一種認證報文處理方法及裝置制造方法
【專利摘要】本發(fā)明提供認證報文處理方法及裝置�,該方法應(yīng)用在網(wǎng)絡(luò)設(shè)備上,網(wǎng)絡(luò)設(shè)備上維護ACL���,ACL中包含客戶端設(shè)備的標識及優(yōu)先級的對應(yīng)關(guān)系�����,該方法包括:當認證報文速率超過認證報文處理閾值時���,向端口配置ACL����;當接收到客戶端設(shè)備發(fā)送的認證報文時�,通過認證報文中的客戶端設(shè)備的標識與端口ACL進行匹配,當匹配到客戶端設(shè)備的標識時����,為認證報文標記與客戶端設(shè)備的標識對應(yīng)的優(yōu)先級,當未匹配到客戶端設(shè)備的標識時�,丟棄認證報文;按照優(yōu)先級從高到低的順序?qū)φJ證報文進行認證處理����。本發(fā)明可以在解決認證報文擁塞的同時,保證部分客戶端設(shè)備通過上線認證訪問互聯(lián)網(wǎng)�。
【專利說明】一種認證報文處理方法及裝置
【技術(shù)領(lǐng)域】
[0001] 本發(fā)明涉及網(wǎng)絡(luò)通信【技術(shù)領(lǐng)域】,尤其涉及一種認證報文處理方法及裝置���。
【背景技術(shù)】
[0002] 802. lx協(xié)議是基于Client/server (客戶端/服務(wù)器)的訪問控制和認證協(xié)議����, 用于限制未經(jīng)授權(quán)的客戶端設(shè)備訪問互聯(lián)網(wǎng)�����。當用戶要通過客戶端設(shè)備訪問互聯(lián)網(wǎng)時,由 客戶端設(shè)備向網(wǎng)絡(luò)設(shè)備發(fā)送認證報文�����,網(wǎng)絡(luò)設(shè)備將認證報文封裝后發(fā)送給RADIUS(Rem 〇te Authentication Dial In User Service,遠程用戶撥號認證系統(tǒng))服務(wù)器���,當RADIUS服務(wù) 器對客戶端設(shè)備認證通過后��,允許用戶訪問互聯(lián)網(wǎng)�。
[0003] 在上述客戶端設(shè)備與網(wǎng)絡(luò)設(shè)備交互過程中���,當網(wǎng)絡(luò)設(shè)備的端口接收到多個客戶端 設(shè)備發(fā)送的認證報文時,將認證報文按照接收的先后順序發(fā)送到CPU (Central Processing Unit�����,中央處理器)處理����,但是,當網(wǎng)絡(luò)設(shè)備受到802. lx協(xié)議報文攻擊時�����,會造成報文擁塞, 導(dǎo)致長時間無法進行認證?��,F(xiàn)有技術(shù)為了防止報文擁塞����,可以緩存預(yù)設(shè)數(shù)量的協(xié)議報文供 CPU處理�,而超過預(yù)設(shè)數(shù)量的協(xié)議報文直接丟棄,但是���,由于直接丟棄的協(xié)議報文中可能包 含正常的認證報文�,因此導(dǎo)致部分正??蛻舳嗽O(shè)備無法通過認證訪問互聯(lián)網(wǎng)。
【發(fā)明內(nèi)容】
[0004] 本發(fā)明提供一種認證報文處理方法及裝置���,以解決現(xiàn)有技術(shù)中因為網(wǎng)絡(luò)設(shè)備發(fā)生 協(xié)議報文擁塞���,導(dǎo)致部分正常客戶端設(shè)備無法通過認證訪問互聯(lián)網(wǎng)的問題����。
[0005] 根據(jù)本發(fā)明實施例的第一方面�,提供一種認證報文處理方法���,所述方法應(yīng)用在通 過與客戶端設(shè)備交互實現(xiàn)接入網(wǎng)絡(luò)認證的網(wǎng)絡(luò)設(shè)備上����,所述網(wǎng)絡(luò)設(shè)備上維護訪問控制列表 ACL�����,所述ACL中包含客戶端設(shè)備的標識及優(yōu)先級的對應(yīng)關(guān)系�,所述方法包括:
[0006] 當認證報文速率超過認證報文處理閾值時,向端口配置所述ACL ;
[0007] 當接收到客戶端設(shè)備發(fā)送的認證報文時�����,通過所述認證報文中的客戶端設(shè)備的標 識與端口 ACL進行匹配�,當匹配到所述客戶端設(shè)備的標識時�,為所述認證報文標記與所述 客戶端設(shè)備的標識對應(yīng)的優(yōu)先級,當未匹配到所述客戶端設(shè)備的標識時����,丟棄所述認證報 文;
[0008] 按照優(yōu)先級從高到低的順序?qū)λ稣J證報文進行認證處理�。
[0009] 根據(jù)本發(fā)明實施例的第二方面�,提供一種報文處理裝置�����,所述裝置應(yīng)用在通過與 客戶端設(shè)備交互實現(xiàn)接入網(wǎng)絡(luò)認證的網(wǎng)絡(luò)設(shè)備上���,所述裝置包括:
[0010] 維護單元����,用于維護ACL���,所述ACL中包含客戶端設(shè)備的標識及優(yōu)先級的對應(yīng)關(guān) 系�;
[0011] 配置單元��,用于當認證報文速率超過認證報文處理閾值時����,向端口配置所述ACL ;
[0012] 匹配單元,用于當接收到客戶端設(shè)備發(fā)送的認證報文時����,通過所述認證報文中的 客戶端設(shè)備的標識與端口 ACL進行匹配,當匹配到所述客戶端設(shè)備的標識時,為所述認證 報文標記與所述客戶端設(shè)備的標識對應(yīng)的優(yōu)先級�,當未匹配到所述客戶端設(shè)備的標識時, 丟棄所述認證報文���;
[0013] 處理單元��,用于按照優(yōu)先級從高到低的順序?qū)λ稣J證報文進行認證處理����。
[0014] 本發(fā)明實施例中��,在網(wǎng)絡(luò)設(shè)備上維護包含客戶端設(shè)備的標識與優(yōu)先級的對應(yīng)關(guān)系 的ACL���,當發(fā)生認證報文擁塞時�����,通過向端口配置ACL��,從而可以根據(jù)所接收認證報文與ACL 的匹配結(jié)果對認證報文進行認證處理���。應(yīng)用本發(fā)明實施例�,可以將認證通過的客戶端設(shè)備 的標識保存在ACL中,以便在認證報文擁塞時,控制部分客戶端設(shè)備的認證報文通過匹配 ACL優(yōu)先發(fā)送到CPU��,而其它認證報文則會因匹配不到ACL而丟棄����,從而在解決認證報文擁 塞的同時,保證部分客戶端設(shè)備通過上線認證訪問互聯(lián)網(wǎng)���。
【專利附圖】
【附圖說明】
[0015] 圖1是為本發(fā)明802. lx接入認證組網(wǎng)示意圖�����;
[0016] 圖2是本發(fā)明認證報文處理方法的一個實施例流程圖��;
[0017] 圖3是本發(fā)明認證報文處理方法的另一個實施例流程圖��;
[0018] 圖4是本發(fā)明一種實施方式中認證報文處理裝置運行的硬件環(huán)境架構(gòu)圖�����;
[0019] 圖5是本發(fā)明認證報文處理裝置的邏輯示意圖��。
【具體實施方式】
[0020] 參見圖1����,為本發(fā)明802. lx接入認證組網(wǎng)示意圖:
[0021] 802. lx協(xié)議用于實現(xiàn)無線局域網(wǎng)內(nèi)客戶端設(shè)備的接入認證,參見圖1�����,當局域網(wǎng) 內(nèi)的用戶需要訪問Internet時���,在客戶端設(shè)備上開啟802. lx客戶端程序���,用戶輸入用戶 名和密碼,客戶端設(shè)備向網(wǎng)絡(luò)設(shè)備發(fā)起連接請求�,該連接請求可以為客戶端設(shè)備發(fā)送的 作為認證報文的 802. lx 協(xié)議報文,例如��,EAPOL(Extensible Authentication Protocol Over LAN���,基于局域網(wǎng)的擴展認證協(xié)議)-start報文�,網(wǎng)絡(luò)設(shè)備對認證報文進行封裝處理 后����,發(fā)送至RADIUS服務(wù)器,當RADIUS服務(wù)器認證通過后����,網(wǎng)絡(luò)設(shè)備允許客戶端設(shè)備訪問 Internet (互聯(lián)網(wǎng))�����。
[0022] 現(xiàn)有技術(shù)中,當網(wǎng)絡(luò)設(shè)備的端口接收到認證報文時�����,將認證報文發(fā)送到CPU進行 處理���,當網(wǎng)絡(luò)設(shè)備受到802. lx協(xié)議報文攻擊時��,CPU的報文處理負擔將加重����,形成報文擁 塞��,從而無法對正常的認證報文進行認證處理�,導(dǎo)致客戶端設(shè)備難以接入網(wǎng)絡(luò)。本發(fā)明中在 網(wǎng)絡(luò)設(shè)備上為進行接入網(wǎng)絡(luò)認證的客戶端設(shè)備維護ACUAccess Control List�,訪問控制 列表),通過在ACL中記錄優(yōu)先級�����,以便在網(wǎng)絡(luò)設(shè)備受到802. lx協(xié)議報文攻擊時,可以通過 匹配ACL�,按照用戶優(yōu)先級從高到低的順序?qū)φJ證報文進行處理,從而保證正??蛻舳嗽O(shè)備 通過上線認證訪問互聯(lián)網(wǎng)。
[0023] 需要說明的是�����,本發(fā)明實施例以802. 1協(xié)議認證場景為例進行描述�����,對于基于其 他協(xié)議的認證接入場景也可以采用本發(fā)明實施例實現(xiàn)����,對此本發(fā)明實施例不進行限制。
[0024] 參見圖2,為本發(fā)明認證報文處理方法的一個實施例流程圖�,該實施例描述了網(wǎng)絡(luò) 設(shè)備通過ACL對認證報文進行處理的過程:
[0025] 步驟201 :網(wǎng)絡(luò)設(shè)備上維護ACL,該ACL中包含客戶端設(shè)備的標識及優(yōu)先級的對應(yīng) 關(guān)系����。
[0026] 本實施例中,客戶端設(shè)備的標識以客戶端設(shè)備的MAC地址為例進行描述��。
[0027] 其中��,網(wǎng)絡(luò)設(shè)備維護的ACL中可以包含至少一類下述ACL表項:通過管理員手動配 置的靜態(tài)配置表項,和根據(jù)客戶端設(shè)備的認證通過次數(shù)學習的動態(tài)學習表項����。
[0028] 其中,靜態(tài)配置表項中可以包括:管理員手動配置的客戶端設(shè)備的MAC地址�����,以及 對應(yīng)的第一優(yōu)先級�。該靜態(tài)配置表項中的MAC地址可以為VIP(Very Important Person,重 要用戶)用戶認證時使用的客戶端設(shè)備的MAC地址���,管理員可以直接在ACL中為該客戶端 設(shè)備配置具有最高優(yōu)先級的ACL表項����,該ACL表項中包括該客戶端設(shè)備的MAC地址�,以及對 應(yīng)最高的第一優(yōu)先級。本實施例中�����,靜態(tài)配置表項可以不設(shè)置老化時間��,以保證網(wǎng)絡(luò)設(shè)備受 到802. lx協(xié)議報文攻擊時�����,可以優(yōu)先對VIP用戶的客戶端設(shè)備發(fā)送的認證報文進行處理。
[0029] 其中�����,動態(tài)學習表項中可以包括:已認證通過的客戶端設(shè)備的MAC地址�����,認證通過 次數(shù)�����,以及根據(jù)認證通過次數(shù)確定的優(yōu)先級���。對于已經(jīng)認證通過的客戶端設(shè)備�,網(wǎng)絡(luò)設(shè)備為 其維護動態(tài)學習表項�,并可以為該動態(tài)學習表項設(shè)置老化時間,該表項中除了包含客戶端 設(shè)備的MAC地址外����,還包含在老化時間內(nèi)的認證通過次數(shù),以及根據(jù)認證通過次數(shù)動態(tài)調(diào) 整的優(yōu)先級。例如����,可以設(shè)置升級閾值對優(yōu)先級進行動態(tài)調(diào)整,當認證通過次數(shù)未超過升級 閾值時����,設(shè)置優(yōu)先級為低于第一優(yōu)先級的第二優(yōu)先級,當認證通過次數(shù)超過升級閾值時�����,將 第二優(yōu)先級調(diào)整為第一優(yōu)先級����,以保證認證通過次數(shù)越多的客戶端設(shè)備可以獲得越高的優(yōu) 先級���,以便在網(wǎng)絡(luò)設(shè)備接收認證報文達到一定數(shù)量時����,該客戶端設(shè)備的認證報文可以優(yōu)先 得到處理��。
[0030] 步驟202 :檢測認證報文速率是否超過認證報文處理閾值���,若是����,則執(zhí)行步驟203 ; 否則,執(zhí)行步驟209����。
[0031] 不同網(wǎng)絡(luò)設(shè)備對認證報文的處理能力不同,通常網(wǎng)絡(luò)設(shè)備每秒所接收認證報文的 數(shù)量稱為認證報文速率���,設(shè)置一認證報文速率��,即認證報文處理閾值���,當網(wǎng)絡(luò)設(shè)備的端口所 接收認證報文的認證報文速率超過認證報文處理閾值時,表明網(wǎng)絡(luò)設(shè)備發(fā)生了認證報文擁 塞����。
[0032] 步驟203 :向網(wǎng)絡(luò)設(shè)備的端口配置ACL。
[0033] 當網(wǎng)絡(luò)設(shè)備檢測到認證報文速率超過認證報文處理閾值時�����,將所維護的ACL配置 給端口����,由端口根據(jù)ACL表項對認證報文進行過濾�。對于圖1所示的網(wǎng)絡(luò)設(shè)備��,其端口配置 了 802. lx協(xié)議�����,當受到802. lx協(xié)議報文攻擊時�����,在通過檢測端口所接收報文的類型����,確定 802. lx協(xié)議報文的報文速率超過報文處理閾值時�,可以通過端口所維護ACL對802. lx協(xié)議 報文進行過濾。
[0034] 步驟204:當端口接收到客戶端設(shè)備發(fā)送的認證報文時���,通過該認證報文中的客 戶端設(shè)備的標識與端口 ACL進行匹配���。
[0035] 當端口接收到802. lx協(xié)議報文時,讀取該協(xié)議報文中的源MAC地址�����,該源MAC地 址即為發(fā)送協(xié)議報文的客戶端設(shè)備的MAC地址,將源MAC地址與ACL中的MAC地址進行匹 配���。
[0036] 步驟205 :判斷是否匹配到客戶端設(shè)備的標識��,若是����,則執(zhí)行步驟206 ;否則�,執(zhí)行 步驟208。
[0037] 步驟206 :為認證報文標記與客戶端設(shè)備的標識對應(yīng)的優(yōu)先級����。
[0038] 當匹配到ACL中有源MAC地址的ACL表項時,獲得該ACL表項中的優(yōu)先級����,并為認 證報文標記該優(yōu)先級。標記優(yōu)先級的方式可以為:分別設(shè)置不同優(yōu)先級對應(yīng)的不同關(guān)鍵字�����。 例如���,第一優(yōu)先級���,即高優(yōu)先級對應(yīng)關(guān)鍵字為"GREEN"�,第二優(yōu)先級�����,即中優(yōu)先級對應(yīng)關(guān)鍵字 為"BLUE";相應(yīng)的����,當認證報文匹配到第一優(yōu)先級時,可以在認證報文中加入關(guān)鍵字GREEN�����, 當認證報文匹配到第二優(yōu)先級時����,可以在認證報文中加入關(guān)鍵字BLUE。
[0039] 步驟207 :按照優(yōu)先級從高到低的順序?qū)φJ證報文進行認證處理�,結(jié)束當前流程���。
[0040] 步驟206中����,當為認證報文標記了優(yōu)先級后,可以按照優(yōu)先級從高到低的順序����,將 認證報文發(fā)送到CPU進行認證處理;或者�,也可以將標記了優(yōu)先級的認證報文直接發(fā)送到 CPU,由CPU按照優(yōu)先級從高到低的順序?qū)φJ證報文進行認證處理��。
[0041] 步驟208 :丟棄該認證報文����,結(jié)束當前流程。
[0042] 當未匹配到ACL中有源MAC地址的ACL表項時����,則直接丟棄該認證報文。具體的��, 可以為這類認證報文標記關(guān)鍵字"RED"���,以便根據(jù)關(guān)鍵字"RED"阻止認證報文發(fā)送CPU���,從 而將其丟棄���。
[0043] 步驟209 :直接對認證報文進行處理,結(jié)束當前流程����。
[0044] 當網(wǎng)絡(luò)設(shè)備檢測到認證報文速率未超過認證報文處理閾值時,則將其直接發(fā)送到 CPU處理即可��。
[0045] 進一步��,當認證報文速率超過認證報文處理閾值后����,網(wǎng)絡(luò)設(shè)備同時檢測認證報文 速率是否發(fā)生變化,當在第一時間檢測到認證報文速率不超過認證報文處理閾值時���,則判 斷從該第一時間開始的預(yù)設(shè)檢測周期內(nèi)���,認證報文速率是否持續(xù)不超過認證報文處理閾 值,若是�����,則刪除向端口配置的ACL�����,從而不再限制認證報文發(fā)送CPU處理��。
[0046] 由上述實施例可見����,應(yīng)用本發(fā)明實施例,可以將在認證報文擁塞時���,控制部分客戶 端設(shè)備的認證報文通過匹配ACL優(yōu)先發(fā)送到CPU�����,而其它認證報文則會因匹配不到ACL而丟 棄����,從而在解決認證報文擁塞的同時���,保證部分客戶端設(shè)備通過上線認證訪問互聯(lián)網(wǎng)�。
[0047] 參見圖3,為本發(fā)明認證報文處理方法的另一個實施例流程圖����,該實施例描述了網(wǎng) 絡(luò)設(shè)備維護動態(tài)學習表項的過程:
[0048] 步驟301 :用戶A通過客戶端設(shè)備A進行認證�。
[0049] 步驟302 :網(wǎng)絡(luò)設(shè)備判斷客戶端設(shè)備A是否認證通過�����,若是���,則執(zhí)行步驟303 ;否 貝1J�,結(jié)束當前流程�。
[0050] 步驟303 :判斷ACL中是否存客戶端設(shè)備A對應(yīng)的動態(tài)學習表項,若否����,則執(zhí)行步 驟304 ;若是,則執(zhí)行步驟305����。
[0051] 步驟304 :網(wǎng)絡(luò)設(shè)備在ACL中添加客戶端設(shè)備A對應(yīng)的動態(tài)學習表項A,并在該表 項A中寫入客戶端設(shè)備A的MAC地址�,認證通過次數(shù)1,以及第二優(yōu)先級����,結(jié)束當前流程。
[0052] 結(jié)合圖1,用戶A在客戶端設(shè)備A上開啟802. lx客戶端程序���,輸入用戶A的用戶名 和密碼后����,假設(shè)客戶端設(shè)備A通過認證�,則網(wǎng)絡(luò)設(shè)備除了允許客戶端設(shè)備A訪問Internet 夕卜����,還要在ACL中為客戶端設(shè)備A添加動態(tài)學習表項A,該動態(tài)學習表項A中記錄客戶端設(shè) 備A的MAC地址���,由于是首次認證通過�,因此認證通過次數(shù)為1���,同時將優(yōu)先級設(shè)置為中級優(yōu) 先級���。本實施例中,可以通過設(shè)置計數(shù)器來記錄認證通過次數(shù)�����,當初始添加動態(tài)學習表項A 時,計數(shù)器的計數(shù)值為1�����。通常在生成客戶端設(shè)備A對應(yīng)的動態(tài)學習表項A時����,可以為該動 態(tài)學習表項A設(shè)置老化時間,在老化時間到達之前��,客戶端設(shè)備A每認證通過一次����,計數(shù)器 的計數(shù)值就加1,同時更新老化時間�����,在老化時間到達時�,則刪除該動態(tài)學習表項A。
[0053] 通過為客戶端設(shè)備A添加 ACL表項�,表示客戶端設(shè)備A為在網(wǎng)絡(luò)設(shè)備發(fā)生認證報 文擁塞前,已經(jīng)認證成功過�����,后續(xù)在網(wǎng)絡(luò)設(shè)備發(fā)生認證報文擁塞時,可以通過匹配該ACL表 項�,保證客戶端設(shè)備A的認證報文可以發(fā)送到CPU處理,而不會被網(wǎng)絡(luò)設(shè)備丟棄����。
[0054] 步驟305 :將動態(tài)學習表項中的認證通過次數(shù)加1。
[0055] 步驟306 :判斷認證通過次數(shù)是否超過升級閾值��,若是��,則執(zhí)行步驟307 ;否則��,結(jié) 束當前流程���。
[0056] 步驟307 :將第二優(yōu)先級調(diào)整為第一優(yōu)先級,結(jié)束當前流程�。
[0057] 其中,第一優(yōu)先級高于第二優(yōu)先級��。需要說明的是��,本實施例中以動態(tài)學習表項中 設(shè)置兩級優(yōu)先級為例進行描述�,實際應(yīng)用中,可以根據(jù)認證通過次數(shù)設(shè)置更多優(yōu)先級�����,以便 CPU可以根據(jù)不同優(yōu)先級對認證報文進行有針對性的處理,對此本發(fā)明不進行限制��。本發(fā)明 通過維護動態(tài)學習表項中的優(yōu)先級���,從而在網(wǎng)絡(luò)設(shè)備發(fā)生認證報文擁塞時�����,擁塞之前認證 成功過的客戶端設(shè)備的認證報文可以得到優(yōu)先處理�����,以此保證部分客戶端設(shè)備能夠上線��。
[0058] 本發(fā)明一實施例提供了一種認證報文處理裝置���,該認證報文處理裝置的實施例可 以應(yīng)用在網(wǎng)絡(luò)設(shè)備上。裝置實施例可以通過軟件實現(xiàn)����,也可以通過硬件或者軟硬件結(jié)合的 方式實現(xiàn)。以軟件實現(xiàn)為例���,作為一個邏輯意義上的裝置�����,是通過其所在設(shè)備的CPU將非 易失性存儲器中對應(yīng)的計算機程序指令讀取到內(nèi)存中運行形成的�����。從硬件層面而言���,如圖 4所示���,為實施例中認證報文處理裝置所在網(wǎng)絡(luò)設(shè)備的一種硬件結(jié)構(gòu)圖��,除了圖4所示的 CPU��、內(nèi)存�����、端口���、以及非易失性存儲器之外�,實施例中裝置所在的設(shè)備通常還可以包括其他 硬件。
[0059] 參見圖5,為本發(fā)明一種實施方式中認證報文處理裝置的示意圖:
[0060] 所述裝置包括:維護單元510����、配置單元520、匹配單元530和處理單元540�����。
[0061] 其中�,維護單元510,用于維護ACL,所述ACL中包含客戶端設(shè)備的標識及優(yōu)先級的 對應(yīng)關(guān)系����;
[0062] 配置單元520,用于當認證報文速率超過認證報文處理閾值時,向端口配置所述 ACL �����;
[0063] 匹配單元530,用于當接收到客戶端設(shè)備發(fā)送的認證報文時���,通過所述認證報文 中的客戶端設(shè)備的標識與端口 ACL進行匹配����,當匹配到所述客戶端設(shè)備的標識時���,為所述 認證報文標記與所述客戶端設(shè)備的標識對應(yīng)的優(yōu)先級�,當未匹配到所述客戶端設(shè)備的標識 時,丟棄所述認證報文�;
[0064] 處理單元540,用于按照優(yōu)先級從高到低的順序?qū)λ稣J證報文進行認證處理。
[0065] 所述裝置還可以進一步包括:
[0066] 判斷單元550,用于當在第一時間檢測到所述認證報文速率不超過所述認證報文 處理閾值時����,判斷從所述第一時間開始的預(yù)設(shè)檢測周期內(nèi),所述認證報文速率是否持續(xù)不 超過所述認證報文處理閾值�����;
[0067] 刪除單元560,用于若所述認證報文速率持續(xù)不超過所述認證報文處理閾值��,則刪 除所述端口的ACL���。
[0068] 在一個實現(xiàn)方式中:
[0069] 所述ACL可以包括動態(tài)學習表項;所述維護單元510,可以具體用于當客戶端設(shè)備 認證通過時�����,若所述ACL中沒有所述客戶端設(shè)備對應(yīng)的動態(tài)學習表項�����,則添加對應(yīng)的動態(tài) 學習表項,所述動態(tài)學習表項中寫入所述客戶端設(shè)備的標識�,認證通過次數(shù)1,以及第二優(yōu) 先級�;若所述ACL中存在所述客戶端設(shè)備對應(yīng)的動態(tài)學習表項,則將所述認證通過次數(shù)加 1����,并判斷所述認證通過次數(shù)是否超過升級閾值,若是�,則將所述第二優(yōu)先級調(diào)整為第一優(yōu) 先級,否則�����,維持所述第二優(yōu)先級不變�����;其中��,所述第一優(yōu)先級高于所述第二優(yōu)先級��。
[0070] 進一步���,所述ACL還可以包括:靜態(tài)配置表項�����;其中��,
[0071] 所述靜態(tài)配置表項包括:靜態(tài)配置的客戶端設(shè)備的標識以及對應(yīng)的第一優(yōu)先級���。
[0072] 在另一個實現(xiàn)方式中:
[0073] 所述裝置基于802. lx協(xié)議實現(xiàn)接入網(wǎng)絡(luò)認證����,所述標識為MAC地址����;相應(yīng)的,所述 配置單元520,可以具體用于當802. lx協(xié)議報文的報文速率超過認證報文處理閾值時���,向 端口配置所述ACL��。
[0074] 上述裝置中各個單元的功能和作用的實現(xiàn)過程具體詳見上述方法中對應(yīng)步驟的 實現(xiàn)過程���,在此不再贅述����。
[0075] 本領(lǐng)域技術(shù)人員在考慮說明書及實踐這里公開的發(fā)明后����,將容易想到本公開的其 它實施方案��。本申請旨在涵蓋本公開的任何變型���、用途或者適應(yīng)性變化�����,這些變型�、用途或 者適應(yīng)性變化遵循本公開的一般性原理并包括本公開未公開的本【技術(shù)領(lǐng)域】中的公知常識 或慣用技術(shù)手段�。說明書和實施例僅被視為示例性的,本公開的真正范圍和精神由下面的 權(quán)利要求指出����。
[0076] 由上述實施例可見,可以將認證通過的客戶端設(shè)備的標識保存在ACL中�,以便在 認證報文擁塞時,控制部分客戶端設(shè)備的認證報文通過匹配ACL優(yōu)先發(fā)送到CPU�����,而其它認 證報文則會因匹配不到ACL而丟棄,從而在解決認證報文擁塞的同時���,保證部分客戶端設(shè) 備通過上線認證訪問互聯(lián)網(wǎng)���。
[0077] 應(yīng)當理解的是,本公開并不局限于上面已經(jīng)描述并在附圖中示出的精確結(jié)構(gòu)�����,并 且可以在不脫離其范圍進行各種修改和改變����。本公開的范圍僅由所附的權(quán)利要求來限制。
【權(quán)利要求】
1. 一種認證報文處理方法���,其特征在于�����,所述方法應(yīng)用在通過與客戶端設(shè)備交互實現(xiàn) 接入網(wǎng)絡(luò)認證的網(wǎng)絡(luò)設(shè)備上�����,所述網(wǎng)絡(luò)設(shè)備上維護訪問控制列表ACL��,所述ACL中包含客戶 端設(shè)備的標識及優(yōu)先級的對應(yīng)關(guān)系����,所述方法包括: 當認證報文速率超過認證報文處理閾值時�,向端口配置所述ACL ; 當接收到客戶端設(shè)備發(fā)送的認證報文時,通過所述認證報文中的客戶端設(shè)備的標識與 端口 ACL進行匹配���,當匹配到所述客戶端設(shè)備的標識時�����,為所述認證報文標記與所述客戶 端設(shè)備的標識對應(yīng)的優(yōu)先級��,當未匹配到所述客戶端設(shè)備的標識時���,丟棄所述認證報文; 按照優(yōu)先級從高到低的順序?qū)λ稣J證報文進行認證處理����。
2. 根據(jù)權(quán)利要求1所述的方法,其特征在于���,所述ACL包括動態(tài)學習表項����,所述動態(tài)學 習表項的學習過程包括: 當客戶端設(shè)備認證通過時,若所述ACL中沒有所述客戶端設(shè)備對應(yīng)的動態(tài)學習表項���, 則添加對應(yīng)的動態(tài)學習表項�,所述動態(tài)學習表項中寫入所述客戶端設(shè)備的標識����,認證通過 次數(shù)1�����,以及第二優(yōu)先級���; 若所述ACL中存在所述客戶端設(shè)備對應(yīng)的動態(tài)學習表項�,則將所述認證通過次數(shù)加1���, 并判斷所述認證通過次數(shù)是否超過升級閾值��,若是�����,則將所述第二優(yōu)先級調(diào)整為第一優(yōu)先 級�����,否則���,維持所述第二優(yōu)先級不變;其中����,所述第一優(yōu)先級高于所述第二優(yōu)先級。
3. 根據(jù)權(quán)利要求2所述的方法���,其特征在于���,所述ACL還包括:靜態(tài)配置表項;其中����, 所述靜態(tài)配置表項包括:靜態(tài)配置的客戶端設(shè)備的標識以及對應(yīng)的第一優(yōu)先級。
4. 根據(jù)權(quán)利要求1所述的方法����,其特征在于����,所述向端口配置所述ACL后��,所述方法還 包括: 當在第一時間檢測到所述認證報文速率不超過所述認證報文處理閾值時�����,判斷從所述 第一時間開始的預(yù)設(shè)檢測周期內(nèi)�,所述認證報文速率是否持續(xù)不超過所述認證報文處理閾 值,若是����,則刪除所述端口的ACL。
5. 根據(jù)權(quán)利要求1至4任一所述的方法����,其特征在于,所述方法基于802. lx協(xié)議實現(xiàn) 接入網(wǎng)絡(luò)認證�����,所述標識為MAC地址����; 所述認證報文速率超過認證報文處理閾值具體包括:802. lx協(xié)議報文的報文速率超 過認證報文處理閾值��。
6. -種認證報文處理裝置��,其特征在于����,所述裝置應(yīng)用在通過與客戶端設(shè)備交互實現(xiàn) 接入網(wǎng)絡(luò)認證的網(wǎng)絡(luò)設(shè)備上����,所述裝置包括: 維護單元����,用于維護ACL,所述ACL中包含客戶端設(shè)備的標識及優(yōu)先級的對應(yīng)關(guān)系�����; 配置單元��,用于當認證報文速率超過認證報文處理閾值時����,向端口配置所述ACL ; 匹配單元,用于當接收到客戶端設(shè)備發(fā)送的認證報文時�,通過所述認證報文中的客戶 端設(shè)備的標識與端口 ACL進行匹配���,當匹配到所述客戶端設(shè)備的標識時,為所述認證報文 標記與所述客戶端設(shè)備的標識對應(yīng)的優(yōu)先級��,當未匹配到所述客戶端設(shè)備的標識時���,丟棄 所述認證報文��; 處理單元����,用于按照優(yōu)先級從高到低的順序?qū)λ稣J證報文進行認證處理�。
7. 根據(jù)權(quán)利要求6所述的裝置,其特征在于����,所述ACL包括動態(tài)學習表項; 所述維護單元����,具體用于當客戶端設(shè)備認證通過時,若所述ACL中沒有所述客戶端設(shè) 備對應(yīng)的動態(tài)學習表項���,則添加對應(yīng)的動態(tài)學習表項���,所述動態(tài)學習表項中寫入所述客戶 端設(shè)備的標識�����,認證通過次數(shù)1�����,以及第二優(yōu)先級�����;若所述ACL中存在所述客戶端設(shè)備對應(yīng) 的動態(tài)學習表項,則將所述認證通過次數(shù)加1���,并判斷所述認證通過次數(shù)是否超過升級閾 值�,若是�,則將所述第二優(yōu)先級調(diào)整為第一優(yōu)先級,否則��,維持所述第二優(yōu)先級不變�;其中, 所述第一優(yōu)先級高于所述第二優(yōu)先級����。
8. 根據(jù)權(quán)利要求7所述的裝置���,其特征在于,所述ACL還包括:靜態(tài)配置表項���;其中�, 所述靜態(tài)配置表項包括:靜態(tài)配置的客戶端設(shè)備的標識以及對應(yīng)的第一優(yōu)先級���。
9. 根據(jù)權(quán)利要求6所述的裝置���,其特征在于,所述裝置還包括: 判斷單元�����,用于當在第一時間檢測到所述認證報文速率不超過所述認證報文處理閾值 時��,判斷從所述第一時間開始的預(yù)設(shè)檢測周期內(nèi)��,所述認證報文速率是否持續(xù)不超過所述 認證報文處理閾值��; 刪除單元,用于若所述認證報文速率持續(xù)不超過所述認證報文處理閾值�����,則刪除所述 端口的ACL�。
10. 根據(jù)權(quán)利要求6至9任意一項所述的裝置,其特征在于�����,所述裝置基于802. lx協(xié)議 實現(xiàn)接入網(wǎng)絡(luò)認證��,所述標識為MAC地址���; 所述配置單元����,具體用于當802. lx協(xié)議報文的報文速率超過認證報文處理閾值時���,向 端口配置所述ACL。
【文檔編號】H04L29/06GK104113548SQ201410356452
【公開日】2014年10月22日 申請日期:2014年7月24日 優(yōu)先權(quán)日:2014年7月24日
【發(fā)明者】劉漢清, 田浩博, 高平利, 杜鑫, 劉娟, 梁力文, 李云濤 申請人:杭州華三通信技術(shù)有限公司