CN101909059A - 删除残留客户端信息的方法、系统及认证服务器 - Google Patents
删除残留客户端信息的方法、系统及认证服务器 Download PDFInfo
- Publication number
- CN101909059A CN101909059A CN201010242810XA CN201010242810A CN101909059A CN 101909059 A CN101909059 A CN 101909059A CN 201010242810X A CN201010242810X A CN 201010242810XA CN 201010242810 A CN201010242810 A CN 201010242810A CN 101909059 A CN101909059 A CN 101909059A
- Authority
- CN
- China
- Prior art keywords
- client
- online
- residual
- information
- access switch
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Abstract
本发明提供一种删除残留客户端信息的方法、系统及认证服务器,方法包括:实时地检测对应的各个在线客户端在第一预设时间内是否返回了心跳报文,该第一预设时间大于各在线客户端周期性发送心跳报文的间隔时间;若检测到任一在线客户端在第一预设时间内未返回心跳报文,则识别该未返回心跳报文的在线客户端为残留客户端,并基于预设的SNMP协议功能,控制与残留客户端对应的接入交换机将残留客户端的MAC地址信息在对应的端口下删除。本发明通过在认证服务器中添加安全管理功能,在检测到残留客户端时,控制对应的接入交换机将对应端口下的该残留客户端的MAC地址信息进行删除,最大限定地解决了接入交换机上保存的残留客户端的信息的问题。
Description
技术领域
本发明涉及认证技术,尤其涉及一种删除残留客户端信息的方法、系统及认证服务器,属于网络通信技术领域。
背景技术
随着网络技术的不断发展,对客户端进行身份认证已成为计算机访问网络业务时、为了防止网络应用中各种非法侵入行为及不当行为的一个必不可少的步骤。802.1x认证协议是一种常见的基于客户端/服务器的访问控制和认证协议,802.1x认证采用基于端口的网络存取控制,为局域网客户端提供点对点式的安全接入。
在802.1x认证机制中,当客户端需要访问网络提供的某项业务时,将通过接入设备向认证服务器发送携带认证信息的认证请求,认证服务器根据该认证信息对该客户端进行认证且通过后,将通知对应的接入设备将该已通过认证的客户端的介质访问控制(Medium Access Control,简称MAC)地址信息添加在对应端口下。从而当该客户端进行网络访问时,对应的接入设备根据对应端口下记录的该MAC地址信息,能够放行该客户端的网络访问请求数据,使得该客户端能够正常地访问网络。而相反地,当客户端需要退出网络访问时,将通过接入设备向认证服务器发送相应的退出认证信息,认证服务器在确认通过后,将通知接入设备将请求退出认证的客户端的MAC地址信息从对应端口下删除,从而客户端将无法继续使用网络。
可见,在802.1x认证机制中,接入设备对客户端的网络访问权限控制,是通过在相应的端口下添加或删除该客户端的MAC地址信息而实现的,当某一端口下记录有某客户端的MAC地址信息时,该客户端将能够通过该端口对网络进行访问,而当接入设备的任一端口下均未记录有某客户端的MAC地址信息时,该客户端将不能通过该接入设备进行网络访问。
通常情况下,认证客户端将根据实际需求发送认证请求或退出认证请求给认证服务器,以请求对应的接入设备将自身的MAC地址信息在相应的端口下添加或删除。但是除此之外实际应用中还会出现多种异常情况,例如当客户端所在的计算机出现病毒入侵时,恶意程序可能会在进程中强行关闭认证客户端,或是用户因为疏忽在未退出认证时便直接关闭计算机,认证客户端也会被强行关闭。
客户端在被异常强行关闭时,认证软件将不会发送退出认证请求至认证服务器,从而认证服务器也不会指示对应的接入设备将该客户端的MAC地址信息从对应端口删除。这些残留在接入设备中的地址信息不仅大量占用浪费了接入交换机的存储资源,当其它的用户使用这台计算机时,还将不需要再重新认证就可以继续使用网络。尤其当客户端的认证软件还提供了除认证外的其它功能,例如计算机的安全防护功能、客户端的上网计费功能等功能时,认证客户端被强行关闭的计算机还能逃开管理员的控制,造成安全隐患或是逃费等现象。
发明内容
本发明提供一种删除残留客户端信息的方法、系统及认证服务器,用以解决现有的802.1x认证的网络环境下,当接入交换机上残留有未退出认证但关闭了认证软件的客户端的MAC地址信息时,这些残留信息不仅占用了接入交换机的存储资源,而且还有可能引起非法用户利用未退出认证的残留客户端进行非法网络访问的问题。
为实现上述目的,本发明提供一种删除残留客户端信息的方法,包括:
实时地检测对应的各个在线客户端在第一预设时间内是否返回了心跳报文,所述第一预设时间大于所述在线客户端周期性发送所述心跳报文的间隔时间;
若检测到任一所述在线客户端在所述第一预设时间内未返回所述心跳报文,则识别未返回所述心跳报文的所述在线客户端为残留客户端;
基于预设的简单网络管理协议功能,控制与所述残留客户端对应的接入交换机将所述残留客户端的MAC地址信息在对应的端口下删除。
为实现上述目的,本发明还提供一种认证服务器,包括:
检测模块,实时地检测对应的各个在线客户端在第一预设时间内是否返回了心跳报文,所述第一预设时间大于所述在线客户端周期性发送所述心跳报文的间隔时间;
识别模块,用于若所述检测模块检测到任一所述在线客户端在所述第一预设时间内未返回所述心跳报文,则识别未返回所述心跳报文的所述在线客户端为残留客户端;
信息删除模块,用于基于预设的简单网络管理协议功能,控制与所述残留客户端对应的接入交换机将所述残留客户端的MAC地址信息在对应的端口下删除。
为实现上述目的,本发明还提供一种删除残留客户端信息的系统,包括:
上述的认证服务器、与所述认证服务器连接的至少一个接入交换机;每个所述接入交换机均与至少一个客户端连接。
本发明提供的删除残留客户端信息的方法、系统及认证服务器,通过在认证服务器中添加安全管理功能,对所有接入交换机的信息进行管理,并在正常环境下由在线客户端定时向认证服务器发送心跳报文,当认证服务器在限定时间内未接收到在线客户端发送的心跳报文时,确认该未定时发送心跳报文的客户端为已退出认证的残留客户端,并根据自身预设的安全管理功能,控制对应的接入交换机将对应端口下的该残留客户端的MAC地址信息进行删除,以对管理的接入交换机下的残留MAC地址信息进行清理,从而最大限定地解决了接入交换机上保存的残留客户端的信息的问题,避免了接入交换机上不必要的存储资源的浪费占用,同时避免了非法用户利用未退出认证的客户端进行网络访问而带来的安全隐患。
附图说明
为了更清楚地说明本发明或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1为本发明删除残留客户端信息的方法实施例一的流程图;
图2为本发明删除残留客户端信息的方法实施例二的流程图;
图3为本发明认证服务器实施例一的结构示意图;
图4为本发明认证服务器实施例二的结构示意图;
图5为本发明删除残留客户端信息的系统实施例的结构示意图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
图1为本发明删除残留客户端信息的方法实施例一的流程图,如图1所示,本实施例具体包括如下步骤:
步骤100,实时地检测对应的各个在线客户端在第一预设时间内是否返回了心跳报文,该第一预设时间大于在线客户端周期性发送心跳报文的间隔时间;
在网络认证体制中,当客户端的认证软件实质已经被关闭,但是却未通过对应的接入交换机向认证服务器发送退出认证消息时,该对应的接入交换机的对应端口下将仍然残留保存该被关闭认证软件的客户端的MAC地址信息,这些残留的MAC地址信息不仅占用了接入交换机的存储资源,而且由于接入交换机是基于在端口下保存客户端的MAC地址信息,来实现对客户端的网络访问权限控制,因而这些残留的MAC地址信息还会引起其他用户无需经过重新认证便能直接使用这台计算机进行网络访问的安全隐患。
为了解决上述问题,即为了及时对接入交换机的各端口下残留的客户端的MAC地址信息进行删除,在本发明中,为已通过认证的在线客户端设置了向认证服务器发送心跳报文的功能,即已通过认证的每个在线客户端均必须周期性地向认证服务器发送用于表明该客户端仍然在线的心跳报文。同时,在认证服务器端,认证服务器根据在预设时间内是否接收到各个在线客户端发送的心跳报文,而分别对各在线客户端是否为已退出认证的残留客户端进行检测。
具体地,在本发明中,称认证服务器用于检测在线客户端是否返回了心跳报文的检测时间为第一预设时间。通常而言,为了保证检测的准确合理性,该第一预设时间会大于各在线客户端周期性发送心跳报文的间隔时间。且优化地,考虑到当网络出现堵塞时在线客户端发送的心跳报文可能会在途中出现丢包而导致重发的现象,以及各种其他的异常现象,该第一预设时间通常可以根据经验值设置为3倍的心跳报文的发送间隔时间,以为各种异常现象的发生预留一定的时间,从而保证检测结果的准确性。
步骤101,若检测到任一在线客户端在第一预设时间内未返回心跳报文,则识别未返回心跳报文的在线客户端为残留客户端;
步骤102,基于预设的简单网络管理协议功能,控制与残留客户端对应的接入交换机将残留客户端的MAC地址信息在对应的端口下删除。
而当认证服务器通过对心跳报文的检测,检测到对应的某一在线客户端在第一预设时间内还未返回心跳报文时,由于认证服务器用于检测心跳报文的第一预设时间为充足考虑到心跳报文的各种发送异常现象而设置的时间,因此认证服务器根据该检测结果可以识别到该未及时返回心跳报文的客户端为对应的接入交换机上的残留客户端。从而认证服务器可以控制与该识别出的残留客户端对应的接入交换机将该残留客户端的MAC地址信息、在对应的端口下删除,以实现及时准确地清除接入交换机上残留的残留客户端信息的功能。
具体地,本发明中,认证服务器可以通过在自身及对应的接入交换机上设置简单网络管理协议(Simple Network Management Protocol,简称SNMP)功能,以实现对接入交换机上指定的MAC地址信息的控制删除。具体地,SNMP协议是由互联网工程任务组(Internet Engineering Task Force,简称IETF)定义的一套网络管理协议,利用SNMP协议制定的报文,管理服务器(本发明中指认证服务器)可以实现对支持这种协议的网络设备(本发明中指接入交换机)的远程管理控制功能,其中包括监视网络状态、修改网络设备配置、接收网络事件警告等功能。因而,基于预设的该SNMP功能,认证服务器可以控制管理对应的接入交换机的配置信息,包括控制删除接入交换机上指定的MAC地址信息。
本实施例的删除残留客户端信息的方法,通过在认证服务器中添加安全管理功能,对所有接入交换机的信息进行管理,并在正常环境下由在线客户端定时向认证服务器发送心跳报文,当认证服务器在限定时间内未接收到在线客户端发送的心跳报文时,确认该未定时发送心跳报文的客户端为已退出认证的残留客户端,并根据自身预设的安全管理功能,控制对应的接入交换机将对应端口下的该残留客户端的MAC地址信息进行删除,以对管理的接入交换机下的残留MAC地址信息进行清理,从而最大限定地解决了接入交换机上保存的残留客户端的信息的问题,避免了接入交换机上不必要的存储资源的浪费占用,同时避免了非法用户利用未退出认证的客户端进行网络访问而带来的安全隐患。
图2为本发明删除残留客户端信息的方法实施例二的流程图,如图2所示,本实施例具体包括如下步骤:
步骤200,实时地检测对应的各个在线客户端在第一预设时间内是否返回了心跳报文;
步骤201,若检测到任一在线客户端在第一预设时间内未返回心跳报文,则查询与该残留客户端对应的接入交换机支持SNMP协议的类型,若支持自定义的SNMP协议则执行步骤202,若支持标准的SNMP协议则执行步骤204;
本实施例中仍然采用由在线客户端周期性地发送心跳报文,且由认证服务器实时地检测各在线客户端是否在限定时间内返回心跳报文的方法,来检测对应的接入交换机上是否残留有已退出认证的客户端信息,同时为了最大限度地解决各种应用方案下接入交换机上残留客户端的问题,在本实施例中,还针对对应的接入交换机支持SNMP协议的不同类型,针对对应的接入交换机所处的不同网络拓扑环境,控制接入交换机采用不同的信息删除方案,对可能存在的残留客户端的MAC地址信息进行清理。
具体地,当认证服务器检测到管理的某一在线客户端在限定时间未返回预定的心跳报文,即检测到一个残留客户端时,为了为该残留客户端选择合适的MAC地址信息删除方案,以在对应的接入交换机上对该残留客户端的MAC地址信息进行删除,认证服务器将首先根据自身预存的对所有接入交换机的配置管理信息,查询与该残留客户端对应的接入交换机所支持的SNMP协议的类型。
具体地,在本实施例中,为了实现认证服务器对接入交换机的SNMP管理功能,认证服务器中预先存储了网络中对应的所有接入交换机的相关配置信息,其中包括接入交换机的地址信息、各接入交换机与各在线客户端的对应信息,各接入交换机所支持的SNMP协议的类型信息等。基于这些配置信息,认证服务器在检测到一个残留客户端时,可以查询到与该残留客户端对应的接入交换机,并查询到该对应的接入交换机所支持的SNMP协议类型。而此处所述的查询该接入交换机所支持的SNMP协议类型,具体指认证服务器查询该对应的接入交换机是支持自定义的SNMP协议或是支持标准的SNMP协议的类型。
在本实施例中,所谓接入交换机的自定义SNMP协议类型是指为了实现认证服务器对接入交换机的更为简单有效的管理控制,而在接入交换机和认证服务器之间自定义配置的一系列的SNMP协议报文及SNMP协议功能。由于在标准的SNMP协议中,认证服务器对接入交换机的控制操作通常需要按照标准协议中定义的一系列复杂处理流程而进行,因而在本发明中,为了降低接入交换机对残留客户端的MAC地址信息的删除操作的复杂度,在认证服务器和接入交换机之间协商了一套自定义的SNMP协议报文。基于该自定义的SNMP报文,支持自定义的SNMP协议的接入交换机可以直接地响应该自定义SNMP报文,进行指定的操作,例如对MAC地址信息的删除操作,而无需参照标准的SNMP协议中所定义的复杂操作流程,从而大大加快了对残留客户端信息的删除速度。
步骤202,发送自定义的SNMP删除报文给与残留客户端对应的接入交换机,该自定义的SNMP删除报文中携带残留客户端的MAC地址信息和对应端口的标识信息;
步骤203,将本地存储的与残留客户端对应的在线信息删除;
因而,若认证服务器通过查询得知与残留客户端对应的接入交换机支持自定义的SNMP协议类型时,为了指示该对应的接入交换机快速地对该残留客户端的MAC地址信息进行删除,认证服务器将发送自定义的SNMP删除报文给该对应的接入交换机。该自定义的SNMP删除报文中携带要求删除的残留客户端的MAC地址信息、以及该残留客户端在对应的接入交换机上对应的端口的标识信息,用于指示对应的接入交换机将指定端口下指定的残留客户端的MAC地址删除。
具体地,对于认证服务器而言,在任一用户基于认证客户端通过了认证服务器的认证后,认证服务器将会在本地记录一条与该通过认证的客户端相关的在线信息,该在线信息包括通过该已认证的客户端的认证信息、与接入交换机的对应信息、以及在接入交换机上对应的接入端口的端口标识信息等。因而在认证服务器检测到一残留客户端时,根据本地存储的这些在线信息,能够查询到与残留客户端对应的接入交换机,以及查询到残留客户端在该接入交换机上的对应的端口的标识信息,从而认证服务器可以根据查询到的该对应端口的标识信息,向对应的接入交换机发送自定义的SNMP删除报文。
对应的接入交换机接收到该自定义的SNMP删除报文后,响应该SNMP删除报文,直接在该SNMP删除报文中指定的端口标识信息对应的端口下,将指定的残留客户端的MAC地址信息删除,从而实现了支持自定义的SNMP协议的接入交换机对残留客户端信息的快速删除。
进一步地,在向查询到的对应接入交换机发送了自定义的SNMP删除报文,且对应的接入交换将指定端口下指定的残留客户端的MAC地址信息进行删除之后,为了保证认证服务器中存储的在线信息的准确性,认证服务器还同步地将本地存储的与残留客户端相关的在线信息进行删除。
步骤204,检测对应的接入交换机的对应端口下是否保存有除残留客户端外的其他在线客户端的信息,若否则执行步骤205,若是则执行步骤206;
而若在上述步骤201中,认证服务器检测到与残留客户端对应的接入交换机支持的是标准的SNMP协议时,认证服务器不能再利用自定义的SNMP报文控制对应的接入交换机进行快速的MAC地址信息的删除,而是只能基于标准的SNMP协议定义的处理流程,对接入交换机中对应端口下的残留客户端MAC地址信息进行控制删除操作。
具体地,认证服务器将进一步地检测该与残留客户端对应的接入交换机中,在与残留客户端对应的端口是否还保存记录有除该残留客户端外的其他在线客户端的信息,即查询对应的接入交换机的对应端口下除了接入有该残留客户端外,是否还对应管理有其他的在线客户端。具体地,认证服务器将根据本地存储管理的对应所有在线客户端的在线信息,对这一结果进行检测查询。
而在本实施例中,认证服务器进行该检测查询步骤的目的在于:由于基于标准的SNMP协议的定义,接入交换机对某端口下所有在线客户端的MAC地址信息的删除可以通过依次对该端口进行关闭和重开启操作予以实现,即若接入交换机关闭又重开启其中的某一端口时,该端口下保存的所有在线客户端的MAC地址信息均将被删除。因而若支持标准的SNMP协议的接入交换机需要通过这一方法实现对指定端口的指定残留客户端的MAC地址信息的删除时,必须保证该端口下除保存有该残留客户端的信息外,没有额外保存其他的在线客户端的地址信息,否则将会误将其他的合法在线客户端的MAC地址信息从该端口下删除,而影响合法在线客户端的网络访问行为。
步骤205,依次发送携带对应的端口的标识信息的、标准的关端口SNMP报文和开端口SNMP报文给对应的接入交换机,以使对应的接入交换机依次将对应的端口进行关闭和开启操作,并返回执行步骤203;
因而,若认证服务器通过检测得知与残留客户端对应的接入交换机中的对应端口下,仅保存有该残留客户端的地址信息时,认证服务器向该对应的接入交换机依次发送标准的关端口SNMP报文和开端口SNMP报文,该关端口SNMP报文和开端口SNMP报文中分别携带了与残留客户端对应的端口的标识信息,以指示对应的接入交换机根据接收到的SNMP报文依次对指定的端口进行相应的端口关闭和开启操作。
进一步地,与向对应接入交换机依次发送了标准的关端口SNMP报文和开端口SNMP报文后,为了保证认证服务器中存储的在线信息的准确性,认证服务器还同步地将本地存储的与残留客户端相关的在线信息进行删除。
而对应的接入交换机在依次接收到了该标准的关端口SNMP报文和开端口SNMP报文后,响应接收到的该标准的SNMP报文,依次对SNMP报文中指定的标识信息对应的端口进行关闭和重开启操作,在重新开启了该指定的端口后,该接入交换机的该指定端口下所有的在线客户端的MAC地址信息,即该指定端口下的残留客户端的MAC地址信息将被清除,从而同样达到了删除接入交换机中残留客户端的MAC地址信息的效果。
步骤206,向对应端口下除残留客户端之外的任一在线客户端发送携带残留客户端的MAC地址信息的模拟下线请求报文;
而若在上述步骤204中,认证服务器通过检测得知与残留客户端对应的接入交换机中的对应端口下,除了保存有该残留客户端的地址信息外,还保存有其他合法在线客户端的地址信息时,明显地在此情况下认证服务器不能通过控制接入交换机对指定端口依次进行关闭重开启操作来对残留客户端的MAC地址信息进行删除。在此情况下,认证服务器将向该接入交换机与残留客户端对应的端口下、除残留客户端之外的任一在线客户端发送模拟下线请求报文,在该模拟下线请求报文中,认证服务器将携带指定删除的残留客户端的MAC地址信息,而该模拟下线请求报文的作用在于指示接收到该模拟下线请求报文的在线客户端向对应的接入交换机发送退出认证请求报文。
优选地,在本实施例中,认证服务器发送模拟下线请求报文时,除了可以在多个合法在线客户端中任选一个之外,还可以根据本地存储的与各合法在线客户端各自对应的在线时长信息,选取在线时长最短的在线客户端,进行模拟下线请求报文的发送。通常而言,由于该在线时长最短的在线客户端通常为该端口下最后一个上线的客户端,因而认证服务器选取此在线客户端进行模拟下线请求报文的发送,能够最大几率地保证选取的在线客户端并非也为该端口下的一个残留客户端。
但是需要了解的是,上述的选取在线时长最短的在线客户端发送模拟下线请求报文的方法,并非唯一地保证选取的在线客户端并非为该端口下的一个残留客户端的方法,实际应用中,认证服务器还可以根据其他的信息,基于其他的方法进行发送模拟下线请求报文的在线客户端的选取,只要能够保证选取的在线客户端并非为该端口下的一个残留客户端,都可以应用在本发明中。
步骤207,检测接收模拟下线请求报文的在线客户端是否在第二预定时间内返回响应报文,若是则返回执行步骤203,若否则执行步骤208;
而接收到模拟下线请求报文的在线客户端接收到该携带残留客户端的MAC地址信息的模拟下线请求报文后,若该在线客户端并非是一个残留客户端,即该客户端的认证客户端软件没有被恶意程序强行关闭,也没有因直接关机而强行关闭,该在线客户端的认证客户端软件将会响应该模拟下线请求报文,向认证服务器返回一个响应报文,以告知认证服务器其已成功接收到模拟下线请求报文。同时该合法在线客户端将依据模拟下线请求报文的指示,向对应的接入交换机发送退出认证请求报文,该退出认证请求中携带该合法在线客户端接收到的模拟下线请求报文中指定的残留客户端的MAC地址信息。而接收到该退出认证请求报文的接入交换机也将根据该退出认证请求报文,将退出认证请求报文中指定的残留客户端的MAC地址信息从对应端口下删除,具体指从与发送退出认证请求报文的在线客户端对应的端口下删除,从而认证服务器将成功地完成了在对应接入交换机的对应端口下删除残留客户端的MAC地址信息的操作。
因而,根据对在线客户端是否在预定的时间内返回了响应报文进行检测,认证服务器还可以进一步获知该接收模拟下线请求报文的在线客户端是否也为一残留客户端,或者是否发已经成功地进行了退出认证请求报文的发送。在本实施例中,称检测在线客户端是否返回了响应报文的预定时间为第二预定时间。
而若在第二预定时间内,认证服务器接收到了接收模拟下线请求报文的在线客户端返回的响应报文,据此认证服务器可以得知该在线客户端已经通过向接入交换机发送退出认证请求报文,指示接入交换机成功进行了指定的残留客户端的MAC地址信息的删除。于是认证服务器根据此消息,返回执行上述步骤203,及时地将本地存储的与该残留客户端对应的在线信息进行删除,保证本地存储的在线信息的准确性。
步骤208,将未返回响应报文的在线客户端识别为所述残留客户端,并返回执行步骤204;
而若在预定的延迟时间内,认证服务器还未接收到接收模拟下线请求报文的在线客户端返回的响应报文,这代表接收模拟下线请求报文的在线客户端也为一个残留客户端,因而认证服务器将根据该检测结果,识别未返回响应报文的该在线客户端同样为一残留客户端,并返回至执行上述步骤204中的检测与残留客户端对应的端口下是否还保存有除残留客户端外的其他在线客户端的信息的操作。
而若通过再次检测,认证服务器得知接入交换机的对应端口下除了残留客户端外,还存在其他在线客户端时,认证服务器将再次选取任一的在线客户端进行模拟下线请求报文的发送,并在该模拟下线请求报文中携带检测到的两个或多个的残留客户端的MAC地址信息,以此同时将两个或多个的残留客户端的MAC地址信息从接入交换机的对应端口下删除。
而若通过再次检测,认证服务器得知接入交换机的对应端口下除了残留客户端外,已未存在任何其他合法在线客户端时,认证服务器将执行上述步骤205,通过控制对应的接入交换机依次关闭及重开启对应端口的方法,一次性地将接入交换机对应端口下所有的残留客户端的MAC地址信息清除。而无论对应上述哪种情况,认证服务器最终均将成功地将检测到的接入交换机上残留客户端的MAC地址信息删除。
本实施例的删除残留客户端信息的方法,通过在认证服务器中添加安全管理功能,对所有接入交换机的信息进行管理,并在正常环境下由在线客户端定时向认证服务器发送心跳报文,当认证服务器在限定时间内未接收到在线客户端发送的心跳报文时,确认该未定时发送心跳报文的客户端为已退出认证的残留客户端,并根据自身预设的安全管理功能,控制对应的接入交换机将对应端口下的该残留客户端的MAC地址信息进行删除,以对管理的接入交换机下的残留MAC地址信息进行清理,从而最大限定地解决了接入交换机上保存的残留客户端的信息的问题,避免了接入交换机上不必要的存储资源的浪费占用,同时避免了非法用户利用未退出认证的客户端进行网络访问而带来的安全隐患。
进一步地,本实施例中,当认证服务器检测到残留客户端的存在时,还根据自身存储的对应不同交换机类型的信息,针对管理的不同类型的交换机以及不同的网络拓扑环境,控制接入交换机采用不同的清理方案对可能存在的残留客户端进行不同的MAC地址清理,从而最大限定地解决了各种应用方案下接入交换机上残留客户端的问题。
本领域普通技术人员可以理解:实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成,前述的程序可以存储于一计算机可读取存储介质中,该程序在执行时,执行包括上述方法实施例的步骤;而前述的存储介质包括:ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质。
图3为本发明认证服务器实施例一的结构示意图,如图3所示,本实施例的认证服务器至少包括检测模块11、识别模块12和信息删除模块13。其中,检测模块11用于实时地检测对应的各个在线客户端在第一预设时间内是否返回了心跳报文,该第一预设时间大于在线客户端周期性发送心跳报文的间隔时间;而识别模块12用于若检测模块11检测到任一在线客户端在第一预设时间内未返回心跳报文时,则识别未返回心跳报文的在线客户端为残留客户端;而信息删除模块13则用于基于预设的SNMP协议功能,控制与残留客户端对应的接入交换机将残留客户端的MAC地址信息在对应的端口下删除。
具体地,本实施例中的上述所有模块所涉及的具体工作过程,可以参考本发明上述删除残留客户端信息的方法所涉及的相关实施例揭露的相关内容,在此不再赘述。
本实施例的认证服务器,通过添加安全管理功能,对所有接入交换机的信息进行管理,并在正常环境下由在线客户端定时向认证服务器发送心跳报文,当认证服务器在限定时间内未接收到在线客户端发送的心跳报文时,确认该未定时发送心跳报文的客户端为已退出认证的残留客户端,并根据自身预设的安全管理功能,控制对应的接入交换机将对应端口下的该残留客户端的MAC地址信息进行删除,以对管理的接入交换机下的残留MAC地址信息进行清理,从而最大限定地解决了接入交换机上保存的残留客户端的信息的问题,避免了接入交换机上不必要的存储资源的浪费占用,同时避免了非法用户利用未退出认证的客户端进行网络访问而带来的安全隐患。
图4为本发明认证服务器实施例二的结构示意图。如图4所示,在上述实施例的基础上,本实施例的认证服务器中,信息删除模块13还可以包括查询子模块131、第一报文发送子模块132和在线信息删除子模块133。
其中,查询子模块131用于查询与残留客户端对应的接入交换机是支持自定义的SNMP协议或标准的SNMP协议;第一报文发送子模块132用于若查询子模块131查询到对应的接入交换机支持自定义的SNMP协议时,则发送携带残留客户端的MAC地址信息和对应的端口的标识信息的、自定义的SNMP删除报文给对应的接入交换机,以指示对应的接入交换机将与标识信息对应的端口下的指定MAC地址信息删除;而在线信息删除子模块133则用于将本地存储的与残留客户端对应的在线信息删除。
进一步地,除了上述子模块之外,本实施例中,信息删除模块13还可以包括第一检测子模块134、第二报文发送子模块135和第三报文发送子模块136。
其中,第一检测子模块134用于若查询子模块131查询到与残留客户端对应的接入交换机支持标准的SNMP协议时,则检测与残留客户端对应的端口下是否还保存有除残留客户端外的其他在线客户端的信息;
第二报文发送子模块135用于当第一检测子模块134的检测结果为否时,则依次发送携带对应的端口的标识信息的、标准的关端口SNMP报文和开端口SNMP报文给对应的接入交换机,以使对应的接入交换机依次将对应的端口关闭和开启,并指示在线信息删除子模块133将本地存储的与残留客户端对应的在线信息删除;
第三报文发送子模块136则用于当第一检测子模块134的检测结果为是时,则向对应端口下其他在线客户端中的任一在线客户端发送携带残留客户端的MAC地址信息的模拟下线请求报文,以指示接收到模拟下线请求报文的在线客户端向对应的接入交换机发送退出认证请求报文,该退出认证请求报文中携带模拟下线请求报文中指定的残留客户端的MAC地址信息,用于指示对应的接入交换机将对应的端口下指定的MAC地址信息删除。
更进一步地,本实施例中,信息删除模块13还可以包括第二检测子模块137、识别子模块138和指示子模块139。
其中,第二检测子模块137用于在第三报文发送子模块136发送了模拟下线请求报文之后,检测是否在第二预设时间内接收到接收模拟下线请求报文的在线客户端针对该模拟下线请求报文返回的响应报文;识别子模块138用于若第二检测子模块137在第二预设时间内未检测到上述响应报文,则将未返回响应报文的在线客户端识别为残留客户端,并指示第一检测子模块134再次检测对应的端口下是否还保存有除残留客户端外的其他在线客户端的信息;而指示子模块139则用于若第二检测子模块137在第二预设时间内检测到上述响应报文,则指示在线信息删除子模块133将本地存储的与残留客户端对应的在线信息删除。
进一步地,上述第三报文发送子模块136具体可以用于根据本地存储的与对应端口除残留客户端外的其他在线客户端各自对应的在线时长信息,向在线时长最短的在线客户端发送模拟下线请求报文。
具体地,本实施例中的上述所有模块所涉及的具体工作过程,同样可以参考本发明上述删除残留客户端信息的方法所涉及的相关实施例揭露的相关内容,在此不再赘述。
本实施例的认证服务器,通过添加安全管理功能,对所有接入交换机的信息进行管理,并在正常环境下由在线客户端定时向认证服务器发送心跳报文,当认证服务器在限定时间内未接收到在线客户端发送的心跳报文时,确认该未定时发送心跳报文的客户端为已退出认证的残留客户端,并根据自身预设的安全管理功能,控制对应的接入交换机将对应端口下的该残留客户端的MAC地址信息进行删除,以对管理的接入交换机下的残留MAC地址信息进行清理,从而最大限定地解决了接入交换机上保存的残留客户端的信息的问题,避免了接入交换机上不必要的存储资源的浪费占用,同时避免了非法用户利用未退出认证的客户端进行网络访问而带来的安全隐患。
进一步地,本实施例中,当认证服务器检测到残留客户端的存在时,还根据自身存储的对应不同交换机类型的信息,针对管理的不同类型的交换机以及不同的网络拓扑环境,控制接入交换机采用不同的清理方案对可能存在的残留客户端进行不同的MAC地址清理,从而最大限定地解决了各种应用方案下接入交换机上残留客户端的问题。
图5为本发明删除残留客户端信息的系统实施例的结构示意图。如图5所示,本实施例的删除残留客户端信息的系统包括:上述的认证服务器1、与认证服务器1连接的至少一个接入交换机2(图中仅示出两个)、每个接入交换机2均与至少一个客户端3连接(图中仅示出两个)。
具体地,本实施例中的认证服务器所包含的所有模块以及所有模块所涉及的具体工作过程,可以参考本发明上述删除残留客户端信息的方法以及认证服务器所涉及的相关实施例揭露的相关内容,在此不再赘述。
本实施例的删除残留客户端信息的系统,通过添加安全管理功能,对所有接入交换机的信息进行管理,并在正常环境下由在线客户端定时向认证服务器发送心跳报文,当认证服务器在限定时间内未接收到在线客户端发送的心跳报文时,确认该未定时发送心跳报文的客户端为已退出认证的残留客户端,并根据自身预设的安全管理功能,控制对应的接入交换机将对应端口下的该残留客户端的MAC地址信息进行删除,以对管理的接入交换机下的残留MAC地址信息进行清理,从而最大限定地解决了接入交换机上保存的残留客户端的信息的问题,避免了接入交换机上不必要的存储资源的浪费占用,同时避免了非法用户利用未退出认证的客户端进行网络访问而带来的安全隐患。
最后应说明的是:以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。
Claims (11)
1.一种删除残留客户端信息的方法,其特征在于,包括:
实时地检测对应的各个在线客户端在第一预设时间内是否返回了心跳报文,所述第一预设时间大于所述在线客户端周期性发送所述心跳报文的间隔时间;
若检测到任一所述在线客户端在所述第一预设时间内未返回所述心跳报文,则识别未返回所述心跳报文的所述在线客户端为残留客户端;
基于预设的简单网络管理协议功能,控制与所述残留客户端对应的接入交换机将所述残留客户端的MAC地址信息在对应的端口下删除。
2.根据权利要求1所述的删除残留客户端信息的方法,其特征在于,所述控制与所述残留客户端对应的接入交换机将所述残留客户端的MAC地址信息在对应的端口下删除具体包括:
若与所述残留客户端对应的接入交换机支持自定义的简单网络管理协议,则发送携带所述残留客户端的MAC地址信息和所述对应的端口的标识信息的、自定义的简单网络管理协议删除报文给所述对应的接入交换机,以指示所述对应的接入交换机将指定的所述MAC地址信息从与所述标识信息对应的端口下删除;
将本地存储的与所述残留客户端对应的在线信息删除。
3.根据权利要求1或2所述的删除残留客户端信息的方法,其特征在于,所述控制与所述残留客户端对应的接入交换机将所述残留客户端的MAC地址信息在对应的端口下删除还包括:
若与所述残留客户端对应的接入交换机支持标准的简单网络管理协议,则检测所述对应的端口下是否还保存有除所述残留客户端外的其他在线客户端的信息;
若否,则依次发送携带所述对应的端口的标识信息的、标准的关端口简单网络管理协议报文和开端口简单网络管理协议报文给所述对应的接入交换机,以使所述对应的接入交换机依次将所述对应的端口进行关闭和开启操作,并将本地存储的与所述残留客户端对应的在线信息删除;
若是,则向所述其他在线客户端中的任一在线客户端发送携带所述残留客户端的MAC地址信息的模拟下线请求报文,以指示接收到所述模拟下线请求报文的在线客户端向所述对应的接入交换机发送退出认证请求报文,所述退出认证请求报文中携带所述模拟下线请求报文中指定的残留客户端的MAC地址信息,用于指示所述对应的接入交换机将指定的MAC地址从所述对应的端口下删除。
4.根据权利要求3所述的删除残留客户端信息的方法,其特征在于,所述向所述其他在线客户端中的任一在线客户端发送携带所述残留客户端的MAC地址信息的模拟下线请求报文之后,所述方法还包括:
若在第二预设时间内未接收到接收所述模拟下线请求报文的在线客户端针对所述模拟下线请求报文返回的响应报文,则将未返回所述响应报文的在线客户端识别为所述残留客户端,并返回至执行检测所述对应的端口下是否还保存有除所述残留客户端外的其他在线客户端的信息的操作;
若在所述第二预设时间内接收到所述接收所述模拟下线请求报文的在线客户端返回的响应报文,则将本地存储的与所述残留客户端对应的在线信息删除。
5.根据权利要求3所述的删除残留客户端信息的方法,其特征在于,所述向所述其他在线客户端中的任一在线客户端发送携带所述残留客户端的MAC地址信息的模拟下线请求报文具体包括:
根据本地存储的与所述其他在线客户端各自对应的在线时长信息,向在线时长最短的在线客户端发送所述模拟下线请求报文。
6.一种认证服务器,其特征在于,包括:
检测模块,实时地检测对应的各个在线客户端在第一预设时间内是否返回了心跳报文,所述第一预设时间大于所述在线客户端周期性发送所述心跳报文的间隔时间;
识别模块,用于若所述检测模块检测到任一所述在线客户端在所述第一预设时间内未返回所述心跳报文,则识别未返回所述心跳报文的所述在线客户端为残留客户端;
信息删除模块,用于基于预设的简单网络管理协议功能,控制与所述残留客户端对应的接入交换机将所述残留客户端的MAC地址信息在对应的端口下删除。
7.根据权利要求6所述的认证服务器,其特征在于,所述信息删除模块具体包括:
查询子模块,用于查询与所述残留客户端对应的接入交换机支持自定义的简单网络管理协议或标准的简单网络管理协议;
第一报文发送子模块,用于若所述查询子模块查询到所述对应的接入交换机支持自定义的简单网络管理协议,则发送携带所述残留客户端的MAC地址信息和所述对应的端口的标识信息的、自定义的简单网络管理协议删除报文给所述对应的接入交换机,以指示所述对应的接入交换机将指定的所述MAC地址信息从与所述标识信息对应的端口下删除;
在线信息删除子模块,用于将本地存储的与所述残留客户端对应的在线信息删除。
8.根据权利要求6或7所述的认证服务器,其特征在于,所述信息删除模块还包括:
第一检测子模块,用于若所述查询子模块查询到与对应的接入交换机支持标准的简单网络管理协议,则检测所述对应的端口下是否还保存有除所述残留客户端外的其他在线客户端的信息;
第二报文发送子模块,用于若所述检测子模块的检测结果为否,则依次发送携带所述对应的端口的标识信息的、标准的关端口简单网络管理协议报文和开端口简单网络管理协议报文给所述对应的接入交换机,以使所述对应的接入交换机依次将所述对应的端口关闭和开启,并指示所述在线信息删除子模块将本地存储的与所述残留客户端对应的在线信息删除;
第三报文发送子模块,用于若所述检测子模块的检测结果为是,则向所述其他在线客户端中的任一在线客户端发送携带所述残留客户端的MAC地址信息的模拟下线请求报文,以指示接收到所述模拟下线请求报文的在线客户端向所述对应的接入交换机发送退出认证请求报文,所述退出认证请求报文中携带所述模拟下线请求报文中指定的残留客户端的MAC地址信息,用于指示所述对应的接入交换机将指定的MAC地址从所述对应的端口下删除。
9.根据权利要求8所述的认证服务器,其特征在于,所述信息删除模块还包括:
第二检测子模块,用于在所述第三报文发送子模块发送所述模拟下线请求报文之后,检测是否在第二预设时间内接收到接收所述模拟下线请求报文的在线客户端针对所述模拟下线请求报文返回的响应报文;
识别子模块,用于若所述第二检测子模块在所述第二预设时间内未检测到所述响应报文,则将未返回所述响应报文的在线客户端识别为所述残留客户端,并指示所述第一检测子模块再次检测所述对应的端口下是否还保存有除所述残留客户端外的其他在线客户端的信息;
指示子模块,用于若所述第二检测子模块在所述第二预设时间内检测到所述响应报文,则指示所述在线信息删除子模块将本地存储的与所述残留客户端对应的在线信息删除。
10.根据权利要求8所述的认证服务器,其特征在于,所述第三报文发送子模块具体用于:
根据本地存储的与所述其他在线客户端各自对应的在线时长信息,向在线时长最短的在线客户端发送所述模拟下线请求报文。
11.一种删除残留客户端信息的系统,其特征在于,包括:
如权利要求6-10任一所述的认证服务器、与所述认证服务器连接的至少一个接入交换机;每个所述接入交换机均与至少一个客户端连接。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201010242810.XA CN101909059B (zh) | 2010-07-30 | 2010-07-30 | 删除残留客户端信息的方法、系统及认证服务器 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201010242810.XA CN101909059B (zh) | 2010-07-30 | 2010-07-30 | 删除残留客户端信息的方法、系统及认证服务器 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN101909059A true CN101909059A (zh) | 2010-12-08 |
CN101909059B CN101909059B (zh) | 2014-07-30 |
Family
ID=43264378
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201010242810.XA Expired - Fee Related CN101909059B (zh) | 2010-07-30 | 2010-07-30 | 删除残留客户端信息的方法、系统及认证服务器 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN101909059B (zh) |
Cited By (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103973678A (zh) * | 2014-04-28 | 2014-08-06 | 刘建兵 | 一种终端计算机的接入管控方法 |
WO2015003565A1 (zh) * | 2013-07-09 | 2015-01-15 | 华为技术有限公司 | 控制用户终端接入的方法、装置及系统 |
WO2017088815A1 (zh) * | 2015-11-27 | 2017-06-01 | 华为技术有限公司 | 一种状态检测的方法及无线网络节点 |
WO2017113240A1 (zh) * | 2015-12-30 | 2017-07-06 | 华为技术有限公司 | 一种处理保活探测报文的方法、装置及系统 |
CN107769948A (zh) * | 2016-08-19 | 2018-03-06 | 华为技术有限公司 | 一种网络配置方法及接入交换机 |
CN108234503A (zh) * | 2018-01-11 | 2018-06-29 | 中国电子科技集团公司第三十研究所 | 一种网络节点的安全邻居自动发现方法 |
CN110974204A (zh) * | 2019-12-25 | 2020-04-10 | 杭州涂鸦信息技术有限公司 | 一种实现双向心跳机制的方法及其系统和装置 |
CN111917736A (zh) * | 2020-07-13 | 2020-11-10 | 海南车智易通信息技术有限公司 | 一种网络安全管理方法、计算设备及可读存储介质 |
CN114070881A (zh) * | 2021-11-11 | 2022-02-18 | 北京天融信网络安全技术有限公司 | 终端控制方法、装置、设备及存储介质 |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20070153995A1 (en) * | 2005-12-29 | 2007-07-05 | Qian Fang | Method of converting between radius message and diameter messages |
CN101707587A (zh) * | 2009-09-21 | 2010-05-12 | 北京星网锐捷网络技术有限公司 | 检测客户端连接状态的方法、装置以及Radius服务器 |
-
2010
- 2010-07-30 CN CN201010242810.XA patent/CN101909059B/zh not_active Expired - Fee Related
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20070153995A1 (en) * | 2005-12-29 | 2007-07-05 | Qian Fang | Method of converting between radius message and diameter messages |
CN101707587A (zh) * | 2009-09-21 | 2010-05-12 | 北京星网锐捷网络技术有限公司 | 检测客户端连接状态的方法、装置以及Radius服务器 |
Cited By (13)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2015003565A1 (zh) * | 2013-07-09 | 2015-01-15 | 华为技术有限公司 | 控制用户终端接入的方法、装置及系统 |
US9825950B2 (en) | 2013-07-09 | 2017-11-21 | Huawei Technologies Co., Ltd. | Method, apparatus, and system for controlling access of user terminal |
CN103973678A (zh) * | 2014-04-28 | 2014-08-06 | 刘建兵 | 一种终端计算机的接入管控方法 |
CN103973678B (zh) * | 2014-04-28 | 2017-04-26 | 刘建兵 | 一种终端计算机的接入管控方法 |
WO2017088815A1 (zh) * | 2015-11-27 | 2017-06-01 | 华为技术有限公司 | 一种状态检测的方法及无线网络节点 |
WO2017113240A1 (zh) * | 2015-12-30 | 2017-07-06 | 华为技术有限公司 | 一种处理保活探测报文的方法、装置及系统 |
CN107769948A (zh) * | 2016-08-19 | 2018-03-06 | 华为技术有限公司 | 一种网络配置方法及接入交换机 |
CN108234503A (zh) * | 2018-01-11 | 2018-06-29 | 中国电子科技集团公司第三十研究所 | 一种网络节点的安全邻居自动发现方法 |
CN108234503B (zh) * | 2018-01-11 | 2020-12-11 | 中国电子科技集团公司第三十研究所 | 一种网络节点的安全邻居自动发现方法 |
CN110974204A (zh) * | 2019-12-25 | 2020-04-10 | 杭州涂鸦信息技术有限公司 | 一种实现双向心跳机制的方法及其系统和装置 |
CN111917736A (zh) * | 2020-07-13 | 2020-11-10 | 海南车智易通信息技术有限公司 | 一种网络安全管理方法、计算设备及可读存储介质 |
CN111917736B (zh) * | 2020-07-13 | 2023-04-18 | 海南车智易通信息技术有限公司 | 一种网络安全管理方法、计算设备及可读存储介质 |
CN114070881A (zh) * | 2021-11-11 | 2022-02-18 | 北京天融信网络安全技术有限公司 | 终端控制方法、装置、设备及存储介质 |
Also Published As
Publication number | Publication date |
---|---|
CN101909059B (zh) | 2014-07-30 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN101909059B (zh) | 删除残留客户端信息的方法、系统及认证服务器 | |
US10298598B1 (en) | Countering service enumeration through imposter-driven response | |
CN108173850A (zh) | 一种基于区块链智能合约的身份认证系统和身份认证方法 | |
CN101860534B (zh) | 网络切换方法、系统及接入设备、认证服务器 | |
US9137245B2 (en) | Login method, apparatus, and system | |
CN102271133B (zh) | 认证方法、装置和系统 | |
CN102638468B (zh) | 保护信息传输安全的方法、发送端、接收端及系统 | |
CN103916311A (zh) | 一种信息传输控制方法,装置、及系统 | |
CN104239758A (zh) | 一种人机识别方法及相应的人机识别系统 | |
CN110225054A (zh) | 远程协助连接建立方法、装置、服务器及存储介质 | |
CN105721389B (zh) | 多终端设备互通数据处理和服务响应方法、装置 | |
CN103795762A (zh) | 一种反向代理的测试方法及系统 | |
CN103729590A (zh) | 一种设置设备访问权限的方法、设备及系统 | |
CN101155147B (zh) | 一种即时通讯服务器监控数据的分发方法和装置 | |
CN109451503A (zh) | 一种离线用户认证状态维护方法及系统 | |
US8738764B1 (en) | Methods and systems for controlling communications | |
CN101155079A (zh) | 一种监控即时通讯服务器的方法、装置和系统 | |
CN107888623A (zh) | 直播软件音视频数据流防劫持方法及装置 | |
CN112887105B (zh) | 会议安全监控方法、装置、电子设备及存储介质 | |
CN109067749A (zh) | 一种信息处理方法、设备及计算机可读存储介质 | |
CN105246042A (zh) | 服务器登陆方法、终端及服务器 | |
CN104396216A (zh) | 用于识别网络流量特征以关联和管理一个或多个后续流的方法及其装置 | |
CN104735050A (zh) | 一种融合mac认证和web认证的认证方法 | |
CN105608344A (zh) | 一种应用程序安全管理的系统与方法 | |
CN104009999A (zh) | 防止arp欺骗的方法、装置及网络接入服务器 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant | ||
CF01 | Termination of patent right due to non-payment of annual fee | ||
CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20140730 Termination date: 20210730 |