CN114785534B - 通信方法及装置 - Google Patents
通信方法及装置 Download PDFInfo
- Publication number
- CN114785534B CN114785534B CN202210014301.4A CN202210014301A CN114785534B CN 114785534 B CN114785534 B CN 114785534B CN 202210014301 A CN202210014301 A CN 202210014301A CN 114785534 B CN114785534 B CN 114785534B
- Authority
- CN
- China
- Prior art keywords
- acl
- type
- attribute
- user
- filter
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 40
- 238000004891 communication Methods 0.000 title claims abstract description 27
- 230000004044 response Effects 0.000 claims abstract description 47
- 238000010586 diagram Methods 0.000 description 7
- 230000008569 process Effects 0.000 description 4
- 230000011664 signaling Effects 0.000 description 3
- 230000009286 beneficial effect Effects 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 230000006870 function Effects 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 238000000060 site-specific infrared dichroism spectroscopy Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
- H04W12/068—Authentication using credential vaults, e.g. password manager applications or one time password [OTP] applications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/08—Access security
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本申请提供一种通信方法及装置,所述方法应用于RADIUS服务器,所述方法包括:接收RADIUS客户端发送的认证请求报文,所述认证请求报文包括用户的用户名以及密码;对所述用户名以及密码进行认证处理;当所述用户名以及密码认证通过时,根据所述用户名,从本地配置的用户策略中,选择与所述用户名匹配的第一用户策略,所述第一用户策略包括ACL信息,所述ACL信息包括ACL编号以及ACL类型,或者,包括ACL名称以及ACL类型;向所述RADIUS客户端发送认证响应报文,所述认证响应报文包括所述ACL信息,以使得所述RADIUS客户端根据所述ACL信息在本地确定并配置对应的ACL。
Description
技术领域
本申请涉及通信技术领域,尤其涉及一种通信方法及装置。
背景技术
目前,访问控制列表(英文:Access Control Lists,简称:ACL)的类型包括以下几种:无线客户端ACL、无线接入点ACL、基本ACL、高级ACL、二层ACL以及用户自定义ACL。每种ACL类型均包括独立的编号范围、适用的IP版本以及规则制订依据。
例如,无线客户端ACL的编号范围为100-199,适用的IP版本为IPv4和IPv6,规则制订依据为无线客户端连接的服务集标识符(英文:Service Set Identifier,简称:SSID);无线接入点ACL的编号范围为200-299,适用的IP版本为IPv4和IPv6,规则制订依据为无线接入点的MAC地址和序列号。
管理员在创建ACL时,可为其指定编号或名称,且有些网络设备内配置IPv4和IPv6类型的ACL的编号或名称可以相同。但,远程用户拨号认证服务(英文:RemoteAuthentication Dial In User Service,简称:RADIUS)服务器在通过过滤标识(Filter-Id)属性向RADIUS客户端下发ACL时,Filter-Id属性仅用于下发ACL编号,不利于ACL的灵活使用。
若终端认证成功,RADIUS服务器发送的认证响应报文包括Filter-Id属性,该属性携带ACL编号、用户组。其中,Filter-Id的值为纯数字时,该数字表示ACL编号,Filter-Id的值包括字母时,则表示用户组。
为了解决上述问题,在现有方案中,RADIUS服务器利用厂商制定的私有属性(例如,思科制定的供应商特定属性(英文:Airespace-ACL-Name Vendor SpecificAttribute,简称:VSA))可以实现对ACL名称下发。若终端认证成功,RADIUS服务器发送的认证响应报文包括VSA属性,该VSA属性携带ACL名称。
但是,RADIUS服务器通过认证响应报文仅下发ACL名称,并未下发ACL类型,若RADIUS客户端内存在IPv4和IPv6类型的同名ACL,此时,RADIUS客户端将无法区分RADIUS服务器下发的是哪种类型的ACL。
发明内容
有鉴于此,本申请提供了一种通信方法及装置,用以解决现有RADIUS客户端内存在不同类型的同名ACL时,无法区分RADIUS服务器下发的是哪种类型的ACL的问题。
第一方面,本申请提供了一种通信方法,所述方法应用于RADIUS服务器,所述方法包括:
接收RADIUS客户端发送的认证请求报文,所述认证请求报文包括用户的用户名以及密码;
对所述用户名以及密码进行认证处理;
当所述用户名以及密码认证通过时,根据所述用户名,从本地配置的用户策略中,选择与所述用户名匹配的第一用户策略,所述第一用户策略包括ACL信息,所述ACL信息包括ACL编号以及ACL类型,或者,包括ACL名称以及ACL类型;
向所述RADIUS客户端发送认证响应报文,所述认证响应报文包括所述ACL信息,以使得所述RADIUS客户端根据所述ACL信息在本地确定并配置对应的ACL。
第二方面,本申请提供了一种通信装置,所述装置应用于RADIUS服务器,所述装置包括:
接收单元,用于接收RADIUS客户端发送的认证请求报文,所述认证请求报文包括用户的用户名以及密码;
认证单元,用于对所述用户名以及密码进行认证处理;
选择单元,用于当所述用户名以及密码认证通过时,根据所述用户名,从本地配置的用户策略中,选择与所述用户名匹配的第一用户策略,所述第一用户策略包括ACL信息,所述ACL信息包括ACL编号以及ACL类型,或者,包括ACL名称以及ACL类型;
发送单元,用于向所述RADIUS客户端发送认证响应报文,所述认证响应报文包括所述ACL信息,以使得所述RADIUS客户端根据所述ACL信息在本地确定并配置对应的ACL。
第三方面,本申请提供了一种网络设备,包括处理器和机器可读存储介质,机器可读存储介质存储有能够被处理器执行的机器可执行指令,处理器被机器可执行指令促使执行本申请第一方面所提供的方法。
因此,通过应用本申请提供的通信方法及装置,RADIUS服务器接收RADIUS客户端发送的认证请求报文,该认证请求报文包括用户的用户名以及密码;RADIUS服务器对用户名以及密码进行认证处理;当用户名以及密码认证通过时,根据用户名,RADIUS服务器从本地配置的用户策略中,选择与用户名匹配的第一用户策略,该第一用户策略包括ACL信息,所述ACL信息包括ACL编号以及ACL类型,或者,包括ACL名称以及ACL类型;RADIUS服务器向RADIUS客户端发送认证响应报文,该认证响应报文包括ACL信息,以使得RADIUS客户端根据ACL信息在本地确定并配置对应的ACL。
如此,RADIUS服务器可通过认证响应报文下发不同类型的ACL名称,也可通过认证响应报文下发不同类型的ACL编号,解决了现有RADIUS客户端内存在不同类型的同名ACL时,无法区分RADIUS服务器下发的是哪种类型的ACL的问题,使得基于RADIUS服务器授权ACL的网络更为灵活。
附图说明
图1为本申请实施例提供的通信方法的流程图;
图2为本申请实施例提供的ACL-Version属性结构示意图;
图3为本申请实施例提供的主机认证过程信令图;
图4为本申请实施例提供的通信装置结构图;
图5为本申请实施例提供的网络设备硬件结构体。
具体实施方式
这里将详细地对示例性实施例进行说明,其示例表示在附图中。下面的描述涉及附图时,除非另有表示,不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施例并不代表与本申请相一致的所有实施例。相反,它们仅是与如所附权利要求书中所详述的、本申请的一些方面相一致的装置和方法的例子。
在本申请使用的术语是仅仅出于描述特定实施例的目的,而非旨在限制本申请。在本申请和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式,除非上下文清楚地表示其他含义。还应当理解,本文中使用的术语“和/或”是指并包含一个或多个相对应的列出项目的任何或所有可能组合。
应当理解,尽管在本申请可能采用术语第一、第二、第三等来描述各种信息,但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如,在不脱离本申请范围的情况下,第一信息也可以被称为第二信息,类似地,第二信息也可以被称为第一信息。取决于语境,如在此所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。
下面对本申请实施例提供的通信方法进行详细地说明。参见图1,图1为本申请实施例提供的通信方法的流程图。该方法应用于RADIUS服务器。本申请实施例提供的通信方法可包括如下所示步骤。
步骤110、接收RADIUS客户端发送的认证请求报文,所述认证请求报文包括用户的用户名以及密码。
具体地,当用户想要访问网络或者取的某些网络资源的权限时,用户通过终端发起连接请求。
终端接收用户输入的用户名和密码,终端生成连接请求。该连接请求包括用户名和密码。终端向RADIUS客户端发送连接请求。RADIUS客户端接收到连接请求后,从中获取用户名和密码。RADIUS客户端生成认证请求报文,该认证请求报文包括用户名和密码。
RADIUS客户端向RADIUS服务器发送认证请求报文。RADIUS服务器接收到认证请求报文后,从中获取用户名和密码。
可以理解的是,认证请求报文内还包括终端IP地址、MAC地址、接口名称、会话ID等信息。上述信息无需用户输入,RADIUS服务器可通过RADIUS客户端与终端之间建立的连接中获取或者由RADIUS服务器自动生成。
步骤120、对所述用户名以及密码进行认证处理。
具体地,根据步骤110的描述,RADIUS服务器获取到用户名和密码后,对用户名以及密码进行认证处理。
可以理解的是,RADIUS服务器内已存储多个用户的用户信息,每个用户信息包括用户名、密码、IP地址等信息。RADIUS服务器将获取到的用户名、密码与已存储的用户信息包括的用户名、密码进行比对处理。
若获取到的用户名、密码与用户信息内包括的用户名、密码相同,则RADIUS服务器确定该终端认证通过,否则,认证未通过。
步骤130、当所述用户名以及密码认证通过时,根据所述用户名,从本地配置的用户策略中,选择与所述用户名匹配的第一用户策略,所述第一用户策略包括ACL信息,所述ACL信息包括ACL编号以及ACL类型,或者,包括ACL名称以及ACL类型。
具体地,根据步骤120的描述,RADIUS服务器对从认证请求报文中获取到的用户名、密码进行认证处理后,若认证通过,则根据用户名,RADIUS服务器从本地配置的用户策略中,选择与该用户名匹配的第一用户策略。
该第一用户策略包括ACL信息,ACL信息包括ACL编号以及ACL类型,或者,包括ACL名称以及ALC类型。
步骤140、向所述RADIUS客户端发送认证响应报文,所述认证响应报文包括所述ACL信息,以使得所述RADIUS客户端根据所述ACL信息在本地确定并配置对应的ACL。
具体地,根据步骤130的描述,RADIUS服务器选择出第一用户策略后,生成认证响应报文,该认证响应报文包括ACL信息。RADIUS服务器向RADIUS客户端发送认证响应报文。
RADIUS客户端接收到认证响应报文后,从中获取ACL信息。根据ACL信息,RADIUS客户端在本地确定对应的ACL,并将该ACL配置在对应的接口处。如此,实现了流量的访问控制。
进一步地,前述认证响应报文包括Filter-Id属性以及ACL版本(ACL-Version)属性。其中,Filter-Id属性用于携带ACL编号、ACL名称或者用户组,ACL-Version属性用于携带ACL类型。
其中,若Filter-Id属性内存储的值为数字,且Filter-Id属性的相邻属性为ACL-Version属性,则上述数字表示ACL编号,ACL-Version属性内存储的值表示ACL类型;
若Filter-Id属性内存储的值为字符串,字符串的首个字符为字母([a-z,A-Z])且Filter-Id属性的相邻属性为ACL-Version属性,则上述字符串表示ACL名称,ACL-Version属性内存储的值表示ACL类型;
若Filter-Id属性内存储的值为字符串,且Filter-Id属性的相邻属性不为ACL-Version属性(也即是,认证响应报文内未包括ACL-Version属性),则上述字符串表示用户组。
更进一步地,如图2所示,图2为本申请实施例提供的ACL-Version属性结构示意图。在图2中,ACL-Version属性包括类型(Type)字段、厂商标识(Vendor-Id)字段、厂商类型(Vendor type)字段、厂商长度(Vendor length)字段以及ACL-Version字段。ACL-Version字段用于携带ACL类型。
其中,类型字段的值为26,该类型字段用于设备厂商对RADIUS协议进行扩展;厂商标识字段的值用于表示设备厂商代号;厂商类型字段的值用于表示子属性类型;厂商长度字段的值用于表示子属性长度;ACL-Version字段的值用于表示ACL类型。
在本申请实施例中,ACL类型包括第一类型、第二类型、第三类型以及第四类型。第一类型的值为1,用于指示为IPv4类型的ACL;第二类型的值为2,用于指示为IPv6类型的ACL;第三类型的值为3,用于指示为MAC类型的ACL;第四类型的值为4,用于指示为自定义类型的ACL。
可以理解的是,每种类型的ACL均有属于自身的编号范围、使用的IP版本以及规则执行依据。编号范围、使用的IP版本以及规则执行依据可参照现有ACL手册进行配置,在此不再复述。
因此,通过应用本申请提供的通信方法,RADIUS服务器接收RADIUS客户端发送的认证请求报文,该认证请求报文包括用户的用户名以及密码;RADIUS服务器对用户名以及密码进行认证处理;当用户名以及密码认证通过时,根据用户名,RADIUS服务器从本地配置的用户策略中,选择与用户名匹配的第一用户策略,该第一用户策略包括ACL信息,所述ACL信息包括ACL编号以及ACL类型,或者,包括ACL名称以及ACL类型;RADIUS服务器向RADIUS客户端发送认证响应报文,该认证响应报文包括ACL信息,以使得RADIUS客户端根据ACL信息在本地确定并配置对应的ACL。
如此,RADIUS服务器可通过认证响应报文下发不同类型的ACL名称,也可通过认证响应报文下发不同类型的ACL编号,解决了现有RADIUS客户端内存在不同类型的同名ACL时,无法区分RADIUS服务器下发的是哪种类型的ACL的问题,使得基于RADIUS服务器授权ACL的网络更为灵活。
下面通过一个具体示例详细说明本申请实施例提供的通信方法。以图3所示的信令图为例进行说明。图3为本申请实施例提供的主机认证过程信令图。
在图3中,包括三台设备,分别为主机、RADIUS客户端以及RADIUS服务器。
当用户想要访问网络或者取的某些网络资源的权限时,用户通过终端发起连接请求。
终端接收用户输入的用户名和密码,终端生成连接请求。该连接请求包括用户名和密码。终端向RADIUS客户端发送连接请求。RADIUS客户端接收到连接请求后,从中获取用户名和密码。RADIUS客户端生成认证请求报文,该认证请求报文包括用户名和密码。
RADIUS客户端向RADIUS服务器发送认证请求报文。RADIUS服务器接收到认证请求报文后,从中获取用户名和密码。
可以理解的是,认证请求报文内还包括终端IP地址、MAC地址、接口名称、会话ID等信息。上述信息无需用户输入,RADIUS服务器可通过RADIUS客户端与终端之间建立的连接中获取或者由RADIUS服务器自动生成。
RADIUS服务器获取到用户名和密码后,对用户名以及密码进行认证处理。
可以理解的是,RADIUS服务器内已存储多个用户的用户信息,每个用户信息包括用户名、密码、IP地址等信息。RADIUS服务器将获取到的用户名、密码与已存储的用户信息包括的用户名、密码进行比对处理。
若获取到的用户名、密码与用户信息内包括的用户名、密码相同,则RADIUS服务器确定该终端认证通过,否则,认证未通过。
根据用户名,RADIUS服务器从本地配置的用户策略中,选择与该用户名匹配的第一用户策略。
该第一用户策略包括ACL信息,ACL信息包括ACL编号以及ACL类型,或者,包括ACL名称以及ALC类型。
RADIUS服务器生成认证响应报文,该认证响应报文包括ACL信息。RADIUS服务器向RADIUS客户端发送认证响应报文。
进一步地,前述认证响应报文包括Filter-Id属性以及ACL-Version属性。其中,Filter-Id属性用于携带ACL编号、ACL名称或者用户组,ACL-Version属性用于携带ACL类型。
其中,若Filter-Id属性内存储的值为数字,且Filter-Id属性的相邻属性为ACL-Version属性,则上述数字表示ACL编号,ACL-Version属性内存储的值表示ACL类型;
若Filter-Id属性内存储的值为字符串,字符串的首个字符为字母([a-z,A-Z])且Filter-Id属性的相邻属性为ACL-Version属性,则上述字符串表示ACL名称,ACL-Version属性内存储的值表示ACL类型;
若Filter-Id属性内存储的值为字符串,且Filter-Id属性的相邻属性不为ACL-Version属性(也即是,认证响应报文内未包括ACL-Version属性),则上述字符串表示用户组。
可以理解的是,RADIUS客户端接收到认证响应报文后,根据上述规则,从中获取ACL信息。根据ACL信息,RADIUS客户端在本地确定对应的ACL,并将该ACL配置在对应的接口处。如此,实现了流量的访问控制。
RADIUS客户端配置ACL后,依照现有交互规则,向RADIUS服务器发送计费开始请求报文,RADIUS返回计费开始响应报文,并开始计费。终端开始访问网络资源。当用户不再访问网络时,用户通过终端发起断开连接请求。
终端向RADIUS客户端发送断开连接请求。RADIUS客户端向RADIUS服务器发送计费停止请求报文。RADIUS服务器返回计费结束响应报文,并停止计费。RADIUS客户端通知终端结束访问网络资源。
基于同一发明构思,本申请实施例还提供了与通信方法对应的通信装置。参见图4,图4为本申请实施例提供的通信装置结构图。所述装置应用于RADIUS服务器,所述装置包括:
接收单元410,用于接收RADIUS客户端发送的认证请求报文,所述认证请求报文包括用户的用户名以及密码;
认证单元420,用于对所述用户名以及密码进行认证处理;
选择单元430,用于当所述用户名以及密码认证通过时,根据所述用户名,从本地配置的用户策略中,选择与所述用户名匹配的第一用户策略,所述第一用户策略包括ACL信息,所述ACL信息包括ACL编号以及ACL类型,或者,包括ACL名称以及ACL类型;
发送单元440,用于向所述RADIUS客户端发送认证响应报文,所述认证响应报文包括所述ACL信息,以使得所述RADIUS客户端根据所述ACL信息在本地确定并配置对应的ACL。
可选地,所述认证响应报文包括Filter-Id属性以及ACL-Version属性;
所述Filter-Id属性用于携带所述ACL编号、ACL名称或者用户组,所述ACL-Version属性用于携带所述ACL类型。
可选地,所述ACL-Version属性包括类型字段、厂商标识字段、厂商类型字段、厂商长度字段以及ACL-Version字段;
所述ACL-Version字段用于携带所述ACL类型。
可选地,若所述Filter-Id属性内存储的值为数字,且所述Filter-Id属性的相邻属性为所述ACL-Version属性,则所述数字表示所述ACL编号,所述ACL-Version属性表示所述ACL类型;
若所述Filter-Id属性内存储的值为字符串,所述字符串的首个字符为字母且所述Filter-Id属性的相邻属性为所述ACL-Version属性,则所述字符串表示所述ACL名称,所述ACL-Version属性表示所述ACL类型;
若所述Filter-Id属性内存储的值为字符串,且所述Filter-Id属性的相邻属性不为所述ACL-Version属性,则所述字符串表示所述用户组。
可选地,所述ACL类型包括第一类型、第二类型、第三类型以及第四类型;
所述第一类型的值为1,用于指示为IPv4类型的ACL;
所述第二类型的值为2,用于指示为IPv6类型的ACL;
所述第三类型的值为3,用于指示为MAC类型的ACL;
所述第四类型的值为4,用于指示为自定义类型的ACL。
因此,通过应用本申请提供的通信装置,RADIUS服务器接收RADIUS客户端发送的认证请求报文,该认证请求报文包括用户的用户名以及密码;RADIUS服务器对用户名以及密码进行认证处理;当用户名以及密码认证通过时,根据用户名,RADIUS服务器从本地配置的用户策略中,选择与用户名匹配的第一用户策略,该第一用户策略包括ACL信息,所述ACL信息包括ACL编号以及ACL类型,或者,包括ACL名称以及ACL类型;RADIUS服务器向RADIUS客户端发送认证响应报文,该认证响应报文包括ACL信息,以使得RADIUS客户端根据ACL信息在本地确定并配置对应的ACL。
如此,RADIUS服务器可通过认证响应报文下发不同类型的ACL名称,也可通过认证响应报文下发不同类型的ACL编号,解决了现有RADIUS客户端内存在不同类型的同名ACL时,无法区分RADIUS服务器下发的是哪种类型的ACL的问题,使得基于RADIUS服务器授权ACL的网络更为灵活。
基于同一发明构思,本申请实施例还提供了一种网络设备,如图5所示,包括处理器510、收发器520和机器可读存储介质530,机器可读存储介质530存储有能够被处理器510执行的机器可执行指令,处理器510被机器可执行指令促使执行本申请实施例所提供的通信方法。前述图4所示的通信装置,可采用如图5所示的网络设备硬件结构实现。
上述计算机可读存储介质530可以包括随机存取存储器(英文:Random AccessMemory,简称:RAM),也可以包括非易失性存储器(英文:Non-volatile Memory,简称:NVM),例如至少一个磁盘存储器。可选的,计算机可读存储介质530还可以是至少一个位于远离前述处理器510的存储装置。
上述处理器510可以是通用处理器,包括中央处理器(英文:Central ProcessingUnit,简称:CPU)、网络处理器(英文:Network Processor,简称:NP)等;还可以是数字信号处理器(英文:Digital Signal Processor,简称:DSP)、专用集成电路(英文:ApplicationSpecific Integrated Circuit,简称:ASIC)、现场可编程门阵列(英文:Field-Programmable Gate Array,简称:FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。
本申请实施例中,处理器510通过读取机器可读存储介质530中存储的机器可执行指令,被机器可执行指令促使能够实现处理器510自身以及调用收发器520执行前述本申请实施例描述的通信方法。
另外,本申请实施例提供了一种机器可读存储介质530,机器可读存储介质530存储有机器可执行指令,在被处理器510调用和执行时,机器可执行指令促使处理器510自身以及调用收发器520执行前述本申请实施例描述的通信方法。
上述装置中各个单元的功能和作用的实现过程具体详见上述方法中对应步骤的实现过程,在此不再赘述。
对于装置实施例而言,由于其基本对应于方法实施例,所以相关之处参见方法实施例的部分说明即可。以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本申请方案的目的。本领域普通技术人员在不付出创造性劳动的情况下,即可以理解并实施。
对于通信装置以及机器可读存储介质实施例而言,由于其涉及的方法内容基本相似于前述的方法实施例,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
以上所述仅为本申请的较佳实施例而已,并不用以限制本申请,凡在本申请的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本申请保护的范围之内。
Claims (10)
1.一种通信方法,其特征在于,所述方法应用于RADIUS服务器,所述方法包括:
接收RADIUS客户端发送的认证请求报文,所述认证请求报文包括用户的用户名以及密码;
对所述用户名以及密码进行认证处理;
当所述用户名以及密码认证通过时,根据所述用户名,从本地配置的用户策略中,选择与所述用户名匹配的第一用户策略,所述第一用户策略包括ACL信息,所述ACL信息包括ACL编号以及ACL类型,或者,包括ACL名称以及ACL类型;
向所述RADIUS客户端发送认证响应报文,所述认证响应报文包括所述ACL信息,以使得所述RADIUS客户端根据所述ACL信息在本地确定并配置对应的ACL。
2.根据权利要求1所述的方法,其特征在于,所述认证响应报文包括Filter-Id属性以及ACL-Version属性;
所述Filter-Id属性用于携带所述ACL编号、ACL名称或者用户组,所述ACL-Version属性用于携带所述ACL类型。
3.根据权利要求2所述的方法,其特征在于,所述ACL-Version属性包括类型字段、厂商标识字段、厂商类型字段、厂商长度字段以及ACL-Version字段;
所述ACL-Version字段用于携带所述ACL类型。
4.根据权利要求2所述的方法,其特征在于,若所述Filter-Id属性内存储的值为数字,且所述Filter-Id属性的相邻属性为所述ACL-Version属性,则所述数字表示所述ACL编号,所述ACL-Version属性表示所述ACL类型;
若所述Filter-Id属性内存储的值为字符串,所述字符串的首个字符为字母且所述Filter-Id属性的相邻属性为所述ACL-Version属性,则所述字符串表示所述ACL名称,所述ACL-Version属性表示所述ACL类型;
若所述Filter-Id属性内存储的值为字符串,且所述Filter-Id属性的相邻属性不为所述ACL-Version属性,则所述字符串表示所述用户组。
5.根据权利要求2所述的方法,其特征在于,所述ACL类型包括第一类型、第二类型、第三类型以及第四类型;
所述第一类型的值为1,用于指示为IPv4类型的ACL;
所述第二类型的值为2,用于指示为IPv6类型的ACL;
所述第三类型的值为3,用于指示为MAC类型的ACL;
所述第四类型的值为4,用于指示为自定义类型的ACL。
6.一种通信装置,其特征在于,所述装置应用于RADIUS服务器,所述装置包括:
接收单元,用于接收RADIUS客户端发送的认证请求报文,所述认证请求报文包括用户的用户名以及密码;
认证单元,用于对所述用户名以及密码进行认证处理;
选择单元,用于当所述用户名以及密码认证通过时,根据所述用户名,从本地配置的用户策略中,选择与所述用户名匹配的第一用户策略,所述第一用户策略包括ACL信息,所述ACL信息包括ACL编号以及ACL类型,或者,包括ACL名称以及ACL类型;
发送单元,用于向所述RADIUS客户端发送认证响应报文,所述认证响应报文包括所述ACL信息,以使得所述RADIUS客户端根据所述ACL信息在本地确定并配置对应的ACL。
7.根据权利要求6所述的装置,其特征在于,所述认证响应报文包括Filter-Id属性以及ACL-Version属性;
所述Filter-Id属性用于携带所述ACL编号、ACL名称或者用户组,所述ACL-Version属性用于携带所述ACL类型。
8.根据权利要求7所述的装置,其特征在于,所述ACL-Version属性包括类型字段、厂商标识字段、厂商类型字段、厂商长度字段以及ACL-Version字段;
所述ACL-Version字段用于携带所述ACL类型。
9.根据权利要求7所述的装置,其特征在于,若所述Filter-Id属性内存储的值为数字,且所述Filter-Id属性的相邻属性为所述ACL-Version属性,则所述数字表示所述ACL编号,所述ACL-Version属性表示所述ACL类型;
若所述Filter-Id属性内存储的值为字符串,所述字符串的首个字符为字母且所述Filter-Id属性的相邻属性为所述ACL-Version属性,则所述字符串表示所述ACL名称,所述ACL-Version属性表示所述ACL类型;
若所述Filter-Id属性内存储的值为字符串,且所述Filter-Id属性的相邻属性不为所述ACL-Version属性,则所述字符串表示所述用户组。
10.根据权利要求7所述的装置,其特征在于,所述ACL类型包括第一类型、第二类型、第三类型以及第四类型;
所述第一类型的值为1,用于指示为IPv4类型的ACL;
所述第二类型的值为2,用于指示为IPv6类型的ACL;
所述第三类型的值为3,用于指示为MAC类型的ACL;
所述第四类型的值为4,用于指示为自定义类型的ACL。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210014301.4A CN114785534B (zh) | 2022-01-06 | 2022-01-06 | 通信方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210014301.4A CN114785534B (zh) | 2022-01-06 | 2022-01-06 | 通信方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN114785534A CN114785534A (zh) | 2022-07-22 |
| CN114785534B true CN114785534B (zh) | 2023-10-27 |
Family
ID=82424234
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202210014301.4A Active CN114785534B (zh) | 2022-01-06 | 2022-01-06 | 通信方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN114785534B (zh) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115442256B (zh) * | 2022-08-05 | 2023-08-29 | 武汉思普崚技术有限公司 | 用于监听用户上下线的稳定性测试的方法及相关设备 |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1744597A (zh) * | 2004-09-01 | 2006-03-08 | 华为技术有限公司 | IPv6网络中主机用户获取IP地址参数的方法 |
| WO2007019755A1 (fr) * | 2005-08-19 | 2007-02-22 | Huawei Technologies Co., Ltd. | Méthode pour fournir différentes qualités de service de flux de données |
| WO2015003379A1 (zh) * | 2013-07-12 | 2015-01-15 | 华为技术有限公司 | 一种数据通信方法、设备和系统 |
| CN104601566A (zh) * | 2015-01-08 | 2015-05-06 | 杭州华三通信技术有限公司 | 认证方法以及装置 |
| CN111327599A (zh) * | 2020-01-21 | 2020-06-23 | 新华三信息安全技术有限公司 | 一种认证过程的处理方法及装置 |
| CN111654485A (zh) * | 2020-05-26 | 2020-09-11 | 新华三信息安全技术有限公司 | 一种客户端的认证方法以及设备 |
| CN113438081A (zh) * | 2021-06-16 | 2021-09-24 | 新华三大数据技术有限公司 | 一种认证方法、装置及设备 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US11303727B2 (en) * | 2019-04-30 | 2022-04-12 | Jio Platforms Limited | Method and system for routing user data traffic from an edge device to a network entity |
-
2022
- 2022-01-06 CN CN202210014301.4A patent/CN114785534B/zh active Active
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1744597A (zh) * | 2004-09-01 | 2006-03-08 | 华为技术有限公司 | IPv6网络中主机用户获取IP地址参数的方法 |
| WO2007019755A1 (fr) * | 2005-08-19 | 2007-02-22 | Huawei Technologies Co., Ltd. | Méthode pour fournir différentes qualités de service de flux de données |
| WO2015003379A1 (zh) * | 2013-07-12 | 2015-01-15 | 华为技术有限公司 | 一种数据通信方法、设备和系统 |
| CN104601566A (zh) * | 2015-01-08 | 2015-05-06 | 杭州华三通信技术有限公司 | 认证方法以及装置 |
| CN111327599A (zh) * | 2020-01-21 | 2020-06-23 | 新华三信息安全技术有限公司 | 一种认证过程的处理方法及装置 |
| CN111654485A (zh) * | 2020-05-26 | 2020-09-11 | 新华三信息安全技术有限公司 | 一种客户端的认证方法以及设备 |
| CN113438081A (zh) * | 2021-06-16 | 2021-09-24 | 新华三大数据技术有限公司 | 一种认证方法、装置及设备 |
Non-Patent Citations (1)
| Title |
|---|
| 802.1x访问控制技术在信息安全等级保护建设中的应用与分析;李安虎;崔爱菊;宋庆磊;;计算机应用(第S2期);全文 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN114785534A (zh) | 2022-07-22 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN100486173C (zh) | 使用便携式存储媒质配置瘦客户机设备的网络设置 | |
| US8605582B2 (en) | IP network system and its access control method, IP address distributing device, and IP address distributing method | |
| EP1555789B1 (en) | Xml schema for network device configuration | |
| US10142159B2 (en) | IP address allocation | |
| US8543679B2 (en) | Method and device for creating management object instance in management tree of terminal device | |
| US20050197099A1 (en) | Cellular device security apparatus and method | |
| CN101379795A (zh) | 在由认证服务器检查客户机证书的同时由dhcp服务器进行地址分配 | |
| EP1690189B1 (en) | On demand session provisioning of ip flows | |
| CN108494638A (zh) | 一种配置设备入网的方法、路由器、终端及介质 | |
| EP3562187A1 (en) | Method, apparatus, and system for performing authentication on terminal in wireless local area network | |
| CN107528712A (zh) | 访问权限的确定、页面的访问方法及装置 | |
| CN114785534B (zh) | 通信方法及装置 | |
| EP4150933A1 (en) | Onboarding devices in standalone non-public networks | |
| CN111065090A (zh) | 一种建立网络连接的方法及无线路由设备 | |
| US20040030800A1 (en) | Data networks | |
| JP2010283553A (ja) | 機器の種類に基づいたネットワーク管理方法、ネットワーク管理装置、プログラム | |
| CN110120932B (zh) | 多路径建立方法及装置 | |
| US20190171610A1 (en) | Managing actions of a network device based on policy settings corresponding to a removable wireless communication device | |
| US9319416B2 (en) | Priority based radius authentication | |
| CN106535189B (zh) | 网络访问控制信息配置方法、装置及出口网关 | |
| WO2009153402A1 (en) | Method, arrangement and computer program for authentication data management | |
| JP2003318939A (ja) | 通信システムおよびその制御方法 | |
| CN112534880B (zh) | 利用扩展的网络接入标识符将网络组件与网络、特别是移动无线电网络连接的计算机实现的方法和网络接入服务器 | |
| CN105578498B (zh) | 一种终端网络管理的方法及设备 | |
| CN109429225A (zh) | 消息接收、发送方法及装置、终端、网络功能实体 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |