CN108900480B - 客户端认证管理方法及装置 - Google Patents
客户端认证管理方法及装置 Download PDFInfo
- Publication number
- CN108900480B CN108900480B CN201810600331.7A CN201810600331A CN108900480B CN 108900480 B CN108900480 B CN 108900480B CN 201810600331 A CN201810600331 A CN 201810600331A CN 108900480 B CN108900480 B CN 108900480B
- Authority
- CN
- China
- Prior art keywords
- client
- authentication server
- authentication
- function
- online
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0892—Network architectures or network communication protocols for network security for authentication of entities by using authentication-authorization-accounting [AAA] servers or protocols
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Business, Economics & Management (AREA)
- Accounting & Taxation (AREA)
- Computer And Data Communications (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本申请提供一种客户端认证管理方法及装置,应用于SDN控制器,该SDN控制器与认证服务器通信连接,方法包括:从认证服务器获取已认证客户端的信息;持续检测认证服务器的功能是否出现异常;若检测到认证服务器的功能出现异常,保持已认证客户端的上线状态;在检测到认证服务器的功能恢复时,将已认证客户端的信息发送给认证服务器。通过SDN控制器在检测到认证服务器功能出现异常时,保持已认证客户端的在线状态,待认证服务器恢复后,将记录的已认证客户端的信息发送给认证服务器,使认证服务器可以继续对已认证客户端进行监控。如此,在认证服务器功能出现异常时,也可以保证已认证客户端的客户端上网不受影响,提高了用户的使用体验。
Description
技术领域
本申请涉及网络通信技术领域,具体而言,涉及一种客户端认证管理方法及装置。
背景技术
软件定义网络(Software Defined Network,简称SDN)是一种新型的网络架构,其通过将网络设备的控制层面与转发层面分离,以实现对客户端流量的灵活管理或控制。SDN技术常用于需要客户端经过认证后才能访问指定网络资源的场景,例如,学校、商场等大型公共场所的认证上网场景。在这些场景中,SDN网络架构通常包括NAS设备(Network AccessServer,简称NAS)、认证授权计费(Authentication,Author ization,Accounting,简称AAA)服务器及SDN控制器等设备。其中,AAA服务器用于根据从客户端获得账号密码等信息对客户端进行认证、授权或数据流量进行计费等监控动作。如果AAA服务功能发生异常导致当前记录的客户端信息丢失,则无法正确地对客户端的流量进行监控。在现有技术中,一旦AAA服务发生异常,SDN系统会而强制所有客户端下线,要等待AAA服务器功能恢复后,客户端再次发起上线认证请求,以使AAA服务器重新获得客户端的信息,严重影响了客户端的用户体验。
发明内容
一方面,本申请提供一种客户端认证管理方法,应用于SDN控制器,该SDN控制器与认证服务器通信连接,所述方法包括:
从所述认证服务器获取已认证客户端的信息;
持续检测所述认证服务器的功能是否出现异常;
若检测到所述认证服务器的功能出现异常,保持已认证客户端的上线状态;
在检测到所述认证服务器的功能恢复时,将所述已认证客户端的信息发送给所述认证服务器。
可选地,所述方法还包括:
若检测到认证服务器的功能出现异常,在接收到NAS设备针对新上线的客户端发送的上线通知时,根据所述上线通知记录新上线的客户端的信息;
针对所述新上线的客户端向所述NAS设备发送免认证放行通知,使所述NAS设备放行所述新上线的客户端的数据流量;
在检测到所述认证服务器的功能恢复时,针对所述新上线的客户端向所述NAS设备发送下线指令,使所述新上线的客户端下线以重新发起上线认证流程。
可选地,所述方法还包括:
若检测到所述认证服务器的功能出现异常,为当前已记录的客户端的信息添加已认证标识;
所述在检测到所述认证服务器的功能恢复时,将所述已认证客户端的信息发送给所述认证服务器的步骤,包括:
在检测到所述认证服务器的功能恢复时,将记录的带有已认证标识的客户端的信息发送给所述认证服务器。
可选地,所述在检测到所述认证服务器的功能恢复时,针对所述新上线的客户端向所述NAS设备发送下线指令的步骤,包括:
在检测到所述认证服务器的功能恢复时,针对记录的不带有所述已认证标识的客户端向所述NAS设备发送下线指令,使不带有所述已认证标识的客户端下线。
可选地,所述SDN控制器配置有预设组,该预设组配置成具有对指定网络资源的访问权限;
所述根据所述上线通知记录新上线的客户端的步骤,包括:
根据所述上线通知将所述新上线的客户端记录至预设组中;
所述针对所述新上线的客户端向所述NAS设备发送免认证放行通知的步骤,包括:
针对所述新上线的客户端向所述NAS设备发送与所述预设组的访问权限对应的免认证放行通知,使所述NAS设备根据所述免认证放行通知允许所述新上线的客户端访问所述指定网络资源。
另一方面,一种客户端认证管理装置,应用于SDN控制器,该SDN控制器与认证服务器通信连接,所述装置包括:
获取模块,用于从所述认证服务器获取已认证客户端的信息;
检测模块,用于持续检测所述认证服务器的功能是否出现异常;
保持模块,用于若检测到所述认证服务器的功能出现异常,保持已认证客户端的上线状态;
同步模块,用于在检测到所述认证服务器的功能恢复时,将所述已认证客户端的信息发送给所述认证服务器。
可选地,所述装置还包括:
记录模块,用于若检测到认证服务器的功能出现异常,在接收到NAS设备针对新上线的客户端发送的上线通知时,根据所述上线通知记录新上线的客户端的信息;
免认证放行模块,用于针对所述新上线的客户端向所述NAS设备发送免认证放行通知,使所述NAS设备放行所述新上线的客户端的数据流量;
强制下线模块,用于在检测到所述认证服务器的功能恢复时,针对所述新上线的客户端向所述NAS设备发送下线指令,使所述新上线的客户端下线以重新发起上线认证流程。
可选地,所述装置还包括:
标识模块,用于若检测到所述认证服务器的功能出现异常,为当前已记录的客户端的信息添加已认证标识;
所述同步模块具体用于在检测到所述认证服务器的功能恢复时,将记录的带有已认证标识的客户端的信息发送给所述认证服务器。
可选地,所述强制下线模块具体用于在检测到所述认证服务器的功能恢复时,针对记录的不带有所述已认证标识的客户端向所述NAS设备发送下线指令,使不带有所述已认证标识的客户端下线。
可选地,所述SDN控制器配置有预设组,该预设组配置成具有对指定网络资源的访问权限;
所述记录模块具体用于根据所述上线通知将所述新上线的客户端记录至预设组中;
所述免认证放行模块具体用于针对所述新上线的客户端向所述NAS设备发送与所述预设组的访问权限对应的免认证放行通知,使所述NAS设备根据所述免认证放行通知允许所述新上线的客户端访问所述指定网络资源。
相对于现有技术而言,本申请具有以下有益效果:
本申请提供的客户端认证管理方法及装置,通过SDN控制器在检测到认证服务器功能出现异常时,保持已认证客户端的在线状态,待认证服务器恢复后,将记录的已认证客户端的信息发送给认证服务器,使认证服务器可以继续对已认证客户端进行监控。如此,在认证服务器功能出现异常时,也可以保证已认证客户端的客户端上网不受影响,提高了用户的使用体验。
附图说明
为了更清楚地说明本申请实施例的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,应当理解,以下附图仅示出了本申请的某些实施例,因此不应被看作是对范围的限定,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他相关的附图。
图1为本申请实施例提供的SDN网络架构的示意图;
图2为本申请实施例提供的客户端认证管理方法的流程示意图之一;
图3为本申请实施例提供的客户端认证管理方法的流程示意图之二;
图4为本申请实施例提供的客户端认证管理方法时序图之一;
图5为本申请实施例提供的客户端认证管理方法时序图之二;
图6为本申请实施例提供的SDN控制器的硬件结构示意图;
图7为本申请实施例提供的客户端认证管理装置的功能模块示意图。
图标:100-SDN控制器;110-客户端认证管理装置;111-获取模块;112-检测模块;113-保持模块;114-同步模块;115-记录模块;116-免认证放行模块;117-强制下线模块;120-存储器;130-处理器;200-认证服务器;300-NAS设备;400-客户端。
具体实施方式
为使本申请实施例的目的、技术方案和优点更加清楚,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本申请一部分实施例,而不是全部的实施例。通常在此处附图中描述和示出的本申请实施例的组件可以以各种不同的配置来布置和设计。
因此,以下对在附图中提供的本申请的实施例的详细描述并非旨在限制要求保护的本申请的范围,而是仅仅表示本申请的选定实施例。基于本申请中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步定义和解释。
在本申请的描述中,还需要说明的是,除非另有明确的规定和限定,术语“设置”、“安装”、“相连”、“连接”应做广义理解,例如,可以是固定连接,也可以是可拆卸连接,或一体地连接;可以是机械连接,也可以是电连接;可以是直接相连,也可以通过中间媒介间接相连,可以是两个元件内部的连通。对于本领域的普通技术人员而言,可以具体情况理解上述术语在本申请中的具体含义。
请参照图1,图1为本实施例提供的SDN架构的示意图,其中,客户端400可以通过接入层设备500与网络接入服务器(Network Access Server,简称NAS)设备通信连接,NAS设备300可以通过虚拟扩展局域网(Virtual Extensible LAN,简称VXLAN)与SDN控制器100、认证服务器200及DHCP服务器600等通信连接。
其中,NAS设备300用于对客户端400的数据上报、流量放行或流量丢弃等。认证服务器200用于对客户端400进行认证,例如,认证服务器200可以为AAA服务。DHCP服务用于提供DHCP服务器600为客户端400分配IP地址。SDN控制器100用于进行整个网络中个设备的配置、拓扑信息搜集、对用户和用户组等相关策略规划,SDN控制器100可以根据AAA服务的授权结果控制NAS设备300对客户端400流量进行放行或阻截。
在各设备正常工作的情况下,NAS设备300可以接受客户端400的上线请求,提取上线请求中的用户输入账号、密码及客户端400的通信特征信息(如MAC地址)并发送给SDN控制器100,SDN控制器100将获取到的账号密码等信息发送给认证服务器200进行认证,并根据认证服务器200反馈的认证结果向NAS设备300下发相应的流表项,使NAS设备300根据接收到的流表项控制客户端400的数据流量。
请参照图2,图2为应用于图1所示SDN控制器100的一种客户端400认证管理方法,下面对该方法的各个步骤进行详细阐述。
步骤S110,从认证服务器200获取已认证客户端的信息。
在本实施例中,在认证服务器200正常工作的情况下,当认证服务器200对客户端400进行过认证以后,会将认证结果发送给SDN控制器100,SDN控制器100会保存已经通过认证客户端400的信息。
步骤S120,持续检测认证服务器200的功能是否出现异常。
步骤S130,若检测到认证服务器200的功能出现异常,保持已认证客户端的上线状态。
在本实施例中,当SDN控制器100检测到认证服务器200工作异常或检测到与认证服务器200之间的通信链路故障时,认为当前认证服务器200的无法实现其功能,则SDN控制器100启动针对已认证客户端的保持在线功能,维持已认证客户端当前的上线状态。
也就是说,相较于现有技术中一旦认证服务器200失效就强制所有客户端400下线的方案,在本实施例提供的方案中,当认证服务器200的功能出现异常时,SDN控制器100会保持已认证的客户端400的上线状态,不强制已认证的客户下线。
步骤S140,在检测到认证服务器200的功能恢复时,将已认证客户端的信息发送给认证服务器200。
认证服务在接收到SDN控制器100发送的已认证客户端的信息后,可以继续对已认证客户端进行监控,例如,继续对已认证客户端的流量进行计费。
基于上述步骤,本实施例提供的方案中,SDN控制器100可以在认证服务器200功能正常时从认证服务器200获取已认证客户端的信息,若认证服务器200的功能发生异常,SDN控制器100可以保持已认证客户端的在线状态,并在认证服务器200的功能恢复后将已认证客户端的信息同步给认证服务器200,使认证服务器200可以继续对已上线的客户端400进行管控。这样,在认证服务器200的功能异常时,不用强制已认证客户端下线,使通过已认证客户端上网的用户不被影响,提高了用户体验。
另一方面,请参照图3,在针对已认证客户端进行处理的同时,本实施例提供的方法还包括对认证服务器200的功能异常时新上线的客户端处理的步骤。
步骤S150,若检测到认证服务器200的功能出现异常,在接收到NAS设备300针对新上线的客户端发送的上线通知时,根据上线通知记录新上线的客户端的信息。
在本实施例中,若SDN控制器100在认证服务器200处于功能异常的情况下,接收到NAS设备300针对新上线的客户端发送的上线通知时,可以根据上线通知记录新上线的客户端的信息。
步骤S160,针对新上线的客户端向NAS设备300发送免认证放行通知,使NAS设备300放行新上线的客户端的数据流量。
由于当前认证服务的功能异常无法提供认证服务,为了减少新上线的客户端等待上线验证的时间,在步骤S160中,针对新上线的客户端向NAS设备300SDN控制器100可以下发免认证放行通知,使NAS设备300暂时放行这些新上线的客户端的流量。
步骤S170,在检测到认证服务器200的功能恢复时,针对新上线的客户端向NAS设备300发送下线指令,使新上线的客户端下线以重新发起上线认证流程。
也就是说,在认证服务器200的功能异常的情况下,SDN控制器100允许新上线的客户端可以先暂时不经过认证直接访问指定的网络资源。SDN控制器100在检测到认证服务器200的功能恢复后,再通知NAS设备300强制这些未经过认证的新上线的客户端下线重新发起上线认证流程由认证服务进行验证。
这样,相较于现有技术中认证服务功能异常后,新上线的客户端需要等待认证服务器200的功能恢复才能上线,本实施例提供的方案通过临时免认证地放行新上线的客户端的流量,减少了新上线的客户端侧用户的上线验证等待时间,提高了用户体验。
可选地,在步骤S130中,若SDN控制器100检测到认证服务器200的功能出现异常,则为当前已记录的客户端400的信息添加已认证标识。由于当前SDN控制器100记录的客户端400的信息均为已认证客户端的信息,故在步骤S130中已认证客户端的信息均被添加了已认证标识。相对地,相较于步骤S130中添加了已认证标识的客户端400的信息,步骤S150中记录的新上线的客户端的信息不带有已认证标识。
然后,在步骤S140中,SDN控制器100检测到认证服务器200的功能恢复时,选择将记录的带有已认证标识的客户端400的信息发送给认证服务器200,并针对记录的不带有已认证标识的客户端400向NAS设备300发送下线指令,使不带有已认证标识的客户端400下线。
可选地,SDN控制器100通过分组管理客户端400对网络资源的访问权限,不同的组配置成具有对不同网络资源的访问权限,当客户端400位于某个组中时,可以访问该组对应网络资源。
在步骤S150中,SDN控制器100根据上线通知记录新上线的客户端时,将新上线的客户端记录至一个预设组中,使新上线的客户端可以访问与该预设组对应的网络资源。在本实施例中,可以将预设组配置为具有访问所有网络资源的权限。
然后,在步骤S160中,根据步骤S150的分组,SDN控制器100在发送免认证放行通知时,针对新上线的客户端向NAS设备300发送与预设组的访问权限对应的免认证放行通知,使NAS设备300根据免认证放行通知允许新上线的客户端访问指定网络资源。例如,SDN控制器100根据向NAS设备300发送与预设组对应的流表项,使NAS设备300根据接收到的流表项允许新上线的客户端访问指定的网络资源。
为方便本领域技术人员了解本实施例提供的方案,下面通过一个例子详细解释本实施例提供的方案。
在图1所示的网络环境中,SDN控制器100用于对NAS设备300、DHCP服务器600及认证服务等设备进行原理控制,请参照图4,在SDN控制器100预配置过程中执行为认证服务配置认证策略、为DHCP服务器600配置IP地址池及对NAS设备300进行接口创建及服务配置等操作。
当用户a希望使用客户端A访问互联网时,在客户端A上通过访问认证页面或通过专门的客户端400软件输入自己的账号及密码,客户端A将携带用户a账号、密码及该客户端A的通信特征信息(如MAC地址)的上线请求经接入层设备500发送给NAS设备300。
NAS设备300从上线请求中提取用户a的账号和密码并通过Packet-In通道发送给SDN控制器100。SDN控制器100再把用户a的账号、密码及客户端A的通信特征信息发送给认证服务器200。
认证服务器200针对接收到的账号和密码进行验证,若验证通过,则向SDN控制器100发送验证通过信息。SDN服务器保存验证通过信息及客户端A的通信特征信息,并针向NAS设备300发送针对客户端A的二层或三层流表项。
NAS设备300将接收到的流表项下发到其转发硬件上,并根据流表项对客户端A的数据流量进行转发。也就是说,NAS设备300根据接收到的流表项放行客户端A的流量。
由于NAS设备300放行了客户端A的流量,使得客户端A发送DHCP请求可以到达DHCP服务,DHCP服务通知为客户端A为其IP地址的IP地址。客户端A在获得分配的IP地址后遍可以通过该IP地址访问互联网资源。
请参照图5,客户端A正常上网一段时间后,SDN控制器100检测到认证服务器200的功能出现了异常,这是SDN控制器100不针对客户端A向NAS设备300发送指令,保持客户端A当前的在先状态。这样,用户a的上网动作完全不会收到影响。
同时,SDN控制器100为其当前记录的客户端A添加已认证标识。由于当前SDN控制器100记录的客户端400信息都是已经过认证服务器200认证的客户端400,所以当前带有已认证标识的都是已经在先进行过认证服务器200认证过的客户端400。
之后,有新用户b通过客户端B向NAS设备300发送了上线请求,NAS设备300将用户b的账号、密码及客户端B的通信特征信息发送给了SDN控制器100。
由于此时认证服务器200还处于功能异常状态,SDN控制器100记录新上线的客户端B的信息,并将客户端B划分到一个预设组中。注意,此时记录的客户端B的信息不带有已认证标识。
然后SDN控制器100向NAS设备300发送针对客户端B的流表项,该流表项允许客户端B方位与预设组对应的网络资源,使NAS设备300在客户端B没有经过认证的情况下放行客户端B的流量。这样,客户端B可以暂时地获取到一个IP,并开始访问指定的网络资源。
又一段时间之后,SDN控制器100检测到认证服务器200功能恢复正常了,便将记录带有已认证标识的客户端400的信息同步给认证服务器200。也即是说,将客户端A的信息同步给了认证服务器200。认证服务器200就重新获得了已认证客户端的信息,继续对这些已认证的客户端400继续进行管理控制,而不需要这些客户端400重新发起认证上线流程。同时,SDN控制器100还针对记录的不带有已认证标识的客户端B向NAS设备300发送下线通知。NAS设备300接收到下线通知后,可以通过无效其流表项的方式终止对客户端B流量的放行,以达到强制客户端B下线的目的。
客户端B被强制下线后,用户b可以重新通过客户端B发起上线请求,由于此时认证服务器200已经恢复,就可以正常地对客户端B进行认证授权。
请参照图6,图6为本公开实施例提供的一种SDN控制器100的硬件结构示意图。SDN控制器100包括客户端400认证管理装置110、存储器120及处理器130。
存储器120、处理器130相互之间直接或间接地电性连接,以实现数据的传输或交互。例如,这些元件相互之间可通过一条或多条通讯总线或信号线实现电性连接。客户端400认证管理装置110包括至少一个可以软件或固件(firmware)的形式存储于存储器120中或固化在SDN控制器100的操作系统(operating system,OS)中的软件功能模块。处理器130用于执行存储器120中存储的可执行模块,例如客户端400认证管理装置110所包括的软件功能模块及计算机程序等。
其中,存储器120可以是,但不限于,随机存取存储器120(Random Access Memory,RAM),只读存储器120(Read Only Memory,ROM),可编程只读存储器120(ProgrammableRead-Only Memory,PROM),可擦除只读存储器120(Erasable Programmable Read-OnlyMemory,EPROM),电可擦除只读存储器120(Electric Erasable Programmable Read-OnlyMemory,EEPROM)等。其中,存储器120用于存储程序,处理器130在接收到执行指令后,执行程序。
请参照图7,本实施例还提供一种应用于所述SDN控制器100的客户端400认证管理装置110,从功能上划分客户端400认证管理装置110包括获取模块111、检测模块112、保持模块113及同步模块114。
获取模块111用于从认证服务器200获取已认证客户端的信息。
本实施例中,获取模块111可用于执行图2所示的步骤S110,关于获取模块111的具体描述可参对步骤S110的描述。
检测模块112用于持续检测认证服务器200的功能是否出现异常。
本实施例中,检测模块112可用于执行图2所示的步骤S120,关于检测模块112的具体描述可参对步骤S120的描述。
保持模块113用于若检测到认证服务器200的功能出现异常,保持已认证客户端的上线状态。
本实施例中,保持模块113可用于执行图2所示的步骤S130,关于保持模块113的具体描述可参对步骤S130的描述。
同步模块114用于在检测到认证服务器200的功能恢复时,将已认证客户端的信息发送给认证服务器200。
本实施例中,同步模块114可用于执行图2所示的步骤S140,关于同步模块114的具体描述可参对步骤S140的描述。
可选地,请再次参照图7,客户端400认证管理装置110还包括记录模块115、免认证放行模块116及强制下线模块117。
记录模块115用于若检测到认证服务器200的功能出现异常,在接收到NAS设备300针对新上线的客户端发送的上线通知时,根据上线通知记录新上线的客户端的信息。
本实施例中,记录模块115可用于执行图3所示的步骤S150,关于记录模块115的具体描述可参对步骤S150的描述。
免认证放行模块116用于针对新上线的客户端向NAS设备300发送免认证放行通知,使NAS设备300放行新上线的客户端的数据流量。
本实施例中,免认证放行模块116可用于执行图3所示的步骤S160,关于免认证放行模块116的具体描述可参对步骤S160的描述。
强制下线模块117用于在检测到认证服务器200的功能恢复时,针对新上线的客户端向NAS设备300发送下线指令,使新上线的客户端下线以重新发起上线认证流程。
本实施例中,强制下线模块117可用于执行图3所示的步骤S170,关于强制下线模块117的具体描述可参对步骤S170的描述。
可选地,在本实施例中,客户端400认证管理装置110还包括标识模块。
标识模块用于若检测到认证服务器200的功能出现异常,为当前已记录的客户端400的信息添加已认证标识。
同步模块114具体用于在检测到认证服务器200的功能恢复时,将记录的带有已认证标识的客户端400的信息发送给认证服务器200。
可选地,在本实施例中,强制下线模块117具体用于在检测到认证服务器200的功能恢复时,针对记录的不带有已认证标识的客户端400向NAS设备300发送下线指令,使不带有已认证标识的客户端400下线。
可选地,在本实施例中,SDN控制器100配置有预设组,该预设组配置成具有对指定网络资源的访问权限。
记录模块115具体用于根据上线通知将新上线的客户端记录至预设组中。
免认证放行模块116具体用于针对新上线的客户端向NAS设备300发送与预设组的访问权限对应的免认证放行通知,使NAS设备300根据免认证放行通知允许新上线的客户端访问指定网络资源。
综上所述,本申请提供的客户端认证管理方法及装置,通过SDN控制器在检测到认证服务器功能出现异常时,保持已认证客户端的在线状态,待认证服务器恢复后,将记录的已认证客户端的信息发送给认证服务器,使认证服务器可以继续对已认证客户端进行监控。如此,在认证服务器功能出现异常时,也可以保证已认证客户端的客户端上网不受影响,提高了用户的使用体验。
在本申请所提供的实施例中,应该理解到,所揭露的装置和方法,也可以通过其它的方式实现。以上所描述的装置实施例仅仅是示意性的,例如,附图中的流程图和框图显示了根据本申请的多个实施例的装置、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段或代码的一部分,所述模块、程序段或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现方式中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个连续的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合,可以用执行规定的功能或动作的专用的基于硬件的系统来实现,或者可以用专用硬件与计算机指令的组合来实现。
另外,在本申请各个实施例中的各功能模块可以集成在一起形成一个独立的部分,也可以是各个模块单独存在,也可以两个或两个以上模块集成形成一个独立的部分。
所述功能如果以软件功能模块的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
以上所述,仅为本申请的具体实施方式,但本申请的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本申请揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本申请的保护范围之内。因此,本申请的保护范围应所述以权利要求的保护范围为准。
Claims (6)
1.一种客户端认证管理方法,其特征在于,应用于SDN控制器,该SDN控制器与认证服务器通信连接,所述方法包括:
从所述认证服务器获取已认证客户端的信息;
持续检测所述认证服务器的功能是否出现异常;
若检测到所述认证服务器的功能出现异常,保持已认证客户端的上线状态;在接收到NAS设备针对新上线的客户端发送的上线通知时,根据所述上线通知记录新上线的客户端的信息,并针对所述新上线的客户端向所述NAS设备发送免认证放行通知,使所述NAS设备放行所述新上线的客户端的数据流量;
在检测到所述认证服务器的功能恢复时,将所述已认证客户端的信息发送给所述认证服务器;针对所述新上线的客户端向所述NAS设备发送下线指令,使所述新上线的客户端下线以重新发起上线认证流程;
所述SDN控制器配置有预设组,该预设组配置成具有对指定网络资源的访问权限;
所述根据所述上线通知记录新上线的客户端的步骤,包括:
根据所述上线通知将所述新上线的客户端记录至预设组中;
所述针对所述新上线的客户端向所述NAS设备发送免认证放行通知的步骤,包括:
针对所述新上线的客户端向所述NAS设备发送与所述预设组的访问权限对应的免认证放行通知,使所述NAS设备根据所述免认证放行通知允许所述新上线的客户端访问所述指定网络资源;
所述下线指令用于供所述NAS设备接收后无效所述新上线的客户端的流表项,以强制所述新上线的客户端下线;
所述流表项与预设组对应,所述NAS设备根据流表项使所述新上线的客户端访问指定的网络资源。
2.根据权利要求1所述的方法,其特征在于,所述方法还包括:
若检测到所述认证服务器的功能出现异常,为当前已记录的客户端的信息添加已认证标识;
所述在检测到所述认证服务器的功能恢复时,将所述已认证客户端的信息发送给所述认证服务器的步骤,包括:
在检测到所述认证服务器的功能恢复时,将记录的带有已认证标识的客户端的信息发送给所述认证服务器。
3.根据权利要求2所述的方法,其特征在于,所述在检测到所述认证服务器的功能恢复时,针对所述新上线的客户端向所述NAS设备发送下线指令的步骤,包括:
在检测到所述认证服务器的功能恢复时,针对记录的不带有所述已认证标识的客户端向所述NAS设备发送下线指令,使不带有所述已认证标识的客户端下线。
4.一种客户端认证管理装置,其特征在于,应用于SDN控制器,该SDN控制器与认证服务器通信连接,所述装置包括:
获取模块,用于从所述认证服务器获取已认证客户端的信息;
检测模块,用于持续检测所述认证服务器的功能是否出现异常;
保持模块,用于若检测到所述认证服务器的功能出现异常,保持已认证客户端的上线状态;
同步模块,用于在检测到所述认证服务器的功能恢复时,将所述已认证客户端的信息发送给所述认证服务器;
所述装置还包括:
记录模块,用于若检测到认证服务器的功能出现异常,在接收到NAS设备针对新上线的客户端发送的上线通知时,根据所述上线通知记录新上线的客户端的信息;
免认证放行模块,用于针对所述新上线的客户端向所述NAS设备发送免认证放行通知,使所述NAS设备放行所述新上线的客户端的数据流量;
强制下线模块,用于在检测到所述认证服务器的功能恢复时,针对所述新上线的客户端向所述NAS设备发送下线指令,使所述新上线的客户端下线以重新发起上线认证流程;
所述SDN控制器配置有预设组,该预设组配置成具有对指定网络资源的访问权限;
所述记录模块具体用于根据所述上线通知将所述新上线的客户端记录至预设组中;
所述免认证放行模块具体用于针对所述新上线的客户端向所述NAS设备发送与所述预设组的访问权限对应的免认证放行通知,使所述NAS设备根据所述免认证放行通知允许所述新上线的客户端访问所述指定网络资源;
所述下线指令用于供所述NAS设备接收后无效所述新上线的客户端的流表项,以强制所述新上线的客户端下线;
所述流表项与预设组对应,所述NAS设备根据流表项使所述新上线的客户端访问指定的网络资源。
5.根据权利要求4所述的装置,其特征在于,所述装置还包括:
标识模块,用于若检测到所述认证服务器的功能出现异常,为当前已记录的客户端的信息添加已认证标识;
所述同步模块具体用于在检测到所述认证服务器的功能恢复时,将记录的带有已认证标识的客户端的信息发送给所述认证服务器。
6.根据权利要求5所述的装置,其特征在于,所述强制下线模块具体用于在检测到所述认证服务器的功能恢复时,针对记录的不带有所述已认证标识的客户端向所述NAS设备发送下线指令,使不带有所述已认证标识的客户端下线。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810600331.7A CN108900480B (zh) | 2018-06-12 | 2018-06-12 | 客户端认证管理方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810600331.7A CN108900480B (zh) | 2018-06-12 | 2018-06-12 | 客户端认证管理方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN108900480A CN108900480A (zh) | 2018-11-27 |
| CN108900480B true CN108900480B (zh) | 2021-12-07 |
Family
ID=64344642
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201810600331.7A Active CN108900480B (zh) | 2018-06-12 | 2018-06-12 | 客户端认证管理方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN108900480B (zh) |
Families Citing this family (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110825537B (zh) * | 2019-11-04 | 2023-03-14 | 联思智云(北京)科技有限公司 | 基于c/s架构的远程应用的调用方法、装置和设备 |
| US11930116B2 (en) * | 2021-08-03 | 2024-03-12 | Adobe Inc. | Securely communicating service status in a distributed network environment |
| CN114125596B (zh) * | 2021-10-21 | 2023-12-05 | 中盈优创资讯科技有限公司 | 一种pon-sdwan智能终端归一化控制方法及装置 |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP1028568A1 (fr) * | 1999-02-08 | 2000-08-16 | Bull S.A. | Dispositif et procédé d'authentification d'un utilisateur à distance |
| CN102546633A (zh) * | 2012-01-10 | 2012-07-04 | 中兴通讯股份有限公司 | Web认证服务器的选择方法及装置 |
| CN102801538A (zh) * | 2012-06-21 | 2012-11-28 | 北京星网锐捷网络技术有限公司 | 局域网用户的认证记账方法、装置及系统、网络设备 |
| CN103546348A (zh) * | 2013-10-30 | 2014-01-29 | 上海斐讯数据通信技术有限公司 | 一种认证用户异常下线的检测方法 |
| CN106059781A (zh) * | 2016-06-23 | 2016-10-26 | 杭州华三通信技术有限公司 | 一种计费方法及装置 |
| CN106411536A (zh) * | 2016-10-27 | 2017-02-15 | 杭州华三通信技术有限公司 | 一种计费方法及装置 |
| CN106534129A (zh) * | 2016-11-18 | 2017-03-22 | 杭州华三通信技术有限公司 | 接入控制方法及装置 |
-
2018
- 2018-06-12 CN CN201810600331.7A patent/CN108900480B/zh active Active
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP1028568A1 (fr) * | 1999-02-08 | 2000-08-16 | Bull S.A. | Dispositif et procédé d'authentification d'un utilisateur à distance |
| CN102546633A (zh) * | 2012-01-10 | 2012-07-04 | 中兴通讯股份有限公司 | Web认证服务器的选择方法及装置 |
| CN102801538A (zh) * | 2012-06-21 | 2012-11-28 | 北京星网锐捷网络技术有限公司 | 局域网用户的认证记账方法、装置及系统、网络设备 |
| CN103546348A (zh) * | 2013-10-30 | 2014-01-29 | 上海斐讯数据通信技术有限公司 | 一种认证用户异常下线的检测方法 |
| CN106059781A (zh) * | 2016-06-23 | 2016-10-26 | 杭州华三通信技术有限公司 | 一种计费方法及装置 |
| CN106411536A (zh) * | 2016-10-27 | 2017-02-15 | 杭州华三通信技术有限公司 | 一种计费方法及装置 |
| CN106534129A (zh) * | 2016-11-18 | 2017-03-22 | 杭州华三通信技术有限公司 | 接入控制方法及装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN108900480A (zh) | 2018-11-27 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11088903B2 (en) | Hybrid cloud network configuration management | |
| JP6952849B2 (ja) | セッションセキュリティ分割およびアプリケーションプロファイラ | |
| US11503043B2 (en) | System and method for providing an in-line and sniffer mode network based identity centric firewall | |
| CN108475312B (zh) | 用于装置安全外壳的单点登录方法 | |
| US9729520B2 (en) | Facilitating communication between mobile applications | |
| CN108111473B (zh) | 混合云统一管理方法、装置和系统 | |
| EP2629488B1 (en) | Authentication system, authentication method, and network storage appliance | |
| CN108900480B (zh) | 客户端认证管理方法及装置 | |
| US8515996B2 (en) | Secure configuration of authentication servers | |
| CN103401883A (zh) | 单点登录方法及系统 | |
| WO2016095495A1 (zh) | 一种voi系统和vdi系统的融合使用方法及系统 | |
| CN107872440B (zh) | 身份鉴权方法、装置和系统 | |
| CN110290150A (zh) | 一种虚拟专用网络vpn的登录验证方法及登录验证装置 | |
| US10757104B1 (en) | System and method for authentication in a computing system | |
| CN106254312B (zh) | 一种通过虚拟机异构实现服务器防攻击的方法及装置 | |
| CN105099686B (zh) | 数据同步的方法、服务器、终端及系统 | |
| US11316857B2 (en) | Automated creation of dynamic privileged access resources | |
| CN106953873B (zh) | 一种加密设备加密信息的安全管理系统 | |
| US20180351978A1 (en) | Correlating user information to a tracked event | |
| US9882889B1 (en) | Techniques for user authentication | |
| US11477185B2 (en) | Method and system for single sign-on authentication | |
| US20230114129A1 (en) | Multi-cluster boot-strapping | |
| WO2023059337A1 (en) | Multi-cluster boot-strapping | |
| WO2023059338A1 (en) | Multi-cluster access |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| TR01 | Transfer of patent right | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20230612 Address after: 310052 11th Floor, 466 Changhe Road, Binjiang District, Hangzhou City, Zhejiang Province Patentee after: H3C INFORMATION TECHNOLOGY Co.,Ltd. Address before: 310052 Changhe Road, Binjiang District, Hangzhou, Zhejiang Province, No. 466 Patentee before: NEW H3C TECHNOLOGIES Co.,Ltd. |