CN114172690A - 一种终端认证方法及装置 - Google Patents
一种终端认证方法及装置 Download PDFInfo
- Publication number
- CN114172690A CN114172690A CN202111332642.8A CN202111332642A CN114172690A CN 114172690 A CN114172690 A CN 114172690A CN 202111332642 A CN202111332642 A CN 202111332642A CN 114172690 A CN114172690 A CN 114172690A
- Authority
- CN
- China
- Prior art keywords
- authentication
- group number
- terminal
- nas
- authentication request
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 65
- 102100030012 Deoxyribonuclease-1 Human genes 0.000 claims abstract description 47
- 101100224216 Homo sapiens DNASE1 gene Proteins 0.000 claims abstract description 47
- 230000006855 networking Effects 0.000 claims abstract description 35
- 238000003860 storage Methods 0.000 claims description 16
- 239000002071 nanotube Substances 0.000 claims description 7
- 238000005516 engineering process Methods 0.000 abstract description 3
- 238000004891 communication Methods 0.000 abstract description 2
- 229920003266 Leaf® Polymers 0.000 description 39
- 238000010586 diagram Methods 0.000 description 17
- 238000012545 processing Methods 0.000 description 9
- 238000004590 computer program Methods 0.000 description 7
- 230000006870 function Effects 0.000 description 7
- 230000008569 process Effects 0.000 description 7
- 230000002159 abnormal effect Effects 0.000 description 6
- 230000002776 aggregation Effects 0.000 description 5
- 238000004220 aggregation Methods 0.000 description 5
- 238000013475 authorization Methods 0.000 description 4
- 230000003287 optical effect Effects 0.000 description 3
- 230000001360 synchronised effect Effects 0.000 description 3
- 230000000694 effects Effects 0.000 description 2
- 230000003993 interaction Effects 0.000 description 2
- 238000000973 laser-enhanced atomic fluorescence spectroscopy Methods 0.000 description 2
- 238000003491 array Methods 0.000 description 1
- 230000001413 cellular effect Effects 0.000 description 1
- 235000019800 disodium phosphate Nutrition 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 239000000047 product Substances 0.000 description 1
- 230000004044 response Effects 0.000 description 1
- 239000007787 solid Substances 0.000 description 1
- 239000013589 supplement Substances 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请涉及网络通信技术领域,特别涉及一种终端认证方法及装置。该方法应用于DRNI组网中的认证服务器,DRNI组网采用分布式认证方式进行终端认证,该方法包括:接收控制器发送的其获取到的纳管设备的DR组编号信息,其中,控制器在获取到已纳管设备的链路信息后,从链路信息中获取该设备的DR组编号信息;若主DR设备和备DR设备之间的IPL链路故障,则在接收到待认证终端发送的认证请求,且认证请求携带有DR组编号信息时,若判定本地数据库的认证表项中存在与认证请求携带的NAS IP、VLAN ID和DR组编号相匹配的目标表项,则确定待认证终端认证成功。
Description
技术领域
本申请涉及网络通信技术领域,特别涉及一种终端认证方法及装置。
背景技术
园区方案采用Spine-Leaf-Access组网,Leaf为认证点,EIA作为认证服务器,控制器对设备进行纳管。整个网络内可以实现基于接入位置的接入场景进行接入用户的认证及授权。
同时园区方案中引入了DRNI,也就是分布式弹性网络互连技术,将交换机设备在聚合层面虚拟成一台设备来实现跨设备链路聚合,从而提供设备级冗余保护和流量负载分担。DRNI认证模式分为两种:一种为DRNI集中式认证,所有的认证报文由主设备处理,认证授权的信息会在DR设备间同步;另一种为DRNI分布式认证,根据认证报文的MAC地址奇偶,由不同DR设备处理,且每个DR设备配置2个虚NAS-IP-Address互为主备,认证授权的信息会在两台DRNI成员间进行同步。
DRNI分布式认证方式场景下,Leaf设备根据用户携带的MAC地址奇偶,选择不同DR设备进行认证,此时认证请求报文携带的NAS-IP-Address为此DR设备的虚NAS-IP-Address,接口索引为此DR设备下行DR口索引。
若此时LEAF之间的IPL链路异常后,导致DRNI系统异常。用户上线,会在主LEAF(Leaf2)上进行认证,DR聚合口也为主LEAF(Leaf2-BAGG3)接口,但是认证过程中使用的NASIP依然会根据奇偶模式选择LEAF(Leaf1-ip1)上的NAS IP(为了IPL链路恢复后,备设备的用户还能切回备设备上)。因此认证报文中Attribute域所携带的字段(NAS-IP-Address、接口索引、接入VLAN)值为(ip1,index3,ACCESS入口PVID),认证请求报文到达认证服务器后,数据库无数据与之对应。最终,用户从Access1设备上线,却无法授权安全组A,权限变成安全组B。
为了解决上述问题,目前控制器给认证服务器发送设备数据时,每个NAS-IP-Address多增加一条数据,补充另一端DR设备DR口的接口索引,同时认证服务器将此数据存入数据库当中。若IPL链路异常,用户上线,认证请求报文中Attribute域所携带的字段也能和认证服务器数据库进行匹配。
然而,设备接口索引是根据设备来分配的,同一台设备接口索引肯定不会有相同数值,但是不同设备,接口索引有可能存在相同数值的情况。采用每个NAS-IP-Address多增加一条数据,补充另一端DR设备DR口的接口索引,如果DR设备中的某个DR口接口索引和另外一台DR设备的某个DR口接口索引一致的话,同样会存在接入场景误匹配的情况。
发明内容
本申请提供了一种终端认证方法及装置,用以解决现有技术中存在的终端接入场景误匹配的问题。
第一方面,本申请提供了一种终端认证方法,应用于DRNI组网中的认证服务器,DRNI组网采用分布式认证方式进行终端认证,所述方法包括:
接收控制器发送的其获取到的纳管设备的DR组编号信息,其中,所述控制器在获取到已纳管设备的链路信息后,从所述链路信息中获取该设备的DR组编号信息;
若主DR设备和备DR设备之间的IPL链路故障,则在接收到待认证终端发送的认证请求,且所述认证请求携带有DR组编号信息时,判断本地数据库的认证表项中是否存在与所述认证请求携带的NAS IP、VLAN ID和DR组编号相匹配的目标表项;
若判定本地数据库的认证表项中存在与所述认证请求携带的NAS IP、VLAN ID和DR组编号相匹配的目标表项,则确定所述待认证终端认证成功。
可选地,所述方法还包括:
将所述DR口编号信息保存至本地数据库中与所述链路对应的认证表项中,其中,一个链路对应的认证表项包括:NAS IP、IFINDEX、VLANID和DR组编号。
可选地,在确定所述待认证终端认证成功后,所述方法还包括:
基于所述认证请求携带NAS IP、VLAN ID和DR组编号,为所述待认证终端配置对应的安全组策略。
可选地,若所述认证请求未携带有DR组编号信息,则所述方法还包括:
判断本地数据库的认证表项中是否存在与所述认证请求携带的NAS IP、IFINDEX和VLANID相匹配的目标表项;
若判定存在本地数据库的认证表项中存在与所述认证请求携带的NAS IP、IFINDEX和VLANID相匹配的目标表项,则确定所述待认证终端认证成功。
第二方面,本申请提供了一种终端认证方法,应用于DRNI组网中的控制器,DRNI组网采用分布式认证方式进行终端认证,所述方法包括:
获取已纳管设备的链路信息,其中,所述链路信息包括该设备的DR组编号信息;
将获取到的纳管设备的DR组编号信息发送给认证服务器,以使得所述认证服务器在接收到待认证用户方发送的认证请求,且所述认证请求携带有DR组编号信息时,判断本地数据库的认证表项中是否存在与所述认证请求携带的NAS IP、VLAN ID和DR组编号相匹配的目标表项,若判定存在本地数据库的认证表项中存在与所述认证请求携带的NAS IP、VLAN ID和DR组编号相匹配的目标表项,则确定所述待认证终端认证成功。
第三方面,本申请提供了一种终端认证装置,应用于DRNI组网中的认证服务器,DRNI组网采用分布式认证方式进行终端认证,所述装置包括:
接收单元,用于接收控制器发送的其获取到的纳管设备的DR组编号信息,其中,所述控制器在获取到已纳管设备的链路信息后,从所述链路信息中获取该设备的DR组编号信息;
判断单元,若主DR设备和备DR设备之间的IPL链路故障,则在接收到待认证终端发送的认证请求,且所述认证请求携带有DR组编号信息时,所述判断单元用于判断本地数据库的认证表项中是否存在与所述认证请求携带的NAS IP、VLAN ID和DR组编号相匹配的目标表项;
确定单元,若所述判断单元判定本地数据库的认证表项中存在与所述认证请求携带的NAS IP、VLAN ID和DR组编号相匹配的目标表项,则所述确定单元用于确定所述待认证终端认证成功。
可选地,所述装置还包括:
保存单元,用于将所述DR口编号信息保存至本地数据库中与所述链路对应的认证表项中,其中,一个链路对应的认证表项包括:NAS IP、IFINDEX、VLANID和DR组编号。
可选地,在确定所述待认证终端认证成功后,所述装置还包括:
配置单元,用于基于所述认证请求携带NAS IP、VLAN ID和DR组编号,为所述待认证终端配置对应的安全组策略。
可选地,若所述认证请求未携带有DR组编号信息,则所述判断单元还用于:
判断本地数据库的认证表项中是否存在与所述认证请求携带的NAS IP、IFINDEX和VLANID相匹配的目标表项;
若判定存在本地数据库的认证表项中存在与所述认证请求携带的NAS IP、IFINDEX和VLANID相匹配的目标表项,则确定所述待认证终端认证成功。
第四方面,本申请提供了一种终端认证装置,应用于DRNI组网中的控制器,DRNI组网采用分布式认证方式进行终端认证,所述装置包括:
获取单元,用于获取已纳管设备的链路信息,其中,所述链路信息包括该设备的DR组编号信息;
发送单元,用于将获取到的纳管设备的DR组编号信息发送给认证服务器,以使得所述认证服务器在接收到待认证用户方发送的认证请求,且所述认证请求携带有DR组编号信息时,判断本地数据库的认证表项中是否存在与所述认证请求携带的NAS IP、VLAN ID和DR组编号相匹配的目标表项,若判定存在本地数据库的认证表项中存在与所述认证请求携带的NAS IP、VLAN ID和DR组编号相匹配的目标表项,则确定所述待认证终端认证成功。
第五方面,本申请实施例提供一种终端认证装置,该装置应用于DRNI组网中的认证服务器,DRNI组网采用分布式认证方式进行终端认证,该终端认证装置包括:
存储器,用于存储程序指令;
处理器,用于调用所述存储器中存储的程序指令,按照获得的程序指令执行如上述第一方面中任一项所述的方法的步骤。
第六方面,本申请实施例还提供了一种计算机可读存储介质,所述计算机可读存储介质存储有计算机可执行指令,所述计算机可执行指令用于使所述计算机执行如上述第一方面中任一项所述方法的步骤。
第七方面,本申请实施例提供一种终端认证装置,该装置应用于DRNI组网中的控制器,DRNI组网采用分布式认证方式进行终端认证,该终端认证装置包括:
存储器,用于存储程序指令;
处理器,用于调用所述存储器中存储的程序指令,按照获得的程序指令执行如上述第二方面中任一项所述的方法的步骤。
第八方面,本申请实施例还提供了一种计算机可读存储介质,所述计算机可读存储介质存储有计算机可执行指令,所述计算机可执行指令用于使所述计算机执行如上述第二方面中任一项所述方法的步骤。
综上可知,本申请实施例提供的终端认证方法,应用于DRNI组网中的认证服务器,DRNI组网采用分布式认证方式进行终端认证,该方法包括:接收控制器发送的其获取到的纳管设备的DR组编号信息,其中,所述控制器在获取到已纳管设备的链路信息后,从所述链路信息中获取该设备的DR组编号信息;若主DR设备和备DR设备之间的IPL链路故障,则在接收到待认证终端发送的认证请求,且所述认证请求携带有DR组编号信息时,判断本地数据库的认证表项中是否存在与所述认证请求携带的NAS IP、VLAN ID和DR组编号相匹配的目标表项;若判定本地数据库的认证表项中存在与所述认证请求携带的NAS IP、VLAN ID和DR组编号相匹配的目标表项,则确定所述待认证终端认证成功。
采用本申请实施例提供的终端认证方法,通过修改认证请求报文、认证服务器数据库以及认证服务器判断方法,解决园区方案中DRNI组网下接入位置场景误匹配的问题,同时此发明保障了正常环境以及单链路用户认证的功能。
附图说明
为了更加清楚地说明本申请实施例或者现有技术中的技术方案,下面将对本申请实施例或者现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请中记载的一些实施例,对于本领域普通技术人员来讲,还可以根据本申请实施例的这些附图获得其他的附图。
图1为本申请实施例提供的一种终端认证方法的详细流程图;
图2为本申请实施例提供的另一种终端认证方法的详细流程图;
图3为本申请实施例提供的一种终端认证方法的交互过程示意图;
图4为本申请实施例提供的一种终端认证装置的结构示意图;
图5为本申请实施例提供的另一种终端认证装置的结构示意图;
图6为本申请实施例提供的一种认证服务器的结构示意图;
图7为本申请实施例提供的一种控制器的结构示意图。
具体实施方式
在本申请实施例使用的术语仅仅是出于描述特定实施例的目的,而非限制本申请。本申请和权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式,除非上下文清楚地表示其它含义。还应当理解,本文中使用的术语“和/或”是指包含一个或多个相关联的列出项目的任何或所有可能组合。
应当理解,尽管在本申请实施例可能采用术语第一、第二、第三等来描述各种信息,但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如,在不脱离本申请范围的情况下,第一信息也可以被称为第二信息,类似地,第二信息也可以被称为第一信息。取决于语境,此外,所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。
示例性的,参阅图1所示,为本申请实施例提供的一种终端认证方法的详细流程图,该方法应用于DRNI组网中的认证服务器,DRNI组网采用分布式认证方式进行终端认证,该方法包括以下步骤:
步骤100:接收控制器发送的其获取到的纳管设备的DR组编号信息,其中,所述控制器在获取到已纳管设备的链路信息后,从所述链路信息中获取该设备的DR组编号信息。
实际应用中,DRNI组网中控制器纳管的设备可以包括组网中的Spine设备,Leaf设备和Access设备,若DRNI组网采用分布式认证方式进行认证,则Leaf设备会根据用户携带的MAC地址的奇偶来确定对应的Leaf设备进行认证,如,若MAC地址为偶数,则采用Leaf2设备(主DR设备)认证,若MAC地址为奇数,则采用Leaf1设备(备DR设备)认证。
本申请实施例中,控制器根据管理地址纳管DRNI组网中的Spine设备,Leaf设备和Access设备,设备纳管成功后,控制器可以基于预设周期向各已纳管设备发送链路信息获取请求,以从以纳管设备获取其对应的各链路信息,其中,该链路信息中包括各链路对应DR组编号信息(如,Group_ID)。
即控制器给认证服务器发送设备相关数据时,需要增加携带Group_ID属性。进一步的,认证服务器还可以将Group_ID数据存入数据库中。
本申请实施例中,在接收控制器发送的其获取到的纳管设备的DR组编号信息后,上述终端认证方法还可以包括以下步骤:
将所述DR口编号信息保存至本地数据库中与所述链路对应的认证表项中,其中,一个链路对应的认证表项包括:NAS IP、IFINDEX、VLANID和DR组编号。
具体的,认证服务器本地数据库中维护有Leaf设备各链路对应的链路信息表项(认证表项),示例性的,参阅表1所示,其中,一个表项至少包括LEAF_DEV_IP(Leaf设备IP),LEAF_IF_INDEX(Leaf设备DR口/普通物理接口的接口索引),LEAF_IF_DESC,ACCESS_VLAN(ACCESS入口PVID)和Group_ID(DR组编号)。
表1
ID | LEAF_DEV_IP | LEAF_IF_INDEX | LEAF_IF_DESC | ACCESS_VLAN | Group_ID |
1 | ip1 | Index1 | BAGG1 | ACCESS入口PVID | 1 |
2 | ip1 | Index2 | BAGG2 | ACCESS入口PVID | 2 |
3 | ip2 | Index3 | BAGG3 | ACCESS入口PVID | 1 |
4 | ip2 | Index4 | BAGG4 | ACCESS入口PVID | 2 |
5 | ip4 | Index5 | GE1 | ACCESS入口PVID | 0 |
步骤110:若主DR设备和备DR设备之间的IPL链路故障,则在接收到待认证终端发送的认证请求,且所述认证请求携带有DR组编号信息时,判断本地数据库的认证表项中是否存在与所述认证请求携带的NAS IP、VLAN ID和DR组编号相匹配的目标表项。
本申请实施例中,若DRNI组网中主DR设备和备DR设备之间的的IPL链路故障,则所有终端(无论MAC为奇偶)均在主DR设备上进行认证操作,那么,在终端发送的认证请求报文中,增加DR组编号信息。
实际应用中,可以在RADIUS请求报文(Access-Request)的Attribute域中增加Group_ID属性(DR组编号属性)。Attribute域可包括多个属性,每一个属性都采用(Type、Length、Value)三元组的结构来表示。因此增加Group_ID属性如下:
类型(Type):Integer。
长度(Length):4字节。
属性值(Value):DR口编号,若Leaf-DRNI系统下存在单链路Group_ID字段(Integer)值为0。
这样,在进行终端认证时,可以通过DR组编号来区分不同设备接口索引相同的情况。
此时,认证服务器在确定Group_ID非0,则只校验Group_ID、LEAF_DEV_IP和ACCESS_VLAN,符合则走相应场景对应的安全组,否则走默认安全组。
步骤120:若判定本地数据库的认证表项中存在与所述认证请求携带的NAS IP、VLAN ID和DR组编号相匹配的目标表项,则确定所述待认证终端认证成功。
本申请实施例中,在确定所述待认证终端认证成功后,上述终端认证方法会还可以包括以下步骤:
基于所述认证请求携带NAS IP、VLAN ID和DR组编号,为所述待认证终端配置对应的安全组策略。
进一步的,本申请实施例中,若所述认证请求未携带有DR组编号信息,则上述终端认证方法还可以包括以下步骤:
判断本地数据库的认证表项中是否存在与所述认证请求携带的NAS IP、IFINDEX和VLANID相匹配的目标表项,若判定存在本地数据库的认证表项中存在与所述认证请求携带的NAS IP、IFINDEX和VLANID相匹配的目标表项,则确定所述待认证终端认证成功。
即确定待认证终端发送的认证请求未携带有DR组编号信息,或者,DR组编号信息为0(单链路Group_ID字段(Integer)值为0),则采用原有方式进行认证,即校验LEAF_DEV_IP、LEAF_IF_INDEX和ACCESS_VLAN。
参阅图2所示,为本申请实施例提供的一种终端认证方法的详细流程图,该方法应用于DRNI组网中的控制器,DRNI组网采用分布式认证方式进行终端认证,该方法包括以下步骤:
步骤200:获取已纳管设备的链路信息,其中,所述链路信息包括该设备的DR组编号信息。
步骤210:将获取到的纳管设备的DR组编号信息发送给认证服务器。
其中,认证服务器在接收到控制器发送的已纳管设备的DR组编号信息后,将所述DR口编号信息保存至本地数据库中与所述链路对应的认证表项中,其中,一个链路对应的认证表项包括:NAS IP、IFINDEX、VLANID和DR组编号。
进一步的,所述认证服务器在接收到待认证用户方发送的认证请求,且所述认证请求携带有DR组编号信息时,判断本地数据库的认证表项中是否存在与所述认证请求携带的NAS IP、VLAN ID和DR组编号相匹配的目标表项,若判定存在本地数据库的认证表项中存在与所述认证请求携带的NAS IP、VLAN ID和DR组编号相匹配的目标表项,则确定所述待认证终端认证成功。
下面结合具体应用场景对本申请实施例提供的终端认证方法进行详细说明。示例性的,参阅图3所示,为本申请实施例提供的一种终端认证方法的交互过程示意图,该方法包括以下步骤:
步骤1:控制器根据管理地址纳管组网中Spine、Leaf、Access设备。
步骤2:设备纳管成功后,控制器会定时的向设备来获取链路信息,此时需要设备补充Group_ID字段,此字段表示对应DR组编号。
步骤3:控制器获取的链路信息中补充字段Group_ID,同步给认证服务器,并保存到认证服务器数据库的TBL_LEAF_RELATION_ACCESS表项中。
步骤4:用户上线,输入用户名和密码。
步骤5:此时Leaf和Leaf之间的IPL链路异常,用户会在DRNI系统的主LEAF上进行认证,DR聚合口也为主LEAF接口,但是认证过程中使用的NAS IP会根据奇偶模式选择对应LEAF上的NAS IP(为了IPL链路恢复后,备设备的用户还能切回备设备上),恰巧这个时候NAS IP为备LEAF。也就是说认证请求报文中带的设备信息如下:NAS IP(备设备)、IFINDEX(主设备)、VLANID(ACCESS入口PVID)、Group_ID(DR组编号)。
步骤6:认证请求报文到达认证服务器后,发现Group_ID值非0,则只对报文中的:NAS IP(备设备)、VLANID(ACCESS入口PVID)、Group_ID(DR组编号)进行比较,发现认证请求报文中携带的Attribute域数据在认证服务器数据库中可以找到,最终用户可以获取到正确的授权。
步骤7:认证服务器向Leaf授权,授权正常。
步骤8:用户认证成功。
步骤9:Leaf设备开始发送计费请求。
步骤10:认证服务器对计费请求进行响应。
例如,假设接入位置场景:从Access1设备上线的用户,授权安全组A,否则授权安全组B。用户:MAC为奇数,从Access1上线,DRNI认证方式:分布式认证。
IPL链路正常情况下:
Leaf设备根据用户携带的MAC地址为奇数,选择在Leaf1设备进行认证,此时认证请求报文中Attribute域所携带的字段(NAS-IP-Address、接口索引、接入VLAN、Group_ID)值为(ip1,index1,ACCESS入口PVID、1)。认证服务器收到认证请求报文后发现Group_ID非0,则只校验LEAF_DEV_IP和Group_ID,与数据库数据进行对比判断,符合接入场景,因此授权安全组A。
IPL链路异常情况下:
若此时LEAF之间的IPL链路异常后,导致DRNI系统异常。用户上线,会在主LEAF(Leaf2)上进行认证,DR聚合口也为主LEAF(Leaf2-BAGG3)接口,但是认证过程中使用的NASIP依然会根据奇偶模式选择LEAF(Leaf1-ip1)上的NAS IP(为了IPL链路恢复后,备设备的用户还能切回备设备上)。因此认证报文中Attribute域所携带的字段(NAS-IP-Address、接口索引、接入VLAN、Group_ID)值为(ip1,index3,ACCESS入口PVID、1),认证请求报文到达认证服务器后,认证服务器进行判断,发现Group_ID值非0,则只查看请求报文的如下字段(ip1,ACCESS入口PVID、1),在数据库中有与之对应的数据。最终,用户从Access1设备上线,正确授权安全组A。
示例性的,参阅图4所示,为本申请实施例提供的一种终端认证装置的结构示意图,该装置应用于DRNI组网中的认证服务器,DRNI组网采用分布式认证方式进行终端认证,该装置包括:
接收单元40,用于接收控制器发送的其获取到的纳管设备的DR组编号信息,其中,所述控制器在获取到已纳管设备的链路信息后,从所述链路信息中获取该设备的DR组编号信息;
判断单元41,若主DR设备和备DR设备之间的IPL链路故障,则在接收到待认证终端发送的认证请求,且所述认证请求携带有DR组编号信息时,所述判断单元41用于判断本地数据库的认证表项中是否存在与所述认证请求携带的NAS IP、VLAN ID和DR组编号相匹配的目标表项;
确定单元42,若所述判断单元41判定本地数据库的认证表项中存在与所述认证请求携带的NAS IP、VLAN ID和DR组编号相匹配的目标表项,则所述确定单元42用于确定所述待认证终端认证成功。
可选地,所述装置还包括:
保存单元,用于将所述DR口编号信息保存至本地数据库中与所述链路对应的认证表项中,其中,一个链路对应的认证表项包括:NAS IP、IFINDEX、VLANID和DR组编号。
可选地,在确定所述待认证终端认证成功后,所述装置还包括:
配置单元,用于基于所述认证请求携带NAS IP、VLAN ID和DR组编号,为所述待认证终端配置对应的安全组策略。
可选地,若所述认证请求未携带有DR组编号信息,则所述判断单元41还用于:
判断本地数据库的认证表项中是否存在与所述认证请求携带的NAS IP、IFINDEX和VLANID相匹配的目标表项;
若判定存在本地数据库的认证表项中存在与所述认证请求携带的NAS IP、IFINDEX和VLANID相匹配的目标表项,则确定所述待认证终端认证成功。
示例性,参阅图5所示,为本申请提供了一种终端认证装置的结构示意图,该装置应用于DRNI组网中的控制器,DRNI组网采用分布式认证方式进行终端认证,该装置包括:
获取单元50,用于获取已纳管设备的链路信息,其中,所述链路信息包括该设备的DR组编号信息;
发送单元51,用于将获取到的纳管设备的DR组编号信息发送给认证服务器,以使得所述认证服务器在接收到待认证用户方发送的认证请求,且所述认证请求携带有DR组编号信息时,判断本地数据库的认证表项中是否存在与所述认证请求携带的NAS IP、VLAN ID和DR组编号相匹配的目标表项,若判定存在本地数据库的认证表项中存在与所述认证请求携带的NAS IP、VLAN ID和DR组编号相匹配的目标表项,则确定所述待认证终端认证成功。
以上这些单元可以是被配置成实施以上方法的一个或多个集成电路,例如:一个或多个特定集成电路(Application Specific Integrated Circuit,简称ASIC),或,一个或多个微处理器(digital singnal processor,简称DSP),或,一个或者多个现场可编程门阵列(Field Programmable Gate Array,简称FPGA)等。再如,当以上某个单元通过处理元件调度程序代码的形式实现时,该处理元件可以是通用处理器,例如中央处理器(CentralProcessing Unit,简称CPU)或其它可以调用程序代码的处理器。再如,这些单元可以集成在一起,以片上系统(system-on-a-chip,简称SOC)的形式实现。
进一步地,本申请实施例提供的认证服务器,从硬件层面而言,所述认证服务器的硬件架构示意图可以参见图6所示,所述认证服务器可以包括:存储器60和处理器61,
存储器60用于存储程序指令;处理器61调用存储器60中存储的程序指令,按照获得的程序指令执行上述应用于认证服务器的方法实施例。具体实现方式和技术效果类似,这里不再赘述。
可选地,本申请还提供一种认证服务器,包括用于执行上述应用于认证服务器的方法实施例的至少一个处理元件(或芯片)。
可选地,本申请还提供一种程序产品,例如计算机可读存储介质,该计算机可读存储介质存储有计算机可执行指令,该计算机可执行指令用于使该计算机执行上述应用于认证服务器的方法实施例。
进一步地,本申请实施例提供的控制器,从硬件层面而言,所述控制器的硬件架构示意图可以参见图7所示,所述控制器可以包括:存储器70和处理器71,
存储器70用于存储程序指令;处理器71调用存储器70中存储的程序指令,按照获得的程序指令执行上述应用于控制器的方法实施例。具体实现方式和技术效果类似,这里不再赘述。
可选地,本申请还提供一种控制器,包括用于执行上述应用于控制器的方法实施例的至少一个处理元件(或芯片)。
可选地,本申请还提供一种程序产品,例如计算机可读存储介质,该计算机可读存储介质存储有计算机可执行指令,该计算机可执行指令用于使该计算机执行上述应用于控制器的方法实施例。
这里,机器可读存储介质可以是任何电子、磁性、光学或其它物理存储装置,可以包含或存储信息,如可执行指令、数据,等等。例如,机器可读存储介质可以是:RAM(RadomAccess Memory,随机存取存储器)、易失存储器、非易失性存储器、闪存、存储驱动器(如硬盘驱动器)、固态硬盘、任何类型的存储盘(如光盘、dvd等),或者类似的存储介质,或者它们的组合。
上述实施例阐明的系统、装置、模块或单元,具体可以由计算机芯片或实体实现,或者由具有某种功能的产品来实现。一种典型的实现设备为计算机,计算机的具体形式可以是个人计算机、膝上型计算机、蜂窝电话、相机电话、智能电话、个人数字助理、媒体播放器、导航设备、电子邮件收发设备、游戏控制台、平板计算机、可穿戴设备或者这些设备中的任意几种设备的组合。
为了描述的方便,描述以上装置时以功能分为各种单元分别描述。当然,在实施本申请时可以把各单元的功能在同一个或多个软件和/或硬件中实现。
本领域内的技术人员应明白,本申请的实施例可提供为方法、系统、或计算机程序产品。因此,本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本申请实施例可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本申请是参照根据本申请实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可以由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其它可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其它可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
而且,这些计算机程序指令也可以存储在能引导计算机或其它可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或者多个流程和/或方框图一个方框或者多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其它可编程数据处理设备上,使得在计算机或者其它可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其它可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
以上所述仅为本申请的较佳实施例而已,并不用以限制本申请,凡在本申请的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本申请保护的范围之内。
Claims (10)
1.一种终端认证方法,其特征在于,应用于DRNI组网中的认证服务器,DRNI组网采用分布式认证方式进行终端认证,所述方法包括:
接收控制器发送的其获取到的纳管设备的DR组编号信息,其中,所述控制器在获取到已纳管设备的链路信息后,从所述链路信息中获取该设备的DR组编号信息;
若主DR设备和备DR设备之间的IPL链路故障,则在接收到待认证终端发送的认证请求,且所述认证请求携带有DR组编号信息时,判断本地数据库的认证表项中是否存在与所述认证请求携带的NAS IP、VLAN ID和DR组编号相匹配的目标表项;
若判定本地数据库的认证表项中存在与所述认证请求携带的NAS IP、VLAN ID和DR组编号相匹配的目标表项,则确定所述待认证终端认证成功。
2.如权利要求1所述的方法,其特征在于,所述方法还包括:
将所述DR口编号信息保存至本地数据库中与所述链路对应的认证表项中,其中,一个链路对应的认证表项包括:NAS IP、IFINDEX、VLANID和DR组编号。
3.如权利要求2所述的方法,其特征在于,在确定所述待认证终端认证成功后,所述方法还包括:
基于所述认证请求携带NAS IP、VLAN ID和DR组编号,为所述待认证终端配置对应的安全组策略。
4.如权利要求1-3任一项所述的方法,其特征在于,若所述认证请求未携带有DR组编号信息,则所述方法还包括:
判断本地数据库的认证表项中是否存在与所述认证请求携带的NAS IP、IFINDEX和VLANID相匹配的目标表项;
若判定存在本地数据库的认证表项中存在与所述认证请求携带的NAS IP、IFINDEX和VLANID相匹配的目标表项,则确定所述待认证终端认证成功。
5.一种终端认证方法,其特征在于,应用于DRNI组网中的控制器,DRNI组网采用分布式认证方式进行终端认证,所述方法包括:
获取已纳管设备的链路信息,其中,所述链路信息包括该设备的DR组编号信息;
将获取到的纳管设备的DR组编号信息发送给认证服务器,以使得所述认证服务器在接收到待认证用户方发送的认证请求,且所述认证请求携带有DR组编号信息时,判断本地数据库的认证表项中是否存在与所述认证请求携带的NAS IP、VLAN ID和DR组编号相匹配的目标表项,若判定存在本地数据库的认证表项中存在与所述认证请求携带的NAS IP、VLANID和DR组编号相匹配的目标表项,则确定所述待认证终端认证成功。
6.一种终端认证装置,其特征在于,应用于DRNI组网中的认证服务器,DRNI组网采用分布式认证方式进行终端认证,所述装置包括:
接收单元,用于接收控制器发送的其获取到的纳管设备的DR组编号信息,其中,所述控制器在获取到已纳管设备的链路信息后,从所述链路信息中获取该设备的DR组编号信息;
判断单元,若主DR设备和备DR设备之间的IPL链路故障,则在接收到待认证终端发送的认证请求,且所述认证请求携带有DR组编号信息时,所述判断单元用于判断本地数据库的认证表项中是否存在与所述认证请求携带的NAS IP、VLAN ID和DR组编号相匹配的目标表项;
确定单元,若所述判断单元判定本地数据库的认证表项中存在与所述认证请求携带的NAS IP、VLAN ID和DR组编号相匹配的目标表项,则所述确定单元用于确定所述待认证终端认证成功。
7.如权利要求6所述的装置,其特征在于,所述装置还包括:
保存单元,用于将所述DR口编号信息保存至本地数据库中与所述链路对应的认证表项中,其中,一个链路对应的认证表项包括:NAS IP、IFINDEX、VLANID和DR组编号。
8.如权利要求7所述的装置,其特征在于,在确定所述待认证终端认证成功后,所述装置还包括:
配置单元,用于基于所述认证请求携带NAS IP、VLAN ID和DR组编号,为所述待认证终端配置对应的安全组策略。
9.如权利要求6-8任一项所述的装置,其特征在于,若所述认证请求未携带有DR组编号信息,则所述判断单元还用于:
判断本地数据库的认证表项中是否存在与所述认证请求携带的NAS IP、IFINDEX和VLANID相匹配的目标表项;
若判定存在本地数据库的认证表项中存在与所述认证请求携带的NAS IP、IFINDEX和VLANID相匹配的目标表项,则确定所述待认证终端认证成功。
10.一种终端认证装置,其特征在于,应用于DRNI组网中的控制器,DRNI组网采用分布式认证方式进行终端认证,所述装置包括:
获取单元,用于获取已纳管设备的链路信息,其中,所述链路信息包括该设备的DR组编号信息;
发送单元,用于将获取到的纳管设备的DR组编号信息发送给认证服务器,以使得所述认证服务器在接收到待认证用户方发送的认证请求,且所述认证请求携带有DR组编号信息时,判断本地数据库的认证表项中是否存在与所述认证请求携带的NAS IP、VLAN ID和DR组编号相匹配的目标表项,若判定存在本地数据库的认证表项中存在与所述认证请求携带的NAS IP、VLAN ID和DR组编号相匹配的目标表项,则确定所述待认证终端认证成功。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111332642.8A CN114172690B (zh) | 2021-11-11 | 2021-11-11 | 一种终端认证方法及装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111332642.8A CN114172690B (zh) | 2021-11-11 | 2021-11-11 | 一种终端认证方法及装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN114172690A true CN114172690A (zh) | 2022-03-11 |
CN114172690B CN114172690B (zh) | 2023-12-26 |
Family
ID=80478850
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202111332642.8A Active CN114172690B (zh) | 2021-11-11 | 2021-11-11 | 一种终端认证方法及装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN114172690B (zh) |
Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2014176975A1 (zh) * | 2013-04-28 | 2014-11-06 | 中兴通讯股份有限公司 | Drni中同一端内系统之间交互信息的方法和系统 |
US20160182510A1 (en) * | 2013-07-17 | 2016-06-23 | Nec Corporation | Apparatus management system, apparatus management method, and program |
WO2018214652A1 (zh) * | 2017-05-24 | 2018-11-29 | 新华三技术有限公司 | 一种报文传输方法和装置 |
WO2018233588A1 (zh) * | 2017-06-23 | 2018-12-27 | 新华三技术有限公司 | 转发表项生成 |
CN112929417A (zh) * | 2021-01-22 | 2021-06-08 | 新华三信息安全技术有限公司 | 报文处理方法及装置 |
CN112968836A (zh) * | 2021-01-31 | 2021-06-15 | 新华三信息安全技术有限公司 | 跨设备聚合链路配置方法、装置、设备及可读存储介质 |
-
2021
- 2021-11-11 CN CN202111332642.8A patent/CN114172690B/zh active Active
Patent Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2014176975A1 (zh) * | 2013-04-28 | 2014-11-06 | 中兴通讯股份有限公司 | Drni中同一端内系统之间交互信息的方法和系统 |
US20160105324A1 (en) * | 2013-04-28 | 2016-04-14 | Zte Corporation | Method and System for Information Interaction Among Systems in the Same End in DRNI |
US20160182510A1 (en) * | 2013-07-17 | 2016-06-23 | Nec Corporation | Apparatus management system, apparatus management method, and program |
WO2018214652A1 (zh) * | 2017-05-24 | 2018-11-29 | 新华三技术有限公司 | 一种报文传输方法和装置 |
WO2018233588A1 (zh) * | 2017-06-23 | 2018-12-27 | 新华三技术有限公司 | 转发表项生成 |
CN112929417A (zh) * | 2021-01-22 | 2021-06-08 | 新华三信息安全技术有限公司 | 报文处理方法及装置 |
CN112968836A (zh) * | 2021-01-31 | 2021-06-15 | 新华三信息安全技术有限公司 | 跨设备聚合链路配置方法、装置、设备及可读存储介质 |
Non-Patent Citations (2)
Title |
---|
H. ZHAI; JIT;T. SENEVIRATHNE; CONSULTANT;R. PERLMAN; EMC;M. ZHANG; Y. LI; HUAWEI TECHNOLOGIES;: "Transparent Interconnection of Lots of Links (TRILL): Pseudo-Nickname for Active-Active Access", IETF * |
朱兵;周爽;张攀;: "基于主机信息的802.1x的改进方案设计", 信息安全与技术, no. 07 * |
Also Published As
Publication number | Publication date |
---|---|
CN114172690B (zh) | 2023-12-26 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN109189751B (zh) | 基于区块链的数据同步方法及终端设备 | |
CN108111604A (zh) | 区块链共识方法、装置和系统、标识信息处理方法和装置 | |
TWI468943B (zh) | 用於從故障裝置之存取資料復原的方法及設備 | |
CN109587126B (zh) | 用户鉴权方法和系统 | |
CN111538979A (zh) | 与设备的整体模块认证 | |
CN110989922B (zh) | 一种分布式数据存储方法及系统 | |
CN108769186B (zh) | 业务权限控制方法及装置 | |
CN113055176B (zh) | 终端认证方法和系统、终端设备、p2p验证平台和介质 | |
EP3607727B1 (en) | Methods and devices for establishing communication between nodes in blockchain system | |
CN109728972B (zh) | 网络连接检测方法和装置 | |
CN110992035A (zh) | 区块链节点管理方法、装置及系统 | |
CN103384249B (zh) | 网络接入认证方法、装置及系统、认证服务器 | |
CN114172690B (zh) | 一种终端认证方法及装置 | |
CN107547412B (zh) | 一种stp计算方法和装置 | |
CN116388998A (zh) | 一种基于白名单的审计处理方法和装置 | |
CN114338177B (zh) | 物联网定向访问管控方法与系统 | |
CN111193706B (zh) | 一种身份验证方法及装置 | |
CN112291182B (zh) | 保持用户账户登录态的方法、装置、电子设备及存储介质 | |
CN108055262A (zh) | 视频会议终端注册方法、终端及网守 | |
CN114423005B (zh) | 一种无线网络配置方法、装置、设备及机器可读存储介质 | |
CN108683637B (zh) | 用于组成员的注册方法及装置 | |
CN111917683B (zh) | 安全交互方法、计算节点、控制中心、云平台及存储介质 | |
CN112512042B (zh) | 通信密钥生成方法、装置、设备和存储介质 | |
CN115190178B (zh) | 一种微服务分流方法、装置和设备 | |
US11979396B2 (en) | Information security system and method for machine-to-machine (M2M) security and validation |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |