特許6376609 | 知財ポータル「IP Force」

知財求人 - 知財ポータルサイト「IP Force」

▶ 華為技術有限公司の特許一覧

特許6376609アクセス制御装置および認証制御方法

書誌要約請求の範囲詳細な説明課題実施例実施するための形態図面の説明

目に優しい文字サイズ小中大 PDF Top

< >

1
2
3A
3B
3C
3D
3E
3F
4
5
6

(19)【発行国】日本国特許庁(JP)

(12)【公報種別】特許公報(B2)

(11)【特許番号】6376609

(24)【登録日】2018年8月3日

(45)【発行日】2018年8月22日

(54)【発明の名称】アクセス制御装置および認証制御方法

(51)【国際特許分類】

H04L 9/32 20060101AFI20180813BHJP

H04L 9/36 20060101ALI20180813BHJP

H04L 12/70 20130101ALI20180813BHJP

【ＦＩ】

H04L9/00 675A

H04L9/00 685

H04L12/70 100Z

【請求項の数】12

【外国語出願】

【全頁数】21

(21)【出願番号】特願2016-170600(P2016-170600)

(22)【出願日】2016年9月1日

(65)【公開番号】特開2017-50869(P2017-50869A)

(43)【公開日】2017年3月9日

【審査請求日】2016年10月5日

(31)【優先権主張番号】201510556295.5

(32)【優先日】2015年9月2日

(33)【優先権主張国】CN

(73)【特許権者】

【識別番号】503433420

【氏名又は名称】華為技術有限公司

【氏名又は名称原語表記】ＨＵＡＷＥＩＴＥＣＨＮＯＬＯＧＩＥＳＣＯ．，ＬＴＤ．

(74)【代理人】

【識別番号】100146835

【弁理士】

【氏名又は名称】佐伯義文

(74)【代理人】

【識別番号】100140534

【弁理士】

【氏名又は名称】木内敬二

(72)【発明者】

【氏名】ジチョン・ハン

(72)【発明者】

【氏名】ビン・ユ

【審査官】青木重徳

(56)【参考文献】

【文献】特開２００７−１８９５１２（ＪＰ，Ａ）

【文献】特表２００６−５２７９６７（ＪＰ，Ａ）

【文献】米国特許出願公開第２０１５／００１２９９８（ＵＳ，Ａ１）

【文献】那須野洋一ほか，パワーアップ講座続・レイヤー３スイッチ時代のネットワーク設計術第２回，日経ＮＥＴＷＯＲＫ，日本，日経ＢＰ社，２００６年１０月２２日，第７９号，ｐｐ．１６０−１６７

【文献】内藤聡ほか，無線ＬＡＮにおけるＲＡＤＩＵＳサーバを用いたユーザ認証，第６５回（平成１５年）全国大会講演論文集（３），日本，社団法人情報処理学会，２００３年３月２５日，１Ｖ−１，ｐｐ．３−３７１〜３−３７２

(58)【調査した分野】（Int.Cl.，ＤＢ名）

Ｈ０４Ｌ９／３２

Ｈ０４Ｌ９／３６

Ｈ０４Ｌ１２／７０

(57)【特許請求の範囲】

【請求項1】

アクセス制御装置であって、
前記アクセス制御装置に到着するパケットが認証開始パケットであるか否かを検出するように構成された検出モジュールであって、前記認証開始パケットは、前記認証開始パケットを送信する端末の認証プロセスを開始するために用いられる、検出モジュールと、
前記アクセス制御装置が認証開始パケットを受信する速度を制限するように構成された制限モジュールと、
を含むアクセス制御装置。

【請求項2】

前記制限モジュールは、パケット受信状態が第1の所定の条件を満たすときのみ、前記アクセス制御装置が前記認証開始パケットを受信する前記速度を制限するように構成され、
前記第1の所定の条件は、以下の条件、
単位時間内に前記アクセス制御装置に到着する認証パケットの数量が、第1のしきい値よりも大きいこと、
単位時間内に前記アクセス制御装置によって廃棄される認証パケットの数量が、第2のしきい値よりも大きいこと、または、
単位時間内に前記アクセス制御装置に到着する認証パケットの数量に対する前記単位時間内に前記アクセス制御装置により廃棄される認証パケットの数量の比が、第3のしきい値よりも大きいこと、
のうちの1つを含む、請求項1に記載のアクセス制御装置。

【請求項3】

前記アクセス制御装置は、
第3の所定の条件が満たされたとき、前記アクセス制御装置が前記認証開始パケットを受信する前記速度に対して前記制限モジュールにより行われた前記制限を解除するように構成された解除モジュールをさらに含み、
満たされる前記第3の所定の条件は、以下の、
前記単位時間内に前記アクセス制御装置に到着する前記認証パケットの数量が、第5のしきい値よりも小さく、前記第5のしきい値は前記第1のしきい値よりも小さいこと、
前記単位時間内に前記アクセス制御装置によって廃棄される前記認証パケットの数量が、第6のしきい値よりも小さく、前記第6のしきい値は前記第2のしきい値よりも小さいこと、または、
前記単位時間内に前記アクセス制御装置に到着する前記認証パケットの数量に対する前記単位時間内に前記アクセス制御装置により廃棄される前記認証パケットの数量の前記比が、第7のしきい値よりも小さく、前記第7のしきい値は前記第3のしきい値よりも小さいこと、
のうちの1つを含む、請求項2に記載のアクセス制御装置。

【請求項4】

前記制限モジュールは、前記アクセス制御装置を用いて単位時間内に認証に成功した端末の数量が第4のしきい値よりも大きいときのみ、前記アクセス制御装置が前記認証開始パケットを受信する前記速度を制限するように構成された、請求項1または3に記載のアクセス制御装置。

【請求項5】

前記制限モジュールは、パケット受信状態が第1の所定の条件を満たし、かつ前記アクセス制御装置を用いて単位時間内に認証に成功した端末の数量が第4のしきい値よりも大きいときのみ、前記アクセス制御装置が前記認証開始パケットを受信する前記速度を制限するように構成され、
前記第1の所定の条件は、以下の条件、
単位時間内に前記アクセス制御装置に到着する認証パケットの数量が、第1のしきい値よりも大きいこと、
単位時間内に前記アクセス制御装置によって廃棄される認証パケットの数量が、第2のしきい値よりも大きいこと、または、
単位時間内に前記アクセス制御装置に到着する認証パケットの数量に対する前記単位時間内に前記アクセス制御装置により廃棄される認証パケットの数量の比が、第3のしきい値よりも大きいこと、
のうちの1つを含む、請求項1に記載のアクセス制御装置。

【請求項6】

前記検出モジュールは、具体的には、前記アクセス制御装置に到着する認証パケットが第2の所定の条件を満たすか否かを検出し、前記アクセス制御装置に到着する前記認証パケットが前記第2の所定の条件を満たすならば、前記アクセス制御装置に到着する前記認証パケットが認証開始パケットであると判断するように構成され、
前記第2の所定の条件は、以下の条件、
前記認証パケットが拡張認証プロトコル（EAP）パケットであるとき、前記EAPパケット内のパケット・タイプ・フィールドの値が1であること、
前記認証パケットがEAPパケットであるとき、前記EAPパケットにおいて、パケット・タイプ・フィールドの値が0であり、パケット・ボディ・タイプ・フィールドの値が2であり、認証タイプ・フィールドの値が1であること、
前記認証パケットがチャレンジ・ハンドシェイク認証プロトコル（CHAP）パケットであるとき、前記アクセス制御装置に到着する前記認証パケットにおいて、verフィールドの値が2であり、typeフィールドの値が1であり、chapフィールドの値が0であること、または、
前記認証パケットがパスワード認証プロトコル（PAP）パケットであるとき、前記アクセス制御装置に到着する前記認証パケットにおいて、verフィールドの値が2であり、typeフィールドの値が3であり、papフィールドの値が1であること、
のうちの1つである、請求項1から5のいずれか一項に記載のアクセス制御装置。

【請求項7】

認証制御方法であって、
アクセス制御装置に到着するパケットが認証開始パケットであるか否かを検出するステップであって、前記認証開始パケットは、前記認証開始パケットを送信する端末の認証プロセスを開始するために用いられる、ステップと、
前記アクセス制御装置が認証開始パケットを受信する速度を制限するステップと、
を含む方法。

【請求項8】

前記アクセス制御装置が認証開始パケットを受信する速度を制限する前記ステップは、
パケット受信状態が第1の所定の条件を満たすときのみ、前記アクセス制御装置が前記認証開始パケットを受信する前記速度を制限するステップを含み、
前記第1の所定の条件は、次の条件、
単位時間内に前記アクセス制御装置に到着する認証パケットの数量が、第1のしきい値よりも大きいこと、
単位時間内に前記アクセス制御装置によって廃棄される認証パケットの数量が、第2のしきい値よりも大きいこと、または、
単位時間内に前記アクセス制御装置に到着する認証パケットの数量に対する前記単位時間内に前記アクセス制御装置により廃棄される認証パケットの数量の比が、第3のしきい値よりも大きいこと、
のうちの1つを含む、請求項7に記載の方法。

【請求項9】

前記方法は、第3の所定の条件が満たされたとき、前記アクセス制御装置が前記認証開始パケットを受信する前記速度に対する前記制限を解除するステップをさらに含み、
満たされる前記第3の所定の条件は、以下の、
前記単位時間内に前記アクセス制御装置に到着する前記認証パケットの数量が、第5のしきい値よりも小さく、前記第5のしきい値は前記第1のしきい値より小さいこと、
前記単位時間内に前記アクセス制御装置によって廃棄される前記認証パケットの数量が、第6のしきい値よりも小さく、前記第6のしきい値は前記第2のしきい値よりも小さいこと、または、
前記単位時間内に前記アクセス制御装置に到着する前記認証パケットの数量に対する前記単位時間内に前記アクセス制御装置により廃棄される前記認証パケットの数量の前記比が、第7のしきい値よりも小さく、前記第7のしきい値は前記第3のしきい値よりも小さいこと、
のうちの1つを含む、請求項8に記載の方法。

【請求項10】

前記アクセス制御装置が認証開始パケットを受信する速度を制限する前記ステップは、
前記アクセス制御装置を用いて単位時間内に認証に成功した端末の数量が第4のしきい値よりも大きいときのみ、前記アクセス制御装置が前記認証開始パケットを受信する前記速度を制限するステップを含む、請求項7または9に記載の方法。

【請求項11】

前記アクセス制御装置が認証開始パケットを受信する速度を制限する前記ステップは、
パケット受信状態が第1の所定の条件を満たし、かつ前記アクセス制御装置を用いて単位時間内に認証に成功した端末の数量が第4のしきい値よりも大きいときのみ、前記アクセス制御装置が前記認証開始パケットを受信する前記速度を制限するステップを含み、
前記第1の所定の条件は、次の条件、
単位時間内に前記アクセス制御装置に到着する認証パケットの数量が、第1のしきい値よりも大きいこと、
単位時間内に前記アクセス制御装置によって廃棄される認証パケットの数量が、第2のしきい値よりも大きいこと、または、
単位時間内に前記アクセス制御装置に到着する認証パケットの数量に対する前記単位時間内に前記アクセス制御装置により廃棄される認証パケットの数量の比が、第3のしきい値よりも大きいこと、
のうちの1つを含む、請求項7に記載の方法。

【請求項12】

アクセス制御装置に到着するパケットが認証開始パケットであるか否かを検出する前記ステップは、
前記アクセス制御装置に到着する認証パケットが第2の所定の条件を満たすか否かを検出し、前記アクセス制御装置に到着する前記認証パケットが前記第2の所定の条件を満たすならば、前記アクセス制御装置に到着する前記認証パケットが認証開始パケットであると判断するステップを含み、
前記第2の所定の条件は、以下の条件、
前記認証パケットが拡張認証プロトコル（EAP）パケットであるとき、前記EAPパケット内のパケット・タイプ・フィールドの値が1であること、
前記認証パケットがEAPパケットであるとき、前記EAPパケットにおいて、パケット・タイプ・フィールドの値が0であり、パケット・ボディ・タイプ・フィールドの値が2であり、認証タイプ・フィールドの値が1であること、
前記認証パケットがチャレンジ・ハンドシェイク認証プロトコル（CHAP）パケットであるとき、前記アクセス制御装置に到着する前記認証パケットにおいて、verフィールドの値が2であり、typeフィールドの値が1であり、chapフィールドの値が0であること、または、
前記認証パケットがパスワード認証プロトコル（PAP）パケットであるとき、前記アクセス制御装置に到着する前記認証パケットにおいて、verフィールドの値が2であり、typeフィールドの値が3であり、papフィールドの値が1であること、
のうちの1つである、請求項7から11のいずれか一項に記載の方法。

【発明の詳細な説明】

【技術分野】

【0001】

本発明は、通信の分野、詳細には、アクセス制御装置および認証制御方法に関する。

【背景技術】

【0002】

有線または無線通信では、端末がローカルエリアネットワークに接続されるとき、端末は、アクセス・コントローラを用いて認証サーバとアクセス認証を行う必要があり得る。アクセス・コントローラの処理能力は限られているので、比較的多数の端末が同時にアクセス認証を行うとき、アクセス・コントローラが過負荷になり得る。

【0003】

過負荷を防止するために、アクセス・コントローラは、受信される認証パケットの速度を制限し得る。たとえば、アクセス・コントローラは、受信される認証パケットの速度をxに予め設定し、端末の認証パケットが受信される合計の速度がxに達するとき、この時に到達する別の認証パケットを廃棄する。廃棄された認証パケットを送信する端末の認証プロセスは、中断される。認証プロセスが中断された端末は、アクセス認証を再開し得る。

【0004】

認証を行う端末がある期間内に過剰に集中したならば、多数の端末の認証プロセスが中断される。認証プロセスが中断された端末は、直ちに認証を再開することが可能であり、認証パケットの速度は依然としてたいへん高い。多数の端末が集中した方式で認証を行う状況が継続し、他の端末の相互作用プロセスが中断される。このプロセスは継続的に繰り返し、最終的には、ほぼすべてのユーザが完全な認証プロセスを完了することをできなくさせる。上記の現象は、認証のアバランシェ効果と呼ばれ、システム認証効率に影響を及ぼす。

【発明の概要】

【課題を解決するための手段】

【0005】

端末が過剰に集中した方式で認証を行うときに引き起こされる認証のアバランシェ効果の課題を解決するために、この出願は、認証制御方法およびアクセス制御装置を提供する。

【0006】

第1の態様によれば、アクセス制御装置が提供され、ここでアクセス制御装置は、
アクセス制御装置に到着するパケットが認証開始パケットであるか否かを検出するように構成された検出モジュールであって、認証開始パケットは、認証開始パケットを送信する端末の認証プロセスを開始するために用いられる、検出モジュールと、
アクセス制御装置が認証開始パケットを受信する速度を制限するように構成された制限モジュールと、
を含む。

【0007】

第1の態様を参照して、第1の態様の第1の可能な実現方式では、制限モジュールは、パケット受信状態が第1の所定の条件を満たすときのみ、アクセス制御装置が認証開始パケットを受信する速度を制限するように構成され、ここで、
第1の所定の条件は、以下の条件、
単位時間内にアクセス制御装置に到着する認証パケットの数量が、第1のしきい値よりも大きいこと、
単位時間内にアクセス制御装置によって廃棄される認証パケットの数量が、第2のしきい値よりも大きいこと、または、
単位時間内にアクセス制御装置に到着する認証パケットの数量に対する単位時間内にアクセス制御装置により廃棄される認証パケットの数量の比が、第3のしきい値よりも大きいこと、
のうちの1つを含む。

【0008】

第1の態様または第1の態様の第1の可能な実現方式を参照して、第1の態様の第2の可能な実現方式では、制限モジュールは、アクセス制御装置を用いて単位時間内に認証に成功した端末の数量が第4のしきい値よりも大きいときのみ、アクセス制御装置が認証開始パケットを受信する速度を制限するように構成される。

【0009】

第1の態様、第1の態様の第1の可能な実現方式、または第1の態様の第2の可能な実現方式を参照して、第1の態様の第3の可能な実現方式では、
検出モジュールは、具体的には、アクセス制御装置に到着する認証パケットが第2の所定の条件を満たすか否かを検出し、アクセス制御装置に到着する認証パケットが第2の所定の条件を満たすならば、アクセス制御装置に到着する認証パケットが認証開始パケットであると判断するように構成され、ここで、
第2の所定の条件は、以下の条件、
認証パケットが拡張認証プロトコル（EAP）パケットであるとき、EAPパケット内のパケット・タイプ・フィールドが1であること、
認証パケットがEAPパケットであるとき、EAPパケットにおいて、パケット・タイプ・フィールドが0であり、パケット・ボディ・タイプ・フィールドが2であり、認証タイプ・フィールドが1であること、
認証パケットがチャレンジ・ハンドシェイク認証プロトコル（CHAP）パケットであるとき、アクセス制御装置に到着する認証パケットにおいて、verフィールドが2であり、typeフィールドが1であり、chapフィールドが0であること、または、
認証パケットがパスワード認証プロトコル（PAP）パケットであるとき、アクセス制御装置に到着する認証パケットにおいて、verフィールドが2であり、typeフィールドが3であり、papフィールドが1であること、
のうちの1つである。

【0010】

第1の態様または第1の態様の第1から第3の可能な実現方式のいずれか1つを参照して、第1の態様の第4の可能な実現方式では、アクセス制御装置は、
第3の所定の条件が満たされるとき、アクセス制御装置が認証開始パケットを受信する速度に対して制限モジュールにより行われた制限を解除するように構成された解除モジュールをさらに含み、ここで、
満たされる第3の所定の条件は、以下の条件、
単位時間内にアクセス制御装置に到着する認証パケットの数量が、第5のしきい値よりも小さく、ここで第5のしきい値は第1のしきい値よりも小さいこと、
単位時間内にアクセス制御装置によって廃棄される認証パケットの数量が、第6のしきい値よりも小さく、ここで第6のしきい値は第2のしきい値よりも小さいこと、または、
単位時間内にアクセス制御装置に到着する認証パケットの数量に対する単位時間内にアクセス制御装置により廃棄される認証パケットの数量の比が、第7のしきい値よりも小さく、ここで第7のしきい値は第3のしきい値よりも小さいこと、
のうちの1つを含む。

【0011】

第2の態様によれば、認証制御方法が提供され、ここで本方法は、
アクセス制御装置に到着するパケットが認証開始パケットであるか否かを検出するステップであって、認証開始パケットは、認証開始パケットを送信する端末の認証プロセスを開始するために用いられる、ステップと、
アクセス制御装置が認証開始パケットを受信する速度を制限するステップと、
を含む。

【0012】

第2の態様の第1の可能な実現方式では、アクセス制御装置が認証開始パケットを受信する速度を制限するステップは、
パケット受信状態が第1の所定の条件を満たすときのみ、アクセス制御装置が認証開始パケットを受信する速度を制限するステップを含み、ここで、
第1の所定の条件は、以下の条件、
単位時間内にアクセス制御装置に到着する認証パケットの数量が、第1のしきい値よりも大きいこと、
単位時間内にアクセス制御装置によって廃棄される認証パケットの数量が、第2のしきい値よりも大きいこと、または、
単位時間内にアクセス制御装置に到着する認証パケットの数量に対する単位時間内にアクセス制御装置により廃棄される認証パケットの数量の比が、第3のしきい値よりも大きいこと、
のうちの1つを含む。

【0013】

第2の態様または第2の態様の第1の可能な実現方式を参照して、第2の態様の第2の可能な実現方式では、アクセス制御装置が認証開始パケットを受信する速度を制限するステップは、
アクセス制御装置を用いて単位時間内に認証に成功した端末の数量が第4のしきい値よりも大きいときのみ、アクセス制御装置が認証開始パケットを受信する速度を制限するステップを含む。

【0014】

第2の態様、第2の態様の第1の可能な実現方式、または第2の態様の第2の可能な実現方式を参照して、第2の態様の第3の可能な実現方式では、アクセス制御装置に到着するパケットが認証開始パケットであるか否かを検出するステップは、
アクセス制御装置に到着する認証パケットが第2の所定の条件を満たすか否かを検出し、アクセス制御装置に到着する認証パケットが第2の所定の条件を満たすならば、アクセス制御装置に到着する認証パケットが認証開始パケットであると判断するステップを含み、ここで、
第2の所定の条件は、以下の条件、
認証パケットがEAPパケットであるとき、EAPパケット内のパケット・タイプ・フィールドが1であること、
認証パケットがEAPパケットであるとき、EAPパケットにおいて、パケット・タイプ・フィールドが0であり、パケット・ボディ・タイプ・フィールドが2であり、認証タイプ・フィールドが1であること、
認証パケットがCHAPパケットであるとき、アクセス制御装置に到着する認証パケットにおいて、verフィールドが2であり、typeフィールドが1であり、chapフィールドが0であること、または、
認証パケットがPAPパケットであるとき、アクセス制御装置に到着する認証パケットにおいて、verフィールドが2であり、typeフィールドが3であり、papフィールドが1であること、
のうちの1つである。

【0015】

第2の態様または第2の態様の第1から第3の可能な実現方式のいずれか1つを参照して、第2の態様の第4の可能な実現方式では、本方法は、
第3の所定の条件が満たされるとき、アクセス制御装置が認証開始パケットを受信する速度に対する制限を解除するステップをさらに含み、ここで、
満たされる第3の所定の条件は、以下の、
単位時間内にアクセス制御装置に到着する認証パケットの数量が、第5のしきい値よりも小さく、ここで第5のしきい値は第1のしきい値よりも小さいこと、
単位時間内にアクセス制御装置によって廃棄される認証パケットの数量が、第6のしきい値よりも小さく、ここで第6のしきい値は第2のしきい値よりも小さいこと、または、
単位時間内にアクセス制御装置に到着する認証パケットの数量に対する単位時間内にアクセス制御装置により廃棄される認証パケットの数量の比が、第7のしきい値よりも小さく、ここで第7のしきい値は第3のしきい値よりも小さいこと、
のうちの1つを含む。

【0016】

アクセス制御装置に到着するパケットが認証開始パケットであるか否かが検出され、アクセス制御装置が認証開始パケットを受信する速度が制限される。認証開始パケットが受信される速度は、後続の認証に入る端末の数量を制御するために制限され、これは、過剰に多数の端末が後続の認証に同時に入るときに引き起こされる無線認証のアバランシェ効果を防止し、現在すでに後続のアクセス認証を行っている端末が完全な認証プロセスを円滑に完了できることを保証し、それによってシステム認証効率を向上させる効果を達成する。

【0017】

本発明の実施形態における技術的解決策をより明白に説明するために、以下は実施形態を説明するために要求される添付図面を簡単に説明する。明らかに、以下の説明における添付図面は、本発明の単にいくつかの実施形態を表わし、この技術分野の当業者は、創造的な努力なしに、これらの添付図面から他の図面を依然として導き出し得る。

【図面の簡単な説明】

【0018】

【図1】本発明に関係するネットワーク環境のアーキテクチャ図である。

【図2】本発明の一実施形態による、認証制御方法の方法のフローチャートである。

【図3A】本発明の別の実施形態による、認証制御方法の方法のフローチャートである。

【図3B】図3Aに表わされた実施形態による、EAP認証の相互作用のフローチャートである。

【図3C】図3Aに表わされた実施形態による、EAPパケットのカプセル化構造の図である。

【図3D】図3Aに表わされた実施形態による、EAPパケット内のパケット・タイプ・フィールドが0である場合のEAPパケットのパケット・ボディのフォーマット図である。

【図3E】図3Aに表わされた実施形態による、パケット・ボディのタイプがRequestまたはResponseであるときのパケット・ボディ内のデータ・フィールドのフォーマットのフォーマット図である。

【図3F】図3Aに表わされた実施形態による、キャプティブ・ポータル認証の相互作用のフローチャートである。

【図4】本発明の一実施形態による、アクセス制御装置の構成図である。

【図5】本発明の別の実施形態による、アクセス制御装置の構成図である。

【図6】本発明の一実施形態による、ネットワーク装置のブロック図である。

【発明を実施するための形態】

【0019】

本発明の目的、技術的解決策、および利点をより明確にするために、以下は添付図面を参照して本発明の実現方式を詳細にさらに説明する。

【0020】

図1を参照されたく、これは本発明に関係するネットワーク環境のアーキテクチャ図を表わす。ネットワークは、以下のネットワーク装置、端末110、アクセス制御装置120、および認証サーバ130を含む。任意選択的に、ネットワーク環境は、ポータル・サーバ（英語：portal server）140をさらに含み得る。

【0021】

アクセス制御装置120は、端末110と認証サーバ130との間で認証パケットを処理するように構成されたネットワーク装置である。たとえば、アクセス制御装置120は、専用のアクセス・コントローラであってもよいし、あるいはアクセス・コントローラの機能と一体になったネットワーク装置（たとえば、ルータまたはネットワーク・スイッチ）であってもよい。ポータル・サーバ140は、パーソナル・コンピュータであってもよいし、あるいはサーバのウェブ（英語：web）アプリケーション・サーバであってもよい。ポータル・サーバは、キャプティブ・ポータル（英語：captive portal）認証のためのソフトウェアを含む。

【0022】

アクセス制御装置120は認証サーバ130に接続され、ポータル・サーバ140はアクセス制御装置120に接続される。

【0023】

端末110によるアクセス認証を行うために主として2つの方式がある。1つは拡張認証プロトコル（英語：Extensible Authentication Protocol、略してEAP）認証方式であり、他はキャプティブ・ポータル認証方式である。EAP認証方式でアクセス認証を行うとき、端末110はアクセス制御装置120に接続され、キャプティブ・ポータル認証方式でアクセス認証を行うとき、端末110はポータル・サーバ140に接続される。

【0024】

本発明の実施形態に表わされた解決策によれば、アクセス制御装置120が認証開始パケット（すなわち、認証プロセスを開始するため用いられる第1のパケット）を受信する速度は、単位時間内に後続の認証プロセスに入る端末の数量を制御するために制限され、これは、過剰に多数の端末が後続の認証に同時に入るときに引き起こされる無線認証のアバランシェ効果を防止し、現在すでに後続のアクセス認証を行っている端末が完全な認証プロセスを円滑に完了できることを保証する。

【0025】

アバランシェ効果が生じていないとき、認証開始パケットの速度は制限されなくてもよい。したがって、処理資源を低減するために、本発明の実施形態に表わされた解決策では、端末110の認証プロセスが制御されているとき、特定の条件が満たされたときのみ認証開始パケットの速度が制限され得る。

【0026】

一態様では、アクセス制御装置120に到着する認証パケット数量、失われた認証パケットの数量、および認証パケットのパケット損失率のうちの1つまたは複数が監視され得る。監視することにより、単位時間内にアクセス制御装置120に到着する認証パケットの数量が多過ぎるか、失われた認証パケットの数量が多過ぎるか、あるいは認証パケットのパケット損失率が高過ぎることが見出されたときのみ、認証開始パケットが受信される速度を制限するための条件が満たされているとみなし、そしてアクセス制御装置120が認証開始パケットを受信する速度が制限される。

【0027】

別の態様では、認証プロセスでアバランシェ効果が生じたとき、単位時間内にアクセスを行って成功する端末の数量が減少する。アクセス制御装置120を用いて単位時間内にアクセスを行って成功する端末の数量も監視され得る。アクセス制御装置120が認証開始パケットを受信する速度は、監視することにより、アクセス制御装置120を用いて単位時間内にアクセスを行って成功する端末の数量がしきい値よりも少ないことが見出されたときのみ制限される。

【0028】

検出の精度を向上させ、誤検出の確率を低減するために、上記2つの態様の条件が組み合わされることが可能であり、2つのタイプの条件（認証パケットを監視することおよびアクセスを行って成功する端末を監視すること）が両方満たされたときのみ認証開始パケットの速度が制限される。

【0029】

図2を参照されたく、これは本発明の一実施形態による、認証制御方法の方法のフローチャートを表わす。認証制御方法は、図1に表わされた実現環境におけるアクセス制御装置120に適用され得る。認証制御方法は、以下を含み得る。

【0030】

ステップ201：アクセス制御装置に到着するパケットが認証開始パケットであるか否かを検出し、ここで認証開始パケットは、認証開始パケットを送信する端末の認証プロセスを開始するために用いられる。

【0031】

ステップ202：アクセス制御装置が認証開始パケットを受信する速度を制限する。

【0032】

パケットを受信したとき、アクセス制御装置は、まず、受信されたパケットを一時的に記憶し、パケットのパケットヘッダを解析し、パケットヘッダを解析することにより、パケットを受信するように判断したならば、アクセス制御装置は、アクセス制御装置の処理部（たとえば、中央処理ユニット）にパケットを送信して、後続の処理を行う。したがって、本発明の実施形態では、アクセス制御装置に到着するパケットは、アクセス制御装置によって一時的に記憶されたパケットを指し、パケットを受信することは、そのパケットについて後続の処理が行われる必要があると判断されたときパケットを送信すること、たとえば、そのパケットを転送すること、または処理ユニットにそのパケットを送信することを指す。

【0033】

結論として、本発明のこの実施形態で提供される認証制御方法によれば、アクセス制御装置に到着するパケットが認証開始パケットであるか否かが検出され、アクセス制御装置が認証開始パケットを受信する速度が制限される。認証開始パケットが受信される速度は、後続の認証に入る端末の数量を制御するために制限され、これは、過剰に多数の端末が後続の認証に同時に入るときに引き起こされる無線認証のアバランシェ効果を防止し、現在すでに後続のアクセス認証を行っている端末が完全な認証プロセスを円滑に完了できることを保証し、それによってシステム認証効率を向上させる効果を達成する。

【0034】

図2に表わされた認証制御方法のさらなる説明のために、図3Aを参照されたく、本発明の別の実施形態による、認証制御方法の方法のフローチャートを表わす。認証制御方法は、図1に表わされた実現環境におけるアクセス制御装置120に適用され得る。認証制御方法は、以下を含み得る。

【0035】

ステップ301：アクセス制御装置が認証パケットを受信する速度を制限し、ここで認証パケットは端末のアクセス認証に用いられるパケットである。

【0036】

本発明のこの実施形態では、アクセス制御装置は、まず、すべての受信されるべき認証パケットに対して全体的な速度制限を行う、すなわち、認証パケットがアクセス制御装置の処理部（たとえば、中央処理ユニット）に送られる速度を制限して、過剰に多数の認証パケットにより引き起こされるアクセス制御装置の制御プレーンへの影響を防止する。

【0037】

アクセス制御装置は、トークン・バケット機構を用いて受信されるべき認証パケットに対する全体的な速度制限を行い得る。トークン・バケット・アルゴリズムは、ネットワーク・トラヒック・シェーピングおよび速度制限でしばしば用いられるアルゴリズムである。典型的に、トークン・バケット・アルゴリズムは、受信されるデータの量を制御し、バースト・データの送信を可能にするために使用される。

【0038】

ステップ302：パケットの受信状態を監視する。

【0039】

本発明のこの実施形態では、パケットの受信状態は、単位時間内にアクセス制御装置に到着する認証パケットの数量、単位時間内にアクセス制御装置により廃棄される認証パケットの数量、または、単位時間内にアクセス制御装置に到着する認証パケットの数量に対する単位時間内にアクセス制御装置により廃棄される認証パケットの数量の比のうちの少なくとも1つを含み得る。

【0040】

ステップ303：パケットの受信状態が第1の所定の条件を満たすか否かを検出する。

【0041】

本発明のこの実施形態では、第1の所定の条件は、以下の条件、
単位時間内にアクセス制御装置に到着する認証パケットの数量が、第1のしきい値よりも大きいこと、
単位時間内にアクセス制御装置によって廃棄される認証パケットの数量が、第2のしきい値よりも大きいこと、または、
単位時間内にアクセス制御装置に到着する認証パケットの数量に対する単位時間内にアクセス制御装置により廃棄される認証パケットの数量の比が、第3のしきい値よりも大きいこと、
のうちの1つを含む。

【0042】

本発明のこの実施形態では、アクセス制御装置における計算の負荷を軽減し、処理資源を低減するために、パケットの受信状態が第1の所定の条件を満たすか否かがまず検出されることが可能であり、パケットの受信状態が第1の所定の条件を満たしているとき、認証開始パケットを制限するための条件が満たされているとみなされることが可能である。認証開始パケットは、認証開始パケットを送信する端末の認証プロセスを開始するために使用される。

【0043】

第1の所定の条件に関係する第1のしきい値は、アクセス制御装置の計算能力に従って設定されることが可能であり、たとえば、第1のしきい値は、単位時間内にアクセス制御装置により処理することができる認証パケットの最大数量に設定されることが可能である。第1の所定の条件に関係する第2のしきい値および第3のしきい値の両方は0に設定されてもよく、あるいは0より大きい値にそれぞれ設定されてもよい。

【0044】

ステップ304：アクセス制御装置を用いて単位時間内に認証に成功した端末の数量を監視する。

【0045】

ステップ305：アクセス制御装置を用いて単位時間内に認証に成功した端末の数量が第4のしきい値よりも大きいか否かを検出する。

【0046】

ステップ304およびステップ305における単位時間は、ステップ302およびステップ303における単位時間と同一であってもよく、あるいは異なってもよい。

【0047】

実際の適用では、バースト・データが存在するので、無線認証のアバランシェ効果が生じていないとき、多数の認証パケットがアクセス制御装置に到着する、または多数の認証パケットがアクセス制御装置により廃棄される場合が現れ得る。したがって、アクセス制御装置に到着する認証パケットの数量、またはアクセス制御装置によって破棄される認証パケットの数量のみに従って、アバランシェ効果が生じているか否かを判断するのは、不正確である。したがって、本発明のこの実施形態に表わされた解決策において、判断の精度を向上させるためには、アクセス制御装置を用いて単位時間内に認証に成功した端末の数量を参照して、アバランシェ効果が生じているか否かがさらに判断されることが可能であり、すなわち、アクセス制御装置を用いて単位時間内に認証に成功した端末の数量が第4のしきい値よりも大きいときのみ、認証開始パケットが受信される速度を制限するための条件が満たされているとみなされる。

【0048】

ステップ306：パケットの受信状態が第1の所定の条件を満たし、かつ、アクセス制御装置を用いて単位時間内に認証に成功した端末の数量が第4のしきい値よりも大きいとき、アクセス制御装置に到着する認証パケットが第2の所定の条件を満たすか否かを検出し、アクセス制御装置に到着する認証パケットが第2の所定の条件を満たすならば、アクセス制御装置に到着する認証パケットが認証開始パケットであると判断する。

【0049】

第2の所定の条件は、以下の条件、
認証パケットが拡張認証プロトコルEAPパケットであるとき、EAPパケット内のパケット・タイプ・フィールドが1であること、
認証パケットがEAPパケットであるとき、EAPパケットにおいて、パケット・タイプ・フィールドが0であり、パケット・ボディ・タイプ・フィールドが2であり、認証タイプ・フィールドが1であること、
認証パケットがチャレンジ・ハンドシェイク認証プロトコルCHAPパケットであるとき、アクセス制御装置に到着する認証パケットにおいて、verフィールドが2であり、typeフィールドが1であり、chapフィールドが0であること、または、
認証パケットがパスワード認証プロトコルPAPパケットであるとき、アクセス制御装置に到着する認証パケットにおいて、verフィールドが2であり、typeフィールドが3であり、papフィールドが1であること、
のうちの1つである。

【0050】

EAP認証について、図3Bから図3Eを参照されたい。図3Bは、EAP認証の相互作用のフローチャートを表わす。図3Bでは、認証開始パケットは、EAPパケットのうちのEAP-STARTパケットまたはEAP-IDENTITYパケットである。図3Cを参照されたく、これはEAPパケットのカプセル化構造の図を表わす。EAPパケットのカプセル化構造の図におけるTypeフィールドは、EAPパケット内のパケット・タイプ・フィールドである。パケット・タイプ・フィールドの値は、Packet Bodyに含まれるデータ・フレームのタイプを示すために用いられる。EAPパケット内のパケット・タイプ・フィールドの値およびその値により示されるデータ・フレーム・タイプが表1に表わされる。

【0051】

【表1】

【0052】

EAP-STARTパケットは、認証開始フレームを含む。したがって、認証パケットがEAPパケットであり、かつEAPパケット内のパケット・タイプ・フィールドが1である（または、0x01と表現される）とき、そのパケットはEAP-STARTパケットである。

【0053】

図3Dを参照されたく、これはEAPパケット内のパケット・タイプ・フィールドが0である場合の、EAPパケットのパケット・ボディ（Packet Body）のフォーマット図を表わす。パケット・ボディ内のCodeフィールドは、パケット・ボディ・タイプ・フィールドである。パケット・ボディ・タイプ・フィールドの値およびその値により示されるパケット・ボディ・タイプが表2に表わされる。

【0054】

【表2】

【0055】

パケット・ボディのタイプがRequestまたはResponseであるとき、パケット・ボディ内のデータ（Data）フィールドのフォーマットのフォーマット図が図3Eに表わされ得る。データ・フィールド内のTypeフィールドは、認証タイプ・フィールドである。認証タイプ・フィールドの値およびその値により示される認証タイプが表3に表わされる。

【0056】

【表3】

【0057】

EAP-IDENTITY（identity）パケットは認証情報フレームを含み、EAP-IDENTITY（identity）パケットのパケット・ボディ・タイプはResponseであり、EAP-IDENTITY（identity）パケットの認証タイプはIdentifierである。したがって、認証パケットがEAPパケットであるとき、EAPパケット内のパケット・タイプ・フィールドは0であり（または0x00と表現される）、パケット・ボディ・タイプ・フィールドは2であり、認証タイプ・フィールドは1であり、パケットはEAP-IDENTITY（identity）パケットである。

【0058】

キャプティブ・ポータル認証について、図3Fを参照されたく、これはキャプティブ・ポータル認証の相互作用のフローチャートを表わす。キャプティブ・ポータル認証を搬送するパケットは、ユーザ・データグラム・プロトコル（英語：User Datagram Protocol、UDP）パケットである。UDPパケットのポート番号に従って、UDPパケット内のペイロードは、チャレンジ・ハンドシェイク認証プロトコル（英語：Challenge Handshake Authentication Protocol、略してCHAP）パケット、またはパスワード認証プロトコル（英語：Password Authentication Protocol、略してPAP）パケットであると判断され得る。図3Fでは、認証開始パケットは、CHAPパケット（すなわち、CHALLENGE要求パケット）またはPAP認証要求パケットである。CHAPパケットがCHALLENGE要求パケットであるとき、CHAPパケットにおいて、verフィールドは2であり、typeフィールドは1であり、chapフィールドは0である。PAPパケットがPAP認証要求パケットであるとき、PAPパケットにおいて、verフィールドは2であり、typeフィールドは3であり、papフィールドは1である。

【0059】

ステップ307：アクセス制御装置が認証開始パケットを受信する速度を制限する。

【0060】

具体的には、アクセス制御装置が認証開始パケットを受信する速度が制限されているとき、単位時間内にアクセス制御装置によって処理ユニットに送信される認証開始パケットの数量が制限されることが可能であり、あるいは、単位時間内にアクセス制御装置によって処理ユニットに送信される認証開始パケットのデータ量が制限されることが可能である。制限プロセスはトークン・バケット機構を用いて実現されることも可能であり、これはここで繰り返して説明されない。

【0061】

ステップ308：パケットの受信状態を監視することを継続し、パケットの受信状態が第3の所定の条件を満たしているか否かを検出する。

【0062】

満たされる第3の所定の条件は、以下の、
単位時間内にアクセス制御装置に到着する認証パケットの数量が、第5のしきい値よりも小さく、ここで第5のしきい値は第1のしきい値よりも小さいこと、
単位時間内にアクセス制御装置によって廃棄される認証パケットの数量が、第6のしきい値よりも小さく、ここで第6のしきい値は第2のしきい値よりも小さいこと、または、
単位時間内にアクセス制御装置に到着する認証パケットの数量に対する単位時間内にアクセス制御装置により廃棄される認証パケットの数量の比が、第7のしきい値よりも小さく、ここで第7のしきい値は第3のしきい値よりも小さいこと、
のうちの1つを含む。

【0063】

ステップ309：アクセス制御装置が認証開始パケットを受信する速度に対する制限を解除する。

【0064】

アクセス制御装置が認証開始パケットを受信する速度が制限された後に、アクセス制御装置のパケットの受信状態は監視されることを継続し得る。監視することによって、単位時間内にアクセス制御装置に到着する認証パケットの数量がしきい値より下に減少する、あるいは、単位時間内に廃棄される認証パケットの数量がしきい値より下に減少する、あるいは、単位時間内にアクセス制御装置に到着する認証パケット数量に対する単位時間内に廃棄される認証パケットの数量の比がしきい値より下に減少することが見出されたとき、現在アクセス認証を行う端末の数量はすでに比較的少ないと判断され得る。この場合には、アクセス制御装置における計算の負荷を軽減し、処理資源を低減するために、アクセス制御装置が認証開始パケットを受信する速度に対する制限が解除され得る。

【0065】

【0066】

その上、本発明のこの実施形態で提供される認証制御方法によれば、パケットの受信状態が監視され、パケットの受信状態が第1の所定の条件を満たしていることが検出されるとき、アクセス制御装置が認証開始パケットを受信する速度が制限され、それによってアクセス制御装置における計算の負荷を軽減し、かつ処理資源を低減する効果を達成する。

【0067】

その上、本発明のこの実施形態で提供される認証制御方法によれば、アクセス制御装置を用いて単位時間内に認証に成功した端末の数量が第4のしきい値よりも大きいことが検出されたときのみ、アクセス制御装置が認証開始パケットを受信する速度が制限され、それによって検出の精度を向上させ、かつ誤検出の確率を低減する効果を達成する。

【0068】

図4を参照されたく、これは本発明の一実施形態によるアクセス制御装置の構成図を表わす。アクセス制御装置は、図1に表わされた実現環境におけるアクセス制御装置120として実現され得る。アクセス制御装置は、
アクセス制御装置に到着するパケットが認証開始パケットであるか否かを検出するように構成された検出モジュール401であって、認証開始パケットは、認証開始パケットを送信する端末の認証プロセスを開始するために用いられる、検出モジュール401と、
アクセス制御装置が認証開始パケットを受信する速度を制限するように構成された制限モジュール402と、
を含み得る。

【0069】

結論として、本発明のこの実施形態で提供されるアクセス制御装置によれば、アクセス制御装置に到着するパケットが認証開始パケットであるか否かが検出され、アクセス制御装置が認証開始パケットを受信する速度が制限される。認証開始パケットが受信される速度は、後続の認証に入る端末の数量を制御するために制限され、これは、過剰に多数の端末が後続の認証に同時に入るときに引き起こされる無線認証のアバランシェ効果を防止し、現在すでに後続のアクセス認証を行っている端末が完全な認証プロセスを円滑に完了できることを保証し、それによってシステム認証効率を向上させる効果を達成する。

【0070】

図4に表わされた認証制御装置のさらなる説明のために、図5を参照されたく、これは本発明の別の実施形態によるアクセス制御装置の構成図を表わす。アクセス制御装置は、図1に表わされた実現環境におけるアクセス制御装置120として実現され得る。アクセス制御装置は、
アクセス制御装置に到着するパケットが認証開始パケットであるか否かを検出するように構成された検出モジュール401であって、認証開始パケットは、認証開始パケットを送信する端末の認証プロセスを開始するために用いられる、検出モジュール401と、
アクセス制御装置が認証開始パケットを受信する速度を制限するように構成された制限モジュール402と、
を含み得る。

【0071】

任意選択的に、制限モジュール402は、パケット受信状態が第1の所定の条件を満たすときのみ、アクセス制御装置が認証開始パケットを受信する速度を制限するように構成され、ここで、
第1の所定の条件は、以下の条件、
単位時間内にアクセス制御装置に到着する認証パケットの数量が、第1のしきい値よりも大きいこと、
単位時間内にアクセス制御装置によって廃棄される認証パケットの数量が、第2のしきい値よりも大きいこと、または、
単位時間内にアクセス制御装置に到着する認証パケットの数量に対する単位時間内にアクセス制御装置により廃棄される認証パケットの数量の比が、第3のしきい値よりも大きいこと、
のうちの1つを含む。

【0072】

任意選択的に、制限モジュール402は、アクセス制御装置を用いて単位時間内に認証に成功した端末の数量が第4のしきい値よりも大きいときのみ、アクセス制御装置が認証開始パケットを受信する速度を制限するように構成される。

【0073】

任意選択的に、検出モジュール401は、具体的には、アクセス制御装置に到着する認証パケットが第2の所定の条件を満たすか否かを検出し、アクセス制御装置に到着する認証パケットが第2の所定の条件を満たすならば、アクセス制御装置に到着する認証パケットが認証開始パケットであると判断するように構成され、ここで、
第2の所定の条件は、以下の条件、
認証パケットが拡張認証プロトコルEAPパケットであるとき、EAPパケット内のパケット・タイプ・フィールドが1であること、
認証パケットがEAPパケットであるとき、EAPパケットにおいて、パケット・タイプ・フィールドが0であり、パケット・ボディ・タイプ・フィールドが2であり、認証タイプ・フィールドが1であること、
認証パケットがチャレンジ・ハンドシェイク認証プロトコルCHAPパケットであるとき、アクセス制御装置に到着する認証パケットにおいて、verフィールドが2であり、typeフィールドが1であり、chapフィールドが0であること、または、
認証パケットがパスワード認証プロトコルPAPパケットであるとき、アクセス制御装置に到着する認証パケットにおいて、verフィールドが2であり、typeフィールドが3であり、papフィールドが1であること、
のうちの1つである。

【0074】

任意選択的に、アクセス制御装置は、
第3の所定の条件が満たされたとき、アクセス制御装置が認証開始パケットを受信する速度に対して制限モジュールにより行われた制限を解除するように構成された解除モジュール403をさらに含み、ここで、
満たされる第3の所定の条件は、以下の、
単位時間内にアクセス制御装置に到着する認証パケットの数量が、第5のしきい値よりも小さく、ここで第5のしきい値は第1のしきい値よりも小さいこと、
単位時間内にアクセス制御装置によって廃棄される認証パケットの数量が、第6のしきい値よりも小さく、ここで第6のしきい値は第2のしきい値よりも小さいこと、または、
単位時間内にアクセス制御装置に到着する認証パケットの数量に対する単位時間内にアクセス制御装置により廃棄される認証パケットの数量の比が、第7のしきい値よりも小さく、ここで第7のしきい値は第3のしきい値よりも小さいこと、
のうちの1つを含む。

【0075】

【0076】

その上、本発明のこの実施形態で提供されるアクセス制御装置によれば、パケットの受信状態が監視され、パケットの受信状態が第1の所定の条件を満たしていることが検出されたとき、アクセス制御装置が認証開始パケットを受信する速度が制限され、それによってアクセス制御装置における計算の負荷を軽減し、かつ処理資源を低減する効果を達成する。

【0077】

その上、本発明のこの実施形態で提供されるアクセス制御装置によれば、アクセス制御装置を用いて単位時間内に認証に成功した端末の数量が第4のしきい値よりも大きいことが検出されたときのみ、アクセス制御装置が認証開始パケットを受信する速度が制限され、それによって検出の精度を向上させ、かつ誤検出の確率を低減する効果を達成する。

【0078】

図6を参照されたく、これは本発明の一実施形態によるネットワーク装置のブロック図を表わす。ネットワーク装置600は、図1に表わされたネットワーク環境における上記のアクセス制御装置120であり得る。ネットワーク装置は、ネットワーク・アダプタ601、中央処理ユニット602、およびメモリ603を含み得る。ネットワーク・アダプタ601は、パケットプロセッサ（英語：packet processor）601aおよびネットワーク・インターフェース601bを含む。ネットワーク装置に到着する認証パケットを解析した後に、パケットプロセッサ601aは、中央処理ユニット602に認証パケットを送信する。中央処理ユニット602は、メモリ603に記憶されている命令を実行して、認証パケットを処理する。ネットワーク・インターフェース601bは、有線ネットワーク・インターフェース、たとえばイーサネット（登録商標）インターフェースを含むことが可能であり、あるいは無線ネットワーク・インターフェースを含むことが可能である。

【0079】

パケットプロセッサ601aは、ネットワーク装置に到着するパケットが認証開始パケットであるか否かを検出するように構成され、ここで認証開始パケットは、認証開始パケットを送信する端末の認証プロセスを開始するために用いられ、
パケットプロセッサ601aは、ネットワーク装置が認証開始パケットを受信する速度を制限するように構成される。

【0080】

任意選択的に、パケットプロセッサ601aは、中央処理ユニット602がパケットの受信状態が第1の所定の条件を満たしていることを検出したときのみ、ネットワーク装置が認証開始パケットを受信する速度を制限するように構成され、ここで、
第1の所定の条件は、以下の条件、
単位時間内にネットワーク装置に到着する認証パケットの数量が、第1のしきい値よりも大きいこと、
単位時間内にネットワーク装置によって廃棄される認証パケットの数量が、第2のしきい値よりも大きいこと、または、
単位時間内にネットワーク装置に到着する認証パケットの数量に対する単位時間内にネットワーク装置により廃棄される認証パケットの数量の比が、第3のしきい値よりも大きいこと、
のうちの1つを含む。

【0081】

任意選択的に、パケットプロセッサ601aは、中央処理ユニット602がネットワーク装置を用いて単位時間内に認証に成功した端末の数量が第4のしきい値よりも大きいことを検出したときのみ、ネットワーク装置が認証開始パケットを受信する速度を制限するように構成される。

【0082】

任意選択的に、パケットプロセッサ601aは、具体的には、ネットワーク装置に到着する認証パケットが第2の所定の条件を満たすか否かを検出し、ネットワーク装置に到着する認証パケットが第2の所定の条件を満たすならば、ネットワーク装置に到着する認証パケットが認証開始パケットであると判断するように構成され、ここで、
第2の所定の条件は、以下の条件、
認証パケットが拡張認証プロトコルEAPパケットであるとき、EAPパケット内のパケット・タイプ・フィールドが1であること、
認証パケットがEAPパケットであるとき、EAPパケットにおいて、パケット・タイプ・フィールドが0であり、パケット・ボディ・タイプ・フィールドが2であり、認証タイプ・フィールドが1であること、
認証パケットがユーザ・データグラム・プロトコルUDPパケットであるとき、ネットワーク装置に到着する認証パケットにおいて、verフィールドが2であり、typeフィールドが1であり、chapフィールドが0であること、または、
認証パケットがUDPパケットであるとき、ネットワーク装置に到着する認証パケットにおいて、verフィールドが2であり、typeフィールドが3であり、papフィールドが1であること、
のうちの1つである。

【0083】

任意選択的に、パケットプロセッサ601aは、中央処理ユニット602が第3の所定の条件が満たされていることを検出したとき、ネットワーク装置が認証開始パケットを受信する速度に対する制限を解除するようにさらに構成され、ここで、
満たされる第3の所定の条件は、以下の、
単位時間内にネットワーク装置に到着する認証パケットの数量が、第5のしきい値よりも小さく、ここで第5のしきい値は第1のしきい値よりも小さいこと、
単位時間内にネットワーク装置によって廃棄される認証パケットの数量が、第6のしきい値よりも小さく、ここで第6のしきい値は第2のしきい値よりも小さいこと、または、
単位時間内にネットワーク装置に到着する認証パケットの数量に対する単位時間内にネットワーク装置により廃棄される認証パケットの数量の比が、第7のしきい値よりも小さく、ここで第7のしきい値は第3のしきい値よりも小さいこと、
のうちの1つを含む。

【0084】

結論として、本発明のこの実施形態で提供されるネットワーク装置がアクセス制御装置として実現されているとき、ネットワーク装置に到着するパケットが認証開始パケットであるか否かが検出され、ネットワーク装置が認証開始パケットを受信する速度が制限される。認証開始パケットが受信される速度は、後続の認証に入る端末の数量を制御するために制限され、これは、過剰に多数の端末が後続の認証に同時に入るときに引き起こされる無線認証のアバランシェ効果を防止し、現在すでに後続のアクセス認証を行っている端末が完全な認証プロセスを円滑に完了できることを保証し、それによってシステム認証効率を向上させる効果を達成する。

【0085】

その上、本発明のこの実施形態で提供されるネットワーク装置がアクセス制御装置として実現されているとき、パケットの受信状態が監視され、パケットの受信状態が第1の所定の条件を満たしていることが検出されたとき、ネットワーク装置が認証開始パケットを受信する速度が制限され、それによってネットワーク装置における計算の負荷を軽減し、かつ処理資源を低減する効果を達成する。

【0086】

その上、本発明のこの実施形態で提供されるネットワーク装置がアクセス制御装置として実現されているとき、ネットワーク装置を用いて単位時間内に認証に成功した端末の数量が第4のしきい値よりも大きいことが検出されたときのみ、ネットワーク装置が認証開始パケットを受信する速度が制限され、それによって検出の精度を向上させ、かつ誤検出の確率を低減する効果を達成する。

【0087】

上記の実施形態で提供されるアクセス制御装置が認証パケットを制御するとき、上記の機能モジュールの区分は、例示のための一例として用いられるに過ぎないことに留意すべきである。実際の適用では、上記の機能は要件に従って異なる機能モジュールによって割り当てられ、実現されることが可能であり、すなわち、上述した機能のすべてまたはいくつかを実現するために、装置の内部構成が異なる機能モジュールに区分される。その上、上記の実施形態で提供されるアクセス制御装置および認証制御方法の実施形態は、同一の発明概念に属し、特定の実現プロセスに関する詳細については、方法の実施形態を参照されたく、これはここで繰り返し説明されない。

【0088】

本発明の上記の実施形態の順序番号は、例示の目的のために過ぎず、実施形態の優先度を示すことは意図されない。

【0089】

この技術分野の当業者は、実施形態のステップのすべてまたはいくつかが、ハードウェアまたは関連するハードウェアに命令するプログラムによって実現され得ることを理解し得る。プログラムは、コンピュータ読み取り可能な記憶媒体に記憶され得る。記憶媒体は、リード・オンリ・メモリ、磁気ディスク、または光ディスクなどを含み得る。

【0090】

上記の説明は、本発明の例示的な実現方式に過ぎないが、本発明の保護範囲を限定することは意図されない。本発明において開示される技術的範囲内でこの技術分野の当業者によって容易に想到されるあらゆる変形または置換は、本発明の保護範囲内にあるものである。したがって、本発明の保護範囲は、請求項の保護範囲に従うものである。

【符号の説明】

【0091】

110 端末
120 アクセス制御装置
130 認証サーバ
140 ポータル・サーバ
401 検出モジュール
402 制限モジュール
403 解除モジュール
600 ネットワーク装置
601 ネットワーク・アダプタ
601a パケットプロセッサ
601b ネットワーク・インターフェース
602 中央処理ユニット
603 メモリ

【図1】