專利名稱:刪除殘留客戶端信息的方法��、系統(tǒng)及認證服務(wù)器的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及認證技術(shù)��,尤其涉及一種刪除殘留客戶端信息的方法、系統(tǒng)及認證服 務(wù)器�����,屬于網(wǎng)絡(luò)通信技術(shù)領(lǐng)域�。
背景技術(shù):
隨著網(wǎng)絡(luò)技術(shù)的不斷發(fā)展,對客戶端進行身份認證已成為計算機訪問網(wǎng)絡(luò)業(yè)務(wù) 時�����、為了防止網(wǎng)絡(luò)應(yīng)用中各種非法侵入行為及不當行為的一個必不可少的步驟�����。802. Ix認 證協(xié)議是一種常見的基于客戶端/服務(wù)器的訪問控制和認證協(xié)議��,802. Ix認證采用基于端 口的網(wǎng)絡(luò)存取控制�,為局域網(wǎng)客戶端提供點對點式的安全接入。在802. Ix認證機制中�,當客戶端需要訪問網(wǎng)絡(luò)提供的某項業(yè)務(wù)時,將通過接入 設(shè)備向認證服務(wù)器發(fā)送攜帶認證信息的認證請求���,認證服務(wù)器根據(jù)該認證信息對該客戶 端進行認證且通過后�,將通知對應(yīng)的接入設(shè)備將該已通過認證的客戶端的介質(zhì)訪問控制 (Medium Access Control,簡稱MAC)地址信息添加在對應(yīng)端口下����。從而當該客戶端進行網(wǎng) 絡(luò)訪問時,對應(yīng)的接入設(shè)備根據(jù)對應(yīng)端口下記錄的該MAC地址信息�����,能夠放行該客戶端的 網(wǎng)絡(luò)訪問請求數(shù)據(jù)����,使得該客戶端能夠正常地訪問網(wǎng)絡(luò)�。而相反地,當客戶端需要退出網(wǎng)絡(luò) 訪問時�����,將通過接入設(shè)備向認證服務(wù)器發(fā)送相應(yīng)的退出認證信息���,認證服務(wù)器在確認通過 后�,將通知接入設(shè)備將請求退出認證的客戶端的MAC地址信息從對應(yīng)端口下刪除�,從而客 戶端將無法繼續(xù)使用網(wǎng)絡(luò)?��?梢?,在802. Ix認證機制中,接入設(shè)備對客戶端的網(wǎng)絡(luò)訪問權(quán)限控制�,是通過在 相應(yīng)的端口下添加或刪除該客戶端的MAC地址信息而實現(xiàn)的,當某一端口下記錄有某客戶 端的MAC地址信息時����,該客戶端將能夠通過該端口對網(wǎng)絡(luò)進行訪問,而當接入設(shè)備的任一 端口下均未記錄有某客戶端的MAC地址信息時�,該客戶端將不能通過該接入設(shè)備進行網(wǎng)絡(luò) 訪問ο通常情況下,認證客戶端將根據(jù)實際需求發(fā)送認證請求或退出認證請求給認證服 務(wù)器�,以請求對應(yīng)的接入設(shè)備將自身的MAC地址信息在相應(yīng)的端口下添加或刪除。但是除 此之外實際應(yīng)用中還會出現(xiàn)多種異常情況�,例如當客戶端所在的計算機出現(xiàn)病毒入侵時, 惡意程序可能會在進程中強行關(guān)閉認證客戶端����,或是用戶因為疏忽在未退出認證時便直接 關(guān)閉計算機,認證客戶端也會被強行關(guān)閉���?�?蛻舳嗽诒划惓娦嘘P(guān)閉時�,認證軟件將不會發(fā)送退出認證請求至認證服務(wù)器��, 從而認證服務(wù)器也不會指示對應(yīng)的接入設(shè)備將該客戶端的MAC地址信息從對應(yīng)端口刪除。 這些殘留在接入設(shè)備中的地址信息不僅大量占用浪費了接入交換機的存儲資源��,當其它的 用戶使用這臺計算機時�,還將不需要再重新認證就可以繼續(xù)使用網(wǎng)絡(luò)。尤其當客戶端的認 證軟件還提供了除認證外的其它功能�,例如計算機的安全防護功能、客戶端的上網(wǎng)計費功 能等功能時�����,認證客戶端被強行關(guān)閉的計算機還能逃開管理員的控制��,造成安全隱患或是 逃費等現(xiàn)象��。
發(fā)明內(nèi)容
本發(fā)明提供一種刪除殘留客戶端信息的方法����、系統(tǒng)及認證服務(wù)器����,用以解決現(xiàn)有 的802. Ix認證的網(wǎng)絡(luò)環(huán)境下,當接入交換機上殘留有未退出認證但關(guān)閉了認證軟件的客 戶端的MAC地址信息時����,這些殘留信息不僅占用了接入交換機的存儲資源,而且還有可能 引起非法用戶利用未退出認證的殘留客戶端進行非法網(wǎng)絡(luò)訪問的問題。為實現(xiàn)上述目的��,本發(fā)明提供一種刪除殘留客戶端信息的方法�����,包括實時地檢測對應(yīng)的各個在線客戶端在第一預(yù)設(shè)時間內(nèi)是否返回了心跳報文���,所述 第一預(yù)設(shè)時間大于所述在線客戶端周期性發(fā)送所述心跳報文的間隔時間�����;若檢測到任一所述在線客戶端在所述第一預(yù)設(shè)時間內(nèi)未返回所述心跳報文����,則識 別未返回所述心跳報文的所述在線客戶端為殘留客戶端���;基于預(yù)設(shè)的簡單網(wǎng)絡(luò)管理協(xié)議功能�,控制與所述殘留客戶端對應(yīng)的接入交換機將 所述殘留客戶端的MAC地址信息在對應(yīng)的端口下刪除���。為實現(xiàn)上述目的���,本發(fā)明還提供一種認證服務(wù)器��,包括檢測模塊����,實時地檢測對應(yīng)的各個在線客戶端在第一預(yù)設(shè)時間內(nèi)是否返回了心跳 報文�,所述第一預(yù)設(shè)時間大于所述在線客戶端周期性發(fā)送所述心跳報文的間隔時間;識別模塊���,用于若所述檢測模塊檢測到任一所述在線客戶端在所述第一預(yù)設(shè)時間 內(nèi)未返回所述心跳報文���,則識別未返回所述心跳報文的所述在線客戶端為殘留客戶端;信息刪除模塊��,用于基于預(yù)設(shè)的簡單網(wǎng)絡(luò)管理協(xié)議功能��,控制與所述殘留客戶端 對應(yīng)的接入交換機將所述殘留客戶端的MAC地址信息在對應(yīng)的端口下刪除��。為實現(xiàn)上述目的��,本發(fā)明還提供一種刪除殘留客戶端信息的系統(tǒng)��,包括上述的認證服務(wù)器���、與所述認證服務(wù)器連接的至少一個接入交換機����;每個所述接 入交換機均與至少一個客戶端連接�。本發(fā)明提供的刪除殘留客戶端信息的方法、系統(tǒng)及認證服務(wù)器��,通過在認證服務(wù) 器中添加安全管理功能���,對所有接入交換機的信息進行管理����,并在正常環(huán)境下由在線客戶 端定時向認證服務(wù)器發(fā)送心跳報文�����,當認證服務(wù)器在限定時間內(nèi)未接收到在線客戶端發(fā)送 的心跳報文時����,確認該未定時發(fā)送心跳報文的客戶端為已退出認證的殘留客戶端,并根據(jù) 自身預(yù)設(shè)的安全管理功能�����,控制對應(yīng)的接入交換機將對應(yīng)端口下的該殘留客戶端的MAC地 址信息進行刪除����,以對管理的接入交換機下的殘留MAC地址信息進行清理�,從而最大限定 地解決了接入交換機上保存的殘留客戶端的信息的問題��,避免了接入交換機上不必要的存 儲資源的浪費占用��,同時避免了非法用戶利用未退出認證的客戶端進行網(wǎng)絡(luò)訪問而帶來的 安全隱患��。
為了更清楚地說明本發(fā)明或現(xiàn)有技術(shù)中的技術(shù)方案���,下面將對實施例或現(xiàn)有技術(shù) 描述中所需要使用的附圖作一簡單地介紹���,顯而易見地,下面描述中的附圖是本發(fā)明的一 些實施例��,對于本領(lǐng)域普通技術(shù)人員來講��,在不付出創(chuàng)造性勞動性的前提下�����,還可以根據(jù)這 些附圖獲得其他的附圖����。圖1為本發(fā)明刪除殘留客戶端信息的方法實施例一的流程圖;圖2為本發(fā)明刪除殘留客戶端信息的方法實施例二的流程圖3為本發(fā)明認證服務(wù)器實施例一的結(jié)構(gòu)示意圖��;圖4為本發(fā)明認證服務(wù)器實施例二的結(jié)構(gòu)示意圖�;圖5為本發(fā)明刪除殘留客戶端信息的系統(tǒng)實施例的結(jié)構(gòu)示意圖。
具體實施例方式為使本發(fā)明的目的����、技術(shù)方案和優(yōu)點更加清楚,下面將結(jié)合本發(fā)明實施例中的附 圖��,對本發(fā)明實施例中的技術(shù)方案進行清楚�、完整地描述,顯然����,所描述的實施例是本發(fā)明 一部分實施例,而不是全部的實施例���?��;诒景l(fā)明中的實施例,本領(lǐng)域普通技術(shù)人員在沒有 做出創(chuàng)造性勞動前提下所獲得的所有其他實施例��,都屬于本發(fā)明保護的范圍��。圖1為本發(fā)明刪除殘留客戶端信息的方法實施例一的流程圖,如圖1所示���,本實施 例具體包括如下步驟步驟100�����,實時地檢測對應(yīng)的各個在線客戶端在第一預(yù)設(shè)時間內(nèi)是否返回了心跳 報文�����,該第一預(yù)設(shè)時間大于在線客戶端周期性發(fā)送心跳報文的間隔時間�;在網(wǎng)絡(luò)認證體制中��,當客戶端的認證軟件實質(zhì)已經(jīng)被關(guān)閉����,但是卻未通過對應(yīng)的 接入交換機向認證服務(wù)器發(fā)送退出認證消息時,該對應(yīng)的接入交換機的對應(yīng)端口下將仍然 殘留保存該被關(guān)閉認證軟件的客戶端的MAC地址信息��,這些殘留的MAC地址信息不僅占用 了接入交換機的存儲資源���,而且由于接入交換機是基于在端口下保存客戶端的MAC地址信 息,來實現(xiàn)對客戶端的網(wǎng)絡(luò)訪問權(quán)限控制����,因而這些殘留的MAC地址信息還會引起其他用 戶無需經(jīng)過重新認證便能直接使用這臺計算機進行網(wǎng)絡(luò)訪問的安全隱患�。為了解決上述問題�����,即為了及時對接入交換機的各端口下殘留的客戶端的MAC地 址信息進行刪除�����,在本發(fā)明中��,為已通過認證的在線客戶端設(shè)置了向認證服務(wù)器發(fā)送心跳 報文的功能�,即已通過認證的每個在線客戶端均必須周期性地向認證服務(wù)器發(fā)送用于表明 該客戶端仍然在線的心跳報文。同時���,在認證服務(wù)器端�,認證服務(wù)器根據(jù)在預(yù)設(shè)時間內(nèi)是否 接收到各個在線客戶端發(fā)送的心跳報文�����,而分別對各在線客戶端是否為已退出認證的殘留 客戶端進行檢測����。具體地�,在本發(fā)明中�����,稱認證服務(wù)器用于檢測在線客戶端是否返回了心跳報文的 檢測時間為第一預(yù)設(shè)時間�����。通常而言���,為了保證檢測的準確合理性�,該第一預(yù)設(shè)時間會大于 各在線客戶端周期性發(fā)送心跳報文的間隔時間�����。且優(yōu)化地���,考慮到當網(wǎng)絡(luò)出現(xiàn)堵塞時在線 客戶端發(fā)送的心跳報文可能會在途中出現(xiàn)丟包而導(dǎo)致重發(fā)的現(xiàn)象�,以及各種其他的異?��,F(xiàn) 象����,該第一預(yù)設(shè)時間通?����?梢愿鶕?jù)經(jīng)驗值設(shè)置為3倍的心跳報文的發(fā)送間隔時間�,以為各 種異常現(xiàn)象的發(fā)生預(yù)留一定的時間�����,從而保證檢測結(jié)果的準確性���。步驟101���,若檢測到任一在線客戶端在第一預(yù)設(shè)時間內(nèi)未返回心跳報文,則識別未 返回心跳報文的在線客戶端為殘留客戶端����;步驟102,基于預(yù)設(shè)的簡單網(wǎng)絡(luò)管理協(xié)議功能�,控制與殘留客戶端對應(yīng)的接入交換 機將殘留客戶端的MAC地址信息在對應(yīng)的端口下刪除。而當認證服務(wù)器通過對心跳報文的檢測�����,檢測到對應(yīng)的某一在線客戶端在第一預(yù) 設(shè)時間內(nèi)還未返回心跳報文時,由于認證服務(wù)器用于檢測心跳報文的第一預(yù)設(shè)時間為充足 考慮到心跳報文的各種發(fā)送異?�,F(xiàn)象而設(shè)置的時間�����,因此認證服務(wù)器根據(jù)該檢測結(jié)果可以 識別到該未及時返回心跳報文的客戶端為對應(yīng)的接入交換機上的殘留客戶端��。從而認證服務(wù)器可以控制與該識別出的殘留客戶端對應(yīng)的接入交換機將該殘留客戶端的MAC地址信 息�����、在對應(yīng)的端口下刪除�����,以實現(xiàn)及時準確地清除接入交換機上殘留的殘留客戶端信息的 功能���。具體地�����,本發(fā)明中�,認證服務(wù)器可以通過在自身及對應(yīng)的接入交換機上設(shè)置簡 單網(wǎng)絡(luò)管理協(xié)議(Simple Network Management Protocol,簡稱SNMP)功能�,以實現(xiàn)對接 入交換機上指定的MAC地址信息的控制刪除。具體地�����,SNMP協(xié)議是由互聯(lián)網(wǎng)工程任務(wù)組 (Internet Engineering Task Force���,簡稱IETF)定義的一套網(wǎng)絡(luò)管理協(xié)議,利用SNMP協(xié) 議制定的報文�����,管理服務(wù)器(本發(fā)明中指認證服務(wù)器)可以實現(xiàn)對支持這種協(xié)議的網(wǎng)絡(luò)設(shè) 備(本發(fā)明中指接入交換機)的遠程管理控制功能�����,其中包括監(jiān)視網(wǎng)絡(luò)狀態(tài)���、修改網(wǎng)絡(luò)設(shè)備 配置��、接收網(wǎng)絡(luò)事件警告等功能����。因而,基于預(yù)設(shè)的該SNMP功能�,認證服務(wù)器可以控制管理 對應(yīng)的接入交換機的配置信息,包括控制刪除接入交換機上指定的MAC地址信息�。本實施例的刪除殘留客戶端信息的方法,通過在認證服務(wù)器中添加安全管理功 能��,對所有接入交換機的信息進行管理�����,并在正常環(huán)境下由在線客戶端定時向認證服務(wù)器 發(fā)送心跳報文���,當認證服務(wù)器在限定時間內(nèi)未接收到在線客戶端發(fā)送的心跳報文時�,確認 該未定時發(fā)送心跳報文的客戶端為已退出認證的殘留客戶端�,并根據(jù)自身預(yù)設(shè)的安全管理 功能,控制對應(yīng)的接入交換機將對應(yīng)端口下的該殘留客戶端的MAC地址信息進行刪除�,以 對管理的接入交換機下的殘留MAC地址信息進行清理,從而最大限定地解決了接入交換機 上保存的殘留客戶端的信息的問題�,避免了接入交換機上不必要的存儲資源的浪費占用, 同時避免了非法用戶利用未退出認證的客戶端進行網(wǎng)絡(luò)訪問而帶來的安全隱患�����。圖2為本發(fā)明刪除殘留客戶端信息的方法實施例二的流程圖��,如圖2所示,本實施 例具體包括如下步驟步驟200�,實時地檢測對應(yīng)的各個在線客戶端在第一預(yù)設(shè)時間內(nèi)是否返回了心跳 報文;步驟201���,若檢測到任一在線客戶端在第一預(yù)設(shè)時間內(nèi)未返回心跳報文����,則查詢與 該殘留客戶端對應(yīng)的接入交換機支持SNMP協(xié)議的類型�����,若支持自定義的SNMP協(xié)議則執(zhí)行 步驟202�����,若支持標準的SNMP協(xié)議則執(zhí)行步驟204 �����;本實施例中仍然采用由在線客戶端周期性地發(fā)送心跳報文���,且由認證服務(wù)器實時 地檢測各在線客戶端是否在限定時間內(nèi)返回心跳報文的方法,來檢測對應(yīng)的接入交換機上 是否殘留有已退出認證的客戶端信息��,同時為了最大限度地解決各種應(yīng)用方案下接入交換 機上殘留客戶端的問題,在本實施例中���,還針對對應(yīng)的接入交換機支持SNMP協(xié)議的不同類 型�,針對對應(yīng)的接入交換機所處的不同網(wǎng)絡(luò)拓撲環(huán)境�����,控制接入交換機采用不同的信息刪 除方案����,對可能存在的殘留客戶端的MAC地址信息進行清理。具體地�����,當認證服務(wù)器檢測到管理的某一在線客戶端在限定時間未返回預(yù)定的心 跳報文�,即檢測到一個殘留客戶端時,為了為該殘留客戶端選擇合適的MAC地址信息刪除 方案�,以在對應(yīng)的接入交換機上對該殘留客戶端的MAC地址信息進行刪除,認證服務(wù)器將 首先根據(jù)自身預(yù)存的對所有接入交換機的配置管理信息���,查詢與該殘留客戶端對應(yīng)的接入 交換機所支持的SNMP協(xié)議的類型���。具體地�����,在本實施例中�����,為了實現(xiàn)認證服務(wù)器對接入交換機的SNMP管理功能���,認 證服務(wù)器中預(yù)先存儲了網(wǎng)絡(luò)中對應(yīng)的所有接入交換機的相關(guān)配置信息,其中包括接入交換機的地址信息�����、各接入交換機與各在線客戶端的對應(yīng)信息���,各接入交換機所支持的SNMP協(xié) 議的類型信息等?;谶@些配置信息,認證服務(wù)器在檢測到一個殘留客戶端時�����,可以查詢到 與該殘留客戶端對應(yīng)的接入交換機��,并查詢到該對應(yīng)的接入交換機所支持的SNMP協(xié)議類 型。而此處所述的查詢該接入交換機所支持的SNMP協(xié)議類型�����,具體指認證服務(wù)器查詢該對 應(yīng)的接入交換機是支持自定義的SNMP協(xié)議或是支持標準的SNMP協(xié)議的類型����。在本實施例中,所謂接入交換機的自定義SNMP協(xié)議類型是指為了實現(xiàn)認證服務(wù) 器對接入交換機的更為簡單有效的管理控制�,而在接入交換機和認證服務(wù)器之間自定義配 置的一系列的SNMP協(xié)議報文及SNMP協(xié)議功能。由于在標準的SNMP協(xié)議中�����,認證服務(wù)器對 接入交換機的控制操作通常需要按照標準協(xié)議中定義的一系列復(fù)雜處理流程而進行���,因而 在本發(fā)明中�����,為了降低接入交換機對殘留客戶端的MAC地址信息的刪除操作的復(fù)雜度����,在 認證服務(wù)器和接入交換機之間協(xié)商了一套自定義的SNMP協(xié)議報文?�;谠撟远x的SNMP 報文��,支持自定義的SNMP協(xié)議的接入交換機可以直接地響應(yīng)該自定義SNMP報文����,進行指定 的操作,例如對MAC地址信息的刪除操作���,而無需參照標準的SNMP協(xié)議中所定義的復(fù)雜操 作流程�,從而大大加快了對殘留客戶端信息的刪除速度�����。步驟202����,發(fā)送自定義的SNMP刪除報文給與殘留客戶端對應(yīng)的接入交換機��,該自 定義的SNMP刪除報文中攜帶殘留客戶端的MAC地址信息和對應(yīng)端口的標識信息�����;步驟203,將本地存儲的與殘留客戶端對應(yīng)的在線信息刪除��;因而��,若認證服務(wù)器通過查詢得知與殘留客戶端對應(yīng)的接入交換機支持自定義的 SNMP協(xié)議類型時���,為了指示該對應(yīng)的接入交換機快速地對該殘留客戶端的MAC地址信息進 行刪除�����,認證服務(wù)器將發(fā)送自定義的SNMP刪除報文給該對應(yīng)的接入交換機��。該自定義的 SNMP刪除報文中攜帶要求刪除的殘留客戶端的MAC地址信息���、以及該殘留客戶端在對應(yīng)的 接入交換機上對應(yīng)的端口的標識信息,用于指示對應(yīng)的接入交換機將指定端口下指定的殘 留客戶端的MAC地址刪除�。具體地,對于認證服務(wù)器而言�����,在任一用戶基于認證客戶端通過了認證服務(wù)器的 認證后���,認證服務(wù)器將會在本地記錄一條與該通過認證的客戶端相關(guān)的在線信息����,該在線 信息包括通過該已認證的客戶端的認證信息、與接入交換機的對應(yīng)信息�、以及在接入交換 機上對應(yīng)的接入端口的端口標識信息等。因而在認證服務(wù)器檢測到一殘留客戶端時���,根據(jù) 本地存儲的這些在線信息����,能夠查詢到與殘留客戶端對應(yīng)的接入交換機����,以及查詢到殘留 客戶端在該接入交換機上的對應(yīng)的端口的標識信息,從而認證服務(wù)器可以根據(jù)查詢到的該 對應(yīng)端口的標識信息����,向?qū)?yīng)的接入交換機發(fā)送自定義的SNMP刪除報文。對應(yīng)的接入交換機接收到該自定義的SNMP刪除報文后����,響應(yīng)該SNMP刪除報文,直 接在該SNMP刪除報文中指定的端口標識信息對應(yīng)的端口下���,將指定的殘留客戶端的MAC地 址信息刪除�,從而實現(xiàn)了支持自定義的SNMP協(xié)議的接入交換機對殘留客戶端信息的快速 刪除�。進一步地,在向查詢到的對應(yīng)接入交換機發(fā)送了自定義的SNMP刪除報文���,且對應(yīng) 的接入交換將指定端口下指定的殘留客戶端的MAC地址信息進行刪除之后��,為了保證認證 服務(wù)器中存儲的在線信息的準確性�,認證服務(wù)器還同步地將本地存儲的與殘留客戶端相關(guān) 的在線信息進行刪除����。步驟204,檢測對應(yīng)的接入交換機的對應(yīng)端口下是否保存有除殘留客戶端外的其他在線客戶端的信息����,若否則執(zhí)行步驟205,若是則執(zhí)行步驟206 ����;而若在上述步驟201中,認證服務(wù)器檢測到與殘留客戶端對應(yīng)的接入交換機支持 的是標準的SNMP協(xié)議時����,認證服務(wù)器不能再利用自定義的SNMP報文控制對應(yīng)的接入交換 機進行快速的MAC地址信息的刪除,而是只能基于標準的SNMP協(xié)議定義的處理流程��,對接 入交換機中對應(yīng)端口下的殘留客戶端MAC地址信息進行控制刪除操作。具體地�����,認證服務(wù)器將進一步地檢測該與殘留客戶端對應(yīng)的接入交換機中����,在與 殘留客戶端對應(yīng)的端口是否還保存記錄有除該殘留客戶端外的其他在線客戶端的信息,即 查詢對應(yīng)的接入交換機的對應(yīng)端口下除了接入有該殘留客戶端外����,是否還對應(yīng)管理有其他 的在線客戶端。具體地��,認證服務(wù)器將根據(jù)本地存儲管理的對應(yīng)所有在線客戶端的在線信 息���,對這一結(jié)果進行檢測查詢�。而在本實施例中����,認證服務(wù)器進行該檢測查詢步驟的目的在于由于基于標準的 SNMP協(xié)議的定義,接入交換機對某端口下所有在線客戶端的MAC地址信息的刪除可以通過 依次對該端口進行關(guān)閉和重開啟操作予以實現(xiàn)����,即若接入交換機關(guān)閉又重開啟其中的某一 端口時��,該端口下保存的所有在線客戶端的MAC地址信息均將被刪除��。因而若支持標準的 SNMP協(xié)議的接入交換機需要通過這一方法實現(xiàn)對指定端口的指定殘留客戶端的MAC地址 信息的刪除時,必須保證該端口下除保存有該殘留客戶端的信息外�����,沒有額外保存其他的 在線客戶端的地址信息��,否則將會誤將其他的合法在線客戶端的MAC地址信息從該端口下 刪除���,而影響合法在線客戶端的網(wǎng)絡(luò)訪問行為��。步驟205���,依次發(fā)送攜帶對應(yīng)的端口的標識信息的、標準的關(guān)端口 SNMP報文和開 端口 SNMP報文給對應(yīng)的接入交換機,以使對應(yīng)的接入交換機依次將對應(yīng)的端口進行關(guān)閉 和開啟操作���,并返回執(zhí)行步驟203 ;因而���,若認證服務(wù)器通過檢測得知與殘留客戶端對應(yīng)的接入交換機中的對應(yīng)端口 下�,僅保存有該殘留客戶端的地址信息時,認證服務(wù)器向該對應(yīng)的接入交換機依次發(fā)送標 準的關(guān)端口 SNMP報文和開端口 SNMP報文��,該關(guān)端口 SNMP報文和開端口 SNMP報文中分別 攜帶了與殘留客戶端對應(yīng)的端口的標識信息��,以指示對應(yīng)的接入交換機根據(jù)接收到的SNMP 報文依次對指定的端口進行相應(yīng)的端口關(guān)閉和開啟操作。進一步地�����,與向?qū)?yīng)接入交換機依次發(fā)送了標準的關(guān)端口 SNMP報文和開端口 SNMP報文后�,為了保證認證服務(wù)器中存儲的在線信息的準確性�,認證服務(wù)器還同步地將本 地存儲的與殘留客戶端相關(guān)的在線信息進行刪除���。而對應(yīng)的接入交換機在依次接收到了該標準的關(guān)端口 SNMP報文和開端口 SNMP報 文后,響應(yīng)接收到的該標準的SNMP報文�����,依次對SNMP報文中指定的標識信息對應(yīng)的端口進 行關(guān)閉和重開啟操作����,在重新開啟了該指定的端口后�,該接入交換機的該指定端口下所有 的在線客戶端的MAC地址信息����,即該指定端口下的殘留客戶端的MAC地址信息將被清除�����,從 而同樣達到了刪除接入交換機中殘留客戶端的MAC地址信息的效果。步驟206�����,向?qū)?yīng)端口下除殘留客戶端之外的任一在線客戶端發(fā)送攜帶殘留客戶 端的MAC地址信息的模擬下線請求報文�����;而若在上述步驟204中��,認證服務(wù)器通過檢測得知與殘留客戶端對應(yīng)的接入交換 機中的對應(yīng)端口下�,除了保存有該殘留客戶端的地址信息外�����,還保存有其他合法在線客戶 端的地址信息時,明顯地在此情況下認證服務(wù)器不能通過控制接入交換機對指定端口依次進行關(guān)閉重開啟操作來對殘留客戶端的MAC地址信息進行刪除���。在此情況下���,認證服務(wù)器 將向該接入交換機與殘留客戶端對應(yīng)的端口下、除殘留客戶端之外的任一在線客戶端發(fā)送 模擬下線請求報文���,在該模擬下線請求報文中��,認證服務(wù)器將攜帶指定刪除的殘留客戶端 的MAC地址信息�,而該模擬下線請求報文的作用在于指示接收到該模擬下線請求報文的在 線客戶端向?qū)?yīng)的接入交換機發(fā)送退出認證請求報文。優(yōu)選地�����,在本實施例中��,認證服務(wù)器發(fā)送模擬下線請求報文時���,除了可以在多個合 法在線客戶端中任選一個之外����,還可以根據(jù)本地存儲的與各合法在線客戶端各自對應(yīng)的在 線時長信息��,選取在線時長最短的在線客戶端,進行模擬下線請求報文的發(fā)送���。通常而言�����, 由于該在線時長最短的在線客戶端通常為該端口下最后一個上線的客戶端�,因而認證服務(wù) 器選取此在線客戶端進行模擬下線請求報文的發(fā)送,能夠最大幾率地保證選取的在線客戶 端并非也為該端口下的一個殘留客戶端��。但是需要了解的是�,上述的選取在線時長最短的在線客戶端發(fā)送模擬下線請求報 文的方法�����,并非唯一地保證選取的在線客戶端并非為該端口下的一個殘留客戶端的方法�����, 實際應(yīng)用中����,認證服務(wù)器還可以根據(jù)其他的信息,基于其他的方法進行發(fā)送模擬下線請求 報文的在線客戶端的選取���,只要能夠保證選取的在線客戶端并非為該端口下的一個殘留客 戶端��,都可以應(yīng)用在本發(fā)明中��。步驟207�,檢測接收模擬下線請求報文的在線客戶端是否在第二預(yù)定時間內(nèi)返回 響應(yīng)報文���,若是則返回執(zhí)行步驟203,若否則執(zhí)行步驟208 ��;
而接收到模擬下線請求報文的在線客戶端接收到該攜帶殘留客戶端的MAC地址 信息的模擬下線請求報文后����,若該在線客戶端并非是一個殘留客戶端,即該客戶端的認證 客戶端軟件沒有被惡意程序強行關(guān)閉���,也沒有因直接關(guān)機而強行關(guān)閉��,該在線客戶端的認 證客戶端軟件將會響應(yīng)該模擬下線請求報文���,向認證服務(wù)器返回一個響應(yīng)報文,以告知認 證服務(wù)器其已成功接收到模擬下線請求報文���。同時該合法在線客戶端將依據(jù)模擬下線請求 報文的指示���,向?qū)?yīng)的接入交換機發(fā)送退出認證請求報文,該退出認證請求中攜帶該合法 在線客戶端接收到的模擬下線請求報文中指定的殘留客戶端的MAC地址信息�。而接收到該 退出認證請求報文的接入交換機也將根據(jù)該退出認證請求報文,將退出認證請求報文中指 定的殘留客戶端的MAC地址信息從對應(yīng)端口下刪除�,具體指從與發(fā)送退出認證請求報文的 在線客戶端對應(yīng)的端口下刪除,從而認證服務(wù)器將成功地完成了在對應(yīng)接入交換機的對應(yīng) 端口下刪除殘留客戶端的MAC地址信息的操作��。因而�����,根據(jù)對在線客戶端是否在預(yù)定的時間內(nèi)返回了響應(yīng)報文進行檢測,認證服 務(wù)器還可以進一步獲知該接收模擬下線請求報文的在線客戶端是否也為一殘留客戶端�,或 者是否發(fā)已經(jīng)成功地進行了退出認證請求報文的發(fā)送。在本實施例中����,稱檢測在線客戶端 是否返回了響應(yīng)報文的預(yù)定時間為第二預(yù)定時間。而若在第二預(yù)定時間內(nèi)��,認證服務(wù)器接收到了接收模擬下線請求報文的在線客戶 端返回的響應(yīng)報文���,據(jù)此認證服務(wù)器可以得知該在線客戶端已經(jīng)通過向接入交換機發(fā)送退 出認證請求報文�,指示接入交換機成功進行了指定的殘留客戶端的MAC地址信息的刪除���。 于是認證服務(wù)器根據(jù)此消息���,返回執(zhí)行上述步驟203,及時地將本地存儲的與該殘留客戶端 對應(yīng)的在線信息進行刪除����,保證本地存儲的在線信息的準確性。步驟208�����,將未返回響應(yīng)報文的在線客戶端識別為所述殘留客戶端,并返回執(zhí)行步驟 204 �;而若在預(yù)定的延遲時間內(nèi),認證服務(wù)器還未接收到接收模擬下線請求報文的在線 客戶端返回的響應(yīng)報文���,這代表接收模擬下線請求報文的在線客戶端也為一個殘留客戶 端�����,因而認證服務(wù)器將根據(jù)該檢測結(jié)果,識別未返回響應(yīng)報文的該在線客戶端同樣為一殘 留客戶端�,并返回至執(zhí)行上述步驟204中的檢測與殘留客戶端對應(yīng)的端口下是否還保存有 除殘留客戶端外的其他在線客戶端的信息的操作。而若通過再次檢測����,認證服務(wù)器得知接入交換機的對應(yīng)端口下除了殘留客戶端 外,還存在其他在線客戶端時�,認證服務(wù)器將再次選取任一的在線客戶端進行模擬下線請 求報文的發(fā)送,并在該模擬下線請求報文中攜帶檢測到的兩個或多個的殘留客戶端的MAC 地址信息�,以此同時將兩個或多個的殘留客戶端的MAC地址信息從接入交換機的對應(yīng)端口 下刪除。而若通過再次檢測��,認證服務(wù)器得知接入交換機的對應(yīng)端口下除了殘留客戶端 外�,已未存在任何其他合法在線客戶端時�,認證服務(wù)器將執(zhí)行上述步驟205��,通過控制對應(yīng) 的接入交換機依次關(guān)閉及重開啟對應(yīng)端口的方法�,一次性地將接入交換機對應(yīng)端口下所有 的殘留客戶端的MAC地址信息清除。而無論對應(yīng)上述哪種情況�����,認證服務(wù)器最終均將成功 地將檢測到的接入交換機上殘留客戶端的MAC地址信息刪除���。本實施例的刪除殘留客戶端信息的方法��,通過在認證服務(wù)器中添加安全管理功 能���,對所有接入交換機的信息進行管理,并在正常環(huán)境下由在線客戶端定時向認證服務(wù)器 發(fā)送心跳報文��,當認證服務(wù)器在限定時間內(nèi)未接收到在線客戶端發(fā)送的心跳報文時�,確認 該未定時發(fā)送心跳報文的客戶端為已退出認證的殘留客戶端,并根據(jù)自身預(yù)設(shè)的安全管理 功能��,控制對應(yīng)的接入交換機將對應(yīng)端口下的該殘留客戶端的MAC地址信息進行刪除�����,以 對管理的接入交換機下的殘留MAC地址信息進行清理,從而最大限定地解決了接入交換機 上保存的殘留客戶端的信息的問題����,避免了接入交換機上不必要的存儲資源的浪費占用, 同時避免了非法用戶利用未退出認證的客戶端進行網(wǎng)絡(luò)訪問而帶來的安全隱患����。進一步地,本實施例中��,當認證服務(wù)器檢測到殘留客戶端的存在時����,還根據(jù)自身存 儲的對應(yīng)不同交換機類型的信息���,針對管理的不同類型的交換機以及不同的網(wǎng)絡(luò)拓撲環(huán) 境���,控制接入交換機采用不同的清理方案對可能存在的殘留客戶端進行不同的MAC地址清 理,從而最大限定地解決了各種應(yīng)用方案下接入交換機上殘留客戶端的問題��。本領(lǐng)域普通技術(shù)人員可以理解實現(xiàn)上述方法實施例的全部或部分步驟可以通過 程序指令相關(guān)的硬件來完成��,前述的程序可以存儲于一計算機可讀取存儲介質(zhì)中��,該程序 在執(zhí)行時,執(zhí)行包括上述方法實施例的步驟�;而前述的存儲介質(zhì)包括R0M、RAM��、磁碟或者 光盤等各種可以存儲程序代碼的介質(zhì)����。圖3為本發(fā)明認證服務(wù)器實施例一的結(jié)構(gòu)示意圖,如圖3所示��,本實施例的認證服 務(wù)器至少包括檢測模塊11���、識別模塊12和信息刪除模塊13�。其中����,檢測模塊11用于實時 地檢測對應(yīng)的各個在線客戶端在第一預(yù)設(shè)時間內(nèi)是否返回了心跳報文,該第一預(yù)設(shè)時間大 于在線客戶端周期性發(fā)送心跳報文的間隔時間���;而識別模塊12用于若檢測模塊11檢測到 任一在線客戶端在第一預(yù)設(shè)時間內(nèi)未返回心跳報文時�����,則識別未返回心跳報文的在線客戶 端為殘留客戶端����;而信息刪除模塊13則用于基于預(yù)設(shè)的SNMP協(xié)議功能,控制與殘留客戶端 對應(yīng)的接入交換機將殘留客戶端的MAC地址信息在對應(yīng)的端口下刪除�。
具體地,本實施例中的上述所有模塊所涉及的具體工作過程�,可以參考本發(fā)明上 述刪除殘留客戶端信息的方法所涉及的相關(guān)實施例揭露的相關(guān)內(nèi)容,在此不再贅述�。本實施例的認證服務(wù)器,通過添加安全管理功能�����,對所有接入交換機的信息進行 管理��,并在正常環(huán)境下由在線客戶端定時向認證服務(wù)器發(fā)送心跳報文��,當認證服務(wù)器在限 定時間內(nèi)未接收到在線客戶端發(fā)送的心跳報文時��,確認該未定時發(fā)送心跳報文的客戶端為 已退出認證的殘留客戶端�����,并根據(jù)自身預(yù)設(shè)的安全管理功能���,控制對應(yīng)的接入交換機將對 應(yīng)端口下的該殘留客戶端的MAC地址信息進行刪除����,以對管理的接入交換機下的殘留MAC 地址信息進行清理�����,從而最大限定地解決了接入交換機上保存的殘留客戶端的信息的問 題�,避免了接入交換機上不必要的存儲資源的浪費占用,同時避免了非法用戶利用未退出 認證的客戶端進行網(wǎng)絡(luò)訪問而帶來的安全隱患����。圖4為本發(fā)明認證服務(wù)器實施例二的結(jié)構(gòu)示意圖。如圖4所示�����,在上述實施例的 基礎(chǔ)上�����,本實施例的認證服務(wù)器中��,信息刪除模塊13還可以包括查詢子模塊131�、第一報文 發(fā)送子模塊132和在線信息刪除子模塊133。其中,查詢子模塊131用于查詢與殘留客戶端對應(yīng)的接入交換機是支持自定義的 SNMP協(xié)議或標準的SNMP協(xié)議��;第一報文發(fā)送子模塊132用于若查詢子模塊131查詢到對 應(yīng)的接入交換機支持自定義的SNMP協(xié)議時�����,則發(fā)送攜帶殘留客戶端的MAC地址信息和對應(yīng) 的端口的標識信息的���、自定義的SNMP刪除報文給對應(yīng)的接入交換機���,以指示對應(yīng)的接入交 換機將與標識信息對應(yīng)的端口下的指定MAC地址信息刪除;而在線信息刪除子模塊133則 用于將本地存儲的與殘留客戶端對應(yīng)的在線信息刪除�����。進一步地�����,除了上述子模塊之外����,本實施例中��,信息刪除模塊13還可以包括第一 檢測子模塊134、第二報文發(fā)送子模塊135和第三報文發(fā)送子模塊136���。其中����,第一檢測子模塊134用于若查詢子模塊131查詢到與殘留客戶端對應(yīng)的接 入交換機支持標準的SNMP協(xié)議時�,則檢測與殘留客戶端對應(yīng)的端口下是否還保存有除殘 留客戶端外的其他在線客戶端的信息;第二報文發(fā)送子模塊135用于當?shù)谝粰z測子模塊134的檢測結(jié)果為否時�,則依次 發(fā)送攜帶對應(yīng)的端口的標識信息的、標準的關(guān)端口 SNMP報文和開端口 SNMP報文給對應(yīng)的 接入交換機���,以使對應(yīng)的接入交換機依次將對應(yīng)的端口關(guān)閉和開啟����,并指示在線信息刪除 子模塊133將本地存儲的與殘留客戶端對應(yīng)的在線信息刪除�����;第三報文發(fā)送子模塊136則用于當?shù)谝粰z測子模塊134的檢測結(jié)果為是時���,則向 對應(yīng)端口下其他在線客戶端中的任一在線客戶端發(fā)送攜帶殘留客戶端的MAC地址信息的 模擬下線請求報文����,以指示接收到模擬下線請求報文的在線客戶端向?qū)?yīng)的接入交換機發(fā) 送退出認證請求報文,該退出認證請求報文中攜帶模擬下線請求報文中指定的殘留客戶端 的MAC地址信息�����,用于指示對應(yīng)的接入交換機將對應(yīng)的端口下指定的MAC地址信息刪除����。更進一步地,本實施例中��,信息刪除模塊13還可以包括第二檢測子模塊137���、識別 子模塊138和指示子模塊139�����。其中��,第二檢測子模塊137用于在第三報文發(fā)送子模塊136發(fā)送了模擬下線請求 報文之后���,檢測是否在第二預(yù)設(shè)時間內(nèi)接收到接收模擬下線請求報文的在線客戶端針對該 模擬下線請求報文返回的響應(yīng)報文;識別子模塊138用于若第二檢測子模塊137在第二預(yù) 設(shè)時間內(nèi)未檢測到上述響應(yīng)報文���,則將未返回響應(yīng)報文的在線客戶端識別為殘留客戶端����,并指示第一檢測子模塊134再次檢測對應(yīng)的端口下是否還保存有除殘留客戶端外的其他 在線客戶端的信息��;而指示子模塊139則用于若第二檢測子模塊137在第二預(yù)設(shè)時間內(nèi)檢 測到上述響應(yīng)報文�����,則指示在線信息刪除子模塊133將本地存儲的與殘留客戶端對應(yīng)的在 線信息刪除�����。進一步地�����,上述第三報文發(fā)送子模塊136具體可以用于根據(jù)本地存儲的與對應(yīng)端 口除殘留客戶端外的其他在線客戶端各自對應(yīng)的在線時長信息����,向在線時長最短的在線客 戶端發(fā)送模擬下線請求報文。具體地����,本實施例中的上述所有模塊所涉及的具體工作過程,同樣可以參考本發(fā) 明上述刪除殘留客戶端信息的方法所涉及的相關(guān)實施例揭露的相關(guān)內(nèi)容�,在此不再贅述�����。本實施例的認證服務(wù)器��,通過添加安全管理功能��,對所有接入交換機的信息進行 管理����,并在正常環(huán)境下由在線客戶端定時向認證服務(wù)器發(fā)送心跳報文����,當認證服務(wù)器在限 定時間內(nèi)未接收到在線客戶端發(fā)送的心跳報文時,確認該未定時發(fā)送心跳報文的客戶端為 已退出認證的殘留客戶端���,并根據(jù)自身預(yù)設(shè)的安全管理功能�,控制對應(yīng)的接入交換機將對 應(yīng)端口下的該殘留客戶端的MAC地址信息進行刪除���,以對管理的接入交換機下的殘留MAC 地址信息進行清理���,從而最大限定地解決了接入交換機上保存的殘留客戶端的信息的問 題,避免了接入交換機上不必要的存儲資源的浪費占用����,同時避免了非法用戶利用未退出 認證的客戶端進行網(wǎng)絡(luò)訪問而帶來的安全隱患���。進一步地,本實施例中�,當認證服務(wù)器檢測到殘留客戶端的存在時����,還根據(jù)自身存 儲的對應(yīng)不同交換機類型的信息,針對管理的不同類型的交換機以及不同的網(wǎng)絡(luò)拓撲環(huán) 境�,控制接入交換機采用不同的清理方案對可能存在的殘留客戶端進行不同的MAC地址清 理,從而最大限定地解決了各種應(yīng)用方案下接入交換機上殘留客戶端的問題�����。圖5為本發(fā)明刪除殘留客戶端信息的系統(tǒng)實施例的結(jié)構(gòu)示意圖����。如圖5所示,本實 施例的刪除殘留客戶端信息的系統(tǒng)包括上述的認證服務(wù)器1���、與認證服務(wù)器1連接的至少 一個接入交換機2 (圖中僅示出兩個)�����、每個接入交換機2均與至少一個客戶端3連接(圖 中僅示出兩個)��。具體地����,本實施例中的認證服務(wù)器所包含的所有模塊以及所有模塊所涉及的具體 工作過程,可以參考本發(fā)明上述刪除殘留客戶端信息的方法以及認證服務(wù)器所涉及的相關(guān) 實施例揭露的相關(guān)內(nèi)容�����,在此不再贅述�����。本實施例的刪除殘留客戶端信息的系統(tǒng)����,通過添加安全管理功能,對所有接入交 換機的信息進行管理�����,并在正常環(huán)境下由在線客戶端定時向認證服務(wù)器發(fā)送心跳報文��,當 認證服務(wù)器在限定時間內(nèi)未接收到在線客戶端發(fā)送的心跳報文時,確認該未定時發(fā)送心跳 報文的客戶端為已退出認證的殘留客戶端���,并根據(jù)自身預(yù)設(shè)的安全管理功能���,控制對應(yīng)的 接入交換機將對應(yīng)端口下的該殘留客戶端的MAC地址信息進行刪除,以對管理的接入交換 機下的殘留MAC地址信息進行清理��,從而最大限定地解決了接入交換機上保存的殘留客戶 端的信息的問題���,避免了接入交換機上不必要的存儲資源的浪費占用,同時避免了非法用 戶利用未退出認證的客戶端進行網(wǎng)絡(luò)訪問而帶來的安全隱患����。最后應(yīng)說明的是以上實施例僅用以說明本發(fā)明的技術(shù)方案,而非對其限制��;盡 管參照前述實施例對本發(fā)明進行了詳細的說明���,本領(lǐng)域的普通技術(shù)人員應(yīng)當理解其依然 可以對前述各實施例所記載的技術(shù)方案進行修改�����,或者對其中部分技術(shù)特征進行等同替換�;而這些修改或者替換����,并不使相應(yīng)技術(shù)方案的本質(zhì)脫離本發(fā)明各實施例技術(shù)方案的精 神和范圍�����。
權(quán)利要求
一種刪除殘留客戶端信息的方法��,其特征在于����,包括實時地檢測對應(yīng)的各個在線客戶端在第一預(yù)設(shè)時間內(nèi)是否返回了心跳報文��,所述第一預(yù)設(shè)時間大于所述在線客戶端周期性發(fā)送所述心跳報文的間隔時間���;若檢測到任一所述在線客戶端在所述第一預(yù)設(shè)時間內(nèi)未返回所述心跳報文�����,則識別未返回所述心跳報文的所述在線客戶端為殘留客戶端�;基于預(yù)設(shè)的簡單網(wǎng)絡(luò)管理協(xié)議功能�����,控制與所述殘留客戶端對應(yīng)的接入交換機將所述殘留客戶端的MAC地址信息在對應(yīng)的端口下刪除。
2.根據(jù)權(quán)利要求1所述的刪除殘留客戶端信息的方法����,其特征在于,所述控制與所述 殘留客戶端對應(yīng)的接入交換機將所述殘留客戶端的MAC地址信息在對應(yīng)的端口下刪除具 體包括若與所述殘留客戶端對應(yīng)的接入交換機支持自定義的簡單網(wǎng)絡(luò)管理協(xié)議�����,則發(fā)送攜帶 所述殘留客戶端的MAC地址信息和所述對應(yīng)的端口的標識信息的��、自定義的簡單網(wǎng)絡(luò)管理 協(xié)議刪除報文給所述對應(yīng)的接入交換機�,以指示所述對應(yīng)的接入交換機將指定的所述MAC 地址信息從與所述標識信息對應(yīng)的端口下刪除;將本地存儲的與所述殘留客戶端對應(yīng)的在線信息刪除���。
3.根據(jù)權(quán)利要求1或2所述的刪除殘留客戶端信息的方法�����,其特征在于,所述控制與所 述殘留客戶端對應(yīng)的接入交換機將所述殘留客戶端的MAC地址信息在對應(yīng)的端口下刪除 還包括若與所述殘留客戶端對應(yīng)的接入交換機支持標準的簡單網(wǎng)絡(luò)管理協(xié)議�,則檢測所述對 應(yīng)的端口下是否還保存有除所述殘留客戶端外的其他在線客戶端的信息;若否�,則依次發(fā)送攜帶所述對應(yīng)的端口的標識信息的、標準的關(guān)端口簡單網(wǎng)絡(luò)管理協(xié) 議報文和開端口簡單網(wǎng)絡(luò)管理協(xié)議報文給所述對應(yīng)的接入交換機��,以使所述對應(yīng)的接入交 換機依次將所述對應(yīng)的端口進行關(guān)閉和開啟操作,并將本地存儲的與所述殘留客戶端對應(yīng) 的在線信息刪除���;若是����,則向所述其他在線客戶端中的任一在線客戶端發(fā)送攜帶所述殘留客戶端的MAC 地址信息的模擬下線請求報文���,以指示接收到所述模擬下線請求報文的在線客戶端向所述 對應(yīng)的接入交換機發(fā)送退出認證請求報文�,所述退出認證請求報文中攜帶所述模擬下線請 求報文中指定的殘留客戶端的MAC地址信息���,用于指示所述對應(yīng)的接入交換機將指定的 MAC地址從所述對應(yīng)的端口下刪除�����。
4.根據(jù)權(quán)利要求3所述的刪除殘留客戶端信息的方法���,其特征在于,所述向所述其他 在線客戶端中的任一在線客戶端發(fā)送攜帶所述殘留客戶端的MAC地址信息的模擬下線請 求報文之后����,所述方法還包括若在第二預(yù)設(shè)時間內(nèi)未接收到接收所述模擬下線請求報文的在線客戶端針對所述模 擬下線請求報文返回的響應(yīng)報文,則將未返回所述響應(yīng)報文的在線客戶端識別為所述殘留 客戶端����,并返回至執(zhí)行檢測所述對應(yīng)的端口下是否還保存有除所述殘留客戶端外的其他在 線客戶端的信息的操作����;若在所述第二預(yù)設(shè)時間內(nèi)接收到所述接收所述模擬下線請求報文的在線客戶端返回 的響應(yīng)報文����,則將本地存儲的與所述殘留客戶端對應(yīng)的在線信息刪除。
5.根據(jù)權(quán)利要求3所述的刪除殘留客戶端信息的方法�����,其特征在于��,所述向所述其他在線客戶端中的任一在線客戶端發(fā)送攜帶所述殘留客戶端的MAC地址信息的模擬下線請 求報文具體包括根據(jù)本地存儲的與所述其他在線客戶端各自對應(yīng)的在線時長信息����,向在線時長最短的 在線客戶端發(fā)送所述模擬下線請求報文。
6.一種認證服務(wù)器��,其特征在于�,包括檢測模塊��,實時地檢測對應(yīng)的各個在線客戶端在第一預(yù)設(shè)時間內(nèi)是否返回了心跳報 文�����,所述第一預(yù)設(shè)時間大于所述在線客戶端周期性發(fā)送所述心跳報文的間隔時間;識別模塊��,用于若所述檢測模塊檢測到任一所述在線客戶端在所述第一預(yù)設(shè)時間內(nèi)未 返回所述心跳報文�,則識別未返回所述心跳報文的所述在線客戶端為殘留客戶端;信息刪除模塊���,用于基于預(yù)設(shè)的簡單網(wǎng)絡(luò)管理協(xié)議功能���,控制與所述殘留客戶端對應(yīng) 的接入交換機將所述殘留客戶端的MAC地址信息在對應(yīng)的端口下刪除。
7.根據(jù)權(quán)利要求6所述的認證服務(wù)器�,其特征在于,所述信息刪除模塊具體包括查詢子模塊�,用于查詢與所述殘留客戶端對應(yīng)的接入交換機支持自定義的簡單網(wǎng)絡(luò)管 理協(xié)議或標準的簡單網(wǎng)絡(luò)管理協(xié)議;第一報文發(fā)送子模塊�����,用于若所述查詢子模塊查詢到所述對應(yīng)的接入交換機支持自定 義的簡單網(wǎng)絡(luò)管理協(xié)議��,則發(fā)送攜帶所述殘留客戶端的MAC地址信息和所述對應(yīng)的端口的 標識信息的��、自定義的簡單網(wǎng)絡(luò)管理協(xié)議刪除報文給所述對應(yīng)的接入交換機����,以指示所述 對應(yīng)的接入交換機將指定的所述MAC地址信息從與所述標識信息對應(yīng)的端口下刪除��;在線信息刪除子模塊����,用于將本地存儲的與所述殘留客戶端對應(yīng)的在線信息刪除�����。
8.根據(jù)權(quán)利要求6或7所述的認證服務(wù)器���,其特征在于�����,所述信息刪除模塊還包括第一檢測子模塊���,用于若所述查詢子模塊查詢到與對應(yīng)的接入交換機支持標準的簡單網(wǎng)絡(luò)管理協(xié)議,則檢測所述對應(yīng)的端口下是否還保存有除所述殘留客戶端外的其他在線客 戶端的信息����;第二報文發(fā)送子模塊�,用于若所述檢測子模塊的檢測結(jié)果為否�,則依次發(fā)送攜帶所述 對應(yīng)的端口的標識信息的�����、標準的關(guān)端口簡單網(wǎng)絡(luò)管理協(xié)議報文和開端口簡單網(wǎng)絡(luò)管理協(xié) 議報文給所述對應(yīng)的接入交換機�,以使所述對應(yīng)的接入交換機依次將所述對應(yīng)的端口關(guān)閉 和開啟,并指示所述在線信息刪除子模塊將本地存儲的與所述殘留客戶端對應(yīng)的在線信息 刪除��;第三報文發(fā)送子模塊��,用于若所述檢測子模塊的檢測結(jié)果為是�����,則向所述其他在線客 戶端中的任一在線客戶端發(fā)送攜帶所述殘留客戶端的MAC地址信息的模擬下線請求報文�����, 以指示接收到所述模擬下線請求報文的在線客戶端向所述對應(yīng)的接入交換機發(fā)送退出認 證請求報文�,所述退出認證請求報文中攜帶所述模擬下線請求報文中指定的殘留客戶端的 MAC地址信息,用于指示所述對應(yīng)的接入交換機將指定的MAC地址從所述對應(yīng)的端口下刪 除����。
9.根據(jù)權(quán)利要求8所述的認證服務(wù)器,其特征在于��,所述信息刪除模塊還包括第二檢測子模塊,用于在所述第三報文發(fā)送子模塊發(fā)送所述模擬下線請求報文之后��, 檢測是否在第二預(yù)設(shè)時間內(nèi)接收到接收所述模擬下線請求報文的在線客戶端針對所述模 擬下線請求報文返回的響應(yīng)報文�;識別子模塊,用于若所述第二檢測子模塊在所述第二預(yù)設(shè)時間內(nèi)未檢測到所述響應(yīng)報文���,則將未返回所述響應(yīng)報文的在線客戶端識別為所述殘留客戶端�,并指示所述第一檢測 子模塊再次檢測所述對應(yīng)的端口下是否還保存有除所述殘留客戶端外的其他在線客戶端 的信息�;指示子模塊,用于若所述第二檢測子模塊在所述第二預(yù)設(shè)時間內(nèi)檢測到所述響應(yīng)報 文���,則指示所述在線信息刪除子模塊將本地存儲的與所述殘留客戶端對應(yīng)的在線信息刪 除�����。
10.根據(jù)權(quán)利要求8所述的認證服務(wù)器��,其特征在于��,所述第三報文發(fā)送子模塊具體用于根據(jù)本地存儲的與所述其他在線客戶端各自對應(yīng)的在線時長信息�����,向在線時長最短的 在線客戶端發(fā)送所述模擬下線請求報文�����。
11.一種刪除殘留客戶端信息的系統(tǒng)�,其特征在于����,包括如權(quán)利要求6-10任一所述的認證服務(wù)器、與所述認證服務(wù)器連接的至少一個接入交 換機���;每個所述接入交換機均與至少一個客戶端連接���。
全文摘要
本發(fā)明提供一種刪除殘留客戶端信息的方法、系統(tǒng)及認證服務(wù)器����,方法包括實時地檢測對應(yīng)的各個在線客戶端在第一預(yù)設(shè)時間內(nèi)是否返回了心跳報文,該第一預(yù)設(shè)時間大于各在線客戶端周期性發(fā)送心跳報文的間隔時間�����;若檢測到任一在線客戶端在第一預(yù)設(shè)時間內(nèi)未返回心跳報文����,則識別該未返回心跳報文的在線客戶端為殘留客戶端����,并基于預(yù)設(shè)的SNMP協(xié)議功能��,控制與殘留客戶端對應(yīng)的接入交換機將殘留客戶端的MAC地址信息在對應(yīng)的端口下刪除�����。本發(fā)明通過在認證服務(wù)器中添加安全管理功能��,在檢測到殘留客戶端時����,控制對應(yīng)的接入交換機將對應(yīng)端口下的該殘留客戶端的MAC地址信息進行刪除,最大限定地解決了接入交換機上保存的殘留客戶端的信息的問題����。
文檔編號H04L12/24GK101909059SQ201010242810
公開日2010年12月8日 申請日期2010年7月30日 優(yōu)先權(quán)日2010年7月30日
發(fā)明者吳晶晶 申請人:北京星網(wǎng)銳捷網(wǎng)絡(luò)技術(shù)有限公司