技術領域

本發明涉及通信領域，尤其涉及一種安全認證系統及其主備切換方法和設備。

背景技術

隨著社會的信息化步伐不斷提速，網絡應用的不斷普及與深入，網絡安全成為了企業用戶最關心的問題。NAC(Network?Access?Control，網絡接入控制)技術方案的應用為企業、事業單位提供了一個相對完整的網絡安全解決方案。網絡接入控制技術方案由安全策略服務器、AAA(Authentication、Authorization、Accounting，驗證、授權和記賬)服務器、接入設備和接入終端軟件組成。接入終端接入網絡時首先通過AAA服務器進行身份認證，認證通過后，由接入設備控制其只能訪問一個受限的網絡區域(稱作“隔離區”)，然后通過安全策略服務器進行安全認證。當安全策略服務器檢測到該接入終端符合安全要求時才解除其隔離限制，允許終端訪問其他網絡資源。目前的AAA服務器具體采用RADIUS(Remote?Authentication?DialIn?User?Service，遠程用戶撥號認證系統)服務器，如圖1所示一個典型的網絡接入控制系統組網圖。

由于網絡接入控制系統對安全性的要求較高，因此，目前網絡接入控制系統中設置了主備認證系統。當主認證系統故障時，可以切換到備認證系統繼續進行網絡接入控制。

但是，現有技術中主備認證系統故障時的主備切換只是針對RADIUS服務器出現故障時的切換。當RADIUS服務器工作異常無法回應接入設備發送的請求報文時，接入設備主動切換到備用認證系統，從而保證用戶業務的不中斷。由于現有技術中沒有針對安全策略服務器提供的主備切換機制，因此，當RADIUS服務器工作正常而安全策略服務器工作異常時，用戶只能訪問受限網絡區域，影響用戶業務。

發明內容

本發明提供了一種安全認證系統及其主備切換方法和設備，以實現安全認證系統中安全策略服務器發生故障時進行安全認證系統的主備切換。

本發明提供了一種安全認證系統主備切換方法，應用于包括主備認證系統的安全認證系統，所述主備認證系統分別包括RADIUS服務器、安全策略服務器，所述主備認證系統分別通過RADIUS服務器與所述接入設備連接，RADIIUS服務器通過接收所述接入設備發送的RADIUS報文并發送響應報文保持本系統與所述接入設備之間的連接，該方法包括以下步驟：

RADIUS服務器向本系統的安全策略服務器發送心跳報文，接收所述本系統的安全策略服務器發送的心跳響應報文；

當所述RADIUS服務器在預設時間內沒有接收到所述本系統的安全策略服務器發送的心跳響應報文時，或者所述RADIUS服務器連續沒有接收到所述本系統的安全策略服務器發送的心跳響應報文的次數達到預設最大次數時，所述RADIUS服務器停止向所述接入設備發送響應報文；

所述接入設備停止接收到所述RADIUS服務器發送的響應報文，進行主備認證系統切換。

所述RADIUS服務器向本系統的安全策略服務器發送心跳報文，接收所述安全策略服務器發送的心跳響應報文包括：

所述RADIUS服務器獲取配置的所述安全策略服務器的IP地址、向所述安全策略服務器發送心跳報文的端口以及特定用戶名，通過所述端口向所述安全策略服務器發送攜帶所述特定用戶名的心跳報文；

所述安全策略服務器接收所述心跳報文，獲取所述心跳報文攜帶的特定用戶名，直接向所述RADIUS服務器發送心跳響應報文。

所述RADIUS服務器停止向所述接入設備發送響應報文具體為：

所述RADIUS服務器直接丟棄接收到的所述接入設備發送的RADIUS報文，停止向所述接入設備發送響應報文。

所述接入設備進行主備認證系統切換之后，還包括：

當所述接入設備由主認證系統切換到備認證系統后，所述主認證系統的RADIUS服務器繼續向本系統安全策略服務器發送心跳報文；

當所述主認證系統的RADIUS服務器接收到所述本系統安全策略服務器發送的心跳響應報文后，所述主認證系統的RADIUS服務器開始向所述接入設備發送響應報文；

所述接入設備接收到所述響應報文后，切換到主認證系統。

當所述主認證系統的RADIUS服務器接收到所述本系統安全策略服務器發送的心跳響應報文后，所述主認證系統的RADIUS服務器開始向所述接入設備發送響應報文具體為：