CN113141260B - 基于软件定义广域网sd-wan的安全访问方法、系统及设备 - Google Patents
基于软件定义广域网sd-wan的安全访问方法、系统及设备 Download PDFInfo
- Publication number
- CN113141260B CN113141260B CN202110690662.6A CN202110690662A CN113141260B CN 113141260 B CN113141260 B CN 113141260B CN 202110690662 A CN202110690662 A CN 202110690662A CN 113141260 B CN113141260 B CN 113141260B
- Authority
- CN
- China
- Prior art keywords
- interactive
- resource
- node
- access request
- hash
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0442—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply asymmetric encryption, i.e. different keys for encryption and decryption
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0807—Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3236—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
Abstract
本发明公开了一种基于软件定义广域网SD‑WAN的安全访问方法、系统及设备,通过接收至少一个访问请求,若接收节点为交互节点,提取所述访问请求所携带的设备标识,并根据所述设备标识将所述访问请求转发至资源节点;所述资源节点对所述访问请求进行安全认证,若通过安全认证,则允许接入所述资源节点访问软件定义广域网所述资源。这样,根据不同的带宽能力、负载能力确定特定资源节点,对访问请求的权限限制在安全验证节点资源,解决了现有技术安全认证的可靠性差、网络拥塞等问题。
Description
技术领域
本发明涉及数据处理技术领域,尤其涉及一种基于软件定义广域网SD-WAN的安全访问方法、系统及设备。
背景技术
软件定义广域网络(英语:SD-WAN,Software-defined Wide Area Network的缩写),是一系列技术的集合,主要概念是将软件定义网络(SDN)的技术应用在管理广域网络(WAN)。软件定义网络技术使用虚拟化技术,简化资料中心的管理及维运的工作;延伸这个概念,将相关技术应用于广域网络之上,可以简化企业级用户对于广域网络的控管。透过这项技术,公司可以用低成本的网络存取方式,建立起高效能的广域网络。企业因此可以部分或完全替换掉昂贵的私有广域网络技术。
SD-WAN产品旨在解决这些网络问题。通过使用可以控制应用级策略并提供网络覆盖的虚拟化设备来增强甚至替换传统的分支路由器,较便宜的消费级互联网链路可以更像专用电路。这简化了分支机构人员的设置过程。SD-WAN产品可以是物理设备或虚拟设备,可以放置在小型远程和分支机构,大型办公室,企业数据中心以及越来越多的云平台上。SD-WAN技术通过提供应用级别感知来支持服务质量,为最关键的应用程序提供带宽优先级。这可能包括动态路径选择,在更快的链路上发送应用程序,甚至在两条路径之间拆分应用程序,以通过更快地交付来提高性能。
服务等级协议(SLA)最根本的形式是协议双方(服务提供者和用户)签订的一个合约或协议,这个合约规范了双方的商务关系或部分商务关系。一般来说,SLA是服务提供者与用户之间协商并签订的一个具有法律约束力的合同,合同规定了在服务提供过程中双方所承担的商务条款。然而,现有技术的如果资源节点中没有足够的资源时,也就是说业务负载过重,服务站就会阻塞此用户终端发起的访问请求,这样的话,此用户终端就无法享受网络提供的服务。
针对上述这种情况,本发明提出了一种基于软件定义广域网SD-WAN的安全访问方法、系统、设备及存储介质,能够有效地对现有技术进行改进,以克服其不足。
发明内容
本发明针对现有技术的不足,本发明提供了一种基于软件定义广域网SD-WAN的安全访问方法、系统及设备,以解决现有技术的上述问题,其具体方案如下:
第一方面,本发明提供了一种基于软件定义广域网SD-WAN的安全访问方法,所述方法包括:
接收至少一个访问请求;
若接收节点为交互节点,提取所述访问请求所携带的设备标识,并根据所述设备标识将所述访问请求转发至资源节点;
所述资源节点对所述访问请求进行安全认证,若通过安全认证,则允许接入所述资源节点访问软件定义广域网所述资源。
优选地,所述根据所述设备标识将所述访问请求转发至资源节点,所述方法包括:
根据所述设备标识确定所述软件定义广域网中的各个所述资源节点的负载能力,将所述访问请求转发至距离最近的所述资源节点。
优选地,所述资源节点对所述访问请求进行安全认证,所述方法包括:
所述资源节点使用私钥对所述设备标识进行解密,以获取用户设备的数字签名;
比较接收的所述数字签名的哈希与准入标识的哈希是否一致,若一致,则所述访问请求的合法性通过验证。
优选地,所述方法还包括:
所述资源节点根据所述访问请求的编号从本地数据库中获取相应的交互资源,并将所述交互资源进行资源分块以生成多个交互资源块;
获取所述交互资源的哈希与各个交互资源块的哈希,并将所述交互资源的编号、哈希与各个交互资源块的哈希及各个交互资源块分别传输至交互节点与用户终端。
优选地,将所述交互资源的编号、哈希与各个交互资源块的哈希及各个交互资源块分别传输至交互节点与用户终端,所述方法包括:
所述资源节点根据所述设备标识确定所述访问请求的所使用的交换密钥;
根据所述交换密钥的加密等级确定所述交互资源的编号、哈希与各个交互资源块的哈希及各个交互资源块传输使用的主通道免密信道与从通道加密信道;
根据所述交互资源数量大小选择最优带宽路径,将各个交互资源通过所述主通道免密信道传输至所述用户终端,并将所述交互资源的编号、哈希与各个交互资源块的哈希通过所述从通道加密信道传输至所述交互节点。
优选地,各个交互资源通过所述主通道免密信道传输至所述用户终端,所述方法包括:
所述资源节点获取当前信道的传输带宽能力与负荷承载能力;
若当前访问请求占用的资源数量大于预设资源阈值,将所述交互资源切分为一个或多个交互资源块,并对所述一个或多个交互资源块进行随机编码为相应的一个或多个编码交互资源块;
将所述一个或多个编码交互资源块通过所述主通道免密信道传输至所述用户终端。
优选地,所述方法还包括:
所述用户终端从所述交互节点获取所述交互资源块的哈希;
根据所述交互资源块的哈希查找对应编号的交互资源并获取对应的所述交互资源块数据,并将所述交互资源块数据分布式地按块存储至本地数据库。
第二方面,本发明提供了一种基于软件定义广域网SD-WAN的安全访问系统,所述系统包括:
接收模块,用于接收至少一个访问请求;
提取模块,用于若接收节点为交互节点,提取所述访问请求所携带的设备标识,并根据所述设备标识将所述访问请求转发至资源节点;
验证模块,用于所述资源节点对所述访问请求进行安全认证,若通过安全认证,则允许接入所述资源节点访问软件定义广域网所述资源;
根据设备标识确定所述软件定义广域网中的各个所述资源节点的负载能力,将所述访问请求转发至距离最近的资源节点。
第三方面,本发明提供了一种基于软件定义广域网SD-WAN的安全访问设备,所述设备包括:
通信总线,用于实现处理器与存储器间的连接通信;
存储器,用于存储计算机程序;
处理器,用于执行所述计算机程序以实现如下步骤:
若接收节点为交互节点,提取所述访问请求所携带的设备标识,并根据所述设备标识将所述访问请求转发至资源节点;
所述资源节点对所述访问请求进行安全认证,若通过安全认证,则允许接入所述资源节点访问软件定义广域网所述资源;
根据设备标识确定所述软件定义广域网中的各个所述资源节点的负载能力,将所述访问请求转发至距离最近的资源节点。
第四方面,本发明提供了一种计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现如第一方面所述的方法。
本发明的有益效果:本发明的基于软件定义广域网SD-WAN的安全访问方法、系统、设备及存储介质,通过接收至少一个访问请求,若接收节点为交互节点,提取所述访问请求所携带的设备标识,并根据所述设备标识将所述访问请求转发至资源节点;所述资源节点对所述访问请求进行安全认证,若通过安全认证,则允许接入所述资源节点访问软件定义广域网所述资源。这样,根据不同的带宽能力、负载能力确定特定资源节点,对访问请求的权限限制在安全验证节点资源,解决了现有技术安全认证的可靠性差、网络拥塞等问题。
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,附图中的实施例不构成对本发明的任何限制,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本发明基于软件定义广域网SD-WAN的安全访问方法实施例一流程示意图。
图2是本发明基于软件定义广域网SD-WAN的安全访问方法实施例二流程示意图。
图3是本发明基于软件定义广域网SD-WAN的安全访问系统一实施例结构示意图。
图4是本发明基于软件定义广域网SD-WAN的安全访问设备一实施例结构示意图。
具体实施方式
下面结合附图与实施例对本发明技术方案作进一步详细的说明,这是本发明的较佳实施例。应当理解,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例;需要说明的是,在不冲突的情况下,本发明中的实施例及实施例中的特征可以相互组合。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本发明实施例技术方案的主要思想:若接收节点为交互节点,提取所述访问请求所携带的设备标识,并根据所述设备标识将所述访问请求转发至资源节点;所述资源节点对所述访问请求进行安全认证,若通过安全认证,则允许接入所述资源节点访问软件定义广域网所述资源。
为了更好的理解上述的技术方案,下面将结合说明书附图以及具体的实施方式对上述技术方案进行详细的说明。
实施例一
本发明一实施例提供了一种基于软件定义广域网SD-WAN的安全访问方法,如图1所示,所述方法具体可以包括如下步骤:
步骤S101,接收至少一个访问请求。
示例性地,本发明申请实施例应用于包括用户终端、路由器、服务器与业务系统的服务访问系统中,用户终端可以通过有线或无线通讯方式发送携带有比如设备标识、地址位置等用户信息的业务承载分配请求,路由器、服务器依次获取该用户终端发送的业务访问请求,并最终访问业务系统。
需要说明的是,本实施例中各步骤的执行主体具体可以为具有访问功能的各种物联网设备的电子设备,还可以为其他可实现相同或相似功能的设备,例如:手机、个人电脑,PAD等,本实施例对此不作限制。
步骤S102,若接收节点为交互节点,提取所述访问请求所携带的设备标识,并根据所述设备标识将所述访问请求转发至资源节点。
在本发明申请实施例中,具体地是若接收节点为交互节点,提取所述访问请求所携带的设备标识,并根据所述设备标识确定所述软件定义广域网中的各个所述资源节点的负载能力,将所述访问请求转发至距离最近的所述资源节点。
步骤S103,所述资源节点对所述访问请求进行安全认证,若通过安全认证,则允许接入所述资源节点访问软件定义广域网所述资源。
在本发明申请实施例中,具体地是所述资源节点使用私钥对所述设备标识进行解密,以获取用户设备的数字签名;比较接收的所述数字签名的哈希与准入标识的哈希是否一致,若一致,则所述访问请求的合法性通过验证。
实施例二
本发明一实施例提供了一种基于软件定义广域网SD-WAN的安全方法,如图2所示,所述方法具体可以包括如下:
步骤S201,接收至少一个访问请求。
示例性地,本发明申请实施例应用于包括用户终端、路由器、服务器与业务系统的服务访问系统中,用户终端可以通过有线或无线通讯方式发送携带有比如设备标识、地址位置等用户信息的业务承载分配请求,路由器、服务器依次获取该用户终端发送的业务访问请求,并最终访问业务系统。
需要说明的是,本实施例中各步骤的执行主体具体可以为具有访问功能的各种物联网设备的电子设备,还可以为其他可实现相同或相似功能的设备,例如:手机、个人电脑,PAD等,本实施例对此不作限制。
步骤S202,若接收节点为交互节点,提取所述访问请求所携带的设备标识,并根据所述设备标识将所述访问请求转发至资源节点。
在本发明申请实施例中,具体地是若接收节点为交互节点,提取所述访问请求所携带的设备标识,并根据所述设备标识确定所述软件定义广域网中的各个所述资源节点的负载能力,将所述访问请求转发至距离最近的所述资源节点。
步骤S203,所述资源节点对所述访问请求进行安全认证,若通过安全认证,则允许接入所述资源节点访问软件定义广域网所述资源。
在本发明申请实施例中,具体地是所述资源节点使用私钥对所述设备标识进行解密,以获取用户设备的数字签名;比较接收的所述数字签名的哈希与准入标识的哈希是否一致,若一致,则所述访问请求的合法性通过验证。
步骤S204,所述资源节点将所述资源传输至所述用户终端。
在本发明申请实施例中,具体地是所述资源节点根据所述访问请求的编号从本地数据库中获取相应的交互资源,并将所述交互资源进行资源分块以生成多个交互资源块;获取所述交互资源的哈希与各个交互资源块的哈希,并将所述交互资源的编号、哈希与各个交互资源块的哈希及各个交互资源块分别传输至交互节点与用户终端。
较佳地,将交互资源的编号、哈希与各个交互资源块的哈希及各个交互资源块分别传输至交互节点与用户终端,所述方法具体可以包括:所述资源节点根据所述设备标识确定所述访问请求的所使用的交换密钥;根据所述交换密钥的加密等级确定所述交互资源的编号、哈希与各个交互资源块的哈希及各个交互资源块传输使用的主通道免密信道与从通道加密信道;根据所述交互资源数量大小选择最优带宽路径,将各个交互资源通过所述主通道免密信道传输至所述用户终端,并将所述交互资源的编号、哈希与各个交互资源块的哈希通过所述从通道加密信道传输至所述交互节点。
进一步,各个交互资源通过所述主通道免密信道传输至所述用户终端,所述方法具体可以包括:所述资源节点获取当前信道的传输带宽能力与负荷承载能力;若当前访问请求占用的资源数量大于预设资源阈值,将所述交互资源切分为一个或多个交互资源块,并对所述一个或多个交互资源块进行随机编码为相应的一个或多个编码交互资源块;将所述一个或多个编码交互资源块通过所述主通道免密信道传输至所述用户终端。
步骤S205,所述用户终端接收所述资源节点的传输资源。
在本发明申请实施例中,具体地是所述资源节点将所述资源传输至所述用户终端所述用户终端从所述交互节点获取所述交互资源块的哈希;根据所述交互资源块的哈希查找对应编号的交互资源并获取对应的所述交互资源块数据,并将所述交互资源块数据分布式地按块存储至本地数据库。
实施例三
本发明一实施例提供了一种基于软件定义广域网SD-WAN的安全访问系统,如图3所示,所述系统具体可以包括如下模块:
接收模块,用于接收至少一个访问请求。
示例性地,本发明申请实施例应用于包括用户终端、路由器、服务器与业务系统的服务访问系统中,用户终端可以通过有线或无线通讯方式发送携带有比如设备标识、地址位置等用户信息的业务承载分配请求,路由器、服务器依次获取该用户终端发送的业务访问请求,并最终访问业务系统。
需要说明的是,本实施例中各步骤的执行主体具体可以为具有访问功能的各种物联网设备的电子设备,还可以为其他可实现相同或相似功能的设备,例如:手机、个人电脑,PAD等,本实施例对此不作限制。
提取模块,用于若接收节点为交互节点,提取所述访问请求所携带的设备标识,并根据所述设备标识将所述访问请求转发至资源节点。
在本发明申请实施例中,具体地是若接收节点为交互节点,提取所述访问请求所携带的设备标识,并根据所述设备标识确定所述软件定义广域网中的各个所述资源节点的负载能力,将所述访问请求转发至距离最近的所述资源节点。
验证模块,用于所述资源节点对所述访问请求进行安全认证,若通过安全认证,则允许接入所述资源节点访问软件定义广域网所述资源。
在本发明申请实施例中,具体地是所述资源节点使用私钥对所述设备标识进行解密,以获取用户设备的数字签名;比较接收的所述数字签名的哈希与准入标识的哈希是否一致,若一致,则所述访问请求的合法性通过验证。
在一个可选实施例中,所述资源节点将所述资源传输至所述用户终端。
在本发明申请实施例中,具体地是所述资源节点根据所述访问请求的编号从本地数据库中获取相应的交互资源,并将所述交互资源进行资源分块以生成多个交互资源块;获取所述交互资源的哈希与各个交互资源块的哈希,并将所述交互资源的编号、哈希与各个交互资源块的哈希及各个交互资源块分别传输至交互节点与用户终端。
较佳地,将所述交互资源的编号、哈希与各个交互资源块的哈希及各个交互资源块分别传输至交互节点与用户终端,所述方法具体可以包括:所述资源节点根据所述设备标识确定所述访问请求的所使用的交换密钥;根据所述交换密钥的加密等级确定所述交互资源的编号、哈希与各个交互资源块的哈希及各个交互资源块传输使用的主通道免密信道与从通道加密信道;根据所述交互资源数量大小选择最优带宽路径,将各个交互资源通过所述主通道免密信道传输至所述用户终端,并将所述交互资源的编号、哈希与各个交互资源块的哈希通过所述从通道加密信道传输至所述交互节点。
进一步,各个交互资源通过所述主通道免密信道传输至所述用户终端,所述方法具体可以包括:所述资源节点获取当前信道的传输带宽能力与负荷承载能力;若当前访问请求占用的资源数量大于预设资源阈值,将所述交互资源切分为一个或多个交互资源块,并对所述一个或多个交互资源块进行随机编码为相应的一个或多个编码交互资源块;将所述一个或多个编码交互资源块通过所述主通道免密信道传输至所述用户终端。
在另一可选实施例中,所述用户终端接收所述资源节点的传输资源。
在本发明申请实施例中,具体地是所述资源节点将所述资源传输至所述用户终端所述用户终端从所述交互节点获取所述交互资源块的哈希;根据所述交互资源块的哈希查找对应编号的交互资源并获取对应的所述交互资源块数据,并将所述交互资源块数据分布式地按块存储至本地数据库;根据设备标识确定所述软件定义广域网中的各个所述资源节点的负载能力,将所述访问请求转发至距离最近的资源节点。
实施例四
本发明一实施例提供了一种基于软件定义广域网SD-WAN的安全访问设备,如图4所示,所述设备具体可以包括如下模块:
通信总线,用于实现处理器与存储器间的连接通信;
存储器,用于存储计算机程序;存储器可能包含高速RAM存储器,也可能还包含非不稳定的存储器(non-volatile memory),例如至少一个磁盘存储器。存储器可选的可以包含至少一个存储装置。
处理器,用于执行上述计算机程序以实现如下步骤:
首先接收至少一个访问请求。
示例性地,本发明申请实施例应用于包括用户终端、路由器、服务器与业务系统的服务访问系统中,用户终端可以通过有线或无线通讯方式发送携带有比如设备标识、地址位置等用户信息的业务承载分配请求,路由器、服务器依次获取该用户终端发送的业务访问请求,并最终访问业务系统。
需要说明的是,本实施例中各步骤的执行主体具体可以为具有访问功能的各种物联网设备的电子设备,还可以为其他可实现相同或相似功能的设备,例如:手机、个人电脑,PAD等,本实施例对此不作限制。
然后若接收节点为交互节点,提取所述访问请求所携带的设备标识,并根据所述设备标识将所述访问请求转发至资源节点。
在本发明申请实施例中,具体地是若接收节点为交互节点,提取所述访问请求所携带的设备标识,并根据所述设备标识确定所述软件定义广域网中的各个所述资源节点的负载能力,将所述访问请求转发至距离最近的所述资源节点。
最后所述资源节点对所述访问请求进行安全认证,若通过安全认证,则允许接入所述资源节点访问软件定义广域网所述资源。
在本发明申请实施例中,具体地是所述资源节点使用私钥对所述设备标识进行解密,以获取用户设备的数字签名;比较接收的所述数字签名的哈希与准入标识的哈希是否一致,若一致,则所述访问请求的合法性通过验证。
在一个可选实施例中,所述资源节点将所述资源传输至所述用户终端。
在本发明申请实施例中,具体地是所述资源节点根据所述访问请求的编号从本地数据库中获取相应的交互资源,并将所述交互资源进行资源分块以生成多个交互资源块;获取所述交互资源的哈希与各个交互资源块的哈希,并将所述交互资源的编号、哈希与各个交互资源块的哈希及各个交互资源块分别传输至交互节点与用户终端。
较佳地,将所述交互资源的编号、哈希与各个交互资源块的哈希及各个交互资源块分别传输至交互节点与用户终端,所述方法具体可以包括:所述资源节点根据所述设备标识确定所述访问请求的所使用的交换密钥;根据所述交换密钥的加密等级确定所述交互资源的编号、哈希与各个交互资源块的哈希及各个交互资源块传输使用的主通道免密信道与从通道加密信道;根据所述交互资源数量大小选择最优带宽路径,将各个交互资源通过所述主通道免密信道传输至所述用户终端,并将所述交互资源的编号、哈希与各个交互资源块的哈希通过所述从通道加密信道传输至所述交互节点。
进一步,各个交互资源通过所述主通道免密信道传输至所述用户终端,所述方法具体可以包括:所述资源节点获取当前信道的传输带宽能力与负荷承载能力;若当前访问请求占用的资源数量大于预设资源阈值,将所述交互资源切分为一个或多个交互资源块,并对所述一个或多个交互资源块进行随机编码为相应的一个或多个编码交互资源块;将所述一个或多个编码交互资源块通过所述主通道免密信道传输至所述用户终端。
在另一可选实施例中,所述用户终端接收所述资源节点的传输资源。
在本发明申请实施例中,具体地是所述资源节点将所述资源传输至所述用户终端所述用户终端从所述交互节点获取所述交互资源块的哈希;根据所述交互资源块的哈希查找对应编号的交互资源并获取对应的所述交互资源块数据,并将所述交互资源块数据分布式地按块存储至本地数据库。
本实施例中的处理器可能是一种集成电路芯片,具有信号处理能力。在实现过程中,上述方法的各步骤可以通过处理器中的硬件的集成逻辑电路或者软件形式的指令完成。上述的处理器可以是通用处理器、数字信号处理器(DSP)、专用集成电路(ASIC)、现成可编程门阵列(FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。可以实现或者执行本发明实施例中的公开的各方法、步骤及逻辑框图。上述处理器可以是微处理器或者上述处理器也可以是任何常规的处理器等。结合本发明实施例所公开的方法的步骤可以直接体现为硬件处理器执行完成,或者用处理器中的硬件及软件模块组合执行完成。软件模块可以位于随机存储器,闪存、只读存储器,可编程只读存储器或者电可擦写可编程存储器、寄存器等本领域成熟的存储介质中。该存储介质位于存储器,处理器读取存储器中的信息,结合其硬件完成上述方法的步骤,其中,根据设备标识确定所述软件定义广域网中的各个所述资源节点的负载能力,将所述访问请求转发至距离最近的资源节点。
实施例五
本发明一实施例提供了一种计算机可读存储介质,其上存储有计算机程序,上述计算机程序被处理器执行时实现上述的基于软件定义广域网SD-WAN的安全访问方法。
综上所述,本发明实施例提供的一种基于软件定义广域网SD-WAN的安全访问方法、系统、设备及存储介质,通过接收至少一个访问请求,若接收节点为交互节点,提取所述访问请求所携带的设备标识,并根据所述设备标识将所述访问请求转发至资源节点;所述资源节点对所述访问请求进行安全认证,若通过安全认证,则允许接入所述资源节点访问软件定义广域网所述资源。这样,根据不同的带宽能力、负载能力确定特定资源节点,对访问请求的权限限制在安全验证节点资源,解决了现有技术安全认证的可靠性差、网络拥塞等问题。
需要说明的是,对于前述的各方法实施例,为了简单描述,故将其都表述为一系列的动作组合,但是本领域技术人员应该知悉,本发明并不受所描述的动作顺序的限制,因为依据本发明,某些步骤可以采用其他顺序或者同时进行。其次,本领域技术人员也应该知悉,说明书中所描述的实施例均属于可选实施例,所涉及的动作和模块并不一定是本发明所必须的。
上述实施例,可以全部或部分地通过软件、硬件、固件或其他任意组合来实现。当使用软件实现时,上述实施例可以全部或部分地以计算机程序产品的形式实现。该计算机程序产品包括一个或多个计算机指令。在计算机上加载或执行该计算机程序指令时,全部或部分地产生按照本申请实施例该的流程或功能。该计算机可以为通用计算机、专用计算机、计算机网络、或者其他可编程装置。该计算机指令可以存储在计算机可读存储介质中,或者从一个计算机可读存储介质向另一个计算机可读存储介质传输,例如,该计算机指令可以从一个网站站点、计算机、服务器或数据中心通过有线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输。该计算机可读存储介质可以是计算机能够存取的任何可用介质或者是包含一个或多个可用介质集合的服务器、数据中心等数据存储设备。该可用介质可以是磁性介质(例如,软盘、硬盘、磁带)、光介质(例如,DVD)、或者半导体介质。半导体介质可以是固态硬盘。
本领域普通技术人员可以意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、或者计算机软件和电子硬件的结合来实现。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本申请的范围。
在上述实施例中,对各个实施例的描述都各有侧重,某个实施例中没有详述的部分,可以参见其他实施例的相关描述。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的系统、装置和单元的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
在本发明所提供的几个实施例中,应该理解到,所揭露的系统,装置和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本发明各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。
所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(read-only memory,ROM)、随机存取存储器(random access memory,RAM)、磁碟或者光盘等各种可以存储程序代码的介质。
本发明是参照本发明实施例的方法、装置(设备)和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
最后应说明的是:以上各实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述各实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分或者全部技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的范围。
Claims (3)
1.一种基于软件定义广域网SD-WAN的安全访问方法,其特征在于,所述方法包括:
接收至少一个访问请求;
若接收节点为交互节点,提取所述访问请求所携带的设备标识,并根据所述设备标识将所述访问请求转发至资源节点;
所述资源节点对所述访问请求进行安全认证,若通过安全认证,则允许接入所述资源节点访问软件定义广域网所述资源;所述根据所述设备标识将所述访问请求转发至资源节点,所述方法包括:
根据所述设备标识确定所述软件定义广域网中的各个所述资源节点的负载能力,将所述访问请求转发至距离最近的所述资源节点;
所述资源节点对所述访问请求进行安全认证,所述方法包括:
所述资源节点使用私钥对所述设备标识进行解密,以获取用户设备的数字签名;
比较接收的所述数字签名的哈希与准入标识的哈希是否一致,若一致,则所述访问请求的合法性通过验证;
所述方法还包括:
所述资源节点根据所述访问请求的编号从本地数据库中获取相应的交互资源,并将所述交互资源进行资源分块以生成多个交互资源块;
获取所述交互资源的哈希与各个交互资源块的哈希,并将所述交互资源的编号、哈希与各个交互资源块的哈希及各个交互资源块分别传输至交互节点与用户终端;
将所述交互资源的编号、哈希与各个交互资源块的哈希及各个交互资源块分别传输至交互节点与用户终端,所述方法包括:
所述资源节点根据所述设备标识确定所述访问请求时所使用的交换密钥;
根据所述交换密钥的加密等级确定所述交互资源的编号、哈希与各个交互资源块的哈希及各个交互资源块传输使用的主通道免密信道与从通道加密信道;
根据所述交互资源数量大小选择最优带宽路径,将各个交互资源通过所述主通道免密信道传输至所述用户终端,并将所述交互资源的编号、哈希与各个交互资源块的哈希通过所述从通道加密信道传输至所述交互节点。
2.根据权利要求1所述的方法,其特征在于,各个交互资源通过所述主通道免密信道传输至所述用户终端,所述方法包括:
所述资源节点获取当前信道的传输带宽能力与负荷承载能力;
若当前访问请求占用的资源数量大于预设资源阈值,将所述交互资源切分为一个或多个交互资源块,并对所述一个或多个交互资源块进行随机编码为相应的一个或多个编码交互资源块;
将所述一个或多个编码交互资源块通过所述主通道免密信道传输至所述用户终端。
3.根据权利要求2所述的方法,其特征在于,所述方法还包括:
所述用户终端从所述交互节点获取所述交互资源块的哈希;
根据所述交互资源块的哈希查找对应编号的交互资源并获取对应的所述交互资源块数据,并将所述交互资源块数据分布式地按块存储至本地数据库。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110690662.6A CN113141260B (zh) | 2021-06-22 | 2021-06-22 | 基于软件定义广域网sd-wan的安全访问方法、系统及设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110690662.6A CN113141260B (zh) | 2021-06-22 | 2021-06-22 | 基于软件定义广域网sd-wan的安全访问方法、系统及设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN113141260A CN113141260A (zh) | 2021-07-20 |
| CN113141260B true CN113141260B (zh) | 2021-09-28 |
Family
ID=76815972
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202110690662.6A Active CN113141260B (zh) | 2021-06-22 | 2021-06-22 | 基于软件定义广域网sd-wan的安全访问方法、系统及设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN113141260B (zh) |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113890767B (zh) * | 2021-11-12 | 2023-07-11 | 中国联合网络通信集团有限公司 | 网络接入方法、装置、设备及存储介质 |
| CN117376039A (zh) * | 2023-12-08 | 2024-01-09 | 四川科朗新创建设有限公司 | 一种sd-wan通信系统的加密方法及系统、设备、介质 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105635235A (zh) * | 2014-12-01 | 2016-06-01 | 阿里巴巴集团控股有限公司 | 访问控制方法和用于访问控制的网络节点 |
| CN110708402A (zh) * | 2019-09-30 | 2020-01-17 | 北京奇艺世纪科技有限公司 | 可访问资源的展示方法、装置及资源访问系统 |
Family Cites Families (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105554125B (zh) * | 2015-04-24 | 2018-12-18 | 美通云动(北京)科技有限公司 | 一种利用cdn实现网页适配的方法及其系统 |
| CN105871888A (zh) * | 2016-05-16 | 2016-08-17 | 乐视控股(北京)有限公司 | 身份验证的方法、装置及系统 |
| CN108173937A (zh) * | 2017-12-28 | 2018-06-15 | 北京中电普华信息技术有限公司 | 访问控制方法和装置 |
| US11831646B2 (en) * | 2019-04-01 | 2023-11-28 | Citrix Systems, Inc. | Authentication for secure file sharing |
| CN112954069A (zh) * | 2021-03-15 | 2021-06-11 | 观脉科技(北京)有限公司 | 移动设备接入sd-wan网络的方法、装置和系统 |
-
2021
- 2021-06-22 CN CN202110690662.6A patent/CN113141260B/zh active Active
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105635235A (zh) * | 2014-12-01 | 2016-06-01 | 阿里巴巴集团控股有限公司 | 访问控制方法和用于访问控制的网络节点 |
| CN110708402A (zh) * | 2019-09-30 | 2020-01-17 | 北京奇艺世纪科技有限公司 | 可访问资源的展示方法、装置及资源访问系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN113141260A (zh) | 2021-07-20 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110166409B (zh) | 设备接入方法、相关平台及计算机存储介质 | |
| CN110896355B (zh) | 一种网络切片的选择方法及装置 | |
| US9960923B2 (en) | Handling of digital certificates | |
| CN113141260B (zh) | 基于软件定义广域网sd-wan的安全访问方法、系统及设备 | |
| CN107809776B (zh) | 信息处理方法、装置以及网络系统 | |
| WO2022142740A1 (zh) | 一种网络切片连接方法、装置、存储介质及电子装置 | |
| CN113260067B (zh) | 基于sd-wan的服务级别协议sla的业务承载方法、系统及设备 | |
| WO2016165505A1 (zh) | 连接控制方法及装置 | |
| CN113055176B (zh) | 终端认证方法和系统、终端设备、p2p验证平台和介质 | |
| CN113037761B (zh) | 登录请求的验证方法及装置、存储介质、电子设备 | |
| US20200287974A1 (en) | System and method for switching between publish/subscribe services | |
| JP2020028049A (ja) | 通信制御装置、通信制御システム、通信制御方法および通信制御プログラム | |
| CN103023684A (zh) | 网络信息管理的方法、装置和系统 | |
| CN114513829A (zh) | 网络接入方法、装置、核心网、服务器及终端 | |
| CN114616807B (zh) | 用于管理和控制通信网络的方法和系统 | |
| CN110198540B (zh) | Portal认证方法及装置 | |
| CN108809631B (zh) | 一种量子密钥服务管理系统及方法 | |
| CN112261003A (zh) | 工业互联网边缘计算节点的安全认证方法及系统 | |
| CN112235290A (zh) | 基于区块链的物联网设备管理方法及第一物联网设备 | |
| CN113596833A (zh) | 基于5g电力的鉴权方法及系统 | |
| CN111683164B (zh) | 一种ip地址的配置方法及vpn服务系统 | |
| CN112422475B (zh) | 一种服务鉴权方法、装置、系统及存储介质 | |
| CN114125904A (zh) | 基于5g电力的业务承载分配方法及系统 | |
| JP5778862B2 (ja) | クラウドベースのid管理(c−idm)を実装するための方法および仮想idmサーバー | |
| CN111163466A (zh) | 5g用户终端接入区块链的方法、用户终端设备及介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| CP02 | Change in the address of a patent holder | ||
| CP02 | Change in the address of a patent holder |
Address after: 518000 Room 601, global digital building, No. 9, Gaoxin middle third road, Maling community, Yuehai street, Nanshan District, Shenzhen, Guangdong Province Patentee after: Shenzhen Guanglian century Information Technology Co.,Ltd. Address before: 1809a, Taibang science and technology building, 16 Gaoxin South 6th Road, high tech Zone community, Yuehai street, Nanshan District, Shenzhen, Guangdong 518000 Patentee before: Shenzhen Guanglian century Information Technology Co.,Ltd. |