对报文进行校验的方法

专利名称：对报文进行校验的方法
技术领域：
本发明涉及数据通信技术领域，尤其涉及一种对报文进行校验的方法。
背景技术：
随着互联网技术的迅速发展，网络系统的组网结构也日趋复杂化，如图1所示，该图是现有网络系统的基本组网结构拓扑图；其中现有的网络系统基本由接入层1、汇聚层2和骨干层3等组成三层网络框架结构，其中骨干层3中的网络节点数目较少，通常包括一些业务服务器和骨干路由器等骨干层设备；汇聚层2的主要任务是将接入层1中的大量接入层设备11通过多条千兆以太网上连到骨干层3中的相应骨干层设备，使得骨干层3所需的千兆以太网下连端口减少，从而降低网络建设的成本，其中汇聚层2中的汇聚层设备21可以是高层交换机，也可以是完成各种协议转换功能的网关设备，汇聚层设备21在与骨干层3中的服务器31进行交互各种通信信息的同时，还要与接入层1中的接入层设备11进行通信信息的交互；而接入层1一般是指负责和各个用户终端(图中所示用户终端1......用户终端N)相连的、负责各个用户终端网络接入功能的网络功能层，其中的接入层设备11可以是二层交换机，也可以是三层交换机。如图1所示，当用户使用用户终端访问骨干层3中的服务器31时，其各种请求信息和服务器31反馈的各种响应信息都需要经过接入层1中的接入层设备11和汇聚层2中的汇聚层设备21等进行通信信息的转发或代理处理。
目前，一般都是通过在汇聚层2的汇聚层设备(如计费网关等)21中创建和保存一张本地信息表，以维护各个接入层设备11发来的报文中的认证字(Authenticator)，从而实现利用该本地信息表中维护的各个认证字(Authenticator)来达到对接入层1中的接入层设备11和骨干层3中的服务器31之间交互的认证报文进行校验的目的，其校验的简要过程如下汇聚层设备21接收到接入层设备11发来的一个认证请求报文后，提取出该认证请求报文中携带的认证字(Authenticator 0)；将提取的认证字Authenticator 0与用户当次访问服务器31时被分配的会话ID 1(会话ID是一种唯一标识当前访问服务器的客户的只读值)之间建立映射关系；由多个上述的映射关系便可组成汇聚层设备21中维护的本地信息表，该表的具体形式可以如下

汇聚层设备21中存储这张本地信息表，并将接入层设备11发来的认证请求报文转发到骨干层3中的服务器31；服务器31对接收到的认证请求报文进行信息一摘要算法(MD5，Message-Digest Algorithm 5)运算，得到认证字Authenticator 0’，并将认证字Authenticator 0’封装在认证应答报文中反馈给汇聚层设备21；当汇聚层设备21接收到服务器31反馈的认证应答报文后，便可根据认证应答报文中包含的会话ID 1信息来查询本地信息表，从而得到对应的认证字Authenticator 0；用查询到的认证字Authenticator 0来替换认证应答报文中携带的认证字Authenticator 0’，使用MD5对认证字替换处理后的认证应答报文进行运算，以得到认证字Authenticator 0”；
比较认证字Authenticator 0”和原被替换掉的认证字Authenticator 0’是否一致(其中比较过程是对Authenticator 0”和Authenticator 0’进行逐位比较，对应位的值必须完全相同)，如果一致，则认为该认证应答报文是合法报文，进而将该认证应答报文反馈给对应的接入层设备11；否则认为该认证应答报文是非法报文，对该认证应答报文进行丢弃处理，从而完成汇聚层设备21对服务器31反馈的认证应答报文进行校验的处理。
由上述过程可以看出，现有技术在完成由汇聚层设备对骨干层设备反馈的认证应答报文进行校验的过程中，需要在汇聚层设备中维护一张本地信息表，该表类似一个数据库，汇聚层设备需要随时根据用户通过接入层设备发来的认证请求报文中携带的认证字信息来在该本地信息表中添加、删除或插入更改的认证字信息，以维护该本地信息表随时可用。可见，这个维护过程复杂度较大，而且还会占用汇聚层设备的系统运行资源，从而导致了汇聚层设备的处理速度下降和可靠性降低。
同时在现有技术中，汇聚层设备对骨干层设备反馈的认证应答报文校验通过后，将不再对接入层设备发来的其他类型的报文(如计费请求报文等)进行校验处理，从而使得在对接入层设备和骨干层设备之间交互的报文进行合法性校验方面存在较大的欠缺，也就导致了接入层设备和骨干层设备之间的信息交互过程存在安全隐患问题。

发明内容
本发明要解决的技术问题在于提出一种实现简单、而且可以减少对设备运行资源的占用，以提高设备运行性能的对报文进行校验的方法。
为解决上述问题，本发明提出了一种对报文进行校验的方法，用于汇聚层设备对接入层设备和骨干层设备之间交互的报文进行校验处理，包括步骤汇聚层设备将接入层设备发来的请求报文的认证字域承载的第一认证字拷贝到所述请求报文的代理状态域后发送给骨干层设备；所述汇聚层设备提取骨干层设备反馈的应答报文的认证字域承载的第二认证字进行缓存；并将所述应答报文的代理状态域承载的第一认证字拷贝到该应答报文的认证字域；并对所述处理后的应答报文进行变换运算以得到第三认证字；判断所述第三认证字和缓存的第二认证字是否一致，如果一致，应答报文校验通过；否则不通过。
其中应答报文校验通过后还包括步骤删除所述应答报文的代理状态域；并用代理状态域承载的第一认证字替换所述应答报文的认证字域中填充的第三认证字；对所述处理后的应答报文进行变换运算以得到第四认证字；及将认证字域承载有所述第四认证字的应答报文反馈给接入层设备。
其中应答报文校验不通过时还包括对所述应答报文进行丢弃处理的步骤。
其中所述请求报文为认证请求报文；所述应答报文为认证应答报文。
在所述认证应答报文校验通过后还包括步骤汇聚层设备提取接入层设备发来的计费请求报文中认证字域承载的第五认证字进行缓存；并对所述计费请求报文中第五认证字所占字节位置进行清零处理；并对所述处理后的计费请求报文进行变换运算以得到第六认证字；判断所述第六认证字和缓存的第五认证字是否一致，如果一致，计费请求报文校验通过；否则不通过。
其中所述计费请求报文校验通过后还包括步骤将缓存的第五认证字填充在所述计费请求报文的代理状态域中；并对所述计费请求报文的认证字域进行清零处理；及对处理后的计费请求报文进行变换运算以得到第七认证字；将认证字域承载有所述第七认证字的计费请求报文发送给骨干层设备；并删除骨干层设备反馈的计费应答报文的代理状态域；并用代理状态域承载的第五认证字替换所述计费应答报文的认证字域中填充的第七认证字；对所述处理后的计费应答报文进行变换运算以得到第八认证字；及将认证字域承载有所述第八认证字的计费应答报文反馈给接入层设备。
其中计费请求报文校验不通过时还包括对所述计费请求报文进行丢弃处理的步骤。
上述变换运算采用信息-摘要算法。
所述接入层设备为网络接入服务器；所述汇聚层设备为计费网关；所述骨干层设备为远程认证拨号用户服务器。
本发明对报文进行校验的方法通过将请求报文认证字域承载的认证字信息拷贝到请求报文的代理状态域中，而不是存储在汇聚层设备的本地信息表中，从而可以实现基于请求报文代理状态域承载的认证字信息对骨干层设备反馈的应答报文进行校验的目的，同时还避免了汇聚层设备为维护本地信息表而需占用设备的运行资源，从而使得报文的校验过程简单可行，也减少了为维护本地信息表而占用的设备运行资源，提高了设备的运行性能。
另外，本发明对报文进行校验的方法在对认证请求报文和认证应答报文校验通过后，还要进一步对计费请求报文等其他类型的报文进行校验处理，从而增强了汇聚层设备对接入层设备和骨干层设备之间交互的报文进行校验的力度，提高了接入层设备和骨干层设备之间的信息交互安全。


图1是现有网络系统的基本组网结构拓扑图；图2是本发明对报文进行校验的方法的主要实现原理流程图；图3是Radius报文中Proxy-State域的标准格式示意图；图4是本发明对报文进行校验的方法中接入层设备发送的认证请求报文格式示意图和经汇聚层设备处理后要转发给骨干层设备的认证请求报文格式示意图；图5是本发明对报文进行校验的方法中骨干层设备反馈的认证应答报文的格式示意图及经过汇聚层设备处理后要反馈给接入层设备的认证应答报文格式示意图；图6是本发明对报文进行校验的方法中再对认证应答报文校验通过后，对计费请求报文进行校验和处理及对计费应答报文进行处理的主要实现过程流程图；图7是本发明对报文进行校验的方法中接入层设备发送的计费请求报文格式示意图和经汇聚层设备处理后要转发给骨干层设备的计费请求报文格式示意图；图8是本发明对报文进行校验的方法中骨干层设备反馈的计费应答报文格式示意图和经汇聚层设备处理后要反馈给接入层设备的计费应答报文格式示意图；图9是校园网应用本发明对报文进行校验的方法对校园用户发送的认证请求报文和认证应答报文进行校验处理的组网拓扑结构图。
具体实施例方式
本发明的设计思想是通过汇聚层设备将接入层设备发来的请求报文的认证字域承载的认证字拷贝到该请求报文的代理状态域中后再转发给骨干层设备，由于骨干层设备不会对汇聚层设备发来的请求报文中的代理状态域进行任何更改，而是直接将代理状态域封装在应答报文中反馈给汇聚层设备，从而汇聚层设备就可以根据应答报文的代理状态域承载的认证字信息来对应答报文进行校验处理，从而可以避免汇聚层设备维护本地信息表，提高汇聚层设备的运行性能。
下面将结合各个附图，针对本发明对报文进行校验的方法的优先实施方式进行详细的阐述。首先请参阅图2，该图是本发明对报文进行校验的方法的主要实现原理流程图；其主要实现过程如下步骤S10，汇聚层设备将接入层设备发来的请求报文的认证字域承载的第一认证字(Authenticator 1)拷贝到该请求报文的代理状态域(Proxy-State)后，再转发送给骨干层设备；步骤S20，汇聚层设备提取骨干层设备反馈的应答报文的认证字域承载的第二认证字(Authenticator 2)，并将提取的Authenticator 2进行缓存；步骤S30，汇聚层设备将该应答报文的Proxy-State域承载的第一认证字(Authenticator 1)拷贝到该应答报文的认证字域；步骤S40，对步骤S30处理后的应答报文进行变换运算以得到第三认证字(Authenticator 3)，其中这里的变换运算可以采用但不限于信息-摘要算法(MD5，Message-Digest Algorithm 5)；步骤S50，汇聚层设备判断步骤S40计算得到的第三认证字(Authenticator3)和步骤S20缓存的第二认证字(Authenticator 2)是否一致，如果是，执行步骤S60；否则执行步骤S100；步骤S60，汇聚层设备删除该应答报文的Proxy-State域；步骤S70，并利用Proxy-State域承载的第一认证字(Authenticator 1)替换该应答报文的认证字域中填充的第三认证字(Authenticator 3)；步骤S80，汇聚层设备对步骤S70处理后的应答报文进行变换运算以得到第四认证字(Authenticator 4)，其中这里的变换运算也可以采用但不限于MD5算法；步骤S90，汇聚层设备将认证字域承载有步骤S80中所求得的第四认证字(Authenticator 4)的应答报文反馈给接入层设备；步骤S100，汇聚层设备对该应答报文进行丢弃处理。
其中上面所述的请求报文可以为认证请求报文(Access-Request)；所述的应答报文可以为认证应答报文(Access-Accept/Reject)。
请参阅图3，该图是远程认证拔号用户服务器(Radius，RemoteAuthentication Dial In User Service，)报文中Proxy-State域的标准格式示意图；其中Proxy-State域作为远程认证拨号用户服务器(Radius，RemoteAuthentication Dial In User Service)报文中的标准属性(具体可参考RFC2865和RFC2866)，遵循标准的TLS/TLV格式。图中Type表示为类型域；Length表示为长度域，用于标识整个Proxy-State域的长度；Authenticator为本发明要添加认证字的字段；Authenticator域后还可以包含其它内容，它的存在并不影响本发明的设计思路和实施过程。
请参阅图4，该图是本发明对报文进行校验的方法中接入层设备发送的认证请求报文格式示意图和经汇聚层设备处理后要转发给骨干层设备的认证请求报文格式示意图；其中图4中(a)所示为汇聚层设备接收的接入层设备发来的认证请求报文格式示意图，在接入层设备发送给汇聚层设备的认证请求报文中，认证字域承载的认证字Authenticator 1是一个16字节的随机数，汇聚层设备收到这个认证请求报文后，拷贝该16字节随机数所构成的Authenticator 1到该认证请求报文的Proxy-State域，构成Proxy-State域的值。其中Proxy-State域的Type值固定取为33(RFC2865中规定)，Length’值为Authenticator 1长度+Type域占用的字节数+Length’域占用的字节数。该Proxy-State域携带在认证请求报文的后面。最后更改整个认证请求报文的长度为Length+Length’，将经过上述处理后的认证请求报文发送到骨干层设备，具体经由上述处理后的认证请求报文的格式具体参见图4中(b)所示。
其中在认证请求报文的Proxy-State域中还可以携带其它内容，这些内容的携带并不会影响本发明的具体实施。
请参阅图5，该图是本发明对报文进行校验的方法中骨干层设备反馈的认证应答报文的格式示意图及经过汇聚层设备处理后要反馈给接入层设备的认证应答报文格式示意图；其中骨干层设备反馈给汇聚层设备的认证应答报文的格式示意图如图5中(a)所示，由于骨干层设备对汇聚层设备发送的认证应答报文的Proxy-State域不会进行任何更改处理，而是直接将该Proxy-State域封装在认证应答报文中反馈给汇聚层设备，所以汇聚层设备接收的由骨干层设备反馈的认证应答报文中Proxy-State域承载的认证字还为上述的Authenticator 1。
另外骨干层设备反馈的认证应答报文的认证字域承载的Authenticator 2为骨干层设备对认证应答报文进行某些处理(如添加Tunnel_Private_Group_ID等属性)后，用MD5算法计算得到的认证字。汇聚层设备接收到图5中(a)所示的认证应答报文后，执行如下处理1)提取认证应答报文中认证字域承载的认证字Authenticator 2，并将其缓存入程序中的临时变量中；2)拷贝认证应答报文的Proxy-State域中承载的Authenticator 1到该报文的认证字域，即用Authenticator 1来取代Authenticator 2；3)对上述2)处理后的认证应答报文进行MD5计算，得到认证字Authenticator 3，并将其填充在该认证应答报文的认证字域中，得到如图5中(b)所示的报文格式示意图；4)比较1)中缓存的Authenticator 2和3)中计算得到的Authenticator 3是否完全一致，如果完全一致，表明该认证应答报文在传输过程中，没有被篡改，继续执行下面的处理；否则就表明该认证应答报文在传输过程中可能是被篡改过，对认证应答报文进行丢弃处理；5)删除认证应答报文的Proxy-State域(即删除认证应答报文中Type、Length’和Authenticator 1所组成域)，并更改整个认证应答报文的长度为Length-Length’；6)用删除的Proxy-State域中承载的Authenticator 1替代(b)所示的认证应答报文的认证字域所承载的Authenticator 3，然后对处理后的认证应答报文进行MD5算法计算，得到Authenticator 4，并将计算得到的认证字Authenticator 4填充在认证应答报文的认证字域中；上述过程处理后的认证应答报文的具体格式参见图5中(c)所示；7)将上述6)处理后的认证应答报文反馈给接入层设备。
同时，本发明对报文进行校验的方法还提出汇聚层设备再对认证请求报文和认证应答报文进行校验通过后，还要进一步对计费请求报文(AccountingRequest)进行校验的处理方式。请参阅图6，该图是本发明对报文进行校验的方法中再对认证应答报文校验通过后，对计费请求报文进行校验和处理及对计费应答报文进行处理的主要实现过程流程图；其主要实现过程如下步骤S110，汇聚层设备提取接入层设备发来的计费请求报文中认证字域承载的第五认证字(Authenticator 5)，并将提取的Authenticator 5进行缓存；步骤S120，对该计费请求报文中Authenticator 5所占字节位置进行全部清零处理；步骤S130，汇聚层设备对步骤S120处理后的计费请求报文进行变换运算以得到第六认证字Authenticator 6；其中这里的变换运算可以采用但不限于信息-摘要算法(MD5，Message-Digest Algorithm 5)；步骤S140，汇聚层设备判断步骤S130中所求得的Authenticator 6和步骤S110中缓存的Authenticator 5是否一致，如果是，执行步骤S150；否则执行步骤S230；需要说明的是，由于在接入层设备生成计费请求报文时，该生成的计费请求报文的认证字域是清零状态，即没有填充任何认证字信息，这时为保证计费请求报文在传输过程中的安全性，接入层设备需要采用MD-5算法对该生成的计费请求报文进行变换运算，从而会得到一个认证字，该认证字即为上述的第五认证字Authenticator 5；然后接入层设备将计算生成的第五认证字Authenticator 5封装在生成的计费请求报文的认证字域后发送给汇聚层设备；这样汇聚层设备接收到计费请求报文后提取该报中认证字域承载的第五认证字Authenticator 5进行缓存，再对该报文的认证字域进行清零处理，这样处理后的计费请求报文同上述接入层设备初始生成未封装认证字信息的计费请求报文是一致的，然后对该处理后的报文同样进行MD-5运算，会得到一个认证字，即为上述的第六认证字Authenticator 6，如果计费请求报文在由接入层设备传输到汇聚层设备的过程中，没有遭到攻击，则汇聚层设备计算得到的第六认证字Authenticator 6显然与接入层设备计算得到的第五认证字Authenticator 5相同，因此可以通过以上步骤的比较，借由确定Authenticator 5和Authenticator 6是否一致，来证实该计费请求报文是否合法，在传输过程中是否遭到攻击。
步骤S150，汇聚层设备将步骤S110中缓存的Authenticator 5填充在计费请求报文的Proxy-State域中；步骤S160，再对计费请求报文的认证字域进行全部清零处理；步骤S170，汇聚层设备对上述处理后的计费请求报文进行变换运算以得到第七认证字Authenticator 7，其中这里的变换运算也可以采用但不限于MD5算法；步骤S180，汇聚层设备将认证字域承载有步骤S170中所求得的Authenticator 7的计费请求报文发送给骨干层设备；由于骨干层设备对汇聚层设备发来的计费请求报文中的Proxy-State域不进行任何处理，所以会将Proxy-State域封装在计费应答报文(AccountingResponse)中反馈给汇聚层设备，但是由于汇聚层设备预先并没有存储计费请求报文在骨干层设备中处理之前的认证字域承载的认证字Authenticator 7，所以汇聚层设备无法对计费应答报文进行校验处理；
步骤S190，汇聚层设备删除骨干层设备反馈的计费应答报文的Proxy-State域；步骤S200，用删除的Proxy-State域承载的Authenticator 5替换该计费应答报文的认证字域中填充的Authenticator 7；步骤S210，对上述处理后的计费应答报文进行变换运算以得到第八认证字Authenticator 8；其中这里的变换运算也可以采用但不限于MD5算法；步骤S220，最后汇聚层设备将认证字域承载有步骤S210中所求得的Authenticator 8的计费应答报文反馈给接入层设备；步骤S230，汇聚层设备对该计费请求报文进行丢弃处理。
请参阅图7，该图是本发明对报文进行校验的方法中接入层设备发送的计费请求报文格式示意图和经汇聚层设备处理后要转发给骨干层设备的计费请求报文格式示意图；其中汇聚层设备从接入层设备接收到的计费请求报文如图7中(a)所示；其中该报文中Authenticator 5为接入层设备用MD5算法对计费请求报文进行计算得到的认证字，其为16字节的随机数，计算过程为首先将计费请求报文的认证字域进行全部清零处理(即在Authenticator域填充16个字节的0)，然后用MD5算法对处理后的计费请求报文进行计算，以得到Authenticator 5。汇聚层设备接收到该计费请求报文后进行如下处理1)提取接入层设备发来的计费请求报文的认证字域承载的认证字Authenticator 5，并将提取的Authenticator 5缓存入程序中的临时变量中；2)将计费请求报文中Authenticator 5所占用的16字节位置进行全部清零处理，然后用MD5算法对处理后的计费请求报文进行计算，得到认证字Authenticator 6；3)比较1)中缓存的Authenticator 5和2)中计算得到的Authenticator 6是否完全一致，如果二者完全一致，则继续执行下面的处理，否则直接丢弃该计费请求报文；
4)将1)中缓存的Authenticator 5填充在该计费请求报文的Proxy-State域中，该Proxy-State域携带在该计费请求报文的后面；5)更改整个计费请求报文的长度值为Length+Length’；6)将经过5)处理后的计费请求报文的认证字域再次进行全部清零处理，并用MD5算法对该处处理后的计费请求报文进行计算，得到认证字Authenticator 7；7)将经过上述处理后的计费请求报文发送到骨干层设备(其中经汇聚层设备处理后发送到骨干层设备的计费请求报文格式如图7中(b)所示)。
请参阅图8，该图是本发明对报文进行校验的方法中骨干层设备反馈的计费应答报文格式示意图和经汇聚层设备处理后要反馈给接入层设备的计费应答报文格式示意图；其中汇聚层设备接收到的由骨干层设备反馈的计费应答报文格式如图8中(a)所示，其中汇聚层设备对计费应答报文的处理与对上述认证应答报文的处理过程不同之处在于汇聚层设备并不校验计费应答报文的合法性，因为汇聚层设备不知道骨干层设备用MD5算法计算计费请求报文之前计费请求报文的认证字域所承载的认证字Authenticator 7，因此无法做出正确的校验处理。
汇聚层设备接收到计费应答报文后，会做如下处理1)从接收的计费应答报文的Proxy-State域中提取出Authenticator 5，并用提取的Authenticator 5替换该计费应答报文的认证字域承载的Authenticator7信息；2)删除该计费应答报文的Proxy-State域，并更改整个计费应答报文的长度值为Length-Length’；3)用MD5算法对上述处理后的计费应答报文进行计算，得到认证字Authenticator 8，并将计算得到的Authenticator 8填充到计费应答报文的认证字域；4)将上述处理后的认证字域承载有认证字Authenticator 8的计费应答报文反馈给接入层设备(其中经汇聚层设备处理后反馈给接入层设备的计费应答报文的格式如图8中(b)所示)。
其中在本发明对报文进行校验的方法中上述所提及的接入层设备可以为网络接入服务器(NAS，Network Access Server)；汇聚层设备可以为计费网关；骨干层设备可以为远程认证拨号用户服务器(RADIUS，Remote AuthenticationDial In User Service)。
下面再结合一个具体的应用实例将本发明对报文进行校验的方法的具体实施情况作进一步的详细说明。请参阅图9，该图是校园网应用本发明对报文进行校验的方法对校园用户发送的认证请求报文和认证应答报文进行校验处理的组网拓扑结构图；由于目前的校园网络已经不再满足于原来的按时间计费或者简单的按流量计费，而是要对业务流量(业务流量就是用户访问的网络流量，包括入和出两个方向)进行计费。在校园网中设计流量计费系统时，这里综合考虑了实现流量计费的组网特点，结合组网的各个功能设备来实现智能计费。
由于目前交换机都支持端口流量镜像(端口流量镜像是指交换机上某个端口A上的出或入的流量能在另外一个端口B上得到，端口B称为端口A的镜像端口)，交换机在线速转发(线速转发是指以太网交换机或路由器上的接口吞吐量达到100％)的同时，可以线速地将输入或输出的流量镜像出来，所以利用该镜像特征可以很好地获得输入输出的网络流量，并利用高性能的网络处理设备，对输入输出的网络流量进行处理和采集，然后利用分布式处理模式实施流量计费。
在图9所示的组网结构图中，校园用户都需要通过IEEE 802.1X认证方式到RADIUS服务器300进行认证，从组网拓扑图可以看出，计费网关200在整个组网结构中扮演RADIUS代理的角色；所以在计费网关200的软件设计中，需要考虑如下两种功能结合1)和核心交换机以千兆端口相连，能够快速对核心交换机镜像过来的报文按照用户流量进行统计，包括查找用户表，统计该用户的输入输出流量；2)和RADIUS服务器300通过内部网络相连，建立和RADIUS服务器200的连接(一般通过UDP协议连接)，通过RADIUS协议进行报文交互，将用户的流量信息传送给RADIUS服务器300。
计费网关200在系统运行过程中，需要不断地接收、处理和转发核心交换机发送过来的认证请求报文和计费请求报文等；同时，还要不断接收、处理和转发RADIUS服务器300发送过来的认证应答报文和计费应答报文等。为实现对核心交换机镜像过来的流量进行采集、分析和监控，以及将核心交换机和RADIUS服务器300发送过来的各类请求报文和应答报文进行有效和可靠的分发，可以在RADIUS协议报文的Proxy-State域中添加必需的认证字Authenticator信息等，这样计费网关200通过识别RADIUS协议报文的Proxy-State域中添加的认证字Authenticator信息来对各种请求报文和应答报文进行校验处理，从而避免了计费网关200中为维护本地信息表所带来的复杂度，相应减小了计费网关200实现的复杂度，并保证了各类报文在传输过程中的有效性和可靠性，提高了计费网关200的运行性能。
以上所述仅是本发明的优选实施方式，应当指出，对于本技术领域的普通技术人员来说，在不脱离本发明原理的前提下，还可以做出若干改进和润饰，这些改进和润饰也应视为本发明的保护范围。
权利要求
1.一种对报文进行校验的方法，用于汇聚层设备对接入层设备和骨干层设备之间交互的报文进行校验处理，其特征在于，包括步骤汇聚层设备将接入层设备发来的请求报文的认证字域承载的第一认证字拷贝到所述请求报文的代理状态域后发送给骨干层设备；所述汇聚层设备提取骨干层设备反馈的应答报文的认证字域承载的第二认证字进行缓存；并将所述应答报文的代理状态域承载的第一认证字拷贝到该应答报文的认证字域；并对所述处理后的应答报文进行变换运算以得到第三认证字；判断所述第三认证字和缓存的第二认证字是否一致，如果一致，应答报文校验通过；否则不通过。
2.如权利要求1所述的对报文进行校验的方法，其特征在于，应答报文校验通过后还包括步骤删除所述应答报文的代理状态域；并用代理状态域承载的第一认证字替换所述应答报文的认证字域中填充的第三认证字；对所述处理后的应答报文进行变换运算以得到第四认证字；及将认证字域承载有所述第四认证字的应答报文反馈给接入层设备。
3.如权利要求1所述的对报文进行校验的方法，其特征在于，应答报文校验不通过时还包括对所述应答报文进行丢弃处理的步骤。
4.如权利要求1、2或3所述的对报文进行校验的方法，其特征在于，所述请求报文为认证请求报文；所述应答报文为认证应答报文。
5.如权利要求4所述的对报文进行校验的方法，其特征在于，在所述认证应答报文校验通过后还包括步骤汇聚层设备提取接入层设备发来的计费请求报文中认证字域承载的第五认证字进行缓存；并对所述计费请求报文中第五认证字所占字节位置进行清零处理；并对所述处理后的计费请求报文进行变换运算以得到第六认证字；判断所述第六认证字和缓存的第五认证字是否一致，如果一致，计费请求报文校验通过；否则不通过。
6.如权利要求5所述的对报文进行校验的方法，其特征在于，所述计费请求报文校验通过后还包括步骤将缓存的第五认证字填充在所述计费请求报文的代理状态域中；并对所述计费请求报文的认证字域进行清零处理；及对处理后的计费请求报文进行变换运算以得到第七认证字；将认证字域承载有所述第七认证字的计费请求报文发送给骨干层设备；并删除骨干层设备反馈的计费应答报文的代理状态域；并用代理状态域承载的第五认证字替换所述计费应答报文的认证字域中填充的第七认证字；对所述处理后的计费应答报文进行变换运算以得到第八认证字；及将认证字域承载有所述第八认证字的计费应答报文反馈给接入层设备。
7.如权利要求5所述的对报文进行校验的方法，其特征在于，计费请求报文校验不通过时还包括对所述计费请求报文进行丢弃处理的步骤。
8.如权利要求1或2所述的对报文进行校验的方法，其特征在于，所述变换运算采用信息-摘要算法。
9.如权利要求5或6所述的对报文进行校验的方法，其特征在于，所述变换运算采用信息-摘要算法。
10.如权利要求1所述的对报文进行校验的方法，其特征在于，所述接入层设备为网络接入服务器；所述汇聚层设备为计费网关；所述骨干层设备为远程认证拨号用户服务器。
全文摘要
本发明公开了一种对报文进行校验的方法，用于汇聚层设备对接入层设备和骨干层设备之间交互的报文进行校验处理，包括汇聚层设备将接入层设备发来的请求报文的认证字域承载的第一认证字拷贝到所述请求报文的代理状态域后发送给骨干层设备；所述汇聚层设备提取骨干层设备反馈的应答报文的认证字域承载的第二认证字进行缓存；并将所述应答报文的代理状态域承载的第一认证字拷贝到该应答报文的认证字域；并对所述处理后的应答报文进行变换运算以得到第三认证字；判断所述第三认证字和缓存的第二认证字是否一致，如果一致，应答报文校验通过；否则不通过。本发明可以减少对设备运行资源的占用，以提高设备的运行性能。
文档编号H04L1/24GK1725679SQ200510002760
公开日2006年1月25日 申请日期2005年1月26日 优先权日2005年1月26日
发明者欧珊瑚, 王松波 申请人:杭州华为三康技术有限公司