CN114338777A - 一种逃生控制方法及装置 - Google Patents
一种逃生控制方法及装置 Download PDFInfo
- Publication number
- CN114338777A CN114338777A CN202111583053.7A CN202111583053A CN114338777A CN 114338777 A CN114338777 A CN 114338777A CN 202111583053 A CN202111583053 A CN 202111583053A CN 114338777 A CN114338777 A CN 114338777A
- Authority
- CN
- China
- Prior art keywords
- escape
- terminal
- controller
- authentication
- receiving
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 62
- 238000004590 computer program Methods 0.000 claims description 18
- 238000012544 monitoring process Methods 0.000 claims description 15
- 238000004891 communication Methods 0.000 abstract description 14
- 230000008569 process Effects 0.000 abstract description 13
- 238000010586 diagram Methods 0.000 description 14
- 238000012545 processing Methods 0.000 description 4
- 230000009471 action Effects 0.000 description 3
- 230000008878 coupling Effects 0.000 description 3
- 238000010168 coupling process Methods 0.000 description 3
- 238000005859 coupling reaction Methods 0.000 description 3
- 230000003993 interaction Effects 0.000 description 3
- 230000002452 interceptive effect Effects 0.000 description 3
- 238000010276 construction Methods 0.000 description 2
- 230000006870 function Effects 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000000737 periodic effect Effects 0.000 description 2
- 238000013528 artificial neural network Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 238000005538 encapsulation Methods 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 239000003550 marker Substances 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000004044 response Effects 0.000 description 1
- 230000011664 signaling Effects 0.000 description 1
- 230000001960 triggered effect Effects 0.000 description 1
Images
Landscapes
- Telephonic Communication Services (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本申请提供一种逃生控制方法及装置,应用于数据通信领域,其中,应用于控制器的方法包括:在接入设备确定与服务器之间的认证失败后,接收接入设备发送的逃生标记;当存在新的终端接入时,接收接入设备发送的第一终端信息;基于逃生标记、第一终端信息以及预先存储的逃生规则生成与终端对应的逃生策略;向接入设备发送逃生策略,以使终端根据逃生策略接入目标网络。在上述方案中,当接入设备与服务器认证失败之后,控制器可以接收逃生标记,从而在有新的终端接入时,终端无需重复认证流程,控制器在查询到存在逃生标记时,即生成对应的逃生策略,终端可以基于上述逃生策略进入逃生状态。因此,可以提高采用认证服务逃生的模式后的效率以及安全性。
Description
技术领域
本申请涉及数据通信领域,具体而言,涉及一种逃生控制方法及装置。
背景技术
在现有的软件定义局域网(Software Defined Network Local Area Network,SD-LAN)解决方案终端接入场景中,为达到安全接入和权限控制等目的,通常会使用接入认证功能,即终端在接入时需要进行身份认证。其中,终端在进行身份认证的而过程中,如果出现Radius认证服务不可用的情况,终端就无法正常的通过认证,从而影响到用户的业务开展。
针对上述出现Radius认证服务不可用的情况,现有技术中一般采用认证服务逃生的模式,即逃生发生后新接入终端可以直接放行。但是,在实际应用中,Radius认证的逃生一般是通过Radius认证请求后的响应报文或超时来判断是否进入逃生流程,且每一次触发认证都是重复此流程,导致效率低且安全性低。
发明内容
本申请实施例的目的在于提供一种逃生控制方法及装置,用以解决采用认证服务逃生的模式后导致效率低且安全性低的技术问题。
第一方面,本申请实施例提供一种逃生控制方法,应用于控制器,包括:在接入设备确定与服务器之间的认证失败后,接收所述接入设备发送的逃生标记;其中,所述逃生标记表征对新接入的终端启用逃生状态;当存在新的终端接入时,接收所述接入设备发送的第一终端信息;基于所述逃生标记、所述第一终端信息以及预先存储的逃生规则生成与所述终端对应的逃生策略;向所述接入设备发送所述逃生策略,以使所述终端根据所述逃生策略接入目标网络。在上述方案中,当接入设备确定与服务器之间的认证失败之后,控制器可以接收用于表征对新接入的终端启用逃生状态的逃生标记,从而在有新的终端接入时,终端无需重复认证流程,控制器在查询到存在逃生标记时,即生成对应的逃生策略,终端可以基于上述逃生策略进入逃生状态。因此,可以提高采用认证服务逃生的模式后的效率以及安全性。
在可选的实施方式中,在所述向所述接入设备发送所述逃生策略,以使所述终端根据所述逃生策略接入目标网络之后,所述方法还包括:根据所述第一终端信息生成识别扫描请求;向所述接入设备发送所述识别扫描请求,以使所述接入设备根据所述识别扫描请求获取所述终端的第二终端信息;接收所述接入设备发送的所述第二终端信息,并基于所述第二终端信息以及所述逃生规则更新所述逃生策略;向所述接入设备发送更新后的逃生策略,以使所述终端对接入的目标网络进行更新。在上述方案中,在终端进入逃生状态之后,控制器还可以向接入设备发送识别扫描请求,接入设备可以基于上述识别扫描请求获取终端的第二终端信息,从而使得控制器可以基于上述第二终端信息对终端的逃生策略进行更新,以提高采用认证服务逃生模式后的安全性。
第二方面,本申请实施例提供一种逃生控制方法,应用于接入设备,包括:在所述接入设备确定与服务器之间的认证失败后,向控制器发送逃生标记;其中,所述逃生标记表征对新接入的终端启用逃生状态;当存在新的终端接入时,根据所述逃生状态向所述控制器发送第一终端信息,以使所述控制器基于所述逃生标记、所述第一终端信息以及预先存储的逃生规则生成与所述终端对应的逃生策略;接收所述控制器发送的逃生策略,以使所述终端根据所述逃生策略接入目标网络。在上述方案中,当接入设备确定与服务器之间的认证失败之后,控制器可以接收用于表征对新接入的终端启用逃生状态的逃生标记,从而在有新的终端接入时,终端无需重复认证流程,控制器在查询到存在逃生标记时,即生成对应的逃生策略,终端可以基于上述逃生策略进入逃生状态。因此,可以提高采用认证服务逃生的模式后的效率以及安全性。
在可选的实施方式中,在所述接收所述控制器发送的逃生策略,以使所述终端根据所述逃生策略接入目标网络之后,所述方法还包括:接收所述控制器发送的识别扫描请求;根据所述识别扫描请求获取对应终端的第二终端信息,并向所述控制器发送所述第二终端信息,以使所述控制器基于所述第二终端信息以及所述逃生规则更新所述逃生策略;接收所述控制器发送的更新后的逃生策略,以使所述终端对接入的目标网络进行更新。在上述方案中,在终端进入逃生状态之后,控制器还可以向接入设备发送识别扫描请求,接入设备可以基于上述识别扫描请求获取终端的第二终端信息,从而使得控制器可以基于上述第二终端信息对终端的逃生策略进行更新,以提高采用认证服务逃生模式后的安全性。
在可选的实施方式中,在所述向控制器发送逃生标记之前,所述方法还包括:接收所述控制器发送的认证状态监测请求信息;根据所述认证状态监测请求信息构造对应的认证请求报文,并向所述服务器发送所述认证请求报文;在接收到所述服务器返回的认证失败信息或者未接收到所述服务器返回的认证结果时,确定与所述服务器认证失败。在上述方案中,接入设备可以通过构造认证请求报文与服务器之间进行认证,其中,接入设备接收到服务器返回的认证失败信息或者未接受到服务器返回的认证结果表征认证失败,接入设备可以向控制器发送逃生标记。因此,在有新的终端接入时,终端无需重复认证流程,提高采用认证服务逃生的模式后的效率以及安全性。
第三方面,本申请实施例提供一种逃生控制装置,应用于控制器,包括:接收模块,用于在接入设备确定与服务器之间的认证失败后,接收所述接入设备发送的逃生标记;其中,所述逃生标记表征对新接入的终端启用逃生状态;所述接收模块还用于:当存在新的终端接入时,接收所述接入设备发送的第一终端信息;生成模块,用于基于所述逃生标记、所述第一终端信息以及预先存储的逃生规则生成与所述终端对应的逃生策略;发送模块,用于向所述接入设备发送所述逃生策略,以使所述终端根据所述逃生策略接入目标网络。在上述方案中,当接入设备确定与服务器之间的认证失败之后,控制器可以接收用于表征对新接入的终端启用逃生状态的逃生标记,从而在有新的终端接入时,终端无需重复认证流程,控制器在查询到存在逃生标记时,即生成对应的逃生策略,终端可以基于上述逃生策略进入逃生状态。因此,可以提高采用认证服务逃生的模式后的效率以及安全性。
在可选的实施方式中,所述生成模块还用于:根据所述第一终端信息生成识别扫描请求;所述发送模块还用于:向所述接入设备发送所述识别扫描请求,以使所述接入设备根据所述识别扫描请求获取所述终端的第二终端信息;所述接收模块还用于:接收所述接入设备发送的所述第二终端信息,并基于所述第二终端信息以及所述逃生规则更新所述逃生策略;所述发送模块还用于:向所述接入设备发送更新后的逃生策略,以使所述终端对接入的目标网络进行更新。在上述方案中,在终端进入逃生状态之后,控制器还可以向接入设备发送识别扫描请求,接入设备可以基于上述识别扫描请求获取终端的第二终端信息,从而使得控制器可以基于上述第二终端信息对终端的逃生策略进行更新,以提高采用认证服务逃生模式后的安全性。
第四方面,本申请实施例提供一种逃生控制装置,应用于接入设备,包括:发送模块,用于在所述接入设备确定与服务器之间的认证失败后,向控制器发送逃生标记;其中,所述逃生标记表征对新接入的终端启用逃生状态;所述发送模块还用于:当存在新的终端接入时,根据所述逃生状态向所述控制器发送第一终端信息,以使所述控制器基于所述逃生标记、所述第一终端信息以及预先存储的逃生规则生成与所述终端对应的逃生策略;接收模块,用于接收所述控制器发送的逃生策略,以使所述终端根据所述逃生策略接入目标网络。在上述方案中,当接入设备确定与服务器之间的认证失败之后,控制器可以接收用于表征对新接入的终端启用逃生状态的逃生标记,从而在有新的终端接入时,终端无需重复认证流程,控制器在查询到存在逃生标记时,即生成对应的逃生策略,终端可以基于上述逃生策略进入逃生状态。因此,可以提高采用认证服务逃生的模式后的效率以及安全性。
在可选的实施方式中,所述接收模块还用于:接收所述控制器发送的识别扫描请求;所述逃生控制装置还包括:获取模块,用于根据所述识别扫描请求获取对应终端的第二终端信息,并向所述控制器发送所述第二终端信息,以使所述控制器基于所述第二终端信息以及所述逃生规则更新所述逃生策略;所述接收模块还用于:接收所述控制器发送的更新后的逃生策略,以使所述终端对接入的目标网络进行更新。在上述方案中,在终端进入逃生状态之后,控制器还可以向接入设备发送识别扫描请求,接入设备可以基于上述识别扫描请求获取终端的第二终端信息,从而使得控制器可以基于上述第二终端信息对终端的逃生策略进行更新,以提高采用认证服务逃生模式后的安全性。
在可选的实施方式中,所述接收模块还用于:接收所述控制器发送的认证状态监测请求信息;所述逃生控制装置还包括:构造模块,用于根据所述认证状态监测请求信息构造对应的认证请求报文,并向所述服务器发送所述认证请求报文;所述逃生控制装置还包括:确定模块,用于接收到所述服务器返回的认证失败信息或者未接收到所述服务器返回的认证结果时,确定与所述服务器认证失败。在上述方案中,接入设备可以通过构造认证请求报文与服务器之间进行认证,其中,接入设备接收到服务器返回的认证失败信息或者未接受到服务器返回的认证结果表征认证失败,接入设备可以向控制器发送逃生标记。因此,在有新的终端接入时,终端无需重复认证流程,提高采用认证服务逃生的模式后的效率以及安全性。
第五方面,本申请实施例提供一种计算机程序产品,包括计算机程序指令,所述计算机程序指令被处理器读取并运行时,执行如第一方面所述的方法。
第六方面,本申请实施例提供一种电子设备,包括:处理器、存储器和总线;所述处理器和所述存储器通过所述总线完成相互间的通信;所述存储器存储有可被所述处理器执行的计算机程序指令,所述处理器调用所述计算机程序指令能够执行如第一方面所述的方法。
第七方面,本申请实施例提供一种计算机可读存储介质,所述计算机可读存储介质存储计算机程序指令,所述计算机程序指令被计算机运行时,使所述计算机执行如第一方面所述的方法。
为使本申请的上述目的、特征和优点能更明显易懂,下文特举本申请实施例,并配合所附附图,作详细说明如下。
附图说明
为了更清楚地说明本申请实施例的技术方案,下面将对本申请实施例中所需要使用的附图作简单地介绍,应当理解,以下附图仅示出了本申请的某些实施例,因此不应被看作是对范围的限定,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他相关的附图。
图1为本申请实施例提供的一种逃生控制系统的结构框图;
图2为本申请实施例提供的一种逃生控制方法的交互图;
图3为本申请实施例提供的另一种逃生控制方法的交互图;
图4为本申请实施例提供的又一种逃生控制方法的交互图;
图5为本申请实施例提供的一种应用于控制器的逃生控制装置的结构框图;
图6为本申请实施例提供的一种应用于接入设备的逃生控制装置的结构框图;
图7为本申请实施例提供的一种电子设备的结构框图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行描述。
请参照图1,图1为本申请实施例提供的一种逃生控制系统的结构框图,该逃生控制系统100可以包括:控制器101、接入设备102、服务器103以及终端104。其中,控制器101与接入设备102连接,接入设备102与服务器103以及终端104连接。
具体的,控制器101用于对接入设备102进行控制,例如:向接入设备102下发用于认证的信息、接收接入设备102上报的终端104的信息、生成逃生策略等。作为一种实施方式,控制器101可以采用SDN控制器。
终端104通过接入设备102接入服务器103中,例如:接入设备102获取终端104的信息后,向服务器103发送认证请求,服务器103可以基于上述认证请求完成认证。当接入设备102与服务器103认证成功时,终端104可正常进入网络;而当服务器103与接入设备102认证失败时,终端104可以通过本申请实施例提供的逃生控制方法接入网络中。
基于上述逃生控制系统,本申请实施例还提供一种逃生控制方法,该逃生控制方法可以应用于上述逃生控制系统。请参照图2,图2为本申请实施例提供的一种逃生控制方法的交互图,该逃生控制方法可以包括如下内容:
步骤S201:在接入设备确定与服务器之间的认证失败后,接入设备向控制器发送逃生标记。
步骤S202:当存在新的终端接入时,终端向接入设备发起接入认证。
步骤S203:接入设备在接收到终端发起的接入认证后,根据逃生状态向控制器发送第一终端信息。
步骤S204:控制器在接收到接入设备发送的第一终端信息后,基于逃生标记、第一终端信息以及预先存储的逃生规则生成与终端对应的逃生策略。
步骤S205:控制器向接入设备发送逃生策略。
步骤S206:终端根据逃生策略接入目标网络。
具体的,当接入设备与服务器认证失败之后,为了保证终端可以正常的访问网络,本申请实施例提供的逃生控制系统可以进入认证服务逃生的模式中。为了在接入新的终端时,可以查询到当前是否已经进入认证服务逃生的模式中,因此,接入设备可以向控制器发送一个逃生标记。
其中,上述逃生标记表征接入的终端需启用逃生状态。作为一种实施方式,当接入设备与服务器认证失败之后,接入设备可以启用逃生状态,生成上述逃生标记,并通知控制器启用逃生状态,控制器记录上述逃生标记。
当存在新的终端接入时,终端可以向接入设备发起接入认证,接入设备在接收到终端发起的接入认证后,根据逃生状态向控制器发送第一终端信息。其中,上述第一终端信息可以包括终端的接入端口、与终端对应的接入设备的网际互连协议(InternetProtocol,IP)地址、终端的消息认证码(Message Authentication Code,MAC)、终端IP等信息。
作为一种实施方式,接入设备可以通过MAC表知晓上述第一终端信息中的接入端口和终端MAC;终端IP则可以通过地址解析协议(Address Resolution Protocol,ARP)获取;而接入设备IP接入设备自身是知晓的。
接下来,控制器可以查询逃生标记,若查询到对应的逃生标记则表明当前终端应该进入逃生状态,因此,控制器可以根据上述第一终端信息以及预先存储的逃生规则生成与终端对应的逃生策略。
其中,逃生规则可以包括访问控制列表(Access Control Lists,ACL)以及虚拟局域网(Virtual Local Area Network,VLAN)身份标识号(Identity document,ID)。而生成的逃生策略即表征该终端可以接入哪些网络中。因此,基于逃生策略可以使终端接入目标网络中。可以理解的是,当终端逃生后,此时可以完全访问目标网络或者受限访问目标网络,取决于上述逃生策略。
作为一种实施方式,ACL可以绑定在终端接入的端口IN方向上。这样,终端便可以基于上述逃生策略进行逃生。
在上述方案中,当接入设备与服务器认证失败之后,控制器可以接收用于表征接入的终端需要启用逃生状态的逃生标记,从而在有新的终端接入时,终端无需重复认证流程,控制器在查询到存在逃生标记时,即生成对应的逃生策略,终端可以基于上述逃生策略进入逃生状态。因此,可以提高采用认证服务逃生的模式后的效率以及安全性。
进一步的,在上述实施例的基础上,请参照图3,图3为本申请实施例提供的另一种逃生控制方法的交互图,在上述步骤S207之后,本申请实施例提供的逃生控制方法还可以包括如下内容:
步骤S301:控制器根据第一终端信息生成识别扫描请求。
步骤S302:控制器向接入设备发送识别扫描请求。
步骤S303:接入设备在接收到控制器发送的识别扫描请求后,根据识别扫描请求获取终端的第二终端信息,并向控制器发送第二终端信息。
步骤S304:控制器在接收到接入设备发送的第二终端信息后,基于第二终端信息以及逃生规则更新逃生策略。
步骤S305:控制器向接入设备发送更新后的逃生策略。
步骤S306:终端根据更新后的逃生策略对接入的目标网络进行更新。
具体的,逃生规则还可以包括终端的厂商、类型、操作系统、开放端口等信息。作为一种实施方式,当终端逃生后,接入设备可以定期将已逃生终端MAC、IP、所属VLAN等信息上报至控制器,控制器将上述信息存入缓存信息中。
当控制器需要对逃生终端的合法性进行检测时,可以基于多个逃生终端的第一终端信息(例如:MAC、IP、VLAN ID等信息),生成识别扫描请求并发送给接入设备。接入设备在接收到上述识别扫描请求后,可以根据上述识别扫描请求获取对应终端的第二终端信息。其中,上述第二终端信息可以包括终端的厂商、类型、操作系统、开放端口等信息。
作为一种实施方式,接入设备在接收到上述识别扫描请求后,可以将对应的识别扫描任务加入内置的扫描模块进程队列,并使用任务请求中的VLAN对应的IP地址对终端IP地址串行或并行进行扫描识别。
扫描完成后,接入设备可以存储第二终端信息,并将第二终端信息上报给控制器。控制器接收到上报数据之后,可以将第二终端信息与逃生规则进行比对。如果第二终端信息与逃生规则不匹配,则可以将逃生策略进行更新,以拒绝该已逃生的终端接入目标网络中。
可以理解的是,接入设备可能扫描同一个终端每次的结果都不一致,因此控制器可以考虑容错,在逃生规则中定义最低要求,例如:只满足厂商或者未开放端口等。
在上述方案中,在终端进入逃生状态之后,控制器还可以向接入设备发送识别扫描请求,接入设备可以基于上述识别扫描请求获取终端的第二终端信息,从而使得控制器可以基于上述第二终端信息对终端的逃生策略进行更新,以提高采用认证服务逃生模式后的安全性。
进一步的,在上述实施例的基础上,请参照图4,图4为本申请实施例提供的又一种逃生控制方法的交互图,在上述步骤S101之前,本申请实施例提供的逃生控制方法还可以包括如下内容:
步骤S401:控制器向接入设备发送认证状态监测请求信息。
步骤S402:接入设备在接收到控制器发送的认证状态监测请求信息后,根据认证状态监测请求信息构造对应的认证请求报文。
步骤S403:接入设备向服务器发送认证请求报文。
步骤S404:服务器基于认证请求报文进行认证。
步骤S405:接入设备在接收到服务器返回的认证失败信息或者未接收到服务器返回的认证结果时,确定与服务器认证失败。
具体的,控制器可以向接入设备发送认证状态监测请求信息,其中,认证状态监测请求信息可以包括认证使用的共享秘钥、用户账户名及密码等信息。作为一种实施方式,控制器向接入设备发送上述认证状态监测请求信息的过程可以是一个加密了的过程。
作为另一种实施方式,控制器上可以提供一个设备配置管理模块,用于对接入设备IP、接入设备MAC、接入设备ID、接入设备KEY、认证用户名、密码、VLAN、周期时间字段等信息进行存储。
然后,接入设备可以基于上述认证状态监测请求信息构造对应的认证请求报文,服务器可以基于该认证请求报文与接入设备之间进行认证。作为一种实施方式,接入设备可以调用802.1X认证模块,内部进程构造认证请求报文并维护本次认证会话(使用传入的共享秘钥及密码),并驱动封装报文后进行IP转发。
可以理解的是,如果服务器认证成功,则将会向接入设备返回表征认证成功的认证成功信息;而如果服务器认证失败,则将会向接入设备返回表征认证失败的认证失败信息;而如果服务器出现故障,则接入设备将接收不到服务器返回的认证结果。其中,后续两种情况都可以确定为认证失败。
作为一种实施方式,当接入设备未接收到服务器返回的认证结果时,接入设备可以再尝试认证多次(例如:3次),若多次认证均没有接收到服务器返回的认证结果时,可以认为认证失败。
在上述方案中,接入设备可以通过构造认证请求报文与服务器之间进行认证,其中,接入设备接收到服务器返回的认证失败信息或者未接受到服务器返回的认证结果表征认证失败,接入设备可以向控制器发送逃生标记。因此,在有新的终端接入时,终端无需重复认证流程,提高采用认证服务逃生的模式后的效率以及安全性。
进一步的,在执行上述步骤S401之前,控制器与接入设备之间可以建立通信通道。作为一种实施方式,控制器与接入设备之间可以通过IP通信建立Netconf通道,用于后续设备的信息上报和控制器配置下发。
进一步的,控制器可以控制接入设备进行周期性的认证自检,即接入设备可以每隔一段时间向服务器发送认证请求报文。如果某一次接入设备接收到服务器返回的认证成功信息,则说明此时接入设备与服务器认证成功,接入设备以及控制器可以解除逃生状态,新加入的终端可以正常进行认证以接入目标网络中。
作为一种实施方式,当控制器解除逃生状态之后,可以回收下发的逃生策略,并控制已逃生的终端是否需要重新进行认证。如果已逃生的终端需要进行重新认证,则控制器可以通知接入设备,接入设备根据终端的第一终端信息构造认证请求报文;如果已逃生的终端不需要进行重新认证,则可以使用原有的逃生策略。
在上述方案中,接入设备可以进行周期性的认证自检,从而在认证恢复正常时及时解除逃生状态,以提高安全性。
请参照图5,图5为本申请实施例提供的一种应用于控制器的逃生控制装置的结构框图,该逃生控制装置500可以包括:接收模块501,用于在接入设备确定与服务器之间的认证失败后,接收所述接入设备发送的逃生标记;其中,所述逃生标记表征对新接入的终端启用逃生状态;所述接收模块501还用于:当存在新的终端接入时,接收所述接入设备发送的第一终端信息;生成模块502,用于基于所述逃生标记、所述第一终端信息以及预先存储的逃生规则生成与所述终端对应的逃生策略;发送模块503,用于向所述接入设备发送所述逃生策略,以使所述终端根据所述逃生策略接入目标网络。
在本申请实施例中,当接入设备确定与服务器之间的认证失败之后,控制器可以接收用于表征对新接入的终端启用逃生状态的逃生标记,从而在有新的终端接入时,终端无需重复认证流程,控制器在查询到存在逃生标记时,即生成对应的逃生策略,终端可以基于上述逃生策略进入逃生状态。因此,可以提高采用认证服务逃生的模式后的效率以及安全性。
进一步的,所述生成模块502还用于:根据所述第一终端信息生成识别扫描请求;所述发送模块503还用于:向所述接入设备发送所述识别扫描请求,以使所述接入设备根据所述识别扫描请求获取对应终端的第二终端信息;所述接收模块501还用于:接收所述接入设备发送的所述第二终端信息,并基于所述第二终端信息以及所述逃生规则更新所述逃生策略;所述发送模块503还用于:向所述接入设备发送更新后的逃生策略,以使所述终端对接入的目标网络进行更新。
在本申请实施例中,在终端进入逃生状态之后,控制器还可以向接入设备发送识别扫描请求,接入设备可以基于上述识别扫描请求获取终端的第二终端信息,从而使得控制器可以基于上述第二终端信息对终端的逃生策略进行更新,以提高采用认证服务逃生模式后的安全性。
请参照图6,图6为本申请实施例提供的一种应用于接入设备的逃生控制装置的结构框图,该逃生控制装置600可以包括:发送模块601,用于在所述接入设备确定与服务器之间的认证失败后,向控制器发送逃生标记;其中,所述逃生标记表征对新接入的终端启用逃生状态;所述发送模块601还用于:当存在新的终端接入时,根据所述逃生状态向所述控制器发送第一终端信息,以使所述控制器基于所述逃生标记、所述第一终端信息以及预先存储的逃生规则生成与所述终端对应的逃生策略;接收模块602,用于接收所述控制器发送的逃生策略,以使所述终端根据所述逃生策略接入目标网络。
在本申请实施例中,当接入设备确定与服务器之间的认证失败之后,控制器可以接收用于表征对新接入的终端启用逃生状态的逃生标记,从而在有新的终端接入时,终端无需重复认证流程,控制器在查询到存在逃生标记时,即生成对应的逃生策略,终端可以基于上述逃生策略进入逃生状态。因此,可以提高采用认证服务逃生的模式后的效率以及安全性。
进一步的,所述接收模块602还用于:接收所述控制器发送的识别扫描请求;所述逃生控制装置600还包括:获取模块,用于根据所述识别扫描请求获取对应终端的第二终端信息,并向所述控制器发送所述第二终端信息,以使所述控制器基于所述第二终端信息以及所述逃生规则更新所述逃生策略;所述接收模块602还用于:接收所述控制器发送的更新后的逃生策略,以使所述终端对接入的目标网络进行更新。
在本申请实施例中,在终端进入逃生状态之后,控制器还可以向接入设备发送识别扫描请求,接入设备可以基于上述识别扫描请求获取终端的第二终端信息,从而使得控制器可以基于上述第二终端信息对终端的逃生策略进行更新,以提高采用认证服务逃生模式后的安全性。
进一步的,所述接收模块602还用于:接收所述控制器发送的认证状态监测请求信息;所述逃生控制装置600还包括:构造模块,用于根据所述认证状态监测请求信息构造对应的认证请求报文,并向所述服务器发送所述认证请求报文;所述逃生控制装置600还包括:确定模块,用于接收到所述服务器返回的认证失败信息或者未接收到所述服务器返回的认证结果时,确定与所述服务器认证失败。
在本申请实施例中,接入设备可以通过构造认证请求报文与服务器之间进行认证,其中,接入设备接收到服务器返回的认证失败信息或者未接受到服务器返回的认证结果表征认证失败,接入设备可以向控制器发送逃生标记。因此,在有新的终端接入时,终端无需重复认证流程,提高采用认证服务逃生的模式后的效率以及安全性。
请参照图7,图7为本申请实施例提供的一种电子设备的结构框图,该电子设备700包括:至少一个处理器701,至少一个通信接口702,至少一个存储器703和至少一个通信总线704。其中,通信总线704用于实现这些组件直接的连接通信,通信接口702用于与其他节点设备进行信令或数据的通信,存储器703存储有处理器701可执行的机器可读指令。当电子设备700运行时,处理器701与存储器703之间通过通信总线704通信,机器可读指令被处理器701调用时执行上述逃生控制方法。
例如,本申请实施例的处理器701通过通信总线704从存储器703读取计算机程序并执行该计算机程序可以实现如下方法:步骤S201:在接入设备确定与服务器之间的认证失败后,接入设备向控制器发送逃生标记。步骤S202:当存在新的终端接入时,终端向接入设备发起接入认证。步骤S203:接入设备在接收到终端发起的接入认证后,根据逃生状态向控制器发送第一终端信息。步骤S204:控制器在接收到接入设备发送的第一终端信息后,基于逃生标记、第一终端信息以及预先存储的逃生规则生成与终端对应的逃生策略。步骤S205:控制器向接入设备发送逃生策略。步骤S206:终端根据逃生策略接入目标网络。
其中,处理器701包括一个或多个,其可以是一种集成电路芯片,具有信号的处理能力。上述的处理器701可以是通用处理器,包括中央处理器(Central Processing Unit,简称CPU)、微控制单元(Micro Controller Unit,简称MCU)、网络处理器(NetworkProcessor,简称NP)或者其他常规处理器;还可以是专用处理器,包括神经网络处理器(Neural-network Processing Unit,简称NPU)、图形处理器(Graphics Processing Unit,简称GPU)、数字信号处理器(Digital Signal Processor,简称DSP)、专用集成电路(Application Specific Integrated Circuits,简称ASIC)、现场可编程门阵列(FieldProgrammable Gate Array,简称FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。并且,在处理器701为多个时,其中的一部分可以是通用处理器,另一部分可以是专用处理器。
存储器703包括一个或多个,其可以是,但不限于,随机存取存储器(RandomAccess Memory,简称RAM),只读存储器(Read Only Memory,简称ROM),可编程只读存储器(Programmable Read-Only Memory,简称PROM),可擦除可编程只读存储器(ErasableProgrammable Read-Only Memory,简称EPROM),电可擦除可编程只读存储器(ElectricErasable Programmable Read-Only Memory,简称EEPROM)等。
可以理解,图7所示的结构仅为示意,电子设备700还可包括比图7中所示更多或者更少的组件,或者具有与图7所示不同的配置。图7中所示的各组件可以采用硬件、软件或其组合实现。于本申请实施例中,电子设备700可以是,但不限于台式机、笔记本电脑、智能手机、智能穿戴设备、车载设备等实体设备,还可以是虚拟机等虚拟设备。另外,电子设备700也不一定是单台设备,还可以是多台设备的组合,例如服务器集群,等等。
本申请实施例还提供一种计算机程序产品,包括存储在计算机可读存储介质上的计算机程序,计算机程序包括计算机程序指令,当计算机程序指令被计算机执行时,计算机能够执行上述实施例中逃生控制方法的步骤,例如包括:在接入设备确定与服务器之间的认证失败后,接收所述接入设备发送的逃生标记;其中,所述逃生标记表征对新接入的终端启用逃生状态;当存在新的终端接入时,接收所述接入设备发送的第一终端信息;基于所述逃生标记、所述第一终端信息以及预先存储的逃生规则生成与所述终端对应的逃生策略;向所述接入设备发送所述逃生策略,以使所述终端根据所述逃生策略接入目标网络。
在本申请所提供的实施例中,应该理解到,所揭露装置和方法,可以通过其它的方式实现。以上所描述的装置实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,又例如,多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些通信接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
另外,作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
再者,在本申请各个实施例中的各功能模块可以集成在一起形成一个独立的部分,也可以是各个模块单独存在,也可以两个或两个以上模块集成形成一个独立的部分。
需要说明的是,功能如果以软件功能模块的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(Read-Only Memory,ROM)随机存取存储器(Random Access Memory,RAM)、磁碟或者光盘等各种可以存储程序代码的介质。
在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。
以上所述仅为本申请的实施例而已,并不用于限制本申请的保护范围,对于本领域的技术人员来说,本申请可以有各种更改和变化。凡在本申请的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本申请的保护范围之内。
Claims (10)
1.一种逃生控制方法,其特征在于,应用于控制器,包括:
在接入设备确定与服务器之间的认证失败后,接收所述接入设备发送的逃生标记;其中,所述逃生标记表征对新接入的终端启用逃生状态;
当存在新的终端接入时,接收所述接入设备发送的第一终端信息;
基于所述逃生标记、所述第一终端信息以及预先存储的逃生规则生成与所述终端对应的逃生策略;
向所述接入设备发送所述逃生策略,以使所述终端根据所述逃生策略接入目标网络。
2.根据权利要求1所述逃生控制方法,其特征在于,在所述向所述接入设备发送所述逃生策略,以使所述终端根据所述逃生策略接入目标网络之后,所述方法还包括:
根据所述第一终端信息生成识别扫描请求;
向所述接入设备发送所述识别扫描请求,以使所述接入设备根据所述识别扫描请求获取所述终端的第二终端信息;
接收所述接入设备发送的所述第二终端信息,并基于所述第二终端信息以及所述逃生规则更新所述逃生策略;
向所述接入设备发送更新后的逃生策略,以使所述终端对接入的目标网络进行更新。
3.一种逃生控制方法,其特征在于,应用于接入设备,包括:
在所述接入设备确定与服务器之间的认证失败后,向控制器发送逃生标记;其中,所述逃生标记表征对新接入的终端启用逃生状态;
当存在新的终端接入时,根据所述逃生状态向所述控制器发送第一终端信息,以使所述控制器基于所述逃生标记、所述第一终端信息以及预先存储的逃生规则生成与所述终端对应的逃生策略;
接收所述控制器发送的逃生策略,以使所述终端根据所述逃生策略接入目标网络。
4.根据权利要求3所述的逃生控制方法,其特征在于,在所述接收所述控制器发送的逃生策略,以使所述终端根据所述逃生策略接入目标网络之后,所述方法还包括:
接收所述控制器发送的识别扫描请求;
根据所述识别扫描请求获取对应终端的第二终端信息,并向所述控制器发送所述第二终端信息,以使所述控制器基于所述第二终端信息以及所述逃生规则更新所述逃生策略;
接收所述控制器发送的更新后的逃生策略,以使所述终端对接入的目标网络进行更新。
5.根据权利要求3或4所述的逃生控制方法,其特征在于,在所述向控制器发送逃生标记之前,所述方法还包括:
接收所述控制器发送的认证状态监测请求信息;
根据所述认证状态监测请求信息构造对应的认证请求报文,并向所述服务器发送所述认证请求报文;
在接收到所述服务器返回的认证失败信息或者未接收到所述服务器返回的认证结果时,确定与所述服务器认证失败。
6.一种逃生控制装置,其特征在于,应用于控制器,包括:
接收模块,用于在接入设备确定与服务器之间的认证失败后,接收所述接入设备发送的逃生标记;其中,所述逃生标记表征对新接入的终端启用逃生状态;
所述接收模块还用于:当存在新的终端接入时,接收所述接入设备发送的第一终端信息;
生成模块,用于基于所述逃生标记、所述第一终端信息以及预先存储的逃生规则生成与所述终端对应的逃生策略;
发送模块,用于向所述接入设备发送所述逃生策略,以使所述终端根据所述逃生策略接入目标网络。
7.一种逃生控制装置,其特征在于,应用于接入设备,包括:
发送模块,用于在所述接入设备确定与服务器之间的认证失败后,向控制器发送逃生标记;其中,所述逃生标记表征对新接入的终端启用逃生状态;
所述发送模块还用于:当存在新的终端接入时,根据所述逃生状态向所述控制器发送第一终端信息,以使所述控制器基于所述逃生标记、所述第一终端信息以及预先存储的逃生规则生成与所述终端对应的逃生策略;
接收模块,用于接收所述控制器发送的逃生策略,以使所述终端根据所述逃生策略接入目标网络。
8.一种计算机程序产品,其特征在于,包括计算机程序指令,所述计算机程序指令被处理器读取并运行时,执行如权利要求1-5任一项所述的方法。
9.一种电子设备,其特征在于,包括:处理器、存储器和总线;
所述处理器和所述存储器通过所述总线完成相互间的通信;
所述存储器存储有可被所述处理器执行的计算机程序指令,所述处理器调用所述计算机程序指令能够执行如权利要求1-5任一项所述的方法。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质存储计算机程序指令,所述计算机程序指令被计算机运行时,使所述计算机执行如权利要求1-5任一项所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111583053.7A CN114338777B (zh) | 2021-12-22 | 2021-12-22 | 一种逃生控制方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111583053.7A CN114338777B (zh) | 2021-12-22 | 2021-12-22 | 一种逃生控制方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN114338777A true CN114338777A (zh) | 2022-04-12 |
| CN114338777B CN114338777B (zh) | 2024-04-09 |
Family
ID=81054266
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202111583053.7A Active CN114338777B (zh) | 2021-12-22 | 2021-12-22 | 一种逃生控制方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN114338777B (zh) |
Citations (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20070028104A1 (en) * | 2005-08-01 | 2007-02-01 | Cohen Daniel C | Communication protocol and method for authenticating a system |
| CN105898786A (zh) * | 2016-04-12 | 2016-08-24 | 上海斐讯数据通信技术有限公司 | 一种接入点逃生方法和系统 |
| US20160284183A1 (en) * | 2014-08-19 | 2016-09-29 | Sensormatic Electronics, LLC | Tailgating Detection in Frictionless Access Control System |
| CN106878139A (zh) * | 2017-03-17 | 2017-06-20 | 迈普通信技术股份有限公司 | 基于802.1x协议的认证逃生方法及装置 |
| CN107682372A (zh) * | 2017-11-21 | 2018-02-09 | 北京安博通科技股份有限公司 | 用于Portal逃生的用户信息获取及认证方法、装置和接入设备 |
| US20180293367A1 (en) * | 2017-04-05 | 2018-10-11 | Google Llc | Multi-Factor Authentication via Network-Connected Devices |
| WO2020177502A1 (zh) * | 2019-03-01 | 2020-09-10 | 华为技术有限公司 | 一种认证结果更新的方法和通信装置 |
| CN112312400A (zh) * | 2020-10-15 | 2021-02-02 | 新华三大数据技术有限公司 | 一种接入控制方法、接入控制器及存储介质 |
| CN112839331A (zh) * | 2019-11-22 | 2021-05-25 | 武汉神州数码云科网络技术有限公司 | 一种用于无线局域网Portal认证逃生的用户信息认证方法 |
| CN113572773A (zh) * | 2021-07-27 | 2021-10-29 | 迈普通信技术股份有限公司 | 一种接入设备及终端接入控制方法 |
-
2021
- 2021-12-22 CN CN202111583053.7A patent/CN114338777B/zh active Active
Patent Citations (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20070028104A1 (en) * | 2005-08-01 | 2007-02-01 | Cohen Daniel C | Communication protocol and method for authenticating a system |
| US20160284183A1 (en) * | 2014-08-19 | 2016-09-29 | Sensormatic Electronics, LLC | Tailgating Detection in Frictionless Access Control System |
| CN105898786A (zh) * | 2016-04-12 | 2016-08-24 | 上海斐讯数据通信技术有限公司 | 一种接入点逃生方法和系统 |
| CN106878139A (zh) * | 2017-03-17 | 2017-06-20 | 迈普通信技术股份有限公司 | 基于802.1x协议的认证逃生方法及装置 |
| US20180293367A1 (en) * | 2017-04-05 | 2018-10-11 | Google Llc | Multi-Factor Authentication via Network-Connected Devices |
| CN107682372A (zh) * | 2017-11-21 | 2018-02-09 | 北京安博通科技股份有限公司 | 用于Portal逃生的用户信息获取及认证方法、装置和接入设备 |
| WO2020177502A1 (zh) * | 2019-03-01 | 2020-09-10 | 华为技术有限公司 | 一种认证结果更新的方法和通信装置 |
| CN112839331A (zh) * | 2019-11-22 | 2021-05-25 | 武汉神州数码云科网络技术有限公司 | 一种用于无线局域网Portal认证逃生的用户信息认证方法 |
| CN112312400A (zh) * | 2020-10-15 | 2021-02-02 | 新华三大数据技术有限公司 | 一种接入控制方法、接入控制器及存储介质 |
| CN113572773A (zh) * | 2021-07-27 | 2021-10-29 | 迈普通信技术股份有限公司 | 一种接入设备及终端接入控制方法 |
Non-Patent Citations (4)
| Title |
|---|
| "Iterative Versus Standard Deferred Acceptance: Experimental Evidence", THE ECONOMIC JOURNAL, vol. 130, no. 626, 31 December 2020 (2020-12-31) * |
| ASHA, S.;CHELLAPPAN, C.: "Authentication of e-learners using multimodal biometric technology", 万方外文会议文献数据库, 31 December 2008 (2008-12-31) * |
| 任治洪;: "局域网Portal认证研究及应用", 甘肃科技, no. 12, 30 June 2012 (2012-06-30) * |
| 邓永晖;周佳;鹿文杨;: "基于软件定义的网络准入控制体系", 通信技术, no. 04, 10 April 2020 (2020-04-10) * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN114338777B (zh) | 2024-04-09 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN111163182B (zh) | 基于区块链的设备注册方法、装置、电子设备和存储介质 | |
| CN110661658B (zh) | 一种区块链网络的节点管理方法、装置及计算机存储介质 | |
| CN109688186B (zh) | 数据交互方法、装置、设备及可读存储介质 | |
| CN103077345B (zh) | 基于虚拟机的软件授权方法及系统 | |
| US20210377281A1 (en) | Method and system for management and resolution of blockchain-based top-level domain | |
| CN111460458B (zh) | 一种数据处理方法、相关装置及计算机可存储介质 | |
| US20200007385A1 (en) | Compromised network node detection system | |
| CN110597918A (zh) | 一种账户管理方法、装置及计算机可读存储介质 | |
| CN111367923A (zh) | 数据处理方法、装置、节点设备及存储介质 | |
| CN110881186B (zh) | 非法设备识别方法、装置、电子设备及可读存储介质 | |
| CN112636977B (zh) | 物联网设备管理方法、注册方法、装置、系统及电子设备 | |
| CN112651044B (zh) | 基于区块链技术的业务交易方法、系统及存储介质 | |
| CN111597537B (zh) | 基于区块链网络的证书签发方法、相关设备及介质 | |
| CN114338777B (zh) | 一种逃生控制方法及装置 | |
| CN113992387B (zh) | 资源管理方法、装置、系统、电子设备和可读存储介质 | |
| CN112130932B (zh) | 一种单实例运行的方法、装置及电子设备 | |
| CN110995738B (zh) | 暴力破解行为识别方法、装置、电子设备及可读存储介质 | |
| CN111510431B (zh) | 一种泛终端准入管控平台、客户端及管控方法 | |
| CN108462713B (zh) | 一种客户端进行可信验证的方法和系统 | |
| CN111786940A (zh) | 一种数据处理方法及装置 | |
| CN110941412A (zh) | 基于图片化实现多终端动画协同浏览的方法、系统及终端 | |
| US20240223390A1 (en) | Blockchain system | |
| CN110597557A (zh) | 一种系统信息获取方法、终端及介质 | |
| CN114117373B (zh) | 一种基于密钥的设备认证系统和方法 | |
| WO2023109450A1 (zh) | 访问控制方法及其相关装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |