CN116827629A - 一种资源访问方法、装置、设备及存储介质 - Google Patents

一种资源访问方法、装置、设备及存储介质 Download PDF

Info

Publication number
CN116827629A
CN116827629A CN202310769053.9A CN202310769053A CN116827629A CN 116827629 A CN116827629 A CN 116827629A CN 202310769053 A CN202310769053 A CN 202310769053A CN 116827629 A CN116827629 A CN 116827629A
Authority
CN
China
Prior art keywords
user
resource
equipment
controller
sdwan
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202310769053.9A
Other languages
English (en)
Inventor
王国利
常芳妍
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
New H3C Security Technologies Co Ltd
Original Assignee
New H3C Security Technologies Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by New H3C Security Technologies Co Ltd filed Critical New H3C Security Technologies Co Ltd
Priority to CN202310769053.9A priority Critical patent/CN116827629A/zh
Publication of CN116827629A publication Critical patent/CN116827629A/zh
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0807Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/46Interconnection of networks
    • H04L12/4633Interconnection of networks using encapsulation techniques, e.g. tunneling
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Telephonic Communication Services (AREA)

Abstract

本申请提供了一种资源访问方法、装置、设备及存储介质,该方法应用于用户的用户设备接入SDWAN组网中的首设备中,SDWAN组网还包括控制器;该方法为:接收用户设备发送的数据报文,数据报文包括用户访问的目标资源的资源信息和用户的用户令牌,该资源信息和用户令牌为用户在控制器上认证成功后分配的;若根据用户令牌对用户认证通过后,根据资源信息和本地存储的用户对应的资源信息,确认用户是否具有访问目标资源的访问权限;若具有访问权限,则按照首设备与下一跳设备之间的SDWAN隧道的格式对数据报文进行重新封装处理,得到隧道数据报文;将隧道数据报文通过SDWAN隧道发送给下一跳设备。

Description

一种资源访问方法、装置、设备及存储介质
技术领域
本申请涉及通信技术领域,尤其涉及一种资源访问方法、装置、设备及存储介质。
背景技术
SDWAN(Software Defined Wide Area Network,软件定义广域网)是将SDN技术应用到广域网的一种VPN技术。控制平面通过SSL/MP-BGP(Secure Sockets Layer/Multiprotocol Border Gateway Protocol,安全套接字层/多协议边界网关协议)通告TTE(Transport Tunnel Endpoint,传输隧道端点)信息,实现CPE(Customer Provided Edge,用户边缘设备)之间、CPE与RR(Route Reflector,路由反射器)等不同站点间SDWAN隧道的建立,并通过MP-BGP在不同站点间发布私网路由;数据平面采用UDP(User DatagramProtocol,用户数据报协议)或SRv6(Segment Route Over IPv6)封装转发数据流量,通过IPsec等安全机制来确保数据的安全传输,为分散在广阔地理范围内的企业网络、数据中心等提供安全可靠的互联服务。
但是,该SDWAN组网中在进行数据流量转发时,存在如下问题:不能对数据流量进行身份鉴权认证,以阻止非法访问,无法控制访问粒度;另外,会造成链路带宽的浪费且成本较高。
发明内容
有鉴于此,本申请提供一种资源访问方法、装置、设备及存储介质,用以在访问SDWAN组网中资源时,实现对访问流量的鉴权,保证SDWAN组网的安全性。
具体地,本申请是通过如下技术方案实现的:
根据本申请的第一方面,提供一种资源访问方法,应用于用户的用户设备接入SDWAN组网中的首设备中,所述SDWAN组网还包括控制器;所述方法,包括:
接收所述用户设备发送的数据报文,所述数据报文包括所述用户访问的目标资源的资源信息和所述用户的用户令牌,其中,所述资源信息和所述用户令牌为所述用户在所述控制器上认证成功后分配的;
若根据所述用户令牌对所述用户认证通过后,则根据所述资源信息和本地存储的所述用户对应的资源信息,确认所述用户是否具有访问所述目标资源的访问权限,所述用户对应的资源信息为所述控制器在对所述用户认证通过后下的;
若具有访问权限,则按照所述首设备与下一跳设备之间的SDWAN隧道对所述数据报文进行重新封装处理,得到隧道数据报文;
将所述隧道数据报文通过所述SDWAN隧道发送给所述下一跳设备。
根据本申请的第二方面,提供另一种资源访问方法,应用于SDWAN组网中的控制器中,所述方法,包括:
接收用户通过用户设备发送的认证请求,所述认证请求携带所述用户的用户信息;
若根据所述用户信息对所述用户认证通过后,为所述用户分配用户令牌,并确定允许所述用户访问的资源的资源信息;
向所述用户设备发送所述用户令牌和允许所述用户访问的资源的资源信息;
向所述用户接入所述SDWAN中的首设备发送所述用户上线的上线消息,所述上线消息携带允许所述用户访问的资源的资源信息和为所述用户分配的用户令牌。
根据本申请的第三方面,提供一种资源访问装置,设置于用户的用户设备接入SDWAN组网中的首设备中,所述SDWAN组网还包括控制器;所述装置,包括:
接收模块,用于接收所述用户设备发送的数据报文,所述数据报文包括所述用户访问的目标资源的资源信息和所述用户的用户令牌,其中,所述资源信息和所述用户令牌为所述用户在所述控制器上认证成功后分配的;
确认模块,用于若根据所述用户令牌对所述用户认证通过后,则根据所述资源信息和本地存储的所述用户对应的资源信息,确认所述用户是否具有访问所述目标资源的访问权限,所述用户对应的资源信息为所述控制器在对所述用户认证通过后下的;
封装模块,用于若所述确认模块具有访问权限,则按照所述首设备与下一跳设备之间的SDWAN隧道对所述数据报文进行重新封装处理,得到隧道数据报文;
发送模块,用于将所述隧道数据报文通过所述SDWAN隧道发送给所述下一跳设备。
根据本申请的第四方面,提供另一种资源访问装置,设置于SDWAN组网中的控制器中,所述装置,包括:
接收模块,用于接收用户通过用户设备发送的认证请求,所述认证请求携带所述用户的用户信息;
分配模块,用于若根据所述用户信息对所述用户认证通过后,为所述用户分配用户令牌,并确定允许所述用户访问的资源的资源信息;
发送模块,用于向所述用户设备发送所述用户令牌和允许所述用户访问的资源的资源信息;向所述用户接入所述SDWAN中的首设备发送所述用户上线的上线消息,所述上线消息携带允许所述用户访问的资源的资源信息和为所述用户分配的用户令牌。
根据本申请的第五方面,提供一种电子设备,包括处理器和机器可读存储介质,机器可读存储介质存储有能够被处理器执行的计算机程序,处理器被计算机程序促使执行本申请实施例第一方面或第二方面所提供的方法。
根据本申请的第六方面,提供一种机器可读存储介质,机器可读存储介质存储有计算机程序,在被处理器调用和执行时,计算机程序促使处理器执行本申请实施例第一方面或第二方面所提供的方法。
本申请实施例的有益效果:
本申请实施例提供的资源访问方法、装置、设备及存储介质,接收所述用户设备发送的数据报文,所述数据报文包括所述用户访问的目标资源的资源信息和所述用户的用户令牌,其中,所述资源信息和所述用户令牌为所述用户在所述控制器上认证成功后分配的;若根据所述用户令牌对所述用户认证通过后,则根据所述资源信息和本地存储的所述用户对应的资源信息,确认所述用户是否具有访问所述目标资源的访问权限,所述用户对应的资源信息为所述控制器在对所述用户认证通过后下的;若具有访问权限,则按照所述首设备与下一跳设备之间的SDWAN隧道对所述数据报文进行重新封装处理,得到隧道数据报文;将所述隧道数据报文通过所述SDWAN隧道发送给所述下一跳设备。由此一来,在实现用户访问SDWAN组网中资源的同时,也能够对用户的身份及资源的访问权限进行鉴权认证,避免非法访问所导致的SDWAN组网中资源的安全受到威胁。
附图说明
图1是本申请实施例提供的一种资源访问方法的流程示意图;
图2是本申请实施例提供的另一种资源访问方法的流程示意图;
图3是本申请实施例提供的一种资源访问装置的结构示意图;
图4是本申请实施例提供的另一种资源访问装置的结构示意图;
图5是本申请实施例提供的一种实施资源访问方法的电子设备的硬件结构示意图。
具体实施方式
这里将详细地对示例性实施例进行说明,其示例表示在附图中。下面的描述涉及附图时,除非另有表示,不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本申请相一致的所有实施方式。相反,它们仅是与如本申请的一些方面相一致的装置和方法的例子。
在本申请使用的术语是仅仅出于描述特定实施例的目的,而非旨在限制本申请。在本申请中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式,除非上下文清楚地表示其他含义。还应当理解,本文中使用的术语“和/或”是指并包含一个或多个相对应的列出项目的任何或所有可能组合。
应当理解,尽管在本申请可能采用术语第一、第二、第三等来描述各种信息,但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如,在不脱离本申请范围的情况下,第一信息也可以被称为第二信息,类似地,第二信息也可以被称为第一信息。取决于语境,如在此所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。
下面对本申请提供的资源访问方法进行详细地说明。
参见图1,图1是本申请提供的一种资源访问方法的流程图,该方法可以应用于用户的用户设备接入SDWAN组网中的首设备中,该SDWAN组网还包括控制器;在此基础上,上述首设备在实施上述资源访问方法时,可包括如下所示步骤:
S101、接收用户设备发送的数据报文。
其中,上述数据报文包括所述用户访问的目标资源的资源信息和所述用户的用户令牌,其中,所述资源信息和所述用户令牌为所述用户在所述控制器上认证成功后分配的。
本步骤中,在用户需要访问SDWAN组网中的资源时,会通过用户设备先向SDWAN组网中的控制器进行认证,控制器在对该用户认证通过后,会为该用户分配用于接入SDWAN的用户令牌,该用户令牌可以理解为用户接入SDWAN的钥匙。若用户没有用户令牌,就无法接入SDWAN组网中。
此外,上述资源信息也为控制器在对该用户认证通过后,会为该用户分配其能够访问的SDWAN组网中的资源,然后将对应资源的资源信息通过用户设备反馈给该用户。
这样,用户在接收到上述资源信息后,就可以确认其当前要访问的资源,然后就可以基于该用户令牌向SDWAN组网中的首设备发送数据报文,以到达发访问所期望访问的资源的目的。
在此基础上,当SDWAN中的首设备在接收到该数据报文后,为了保证SDWAN组网中数据的安全性,首设备会基于该数据报文对用户进行认证。
S102、若根据所述用户令牌对所述用户认证通过后,则根据所述资源信息和本地存储的所述用户对应的资源信息,确认所述用户是否具有访问所述目标资源的访问权限。
其中,上述用户对应的资源信息为所述控制器在对所述用户认证通过后下的。
本步骤中,首设备在对该用户进行认证时,可以从数据报文中解析出用户令牌和该用户所要访问的资源的资源信息。首设备先根据解析出的用户令牌对该用户进行认证,例如,控制器在对该用户认证通过后,可以将为该用户分配的用户令牌,以及允许该用户访问的资源的资源信息,并在本地存储;这样,首设备在接收到控制器反馈的上述信息后,就可以对该用户进行认证,例如,若控制器返回的用户令牌与数据报文中解析的用户令牌一致,则表明该用户是可信的,允许其接入SDWAN组网中;若不一致,则表明该用户不可信,不能接入SDWAN组网中,在此基础上,就可以丢弃该数据报文。另外,不同的用户对应的能够访问的资源的资源权限不同,因此,为了保证SDWAN组网中资源的安全性,会基于控制器返回的资源的资源信息与数据报文中的资源信息,以确认用户是否具有所请求的目标资源的访问权限。具体来说,若本地存储的该用户对应的资源信息包含目标资源的资源信息,则表明该用户具有访问目标资源的访问权限。若不包含目标资源的资源信息,则表明该用户不具有访问目标资源的访问权限。
S103、若具有访问权限,则按照所述首设备与下一跳设备之间的SDWAN隧道对所述数据报文进行重新封装处理,得到隧道数据报文。
本步骤中,当首设备确认用户具有访问SDWAN组网中目标资源的访问权限时,才会将数据报文转发到SDWAN组网。而在转发数据报文之前,由于SDWAN组网中设备之间需要通过SDWAN隧道进行通信,即首设备与下一跳设备之间需要通过SDWAN隧道进行通信,因此,首设备需要按照SDWAN隧道对报文的格式要求对数据报文进行重新封装处理,从而得到能够在SDWAN隧道传输的隧道数据报文。
若不具有访问权限,则丢弃该数据报文。此外,还可以向用户设备反馈提示信息,如访问失败的指示信息。
S104、将所述隧道数据报文通过所述SDWAN隧道发送给所述下一跳设备。
本步骤中,在得到隧道数据报文后,就可以通过首设备与下一跳设备之间的SDWAN隧道将隧道数据报文转发给下一跳设备。由此一来,也就实现了对访问SDWAN组网中资源的用户进行鉴权认证,实现对访问粒度的控制。
至此,通过提供上述实施例提供的资源访问方法,SDWAN组网中的首设备在实现用户访问SDWAN组网中资源的同时,也能够对用户的身份及资源的访问权限进行鉴权认证,避免非法访问所导致的SDWAN组网中资源的安全受到威胁。
可选地,基于上述任一实施例,本实施例中,上述首设备可以但不限于为CPE设备或RR设备。
可选地,基于上述实施例,本实施例中,在实施步骤S101之前,首设备还可以执行下述过程:接收用户设备发送的单包授权认证SPA报文,以与首设备之间建立通信连接,上述SPA报文为所述用户在向所述控制器发送认证请求,并在所述控制器对所述用户认证通过后发送的;根据所述SPA报文,对所述用户进行认证;在认证成功后,与所述用户设备建立所述通信连接。
本步骤中,用户设备在控制器侧认证通过后,要访问目标资源之前,需要先与首设备建立通信连接,在建立完通信连接后,再执行步骤S101。而为了保证SDWAN组网的安全性,用户设备可以向首设备发送SPA报文,以用于与首设备建立通信连接。因此,首设备在接收到该SPA报文后,可以基于该SPA报文对该用户再次进行认证,以提升访问SDWAN组网的安全性,在基于该SPA报文对用户认证通过后,则与上述用户设备建立通信连接。
具体来说,首设备在认证通过后,可以向用户设备发送认证通过的通知,这样,用户设备可以在首设备对其认证通过后,向首设备发送SSL握手请求,首设备在接收到该连接请求后,会向用户设备反馈响应结果,若响应结果为确认,则表明成功建立与首设备之间的通信连接。需要说明的是,上述通信连接可以但不限于为SSLvpn隧道连接。
此外,当上述通信连接未SSLvpn隧道时,首设备在基于数据报文确认用户具有访问目标资源的访问权限时,就可以按照SSLvpn对数据报文进行解封装,以解析出欲发往目标资源对应的资源服务器的负载数据,然后将该负载数据按照SDWAN隧道对该负载数据进行重新封装处理,从而得到符合SDWAN隧道的隧道数据报文,并按照SDWAN隧道转发给下一跳设备。
基于上述任一实施例,控制器在向用户反馈资源的资源信息时,可以以资源列表的形式反馈。以及控制器在向用户反馈上述各信息的同时,还可以向用户反馈用于与首设备交互的首设备的地址信息,以便用户设备接收到该地址信息后,当用户需要访问目标资源时,就可以通过上述地址信息与首设备进行通信,如利用上述地址信息建立上述隧道连接,以及利用该地址信息向首设备发送数据报文。
可选地,基于上述任一实施例,本实施例提供的资源访问方法,还可以包括下述过程:接收控制器发送的所述用户的下线消息;根据所述下线消息,删除本地存储的所述用户的相关信息。
具体地,为了减轻首设备存储本地需要维护的用户的相关信息及用户能够访问的资源的资源信息的存储压力,以及避免存储资源的浪费,本实施例提出,控制器在确认用户下线后,会向维护该用户的相关信息的设备发送下线消息。因此,若上述用户下线,则控制器会向首设备发送该用户下线的下线消息,进而,首设备在接收到该下线消息时,就可以删除本地维护的该用户的相关信息,以及删除该用户对应的资源的资源信息,这样一来,不仅能够减轻首设备的存储压力,而且也能让释放的存储资源为其他新上线的用户提供服务。
此外,控制器可以通过其与首设备之间的管理通道向首设备发送下线消息。
可选地,基于上述任一实施例,本实施例提供的资源访问方法,还可以包括下述过程:在控制器上进行注册,以指示所述首设备已上线;在上线成功后,接收所述控制器下发的配置数据和所述首设备提供服务的资源的资源信息。
具体地,首设备在提供身份鉴权服务之前,可以向控制器进行注册,例如,向控制器发送注册请求,以指示其已上线。控制器接收到首设备发送的注册请求后,会记录首设备的相关信息;以及向首设备发送对应的配置数据和该首设备所要提供服务的资源的资源信息。具体来说,由于首设备本身还需要提供SDWAN服务,故控制器除了下发上述资源信息外,还需要下发配置数据,如,上述配置数据可以但不限于为网络基础配置数据、VPN业务参数、智能选路和IPsec等配置数据。
此外,控制器可以通过其与首设备之间的管理通道下发上述配置数据和资源信息。此外,首设备等组网中其他网络设备也可以通过管理通道,向控制器上报网络运维等需要的信息等。
可选地,基于上述任一实施例,本实施例提供的资源访问方法,还可以包括下述过程:接收控制器反馈的所述用户的访问权限发生变更后能够访问的资源的资源信息;在接收到所述用户在访问权限变更后的数据报文时,根据变更后的资源的资源信息确认所述用户是否具有访问所述数据报文所请求的资源的访问权限。
具体地,为了保证SDWAN组网的安全性,以及避免组网中资源的相关信息的泄漏的情况发生,控制器会对用户的资源访问权限进行监测。当监测到用户的资源访问权限发生变更后,控制器会确定该用户变更后能够访问的资源的资源信息,然后将确定出的资源信息下发给首设备。这样,首设备就可以更新本地存储的资源的资源信息。之后,首设备在接收到用户发生的数据报文后,就可以基于更新后的资源的资源信息来确认用户是否具有用户本次的数据报文所请求的资源的访问权限。由此一来,也就保证了SDWAN组网中资源的安全性。
基于上述任一实施例,本实施例中,上述资源可以但不限于为SDWAN组网中的业务的业务资源等等,如应用资源等。
基于同一发明构思,本实施例还提供了一种控制器实施的资源访问方法,参考图2所示的资源访问方法的流程示意图。该控制器在实施上述方法时,可包括如下所示步骤:
S201、接收用户通过用户设备发送的认证请求,所述认证请求携带所述用户的用户信息。
本步骤中,用户在需要访问SDWAN组网中的资源时,需要先向SDWAN组网中的控制器进行认证,故会通过用户设备发送认证请求,为了让控制器对其认证通过,上述认证请求中会携带用户的用户信息。
具体来说,用户设备在发送认证请求时,可以通过发送SPA报文实现,该SPA报文中会携带用户的用户信息。需要说明的是,该用户信息可以但不限于包括用户名等等。
值得注意的是,上述用户设备可以通过管理通过向控制器进行注册,以向控制器发送该用户的用户信息,在该用户设备在控制器上注册成功后,控制器就可以将其确认可信设备,由此一来,控制器就可以在接收到认证请求后,基于注册时记录的用户信息对用户进行认证。
S202、若根据所述用户信息对所述用户认证通过后,为所述用户分配用户令牌,并确定允许所述用户访问的资源的资源信息。
本步骤中,控制器在接收到上述认证请求后,会就可以从认证请求中解析出用户信息。然后基于该用户信息对该用户进行认证。具体来说,该用户的用户信息会在控制器中进行预先记录,因此,控制器可以判断本地存储的用户信息与认证请求中的用户信息是否一致,当一致时,表明该用户是可信的,在此基础上,控制器会为该用户分配用于后续访问资源所需的用户令牌token,同时也可以根据该用户的用户信息确认该用户能够访问的SDWAN组网中的资源的资源信息;而当不一致时,表明对该用户认证不通过,可以向用户设备发送认证失败的认证结果。
S203、向所述用户设备发送所述用户令牌和允许所述用户访问的资源的资源信息。
本步骤中,控制器在得到上述用户令牌和资源信息后,就可以将其发送给用户设备,以便用户基于上述内容进行SDWAN组网中资源的访问。
S204、向用户接入所述SDWAN中的首设备发送所述用户上线的上线消息,所述上线消息携带允许所述用户访问的资源的资源信息和为所述用户分配的用户令牌。
本步骤中,控制器在为用户分配允许其访问的资源后,后续用户在访问资源之前,需要先到达用于身份鉴权的设备,因此,控制器中会为该用户分配用于对该用户的访问情况进行鉴权的设备,然后会记录该用户的资源的资源信息与分配的设备的设备信息之间的对应关系。相应地,基于该用户,控制器会记录允许该用户访问的资源的资源信息与首设备的设备信息之间的对应关系。在此基础上,控制器会向首设备下发该用户的用户信息、用户令牌及上述资源信息,以便首设备进行记录,进而在接收到用户的用户设备发送的数据报文后,基于记录的上述信息对该用户进行鉴权认证。
控制器实施上述资源访问方法中,控制器在对用户认证通过后,通过向用户设备发送所述用户令牌和允许所述用户访问的资源的资源信息;向用户接入所述SDWAN中的首设备发送所述用户上线的上线消息,这样,SDWAN组网中的首设备就可以基于接收到的信息对用户访问目标资源时进行鉴权,由此,在实现用户访问SDWAN组网中资源的同时,也能够对用户的身份及资源的访问权限进行鉴权认证,避免非法访问所导致的SDWAN组网中资源的安全受到威胁。
此外,控制器在向用户反馈资源的资源信息时,可以以资源列表的形式反馈。以及控制器在向用户反馈上述各信息的同时,还可以向用户反馈用于与首设备交互的首设备的地址信息,以便用户设备接收到该地址信息后,当用户需要访问目标资源时,就可以通过上述地址信息与首设备进行通信,如利用上述地址信息建立上述隧道连接,以及利用该地址信息向首设备发送数据报文。
可选地,基于上述实施例,本实施例提供的资源访问方法,还可以包括下述过程:若用户的访问权限发生变更时,则向所述首设备发送变更后所述用户能够访问的资源的资源信息。
具体地,为了保证SDWAN组网的安全性,以及避免组网中资源的相关信息的泄漏的情况发生,控制器会对用户的资源访问权限进行监测。当监测到用户的资源访问权限发生变更后,控制器会确定该用户变更后能够访问的资源的资源信息,然后将确定出的资源信息下发给首设备,以便首设备及时对该用户的访问权限进行更新处理。
可选地,基于上述实施例,本实施例提供的资源访问方法,还可以包括下述过程:接收所述用户的下线请求;向所述首设备发送所述用户的下线消息。
具体地,为了减轻首设备存储本地需要维护的用户的相关信息及用户能够访问的资源的资源信息的存储压力,以及避免存储资源的浪费,本实施例提出,控制器在确认用户下线后,会向维护该用户的相关信息的设备发送下线消息。因此,若上述用户下线,则控制器会向首设备发送该用户下线的下线消息,以便首设备及时对该用户进行下线处理。
具体地,控制器可以通过其与首设备之间的管理通道向首设备发送下线消息。
可选地,基于上述实施例,本实施例提供的资源访问方法,还可以包括下述过程:接收首设备发送的注册请求,所述注册请求用于指示所述首设备已上线;在上线成功后,向所述首设备下发配置数据和所述首设备提供服务的资源的资源信息。
具体地,首设备在提供身份鉴权服务之前,可以向控制器进行注册,例如,向控制器发送注册请求,以指示其已上线。控制器接收到首设备发送的注册请求后,会记录首设备的相关信息;以及向首设备发送对应的配置数据和该首设备所要提供服务的资源的资源信息。具体来说,由于首设备本身还需要提供SDWAN服务,故控制器除了下发上述资源信息外,还需要下发配置数据,如,上述配置数据可以但不限于为网络基础配置数据、VPN业务参数、智能选路和IPsec等配置数据。
此外,控制器可以通过其与首设备之间的管理通道下发上述配置数据和资源信息。此外,首设备等组网中其他网络设备也可以通过管理通道,向控制器上报网络运维等需要的信息等。
基于上述任一实施例,本实施例中,上述资源可以但不限于为SDWAN组网中的业务的业务资源等等,如应用资源等。
为了更好地理解本实施例,以首设备为SDWAN组网中的CPE设备、上述资源为应用资源为例进行说明,则用户设备、CPE设备、控制器在实施上述资源访问方法时的交互过程可以包括以下步骤:
步骤1、CPE设备在控制器上进行注册,以完成CPE设备上线;在上线成功后,向CPE设备发送下发配置及所属SDWAN组网中的应用资源的资源信息。
步骤2、用户设备向控制器发送第一SPA报文,以用于上线认证。
步骤3、用户设备向控制器发送登录请求,控制器基于登录请求与第一SPA报文对用户认证成功后,为该用户分配IP地址、用户令牌、所能访问的资源的资源信息,以用于后续资源访问。
步骤4、控制器向用户设备反馈登录成功的结果,同时设置cookie,并下发上述IP地址和应用资源列表。
步骤5、控制器向CPE设备发送该用户的上线消息,该上线消息携带用户名、用户令牌、用户设备的IP地址、该用户所能访问的资源的资源信息等等。
步骤6、用户设备在需要访问目标资源时,就可以基于控制器反馈的资源对应的地址信息,向该地址信息对应的设备(如CPE设备)发送第二SPA报文,以与该CPE设备建立通信连接,CPE设备根据该第二SPA报文对用户进行认证。
步骤7、用户设备向CPE设备发送SSL握手请求。
步骤8、CPE设备向用户设备反馈请求的响应结果,以建立SSLvpn隧道。
步骤9、用户通过用户设备向CPE设备发送目标资源的数据报文,该数据报文携带用户令牌、目标资源的资源信息。
步骤10:CPE设备对数据报文进行解封装处理,然后若根据用户令牌对所述用户认证通过后,则根据上述资源信息和本地存储的用户对应的资源信息,确认用户是否具有访问所述目标资源的访问权限。
步骤11、CPE设备当对该用户权限检查通过后,按照SDWAN隧道格式对数据报文进行重新封装处理,得到隧道数据报文;
步骤12、将隧道数据报文转发给目标资源的资源服务器。
步骤13、控制器会对用户进行动态风险评估,当根据风险评估结果确认需要调整用户的资源的访问权限时,可以通知CPE设备变更用户可访问的资源。
步骤14、之后,用户通过用户设备向CPE设备发送数据报文以请求访问SDWAN组网中资源时,CPE设备就可以根据调整后的资源的资源信息对用户所请求访问的资源进行权限检查。
步骤15、当对该用户权限检查通过后,按照SDWAN隧道格式对数据报文进行重新封装处理,得到隧道数据报文。
步骤16、将隧道数据报文转发给目标资源的资源服务器。
步骤17、在用户下线时,向控制器发送下线请求。控制器接收到该下线请求后,向CPE设备发送下线消息,以通知CPE设备该用户已下线。
步骤18、CPE设备删除本地存储的该用户的相关信息,并断开其与该用户的用户设备之间的通信连接。
由此,实现了SDWAN组网中对接入用户的身份进行认证,以及对资源的访问权限进行鉴权,同时有效控制了访问力度。而且增加了对访问资源的安全防护措施,保证了SDWAN组网中资源的安全性;同时也降低了网络设备的压力,节省运营商链路带宽,降低了成本。
需要说明的是,上述用户设备中可以设置有与CPE设备、控制器交互的客户端。
基于同一发明构思,本申请还提供了与上述首设备实施的资源访问方法对应的资源访问装置。该资源访问装置的实施具体可以参考上述首设备对资源访问方法的描述,此处不再一一论述。
参见图3,图3是本申请一示例性实施例提供的一种资源访问装置,设置于用户的用户设备接入SDWAN组网中的首设备中,所述SDWAN组网还包括控制器;所述装置,包括:
接收模块301,用于接收所述用户设备发送的数据报文,所述数据报文包括所述用户访问的目标资源的资源信息和所述用户的用户令牌,其中,所述资源信息和所述用户令牌为所述用户在所述控制器上认证成功后分配的;
确认模块302,用于若根据所述用户令牌对所述用户认证通过后,则根据所述资源信息和本地存储的所述用户对应的资源信息,确认所述用户是否具有访问所述目标资源的访问权限,所述用户对应的资源信息为所述控制器在对所述用户认证通过后下的;
封装模块303,用于若所述确认模块302具有访问权限,则按照所述首设备与下一跳设备之间的SDWAN隧道对所述数据报文进行重新封装处理,得到隧道数据报文;
发送模块304,用于将所述隧道数据报文通过所述SDWAN隧道发送给所述下一跳设备。
至此,通过提供上述实施例提供的资源访问方法,SDWAN组网中的首设备在实现用户访问SDWAN组网中资源的同时,也能够对用户的身份及资源的访问权限进行鉴权认证,避免非法访问所导致的SDWAN组网中资源的安全受到威胁。
基于上述实施例,本实施例中,上述接收模块301,还用于在接收所述用户发送的数据报文之前,接收所述用户设备发送的单包授权认证SPA报文,以与所述首设备之间建立通信连接,所述SPA报文为所述用户在向所述控制器发送认证请求,并在所述控制器对所述用户认证通过后发送的;
在此基础上,本实施例提供的资源访问装置,还可以包括:
认证模块(图中未示出),用于根据所述SPA报文,对所述用户进行认证;
连接建立模块(图中未示出),用于在所述认证模块认证成功后,与所述用户设备建立所述通信连接。
可选地,基于上述任一实施例,上述接收模块301,还用于接收所述控制器发送的所述用户的下线消息;
在此基础上,本实施例提供的资源访问装置,还可以包括:
删除模块(图中未示出),用于根据所述下线消息,删除本地存储的所述用户的相关信息。
可选地,基于上述任一实施例,本本实施例提供的资源访问装置,还可以包括:
注册模块,用于在所述控制器上进行注册,以指示所述首设备已上线;
上述接收模块301,还用于在上线成功后,接收所述控制器下发的配置数据和所述首设备提供服务的资源的资源信息。
可选地,基于上述任一实施例,本实施例中,上述接收模块301,还用于接收所述控制器反馈的所述用户的访问权限发生变更后能够访问的资源的资源信息;
上述确认模块302,还用于在接收到所述用户在访问权限变更后的数据报文时,根据变更后的资源的资源信息确认所述用户是否具有访问所述数据报文所请求的资源的访问权限。
基于同一发明构思,本申请还提供了与上述控制器实施的资源访问方法对应的资源访问装置。该资源访问装置的实施具体可以参考上述控制器对资源访问方法的描述,此处不再一一论述。
参见图4,图4是本申请一示例性实施例提供的一种资源访问装置,设置于SDWAN组网中的控制器中,所述装置,包括:
接收模块401,用于接收用户通过用户设备发送的认证请求,所述认证请求携带所述用户的用户信息;
分配模块402,用于若根据所述用户信息对所述用户认证通过后,为所述用户分配用户令牌,并确定允许所述用户访问的资源的资源信息;
发送模块403,用于向所述用户设备发送所述用户令牌和允许所述用户访问的资源的资源信息;向所述用户接入所述SDWAN中的首设备发送所述用户上线的上线消息,所述上线消息携带允许所述用户访问的资源的资源信息和为所述用户分配的用户令牌。
通过提供上述资源访问装置,在对用户认证通过后,通过向用户设备发送所述用户令牌和允许所述用户访问的资源的资源信息;向用户接入所述SDWAN中的首设备发送所述用户上线的上线消息,这样,SDWAN组网中的首设备就可以基于接收到的信息对用户访问目标资源时进行鉴权,由此,在实现用户访问SDWAN组网中资源的同时,也能够对用户的身份及资源的访问权限进行鉴权认证,避免非法访问所导致的SDWAN组网中资源的安全受到威胁。
基于上述实施例,上述发送模块403,还用于若所述用户的访问权限发生变更时,则向所述首设备发送变更后所述用户能够访问的资源的资源信息。
基于上述任一实施例,本实施例中,上述接收模块401,还用于接收所述用户的下线请求;
上述发送模块403,还用于向所述首设备发送所述用户的下线消息。
基于上述任一实施例,本实施例中,上述接收模块401,还用于接收所述首设备发送的注册请求,所述注册请求用于指示所述首设备已上线;
上述发送模块403,还用于在上线成功后,向所述首设备下发配置数据和所述首设备提供服务的资源的资源信息。
基于同一发明构思,本申请实施例提供了一种电子设备,该电子设备可以但不限于为上述首设备或设置有上述控制器的设备。如图5所示,该电子设备包括处理器501和机器可读存储介质502,机器可读存储介质502存储有能够被处理器501执行的计算机程序,处理器501被计算机程序促使执行本申请任一实施例所提供的资源访问方法。此外,该电子设备还包括通信接口503和通信总线504,其中,处理器501,通信接口503,机器可读存储介质502通过通信总线504完成相互间的通信。
上述电子设备提到的通信总线可以是外设部件互连标准(Peripheral ComponentInterconnect,PCI)总线或扩展工业标准结构(Extended Industry StandardArchitecture,EISA)总线等。该通信总线可以分为地址总线、数据总线、控制总线等。为便于表示,图中仅用一条粗线表示,但并不表示仅有一根总线或一种类型的总线。
通信接口用于上述电子设备与其他设备之间的通信。
上述机器可读存储介质502可以为存储器,该存储器可以包括随机存取存储器(Random Access Memory,RAM)、DDR SRAM(Double Data Rate Synchronous DynamicRandom Access Memory,双倍速率同步动态随机存储器),也可以包括非易失性存储器(Non-Volatile Memory,NVM),例如至少一个磁盘存储器。可选的,存储器还可以是至少一个位于远离前述处理器的存储装置。
上述的处理器可以是通用处理器,包括中央处理器(Central Processing Unit,CPU)、网络处理器(Network Processor,NP)等;还可以是数字信号处理器(Digital SignalProcessor,DSP)、专用集成电路(Application Specific Integrated Circuit,ASIC)、现场可编程门阵列(Field-Programmable Gate Array,FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。
对于电子设备以及机器可读存储介质实施例而言,由于其涉及的方法内容基本相似于前述的方法实施例,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
上述装置中各个单元/模块的功能和作用的实现过程具体详见上述方法中对应步骤的实现过程,在此不再赘述。
对于装置实施例而言,由于其基本对应于方法实施例,所以相关之处参见方法实施例的部分说明即可。以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的单元/模块可以是或者也可以不是物理上分开的,作为单元/模块显示的部件可以是或者也可以不是物理单元/模块,即可以位于一个地方,或者也可以分布到多个网络单元/模块上。可以根据实际的需要选择其中的部分或者全部单元/模块来实现本申请方案的目的。本领域普通技术人员在不付出创造性劳动的情况下,即可以理解并实施。
以上所述仅为本申请的较佳实施例而已,并不用以限制本申请,凡在本申请的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本申请保护的范围之内。

Claims (13)

1.一种资源访问方法,其特征在于,应用于用户的用户设备接入SDWAN组网中的首设备中,所述SDWAN组网还包括控制器;所述方法,包括:
接收所述用户设备发送的数据报文,所述数据报文包括所述用户访问的目标资源的资源信息和所述用户的用户令牌,其中,所述资源信息和所述用户令牌为所述用户在所述控制器上认证成功后分配的;
若根据所述用户令牌对所述用户认证通过后,则根据所述资源信息和本地存储的所述用户对应的资源信息,确认所述用户是否具有访问所述目标资源的访问权限,所述用户对应的资源信息为所述控制器在对所述用户认证通过后下的;
若具有访问权限,则按照所述首设备与下一跳设备之间的SDWAN隧道对所述数据报文进行重新封装处理,得到隧道数据报文;
将所述隧道数据报文通过所述SDWAN隧道发送给所述下一跳设备。
2.根据权利要求1所述的方法,其特征在于,在接收所述用户发送的数据报文之前,所述方法,还包括:
接收所述用户设备发送的单包授权认证SPA报文,以与所述首设备之间建立通信连接,所述SPA报文为所述用户在向所述控制器发送认证请求,并在所述控制器对所述用户认证通过后发送的;
根据所述SPA报文,对所述用户进行认证;
在认证成功后,与所述用户设备建立所述通信连接。
3.根据权利要求1所述的方法,其特征在于,还包括:
接收所述控制器发送的所述用户的下线消息;
根据所述下线消息,删除本地存储的所述用户的相关信息。
4.根据权利要求1所述的方法,其特征在于,所述方法,还包括:
在所述控制器上进行注册,以指示所述首设备已上线;
在上线成功后,接收所述控制器下发的配置数据和所述首设备提供服务的资源的资源信息。
5.根据权利要求1所述的方法,其特征在于,还包括:
接收所述控制器反馈的所述用户的访问权限发生变更后能够访问的资源的资源信息;
在接收到所述用户在访问权限变更后的数据报文时,根据变更后的资源的资源信息确认所述用户是否具有访问所述数据报文所请求的资源的访问权限。
6.一种资源访问方法,其特征在于,应用于SDWAN组网中的控制器中,所述方法,包括:
接收用户通过用户设备发送的认证请求,所述认证请求携带所述用户的用户信息;
若根据所述用户信息对所述用户认证通过后,为所述用户分配用户令牌,并确定允许所述用户访问的资源的资源信息;
向所述用户设备发送所述用户令牌和允许所述用户访问的资源的资源信息;
向所述用户接入所述SDWAN中的首设备发送所述用户上线的上线消息,所述上线消息携带允许所述用户访问的资源的资源信息和为所述用户分配的用户令牌。
7.根据权利要求6所述的方法,其特征在于,还包括:
若所述用户的访问权限发生变更时,则向所述首设备发送变更后所述用户能够访问的资源的资源信息。
8.根据权利要求6所述的方法,其特征在于,还包括:
接收所述用户的下线请求;
向所述首设备发送所述用户的下线消息。
9.根据权利要求6所述的方法,其特征在于,还包括:
接收所述首设备发送的注册请求,所述注册请求用于指示所述首设备已上线;
在上线成功后,向所述首设备下发配置数据和所述首设备提供服务的资源的资源信息。
10.一种资源访问装置,其特征在于,设置于用户的用户设备接入SDWAN组网中的首设备中,所述SDWAN组网还包括控制器;所述装置,包括:
接收模块,用于接收所述用户设备发送的数据报文,所述数据报文包括所述用户访问的目标资源的资源信息和所述用户的用户令牌,其中,所述资源信息和所述用户令牌为所述用户在所述控制器上认证成功后分配的;
确认模块,用于若根据所述用户令牌对所述用户认证通过后,则根据所述资源信息和本地存储的所述用户对应的资源信息,确认所述用户是否具有访问所述目标资源的访问权限,所述用户对应的资源信息为所述控制器在对所述用户认证通过后下的;
封装模块,用于若所述确认模块具有访问权限,则按照所述首设备与下一跳设备之间的SDWAN隧道对所述数据报文进行重新封装处理,得到隧道数据报文;
发送模块,用于将所述隧道数据报文通过所述SDWAN隧道发送给所述下一跳设备。
11.一种资源访问装置,其特征在于,设置于SDWAN组网中的控制器中,所述装置,包括:
接收模块,用于接收用户通过用户设备发送的认证请求,所述认证请求携带所述用户的用户信息;
分配模块,用于若根据所述用户信息对所述用户认证通过后,为所述用户分配用户令牌,并确定允许所述用户访问的资源的资源信息;
发送模块,用于向所述用户设备发送所述用户令牌和允许所述用户访问的资源的资源信息;向所述用户接入所述SDWAN中的首设备发送所述用户上线的上线消息,所述上线消息携带允许所述用户访问的资源的资源信息和为所述用户分配的用户令牌。
12.一种电子设备,其特征在于,包括处理器和机器可读存储介质,所述机器可读存储介质存储有能够被所述处理器执行的计算机程序,所述处理器被所述计算机程序促使执行权利要求1-5任一项所述的方法,或执行权利要求6-9任一项所述的方法。
13.一种机器可读存储介质,其特征在于,所述机器可读存储介质存储有计算机程序,在被处理器调用和执行时,所述计算机程序促使所述处理器执行权利要求1-5任一项所述的方法,或者执行权利要求6-9任一项所述的方法。
CN202310769053.9A 2023-06-26 2023-06-26 一种资源访问方法、装置、设备及存储介质 Pending CN116827629A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202310769053.9A CN116827629A (zh) 2023-06-26 2023-06-26 一种资源访问方法、装置、设备及存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202310769053.9A CN116827629A (zh) 2023-06-26 2023-06-26 一种资源访问方法、装置、设备及存储介质

Publications (1)

Publication Number Publication Date
CN116827629A true CN116827629A (zh) 2023-09-29

Family

ID=88121620

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202310769053.9A Pending CN116827629A (zh) 2023-06-26 2023-06-26 一种资源访问方法、装置、设备及存储介质

Country Status (1)

Country Link
CN (1) CN116827629A (zh)

Similar Documents

Publication Publication Date Title
US11838756B2 (en) Systems and methods for application-friendly protocol data unit (PDU) session management
US11165604B2 (en) Method and system used by terminal to connect to virtual private network, and related device
US8806608B2 (en) Authentication server and method for controlling mobile communication terminal access to virtual private network
US11924491B2 (en) Securing an overlay network against attack
EP3471370B1 (en) Controlling access to enterprise networks
US11936629B2 (en) System and method for creating a secure hybrid overlay network
US20190230065A1 (en) Encryption key management of client devices and endpoints within a protected network
CN110784434B (zh) 通信方法及装置
WO2019246331A1 (en) System and method for creating a secure hybrid overlay network
CN108966363B (zh) 一种连接建立方法及装置
US8386783B2 (en) Communication apparatus and communication method
CN113872933B (zh) 隐藏源站的方法、系统、装置、设备及存储介质
CN108064441B (zh) 一种加速网络传输优化方法以及系统
CN114584558B (zh) 云边协同分布式api网关系统及api调用方法
CN116827629A (zh) 一种资源访问方法、装置、设备及存储介质
US20100263019A1 (en) Secure exchange of messages
US20220201090A1 (en) Over-the-top management in a communication network
CN113949730A (zh) 一种设备的通信方法和装置
US20220201040A1 (en) Over-the-top management in a communication network
WO2022063075A1 (zh) 计费方法、装置、通信设备及可读存储介质
WO2024027419A1 (zh) 报文发送方法、装置及系统
CN117650965B (zh) 基于uCPE原有端口实现SD-WAN管理网络的方法及装置
CN117040965A (zh) 通信方法及装置
CN114666070A (zh) 一种权限认证方法、权限信息的处理方法及装置
CN118265035A (zh) Cpe下挂终端设备的安全接入方法、系统、设备及介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination