CN109936515B - 接入配置方法、信息提供方法及装置 - Google Patents
接入配置方法、信息提供方法及装置 Download PDFInfo
- Publication number
- CN109936515B CN109936515B CN201711365123.5A CN201711365123A CN109936515B CN 109936515 B CN109936515 B CN 109936515B CN 201711365123 A CN201711365123 A CN 201711365123A CN 109936515 B CN109936515 B CN 109936515B
- Authority
- CN
- China
- Prior art keywords
- configuration information
- information
- controller
- access
- customer premises
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 130
- 238000004891 communication Methods 0.000 claims abstract description 20
- 230000003068 static effect Effects 0.000 claims description 33
- 230000004044 response Effects 0.000 claims description 24
- 230000003993 interaction Effects 0.000 claims description 8
- 239000000284 extract Substances 0.000 claims description 5
- 238000000605 extraction Methods 0.000 claims 1
- 230000008569 process Effects 0.000 description 30
- 238000013461 design Methods 0.000 description 18
- 238000010586 diagram Methods 0.000 description 13
- 230000007246 mechanism Effects 0.000 description 10
- 238000012545 processing Methods 0.000 description 8
- 238000007726 management method Methods 0.000 description 7
- 230000006870 function Effects 0.000 description 6
- 230000005540 biological transmission Effects 0.000 description 5
- 230000000903 blocking effect Effects 0.000 description 3
- 230000002159 abnormal effect Effects 0.000 description 2
- 229920006235 chlorinated polyethylene elastomer Polymers 0.000 description 2
- 238000000136 cloud-point extraction Methods 0.000 description 2
- 230000007547 defect Effects 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 230000003287 optical effect Effects 0.000 description 2
- 238000004148 unit process Methods 0.000 description 2
- 101000995861 Arabidopsis thaliana Regulatory protein NPR1 Proteins 0.000 description 1
- 101000637625 Cricetulus griseus GTP-binding protein SAR1b Proteins 0.000 description 1
- 238000013500 data storage Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012795 verification Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/40—Network security protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本公开提供了一种接入配置方法、信息提供方法及装置,属于通信技术领域。所述方法包括:网关接收接入请求,所述接入请求携带有用户驻地设备的标识信息和认证类型信息;所述网关向控制器发送信息获取请求,所述信息获取请求用于指示所述控制器返回配置信息;所述网关接收所述控制器发送的配置信息;所述网关根据所述配置信息为所述用户驻地设备进行接入配置。本公开通过网关接收到用户驻地设备的接入请求时,实时从控制器获取具有时效性的配置信息,为用户驻地设备进行接入配置,因此可以有效避免由于网关中用户驻地设备的配置信息无法实时更新可能导致的接入失败现象。
Description
技术领域
本公开涉及通信技术领域,特别涉及一种接入配置方法、信息提供方法及装置。
背景技术
随着通信技术的发展,用户驻地设备(Customer Premises Equipment,CPE)可以通过网络安全协议(Internet Protocol Security,IPSec)接入网关(Gateway,GW),由GW为CPE建立IPSec隧道,便于CPE与GW之间进行通信。
目前,一般在GW上静态配置有每个CPE与网关建立IPSec隧道时需要的配置信息。例如,CPE与GW通过建立完成的IPSec隧道进行通信时所需的认证密钥、服务质量(Qualityof Service,Qos)、向其他GW转发数据所需的虚拟专用网络(Virtual Private Network,VPN)信息、认证类型、密钥、保活时间等,其中,认证密钥、Qos以及VPN信息涉及到CPE的通信安全、通信质量,因而这三者为该CPE的关键配置信息。当CPE需要接入GW时,CPE可以向GW发送接入请求,由负载均衡器(Load Balance,LB)将CPE发送的接入请求实时分配给某一个GW,则GW在接收到接入请求时,可以提取该CPE的配置信息,为CPE进行接入配置,在CPE与GW之间建立起IPSec隧道,从而实现CPE与GW之间的通信。
在实现本公开的过程中,发明人发现现有技术至少存在以下问题:
由于GW的数目很大,CPE在想要接入GW时,可以由负载均衡器为其实时分配,因而CPE接入的GW不固定,这种场景下,一旦CPE的配置信息发生了更新,无法做到每个GW上该CPE的配置信息实时进行更新,可能导致CPE接入未实时进行更新的GW时接入失败。
发明内容
本公开实施例提供了一种接入配置方法、信息提供方法及装置,可以解决现有技术中接入失败的问题。所述技术方案如下:
第一方面,提供了一种接入配置方法,所述方法包括:
GW接收接入请求,所述接入请求携带有UE的标识信息;
所述GW向控制器发送信息获取请求,所述信息获取请求用于指示所述控制器返回配置信息;
所述GW接收所述控制器发送的配置信息;
所述GW根据所述配置信息为所述UE进行接入配置。
其中,该接入请求携带的CPE的标识信息可以是网络协议(Internet Protocol,IP)地址,也可以是CPE的用户身份信息,本公开对此不作限定。
该配置信息可以包括静态配置信息与关键配置信息,其中,静态配置信息可以是通用接入模板,该通用接入模板中可以包括上述协商模式、加密认证算法、认证类型、密钥以及保活时间等,关键配置信息为认证密钥、Qos以及VPN信息。
本公开实施例通过接收到CPE的接入请求时,实时获取控制器中存储的该CPE的配置信息,为CPE进行接入配置,由于控制器集中存储的CPE的配置信息可以实时更新,则GW获取到的配置信息具有时效性,因此可以有效避免由于GW中CPE的配置信息无法实时更新可能导致的接入失败现象。其中,控制器集中管理CPE的配置信息中的关键配置信息,进一步地还可以降低CPE的关键配置信息泄露的风险,从而提高了CPE接入的安全性,且,集中管理的模式更便于合理分配带宽,管理用户接入。
在一种可能设计中,所述为UE进行所述配置信息对应的接入配置,包括:
所述GW比较所述配置信息与所述GW中的静态配置信息;
当所述静态配置信息发生了更新时,所述GW对所述静态配置信息进行修改,与所述UE的标识信息进行对应存储。
本公开实施例可以弥补CPE的静态配置信息发生了更新,而GW没有实时更新的缺陷,因而GW可以根据更新后的静态配置信息以及关键配置信息进行接入配置,有效地避免了因GW中的静态配置信息无法实时更新而可能导致的接入失败现象。
在一种可能设计中,所述GW向控制器发送信息获取请求之后,所述方法还包括:
当接收到控制器发送的认证失败消息时,所述GW向UE发送接入失败消息。
本公开实施例通过设置认证失败机制,可以由控制器对CPE进行身份认证,对CPE接入情况进行集中管理。
在一种可能设计中,所述GW向控制器发送信息获取请求之后,所述方法还包括:
当在预设时长内未接收到所述配置信息,所述GW向UE发送接入失败消息。
本公开实施例通过设置超时认证失败机制,可以在请求长时间未得到响应时,确定认证失败,可以避免处理进程异常却一直占用资源。
在一种可能设计中,所述GW根据所述配置信息为所述UE进行接入配置之后,所述方法还包括:
接入配置完成后,所述GW向控制器发送响应消息,所述响应消息用于告知所述控制器已接收到所述配置信息,并完成接入配置。
在一种可能设计中,所述GW根据所述配置信息为所述UE进行接入配置之后,所述方法还包括:
当接收到断开请求时,所述GW根据所述断开请求携带的UE的标识信息,从缓存中删除所述配置信息,释放连接资源;或,
当检测到所述UE已断开连接时,所述GW根据所述UE的标识信息,从缓存中删除所述配置信息,释放连接资源。
本公开实施例通过设置保活机制和删除动态配置的机制在CPE正常断开连接或保活检测到CPE在规定的保活时间内没有任何交互时,删除动态配置信息,从而可以避免网络阻塞现象,降低GW的存储负担,上述从控制器获取到的配置信息与连接资源可以称为该CPE的动态配置信息。
在一种可能设计中,所述接入请求由UE通过网络密钥交换(Internet KeyExchange,IKE)协议发送至所述GW,所述信息获取请求由所述GW通过网络配置(NetworkConfiguration,Netconf)或Yang协议发送至所述控制器。
在一种可能设计中,所述配置信息包括认证密钥、服务质量Qos以及虚拟专用网络VPN信息。
在一种可能设计中,当GW当前的配置信息能满足认证接入要求时,所述GW根据所述GW当前的配置信息为所述UE进行接入配置。
第二方面,提供了一种信息提供方法,所述方法包括:
控制器接收GW发送的信息获取请求,所述信息获取请求携带有UE的标识信息;
所述控制器根据所述UE的标识信息,对所述UE进行身份认证;
当认证成功时,所述控制器按照标识信息与配置信息的对应关系,获取所述UE的标识信息对应的配置信息;
所述控制器向GW发送所述配置信息。
在一种可能设计中,所述控制器根据所述UE的标识信息,对所述UE进行身份认证,包括:
所述控制器在用户数据库查找所述UE的标识信息;
当所述用户数据库中包括所述UE的标识信息时,所述控制器从所述用户数据库中提取所述UE的标识信息对应的用户数据;
当所述用户数据指示所述UE具有接入权限时,所述控制器确定认证成功;
当在所述用户数据库中未查找到所述UE的标识信息,或所述用户数据指示所述UE没有接入权限时,所述控制器确定认证失败。
在一种可能设计中,所述方法还包括:当认证失败时,所述控制器向GW发送认证失败消息。
在一种可能设计中,所述控制器向GW发送所述配置信息之后,所述方法还包括:接收所述GW返回的响应消息。
在一种可能设计中,所述认证请求由UE通过IKE协议发送至所述GW,所述信息获取请求由所述GW通过Netconf或Yang协议发送至所述控制器。
在一种可能设计中,所述UE的配置信息的获取过程包括:
所述控制器通过与至少一个服务器进行交互,获取所述至少一个服务器上存储的UE的标识信息与配置信息;
所述控制器将所述UE的标识信息与配置信息的对应存储。
第三方面,提供了一种接入配置装置,应用于GW,所述装置包括多个功能模块,以实现上述第一方面以及第一方面的任一种可能设计的接入配置方法。
第四方面,提供了一种信息提供装置,应用于控制器,所述装置包括多个功能模块,以实现上述第二方面以及第二方面的任一种可能设计的信息提供方法。
第五方面,提供了一种GW,所述GW包括存储器和处理器,所述存储器上存储有多条指令,所述多条指令适于由所述处理器用来加载并执行上述第一方面以及第一方面的任一种可能设计的接入配置方法。
第六方面,提供了一种控制器,所述控制器包括存储器和处理器,所述存储器上存储有多条指令,所述多条指令适于由所述处理器用来加载并执行上述第二方面以及第二方面的任一种可能设计的信息提供方法。
第七方面,提供了一种计算机可读存储介质,所述计算机可读存储介质上存储有指令,所述指令被处理器执行以完成上述第一方面以及第一方面的任一种可能设计的接入配置方法或第二方面以及第二方面的任一种可能设计的信息提供方法。
第八方面,提供了一种通信系统,所述通信系统包括GW和控制器,其中,所述GW用于执行第一方面以及第一方面的任一种可能设计中的接入配置方法,所述控制器用于执行第二方面以及第二方面的任一种可能设计中的信息提供方法。
附图说明
图1是本公开实施例提供的一种接入配置方法和信息提供方法的实施环境示意图;
图2是本公开实施例提供的一种GW200的结构框图;
图3是本公开实施例提供的一种控制器300的结构框图;
图4是本公开实施例提供的一种接入配置方法流程图;
图5是本公开实施例提供的一种接入配置流程中报文传输的示意图;
图6是本公开实施例提供的一种接入配置方法流程图;
图7是本公开实施例提供的一种接入配置方法流程图;
图8是本公开实施例提供的一种接入配置方法流程图;
图9是本公开实施例提供的一种接入配置方法流程图;
图10是本公开实施例提供的一种接入配置装置的结构示意图;
图11是本公开实施例提供的一种接入配置装置的结构示意图;
图12是本公开实施例提供的一种信息提供装置的结构示意图;
图13是本公开实施例提供的一种信息提供装置的结构示意图。
具体实施方式
为了便于对本公开的理解,在这里对该接入配置方法和信息提供方法的实施环境进行介绍,参见图1,该实施环境中包括用户驻地设备CPE、网关GW和控制器(Controller)。
CPE是一种用户驻地设备,它通常可以基于静态配置的IPSec接口与GW进行IKE协商,由GW基于静态配置的IPSec接口为CPE配置正常通信所需的IPSec隧道,从而通过该IPSec隧道接入GW,从而可以在云数据中心中获取大量云数据,从而为用户提供网络通信服务。
GW是一种接入设备,它位于软件换架构中的边缘接入层,为CPE提供有接入接口。GW的基本功能为数据转发,还具有为CPE进行接入认证、建立通信隧道等功能,具体地,GW还可以对CPE进行流量管理等,在此不多做赘述。
控制器是一种网络管理设备,它可以被部署于各个数据中心中,GW可以通过与控制器进行通信获取信息,控制器也可以对GW发送的信息或者与其他控制器之间通信得到的信息进行分析,实现网络控制管理。在本公开实施例中,该控制器可以是软件定义网络(SoftwareDefined Network,SDN)控制器,也可以是其他安装有网络管理系统的服务器,本公开对此不作具体限定。
参见图1,CPE可以通过静态配置的IPSec接口与GW进行IKE协商,并由GW为该CPE配置IPSec隧道,在配置成功后的IPSec隧道上,CPE为该IPSec隧道的一端,GW为该IPSec隧道的另一端。该CPE与GW之间还可以包括LB,由LB为CPE分配GW。CPE与GW之间可以通过IKE进行交互,GW与控制器之间可以通过Netconf或Yang协议进行交互。当然,CPE与GW之间或GW与控制器之间的交互协议包括但不限于上述几种协议,本公开对此不作具体限定。
图2是本公开实施例提供的一种GW200的结构框图。参见图2,该GW包括:收发器201、存储器202和处理器203,该收发器201、该存储器202分别与该处理器203连接,该存储器202存储有程序代码,该处理器用于调用该程序代码,实现下述实施例中的接入配置方法。
例如,该收发器201可以为一物理接口卡,GW可以通过该物理接口卡接收其它设备发送的请求或消息,并可以通过该物理接口卡向其它设备发送请求或消息。
该处理器203可以为一网络处理器或中央处理器,物理接口卡接收到请求后,可以将请求或消息发送至该网络处理器中,网络处理器对请求进行校验处理,查找并分发表项至中央处理器,由中央处理器对该请求进行处理。
该存储器202可以为一转发表项存储器,用于存储上述网络处理器转发的表项。
图3是本公开实施例提供的一种控制器300的结构框图。例如,装置300可以被提供为一服务器。参见图3,控制器300包括:收发器301、存储器302和处理器303,该收发器301、该存储器302分别与该处理器303连接,该存储器302存储有程序代码,该处理器303用于调用该程序代码,实现下述实施例中的信息提供方法。
例如,该收发器301可以为一物理接口卡,可以通过该物理接口卡接收其它设备发送的请求或消息,并可以通过该物理接口卡向其它设备发送请求或消息。
该处理器303可以为一网络处理器或中央处理器,物理接口卡接收到请求后,可以将请求或消息发送至该网络处理器中,网络处理器对请求进行校验处理,查找并分发表项至中央处理器,由中央处理器对该请求进行处理。
该存储器302可以为一转发表项存储器,用于存储上述网络处理器转发的表项。
在示例性实施例中,还提供了一种计算机可读存储介质,例如包括指令的存储器,上述指令可由GW中的处理器执行以完成下述实施例中的接入配置方法或由控制器中的处理器执行以完成下述实施例中的信息提供方法。例如,该计算机可读存储介质可以是ROM、随机存取存储器(RAM)、CD-ROM、磁带、软盘和光数据存储设备等。
在示例性实施例中,还提供了一种通信系统,该通信系统包括上述图2所示的GW200和图3所示的控制器300,其中,该GW200与该控制器300通过上述收发器201和收发器301进行通信,该GW200上的存储器202存储有程序代码,GW200上的处理器203用于调用该程序代码,实现下述实施例中的接入配置方法中GW侧的方法步骤。该控制器300上的存储器302存储有程序代码,控制器300上的处理器303调用该程序代码时,实现下述实施例中的接入配置方法中控制器侧的方法步骤。
在本公开实施例中,CPE通过静态配置的IPSec接口与GW之间进行IKE协商,并通过该IKE协商过程,在CPE与GW之间配置IPSec隧道,以便于后续CPE与GW之间进行正常通信,传输通信数据。该IKE协商过程可以采用IKEV1协议,也可以采用IKEV2协议,而采用IKEV1协议时,还可以包括主模式和野蛮模式两种不同的协商模式,本公开实施例仅以采用IKEV2协议进行协商为例进行说明。而上述IKE协商过程中,GW需要基于该CPE的配置信息与CPE进行IKE协商,从而建立起IPSec隧道。该CPE的配置信息包括静态配置信息与关键配置信息,其中,静态配置信息可以是通用接入模板,该通用接入模板中可以包括上述协商模式、加密认证算法、认证类型、密钥以及保活时间等,关键配置信息为认证密钥、Qos以及VPN信息。
图4是本公开实施例提供的一种接入配置方法流程图,该接入配置方法应用于GW,例如可应用于上述图2所示的GW,GW可以通过与控制器进行交互,实时从控制器中获取到配置信息,从而为CPE进行接入配置,在该流程中,控制器用于在该接入配置方法中执行信息提供方法,为GW提供其需求的配置信息,参见图4,该接入配置过程具体包括以下步骤:
401、CPE向GW发送接入请求,该接入请求携带有CPE的标识信息。
在一个具体的实施例中,在该步骤401之前,CPE可以先与GW之间完成初始交换,该初始交换过程中,CPE与GW之间协商了加密认证算法、认证类型和密钥,该密钥用于对CPE与GW之间进行后续协商时传输的请求或消息进行加密或解密处理。该认证类型为预先配置于CPE的认证类型,该认证类型可以是PSK,也可以是公钥基础设施(Public KeyInfrastructure,PKI),还可以是其他认证类型,本公开实施例仅以PSK认证类型为例进行说明。
完成初始交换后,CPE向GW发送接入请求,该接入请求携带的CPE的标识信息可以是IP地址,也可以是CPE的用户身份信息,本公开对此不作限定。例如,该接入请求携带有CPE的标识信息:CPE完全合格域名(Fully Qualified Domain Name,FQDN)/用户完全合格域名(User-Fully Qualified Domain Name,U-FQDN),其中,CPE FQDN/U-FQDN为CPE的域名,用于唯一标识该CPE。
402、当接收到接入请求,GW确定当前的配置信息是否满足认证接入要求,如果否,执行步骤403。
GW上通常静态配置有通用接入模板,但有的GW上可能也预先配置有该CPE的关键配置信息,因而GW接收到接入请求,可以确定该GW中当前的配置信息中是否已经包括有本次认证接入过程需要交换的信息,该需要交换的信息即为该CPE的配置信息。如果该GW中当前的配置信息已经包括有静态配置信息和关键配置信息,即当GW当前的配置信息能满足认证接入要求时,GW可以直接根据该CPE的配置信息为该CPE进行接入配置,无需与控制器进行交互,与现有技术中的接入配置方法同理,在此不多做赘述。
而如果该GW中当前的配置信息不包括认证密钥、Qos、VPN信息等关键配置信息,即当前的配置信息只有静态配置信息,并不能满足认证接入要求,GW可以执行下述步骤403。
在一个具体实施例中,GW接收到接入请求时,可以对该接入请求基于上述步骤401中交换的密钥进行解密,并进行完整性校验,当解密成功并确定请求包括的内容完整时,可以执行该步骤402。当然,GW还可以对其进行其他合法性校验等,本公开对此不作限定。
403、当GW当前的配置信息不能满足认证接入要求时,GW向控制器发送信息获取请求。
在一个具体实施例中,该信息获取请求携带有CPE的标识信息,该信息获取请求用于指示该控制器返回配置信息。该配置信息则可以包括上述关键配置信息,也即是认证密钥、Qos、VPN信息。例如,该信息获取请求可以为Netconf标准报文或者Yang标准报文,则报文中的信息可以包括CPE的标识信息。
需要说明的是,现有技术中,GW在步骤402中即向CPE发送响应消息,继续进行协商,而本公开实施例中,由于GW缺少关键配置信息,从而需要向控制器发送信息获取请求,获取关键配置信息,而如果GW未曾向服务器发送信息获取请求,继续与CPE进行协商,则会因为缺少关键配置信息,导致最终协商失败。
该步骤403为上述步骤402中如果当前的配置信息不满足认证接入要求的情况,而如果满足,即执行上述步骤402中当本次接入请求的认证接入要求交换的信息在GW中已存在时的相关方法步骤。
404、当接收到信息获取请求时,控制器根据信息获取请求携带的CPE的标识信息,对该CPE进行身份认证。
在一个具体实施例中,控制器可以带外获取CPE的配置信息,具体地,控制器可以通过与至少一个服务器进行交互,获取该至少一个服务器上存储的CPE的标识信息与配置信息,再将该CPE的标识信息与配置信息的对应存储。例如,当用户向服务商申请一个IP地址时,该服务商可以为其分配一个IP地址,并根据该用户的需求为其分配好、Qos、VPN信息等,并将该配置信息与IP地址存储于服务器中,该控制器可以通过与该服务器进行交互,获取到该IP地址以及配置信息,并将该IP地址以及配置信息对应存储。
需要说明的是,该控制器获取CPE的配置信息时,可以获取该CPE的关键配置信息,也可以获取该CPE的关键配置信息以及静态配置信息。该控制器可以将每个CPE的配置信息与CPE的标识信息的对应关系作为每个CPE的用户数据对应存储于在控制器的用户数据库中。当CPE的配置信息发生了更新时,控制器可以实时获取更新后的配置信息,并对用户数据库中相应的用户数据进行更新。
在一个具体的实施例中,控制器从信息获取请求中提取到CPE的标识信息后,可以执行下述步骤(1)至(4)对CPE进行身份认证,确定是否允许该CPE接入:
(1)、控制器在用户数据库查找该CPE的标识信息。
(2)、当用户数据库中包括该CPE的标识信息时,控制器从该用户数据库中提取该CPE的标识信息对应的用户数据。
(3)、当该用户数据指示该CPE具有接入权限时,控制器确定认证成功。
(4)、当在该用户数据库中未查找到该CPE的标识信息,或该用户数据指示该CPE没有接入权限时,确定认证失败。
具体实施中,该身份认证过程还可以包括CPE的信息的合法性验证、证书认证等认证方式,本公开对此不作限定。
405、当认证成功时,控制器按照标识信息与配置信息的对应关系,获取该CPE的标识信息对应的配置信息。
认证成功时,控制器确定允许该CPE接入GW,则可以将该CPE的配置信息发送给GW,并由GW进行后续接入配置。配置信息包括认证密钥、服务质量Qos以及虚拟专用网络VPN信息,也即是该CPE的关键配置信息。
在一个具体实施例中,该控制器除了获取该CPE的关键配置信息以外,还可以获取该CPE的静态配置信息。
406、控制器向GW发送配置信息。
与步骤405一致,当该控制器获取到的配置信息为关键配置信息时,则控制器向GW发送关键配置信息;当该控制器获取到的配置信息为关键配置信息和静态配置信息时,则控制器向GW发送关键配置信息和静态配置信息。
在一个具体的实施例中,在发送过程中,该配置信息的形式也可以采用上述Netconf标准报文或者Yang标准报文,报文中的信息包括该CPE的配置信息以及该CPE的标识信息,控制器与GW之间交互的协议也可以是其它协议,本公开实施例对此不作限定。
407、当接收到控制器发送的配置信息时,GW根据该配置信息为该CPE进行接入配置。
当接收到的配置信息为关键配置信息时,GW可以为CPE进行路由配置、带宽配置等接入配置。
在一种具体的实施例中,当接收到的配置信息为关键配置信息和静态配置信息时,该GW可以比较该配置信息与该GW中的静态配置信息,当该静态配置信息发生了更新时,GW可以对静态配置信息进行修改,将该修改后的静态配置信息与该CPE的标识信息进行对应存储,从而可以弥补CPE的静态配置信息发生了更新,而GW没有实时更新的缺陷,GW可以根据更新后的静态配置信息以及关键配置信息进行接入配置,有效地避免了因GW中的静态配置信息无法实时更新而可能导致的接入失败现象。
在具体实施中,GW接收到配置信息时,即可向控制器发送回应消息,已告知控制器已成功接收到配置信息。
408、GW完成接入配置后,向控制器发送响应消息。
该响应消息用于告知服务器已接收到该配置信息,并完成接入配置。
409、GW完成接入配置后,向CPE发送接入配置成功消息。
该接入配置成功消息用于告知CPE根据该配置信息完成相应的接入配置。在实际应用中,该GW还可以与CPE继续进行协商,最终建立IPSec隧道,实现将CPE接入到GW。
在具体实施中,上述步骤408和步骤409可以同时进行,也可以先执行步骤409,再执行步骤408,也即是,GW完成上述接入配置后,可以向控制器发送响应消息,同时向CPE发送接入配置成功消息,GW完成上述接入配置后,也可以先向CPE发送接入配置成功消息,再向控制器发送响应消息,本公开实施例对此不作具体限定。
410、控制器接收该响应消息。
411、CPE接收该接入配置成功消息。
上述即为接入配置方法的流程说明,下面通过图5所示的实施例对该接入配置过程中的请求与消息传输的具体情况进行详细说明。图5是本公开实施例提供的一种接入配置流程中报文传输的示意图,该图5所示的报文传输的双方可以是上述图2所示的GW以及图3所示的控制器,该图5主要说明了报文传输情况,本公开对报文的格式与具体内容不作具体限定。参见图5,该图5中涉及的名词解释如下表1所示:
表1
CPE向GW发送IKE_SA_INIT:HDR,Sai1,KEi,Ni,GW在接收到该报文,并返回IKE_SA_INIT:HDR,Sar1,KEr,Nr完成了初始交换,协商了解密认证算法、密钥以及认证类型,然后CPE向GW发送认证交换的第一条报文,也即是发送IKE_AUTH:HDR,SK{Idi,AUTH,Sai2,TSi,TSr},该报文的内容有:IDi=CPE FQDN/U-FQDN,则该CPE的身份信息(ID)即为CPEFQDN/U-FQDN,该身份信息即为CPE的标识信息,GW接收到该认证报文后,向控制器发送Notification报文,以通知控制器ID为CPE FQDN/U-FQDN的用户上线,则控制器可以对其进行接入控制,具体的接入控制过程即为:以CPE的ID为关键字,从存储的信息中,查找该ID对应的认证密钥、Qos以及VPN信息,对该CPE进行身份认证,认证通过时,向GW发送认证密钥、Qos以及VPN信息。GW在接收到这些配置信息时,则进行接入配置,并在完成配置后,回复响应消息,也即是REPLY消息,该REPLY消息的内容为OK。GW再向CPE发送上述认证报文的第一条报文的响应报文IKE_AUTH:HDR,SK{Idr,AUTH,Sar2,TSi,TSr},此时完成了AUTH认证交换,后续还可以进行其他协商过程,本公开对后续协商过程不作过多说明。
本公开实施例通过接收到CPE的接入请求时,实时获取控制器中存储的该CPE的配置信息,为CPE进行接入配置,由于控制器集中存储的CPE的配置信息可以实时更新,GW获取到的配置信息具有时效性,因此可以有效避免由于GW中CPE的配置信息无法实时更新可能导致的接入失败现象。其中,控制器集中管理CPE的配置信息中的关键配置信息,进一步地还可以降低CPE的关键配置信息泄露的风险,从而提高了CPE接入的安全性,且,集中管理的模式更便于合理分配带宽,管理用户接入。
上述实施例仅以步骤404中步骤(3)中的认证成功的情况为例进行说明,在上述步骤404中的步骤(4)中,控制器确定认证失败,也就是确定不允许该CPE接入GW,因而也就无需向GW发送配置信息了,这种认证失败的情况下,控制器则不再执行上述步骤405,也就没有后续步骤406至410,下面将用图6所示实施例对该认证失败的情况进行详细说明。
图6是本公开实施例提供的一种接入配置方法流程图,该接入配置方法应用于GW,例如可应用于上述图2所示的GW,本公开实施例提供了一种身份认证失败时的接入配置方法流程,参见图6,该接入配置具体过程包括以下步骤:
601、CPE向GW发送接入请求,该接入请求携带有CPE的标识信息。
602、当接收到接入请求,GW确定当前的配置信息是否满足认证接入要求,如果否,执行步骤603。
603、当GW当前的配置信息不能满足认证接入要求时,GW向控制器发送信息获取请求。
604、当接收到信息获取请求时,控制器根据信息获取请求携带的CPE的标识信息,对该CPE进行身份认证。
该步骤601至604与上述步骤401至404同理,在此不多做赘述。
605、当认证失败时,控制器向GW发送认证失败消息。
当认证失败时,控制器确定不允许该CPE接入,因而不向GW发送配置信息,而是向GW发送认证失败消息,已告知GW不必为该CPE进行接入配置。
606、当接收到该认证失败消息时,GW向CPE发送接入失败消息。
607、CPE接收该接入失败消息。
该接入失败消息用于告知CPE本次接入失败,实际应用中,该接入失败消息还可以携带有接入失败原因:身份认证失败。
本公开实施例通过设置认证失败机制,可以由控制器对CPE进行身份认证,对CPE接入情况进行集中管理。
上述图4所示实施例的步骤407中为GW接收到配置信息时的可能场景,实际应用中,还可能有另一种可能场景:在预设时长内未接收到配置信息。该场景也是一种认证失败的情况,下面将在图7所示实施例中对该场景进行说明。
图7是本公开实施例提供的一种接入配置方法流程图,该接入配置方法应用于GW,例如可应用于上述图2所示的GW,本公开实施例提供了一种超时认证失败时的接入配置方法流程,参见图7,该方法包括以下步骤:
701、CPE向GW发送接入请求,该接入请求携带有CPE的标识信息。
702、当接收到接入请求,GW确定当前的配置信息是否满足认证接入要求,如果否,执行步骤703。
703、当GW当前的配置信息不能满足认证接入要求时,GW向控制器发送信息获取请求。
704、当接收到信息获取请求时,控制器根据信息获取请求携带的CPE的标识信息,对该CPE进行身份认证。
705、当认证成功时,控制器按照标识信息与配置信息的对应关系,获取该CPE的标识信息对应的配置信息。
706、控制器向GW发送配置信息。
该步骤701至706与步骤401至406同理,在此不多做赘述。
707、当在预设时长内未接收到该配置信息,GW向CPE发送接入失败消息。
GW可以设置超时认证失败机制:当在预设时长内未接收到控制器发送的配置信息,则可以认为本次接入因无关键配置信息而失败。该接入失败消息用于告知CPE本次接入失败,在实际应用中,该接入失败消息还可以携带有本次接入失败的原因:超时未响应。
708、CPE接收该接入失败消息。
本公开实施例通过设置超时认证失败机制,可以在请求长时间未得到响应时,确定认证失败,可以避免处理进程异常却一直占用资源。
GW为CPE进行接入配置之后,CPE成功通过建立成功的IPSec隧道接入GW,可以从接入的云数据中心获取数据,也可以向云数据中心上传数据。而CPE还可以主动断开连接或者通过保活机制检测到已断开连接时,GW还可以将为该CPE进行的接入配置删除,具体包括以下两个具体实施例:
第一个具体实施例、当GW接收到断开请求时,根据该断开请求携带的CPE的标识信息,从缓存中删除该配置信息,释放连接资源。
第二个具体实施例、当GW检测到该CPE已断开连接时,根据该CPE的标识信息,从缓存中删除该配置信息,释放连接资源。
下面通过图8和图9分别对这两个具体实施例进行详细说明:
图8是本公开实施例提供的一种接入配置方法流程图,该接入配置方法应用于GW,例如可应用于上述图2所示的GW。本公开实施例为上述第一个具体实施例,也即是GW为CPE进行接入配置,使得CPE正常接入到GW,而一段时间后,CPE主动断开连接时,GW删除接入配置的具体流程,参见图8,该方法包括以下步骤:
801、CPE向GW发送接入请求,该接入请求携带有CPE的标识信息。
802、当接收到接入请求,GW确定当前的配置信息是否满足认证接入要求,如果否,执行步骤803。
803、当GW当前的配置信息不能满足认证接入要求时,GW向控制器发送信息获取请求。
804、当接收到信息获取请求时,控制器根据信息获取请求携带的CPE的标识信息,对该CPE进行身份认证。
805、当认证成功时,控制器按照标识信息与配置信息的对应关系,获取该CPE的标识信息对应的配置信息。
806、控制器向GW发送配置信息。
807、当接收到控制器发送的配置信息时,GW根据该配置信息为该CPE进行接入配置。
808、GW完成接入配置后,向控制器发送响应消息。
809、GW完成接入配置后,向CPE发送接入配置成功消息。
810、控制器接收该响应消息。
811、CPE接收接入配置成功消息。
该步骤801至811与步骤401至411同理,在此不多做赘述。
812、CPE向GW发送断开请求,该断开请求携带有CPE的标识信息。
当CPE希望断开连接时,(例如,CPE正常下线)则可以向GW发送断开请求,该断开请求用于指示GW将为该CPE建立的IPSec隧道删除,使得CPE无法通过GW进行正常通信。
813、当接收到断开请求时,GW根据该CPE的标识信息,从缓存中删除配置信息,释放连接资源。
该配置信息为GW从控制器中获取到的,在该CPE断开时,则可以删除该配置信息,并释放GW为CPE建立IPSec隧道过程中产生的连接资源,将该CPE对应的配置恢复为CPE发送接入请求之前的静态配置。
需要说明的是,上述从控制器获取到的配置信息与连接资源可以称为该CPE的动态配置信息,该动态配置信息一般存储于缓存中。GW删除配置信息,释放连接资源,可以避免由于占用连接资源可能导致的网络阻塞,还可以降低GW的存储负担。
814、GW向CPE发送断开响应消息,该断开响应消息用于告知CPE已断开连接。
本公开实施例通过在CPE正常断开连接时,删除动态配置信息,从而可以避免网络阻塞现象,降低GW的存储负担。
图9是本公开实施例提供的一种接入配置方法流程图,该接入配置方法应用于GW,例如可应用于上述图2所示的GW。本公开实施例为上述第二个具体实施例,也即是GW为CPE进行接入配置,使得CPE正常接入到GW,而之后在规定的保活时间内,GW检测到该CPE和与该CPE进行通信的CPE之间没有任何交互时,GW删除接入配置的具体流程,参见图9,该方法包括以下步骤:
901、CPE向GW发送接入请求,该接入请求携带有CPE的标识信息。
902、当接收到接入请求,GW确定当前的配置信息是否满足认证接入要求,如果否,执行步骤903。
903、当GW当前的配置信息不能满足认证接入要求时,GW向控制器发送信息获取请求。
904、当接收到信息获取请求时,控制器根据信息获取请求携带的CPE的标识信息,对该CPE进行身份认证。
905、当认证成功时,控制器按照标识信息与配置信息的对应关系,获取该CPE的标识信息对应的配置信息。
906、控制器向GW发送配置信息。
907、当接收到控制器发送的配置信息时,GW根据该配置信息为该CPE进行接入配置。
908、GW完成接入配置后,向控制器发送响应消息。
909、GW完成接入配置后,向CPE发送接入配置成功消息。
910、控制器接收该响应消息。
911、CPE接收该接入配置成功消息。
该步骤901至911与步骤401至411,或步骤801至811同理,在此不多做赘述。
912、当检测到CPE已断开连接时,GW根据CPE的标识信息,从缓存中删除该配置信息,释放连接资源。
GW可以设置有保活机制,它可以定期检测通过该GW连接的CPE是否有在规定的保活时间内没有任何交互的情况,当检测到该CPE在规定的保活时间内没有任何交互时,则可以认为该CPE已经断开连接,因而GW可以将为该CPE建立IPSec隧道产生的动态配置信息进行删除。
本公开实施例通过设置保活机制,将无数据交互需求却占用连接资源的CPE的动态配置信息删除,从而可以避免连接资源占用过多可能导致的网络阻塞现象,降低了GW的存储负担。
上述所有可选技术方案,可以采用任意结合形成本公开的可选实施例,在此不再一一赘述。
图10是本公开实施例提供的一种接入配置装置的结构示意图,一种具体的实施例中,该接入配置装置为上述实施例中描述的GW,参见图10,该接入配置装置包括:
接收模块1001,用于执行上述步骤402、步骤602、步骤702、步骤802或步骤902中接收接入请求的过程;
发送模块1002,用于执行上述步骤403、步骤603、步骤703、步骤803、或步骤903;
该接收模块1001,还用于执行上述步骤407、步骤807或步骤907中接收控制器发送的配置信息的过程;
配置模块1003,用于执行上述步骤407、步骤807、步骤907中根据配置信息为CPE进行接入配置的过程。
在一种具体的实施例中,该配置模块1003,用于执行上述步骤407、步骤807或步骤907中修改静态配置信息的过程。
在一种具体的实施例中,该发送模块1002,还用于执行上述步骤606。
在一种具体的实施例中,该发送模块1002,还用于执行上述步骤707。
在一种具体的实施例中,该发送模块1002,还用于执行上述步骤408、步骤808或步骤908。
在一种具体的实施例中,如图11所示,该装置还包括:
删除模块1004,用于执行上述步骤813或上述步骤912。
在一种具体的实施例中,该接入请求由CPE通过IKE协议发送至该GW,该信息获取请求由该GW通过Netconf或Yang协议发送至该控制器。
在一个具体实施例中,该配置信息包括认证密钥、服务质量Qos以及虚拟专用网络VPN信息。
在一个具体实施例中,该配置模块1003,还用于执行上述步骤402中当GW当前的配置信息满足认证接入要求时,根据CPE的配置信息为CPE进行接入配置的过程。
本公开实施例提供的装置,通过接收到CPE的接入请求时,实时获取控制器中存储的该CPE的配置信息,为CPE进行接入配置,由于控制器集中存储的CPE的配置信息可以实时更新,GW获取到的配置信息具有时效性,因此可以有效避免由于GW中CPE的配置信息无法实时更新可能导致的接入失败现象。
需要说明的是:上述实施例提供的接入配置装置在进行接入配置时,仅以上述各功能模块的划分进行举例说明,实际应用中,可以根据需要而将上述功能分配由不同的功能模块完成,即将装置的内部结构划分成不同的功能模块,以完成以上描述的全部或者部分功能。另外,上述实施例提供的接入配置装置与接入配置方法实施例属于同一构思,其具体实现过程详见方法实施例,这里不再赘述。
图12是本公开实施例提供的一种信息提供装置的结构示意图,一种具体的实施例中,该接入配置装置为上述实施例中描述的控制器,参见图12,该装置包括:
接收模块1201,用于执行上述步骤404、步骤604、步骤704、步骤804或步骤904中接收信息获取请求的过程;
认证模块1202,用于执行上述步骤404、步骤604、步骤704、步骤804或步骤904中对CPE进行身份认证的过程;
获取模块1203,用于执行上述步骤405、步骤705、步骤805或步骤905;
发送模块1204,用于执行上述步骤406、步骤706、步骤806或步骤906。
在一种具体的实施例中,如图13所示,该装置还包括:
查找模块1205,用于执行上述步骤404、步骤604、步骤704、步骤804或步骤904中在用户数据库查找该CPE的标识信息的过程;
提取模块1206,用于执行上述步骤404、步骤604、步骤704、步骤804或步骤904中提取用户数据的过程;
确定模块1207,用于执行上述步骤404、步骤604、步骤704、步骤804或步骤904中确定认证成功的过程;
该确定模块1207,还用于执行上述步骤404、步骤604、步骤704、步骤804或步骤904中确定认证失败的过程。
在一种具体的实施例中,该发送模块1204,还用于执行上述步骤605。
在一种具体的实施例中,该接收模块1201,还用于执行上述步骤410、步骤810或步骤910。
在一种具体的实施例中,该认证请求由CPE通过IKE协议发送至该GW,该信息获取请求由该GW通过Netconf或Yang协议发送至该控制器。
在一种具体的实施例中,该获取模块,还用于执行上述步骤404中所示的带外获取CPE的配置信息的过程。
本公开实施例提供的装置,通过集中管理CPE的配置信息,并在GW有需要时为GW提供配置信息,可以降低CPE的配置信息泄露的风险,从而提高了CPE接入的安全性,且,集中管理的模式更便于合理分配带宽,管理用户接入。
需要说明的是:上述实施例提供的信息提供装置在提供信息时,仅以上述各功能模块的划分进行举例说明,实际应用中,可以根据需要而将上述功能分配由不同的功能模块完成,即将装置的内部结构划分成不同的功能模块,以完成以上描述的全部或者部分功能。另外,上述实施例提供的信息提供装置与接入配置方法实施例中包括的信息提供方法实施例属于同一构思,其具体实现过程详见方法实施例,这里不再赘述。
本领域普通技术人员可以理解实现上述实施例的全部或部分步骤可以通过硬件来完成,也可以通过程序来指令相关的硬件完成,该程序可以存储于一种计算机可读存储介质中,上述提到的存储介质可以是只读存储器,磁盘或光盘等。
上述仅为本公开的可选实施例,并不用以限制本公开,凡在本公开的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本公开的保护范围之内。
Claims (31)
1.一种接入配置方法,其特征在于,所述方法包括:
网关接收接入请求,所述接入请求携带有用户驻地设备的标识信息;
所述网关确定当前配置信息是否满足认证接入要求,响应于不满足认证接入要求,向控制器发送信息获取请求,所述信息获取请求用于指示所述控制器返回配置信息;
所述网关接收所述控制器发送的配置信息;
所述网关根据所述配置信息为所述用户驻地设备进行接入配置。
2.根据权利要求1所述的方法,其特征在于,所述方法还包括:
所述网关比较所述配置信息与所述网关中的静态配置信息;
当所述静态配置信息发生了更新时,所述网关对所述静态配置信息进行修改,与所述用户驻地设备的标识信息进行对应存储。
3.根据权利要求1所述的方法,其特征在于,所述网关向控制器发送信息获取请求之后,所述方法还包括:
当接收到控制器发送的认证失败消息时,所述网关向用户驻地设备发送接入失败消息。
4.根据权利要求1所述的方法,其特征在于,所述网关向控制器发送信息获取请求之后,所述方法还包括:
当在预设时长内未接收到所述配置信息,所述网关向用户驻地设备发送接入失败消息。
5.根据权利要求1所述的方法,其特征在于,所述网关根据所述配置信息为所述用户驻地设备进行接入配置之后,所述方法还包括:
接入配置完成后,所述网关向控制器发送响应消息,所述响应消息用于告知所述控制器已接收到所述配置信息,并完成接入配置。
6.根据权利要求1所述的方法,其特征在于,所述网关根据所述配置信息为所述用户驻地设备进行接入配置之后,所述方法还包括:
当所述网关接收到断开请求时,所述网关根据所述断开请求携带的用户驻地设备的标识信息,从缓存中删除所述配置信息,释放连接资源;或,
当所述网关检测到所述用户驻地设备已断开连接时,所述网关根据所述用户驻地设备的标识信息,从缓存中删除所述配置信息,释放连接资源。
7.根据权利要求1所述的方法,其特征在于,所述接入请求由用户驻地设备通过网络密钥交换IKE协议发送至所述网关,所述信息获取请求由所述网关通过网络配置Netconf或Yang协议发送至所述控制器。
8.根据权利要求1所述的方法,其特征在于,所述配置信息包括认证密钥、服务质量Qos以及虚拟专用网络VPN信息。
9.根据权利要求1所述的方法,其特征在于,所述方法还包括:
当网关当前的配置信息能满足认证接入要求时,所述网关根据所述网关当前的配置信息为所述用户驻地设备进行接入配置。
10.一种信息提供方法,其特征在于,所述方法包括:
控制器接收网关发送的信息获取请求,所述信息获取请求携带有用户驻地设备的标识信息,所述信息获取请求用于指示所述控制器返回配置信息,所述信息获取请求由所述网关在确定当前配置信息不满足认证接入要求时发送;
所述控制器根据所述用户驻地设备的标识信息,对所述用户驻地设备进行身份认证;
当认证成功时,所述控制器按照标识信息与配置信息的对应关系,获取所述用户驻地设备的标识信息对应的配置信息;
所述控制器向网关发送所述配置信息,由所述网关基于所述配置信息为所述用户驻地设备进行接入配置。
11.根据权利要求10所述的方法,其特征在于,所述控制器根据所述用户驻地设备的标识信息,对所述用户驻地设备进行身份认证,包括:
所述控制器在用户数据库查找所述用户驻地设备的标识信息;
当所述用户数据库中包括所述用户驻地设备的标识信息时,所述控制器从所述用户数据库中提取所述用户驻地设备的标识信息对应的用户数据;
当所述用户数据指示所述用户驻地设备具有接入权限时,所述控制器确定认证成功;
当所述控制器在所述用户数据库中未查找到所述用户驻地设备的标识信息,或所述用户数据指示所述用户驻地设备没有接入权限时,所述控制器确定认证失败。
12.根据权利要求10或11所述的方法,其特征在于,所述方法还包括:
当认证失败时,所述控制器向网关发送认证失败消息。
13.根据权利要求10所述的方法,其特征在于,所述控制器向网关发送所述配置信息之后,所述方法还包括:所述控制器接收所述网关返回的响应消息。
14.根据权利要求10所述的方法,其特征在于,所述认证请求由用户驻地设备通过IKE协议发送至所述网关,所述信息获取请求由所述网关通过Netconf或Yang协议发送至所述控制器。
15.根据权利要求10所述的方法,其特征在于,所述用户驻地设备的配置信息的获取过程包括:
所述控制器通过与至少一个服务器进行交互,获取所述至少一个服务器上存储的用户驻地设备的标识信息与配置信息;
所述控制器将所述用户驻地设备的标识信息与配置信息的对应存储。
16.一种接入配置装置,其特征在于,应用于网关,所述装置包括:
接收模块,用于接收接入请求,所述接入请求携带有用户驻地设备的标识信息和认证类型信息;
发送模块,用于确定当前配置信息是否满足认证接入要求,响应于不满足认证接入要求,向控制器发送信息获取请求,所述信息获取请求用于指示所述控制器返回配置信息;
所述接收模块,还用于接收所述控制器发送的配置信息;
配置模块,用于所述网关根据所述配置信息为所述用户驻地设备进行接入配置。
17.根据权利要求16所述的装置,其特征在于,所述配置模块,用于:
比较所述配置信息与所述网关中的静态配置信息;
当所述静态配置信息发生了更新时,对所述静态配置信息进行修改,与所述用户驻地设备的标识信息进行对应存储。
18.根据权利要求16所述的装置,其特征在于,所述发送模块,还用于当接收到控制器发送的认证失败消息时,向用户驻地设备发送接入失败消息。
19.根据权利要求16所述的装置,其特征在于,所述发送模块,还用于当在预设时长内未接收到所述配置信息,向用户驻地设备发送接入失败消息。
20.根据权利要求16所述的装置,其特征在于,所述发送模块,还用于接入配置完成后,向控制器发送响应消息,所述响应消息用于告知所述控制器已接收到所述配置信息,并完成接入配置。
21.根据权利要求16所述的装置,其特征在于,所述装置还包括:
删除模块,用于当接收到断开请求时,根据所述断开请求携带的用户驻地设备的标识信息,从缓存中删除所述配置信息,释放连接资源;或,
删除模块,用于当检测到所述用户驻地设备已断开连接时,根据所述用户驻地设备的标识信息,从缓存中删除所述配置信息,释放连接资源。
22.根据权利要求16所述的装置,其特征在于,所述接入请求由用户驻地设备通过IKE协议发送至所述网关,所述信息获取请求由所述网关通过Netconf或Yang协议发送至所述控制器。
23.根据权利要求16所述的装置,其特征在于,所述配置信息包括认证密钥、服务质量Qos以及虚拟专用网络VPN信息。
24.根据权利要求16所述的装置,其特征在于,所述配置模块,还用于当所述网关当前的配置信息能满足认证接入要求时,根据所述网关当前的配置信息为所述用户驻地设备进行接入配置。
25.一种信息提供装置,其特征在于,应用于控制器,所述装置包括:
接收模块,用于接收信息获取请求,所述信息获取请求携带有用户驻地设备的标识信息,所述信息获取请求用于指示所述控制器返回配置信息,所述信息获取请求由网关在确定当前配置信息不满足认证接入要求时发送;
认证模块,用于根据所述用户驻地设备的标识信息,对所述用户驻地设备进行身份认证;
获取模块,用于当认证成功时,按照所述标识信息与配置信息的对应关系,获取所述标识信息对应的配置信息;
发送模块,用于向网关发送所述配置信息,由所述网关基于所述配置信息为所述用户驻地设备进行接入配置。
26.根据权利要求25所述的装置,其特征在于,所述装置还包括:
查找模块,用于在用户数据库查找所述用户驻地设备的标识信息;
提取模块,用于当所述用户数据库中包括所述用户驻地设备的标识信息时,从所述用户数据库中提取所述用户驻地设备的标识信息对应的用户数据;
确定模块,用于当所述用户数据指示所述用户驻地设备具有接入权限时,确定认证成功;
所述确定模块,还用于当在所述用户数据库中未查找到所述用户驻地设备的标识信息,或所述用户数据指示所述用户驻地设备没有接入权限时,确定认证失败。
27.根据权利要求25或26所述的装置,其特征在于,所述发送模块,还用于当认证失败时,向网关发送认证失败消息。
28.根据权利要求25所述的装置,其特征在于,所述接收模块,还用于接收所述网关返回的响应消息。
29.根据权利要求25所述的装置,其特征在于,所述认证请求由用户驻地设备通过IKE协议发送至所述网关,所述信息获取请求由所述网关通过Netconf或Yang协议发送至所述控制器。
30.根据权利要求25所述的装置,其特征在于,所述获取模块,还用于通过与至少一个服务器进行交互,获取所述至少一个服务器上存储的用户驻地设备的标识信息与配置信息;将所述用户驻地设备的标识信息与配置信息的对应存储。
31.一种通信系统,其特征在于,所述通信系统包括网关和控制器,其中,所述网关用于执行权利要求1-9任一项所述的方法步骤,所述控制器用于执行权利要求10-15任一项所述的方法步骤。
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201711365123.5A CN109936515B (zh) | 2017-12-18 | 2017-12-18 | 接入配置方法、信息提供方法及装置 |
| PCT/CN2018/121448 WO2019120160A1 (zh) | 2017-12-18 | 2018-12-17 | 一种数据存储的方法、装置和分布式存储系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201711365123.5A CN109936515B (zh) | 2017-12-18 | 2017-12-18 | 接入配置方法、信息提供方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN109936515A CN109936515A (zh) | 2019-06-25 |
| CN109936515B true CN109936515B (zh) | 2021-06-04 |
Family
ID=66982589
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201711365123.5A Active CN109936515B (zh) | 2017-12-18 | 2017-12-18 | 接入配置方法、信息提供方法及装置 |
Country Status (2)
| Country | Link |
|---|---|
| CN (1) | CN109936515B (zh) |
| WO (1) | WO2019120160A1 (zh) |
Families Citing this family (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112399130B (zh) * | 2019-08-16 | 2023-04-07 | 北京紫荆视通科技有限公司 | 云视频会议信息的处理方法、装置、存储介质和通信设备 |
| CN111314355B (zh) * | 2020-02-20 | 2022-09-30 | 深信服科技股份有限公司 | 一种vpn服务器的认证方法、装置、设备及介质 |
| CN114006807B (zh) * | 2020-07-14 | 2024-10-29 | 海信集团控股股份有限公司 | 客户终端设备及其配置方法、配置服务器 |
| CN113794583B (zh) * | 2021-08-15 | 2023-12-29 | 新华三信息安全技术有限公司 | 配置方法及装置 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101227415A (zh) * | 2008-02-04 | 2008-07-23 | 华为技术有限公司 | 多业务资源分配方法、系统、网关设备及认证服务器 |
| CN101621433A (zh) * | 2008-07-02 | 2010-01-06 | 上海华为技术有限公司 | 接入设备的配置方法、装置及系统 |
| KR20170017860A (ko) * | 2016-12-30 | 2017-02-15 | 주식회사 모바일컨버전스 | 네트워크 vpn 기반의 네트워크 가상화 시스템 |
| CN106713057A (zh) * | 2015-07-30 | 2017-05-24 | 华为技术有限公司 | 用于进行隧道检测的方法、装置及系统 |
Family Cites Families (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114945007A (zh) * | 2012-02-22 | 2022-08-26 | 华为技术有限公司 | 用户终端设备的接入方法、装置和系统 |
| EP2887580A1 (en) * | 2013-12-23 | 2015-06-24 | Telefonica S.A. | Method and system for modifying configuration parameters on a user equipment and an Auto Configuration Server-Gateway |
| CN108566451B (zh) * | 2014-03-11 | 2021-05-14 | 华为技术有限公司 | 一种消息处理方法、接入控制器及网络节点 |
-
2017
- 2017-12-18 CN CN201711365123.5A patent/CN109936515B/zh active Active
-
2018
- 2018-12-17 WO PCT/CN2018/121448 patent/WO2019120160A1/zh active Application Filing
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101227415A (zh) * | 2008-02-04 | 2008-07-23 | 华为技术有限公司 | 多业务资源分配方法、系统、网关设备及认证服务器 |
| CN101621433A (zh) * | 2008-07-02 | 2010-01-06 | 上海华为技术有限公司 | 接入设备的配置方法、装置及系统 |
| CN106713057A (zh) * | 2015-07-30 | 2017-05-24 | 华为技术有限公司 | 用于进行隧道检测的方法、装置及系统 |
| KR20170017860A (ko) * | 2016-12-30 | 2017-02-15 | 주식회사 모바일컨버전스 | 네트워크 vpn 기반의 네트워크 가상화 시스템 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN109936515A (zh) | 2019-06-25 |
| WO2019120160A1 (zh) | 2019-06-27 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110800331B (zh) | 网络验证方法、相关设备及系统 | |
| WO2021115449A1 (zh) | 跨域访问系统、方法及装置、存储介质及电子装置 | |
| CN109936515B (zh) | 接入配置方法、信息提供方法及装置 | |
| CN110933084B (zh) | 一种跨域共享登录态方法、装置、终端及存储介质 | |
| US8914867B2 (en) | Method and apparatus for redirecting data traffic | |
| RU2009138223A (ru) | Профиль пользователя, политика и распределение ключей pmip в сети беспроводной связи | |
| WO2020083288A1 (zh) | Dns服务器的安全防御方法及装置、通信设备及存储介质 | |
| CN108990062B (zh) | 智能安全Wi-Fi管理方法和系统 | |
| CN108307391B (zh) | 一种终端接入方法和系统 | |
| AU2014410591A1 (en) | Connection establishment method, device, and system | |
| WO2022068669A1 (zh) | 会话建立方法、装置、接入网设备及存储介质 | |
| CN111132305B (zh) | 5g用户终端接入5g网络的方法、用户终端设备及介质 | |
| WO2016193823A1 (en) | Method of creating and deleting vwlan dynamically in a fixed access network sharing environment | |
| CN110784434A (zh) | 通信方法及装置 | |
| CN108966363B (zh) | 一种连接建立方法及装置 | |
| WO2017124231A1 (zh) | 分配互联网协议地址的方法、控制面网关和用户面网关 | |
| WO2014127615A1 (zh) | 一种实现手机客户端即时通信的方法及装置 | |
| WO2021002180A1 (ja) | 中継方法、中継システム、及び中継用プログラム | |
| EP3932044B1 (en) | Automatic distribution of dynamic host configuration protocol (dhcp) keys via link layer discovery protocol (lldp) | |
| CN102185867A (zh) | 一种实现网络安全的方法和一种星形网络 | |
| KR20180081965A (ko) | 네트워크 서비스 장치 및 방법 | |
| US10931662B1 (en) | Methods for ephemeral authentication screening and devices thereof | |
| WO2016050133A1 (zh) | 一种认证凭证更替的方法及装置 | |
| CN110336793B (zh) | 一种内网访问方法及相关装置 | |
| Nguyen et al. | An SDN‐based connectivity control system for Wi‐Fi devices |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20211222 Address after: 450046 Floor 9, building 1, Zhengshang Boya Plaza, Longzihu wisdom Island, Zhengdong New Area, Zhengzhou City, Henan Province Patentee after: xFusion Digital Technologies Co., Ltd. Address before: 518129 Bantian HUAWEI headquarters office building, Longgang District, Guangdong, Shenzhen Patentee before: HUAWEI TECHNOLOGIES Co.,Ltd. |
|
| TR01 | Transfer of patent right |