本發(fā)明涉及通信領(lǐng)域,特別涉及一種接入控制設(shè)備及認(rèn)證控制方法。
背景技術(shù):
:在有線或者無線通信中,一個終端連接局域網(wǎng)時,有可能需要通過接入控制器與認(rèn)證服務(wù)器進(jìn)行接入認(rèn)證。由于接入控制器的處理能力有限,當(dāng)同時進(jìn)行接入認(rèn)證的終端數(shù)量較多時,可能會導(dǎo)致接入控制器過載。為了避免過載,接入控制器可以限制接收到的認(rèn)證報文的速率。比如,接入控制器預(yù)先設(shè)置接收認(rèn)證報文的速率為x,當(dāng)接收到的各個終端的認(rèn)證報文的總速率達(dá)到x時,丟棄此時到來的其它認(rèn)證報文。發(fā)送被丟棄的認(rèn)證報文的終端的認(rèn)證過程被打斷。認(rèn)證過程被打斷的終端可以重新發(fā)起接入認(rèn)證。如果某一時段內(nèi)認(rèn)證的終端過于集中,大量終端的認(rèn)證過程被打斷。認(rèn)證過程被打斷的這些終端可能立即重新發(fā)起認(rèn)證,認(rèn)證報文的速率還是很高。大量終端集中認(rèn)證的情況持續(xù),又會打斷其它終端的交互過程。這一過程不斷重復(fù),最終導(dǎo)致幾乎所有的用戶都無法完成完整的認(rèn)證過程。上述現(xiàn)象被稱為認(rèn)證的雪崩效應(yīng),影響系統(tǒng)的認(rèn)證效率。技術(shù)實現(xiàn)要素:為了解決終端認(rèn)證過于集中導(dǎo)致認(rèn)證的雪崩效應(yīng)的問題,本申請?zhí)峁┝艘环N認(rèn)證控制方法及接入控制設(shè)備。第一方面,提供了一種接入控制設(shè)備,所述接入控制設(shè)備包括:檢測模塊,用于檢測到達(dá)所述接入控制設(shè)備的報文是否為認(rèn)證發(fā)起報文,所述認(rèn)證發(fā)起報文用于發(fā)起對發(fā)送所述認(rèn)證發(fā)起報文的終端的認(rèn)證過程;限制模塊,用于限制所述接入控制設(shè)備接收認(rèn)證發(fā)起報文的速率。結(jié)合第一方面,在第一方面的第一種可能實現(xiàn)方式中,所述限制模塊,用于僅在報文接收狀態(tài)滿足第一預(yù)定條件時,限制所述接入控制設(shè)備接收認(rèn)證發(fā) 起報文的速率;所述第一預(yù)定條件包括以下條件中的一種:單位時間內(nèi)到達(dá)所述接入控制設(shè)備的認(rèn)證報文的數(shù)量大于第一閾值;單位時間內(nèi)所述接入控制設(shè)備丟棄的認(rèn)證報文的數(shù)量大于第二閾值;單位時間內(nèi)所述接入控制設(shè)備丟棄的認(rèn)證報文的數(shù)量和所述單位時間內(nèi)到達(dá)所述接入控制設(shè)備的認(rèn)證報文的數(shù)量的比值大于第三閾值。結(jié)合第一方面或者第一方面的第一種可能實現(xiàn)方式,在第一方面的第二種可能實現(xiàn)方式中,所述限制模塊,用于僅在所述單位時間內(nèi)通過所述接入控制設(shè)備認(rèn)證成功的終端的數(shù)量大于第四閾值時,限制所述接入控制設(shè)備接收認(rèn)證發(fā)起報文的速率。結(jié)合第一方面、第一方面的第一種可能實現(xiàn)方式或者第一方面的第二種可能實現(xiàn)方式,在第一方面的第三種可能實現(xiàn)方式中,所述報文檢測模塊,具體用于檢測到達(dá)所述接入控制設(shè)備的認(rèn)證報文是否滿足第二預(yù)定條件,若所述到達(dá)所述接入控制設(shè)備的認(rèn)證報文滿足所述第二預(yù)定條件,則確定所述到達(dá)所述接入控制設(shè)備的認(rèn)證報文是認(rèn)證發(fā)起報文;其中,所述第二預(yù)定條件為以下條件中的一種:當(dāng)所述認(rèn)證報文為可擴展認(rèn)證協(xié)議EAP報文時,所述EAP報文的報文類型字段為1;當(dāng)所述認(rèn)證報文為EAP報文時,所述EAP報文的報文類型字段為0、數(shù)據(jù)包體類型字段為2并且認(rèn)證類型字段為1;當(dāng)所述認(rèn)證報文為挑戰(zhàn)握手認(rèn)證協(xié)議CHAP報文時,所述到達(dá)所述接入控制設(shè)備的認(rèn)證報文的ver字段為2,type字段為1,chap字段為0;以及,當(dāng)所述認(rèn)證報文為密碼認(rèn)證協(xié)議PAP報文時,所述到達(dá)所述接入控制設(shè)備的認(rèn)證報文的ver字段為2,type字段為3,pap字段為1。結(jié)合第一方面或者第一方面的第一至三種可能實現(xiàn)方式中的任意一種,在第一方面的第四種可能實現(xiàn)方式中,所述接入控制設(shè)備還包括:解除模塊,用于在第三預(yù)定條件被滿足時,解除所述限制模塊對所述接入控制設(shè)備接收認(rèn)證發(fā)起報文的速率的限制;其中,所述第三預(yù)定條件被滿足包括以下一種:單位時間內(nèi)到達(dá)所述接入控制設(shè)備的認(rèn)證報文的數(shù)量小于第五閾值,所述 第五閾值小于所述第一閾值;單位時間內(nèi)所述接入控制設(shè)備丟棄的認(rèn)證報文的數(shù)量小于第六閾值,所述第六閾值小于所述第二閾值;單位時間內(nèi)所述接入控制設(shè)備丟棄的認(rèn)證報文的數(shù)量和所述單位時間內(nèi)到達(dá)所述接入控制設(shè)備的認(rèn)證報文的數(shù)量的比值小于第七閾值,所述第七閾值小于所述第三閾值。第二方面,提供了一種認(rèn)證控制方法,所述方法包括:檢測到達(dá)接入控制設(shè)備的報文是否為認(rèn)證發(fā)起報文,所述認(rèn)證發(fā)起報文用于發(fā)起對發(fā)送所述認(rèn)證發(fā)起報文的終端的認(rèn)證過程;限制所述接入控制設(shè)備接收認(rèn)證發(fā)起報文的速率。在第二方面的第一種可能實現(xiàn)方式中,所述限制所述接入控制設(shè)備接收認(rèn)證發(fā)起報文的速率,包括:僅在報文接收狀態(tài)滿足第一預(yù)定條件時,限制所述接入控制設(shè)備接收認(rèn)證發(fā)起報文的速率;所述第一預(yù)定條件包括以下條件中的一種:單位時間內(nèi)到達(dá)所述接入控制設(shè)備的認(rèn)證報文的數(shù)量大于第一閾值;單位時間內(nèi)所述接入控制設(shè)備丟棄的認(rèn)證報文的數(shù)量大于第二閾值;單位時間內(nèi)所述接入控制設(shè)備丟棄的認(rèn)證報文的數(shù)量和所述單位時間內(nèi)到達(dá)所述接入控制設(shè)備的認(rèn)證報文的數(shù)量的比值大于第三閾值。結(jié)合第二方面或者第二方面的第一種可能實現(xiàn)方式,在第二方面的第二種可能實現(xiàn)方式中,所述限制所述接入控制設(shè)備接收認(rèn)證發(fā)起報文的速率,包括:僅在所述單位時間內(nèi)通過所述接入控制設(shè)備認(rèn)證成功的終端的數(shù)量大于第四閾值時,限制所述接入控制設(shè)備接收認(rèn)證發(fā)起報文的速率。結(jié)合第二方面、第二方面的第一種可能實現(xiàn)方式或者第二方面的第二種可能實現(xiàn)方式,在第二方面的第三種可能實現(xiàn)方式中,所述檢測到達(dá)接入控制設(shè)備的報文是否為認(rèn)證發(fā)起報文,包括:檢測到達(dá)所述接入控制設(shè)備的認(rèn)證報文是否滿足第二預(yù)定條件,若所述到達(dá)所述接入控制設(shè)備的認(rèn)證報文滿足所述第二預(yù)定條件,則確定所述到達(dá)所述接入控制設(shè)備的認(rèn)證報文是認(rèn)證發(fā)起報文;其中,所述第二預(yù)定條件為以下條件中的一種:當(dāng)所述認(rèn)證報文為可擴展認(rèn)證協(xié)議EAP報文時,所述EAP報文的報文類型字段為1;當(dāng)所述認(rèn)證報文為EAP報文時,所述EAP報文的報文類型字段為0、數(shù)據(jù)包體類型字段為2并且認(rèn)證類型字段為1;當(dāng)所述認(rèn)證報文為挑戰(zhàn)握手認(rèn)證協(xié)議CHAP報文時,所述到達(dá)所述接入控制設(shè)備的認(rèn)證報文的ver字段為2,type字段為1,chap字段為0;以及,當(dāng)所述認(rèn)證報文為密碼認(rèn)證協(xié)議PAP報文時,所述到達(dá)所述接入控制設(shè)備的認(rèn)證報文的ver字段為2,type字段為3,pap字段為1。結(jié)合第二方面或者第二方面的第一至三種可能實現(xiàn)方式中的任意一種,在第二方面的第四種可能實現(xiàn)方式中,所述方法還包括:在第三預(yù)定條件被滿足時,解除所述限制模塊對所述接入控制設(shè)備接收認(rèn)證發(fā)起報文的速率的限制;其中,所述第三預(yù)定條件被滿足包括以下一種:單位時間內(nèi)到達(dá)所述接入控制設(shè)備的認(rèn)證報文的數(shù)量小于第五閾值,所述第五閾值小于所述第一閾值;單位時間內(nèi)所述接入控制設(shè)備丟棄的認(rèn)證報文的數(shù)量小于第六閾值,所述第六閾值小于所述第二閾值;單位時間內(nèi)所述接入控制設(shè)備丟棄的認(rèn)證報文的數(shù)量和所述單位時間內(nèi)到達(dá)所述接入控制設(shè)備的認(rèn)證報文的數(shù)量的比值小于第七閾值,所述第七閾值小于所述第三閾值。通過檢測到達(dá)接入控制設(shè)備的報文是否為認(rèn)證發(fā)起報文,并限制該接入控制設(shè)備接收認(rèn)證發(fā)起報文的速率,通過限制接收認(rèn)證發(fā)起報文的速率來控制進(jìn)入后續(xù)認(rèn)證的終端的數(shù)量,避免同時進(jìn)入后續(xù)認(rèn)證的終端過多而導(dǎo)致無線認(rèn)證的雪崩效應(yīng),保證當(dāng)前已經(jīng)進(jìn)行后續(xù)接入認(rèn)證的終端能夠順利完成整個認(rèn)證過程,達(dá)到提高系統(tǒng)認(rèn)證效率的效果。附圖說明為了更清楚地說明本發(fā)明實施例中的技術(shù)方案,下面將對實施例描述中所 需要使用的附圖作簡單地介紹,顯而易見地,下面描述中的附圖僅僅是本發(fā)明的一些實施例,對于本領(lǐng)域普通技術(shù)人員來講,在不付出創(chuàng)造性勞動的前提下,還可以根據(jù)這些附圖獲得其他的附圖。圖1是本發(fā)明所涉及的網(wǎng)絡(luò)環(huán)境的架構(gòu)圖;圖2是本發(fā)明一個實施例提供的認(rèn)證控制方法的方法流程圖;圖3A是本發(fā)明另一實施例提供的認(rèn)證控制方法的方法流程圖;圖3B是圖3A所示實施例提供的EAP認(rèn)證的交互流程圖;圖3C是圖3A所示實施例提供的EAP報文的封裝結(jié)構(gòu)圖;圖3D是圖3A所示實施例提供的,EAP報文的報文類型字段為0的情況下,其數(shù)據(jù)包體的格式圖;圖3E是圖3A所示實施例提供的,當(dāng)數(shù)據(jù)包體的類型為Request或者Response時,該數(shù)據(jù)包體中的數(shù)據(jù)域格式的格式圖;圖3F是圖3A所示實施例提供的強制門戶認(rèn)證的交互流程圖;圖4是本發(fā)明一個實施例提供的接入控制設(shè)備的結(jié)構(gòu)圖;圖5是本發(fā)明另一實施例提供的接入控制設(shè)備的結(jié)構(gòu)圖;圖6是本發(fā)明一個實施例提供的網(wǎng)絡(luò)設(shè)備的框圖。具體實施方式為使本發(fā)明的目的、技術(shù)方案和優(yōu)點更加清楚,下面將結(jié)合附圖對本發(fā)明實施方式作進(jìn)一步地詳細(xì)描述。請參考圖1,其示出了本發(fā)明所涉及的網(wǎng)絡(luò)環(huán)境的架構(gòu)圖。該網(wǎng)絡(luò)包括以下網(wǎng)絡(luò)設(shè)備:終端110、接入控制設(shè)備120、認(rèn)證服務(wù)器130,可選的,該網(wǎng)絡(luò)環(huán)境還可以包括門戶服務(wù)器(英文:portalserver)140。接入控制設(shè)備120用于在終端110和認(rèn)證服務(wù)器130之間進(jìn)行認(rèn)證報文處理的網(wǎng)絡(luò)設(shè)備。比如,接入控制設(shè)備120可以是一個專用的接入控制器,也可以是一個集成接入控制器功能的網(wǎng)絡(luò)設(shè)備(例如路由器或網(wǎng)絡(luò)交換機)。門戶服務(wù)器140可以是個人電腦,也可以是一個服務(wù)器網(wǎng)站(英文:web)應(yīng)用服務(wù)器,該門戶服務(wù)器中有強制門戶(英文:captiveportal)認(rèn)證的軟件。接入控制設(shè)備120與認(rèn)證服務(wù)器130相連,門戶服務(wù)器140與接入控制設(shè) 備120相連。終端110進(jìn)行接入認(rèn)證的方式主要有兩種,一種是可擴展認(rèn)證協(xié)議(英文:ExtensibleAuthenticationProtocol,縮寫:EAP)認(rèn)證方式,另一種是強制門戶認(rèn)證方式。當(dāng)通過EAP認(rèn)證方式進(jìn)行接入認(rèn)證時,終端110與接入控制設(shè)備120相連,當(dāng)通過強制門戶認(rèn)證方式進(jìn)行接入認(rèn)證時,終端110與門戶服務(wù)器140相連。本發(fā)明實施例所示的方案,通過對接入控制設(shè)備120接收認(rèn)證發(fā)起報文(即用于發(fā)起認(rèn)證過程的第一個報文)的速率進(jìn)行限制,控制單位時間內(nèi)進(jìn)入后續(xù)認(rèn)證過程的終端的數(shù)量,避免同時進(jìn)入后續(xù)認(rèn)證的終端過多而導(dǎo)致無線認(rèn)證的雪崩效應(yīng),保證當(dāng)前已經(jīng)進(jìn)行后續(xù)接入認(rèn)證的終端能夠順利完成整個認(rèn)證過程。在未發(fā)生雪崩效應(yīng)時,也可以不限制認(rèn)證發(fā)起報文的速率。因此,為了節(jié)約處理資源,在本發(fā)明實施例所示的方案中,在對終端110的認(rèn)證過程進(jìn)行控制時,可以在滿足一定條件的情況下才限制認(rèn)證發(fā)起報文的速率。一方面,可以監(jiān)控到達(dá)接入控制設(shè)備120的認(rèn)證報文的數(shù)量、認(rèn)證報文的丟包數(shù)量以及認(rèn)證報文的丟包率中的任意一種或者多種,只有在監(jiān)控到發(fā)現(xiàn)單位時間內(nèi)到達(dá)接入控制設(shè)備120的認(rèn)證報文的數(shù)量過多、認(rèn)證報文的丟包數(shù)量過多,或者,認(rèn)證報文的丟包率過高中的一種情形時,才認(rèn)為滿足對接收認(rèn)證發(fā)起報文的速率進(jìn)行限制的條件,并對接入控制設(shè)備120接收認(rèn)證發(fā)起報文的速率進(jìn)行限制。另一方面,在認(rèn)證過程中發(fā)生雪崩效應(yīng)時,單位時間內(nèi)接入成功的終端的數(shù)量也會隨之降低,也可以監(jiān)控單位時間內(nèi)通過接入控制設(shè)備120接入成功的終端的數(shù)量,只有在監(jiān)控到單位時間內(nèi)通過接入控制設(shè)備120接入成功的終端的數(shù)量小于某一個閾值時,才限制接入控制設(shè)備120接收認(rèn)證發(fā)起報文的速率。為了提高檢測的準(zhǔn)確性,降低誤檢測的概率,可以綜合上述兩方面的條件,在同時滿足兩類(對認(rèn)證報文的監(jiān)控和對接入成功的終端的監(jiān)控)條件時,才限制認(rèn)證發(fā)起報文的速率。請參考圖2,其示出了本發(fā)明一個實施例提供的認(rèn)證控制方法的方法流程圖。該認(rèn)證控制方法可以用于圖1所示實施環(huán)境的接入控制設(shè)備120中。該認(rèn)證控制方法可以包括:步驟201,檢測到達(dá)接入控制設(shè)備的報文是否為認(rèn)證發(fā)起報文,該認(rèn)證發(fā)起報文用于發(fā)起對發(fā)送該認(rèn)證發(fā)起報文的終端的認(rèn)證過程。步驟202,限制該接入控制設(shè)備接收認(rèn)證發(fā)起報文的速率。接入控制設(shè)備在接收報文時,首先將收到的報文進(jìn)行緩存,并對其進(jìn)行報文頭解析,若通過報文頭的解析確定要接收該報文,則將該報文發(fā)送給接入控制設(shè)備的處理單元(比如中央處理器)進(jìn)行后續(xù)處理。因此,在本發(fā)明各個實施例中,到達(dá)接入控制設(shè)備的報文就是指被接入控制設(shè)備緩存的報文,而接收報文是指在確定對一個報文進(jìn)行后續(xù)處理時,發(fā)送該報文,例如轉(zhuǎn)發(fā)該報文或發(fā)送給處理單元。綜上所述,本發(fā)明實施例提供的認(rèn)證控制方法,通過檢測到達(dá)接入控制設(shè)備的報文是否為認(rèn)證發(fā)起報文,并限制該接入控制設(shè)備接收認(rèn)證發(fā)起報文的速率,通過限制接收認(rèn)證發(fā)起報文的速率來控制進(jìn)入后續(xù)認(rèn)證的終端的數(shù)量,避免同時進(jìn)入后續(xù)認(rèn)證的終端過多而導(dǎo)致無線認(rèn)證的雪崩效應(yīng),保證當(dāng)前已經(jīng)進(jìn)行后續(xù)接入認(rèn)證的終端能夠順利完成整個認(rèn)證過程,達(dá)到提高系統(tǒng)認(rèn)證效率的效果。為了對圖2所示的認(rèn)證控制方法作進(jìn)一步的描述,請參考圖3A,其示出了本發(fā)明另一實施例提供的認(rèn)證控制方法的方法流程圖。該認(rèn)證控制方法可以用于圖1所示實施環(huán)境的接入控制設(shè)備120中。該認(rèn)證控制方法可以包括:步驟301,限制接入控制設(shè)備接收認(rèn)證報文的速率,該認(rèn)證報文是用于對終端進(jìn)行接入認(rèn)證的報文。在本發(fā)明實施例中,接入控制設(shè)備首先對所有待接收的認(rèn)證報文做整體限速,即限制向接入控制設(shè)備的處理單元(比如中央處理器)發(fā)送認(rèn)證報文的速率,以防止過量的認(rèn)證報文沖擊接入控制設(shè)備的控制平面。接入控制設(shè)備可以通過令牌桶機制對待接收的認(rèn)證報文做整體限速。其中,令牌桶算法是網(wǎng)絡(luò)流量整形和速率限制中常用的一種算法。典型情況下,令牌桶算法用來控制接收的數(shù)據(jù)量,并允許突發(fā)數(shù)據(jù)的發(fā)送。步驟302,監(jiān)測報文接收狀態(tài)。其中,在本發(fā)明實施例中,報文接收狀態(tài)可以包括單位時間內(nèi)到達(dá)該接入控制設(shè)備的認(rèn)證報文的數(shù)量、單位時間內(nèi)該接入控制設(shè)備丟棄的認(rèn)證報文的數(shù) 量以及單位時間內(nèi)該接入控制設(shè)備丟棄的認(rèn)證報文的數(shù)量和該單位時間內(nèi)到達(dá)該接入控制設(shè)備的認(rèn)證報文的數(shù)量的比值中的至少一種。步驟303,檢測報文接收狀態(tài)是否滿足第一預(yù)定條件。在本發(fā)明實施例中,該第一預(yù)定條件包括以下條件中的一種:單位時間內(nèi)到達(dá)該接入控制設(shè)備的認(rèn)證報文的數(shù)量大于第一閾值;單位時間內(nèi)該接入控制設(shè)備丟棄的認(rèn)證報文的數(shù)量大于第二閾值;單位時間內(nèi)該接入控制設(shè)備丟棄的認(rèn)證報文的數(shù)量和該單位時間內(nèi)到達(dá)該接入控制設(shè)備的認(rèn)證報文的數(shù)量的比值大于第三閾值。在本發(fā)明實施例中,為了減輕接入控制設(shè)備的計算負(fù)擔(dān),節(jié)約處理資源,可以首先檢測報文接收狀態(tài)是否滿足第一預(yù)定條件,當(dāng)滿足第一預(yù)定條件時,可以認(rèn)為滿足了對認(rèn)證發(fā)起報文進(jìn)行限制的條件。其中,該認(rèn)證發(fā)起報文是用于發(fā)起對發(fā)送該認(rèn)證發(fā)起報文的終端的認(rèn)證過程。該第一預(yù)定條件中的涉及到的第一閾值可以根據(jù)該接入控制設(shè)備的計算能力進(jìn)行設(shè)置,比如,可以設(shè)置將該第一閾值設(shè)置為該接入控制設(shè)備在單位時間內(nèi)最多能夠處理的認(rèn)證報文的數(shù)量;該第一預(yù)定條件中的涉及到的第二閾值和第三閾值都可以設(shè)置為0,或者分別設(shè)置為大于0的某個數(shù)值。步驟304,監(jiān)測單位時間內(nèi)通過該接入控制設(shè)備認(rèn)證成功的終端的數(shù)量。步驟305,檢測單位時間內(nèi)通過該接入控制設(shè)備認(rèn)證成功的終端的數(shù)量是否大于第四閾值。其中,步驟304和步驟305中的單位時間與步驟302和步驟303中的單位時間可以相同,也可以不同。在實際應(yīng)用中,由于存在突發(fā)數(shù)據(jù),可能在未發(fā)生無線認(rèn)證的雪崩效應(yīng)時出現(xiàn)大量認(rèn)證報文到達(dá)接入控制設(shè)備,或者大量認(rèn)證報文被接入控制設(shè)備丟棄的情況,因此,只根據(jù)達(dá)到接入控制設(shè)備或者被接入控制設(shè)備丟棄的認(rèn)證報文的數(shù)量來判斷是否發(fā)生雪崩效應(yīng)是不準(zhǔn)確的。因此,本發(fā)明實施例所示的方案中,為了提高判斷的準(zhǔn)確性,還可以結(jié)合單位時間內(nèi)通過該接入認(rèn)證設(shè)備認(rèn)證成功的終端數(shù)量來判斷是否發(fā)生雪崩效應(yīng),即僅在單位時間內(nèi)通過該接入控制設(shè)備認(rèn)證成功的終端的數(shù)量大于第四閾值時,才認(rèn)為滿足對接收認(rèn)證發(fā)起報文的速率進(jìn)行限制的條件。步驟306,當(dāng)報文接收狀態(tài)滿足第一預(yù)定條件,且單位時間內(nèi)通過該接入控 制設(shè)備認(rèn)證成功的終端的數(shù)量大于第四閾值時,檢測到達(dá)該接入控制設(shè)備的認(rèn)證報文是否滿足第二預(yù)定條件,若該到達(dá)該接入控制設(shè)備的認(rèn)證報文滿足該第二預(yù)定條件,則確定該到達(dá)該接入控制設(shè)備的認(rèn)證報文是認(rèn)證發(fā)起報文。其中,該第二預(yù)定條件為以下條件中的一種:當(dāng)所述認(rèn)證報文為可擴展認(rèn)證協(xié)議EAP報文時,所述EAP報文的報文類型字段為1;當(dāng)所述認(rèn)證報文為EAP報文時,所述EAP報文的報文類型字段為0、數(shù)據(jù)包體類型字段為2并且認(rèn)證類型字段為1;當(dāng)該認(rèn)證報文為挑戰(zhàn)握手認(rèn)證協(xié)議CHAP報文時,該到達(dá)該接入控制設(shè)備的認(rèn)證報文的ver字段為2,type字段為1,chap字段為0;以及,當(dāng)該認(rèn)證報文為密碼認(rèn)證協(xié)議PAP報文時,該到達(dá)該接入控制設(shè)備的認(rèn)證報文的ver字段為2,type字段為3,pap字段為1。對于EAP認(rèn)證,請結(jié)合參考3B-圖3E,其中,圖3B示出了EAP認(rèn)證的交互流程圖。在圖3B中,認(rèn)證發(fā)起報文為EAP報文中的EAP-START報文或者EAP-IDENTITY報文。請參考圖3C,其示出了EAP報文的封裝結(jié)構(gòu)圖。其中,EAP報文的封裝結(jié)構(gòu)圖中的Type字段是EAP報文的報文類型字段,該報文類型字段的值用于指示PacketBody包含的數(shù)據(jù)幀的類型,該EAP報文的報文類型字段的數(shù)值與各個數(shù)值所指示的數(shù)據(jù)幀的類型如表1所示:值數(shù)據(jù)幀的類型0(0x00)EAP-Packet:認(rèn)證信息幀1(0x01)EAPOL-Start:認(rèn)證發(fā)起幀2(0x02)EAPOL-Logoff:退出請求幀表1EAP-START報文中包含認(rèn)證發(fā)起幀,因此,當(dāng)某一個認(rèn)證報文為EAP報文,且該EAP報文的報文類型字段為1(或者表示為0x01)時,該報文就是EAP-START報文。請參考圖3D,其示出了EAP報文的報文類型字段為0的情況下,其數(shù)據(jù)包體(PacketBody)的格式圖,該數(shù)據(jù)包體中的Code字段是數(shù)據(jù)包體類型字段,該數(shù)據(jù)包體類型字段的值與各個值所指示的數(shù)據(jù)包體類型如表2所示:值數(shù)據(jù)包體類型1Request:請求2Response:應(yīng)答3Success:成功4Failure:失敗表2當(dāng)數(shù)據(jù)包體的類型為Request或者Response時,該數(shù)據(jù)包體中的數(shù)據(jù)(Data)域格式的格式圖可以如圖3E所示,其中,該數(shù)據(jù)域中的Type字段為認(rèn)證類型字段,該認(rèn)證類型字段的值與各個值所指示的認(rèn)證類型如表3所示:值認(rèn)證類型1Identifier:詢問對端身份2Notification:警告或提示…………表3EAP-IDENTITY(identity)報文中包含認(rèn)證信息幀,且該EAP-IDENTITY(identity)報文的數(shù)據(jù)包體類型是Response,同時,其認(rèn)證類型為Identifier,因此,當(dāng)某一個認(rèn)證報文為EAP報文,且該EAP報文的報文類型字段為0(或者表示為0x00)、數(shù)據(jù)包體類型字段為2,且認(rèn)證類型字段為1時,該報文就是EAP-IDENTITY(identity)報文。對于強制門戶認(rèn)證,請參考3F,其示出了強制門戶認(rèn)證的交互流程圖。其中,攜帶強制門戶認(rèn)證的報文是UDP(UserDatagramProtocol,用戶數(shù)據(jù)報協(xié)議)報文。根據(jù)UDP報文的端口號可以確定該UDP報文的凈荷中是挑戰(zhàn)握手認(rèn)證協(xié)議(英文:ChallengeHandshakeAuthenticationProtocol,縮寫:CHAP)報文或者密碼認(rèn)證協(xié)議(英文:PasswordAuthenticationProtocol,縮寫:PAP)報文。在圖3F中,認(rèn)證發(fā)起報文為CHAP報文(即CHALLENGE請求報文)或者PAP認(rèn)證請求報文。CHAP報文為CHALLENGE請求報文時,其ver字段為2,type字段為1,chap字段為0。當(dāng)PAP報文為PAP認(rèn)證請求報文時,其ver字段為2,type字段為3,pap字段為1。步驟307,限制該接入控制設(shè)備接收認(rèn)證發(fā)起報文的速率。具體的,在限制該接入控制設(shè)備接收認(rèn)證發(fā)起報文的速率時,可以限制接 入控制設(shè)備單位時間內(nèi)發(fā)送到處理單元的認(rèn)證發(fā)起報文的數(shù)量,或者,也可以限制接入控制設(shè)備單位時間內(nèi)發(fā)送到處理單元的認(rèn)證發(fā)起報文的數(shù)據(jù)量。該限制過程也可以通過令牌桶機制來實現(xiàn),此處不再贅述。步驟308,繼續(xù)監(jiān)測報文接收狀態(tài),并檢測該報文接收狀態(tài)是否滿足第三預(yù)定條件。其中,該第三預(yù)定條件被滿足包括以下一種:單位時間內(nèi)到達(dá)該接入控制設(shè)備的認(rèn)證報文的數(shù)量小于第五閾值,該第五閾值小于該第一閾值;單位時間內(nèi)該接入控制設(shè)備丟棄的認(rèn)證報文的數(shù)量小于第六閾值,該第六閾值小于該第二閾值;單位時間內(nèi)該接入控制設(shè)備丟棄的認(rèn)證報文的數(shù)量和該單位時間內(nèi)到達(dá)該接入控制設(shè)備的認(rèn)證報文的數(shù)量的比值小于第七閾值,該第七閾值小于該第三閾值。步驟309,解除對該接入控制設(shè)備接收認(rèn)證發(fā)起報文的速率的限制。在對接入控制設(shè)備接收認(rèn)證發(fā)起報文的速率進(jìn)行限制之后,還可以繼續(xù)監(jiān)測接入控制設(shè)備的報文接收狀態(tài),當(dāng)監(jiān)測出單位時間內(nèi)到達(dá)接入控制設(shè)備的認(rèn)證報文的數(shù)量減少到某個閾值以下,或者單位時間內(nèi)被丟棄的認(rèn)證報文的數(shù)量減少到某個閾值以下,或者,單位時間內(nèi)被丟棄的認(rèn)證報文的數(shù)量和到達(dá)的認(rèn)證報文的數(shù)量的比值減少到某個閾值以下時,可以確定當(dāng)前進(jìn)行接入認(rèn)證的終端已經(jīng)較少,此時,可以取消對該接入控制設(shè)備接收認(rèn)證發(fā)起報文的速率的限制,以減輕接入控制設(shè)備的計算負(fù)擔(dān),節(jié)約處理資源。綜上所述,本發(fā)明實施例提供的認(rèn)證控制方法,通過檢測到達(dá)接入控制設(shè)備的報文是否為認(rèn)證發(fā)起報文,并限制該接入控制設(shè)備接收認(rèn)證發(fā)起報文的速率,通過限制接收認(rèn)證發(fā)起報文的速率來控制進(jìn)入后續(xù)認(rèn)證的終端的數(shù)量,避免同時進(jìn)入后續(xù)認(rèn)證的終端過多而導(dǎo)致無線認(rèn)證的雪崩效應(yīng),保證當(dāng)前已經(jīng)進(jìn)行后續(xù)接入認(rèn)證的終端能夠順利完成整個認(rèn)證過程,達(dá)到提高系統(tǒng)認(rèn)證效率的效果。此外,本發(fā)明實施例提供的認(rèn)證控制方法,監(jiān)測報文接收狀態(tài),在檢測出報文接收狀態(tài)滿足第一預(yù)定條件時限制該接入控制設(shè)備接收認(rèn)證發(fā)起報文的速率,達(dá)到減輕接入控制設(shè)備的計算負(fù)擔(dān),節(jié)約處理資源的效果。另外,本發(fā)明實施例提供的認(rèn)證控制方法,僅在檢測出單位時間內(nèi)通過該接入控制設(shè)備認(rèn)證成功的終端的數(shù)量大于第四閾值時,才限制該接入控制設(shè)備接收認(rèn)證發(fā)起報文的速率,達(dá)到提高檢測的準(zhǔn)確性,降低誤檢測的概率的效果。請參考圖4,其示出了本發(fā)明一個實施例提供的接入控制設(shè)備的結(jié)構(gòu)圖。該接入控制設(shè)備可以實現(xiàn)為圖1所示實施環(huán)境的接入控制設(shè)備120中。該接入控制設(shè)備可以包括:檢測模塊401,用于檢測到達(dá)所述接入控制設(shè)備的報文是否為認(rèn)證發(fā)起報文,所述認(rèn)證發(fā)起報文用于發(fā)起對發(fā)送所述認(rèn)證發(fā)起報文的終端的認(rèn)證過程;限制模塊402,用于限制所述接入控制設(shè)備接收認(rèn)證發(fā)起報文的速率。綜上所述,本發(fā)明實施例提供的接入控制設(shè)備,通過檢測到達(dá)接入控制設(shè)備的報文是否為認(rèn)證發(fā)起報文,并限制該接入控制設(shè)備接收認(rèn)證發(fā)起報文的速率,通過限制接收認(rèn)證發(fā)起報文的速率來控制進(jìn)入后續(xù)認(rèn)證的終端的數(shù)量,避免同時進(jìn)入后續(xù)認(rèn)證的終端過多而導(dǎo)致無線認(rèn)證的雪崩效應(yīng),保證當(dāng)前已經(jīng)進(jìn)行后續(xù)接入認(rèn)證的終端能夠順利完成整個認(rèn)證過程,達(dá)到提高系統(tǒng)認(rèn)證效率的效果。為了對圖4所示的認(rèn)證控制方法作進(jìn)一步的描述,請參考圖5,其示出了本發(fā)明另一實施例提供的接入控制設(shè)備的結(jié)構(gòu)圖。該接入控制設(shè)備可以實現(xiàn)為圖1所示實施環(huán)境的接入控制設(shè)備120中。該接入控制設(shè)備可以包括:檢測模塊401,用于檢測到達(dá)所述接入控制設(shè)備的報文是否為認(rèn)證發(fā)起報文,所述認(rèn)證發(fā)起報文用于發(fā)起對發(fā)送所述認(rèn)證發(fā)起報文的終端的認(rèn)證過程;限制模塊402,用于限制所述接入控制設(shè)備接收認(rèn)證發(fā)起報文的速率。可選的,所述限制模塊402,用于僅在報文接收狀態(tài)滿足第一預(yù)定條件時,限制所述接入控制設(shè)備接收認(rèn)證發(fā)起報文的速率;所述第一預(yù)定條件包括以下條件中的一種:單位時間內(nèi)到達(dá)所述接入控制設(shè)備的認(rèn)證報文的數(shù)量大于第一閾值;單位時間內(nèi)所述接入控制設(shè)備丟棄的認(rèn)證報文的數(shù)量大于第二閾值;單位時間內(nèi)所述接入控制設(shè)備丟棄的認(rèn)證報文的數(shù)量和所述單位時間內(nèi)到達(dá)所述接入控制設(shè)備的認(rèn)證報文的數(shù)量的比值大于第三閾值。可選的,所述限制模塊402,用于僅在所述單位時間內(nèi)通過所述接入控制設(shè)備認(rèn)證成功的終端的數(shù)量大于第四閾值時,限制所述接入控制設(shè)備接收認(rèn)證發(fā)起報文的速率??蛇x的,所述檢測模塊401,具體用于檢測到達(dá)所述接入控制設(shè)備的認(rèn)證報文是否滿足第二預(yù)定條件,若所述到達(dá)所述接入控制設(shè)備的認(rèn)證報文滿足所述第二預(yù)定條件,則確定所述到達(dá)所述接入控制設(shè)備的認(rèn)證報文是認(rèn)證發(fā)起報文;其中,所述第二預(yù)定條件為以下條件中的一種:當(dāng)所述認(rèn)證報文為可擴展認(rèn)證協(xié)議EAP報文時,所述EAP報文的報文類型字段為1;當(dāng)所述認(rèn)證報文為EAP報文時,所述EAP報文的報文類型字段為0、數(shù)據(jù)包體類型字段為2并且認(rèn)證類型字段為1;當(dāng)所述認(rèn)證報文為挑戰(zhàn)握手認(rèn)證協(xié)議CHAP報文時,所述到達(dá)所述接入控制設(shè)備的認(rèn)證報文的ver字段為2,type字段為1,chap字段為0;以及,當(dāng)所述認(rèn)證報文為密碼認(rèn)證協(xié)議PAP報文時,所述到達(dá)所述接入控制設(shè)備的認(rèn)證報文的ver字段為2,type字段為3,pap字段為1??蛇x的,所述接入控制設(shè)備還包括:解除模塊403,用于在第三預(yù)定條件被滿足時,解除所述限制模塊對所述接入控制設(shè)備接收認(rèn)證發(fā)起報文的速率的限制;其中,所述第三預(yù)定條件被滿足包括以下一種:單位時間內(nèi)到達(dá)所述接入控制設(shè)備的認(rèn)證報文的數(shù)量小于第五閾值,所述第五閾值小于所述第一閾值;單位時間內(nèi)所述接入控制設(shè)備丟棄的認(rèn)證報文的數(shù)量小于第六閾值,所述第六閾值小于所述第二閾值;單位時間內(nèi)所述接入控制設(shè)備丟棄的認(rèn)證報文的數(shù)量和所述單位時間內(nèi)到達(dá)所述接入控制設(shè)備的認(rèn)證報文的數(shù)量的比值小于第七閾值,所述第七閾值小于所述第三閾值。綜上所述,本發(fā)明實施例提供的接入控制設(shè)備,通過檢測到達(dá)接入控制設(shè)備的報文是否為認(rèn)證發(fā)起報文,并限制該接入控制設(shè)備接收認(rèn)證發(fā)起報文的速率,通過限制接收認(rèn)證發(fā)起報文的速率來控制進(jìn)入后續(xù)認(rèn)證的終端的數(shù)量,避免同時進(jìn)入后續(xù)認(rèn)證的終端過多而導(dǎo)致無線認(rèn)證的雪崩效應(yīng),保證當(dāng)前已經(jīng)進(jìn) 行后續(xù)接入認(rèn)證的終端能夠順利完成整個認(rèn)證過程,達(dá)到提高系統(tǒng)認(rèn)證效率的效果。此外,本發(fā)明實施例提供的接入控制設(shè)備,監(jiān)測報文接收狀態(tài),在檢測出報文接收狀態(tài)滿足第一預(yù)定條件時限制該接入控制設(shè)備接收認(rèn)證發(fā)起報文的速率,達(dá)到減輕接入控制設(shè)備的計算負(fù)擔(dān),節(jié)約處理資源的效果。另外,本發(fā)明實施例提供的接入控制設(shè)備,僅在檢測出單位時間內(nèi)通過該接入控制設(shè)備認(rèn)證成功的終端的數(shù)量大于第四閾值時,才限制該接入控制設(shè)備接收認(rèn)證發(fā)起報文的速率,達(dá)到提高檢測的準(zhǔn)確性,降低誤檢測的概率的效果。請參考圖6,其示出了本發(fā)明一個實施例提供的網(wǎng)絡(luò)設(shè)備的框圖。該網(wǎng)絡(luò)設(shè)備600可以是上述圖1所示的網(wǎng)絡(luò)環(huán)境中的接入控制設(shè)備120。該網(wǎng)絡(luò)設(shè)備可以包括:網(wǎng)卡601、中央處理器602以及存儲器603。其中,網(wǎng)卡601由包處理器(英文:packetprocessor)601a和網(wǎng)絡(luò)接口601b構(gòu)成。包處理器601a解析到達(dá)網(wǎng)絡(luò)設(shè)備的認(rèn)證報文后,將認(rèn)證報文發(fā)送給中央處理器602。中央處理器602執(zhí)行存儲器603中存儲的指令,處理認(rèn)證報文。網(wǎng)絡(luò)接口601b可以包含有線網(wǎng)絡(luò)接口,比如以太網(wǎng)接口,也可以包含無線網(wǎng)絡(luò)接口。所述包處理器601a,用于檢測到達(dá)所述網(wǎng)絡(luò)設(shè)備的報文是否為認(rèn)證發(fā)起報文,所述認(rèn)證發(fā)起報文用于發(fā)起對發(fā)送所述認(rèn)證發(fā)起報文的終端的認(rèn)證過程;所述包處理器601a,用于限制所述網(wǎng)絡(luò)設(shè)備接收認(rèn)證發(fā)起報文的速率。可選的,所述包處理器601a,用于僅在中央處理器602檢測出報文接收狀態(tài)滿足第一預(yù)定條件時,限制所述網(wǎng)絡(luò)設(shè)備接收認(rèn)證發(fā)起報文的速率;所述第一預(yù)定條件包括以下條件中的一種:單位時間內(nèi)到達(dá)所述網(wǎng)絡(luò)設(shè)備的認(rèn)證報文的數(shù)量大于第一閾值;單位時間內(nèi)所述網(wǎng)絡(luò)設(shè)備丟棄的認(rèn)證報文的數(shù)量大于第二閾值;單位時間內(nèi)所述網(wǎng)絡(luò)設(shè)備丟棄的認(rèn)證報文的數(shù)量和所述單位時間內(nèi)到達(dá)所述網(wǎng)絡(luò)設(shè)備的認(rèn)證報文的數(shù)量的比值大于第三閾值。可選的,所述包處理器601a,用于僅在中央處理器602檢測出單位時間內(nèi)通過所述網(wǎng)絡(luò)設(shè)備認(rèn)證成功的終端的數(shù)量大于第四閾值時,限制所述網(wǎng)絡(luò)設(shè)備接收認(rèn)證發(fā)起報文的速率??蛇x的,所述包處理器601a,具體用于檢測到達(dá)所述網(wǎng)絡(luò)設(shè)備的認(rèn)證報文 是否滿足第二預(yù)定條件,若所述到達(dá)所述網(wǎng)絡(luò)設(shè)備的認(rèn)證報文滿足所述第二預(yù)定條件,則確定所述到達(dá)所述網(wǎng)絡(luò)設(shè)備的認(rèn)證報文是認(rèn)證發(fā)起報文;其中,所述第二預(yù)定條件為以下條件中的一種:當(dāng)所述認(rèn)證報文為可擴展認(rèn)證協(xié)議EAP報文時,所述EAP報文的報文類型字段為1;當(dāng)所述認(rèn)證報文為EAP報文時,所述EAP報文的報文類型字段為0、數(shù)據(jù)包體類型字段為2并且認(rèn)證類型字段為1;當(dāng)所述認(rèn)證報文為用戶數(shù)據(jù)報文協(xié)議UDP報文時,所述到達(dá)所述網(wǎng)絡(luò)設(shè)備的認(rèn)證報文的ver字段為2,type字段為1,chap字段為0;以及,當(dāng)所述認(rèn)證報文為UDP報文時,所述到達(dá)所述網(wǎng)絡(luò)設(shè)備的認(rèn)證報文的ver字段為2,type字段為3,pap字段為1??蛇x的,所述包處理器601a,還用于在中央處理器602檢測出第三預(yù)定條件被滿足時,解除所述限制模塊對所述網(wǎng)絡(luò)設(shè)備接收認(rèn)證發(fā)起報文的速率的限制;其中,所述第三預(yù)定條件被滿足包括以下一種:單位時間內(nèi)到達(dá)所述網(wǎng)絡(luò)設(shè)備的認(rèn)證報文的數(shù)量小于第五閾值,所述第五閾值小于所述第一閾值;單位時間內(nèi)所述網(wǎng)絡(luò)設(shè)備丟棄的認(rèn)證報文的數(shù)量小于第六閾值,所述第六閾值小于所述第二閾值;單位時間內(nèi)所述網(wǎng)絡(luò)設(shè)備丟棄的認(rèn)證報文的數(shù)量和所述單位時間內(nèi)到達(dá)所述網(wǎng)絡(luò)設(shè)備的認(rèn)證報文的數(shù)量的比值小于第七閾值,所述第七閾值小于所述第三閾值。綜上所述,本發(fā)明實施例提供的網(wǎng)絡(luò)設(shè)備在實現(xiàn)為接入控制設(shè)備時,通過檢測到達(dá)網(wǎng)絡(luò)設(shè)備的報文是否為認(rèn)證發(fā)起報文,并限制該網(wǎng)絡(luò)設(shè)備接收認(rèn)證發(fā)起報文的速率,通過限制接收認(rèn)證發(fā)起報文的速率來控制進(jìn)入后續(xù)認(rèn)證的終端的數(shù)量,避免同時進(jìn)入后續(xù)認(rèn)證的終端過多而導(dǎo)致無線認(rèn)證的雪崩效應(yīng),保證當(dāng)前已經(jīng)進(jìn)行后續(xù)接入認(rèn)證的終端能夠順利完成整個認(rèn)證過程,達(dá)到提高系統(tǒng)認(rèn)證效率的效果。此外,本發(fā)明實施例提供的網(wǎng)絡(luò)設(shè)備在實現(xiàn)為接入控制設(shè)備時,監(jiān)測報文接收狀態(tài),在檢測出報文接收狀態(tài)滿足第一預(yù)定條件時限制該網(wǎng)絡(luò)設(shè)備接收認(rèn) 證發(fā)起報文的速率,達(dá)到減輕網(wǎng)絡(luò)設(shè)備的計算負(fù)擔(dān),節(jié)約處理資源的效果。另外,本發(fā)明實施例提供的網(wǎng)絡(luò)設(shè)備在實現(xiàn)為接入控制設(shè)備時,僅在檢測出單位時間內(nèi)通過該網(wǎng)絡(luò)設(shè)備認(rèn)證成功的終端的數(shù)量大于第四閾值時,才限制該網(wǎng)絡(luò)設(shè)備接收認(rèn)證發(fā)起報文的速率,達(dá)到提高檢測的準(zhǔn)確性,降低誤檢測的概率的效果。需要說明的是:上述實施例提供的接入控制設(shè)備在對認(rèn)證報文進(jìn)行控制時,僅以上述各功能模塊的劃分進(jìn)行舉例說明,實際應(yīng)用中,可以根據(jù)需要而將上述功能分配由不同的功能模塊完成,即將設(shè)備的內(nèi)部結(jié)構(gòu)劃分成不同的功能模塊,以完成以上描述的全部或者部分功能。另外,上述實施例提供的接入控制設(shè)備和認(rèn)證控制方法實施例屬于同一構(gòu)思,其具體實現(xiàn)過程詳見方法實施例,這里不再贅述。上述本發(fā)明實施例序號僅僅為了描述,不代表實施例的優(yōu)劣。本領(lǐng)域普通技術(shù)人員可以理解實現(xiàn)上述實施例的全部或部分步驟可以通過硬件來完成,也可以通過程序來指令相關(guān)的硬件完成,所述的程序可以存儲于一種計算機可讀存儲介質(zhì)中,上述提到的存儲介質(zhì)可以是只讀存儲器,磁盤或光盤等。以上所述,僅為本發(fā)明較佳的具體實施方式,但本發(fā)明的保護(hù)范圍并不局限于此,任何熟悉本
技術(shù)領(lǐng)域:
的技術(shù)人員在本發(fā)明揭露的技術(shù)范圍內(nèi),可輕易想到的變化或替換,都應(yīng)涵蓋在本發(fā)明的保護(hù)范圍之內(nèi)。因此,本發(fā)明的保護(hù)范圍應(yīng)該以權(quán)利要求的保護(hù)范圍為準(zhǔn)。當(dāng)前第1頁1 2 3