避免了由于二维码贴错或被恶意篡改导致的第一设备不在第一位置就可以访问企业内部站点,造成企业信息泄露的风险。
基于本申请实施例第一方面,本申请实施例第一方面的第一种实施方式中,确定是否为第一设备发送与第一位置对应的配置信息的方式有很多种,例如:验证请求是第一设备的指示灯是否按预定方式开启,例如:红灯亮或绿灯亮等。
本申请实施例中,验证请求通过指示灯是否按预定方式开启来确定,可以使现场人员更直观的判断第一设备是否在第一位置。
基于本申请实施例第一方面,本申请实施例第一方面的第二种实施方式中,确定是否为第一设备发送与第一位置对应的配置信息的方式有很多种,例如:验证请求是第一设备的扬声器按预定方式发出声音,例如:正确或位置匹配等。
本申请实施例中,验证请求通过扬声器是否按预定方式开启来确定,可以使现场人员用听声音的简单方式来判断第一设备是否在第一位置。
基于本申请实施例第一方面,本申请实施例第一方面的第三种实施方式中,该方法由软件定义网络SDN控制器执行。
本申请实施例中,限定了方法的执行主体,提升了方案的可实现性。
基于本申请实施例第一方面,本申请实施例第一方面的第四种实施方式中,该第一设备为企业出口路由器CPE。
本申请实施例中,限定了具体的第一设备,提升了方案的可实现性。
基于本申请实施例第一方面、第一方面的第一种实施方式至第一方面的第四种实施方式中的任一种实施方式,本申请实施例第一方面的第五种实施方式中,验证请求用于请求验证第一设备是否位于第一位置。
本申请实施例中,限定了具体的验证请求,提升了方案的可实现性。
基于本申请实施例第一方面、第一方面的第一种实施方式至第一方面的第四种实施方式中的任一种实施方式,本申请实施例第一方面的第六种实施方式中,验证请求用于请求基于第一设备是否位于第一位置确定第一设备的可信性。
本申请实施例中,限定了具体的验证请求,提升了方案的可实现性。
基于本申请实施例第一方面、第一方面的第一种实施方式至第一方面的第四种实施方式中的任一种实施方式,本申请实施例第一方面的第七种实施方式中,验证请求用于请求基于第一设备是否位于第一位置确定是否为第一设备发送与第一位置对应的配置信息。
本申请实施例中,限定了具体的验证请求,提升了方案的可实现性。
本申请实施例第二方面提供了一种控制器,包括:
接收单元,用于接收第一设备的设备标识和第一位置的对应关系;
发送单元,用于向第一设备发送与验证第一设备是否位于第一位置相关的验证请求;
接收单元还用于接收针对验证请求的验证响应;
确定单元,用于根据验证响应确定是否为第一设备发送与第一位置对应的配置信息。
本申请实施例中,发送单元向第一设备发送与验证第一设备是否位于第一位置相关的验证请求,确定单元根据针对验证请求的验证响应确定是否为第一设备发送与第一位置对应的配置信息,避免了由于二维码贴错或被恶意篡改导致的第一设备不在第一位置就可以访问企业内部站点,造成企业信息泄露的风险。
基于本申请实施例第二方面,本申请实施例第二方面的第一种实施方式中,确定是否为第一设备发送与第一位置对应的配置信息的方式有很多种,例如:验证请求是第一设备的指示灯是否按预定方式开启,例如:红灯亮或绿灯亮等。
本申请实施例中,验证请求通过指示灯是否按预定方式开启来确定,可以使现场人员更直观的判断第一设备是否在第一位置。
基于本申请实施例第二方面,本申请实施例第二方面的第二种实施方式中,确定是否为第一设备发送与第一位置对应的配置信息的方式有很多种,例如:验证请求是第一设备的扬声器按预定方式发出声音,例如:正确或位置匹配等。
本申请实施例中,验证请求通过扬声器是否按预定方式开启来确定,可以使现场人员用听声音的简单方式来判断第一设备是否在第一位置。
基于本申请实施例第二方面,本申请实施例第二方面的第三种实施方式中,该第一设备为企业出口路由器CPE。
本申请实施例中,限定了具体的第一设备,提升了方案的可实现性。
基于本申请实施例第二方面、第二方面的第一种实施方式至第二方面的第三种实施方式中的任一种实施方式,本申请实施例第二方面的第四种实施方式中,验证请求用于请求验证第一设备是否位于第一位置。
本申请实施例中,限定了具体的验证请求,提升了方案的可实现性。
基于本申请实施例第二方面、第二方面的第一种实施方式至第二方面的第三种实施方式中的任一种实施方式,本申请实施例第二方面的第四种实施方式中,验证请求用于请求基于第一设备是否位于第一位置确定第一设备的可信性。
本申请实施例中,限定了具体的验证请求,提升了方案的可实现性。
基于本申请实施例第二方面、第二方面的第一种实施方式至第二方面的第三种实施方式中的任一种实施方式,本申请实施例第二方面的第四种实施方式中,验证请求用于请求基于第一设备是否位于第一位置确定是否为第一设备发送与第一位置对应的配置信息。
本申请实施例中,限定了具体的验证请求,提升了方案的可实现性。
本申请实施例第三方面提供了一种控制器,该控制器执行前述第一方面的方法。
本申请实施例第四方面提供了一种计算机存储介质,该计算机存储介质中存储有指令,该指令在计算机上执行时,使得计算机执行前述第一方面的方法。
本申请实施例第五方面提供了一种计算机软件产品,该计算机程序产品在计算机上执行时,使得计算机执行前述第一方面的方法。
附图说明
图1为本申请实施例中网络框架示意图;
图2为本申请实施例中配置方法一个流程示意图;
图3为本申请实施例中配置方法另一流程示意图;
图4为本申请实施例中控制器一个结构示意图;
图5为本申请实施例中控制器另一结构示意图。
具体实施方式
本申请实施例提供了一种配置方法及相关设备,避免了由于二维码贴错或被恶意篡改导致企业信息泄露的风险。
请参阅图1,本申请实施例中网络框架包括:
SDN控制器101,underlay网络102,企业用户一103,1号CPE1031,2号CPE1032,企业用户用户二104,3号CPE1041,4号CPE1042,私有云105,公有云106,应用程序107,现场开局设备108。
其中,SDN控制器101与应用程序105相连,SDN控制器通过underlay网络102分别与1号CPE1031,2号CPE1032,企业用户用户二104,3号CPE1041,4号CPE1042,私有云105,公有云106相连。
SDN控制器101的主要功能是管理1号CPE1031、2号CPE1032、3号CPE1041和4号CPE1042,下发业务配置,该业务配置为CPE之间的隧道配置信息。
SDN控制器101南向可以通过网络配置协议(the network configurationprotocol,NETCONF)管理CPE设备,北向可以通过表述性状态转换REST(representationalstate transfer)架构下的的应用程序接口(application programming interface,API)、简单对象访问协议(simple object access protocol,SOAP)接口与第三方应用(例如:应用程序107)实现对接。
underlay网络102的主要功能是连接企业用户一103或企业用户二104与私有云105或公有云106,实现两端站点的互联互通。
私有云(virtual private cloud,VPC)105是一个公共云计算资源的动态配置池,需要使用加密协议、隧道协议和其他安全程序,在民营企业和云服务提供商之间传输数据。
公有云(public clouds,PC)106可以是阿里云还可以是腾讯云,在实际应用中公有云106还可以是亚马逊云(amazon web services,AWS)、华为云或软件即服务(softwareas a service,SaaS)云。
应用程序107的主要功能是建立SDN控制器101与现场开局设备108的连接。
现场开局人员可以通过现场开局设备108和应用程序107访问SDN控制器101的站点列表。
本申请实施例中,underlay网络102可以是互联网internet,也可以是多协议标签交换网络(multi-protocol label switching,MPLS),可以理解的是,在实际应用中,underlay网络102还可以是其他广域网(wide area network,WAN)互联技术,例如:underlay网络102还可以是长期演进网络(long term evolution,LTE),只要该广域网能够为两端站点的CPE提供互联网协议地址(internet protocol,IP)路由可达性,就可以在两端构建SD-WAN隧道,具体此处不做限定。
企业用户一103和企业用户二104通过租用运营商的线路或网络实现互联,SD-WAN是一种实现企业分支和其他企业分支之间或企业分支和公有云/私有云之间高效安全连接的方案,该SD-WAN网络的控制器为SDN控制器,图1中的1号CPE1031,2号CPE1032,3号CPE1041,4号CPE1042对应SD-WAN网络中的站点概念,企业分支之间互联通过CPE实现,例如:图1中的企业用户一103通过1号CPE1031与2号CPE1032实现企业用户一103内部的两个企业分支互联,每个CPE出厂时有唯一的电子序列号ESN,每个CPE可以支持一个或多个广域网连接。
不同企业的CPE之间可以通过overlay隧道实现互联,例如图1中的企业用户一103的2号CPE1032与企业用户二104的3号CPE1041可以通过overlay隧道实现互联,本申请实施例中的overlay隧道可以是互联网协议安全性(internet protocol security,IPsec)、也可以是虚拟扩展局域网(virtual extensible area network,vxlan),可以理解的是,在实际应用中overlay隧道还可以是通用路由封装(generic routing encapsulation,gre),也可以是这些隧道的组合,具体此处不做限定。
本申请实施例中,仅以两个企业用户分别有两个CPE为例,可以理解的是,在实际应用中,可以有一个或多个企业用户,企业用户可以有多个CPE,这里不做限定。
本申请实施例中,CPE可以是通用客户端设备(universal customer premisesequipment,uCPE)也可以是网关,可以理解的是,在实际应用中,CPE还可以是其他设备,例如:CPE还可以是虚拟客户端设备(virtual customer premise equipment,vCPE),具体此处不做限定。
下面结合图1的网络框架,对本申请实施例中的配置方法进行描述:
请参阅图2,本申请实施例中配置方法一个实施例包括:
201、接收第一设备的设备标识和第一位置的对应关系;
第一设备的厂商在生产第一设备时,会注入唯一的设备标识,作为第一设备的唯一标识,在实际应用中一般是将第一设备的设备标识做成二维码、条形码或铭牌等贴在第一设备上,但是可能存在第一设备的设备标识被错误的贴在第二设备上的情况,在这种情况下,可以扫描现场第二设备外壳的二维码获取第一设备的设备标识,可以理解的是,在实际应用中,从第一设备获取设备标识的方式除了通过扫描二维码和条形码获得,例如:可以通过进场通信技术(near field communication,NFC)获取设备标识,当然,还可以通过第一设备的说明书获取设备标识,具体此处不做限定。
当第二设备到达现场后,可以通过应用软件或设备扫描现场第二设备外壳的二维码获取第二设备的设备标识,该设备标识可能是第一设备的设备标识也可能是第一设备的设备标识,在现场开局人员或现场开局设备在运营商预先创建的站点列表中选择第一位置,并将该设备标识与第一位置对应,得到对应关系之后,接收现场开局人员或现场开局设备发送的第一设备的设备标识和第一位置的对应关系。
本申请实施例中,第一设备可以是企业出口路由器CPE,也可以是通用客户端设备uCPE,可以理解的是,在实际应用中,第一设备还可以是其他设备,例如第一设备可以是虚拟客户端设备vCPE、网关或客户端设备,具体这里不做限定。
本申请实施例中,设备标识可以是电子序列号ESN,还可以是铭牌上的标识,可以理解的是,在实际应用中,设备标识还可以是标识符,具体这里不做限定。
202、向第一设备发送与验证第一设备是否位于第一位置相关的验证请求;
在第一设备上线后,向第一设备发送与验证第一设备是否位于第一位置相关的验证请求,验证请求可以通过多种设备或多种方式,下面分别进行描述:
一:指示灯
验证请求可以用于请求第一设备按预定方式打开第一设备的至少一个指示灯,可以是第一设备的绿灯亮5秒,也可以是第一设备的红灯亮3秒或第一设备的绿灯5秒内闪三下,可以理解的是,指示灯的数量和预定方式可以是多种多样的,例如,可以是第一设备的红灯和绿灯亮交替亮10秒,具体这里不做限定。
还可以指定红灯或绿灯亮的时间。如果第一设备面板上有多个指示灯,比如1,2,3,4,可以指定1灯、3灯亮10秒钟,2灯、4灯不亮,也可以指定1灯、3灯亮10秒钟之后,2灯、4灯再亮10秒钟。总之,第一设备面板上闪灯方式可以指定。
二:扬声器
该验证请求还可以用于请求该第一设备的扬声器按预定方式发出声音,可以是第一设备的扬声器播放“匹配一致”的声音,还可以是播放“正确”,其中扬声器按预定方式发出声音有很多种情况,例如:还可以是播放音乐,具体这里不做限定。
本申请实施例中,验证请求可以是通过指示灯或扬声器,可以理解的是,在实际应用中,验证请求还可以通过多种设备或多种预定方式,例如:通过图像匹配,具体这里不做限定。
本申请实施例中,验证请求可以用于请求基于第一设备是否位于第一位置确定第一设备的可信性,验证请求还可以用于请求基于第一设备是否位于第一位置确定是否为第一设备发送与第一位置对应的配置信息。
203、接收针对验证请求的验证响应;
向第一设备发送与验证第一设备是否位于第一位置相关的验证请求后,可以尝试接收针对验证请求的验证响应。
204、根据验证响应确定是否为第一设备发送与第一位置对应的配置信息。
与第一位置对应的配置信息可以是运营商预先设置的,也可以是用户预先设置的,可以理解的是,在实际应用中,还可以是其他设备设置或其他时间设置,只要在这个步骤之前设置就可以,这里不做限定。
在接收验证响应后,确定不为第一设备发送与第一位置对应的配置信息,可以有多种依据,下面进行说明:
一、根据验证响应是否与验证请求对应:
现场开局人员或现场开局设备检查贴了第一设备真正设备标识的第二设备是否做出验证响应,如上述举例:查看第二设备是否按预定方式亮灯或播放声音。
如果第二设备执行该验证请求,说明第二设备就是第一设备,二维码或条形码没有贴错,确定为第一设备发送与第一位置对应的配置信息;如果第二设备没有执行该验证请求,说明第二设备不是第一设备,二维码或条形码是假的,确定不为第一设备发送与第一位置对应的配置信息。
二:根据是否收到验证响应;
如果接收该验证响应,确定为第一设备发送与第一位置对应的配置信息;如果未接收该验证响应,确定不为第一设备发送与第一位置对应的配置信息。
为了方便理解,下面以第一设备为上线CPE,第二设备为现场CPE、设备标识为电子序列号ESN、第一设备对应真的设备标识为实际ESN,第二设备对应真的设备标识为目标ESN,为例进行示意性说明。
请参阅图3,本申请实施例中配置方法另一实施例包括:
301、现场开局设备从现场CPE获取目标ESN;
CPE的厂商在生产CPE时,会注入唯一的ESN,作为CPE的唯一标识,在实际应用中是将CPE的ESN做成二维码或条形码贴在CPE上,当CPE到达现场后,现场开局人员可以通过现场开局设备扫描现场CPE设备外壳的二维码获取目标ESN,现场开局人员还可以通过现场开局设备扫描现场CPE设备外壳的条形码获取目标ESN,可以理解的是,在实际应用中,现场开局设备从现场CPE获取目标ESN的方式有很多,例如:现场开局设备可以通过NFC获取目标ESN,当然,现场开局人员还可以直接通过现场CPE的说明书获取目标ESN并输入到现场开局设备中,具体此处不做限定。
302、现场开局设备向SDN控制器发送目标ESN;
现场开局人员通过手机APP或其他设备预先和SDN控制器建立连接,现场开局设备获取目标ESN后,现场开局设备可以通过手机APP或其他设备在SDN控制器上输入目标ESN。
303、现场开局设备在SDN控制器上配置目标ESN与现场站点的对应关系;
在SDN控制器获取到现场开局设备发送的目标ESN后,现场开局设备通过SDN控制器的API接口或图形界面配置目标ESN对应的空设备,此时该设备没有业务配置,现场开局设备通过APP或其他设备查询预先设置的SD-WAN站点,根据现场CPE所在的地理位置选择其中一个现场站点,现场开局设备通过SDN控制器的API接口或图形界面配置该空设备和现场站点的对应关系。
304、SDN控制器根据现场站点和预设的对应关系确定目标业务配置;
SDN控制器预先设置有站点和业务配置的对应关系,站点包括现场站点,业务配置包括目标业务配置,SDN控制器预先设置站点和业务配置的对应关系可以在步骤201之前,也可以在步骤202之前,只要在步骤204之前即可,具体此处不作限定。
业务配置包括VPN、LAN和WAN侧业务配置中的至少一种。
出厂设置的上线CPE对应的ESN为目标ESN,即目标ESN对应的真实设备为上线CPE,由于二维码或条形码一般是贴在CPE上的,所以现场CPE可能是上线CPE,也可能不是上线CPE,当目标ESN对应的上线CPE上线后,上线CPE向SDN控制器通过动态主机配置协议(dynamic host configuration protocol,DHCP)的请求报文到DHCP服务器上申请IP地址以及SDN控制器的域名系统(domain name system,DNS)域名或IP地址、端口号,如果是域名,DHCP向上线CPE发送DNS的服务器地址,上线CPE主动连接DNS服务器,并获取SDN控制器域名对应的IP地址,其中:如果是DHCPV4,DHCPserver一般通过DHCP option148通知DHCPclient的SDN控制器DNS域名或IP地址,如果是DHCPV6,DHCPserver一般通过DHCP option17通知DHCP client的SDN控制器DNS域名或IP地址,如果不是域名,上线CPE直接获取SDN控制器的IP地址。
上线CPE获取到SDN控制器IP地址和端口号后,上线CPE通过netconf callhome机制和SDN控制器之间建立netconf连接,上线CPE与SDN控制器交换证书,该证书中一般包括目标ESN,证书验证通过后,上线CPE与SDN控制器建立安全外壳协议(secure shell,SSH)连接,SDN控制器可以根据现场站点和预先设置的对应关系确定目标业务配置,目标业务配置为上线CPE连接其他CPE之间的隧道配置信息,SDN控制器在确认现场站点对应的是目标业务配置后,将上线CPE状态设置为开局待确认状态,该开局确认状态表示SDN控制器只是确定了现场站点对应的是目标业务配置,但不向上线CPE下发目标业务配置。
305、现场开局设备向SDN控制器发送检测消息;
现场开局人员通过现场开局设备调用闪灯API接口向SDN控制器发送检测消息。
本申请实施例中,以检测消息为闪灯消息为例进行示意性说明,可以理解的是,检测消息还可以是提示音消息,在实际应用中,检测消息还可以是其他消息,例如:检测消息还可以是图像消息,具体此处不作限定。
闪灯消息包括闪灯类别和闪灯时间中至少一种,例如闪烁消息包括闪灯类别和闪灯时间,其中:闪灯类别以绿灯为例,可以理解的是闪灯类别还可以是红灯,具体此处不做限定,闪灯时间以5秒为例,可以理解的是,闪灯时间还可以是10秒,具体此处不做限定。
现场开局人员通过现场开局设备调用闪灯API接口向SDN控制器发送绿灯闪烁5秒的检测消息。
306、SDN控制器向上线CPE发送检测消息对应的检测指令;
现场开局人员通过现场开局设备调用闪灯API接口后,输入目标ESN,SDN控制器遍历已经上线的CPE,找到上线CPE,通过Netconf向该上线CPE发送检测消息对应的检测指令,如上述举例:SDN控制器可以向该上线CPE发送绿灯闪烁5秒的检测指令。
307、现场开局设备判断现场CPE是否执行检测消息对应的检测指令,若执行,执行步骤308,若不执行,不向SDN控制器发送开局确认消息;
现场开局人员通过现场开局设备判断现场CPE是否执行检测消息对应的检测指令,如上述举例:现场开局人员判断现场CPE是否将绿灯闪烁5秒,若现场CPE将绿灯闪烁5秒,执行步骤308,若现场CPE未将绿灯闪烁5秒,不向SDN控制器发送开局确认消息,开局确认消息用于表示现场CPE的实际ESN与目标ESN一致。
308、若现场CPE执行检测消息对应的检测指令,现场开局设备向SDN控制器发送开局确认消息;
若步骤207中的现场开局设备确定现场CPE执行了检测消息对应的检测指令,如上述举例:若现场CPE将绿灯闪烁5秒,现场开局设备确定现场CPE的实际ESN与目标ESN一致,并向SDN控制器发送开局确认消息。
309、若SDN控制器收到开局确认消息,SDN控制器向上线CPE下发目标业务配置。
若SDN控制器收到开局确认消息,SDN控制器可以通过Netconf对目标ESN对应的上线CPE进行目标业务配置,以使得该上线CPE和其他CPE建立SD-WAN隧道,该上线CPE所在企业的设备可以通过该上线CPE访问该企业用户的其他站点。
本实施例中,当现场CPE的实际ESN与目标ESN不一致时,现场开局设备不向SDN控制器发送开局确认消息,以使得SDN控制器不向该上线CPE下发业务配置,避免了由于二维码贴错或被恶意篡改导致上线CPE和其他分支站点错误建立SD-WAN隧道,从而避免上线CPE可以非法访问其他分支站点,导致的企业信息泄露的风险。
上面对本申请实施例中的配置方法进行了描述,下面对本申请实施例中的控制器进行描述,请参阅图4,本申请实施例中控制器一个实施例包括:
接收单元401,用于接收第一设备的设备标识和第一位置的对应关系;
发送单元402,用于向第一设备发送与验证第一设备是否位于第一位置相关的验证请求;
接收单元401还用于接收针对验证请求的验证响应;
确定单元403,用于根据验证响应确定是否为第一设备发送与第一位置对应的配置信息;
验证请求用于请求第一设备按预定方式开启第一设备的至少一个指示灯;
验证请求用于请求第一设备的扬声器按预定方式发出声音;
第一设备为企业出口路由器CPE;
验证请求用于请求验证第一设备是否位于第一位置;
验证请求用于请求基于第一设备是否位于第一位置确定第一设备的可信性;
验证请求用于请求基于第一设备是否位于第一位置确定是否为第一设备发送与第一位置对应的配置信息。
本实施例中,控制器中各单元所执行的操作与前述图2和图3所示实施例中描述的类似,此处不再赘述。
本申请实施例中,发送单元402向第一设备发送与验证第一设备是否位于第一位置相关的验证请求,确定单元403根据接收单元401接收到针对验证请求的验证响应确定是否为第一设备发送与第一位置对应的配置信息,避免了由于二维码贴错或被恶意篡改导致的第一设备不在第一位置就可以访问企业内部站点,造成企业信息泄露的风险。
下面对本申请实施例中的控制器进行描述,请参阅图5,本申请实施例中控制器另一实施例包括:
该控制器500可以包括一个或一个以上中央处理器(central processing units,CPU)501和存储器505,该存储器505中存储有一个或一个以上的应用程序或数据。
其中,存储器505可以是易失性存储或持久存储。存储在存储器505的程序可以包括一个或一个以上模块,每个模块可以包括对业务服务器中的一系列指令操作。更进一步地,中央处理器501可以设置为与存储器505通信,在控制器500上执行存储器505中的一系列指令操作。
控制器500还可以包括一个或一个以上电源502,一个或一个以上有线或无线网络接口503,一个或一个以上输入输出接口504,和/或,一个或一个以上操作系统,例如Windows ServerTM,Mac OS XTM,UnixTM,LinuxTM,FreeBSDTM等。
该中央处理器501可以执行前述图2和图3所示实施例中执行的操作,具体此处不再赘述。
在本申请所提供的几个实施例中,应该理解到,所揭露的系统,装置和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本申请各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。
所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,read-onlymemory)、随机存取存储器(RAM,random access memory)、磁碟或者光盘等各种可以存储程序代码的介质。
Claims (18)
1.一种配置方法,其特征在于,包括:
接收第一设备的设备标识和第一位置的对应关系;
向所述第一设备发送与验证所述第一设备是否位于所述第一位置相关的验证请求;
接收针对所述验证请求的验证响应;
根据所述验证响应确定是否为所述第一设备发送与所述第一位置对应的配置信息。
2.根据权利要求1所述的方法,其特征在于,所述验证请求用于请求所述第一设备按预定方式开启所述第一设备的至少一个指示灯。
3.根据权利要求1所述的方法,其特征在于,所述验证请求用于请求所述第一设备的扬声器按预定方式发出声音。
4.根据权利要求1所述的方法,其特征在于,所述方法由软件定义网络SDN控制器执行。
5.根据权利要求1所述的方法,其特征在于,所述第一设备为企业出口路由器CPE。
6.根据权利要求1至5中任一项所述的方法,其特征在于,所述验证请求用于请求验证所述第一设备是否位于所述第一位置。
7.根据权利要求1至5中任一项所述的方法,其特征在于,所述验证请求用于请求基于所述第一设备是否位于所述第一位置确定所述第一设备的可信性。
8.根据权利要求1至5中任一项所述的方法,其特征在于,所述验证请求用于请求基于所述第一设备是否位于所述第一位置确定是否为所述第一设备发送与所述第一位置对应的配置信息。
9.一种控制器,其特征在于,包括:
接收单元,用于接收第一设备的设备标识和第一位置的对应关系;
发送单元,用于向所述第一设备发送与验证所述第一设备是否位于所述第一位置相关的验证请求;
接收单元还用于接收针对所述验证请求的验证响应;
确定单元,用于根据所述验证响应确定是否为所述第一设备发送与所述第一位置对应的配置信息。
10.根据权利要求9所述的控制器,其特征在于,所述验证请求用于请求所述第一设备按预定方式开启所述第一设备的至少一个指示灯。
11.根据权利要求9所述的控制器,其特征在于,所述验证请求用于请求所述第一设备的扬声器按预定方式发出声音。
12.根据权利要求9所述的控制器,其特征在于,所述第一设备为企业出口路由器CPE。
13.根据权利要求9至12中任一项所述的控制器,其特征在于,所述验证请求用于请求验证所述第一设备是否位于所述第一位置。
14.根据权利要求9至12中任一项所述的控制器,其特征在于,所述验证请求用于请求基于所述第一设备是否位于所述第一位置确定所述第一设备的可信性。
15.根据权利要求9至12中任一项所述的控制器,其特征在于,所述验证请求用于请求基于所述第一设备是否位于所述第一位置确定是否为所述第一设备发送与所述第一位置对应的配置信息。
16.一种控制器,其特征在于,包括:
处理器、存储器、总线、输入输出设备;
所述处理器与所述存储器、输入输出设备相连;
所述总线分别连接所述处理器、存储器以及输入输出设备相连;
所述处理器执行如权利要求1至8中任一项所述的方法。
17.一种计算机存储介质,其特征在于,所述计算机存储介质中存储有指令,所述指令在计算机上执行时,使得所述计算机执行如权利要求1至8中任一项所述的方法。
18.一种计算机程序产品,其特征在于,所述计算机程序产品在计算机上执行时,使得所述计算机执行如权利要求1至8中任一项所述的方法。
Priority Applications (4)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910990152.3A CN112688898B (zh) | 2019-10-17 | 2019-10-17 | 一种配置方法及相关设备 |
| EP20877343.2A EP4030719A4 (en) | 2019-10-17 | 2020-09-27 | CONFIGURATION METHOD AND ASSOCIATED DEVICE |
| PCT/CN2020/118203 WO2021073407A1 (zh) | 2019-10-17 | 2020-09-27 | 一种配置方法及相关设备 |
| US17/721,043 US11902093B2 (en) | 2019-10-17 | 2022-04-14 | Configuration method and related device |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910990152.3A CN112688898B (zh) | 2019-10-17 | 2019-10-17 | 一种配置方法及相关设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN112688898A true CN112688898A (zh) | 2021-04-20 |
| CN112688898B CN112688898B (zh) | 2022-12-13 |
Family
ID=75444594
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910990152.3A Active CN112688898B (zh) | 2019-10-17 | 2019-10-17 | 一种配置方法及相关设备 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US11902093B2 (zh) |
| EP (1) | EP4030719A4 (zh) |
| CN (1) | CN112688898B (zh) |
| WO (1) | WO2021073407A1 (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114374558A (zh) * | 2022-01-10 | 2022-04-19 | 上海黑眸智能科技有限责任公司 | Sdk设备配网数量控制方法、系统、服务器端以及sdk端 |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111614476A (zh) * | 2019-02-22 | 2020-09-01 | 华为技术有限公司 | 设备配置方法、系统和装置 |
| US12069498B2 (en) * | 2022-07-12 | 2024-08-20 | Dish Wireless L.L.C. | Group monitoring and management of network functions of public cloud-based 5G network |
Citations (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20080005275A1 (en) * | 2000-06-02 | 2008-01-03 | Econnectix, Llc | Method and apparatus for managing location information in a network separate from the data to which the location information pertains |
| CN101771692A (zh) * | 2009-12-30 | 2010-07-07 | 华为终端有限公司 | 一种用户终端设备区域管理的方法、装置及系统 |
| US20150262021A1 (en) * | 2011-01-28 | 2015-09-17 | Peter Som De Cerff | Systems and methods for automating customer premises equipment registration |
| CN104978652A (zh) * | 2014-10-20 | 2015-10-14 | 腾讯科技(深圳)有限公司 | 一种数据转移方法及相关设备、系统 |
| CN105100072A (zh) * | 2015-06-30 | 2015-11-25 | 东软集团股份有限公司 | 一种网络节点监测方法及装置 |
| CN105100096A (zh) * | 2015-07-17 | 2015-11-25 | 小米科技有限责任公司 | 验证方法和装置 |
| CN105471641A (zh) * | 2015-11-23 | 2016-04-06 | 东莞市金铭电子有限公司 | 一种信息管理方法及相关设备 |
| CN106101995A (zh) * | 2016-05-20 | 2016-11-09 | 京信通信技术(广州)有限公司 | 位置认证方法和系统 |
| US20170230827A1 (en) * | 2013-11-01 | 2017-08-10 | Charter Communications Operating, Llc | System and method for authenticating local cpe |
| CN107508707A (zh) * | 2017-08-25 | 2017-12-22 | 中国联合网络通信集团有限公司 | 一种注册认证方法、装置及网络系统 |
| CN108833506A (zh) * | 2018-05-31 | 2018-11-16 | 上海连尚网络科技有限公司 | 信息获取方法和设备 |
Family Cites Families (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20030225547A1 (en) * | 2002-05-30 | 2003-12-04 | International Business Machines Corporation | Wireless feeder verification system |
| US9444903B2 (en) * | 2011-06-02 | 2016-09-13 | Surfeasy Inc. | Proxy based network communications |
| US9789246B2 (en) * | 2015-08-05 | 2017-10-17 | Cerner Innovation, Inc. | Protective medical device faceplate |
| US10789591B2 (en) * | 2016-04-06 | 2020-09-29 | Estorm Co., Ltd. | Method and system for authenticating IoT device using mobile device |
| US10708128B2 (en) * | 2016-04-29 | 2020-07-07 | Dcb Solutions Limited | Data driven orchestrated network with installation control using a light weight distributed controller |
| US10574692B2 (en) * | 2016-05-30 | 2020-02-25 | Christopher Nathan Tyrwhitt Drake | Mutual authentication security system with detection and mitigation of active man-in-the-middle browser attacks, phishing, and malware and other security improvements |
| US11153714B2 (en) * | 2016-08-05 | 2021-10-19 | Signify Holding B.V. | Beacon verification device |
| RU2671753C1 (ru) * | 2017-09-01 | 2018-11-06 | Тимур Юсупович Закиров | Система контроля и идентификации товара в магазине |
| WO2019165332A1 (en) * | 2018-02-24 | 2019-08-29 | Certus Technology Systems, Inc. | User authentication of smart speaker system |
| AU2019397068A1 (en) * | 2018-12-12 | 2021-06-24 | Curelator, Inc. | System and method for detecting auditory biomarkers |
| US20200374287A1 (en) * | 2019-05-24 | 2020-11-26 | International Business Machines Corporation | Mutual identity verification |
-
2019
- 2019-10-17 CN CN201910990152.3A patent/CN112688898B/zh active Active
-
2020
- 2020-09-27 WO PCT/CN2020/118203 patent/WO2021073407A1/zh unknown
- 2020-09-27 EP EP20877343.2A patent/EP4030719A4/en active Pending
-
2022
- 2022-04-14 US US17/721,043 patent/US11902093B2/en active Active
Patent Citations (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20080005275A1 (en) * | 2000-06-02 | 2008-01-03 | Econnectix, Llc | Method and apparatus for managing location information in a network separate from the data to which the location information pertains |
| CN101771692A (zh) * | 2009-12-30 | 2010-07-07 | 华为终端有限公司 | 一种用户终端设备区域管理的方法、装置及系统 |
| US20150262021A1 (en) * | 2011-01-28 | 2015-09-17 | Peter Som De Cerff | Systems and methods for automating customer premises equipment registration |
| US20170230827A1 (en) * | 2013-11-01 | 2017-08-10 | Charter Communications Operating, Llc | System and method for authenticating local cpe |
| CN104978652A (zh) * | 2014-10-20 | 2015-10-14 | 腾讯科技(深圳)有限公司 | 一种数据转移方法及相关设备、系统 |
| CN105100072A (zh) * | 2015-06-30 | 2015-11-25 | 东软集团股份有限公司 | 一种网络节点监测方法及装置 |
| CN105100096A (zh) * | 2015-07-17 | 2015-11-25 | 小米科技有限责任公司 | 验证方法和装置 |
| CN105471641A (zh) * | 2015-11-23 | 2016-04-06 | 东莞市金铭电子有限公司 | 一种信息管理方法及相关设备 |
| CN106101995A (zh) * | 2016-05-20 | 2016-11-09 | 京信通信技术(广州)有限公司 | 位置认证方法和系统 |
| CN107508707A (zh) * | 2017-08-25 | 2017-12-22 | 中国联合网络通信集团有限公司 | 一种注册认证方法、装置及网络系统 |
| CN108833506A (zh) * | 2018-05-31 | 2018-11-16 | 上海连尚网络科技有限公司 | 信息获取方法和设备 |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114374558A (zh) * | 2022-01-10 | 2022-04-19 | 上海黑眸智能科技有限责任公司 | Sdk设备配网数量控制方法、系统、服务器端以及sdk端 |
| CN114374558B (zh) * | 2022-01-10 | 2023-06-30 | 上海黑眸智能科技有限责任公司 | Sdk设备配网数量控制方法、系统、服务器端以及sdk端 |
Also Published As
| Publication number | Publication date |
|---|---|
| EP4030719A1 (en) | 2022-07-20 |
| US20220239560A1 (en) | 2022-07-28 |
| EP4030719A4 (en) | 2022-11-23 |
| CN112688898B (zh) | 2022-12-13 |
| US11902093B2 (en) | 2024-02-13 |
| WO2021073407A1 (zh) | 2021-04-22 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US8869236B1 (en) | Automatic configuration of a network device | |
| CN112997454B (zh) | 经由移动通信网络连接到家庭局域网 | |
| CN112600716B (zh) | 设备配置方法、配置装置及管理设备 | |
| CN106376003B (zh) | 检测无线局域网连接及无线局域网数据发送方法及其装置 | |
| CN112688898B (zh) | 一种配置方法及相关设备 | |
| CN110809308A (zh) | 一种iot设备与wifi路由器自动连接的方法及设备 | |
| US11888834B2 (en) | Methods and systems for onboarding network equipment | |
| US11765164B2 (en) | Server-based setup for connecting a device to a local area network | |
| US11963007B2 (en) | Facilitating residential wireless roaming via VPN connectivity over public service provider networks | |
| CN106302353B (zh) | 身份认证方法、身份认证系统和相关设备 | |
| CN104837136B (zh) | 无线接入认证方法和装置 | |
| US12075246B2 (en) | Securing transmission paths in a mesh network | |
| US8949949B1 (en) | Network element authentication in communication networks | |
| US10855624B2 (en) | Method and device for providing a backup link | |
| EP3711311B1 (en) | Method and system for providing signed user location information | |
| US11411797B2 (en) | Device management method and related device | |
| US12096496B2 (en) | Method for connecting a communication node and communication node | |
| CN109041275B (zh) | 数据传输方法、装置及无线接入点 | |
| KR101114921B1 (ko) | 이동통신에서의 가상 사설망 서비스 제공 장치 및 방법 | |
| US20240292472A1 (en) | Certificate-based addition of nodes to a wireless mesh network | |
| CN114978747B (zh) | 注册认证方法、装置、电子设备及存储介质 | |
| JP6856271B1 (ja) | 通信システム、通信経路確立方法、および経路確立プログラム | |
| CN115549974B (zh) | 专线业务的认证方法、装置以及电子设备 | |
| CN108023916A (zh) | 一种自启动方法及基站 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |