CN114826668B - 一种采集在线终端信息的方法、设备、存储介质 - Google Patents
一种采集在线终端信息的方法、设备、存储介质 Download PDFInfo
- Publication number
- CN114826668B CN114826668B CN202210285938.7A CN202210285938A CN114826668B CN 114826668 B CN114826668 B CN 114826668B CN 202210285938 A CN202210285938 A CN 202210285938A CN 114826668 B CN114826668 B CN 114826668B
- Authority
- CN
- China
- Prior art keywords
- authentication
- information
- terminal
- server
- access equipment
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 54
- 238000012795 verification Methods 0.000 claims abstract description 14
- 238000004806 packaging method and process Methods 0.000 claims abstract description 10
- 238000013475 authorization Methods 0.000 claims description 16
- 230000008859 change Effects 0.000 claims description 9
- 230000007246 mechanism Effects 0.000 claims description 9
- 230000006855 networking Effects 0.000 claims description 7
- 230000006870 function Effects 0.000 claims description 4
- 230000000977 initiatory effect Effects 0.000 claims 1
- 230000008569 process Effects 0.000 description 7
- 230000009286 beneficial effect Effects 0.000 description 4
- 238000010586 diagram Methods 0.000 description 4
- 230000003993 interaction Effects 0.000 description 4
- 238000012423 maintenance Methods 0.000 description 4
- 230000000694 effects Effects 0.000 description 3
- 239000002071 nanotube Substances 0.000 description 3
- 238000004891 communication Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000000750 progressive effect Effects 0.000 description 2
- 230000006399 behavior Effects 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 238000012545 processing Methods 0.000 description 1
- 239000000523 sample Substances 0.000 description 1
- 239000002699 waste material Substances 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
Landscapes
- Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Telephonic Communication Services (AREA)
- Computer And Data Communications (AREA)
Abstract
本申请公开了一种采集在线终端信息的方法、设备、存储介质,该方法包括:通过接入设备接收认证终端根据用户名和密码发起的认证请求数据,对所述认证请求数据进行封装后生成请求报文,将所述请求报文发送至认证服务器;通过所述认证服务器对所述请求报文进行解析,并验证所述请求报文中携带的认证信息,在验证所述认证信息合法后,认证服务器将认证成功的终端验证成功的通知信息实时推送至syslog服务器;通过所述syslog服务器将所述通知信息推送至SDN控制器进行解析,得到关键信息,根据所述关键信息确定与所述认证服务器进行交互的接入设备;SDN控制器根据所述接入设备的IP地址获取认证会话表项,根据所述认证会话表项和所述通知信息获得所述认证终端的各项信息。
Description
技术领域
本申请涉及网络安全领域,尤其涉及一种采集在线终端信息的方法、设备、存储介质。
背景技术
在企业应用的办公网络中,存在诸多地域与部门各类级别的办公用户,为保证用户登录身份的合法性以及保护企业网络的安全性,企业网络往往会开启认证登录系统,只有认证成功并赋予权限的用户可以正常访问企业内部及外部网络。由于企业网络往往都不需要开启计费系统,因此无法获取认证成功用户的上线信息及后续状态,从而无法保存用户的在线记录,不利于办公网络的运行与维护。
公开号为CN2019112582468的终端接入办公网络安全管控方法及认证服务器。该申请实施例中的终端认证信息获取方法,认证终端发起认证请求,通过获取模块获取并解析终端与认证服务器间的通信报文,然后通过判断模块去判断获取模块得到的通信报文的各项内容,其中,先判断报文中是否包含认证成功或者失败通知,如果包含则继续判断报文格式是否合规,如果报文格式合规则继续判断报文中相应字段值是否符合要求,如果符合要求则获取到认证终端的用户名、密码,MAC地址,终端连接交换机的接入端口与设备地址。
上述专利方案的缺点为:
1.认证终端与认证服务器进行交互过程中,通过获取模块获取包含认证结果的报文,然而交互过程中会存在多次且涵盖大量数据的报文,需要每次都获取报文并分析,但其中大部分报文并不符合判断模块要求,造成资源浪费。
2.对获取的报文通过判断模块判断时,需要进行多次判断,且这多次判断为递进关系,只有依次通过各项条件才可确定报文中所需的终端信息,信息获取方式不够简便。
3.截取并分析报文所获取的终端信息属性较少。
发明内容
本申请提供了一种基于SDN的在线终端采集方法、设备、存储介质,解决了在未开启计费模式下,难以唯一确定在线终端信息及上线时间,不能及时维护终端的网络授权状态的问题。
一种采集在线终端信息的方法,包括:
通过接入设备接收认证终端根据用户名和密码发起的认证请求数据,对所述认证请求数据进行封装后生成请求报文,将所述请求报文发送至认证服务器;
通过所述认证服务器对所述请求报文进行解析,并验证所述请求报文中携带的认证信息,在验证所述认证信息合法后,认证服务器将认证成功的终端验证成功的通知信息实时推送至syslog服务器;
通过所述syslog服务器将所述通知信息推送至软件定义网络SDN控制器进行解析,得到关键信息,根据所述关键信息确定与所述认证服务器进行交互的接入设备;
SDN控制器根据所述接入设备的IP地址获取认证会话表项,根据所述认证会话表项和所述通知信息获得所述认证终端的各项信息。
在本申请的一种实施例中,在验证所述请求报文中携带的认证信息合法后,所述方法还包括:认证服务器对认证通过的认证终端返回验证成功的通知信息,并根据所述通知信息确定与所述认证终端连接的的接入设备;
通过所述接入设备获取认证会话表项,根据所述认证会话表项解析出所述认证终端对应的MAC地址;
根据所述MAC地址确定用户的在线终端信息和终端上线时间。
在本申请的一种实施例中,所述通过所述syslog服务器将所述通知信息推送至SDN控制器进行解析,得到关键信息,根据所述关键信息确定与所述认证服务器进行交互的接入设备,具体包括:通过所述syslog服务器将所述通知信息推送至SDN控制器进行解析,获取认证成功的认证终端的上线时间、认证用户名和接入设备的IP地址信息;SDN控制器根据所述接入设备的IP地址,从所述接入设备获取认证成功的认证终端的认证会话信息,其中,所述认证会话信息包括接入设备的端口、认证终端的媒体访问控制(Medium/MediaAccess Control,MAC)地址、终端网络授权状态,终端认证用户名信息。
在本申请的一种实施例中,在确定与所述认证服务器进行交互的接入设备后,所述方法还包括:确定所述接入设备新增的认证会话,根据所述新增的认证会话确定新增的认证会话表项,将所述新增的认证会话表项存入数据库中;判断所述接入设备中已存在的认证会话包含的MAC地址在所述数据库中是否有对应表项,若是,根据预设的更新机制更新数据库中已存在的认证终端的授权状态以及认证用户名信息。
在本申请的一种实施例中,在获取所述接入设备的认证会话表项后,所述方法还包括:将所述认证会话表项进行解析,得到认证会话信息,将所述认证会话信息并存入数据库中;并将用户上线时间以及依据MAC地址获取的设备类型存入所述数据库。
在本申请的一种实施例中,所述方法还包括:通过所述SDN控制器确定所述接入设备所处的组网,获取所述组网的网关设备的IP地址;根据所述网关设备的IP地址和IP地址解析协议(Address Resolution Protocol,ARP)表项获取认证终端的IP地址并同步更新数据库对应表项内容;根据所述通知信息中包含的认证用户名可以匹配接入设备端的认证用户名,从而锁定认证终端的MAC地址及所述认证终端的相关信息。
在本申请的一种实施例中,所述根据预设的更新机制对所述新增的认证会话表项进行更新,具体包括:将认证会话中的认证用户名以及授权状态与数据库中已有值进行比较,若存在与数据库中的值未匹配的属性,则根据预设更新时间更新变化项。
在本申请的一种实施例中,在认证终端发起认证请求之前,所述方法还包括:通过SDN控制器构建认证初始环境,以使认证终端连接的接入设备对应的端口使能802.1x功能;将认证服务器同步认证用户名及密码。
一种采集在线终端信息的设备,包括:
至少一个处理器;以及,
与所述至少一个处理器通信连接的存储器;其中,
所述存储器存储有可被所述至少一个处理器执行的指令,所述指令被所述至少一个处理器执行,以使所述至少一个处理器能够:
通过接入设备接收认证终端根据用户名和密码发起的认证请求数据,对所述认证请求数据进行封装后生成请求报文,将所述请求报文发送至认证服务器;
通过所述认证服务器对所述请求报文进行解析,并验证所述请求报文中携带的认证信息,在验证所述认证信息合法后,认证服务器将认证成功的终端验证成功的通知信息实时推送至syslog服务器;
通过所述syslog服务器将所述通知信息推送至SDN控制器进行解析,得到关键信息,根据所述关键信息确定与所述认证服务器进行交互的接入设备;
SDN控制器根据所述接入设备的IP地址获取认证会话表项,根据所述认证会话表项和所述通知信息获得所述认证终端的各项信息。
一种非易失性存储介质,存储有计算机可执行指令,所述计算机可执行指令设置为:
通过接入设备接收认证终端根据用户名和密码发起的认证请求数据,对所述认证请求数据进行封装后生成请求报文,将所述请求报文发送至认证服务器;
通过所述认证服务器对所述请求报文进行解析,并验证所述请求报文中携带的认证信息,在验证所述认证信息合法后,认证服务器将认证成功的终端验证成功的通知信息实时推送至syslog服务器;
通过所述syslog服务器将所述通知信息推送至SDN控制器进行解析,得到关键信息,根据所述关键信息确定与所述认证服务器进行交互的接入设备;
SDN控制器根据所述接入设备的IP地址获取认证会话表项,根据所述认证会话表项和所述通知信息获得所述认证终端的各项信息。
本申请提供了一种采集在线终端信息的方法、设备、存储介质,至少包括以下有益效果:基于SDN控制器对设备的纳管,统一配置管理网络资源,可以便捷的对接入设备与认证服务器进行相关资源的调配,获取终端信息并解析;通过认证服务器会针对认证成功的认证终端发送通知信息,无需截取与认证服务交互过程中的所有报文信息,提高认证效率;通过接收认证服务器的认证成功通知,解析通知信息中的终端认证成功信息,并通过对应的接入设备查询认证会话信息,结合两者唯一确认认证终端的在线信息,提高了识别认证终端的准确性。通过轮询认证终端的认证状态,即时更新终端的网络授权状态,并对终端信息进行展示,能够及时对网络安全进行维护。
附图说明
此处所说明的附图用来提供对本申请的进一步理解,构成本申请的一部分,本申请的示意性实施例及其说明用于解释本申请,并不构成对本申请的不当限定。在附图中:
图1为本申请实施例提供的一种采集在线终端信息的方法的步骤示意图;
图2为本申请实施例提供的认证终端的信息获取关联图;
图3为本申请实施例提供的一种采集在线终端信息设备的组成结构图。
具体实施方式
为了使本申请的目的、技术方案和优点更加清楚,下面将结合本申请具体实施例对本申请进行清楚、完整的描述。显然,所描述的实施例仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
由于企业网络往往都不需要开启计费系统,因此无法获取认证成功用户的上线信息及后续状态,从而无法保存用户的在线记录,不利于办公网络的运行与维护,例如离职员工的账号状态依旧可用并可成功登录办公网络,此时若有用户的在线信息记录,可依据在职数据库信息进行比对,发出相应告警信息等操作维护网络的稳定与安全;本申请在未开启计费系统的应用场景中,通过认证服务器实时推送认证成功的通知信息并解析,获取终端上线时间,并通过用户认证账号的唯一性匹配接入设备端的用户的其他信息,生成用户的在线信息,并及时探查用户在线状态变化情况,更新用户在线状态记录。下面进行具体说明。
SDN控制器不同于普通控制器,它具备纳管网络资源的能力,并且诸多信息,比如网络设备的IP地址、认证会话信息等,皆是根据SDN控制器的纳管网络设备功能进行获取。
在本申请的一种实施例中,在认证终端发起认证请求之前,通过SDN控制器构建认证初始环境,以使认证终端所连接的接入设备对应的端口使能802.1x功能;将认证服务器同步认证用户名及密码。
802.1x协议是基于Client/Server的访问控制和认证协议。它可以限制未经授权的用户/设备通过接入端口访问LAN/WLAN。在获得交换机或LAN提供的各种业务之前,802.1x对连接到交换机端口上的用户/设备进行认证。在认证通过之前,802.1x只允许EAPoL(基于局域网的扩展认证协议)数据通过设备连接的交换机端口;认证通过以后,正常的数据可以顺利地通过以太网端口。
图1为本申请实施例提供的一种采集在线终端信息的方法、设备、存储介质的步骤示意图,可以包括以下步骤:
S101:通过接入设备接收认证终端根据用户名和密码发起的认证请求数据,对认证请求数据进行封装后生成请求报文,将请求报文发送至认证服务器。
如图2所示,SDN控制器管理接入设备、syslog服务器以及认证服务器,连接数据库。其中接入层的接入设备用来控制认证终端的网络访问权限以及接收认证终端发起的认证请求数据,然后作为中继器封装请求报文后与认证服务器进行交互。
具体地,认证终端使用对应的认证用户名和密码向接入层的接入设备发起认证请求数据,接入层的接入设备将认证请求数据进行打包后生成认证请求报文,并将认证请求报文发送至认证服务器,经过认证请求报文的交互过程后,认证服务器会对通过认证的终端生成一条通知,并将该条通知实时推送至syslog服务器。
S102:通过认证服务器对请求报文进行解析,并验证请求报文中携带的认证信息,在验证认证信息合法后,认证服务器将认证成功的终端验证成功的通知信息实时推送至syslog服务器。
具体地,认证服务器用来处理认证业务,即对接入设备发送的认证请求报文进行解析,验证认证请求报文中携带的认证信息是否合法并做出响应。认证服务器会对认证通过的终端即时推送终端验证通知信息。
在本申请的一种实施例中,在验证请求报文中携带的认证信息合法后,认证服务器对认证通过的认证终端返回验证成功的通知信息,并根据通知信息确定与认证终端连接的接入设备;通过接入设备获取认证会话表项,根据认证会话项解析出认证终端对应的MAC地址;根据MAC地址确定用户的在线终端信息和终端上线时间。
具体地,根据通知信息解析出终端所连的接入设备的信息后,获取接入设备的认证会话表项,并解析出认证终端对应的MAC地址,唯一确定用户的在线终端信息与终端上线时间。
S103:通过syslog服务器将通知信息推送至SDN控制器进行解析,得到关键信息,根据关键信息确定与认证服务器进行交互的接入设备。
在本申请的一种实施例中,通过syslog服务器将从认证服务器接收到的通知信息推送至SDN控制器进行解析,获取认证成功的认证终端的上线时间、认证用户名和接入设备的IP地址信息;因SDN控制器对设备纳管,因此SDN控制器可根据接入设备的IP地址信息,确定与认证服务器进行交互的接入设备。
在本申请的一种实施例中,在从接入设备获取认证会话表项后,将认证会话表项进行解析,得到认证会话信息,将认证会话信息存入数据库中;并将用户上线时间以及依据MAC地址获取的设备类型存入数据库。
S104:SDN控制器根据接入设备的IP地址获取认证会话表项,根据认证会话表项和通知信息获得认证终端的各项信息。
SDN控制器获取认证终端的认证会话信息,其中,认证会话信息包括接入设备的端口、认证终端的媒体访问控制(Medium/Media Access Control,MAC)地址、终端网络授权状态,终端认证用户名信息。
在本申请的一种实施例中,通过SDN控制器确定接入设备所处的组网,获取组网的网关设备的IP地址;根据网关设备的IP地址和IP地址解析协议(Address ResolutionProtocol,ARP)表项获取认证终端的IP地址并同步更新数据库对应表项内容;根据通知信息中包含的认证用户名可以匹配接入设备端的认证用户名,从而锁定认证终端的MAC地址及认证终端的相关信息。
具体地,基于SDN控制器对设备的纳管,可以从认证终端连接的接入设备所处组网获取网关角色设备,根据IP ARP表项获取认证终端的IP地址并同步更新数据库对应表项内容。依据认证服务器发送的通知信息中的认证用户名可以匹配接入设备端的认证用户名,从而锁定认证的认证终端的MAC地址及其他信息。
到此,可以根据认证服务器的通知信息,获取到认证通过终端的上线时间,认证用户名,终端MAC地址,IP地址,设备类型,终端网络授权状态,终端认证用户信息,终端所连接设备的IP地址信息以及所连设备的接入端口信息。
在本申请的一种实施例中,在确定与认证服务器进行交互的接入设备后,确定接入设备新增的认证会话,根据新增的认证会话确定新增的认证会话表项,将新增的认证会话表项存入数据库中;在依据接入设备获取认证会话时,除了将新增认证会话内容存入数据库,还会更新数据库中已存在的认证终端的授权状态以及认证用户名信息。
在本申请的一种实施例中,判断接入设备中已存在的认证会话包含的MAC地址在数据库中是否有对应表项,若是,根据预设的更新机制更新数据库中已存在的认证终端的授权状态以及认证用户名信息。更新机制为:将认证会话中的认证用户名以及授权状态与数据库中已有值进行比较,若存在与数据库中的值未匹配的属性,则根据预设更新时间更新变化项。
具体地,认证会话中的MAC地址在数据库中有对应表项则执行更新机制,更新机制为:将认证会话中的认证用户名以及授权状态与数据库中已有值进行比较,若有一项发生变化则更新变化项,并将变化项对应时间更新。
SDN控制器亦会对组网内用于认证角色的设备定时进行轮询执行上述更新机制,定时时间可以自定义设置,支持定时时间变更。通过获取新认证通过终端时认证会话以及定时轮询认证会话及时更新与维护已认证终端的授权状态并记录状态变化时间,由于未开启计费模式时不存在下线时间信息获取途径,该时间受定时时间参数影响,可将定时时间控制在较小范围内,以此获取可控范围内的波动性下线时间。对已记录的认证终端,一旦有更新行为产生,可实时更新终端信息展示,亦可以针对认证用户名或授权状态某一项发生改变推送告警信息,为后续对认证终端的维护及监控提供支持。
由于认证服务器用于验证认证终端的合法性并将验证结果封装于报文中回复给认证终端,但认证终端是否授予终端网络访问权限还需要依据接入设备端相关配置,即如果接入设备端只允许一台终端授权通过等场景,第二台终端即使被认证合法也无法被授权访问网络,此时即使有认证服务器的认证通过的通知信息也不能完全确定接入设备端的认证状态,因此,通过认证服务器与接入设备两方面信息唯一确定在线终端及终端信息与上线时间的方式保证了准确性。
以上为本申请实施例提供的一种采集在线终端信息的方法,基于同样的发明思路,本申请实施例还提供了相应的一种采集在线终端信息的设备,如图2所示。
本实施例提供了一种采集在线终端信息的设备,包括:
至少一个处理器;以及,
与至少一个处理器通信连接的存储器;其中,
存储器存储有可被至少一个处理器执行的指令,指令被至少一个处理器执行,以使至少一个处理器能够:
通过接入设备接收认证终端根据用户名和密码发起的认证请求数据,对认证请求数据进行封装后生成请求报文,将请求报文发送至认证服务器;
通过认证服务器对请求报文进行解析,并验证请求报文中携带的认证信息,在验证认证信息合法后,认证服务器将认证成功的终端验证成功的通知信息实时推送至syslog服务器;
通过syslog服务器将通知信息推送至SDN控制器进行解析,得到关键信息,根据关键信息确定与认证服务器进行交互的接入设备;
SDN控制器根据接入设备的IP地址获取认证会话表项,根据认证会话表项和通知信息获得认证终端的各项信息。
基于同样的思路,本申请的一些实施例还提供了上述方法对应的介质。
本申请的一些实施例提供的一种采集在线终端信息的存储介质,存储有计算机可执行指令,计算机可执行指令设置为:
通过接入设备接收认证终端根据用户名和密码发起的认证请求数据,对认证请求数据进行封装后生成请求报文,将请求报文发送至认证服务器;
通过认证服务器对请求报文进行解析,并验证请求报文中携带的认证信息,在验证认证信息合法后,认证服务器将认证成功的终端验证成功的通知信息实时推送至syslog服务器;
通过syslog服务器将通知信息推送至SDN控制器进行解析,得到关键信息,根据关键信息确定与认证服务器进行交互的接入设备;
SDN控制器根据接入设备的IP地址获取认证会话表项,根据认证会话表项和通知信息获得认证终端的各项信息。
本申请中的各个实施例均采用递进的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。尤其,对于方法和介质实施例而言,由于其基本相似于方法实施例,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
本申请实施例提供的方法和介质与方法是一一对应的,因此,方法和介质也具有与其对应的方法类似的有益技术效果,由于上面已经对方法的有益技术效果进行了详细说明,因此,这里不再赘述方法和介质的有益技术效果。
还需要说明的是,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程方法商品或者方法不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程方法商品或者方法所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括要素的过程方法商品或者方法中还存在另外的相同要素。
以上仅为本申请的实施例而已,并不用于限制本申请。对于本领域技术人员来说,本申请可以有各种更改和变化。凡在本申请的精神和原理之内所作的任何修改、等同替换、改进等,均应包含在本申请的权利要求范围之内。
Claims (10)
1.一种采集在线终端信息的方法,其特征在于,包括:
通过接入设备接收认证终端根据用户名和密码发起的认证请求数据,对所述认证请求数据进行封装后生成请求报文,将所述请求报文发送至认证服务器;
通过所述认证服务器对所述请求报文进行解析,并验证所述请求报文中携带的认证信息,在验证所述认证信息合法后,认证服务器将认证成功的终端验证成功的通知信息实时推送至syslog服务器;
通过所述syslog服务器将所述通知信息推送至软件定义网络SDN控制器进行解析,得到关键信息,根据所述关键信息确定与所述认证服务器进行交互的接入设备;
SDN控制器根据所述接入设备的IP地址获取认证会话表项,根据所述认证会话表项和所述通知信息获得所述认证终端的各项信息。
2.根据权利要求1所述的方法,其特征在于,在验证所述请求报文中携带的认证信息合法后,所述方法还包括:
认证服务器对认证通过的认证终端返回验证成功的通知信息,并通过SDN控制器根据所述通知信息确定与所述认证终端连接的接入设备;
SDN控制器通过所述接入设备获取认证会话表项,根据所述认证会话表项解析出所述认证终端对应的MAC地址;
根据所述MAC地址确定用户的在线终端信息和终端上线时间。
3.根据权利要求1所述的方法,其特征在于,所述通过所述syslog服务器将所述通知信息推送至SDN控制器进行解析,得到关键信息,根据所述关键信息确定与所述认证服务器进行交互的接入设备,具体包括:
通过所述syslog服务器将所述通知信息推送至SDN控制器进行解析,获取认证成功的认证终端的上线时间、认证用户名和接入设备的IP地址信息;
SDN控制器根据所述接入设备的IP地址,从所述接入设备获取认证成功的认证终端的认证会话信息,其中,所述认证会话信息包括接入设备的端口、认证终端的媒体访问控制MAC地址、终端网络授权状态,终端认证用户名信息。
4.根据权利要求1所述的方法,其特征在于,在确定与所述认证服务器进行交互的接入设备后,所述方法还包括:
确定所述接入设备新增的认证会话,根据所述新增的认证会话确定新增的认证会话表项,将所述新增的认证会话表项存入数据库中;
判断所述接入设备中已存在的认证会话包含的MAC地址在所述数据库中是否有对应表项,若是,根据预设的更新机制更新数据库中已存在的认证终端的授权状态以及认证用户名信息。
5.根据权利要求3所述的方法,其特征在于,在获取所述接入设备的认证会话表项后,所述方法还包括:
将所述认证会话表项进行解析,得到认证会话信息,将所述认证会话信息存入数据库中;并
将用户上线时间以及依据MAC地址获取的设备类型存入所述数据库。
6.根据权利要求5所述的方法,其特征在于,将所述认证会话信息存入数据库之后,所述方法还包括:
通过所述SDN控制器确定所述接入设备所处的组网,获取所述组网的网关设备的IP地址;
根据所述网关设备的IP地址和IP地址解析协议ARP表项获取认证终端的IP地址并同步更新数据库对应表项内容;
根据所述通知信息中包含的认证用户名可以匹配接入设备端的认证用户名,从而锁定认证终端的MAC地址及所述认证终端的相关信息。
7.根据权利要求4所述的方法,其特征在于,所述根据预设的更新机制对所述新增的认证会话表项进行更新,具体包括:
将认证会话中的认证用户名以及授权状态与数据库中已有值进行比较,若存在与数据库中的值未匹配的属性,则根据预设更新时间更新变化项。
8.根据权利要求1所述的方法,其特征在于,在认证终端发起认证请求之前,所述方法还包括:
通过SDN控制器构建认证初始环境,以使认证终端连接的接入设备对应的端口使能802.1x功能;
将认证服务器同步认证用户名及密码。
9.一种采集在线终端信息的设备,其特征在于,包括:
至少一个处理器;以及,
与所述至少一个处理器通信连接的存储器;其中,
所述存储器存储有可被所述至少一个处理器执行的指令,所述指令被所述至少一个处理器执行,以使所述至少一个处理器能够:
通过接入设备接收认证终端根据用户名和密码发起的认证请求数据,对所述认证请求数据进行封装后生成请求报文,将所述请求报文发送至认证服务器;
通过所述认证服务器对所述请求报文进行解析,并验证所述请求报文中携带的认证信息,在验证所述认证信息合法后,认证服务器将认证成功的终端验证成功的通知信息实时推送至syslog服务器;
通过所述syslog服务器将所述通知信息推送至SDN控制器进行解析,得到关键信息,根据所述关键信息确定与所述认证服务器进行交互的接入设备;
SDN控制器根据所述接入设备的IP地址获取认证会话表项,根据所述认证会话表项和所述通知信息获得所述认证终端的各项信息。
10.一种非易失性存储介质,存储有计算机可执行指令,其特征在于,所述计算机可执行指令设置为:
通过接入设备接收认证终端根据用户名和密码发起的认证请求数据,对所述认证请求数据进行封装后生成请求报文,将所述请求报文发送至认证服务器;
通过所述认证服务器对所述请求报文进行解析,并验证所述请求报文中携带的认证信息,在验证所述认证信息合法后,认证服务器将认证成功的终端验证成功的通知信息实时推送至syslog服务器;
通过所述syslog服务器将所述通知信息推送至SDN控制器进行解析,得到关键信息,根据所述关键信息确定与所述认证服务器进行交互的接入设备;
SDN控制器根据所述接入设备的IP地址获取认证会话表项,根据所述认证会话表项和所述通知信息获得所述认证终端的各项信息。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210285938.7A CN114826668B (zh) | 2022-03-23 | 2022-03-23 | 一种采集在线终端信息的方法、设备、存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210285938.7A CN114826668B (zh) | 2022-03-23 | 2022-03-23 | 一种采集在线终端信息的方法、设备、存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN114826668A CN114826668A (zh) | 2022-07-29 |
| CN114826668B true CN114826668B (zh) | 2024-05-14 |
Family
ID=82530478
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202210285938.7A Active CN114826668B (zh) | 2022-03-23 | 2022-03-23 | 一种采集在线终端信息的方法、设备、存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN114826668B (zh) |
Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105025487A (zh) * | 2015-07-28 | 2015-11-04 | 北京邮电大学 | 一种基于sdn的运营级wlan系统及统一认证的方法 |
| CN105915550A (zh) * | 2015-11-25 | 2016-08-31 | 北京邮电大学 | 一种基于SDN的Portal/Radius认证方法 |
| CN107517151A (zh) * | 2017-09-30 | 2017-12-26 | 中国联合网络通信集团有限公司 | 用户接入方法、CPE、OLT、交换机、vBNG、SDN控制器和城域网 |
| CN108462710A (zh) * | 2018-03-20 | 2018-08-28 | 新华三技术有限公司 | 认证授权方法、装置、认证服务器及机器可读存储介质 |
| CN110943962A (zh) * | 2018-09-21 | 2020-03-31 | 华为技术有限公司 | 一种认证方法、网络设备和认证服务器以及转发设备 |
| CN111092869A (zh) * | 2019-12-10 | 2020-05-01 | 中盈优创资讯科技有限公司 | 终端接入办公网络安全管控方法及认证服务器 |
| CN113556274A (zh) * | 2021-07-20 | 2021-10-26 | 迈普通信技术股份有限公司 | 终端接入认证的方法、装置、系统、控制器及设备 |
| CN113612787A (zh) * | 2021-08-10 | 2021-11-05 | 浪潮思科网络科技有限公司 | 一种终端认证方法 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US11075908B2 (en) * | 2019-05-17 | 2021-07-27 | Schweitzer Engineering Laboratories, Inc. | Authentication in a software defined network |
-
2022
- 2022-03-23 CN CN202210285938.7A patent/CN114826668B/zh active Active
Patent Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105025487A (zh) * | 2015-07-28 | 2015-11-04 | 北京邮电大学 | 一种基于sdn的运营级wlan系统及统一认证的方法 |
| CN105915550A (zh) * | 2015-11-25 | 2016-08-31 | 北京邮电大学 | 一种基于SDN的Portal/Radius认证方法 |
| CN107517151A (zh) * | 2017-09-30 | 2017-12-26 | 中国联合网络通信集团有限公司 | 用户接入方法、CPE、OLT、交换机、vBNG、SDN控制器和城域网 |
| CN108462710A (zh) * | 2018-03-20 | 2018-08-28 | 新华三技术有限公司 | 认证授权方法、装置、认证服务器及机器可读存储介质 |
| CN110943962A (zh) * | 2018-09-21 | 2020-03-31 | 华为技术有限公司 | 一种认证方法、网络设备和认证服务器以及转发设备 |
| CN111092869A (zh) * | 2019-12-10 | 2020-05-01 | 中盈优创资讯科技有限公司 | 终端接入办公网络安全管控方法及认证服务器 |
| CN113556274A (zh) * | 2021-07-20 | 2021-10-26 | 迈普通信技术股份有限公司 | 终端接入认证的方法、装置、系统、控制器及设备 |
| CN113612787A (zh) * | 2021-08-10 | 2021-11-05 | 浪潮思科网络科技有限公司 | 一种终端认证方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN114826668A (zh) | 2022-07-29 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN100591011C (zh) | 一种认证方法及系统 | |
| CN102271134B (zh) | 网络配置信息的配置方法、系统、客户端及认证服务器 | |
| CN101599967B (zh) | 基于802.1x认证系统的权限控制方法及系统 | |
| CN109104475B (zh) | 连接恢复方法、装置及系统 | |
| CN106506295B (zh) | 一种虚拟机接入网络的方法及装置 | |
| CN101695022A (zh) | 一种服务质量管理方法及装置 | |
| CN110611682A (zh) | 一种网络访问系统及网络接入方法和相关设备 | |
| CN110602130B (zh) | 终端认证系统及方法、设备端、认证服务器 | |
| CN114826668B (zh) | 一种采集在线终端信息的方法、设备、存储介质 | |
| CN112688963A (zh) | 网关授权接入与对外开放服务的方法、装置及存储介质 | |
| US7966653B2 (en) | Method and data processing system for determining user specific usage of a network | |
| CN116388998A (zh) | 一种基于白名单的审计处理方法和装置 | |
| Cisco | Configuring Network Security | |
| Cisco | Configuring Network Security | |
| Cisco | Configuring Network Security | |
| Cisco | Configuring Network Security | |
| Cisco | Configuring Network Security | |
| Cisco | Configuring Network Security | |
| Cisco | Configuring Network Security | |
| Cisco | Configuring Network Security | |
| Cisco | Configuring Network Security | |
| Cisco | Configuring Network Security | |
| Cisco | Configuring Network Security | |
| JP4768547B2 (ja) | 通信装置の認証システム | |
| Cisco | Configuring Network Security |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |