一种认证方法、设备及系统技术方案

本发明专利技术实施例提供一种认证方法、设备及系统，应用于通信技术领域，以解决SDN网络中终端设备进行Portal认证的过程较为繁琐的问题。具体的，本方案包括：接入设备接收终端设备发送的第一数据流；在第一数据流与接入设备中的转发流表中的流表项均不匹配的情况下，接入设备存储第一数据流，并向SDN控制器发送第一请求报文，第一请求报文用于触发SDN控制器向Portal服务器请求对终端设备进行无感知认证；接入设备接收SDN控制器发送的第一转发报文，第一转发报文中包括第一转发流表，第一转发流表包括第一流表项；接入设备根据第一流表项转发第一数据流。

An Authentication Method, Equipment and System

The embodiment of the invention provides an authentication method, device and system, which is applied in the field of communication technology to solve the tedious problem of portal authentication of terminal devices in SDN network. Specifically, the scheme includes: the access device receives the first data stream sent by the terminal device; in the case that the first data stream does not match the stream table item in the forwarding stream table in the access device, the access device stores the first data stream and sends the first request message to the SDN controller, which is used to trigger the SDN controller to request the Portal server for the terminal device. No perceptual authentication; access device receives the first forwarding message sent by SDN controller, the first forwarding message includes the first forwarding stream table, and the first forwarding stream table includes the first stream table entries; access device forwards the first data stream according to the first stream table entries.

【技术实现步骤摘要】
一种认证方法、设备及系统
本专利技术实施例涉及通信
，尤其涉及一种认证方法、设备及系统。
技术介绍
在当前软件定义网络(SoftwareDefinedNetwork，SDN)系统中，终端设备可以与门户(Portal)服务器交互使得终端设备重定向到Portal认证页面，以实现终端设备的Portal认证。现有技术中，Portal服务器与终端设备交互以实现终端设备的Portal认证的过程包括以下步骤：终端设备通过OpenFlow交换机(Switch)或OpenFlow无线接入点(AccessPoint，AP)等接入设备向SDN控制器发送超文本传输协议(HyperTextTransferProtocol，HTTP)流量请求；SDN控制器通过下发流表控制交换设备将该HTTP流量请求转发至Portal服务器；Portal服务器根据该HTTP流量请求向终端设备推送Portal认证页面；终端设备接收用户在该Portal认证页面上输入的账户和密码等认证信息，并将该认证信息上报至Portal服务器；Portal服务器根据该认证信息授权该终端设备，实现该终端设备的Portal认证。存在的问题是，在终端设备关闭发起流量请求的应用程序、休眠、断电关机或者断开网络连接等情况下，终端设备与Portal服务器需要重复执行上述实现终端设备的Portal认证的各个步骤。如此，将导致SDN网络中终端设备进行Portal认证的过程较为繁琐。
技术实现思路
本专利技术实施例提供一种认证方法、设备及系统，以解决SDN网络中终端设备进行Portal认证的过程较为繁琐的问题。为了解决上述技术问题，本专利技术实施例是这样实现的：第一方面，本专利技术实施例提供一种认证方法，应用于软件定义网络SDN系统中的接入设备，SDN系统中还包括SDN控制器、Portal服务器和终端设备；该方法包括：接收终端设备发送的第一数据流；在第一数据流与接入设备中的转发流表中的流表项均不匹配的情况下，存储第一数据流，并向SDN控制器发送第一请求报文，第一请求报文用于触发SDN控制器向Portal服务器请求对终端设备进行无感知认证；接收SDN控制器发送的第一转发报文，第一转发报文中包括第一转发流表，第一转发流表包括第一流表项，第一流表项用于转发第一数据流；根据第一流表项转发第一数据流。第二方面，本专利技术实施例还提供了一种认证方法，应用于SDN系统中的SDN控制器，SDN系统中还包括接入设备、Portal服务器和终端设备；该方法包括：接收接入设备发送的第一请求报文，第一请求报文用于触发SDN控制器向Portal服务器请求对终端设备进行无感知认证；根据第一请求报文，生成第一无感知认证请求报文，第一无感知认证请求报文用于触发Portal服务器对终端设备进行无感知认证；向Portal服务器发送第一无感知认证请求报文；接收Portal服务器发送的无感知认证成功报文，无感知认证成功报文中包括终端设备的访问策略；根据访问策略，生成第一转发报文，第一转发报文中包括第一转发流表，第一转发流表包括第一流表项，第一流表项用于转发第一数据流；向接入设备发送第一转发报文。第三方面，本专利技术实施例提供一种认证方法，应用于SDN系统中的Portal服务器，SDN系统中还包括SDN控制器、接入设备和终端设备；该方法包括：接收SDN控制器发送的第一无感知认证请求报文，第一无感知认证请求报文用于触发Portal服务器对终端设备进行无感知认证；在确定终端设备无感知认证成功的情况下，生成无感知认证成功报文，无感知认证成功报文中包括终端设备的访问策略；向SDN控制器发送无感知认证成功报文，无感知认证成功报文用于指示SDN控制器生成第一转发报文，第一转发报文中包括第一转发流表，第一转发流表包括第一流表项，第一流表项用于转发接入设备中存储的第一数据流。第四方面，本专利技术实施例提供了一种接入设备，包括处理器、存储器及存储在该存储器上并可在该处理器上运行的计算机程序，该计算机程序被该处理器执行时实现如第一方面的认证方法的步骤。第五方面，本专利技术实施例提供了一种计算机可读存储介质，该计算机可读存储介质上存储计算机程序，该计算机程序被处理器执行时实现如第一方面的认证方法的步骤。第六方面，本专利技术实施例提供了一种SDN控制器，包括处理器、存储器及存储在该存储器上并可在该处理器上运行的计算机程序，该计算机程序被该处理器执行时实现如第二方面的认证方法的步骤。第七方面，本专利技术实施例提供了一种计算机可读存储介质，该计算机可读存储介质上存储计算机程序，该计算机程序被处理器执行时实现如第二方面的认证方法的步骤。第八方面，本专利技术实施例提供了一种Portal服务器，包括处理器、存储器及存储在该存储器上并可在该处理器上运行的计算机程序，该计算机程序被该处理器执行时实现如第三方面的认证方法的步骤。第九方面，本专利技术实施例提供了一种计算机可读存储介质，该计算机可读存储介质上存储计算机程序，该计算机程序被处理器执行时实现如第三方面的认证方法的步骤。第十方面，本专利技术实施例提供了一种SDN系统，包括第一方面所述的接入设备、第二方面所述的SDN控制器、第三方面所述的Portal服务器以及终端设备。在本专利技术实施例中，终端设备向接入设备发送的第一数据流之后，在第一数据流与接入设备中的转发流表中的流表项均不匹配的情况下，接入设备可以存储第一数据流，并向SDN控制器发送第一请求报文，第一请求报文用于触发SDN控制器向Portal服务器请求对终端设备进行无感知认证；接入设备可以接收SDN控制器发送的第一转发报文，第一转发报文中包括第一转发流表，第一转发流表包括第一流表项，第一流表项用于转发第一数据流；根据第一流表项转发第一数据流。基于本方案，终端设备在未进行Portal认证的情况下发送第一数据流之后，接入设备可以向SDN控制器发送用于触发SDN控制器向Portal服务器请求对终端设备进行无感知认证的第一请求报文，便可以触发Portal服务器确定终端设备的无感知认证成功，即Portal认证成功，以使得接入设备可以转发第一数据流。如此，本方案中Portal服务器可以在本地确定终端设备的Portal认证成功，使得SDN系统中的各个设备可以在转发层实现终端设备的Portal认证，即，并使得SDN控制器在转发层向接入设备下发包括第一转发流表的第一转发报文，而不需要Portal服务器指示终端设备重定向至Portal认证页面实现终端设备的Portal认证，即不需要Portal服务器与终端设备在应用层进行交互。从而，可以简化SDN网络中终端设备进行Portal认证的过程。另外，由于避免了终端设备向用户提供Portal认证页面，进而避免了用户对该Portal认证页面输入认证信息的步骤，因此可以简化终端设备进行Portal认证过程中用户的操作，即提高了用户使用终端设备上网时的用户体验。附图说明图1为本专利技术实施例提供的认证方法所应用的一种SDN系统的网络架构示意图；图2为本专利技术实施例提供的认证方法的流程示意图之一；图3为本专利技术实施例提供的认证方法的流程示意图之二；图4为本专利技术实施例提供的认证方法的流程示意图之三；图5为本专利技术实施例提供的认证方法的流程示意图之四；图6为本专利技术实施例提供的认证方法的流程示意图本文档来自技高网...

【技术保护点】
1.一种认证方法，应用于软件定义网络SDN系统中的接入设备，所述SDN系统中还包括SDN控制器、门户Portal服务器和终端设备；其特征在于，所述方法包括：接收终端设备发送的第一数据流；在所述第一数据流与所述接入设备中的转发流表中的流表项均不匹配的情况下，存储所述第一数据流，并向所述SDN控制器发送第一请求报文，所述第一请求报文用于触发所述SDN控制器向所述Portal服务器请求对所述终端设备进行无感知认证；接收所述SDN控制器发送的第一转发报文，所述第一转发报文中包括第一转发流表，所述第一转发流表包括第一流表项，所述第一流表项用于转发所述第一数据流；根据所述第一流表项转发所述第一数据流。

【技术特征摘要】
1.一种认证方法，应用于软件定义网络SDN系统中的接入设备，所述SDN系统中还包括SDN控制器、门户Portal服务器和终端设备；其特征在于，所述方法包括：接收终端设备发送的第一数据流；在所述第一数据流与所述接入设备中的转发流表中的流表项均不匹配的情况下，存储所述第一数据流，并向所述SDN控制器发送第一请求报文，所述第一请求报文用于触发所述SDN控制器向所述Portal服务器请求对所述终端设备进行无感知认证；接收所述SDN控制器发送的第一转发报文，所述第一转发报文中包括第一转发流表，所述第一转发流表包括第一流表项，所述第一流表项用于转发所述第一数据流；根据所述第一流表项转发所述第一数据流。2.根据权利要求1所述的认证方法，其特征在于，所述向所述SDN控制器发送第一请求报文之后，所述方法还包括：接收所述SDN控制器发送的第二转发报文，所述第二转发报文中包括第二转发流表和第一指示信息，所述第二转发流表包括第二流表项，所述第二流表项用于转发预设类型的流量请求，所述第二流表项的动作包括修改目的地址为所述Portal服务器的地址，所述第一指示信息用于指示丢弃所述第一数据流；根据所述第一指示信息，丢弃所述第一数据流；根据所述第二流表项，将所述预设类型的第一流量请求转发至所述Portal服务器，所述第一流量请求为所述终端设备发送的。3.根据权利要求2所述的认证方法，其特征在于，所述将所述预设类型的第一流量请求转发至所述Portal服务器之后，所述方法还包括：接收所述SDN控制器发送的第三转发报文和第一指示报文，所述第三转发报文中包括第三转发流表，所述第三转发流表用于指示所述终端设备的访问策略；所述第一指示报文用于指示将所述第二转发流表中的所述第二流表项的目的地址修改为目标服务器的地址，所述目标服务器为所述第一数据流所请求的网络资源对应的服务器；保存所述第三转发流表，并根据所述第一指示报文，将所述第二转发流表中的所述第二流表项的目的地址修改为所述目标服务器的地址。4.根据权利要求2所述的认证方法，其特征在于，所述将所述预设类型的第一流量请求转发至所述Portal服务器之后，所述方法还包括：接收所述SDN控制器发送的第三转发报文和第二指示报文，所述第三转发报文中包括第三转发流表，所述第三转发流表用于指示所述终端设备的访问策略，所述第二指示报文用于指示删除所述第二转发流表；保存所述第三转发流表，并根据所述第二指示报文，删除所述第二转发流表。5.一种认证方法，应用于软件定义网络SDN系统的SDN控制器，所述SDN系统中还包括接入设备、Portal服务器和终端设备；其特征在于，所述方法包括：接收所述接入设备发送的第一请求报文，所述第一请求报文用于触发所述SDN控制器向所述Portal服务器请求对所述终端设备进行无感知认证；根据所述第一请求报文，生成第一无感知认证请求报文，所述第一无感知认证请求报文用于触发所述Portal服务器对所述终端设备进行无感知认证；向所述Portal服务器发送所述第一无感知认证请求报文；接收Portal服务器发送的无感知认证成功报文，所述无感知认证成功报文中包括所述终端设备的访问策略；根据所述访问策略，生成第一转发报文，所述第一转发报文中包括第一转发流表，所述第一转发流表包括第一流表项，所述第一流表项用于转发所述第一数据流；向所述接入设备发送所述第一转发报文。6.根据权利要求5所述的认证方法，其特征在于，所述向所述Portal服务器发送第一无感知认证请求报文之后，所述方法还包括：接收Portal服务器发送的无感知认证失败报文；根据所述无感知认证失败报文，生成第二转发报文，所述第二转发报文中包括第二转发流表和第一指示信息，所述第二转发流表包括第二流表项，所述第二流表项用于转发预设类型的流量请求，所述第二流表项的动作包括修改目的地址为所述Portal服务器的地址，所述第一指示信息用于指示丢弃所述第一数据流；向所述接入设备发送所述第二转发报文。7.根据权利要求6所述的认证方法，其特征在于，所述向所述接入设备发送所述第二转发报文之后，所述方法还包括：接收所述Portal服务器发送的认证成功报文和推送报文，所述认证成功报文中包括所述终端设备的访问策略，所述推送报文中包括目标服务器的地址，所述目标服务器为所述第一数据流所请求的网络资源对应的服务器；根据所述认证成功报文生成第三转发报文，所述第三转发报文中包括第三转发流表，所述第三转发流表用于指示所述终端设备的访问策略；根据所述推送报文生成第一指示报文，所述第一指示报文用于指示将所述第二转发流表中的所述第二流表项的目的地址修改为目标服务器的地址，所述目标服务器为所述第一数据流所请求的网络资源对应的服务器；向所述接入设备发送所述第三转发报文和所述第一指示报文。8.根据权利要求6所述的认证方法，其特征在于，所述向所述接入设备发送所述第二转发报文之后，所述方法还包括：接收所述Portal服务器发送的认证成功报文，所述认证成功报文中包括所述终端设备的访问策略；根据所述认证成功报文生成第三转发报文和第二指示报文，所述第三转发报文包括第三转发流表，所述第三转发流表用于指示所述终端设备的访问策略，所述第二指示报文用于指示删除所述第二转发流表；向所述接入设备发送所述第三转发报文和所述第二指示报文。9.一种认证方法，应用于软件定义网络SDN系统中的Portal服务器，所述SDN系统中还包括SDN控制器、接入设备和终端设备；其特征在于，所述方法包括：接收所述SDN控制器发送的第一无感知认证请求报文，所述第一无感知认证请求报文用于触发所述Portal服务器对所述终端设备进行无感知认证；在确定所述终端设备无感知认证成功的情况下，生成无感知认证成功报文，所述无感知认证成功报文中包括所述终端设备的访问策略；向所述SDN控制器发送所述无感知认证成功报文，所述无感知认证成功报文用于指示所述SDN控制器生成第一转发报文，所述第一转发报文中包括第一转发流表，所述第一转发流表包括第一流表项，所述第一流表项用于转发所述接入设备中存储的第一数据流。10.根据权利要求9所述的认证方法，其特征在于，所述接收所述SDN控制器发送的第一无感知认证请求报文之后，所述方法还包括：在确定所述终端设备无感知认证失败的情况下，生成无感知认证失败报文，所述无感知认证失败报文用于指示所述SDN控制器生成第二转发报文，所述第二转发报文中包括第二转发流表和第一指示信息，所述第二转发流表包括第二流表项，所述第二流表项用于转发预设类型的流量请求，所述第二流表项的动作包括修改目的地址为所述Portal服务器的地址，所述第一指示信息用于指示丢弃所述第一数据流；向所述SDN控制器发送所述无感知认证失败报文。11.根据权利要求10所述的认证方法，其特征在于，所述向所述SDN控制器发送所述无感知认证失败报文之后，所述方法还包括：接收所述接入设备转发的预设类型的第一流量请求；向所述终端设备返回Portal认证页面，并获取目标服务器的地址，所述目标服务器为所述第一数据流所请求的网络资源对应的服务器，目标页面为所述网络资源对应的页面；接收所述终端设备通过所述Portal认证页面返回的认证信息；根据所述认证信息确定所述终端设备认证成功，并生成认证成功报文，所述认证成功报文中包括所述终端设备的访问策略，所述认证成功报文用于指示所述SDN控制器生成第三转发报文，所述第三转发报文包括第三转发流表，所述第三转发流表用于指示所述终端设备的访问策略；在所述Portal服务器指示所述终端设备重定向到所述目标页面的情况下，生成推送报文，所述推送报文中包括所述目标服务器的地址，所述推送报文用于指示所述SDN控制器生成第一指示报文，所述第一指示报文用于指示将所述第二转发流表中的所述第二流表项的目的地址修改为所述目标服务器的地址；向所述SDN控制器发送所述认证成功报文和所述推送报文。12.根据权利要求11所述的认证方法，其特征在于，所述根据所述认证信息确定所述终端设备认证成功，并生成认证成功报文之后，所述方法还还包括：向所述SDN控制器发送所述认证成功报文，所述认证成功报文还用于指示所述SDN控制器生成第二指示报文，所述第二指示报文用于指示删除所述第二转发流表。13.根据权利要求9至13中任一项所述的认证方法，其特征在于，所述生成无感知认证成功报文之前，所述方法还包括：判断所述终端设备是否无感知认证成功；其中，在满足无感知认证条件的情况下，所述终端设备无感知认证成功；在不满足所述无感知认证条件的情况下，所述终端设备无感知认证失败；所述无感知认证条件包括以下至少一项：所述Portal服务器中保存有所述终端设备的认证记录信息；所述终端设备的上网时长小于所述终端设备的最大允许使用时长；所述Portal服务器中在线终端设备的数量小于最大允许数量；所述Portal服务器中保存有所述终端设备的地址信息和所述接入设备的地址信息之间的关联关系。14.一种接入设备，所述接入设备为软件定义网络SDN系统中的接入设备，所述SDN系统中还包括SDN控制器、门户Portal服务器和终端设备；其特征在于，所述接入设备包括：接收模块、存储模块和发送模块；所述接收模块，用于接收终端设备发送的第一数据流；所述存储模块，用于在所述接收模块接收的所述第一数据流与所述接入设备中的转发流表中的流表项均不匹配的情况下，存储所述第一数据流；所述发送模块，用于向所述SDN控制器发送第一请求报文，所述第一请求报文用于触发所述SDN控制器向所述Portal服务器请求对所述终端设备进行无感知认证；所述接收模块，还用于接收所述SDN控制器发送的第一转发报文，所述第一转发报文中包括第一转发流表，所述第一转发流表包括第一流表项，所述第一流表项用于转发所述第一数据流；所述发送模块，还用于根据所述接收模块接收的所述第一流表项转发所述存储模块存储的所述第一数据流。15.根据...

【专利技术属性】
技术研发人员：刘浩圻，
申请(专利权)人：迈普通信技术股份有限公司，
类型：发明
国别省市：四川,51