CN101707618A - 认证控制方法、装置、系统和认证服务器 - Google Patents

认证控制方法、装置、系统和认证服务器 Download PDF

Info

Publication number
CN101707618A
CN101707618A CN200910253417A CN200910253417A CN101707618A CN 101707618 A CN101707618 A CN 101707618A CN 200910253417 A CN200910253417 A CN 200910253417A CN 200910253417 A CN200910253417 A CN 200910253417A CN 101707618 A CN101707618 A CN 101707618A
Authority
CN
China
Prior art keywords
authentication
buffer
waiting time
client
processing rate
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN200910253417A
Other languages
English (en)
Other versions
CN101707618B (zh
Inventor
武卫
杨鑫伟
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Ruijie Networks Co Ltd
Original Assignee
Fujian Star Net Communication Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Fujian Star Net Communication Co Ltd filed Critical Fujian Star Net Communication Co Ltd
Priority to CN2009102534178A priority Critical patent/CN101707618B/zh
Publication of CN101707618A publication Critical patent/CN101707618A/zh
Application granted granted Critical
Publication of CN101707618B publication Critical patent/CN101707618B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明实施例提供一种认证控制方法、装置、系统和认证服务器,该认证控制方法包括:接收第一认证客户端的认证请求报文;根据所述认证请求报文对应缓冲区当前的认证处理速率和所述缓冲区对应的当前未响应认证客户端的总数,确定所述第一认证客户端的等待时间;将所述等待时间发送至所述第一认证客户端,以便所述第一认证客户端在所述等待时间结束之后,再次发起认证请求。本发明实施例实现了在突发认证风暴情况下减少重认证次数,降低认证风暴规模,有效地保证了认证服务器的稳定运行,提高了用户认证体验度。

Description

认证控制方法、装置、系统和认证服务器
技术领域
本发明实施例涉及通信技术领域,尤其涉及一种认证控制方法、装置、系统和认证服务器。
背景技术
远程用户拨号认证系统(Remote Authentication Dial In User Service;以下简称:Radius),是一种在网络接入服务器(Network Access Server;以下简称:NAS)和共享认证服务器间传输认证、授权和配置信息的协议。Radius使用用户数据报协议(User Datagram Protocol;以下简称:UDP)作为传输协议。此外,Radius也负责传送NAS和共享计费服务器间的计费信息。
在Radius中,NAS用于将用户信息传递给指定的Radius服务器,然后根据返回信息进行操作;Radius服务器用于接收用户连接请求,认证用户后,返回所有必要的配置信息以便认证客户端为用户提供服务;该Radius服务器也可以作为其他Radius服务器的代理。
在突发网络故障后或者突发新闻事件时出现大量用户集中上线的情况下,往往会发生认证风暴。此时由于Radius服务器、各认证交换机都处于满负荷运转情况,往往难以及时响应用户请求,经常发生用户因为认证失败而重复登录,加上各认证交换机本身也存在重发机制,从而导致认证报文数量在短时间呈倍数增长,有可能导致Radius服务器性能低下,甚至宕机。
为解决上述问题,现有技术提供一种协议数据包的重发与放弃机制,采用一种计时方法,通过超时重发机制,在认证失败或Radius服务器的响应时间超出预设的超时阈值时,丢弃该协议数据包;但是该方法并未减轻Radius服务器的压力,反而在原本已阻塞的通道上不断增加访问数量,使得认证风暴情形更加恶劣。
现有技术还提供一种并发响应报文处理机制,通常采用多线程并发处理的机制加快协议报文的处理能力,使得单位时间内的处理吞吐量是传统处理方式的几倍,该方法虽然从一定程度上缓解了认证风暴带给Radius服务器的处理压力,但是该方法对于Radius服务器处理能力的提升是有限的,遇到大规模应用下的认证风暴,该Radius服务器依然无法解决认证风暴带来的问题。
发明内容
本发明实施例提供一种认证控制方法、装置、系统和认证服务器,以实现在突发认证风暴情况下,减少重认证次数,保证认证服务器的稳定运行。
本发明实施例提供一种认证控制方法,包括:
接收第一认证客户端的认证请求报文;
根据所述认证请求报文对应缓冲区当前的认证处理速率和所述缓冲区对应的当前未响应认证客户端的总数,确定所述第一认证客户端的等待时间;
将所述等待时间发送至所述第一认证客户端,以便所述第一认证客户端在所述等待时间结束之后,再次发起认证请求。
本发明实施例还提供一种认证控制装置,包括:
报文接收模块,用于接收第一认证客户端的认证请求报文;
等待时间确定模块,用于根据所述认证请求报文对应缓冲区当前的认证处理速率和所述缓冲区对应的当前未响应认证客户端的总数,确定所述第一认证客户端的等待时间;
等待时间发送模块,用于将所述等待时间确定模块确定的等待时间发送至所述第一认证客户端,以便所述第一认证客户端在所述等待时间结束之后,再次发起认证请求。
本发明实施例还提供一种认证服务器,包括上述认证控制装置。
本发明实施例还提供一种认证控制系统,包括:第一认证客户端和上述认证服务器,
所述第一认证客户端,用于发送认证请求报文;
所述认证服务器,用于接收所述第一认证客户端的认证请求报文,根据所述认证请求报文对应缓冲区当前的认证处理速率和所述缓冲区对应的当前未响应认证客户端的总数,确定所述第一认证客户端的等待时间;并将所述等待时间发送至所述第一认证客户端;
所述第一认证客户端,还用于接收所述认证服务器发送的等待时间,在所述等待时间结束之后,再次发起认证请求。
本发明实施例中,在接收到认证请求报文之后,根据该认证请求报文对应缓冲区当前的认证处理速率和该缓冲区对应的当前未响应认证客户端的总数,确定发送上述认证请求报文的第一认证客户端的等待时间;并将该等待时间发送至上述第一认证客户端,使该第一认证客户端在等待时间结束之后,再次发起认证请求。本发明实施例实现了在突发认证风暴情况下减少重认证次数,降低认证风暴规模,有效地保证了认证服务器的稳定运行,提高了用户认证体验度。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明认证控制方法一个实施例的流程图;
图2为本发明认证控制方法另一个实施例的流程图;
图3为本发明认证控制方法再一个实施例的流程图;
图4为本发明认证控制装置一个实施例的结构示意图;
图5为本发明认证控制装置另一个实施例的结构示意图;
图6为本发明认证控制系统一个实施例的结构示意图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例,都属于本发明保护的范围。
图1为本发明认证控制方法一个实施例的流程图,如图1所示,该实施例可以包括:
步骤101,接收第一认证客户端的认证请求报文。
步骤102,根据该认证请求报文对应缓冲区当前的认证处理速率和该缓冲区对应的当前未响应认证客户端的总数,确定第一认证客户端的等待时间。
具体地,认证服务器可以计算上述缓冲区对应的当前未响应认证客户端的总数与该缓冲区当前的认证处理速率的比值,该比值为第一认证客户端的等待时间。
本实施例中,可以预先将认证客户端所在的接入区域划分为若干个地区,每个地区通过网络接入服务器的因特网协议(Internet Protocol;以下简称:IP)地址和网络接入服务器的端口号标识,即地区控制的粒度可以细到一个网络接入服务器的一个端口上,每个地区对应认证服务器中的一个缓冲区;当然,本发明实施例并不仅限于此,也可以至少两个地区对应认证服务器中的一个缓冲区;或者认证服务器中只有一个缓冲区,所有的认证客户端都对应这一个缓冲区,本发明实施例对认证服务器中缓冲区的个数不作限定,只要认证请求报文有对应的缓冲区即可。
步骤103,将该等待时间发送至第一认证客户端,以便第一认证客户端在上述等待时间结束之后,再次发起认证请求。
需要说明的是,本发明实施例中的认证服务器可以为Radius服务器;本发明实施例中的“第一”和“第二”仅为描述方便,不代表优先级的高低或性能的优劣,下同。
上述实施例中,认证服务器在接收到认证请求报文之后,根据该认证请求报文对应缓冲区当前的认证处理速率和该缓冲区对应的当前未响应认证客户端的总数,确定发送上述认证请求报文的第一认证客户端的等待时间;并将该等待时间发送至上述第一认证客户端,使该第一认证客户端在等待时间结束之后,再次发起认证请求。本发明实施例实现了在突发认证风暴情况下减少重认证次数,降低认证风暴规模,有效地保证了认证服务器的稳定运行,提高了用户认证体验度。
图2为本发明认证控制方法另一个实施例的流程图,如图2所示,该实施例可以包括:
步骤201,接收第一认证客户端的认证请求报文。
步骤202,根据认证请求报文确定该认证请求报文对应的缓冲区。
本实施例中,可以预先将认证客户端所在的接入区域划分为若干个地区,每个地区通过网络接入服务器的IP地址和网络接入服务器的端口号标识,即地区控制的粒度可以细到一个网络接入服务器的一个端口上,每个地区对应认证服务器中的一个缓冲区,不同的缓冲区具有不同的优先级.该缓冲区的优先级可以根据地区或该地区中的用户的重要程度确定,例如:可以将重要地区或重要用户所在地区对应的缓冲区设置为高优先级.上述网络接入服务器的IP地址和端口号、认证客户端所在的地区以及对应缓冲区的对应关系可以保存在接入地区数据库表中,该接入地区数据库表的一条记录可以如表1所示.
表1
  序号   字段名
  1   地区名称
  2   NAS IP
  3   NAS Port(NAS端口)
  4   缓冲区标识
具体地,在接收到认证请求报文之后,认证服务器可以获得该认证请求报文的报文属性中的网络接入服务器的IP地址和端口,根据该网络接入服务器的IP地址和端口,认证服务器可以确定该认证请求报文对应的缓冲区。
步骤203,根据该认证请求报文对应缓冲区当前的认证处理速率和该缓冲区对应的当前未响应认证客户端的总数,确定第一认证客户端的等待时间。
具体地,缓冲区当前的认证处理速率可以通过实时统计单位时间内,该缓冲区中已处理完毕的认证请求报文数确定。但本发明实施例并不仅限于此,任何可以确定缓冲区当前的认证处理速率的方法均应落入本发明实施例的保护范围。
根据该认证请求报文对应缓冲区当前的认证处理速率和该缓冲区对应的当前未响应认证客户端的总数,确定第一认证客户端的等待时间可以为:计算该缓冲区对应的当前未响应认证客户端的总数与该缓冲区当前的认证处理速率的比值,该比值即为第一认证客户端的等待时间;
本实施例中,每个缓冲区对应一个未响应认证客户端记录表,该未响应认证客户端记录表包括发起认证,但由于认证服务器来不及处理而被拒绝认证的认证客户端的记录,该未响应认证客户端记录表的总记录数即为该缓冲区对应的未响应认证客户端的总数,该未响应认证客户端记录表的一条记录可以如表2所示。表2中,认证客户端标识可以为认证客户端的标识(Identifier;以下简称:ID)、IP地址和媒体接入控制(Media Access Control;以下简称:MAC)地址之一或其组合;本发明实施例对认证客户端标识的具体形式不作限定,只要可以标识该认证客户端即可。该未响应认证客户端记录表的每条记录中还保存未响应认证客户端的等待时间。
表2
  序号   字段名
  1   认证客户端标识
  2   等待时间
步骤204,判断该缓冲区当前的认证处理速率是否大于该缓冲区预设的处理速率阈值;如果大于,则执行步骤206;如果该缓冲区当前的认证处理速率小于或等于该缓冲区预设的处理速率阈值,则执行步骤205。
本实施例中,处理速率阈值是预先设置的缓冲区处理报文的最大速率,用于避免认证服务器耗费过量性能而导致认证系统运行不稳定。该处理速率阈值可以根据缓冲区的优先级设置,不同优先级的缓冲区具有不同的处理速率阈值;具体地,对于优先级高的缓冲区,可以设置一个比较高的处理速率阈值;而对于优先级低的缓冲区,则可以设置一个比较低的处理速率阈值。在具体实现时,可以将重要地区或重要用户所在地区对应的缓冲区设置为高优先级,因此该重要地区或重要用户所在地区对应的缓冲区的处理速率阈值比较高,从而可以尽量保证按照正常的认证流程处理重要地区或重要用户所在地区对应的缓冲区中的认证请求报文,可以为重要地区或重要用户提供快速、稳定的网络服务。
步骤205,判断等待时间是否大于预设的报文重发时间;如果大于,则执行步骤206;如果该等待时间小于或等于预设的报文重发时间,则执行步骤207。
本实施例中,报文重发时间由第一认证客户端和/或该第一认证客户端连接的网络接入服务器预先设置;如果第一认证客户端和该第一认证客户端连接的网络接入服务器均设置了报文重发时间,且两者设置的报文重发时间不同,则认证服务器以较小的报文重发时间作为预设的报文重发时间。
步骤206,将等待时间发送至第一认证客户端,以便该第一认证客户端在等待时间结束之后,再次发起认证请求。
具体地,认证服务器可以通过拒绝(reject)报文将该等待时间发送至第一认证客户端连接的网络接入服务器,再由网络接入服务器通过基于局域网的扩展认证协议(Extensible Authentication Protocol over Local Area Network;以下简称:EAPoL)报文将该等待时间发送至第一认证客户端;以上只是将等待时间发送至第一认证客户端的一个示例,本发明实施例并不仅限于此,任何可以将等待时间发送至第一认证客户端的方法均应落入本发明实施例的保护范围。
接收到认证服务器发送的等待时间之后,第一认证客户端进入排队状态,不再提供重复认证功能,同时也不允许再次点击认证按钮进行反复认证;在该等待时间结束之后,第一认证客户端才会再次发起认证请求。
步骤207,将认证请求报文放入该认证请求报文对应的缓冲区,并更新该缓冲区对应的未响应认证客户端的总数。
具体地,更新该缓冲区对应的未响应认证客户端的总数可以为:获得该认证请求报文携带的第一认证客户端标识;当该缓冲区的未响应认证记录表中包括该第一认证客户端标识的记录时,认证服务器从该未响应认证记录表中删除第一认证客户端标识的记录,并将该缓冲区对应的未响应认证客户端的总数减1;
当上述缓冲区的未响应认证记录表中不包括该第一认证客户端标识的记录时,该认证服务器返回处理下一个认证请求报文。
上述实施例中,在接收到认证请求报文之后,认证服务器根据该认证请求报文对应缓冲区当前的认证处理速率和该缓冲区对应的当前未响应认证客户端的总数,确定发送上述认证请求报文的第一认证客户端的等待时间;并将该等待时间发送至上述第一认证客户端,使该第一认证客户端在等待时间结束之后,再次发起认证请求;从而实现了在突发认证风暴情况下减少重认证次数,降低认证风暴规模,有效地保证了认证服务器的稳定运行,提高了用户认证体验度.并且,本实施例根据缓冲区的优先级设置处理速率阈值,可以保证重要地区或重要用户的优先权益,可以为重要地区或重要用户提供快速、稳定的网络服务.
图3为本发明认证控制方法再一个实施例的流程图,如图3所示,该实施例可以包括:
步骤301,接收第一认证客户端的认证请求报文。
步骤302,根据认证请求报文确定该认证请求报文对应的缓冲区。
具体地,认证服务器可以根据本发明图2所示实施例步骤202中提供的方法确定该认证请求报文对应的缓冲区,在此不再赘述。
步骤303,根据该认证请求报文对应缓冲区当前的认证处理速率和该缓冲区对应的当前未响应认证客户端的总数,确定第一认证客户端的等待时间。
具体地,认证服务器可以根据本发明图2所示实施例步骤203中提供的方法确定第一认证客户端的等待时间,在此不再赘述。
步骤304,判断该缓冲区当前的认证处理速率是否大于该缓冲区预设的处理速率阈值;如果大于,则执行步骤306;如果该缓冲区当前的认证处理速率小于或等于该缓冲区预设的处理速率阈值,则执行步骤305。
本实施例中,处理速率阈值是预先设置的缓冲区处理报文的最大速率,用于避免认证服务器耗费过量性能而导致认证系统运行不稳定。该处理速率阈值可以根据缓冲区的优先级设置,不同优先级的缓冲区具有不同的处理速率阈值;具体地,对于优先级高的缓冲区,可以设置一个比较高的处理速率阈值;而对于优先级低的缓冲区,则可以设置一个比较低的处理速率阈值。在具体实现时,可以将重要地区或重要用户所在地区对应的缓冲区设置为高优先级,因此该重要地区或重要用户所在地区对应的缓冲区的处理速率阈值比较高,从而可以尽量保证按照正常的认证流程处理重要地区或重要用户所在地区对应的缓冲区中的认证请求报文,可以为重要地区或重要用户提供快速、稳定的网络服务。
步骤305,判断等待时间是否大于预设的报文重发时间;如果大于,则执行步骤306;如果该等待时间小于或等于预设的报文重发时间,则执行步骤307。
本实施例中,报文重发时间由第一认证客户端和/或该第一认证客户端连接的网络接入服务器预先设置;如果第一认证客户端和该第一认证客户端连接的网络接入服务器均设置了报文重发时间,且两者设置的报文重发时间不同,则认证服务器以较小的报文重发时间作为预设的报文重发时间。
步骤306,将等待时间发送至第一认证客户端,执行步骤308。
接收到该等待时间之后,该第一认证客户端可以在等待时间结束之后,再次发起认证请求。
具体地,认证服务器可以采用本发明图2所示实施例步骤206中提供的方法将上述等待时间发送至第一认证客户端,在此不再赘述。
步骤307,将认证请求报文放入该认证请求报文对应的缓冲区,并更新该缓冲区对应的未响应认证客户端的总数。
具体地,更新该缓冲区对应的未响应认证客户端的总数可以为:获得该认证请求报文携带的第一认证客户端标识;当该缓冲区的未响应认证记录表中包括该第一认证客户端标识的记录时,认证服务器从该未响应认证记录表中删除第一认证客户端标识的记录,并将该缓冲区对应的未响应认证客户端的总数减1;
当上述缓冲区的未响应认证记录表中不包括该第一认证客户端标识的记录时,该认证服务器返回处理下一个认证请求报文。
步骤308,统计上述缓冲区对应的未响应认证客户端的总数。
具体地,认证服务器可以获得该认证请求报文携带的第一认证客户端标识,该第一认证客户端标识可以为该第一认证客户端的ID、IP地址和MAC地址之一或其组合;本发明实施例对第一认证客户端标识的具体形式不作限定,只要可以标识该第一认证客户端即可;
如果上述缓冲区的未响应认证记录表中没有该第一认证客户端标识的记录,则认证服务器在未响应认证记录表中添加该第一认证客户端标识的记录,并将该缓冲区中未响应认证客户端的总数加1;另外,在添加该第一认证客户端标识的记录时,可以将该第一认证客户端的等待时间一并添加在该第一认证客户端标识对应的记录中;
如果上述缓冲区的未响应认证记录表中包括第一认证客户端标识的记录,则该认证服务器返回处理下一个认证请求报文。
上述实施例中,认证服务器在接收到认证请求报文之后,根据该认证请求报文对应缓冲区当前的认证处理速率和该缓冲区对应的当前未响应认证客户端的总数,确定发送上述认证请求报文的第一认证客户端的等待时间;并将该等待时间发送至上述第一认证客户端,使该第一认证客户端在等待时间结束之后,再次发起认证请求;从而实现了在突发认证风暴情况下减少重认证次数,降低认证风暴规模,有效地保证了认证服务器的稳定运行,提高了用户认证体验度。并且,本实施例根据缓冲区的优先级设置处理速率阈值,可以保证重要地区或重要用户的优先权益,可以为重要地区或重要用户提供快速、稳定的网络服务。
本领域普通技术人员可以理解:实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成,前述的程序可以存储于一计算机可读取存储介质中,该程序在执行时,执行包括上述方法实施例的步骤;而前述的存储介质包括:ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质。
图4为本发明认证控制装置一个实施例的结构示意图,本实施例的认证控制装置可以独立设置或作为认证服务器,或作为认证服务器的一部分,实现本发明图1所示实施例的流程图,如图4所示,该认证控制装置可以包括:报文接收模块41、等待时间确定模块42和等待时间发送模块43。
其中,报文接收模块41,用于接收第一认证客户端的认证请求报文。
等待时间确定模块42,用于根据该认证请求报文对应缓冲区当前的认证处理速率和该缓冲区对应的当前未响应认证客户端的总数,确定第一认证客户端的等待时间;具体地,等待时间确定模块42可以计算该缓冲区对应的当前未响应认证客户端的总数与该缓冲区当前的认证处理速率的比值,该比值即为第一认证客户端的等待时间。
本实施例中,可以预先将认证客户端所在的接入区域划分为若干个地区,每个地区通过网络接入服务器的IP地址和网络接入服务器的端口号标识,即地区控制的粒度可以细到一个网络接入服务器的一个端口上,每个地区对应认证服务器中的一个缓冲区;当然,本发明实施例并不仅限于此,也可以至少两个地区对应认证服务器中的一个缓冲区;或者认证服务器中只有一个缓冲区,所有的认证客户端都对应这一个缓冲区,本发明实施例对认证服务器中缓冲区的个数不作限定,只要认证请求报文有对应的缓冲区即可.
等待时间发送模块43,用于将等待时间确定模块42确定的等待时间发送至第一认证客户端,以便第一认证客户端在等待时间结束之后,再次发起认证请求;具体地,等待时间发送模块43可以通过拒绝报文将该等待时间发送至第一认证客户端连接的网络接入服务器,再由网络接入服务器通过EAPoL报文将该等待时间发送至第一认证客户端;以上只是将等待时间发送至第一认证客户端的一个示例,本发明实施例并不仅限于此,任何可以将等待时间发送至第一认证客户端的方法均应落入本发明实施例的保护范围。
接收到认证服务器发送的等待时间之后,第一认证客户端进入排队状态,不再提供重复认证功能,同时也不允许再次点击认证按钮进行反复认证;在该等待时间结束之后,第一认证客户端才会再次发起认证请求。
上述实施例中,在报文接收模块41接收到认证请求报文之后,等待时间确定模块42根据该认证请求报文对应缓冲区当前的认证处理速率和该缓冲区对应的未响应认证客户端的总数,确定发送上述认证请求报文的第一认证客户端的等待时间;并由等待时间发送模块43将该等待时间发送至上述第一认证客户端,使该第一认证客户端在等待时间结束之后,再次发起认证请求;从而实现了在突发认证风暴情况下减少重认证次数,降低认证风暴规模,有效地保证了认证服务器的稳定运行,提高了用户认证体验度。
图5为本发明认证控制装置另一个实施例的结构示意图,本实施例的认证控制装置可以独立设置或作为认证服务器,或作为认证服务器的一部分,实现本发明图1、图2或图3所示实施例的流程图,如图5所示,该认证控制装置可以包括:报文接收模块51、等待时间确定模块52、等待时间发送模块53、更新模块54、统计模块55、地址获得模块56、缓冲区确定模块57和阈值设置模块58。
其中,报文接收模块51,用于接收第一认证客户端的认证请求报文。
等待时间确定模块52,用于根据该认证请求报文对应缓冲区当前的认证处理速率和该缓冲区对应的当前未响应认证客户端的总数,确定第一认证客户端的等待时间;具体地,等待时间确定模块52可以计算该缓冲区对应的当前未响应认证客户端的总数与该缓冲区当前的认证处理速率的比值,该比值即为第一认证客户端的等待时间。
等待时间发送模块53,用于将等待时间确定模块52确定的等待时间发送至第一认证客户端,以便第一认证客户端在等待时间结束之后,再次发起认证请求;具体地,等待时间发送模块53可以在上述缓冲区当前的认证处理速率大于该缓冲区预设的处理速率阈值时,将该等待时间发送至第一认证客户端;或者,当上述缓冲区当前的认证处理速率小于或等于该缓冲区预设的处理速率阈值,并且该等待时间大于预设的报文重发时间时,将该等待时间发送至第一认证客户端。
上述报文重发时间可以由第一认证客户端和/或该第一认证客户端连接的网络接入服务器预先设置;如果第一认证客户端和该第一认证客户端连接的网络接入服务器均设置了报文重发时间,且两者设置的报文重发时间不同,则认证控制装置以较小的报文重发时间作为预设的报文重发时间。
在发送等待时间至第一认证客户端时,等待时间发送模块53可以通过拒绝报文将该等待时间发送至第一认证客户端连接的网络接入服务器,再由网络接入服务器通过EAPoL报文将该等待时间发送至第一认证客户端;以上只是将等待时间发送至第一认证客户端的一个示例,本发明实施例并不仅限于此,任何可以将等待时间发送至第一认证客户端的方法均应落入本发明实施例的保护范围.
接收到认证服务器发送的等待时间之后,第一认证客户端进入排队状态,不再提供重复认证功能,同时也不允许再次点击认证按钮进行反复认证;在该等待时间结束之后,第一认证客户端才会再次发起认证请求。
本实施例中,更新模块54,用于当上述缓冲区当前的认证处理速率小于或等于该缓冲区预设的处理速率阈值,并且等待时间小于或等于预设的报文重发时间时,将认证请求报文放入该认证请求报文对应的缓冲区,并更新该缓冲区对应的未响应认证客户端的总数。
具体地,更新模块54可以包括:第一标识获得子模块541、删除子模块542和第一数值统计子模块543。其中,第一标识获得子模块541,用于获得该认证请求报文携带的第一认证客户端标识;删除子模块542,用于当上述缓冲区的未响应认证记录表中包括该第一认证客户端标识的记录时,从未响应认证记录表中删除第一认证客户端标识的记录;第一数值统计子模块543,用于将上述缓冲区对应的未响应认证客户端的总数减1。
本实施例中,统计模块55,用于在等待时间发送模块53将等待时间发送至第一认证客户端之后,统计该缓冲区对应的未响应认证客户端的总数。
具体地,统计模块55可以包括:第二标识获得子模块551、添加子模块552和第二数值统计子模块553。其中,第二标识获得子模块551,用于获得认证请求报文携带的第一认证客户端标识;添加子模块552,用于在上述缓冲区的未响应认证记录表中没有第一认证客户端标识的记录时,在未响应认证记录表中添加第一认证客户端标识的记录;第二数值统计子模块553,用于将该缓冲区对应的未响应认证客户端的总数加1。
本实施例中,地址获得模块56,用于获得报文接收模块51接收的认证请求报文的报文属性中的网络接入服务器的IP地址和端口;
缓冲区确定模块57,用于根据地址获得模块56获得的网络接入服务器的IP地址和端口,确定该认证请求报文所属的缓冲区。
本实施例中,可以预先将认证客户端所在的接入区域划分为若干个地区,每个地区通过网络接入服务器的IP地址和网络接入服务器的端口号标识,即地区控制的粒度可以细到一个网络接入服务器的一个端口上。其中,每个地区对应一个缓冲区,不同的缓冲区具有不同的优先级,该缓冲区的优先级可以根据地区或该地区中的用户的重要程度确定,例如:可以将重要地区或重要用户所在地区对应的缓冲区设置为高优先级。上述网络接入服务器的IP地址和端口号、认证客户端所在的地区以及对应缓冲区的对应关系可以保存在接入地区数据库表中,该接入地区数据库表的一个表项可以如表1所示。
具体地,在地址获得模块56获得认证请求报文的报文属性中的网络接入服务器的IP地址和端口之后,缓冲区确定模块57可以根据该网络接入服务器的IP地址和端口,确定该认证请求报文所属的缓冲区。
阈值设置模块58,用于预先根据上述缓冲区的优先级设置该缓冲区的处理速率阈值.处理速率阈值是阈值设置模块58预先设置的缓冲区处理报文的最大速率,用于避免认证服务器耗费过量性能而导致认证系统运行不稳定.该处理速率阈值可以根据缓冲区的优先级设置,不同优先级的缓冲区具有不同的处理速率阈值;具体地,对于优先级高的缓冲区,可以设置一个比较高的处理速率阈值;而对于优先级低的缓冲区,则可以设置一个比较低的处理速率阈值.在具体实现时,可以将重要地区或重要用户所在地区对应的缓冲区设置为高优先级,因此该重要地区或重要用户所在地区对应的缓冲区的处理速率阈值比较高,从而可以尽量保证按照正常的认证流程处理重要地区或重要用户所在地区对应的缓冲区中的认证请求报文,可以为重要地区或重要用户提供快速、稳定的网络服务.
上述实施例中,在报文接收模块51接收到认证请求报文之后,等待时间确定模块52根据该认证请求报文对应缓冲区当前的认证处理速率和该缓冲区对应的当前未响应认证客户端的总数,确定发送上述认证请求报文的第一认证客户端的等待时间;并由等待时间发送模块53将该等待时间发送至上述第一认证客户端,使该第一认证客户端在等待时间结束之后,再次发起认证请求;从而实现了在突发认证风暴情况下减少重认证次数,降低认证风暴规模,有效地保证了认证服务器的稳定运行,提高了用户认证体验度。并且,本实施例中,处理速率阈值根据缓冲区的优先级设置,从而可以保证重要地区或重要用户的优先权益,可以为重要地区或重要用户提供快速、稳定的网络服务。
图6为本发明认证控制系统一个实施例的结构示意图,如图6所示,该认证控制系统可以包括:第一认证客户端61和认证服务器62。
其中,第一认证客户端61,用于发送认证请求报文;
认证服务器62,用于接收第一认证客户端61发送的认证请求报文,根据该认证请求报文对应缓冲区当前的认证处理速率和该缓冲区对应的当前未响应认证客户端的总数,确定第一认证客户端61的等待时间;并将该等待时间发送至第一认证客户端;具体地,认证服务器62可以通过本发明图4或图5所示的认证控制装置实现;
第一认证客户端61还用于在接收到认证服务器62发送的等待时间之后,进入排队状态,不再提供重复认证功能,同时也不允许再次点击认证按钮进行反复认证,在该等待时间结束之后,第一认证客户端61才会再次发起认证请求。
上述实施例中,认证服务器62在接收到认证请求报文之后,根据该认证请求报文对应缓冲区当前的认证处理速率和该缓冲区对应的当前未响应认证客户端的总数,确定发送上述认证请求报文的第一认证客户端61的等待时间;并将该等待时间发送至上述第一认证客户端61,使该第一认证客户端61在等待时间结束之后,再次发起认证请求;从而实现了在突发认证风暴情况下减少重认证次数,降低认证风暴规模,有效地保证了认证服务器62的稳定运行,提高了用户认证体验度。
本领域技术人员可以理解附图只是一个优选实施例的示意图,附图中的模块或流程并不一定是实施本发明所必须的。
本领域技术人员可以理解实施例中的装置中的模块可以按照实施例描述进行分布于实施例的装置中,也可以进行相应变化位于不同于本实施例的一个或多个装置中。上述实施例的模块可以合并为一个模块,也可以进一步拆分成多个子模块。
最后应说明的是:以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围.

Claims (20)

1.一种认证控制方法,其特征在于,包括:
接收第一认证客户端的认证请求报文;
根据所述认证请求报文对应缓冲区当前的认证处理速率和所述缓冲区对应的当前未响应认证客户端的总数,确定所述第一认证客户端的等待时间;
将所述等待时间发送至所述第一认证客户端,以便所述第一认证客户端在所述等待时间结束之后,再次发起认证请求。
2.根据权利要求1所述的方法,其特征在于,所述根据所述认证请求报文对应缓冲区当前的认证处理速率和所述缓冲区对应的当前未响应认证客户端的总数,确定所述第一认证客户端的等待时间包括:
计算所述缓冲区对应的当前未响应认证客户端的总数与所述缓冲区当前的认证处理速率的比值,所述比值为所述第一认证客户端的等待时间。
3.根据权利要求1所述的方法,其特征在于,所述将所述等待时间发送至所述第一认证客户端包括:
当所述缓冲区当前的认证处理速率大于所述缓冲区预设的处理速率阈值时,将所述等待时间发送至所述第一认证客户端;或者,
当所述缓冲区当前的认证处理速率小于或等于所述缓冲区预设的处理速率阈值,并且所述等待时间大于预设的报文重发时间时,将所述等待时间发送至所述第一认证客户端。
4.根据权利要求1所述的方法,其特征在于,所述确定所述第一认证客户端的等待时间之后,还包括:
当所述缓冲区当前的认证处理速率小于或等于所述缓冲区预设的处理速率阈值,并且所述等待时间小于或等于所述缓冲区预设的报文重发时间时,将所述认证请求报文放入所述认证请求报文对应的缓冲区,并更新所述缓冲区对应的未响应认证客户端的总数。
5.根据权利要求4所述的方法,其特征在于,所述更新所述缓冲区对应的未响应认证客户端的总数包括:
获得所述认证请求报文携带的第一认证客户端标识;
当所述缓冲区的未响应认证记录表中包括所述第一认证客户端标识的记录时,从所述未响应认证记录表中删除所述第一认证客户端标识的记录,并将所述缓冲区对应的未响应认证客户端的总数减1。
6.根据权利要求1或3所述的方法,其特征在于,所述将所述等待时间发送至所述第一认证客户端之后,还包括:
统计所述缓冲区对应的未响应认证客户端的总数。
7.根据权利要求6所述的方法,其特征在于,所述统计所述缓冲区对应的未响应认证客户端的总数包括:
获得所述认证请求报文携带的第一认证客户端标识;
如果所述缓冲区的未响应认证记录表中没有所述第一认证客户端标识的记录,则在所述未响应认证记录表中添加所述第一认证客户端标识的记录,并将所述缓冲区对应的未响应认证客户端的总数加1。
8.根据权利要求1、2、3、4、5或7所述的方法,其特征在于,还包括:
获得所述认证请求报文的报文属性中的网络接入服务器的因特网协议IP地址和端口;
根据所述网络接入服务器的IP地址和端口,确定所述认证请求报文对应的缓冲区。
9.根据权利要求8所述的方法,其特征在于,还包括:
预先根据所述缓冲区的优先级设置所述缓冲区的处理速率阈值。
10.一种认证控制装置,其特征在于,包括:
报文接收模块,用于接收第一认证客户端的认证请求报文;
等待时间确定模块,用于根据所述认证请求报文对应缓冲区当前的认证处理速率和所述缓冲区对应的当前未响应认证客户端的总数,确定所述第一认证客户端的等待时间;
等待时间发送模块,用于将所述等待时间确定模块确定的等待时间发送至所述第一认证客户端,以便所述第一认证客户端在所述等待时间结束之后,再次发起认证请求。
11.根据权利要求10所述的装置,其特征在于,所述等待时间确定模块具体用于计算所述缓冲区对应的当前未响应认证客户端的总数与所述缓冲区当前的认证处理速率的比值,所述比值为所述第一认证客户端的等待时间。
12.根据权利要求10所述的装置,其特征在于,所述等待时间发送模块具体用于当所述缓冲区当前的认证处理速率大于所述缓冲区预设的处理速率阈值时,将所述等待时间发送至所述第一认证客户端;或者,当所述缓冲区当前的认证处理速率小于或等于所述缓冲区预设的处理速率阈值,并且所述等待时间大于预设的报文重发时间时,将所述等待时间发送至所述第一认证客户端。
13.根据权利要求10所述的装置,其特征在于,还包括:
更新模块,用于当所述缓冲区当前的认证处理速率小于或等于所述缓冲区预设的处理速率阈值,并且所述等待时间小于或等于所述缓冲区预设的报文重发时间时,将所述认证请求报文放入所述认证请求报文对应的缓冲区,并更新所述缓冲区对应的未响应认证客户端的总数。
14.根据权利要求13所述的装置,其特征在于,所述更新模块包括:
第一标识获得子模块,用于获得所述认证请求报文携带的第一认证客户端标识;
删除子模块,用于当所述缓冲区的未响应认证记录表中包括所述第一认证客户端标识的记录时,从所述未响应认证记录表中删除所述第一认证客户端标识的记录;
第一数值统计子模块,用于将所述缓冲区对应的未响应认证客户端的总数减1。
15.根据权利要求10或12所述的装置,其特征在于,还包括:
统计模块,用于在所述等待时间发送模块将所述等待时间发送至所述第一认证客户端之后,统计所述缓冲区对应的未响应认证客户端的总数。
16.根据权利要求15所述的装置,其特征在于,所述统计模块包括:
第二标识获得子模块,用于获得所述认证请求报文携带的第一认证客户端标识;
添加子模块,用于在所述缓冲区的未响应认证记录表中没有所述第一认证客户端标识的记录时,在所述未响应认证记录表中添加所述第一认证客户端标识的记录;
第二数值统计子模块,用于将所述缓冲区对应的未响应认证客户端的总数加1。
17.根据权利要求10、11、12、13、14或16所述的装置,其特征在于,还包括:
地址获得模块,用于获得所述报文接收模块接收的认证请求报文的报文属性中的网络接入服务器的因特网协议IP地址和端口;
缓冲区确定模块,用于根据所述地址获得模块获得的网络接入服务器的IP地址和端口,确定所述认证请求报文所属的缓冲区。
18.根据权利要求17所述的装置,其特征在于,还包括:
阈值设置模块,用于预先根据所述缓冲区的优先级设置所述缓冲区的处理速率阈值。
19.一种认证服务器,其特征在于,包括:根据权利要求10-18任意一项所述的认证控制装置。
20.一种认证控制系统,其特征在于,包括:第一认证客户端和根据权利要求19所述的认证服务器,
所述第一认证客户端,用于发送认证请求报文;
所述认证服务器,用于接收所述第一认证客户端的认证请求报文,根据所述认证请求报文对应缓冲区当前的认证处理速率和所述缓冲区对应的当前未响应认证客户端的总数,确定所述第一认证客户端的等待时间;并将所述等待时间发送至所述第一认证客户端;
所述第一认证客户端,还用于接收所述认证服务器发送的等待时间,在所述等待时间结束之后,再次发起认证请求。
CN2009102534178A 2009-12-10 2009-12-10 认证控制方法、装置、系统和认证服务器 Active CN101707618B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN2009102534178A CN101707618B (zh) 2009-12-10 2009-12-10 认证控制方法、装置、系统和认证服务器

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN2009102534178A CN101707618B (zh) 2009-12-10 2009-12-10 认证控制方法、装置、系统和认证服务器

Publications (2)

Publication Number Publication Date
CN101707618A true CN101707618A (zh) 2010-05-12
CN101707618B CN101707618B (zh) 2013-01-30

Family

ID=42377808

Family Applications (1)

Application Number Title Priority Date Filing Date
CN2009102534178A Active CN101707618B (zh) 2009-12-10 2009-12-10 认证控制方法、装置、系统和认证服务器

Country Status (1)

Country Link
CN (1) CN101707618B (zh)

Cited By (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105915627A (zh) * 2016-05-30 2016-08-31 北京小米移动软件有限公司 业务请求处理方法及装置
CN106330550A (zh) * 2016-08-29 2017-01-11 天脉聚源(北京)传媒科技有限公司 一种应对海量并发访问的方法及装置
CN106412079A (zh) * 2016-10-20 2017-02-15 福建天泉教育科技有限公司 请求处理方法及系统
CN107426728A (zh) * 2013-12-31 2017-12-01 福建三元达网络技术有限公司 高性能接入认证处理方法、系统、控制器设备、组网装置
CN109446464A (zh) * 2018-11-09 2019-03-08 海南高灯科技有限公司 并发数确定方法、装置及服务器
CN111601296A (zh) * 2020-05-14 2020-08-28 中国联合网络通信集团有限公司 等待时间确定方法、服务器和计算机可读介质
CN112465652A (zh) * 2020-11-26 2021-03-09 泰康保险集团股份有限公司 一种权益数据处理方法、装置、电子设备及可读存储介质

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1913486A (zh) * 2005-08-10 2007-02-14 中兴通讯股份有限公司 一种增强协议报文安全的方法和装置
CN1937614B (zh) * 2005-09-19 2010-05-05 华为技术有限公司 控制终端进入空闲模式的方法、设备和系统
JP5063293B2 (ja) * 2007-10-29 2012-10-31 古野電気株式会社 通信量制御システム、通信量制御システム用サーバ、および通信量制御システム用クライアント

Cited By (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107426728A (zh) * 2013-12-31 2017-12-01 福建三元达网络技术有限公司 高性能接入认证处理方法、系统、控制器设备、组网装置
CN107426728B (zh) * 2013-12-31 2020-05-12 安科讯(福建)科技有限公司 高性能接入认证处理方法、系统、控制器设备、组网装置
CN105915627A (zh) * 2016-05-30 2016-08-31 北京小米移动软件有限公司 业务请求处理方法及装置
CN106330550A (zh) * 2016-08-29 2017-01-11 天脉聚源(北京)传媒科技有限公司 一种应对海量并发访问的方法及装置
CN106330550B (zh) * 2016-08-29 2019-06-28 天脉聚源(北京)传媒科技有限公司 一种应对海量并发访问的方法及装置
CN106412079A (zh) * 2016-10-20 2017-02-15 福建天泉教育科技有限公司 请求处理方法及系统
CN106412079B (zh) * 2016-10-20 2019-04-16 福建天泉教育科技有限公司 请求处理方法及系统
CN109446464A (zh) * 2018-11-09 2019-03-08 海南高灯科技有限公司 并发数确定方法、装置及服务器
CN111601296A (zh) * 2020-05-14 2020-08-28 中国联合网络通信集团有限公司 等待时间确定方法、服务器和计算机可读介质
CN112465652A (zh) * 2020-11-26 2021-03-09 泰康保险集团股份有限公司 一种权益数据处理方法、装置、电子设备及可读存储介质

Also Published As

Publication number Publication date
CN101707618B (zh) 2013-01-30

Similar Documents

Publication Publication Date Title
US11431637B2 (en) Network congestion control method, apparatus, and system
US11671402B2 (en) Service resource scheduling method and apparatus
CN101707618A (zh) 认证控制方法、装置、系统和认证服务器
EP2891279B1 (en) Efficient presence distribution mechanism for a large enterprise
US20150229669A1 (en) Method and device for detecting distributed denial of service attack
US20110040872A1 (en) System and method for managing network traffic
US9426767B2 (en) Method, gateway, proxy and system for implementing mobile internet services
US12052302B2 (en) Data distribution method and network device
US9001650B2 (en) TCP relay apparatus
US20220021701A1 (en) Method and System for Providing Edge Service, and Computing Device
US9713051B2 (en) Session aware access point load balancing
CN113206814B (zh) 一种网络事件处理方法、装置及可读存储介质
CN110445723B (zh) 一种网络数据调度方法及边缘节点
CN111314179A (zh) 网络质量检测方法、装置、设备和存储介质
WO2024060408A1 (zh) 网络攻击检测方法和装置、设备及存储介质
US20240015069A1 (en) Network function registration method, discovery method, apparatus, device and medium
US20190110093A1 (en) Hot live video determining method and device
US20180081746A1 (en) Application message processing system, method, and application device
US11381544B2 (en) Service type determining method and related device
CN114143387B (zh) 基于quic的应用层通讯方法、装置、存储介质
US20160323780A1 (en) Method and apparatus for using call admission control for client balancing
US20220286853A1 (en) Mobility management for aggressive devices
US20140282617A1 (en) Density-based event handling
CN113472680A (zh) 丢包处理方法、装置、通信装置及系统
CN111641698B (zh) 一种数据统计方法、系统、设备及存储介质

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
C14 Grant of patent or utility model
GR01 Patent grant
CP01 Change in the name or title of a patent holder

Address after: Cangshan District of Fuzhou City, Fujian province 350002 Jinshan Road No. 618 Garden State Industrial Park 19 floor

Patentee after: RUIJIE NETWORKS Co.,Ltd.

Address before: Cangshan District of Fuzhou City, Fujian province 350002 Jinshan Road No. 618 Garden State Industrial Park 19 floor

Patentee before: Beijing Star-Net Ruijie Networks Co.,Ltd.

CP01 Change in the name or title of a patent holder