专利名称:动态自适应Radius系统通用软网关的实现方法
技术领域:
本发明涉及一种动态自适应Radius系统应用软网关的方法.尤其是动态自适应软网关的构建.
背景技术:
RADIUS系统是一种分布的客户端/服务器系统,实现安全网络.RADIUS客户端一般运行在路由器上.RADIUS是一种完全开放的协议,分布源码格式,这样,任何安全系统和厂商都可以采用。
宽带系统作为电信未来的网络业务核心,这几年正在高速的发展,用户数迅猛增长,一般的省级系统都在百万级用户,Radius系统作为宽带的认证系统,其安全性,稳定性非常重要,一旦系统出现问题,将直接影响到百万用户的正常上网。
现有宽带认证计费系统的体系架构大部分将Radius主机接在四层交换设备或者防火墙设备后,由四层交换设备或者防火墙将Radius主机的地址进行对外映射,同时以对外的端口限制来保障系统的安全性。但在实践中,这样的体系架构会产生下列2个问题由于同Radius进行通讯的接入设备比较多(一般一个省有几百到几千个),而且地址经常发生变化。所以在四层交换设备或者防火墙上针对Radius主机的通讯端口是没有地址限制的。所有的用户都可以向Radius主机发送报文,如果有人恶意的攻击系统,发送大量无效的报文给Radius,会造成系统的瘫痪。
四层交换设备和防火墙无法过滤异常情况下的报文,当有设备发生异常或者重新启动后,会在很短的时间内发送大量的无效认证包到系统(有时1个设备1天就可能发送几百万甚至几千万个无效报文),这些无效包的数量一旦超过系统的峰值处理能力,就会影响正常的业务应用。
发明内容
本发明目的是提出一种动态自适应Radius系统应用软网关的方法,尤其是动态自适应软网关的构建。本发明提出的动态自适应Radius专业应用软网关(以下简称软网关)是针对上面可能出现的问题所设计。
本发明的目的是这样实现的动态自适应Radius系统通用软网关的实现方法,在四层交换设备或防火墙和Radius Server(服务器)间增加一层软网关,接入设备发送来的数据包先通过软网关的过滤后再提交到Radius Server进行处理,其处理步骤是1、接收到报文,2、合法地址校验,不合法的IP地址丢弃;3、异常判断,异常报文丢弃;4、报文过滤并根据报文域名、用户名等内容进行过滤,报文域名、用户名不合法的过滤后丢弃;5、报文分发;将未被过滤的数据报构造为新的系统数据包放入对应的Radius分发队列保证异常报文不会影响到Radius系统的正常运行。动态过滤软网关的实现彻底解决了各种原因引起的发送大量无效报文给Radius主机以致系统瘫痪的问题,同时也可以有效防止对系统的恶意攻击。
本发明的软网关主要实现的过程包括●地址校验判断来包ip是否合法,不合法丢弃;●异常判断判断来包ip是否有攻击企图(即发包异常),异常丢弃。
●域名过滤对域名实施过滤,可直接通过认证或认证失败●用户黑名单功能黑名单用户不进行正常认证,在报文解析阶段就认证失败●报文分发分析来包的ip和端口,并根据来包的ip和端口将报文分发到不同的Radius Server上进行处理,发送前先判断对应的消息队列的堆积情况,堆积则发送到下一个不繁忙的Radius Server队列。
本发明软网关和在四层交换设备或防火墙设备上作配置比,本发明方法的主要优势在于1.允许访问列表中的地址数量可以非常庞大;2.地址信息添加方便,通过IE在管理系统页面添加即可,不受地点的限制,不需远程登陆设备;3.可以限制每个地址发送到Radius Server的包数;4.可以防止对系统的恶意攻击;5.可根据Radius Server的繁忙程度自动调节每个Server处理的包数。
该方法应用于Radius系统之前,可以作为通用的系统采集模块,可通过配置灵活使用,配置参数配置在数据库中,通过同步程序同步到运行主机的本地系统文件中保存,启动时读入内存,采集模块接收到设备发送的协议报文后,调用软网关模块进行报文过滤,过滤后的数据传递给Radius Server进行认证、计费的处理。
图1是本发明系统的结构图和工作步骤示意2是本发明在系统中的框图具体实施方式
参照图1和图2,本发明处理流程是1.地址校验接收设备发送的Radius报文;
2.地址校验校验设备IP是否合法,首先在注册IP地址池中查找设备IP,不存在认为不合法,不合法设备报文直接丢弃,存在的设备IP再去异常设备地址池中查找,存在则认为是异常的设备,此设备报文直接丢弃;3.异常判断对应的设备发送的报文计数器加1;4.异常判断系统的异常判断模块定时扫描设备发送的报文数量,当规定时间内发送的报文数量超过系统的配置值认为该设备异常列入异常设备行列,将设备的报文进行过滤,并记录下异常时间和数值,发送给监控系统;异常判断根据现有的方式设定除了上述当规定时间内发送的报文数量超过系统的配置值,还可以设定其它判断标准。
5.异常判断系统在判断设备报文数量的同时对设备报文发送的端口进行校验,当认证请求报文发送到计费端口,或者计费请求报文发送到认证端口则认为设备异常,将设备的报文进行过滤,并记录下异常时间和数值,发送给监控系统;。
6.域名过滤校验Radius报文中的域名属性对应的字段的过滤规则,匹配上则按过滤规则过滤,匹配规则包括=、!=、>、<(支持‘?’、‘*’匹配符);7.用户过滤校验Radius报文中的用户名属性对应的字段的过滤规则,匹配上则按过滤规则过滤,匹配规则包括=、!=、>、<(支持‘?’、‘*’匹配符);域名过滤和用户过滤的规则按现有的规则。
8.报文分发判断Radius对应的分发队列的堆积情况,当分发队列中的待处理的报文数量达到配置的最大值,则认为此队列有堆积,软网关寻找下一个可分发队列,当无可以分发的队列时,软网关将报文写入异常文件,并记录异常报告;9.报文分发将未被过滤的数据报构造为新的系统数据包放入对应的Radius分发队列。报文分发时按各队列进行均匀分配或者按照均匀负载方式进行分发。
权利要求
1.动态自适应Radius系统通用软网关的实现方法,其特征是在四层交换设备或防火墙和Radius服务器间增加一层软网关,接入设备发送来的数据包先通过软网关的过滤后再提交到Radius Server进行处理,其处理步骤是(1)、接收到报文,(2)、合法地址校验,不合法的IP地址丢弃;(3)、异常判断,异常报文丢弃;(4)、报文过滤并根据报文域名、用户名等内容进行过滤,报文域名、用户名不合法的过滤后丢弃;(5)、报文分发;将未被过滤的数据报构造为新的系统数据包放入对应的Radius分发队列。
2.根据权利要求1所述的动态自适应Radius系统通用软网关的实现方法,其特征是处理流程是(1)地址校验接收设备发送的Radius报文;(2)地址校验校验设备IP是否合法,首先在注册IP地址池中查找设备IP,不存在认为不合法,不合法设备报文直接丢弃,存在的设备IP再去异常设备地址池中查找,存在则认为是异常的设备,此设备报文直接丢弃;(3)异常判断对应的设备发送的报文计数器加1;(4)异常判断系统的异常判断模块定时扫描设备发送的报文数量,当规定时间内发送的报文数量超过系统的配置值认为该设备异常列入异常设备行列,将设备的报文进行过滤,并记录下异常时间和数值,发送给监控系统;系统在判断设备报文数量的同时对设备报文发送的端口进行校验,当认证请求报文发送到计费端口,或者计费请求报文发送到认证端口则认为设备异常,将设备的报文进行过滤,并记录下异常时间和数值,发送给监控系统;(5)域名过滤校验Radius报文中的域名属性对应的字段的过滤规则,匹配上则按过滤规则过滤,匹配规则包括=、!=、>、<;支持‘?’、‘*’匹配符;(6)用户过滤校验Radius报文中的用户名属性对应的字段的过滤规则,匹配上则按过滤规则过滤,匹配规则包括=、!=、>、<;支持‘?’、‘*’匹配符;域名过滤和用户过滤的规则按现有的规则;(7)报文分发判断Radius对应的分发队列的堆积情况,当分发队列中的待处理的报文数量达到配置的最大值,则认为此队列有堆积,软网关寻找下一个可分发队列,当无可以分发的队列时,软网关将报文写入异常文件,并记录异常报告;报文分发还将未被过滤的数据报构造为新的系统数据包放入对应的Radius分发队列;报文分发时按各队列进行均匀分配或者按照均匀负载方式进行分发。
全文摘要
动态自适应Radius系统通用软网关的实现方法,在四层交换设备或防火墙和Radius服务器间增加一层软网关,接入设备发送来的数据包先通过软网关的过滤后再提交到Radius Server进行处理,(1)接收到报文,(2)合法地址校验,不合法的IP地址丢弃;(3)异常判断,异常报文丢弃;(4)报文过滤并根据报文域名、用户名等内容进行过滤,报文域名、用户名不合法的过滤后丢弃;(5)报文分发;将未被过滤的数据报构造为新的系统数据包放入对应的Radius分发队列。本发明方法允许访问列表中的地址数量可以非常庞大;地址信息添加方便;可限制每个地址发送到Radius Server的包数;可防止对系统的恶意攻击等。
文档编号H04L12/56GK101014026SQ20061016123
公开日2007年8月8日 申请日期2006年12月18日 优先权日2006年12月18日
发明者李伦文, 陶国盛, 陆志强, 任建国 申请人:南京联创科技股份有限公司