CN1522020A - 一种提高802.1x认证设备稳定性的方法 - Google Patents
一种提高802.1x认证设备稳定性的方法 Download PDFInfo
- Publication number
- CN1522020A CN1522020A CNA031024394A CN03102439A CN1522020A CN 1522020 A CN1522020 A CN 1522020A CN A031024394 A CNA031024394 A CN A031024394A CN 03102439 A CN03102439 A CN 03102439A CN 1522020 A CN1522020 A CN 1522020A
- Authority
- CN
- China
- Prior art keywords
- authentication
- protocol massages
- frame
- control equipment
- access control
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Mobile Radio Communication Systems (AREA)
Abstract
本发明提供了一种提高802.1X认证设备稳定性的方法,该方法包括以下步骤:a、预先设置认证触发的抑制条件;b、判断系统当前状态是否满足认证触发的抑制条件,如果是,则丢弃当前待处理报文中类型为认证发起帧的协议报文,否则继续后续操作。应用本发明通过控制在系统繁忙时受理EAPOL-Start类型协议报文的数目,缓和了大用户量突然接入对Authenticator的冲击,从而提高了接入控制设备的稳定性及用户的成功接入率。同时,本发明不影响Authenticator与Supplicant对8021X协议的支持,并且具有良好的可扩展性、移植性和兼容性。
Description
技术领域
本发明涉及802.1X的认证技术,特别是指一种提高802.1X认证设备稳定性的方法。
背景技术
IEEE 802.1X是2001年6月电气和电子工程师协会(IEEE)标准化组织正式通过的基于端口的网络访问控制协议。802.1X协议的认证过程是通过接入控制设备即通常所说的设备端(Authenticator)与用户接入设备即通常所说的客户端(Supplicant)之间交互协议报文来完成的。Supplicant在通过认证并处于在线状态时,二者之间还会定期交互握手信息以确认在线状态有效,避免非法用户访问网络资源。
Authenticator与Supplicant之间的物理通信基础是有线局域网或无线局域网。在Authenticator与Supplicant的交互中,所有来自Supplicant的协议报文都是先由Authenticator的底层驱动程序转发到Authenticator的协议报文接收队列中,再由Authenticator按照先进先出的原则从该接收队列中读取并处理这些协议报文。
Authenticator的主要功能是根据对Supplicant的认证结果对用户待接入的端口进行控制,其功能由存在于接入控制设备中的软件模块或应用程序来实现,但Authenticator的功能载体仅为接入控制设备上的应用程序之一,或是应用程序的模块之一,因此在处理协议报文的时候,不能独占系统资源,需要按照一定的规则将CPU等系统资源短暂释放,以便其它应用程序有机会完成自己的功能。
在实际应用中下列情况是不可避免的:
(1)突然出现大量用户接入,使系统在短时间内达到满载状态;
(2)接入控制设备正在切断与所有用户设备联系的同时,Supplicant与Authenticator之间正在交互大量报文;
(3)由于突发接入并已认证成功的用户较多,进而导致系统在定期交互握手报文信息的时间也发生在同一时间,因而使系统负荷产生周期性的满载;
以上情况的发生必将使Authenticator中的协议报文接收队列中等待处理的协议报文数目超出Authenticator的处理能力,因而使Authenticator无法继续完成正常的接入认证工作。同时,由于Authenticator处于超负荷状态,还将导致正在线交互握手信息的用户,因握手时间过长而异常下线。
在现有技术中,主要采取两种措施解决上述问题:一种是人为规定限制某些用户禁止接入,另一种是提高接入控制设备的系统处理能力,如提高CPU的处理能力等。
但是这两种解决方案存在不同程度的问题:对于第一种方案,由于降低了接入用户的数目,而不能满足现代业务的发展需求;对于第二种方案,虽然在一定程度上可以缓解异常下线情况的发生,但由于引起用户接入异常最主要的原因是突发性的上下线,而通常情况下系统资源处于空闲状态,如单纯提高系统性能,会大幅提高设备成本,造成成本浪费。
发明内容
有鉴于此,本发明提供一种提高802.1X认证设备稳定性的方法。在系统繁忙的情况下,提高Authenticator的系统稳定性,同时改善系统的接入率。
为达到上述目的本发明的技术方案是这样实现的:
一种提高802.1X认证设备稳定性的方法,该方法包括以下步骤:
a、预先设置认证触发的抑制条件;
b、判断系统当前状态是否满足认证触发的抑制条件,如果是,则丢弃当前待处理报文中类型为认证发起帧的协议报文,否则继续后续操作。
较佳地,步骤a所述抑制条件是接入控制设备中协议报文接受队列的占用率。
较佳地,步骤b进一步包括:判断系统当前状态是否满足认证触发的抑制条件之前,判断当前待处理协议报文的类型是否为认证发起帧,如果是再判断系统当前状态是否满足认证触发的抑制条件,否则按不同协议报文类型分类进行处理。
较佳地,步骤b进一步包括:判断系统当前状态是否满足认证触发的抑制条件之后,如果满足条件再判断当前待处理协议报文的类型是否为认证发起帧,如果是则丢弃,否则处理该认证发起帧。
较佳地,所述步骤a是设置底层驱动在单位时间内发往接入控制设备的协议报文接收队列中认证发起帧数目的阈值;所述步骤b是判断底层驱动在单位时间内所送往接入控制设备协议报文接收队列的认证发起帧的数目是否大于所设置的阈值,如果是,则丢弃当前待送往接入控制设备协议报文接收队列的报文中类型为认证发起帧的协议报文,否则,继续向接入控制设备发送所有协议报文。
较佳地,所述步骤a是设定系统繁忙程度的阈值;所述步骤b是判断系统繁忙程度是否达到所设定的阈值,如果是,则丢弃当前送往上层接入控制设备协议报文接收队列中类型为认证发起帧的协议报文,否则,继续向接入控制设备发送所有协议报文。
较佳地,步骤b所述的判断系统繁忙程度由底层驱动实现、或由交换芯片内的逻辑电路实现、或由操作系统的软件接口实现、或由上述三者的组合共同完成。
应用本发明,通过设定认证触发的抑制条件,控制在系统繁忙时Authenticator受理EAPOL-Start类型协议报文的数目,缓和了大用户量突然接入对Authenticator的冲击,从而提高了接入控制设备的稳定性及用户的成功接入率。同时,本发明不影响Authenticator与Supplicant对802.1X协议的支持,并且具有良好的可扩展性、移植性和兼容性。
附图说明
图1为抑制新接入前后的系统资源占用率对比图;
图2为应用本发明进行接入抑制处理的总体方案流程图;
图3为应用本发明进行接入抑制处理实施例一的流程图。
具体实施方式
为使本发明的目的、技术方案及优点更加清楚明白,以下参照附图并举实施例,对本发明做进一步详细说明。
在基于802.1X协议的认证过程中,每当受理一个新的用户接入,便会引起Authenticator内部与Supplicant之间的多次消息交互,尤其是刚刚开始认证的短时间内,消息往返最为频繁。因此,在系统繁忙时,抑制新用户的接入,便会有效控制消息数目进一步增加。由于Supplicant具有重发机制,当其所发出的接入请求不被Authenticator理会时,会多次尝试重新发出接入请求,Authenticator可以在系统资源有所缓解的时候受理新的接入,从而使Authenticator对系统资源的占用比率趋于平缓。
图1所示为抑制新接入前后的系统资源占用率对比图。图中,直线11表示系统资源,曲线12表示抑制新用户接入后系统资源的占用率,曲线13表示抑制新用户接入前系统资源的占用率。可见,在同样多用户接入的情况下,采取抑制手段前,系统资源占用率可能在某一段时间内突然提高,这段时间极易导致系统出现异常,如使在线的设备因此而下线,或正在接入网络的设备无法接入成功等;在采取抑制手段后,系统资源占用率始终较为平缓,且控制在系统的处理能力之内,因而可以更有效地控制认证设备的稳定性。
由于有新用户接入时,都是由Supplicant向Authenticator发类型为认证发起帧(EAPOL-Start)的协议报文来触发认证过程,因此,在具体实现操作中,要抑制新用户的接入,只要丢弃类型为EAPOL-Start的协议报文即可。本发明的主要思想如图2所示:步骤201,预先设定触发认证的抑制条件;步骤202,判断当前系统是否满足预先设定的抑制条件,如果是,则执行步骤203,丢弃新的待处理的EAPOL-Start协议报文,否则执行步骤204,继续后续操作。针对本发明的思想有以下几种较佳实现方案。
实施例一:
当Authenticator自协议报文接收队列中取出一待处理的协议报文时,首先判断其类型为认证信息帧(EAP-Packet)、EAPOL-Start、退出请求帧(EAPOL-Logoff)、密钥信息帧(EAPOL-Key)、选择消息帧(EAPOL-Encapsulated-ASF-Alert)中的哪一种,如确认待处理协议报文的类型是EAPOL-Start,则检查当前的协议报文接收队列占用率是否达到预先设定的阈值,如果是,则丢弃该EAPOL-Start,结束本次报文处理过程。
图3所示为应用本发明进行接入抑制处理实施例一的流程图。
步骤301,Authenticator从协议报文接收队列中取出一待处理协议报文;
步骤302,判断所取协议报文的类型是否为EAPOL-Start,如果是,则执行步骤304,否则执行步骤303;
步骤303,根据协议的规定,对非EAPOL-Start类型的协议报文进行常规的相应处理后,执行步骤307;
步骤304,Authenticator判断该接收队列的占用率是否达到60%,如果是,则执行步骤306,否则执行步骤305;
步骤305,正常处理EAPOL-Start类型的协议报文后,执行步骤307;
步骤306,丢弃该协议报文;
步骤307,结束本此处理。
在上述方案中,当Authenticator从协议报文接收队列中取出一待处理协议报文后,也可先判断该接收队列的占用率是否达到60%,如果不是,则按报文类型分别完成相应的处理,如果是,则再判断所取出的协议报文是否为EAPOL-Start类型,如果是则丢弃该报文,否则进行常规处理。
实施例二:
在实际应用中,由于是底层驱动程序将接收到协议报文转发到Authenticator的协议报文接收队列中,因此,可通过控制底层驱动程序在单位时间内向Authenticator的协议报文接收队列发送类型为EAPOL-Start的协议报文的数目,以达到本发明的目的。其具体操作如下:
在底层驱动程序中预先设置系统在单位时间内接收EAPOL-Start类型的协议报文数目的阈值。如果系统在单位时间内接收EAPOL-Start类型的协议报文数目在阈值之内,则表示系统资源占用率在系统控制能力之内,则按不同协议报文类型分类进行处理;如果底层驱动程序在单位时间内收到的EAPOL-Start类型的协议报文数目超过所设定的阈值,则其不再向Authenticator的协议报文接收队列转发该类型的协议报文,直接将该类型的协议报文丢弃。
实施例三:
系统通过底层驱动程序或者交换芯片内的逻辑电路,根据进程被调用的次数或单位时间内CPU处理的数据量,等因素判断系统的繁忙程度,当系统的繁忙程度达到一定值时,控制底层驱动程序送往上层Authenticator的协议报文接收队列的EAPOL-Start的协议报文的数目,进而达到本发明的目的。
实施例四:
系统通过操作系统提供的软件接口根据任务调度时统计的时间片占用量、任务切换频率等数据判断系统的繁忙程序,当系统的繁忙程度达到一定值时,控制底层驱动程序送往上层Authenticator的协议报文接收队列的EAPOL-Start的协议报文的数目,进而达到本发明的目的。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (7)
1、一种提高802.1X认证设备稳定性的方法,其特征在于该方法包括以下步骤:
a、预先设置认证触发的抑制条件;
b、判断系统当前状态是否满足认证触发的抑制条件,如果是,则丢弃当前待处理报文中类型为认证发起帧的协议报文,否则继续后续操作。
2、根据权利要求1所述的方法,其特征在于,步骤a所述抑制条件是接入控制设备中协议报文接受队列的占用率。
3、根据权利要求2所述的方法,其特征在于步骤b进一步包括:判断系统当前状态是否满足认证触发的抑制条件之前,判断当前待处理协议报文的类型是否为认证发起帧,如果是再判断系统当前状态是否满足认证触发的抑制条件,否则按不同协议报文类型分类进行处理。
4、根据权利要求2所述的方法,其特征在于步骤b进一步包括:判断系统当前状态是否满足认证触发的抑制条件之后,如果满足条件再判断当前待处理协议报文的类型是否为认证发起帧,如果是则丢弃,否则处理该认证发起帧。
5、根据权利要求1所述的方法,其特征在于,
所述步骤a是设置底层驱动在单位时间内发往接入控制设备的协议报文接收队列中认证发起帧数目的阈值;
所述步骤b是判断底层驱动在单位时间内所送往接入控制设备协议报文接收队列的认证发起帧的数目是否大于所设置的阈值,如果是,则丢弃当前待送往接入控制设备协议报文接收队列的报文中类型为认证发起帧的协议报文,否则,继续向接入控制设备发送所有协议报文。
6、根据权利要求1所述的方法,其特征在于,
所述步骤a是设定系统繁忙程度的阈值;
所述步骤b是判断系统繁忙程度是否达到所设定的阈值,如果是,则丢弃当前送往上层接入控制设备协议报文接收队列中类型为认证发起帧的协议报文,否则,继续向接入控制设备发送所有协议报文。
7、根据权利要求6所述的方法,其特征在于,步骤b所述的判断系统繁忙程度由底层驱动实现、或由交换芯片内的逻辑电路实现、或由操作系统的软件接口实现、或由上述三者的组合共同完成。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNB031024394A CN100484130C (zh) | 2003-01-28 | 2003-01-28 | 一种提高802.1x认证设备稳定性的方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNB031024394A CN100484130C (zh) | 2003-01-28 | 2003-01-28 | 一种提高802.1x认证设备稳定性的方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN1522020A true CN1522020A (zh) | 2004-08-18 |
| CN100484130C CN100484130C (zh) | 2009-04-29 |
Family
ID=34281721
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CNB031024394A Expired - Fee Related CN100484130C (zh) | 2003-01-28 | 2003-01-28 | 一种提高802.1x认证设备稳定性的方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN100484130C (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104159289A (zh) * | 2014-08-26 | 2014-11-19 | 中国联合网络通信集团有限公司 | 家庭终端的认证注册方法和装置 |
| CN106685847A (zh) * | 2015-11-06 | 2017-05-17 | 华为技术有限公司 | 一种报文处理方法、装置及设备 |
| CN116056123A (zh) * | 2023-03-24 | 2023-05-02 | 新华三技术有限公司 | 一种设备检测方法、装置、电子设备及存储介质 |
-
2003
- 2003-01-28 CN CNB031024394A patent/CN100484130C/zh not_active Expired - Fee Related
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104159289A (zh) * | 2014-08-26 | 2014-11-19 | 中国联合网络通信集团有限公司 | 家庭终端的认证注册方法和装置 |
| CN104159289B (zh) * | 2014-08-26 | 2017-11-03 | 中国联合网络通信集团有限公司 | 家庭终端的认证注册方法和装置 |
| CN106685847A (zh) * | 2015-11-06 | 2017-05-17 | 华为技术有限公司 | 一种报文处理方法、装置及设备 |
| CN106685847B (zh) * | 2015-11-06 | 2020-01-17 | 华为技术有限公司 | 一种报文处理方法、装置及设备 |
| US10819832B2 (en) | 2015-11-06 | 2020-10-27 | Huawei Technologies Co., Ltd. | Packet processing method, apparatus, and device |
| CN116056123A (zh) * | 2023-03-24 | 2023-05-02 | 新华三技术有限公司 | 一种设备检测方法、装置、电子设备及存储介质 |
| CN116056123B (zh) * | 2023-03-24 | 2023-06-20 | 新华三技术有限公司 | 一种设备检测方法、装置、电子设备及存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN100484130C (zh) | 2009-04-29 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN1087564C (zh) | 自适应信道接入尝试的方法 | |
| Molle | A new binary logarithmic arbitration method for Ethernet | |
| US5014221A (en) | Mechanism for arbitrating client access to a networked print server | |
| CN1266893C (zh) | 保证用户匿名的方法及其无线局域网系统 | |
| CN1213563C (zh) | 通信系统及服务器装置及客户端装置、以及相应的控制方法 | |
| CN1130099C (zh) | 在通信网中检验第一通信方的真实可靠性的方法和装置 | |
| CN1816215A (zh) | 数据通信限制方法、数据通信限制系统及移动终端 | |
| CN1201583A (zh) | 蜂窝电信系统中分组交换无线电信道容许控制 | |
| WO2024066248A1 (zh) | 一种接入访问的控制方法、装置、设备和非易失性可读存储介质 | |
| EP1249970A1 (en) | A method to ensure the quality of preferred communication services such as voice versus regular data | |
| CN102185770A (zh) | 基于多核架构的批量式报文收发方法 | |
| CN1586090A (zh) | 阻塞数据和/或对数据不予处理的方法和系统以及相关的无线终端和无线业务提供商 | |
| TW200826571A (en) | Identification and management system and method applicable to a point-to-point gateway | |
| CN1200852A (zh) | 在pcs鉴别方案之间自适应地转换的方法 | |
| CN1293729C (zh) | 一种防止无线局域网频繁进行网络选择交互的方法 | |
| CN101707618B (zh) | 认证控制方法、装置、系统和认证服务器 | |
| CN1522020A (zh) | 一种提高802.1x认证设备稳定性的方法 | |
| CN1821903A (zh) | 图像形成装置和用于图像形成装置的印制处理方法 | |
| CN1992595A (zh) | 在计算机网络中检测不良企图的数据的终端机与相关方法 | |
| CN101043465A (zh) | 动态主机配置协议服务管理方法以及系统 | |
| CN101951571A (zh) | 短消息重试方法及短消息网关 | |
| CN1642167A (zh) | 主节点支持从节点上不同协议类型从单元设备的方法 | |
| CN1299526C (zh) | 一种基于用户识别模块的无线局域网终端用户认证方法 | |
| WO2008082260A1 (en) | Method and receiving apparatus for processing arq block in wibro system | |
| CN101707612B (zh) | 报文的认证处理方法及装置、认证服务器 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20090429 Termination date: 20190128 |