[发明专利]一种基于SDN的RADIUS安全认证方法及系统

说明书

技术领域

本发明涉及计算机网络领域，确切地说涉及一种基于SDN的RADIUS安全认证方法及系统。

背景技术

SDN最早起源于斯坦福大学的一个叫做clean slate的校园项目。它是一种创新型的网络体系架构，其核心思想是把转发平面和控制平面进行分离。通过集中式的控制器controller使用标准的接口来对各种不同的网络设备进行配置和管理，使得对网络的管理更加集中化、精细化。OpenFlow作为SDN的原型实现模式，充分体现了SDN的这种管控分离思想。因此通常人们把OpenFlow作为SDN的通信标准，就像TCP/IP协议作为互联网的通信标准一样。

RADIUS是一种C/S结构的协议，它的客户端最初就是NAS(Net Access Server)服务器，现在任何运行RADIUS客户端软件的计算机都可以成为RADIUS的客户端。RADIUS协议认证机制灵活，可以采用PAP、CHAP或者Unix登录认证等多种方式。RADIUS是一种可扩展的协议，它进行的全部工作都是基于Attribute-Length-Value的向量进行的。RADIUS也支持厂商扩充厂家专有属性。由于RADIUS协议简单明确，可扩充，因此得到了广泛应用，包括普通电话上网、ADSL上网、小区宽带上网、IP电话、VPDN(Virtual Private Dialup Networks，基于拨号用户的虚拟专用拨号网业务)、移动电话预付费等业务。最近IEEE提出了802.1x标准，这是一种基于端口的标准，用于对无线网络的接入认证，在认证时也采用RADIUS协议。

软件定义网络(Software Defined Network，SDN)，是Emulex网络一种新型网络创新架构，是网络虚拟化的一种实现方式，其核心技术OpenFlow通过将网络设备控制面与数据面分离开来，从而实现了网络流量的灵活控制，使网络作为管道变得更加智能。

在SDN网络中，如果SDN用户不提供接入认证，只要用户能接入SDN交换机，就可以访问SDN网中的设备或资源。这种方式无疑存在严重的安全隐患。但是在SDN的现有技术中，还没有方案能实现如何防范RADIUS攻击方法。

发明内容

本发明所要解决的技术问题是提供一种基于SDN的RADIUS安全认证方法及系统，防止了同一用户反复恶意认证、防止恶意报文导致的RADIUS服务器崩溃。

本发明解决上述技术问题的技术方案如下：

一种基于SDN的RADIUS安全认证方法，RADIUS客户端将访问RADIUS服务器的数据报文发送到仿真RADIUS服务器对其进行监测，其具体方法包括如下步骤：

(1)SDN控制器接收RADIUS客户端发出的RADIUS认证请求的数据报文，所述认证请求包括用户名、密码以及用户的MAC地址；

(2)SDN控制器查询本地数据库中当前用户的MAC地址是否在黑名单中，如果在，则解除与该用户的联接，视为RADIUS攻击；

如果该用户不在本地数据库中，则SDN控制器保留一份本地用户信息表，并设置最大访问次数N，对用户进行本地MAC层校验，若同一MAC地址进行认证的次数超过最大值N，则视为恶意攻击，列入黑名单；否则进入下一步骤；

(3)SDN控制器分析RADIUS认证请求的数据报文的特定域，如果数据报文的特定域不合理，则视为恶意攻击，列入黑名单；否则进入下一步骤；

(4)SDN控制器备份数据报文，并将数据报文发送给仿真RADIUS服务器以及仿真RADIUS服务器测试过程中的监测器；

(5)RADIUS仿真服务器接收通过SDN认证请求的数据报文，所述认证请求包括路径转发信息以及用户名和密码相关信息，并对用户名和密码的合法性进行检验，通过路径转发信息将流表下发至监测器；

(6)监测器监测流表中设置的匹配域以及指令，如果通过，则属于监测合法，返回配置信息到本地数据库，并将发送给监测器的数据报文通过监测器返回给SDN控制器，进而转交给RADIUS服务器；否则属于监测异常，则通知SDN控制器将本次认证的用户的MAC地址列入黑名单。

本发明的有益效果是：