CN101014026B - 动态自适应Radius系统通用软网关的实现方法 - Google Patents

动态自适应Radius系统通用软网关的实现方法 Download PDF

Info

Publication number
CN101014026B
CN101014026B CN200610161236A CN200610161236A CN101014026B CN 101014026 B CN101014026 B CN 101014026B CN 200610161236 A CN200610161236 A CN 200610161236A CN 200610161236 A CN200610161236 A CN 200610161236A CN 101014026 B CN101014026 B CN 101014026B
Authority
CN
China
Prior art keywords
message
equipment
radius
address
sends
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
CN200610161236A
Other languages
English (en)
Other versions
CN101014026A (zh
Inventor
李伦文
陶国盛
陆志强
任建国
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
LINKAGE-ASIAINFO TECHNOLOGIES (NANJING), INC.
Original Assignee
LINKAGE SYSTEM INTEGRATION CO Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by LINKAGE SYSTEM INTEGRATION CO Ltd filed Critical LINKAGE SYSTEM INTEGRATION CO Ltd
Priority to CN200610161236A priority Critical patent/CN101014026B/zh
Publication of CN101014026A publication Critical patent/CN101014026A/zh
Application granted granted Critical
Publication of CN101014026B publication Critical patent/CN101014026B/zh
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

动态自适应Radius系统通用软网关的实现方法,在四层交换设备或防火墙和Radius服务器间增加一层软网关,接入设备发送来的数据包先通过软网关的过滤后再提交到Radius Server进行处理,(1)接收到报文,(2)合法地址校验,不合法的IP地址丢弃;(3)异常判断,异常报文丢弃;(4)报文过滤并根据报文域名、用户名等内容进行过滤,报文域名、用户名不合法的过滤后丢弃;(5)报文分发;将未被过滤的数据报构造为新的系统数据包放入对应的Radius分发队列。本发明方法允许访问列表中的地址数量可以非常庞大;地址信息添加方便;可限制每个地址发送到Radius Server的包数;可防止对系统的恶意攻击等。

Description

动态自适应Radius系统通用软网关的实现方法
技术领域
本发明涉及一种动态自适应Radius系统应用软网关的方法.尤其是动态自适应软网关的构建.
背景技术
RADIUS系统是一种分布的客户端/服务器系统,实现安全网络.RADIUS客户端一般运行在路由器上.RADIUS是一种完全开放的协议,分布源码格式,这样,任何安全系统和厂商都可以采用。
宽带系统作为电信未来的网络业务核心,这几年正在高速的发展,用户数迅猛增长,一般的省级系统都在百万级用户,Radius系统作为宽带的认证系统,其安全性,稳定性非常重要,一旦系统出现问题,将直接影响到百万用户的正常上网。
现有宽带认证计费系统的体系架构大部分将Radius主机接在四层交换设备或者防火墙设备后,由四层交换设备或者防火墙将Radius主机的地址进行对外映射,同时以对外的端口限制来保障系统的安全性。但在实践中,这样的体系架构会产生下列2个问题:
由于同Radius进行通讯的接入设备比较多(一般一个省有几百到几千个),而且地址经常发生变化。所以在四层交换设备或者防火墙上针对Radius主机的通讯端口是没有地址限制的。所有的用户都可以向Radius主机发送报文,如果有人恶意的攻击系统,发送大量无效的报文给Radius,会造成系统的瘫痪。
四层交换设备和防火墙无法过滤异常情况下的报文,当有设备发生异常或者重新启动后,会在很短的时间内发送大量的无效认证包到系统(有时1个设备1天就可能发送几百万甚至几千万个无效报文),这些无效包的数量一旦超过系统的峰值处理能力,就会影响正常的业务应用。
发明内容
本发明目的是提出一种动态自适应Radius系统应用软网关的方法,尤其是动态自适应软网关的构建。本发明提出的动态自适应Radius专业应用软网关(以下简称软网关)是针对上面可能出现的问题所设计。
本发明的目的是这样实现的:动态自适应Radius系统通用软网关的实现方法,在四层交换设备或防火墙和Radius服务器间增加一层软网关,接入设备发送来的数据包先通过软网关的过滤后再提交到Radius服务器进行处理,其处理步骤是:接收到报文,合法地址校验,不合法的IP地址丢弃;异常判断,异常报文丢弃;报文过滤并根据报文域名、用户名等内容进行过滤,报文域名、用户名不合法的过滤后丢弃;将未被过滤的数据报构造为新的系统数据包放入对应的Radius分发队列;
具体处理流程是:
(1)接收到报文:接收设备发送的Radius报文;
(2)地址校验:校验设备的IP地址是否合法,首先在注册IP地址池中查找设备IP,不存在则认为不合法,不合法设备报文直接丢弃,若所述设备IP地址存在于注册IP地址池中,则再在异常设备地址池中查找是否存在所述设备IP地址,存在则认为是异常的设备,此设备报文直接丢弃;
(3)异常判断:对应的设备发送的报文计数器增加1个计数;系统的异常判断模块定时扫描设备发送的报文数量,当规定时间内发送的报文数量超过系统的配置值则认为该设备异常,将设备的报文进行过滤,并记录下异常时间和数值,发送给监控系统;系统在判断设备报文数量的同时对设备报文发送的端口进行校验,当认证请求报文发送到计费端口,或者计费请求报文发送到认证端口则认为设备异常,将设备的报文进行过滤,并记录下异常时间和数值,发送给监控系统;
(4)域名过滤:校验Radius报文中的域名属性对应字段的过滤规则是否匹配,匹配上则按过滤规则过滤,匹配规则中的运算符包括=、!=、>、<;支持‘?’、‘*’匹配符;
(5)用户过滤:校验Radius报文中的用户名属性对应字段的过滤规则是否匹配,匹配上则按过滤规则过滤,匹配规则中的运算符包括=、!=、>、<;支持‘?’、‘*’匹配符;域名过滤和用户过滤的规则按现有的规则;
(6)报文分发:判断Radius对应的分发队列的堆积情况,当分发队列中的待处理的报文数量达到配置的最大值,则认为此队列有堆积,软网关寻找下一个可分发队列,当无可以分发的队列时,软网关将报文写入异常文件,并记录异常报告;将未被过滤的数据报文构造为新的系统数据包放入对应的Radius分发队列;报文分发时按各队列进行均匀分配或者按照均匀负载方式进行分发。
本发明的软网关主要实现的过程包括:
●地址校验:判断来包ip是否合法,不合法丢弃;
●异常判断:判断来包ip是否有攻击企图(即发包异常),异常丢弃。
●域名过滤:对域名实施过滤,可直接通过认证或认证失败
●用户黑名单功能:黑名单用户不进行正常认证,在报文解析阶段就认证失败
●报文分发:分析来包的ip和端口,并根据来包的ip和端口将报文分发到不同的Radius Server上进行处理,发送前先判断对应的消息队列的堆积情况,堆积则发送到下一个不繁忙的Radius Server队列。
本发明软网关和在四层交换设备或防火墙设备上作配置比,本发明方法的主要优势在于:
1.允许访问列表中的地址数量可以非常庞大;
2.地址信息添加方便,通过IE在管理系统页面添加即可,不受地点的限制,不需远程登陆设备;
3.可以限制每个地址发送到Radius Server的包数;
4.可以防止对系统的恶意攻击;
5.可根据Radius Server的繁忙程度自动调节每个Server处理的包数。
该方法应用于Radius系统之前,可以作为通用的系统采集模块,可通过配置灵活使用,配置参数配置在数据库中,通过同步程序同步到运行主机的本地系统文件中保存,启动时读入内存,采集模块接收到设备发送的协议报文后,调用软网关模块进行报文过滤,过滤后的数据传递给Radius Server进行认证、计费的处理。
附图说明
图1是本发明系统的结构图和工作步骤示意图
图2是本发明在系统中的框图
具体实施方式
参照图1和图2,本发明处理流程是:
1.地址校验:接收设备发送的Radius报文;
2.地址校验:校验设备IP是否合法,首先在注册IP地址池中查找设备IP,不存在认为不合法,不合法设备报文直接丢弃,存在的设备IP再去异常设备地址池中查找,存在则认为是异常的设备,此设备报文直接丢弃;
3.异常判断:对应的设备发送的报文计数器加1;
4.异常判断:系统的异常判断模块定时扫描设备发送的报文数量,当规定时间内发送的报文数量超过系统的配置值认为该设备异常列入异常设备行列,将设备的报文进行过滤,并记录下异常时间和数值,发送给监控系统;异常判断根据现有的方式设定:除了上述当规定时间内发送的报文数量超过系统的配置值,还可以设定其它判断标准。
5.异常判断:系统在判断设备报文数量的同时对设备报文发送的端口进行校验,当认证请求报文发送到计费端口,或者计费请求报文发送到认证端口则认为设备异常,将设备的报文进行过滤,并记录下异常时间和数值,发送给监控系统;。
6.域名过滤:校验Radius报文中的域名属性对应的字段的过滤规则,匹配上则按过滤规则过滤,匹配规则包括=、!=、>、<(支持‘?’、‘*’匹配符);
7.用户过滤:校验Radius报文中的用户名属性对应的字段的过滤规则,匹配上则按过滤规则过滤,匹配规则包括=、!=、>、<(支持‘?’、‘*’匹配符);域名过滤和用户过滤的规则按现有的规则。
8.报文分发:判断Radius对应的分发队列的堆积情况,当分发队列中的待处理的报文数量达到配置的最大值,则认为此队列有堆积,软网关寻找下一个可分发队列,当无可以分发的队列时,软网关将报文写入异常文件,并记录异常报告;
9.报文分发:将未被过滤的数据报构造为新的系统数据包放入对应的Radius分发队列。报文分发时按各队列进行均匀分配或者按照均匀负载方式进行分发。

Claims (1)

1.动态自适应Radius系统通用软网关的实现方法,其特征是在四层交换设备或防火墙和Radius服务器间增加一层软网关,接入设备发送来的数据包先通过软网关的过滤后再提交到Radius服务器进行处理,其处理步骤是:接收到报文,合法地址校验,不合法的IP地址丢弃;异常判断,异常报文丢弃;报文过滤并根据报文域名、用户名等内容进行过滤,报文域名、用户名不合法的过滤后丢弃;将未被过滤的报文构造为新的系统数据包放入对应的Radius分发队列;
具体处理流程是:
(1)接收到报文:接收设备发送的Radius报文;
(2)地址校验:校验设备的IP地址是否合法,首先在注册IP地址池中查找设备的IP地址,不存在则认为不合法,不合法设备报文直接丢弃,若所述设备的IP地址存在于注册IP地址池中,则再在异常设备地址池中查找是否存在所述设备的IP地址,存在则认为是异常的设备,此设备报文直接丢弃;
(3)异常判断:对应的设备的发送报文计数器增加1个计数;系统的异常判断模块定时扫描设备发送的报文数量,当规定时间内发送的报文数量超过系统的配置值则认为该设备异常,将设备的报文进行过滤,并记录下异常时间和数值,发送给监控系统;系统在判断设备报文数量的同时对设备报文发送的端口进行校验,当认证请求报文发送到计费端口,或者计费请求报文发送到认证端口则认为设备异常,将设备的报文进行过滤,并记录下异常时间和数值,发送给监控系统;
(4)域名过滤:校验Radius报文中的域名属性与对应字段的过滤规则是否匹配,匹配上则按过滤规则过滤,匹配规则中的运算符包括=、!=、>、<;匹配规则支持‘?’、‘*’匹配符;
(5)用户过滤:校验Radius报文中的用户名属性与对应字段的过滤规则是否匹配,匹配上则按过滤规则过滤,匹配规则中的运算符包括=、!=、>、<;匹配规则支持‘?’、‘*’匹配符;域名过滤和用户过滤的规则按现有的规则;
(6)报文分发:判断Radius对应的分发队列的堆积情况,当分发队列中的待处理的报文数量达到配置的最大值,则认为此队列有堆积,软网关寻找下一个可分发队列,当无可以分发的队列时,软网关将报文写入异常文件,并记录异常报告;将未被过滤的报文构造为新的系统数据包放入对应的Radius分发队列;报文分发时按各队列进行均匀分配或者按照均匀负载方式进行分发。
CN200610161236A 2006-12-18 2006-12-18 动态自适应Radius系统通用软网关的实现方法 Expired - Fee Related CN101014026B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN200610161236A CN101014026B (zh) 2006-12-18 2006-12-18 动态自适应Radius系统通用软网关的实现方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN200610161236A CN101014026B (zh) 2006-12-18 2006-12-18 动态自适应Radius系统通用软网关的实现方法

Publications (2)

Publication Number Publication Date
CN101014026A CN101014026A (zh) 2007-08-08
CN101014026B true CN101014026B (zh) 2010-05-19

Family

ID=38701310

Family Applications (1)

Application Number Title Priority Date Filing Date
CN200610161236A Expired - Fee Related CN101014026B (zh) 2006-12-18 2006-12-18 动态自适应Radius系统通用软网关的实现方法

Country Status (1)

Country Link
CN (1) CN101014026B (zh)

Families Citing this family (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101355567B (zh) * 2008-09-03 2012-05-09 中兴通讯股份有限公司 一种对交换路由设备中央处理器进行安全保护的方法
CN101494531B (zh) * 2009-02-24 2013-06-26 华为技术有限公司 调整滑动窗口的方法和装置
CN103746996A (zh) * 2014-01-03 2014-04-23 汉柏科技有限公司 一种防火墙的报文过滤方法
CN106209406A (zh) * 2015-05-06 2016-12-07 中兴通讯股份有限公司 处理tr-069消息的方法及装置
CN109218452B (zh) * 2018-11-16 2020-11-24 京东数字科技控股有限公司 用于推送节点信息的方法和装置

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1356806A (zh) * 2001-12-31 2002-07-03 刘军民 实现局域网虚通道传送的数据转发方法
CN1431591A (zh) * 2003-01-29 2003-07-23 西安海星现代科技股份有限公司 基于软件令牌的适用于网络的动态口令身份认证系统
CN1437361A (zh) * 2002-02-07 2003-08-20 华为技术有限公司 基于网络地址的网络访问控制的方法
CN1486025A (zh) * 2003-08-22 2004-03-31 北京港湾网络有限公司 PPPoE二层透传端口用户名绑定检查的方法
CN1564551A (zh) * 2004-03-16 2005-01-12 张晴 防垃圾邮件的实现方法
CN1783872A (zh) * 2004-11-30 2006-06-07 广东省电信有限公司科学技术研究院 用于移动通信服务开通的网络配置接口的实现方法

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1356806A (zh) * 2001-12-31 2002-07-03 刘军民 实现局域网虚通道传送的数据转发方法
CN1437361A (zh) * 2002-02-07 2003-08-20 华为技术有限公司 基于网络地址的网络访问控制的方法
CN1431591A (zh) * 2003-01-29 2003-07-23 西安海星现代科技股份有限公司 基于软件令牌的适用于网络的动态口令身份认证系统
CN1486025A (zh) * 2003-08-22 2004-03-31 北京港湾网络有限公司 PPPoE二层透传端口用户名绑定检查的方法
CN1564551A (zh) * 2004-03-16 2005-01-12 张晴 防垃圾邮件的实现方法
CN1783872A (zh) * 2004-11-30 2006-06-07 广东省电信有限公司科学技术研究院 用于移动通信服务开通的网络配置接口的实现方法

Non-Patent Citations (3)

* Cited by examiner, † Cited by third party
Title
修长虹.基于Linux PC集群负载均衡的研究与实现.中国优秀硕士学位论文全文数据库(硕士)信息科技辑2005 2.2005,2005(2),第1章第1.2.5节.
修长虹.基于Linux PC集群负载均衡的研究与实现.中国优秀硕士学位论文全文数据库(硕士)信息科技辑2005 2.2005,2005(2),第1章第1.2.5节. *
宿洁,袁军鹏.防火墙技术及其进展.计算机工程与应用.2004,147-160. *

Also Published As

Publication number Publication date
CN101014026A (zh) 2007-08-08

Similar Documents

Publication Publication Date Title
CN109766673B (zh) 一种联盟式音视频版权区块链系统及音视频版权上链方法
CN101248613B (zh) 用于安全通信网络尤其是安全ip电话网络的可信装置准入方案
CN101179583B (zh) 一种防止用户假冒上网的方法及设备
CN107508812B (zh) 一种工控网络数据存储方法、调用方法及系统
KR100681486B1 (ko) 부정통신 검출장치, 그 방법 및 기록매체
JP4272920B2 (ja) 通信ネットワークにおける第1通信関与体の正当性をチェックする方法および装置
US8819764B2 (en) Network security monitor apparatus and network security monitor system
CN100550739C (zh) 一种为用户终端发起认证请求的方法、系统和路由设备
CN101018233B (zh) 会话的控制方法及控制装置
CN101014026B (zh) 动态自适应Radius系统通用软网关的实现方法
CN101188557B (zh) 管理用户上网行为的方法、客户端、服务器和系统
CN105262738A (zh) 一种路由器及其防arp攻击的方法
CN1575462A (zh) 在第2层装置中实现第3层/第7层防火墙的方法和设备
CN101022458B (zh) 会话的控制方法及控制装置
CN101197785A (zh) 一种mac认证方法和设备
CN101453447A (zh) 动态主机配置协议dhcp用户老化的方法及接入设备
CN114268429B (zh) 特定终端加密通信接入设备
CN114710353B (zh) 一种基于AIoT智能边缘网关的风险管控系统
WO2012014509A1 (ja) 不正アクセス遮断制御方法
CN1411209A (zh) 一种检测并监控恶意用户主机攻击的方法
CN101043465A (zh) 动态主机配置协议服务管理方法以及系统
CN101355585B (zh) 一种分布式架构数据通信设备的消息保护系统及方法
CN101212375A (zh) 控制用户使用代理上网的方法及系统
CN102271331A (zh) 一种检测业务提供商sp站点可靠性的方法及系统
Stathopoulos et al. A framework for secure and verifiable logging in public communication networks

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
EE01 Entry into force of recordation of patent licensing contract

Assignee: LIAN Technology (Nanjing) Co., Ltd.

Assignor: Linkage System Integration Co., Ltd.

Contract fulfillment period: 2009.6.23 to 2027.8.30 contract change

Contract record no.: 2009320001548

Denomination of invention: Method for implementing general soft gateway of dynamic self-adaptive Radius system

License type: exclusive license

Record date: 2009.8.17

LIC Patent licence contract for exploitation submitted for record

Free format text: EXCLUSIVE LICENSE; TIME LIMIT OF IMPLEMENTING CONTACT: 2009.6.23 TO 2027.8.30; CHANGE OF CONTRACT

Name of requester: LIANCHUANG SCIENCE ( NANJING ) CO., LTD.

Effective date: 20090817

ASS Succession or assignment of patent right

Owner name: LIANCHUANG SCIENCE ( NANJING ) CO., LTD.

Free format text: FORMER OWNER: NANJING LIANCHUANG SCIENCE CO., LTD.

Effective date: 20091211

C41 Transfer of patent application or patent right or utility model
TA01 Transfer of patent application right

Effective date of registration: 20091211

Address after: 16 F, 12 Huai gate, Nanjing City, Jiangsu Province, China: 210013

Applicant after: Linkage System Integration Co., Ltd.

Address before: 16 F, 12 Huai gate, Nanjing City, Jiangsu Province, China: 210013

Applicant before: Linkage System Integration Co., Ltd.

C14 Grant of patent or utility model
GR01 Patent grant
C56 Change in the name or address of the patentee

Owner name: LINKAGE ASIAINFO TECHNOLOGY (NANJING) CO., LTD.

Free format text: FORMER NAME: LINKAGE TECHNOLOGY (NANJING) CO., LTD.

CP01 Change in the name or title of a patent holder

Address after: 210013, No. 12, Huai gate, 16 floor, Nanjing, Jiangsu

Patentee after: LINKAGE-ASIAINFO TECHNOLOGIES (NANJING), INC.

Address before: 210013, No. 12, Huai gate, 16 floor, Nanjing, Jiangsu

Patentee before: Linkage System Integration Co., Ltd.

C17 Cessation of patent right
CF01 Termination of patent right due to non-payment of annual fee

Granted publication date: 20100519

Termination date: 20121218