[發(fā)明專利]一種安全認證模塊的失效保護方法及其裝置無效
| 申請?zhí)枺?/td> | 201010142510.4 | 申請日: | 2010-04-09 |
| 公開(公告)號: | CN101807996A | 公開(公告)日: | 2010-08-18 |
| 發(fā)明(設(shè)計)人: | 王豐愷 | 申請(專利權(quán))人: | 杭州華三通信技術(shù)有限公司 |
| 主分類號: | H04L9/32 | 分類號: | H04L9/32;H04L29/06 |
| 代理公司: | 北京鑫媛睿博知識產(chǎn)權(quán)代理有限公司 11297 | 代理人: | 龔家驊 |
| 地址: | 310053 浙江省杭州市高新技術(shù)產(chǎn)業(yè)*** | 國省代碼: | 浙江;33 |
| 權(quán)利要求書: | 查看更多 | 說明書: | 查看更多 |
| 摘要: | |||
| 搜索關(guān)鍵詞: | 一種 安全 認證 模塊 失效 保護 方法 及其 裝置 | ||
技術(shù)領(lǐng)域
本發(fā)明涉及通信技術(shù)領(lǐng)域,特別是涉及一種安全認證模塊的失效保護方法及其裝置。
背景技術(shù)
隨著社會的信息化步伐不斷提速,網(wǎng)絡(luò)應(yīng)用的不斷普及與深入,網(wǎng)絡(luò)安全成為了企業(yè)用戶特別關(guān)心的問題。
為此,目前的終端準(zhǔn)入控制系統(tǒng)(End?User?Admission?Domination,EAD)為企業(yè)、事業(yè)單位提供了一個完整的網(wǎng)絡(luò)安全解決方案。該方案由安全策略服務(wù)器、AAA服務(wù)器、接入設(shè)備和接入終端組成。如圖1所示,接入終端接入網(wǎng)絡(luò)時首先進行身份認證,然后進行安全認證,并由接入設(shè)備控制其只能訪問一個受限的網(wǎng)絡(luò)區(qū)域(稱作“隔離區(qū)”),當(dāng)安全策略服務(wù)器檢測到該接入終端符合安全要求才解除其隔離限制,允許終端訪問其他網(wǎng)絡(luò)資源。
目前的EAD實現(xiàn)方案中,完成身份認證的RADIUS(Remote?AuthenticationDial?In?User?Service,遠程用戶撥號認證系統(tǒng))服務(wù)器(RADIUS?Server)和完成安全認證的安全認證模塊(包括EAD?Server和EAD?Proxy,其中,EAD?Server為安全策略服務(wù)器,EAD?Proxy為安全策略代理),既可以集中部署到一臺計算機上,如圖2所示,也可以分布式部署到不同的計算機上,如圖3所示,但是不管采取哪種部署方式,一個RADIUS?Server都只能和一套安全認證模塊配合。
根據(jù)EAD的原理,一個終端用戶要最終能夠訪問網(wǎng)絡(luò),需要做兩次認證:先完成身份認證,后完成安全認證。其中身份認證由RADIUS?Server負責(zé),主要完成認證、授權(quán)、計費等工作;安全認證由安全認證模塊(EAD?Proxy和EAD?Server)負責(zé),主要完成用戶安全狀態(tài)檢查和安全策略控制。
在目前RADIUS?Server和安全認證模塊一對一的方案中,因為負責(zé)身份認證的RADIUS?Server的處理性能遠高于負責(zé)安全認證的安全認證模塊(EADServer和EAD?Proxy)的處理性能,所以,安全認證成為了影響整個系統(tǒng)上線速度的瓶頸。
為提高整個EAD系統(tǒng)的處理性能,當(dāng)前有一種改進的分布式方案:如圖4所示,讓一個RADIUS?Server可以與多套安全認證模塊配合,即通過在一個EAD系統(tǒng)中分布式部署多套安全認證模塊的方式,讓原來由一套安全認證模塊處理的任務(wù),由多套安全認證模塊負載分擔(dān),即一對多的方案。
發(fā)明人在實現(xiàn)本發(fā)明的過程中,發(fā)現(xiàn)現(xiàn)有技術(shù)至少存在以下缺陷:
在這種改進的分布式部署方案中,客戶端選擇哪套安全認證模塊進行安全認證,是在進行身份認證時由RADIUS?Server根據(jù)原始配置的各安全認證模塊的信息,按照既定策略選擇的。系統(tǒng)投入運行后,如圖5所示,如果某個安全認證模塊失效,RADIUS?Server并不能感知到,也沒有相應(yīng)的處理機制,這樣,后續(xù)的客戶端認證時,RADIUS?Server仍然會將已經(jīng)失效的該安全認證模塊的信息下發(fā)給客戶端,從而導(dǎo)致仍然有一定數(shù)量的客戶端到這個失效的安全認證模塊上進行安全認證而認證失敗,不能成功接入網(wǎng)絡(luò)。
發(fā)明內(nèi)容
本發(fā)明提供了一種安全認證模塊的失效保護方法及其裝置,用于解決現(xiàn)有EAD系統(tǒng)中安全認證模塊失效時所導(dǎo)致的客戶端無法進行安全認證的問題。
本發(fā)明提供的安全認證模塊的失效保護方法,應(yīng)用于包含有客戶端、身份認證服務(wù)器和安全認證模塊的分布式終端準(zhǔn)入控制系統(tǒng),包括:
身份認證服務(wù)器檢測各安全認證模塊的有效性,并根據(jù)檢測結(jié)果維護檢測為有效的安全認證模塊的列表;
當(dāng)身份認證服務(wù)器為客戶端選擇安全認證模塊時,從所述檢測為有效的安全認證模塊的列表中選擇安全認證模塊。
上述方法中,身份認證服務(wù)器根據(jù)所述列表中各安全認證模塊的處理性能選擇安全認證模塊。
上述方法中,根據(jù)檢測結(jié)果維護檢測為有效的安全認證模塊的列表,包括:身份認證服務(wù)器在檢測安全認證模塊無效時,將該安全認證模塊的標(biāo)識從用于存儲有效的安全認證模塊的標(biāo)識列表中刪除。
上述方法中,當(dāng)被檢測為失效的安全認證模塊重新恢復(fù)為有效時,將該安全認證模塊重新加入到所述列表中。
上述方法中,所述列表為安全認證模塊標(biāo)識列表;該方法還包括:安全認證模塊在啟動時將其模塊標(biāo)識注冊到所述安全模塊標(biāo)識列表。
上述方法中,所述身份認證服務(wù)器通過心跳機制檢測安全認證模塊的有效性。
本發(fā)明提供的身份認證服務(wù)器,應(yīng)用于包含有客戶端、身份認證服務(wù)器和安全認證模塊的分布式終端準(zhǔn)入控制系統(tǒng),包括:
該專利技術(shù)資料僅供研究查看技術(shù)是否侵權(quán)等信息,商用須獲得專利權(quán)人授權(quán)。該專利全部權(quán)利屬于杭州華三通信技術(shù)有限公司,未經(jīng)杭州華三通信技術(shù)有限公司許可,擅自商用是侵權(quán)行為。如果您想購買此專利、獲得商業(yè)授權(quán)和技術(shù)合作,請聯(lián)系【客服】
本文鏈接:http://www.szxzyx.cn/pat/books/201010142510.4/2.html,轉(zhuǎn)載請聲明來源鉆瓜專利網(wǎng)。
