一种终端接入认证方法及装置的制造方法
【专利摘要】本发明实施例提供了一种终端接入认证方法及装置。所述方法包括:接入设备根据待认证非哑终端的第一MAC地址,向认证服务器发送MAC无感知认证请求;接收所述认证服务器根据所述第一MAC地址反馈的第一组策略,其中,所述第一组策略是所述认证服务器根据非哑终端的MAC地址与组策略的对应关系确定的;确定所述第一组策略对应的第一访问权限,并根据所述第一访问权限确定所述待认证非哑终端的访问权限,所述第一访问权限为预设的访客访问权限。应用本发明实施例,能够解决非哑终端不断发起MAC无感知认证导致的认证服务器性能降低的问题。
【专利说明】
-种终端接入认证方法及装置
技术领域
[0001 ]本发明设及通信技术领域,特别设及一种终端接入认证方法及装置。
【背景技术】
[0002] 在现有的企业实际网络中,终端通常包括哑终端与非哑终端,哑终端包括IP电话、 网络打印机等,非哑终端包括台式电脑、笔记本电脑、平板电脑和智能手机等。它们在接入 企业网络时都需要进行接入认证。
[0003] 现有技术中,由于哑终端具有无用户界面等自身特点,其一般采用MAC无感知认 证,运种认证方式无需用户干预,由终端自动发起。而非哑终端一般采用用户手工认证的方 式,即需要用户输入用户名和密码W完成连网认证操作,实现专属于该用户的访问权限。在 网络实际部署时,哑终端与非哑终端都通过接入设备向认证服务器进行认证。图1为终端、 接入设备和认证服务器的一种连接示意图。由于接入设备数量众多,如果一一区分哑终端 和办公用机的接入端口,接入设备的工作量将非常大,后期也难W维护。因此,部署时不再 区分哑终端和非哑终端,接入设备的端口下同时启用用户手工认证与MAC无感知认证。
[0004] 运样就导致一个问题,在非哑终端通过手工认证接入网络前,接入设备会将该非 哑终端当做哑终端,从而发起MAC无感知认证,当该MAC无感知认证无法通过认证时,该端口 会不断地重复发起认证请求,并且,该认证请求发送的频率很高,直到用户发起手工认证并 认证通过,运种重复的无感知认证请求才停止。而运种高频的无感知认证请求将导致认证 服务器性能降低,影响其对正常认证请求的及时响应。
【发明内容】
[0005] 本发明实施例的目的在于提供了一种终端接入认证方法及装置,能够解决非哑终 端不断发起MAC无感知认证导致的认证服务器性能降低的问题。
[0006] 为了达到上述目的,本发明公开了一种终端接入认证方法,应用于接入设备,所述 方法包括:
[0007] 根据待认证非哑终端的第一 MAC地址,向认证服务器发送MAC无感知认证请求;
[000引接收所述认证服务器根据所述第一MAC地址反馈的第一组策略,其中,所述第一组 策略是所述认证服务器根据非哑终端的MAC地址与组策略的对应关系确定的;
[0009] 确定所述第一组策略对应的第一访问权限,并根据所述第一访问权限确定所述待 认证非哑终端的访问权限,其中,所述第一访问权限为预设的访客访问权限。
[0010] 为了达到上述目的,本发明公开了另一种终端接入认证方法,应用于认证服务器, 所述方法包括:
[0011] 接收接入设备发送的针对待认证非哑终端的MAC无感知认证请求;所述MAC无感知 认证请求携带有所述非哑终端的第一 MAC地址;
[001^ 根据所述第一MAC地址W及非哑终端的MAC地址与组策略的对应关系,确定所述第 一 MAC地址对应的第一组策略;
[0013] 向所述接入设备发送所述第一组策略,w使所述接入设备确定所述第一组策略对 应的第一访问权限,并根据所述第一访问权限确定所述待认证非哑终端的访问权限,其中, 所述第一访问权限为预设的访客访问权限。
[0014] 为了达到上述目的,本发明公开了一种终端接入认证装置,应用于接入设备,所述 装置包括:
[0015] 第一发送模块,用于根据待认证非哑终端的第一 MAC地址,向认证服务器发送MAC 无感知认证请求;
[0016] 第一接收模块,用于接收所述认证服务器根据所述第一 MAC地址反馈的第一组策 略,其中,所述第一组策略是所述认证服务器根据非哑终端的MAC地址与组策略的对应关系 确定的;
[0017] 第一确定模块,用于确定所述第一组策略对应的第一访问权限,并根据所述第一 访问权限确定所述待认证非哑终端的访问权限,其中,所述第一访问权限为预设的访客访 问权限。
[0018] 为了达到上述目的,本发明公开了另一种终端接入认证装置,应用于认证服务器, 所述装置包括:
[0019] 第二接收模块,用于接收接入设备发送的针对待认证非哑终端的MAC无感知认证 请求;所述MAC无感知认证请求携带有所述非哑终端的第一 MAC地址;
[0020] 第二确定模块,用于根据所述第一 MAC地址W及非哑终端的MAC地址与组策略的对 应关系,确定所述第一 MAC地址对应的第一组策略;
[0021] 第二发送模块,用于向所述接入设备发送所述第一组策略,W使所述接入设备确 定所述第一组策略对应的第一访问权限,并根据所述第一访问权限确定所述待认证非哑终 端的访问权限,其中,所述第一访问权限为预设的访客访问权限。
[0022] 由上述技术方案可见,本发明实施例中,接入设备首先根据待认证非哑终端的第 一 MAC地址,向认证服务器发送MAC无感知认证请求;认证服务器接收接入设备发送的MAC无 感知认证请求,并根据第一 MAC地址W及非哑终端的MAC地址与组策略的对应关系,确定第 一 MAC地址对应的第一组策略,然后向接入设备发送第一组策略;接入设备接收认证服务器 根据所述第一MAC地址反馈的第一组策略,然后确定第一组策略对应的第一访问权限,并根 据第一访问权限确定待认证非哑终端的访问权限。
[0023] 也就是说,本实施例中,接入设备将针对待认证非哑终端的MAC无感知认证请求发 送至认证服务器,认证服务器反馈针对待认证非哑终端的第一组策略,并将其发送至接入 设备,接入设备根据第一组策略对应的第一访问权限,确定待认证非哑终端的访问权限,由 于确定了待认证非哑终端的访问权限后即完成了待认证非哑终端向认证服务器的认证请 求,接入设备不会再发起针对待认证非哑终端的MAC无感知认证请求,因此能够解决非哑终 端不断发起MAC无感知认证导致的认证服务器性能降低的问题。
【附图说明】
[0024] 为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现 有技术描述中所需要使用的附图作简单的介绍。显而易见地,下面描述中的附图仅仅是本 发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可W 根据运些附图获得其他的附图。
[0025] 图1为终端、接入设备和认证服务器的一种连接示意图;
[0026] 图2为本发明实施例提供的一种终端接入认证方法的流程示意图;
[0027] 图3为本发明实施例提供的另一种终端接入认证方法的流程示意图;
[0028] 图4为本发明实施例提供的一种终端接入认证装置的结构示意图;
[0029] 图5为本发明实施例提供的另一种终端接入认证装置的结构示意图。
【具体实施方式】
[0030] 下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完 整的描述。显然,所描述的实施例仅仅是本发明的一部分实施例,而不是全部的实施例。基 于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动的前提下所获得的所有 其他实施例,都属于本发明保护的范围。
[0031] 本发明实施例提供了一种终端接入认证方法及装置,能够解决非哑终端不断发起 MAC无感知认证导致的认证服务器性能降低的问题。
[0032] 本发明中,要解决的主要问题是,由于接入设备无法区分非哑终端和哑终端,通常 它会将端口对应的设备都当做哑终端来处理,即针对非哑终端也会发起MAC无感知认证,非 哑终端在没有通过MAC无感知认证的情况下不断发起MAC无感知认证的问题。为了解决运个 问题,一种思路是,可W允许非哑终端通过MAC无感知认证,但是只是授予非哑终端很小的 访问权限。具体的访问权限的制定可W根据不同厂商的规定来实现。
[0033] 下面通过具体实施例,对本发明进行详细说明。
[0034] 图2为本发明实施例提供的一种终端接入认证方法的流程示意图,应用于接入设 备,所述方法包括如下步骤:
[0035] 步骤S201:根据待认证非哑终端的第一 MAC地址,向认证服务器发送MAC无感知认 证请求。
[0036] 其中,非哑终端可W是台式电脑、笔记本电脑、平板电脑和智能手机等设备。对应 的,哑终端可W是IP电话、打印机、复印机、传真机、绘图仪、扫描仪等设备。接入设备可W是 交换机、路由器等设备。认证服务器可W是具备认证、授权、计费功能的服务器。
[0037] 可W理解的是,待认证非哑终端与接入设备的相应端口相连。当待认证非哑终端 有认证需求时,接入设备上与该待认证非哑终端对应的端口可W感知到非哑终端有连网需 求,但是接入设备无法区分该端口对应的设备是哑终端还是非哑终端,它通常会将每个端 口对应的设备都当做哑终端来对待,发起MAC无感知认证请求。因此,接入设备便根据该待 认证非哑终端的第一MAC地址,向认证服务器发送MAC无感知认证请求。具体的,待认证非哑 终端可W在多种情况下有认证需求,包括需要连接网络时或需要执行特定操作时等。
[003引具体的,第一MAC地址可W通过预先保存在接入设备上的ARP表获取,即,当接入设 备感知到待认证非哑终端有认证需求时,直接获取第一 MAC地址。也可W是,待认证非哑终 端向接入设备发送自身的第一MAC地址。当然,获得第一MAC地址还可W包括其他方式,本发 明实施例对此不做限定。
[0039] 步骤S202:接收所述认证服务器根据所述第一 MAC地址反馈的第一组策略。
[0040] 其中,第一组策略是所述认证服务器根据非哑终端的MAC地址与组策略的对应关 系确定的,组策略代表一系列的访问权限,是表征访问权限的分组的策略。本实施例中,组 策略可W是访问权限的分组的策略名称,也可W是访问权限的具体策略内容。例如,设定 MAC地址段对应的组策略的策略名称为策略A,策略A的具体策略内容包括:允许访问IP地址 为1.1.1.1的服务器的内容,不允许访问除上述IP地址之外的其他IP地址。
[0041] 值得指出的是,由于本实施例是在待认证非哑终端进行手工认证之前为其开放的 部分访问权限,是为了避免待认证非哑终端因无法通过MAC无感知认证而不断发起MAC无感 知认证的问题所作出的对策。因此,组策略对应的访问权限属于访客访问权限,不同于手工 认证获得的访问权限,该访客访问权限是同一组策略对应的非哑终端共同具有的访问权 限,是一种受限制的、只能实现部分联网功能的权限。与其对应的非访客访问权限则是,用 户通过手工认证获得的针对每个用户的个性化的访问权限。其中,手工认证一般需要通过 用户名和密码来实现。
[0042] 例如,有的厂商非常注重安全性,出于对安全的考虑,上述访客访问权限可W是允 许待认证非哑终端访问微软服务器和防病毒软件服务器。运样,有利于非哑终端自动更新 操作系统和防病毒软件的补下。
[0043] 也可W是,有的厂商非常注重物流信息的时效性,那么上述访客访问权限可W是 允许待认证非哑终端访问物流公司服务器。运样,非哑终端可W尽可能早地获取到最新的 物流?胃息。
[0044] 进一步的,不同厂商可W根据MAC地址段设定不同的组策略,即不同的MAC地址段 可W对应不同的访客访问权限。
[0045] 需要说明的是,非哑终端的MAC地址与组策略的对应关系是预先配置在认证服务 器中的。
[0046] 步骤S203:确定所述第一组策略对应的第一访问权限,并根据所述第一访问权限 确定所述待认证非哑终端的访问权限。
[0047] 其中,所述第一访问权限为预设的访客访问权限。
[0048] 具体的,如果接入设备接收到的第一组策略包括策略名称,并没有包括第一组策 略的具体策略内容,那么接入设备根据预先保存的组策略与访问权限的对应关系,确定第 一组策略对应的第一访问权限。如果接入设备接收到的第一组策略包括第一组策略的具体 策略内容,那么接入设备直接根据第一组策略的具体策略内容确定第一访问权限。
[0049] 当确定第一访问权限之后,可W将第一访问权限确定为待认证非哑终端的访问权 限,也可W根据第一访问权限得到第二访问权限,将第二访问权限确定为待认证非哑终端 的访问权限,其中,第二访问权限为与第一访问权限不同的访问权限。当然,本发明实施例 对根据第一访问权限确定待认证非哑终端的访问权限的具体过程不做限定。
[0050] 由上述内容可知,本实施例中,接入设备将针对待认证非哑终端的MAC无感知认证 请求发送至认证服务器,接收认证服务器反馈的针对待认证非哑终端的第一组策略,然后 根据确定的第一组策略对应的第一访问权限,确定待认证非哑终端的访问权限。由于确定 了待认证非哑终端的访问权限后即完成了待认证非哑终端向认证服务器的认证请求,接入 设备不会再发起针对待认证非哑终端的MAC无感知认证请求,因此能够解决非哑终端不断 发起MAC无感知认证导致的认证服务器性能降低的问题。
[0化1 ] 当待认证非哑终端通过MAC无感知认证之后,接入设备还可W发起针对待认证非 哑终端的手工认证请求,w求完成针对待认证非哑终端的手工认证。因此,在本发明的另一 实施例中,对图2所示实施例进行改进,具体的,在图2所示实施例之后,所述方法还可W包 括:
[0化2] 步骤1:向所述认证服务器发送所述待认证非哑终端的手工认证请求。
[0053]具体的,接入设备可W在接收到待认证非哑终端发送的手工认证指令后执行步骤 1,也可W在接收到待认证非哑终端发送的用户名、密码、MAC地址等信息之后执行步骤1。当 然,执行步骤1的触发条件还可W有其他的,本发明对此不做限定。
[0化4] 在实际应用中,手工认证请求可W为采用802. lx协议的认证,也可W为采用 Podal协议的认证,当然,也可W包括其他手工认证方式,本发明对此不做具体限定。手工 认证请求可W采用对现有技术中的报文加 W改进后的报文实现发送,也可W采用其他报文 形式发送。具体的,向认证服务器发送待认证非哑终端的手工认证请求属于现有技术,其具 体过程此处不再寶述。
[0055] 步骤2:接收所述认证服务器发送的针对所述待认证非哑终端的第一下线请求。
[0056] 其中,第一下线请求可W采用对现有技术中的报文加 W改进后的报文实现发送, 也可W采用其他报文形式发送,本发明对此不做限定。
[0057] 当认证服务器接收到手工认证请求时,会首先判断待认证非哑终端是否已经通过 MAC无感知认证,如果是,则发送第一下线通知,W使待认证非哑终端的MAC无感知认证下 线,便于响应针对待认证非哑终端的手工认证过程。
[0058] 步骤3:响应所述第一下线请求,释放所述待认证非哑终端的第一访问权限,并向 所述认证服务器反馈所述待认证非哑终端的第一下线通知,W使所述认证服务器响应所述 手工认证请求。
[0059] 需要说明的是,响应第一下线请求即是释放待认证非哑终端的第一访问权限,取 消待认证非哑终端的第一访问权限。
[0060] 图3为本发明实施例提供的另一种终端接入认证方法的流程示意图,应用于认证 服务器,所述方法具体包括如下步骤:
[0061 ] 步骤S301:接收接入设备发送的针对待认证非哑终端的MAC无感知认证请求。
[0062] 其中,所述MAC无感知认证请求携带有所述非哑终端的第一MAC地址。
[0063] 可W理解的是,认证服务器能够根据MAC地址识别出哑终端和非哑终端,运属于现 有技术,其具体过程此处不再寶述。
[0064] 步骤S302:根据所述第一 MAC地址W及非哑终端的MAC地址与组策略的对应关系, 确定所述第一 MAC地址对应的第一组策略。
[00化]具体的,认证服务器从非哑终端的MAC地址与组策略的对应关系中查找该第一MAC 地址,将查找到的第一 MAC地址对应的组策略确定为第一组策略。如果认证服务器无法从非 哑终端的MAC地址与组策略的对应关系中查找到第一 MAC地址,则不做处理。此时,说明该待 认证非哑终端的MAC地址没有被预先配置在认证服务器中,或者该MAC无感知认证请求属于 虚假请求。
[0066]步骤S303:向所述接入设备发送所述第一组策略,W使所述接入设备确定所述第 一组策略对应的第一访问权限,并根据所述第一访问权限确定所述待认证非哑终端的访问 权限。
[0067] 其中,所述第一访问权限为预设的访客访问权限。
[0068] 由上述内容可知,本实施例中,认证服务器根据待认证非哑终端的第一MAC地址W 及非哑终端的MAC地址与组策略的对应关系,确定待认证非哑终端的第一组策略,并将第一 组策略发送至接入设备,W使接入设备确定第一组策略对应的第一访问权限,并根据第一 访问权限确定待认证非哑终端的访问权限。由于确定了待认证非哑终端的访问权限后即完 成了待认证非哑终端向认证服务器的认证请求,接入设备不会再发起针对待认证非哑终端 的MAC无感知认证请求,因此能够解决非哑终端不断发起MAC无感知认证导致的认证服务器 性能降低的问题。
[0069] 当待认证非哑终端通过MAC无感知认证之后,认证服务器还可W接收到接入设备 针对待认证非哑终端发起的手工认证请求,还要完成针对待认证非哑终端的手工认证。因 此,在本发明的另一实施例中,在图3所示实施例中,所述方法还可W包括:
[0070] 步骤1:接收所述接入设备发送的针对所述待认证非哑终端的手工认证请求。
[0071] 其中,手工认证即是指需要用户手工输入用户名和密码的认证方式。接入设备通 过与认证服务器的一系列认证交互,最终完成非哑终端的手工认证后,非哑终端可W获得 预先设定的专属于该用户的访问权限。
[0072] 步骤2:根据所述第一 MAC地址,判断所述待认证非哑终端是否已通过MAC无感知认 证,如果是,则执行步骤3。
[0073] 如果判断出待认证非哑终端没有通过MAC无感知认证,则执行响应所述手工认证 请求的步骤。具体的,可W判断是否能够从MAC无感知认证在线列表中查找到该第一MAC地 址,如果是,则说明待认证非哑终端已通过MAC无感知认证,否则,说明待认证非哑终端没有 通过MAC无感知认证。当然,判断待认证非哑终端是否已通过MAC无感知认证还可W有其他 具体的实施方式,本发明对此不做具体限定。
[0074] 需要说明的是,第一MAC地址可W是从手工认证请求中获得的,也可W是认证服务 器根据手工认证请求中的标识向接入设备索取的,当然,第一MAC地址还可W是采用其他方 式获得的,本发明对此不做具体限定。
[0075] 步骤3:向所述接入设备发送针对所述待认证非哑终端的第一下线请求。
[0076] 步骤4:接收所述接入设备反馈的针对所述待认证非哑终端的第一下线通知,并响 应所述手工认证请求。
[0077] 可W理解的是,当待认证非哑终端的MAC无感知认证被下线时,认证服务器才可W 响应其手工认证请求,并经过认证服务器与接入设备之间的一系列交互过程,确定是否完 成对待认证非哑终端的手工认证。具体的,响应所述手工认证请求即是需要接入设备和认 证服务器通过交互确定是否通过待认证非哑终端的手工认证,该过程属于现有技术,其具 体过程此处不再寶述。
[0078] 在本发明的另一实施例中,为了使认证服务器中记录的MAC无感知认证在线信息 更加准确,在图3所示实施例的基础上,在接收到所述接入设备反馈的第一下线通知之后, 所述方法还可W包括:清除所述待认证非哑终端的MAC无感知认证在线记录。
[0079] 图2所示实施例和图3所示实施例属于同一个发明构思,两者可W相互参照。
[0080] 下面W支持RADIUS(Remote Authentication Dial-In User Service,远程认证 拨号用户服务)协议的终端、认证服务器和网络接入系统(Network Access System,NAS)中 的接入设备为例,再对本发明进行详细说明。
[0081 ] 其中,认证服务器为具备认证、授权和计费功能的AAA( Authent i cat ion, Authorization,Accounting,认证,授权,计费)服务器。
[0082] 根据RFC(Request化r Comments)规定,厂商可W由自己定义各自的私有属性,通 过私有属性,厂商可W实现自己的定制内容,在本例中,组策略可W通过厂商私有属性实 现。在非哑终端例如PC机接入网络前,在针对NAS接入设备发起的MAC无感知认证请求反馈 报文时,认证服务器负责在私有属性中下发组策略的策略名称,该策略名称代表的具体策 略内容由NAS接入设备负责解释。在业务部署时,组策略应由实施人员事先在NAS接入设备 上进行配置,组策略代表一系列访问权限,举个例子,可W限定PC机通过手工认证接入网络 前被允许访问的服务器权限、企业内部应用的资源权限等。例如,企业PC机出于安全考虑一 般都有自动更新操作系统W及更新防病毒软件补下的需求,因此组策略即可配置放开对相 应的两个服务器的访问权限,组策略的具体策略内容可W考虑通过如下几条A化规则实现:
[0083] rule 0 permit ip/7微软服务器地址
[0084] rule 1 permit ip/7防病毒软件服务器地址 [00化]rule 2 deny ip all
[0086] 也就是说,上述访问权限限制第一 MAC地址可W访问微软服务器和防病毒软件服 务器,但是不能访问除此之外的其他IP地址。
[0087] 下面具体说明方案实施的过程。
[0088] NAS接入设备根据待认证非哑终端的第一 MAC地址,通过Code = 1的认证请求报文 Access-Request向认证服务器发送MAC无感知认证请求。该Access-Request报文携带第一 MAC地址。认证服务器根据第一 MAC地址W及非哑终端的MAC地址与组策略的对应关系,确定 第一组策略,并将携带有第一组策略的策略名称A的认证成功报文Access-Accept发送给 NAS接入设备。
[0089] NAS接入设备接收Access-Accept报文,根据该报文中携带的策略名称A,从预先保 存的组策略与访问权限的对应关系中获得A的具体策略内容,A的具体策略内容如下:
[0090] RuleO:permit 1.1.1.1
[0091] Rulel:permit 10.2.2.0
[0092] Rule2:permit 255.82.2.0
[0093] Rule3:deny ip all
[0094] NAS接入设备将上述A的具体策略内容确定为第一访问权限,并将该第一访问权限 确定为待认证非哑终端的访问权限。
[00巧]当NAS接入设备接收到待认证非哑终端发起的手工认证请求时,通过Access- Request 报文向认证服务器发送待认证非哑终端的手工认证请求。认证服务器根据待认证 非哑终端的第一MAC地址,判断出待认证非哑终端已通过MAC无感知认证,则通过 Disconnect-Request报文向NAS接入设备发送针对待认证非哑终端的第一下线请求。NAS接 入设备在接收到该Disconnect-Request报文时,向认证服务器反馈Disconnect-AO(报文W 确认收到该Disconnect-Request报文。此时,NAS接入设备响应第一下线请求,释放待认证 非哑终端的第一访问权限,然后通过计费结束请求报文Accounting-Request向认证服务器 反馈待认证非哑终端的第一下线通知。认证服务器接收到Accounting-Request报文后即确 认待认证非哑终端的MAC无感知认证已经下线,即可响应待认证非哑终端的手工认证请求。
[0096] 具体的,认证服务器响应手工认证请求,与NAS接入设备之间进行一些列认证交 互,然后反馈认证成功报文Access-Accept,NAS接入设备收到该Access-Accept报文后,释 放待认证非哑终端的访问权限,并向待认证非哑终端发送认证成功的通知报文,待认证非 哑终端接收到该通知报文后,向用户呈现手工认证上线成功的提示。
[0097] 其中,通过认证成功报文Access-Accept发送第一组策略时,需要对现有的 Access-Accept报文加 W改进。现有的Access-Accept报文格式见表1:
[009引 表1
[0099]
[0100] 其中,表1中的Attr化ute为属性域,用来在请求和响应报文中携带报文属性,实现 认证、授权、计费等功能,采用(Type、length、Value)Ξ元组的形式提供。因此,可W在 Attribute中写入第一组策略,具体的,Attribute的格式可W见表2:
[0101] 表2
[0102]
[0103] 其中,表2中的Specified attribute value可W用来写入第一组策略的策略名称 和/或具体策略内容。
[0104] 由于RADIUS协议具有良好的可扩展性,因此协议中定义的26号属性(Vender Specific)被用来扩展W支持供应商自己定义的扩展属性,主要指不适于常规使用的属性 扩展。但不允许对RADIUS协议中的操作有影响。当服务器不具备去解释由终端发送过来的 供应商特性信息时,服务器必须忽略它(过程可W被记录下来)。当没有收到预期属性情况 下,终端(对应NAS接入设备)也应该尝试在没有它的情况下运作。
[0105] 图4为本发明实施例提供的一种终端接入认证装置的结构示意图,与图2所示方法 实施例相对应,应用于接入设备,所述装置包括:第一发送模块401、第一接收模块402和第 一确定模块403;
[0106] 其中,第一发送模块401,用于根据待认证非哑终端的第一MAC地址,向认证服务器 发送MAC无感知认证请求;
[0107] 第一接收模块402,用于接收所述认证服务器根据所述第一MAC地址反馈的第一组 策略,其中,所述第一组策略是所述认证服务器根据非哑终端的MAC地址与组策略的对应关 系确定的;
[0108] 第一确定模块403,用于确定所述第一组策略对应的第一访问权限,并根据所述第 一访问权限确定所述待认证非哑终端的访问权限,其中,所述第一访问权限为预设的访客 访问权限。
[0109] 在本实施例中,所述第一发送模块401,还用于向所述认证服务器发送所述待认证 非哑终端的手工认证请求;
[0110] 所述第一接收模块402,还用于接收所述认证服务器发送的针对所述待认证非哑 终端的第一下线请求;
[0111] 所述装置还包括第一响应模块(图中未示出),其用于响应所述第一下线请求,释 放所述待认证非哑终端的第一访问权限,并向所述认证服务器反馈所述待认证非哑终端的 第一下线通知,W使所述认证服务器响应所述手工认证请求。
[0112] 图5为本发明实施例提供的另一种终端接入认证装置的结构示意图,与图3所示方 法实施例相对应,应用于认证服务器,所述装置包括:第二接收模块501、第二确定模块502 和第二发送模块503;
[0113] 其中,第二接收模块501,用于接收接入设备发送的针对待认证非哑终端的MAC无 感知认证请求;所述MAC无感知认证请求携带有所述非哑终端的第一 MAC地址;
[0114] 第二确定模块502,用于根据所述第一MAC地址W及非哑终端的MAC地址与组策略 的对应关系,确定所述第一 MAC地址对应的第一组策略;
[0115] 第二发送模块503,用于向所述接入设备发送所述第一组策略,W使所述接入设备 确定所述第一组策略对应的第一访问权限,并根据所述第一访问权限确定所述待认证非哑 终端的访问权限,其中,所述第一访问权限为预设的访客访问权限。
[0116] 在本实施例中,所述第二接收模块501,还用于接收所述接入设备发送的针对所述 待认证非哑终端的手工认证请求;
[0117] 所述装置还可W包括判断模块(图中未示出),其用于根据所述第一 MAC地址,判断 所述待认证非哑终端是否已通过MAC无感知认证;
[0118] 所述第二发送模块503,还用于当所述待认证非哑终端已通过MAC无感知认证时, 向所述接入设备发送针对所述待认证非哑终端的第一下线请求;
[0119] 所述装置还可W包括第二响应模块(图中未示出),其用于接收所述接入设备反馈 的针对所述待认证非哑终端的第一下线通知,并响应所述手工认证请求。
[0120] 在本实施例中,所述装置还可W包括清除模块(图中未示出);
[0121] 所述清除模块,用于在接收到所述接入设备反馈的第一下线通知之后,清除所述 待认证非哑终端的MAC无感知认证在线记录。
[0122] 由于上述装置实施例是基于方法实施例得到的,与该方法具有相同的技术效果, 因此装置实施例的技术效果在此不再寶述。
[0123] 对于装置实施例而言,由于其基本相似于方法实施例,所W描述得比较简单,相关 之处参见方法实施例的部分说明即可。
[0124] 需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实 体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示运些实体或操作之间存 在任何运种实际的关系或者顺序。而且,术语"包括"、"包含"或者任何其他变体意在涵盖非 排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素, 而且还包括没有明确列出的其他要素,或者是还包括为运种过程、方法、物品或者设备所固 有的要素。在没有更多限制的情况下,由语句"包括一个……"限定的要素,并不排除在包括 所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
[0125] 本领域普通技术人员可W理解,上述实施方式中的全部或部分步骤是能够通过程 序指令相关的硬件来完成的,所述的程序可W存储于计算机可读取存储介质中。运里所称 存储介质,是指R0M/RAM、磁碟、光盘等。
[0126] W上所述仅为本发明的较佳实施例而已,并非用于限定本发明的保护范围。凡在 本发明的精神和原则之内所做的任何修改、等同替换、改进等,均包含在本发明的保护范围 内。
【主权项】
1. 一种终端接入认证方法,其特征在于,应用于接入设备,所述方法包括: 根据待认证非哑终端的第一 MAC地址,向认证服务器发送MAC无感知认证请求; 接收所述认证服务器根据所述第一MAC地址反馈的第一组策略,其中,所述第一组策略 是所述认证服务器根据非哑终端的MAC地址与组策略的对应关系确定的; 确定所述第一组策略对应的第一访问权限,并根据所述第一访问权限确定所述待认证 非哑终端的访问权限,其中,所述第一访问权限为预设的访客访问权限。2. 根据权利要求1所述的方法,其特征在于,所述方法还包括: 向所述认证服务器发送所述待认证非哑终端的手工认证请求; 接收所述认证服务器发送的针对所述待认证非哑终端的第一下线请求; 响应所述第一下线请求,释放所述待认证非哑终端的第一访问权限,并向所述认证服 务器反馈所述待认证非哑终端的第一下线通知,以使所述认证服务器响应所述手工认证请 求。3. -种终端接入认证方法,其特征在于,应用于认证服务器,所述方法包括: 接收接入设备发送的针对待认证非哑终端的MAC无感知认证请求;所述MAC无感知认证 请求携带有所述非哑终端的第一 MAC地址; 根据所述第一 MAC地址以及非哑终端的MAC地址与组策略的对应关系,确定所述第一 MAC地址对应的第一组策略; 向所述接入设备发送所述第一组策略,以使所述接入设备确定所述第一组策略对应的 第一访问权限,并根据所述第一访问权限确定所述待认证非哑终端的访问权限,其中,所述 第一访问权限为预设的访客访问权限。4. 根据权利要求3所述的方法,其特征在于,所述方法还包括: 接收所述接入设备发送的针对所述待认证非哑终端的手工认证请求; 根据所述第一 MAC地址,判断所述待认证非哑终端是否已通过MAC无感知认证; 如果是,则向所述接入设备发送针对所述待认证非哑终端的第一下线请求; 接收所述接入设备反馈的针对所述待认证非哑终端的第一下线通知,并响应所述手工 认证请求。5. 根据权利要求4所述的方法,其特征在于,在接收到所述接入设备反馈的第一下线通 知之后,所述方法还包括: 清除所述待认证非哑终端的MAC无感知认证在线记录。6. -种终端接入认证装置,其特征在于,应用于接入设备,所述装置包括: 第一发送模块,用于根据待认证非哑终端的第一 MAC地址,向认证服务器发送MAC无感 知认证请求; 第一接收模块,用于接收所述认证服务器根据所述第一 MAC地址反馈的第一组策略,其 中,所述第一组策略是所述认证服务器根据非哑终端的MAC地址与组策略的对应关系确定 的; 第一确定模块,用于确定所述第一组策略对应的第一访问权限,并根据所述第一访问 权限确定所述待认证非哑终端的访问权限,其中,所述第一访问权限为预设的访客访问权 限。7. 根据权利要求6所述的装置,其特征在于,所述第一发送模块,还用于向所述认证服 务器发送所述待认证非哑终端的手工认证请求; 所述第一接收模块,还用于接收所述认证服务器发送的针对所述待认证非哑终端的第 一下线请求; 所述装置还包括第一响应模块,用于响应所述第一下线请求,释放所述待认证非哑终 端的第一访问权限,并向所述认证服务器反馈所述待认证非哑终端的第一下线通知,以使 所述认证服务器响应所述手工认证请求。8. -种终端接入认证装置,其特征在于,应用于认证服务器,所述装置包括: 第二接收模块,用于接收接入设备发送的针对待认证非哑终端的MAC无感知认证请求; 所述MAC无感知认证请求携带有所述非哑终端的第一 MAC地址; 第二确定模块,用于根据所述第一 MAC地址以及非哑终端的MAC地址与组策略的对应关 系,确定所述第一 MAC地址对应的第一组策略; 第二发送模块,用于向所述接入设备发送所述第一组策略,以使所述接入设备确定所 述第一组策略对应的第一访问权限,并根据所述第一访问权限确定所述待认证非哑终端的 访问权限,其中,所述第一访问权限为预设的访客访问权限。9. 根据权利要求8所述的装置,其特征在于,所述第二接收模块,还用于接收所述接入 设备发送的针对所述待认证非哑终端的手工认证请求; 所述装置还包括判断模块,用于根据所述第一 MAC地址,判断所述待认证非哑终端是否 已通过MAC无感知认证; 所述第二发送模块,还用于当所述待认证非哑终端已通过MAC无感知认证时,向所述接 入设备发送针对所述待认证非哑终端的第一下线请求; 所述装置还包括第二响应模块,其用于接收所述接入设备反馈的针对所述待认证非哑 终端的第一下线通知,并响应所述手工认证请求。10. 根据权利要求9所述的装置,其特征在于,所述装置还包括清除模块; 所述清除模块,用于在接收到所述接入设备反馈的第一下线通知之后,清除所述待认 证非哑终端的MAC无感知认证在线记录。
【文档编号】H04L29/06GK106059802SQ201610355907
【公开日】2016年10月26日
【申请日】2016年5月25日
【发明人】许文雨
【申请人】杭州华三通信技术有限公司