CN101667933A - 一种安全认证***及其主备切换方法和设备 - Google Patents
一种安全认证***及其主备切换方法和设备 Download PDFInfo
- Publication number
- CN101667933A CN101667933A CN200910180967A CN200910180967A CN101667933A CN 101667933 A CN101667933 A CN 101667933A CN 200910180967 A CN200910180967 A CN 200910180967A CN 200910180967 A CN200910180967 A CN 200910180967A CN 101667933 A CN101667933 A CN 101667933A
- Authority
- CN
- China
- Prior art keywords
- response message
- access device
- security policy
- server
- heartbeat
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Mobile Radio Communication Systems (AREA)
Abstract
本发明公开了一种安全认证***主备切换方法,包括:RADIUS服务器向本***的安全策略服务器发送心跳报文,接收所述本***的安全策略服务器发送的心跳响应报文;当所述RADIUS服务器在预设时间内没有接收到所述本***的安全策略服务器发送的心跳响应报文时,或者所述RADIUS服务器连续没有接收到所述本***的安全策略服务器发送的心跳响应报文的次数达到预设最大次数时,所述RADIUS服务器停止向所述接入设备发送响应报文;所述接入设备停止接收到所述RADIUS服务器发送的响应报文,进行主备认证***切换。本发明实现了安全认证***中安全策略服务器发生故障时的主备切换。
Description
技术领域
本发明涉及通信领域,尤其涉及一种安全认证***及其主备切换方法和设备。
背景技术
随着社会的信息化步伐不断提速,网络应用的不断普及与深入,网络安全成为了企业用户最关心的问题。NAC(Network Access Control,网络接入控制)技术方案的应用为企业、事业单位提供了一个相对完整的网络安全解决方案。网络接入控制技术方案由安全策略服务器、AAA(Authentication、Authorization、Accounting,验证、授权和记账)服务器、接入设备和接入终端软件组成。接入终端接入网络时首先通过AAA服务器进行身份认证,认证通过后,由接入设备控制其只能访问一个受限的网络区域(称作“隔离区”),然后通过安全策略服务器进行安全认证。当安全策略服务器检测到该接入终端符合安全要求时才解除其隔离限制,允许终端访问其他网络资源。目前的AAA服务器具体采用RADIUS(Remote Authentication DialIn User Service,远程用户拨号认证***)服务器,如图1所示一个典型的网络接入控制***组网图。
由于网络接入控制***对安全性的要求较高,因此,目前网络接入控制***中设置了主备认证***。当主认证***故障时,可以切换到备认证***继续进行网络接入控制。
但是,现有技术中主备认证***故障时的主备切换只是针对RADIUS服务器出现故障时的切换。当RADIUS服务器工作异常无法回应接入设备发送的请求报文时,接入设备主动切换到备用认证***,从而保证用户业务的不中断。由于现有技术中没有针对安全策略服务器提供的主备切换机制,因此,当RADIUS服务器工作正常而安全策略服务器工作异常时,用户只能访问受限网络区域,影响用户业务。
发明内容
本发明提供了一种安全认证***及其主备切换方法和设备,以实现安全认证***中安全策略服务器发生故障时进行安全认证***的主备切换。
本发明提供了一种安全认证***主备切换方法,应用于包括主备认证***的安全认证***,所述主备认证***分别包括RADIUS服务器、安全策略服务器,所述主备认证***分别通过RADIUS服务器与所述接入设备连接,RADIIUS服务器通过接收所述接入设备发送的RADIUS报文并发送响应报文保持本***与所述接入设备之间的连接,该方法包括以下步骤:
RADIUS服务器向本***的安全策略服务器发送心跳报文,接收所述本***的安全策略服务器发送的心跳响应报文;
当所述RADIUS服务器在预设时间内没有接收到所述本***的安全策略服务器发送的心跳响应报文时,或者所述RADIUS服务器连续没有接收到所述本***的安全策略服务器发送的心跳响应报文的次数达到预设最大次数时,所述RADIUS服务器停止向所述接入设备发送响应报文;
所述接入设备停止接收到所述RADIUS服务器发送的响应报文,进行主备认证***切换。
所述RADIUS服务器向本***的安全策略服务器发送心跳报文,接收所述安全策略服务器发送的心跳响应报文包括:
所述RADIUS服务器获取配置的所述安全策略服务器的IP地址、向所述安全策略服务器发送心跳报文的端口以及特定用户名,通过所述端口向所述安全策略服务器发送携带所述特定用户名的心跳报文;
所述安全策略服务器接收所述心跳报文,获取所述心跳报文携带的特定用户名,直接向所述RADIUS服务器发送心跳响应报文。
所述RADIUS服务器停止向所述接入设备发送响应报文具体为:
所述RADIUS服务器直接丢弃接收到的所述接入设备发送的RADIUS报文,停止向所述接入设备发送响应报文。
所述接入设备进行主备认证***切换之后,还包括:
当所述接入设备由主认证***切换到备认证***后,所述主认证***的RADIUS服务器继续向本***安全策略服务器发送心跳报文;
当所述主认证***的RADIUS服务器接收到所述本***安全策略服务器发送的心跳响应报文后,所述主认证***的RADIUS服务器开始向所述接入设备发送响应报文;
所述接入设备接收到所述响应报文后,切换到主认证***。
当所述主认证***的RADIUS服务器接收到所述本***安全策略服务器发送的心跳响应报文后,所述主认证***的RADIUS服务器开始向所述接入设备发送响应报文具体为:
当所述主认证***的RADIUS服务器连续接收到所述本***安全策略服务器发送的心跳响应报文的次数达到预设切换次数时,所述主认证***的RADIUS服务器开始向所述接入设备发送响应报文。
所述接入设备进行主备认证***切换之后,还包括:
当所述接入设备由主认证***切换到备认证***后,所述备认证***的RADIUS服务器接收所述接入设备发送的RADIUS报文,并向所述接入设备发送响应报文;
当所述备认证***的RADIUS服务器在预设时间内没有接收到本***的安全策略服务器发送的心跳响应报文时,或者连续没有接收到本***的安全策略服务器发送的心跳响应报文的次数达到预设最大次数时,所述备认证***的RADIUS服务器停止向所述接入设备发送响应报文;
所述接入设备停止接收到所述备认证***的RADIUS服务器发送的响应报文,切换到主认证***。
本发明提供一种安全认证***,包括主备认证***,所述主备认证***分别包括RADIUS服务器、安全策略服务器,所述主备认证***分别与所述接入设备连接,其中
所述RADIUS服务器,与所述接入设备和本***的安全策略服务器连接,用于接收所述接入设备发送的RADIUS报文,向所述接入设备发送响应报文;并且,向所述本***的安全策略服务器发送心跳报文,接收所述本***的安全策略服务器发送的心跳响应报文;当在预设时间内没有接收到所述安全策略服务器发送的心跳响应报文时,或者连续没有接收到所述本***的安全策略服务器发送的心跳响应报文的次数达到预设最大次数时,停止向所述接入设备发送响应报文;
所述安全策略服务器,与本***的RADIUS服务器连接,用于接收所述本***的RADIUS服务器发送的心跳报文,向所述本***的RADIUS服务器发送心跳响应报文;
所述接入设备,与所述主备认证***的RADIUS服务器连接,用于向当前认证***的RADIUS服务器发送RADIUS报文,接收所述当前认证***的RADIUS服务器发送的响应报文,当停止接收到所述当前认证***的RADIUS服务器发送的响应报文时,进行主备认证***切换。
本发明提供一种设备,应用于包括主备认证***的安全认证***,所述主备认证***分别包括RADIUS服务器、安全策略服务器,所述主备认证***分别通过RADIUS服务器与所述接入设备连接,RADIIUS服务器通过接收所述接入设备发送的RADIUS报文并发送响应报文保持本***与所述接入设备之间的连接,该设备包括统计单元与收发单元,其中
所述统计单元,与所述收发单元连接,用于统计所述收发单元没有接收到所述安全策略服务器发送的心跳响应报文的时间,当该时间达到预设时间时,向所述收发单元发送通知;或者统计所述收发单元连续没有接收到所述本***的安全策略服务器发送的心跳响应报文的次数,当该次数达到预设最大次数时,向所述收发单元发送通知;
所述收发单元,用于接收所述接入设备发送的RADIUS报文,向所述接入设备发送响应报文;并且,向本***的安全策略服务器发送心跳报文,接收所述本***的安全策略服务器发送的心跳响应报文;当接收到所述统计单元发送的通知后,停止向所述接入设备发送响应报文。
还包括:
获取单元,与所述收发单元连接,用于获取配置的所述安全策略服务器的IP地址、向所述安全策略服务器发送心跳报文的端口以及特定用户名;
配置单元,与所述统计单元相连接,用于配置所述统计单元内所述收发单元没有接收到所述安全策略服务器发送的心跳响应报文的最大时间、或者所述收发单元连续没有接收到所述本***的安全策略服务器发送的心跳响应报文的最大次数;
探测单元,与所述获取单元相连接,用于在设备启动时探测本认证***内是否配置安全策略服务器。
所述收发单元具体用于:通过所述获取单元获取的端口向所述安全策略服务器发送携带所述特定用户名的心跳报文。
所述收发单元还用于:
当接收到所述统计单元发送停止向所述接入设备发送响应报文的通知后,直接丢弃接收到的所述接入设备发送的RADIUS报文,停止向所述接入设备发送响应报文;并且
在停止向所述接入设备发送响应报文后,当所述RADIUS服务器处于主认证***时,继续向所述安全策略服务器发送心跳报文,当重新接收到所述安全策略服务器发送的心跳响应报文后,重新开始向所述接入设备发送响应报文;或者
在所述接入设备由主认证***切换到备认证***后,当所述RADIUS服务器处于备认证***时,且在预设时间或预定次数内没有收到所述备认证***的安全策略服务器发送的心跳报文,重新切换至主认证***开始向所述接入设备发送响应报文。
所述收发单元具体用于:
连续接收到所述安全策略服务器发送的心跳响应报文的次数达到预设切换次数时,重新开始向所述接入设备发送响应报文。
与现有技术相比,本发明至少具有以下优点:
本发明中,RADIUS服务器向安全策略服务器发送心跳报文并接收安全策略服务器发送的心跳响应报文,当在预设时间内没有接收到心跳响应报文时,或者连续没有接收到本***的安全策略服务器发送的心跳响应报文的次数达到预设最大次数时,RADIUS服务器停止向接入设备发送响应报文,使接入设备进行主备认证***切换,从而实现安全认证***针对安全策略服务器的主备切换。
附图说明
图1是现有技术中网络接入控制***组网图示意图;
图2是本发明提供的安全认证***示意图;
图3是本发明提供的安全认证***主备切换方法示意图;
图4a和图4b是本发明提供的主认证***工作正常时主认证***的认证过程示意图;
图5a和图5b是本发明提供的主认证***故障时向备认证***的切换过程示意图;
图6是本发明提供的主认证***故障时向备认证***的切换过程的另一示意图;
图7是本发明提供的RADIUS服务器的结构示意图。
具体实施方式
本发明的核心思想是:提供一种针对安全策略服务器的安全认证***主备切换方式,当安全认证***中的RADIUS服务器工作正常时,RADIUS服务器向安全策略服务器发送心跳报文并接收安全策略服务器的心跳响应报文,当预设时间内没有接收到安全策略服务器的心跳响应报文,或者没有接收到安全策略服务器的心跳响应报文达到预设次数时,RADIUS服务器停止向接入设备发送响应报文;接入设备停止接收到RADIUS服务器发送的响应报文后,进行认证***主备切换,从而通过RADIUS服务器与安全策略服务器之间的交互实现针对安全策略服务器的安全认证***主备切换。
本发明提供的安全认证***如图2所示,包括主备认证***,所述主备认证***分别包括RADIUS服务器11、安全策略服务器12,并分别通过所述接入设备13与终端连接,其中
所述RADIUS服务器11,与所述接入设备13和本***的安全策略服务器12连接,用于接收所述接入设备13发送的RADIUS报文,向所述接入设备13发送响应报文;并且,向所述本***的安全策略服务器12发送心跳报文,接收所述本***的安全策略服务器12发送的心跳响应报文;当在预设时间内没有接收到所述安全策略服务器12发送的心跳响应报文时,或者连续没有接收到所述本***的安全策略服务器12发送的心跳响应报文的次数达到预设最大次数时,停止向所述接入设备13发送响应报文;
所述安全策略服务器12,与本***的RADIUS服务器11连接,用于接收所述本***的RADIUS服务器11发送的心跳报文,向所述本***的RADIUS服务器11发送对应的心跳响应报文;
所述接入设备13,与所述主备认证***的RADIUS服务器11连接,用于向当前主认证***的RADIUS服务器11发送RADIUS报文,接收所述当前主认证***的RADIUS服务器11发送的响应报文,当停止接收到所述当前认证***的RADIUS服务器11发送的响应报文时,进行主备认证***切换。
具体的,本发明中,优选地,在主认证***配置针对安全策略服务器的主备切换方案,主认证***的RADIUS服务器11向安全策略服务器12发送心跳报文,并在没有接收到安全策略服务器12的心跳响应报文时通过停止向接入设备13发送响应报文使接入设备13切换到备认证***;并在安全策略服务器12重新向RADIUS服务器11发送心跳响应报文后,RADIUS服务器11通过向接入设备13发送响应报文使接入设备13重新切换到主认证***,实现对安全认证***的主备切换。
在图2所示的安全认证***中,还包括DB(Data Base,数据库)。DB内预先存储RADIUS服务器11以及安全策略服务器12进行认证时所需要的认证信息。本发明中,DB内还存储安全策略服务器12的IP地址以及与该IP地址相应的RADIUS服务器11的心跳报文发送端口、以及心跳报文所需携带的特定用户名。RADIUS服务器11从DB读取该端口和特定用户名,通过该端口向安全策略服务器12发送携带特定用户名的心跳报文,并侦听通过该端口接收的心跳响应报文。安全策略服务器12获取到携带该特定用户名的心跳报文时,返回心跳响应报文。
下面结合图2所示的安全认证***介绍本发明提供的安全认证***主备切换方法。
本发明提供一种安全认证***主备切换方法,应用于包括主备认证***的安全认证***,所述主备认证***分别包括RADIUS服务器、安全策略服务器,所述主备认证***分别通过RADIUS服务器与所述接入设备连接,RADIIUS服务器通过接收所述接入设备发送的RADIUS报文并发送响应报文保持本***与接入设备之间的连接,如图3所示,该方法包括以下步骤:
步骤301,RADIUS服务器向本***的安全策略服务器发送心跳报文,接收所述本***的安全策略服务器发送的心跳响应报文;
步骤302,当所述RADIUS服务器在预设时间内没有接收到所述本***的安全策略服务器发送的心跳响应报文时,或者所述RADIUS服务器连续没有接收到所述本***的安全策略服务器发送的心跳响应报文的次数达到预设最大次数时,所述RADIUS服务器停止向所述接入设备发送响应报文;
步骤303,所述接入设备停止接收到所述RADIUS服务器发送的响应报文,进行主备认证***切换。
下面结合具体应用场景对本发明提供的方法进行进一步介绍。
首先介绍主认证***工作正常时主认证***的认证过程,如图4a及图4b所示,包括以下步骤:
步骤401,RADIUS服务器启动时检测本认证***内是否安装了安全策略服务器,若安装了安全策略服务器,则RADIUS服务器启动探测线程。
具体的,RADIUS服务器启动时可以通过查找数据库中是否存储有安全策略服务器的配置标识检测本认证***内是否安装了安全策略服务器,当检测到安全策略服务器的配置标识时,RADIUS服务器启动探测线程,执行步骤402。
步骤402,RADIUS服务器从数据库中读取并存储向安全策略服务器发送心跳报文的端口号、以及特定用户名,周期性通过该端口向安全策略服务器发送携带特定用户名的心跳报文。
具体的,预先在数据库中配置安全策略服务器的IP地址、RADIUS服务器向安全策略服务器发送心跳报文的端口、以及特定用户名,该特定用户名为RADIUS服务器与安全策略服务器约定的探测用户名,区别于普通客户端的用户名,例如设置为“@test@”。RADIUS服务器通过读取到的端口发送心跳报文,并侦听通过该端口接收安全策略服务器发送的心跳响应报文。
步骤403,安全策略服务器发现用户名为特定用户名的心跳报文,不做任何处理,直接发送心跳响应报文。
安全策略服务器获取具有特定用户名的心跳报文后,根据预先配置获知该心跳报文为探测用报文,不需要对该报文进行报文处理,直接向RADIUS服务器返回心跳响应报文。
步骤404,RADIUS服务器接收客户端发送的报文,对客户端进行身份认证,认证通过后,允许客户端访问受限网络区域,执行步骤405;认证失败,则拒绝客户端上网。
具体的,RADIUS服务器主要用于对客户端的身份进行认证,例如用户名、登录密码等,如果认证通过,则由安全策略服务器继续对客户端进行安全策略认证。
步骤405,安全策略服务器对客户端进行安全策略认证,认证通过后,允许客户端访问其他网络区域;如果认证失败,则不允许客户端访问其他网络区域。
具体的,安全策略服务器中存储各种安全策略,例如安全用户种类与非安全用户种类,安全策略服务器根据客户端用户名等注册信息判断客户端的用户种类;当客户端属于安全用户种类时,安全策略服务器允许用户访问其他网络区域;否则,当客户端属于非安全用户种类时,安全策略服务器不允许用户访问其他网络区域。
下面介绍当主认证***发生故障时主认证***向备认证***的切换过程,导致发生切换的原因包括两种情况:一是RADIUS服务器故障,二是安全策略服务器故障。当RADIUS服务器故障时,RADIUS服务器停止与接入设备的交互,接入设备无法接收到RADIIUS服务器发送的响应报文,进行主备认证***切换;本应用场景中重点介绍第二种情况,即安全策略服务器故障导致的主备认证***切换。具体的,如图5a、图5b所示,该切换过程包括以下步骤:
步骤501,当主认证***RADIUS服务器连续N次没有收到安全策略服务器的心跳响应报文后,RADIUS服务器停止接收接入设备发送的RADIUS报文。
具体的,RADIUS服务器内预先设置故障检测方式,包括设置连续没有收到安全策略服务器的心跳响应报文的最大次数N。当RADIUS服务器连续没有接收到安全策略服务器的心跳响应报文的次数达到该最大次数N时,RADIUS服务器判断安全策略服务器故障,将接收到的RADIUS报文直接丢弃,从而停止向接入设备发送响应报文。
本应用场景中RADIUS服务器根据连续没有接收到心跳响应报文的次数进行故障检测,除此之外,RADIUS服务器也可以设置连续没有收到安全策略服务器的心跳响应报文的时间。当RADIUS服务器连续没有接收到安全策略服务器的心跳响应报文的时间达到预设值时,RADIUS服务器判断安全策略服务器故障,将接入设备发送的RADIUS报文直接丢弃,从而停止向接入设备发送响应报文。
步骤502,接入设备检测没有收到RADIUS服务器的响应报文,切换到备认证***。
本发明应用场景中,接入设备切换到备认证***后,可以通过两种方式切换回主认证***,一种方式是在重新接收主认证***发送的RADIUS报文后向主认证***切换;一种方式是对备认证***中的认证服务器进行检测,若备认证***故障,则切换回主认证***。
对于第一种方式,切换到步骤502后还包括:
步骤503a,主认证***中RADIUS服务器继续周期性向安全策略服务器发送心跳报文。
步骤504a,主认证***中RADIUS服务器接收到安全策略服务器发送的心跳响应报文后,开始接收接入设备发送的RADIUS报文,并向接入设备返回响应报文。
具体的,RADIUS服务器可以设置切换次数n,连续重新接收到心跳响应报文的次数达到n时,RADIUS服务器判断安全策略服务器恢复正常,开始接收接入设备发送的RADIUS报文,并向接入设备返回响应报文。
步骤505a,接入设备重新收到主认证***RADIUS服务器发送的响应报文,切换回主认证***。
具体的,接入设备收到响应报文后,根据该响应报文携带的IP地址等信息获知既有来自备认证***的响应报文,也有来自主认证***的响应报文,此时,接入设备将切换回主认证***。
对于第二种方式,如图6所示,切换到步骤502后还包括:
步骤503b,备认证***RADIUS服务器接收接入设备发送的RADIUS报文,并向接入设备发送响应报文。
具体的,切换到备认证***后,接入设备还可以启动报警机制通知用户切换完成,由用户对发生故障的主认证***进行处理。备认证***RADIUS服务器接收RADIUS报文后,向接入设备发送响应报文,对客户端进行认证。并且,备认证***RADIUS服务器通过与备认证***安全策略服务器的交互判断备认证***安全策略服务器的工作状态。
步骤504b,当备认证***RADIUS服务器连续N次没有收到安全策略服务器的心跳响应报文后,备认证***RADIUS服务器停止接收接入设备发送的RADIUS报文。
具体的,与步骤501中相似,备认证***RADIUS服务器也可以设置连续没有收到安全策略服务器的心跳响应报文的最大时间,或者连续没有收到安全策略服务器的心跳响应报文的最大次数。当RADIUS服务器连续没有接收到安全策略服务器的心跳响应报文的时间,或者连续没有收到安全策略服务器的心跳响应报文的次数达到预设值时,RADIUS服务器判断安全策略服务器故障,将接入设备发送的RADIUS报文直接丢弃,从而停止向接入设备发送响应报文。
步骤505b,接入设备检测没有收到备认证***RADIUS服务器的响应报文,切换到主认证***。
此时,备认证***中也可以设置报警装置发出报警,通知用户备认证***故障。
在第二种方式下,为了避免当主备认证***同时发生故障,接入设备在主备认证***之间发生频繁切换的情况,可以在接入设备中设置切换时间间隔T,即接入设备执行认证***切换的时间间隔不小于T。
通过采用本发明提供的***和方法,RADIUS服务器向安全策略服务器发送心跳报文并接收安全策略服务器发送的心跳响应报文,当在预设时间内没有接收到心跳响应报文时,或者连续没有接收到本***的安全策略服务器发送的心跳响应报文的次数达到预设最大次数时,RADIUS服务器停止向接入设备发送响应报文,使接入设备进行主备认证***切换。
本发明还提供一种设备,应用于包括主备认证***的安全认证***中,所述主备认证***分别包括RADIUS服务器、安全策略服务器,所述主备认证***分别通过RADIUS服务器与所述接入设备连接,RADIIUS服务器通过接收所述接入设备发送的RADIUS报文并发送响应报文保持本***与接入设备之间的连接,如图7所示,该设备具体可以为所述RADIUS服务器或者RADIUS服务器的一部分,也可以为独立于RADIUS服务器的单独的装置。包括统计单元21与收发单元22,其中
所述统计单元21,与所述收发单元22连接,用于统计所述收发单元22没有接收到所述安全策略服务器发送的心跳响应报文的时间;或者统计所述收发单元22连续没有接收到所述本***的安全策略服务器发送的心跳响应报文的次数,当没有接收到安全策略服务器发送的心跳响应报文的时间达到预设时间,或者没有接收到所述本***的安全策略服务器发送的心跳响应报文的次数达到预设最大次数时,向所述收发单元22发送通知;
所述收发单元22,用于接收所述接入设备发送的RADIUS报文,向所述接入设备发送响应报文;并且,向本***的安全策略服务器发送心跳报文,接收所述本***的安全策略服务器发送的心跳响应报文;当接收到所述统计单元21发送的通知后,停止向所述接入设备发送响应报文。具体的,接收到统计单元21发送的停止向所述接入设备发送响应报文的通知后,收发单元22停止接收所述接入设备发送的RADIUS报文,例如直接丢弃接收到的所述接入设备发送的RADIUS报文,停止向所述接入设备发送响应报文。
本发明提供的设备,还包括:
获取单元23,与所述收发单元22连接,用于获取配置的向所述安全策略服务器发送心跳报文的端口以及特定用户名。具体的,RADIUS服务器所属认证***还包括数据库,该数据库内存储RADIUS服务器的心跳报文发送端口号、以及心跳报文的特定用户名。获取单元23读取数据库存储的信息,获取向所述安全策略服务器发送心跳报文的端口以及特定用户名。收发单元22向本***的安全策略服务器发送心跳报文时,通过所述获取单元23获取的端口向所述安全策略服务器发送携带所述特定用户名的心跳报文。安全策略服务器根据心跳报文中的特定用户名获知该心跳报文为探测用报文,直接回复心跳响应报文。
配置单元24,与所述统计单元21相连接,用于配置所述统计单元21内所述收发单元22没有接收到所述安全策略服务器发送的心跳响应报文的最大时间、或者所述收发单元22连续没有接收到所述本***的安全策略服务器发送的心跳响应报文的最大次数。
探测单元25,与所述获取单元23相连接,用于在设备启动时探测本认证***内是否配置安全策略服务器。当探测结果为本认证***内配置了安全策略服务器时,所述获取单元23获取配置的向所述安全策略服务器发送心跳报文的端口以及特定用户名。
所述收发单元22还用于:当所述RADIUS服务器处于主认证***时,在停止向所述接入设备发送响应报文后,继续向所述安全策略服务器发送心跳报文;并在重新接收到所述安全策略服务器发送的心跳响应报文后,重新开始向所述接入设备发送响应报文;
在所述接入设备由主认证***切换到备认证***后,当所述RADIUS服务器处于备认证***时,并且在预定时间或预定次数内,没有收到备认证***的安全策略服务器发送的心跳报文,则重新切换至主认证***开始向接入设备发送响应报文。
通过采用本发明提供的RADIUS服务器,RADIUS服务器向安全策略服务器发送心跳报文并接收安全策略服务器发送的心跳响应报文,当在预设时间内没有接收到心跳响应报文时,或者连续没有接收到本***的安全策略服务器发送的心跳响应报文的次数达到预设最大次数时,RADIUS服务器停止向接入设备发送响应报文,使接入设备进行主备认证***切换。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到本发明可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述的方法。
本领域技术人员可以理解附图只是一个优选实施例的示意图,附图中的模块或流程并不一定是实施本发明所必须的。
本领域技术人员可以理解实施例中的装置中的模块可以按照实施例描述进行分布于实施例的装置中,也可以进行相应变化位于不同于本实施例的一个或多个装置中。上述实施例的模块可以合并为一个模块,也可以进一步拆分成多个子模块。
上述本发明实施例序号仅仅为了描述,不代表实施例的优劣。
以上公开的仅为本发明的几个具体实施例,但是,本发明并非局限于此,任何本领域的技术人员能思之的变化都应落入本发明的保护范围。
Claims (12)
1、一种安全认证***主备切换方法,其特征在于,应用于包括主备认证***的安全认证***,所述主备认证***分别包括RADIUS服务器、安全策略服务器,所述主备认证***分别通过RADIUS服务器与所述接入设备连接,RADIIUS服务器通过接收所述接入设备发送的RADIUS报文并发送响应报文保持本***与所述接入设备之间的连接,该方法包括以下步骤:
RADIUS服务器向本***的安全策略服务器发送心跳报文,接收所述本***的安全策略服务器发送的心跳响应报文;
当所述RADIUS服务器在预设时间内没有接收到所述本***的安全策略服务器发送的心跳响应报文时,或者所述RADIUS服务器连续没有接收到所述本***的安全策略服务器发送的心跳响应报文的次数达到预设最大次数时,所述RADIUS服务器停止向所述接入设备发送响应报文;
所述接入设备停止接收到所述RADIUS服务器发送的响应报文,进行主备认证***切换。
2、如权利要求1所述的方法,其特征在于,所述RADIUS服务器向本***的安全策略服务器发送心跳报文,接收所述安全策略服务器发送的心跳响应报文包括:
所述RADIUS服务器获取配置的所述安全策略服务器的IP地址、向所述安全策略服务器发送心跳报文的端口以及特定用户名,通过所述端口向所述安全策略服务器发送携带所述特定用户名的心跳报文;
所述安全策略服务器接收所述心跳报文,获取所述心跳报文携带的特定用户名,直接向所述RADIUS服务器发送心跳响应报文。
3、如权利要求1所述的方法,其特征在于,所述RADIUS服务器停止向所述接入设备发送响应报文具体为:
所述RADIUS服务器直接丢弃接收到的所述接入设备发送的RADIUS报文,停止向所述接入设备发送响应报文。
4、如权利要求1至3中任一项所述的方法,其特征在于,所述接入设备进行主备认证***切换之后,还包括:
当所述接入设备由主认证***切换到备认证***后,所述主认证***的RADIUS服务器继续向本***安全策略服务器发送心跳报文;
当所述主认证***的RADIUS服务器接收到所述本***安全策略服务器发送的心跳响应报文后,所述主认证***的RADIUS服务器开始向所述接入设备发送响应报文;
所述接入设备接收到所述响应报文后,切换到主认证***。
5、如权利要求4所述的方法,其特征在于,当所述主认证***的RADIUS服务器接收到所述本***安全策略服务器发送的心跳响应报文后,所述主认证***的RADIUS服务器开始向所述接入设备发送响应报文具体为:
当所述主认证***的RADIUS服务器连续接收到所述本***安全策略服务器发送的心跳响应报文的次数达到预设切换次数时,所述主认证***的RADIUS服务器开始向所述接入设备发送响应报文。
6、如权利要求1至3中任一项所述的方法,其特征在于,所述接入设备进行主备认证***切换之后,还包括:
当所述接入设备由主认证***切换到备认证***后,所述备认证***的RADIUS服务器接收所述接入设备发送的RADIUS报文,并向所述接入设备发送响应报文;
当所述备认证***的RADIUS服务器在预设时间内没有接收到本***的安全策略服务器发送的心跳响应报文时,或者连续没有接收到本***的安全策略服务器发送的心跳响应报文的次数达到预设最大次数时,所述备认证***的RADIUS服务器停止向所述接入设备发送响应报文;
所述接入设备停止接收到所述备认证***的RADIUS服务器发送的响应报文,切换到主认证***。
7、一种安全认证***,其特征在于,包括主备认证***,所述主备认证***分别包括RADIUS服务器、安全策略服务器,所述主备认证***分别与所述接入设备连接,其中
所述RADIUS服务器,与所述接入设备和本***的安全策略服务器连接,用于接收所述接入设备发送的RADIUS报文,向所述接入设备发送响应报文;并且,向所述本***的安全策略服务器发送心跳报文,接收所述本***的安全策略服务器发送的心跳响应报文;当在预设时间内没有接收到所述安全策略服务器发送的心跳响应报文时,或者连续没有接收到所述本***的安全策略服务器发送的心跳响应报文的次数达到预设最大次数时,停止向所述接入设备发送响应报文;
所述安全策略服务器,与本***的RADIUS服务器连接,用于接收所述本***的RADIUS服务器发送的心跳报文,向所述本***的RADIUS服务器发送心跳响应报文;
所述接入设备,与所述主备认证***的RADIUS服务器连接,用于向当前认证***的RADIUS服务器发送RADIUS报文,接收所述当前认证***的RADIUS服务器发送的响应报文,当停止接收到所述当前认证***的RADIUS服务器发送的响应报文时,进行主备认证***切换。
8、一种如权利要求1所述方法对应的设备,其特征在于,应用于包括主备认证***的安全认证***,所述主备认证***分别包括RADIUS服务器、安全策略服务器,所述主备认证***分别通过RADIUS服务器与所述接入设备连接,RADIIUS服务器通过接收所述接入设备发送的RADIUS报文并发送响应报文保持本***与所述接入设备之间的连接,该设备包括统计单元与收发单元,其中
所述统计单元,与所述收发单元连接,用于统计所述收发单元没有接收到所述安全策略服务器发送的心跳响应报文的时间,当该时间达到预设时间时,向所述收发单元发送通知;或者统计所述收发单元连续没有接收到所述本***的安全策略服务器发送的心跳响应报文的次数,当该次数达到预设最大次数时,向所述收发单元发送通知;
所述收发单元,用于接收所述接入设备发送的RADIUS报文,向所述接入设备发送响应报文;并且,向本***的安全策略服务器发送心跳报文,接收所述本***的安全策略服务器发送的心跳响应报文;当接收到所述统计单元发送的通知后,停止向所述接入设备发送响应报文。
9、如权利要求8所述的设备,其特征在于,还包括:
获取单元,与所述收发单元连接,用于获取配置的所述安全策略服务器的IP地址、向所述安全策略服务器发送心跳报文的端口以及特定用户名;
配置单元,与所述统计单元相连接,用于配置所述统计单元内所述收发单元没有接收到所述安全策略服务器发送的心跳响应报文的最大时间、或者所述收发单元连续没有接收到所述本***的安全策略服务器发送的心跳响应报文的最大次数;
探测单元,与所述获取单元相连接,用于在设备启动时探测本认证***内是否配置安全策略服务器。
10、如权利要求9所述的设备,其特征在于,所述收发单元具体用于:通过所述获取单元获取的端口向所述安全策略服务器发送携带所述特定用户名的心跳报文。
11、如权利要求8所述的设备,其特征在于,所述收发单元还用于:
当接收到所述统计单元发送停止向所述接入设备发送响应报文的通知后,直接丢弃接收到的所述接入设备发送的RADIUS报文,停止向所述接入设备发送响应报文;并且
在停止向所述接入设备发送响应报文后,当所述RADIUS服务器处于主认证***时,继续向所述安全策略服务器发送心跳报文,当重新接收到所述安全策略服务器发送的心跳响应报文后,重新开始向所述接入设备发送响应报文;或者
在所述接入设备由主认证***切换到备认证***后,当所述RADIUS服务器处于备认证***时,且在预设时间或预定次数内没有收到所述备认证***的安全策略服务器发送的心跳报文,重新切换至主认证***开始向所述接入设备发送响应报文。
12、如权利要求11所述的设备,其特征在于,所述收发单元具体用于:
连续接收到所述安全策略服务器发送的心跳响应报文的次数达到预设切换次数时,重新开始向所述接入设备发送响应报文。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN200910180967A CN101667933A (zh) | 2009-10-23 | 2009-10-23 | 一种安全认证***及其主备切换方法和设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN200910180967A CN101667933A (zh) | 2009-10-23 | 2009-10-23 | 一种安全认证***及其主备切换方法和设备 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN101667933A true CN101667933A (zh) | 2010-03-10 |
Family
ID=41804386
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN200910180967A Pending CN101667933A (zh) | 2009-10-23 | 2009-10-23 | 一种安全认证***及其主备切换方法和设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101667933A (zh) |
Cited By (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102736608A (zh) * | 2012-07-09 | 2012-10-17 | 长沙中联消防机械有限公司 | 网络通信***、故障控制方法及工程机械设备 |
| CN104199866A (zh) * | 2014-08-18 | 2014-12-10 | 中国建设银行股份有限公司 | 一种报盘机异常处理方法及装置 |
| WO2015158058A1 (zh) * | 2014-04-18 | 2015-10-22 | 中兴通讯股份有限公司 | 一种实现呼叫保存和恢复的方法及*** |
| CN105554130A (zh) * | 2015-12-18 | 2016-05-04 | 深圳中兴网信科技有限公司 | 基于分布式存储***的NameNode切换方法和切换装置 |
| CN105681224A (zh) * | 2014-11-20 | 2016-06-15 | 中兴通讯股份有限公司 | 一种实现用户接入的方法及装置 |
| US9397914B2 (en) | 2013-08-29 | 2016-07-19 | Hon Hai Precision Industry Co., Ltd. | Network equipment and method for selecting communication path |
| CN106911504A (zh) * | 2017-02-27 | 2017-06-30 | 上海斐讯数据通信技术有限公司 | 一种基于云ac***实现对aaa源主备控制方法及*** |
| CN109347679A (zh) * | 2018-11-06 | 2019-02-15 | 深圳市风云实业有限公司 | 双主控板热备切换方法、装置、接入网关及安全网络*** |
| CN109587121A (zh) * | 2018-11-20 | 2019-04-05 | 锐捷网络股份有限公司 | 安全策略的管控方法及装置 |
-
2009
- 2009-10-23 CN CN200910180967A patent/CN101667933A/zh active Pending
Cited By (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102736608A (zh) * | 2012-07-09 | 2012-10-17 | 长沙中联消防机械有限公司 | 网络通信***、故障控制方法及工程机械设备 |
| US9397914B2 (en) | 2013-08-29 | 2016-07-19 | Hon Hai Precision Industry Co., Ltd. | Network equipment and method for selecting communication path |
| WO2015158058A1 (zh) * | 2014-04-18 | 2015-10-22 | 中兴通讯股份有限公司 | 一种实现呼叫保存和恢复的方法及*** |
| CN105007143A (zh) * | 2014-04-18 | 2015-10-28 | 中兴通讯股份有限公司 | 一种实现呼叫保存和恢复的方法及*** |
| CN104199866A (zh) * | 2014-08-18 | 2014-12-10 | 中国建设银行股份有限公司 | 一种报盘机异常处理方法及装置 |
| CN104199866B (zh) * | 2014-08-18 | 2018-01-23 | 中国建设银行股份有限公司 | 一种报盘机异常处理方法及装置 |
| CN105681224A (zh) * | 2014-11-20 | 2016-06-15 | 中兴通讯股份有限公司 | 一种实现用户接入的方法及装置 |
| CN105554130A (zh) * | 2015-12-18 | 2016-05-04 | 深圳中兴网信科技有限公司 | 基于分布式存储***的NameNode切换方法和切换装置 |
| CN106911504A (zh) * | 2017-02-27 | 2017-06-30 | 上海斐讯数据通信技术有限公司 | 一种基于云ac***实现对aaa源主备控制方法及*** |
| CN109347679A (zh) * | 2018-11-06 | 2019-02-15 | 深圳市风云实业有限公司 | 双主控板热备切换方法、装置、接入网关及安全网络*** |
| CN109587121A (zh) * | 2018-11-20 | 2019-04-05 | 锐捷网络股份有限公司 | 安全策略的管控方法及装置 |
| CN109587121B (zh) * | 2018-11-20 | 2021-06-18 | 锐捷网络股份有限公司 | 安全策略的管控方法及装置 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101667933A (zh) | 一种安全认证***及其主备切换方法和设备 | |
| CN101247396B (zh) | 一种分配ip地址的方法、装置及*** | |
| CN101557405B (zh) | 一种入口认证方法及其对应的网关设备、服务器 | |
| CN101090402B (zh) | 使用会话管理服务器的瘦客户机***和会话管理方法 | |
| CN104158824B (zh) | 网络实名认证方法及*** | |
| CN105162777B (zh) | 一种无线网络登录方法及装置 | |
| CN110324287A (zh) | 接入认证方法、装置及服务器 | |
| CN101616137B (zh) | 主机安全接入方法、隔离方法及安全接入和隔离的*** | |
| CN106878139B (zh) | 基于802.1x协议的认证逃生方法及装置 | |
| CA2775900A1 (en) | Systems and methods for authenticating users accessing unsecured wifi access points | |
| CN101778019A (zh) | 一种心跳检测报文的发送方法和设备 | |
| CN103945385B (zh) | 移动终端防盗的方法及其装置 | |
| CN110166436A (zh) | 采用随机选择进行动态调度的拟态Web网关***及方法 | |
| CN106161348A (zh) | 一种单点登录的方法、***以及终端 | |
| CN104580237B (zh) | 一种登录网站的方法以及其服务器、客户端和外设 | |
| CN106161003A (zh) | 应用程序登录方法及终端、*** | |
| CN102413466A (zh) | 一种手机登录认证方法 | |
| CN103023727A (zh) | Portal性能测试***及方法 | |
| CN104837134B (zh) | 一种Web认证用户登录方法、设备和*** | |
| CN105577757A (zh) | 基于负载均衡的智能电力终端的多级管理***及认证方法 | |
| CN103152351A (zh) | 网络设备、ad 域单点登录的方法及*** | |
| CN103888465A (zh) | 一种网页劫持检测方法及装置 | |
| KR100985750B1 (ko) | 주민등록번호 대체번호 발급시스템 | |
| CN103476025A (zh) | 进程管理方法及***、移动终端 | |
| CN101854357A (zh) | 网络认证监控方法及*** |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C12 | Rejection of a patent application after its publication | ||
| RJ01 | Rejection of invention patent application after publication |
Open date: 20100310 |