CN101909056B - 客户端状态识别方法、装置及网络设备 - Google Patents
客户端状态识别方法、装置及网络设备 Download PDFInfo
- Publication number
- CN101909056B CN101909056B CN 201010235911 CN201010235911A CN101909056B CN 101909056 B CN101909056 B CN 101909056B CN 201010235911 CN201010235911 CN 201010235911 CN 201010235911 A CN201010235911 A CN 201010235911A CN 101909056 B CN101909056 B CN 101909056B
- Authority
- CN
- China
- Prior art keywords
- client
- user
- information
- authentication
- authentication request
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Abstract
本发明提供一种客户端状态识别方法、装置及网络设备,方法包括:根据客户端的第一认证请求确定在线用户列表包括有所述客户端的信息时,向所述客户端发送认证失败信息,认证失败信息包括用户检测标识;接收所述客户端发送的第二认证请求,第二认证请求是由所述客户端根据用户检测标识向接入设备发送下线请求后生成的,且第二认证请求包含用户检测标识;根据所述第二认证请求和是否接收到下线信息,识别所述客户端的状态,所述下线信息是由所述接入设备根据所述下线请求生成并发送的。本发明技术方案通过在认证信息中携带用户检测标识,以确定客户端的状态,不依赖于特定接入设备,具有较强的通用性,且可保证认证服务器的安全性。
Description
技术领域
本发明涉及网络通信技术,尤其涉及一种客户端状态识别方法、装置及网络设备。
背景技术
802.1x协议是基于客户端/服务器端(Client/Server)模式的访问控制和认证协议。802.1x协议会在客户端(例如用户或设备)获得局域网(LocalArea Network;简称为:LAN)或无线局域网(Wireless Local Area Network;简称为:WLAN)提供的各种业务之前,对连接到交换机端口的客户端进行认证,以限制未经授权的客户端通过交换机端口访问LAN或WLAN。其中,802.1x协议通过允许客户端的基于局域网的扩展认证协议(Extensible Authentication Protocol over LAN;简称为:EAPOL)数据通过交换机端口,并通过认证服务器对用户或设备进行认证。当认证通过以后,客户端的正常数据就可以顺利地通过交换机的端口来访问LAN或WLAN。
如图1所示,在802.1x认证体系中有三种角色:客户端11、接入设备12和认证服务器13。其中,客户端11是指LAN或WLAN所连接的一端的实体(entity),接入设备12是LAN或WLAN所连接的用于认证客户端11的实体(entity),一般由交换机担当该角色。认证服务器13是指为接入设备12提供认证服务的实体,以判断客户端11是否有权使用LAN或WLAN所提供的网络服务。其中,EAPOL是客户端11和接入设备12之间使用的认证协议;远程用户拨号认证协议(Remote AuthenticationDial In User Service;简称为:Radius)是一种在接入设备12和认证服务器13间传输认证、授权和配置信息的协议,通常将认证服务器称之为Radius服务器13。
使用Radius协议的802.1x系统的认证交互过程主要包括:1)客户端11通过EAPOL协议向接入设备12发出认证请求,该认证请求包含客户端11的身份信息;2)接入设备12把客户端11的身份信息通过Radius协议发送给Radius服务器13;3)Radius服务器13校验客户端11的身份,并将校验结果通过Radius协议发送给接入设备12;4)接入设备12根据校验通过结果允许客户端11接入网络;或者,根据校验失败结果拒绝客户端11接入网络;5)当客户端11停止使用网络时,通过EAPOL协议向接入设备12发送下线请求;6)接入设备12通过Radius协议向Radius服务器发送下线报文,并由Radius服务器13执行计费等操作;7)接入设备12断开客户端11与网络的连接。
通常,Radius服务器会维护一个在线用户列表,用于对通过身份校验的客户端进行管理。当客户端通过身份校验后,Radius服务器把该客户端的信息添加到在线用户列表中;当客户端下线时,将该客户端的信息从在线用户列表中删除。Radius服务器除了负责对客户端进行身份校验外,还会对通过身份校验的客户端进行计费、策略管理等操作。
在实际应用中,接入设备一般都会允许客户端进行重认证,即客户端认证已经通过,且该客户端与网络的连接尚处于联通状态,客户端仍可以发起认证。且在实际应用中,还会出现Radius协议使用的UDP报文的丢失以及接入设备的突然断电等情况,这些情况将会导致下线报文丢失。此时,Radius服务器由于未收到下线报文,不会将该客户端的信息从在线用户列表中删除,而处于这种状态的客户端通常被称为残留在线用户。而当客户端发起重认证时,或者残留在线用户发起认证时,对Radius服务器来说,都会出现在线用户列表中已经存在客户端信息,而又收到客户端的认证请求的问题。
由于Radius服务器对客户端进行的后续操作会因客户端的状态而有所不同。例如:对于计费操作,如果客户端是重认证客户端,表明客户端一直在线,则Radius服务器将会一直对该客户端进行计费;如果该客户端是残留在线用户,说明该客户端有一段时间未在线,则Radius服务器将会根据一定的计费策略识别该客户端未连接网络的时间以进行相应时段的计费,而不会对该客户端一直进行计费。而对于新客户端将执行开始计费操作。因此,Radius服务器需要区分出现上述问题的原因,即区分是由于重认证客户端导致的在线用户列表存在客户端信息时又接收到客户端的认证请求,还是由于残留在线用户导致的,以便能更加准确合理的对各认证客户端进行后续处理。
针对上述问题,现有技术通常采用以下几种方式进行处理。第一种方式为:客户端和接入设备之间通过某种协议保持心跳检测,接入设备在发现心跳中断时向Radius服务器发送下线报文,防止出现残留在线用户;第二种方式为:在客户端认证时,Radius服务器通过某种协议到接入设备上查询该客户端目前是否在线,以判断该认证客户端处于哪种状态;第三种方式为:客户端和Radius服务器之间通过某种协议保持心跳检测,一旦心跳中断,Radius服务器对该客户端执行下线处理,以防止出现残留在线用户;第四种方式为:利用Radius协议中的记账更新报文,接入设备定期向Radius服务器通报客户端在线状态,当记账更新报文停止时,Radius服务器执行下线处理,以防止出现残留在线用户。
但是,上述几种方式均存在不足,第一、第二种方式依赖于特定的接入设备,不具备通用性;第三种方式避开了接入设备,解决了通用性问题,但是Radius服务器直接暴露于客户端,容易受到攻击,Radius服务器的安全性成为新问题;第四种方式在于记账更新报文的发送间隔不能设置的太短,否则会对网络和Radius服务器造成冲击,但是若发送间隔设置较长,则将起不到监测客户端状态的作用,即如何设置合适的发送间隔成为制约该方式的因素。
发明内容
本发明提供一种客户端状态识别方法、装置及网络设备,用以解决上述现有技术识别认证客户端的状态时出现的缺陷,实现对认证客户端的状态的识别。
本发明提供一种客户端状态识别方法,包括:
根据客户端的第一认证请求确定在线用户列表包括有所述客户端的信息时,向所述客户端发送认证失败信息,所述认证失败信息中包括用户检测标识;
接收所述客户端发送的第二认证请求,所述第二认证请求是由所述客户端根据所述用户检测标识向接入设备发送下线请求后生成的,且所述第二认证请求包含所述用户检测标识;
根据所述第二认证请求和是否接收到下线信息,识别所述客户端的状态,所述下线信息是由所述接入设备根据所述下线请求生成并发送的。
本发明提供一种客户端状态识别装置,包括:
第一发送模块,用于在根据客户端的第一认证请求确定在线用户列表包括有所述客户端的信息时,向所述客户端发送认证失败信息,所述认证失败信息包括用户检测标识;
接收模块,用于接收所述客户端发送的第二认证请求,所述第二认证请求是由所述客户端根据所述用户检测标识向接入设备发送下线请求后生成的,且所述第二认证请求包括所述用户检测标识;
识别模块,用于根据所述第二认证请求和是否接收到下线信息,识别所述客户端的状态,所述下线信息是由所述接入设备根据所述下线请求生成并发送的。
本发明还提供一种网络设备,其包括本发明提供的客户端状态识别装置。
本发明的客户端状态识别方法、装置及网络设备,通过在认证失败信息中携带用户检测标识,用于表示请求身份认证的客户端信息已存在在线用户列表中,并根据接入设备是否向客户端状态识别装置发送下线信息以及客户端再次发起认证请求中的用户检测标识,确定请求身份认证的客户端的状态,即属于在哪种情况下发起身份认证的客户端。在本发明技术方案中,客户端与客户端状态识别装置之间通过接入设备进行交互,不存在客户端状态识别装置被暴露的问题;而接入设备除了起转发作用外,只需按照正常认证过程执行下线信息的发送或不发送操作,该操作并不依赖于特定接入设备,因此,可以兼容不同接入设备,具有较强的通用性。进一步,本发明技术方案是根据用户检测标识以及客户端与客户端状态识别装置之间的交互,识别客户端的状态,而不是基于客户端状态识别装置的特定报文,例如记账更新报文,对客户端在线状态进行探测来识别客户端的状态,因此,不存在设置报文发送间隔的问题。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为现有802.1x认证体系的网络拓扑结构示意图;
图2为本发明实施例一提供的客户端状态识别方法的流程图;
图3为本发明实施例二提供的一种客户端状态识别方法的流程图;
图4为本发明实施例二提供的另一种客户端状态识别方法的流程图;
图5为本发明实施例二提供的客户端状态识别方法的总体流程图;
图6为本发明实施例三提供的一种客户端状态识别装置的结构示意图;
图7为本发明实施例三提供的另一种客户端状态识别装置的结构示意图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
图2为本发明实施例一提供的客户端状态识别方法的流程图。本实施例的执行主体为客户端状态识别装置,并结合图1所示的网络结构,其中客户端状态识别装置可以为图1中的认证服务器。如图2所示,本实施例的方法包括:
步骤201,根据客户端的第一认证请求确定在线用户列表包括有该客户端的信息时,向客户端发送认证失败信息,其中认证失败信息包括用户检测标识;
具体的,客户端与客户端状态识别装置之间通过接入设备进行交互。当客户端进行身份认证时,需要向客户端状态识别装置发起身份认证请求,即本步骤201中的第一认证请求。客户端状态识别装置根据第一认证请求识别出该客户端的信息已经存在在线用户列表中,即在线用户列表中已存储有该客户端的信息。其中,用户检测标识用于表示在线用户列表中已包含有请求身份认证的客户端的信息。其中,用户检测标识可以为客户端和客户端状态识别装置预先约定的任何形式,例如可以为数据报文中的某一数据位,并设置该数据位为1。
步骤202,接收客户端发送的第二认证请求,其中第二认证请求是由客户端根据用户检测标识向接入设备发送下线请求后生成的,且第二认证请求中包含该用户检测标识;
具体的,客户端接收到客户端状态识别装置发送的认证失败信息,解析获取其中的用户检测标识,根据该用户检测标识识别出客户端状态识别装置的在线用户列表中存储有其信息,即客户端状态识别装置认为其处于在线状态。客户端向接入设备发送下线请求,并生成第二认证请求,再次向客户端状态识别装置请求身份认证。
第二认证请求为客户端第二次向客户端状态识别装置发送的认证请求,该第二认证请求与第一认证请求的区别在于,包括用户检测标识,以告知客户端状态识别装置其已了解其在客户端状态识别装置一侧的状态,即被客户端状态识别装置视为在线,并已对该情况进行了相应处理。
步骤203,根据第二认证请求和是否接收到下线信息,识别客户端的状态,其中下线信息是接入设备根据下线请求生成并发送的。
当接入设备接收到客户端发送的下线请求后,会对其执行下线处理,该下线处理具体视客户端的真实在线状态而定。当客户端在线时,接入设备将其下线,并根据下线请求生成下线信息发送给客户端状态识别装置,以供客户端状态识别装置进行相应下线处理,且可以说明该客户端为重认证客户端。当客户端不在线时,接入设备将不执行任何操作,可说明该客户端为残留在线用户。
因此,客户端状态识别装置可以根据客户端发送的第二认证请求,并结合是否接收到对该客户端进行下线处理的下线信息,判断客户端的状态。
本实施例的客户端状态识别方法,客户端状态识别装置在识别出请求身份认证的客户端的信息已存在在线用户列表时,通过向客户端发送携带用户检测标识的认证失败信息以告知该客户端;客户端根据该用户检测标识向客户端状态识别装置发出二次认证请求,并向接入设备发送下线请求;进而客户端状态识别装置根据接入设备是否向其发送下线信息以及接收到的第二认证请求达到识别客户端状态的目的。在本实施例中,客户端与客户端状态识别装置之间通过接入设备进行交互,与现有技术中客户端与Radius服务器之间进行心跳报文检测的技术方案相比,本实施例技术方案可以避免客户端状态识别装置暴露于客户端,一定程度上保证了客户端状态识别装置的安全性;且在本实施例中,并未对接入设备进行任何改动,接入设备执行的操作均为现有认证过程中的常规操作,即本实施例技术方案并不依赖于特定接入设备,因此,可以适用于任何接入设备,具有较高的通用性。进一步,本实施例的技术方案并未利用客户端状态识别装置的记账更新报文检测客户端的在线状态,因此,并不受报文发送间隔的限制。即通过本实施例技术方案不仅可以识别出客户端是在哪种情况下进行的身份认证,且可以克服现有技术中的多种缺陷。
其中,本实施例提供一种步骤201中根据客户端的第一认证请求确定在线用户列表包括有该客户端的信息的实施方式。具体包括以下步骤:
步骤2011,客户端在接入网络时,通过接入设备向客户端状态识别装置发送第一认证请求。其中第一认证请求是客户端自发发起的进行身份认证的认证请求,且第一认证请求携带有客户端的用户标识。其中,用户标识通常为客户端注册申请的用户名或用户标识(Identify;简称为ID)。另外,第一认证请求中还可以携带有客户端的网际互联协议(Internet Protocol;简称为:IP)地址、介质控制访问(Media Access Control;简称为:MAC)地址等信息。
步骤2012,客户端状态识别装置通过接入设备接收客户端发送的第一认证请求,解析获取第一认证请求中的用户标识。其中,客户端状态识别装置的在线用户列表中通常存储有在线客户端(即与网络之间的链路处于连通状态的客户端)的用户标识、客户端的IP地址、客户端的MAC地址、接入设备(即指使客户端接入网络的接入设备)的IP地址、接入设备的端口号(是指客户端连接使用的接入设备的端口)以及客户端状态识别装置本身的控制策略信息(主要负责管理控制客户端信息与其他联动系统或设备之间的交互)等。
步骤2013,客户端状态识别装置根据用户标识在在线用户列表中进行匹配;具体是指客户端状态识别装置将客户端的用户标识与在线用户列表中存储的用户标识进行比较。其中,本实施例并不限于根据用户标识进行匹配,还可以根据其他信息,例如客户端IP地址,或者用户标识和客户端MAC地址的组合等。
步骤2014,判断是否匹配到一致的用户标识;若匹配到一致的用户标识,执行步骤2015;反之,说明该客户端为正常客户端,则客户端状态识别装置按照正常认证过程对该客户端进行身份认证,并将该客户端的信息添加到在线用户列表中,并向客户端发送身份认证结果。
步骤2015,确定客户端存在该在线用户列表中。其中,客户端状态识别装置可以根据该判断结果执行后续操作,即向客户端发送认证失败信息。
其中,本实施例技术方案主要用于对发起认证请求的客户端的状态进行识别,而有关认证过程中对客户端的身份校验可以采用现有认证方式实施。在此需要说明的是,对客户端的身份校验可以在本实施例进行状态识别之后,也可以在本实施例进行状态识别之前。其中,若客户端的身份校验未通过,则不论客户端是什么状态,客户端状态识别装置都不会对该客户端进行相应处理操作(例如计费等)。因此,在本实施例进行客户端状态识别之前对客户端进行身份校验可以避免对客户端进行无效的状态识别操作,可以节约资源。因此,在本实施例中,客户端状态识别装置在接收到第一认证请求之后,确定在线用户列表中包含有客户端的信息之前(即在上述步骤2012和步骤2013之间)包括步骤2012a:根据客户端的用户标识,对客户端进行身份校验,并且只有当确定客户端的身份校验结果为通过时,才执行步骤2013;否则,将通过接入设备向客户端发送认证未通过信息,并结束操作,以节约资源。
其中,本实施例步骤203中,若客户端状态识别装置接收到接入设备发送的下线信息,则客户端状态识别装置根据该下线信息对该客户端进行下线处理(例如对连通系统或设备发送该客户端无效信息,对客户端进行计费等),并删除在线用户列表中存储的客户端对应的第一信息,即本次认证请求之前的客户端的信息;然后,在接收到客户端发送的第二认证请求时,根据其中的用户检测标识查询在线用户列表,并获知在线用户列表中此时已经不存在该客户端的信息(由于此时的在线用户列表是已经删除第一信息后的在线用户列表),则客户端状态识别装置可以根据第二认证请求和下线信息识别出该客户端为重认证客户端,并可以根据该识别结果对客户端进行后续操作。进一步,客户端状态识别装置还可以将客户端对应的第二信息(即本次认证请求对应的客户端的相关信息)记录到在线用户列表中。
其中,在本实施例步骤203中,若客户端状态识别装置未接收到接入设备发送的下线信息,则客户端状态识别装置可以根据第二认证请求中的用户检测标识查询在线用户列表,并获知在线用户列表中依然存储有该客户端对应的第一信息(由于未收到下线信息,未对该客户端进行下线处理),此时,客户端状态识别装置可以根据第二认证请求以及查询在线用户列表的结果识别出该客户端为残留在线用户,且客户端状态识别装置可以根据该识别结果相应地对该客户端进行后续处理。进一步,客户端状态识别装置还可以将在线用户列表中存储的客户端对应的第一信息删除,并将客户端对应的第二信息记录到在线用户列表中;或者根据客户端对应的第二信息,更新在线用户列表中存储的客户端对应的第一信息。通过上述操作,可以保证在线用户列表中存储有客户端的最新信息。其中,客户端多次发起认证请求时,其相关信息有可能存在相同的部分(大部分情况下客户端的信息基本是一致的),因此,用第二信息更新第一信息具有节约资源的优势,因此为一种优选方式。
在上述技术方案的基础上,本实施例的客户端状态识别方法还包括:在识别出客户端的状态之后,向客户端下发认证成功信息。具体的,当客户端通过身份校验,且根据本实施例技术方案已识别出客户端的状态,则客户端状态识别装置通过接入设备向客户端下发认证成功信息。
上述实施例主要从客户端状态识别装置的角度对本发明技术方案进行了详细介绍,下面将基于图1所示的网络结构,从多方交互的角度对本发明技术方案做进一步说明。在此说明,本发明以下各实施例可基于实施例一实现,其中对于实施例一中涉及的可有多种实施方式的技术细节,本发明以下各实施例均以优选方式为例进行说明。且本发明以下各实施例中将以客户端状态识别装置为Radius服务器、接入设备为交换机,且以Radius服务器、交换机和客户端均支持802.1x协议为例进行说明,但并不限于此。
实施例二
图3为本发明实施例二提供的一种客户端状态识别方法的流程图;图4为本发明实施例二提供的另一种客户端状态识别方法的流程图;图5为本发明实施例二提供的客户端状态识别方法的总体流程图。其中,在实施本发明方法之前,客户端与Radius服务器事先约定用户检测标识,用于表示客户端的信息是否存在Radius服务器的在线用户列表中。本实施例以在认证交互报文的特定位置增加自定义的用户检测标识,且约定当用户检测标识为“1”时,表示存在和/或需要进行在线用户列表检测;当用户检测标识为“0”或不存在时,表示不存在或不需要进行在线用户列表检测。如图3所示,本实施例的客户端状态识别方法包括:
步骤301,客户端运行802.1x认证客户端软件,输入用户名和密码发起认证请求,并以认证请求报文的形式将该认证请求信息传递给交换机。其中,认证请求报文中不设置用户检测标识或设置用户检测标识为“0”。
步骤302,交换机对该认证请求报文进行封装处理,通过Radius协议将认证请求报文发送给Radius服务器。
步骤303,Radius服务器接收并解析该认证请求报文,由于该认证请求报文中不存在用户检测标识或用户检测标识为“0”,Radius服务器将该认证请求视为普通认证请求进行处理。
步骤304,Radius服务器对客户端进行身份校验,并向客户端返回身份校验结果。其中,Radius服务器可以采用802.1x协议所支持的任何校验方式对客户端进行身份校验。图3所示为步骤304的一种实施方式,但并不限于此。具体的,该步骤304包括:
步骤304a,Radius服务器生成随机加密字并保存,将该随机加密字发送给交换机。
步骤304b,交换机将该随机加密字转发给客户端。
步骤304c,客户端接收该随机加密字,根据预先约定的处理方式(例如:加密算法)对随机加密字、用户名和密码进行处理,并将处理结果发送给交换机。
步骤304d,交换机将客户端的处理结果转发给Radius服务器。
步骤304e,Radius服务器接收交换机转发的客户端的处理结果。此时,Radius服务器会获取已存储的与用户名对应的密码以及之前保存的随机加密字;然后,采用与客户端相同的处理方式对随机加密字、用户名和密码进行处理,并将该处理结果与接收到的客户端的处理结果进行比对,从而根据比对结果完成对客户端的身份校验。其中,若比对结果不一致,则执行步骤305至步骤306;反之,则执行步骤307。
步骤305,Radius服务器向交换机发送认证失败报文。此时的认证失败报文中不包括用户检测标识,主要包括身份校验失败信息。
步骤306,交换机将该包含身份校验失败信息的认证失败报文转发给客户端,且交换机拒绝该客户端接入网络,整个认证过程结束。
步骤307,Radius服务器根据解析获取的用户名,查询在线用户列表。其中,为了更加充分说明本发明技术方案,本实施例将以在线用户列表中已存在客户端的信息为例,即Radius服务器认为该客户端在线。
步骤308,Radius服务器根据预先约定,在认证失败报文中的特定位置添加用户检测标识,并设置为“1”,然后将认证失败报文发送给交换机。此时的认证失败报文包括用户检测标识,且同时可表示客户端的身份校验通过。具体的,可以在认证失败报文中设置身份校验标识位,并由该身份校验标识位来给出客户端身份校验通过的信息;也可以根据约定的认证过程,具体通过认证失败报文中携带的用户检测标识来给出客户端的身份校验通过的信息。
步骤309,交换机接收并转发该认证失败报文给客户端。
步骤310,客户端接收认证失败报文,并解析获取其中的用户检测标识;客户端根据该用户检测标识可获知:Radius服务器视其为在线状态,即Radius服务器的在线用户列表中存储有其相关信息。且客户端可以获知其身份校验已经通过。
步骤311,客户端根据获知的情况,向交换机主机发送下线请求报文。
步骤312,交换机接收下线请求报文,并查询获取客户端的在线状态,根据查询结果进行相应操作。其中,当查询到客户端当前处于在线状态(即正处于与网络连通的状态)时,将对客户端进行正常下线处理;反之,不做任何处理。其中,本实施例将以查询到客户端处于在线状态为例进行后续操作,即执行步骤313。
步骤313,交换机向Radius服务器发送客户端下线报文。
步骤314,Radius服务器接收客户端下线报文,并根据客户端下线报文把信息已存在在线用户列表中的客户端按下线进行处理,并将在线用户列表中的该客户端的信息删除,即为图5中所示的删除在线用户,并等待以进行后续操作。
步骤315,客户端在向交换机发送下线请求报文之后,随机等待一段时间;然后,自动重新发起第二次认证,并在认证请求报文中约定的位置附加用户检测标识,并设置其值为“1”。然后,将该认证请求报文发送给交换机。
步骤316,交换机接收携带用户检测标识的认证请求报文,并转发给Radius服务器。
步骤317,Radius服务器接收认证请求报文,解析获取认证请求报文中的用户名和用户检测标识等信息,并再次对客户端进行身份校验。该步骤317的身份校验过程具体可参见步骤304a-步骤304e。在本实施例中,结合以上流程可知,此次对客户端的身份校验结果为通过,因此,Radius服务器将执行步骤318。
步骤318,Radius服务器根据认证请求报文中的用户检测标识,查询在线用户列表;由于在线用户列表中已经不存在该客户端对应的信息,则Radius服务器将该客户端按正常用户上线处理,并把该客户端的相关信息添加到在线用户列表中,即为图5中所示的添加在线用户。至此Radius服务器识别该客户端为重认证客户端。
步骤319,Radius服务器向交换机下发认证成功报文,其中该认证成功报文不包含用户检测标识或设置用户检测标识为“0”。
步骤320,交换机接收认证成功报文,并把认证成功信息转发给客户端,客户端认证成功。交换机允许该客户端接入网络,即为图5中所示的用户上线。
本实施例的客户端状态识别方法,Radius服务器可以根据客户端第一次认证请求报文中不携带用户检测标识,且查询在线用户列表获取到客户端的信息,而第二次认证请求报文中携带用户检测标识,且查询在线用户列表未获取到客户端的信息,识别该客户端为重认证客户端。Radius服务器在对该客户端完成认证后,可以基于识别出的该重认证客户端进行适应性处理。例如,根据当前客户端的信息对联动系统或设备进行信息更新等操作。
本实施例上述技术方案以重认证客户端为例说明了本发明技术方案的识别过程,进一步当客户端为残留在线用户时,本实施例技术方案的操作流程如图4所示。图4所示的流程与图3所示区别在于,在步骤312中交换机查询到客户端当前处于离线状态,且将不执行任何操作。在步骤312之前,图4所示流程与图3相同,本实施例将不再详细论述,将重点介绍步骤312以及之后的操作,具体如图4所示。
步骤312,交换机接收下线请求报文,并查询获取客户端的在线状态。交换机查询到客户端当前处于离线状态,将不执行任何操作,并将等待后续操作。
步骤413,客户端在向交换机主机发送下线请求报文之后,随机等待一段时间;之后,自动重新发起第二次认证,并在认证请求报文中约定的位置附加用户检测标识,并设置其值为“1”。然后,将该认证请求报文发送给交换机。
步骤414,交换机接收携带用户检测标识的认证请求报文,并转发给Radius服务器。
步骤415,Radius服务器接收认证请求报文,解析获取认证请求报文中的用户名和用户检测标识等信息,并再次对客户端进行身份校验。该步骤415的身份校验过程具体可参见步骤304a-步骤304e。在本实施例中,结合上述流程可知,此次对客户端的身份校验结果为通过,因此,Radius服务器将执行步骤416。
步骤416,Radius服务器根据认证请求报文中的用户检测标识,查询在线用户列表。由于未能根据客户端下线报文对在线用户列表中的客户端进行下线处理,因此查询在线用户列表仍可获取到该客户端对应的信息,则Radius服务器将该客户端按残留在线用户处理,并用客户端的当前相关信息更新在线用户列表中已存储的客户端的信息,即为图5所示的更新在线用户。至此Radius服务器识别该客户端为残留在线用户。
步骤417,Radius服务器向交换机下发认证成功报文,其中该认证成功报文不包含用户检测标识或设置用户检测标识为“0”。
步骤418,交换机接收认证成功报文,并把认证成功信息转发给客户端,客户端认证成功。交换机允许该客户端接入网络。
其中,本实施例在图3和图4所示流程中,并未涉及客户端接收到认证结果报文(包括认证失败报文或认证成功报文)时的具体操作,具体可参见图5所示。具体的,客户端接收认证结果报文,并通过判断接收到的认证结果报文的类型,以判断认证是否成功;当客户端判断出该认证结果报文为“认证成功报文”时,即可获知认证成功,该认证操作结束。当客户端判断出该认证结果报文为“认证失败报文”时,需要进一步判断“认证失败报文”是否存在有“用户检测标识”;当判断出“认证失败报文”中不存在“用户检测标识”时,可获知认证失败,则该认证操作结束;反之,当判断出“认证失败报文”中存在“用户检测标识”时,则将执行图3或图4所示步骤311,并将继续执行后续操作。其中,图5所示的整体流程主要为图3和图4所示流程的结合,具体的通过增加判断操作引出分支部分。例如:交换机判断客户端是否在线,从而引出图3和图4所示的两种情况。
本实施例的客户端状态识别方法,Radius服务器可以根据客户端第一次认证请求报文中不携带用户检测标识,且查询在线用户列表获取到客户端的信息,而第二次认证请求报文中携带用户检测标识,且查询在线用户列表仍获取到客户端的信息,识别该客户端为残留在线用户。Radius服务器在对该客户端完成认证后,可以基于识别出的残留在线用户进行适应性处理。例如,先对联动系统或设备进行客户端信息失效处理,然后,再根据当前客户端的信息对联动系统或设备进行信息配置或下发相应控制信息等操作。
通过本实施例技术方案,Radius服务器可以识别客户端是重认证客户端还是残留在线用户,进而根据识别结果对客户端的再次认证进行相应处理,避免对客户端进行误操作。例如进行计费操作时,根据本发明技术方案可以对客户端进行公平计费,保证客户端的利益。
进一步,本实施例的技术方案可以在客户端认证时实时识别客户端状态,且由上述操作流程可知,本实施例技术方案不依赖于特定的交换机,只要支持802.1x协议即可实时本发明技术方案,避免了现有一些技术方案对交换机的依赖问题,具有更强的适应性。
在此需要说明,本发明技术方案是针对802.1x认证环境提出的,但并不限于此。实际上,对于和802.1x认证有着类似的认证过程的环境,也可以采用本发明技术方案解决类似问题。且本发明技术方案可以独立应用,也可以和其他现有技术方案一起应用(例如利用记账更新报文监测客户端状态的方案),互为补充,形成更完善的技术方案。
实施例三
图6为本发明实施例三提供的一种客户端状态识别装置的结构示意图。本实施例的客户端状态识别装置可以作为认证服务器,例如Radius服务器,也可以作为认证服务器的一部分。如图6所示,本实施例的客户端状态识别装置包括:第一发送模块51、接收模块52和识别模块53。
其中,第一发送模块51,与客户端连接,具体通过接入设备(例如交换机)与客户端连接,用于在根据客户端的第一认证请求确定在线用户列表包括有该客户端的信息时,向客户端发送认证失败信息,所述认证失败信息包括用户检测标识。此处的用户检测标识用于告知客户端其信息已存在在线用户列表中,客户端状态识别装置将其视为在线。
接收模块52,第一发送模块51和客户端连接,具体通过接入设备与客户端连接,用于接收客户端发送的第二认证请求,所述第二认证请求是由客户端根据接收到的认证失败信息中的用户检测标识向接入设备发送下线请求后生成的,且该第二认证请求包括所述用户检测标识。此处的用户检测标识用于告知接收模块52客户端已获知其在客户端状态识别装置一侧的状态,并进行了相应处理,以供客户端状态识别装置进一步根据其第二认证请求进行处理。
识别模块53,分别与接收模块52和接入设备连接,用于根据接收模块52接收到的第二认证请求和是否接收到下线信息,识别客户端的状态。所述下线信息是由接入设备根据客户端向其发送的下线请求生成并发送给识别模块53的。
本实施例的客户端状态识别装置,可以用于执行本发明提供的客户端状态识别方法的流程,通过第一发送模块、接收模块和识别模块在识别到请求认证的客户端的信息已存在在线用户列表中时,通过在认证交互过程中携带用户检测标识,并结合接入设备根据客户端的下线请求是否执行发送下线信息的操作,实现对该请求认证的客户端状态的识别。与现有技术相比,本实施例的客户端状态识别装置,不直接与客户端交互,避免了其暴露于客户端的问题,一定程度上保证了其安全性;另外,本实施例的客户端状态识别装置采用在认证过程中添加用户检测标识的方式,而不是利用客户端状态识别装置的特定报文(例如记账更新报文),实现对客户端状态的识别,因此,不受报文发送间隔这一因素的限制。进一步,本实施例的客户端状态识别装置在与客户端交互时,不依赖于特定接入设备,因此,具有更强的应用环境适应性。
进一步,如图7所示,本实施例的客户端状态识别装置中的第一发送模块51包括:接收单元511、匹配单元512、确定单元513和发送单元514。其中,接收单元511,与通过接入设备与客户端连接,用于接收客户端发送的第一认证请求,所述第一认证请求包括客户端的用户标识;匹配单元512,与接收单元511连接,用于根据接收单元511接收到的第一认证请求中的用户标识在在线用户列表中进行匹配;确定单元513,与匹配单元512连接,用于在匹配单元512匹配到一致的用户标识时,确定在线用户列表中包含有该客户端的信息;发送单元514,分别与接入设备和确定单元513连接,用于在确定单元513确定在线用户列表中包含有该客户端的信息时,向客户端发送认证失败信息,具体通过接入设备向客户端发送认证失败信息。
在上述技术方案的基础上,本实施例的第一发送模块51还包括校验单元515。该校验单元515用于在接收单元511接收到第一认证请求之后,匹配单元512进行匹配操作之前(即确定在线用户列表中包含有客户端的信息之前),根据客户端的用户标识,对客户端进行身份校验,并确定客户端的身份校验结果为通过。具体对客户端进行身份校验的过程可以采用现有技术中的方式实施,本实施例不再赘述。通过该校验单元515可以将本发明的识别客户端状态的技术方案和身份校验过程相结合,以完善整个认证过程。
针对本发明方法技术方案中可以识别出的客户端状态的类别,本实施例的识别模块53可由以下结构实现,具体包括:接收子模块531、第一识别子模块532和第二识别子模块533。其中,接收子模块531,与接入设备连接,用于接收交换机在获知客户端在线时根据客户端的下线请求生成的下线信息。第一识别子模块532,分别与接收子模块531和接收模块52连接,用于在接收子模块531接收到下线信息时,根据接收模块52接收到的第二认证请求和接收子模块531接收到的下线信息,识别客户端为重认证客户端。其中,在第一识别子模块532识别客户端为重认证客户端的过程可以包括根据客户端的第二认证请求对客户端进行身份校验的子过程,以实现与现有802.1x协议的完全兼容。第二识别子模块533,分别与接收子模块531和接收模块52连接,用于在接收子模块531未接收到下线信息时,根据接收模块52接收到的第二认证请求识别客户端为在线残留用户。其中,在第二识别子模块533识别客户端为在线残留用户的过程中也包括根据客户端的第二认证请求对客户端进行身份校验的子过程,以实现与现有802.1x协议的完全兼容。
具体的,本实施例的第一识别子模块532包括:删除单元5321和识别单元5322。删除单元5321,与接收子模块531连接,用于根据接收子模块531接收到的下线信息,删除在线用户列表中存储的客户端对应的第一信息,即客户端当前认证请求之前的相关信息;识别单元5322,分别与接收模块52和删除单元5321连接,用于根据第二认证请求中的用户检测标识和删除第一信息后的在线用户列表,识别客户端为重认证客户端。
其中,上述第一识别子模块532和第二识别子模块533分别用于在客户端为重认证客户端和残留在线用户时,执行相应操作实现对客户端状态的识别。
在上述技术方案的基础上,本实施例的客户端状态识别装置还包括:记录模块54,用于在第一识别子模块532识别客户端为重认证客户端之后,将客户端对应的第二信息记录到在线用户列表中,其中第二信息是指当前认证请求下客户端的相关信息。
进一步,本实施例的客户端状态识别装置还包括:删除记录模块55和/或更新模块56。其中,删除记录模块55,用于在第二识别子模块533识别客户端为在线残留用户之后,将在线用户列表中存储的客户端对应的第一信息删除,并将客户端对应的第二信息记录到在线用户列表中,以对在线用户列表进行更新。而更新模块56,用于在第二识别子模块533识别客户端为在线残留用户之后,根据客户端对应的第二信息,更新在线用户列表中存储的客户端对应的第一信息,同样可实现对在线用户列表进行更新。
上述删除记录模块55和更新模块56分别对应在识别客户端为残留在线用户时,对在线用户列表进行更新的两种方式。具体实施时,本实施例的客户端状态识别装置可以根据具体选择的方式,选择性的设置上述模块;或者也可以同时包含上述模块,但根据选择的更新方式而选择相应模块实施。
本发明上述实施例中的各个模块,也可用于执行本发明提供的客户端状态识别方法中相应部分的流程。因此,本实施例将不对上述各个功能模块的工作原理进行再次说明,可详见方法实施例部分的相应描述。
实施例四
本发明实施例四提供一种网络设备,包括本发明实施例提供的客户端状态识别装置。其中,本实施例的网络设备可以为802.1x体系下的认证服务器,例如Radius服务器,而客户端状态识别装置作为其中一部分,设于网络设备内。在此说明,本实施例的网络设备并不限于802.1x体系下的认证服务器,也可为其他设备,进一步还可以为其他类似802.1x协议的其他协议下的设备。
由于本实施例的网络设备包括本发明的客户端状态识别装置,因此,同样可用于执行本发明的客户端状态识别方法的流程,同样可以在客户端认证时识别出客户端的状态,以对客户端做出合理处理,且同样可以克服现有技术中一些技术方案的缺陷。
本领域普通技术人员可以理解:实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成,前述的程序可以存储于一计算机可读取存储介质中,该程序在执行时,执行包括上述方法实施例的步骤;而前述的存储介质包括:ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质。
最后应说明的是:以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。
Claims (11)
1.一种客户端状态识别方法,其特征在于,包括:
客户端识别装置根据客户端的第一认证请求确定在线用户列表包括有所述客户端的信息时,向所述客户端发送认证失败信息,所述认证失败信息包括用户检测标识;
客户端识别装置接收所述客户端发送的第二认证请求,所述第二认证请求是由所述客户端根据所述用户检测标识向接入设备发送下线请求后生成的,且所述第二认证请求包含所述用户检测标识;其中,所述接入设备接收到所述下线请求后,当所述客户端在线时,接入设备将客户端下线,并根据所述下线请求生成下线信息并发送给客户端识别装置,当所述客户端不在线时,不执行任何操作;
客户端识别装置根据所述第二认证请求和是否接收到所述下线信息,识别所述客户端的状态,具体包括:
若接收到所述下线信息,识别所述客户端为重认证客户端;若未接收到所述下线信息,识别所述客户端为在线残留用户。
2.根据权利要求1所述的客户端状态识别方法,其特征在于,根据客户端的第一认证请求确定在线用户列表包括有所述客户端的信息包括:
接收所述客户端发送的所述第一认证请求,所述第一认证请求包括所述客户端的用户标识;
根据所述用户标识在所述在线用户列表中进行匹配;
当匹配到一致的用户标识时,确定所述在线用户列表包括有所述客户端的信息。
3.根据权利要求1所述的客户端状态识别方法,其特征在于,根据所述第二认证请求和所述下线信息,识别所述客户端为重认证客户端包括:
根据所述下线信息,删除所述在线用户列表中存储的所述客户端对应的第一信息;
根据所述第二认证请求中的所述用户检测标识和删除所述第一信息后的在线用户列表,识别所述客户端为所述重认证客户端。
4.根据权利要求3所述的客户端状态识别方法,其特征在于,在识别所述客户端为所述重认证客户端之后还包括:
将所述客户端对应的第二信息记录到所述在线用户列表中。
5.根据权利要求1所述的客户端状态识别方法,其特征在于,根据所述第二认证请求识别所述客户端为在线残留用户之后还包括:
将所述在线用户列表中存储的所述客户端对应的第一信息删除,并将所述客户端对应的第二信息记录到所述在线用户列表中;或者
根据所述客户端对应的第二信息,更新所述在线用户列表中存储的所述客户端对应的第一信息。
6.一种客户端状态识别装置,其特征在于,包括:
第一发送模块,用于在根据客户端的第一认证请求确定在线用户列表包括有所述客户端的信息时,向所述客户端发送认证失败信息,所述认证失败信息包括用户检测标识;
接收模块,用于接收所述客户端发送的第二认证请求,所述第二认证请求是由所述客户端根据所述用户检测标识向接入设备发送下线请求后生成的,且所述第二认证请求包括所述用户检测标识;其中,所述接入设备接收到所述下线请求后,当所述客户端在线时,接入设备将客户端下线,并根据所述下线请求生成下线信息并发送给客户端识别装置,当所述客户端不在线时,不执行任何操作;
识别模块,用于根据所述第二认证请求和是否接收到所述下线信息,识别所述客户端的状态;
所述识别模块包括:
接收子模块,用于接收所述下线信息;
第一识别子模块,用于若接收到所述下线信息,识别所述客户端为重认证客户端;
第二识别子模块,用于若未接收到所述下线信息,识别所述客户端为在线残留用户。
7.根据权利要求6所述的客户端状态识别装置,其特征在于,所述第一发送模块包括:
接收单元,用于接收所述客户端发送的所述第一认证请求,所述第一认证请求包括所述客户端的用户标识;
匹配单元,用于根据所述用户标识在所述在线用户列表中进行匹配;
确定单元,用于在匹配到一致的用户标识时,确定所述在线用户列表包括有所述客户端的信息;
发送单元,用于在确定所述在线用户列表包括有所述客户端的信息时,向所述客户端发送认证失败信息。
8.根据权利要求6所述的客户端状态识别装置,其特征在于,所述第一识别子模块包括:
删除单元,用于根据所述下线信息,删除所述在线用户列表中存储的所述客户端对应的第一信息;
识别单元,用于根据所述第二认证请求中的所述用户检测标识和删除所述第一信息后的在线用户列表,识别所述客户端为所述重认证客户端。
9.根据权利要求8所述的客户端状态识别装置,其特征在于,还包括:
记录模块,用于在识别所述客户端为所述重认证客户端之后,将所述客户端对应的第二信息记录到所述在线用户列表中。
10.根据权利要求6所述的客户端状态识别装置,其特征在于,还包括:
删除记录模块,用于在识别所述客户端为在线残留用户之后,将所述在线用户列表中存储的所述客户端对应的第一信息删除,并将所述客户端对应的第二信息记录到所述在线用户列表中;
更新模块,用于在识别所述客户端为在线残留用户之后,根据所述客户端对应的第二信息,更新所述在线用户列表中存储的所述客户端对应的第一信息。
11.一种包括权利要求6-10任一项所述的客户端状态识别装置的网络设备。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN 201010235911 CN101909056B (zh) | 2010-07-21 | 2010-07-21 | 客户端状态识别方法、装置及网络设备 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN 201010235911 CN101909056B (zh) | 2010-07-21 | 2010-07-21 | 客户端状态识别方法、装置及网络设备 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN101909056A CN101909056A (zh) | 2010-12-08 |
CN101909056B true CN101909056B (zh) | 2013-03-13 |
Family
ID=43264375
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN 201010235911 Active CN101909056B (zh) | 2010-07-21 | 2010-07-21 | 客户端状态识别方法、装置及网络设备 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN101909056B (zh) |
Families Citing this family (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2013063795A1 (zh) * | 2011-11-04 | 2013-05-10 | 华为技术有限公司 | 用户设备下线的处理方法、装置和网络系统 |
CN109714300B (zh) * | 2017-10-26 | 2021-06-11 | 中国电信股份有限公司 | 安全控制方法和系统及相关设备 |
CN109600266A (zh) * | 2018-12-21 | 2019-04-09 | 江西华兴信息产业有限公司 | 一种设备管理命令发布方法及管理设备 |
CN111031053B (zh) * | 2019-12-17 | 2022-06-21 | 迈普通信技术股份有限公司 | 身份认证方法、装置、电子设备及可读存储介质 |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1598807A (zh) * | 2003-09-17 | 2005-03-23 | 深圳市格林耐特通信技术有限责任公司 | Web认证方法 |
CN101707620A (zh) * | 2009-11-26 | 2010-05-12 | 迈普通信技术股份有限公司 | 一种检测Web认证用户重复登录的方法和系统 |
CN101771540A (zh) * | 2008-12-29 | 2010-07-07 | 中国移动通信集团公司 | 一种用户认证方法及装置和系统 |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8359646B2 (en) * | 2007-07-12 | 2013-01-22 | International Business Machines Corporation | Ensuring security of connection between thin client and client blade |
-
2010
- 2010-07-21 CN CN 201010235911 patent/CN101909056B/zh active Active
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1598807A (zh) * | 2003-09-17 | 2005-03-23 | 深圳市格林耐特通信技术有限责任公司 | Web认证方法 |
CN101771540A (zh) * | 2008-12-29 | 2010-07-07 | 中国移动通信集团公司 | 一种用户认证方法及装置和系统 |
CN101707620A (zh) * | 2009-11-26 | 2010-05-12 | 迈普通信技术股份有限公司 | 一种检测Web认证用户重复登录的方法和系统 |
Also Published As
Publication number | Publication date |
---|---|
CN101909056A (zh) | 2010-12-08 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN101515927B (zh) | 支持隔离模式的网络接入控制方法、系统及设备 | |
US9728019B2 (en) | Car control system | |
CN102271133B (zh) | 认证方法、装置和系统 | |
US20070165582A1 (en) | System and method for authenticating a wireless computing device | |
CN101986598B (zh) | 认证方法、服务器及系统 | |
CN101465862A (zh) | 认证业务切换处理方法与装置、网络设备与通信系统 | |
CN101909056B (zh) | 客户端状态识别方法、装置及网络设备 | |
CN104980400A (zh) | 一种登录接入控制方法和服务器 | |
WO2004008715A1 (en) | Eap telecommunication protocol extension | |
CN103249040A (zh) | 一种无线接入认证的方法及装置 | |
CN104581722A (zh) | 一种基于wps的网络连接方法和装置 | |
CN112671763A (zh) | 组网环境下的数据同步方法、装置、计算机设备 | |
CN104683435A (zh) | 网络系统、保持连接方法、电子设备、服务器、程序 | |
CN101616414A (zh) | 对终端进行认证的方法、系统及服务器 | |
CN109561413B (zh) | 一种ble设备的蓝牙认证授权方法及授权系统 | |
CN111404918A (zh) | 一种云手机分布式服务应急认证方法、装置及系统 | |
CN107659999A (zh) | Wifi连接方法及设备 | |
CN101594615B (zh) | 终端三重信息安全的网络化管理方法、系统及设备 | |
CN103945378B (zh) | 一种终端协同的认证方法及设备中间件 | |
CN112671708B (zh) | 认证方法及系统、portal服务器、安全策略服务器 | |
CN108024241A (zh) | 终端接入鉴权方法、系统以及鉴权服务器 | |
CN101102191B (zh) | 通用鉴权框架中确定密钥请求业务类型方法 | |
CN112333214B (zh) | 一种用于物联网设备管理的安全用户认证方法及系统 | |
CN114036576A (zh) | 一种ipsec隧道恢复方法、装置及可读存储介质 | |
CN101924636A (zh) | 相关认证信息下发方法、装置及网络设备 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant | ||
TR01 | Transfer of patent right | ||
TR01 | Transfer of patent right |
Effective date of registration: 20201223 Address after: 200030 full floor, 4 / F, 190 Guyi Road, Xuhui District, Shanghai Patentee after: Shanghai Ruishan Network Co., Ltd Address before: 100036 Beijing Haidian District City 33 Fuxing Road Cuiwei East 1106 Patentee before: Beijing Star-Net Ruijie Networks Co.,Ltd. |