一種終端接入認(rèn)證方法及裝置的制造方法
【專利摘要】本發(fā)明實(shí)施例提供了一種終端接入認(rèn)證方法及裝置����。所述方法包括:接入設(shè)備根據(jù)待認(rèn)證非啞終端的第一MAC地址,向認(rèn)證服務(wù)器發(fā)送MAC無感知認(rèn)證請求����;接收所述認(rèn)證服務(wù)器根據(jù)所述第一MAC地址反饋的第一組策略,其中�,所述第一組策略是所述認(rèn)證服務(wù)器根據(jù)非啞終端的MAC地址與組策略的對應(yīng)關(guān)系確定的;確定所述第一組策略對應(yīng)的第一訪問權(quán)限��,并根據(jù)所述第一訪問權(quán)限確定所述待認(rèn)證非啞終端的訪問權(quán)限�����,所述第一訪問權(quán)限為預(yù)設(shè)的訪客訪問權(quán)限����。應(yīng)用本發(fā)明實(shí)施例�����,能夠解決非啞終端不斷發(fā)起MAC無感知認(rèn)證導(dǎo)致的認(rèn)證服務(wù)器性能降低的問題�����。
【專利說明】
-種終端接入認(rèn)證方法及裝置
技術(shù)領(lǐng)域
[0001 ]本發(fā)明設(shè)及通信技術(shù)領(lǐng)域,特別設(shè)及一種終端接入認(rèn)證方法及裝置����。
【背景技術(shù)】
[0002] 在現(xiàn)有的企業(yè)實(shí)際網(wǎng)絡(luò)中,終端通常包括啞終端與非啞終端���,啞終端包括IP電話���、 網(wǎng)絡(luò)打印機(jī)等,非啞終端包括臺式電腦��、筆記本電腦����、平板電腦和智能手機(jī)等。它們在接入 企業(yè)網(wǎng)絡(luò)時(shí)都需要進(jìn)行接入認(rèn)證���。
[0003] 現(xiàn)有技術(shù)中��,由于啞終端具有無用戶界面等自身特點(diǎn)����,其一般采用MAC無感知認(rèn) 證,運(yùn)種認(rèn)證方式無需用戶干預(yù)��,由終端自動發(fā)起��。而非啞終端一般采用用戶手工認(rèn)證的方 式�,即需要用戶輸入用戶名和密碼W完成連網(wǎng)認(rèn)證操作,實(shí)現(xiàn)專屬于該用戶的訪問權(quán)限����。在 網(wǎng)絡(luò)實(shí)際部署時(shí),啞終端與非啞終端都通過接入設(shè)備向認(rèn)證服務(wù)器進(jìn)行認(rèn)證�����。圖1為終端����、 接入設(shè)備和認(rèn)證服務(wù)器的一種連接示意圖���。由于接入設(shè)備數(shù)量眾多����,如果一一區(qū)分啞終端 和辦公用機(jī)的接入端口�����,接入設(shè)備的工作量將非常大,后期也難W維護(hù)��。因此��,部署時(shí)不再 區(qū)分啞終端和非啞終端���,接入設(shè)備的端口下同時(shí)啟用用戶手工認(rèn)證與MAC無感知認(rèn)證����。
[0004] 運(yùn)樣就導(dǎo)致一個(gè)問題�,在非啞終端通過手工認(rèn)證接入網(wǎng)絡(luò)前,接入設(shè)備會將該非 啞終端當(dāng)做啞終端��,從而發(fā)起MAC無感知認(rèn)證�����,當(dāng)該MAC無感知認(rèn)證無法通過認(rèn)證時(shí)���,該端口 會不斷地重復(fù)發(fā)起認(rèn)證請求����,并且,該認(rèn)證請求發(fā)送的頻率很高����,直到用戶發(fā)起手工認(rèn)證并 認(rèn)證通過,運(yùn)種重復(fù)的無感知認(rèn)證請求才停止��。而運(yùn)種高頻的無感知認(rèn)證請求將導(dǎo)致認(rèn)證 服務(wù)器性能降低���,影響其對正常認(rèn)證請求的及時(shí)響應(yīng)��。
【發(fā)明內(nèi)容】
[0005] 本發(fā)明實(shí)施例的目的在于提供了一種終端接入認(rèn)證方法及裝置����,能夠解決非啞終 端不斷發(fā)起MAC無感知認(rèn)證導(dǎo)致的認(rèn)證服務(wù)器性能降低的問題�����。
[0006] 為了達(dá)到上述目的���,本發(fā)明公開了一種終端接入認(rèn)證方法,應(yīng)用于接入設(shè)備����,所述 方法包括:
[0007] 根據(jù)待認(rèn)證非啞終端的第一 MAC地址�,向認(rèn)證服務(wù)器發(fā)送MAC無感知認(rèn)證請求���;
[000引接收所述認(rèn)證服務(wù)器根據(jù)所述第一MAC地址反饋的第一組策略��,其中�����,所述第一組 策略是所述認(rèn)證服務(wù)器根據(jù)非啞終端的MAC地址與組策略的對應(yīng)關(guān)系確定的���;
[0009] 確定所述第一組策略對應(yīng)的第一訪問權(quán)限,并根據(jù)所述第一訪問權(quán)限確定所述待 認(rèn)證非啞終端的訪問權(quán)限�,其中,所述第一訪問權(quán)限為預(yù)設(shè)的訪客訪問權(quán)限���。
[0010] 為了達(dá)到上述目的����,本發(fā)明公開了另一種終端接入認(rèn)證方法����,應(yīng)用于認(rèn)證服務(wù)器, 所述方法包括:
[0011] 接收接入設(shè)備發(fā)送的針對待認(rèn)證非啞終端的MAC無感知認(rèn)證請求;所述MAC無感知 認(rèn)證請求攜帶有所述非啞終端的第一 MAC地址;
[001^ 根據(jù)所述第一MAC地址W及非啞終端的MAC地址與組策略的對應(yīng)關(guān)系����,確定所述第 一 MAC地址對應(yīng)的第一組策略;
[0013] 向所述接入設(shè)備發(fā)送所述第一組策略�����,w使所述接入設(shè)備確定所述第一組策略對 應(yīng)的第一訪問權(quán)限���,并根據(jù)所述第一訪問權(quán)限確定所述待認(rèn)證非啞終端的訪問權(quán)限���,其中, 所述第一訪問權(quán)限為預(yù)設(shè)的訪客訪問權(quán)限��。
[0014] 為了達(dá)到上述目的�,本發(fā)明公開了一種終端接入認(rèn)證裝置,應(yīng)用于接入設(shè)備�����,所述 裝置包括:
[0015] 第一發(fā)送模塊��,用于根據(jù)待認(rèn)證非啞終端的第一 MAC地址��,向認(rèn)證服務(wù)器發(fā)送MAC 無感知認(rèn)證請求�;
[0016] 第一接收模塊,用于接收所述認(rèn)證服務(wù)器根據(jù)所述第一 MAC地址反饋的第一組策 略�,其中,所述第一組策略是所述認(rèn)證服務(wù)器根據(jù)非啞終端的MAC地址與組策略的對應(yīng)關(guān)系 確定的�����;
[0017] 第一確定模塊�����,用于確定所述第一組策略對應(yīng)的第一訪問權(quán)限��,并根據(jù)所述第一 訪問權(quán)限確定所述待認(rèn)證非啞終端的訪問權(quán)限��,其中�����,所述第一訪問權(quán)限為預(yù)設(shè)的訪客訪 問權(quán)限����。
[0018] 為了達(dá)到上述目的,本發(fā)明公開了另一種終端接入認(rèn)證裝置�����,應(yīng)用于認(rèn)證服務(wù)器, 所述裝置包括:
[0019] 第二接收模塊��,用于接收接入設(shè)備發(fā)送的針對待認(rèn)證非啞終端的MAC無感知認(rèn)證 請求;所述MAC無感知認(rèn)證請求攜帶有所述非啞終端的第一 MAC地址�;
[0020] 第二確定模塊,用于根據(jù)所述第一 MAC地址W及非啞終端的MAC地址與組策略的對 應(yīng)關(guān)系�����,確定所述第一 MAC地址對應(yīng)的第一組策略�����;
[0021] 第二發(fā)送模塊�����,用于向所述接入設(shè)備發(fā)送所述第一組策略�,W使所述接入設(shè)備確 定所述第一組策略對應(yīng)的第一訪問權(quán)限,并根據(jù)所述第一訪問權(quán)限確定所述待認(rèn)證非啞終 端的訪問權(quán)限�,其中,所述第一訪問權(quán)限為預(yù)設(shè)的訪客訪問權(quán)限��。
[0022] 由上述技術(shù)方案可見���,本發(fā)明實(shí)施例中��,接入設(shè)備首先根據(jù)待認(rèn)證非啞終端的第 一 MAC地址���,向認(rèn)證服務(wù)器發(fā)送MAC無感知認(rèn)證請求;認(rèn)證服務(wù)器接收接入設(shè)備發(fā)送的MAC無 感知認(rèn)證請求,并根據(jù)第一 MAC地址W及非啞終端的MAC地址與組策略的對應(yīng)關(guān)系�,確定第 一 MAC地址對應(yīng)的第一組策略,然后向接入設(shè)備發(fā)送第一組策略;接入設(shè)備接收認(rèn)證服務(wù)器 根據(jù)所述第一MAC地址反饋的第一組策略�����,然后確定第一組策略對應(yīng)的第一訪問權(quán)限�,并根 據(jù)第一訪問權(quán)限確定待認(rèn)證非啞終端的訪問權(quán)限。
[0023] 也就是說���,本實(shí)施例中��,接入設(shè)備將針對待認(rèn)證非啞終端的MAC無感知認(rèn)證請求發(fā) 送至認(rèn)證服務(wù)器���,認(rèn)證服務(wù)器反饋針對待認(rèn)證非啞終端的第一組策略,并將其發(fā)送至接入 設(shè)備����,接入設(shè)備根據(jù)第一組策略對應(yīng)的第一訪問權(quán)限����,確定待認(rèn)證非啞終端的訪問權(quán)限��,由 于確定了待認(rèn)證非啞終端的訪問權(quán)限后即完成了待認(rèn)證非啞終端向認(rèn)證服務(wù)器的認(rèn)證請 求�,接入設(shè)備不會再發(fā)起針對待認(rèn)證非啞終端的MAC無感知認(rèn)證請求,因此能夠解決非啞終 端不斷發(fā)起MAC無感知認(rèn)證導(dǎo)致的認(rèn)證服務(wù)器性能降低的問題���。
【附圖說明】
[0024] 為了更清楚地說明本發(fā)明實(shí)施例或現(xiàn)有技術(shù)中的技術(shù)方案���,下面將對實(shí)施例或現(xiàn) 有技術(shù)描述中所需要使用的附圖作簡單的介紹。顯而易見地��,下面描述中的附圖僅僅是本 發(fā)明的一些實(shí)施例���,對于本領(lǐng)域普通技術(shù)人員來講���,在不付出創(chuàng)造性勞動的前提下,還可W 根據(jù)運(yùn)些附圖獲得其他的附圖��。
[0025] 圖1為終端�、接入設(shè)備和認(rèn)證服務(wù)器的一種連接示意圖;
[0026] 圖2為本發(fā)明實(shí)施例提供的一種終端接入認(rèn)證方法的流程示意圖�����;
[0027] 圖3為本發(fā)明實(shí)施例提供的另一種終端接入認(rèn)證方法的流程示意圖;
[0028] 圖4為本發(fā)明實(shí)施例提供的一種終端接入認(rèn)證裝置的結(jié)構(gòu)示意圖�;
[0029] 圖5為本發(fā)明實(shí)施例提供的另一種終端接入認(rèn)證裝置的結(jié)構(gòu)示意圖。
【具體實(shí)施方式】
[0030] 下面將結(jié)合本發(fā)明實(shí)施例中的附圖���,對本發(fā)明實(shí)施例中的技術(shù)方案進(jìn)行清楚��、完 整的描述。顯然�,所描述的實(shí)施例僅僅是本發(fā)明的一部分實(shí)施例,而不是全部的實(shí)施例�����?;?于本發(fā)明中的實(shí)施例,本領(lǐng)域普通技術(shù)人員在沒有做出創(chuàng)造性勞動的前提下所獲得的所有 其他實(shí)施例�,都屬于本發(fā)明保護(hù)的范圍。
[0031] 本發(fā)明實(shí)施例提供了一種終端接入認(rèn)證方法及裝置���,能夠解決非啞終端不斷發(fā)起 MAC無感知認(rèn)證導(dǎo)致的認(rèn)證服務(wù)器性能降低的問題�。
[0032] 本發(fā)明中����,要解決的主要問題是�����,由于接入設(shè)備無法區(qū)分非啞終端和啞終端��,通常 它會將端口對應(yīng)的設(shè)備都當(dāng)做啞終端來處理����,即針對非啞終端也會發(fā)起MAC無感知認(rèn)證�,非 啞終端在沒有通過MAC無感知認(rèn)證的情況下不斷發(fā)起MAC無感知認(rèn)證的問題。為了解決運(yùn)個(gè) 問題��,一種思路是�����,可W允許非啞終端通過MAC無感知認(rèn)證�,但是只是授予非啞終端很小的 訪問權(quán)限。具體的訪問權(quán)限的制定可W根據(jù)不同廠商的規(guī)定來實(shí)現(xiàn)�。
[0033] 下面通過具體實(shí)施例,對本發(fā)明進(jìn)行詳細(xì)說明�����。
[0034] 圖2為本發(fā)明實(shí)施例提供的一種終端接入認(rèn)證方法的流程示意圖,應(yīng)用于接入設(shè) 備����,所述方法包括如下步驟:
[0035] 步驟S201:根據(jù)待認(rèn)證非啞終端的第一 MAC地址,向認(rèn)證服務(wù)器發(fā)送MAC無感知認(rèn) 證請求���。
[0036] 其中���,非啞終端可W是臺式電腦、筆記本電腦�、平板電腦和智能手機(jī)等設(shè)備��。對應(yīng) 的�,啞終端可W是IP電話、打印機(jī)��、復(fù)印機(jī)�、傳真機(jī)、繪圖儀���、掃描儀等設(shè)備��。接入設(shè)備可W是 交換機(jī)�����、路由器等設(shè)備���。認(rèn)證服務(wù)器可W是具備認(rèn)證����、授權(quán)����、計(jì)費(fèi)功能的服務(wù)器。
[0037] 可W理解的是����,待認(rèn)證非啞終端與接入設(shè)備的相應(yīng)端口相連。當(dāng)待認(rèn)證非啞終端 有認(rèn)證需求時(shí)���,接入設(shè)備上與該待認(rèn)證非啞終端對應(yīng)的端口可W感知到非啞終端有連網(wǎng)需 求�,但是接入設(shè)備無法區(qū)分該端口對應(yīng)的設(shè)備是啞終端還是非啞終端�����,它通常會將每個(gè)端 口對應(yīng)的設(shè)備都當(dāng)做啞終端來對待,發(fā)起MAC無感知認(rèn)證請求�。因此,接入設(shè)備便根據(jù)該待 認(rèn)證非啞終端的第一MAC地址���,向認(rèn)證服務(wù)器發(fā)送MAC無感知認(rèn)證請求�����。具體的�,待認(rèn)證非啞 終端可W在多種情況下有認(rèn)證需求��,包括需要連接網(wǎng)絡(luò)時(shí)或需要執(zhí)行特定操作時(shí)等����。
[003引具體的,第一MAC地址可W通過預(yù)先保存在接入設(shè)備上的ARP表獲取���,即,當(dāng)接入設(shè) 備感知到待認(rèn)證非啞終端有認(rèn)證需求時(shí)�����,直接獲取第一 MAC地址�����。也可W是,待認(rèn)證非啞終 端向接入設(shè)備發(fā)送自身的第一MAC地址���。當(dāng)然���,獲得第一MAC地址還可W包括其他方式,本發(fā) 明實(shí)施例對此不做限定����。
[0039] 步驟S202:接收所述認(rèn)證服務(wù)器根據(jù)所述第一 MAC地址反饋的第一組策略。
[0040] 其中��,第一組策略是所述認(rèn)證服務(wù)器根據(jù)非啞終端的MAC地址與組策略的對應(yīng)關(guān) 系確定的���,組策略代表一系列的訪問權(quán)限�����,是表征訪問權(quán)限的分組的策略�����。本實(shí)施例中����,組 策略可W是訪問權(quán)限的分組的策略名稱,也可W是訪問權(quán)限的具體策略內(nèi)容�。例如,設(shè)定 MAC地址段對應(yīng)的組策略的策略名稱為策略A�,策略A的具體策略內(nèi)容包括:允許訪問IP地址 為1.1.1.1的服務(wù)器的內(nèi)容,不允許訪問除上述IP地址之外的其他IP地址�����。
[0041] 值得指出的是�,由于本實(shí)施例是在待認(rèn)證非啞終端進(jìn)行手工認(rèn)證之前為其開放的 部分訪問權(quán)限,是為了避免待認(rèn)證非啞終端因無法通過MAC無感知認(rèn)證而不斷發(fā)起MAC無感 知認(rèn)證的問題所作出的對策��。因此���,組策略對應(yīng)的訪問權(quán)限屬于訪客訪問權(quán)限�,不同于手工 認(rèn)證獲得的訪問權(quán)限�,該訪客訪問權(quán)限是同一組策略對應(yīng)的非啞終端共同具有的訪問權(quán) 限,是一種受限制的��、只能實(shí)現(xiàn)部分聯(lián)網(wǎng)功能的權(quán)限����。與其對應(yīng)的非訪客訪問權(quán)限則是,用 戶通過手工認(rèn)證獲得的針對每個(gè)用戶的個(gè)性化的訪問權(quán)限����。其中,手工認(rèn)證一般需要通過 用戶名和密碼來實(shí)現(xiàn)�����。
[0042] 例如����,有的廠商非常注重安全性,出于對安全的考慮��,上述訪客訪問權(quán)限可W是允 許待認(rèn)證非啞終端訪問微軟服務(wù)器和防病毒軟件服務(wù)器�����。運(yùn)樣����,有利于非啞終端自動更新 操作系統(tǒng)和防病毒軟件的補(bǔ)下。
[0043] 也可W是�,有的廠商非常注重物流信息的時(shí)效性,那么上述訪客訪問權(quán)限可W是 允許待認(rèn)證非啞終端訪問物流公司服務(wù)器�。運(yùn)樣�����,非啞終端可W盡可能早地獲取到最新的 物流?胃息����。
[0044] 進(jìn)一步的���,不同廠商可W根據(jù)MAC地址段設(shè)定不同的組策略�����,即不同的MAC地址段 可W對應(yīng)不同的訪客訪問權(quán)限�����。
[0045] 需要說明的是��,非啞終端的MAC地址與組策略的對應(yīng)關(guān)系是預(yù)先配置在認(rèn)證服務(wù) 器中的��。
[0046] 步驟S203:確定所述第一組策略對應(yīng)的第一訪問權(quán)限����,并根據(jù)所述第一訪問權(quán)限 確定所述待認(rèn)證非啞終端的訪問權(quán)限�����。
[0047] 其中���,所述第一訪問權(quán)限為預(yù)設(shè)的訪客訪問權(quán)限��。
[0048] 具體的����,如果接入設(shè)備接收到的第一組策略包括策略名稱���,并沒有包括第一組策 略的具體策略內(nèi)容����,那么接入設(shè)備根據(jù)預(yù)先保存的組策略與訪問權(quán)限的對應(yīng)關(guān)系����,確定第 一組策略對應(yīng)的第一訪問權(quán)限。如果接入設(shè)備接收到的第一組策略包括第一組策略的具體 策略內(nèi)容�����,那么接入設(shè)備直接根據(jù)第一組策略的具體策略內(nèi)容確定第一訪問權(quán)限�����。
[0049] 當(dāng)確定第一訪問權(quán)限之后,可W將第一訪問權(quán)限確定為待認(rèn)證非啞終端的訪問權(quán) 限�,也可W根據(jù)第一訪問權(quán)限得到第二訪問權(quán)限,將第二訪問權(quán)限確定為待認(rèn)證非啞終端 的訪問權(quán)限�,其中,第二訪問權(quán)限為與第一訪問權(quán)限不同的訪問權(quán)限���。當(dāng)然���,本發(fā)明實(shí)施例 對根據(jù)第一訪問權(quán)限確定待認(rèn)證非啞終端的訪問權(quán)限的具體過程不做限定。
[0050] 由上述內(nèi)容可知�����,本實(shí)施例中�,接入設(shè)備將針對待認(rèn)證非啞終端的MAC無感知認(rèn)證 請求發(fā)送至認(rèn)證服務(wù)器,接收認(rèn)證服務(wù)器反饋的針對待認(rèn)證非啞終端的第一組策略����,然后 根據(jù)確定的第一組策略對應(yīng)的第一訪問權(quán)限,確定待認(rèn)證非啞終端的訪問權(quán)限����。由于確定 了待認(rèn)證非啞終端的訪問權(quán)限后即完成了待認(rèn)證非啞終端向認(rèn)證服務(wù)器的認(rèn)證請求��,接入 設(shè)備不會再發(fā)起針對待認(rèn)證非啞終端的MAC無感知認(rèn)證請求�����,因此能夠解決非啞終端不斷 發(fā)起MAC無感知認(rèn)證導(dǎo)致的認(rèn)證服務(wù)器性能降低的問題。
[0化1 ] 當(dāng)待認(rèn)證非啞終端通過MAC無感知認(rèn)證之后��,接入設(shè)備還可W發(fā)起針對待認(rèn)證非 啞終端的手工認(rèn)證請求�,w求完成針對待認(rèn)證非啞終端的手工認(rèn)證。因此�����,在本發(fā)明的另一 實(shí)施例中��,對圖2所示實(shí)施例進(jìn)行改進(jìn)�����,具體的�,在圖2所示實(shí)施例之后,所述方法還可W包 括:
[0化2] 步驟1:向所述認(rèn)證服務(wù)器發(fā)送所述待認(rèn)證非啞終端的手工認(rèn)證請求��。
[0053]具體的,接入設(shè)備可W在接收到待認(rèn)證非啞終端發(fā)送的手工認(rèn)證指令后執(zhí)行步驟 1�����,也可W在接收到待認(rèn)證非啞終端發(fā)送的用戶名�、密碼、MAC地址等信息之后執(zhí)行步驟1�。當(dāng) 然,執(zhí)行步驟1的觸發(fā)條件還可W有其他的���,本發(fā)明對此不做限定����。
[0化4] 在實(shí)際應(yīng)用中�����,手工認(rèn)證請求可W為采用802. lx協(xié)議的認(rèn)證��,也可W為采用 Podal協(xié)議的認(rèn)證��,當(dāng)然�����,也可W包括其他手工認(rèn)證方式,本發(fā)明對此不做具體限定����。手工 認(rèn)證請求可W采用對現(xiàn)有技術(shù)中的報(bào)文加 W改進(jìn)后的報(bào)文實(shí)現(xiàn)發(fā)送,也可W采用其他報(bào)文 形式發(fā)送����。具體的,向認(rèn)證服務(wù)器發(fā)送待認(rèn)證非啞終端的手工認(rèn)證請求屬于現(xiàn)有技術(shù)�����,其具 體過程此處不再寶述��。
[0055] 步驟2:接收所述認(rèn)證服務(wù)器發(fā)送的針對所述待認(rèn)證非啞終端的第一下線請求��。
[0056] 其中����,第一下線請求可W采用對現(xiàn)有技術(shù)中的報(bào)文加 W改進(jìn)后的報(bào)文實(shí)現(xiàn)發(fā)送�����, 也可W采用其他報(bào)文形式發(fā)送��,本發(fā)明對此不做限定。
[0057] 當(dāng)認(rèn)證服務(wù)器接收到手工認(rèn)證請求時(shí)����,會首先判斷待認(rèn)證非啞終端是否已經(jīng)通過 MAC無感知認(rèn)證,如果是�,則發(fā)送第一下線通知,W使待認(rèn)證非啞終端的MAC無感知認(rèn)證下 線�����,便于響應(yīng)針對待認(rèn)證非啞終端的手工認(rèn)證過程�。
[0058] 步驟3:響應(yīng)所述第一下線請求,釋放所述待認(rèn)證非啞終端的第一訪問權(quán)限���,并向 所述認(rèn)證服務(wù)器反饋所述待認(rèn)證非啞終端的第一下線通知�,W使所述認(rèn)證服務(wù)器響應(yīng)所述 手工認(rèn)證請求�����。
[0059] 需要說明的是�����,響應(yīng)第一下線請求即是釋放待認(rèn)證非啞終端的第一訪問權(quán)限�,取 消待認(rèn)證非啞終端的第一訪問權(quán)限���。
[0060] 圖3為本發(fā)明實(shí)施例提供的另一種終端接入認(rèn)證方法的流程示意圖,應(yīng)用于認(rèn)證 服務(wù)器��,所述方法具體包括如下步驟:
[0061 ] 步驟S301:接收接入設(shè)備發(fā)送的針對待認(rèn)證非啞終端的MAC無感知認(rèn)證請求�����。
[0062] 其中���,所述MAC無感知認(rèn)證請求攜帶有所述非啞終端的第一MAC地址�。
[0063] 可W理解的是�,認(rèn)證服務(wù)器能夠根據(jù)MAC地址識別出啞終端和非啞終端,運(yùn)屬于現(xiàn) 有技術(shù)���,其具體過程此處不再寶述。
[0064] 步驟S302:根據(jù)所述第一 MAC地址W及非啞終端的MAC地址與組策略的對應(yīng)關(guān)系�����, 確定所述第一 MAC地址對應(yīng)的第一組策略�。
[00化]具體的,認(rèn)證服務(wù)器從非啞終端的MAC地址與組策略的對應(yīng)關(guān)系中查找該第一MAC 地址����,將查找到的第一 MAC地址對應(yīng)的組策略確定為第一組策略���。如果認(rèn)證服務(wù)器無法從非 啞終端的MAC地址與組策略的對應(yīng)關(guān)系中查找到第一 MAC地址,則不做處理���。此時(shí)�,說明該待 認(rèn)證非啞終端的MAC地址沒有被預(yù)先配置在認(rèn)證服務(wù)器中����,或者該MAC無感知認(rèn)證請求屬于 虛假請求。
[0066]步驟S303:向所述接入設(shè)備發(fā)送所述第一組策略�,W使所述接入設(shè)備確定所述第 一組策略對應(yīng)的第一訪問權(quán)限,并根據(jù)所述第一訪問權(quán)限確定所述待認(rèn)證非啞終端的訪問 權(quán)限��。
[0067] 其中�,所述第一訪問權(quán)限為預(yù)設(shè)的訪客訪問權(quán)限。
[0068] 由上述內(nèi)容可知�����,本實(shí)施例中����,認(rèn)證服務(wù)器根據(jù)待認(rèn)證非啞終端的第一MAC地址W 及非啞終端的MAC地址與組策略的對應(yīng)關(guān)系���,確定待認(rèn)證非啞終端的第一組策略,并將第一 組策略發(fā)送至接入設(shè)備���,W使接入設(shè)備確定第一組策略對應(yīng)的第一訪問權(quán)限��,并根據(jù)第一 訪問權(quán)限確定待認(rèn)證非啞終端的訪問權(quán)限��。由于確定了待認(rèn)證非啞終端的訪問權(quán)限后即完 成了待認(rèn)證非啞終端向認(rèn)證服務(wù)器的認(rèn)證請求���,接入設(shè)備不會再發(fā)起針對待認(rèn)證非啞終端 的MAC無感知認(rèn)證請求,因此能夠解決非啞終端不斷發(fā)起MAC無感知認(rèn)證導(dǎo)致的認(rèn)證服務(wù)器 性能降低的問題��。
[0069] 當(dāng)待認(rèn)證非啞終端通過MAC無感知認(rèn)證之后�,認(rèn)證服務(wù)器還可W接收到接入設(shè)備 針對待認(rèn)證非啞終端發(fā)起的手工認(rèn)證請求,還要完成針對待認(rèn)證非啞終端的手工認(rèn)證�。因 此,在本發(fā)明的另一實(shí)施例中����,在圖3所示實(shí)施例中���,所述方法還可W包括:
[0070] 步驟1:接收所述接入設(shè)備發(fā)送的針對所述待認(rèn)證非啞終端的手工認(rèn)證請求���。
[0071] 其中�����,手工認(rèn)證即是指需要用戶手工輸入用戶名和密碼的認(rèn)證方式�。接入設(shè)備通 過與認(rèn)證服務(wù)器的一系列認(rèn)證交互�,最終完成非啞終端的手工認(rèn)證后,非啞終端可W獲得 預(yù)先設(shè)定的專屬于該用戶的訪問權(quán)限��。
[0072] 步驟2:根據(jù)所述第一 MAC地址��,判斷所述待認(rèn)證非啞終端是否已通過MAC無感知認(rèn) 證��,如果是��,則執(zhí)行步驟3�����。
[0073] 如果判斷出待認(rèn)證非啞終端沒有通過MAC無感知認(rèn)證����,則執(zhí)行響應(yīng)所述手工認(rèn)證 請求的步驟。具體的���,可W判斷是否能夠從MAC無感知認(rèn)證在線列表中查找到該第一MAC地 址���,如果是�����,則說明待認(rèn)證非啞終端已通過MAC無感知認(rèn)證��,否則����,說明待認(rèn)證非啞終端沒有 通過MAC無感知認(rèn)證���。當(dāng)然�����,判斷待認(rèn)證非啞終端是否已通過MAC無感知認(rèn)證還可W有其他 具體的實(shí)施方式�����,本發(fā)明對此不做具體限定。
[0074] 需要說明的是���,第一MAC地址可W是從手工認(rèn)證請求中獲得的��,也可W是認(rèn)證服務(wù) 器根據(jù)手工認(rèn)證請求中的標(biāo)識向接入設(shè)備索取的����,當(dāng)然,第一MAC地址還可W是采用其他方 式獲得的���,本發(fā)明對此不做具體限定���。
[0075] 步驟3:向所述接入設(shè)備發(fā)送針對所述待認(rèn)證非啞終端的第一下線請求。
[0076] 步驟4:接收所述接入設(shè)備反饋的針對所述待認(rèn)證非啞終端的第一下線通知���,并響 應(yīng)所述手工認(rèn)證請求����。
[0077] 可W理解的是���,當(dāng)待認(rèn)證非啞終端的MAC無感知認(rèn)證被下線時(shí)�����,認(rèn)證服務(wù)器才可W 響應(yīng)其手工認(rèn)證請求���,并經(jīng)過認(rèn)證服務(wù)器與接入設(shè)備之間的一系列交互過程����,確定是否完 成對待認(rèn)證非啞終端的手工認(rèn)證�����。具體的�,響應(yīng)所述手工認(rèn)證請求即是需要接入設(shè)備和認(rèn) 證服務(wù)器通過交互確定是否通過待認(rèn)證非啞終端的手工認(rèn)證,該過程屬于現(xiàn)有技術(shù)����,其具 體過程此處不再寶述。
[0078] 在本發(fā)明的另一實(shí)施例中�,為了使認(rèn)證服務(wù)器中記錄的MAC無感知認(rèn)證在線信息 更加準(zhǔn)確,在圖3所示實(shí)施例的基礎(chǔ)上��,在接收到所述接入設(shè)備反饋的第一下線通知之后����, 所述方法還可W包括:清除所述待認(rèn)證非啞終端的MAC無感知認(rèn)證在線記錄。
[0079] 圖2所示實(shí)施例和圖3所示實(shí)施例屬于同一個(gè)發(fā)明構(gòu)思����,兩者可W相互參照��。
[0080] 下面W支持RADIUS(Remote Authentication Dial-In User Service,遠(yuǎn)程認(rèn)證 撥號用戶服務(wù))協(xié)議的終端、認(rèn)證服務(wù)器和網(wǎng)絡(luò)接入系統(tǒng)(Network Access System����,NAS)中 的接入設(shè)備為例,再對本發(fā)明進(jìn)行詳細(xì)說明�����。
[0081 ] 其中���,認(rèn)證服務(wù)器為具備認(rèn)證���、授權(quán)和計(jì)費(fèi)功能的AAA( Authent i cat ion, Authorization�����,Accounting,認(rèn)證�����,授權(quán),計(jì)費(fèi))服務(wù)器�。
[0082] 根據(jù)RFC(Request化r Comments)規(guī)定,廠商可W由自己定義各自的私有屬性����,通 過私有屬性,廠商可W實(shí)現(xiàn)自己的定制內(nèi)容�,在本例中,組策略可W通過廠商私有屬性實(shí) 現(xiàn)����。在非啞終端例如PC機(jī)接入網(wǎng)絡(luò)前,在針對NAS接入設(shè)備發(fā)起的MAC無感知認(rèn)證請求反饋 報(bào)文時(shí)�,認(rèn)證服務(wù)器負(fù)責(zé)在私有屬性中下發(fā)組策略的策略名稱,該策略名稱代表的具體策 略內(nèi)容由NAS接入設(shè)備負(fù)責(zé)解釋��。在業(yè)務(wù)部署時(shí)�,組策略應(yīng)由實(shí)施人員事先在NAS接入設(shè)備 上進(jìn)行配置,組策略代表一系列訪問權(quán)限����,舉個(gè)例子,可W限定PC機(jī)通過手工認(rèn)證接入網(wǎng)絡(luò) 前被允許訪問的服務(wù)器權(quán)限����、企業(yè)內(nèi)部應(yīng)用的資源權(quán)限等��。例如��,企業(yè)PC機(jī)出于安全考慮一 般都有自動更新操作系統(tǒng)W及更新防病毒軟件補(bǔ)下的需求���,因此組策略即可配置放開對相 應(yīng)的兩個(gè)服務(wù)器的訪問權(quán)限,組策略的具體策略內(nèi)容可W考慮通過如下幾條A化規(guī)則實(shí)現(xiàn):
[0083] rule 0 permit ip/7微軟服務(wù)器地址
[0084] rule 1 permit ip/7防病毒軟件服務(wù)器地址 [00化]rule 2 deny ip all
[0086] 也就是說��,上述訪問權(quán)限限制第一 MAC地址可W訪問微軟服務(wù)器和防病毒軟件服 務(wù)器���,但是不能訪問除此之外的其他IP地址。
[0087] 下面具體說明方案實(shí)施的過程��。
[0088] NAS接入設(shè)備根據(jù)待認(rèn)證非啞終端的第一 MAC地址�,通過Code = 1的認(rèn)證請求報(bào)文 Access-Request向認(rèn)證服務(wù)器發(fā)送MAC無感知認(rèn)證請求。該Access-Request報(bào)文攜帶第一 MAC地址�。認(rèn)證服務(wù)器根據(jù)第一 MAC地址W及非啞終端的MAC地址與組策略的對應(yīng)關(guān)系,確定 第一組策略�����,并將攜帶有第一組策略的策略名稱A的認(rèn)證成功報(bào)文Access-Accept發(fā)送給 NAS接入設(shè)備�。
[0089] NAS接入設(shè)備接收Access-Accept報(bào)文,根據(jù)該報(bào)文中攜帶的策略名稱A�����,從預(yù)先保 存的組策略與訪問權(quán)限的對應(yīng)關(guān)系中獲得A的具體策略內(nèi)容,A的具體策略內(nèi)容如下:
[0090] RuleO:permit 1.1.1.1
[0091] Rulel:permit 10.2.2.0
[0092] Rule2:permit 255.82.2.0
[0093] Rule3:deny ip all
[0094] NAS接入設(shè)備將上述A的具體策略內(nèi)容確定為第一訪問權(quán)限�����,并將該第一訪問權(quán)限 確定為待認(rèn)證非啞終端的訪問權(quán)限�����。
[00巧]當(dāng)NAS接入設(shè)備接收到待認(rèn)證非啞終端發(fā)起的手工認(rèn)證請求時(shí)�����,通過Access- Request 報(bào)文向認(rèn)證服務(wù)器發(fā)送待認(rèn)證非啞終端的手工認(rèn)證請求�。認(rèn)證服務(wù)器根據(jù)待認(rèn)證 非啞終端的第一MAC地址,判斷出待認(rèn)證非啞終端已通過MAC無感知認(rèn)證�,則通過 Disconnect-Request報(bào)文向NAS接入設(shè)備發(fā)送針對待認(rèn)證非啞終端的第一下線請求。NAS接 入設(shè)備在接收到該Disconnect-Request報(bào)文時(shí)��,向認(rèn)證服務(wù)器反饋Disconnect-AO(報(bào)文W 確認(rèn)收到該Disconnect-Request報(bào)文����。此時(shí),NAS接入設(shè)備響應(yīng)第一下線請求��,釋放待認(rèn)證 非啞終端的第一訪問權(quán)限,然后通過計(jì)費(fèi)結(jié)束請求報(bào)文Accounting-Request向認(rèn)證服務(wù)器 反饋待認(rèn)證非啞終端的第一下線通知����。認(rèn)證服務(wù)器接收到Accounting-Request報(bào)文后即確 認(rèn)待認(rèn)證非啞終端的MAC無感知認(rèn)證已經(jīng)下線,即可響應(yīng)待認(rèn)證非啞終端的手工認(rèn)證請求���。
[0096] 具體的����,認(rèn)證服務(wù)器響應(yīng)手工認(rèn)證請求����,與NAS接入設(shè)備之間進(jìn)行一些列認(rèn)證交 互��,然后反饋認(rèn)證成功報(bào)文Access-Accept����,NAS接入設(shè)備收到該Access-Accept報(bào)文后,釋 放待認(rèn)證非啞終端的訪問權(quán)限���,并向待認(rèn)證非啞終端發(fā)送認(rèn)證成功的通知報(bào)文��,待認(rèn)證非 啞終端接收到該通知報(bào)文后��,向用戶呈現(xiàn)手工認(rèn)證上線成功的提示�。
[0097] 其中,通過認(rèn)證成功報(bào)文Access-Accept發(fā)送第一組策略時(shí)���,需要對現(xiàn)有的 Access-Accept報(bào)文加 W改進(jìn)?��,F(xiàn)有的Access-Accept報(bào)文格式見表1:
[009引 表1
[0099]
[0100] 其中,表1中的Attr化ute為屬性域��,用來在請求和響應(yīng)報(bào)文中攜帶報(bào)文屬性����,實(shí)現(xiàn) 認(rèn)證、授權(quán)���、計(jì)費(fèi)等功能����,采用(Type�����、length��、Value)Ξ元組的形式提供。因此�,可W在 Attribute中寫入第一組策略,具體的����,Attribute的格式可W見表2:
[0101] 表2
[0102]
[0103] 其中,表2中的Specified attribute value可W用來寫入第一組策略的策略名稱 和/或具體策略內(nèi)容�。
[0104] 由于RADIUS協(xié)議具有良好的可擴(kuò)展性,因此協(xié)議中定義的26號屬性(Vender Specific)被用來擴(kuò)展W支持供應(yīng)商自己定義的擴(kuò)展屬性��,主要指不適于常規(guī)使用的屬性 擴(kuò)展����。但不允許對RADIUS協(xié)議中的操作有影響。當(dāng)服務(wù)器不具備去解釋由終端發(fā)送過來的 供應(yīng)商特性信息時(shí)�,服務(wù)器必須忽略它(過程可W被記錄下來)�。當(dāng)沒有收到預(yù)期屬性情況 下,終端(對應(yīng)NAS接入設(shè)備)也應(yīng)該嘗試在沒有它的情況下運(yùn)作����。
[0105] 圖4為本發(fā)明實(shí)施例提供的一種終端接入認(rèn)證裝置的結(jié)構(gòu)示意圖,與圖2所示方法 實(shí)施例相對應(yīng)�,應(yīng)用于接入設(shè)備,所述裝置包括:第一發(fā)送模塊401�、第一接收模塊402和第 一確定模塊403;
[0106] 其中�,第一發(fā)送模塊401�,用于根據(jù)待認(rèn)證非啞終端的第一MAC地址,向認(rèn)證服務(wù)器 發(fā)送MAC無感知認(rèn)證請求�����;
[0107] 第一接收模塊402,用于接收所述認(rèn)證服務(wù)器根據(jù)所述第一MAC地址反饋的第一組 策略��,其中����,所述第一組策略是所述認(rèn)證服務(wù)器根據(jù)非啞終端的MAC地址與組策略的對應(yīng)關(guān) 系確定的;
[0108] 第一確定模塊403,用于確定所述第一組策略對應(yīng)的第一訪問權(quán)限����,并根據(jù)所述第 一訪問權(quán)限確定所述待認(rèn)證非啞終端的訪問權(quán)限,其中�����,所述第一訪問權(quán)限為預(yù)設(shè)的訪客 訪問權(quán)限����。
[0109] 在本實(shí)施例中,所述第一發(fā)送模塊401,還用于向所述認(rèn)證服務(wù)器發(fā)送所述待認(rèn)證 非啞終端的手工認(rèn)證請求��;
[0110] 所述第一接收模塊402,還用于接收所述認(rèn)證服務(wù)器發(fā)送的針對所述待認(rèn)證非啞 終端的第一下線請求����;
[0111] 所述裝置還包括第一響應(yīng)模塊(圖中未示出),其用于響應(yīng)所述第一下線請求��,釋 放所述待認(rèn)證非啞終端的第一訪問權(quán)限����,并向所述認(rèn)證服務(wù)器反饋所述待認(rèn)證非啞終端的 第一下線通知,W使所述認(rèn)證服務(wù)器響應(yīng)所述手工認(rèn)證請求���。
[0112] 圖5為本發(fā)明實(shí)施例提供的另一種終端接入認(rèn)證裝置的結(jié)構(gòu)示意圖��,與圖3所示方 法實(shí)施例相對應(yīng)��,應(yīng)用于認(rèn)證服務(wù)器���,所述裝置包括:第二接收模塊501��、第二確定模塊502 和第二發(fā)送模塊503;
[0113] 其中���,第二接收模塊501�����,用于接收接入設(shè)備發(fā)送的針對待認(rèn)證非啞終端的MAC無 感知認(rèn)證請求;所述MAC無感知認(rèn)證請求攜帶有所述非啞終端的第一 MAC地址�����;
[0114] 第二確定模塊502,用于根據(jù)所述第一MAC地址W及非啞終端的MAC地址與組策略 的對應(yīng)關(guān)系�����,確定所述第一 MAC地址對應(yīng)的第一組策略�����;
[0115] 第二發(fā)送模塊503,用于向所述接入設(shè)備發(fā)送所述第一組策略����,W使所述接入設(shè)備 確定所述第一組策略對應(yīng)的第一訪問權(quán)限,并根據(jù)所述第一訪問權(quán)限確定所述待認(rèn)證非啞 終端的訪問權(quán)限���,其中���,所述第一訪問權(quán)限為預(yù)設(shè)的訪客訪問權(quán)限����。
[0116] 在本實(shí)施例中��,所述第二接收模塊501�,還用于接收所述接入設(shè)備發(fā)送的針對所述 待認(rèn)證非啞終端的手工認(rèn)證請求;
[0117] 所述裝置還可W包括判斷模塊(圖中未示出)�����,其用于根據(jù)所述第一 MAC地址����,判斷 所述待認(rèn)證非啞終端是否已通過MAC無感知認(rèn)證;
[0118] 所述第二發(fā)送模塊503,還用于當(dāng)所述待認(rèn)證非啞終端已通過MAC無感知認(rèn)證時(shí)�����, 向所述接入設(shè)備發(fā)送針對所述待認(rèn)證非啞終端的第一下線請求���;
[0119] 所述裝置還可W包括第二響應(yīng)模塊(圖中未示出)�,其用于接收所述接入設(shè)備反饋 的針對所述待認(rèn)證非啞終端的第一下線通知�,并響應(yīng)所述手工認(rèn)證請求。
[0120] 在本實(shí)施例中�����,所述裝置還可W包括清除模塊(圖中未示出)��;
[0121] 所述清除模塊����,用于在接收到所述接入設(shè)備反饋的第一下線通知之后,清除所述 待認(rèn)證非啞終端的MAC無感知認(rèn)證在線記錄���。
[0122] 由于上述裝置實(shí)施例是基于方法實(shí)施例得到的��,與該方法具有相同的技術(shù)效果���, 因此裝置實(shí)施例的技術(shù)效果在此不再寶述。
[0123] 對于裝置實(shí)施例而言����,由于其基本相似于方法實(shí)施例,所W描述得比較簡單�����,相關(guān) 之處參見方法實(shí)施例的部分說明即可��。
[0124] 需要說明的是,在本文中�����,諸如第一和第二等之類的關(guān)系術(shù)語僅僅用來將一個(gè)實(shí) 體或者操作與另一個(gè)實(shí)體或操作區(qū)分開來���,而不一定要求或者暗示運(yùn)些實(shí)體或操作之間存 在任何運(yùn)種實(shí)際的關(guān)系或者順序��。而且����,術(shù)語"包括"���、"包含"或者任何其他變體意在涵蓋非 排他性的包含����,從而使得包括一系列要素的過程�����、方法���、物品或者設(shè)備不僅包括那些要素���, 而且還包括沒有明確列出的其他要素�����,或者是還包括為運(yùn)種過程、方法����、物品或者設(shè)備所固 有的要素。在沒有更多限制的情況下���,由語句"包括一個(gè)……"限定的要素����,并不排除在包括 所述要素的過程���、方法�����、物品或者設(shè)備中還存在另外的相同要素����。
[0125] 本領(lǐng)域普通技術(shù)人員可W理解,上述實(shí)施方式中的全部或部分步驟是能夠通過程 序指令相關(guān)的硬件來完成的����,所述的程序可W存儲于計(jì)算機(jī)可讀取存儲介質(zhì)中。運(yùn)里所稱 存儲介質(zhì)��,是指R0M/RAM����、磁碟、光盤等�����。
[0126] W上所述僅為本發(fā)明的較佳實(shí)施例而已���,并非用于限定本發(fā)明的保護(hù)范圍����。凡在 本發(fā)明的精神和原則之內(nèi)所做的任何修改�、等同替換、改進(jìn)等��,均包含在本發(fā)明的保護(hù)范圍 內(nèi)。
【主權(quán)項(xiàng)】
1. 一種終端接入認(rèn)證方法�����,其特征在于����,應(yīng)用于接入設(shè)備,所述方法包括: 根據(jù)待認(rèn)證非啞終端的第一 MAC地址���,向認(rèn)證服務(wù)器發(fā)送MAC無感知認(rèn)證請求; 接收所述認(rèn)證服務(wù)器根據(jù)所述第一MAC地址反饋的第一組策略���,其中��,所述第一組策略 是所述認(rèn)證服務(wù)器根據(jù)非啞終端的MAC地址與組策略的對應(yīng)關(guān)系確定的��; 確定所述第一組策略對應(yīng)的第一訪問權(quán)限�,并根據(jù)所述第一訪問權(quán)限確定所述待認(rèn)證 非啞終端的訪問權(quán)限����,其中,所述第一訪問權(quán)限為預(yù)設(shè)的訪客訪問權(quán)限�����。2. 根據(jù)權(quán)利要求1所述的方法,其特征在于�,所述方法還包括: 向所述認(rèn)證服務(wù)器發(fā)送所述待認(rèn)證非啞終端的手工認(rèn)證請求; 接收所述認(rèn)證服務(wù)器發(fā)送的針對所述待認(rèn)證非啞終端的第一下線請求�����; 響應(yīng)所述第一下線請求�����,釋放所述待認(rèn)證非啞終端的第一訪問權(quán)限�,并向所述認(rèn)證服 務(wù)器反饋所述待認(rèn)證非啞終端的第一下線通知,以使所述認(rèn)證服務(wù)器響應(yīng)所述手工認(rèn)證請 求�。3. -種終端接入認(rèn)證方法,其特征在于��,應(yīng)用于認(rèn)證服務(wù)器�����,所述方法包括: 接收接入設(shè)備發(fā)送的針對待認(rèn)證非啞終端的MAC無感知認(rèn)證請求;所述MAC無感知認(rèn)證 請求攜帶有所述非啞終端的第一 MAC地址�; 根據(jù)所述第一 MAC地址以及非啞終端的MAC地址與組策略的對應(yīng)關(guān)系,確定所述第一 MAC地址對應(yīng)的第一組策略����; 向所述接入設(shè)備發(fā)送所述第一組策略���,以使所述接入設(shè)備確定所述第一組策略對應(yīng)的 第一訪問權(quán)限,并根據(jù)所述第一訪問權(quán)限確定所述待認(rèn)證非啞終端的訪問權(quán)限���,其中����,所述 第一訪問權(quán)限為預(yù)設(shè)的訪客訪問權(quán)限���。4. 根據(jù)權(quán)利要求3所述的方法��,其特征在于,所述方法還包括: 接收所述接入設(shè)備發(fā)送的針對所述待認(rèn)證非啞終端的手工認(rèn)證請求�����; 根據(jù)所述第一 MAC地址�,判斷所述待認(rèn)證非啞終端是否已通過MAC無感知認(rèn)證; 如果是����,則向所述接入設(shè)備發(fā)送針對所述待認(rèn)證非啞終端的第一下線請求; 接收所述接入設(shè)備反饋的針對所述待認(rèn)證非啞終端的第一下線通知,并響應(yīng)所述手工 認(rèn)證請求�����。5. 根據(jù)權(quán)利要求4所述的方法���,其特征在于�����,在接收到所述接入設(shè)備反饋的第一下線通 知之后����,所述方法還包括: 清除所述待認(rèn)證非啞終端的MAC無感知認(rèn)證在線記錄�。6. -種終端接入認(rèn)證裝置,其特征在于����,應(yīng)用于接入設(shè)備,所述裝置包括: 第一發(fā)送模塊�����,用于根據(jù)待認(rèn)證非啞終端的第一 MAC地址��,向認(rèn)證服務(wù)器發(fā)送MAC無感 知認(rèn)證請求; 第一接收模塊�����,用于接收所述認(rèn)證服務(wù)器根據(jù)所述第一 MAC地址反饋的第一組策略�����,其 中���,所述第一組策略是所述認(rèn)證服務(wù)器根據(jù)非啞終端的MAC地址與組策略的對應(yīng)關(guān)系確定 的�����; 第一確定模塊���,用于確定所述第一組策略對應(yīng)的第一訪問權(quán)限����,并根據(jù)所述第一訪問 權(quán)限確定所述待認(rèn)證非啞終端的訪問權(quán)限,其中�,所述第一訪問權(quán)限為預(yù)設(shè)的訪客訪問權(quán) 限。7. 根據(jù)權(quán)利要求6所述的裝置��,其特征在于,所述第一發(fā)送模塊���,還用于向所述認(rèn)證服 務(wù)器發(fā)送所述待認(rèn)證非啞終端的手工認(rèn)證請求��; 所述第一接收模塊�����,還用于接收所述認(rèn)證服務(wù)器發(fā)送的針對所述待認(rèn)證非啞終端的第 一下線請求��; 所述裝置還包括第一響應(yīng)模塊�,用于響應(yīng)所述第一下線請求����,釋放所述待認(rèn)證非啞終 端的第一訪問權(quán)限,并向所述認(rèn)證服務(wù)器反饋所述待認(rèn)證非啞終端的第一下線通知����,以使 所述認(rèn)證服務(wù)器響應(yīng)所述手工認(rèn)證請求。8. -種終端接入認(rèn)證裝置���,其特征在于��,應(yīng)用于認(rèn)證服務(wù)器�,所述裝置包括: 第二接收模塊,用于接收接入設(shè)備發(fā)送的針對待認(rèn)證非啞終端的MAC無感知認(rèn)證請求����; 所述MAC無感知認(rèn)證請求攜帶有所述非啞終端的第一 MAC地址; 第二確定模塊��,用于根據(jù)所述第一 MAC地址以及非啞終端的MAC地址與組策略的對應(yīng)關(guān) 系���,確定所述第一 MAC地址對應(yīng)的第一組策略�; 第二發(fā)送模塊����,用于向所述接入設(shè)備發(fā)送所述第一組策略,以使所述接入設(shè)備確定所 述第一組策略對應(yīng)的第一訪問權(quán)限��,并根據(jù)所述第一訪問權(quán)限確定所述待認(rèn)證非啞終端的 訪問權(quán)限���,其中��,所述第一訪問權(quán)限為預(yù)設(shè)的訪客訪問權(quán)限��。9. 根據(jù)權(quán)利要求8所述的裝置,其特征在于���,所述第二接收模塊�,還用于接收所述接入 設(shè)備發(fā)送的針對所述待認(rèn)證非啞終端的手工認(rèn)證請求; 所述裝置還包括判斷模塊��,用于根據(jù)所述第一 MAC地址��,判斷所述待認(rèn)證非啞終端是否 已通過MAC無感知認(rèn)證��; 所述第二發(fā)送模塊��,還用于當(dāng)所述待認(rèn)證非啞終端已通過MAC無感知認(rèn)證時(shí)�����,向所述接 入設(shè)備發(fā)送針對所述待認(rèn)證非啞終端的第一下線請求�����; 所述裝置還包括第二響應(yīng)模塊�����,其用于接收所述接入設(shè)備反饋的針對所述待認(rèn)證非啞 終端的第一下線通知���,并響應(yīng)所述手工認(rèn)證請求����。10. 根據(jù)權(quán)利要求9所述的裝置,其特征在于����,所述裝置還包括清除模塊; 所述清除模塊����,用于在接收到所述接入設(shè)備反饋的第一下線通知之后,清除所述待認(rèn) 證非啞終端的MAC無感知認(rèn)證在線記錄�����。
【文檔編號】H04L29/06GK106059802SQ201610355907
【公開日】2016年10月26日
【申請日】2016年5月25日
【發(fā)明人】許文雨
【申請人】杭州華三通信技術(shù)有限公司