專利名稱:一種報(bào)文的處理方法和設(shè)備的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及通信技術(shù)領(lǐng)域���,特別是涉及一種報(bào)文的處理方法和設(shè)備��。
背景技術(shù):
RADIUS (Remote Authentication Dial In User Service����,接入用戶遠(yuǎn)程身份鑒明業(yè)務(wù))是一種在網(wǎng)絡(luò)接入設(shè)備(如交換機(jī)�����、路由器�、防火墻等,工作在網(wǎng)絡(luò)接入層�,將客戶端傳來(lái)的請(qǐng)求報(bào)文轉(zhuǎn)發(fā)給RADIUS服務(wù)器,根據(jù)RADIUS服務(wù)器的結(jié)果賦予用戶相應(yīng)的網(wǎng)絡(luò)訪問(wèn)權(quán)限)和RADIUS服務(wù)器(用來(lái)驗(yàn)證用戶身份信息�,根據(jù)響應(yīng)策略予以響應(yīng))之間承載認(rèn)證、授權(quán)����、計(jì)費(fèi)和配置信息的協(xié)議�����,并具有以下特點(diǎn)采用客戶端/服務(wù)器結(jié)構(gòu)���、采用共享密鑰保證網(wǎng)絡(luò)傳輸安全性、良好的可擴(kuò)展性���、認(rèn)證機(jī)制靈活。由于RADIUS協(xié)議中規(guī)定只要客戶端的認(rèn)證或計(jì)費(fèi)報(bào)文符合RADIUS協(xié)議的格式和其他基本要求���,則RADIUS服務(wù)器需要進(jìn)行響應(yīng)�����,從而導(dǎo)致存在安全隱患�����;即攻擊者可以利用多個(gè)客戶端快速連續(xù)的發(fā)送認(rèn)證請(qǐng)求報(bào)文���,使得RADIUS服務(wù)器需要處理大量的認(rèn)證請(qǐng)求報(bào)文,無(wú)法及時(shí)處理正常的非攻擊者發(fā)送的認(rèn)證請(qǐng)求報(bào)文�����,從而形成攻擊。現(xiàn)有技術(shù)中并沒(méi)有對(duì)攻擊者發(fā)送的認(rèn)證請(qǐng)求報(bào)文采取保護(hù)措施���,處理方式和正常的認(rèn)證請(qǐng)求報(bào)文一樣�����,從而造成RADIUS服務(wù)器處理性能的下降�����。
發(fā)明內(nèi)容
本發(fā)明提供一種報(bào)文的處理方法和設(shè)備�����,以對(duì)攻擊者的認(rèn)證請(qǐng)求報(bào)文采取保護(hù)措施��,提高RADIUS服務(wù)器的穩(wěn)定性�����。為了達(dá)到上述目的���,本發(fā)明提供一種報(bào)文的處理方法���,該方法包括以下步驟認(rèn)證服務(wù)器接收來(lái)自客戶端的認(rèn)證請(qǐng)求報(bào)文,所述認(rèn)證請(qǐng)求報(bào)文中攜帶所述客戶端的標(biāo)識(shí)信息�����;如果認(rèn)證失敗次數(shù)記錄表中有所述標(biāo)識(shí)信息對(duì)應(yīng)的表項(xiàng)�����,所述認(rèn)證服務(wù)器在所述表項(xiàng)中查詢所述標(biāo)識(shí)信息對(duì)應(yīng)的認(rèn)證失敗次數(shù)�;如果所述認(rèn)證失敗次數(shù)超過(guò)預(yù)設(shè)閾值�����,所述認(rèn)證服務(wù)器丟棄所述認(rèn)證請(qǐng)求報(bào)文��;如果所述認(rèn)證失敗次數(shù)沒(méi)有超過(guò)預(yù)設(shè)閾值�����,所述認(rèn)證服務(wù)器利用所述認(rèn)證請(qǐng)求報(bào)文對(duì)所述客戶端進(jìn)行認(rèn)證���;如果認(rèn)證失敗��,所述認(rèn)證服務(wù)器將所述標(biāo)識(shí)信息對(duì)應(yīng)的表項(xiàng)中記錄的認(rèn)證失敗次數(shù)加預(yù)設(shè)數(shù)值�����。所述認(rèn)證服務(wù)器接收來(lái)自客戶端的認(rèn)證請(qǐng)求報(bào)文����,之后還包括如果認(rèn)證失敗次數(shù)記錄表中沒(méi)有所述標(biāo)識(shí)信息對(duì)應(yīng)的表項(xiàng),所述認(rèn)證服務(wù)器利用所述認(rèn)證請(qǐng)求報(bào)文對(duì)所述客戶端進(jìn)行認(rèn)證����;如果認(rèn)證失敗,所述認(rèn)證服務(wù)器在所述認(rèn)證失敗次數(shù)記錄表中添加所述標(biāo)識(shí)信息對(duì)應(yīng)的表項(xiàng)��,并將所述表項(xiàng)中記錄的認(rèn)證失敗次數(shù)加預(yù)設(shè)數(shù)值����。所述認(rèn)證服務(wù)器在所述認(rèn)證失敗次數(shù)記錄表中添加所述標(biāo)識(shí)信息對(duì)應(yīng)的表項(xiàng),之后還包括所述認(rèn)證服務(wù)器將所述表項(xiàng)中記錄的認(rèn)證失敗時(shí)間戳設(shè)置為添加所述表項(xiàng)的時(shí)間��;如果當(dāng)前時(shí)間與所述認(rèn)證失敗時(shí)間戳之間的時(shí)間間隔超過(guò)預(yù)設(shè)老化時(shí)間���,所述認(rèn)證服務(wù)器在所述認(rèn)證失敗次數(shù)記錄表中刪除所述表項(xiàng)����。所述認(rèn)證服務(wù)器利用所述認(rèn)證請(qǐng)求報(bào)文對(duì)所述客戶端進(jìn)行認(rèn)證,之后還包括如果認(rèn)證成功��,所述認(rèn)證服務(wù)器刪除所述標(biāo)識(shí)信息對(duì)應(yīng)的表項(xiàng)��。所述標(biāo)識(shí)信息包括IP地址和/或MAC地址�。本發(fā)明提供一種認(rèn)證服務(wù)器,包括接收模塊�,用于接收來(lái)自客戶端的認(rèn)證請(qǐng)求報(bào)文,所述認(rèn)證請(qǐng)求報(bào)文中攜帶所述客戶端的標(biāo)識(shí)信息����;查詢模塊,用于如果認(rèn)證失敗次數(shù)記錄表中有所述標(biāo)識(shí)信息對(duì)應(yīng)的表項(xiàng)����,在所述表項(xiàng)中查詢所述標(biāo)識(shí)信息對(duì)應(yīng)的認(rèn)證失敗次數(shù)���;丟棄模塊�����,用于如果所述認(rèn)證失敗次數(shù)超過(guò)預(yù)設(shè)閾值�����,丟棄所述認(rèn)證請(qǐng)求報(bào)文�����;認(rèn)證模塊����,用于如果所述認(rèn)證失敗次數(shù)沒(méi)有超過(guò)預(yù)設(shè)閾值,利用所述認(rèn)證請(qǐng)求報(bào)文對(duì)所述客戶端進(jìn)行認(rèn)證�;維護(hù)模塊,用于如果認(rèn)證失敗����,將所述標(biāo)識(shí)信息對(duì)應(yīng)的表項(xiàng)中記錄的認(rèn)證失敗次數(shù)加預(yù)設(shè)數(shù)值。所述認(rèn)證模塊����,還用于如果認(rèn)證失敗次數(shù)記錄表中沒(méi)有所述標(biāo)識(shí)信息對(duì)應(yīng)的表項(xiàng),利用所述認(rèn)證請(qǐng)求報(bào)文對(duì)所述客戶端進(jìn)行認(rèn)證����;所述維護(hù)模塊,還用于如果認(rèn)證失敗���,在所述認(rèn)證失敗次數(shù)記錄表中添加所述標(biāo)識(shí)信息對(duì)應(yīng)的表項(xiàng)���,并將所述表項(xiàng)中記錄的認(rèn)證失敗次數(shù)加預(yù)設(shè)數(shù)值��。所述維護(hù)模塊��,還用于將所述表項(xiàng)中記錄的認(rèn)證失敗時(shí)間戳設(shè)置為添加所述表項(xiàng)的時(shí)間��;如果當(dāng)前時(shí)間與所述認(rèn)證失敗時(shí)間戳之間的時(shí)間間隔超過(guò)預(yù)設(shè)老化時(shí)間���,在所述認(rèn)證失敗次數(shù)記錄表中刪除所述表項(xiàng)。所述維護(hù)模塊���,還用于如果認(rèn)證成功�,刪除所述標(biāo)識(shí)信息對(duì)應(yīng)的表項(xiàng)����。所述標(biāo)識(shí)信息包括IP地址和/或MAC地址。與現(xiàn)有技術(shù)相比���,本發(fā)明至少具有以下優(yōu)點(diǎn)通過(guò)確定客戶端的標(biāo)識(shí)信息所對(duì)應(yīng)的認(rèn)證失敗次數(shù)是否超過(guò)預(yù)設(shè)閾值,以確定認(rèn)證請(qǐng)求報(bào)文是否為攻擊者發(fā)送的報(bào)文���,如果是攻擊者發(fā)送的報(bào)文則直接丟棄����,不必進(jìn)行后續(xù)的業(yè)務(wù)處理,以對(duì)攻擊者的認(rèn)證請(qǐng)求報(bào)文采取保護(hù)措施����,使得RADIUS服務(wù)器具備一定的防攻擊能力,增強(qiáng)了 RADIUS服務(wù)器的穩(wěn)定性和健壯性�����。
圖1是本發(fā)明應(yīng)用場(chǎng)景示意圖�����;圖2是本發(fā)明中對(duì)應(yīng)圖1所示應(yīng)用場(chǎng)景的一種報(bào)文的處理方法流程圖�;圖3是本發(fā)明提出的一種報(bào)文的處理設(shè)備結(jié)構(gòu)圖。
具體實(shí)施例方式本發(fā)明提供一種報(bào)文的處理方法�,該方法應(yīng)用于包括認(rèn)證服務(wù)器(如RADIUS服務(wù)器)、網(wǎng)絡(luò)接入設(shè)備和客戶端的系統(tǒng)中�,在客戶端需要進(jìn)行認(rèn)證時(shí),客戶端通過(guò)網(wǎng)絡(luò)接入設(shè)備向認(rèn)證服務(wù)器發(fā)送認(rèn)證請(qǐng)求報(bào)文����,認(rèn)證請(qǐng)求報(bào)文中可攜帶用戶名���、客戶端IP地址、客戶端MAC地址等信息���。本發(fā)明中��,在認(rèn)證服務(wù)器上需要維護(hù)認(rèn)證失敗次數(shù)記錄表(如HASH表)�,初始時(shí)認(rèn)證失敗次數(shù)記錄表為空��,且認(rèn)證失敗次數(shù)記錄表的索引(即HASH表的鍵)為標(biāo)識(shí)信息(即 HASH表中的指紋字符串)��,該標(biāo)識(shí)信息可以通過(guò)客戶端IP地址(framed-ip-address)實(shí)現(xiàn)�����,或者通過(guò)客戶端MAC地址(calling-station-id)實(shí)現(xiàn)�,或者通過(guò)客戶端IP地址和客戶端MAC地址實(shí)現(xiàn)。在認(rèn)證失敗次數(shù)記錄表中�����,每條表項(xiàng)以標(biāo)識(shí)信息為索引�����,并對(duì)應(yīng)記錄有對(duì)應(yīng)標(biāo)識(shí)信息的認(rèn)證請(qǐng)求報(bào)文的認(rèn)證失敗次數(shù)�、以及對(duì)應(yīng)標(biāo)識(shí)信息的認(rèn)證請(qǐng)求報(bào)文首次認(rèn)證失敗時(shí)間戳;如表1��、表2�����、表3所示的通過(guò)三種實(shí)現(xiàn)方式實(shí)現(xiàn)的認(rèn)證失敗次數(shù)記錄表��。表 權(quán)利要求
1.一種報(bào)文的處理方法�����,其特征在于���,該方法包括以下步驟認(rèn)證服務(wù)器接收來(lái)自客戶端的認(rèn)證請(qǐng)求報(bào)文���,所述認(rèn)證請(qǐng)求報(bào)文中攜帶所述客戶端的標(biāo)識(shí)信息;如果認(rèn)證失敗次數(shù)記錄表中有所述標(biāo)識(shí)信息對(duì)應(yīng)的表項(xiàng)�����,所述認(rèn)證服務(wù)器在所述表項(xiàng)中查詢所述標(biāo)識(shí)信息對(duì)應(yīng)的認(rèn)證失敗次數(shù)��;如果所述認(rèn)證失敗次數(shù)超過(guò)預(yù)設(shè)閾值,所述認(rèn)證服務(wù)器丟棄所述認(rèn)證請(qǐng)求報(bào)文�; 如果所述認(rèn)證失敗次數(shù)沒(méi)有超過(guò)預(yù)設(shè)閾值,所述認(rèn)證服務(wù)器利用所述認(rèn)證請(qǐng)求報(bào)文對(duì)所述客戶端進(jìn)行認(rèn)證�;如果認(rèn)證失敗,所述認(rèn)證服務(wù)器將所述標(biāo)識(shí)信息對(duì)應(yīng)的表項(xiàng)中記錄的認(rèn)證失敗次數(shù)加預(yù)設(shè)數(shù)值���。
2.如權(quán)利要求1所述的方法�,其特征在于��,所述認(rèn)證服務(wù)器接收來(lái)自客戶端的認(rèn)證請(qǐng)求報(bào)文����,之后還包括如果認(rèn)證失敗次數(shù)記錄表中沒(méi)有所述標(biāo)識(shí)信息對(duì)應(yīng)的表項(xiàng),所述認(rèn)證服務(wù)器利用所述認(rèn)證請(qǐng)求報(bào)文對(duì)所述客戶端進(jìn)行認(rèn)證�;如果認(rèn)證失敗,所述認(rèn)證服務(wù)器在所述認(rèn)證失敗次數(shù)記錄表中添加所述標(biāo)識(shí)信息對(duì)應(yīng)的表項(xiàng)����,并將所述表項(xiàng)中記錄的認(rèn)證失敗次數(shù)加預(yù)設(shè)數(shù)值。
3.如權(quán)利要求2所述的方法�,其特征在于,所述認(rèn)證服務(wù)器在所述認(rèn)證失敗次數(shù)記錄表中添加所述標(biāo)識(shí)信息對(duì)應(yīng)的表項(xiàng)��,之后還包括所述認(rèn)證服務(wù)器將所述表項(xiàng)中記錄的認(rèn)證失敗時(shí)間戳設(shè)置為添加所述表項(xiàng)的時(shí)間��; 如果當(dāng)前時(shí)間與所述認(rèn)證失敗時(shí)間戳之間的時(shí)間間隔超過(guò)預(yù)設(shè)老化時(shí)間,所述認(rèn)證服務(wù)器在所述認(rèn)證失敗次數(shù)記錄表中刪除所述表項(xiàng)��。
4.如權(quán)利要求1所述的方法���,其特征在于,所述認(rèn)證服務(wù)器利用所述認(rèn)證請(qǐng)求報(bào)文對(duì)所述客戶端進(jìn)行認(rèn)證���,之后還包括如果認(rèn)證成功���,所述認(rèn)證服務(wù)器刪除所述標(biāo)識(shí)信息對(duì)應(yīng)的表項(xiàng)。
5.如權(quán)利要求1-4任一項(xiàng)所述的方法��,其特征在于���,所述標(biāo)識(shí)信息包括IP地址和/或 MAC地址���。
6.一種認(rèn)證服務(wù)器,其特征在于���,包括接收模塊�,用于接收來(lái)自客戶端的認(rèn)證請(qǐng)求報(bào)文�����,所述認(rèn)證請(qǐng)求報(bào)文中攜帶所述客戶端的標(biāo)識(shí)信息;查詢模塊����,用于如果認(rèn)證失敗次數(shù)記錄表中有所述標(biāo)識(shí)信息對(duì)應(yīng)的表項(xiàng),在所述表項(xiàng)中查詢所述標(biāo)識(shí)信息對(duì)應(yīng)的認(rèn)證失敗次數(shù)�;丟棄模塊,用于如果所述認(rèn)證失敗次數(shù)超過(guò)預(yù)設(shè)閾值�,丟棄所述認(rèn)證請(qǐng)求報(bào)文; 認(rèn)證模塊�,用于如果所述認(rèn)證失敗次數(shù)沒(méi)有超過(guò)預(yù)設(shè)閾值,利用所述認(rèn)證請(qǐng)求報(bào)文對(duì)所述客戶端進(jìn)行認(rèn)證�����;維護(hù)模塊�,用于如果認(rèn)證失敗,將所述標(biāo)識(shí)信息對(duì)應(yīng)的表項(xiàng)中記錄的認(rèn)證失敗次數(shù)加預(yù)設(shè)數(shù)值����。
7.如權(quán)利要求6所述的認(rèn)證服務(wù)器,其特征在于�����,所述認(rèn)證模塊,還用于如果認(rèn)證失敗次數(shù)記錄表中沒(méi)有所述標(biāo)識(shí)信息對(duì)應(yīng)的表項(xiàng)��,利用所述認(rèn)證請(qǐng)求報(bào)文對(duì)所述客戶端進(jìn)行認(rèn)證�;所述維護(hù)模塊,還用于如果認(rèn)證失敗����,在所述認(rèn)證失敗次數(shù)記錄表中添加所述標(biāo)識(shí)信息對(duì)應(yīng)的表項(xiàng),并將所述表項(xiàng)中記錄的認(rèn)證失敗次數(shù)加預(yù)設(shè)數(shù)值���。
8.如權(quán)利要求7所述的認(rèn)證服務(wù)器,其特征在于�����,所述維護(hù)模塊�����,還用于將所述表項(xiàng)中記錄的認(rèn)證失敗時(shí)間戳設(shè)置為添加所述表項(xiàng)的時(shí)間����;如果當(dāng)前時(shí)間與所述認(rèn)證失敗時(shí)間戳之間的時(shí)間間隔超過(guò)預(yù)設(shè)老化時(shí)間,在所述認(rèn)證失敗次數(shù)記錄表中刪除所述表項(xiàng)。
9.如權(quán)利要求6所述的認(rèn)證服務(wù)器���,其特征在于�����,所述維護(hù)模塊���,還用于如果認(rèn)證成功,刪除所述標(biāo)識(shí)信息對(duì)應(yīng)的表項(xiàng)���。
10.如權(quán)利要求6-9任一項(xiàng)所述的認(rèn)證服務(wù)器�����,其特征在于����,所述標(biāo)識(shí)信息包括IP地址和/或MAC地址����。
全文摘要
本發(fā)明公開了一種報(bào)文的處理方法和設(shè)備,該方法包括認(rèn)證服務(wù)器接收來(lái)自客戶端的認(rèn)證請(qǐng)求報(bào)文����,如果認(rèn)證失敗次數(shù)記錄表中有標(biāo)識(shí)信息對(duì)應(yīng)的表項(xiàng)���,所述認(rèn)證服務(wù)器在所述表項(xiàng)中查詢所述標(biāo)識(shí)信息對(duì)應(yīng)的認(rèn)證失敗次數(shù);如果所述認(rèn)證失敗次數(shù)超過(guò)預(yù)設(shè)閾值�,所述認(rèn)證服務(wù)器丟棄所述認(rèn)證請(qǐng)求報(bào)文。本發(fā)明中��,可對(duì)攻擊者的認(rèn)證請(qǐng)求報(bào)文采取保護(hù)措施�,使得RADIUS服務(wù)器具備一定的防攻擊能力,增強(qiáng)了RADIUS服務(wù)器的穩(wěn)定性�����。
文檔編號(hào)H04L29/06GK102185871SQ201110153778
公開日2011年9月14日 申請(qǐng)日期2011年6月9日 優(yōu)先權(quán)日2011年6月9日
發(fā)明者鐘桂榮 申請(qǐng)人:杭州華三通信技術(shù)有限公司