一种认证控制方法及装置与流程

本申请涉及网络通信技术领域，尤其涉及一种认证控制方法及装置。

背景技术：

Portal(门户)认证通常也称为Web(网页)认证，即通过Web页面接受用户输入的用户名和密码，对用户进行身份认证，以达到对用户访问进行控制的目的。在采用了Portal认证的组网环境(本文中称为Portal组网)中，当用户需要使用互联网中的特定信息时，必须进行Portal认证，只有认证通过后才可以使用这些互联网中的设备或资源。

技术实现要素：

本申请提供一种认证控制方法及装置，以解决现有Portal组网中认证失败的用户反复发起认证导致的Portal服务器负荷过大的问题。

根据本申请实施例的第一方面，提供一种认证控制方法，应用于门户Portal组网中的Portal服务器，所述方法包括：

当接收到针对目标用户终端的认证失败消息时，向宽带远程接入服务器BRAS设备发送第一通知消息，所述第一通知消息中携带有所述目标用户终端的目标互联网协议IP地址以及第一预设时长，以使所述BRAS设备在所述第一预设时长内拒绝转发源IP地址为所述目标IP地址的Portal认证请求报文。

根据本申请实施例的第二方面，提供一种认证控制方法，应用于门户Portal组网中的宽带远程接入服务器BRAS设备，所述方法包括：

接收Portal服务器发送的第一通知消息，所述第一通知消息中携带有目标用户终端的目标互联网协议IP地址以及第一预设时长；

当在接收到所述第一通知消息之后的所述第一预设时长内接收到源IP地址为所述目标IP地址的Portal认证请求报文时，拒绝对该Portal认证请求报文进行转发。

根据本申请实施例的第三方面，提供一种认证控制装置，应用于门户Portal组网中的Portal服务器，所述装置包括：接收单元以及发送单元；其中：

所述发送单元，用于当所述接收单元接收到针对目标用户终端的认证失败消息时，向宽带远程接入服务器BRAS设备发送第一通知消息，所述第一通知消息中携带有所述目标用户终端的目标互联网协议IP地址以及第一预设时长，以使所述BRAS设备在所述第一预设时长内拒绝转发源IP地址为所述目标IP地址的Portal认证请求报文。

根据本申请实施例的第四方面，提供一种认证控制装置，应用于门户Portal组网中的宽带远程接入服务器BRAS设备，所述装置包括：接收单元和发送单元；其中：

所述接收单元，用于接收Portal服务器发送的第一通知消息，所述第一通知消息中携带有目标用户终端的目标互联网协议IP地址以及第一预设时长；

所述发送单元，用于当所述接收单元在接收到所述第一通知消息之后的所述第一预设时长内接收到源IP地址为所述目标IP地址的Portal认证请求报文时，拒绝对该Portal认证请求报文进行转发。

应用本申请实施例，当接收到针对目标用户终端的认证失败消息时，向BRAS设备发送第一通知消息，该第一通知消息中携带有目标用户终端的目标IP地址以及第一预设时长，以使BRAS设备在第一预设时长内拒绝转发源IP地址为目标IP地址的Portal认证请求报文，避免了目标用户终端在认证失败后，仍然反复重新发起认证导致的Portal服务器负荷过大，进而造成网络恶化的情况发生，降低了Portal服务器的负荷，优化了Portal认证系统的并发性能。

附图说明

图1是本申请实施例提供的一种认证控制方法的流程示意图；

图2是本申请实施例提供的另一种认证控制方法的流程示意图；

图3是本申请实施例提供的一种认证控制方法的流程示意图；

图4是本申请实施例提供的一种认证控制装置的结构示意图；

图5是本申请实施例提供的另一种认证控制装置的结构示意图；

图6是本申请实施例提供的一种认证控制装置的结构示意图；

图7是本申请实施例提供的另一种认证控制装置的结构示意图。

具体实施方式

在目前的portal组网中，当用户portal认证失败后，用户可以反复重新发起认证。这会对portal服务器带来开销，并带来并发冲突，在用户数量比较多的情况下，当用户反复发起认证时，Portal服务器响应速度可能会跟不上，进而可能会导致网络恶化。

为了使本技术领域的人员更好地理解本申请实施例中的技术方案，并使本申请实施例的上述目的、特征和优点能够更加明显易懂，下面结合附图对本申请实施例中技术方案作进一步详细的说明。

请参见图1，为本申请实施例提供了一种认证控制方法的流程示意图，其中，该认证控制方法可以应用于Portal组网中的Portal服务器，如图1所示，该认证控制方法可以包括以下步骤：

步骤101、当接收到针对目标用户终端的认证失败消息时，向BRAS设备发送第一通知消息，该第一通知消息中携带有目标用户终端的目标IP地址以及第一预设时长，以使BRAS设备在第一预设时长内拒绝转发源IP地址为目标IP地址的Portal认证请求报文。

本申请实施例中，考虑到现有Portal组网中，用户认证失败之后，还是可以反复重新发起认证，在用户数量比较多的情况下，可能会导致Portal服务器负担过大，进而导致网络恶化，因而，为了优化Portal认证系统的并发性能，当Portal服务器确定用户认证失败时，可以通过接入设备控制该认证失败的用户再次发起的认证。

相应地，在本申请实施例中，当目标用户终端在认证服务器(如AAA(Authentication、Authorization、Accounting，验证、授权和记账)服务器)处认证失败时，认证服务器会通知BRAS设备目标用户终端认证失败，进而，BRAS设备可以向Portal服务器发送针对目标用户终端的认证失败消息。

Portal服务器接收到针对目标用户终端的认证失败消息时，Portal服务器可以向BRAS(Broadband Remote Access Server，宽带远程接入服务器)设备发送通知消息(本文中称为第一通知消息)，该第一通知消息用于通知BRAS设备在接收到该消息起的第一预设时长内禁止转发源IP地址为目标IP地址的Portal认证请求报文；其中，该第一通知消息中携带有目标用户终端的IP(Internet Protocol，互联网协议)地址以及第一预设时长(可以根据实际场景设定，如10分钟、20分钟等)。

相应地，BRAS设备接收到该第一通知消息时，可以获取该第一通知消息中携带的目标IP地址以及第一预设时长，并在该第一预设时长内拒绝转发源IP地址为该目标IP地址的Portal认证请求报文。

在本申请其中一个实施例中，向BRAS设备发送第一通知消息，可以包括：

向BRAS设备发送扩展后的AFF_ACK_AUTH报文，上述目标IP地址以及第一预设时长携带在扩展后的AFF_ACK_AUTH报文中的新增TLV(Type，Length，Value，类型、长度、值)字段中。

在该实施方式中，可以对现有的AFF_ACK_AUTH报文(Portal服务器向设备发出的认证回应报文)进行扩展，在原有的AFF_ACK_AUTH报文中新增两个TLV字段，其中一个新增TLV字段用于携带上述目标IP地址，另一个新增TLV字段用于携带上述第一预设时长。

举例来说，当认证失败时，原AFF_ACK_AUTH报文的格式：

Type：0x07

AttrNum(属性值)字段：无

扩展后的格式：

AttrNum：0x03，填充2个属性，在最后的attr位置，新增2个TLV字段：

第一个TLV字段填充第一预设时长。

第二个TLV填充目标IP地址。

其中，BRAS设备接收到第一通知消息之后的具体处理流程可以参见图3所示方法流程中的相关描述，本申请实施例在此不做赘述。

进一步地，作为一种可选的实施方式，在本申请实施例中，当Portal服务器接收到针对目标用户终端的认证失败消息时，还可以执行以下操作：

向目标用户终端发送第二通知消息，该第二通知消息中携带有上述第一预设时长。

在该实施方式中，为了避免用户在禁止认证的期间用户反复多次发起认证得不到响应导致用户体验过差，当Portal服务器接收到针对目标用户终端的认证失败消息时，Portal服务器除了可以按照上述流程向BRAS设备发送第一通知消息之外，还可以向目标用户终端发送通知消息(本文中称为第二通知消息)，以通知目标用户终端禁止该目标用户终端进行Portal认证的时长。

目标用户终端接收到第二通知消息后，可以将其中携带的第一预设时长展示给用户，从而用户可以在接收目标用户终端接收到第二通知消息时起的第一预设时长内不再发起Portal认证，避免在此期间反复发起认证得不到响应，提高用户体验。

进一步地，上述第二通知消息中还可以携带有目标用户终端认证失败的原因，以便用户能够清楚获知认证失败的原因，以进一步提高用户体验。

在本申请其中一个实施例中，上述向目标用户终端发送第二通知消息，可以包括：

向目标用户终端发送扩展后的CODE_PP_LOGIN_RESPONSE报文，其中，上述认证失败的原因以及第一预设时长携带在扩展后的CODE_PP_LOGIN_RESPONSE报文的attribute(属性)字段中。

在该实施方式中，Portal服务器可以对现有的CODE_PP_LOGIN_RESPONSE报文(Portal服务器向用户终端发出的认证回应报文)进行扩展，在该报文的attribute字段中携带针对目标用户终端的认证失败原因以及上述第一预设时长。

相应地，目标用户终端接收到该扩展后的CODE_PP_LOGIN_RESPONSE报文时，可以获取该CODE_PP_LOGIN_RESPONSE报文的attribute字段中携带的认证失败原因以及第一预设时长，目标用户终端能够获知认证失败原因，并在第一预设时长内不发起Portal认证。

可见，在图1所示的方法流程中，通过Portal服务器在接收到针对目标用户终端的认证失败消息时向BRAS设备发送携带目标用户终端的目标IP地址以及第一预设时长的第一通知消息，以使BRAS设备接收到该第一通知消息时，在第一预设时长内拒绝转发源IP地址为目标IP地址的Portal认证请求报文，避免了目标用户终端在认证失败后，仍然反复重新发起认证导致的Portal服务器负荷过大，进而造成网络恶化的情况发生，优化了Portal认证系统的并发性能。

请参见图2，为本申请实施例提供了另一种认证控制方法的流程示意图，其中，该认证控制方法可以应用于Portal组网中的Portal服务器，如图2所示，该认证控制方法可以包括以下步骤：

步骤201、当接收到针对目标用户终端的认证失败消息时，判断当前是否满足预设触发条件。若是，转至步骤202；否则，按照现有Portal认证流程进行处理。

本申请实施例中，考虑到当Portal服务器较为繁忙或者Portal组网中请求认证的用户终端数量较多时，若认证失败的用户终端反复重新发起认证可能会导致Portal服务器负荷过大，并带来并发冲突；而当Portal服务器较为空闲或Portal组网中请求认证的用户终端数量较少时，则可以不用考虑认证失败的用户终端反复重新发起认证可能带来的问题，因而，可以预先设定触发本申请实施例所提供的认证控制方案的条件(本文中称为预设触发条件)，并当满足预设触发条件时，按照图1所示的认证控制方案进行处理，否则，按照现有Portal认证流程进行处理。

本申请实施例中，上述预设触发条件可以包括但不限于：当前时间属于预设时间范围或发生预设事件。其中，该预设事件可以包括但不限于发起认证的用户终端数量超过预设阈值、认证队列中的认证请求报文数量超过预设阈值等。

举例来说，以预设触发条件为当前时间属于预设时间范围为例，可以预先统计各时间段发起认证的用户终端的数量，并根据发起认证的用户终端数量超过预设阈值(可以根据实际场景设定)的时间段设置预设时间范围，例如，假设每天下午3:00～4:00发起认证的用户终端数量超过预设阈值，则可以将3:00～4:00设置为预设时间范围。

相应地，当Portal服务器接收到针对目标用户终端的认证失败消息时，可以判断当前时间是否处于预设时间范围，若处于，则按照图1所示的方法流程中的相关处理方式进行处理；否则，按照现有Portal认证处理流程进行处理。

又举例来说，以预设触发条件为认证队列中认证报文的数量超过阈值为例，当Portal服务器接收到针对目标用户终端的认证失败消息时，可以判断当前认证队列中的认证报文数量是否超过预设阈值，若超过，则按照图1所示的方法流程中的相关处理方式进行处理；否则，按照现有Portal认证处理流程进行处理。

步骤202、向BRAS设备发送第一通知消息，该第一通知消息中携带有目标用户终端的目标IP地址以及第一预设时长，以使BRAS设备在第一预设时长内拒绝转发源IP地址为目标IP地址的Portal认证请求报文。

本申请实施例中，步骤202的具体实现可以参见上述图1所示方法流程中的相关描述，本申请实施例在此不再赘述。

其中，在该实施例中，Portal服务器接收到针对目标用户终端的认证失败消息，且确定当前满足预设触发条件时，还可以向目标用户终端发送第二通知消息，其具体处理流程可以参见图1所描述的方法流程中的相关描述，本申请实施例在此不再赘述。

步骤203、按照现有Portal认证流程进行处理。

本申请实施例中，当Portal服务器确定当前不满足预设触发条件时，可以直接按照现有Portal认证处理流程进行处理，如分别向BRAS设备发送AFF_ACK_AUTH报文(未扩展)以及向目标用户终端发送CODE_PP_LOGIN_RESPONSE报文(未扩展)，其具体实现在此不做赘述。

可见，在图2所示的方法流程中，通过在Portal服务器较为繁忙或Portal组网中申请认证的用户终端数量较多时，对用户终端认证失败后再次发起的认证进行控制，避免了用户终端认证失败后仍然反复重新发起认证导致的Portal服务器负荷过大，而在Portal服务器较为空闲或Portal组网中申请认证的用户终端数量较少时，仍然允许用户终端认证失败后重新发起认证，在Portal服务器负荷允许的情况下，允许用户终端多次进行认证，在一定程度上提高用户终端通过认证的概率。

请参见图3，为本申请实施例提供的一种认证控制方法的流程示意图，其中，该认证控制方法可以应用于Portal组网中的BRAS设备，如图3所示，该认证控制方法可以包括以下步骤：

步骤301、接收Portal服务器发送的第一通知消息，该第一通知消息中携带有目标用户终端的目标IP地址以及第一预设时长。

本申请实施例中，Portal服务器向BRAS设备发送第一通知消息的具体实现流程可以参见图1或图2所示方法流程中的相关描述，本申请实施例在此不再赘述。

步骤302、当在接收到第一通知消息之后的第一预设时长内接收到源IP地址为目标IP地址的Portal认证请求报文时，拒绝对该Portal认证请求报文进行转发。

本申请实施例中，当BRAS设备接收到Portal服务器发送的第一通知消息时，BRAS设备可以记录该第一通知消息中携带的目标IP地址。当BRAS设备在接收到该第一通知消息之后的第一预设时长内，接收到源IP地址为自身记录的目标IP地址的认证请求报文时，BRAS设备将不会对该Portal认证请求报文进行转发。

在本申请的一个实施例中，当在接收到第一通知消息之后的第一预设时长内接收到源IP地址为所述目标IP地址的Portal认证请求报文时，拒绝对该Portal认证请求报文进行转发，可以包括：

当接收到第一通知消息时，建立针对目标IP地址的Portal Fail(失败)表项，该Portal Fail表项的在线时长为上述第一预设时长；

当在该Portal Fail表项的在线时长到期前接收到源IP地址为目标IP地址的Portal认证请求报文时，拒绝对该Portal认证请求报文进行转发。

在该实施例中，当BRAS设备接收到第一通知消息时，BRAS设备可以建立一个Portal Fail表项，该Portal Fail表项的匹配项为上述目标IP地址，动作项可以为拒绝对源IP地址与匹配项匹配的Portal认证请求报文进行转发。其中，该Portal Fail表项的在线时长为上述第一预设时长，即在上述第一预设时长内(从BRAS设备建立该Portal Fail表项起)，该Portal Fail表项有效，超过该第一预设时长后，该Portal Fail表项无效。

相应地，当BRAS设备接收到Portal认证请求报文时，BRAS设备可以根据该Portal认证请求报文的源IP地址查询本地的Portal Fail表项，若查询到匹配的Portal Fail表项，且该Portal Fail表项在线(即有效)，则拒绝对该Portal认证请求报文进行转发；否则，即未查询到匹配的Portal Fail表项，或查询到匹配的Portal Fail表项，但该Portal Fail表项不在线(即无效)，则对该Portal认证请求报文进行转发。

其中，为了节省系统资源，并提高Portal Fail表项的匹配效率，当Portal Fail在线时长到期时，BRAS设备可以删除该Portal Fail表项。

举例来说，以第一通知消息为上述扩展后的AFF_ACK_AUTH报文为例，当BRAS设备接收到AFF_ACK_AUTH报文后，当Type为0x07，且AttrNum为0x02时，解析新增TLV字段，按照其中携带的目标IP地址建立Portal Fail表项，并根据第一预设时长设置该Portal Fail表项的在线时长，在这段时间内，BRAS设备拒绝转发目标用户终端发送的Portal认证请求报文，从而避免了Portal服务器负荷过大。

当Portal Fail表项的在线时长到期后，BRAS设备可以删除该Portal表项，进而，当BRAS设备再次接收到目标用户终端发送的Portal认证请求报文时，BRAS设备可以转发该Portal认证请求报文。

值得说明的是，在该实施方式中，当BRAS设备根据接收到的第一通知消息拒绝对目标用户终端的Portal认证请求报文进行转发的过程中，BRAS设备可以设置允许目标用户终端访问特定资源以及允许的带宽。

例如，BRAS设备根据接收到的扩展后的AFF_ACK_AUTH报文生成Portal Fail表项后，还可以为该Portal Fail表项下发预定义的管理策略，给出目标用户终端允许访问的资源(如公共的免费资源，如打印机)和允许的带宽。

通过以上描述可以看出，在本申请实施例提供的技术方案中，当接收到针对目标用户终端的认证失败消息时，向BRAS设备发送第一通知消息，该第一通知消息中携带有目标用户终端的目标IP地址以及第一预设时长，以使BRAS设备在第一预设时长内拒绝转发源IP地址为目标IP地址的Portal认证请求报文，避免了目标用户终端在认证失败后，仍然反复重新发起认证导致的Portal服务器负荷过大，进而造成网络恶化的情况发生，降低了Portal服务器的负荷，优化了Portal认证系统的并发性能。

请参见图4，为本申请实施例提供的一种认证控制装置的结构示意图，其中，该认证控制装置可以应用于上述方法实施例中的Portal服务器，如图4所示，该认证控制装置可以包括：接收单元410以及发送单元420；其中：

所述发送单元420，用于当所述接收单元410接收到针对目标用户终端的认证失败消息时，向宽带远程接入服务器BRAS设备发送第一通知消息，所述第一通知消息中携带有所述目标用户终端的目标互联网协议IP地址以及第一预设时长，以使所述BRAS设备在所述第一预设时长内拒绝转发源IP地址为所述目标IP地址的Portal认证请求报文。

请一并参见图5，为本申请实施例提供的另一种认证控制装置的结构示意图，如图5所示，在图4所示认证控制装置的基础上，图5所示的认证控制装置还包括：判断单元430；其中：

判断单元430，用于当所述接收单元410接收到针对目标用户终端的认证失败消息时，判断当前是否满足预设触发条件；

相应地，所述发送单元420，可以具体用于当所述判断单元430判断为是时，向BRAS设备发送第一通知消息；

其中，所述预设触发条件包括：

当前时间属于预设时间范围或发生预设事件。

在可选实施例中，所述发送单元420，还可以用于当所述接收单元410接收到针对目标用户终端的认证失败消息时，向所述目标用户终端发送第二通知消息，所述第二通知消息中携带有认证失败的原因以及所述第一预设时长。

请参见图6，为本申请实施例提供的一种认证控制装置的结构示意图，其中，该认证控制装置可以应用于上述方法实施例中的BRAS设备，如图6所示，该认证控制装置可以包括：接收单元610以及发送单元620；其中：

所述接收单元610，用于接收Portal服务器发送的第一通知消息，所述第一通知消息中携带有目标用户终端的目标互联网协议IP地址以及第一预设时长；

所述发送单元620，用于当所述接收单元610在接收到所述第一通知消息之后的所述第一预设时长内接收到源IP地址为所述目标IP地址的Portal认证请求报文时，拒绝对该Portal认证请求报文进行转发。

请一并参见图7，为本申请实施例提供的另一种认证控制装置的结构示意图，如图7所示，在图6所示认证控制装置的基础上，图7所示的认证控制装置还包括：建立单元630；其中：

所述建立单元630，用于当所述接收单元610接收到所述第一通知消息时，建立针对所述目标IP地址的Portal失败Fail表项，该Portal Fail表项的在线时长为所述第一预设时长；

所述发送单元620，具体用于当所述接收单元610在该Portal Fail表项的在线时长到期前接收到源IP地址为所述目标IP地址的Portal认证请求报文时，拒绝对该Portal认证请求报文进行转发。

上述装置中各个单元的功能和作用的实现过程具体详见上述方法中对应步骤的实现过程，在此不再赘述。

对于装置实施例而言，由于其基本对应于方法实施例，所以相关之处参见方法实施例的部分说明即可。以上所描述的装置实施例仅仅是示意性的，其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本申请方案的目的。本领域普通技术人员在不付出创造性劳动的情况下，即可以理解并实施。

由上述实施例可见，当接收到针对目标用户终端的认证失败消息时，向BRAS设备发送第一通知消息，该第一通知消息中携带有目标用户终端的目标IP地址以及第一预设时长，以使BRAS设备在第一预设时长内拒绝转发源IP地址为目标IP地址的Portal认证请求报文，避免了目标用户终端在认证失败后，仍然反复重新发起认证导致的Portal服务器负荷过大，进而造成网络恶化的情况发生，降低了Portal服务器的负荷，优化了Portal认证系统的并发性能。

本领域技术人员在考虑说明书及实践这里公开的发明后，将容易想到本申请的其它实施方案。本申请旨在涵盖本申请的任何变型、用途或者适应性变化，这些变型、用途或者适应性变化遵循本申请的一般性原理并包括本申请未公开的本技术领域中的公知常识或惯用技术手段。说明书和实施例仅被视为示例性的，本申请的真正范围和精神由下面的权利要求指出。

应当理解的是，本申请并不局限于上面已经描述并在附图中示出的精确结构，并且可以在不脱离其范围进行各种修改和改变。本申请的范围仅由所附的权利要求来限制。