本申請涉及通信技術(shù)領(lǐng)域,特別是涉及一種網(wǎng)絡(luò)安全管理方法和裝置。
背景技術(shù):
AAA(Authentication、Authorization、Accounting,認證、授權(quán)、計費)是網(wǎng)絡(luò)安全的一種管理機制,提供了認證、授權(quán)、計費三種安全功能。其中,認證:用于確認訪問網(wǎng)絡(luò)的遠程用戶的身份,判斷訪問者是否為合法的網(wǎng)絡(luò)用戶。授權(quán):用于對不同用戶賦予不同的權(quán)限,限制用戶可以使用的服務(wù)。例如,管理員授權(quán)辦公用戶才能對服務(wù)器中的文件進行訪問和打印操作,而其它臨時訪客不具備此權(quán)限。計費:用于記錄用戶使用網(wǎng)絡(luò)服務(wù)過程中的所有操作,包括使用的服務(wù)類型、起始時間、數(shù)據(jù)流量等,用于收集和記錄用戶對網(wǎng)絡(luò)資源的使用情況,并可以實現(xiàn)針對時間、流量的計費需求,也對網(wǎng)絡(luò)起到監(jiān)視作用。
當用戶想要通過接入設(shè)備獲得訪問其它網(wǎng)絡(luò)的權(quán)利或取得某些網(wǎng)絡(luò)資源的權(quán)利時,首先需要通過認證服務(wù)器認證,接入設(shè)備可以將用戶的認證、授權(quán)、計費等信息透傳給服務(wù)器,由認證服務(wù)器進行認證。
然而,目前存在大量的針對認證服務(wù)器的攻擊行為,攻擊者不斷向認證服務(wù)器發(fā)送認證請求報文,認證服務(wù)器則需要對所有認證請求報文一一進行判斷認證,勢必會造成服務(wù)器工作量的增加,導致服務(wù)器業(yè)務(wù)繁忙,以至于無法及時處理正常用戶上線的業(yè)務(wù),導致正常用戶無法上線。當服務(wù)器負載過大時甚至可能出現(xiàn)服務(wù)器異常重啟、計費中斷等問題。
技術(shù)實現(xiàn)要素:
本申請所要解決的技術(shù)問題是提供一種網(wǎng)絡(luò)安全管理方法和裝置,以減少在AAA認證過程中認證服務(wù)器的業(yè)務(wù)處理量,降低認證服務(wù)器壓力,保證認證服務(wù)器對正常用戶的認證。
為了解決上述問題,本申請公開了一種網(wǎng)絡(luò)安全管理方法,包括:
對接收到的上線請求報文進行解析,獲取所述上線請求報文中攜帶的用戶ID;
從本地保存的驗證信息中確定與所述用戶ID相匹配的第一對象;
根據(jù)所述第一對象的累加計數(shù)結(jié)果,確定所述第一對象對應(yīng)的懲罰值;
根據(jù)所述懲罰值與第一設(shè)定閾值的比較結(jié)果,確定是否拒絕所述上線請求報文。
本申請還公開了一種網(wǎng)絡(luò)安全管理裝置,包括:
解析模塊,用于對接收到的上線請求報文進行解析,獲取所述上線請求報文中攜帶的用戶ID;
第一確定模塊,用于從本地保存的驗證信息中確定與所述用戶ID相匹配的第一對象;
第二確定模塊,用于根據(jù)所述第一對象的累加計數(shù)結(jié)果,確定所述第一對象對應(yīng)的懲罰值;
第三確定模塊,用于根據(jù)所述懲罰值與第一設(shè)定閾值的比較結(jié)果,確定是否拒絕所述上線請求報文。
與現(xiàn)有技術(shù)相比,本申請具有以下優(yōu)點:
本申請實施例公開了一種網(wǎng)絡(luò)安全管理方案,可以對接收到的上線請求報文進行解析,獲取所述上線請求報文中攜帶的用戶ID;從本地保存的驗證信息中確定與所述用戶ID相匹配的第一對象;根據(jù)所述第一對象的累加計數(shù)結(jié)果,確定所述第一對象對應(yīng)的懲罰值;根據(jù)所述懲罰值與第一設(shè)定閾值的比較結(jié)果,確定是否拒絕所述上線請求報文??梢?,在申請本實施例中,在對用戶進行認證之前,可以根據(jù)所述懲罰值與第一設(shè)定閾值的比較結(jié)果,拒絕非法用戶的上線請求報文,進而過濾掉非法用戶,大大減少了服務(wù)器的業(yè)務(wù)處理量,降低服務(wù)器壓力,保證了服務(wù)器對其它正常用戶的認證,確保了正常用戶的正常上線。
附圖說明
圖1是本申請實施例中一種網(wǎng)絡(luò)安全管理方法的步驟流程圖;
圖2是本申請實施例中又一種網(wǎng)絡(luò)安全管理方法的步驟流程圖;
圖3是本申請實施例中另一種網(wǎng)絡(luò)安全管理方法的步驟流程圖;
圖4是本申請實施例中一種半衰自減懲罰機制示意圖;
圖5是本申請實施例中一種網(wǎng)絡(luò)安全管理裝置的結(jié)構(gòu)框圖;
圖6是本申請實施例中一種優(yōu)選的網(wǎng)絡(luò)安全管理裝置的結(jié)構(gòu)框圖。
具體實施方式
為使本申請的上述目的、特征和優(yōu)點能夠更加明顯易懂,下面結(jié)合附圖和具體實施方式對本申請作進一步詳細的說明。
在本實施例中,所述網(wǎng)絡(luò)安全管理方法主要可以應(yīng)用于對用戶的安全認證。接入設(shè)備在接收到用戶上報的上線請求報文之后,可以對所述對上線請求報文進行解析,獲取所述上線請求報文中攜帶的用戶ID(Identity,身份標識號碼),然后,從本地保存的驗證信息中確定與所述用戶ID相匹配的第一對象,根據(jù)所述第一對象的累加計數(shù)結(jié)果,確定所述第一對象對應(yīng)的懲罰值,并根據(jù)所述懲罰值與第一設(shè)定閾值的比較結(jié)果,確定是否拒絕所述上線請求報文,實現(xiàn)了對請求上線的用戶進行初步的篩選,過濾掉非法用戶,進而減少了認證服務(wù)器對非法用戶發(fā)送的認證信息進行認證的數(shù)量,降低了認證服務(wù)器的業(yè)務(wù)處理量。
參照圖1,示出了本申請實施例中一種網(wǎng)絡(luò)安全管理方法的步驟流程圖。其中,所述網(wǎng)絡(luò)安全管理方法包括:
步驟102,對接收到的上線請求報文進行解析,獲取所述上線請求報文中攜帶的用戶ID。
在本實施例中,接入設(shè)備在接收到用戶的上線請求報文后,可以對所述上線請求報文進行解析,獲取所述上線請求報文中攜帶的信息,如,用戶ID。其中,所述用戶ID可以用于指示用戶設(shè)備,以對不同的用戶設(shè)備進行區(qū)分。例如,所述用戶ID可以但不僅限于包括:用戶名、密碼、MAC(Media Access Control,介質(zhì)訪問控制)地址等可以用于指示用戶設(shè)備的信息。
步驟104,從本地保存的驗證信息中確定與所述用戶ID相匹配的第一對象。
在本實施例中,接入設(shè)備本地可以維護有驗證信息,該驗證信息可以是多條,分別對應(yīng)記錄了各個用戶設(shè)備對應(yīng)的上線請求信息,其中,所述驗證信息中可以包括上述的用戶ID,以及與各個用戶ID相匹配的上線請求信息。其中,所述上線請求信息可以但不僅限于包括:用戶設(shè)備請求上線的次數(shù)、上線時間和上線頻率等信息。
一般地,所述驗證信息中對應(yīng)存儲用戶ID可以但不僅限于是從認證服務(wù)器側(cè)獲取的合法用戶設(shè)備的用戶ID。故,在本實施例中,若發(fā)送上線請求報文的用戶設(shè)備是合法用戶設(shè)備,則可以從所述驗證信息中查找到與所述用戶設(shè)備相匹配的第一對象。其中,所述第一對象為多條驗證信息中的其中一條。
步驟106,根據(jù)所述第一對象的累加計數(shù)結(jié)果,確定所述第一對象對應(yīng)的懲罰值。
如前所述,第一對象(也即,驗證信息)中可以記錄有用戶設(shè)備對應(yīng)的上線請求信息(如,用戶設(shè)備請求上線的次數(shù)、上線時間和上線頻率等)。在本實施例中,在查找到與所述用戶ID相匹配的第一對象之后,可以根據(jù)第一對象中記錄的請求上線信息(如,在一定時間內(nèi)連續(xù)接收到的請求上線的次數(shù)),并結(jié)合本次上線請求報文的發(fā)送,對所述第一對象進行一個累加計數(shù),得到累加計數(shù)結(jié)果,進而確定所述第一對象對應(yīng)的懲罰值。
步驟108,根據(jù)所述懲罰值與第一設(shè)定閾值的比較結(jié)果,確定是否拒絕所述上線請求報文。
在本實施例中,可以預(yù)設(shè)有一個第一設(shè)定閾值。其中,所述第一設(shè)定閾值可以根據(jù)實際情況設(shè)置為任意適當?shù)闹?,本實施例對此不作限制。進而,根據(jù)所述懲罰值與第一設(shè)定閾值的比較結(jié)果,可以確定是否拒絕所述上線請求報文。例如,若所述懲罰值大于等于所述第一設(shè)定閾值,則可以確定該用戶(用戶設(shè)備)請求上線的次數(shù)較為頻繁,可能是一個惡意攻擊行為,可以拒絕所述上線請求報文,進而拒絕該用戶的上線請求。若所述懲罰值小于所述第一設(shè)定閾值,則可以認為該用戶(用戶設(shè)備)發(fā)起的上線請求是一個合法請求,可以接收所述上線請求報文,并將所述上線請求報文發(fā)送至認證服務(wù)器,進行進一步的認證,保證該用戶設(shè)備的正常上線。
綜上所述,本實施例所述的一種網(wǎng)絡(luò)安全管理方法,可以對接收到的上線請求報文進行解析,獲取所述上線請求報文中攜帶的用戶ID;從本地保存的驗證信息中確定與所述用戶ID相匹配的第一對象;根據(jù)所述第一對象的累加計數(shù)結(jié)果,確定所述第一對象對應(yīng)的懲罰值;根據(jù)所述懲罰值與第一設(shè)定閾值的比較結(jié)果,確定是否拒絕所述上線請求報文??梢?,在本實施例中,在對用戶進行認證之前,可以根據(jù)所述懲罰值與第一設(shè)定閾值的比較結(jié)果,拒絕非法用戶的上線請求報文,進而過濾掉非法用戶,避免將非法用戶發(fā)送給認證服務(wù)器進行認證,大大減少了認證服務(wù)器的業(yè)務(wù)處理量,降低了認證服務(wù)器的壓力,保證了認證服務(wù)器對其它正常用戶的認證,確保了其它正常用戶的正常上線。
進一步地,參照圖2,示出了本申請實施例中又一種網(wǎng)絡(luò)安全管理方法的步驟流程圖。其中,所述網(wǎng)絡(luò)安全管理方法包括:
步驟202,對接收到的上線請求報文進行解析,獲取所述上線請求報文中攜帶的用戶ID。
在本實施例中,上線請求報文中可以但不僅限于攜帶有用戶的ID,對應(yīng)的密碼等各類用戶進行合法性驗證的信息,通過對所述上線請求報文的解析,可以獲取所述上線請求報文中攜帶的用戶ID。
步驟204,調(diào)用本地保存的公鑰對所述用戶ID進行加密,得到加密用戶ID,判斷驗證信息中是否存在與所述加密用戶ID相匹配的第一對象。
在本實施例中,為了防止用戶信息(如,用戶ID等信息)的泄漏,避免攻擊者通過非法手段獲取到合法用戶的用戶信息之后,利用合法用戶的用戶信息進行攻擊,可以對用戶信息進行加密處理。例如,可以預(yù)先對認證服務(wù)器的數(shù)據(jù)庫中的數(shù)據(jù)進行一次額外的整理,將所有用戶的用戶名通過加密算法(包括但不僅限于非對稱加密算法,如,RSA加密算法)進行加密處理后存儲在認證服務(wù)器本地。在接入設(shè)備連接上認證服務(wù)器之后,可以從認證服務(wù)器側(cè)獲取加密處理后的用戶ID,以及,在加密過程中所使用的公鑰。當然,上述對用戶的加密處理也可以直接由接入設(shè)備來實現(xiàn),本實施例對此不作限制。
此外,在本實施例中,接入設(shè)備可以對各個用戶設(shè)備的上線情況進行記錄,作為所述驗證信息中的信息項之一進行保存。其中,所述驗證信息中的信息項還可以包括:用戶ID。例如,可以但不僅限于以用戶ID-上線請求信息的格式進行存儲。其中,驗證信息中存儲的用戶ID可以是指經(jīng)過加密處理后的用戶ID。
優(yōu)選的,在本實施例中,當接收到用戶設(shè)備發(fā)送的上線請求報文之后,可以先調(diào)用本地保存的公鑰對所述上線請求報文中攜帶的用戶ID進行加密,得到加密用戶ID;然后,將所述加密用戶ID與驗證信息中同樣進行了加密的信息進行匹配,確定驗證信息中是否存在與所述加密用戶ID相匹配的第一對象。
其中,當確定驗證信息中存在與所述加密用戶ID相匹配的第一對象時,可以執(zhí)行下述步驟206;否則,可以直接將用戶設(shè)備確定為一個非法用戶,直接拒絕所述上線請求報文。
步驟206,從本地保存的驗證信息中確定與所述用戶ID相匹配的第一對象。
在本實施例中,在確定驗證信息中存在與所述加密用戶ID相匹配的第一對象之后,可以進一步地去確定所述第一對象。
步驟208,根據(jù)所述第一對象的累加計數(shù)結(jié)果,確定所述第一對象對應(yīng)的懲罰值。
在本實施例的一優(yōu)選方案中,所述懲罰值具體可以包括本地懲罰值。
如前所述,所述第一對象中可以攜帶有記錄的所述加密用戶ID對應(yīng)的接入設(shè)備的歷史上線請求情況,如,歷史懲罰值,所述歷史懲罰者可以用于指示接入設(shè)備的歷史上線頻次。一種可行的確定所述本地懲罰值的方式可以如下:確定所述第一對象的歷史懲罰值;然后,根據(jù)本次接收到的上線請求報文對所述歷史懲罰值進行累加計數(shù),得到累加計數(shù)結(jié)果;最后,將所述累加計數(shù)結(jié)果確定為所述本地懲罰值。
在本實施例的另一優(yōu)選方案中,所述懲罰值還可以包括:分布式懲罰值。一種可行的確定所述分布式懲罰值的方式可以如下:將所述本地懲罰值上報至服務(wù)器;接收服務(wù)器返回的響應(yīng)結(jié)果,并根據(jù)所述響應(yīng)結(jié)果確定所述分布式懲罰值。
一優(yōu)選的,在本實施例中,接入設(shè)備可以接收服務(wù)器返回的與所述第一對象相匹配的第一子分布式懲罰值;其中,所述第一子分布式懲罰值為:所述服務(wù)器接收到的由其他接入設(shè)備上報的、對應(yīng)于所述第一對象的其它懲罰值之和;然后,將所述第一子分布式懲罰值與所述本地懲罰值之和確定為所述分布式懲罰值;
另一優(yōu)選的,在本實施例中,接入設(shè)備接收所述服務(wù)器返回的與所述第一對象相匹配的第二子分布式懲罰值;其中,所述第二子分布式懲罰值為:所述本地懲罰值與所述第一子分布式懲罰值之和;然后,直接將所述第二子分布式懲罰值確定為所述分布式懲罰值。
需要說明的是,在本實施例中,所述分布式懲罰值主要可以應(yīng)用于分布式場景下對上線請求報文的判斷。當然,在分布式場景下,所述分布式懲罰值和所述本地懲罰值也可以結(jié)合使用。其中,由于分布式懲罰值是基于所述本地懲罰值實現(xiàn)的,故,上報本地懲罰值的條件也相當于為使用分布式懲罰值進行上線請求報文判斷的條件,具體地,所述分布式懲罰值的使用條件可以如下:根據(jù)所述本地懲罰值與第二設(shè)定閾值的比較結(jié)果,確定是否將所述本地懲罰值上報至服務(wù)器;當所述本地懲罰值大于等于所述第二設(shè)定閾值時,將所述本地懲罰值上報至服務(wù)器;其中,所述第二設(shè)定閾值小于所述第一設(shè)定閾值。進而,接入設(shè)備接收服務(wù)器返回的響應(yīng)結(jié)果,并根據(jù)所述響應(yīng)結(jié)果確定所述分布式懲罰值。
步驟210,根據(jù)所述懲罰值與第一設(shè)定閾值的比較結(jié)果,確定是否拒絕所述上線請求報文。
在本實施例的一優(yōu)選方案中,具體可以根據(jù)所述懲罰值中的本地懲罰值來確定是否拒絕所述上線請求報文。例如,若所述本地懲罰值大于等于所述第一設(shè)定閾值,則拒絕所述上線請求報文,并將所述第一對象配置為不可用狀態(tài);若所述本地懲罰值小于所述第一設(shè)定閾值,則可以將所述上線請求報文上送至認證服務(wù)器進行進一步的認證。
在本實施例的另一優(yōu)選方案中,還可以根據(jù)所述分布式懲罰值來確定是否拒絕所述上線請求報文。例如,若所述分布式懲罰值大于等于所述第一設(shè)定閾值,則拒絕所述上線請求報文,并將所述第一對象配置為不可用狀態(tài);若所述分布式懲罰值小于所述第一設(shè)定閾值,則可以將所述上線請求報文上送至認證服務(wù)器進行進一步的認證。
需要說明的是,根據(jù)所述分布式懲罰值來確定是否拒絕所述上線請求報文的方式主要可以應(yīng)用于分布式場景下。當然,在分布式場景下,根據(jù)所述懲罰值中的本地懲罰值來確定是否拒絕所述上線請求報文,以及,根據(jù)所述分布式懲罰值來確定是否拒絕所述上線請求報文兩種方式也可以結(jié)合使用,本實施例對此不作限制。
步驟212,在確定拒絕所述上線請求報文之后,若所述懲罰值隨時間自減至小于等于第三設(shè)定閾值時,將所述第一對象配置為可用狀態(tài)。
在本實施例中,各個懲罰值(本地懲罰值和分布式懲罰值)具體可以為半衰懲罰值,也即,所述懲罰值隨時間半衰自減。如前所述,在當前時間點,所述本地懲罰值大于等于所述第一設(shè)定閾值,或者,所述分布式懲罰值大于等于所述第一設(shè)定閾值。但是,隨著時間的推移,所述本地懲罰值、分布式懲罰值都會隨時間自減,若在一段時間內(nèi),未接收到用戶設(shè)備發(fā)送的上線請求報文,則不會進行計數(shù)的累加,本地懲罰值、分布式懲罰值會一直隨時間減小。其中,當所述懲罰值(本地懲罰值或分布式懲罰值)隨時間自減至小于等于第三設(shè)定閾值時,可以重新將所述第一對象配置為可用狀態(tài);進而,可以再次接收該用戶的上線請求,避免了因?qū)τ脩舻恼`判而導致的用戶無法正常上線的問題。其中,所述第三設(shè)定閾值小于等于所述第一設(shè)定閾值。
綜上所述,本實施例所述的一種網(wǎng)絡(luò)安全管理方法,可以對接收到的上線請求報文進行解析,獲取所述上線請求報文中攜帶的用戶ID;從本地保存的驗證信息中確定與所述用戶ID相匹配的第一對象;根據(jù)所述第一對象的累加計數(shù)結(jié)果,確定所述第一對象對應(yīng)的懲罰值;根據(jù)所述懲罰值與第一設(shè)定閾值的比較結(jié)果,確定是否拒絕所述上線請求報文??梢?,在本實施例中,在對用戶進行認證之前,可以根據(jù)所述懲罰值與第一設(shè)定閾值的比較結(jié)果,有效過濾掉了頻繁請求上線的非法用戶,避免將非法用戶發(fā)送給認證服務(wù)器進行認證,進而大大減少了認證服務(wù)器的業(yè)務(wù)處理量,降低了認證服務(wù)器的壓力,保證了認證服務(wù)器對其它正常用戶的認證,確保了其它正常用戶的正常上線。
其次,在本實施例中,是將用戶ID進行加密后驗證,避免了用戶ID的泄漏,即使加密后的用戶ID被非法獲取,由于無法正確解碼,用戶ID也不會被攻擊者獲取到,具有較高的安全性。
結(jié)合上述實施例,本實施例通過一個具體實例對所述網(wǎng)絡(luò)安全管理方法進行詳細說明。在本實施例中,可以從在接入設(shè)備上進行特殊的用戶名判斷以及智能檢測同用戶名的上線頻率兩個方面對全系統(tǒng)的網(wǎng)絡(luò)安全進行管理,防止針對認證服務(wù)器的攻擊。具體流程可以如下:
參照圖3,示出了本申請實施例中另一種網(wǎng)絡(luò)安全管理方法的步驟流程圖。其中,所述網(wǎng)絡(luò)安全管理方法包括:
步驟302,對請求上線的用戶A進行用戶名驗證。
首先,在本實施例中,可以對AAA服務(wù)器的數(shù)據(jù)庫中的數(shù)據(jù)進行整理,將所有用戶的用戶名通過一個非對稱加密算法(如,RSA加密算法)使用公鑰進行加密,得到加密數(shù)據(jù)集合A并存儲,例如,如果是在分布式的AAA服務(wù)器中,則可以根據(jù)其數(shù)據(jù)同步方式將加密數(shù)據(jù)集合A存儲在AAA服務(wù)器的sql數(shù)據(jù)庫或者是keystore密鑰庫中。
然后,接入設(shè)備在連接上AAA服務(wù)器后,可以從AAA服務(wù)器獲取加密數(shù)據(jù)集合A以及公鑰,并將獲取的加密數(shù)據(jù)集合A以及公鑰存儲至本地(接入設(shè)備)。其中,可以將接入設(shè)備從AAA服務(wù)器獲取并保存在本地的加密數(shù)據(jù)集合A定義為驗證信息。所述驗證信息不同于所述加密數(shù)據(jù)集合A的地方在于:所述驗證信息除了包括加密后的用戶名信息之外,還可以攜帶有用戶對應(yīng)的上線請求信息等。
需要說明的是,當AAA服務(wù)器中存儲的加密數(shù)據(jù)集合A被修改后,AAA服務(wù)器需要通知與其連接的接入設(shè)備進行數(shù)據(jù)的同步更新。
此后,當接入設(shè)備接收到用戶A的上線請求報文(如,PPP/IPoE/Portal/802.1x等)后,在將所述上線請求報文中攜帶的用戶名和密碼封裝到認證請求報文(如RADIUS/HWTACACS/LDAP等)中之前,可以使用本地保存的公鑰對用戶的用戶名進行加密,得到加密用戶名A,然后將得到的加密用戶名A與本地的驗證信息進行匹配查找,若所述驗證信息中不存在所述加密數(shù)據(jù)A,則可以確定當前請求上線的用戶A是非法用戶,可以直接過濾掉用戶A的上線請求,不再進行后續(xù)的AAA認證,減少了AAA服務(wù)器的工作量。
在本實施例中,采用公鑰對用戶名進行加密后再驗證,有效防止了攻擊者直接獲得合法用戶的用戶名,使用合法用戶的用戶名直接進行攻擊。
如前所述,雖然采用公鑰對用戶名進行加密后再驗證的方式可以有效防止攻擊者直接獲得合法用戶的用戶名,使用合法用戶的用戶名直接進行攻擊,但是,攻擊者仍可能通過其它途徑獲取到合法用戶的用戶名,進而使用合法用戶的用戶名進行攻擊。為了解決這一問題,在本實施例中,采用了一種基于半衰自減懲罰機制實現(xiàn)的上線頻率監(jiān)測機制,對同一用戶的上線頻率進行監(jiān)測,防止同一用戶頻繁上線,也即,若確定某一用戶的上線頻率較為頻繁,則可以確定該用戶是非法用戶,可以直接過濾掉該用戶的上線請求。
在本實施例中,當驗證信息中存在與所述用戶A相匹配的驗證項時,也即,在確定用戶A通過用戶名驗證之后,還可以執(zhí)行下述步驟304。
步驟304,對用戶A的上線情況進行累加計數(shù),得到本地懲罰值,并,根據(jù)所述本地懲罰值確定是否拒絕所述用戶A的上線請求報文。
在本實施例中,在用戶A通過上述用戶名的驗證之后,可以進一步進行上線頻率進行驗證。具體地,接入設(shè)備可以基于本次接收上線請求報文的情況對用戶A的上線請求此時進行累加計數(shù),得到本地懲罰值;進而,根據(jù)所述本地懲罰值確定是否拒絕所述用戶A的上線請求報文。
在本實施例中,所述本地懲罰值采用了半衰自減懲罰機制。參照圖4,示出了本申請實施例中一種半衰自減懲罰機制示意圖。其中,半衰自減懲罰機制的含義可以理解為:每隔τ秒懲罰值減為之前的一半。從圖4中可以看到,除了衰減的斜率變化以外,半衰自減懲罰機制和線性自減法基本一樣,半衰自減懲罰機制的優(yōu)點在于:可以根據(jù)懲罰值的大小進行合理的自減速度(懲罰值很大的時候自減很快,懲罰值比較小的時候自減比較慢),更符合實際應(yīng)用規(guī)律。
例如,接入設(shè)備接收到用戶A發(fā)送的上線請求報文之后,對所述用戶A的上線請求次數(shù)進行計數(shù)累加,得到本地懲罰值。用戶A對應(yīng)的本地懲罰值f(t)=【f'(t)+kc】*0.5t/τ;其中,f'(t)為上一周期用戶A對應(yīng)的本地懲罰值,k為當前周期用戶A發(fā)送的上線請求報文次數(shù),t為當前周期的時長,τ和c可以是用戶自定義配置的常數(shù)值。
在本實施例中,如圖4所示,可以設(shè)置一個懲罰上限和一個懲罰下限。具體地,若所述本地懲罰值大于等于所述懲罰上限(也即,上述第一設(shè)定閾值)時,可以拒絕用戶A的上線請求報文,并將所述驗證信息中對應(yīng)的第一對象配置為不可用狀態(tài)。進一步地,如前所述,f(t)是隨時間自減的,所述本地懲罰值也隨時間而減小,當所述本地懲罰值小于等于所述懲罰下限(也即,第二設(shè)定閾值)時,可以將所述第一對象配置為可用狀態(tài),恢復(fù)第一對象對應(yīng)的用戶A的合法身份。
步驟306,根據(jù)分布式懲罰值確定是否拒絕所述用戶A的上線請求報文。
為了適應(yīng)分布式場景,在本實施例中,如圖4所示,還可以設(shè)置有一個分布式上限。其中,當本地懲罰值大于等于所述分布式上限(也即,第三設(shè)定閾值)時,可以將所述本地懲罰值上報給服務(wù)器,服務(wù)器可以對其它接入設(shè)備上報的與用戶A相對應(yīng)的其它多個本地懲罰值進行累加,得到一個分布式懲罰值,并將所述分布式懲罰值返回給當前接入設(shè)備,接入設(shè)備根據(jù)接收到的分布式懲罰值更新本地懲罰值,也即,可以將分布式懲罰值確定為新的本地懲罰值。
其中,當前接入設(shè)備在接收到分布式懲罰值后對用戶A的上線請求報文的處理流程可以參照上述步驟304。例如,若所述分布式懲罰值大于等于所述懲罰上限,則拒絕用戶A的上線請求報文,并將第一對象配置為不可用狀態(tài)。進一步地,當分布式懲罰值隨時間自減小于等于懲罰下限時,將第一對象配置為可用狀態(tài)。
步驟308,將用戶A的用戶名和密碼封裝至認證請求報文中,并將所述認證請求報文發(fā)送至AAA服務(wù)器,以使AAA服務(wù)器根據(jù)所述認證請求報文進行AAA認證。
在本實施例中,若用戶A通過了用戶名驗證以及頻率監(jiān)測,則可以執(zhí)行AAA認證:將用戶A的用戶名和密碼封裝至認證請求報文中,并將所述認證請求報文發(fā)送至AAA服務(wù)器,以使AAA服務(wù)器根據(jù)所述認證請求報文進行AAA認證。
綜上所述,本實施例所述的一種網(wǎng)絡(luò)安全管理方法,可以對接收到的上線請求報文進行解析,獲取所述上線請求報文中攜帶的用戶ID;從本地保存的驗證信息中確定與所述用戶ID相匹配的第一對象;根據(jù)所述第一對象的累加計數(shù)結(jié)果,確定所述第一對象對應(yīng)的懲罰值;根據(jù)所述懲罰值與第一設(shè)定閾值的比較結(jié)果,確定是否拒絕所述上線請求報文??梢?,在本實施例中,在對用戶進行AAA認證之前,可以根據(jù)所述懲罰值與第一設(shè)定閾值的比較結(jié)果,拒絕非法用戶的上線請求報文,進而過濾掉非法用戶,避免將非法用戶發(fā)送給AAA認證服務(wù)器進行認證,大大減少了AAA服務(wù)器的業(yè)務(wù)處理量,降低了AAA服務(wù)器的壓力,保證了AAA服務(wù)器對其它正常用戶的認證,確保了其它正常用戶的正常上線。
需要說明的是,對于前述的方法實施例,為了簡單描述,故將其都表述為一系列的動作組合,但是本領(lǐng)域技術(shù)人員應(yīng)該知悉,本申請并不受所描述的動作順序的限制,因為依據(jù)本申請,某些步驟可以采用其他順序或者同時進行。其次,本領(lǐng)域技術(shù)人員也應(yīng)該知悉,說明書中所描述的實施例均屬于優(yōu)選實施例,所涉及的動作并不一定是本申請所必需的。
參照圖5,示出了本申請實施例中一種網(wǎng)絡(luò)安全管理裝置的結(jié)構(gòu)框圖。在本實施例中,所述網(wǎng)絡(luò)安全管理裝置包括:
解析模塊502,用于對接收到的上線請求報文進行解析,獲取所述上線請求報文中攜帶的用戶ID。
第一確定模塊504,用于從本地保存的驗證信息中確定與所述用戶ID相匹配的第一對象。
第二確定模塊506,用于根據(jù)所述第一對象的累加計數(shù)結(jié)果,確定所述第一對象對應(yīng)的懲罰值。
第三確定模塊508,用于根據(jù)所述懲罰值與第一設(shè)定閾值的比較結(jié)果,確定是否拒絕所述上線請求報文。
可見,在本實施例中,在對用戶進行AAA認證之前,可以根據(jù)所述懲罰值與第一設(shè)定閾值的比較結(jié)果,拒絕非法用戶的上線請求報文,進而過濾掉非法用戶,避免將非法用戶發(fā)送給AAA認證服務(wù)器進行認證,大大減少了AAA服務(wù)器的業(yè)務(wù)處理量,降低了AAA服務(wù)器的壓力,保證了AAA服務(wù)器對其它正常用戶的認證,確保了其它正常用戶的正常上線。
進一步的,在本實施例的一優(yōu)選方案中,參照圖6,示出了本申請實施例中一種優(yōu)選的網(wǎng)絡(luò)安全管理裝置的結(jié)構(gòu)框圖。
在本實施例的一優(yōu)選方案中,所述懲罰值可以包括:本地懲罰值。優(yōu)選的,所述第二確定模塊506具體可以包括:第一確定子模塊5062,用于確定所述第一對象的歷史懲罰值;累加子模塊5064,用于根據(jù)本次接收到的上線請求報文對所述歷史懲罰值進行累加計數(shù),得到累加計數(shù)結(jié)果;第二確定子模塊5068,用于將所述累加計數(shù)結(jié)果確定為所述本地懲罰值。相應(yīng)的,所述第三確定模塊508,具體可以用于若所述本地懲罰值大于等于所述第一設(shè)定閾值,則拒絕所述上線請求報文,并將所述第一對象配置為不可用狀態(tài)。
在本實施例的另一優(yōu)選方案中,所述懲罰值還可以包括:分布式懲罰值。優(yōu)選的,所述第二確定模塊506還可以包括:上報子模塊50610,用于將所述本地懲罰值上報至服務(wù)器;接收子模塊50612,用于接收服務(wù)器返回的響應(yīng)結(jié)果,并根據(jù)所述響應(yīng)結(jié)果確定所述分布式懲罰值。相應(yīng)的,所述第三確定模塊508,具體可以用于若所述分布式懲罰值大于等于所述第一設(shè)定閾值,則拒絕所述上線請求報文,并將所述第一對象配置為不可用狀態(tài)。
優(yōu)選的,所述接收子模塊50612,具體可以用于接收所述服務(wù)器返回的與所述第一對象相匹配的第一子分布式懲罰值;其中,所述第一子分布式懲罰值為:所述服務(wù)器接收到的由其他接入設(shè)備上報的、對應(yīng)于所述第一對象的其它懲罰值之和;將所述第一子分布式懲罰值與所述本地懲罰值之和確定為所述分布式懲罰值;
或,
接收所述服務(wù)器返回的與所述第一對象相匹配的第二子分布式懲罰值;其中,所述第二子分布式懲罰值為:所述本地懲罰值與所述第一子分布式懲罰值之和;將所述第二子分布式懲罰值確定為所述分布式懲罰值。
優(yōu)選的,所述上報子模塊50610,具體可以用于根據(jù)所述本地懲罰值與第二設(shè)定閾值的比較結(jié)果,確定是否將所述本地懲罰值上報至服務(wù)器;當所述本地懲罰值大于等于所述第二設(shè)定閾值時,將所述本地懲罰值上報至服務(wù)器;其中,所述第二設(shè)定閾值小于所述第一設(shè)定閾值。
在本實施例的又一優(yōu)選方案中,所述懲罰值隨時間半衰自減。優(yōu)選的,所述裝置還包括:重配置模塊510,用于在確定拒絕所述上線請求報文之后,若所述懲罰值隨時間自減至小于等于第三設(shè)定閾值時,將所述第一對象配置為可用狀態(tài);其中,所述第三設(shè)定閾值小于等于所述第一設(shè)定閾值。
在本實施例的再一優(yōu)選方案中,所述裝置還包括:調(diào)用模塊512,用于調(diào)用本地保存的公鑰對所述用戶ID進行加密,得到加密用戶ID;判斷模塊514,用于判斷所述驗證信息中是否存在與所述加密用戶ID相匹配的第一對象;執(zhí)行模塊516,用于在所述驗證信息中存在與所述加密用戶ID相匹配的第一對象時,執(zhí)行所述第一確定模塊504;若不存在,則拒絕所述上線請求報文。
綜上所述,本實施例所述的一種網(wǎng)絡(luò)安全管理裝置,可以對接收到的上線請求報文進行解析,獲取所述上線請求報文中攜帶的用戶ID;從本地保存的驗證信息中確定與所述用戶ID相匹配的第一對象;根據(jù)所述第一對象的累加計數(shù)結(jié)果,確定所述第一對象對應(yīng)的懲罰值;根據(jù)所述懲罰值與第一設(shè)定閾值的比較結(jié)果,確定是否拒絕所述上線請求報文。可見,在本實施例中,在對用戶進行AAA認證之前,可以根據(jù)所述懲罰值與第一設(shè)定閾值的比較結(jié)果,拒絕非法用戶的上線請求報文,進而過濾掉非法用戶,避免將非法用戶發(fā)送給AAA認證服務(wù)器進行認證,大大減少了AAA服務(wù)器的業(yè)務(wù)處理量,降低了AAA服務(wù)器的壓力,保證了AAA服務(wù)器對其它正常用戶的認證,確保了其它正常用戶的正常上線。
本說明書中的各個實施例均采用遞進的方式描述,每個實施例重點說明的都是與其他實施例的不同之處,各個實施例之間相同相似的部分互相參見即可。對于裝置實施例而言,由于其與方法實施例基本相似,所以描述的比較簡單,相關(guān)之處參見方法實施例的部分說明即可。
本領(lǐng)域內(nèi)的技術(shù)人員應(yīng)明白,本申請的實施例可提供為方法、裝置、或計算機程序產(chǎn)品。因此,本申請可采用完全硬件實施例、完全軟件實施例、或結(jié)合軟件和硬件方面的實施例的形式。而且,本申請可采用在一個或多個其中包含有計算機可用程序代碼的計算機可用存儲介質(zhì)(包括但不限于磁盤存儲器、CD-ROM、光學存儲器等)上實施的計算機程序產(chǎn)品的形式。
本申請是參照根據(jù)本申請實施例的方法、設(shè)備(裝置)、和計算機程序產(chǎn)品的流程圖和/或方框圖來描述的。應(yīng)理解可由計算機程序指令實現(xiàn)流程圖和/或方框圖中的每一流程和/或方框、以及流程圖和/或方框圖中的流程和/或方框的結(jié)合。可提供這些計算機程序指令到通用計算機、專用計算機、嵌入式處理機或其他可編程數(shù)據(jù)處理設(shè)備的處理器以產(chǎn)生一個機器,使得通過計算機或其他可編程數(shù)據(jù)處理設(shè)備的處理器執(zhí)行的指令產(chǎn)生用于實現(xiàn)在流程圖一個流程或多個流程和/或方框圖一個方框或多個方框中指定的功能的裝置。
這些計算機程序指令也可存儲在能引導計算機或其他可編程數(shù)據(jù)處理設(shè)備以特定方式工作的計算機可讀存儲器中,使得存儲在該計算機可讀存儲器中的指令產(chǎn)生包括指令裝置的制造品,該指令裝置實現(xiàn)在流程圖一個流程或多個流程和/或方框圖一個方框或多個方框中指定的功能。
這些計算機程序指令也可裝載到計算機或其他可編程數(shù)據(jù)處理設(shè)備上,使得在計算機或其他可編程設(shè)備上執(zhí)行一系列操作步驟以產(chǎn)生計算機實現(xiàn)的處理,從而在計算機或其他可編程設(shè)備上執(zhí)行的指令提供用于實現(xiàn)在流程圖一個流程或多個流程和/或方框圖一個方框或多個方框中指定的功能的步驟。
盡管已描述了本申請的優(yōu)選實施例,但本領(lǐng)域內(nèi)的技術(shù)人員一旦得知了基本創(chuàng)造性概念,則可對這些實施例做出另外的變更和修改。所以,所附權(quán)利要求意欲解釋為包括優(yōu)選實施例以及落入本申請范圍的所有變更和修改。
以上對本申請所提供的一種網(wǎng)絡(luò)安全管理方法和裝置進行了詳細介紹,本文中應(yīng)用了具體個例對本申請的原理及實施方式進行了闡述,以上實施例的說明只是用于幫助理解本申請的方法及其核心思想;同時,對于本領(lǐng)域的一般技術(shù)人員,依據(jù)本申請的思想,在具體實施方式及應(yīng)用范圍上均會有改變之處,綜上所述,本說明書內(nèi)容不應(yīng)理解為對本申請的限制。