一种接入控制设备及认证控制方法,包括:检测到达接入控制设备的报文是否为认证发起报文,所述认证发起报文用于发起对发送所述认证发起报文的终端的认证过程;限制所述接入控制设备接收认证发起报文的速率;通过检测到达接入控制设备的报文是否为认证发起报文,并限制该接入控制设备接收认证发起报文的速率,通过限制接收认证发起报文的速率来控制进入后续认证的终端的数量,避免同时进入后续认证的终端过多而导致无线认证的雪崩效应,保证当前已经进行后续接入认证的终端能够顺利完成整个认证过程,达到提高系统认证效率的效果。
【技术实现步骤摘要】
本专利技术涉及通信领域,特别涉及一种接入控制设备及认证控制方法。
技术介绍
在有线或者无线通信中,一个终端连接局域网时,有可能需要通过接入控制器与认证服务器进行接入认证。由于接入控制器的处理能力有限,当同时进行接入认证的终端数量较多时,可能会导致接入控制器过载。为了避免过载,接入控制器可以限制接收到的认证报文的速率。比如,接入控制器预先设置接收认证报文的速率为x,当接收到的各个终端的认证报文的总速率达到x时,丢弃此时到来的其它认证报文。发送被丢弃的认证报文的终端的认证过程被打断。认证过程被打断的终端可以重新发起接入认证。如果某一时段内认证的终端过于集中,大量终端的认证过程被打断。认证过程被打断的这些终端可能立即重新发起认证,认证报文的速率还是很高。大量终端集中认证的情况持续,又会打断其它终端的交互过程。这一过程不断重复,最终导致几乎所有的用户都无法完成完整的认证过程。上述现象被称为认证的雪崩效应,影响系统的认证效率。
技术实现思路
为了解决终端认证过于集中导致认证的雪崩效应的问题,本申请提供了一种认证控制方法及接入控制设备。第一方面,提供了一种接入控制设备,所述接入控制设备包括:检测模块,用于检测到达所述接入控制设备的报文是否为认证发起报文,所述认证发起报文用于发起对发送所述认证发起报文的终端的认证过程;限制模块,用于限制所述接入控制设备接收认证发起报文的速率。结合第一方面,在第一方面的第一种可能实现方式中,所述限制模块,用于仅在报文接收状态满足第一预定条件时,限制所述接入控制设备接收认证发起报文的速率;所述第一预定条件包括以下条件中的一种:单位时间内到达所述接入控制设备的认证报文的数量大于第一阈值;单位时间内所述接入控制设备丢弃的认证报文的数量大于第二阈值;单位时间内所述接入控制设备丢弃的认证报文的数量和所述单位时间内到达所述接入控制设备的认证报文的数量的比值大于第三阈值。结合第一方面或者第一方面的第一种可能实现方式,在第一方面的第二种可能实现方式中,所述限制模块,用于仅在所述单位时间内通过所述接入控制设备认证成功的终端的数量大于第四阈值时,限制所述接入控制设备接收认证发起报文的速率。结合第一方面、第一方面的第一种可能实现方式或者第一方面的第二种可能实现方式,在第一方面的第三种可能实现方式中,所述报文检测模块,具体用于检测到达所述接入控制设备的认证报文是否满足第二预定条件,若所述到达所述接入控制设备的认证报文满足所述第二预定条件,则确定所述到达所述接入控制设备的认证报文是认证发起报文;其中,所述第二预定条件为以下条件中的一种:当所述认证报文为可扩展认证协议EAP报文时,所述EAP报文的报文类型字段为1;当所述认证报文为EAP报文时,所述EAP报文的报文类型字段为0、数据包体类型字段为2并且认证类型字段为1;当所述认证报文为挑战握手认证协议CHAP报文时,所述到达所述接入控制设备的认证报文的ver字段为2,type字段为1,chap字段为0;以及,当所述认证报文为密码认证协议PAP报文时,所述到达所述接入控制设备的认证报文的ver字段为2,type字段为3,pap字段为1。结合第一方面或者第一方面的第一至三种可能实现方式中的任意一种,在第一方面的第四种可能实现方式中,所述接入控制设备还包括:解除模块,用于在第三预定条件被满足时,解除所述限制模块对所述接入控制设备接收认证发起报文的速率的限制;其中,所述第三预定条件被满足包括以下一种:单位时间内到达所述接入控制设备的认证报文的数量小于第五阈值,所述第五阈值小于所述第一阈值;单位时间内所述接入控制设备丢弃的认证报文的数量小于第六阈值,所述第六阈值小于所述第二阈值;单位时间内所述接入控制设备丢弃的认证报文的数量和所述单位时间内到达所述接入控制设备的认证报文的数量的比值小于第七阈值,所述第七阈值小于所述第三阈值。第二方面,提供了一种认证控制方法,所述方法包括:检测到达接入控制设备的报文是否为认证发起报文,所述认证发起报文用于发起对发送所述认证发起报文的终端的认证过程;限制所述接入控制设备接收认证发起报文的速率。在第二方面的第一种可能实现方式中,所述限制所述接入控制设备接收认证发起报文的速率,包括:仅在报文接收状态满足第一预定条件时,限制所述接入控制设备接收认证发起报文的速率;所述第一预定条件包括以下条件中的一种:单位时间内到达所述接入控制设备的认证报文的数量大于第一阈值;单位时间内所述接入控制设备丢弃的认证报文的数量大于第二阈值;单位时间内所述接入控制设备丢弃的认证报文的数量和所述单位时间内到达所述接入控制设备的认证报文的数量的比值大于第三阈值。结合第二方面或者第二方面的第一种可能实现方式,在第二方面的第二种可能实现方式中,所述限制所述接入控制设备接收认证发起报文的速率,包括:仅在所述单位时间内通过所述接入控制设备认证成功的终端的数量大于第四阈值时,限制所述接入控制设备接收认证发起报文的速率。结合第二方面、第二方面的第一种可能实现方式或者第二方面的第二种可能实现方式,在第二方面的第三种可能实现方式中,所述检测到达接入控制设备的报文是否为认证发起报文,包括:检测到达所述接入控制设备的认证报文是否满足第二预定条件,若所述到达所述接入控制设备的认证报文满足所述第二预定条件,则确定所述到达所述接入控制设备的认证报文是认证发起报文;其中,所述第二预定条件为以下条件中的一种:当所述认证报文为可扩展认证协议EAP报文时,所述EAP报文的报文类型字段为1;当所述认证报文为EAP报文时,所述EAP报文的报文类型字段为0、数据包体类型字段为2并且认证类型字段为1;当所述认证报文为挑战握手认证协议CHAP报文时,所述到达所述接入控制设备的认证报文的ver字段为2,type字段为1,chap字段为0;以及,当所述认证报文为密码认证协议PAP报文时,所述到达所述接入控制设备的认证报文的ver字段为2,type字段为3,pap字段为1。结合第二方面或者第二方面的第一至三种可能实现方式中的任意一种,在第二方面的第四种可能实现方式中,所述方法还包括:在第三预定条件被满足时,解除所述限制模块对所述接入控制设备接收认证发起报文的速率的限制;其中,所述第三预定条件被满足包括以下一种:单位时间内到达所述接入控制设备的认证报文的数量小于第五阈值,所述第五阈值小于所述第一阈值;单位时间内所述接入控制设备丢弃的认证报文的数量小于第六阈值,所述第六阈值小于所述第二阈值;单位时间内所述接入控制设备丢弃的认证报文的数量和所述单位时间内到达所述接入控制设备的认证报文的数量的比值小于第七阈值,所述第七阈值小于所述第三阈值。通过检测到达接入控制设备的报文是否为认证发起报文,并限制该接入控制设备接收认证发起报文的速率,通过限制接收认证发起报文的速率来控制进入后续认证的终端的数量,避免同时进入后续认证的终端过多而导致无线认证的雪崩效应,保证当前已经进行后续接入认证的终端能够顺利完成整个认证过程,达到提高系统认证效率的效果。附图说明为了更清楚地说明本专利技术实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本专利技术的一些本文档来自技高网...
【技术保护点】
一种接入控制设备,其特征在于,所述接入控制设备包括:检测模块,用于检测到达所述接入控制设备的报文是否为认证发起报文,所述认证发起报文用于发起对发送所述认证发起报文的终端的认证过程;限制模块,用于限制所述接入控制设备接收认证发起报文的速率。
【技术特征摘要】
1.一种接入控制设备,其特征在于,所述接入控制设备包括:检测模块,用于检测到达所述接入控制设备的报文是否为认证发起报文,所述认证发起报文用于发起对发送所述认证发起报文的终端的认证过程;限制模块,用于限制所述接入控制设备接收认证发起报文的速率。2.根据权利要求1所述的接入控制设备,其特征在于,所述限制模块,用于仅在报文接收状态满足第一预定条件时,限制所述接入控制设备接收认证发起报文的速率;所述第一预定条件包括以下条件中的一种:单位时间内到达所述接入控制设备的认证报文的数量大于第一阈值;单位时间内所述接入控制设备丢弃的认证报文的数量大于第二阈值;单位时间内所述接入控制设备丢弃的认证报文的数量和所述单位时间内到达所述接入控制设备的认证报文的数量的比值大于第三阈值。3.根据权利要求1或2所述的接入控制设备,其特征在于,所述限制模块,用于仅在单位时间内通过所述接入控制设备认证成功的终端的数量大于第四阈值时,限制所述接入控制设备接收认证发起报文的速率。4.根据权利要求1至3中任意一项所述的接入控制设备,其特征在于,所述报文检测模块,具体用于检测到达所述接入控制设备的认证报文是否满足第二预定条件,若所述到达所述接入控制设备的认证报文满足所述第二预定条件,则确定所述到达所述接入控制设备的认证报文是认证发起报文;其中,所述第二预定条件为以下条件中的一种:当所述认证报文为可扩展认证协议EAP报文时,所述EAP报文的报文类型字段为1;当所述认证报文为EAP报文时,所述EAP报文的报文类型字段为0、数据包体类型字段为2并且认证类型字段为1;当所述认证报文为挑战握手认证协议CHAP报文时,所述到达所述接入控
\t制设备的认证报文的ver字段为2,type字段为1,chap字段为0;以及,当所述认证报文为密码认证协议PAP报文时,所述到达所述接入控制设备的认证报文的ver字段为2,type字段为3,pap字段为1。5.根据权利要求1至4中任意一项所述的接入控制设备,其特征在于,所述接入控制设备还包括:解除模块,用于在第三预定条件被满足时,解除所述限制模块对所述接入控制设备接收认证发起报文的速率的限制;其中,所述第三预定条件被满足包括以下一种:单位时间内到达所述接入控制设备的认证报文的数量小于第五阈值,所述第五阈值小于所述第一阈值;单位时间内所述接入控制设备丢弃的认证报文的数量小于第六阈值,所述第六阈值小于所述第二阈值;单位时间内所述接入控制设备丢弃的认证报文的数量和所述单位时间内到达所述接入控制设备的认证报文的数量的比值小于第七阈值,所述第七阈值小于所述第三阈值。6...
【专利技术属性】
技术研发人员:韩志冲,于斌,
申请(专利权)人:华为技术有限公司,
类型:发明
国别省市:广东;44
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。