报文认证方法和设备的制造方法

文档序号:8265591阅读:405来源:国知局
报文认证方法和设备的制造方法
【技术领域】
[0001]本申请涉及网络通信技术,特别涉及报文认证方法和设备。
【背景技术】
[0002]在网络通信技术中,常用的一种认证方式是流量触发认证,即:接入设备接收到报文时,发现本地没有记录该报文的认证信息,则将该报文上送至本设备的CPU以触发认证设备对该报文进行认证,若认证通过,则转发该报文,并记录该报文的认证信息,以便后续直接转发该类报文,若认证未通过,则丢弃该报文。
[0003]但是,报文的认证需要一定的时间,而网络中流量速率很大,并且报文种类多,这就需要CPU源源不断地接收报文并触发认证设备对接收的众多报文进行认证处理,这会造成对CPU的冲击,也会影响后续认证设备对报文的认证效率,最终导致用户上线速率慢。

【发明内容】

[0004]本申请提供了报文认证方法和设备,以减少CPU的冲击,提高报文的认证效率。
[0005]本申请提供的技术方案包括:
[0006]一种报文认证方法,该方法包括:
[0007]接收报文,判断已建立的认证通过用户表中是否存在与所述报文携带的用户信息对应的表项,如果是,转发所述报文,如果否,
[0008]判断已建立的待进行认证用户表中是否存在与所述用户信息对应的表项,如果是,丢弃所述报文,如果否,在所述待进行认证用户表中增加与所述用户信息对应的表项,并将所述报文上送至CPU以触发对所述报文的认证,在所述报文通过认证时,转发所述报文,从所述待进行认证用户表中删除与所述用户信息对应的表项,并在所述认证通过用户表中增加与所述报文携带的用户信息对应的表项,在所述报文未通过认证时,丢弃所述报文,从所述待进行认证用户表中删除与所述用户信息对应的表项。
[0009]一种报文认证设备,该设备应用于接入设备,包括:
[0010]接收单元,用于接收报文;
[0011]第一判断单元,用于判断已建立的认证通过用户表中是否存在与所述报文携带的用户信息对应的表项;
[0012]处理单元,用于在所述第一判断单元的判断结果为是时,转发所述报文,以及在所述判断单元的判断结果为否时,发送通知给第二判断单元;以及,在所述第二判断单元的判断结果为是时,丢弃所述报文,在所述第二判断单元的判断结果为否时,在待进行认证用户表中增加与所述用户信息对应的表项,并将所述报文上送至CPU以触发对所述报文的认证,在所述报文通过认证时,转发所述报文,从所述待进行认证用户表中删除与所述用户信息对应的表项,并在所述认证通过用户表中增加与所述报文携带的用户信息对应的表项,在所述报文未通过认证时,丢弃所述报文,从所述待进行认证用户表中删除与所述用户信息对应的表项;
[0013]第二判断单元,用于接收所述通知,并判断已建立的待进行认证用户表中是否存在与所述用户信息对应的表项。
[0014]由以上技术方案可以看出,本发明中,当接收到报文时,判断已建立的认证通过用户表中是否存在与所述报文携带的用户信息对应的表项,是则直接转发报文,能够保证CPU不会反复收到一个认证通过的用户发送的报文并反复地去触发认证设备对该认证通过的用户发送的报文进行认证,使得上送至CPU的报文都是来自不同用户的,减少CPU的冲击,并且,由于上送至CPU的报文始终是一批全新的用户发送过来的,不存在认证处理上的冗余,这也提高了报文的认证效率。
[0015]进一步地,本发明中,当判断出已建立的认证通过用户表中不存在与所述报文携带的用户信息对应的表项时,就从已建立的待进行认证用户表中判断是否存在与所述报文携带的用户信息对应的表项,如果是,则说明该报文目前虽未通过认证,但正在认证中,故此报文无须再上送CPU,直接丢弃即可,进一步减少CPU的冲击,提高认证效率。
【附图说明】
[0016]图1为本发明提供的方法流程图。
[0017]图2为本发明提供的设备结构示意图。
【具体实施方式】
[0018]为了使本发明的目的、技术方案和优点更加清楚,下面结合附图和具体实施例对本发明进行详细描述。
[0019]本发明提供的方法能够减少报文对CPU的冲击,提高报文的认证效率。
[0020]下面通过图1对本发明提供的方法进行描述:
[0021]参见图1,图1为本发明提供的方法流程图。该方法应用于接入设备,比如宽带远程接入服务器(BRAS-Broadband Remote Access Server)。如图1所示,该方法可包括以下步骤:
[0022]步骤101,接收报文。
[0023]步骤102,判断已建立的认证通过用户表中是否存在与所述报文携带的用户信息对应的表项,如果否,执行步骤103,如果是,执行步骤104。
[0024]作为本发明的一个实施例,所述用户信息用于区分用户,其至少包括:源IP地址、源MAC地址。
[0025]步骤103,判断已建立的待进行认证用户表中是否存在与所述用户信息对应的表项,如果是,丢弃所述报文,如果否,在所述待进行认证用户表中增加与所述用户信息对应的表项,并将所述报文上送至CPU以触发认证设备对所述报文的认证:在所述报文通过认证时,转发所述报文,从所述待进行认证用户表中删除与所述用户信息对应的表项,并在所述认证通过用户表中增加与所述报文携带的用户信息对应的表项;在所述报文未通过认证时,丢弃所述报文,从所述待进行认证用户表中删除与所述用户信息对应的表项。
[0026]本步骤103是在步骤102判断出已建立的认证通过用户表中不存在与所述报文携带的用户信息比如源IP地址、源MAC地址对应的表项时执行的。当步骤102判断出已建立的认证通过用户表中不存在与所述报文携带的用户信息比如源IP地址、源MAC地址对应的表项时,本步骤103就从已建立的待进行认证用户表中判断是否存在与所述报文携带的用户信息对应的表项,如果是,说明该报文目前虽未通过认证,但正在认证中,故此报文无须再上送CPU,直接丢弃即可,减少报文对CPU的冲击,进一步提高报文的认证效率;而如果否,说明该报文目前既未通过认证,也并非在“正在认证”中,则先在待进行认证用户表中增加与所述报文携带的用户信息对应的表项,之后再将该报文上送CPU触发认证设备对该报文进行认证。至于CPU如何触发认证设备对报文进行认证,其可以类似现有认证方式,这里不展开描述。当上送至CPU的报文未通过认证时,丢弃所述报文,从所述待进行认证用户表中删除与所述用户信息对应的表项,反之,当上送至CPU的报文通过认证时,可以继续转发所述报文,并从所述待进行认证用户表中删除与所述用户信息对应的表项,在所述认证通过用户表中增加与所述报文携带的用户信息对应的表项,这样能够保证后续收到携带相同用户信息的报文直接转发,不再上送CPU,减少报文对CPU的冲击,进一步提高报文的认证效率。
[0027]步骤104,转发所述报文。
[0028]本步骤104是在步骤102判断出已建立的认证通过用户表中存在与所述报文携带的用户信息比如源IP地址、源MAC地址对应的表项时执行的。通过步骤104,能够保证CPU不会反复收到一个认证通过的用户发送的报文,也不会反复触发认证设备对一个认证通过的用户发送的报文反复认证,使得上送至CPU的报文都是来自不同用户的,即CPU收到的报文始终面对的都是一批全新的用户发送过来的,这保证不存在认证处理上的冗余,这对报文的认证处理是最有效率的,也保证CPU收到的报文不冲击CPU。
[0029]至此,完成图1所示的流程。
[0030]作为本发明的一个实施例,在本发明中,为避免待进行认证用户表中表项残留或者存放时间过长,上述步骤103中,在待进行认证用户表中增加与用户信息对应的表项时,可进一步为该增加的表项设置一个老化定时器。老化定时器的超时时间依实际情况而设置,如,设置老化定时器的超时时间为CPU正常认证一个报文的时间的X倍,X可以是2或3。
[0031]基于此,本发明中,就需要针对待进行认证用户表中的每一表项,实时检测其老化定时器是否超时,当检测出老化定时器超时时,从所述待进行认证用户表中删除老化定时器超时的表项,而当检测出老化定时器未超时时,不执行任何处理。如此,就可以保证待进行认证用户表中的每一表项最多只能存放一个老化定时器的超时时间。需要说明的是,本发明中,当在所述待进行认证用户表中增加表项时,针对该增加的表项设置的老化定时器就开始计时,该老化定时器不会因为后续收到相同报文而更新,而是一直计时,直至超时,而当超时时就需要删除老化定时器超时的表项。
[0032]还有,本发明中,会针对待进行认证用户表设置一个表项容量(其表示待进行认证用户表所容纳的表项数量比如100,200等),其中,待进行认证用户表的表项容量可根据CPU的处理能力设置。
[0033]基于此,上述步骤103中,在待进行认证用户表中增加与所述用户信息对应的表项之前,可进一步包括
当前第1页1 2 3 
网友询问留言 已有0条留言
  • 还没有人留言评论。精彩留言会获得点赞!
1