CN101699893B - 认证服务器集群的鉴别服务实体ase状态的更改方法 - Google Patents
认证服务器集群的鉴别服务实体ase状态的更改方法 Download PDFInfo
- Publication number
- CN101699893B CN101699893B CN200910193828A CN200910193828A CN101699893B CN 101699893 B CN101699893 B CN 101699893B CN 200910193828 A CN200910193828 A CN 200910193828A CN 200910193828 A CN200910193828 A CN 200910193828A CN 101699893 B CN101699893 B CN 101699893B
- Authority
- CN
- China
- Prior art keywords
- certificate server
- ase
- service entities
- state
- certificate
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Landscapes
- Computer And Data Communications (AREA)
Abstract
本发明涉及无线通信***的技术领域,特别涉及认证服务器集群多个鉴别服务实体ASE状态的更改方法。本发明旨在解决一个鉴别服务实体已在认证服务器集群中的一台认证服务器中启用,却因为其他认证服务器的该鉴别服务实体没有启用而发生相应鉴别服务请求的认证失败的问题。本发明给出认证服务器集群的鉴别服务实体状态的更改方法,认证服务器集群的鉴别服务实体状态的更改方法,通过一台认证服务器获得鉴别服务实体状态更改信息,将所获得的鉴别服务实体状态更改信息发送给集群内其他认证服务器,使得集群内所有的认证服务器的鉴别服务实体状态均能够按照此信息统一更改至一致状态。
Description
技术领域
本发明涉及无线通信***的技术领域,特别涉及认证服务器集群多个鉴别服务实体ASE状态的更改方法。
背景技术
近年来,以无线局域网(WLAN)和无线城域网(WMAN)技术为代表的宽带无线网络得到迅猛发展,各种新型宽带技术在全球范围内得到广泛应用。对于无线网络来说,其安全性比有线网络低许多。网络监听者可能冒充其他用户获取有用信息,也可以通过窃听用户的通信非法获得用户的信息。中国宽带无线IP标准工作组提出了三元对等鉴别(Triple-element Peer Authentication,简称TePA)可信架构,应用于WLAN形成了无线局域网鉴别与保密基础结构(WLAN Authentication and Privacy Infrastructure,简称WAPI)协议,可以有效解决IEEE 802.11协议存在的安全问题。可以说,WAPI是TePA的一个应用实例,用于解决无线局域网接入安全问题。申请号为200810027930.0的专利《一种无线城域网的安全接入方法》(以下简称WMAN-SA)是TePA的另一个应用实例,用于解决无线城域网接入安全问题。上述WAPI和WMAN-SA安全网络都包括三个网络单元:终端、接入点和认证服务器。
在一个基于TePA的无线网络(如WAPI和WMAN-SA网络)中,终 端和接入点通过认证服务器中的鉴别服务实体(ASE)所提供的鉴别服务来达到相互认证身份的目标。目前可以看到,基于WAPI或WMAN-SA协议的认证服务器,特定的接入点和终端都需指定一个鉴别服务实体(ASE),如果终端的证书是由不同鉴别服务实体(ASE)颁发的,则接入点需要将包含接入点和终端证书的证书鉴别请求消息发送到对应的鉴别服务实体进行认证。
由于在典型的网络环境下,网络资源分属于不同的组织,而不同的组织可能配置不同的鉴别服务实体。这种情况下,认证服务器中应支持多个鉴别服务实体的并发运行,以实现跨鉴别服务实体的资源共享和协同计算,节省计算资源。
另外,随着网络的普及,认证服务器需要为越来越多的用户(接入点和终端)提供接入认证服务,在这种条件下,即使单台认证服务器性能再高,所能提供的接入认证服务也是有限的,因此,一般采用多台认证服务器构成认证服务器集群***,为众多用户提供服务,但希望集群内部设置对用户透明,即认证服务器集群的对外表现如同一台认证服务器。这种方式借鉴了并行计算和负载均衡研究中的有关技术,形成了目前的认证服务器集群技术。
如果采用认证服务器集群技术,集群中将存在多台认证服务器。对于各台认证服务器,均可支持多个鉴别服务实体,可能会存在着某些认证服务器间鉴别服务实体状态没有及时更改,使得某一认证服务器中某一鉴别服务实体已经启用,而另一认证服务器的这一鉴别服务实体尚未启用,此时,如负载均衡调度器将这一鉴别服务实体的用户认证请求发至未启用该 鉴别服务实体的认证服务器,则这个用户请求将被丢弃不处理,从而导致认证失败。认证过程的失败,将造成用户无法接入网络。
发明内容
本发明旨在解决一个鉴别服务实体已在认证服务器集群中的一台认证服务器中启用,却因为其他认证服务器的该鉴别服务实体没有启用而发生相应鉴别服务请求的认证失败的问题。
为解决上述技术问题,本发明给出认证服务器集群的鉴别服务实体状态的更改方法,认证服务器集群的鉴别服务实体状态的更改方法,通过一台认证服务器获得鉴别服务实体状态更改信息,将所获得的鉴别服务实体状态更改信息发送给集群内其它认证服务器,使得集群内所有的认证服务器的鉴别服务实体状态均能够按照此信息统一更改至一致状态,具体步骤包括:
管理员登录认证服务器集群中的某一台认证服务器,通过这台认证服务器,设置或更改在共享存储设备中的ASE(鉴别服务实体)配置信息表中的ASE状态;
完成ASE配置信息表的设置或更改后,该认证服务器对本地的ASE协议处理模块进行状态的更改,同时发出ASE配置更改广播消息通知集群内其它认证服务器。
所述ASE状态为激活或暂停或退出。
本发明相对于现有技术的有益效果是:
本发明方法是通过对认证服务器集群中的某一台认证服务器获得鉴别服务实体状态更改信息,将所获得的鉴别服务实体状态更改信息发送给集群内其他认证服务器,使得集群内所有的认证服务器的鉴别服务实体状态均能够按照此信息统一更改,这就使得如果一个鉴别服务实体在认证服 务器集群中的一台认证服务器启用,则集群中所有认证服务器均启用该鉴别服务实体,那么相应的鉴别服务请求无论被调度到哪台认证服务器,都能够进行认证。
附图说明
图1是本发明认证服务器集群组成示意图。
具体实施方式
下面结合附图和具体实施方式对本发明作进一步详细的说明。
参见图1,认证服务器集群包括负载均衡调度器、认证服务器池和共享存储设备等。认证服务器池和负载均衡调度器通过汇聚结点(如交换机等)进行网络互联。
负载均衡调度器,用于接收用户身份认证请求消息,并分发该请求消息给某台认证服务器。
认证服务器池,包含多台认证服务器。每台认证服务器中运行有多个鉴别服务实体(ASE)协议处理模块,每个鉴别服务实体(ASE)协议处理模块处理属于某个特定鉴别服务实体的用户身份请求消息,并把认证响应消息发送给用户。
共享存储设备存储各鉴别服务实体和认证服务器的信息,其存储内容如下:
1.各个鉴别服务实体的ASE配置信息表,表中信息:ASE编号(ASE ID,ID=1,2,......,m),ASE类型(支持WAPI或WMAN-SA、或其他类型认证协议),ASE状态(未激活/激活/暂停/退出),以及对应的ASE证书信息;
2.各台认证服务器信息表(AS信息表),表中信息:认证服务器编号 (AS ID,ID=1,2,......,n),运行状态(正常/故障),负载情况(丢包率、CPU占用情况)等。
以WAPI网络为例,认证服务器集群处理身份认证请求流程描述如下:
a.负载均衡调度器等待接收用户的WAPI认证请求消息;
b.收到用户的WAPI认证请求消息后,负载均衡调度器在共享存储设备中,查询各个AS信息表,根据其运行状态(正常/故障)、负载情况(丢包率、CPU占用情况),采用负载均衡和调度算法,把该身份认证请求消息转发给认证服务器池中的某台认证服务器,接着继续接收身份认证请求消息。
c.认证服务器池中的某台认证服务器接收到负载均衡调度器发送来的身份认证请求消息之后,解析该消息中的用户身份信息,查询共享存储设备的ASE配置信息表,定位该用户所属的鉴别服务实体(如ASE i),则
c1.如果在ASE配置信息表得不到匹配的鉴别服务实体,该认证服务器向管理员发出告警信息,说明可能存在某个鉴别服务实体的ASE服务未启用。
c2.如果在ASE配置信息表得到匹配的鉴别服务实体,则对该身份认证请求消息进行验证和用户身份认证,构造身份认证响应消息,并把该身份认证响应消息发送给用户。
为此,必须保证集群中各台认证服务器具有相同的鉴别服务实体状态,而实现认证服务器集群中各台认证服务器鉴别服务实体状态同步的方法如下:
管理员登录认证服务器集群中的某一台认证服务器,通过这台认证服 务器,设置或更改在共享存储设备中的ASE配置信息表中的ASE状态(激活/暂停/退出)。完成ASE配置信息表的修改后,该认证服务器对本地的ASE协议处理模块进行状态的更改,同时发出ASE配置更改广播消息通知认证服务器池中的其它认证服务器设备。ASE配置更改广播消息中的字段内容包括:当前认证服务器编号,ASE编号、ASE类型、消息新鲜性标识、更改后的ASE状态。
其它认证服务器收到该ASE配置更改广播消息后,如其模块的消息接收队列中还存在其他内容,则应优先执行此消息。解析该消息,得到消息的各个字段内容,并进行如下操作:
(1)检查消息新鲜性标识;如果该消息的消息新鲜性标识和之前(一段时间内)本地存储的某条消息新鲜性标识一致,则确定该消息为重发消息,需要丢弃,并在认证服务器本地存储该标识;
(2)确定消息中ASE编号、ASE类型(WAPI认证协议)、ASE身份信息和认证服务器本地的ASE编号、ASE类型一致;如果认证服务器本地还未创建该ASE鉴别服务实体,则应从共享存储设备中读取证书信息和私钥,创建鉴别服务实体,并设置为消息字段描述的“更改后的ASE状态”;如认证服务器本地已创建了该鉴别服务实体,应对比本地ASE状态和消息字段描述的“更改后的ASE状态”是否一致。
(3)将本地对应的鉴别服务实体的状态更改为消息中的“更改后的ASE状态”。
Claims (2)
1.认证服务器集群的鉴别服务实体ASE状态的更改方法,通过一台认证服务器获得鉴别服务实体状态更改信息,其特征在于将所获得的鉴别服务实体状态更改信息发送给集群内其他认证服务器,使得集群内所有的认证服务器的鉴别服务实体状态均能够按照此信息统一更改至一致状态,具体步骤包括:
管理员登录认证服务器集群中的某一台认证服务器,通过这台认证服务器,设置或更改在共享存储设备中的ASE配置信息表中的ASE状态;
完成ASE配置信息表的设置或更改后,该认证服务器对本地的ASE协议处理模块进行状态的更改,同时发出ASE配置更改广播消息通知集群内其它认证服务器。
2.根据权利要求1所述的认证服务器集群的鉴别服务实体ASE状态的更改方法,其特征在于所述ASE状态为激活或暂停或退出。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN200910193828A CN101699893B (zh) | 2009-11-10 | 2009-11-10 | 认证服务器集群的鉴别服务实体ase状态的更改方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN200910193828A CN101699893B (zh) | 2009-11-10 | 2009-11-10 | 认证服务器集群的鉴别服务实体ase状态的更改方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101699893A CN101699893A (zh) | 2010-04-28 |
| CN101699893B true CN101699893B (zh) | 2012-09-05 |
Family
ID=42148333
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN200910193828A Expired - Fee Related CN101699893B (zh) | 2009-11-10 | 2009-11-10 | 认证服务器集群的鉴别服务实体ase状态的更改方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101699893B (zh) |
Families Citing this family (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103069741A (zh) * | 2011-08-17 | 2013-04-24 | 华为技术有限公司 | 凭据认证方法及单点登录服务器 |
| CN102685100B (zh) * | 2012-03-08 | 2015-05-20 | 珠海市君天电子科技有限公司 | 分布式文件安全性鉴定方法 |
| CN104660409B (zh) * | 2013-11-25 | 2018-10-23 | 北京神州泰岳软件股份有限公司 | 集群环境下***登录的方法和认证服务器集群 |
| CN106487706A (zh) * | 2016-09-28 | 2017-03-08 | 苏州迈科网络安全技术股份有限公司 | 基于TCP协议的设备功能许可的license认证方法及认证平台 |
| CN109450621B (zh) * | 2018-10-12 | 2021-06-18 | 广州杰赛科技股份有限公司 | 一种设备的信息校验方法与装置 |
| CN110688646B (zh) * | 2019-10-14 | 2021-12-03 | 广州麦仑信息科技有限公司 | 一种应用于掌脉识别的多服务器集群的安全认证方法 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1486013A (zh) * | 2002-09-23 | 2004-03-31 | 华为技术有限公司 | 一种对网络接入用户进行认证的方法 |
| CN1585326A (zh) * | 2004-05-26 | 2005-02-23 | 华南理工大学 | 数字证书签发服务器集群方法及*** |
| CN101232514A (zh) * | 2008-01-24 | 2008-07-30 | 创新科存储技术(深圳)有限公司 | 网络附加存储节点的元数据同步方法及网络附加存储节点 |
| CN101431410A (zh) * | 2007-11-09 | 2009-05-13 | 康佳集团股份有限公司 | 一种网络游戏客户端与服务器集群的认证方法 |
-
2009
- 2009-11-10 CN CN200910193828A patent/CN101699893B/zh not_active Expired - Fee Related
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1486013A (zh) * | 2002-09-23 | 2004-03-31 | 华为技术有限公司 | 一种对网络接入用户进行认证的方法 |
| CN1585326A (zh) * | 2004-05-26 | 2005-02-23 | 华南理工大学 | 数字证书签发服务器集群方法及*** |
| CN101431410A (zh) * | 2007-11-09 | 2009-05-13 | 康佳集团股份有限公司 | 一种网络游戏客户端与服务器集群的认证方法 |
| CN101232514A (zh) * | 2008-01-24 | 2008-07-30 | 创新科存储技术(深圳)有限公司 | 网络附加存储节点的元数据同步方法及网络附加存储节点 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN101699893A (zh) | 2010-04-28 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US20130174239A1 (en) | Reinforced authentication system and method using context information at the time of access to mobile cloud service | |
| CN101699893B (zh) | 认证服务器集群的鉴别服务实体ase状态的更改方法 | |
| CN103597799B (zh) | 服务访问认证方法和*** | |
| CN101699894B (zh) | 在认证服务器集群中处理认证请求的方法和装置 | |
| CN101032107A (zh) | 移动单元在无线网络中快速漫游的方法和*** | |
| CN102195957A (zh) | 一种资源共享方法、装置及*** | |
| CN109995769B (zh) | 一种多级异构跨区域的全实时安全管控方法和*** | |
| CN101800986A (zh) | 实现终端锁网及解锁的方法、装置 | |
| CN102984045A (zh) | 虚拟专用网的接入方法及虚拟专用网客户端 | |
| JP2010263310A (ja) | 無線通信装置、無線通信監視システム、無線通信方法、及びプログラム | |
| CN110392998A (zh) | 一种数据包校验方法及设备 | |
| CN113343196A (zh) | 一种物联网安全认证方法 | |
| US20120159574A1 (en) | Method and system for providing information sharing service for network attacks | |
| Sudha et al. | A review on privacy requirements and application layer security in internet of things (IoT) | |
| Tawfik et al. | A review: the risks and weakness security on the IoT | |
| Mishra et al. | Security perspectives of various IoT cloud platforms: a review & case study | |
| CN102045310A (zh) | 一种工业互联网入侵检测和防御方法及其装置 | |
| CN102546552B (zh) | 认证方法、设备和*** | |
| Muniasamy et al. | Formal methods based security for cloud-based manufacturing cyber physical system | |
| CN101610509B (zh) | 一种保护通信安全的方法、装置及*** | |
| CN110035082A (zh) | 一种交换机准入认证方法、交换机及*** | |
| KR20070102830A (ko) | 유무선 네트워크의 검역 및 정책기반 접속제어 방법 | |
| Gomba et al. | Architecture and security considerations for Internet of Things | |
| US11496504B2 (en) | SSL proxy whitelisting | |
| CN109040313B (zh) | 一种基于物体描述方法的具有网络面具的物联网*** |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20120905 Termination date: 20201110 |