本发明涉及通信领域,特别涉及一种用于在vxlan中实现身份检验的方法和系统。
背景技术:
vxlan(virtualextensiblelan,可扩展虚拟局域网络)通过upd(userdatagramprotocol,用户数据报协议)协议扩展,实现报文二层信息的跨三层传递,是当前叠加网络实现的代表,目前已应用在云多租户业务及二层专线业务中。
由于vxlan通过vni(vxlannetworkidentifier,vxlan网络标识符)实现多租户之间的区分,因此无法对同一租户的多个用户之间的身份进行校验。
技术实现要素:
本发明实施例提供一种在vxlan中实现身份检验的方法和系统,通过重新定义vxlan报头,携带通信节点的身份信息,从而可有效实现通信节点之间的身份检验,提升了vxlan业务的安全行。
根据本发明的一个方面,提供一种用于在vxlan中实现身份检验的方法,包括:
信息发送端向信息接收端发送vxlan报文,其中vxlan报文的指定字段中包含信息接收端的身份标识信息;
信息接收端在接收到vxlan报文后,从vxlan报文的指定字段中提取出信息接收端的身份标识信息;
信息接收端将提取出的信息接收端身份标识信息与自身存储的身份标识信息进行比较;
若提取出的信息接收端身份标识信息与自身存储的身份标识信息一致,则信息接收端对vxlan报文进行相应处理。
在一个实施例中,若提取出的信息接收端身份标识信息与自身存储的身份标识信息不一致,则信息接收端将vxlan报文丢弃。
在一个实施例中,vxlan报文的指定字段中还包括信息发送端的身份标识信息。
在一个实施例中,信息接收端在接收到vxlan报文后,还从vxlan报文的指定字段中提取出信息发送端的身份标识信息;
判断信息发送端的身份标识信息是否合法;
若信息发送端的身份标识信息合法,则执行将提取出的信息接收端身份标识信息与自身存储的身份标识信息进行比较的步骤。
在一个实施例中,若信息发送端身份标识信息不合法,则信息接收端将vxlan报文丢弃。
在一个实施例中,信息发送端与信息接收端在建立vxlan连接时,分别获得自身的身份标识信息以及对方的身份标识信息。
根据本发明的另一方面,提供一种用于在vxlan中实现身份检验的系统,包括信息发送端和信息接收端,其中:
信息发送端,用于向信息接收端发送vxlan报文,其中vxlan报文的指定字段中包含信息接收端的身份标识信息;
信息接收端,用于在接收到vxlan报文后,从vxlan报文的指定字段中提取出信息接收端的身份标识信息;将提取出的信息接收端身份标识信息与自身存储的身份标识信息进行比较,若提取出的信息接收端身份标识信息与自身存储的身份标识信息一致,则信息接收端对vxlan报文进行相应处理。
在一个实施例中,信息接收端还用于在提取出的信息接收端身份标识信息与自身存储的身份标识信息不一致的情况下,将vxlan报文丢弃。
在一个实施例中,vxlan报文的指定字段中还包括信息发送端的身份标识信息。
在一个实施例中,信息接收端还用于在接收到vxlan报文后,从vxlan报文的指定字段中提取出信息发送端的身份标识信息,判断信息发送端的身份标识信息是否合法;若信息发送端的身份标识信息合法,则执行将提取出的信息接收端身份标识信息与自身存储的身份标识信息进行比较的操作。
在一个实施例中,信息接收端还用于在信息发送端身份标识信息不合法的情况下,将vxlan报文丢弃。
在一个实施例中,信息发送端与信息接收端还用于在建立vxlan连接时,分别获得自身的身份标识信息以及对方的身份标识信息。
通过以下参照附图对本发明的示例性实施例的详细描述,本发明的其它特征及其优点将会变得清楚。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1为本发明用于在vxlan中实现身份检验的方法一个实施例的示意图。
图2为本发明用于在vxlan中实现身份检验的方法另一实施例的示意图。
图3为现有技术中的vxlan架构示意图。
图4为本发明中的vxlan架构示意图。
图5为本发明用于在vxlan中实现身份检验的系统一个实施例的示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。以下对至少一个示例性实施例的描述实际上仅仅是说明性的,决不作为对本发明及其应用或使用的任何限制。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
除非另外具体说明,否则在这些实施例中阐述的部件和步骤的相对布置、数字表达式和数值不限制本发明的范围。
同时,应当明白,为了便于描述,附图中所示出的各个部分的尺寸并不是按照实际的比例关系绘制的。
对于相关领域普通技术人员已知的技术、方法和设备可能不作详细讨论,但在适当情况下,所述技术、方法和设备应当被视为授权说明书的一部分。
在这里示出和讨论的所有示例中,任何具体值应被解释为仅仅是示例性的,而不是作为限制。因此,示例性实施例的其它示例可以具有不同的值。
应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步讨论。
图1为本发明用于在vxlan中实现身份检验的方法一个实施例的示意图。其中:
步骤101,信息发送端向信息接收端发送vxlan报文,其中vxlan报文的指定字段中包含信息接收端的身份标识信息。
步骤102,信息接收端在接收到vxlan报文后,从vxlan报文的指定字段中提取出信息接收端的身份标识信息。
步骤103,信息接收端将提取出的信息接收端身份标识信息与自身存储的身份标识信息进行比较。
步骤104,若提取出的信息接收端身份标识信息与自身存储的身份标识信息一致,则信息接收端对vxlan报文进行相应处理。
可选地,若提取出的信息接收端身份标识信息与自身存储的身份标识信息不一致,则信息接收端将vxlan报文丢弃。
基于本发明上述实施例提供的用于在vxlan中实现身份检验的方法,通过重新定义vxlan报头,携带通信节点的身份信息,从而可有效实现通信节点之间的身份检验,提升了vxlan业务的安全性。
在上述实施例中,vxlan报文中仅携带了信息接收端的身份标识信息,在另一实施例中,vxlan报文中还可携带信息发送端的身份标识,以便进一步提升系统安全性。
图2为本发明用于在vxlan中实现身份检验的方法另一实施例的示意图,其中:
步骤201,信息发送端向信息接收端发送vxlan报文,其中vxlan报文的指定字段中包含信息发送端的身份标识信息和信息接收端的身份标识信息。
步骤202,信息接收端在接收到vxlan报文后,从vxlan报文的指定字段中提取出信息发送端的身份标识信息以及信息接收端的身份标识信息。
步骤203,信息接收端判断信息发送端的身份标识信息是否合法。
例如,身份标识信息有一定的格式规范,若不符合该格式规范,则可认定该报文非法。
其中,若信息发送端的身份标识信息合法,则执行步骤204;若信息发送端身份标识信息不合法,则执行步骤206。
步骤204,信息接收端进一步判断提取出的信息接收端身份标识信息是否与自身存储的身份标识信息一致。若提取出的信息接收端身份标识信息与自身存储的身份标识信息一致,则执行步骤205;若提取出的信息接收端身份标识信息与自身存储的身份标识信息不一致,则执行步骤206。
步骤205,信息接收端对vxlan报文进行相应处理。之后不再执行本实施例的其它步骤。
步骤206,信息接收端将vxlan报文丢弃。
其中,在系统初始化过程中,信息发送端和信息接收端建立vxlan连接,获得相应的vni信息及彼此的身份标识信息,从而在后续的通信过程中可利用所得到的双方的身份标识信息进行身份验证。
图3为现有技术中的vxlan架构示意图。从图中可以看到,现有的vxlan报头中设有预留字段,为此本发明提出将通信双方的身份标识信息设置在该预留字段中,从而在无需对现有网络架构进行调整的情况下,实现通信节点之间的身份检验。
图4为现有技术中的vxlan架构示意图。如图4所示,在原预留字段中加入信息发送端身份标识s-id,以及信息接收端身份标识d-id,s-id和d-id各占一个字节的空间。通过利用s-id和d-id,可实现通信节点之间的身份检验。
图5为本发明用于在vxlan中实现身份检验的系统一个实施例的示意图。如图5所示,该系统包括信息发送端501和信息接收端502。其中:
信息发送端501用于向信息接收端502发送vxlan报文,其中vxlan报文的指定字段中包含信息接收端的身份标识信息。
信息接收端502用于在接收到vxlan报文后,从vxlan报文的指定字段中提取出信息接收端的身份标识信息;将提取出的信息接收端身份标识信息与自身存储的身份标识信息进行比较,若提取出的信息接收端身份标识信息与自身存储的身份标识信息一致,则信息接收端502对vxlan报文进行相应处理。
可选地,信息接收端502还用于在提取出的信息接收端身份标识信息与自身存储的身份标识信息不一致的情况下,将vxlan报文丢弃。
基于本发明上述实施例提供的用于在vxlan中实现身份检验的系统,通过重新定义vxlan报头,携带通信节点的身份信息,从而可有效实现通信节点之间的身份检验,提升了vxlan业务的安全性。
可选地,vxlan报文的指定字段中还包括信息发送端的身份标识信息。
在另一实施例中,信息接收端502还用于在接收到vxlan报文后,从vxlan报文的指定字段中提取出信息发送端的身份标识信息,判断信息发送端的身份标识信息是否合法;若信息发送端的身份标识信息合法,则执行将提取出的信息接收端身份标识信息与自身存储的身份标识信息进行比较的操作。
可选地,信息接收端502还用于在信息发送端身份标识信息不合法的情况下,将vxlan报文丢弃。
可选地,信息发送端501与信息接收端502还用于在建立vxlan连接时,分别获得自身的身份标识信息以及对方的身份标识信息。
下面通过一个具体实例对本发明进行说明。
在大二层网络中,端点a与端点b需要进行报文交互,相应的处理如下:
1)系统初始化,端点a与端点b建立vxlan连接。
2)端点a与端点b获得vni信息及双方的身份标识信息。
3)端点a向端点b发送报文时,将端点a的身份信息s-id和端点b的身份信息d-id分装至vxlan报文中。
4)端点b收到报文后,先检验s-id是否合法。
5)在确定报文的合法来源后,进一步检验d-id是否与自己存储的身份信息相一致。
6)若d-id与自己存储的身份信息相一致,则端点b将报文发送至相应的客户端进行处理。
相应地,若d-id与自己存储的身份信息不相一致,则端点b直接将该报文丢弃。
对应地,若端点b向端点a发送报文,也采用上述处理方式。
针对现有vxlan互通节点之间缺乏身份标识而给网络管理及业务运营带来的难题,本发明提出了通过利用vxlan预留字段定义节点身份标识,从而可有效实现通信节点之间的身份检验,提升了vxlan业务的安全性。
本领域普通技术人员可以理解实现上述实施例的全部或部分步骤可以通过硬件来完成,也可以通过程序来指令相关的硬件完成,所述的程序可以存储于一种计算机可读存储介质中,上述提到的存储介质可以是只读存储器,磁盘或光盘等。
本发明的描述是为了示例和描述起见而给出的,而并不是无遗漏的或者将本发明限于所公开的形式。很多修改和变化对于本领域的普通技术人员而言是显然的。选择和描述实施例是为了更好说明本发明的原理和实际应用,并且使本领域的普通技术人员能够理解本发明从而设计适于特定用途的带有各种修改的各种实施例。