本说明书提供一种认证方法及装置,所述认证方法包括:通过对安全组标识进行识别,如果安全组标识大于预设阈值,则分成两部分读取安全组标识,进而按照拆分后的安全组标识记录与用户信息的对应关系,从而可以在后续接收到用户的业务报文之后,按照拆分后的安全组标识对业务报文进行封装。目前的拆分方式,可以使得安全组的数量得到扩大,并且在使用VLAN ID作为安全组标识时,又能满足VLAN ID的标准规格。从而使得使用VLAN ID作为安全组标识成为可能。
【技术实现步骤摘要】
一种认证方法及装置
本说明书涉及通信
,尤其涉及一种认证方法及装置。
技术介绍
随着无线终端的普及,人们依赖于智能终端、便携机等接入无线网络的方式来实现随时随地的无线办公业务。但往往在企业中研发部门、市场部门等楼层及办公室内的无线网络和有线网络的接入权限会进行严格管控,防止部门内信息泄露,同时也造成了不方便,工作效率低等情况。各个厂家推出了不同的解决方案,整个网络中用户和终端可以不受位置限制,部署可以随意,位置接入可以随意,但是最终获取的网络资源和网络权限保持一致,最终达到网随人动的效果。在一种解决方案中,可以通过用户安全组来划分用户的访问权限,把相同访问权限的用户划分成一个组,即用户安全组。配置用户安全组前,首先需创建一个VPN(VirtualPrivateNetwork,虚拟专用网络),以创建用户的私网;然后再配置VXLAN(VirtualeXtensibleLocalAreaNetwork,虚拟扩展局域网),进一步的创建二层网络域(VXLAN)与私网(VPN)关联,其中,每个二层网络域(VXLAN)都会创建自己的ip网段;最后创建安全组,创建安全组时会给每个安全组分配一个唯一的SGT(Microsegment,微分段)标识安全组,SGT的长度为16bit,可取值范围为1-65535。安全组进而与私网(VPN)和二层网络域(VXLAN)关联。在一种应用场景中,如果想采用VLAN标识作为SGTID,那么用户认证授权的SGTID需要与VLAN相对应。然而由于VLANID长度为12比特,取值范围只有1~4094,即最多4094个。而4094个VLAN需要预留部分用于underlay配置,预留一大部分VLANID用于分配给Access接入设备的接口,能留给安全组的VLANID非常的有限,导致安全组的数量受VLANID数量的限制。因此,导致使用VLANID作为安全组标识的方案鲜少得到应用。
技术实现思路
为克服相关技术中存在的问题,本说明书提供了一种认证方法及装置。根据本说明书实施例的第一方面,提供一种认证方法,应用于接入设备,所述认证方法包括:向认证服务器发送用户设备的认证请求;接收所述认证服务器发送的认证通过报文,所述认证通过报文中包括用户设备所属的安全组标识;识别所述安全组标识,并判断安全组标识是否大于预设阈值;若所述安全组标识大于预设阈值,则分成两部分读取所述安全组标识,分成两部分分别记录拆分后的安全组标识与所述用户信息的对应关系。可选的,所述方法还包括:若所述安全组标识小于预设阈值,则直接记录所述安全组标识与所述用户信息的对应关系。可选的,所述方法还包括:接收所述用户设备发送的业务报文;识别所述业务报文中包括的用户信息;根据所述用户信息以及所述对应关系确定与所述业务报文对应的安全组标识;若所述安全组标识为拆分后的安全组标识,则根据拆分后的两个安全组标识为所述业务报文封装两层虚拟局域网标签vlantag。可选的,所述方法还包括:若所述安全组标识不是拆分后的安全组标识,则根据该安全组标识为所述业务报文封装一层vlantag。根据本说明书实施例的第二方面,提供一种认证方法,该认证方法可以应用于控制器,包括:接收安全组的创建请求,根据所述安全组的创建请求为所述安全组分配安全组标识;判断所述安全组标识是否小于预设阈值,若大于所述预设阈值,则将所述安全组标识拆分;建立拆分后的两个安全组标识与双层VLANID的对应关系;根据拆分后的两个安全组标识向汇聚设备下发双层VLAN的配置。根据本说明书实施例的第三方面,提供一种认证装置,该装置包括:第一发送模块、第一接收模块、第一判断模块、记录模块;第一发送模块,用于向认证服务器发送用户设备的认证请求;第一接收模块,用于接收所述认证服务器发送的认证通过报文,所述认证通过报文中包括用户设备所属的安全组标识;第一判断模块,用于识别所述安全组标识,并判断安全组标识是否大于预设阈值;若所述安全组标识大于预设阈值,则分成两部分读取所述安全组标识,记录模块分成两部分分别记录拆分后的安全组标识与所述用户信息的对应关系。可选的,所述记录模块还用于在所述安全组标识小于预设阈值,则直接记录所述安全组标识与所述用户信息的对应关系。可选的,所述第一接收模块还用于接收所述用户设备发送的业务报文;所述装置还包括识别模块、确定模块、封装模块;其中,所述识别模块用于识别所述业务报文中包括的用户信息;所述确定模块根据所述用户信息以及所述对应关系确定与所述业务报文对应的安全组标识;若所述安全组标识为拆分后的安全组标识,则所述封装模块根据拆分后的两个安全组标识为所述业务报文封装两层虚拟局域网标签vlantag。可选的,所述封装模块还用于若所述安全组标识不是拆分后的安全组标识,则根据该安全组标识为所述业务报文封装一层vlantag。根据本说明书实施例的第四方面,提供一种认证装置,该装置包括:第二接收模块,用于接收安全组的创建请求,根据所述安全组的创建请求为所述安全组分配安全组标识;第二判断模块,用于判断所述安全组标识是否小于预设阈值,若大于所述预设阈值,则将所述安全组标识拆分;映射模块,用于建立拆分后的两个安全组标识与双层VLANID的对应关系;第二发送模块,根据拆分后的两个安全组标识向汇聚设备下发双层VLAN的配置。本说明书的实施例提供的技术方案可以包括以下有益效果:本说明书实施例中,通过对安全组标识进行识别,如果安全组标识大于预设阈值,则分成两部分读取安全组标识,进而按照拆分后的安全组标识记录与用户信息的对应关系,从而可以在后续接收到用户的业务报文之后,按照拆分后的安全组标识对业务报文进行封装。目前的拆分方式,可以使得安全组的数量得到扩大,并且在使用VLANID作为安全组标识时,又能满足VLANID的标准规格。从而使得使用VLANID作为安全组标识成为可能。应当理解的是,以上的一般描述和后文的细节描述仅是示例性和解释性的,并不能限制本说明书。附图说明此处的附图被并入说明书中并构成本说明书的一部分,示出了符合本说明书的实施例,并与说明书一起用于解释本说明书的原理。图1是本申请提供的一种网络架构的示意图;图2是本申请实施例提供的认证方法的流程示意图;图3是本申请实施例提供的vlantag的结构示意图;图4是本申请又一实施例提供的认证方法的流程示意图;图5是本申请再一实施例提供的认证方法的流程示意图;图6是本申请提供的各个网络设备执行本申请认证方法的交互信令图;图7是本申请实施例提供的认证装置的结构示意图;图8是本申请再一实施例中提供的认证装置的结构示意图;图9是本申请又一实施例提供的认证装置的结构示意图。...
【技术保护点】
1.一种认证方法,其特征在于,应用于接入设备,包括:/n向认证服务器发送用户设备的认证请求;/n接收所述认证服务器发送的认证通过报文,所述认证通过报文中包括用户设备所属的安全组标识;/n识别所述安全组标识,并判断安全组标识是否大于预设阈值;/n若所述安全组标识大于预设阈值,则分成两部分读取所述安全组标识,分成两部分分别记录拆分后的安全组标识与所述用户信息的对应关系。/n
【技术特征摘要】
1.一种认证方法,其特征在于,应用于接入设备,包括:
向认证服务器发送用户设备的认证请求;
接收所述认证服务器发送的认证通过报文,所述认证通过报文中包括用户设备所属的安全组标识;
识别所述安全组标识,并判断安全组标识是否大于预设阈值;
若所述安全组标识大于预设阈值,则分成两部分读取所述安全组标识,分成两部分分别记录拆分后的安全组标识与所述用户信息的对应关系。
2.根据权利要求1所述的方法,其特征在于,所述方法还包括:
若所述安全组标识小于预设阈值,则直接记录所述安全组标识与所述用户信息的对应关系。
3.根据权利要求1所述的方法,其特征在于,所述方法还包括:
接收所述用户设备发送的业务报文;
识别所述业务报文中包括的用户信息;
根据所述用户信息以及所述对应关系确定与所述业务报文对应的安全组标识;
若所述安全组标识为拆分后的安全组标识,则根据拆分后的两个安全组标识为所述业务报文封装两层虚拟局域网标签vlantag。
4.根据权利要求3所述的方法,其特征在于,所述方法还包括:
若所述安全组标识不是拆分后的安全组标识,则根据该安全组标识为所述业务报文封装一层vlantag。
5.一种认证方法,其特征在于,应用于控制器,包括:
接收安全组的创建请求,根据所述安全组的创建请求为所述安全组分配安全组标识;
判断所述安全组标识是否小于预设阈值,若大于所述预设阈值,则将所述安全组标识拆分;
建立拆分后的两个安全组标识与双层VLANID的对应关系;
根据拆分后的两个安全组标识向汇聚设备下发双层VLAN的配置。
6.一种认证装置,其特征在于,包括:第一发送模块、第一接收模块、第一判断模块、记录模块;
第一...
【专利技术属性】
技术研发人员:郑萍萍,宫玉,
申请(专利权)人:新华三大数据技术有限公司,
类型:发明
国别省市:河南;41
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。