信息同步方法、认证方法及装置制造方法及图纸

本申请提供了一种信息同步方法、认证方法及装置，属于网络技术领域。本申请通过将安全组关联信息从认证节点同步至执行节点上，可以让执行节点得到终端的安全组关联信息，则执行节点根据安全组关联信息，即可感知到终端所属的安全组，从而能够按照安全组策略对终端的报文进行处理，可以实现认证节点和执行节点的分离，打破了对组网的约束，扩展了应用范围，提高了兼容性。

Information synchronization method, authentication method and device

【技术实现步骤摘要】
信息同步方法、认证方法及装置
本申请涉及网络
，特别涉及一种信息同步方法、认证方法及装置。
技术介绍
随着无线网络的建设和推广以及远程接入技术的成熟应用，无线网络的边界正在消失，无线网络终端的接入位置经常出现大范围的移动。为了保证终端的业务得到正常处理，可以通过实施业务随行技术，来保证无论终端从什么地点接入，该终端的接入权限都是一致的。在业务随行技术中，各个节点设备按照其功能的不同，至少可以分为认证节点以及执行节点。当终端发起认证时，由认证节点对终端进行认证，以确定终端所属的安全组；当终端发送报文时，由执行节点确定终端所属的安全组匹配的安全组策略，按照安全组策略处理报文。其中，为了让执行节点感知终端所属的安全组，需要将认证节点确定出的安全组同步给执行节点。目前，通常采用内联安全组标签(英文：inlinesecuritygrouptag，简称inlineSGT)技术,将认证节点确定的安全组同步给执行节点。具体地，当认证节点对终端认证通过时，会存储终端所属的安全组；当认证节点接收到终端的报文时，认证节点会根据该终端所属的安全组，生成安全组标签，该安全组标签用于标识终端所属的安全组；认证节点会在报文的头部插入安全组标签，从而通过对报文进行扩展，让报文携带安全组标签；认证节点会将携带了安全组标签的报文发送给执行节点；执行节点接收到携带了安全组标签的报文时，会解析该安全组标签，以确定终端所属的安全组，按照安全组策略处理报文。采用上述方法进行信息同步时，需要对终端的报文进行私有扩展，而很多节点设备并不支持对报文私有扩展的功能，导致无法实施该方法来进行信息同步，可见该方法兼容性较差，应用范围狭窄。
技术实现思路
本申请实施例提供了一种信息同步方法、认证方法及装置，能够解决相关技术中兼容性较差的技术问题。所述技术方案如下：第一方面，提供了一种信息同步方法，所述方法包括：接收认证节点发送的终端的安全组关联信息，所述安全组关联信息用于指示所述终端的网络地址与所述终端所属的安全组之间的映射关系；确定包括目标执行节点的至少一个执行节点，所述目标执行节点用于按照安全组策略处理所述终端的报文；将所述安全组关联信息发送至所述至少一个执行节点。本实施例提供的方法，达到的效果至少可以包括：同步节点通过将安全组关联信息从认证节点同步至执行节点上，可以让执行节点得到终端的安全组关联信息，则执行节点根据安全组关联信息，即可感知到终端所属的安全组，从而能够按照安全组策略对终端的报文进行处理，可以实现认证节点和执行节点的分离，打破了对组网的约束，扩展了应用范围，提高了兼容性。可选地，所述确定包括目标执行节点的至少一个执行节点，包括：根据所述网络地址所属的目标网段，从网段与执行节点之间的对应关系中，确定所述目标网段对应的所述目标执行节点；通过这种可选方式，达到的效果至少可以包括：当同步节点接收到不同网段的终端的安全组信息时，可以将各个安全组信息分别发送至对应网段的执行节点，可以实现每个执行节点接收本端网段的终端的安全组信息的功能，达到精细化推送的效果，可以避免执行节点由于频繁接收安全组信息，对运行资源的消耗。同时，可以节约执行节点的存储资源，避免单个执行节点待存储的安全组关联信息的数据量过大。尤其是，在接入网络的终端数量庞大的场景中，同步节点待同步的安全组信息数据量庞大，而通过精细化的发送安全组信息，可以提高整个系统的运行效率。可选地，所述确定包括目标执行节点的至少一个执行节点，包括：确定网络中的每个执行节点。可选地，所述根据所述网络地址所属的目标网段，从网段与执行节点之间的对应关系中，确定所述目标网段对应的所述目标执行节点之前，所述方法还包括：接收配置指令，所述配置指令用于指示网段与执行节点之间的对应关系。通过这种可选方式，达到的效果至少可以包括：可以支持安全组订阅配置的功能，满足用户的自定义需求。可选地，所述接收认证节点发送的终端的安全组关联信息，包括：接收第一认证节点发送的第一终端的第一安全组关联信息，所述第一安全组关联信息用于指示所述第一终端的网络地址与所述第一终端所属的第一安全组之间的映射关系；接收第二认证节点发送的第二终端的第二安全组关联信息，所述第二认证节点与所述第一认证节点不同，所述第二安全组关联信息用于指示所述第二终端的网络地址与所述第二终端所属的第二安全组之间的映射关系；相应地，所述确定包括目标执行节点的至少一个执行节点，包括：确定包括第一目标执行节点的至少一个执行节点，所述第一目标执行节点用于按照安全组策略处理所述第一终端与所述第二终端之间传输的报文。可选地，所述接收所述认证节点发送的所述终端的安全组关联信息，包括：接收第三认证节点发送的第三终端的第三安全组关联信息，所述第三安全组关联信息用于指示所述第三终端的网络地址与所述第三终端所属的第三安全组之间的映射关系；相应地，所述确定包括目标执行节点的至少一个执行节点，包括：确定包括第二目标执行节点的至少一个执行节点，所述第二目标执行节点用于按照安全组策略处理所述第三终端与网络资源之间传输的报文。可选地，所述接收认证节点发送的终端的安全组关联信息，包括：接收授权设备发送的终端的安全组关联信息；或者，接收认证点设备发送的终端的安全组关联信息，所述终端的安全组关联信息由授权设备发送至所述认证点设备。可选地，所述接收授权设备发送的终端的安全组关联信息，包括：接收第一授权设备发送的终端的安全组关联信息，所述第一授权设备为支持目标功能的授权设备，所述目标功能为将安全组关联信息发送至同步节点的功能。可选地，所述终端的安全组关联信息由授权设备发送至所述认证点设备，包括：所述终端的安全组信息由第二授权设备发送至所述认证点设备，所述第二授权设备为不支持目标功能的授权设备。可选地，所述方法还包括：接收所述认证节点发送的所述终端的更新后的安全组关联信息；将所述更新后的安全组关联信息发送至所述至少一个执行节点；其中，所述更新后的安全组关联信息用于指示所述终端的更新后的网络地址与所述安全组之间的映射关系，或者，所述更新后的安全组关联信息用于指示所述终端的网络地址与所述终端所属的更新后的安全组之间的映射关系，或者，所述更新后的安全组关联信息用于指示所述终端的更新后的网络地址与所述终端所属的更新后的安全组之间的映射关系。通过这种可选方式，达到的效果至少可以包括:如果终端的当前位置发生变化，则终端的网络地址或安全组可以发生更新，使得认证节点能够随着终端的当前位置的更新，更新安全组关联信息，并将更新后的安全组关联信息上报该同步节点，使得同步节点能够得到更新后的终端的安全组关联信息，保证同步节点存储的终端的安全组关联信息的准确性。可选地，所述将所述安全组关联信息发送至所述目标执行节点之前，所述方法还包括：按照结构化数据格式，对所述安全组关本文档来自技高网...

【技术保护点】
1.一种信息同步方法，其特征在于，所述方法包括：/n接收认证节点发送的终端的安全组关联信息，所述安全组关联信息用于指示所述终端的网络地址与所述终端所属的安全组之间的映射关系；/n确定包括目标执行节点的至少一个执行节点，所述目标执行节点用于按照安全组策略处理所述终端的报文；/n将所述安全组关联信息发送至所述至少一个执行节点。/n

【技术特征摘要】
1.一种信息同步方法，其特征在于，所述方法包括：
接收认证节点发送的终端的安全组关联信息，所述安全组关联信息用于指示所述终端的网络地址与所述终端所属的安全组之间的映射关系；
确定包括目标执行节点的至少一个执行节点，所述目标执行节点用于按照安全组策略处理所述终端的报文；
将所述安全组关联信息发送至所述至少一个执行节点。


2.根据权利要求1所述的方法，其特征在于，所述确定包括目标执行节点的至少一个执行节点，包括：
根据所述网络地址所属的目标网段，从网段与执行节点之间的对应关系中，确定所述目标网段对应的所述目标执行节点；或者，
确定网络中的每个执行节点。


3.根据权利要求2所述的方法，其特征在于，所述根据所述网络地址所属的目标网段，从网段与执行节点之间的对应关系中，确定所述目标网段对应的所述目标执行节点之前，所述方法还包括：
接收配置指令，所述配置指令用于指示网段与执行节点之间的对应关系。


4.根据权利要求1至3任一项所述的方法，其特征在于，所述接收认证节点发送的终端的安全组关联信息，包括：
接收第一认证节点发送的第一终端的第一安全组关联信息，所述第一安全组关联信息用于指示所述第一终端的网络地址与所述第一终端所属的第一安全组之间的映射关系；
接收第二认证节点发送的第二终端的第二安全组关联信息，所述第二认证节点与所述第一认证节点不同，所述第二安全组关联信息用于指示所述第二终端的网络地址与所述第二终端所属的第二安全组之间的映射关系；
相应地，所述确定包括目标执行节点的至少一个执行节点，包括：
确定包括第一目标执行节点的至少一个执行节点，所述第一目标执行节点用于按照安全组策略处理所述第一终端与所述第二终端之间传输的报文。


5.根据权利要求1至3任一项所述的方法，其特征在于，所述接收认证节点发送的终端的安全组关联信息，包括：
接收第三认证节点发送的第三终端的第三安全组关联信息，所述第三安全组关联信息用于指示所述第三终端的网络地址与所述第三终端所属的第三安全组之间的映射关系；
相应地，所述确定包括目标执行节点的至少一个执行节点，包括：
确定包括第二目标执行节点的至少一个执行节点，所述第二目标执行节点用于按照安全组策略处理所述第三终端与网络资源之间传输的报文。


6.根据权利要求1至5任一项所述的方法，其特征在于，所述接收认证节点发送的终端的安全组关联信息，包括：
接收授权设备发送的终端的安全组关联信息；或者，
接收认证点设备发送的终端的安全组关联信息，所述终端的安全组关联信息由授权设备发送至所述认证点设备。


7.根据权利要求1至6任一项所述的方法，其特征在于，所述方法还包括：
接收所述认证节点发送的所述终端的更新后的安全组关联信息；
将所述更新后的安全组关联信息发送至所述至少一个执行节点；
其中，所述更新后的安全组关联信息用于指示所述终端的更新后的网络地址与所述安全组之间的映射关系，或者，所述更新后的安全组关联信息用于指示所述终端的网络地址与所述终端所属的更新后的安全组之间的映射关系，或者，所述更新后的安全组关联信息用于指示所述终端的更新后的网络地址与所述终端所属的更新后的安全组之间的映射关系。


8.一种认证方法，其特征在于，所述方法包括：
接收终端的认证请求；
对所述终端进行认证，得到所述终端所属的安全组；
根据所述终端的网络地址以及所述安全组，获取所述终端的安全组关联信息，所述安全组关联信息用于指示所述网络地址与所述终端所属的安全组之间的映射关系；
将所述安全组关联信息发送至同步节点，所述同步节点用于将所述安全组关联信息同步至包括目标执行节点的至少一个执行节点，所述目标执行节点用于按照安全组策略处理所述终端的报文。


9.根据权利要求8所述的方法，其特征在于，所述将所述安全组关联信息发送至同步节点，包括：
将所述安全组关联信息发送至认证点设备，所述安全组关联信息用于供所述认证点设备用于发送至所述同步节点。


10.根据权利要求8至9任一项所述的方法，其特征在于，所述方法还包括：
获取所述终端的更新后的网络地址，根据所述更新后的网络地址以及所述安全组，获取所述终端的更新后的安全组关联信息，所述更新后的安全组关联信息用于指示所述更新后的网络地址与所述安全组之间的映射关系，将所述更新后的安全组关联信息发送至所述同步节点；或者，
获取所述终端所属的更新后的安全组，根据所述终端的网络地址以及所述更新后的安全组，获取所述终端的更新后的安全组关联信息，所述更新后的安全组关联信息用于指示所述终端的网络地址与所述更新后的安全组之间的映射关系，将所述终端的更新后的安全组关联信息发送至所述同步节点；或者，
获取所述终端更新后的网络地址以及所述终端所属的更新后的安全组，根据所述更新后的网络地址以及所述更新后的安全组，获取所述终端的更新后的安全组关联信息，所述更新后的安全组关联信息用于指示所述更新后的网络地址与所述更新后的安全组之间的映射关系，将所述终端的更新后的安全组关联信息发送至所述同步节点。


11.一种信息同步装置，其特征在于，所述装置包括：
接收模块，用于接收认证节点发送的终端的安全组关联信息，所述安全组关联信...

【专利技术属性】
技术研发人员：黄忠金，
申请(专利权)人：华为技术有限公司，
类型：发明
国别省市：广东;44