本發(fā)明涉及通信
技術(shù)領(lǐng)域：
，尤其涉及一種安全策略服務(wù)器的地址獲取方法和設(shè)備。
背景技術(shù)：
：802.1X協(xié)議是一種基于端口的網(wǎng)絡(luò)接入控制協(xié)議，廣泛用于解決以太網(wǎng)內(nèi)客戶端的安全認(rèn)證和安全接入問題。所謂“基于端口的網(wǎng)絡(luò)接入控制”是指在局域網(wǎng)接入設(shè)備的端口這一級(jí)別對(duì)接入的客戶端進(jìn)行認(rèn)證和控制，連接到接入設(shè)備的端口上的客戶端只有通過802.1X認(rèn)證，才能訪問局域網(wǎng)中的資源。常規(guī)的802.1X認(rèn)證包括以下主要過程：(1)客戶端或接入設(shè)備發(fā)起802.1X認(rèn)證請(qǐng)求；(2)遠(yuǎn)端用戶撥號(hào)認(rèn)證服務(wù)(RemoteAuthenticationDialinUserService，簡(jiǎn)稱：RADIUS)服務(wù)器接收認(rèn)證請(qǐng)求，并返回認(rèn)證結(jié)果；(3)接入設(shè)備通過認(rèn)證，打開受控端口；(4)認(rèn)證包丟失重傳；(5)重新認(rèn)證；(6)退出已認(rèn)證態(tài)，即客戶端“下線”。而在企業(yè)網(wǎng)絡(luò)中，為了增強(qiáng)網(wǎng)絡(luò)安全性，除了通過802.1X認(rèn)證服務(wù)器對(duì)客戶端的用戶身份進(jìn)行認(rèn)證外，還可以通過安裝在客戶端上的802.1X安全接入軟件對(duì)客戶端執(zhí)行安全策略，如是否安裝了防病毒軟件、是否更新了病毒庫、是否安裝了非法軟件、是否更新了操作系統(tǒng)補(bǔ)丁等，來檢查客戶端的系統(tǒng)環(huán)境是否滿足安全條件，只有滿足安全條件的客戶端才被允許訪問局域網(wǎng)中的資源，不滿足安全條件的客戶端將被隔離或被阻止接入局域網(wǎng)。由于企業(yè)實(shí)施的安全策略會(huì)發(fā)生變化，因此客戶端上的802.1X安全接入軟件需要連接到存放安全策略的安全策略服務(wù)器獲取和升級(jí)安全策略。通常是將安全策略服務(wù)器的IP地址定制到802.1X安全接入軟件的安裝包 中；客戶端在認(rèn)證通過后，通過802.1X安全接入軟件中內(nèi)置的安全策略服務(wù)器的IP地址，連接安全策略服務(wù)器。但是，不同的網(wǎng)絡(luò)區(qū)域，客戶端需要連接到不同的安全策略服務(wù)器，這樣就需要為每個(gè)網(wǎng)絡(luò)區(qū)域分別定制不同的802.1X安全接入軟件的安裝包，并且針對(duì)不同的網(wǎng)絡(luò)區(qū)域分發(fā)安裝包，實(shí)施上比較復(fù)雜，也容易出錯(cuò)。技術(shù)實(shí)現(xiàn)要素：本申請(qǐng)?zhí)峁┮环N安全策略服務(wù)器的地址獲取方法和設(shè)備，使得客戶端可以更簡(jiǎn)便、靈活地獲取安全策略服務(wù)器的地址。第一方面，提供了一種安全策略服務(wù)器的地址獲取方法，RADIUS服務(wù)器接收接入設(shè)備轉(zhuǎn)發(fā)的客戶端的認(rèn)證請(qǐng)求；在對(duì)所述客戶端認(rèn)證通過之后，所述RADIUS服務(wù)器獲取所述接入設(shè)備的地址；所述RAIDUS服務(wù)器向管理服務(wù)器發(fā)送地址查詢請(qǐng)求，所述地址查詢請(qǐng)求中包括所述接入設(shè)備的地址；所述RADIUS服務(wù)器接收所述管理服務(wù)器響應(yīng)所述地址查詢請(qǐng)求返回的地址查詢響應(yīng)，所述地址查詢響應(yīng)中包括與所述接入設(shè)備的地址對(duì)應(yīng)的安全策略服務(wù)器的地址；所述RADIUS服務(wù)器向所述客戶端發(fā)送認(rèn)證交互報(bào)文，所述認(rèn)證交互報(bào)文中包括所述安全策略服務(wù)器的地址，以使所述客戶端從所述認(rèn)證交互報(bào)文中獲取所述安全策略服務(wù)器的地址。這樣，通過將安全策略服務(wù)器的地址存放在RADIUS服務(wù)器發(fā)往客戶端的認(rèn)證交互報(bào)文中，使得客戶端能夠簡(jiǎn)便地從接收的認(rèn)證交互報(bào)文中獲取到安全策略服務(wù)器的地址。結(jié)合第一方面，在第一方面的第一種可能的實(shí)現(xiàn)方式中，所述認(rèn)證交互報(bào)文為EAP-TLVRequest報(bào)文。第二方面，提供了一種安全策略服務(wù)器地址的獲取方法，客戶端通過接入設(shè)備向RADIUS服務(wù)器發(fā)起認(rèn)證過程；所述客戶端接收所述所述RADIUS服務(wù)器返回的認(rèn)證交互報(bào)文，所述認(rèn)證交互報(bào)文中包括所述RADIUS服務(wù)器根據(jù) 所述接入設(shè)備的地址從管理服務(wù)器查詢獲得的安全策略服務(wù)器的地址；所述客戶端從所述認(rèn)證交互報(bào)文中獲取所述安全策略服務(wù)器的地址。結(jié)合第二方面，在第二方面的第一種可能的實(shí)現(xiàn)方式中，在所述客戶端從接收的所述認(rèn)證交互報(bào)文中獲取安全策略服務(wù)器的地址之后，所述方法還包括：所述客戶端通過獲取的所述安全策略服務(wù)器的地址，與所述安全策略服務(wù)器建立TCP長(zhǎng)連接；所述TCP長(zhǎng)連接可用于指示所述安全策略服務(wù)器的地址是否發(fā)生變化；如果所述TCP長(zhǎng)連接斷開，則所述客戶端退出已認(rèn)證態(tài)，并通過所述接入設(shè)備重新向所述RADIUS服務(wù)器發(fā)起認(rèn)證過程，以重新獲取安全策略服務(wù)器的地址。結(jié)合第二方面，在第二方面的第二種可能的實(shí)現(xiàn)方式中，在所述客戶端從接收的所述認(rèn)證交互報(bào)文中獲取安全策略服務(wù)器的地址之后，所述方法還包括：如果所述客戶端無法通過獲取的所述安全策略服務(wù)器的地址與所述安全策略服務(wù)器建立連接，則所述客戶端退出已認(rèn)證態(tài)，并通過所述接入設(shè)備重新向所述RADIUS服務(wù)器發(fā)起認(rèn)證過程，以重新獲取安全策略服務(wù)器的地址。通過以上兩種實(shí)現(xiàn)方式，即使安全策略服務(wù)器的地址發(fā)生變化，客戶端也可以通過重新發(fā)起認(rèn)證再次獲得新的安全策略服務(wù)器的地址。第三方面，提供了一種RADIUS服務(wù)器，所述RADIUS服務(wù)器具有實(shí)現(xiàn)上述方法中RADIUS服務(wù)器行為的功能。所述功能可以通過硬件實(shí)現(xiàn)，也可以通過硬件執(zhí)行相應(yīng)的軟件實(shí)現(xiàn)。所述硬件或軟件包括一個(gè)或多個(gè)與上述功能相對(duì)應(yīng)的模塊。一種可能的實(shí)現(xiàn)方式中，所述RADIUS服務(wù)器包括發(fā)送器、接收器和處理器，所述發(fā)送器、所述接收器和所述處理器之間通過總線相互連接；其中接收器，用于接收接入設(shè)備轉(zhuǎn)發(fā)的客戶端的認(rèn)證請(qǐng)求；處理器，用于在對(duì)所述客戶端認(rèn)證通過后，獲取所述接入設(shè)備的地址；發(fā)送器，用于向管理服務(wù)器發(fā)送地址查詢請(qǐng)求，所述地址查詢請(qǐng)求中包括所述接入設(shè)備的地址；所述接收器還用于，接收所述管理服務(wù)器響應(yīng)所述地址查詢請(qǐng)求返回的地址查詢響應(yīng)，所述地址查詢響應(yīng)中包括與所述接入設(shè)備的地址對(duì)應(yīng)的安全策略服務(wù)器的地址；所述發(fā)送器還用于，向所述客戶端發(fā)送認(rèn)證交互報(bào)文，所述認(rèn)證交互報(bào)文中包括所述安全策略服務(wù)器的地址，以使所述客戶端從所述認(rèn)證交互報(bào)文中獲取所述安全策略服務(wù)器的地址。另一種可能的實(shí)現(xiàn)方式中，所述RADIUS服務(wù)器包括：接收單元，用于接收接入設(shè)備轉(zhuǎn)發(fā)的客戶端的認(rèn)證請(qǐng)求；處理單元，用于在對(duì)所述客戶端認(rèn)證通過后，獲取所述接入設(shè)備的地址；發(fā)送單元，用于向管理服務(wù)器發(fā)送地址查詢請(qǐng)求，所述地址查詢請(qǐng)求中包括所述接入設(shè)備的地址；所述接收單元還用于，接收所述管理服務(wù)器響應(yīng)所述地址查詢請(qǐng)求返回的地址查詢響應(yīng)，所述地址查詢響應(yīng)中包括與所述接入設(shè)備的地址對(duì)應(yīng)的安全策略服務(wù)器的地址；所述發(fā)送單元還用于，向所述客戶端發(fā)送認(rèn)證交互報(bào)文，所述認(rèn)證交互報(bào)文中包括所述安全策略服務(wù)器的地址，以使所述客戶端從所述認(rèn)證交互報(bào)文中獲取所述安全策略服務(wù)器的地址。第四方面，提供了一種客戶端，所述客戶端具有實(shí)現(xiàn)上述方法中客戶端行為的功能。所述功能可以通過硬件實(shí)現(xiàn)，也可以通過硬件執(zhí)行相應(yīng)的軟件實(shí)現(xiàn)。所述硬件或軟件包括一個(gè)或多個(gè)與上述功能相對(duì)應(yīng)的模塊。一種可能的實(shí)現(xiàn)方式中，所述客戶端包括發(fā)送器、接收器和處理器，所述發(fā)送器、所述接收器和所述處理器之間通過總線相互連接；其中發(fā)送器，用于通過接入設(shè)備向RADIUS服務(wù)器發(fā)起認(rèn)證過程；接收器，用于接收所述RADIUS服務(wù)器返回的認(rèn)證交互報(bào)文，所述認(rèn)證交互報(bào)文中包括所述RADIUS服務(wù)器根據(jù)所述接入設(shè)備的地址從管理服務(wù)器查詢獲得的安全策略服務(wù)器的地址；處理器，用于從所述認(rèn)證交互報(bào)文中獲取所述安全策略服務(wù)器的地址。另一種可能的實(shí)現(xiàn)方式中，所述客戶端包括：發(fā)送單元，用于通過接入設(shè)備向RADIUS服務(wù)器發(fā)起認(rèn)證過程；接收單元，用于接收所述RADIUS服務(wù)器返回的認(rèn)證交互報(bào)文，所述認(rèn)證交互報(bào)文中包括所述RADIUS服務(wù)器根據(jù)所述接入設(shè)備的地址從管理服務(wù)器查詢獲得的安全策略服務(wù)器的地址；處理單元，用于從所述認(rèn)證交互報(bào)文中獲取所述安全策略服務(wù)器的地址。利用本申請(qǐng)?zhí)峁┑姆桨?，通過將安全策略服務(wù)器的地址存放在RADIUS服務(wù)器發(fā)往客戶端的認(rèn)證交互報(bào)文中，使得客戶端能夠簡(jiǎn)便靈活地從接收的認(rèn)證交互報(bào)文中獲取到安全策略服務(wù)器的地址附圖說明圖1為本申請(qǐng)?zhí)峁┑囊环N安全策略服務(wù)器的地址獲取方法應(yīng)用的系統(tǒng)架構(gòu)的示意圖；圖2為本申請(qǐng)?zhí)峁┑囊环N安全策略服務(wù)器的地址獲取方法的流程示意圖；圖3為本申請(qǐng)?zhí)峁┑囊环N使用PEAP協(xié)議的802.1x認(rèn)證過程中的報(bào)文交互示意圖；圖4A為本發(fā)明實(shí)施例提供的一種RADIUS服務(wù)器的結(jié)構(gòu)示意圖；圖4B為本發(fā)明實(shí)施例提供的另一種RADIUS服務(wù)器的結(jié)構(gòu)示意圖；圖5A為本發(fā)明實(shí)施例提供的一種客戶端的結(jié)構(gòu)示意圖；圖5B為本發(fā)明實(shí)施例提供的另一種客戶端的結(jié)構(gòu)示意圖；圖6A為本發(fā)明實(shí)施例提供的一種管理服務(wù)器的結(jié)構(gòu)示意圖；圖6B為本發(fā)明實(shí)施例提供的另一種管理服務(wù)器的結(jié)構(gòu)示意圖；圖7A為本發(fā)明實(shí)施例提供的一種安全策略服務(wù)器的結(jié)構(gòu)示意圖；圖7B為本發(fā)明實(shí)施例提供的另一種安全策略服務(wù)器的結(jié)構(gòu)示意圖。具體實(shí)施方式本申請(qǐng)?zhí)峁┝艘环N安全策略服務(wù)器的地址獲取方法和設(shè)備，通過將安全策略服務(wù)器的地址存放在RADIUS服務(wù)器發(fā)往客戶端的認(rèn)證交互報(bào)文的方式，使得客戶端能夠簡(jiǎn)便地從接收的認(rèn)證交互報(bào)文中獲取到安全策略服務(wù)器的地址。下面將結(jié)合本發(fā)明實(shí)施例中的附圖，對(duì)本發(fā)明實(shí)施例中的技術(shù)方案進(jìn)行清楚、完整地描述，顯然，所描述的實(shí)施例是本發(fā)明一部分實(shí)施例，而不是全部的實(shí)施例?；诒景l(fā)明中的實(shí)施例，本領(lǐng)域普通技術(shù)人員在沒有做出創(chuàng)造性勞動(dòng)前提下所獲得的所有其他實(shí)施例，都屬于本發(fā)明保護(hù)的范圍。本申請(qǐng)?zhí)峁┑陌踩呗苑?wù)器的地址獲取方法，可應(yīng)用于圖1所示的系統(tǒng)中，該系統(tǒng)包括客戶端、接入設(shè)備、RADIUS服務(wù)器、安全策略服務(wù)器和管理服務(wù)器，其中，客戶端，用于通過自身安裝的802.1X安全接入軟件發(fā)起802.1X認(rèn)證，以及連接安全策略服務(wù)器獲取或升級(jí)安全策略，根據(jù)獲取或升級(jí)后的安全策略對(duì)自身執(zhí)行安全檢查，并向連接的安全策略服務(wù)器上報(bào)執(zhí)行安全檢查后產(chǎn)生的違規(guī)信息；所述客戶端和所述接入設(shè)備之間來往的報(bào)文采用可擴(kuò)展認(rèn)證協(xié)議(ExtensibleAuthenticationProtocol，簡(jiǎn)稱：EAP)。接入設(shè)備，用于將客戶端發(fā)送的EAP報(bào)文封裝成RADIUS報(bào)文后轉(zhuǎn)發(fā)給RADIUS服務(wù)器；以及將RADIUS服務(wù)器返回的RADIUS報(bào)文解封裝，并將解封裝后得到的EAP報(bào)文轉(zhuǎn)發(fā)給客戶端。RADIUS服務(wù)器，用于對(duì)接入設(shè)備轉(zhuǎn)發(fā)的客戶端的認(rèn)證請(qǐng)求進(jìn)行認(rèn)證，以及在對(duì)客戶端認(rèn)證通過后從管理服務(wù)器上獲取負(fù)責(zé)管理所述接入設(shè)備的安全策略服務(wù)器的地址，并將獲取到的安全策略服務(wù)器的地址存放在認(rèn)證交互報(bào)文中發(fā)送給所述客戶端。安全策略服務(wù)器，存有安全策略，用于周期性地向管理服務(wù)器上報(bào)自身的負(fù)載情況，或在接收到管理服務(wù)器的狀態(tài)查詢請(qǐng)求時(shí)返回自身的負(fù)載情況；安全策略服務(wù)器有多個(gè)，一般采用分布式的方式部署。管理服務(wù)器，用于管理安全策略服務(wù)器，可以配置接入設(shè)備地址與安全策略服務(wù)器地址的映射關(guān)系，即來自哪個(gè)接入設(shè)備的客戶端被哪些安全策略服務(wù)器管理；在接收到RADIUS服務(wù)器發(fā)送的地址查詢請(qǐng)求時(shí)，返回與所述地址查詢請(qǐng)求包含的接入設(shè)備的地址相對(duì)應(yīng)的安全策略服務(wù)器的地址。此外，所述管理服務(wù)器還可以用于監(jiān)控所管理的各個(gè)安全策略服務(wù)器的負(fù)載情況。本申請(qǐng)中，管理服務(wù)器和RADIUS服務(wù)器可以合并部署，即上述管理服務(wù)器的功能可以由RADIUS服務(wù)器實(shí)現(xiàn)，或者，管理服務(wù)器和RADIUS服務(wù)器也可以分開部署。實(shí)際應(yīng)用中，考慮到RADIUS服務(wù)器是一個(gè)重要設(shè)備，為減少對(duì)RADIUS服務(wù)器的改動(dòng)，一般將管理服務(wù)器和RADIUS服務(wù)器分開部署。此外，由于RADIUS服務(wù)器可能有多個(gè)，安全策略服務(wù)器也可能有多個(gè)，將管理服務(wù)器和RADIUS服務(wù)器分開部署，由管理服務(wù)器統(tǒng)一管理安全策略服務(wù)器，這樣安全策略服務(wù)器可以只用向管理服務(wù)器上報(bào)自身的負(fù)載情況，RADIUS服務(wù)器也只用與管理服務(wù)器連接，減少了RADIUS服務(wù)器和安全策略服務(wù)器之間的連接。如圖2所示為本申請(qǐng)?zhí)峁┑囊环N安全策略服務(wù)器的地址獲取方法的流程示意圖，所述方法包括：步驟201：客戶端通過接入設(shè)備向RADIUS服務(wù)器發(fā)起認(rèn)證過程。步驟202：所述RADIUS服務(wù)器在對(duì)所述客戶端認(rèn)證通過之后，獲取所述接入設(shè)備的地址。接入設(shè)備將客戶端發(fā)送的EAP報(bào)文封裝在RADIUS報(bào)文中，上報(bào)給RAIDUS服務(wù)器，RAIUDS服務(wù)器可以從接收的RADIUS報(bào)文中獲得接入設(shè)備的IP地址。步驟203：所述RADIUS服務(wù)器向管理服務(wù)器發(fā)送地址查詢請(qǐng)求，所述地址查詢請(qǐng)求中包括所述接入設(shè)備的地址。其中，所述地址查詢請(qǐng)求可以通過私有協(xié)議實(shí)現(xiàn)，可以通過遠(yuǎn)程過程調(diào)用協(xié)議(RemoteProcedureCallProtocol，簡(jiǎn)稱：RPC)或自定義通信報(bào)文實(shí)現(xiàn)。步驟204：所述管理服務(wù)器接收所述地址查詢請(qǐng)求后，根據(jù)設(shè)置的接入設(shè)備地址與安全策略服務(wù)器地址的對(duì)應(yīng)關(guān)系，獲取與所述接入設(shè)備的地址對(duì)應(yīng)的安全策略服務(wù)器的地址。本申請(qǐng)中，所述接入設(shè)備地址與安全策略服務(wù)器地址的對(duì)應(yīng)關(guān)系，即來自哪個(gè)接入設(shè)備的客戶端被哪些安全策略服務(wù)器所管理，可以在所述管理服務(wù)器上進(jìn)行配置。一個(gè)接入設(shè)備可以對(duì)應(yīng)多個(gè)安全策略服務(wù)器，此時(shí)所述管理服務(wù)器可以根據(jù)接入設(shè)備和這多個(gè)安全策略服務(wù)器的網(wǎng)絡(luò)部署區(qū)域，配置這多個(gè)安全策略服務(wù)器的主備屬性。如，在兩個(gè)地區(qū)，比如區(qū)域A和區(qū)域B，分別有一個(gè)安全策略服務(wù)器，對(duì)于在區(qū)域A的接入設(shè)備，可以將區(qū)域A的安全策略服務(wù)器配置為該接入設(shè)備的主安全策略服務(wù)器，將區(qū)域B的安全策略服務(wù)器配置為該接入設(shè)備的備份安全策略服務(wù)器，后續(xù)可以優(yōu)先將屬性為主安全策略服務(wù)器的安全策略服務(wù)器的地址通知給該接入設(shè)備，使得該接入設(shè)備管轄下的同在區(qū)域A的客戶端可以優(yōu)先連接到處于同一網(wǎng)絡(luò)區(qū)域的安全策略服務(wù)器上，這樣可以加快客戶端從安全策略服務(wù)器下載數(shù)據(jù)和上傳數(shù)據(jù)至安全策略服務(wù)器的速度。如下表1所示，為本發(fā)明實(shí)施例提供的接入設(shè)備地址與安全策略服務(wù)器地址的對(duì)應(yīng)關(guān)系的一個(gè)示例，其中還包括主備關(guān)系。表1接入設(shè)備地址與安全策略服務(wù)器地址的對(duì)應(yīng)關(guān)系接入設(shè)備的地址安全策略服務(wù)器的地址主備關(guān)系1.1.1.110.10.10.10主1.1.1.111.11.11.11備1.1.1.122.22.22.22備2.2.2.210.10.10.10備2.2.2.211.11.11.11主本申請(qǐng)并不限制所述對(duì)應(yīng)關(guān)系的存儲(chǔ)位置，只要所述管理服務(wù)器可以獲取到即可，如所述對(duì)應(yīng)關(guān)系可以保存在所述管理服務(wù)器的內(nèi)存中，或者硬盤上，或者所述管理服務(wù)器的外接存儲(chǔ)設(shè)備上?？蛇x的，本申請(qǐng)中所述管理服務(wù)器可以周期性地向安全策略服務(wù)器查詢所述安全策略服務(wù)器的負(fù)載情況；或者，所述管理服務(wù)器也可以接收所述安全策略服務(wù)器周期性發(fā)送的所述安全策略服務(wù)器的負(fù)載情況。其中，所謂負(fù)載情況，即所述安全策略服務(wù)器當(dāng)前連接的客戶端的數(shù)目與所述安全策略服務(wù)器支持連接的客戶端的最大數(shù)目的比值。安全策略服務(wù)器的負(fù)載情況影響客戶端從該安全策略服務(wù)器獲取安全策略的速度，以及影響客戶端向安全策略服務(wù)器上傳執(zhí)行安全策略后產(chǎn)生的違規(guī)信息的實(shí)時(shí)性?？蛇x的，所述管理服務(wù)器還可以記錄最近一次獲取到所述安全策略服務(wù)器的負(fù)載情況的時(shí)間，如果最近一次獲取到某個(gè)安全策略服務(wù)器的時(shí)間與當(dāng)前時(shí)間的差值超過了設(shè)定時(shí)長(zhǎng)，則表明該安全策略服務(wù)器的實(shí)際地址已發(fā)生變化，可以對(duì)該安全策略服務(wù)器進(jìn)行標(biāo)記，如標(biāo)記為“離線”狀態(tài)，以提醒管理人員該安全策略服務(wù)器的地址發(fā)生變化，需要排查該安全策略服務(wù)器是否出現(xiàn)故障。此外，還要同步調(diào)整上述表1所示的接入設(shè)備地址與安全策略服務(wù)器地址的對(duì)應(yīng)關(guān)系。如下表2所示，為本發(fā)明實(shí)施例提供的管理服務(wù)器記錄的安全策略服務(wù)器的狀態(tài)信息的示例，其中包括安全策略服務(wù)器的地址，例如IP地址，最近獲取時(shí)間，以及負(fù)載情況。表2安全策略服務(wù)器的狀態(tài)信息示例安全策略服務(wù)器的地址最近獲取時(shí)間負(fù)載情況10.10.10.102015-1-110:10:0010％11.11.11.11離線離線22.22.22.222015-1-110:10:0030％可選的，所述管理服務(wù)器在獲取與所述接入設(shè)備的地址對(duì)應(yīng)的安全策略服務(wù)器的地址時(shí)，首先獲取所有與所述接入設(shè)備的地址對(duì)應(yīng)的安全策略服務(wù)器的地址，也即不考慮主備關(guān)系。例如，在表1中獲取負(fù)責(zé)管理IP地址為1.1.1.1的接入設(shè)備的安全策略服務(wù)器的地址，可以得到三個(gè)IP地址：10.10.10.10、11.11.11.11和22.22.22.22。然后，從所述多個(gè)安全策略服務(wù)器的地址中篩選出負(fù)載情況較輕的N個(gè)安全策略服務(wù)器的地址。例如，若N設(shè)置為2，則根據(jù)表2可以進(jìn)一步獲得負(fù)責(zé)管理IP地址為1.1.1.1的接入設(shè)備的安全策略服務(wù)器的地址為10.10.10.10和22.22.22.22。可選的，所述管理服務(wù)器還可以從所述多個(gè)安全策略服務(wù)器的地址中先篩選出主備屬性為主的安全策略服務(wù)器的地址，然后再篩選出負(fù)載較輕的N個(gè)安全策略服務(wù)器的地址?；蛘撸龉芾矸?wù)器也可以從所述多個(gè)安全策略服務(wù)器的地址中先篩選出負(fù)載較輕的M個(gè)安全策略服務(wù)器的地址，再從篩選得到的M個(gè)安全策略服務(wù)器的地址中再篩選出N個(gè)主備屬性為主屬性的安全策略服務(wù)器的地址。其中M和N均為大于等于1的正整數(shù)。步驟205：所述管理服務(wù)器向所述RADIUS服務(wù)器返回地址查詢響應(yīng)，所述地址查詢響應(yīng)中包括與所述接入設(shè)備的地址對(duì)應(yīng)的所述安全策略服務(wù)器的地址。步驟206：所述RADIUS服務(wù)器接收所述管理服務(wù)器返回的所述地址查詢響應(yīng)后，向所述客戶端發(fā)送認(rèn)證交互報(bào)文，所述認(rèn)證交互報(bào)文中包括所述RADIUS服務(wù)器根據(jù)所述接入設(shè)備的地址從管理服務(wù)器查詢獲得的所述安全策略服務(wù)器的地址。步驟207：所述客戶端接收所述接入設(shè)備轉(zhuǎn)發(fā)的來自所述RADIUS服務(wù)器的認(rèn)證交互報(bào)文之后，從接收的所述認(rèn)證交互報(bào)文中獲取安全策略服務(wù)器的地址。所述安全策略服務(wù)器的地址可以是安全策略服務(wù)器的IP地址，也可以是安全策略服務(wù)器的域名，在后者這種情況下，客戶端本地一般還部署有一臺(tái)DNS服務(wù)器，用以維護(hù)安全策略服務(wù)器的域名與IP地址的對(duì)應(yīng)關(guān)系，客戶端從認(rèn)證交互報(bào)文中解析得到安全策略服務(wù)器的域名后，再從本地的DNS服務(wù)器查找對(duì)應(yīng)的安全策略服務(wù)器的IP地址?？蛇x的，所述認(rèn)證交互報(bào)文可以是標(biāo)準(zhǔn)定義的EAP-TLV請(qǐng)求(Request)報(bào)文，也可以是自定義的EAP擴(kuò)展報(bào)文。本申請(qǐng)以EAP-TLVRequest報(bào)文為例說明如何通過認(rèn)證交互報(bào)文傳遞安全策略服務(wù)器的地址。所述EAP-TLVRequest報(bào)文為受保護(hù)的可擴(kuò)展認(rèn)證協(xié)議(ProtectedEAP，簡(jiǎn)稱：PEAP)中的一種報(bào)文，EAP-TLV是PEAP中一種攜帶標(biāo)準(zhǔn)的類型長(zhǎng)度值(Type-Length-Value，簡(jiǎn)稱TLV)對(duì)象的方法，用于在EAP服務(wù)器和EAP客戶端之間傳輸參數(shù)，包括通知加密信息，語言和字符設(shè)置，以及廠商自定義數(shù)據(jù)等，本申請(qǐng)正是通過EAP-TLV中的類型為廠商自定義TLV來傳遞安全策略服務(wù)器的地址。在802.1x認(rèn)證過程中，客戶端、接入設(shè)備和RADIUS服務(wù)器之間是通過不同的通信協(xié)議進(jìn)行交互的，其中接入設(shè)備和RADIUS服務(wù)器之間通過RADIUS報(bào)文實(shí)現(xiàn)交互，接入設(shè)備和客戶端之間通過EAP報(bào)文實(shí)現(xiàn)交互。例如，客戶端向接入設(shè)備發(fā)送EAP身份響應(yīng)(EAP-Response/Identify)報(bào)文；相 應(yīng)地，接入設(shè)備向RADIUS服務(wù)器發(fā)送RADIUS訪問請(qǐng)求報(bào)文(RADIUSAccess-Request)，里面封裝了上面的EAP身份響應(yīng)報(bào)文。EAP報(bào)文的格式定義如下表3所示：表3EAP報(bào)文格式其中，所述EAP報(bào)文包含的各字段的含義如下：Code為一個(gè)字節(jié)，指明EAP報(bào)文的類型，共有4種，域值定義如下：1——請(qǐng)求報(bào)文，即EAP-Request；2——響應(yīng)報(bào)文，即EAP-Response；3——認(rèn)證成功，即EAP-Success；4——認(rèn)證失敗，即EAP-Failure。Identifier為一個(gè)字節(jié)，用于應(yīng)答報(bào)文和請(qǐng)求報(bào)文之間進(jìn)行匹配。Length為兩個(gè)字節(jié)，指示EAP報(bào)文的長(zhǎng)度，即Code、Identifier、Length、Type和Data域的總長(zhǎng)度。Type為一個(gè)字節(jié)，用于指示Data的格式。Data為零個(gè)或多個(gè)字節(jié)，是EAP報(bào)文的內(nèi)容，Data具體由Code和Type的類型決定。本申請(qǐng)中，可以采用Code＝1，Type＝33的EAP-TLVRequest報(bào)文作為上述認(rèn)證交互報(bào)文，則Data字段具備TLV屬性。當(dāng)然，也可以協(xié)商一種自定義的EAP擴(kuò)展報(bào)文，如采用Code＝1，Type＝88(此處僅為舉例，也可以約定與標(biāo)準(zhǔn)中已規(guī)定的Type域值不沖突的任何值)的EAP請(qǐng)求報(bào)文作為上述認(rèn)證交互報(bào)文，在該EAP請(qǐng)求報(bào)文的Data字段內(nèi)存儲(chǔ)安全策略服務(wù)器的地址。如下表4所示為本申請(qǐng)采用的EAP-TLVRequest報(bào)文中的Data字段的信息元素結(jié)構(gòu)。表4Data字段的信息元素結(jié)構(gòu)其中，Data字段包含的各字段的含義如下：M，1個(gè)比特位，0表示非強(qiáng)制即此報(bào)文非必須存在，1表示強(qiáng)制。R，1個(gè)比特位，為預(yù)留字段。TLVType，14個(gè)比特位，指明Data的類型，目前共有21種。上述表4所示Data字段的結(jié)構(gòu)，為本發(fā)明采用TLVType為7，即廠家自定義TLV(Vendor-SpecificTLV)時(shí)的結(jié)構(gòu)。Length，兩個(gè)字節(jié)，表征數(shù)據(jù)的長(zhǎng)度，包含Length、Vendor-Id和VendorTLVs域的長(zhǎng)度。Vendor-Id，表示廠家ID。VendorTLVs，用于攜帶自定義信息。VendorTLVs中的TLV結(jié)構(gòu)如下表5所示。表5VendorTLVs的信息元素結(jié)構(gòu)其中，M，1個(gè)比特位，0表示非強(qiáng)制，1表示強(qiáng)制。R，1個(gè)比特位，保留字段。TLVType，14個(gè)比特位，為自定義的標(biāo)識(shí)，例如，可取TLVType＝0x80來標(biāo)識(shí)VendorTLVs中存放的是安全策略服務(wù)器的IP地址。Length，兩個(gè)字節(jié)，表征數(shù)據(jù)的長(zhǎng)度，包含Value和Length域的長(zhǎng)度。Value，用于填入安全策略服務(wù)器的地址，每個(gè)地址用分號(hào)分隔；如10.10.10.10；10.10.10.11。下面以一個(gè)具體的應(yīng)用場(chǎng)景為例，介紹如何在802.1X的認(rèn)證流程中通過所述EAP-TLVRequest報(bào)文發(fā)送安全策略服務(wù)器的地址。圖3所示為一種使用PEAP-消息摘要算法第五版(MessageDigestAlgorithm，簡(jiǎn)稱：MD5)的802.1x認(rèn)證過程中的報(bào)文交互過程，從客戶端發(fā)起802.1X認(rèn)證接入，到客戶端通過認(rèn)證主要經(jīng)歷以下過程：(1)、客戶端向接入設(shè)備發(fā)送一個(gè)基于局域網(wǎng)的擴(kuò)展認(rèn)證協(xié)議(EAPoverLAN，簡(jiǎn)稱EAPOL)-Start報(bào)文，開始802.1X認(rèn)證接入。(2)、接入設(shè)備向客戶端發(fā)送EAP身份請(qǐng)求(EAP-Request/Identify)報(bào)文，要求客戶端提供用戶名。本申請(qǐng)中，所涉及報(bào)文中的“/”用于區(qū)分同層協(xié)議中的不同字段。在表3所示的EAP報(bào)文格式中，當(dāng)Code＝1，Type＝1時(shí)，此時(shí)的EAP報(bào)文便是EAP-Request/Identify報(bào)文。(3)、客戶端回應(yīng)一個(gè)EAP-Response/Identify報(bào)文給接入設(shè)備，其中報(bào)文中的Identify中存放了客戶端的用戶名。(4)、接入設(shè)備將EAP-Response/Identify報(bào)文封裝到RADIUSAccess-Request報(bào)文中，發(fā)送給RADIUS服務(wù)器。(5)、RADIUS服務(wù)器開始PEAP認(rèn)證，將EAP-Request/PEAP-Start報(bào)文封裝在RADIUS訪問挑戰(zhàn)(RADIUS-Access-Challenge)報(bào)文中發(fā)送給接入設(shè)備。(6)、接入設(shè)備將RADIUS-Access-Challenge報(bào)文中內(nèi)層的EAP-Request/PEAP-Start報(bào)文轉(zhuǎn)發(fā)給客戶端。(7)、建立安全傳輸層協(xié)議(TransportLayerSecurity，簡(jiǎn)稱：TLS)隧道。TLS隧道的建立過程也是第一階段認(rèn)證的過程，其中客戶端和RADIUS服務(wù)器之間來往的報(bào)文在此不作詳述。(8)、客戶端發(fā)送EAP-Response(Empty)報(bào)文給接入設(shè)備，通過一個(gè)空響應(yīng)報(bào)文進(jìn)行第二階段認(rèn)證。(9)、接入設(shè)備將EAP-Response(Empty)報(bào)文封裝到RADIUSAccess-Request報(bào)文中，發(fā)送給RADIUS服務(wù)器。(10)、RADIUS服務(wù)器產(chǎn)生一個(gè)挑戰(zhàn)字(Challenge)，基于產(chǎn)生的Challenge得到一個(gè)EAP-Request/MD5–Challenge報(bào)文，并封裝成RADIUSAccess-Challenge報(bào)文發(fā)送給接入設(shè)備。(11)、接入設(shè)備將RADIUSAccess-Challenge報(bào)文內(nèi)層的EAP-Request/MD5-Challenge報(bào)文發(fā)送給客戶端，以便客戶端進(jìn)行認(rèn)證。(12)、客戶端收到EAP-Request/MD5-Challenge報(bào)文后，將自身擁有的密碼和報(bào)文中包括的Challenge做MD5算法得到認(rèn)證用的密碼(Password)，并通過EAP-Response/MD5-Password報(bào)文將得到的Password回應(yīng)給接入設(shè)備。(13)、接入設(shè)備將EAP-Response/MD5-Password報(bào)文封裝到RADIUSAccess-Request報(bào)文中，發(fā)送給RADIUS服務(wù)器，由RADIUS服務(wù)器進(jìn)行認(rèn)證。(14)、RADIUS服務(wù)器用密碼和(10)中產(chǎn)生的Challenge做MD5算法，若得到的值和接收到的報(bào)文中包含的Password一致則確定用戶合法，在回應(yīng)認(rèn)證成功報(bào)文到接入設(shè)備之前，獲取負(fù)責(zé)管理所述接入設(shè)備的安全策略服務(wù)器的地址，把獲得的地址寫入EAP-Request/EAP-TLV/AddressNotice報(bào)文中，封裝成RADIUSAccess-Challenge報(bào)文發(fā)送給接入設(shè)備。其中，這里的EAP-Request/EAP-TLV/AddressNotice報(bào)文即是上文所說的用于下發(fā)安全策略服務(wù)器地址的EAP-TLVRequest報(bào)文，表示將下發(fā)安全策略服務(wù)器地址的報(bào)文(AddressNotice)封裝在請(qǐng)求(Request)報(bào)文的TLV擴(kuò)展 (EAP-TLV)屬性中。需要說明的是，此處的AddressNotice在實(shí)際應(yīng)用中也可以采用其他命名。(15)、接入設(shè)備將RADIUSAccess-Challenge報(bào)文內(nèi)層的EAP-Request/EAP-TLV/AddressNotice報(bào)文發(fā)送給客戶端，以便客戶端解析出AddressNotice報(bào)文并從中得到安全策略服務(wù)器的地址。(16)、客戶端收到EAP-Request/EAP-TLV/AddressNotice報(bào)文后，返回EAP-Response(Empty)報(bào)文給接入設(shè)備，以通知RADIUS服務(wù)器已收到安全策略服務(wù)器的IP地址。(17)、接入設(shè)備將EAP-Response(Empty)報(bào)文封裝到RADIUSAccess-Challenge報(bào)文中發(fā)送給RADIUS服務(wù)器。(18)、RADIUS服務(wù)器通過接入設(shè)備回應(yīng)RADIUSAccess-Accept報(bào)文給接入設(shè)備，以通知接入設(shè)備所述RADIUS服務(wù)器已準(zhǔn)許客戶端接入。(19)、接入設(shè)備發(fā)送EAP-Success報(bào)文給客戶端，客戶端繼續(xù)后續(xù)流程，如通過接入設(shè)備獲取客戶端規(guī)劃的IP地址，通過(15)中解析得到的安全策略服務(wù)器的地址連接到安全策略服務(wù)器，進(jìn)行安全策略的更新和違規(guī)數(shù)據(jù)上報(bào)等操作。本申請(qǐng)也可以采用EAP-安全傳輸層協(xié)議(TransportLevelSecurity，簡(jiǎn)稱：TLS)進(jìn)行認(rèn)證，由于EAP-TLS協(xié)議中不具備帶有廠商自定義TLV屬性的報(bào)文，因此在客戶端和RADIUS服務(wù)器支持PEAP協(xié)議的前提下，可以在采用EAP-TLS協(xié)議進(jìn)行802.1X認(rèn)證的過程中，借用PEAP協(xié)議中的EAP-TLVRequest報(bào)文來下發(fā)安全策略服務(wù)器的地址。具體的，RADIUS服務(wù)器可以對(duì)寫有安全策略服務(wù)器地址的EAP-TLVRequest報(bào)文做進(jìn)一步封裝，如，將EAP-TLVRequest報(bào)文封裝到EAP-Request/EAP-TLS報(bào)文中，然后再將EAP-Request/EAP-TLS報(bào)文封裝到RADIUSAccess-Challenge報(bào)文中，發(fā)送給接入設(shè)備。其中，在表3所示的EAP報(bào)文格式中，當(dāng)Code＝1，Type＝13時(shí)，此時(shí)的EAP報(bào)文便是EAP-Request/EAP-TLS報(bào)文。可選的，如果所述客戶端從接收的認(rèn)證交互報(bào)文中得到了多個(gè)安全策略服務(wù)器的地址，則可以通過得到的多個(gè)安全策略服務(wù)器的地址分別連接對(duì)應(yīng)的安全策略服務(wù)器，然后從中選擇一個(gè)連接速度最快的安全策略服務(wù)器的地址，并通過所述連接速度最快的安全策略服務(wù)器的地址從對(duì)應(yīng)的安全策略服務(wù)器上獲取安全策略，以及向該安全策略服務(wù)器上報(bào)執(zhí)行安全檢查后產(chǎn)生的違規(guī)信息?？蛇x的，所述客戶端在通過獲取的安全策略服務(wù)器的地址連接到對(duì)應(yīng)的安全策略服務(wù)器之后，可以與所述安全策略服務(wù)器建立TCP長(zhǎng)連接，所述TCP長(zhǎng)連接可以用于指示所述安全策略服務(wù)器的地址是否發(fā)生變化。如果所述安全策略服務(wù)器的地址未發(fā)生變化，所述安全策略服務(wù)器則一直保持與其負(fù)責(zé)管理的客戶端之間的TCP長(zhǎng)連接，而一旦所述安全策略服務(wù)器的地址發(fā)生變化，所述安全策略服務(wù)器則斷開與各個(gè)客戶端之間的TCP長(zhǎng)連接。在客戶端側(cè)，如果客戶端與安全策略服務(wù)器之間的TCP連接斷開，則所述客戶端可以先退出已認(rèn)證態(tài)，即客戶端先“下線”，然后通過接入設(shè)備重新向所述RADIUS服務(wù)器發(fā)起認(rèn)證過程，以重新獲取安全策略服務(wù)器的地址。這樣，即使安全策略服務(wù)器的地址發(fā)生了變化，客戶端也可以重新獲得正確的安全策略服務(wù)器的地址，連接上安全策略服務(wù)器?？蛇x的，所述客戶端在確定無法通過從所述認(rèn)證交互報(bào)文中獲取的安全策略服務(wù)器的地址連接到安全策略服務(wù)器時(shí)，可以選擇退出已認(rèn)證態(tài)，然后通過接入設(shè)備重新向所述RADIUS服務(wù)器發(fā)起認(rèn)證過程，以重新獲取安全策略服務(wù)器的地址。以上兩種方式均可以令客戶端在安全策略服務(wù)器的地址發(fā)生變化的情況下重新獲得正確的安全策略服務(wù)器的地址?；诒旧暾?qǐng)上述提供的安全策略服務(wù)器的地址獲取方法，本申請(qǐng)?zhí)峁┮环NRADIUS服務(wù)器400，用于實(shí)現(xiàn)上述安全策略服務(wù)器的地址獲取方法中RADIUS服務(wù)器的功能，如圖4A所示，RADIUS服務(wù)器400包括處理器401， 發(fā)送器402和接收器403，其中，所述處理器401，所述發(fā)送器402和所述接收器403之間通過總線404相互連接。所述接收器403，用于接收接入設(shè)備轉(zhuǎn)發(fā)的客戶端的認(rèn)證請(qǐng)求。所述處理器401，用于在對(duì)所述客戶端認(rèn)證通過后，獲取所述接入設(shè)備的地址。所述發(fā)送器402，用于向管理服務(wù)器發(fā)送地址查詢請(qǐng)求，所述地址查詢請(qǐng)求中包括所述接入設(shè)備的地址。所述接收器403還用于，接收所述管理服務(wù)器響應(yīng)所述地址查詢請(qǐng)求返回的地址查詢響應(yīng)，所述地址查詢響應(yīng)中包括與所述接入設(shè)備的地址對(duì)應(yīng)的安全策略服務(wù)器的地址。所述發(fā)送器402還用于，向所述客戶端發(fā)送認(rèn)證交互報(bào)文，所述認(rèn)證交互報(bào)文中包括所述安全策略服務(wù)器的地址，以使所述客戶端從所述認(rèn)證交互報(bào)文中獲取所述安全策略服務(wù)器的地址。所述RADIUS服務(wù)器400還包括若干通信接口分別連接所述管理服務(wù)器和所述接入設(shè)備?？蛇x的，所述認(rèn)證交互報(bào)文可以是EAP-TLVRequest報(bào)文，則所述RADIUS服務(wù)器、管理服務(wù)器、接入設(shè)備和客戶端之間通過EAP-TLVRequest報(bào)文獲取安全策略服務(wù)器的地址的過程可以參考圖3所示的交互過程。所述處理器401可以是通用處理器，包括中央處理器(CentralProcessingUnit，簡(jiǎn)稱：CPU)、網(wǎng)絡(luò)處理器(NetworkProcessor，簡(jiǎn)稱：NP)等；還可以是數(shù)字信號(hào)處理器(DigitalSignalProcessing，簡(jiǎn)稱：DSP)、專用集成電路(ApplicationSpecificIntegratedCircuit，簡(jiǎn)稱：ASIC)、現(xiàn)場(chǎng)可編程門陣列(Field－ProgrammableGateArray，簡(jiǎn)稱：FPGA)或者其他可編程邏輯器件等。所述處理器401為CPU時(shí)，所述RADIUS服務(wù)器400還可以包括：存儲(chǔ)器，用于存儲(chǔ)程序。具體地，程序可以包括程序代碼，所述程序代碼包括計(jì)算 機(jī)操作指令。存儲(chǔ)器可能包含隨機(jī)存取存儲(chǔ)器(randomaccessmemory，簡(jiǎn)稱：RAM)，也可能還包括非易失性存儲(chǔ)器(non-volatilememory)，例如至少一個(gè)磁盤存儲(chǔ)器。所述處理器401執(zhí)行所述存儲(chǔ)器中存儲(chǔ)的程序代碼，實(shí)現(xiàn)上述功能。本發(fā)明實(shí)施例還提供一種RADIUS服務(wù)器4000，用于實(shí)現(xiàn)上述安全策略服務(wù)器的地址獲取方法中RADIUS服務(wù)器的功能。如圖4B所示，所述RADIUS服務(wù)器4000包括處理單元4001、發(fā)送單元4002和接收單元4003；其中所述接收單元4003，用于接收接入設(shè)備轉(zhuǎn)發(fā)的客戶端的認(rèn)證請(qǐng)求。所述處理單元4001，用于在對(duì)所述客戶端認(rèn)證通過后，獲取所述接入設(shè)備的地址。所述發(fā)送單元4002，用于向管理服務(wù)器發(fā)送地址查詢請(qǐng)求，所述地址查詢請(qǐng)求中包括所述接入設(shè)備的地址。所述接收單元4003還用于，接收所述管理服務(wù)器響應(yīng)所述地址查詢請(qǐng)求返回的地址查詢響應(yīng)，所述地址查詢響應(yīng)中包括與所述接入設(shè)備的地址對(duì)應(yīng)的安全策略服務(wù)器的地址。所述發(fā)送單元4002還用于，向所述客戶端發(fā)送認(rèn)證交互報(bào)文，所述認(rèn)證交互報(bào)文中包括所述安全策略服務(wù)器的地址，以使所述客戶端從所述認(rèn)證交互報(bào)文中獲取所述安全策略服務(wù)器的地址。可選的，所述認(rèn)證交互報(bào)文可以是EAP-TLVRequest報(bào)文，則所述RADIUS服務(wù)器與接入設(shè)備、管理服務(wù)器和客戶端之間的交互過程可以參考圖3所示。本實(shí)施例中未盡之細(xì)節(jié)可參考上述圖2所示地址獲取方法中RADIUS服務(wù)器側(cè)的描述，在此不再贅述?；诒旧暾?qǐng)上述提供的安全策略服務(wù)器的地址獲取方法，本申請(qǐng)?zhí)峁┮环N客戶端500，用于實(shí)現(xiàn)上述安全策略服務(wù)器的地址獲取方法中客戶端的功能，如圖5A所示，客戶端500包括發(fā)送器501，處理器502和接收器503，其中， 所述發(fā)送器501，所述處理器502和所述接收器503之間通過總線504相互連接。所述發(fā)送器501，用于通過接入設(shè)備向RADIUS服務(wù)器發(fā)起認(rèn)證過程。所述接收器503，用于接收所述RADIUS服務(wù)器返回的認(rèn)證交互報(bào)文，所述認(rèn)證交互報(bào)文中包括所述RADIUS服務(wù)器根據(jù)所述接入設(shè)備的地址從管理服務(wù)器查詢獲得的安全策略服務(wù)器的地址。所述處理器502，用于從所述認(rèn)證交互報(bào)文中獲取安全策略服務(wù)器的地址。所述客戶端500還包括若干通信接口連接所述接入設(shè)備?？蛇x的，所述認(rèn)證交互報(bào)文可以是EAP-TLVRequest報(bào)文，則所述客戶端與接入設(shè)備和RADIUS服務(wù)器之間的交互過程可以參考圖3所示?？蛇x的，在所述處理器502從所述認(rèn)證交互報(bào)文中獲取安全策略服務(wù)器的地址之后，所述處理器502還可以用于：通過獲取的所述安全策略服務(wù)器的地址，控制所述發(fā)送器501和所述接收器502與所述安全策略服務(wù)器建立TCP長(zhǎng)連接，所述TCP長(zhǎng)連接用于指示所述安全策略服務(wù)器的地址是否發(fā)生變化；如果所述TCP長(zhǎng)連接斷開，則所述處理器502退出已認(rèn)證態(tài)，并控制所述發(fā)送器501通過所述接入設(shè)備重新向所述RADIUS服務(wù)器發(fā)起認(rèn)證過程，以重新獲取安全策略服務(wù)器的地址。可選的，在所述處理器502從所述認(rèn)證交互報(bào)文中獲取安全策略服務(wù)器的地址之后，所述處理器502還可以用于：如果所述處理器502無法通過獲取的所述安全策略服務(wù)器的地址控制所述發(fā)送器501和所述接收器503與所述安全策略服務(wù)器建立連接，則所述處理器502退出已認(rèn)證態(tài)，并控制所述發(fā)送器501通過所述接入設(shè)備重新向所述RADIUS服務(wù)器發(fā)起認(rèn)證過程，以重新獲取安全策略服務(wù)器的地址。所述處理器502可以是通用處理器，包括中央處理器、網(wǎng)絡(luò)處理器等；還可以是數(shù)字信號(hào)處理器、專用集成電路、現(xiàn)場(chǎng)可編程門陣列或者其他可編程邏輯器件等。所述處理器502為CPU時(shí)，所述客戶端500還可以包括：存儲(chǔ)器，用于存儲(chǔ)程序。具體地，程序可以包括程序代碼，所述程序代碼包括計(jì)算機(jī)操作指令。存儲(chǔ)器可能包含隨機(jī)存取存儲(chǔ)器，也可能還包括非易失性存儲(chǔ)器，例如至少一個(gè)磁盤存儲(chǔ)器。所述處理器502執(zhí)行所述存儲(chǔ)器中存儲(chǔ)的程序代碼，實(shí)現(xiàn)上述功能。本發(fā)明實(shí)施例還提供一種客戶端5000，用于實(shí)現(xiàn)上述安全策略服務(wù)器的地址獲取方法中客戶端的功能。如圖5B所示，所述客戶端5000包括發(fā)送單元5001，處理單元5002和接收單元5003；其中所述發(fā)送單元5001，用于通過接入設(shè)備向RADIUS服務(wù)器發(fā)送認(rèn)證請(qǐng)求。所述接收單元5003，用于接收所述RADIUS服務(wù)器返回的認(rèn)證交互報(bào)文，所述認(rèn)證交互報(bào)文中包括所述RADIUS服務(wù)器根據(jù)所述接入設(shè)備的地址從管理服務(wù)器查詢獲得的安全策略服務(wù)器的地址。所述處理單元5002，用于從所述認(rèn)證交互報(bào)文中獲取安全策略服務(wù)器的地址。需要說明的是，發(fā)送單元5001還可以執(zhí)行圖5A中所示的發(fā)送器501所執(zhí)行的其他操作，處理單元5002還可以執(zhí)行圖5A中所示的處理器502所執(zhí)行的其他操作，接收單元5003還可以執(zhí)行圖5A中所示的接收器503所執(zhí)行的其他操作。為了簡(jiǎn)潔，在此不再贅述。本實(shí)施例中未盡之細(xì)節(jié)可參考上述圖2所示地址獲取方法中客戶端側(cè)的描述，在此不再贅述?；诒旧暾?qǐng)上述提供的安全策略服務(wù)器的地址獲取方法，本申請(qǐng)?zhí)峁┮环N管理服務(wù)器600，用于實(shí)現(xiàn)上述安全策略服務(wù)器的地址獲取方法中管理服務(wù)器的功能，如圖6A所示，管理服務(wù)器600包括發(fā)送器601，處理器602和接收器603，其中，所述發(fā)送器601，所述處理器602和所述接收器603之間通過總線604相互連接。所述接收器603用于，接收RADIUS服務(wù)器發(fā)送的地址查詢請(qǐng)求，所述地址查詢請(qǐng)求中包括接入設(shè)備的地址。所述處理器602用于，根據(jù)設(shè)置的接入設(shè)備地址與安全策略服務(wù)器地址的對(duì)應(yīng)關(guān)系，獲取與所述地址查詢請(qǐng)求中包括的接入設(shè)備的地址對(duì)應(yīng)的安全策略服務(wù)器的地址。所述發(fā)送器601用于，向所述RADIUS服務(wù)器返回地址查詢響應(yīng)，所述地址查詢響應(yīng)中包括所述安全策略服務(wù)器的地址?？蛇x的，所述發(fā)送器601還用于，周期性地向安全策略服務(wù)器查詢所述安全策略服務(wù)器的負(fù)載情況。可選的，所述接收器603還用于，接收安全策略服務(wù)器周期性發(fā)送的所述安全策略服務(wù)器的負(fù)載情況。所述管理服務(wù)器600還包括若干通信接口分別連接所述接入設(shè)備和所述安全策略服務(wù)器。相應(yīng)的，所述處理器602在獲取與所述接入設(shè)備的地址對(duì)應(yīng)的安全策略服務(wù)器的地址時(shí)，可以獲取多個(gè)安全策略服務(wù)器的地址，然后，從所述多個(gè)安全策略服務(wù)器的地址中篩選出負(fù)載情況較輕的N個(gè)安全策略服務(wù)器的地址。或者，所述處理器602在獲取與所述接入設(shè)備的地址對(duì)應(yīng)的安全策略服務(wù)器的地址時(shí)，也可以先從所述多個(gè)安全策略服務(wù)器的地址中先篩選出主備屬性為主屬性的安全策略服務(wù)器的地址，然后從篩選得到的多個(gè)安全策略服務(wù)器的地址中再篩選出負(fù)載情況較輕的N個(gè)安全策略服務(wù)器的地址。所述處理器602可以是通用處理器，包括中央處理器、網(wǎng)絡(luò)處理器等；還可以是數(shù)字信號(hào)處理器、專用集成電路、現(xiàn)場(chǎng)可編程門陣列或者其他可編程邏輯器件等。所述處理器602為CPU時(shí)，所述管理服務(wù)器600還可以包括：存儲(chǔ)器，用于存儲(chǔ)程序。具體地，程序可以包括程序代碼，所述程序代碼包括計(jì)算機(jī)操作指令。存儲(chǔ)器可能包含隨機(jī)存取存儲(chǔ)器，也可能還包括非易失性存儲(chǔ)器，例 如至少一個(gè)磁盤存儲(chǔ)器。所述處理器602執(zhí)行所述存儲(chǔ)器中存儲(chǔ)的程序代碼，實(shí)現(xiàn)上述功能。本發(fā)明實(shí)施例還提供一種管理服務(wù)器6000，用于實(shí)現(xiàn)上述安全策略服務(wù)器的地址獲取方法中管理服務(wù)器的功能。如圖6B所示，所述管理服務(wù)器6000包括發(fā)送單元6001、處理單元6002和接收單元6003；其中所述接收單元6003用于，接收RADIUS服務(wù)器發(fā)送的地址查詢請(qǐng)求，所述地址查詢請(qǐng)求中包括接入設(shè)備的地址。所述處理單元6002用于，根據(jù)設(shè)置的接入設(shè)備地址與安全策略服務(wù)器地址的對(duì)應(yīng)關(guān)系，獲取與所述地址查詢請(qǐng)求中包括的接入設(shè)備的地址對(duì)應(yīng)的安全策略服務(wù)器的地址。所述發(fā)送單元6001還用于，向所述RADIUS服務(wù)器返回地址查詢響應(yīng)，所述地址查詢響應(yīng)中包括所述安全策略服務(wù)器的地址。需要說明的是，發(fā)送單元6001還可以執(zhí)行圖6A中所示的發(fā)送器601所執(zhí)行的其他操作，處理單元6002還可以執(zhí)行圖6A中所示的處理器602所執(zhí)行的其他操作，接收單元6003還可以執(zhí)行圖6A中所示的接收器603所執(zhí)行的其他操作。為了簡(jiǎn)潔，在此不再贅述。本實(shí)施例中未盡之細(xì)節(jié)可參考上述圖2所示地址獲取方法中管理服務(wù)器側(cè)的描述，在此不再贅述?；诒旧暾?qǐng)上述提供的安全策略服務(wù)器的地址獲取方法，本申請(qǐng)?zhí)峁┮环N安全策略服務(wù)器700，用于實(shí)現(xiàn)上述安全策略服務(wù)器的地址獲取方法中安全策略服務(wù)器的功能，如圖7A所示，安全策略服務(wù)器700包括處理器701，發(fā)送器702和接收器703，其中，所述處理器701，所述發(fā)送器702和所述接收器703之間通過總線704相互連接。所述處理器701，用于周期性地獲取所述安全策略服務(wù)器700的負(fù)載情況；或者在所述接收器703接收到管理服務(wù)器發(fā)送的狀態(tài)查詢請(qǐng)求時(shí)，獲取所述安全策略服務(wù)器700的負(fù)載情況。所述發(fā)送器702，用于將獲取的所述負(fù)載情況發(fā)送給所述管理服務(wù)器。所述安全策略服務(wù)器700還包括若干通信接口連接所述管理服務(wù)器。可選的，所述處理器701還用于，控制所述發(fā)送器702和所述接收器703保持與所述安全策略服務(wù)器700負(fù)責(zé)管理的客戶端之間的TCP長(zhǎng)連接，如果所述安全策略服務(wù)器700的地址發(fā)生變化，則斷開所述TCP長(zhǎng)連接。所述處理器701可以是通用處理器，包括中央處理器、網(wǎng)絡(luò)處理器等；還可以是數(shù)字信號(hào)處理器、專用集成電路、現(xiàn)場(chǎng)可編程門陣列或者其他可編程邏輯器件等。所述處理器701為CPU時(shí)，所述安全策略服務(wù)器700還可以包括：存儲(chǔ)器，用于存儲(chǔ)程序。具體地，程序可以包括程序代碼，所述程序代碼包括計(jì)算機(jī)操作指令。存儲(chǔ)器可能包含隨機(jī)存取存儲(chǔ)器，也可能還包括非易失性存儲(chǔ)器，例如至少一個(gè)磁盤存儲(chǔ)器。所述處理器701執(zhí)行所述存儲(chǔ)器中存儲(chǔ)的程序代碼，實(shí)現(xiàn)上述功能。本發(fā)明實(shí)施例還提供一種安全策略服務(wù)器7000，用于實(shí)現(xiàn)上述安全策略服務(wù)器的地址獲取方法中安全策略服務(wù)器的功能。如圖7B所示，所述安全策略服務(wù)器7000包括處理單元7001、發(fā)送單元7002和接收單元7003；其中所述處理單元7001，用于周期性地獲取所述安全策略服務(wù)器7000的負(fù)載情況；或者在所述接收單元7003接收到管理服務(wù)器發(fā)送的狀態(tài)查詢請(qǐng)求時(shí)，獲取所述安全策略服務(wù)器7000的負(fù)載情況。所述發(fā)送單元7002，用于將獲取的所述負(fù)載情況發(fā)送給所述管理服務(wù)器。需要說明的是，處理單元7001還可以執(zhí)行圖7A中所示的處理器701所執(zhí)行的其他操作，發(fā)送單元7002還可以執(zhí)行圖7A中所示的發(fā)送器702所執(zhí)行的其他操作，接收單元7003還可以執(zhí)行圖7A中所示的發(fā)送器703所執(zhí)行的其他操作。為了簡(jiǎn)潔，本實(shí)施例中未盡之細(xì)節(jié)可參考上述圖2所示地址獲取方法中安全策略服務(wù)器側(cè)的描述，在此不再贅述。綜上所述，采用本申請(qǐng)?zhí)峁┑募夹g(shù)方案，無論802.1X認(rèn)證采用EAP協(xié)議中的何種認(rèn)證協(xié)議，都可以通過將安全策略服務(wù)器的地址攜帶在RADIUS服務(wù)器發(fā)往客戶端的認(rèn)證交互報(bào)文的方式，使得客戶端能夠簡(jiǎn)便地從接收的認(rèn)證交互報(bào)文中獲取到正確的安全策略服務(wù)器的地址；并且本申請(qǐng)通過在客戶端和其連接上的安全策略服務(wù)器之間建立TCP連接，令安全策略服務(wù)器在地址變化時(shí)切斷該TCP連接的方式，從而使得客戶端可以通過重新發(fā)起認(rèn)證再次獲得正確的安全策略服務(wù)器的地址。本領(lǐng)域內(nèi)的技術(shù)人員應(yīng)明白，本發(fā)明的實(shí)施例可提供為方法、系統(tǒng)、或計(jì)算機(jī)程序產(chǎn)品。因此，本發(fā)明可采用完全硬件實(shí)施例、完全軟件實(shí)施例、或結(jié)合軟件和硬件方面的實(shí)施例的形式。而且，本發(fā)明可采用在一個(gè)或多個(gè)其中包含有計(jì)算機(jī)可用程序代碼的計(jì)算機(jī)非易失性存儲(chǔ)介質(zhì)(包括但不限于磁盤存儲(chǔ)器、CD-ROM、光學(xué)存儲(chǔ)器等)上實(shí)施的計(jì)算機(jī)程序產(chǎn)品的形式。本發(fā)明是參照根據(jù)本發(fā)明實(shí)施例的方法、設(shè)備(系統(tǒng))、和計(jì)算機(jī)程序產(chǎn)品的流程圖和/或方框圖來描述的。應(yīng)理解可由計(jì)算機(jī)程序指令實(shí)現(xiàn)流程圖和/或方框圖中的每一流程和/或方框、以及流程圖和/或方框圖中的流程和/或方框的結(jié)合?？商峁┻@些計(jì)算機(jī)程序指令到通用計(jì)算機(jī)、專用計(jì)算機(jī)、嵌入式處理機(jī)或其他可編程數(shù)據(jù)處理設(shè)備的處理器以產(chǎn)生一個(gè)機(jī)器，使得通過計(jì)算機(jī)或其他可編程數(shù)據(jù)處理設(shè)備的處理器執(zhí)行的指令產(chǎn)生用于實(shí)現(xiàn)在流程圖一個(gè)流程或多個(gè)流程和/或方框圖一個(gè)方框或多個(gè)方框中指定的功能的裝置。這些計(jì)算機(jī)程序指令也可存儲(chǔ)在能引導(dǎo)計(jì)算機(jī)或其他可編程數(shù)據(jù)處理設(shè)備以特定方式工作的計(jì)算機(jī)可讀存儲(chǔ)器中，使得存儲(chǔ)在該計(jì)算機(jī)可讀存儲(chǔ)器中的指令產(chǎn)生包括指令裝置的制造品，該指令裝置實(shí)現(xiàn)在流程圖一個(gè)流程或多個(gè)流程和/或方框圖一個(gè)方框或多個(gè)方框中指定的功能。這些計(jì)算機(jī)程序指令也可裝載到計(jì)算機(jī)或其他可編程數(shù)據(jù)處理設(shè)備上，使得在計(jì)算機(jī)或其他可編程設(shè)備上執(zhí)行一系列操作步驟以產(chǎn)生計(jì)算機(jī)實(shí)現(xiàn)的處理，從而在計(jì)算機(jī)或其他可編程設(shè)備上執(zhí)行的指令提供用于實(shí)現(xiàn)在流程圖一個(gè) 流程或多個(gè)流程和/或方框圖一個(gè)方框或多個(gè)方框中指定的功能的步驟。盡管已描述了本發(fā)明的優(yōu)選實(shí)施例，但本領(lǐng)域內(nèi)的技術(shù)人員一旦得知了基本創(chuàng)造性概念，則可對(duì)這些實(shí)施例作出另外的變更和修改。所以，所附權(quán)利要求意欲解釋為包括優(yōu)選實(shí)施例以及落入本發(fā)明范圍的所有變更和修改。顯然，本領(lǐng)域的技術(shù)人員可以對(duì)本發(fā)明實(shí)施例進(jìn)行各種改動(dòng)和變型而不脫離本發(fā)明實(shí)施例的范圍。這樣，倘若本發(fā)明實(shí)施例的這些修改和變型屬于本發(fā)明權(quán)利要求及其等同技術(shù)的范圍之內(nèi)，則本發(fā)明也意圖包含這些改動(dòng)和變型在內(nèi)。當(dāng)前第1頁1 2 3