一种认证方法和装置制造方法及图纸

本申请提供一种认证方法和装置，该方法包括：在获得虚拟机的IP地址后，向接入层设备发送packet out报文，所述packet out报文携带认证通知报文，以使所述接入层设备将所述认证通知报文发送给所述虚拟机；接收所述接入层设备发送的packet in报文，所述packet in报文携带认证请求报文；从所述认证请求报文中解析出认证信息；通过所述认证信息查询预先配置的用户数据表；若所述用户数据表中包括所述认证信息，则确定所述虚拟机认证成功，并将所述虚拟机的IP地址记录为已认证成功的IP地址。通过本申请的技术方案，可以实现用户的认证，有效控制用户的接入，大大提高了SDN的可靠性。

【技术实现步骤摘要】

本申请涉及通信
，尤其涉及一种认证方法和装置。
技术介绍
SDN(SoftwareDefinedNetwork，软件定义网络)是一种新型网络架构，其核心思想是分离网络设备的控制层面与转发层面，通过SDN控制器对网络流量进行集中和灵活控制，从而为核心网络以及应用的创新提供良好的平台。如图1所示，为SDN的组网示意图，SDN控制器分别与接入层设备建立连接、与汇聚层设备建立连接、与核心层设备建立连接。接入层设备在接收到来自虚拟机的报文后，若本地存在该报文对应的流表，则利用该流表转发该报文。若本地没有该报文对应的流表，则将该报文发送给SDN控制器，由SDN控制器转发该报文，并生成该报文对应的流表，并将该流表下发给接入层设备。在传统的SDN中，无法实现用户的认证，从而无法有效控制用户的接入。
技术实现思路
本申请提供一种认证方法，应用于控制器，所述方法包括：在获得虚拟机的IP地址后，向接入层设备发送packetout报文，所述packetout报文携带用于使所述虚拟机进行认证的认证通知报文，以使所述接入层设备将所述认证通知报文发送给所述虚拟机；接收所述接入层设备发送的packetin报文，所述packetin报文是接入层设备收到来自虚拟机的认证请求报文，并将其封装到packetin报文后发送的；从所述认证请求报文中解析出认证信息；通过所述认证信息查询预先配置的用户数据表；若所述用户数据表中包括所述认证信息，则确定所述虚拟机认证成功，并将所述虚拟机的IP地址记录为已认证成功的IP地址。本申请提供一种认证装置，应用于控制器，所述装置包括：发送模块，用于在获得虚拟机的IP地址后，向接入层设备发送packetout报文，所述packetout报文携带用于使所述虚拟机进行认证的认证通知报文，以使所述接入层设备将所述认证通知报文发送给所述虚拟机；接收模块，用于接收所述接入层设备发送的packetin报文，所述packetin报文是所述接入层设备收到来自虚拟机的认证请求报文，并将所述认证请求报文封装到packetin报文后发送的；解析模块，用于从所述认证请求报文中解析出认证信息；查询模块，用于通过所述认证信息查询预先配置的用户数据表；处理模块，用于当所述用户数据表中包括所述认证信息时，则确定所述虚拟机认证成功，并将所述虚拟机的IP地址记录为已认证成功的IP地址。基于上述技术方案，本申请实施例中，在SDN中，可以由控制器对用户进行认证，从而实现用户的认证，可以有效控制用户的接入，大大提高了SDN的可靠性。而且，控制器可以集中管理数据报文的传输流程，实现用户的流量计费以及访问权限的控制，从而更加有效的控制用户的接入，保证网络的安全性。附图说明为了更加清楚地说明本申请实施例或者现有技术中的技术方案，下面将对本申请实施例或者现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本申请中记载的一些实施例，对于本领域普通技术人员来讲，还可以根据这些附图获得其他的附图。图1是SDN的组网示意图；图2是本申请一种实施方式中的认证方法的流程图；图3是本申请一种实施方式中的控制器的硬件结构图；图4是本申请一种实施方式中的认证装置的结构图。具体实施方式在本申请使用的术语仅仅是出于描述特定实施例的目的，而非限制本申请。本申请和权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式，除非上下文清楚地表示其它含义。还应当理解，本文中使用的术语“和/或”是指包含一个或多个相关联的列出项目的任何或所有可能组合。应当理解，尽管在本申请可能采用术语第一、第二、第三等来描述各种信息，但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如，在不脱离本申请范围的情况下，第一信息也可以被称为第二信息，类似地，第二信息也可以被称为第一信息。取决于语境，此外，所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。本申请实施例中提出一种认证方法，该方法可以应用于控制器(如SDN控制器)，参见图2所示，为该认证方法的流程图，该方法可以包括以下步骤：步骤201，在获得虚拟机的IP地址后，向接入层设备发送packetout(数据包出方向)报文，其中，该packetout报文携带用于使虚拟机进行认证的认证通知报文，以使接入层设备将该认证通知报文发送给该虚拟机。在一个例子中，针对“获得虚拟机的IP地址”的过程，可以包括但不限于如下方式：向接入层设备下发第一控制流表，该第一控制流表用于使接入层设备将来自虚拟机的DHCP(DynamicHostConfigurationProtocol，动态主机配置协议)报文上送给控制器；基于此，控制器在接收到该DHCP报文之后，为该虚拟机分配IP地址(即虚拟机的IP地址)，并将该IP地址发送给该虚拟机。或者，向接入层设备下发第二控制流表，该第二控制流表用于使接入层设备将来自虚拟机的ARP(AddressResolutionProtocol，地址解析协议)报文上送给控制器；基于此，控制器在接收到该ARP报文之后，可以从该ARP报文中解析出虚拟机的IP地址。或者，直接在控制器上配置虚拟机的IP地址。在一个例子中，针对“向接入层设备发送packetout报文，以使接入层设备将认证通知报文发送给该虚拟机”的过程，控制器先获得一个认证通知报文，并将该认证通知报文封装在packetout报文中，然后将该packetout报文发送给接入层设备。接入层设备在接收到packetout报文后，从该packetout报文中解析出该认证通知报文，并将该该认证通知报文发送给虚拟机。步骤202，接收接入层设备发送的packetin(数据包入方向)报文，其中，该packetin报文是接入层设备接收到来自虚拟机的认证请求报文，并将该认证请求报文封装到packetin报文后发送的。在一个例子中，虚拟机在接收到认证通知报文后，从该认证通知报文中解析出认证页面，并向用户显示该认证页面，由用户在认证页面输入认证信息(如用户名和密码等)。虚拟机利用该认证信息生成认证请求报文，并将该认证请求报文发送给接入层设备。接入层设备在接收到该认证请求报文后，将该认证请求报文封装到packetin报文中，并将该packetin报文发送给控制器。步骤203，从该认证请求报文中解析出认证信息(如用户名和密码等)。步骤204，通过该认证信息查询预先配置的用户数据表。步骤205，若该用户数据表中包括该认证信息，则确定该虚拟机认证成功，并将该虚拟机的IP地址记录为已认证成功的IP地址。若该用户数据表中不包括该认证信息，则确定该虚拟机认证失败。在一个例子中，可以预先在控制器上配置用户数据表，该用户数据表用于记录能够访问网络的认证信息。若认证请求报文中携带的认证信息位于用户数据表中，则表明用户输入的认证信息正确，因此虚拟机认证成功，允许该虚拟机访问网络。若认证请求报文中携带的认证信息不位于用户数据表中，则表明用户输入的认证信息不正确，因此虚拟机认证失败，拒绝该虚拟机访问网络。在一个例子中，控制器在接收到接入层设备上送的数据报文之后，先解析该数据报文的源IP地址。若该源IP地址是已认证成功的IP地址，则控制器生成该数本文档来自技高网...

【技术保护点】
一种认证方法，应用于控制器，其特征在于，所述方法包括：在获得虚拟机的IP地址后，向接入层设备发送packet out报文，所述packetout报文携带用于使所述虚拟机进行认证的认证通知报文，以使所述接入层设备将所述认证通知报文发送给所述虚拟机；接收所述接入层设备发送的packet in报文，所述packet in报文是接入层设备收到来自虚拟机的认证请求报文，并将其封装到packet in报文后发送的；从所述认证请求报文中解析出认证信息；通过所述认证信息查询预先配置的用户数据表；若所述用户数据表中包括所述认证信息，则确定所述虚拟机认证成功，并将所述虚拟机的IP地址记录为已认证成功的IP地址。

【技术特征摘要】
1.一种认证方法，应用于控制器，其特征在于，所述方法包括：在获得虚拟机的IP地址后，向接入层设备发送packetout报文，所述packetout报文携带用于使所述虚拟机进行认证的认证通知报文，以使所述接入层设备将所述认证通知报文发送给所述虚拟机；接收所述接入层设备发送的packetin报文，所述packetin报文是接入层设备收到来自虚拟机的认证请求报文，并将其封装到packetin报文后发送的；从所述认证请求报文中解析出认证信息；通过所述认证信息查询预先配置的用户数据表；若所述用户数据表中包括所述认证信息，则确定所述虚拟机认证成功，并将所述虚拟机的IP地址记录为已认证成功的IP地址。2.根据权利要求1所述的方法，其特征在于，所述获得虚拟机的IP地址的过程，具体包括：向接入层设备下发第一控制流表，所述第一控制流表用于使所述接入层设备将来自虚拟机的动态主机配置协议DHCP报文上送给控制器；在接收到DHCP报文后，为所述虚拟机分配IP地址，并将该IP地址发送给所述虚拟机；或者，向接入层设备下发第二控制流表，所述第二控制流表用于使所述接入层设备将来自虚拟机的地址解析协议ARP报文上送给所述控制器；在接收到所述ARP报文后，从所述ARP报文中解析出所述虚拟机的IP地址。3.根据权利要求1所述的方法，其特征在于，所述方法还包括：在接收到接入层设备上送的数据报文后，解析所述数据报文的源IP地址；若所述源IP地址是已认证成功的IP地址，则生成所述数据报文对应的第三控制流表，并将所述第三控制流表发送给所述接入层设备，以使所述接入层设备利用所述第三控制流表转发数据报文；若所述源IP地址不是已认证成功的IP地址，则丢弃所述数据报文。4.根据权利要求3所述的方法，其特征在于，所述生成所述数据报文对应的第三控制流表之前，所述方法还包括：通过所述源IP地址查询用户数据表，得到所述源IP地址对应的访问权限；解析所述数据报文的目的IP地址；判断所述目的IP地址是否属于所述访问权限对应的IP地址；如果是，则执行生成所述数据报文对应的第三控制流表的过程；如果否，则拒绝生成所述数据报文对应的第三控制流表。5.根据权利要求1所述的方法，其特征在于，所述将所述虚拟机的IP地址记录为已认证成功的IP地址之后，所述方法还包括：将当前时间记录为所述虚拟机的上线时间；在接收到所述接入层设备发送的携带下线通知报文的packetin报文后，将该packetin报文的接收时间记录为所述虚拟机的下线时间；利用所述上线时间和所述下线时间对所述虚拟机进行计费处理。6.一种认证装置，应用于控制器，其特征在于，所述装置包括：发送模块，用于在获得虚拟机的IP地址后...

【专利技术属性】
技术研发人员：王海，樊超，
申请(专利权)人：杭州华三通信技术有限公司，
类型：发明
国别省市：浙江;33