亚洲成年人黄色一级片,日本香港三级亚洲三级,黄色成人小视频,国产青草视频,国产一区二区久久精品,91在线免费公开视频,成年轻人网站色直接看

一種安全策略服務(wù)器的地址獲取方法和設(shè)備與流程

文檔序號:11156471閱讀:367來源:國知局
一種安全策略服務(wù)器的地址獲取方法和設(shè)備與制造工藝
本發(fā)明涉及通信
技術(shù)領(lǐng)域
,尤其涉及一種安全策略服務(wù)器的地址獲取方法和設(shè)備。
背景技術(shù)
:802.1X協(xié)議是一種基于端口的網(wǎng)絡(luò)接入控制協(xié)議,廣泛用于解決以太網(wǎng)內(nèi)客戶端的安全認證和安全接入問題。所謂“基于端口的網(wǎng)絡(luò)接入控制”是指在局域網(wǎng)接入設(shè)備的端口這一級別對接入的客戶端進行認證和控制,連接到接入設(shè)備的端口上的客戶端只有通過802.1X認證,才能訪問局域網(wǎng)中的資源。常規(guī)的802.1X認證包括以下主要過程:(1)客戶端或接入設(shè)備發(fā)起802.1X認證請求;(2)遠端用戶撥號認證服務(wù)(RemoteAuthenticationDialinUserService,簡稱:RADIUS)服務(wù)器接收認證請求,并返回認證結(jié)果;(3)接入設(shè)備通過認證,打開受控端口;(4)認證包丟失重傳;(5)重新認證;(6)退出已認證態(tài),即客戶端“下線”。而在企業(yè)網(wǎng)絡(luò)中,為了增強網(wǎng)絡(luò)安全性,除了通過802.1X認證服務(wù)器對客戶端的用戶身份進行認證外,還可以通過安裝在客戶端上的802.1X安全接入軟件對客戶端執(zhí)行安全策略,如是否安裝了防病毒軟件、是否更新了病毒庫、是否安裝了非法軟件、是否更新了操作系統(tǒng)補丁等,來檢查客戶端的系統(tǒng)環(huán)境是否滿足安全條件,只有滿足安全條件的客戶端才被允許訪問局域網(wǎng)中的資源,不滿足安全條件的客戶端將被隔離或被阻止接入局域網(wǎng)。由于企業(yè)實施的安全策略會發(fā)生變化,因此客戶端上的802.1X安全接入軟件需要連接到存放安全策略的安全策略服務(wù)器獲取和升級安全策略。通常是將安全策略服務(wù)器的IP地址定制到802.1X安全接入軟件的安裝包 中;客戶端在認證通過后,通過802.1X安全接入軟件中內(nèi)置的安全策略服務(wù)器的IP地址,連接安全策略服務(wù)器。但是,不同的網(wǎng)絡(luò)區(qū)域,客戶端需要連接到不同的安全策略服務(wù)器,這樣就需要為每個網(wǎng)絡(luò)區(qū)域分別定制不同的802.1X安全接入軟件的安裝包,并且針對不同的網(wǎng)絡(luò)區(qū)域分發(fā)安裝包,實施上比較復(fù)雜,也容易出錯。技術(shù)實現(xiàn)要素:本申請?zhí)峁┮环N安全策略服務(wù)器的地址獲取方法和設(shè)備,使得客戶端可以更簡便、靈活地獲取安全策略服務(wù)器的地址。第一方面,提供了一種安全策略服務(wù)器的地址獲取方法,RADIUS服務(wù)器接收接入設(shè)備轉(zhuǎn)發(fā)的客戶端的認證請求;在對所述客戶端認證通過之后,所述RADIUS服務(wù)器獲取所述接入設(shè)備的地址;所述RAIDUS服務(wù)器向管理服務(wù)器發(fā)送地址查詢請求,所述地址查詢請求中包括所述接入設(shè)備的地址;所述RADIUS服務(wù)器接收所述管理服務(wù)器響應(yīng)所述地址查詢請求返回的地址查詢響應(yīng),所述地址查詢響應(yīng)中包括與所述接入設(shè)備的地址對應(yīng)的安全策略服務(wù)器的地址;所述RADIUS服務(wù)器向所述客戶端發(fā)送認證交互報文,所述認證交互報文中包括所述安全策略服務(wù)器的地址,以使所述客戶端從所述認證交互報文中獲取所述安全策略服務(wù)器的地址。這樣,通過將安全策略服務(wù)器的地址存放在RADIUS服務(wù)器發(fā)往客戶端的認證交互報文中,使得客戶端能夠簡便地從接收的認證交互報文中獲取到安全策略服務(wù)器的地址。結(jié)合第一方面,在第一方面的第一種可能的實現(xiàn)方式中,所述認證交互報文為EAP-TLVRequest報文。第二方面,提供了一種安全策略服務(wù)器地址的獲取方法,客戶端通過接入設(shè)備向RADIUS服務(wù)器發(fā)起認證過程;所述客戶端接收所述所述RADIUS服務(wù)器返回的認證交互報文,所述認證交互報文中包括所述RADIUS服務(wù)器根據(jù) 所述接入設(shè)備的地址從管理服務(wù)器查詢獲得的安全策略服務(wù)器的地址;所述客戶端從所述認證交互報文中獲取所述安全策略服務(wù)器的地址。結(jié)合第二方面,在第二方面的第一種可能的實現(xiàn)方式中,在所述客戶端從接收的所述認證交互報文中獲取安全策略服務(wù)器的地址之后,所述方法還包括:所述客戶端通過獲取的所述安全策略服務(wù)器的地址,與所述安全策略服務(wù)器建立TCP長連接;所述TCP長連接可用于指示所述安全策略服務(wù)器的地址是否發(fā)生變化;如果所述TCP長連接斷開,則所述客戶端退出已認證態(tài),并通過所述接入設(shè)備重新向所述RADIUS服務(wù)器發(fā)起認證過程,以重新獲取安全策略服務(wù)器的地址。結(jié)合第二方面,在第二方面的第二種可能的實現(xiàn)方式中,在所述客戶端從接收的所述認證交互報文中獲取安全策略服務(wù)器的地址之后,所述方法還包括:如果所述客戶端無法通過獲取的所述安全策略服務(wù)器的地址與所述安全策略服務(wù)器建立連接,則所述客戶端退出已認證態(tài),并通過所述接入設(shè)備重新向所述RADIUS服務(wù)器發(fā)起認證過程,以重新獲取安全策略服務(wù)器的地址。通過以上兩種實現(xiàn)方式,即使安全策略服務(wù)器的地址發(fā)生變化,客戶端也可以通過重新發(fā)起認證再次獲得新的安全策略服務(wù)器的地址。第三方面,提供了一種RADIUS服務(wù)器,所述RADIUS服務(wù)器具有實現(xiàn)上述方法中RADIUS服務(wù)器行為的功能。所述功能可以通過硬件實現(xiàn),也可以通過硬件執(zhí)行相應(yīng)的軟件實現(xiàn)。所述硬件或軟件包括一個或多個與上述功能相對應(yīng)的模塊。一種可能的實現(xiàn)方式中,所述RADIUS服務(wù)器包括發(fā)送器、接收器和處理器,所述發(fā)送器、所述接收器和所述處理器之間通過總線相互連接;其中接收器,用于接收接入設(shè)備轉(zhuǎn)發(fā)的客戶端的認證請求;處理器,用于在對所述客戶端認證通過后,獲取所述接入設(shè)備的地址;發(fā)送器,用于向管理服務(wù)器發(fā)送地址查詢請求,所述地址查詢請求中包括所述接入設(shè)備的地址;所述接收器還用于,接收所述管理服務(wù)器響應(yīng)所述地址查詢請求返回的地址查詢響應(yīng),所述地址查詢響應(yīng)中包括與所述接入設(shè)備的地址對應(yīng)的安全策略服務(wù)器的地址;所述發(fā)送器還用于,向所述客戶端發(fā)送認證交互報文,所述認證交互報文中包括所述安全策略服務(wù)器的地址,以使所述客戶端從所述認證交互報文中獲取所述安全策略服務(wù)器的地址。另一種可能的實現(xiàn)方式中,所述RADIUS服務(wù)器包括:接收單元,用于接收接入設(shè)備轉(zhuǎn)發(fā)的客戶端的認證請求;處理單元,用于在對所述客戶端認證通過后,獲取所述接入設(shè)備的地址;發(fā)送單元,用于向管理服務(wù)器發(fā)送地址查詢請求,所述地址查詢請求中包括所述接入設(shè)備的地址;所述接收單元還用于,接收所述管理服務(wù)器響應(yīng)所述地址查詢請求返回的地址查詢響應(yīng),所述地址查詢響應(yīng)中包括與所述接入設(shè)備的地址對應(yīng)的安全策略服務(wù)器的地址;所述發(fā)送單元還用于,向所述客戶端發(fā)送認證交互報文,所述認證交互報文中包括所述安全策略服務(wù)器的地址,以使所述客戶端從所述認證交互報文中獲取所述安全策略服務(wù)器的地址。第四方面,提供了一種客戶端,所述客戶端具有實現(xiàn)上述方法中客戶端行為的功能。所述功能可以通過硬件實現(xiàn),也可以通過硬件執(zhí)行相應(yīng)的軟件實現(xiàn)。所述硬件或軟件包括一個或多個與上述功能相對應(yīng)的模塊。一種可能的實現(xiàn)方式中,所述客戶端包括發(fā)送器、接收器和處理器,所述發(fā)送器、所述接收器和所述處理器之間通過總線相互連接;其中發(fā)送器,用于通過接入設(shè)備向RADIUS服務(wù)器發(fā)起認證過程;接收器,用于接收所述RADIUS服務(wù)器返回的認證交互報文,所述認證交互報文中包括所述RADIUS服務(wù)器根據(jù)所述接入設(shè)備的地址從管理服務(wù)器查詢獲得的安全策略服務(wù)器的地址;處理器,用于從所述認證交互報文中獲取所述安全策略服務(wù)器的地址。另一種可能的實現(xiàn)方式中,所述客戶端包括:發(fā)送單元,用于通過接入設(shè)備向RADIUS服務(wù)器發(fā)起認證過程;接收單元,用于接收所述RADIUS服務(wù)器返回的認證交互報文,所述認證交互報文中包括所述RADIUS服務(wù)器根據(jù)所述接入設(shè)備的地址從管理服務(wù)器查詢獲得的安全策略服務(wù)器的地址;處理單元,用于從所述認證交互報文中獲取所述安全策略服務(wù)器的地址。利用本申請?zhí)峁┑姆桨福ㄟ^將安全策略服務(wù)器的地址存放在RADIUS服務(wù)器發(fā)往客戶端的認證交互報文中,使得客戶端能夠簡便靈活地從接收的認證交互報文中獲取到安全策略服務(wù)器的地址附圖說明圖1為本申請?zhí)峁┑囊环N安全策略服務(wù)器的地址獲取方法應(yīng)用的系統(tǒng)架構(gòu)的示意圖;圖2為本申請?zhí)峁┑囊环N安全策略服務(wù)器的地址獲取方法的流程示意圖;圖3為本申請?zhí)峁┑囊环N使用PEAP協(xié)議的802.1x認證過程中的報文交互示意圖;圖4A為本發(fā)明實施例提供的一種RADIUS服務(wù)器的結(jié)構(gòu)示意圖;圖4B為本發(fā)明實施例提供的另一種RADIUS服務(wù)器的結(jié)構(gòu)示意圖;圖5A為本發(fā)明實施例提供的一種客戶端的結(jié)構(gòu)示意圖;圖5B為本發(fā)明實施例提供的另一種客戶端的結(jié)構(gòu)示意圖;圖6A為本發(fā)明實施例提供的一種管理服務(wù)器的結(jié)構(gòu)示意圖;圖6B為本發(fā)明實施例提供的另一種管理服務(wù)器的結(jié)構(gòu)示意圖;圖7A為本發(fā)明實施例提供的一種安全策略服務(wù)器的結(jié)構(gòu)示意圖;圖7B為本發(fā)明實施例提供的另一種安全策略服務(wù)器的結(jié)構(gòu)示意圖。具體實施方式本申請?zhí)峁┝艘环N安全策略服務(wù)器的地址獲取方法和設(shè)備,通過將安全策略服務(wù)器的地址存放在RADIUS服務(wù)器發(fā)往客戶端的認證交互報文的方式,使得客戶端能夠簡便地從接收的認證交互報文中獲取到安全策略服務(wù)器的地址。下面將結(jié)合本發(fā)明實施例中的附圖,對本發(fā)明實施例中的技術(shù)方案進行清楚、完整地描述,顯然,所描述的實施例是本發(fā)明一部分實施例,而不是全部的實施例。基于本發(fā)明中的實施例,本領(lǐng)域普通技術(shù)人員在沒有做出創(chuàng)造性勞動前提下所獲得的所有其他實施例,都屬于本發(fā)明保護的范圍。本申請?zhí)峁┑陌踩呗苑?wù)器的地址獲取方法,可應(yīng)用于圖1所示的系統(tǒng)中,該系統(tǒng)包括客戶端、接入設(shè)備、RADIUS服務(wù)器、安全策略服務(wù)器和管理服務(wù)器,其中,客戶端,用于通過自身安裝的802.1X安全接入軟件發(fā)起802.1X認證,以及連接安全策略服務(wù)器獲取或升級安全策略,根據(jù)獲取或升級后的安全策略對自身執(zhí)行安全檢查,并向連接的安全策略服務(wù)器上報執(zhí)行安全檢查后產(chǎn)生的違規(guī)信息;所述客戶端和所述接入設(shè)備之間來往的報文采用可擴展認證協(xié)議(ExtensibleAuthenticationProtocol,簡稱:EAP)。接入設(shè)備,用于將客戶端發(fā)送的EAP報文封裝成RADIUS報文后轉(zhuǎn)發(fā)給RADIUS服務(wù)器;以及將RADIUS服務(wù)器返回的RADIUS報文解封裝,并將解封裝后得到的EAP報文轉(zhuǎn)發(fā)給客戶端。RADIUS服務(wù)器,用于對接入設(shè)備轉(zhuǎn)發(fā)的客戶端的認證請求進行認證,以及在對客戶端認證通過后從管理服務(wù)器上獲取負責(zé)管理所述接入設(shè)備的安全策略服務(wù)器的地址,并將獲取到的安全策略服務(wù)器的地址存放在認證交互報文中發(fā)送給所述客戶端。安全策略服務(wù)器,存有安全策略,用于周期性地向管理服務(wù)器上報自身的負載情況,或在接收到管理服務(wù)器的狀態(tài)查詢請求時返回自身的負載情況;安全策略服務(wù)器有多個,一般采用分布式的方式部署。管理服務(wù)器,用于管理安全策略服務(wù)器,可以配置接入設(shè)備地址與安全策略服務(wù)器地址的映射關(guān)系,即來自哪個接入設(shè)備的客戶端被哪些安全策略服務(wù)器管理;在接收到RADIUS服務(wù)器發(fā)送的地址查詢請求時,返回與所述地址查詢請求包含的接入設(shè)備的地址相對應(yīng)的安全策略服務(wù)器的地址。此外,所述管理服務(wù)器還可以用于監(jiān)控所管理的各個安全策略服務(wù)器的負載情況。本申請中,管理服務(wù)器和RADIUS服務(wù)器可以合并部署,即上述管理服務(wù)器的功能可以由RADIUS服務(wù)器實現(xiàn),或者,管理服務(wù)器和RADIUS服務(wù)器也可以分開部署。實際應(yīng)用中,考慮到RADIUS服務(wù)器是一個重要設(shè)備,為減少對RADIUS服務(wù)器的改動,一般將管理服務(wù)器和RADIUS服務(wù)器分開部署。此外,由于RADIUS服務(wù)器可能有多個,安全策略服務(wù)器也可能有多個,將管理服務(wù)器和RADIUS服務(wù)器分開部署,由管理服務(wù)器統(tǒng)一管理安全策略服務(wù)器,這樣安全策略服務(wù)器可以只用向管理服務(wù)器上報自身的負載情況,RADIUS服務(wù)器也只用與管理服務(wù)器連接,減少了RADIUS服務(wù)器和安全策略服務(wù)器之間的連接。如圖2所示為本申請?zhí)峁┑囊环N安全策略服務(wù)器的地址獲取方法的流程示意圖,所述方法包括:步驟201:客戶端通過接入設(shè)備向RADIUS服務(wù)器發(fā)起認證過程。步驟202:所述RADIUS服務(wù)器在對所述客戶端認證通過之后,獲取所述接入設(shè)備的地址。接入設(shè)備將客戶端發(fā)送的EAP報文封裝在RADIUS報文中,上報給RAIDUS服務(wù)器,RAIUDS服務(wù)器可以從接收的RADIUS報文中獲得接入設(shè)備的IP地址。步驟203:所述RADIUS服務(wù)器向管理服務(wù)器發(fā)送地址查詢請求,所述地址查詢請求中包括所述接入設(shè)備的地址。其中,所述地址查詢請求可以通過私有協(xié)議實現(xiàn),可以通過遠程過程調(diào)用協(xié)議(RemoteProcedureCallProtocol,簡稱:RPC)或自定義通信報文實現(xiàn)。步驟204:所述管理服務(wù)器接收所述地址查詢請求后,根據(jù)設(shè)置的接入設(shè)備地址與安全策略服務(wù)器地址的對應(yīng)關(guān)系,獲取與所述接入設(shè)備的地址對應(yīng)的安全策略服務(wù)器的地址。本申請中,所述接入設(shè)備地址與安全策略服務(wù)器地址的對應(yīng)關(guān)系,即來自哪個接入設(shè)備的客戶端被哪些安全策略服務(wù)器所管理,可以在所述管理服務(wù)器上進行配置。一個接入設(shè)備可以對應(yīng)多個安全策略服務(wù)器,此時所述管理服務(wù)器可以根據(jù)接入設(shè)備和這多個安全策略服務(wù)器的網(wǎng)絡(luò)部署區(qū)域,配置這多個安全策略服務(wù)器的主備屬性。如,在兩個地區(qū),比如區(qū)域A和區(qū)域B,分別有一個安全策略服務(wù)器,對于在區(qū)域A的接入設(shè)備,可以將區(qū)域A的安全策略服務(wù)器配置為該接入設(shè)備的主安全策略服務(wù)器,將區(qū)域B的安全策略服務(wù)器配置為該接入設(shè)備的備份安全策略服務(wù)器,后續(xù)可以優(yōu)先將屬性為主安全策略服務(wù)器的安全策略服務(wù)器的地址通知給該接入設(shè)備,使得該接入設(shè)備管轄下的同在區(qū)域A的客戶端可以優(yōu)先連接到處于同一網(wǎng)絡(luò)區(qū)域的安全策略服務(wù)器上,這樣可以加快客戶端從安全策略服務(wù)器下載數(shù)據(jù)和上傳數(shù)據(jù)至安全策略服務(wù)器的速度。如下表1所示,為本發(fā)明實施例提供的接入設(shè)備地址與安全策略服務(wù)器地址的對應(yīng)關(guān)系的一個示例,其中還包括主備關(guān)系。表1接入設(shè)備地址與安全策略服務(wù)器地址的對應(yīng)關(guān)系接入設(shè)備的地址安全策略服務(wù)器的地址主備關(guān)系1.1.1.110.10.10.10主1.1.1.111.11.11.11備1.1.1.122.22.22.22備2.2.2.210.10.10.10備2.2.2.211.11.11.11主本申請并不限制所述對應(yīng)關(guān)系的存儲位置,只要所述管理服務(wù)器可以獲取到即可,如所述對應(yīng)關(guān)系可以保存在所述管理服務(wù)器的內(nèi)存中,或者硬盤上,或者所述管理服務(wù)器的外接存儲設(shè)備上??蛇x的,本申請中所述管理服務(wù)器可以周期性地向安全策略服務(wù)器查詢所述安全策略服務(wù)器的負載情況;或者,所述管理服務(wù)器也可以接收所述安全策略服務(wù)器周期性發(fā)送的所述安全策略服務(wù)器的負載情況。其中,所謂負載情況,即所述安全策略服務(wù)器當(dāng)前連接的客戶端的數(shù)目與所述安全策略服務(wù)器支持連接的客戶端的最大數(shù)目的比值。安全策略服務(wù)器的負載情況影響客戶端從該安全策略服務(wù)器獲取安全策略的速度,以及影響客戶端向安全策略服務(wù)器上傳執(zhí)行安全策略后產(chǎn)生的違規(guī)信息的實時性??蛇x的,所述管理服務(wù)器還可以記錄最近一次獲取到所述安全策略服務(wù)器的負載情況的時間,如果最近一次獲取到某個安全策略服務(wù)器的時間與當(dāng)前時間的差值超過了設(shè)定時長,則表明該安全策略服務(wù)器的實際地址已發(fā)生變化,可以對該安全策略服務(wù)器進行標(biāo)記,如標(biāo)記為“離線”狀態(tài),以提醒管理人員該安全策略服務(wù)器的地址發(fā)生變化,需要排查該安全策略服務(wù)器是否出現(xiàn)故障。此外,還要同步調(diào)整上述表1所示的接入設(shè)備地址與安全策略服務(wù)器地址的對應(yīng)關(guān)系。如下表2所示,為本發(fā)明實施例提供的管理服務(wù)器記錄的安全策略服務(wù)器的狀態(tài)信息的示例,其中包括安全策略服務(wù)器的地址,例如IP地址,最近獲取時間,以及負載情況。表2安全策略服務(wù)器的狀態(tài)信息示例安全策略服務(wù)器的地址最近獲取時間負載情況10.10.10.102015-1-110:10:0010%11.11.11.11離線離線22.22.22.222015-1-110:10:0030%可選的,所述管理服務(wù)器在獲取與所述接入設(shè)備的地址對應(yīng)的安全策略服務(wù)器的地址時,首先獲取所有與所述接入設(shè)備的地址對應(yīng)的安全策略服務(wù)器的地址,也即不考慮主備關(guān)系。例如,在表1中獲取負責(zé)管理IP地址為1.1.1.1的接入設(shè)備的安全策略服務(wù)器的地址,可以得到三個IP地址:10.10.10.10、11.11.11.11和22.22.22.22。然后,從所述多個安全策略服務(wù)器的地址中篩選出負載情況較輕的N個安全策略服務(wù)器的地址。例如,若N設(shè)置為2,則根據(jù)表2可以進一步獲得負責(zé)管理IP地址為1.1.1.1的接入設(shè)備的安全策略服務(wù)器的地址為10.10.10.10和22.22.22.22??蛇x的,所述管理服務(wù)器還可以從所述多個安全策略服務(wù)器的地址中先篩選出主備屬性為主的安全策略服務(wù)器的地址,然后再篩選出負載較輕的N個安全策略服務(wù)器的地址?;蛘撸龉芾矸?wù)器也可以從所述多個安全策略服務(wù)器的地址中先篩選出負載較輕的M個安全策略服務(wù)器的地址,再從篩選得到的M個安全策略服務(wù)器的地址中再篩選出N個主備屬性為主屬性的安全策略服務(wù)器的地址。其中M和N均為大于等于1的正整數(shù)。步驟205:所述管理服務(wù)器向所述RADIUS服務(wù)器返回地址查詢響應(yīng),所述地址查詢響應(yīng)中包括與所述接入設(shè)備的地址對應(yīng)的所述安全策略服務(wù)器的地址。步驟206:所述RADIUS服務(wù)器接收所述管理服務(wù)器返回的所述地址查詢響應(yīng)后,向所述客戶端發(fā)送認證交互報文,所述認證交互報文中包括所述RADIUS服務(wù)器根據(jù)所述接入設(shè)備的地址從管理服務(wù)器查詢獲得的所述安全策略服務(wù)器的地址。步驟207:所述客戶端接收所述接入設(shè)備轉(zhuǎn)發(fā)的來自所述RADIUS服務(wù)器的認證交互報文之后,從接收的所述認證交互報文中獲取安全策略服務(wù)器的地址。所述安全策略服務(wù)器的地址可以是安全策略服務(wù)器的IP地址,也可以是安全策略服務(wù)器的域名,在后者這種情況下,客戶端本地一般還部署有一臺DNS服務(wù)器,用以維護安全策略服務(wù)器的域名與IP地址的對應(yīng)關(guān)系,客戶端從認證交互報文中解析得到安全策略服務(wù)器的域名后,再從本地的DNS服務(wù)器查找對應(yīng)的安全策略服務(wù)器的IP地址??蛇x的,所述認證交互報文可以是標(biāo)準(zhǔn)定義的EAP-TLV請求(Request)報文,也可以是自定義的EAP擴展報文。本申請以EAP-TLVRequest報文為例說明如何通過認證交互報文傳遞安全策略服務(wù)器的地址。所述EAP-TLVRequest報文為受保護的可擴展認證協(xié)議(ProtectedEAP,簡稱:PEAP)中的一種報文,EAP-TLV是PEAP中一種攜帶標(biāo)準(zhǔn)的類型長度值(Type-Length-Value,簡稱TLV)對象的方法,用于在EAP服務(wù)器和EAP客戶端之間傳輸參數(shù),包括通知加密信息,語言和字符設(shè)置,以及廠商自定義數(shù)據(jù)等,本申請正是通過EAP-TLV中的類型為廠商自定義TLV來傳遞安全策略服務(wù)器的地址。在802.1x認證過程中,客戶端、接入設(shè)備和RADIUS服務(wù)器之間是通過不同的通信協(xié)議進行交互的,其中接入設(shè)備和RADIUS服務(wù)器之間通過RADIUS報文實現(xiàn)交互,接入設(shè)備和客戶端之間通過EAP報文實現(xiàn)交互。例如,客戶端向接入設(shè)備發(fā)送EAP身份響應(yīng)(EAP-Response/Identify)報文;相 應(yīng)地,接入設(shè)備向RADIUS服務(wù)器發(fā)送RADIUS訪問請求報文(RADIUSAccess-Request),里面封裝了上面的EAP身份響應(yīng)報文。EAP報文的格式定義如下表3所示:表3EAP報文格式其中,所述EAP報文包含的各字段的含義如下:Code為一個字節(jié),指明EAP報文的類型,共有4種,域值定義如下:1——請求報文,即EAP-Request;2——響應(yīng)報文,即EAP-Response;3——認證成功,即EAP-Success;4——認證失敗,即EAP-Failure。Identifier為一個字節(jié),用于應(yīng)答報文和請求報文之間進行匹配。Length為兩個字節(jié),指示EAP報文的長度,即Code、Identifier、Length、Type和Data域的總長度。Type為一個字節(jié),用于指示Data的格式。Data為零個或多個字節(jié),是EAP報文的內(nèi)容,Data具體由Code和Type的類型決定。本申請中,可以采用Code=1,Type=33的EAP-TLVRequest報文作為上述認證交互報文,則Data字段具備TLV屬性。當(dāng)然,也可以協(xié)商一種自定義的EAP擴展報文,如采用Code=1,Type=88(此處僅為舉例,也可以約定與標(biāo)準(zhǔn)中已規(guī)定的Type域值不沖突的任何值)的EAP請求報文作為上述認證交互報文,在該EAP請求報文的Data字段內(nèi)存儲安全策略服務(wù)器的地址。如下表4所示為本申請采用的EAP-TLVRequest報文中的Data字段的信息元素結(jié)構(gòu)。表4Data字段的信息元素結(jié)構(gòu)其中,Data字段包含的各字段的含義如下:M,1個比特位,0表示非強制即此報文非必須存在,1表示強制。R,1個比特位,為預(yù)留字段。TLVType,14個比特位,指明Data的類型,目前共有21種。上述表4所示Data字段的結(jié)構(gòu),為本發(fā)明采用TLVType為7,即廠家自定義TLV(Vendor-SpecificTLV)時的結(jié)構(gòu)。Length,兩個字節(jié),表征數(shù)據(jù)的長度,包含Length、Vendor-Id和VendorTLVs域的長度。Vendor-Id,表示廠家ID。VendorTLVs,用于攜帶自定義信息。VendorTLVs中的TLV結(jié)構(gòu)如下表5所示。表5VendorTLVs的信息元素結(jié)構(gòu)其中,M,1個比特位,0表示非強制,1表示強制。R,1個比特位,保留字段。TLVType,14個比特位,為自定義的標(biāo)識,例如,可取TLVType=0x80來標(biāo)識VendorTLVs中存放的是安全策略服務(wù)器的IP地址。Length,兩個字節(jié),表征數(shù)據(jù)的長度,包含Value和Length域的長度。Value,用于填入安全策略服務(wù)器的地址,每個地址用分號分隔;如10.10.10.10;10.10.10.11。下面以一個具體的應(yīng)用場景為例,介紹如何在802.1X的認證流程中通過所述EAP-TLVRequest報文發(fā)送安全策略服務(wù)器的地址。圖3所示為一種使用PEAP-消息摘要算法第五版(MessageDigestAlgorithm,簡稱:MD5)的802.1x認證過程中的報文交互過程,從客戶端發(fā)起802.1X認證接入,到客戶端通過認證主要經(jīng)歷以下過程:(1)、客戶端向接入設(shè)備發(fā)送一個基于局域網(wǎng)的擴展認證協(xié)議(EAPoverLAN,簡稱EAPOL)-Start報文,開始802.1X認證接入。(2)、接入設(shè)備向客戶端發(fā)送EAP身份請求(EAP-Request/Identify)報文,要求客戶端提供用戶名。本申請中,所涉及報文中的“/”用于區(qū)分同層協(xié)議中的不同字段。在表3所示的EAP報文格式中,當(dāng)Code=1,Type=1時,此時的EAP報文便是EAP-Request/Identify報文。(3)、客戶端回應(yīng)一個EAP-Response/Identify報文給接入設(shè)備,其中報文中的Identify中存放了客戶端的用戶名。(4)、接入設(shè)備將EAP-Response/Identify報文封裝到RADIUSAccess-Request報文中,發(fā)送給RADIUS服務(wù)器。(5)、RADIUS服務(wù)器開始PEAP認證,將EAP-Request/PEAP-Start報文封裝在RADIUS訪問挑戰(zhàn)(RADIUS-Access-Challenge)報文中發(fā)送給接入設(shè)備。(6)、接入設(shè)備將RADIUS-Access-Challenge報文中內(nèi)層的EAP-Request/PEAP-Start報文轉(zhuǎn)發(fā)給客戶端。(7)、建立安全傳輸層協(xié)議(TransportLayerSecurity,簡稱:TLS)隧道。TLS隧道的建立過程也是第一階段認證的過程,其中客戶端和RADIUS服務(wù)器之間來往的報文在此不作詳述。(8)、客戶端發(fā)送EAP-Response(Empty)報文給接入設(shè)備,通過一個空響應(yīng)報文進行第二階段認證。(9)、接入設(shè)備將EAP-Response(Empty)報文封裝到RADIUSAccess-Request報文中,發(fā)送給RADIUS服務(wù)器。(10)、RADIUS服務(wù)器產(chǎn)生一個挑戰(zhàn)字(Challenge),基于產(chǎn)生的Challenge得到一個EAP-Request/MD5–Challenge報文,并封裝成RADIUSAccess-Challenge報文發(fā)送給接入設(shè)備。(11)、接入設(shè)備將RADIUSAccess-Challenge報文內(nèi)層的EAP-Request/MD5-Challenge報文發(fā)送給客戶端,以便客戶端進行認證。(12)、客戶端收到EAP-Request/MD5-Challenge報文后,將自身擁有的密碼和報文中包括的Challenge做MD5算法得到認證用的密碼(Password),并通過EAP-Response/MD5-Password報文將得到的Password回應(yīng)給接入設(shè)備。(13)、接入設(shè)備將EAP-Response/MD5-Password報文封裝到RADIUSAccess-Request報文中,發(fā)送給RADIUS服務(wù)器,由RADIUS服務(wù)器進行認證。(14)、RADIUS服務(wù)器用密碼和(10)中產(chǎn)生的Challenge做MD5算法,若得到的值和接收到的報文中包含的Password一致則確定用戶合法,在回應(yīng)認證成功報文到接入設(shè)備之前,獲取負責(zé)管理所述接入設(shè)備的安全策略服務(wù)器的地址,把獲得的地址寫入EAP-Request/EAP-TLV/AddressNotice報文中,封裝成RADIUSAccess-Challenge報文發(fā)送給接入設(shè)備。其中,這里的EAP-Request/EAP-TLV/AddressNotice報文即是上文所說的用于下發(fā)安全策略服務(wù)器地址的EAP-TLVRequest報文,表示將下發(fā)安全策略服務(wù)器地址的報文(AddressNotice)封裝在請求(Request)報文的TLV擴展 (EAP-TLV)屬性中。需要說明的是,此處的AddressNotice在實際應(yīng)用中也可以采用其他命名。(15)、接入設(shè)備將RADIUSAccess-Challenge報文內(nèi)層的EAP-Request/EAP-TLV/AddressNotice報文發(fā)送給客戶端,以便客戶端解析出AddressNotice報文并從中得到安全策略服務(wù)器的地址。(16)、客戶端收到EAP-Request/EAP-TLV/AddressNotice報文后,返回EAP-Response(Empty)報文給接入設(shè)備,以通知RADIUS服務(wù)器已收到安全策略服務(wù)器的IP地址。(17)、接入設(shè)備將EAP-Response(Empty)報文封裝到RADIUSAccess-Challenge報文中發(fā)送給RADIUS服務(wù)器。(18)、RADIUS服務(wù)器通過接入設(shè)備回應(yīng)RADIUSAccess-Accept報文給接入設(shè)備,以通知接入設(shè)備所述RADIUS服務(wù)器已準(zhǔn)許客戶端接入。(19)、接入設(shè)備發(fā)送EAP-Success報文給客戶端,客戶端繼續(xù)后續(xù)流程,如通過接入設(shè)備獲取客戶端規(guī)劃的IP地址,通過(15)中解析得到的安全策略服務(wù)器的地址連接到安全策略服務(wù)器,進行安全策略的更新和違規(guī)數(shù)據(jù)上報等操作。本申請也可以采用EAP-安全傳輸層協(xié)議(TransportLevelSecurity,簡稱:TLS)進行認證,由于EAP-TLS協(xié)議中不具備帶有廠商自定義TLV屬性的報文,因此在客戶端和RADIUS服務(wù)器支持PEAP協(xié)議的前提下,可以在采用EAP-TLS協(xié)議進行802.1X認證的過程中,借用PEAP協(xié)議中的EAP-TLVRequest報文來下發(fā)安全策略服務(wù)器的地址。具體的,RADIUS服務(wù)器可以對寫有安全策略服務(wù)器地址的EAP-TLVRequest報文做進一步封裝,如,將EAP-TLVRequest報文封裝到EAP-Request/EAP-TLS報文中,然后再將EAP-Request/EAP-TLS報文封裝到RADIUSAccess-Challenge報文中,發(fā)送給接入設(shè)備。其中,在表3所示的EAP報文格式中,當(dāng)Code=1,Type=13時,此時的EAP報文便是EAP-Request/EAP-TLS報文??蛇x的,如果所述客戶端從接收的認證交互報文中得到了多個安全策略服務(wù)器的地址,則可以通過得到的多個安全策略服務(wù)器的地址分別連接對應(yīng)的安全策略服務(wù)器,然后從中選擇一個連接速度最快的安全策略服務(wù)器的地址,并通過所述連接速度最快的安全策略服務(wù)器的地址從對應(yīng)的安全策略服務(wù)器上獲取安全策略,以及向該安全策略服務(wù)器上報執(zhí)行安全檢查后產(chǎn)生的違規(guī)信息??蛇x的,所述客戶端在通過獲取的安全策略服務(wù)器的地址連接到對應(yīng)的安全策略服務(wù)器之后,可以與所述安全策略服務(wù)器建立TCP長連接,所述TCP長連接可以用于指示所述安全策略服務(wù)器的地址是否發(fā)生變化。如果所述安全策略服務(wù)器的地址未發(fā)生變化,所述安全策略服務(wù)器則一直保持與其負責(zé)管理的客戶端之間的TCP長連接,而一旦所述安全策略服務(wù)器的地址發(fā)生變化,所述安全策略服務(wù)器則斷開與各個客戶端之間的TCP長連接。在客戶端側(cè),如果客戶端與安全策略服務(wù)器之間的TCP連接斷開,則所述客戶端可以先退出已認證態(tài),即客戶端先“下線”,然后通過接入設(shè)備重新向所述RADIUS服務(wù)器發(fā)起認證過程,以重新獲取安全策略服務(wù)器的地址。這樣,即使安全策略服務(wù)器的地址發(fā)生了變化,客戶端也可以重新獲得正確的安全策略服務(wù)器的地址,連接上安全策略服務(wù)器??蛇x的,所述客戶端在確定無法通過從所述認證交互報文中獲取的安全策略服務(wù)器的地址連接到安全策略服務(wù)器時,可以選擇退出已認證態(tài),然后通過接入設(shè)備重新向所述RADIUS服務(wù)器發(fā)起認證過程,以重新獲取安全策略服務(wù)器的地址。以上兩種方式均可以令客戶端在安全策略服務(wù)器的地址發(fā)生變化的情況下重新獲得正確的安全策略服務(wù)器的地址?;诒旧暾埳鲜鎏峁┑陌踩呗苑?wù)器的地址獲取方法,本申請?zhí)峁┮环NRADIUS服務(wù)器400,用于實現(xiàn)上述安全策略服務(wù)器的地址獲取方法中RADIUS服務(wù)器的功能,如圖4A所示,RADIUS服務(wù)器400包括處理器401, 發(fā)送器402和接收器403,其中,所述處理器401,所述發(fā)送器402和所述接收器403之間通過總線404相互連接。所述接收器403,用于接收接入設(shè)備轉(zhuǎn)發(fā)的客戶端的認證請求。所述處理器401,用于在對所述客戶端認證通過后,獲取所述接入設(shè)備的地址。所述發(fā)送器402,用于向管理服務(wù)器發(fā)送地址查詢請求,所述地址查詢請求中包括所述接入設(shè)備的地址。所述接收器403還用于,接收所述管理服務(wù)器響應(yīng)所述地址查詢請求返回的地址查詢響應(yīng),所述地址查詢響應(yīng)中包括與所述接入設(shè)備的地址對應(yīng)的安全策略服務(wù)器的地址。所述發(fā)送器402還用于,向所述客戶端發(fā)送認證交互報文,所述認證交互報文中包括所述安全策略服務(wù)器的地址,以使所述客戶端從所述認證交互報文中獲取所述安全策略服務(wù)器的地址。所述RADIUS服務(wù)器400還包括若干通信接口分別連接所述管理服務(wù)器和所述接入設(shè)備??蛇x的,所述認證交互報文可以是EAP-TLVRequest報文,則所述RADIUS服務(wù)器、管理服務(wù)器、接入設(shè)備和客戶端之間通過EAP-TLVRequest報文獲取安全策略服務(wù)器的地址的過程可以參考圖3所示的交互過程。所述處理器401可以是通用處理器,包括中央處理器(CentralProcessingUnit,簡稱:CPU)、網(wǎng)絡(luò)處理器(NetworkProcessor,簡稱:NP)等;還可以是數(shù)字信號處理器(DigitalSignalProcessing,簡稱:DSP)、專用集成電路(ApplicationSpecificIntegratedCircuit,簡稱:ASIC)、現(xiàn)場可編程門陣列(Field-ProgrammableGateArray,簡稱:FPGA)或者其他可編程邏輯器件等。所述處理器401為CPU時,所述RADIUS服務(wù)器400還可以包括:存儲器,用于存儲程序。具體地,程序可以包括程序代碼,所述程序代碼包括計算 機操作指令。存儲器可能包含隨機存取存儲器(randomaccessmemory,簡稱:RAM),也可能還包括非易失性存儲器(non-volatilememory),例如至少一個磁盤存儲器。所述處理器401執(zhí)行所述存儲器中存儲的程序代碼,實現(xiàn)上述功能。本發(fā)明實施例還提供一種RADIUS服務(wù)器4000,用于實現(xiàn)上述安全策略服務(wù)器的地址獲取方法中RADIUS服務(wù)器的功能。如圖4B所示,所述RADIUS服務(wù)器4000包括處理單元4001、發(fā)送單元4002和接收單元4003;其中所述接收單元4003,用于接收接入設(shè)備轉(zhuǎn)發(fā)的客戶端的認證請求。所述處理單元4001,用于在對所述客戶端認證通過后,獲取所述接入設(shè)備的地址。所述發(fā)送單元4002,用于向管理服務(wù)器發(fā)送地址查詢請求,所述地址查詢請求中包括所述接入設(shè)備的地址。所述接收單元4003還用于,接收所述管理服務(wù)器響應(yīng)所述地址查詢請求返回的地址查詢響應(yīng),所述地址查詢響應(yīng)中包括與所述接入設(shè)備的地址對應(yīng)的安全策略服務(wù)器的地址。所述發(fā)送單元4002還用于,向所述客戶端發(fā)送認證交互報文,所述認證交互報文中包括所述安全策略服務(wù)器的地址,以使所述客戶端從所述認證交互報文中獲取所述安全策略服務(wù)器的地址??蛇x的,所述認證交互報文可以是EAP-TLVRequest報文,則所述RADIUS服務(wù)器與接入設(shè)備、管理服務(wù)器和客戶端之間的交互過程可以參考圖3所示。本實施例中未盡之細節(jié)可參考上述圖2所示地址獲取方法中RADIUS服務(wù)器側(cè)的描述,在此不再贅述。基于本申請上述提供的安全策略服務(wù)器的地址獲取方法,本申請?zhí)峁┮环N客戶端500,用于實現(xiàn)上述安全策略服務(wù)器的地址獲取方法中客戶端的功能,如圖5A所示,客戶端500包括發(fā)送器501,處理器502和接收器503,其中, 所述發(fā)送器501,所述處理器502和所述接收器503之間通過總線504相互連接。所述發(fā)送器501,用于通過接入設(shè)備向RADIUS服務(wù)器發(fā)起認證過程。所述接收器503,用于接收所述RADIUS服務(wù)器返回的認證交互報文,所述認證交互報文中包括所述RADIUS服務(wù)器根據(jù)所述接入設(shè)備的地址從管理服務(wù)器查詢獲得的安全策略服務(wù)器的地址。所述處理器502,用于從所述認證交互報文中獲取安全策略服務(wù)器的地址。所述客戶端500還包括若干通信接口連接所述接入設(shè)備。可選的,所述認證交互報文可以是EAP-TLVRequest報文,則所述客戶端與接入設(shè)備和RADIUS服務(wù)器之間的交互過程可以參考圖3所示??蛇x的,在所述處理器502從所述認證交互報文中獲取安全策略服務(wù)器的地址之后,所述處理器502還可以用于:通過獲取的所述安全策略服務(wù)器的地址,控制所述發(fā)送器501和所述接收器502與所述安全策略服務(wù)器建立TCP長連接,所述TCP長連接用于指示所述安全策略服務(wù)器的地址是否發(fā)生變化;如果所述TCP長連接斷開,則所述處理器502退出已認證態(tài),并控制所述發(fā)送器501通過所述接入設(shè)備重新向所述RADIUS服務(wù)器發(fā)起認證過程,以重新獲取安全策略服務(wù)器的地址??蛇x的,在所述處理器502從所述認證交互報文中獲取安全策略服務(wù)器的地址之后,所述處理器502還可以用于:如果所述處理器502無法通過獲取的所述安全策略服務(wù)器的地址控制所述發(fā)送器501和所述接收器503與所述安全策略服務(wù)器建立連接,則所述處理器502退出已認證態(tài),并控制所述發(fā)送器501通過所述接入設(shè)備重新向所述RADIUS服務(wù)器發(fā)起認證過程,以重新獲取安全策略服務(wù)器的地址。所述處理器502可以是通用處理器,包括中央處理器、網(wǎng)絡(luò)處理器等;還可以是數(shù)字信號處理器、專用集成電路、現(xiàn)場可編程門陣列或者其他可編程邏輯器件等。所述處理器502為CPU時,所述客戶端500還可以包括:存儲器,用于存儲程序。具體地,程序可以包括程序代碼,所述程序代碼包括計算機操作指令。存儲器可能包含隨機存取存儲器,也可能還包括非易失性存儲器,例如至少一個磁盤存儲器。所述處理器502執(zhí)行所述存儲器中存儲的程序代碼,實現(xiàn)上述功能。本發(fā)明實施例還提供一種客戶端5000,用于實現(xiàn)上述安全策略服務(wù)器的地址獲取方法中客戶端的功能。如圖5B所示,所述客戶端5000包括發(fā)送單元5001,處理單元5002和接收單元5003;其中所述發(fā)送單元5001,用于通過接入設(shè)備向RADIUS服務(wù)器發(fā)送認證請求。所述接收單元5003,用于接收所述RADIUS服務(wù)器返回的認證交互報文,所述認證交互報文中包括所述RADIUS服務(wù)器根據(jù)所述接入設(shè)備的地址從管理服務(wù)器查詢獲得的安全策略服務(wù)器的地址。所述處理單元5002,用于從所述認證交互報文中獲取安全策略服務(wù)器的地址。需要說明的是,發(fā)送單元5001還可以執(zhí)行圖5A中所示的發(fā)送器501所執(zhí)行的其他操作,處理單元5002還可以執(zhí)行圖5A中所示的處理器502所執(zhí)行的其他操作,接收單元5003還可以執(zhí)行圖5A中所示的接收器503所執(zhí)行的其他操作。為了簡潔,在此不再贅述。本實施例中未盡之細節(jié)可參考上述圖2所示地址獲取方法中客戶端側(cè)的描述,在此不再贅述?;诒旧暾埳鲜鎏峁┑陌踩呗苑?wù)器的地址獲取方法,本申請?zhí)峁┮环N管理服務(wù)器600,用于實現(xiàn)上述安全策略服務(wù)器的地址獲取方法中管理服務(wù)器的功能,如圖6A所示,管理服務(wù)器600包括發(fā)送器601,處理器602和接收器603,其中,所述發(fā)送器601,所述處理器602和所述接收器603之間通過總線604相互連接。所述接收器603用于,接收RADIUS服務(wù)器發(fā)送的地址查詢請求,所述地址查詢請求中包括接入設(shè)備的地址。所述處理器602用于,根據(jù)設(shè)置的接入設(shè)備地址與安全策略服務(wù)器地址的對應(yīng)關(guān)系,獲取與所述地址查詢請求中包括的接入設(shè)備的地址對應(yīng)的安全策略服務(wù)器的地址。所述發(fā)送器601用于,向所述RADIUS服務(wù)器返回地址查詢響應(yīng),所述地址查詢響應(yīng)中包括所述安全策略服務(wù)器的地址??蛇x的,所述發(fā)送器601還用于,周期性地向安全策略服務(wù)器查詢所述安全策略服務(wù)器的負載情況。可選的,所述接收器603還用于,接收安全策略服務(wù)器周期性發(fā)送的所述安全策略服務(wù)器的負載情況。所述管理服務(wù)器600還包括若干通信接口分別連接所述接入設(shè)備和所述安全策略服務(wù)器。相應(yīng)的,所述處理器602在獲取與所述接入設(shè)備的地址對應(yīng)的安全策略服務(wù)器的地址時,可以獲取多個安全策略服務(wù)器的地址,然后,從所述多個安全策略服務(wù)器的地址中篩選出負載情況較輕的N個安全策略服務(wù)器的地址。或者,所述處理器602在獲取與所述接入設(shè)備的地址對應(yīng)的安全策略服務(wù)器的地址時,也可以先從所述多個安全策略服務(wù)器的地址中先篩選出主備屬性為主屬性的安全策略服務(wù)器的地址,然后從篩選得到的多個安全策略服務(wù)器的地址中再篩選出負載情況較輕的N個安全策略服務(wù)器的地址。所述處理器602可以是通用處理器,包括中央處理器、網(wǎng)絡(luò)處理器等;還可以是數(shù)字信號處理器、專用集成電路、現(xiàn)場可編程門陣列或者其他可編程邏輯器件等。所述處理器602為CPU時,所述管理服務(wù)器600還可以包括:存儲器,用于存儲程序。具體地,程序可以包括程序代碼,所述程序代碼包括計算機操作指令。存儲器可能包含隨機存取存儲器,也可能還包括非易失性存儲器,例 如至少一個磁盤存儲器。所述處理器602執(zhí)行所述存儲器中存儲的程序代碼,實現(xiàn)上述功能。本發(fā)明實施例還提供一種管理服務(wù)器6000,用于實現(xiàn)上述安全策略服務(wù)器的地址獲取方法中管理服務(wù)器的功能。如圖6B所示,所述管理服務(wù)器6000包括發(fā)送單元6001、處理單元6002和接收單元6003;其中所述接收單元6003用于,接收RADIUS服務(wù)器發(fā)送的地址查詢請求,所述地址查詢請求中包括接入設(shè)備的地址。所述處理單元6002用于,根據(jù)設(shè)置的接入設(shè)備地址與安全策略服務(wù)器地址的對應(yīng)關(guān)系,獲取與所述地址查詢請求中包括的接入設(shè)備的地址對應(yīng)的安全策略服務(wù)器的地址。所述發(fā)送單元6001還用于,向所述RADIUS服務(wù)器返回地址查詢響應(yīng),所述地址查詢響應(yīng)中包括所述安全策略服務(wù)器的地址。需要說明的是,發(fā)送單元6001還可以執(zhí)行圖6A中所示的發(fā)送器601所執(zhí)行的其他操作,處理單元6002還可以執(zhí)行圖6A中所示的處理器602所執(zhí)行的其他操作,接收單元6003還可以執(zhí)行圖6A中所示的接收器603所執(zhí)行的其他操作。為了簡潔,在此不再贅述。本實施例中未盡之細節(jié)可參考上述圖2所示地址獲取方法中管理服務(wù)器側(cè)的描述,在此不再贅述?;诒旧暾埳鲜鎏峁┑陌踩呗苑?wù)器的地址獲取方法,本申請?zhí)峁┮环N安全策略服務(wù)器700,用于實現(xiàn)上述安全策略服務(wù)器的地址獲取方法中安全策略服務(wù)器的功能,如圖7A所示,安全策略服務(wù)器700包括處理器701,發(fā)送器702和接收器703,其中,所述處理器701,所述發(fā)送器702和所述接收器703之間通過總線704相互連接。所述處理器701,用于周期性地獲取所述安全策略服務(wù)器700的負載情況;或者在所述接收器703接收到管理服務(wù)器發(fā)送的狀態(tài)查詢請求時,獲取所述安全策略服務(wù)器700的負載情況。所述發(fā)送器702,用于將獲取的所述負載情況發(fā)送給所述管理服務(wù)器。所述安全策略服務(wù)器700還包括若干通信接口連接所述管理服務(wù)器。可選的,所述處理器701還用于,控制所述發(fā)送器702和所述接收器703保持與所述安全策略服務(wù)器700負責(zé)管理的客戶端之間的TCP長連接,如果所述安全策略服務(wù)器700的地址發(fā)生變化,則斷開所述TCP長連接。所述處理器701可以是通用處理器,包括中央處理器、網(wǎng)絡(luò)處理器等;還可以是數(shù)字信號處理器、專用集成電路、現(xiàn)場可編程門陣列或者其他可編程邏輯器件等。所述處理器701為CPU時,所述安全策略服務(wù)器700還可以包括:存儲器,用于存儲程序。具體地,程序可以包括程序代碼,所述程序代碼包括計算機操作指令。存儲器可能包含隨機存取存儲器,也可能還包括非易失性存儲器,例如至少一個磁盤存儲器。所述處理器701執(zhí)行所述存儲器中存儲的程序代碼,實現(xiàn)上述功能。本發(fā)明實施例還提供一種安全策略服務(wù)器7000,用于實現(xiàn)上述安全策略服務(wù)器的地址獲取方法中安全策略服務(wù)器的功能。如圖7B所示,所述安全策略服務(wù)器7000包括處理單元7001、發(fā)送單元7002和接收單元7003;其中所述處理單元7001,用于周期性地獲取所述安全策略服務(wù)器7000的負載情況;或者在所述接收單元7003接收到管理服務(wù)器發(fā)送的狀態(tài)查詢請求時,獲取所述安全策略服務(wù)器7000的負載情況。所述發(fā)送單元7002,用于將獲取的所述負載情況發(fā)送給所述管理服務(wù)器。需要說明的是,處理單元7001還可以執(zhí)行圖7A中所示的處理器701所執(zhí)行的其他操作,發(fā)送單元7002還可以執(zhí)行圖7A中所示的發(fā)送器702所執(zhí)行的其他操作,接收單元7003還可以執(zhí)行圖7A中所示的發(fā)送器703所執(zhí)行的其他操作。為了簡潔,本實施例中未盡之細節(jié)可參考上述圖2所示地址獲取方法中安全策略服務(wù)器側(cè)的描述,在此不再贅述。綜上所述,采用本申請?zhí)峁┑募夹g(shù)方案,無論802.1X認證采用EAP協(xié)議中的何種認證協(xié)議,都可以通過將安全策略服務(wù)器的地址攜帶在RADIUS服務(wù)器發(fā)往客戶端的認證交互報文的方式,使得客戶端能夠簡便地從接收的認證交互報文中獲取到正確的安全策略服務(wù)器的地址;并且本申請通過在客戶端和其連接上的安全策略服務(wù)器之間建立TCP連接,令安全策略服務(wù)器在地址變化時切斷該TCP連接的方式,從而使得客戶端可以通過重新發(fā)起認證再次獲得正確的安全策略服務(wù)器的地址。本領(lǐng)域內(nèi)的技術(shù)人員應(yīng)明白,本發(fā)明的實施例可提供為方法、系統(tǒng)、或計算機程序產(chǎn)品。因此,本發(fā)明可采用完全硬件實施例、完全軟件實施例、或結(jié)合軟件和硬件方面的實施例的形式。而且,本發(fā)明可采用在一個或多個其中包含有計算機可用程序代碼的計算機非易失性存儲介質(zhì)(包括但不限于磁盤存儲器、CD-ROM、光學(xué)存儲器等)上實施的計算機程序產(chǎn)品的形式。本發(fā)明是參照根據(jù)本發(fā)明實施例的方法、設(shè)備(系統(tǒng))、和計算機程序產(chǎn)品的流程圖和/或方框圖來描述的。應(yīng)理解可由計算機程序指令實現(xiàn)流程圖和/或方框圖中的每一流程和/或方框、以及流程圖和/或方框圖中的流程和/或方框的結(jié)合??商峁┻@些計算機程序指令到通用計算機、專用計算機、嵌入式處理機或其他可編程數(shù)據(jù)處理設(shè)備的處理器以產(chǎn)生一個機器,使得通過計算機或其他可編程數(shù)據(jù)處理設(shè)備的處理器執(zhí)行的指令產(chǎn)生用于實現(xiàn)在流程圖一個流程或多個流程和/或方框圖一個方框或多個方框中指定的功能的裝置。這些計算機程序指令也可存儲在能引導(dǎo)計算機或其他可編程數(shù)據(jù)處理設(shè)備以特定方式工作的計算機可讀存儲器中,使得存儲在該計算機可讀存儲器中的指令產(chǎn)生包括指令裝置的制造品,該指令裝置實現(xiàn)在流程圖一個流程或多個流程和/或方框圖一個方框或多個方框中指定的功能。這些計算機程序指令也可裝載到計算機或其他可編程數(shù)據(jù)處理設(shè)備上,使得在計算機或其他可編程設(shè)備上執(zhí)行一系列操作步驟以產(chǎn)生計算機實現(xiàn)的處理,從而在計算機或其他可編程設(shè)備上執(zhí)行的指令提供用于實現(xiàn)在流程圖一個 流程或多個流程和/或方框圖一個方框或多個方框中指定的功能的步驟。盡管已描述了本發(fā)明的優(yōu)選實施例,但本領(lǐng)域內(nèi)的技術(shù)人員一旦得知了基本創(chuàng)造性概念,則可對這些實施例作出另外的變更和修改。所以,所附權(quán)利要求意欲解釋為包括優(yōu)選實施例以及落入本發(fā)明范圍的所有變更和修改。顯然,本領(lǐng)域的技術(shù)人員可以對本發(fā)明實施例進行各種改動和變型而不脫離本發(fā)明實施例的范圍。這樣,倘若本發(fā)明實施例的這些修改和變型屬于本發(fā)明權(quán)利要求及其等同技術(shù)的范圍之內(nèi),則本發(fā)明也意圖包含這些改動和變型在內(nèi)。當(dāng)前第1頁1 2 3 
當(dāng)前第1頁1 2 3 
網(wǎng)友詢問留言 已有0條留言
  • 還沒有人留言評論。精彩留言會獲得點贊!
1