本發明涉及高增長、大并發業務需求下的安全認證傳輸方法，公開了一種面向安全認證傳輸網關集群的負載均衡方法。傳統網關的集群方案，需要依賴外部的負載均衡設備或設備本身的第三方負載均衡軟件實現，靈活性不高，性能的損失也很大。本發明提供一種基于安全認證傳輸網關自身特點的負載均衡方案，結合認證、資源分配，實現多傳輸服務器的負載均衡訪問，其優點在于：1)可同時支持幾十萬的用戶進行并發訪問，用戶負載會均衡到不同安全傳輸服務器上。2)可動態加入安全傳輸服務器，線性提升負載能力。3)如果某臺安全傳輸服務器出現故障，客戶端連接可無縫切入到另外的安全傳輸服務器，保障業務的正常運行。

技術領域

本發明涉及高增長、大并發業務需求下的安全認證傳輸方法，尤其涉及一種面向安全認證傳輸網關集群的負載均衡方法。

背景技術

隨著信息技術的推廣及使用范圍的擴大，很多關鍵業務系統需要基于互聯網及移動互聯網進行遠程訪問，為了保護業務系統的安全，需要安全認證傳輸網關對業務系統進行統一認證、加密及訪問控制。當訪問用戶達到一定規模后，傳統的單一網關已不能滿足性能要求，需要增加多臺設備集群使用。

傳統網關的集群方案，需要依賴外部的負載均衡設備或設備本身的第三方負載均衡軟件實現，靈活性不高，性能的損失也很大。

發明內容

本發明的目的是克服現有方法的不足，提供一種基于安全認證傳輸網關自身特點的負載均衡方案，結合認證、資源分配，實現多傳輸服務器的負載均衡訪問，滿足高增長、大并發的業務需求。

其具體實現包括三個組成部分：認證服務器、調度服務器和安全傳輸服務器。

認證服務器完成客戶認證、授權、單點登錄、訪問資源申請等功能，雙機熱備部署。調度服務器完成安全傳輸服務器的管理、監控、審計、調度及地址資源分配，雙機熱備部署。安全傳輸服務器完成安全傳輸的SSL通訊、訪問控制、網絡接入功能，根據業務負載一臺或多臺部署。

由認證服務器、調度服務器和安全傳輸服務器構成的安全認證傳輸網關，可以支持安全傳輸服務器的動態加入、負載均衡和運行狀態管理，其工作步驟如下：

1)安全傳輸服務器啟動后，注冊到調度服務器，調度服務器對安全傳輸服務器的IP地址、端口、地址資源(地址池、在用地址、空閑地址)、狀態進行管理。

2)用戶通過瀏覽器訪問網關時，先訪問認證服務器進行認證。

3)認證服務器向調度服務器請求用戶配置信息，調度服務器返回可訪問的安全傳輸服務器地址信息及客戶端網絡配置信息(虛擬地址、掩碼、網關、DNS等)。

4)瀏覽器通過認證控件啟動安全認證客戶端，并傳遞票據、訪問控制列表、客戶網絡配置信息、安全傳輸服務器信息。

5)安全認證客戶端連接到指定的安全傳輸服務器，建立SSL加密隧道，進行登錄并傳遞票據。

6)安全傳輸服務器得到用戶的登錄信息后，向調度服務器驗證客戶票據。

7)客戶端完成本地網絡配置后，瀏覽器附帶票據，重定向到業務系統。

8)業務系統將票據發送到認證服務器進行二次驗證，如驗證通過，則返回用戶信息，登錄過程完成，開始正常的業務訪問。

所述的步驟1)中，調度服務器可同時管理多個安全傳輸服務器，支持安全傳輸服務器的動態注冊及退出。

所述的步驟2)中，可使用賬號密碼、數字證書、Radius、LDAP等多種方式進行認證。

所述的步驟3)中，調度服務器根據安全傳輸服務器的負載能力和接入用戶數，進行客戶接入分配。

本發明的優點在于：

1)可同時支持幾十萬的用戶進行并發訪問，用戶負載會均衡到不同安全傳輸服務器上。