网络接入方法、装置、设备及存储介质转让专利
申请号 : CN202111337144.2
文献号 : CN113890767B
文献日 : 2023-07-11
发明人 : 王宏鼎 , 李长连 , 蔺旋 , 王娜 , 刘果 , 余思阳 , 曹京卫 , 杨飞 , 杨丽丽 , 李彤 , 戚大强 , 陈征 , 张彬 , 寇东梅 , 徐人勇
申请人 : 中国联合网络通信集团有限公司 , 中讯邮电咨询设计院有限公司
摘要 :
本申请提供一种网络接入方法、装置、设备及存储介质,该方法接收广域软件定义网络控制器发送的认证结果和用户信息;根据认证结果和用户信息,与广域软件定义网络客户端建立公网加密隧道,并修改防火墙,根据公网加密隧道与广域软件定义网络客户端建立连接;根据防火墙,确定广域软件定义网络客户端的访问控制权限;若广域软件定义网络客户端的访问控制权限为权限内访问,则控制广域软件定义网络客户端通过公网加密隧道访问广域软件定义网络,实现一点接入全网访问,无需在各资源节点部署网关等设备,减少了网络接入成本,无需搭建VPN专网,提高了访问速度,也提高了安全性。
权利要求 :
1.一种网络接入方法,应用于软件定义边界网关,其特征在于,包括:接收广域软件定义网络控制器发送的认证结果和用户信息;
根据所述认证结果和用户信息,与广域软件定义网络客户端建立公网加密隧道,并修改防火墙,根据所述公网加密隧道与所述广域软件定义网络客户端建立连接;
根据所述防火墙,确定所述广域软件定义网络客户端的访问控制权限;
若所述广域软件定义网络客户端的访问控制权限为权限内访问,则控制所述广域软件定义网络客户端的用户流量通过所述公网加密隧道,在汇聚网关处进行虚拟局域网划分和数据隔离;将进行虚拟局域网划分和数据隔离后的用户流量经过接入路由器进入广域软件定义网络。
2.根据权利要求1所述的方法,其特征在于,在所述根据所述防火墙,确定所述广域软件定义网络客户端的访问控制权限之后,还包括:若所述广域软件定义网络客户端的访问控制权限不为权限内访问,则对所述广域软件定义网络客户端进行拦截和告警。
3.一种网络接入方法,应用于广域软件定义网络控制器,其特征在于,包括:接收广域软件定义网络客户端发送的接入请求,其中,所述接入请求中携带有用户信息;
根据所述用户信息进行身份认证;
将认证结果和所述用户信息发送至网络服务提供点中用户对应的软件定义边界网关,以使所述软件定义边界网关根据所述认证结果和用户信息,与广域软件定义网络客户端建立公网加密隧道,并修改防火墙,根据所述公网加密隧道与所述广域软件定义网络客户端建立连接;根据所述防火墙,确定所述广域软件定义网络客户端的访问控制权限;若所述广域软件定义网络客户端的访问控制权限为权限内访问,则控制所述广域软件定义网络客户端的用户流量通过所述公网加密隧道,在汇聚网关处进行虚拟局域网划分和数据隔离;将进行虚拟局域网划分和数据隔离后的用户流量经过接入路由器进入广域软件定义网络。
4.一种网络接入方法,应用于广域软件定义网络客户端,其特征在于,包括:向广域软件定义网络控制器发送接入请求,以使所述广域软件定义网络控制器根据用户信息进行身份认证;将认证结果和所述用户信息发送至网络服务提供点中用户对应的软件定义边界网关,其中,所述接入请求中携带有用户信息;
根据公网加密隧道与软件定义边界网关建立连接,其中,所述公网加密隧道为所述软件定义边界网关根据认证结果和所述用户信息建立的;
根据软件定义边界网关的控制,通过公网加密隧道访问广域软件定义网络;
所述软件定义边界网关的控制,包括:
控制所述广域软件定义网络客户端的用户流量通过所述公网加密隧道,在汇聚网关处进行虚拟局域网划分和数据隔离;
将进行虚拟局域网划分和数据隔离后的用户流量经过接入路由器进入广域软件定义网络。
5.一种网络接入系统,其特征在于,包括广域软件定义网络客户端、广域软件定义网络控制器和软件定义边界网关;
所述广域软件定义网络客户端向广域软件定义网络控制器发送接入请求,其中,所述接入请求中携带有用户信息;
所述广域软件定义网络控制器接收广域软件定义网络客户端发送的接入请求,其中,所述接入请求中携带有用户信息;
所述广域软件定义网络控制器根据所述用户信息进行身份认证;
所述广域软件定义网络控制器将认证结果和所述用户信息发送至网络服务提供点中用户对应的软件定义边界网关;
所述软件定义边界网关接收广域软件定义网络控制器发送的认证结果和用户信息;
所述软件定义边界网关根据所述认证结果和用户信息,与广域软件定义网络客户端建立公网加密隧道,并修改防火墙,根据所述公网加密隧道与所述广域软件定义网络客户端建立连接;
所述软件定义边界网关根据所述防火墙,确定所述广域软件定义网络客户端的访问控制权限;
若所述广域软件定义网络客户端的访问控制权限为权限内访问,则所述软件定义边界网关控制所述广域软件定义网络客户端的用户流量通过所述公网加密隧道,在汇聚网关处进行虚拟局域网划分和数据隔离;将进行虚拟局域网划分和数据隔离后的用户流量经过接入路由器进入广域软件定义网络。
6.一种网络接入装置,其特征在于,包括:
第一接收模块,用于接收广域软件定义网络控制器发送的认证结果和用户信息;
第一建立模块,用于根据所述认证结果和用户信息,与广域软件定义网络客户端建立公网加密隧道,并修改防火墙,根据所述公网加密隧道与所述广域软件定义网络客户端建立连接;
确定模块,用于根据所述防火墙,确定所述广域软件定义网络客户端的访问控制权限;
控制模块,用于若所述广域软件定义网络客户端的访问控制权限为权限内访问,则控制所述广域软件定义网络客户端的用户流量通过所述公网加密隧道,在汇聚网关处进行虚拟局域网划分和数据隔离;将进行虚拟局域网划分和数据隔离后的用户流量经过接入路由器进入广域软件定义网络。
7.一种网络接入装置,其特征在于,包括:
第二接收模块,用于接收广域软件定义网络客户端发送的接入请求,其中,所述接入请求中携带有用户信息;
认证模块,用于根据所述用户信息进行身份认证;
第一发送模块,用于将认证结果和所述用户信息发送至网络服务提供点中用户对应的软件定义边界网关,以使所述软件定义边界网关根据所述认证结果和用户信息,与广域软件定义网络客户端建立公网加密隧道,并修改防火墙,根据所述公网加密隧道与所述广域软件定义网络客户端建立连接;根据所述防火墙,确定所述广域软件定义网络客户端的访问控制权限;若所述广域软件定义网络客户端的访问控制权限为权限内访问,则控制所述广域软件定义网络客户端的用户流量通过所述公网加密隧道,在汇聚网关处进行虚拟局域网划分和数据隔离;将进行虚拟局域网划分和数据隔离后的用户流量经过接入路由器进入广域软件定义网络。
8.一种网络接入装置,其特征在于,包括:
第二发送模块,用于向广域软件定义网络控制器发送接入请求,以使所述广域软件定义网络控制器根据用户信息进行身份认证;将认证结果和所述用户信息发送至网络服务提供点中用户对应的软件定义边界网关,其中,所述接入请求中携带有用户信息;
第二建立模块,用于根据公网加密隧道与软件定义边界网关建立连接,其中,所述公网加密隧道为所述软件定义边界网关根据认证结果和所述用户信息建立的;
访问模块,用于根据软件定义边界网关的控制,通过公网加密隧道访问广域软件定义网络;
所述软件定义边界网关的控制,包括:
控制所述广域软件定义网络客户端的用户流量通过所述公网加密隧道,在汇聚网关处进行虚拟局域网划分和数据隔离;
将进行虚拟局域网划分和数据隔离后的用户流量经过接入路由器进入广域软件定义网络。
9.一种网络接入设备,其特征在于,包括:
至少一个处理器;以及
与所述至少一个处理器通信连接的存储器;其中,
所述存储器存储有可被所述至少一个处理器执行的指令,所述指令被所述至少一个处理器执行,以使所述至少一个处理器能够执行如权利要求1或2中任一项、权利要求3或者权利要求4所述的方法。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质中存储有计算机执行指令,所述计算机执行指令被处理器执行时用于实现如权利要求1或2中任一项、权利要求3或者权利要求4所述的网络接入方法。
说明书 :
网络接入方法、装置、设备及存储介质
技术领域
[0001] 本申请涉及网络安全技术领域,尤其涉及一种网络接入方法、装置、设备及存储介质。
背景技术
[0002] 广域软件定义网络(SD‑WAN)是一种服务,它可以将软件定义网络(Software Defined Network,SDN)技术应用到广域网场景中,这种服务用于连接广阔地理范围的企业网络、数据中心、互联网应用及云服务。SD‑WAN在企业组网过程的应用场景包括总部‑分支和总部‑分支‑混合云等,SD‑WAN实现了灵活便捷、安全可靠的企业广域组网方式,客户可以在企业内部实现SD‑WAN网络的接入,无法实现异地的移动接入。
[0003] 目前,为了实现企业组网的异地移动接入,在企业分支及总部之间搭设SD‑WAN网络,而移动接入方案则独立于SD‑WAN搭建一套虚拟专用网(Virtual Private Network,VPN)用于移动办公,VPN独立于SD‑WAN网络,在不同资源节点处分别部署VPN服务,搭建多条VPN网络。
[0004] 然而现有技术中,企业组网的异地移动接入通过VPN的访问方式速度慢、安全性低,且搭建多条VPN网络成本较高。
发明内容
[0005] 本申请提供一种网络接入方法、装置、设备及存储介质,以解决现有技术中企业组网的异地移动接入通过VPN的访问方式速度慢、安全性低,且搭建多条VPN网络成本较高的技术问题。
[0006] 第一方面,本申请提供一种网络接入方法,包括:
[0007] 接收广域软件定义网络控制器发送的认证结果和用户信息;
[0008] 根据所述认证结果和用户信息,与广域软件定义网络客户端建立公网加密隧道,并修改防火墙,根据所述公网加密隧道与所述广域软件定义网络客户端建立连接;
[0009] 根据所述防火墙,确定所述广域软件定义网络客户端的访问控制权限;
[0010] 若所述广域软件定义网络客户端的访问控制权限为权限内访问,则控制所述广域软件定义网络客户端通过所述公网加密隧道访问广域软件定义网络。
[0011] 这里,本申请实施例中的SD‑WAN网络中部署有SDP网关,SDP网关可以根据SDP控制器对SDP客户端的认证结果以及SDP客户端发送的用户信息与移动接入用户的客户端建立公网加密隧道,并修改防火墙策略,建立连接,再根据防火墙对SDP客户端的用户的访问控制权限进行判断,通过SDP的移动接入方式可实现接入用户的身份强认证,并可以进行基于身份的访问控制和最小权限访问,使得SDP客户端在用户权限范围内的访问行为可以通过公网加密隧道访问SD‑WAN网络,实现一点接入全网访问,无需在各资源节点部署网关等设备,减少了网络接入成本,无需搭建VPN专网,提高了访问速度,也提高了安全性。
[0012] 可选地,所述控制所述广域软件定义网络客户端通过所述公网加密隧道访问广域软件定义网络,包括:
[0013] 控制所述广域软件定义网络客户端的用户流量通过所述公网加密隧道,在汇聚网关处进行虚拟局域网划分和数据隔离;
[0014] 将进行虚拟局域网划分和数据隔离后的用户流量经过接入路由器进入广域软件定义网络。
[0015] 这里,本申请实施例用户流量经过SDP网关后通过汇聚网关,在汇聚网关处进行虚拟局域网(Virtual Local Area Network,VLAN)划分和数据隔离,流量经过接入路由器进入所属客户的SD‑WAN网络,可对客户的SD‑WAN各节点资源进行访问,至此完成SD‑WAN的移动接入访问,实现一点接入全网访问。
[0016] 可选地,在所述根据所述防火墙,确定所述广域软件定义网络客户端的访问控制权限之后,还包括:
[0017] 若所述广域软件定义网络客户端的访问控制权限不为权限内访问,则对所述广域软件定义网络客户端进行拦截和告警。
[0018] 这里,本申请针对于不为权限内访问的客户端或者是访问行为,例如越权访问和恶意操作,可以进行拦截和告警,进一步地保证了SD‑WAN网络的安全性。
[0019] 第二方面,本申请实施例提供了一种网络接入方法,包括:
[0020] 接收广域软件定义网络客户端发送的接入请求,其中,所述接入请求中携带有用户信息;
[0021] 根据所述用户信息进行身份认证;
[0022] 将认证结果和所述用户信息发送至网络服务提供点中用户对应的软件定义边界网关,以使所述软件定义边界网关根据所述认证结果和用户信息,与广域软件定义网络客户端建立公网加密隧道,并修改防火墙,根据所述公网加密隧道与所述广域软件定义网络客户端建立连接;根据所述防火墙,确定所述广域软件定义网络客户端的访问控制权限;若所述广域软件定义网络客户端的访问控制权限为权限内访问,则控制所述广域软件定义网络客户端通过所述公网加密隧道访问广域软件定义网络。
[0023] 这里,本申请实施例在SD‑WAN网络新增移动接入POP节点,在POP点内部署SDP网关,SDP控制器对SDP客户端进行身份认证之后,将认证结果和用户信息发送移动接入POP点中用户所对应的SDP网关,以便通过SDP网关进行移动网络的接入,通过SDP结合SD‑WAN只需部署单个节点的接入POP,即可访问用户多分支的资源,减少了网络接入的成本,进一步的提高了网络接入的安全性和网络接入速度。
[0024] 第三方面,本申请实施例提供了一种网络接入方法,包括:
[0025] 向广域软件定义网络控制器发送接入请求,以使所述广域软件定义网络控制器根据所述用户信息进行身份认证;将认证结果和所述用户信息发送至网络服务提供点中用户对应的软件定义边界网关,其中,所述接入请求中携带有用户信息;
[0026] 根据公网加密隧道与软件定义边界网关建立连接,其中,所述公网加密隧道为所述软件定义边界网关根据认证结果和所述用户信息建立的;
[0027] 根据软件定义边界网关的控制,通过公网加密隧道访问广域软件定义网络。
[0028] 这里,用户通过SDP客户端实现移动办公场景下的接入时,可以通过SDP网关进行网络接入,其中,为SD‑WAN网络新增移动接入POP节点内部部署的,用户使用客户端通过互联网实现一点接入即可访问权限内的SD‑WAN各节点资源,保证了SD‑WAN移动接入的可用性和安全性,并降低了移动接入的成本。
[0029] 第四方面,本申请实施例提供了一种网络接入系统,包括广域软件定义网络客户端、广域软件定义网络控制器和软件定义边界网关;
[0030] 所述广域软件定义网络客户端向广域软件定义网络控制器发送接入请求,其中,所述接入请求中携带有用户信息;
[0031] 所述广域软件定义网络控制器接收广域软件定义网络客户端发送的接入请求,其中,所述接入请求中携带有用户信息;
[0032] 所述广域软件定义网络控制器根据所述用户信息进行身份认证;
[0033] 所述广域软件定义网络控制器将认证结果和所述用户信息发送至网络服务提供点中用户对应的软件定义边界网关;
[0034] 所述软件定义边界网关接收广域软件定义网络控制器发送的认证结果和用户信息;
[0035] 所述软件定义边界网关根据所述认证结果和用户信息,与广域软件定义网络客户端建立公网加密隧道,并修改防火墙,根据所述公网加密隧道与所述广域软件定义网络客户端建立连接;
[0036] 所述软件定义边界网关根据所述防火墙,确定所述广域软件定义网络客户端的访问控制权限;
[0037] 若所述广域软件定义网络客户端的访问控制权限为权限内访问,则所述软件定义边界网关控制所述广域软件定义网络客户端通过所述公网加密隧道访问广域软件定义网络。
[0038] 第五方面,本申请实施例提供了一种网络接入装置,包括:
[0039] 第一接收模块,用于接收广域软件定义网络控制器发送的认证结果和用户信息;
[0040] 第一建立模块,用于根据所述认证结果和用户信息,与广域软件定义网络客户端建立公网加密隧道,并修改防火墙,根据所述公网加密隧道与所述广域软件定义网络客户端建立连接;
[0041] 确定模块,用于根据所述防火墙,确定所述广域软件定义网络客户端的访问控制权限;
[0042] 控制模块,用于若所述广域软件定义网络客户端的访问控制权限为权限内访问,则控制所述广域软件定义网络客户端通过所述公网加密隧道访问广域软件定义网络。
[0043] 可选地,所述控制模块具体用于:
[0044] 控制所述广域软件定义网络客户端的用户流量通过所述公网加密隧道,在汇聚网关处进行虚拟局域网划分和数据隔离;
[0045] 将进行虚拟局域网划分和数据隔离后的用户流量经过接入路由器进入广域软件定义网络。
[0046] 可选的,在所述确定模块根据所述防火墙,确定所述广域软件定义网络客户端的访问控制权限之后,上述装置还包括:
[0047] 拦截模块,用于若所述广域软件定义网络客户端的访问控制权限不为权限内访问,则对所述广域软件定义网络客户端进行拦截和告警。
[0048] 第六方面,本申请实施例提供了一种网络接入装置,包括:
[0049] 第二接收模块,用于接收广域软件定义网络客户端发送的接入请求,其中,所述接入请求中携带有用户信息;
[0050] 认证模块,用于根据所述用户信息进行身份认证;
[0051] 第一发送模块,用于将认证结果和所述用户信息发送至网络服务提供点中用户对应的软件定义边界网关,以使所述软件定义边界网关根据所述认证结果和用户信息,与广域软件定义网络客户端建立公网加密隧道,并修改防火墙,根据所述公网加密隧道与所述广域软件定义网络客户端建立连接;根据所述防火墙,确定所述广域软件定义网络客户端的访问控制权限;若所述广域软件定义网络客户端的访问控制权限为权限内访问,则控制所述广域软件定义网络客户端通过所述公网加密隧道访问广域软件定义网络。
[0052] 第七方面,本申请实施例提供了一种网络接入装置,包括:
[0053] 第二发送模块,用于向广域软件定义网络控制器发送接入请求,以使所述广域软件定义网络控制器根据所述用户信息进行身份认证;将认证结果和所述用户信息发送至网络服务提供点中用户对应的软件定义边界网关,其中,所述接入请求中携带有用户信息;
[0054] 第二建立模块,用于根据公网加密隧道与软件定义边界网关建立连接,其中,所述公网加密隧道为所述软件定义边界网关根据认证结果和所述用户信息建立的;
[0055] 访问模块,用于根据软件定义边界网关的控制,通过公网加密隧道访问广域软件定义网络。
[0056] 第八方面,本申请提供一种网络接入设备,包括:至少一个处理器和存储器;
[0057] 所述存储器存储计算机执行指令;
[0058] 所述至少一个处理器执行所述存储器存储的计算机执行指令,使得所述至少一个处理器执行如上第一方面以及第一方面各种可能的设计所述的网络接入方法。
[0059] 第九方面,本申请提供一种计算机可读存储介质,所述计算机可读存储介质中存储有计算机执行指令,当处理器执行所述计算机执行指令时,实现如上第一方面以及第一方面各种可能的设计所述的网络接入方法。
[0060] 第十方面,本申请提供一种计算机程序产品,包括计算机程序,所述计算机程序被处理器执行时,实现如上第一方面以及第一方面各种可能的设计所述的网络接入方法。
[0061] 第十一方面,本申请提供一种网络接入设备,包括:至少一个处理器和存储器;
[0062] 所述存储器存储计算机执行指令;
[0063] 所述至少一个处理器执行所述存储器存储的计算机执行指令,使得所述至少一个处理器执行如上第二方面以及第二方面各种可能的设计所述的网络接入方法。
[0064] 第十二方面,本申请提供一种计算机可读存储介质,所述计算机可读存储介质中存储有计算机执行指令,当处理器执行所述计算机执行指令时,实现如上第二方面以及第二方面各种可能的设计所述的网络接入方法。
[0065] 第十三方面,本申请提供一种计算机程序产品,包括计算机程序,所述计算机程序被处理器执行时,实现如上第二方面以及第二方面各种可能的设计所述的网络接入方法。
[0066] 第十四方面,本申请提供一种网络接入设备,包括:至少一个处理器和存储器;
[0067] 所述存储器存储计算机执行指令;
[0068] 所述至少一个处理器执行所述存储器存储的计算机执行指令,使得所述至少一个处理器执行如上第三方面以及第三方面各种可能的设计所述的网络接入方法。
[0069] 第十五方面,本申请提供一种计算机可读存储介质,所述计算机可读存储介质中存储有计算机执行指令,当处理器执行所述计算机执行指令时,实现如上第三方面以及第三方面各种可能的设计所述的网络接入方法。
[0070] 第十六方面,本申请提供一种计算机程序产品,包括计算机程序,所述计算机程序被处理器执行时,实现如上第三方面以及第三方面各种可能的设计所述的网络接入方法。
[0071] 本申请提供的网络接入方法、装置、服务器及存储介质,其中该方法的SD‑WAN网络中部署有SDP网关,SDP网关可以根据SDP控制器对SDP客户端的认证结果以及SDP客户端发送的用户信息与移动接入用户的客户端建立公网加密隧道,并修改防火墙策略,建立连接,再根据防火墙对SDP客户端的用户的访问控制权限进行判断,通过SDP的移动接入方式可实现接入用户的身份强认证,并可以进行基于身份的访问控制和最小权限访问,使得SDP客户端在用户权限范围内的访问行为可以通过公网加密隧道访问SD‑WAN网络,实现一点接入全网访问,无需在各资源节点部署网关等设备,减少了网络接入成本,无需搭建VPN专网,提高了访问速度,也提高了安全性。
附图说明
[0072] 为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
[0073] 图1为本申请实施例提供的一种网络接入系统架构示意图;
[0074] 图2为本申请实施例提供的一种网络接入方法的流程示意图;
[0075] 图3为本申请实施例提供的另一种网络接入方法的流程示意图;
[0076] 图4为本申请实施例提供的再一种网络接入方法的流程示意图;;
[0077] 图5为本申请实施例提供的又一种网络接入方法的流程示意图;
[0078] 图6为本申请实施例提供的一种网络接入装置的结构示意图;
[0079] 图7为本申请实施例提供的一种网络接入设备的结构示意图;
[0080] 图8为本申请实施例提供的另一种网络接入装置的结构示意图;
[0081] 图9为本申请实施例提供的又一种网络接入装置的结构示意图。
[0082] 通过上述附图,已示出本公开明确的实施例,后文中将有更详细的描述。这些附图和文字描述并不是为了通过任何方式限制本公开构思的范围,而是通过参考特定实施例为本领域技术人员说明本公开的概念。
具体实施方式
[0083] 这里将详细地对示例性实施例进行说明,其示例表示在附图中。下面的描述涉及附图时,除非另有表示,不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本公开相一致的所有实施方式。相反,它们仅是与如所附权利要求书中所详述的、本公开的一些方面相一致的装置和方法的例子。
[0084] 本申请的说明书和权利要求书及上述附图中的术语“第一”、“第二”、“第三”及“第四”等(如果存在)是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的本申请的实施例能够以除了在这里图示或描述的那些以外的顺序实施。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
[0085] SD‑WAN将软件定义的理念应用到广域网,实现了业务的灵活发放和可视化运维,使企业可以利用互联网网络链路实现高品质的自组网。SD‑WAN在企业组网过程的应用场景包括总部‑分支,总部‑分支‑混合云等,SD‑WAN实现了灵活便捷、安全可靠的企业广域组网方式,客户需要在企业内部实现SD‑WAN网络的接入,无法实现异地的移动接入。软件定义边界(Software Defined Perimeter,SDP)是基于零信任理念的新一代网络安全模型,利用基于身份的访问控制机制,隐藏核心网络资产与设施,使之不直接暴露在互联网下,免受外来安全威胁。由于SD‑WAN的接入需要保证网络传输线路的安全性且接入设备移动化改造较为复杂,目前SD‑WAN通用解决方案不支持移动接入。目前,企业网络接入方式主要为,在企业分支及总部之间搭设SD‑WAN网络,移动接入方案则独立于SD‑WAN搭建一套VPN用于移动办公。
[0086] 然而,采用VPN进行移动用户的内网接入,VPN存在访问速度慢、不可靠、无法实现访问权限控制,无法保证本地用户安全性等一系列安全问题。引入的VPN独立于SD‑WAN网络,耦合性较低,需要在不同资源节点处分别部署VPN服务,搭建多条VPN网络,成本较高且网络复杂。
[0087] 为了解决上述技术问题,本申请实施例提供一种网络接入方法、装置、服务器及存储介质,借助SD‑WAN搭建企业广域网,在SD‑WAN网络新建或选定POP点作为移动接入网关,并在POP点部署SDP网关集群,实现客户的SD‑WAN网络移动接入,一点接入即可实现用户权限内的全网资源访问。
[0088] 可选地,图1为本申请实施例提供的一种网络接入系统架构示意图。如图1所示,上述架构包括专线承载网100、网络服务提供点101、网络服务提供点102、网络服务提供点103和移动接入的网络服务提供点104。
[0089] 网络服务提供点101、网络服务提供点102、网络服务提供点103和移动接入的网络服务提供点104都设置在专线承载网100上。
[0090] 网络服务提供点101、网络服务提供点102、网络服务提供点103分别通过客户前置设备105、客户前置设备106和客户前置设备107连接企业总部、企业分支和数据中心。
[0091] 其中,客户前置设备(Customer Premise Equipment,CPE)为接收无线网络信号的无线终端接入设备。
[0092] 网络服务提供点104中包括软件定义边界网关1041、定义边界网关1042和定义边界网关1043,其中,网络服务提供点中可包括一个或多个定义边界网关,其数量可以根据实际情况确定。
[0093] 网络服务提供点104中还包括汇聚网关1045和接入路由器1046。
[0094] 图1的架构还包括广域软件定义网络客户端108和广域软件定义网络控制器109,其中,广域软件定义网络客户端108可以和广域软件定义网络控制器109连接,广域软件定义网络客户端108可以与任意定义边界网关连接,广域软件定义网络客户端108可以通过任意定义边界网关建立的公网加密隧道与定义边界网关建立连接。
[0095] 可以理解的是,本申请实施例示意的结构并不构成对网络接入系统架构的具体限定。在本申请另一些可行的实施方式中,上述架构可以包括比图示更多或更少的部件,或者组合某些部件,或者拆分某些部件,或者不同的部件布置,具体可根据实际应用场景确定,在此不做限制。图1所示的部件可以以硬件,软件,或软件与硬件的组合实现。
[0096] 另外,本申请实施例描述的网络架构以及业务场景是为了更加清楚的说明本申请实施例的技术方案,并不构成对于本申请实施例提供的技术方案的限定,本领域普通技术人员可知,随着网络架构的演变和新业务场景的出现,本申请实施例提供的技术方案对于类似的技术问题,同样适用。
[0097] 下面以几个实施例为例对本申请的技术方案进行描述,对于相同或相似的概念或过程可能在某些实施例不再赘述。
[0098] 图2为本申请实施例提供的一种网络接入方法的流程示意图,本申请实施例的执行主体可以为图1所示实施例中的任意定义边界网关或者定义边界网关的服务器,具体执行主体可以根据实际应用场景确定。如图2所示,该方法包括如下步骤:
[0099] S201:接收广域软件定义网络控制器发送的认证结果和用户信息。
[0100] 其中,认证结果和用户信息为SD‑WAN移动接入用户使用SDP客户端通过互联网首先向SDP控制器提交用户信息和接入请求,SDP控制器对用户信息进行认证之后得到的。
[0101] S202:根据认证结果和用户信息,与广域软件定义网络客户端建立公网加密隧道,并修改防火墙,根据公网加密隧道与广域软件定义网络客户端建立连接。
[0102] 可选地,SDP网关根据用户网络信息与移动接入用户的客户端建立公网加密隧道,并修改防火墙策略,建立连接;SDP网关根据用户的访问策略处对移动接入用户进行访问控制,对用户权限范围内的访问行为放行,对于越权访问和恶意操作进行拦截和告警。
[0103] S203:根据防火墙,确定广域软件定义网络客户端的访问控制权限。
[0104] 可选地,在根据防火墙,确定广域软件定义网络客户端的访问控制权限之后,还包括:若广域软件定义网络客户端的访问控制权限不为权限内访问,则对广域软件定义网络客户端进行拦截和告警。
[0105] 这里,本申请针对于不为权限内访问的客户端或者是访问行为,例如越权访问和恶意操作,可以进行拦截和告警,进一步地保证了SD‑WAN网络的安全性。
[0106] S204:若广域软件定义网络客户端的访问控制权限为权限内访问,则控制广域软件定义网络客户端通过公网加密隧道访问广域软件定义网络。
[0107] 可选地,控制广域软件定义网络客户端通过公网加密隧道访问广域软件定义网络,包括:控制广域软件定义网络客户端的用户流量通过公网加密隧道,在汇聚网关处进行虚拟局域网划分和数据隔离;将进行虚拟局域网划分和数据隔离后的用户流量经过接入路由器进入广域软件定义网络。
[0108] 其中,在SDP网关根据用户网络信息与移动接入用户的客户端建立公网加密隧道之后,移动接入用户流量经过SDP网关后通过汇聚网关,在汇聚网关处进行VLAN划分和数据隔离;流量经过PE进入所属客户的SD‑WAN网络,可对客户的SD‑WAN各节点资源进行访问,至此完成SD‑WAN的移动接入访问,实现一点接入全网访问(企业总部、数据中心),无需在各资源节点部署网关等设备。
[0109] 这里,本申请实施例用户流量经过SDP网关后通过汇聚网关,在汇聚网关处进行VLAN划分和数据隔离,流量经过接入路由器进入所属客户的SD‑WAN网络,可对客户的SD‑WAN各节点资源进行访问,至此完成SD‑WAN的移动接入访问,实现一点接入全网访问。通过SDP的移动接入方式可实现接入用户的身份强认证,并可以进行基于身份的访问控制和最小权限访问。
[0110] 在一些可能的实现方式中,本申请实施例还提供一种网络接入方法,其执行主体可以为图1中的广域软件定义网络控制器109,相应的,图3为本申请实施例提供的另一种网络接入方法的流程示意图,如图3所示,该方法包括:
[0111] S301:接收广域软件定义网络客户端发送的接入请求,其中,接入请求中携带有用户信息。
[0112] S302:根据用户信息进行身份认证。
[0113] S303:将认证结果和用户信息发送至网络服务提供点中用户对应的软件定义边界网关。
[0114] 这里,将认证结果和用户信息发送至网络服务提供点中用户对应的软件定义边界网关,以使软件定义边界网关根据认证结果和用户信息,与广域软件定义网络客户端建立公网加密隧道,并修改防火墙,根据公网加密隧道与广域软件定义网络客户端建立连接;根据防火墙,确定广域软件定义网络客户端的访问控制权限;若广域软件定义网络客户端的访问控制权限为权限内访问,则控制广域软件定义网络客户端通过公网加密隧道访问广域软件定义网络。
[0115] 这里,本申请实施例在SD‑WAN网络新增移动接入POP节点,在POP点内部署SDP网关,SDP控制器对SDP客户端进行身份认证之后,将认证结果和用户信息发送移动接入POP点中用户所对应的SDP网关,以便通过SDP网关进行移动网络的接入,通过SDP结合SD‑WAN只需部署单个节点的接入POP,即可访问用户多分支的资源,减少了网络接入的成本,进一步的提高了网络接入的安全性和网络接入速度。
[0116] 在一些可能的实现方式中,本申请实施例还提供一种网络接入方法,其执行主体可以为图1中的广域软件定义网络客户端108,相应的,图4为本申请实施例提供的再一种网络接入方法的流程示意图,如图4所示,该方法包括:
[0117] S401:向广域软件定义网络控制器发送接入请求。
[0118] 其中,网络控制器发送接入请求以使广域软件定义网络控制器根据用户信息进行身份认证;将认证结果和用户信息发送至网络服务提供点中用户对应的软件定义边界网关。
[0119] 其中,接入请求中携带有用户信息。
[0120] 可选地,使用单包认证(Single Packet Authorization,SPA)提交接入请求,可以传输更多的消息、并加强其安全性。
[0121] S402:根据公网加密隧道与软件定义边界网关建立连接。
[0122] 其中,公网加密隧道为软件定义边界网关根据认证结果和用户信息建立的。
[0123] S403:根据软件定义边界网关的控制,通过公网加密隧道访问广域软件定义网络。
[0124] 这里,将认证结果和用户信息发送至网络服务提供点中用户对应的软件定义边界网关,以使软件定义边界网关根据认证结果和用户信息,与广域软件定义网络客户端建立公网加密隧道,并修改防火墙,根据公网加密隧道与广域软件定义网络客户端建立连接;根据防火墙,确定广域软件定义网络客户端的访问控制权限;若广域软件定义网络客户端的访问控制权限为权限内访问,则控制广域软件定义网络客户端通过公网加密隧道访问广域软件定义网络。
[0125] 这里,本申请实施例在SD‑WAN网络新增移动接入POP节点,在POP点内部署SDP网关,SDP控制器对SDP客户端进行身份认证之后,将认证结果和用户信息发送移动接入POP点中用户所对应的SDP网关,以便通过SDP网关进行移动网络的接入,通过SDP结合SD‑WAN只需部署单个节点的接入POP,即可访问用户多分支的资源,减少了网络接入的成本,进一步的提高了网络接入的安全性和网络接入速度。
[0126] 可选地,图5为本申请实施例提供的又一种网络接入方法的流程示意图,该方法的执行主体为网络接入系统,包括广域软件定义网络客户端、广域软件定义网络控制器和软件定义边界网关。如图5所示,该方法包括:
[0127] S501:广域软件定义网络客户端向广域软件定义网络控制器发送接入请求。
[0128] 其中,接入请求中携带有用户信息。
[0129] S502:广域软件定义网络控制器接收广域软件定义网络客户端发送的接入请求。
[0130] 其中,接入请求中携带有用户信息。
[0131] S503:广域软件定义网络控制器根据用户信息进行身份认证。
[0132] S504:广域软件定义网络控制器将认证结果和用户信息发送至网络服务提供点中用户对应的软件定义边界网关。
[0133] S505:软件定义边界网关接收广域软件定义网络控制器发送的认证结果和用户信息。
[0134] S506:软件定义边界网关根据认证结果和用户信息,与广域软件定义网络客户端建立公网加密隧道,并修改防火墙,根据公网加密隧道与广域软件定义网络客户端建立连接。
[0135] S507:软件定义边界网关根据防火墙,确定广域软件定义网络客户端的访问控制权限。
[0136] S508:若广域软件定义网络客户端的访问控制权限为权限内访问,则软件定义边界网关控制广域软件定义网络客户端通过公网加密隧道访问广域软件定义网络。
[0137] 这里,网络服务提供点即POP点,通常POP点越近则线路信号损耗越小,可为连接用户提供的带宽保障越高。本申请实施例中的网络接入系统借助SD‑WAN搭建企业广域网,在SD‑WAN网络新建或选定POP点作为移动接入网关,并在POP点部署SDP网关集群,实现客户的SD‑WAN网络移动接入,一点接入即可实现用户权限内的全网资源访问,解决了SD‑WAN的移动接入问题,与此同时保证了用户接入的可用性和安全性,实现用户访问的权限控制,进一步降低了移动接入的安全风险。
[0138] 图6为本申请实施例提供的一种网络接入装置的结构示意图,如图6所示,本申请实施例的装置包括:第一接收模块601、第一建立模块602、确定模块603和控制模块604。这里的网络接入装置可以是上述定义边界网关或者定义边界网关的服务器,或者是实现服务器的功能的芯片或者集成电路。这里需要说明的是,第一接收模块601、第一建立模块602、确定模块603和控制模块604的划分只是一种逻辑功能的划分,物理上两者可以是集成的,也可以是独立的。
[0139] 其中,第一接收模块,用于接收广域软件定义网络控制器发送的认证结果和用户信息;
[0140] 第一建立模块,用于根据认证结果和用户信息,与广域软件定义网络客户端建立公网加密隧道,并修改防火墙,根据公网加密隧道与广域软件定义网络客户端建立连接;
[0141] 确定模块,用于根据防火墙,确定广域软件定义网络客户端的访问控制权限;
[0142] 控制模块,用于若广域软件定义网络客户端的访问控制权限为权限内访问,则控制广域软件定义网络客户端通过公网加密隧道访问广域软件定义网络。
[0143] 可选地,控制模块具体用于:
[0144] 控制广域软件定义网络客户端的用户流量通过公网加密隧道,在汇聚网关处进行虚拟局域网划分和数据隔离;
[0145] 将进行虚拟局域网划分和数据隔离后的用户流量经过接入路由器进入广域软件定义网络。
[0146] 可选的,在确定模块根据防火墙,确定广域软件定义网络客户端的访问控制权限之后,上述装置还包括:
[0147] 拦截模块,用于若广域软件定义网络客户端的访问控制权限不为权限内访问,则对广域软件定义网络客户端进行拦截和告警。
[0148] 图7为本申请实施例提供的一种网络接入设备(可以为图1中的定义边界网关或者定义边界网关的服务器)的结构示意图。本文所示的部件、它们的连接和关系、以及它们的功能仅仅作为示例,并且不限制本文中描述的和/或者要求的本申请的实现。
[0149] 如图7所示,该网络接入设备包括:处理器701和存储器702,各个部件利用不同的总线互相连接,并且可以被安装在公共主板上或者根据需要以其它方式安装。处理器701可以对在终端内执行的指令进行处理,包括存储在存储器中或者存储器上以在外部输入/输出装置(诸如,耦合至接口的显示设备)上显示的图形信息的指令。在其它实施方式中,若需要,可以将多个处理器和/或多条总线与多个存储器和多个存储器一起使用。图7中以一个处理器701为例。
[0150] 存储器702作为一种非瞬时计算机可读存储介质,可用于存储非瞬时软件程序、非瞬时计算机可执行程序以及模块,如本申请实施例中的网络接入设备的方法对应的程序指令/模块(例如,附图6所示的第一接收模块601、第一建立模块602、确定模块603和控制模块604)。处理器701通过运行存储在存储器702中的非瞬时软件程序、指令以及模块,从而执行网络接入设备的各种功能应用以及数据处理,即实现上述方法实施例中的网络接入设备的方法。
[0151] 网络接入设备还可以包括:输入装置703和输出装置704。处理器701、存储器702、输入装置703和输出装置704可以通过总线或者其他方式连接,图7中以通过总线连接为例。
[0152] 输入装置703可接收输入的数字或字符信息,以及产生与网络接入设备的用户设置以及功能控制有关的键信号输入,例如触摸屏、小键盘、鼠标、或者多个鼠标按钮、轨迹球、操纵杆等输入装置。输出装置704可以是网络接入设备的显示设备等输出设备。该显示设备可以包括但不限于,液晶显示器(LCD)、发光二极管(LED)显示器和等离子体显示器。在一些实施方式中,显示设备可以是触摸屏。
[0153] 本申请实施例的网络接入设备,可以用于执行本申请上述各方法实施例中的技术方案,其实现原理和技术效果类似,此处不再赘述。
[0154] 本申请实施例还提供一种计算机可读存储介质,该计算机可读存储介质中存储有计算机执行指令,计算机执行指令被处理器执行时用于实现上述任一的网络接入方法。
[0155] 本申请实施例还提供一种计算机程序产品,包括计算机程序,计算机程序被处理器执行时,用于实现上述任一项的网络接入方法。
[0156] 图8为本申请实施例提供的另一种网络接入装置的结构示意图,如图8所示,本申请实施例的装置包括:第二接收模块801、认证模块802和第一发送模块803。这里的网络接入装置可以是上述广域软件定义网络控制器109或者广域软件定义网络控制器109的服务器,或者是实现广域软件定义网络控制器109的功能的芯片或者集成电路。这里需要说明的是,第二接收模块801、认证模块802和第一发送模块803的划分只是一种逻辑功能的划分,物理上两者可以是集成的,也可以是独立的。
[0157] 其中,第二接收模块,用于接收广域软件定义网络客户端发送的接入请求,其中,接入请求中携带有用户信息;
[0158] 认证模块,用于根据用户信息进行身份认证;
[0159] 第一发送模块,用于将认证结果和用户信息发送至网络服务提供点中用户对应的软件定义边界网关,以使软件定义边界网关根据认证结果和用户信息,与广域软件定义网络客户端建立公网加密隧道,并修改防火墙,根据公网加密隧道与广域软件定义网络客户端建立连接;根据防火墙,确定广域软件定义网络客户端的访问控制权限;若广域软件定义网络客户端的访问控制权限为权限内访问,则控制广域软件定义网络客户端通过公网加密隧道访问广域软件定义网络。
[0160] 本申请实施例还提供一种网络接入设备(可以为图1中的广域软件定义网络控制器109或者广域软件定义网络控制器109的服务器)的结构示意图。本文所示的部件、它们的连接和关系、以及它们的功能仅仅作为示例,并且不限制本文中描述的和/或者要求的本申请的实现。
[0161] 该网络接入设备包括:处理器和存储器,各个部件利用不同的总线互相连接,并且可以被安装在公共主板上或者根据需要以其它方式安装。处理器可以对在终端内执行的指令进行处理,包括存储在存储器中或者存储器上以在外部输入/输出装置(诸如,耦合至接口的显示设备)上显示的图形信息的指令。在其它实施方式中,若需要,可以将多个处理器和/或多条总线与多个存储器和多个存储器一起使用。
[0162] 存储器作为一种非瞬时计算机可读存储介质,可用于存储非瞬时软件程序、非瞬时计算机可执行程序以及模块,如本申请实施例中的网络接入设备的方法对应的程序指令/模块(例如,附图8所示的第二接收模块801、认证模块802和第一发送模块803)。处理器通过运行存储在存储器中的非瞬时软件程序、指令以及模块,从而执行网络接入设备的各种功能应用以及数据处理,即实现上述方法实施例中的网络接入设备的方法。
[0163] 网络接入设备还可以包括:输入装置和输出装置。处理器、存储器、输入装置和输出装置可以通过总线或者其他方式连接。
[0164] 输入装置可接收输入的数字或字符信息,以及产生与网络接入设备的用户设置以及功能控制有关的键信号输入,例如触摸屏、小键盘、鼠标、或者多个鼠标按钮、轨迹球、操纵杆等输入装置。输出装置可以是网络接入设备的显示设备等输出设备。该显示设备可以包括但不限于,液晶显示器(LCD)、发光二极管(LED)显示器和等离子体显示器。在一些实施方式中,显示设备可以是触摸屏。
[0165] 本申请实施例的网络接入设备,可以用于执行本申请上述各方法实施例中的技术方案,其实现原理和技术效果类似,此处不再赘述。
[0166] 本申请实施例还提供一种计算机可读存储介质,该计算机可读存储介质中存储有计算机执行指令,计算机执行指令被处理器执行时用于实现上述任一的网络接入方法。
[0167] 本申请实施例还提供一种计算机程序产品,包括计算机程序,计算机程序被处理器执行时,用于实现上述任一项的网络接入方法。
[0168] 图9为本申请实施例提供的又一种网络接入装置的结构示意图,如图9所示,本申请实施例的装置包括:第二发送模块901、第二建立模块902和访问模块903。这里的网络接入装置可以是上述广域软件定义网络客户端108或者广域软件定义网络客户端108的服务器,或者是实现广域软件定义网络客户端108的功能的芯片或者集成电路。这里需要说明的是,第二发送模块901、第二建立模块902和访问模块903的划分只是一种逻辑功能的划分,物理上两者可以是集成的,也可以是独立的。
[0169] 其中,第二发送模块,用于向广域软件定义网络控制器发送接入请求,以使广域软件定义网络控制器根据用户信息进行身份认证;将认证结果和用户信息发送至网络服务提供点中用户对应的软件定义边界网关,其中,接入请求中携带有用户信息;
[0170] 第二建立模块,用于根据公网加密隧道与软件定义边界网关建立连接,其中,公网加密隧道为软件定义边界网关根据认证结果和用户信息建立的;
[0171] 访问模块,用于根据软件定义边界网关的控制,通过公网加密隧道访问广域软件定义网络。
[0172] 本申请实施例还提供一种网络接入设备(可以为图1中的广域软件定义网络客户端108或者广域软件定义网络客户端108的服务器)的结构示意图。本文所示的部件、它们的连接和关系、以及它们的功能仅仅作为示例,并且不限制本文中描述的和/或者要求的本申请的实现。
[0173] 该网络接入设备包括:处理器和存储器,各个部件利用不同的总线互相连接,并且可以被安装在公共主板上或者根据需要以其它方式安装。处理器可以对在终端内执行的指令进行处理,包括存储在存储器中或者存储器上以在外部输入/输出装置(诸如,耦合至接口的显示设备)上显示的图形信息的指令。在其它实施方式中,若需要,可以将多个处理器和/或多条总线与多个存储器和多个存储器一起使用。
[0174] 存储器作为一种非瞬时计算机可读存储介质,可用于存储非瞬时软件程序、非瞬时计算机可执行程序以及模块,如本申请实施例中的网络接入设备的方法对应的程序指令/模块(例如,附图9所示的第二发送模块901、第二建立模块902和访问模块903)。处理器通过运行存储在存储器中的非瞬时软件程序、指令以及模块,从而执行网络接入设备的各种功能应用以及数据处理,即实现上述方法实施例中的网络接入设备的方法。
[0175] 网络接入设备还可以包括:输入装置和输出装置。处理器、存储器、输入装置和输出装置可以通过总线或者其他方式连接。
[0176] 输入装置可接收输入的数字或字符信息,以及产生与网络接入设备的用户设置以及功能控制有关的键信号输入,例如触摸屏、小键盘、鼠标、或者多个鼠标按钮、轨迹球、操纵杆等输入装置。输出装置可以是网络接入设备的显示设备等输出设备。该显示设备可以包括但不限于,液晶显示器(LCD)、发光二极管(LED)显示器和等离子体显示器。在一些实施方式中,显示设备可以是触摸屏。
[0177] 本申请实施例的网络接入设备,可以用于执行本申请上述各方法实施例中的技术方案,其实现原理和技术效果类似,此处不再赘述。
[0178] 本申请实施例还提供一种计算机可读存储介质,该计算机可读存储介质中存储有计算机执行指令,计算机执行指令被处理器执行时用于实现上述任一的网络接入方法。
[0179] 本申请实施例还提供一种计算机程序产品,包括计算机程序,计算机程序被处理器执行时,用于实现上述任一项的网络接入方法。
[0180] 在本申请所提供的几个实施例中,应该理解到,所揭露的系统,装置和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
[0181] 另外,在本申请各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。
[0182] 本领域技术人员在考虑说明书及实践这里公开的申请后,将容易想到本公开的其它实施方案。本申请旨在涵盖本公开的任何变型、用途或者适应性变化,这些变型、用途或者适应性变化遵循本公开的一般性原理并包括本公开未公开的本技术领域中的公知常识或惯用技术手段。说明书和实施例仅被视为示例性的,本公开的真正范围和精神由下面的权利要求书指出。
[0183] 应当理解的是,本公开并不局限于上面已经描述并在附图中示出的精确结构,并且可以在不脱离其范围进行各种修改和改变。本公开的范围仅由所附的权利要求书来限制。