CN112995097B - 跨域访问系统及方法、装置 - Google Patents
跨域访问系统及方法、装置 Download PDFInfo
- Publication number
- CN112995097B CN112995097B CN201911285474.4A CN201911285474A CN112995097B CN 112995097 B CN112995097 B CN 112995097B CN 201911285474 A CN201911285474 A CN 201911285474A CN 112995097 B CN112995097 B CN 112995097B
- Authority
- CN
- China
- Prior art keywords
- cross
- domain
- user node
- domain access
- distributed controller
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/40—Network security protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供了一种跨域访问系统及方法、装置;其中,跨域访问系统包括:第一用户节点,第一分布式控制器,配置为响应于所述第一用户节点发起的所述跨域访问请求,以发送所述跨域访问请求至第二分布式控制器;所述第二分布式控制器,配置为接收所述跨域访问请求;所述第一分布式控制器和/或所述第二分布式控制器还配置为,根据所述跨域访问请求确定网络切片;所述第二用户节点。通过本发明,可以解决相关技术中无法在跨域访问过程中保证安全性能的问题,以达到在跨域访问过程中有效确保安全性能的效果。
Description
技术领域
本发明涉及通信领域,具体而言,涉及一种跨域访问系统及方法、装置。
背景技术
目前,相关技术中在实现数据的跨域访问时,存在如基于软件定义网络(SoftwareDefined Network,SDN)实现,或基于边缘计算资源分配方式(Distributed ResourceAssiGnment and Orchestration,DRAGON)实现等多种实现方式;但上述实现方式中,由于仅能提供基本的数据连接通道,并未考虑防火墙、负载均衡等中间件服务,故无法实现通道与通道之间的强逻辑隔离及提供相应的保护能力。对于隐私保护要求高的场景,如物联网应用场景等,由于相关技术中的跨域访问的安全性能不足,故难以对相关技术中的跨域访问技术直接应用。
针对上述相关技术中,无法在跨域访问过程中保证安全性能的问题,相关技术中尚未提出有效的解决方案。
发明内容
本发明实施例提供一种跨域访问系统及方法、装置,以至少解决相关技术中无法在跨域访问过程中保证安全性的问题。
根据本发明的一个实施例,提供了一种跨域访问方法,包括:
第一用户节点,配置为发起跨域访问请求,以请求跨域访问第二用户节点;
第一分布式控制器,配置为响应于所述第一用户节点发起的所述跨域访问请求,以发送所述跨域访问请求至第二分布式控制器;
所述第二分布式控制器,配置为接收所述跨域访问请求;所述第一分布式控制器和/或所述第二分布式控制器还配置为,根据所述跨域访问请求确定网络切片;
所述第二用户节点,配置为响应于所述第一用户节点通过所述网络切片进行的访问;
其中,所述第一分布式控制器用于对第一网域进行控制,所述第一用户节点为归属于所述第一网域的用户节点;所述第二分布式控制器用于对第二网域进行控制,所述第二用户节点为归属于所述第二网域的用户节点。
根据本发明的另一个实施例,还提供了一种跨域访问方法,应用于第一用户节点,所述第一用户节点为归属于第一网域的用户节点;所述方法包括:
发起跨域访问请求,并通过第一分布式控制器发送所述跨域访问请求至第二分布式控制器;其中,所述跨域访问请求用于请求跨域访问第二用户节点;
通过网络切片对第二用户节点进行访问;其中,所述网络切片由所述第一分布式控制器和/或所述第二分布式控制器根据所述跨域访问请求进行确定;
其中,所述第一分布式控制器用于对所述第一网域进行控制;所述第二分布式控制器用于对第二网域进行控制,所述第二用户节点为归属于所述第二网域的用户节点。
根据本发明的另一个实施例,还提供了一种跨域访问方法,应用于第二用户节点,所述第二用户节点为归属于第二网域的用户节点;所述方法包括:
响应于第一用户节点通过网络切片进行的访问;其中,所述网络切片由第一分布式控制器和/或第二分布式控制器根据跨域访问请求进行确定;所述第一分布式控制器用于对第一网域进行控制;所述第二分布式控制器用于对第二网域进行控制,所述第一用户节点为归属于所述第一网域的用户节点;
所述跨域访问请求由所述第一用户节点发起,并通过所述第一分布式控制器发送所述跨域访问请求至第二分布式控制器。
根据本发明的另一个实施例,还提供了一种跨域访问装置,应用于第一用户节点,所述第一用户节点为归属于第一网域的用户节点;所述装置包括:
请求模块,用于发起跨域访问请求,并通过第一分布式控制器发送所述跨域访问请求至第二分布式控制器;其中,所述跨域访问请求用于请求跨域访问第二用户节点;
访问模块,用于通过网络切片对第二用户节点进行访问;其中,所述网络切片由所述第一分布式控制器和/或所述第二分布式控制器根据所述跨域访问请求进行确定;
其中,所述第一分布式控制器用于对所述第一网域进行控制;所述第二分布式控制器用于对第二网域进行控制,所述第二用户节点为归属于所述第二网域的用户节点。
根据本发明的另一个实施例,还提供了一种跨域访问装置,应用于第二用户节点,所述第一用户节点为归属于第二网域的用户节点;所述装置包括:
响应模块,用于响应于第一用户节点通过网络切片进行的访问;其中,所述网络切片由第一分布式控制器和/或第二分布式控制器根据跨域访问请求进行确定;所述第一分布式控制器用于对第一网域进行控制;所述第二分布式控制器用于对第二网域进行控制,所述第一用户节点为归属于所述第一网域的用户节点;
所述跨域访问请求由所述第一用户节点发起,并通过所述第一分布式控制器发送所述跨域访问请求至第二分布式控制器。
根据本发明的另一个实施例,还提供了一种计算机可读的存储介质,所述计算机可读的存储介质中存储有计算机程序,其中,所述计算机程序被设置为运行时执行上述任一项方法实施例中的步骤。
根据本发明的另一个实施例,还提供了一种电子装置,包括存储器和处理器,所述存储器中存储有计算机程序,所述处理器被设置为运行所述计算机程序以执行上述任一项方法实施例中的步骤。
通过本发明,由于归属于第一网域的第一用户节点在请求跨域访问归属于第二网域的第二用户节点的过程中,可通过用于对第一网域进行控制的第一分布式控制器响应于第一用户节点发起的跨域访问请求,以发送跨域访问请求至用于对第二网域进行控制的第二分布式控制器;第二分布式控制器接收跨域访问请求后,进一步通过第一分布式控制器和/或第二分布式控制器根据所述跨域访问请求确定网络切片;以此,第二用户节点即可响应于第一用户节点通过网络切片进行的访问;因此,本发明可以解决相关技术中无法在跨域访问过程中保证安全性能的问题,以达到在跨域访问过程中有效确保安全性能的效果。
附图说明
此处所说明的附图用来提供对本发明的进一步理解,构成本申请的一部分,本发明的示意性实施例及其说明用于解释本发明,并不构成对本发明的不当限定。在附图中:
图1是根据本发明实施例提供的跨域访问系统的系统示意图(一);
图2是根据本发明实施例提供的跨域访问系统的系统示意图(二);
图3是根据本发明具体实施例提供的跨域访问系统的系统示意图;
图4是根据本发明具体实施例提供的域间进行跨域访问的场景示意图;
图5是根据本发明具体实施例提供的域A内部的功能示意图;
图6是根据本发明具体实施例提供的传感器进行跨域访问的场景示意图;
图7是根据本发明具体实施例提供的传感器进行跨域访问的交互示意图;
图8是根据本发明实施例提供的跨域访问方法的流程图(一);
图9是根据本发明实施例提供的跨域访问方法的流程图(二);
图10是根据本发明实施例提供的跨域访问装置的结构框图(一);
图11是根据本发明实施例提供的跨域访问装置的结构框图(二);
具体实施方式
下文中将参考附图并结合实施例来详细说明本发明。需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互组合。
需要说明的是,本发明的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。
实施例1
本实施例提供了一种跨域访问系统,图1是根据本发明实施例提供的跨域访问系统的系统示意图(一),如图1所示,本实施例中的跨域访问系统包括:
第一用户节点102,配置为发起跨域访问请求,以请求跨域访问第二用户节点;
第一分布式控制器104,配置为响应于第一用户节点102发起的跨域访问请求,以发送跨域访问请求至第二分布式控制器106;
第二分布式控制器106,配置为接收跨域访问请求;第一分布式控制器104和/或第二分布式控制器106还配置为,根据跨域访问请求确定网络切片;
第二用户节点108,配置为响应于第一用户节点102通过网络切片进行的访问;
其中,第一分布式控制器104用于对第一网域进行控制,第一用户节点102为归属于第一网域的用户节点;第二分布式控制器106用于对第二网域进行控制,第二用户节点108为归属于第二网域的用户节点。
需要进一步说明的是,本实施例中,本实施例所指的跨域访问为归属于第一网域的第一用户节点请求访问归属于第二访问节点的过程;上述第一网域与第二网域分别用于指示具有不同域名的物理网域,其中,第一网域统一由第一分布式控制器进行控制,第二网域统一由第二分布式控制器进行控制。
通过本实施例中的跨域访问系统,由于归属于第一网域的第一用户节点在请求跨域访问归属于第二网域的第二用户节点的过程中,可通过用于对第一网域进行控制的第一分布式控制器响应于第一用户节点发起的跨域访问请求,以发送跨域访问请求至用于对第二网域进行控制的第二分布式控制器;第二分布式控制器接收跨域访问请求后,进一步通过第一分布式控制器和/或第二分布式控制器根据所述跨域访问请求确定网络切片;以此,第二用户节点即可响应于第一用户节点通过网络切片进行的访问;因此,本实施例中的跨域访问系统可以解决相关技术中无法在跨域访问过程中保证安全性能的问题,以达到在跨域访问过程中有效确保安全性能的效果。
具体而言,本实施例中的跨域访问系统一方面在构架设计上于第一网域与第二网域中分别采用了用户节点与分布式控制器的分层设计,以通过第一分布式控制器与第二分布式控制器实现跨域访问处理,进而可以在第一用户节点与第二用户节点进行跨域访问过程中实现了数据隔离,以显著改善跨域访问的安全性能。在此基础上,由于第一网域以及第二网域均通过分布式控制器进行整体控制,故本实施例中的系统构架还可以使得系统的扩展性能得以提升。
在一可选实施例中,图2是根据本发明实施例提供的跨域访问系统的系统示意图(二),如图2所示,本实施例中的系统还包括:
第一网关110,通过第一交换机112连接至第一用户节点102;第一网关110配置为,获取第一用户节点102发起的跨域访问请求,并将跨域访问请求转发至第一分布式控制器104;
第二网关114,通过第二交换机116连接至第二用户节点108;第二网关114配置为,获取第二分布式控制器106发送的跨域访问命令,并根据跨域访问命令对第一用户节点102进行认证;其中,跨域访问命令由第二分布式控制器106根据跨域访问信息生成。
需要进一步说明的是,上述可选实施例中,第一网域中,第一用户节点与第一分布式控制器之间设置有第一网关,第一网关具体可以通过第一交换机连接至第一用户节点,即在第一网域中形成了第一分布式控制器、第一网关、第一交换机以及第一用户节点的分层结构。类似的,第二网域中,第二用户节点与第二分布式控制器之间设置有第二网关,第二网关具体可以通过第二交换机连接至第二用户节点,即在第二网域中形成了第二分布式控制器、第二网关、第二交换机以及第二用户节点的分层结构。
第一网关与第一分布式控制器共同构成了第一网域中的控制层,以进行第一网域中的信息交互,以及相关资源的调用等操作;第二网关与第二分布式控制器共同构成了第二网域中的控制层,以进行第二网域中的信息交互,以及相关资源的调用等操作。
在跨域访问过程中,第一网关具体可将第一用户节点生成的跨域访问请求转发至第一分布式控制器,以令第一分布式控制器将跨域访问请求进一步发送至第二分布式控制器。第二分布式控制器接收到上述跨域访问请求后,即可根据跨域访问信息生成跨域访问命令,并将跨域访问命令下发至第二网关,以令第二网关根据跨域访问命令对第一用户节点进行认证。
基于此,上述可选实施例通过第一网域以及第二网域中第一网关与第二网关设置,以实现不同网域中进一步的分层结构,以此使得本实施例中跨域访问系统的扩展性进一步改善;并且,上述第一网关以及第二网关的设置可实现对相关资源的调用,以使得不同网域中的资源可以进行协作利用,进而实现本实施例系统中资源利用效率的显著提高,以此,能够节省物联网基础设施建设成本,提高物联网节点跨域访问的有效性和可靠性。
在一可选实施例中,上述第二网关114根据跨域访问命令对第一用户节点102进行认证,进一步可以配置为,根据跨域访问命令,调用身份认证服务器对第一用户节点进行身份识别认证,以及,调用授权映射服务器对第一用户节点进行访问权限认证。
需要进一步说明的是,上述可选实施例中,身份认证服务器用以认证第一用户节点的身份,以识别第一用户节点是否为已通过认证的用户;上述授权映射服务器用以认证第一用户节点的权限,以确定第一用户节点是否有权限访问相应的服务。
需要进一步说明的是,上述可选实施例中,第二网关调用身份认证服务器以及授权映射服务器可以是同时进行调用,也可以是按照预设的顺序进行调用,本发明对此不作限定。
当身份认证服务器和/或授权映射服务器完成相应的认证后,如若认证通过,则可返回回执,以执行令一项认证处理或执行后续操作;如若任何一项认证不通过,则可中止认证以及跨域访问处理。此外,上述身份认证服务器与授权映射服务器可以是第二网域中设置的服务器,也可以是其它网域,如第一网域中设置的服务器,第二网关通过对非第二网域中的身份认证服务器与授权映射服务器进行调用,即可实现本实施例中的跨域访问系统中的资源协作利用。
在一可选实施例中,上述第一网关110还配置为,调用第一密钥协商服务器,使得第一密钥协商服务器与第二密钥协商服务器根据跨域访问请求进行密钥协商,以获取跨域访问密钥;
其中,跨域访问密钥用于第一用户节点与第二用户节点进行跨域访问中的加密和/或解密处理;第一密钥协商服务器为归属于第一网域的密钥协商服务器,第二密钥协商服务器为归属于第二网域的密钥协商服务器。
需要进一步说明的是,上述可选实施例中,第一网关调用第一密钥协商服务器由第二网关完成对第一用户节点的对应认证后执行,如若第二网关确认第一用户节点通过认证,即可由第一网关在接收到第一用户节点通过认证的相应确认消息后,进行第一密钥协商服务器的调用。
上述可选实施例中,归属于第一网域的第一密钥协商服务器与归属于第二网域的第二密钥协商服务器根据跨域访问请求进行密钥协商,即可得到仅针对第一用户节点与第二用户节点在跨域访问过程中的密钥,以此密钥进行加解密处理,即可在第一用户节点进行跨域访问的过程中,有效的确保数据隔离以及信息安全性。
在一可选实施例中,上述第一网关110还配置为,发送认证确认信息至第一分布式控制器;第二网关114还配置为,发送认证确认信息至第二分布式控制器;
第一分布式控制器和/或第二分布式控制器还配置为,根据认证确认信息,在第一分布式控制器与第二分布式控制器之间建立连接。
在一可选实施例中,上述第一分布式控制器104还配置为,通过网络功能虚拟化(Network Functions Virtualization,NFV)向防火墙写入第一访问控制列表(AccessControl Lists,ACL)规则,其中,第一ACL规则用于指示防火墙允许第一用户节点向第二用户节点发送跨域访问信息;
第二分布式控制器106还配置为,通过NFV向防火墙写入第二ACL规则,其中,第二ACL规则用于指示防火墙允许跨域访问信息进入第二网域。
需要进一步说明的是,上述可选实施例中,第一分布式控制器以及第二分布式控制器均可通过NFV以向防火墙写入对应的ACL规则,以此即可在跨域访问过程中,通过NFV提供灵活编排的中间件服务,以在用户节点自身能力受限的物联网场景下,通过NFV的支持以使得系统访问的效率得以进一步改善。
在一可选实施例中,上述第一分布式控制器104还配置为,对第一用户节点发送的跨域访问信息进行加密处理,并将加密后的跨域访问信息发送至第二分布式控制器;第二分布式处理器106还配置为,对加密后的跨域访问信息进行解密,并将解密后的跨域访问信息发送至第二用户节点以实现第一用户节点的跨域访问。
需要进一步说明的是,上述第一分布式控制器所进行的加密处理以及所述第二分布式控制器所进行的解密处理可以采用前述可选实施例中的密钥得以实现,也可以根据预设的加解密方式得以实现。
在一可选实施例中,上述跨域访问请求包括:第一跨域访问请求,第二跨域访问请求;
第一用户节点还配置为,发起第一跨域访问请求,以请求跨域访问第二用户节点;
第一分布式控制器还配置为,响应于第一用户节点发起的第一跨域访问请求以生成第二跨域访问请求,并发送第二跨域访问请求至第二分布式控制器;
其中,第一跨域访问请求包括以下至少之一:第二用户节点域名信息、服务类型信息、服务质量要求信息;
第二跨域访问请求包括以下至少之一:第二用户节点地址信息、第一用户节点地址信息、服务类型信息,服务质量要求信息。
需要进一步说明的是,上述可选实施例中,第一跨域访问信息即为第一用户节点生成的跨域访问请求,上述第二跨域访问信息即为第二分布式控制器接收到的跨域访问请求;具体而言,即第一分布式控制器获取到上述第一用户节点生成的第一跨域访问信息后,对该第一跨域访问信息进行相应处理,以生成第二跨域访问信息,并将该第二跨域访问信息发送至第二分布式控制器;上述处理过程中,第一分布式控制器将第一跨域访问请求中的第二用户节点域名信息替换为了第二用户节点地址信息,并在第一跨域请求信息的基础上,添加了第一用户节点地址信息。
在一可选实施例中,上述第一分布式控制器104和/或第二分布式控制器106还配置为,
根据跨域访问请求中的服务质量要求确定网络切片。
需要进一步说明的是,上述可选实施例中,根据跨域访问请求中的服务质量要求确定网络切片,具体可根据如时延要求等,以确定对应的网络切片。
在一可选实施例中,上述第一分布式控制器104和/或第二分布式控制器106还配置为,
根据跨域访问请求中的服务质量要求确定路由信息,其中,路由信息用于指示访问信息在第一网域或第二网域内部的传输路径,以及第一网域与第二网域之间的传输路径。
需要进一步说明的是,上述可选实施例中,根据跨域访问请求中的服务质量要求确定路由信息,具体可根据如时延要求、带宽要求等,以确定对应的路由信息。
在一可选实施例中,本实施例中的系统还包括:
联盟链,设置在第一分布式控制器以及第二分布式控制器之间;联盟链配置为对跨域访问记录进行维护;其中,跨域访问记录由第一网关和/或第二网关在第一用户节点结束跨域访问第二用户节点后进行获取;跨域访问记录包括:跨域访问事件,跨域访问事件的发生及结束时间。
需要进一步说明的是,上述可选实施例中,联盟链的设置可在第一分布式控制器以及第二分布式控制器之间形成不可抵赖的顶层访问记录,进而令每一次跨域访问的记录均可追溯,以进一步确保本实施例中的跨域访问系统运行过程中的安全保障。
在一可选实施例中,上述联盟链还配置为,记录异常访问记录,其中,异常访问记录用于指示第一用户节点跨域访问第二用户节点异常;异常访问记录由第一网关和/或第二网关上报。
需要进一步说明的是,上述可选实施例中,通过联盟链以对于跨域访问过程中的异常访问记录进行记录,即可一方面在确保可对该异常访问记录进行追溯,另一方面,可在后续的跨域访问过程中对异常问题或对象进行相应处理,以进一步改善访问中的效率与安全性。
以下通过具体实施例的方式进一步说明本实施例中的跨域访问系统的构成以及工作原理。
图3是根据本发明具体实施例提供的跨域访问系统的系统示意图,如图3所示,每一个域内包括若干个物联网节点通过接入点或直接接入家庭交换机,若干个家庭交换机接入汇接交换机,即网关,若干个网关接入一个分布式控制器,组成一个域,域内配置身份认证、授权访问、密钥协商服务器,以及防火墙、加解密等中间件服务;上述分布式控制器、网关与认证/授权/密钥协商服务器、中间件服务直接连接或通过交换机间接连接。
图4是根据本发明具体实施例提供的域间进行跨域访问的场景示意图,如图4所示,域A与域B进行跨域访问,以域A为例,上述分布式控制器配置以下模块:域内信息交互模块,与域内网关交互控制信息,接收网关发送的请求;域名解析模块,建立域名与地址间的映射关系;域间信息交互模块,与其它域控制器交互控制信息;策略制定模块,根据访问规则及QoS等要求制定相应的网络切片;路由信息模块,规划最优传输路径,向传输路径上交换机传送流表。域间异常访问记录模块,接收各域内网关上报异常用户访问记录。
上述网关包括:服务受理模块,负责接受服务请求并向域内分布式控制器发送;认证授权模块,通过调用身份认证/授权映射/密钥协商服务器完成跨域访问身份认证、授权管理和通信密钥协商;域内访问日志记录模块,记录用户访问日志,便于访问记录追溯;异常访问上报模块,判断当前访问异常情况,及时向分布式控制器上报。图5是根据本发明具体实施例提供的域A内部的功能示意图,上述域A中的分布式控制器以及网关的设置如图5所示。
上述域B的构成与域A相同,故在此不再赘述;域与域之间的分布式控制器直接连接或通过交换机间接连接。
本具体实施例中具体以位于域A中的用户的传感器监测到用户的心跳数据异常以向位于域D中的医院请求相应服务的场景进行说明。本具体实施例中,传感器构成了上述实施例中的第一用户节点,医院的服务器或诊断设备构成了上述实施例中的第二用户节点。
图6是根据本发明具体实施例提供的传感器进行跨域访问的场景示意图,如图6所示,本具体实施例的跨域访问系统中,域A即构成本实施例中的第一网域,域A中相应的分布式控制器、网关等即为本实施例中的第一分布式控制器、第一网关;类似的,域D即构成本实施例中的第二网域,域D中相应的分布式控制器、网关等即为本实施例中的第二分布式控制器、第二网关。
本具体实施例中,用户的传感器节点IP地址为FF00::1109,所处网关地址为FF00::1103,所处分布式控制器地址为FF00::1101。当传感器节点在某种情况下(如心率低于某一阈值)向医院请求诊断,医院结合用户历史数据和病例库给出诊断,并将结果返回至传感器节点。图7是根据本发明具体实施例提供的传感器进行跨域访问的交互示意图,如图7所示,上述传感器进行跨域访问的过程如下:
S1,跨域访问用户节点传感器S向所在域A内网关发送跨域访问请求Ri,对被访问节点医院自动诊断服务器进行访问,被访问节点域名Di为server_1.beijing.hos.chinese,QoS要求包括访问结果反馈时延LRi=1s,中间件处理时延要求Mi=30ms,传输时延LTi=50ms,带宽Bi=1Mbps,隐私等级Pi=高级。
S2,服务受理模块接收跨域访问请求后,解析出上述跨域访问请求中的(Di,LRi,Mi,LTi,Bi,Pi),并向域内分布式控制器域内信息交互模块发送;域内信息交互模块首先为跨域访问进行出域访问编号编号通过被访问服务器域名和当前时间戳(设为2019-08-07 22:45 00)文本合并后的哈希值HASH(2019-08-07 22:45 00server_1.beijing.hos.chinese)=122e207244c368a098112ea1dd2572df47d5045c2b569beb64922ba13598f150,向域名解析模块查询被访问节点地址IP地址ADDRESSdes,得到FF03::110F,得到被访问节点所处域D分布式控制器地址ADDRESSdes_ct为FF03::1101。
S3,访问节点所处分布式控制器中,域内信息交互模块将被访问节点所处的分布式控制器信息向域间信息交互模块发送,域间信息交互模块向路由信息模块查询到被访问域分布式控制器路由信息如需要经过域B、域C两个分布式控制器,其地址为FF01::1101和FF02::1101,则经过的路由信息为(FF00::1101,FF01::1101,FF02::1101,FF03::1101),所经过的交换机序列为域间信息交互模块向被访问节点所处分布式控制器域间信息交互模块发送访问请求/>即/>
S4,被访问节点所处分布式控制器域间信息交互模块收到访问请求后,解析出被访问节点ADDRESSdes为FF01::110F,为本次入域访问分配编号编号通过访问节点地址和当前时间戳文本相加后的哈希值,即/>=4cd277ca61c41b39f9e69f693b07eb5e0855cc77558919e2971a180256ae445e,向路由信息模块查询到被访问节点所处网关,地址为FF03::1103处所经过的交换机序列(S0,S1,S2......Sn),向被访问节点所处网关发送跨域访问命令。
S5,被访问节点根据反馈时延要求LRi确定调用身份认证、授权和密钥协商过程的服务器选取LRiden_i、LRauth_i、LRkey_i,保证LRiden_i+LRauth_i+LRkey_i≤LRi,设LRiden_i、LRauth_i、LRkey_i分别为300ms,满足低于1s的要求。网关调用身份认证服务器服务,身份认证服务器识别访问用户身份,发送是否通过身份认证的回执设返回值为TRUE(表示通过);接收到通过回执后,网关调用授权映射授权服务器服务,授权映射授权服务器根据请求的业务查看访问用户是否有权限访问相应的服务,通过后生成是否有权访问的回执/>传感器节点地址与用户数据库预留的IP地址一致,返回TRUE。网关接收授权回执后,向本域内分布式控制器域内信息交互模块发送认证反馈/>
S6,被访问分布式控制器FF03::1101向访问节点所在分布式控制器FF01::1101发送认证结果,由访问节点所在分布式控制器FF01::1101通过域内信息交互模块向访问节点网关FF00::1103发送认证通过、准备密钥协商消息,隐私等级Pi要求为高等级,网关FF00::1103调用密钥协商服务器FF00::1112,与被访问节点网关FF03::1103调用的密钥协商服务器FF03::1112,协商得到通信密钥(Ksour,Kdes)。
S7,被访问节点网关向被访问节点分布式控制器,访问节点网关向访问节点分布式控制器,各自发送认证过程完成消息,访问节点所处分布式控制器FF00::1101与被访问用户所处域内分布式控制器FF03::1101建立连接,根据服务QoS要求协商确定本次服务所需的网络切片,包括由NFV调用防火墙,动态写入ACL规则;加解密等中间件资源,设本次服务所需虚拟功能为分别代表防火墙和加解密服务,根据中间件处理时延要求Mi为30ms,找到访问节点所处域内处理时延/>为10ms和被访问节点所处域内处理时延/>为10ms,满足要求。以及由路由信息模块根据传输时延LTi为50ms,带宽Bi为1Mbps,规划域间、域内最优传输路径等网络资源,设域间路由包括分布式控制器序列(FF00::1101,FF01::1101,FF02::1101,FF03::1101)满足要求,此时每个域内路由所经过的交换机序列分别为:域A内/>域B内/>域C内/>域D内/>
S8,访问节点网关FF00::1103向访问节点FF00::1109发送访问反馈结果,被访问节点网关FF03::1103向被访问节点FF03::110F发送访问反馈结果。传感器FF00::1109向医院服务器FF03::110F发送传感器记录的数据。访问节点向所处域内NFV防火墙动态写入ACL规则,允许FF00::1109传送至FF03::110F的信息跨域访问,并通过加密服务器将信息加密后传送;被访问节点所处域内通过NFV向防火墙动态写入ACL规则,允许FF00::1109传送至FF03::110F信息进入域内,并通过服务器完成解密操作;反向数据同样经过防火墙、加解密等操作,建立双向连接,实现强逻辑隔离跨域访问。
S9,访问结束后,被访问节点所处网关记录本次访问及访问结束时间即由域D内各网关组建联盟链维护,保证访问记录可追溯。本次访问结束后,医院服务器扣除相应费用,整个过程正常,则无需上报异常情况,如传感器节点多次上报无效数据,或一定时间段内未能缴纳约定的费用,则将本次访问作为异常访问,通过网关向分布式控制器上报异常访问记录及异常原因,由分布式控制器之间维护的联盟链维护异常访问记录。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到根据上述实施例的方法可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质(如ROM/RAM、磁碟、光盘)中,包括若干指令用以使得一台终端设备(可以是手机,计算机,服务器,或者网络设备等)执行本发明各个实施例所述的方法。
实施例2
本实施例提供了一种跨域访问方法,应用于第一用户节点,第一用户节点为归属于第一网域的用户节点;图8是根据本发明实施例提供的跨域访问方法的流程图(一),如图8所示,本实施例中的跨域访问方法包括:
S202,发起跨域访问请求,并通过第一分布式控制器发送跨域访问请求至第二分布式控制器;其中,跨域访问请求用于请求跨域访问第二用户节点;
S204,通过网络切片对第二用户节点进行访问;其中,网络切片由第一分布式控制器和/或第二分布式控制器根据跨域访问请求进行确定;
其中,第一分布式控制器用于对第一网域进行控制;第二分布式控制器用于对第二网域进行控制,第二用户节点为归属于第二网域的用户节点。
本实施例中的跨域访问方法的其余可选实施例与技术效果均与实施例1中的跨域访问系统对应,故在此不再赘述。
在一可选实施例中,上述通过第一分布式控制器发送跨域访问请求至第二分布式控制器之前,包括:
发送跨域访问请求至第一网关,并通过第一网关将跨域访问请求发送至第一分布式控制器;其中,第一网关通过第一交换机连接至第一用户节点。
在一可选实施例中,上述通过第一分布式控制器发送跨域访问请求至第二分布式控制器,包括:
通过第一分布式控制器发送跨域访问请求至第二分布式控制器,使得第二分布式控制器根据跨域访问信息生成跨域访问命令,并将跨域访问命令转发至第二网关;
其中,第二网关通过第二交换机连接至第二用户节点;跨域访问命令用以指示第二网关根据跨域访问命令对第一用户节点进行认证。
在一可选实施例中,上述跨域访问命令用以指示第二网关根据跨域访问命令对第一用户节点进行认证,包括:
跨域访问命令用以指示第二网关根据跨域访问命令,调用身份认证服务器对第一用户节点进行身份识别认证,以及,调用授权映射服务器对第一用户节点进行访问权限认证。
在一可选实施例中,上述跨域访问命令用以指示第二网关根据跨域访问命令对第一用户节点进行认证之后,还包括:
通过第一网关调用第一密钥协商服务器,使得第一密钥协商服务器与第二密钥协商服务器根据跨域访问请求进行密钥协商,以获取跨域访问密钥;
其中,跨域访问密钥用于第一用户节点与第二用户节点进行跨域访问中的加密和/或解密处理;第一密钥协商服务器为归属于第一网域的密钥协商服务器,第二密钥协商服务器为归属于第二网域的密钥协商服务器。
在一可选实施例中,上述获取跨域访问密钥之后,还包括:
通过第一网关发送认证确认信息至第一分布式控制器,并通过第二网关发送认证确认信息至第二分布式控制器,以使得第一分布式控制器和/或第二分布式控制器根据认证确认信息在第一分布式控制器与第二分布式控制器之间建立连接。
在一可选实施例中,上述方法还包括:
通过第一分布式控制器以经由网络功能虚拟化NFV向防火墙写入第一访问控制列表ACL规则,其中,第一ACL规则用于指示防火墙允许第一用户节点向第二用户节点发送跨域访问信息;
通过第二分布式控制器以经由NFV向防火墙写入第二ACL规则,其中,第二ACL规则用于指示防火墙允许跨域访问信息进入第二网域。
在一可选实施例中,上述方法还包括:
通过第一分布式对第一用户节点发送的跨域访问信息进行加密处理,并将加密后的跨域访问信息发送至第二分布式控制器;
通过第二分布式处理器对加密后的跨域访问信息进行解密,并将解密后的跨域访问信息发送至第二用户节点以实现第一用户节点的跨域访问。
在一可选实施例中,上述跨域访问请求包括:第一跨域访问请求,第二跨域访问请求;
发起跨域访问请求,并通过第一分布式控制器发送跨域访问请求至第二分布式控制器,包括:
发起第一跨域访问请求,以请求跨域访问第二用户节点;
通过第一分布式控制器响应于第一用户节点发起的第一跨域访问请求以生成第二跨域访问请求,并发送第二跨域访问请求至第二分布式控制器;
其中,第一跨域访问请求包括以下至少之一:第二用户节点域名信息、服务类型信息、服务质量要求信息;
第二跨域访问请求包括以下至少之一:第二用户节点地址信息、第一用户节点地址信息、服务类型信息,服务质量要求信息。
在一可选实施例中,上述通过网络切片对第二用户节点进行访问之前,还包括:
通过第一分布式控制器和/或第二分布式控制器以根据跨域访问请求中的服务质量要求确定网络切片。
在一可选实施例中,上述通过网络切片对第二用户节点进行访问之前,还包括:
通过第一分布式控制器和/或第二分布式控制器以根据跨域访问请求中的服务质量要求确定路由信息,其中,路由信息用于指示访问信息在第一网域或第二网域内部的传输路径,以及第一网域与第二网域之间的传输路径。
在一可选实施例中,上述方法还包括:
通过第一网关和/或第二网关在第一用户节点结束跨域访问第二用户节点后获取跨域访问记录;
在第一分布式控制器以及第二分布式控制器之间设置并维持联盟链,并通过联盟链对跨域访问记录进行维护;其中,跨域访问记录包括:跨域访问事件,跨域访问事件的发生及结束时间。
在一可选实施例中,上述通过联盟链对跨域访问记录进行维护还包括:
记录异常访问记录,其中,异常访问记录用于指示第一用户节点跨域访问第二用户节点异常;异常访问记录由第一网关和/或第二网关上报。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到根据上述实施例的方法可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质(如ROM/RAM、磁碟、光盘)中,包括若干指令用以使得一台终端设备(可以是手机,计算机,服务器,或者网络设备等)执行本发明各个实施例所述的方法。
实施例3
本实施例提供了一种跨域访问方法,应用于第二用户节点,第一用户节点为归属于第二网域的用户节点;图9是根据本发明实施例提供的跨域访问方法的流程图(二),如图9所示,本实施例中的方法包括:
S302,响应于第一用户节点通过网络切片进行的访问;其中,网络切片由第一分布式控制器和/或第二分布式控制器根据跨域访问请求进行确定;第一分布式控制器用于对第一网域进行控制;第二分布式控制器用于对第二网域进行控制,第一用户节点为归属于第一网域的用户节点;
跨域访问请求由第一用户节点发起,并通过第一分布式控制器发送跨域访问请求至第二分布式控制器。
本实施例中的跨域访问方法的其余可选实施例以及技术效果均与实施例1中的跨域访问系统对应,故在此不再赘述。
在一可选实施例中,上述跨域访问请求由第一用户节点发起,并发送跨域访问请求至第一网关,以通过第一网关将跨域访问请求发送至第一分布式控制器;其中,第一网关通过第一交换机连接至第一用户节点。
在一可选实施例中,上述跨域访问请求通过第一分布式控制器发送跨域访问请求至第二分布式控制器,以使得第二分布式控制器根据跨域访问信息生成跨域访问命令,并将跨域访问命令转发至第二网关;
其中,第二网关通过第二交换机连接至第二用户节点;跨域访问命令用以指示第二网关根据跨域访问命令对第一用户节点进行认证。
在一可选实施例中,上述跨域访问命令用以指示第二网关根据跨域访问命令对第一用户节点进行认证,包括:
跨域访问命令用以指示第二网关根据跨域访问命令,调用身份认证服务器对第一用户节点进行身份识别认证,以及,调用授权映射服务器对第一用户节点进行访问权限认证。
在一可选实施例中,上述跨域访问命令用以指示第二网关根据跨域访问命令对第一用户节点进行认证之后,还包括:
通过第一网关调用第一密钥协商服务器,使得第一密钥协商服务器与第二密钥协商服务器根据跨域访问请求进行密钥协商,以获取跨域访问密钥;
其中,跨域访问密钥用于第一用户节点与第二用户节点进行跨域访问中的加密和/或解密处理;第一密钥协商服务器为归属于第一网域的密钥协商服务器,第二密钥协商服务器为归属于第二网域的密钥协商服务器。
在一可选实施例中,上述获取跨域访问密钥之后,还包括:
通过第一网关发送认证确认信息至第一分布式控制器,并通过第二网关发送认证确认信息至第二分布式控制器,以使得第一分布式控制器和/或第二分布式控制器根据认证确认信息在第一分布式控制器与第二分布式控制器之间建立连接。
在一可选实施例中,上述方法还包括:
通过第一分布式控制器以经由网络功能虚拟化NFV向防火墙写入第一访问控制列表ACL规则,其中,第一ACL规则用于指示防火墙允许第一用户节点向第二用户节点发送跨域访问信息;
通过第二分布式控制器以经由NFV向防火墙写入第二ACL规则,其中,第二ACL规则用于指示防火墙允许跨域访问信息进入第二网域。
在一可选实施例中,上述方法还包括:
通过第一分布式对第一用户节点发送的跨域访问信息进行加密处理,并将加密后的跨域访问信息发送至第二分布式控制器;
通过第二分布式处理器对加密后的跨域访问信息进行解密,并将解密后的跨域访问信息发送至第二用户节点以实现第一用户节点的跨域访问。
在一可选实施例中,上述跨域访问请求包括:第一跨域访问请求,第二跨域访问请求;
发起跨域访问请求,并通过第一分布式控制器发送跨域访问请求至第二分布式控制器,包括:
发起第一跨域访问请求,以请求跨域访问第二用户节点;
通过第一分布式控制器响应于第一用户节点发起的第一跨域访问请求以生成第二跨域访问请求,并发送第二跨域访问请求至第二分布式控制器;
其中,第一跨域访问请求包括以下至少之一:第二用户节点域名信息、服务类型信息、服务质量要求信息;
第二跨域访问请求包括以下至少之一:第二用户节点地址信息、第一用户节点地址信息、服务类型信息,服务质量要求信息。
在一可选实施例中,上述响应于第一用户节点通过网络切片进行的访问之前,还包括:
通过第一分布式控制器和/或第二分布式控制器以根据跨域访问请求中的服务质量要求确定网络切片。
在一可选实施例中,上述响应于第一用户节点通过网络切片进行的访问之前,还包括:
通过第一分布式控制器和/或第二分布式控制器以根据跨域访问请求中的服务质量要求确定路由信息,其中,路由信息用于指示访问信息在第一网域或第二网域内部的传输路径,以及第一网域与第二网域之间的传输路径。
在一可选实施例中,上述方法还包括:
通过第一网关和/或第二网关在第一用户节点结束跨域访问第二用户节点后获取跨域访问记录;
在第一分布式控制器以及第二分布式控制器之间设置并维持联盟链,并通过联盟链对跨域访问记录进行维护;其中,跨域访问记录包括:跨域访问事件,跨域访问事件的发生及结束时间。
在一可选实施例中,上述通过联盟链对跨域访问记录进行维护还包括:
记录异常访问记录,其中,异常访问记录用于指示第一用户节点跨域访问第二用户节点异常;异常访问记录由第一网关和/或第二网关上报。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到根据上述实施例的方法可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质(如ROM/RAM、磁碟、光盘)中,包括若干指令用以使得一台终端设备(可以是手机,计算机,服务器,或者网络设备等)执行本发明各个实施例所述的方法。
实施例4
本实施例提供了一种跨域访问装置,应用于第一用户节点,第一用户节点为归属于第一网域的用户节点;该装置用于实现上述实施例及优选实施方式,已经进行过说明的不再赘述。如以下所使用的,术语“模块”可以实现预定功能的软件和/或硬件的组合。尽管以下实施例所描述的装置较佳地以软件来实现,但是硬件,或者软件和硬件的组合的实现也是可能并被构想的。图10是根据本发明实施例提供的跨域访问装置的结构框图(一),如图10所示,本实施例中的跨域访问装置包括:
请求模块402,用于发起跨域访问请求,并通过第一分布式控制器发送跨域访问请求至第二分布式控制器;其中,跨域访问请求用于请求跨域访问第二用户节点;
访问模块404,用于通过网络切片对第二用户节点进行访问;其中,网络切片由第一分布式控制器和/或第二分布式控制器根据跨域访问请求进行确定;
其中,第一分布式控制器用于对第一网域进行控制;第二分布式控制器用于对第二网域进行控制,第二用户节点为归属于第二网域的用户节点。
本实施例中的跨域访问装置的其余可选实施例与技术效果均与实施例2中的跨域访问方法对应,故在此不再赘述。
在一可选实施例中,上述通过第一分布式控制器发送跨域访问请求至第二分布式控制器之前,包括:
发送跨域访问请求至第一网关,并通过第一网关将跨域访问请求发送至第一分布式控制器;其中,第一网关通过第一交换机连接至第一用户节点。
在一可选实施例中,上述通过第一分布式控制器发送跨域访问请求至第二分布式控制器,包括:
通过第一分布式控制器发送跨域访问请求至第二分布式控制器,使得第二分布式控制器根据跨域访问信息生成跨域访问命令,并将跨域访问命令转发至第二网关;
其中,第二网关通过第二交换机连接至第二用户节点;跨域访问命令用以指示第二网关根据跨域访问命令对第一用户节点进行认证。
在一可选实施例中,上述跨域访问命令用以指示第二网关根据跨域访问命令对第一用户节点进行认证,包括:
跨域访问命令用以指示第二网关根据跨域访问命令,调用身份认证服务器对第一用户节点进行身份识别认证,以及,调用授权映射服务器对第一用户节点进行访问权限认证。
在一可选实施例中,上述跨域访问命令用以指示第二网关根据跨域访问命令对第一用户节点进行认证之后,还包括:
通过第一网关调用第一密钥协商服务器,使得第一密钥协商服务器与第二密钥协商服务器根据跨域访问请求进行密钥协商,以获取跨域访问密钥;
其中,跨域访问密钥用于第一用户节点与第二用户节点进行跨域访问中的加密和/或解密处理;第一密钥协商服务器为归属于第一网域的密钥协商服务器,第二密钥协商服务器为归属于第二网域的密钥协商服务器。
在一可选实施例中,上述获取跨域访问密钥之后,还包括:
通过第一网关发送认证确认信息至第一分布式控制器,并通过第二网关发送认证确认信息至第二分布式控制器,以使得第一分布式控制器和/或第二分布式控制器根据认证确认信息在第一分布式控制器与第二分布式控制器之间建立连接。
在一可选实施例中,上述方法还包括:
通过第一分布式控制器以经由网络功能虚拟化NFV向防火墙写入第一访问控制列表ACL规则,其中,第一ACL规则用于指示防火墙允许第一用户节点向第二用户节点发送跨域访问信息;
通过第二分布式控制器以经由NFV向防火墙写入第二ACL规则,其中,第二ACL规则用于指示防火墙允许跨域访问信息进入第二网域。
在一可选实施例中,上述方法还包括:
通过第一分布式对第一用户节点发送的跨域访问信息进行加密处理,并将加密后的跨域访问信息发送至第二分布式控制器;
通过第二分布式处理器对加密后的跨域访问信息进行解密,并将解密后的跨域访问信息发送至第二用户节点以实现第一用户节点的跨域访问。
在一可选实施例中,上述跨域访问请求包括:第一跨域访问请求,第二跨域访问请求;
发起跨域访问请求,并通过第一分布式控制器发送跨域访问请求至第二分布式控制器,包括:
发起第一跨域访问请求,以请求跨域访问第二用户节点;
通过第一分布式控制器响应于第一用户节点发起的第一跨域访问请求以生成第二跨域访问请求,并发送第二跨域访问请求至第二分布式控制器;
其中,第一跨域访问请求包括以下至少之一:第二用户节点域名信息、服务类型信息、服务质量要求信息;
第二跨域访问请求包括以下至少之一:第二用户节点地址信息、第一用户节点地址信息、服务类型信息,服务质量要求信息。
在一可选实施例中,上述通过网络切片对第二用户节点进行访问之前,还包括:
通过第一分布式控制器和/或第二分布式控制器以根据跨域访问请求中的服务质量要求确定网络切片。
在一可选实施例中,上述通过网络切片对第二用户节点进行访问之前,还包括:
通过第一分布式控制器和/或第二分布式控制器以根据跨域访问请求中的服务质量要求确定路由信息,其中,路由信息用于指示访问信息在第一网域或第二网域内部的传输路径,以及第一网域与第二网域之间的传输路径。
在一可选实施例中,上述方法还包括:
通过第一网关和/或第二网关在第一用户节点结束跨域访问第二用户节点后获取跨域访问记录;
在第一分布式控制器以及第二分布式控制器之间设置并维持联盟链,并通过联盟链对跨域访问记录进行维护;其中,跨域访问记录包括:跨域访问事件,跨域访问事件的发生及结束时间。
在一可选实施例中,上述通过联盟链对跨域访问记录进行维护还包括:
记录异常访问记录,其中,异常访问记录用于指示第一用户节点跨域访问第二用户节点异常;异常访问记录由第一网关和/或第二网关上报。
需要说明的是,上述各个模块是可以通过软件或硬件来实现的,对于后者,可以通过以下方式实现,但不限于此:上述模块均位于同一处理器中;或者,上述各个模块以任意组合的形式分别位于不同的处理器中。
实施例5
本实施例提供了一种跨域访问装置,应用于第二用户节点,第一用户节点为归属于第二网域的用户节点;该装置用于实现上述实施例及优选实施方式,已经进行过说明的不再赘述。如以下所使用的,术语“模块”可以实现预定功能的软件和/或硬件的组合。尽管以下实施例所描述的装置较佳地以软件来实现,但是硬件,或者软件和硬件的组合的实现也是可能并被构想的。图11是根据本发明实施例提供的跨域访问装置的结构框图(二),如图11所示,本实施例中的跨域访问装置包括:
响应模块502,用于响应于第一用户节点通过网络切片进行的访问;其中,网络切片由第一分布式控制器和/或第二分布式控制器根据跨域访问请求进行确定;第一分布式控制器用于对第一网域进行控制;第二分布式控制器用于对第二网域进行控制,第一用户节点为归属于第一网域的用户节点;
跨域访问请求由第一用户节点发起,并通过第一分布式控制器发送跨域访问请求至第二分布式控制器。
本实施例中的跨域访问装置的其余可选实施例以及技术效果均与实施例3中的跨域访问方法对应,故在此不再赘述。
在一可选实施例中,上述跨域访问请求由第一用户节点发起,并发送跨域访问请求至第一网关,以通过第一网关将跨域访问请求发送至第一分布式控制器;其中,第一网关通过第一交换机连接至第一用户节点。
在一可选实施例中,上述跨域访问请求通过第一分布式控制器发送跨域访问请求至第二分布式控制器,以使得第二分布式控制器根据跨域访问信息生成跨域访问命令,并将跨域访问命令转发至第二网关;
其中,第二网关通过第二交换机连接至第二用户节点;跨域访问命令用以指示第二网关根据跨域访问命令对第一用户节点进行认证。
在一可选实施例中,上述跨域访问命令用以指示第二网关根据跨域访问命令对第一用户节点进行认证,包括:
跨域访问命令用以指示第二网关根据跨域访问命令,调用身份认证服务器对第一用户节点进行身份识别认证,以及,调用授权映射服务器对第一用户节点进行访问权限认证。
在一可选实施例中,上述跨域访问命令用以指示第二网关根据跨域访问命令对第一用户节点进行认证之后,还包括:
通过第一网关调用第一密钥协商服务器,使得第一密钥协商服务器与第二密钥协商服务器根据跨域访问请求进行密钥协商,以获取跨域访问密钥;
其中,跨域访问密钥用于第一用户节点与第二用户节点进行跨域访问中的加密和/或解密处理;第一密钥协商服务器为归属于第一网域的密钥协商服务器,第二密钥协商服务器为归属于第二网域的密钥协商服务器。
在一可选实施例中,上述获取跨域访问密钥之后,还包括:
通过第一网关发送认证确认信息至第一分布式控制器,并通过第二网关发送认证确认信息至第二分布式控制器,以使得第一分布式控制器和/或第二分布式控制器根据认证确认信息在第一分布式控制器与第二分布式控制器之间建立连接。
在一可选实施例中,上述方法还包括:
通过第一分布式控制器以经由网络功能虚拟化NFV向防火墙写入第一访问控制列表ACL规则,其中,第一ACL规则用于指示防火墙允许第一用户节点向第二用户节点发送跨域访问信息;
通过第二分布式控制器以经由NFV向防火墙写入第二ACL规则,其中,第二ACL规则用于指示防火墙允许跨域访问信息进入第二网域。
在一可选实施例中,上述方法还包括:
通过第一分布式对第一用户节点发送的跨域访问信息进行加密处理,并将加密后的跨域访问信息发送至第二分布式控制器;
通过第二分布式处理器对加密后的跨域访问信息进行解密,并将解密后的跨域访问信息发送至第二用户节点以实现第一用户节点的跨域访问。
在一可选实施例中,上述跨域访问请求包括:第一跨域访问请求,第二跨域访问请求;
发起跨域访问请求,并通过第一分布式控制器发送跨域访问请求至第二分布式控制器,包括:
发起第一跨域访问请求,以请求跨域访问第二用户节点;
通过第一分布式控制器响应于第一用户节点发起的第一跨域访问请求以生成第二跨域访问请求,并发送第二跨域访问请求至第二分布式控制器;
其中,第一跨域访问请求包括以下至少之一:第二用户节点域名信息、服务类型信息、服务质量要求信息;
第二跨域访问请求包括以下至少之一:第二用户节点地址信息、第一用户节点地址信息、服务类型信息,服务质量要求信息。
在一可选实施例中,上述响应于第一用户节点通过网络切片进行的访问之前,还包括:
通过第一分布式控制器和/或第二分布式控制器以根据跨域访问请求中的服务质量要求确定网络切片。
在一可选实施例中,上述响应于第一用户节点通过网络切片进行的访问之前,还包括:
通过第一分布式控制器和/或第二分布式控制器以根据跨域访问请求中的服务质量要求确定路由信息,其中,路由信息用于指示访问信息在第一网域或第二网域内部的传输路径,以及第一网域与第二网域之间的传输路径。
在一可选实施例中,上述方法还包括:
通过第一网关和/或第二网关在第一用户节点结束跨域访问第二用户节点后获取跨域访问记录;
在第一分布式控制器以及第二分布式控制器之间设置并维持联盟链,并通过联盟链对跨域访问记录进行维护;其中,跨域访问记录包括:跨域访问事件,跨域访问事件的发生及结束时间。
在一可选实施例中,上述通过联盟链对跨域访问记录进行维护还包括:
记录异常访问记录,其中,异常访问记录用于指示第一用户节点跨域访问第二用户节点异常;异常访问记录由第一网关和/或第二网关上报。
需要说明的是,上述各个模块是可以通过软件或硬件来实现的,对于后者,可以通过以下方式实现,但不限于此:上述模块均位于同一处理器中;或者,上述各个模块以任意组合的形式分别位于不同的处理器中。
实施例6
本发明的实施例还提供了一种计算机可读的存储介质,该计算机可读的存储介质中存储有计算机程序,其中,该计算机程序被设置为运行时执行上述任一项方法实施例中的步骤。
可选地,在本实施例中,上述计算机可读的存储介质可以被设置为存储用于执行上述实施例中记载的方法步骤的计算机程序:
可选地,在本实施例中,上述计算机可读的存储介质可以包括但不限于:U盘、只读存储器(Read-Only Memory,简称为ROM)、随机存取存储器(Random Access Memory,简称为RAM)、移动硬盘、磁碟或者光盘等各种可以存储计算机程序的介质。
实施例7
本发明的实施例还提供了一种电子装置,包括存储器和处理器,该存储器中存储有计算机程序,该处理器被设置为运行计算机程序以执行上述任一项方法实施例中的步骤。
可选地,上述电子装置还可以包括传输设备以及输入输出设备,其中,该传输设备和上述处理器连接,该输入输出设备和上述处理器连接。
可选地,在本实施例中,上述处理器可以被设置为通过计算机程序执行上述实施例中记载的方法步骤。
可选地,本实施例中的具体示例可以参考上述实施例及可选实施方式中所描述的示例,本实施例在此不再赘述。
显然,本领域的技术人员应该明白,上述的本发明的各模块或各步骤可以用通用的计算装置来实现,它们可以集中在单个的计算装置上,或者分布在多个计算装置所组成的网络上,可选地,它们可以用计算装置可执行的程序代码来实现,从而,可以将它们存储在存储装置中由计算装置来执行,并且在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤,或者将它们分别制作成各个集成电路模块,或者将它们中的多个模块或步骤制作成单个集成电路模块来实现。这样,本发明不限制于任何特定的硬件和软件结合。
以上所述仅为本发明的优选实施例而已,并不用于限制本发明,对于本领域的技术人员来说,本发明可以有各种更改和变化。凡在本发明的原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (39)
1.一种跨域访问系统,其特征在于,包括:
第一用户节点,配置为发起跨域访问请求,以请求跨域访问第二用户节点;
第一分布式控制器,配置为响应于所述第一用户节点发起的所述跨域访问请求,以发送所述跨域访问请求至第二分布式控制器;
所述第二分布式控制器,配置为接收所述跨域访问请求;所述第一分布式控制器和/或所述第二分布式控制器还配置为,根据所述跨域访问请求确定网络切片;
所述第二用户节点,配置为响应于所述第一用户节点通过所述网络切片进行的访问;
其中,所述第一分布式控制器用于对第一网域进行控制,所述第一用户节点为归属于所述第一网域的用户节点;所述第二分布式控制器用于对第二网域进行控制,所述第二用户节点为归属于所述第二网域的用户节点;
其中,所述第一分布式控制器还配置为,通过网络功能虚拟化NFV向防火墙写入第一访问控制列表ACL规则,其中,所述第一ACL规则用于指示所述防火墙允许所述第一用户节点向所述第二用户节点发送跨域访问请求;
所述第二分布式控制器还配置为,通过所述NFV向所述防火墙写入第二ACL规则,其中,所述第二ACL规则用于指示所述防火墙允许所述跨域访问请求进入所述第二网域。
2.根据权利要求1所述的系统,其特征在于,所述系统还包括:
第一网关,通过第一交换机连接至所述第一用户节点;所述第一网关配置为,获取所述第一用户节点发起的所述跨域访问请求,并将所述跨域访问请求转发至所述第一分布式控制器;
第二网关,通过第二交换机连接至所述第二用户节点;所述第二网关配置为,获取所述第二分布式控制器发送的跨域访问命令,并根据所述跨域访问命令对所述第一用户节点进行认证;其中,所述跨域访问命令由所述第二分布式控制器根据所述跨域访问请求生成。
3.根据权利要求2所述的系统,其特征在于,所述第二网关还配置为,
根据所述跨域访问命令,调用身份认证服务器对所述第一用户节点进行身份识别认证,以及,调用授权映射服务器对所述第一用户节点进行访问权限认证。
4.根据权利要求2所述的系统,其特征在于,所述第一网关还配置为,
调用第一密钥协商服务器,使得所述第一密钥协商服务器与第二密钥协商服务器根据所述跨域访问请求进行密钥协商,以获取跨域访问密钥;
其中,所述跨域访问密钥用于所述第一用户节点与所述第二用户节点进行跨域访问中的加密和/或解密处理;所述第一密钥协商服务器为归属于所述第一网域的密钥协商服务器,所述第二密钥协商服务器为归属于所述第二网域的密钥协商服务器。
5.根据权利要求2所述的系统,其特征在于,所述第一网关还配置为,发送认证确认信息至所述第一分布式控制器;所述第二网关还配置为,发送认证确认信息至所述第二分布式控制器;
所述第一分布式控制器和/或所述第二分布式控制器还配置为,根据所述认证确认信息,在所述第一分布式控制器与所述第二分布式控制器之间建立连接。
6.根据权利要求1所述的系统,其特征在于,所述第一分布式控制器还配置为,对所述第一用户节点发送的所述跨域访问请求进行加密处理,并将所述加密后的所述跨域访问请求发送至所述第二分布式控制器;
所述第二分布式控制器还配置为,对所述加密后的所述跨域访问请求进行解密,并将所述解密后的所述跨域访问请求发送至所述第二用户节点以实现所述第一用户节点的跨域访问。
7.根据权利要求6所述的系统,其特征在于,所述跨域访问请求包括:第一跨域访问请求,第二跨域访问请求;
所述第一用户节点还配置为,发起第一跨域访问请求,以请求跨域访问所述第二用户节点;
所述第一分布式控制器还配置为,响应于所述第一用户节点发起的所述第一跨域访问请求以生成第二跨域访问请求,并发送所述第二跨域访问请求至所述第二分布式控制器;
其中,所述第一跨域访问请求包括以下至少之一:第二用户节点域名信息、服务类型信息、服务质量要求信息;
所述第二跨域访问请求包括以下至少之一:第二用户节点地址信息、第一用户节点地址信息、所述服务类型信息,所述服务质量要求信息。
8.根据权利要求7所述的系统,其特征在于,所述第一分布式控制器和/或所述第二分布式控制器还配置为,
根据所述跨域访问请求中的所述服务质量要求确定所述网络切片。
9.根据权利要求7所述的系统,其特征在于,所述第一分布式控制器和/或所述第二分布式控制器还配置为,
根据所述跨域访问请求中的所述服务质量要求确定路由信息,其中,所述路由信息用于指示所述跨域访问请求在所述第一网域或所述第二网域内部的传输路径,以及所述第一网域与所述第二网域之间的传输路径。
10.根据权利要求1至9任一项中所述的系统,其特征在于,所述系统还包括:
联盟链,设置在所述第一分布式控制器以及所述第二分布式控制器之间;所述联盟链配置为对跨域访问记录进行维护;其中,所述跨域访问记录由所述第一网关和/或所述第二网关在所述第一用户节点结束跨域访问所述第二用户节点后进行获取;
所述跨域访问记录包括:跨域访问事件,所述跨域访问事件的发生及结束时间。
11.根据权利要求10所述的系统,其特征在于,所述联盟链还配置为,
记录异常访问记录,其中,所述异常访问记录用于指示所述第一用户节点跨域访问所述第二用户节点异常;所述异常访问记录由所述第一网关和/或所述第二网关上报。
12.一种跨域访问方法,其特征在于,应用于第一用户节点,所述第一用户节点为归属于第一网域的用户节点;所述方法包括:
发起跨域访问请求,并通过第一分布式控制器发送所述跨域访问请求至第二分布式控制器;其中,所述跨域访问请求用于请求跨域访问第二用户节点;
通过网络切片对第二用户节点进行访问;其中,所述网络切片由所述第一分布式控制器和/或所述第二分布式控制器根据所述跨域访问请求进行确定;
其中,所述第一分布式控制器用于对所述第一网域进行控制;所述第二分布式控制器用于对第二网域进行控制,所述第二用户节点为归属于所述第二网域的用户节点;
其中,所述方法还包括:
通过所述第一分布式控制器以经由网络功能虚拟化NFV向防火墙写入第一访问控制列表ACL规则,其中,所述第一ACL规则用于指示所述防火墙允许所述第一用户节点向所述第二用户节点发送跨域访问请求;
通过所述第二分布式控制器以经由所述NFV向所述防火墙写入第二ACL规则,其中,所述第二ACL规则用于指示所述防火墙允许所述跨域访问请求进入所述第二网域。
13.根据权利要求12所述的方法,其特征在于,所述通过第一分布式控制器发送所述跨域访问请求至第二分布式控制器之前,包括:
发送所述跨域访问请求至第一网关,并通过所述第一网关将所述跨域访问请求发送至第一分布式控制器;其中,所述第一网关通过第一交换机连接至所述第一用户节点。
14.根据权利要求13所述的方法,其特征在于,所述通过第一分布式控制器发送所述跨域访问请求至第二分布式控制器,包括:
通过所述第一分布式控制器发送所述跨域访问请求至所述第二分布式控制器,使得所述第二分布式控制器根据所述跨域访问请求生成跨域访问命令,并将所述跨域访问命令转发至第二网关;
其中,所述第二网关通过第二交换机连接至所述第二用户节点;所述跨域访问命令用以指示所述第二网关根据所述跨域访问命令对所述第一用户节点进行认证。
15.根据权利要求14所述的方法,其特征在于,所述跨域访问命令用以指示所述第二网关根据所述跨域访问命令对所述第一用户节点进行认证,包括:
所述跨域访问命令用以指示所述第二网关根据所述跨域访问命令,调用身份认证服务器对所述第一用户节点进行身份识别认证,以及,调用授权映射服务器对所述第一用户节点进行访问权限认证。
16.根据权利要求14所述的方法,其特征在于,所述跨域访问命令用以指示所述第二网关根据所述跨域访问命令对所述第一用户节点进行认证之后,还包括:
通过所述第一网关调用第一密钥协商服务器,使得所述第一密钥协商服务器与第二密钥协商服务器根据所述跨域访问请求进行密钥协商,以获取跨域访问密钥;
其中,所述跨域访问密钥用于所述第一用户节点与所述第二用户节点进行跨域访问中的加密和/或解密处理;所述第一密钥协商服务器为归属于所述第一网域的密钥协商服务器,所述第二密钥协商服务器为归属于所述第二网域的密钥协商服务器。
17.根据权利要求16所述的方法,其特征在于,所述获取跨域访问密钥之后,还包括:
通过所述第一网关发送认证确认信息至所述第一分布式控制器,并通过所述第二网关发送认证确认信息至所述第二分布式控制器,以使得所述第一分布式控制器和/或所述第二分布式控制器根据所述认证确认信息在所述第一分布式控制器与所述第二分布式控制器之间建立连接。
18.根据权利要求12所述的方法,其特征在于,所述方法还包括:
通过所述第一分布式控制器对所述第一用户节点发送的所述跨域访问请求进行加密处理,并将所述加密后的所述跨域访问请求发送至所述第二分布式控制器;
通过所述第二分布式控制器对所述加密后的所述跨域访问请求进行解密,并将所述解密后的所述跨域访问请求发送至所述第二用户节点以实现所述第一用户节点的跨域访问。
19.根据权利要求12所述的方法,其特征在于,所述跨域访问请求包括:第一跨域访问请求,第二跨域访问请求;
所述发起跨域访问请求,并通过第一分布式控制器发送所述跨域访问请求至第二分布式控制器,包括:
发起第一跨域访问请求,以请求跨域访问所述第二用户节点;
通过所述第一分布式控制器响应于所述第一用户节点发起的所述第一跨域访问请求以生成第二跨域访问请求,并发送所述第二跨域访问请求至所述第二分布式控制器;
其中,所述第一跨域访问请求包括以下至少之一:第二用户节点域名信息、服务类型信息、服务质量要求信息;
所述第二跨域访问请求包括以下至少之一:第二用户节点地址信息、第一用户节点地址信息、所述服务类型信息,所述服务质量要求信息。
20.根据权利要求19所述的方法,其特征在于,所述通过网络切片对第二用户节点进行访问之前,还包括:
通过所述第一分布式控制器和/或所述第二分布式控制器以根据所述跨域访问请求中的所述服务质量要求确定所述网络切片。
21.根据权利要求19所述的方法,其特征在于,所述通过网络切片对第二用户节点进行访问之前,还包括:
通过所述第一分布式控制器和/或所述第二分布式控制器以根据所述跨域访问请求中的所述服务质量要求确定路由信息,其中,所述路由信息用于指示所述跨域访问请求在所述第一网域或所述第二网域内部的传输路径,以及所述第一网域与所述第二网域之间的传输路径。
22.根据权利要求14至21任一项中所述的方法,其特征在于,所述方法还包括:
通过第一网关和/或第二网关在所述第一用户节点结束跨域访问所述第二用户节点后获取跨域访问记录;
在所述第一分布式控制器以及所述第二分布式控制器之间设置并维持联盟链,并通过所述联盟链对跨域访问记录进行维护;其中,所述跨域访问记录包括:跨域访问事件,所述跨域访问事件的发生及结束时间。
23.根据权利要求22所述的方法,其特征在于,所述通过所述联盟链对跨域访问记录进行维护还包括:
记录异常访问记录,其中,所述异常访问记录用于指示所述第一用户节点跨域访问所述第二用户节点异常;所述异常访问记录由所述第一网关和/或所述第二网关上报。
24.一种跨域访问方法,其特征在于,应用于第二用户节点,第二用户节点为归属于第二网域的用户节点;所述方法包括:
响应于第一用户节点通过网络切片进行的访问;其中,所述网络切片由第一分布式控制器和/或第二分布式控制器根据跨域访问请求进行确定;所述第一分布式控制器用于对第一网域进行控制;所述第二分布式控制器用于对第二网域进行控制,所述第一用户节点为归属于所述第一网域的用户节点;
所述跨域访问请求由所述第一用户节点发起,并通过所述第一分布式控制器发送所述跨域访问请求至第二分布式控制器;
其中,所述方法还包括:通过所述第一分布式控制器以经由网络功能虚拟化NFV向防火墙写入第一访问控制列表ACL规则,其中,所述第一ACL规则用于指示所述防火墙允许所述第一用户节点向所述第二用户节点发送跨域访问请求;通过所述第二分布式控制器以经由所述NFV向所述防火墙写入第二ACL规则,其中,所述第二ACL规则用于指示所述防火墙允许所述跨域访问请求进入所述第二网域。
25.根据权利要求24所述的方法,其特征在于,所述跨域访问请求由所述第一用户节点发起,并发送所述跨域访问请求至第一网关,以通过所述第一网关将所述跨域访问请求发送至第一分布式控制器;其中,所述第一网关通过第一交换机连接至所述第一用户节点。
26.根据权利要求25所述的方法,其特征在于,所述跨域访问请求通过所述第一分布式控制器发送所述跨域访问请求至所述第二分布式控制器,以使得所述第二分布式控制器根据所述跨域访问请求生成跨域访问命令,并将所述跨域访问命令转发至第二网关;
其中,所述第二网关通过第二交换机连接至所述第二用户节点;所述跨域访问命令用以指示所述第二网关根据所述跨域访问命令对所述第一用户节点进行认证。
27.根据权利要求26所述的方法,其特征在于,所述跨域访问命令用以指示所述第二网关根据所述跨域访问命令对所述第一用户节点进行认证,包括:
所述跨域访问命令用以指示所述第二网关根据所述跨域访问命令,调用身份认证服务器对所述第一用户节点进行身份识别认证,以及,调用授权映射服务器对所述第一用户节点进行访问权限认证。
28.根据权利要求26所述的方法,其特征在于,所述跨域访问命令用以指示所述第二网关根据所述跨域访问命令对所述第一用户节点进行认证之后,还包括:
通过所述第一网关调用第一密钥协商服务器,使得所述第一密钥协商服务器与第二密钥协商服务器根据所述跨域访问请求进行密钥协商,以获取跨域访问密钥;
其中,所述跨域访问密钥用于所述第一用户节点与所述第二用户节点进行跨域访问中的加密和/或解密处理;所述第一密钥协商服务器为归属于所述第一网域的密钥协商服务器,所述第二密钥协商服务器为归属于所述第二网域的密钥协商服务器。
29.根据权利要求28所述的方法,其特征在于,所述获取跨域访问密钥之后,还包括:
通过所述第一网关发送认证确认信息至所述第一分布式控制器,并通过所述第二网关发送认证确认信息至所述第二分布式控制器,以使得所述第一分布式控制器和/或所述第二分布式控制器根据所述认证确认信息在所述第一分布式控制器与所述第二分布式控制器之间建立连接。
30.根据权利要求24所述的方法,其特征在于,所述方法还包括:
通过所述第一分布式控制器对所述第一用户节点发送的所述跨域访问请求进行加密处理,并将所述加密后的所述跨域访问请求发送至所述第二分布式控制器;
通过所述第二分布式控制器对所述加密后的所述跨域访问请求进行解密,并将所述解密后的所述跨域访问请求发送至所述第二用户节点以实现所述第一用户节点的跨域访问。
31.根据权利要求24所述的方法,其特征在于,所述跨域访问请求包括:第一跨域访问请求,第二跨域访问请求;
所述第一跨域访问请求由所述第一用户节点发起,以请求跨域访问所述第二用户节点;所述第一分布式控制器响应于所述第一跨域访问请求生成所述第二跨域访问请求;所述第一分布式控制器发送所述第二跨域访问请求至所述第二分布式控制器;
其中,所述第一跨域访问请求包括以下至少之一:第二用户节点域名信息、服务类型信息、服务质量要求信息;
所述第二跨域访问请求包括以下至少之一:第二用户节点地址信息、第一用户节点地址信息、所述服务类型信息,所述服务质量要求信息。
32.根据权利要求31所述的方法,其特征在于,所述响应于第一用户节点通过网络切片进行的访问之前,还包括:
通过所述第一分布式控制器和/或所述第二分布式控制器以根据所述跨域访问请求中的所述服务质量要求信息确定所述网络切片。
33.根据权利要求31所述的方法,其特征在于,所述响应于第一用户节点通过网络切片进行的访问之前,还包括:
通过所述第一分布式控制器和/或所述第二分布式控制器以根据所述跨域访问请求中的所述服务质量要求信息确定路由信息,其中,所述路由信息用于指示所述跨域访问请求在所述第一网域或所述第二网域内部的传输路径,以及所述第一网域与所述第二网域之间的传输路径。
34.根据权利要求26至33任一项中所述的方法,其特征在于,所述方法还包括:
通过第一网关和/或第二网关在所述第一用户节点结束跨域访问所述第二用户节点后获取跨域访问记录;
在所述第一分布式控制器以及所述第二分布式控制器之间设置并维持联盟链,并通过所述联盟链对跨域访问记录进行维护;其中,所述跨域访问记录包括:跨域访问事件,所述跨域访问事件的发生及结束时间。
35.根据权利要求34所述的方法,其特征在于,所述通过所述联盟链对跨域访问记录进行维护还包括:
记录异常访问记录,其中,所述异常访问记录用于指示所述第一用户节点跨域访问所述第二用户节点异常;所述异常访问记录由所述第一网关和/或所述第二网关上报。
36.一种跨域访问装置,其特征在于,应用于第一用户节点,所述第一用户节点为归属于第一网域的用户节点;所述装置包括:
请求模块,用于发起跨域访问请求,并通过第一分布式控制器发送所述跨域访问请求至第二分布式控制器;其中,所述跨域访问请求用于请求跨域访问第二用户节点;
访问模块,用于通过网络切片对第二用户节点进行访问;其中,所述网络切片由所述第一分布式控制器和/或所述第二分布式控制器根据所述跨域访问请求进行确定;
其中,所述第一分布式控制器用于对所述第一网域进行控制;所述第二分布式控制器用于对第二网域进行控制,所述第二用户节点为归属于所述第二网域的用户节点;
其中,所述装置还用于,通过所述第一分布式控制器以经由网络功能虚拟化NFV向防火墙写入第一访问控制列表ACL规则,其中,所述第一ACL规则用于指示所述防火墙允许所述第一用户节点向所述第二用户节点发送跨域访问请求;通过所述第二分布式控制器以经由所述NFV向所述防火墙写入第二ACL规则,其中,所述第二ACL规则用于指示所述防火墙允许所述跨域访问请求进入所述第二网域。
37.一种跨域访问装置,其特征在于,应用于第二用户节点,第二用户节点为归属于第二网域的用户节点;所述装置包括:
响应模块,用于响应于第一用户节点通过网络切片进行的访问;其中,所述网络切片由第一分布式控制器和/或第二分布式控制器根据跨域访问请求进行确定;所述第一分布式控制器用于对第一网域进行控制;所述第二分布式控制器用于对第二网域进行控制,所述第一用户节点为归属于所述第一网域的用户节点;
所述跨域访问请求由所述第一用户节点发起,并通过所述第一分布式控制器发送所述跨域访问请求至第二分布式控制器;
其中,所述装置还用于:通过所述第一分布式控制器以经由网络功能虚拟化NFV向防火墙写入第一访问控制列表ACL规则,其中,所述第一ACL规则用于指示所述防火墙允许所述第一用户节点向所述第二用户节点发送跨域访问请求;通过所述第二分布式控制器以经由所述NFV向所述防火墙写入第二ACL规则,其中,所述第二ACL规则用于指示所述防火墙允许所述跨域访问请求进入所述第二网域。
38.一种计算机可读的存储介质,其特征在于,所述计算机可读的存储介质中存储有计算机程序,其中,所述计算机程序被设置为运行时执行所述权利要求12至23、权利要求24至35任一项中所述的方法。
39.一种电子装置,包括存储器和处理器,其特征在于,所述存储器中存储有计算机程序,所述处理器被设置为运行所述计算机程序以执行所述权利要求12至23、权利要求24至35任一项中所述的方法。
Priority Applications (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201911285474.4A CN112995097B (zh) | 2019-12-13 | 2019-12-13 | 跨域访问系统及方法、装置 |
PCT/CN2020/135884 WO2021115449A1 (zh) | 2019-12-13 | 2020-12-11 | 跨域访问系统、方法及装置、存储介质及电子装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201911285474.4A CN112995097B (zh) | 2019-12-13 | 2019-12-13 | 跨域访问系统及方法、装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN112995097A CN112995097A (zh) | 2021-06-18 |
CN112995097B true CN112995097B (zh) | 2023-09-22 |
Family
ID=76329117
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201911285474.4A Active CN112995097B (zh) | 2019-12-13 | 2019-12-13 | 跨域访问系统及方法、装置 |
Country Status (2)
Country | Link |
---|---|
CN (1) | CN112995097B (zh) |
WO (1) | WO2021115449A1 (zh) |
Families Citing this family (12)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN114079632B (zh) * | 2021-10-09 | 2023-06-30 | 中国互联网络信息中心 | 一种基于区块链的可信域间路由方法及系统 |
CN114024749B (zh) * | 2021-11-05 | 2022-11-29 | 西北工业大学 | 一种基于中心节点域间协同的工业设备逻辑跨域接入认证方法 |
CN114513530B (zh) * | 2022-04-19 | 2022-08-19 | 山东省计算中心(国家超级计算济南中心) | 一种跨域存储空间双向供给方法和系统 |
CN116963057A (zh) * | 2022-04-20 | 2023-10-27 | 北京京东方技术开发有限公司 | 控制跨域设备的方法、控制终端、服务器及系统 |
CN114900439A (zh) * | 2022-05-06 | 2022-08-12 | 北京中睿天下信息技术有限公司 | 域间访问关系的可视化技术 |
CN115065679B (zh) * | 2022-06-02 | 2024-06-07 | 湖南天河国云科技有限公司 | 基于区块链的电子健康档案共享模型、方法、系统和介质 |
CN115022324B (zh) * | 2022-06-08 | 2024-04-19 | 中国银行股份有限公司 | 基于边缘计算的网点集群处理方法及系统 |
CN115776389B (zh) * | 2022-11-01 | 2023-11-07 | 龙应斌 | 一种基于可信认证链路的防窃取数据安全访问方法及系统 |
CN115664870B (zh) * | 2022-12-28 | 2023-04-07 | 北京志翔科技股份有限公司 | 跨分布式节点的桌面访问方法、装置、系统以及电子设备 |
CN116846547B (zh) * | 2023-05-10 | 2024-05-24 | 成都信息工程大学 | 一种基于量子技术的政法数据跨域安全传输方法 |
CN117254977B (zh) * | 2023-11-16 | 2024-03-01 | 联通(广东)产业互联网有限公司 | 一种网络安全监控方法及系统、存储介质 |
CN117354305B (zh) * | 2023-12-04 | 2024-02-06 | 中国信息通信研究院 | 一种互通协同管控方法和架构 |
Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103795530A (zh) * | 2012-10-31 | 2014-05-14 | 华为技术有限公司 | 一种跨域控制器认证的方法、装置及主机 |
CN104506480A (zh) * | 2014-06-27 | 2015-04-08 | 深圳市永达电子股份有限公司 | 基于标记与审计结合的跨域访问控制方法及系统 |
CN106559408A (zh) * | 2015-11-27 | 2017-04-05 | 国网智能电网研究院 | 一种基于信任管理的sdn认证方法 |
CN107302498A (zh) * | 2017-06-21 | 2017-10-27 | 安徽大学 | 一种SDN网络中支持隐私保护的多域QoS路径计算方法 |
CN109560955A (zh) * | 2017-09-27 | 2019-04-02 | 华为技术有限公司 | 网络的部署信息确定方法及设备 |
CN109962937A (zh) * | 2017-12-14 | 2019-07-02 | 中兴通讯股份有限公司 | 一种多域多层连接业务建立方法和装置 |
Family Cites Families (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7568218B2 (en) * | 2002-10-31 | 2009-07-28 | Microsoft Corporation | Selective cross-realm authentication |
CN101741568A (zh) * | 2009-12-18 | 2010-06-16 | 成都市华为赛门铁克科技有限公司 | 上网方法、客户端、安全网关及上网系统 |
US9491086B2 (en) * | 2011-03-02 | 2016-11-08 | Ciena Corporation | Distributed network planning systems and methods |
CN105812273B (zh) * | 2014-12-31 | 2019-05-17 | 华为软件技术有限公司 | 负载均衡方法和装置 |
US10205706B2 (en) * | 2016-05-11 | 2019-02-12 | Argela Yazilim ve Bilisim Teknolojileri San. ve Tic. A.S. | System and method for programmable network based encryption in software defined networks |
-
2019
- 2019-12-13 CN CN201911285474.4A patent/CN112995097B/zh active Active
-
2020
- 2020-12-11 WO PCT/CN2020/135884 patent/WO2021115449A1/zh active Application Filing
Patent Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103795530A (zh) * | 2012-10-31 | 2014-05-14 | 华为技术有限公司 | 一种跨域控制器认证的方法、装置及主机 |
CN104506480A (zh) * | 2014-06-27 | 2015-04-08 | 深圳市永达电子股份有限公司 | 基于标记与审计结合的跨域访问控制方法及系统 |
CN106559408A (zh) * | 2015-11-27 | 2017-04-05 | 国网智能电网研究院 | 一种基于信任管理的sdn认证方法 |
CN107302498A (zh) * | 2017-06-21 | 2017-10-27 | 安徽大学 | 一种SDN网络中支持隐私保护的多域QoS路径计算方法 |
CN109560955A (zh) * | 2017-09-27 | 2019-04-02 | 华为技术有限公司 | 网络的部署信息确定方法及设备 |
CN109962937A (zh) * | 2017-12-14 | 2019-07-02 | 中兴通讯股份有限公司 | 一种多域多层连接业务建立方法和装置 |
Also Published As
Publication number | Publication date |
---|---|
WO2021115449A1 (zh) | 2021-06-17 |
CN112995097A (zh) | 2021-06-18 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN112995097B (zh) | 跨域访问系统及方法、装置 | |
US20230379316A1 (en) | Tenant-aware distributed application authentication | |
US10185963B2 (en) | Method for authentication and assuring compliance of devices accessing external services | |
KR101303120B1 (ko) | 상호 인증 기반의 가상사설망 서비스 장치 및 방법 | |
JP5790653B2 (ja) | サービス提供システム | |
JP4405575B2 (ja) | 暗号管理装置、復号管理装置、およびプログラム | |
US20110030047A1 (en) | Method, apparatus and system for protecting user information | |
US8627493B1 (en) | Single sign-on for network applications | |
WO2019041802A1 (zh) | 基于服务化架构的发现方法及装置 | |
CN105991614B (zh) | 一种开放授权、资源访问的方法及装置、服务器 | |
CN106537864A (zh) | 一种访问资源的方法及装置 | |
JP2008217366A (ja) | サービス連携システム、サービス連携方法、およびサービス連携プログラム | |
WO2013152159A1 (en) | System and method for automatic provisioning of managed devices | |
CN105763517A (zh) | 一种路由器安全接入和控制的方法及系统 | |
KR20150053912A (ko) | 서버에 클라이언트를 등록하기 위한 방법 및 디바이스들 | |
JP2020535530A (ja) | リソース処理方法、装置、システムおよびコンピュータ読み取り可能な媒体 | |
KR101824562B1 (ko) | 인증 게이트웨이 및 인증 게이트웨이의 인증 방법 | |
US9232078B1 (en) | Method and system for data usage accounting across multiple communication networks | |
US20220231837A1 (en) | Intelligent and secure packet captures for cloud solutions | |
RU2602789C2 (ru) | Система и способ автоматического заполнения электронных форм | |
CN116158054A (zh) | 访问令牌使用方法和设备 | |
JP7018255B2 (ja) | 認証管理装置及びプログラム | |
JP5860421B2 (ja) | 復号方法、復号システム | |
JP6920614B2 (ja) | 本人認証装置、本人認証システム、本人認証プログラム、および、本人認証方法 | |
CN116266785A (zh) | 密钥生成方法、mep服务器、应用服务器及核心网网元 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
TA01 | Transfer of patent application right |
Effective date of registration: 20210621 Address after: 518057 No. 55 South Science and technology road, Shenzhen, Guangdong, Nanshan District Applicant after: ZTE Corp. Applicant after: TSINGHUA University Address before: 518057 No. 55 South Science and technology road, Shenzhen, Guangdong, Nanshan District Applicant before: ZTE Corp. |
|
TA01 | Transfer of patent application right | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |