JP6376609B2 - アクセス制御装置および認証制御方法 - Google Patents

アクセス制御装置および認証制御方法 Download PDF

Info

Publication number
JP6376609B2
JP6376609B2 JP2016170600A JP2016170600A JP6376609B2 JP 6376609 B2 JP6376609 B2 JP 6376609B2 JP 2016170600 A JP2016170600 A JP 2016170600A JP 2016170600 A JP2016170600 A JP 2016170600A JP 6376609 B2 JP6376609 B2 JP 6376609B2
Authority
JP
Japan
Prior art keywords
authentication
packet
access control
control device
threshold
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2016170600A
Other languages
English (en)
Other versions
JP2017050869A (ja
Inventor
ジチョン・ハン
ビン・ユ
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Huawei Technologies Co Ltd
Original Assignee
Huawei Technologies Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Huawei Technologies Co Ltd filed Critical Huawei Technologies Co Ltd
Publication of JP2017050869A publication Critical patent/JP2017050869A/ja
Application granted granted Critical
Publication of JP6376609B2 publication Critical patent/JP6376609B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/101Access control lists [ACL]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Power Engineering (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Description

本発明は、通信の分野、詳細には、アクセス制御装置および認証制御方法に関する。
有線または無線通信では、端末がローカルエリアネットワークに接続されるとき、端末は、アクセス・コントローラを用いて認証サーバとアクセス認証を行う必要があり得る。アクセス・コントローラの処理能力は限られているので、比較的多数の端末が同時にアクセス認証を行うとき、アクセス・コントローラが過負荷になり得る。
過負荷を防止するために、アクセス・コントローラは、受信される認証パケットの速度を制限し得る。たとえば、アクセス・コントローラは、受信される認証パケットの速度をxに予め設定し、端末の認証パケットが受信される合計の速度がxに達するとき、この時に到達する別の認証パケットを廃棄する。廃棄された認証パケットを送信する端末の認証プロセスは、中断される。認証プロセスが中断された端末は、アクセス認証を再開し得る。
認証を行う端末がある期間内に過剰に集中したならば、多数の端末の認証プロセスが中断される。認証プロセスが中断された端末は、直ちに認証を再開することが可能であり、認証パケットの速度は依然としてたいへん高い。多数の端末が集中した方式で認証を行う状況が継続し、他の端末の相互作用プロセスが中断される。このプロセスは継続的に繰り返し、最終的には、ほぼすべてのユーザが完全な認証プロセスを完了することをできなくさせる。上記の現象は、認証のアバランシェ効果と呼ばれ、システム認証効率に影響を及ぼす。
端末が過剰に集中した方式で認証を行うときに引き起こされる認証のアバランシェ効果の課題を解決するために、この出願は、認証制御方法およびアクセス制御装置を提供する。
第1の態様によれば、アクセス制御装置が提供され、ここでアクセス制御装置は、
アクセス制御装置に到着するパケットが認証開始パケットであるか否かを検出するように構成された検出モジュールであって、認証開始パケットは、認証開始パケットを送信する端末の認証プロセスを開始するために用いられる、検出モジュールと、
アクセス制御装置が認証開始パケットを受信する速度を制限するように構成された制限モジュールと、
を含む。
第1の態様を参照して、第1の態様の第1の可能な実現方式では、制限モジュールは、パケット受信状態が第1の所定の条件を満たすときのみ、アクセス制御装置が認証開始パケットを受信する速度を制限するように構成され、ここで、
第1の所定の条件は、以下の条件、
単位時間内にアクセス制御装置に到着する認証パケットの数量が、第1のしきい値よりも大きいこと、
単位時間内にアクセス制御装置によって廃棄される認証パケットの数量が、第2のしきい値よりも大きいこと、または、
単位時間内にアクセス制御装置に到着する認証パケットの数量に対する単位時間内にアクセス制御装置により廃棄される認証パケットの数量の比が、第3のしきい値よりも大きいこと、
のうちの1つを含む。
第1の態様または第1の態様の第1の可能な実現方式を参照して、第1の態様の第2の可能な実現方式では、制限モジュールは、アクセス制御装置を用いて単位時間内に認証に成功した端末の数量が第4のしきい値よりも大きいときのみ、アクセス制御装置が認証開始パケットを受信する速度を制限するように構成される。
第1の態様、第1の態様の第1の可能な実現方式、または第1の態様の第2の可能な実現方式を参照して、第1の態様の第3の可能な実現方式では、
検出モジュールは、具体的には、アクセス制御装置に到着する認証パケットが第2の所定の条件を満たすか否かを検出し、アクセス制御装置に到着する認証パケットが第2の所定の条件を満たすならば、アクセス制御装置に到着する認証パケットが認証開始パケットであると判断するように構成され、ここで、
第2の所定の条件は、以下の条件、
認証パケットが拡張認証プロトコル(EAP)パケットであるとき、EAPパケット内のパケット・タイプ・フィールドが1であること、
認証パケットがEAPパケットであるとき、EAPパケットにおいて、パケット・タイプ・フィールドが0であり、パケット・ボディ・タイプ・フィールドが2であり、認証タイプ・フィールドが1であること、
認証パケットがチャレンジ・ハンドシェイク認証プロトコル(CHAP)パケットであるとき、アクセス制御装置に到着する認証パケットにおいて、verフィールドが2であり、typeフィールドが1であり、chapフィールドが0であること、または、
認証パケットがパスワード認証プロトコル(PAP)パケットであるとき、アクセス制御装置に到着する認証パケットにおいて、verフィールドが2であり、typeフィールドが3であり、papフィールドが1であること、
のうちの1つである。
第1の態様または第1の態様の第1から第3の可能な実現方式のいずれか1つを参照して、第1の態様の第4の可能な実現方式では、アクセス制御装置は、
第3の所定の条件が満たされるとき、アクセス制御装置が認証開始パケットを受信する速度に対して制限モジュールにより行われた制限を解除するように構成された解除モジュールをさらに含み、ここで、
満たされる第3の所定の条件は、以下の条件、
単位時間内にアクセス制御装置に到着する認証パケットの数量が、第5のしきい値よりも小さく、ここで第5のしきい値は第1のしきい値よりも小さいこと、
単位時間内にアクセス制御装置によって廃棄される認証パケットの数量が、第6のしきい値よりも小さく、ここで第6のしきい値は第2のしきい値よりも小さいこと、または、
単位時間内にアクセス制御装置に到着する認証パケットの数量に対する単位時間内にアクセス制御装置により廃棄される認証パケットの数量の比が、第7のしきい値よりも小さく、ここで第7のしきい値は第3のしきい値よりも小さいこと、
のうちの1つを含む。
第2の態様によれば、認証制御方法が提供され、ここで本方法は、
アクセス制御装置に到着するパケットが認証開始パケットであるか否かを検出するステップであって、認証開始パケットは、認証開始パケットを送信する端末の認証プロセスを開始するために用いられる、ステップと、
アクセス制御装置が認証開始パケットを受信する速度を制限するステップと、
を含む。
第2の態様の第1の可能な実現方式では、アクセス制御装置が認証開始パケットを受信する速度を制限するステップは、
パケット受信状態が第1の所定の条件を満たすときのみ、アクセス制御装置が認証開始パケットを受信する速度を制限するステップを含み、ここで、
第1の所定の条件は、以下の条件、
単位時間内にアクセス制御装置に到着する認証パケットの数量が、第1のしきい値よりも大きいこと、
単位時間内にアクセス制御装置によって廃棄される認証パケットの数量が、第2のしきい値よりも大きいこと、または、
単位時間内にアクセス制御装置に到着する認証パケットの数量に対する単位時間内にアクセス制御装置により廃棄される認証パケットの数量の比が、第3のしきい値よりも大きいこと、
のうちの1つを含む。
第2の態様または第2の態様の第1の可能な実現方式を参照して、第2の態様の第2の可能な実現方式では、アクセス制御装置が認証開始パケットを受信する速度を制限するステップは、
アクセス制御装置を用いて単位時間内に認証に成功した端末の数量が第4のしきい値よりも大きいときのみ、アクセス制御装置が認証開始パケットを受信する速度を制限するステップを含む。
第2の態様、第2の態様の第1の可能な実現方式、または第2の態様の第2の可能な実現方式を参照して、第2の態様の第3の可能な実現方式では、アクセス制御装置に到着するパケットが認証開始パケットであるか否かを検出するステップは、
アクセス制御装置に到着する認証パケットが第2の所定の条件を満たすか否かを検出し、アクセス制御装置に到着する認証パケットが第2の所定の条件を満たすならば、アクセス制御装置に到着する認証パケットが認証開始パケットであると判断するステップを含み、ここで、
第2の所定の条件は、以下の条件、
認証パケットがEAPパケットであるとき、EAPパケット内のパケット・タイプ・フィールドが1であること、
認証パケットがEAPパケットであるとき、EAPパケットにおいて、パケット・タイプ・フィールドが0であり、パケット・ボディ・タイプ・フィールドが2であり、認証タイプ・フィールドが1であること、
認証パケットがCHAPパケットであるとき、アクセス制御装置に到着する認証パケットにおいて、verフィールドが2であり、typeフィールドが1であり、chapフィールドが0であること、または、
認証パケットがPAPパケットであるとき、アクセス制御装置に到着する認証パケットにおいて、verフィールドが2であり、typeフィールドが3であり、papフィールドが1であること、
のうちの1つである。
第2の態様または第2の態様の第1から第3の可能な実現方式のいずれか1つを参照して、第2の態様の第4の可能な実現方式では、本方法は、
第3の所定の条件が満たされるとき、アクセス制御装置が認証開始パケットを受信する速度に対する制限を解除するステップをさらに含み、ここで、
満たされる第3の所定の条件は、以下の、
単位時間内にアクセス制御装置に到着する認証パケットの数量が、第5のしきい値よりも小さく、ここで第5のしきい値は第1のしきい値よりも小さいこと、
単位時間内にアクセス制御装置によって廃棄される認証パケットの数量が、第6のしきい値よりも小さく、ここで第6のしきい値は第2のしきい値よりも小さいこと、または、
単位時間内にアクセス制御装置に到着する認証パケットの数量に対する単位時間内にアクセス制御装置により廃棄される認証パケットの数量の比が、第7のしきい値よりも小さく、ここで第7のしきい値は第3のしきい値よりも小さいこと、
のうちの1つを含む。
アクセス制御装置に到着するパケットが認証開始パケットであるか否かが検出され、アクセス制御装置が認証開始パケットを受信する速度が制限される。認証開始パケットが受信される速度は、後続の認証に入る端末の数量を制御するために制限され、これは、過剰に多数の端末が後続の認証に同時に入るときに引き起こされる無線認証のアバランシェ効果を防止し、現在すでに後続のアクセス認証を行っている端末が完全な認証プロセスを円滑に完了できることを保証し、それによってシステム認証効率を向上させる効果を達成する。
本発明の実施形態における技術的解決策をより明白に説明するために、以下は実施形態を説明するために要求される添付図面を簡単に説明する。明らかに、以下の説明における添付図面は、本発明の単にいくつかの実施形態を表わし、この技術分野の当業者は、創造的な努力なしに、これらの添付図面から他の図面を依然として導き出し得る。
本発明に関係するネットワーク環境のアーキテクチャ図である。 本発明の一実施形態による、認証制御方法の方法のフローチャートである。 本発明の別の実施形態による、認証制御方法の方法のフローチャートである。 図3Aに表わされた実施形態による、EAP認証の相互作用のフローチャートである。 図3Aに表わされた実施形態による、EAPパケットのカプセル化構造の図である。 図3Aに表わされた実施形態による、EAPパケット内のパケット・タイプ・フィールドが0である場合のEAPパケットのパケット・ボディのフォーマット図である。 図3Aに表わされた実施形態による、パケット・ボディのタイプがRequestまたはResponseであるときのパケット・ボディ内のデータ・フィールドのフォーマットのフォーマット図である。 図3Aに表わされた実施形態による、キャプティブ・ポータル認証の相互作用のフローチャートである。 本発明の一実施形態による、アクセス制御装置の構成図である。 本発明の別の実施形態による、アクセス制御装置の構成図である。 本発明の一実施形態による、ネットワーク装置のブロック図である。
本発明の目的、技術的解決策、および利点をより明確にするために、以下は添付図面を参照して本発明の実現方式を詳細にさらに説明する。
図1を参照されたく、これは本発明に関係するネットワーク環境のアーキテクチャ図を表わす。ネットワークは、以下のネットワーク装置、端末110、アクセス制御装置120、および認証サーバ130を含む。任意選択的に、ネットワーク環境は、ポータル・サーバ(英語:portal server)140をさらに含み得る。
アクセス制御装置120は、端末110と認証サーバ130との間で認証パケットを処理するように構成されたネットワーク装置である。たとえば、アクセス制御装置120は、専用のアクセス・コントローラであってもよいし、あるいはアクセス・コントローラの機能と一体になったネットワーク装置(たとえば、ルータまたはネットワーク・スイッチ)であってもよい。ポータル・サーバ140は、パーソナル・コンピュータであってもよいし、あるいはサーバのウェブ(英語:web)アプリケーション・サーバであってもよい。ポータル・サーバは、キャプティブ・ポータル(英語:captive portal)認証のためのソフトウェアを含む。
アクセス制御装置120は認証サーバ130に接続され、ポータル・サーバ140はアクセス制御装置120に接続される。
端末110によるアクセス認証を行うために主として2つの方式がある。1つは拡張認証プロトコル(英語:Extensible Authentication Protocol、略してEAP)認証方式であり、他はキャプティブ・ポータル認証方式である。EAP認証方式でアクセス認証を行うとき、端末110はアクセス制御装置120に接続され、キャプティブ・ポータル認証方式でアクセス認証を行うとき、端末110はポータル・サーバ140に接続される。
本発明の実施形態に表わされた解決策によれば、アクセス制御装置120が認証開始パケット(すなわち、認証プロセスを開始するため用いられる第1のパケット)を受信する速度は、単位時間内に後続の認証プロセスに入る端末の数量を制御するために制限され、これは、過剰に多数の端末が後続の認証に同時に入るときに引き起こされる無線認証のアバランシェ効果を防止し、現在すでに後続のアクセス認証を行っている端末が完全な認証プロセスを円滑に完了できることを保証する。
アバランシェ効果が生じていないとき、認証開始パケットの速度は制限されなくてもよい。したがって、処理資源を低減するために、本発明の実施形態に表わされた解決策では、端末110の認証プロセスが制御されているとき、特定の条件が満たされたときのみ認証開始パケットの速度が制限され得る。
一態様では、アクセス制御装置120に到着する認証パケット数量、失われた認証パケットの数量、および認証パケットのパケット損失率のうちの1つまたは複数が監視され得る。監視することにより、単位時間内にアクセス制御装置120に到着する認証パケットの数量が多過ぎるか、失われた認証パケットの数量が多過ぎるか、あるいは認証パケットのパケット損失率が高過ぎることが見出されたときのみ、認証開始パケットが受信される速度を制限するための条件が満たされているとみなし、そしてアクセス制御装置120が認証開始パケットを受信する速度が制限される。
別の態様では、認証プロセスでアバランシェ効果が生じたとき、単位時間内にアクセスを行って成功する端末の数量が減少する。アクセス制御装置120を用いて単位時間内にアクセスを行って成功する端末の数量も監視され得る。アクセス制御装置120が認証開始パケットを受信する速度は、監視することにより、アクセス制御装置120を用いて単位時間内にアクセスを行って成功する端末の数量がしきい値よりも少ないことが見出されたときのみ制限される。
検出の精度を向上させ、誤検出の確率を低減するために、上記2つの態様の条件が組み合わされることが可能であり、2つのタイプの条件(認証パケットを監視することおよびアクセスを行って成功する端末を監視すること)が両方満たされたときのみ認証開始パケットの速度が制限される。
図2を参照されたく、これは本発明の一実施形態による、認証制御方法の方法のフローチャートを表わす。認証制御方法は、図1に表わされた実現環境におけるアクセス制御装置120に適用され得る。認証制御方法は、以下を含み得る。
ステップ201:アクセス制御装置に到着するパケットが認証開始パケットであるか否かを検出し、ここで認証開始パケットは、認証開始パケットを送信する端末の認証プロセスを開始するために用いられる。
ステップ202:アクセス制御装置が認証開始パケットを受信する速度を制限する。
パケットを受信したとき、アクセス制御装置は、まず、受信されたパケットを一時的に記憶し、パケットのパケットヘッダを解析し、パケットヘッダを解析することにより、パケットを受信するように判断したならば、アクセス制御装置は、アクセス制御装置の処理部(たとえば、中央処理ユニット)にパケットを送信して、後続の処理を行う。したがって、本発明の実施形態では、アクセス制御装置に到着するパケットは、アクセス制御装置によって一時的に記憶されたパケットを指し、パケットを受信することは、そのパケットについて後続の処理が行われる必要があると判断されたときパケットを送信すること、たとえば、そのパケットを転送すること、または処理ユニットにそのパケットを送信することを指す。
結論として、本発明のこの実施形態で提供される認証制御方法によれば、アクセス制御装置に到着するパケットが認証開始パケットであるか否かが検出され、アクセス制御装置が認証開始パケットを受信する速度が制限される。認証開始パケットが受信される速度は、後続の認証に入る端末の数量を制御するために制限され、これは、過剰に多数の端末が後続の認証に同時に入るときに引き起こされる無線認証のアバランシェ効果を防止し、現在すでに後続のアクセス認証を行っている端末が完全な認証プロセスを円滑に完了できることを保証し、それによってシステム認証効率を向上させる効果を達成する。
図2に表わされた認証制御方法のさらなる説明のために、図3Aを参照されたく、本発明の別の実施形態による、認証制御方法の方法のフローチャートを表わす。認証制御方法は、図1に表わされた実現環境におけるアクセス制御装置120に適用され得る。認証制御方法は、以下を含み得る。
ステップ301:アクセス制御装置が認証パケットを受信する速度を制限し、ここで認証パケットは端末のアクセス認証に用いられるパケットである。
本発明のこの実施形態では、アクセス制御装置は、まず、すべての受信されるべき認証パケットに対して全体的な速度制限を行う、すなわち、認証パケットがアクセス制御装置の処理部(たとえば、中央処理ユニット)に送られる速度を制限して、過剰に多数の認証パケットにより引き起こされるアクセス制御装置の制御プレーンへの影響を防止する。
アクセス制御装置は、トークン・バケット機構を用いて受信されるべき認証パケットに対する全体的な速度制限を行い得る。トークン・バケット・アルゴリズムは、ネットワーク・トラヒック・シェーピングおよび速度制限でしばしば用いられるアルゴリズムである。典型的に、トークン・バケット・アルゴリズムは、受信されるデータの量を制御し、バースト・データの送信を可能にするために使用される。
ステップ302:パケットの受信状態を監視する。
本発明のこの実施形態では、パケットの受信状態は、単位時間内にアクセス制御装置に到着する認証パケットの数量、単位時間内にアクセス制御装置により廃棄される認証パケットの数量、または、単位時間内にアクセス制御装置に到着する認証パケットの数量に対する単位時間内にアクセス制御装置により廃棄される認証パケットの数量の比のうちの少なくとも1つを含み得る。
ステップ303:パケットの受信状態が第1の所定の条件を満たすか否かを検出する。
本発明のこの実施形態では、第1の所定の条件は、以下の条件、
単位時間内にアクセス制御装置に到着する認証パケットの数量が、第1のしきい値よりも大きいこと、
単位時間内にアクセス制御装置によって廃棄される認証パケットの数量が、第2のしきい値よりも大きいこと、または、
単位時間内にアクセス制御装置に到着する認証パケットの数量に対する単位時間内にアクセス制御装置により廃棄される認証パケットの数量の比が、第3のしきい値よりも大きいこと、
のうちの1つを含む。
本発明のこの実施形態では、アクセス制御装置における計算の負荷を軽減し、処理資源を低減するために、パケットの受信状態が第1の所定の条件を満たすか否かがまず検出されることが可能であり、パケットの受信状態が第1の所定の条件を満たしているとき、認証開始パケットを制限するための条件が満たされているとみなされることが可能である。認証開始パケットは、認証開始パケットを送信する端末の認証プロセスを開始するために使用される。
第1の所定の条件に関係する第1のしきい値は、アクセス制御装置の計算能力に従って設定されることが可能であり、たとえば、第1のしきい値は、単位時間内にアクセス制御装置により処理することができる認証パケットの最大数量に設定されることが可能である。第1の所定の条件に関係する第2のしきい値および第3のしきい値の両方は0に設定されてもよく、あるいは0より大きい値にそれぞれ設定されてもよい。
ステップ304:アクセス制御装置を用いて単位時間内に認証に成功した端末の数量を監視する。
ステップ305:アクセス制御装置を用いて単位時間内に認証に成功した端末の数量が第4のしきい値よりも大きいか否かを検出する。
ステップ304およびステップ305における単位時間は、ステップ302およびステップ303における単位時間と同一であってもよく、あるいは異なってもよい。
実際の適用では、バースト・データが存在するので、無線認証のアバランシェ効果が生じていないとき、多数の認証パケットがアクセス制御装置に到着する、または多数の認証パケットがアクセス制御装置により廃棄される場合が現れ得る。したがって、アクセス制御装置に到着する認証パケットの数量、またはアクセス制御装置によって破棄される認証パケットの数量のみに従って、アバランシェ効果が生じているか否かを判断するのは、不正確である。したがって、本発明のこの実施形態に表わされた解決策において、判断の精度を向上させるためには、アクセス制御装置を用いて単位時間内に認証に成功した端末の数量を参照して、アバランシェ効果が生じているか否かがさらに判断されることが可能であり、すなわち、アクセス制御装置を用いて単位時間内に認証に成功した端末の数量が第4のしきい値よりも大きいときのみ、認証開始パケットが受信される速度を制限するための条件が満たされているとみなされる。
ステップ306:パケットの受信状態が第1の所定の条件を満たし、かつ、アクセス制御装置を用いて単位時間内に認証に成功した端末の数量が第4のしきい値よりも大きいとき、アクセス制御装置に到着する認証パケットが第2の所定の条件を満たすか否かを検出し、アクセス制御装置に到着する認証パケットが第2の所定の条件を満たすならば、アクセス制御装置に到着する認証パケットが認証開始パケットであると判断する。
第2の所定の条件は、以下の条件、
認証パケットが拡張認証プロトコルEAPパケットであるとき、EAPパケット内のパケット・タイプ・フィールドが1であること、
認証パケットがEAPパケットであるとき、EAPパケットにおいて、パケット・タイプ・フィールドが0であり、パケット・ボディ・タイプ・フィールドが2であり、認証タイプ・フィールドが1であること、
認証パケットがチャレンジ・ハンドシェイク認証プロトコルCHAPパケットであるとき、アクセス制御装置に到着する認証パケットにおいて、verフィールドが2であり、typeフィールドが1であり、chapフィールドが0であること、または、
認証パケットがパスワード認証プロトコルPAPパケットであるとき、アクセス制御装置に到着する認証パケットにおいて、verフィールドが2であり、typeフィールドが3であり、papフィールドが1であること、
のうちの1つである。
EAP認証について、図3Bから図3Eを参照されたい。図3Bは、EAP認証の相互作用のフローチャートを表わす。図3Bでは、認証開始パケットは、EAPパケットのうちのEAP-STARTパケットまたはEAP-IDENTITYパケットである。図3Cを参照されたく、これはEAPパケットのカプセル化構造の図を表わす。EAPパケットのカプセル化構造の図におけるTypeフィールドは、EAPパケット内のパケット・タイプ・フィールドである。パケット・タイプ・フィールドの値は、Packet Bodyに含まれるデータ・フレームのタイプを示すために用いられる。EAPパケット内のパケット・タイプ・フィールドの値およびその値により示されるデータ・フレーム・タイプが表1に表わされる。
Figure 0006376609
EAP-STARTパケットは、認証開始フレームを含む。したがって、認証パケットがEAPパケットであり、かつEAPパケット内のパケット・タイプ・フィールドが1である(または、0x01と表現される)とき、そのパケットはEAP-STARTパケットである。
図3Dを参照されたく、これはEAPパケット内のパケット・タイプ・フィールドが0である場合の、EAPパケットのパケット・ボディ(Packet Body)のフォーマット図を表わす。パケット・ボディ内のCodeフィールドは、パケット・ボディ・タイプ・フィールドである。パケット・ボディ・タイプ・フィールドの値およびその値により示されるパケット・ボディ・タイプが表2に表わされる。
Figure 0006376609
パケット・ボディのタイプがRequestまたはResponseであるとき、パケット・ボディ内のデータ(Data)フィールドのフォーマットのフォーマット図が図3Eに表わされ得る。データ・フィールド内のTypeフィールドは、認証タイプ・フィールドである。認証タイプ・フィールドの値およびその値により示される認証タイプが表3に表わされる。
Figure 0006376609
EAP-IDENTITY(identity)パケットは認証情報フレームを含み、EAP-IDENTITY(identity)パケットのパケット・ボディ・タイプはResponseであり、EAP-IDENTITY(identity)パケットの認証タイプはIdentifierである。したがって、認証パケットがEAPパケットであるとき、EAPパケット内のパケット・タイプ・フィールドは0であり(または0x00と表現される)、パケット・ボディ・タイプ・フィールドは2であり、認証タイプ・フィールドは1であり、パケットはEAP-IDENTITY(identity)パケットである。
キャプティブ・ポータル認証について、図3Fを参照されたく、これはキャプティブ・ポータル認証の相互作用のフローチャートを表わす。キャプティブ・ポータル認証を搬送するパケットは、ユーザ・データグラム・プロトコル(英語:User Datagram Protocol、UDP)パケットである。UDPパケットのポート番号に従って、UDPパケット内のペイロードは、チャレンジ・ハンドシェイク認証プロトコル(英語:Challenge Handshake Authentication Protocol、略してCHAP)パケット、またはパスワード認証プロトコル(英語:Password Authentication Protocol、略してPAP)パケットであると判断され得る。図3Fでは、認証開始パケットは、CHAPパケット(すなわち、CHALLENGE要求パケット)またはPAP認証要求パケットである。CHAPパケットがCHALLENGE要求パケットであるとき、CHAPパケットにおいて、verフィールドは2であり、typeフィールドは1であり、chapフィールドは0である。PAPパケットがPAP認証要求パケットであるとき、PAPパケットにおいて、verフィールドは2であり、typeフィールドは3であり、papフィールドは1である。
ステップ307:アクセス制御装置が認証開始パケットを受信する速度を制限する。
具体的には、アクセス制御装置が認証開始パケットを受信する速度が制限されているとき、単位時間内にアクセス制御装置によって処理ユニットに送信される認証開始パケットの数量が制限されることが可能であり、あるいは、単位時間内にアクセス制御装置によって処理ユニットに送信される認証開始パケットのデータ量が制限されることが可能である。制限プロセスはトークン・バケット機構を用いて実現されることも可能であり、これはここで繰り返して説明されない。
ステップ308:パケットの受信状態を監視することを継続し、パケットの受信状態が第3の所定の条件を満たしているか否かを検出する。
満たされる第3の所定の条件は、以下の、
単位時間内にアクセス制御装置に到着する認証パケットの数量が、第5のしきい値よりも小さく、ここで第5のしきい値は第1のしきい値よりも小さいこと、
単位時間内にアクセス制御装置によって廃棄される認証パケットの数量が、第6のしきい値よりも小さく、ここで第6のしきい値は第2のしきい値よりも小さいこと、または、
単位時間内にアクセス制御装置に到着する認証パケットの数量に対する単位時間内にアクセス制御装置により廃棄される認証パケットの数量の比が、第7のしきい値よりも小さく、ここで第7のしきい値は第3のしきい値よりも小さいこと、
のうちの1つを含む。
ステップ309:アクセス制御装置が認証開始パケットを受信する速度に対する制限を解除する。
アクセス制御装置が認証開始パケットを受信する速度が制限された後に、アクセス制御装置のパケットの受信状態は監視されることを継続し得る。監視することによって、単位時間内にアクセス制御装置に到着する認証パケットの数量がしきい値より下に減少する、あるいは、単位時間内に廃棄される認証パケットの数量がしきい値より下に減少する、あるいは、単位時間内にアクセス制御装置に到着する認証パケット数量に対する単位時間内に廃棄される認証パケットの数量の比がしきい値より下に減少することが見出されたとき、現在アクセス認証を行う端末の数量はすでに比較的少ないと判断され得る。この場合には、アクセス制御装置における計算の負荷を軽減し、処理資源を低減するために、アクセス制御装置が認証開始パケットを受信する速度に対する制限が解除され得る。
結論として、本発明のこの実施形態で提供される認証制御方法によれば、アクセス制御装置に到着するパケットが認証開始パケットであるか否かが検出され、アクセス制御装置が認証開始パケットを受信する速度が制限される。認証開始パケットが受信される速度は、後続の認証に入る端末の数量を制御するために制限され、これは、過剰に多数の端末が後続の認証に同時に入るときに引き起こされる無線認証のアバランシェ効果を防止し、現在すでに後続のアクセス認証を行っている端末が完全な認証プロセスを円滑に完了できることを保証し、それによってシステム認証効率を向上させる効果を達成する。
その上、本発明のこの実施形態で提供される認証制御方法によれば、パケットの受信状態が監視され、パケットの受信状態が第1の所定の条件を満たしていることが検出されるとき、アクセス制御装置が認証開始パケットを受信する速度が制限され、それによってアクセス制御装置における計算の負荷を軽減し、かつ処理資源を低減する効果を達成する。
その上、本発明のこの実施形態で提供される認証制御方法によれば、アクセス制御装置を用いて単位時間内に認証に成功した端末の数量が第4のしきい値よりも大きいことが検出されたときのみ、アクセス制御装置が認証開始パケットを受信する速度が制限され、それによって検出の精度を向上させ、かつ誤検出の確率を低減する効果を達成する。
図4を参照されたく、これは本発明の一実施形態によるアクセス制御装置の構成図を表わす。アクセス制御装置は、図1に表わされた実現環境におけるアクセス制御装置120として実現され得る。アクセス制御装置は、
アクセス制御装置に到着するパケットが認証開始パケットであるか否かを検出するように構成された検出モジュール401であって、認証開始パケットは、認証開始パケットを送信する端末の認証プロセスを開始するために用いられる、検出モジュール401と、
アクセス制御装置が認証開始パケットを受信する速度を制限するように構成された制限モジュール402と、
を含み得る。
結論として、本発明のこの実施形態で提供されるアクセス制御装置によれば、アクセス制御装置に到着するパケットが認証開始パケットであるか否かが検出され、アクセス制御装置が認証開始パケットを受信する速度が制限される。認証開始パケットが受信される速度は、後続の認証に入る端末の数量を制御するために制限され、これは、過剰に多数の端末が後続の認証に同時に入るときに引き起こされる無線認証のアバランシェ効果を防止し、現在すでに後続のアクセス認証を行っている端末が完全な認証プロセスを円滑に完了できることを保証し、それによってシステム認証効率を向上させる効果を達成する。
図4に表わされた認証制御装置のさらなる説明のために、図5を参照されたく、これは本発明の別の実施形態によるアクセス制御装置の構成図を表わす。アクセス制御装置は、図1に表わされた実現環境におけるアクセス制御装置120として実現され得る。アクセス制御装置は、
アクセス制御装置に到着するパケットが認証開始パケットであるか否かを検出するように構成された検出モジュール401であって、認証開始パケットは、認証開始パケットを送信する端末の認証プロセスを開始するために用いられる、検出モジュール401と、
アクセス制御装置が認証開始パケットを受信する速度を制限するように構成された制限モジュール402と、
を含み得る。
任意選択的に、制限モジュール402は、パケット受信状態が第1の所定の条件を満たすときのみ、アクセス制御装置が認証開始パケットを受信する速度を制限するように構成され、ここで、
第1の所定の条件は、以下の条件、
単位時間内にアクセス制御装置に到着する認証パケットの数量が、第1のしきい値よりも大きいこと、
単位時間内にアクセス制御装置によって廃棄される認証パケットの数量が、第2のしきい値よりも大きいこと、または、
単位時間内にアクセス制御装置に到着する認証パケットの数量に対する単位時間内にアクセス制御装置により廃棄される認証パケットの数量の比が、第3のしきい値よりも大きいこと、
のうちの1つを含む。
任意選択的に、制限モジュール402は、アクセス制御装置を用いて単位時間内に認証に成功した端末の数量が第4のしきい値よりも大きいときのみ、アクセス制御装置が認証開始パケットを受信する速度を制限するように構成される。
任意選択的に、検出モジュール401は、具体的には、アクセス制御装置に到着する認証パケットが第2の所定の条件を満たすか否かを検出し、アクセス制御装置に到着する認証パケットが第2の所定の条件を満たすならば、アクセス制御装置に到着する認証パケットが認証開始パケットであると判断するように構成され、ここで、
第2の所定の条件は、以下の条件、
認証パケットが拡張認証プロトコルEAPパケットであるとき、EAPパケット内のパケット・タイプ・フィールドが1であること、
認証パケットがEAPパケットであるとき、EAPパケットにおいて、パケット・タイプ・フィールドが0であり、パケット・ボディ・タイプ・フィールドが2であり、認証タイプ・フィールドが1であること、
認証パケットがチャレンジ・ハンドシェイク認証プロトコルCHAPパケットであるとき、アクセス制御装置に到着する認証パケットにおいて、verフィールドが2であり、typeフィールドが1であり、chapフィールドが0であること、または、
認証パケットがパスワード認証プロトコルPAPパケットであるとき、アクセス制御装置に到着する認証パケットにおいて、verフィールドが2であり、typeフィールドが3であり、papフィールドが1であること、
のうちの1つである。
任意選択的に、アクセス制御装置は、
第3の所定の条件が満たされたとき、アクセス制御装置が認証開始パケットを受信する速度に対して制限モジュールにより行われた制限を解除するように構成された解除モジュール403をさらに含み、ここで、
満たされる第3の所定の条件は、以下の、
単位時間内にアクセス制御装置に到着する認証パケットの数量が、第5のしきい値よりも小さく、ここで第5のしきい値は第1のしきい値よりも小さいこと、
単位時間内にアクセス制御装置によって廃棄される認証パケットの数量が、第6のしきい値よりも小さく、ここで第6のしきい値は第2のしきい値よりも小さいこと、または、
単位時間内にアクセス制御装置に到着する認証パケットの数量に対する単位時間内にアクセス制御装置により廃棄される認証パケットの数量の比が、第7のしきい値よりも小さく、ここで第7のしきい値は第3のしきい値よりも小さいこと、
のうちの1つを含む。
結論として、本発明のこの実施形態で提供されるアクセス制御装置によれば、アクセス制御装置に到着するパケットが認証開始パケットであるか否かが検出され、アクセス制御装置が認証開始パケットを受信する速度が制限される。認証開始パケットが受信される速度は、後続の認証に入る端末の数量を制御するために制限され、これは、過剰に多数の端末が後続の認証に同時に入るときに引き起こされる無線認証のアバランシェ効果を防止し、現在すでに後続のアクセス認証を行っている端末が完全な認証プロセスを円滑に完了できることを保証し、それによってシステム認証効率を向上させる効果を達成する。
その上、本発明のこの実施形態で提供されるアクセス制御装置によれば、パケットの受信状態が監視され、パケットの受信状態が第1の所定の条件を満たしていることが検出されたとき、アクセス制御装置が認証開始パケットを受信する速度が制限され、それによってアクセス制御装置における計算の負荷を軽減し、かつ処理資源を低減する効果を達成する。
その上、本発明のこの実施形態で提供されるアクセス制御装置によれば、アクセス制御装置を用いて単位時間内に認証に成功した端末の数量が第4のしきい値よりも大きいことが検出されたときのみ、アクセス制御装置が認証開始パケットを受信する速度が制限され、それによって検出の精度を向上させ、かつ誤検出の確率を低減する効果を達成する。
図6を参照されたく、これは本発明の一実施形態によるネットワーク装置のブロック図を表わす。ネットワーク装置600は、図1に表わされたネットワーク環境における上記のアクセス制御装置120であり得る。ネットワーク装置は、ネットワーク・アダプタ601、中央処理ユニット602、およびメモリ603を含み得る。ネットワーク・アダプタ601は、パケットプロセッサ(英語:packet processor)601aおよびネットワーク・インターフェース601bを含む。ネットワーク装置に到着する認証パケットを解析した後に、パケットプロセッサ601aは、中央処理ユニット602に認証パケットを送信する。中央処理ユニット602は、メモリ603に記憶されている命令を実行して、認証パケットを処理する。ネットワーク・インターフェース601bは、有線ネットワーク・インターフェース、たとえばイーサネット(登録商標)インターフェースを含むことが可能であり、あるいは無線ネットワーク・インターフェースを含むことが可能である。
パケットプロセッサ601aは、ネットワーク装置に到着するパケットが認証開始パケットであるか否かを検出するように構成され、ここで認証開始パケットは、認証開始パケットを送信する端末の認証プロセスを開始するために用いられ、
パケットプロセッサ601aは、ネットワーク装置が認証開始パケットを受信する速度を制限するように構成される。
任意選択的に、パケットプロセッサ601aは、中央処理ユニット602がパケットの受信状態が第1の所定の条件を満たしていることを検出したときのみ、ネットワーク装置が認証開始パケットを受信する速度を制限するように構成され、ここで、
第1の所定の条件は、以下の条件、
単位時間内にネットワーク装置に到着する認証パケットの数量が、第1のしきい値よりも大きいこと、
単位時間内にネットワーク装置によって廃棄される認証パケットの数量が、第2のしきい値よりも大きいこと、または、
単位時間内にネットワーク装置に到着する認証パケットの数量に対する単位時間内にネットワーク装置により廃棄される認証パケットの数量の比が、第3のしきい値よりも大きいこと、
のうちの1つを含む。
任意選択的に、パケットプロセッサ601aは、中央処理ユニット602がネットワーク装置を用いて単位時間内に認証に成功した端末の数量が第4のしきい値よりも大きいことを検出したときのみ、ネットワーク装置が認証開始パケットを受信する速度を制限するように構成される。
任意選択的に、パケットプロセッサ601aは、具体的には、ネットワーク装置に到着する認証パケットが第2の所定の条件を満たすか否かを検出し、ネットワーク装置に到着する認証パケットが第2の所定の条件を満たすならば、ネットワーク装置に到着する認証パケットが認証開始パケットであると判断するように構成され、ここで、
第2の所定の条件は、以下の条件、
認証パケットが拡張認証プロトコルEAPパケットであるとき、EAPパケット内のパケット・タイプ・フィールドが1であること、
認証パケットがEAPパケットであるとき、EAPパケットにおいて、パケット・タイプ・フィールドが0であり、パケット・ボディ・タイプ・フィールドが2であり、認証タイプ・フィールドが1であること、
認証パケットがユーザ・データグラム・プロトコルUDPパケットであるとき、ネットワーク装置に到着する認証パケットにおいて、verフィールドが2であり、typeフィールドが1であり、chapフィールドが0であること、または、
認証パケットがUDPパケットであるとき、ネットワーク装置に到着する認証パケットにおいて、verフィールドが2であり、typeフィールドが3であり、papフィールドが1であること、
のうちの1つである。
任意選択的に、パケットプロセッサ601aは、中央処理ユニット602が第3の所定の条件が満たされていることを検出したとき、ネットワーク装置が認証開始パケットを受信する速度に対する制限を解除するようにさらに構成され、ここで、
満たされる第3の所定の条件は、以下の、
単位時間内にネットワーク装置に到着する認証パケットの数量が、第5のしきい値よりも小さく、ここで第5のしきい値は第1のしきい値よりも小さいこと、
単位時間内にネットワーク装置によって廃棄される認証パケットの数量が、第6のしきい値よりも小さく、ここで第6のしきい値は第2のしきい値よりも小さいこと、または、
単位時間内にネットワーク装置に到着する認証パケットの数量に対する単位時間内にネットワーク装置により廃棄される認証パケットの数量の比が、第7のしきい値よりも小さく、ここで第7のしきい値は第3のしきい値よりも小さいこと、
のうちの1つを含む。
結論として、本発明のこの実施形態で提供されるネットワーク装置がアクセス制御装置として実現されているとき、ネットワーク装置に到着するパケットが認証開始パケットであるか否かが検出され、ネットワーク装置が認証開始パケットを受信する速度が制限される。認証開始パケットが受信される速度は、後続の認証に入る端末の数量を制御するために制限され、これは、過剰に多数の端末が後続の認証に同時に入るときに引き起こされる無線認証のアバランシェ効果を防止し、現在すでに後続のアクセス認証を行っている端末が完全な認証プロセスを円滑に完了できることを保証し、それによってシステム認証効率を向上させる効果を達成する。
その上、本発明のこの実施形態で提供されるネットワーク装置がアクセス制御装置として実現されているとき、パケットの受信状態が監視され、パケットの受信状態が第1の所定の条件を満たしていることが検出されたとき、ネットワーク装置が認証開始パケットを受信する速度が制限され、それによってネットワーク装置における計算の負荷を軽減し、かつ処理資源を低減する効果を達成する。
その上、本発明のこの実施形態で提供されるネットワーク装置がアクセス制御装置として実現されているとき、ネットワーク装置を用いて単位時間内に認証に成功した端末の数量が第4のしきい値よりも大きいことが検出されたときのみ、ネットワーク装置が認証開始パケットを受信する速度が制限され、それによって検出の精度を向上させ、かつ誤検出の確率を低減する効果を達成する。
上記の実施形態で提供されるアクセス制御装置が認証パケットを制御するとき、上記の機能モジュールの区分は、例示のための一例として用いられるに過ぎないことに留意すべきである。実際の適用では、上記の機能は要件に従って異なる機能モジュールによって割り当てられ、実現されることが可能であり、すなわち、上述した機能のすべてまたはいくつかを実現するために、装置の内部構成が異なる機能モジュールに区分される。その上、上記の実施形態で提供されるアクセス制御装置および認証制御方法の実施形態は、同一の発明概念に属し、特定の実現プロセスに関する詳細については、方法の実施形態を参照されたく、これはここで繰り返し説明されない。
本発明の上記の実施形態の順序番号は、例示の目的のために過ぎず、実施形態の優先度を示すことは意図されない。
この技術分野の当業者は、実施形態のステップのすべてまたはいくつかが、ハードウェアまたは関連するハードウェアに命令するプログラムによって実現され得ることを理解し得る。プログラムは、コンピュータ読み取り可能な記憶媒体に記憶され得る。記憶媒体は、リード・オンリ・メモリ、磁気ディスク、または光ディスクなどを含み得る。
上記の説明は、本発明の例示的な実現方式に過ぎないが、本発明の保護範囲を限定することは意図されない。本発明において開示される技術的範囲内でこの技術分野の当業者によって容易に想到されるあらゆる変形または置換は、本発明の保護範囲内にあるものである。したがって、本発明の保護範囲は、請求項の保護範囲に従うものである。
110 端末
120 アクセス制御装置
130 認証サーバ
140 ポータル・サーバ
401 検出モジュール
402 制限モジュール
403 解除モジュール
600 ネットワーク装置
601 ネットワーク・アダプタ
601a パケットプロセッサ
601b ネットワーク・インターフェース
602 中央処理ユニット
603 メモリ

Claims (12)

  1. アクセス制御装置であって、
    前記アクセス制御装置に到着するパケットが認証開始パケットであるか否かを検出するように構成された検出モジュールであって、前記認証開始パケットは、前記認証開始パケットを送信する端末の認証プロセスを開始するために用いられる、検出モジュールと、
    前記アクセス制御装置が認証開始パケットを受信する速度を制限するように構成された制限モジュールと、
    を含むアクセス制御装置。
  2. 前記制限モジュールは、パケット受信状態が第1の所定の条件を満たすときのみ、前記アクセス制御装置が前記認証開始パケットを受信する前記速度を制限するように構成され、
    前記第1の所定の条件は、以下の条件、
    単位時間内に前記アクセス制御装置に到着する認証パケットの数量が、第1のしきい値よりも大きいこと、
    単位時間内に前記アクセス制御装置によって廃棄される認証パケットの数量が、第2のしきい値よりも大きいこと、または、
    単位時間内に前記アクセス制御装置に到着する認証パケットの数量に対する前記単位時間内に前記アクセス制御装置により廃棄される認証パケットの数量の比が、第3のしきい値よりも大きいこと、
    のうちの1つを含む、請求項1に記載のアクセス制御装置。
  3. 前記アクセス制御装置は、
    第3の所定の条件が満たされたとき、前記アクセス制御装置が前記認証開始パケットを受信する前記速度に対して前記制限モジュールにより行われた前記制限を解除するように構成された解除モジュールをさらに含み、
    満たされる前記第3の所定の条件は、以下の、
    前記単位時間内に前記アクセス制御装置に到着する前記認証パケットの数量が、第5のしきい値よりも小さく、前記第5のしきい値は前記第1のしきい値よりも小さいこと、
    前記単位時間内に前記アクセス制御装置によって廃棄される前記認証パケットの数量が、第6のしきい値よりも小さく、前記第6のしきい値は前記第2のしきい値よりも小さいこと、または、
    前記単位時間内に前記アクセス制御装置に到着する前記認証パケットの数量に対する前記単位時間内に前記アクセス制御装置により廃棄される前記認証パケットの数量の前記比が、第7のしきい値よりも小さく、前記第7のしきい値は前記第3のしきい値よりも小さいこと、
    のうちの1つを含む、請求項2に記載のアクセス制御装置。
  4. 前記制限モジュールは、前記アクセス制御装置を用いて単位時間内に認証に成功した端末の数量が第4のしきい値よりも大きいときのみ、前記アクセス制御装置が前記認証開始パケットを受信する前記速度を制限するように構成された、請求項1または3に記載のアクセス制御装置。
  5. 前記制限モジュールは、パケット受信状態が第1の所定の条件を満たし、かつ前記アクセス制御装置を用いて単位時間内に認証に成功した端末の数量が第4のしきい値よりも大きいときのみ、前記アクセス制御装置が前記認証開始パケットを受信する前記速度を制限するように構成され、
    前記第1の所定の条件は、以下の条件、
    単位時間内に前記アクセス制御装置に到着する認証パケットの数量が、第1のしきい値よりも大きいこと、
    単位時間内に前記アクセス制御装置によって廃棄される認証パケットの数量が、第2のしきい値よりも大きいこと、または、
    単位時間内に前記アクセス制御装置に到着する認証パケットの数量に対する前記単位時間内に前記アクセス制御装置により廃棄される認証パケットの数量の比が、第3のしきい値よりも大きいこと、
    のうちの1つを含む、請求項1に記載のアクセス制御装置。
  6. 前記検出モジュールは、具体的には、前記アクセス制御装置に到着する認証パケットが第2の所定の条件を満たすか否かを検出し、前記アクセス制御装置に到着する前記認証パケットが前記第2の所定の条件を満たすならば、前記アクセス制御装置に到着する前記認証パケットが認証開始パケットであると判断するように構成され、
    前記第2の所定の条件は、以下の条件、
    前記認証パケットが拡張認証プロトコル(EAP)パケットであるとき、前記EAPパケット内のパケット・タイプ・フィールドの値が1であること、
    前記認証パケットがEAPパケットであるとき、前記EAPパケットにおいて、パケット・タイプ・フィールドの値が0であり、パケット・ボディ・タイプ・フィールドの値が2であり、認証タイプ・フィールドの値が1であること、
    前記認証パケットがチャレンジ・ハンドシェイク認証プロトコル(CHAP)パケットであるとき、前記アクセス制御装置に到着する前記認証パケットにおいて、verフィールドの値が2であり、typeフィールドの値が1であり、chapフィールドの値が0であること、または、
    前記認証パケットがパスワード認証プロトコル(PAP)パケットであるとき、前記アクセス制御装置に到着する前記認証パケットにおいて、verフィールドの値が2であり、typeフィールドの値が3であり、papフィールドの値が1であること、
    のうちの1つである、請求項1から5のいずれか一項に記載のアクセス制御装置。
  7. 認証制御方法であって、
    アクセス制御装置に到着するパケットが認証開始パケットであるか否かを検出するステップであって、前記認証開始パケットは、前記認証開始パケットを送信する端末の認証プロセスを開始するために用いられる、ステップと、
    前記アクセス制御装置が認証開始パケットを受信する速度を制限するステップと、
    を含む方法。
  8. 前記アクセス制御装置が認証開始パケットを受信する速度を制限する前記ステップは、
    パケット受信状態が第1の所定の条件を満たすときのみ、前記アクセス制御装置が前記認証開始パケットを受信する前記速度を制限するステップを含み、
    前記第1の所定の条件は、次の条件、
    単位時間内に前記アクセス制御装置に到着する認証パケットの数量が、第1のしきい値よりも大きいこと、
    単位時間内に前記アクセス制御装置によって廃棄される認証パケットの数量が、第2のしきい値よりも大きいこと、または、
    単位時間内に前記アクセス制御装置に到着する認証パケットの数量に対する前記単位時間内に前記アクセス制御装置により廃棄される認証パケットの数量の比が、第3のしきい値よりも大きいこと、
    のうちの1つを含む、請求項7に記載の方法。
  9. 前記方法は、第3の所定の条件が満たされたとき、前記アクセス制御装置が前記認証開始パケットを受信する前記速度に対する前記制限を解除するステップをさらに含み、
    満たされる前記第3の所定の条件は、以下の、
    前記単位時間内に前記アクセス制御装置に到着する前記認証パケットの数量が、第5のしきい値よりも小さく、前記第5のしきい値は前記第1のしきい値より小さいこと、
    前記単位時間内に前記アクセス制御装置によって廃棄される前記認証パケットの数量が、第6のしきい値よりも小さく、前記第6のしきい値は前記第2のしきい値よりも小さいこと、または、
    前記単位時間内に前記アクセス制御装置に到着する前記認証パケットの数量に対する前記単位時間内に前記アクセス制御装置により廃棄される前記認証パケットの数量の前記比が、第7のしきい値よりも小さく、前記第7のしきい値は前記第3のしきい値よりも小さいこと、
    のうちの1つを含む、請求項8に記載の方法。
  10. 前記アクセス制御装置が認証開始パケットを受信する速度を制限する前記ステップは、
    前記アクセス制御装置を用いて単位時間内に認証に成功した端末の数量が第4のしきい値よりも大きいときのみ、前記アクセス制御装置が前記認証開始パケットを受信する前記速度を制限するステップを含む、請求項7または9に記載の方法。
  11. 前記アクセス制御装置が認証開始パケットを受信する速度を制限する前記ステップは、
    パケット受信状態が第1の所定の条件を満たし、かつ前記アクセス制御装置を用いて単位時間内に認証に成功した端末の数量が第4のしきい値よりも大きいときのみ、前記アクセス制御装置が前記認証開始パケットを受信する前記速度を制限するステップを含み、
    前記第1の所定の条件は、次の条件、
    単位時間内に前記アクセス制御装置に到着する認証パケットの数量が、第1のしきい値よりも大きいこと、
    単位時間内に前記アクセス制御装置によって廃棄される認証パケットの数量が、第2のしきい値よりも大きいこと、または、
    単位時間内に前記アクセス制御装置に到着する認証パケットの数量に対する前記単位時間内に前記アクセス制御装置により廃棄される認証パケットの数量の比が、第3のしきい値よりも大きいこと、
    のうちの1つを含む、請求項7に記載の方法。
  12. アクセス制御装置に到着するパケットが認証開始パケットであるか否かを検出する前記ステップは、
    前記アクセス制御装置に到着する認証パケットが第2の所定の条件を満たすか否かを検出し、前記アクセス制御装置に到着する前記認証パケットが前記第2の所定の条件を満たすならば、前記アクセス制御装置に到着する前記認証パケットが認証開始パケットであると判断するステップを含み、
    前記第2の所定の条件は、以下の条件、
    前記認証パケットが拡張認証プロトコル(EAP)パケットであるとき、前記EAPパケット内のパケット・タイプ・フィールドの値が1であること、
    前記認証パケットがEAPパケットであるとき、前記EAPパケットにおいて、パケット・タイプ・フィールドの値が0であり、パケット・ボディ・タイプ・フィールドの値が2であり、認証タイプ・フィールドの値が1であること、
    前記認証パケットがチャレンジ・ハンドシェイク認証プロトコル(CHAP)パケットであるとき、前記アクセス制御装置に到着する前記認証パケットにおいて、verフィールドの値が2であり、typeフィールドの値が1であり、chapフィールドの値が0であること、または、
    前記認証パケットがパスワード認証プロトコル(PAP)パケットであるとき、前記アクセス制御装置に到着する前記認証パケットにおいて、verフィールドの値が2であり、typeフィールドの値が3であり、papフィールドの値が1であること、
    のうちの1つである、請求項7から11のいずれか一項に記載の方法。
JP2016170600A 2015-09-02 2016-09-01 アクセス制御装置および認証制御方法 Active JP6376609B2 (ja)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
CN201510556295.5A CN106487717B (zh) 2015-09-02 2015-09-02 接入控制设备及认证控制方法
CN201510556295.5 2015-09-02

Publications (2)

Publication Number Publication Date
JP2017050869A JP2017050869A (ja) 2017-03-09
JP6376609B2 true JP6376609B2 (ja) 2018-08-22

Family

ID=56925992

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2016170600A Active JP6376609B2 (ja) 2015-09-02 2016-09-01 アクセス制御装置および認証制御方法

Country Status (5)

Country Link
US (1) US10505936B2 (ja)
EP (1) EP3139568B1 (ja)
JP (1) JP6376609B2 (ja)
CN (1) CN106487717B (ja)
ES (1) ES2800913T3 (ja)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106921636B (zh) * 2015-12-28 2020-05-08 华为技术有限公司 身份认证方法及装置
US10880332B2 (en) * 2017-04-24 2020-12-29 Unisys Corporation Enterprise security management tool
CN116633599B (zh) * 2023-05-04 2024-01-30 杭州蓝鲸网络科技有限公司 一种手游客户端安全登录验证方法、系统与介质

Family Cites Families (29)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20110286025A1 (en) * 1999-12-01 2011-11-24 Silverbrook Research Pty Ltd Method of authenticating a print medium with plurality of coded data portions
US7529933B2 (en) * 2002-05-30 2009-05-05 Microsoft Corporation TLS tunneling
US20060185013A1 (en) 2003-06-18 2006-08-17 Telefonaktiebolaget Lm Ericsson (Publ) Method, system and apparatus to support hierarchical mobile ip services
CN1836417B (zh) 2003-06-18 2011-03-09 艾利森电话股份有限公司 支持移动ip第6版业务的方法、系统和设备
CN100499656C (zh) * 2005-02-25 2009-06-10 华为技术有限公司 实现媒体网关功能的方法和无线接入控制设备及接入系统
US7617524B2 (en) * 2005-06-14 2009-11-10 Nokia Corporation Protection against denial-of-service attacks
US20070133413A1 (en) * 2005-12-09 2007-06-14 Andrew Pepperell Flow control in a video conference
US7832009B2 (en) * 2005-12-28 2010-11-09 Foundry Networks, Llc Techniques for preventing attacks on computer systems and networks
JP4673752B2 (ja) 2006-01-13 2011-04-20 株式会社日立製作所 マルチキャストパケット制御装置
CN101035389A (zh) * 2006-03-08 2007-09-12 上海交通大学 在无源光网络的远端设备内进行带宽分配的系统和方法
US7672283B1 (en) * 2006-09-28 2010-03-02 Trend Micro Incorporated Detecting unauthorized wireless devices in a network
JP4977543B2 (ja) * 2007-07-20 2012-07-18 日本電気通信システム株式会社 制御装置、制御システム、制御方法及び制御プログラム
US8880693B2 (en) * 2007-09-28 2014-11-04 Verizon Patent And Licensing Inc. Network service provider-assisted authentication
JP4909875B2 (ja) * 2007-11-27 2012-04-04 アラクサラネットワークス株式会社 パケット中継装置
US8284665B1 (en) * 2008-01-28 2012-10-09 Juniper Networks, Inc. Flow-based rate limiting
US20100146262A1 (en) * 2008-12-04 2010-06-10 Shenzhen Huawei Communication Technologies Co., Ltd. Method, device and system for negotiating authentication mode
TWI438715B (zh) 2010-09-02 2014-05-21 Htc Corp 手持式裝置之影像處理方法及系統,及其電腦程式產品
JP5621576B2 (ja) * 2010-12-20 2014-11-12 日本電気株式会社 パケット中継装置
US9251316B2 (en) * 2012-03-15 2016-02-02 Panasonic Intellectual Property Corporation Of America Content sharing system, information communication apparatus, content sharing method, and communication method
US8675717B1 (en) * 2012-04-16 2014-03-18 Google Inc. Rate selection in a communication system
US8613089B1 (en) * 2012-08-07 2013-12-17 Cloudflare, Inc. Identifying a denial-of-service attack in a cloud-based proxy service
US9380025B2 (en) * 2013-07-03 2016-06-28 Cisco Technology, Inc. Method and apparatus for ingress filtering
US9736131B2 (en) * 2013-09-24 2017-08-15 Cellco Partnership Secure login for subscriber devices
EP3111354B1 (en) * 2014-02-28 2020-03-11 Zoosk, Inc. System and method for verifying user supplied items asserted about the user
US9356968B1 (en) * 2014-06-30 2016-05-31 Emc Corporation Managing authentication using common authentication framework circuitry
US9875344B1 (en) * 2014-09-05 2018-01-23 Silver Peak Systems, Inc. Dynamic monitoring and authorization of an optimization device
US10102532B2 (en) * 2014-11-17 2018-10-16 Amazon Technologies, Inc. Tracking and verifying authenticity of items
US10194375B2 (en) * 2015-03-30 2019-01-29 Futurewei Technologies, Inc. System and method for controlling network signaling loads in a wireless network
US9973469B2 (en) * 2015-09-30 2018-05-15 Juniper Networks, Inc. MAC (L2) level authentication, security and policy control

Also Published As

Publication number Publication date
EP3139568A1 (en) 2017-03-08
ES2800913T3 (es) 2021-01-05
US20170063863A1 (en) 2017-03-02
CN106487717B (zh) 2020-03-27
US10505936B2 (en) 2019-12-10
EP3139568B1 (en) 2020-04-29
CN106487717A (zh) 2017-03-08
JP2017050869A (ja) 2017-03-09

Similar Documents

Publication Publication Date Title
EP3516833B1 (en) Methods, systems, and computer readable media for discarding messages during a congestion event
US9819590B2 (en) Method and apparatus for notifying network abnormality
US9015822B2 (en) Automatic invocation of DTN bundle protocol
JP2010050857A (ja) 経路制御装置およびパケット廃棄方法
CN106330742B (zh) 一种流量控制的方法及网络控制器
JP6376609B2 (ja) アクセス制御装置および認証制御方法
EP3018868B1 (en) Congestion method, device and system
WO2016139910A1 (ja) 通信システム、通信方法、及びプログラムを格納した非一時的なコンピュータ可読媒体
CN107547430B (zh) 一种报文发送方法及装置
WO2019085923A1 (zh) 数据处理方法、装置及计算机
US10298494B2 (en) Reducing short-packet overhead in computer clusters
JP2020031363A (ja) 通信制御システム、ネットワークコントローラ及びコンピュータプログラム
WO2012103846A2 (zh) 网络安全处理方法、系统和网卡
CN113950099B (zh) 一种网络拥塞控制方法及设备
JP5009200B2 (ja) ネットワーク攻撃検出装置及び防御装置
JP2015032985A (ja) 通信制御装置、通信制御方法、および通信制御システム
WO2023246616A1 (zh) 网络拥塞控制方法及装置
JP6568571B2 (ja) データ転送装置、データ転送方法および通信装置
JP5751077B2 (ja) 信号処理装置および信号処理方法
KR20140139406A (ko) 패킷 크기 난수화 기법
KR20120059914A (ko) 분산 서비스 거부 공격 탐지용 제품에 대한 평가 방법 및 평가 장치
US20150295957A1 (en) Data transmitting device, data transmitting method, and communication device
WO2017107012A1 (zh) 一种通信设备复位方法及通信设备
WO2016079626A1 (en) Reducing short-packet overhead in computer clusters
KR20140122379A (ko) 네트워크 장치의 혼잡 제어 방법 및 장치

Legal Events

Date Code Title Description
A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20171128

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20180216

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20180626

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20180719

R150 Certificate of patent or registration of utility model

Ref document number: 6376609

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250