一种报文的处理方法和设备技术

本发明专利技术公开了一种报文的处理方法和设备，该方法包括：认证服务器接收来自客户端的认证请求报文，如果认证失败次数记录表中有标识信息对应的表项，所述认证服务器在所述表项中查询所述标识信息对应的认证失败次数；如果所述认证失败次数超过预设阈值，所述认证服务器丢弃所述认证请求报文。本发明专利技术中，可对攻击者的认证请求报文采取保护措施，使得RADIUS服务器具备一定的防攻击能力，增强了RADIUS服务器的稳定性。

【技术实现步骤摘要】

本专利技术涉及通信
，特别是涉及一种报文的处理方法和设备。
技术介绍
RADIUS (Remote Authentication Dial In User Service，接入用户远程身份鉴明业务)是一种在网络接入设备(如交换机、路由器、防火墙等，工作在网络接入层，将客户端传来的请求报文转发给RADIUS服务器，根据RADIUS服务器的结果赋予用户相应的网络访问权限)和RADIUS服务器(用来验证用户身份信息，根据响应策略予以响应)之间承载认证、授权、计费和配置信息的协议，并具有以下特点采用客户端/服务器结构、采用共享密钥保证网络传输安全性、良好的可扩展性、认证机制灵活。由于RADIUS协议中规定只要客户端的认证或计费报文符合RADIUS协议的格式和其他基本要求，则RADIUS服务器需要进行响应，从而导致存在安全隐患；即攻击者可以利用多个客户端快速连续的发送认证请求报文，使得RADIUS服务器需要处理大量的认证请求报文，无法及时处理正常的非攻击者发送的认证请求报文，从而形成攻击。现有技术中并没有对攻击者发送的认证请求报文采取保护措施，处理方式和正常的认证请求报文一样，从而造成RADIUS服务器处理性能的下降。
技术实现思路
本专利技术提供一种报文的处理方法和设备，以对攻击者的认证请求报文采取保护措施，提高RADIUS服务器的稳定性。为了达到上述目的，本专利技术提供一种报文的处理方法，该方法包括以下步骤认证服务器接收来自客户端的认证请求报文，所述认证请求报文中携带所述客户端的标识信息；如果认证失败次数记录表中有所述标识信息对应的表项，所述认证服务器在所述表项中查询所述标识信息对应的认证失败次数；如果所述认证失败次数超过预设阈值，所述认证服务器丢弃所述认证请求报文；如果所述认证失败次数没有超过预设阈值，所述认证服务器利用所述认证请求报文对所述客户端进行认证；如果认证失败，所述认证服务器将所述标识信息对应的表项中记录的认证失败次数加预设数值。所述认证服务器接收来自客户端的认证请求报文，之后还包括如果认证失败次数记录表中没有所述标识信息对应的表项，所述认证服务器利用所述认证请求报文对所述客户端进行认证；如果认证失败，所述认证服务器在所述认证失败次数记录表中添加所述标识信息对应的表项，并将所述表项中记录的认证失败次数加预设数值。所述认证服务器在所述认证失败次数记录表中添加所述标识信息对应的表项，之后还包括所述认证服务器将所述表项中记录的认证失败时间戳设置为添加所述表项的时间；如果当前时间与所述认证失败时间戳之间的时间间隔超过预设老化时间，所述认证服务器在所述认证失败次数记录表中删除所述表项。所述认证服务器利用所述认证请求报文对所述客户端进行认证，之后还包括如果认证成功，所述认证服务器删除所述标识信息对应的表项。所述标识信息包括IP地址和/或MAC地址。本专利技术提供一种认证服务器，包括接收模块，用于接收来自客户端的认证请求报文，所述认证请求报文中携带所述客户端的标识信息；查询模块，用于如果认证失败次数记录表中有所述标识信息对应的表项，在所述表项中查询所述标识信息对应的认证失败次数；丢弃模块，用于如果所述认证失败次数超过预设阈值，丢弃所述认证请求报文；认证模块，用于如果所述认证失败次数没有超过预设阈值，利用所述认证请求报文对所述客户端进行认证；维护模块，用于如果认证失败，将所述标识信息对应的表项中记录的认证失败次数加预设数值。所述认证模块，还用于如果认证失败次数记录表中没有所述标识信息对应的表项，利用所述认证请求报文对所述客户端进行认证；所述维护模块，还用于如果认证失败，在所述认证失败次数记录表中添加所述标识信息对应的表项，并将所述表项中记录的认证失败次数加预设数值。所述维护模块，还用于将所述表项中记录的认证失败时间戳设置为添加所述表项的时间；如果当前时间与所述认证失败时间戳之间的时间间隔超过预设老化时间，在所述认证失败次数记录表中删除所述表项。所述维护模块，还用于如果认证成功，删除所述标识信息对应的表项。所述标识信息包括IP地址和/或MAC地址。与现有技术相比，本专利技术至少具有以下优点通过确定客户端的标识信息所对应的认证失败次数是否超过预设阈值，以确定认证请求报文是否为攻击者发送的报文，如果是攻击者发送的报文则直接丢弃，不必进行后续的业务处理，以对攻击者的认证请求报文采取保护措施，使得RADIUS服务器具备一定的防攻击能力，增强了 RADIUS服务器的稳定性和健壮性。附图说明图1是本专利技术应用场景示意图；图2是本专利技术中对应图1所示应用场景的一种报文的处理方法流程图；图3是本专利技术提出的一种报文的处理设备结构图。具体实施例方式本专利技术提供一种报文的处理方法，该方法应用于包括认证服务器(如RADIUS服务器)、网络接入设备和客户端的系统中，在客户端需要进行认证时，客户端通过网络接入设备向认证服务器发送认证请求报文，认证请求报文中可携带用户名、客户端IP地址、客户端MAC地址等信息。本专利技术中，在认证服务器上需要维护认证失败次数记录表(如HASH表)，初始时认证失败次数记录表为空，且认证失败次数记录表的索引(即HASH表的键)为标识信息(即 HASH表中的指纹字符串)，该标识信息可以通过客户端IP地址(framed-ip-address)实现，或者通过客户端MAC地址(calling-station-id)实现，或者通过客户端IP地址和客户端MAC地址实现。在认证失败次数记录表中，每条表项以标识信息为索引，并对应记录有对应标识信息的认证请求报文的认证失败次数、以及对应标识信息的认证请求报文首次认证失败时间戳；如表1、表2、表3所示的通过三种实现方式实现的认证失败次数记录表。表本文档来自技高网...

【技术保护点】
１．一种报文的处理方法，其特征在于，该方法包括以下步骤：认证服务器接收来自客户端的认证请求报文，所述认证请求报文中携带所述客户端的标识信息；如果认证失败次数记录表中有所述标识信息对应的表项，所述认证服务器在所述表项中查询所述标识信息对应的认证失败次数；如果所述认证失败次数超过预设阈值，所述认证服务器丢弃所述认证请求报文；如果所述认证失败次数没有超过预设阈值，所述认证服务器利用所述认证请求报文对所述客户端进行认证；如果认证失败，所述认证服务器将所述标识信息对应的表项中记录的认证失败次数加预设数值。

【技术特征摘要】
1.一种报文的处理方法，其特征在于，该方法包括以下步骤认证服务器接收来自客户端的认证请求报文，所述认证请求报文中携带所述客户端的标识信息；如果认证失败次数记录表中有所述标识信息对应的表项，所述认证服务器在所述表项中查询所述标识信息对应的认证失败次数；如果所述认证失败次数超过预设阈值，所述认证服务器丢弃所述认证请求报文； 如果所述认证失败次数没有超过预设阈值，所述认证服务器利用所述认证请求报文对所述客户端进行认证；如果认证失败，所述认证服务器将所述标识信息对应的表项中记录的认证失败次数加预设数值。2.如权利要求1所述的方法，其特征在于，所述认证服务器接收来自客户端的认证请求报文，之后还包括如果认证失败次数记录表中没有所述标识信息对应的表项，所述认证服务器利用所述认证请求报文对所述客户端进行认证；如果认证失败，所述认证服务器在所述认证失败次数记录表中添加所述标识信息对应的表项，并将所述表项中记录的认证失败次数加预设数值。3.如权利要求2所述的方法，其特征在于，所述认证服务器在所述认证失败次数记录表中添加所述标识信息对应的表项，之后还包括所述认证服务器将所述表项中记录的认证失败时间戳设置为添加所述表项的时间； 如果当前时间与所述认证失败时间戳之间的时间间隔超过预设老化时间，所述认证服务器在所述认证失败次数记录表中删除所述表项。4.如权利要求1所述的方法，其特征在于，所述认证服务器利用所述认证请求报文对所述客户端进行认证，之后还包括如果认证成功，所述认证服务器删除所述标识信息对应的表项。5....

【专利技术属性】
技术研发人员：钟桂荣，
申请(专利权)人：杭州华三通信技术有限公司，
类型：发明
国别省市：86