CN101729504A - 一种提高aaa服务器接入认证成功率的实现方法 - Google Patents
一种提高aaa服务器接入认证成功率的实现方法 Download PDFInfo
- Publication number
- CN101729504A CN101729504A CN200810173640A CN200810173640A CN101729504A CN 101729504 A CN101729504 A CN 101729504A CN 200810173640 A CN200810173640 A CN 200810173640A CN 200810173640 A CN200810173640 A CN 200810173640A CN 101729504 A CN101729504 A CN 101729504A
- Authority
- CN
- China
- Prior art keywords
- time
- user
- access authentication
- data structure
- aaa server
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Storage Device Security (AREA)
Abstract
本发明公开了一种提高AAA服务器接入认证成功率的实现方法,在不改变硬件设备的条件下,提高接入认证服务的成功率。所述方法包括:AAA服务器每次收到用户发送的接入认证请求后,计算此次请求接入认证时间与上一次请求接入认证时间的时间间隔,将所述时间间隔与预先设置的时间条件进行比较,符合条件的用户进入后续身份认证处理流程,对于不符合条件的用户,AAA服务器直接拒绝其接入认证请求。
Description
技术领域
本发明涉及数据通信领域,尤其涉及一种提高AAA服务器接入认证成功率的方法。
背景技术
接入认证成功率是指在用户输入账号、口令无误的情况下接入认证成功次数与接入认证总次数的比率,认证成功率的高低直接反应了运营商所提供的服务质量的优劣。根据接入认证成功率的定义可以得出一个结论,提高认证成功率的唯一方式就是提高认证服务器AAA系统的处理能力,无论是提高硬件设备性能还是改进软件处理认证请求的方式,提高系统的处理能力是唯一途径。在现在的数据通信领域中,为了提高接入认证成功率,通常都是通过提高硬件设备的处理能力来实现,但是这样以来必然会很大程度上加大运营商的成本。
如图1所示,现有用户接入时,向AAA接入认证服务器发送用户认证请求,而后直接进入后续认证流程。
发明内容
本发明所要解决的技术问题是提供一种提高AAA服务器接入认证成功率的实现方法,在不改变硬件设备的条件下,提高接入认证服务的成功率。
为了解决上述技术问题,本发明提供了一种提高AAA服务器接入认证成功率的实现方法,包括:
AAA服务器每次收到用户发送的接入认证请求后,计算此次请求接入认证时间与上一次请求接入认证时间的时间间隔,将所述时间间隔与预先设置的时间条件进行比较,符合条件的用户进入后续身份认证处理流程,对于不符合条件的用户,AAA服务器直接拒绝其接入认证请求。
进一步地,所述AAA服务器中建立有一数据结构,用于保存发送过接入认证请求的用户的用户标识和该用户请求接入认证的时间。
进一步地,所述方法包括:AAA服务器收到用户向其发送的接入认证请求消息后,从所述消息中提取出用户标识,并记录所述用户请求接入认证的时间;所述AAA服务器查找所述数据结构,得到所述用户上一次请求接入认证的时间,计算所述用户此次请求接入认证的时间与上一次请求接入认证的时间的时间间隔;所述AAA服务器将所述时间间隔与设定的时间段阈值进行比较,如果判断所述时间间隔小于或小于等于设定的时间段阈值,则向该用户返回认证失败的消息,同时更新所述数据结构中该用户请求接入认证的时间,否则,进入后续身份认证流程。
进一步地,所述AAA服务器查找所述数据结构时,根据所述用户标识查找,如果所述数据结构中没有所述用户的用户标识,则向所述数据结构中添加一条新记录,记录所述用户的用户标识和此次请求接入认证的时间。
进一步地,所述数据结构中的记录是按照各用户请求接入认证的时间先后顺序排列的,当AAA服务器向所述数据结构中添加记录或更新记录时,按照用户请求接入认证的时间顺序进行添加或更新。
进一步地,如果所述AAA服务器判断所述时间间隔大于或大于等于设定的时间段阈值,则删除数据结构中所述用户的记录以及数据结构中所有请求接入认证的时间小于所述用户请求接入认证的时间的记录,或者更新所述记录中用户请求接入认证的时间。
进一步地,所述数据结构中的记录是按照各用户请求接入认证的时间先后顺序排列的,所述方法包括:AAA服务器收到用户向其发送的接入认证请求消息后,从所述消息中提取出用户标识,并记录所述用户请求接入认证的时间;所述AAA服务器从所述数据结构中与当前时间最接近的记录开始遍历所述数据结构,包括:(a)读取数据结构中的记录,判断记录中的请求接入认证时间与当前用户请求接入认证的时间的时间间隔是否小于时间段阈值,如果是,执行步骤(b),否则执行步骤(c);(b)判断用户标识是否相同,如果相同,则向该用户返回认证失败的消息,更新记录中的时间,退出遍历;否则,继续遍历,返回步骤(a);(c)判断用户标识是否相同,如果是,则更新当前记录中的请求接入认证时间或删除当前记录以及当前记录之前的所有记录,退出遍历,继续后续认证流程;否则,先删除当前记录以及当前记录之前的所有记录,而后将当前发送接入认证请求的用户的用户标识和所述用户请求接入认证的时间添加到数据结构中,退出遍历,继续后续认证流程。
进一步地,所述数据结构为数据库、全局的容器类变量、栈、或者是可自动增减元素个数的数组。
进一步地,所述请求接入认证时间是指AAA服务器接收到接入认证请求的时间。
本发明通过对用户认证时间间隔信息的判断,将认证时间间隔过短的非正常用户认证请求予以拒绝,只处理有效的正常用户接入认证请求,通过过滤掉这些非法的身份认证请求,在硬件设备不变的情况下,可以使系统分配更多资源来处理更多正常的用户请求,提高了对正常用户请求的响应速率,提高了AAA系统的接入认证成功率,从而使运营商在不增加成本的前提下,为用户提供更高质量的服务。另外,通过这样的处理,还可以避免一些非法针对服务器的网络攻击。
附图说明
图1是现有用户接入认证流程图;
图2是本实施例接入认证流程图;
图3是另一实施例中遍历数据结构的流程图。
具体实施方式
下面将结合附图和具体实施方式对本发明进行详细说明。
本发明在用户发送接入认证请求时,不是在一开始就进入认证流程,而是通过预先设置的时间条件对用户的接入认证请求进行筛选,即对用户的一些相关认证信息进行判断,对正常的接入认证请求可以很快的后续执行,对其进行身份认证及后续流程处理;对于不符合条件的用户认证请求不予处理,拒绝其接入认证请求。通过此种处理机制,可以最大限度的利用系统资源,使AAA接入认证服务器(以下简称AAA服务器)总是可以处理正常用户的请求,对那些非法用户则不予以认证,提高了系统资源的利用率,很大程度上提高AAA服务器接入认证的成功率,这一点尤其是在服务器处理大话务量情况下效果更为明显。
本文中,将短时间(指小于设定时间间隔)内发送大量接入认证请求的用户称为非法用户,其在短时间内发送的接入认证请求为非法接入认证请求。
为了实现本发明,需要建立一个数据结构,例如可以在AAA服务器启动初始化时建立,用于保存发送接入认证请求的用户的用户标识(如用户名)和请求接入认证的时间。请求接入认证的时间是AAA服务器最近一次接收到该用户接入认证请求的时间,如果忽略时间延迟,也可将此接收到接入认证请求的时间称为用户最后一次发送接入认证请求的时间。该数据结构可以是一个数据库或者是一个唯一的全局的容器类变量或者是栈或者是可自动增减元素个数的数组。但是该容器类变量是放在内存中的,相比从数据库中读取更有效率。
如图2所示,用户接入流程包括:
步骤201,用户向AAA服务器发送接入认证请求消息;
步骤202,AAA服务器收到接入认证请求消息后,提取用户标识,记录接收到此消息的时间;
下文中将数据结构中记录的AAA服务器最后一次接收到用户发送的接入认证请求消息的时间简称为认证时间。将步骤202中AAA服务器接收到消息时的时间称为当前认证时间。
步骤203,根据用户标识从事先建立的数据结构中查找用户,判断该用户是否存在,如果是,执行步骤205,否则执行步骤204;
步骤204,将该用户标识和当前认证时间添加到所述数据结构中,执行步骤209;
优选地,添加用户时,以认证时间顺序将用户依次添加到数据结构中,这样在步骤203查找用户时,可以按认证时间的先后顺序查找,优选以认证时间距当前认证时间最近的记录找起。
步骤205,从数据结构中提取该用户的认证时间,计算提取出的认证时间与当前认证时间的时间间隔;
步骤206,将计算得到的时间间隔与设定的时间段阈值进行比较,判断计算得到的时间间隔是否小于设定的时间段阈值,如果是,执行步骤207,否则执行步骤208;
AAA服务器在对用户进行接入认证之前先要对用户的认证时间间隔进行判断,不符合条件的用户认证信息将会被剔除,只有符合身份认证条件的才会对其发送的消息认证包进行处理;
等于设定时间段阈值的情况可以设定为与小于时间段阈值采用相同的处理方法,或者设定为与大于时间段阈值采用相同的处理方法。
步骤207,向该用户返回认证失败的消息,不进入后续的身份认证流程,执行步骤208;
对于两次请求认证的时间间隔小于设定的时间段阈值的用户,不进入后续的身份认证流程,直接返回认证失败消息,这样系统就不会对错误的连续的认证消息包进行处理,一定程度上提高了系统处理效率。
步骤208,更新数据结构中该用户的认证时间,将当前认证时间记录到数据结构中;
将本次认证信息(包括用户名、认证时间)插入到数据结构中是为用户下次接入提供判断依据。但本步骤不限于在此时执行,只要保证在数据结构中只保留最后一次接收到该用户接入认证请求的时间即可。
步骤209,进入后续身份认证流程。
如果数据结构中是按照认证时间的时间顺序排列记录的,那么优选地,如果当前认证时间与数据结构中记录的认证时间的时间间隔大于所述时间段阈值,则可以不必更新数据结构中该用户的认证时间,而直接删除该数据结构中认证时间在当前认证时间之前的的所有记录(包括本用户在内),因为该些记录中时间信息均小于此用户的当前认证时间,因此该些认证时间与当前认证时间的时间间隔必然大于时间段阈值。及时删除记录是为了节省系统资源,减少数据处理量,提高处理数据的能力和效率,更好的提高接入认证的成功率。
查找数据结构时还可采用如下的方法,即先比较认证时间后比较用户标识,但前提是数据结构中的记录是按照认证时间的先后顺序排列的。设最近一个发送接入认证请求的用户记录在数据结构的末尾,则从该数据结构的末尾依次向前开始遍历,如图3所示,包括以下步骤:
步骤301,读取数据结构中的记录,判断记录中的认证时间与当前认证时间的时间间隔是否小于时间段阈值,如果是,执行步骤302,否则执行步骤306;
步骤302,判断用户标识是否相同,如果是,执行步骤303,否则,继续遍历,返回步骤301;
步骤303,更新记录中该用户的认证时间;
步骤304,退出遍历;
步骤305,向该用户返回认证失败的消息,不进入后续的身份认证流程,本流程结束;
步骤303至305的执行顺序可以互调,或同时执行。
步骤306,判断用户标识是否相同,如果是,执行步骤309,否则,执行步骤307;
步骤307,删除包括当前记录在内的当前记录之前的所有记录;
步骤308,将当前发送接入认证请求的用户的用户标识和当前认证时间作为记录添加到数据结构中,执行步骤310;
步骤309,删除包括当前记录在内的当前记录之前的所有记录;
当当前认证时间减去数据结构当前记录中的认证时间大于配置的时间段阈值时,将该数据结构中包括当前记录在内的当前记录之前的所有记录清空,因为如果和当前记录中的认证时间相减大于时间段阈值,那么后续进行接入认证请求的用户必定也符合认证的条件(和数据结构记录中的认证时间相减大于时间段阈值),在其他实施例中,也可以仅删除当前记录之前的记录。或者也可以不删除记录,而只更新记录中的认证时间。
步骤310,退出遍历;
步骤311,继续后续认证流程。
本发明方法采用对用户认证信息进行筛选处理,通过这种分流筛选的机制避免了对连续无效认证请求的处理,节约了系统可利用的资源,提高了系统处理正常认证请求的能力。这样在认证服务器处理大话务量的情况下,系统资源比较紧张的时候,可以更充分得利用硬件资源设备来处理有效的认证请求,与此同时对一些非法用户进行网络攻击,在很短时间内发送的大量认证请求包则拒绝予以处理,提高了系统对有效数据包的处理能力,随而提高了AAA服务器接入认证的成功率。
综上所述,本发明所论述的提高AAA服务器接入认证成功率的方法,能一定程度上节约运营商的系统资源和成本,提高了服务器系统的执行效率,尽可能多的利用了网络和系统资源,提高了AAA服务器的接入认证成功率,为运营商能够给用户提供质量更好的服务创造了一个新的平台。这样用户得到更满意的服务,同时也使运营商在用户心中有了更好的形象,增强了企业的竞争力。
Claims (9)
1.一种提高AAA服务器接入认证成功率的实现方法,其特征在于,
AAA服务器每次收到用户发送的接入认证请求后,计算此次请求接入认证时间与上一次请求接入认证时间的时间间隔,将所述时间间隔与预先设置的时间条件进行比较,符合条件的用户进入后续身份认证处理流程,对于不符合条件的用户,AAA服务器直接拒绝其接入认证请求。
2.如权利要求1所述的方法,其特征在于,
所述AAA服务器中建立有一数据结构,用于保存发送过接入认证请求的用户的用户标识和该用户请求接入认证的时间。
3.如权利要求2所述的方法,其特征在于,所述方法包括:
AAA服务器收到用户向其发送的接入认证请求消息后,从所述消息中提取出用户标识,并记录所述用户请求接入认证的时间;
所述AAA服务器查找所述数据结构,得到所述用户上一次请求接入认证的时间,计算所述用户此次请求接入认证的时间与上一次请求接入认证的时间的时间间隔;
所述AAA服务器将所述时间间隔与设定的时间段阈值进行比较,如果判断所述时间间隔小于或小于等于设定的时间段阈值,则向该用户返回认证失败的消息,同时更新所述数据结构中该用户请求接入认证的时间,否则,进入后续身份认证流程。
4.如权利要求3所述的方法,其特征在于,
所述AAA服务器查找所述数据结构时,根据所述用户标识查找,如果所述数据结构中没有所述用户的用户标识,则向所述数据结构中添加一条新记录,记录所述用户的用户标识和此次请求接入认证的时间。
5.如权利要求3或4所述的方法,其特征在于,
所述数据结构中的记录是按照各用户请求接入认证的时间先后顺序排列的,当AAA服务器向所述数据结构中添加记录或更新记录时,按照用户请求接入认证的时间顺序进行添加或更新。
6.如权利要求5所述的方法,其特征在于,
如果所述AAA服务器判断所述时间间隔大于或大于等于设定的时间段阈值,则删除数据结构中所述用户的记录以及数据结构中所有请求接入认证的时间小于所述用户请求接入认证的时间的记录,或者更新所述记录中用户请求接入认证的时间。
7.如权利要求2所述的方法,其特征在于,所述数据结构中的记录是按照各用户请求接入认证的时间先后顺序排列的,所述方法包括:
AAA服务器收到用户向其发送的接入认证请求消息后,从所述消息中提取出用户标识,并记录所述用户请求接入认证的时间;
所述AAA服务器从所述数据结构中与当前时间最接近的记录开始遍历所述数据结构,包括:
(a)读取数据结构中的记录,判断记录中的请求接入认证时间与当前用户请求接入认证的时间的时间间隔是否小于时间段阈值,如果是,执行步骤(b),否则执行步骤(c);
(b)判断用户标识是否相同,如果相同,则向该用户返回认证失败的消息,更新记录中的时间,退出遍历;否则,继续遍历,返回步骤(a);
(c)判断用户标识是否相同,如果是,则更新当前记录中的请求接入认证时间或删除当前记录以及当前记录之前的所有记录,退出遍历,继续后续认证流程;否则,先删除当前记录以及当前记录之前的所有记录,而后将当前发送接入认证请求的用户的用户标识和所述用户请求接入认证的时间添加到数据结构中,退出遍历,继续后续认证流程。
8.如权利要求2所述的方法,其特征在于,
所述数据结构为数据库、全局的容器类变量、栈、或者是可自动增减元素个数的数组。
9.如权利要求1-4、7-8中任一权利要求所述的方法,其特征在于,
所述请求接入认证时间是指AAA服务器接收到接入认证请求的时间。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN200810173640A CN101729504A (zh) | 2008-11-03 | 2008-11-03 | 一种提高aaa服务器接入认证成功率的实现方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN200810173640A CN101729504A (zh) | 2008-11-03 | 2008-11-03 | 一种提高aaa服务器接入认证成功率的实现方法 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN101729504A true CN101729504A (zh) | 2010-06-09 |
Family
ID=42449718
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN200810173640A Pending CN101729504A (zh) | 2008-11-03 | 2008-11-03 | 一种提高aaa服务器接入认证成功率的实现方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN101729504A (zh) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2017020304A1 (zh) * | 2015-08-06 | 2017-02-09 | 华为技术有限公司 | 匹配报告消息的处理方法及装置 |
CN113055342A (zh) * | 2019-12-26 | 2021-06-29 | 华为技术有限公司 | 一种信息处理方法及通信装置 |
Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101197670A (zh) * | 2006-12-08 | 2008-06-11 | 中兴通讯股份有限公司 | 用于为通过终端接入的用户提供鉴权的鉴权装置 |
-
2008
- 2008-11-03 CN CN200810173640A patent/CN101729504A/zh active Pending
Patent Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101197670A (zh) * | 2006-12-08 | 2008-06-11 | 中兴通讯股份有限公司 | 用于为通过终端接入的用户提供鉴权的鉴权装置 |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2017020304A1 (zh) * | 2015-08-06 | 2017-02-09 | 华为技术有限公司 | 匹配报告消息的处理方法及装置 |
CN113055342A (zh) * | 2019-12-26 | 2021-06-29 | 华为技术有限公司 | 一种信息处理方法及通信装置 |
CN113055342B (zh) * | 2019-12-26 | 2022-08-26 | 华为技术有限公司 | 一种信息处理方法及通信装置 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN111030936B (zh) | 网络访问的限流控制方法、装置及计算机可读存储介质 | |
CN104580406B (zh) | 一种同步登录状态的方法和装置 | |
CN106130881B (zh) | 一种帐号登录方法及装置 | |
CN101247396A (zh) | 一种分配ip地址的方法、装置及系统 | |
CN102244866A (zh) | 门户认证方法及接入控制器 | |
CN101562558B (zh) | 一种终端等级划分的方法、系统和设备 | |
CN105847277A (zh) | 用于第三方应用的服务账号共享管理方法及系统 | |
CN106254394B (zh) | 一种攻击流量的记录方法和装置 | |
CN106600275A (zh) | 一种风险识别方法及装置 | |
CN101159630A (zh) | 流量监管方法、系统和宽带接入服务器 | |
CN116545784B (zh) | 多用户场景的数据中心运行控制方法和系统 | |
CN101742497B (zh) | 接入认证的实现方法和客户端 | |
CN111147468A (zh) | 用户接入方法、装置、电子设备及存储介质 | |
CN103426105B (zh) | 面向公共无线网络的广告信息推送方法及系统 | |
CN110430062A (zh) | 登录请求处理方法、装置、设备及介质 | |
CN101729504A (zh) | 一种提高aaa服务器接入认证成功率的实现方法 | |
CN104601578B (zh) | 一种攻击报文识别方法、装置及核心设备 | |
CN109413107A (zh) | 一种可信平台连接方法 | |
JP6456409B2 (ja) | オンラインでアタッチされるユーザの総数を制御するための方法、装置、およびシステム | |
CN109714208A (zh) | 一种设备纳入网管的方法、存储介质及电子设备 | |
CN107645474A (zh) | 登录开放平台的方法及登录开放平台的装置 | |
CN106453663A (zh) | 改进的基于云服务的存储扩容方法及装置 | |
CN103384232B (zh) | 身份认证的方法及装置 | |
CN102307349B (zh) | 无线网络的接入方法、终端和服务器 | |
CN101163326A (zh) | 一种抗重放攻击的方法、系统及移动终端 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C02 | Deemed withdrawal of patent application after publication (patent law 2001) | ||
WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20100609 |