WO2021249135A1 - 获取mud文件的网络地址的方法、装置和存储介质 - Google Patents
获取mud文件的网络地址的方法、装置和存储介质 Download PDFInfo
- Publication number
- WO2021249135A1 WO2021249135A1 PCT/CN2021/094299 CN2021094299W WO2021249135A1 WO 2021249135 A1 WO2021249135 A1 WO 2021249135A1 CN 2021094299 W CN2021094299 W CN 2021094299W WO 2021249135 A1 WO2021249135 A1 WO 2021249135A1
- Authority
- WO
- WIPO (PCT)
- Prior art keywords
- terminal
- mud file
- network address
- network
- hardware information
- Prior art date
Links
- 238000000034 method Methods 0.000 title claims abstract description 53
- 238000004891 communication Methods 0.000 abstract description 21
- 230000009466 transformation Effects 0.000 abstract description 2
- 230000000977 initiatory effect Effects 0.000 abstract 1
- 238000010586 diagram Methods 0.000 description 8
- 230000006870 function Effects 0.000 description 8
- 238000004590 computer program Methods 0.000 description 5
- 238000012545 processing Methods 0.000 description 5
- 230000009471 action Effects 0.000 description 4
- 238000007726 management method Methods 0.000 description 4
- 230000008569 process Effects 0.000 description 4
- 230000003287 optical effect Effects 0.000 description 3
- 238000013475 authorization Methods 0.000 description 2
- 230000000694 effects Effects 0.000 description 2
- 230000005540 biological transmission Effects 0.000 description 1
- 238000013500 data storage Methods 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 239000004973 liquid crystal related substance Substances 0.000 description 1
- 238000013507 mapping Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 239000013307 optical fiber Substances 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
- 239000007787 solid Substances 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/08—Configuration management of networks or network elements
- H04L41/0894—Policy-based network configuration management
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0876—Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/12—Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/60—Context-dependent security
- H04W12/69—Identity-dependent
- H04W12/71—Hardware identity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0892—Network architectures or network communication protocols for network security for authentication of entities by using authentication-authorization-accounting [AAA] servers or protocols
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Medical Informatics (AREA)
- General Health & Medical Sciences (AREA)
- Power Engineering (AREA)
- Health & Medical Sciences (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
公开了一种获取MUD文件的网络地址的方法、装置和存储介质,属于通信技术领域。在该方法中,网络设备获取发起认证的终端的硬件信息,然后根据该终端的硬件信息,获取该终端的MUD文件的网络地址。该硬件信息为以下信息中的一种或多种:终端的接入设备的标识;终端的接入端口号;或终端类型。如此,在该终端发起认证时,该网络设备可以自动获得该终端的MUD文件的网络地址,而无需该终端发送该MUD文件的网络地址。从而可以平滑地将已部署的终端融入到IETF RFC8520标准的MUD管理框架中,避免了对终端的升级改造工作,降低了运营成本。
Description
本申请实施例要求于2020年6月9日提交的申请号为202010519677.1、发明名称为“获取MUD文件的网络地址的方法、装置和存储介质”的中国专利申请的优先权,其全部内容通过引用结合在本申请实施例中。
本申请涉及通信技术领域,特别涉及一种获取制造商使用说明(manufacturer usage description,MUD)文件的网络地址的方法、装置和存储介质。
随着企业数字化、智能化的转型,企业园区出现了越来越多的物联网(Internet of things,IoT)终端,包括打印机、摄像头、发光二极管(light emitting diode,LED)灯、会议室投屏、会议终端等。企业对园区网络的需求也从单纯的办公系统(如笔记本电脑、台式电脑等)的接入,转化为办公系统和各种IoT终端的统一接入。
在国际互联网工程任务组(The Internet Engineering Task Force,IETF)请求评议(Request For Comments,RFC)8520标准中定义了一套IoT终端制造商和园区网络协同的流程。IETF RFC8520标准以MUD文件为核心,标识出IoT终端的制造商信息和访问权限需求。各个制造商按照IoT终端的需求定义各自的MUD文件。MUD文件的网络地址可以借助IoT终端的认证流程从IoT终端传递到园区网络中的控制器。控制器可以从MUD文件的网络地址指向的MUD文件服务器中获取相关的MUD文件,然后基于MUD文件完成IoT终端的访问权限到网络策略的自动映射。
上述方案中需要IoT终端在认证报文中携带MUD文件的网络地址,以便将MUD文件的网络地址传递给控制器。如果要实现此方案,需要对IoT终端进行改造,让其发送的认证报文中能够携带MUD文件的网络地址。然而,企业园区中存在大量已部署的IoT终端,要对如此大量的IoT终端进行改造,是十分困难的事情。
发明内容
本申请实施例提供了一种获取MUD文件的网络地址的方法、装置和存储介质,可以避免对终端的升级改造。
第一方面,提供了一种获取MUD文件的网络地址的方法。在该方法中,网络设备获取发起认证的终端的硬件信息,然后根据该终端的硬件信息,获取该终端的MUD文件的网络地址。
该终端的硬件信息为以下信息中的一种或多种:该终端的接入设备的标识;该终端的接入端口号;或终端类型。当然,该终端的硬件信息也可以是其他能够表征该终端的接入特性或本身属性的信息。
该MUD文件的网络地址用于指示该MUD文件的网络存储位置,如该MUD文件的网络 地址可以是该MUD文件的统一资源定位符(Uniform Resource Locator,URL)等。该MUD文件的网络地址指向存储有该MUD文件的MUD文件服务器,根据该MUD文件的网络地址可以从该MUD文件服务器中获取到该MUD文件。
在本申请实施例中,在该终端发起认证时,该网络设备可以自动获得该终端的MUD文件的网络地址,而无需该终端发送该MUD文件的网络地址。从而可以平滑地将已部署的终端融入到IETF RFC8520标准的MUD管理框架中,避免了对终端的升级改造工作,降低了运营成本。
可选地,该网络设备根据该终端的硬件信息,获取该终端的MUD文件的网络地址时,该网络设备可以从硬件信息与网络地址之间的对应关系中,获取该终端的硬件信息对应的网络地址作为该终端的MUD文件的网络地址。
该硬件信息与网络地址之间的对应关系可以是预先配置在该网络设备中的。该网络设备可以从此对应关系中快速获取与该终端的硬件信息对应的网络地址,获取方式简单,获取效率较高。
在一种可能的方式中,该网络设备为控制器,该控制器获取发起认证的终端的硬件信息时,该控制器可以接收接入设备发送的认证报文,该认证报文包括该终端的硬件信息。
该终端在需要接入园区网络时,可以向该接入设备发起认证。在该终端向该接入设备发起认证之后,该接入设备就可以获取到该终端的硬件信息。之后,该接入设备可以向该控制器发送携带有该终端的硬件信息的认证报文。该认证报文用于请求对终端进行认证。如此,在该终端发起认证时,该控制器就可以通过该接入设备快速获得该终端的硬件信息。
这种情况下,该控制器根据该终端的硬件信息,获取该终端的MUD文件的网络地址之后,还可以根据该MUD文件的网络地址,从MUD文件服务器中获取该MUD文件。
该MUD文件可以由该终端的制造商根据该终端的需求进行定义并存储在MUD文件服务器中。该MUD文件中包含有关该终端的抽象通信意图,具体可以包含该终端的制造商信息和需求信息。也即是,该MUD文件的目标是为该终端向园区网络发出信号,指示在哪些网络配置下该终端需要的功能才能正常运行。
进一步地,该控制器根据该MUD文件的网络地址,从MUD文件服务器中获取该MUD文件之后,还可以根据该MUD文件,生成网络策略。具体地,该控制器可以根据该MUD文件中携带的各个需求信息生成相应的网络策略,以满足该终端的业务需求。
该控制器生成该网络策略后,还可以将该网络策略下发给该接入设备。该接入设备可以根据该网络策略进行相应的网络配置。该接入设备在完成相应的网络配置后,可以通知该终端认证成功。之后,该接入设备就可以根据该网络配置来对已接入园区网络的该终端的网络业务进行控制。
在另一种可能的方式中,该网络设备为接入设备,该接入设备根据该终端的硬件信息,获取该终端的MUD文件的网络地址之后,还可以将该MUD文件的网络地址发送给控制器。由该控制器根据该MUD文件的网络地址,从MUD文件服务器中获取该MUD文件,并据此生成相应的网络策略来满足该终端的业务需求。
第二方面,提供了一种获取MUD文件的网络地址的装置,所述获取MUD文件的网络地址的装置具有实现上述第一方面中获取MUD文件的网络地址的方法的功能。所述获取 MUD文件的网络地址的装置包括至少一个模块,所述至少一个模块用于实现上述第一方面所提供的获取MUD文件的网络地址的方法。
第三方面,提供了一种获取MUD文件的网络地址的装置,所述获取MUD文件的网络地址的装置包括处理器和存储器,所述存储器用于存储支持获取MUD文件的网络地址的装置执行上述第一方面所提供的获取MUD文件的网络地址的方法的程序,以及存储用于实现上述第一方面所述的获取MUD文件的网络地址的方法所涉及的数据。所述处理器被配置为用于执行所述存储器中存储的程序。所述获取MUD文件的网络地址的装置还可以包括通信总线,所述通信总线用于在所述处理器与所述存储器之间建立连接。
第四方面,提供了一种计算机可读存储介质,所述计算机可读存储介质中存储有指令,当其在计算机上运行时,使得计算机执行上述第一方面所述的获取MUD文件的网络地址的方法。
第五方面,提供了一种包含指令的计算机程序产品,当其在计算机上运行时,使得计算机执行上述第一方面所述的获取MUD文件的网络地址的方法。
上述第二方面、第三方面、第四方面和第五方面所获得的技术效果与上述第一方面中对应的技术手段获得的技术效果近似,在这里不再赘述。
图1是本申请实施例提供的一种实施环境的示意图;
图2是本申请实施例提供的一种获取MUD文件的网络地址的方法的流程图;
图3是本申请实施例提供的另一种获取MUD文件的网络地址的方法的流程图;
图4是本申请实施例提供的又一种获取MUD文件的网络地址的方法的流程图;
图5是本申请实施例提供的一种计算机设备的结构示意图;
图6是本申请实施例提供的另一种计算机设备的结构示意图;
图7是本申请实施例提供的一种获取MUD文件的网络地址的装置的结构示意图。
如背景技术所述,为了实现IETF RFC8520标准中的方案,需要对IoT终端进行改造,让其发送的认证报文中能够携带MUD文件的网络地址。然而,企业园区中存在大量已部署的IoT终端,要对如此大量的IoT终端进行改造,是十分困难的事情。因此需要有一种方法能够平滑地将已有的IoT终端融入到现有的IETF RFC8520标准的MUD管理框架中。
为使本申请实施例的目的、技术方案和优点更加清楚,下面将结合附图对本申请的实施方式作进一步地详细描述。
应当理解的是,本申请实施例提及的“多个”是指两个或两个以上。在本申请实施例的描述中,除非另有说明,“/”表示或的意思,例如,A/B可以表示A或B;本文中的“和/或”仅仅是一种描述关联对象的关联关系,表示可以存在三种关系,例如,A和/或B,可以表示:单独存在A,同时存在A和B,单独存在B这三种情况。另外,为了便于清楚描述本申请实 施例的技术方案,采用了“第一”、“第二”等字样对功能和作用基本相同的相同项或相似项进行区分。本领域技术人员可以理解“第一”、“第二”等字样并不对数量和执行次序进行限定,并且“第一”、“第二”等字样也并不限定一定不同。
图1是本申请实施例提供的一种实施环境的示意图。参见图1,该实施环境包括终端101、接入设备102和控制器103。
接入设备102和控制器103处于园区网络中。终端101可以通过接入设备102接入园区网络。终端101与接入设备102可以通过有线连接或无线连接进行通信,接入设备102与控制器103可以通过有线连接或无线连接进行通信。
终端101可以是IoT终端,包括打印机、摄像头、LED灯、会议室投屏、会议终端等。终端101是需要接入园区网络,以使用园区网络提供的服务的终端。终端101在接入园区网络时需要发起认证。
接入设备102为终端101提供接入园区网络的端口,该端口可以是物理端口,也可以是逻辑端口。接入设备102在终端101和控制器103之间充当代理角色。终端101可以通过接入设备102向控制器103发起认证。
控制器103可以是认证授权计费(Authentication、Authorization、Accounting,AAA)服务器,AAA服务器可以是远程用户拨号认证系统(remote authentication dial in user service,RADIUS)服务器、终端访问控制器访问控制系统(terminal access controller access-control system,TACACS)等。控制器103可以验证终端101的身份,以判断终端101是否有权使用园区网络所提供的服务。在终端101的认证通过后,控制器103可以通过接入设备102向终端101反馈认证通过消息。
接入设备102和控制器103既可以分布在两个不同的物理实体上,也可以集中在一个物理实体上。接入设备102和控制器103集中在一个物理实体上时,由这个物理实体独立完成对终端101的认证。
下面对本申请实施例提供的获取MUD文件的网络地址的方法予以说明。
图2是本申请实施例提供的一种获取MUD文件的网络地址的方法的流程图,该方法应用于网络设备,该网络设备可以是图1所示的接入设备102或控制器103。参见图2,该方法包括:
步骤201、网络设备获取发起认证的终端的硬件信息。
该网络设备可以处于园区网络中。该终端若要接入园区网络,则可以向该网络设备发起认证。在该终端向该网络设备发起认证之后,该网络设备就可以获取到该终端的硬件信息。
示例地,该终端的硬件信息可以为以下信息中的一种或多种:该终端的接入设备的标识;该终端的接入端口号;或终端类型等。当然,该终端的硬件信息也可以是其他能够表征该终端的接入特性或本身属性的信息。
步骤202、该网络设备根据该终端的硬件信息,获取该终端的MUD文件的网络地址。
具体地,该网络设备可以从硬件信息与网络地址之间的对应关系中,获取该终端的硬件信息对应的网络地址作为该终端的MUD文件的网络地址。
该MUD文件的网络地址用于指示该MUD文件的网络存储位置,如该MUD文件的网络 地址可以是该MUD文件的URL等。该MUD文件的网络地址指向存储有该MUD文件的MUD文件服务器,根据该MUD文件的网络地址可以从该MUD文件服务器中获取到该MUD文件。
该硬件信息与网络地址之间的对应关系可以是预先配置在该网络设备中的。该网络设备可以从此对应关系中快速获取与该终端的硬件信息对应的网络地址,获取方式简单,获取效率较高。
例如,当硬件信息为终端的接入端口号时,该硬件信息与网络地址之间的对应关系可以如下表1所示;当硬件信息为终端类型时,该硬件信息与网络地址之间的对应关系可以如下表2所示。
表1
| 接入端口号 | 网络地址 |
| interface 1/0/1 | http://zyx.com/ledlight |
| interface 1/0/2 | http://zyx.com/printer |
| …… | …… |
表2
| 终端类型 | 网络地址 |
| Ledlight | http://zyx.com/ledlight |
| Printer | http://zyx.com/printer |
| …… | …… |
需要说明的是,本申请实施例仅以上表1和表2所示的硬件信息与网络地址之间的对应关系为例进行说明,并不对本申请实施例构成限定。
在本申请实施例中,网络设备获取发起认证的终端的硬件信息,然后根据该终端的硬件信息,获取该终端的MUD文件的网络地址。如此,在该终端发起认证时,该网络设备可以自动获得该终端的MUD文件的网络地址,而无需该终端发送该MUD文件的网络地址。从而可以平滑地将已部署的终端融入到IETF RFC8520标准的MUD管理框架中,避免了对终端的升级改造工作,降低了运营成本。
下面对该网络设备是接入设备的情况进行说明:
图3是本申请实施例提供的一种获取MUD文件的网络地址的方法的流程图,该方法应用于图1所示的实施环境中。参见图3,该方法包括:
步骤301、终端向接入设备发起认证。
终端在需要接入园区网络时,可以向园区网络中的接入设备发起认证。该终端发起的认证可以为802.1X认证、介质访问控制(media access control,MAC)认证、或者Portal认证等。每种认证使用的协议报文不同,如802.1X认证可以使用可扩展的身份验证协议(Extensible Authentication Protocol,EAP)报文,MAC认证可以使用动态主机配置协议(Dynamic Host Configuration Protocol,DHCP)报文,Portal认证可以使用链路层发现协议(Link Layer Discovery Protocol,LLDP)报文。
步骤302、该接入设备获取该终端的硬件信息,并根据该终端的硬件信息,获取该终端 的MUD文件的网络地址。
在该终端向该接入设备发起认证之后,该接入设备就可以获取到该终端的硬件信息。示例地,该硬件信息可以为该接入设备的标识、该终端的接入端口号或终端类型。当然,该硬件信息也可以是其他能够表征该终端的接入特性或本身属性的信息。
其中,该接入设备根据该终端的硬件信息,获取该终端的MUD文件的网络地址的操作可以为:该接入设备从硬件信息与网络地址之间的对应关系中,获取该终端的硬件信息对应的网络地址作为该终端的MUD文件的网络地址。
该硬件信息与网络地址之间的对应关系可以是预先配置在该接入设备中的。例如,该硬件信息与网络地址之间的对应关系可以如上表1或表2所示。
步骤303、该接入设备向控制器发送认证报文,该认证报文包括该MUD文件的网络地址。
该接入设备发送给该控制器的认证报文用于请求对终端进行认证。例如,该认证报文可以是Radius报文等。
步骤304、该控制器接收到该接入设备发送的认证报文后,根据该MUD文件的网络地址,从MUD文件服务器中获取该MUD文件。
该MUD文件可以由该终端的制造商根据该终端的需求进行定义并存储在MUD文件服务器中。该MUD文件中包含有关该终端的抽象通信意图,具体可以包含该终端的制造商信息和需求信息。也即是,该MUD文件的目标是为该终端向园区网络发出信号,指示在哪些网络配置下该终端需要的功能才能正常运行。
该控制器可以根据该MUD文件的网络地址,通过超文本传输安全协议(Hyper Text Transfer Protocol over Secure,Https)从MUD文件服务器中获取制造商为该终端定义的该MUD文件。
步骤305、该控制器根据该MUD文件,生成网络策略并下发给该接入设备。
具体地,该控制器可以根据该MUD文件中携带的各个需求信息生成相应的网络策略,以满足该终端的业务需求。
示例地,该MUD文件中包括与访问权限相关的字段,与访问权限相关的字段中包含与该终端的访问权限需求相关的信息。则该控制器可以根据该MUD文件中与访问权限相关的字段,配置访问控制列表(access control list,ACL)等。ACL用于对报文进行控制。如果报文匹配到ACL中动作为permit(允许)的规则,则允许该报文通过;如果报文匹配到ACL中动作为deny(拒绝)的规则,则将该报文丢弃。
步骤306、该接入设备根据该网络策略完成相应的网络配置后,通知该终端认证成功。
该接入设备可以根据该网络策略进行相应的网络配置(包括但不限于接口配置、协议配置、业务配置等)。该接入设备在完成相应的网络配置后,可以通知该终端认证成功。之后,该接入设备就可以根据该网络配置来对已接入园区网络的该终端的网络业务进行控制,以满足该终端的业务需求。
下面对该网络设备是控制器的情况进行说明:
图4是本申请实施例提供的一种获取MUD文件的网络地址的方法的流程图,该方法应用于图1所示的实施环境中。参见图4,该方法包括:
步骤401、终端向接入设备发起认证。
终端在需要接入园区网络时,可以向园区网络中的接入设备发起认证。该终端发起的认证可以为802.1X认证、MAC认证、或者Portal认证等。每种认证使用的协议报文不同,如802.1X认证可以使用EAP报文,MAC认证可以使用DHCP报文,Portal认证可以使用LLDP报文。
步骤402、该接入设备获取该终端的硬件信息。
在该终端向该接入设备发起认证之后,该接入设备就可以获取到该终端的硬件信息。示例地,该硬件信息可以为该接入设备的标识、该终端的接入端口号或终端类型。当然,该硬件信息也可以是其他能够表征该终端的接入特性或本身属性的信息。
步骤403、该接入设备向控制器发送认证报文,该认证报文包括该终端的硬件信息。
该接入设备发送给该控制器的认证报文用于请求对终端进行认证。例如,该认证报文可以是Radius报文等。该认证报文中可以包括该终端的硬件信息。如此,在该终端发起认证时,该控制器就可以通过该接入设备快速获得该终端的硬件信息。
步骤404、该控制器接收到该接入设备发送的认证报文后,根据该终端的硬件信息,获取该终端的MUD文件的网络地址。
具体地,该控制器可以从硬件信息与网络地址之间的对应关系中,获取该终端的硬件信息对应的网络地址作为该终端的MUD文件的网络地址。
该硬件信息与网络地址之间的对应关系可以是预先配置在该控制器中的。例如,该硬件信息与网络地址之间的对应关系可以如上表1或表2所示。
步骤405、该控制器根据该MUD文件的网络地址,从MUD文件服务器中获取该MUD文件。
该MUD文件可以由该终端的制造商根据该终端的需求进行定义并存储在MUD文件服务器中。该MUD文件中包含有关该终端的抽象通信意图,具体可以包含该终端的制造商信息和需求信息。也即是,该MUD文件的目标是为该终端向园区网络发出信号,指示在哪些网络配置下该终端需要的功能才能正常运行。
该控制器可以根据该MUD文件的网络地址,通过Https从MUD文件服务器中获取制造商为该终端定义的该MUD文件。
步骤406、该控制器根据该MUD文件,生成网络策略并下发给该接入设备。
具体地,该控制器可以根据该MUD文件中携带的各个需求信息生成相应的网络策略,以满足该终端的业务需求。
示例地,该MUD文件中包括与访问权限相关的字段,与访问权限相关的字段中包含与该终端的访问权限需求相关的信息。则该控制器可以根据该MUD文件中与访问权限相关的字段,配置ACL等。ACL用于对报文进行控制。如果报文匹配到ACL中动作为permit的规则,则允许该报文通过;如果报文匹配到ACL中动作为deny的规则,则将该报文丢弃。
步骤407、该接入设备根据该网络策略完成相应的网络配置后,通知该终端认证成功。
该接入设备可以根据该网络策略进行相应的网络配置(包括但不限于接口配置、协议配置、业务配置等)。该接入设备在完成相应的网络配置后,可以通知该终端认证成功。之后,该接入设备就可以根据该网络配置来对已接入园区网络的该终端的网络业务进行控制,以满足该终端的业务需求。
图5是本申请实施例提供的一种计算机设备的结构示意图,该计算机设备可以是图1中所示的接入设备102。参见图5,该计算机设备包括至少一个处理器501、通信总线502、存储器503以及至少一个通信接口504。
处理器501可以是中央处理器(central processing unit,CPU)、特定应用集成电路(application-specific integrated circuit,ASIC),或者可以是一个或多个用于控制本申请方案程序执行的集成电路。
通信总线502可包括一通路,用于在上述组件之间传送信息。
存储器503可以是只读存储器(read-only memory,ROM)、随机存取存储器(random access memory,RAM)、电可擦可编程只读存储器(electrically erasable programmable read-Only memory,EEPROM)、光盘(包括只读光盘(compact disc read-only memory,CD-ROM)、压缩光盘、激光盘、数字通用光盘、蓝光光盘等)、磁盘存储介质或者其它磁存储设备,或者是能够用于携带或存储具有指令或数据结构形式的期望的程序代码并能够由计算机存取的任何其它介质,但不限于此。存储器503可以独立存在,并通过通信总线502与处理器501相连接。存储器503也可以和处理器501集成在一起。
通信接口504使用任何收发器一类的装置,用于与其它设备或通信网络通信,如以太网、无线接入网(radio access network,RAN)、无线局域网(wireless local area network,WLAN)等。
在具体实现中,作为一种实施例,处理器501可以包括一个或多个CPU,如图5中所示的CPU0和CPU1。
在具体实现中,作为一种实施例,计算机设备可以包括多个处理器,如图5中所示的处理器501和处理器505。这些处理器中的每一个可以是一个单核处理器,也可以是一个多核处理器。这里的处理器可以指一个或多个设备、电路、和/或用于处理数据(如计算机程序指令)的处理核。
在具体实现中,作为一种实施例,计算机设备还可以包括输出设备506和输入设备507。输出设备506和处理器501通信,可以以多种方式来显示信息。例如,输出设备506可以是液晶显示器(liquid crystal display,LCD)、LED显示设备、阴极射线管(cathode ray tube,CRT)显示设备或投影仪(projector)等。输入设备507和处理器501通信,可以以多种方式接收用户的输入。例如,输入设备507可以是鼠标、键盘、触摸屏设备或传感设备等。
上述的计算机设备可以是一个通用计算机设备或一个专用计算机设备。在具体实现中,计算机设备可以是台式机、便携式电脑、网络服务器、掌上电脑、移动手机、平板电脑、无线终端设备、通信设备或嵌入式设备,本申请实施例不限定计算机设备的类型。
其中,存储器503用于存储执行本申请方案的程序代码510,处理器501用于执行存储器503中存储的程序代码510。该计算机设备可以通过处理器501以及存储器503中的程序代码510,来实现上文图2实施例提供的获取MUD文件的网络地址的方法,或实现上文图3实施例提供的获取MUD文件的网络地址的方法中由接入设备执行的操作。
图6是本申请实施例提供的一种计算机设备的结构示意图,该计算机设备可以是图1中所示的控制器103。参见图6,该计算机设备包括至少一个处理器601、通信总线602、存储器603以及至少一个通信接口604。
处理器601可以是微处理器(包括CPU等)、ASIC,或者可以是一个或多个用于控制本申请方案程序执行的集成电路。
通信总线602可包括一通路,用于在上述组件之间传送信息。
存储器603可以是ROM、RAM、EEPROM、光盘(包括CD-ROM、压缩光盘、激光盘、数字通用光盘、蓝光光盘等)、磁盘存储介质或者其它磁存储设备,或者是能够用于携带或存储具有指令或数据结构形式的期望的程序代码并能够由计算机存取的任何其它介质,但不限于此。存储器603可以是独立存在,并通过通信总线602与处理器601相连接。存储器603也可以和处理器601集成在一起。
通信接口604使用任何收发器一类的装置,用于与其它设备或通信网络通信,如以太网、RAN、WLAN等。
在具体实现中,作为一种实施例,处理器601可以包括一个或多个CPU,如图6中所示的CPU0和CPU1。
在具体实现中,作为一种实施例,计算机设备可以包括多个处理器,如图6中所示的处理器601和处理器605。这些处理器中的每一个可以是一个单核处理器,也可以是一个多核处理器。这里的处理器可以指一个或多个设备、电路、和/或用于处理数据(如计算机程序指令)的处理核。
在具体实现中,作为一种实施例,计算机设备还可以包括输出设备606和输入设备607。输出设备606和处理器601通信,可以以多种方式来显示信息。例如,输出设备606可以是LCD、LED显示设备、CRT显示设备或投影仪等。输入设备607和处理器601通信,可以以多种方式接收用户的输入。例如,输入设备607可以是鼠标、键盘、触摸屏设备或传感设备等。
上述的计算机设备可以是一个通用计算机设备或一个专用计算机设备。在具体实现中,计算机设备可以是台式机、便携式电脑、网络服务器、掌上电脑、移动手机、平板电脑、无线终端设备、通信设备或嵌入式设备,本申请实施例不限定计算机设备的类型。
其中,存储器603用于存储执行本申请方案的程序代码610,处理器601用于执行存储器603中存储的程序代码610。该计算机设备可以通过处理器601以及存储器603中的程序代码610,来实现上文图2实施例提供的获取MUD文件的网络地址的方法,或实现上文图4实施例提供的获取MUD文件的网络地址的方法中由控制器执行的操作。
图7是本申请实施例提供的一种获取MUD文件的网络地址的装置的结构示意图,该装置可以由软件、硬件或者两者的结合实现成为计算机设备的部分或者全部。
参见图7,该装置包括:第一获取模块701和第二获取模块702。
第一获取模块701,用于执行上文图2实施例中的步骤201;
第二获取模块,用于执行上文图2实施例中的步骤202。
可选地,网络设备为控制器,该装置还包括:
第三获取模块,用于根据MUD文件的网络地址,从MUD文件服务器中获取MUD文件。
可选地,第一获取模块701用于:
接收接入设备发送的认证报文,认证报文包括终端的硬件信息,终端的硬件信息是接入设备在终端向接入设备发起认证时获取的。
可选地,该装置还包括:
生成模块,用于根据MUD文件,生成网络策略。
可选地,网络设备为接入设备,该装置还包括:
发送模块,用于将MUD文件的网络地址发送给控制器,由控制器根据MUD文件的网络地址,从MUD文件服务器中获取MUD文件。
在本申请实施例中,获取发起认证的终端的硬件信息,然后根据该终端的硬件信息,获取该终端的MUD文件的网络地址。如此,在该终端发起认证时,可以自动获得该终端的MUD文件的网络地址,而无需该终端发送该MUD文件的网络地址。从而可以平滑地将已部署的终端融入到IETF RFC8520标准的MUD管理框架中,避免了对终端的升级改造工作,降低了运营成本。
需要说明的是:上述实施例提供的获取MUD文件的网络地址的装置在获取MUD文件的网络地址时,仅以上述各功能模块的划分进行举例说明,实际应用中,可以根据需要而将上述功能分配由不同的功能模块完成,即将装置的内部结构划分成不同的功能模块,以完成以上描述的全部或者部分功能。另外,上述实施例提供的获取MUD文件的网络地址的装置与获取MUD文件的网络地址的方法实施例属于同一构思,其具体实现过程详见方法实施例,这里不再赘述。
在上述实施例中,可以全部或部分地通过软件、硬件、固件或者其任意结合来实现。当使用软件实现时,可以全部或部分地以计算机程序产品的形式实现。所述计算机程序产品包括一个或多个计算机指令。在计算机上加载和执行所述计算机指令时,全部或部分地产生按照本申请实施例所述的流程或功能。所述计算机可以是通用计算机、专用计算机、计算机网络或其他可编程装置。所述计算机指令可以存储在计算机可读存储介质中,或者从一个计算机可读存储介质向另一个计算机可读存储介质传输,例如,所述计算机指令可以从一个网站站点、计算机、服务器或数据中心通过有线(例如:同轴电缆、光纤、数据用户线(Digital Subscriber Line,DSL))或无线(例如:红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输。所述计算机可读存储介质可以是计算机能够存取的任何可用介质,或者是包含一个或多个可用介质集成的服务器、数据中心等数据存储设备。所述可用介质可以是磁性介质(例如:软盘、硬盘、磁带)、光介质(例如:数字通用光盘(Digital Versatile Disc,DVD))或半导体介质(例如:固态硬盘(Solid State Disk,SSD))等。
以上所述为本申请提供的实施例,并不用以限制本申请,凡在本申请的原则之内,所作的任何修改、等同替换、改进等,均应包含在本申请的保护范围之内。
Claims (11)
- 一种获取制造商使用说明MUD文件的网络地址的方法,其特征在于,所述方法包括:网络设备获取发起认证的终端的硬件信息;所述网络设备根据所述终端的硬件信息,获取所述终端的MUD文件的网络地址;所述硬件信息为以下信息中的一种或多种:所述终端的接入设备的标识;所述终端的接入端口号;或终端类型。
- 如权利要求1所述的方法,其特征在于,所述网络设备为控制器,所述网络设备根据所述终端的硬件信息,获取所述终端的MUD文件的网络地址之后,还包括:所述控制器根据所述MUD文件的网络地址,从MUD文件服务器中获取所述MUD文件。
- 如权利要求2所述的方法,其特征在于,所述网络设备获取发起认证的终端的硬件信息,包括:所述控制器接收接入设备发送的认证报文,所述认证报文包括所述终端的硬件信息,所述终端的硬件信息是所述接入设备在所述终端向所述接入设备发起认证时获取的。
- 如权利要求2或3所述的方法,其特征在于,所述控制器根据所述MUD文件的网络地址,从MUD文件服务器中获取所述MUD文件之后,还包括:所述控制器根据所述MUD文件,生成网络策略。
- 如权利要求1所述的方法,其特征在于,所述网络设备为接入设备,所述网络设备根据所述终端的硬件信息,获取所述终端的MUD文件的网络地址之后,还包括:所述接入设备将所述MUD文件的网络地址发送给控制器,由所述控制器根据所述MUD文件的网络地址,从MUD文件服务器中获取所述MUD文件。
- 一种获取制造商使用说明MUD文件的网络地址的装置,应用于网络设备,其特征在于,所述装置包括:第一获取模块,用于获取发起认证的终端的硬件信息;第二获取模块,用于根据所述终端的硬件信息,获取所述终端的MUD文件的网络地址;所述硬件信息为以下信息中的一种或多种:所述终端的接入设备的标识;所述终端的接入端口号;或终端类型。
- 如权利要求6所述的装置,其特征在于,所述网络设备为控制器,所述装置还包括:第三获取模块,用于根据所述MUD文件的网络地址,从MUD文件服务器中获取所述MUD文件。
- 如权利要求7所述的装置,其特征在于,所述第一获取模块用于:接收接入设备发送的认证报文,所述认证报文包括所述终端的硬件信息,所述终端的硬件信息是所述接入设备在所述终端向所述接入设备发起认证时获取的。
- 如权利要求7或8所述的装置,其特征在于,所述装置还包括:生成模块,用于根据所述MUD文件,生成网络策略。
- 如权利要求6所述的装置,其特征在于,所述网络设备为接入设备,所述装置还包括:发送模块,用于将所述MUD文件的网络地址发送给控制器,由所述控制器根据所述MUD文件的网络地址,从MUD文件服务器中获取所述MUD文件。
- 一种计算机可读存储介质,其特征在于,所述计算机可读存储介质中存储有指令,当其在计算机上运行时,使得计算机执行如权利要求1-5任意一项所述的方法。
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| EP21820965.8A EP4156621A4 (en) | 2020-06-09 | 2021-05-18 | METHOD AND APPARATUS FOR ACQUIRING NETWORK ADDRESS OF MUD FILE, STORAGE MEDIUM |
| US18/063,176 US20230107859A1 (en) | 2020-06-09 | 2022-12-08 | Method and Apparatus for Obtaining Network Address of MUD File, and Storage Medium |
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010519677.1 | 2020-06-09 | ||
| CN202010519677.1A CN113783823A (zh) | 2020-06-09 | 2020-06-09 | 获取mud文件的网络地址的方法、装置和存储介质 |
Related Child Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| US18/063,176 Continuation US20230107859A1 (en) | 2020-06-09 | 2022-12-08 | Method and Apparatus for Obtaining Network Address of MUD File, and Storage Medium |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| WO2021249135A1 true WO2021249135A1 (zh) | 2021-12-16 |
Family
ID=78834675
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| PCT/CN2021/094299 WO2021249135A1 (zh) | 2020-06-09 | 2021-05-18 | 获取mud文件的网络地址的方法、装置和存储介质 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US20230107859A1 (zh) |
| EP (1) | EP4156621A4 (zh) |
| CN (1) | CN113783823A (zh) |
| WO (1) | WO2021249135A1 (zh) |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20190260751A1 (en) * | 2018-02-18 | 2019-08-22 | Cisco Technology, Inc. | Internet of things security system |
| CN110770695A (zh) * | 2017-06-16 | 2020-02-07 | 密码研究公司 | 物联网(iot)设备管理 |
Family Cites Families (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10601664B2 (en) * | 2017-04-28 | 2020-03-24 | Cisco Technology, Inc. | Dynamic network and security policy for IoT devices |
| US10298581B2 (en) * | 2017-04-28 | 2019-05-21 | Cisco Technology, Inc. | Zero-touch IoT device provisioning |
| US10595320B2 (en) * | 2017-10-06 | 2020-03-17 | Cisco Technology, Inc. | Delegating policy through manufacturer usage descriptions |
| US11025628B2 (en) * | 2018-04-17 | 2021-06-01 | Cisco Technology, Inc. | Secure modification of manufacturer usage description files based on device applications |
-
2020
- 2020-06-09 CN CN202010519677.1A patent/CN113783823A/zh active Pending
-
2021
- 2021-05-18 WO PCT/CN2021/094299 patent/WO2021249135A1/zh unknown
- 2021-05-18 EP EP21820965.8A patent/EP4156621A4/en active Pending
-
2022
- 2022-12-08 US US18/063,176 patent/US20230107859A1/en active Pending
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110770695A (zh) * | 2017-06-16 | 2020-02-07 | 密码研究公司 | 物联网(iot)设备管理 |
| US20190260751A1 (en) * | 2018-02-18 | 2019-08-22 | Cisco Technology, Inc. | Internet of things security system |
Non-Patent Citations (2)
| Title |
|---|
| ERICSSON: "Further evaluation to Solution #25: Security solution for preventing Botnet Attacks from Improper CIOT Device Use", 3GPP DRAFT; S3-201035, 3RD GENERATION PARTNERSHIP PROJECT (3GPP), MOBILE COMPETENCE CENTRE ; 650, ROUTE DES LUCIOLES ; F-06921 SOPHIA-ANTIPOLIS CEDEX ; FRANCE, vol. SA WG3, no. Online Meeting ;20200511 - 20200515, 30 April 2020 (2020-04-30), Mobile Competence Centre ; 650, route des Lucioles ; F-06921 Sophia-Antipolis Cedex ; France , XP051879173 * |
| See also references of EP4156621A4 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN113783823A (zh) | 2021-12-10 |
| EP4156621A4 (en) | 2023-11-08 |
| US20230107859A1 (en) | 2023-04-06 |
| EP4156621A1 (en) | 2023-03-29 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11245576B2 (en) | Blockchain-based configuration profile provisioning system | |
| US20210297410A1 (en) | Mec platform deployment method and apparatus | |
| US9007945B2 (en) | Automated network service discovery and communication | |
| JP6582554B2 (ja) | シンクライアントシステム、サーバ装置、ポリシー管理装置、制御方法及び制御プログラム | |
| US9003504B2 (en) | Remote login arrangement for heterogeneous systems using centralized authentication | |
| US20130201519A1 (en) | Bridging Non-Network Interfaces and Network Interfaces | |
| WO2023011016A1 (zh) | 物联网设备绑定方法、装置、系统、云服务器和存储介质 | |
| WO2021037079A1 (zh) | IoT设备数据管理方法、装置和系统 | |
| WO2017157176A1 (zh) | 一种资源分发方法及装置 | |
| US11928349B2 (en) | Access control configurations for shared memory | |
| CN104253792A (zh) | 基板管理控制器虚拟系统及方法 | |
| US20220046018A1 (en) | Dynamic user authorization with a service provider | |
| WO2021249135A1 (zh) | 获取mud文件的网络地址的方法、装置和存储介质 | |
| EP3863312B1 (en) | Api publishing method and device | |
| US20160099928A1 (en) | Systems and methods for managing connections for universal plug-and-play devices | |
| WO2023001050A1 (zh) | 控制终端接入网络的方法、设备、系统、装置及存储介质 | |
| CN114051029B (zh) | 授权方法、授权装置、电子设备和存储介质 | |
| US20220311626A1 (en) | Cloud-based identity provider interworking for network access authentication | |
| WO2021159706A1 (zh) | 物联网终端的网络业务控制方法、装置和存储介质 | |
| WO2023108653A1 (zh) | 订阅权限信息处理方法、装置、计算机设备及存储介质 | |
| WO2023115584A1 (zh) | 连接配置方法、连接建立方法、装置、设备及存储介质 | |
| US11968238B2 (en) | Policy management system to provide authorization information via distributed data store | |
| WO2023241351A1 (zh) | 虚拟机的监控方法、装置及存储介质 | |
| WO2023092504A1 (zh) | 订阅控制方法、装置、计算机设备及存储介质 | |
| US20220038422A1 (en) | Authentication and firewall enforcement for internet of things (iot) devices |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| 121 | Ep: the epo has been informed by wipo that ep was designated in this application |
Ref document number: 21820965 Country of ref document: EP Kind code of ref document: A1 |
|
| NENP | Non-entry into the national phase |
Ref country code: DE |
|
| ENP | Entry into the national phase |
Ref document number: 2021820965 Country of ref document: EP Effective date: 20221221 |