[发明专利]一种RADIUS认证计费速率调整方法及装置

说明书

技术领域

本申请RADIUS认证、计费技术领域，尤其涉及一种RADIUS认证计费速率调整方法及装置。

背景技术

RADIUS(Remote Authentication Dial-In User Service，远程认证拨号用户服务)是一种分布式的、客户端/服务器结构的信息交互协议，能保护网络不受未授权访问的干扰，常应用在既要求较高安全性、又允许远程用户访问的各种网络环境中。该协议定义了RADIUS的报文格式及其消息传输机制，并规定使用UDP作为封装RADIUS报文的传输层协议(UDP端口1812、1813分别作为认证、计费端口)。

RADIUS最初仅是针对拨号用户的AAA协议，后来随着用户接入方式的多样化发展，RADIUS也适应多种用户接入方式，如以太网接入、ADSL接入。它通过认证授权来提供接入服务，通过计费来收集、记录用户对网络资源的使用。

RADIUS认证采用客户端/服务器模式，RADIUS客户端负责传输用户信息到指定的RADIUS服务器，然后根据从服务器返回的信息进行相应处理(如接受/拒绝用户接入)。RADIUS服务器一般运行在中心计算机或工作站上，维护相关的用户认证和网络服务访问信息，负责接收用户连接请求并认证用户，然后给客户端返回所有需要的信息(如接受/拒绝认证请求)。

RADIUS服务器通常要维护三个数据库，分别为用户Users数据库、客户端Clients数据库、数据字典Dictionary。用户数据库用于存储用户信息(如用户名、口令以及使用的协议、IP地址等配置信息)。客户端数据库用于存储RADIUS客户端的信息(如NAS的共享密钥、IP地址等)。数据字典用于存储RADIUS协议中的属性和属性值含义的信息。

RADIUS客户端和RADIUS服务器之间认证消息的交互是通过共享密钥的参与来完成的，并且共享密钥不能通过网络来传输，增强了信息交互的安全性。另外，为防止用户密码在不安全的网络上传递时被窃取，在传输过程中对密码进行了加密。

RADIUS服务器支持多种方法来认证用户，如基于PPP的PAP、CHAP认证。另外，RADIUS服务器还可以作为一个代理，以RADIUS客户端的身份与其它的RADIUS认证服务器进行通信，负责转发RADIUS认证和计费报文。

用户终端Host(以下简称用户)、RADIUS客户端和RADIUS服务器之间的认证交互步骤如下：

步骤1、用户发起连接请求，向RADIUS客户端发送用户名和密码。

步骤2、RADIUS客户端根据获取的用户名和密码，向RADIUS服务器发送认证请求包(Access-Request)，其中的密码在共享密钥的参与下由MD5算法进行加密处理。

步骤3、RADIUS服务器对用户名和密码进行认证。如果认证成功，RADIUS服务器向RADIUS客户端发送认证接受包(Access-Accept)；如果认证失败，则返回认证拒绝包(Access-Reject)。由于RADIUS协议合并了认证和授权的过程，因此认证接受包中也包含了用户的授权信息。

步骤4、RADIUS客户端根据接收到的认证结果接入/拒绝用户。如果允许用户接入，则RADIUS客户端向RADIUS服务器发送计费开始请求包(Accounting-Request)。

步骤5、RADIUS服务器返回计费开始响应包(Accounting-Response)，并开始计费。

步骤6、用户开始访问网络资源。

步骤7、用户请求断开连接，RADIUS客户端向RADIUS服务器发送计费停止请求包(Accounting-Request)。

步骤8、RADIUS服务器返回计费结束响应包(Accounting-Response)，并停止计费。

步骤9、用户结束访问网络资源。

随着用户量的增加，采用现有的RADIUS认证流程，在网络访问高峰期间，RADIUS服务器会因为RADIUS客户端短时间内集中发起大量认证请求而造成认证链路拥塞以及RADIUS服务器的超载，在拥塞和超载的情况下，如果RADIUS客户端仍然发送了大量的认证请求报文和/或计费请求报文给服务器，就会因RADIUS服务器丢弃报文而导致用户认证失败,用户体验效果较差。

发明内容

有鉴于此，本申请提供了一种RADIUS认证计费速率调整方法及装置，用于解决网络访问高峰期，链路拥塞和RADIUS服务器超载导致大量用户认证失败的技术问题。