專利名稱:一種報文的處理方法和設備的制作方法
技術領域:
本發(fā)明涉及通信技術領域���,特別是涉及一種報文的處理方法和設備����。
背景技術:
RADIUS (Remote Authentication Dial In User Service�����,接入用戶遠程身份鑒明業(yè)務)是一種在網(wǎng)絡接入設備(如交換機����、路由器、防火墻等���,工作在網(wǎng)絡接入層����,將客戶端傳來的請求報文轉發(fā)給RADIUS服務器����,根據(jù)RADIUS服務器的結果賦予用戶相應的網(wǎng)絡訪問權限)和RADIUS服務器(用來驗證用戶身份信息,根據(jù)響應策略予以響應)之間承載認證�、授權、計費和配置信息的協(xié)議����,并具有以下特點采用客戶端/服務器結構、采用共享密鑰保證網(wǎng)絡傳輸安全性����、良好的可擴展性�����、認證機制靈活�����。由于RADIUS協(xié)議中規(guī)定只要客戶端的認證或計費報文符合RADIUS協(xié)議的格式和其他基本要求�,則RADIUS服務器需要進行響應�����,從而導致存在安全隱患�����;即攻擊者可以利用多個客戶端快速連續(xù)的發(fā)送認證請求報文���,使得RADIUS服務器需要處理大量的認證請求報文�����,無法及時處理正常的非攻擊者發(fā)送的認證請求報文�����,從而形成攻擊?����,F(xiàn)有技術中并沒有對攻擊者發(fā)送的認證請求報文采取保護措施��,處理方式和正常的認證請求報文一樣�,從而造成RADIUS服務器處理性能的下降���。
發(fā)明內(nèi)容
本發(fā)明提供一種報文的處理方法和設備��,以對攻擊者的認證請求報文采取保護措施����,提高RADIUS服務器的穩(wěn)定性�����。為了達到上述目的����,本發(fā)明提供一種報文的處理方法,該方法包括以下步驟認證服務器接收來自客戶端的認證請求報文�,所述認證請求報文中攜帶所述客戶端的標識信息�;如果認證失敗次數(shù)記錄表中有所述標識信息對應的表項��,所述認證服務器在所述表項中查詢所述標識信息對應的認證失敗次數(shù)����;如果所述認證失敗次數(shù)超過預設閾值,所述認證服務器丟棄所述認證請求報文��;如果所述認證失敗次數(shù)沒有超過預設閾值��,所述認證服務器利用所述認證請求報文對所述客戶端進行認證�;如果認證失敗,所述認證服務器將所述標識信息對應的表項中記錄的認證失敗次數(shù)加預設數(shù)值�����。所述認證服務器接收來自客戶端的認證請求報文����,之后還包括如果認證失敗次數(shù)記錄表中沒有所述標識信息對應的表項,所述認證服務器利用所述認證請求報文對所述客戶端進行認證����;如果認證失敗,所述認證服務器在所述認證失敗次數(shù)記錄表中添加所述標識信息對應的表項,并將所述表項中記錄的認證失敗次數(shù)加預設數(shù)值����。所述認證服務器在所述認證失敗次數(shù)記錄表中添加所述標識信息對應的表項,之后還包括所述認證服務器將所述表項中記錄的認證失敗時間戳設置為添加所述表項的時間��;如果當前時間與所述認證失敗時間戳之間的時間間隔超過預設老化時間��,所述認證服務器在所述認證失敗次數(shù)記錄表中刪除所述表項����。所述認證服務器利用所述認證請求報文對所述客戶端進行認證�����,之后還包括如果認證成功��,所述認證服務器刪除所述標識信息對應的表項���。所述標識信息包括IP地址和/或MAC地址���。本發(fā)明提供一種認證服務器,包括接收模塊���,用于接收來自客戶端的認證請求報文����,所述認證請求報文中攜帶所述客戶端的標識信息;查詢模塊����,用于如果認證失敗次數(shù)記錄表中有所述標識信息對應的表項,在所述表項中查詢所述標識信息對應的認證失敗次數(shù)�����;丟棄模塊���,用于如果所述認證失敗次數(shù)超過預設閾值���,丟棄所述認證請求報文;認證模塊���,用于如果所述認證失敗次數(shù)沒有超過預設閾值����,利用所述認證請求報文對所述客戶端進行認證����;維護模塊��,用于如果認證失敗����,將所述標識信息對應的表項中記錄的認證失敗次數(shù)加預設數(shù)值�。所述認證模塊,還用于如果認證失敗次數(shù)記錄表中沒有所述標識信息對應的表項�,利用所述認證請求報文對所述客戶端進行認證;所述維護模塊�,還用于如果認證失敗�,在所述認證失敗次數(shù)記錄表中添加所述標識信息對應的表項,并將所述表項中記錄的認證失敗次數(shù)加預設數(shù)值���。所述維護模塊����,還用于將所述表項中記錄的認證失敗時間戳設置為添加所述表項的時間��;如果當前時間與所述認證失敗時間戳之間的時間間隔超過預設老化時間�,在所述認證失敗次數(shù)記錄表中刪除所述表項。所述維護模塊�����,還用于如果認證成功,刪除所述標識信息對應的表項�。所述標識信息包括IP地址和/或MAC地址。與現(xiàn)有技術相比��,本發(fā)明至少具有以下優(yōu)點通過確定客戶端的標識信息所對應的認證失敗次數(shù)是否超過預設閾值����,以確定認證請求報文是否為攻擊者發(fā)送的報文,如果是攻擊者發(fā)送的報文則直接丟棄����,不必進行后續(xù)的業(yè)務處理,以對攻擊者的認證請求報文采取保護措施��,使得RADIUS服務器具備一定的防攻擊能力���,增強了 RADIUS服務器的穩(wěn)定性和健壯性����。
圖1是本發(fā)明應用場景示意圖����;圖2是本發(fā)明中對應圖1所示應用場景的一種報文的處理方法流程圖�;圖3是本發(fā)明提出的一種報文的處理設備結構圖�����。
具體實施例方式本發(fā)明提供一種報文的處理方法�,該方法應用于包括認證服務器(如RADIUS服務器)、網(wǎng)絡接入設備和客戶端的系統(tǒng)中����,在客戶端需要進行認證時,客戶端通過網(wǎng)絡接入設備向認證服務器發(fā)送認證請求報文�,認證請求報文中可攜帶用戶名、客戶端IP地址��、客戶端MAC地址等信息��。本發(fā)明中���,在認證服務器上需要維護認證失敗次數(shù)記錄表(如HASH表),初始時認證失敗次數(shù)記錄表為空����,且認證失敗次數(shù)記錄表的索引(即HASH表的鍵)為標識信息(即 HASH表中的指紋字符串),該標識信息可以通過客戶端IP地址(framed-ip-address)實現(xiàn)��,或者通過客戶端MAC地址(calling-station-id)實現(xiàn),或者通過客戶端IP地址和客戶端MAC地址實現(xiàn)�。在認證失敗次數(shù)記錄表中,每條表項以標識信息為索引�����,并對應記錄有對應標識信息的認證請求報文的認證失敗次數(shù)��、以及對應標識信息的認證請求報文首次認證失敗時間戳�;如表1、表2��、表3所示的通過三種實現(xiàn)方式實現(xiàn)的認證失敗次數(shù)記錄表���。表 權利要求
1.一種報文的處理方法�,其特征在于����,該方法包括以下步驟認證服務器接收來自客戶端的認證請求報文,所述認證請求報文中攜帶所述客戶端的標識信息�;如果認證失敗次數(shù)記錄表中有所述標識信息對應的表項,所述認證服務器在所述表項中查詢所述標識信息對應的認證失敗次數(shù)���;如果所述認證失敗次數(shù)超過預設閾值����,所述認證服務器丟棄所述認證請求報文; 如果所述認證失敗次數(shù)沒有超過預設閾值���,所述認證服務器利用所述認證請求報文對所述客戶端進行認證����;如果認證失敗�,所述認證服務器將所述標識信息對應的表項中記錄的認證失敗次數(shù)加預設數(shù)值。
2.如權利要求1所述的方法�����,其特征在于�����,所述認證服務器接收來自客戶端的認證請求報文�,之后還包括如果認證失敗次數(shù)記錄表中沒有所述標識信息對應的表項,所述認證服務器利用所述認證請求報文對所述客戶端進行認證�����;如果認證失敗�,所述認證服務器在所述認證失敗次數(shù)記錄表中添加所述標識信息對應的表項,并將所述表項中記錄的認證失敗次數(shù)加預設數(shù)值��。
3.如權利要求2所述的方法�����,其特征在于����,所述認證服務器在所述認證失敗次數(shù)記錄表中添加所述標識信息對應的表項,之后還包括所述認證服務器將所述表項中記錄的認證失敗時間戳設置為添加所述表項的時間�; 如果當前時間與所述認證失敗時間戳之間的時間間隔超過預設老化時間,所述認證服務器在所述認證失敗次數(shù)記錄表中刪除所述表項�。
4.如權利要求1所述的方法,其特征在于��,所述認證服務器利用所述認證請求報文對所述客戶端進行認證�����,之后還包括如果認證成功�����,所述認證服務器刪除所述標識信息對應的表項�����。
5.如權利要求1-4任一項所述的方法,其特征在于����,所述標識信息包括IP地址和/或 MAC地址。
6.一種認證服務器��,其特征在于�,包括接收模塊,用于接收來自客戶端的認證請求報文�����,所述認證請求報文中攜帶所述客戶端的標識信息����;查詢模塊,用于如果認證失敗次數(shù)記錄表中有所述標識信息對應的表項����,在所述表項中查詢所述標識信息對應的認證失敗次數(shù);丟棄模塊�,用于如果所述認證失敗次數(shù)超過預設閾值,丟棄所述認證請求報文�����; 認證模塊���,用于如果所述認證失敗次數(shù)沒有超過預設閾值�����,利用所述認證請求報文對所述客戶端進行認證���;維護模塊,用于如果認證失敗���,將所述標識信息對應的表項中記錄的認證失敗次數(shù)加預設數(shù)值����。
7.如權利要求6所述的認證服務器��,其特征在于�,所述認證模塊,還用于如果認證失敗次數(shù)記錄表中沒有所述標識信息對應的表項����,利用所述認證請求報文對所述客戶端進行認證���;所述維護模塊,還用于如果認證失敗���,在所述認證失敗次數(shù)記錄表中添加所述標識信息對應的表項��,并將所述表項中記錄的認證失敗次數(shù)加預設數(shù)值��。
8.如權利要求7所述的認證服務器����,其特征在于��,所述維護模塊���,還用于將所述表項中記錄的認證失敗時間戳設置為添加所述表項的時間�;如果當前時間與所述認證失敗時間戳之間的時間間隔超過預設老化時間��,在所述認證失敗次數(shù)記錄表中刪除所述表項���。
9.如權利要求6所述的認證服務器����,其特征在于,所述維護模塊����,還用于如果認證成功����,刪除所述標識信息對應的表項。
10.如權利要求6-9任一項所述的認證服務器�����,其特征在于��,所述標識信息包括IP地址和/或MAC地址���。
全文摘要
本發(fā)明公開了一種報文的處理方法和設備���,該方法包括認證服務器接收來自客戶端的認證請求報文,如果認證失敗次數(shù)記錄表中有標識信息對應的表項���,所述認證服務器在所述表項中查詢所述標識信息對應的認證失敗次數(shù)��;如果所述認證失敗次數(shù)超過預設閾值��,所述認證服務器丟棄所述認證請求報文�����。本發(fā)明中�,可對攻擊者的認證請求報文采取保護措施,使得RADIUS服務器具備一定的防攻擊能力�����,增強了RADIUS服務器的穩(wěn)定性��。
文檔編號H04L29/06GK102185871SQ201110153778
公開日2011年9月14日 申請日期2011年6月9日 優(yōu)先權日2011年6月9日
發(fā)明者鐘桂榮 申請人:杭州華三通信技術有限公司