CN107094157A

CN107094157A - 一种基于sdn的radius安全认证方法及系统

Info

Publication number: CN107094157A
Application number: CN201710479825.XA
Authority: CN
Inventors: 汪文勇; 唐博; 梅海波; 唐勇; 衡鹏
Original assignee: Chengdu Ott For Communication Co Ltd; University of Electronic Science and Technology of China
Current assignee: Chengdu Ott For Communication Co Ltd; University of Electronic Science and Technology of China
Priority date: 2017-06-22
Filing date: 2017-06-22
Publication date: 2017-08-25

Abstract

本发明涉及一种基于SDN的RADIUS安全认证方法及系统。该方法将访问RADIUS服务器的数据报文发送到仿真RADIUS服务器对其进行监测，用户发出RADIUS认证请求，SDN控制器查询本地数据库，进行MAC层认证，结束MAC层认证后，对数据报文进行备份，并且对RADIUS请求的特定域进行分析，确保合理，SDN控制器数据报文转交给仿真RADIUS服务器及检测器，仿真RADIUS服务器对用户名和密码的合法性进行检验，在检验过程中配置监测器，如果检验异常，通知SDN控制器，将本次认证的用户的MAC地址列入黑名单，如果检验合法，则将发送至监测器的数据报文转交给RADIUS服务器。本发明防止了同一用户反复恶意认证、防止恶意报文导致的RADIUS服务器崩溃。

Description

一种基于SDN的RADIUS安全认证方法及系统

技术领域

本发明涉及计算机网络领域，确切地说涉及一种基于SDN的RADIUS安全认证方法及系统。

背景技术

SDN最早起源于斯坦福大学的一个叫做clean slate的校园项目。它是一种创新型的网络体系架构，其核心思想是把转发平面和控制平面进行分离。通过集中式的控制器controller使用标准的接口来对各种不同的网络设备进行配置和管理，使得对网络的管理更加集中化、精细化。OpenFlow作为SDN的原型实现模式，充分体现了SDN的这种管控分离思想。因此通常人们把OpenFlow作为SDN的通信标准，就像TCP/IP协议作为互联网的通信标准一样。

RADIUS是一种C/S结构的协议，它的客户端最初就是NAS(Net Access Server)服务器，现在任何运行RADIUS客户端软件的计算机都可以成为RADIUS的客户端。RADIUS协议认证机制灵活，可以采用PAP、CHAP或者Unix登录认证等多种方式。RADIUS是一种可扩展的协议，它进行的全部工作都是基于Attribute-Length-Value的向量进行的。RADIUS也支持厂商扩充厂家专有属性。由于RADIUS协议简单明确，可扩充，因此得到了广泛应用，包括普通电话上网、ADSL上网、小区宽带上网、IP电话、VPDN(Virtual Private Dialup Networks，基于拨号用户的虚拟专用拨号网业务)、移动电话预付费等业务。最近IEEE提出了802.1x标准，这是一种基于端口的标准，用于对无线网络的接入认证，在认证时也采用RADIUS协议。

软件定义网络(Software Defined Network，SDN)，是Emulex网络一种新型网络创新架构，是网络虚拟化的一种实现方式，其核心技术OpenFlow通过将网络设备控制面与数据面分离开来，从而实现了网络流量的灵活控制，使网络作为管道变得更加智能。

在SDN网络中，如果SDN用户不提供接入认证，只要用户能接入SDN交换机，就可以访问SDN网中的设备或资源。这种方式无疑存在严重的安全隐患。但是在SDN的现有技术中，还没有方案能实现如何防范RADIUS攻击方法。

发明内容

本发明所要解决的技术问题是提供一种基于SDN的RADIUS安全认证方法及系统，防止了同一用户反复恶意认证、防止恶意报文导致的RADIUS服务器崩溃。

本发明解决上述技术问题的技术方案如下：

一种基于SDN的RADIUS安全认证方法，RADIUS客户端将访问RADIUS服务器的数据报文发送到仿真RADIUS服务器对其进行监测，其具体方法包括如下步骤：

(1)SDN控制器接收RADIUS客户端发出的RADIUS认证请求的数据报文，所述认证请求包括用户名、密码以及用户的MAC地址；

(2)SDN控制器查询本地数据库中当前用户的MAC地址是否在黑名单中，如果在，则解除与该用户的联接，视为RADIUS攻击；

如果该用户不在本地数据库中，则SDN控制器保留一份本地用户信息表，并设置最大访问次数N，对用户进行本地MAC层校验，若同一MAC地址进行认证的次数超过最大值N，则视为恶意攻击，列入黑名单；否则进入下一步骤；

(3)SDN控制器分析RADIUS认证请求的数据报文的特定域，如果数据报文的特定域不合理，则视为恶意攻击，列入黑名单；否则进入下一步骤；

(4)SDN控制器备份数据报文，并将数据报文发送给仿真RADIUS服务器以及仿真RADIUS服务器测试过程中的监测器；

(5)RADIUS仿真服务器接收通过SDN认证请求的数据报文，所述认证请求包括路径转发信息以及用户名和密码相关信息，并对用户名和密码的合法性进行检验，通过路径转发信息将流表下发至监测器；

(6)监测器监测流表中设置的匹配域以及指令，如果通过，则属于监测合法，返回配置信息到本地数据库，并将发送给监测器的数据报文通过监测器返回给SDN控制器，进而转交给RADIUS服务器；否则属于监测异常，则通知SDN控制器将本次认证的用户的MAC地址列入黑名单。

本发明的有益效果是：

1.在网络中配置SDN控制器。本发明配置了SDN控制器，SDN控制器包括接收模块，与RADIUS客户端相连，接收客户端的认证请求；查询认证模块，用于查询本地数据库中当前用户的MAC地址是否在黑名单中，若不在则对用户进行本地MAC层校验；分析模块，用于分析RADIUS认证请求的数据报文的特定域；数据复制模块，用于备份数据报文；发送模块，将数据报文发送给仿真RADIUS服务器以及仿真RADIUS服务器测试过程中的监测器；这些模块便于对用户进行初步的MAC层认证。

2.对RADIUS服务器配置仿真RADIUS服务器。本发明配置了仿真RADIUS服务器和专用的SDN控制器，通过对仿真RADIUS服务器模拟运行状况的检测，防止真正的RADIUS服务器出现异常导致崩溃。

3.配置了监测器。本发明在仿真RADIUS服务器的执行过程中，配置了监测器，通过监测仿真服务器运行状况是否有异常，进而决定是否将请求转交给实际的RADIUS服务器。

进一步，在所述步骤(1)之前还包括设置仿真RADIUS服务器和RADIUS服务器，以及将所述仿真RADIUS服务器和RADIUS服务器均接入到SDN网络中。

另外本发明还提供了一种基于SDN的RADIUS安全认证系统，SDN网络包括相连接的RADIUS客户端和网络端，所述网络端包括SDN控制器、以及与所述SDN控制器均连接的RADIUS服务器、仿真RADIUS服务器和监测器，所述仿真RADIUS服务器和监测器相连接；

所述RADIUS客户端：用于向SDN控制器发出RADIUS认证请求的数据报文，所述认证请求包括用户名、密码以及用户的MAC地址；

所述SDN控制器包括接收模块，与RADIUS客户端相连，接收客户端的认证请求；

查询认证模块，与所述接收模块相连，用于查询本地数据库中当前用户的MAC地址是否在黑名单中，如果在，则解除与该用户的联接，视为RADIUS攻击；如果该用户不在本地数据库中，则保留一份本地用户信息表，并设置最大访问次数N，对用户进行本地MAC层校验，若同一MAC地址进行认证的次数超过最大值N，则视为恶意攻击，列入黑名单；

分析模块，与所述查询认证模块相连，用于分析RADIUS认证请求的数据报文的特定域，如果数据报文的特定域不合理，则视为恶意攻击，列入黑名单；

数据复制模块，与所述分析模块连接，用于备份数据报文；

发送模块，与所述数据复制模块连接，将数据报文发送给仿真RADIUS服务器以及仿真RADIUS服务器测试过程中的监测器；

所述RADIUS仿真服务器，与所述发送模块连接，RADIUS仿真服务器接收通过SDN认证请求的数据报文，所述认证请求包括路径转发信息以及用户名和密码相关信息，对用户名和密码的合法性进行检验，通过路径转发信息将流表下发至监测器；

所述监测器，与所述发送模块连接，监测器监测流表中设置的匹配域以及指令，如果通过，则属于监测合法，返回配置信息到本地数据库，并将发送给监测器的数据报文通过监测器返回给SDN控制器，进而转交给RADIUS服务器；否则属于监测异常，则通知SDN控制器将本次认证的用户的MAC地址列入黑名单。

采用上述方案的有益效果是配置SDN控制器，与RADIUS客户端相连并接收客户端的认证请求，还可以用于查询本地数据库中当前用户的MAC地址是否在黑名单中，若不在则对用户进行本地MAC层校验，也用于分析RADIUS认证请求的数据报文的特定域，并且还可以用于备份数据报文最终将数据报文发送给仿真RADIUS服务器以及仿真RADIUS服务器测试过程中的监测器；配置仿真RADIUS服务器和专用的SDN控制器，可以通过对仿真RADIUS服务器模拟运行状况的检测，防止真正的RADIUS服务器出现异常导致崩溃；配置监测器用于监测仿真服务器运行状况是否有异常，进而决定是否将请求转交给实际的RADIUS服务器。

附图说明

图1为本发明方法流程图；

图2为本发明系统原理框图。

具体实施方式

以下结合附图对本发明的原理和特征进行描述，所举实例只用于解释本发明，并非用于限定本发明的范围。

如图1所示，本发明提供了一种基于SDN的RADIUS安全认证方法，用户在RAIUDS客户端请求认证，为确保没有RADIUS攻击以及导致服务器崩溃的破坏性访问，会对该用户所请求的RADIUS认证进行仿真测试，RADIUS客户端将访问RADIUS服务器的数据报文发送到仿真RADIUS服务器对其进行监测，具体步骤如下:

(1)设置仿真RADIUS服务器，在网络中设置SDN网络，RADIUS服务器以及仿真RADIUS服务器均接入到SDN网络中；

(2)用户请求RADIUS安全认证时，SDN控制器查询本地数据库，进行MAC层认证，SDN控制器在本地数据库中查询当前用户的MAC地址是否在黑名单中，如果在则解除与该用户的联接，视为RADIUS攻击；如果该用户在本地数据库中不存在，SDN控制器会保留一份本地的用户信息表，并设置最大访问次数为N，当对用户进行本地MAC层校验，若同一MAC地址进行认证的次数超过定值N，则视为恶意攻击，列入黑名单；

(3)结束MAC层认证后，对RADIUS请求的特定域进行分析，确保合理，防止RADIUS服务器崩溃，并对数据报文进行备份；

(3)SDN控制器将数据报文转交给仿真RADIUS服务器及仿真RADIUS务器测试过程中的监测器；

(4)RADIUS仿真服务器接收通过SDN认证请求的数据报文，认证请求包括路径转发信息以及用户名和密码相关信息，仿真服务器会对用户名和密码的合法性进行检验，在检验过程中，会通过认证请求过程中的路径转发信息，进行下发流表的操作，将流表下发至监测器；

(5)监测器对下发流表中每一个表项的匹配首先按照接收到数据包的物理端口对入端口进行匹配，然后按照二层数据包头进行比较；如果以太网类型为0x8100，即数据包是VLAN包，则继续查询VLAN ID和PCP域；如果以太网类型为0x0806，则为ARP包，继续查询源IP地址和目的IP地址；如果以太网类型为0x0800，即为IP包，则继续查询IP包头的相关域；如果IP包是TCP/UDP包，则还需继续查询传输层端口；如果IP包是ICMP包，则继续查询ICMP包中的Type和Code；对于分段数据包的后续包，则将传输层端口设为0后继续查询；如果通过了下发流表中设置的匹配域以及指令，则属于监测合法，则返回配置信息给本地数据库，并将发送给监测器的数据报文通过监测器返回给SDN控制器，进而转交给RADIUS服务器；否则属于监测异常，则通知SDN控制器将本次认证的用户的MAC地址列入黑名单。

图2为本发明提供的系统原理框图，本发明还提供了一种基于SDN的RADIUS安全认证系统，SDN网络包括相连接的RADIUS客户端和网络端，所述网络端包括SDN控制器、以及与所述SDN控制器均连接的RADIUS服务器、仿真RADIUS服务器和监测器，所述仿真RADIUS服务器和监测器相连接；

数据复制模块，与所述分析模块连接，用于备份数据报文；

发送模块，与数据复制模块连接，将数据报文发送给仿真RADIUS服务器以及仿真RADIUS服务器测试过程中的监测器；

以上所述仅为本发明的较佳实施例，并不用以限制本发明，凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。

Claims

1.一种基于SDN的RADIUS安全认证方法，其特征在于，包括如下步骤：

(1)SDN控制器接收RADIUS客户端发送的RADIUS认证请求的数据报文，所述认证请求包括用户名、密码以及用户的MAC地址；

2.根据权利要求1所述的基于SDN的RADIUS安全认证方法，其特征在于，在所述步骤(1)之前还包括设置仿真RADIUS服务器和RADIUS服务器，以及将所述仿真RADIUS服务器和RADIUS服务器均接入到SDN网络中。

3.一种基于SDN的RADIUS安全认证系统，其特征在于，SDN网络包括相连接的RADIUS客户端和网络端，所述网络端包括SDN控制器、以及与所述SDN控制器均连接的RADIUS服务器、仿真RADIUS服务器和监测器，所述仿真RADIUS服务器和监测器相连接；

数据复制模块，与所述分析模块连接，用于备份数据报文；