技術領域

本發明涉及通信領域，具體而言，涉及一種檢測客戶端連接狀 態的方法、裝置以及Radius服務器。

背景技術

802.1X協議是基于Client/Server(客戶端/服務器端模式)的訪 問控制和認證協議。它可以限制未經授權的用戶/設備通過接入端口 訪問LAN(Local?Area?Network，局域網)/WLAN(Wireless?Local?Area Network，無線局域網)。在獲得交換機或LAN提供的各種業務之 前，802.1x對連接到交換機端口上的用戶/設備進行認證。在認證通 過之前，802.1x只允許EAPOL(Extensible?Authentication?Protocol over?LAN，基于局域網的擴展認證協議)數據通過設備連接的交換 機端口；認證通過以后，正常的數據可以順利地通過以太網端口。

Radius(Remote?Authentication?Dial?In?User?Service，遠程用戶 撥號認證系統)，是一種在NAS(Network?Access?Server，網絡接入 服務器)和共享認證服務器間傳輸認證、授權和配置信息的協議。 RADIUS使用UDP作為其傳輸協議。此外RADIUS也負責傳送網 絡接入服務器和共享計費服務器間的計費信息。

Radius主要特征如下：

Client/Server：網絡接入服務器作為Radius的客戶端，負責將 用戶信息傳遞給指定的Radius服務器，然后根據返回信息進行操 作。Radius服務器負責接收用戶連接請求，認證用戶后，返回所有 必要的配置信息以便客戶端為用戶提供服務。Radius服務器可以作 為其他Radius服務器或認證服務器的代理。

網絡安全：客戶端與Radius服務器之間的通信是通過共享密鑰 的使用來鑒別的，這個共享密鑰不會通過網絡傳送。此外，任何用 戶口令在客戶機和Radius服務器間發送時都需要進行加密過程，以 避免有人通過嗅探非安全網絡可得到用戶密碼。

靈活認證機制：Radius服務器支持多種用戶認證方法。當用戶 提供了用戶名和原始口令后，Radius服務器可支持PPP?PAP或 CHAP，UNIX登錄和其它認證機制。

協議的可擴充性：所有的事務都是由不同長度的“屬性-長度 -值”的三元組構成的。新的屬性值的加入不會影響到原有協議的 執行。

EAP(Extensible?Authentication?Protocol，擴展認證協議)，把 認證方法和網絡接入的類型進行了分離，是一個IETF(Internet Engineering?Task?Force，互聯網工程任務組)標準。EAP報文是PPP (Point-to-Point?Protocol，點到點協議)報文的擴展，PPP報文是為 在同等單元之間傳輸數據包這樣的簡單鏈路設計的鏈路層協議。通 信過程中采用TCP/IP協議，支持多種認證機制，本身具有良好的 擴展性。它不會在鏈路控制階段選定一個特定的認證機制，而是把 這種選擇推遲到認證階段，這使認證者在確定具體的認證機制前可 以獲得更多的信息。并且它允許使用后端服務器，這種后端服務器 實際是執行各種不同的認證機制。EAP是一種封裝模式，其具體的 加密算法具有很大的可擴展性，除了按照EAP報文格式封裝外，報 文內的數據段是可以由程序開發者任意修改的，而且長度沒有限 定。

EAPOL是認證用戶在認證成功前想交換機發起的認證請求的 報文類型。

SNMP(Simple?Network?Management?Protocol，簡單網絡管理 協議)的核心是幫助管理員簡化對一些支持SNMP設備設置的操作 (也包括這些信息的收集)。例如，使用SNMP可以關閉路由器的 一個端口，也可以查看以太網端口的工作速率。SNMP還可以監控 交換機的溫度，在出現過高現象進行報警。SNMP通常和管理路由 器相關聯，實際上SNMP可以用于管理很多類型的設備。

目前，在802.1X系統的認證模型下，Radius服務器與在線用 戶管理模塊進行聯動，當Radius服務器收到記賬開始報文后，用戶 上線，相應用戶信息添加到在線用戶列表；當Radius服務器收到記 賬結束報文后，用戶下線，相應用戶信息從在線用戶列表中刪除。