可运营网络配置方法及系统与流程
本申请涉及移动通信技术领域,具体涉及一种可运营网络配置方法及系统。
背景技术:
现有虚拟专用网(virtualprivatenetwork,简称vpn)系统包括两大类:1、基于运营商专有网络提供的专线vpn,包括基于物理通道的同步数字体系(synchronousdigitalhierarchy,简称sdh)/多业务传送平台(multi-servicetransportplatform,简称mstp)专线,以及基于多协议标签交换(multi-protocollabelswitching,简称mpls)vpn技术的专线。此类专线一般较为昂贵,并且受制于物理网络资源的限制,开通周期很长。2、基于互联网上采用隧道技术构建的vpn,包括点对点隧道协议(point-to-pointtunnelingprotocol,简称pptp)、请求评论(requestforcomments4301,简称rfc4301)定义的互联网安全协议(internetprotocolsecurity,简称ipsec)vpn、sslvpn等技术。这些vpn设备支持认证和加密,也不需要专门的专用线路,开通非常迅速。
无论是第一种还是第二种的vpn技术,其接入方式都是固定的点到点架构,无法提供一个动态的能够服务大范围甚至全球范围客户的vpn网络。对于第二种vpn,现有技术一般依赖于公钥基础设施(publickeyinfrastructure,简称pki)体系,需要部署证书授权中心(certificateauthority,简称ca),认证过程比较复杂,且无法和运营所需要的动态授权、实时计费系统进行关联。同时,在因特网上提供vpn服务,需要提供大量的vpn网关才能满足海量用户接入的需求,系统必须能够进行vpn网关的集中管理、调度,并且为每个用户端设备(customerpremiseequipment,简称cpe)指派最佳的服务vpn网关。
从2016年开始的软件定义广域网(softwaredefinedwideareanetwork,简称sdwan)技术架构提供一种基于集中控制的虚拟专用网络接入架构,其侧重于网络开通的自动化部署,可以保证即使用户设备在网络地址转换(networkaddresstranslation简称nat)后也能够自动接入网络并完成网络的自动化配置。但是其一般没有考虑将vpn接入认证和用户授权、计费进行关联,因此无法支持真正可运营的网络。
因此,本申请提供一种可运营网络配置方法及系统,以解决上述问题。
技术实现要素:
本申请实施例提供一种可运营网络配置方法及系统,解决sd-wan技术未将vpn接入认证和用户授权以及计费进行关联而无法支持可运营网络的问题。
根据本申请的第一方面,本申请实施例一种可运营网络配置方法,应用于可运营网络配置系统,所述可运营网络配置系统包括控制器、用户端设备以及网关,所述可运营网络配置方法包括:通过所述控制器生成一个随机数并发送至所述用户端设备以进行接入认证;判断所述用户端设备是否存在相应的访问权限;当判断出所述用户端设备存在相应的访问权限时,通过所述控制器为所述用户端设备分配一次性密码和至少一网关信息;通过所述控制器建立所述用户端设备和所述网关的网络连接。
进一步地,所述可运营网络配置方法还包括:在通过所述控制器生成一个随机数并发送至所述用户端设备以进行接入认证的步骤中,具体包括以下步骤:通过所述控制器接收所述用户端设备的认证请求信息,所述认证请求信息包括所述用户端设备的身份信息;判断所述身份信息是否记录于所述控制器的数据库;当判断出所述身份信息记录于所述数据库时,所述控制器发送认证挑战信息至所述用户端设备;通过所述控制器接收所述用户端设备的挑战响应信息;以及通过所述控制器验证所述挑战响应信息。
进一步地,在通过所述控制器接受所述用户端设备的认证请求信息的步骤中,所述控制器通过安全加密通道与所述用户端设备进行通信,其中,所述用户端设备预设所述控制器的域名或网络互联协议地址。
进一步地,在当判断出所述身份信息记录于所述数据库时,所述控制器发送认证挑战信息至所述用户端设备的步骤中,所述控制器生成一个随机数,并通过所述认证挑战信息传输至所述用户端设备。
进一步地,在所述控制器生成一个随机数,并通过所述认证挑战信息传输至所述用户端设备的步骤之后,包括以下步骤:通过所述用户端设备根据所述身份信息和所述随机数进行哈希计算以提取摘要值;通过所述用户端设备预设的私钥对所述摘要值进行签名以获得签名值;以及通过挑战响应信息传输所述签名值至所述控制器。
进一步地,在通过所述控制器验证所述挑战响应信息的步骤中,所述控制器通过预设的用户端设备公钥进行验证所述挑战响应信息中的签名值。
进一步地,在通过所述控制器为所述用户端设备分配一次性密码和至少一网关信息的步骤中,所述网关根据负载均衡策略信息进行分配。
进一步地,在通过所述控制器建立所述用户端设备和所述网关的网络连接的步骤中,包括以下步骤:通过所述用户端设备发送网络建立请求信息至所述网关;通过所述网关提取网络建立请求信息中的认证信息并发送至所述控制器;通过所述控制器对所述认证信息进行验证和授权;当所述验证和授权通过时,通过所述控制器发送认证通过信息至所述网关;以及通过所述网关发送所述认证通过信息至所述用户端设备以建立网络连接。
进一步地,在通过所述控制器建立所述用户端设备和所述网关的网络连接的步骤之后,包括以下步骤:通过所述控制器每隔一预设时间判断所述用户端设备是否存在访问权限;当所述用户端设备不存在访问权限时,通过所述控制器发送网络拆除请求至所述网关;以及所述网关发送所述网络拆除请求至所述用户端设备,以终止网络连接。
根据本申请的第二方面,本申请实施例提供一种可运营网络配置系统,所述可运营网络配置系统包括控制器、用户端设备以及网关,所述可运营网络配置系统包括:接入认证模块,用于通过所述控制器生成一个随机数并发送至所述用户端设备以进行接入认证;判断模块,用于判断所述用户端设备是否存在相应的访问权限;分配模块,用于当判断出所述用户端设备存在相应的访问权限时,通过所述控制器为所述用户端设备分配一次性密码和至少一网关信息;以及建立模块,用于通过所述控制器建立所述用户端设备和所述网关的网络连接。
本申请实施例提供一种可运营网络配置方法及系统,通过在自动部署控制器和用户端设备连接后,进行访问权限的判断及使用一次性密码进行授权,而且实时监测用户端设备的欠费情况,以实现接入认证与动态授权、实时计费进行关联,从而实现可运营网络。
附图说明
下面结合附图,通过对本申请的具体实施方式详细描述,将使本申请的技术方案及其它有益效果显而易见。
图1为本申请实施例提供的一种可运营网络配置方法的步骤流程示意图。
图2为图1所示的步骤s01的流程示意图。
图3为图2所示的步骤s13的流程示意图。
图4为图1所示的步骤s04的流程示意图。
图5为本申请实施例提供的一种可运营网络配置系统的结构示意图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述。显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
本申请的说明书和权利要求书以及上述附图中的术语“第一”、“第二”、“第三”等(如果存在)是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应当理解,这样描述的对象在适当情况下可以互换。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含。
在具体实施方式中,下文论述的附图以及用来描述本申请公开的原理的各实施例仅用于说明,而不应解释为限制本申请公开的范围。所属领域的技术人员将理解,本申请的原理可在任何适当布置的系统中实施。将详细说明示例性实施方式,在附图中示出了这些实施方式的实例。此外,将参考附图详细描述根据示例性实施例的移动终端。附图中的相同附图标号指代相同的元件。
本具体实施方式中使用的术语仅用来描述特定实施方式,而并不意图显示本申请的概念。除非上下文中有明确不同的意义,否则,以单数形式使用的表达涵盖复数形式的表达。在本申请说明书中,应理解,诸如“包括”、“具有”以及“含有”等术语意图说明存在本申请说明书中揭示的特征、数字、步骤、动作或其组合的可能性,而并不意图排除可存在或可添加一个或多个其他特征、数字、步骤、动作或其组合的可能性。附图中的相同参考标号指代相同部分。
在本申请的描述中,需要说明的是,除非另有明确的规定和限定,术语“安装”、“相连”、“连接”应做广义理解,例如,可以是固定连接,也可以是可拆卸连接,或一体地连接;可以是机械连接,也可以是电连接或可以相互通讯;可以是直接相连,也可以通过中间媒介间接相连,可以是两个元件内部的连通或两个元件的相互作用关系。对于本领域的普通技术人员而言,可以根据具体情况理解上述术语在本申请中的具体含义。
下文的公开提供了许多不同的实施方式或例子用来实现本申请的不同结构。为了简化本申请的公开,下文中对特定例子的部件和设置进行描述。当然,它们仅仅为示例,并且目的不在于限制本申请。此外,本申请可以在不同例子中重复参考数字和/或参考字母,这种重复是为了简化和清楚的目的,其本身不指示所讨论各种实施方式和/或设置之间的关系。此外,本申请提供了的各种特定的工艺和材料的例子,但是本领域普通技术人员可以意识到其他工艺的应用和/或其他材料的使用。
具体的,请参阅图1,本申请实施例提供一种可运营网络配置方法,应用于可运营网络配置系统,所述可运营网络配置系统包括控制器、用户端设备以及网关,其中网络优选为虚拟专用网(vpn),可运营网络配置方法包括以下步骤。
步骤s01,通过所述控制器生成一个随机数并发送至所述用户端设备以进行接入认证。
在本申请实施例中,其中运营者或系统的实施者分别为用户端设备、控制器颁发证书,用户端设备预设证书和私钥,控制器和用户端设备均预设对证书进行签名验证的上级证书。系统采用用户端设备证书公钥的128bit哈希值(可以使用文本话的uuid形式表示,uuid即universallyuniqueidentifier的缩写,表示通用唯一识别码)来表示用户端设备(以下称设备id);同时控制器中预设系统中所有的用户端设备公钥证书,以便用于对用户端设备的认证。控制器会和用户端设备之间进行配置数据能够自动下发和校验,以实现真正的自动化业务部署。
具体的,控制器和用户端设备进行双向认证,即用户端设备向控制器发起连接建立请求,用户端设备通过预设的控制器公钥判断所述控制器是否通过验证。
参阅图2,步骤s01包括步骤s11至步骤s15。
步骤s11,通过所述控制器接收所述用户端设备的认证请求信息,所述认证请求信息包括所述用户端设备的身份信息。
在本申请实施例中,所述控制器通过安全加密通道与所述用户端设备进行通信,其中,所述用户端设备预设所述控制器的域名或网络互联协议地址,安全加密通道为超文本传输安全协议(hypertexttransferprotocoloversecuresocketlayer,简称https)加密通道。
步骤s12,判断所述身份信息是否记录于所述控制器的数据库。
在本申请实施例中,控制器通过预设的用户端设备公钥和硬件序列号来判断用户端设备的身份信息是否记录于数据库中。控制器的数据库预设多个用户端设备的身份信息,即用户端设备公钥的哈希值。
步骤s13,当判断出所述身份信息记录于所述数据库时,所述控制器发送认证挑战信息至所述用户端设备。
在本申请实施例中,控制器发送认证挑战信息至用户端设备,以使用户端设备使用私钥进行签名,保证其合法性。
参阅图3,步骤s13包括步骤s131至步骤s134。
步骤s131,所述控制器生成一个随机数,并通过所述认证挑战信息传输至所述用户端设备。
步骤s132,通过所述用户端设备根据所述身份信息和所述随机数进行哈希计算以提取摘要值。
在本申请实施例中,身份信息和随机数进行哈希计算,在计算后会返回一串固定长度的字符串,又称哈希值(摘要值)。单向哈希函数用于产生摘要值。哈希函数主要可以解决以下两个问题:在某一特定的时间内,无法查找经哈希操作后生成特定哈希值的原报文;也无法查找两个经哈希操作后生成相同哈希值的不同报文。这样在数字签名中就可以解决验证签名和用户身份验证、不可抵赖性的问题。摘要值简要地描述了一份较长的信息或文件,它可以被看作一份长文件的“数字指纹”。摘要值用于创建数字签名,对于特定的文件而言,信息摘要是唯一的。摘要值可以被公开,它不会透露相应文件的任何内容。
步骤s133,通过所述用户端设备预设的私钥对所述摘要值进行签名以获得签名值。
在本申请实施例中,对摘要值进行签名以进行加密,增强通信安全性。
步骤s134,通过挑战响应信息传输所述签名值至所述控制器。
继续参阅图2。
步骤s14,通过所述控制器接收所述用户端设备的挑战响应信息。
步骤s15,通过所述控制器验证所述挑战响应信息。
在本申请实施例中,通过预设用户端设备的公钥对挑战响应信息进行验证,以证明用户端设备是否合法。
继续参阅图1。
步骤s02,判断所述用户端设备是否存在相应的访问权限。
在本申请实施例中,可以通过判断用户端设备是否存在欠费或者是否被管理员禁止的等情况,若不存在欠费也不存在被管理员禁止的情况,说明用户端设备存在相应的访问权限,否则,用户端设备不存在相应的访问权限。将网络的接入认证和用户授权以及计费进行相关联,使其支持可运营。
步骤s03,当判断出所述用户端设备存在相应的访问权限时,通过所述控制器为所述用户端设备分配一次性密码和至少一网关信息。
在本申请实施例中,网关由控制器根据负载均衡策略信息进行分配,一次性密码(onetimepassword,简称otp)用于登录该网关,且otp仅在本次登录生命周期内有效。
具体的,控制器将不同的用户端设备的隧道连接根据某种负载均衡算法均匀地分散到多个网关设备上,不同用户设备的流量以期望的规则分摊到多个操作单元(网关)上进行中转,达到负载分担的目的。并通过负载均衡策略可以实现横向扩展(scaleout),也同时支持冗余备份。
步骤s04,通过所述控制器建立所述用户端设备和所述网关的网络连接。
参阅图4,步骤s04包括步骤s41至步骤s45。
步骤s41,通过所述用户端设备发送网络建立请求信息至所述网关。
在本申请实施例中,网络建立请求信息种包括一次性密码以及签名值。
步骤s42,通过所述网关提取网络建立请求信息中的认证信息并发送至所述控制器。
在本申请实施例中,认证信息包括一次性密码以及签名值。
步骤s43,通过所述控制器对所述认证信息进行验证和授权。
在本申请实施例中,通过认证信息中的一次性密码与控制器进行接入认证时下发的一次性密码进行匹配,以及通过认证信息中的签名值与控制器接入认证时接收到的签名值进行匹配。
步骤s44,当所述验证和授权通过时,通过所述控制器发送认证通过信息至所述网关。
在本申请实施例中,一次性密码以及签名值均匹配成功,则说明验证和授权通过,控制器发送认证通过信息至网关。
步骤s45,通过所述网关发送所述认证通过信息至所述用户端设备以建立网络连接。
继续参阅图1。
步骤s05,通过所述控制器每隔一预设时间判断所述用户端设备是否存在访问权限。
在本申请实施例中,定期检查连接至网络的用户端设备是否存在访问权限,如使用过程中是否存在欠费以及是否被管理员禁止使用等,若尚在上述任一情况,则不存在访问权限,以实现可运营。
步骤s06,当所述用户端设备不存在访问权限时,通过所述控制器发送网络拆除请求至所述网关。
步骤s07,所述网关发送所述网络拆除请求至所述用户端设备,以终止网络连接。
在本申请实施例中,用户端设备不存在访问权限时,进行拆除网络,以终止网络连接。
参阅图5,本申请实施例提供一种可运营网络配置系统,其包括接入认证模块501、判断模块502、分配模块503以及建立模块504。
接入认证模块501用于通过所述控制器对所述用户端设备进行接入认证。
在本申请实施例中,其中运营者或系统的实施者分别为用户端设备、控制器颁发证书,用户端设备预设证书和私钥,控制器和用户端设备均预设对证书进行签名验证的上级证书。系统采用用户端设备证书公钥的128bit哈希值(可以使用文本话的uuid形式表示,uuid即universallyuniqueidentifier的缩写,表示通用唯一识别码)来表示用户端设备(以下称设备id);同时控制器中预设系统中所有的用户端设备公钥证书,以便用于对用户端设备的认证。控制器会和用户端设备之间进行配置数据能够自动下发和校验,以实现真正的自动化业务部署。
判断模块502用于判断所述用户端设备是否存在相应的访问权限。
在本申请实施例中,可以通过判断用户端设备是否存在欠费或者是否被管理员禁止的等情况,若不存在欠费也不存在被管理员禁止的情况,说明用户端设备存在相应的访问权限,否则,用户端设备不存在相应的访问权限。将网络的接入认证和用户授权以及计费进行相关联,使其支持可运营。
分配模块503用于当判断出所述用户端设备存在相应的访问权限时,通过所述控制器为所述用户端设备分配一次性密码和至少一网关信息。
在本申请实施例中,网关由控制器根据负载均衡策略信息进行分配,一次性密码(onetimepassword,简称otp)用于登录该网关,且otp仅在本次登录生命周期内有效。
具体的,控制器将不同的用户端设备的隧道连接根据某种负载均衡算法均匀地分散到多个网关设备上,不同用户设备的流量以期望的规则分摊到多个操作单元(网关)上进行中转,达到负载分担的目的。并通过负载均衡策略可以实现横向扩展(scaleout),也同时支持冗余备份。
建立模块504用于通过所述控制器建立所述用户端设备和所述网关的网络连接。
在本申请实施例中,通过所述用户端设备发送网络建立请求信息至所述网关。网络建立请求信息种包括一次性密码以及签名值。
通过所述网关提取网络建立请求信息中的认证信息并发送至所述控制器。认证信息包括一次性密码以及签名值。
通过所述控制器对所述认证信息进行验证和授权。通过认证信息中的一次性密码与控制器进行接入认证时下发的一次性密码进行匹配,以及通过认证信息中的签名值与控制器接入认证时接收到的签名值进行匹配。
当所述验证和授权通过时,通过所述控制器发送认证通过信息至所述网关。一次性密码以及签名值均匹配成功,则说明验证和授权通过,控制器发送认证通过信息至网关。
通过所述网关发送所述认证通过信息至所述用户端设备以建立网络连接。
本申请实施例提供一种可运营网络配置方法及系统,通过在自动部署控制器和用户端设备连接后,进行访问权限的判断及使用一次性密码进行授权,而且实时监测用户端设备的欠费情况,以实现接入认证与动态授权、实时计费进行关联,从而实现可运营网络。
在上述实施例中,对各个实施例的描述都各有侧重,某个实施例中没有详述的部分,可以参见其他实施例的相关描述。
以上对本申请实施例所提供的一种可运营网络配置方法及系统进行了详细介绍,本文中应用了具体个例对本申请的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本申请的技术方案及其核心思想;本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本申请各实施例的技术方案的范围。
- 还没有人留言评论。精彩留言会获得点赞!