专利名称:删除残留客户端信息的方法、系统及认证服务器的制作方法
技术领域:
本发明涉及认证技术,尤其涉及一种删除残留客户端信息的方法、系统及认证服 务器,属于网络通信技术领域。
背景技术:
随着网络技术的不断发展,对客户端进行身份认证已成为计算机访问网络业务 时、为了防止网络应用中各种非法侵入行为及不当行为的一个必不可少的步骤。802. Ix认 证协议是一种常见的基于客户端/服务器的访问控制和认证协议,802. Ix认证采用基于端 口的网络存取控制,为局域网客户端提供点对点式的安全接入。在802. Ix认证机制中,当客户端需要访问网络提供的某项业务时,将通过接入 设备向认证服务器发送携带认证信息的认证请求,认证服务器根据该认证信息对该客户 端进行认证且通过后,将通知对应的接入设备将该已通过认证的客户端的介质访问控制 (Medium Access Control,简称MAC)地址信息添加在对应端口下。从而当该客户端进行网 络访问时,对应的接入设备根据对应端口下记录的该MAC地址信息,能够放行该客户端的 网络访问请求数据,使得该客户端能够正常地访问网络。而相反地,当客户端需要退出网络 访问时,将通过接入设备向认证服务器发送相应的退出认证信息,认证服务器在确认通过 后,将通知接入设备将请求退出认证的客户端的MAC地址信息从对应端口下删除,从而客 户端将无法继续使用网络。可见,在802. Ix认证机制中,接入设备对客户端的网络访问权限控制,是通过在 相应的端口下添加或删除该客户端的MAC地址信息而实现的,当某一端口下记录有某客户 端的MAC地址信息时,该客户端将能够通过该端口对网络进行访问,而当接入设备的任一 端口下均未记录有某客户端的MAC地址信息时,该客户端将不能通过该接入设备进行网络 访问ο通常情况下,认证客户端将根据实际需求发送认证请求或退出认证请求给认证服 务器,以请求对应的接入设备将自身的MAC地址信息在相应的端口下添加或删除。但是除 此之外实际应用中还会出现多种异常情况,例如当客户端所在的计算机出现病毒入侵时, 恶意程序可能会在进程中强行关闭认证客户端,或是用户因为疏忽在未退出认证时便直接 关闭计算机,认证客户端也会被强行关闭。客户端在被异常强行关闭时,认证软件将不会发送退出认证请求至认证服务器, 从而认证服务器也不会指示对应的接入设备将该客户端的MAC地址信息从对应端口删除。 这些残留在接入设备中的地址信息不仅大量占用浪费了接入交换机的存储资源,当其它的 用户使用这台计算机时,还将不需要再重新认证就可以继续使用网络。尤其当客户端的认 证软件还提供了除认证外的其它功能,例如计算机的安全防护功能、客户端的上网计费功 能等功能时,认证客户端被强行关闭的计算机还能逃开管理员的控制,造成安全隐患或是 逃费等现象。
发明内容
本发明提供一种删除残留客户端信息的方法、系统及认证服务器,用以解决现有 的802. Ix认证的网络环境下,当接入交换机上残留有未退出认证但关闭了认证软件的客 户端的MAC地址信息时,这些残留信息不仅占用了接入交换机的存储资源,而且还有可能 引起非法用户利用未退出认证的残留客户端进行非法网络访问的问题。为实现上述目的,本发明提供一种删除残留客户端信息的方法,包括实时地检测对应的各个在线客户端在第一预设时间内是否返回了心跳报文,所述 第一预设时间大于所述在线客户端周期性发送所述心跳报文的间隔时间;若检测到任一所述在线客户端在所述第一预设时间内未返回所述心跳报文,则识 别未返回所述心跳报文的所述在线客户端为残留客户端;基于预设的简单网络管理协议功能,控制与所述残留客户端对应的接入交换机将 所述残留客户端的MAC地址信息在对应的端口下删除。为实现上述目的,本发明还提供一种认证服务器,包括检测模块,实时地检测对应的各个在线客户端在第一预设时间内是否返回了心跳 报文,所述第一预设时间大于所述在线客户端周期性发送所述心跳报文的间隔时间;识别模块,用于若所述检测模块检测到任一所述在线客户端在所述第一预设时间 内未返回所述心跳报文,则识别未返回所述心跳报文的所述在线客户端为残留客户端;信息删除模块,用于基于预设的简单网络管理协议功能,控制与所述残留客户端 对应的接入交换机将所述残留客户端的MAC地址信息在对应的端口下删除。为实现上述目的,本发明还提供一种删除残留客户端信息的系统,包括上述的认证服务器、与所述认证服务器连接的至少一个接入交换机;每个所述接 入交换机均与至少一个客户端连接。本发明提供的删除残留客户端信息的方法、系统及认证服务器,通过在认证服务 器中添加安全管理功能,对所有接入交换机的信息进行管理,并在正常环境下由在线客户 端定时向认证服务器发送心跳报文,当认证服务器在限定时间内未接收到在线客户端发送 的心跳报文时,确认该未定时发送心跳报文的客户端为已退出认证的残留客户端,并根据 自身预设的安全管理功能,控制对应的接入交换机将对应端口下的该残留客户端的MAC地 址信息进行删除,以对管理的接入交换机下的残留MAC地址信息进行清理,从而最大限定 地解决了接入交换机上保存的残留客户端的信息的问题,避免了接入交换机上不必要的存 储资源的浪费占用,同时避免了非法用户利用未退出认证的客户端进行网络访问而带来的 安全隐患。
为了更清楚地说明本发明或现有技术中的技术方案,下面将对实施例或现有技术 描述中所需要使用的附图作一简单地介绍,显而易见地,下面描述中的附图是本发明的一 些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这 些附图获得其他的附图。图1为本发明删除残留客户端信息的方法实施例一的流程图;图2为本发明删除残留客户端信息的方法实施例二的流程图3为本发明认证服务器实施例一的结构示意图;图4为本发明认证服务器实施例二的结构示意图;图5为本发明删除残留客户端信息的系统实施例的结构示意图。
具体实施例方式为使本发明的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附 图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明 一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有 做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。图1为本发明删除残留客户端信息的方法实施例一的流程图,如图1所示,本实施 例具体包括如下步骤步骤100,实时地检测对应的各个在线客户端在第一预设时间内是否返回了心跳 报文,该第一预设时间大于在线客户端周期性发送心跳报文的间隔时间;在网络认证体制中,当客户端的认证软件实质已经被关闭,但是却未通过对应的 接入交换机向认证服务器发送退出认证消息时,该对应的接入交换机的对应端口下将仍然 残留保存该被关闭认证软件的客户端的MAC地址信息,这些残留的MAC地址信息不仅占用 了接入交换机的存储资源,而且由于接入交换机是基于在端口下保存客户端的MAC地址信 息,来实现对客户端的网络访问权限控制,因而这些残留的MAC地址信息还会引起其他用 户无需经过重新认证便能直接使用这台计算机进行网络访问的安全隐患。为了解决上述问题,即为了及时对接入交换机的各端口下残留的客户端的MAC地 址信息进行删除,在本发明中,为已通过认证的在线客户端设置了向认证服务器发送心跳 报文的功能,即已通过认证的每个在线客户端均必须周期性地向认证服务器发送用于表明 该客户端仍然在线的心跳报文。同时,在认证服务器端,认证服务器根据在预设时间内是否 接收到各个在线客户端发送的心跳报文,而分别对各在线客户端是否为已退出认证的残留 客户端进行检测。具体地,在本发明中,称认证服务器用于检测在线客户端是否返回了心跳报文的 检测时间为第一预设时间。通常而言,为了保证检测的准确合理性,该第一预设时间会大于 各在线客户端周期性发送心跳报文的间隔时间。且优化地,考虑到当网络出现堵塞时在线 客户端发送的心跳报文可能会在途中出现丢包而导致重发的现象,以及各种其他的异常现 象,该第一预设时间通常可以根据经验值设置为3倍的心跳报文的发送间隔时间,以为各 种异常现象的发生预留一定的时间,从而保证检测结果的准确性。步骤101,若检测到任一在线客户端在第一预设时间内未返回心跳报文,则识别未 返回心跳报文的在线客户端为残留客户端;步骤102,基于预设的简单网络管理协议功能,控制与残留客户端对应的接入交换 机将残留客户端的MAC地址信息在对应的端口下删除。而当认证服务器通过对心跳报文的检测,检测到对应的某一在线客户端在第一预 设时间内还未返回心跳报文时,由于认证服务器用于检测心跳报文的第一预设时间为充足 考虑到心跳报文的各种发送异常现象而设置的时间,因此认证服务器根据该检测结果可以 识别到该未及时返回心跳报文的客户端为对应的接入交换机上的残留客户端。从而认证服务器可以控制与该识别出的残留客户端对应的接入交换机将该残留客户端的MAC地址信 息、在对应的端口下删除,以实现及时准确地清除接入交换机上残留的残留客户端信息的 功能。具体地,本发明中,认证服务器可以通过在自身及对应的接入交换机上设置简 单网络管理协议(Simple Network Management Protocol,简称SNMP)功能,以实现对接 入交换机上指定的MAC地址信息的控制删除。具体地,SNMP协议是由互联网工程任务组 (Internet Engineering Task Force,简称IETF)定义的一套网络管理协议,利用SNMP协 议制定的报文,管理服务器(本发明中指认证服务器)可以实现对支持这种协议的网络设 备(本发明中指接入交换机)的远程管理控制功能,其中包括监视网络状态、修改网络设备 配置、接收网络事件警告等功能。因而,基于预设的该SNMP功能,认证服务器可以控制管理 对应的接入交换机的配置信息,包括控制删除接入交换机上指定的MAC地址信息。本实施例的删除残留客户端信息的方法,通过在认证服务器中添加安全管理功 能,对所有接入交换机的信息进行管理,并在正常环境下由在线客户端定时向认证服务器 发送心跳报文,当认证服务器在限定时间内未接收到在线客户端发送的心跳报文时,确认 该未定时发送心跳报文的客户端为已退出认证的残留客户端,并根据自身预设的安全管理 功能,控制对应的接入交换机将对应端口下的该残留客户端的MAC地址信息进行删除,以 对管理的接入交换机下的残留MAC地址信息进行清理,从而最大限定地解决了接入交换机 上保存的残留客户端的信息的问题,避免了接入交换机上不必要的存储资源的浪费占用, 同时避免了非法用户利用未退出认证的客户端进行网络访问而带来的安全隐患。图2为本发明删除残留客户端信息的方法实施例二的流程图,如图2所示,本实施 例具体包括如下步骤步骤200,实时地检测对应的各个在线客户端在第一预设时间内是否返回了心跳 报文;步骤201,若检测到任一在线客户端在第一预设时间内未返回心跳报文,则查询与 该残留客户端对应的接入交换机支持SNMP协议的类型,若支持自定义的SNMP协议则执行 步骤202,若支持标准的SNMP协议则执行步骤204 ;本实施例中仍然采用由在线客户端周期性地发送心跳报文,且由认证服务器实时 地检测各在线客户端是否在限定时间内返回心跳报文的方法,来检测对应的接入交换机上 是否残留有已退出认证的客户端信息,同时为了最大限度地解决各种应用方案下接入交换 机上残留客户端的问题,在本实施例中,还针对对应的接入交换机支持SNMP协议的不同类 型,针对对应的接入交换机所处的不同网络拓扑环境,控制接入交换机采用不同的信息删 除方案,对可能存在的残留客户端的MAC地址信息进行清理。具体地,当认证服务器检测到管理的某一在线客户端在限定时间未返回预定的心 跳报文,即检测到一个残留客户端时,为了为该残留客户端选择合适的MAC地址信息删除 方案,以在对应的接入交换机上对该残留客户端的MAC地址信息进行删除,认证服务器将 首先根据自身预存的对所有接入交换机的配置管理信息,查询与该残留客户端对应的接入 交换机所支持的SNMP协议的类型。具体地,在本实施例中,为了实现认证服务器对接入交换机的SNMP管理功能,认 证服务器中预先存储了网络中对应的所有接入交换机的相关配置信息,其中包括接入交换机的地址信息、各接入交换机与各在线客户端的对应信息,各接入交换机所支持的SNMP协 议的类型信息等。基于这些配置信息,认证服务器在检测到一个残留客户端时,可以查询到 与该残留客户端对应的接入交换机,并查询到该对应的接入交换机所支持的SNMP协议类 型。而此处所述的查询该接入交换机所支持的SNMP协议类型,具体指认证服务器查询该对 应的接入交换机是支持自定义的SNMP协议或是支持标准的SNMP协议的类型。在本实施例中,所谓接入交换机的自定义SNMP协议类型是指为了实现认证服务 器对接入交换机的更为简单有效的管理控制,而在接入交换机和认证服务器之间自定义配 置的一系列的SNMP协议报文及SNMP协议功能。由于在标准的SNMP协议中,认证服务器对 接入交换机的控制操作通常需要按照标准协议中定义的一系列复杂处理流程而进行,因而 在本发明中,为了降低接入交换机对残留客户端的MAC地址信息的删除操作的复杂度,在 认证服务器和接入交换机之间协商了一套自定义的SNMP协议报文。基于该自定义的SNMP 报文,支持自定义的SNMP协议的接入交换机可以直接地响应该自定义SNMP报文,进行指定 的操作,例如对MAC地址信息的删除操作,而无需参照标准的SNMP协议中所定义的复杂操 作流程,从而大大加快了对残留客户端信息的删除速度。步骤202,发送自定义的SNMP删除报文给与残留客户端对应的接入交换机,该自 定义的SNMP删除报文中携带残留客户端的MAC地址信息和对应端口的标识信息;步骤203,将本地存储的与残留客户端对应的在线信息删除;因而,若认证服务器通过查询得知与残留客户端对应的接入交换机支持自定义的 SNMP协议类型时,为了指示该对应的接入交换机快速地对该残留客户端的MAC地址信息进 行删除,认证服务器将发送自定义的SNMP删除报文给该对应的接入交换机。该自定义的 SNMP删除报文中携带要求删除的残留客户端的MAC地址信息、以及该残留客户端在对应的 接入交换机上对应的端口的标识信息,用于指示对应的接入交换机将指定端口下指定的残 留客户端的MAC地址删除。具体地,对于认证服务器而言,在任一用户基于认证客户端通过了认证服务器的 认证后,认证服务器将会在本地记录一条与该通过认证的客户端相关的在线信息,该在线 信息包括通过该已认证的客户端的认证信息、与接入交换机的对应信息、以及在接入交换 机上对应的接入端口的端口标识信息等。因而在认证服务器检测到一残留客户端时,根据 本地存储的这些在线信息,能够查询到与残留客户端对应的接入交换机,以及查询到残留 客户端在该接入交换机上的对应的端口的标识信息,从而认证服务器可以根据查询到的该 对应端口的标识信息,向对应的接入交换机发送自定义的SNMP删除报文。对应的接入交换机接收到该自定义的SNMP删除报文后,响应该SNMP删除报文,直 接在该SNMP删除报文中指定的端口标识信息对应的端口下,将指定的残留客户端的MAC地 址信息删除,从而实现了支持自定义的SNMP协议的接入交换机对残留客户端信息的快速 删除。进一步地,在向查询到的对应接入交换机发送了自定义的SNMP删除报文,且对应 的接入交换将指定端口下指定的残留客户端的MAC地址信息进行删除之后,为了保证认证 服务器中存储的在线信息的准确性,认证服务器还同步地将本地存储的与残留客户端相关 的在线信息进行删除。步骤204,检测对应的接入交换机的对应端口下是否保存有除残留客户端外的其他在线客户端的信息,若否则执行步骤205,若是则执行步骤206 ;而若在上述步骤201中,认证服务器检测到与残留客户端对应的接入交换机支持 的是标准的SNMP协议时,认证服务器不能再利用自定义的SNMP报文控制对应的接入交换 机进行快速的MAC地址信息的删除,而是只能基于标准的SNMP协议定义的处理流程,对接 入交换机中对应端口下的残留客户端MAC地址信息进行控制删除操作。具体地,认证服务器将进一步地检测该与残留客户端对应的接入交换机中,在与 残留客户端对应的端口是否还保存记录有除该残留客户端外的其他在线客户端的信息,即 查询对应的接入交换机的对应端口下除了接入有该残留客户端外,是否还对应管理有其他 的在线客户端。具体地,认证服务器将根据本地存储管理的对应所有在线客户端的在线信 息,对这一结果进行检测查询。而在本实施例中,认证服务器进行该检测查询步骤的目的在于由于基于标准的 SNMP协议的定义,接入交换机对某端口下所有在线客户端的MAC地址信息的删除可以通过 依次对该端口进行关闭和重开启操作予以实现,即若接入交换机关闭又重开启其中的某一 端口时,该端口下保存的所有在线客户端的MAC地址信息均将被删除。因而若支持标准的 SNMP协议的接入交换机需要通过这一方法实现对指定端口的指定残留客户端的MAC地址 信息的删除时,必须保证该端口下除保存有该残留客户端的信息外,没有额外保存其他的 在线客户端的地址信息,否则将会误将其他的合法在线客户端的MAC地址信息从该端口下 删除,而影响合法在线客户端的网络访问行为。步骤205,依次发送携带对应的端口的标识信息的、标准的关端口 SNMP报文和开 端口 SNMP报文给对应的接入交换机,以使对应的接入交换机依次将对应的端口进行关闭 和开启操作,并返回执行步骤203 ;因而,若认证服务器通过检测得知与残留客户端对应的接入交换机中的对应端口 下,仅保存有该残留客户端的地址信息时,认证服务器向该对应的接入交换机依次发送标 准的关端口 SNMP报文和开端口 SNMP报文,该关端口 SNMP报文和开端口 SNMP报文中分别 携带了与残留客户端对应的端口的标识信息,以指示对应的接入交换机根据接收到的SNMP 报文依次对指定的端口进行相应的端口关闭和开启操作。进一步地,与向对应接入交换机依次发送了标准的关端口 SNMP报文和开端口 SNMP报文后,为了保证认证服务器中存储的在线信息的准确性,认证服务器还同步地将本 地存储的与残留客户端相关的在线信息进行删除。而对应的接入交换机在依次接收到了该标准的关端口 SNMP报文和开端口 SNMP报 文后,响应接收到的该标准的SNMP报文,依次对SNMP报文中指定的标识信息对应的端口进 行关闭和重开启操作,在重新开启了该指定的端口后,该接入交换机的该指定端口下所有 的在线客户端的MAC地址信息,即该指定端口下的残留客户端的MAC地址信息将被清除,从 而同样达到了删除接入交换机中残留客户端的MAC地址信息的效果。步骤206,向对应端口下除残留客户端之外的任一在线客户端发送携带残留客户 端的MAC地址信息的模拟下线请求报文;而若在上述步骤204中,认证服务器通过检测得知与残留客户端对应的接入交换 机中的对应端口下,除了保存有该残留客户端的地址信息外,还保存有其他合法在线客户 端的地址信息时,明显地在此情况下认证服务器不能通过控制接入交换机对指定端口依次进行关闭重开启操作来对残留客户端的MAC地址信息进行删除。在此情况下,认证服务器 将向该接入交换机与残留客户端对应的端口下、除残留客户端之外的任一在线客户端发送 模拟下线请求报文,在该模拟下线请求报文中,认证服务器将携带指定删除的残留客户端 的MAC地址信息,而该模拟下线请求报文的作用在于指示接收到该模拟下线请求报文的在 线客户端向对应的接入交换机发送退出认证请求报文。优选地,在本实施例中,认证服务器发送模拟下线请求报文时,除了可以在多个合 法在线客户端中任选一个之外,还可以根据本地存储的与各合法在线客户端各自对应的在 线时长信息,选取在线时长最短的在线客户端,进行模拟下线请求报文的发送。通常而言, 由于该在线时长最短的在线客户端通常为该端口下最后一个上线的客户端,因而认证服务 器选取此在线客户端进行模拟下线请求报文的发送,能够最大几率地保证选取的在线客户 端并非也为该端口下的一个残留客户端。但是需要了解的是,上述的选取在线时长最短的在线客户端发送模拟下线请求报 文的方法,并非唯一地保证选取的在线客户端并非为该端口下的一个残留客户端的方法, 实际应用中,认证服务器还可以根据其他的信息,基于其他的方法进行发送模拟下线请求 报文的在线客户端的选取,只要能够保证选取的在线客户端并非为该端口下的一个残留客 户端,都可以应用在本发明中。步骤207,检测接收模拟下线请求报文的在线客户端是否在第二预定时间内返回 响应报文,若是则返回执行步骤203,若否则执行步骤208 ;
而接收到模拟下线请求报文的在线客户端接收到该携带残留客户端的MAC地址 信息的模拟下线请求报文后,若该在线客户端并非是一个残留客户端,即该客户端的认证 客户端软件没有被恶意程序强行关闭,也没有因直接关机而强行关闭,该在线客户端的认 证客户端软件将会响应该模拟下线请求报文,向认证服务器返回一个响应报文,以告知认 证服务器其已成功接收到模拟下线请求报文。同时该合法在线客户端将依据模拟下线请求 报文的指示,向对应的接入交换机发送退出认证请求报文,该退出认证请求中携带该合法 在线客户端接收到的模拟下线请求报文中指定的残留客户端的MAC地址信息。而接收到该 退出认证请求报文的接入交换机也将根据该退出认证请求报文,将退出认证请求报文中指 定的残留客户端的MAC地址信息从对应端口下删除,具体指从与发送退出认证请求报文的 在线客户端对应的端口下删除,从而认证服务器将成功地完成了在对应接入交换机的对应 端口下删除残留客户端的MAC地址信息的操作。因而,根据对在线客户端是否在预定的时间内返回了响应报文进行检测,认证服 务器还可以进一步获知该接收模拟下线请求报文的在线客户端是否也为一残留客户端,或 者是否发已经成功地进行了退出认证请求报文的发送。在本实施例中,称检测在线客户端 是否返回了响应报文的预定时间为第二预定时间。而若在第二预定时间内,认证服务器接收到了接收模拟下线请求报文的在线客户 端返回的响应报文,据此认证服务器可以得知该在线客户端已经通过向接入交换机发送退 出认证请求报文,指示接入交换机成功进行了指定的残留客户端的MAC地址信息的删除。 于是认证服务器根据此消息,返回执行上述步骤203,及时地将本地存储的与该残留客户端 对应的在线信息进行删除,保证本地存储的在线信息的准确性。步骤208,将未返回响应报文的在线客户端识别为所述残留客户端,并返回执行步骤 204 ;而若在预定的延迟时间内,认证服务器还未接收到接收模拟下线请求报文的在线 客户端返回的响应报文,这代表接收模拟下线请求报文的在线客户端也为一个残留客户 端,因而认证服务器将根据该检测结果,识别未返回响应报文的该在线客户端同样为一残 留客户端,并返回至执行上述步骤204中的检测与残留客户端对应的端口下是否还保存有 除残留客户端外的其他在线客户端的信息的操作。而若通过再次检测,认证服务器得知接入交换机的对应端口下除了残留客户端 外,还存在其他在线客户端时,认证服务器将再次选取任一的在线客户端进行模拟下线请 求报文的发送,并在该模拟下线请求报文中携带检测到的两个或多个的残留客户端的MAC 地址信息,以此同时将两个或多个的残留客户端的MAC地址信息从接入交换机的对应端口 下删除。而若通过再次检测,认证服务器得知接入交换机的对应端口下除了残留客户端 外,已未存在任何其他合法在线客户端时,认证服务器将执行上述步骤205,通过控制对应 的接入交换机依次关闭及重开启对应端口的方法,一次性地将接入交换机对应端口下所有 的残留客户端的MAC地址信息清除。而无论对应上述哪种情况,认证服务器最终均将成功 地将检测到的接入交换机上残留客户端的MAC地址信息删除。本实施例的删除残留客户端信息的方法,通过在认证服务器中添加安全管理功 能,对所有接入交换机的信息进行管理,并在正常环境下由在线客户端定时向认证服务器 发送心跳报文,当认证服务器在限定时间内未接收到在线客户端发送的心跳报文时,确认 该未定时发送心跳报文的客户端为已退出认证的残留客户端,并根据自身预设的安全管理 功能,控制对应的接入交换机将对应端口下的该残留客户端的MAC地址信息进行删除,以 对管理的接入交换机下的残留MAC地址信息进行清理,从而最大限定地解决了接入交换机 上保存的残留客户端的信息的问题,避免了接入交换机上不必要的存储资源的浪费占用, 同时避免了非法用户利用未退出认证的客户端进行网络访问而带来的安全隐患。进一步地,本实施例中,当认证服务器检测到残留客户端的存在时,还根据自身存 储的对应不同交换机类型的信息,针对管理的不同类型的交换机以及不同的网络拓扑环 境,控制接入交换机采用不同的清理方案对可能存在的残留客户端进行不同的MAC地址清 理,从而最大限定地解决了各种应用方案下接入交换机上残留客户端的问题。本领域普通技术人员可以理解实现上述方法实施例的全部或部分步骤可以通过 程序指令相关的硬件来完成,前述的程序可以存储于一计算机可读取存储介质中,该程序 在执行时,执行包括上述方法实施例的步骤;而前述的存储介质包括R0M、RAM、磁碟或者 光盘等各种可以存储程序代码的介质。图3为本发明认证服务器实施例一的结构示意图,如图3所示,本实施例的认证服 务器至少包括检测模块11、识别模块12和信息删除模块13。其中,检测模块11用于实时 地检测对应的各个在线客户端在第一预设时间内是否返回了心跳报文,该第一预设时间大 于在线客户端周期性发送心跳报文的间隔时间;而识别模块12用于若检测模块11检测到 任一在线客户端在第一预设时间内未返回心跳报文时,则识别未返回心跳报文的在线客户 端为残留客户端;而信息删除模块13则用于基于预设的SNMP协议功能,控制与残留客户端 对应的接入交换机将残留客户端的MAC地址信息在对应的端口下删除。
具体地,本实施例中的上述所有模块所涉及的具体工作过程,可以参考本发明上 述删除残留客户端信息的方法所涉及的相关实施例揭露的相关内容,在此不再赘述。本实施例的认证服务器,通过添加安全管理功能,对所有接入交换机的信息进行 管理,并在正常环境下由在线客户端定时向认证服务器发送心跳报文,当认证服务器在限 定时间内未接收到在线客户端发送的心跳报文时,确认该未定时发送心跳报文的客户端为 已退出认证的残留客户端,并根据自身预设的安全管理功能,控制对应的接入交换机将对 应端口下的该残留客户端的MAC地址信息进行删除,以对管理的接入交换机下的残留MAC 地址信息进行清理,从而最大限定地解决了接入交换机上保存的残留客户端的信息的问 题,避免了接入交换机上不必要的存储资源的浪费占用,同时避免了非法用户利用未退出 认证的客户端进行网络访问而带来的安全隐患。图4为本发明认证服务器实施例二的结构示意图。如图4所示,在上述实施例的 基础上,本实施例的认证服务器中,信息删除模块13还可以包括查询子模块131、第一报文 发送子模块132和在线信息删除子模块133。其中,查询子模块131用于查询与残留客户端对应的接入交换机是支持自定义的 SNMP协议或标准的SNMP协议;第一报文发送子模块132用于若查询子模块131查询到对 应的接入交换机支持自定义的SNMP协议时,则发送携带残留客户端的MAC地址信息和对应 的端口的标识信息的、自定义的SNMP删除报文给对应的接入交换机,以指示对应的接入交 换机将与标识信息对应的端口下的指定MAC地址信息删除;而在线信息删除子模块133则 用于将本地存储的与残留客户端对应的在线信息删除。进一步地,除了上述子模块之外,本实施例中,信息删除模块13还可以包括第一 检测子模块134、第二报文发送子模块135和第三报文发送子模块136。其中,第一检测子模块134用于若查询子模块131查询到与残留客户端对应的接 入交换机支持标准的SNMP协议时,则检测与残留客户端对应的端口下是否还保存有除残 留客户端外的其他在线客户端的信息;第二报文发送子模块135用于当第一检测子模块134的检测结果为否时,则依次 发送携带对应的端口的标识信息的、标准的关端口 SNMP报文和开端口 SNMP报文给对应的 接入交换机,以使对应的接入交换机依次将对应的端口关闭和开启,并指示在线信息删除 子模块133将本地存储的与残留客户端对应的在线信息删除;第三报文发送子模块136则用于当第一检测子模块134的检测结果为是时,则向 对应端口下其他在线客户端中的任一在线客户端发送携带残留客户端的MAC地址信息的 模拟下线请求报文,以指示接收到模拟下线请求报文的在线客户端向对应的接入交换机发 送退出认证请求报文,该退出认证请求报文中携带模拟下线请求报文中指定的残留客户端 的MAC地址信息,用于指示对应的接入交换机将对应的端口下指定的MAC地址信息删除。更进一步地,本实施例中,信息删除模块13还可以包括第二检测子模块137、识别 子模块138和指示子模块139。其中,第二检测子模块137用于在第三报文发送子模块136发送了模拟下线请求 报文之后,检测是否在第二预设时间内接收到接收模拟下线请求报文的在线客户端针对该 模拟下线请求报文返回的响应报文;识别子模块138用于若第二检测子模块137在第二预 设时间内未检测到上述响应报文,则将未返回响应报文的在线客户端识别为残留客户端,并指示第一检测子模块134再次检测对应的端口下是否还保存有除残留客户端外的其他 在线客户端的信息;而指示子模块139则用于若第二检测子模块137在第二预设时间内检 测到上述响应报文,则指示在线信息删除子模块133将本地存储的与残留客户端对应的在 线信息删除。进一步地,上述第三报文发送子模块136具体可以用于根据本地存储的与对应端 口除残留客户端外的其他在线客户端各自对应的在线时长信息,向在线时长最短的在线客 户端发送模拟下线请求报文。具体地,本实施例中的上述所有模块所涉及的具体工作过程,同样可以参考本发 明上述删除残留客户端信息的方法所涉及的相关实施例揭露的相关内容,在此不再赘述。本实施例的认证服务器,通过添加安全管理功能,对所有接入交换机的信息进行 管理,并在正常环境下由在线客户端定时向认证服务器发送心跳报文,当认证服务器在限 定时间内未接收到在线客户端发送的心跳报文时,确认该未定时发送心跳报文的客户端为 已退出认证的残留客户端,并根据自身预设的安全管理功能,控制对应的接入交换机将对 应端口下的该残留客户端的MAC地址信息进行删除,以对管理的接入交换机下的残留MAC 地址信息进行清理,从而最大限定地解决了接入交换机上保存的残留客户端的信息的问 题,避免了接入交换机上不必要的存储资源的浪费占用,同时避免了非法用户利用未退出 认证的客户端进行网络访问而带来的安全隐患。进一步地,本实施例中,当认证服务器检测到残留客户端的存在时,还根据自身存 储的对应不同交换机类型的信息,针对管理的不同类型的交换机以及不同的网络拓扑环 境,控制接入交换机采用不同的清理方案对可能存在的残留客户端进行不同的MAC地址清 理,从而最大限定地解决了各种应用方案下接入交换机上残留客户端的问题。图5为本发明删除残留客户端信息的系统实施例的结构示意图。如图5所示,本实 施例的删除残留客户端信息的系统包括上述的认证服务器1、与认证服务器1连接的至少 一个接入交换机2 (图中仅示出两个)、每个接入交换机2均与至少一个客户端3连接(图 中仅示出两个)。具体地,本实施例中的认证服务器所包含的所有模块以及所有模块所涉及的具体 工作过程,可以参考本发明上述删除残留客户端信息的方法以及认证服务器所涉及的相关 实施例揭露的相关内容,在此不再赘述。本实施例的删除残留客户端信息的系统,通过添加安全管理功能,对所有接入交 换机的信息进行管理,并在正常环境下由在线客户端定时向认证服务器发送心跳报文,当 认证服务器在限定时间内未接收到在线客户端发送的心跳报文时,确认该未定时发送心跳 报文的客户端为已退出认证的残留客户端,并根据自身预设的安全管理功能,控制对应的 接入交换机将对应端口下的该残留客户端的MAC地址信息进行删除,以对管理的接入交换 机下的残留MAC地址信息进行清理,从而最大限定地解决了接入交换机上保存的残留客户 端的信息的问题,避免了接入交换机上不必要的存储资源的浪费占用,同时避免了非法用 户利用未退出认证的客户端进行网络访问而带来的安全隐患。最后应说明的是以上实施例仅用以说明本发明的技术方案,而非对其限制;尽 管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解其依然 可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精 神和范围。
权利要求
一种删除残留客户端信息的方法,其特征在于,包括实时地检测对应的各个在线客户端在第一预设时间内是否返回了心跳报文,所述第一预设时间大于所述在线客户端周期性发送所述心跳报文的间隔时间;若检测到任一所述在线客户端在所述第一预设时间内未返回所述心跳报文,则识别未返回所述心跳报文的所述在线客户端为残留客户端;基于预设的简单网络管理协议功能,控制与所述残留客户端对应的接入交换机将所述残留客户端的MAC地址信息在对应的端口下删除。
2.根据权利要求1所述的删除残留客户端信息的方法,其特征在于,所述控制与所述 残留客户端对应的接入交换机将所述残留客户端的MAC地址信息在对应的端口下删除具 体包括若与所述残留客户端对应的接入交换机支持自定义的简单网络管理协议,则发送携带 所述残留客户端的MAC地址信息和所述对应的端口的标识信息的、自定义的简单网络管理 协议删除报文给所述对应的接入交换机,以指示所述对应的接入交换机将指定的所述MAC 地址信息从与所述标识信息对应的端口下删除;将本地存储的与所述残留客户端对应的在线信息删除。
3.根据权利要求1或2所述的删除残留客户端信息的方法,其特征在于,所述控制与所 述残留客户端对应的接入交换机将所述残留客户端的MAC地址信息在对应的端口下删除 还包括若与所述残留客户端对应的接入交换机支持标准的简单网络管理协议,则检测所述对 应的端口下是否还保存有除所述残留客户端外的其他在线客户端的信息;若否,则依次发送携带所述对应的端口的标识信息的、标准的关端口简单网络管理协 议报文和开端口简单网络管理协议报文给所述对应的接入交换机,以使所述对应的接入交 换机依次将所述对应的端口进行关闭和开启操作,并将本地存储的与所述残留客户端对应 的在线信息删除;若是,则向所述其他在线客户端中的任一在线客户端发送携带所述残留客户端的MAC 地址信息的模拟下线请求报文,以指示接收到所述模拟下线请求报文的在线客户端向所述 对应的接入交换机发送退出认证请求报文,所述退出认证请求报文中携带所述模拟下线请 求报文中指定的残留客户端的MAC地址信息,用于指示所述对应的接入交换机将指定的 MAC地址从所述对应的端口下删除。
4.根据权利要求3所述的删除残留客户端信息的方法,其特征在于,所述向所述其他 在线客户端中的任一在线客户端发送携带所述残留客户端的MAC地址信息的模拟下线请 求报文之后,所述方法还包括若在第二预设时间内未接收到接收所述模拟下线请求报文的在线客户端针对所述模 拟下线请求报文返回的响应报文,则将未返回所述响应报文的在线客户端识别为所述残留 客户端,并返回至执行检测所述对应的端口下是否还保存有除所述残留客户端外的其他在 线客户端的信息的操作;若在所述第二预设时间内接收到所述接收所述模拟下线请求报文的在线客户端返回 的响应报文,则将本地存储的与所述残留客户端对应的在线信息删除。
5.根据权利要求3所述的删除残留客户端信息的方法,其特征在于,所述向所述其他在线客户端中的任一在线客户端发送携带所述残留客户端的MAC地址信息的模拟下线请 求报文具体包括根据本地存储的与所述其他在线客户端各自对应的在线时长信息,向在线时长最短的 在线客户端发送所述模拟下线请求报文。
6.一种认证服务器,其特征在于,包括检测模块,实时地检测对应的各个在线客户端在第一预设时间内是否返回了心跳报 文,所述第一预设时间大于所述在线客户端周期性发送所述心跳报文的间隔时间;识别模块,用于若所述检测模块检测到任一所述在线客户端在所述第一预设时间内未 返回所述心跳报文,则识别未返回所述心跳报文的所述在线客户端为残留客户端;信息删除模块,用于基于预设的简单网络管理协议功能,控制与所述残留客户端对应 的接入交换机将所述残留客户端的MAC地址信息在对应的端口下删除。
7.根据权利要求6所述的认证服务器,其特征在于,所述信息删除模块具体包括查询子模块,用于查询与所述残留客户端对应的接入交换机支持自定义的简单网络管 理协议或标准的简单网络管理协议;第一报文发送子模块,用于若所述查询子模块查询到所述对应的接入交换机支持自定 义的简单网络管理协议,则发送携带所述残留客户端的MAC地址信息和所述对应的端口的 标识信息的、自定义的简单网络管理协议删除报文给所述对应的接入交换机,以指示所述 对应的接入交换机将指定的所述MAC地址信息从与所述标识信息对应的端口下删除;在线信息删除子模块,用于将本地存储的与所述残留客户端对应的在线信息删除。
8.根据权利要求6或7所述的认证服务器,其特征在于,所述信息删除模块还包括第一检测子模块,用于若所述查询子模块查询到与对应的接入交换机支持标准的简单网络管理协议,则检测所述对应的端口下是否还保存有除所述残留客户端外的其他在线客 户端的信息;第二报文发送子模块,用于若所述检测子模块的检测结果为否,则依次发送携带所述 对应的端口的标识信息的、标准的关端口简单网络管理协议报文和开端口简单网络管理协 议报文给所述对应的接入交换机,以使所述对应的接入交换机依次将所述对应的端口关闭 和开启,并指示所述在线信息删除子模块将本地存储的与所述残留客户端对应的在线信息 删除;第三报文发送子模块,用于若所述检测子模块的检测结果为是,则向所述其他在线客 户端中的任一在线客户端发送携带所述残留客户端的MAC地址信息的模拟下线请求报文, 以指示接收到所述模拟下线请求报文的在线客户端向所述对应的接入交换机发送退出认 证请求报文,所述退出认证请求报文中携带所述模拟下线请求报文中指定的残留客户端的 MAC地址信息,用于指示所述对应的接入交换机将指定的MAC地址从所述对应的端口下删 除。
9.根据权利要求8所述的认证服务器,其特征在于,所述信息删除模块还包括第二检测子模块,用于在所述第三报文发送子模块发送所述模拟下线请求报文之后, 检测是否在第二预设时间内接收到接收所述模拟下线请求报文的在线客户端针对所述模 拟下线请求报文返回的响应报文;识别子模块,用于若所述第二检测子模块在所述第二预设时间内未检测到所述响应报文,则将未返回所述响应报文的在线客户端识别为所述残留客户端,并指示所述第一检测 子模块再次检测所述对应的端口下是否还保存有除所述残留客户端外的其他在线客户端 的信息;指示子模块,用于若所述第二检测子模块在所述第二预设时间内检测到所述响应报 文,则指示所述在线信息删除子模块将本地存储的与所述残留客户端对应的在线信息删 除。
10.根据权利要求8所述的认证服务器,其特征在于,所述第三报文发送子模块具体用于根据本地存储的与所述其他在线客户端各自对应的在线时长信息,向在线时长最短的 在线客户端发送所述模拟下线请求报文。
11.一种删除残留客户端信息的系统,其特征在于,包括如权利要求6-10任一所述的认证服务器、与所述认证服务器连接的至少一个接入交 换机;每个所述接入交换机均与至少一个客户端连接。
全文摘要
本发明提供一种删除残留客户端信息的方法、系统及认证服务器,方法包括实时地检测对应的各个在线客户端在第一预设时间内是否返回了心跳报文,该第一预设时间大于各在线客户端周期性发送心跳报文的间隔时间;若检测到任一在线客户端在第一预设时间内未返回心跳报文,则识别该未返回心跳报文的在线客户端为残留客户端,并基于预设的SNMP协议功能,控制与残留客户端对应的接入交换机将残留客户端的MAC地址信息在对应的端口下删除。本发明通过在认证服务器中添加安全管理功能,在检测到残留客户端时,控制对应的接入交换机将对应端口下的该残留客户端的MAC地址信息进行删除,最大限定地解决了接入交换机上保存的残留客户端的信息的问题。
文档编号H04L12/24GK101909059SQ201010242810
公开日2010年12月8日 申请日期2010年7月30日 优先权日2010年7月30日
发明者吴晶晶 申请人:北京星网锐捷网络技术有限公司