删除残留客户端信息的方法、系统及认证服务器技术方案

本发明专利技术提供一种删除残留客户端信息的方法、系统及认证服务器，方法包括：实时地检测对应的各个在线客户端在第一预设时间内是否返回了心跳报文，该第一预设时间大于各在线客户端周期性发送心跳报文的间隔时间；若检测到任一在线客户端在第一预设时间内未返回心跳报文，则识别该未返回心跳报文的在线客户端为残留客户端，并基于预设的ＳＮＭＰ协议功能，控制与残留客户端对应的接入交换机将残留客户端的ＭＡＣ地址信息在对应的端口下删除。本发明专利技术通过在认证服务器中添加安全管理功能，在检测到残留客户端时，控制对应的接入交换机将对应端口下的该残留客户端的ＭＡＣ地址信息进行删除，最大限定地解决了接入交换机上保存的残留客户端的信息的问题。

【技术实现步骤摘要】

本专利技术涉及认证技术，尤其涉及一种删除残留客户端信息的方法、系统及认证服务器，属于网络通信

技术介绍
随着网络技术的不断发展，对客户端进行身份认证已成为计算机访问网络业务时、为了防止网络应用中各种非法侵入行为及不当行为的一个必不可少的步骤。802.1x认证协议是一种常见的基于客户端/服务器的访问控制和认证协议，802.1x认证采用基于端口的网络存取控制，为局域网客户端提供点对点式的安全接入。在802.1x认证机制中，当客户端需要访问网络提供的某项业务时，将通过接入设备向认证服务器发送携带认证信息的认证请求，认证服务器根据该认证信息对该客户端进行认证且通过后，将通知对应的接入设备将该已通过认证的客户端的介质访问控制(Medium Access Control，简称MAC)地址信息添加在对应端口下。从而当该客户端进行网络访问时，对应的接入设备根据对应端口下记录的该MAC地址信息，能够放行该客户端的网络访问请求数据，使得该客户端能够正常地访问网络。而相反地，当客户端需要退出网络访问时，将通过接入设备向认证服务器发送相应的退出认证信息，认证服务器在确认通过后，将通知接入设备将请求退出认证的客户端的MAC地址信息从对应端口下删除，从而客户端将无法继续使用网络。可见，在802.1x认证机制中，接入设备对客户端的网络访问权限控制，是通过在相应的端口下添加或删除该客户端的MAC地址信息而实现的，当某一端口下记录有某客户端的MAC地址信息时，该客户端将能够通过该端口对网络进行访问，而当接入设备的任一端口下均未记录有某客户端的MAC地址信息时，该客户端将不能通过该接入设备进行网络访问。通常情况下，认证客户端将根据实际需求发送认证请求或退出认证请求给认证服务器，以请求对应的接入设备将自身的MAC地址信息在相应的端口下添加或删除。但是除此之外实际应用中还会出现多种异常情况，例如当客户端所在的计算机出现病毒入侵时，恶意程序可能会在进程中强行关闭认证客户端，或是用户因为疏忽在未退出认证时便直接关闭计算机，认证客户端也会被强行关闭。客户端在被异常强行关闭时，认证软件将不会发送退出认证请求至认证服务器，从而认证服务器也不会指示对应的接入设备将该客户端的MAC地址信息从对应端口删除。这些残留在接入设备中的地址信息不仅大量占用浪费了接入交换机的存储资源，当其它的用户使用这台计算机时，还将不需要再重新认证就可以继续使用网络。尤其当客户端的认证软件还提供了除认证外的其它功能，例如计算机的安全防护功能、客户端的上网计费功能等功能时，认证客户端被强行关闭的计算机还能逃开管理员的控制，造成安全隐患或是逃费等现象。-->
技术实现思路
本专利技术提供一种删除残留客户端信息的方法、系统及认证服务器，用以解决现有的802.1x认证的网络环境下，当接入交换机上残留有未退出认证但关闭了认证软件的客户端的MAC地址信息时，这些残留信息不仅占用了接入交换机的存储资源，而且还有可能引起非法用户利用未退出认证的残留客户端进行非法网络访问的问题。为实现上述目的，本专利技术提供一种删除残留客户端信息的方法，包括：实时地检测对应的各个在线客户端在第一预设时间内是否返回了心跳报文，所述第一预设时间大于所述在线客户端周期性发送所述心跳报文的间隔时间；若检测到任一所述在线客户端在所述第一预设时间内未返回所述心跳报文，则识别未返回所述心跳报文的所述在线客户端为残留客户端；基于预设的简单网络管理协议功能，控制与所述残留客户端对应的接入交换机将所述残留客户端的MAC地址信息在对应的端口下删除。为实现上述目的，本专利技术还提供一种认证服务器，包括：检测模块，实时地检测对应的各个在线客户端在第一预设时间内是否返回了心跳报文，所述第一预设时间大于所述在线客户端周期性发送所述心跳报文的间隔时间；识别模块，用于若所述检测模块检测到任一所述在线客户端在所述第一预设时间内未返回所述心跳报文，则识别未返回所述心跳报文的所述在线客户端为残留客户端；信息删除模块，用于基于预设的简单网络管理协议功能，控制与所述残留客户端对应的接入交换机将所述残留客户端的MAC地址信息在对应的端口下删除。为实现上述目的，本专利技术还提供一种删除残留客户端信息的系统，包括：上述的认证服务器、与所述认证服务器连接的至少一个接入交换机；每个所述接入交换机均与至少一个客户端连接。本专利技术提供的删除残留客户端信息的方法、系统及认证服务器，通过在认证服务器中添加安全管理功能，对所有接入交换机的信息进行管理，并在正常环境下由在线客户端定时向认证服务器发送心跳报文，当认证服务器在限定时间内未接收到在线客户端发送的心跳报文时，确认该未定时发送心跳报文的客户端为已退出认证的残留客户端，并根据自身预设的安全管理功能，控制对应的接入交换机将对应端口下的该残留客户端的MAC地址信息进行删除，以对管理的接入交换机下的残留MAC地址信息进行清理，从而最大限定地解决了接入交换机上保存的残留客户端的信息的问题，避免了接入交换机上不必要的存储资源的浪费占用，同时避免了非法用户利用未退出认证的客户端进行网络访问而带来的安全隐患。附图说明为了更清楚地说明本专利技术或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍，显而易见地，下面描述中的附图是本专利技术的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。图1为本专利技术删除残留客户端信息的方法实施例一的流程图；图2为本专利技术删除残留客户端信息的方法实施例二的流程图；-->图3为本专利技术认证服务器实施例一的结构示意图；图4为本专利技术认证服务器实施例二的结构示意图；图5为本专利技术删除残留客户端信息的系统实施例的结构示意图。具体实施方式为使本专利技术的目的、技术方案和优点更加清楚，下面将结合本专利技术实施例中的附图，对本专利技术实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本专利技术一部分实施例，而不是全部的实施例。基于本专利技术中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本专利技术保护的范围。图1为本专利技术删除残留客户端信息的方法实施例一的流程图，如图1所示，本实施例具体包括如下步骤：步骤100，实时地检测对应的各个在线客户端在第一预设时间内是否返回了心跳报文，该第一预设时间大于在线客户端周期性发送心跳报文的间隔时间；在网络认证体制中，当客户端的认证软件实质已经被关闭，但是却未通过对应的接入交换机向认证服务器发送退出认证消息时，该对应的接入交换机的对应端口下将仍然残留保存该被关闭认证软件的客户端的MAC地址信息，这些残留的MAC地址信息不仅占用了接入交换机的存储资源，而且由于接入交换机是基于在端口下保存客户端的MAC地址信息，来实现对客户端的网络访问权限控制，因而这些残留的MAC地址信息还会引起其他用户无需经过重新认证便能直接使用这台计算机进行网络访问的安全隐患。为了解决上述问题，即为了及时对接入交换机的各端口下残留的客户端的MAC地址信息进行删除，在本专利技术中，为已通过认证的在线客户端设置了向认证服务器发送心跳报文的功能，即已通过认证的每个在线客户端均必须周期性地向认证服务器发送用于表明该客户端仍然在线的心跳报本文档来自技高网...

【技术保护点】
一种删除残留客户端信息的方法，其特征在于，包括：实时地检测对应的各个在线客户端在第一预设时间内是否返回了心跳报文，所述第一预设时间大于所述在线客户端周期性发送所述心跳报文的间隔时间；若检测到任一所述在线客户端在所述第一预设时间内未返回所述心跳报文，则识别未返回所述心跳报文的所述在线客户端为残留客户端；基于预设的简单网络管理协议功能，控制与所述残留客户端对应的接入交换机将所述残留客户端的ＭＡＣ地址信息在对应的端口下删除。

【技术特征摘要】
1.一种删除残留客户端信息的方法，其特征在于，包括：实时地检测对应的各个在线客户端在第一预设时间内是否返回了心跳报文，所述第一预设时间大于所述在线客户端周期性发送所述心跳报文的间隔时间；若检测到任一所述在线客户端在所述第一预设时间内未返回所述心跳报文，则识别未返回所述心跳报文的所述在线客户端为残留客户端；基于预设的简单网络管理协议功能，控制与所述残留客户端对应的接入交换机将所述残留客户端的MAC地址信息在对应的端口下删除。2.根据权利要求1所述的删除残留客户端信息的方法，其特征在于，所述控制与所述残留客户端对应的接入交换机将所述残留客户端的MAC地址信息在对应的端口下删除具体包括：若与所述残留客户端对应的接入交换机支持自定义的简单网络管理协议，则发送携带所述残留客户端的MAC地址信息和所述对应的端口的标识信息的、自定义的简单网络管理协议删除报文给所述对应的接入交换机，以指示所述对应的接入交换机将指定的所述MAC地址信息从与所述标识信息对应的端口下删除；将本地存储的与所述残留客户端对应的在线信息删除。3.根据权利要求1或2所述的删除残留客户端信息的方法，其特征在于，所述控制与所述残留客户端对应的接入交换机将所述残留客户端的MAC地址信息在对应的端口下删除还包括：若与所述残留客户端对应的接入交换机支持标准的简单网络管理协议，则检测所述对应的端口下是否还保存有除所述残留客户端外的其他在线客户端的信息；若否，则依次发送携带所述对应的端口的标识信息的、标准的关端口简单网络管理协议报文和开端口简单网络管理协议报文给所述对应的接入交换机，以使所述对应的接入交换机依次将所述对应的端口进行关闭和开启操作，并将本地存储的与所述残留客户端对应的在线信息删除；若是，则向所述其他在线客户端中的任一在线客户端发送携带所述残留客户端的MAC地址信息的模拟下线请求报文，以指示接收到所述模拟下线请求报文的在线客户端向所述对应的接入交换机发送退出认证请求报文，所述退出认证请求报文中携带所述模拟下线请求报文中指定的残留客户端的MAC地址信息，用于指示所述对应的接入交换机将指定的MAC地址从所述对应的端口下删除。4.根据权利要求3所述的删除残留客户端信息的方法，其特征在于，所述向所述其他在线客户端中的任一在线客户端发送携带所述残留客户端的MAC地址信息的模拟下线请求报文之后，所述方法还包括：若在第二预设时间内未接收到接收所述模拟下线请求报文的在线客户端针对所述模拟下线请求报文返回的响应报文，则将未返回所述响应报文的在线客户端识别为所述残留客户端，并返回至执行检测所述对应的端口下是否还保存有除所述残留客户端外的其他在线客户端的信息的操作；若在所述第二预设时间内接收到所述接收所述模拟下线请求报文的在线客户端返回的响应报文，则将本地存储的与所述残留客户端对应的在线信息删除。5.根据权利要求3所述的删除残留客户端信息的方法，其特征在于，所述向所述其他在线客户端中的任一在线客户端发送携带所述残留客户端的MAC地址信息的模拟下线请求报文具体包括：根据本地存储的与所述其他在线客户端各自对应的在线时长信息，向在线时长最短的在线客户端发送所述模拟下线请求报文。6.一种认证服务器，其特征在于，包括：检测模块，实时地检测对应的各个在线客户端在第一预设时间内是否返回了心跳报文，所述第一预设时间大于所述在线客户端周期性发送所述心跳...

【专利技术属性】
技术研发人员：吴晶晶，
申请(专利权)人：北京星网锐捷网络技术有限公司，
类型：发明
国别省市：11[中国|北京]