CN108769016A - 一种业务报文的处理方法及装置 - Google Patents

一种业务报文的处理方法及装置 Download PDF

Info

Publication number
CN108769016A
CN108769016A CN201810532382.0A CN201810532382A CN108769016A CN 108769016 A CN108769016 A CN 108769016A CN 201810532382 A CN201810532382 A CN 201810532382A CN 108769016 A CN108769016 A CN 108769016A
Authority
CN
China
Prior art keywords
service
server
message
destination
verification system
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201810532382.0A
Other languages
English (en)
Other versions
CN108769016B (zh
Inventor
夏添
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
New H3C Security Technologies Co Ltd
Original Assignee
New H3C Security Technologies Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by New H3C Security Technologies Co Ltd filed Critical New H3C Security Technologies Co Ltd
Priority to CN201810532382.0A priority Critical patent/CN108769016B/zh
Publication of CN108769016A publication Critical patent/CN108769016A/zh
Application granted granted Critical
Publication of CN108769016B publication Critical patent/CN108769016B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/06Management of faults, events, alarms or notifications
    • H04L41/0654Management of faults, events, alarms or notifications using network fault recovery
    • H04L41/0668Management of faults, events, alarms or notifications using network fault recovery by dynamic selection of recovery network elements, e.g. replacement by the most appropriate element after failure
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/06Management of faults, events, alarms or notifications
    • H04L41/0677Localisation of faults
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/06Generation of reports
    • H04L43/062Generation of reports related to network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/02Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本申请实施例提供了一种业务报文的处理方法及装置,涉及通信技术领域,所述方法应用于接入设备,所述方法包括:向认证***中的目标服务器发送状态请求报文;接收目标服务器发送的反馈报文,反馈报文中携带有目标服务进程的状态信息;根据接收到的状态信息,当判定目标服务器发生故障时,若根据认证***中除目标服务器之外的其他服务器发送的反馈报文,确定认证***中与目标服务器服务类型相同的所有第一服务器均发生故障,则当接收到用户终端发送的业务报文时,根据业务报文携带的目的IP地址,对业务报文进行转发处理。采用本申请可以保证用户正常访问网络。

Description

一种业务报文的处理方法及装置
技术领域
本申请涉及通信技术领域,特别是涉及一种业务报文的处理方法及装置。
背景技术
Portal认证是一种常用的身份认证方式。Portal认证通常也称为Web认证,Portal认证网站可称为门户网站。在Portal认证中,当未认证的用户终端上线时,用户需要在门户网站进行身份认证,只有认证通过后才可以访问互联网资源。Portal认证***通常包含多个类型的服务器,比如认证服务器、AAA(Authentication、Authorization、Accounting,认证、授权、计费)服务器和安全策略服务器等。在实际组网中,认证服务器可以包括Portal认证服务器和Portal Web服务器。当用户终端上线时,认证服务器会对用户终端进行Portal认证(即用户名和密码认证),认证通过后,AAA服务器会对该用户终端进行认证、授权和计费等处理,并且,在用户终端访问无线网络的过程中,安全策略服务器会对该用户终端进行安全检测。
在基于Portal认证的网络***中,接入设备中通常设置有用户逃生机制,具体的处理过程为:基于Portal协议的保活机制,认证服务器会周期性的向接入设备发送保活报文,如果接入设备在预设时长内未接收到认证服务器发送的保活报文,则判定该认证服务器故障,此时,如果接入设备接收到用户终端发送的业务报文时,即使该用户终端未进行Portal认证,接入设备也会根据该业务报文中的目的IP地址,对该业务报文进行转发,无需进行Portal认证,以使该终端能够正常访问网络。
然而,现有技术中,认证服务器与接入设备之间通过Portal协议进行通信,因此,认证服务器会向接入设备发送保活报文,而Portal认证***中的其他服务器与接入设备之间不是通过Portal协议进行通信,不会向接入设备发送保活报文。所以,接入设备仅在认证服务器发生故障时,才开启用户逃生机制。而对于Portal认证***中的其他服务器,比如AAA服务器和安全策略服务器等,如果这些服务器发生故障,用户终端将无法访问网络。
发明内容
本申请实施例的目的在于提供一种业务报文的处理方法及装置,以提高开启用户逃生机制的及时性,从而保证用户正常访问网络。具体技术方案如下:
第一方面,提供了一种业务报文的处理方法,所述方法应用于接入设备,所述方法包括:
向认证***中的目标服务器发送状态请求报文,所述状态请求报文中携带有所述目标服务器中的目标服务进程的标识;
接收所述目标服务器发送的反馈报文,所述反馈报文中携带有所述目标服务进程的状态信息;
根据接收到的状态信息,当判定所述目标服务器发生故障时,若根据认证***中除目标服务器之外的其他服务器发送的反馈报文,确定认证***中与所述目标服务器服务类型相同的所有第一服务器均发生故障,则当接收到用户终端发送的业务报文时,根据所述业务报文携带的目的IP地址,对所述业务报文进行转发处理。
结合第一方面,在该第一方面的第一种可能实现方式中,当判定所述目标服务器发生故障时,还包括:
若根据认证***中除目标服务器之外的其他服务器发送的反馈报文,确定至少一第一服务器未发生故障,则将所述业务报文转发至所述至少一第一服务器中的任一服务器;或,
若根据认证***中除目标服务器之外的其他服务器发送的反馈报文,确定认证***中每个服务类型的服务器中均有至少一服务器未发生故障,则将接收到的业务报文转发至所述认证***。
结合第一方面,在该第一方面的第二种可能实现方式中,根据接收到的状态信息,通过以下方式判断所述目标服务器是否发生故障:
如果接收到的状态信息中,存在表示所述目标服务进程运行正常的状态信息,则判定所述目标服务器未发生故障;
如果接收到的状态信息中,不存在表示所述目标服务进程运行正常的状态信息,则判定所述目标服务器发生故障。
结合第一方面,在该第一方面的第三种可能实现方式中,所述反馈报文中还携带有所述目标服务器的资源利用率,所述方法还包括:
若根据认证***中除目标服务器之外的其他服务器发送的反馈报文,确定认证***中每个服务类型的服务器中均有至少一服务器未发生故障,则在所述至少一服务器中,确定资源利用率最低的服务器;
将所述业务报文发送给所述资源利用率最低的服务器。
结合第一方面,在该第一方面的第四种可能实现方式中,所述方法还包括:
当接收到用户终端发送的业务报文时,根据预先存储的认证用户列表,判断所述用户终端是否为待认证终端;
如果所述用户终端为待认证终端,则判断预先存储的逃生域列表中,是否包含所述业务报文携带的目的IP地址,所述逃生域列表中包含待认证终端能够访问的地址;
如果所述逃生域列表中包含所述业务报文携带的目的IP地址,则执行所述根据所述业务报文携带的目的IP地址,对所述业务报文进行转发处理的步骤;
如果所述逃生域列表中不包含所述业务报文携带的目的IP地址,则丢弃所述业务报文。
结合第一方面以及上述第一方面的任一可能实现方式,在该第一方面的第五种可能实现方式中,所述方法还包括:
获取所述用户终端的用户信息和所述业务报文的报文特征;
在预设的逃生用户列表中,添加所述用户终端对应的表项,所述表项至少包括用户终端的用户信息和所述业务报文的报文特征。
结合第一方面,在该第一方面的第六种可能实现方式中,所述方法还包括:
当根据认证***中服务器发送的反馈报文,确定认证***中每个服务类型的服务器中均有至少一服务器未发生故障时,将所述逃生用户列表中的用户信息发送给所述第一服务器中未发生故障的任一服务器;
接收返回的认证响应;
若根据所述认证响应确定所述用户信息认证失败,则执行以下至少一项操作:删除所述用户信息对应的用户上线信息、将所述用户信息对应的用户加入黑名单、当根据认证***中服务器发送的反馈报文,确定认证***中至少有一个服务类型的所有服务器均发生故障时,拒绝所述用户信息对应的用户上线。
第二方面,提供了一种业务报文的处理方法,所述方法应用于接入设备,所述方法包括:
向认证***中的目标服务器发送状态请求报文,所述状态请求报文中携带有所述目标服务器中的目标服务进程的标识;
接收所述目标服务器发送的反馈报文,所述反馈报文中携带有所述目标服务进程的状态信息;
根据接收到的状态信息,当判定所述目标服务进程发生故障时,若根据认证***中除目标服务器之外的其他服务器发送的反馈报文,确定认证***中与所述目标服务进程服务类型相同的所有第一服务进程均发生故障,则当接收到用户终端发送的业务报文时,根据所述业务报文携带的目的IP地址,对所述业务报文进行转发处理。
结合第二方面,在该第二方面的第一种可能实现方式中,当判定所述目标服务进程发生故障时,还包括:
若根据认证***中除目标服务器之外的其他服务器发送的反馈报文,确定至少一第一服务进程未发生故障,则将所述业务报文转发至所述至少一第一服务进程所在的任一服务器;或,
若根据认证***中除目标服务器之外的其他服务器发送的反馈报文,确定认证***中每个服务类型的服务进程中均有至少一服务进程未发生故障,则将接收到的业务报文转发至所述认证***。
结合第二方面,在该第二方面的第二种可能实现方式中,所述反馈报文中还携带有所述目标服务器的资源利用率,所述方法还包括:
若根据认证***中除目标服务器之外的其他服务器发送的反馈报文,确定认证***中每个服务类型的服务进程中均有至少一服务进程未发生故障,则在所述至少一服务进程所在的服务器中,确定资源利用率最低的服务器;
将所述业务报文发送给所述资源利用率最低的服务器。
结合第二方面以及上述第二方面的任一可能实现方式,在该第二方面的第三种可能实现方式中,所述方法还包括:
获取所述用户终端的用户信息和所述业务报文的报文特征;
在预设的逃生用户列表中,添加所述用户终端对应的表项,所述表项至少包括用户终端的用户信息和所述业务报文的报文特征。
结合第二方面,在该第二方面的第四种可能实现方式中,所述方法还包括:
当根据认证***中服务器发送的反馈报文,确定认证***中每个服务类型的服务进程中均有至少一服务进程未发生故障时,将所述逃生用户列表中的用户信息发送给未发生故障的任一第一服务进程所在的服务器;
接收返回的认证响应;
若根据所述认证响应确定所述用户信息认证失败,则执行以下至少一项操作:删除所述用户信息对应的用户上线信息、将所述用户信息对应的用户加入黑名单、当根据认证***中服务器发送的反馈报文,确定认证***中至少有一个服务类型的所有服务进程均发生故障时,拒绝所述用户信息对应的用户上线。
第三方面,提供了一种业务报文的处理方法,所述方法应用于认证***中的服务器,所述方法包括:
接收接入设备发送的状态请求报文,所述状态请求报文中携带有目标服务进程的标识;
根据所述目标服务进程的标识,获取所述目标服务进程的状态信息;
向所述接入设备发送反馈报文,所述反馈报文中携带有所述目标服务进程的状态信息。
结合第三方面,在该第三方面的第一种可能实现方式中,所述向所述接入设备发送反馈报文,之前还包括:获取本设备当前的资源利用率,根据所述资源利用率、目标服务进程的状态信息,封装所述反馈报文。
第四方面,提供了一种业务报文的处理装置,所述装置应用于接入设备,所述装置包括第一发送模块、第一接收模块和第一转发模块,或者,所述装置包括第二发送模块、第二接收模块和第二转发模块,其中:
所述第一发送模块,用于向认证***中的目标服务器发送状态请求消息,所述状态请求消息中携带有所述目标服务器中的目标服务进程的标识;
所述第一接收模块,用于接收所述目标服务器发送的反馈消息,所述反馈消息中携带有所述目标服务进程的状态信息;
所述第一转发模块,用于根据接收到的状态信息,当判定所述目标服务器发生故障时,若根据认证***中除目标服务器之外的其他服务器发送的反馈报文,确定认证***中与所述目标服务器服务类型相同的所有第一服务器均发生故障,则当接收到用户终端发送的业务报文时,根据所述业务报文携带的目的IP地址,对所述业务报文进行转发处理;
所述第二发送模块,用于向认证***中的目标服务器发送状态请求报文,所述状态请求报文中携带有所述目标服务器中的目标服务进程的标识;
所述第二接收模块,用于接收所述目标服务器发送的反馈报文,所述反馈报文中携带有所述目标服务进程的状态信息;
所述第二转发模块,用于根据接收到的状态信息,当判定所述目标服务进程发生故障时,若根据认证***中除目标服务器之外的其他服务器发送的反馈报文,确定认证***中与所述目标服务进程服务类型相同的所有第一服务进程均发生故障,则当接收到用户终端发送的业务报文时,根据所述业务报文携带的目的IP地址,对所述业务报文进行转发处理。
结合第四方面,在该第四方面的第一种可能实现方式中,所述装置还包括第三转发模块或第四转发模块,其中:
所述第三转发模块,用于若根据认证***中除目标服务器之外的其他服务器发送的反馈报文,确定至少一第一服务器未发生故障,则将所述业务报文转发至所述至少一第一服务器中的任一服务器;或,用于若根据认证***中除目标服务器之外的其他服务器发送的反馈报文,确定认证***中每个服务类型的服务器中均有至少一服务器未发生故障,则将接收到的业务报文转发至所述认证***;
所述第四转发模块,用于若根据认证***中除目标服务器之外的其他服务器发送的反馈报文,确定至少一第一服务进程未发生故障,则将所述业务报文转发至所述至少一第一服务进程所在的任一服务器;或,用于若根据认证***中除目标服务器之外的其他服务器发送的反馈报文,确定认证***中每个服务类型的服务进程中均有至少一服务进程未发生故障,则将接收到的业务报文转发至所述认证***。
结合第四方面,在该第四方面的第二种可能实现方式中,所述第一转发模块通过以下方式判断所述目标服务器是否发生故障:
如果接收到的状态信息中,存在表示所述目标服务进程运行正常的状态信息,则判定所述目标服务器未发生故障;
如果接收到的状态信息中,不存在表示所述目标服务进程运行正常的状态信息,则判定所述目标服务器发生故障。
结合第四方面,在该第四方面的第三种可能实现方式中,所述反馈报文中还携带有所述目标服务器的资源利用率,所述装置还包括第一确定模块和第三发送模块,或者,所述装置还包括第二确定模块和第四发送模块,其中:
所述第一确定模块,用于若根据认证***中除目标服务器之外的其他服务器发送的反馈报文,确定认证***中每个服务类型的服务器中均有至少一服务器未发生故障,则在所述至少一服务器中,确定资源利用率最低的服务器;
所述第三发送模块,用于将所述业务报文发送给所述资源利用率最低的服务器;
所述第二确定模块,用于若根据认证***中除目标服务器之外的其他服务器发送的反馈报文,确定认证***中每个服务类型的服务进程中均有至少一服务进程未发生故障,则在所述至少一服务进程所在的服务器中,确定资源利用率最低的服务器;
所述第四发送模块,用于将所述业务报文发送给所述资源利用率最低的服务器。
结合第四方面,在该第四方面的第四种可能实现方式中,所述装置还包括第二判断模块、第三判断模块、第一处理模块和丢弃模块,其中:
所述第二判断模块,用于当接收到用户终端发送的业务报文时,根据预先存储的认证用户列表,判断所述用户终端是否为待认证终端,所述认证用户列表包括认证通过的用户终端的标识;
所述第三判断模块,用于如果所述用户终端为待认证终端,则判断预先存储的逃生域列表中,是否包含所述业务报文携带的目的IP地址,所述逃生域列表中包含待认证终端能够访问的地址;
所述第一处理模块,用于如果所述逃生域列表中包含所述业务报文携带的目的IP地址,则触发第一转发模块执行所述根据所述业务报文携带的目的IP地址,对所述业务报文进行转发处理的步骤;
所述丢弃模块,用于如果所述逃生域列表中不包含所述业务报文携带的目的IP地址,则丢弃所述业务报文。
结合第四方面以及上述第四方面的任一可能实现方式,在该第四方面的第五种可能实现方式中,所述装置还包括获取模块和添加模块,其中:
所述获取模块,用于获取所述用户终端的用户信息和所述业务报文的报文特征;
所述添加模块,用于在预设的逃生用户列表中,添加所述用户终端对应的表项,所述表项至少包括用户终端的用户信息和所述业务报文的报文特征。
结合第四方面,在该第四方面的第六种可能实现方式中,所述装置还包括第五发送模块、第三接收模块和第一执行模块,或者,所述装置还包括第六发送模块、第四接收模块和第二执行模块,其中:
所述第五发送模块,用于当根据认证***中服务器发送的反馈报文,确定认证***中每个服务类型的服务器中均有至少一服务器未发生故障时,将所述逃生用户列表中的用户信息发送给所述第一服务器中未发生故障的任一服务器;
所述第三接收模块,用于接收返回的认证响应;
所述第一执行模块,用于若根据所述认证响应确定所述用户信息认证失败,则执行以下至少一项操作:删除所述用户信息对应的用户上线信息、将所述用户信息对应的用户加入黑名单、当根据认证***中服务器发送的反馈报文,确定认证***中至少有一个服务类型的所有服务器均发生故障时,拒绝所述用户信息对应的用户上线;
所述第六发送模块,用于当根据认证***中服务器发送的反馈报文,确定认证***中每个服务类型的服务进程中均有至少一服务进程未发生故障时,将所述逃生用户列表中的用户信息发送给未发生故障的任一第一服务进程所在的服务器;
所述第四接收模块,用于接收返回的认证响应;
所述第二执行模块,用于若根据所述认证响应确定所述用户信息认证失败,则执行以下至少一项操作:
删除所述用户信息对应的用户上线信息、将所述用户信息对应的用户加入黑名单、
当根据认证***中服务器发送的反馈报文,确定认证***中至少有一个服务类型的所有服务进程均发生故障时,拒绝所述用户信息对应的用户上线。
第五方面,提供了一种业务报文的处理装置,所述装置应用于认证***中的服务器,所述装置包括:
接收模块,用于接收接入设备发送的状态请求消息,所述状态请求消息中携带有目标服务进程的标识;
第一获取模块,用于根据所述目标服务进程的标识,获取所述目标服务进程的状态信息;
发送模块,用于向所述接入设备发送反馈消息,所述反馈消息中携带有所述目标服务进程的状态信息。
结合第五方面,在该第五方面的第一种可能实现方式中,所述反馈消息中还携带有所述服务器的资源利用率,所述装置还包括:第二获取模块,用于获取本设备当前的资源利用率,根据所述资源利用率、目标服务进程的状态信息,封装所述反馈报文。
第六方面,提供了一种接入设备,包括处理器和机器可读存储介质,所述机器可读存储介质存储有能够被所述处理器执行的机器可执行指令,所述处理器被所述机器可执行指令促使:执行第一方面或其任一种实现方式、以及第二方面或其任一种实现方式。
第七方面,提供了一种机器可读存储介质,存储有机器可执行指令,在被处理器调用和执行时,所述机器可执行指令促使所述处理器:执行第一方面或其任一种实现方式、以及第二方面或其任一种实现方式。
第八方面,提供了一种服务器,包括处理器和机器可读存储介质,所述机器可读存储介质存储有能够被所述处理器执行的机器可执行指令,所述处理器被所述机器可执行指令促使:执行第三方面或其任一种实现方式。
第九方面,提供了一种机器可读存储介质,存储有机器可执行指令,在被处理器调用和执行时,所述机器可执行指令促使所述处理器:执行第三方面或其任一种实现方式。
本申请实施例提供的一种业务报文的处理方法及装置,接入设备可以向认证***中的目标服务器发送状态请求报文,状态请求报文中携带有目标服务器中的目标服务进程的标识。接入设备接收目标服务器发送的反馈报文,反馈报文中携带有目标服务进程的状态信息。接入设备根据接收到的状态信息,当判定目标服务器发生故障时,若根据认证***中除目标服务器之外的其他服务器发送的反馈报文,确定认证***中与目标服务器服务类型相同的所有第一服务器均发生故障,则当接收到用户终端发送的业务报文时,根据业务报文携带的目的IP地址,对业务报文进行转发处理。这样,接入设备可以对认证***中的每个服务器进行监控,如果某一服务类型的服务器全部发生故障,接入设备可以及时开启用户逃生机制,从而保证用户终端能够正常访问网络。当然,实施本申请的任一产品或方法必不一定需要同时达到以上所述的所有优点。
附图说明
图1为本申请实施例提供的一种网络***的示意图;
图2为本申请实施例提供的一种业务报文的处理方法的方法流程图;
图3为本申请实施例提供的一种业务报文的处理方法的方法流程图;
图4为本申请实施例提供的一种接入设备与服务器的交互示意图;
图5为本申请实施例提供的一种业务报文的处理方法的方法流程图;
图6为本申请实施例提供的一种业务报文的处理方法的方法流程图;
图7为本申请实施例提供的一种业务报文的处理方法的方法流程图;
图8为本申请实施例提供的一种业务报文的处理方法的方法流程图;
图9为本申请实施例提供的一种业务报文的处理方法的***交互流程图;
图10为本申请实施例提供的一种业务报文的处理方法的示例的方法流程图;
图11为本申请实施例提供的一种业务报文的处理装置的结构示意图;
图12为本申请实施例提供的一种业务报文的处理装置的结构示意图;
图13为本申请实施例提供的一种业务报文的处理装置的结构示意图;
图14为本申请实施例提供的接入设备的结构示意图;
图15为本申请实施例提供的服务器的结构示意图。
具体实施方式
本申请实施例提供了一种业务报文的处理方法,该方法可以由接入设备和认证***中的服务器共同实现。该接入设备可以是交换机、路由器或无线控制器等;该认证***可以是用于对用户终端进行身份认证的***,本实施例以认证***为Portal认证***(通常也可称为Web认证***)为例进行说明,本方案应用于其他认证***的处理过程与之类似,不再赘述。Portal认证***通常包含多个服务类型的服务器,比如认证类型的服务器(可称为认证服务器)、计费类型的服务器(例如AAA服务器)和安全类型的服务器(例如安全策略服务器)。其中,认证服务器可以包括Portal认证服务器、Portal Web服务器、AAA服务器,Portal Web服务器通常与Portal认证服务器是一体的,也可以是独立的服务器端***。服务类型还可以以提供的服务功能划分,比如提供Portal认证的Portal认证服务器,提供web认证的Portal Web服务器,提供AAA认证、计费的AAA服务器,提供安全策略功能的安全策略服务器。每个服务类型的服务器的数量可以为多个。
如图1所示,为本申请实施例提供的网络***的示意图,该网络***包括用户终端(可称为Portal客户端)、接入设备和Portal认证***,Portal认证***可以包括Portal认证服务器、Portal Web服务器、AAA服务器和安全策略服务器。其中,Portal Web服务器用于向用户终端提供认证页面的页面数据,以便用户在认证页面中输入身份信息(比如用户名和密码等);Portal认证服务器可以根据该身份信息,对该用户终端进行身份认证;AAA服务器用于对用户终端进行认证、授权和计费等;安全策略服务器用于对用户终端进行安全检测,并对用户终端进行安全授权操作等。
本申请实施例中,接入设备可以监测Portal认证***中各服务类型服务器的状态,以判断各服务类型的服务器是否发生故障。在一种实现方式中,接入设备中可以设置有监测模块和Track模块,接入设备和各服务器之间可以通过Track协议进行通信,这样,可以通过Track模块统一监测各服务类型服务器的状态,并进行分析,以屏蔽不同监测对象的差异。当某一服务类型的服务器发生故障时(比如Portal Web服务器中的Web进程异常,或者AAA服务器掉线时),接入设备可以及时启动用户逃生机制,以使用户可以正常访问网络。需要说明的是,接入设备也可以只监测Portal认证***中部分服务类型的服务器的状态。
实施例一
本发明实施例提供了一种接入设备执行上述业务报文的处理方法时的处理过程,如图2所示,包括以下步骤。
步骤201,向认证***中的目标服务器发送状态请求报文,状态请求报文中携带有目标服务器中的目标服务进程的标识。
其中,目标服务器可以是认证***中的任一服务器。目标服务进程即为提供该目标服务器中服务业务的进程,例如Portal认证服务器中的目标服务进程为Portal-server。
步骤202,接收目标服务器发送的反馈报文,反馈报文中携带有目标服务进程的状态信息。
步骤203,根据接收到的状态信息,当判定目标服务器发生故障时,若根据认证***中除目标服务器之外的其他服务器发送的反馈报文,确定认证***中与目标服务器服务类型相同的所有第一服务器均发生故障,则当接收到用户终端发送的业务报文时,根据业务报文携带的目的IP地址,对业务报文进行转发处理。
本发明实施例中,接入设备可以向认证***中的目标服务器发送状态请求报文,状态请求报文中携带有目标服务器中的目标服务进程的标识。接入设备接收目标服务器发送的反馈报文,反馈报文中携带有目标服务进程的状态信息。接入设备根据接收到的状态信息,当判定目标服务器发生故障时,若根据认证***中除目标服务器之外的其他服务器发送的反馈报文,确定认证***中与目标服务器服务类型相同的所有第一服务器均发生故障,则当接收到用户终端发送的业务报文时,根据业务报文携带的目的IP地址,对业务报文进行转发处理。这样,接入设备可以对认证***中的每个服务器进行监控,如果某一服务类型的服务器全部发生故障,接入设备可以及时开启用户逃生机制,从而保证用户终端能够正常访问网络。
实施例二
基于图2所示的业务报文的处理方法,本发明实施例还提供了一种接入设备执行上述业务报文的处理方法时的具体流程,如图3所示,包括以下步骤。
步骤301,向认证***中的目标服务器发送状态请求报文。
其中,状态请求报文中携带有目标服务器中的目标服务进程的标识。
上述目标服务器可以是认证***中的任一服务器。目标服务进程即为提供该目标服务器中服务业务的进程,例如Portal认证服务器中的目标服务进程为Portal进程。
在实施中,可以在接入设备中,设置需要监测的服务器的服务类型(即目标服务类型)。具体的,可以在接入设备中配置Track模块的监测项(也可称为track项),接入设备则会根据配置的监测项,监测对应的服务器的状态。例如,需要监测的服务类型为Portal认证服务器、Portal Web服务器、AAA服务器和安全策略服务器,则可以在接入设备中配置以下4个监测项:
1、Portal track 1detect web-server,表示监控Portal Web认证服务器的状态;
2、Portal track 2detect Portal-server,表示监控Portal服务器的状态;
3、Portal track 3detect aaa,表示监控AAA服务器的状态;
4、Portal track 4detect seczone,表示监控安全策略服务的状态。
这些需要监测的track项可以形成“布尔与类型”的监测列表,即,如果监测列表中的所有监测项的状态都是Positive(即正常),则监测结果为Positive,表示链路可达或者进程正常;如果监测列表中的存在一个或多个监测项的状态为Negative(即故障),则监测结果为Negative,表示链路不可达或者进程异常。具体的判断过程后续会详细说明。
针对需要监测的任一服务类型的服务器(为了便于描述,可称为目标服务器),还可以在接入设备中配置该目标服务器中需要监测的目标服务进程的标识。对于不同服务类型的服务器,需要监测的目标服务进程可以是不同的,例如,Portal认证服务器中,需要监测的目标服务进程可以为Portal进程;Portal Web服务器中,需要监测的目标服务进程可以为Web进程。另外,目标服务进程的数目可以为一个,也可以为多个,本申请实施例不做限定。
接入设备可以与各目标服务器建立连接,并且可以周期性的向各目标服务器发送状态请求报文。状态请求报文可以为UDP(User Datagram Protocol,用户数据报协议)报文,比如端口号为722的UDP报文。
参见表一,为本申请实施例提供的接入设备发送的报文格式示例。
表一
Type Length Vlaue
1个字节 2个字节 目标服务进程的标识
其中,Type用于表示状态请求报文的类型。本申请实施例中,状态请求报文可以包括但不限于以下三种类型:
1、建立新的逃生探测连接,也即,指示服务器开始对目标服务进程进行监测,该类型对应的Type取值可以为0。type取值为0的状态请求报文,是逃生功能开启时第一个探测报文。
2、刷新已经建立的逃生探测连接,也即,指示服务器上报当前的运行状态(比如目标服务进程的状态信息、以及该服务器当前的资源利用率等),该类型对应的Type取值可以为1。type取值为1的状态请求报文,是建立逃生探测连接后发送的探测报文。
3、删除已经建立的逃生探测连接,也即,指示服务器取消对目标服务进程的监测,该类型对应的Type取值可以为2。type取值为2的状态请求报文,是当逃生功能关闭后发送的探测报文。
Length表示状态请求报文的长度。
Vlaue为目标服务进程的标识,用于表示需要探测的进程,比如目标服务进程的名称等。
一般情况下,进程状态有以下几种:
PROCESS STATE:describe the state of a process.
R Running or runnable(on run queue)
S Interruptible sleep(waiting for an event to complete)
X dead(should never be seen)
Z Defunct("zombie")process,terminated but not reaped by its parent.
其中R、S为正常状态,X与Z为异常状态。
需要说明的是,当该报文为上述前两种类型(即Type取值为0或1)时,该报文为状态请求报文,当该报文为第三种类型(即Type取值为2时),该报文为取消监测的通知报文。
目标服务器接收到状态请求报文后,会根据目标服务进程的标识,获取目标服务进程的状态信息,并向接入设备发送反馈报文。目标服务器的处理过程后续会进行详细说明。
步骤302,接收目标服务器发送的反馈报文。
其中,反馈报文中携带有目标服务进程的状态信息。
在实施中,接入设备可以接收目标服务器发送的反馈报文,然后对该反馈报文进行解析,获取目标服务器中目标服务进程的状态信息。这样,接入设备可以获取到目标服务类型的各服务器中目标服务进程的运行状态。对于Portal认证***中监测多个目标服务器状态的情况,接入设备可以获取到各服务类型的各服务器中目标服务进程的运行状态,从而生成服务器状态表。
参照表二,为本申请实施例提供的服务器状态表的示例。
表二
上述服务器状态表中,包含4种服务类型的服务器,即Portal认证服务器、Web服务器、AAA服务器和安全策略服务器。其中,Portal认证服务器包含Portal认证服务器1和Portal认证服务器2。
步骤303,判断接收到的状态信息中,是否存在表示目标服务进程运行正常的状态信息。
在实施中,目标服务器中通常只存在一种服务类型的目标服务进程,比如目标服务器为Portal认证服务器,目标服务进程为Portal进程;目标服务器为Web服务器,目标服务进程为Web进程。目标服务器中可能会存在多个相同服务类型的目标服务进程,相应的,反馈报文中会携带多个目标服务进程的状态信息。其中,目标服务进程为用于执行服务业务的主要进程,比如Portal认证服务器中,目标服务进程为Portal进程。接入设备接收到该目标服务器发送的反馈报文后,可以获取到多个目标服务进程的状态信息。如果获取到的多个状态信息中,存在表示目标服务进程运行正常的状态信息,则说明该目标服务器能够执行该业务,接入设备判定目标服务器未发生故障,接入设备执行步骤309。如果接收到的状态信息中,不存在表示目标服务进程运行正常的状态信息,则说明该目标服务器不能够执行该业务,接入设备判定目标服务器发生故障,然后执行步骤304~308。
需要说明的是,实际中也可能存在一台服务器中集成多种认证功能的情况,目标服务器中也可能会存在多个不同服务类型的目标服务进程,此时,如果目标服务器中,存在一个目标服务进程为故障,则接入设备判定目标服务器故障;如果目标服务器中的各目标服务进程均为正常,则接入设备判定目标服务器正常。
步骤304,当判定目标服务器发生故障时,若根据认证***中除目标服务器之外的其他服务器发送的反馈报文,确定认证***中与目标服务器服务类型相同的所有第一服务器均发生故障,则当接收到用户终端发送的业务报文时,执行步骤305~步骤308。
在实施中,接入设备中预先存储有认证***的服务器列表,该服务器列表中包含认证***中各服务器的标识、以及各服务器的服务类型。对于任一目标服务器,接入设备可以根据该目标服务器发送的状态信息,判断该目标服务器是否发生故障。如果接入设备判定该目标服务器发生故障,则根据预先存储的服务器列表,判断是否存在与目标服务器服务类型相同的服务器(即第一服务器)。如果存在与目标服务器服务类型相同的第一服务器,则接入设备判断会从接收到的各第一服务器发送的反馈报文中,获取到各第一服务器中目标服务进程的状态信息。接入设备可以根据各第一服务器中目标服务进程的状态信息,判断各第一服务器是否发生故障。具体的判断过程可参照上述步骤303的相关说明,不再赘述。
如果与目标服务器服务类型相同的所有第一服务器均发生故障,则当接收到用户终端发送的业务报文时,根据业务报文携带的目的IP地址,对业务报文进行转发处理,以实现用户逃生。例如,参照上述表三,AAA服务器中目标服务进程的状态为X,表示AAA服务器中目标服务进程故障,则接入设备可以判定AAA服务器故障,开启用户逃生机制,也即,以上四种服务类型中,若有任意一个服务类型对应的监测结果为故障,则判定Portal认证***故障,开启用户逃生机制。
基于上述处理,对于同一服务类型的多个服务器,如果多个服务器中存在一个服务器未发生故障,则该服务类型对应的track项为positive。例如,上述表三中的有两个Portal认证服务器,如果Portal认证服务器1的目标服务进程状态为R(即正常),Portal认证服务器2的目标服务进程状态为Z(即故障),则“Portal认证服务器”的track项仍然为positive。
如果与目标服务器服务类型相同的所有第一服务器中,存在未发生故障的第一服务器,则说明该服务类型的服务器未发生故障。
对于网络中存在的多个服务类型的服务器,如果各服务类型的服务器均未发生故障,则当接收到用户终端发送的业务报文时,根据预先存储的认证用户列表,判断用户终端是否为待认证终端,该认证用户列表中包括认证通过的用户终端的标识。如果认证用户列表中未包括该用户终端的标识,则判定该用户终端为待认证终端,那么接入设备通过认证***对用户终端进行认证处理,具体的处理过程属于现有技术,不再赘述。如果认证用户列表中包括该用户终端的标识,那么该用户终端为已认证终端,则接入设备根据业务报文携带的目的IP地址,对业务报文进行转发处理。其中,接入设备通过认证***对用户终端进行认证的处理过程属于现有技术,本申请实施例不再赘述。
如图4所示,为本申请实施例提供的一种接入设备与服务器的交互示例,接入设备可以通过Track模块向服务器发送状态请求报文,并接收服务器发送的反馈报文,该反馈报文中携带有目标服务进程的状态信息。Track模块解析接收到的各反馈报文,生成服务器状态表,然后将该服务器状态表发送给监测模块,由监测模块进行分析,得到监测结果(比如Portal认证***故障,或者Portal认证***正常)。Track模块则会根据接收到的监测结果,判断是否开启用户逃生机制,如果监测结果表示Portal认证***故障,则开启用户逃生机制,如果监测结果表示Portal认证***正常,则不开启用户逃生机制。
可选的,当判定目标服务器发生故障时,若接入设备根据认证***中除目标服务器之外的其他服务器发送的反馈报文,确定至少一第一服务器未发生故障,则将业务报文转发至至少一第一服务器中的任一服务器;或,若根据认证***中除目标服务器之外的其他服务器发送的反馈报文,确定认证***中每个服务类型的服务器中均有至少一服务器未发生故障,则将接收到的业务报文转发至认证***。
在实施中,如上所述,如果接入设备判定该目标服务器发生故障,则接入设备可以进一步判断与目标服务器服务类型相同的各第一服务器是否发生故障。如果接入设备确定至少一台第一服务器未发生故障,则接入设备将该业务报文转发至至少一第一服务器中的任一服务器,这样,认证***中该类型的服务器会对该业务报文进行认证处理。
或者,若接入设备根据认证***中除目标服务器之外的其他服务器发送的反馈报文,确定认证***中每个服务类型的服务器中均有至少一服务器未发生故障,则说明认证***能够正常处理业务,接入设备将接收到的业务报文转发至认证***。
可选的,反馈报文中还携带有目标服务器的资源利用率,上述方法还包括:若根据认证***中除目标服务器之外的其他服务器发送的反馈报文,确定认证***中每个服务类型的服务器中均有至少一服务器未发生故障,则在至少一服务器中,确定资源利用率最低的服务器;将业务报文发送给资源利用率最低的服务器。
在实施中,各服务器可以获取本设备当前的资源利用率,然后将该资源利用率携带在反馈报文中,发送给接入设备。接入设备接收到该反馈报文后,对该反馈报文进行解析,获取该服务器的资源利用率。
当接入设备需要向目标服务器发送认证报文时,若接入设备根据认证***中除目标服务器之外的其他服务器发送的反馈报文,确定认证***中每个服务类型的服务器中均有至少一服务器未发生故障,则针对每个服务类型,接入设备可以在该服务类型的未发生故障的服务器中,确定资源利用率最低的服务器,然后将该认证报文发送给该资源利用率最低的服务器。例如,参照表三,Portal认证服务器1的CPU的占用率为10%,内存的占用率为5%,而Portal认证服务器2的CPU的占用率为0%,内存的占用率为0%,则当某用户终端上线时,将该用户终端的认证报文发送给Portal认证服务器2。
步骤305,当接收到用户终端发送的业务报文时,根据预先存储的认证用户列表,判断用户终端是否为待认证终端。
在实施中,在接入设备开启用户逃生机制的状态下,当接入设备接收到用户终端发送的业务报文时,接入设备可以获取该业务报文携带的该用户终端的标识,然后可以判断预先存储的认证用户列表中,是否存在该用户终端的标识。其中,认证用户列表包括认证通过的用户终端的标识。
如果认证用户列表中不存在该用户终端的标识,则说明该用户终端为待认证终端,接入设备执行步骤306;如果认证用户列表中存在该用户终端的标识,则说明该用户终端为已认证终端,接入设备可以执行步骤307。
步骤306,判断预先存储的逃生域列表中,是否包含业务报文携带的目的IP地址。
其中,逃生域列表中包含待认证终端能够访问的地址。
在实施中,如果认证用户列表中不存在该用户终端的标识,则说明该用户终端为待认证终端,接入设备可以进一步获取该业务报文携带的目的IP地址,然后判断预先存储的逃生域列表中,是否包含业务报文携带的目的IP地址,即该逃生域列表中包含允许待认证终端访问的地址。如果该逃生域列表中包含该业务报文携带的目的IP地址,则执行步骤307;如果该逃生域列表中不包含该业务报文携带的目的IP地址,则执行步骤308。
步骤307,根据业务报文携带的目的IP地址,对业务报文进行转发处理。
在实施中,如果该逃生域列表中包含该业务报文携带的目的IP地址,则说明待认证终端能够访问该目标IP地址,接入设备根据业务报文携带的目的IP地址,对业务报文进行转发处理。
可选的,如果该逃生域列表中包含该业务报文携带的目的IP地址,则接入设备还可以获取用户终端的用户信息和业务报文的报文特征;在预设的逃生用户列表中,添加用户终端对应的表项,表项至少包括用户终端的用户信息和业务报文的报文特征。
在实施中,在接入设备开启用户逃生机制的状态下,当接入设备检测到某待认证终端访问网络资源时,接入设备除了对业务报文进行转发处理以外,还可以记录该待认证终端的用户信息和该业务报文的报文特征,从而得到逃生用户列表。其中,用户信息可以包括用户名和密码等。业务报文的报文特征可以包括业务报文的源IP(Internet Protocol,互联网协议)地址、目的IP地址、端口号和该业务报文携带的流量信息等。
参照表三,为本申请实施例提供的逃生用户列表的示例。
表三
用户名 密码 流量信息 源IP地址 用户域
XXX ****** 722123 1.2.3.4 escape group
其中,用户名和密码的内容可以为空;流量信息为业务报文的数据内容;源IP地址为该待认证终端的IP地址。用户域的信息为escape group,表示逃生域。
例如,参见表二,AAA服务器中的目标服务进程故障,接入设备开启用户逃生机制,当某用户终端上线时,可以正常经过web服务器和Portal认证服务器,之后接入设备不需要向AAA服务器交互进行用户的认证、授权、计费等处理,而是直接将该用户加入逃生域escape group,并允许该用户终端访问该逃生域中的网络资源,并生成如表三所示的逃生用户列表。
需要说明的是,由于接入设备周期性的向各目标服务器发送状态请求报文,当接入设备开启用户逃生机制后,如果接入设备检测到Portal认证***中的各目标服务器均未发生故障,则可以根据上述逃生用户列表,对逃生用户列表中的各用户终端继续进行认证处理。例如,对于已通过Portal认证服务器认证的用户终端,上述逃生用户列表中可以记录该用户终端对应的用户名和密码,接入设备可以将该用户名和密码发送给AAA服务器,以便对该用户终端进行认证、授权、计费等处理。这样,无需用户终端重新进行认证,提高了认证效率和用户体验。
如果该用户终端认证通过,则接入设备可以将该用户终端的标识,添加到上述认证用户列表中,并删除该用户终端对应的逃生用户列表。如果该用户终端认证未通过,则接入设备对该用户终端进行下线处理。另外,接入设备中还可以设置有黑名单,接入设备可以将该用户终端对应的用户名加入到黑名单中,后续即使接入设备开启用户逃生机制,也不允许该用户名对应的用户终端访问网络资源。
步骤308,丢弃该业务报文。
步骤309,将业务报文转发至目标服务器。
在实施中,如果接入设备判定目标服务器未发生故障,接入设备则可以将业务报文转发至目标服务器,目标服务器则会根据接收到的业务报文,对该用户终端进行认证处理,认证处理过程属于现有技术,此处不再赘述。
本发明实施例提供的业务报文的处理方法,与现有技术相比至少具备以下技术效果:
1、现有技术中,只能探测到Portal认证服务器和Portal Web服务器的可达状态,如果是Portal进程或者web进程异常,是无法探测到的;而本发明实施例中,接入设备对服务器中的服务进程进行监控,能够及时监测服务器中的服务进程是否发生故障,这样,Portal进程或者web进程等发生故障,接入设备可以及时开启用户逃生机制,从而保证用户终端能够正常访问网络。
2、现有技术中,在Portal***中只有Portal认证服务器和Portal Web服务器会向接入设备发送保活报文,而AAA服务器、安全策略服务器不向接入设备发送保活报文。因此,接入设备只能监测Portal认证服务器和Portal Web服务器是否故障,并在检测故障是开启用户逃生机制,无法监测AAA服务器和安全策略服务器是否故障,无法在AAA服务器或安全策略服务器故障时开启用户逃生机制,导致用户终端无法正常访问网络。然而,如果针对各种不同的服务器,专门开发不同的逃生机制,开发工作量太大,软件处理流程繁琐,用户配置也不方便。
而本方案中,接入设备能够对不同类型的服务器进行监控,并在检测到某一服务类型的服务器全部发生故障,及时开启用户逃生机制,从而保证用户终端能够正常访问网络。并且,基于本方案,无需针对各种不同的服务器,开发不同的逃生机制,降低了开发工作量,简化了软件处理流程,并且用户配置简单。
可选的,本发明实施例中,接入设备还可以在检测到认证***正常时,将用户信息发送给之前跳过的服务器进行认证,具体的处理过程包括以下步骤:
步骤一、当根据认证***中服务器发送的反馈报文,确定认证***中每个服务类型的服务器中均有至少一服务器未发生故障时,将逃生用户列表中的用户信息发送给第一服务器中未发生故障的任一服务器。
本步骤的具体处理过程可以参照上述302~304的相关说明,此处不再赘述。
步骤二、接收返回的认证响应。
其中,认证响应可以表示该用户终端认证成功或认证失败。
步骤三、若根据认证响应确定用户信息认证失败,则执行以下至少一项操作:
1、删除用户信息对应的用户上线信息,即踢对应的用户下线;
2、将用户信息对应的用户加入黑名单;
3、当根据认证***中服务器发送的反馈报文,确定认证***中至少有一个服务类型的所有服务器均发生故障时,拒绝用户信息对应的用户上线,即后续即使接入设备开启用户逃生机制,也不允许该用户信息对应的用户访问网络资源。
本发明提供的业务报文的处理方法中,接入设备可通过track模块检测Portal***中所有服务器的状态,当某一服务类型的服务器全部发生故障,接入设备可以及时开启用户逃生机制,跳过发生故障的服务器,不影响用户上线。接入设备中的track模块是周期性监测,当track模块监视的所有对象状态都处于Positive状态时,直接将逃生域中已有的用户信息,发送给之前跳过的服务器进行认证,保证网络的安全性,并且,此过程正常用户无感知,用户体验较好。
实施例三
针对一台服务器中可能集成多种认证功能或多种服务业务功能的情况,本发明实施例还提供了另一种接入设备执行上述业务报文的处理方法时的处理过程,如图5所示,包括以下步骤。
步骤501,向认证***中的目标服务器发送状态请求报文,状态请求报文中携带有目标服务器中的目标服务进程的标识。
其中,目标服务器可以是认证***中的任一服务器。目标服务进程即为提供该目标服务器中服务业务的进程,例如Portal认证服务器中的目标服务进程为Portal-server。
步骤502,接收目标服务器发送的反馈报文,反馈报文中携带有目标服务进程的状态信息。
步骤503,根据接收到的状态信息,当判定目标服务进程发生故障时,若根据认证***中除目标服务器之外的其他服务器发送的反馈报文,确定认证***中与目标服务进程服务类型相同的所有第一服务进程均发生故障,则当接收到用户终端发送的业务报文时,根据业务报文携带的目的IP地址,对业务报文进行转发处理。
本发明实施例中,接入设备可以向认证***中的目标服务器发送状态请求报文,状态请求报文中携带有目标服务器中的目标服务进程的标识。接入设备接收目标服务器发送的反馈报文,反馈报文中携带有目标服务进程的状态信息。接入设备根据接收到的状态信息,当判定目标服务器发生故障时,若根据认证***中除目标服务器之外的其他服务器发送的反馈报文,确定认证***中与目标服务器服务类型相同的所有第一服务器均发生故障,则当接收到用户终端发送的业务报文时,根据业务报文携带的目的IP地址,对业务报文进行转发处理。这样,接入设备可以对认证***中的每个服务器进行监控,如果某一服务类型的服务器全部发生故障,接入设备可以及时开启用户逃生机制,从而保证用户终端能够正常访问网络。
实施例四
基于图5所示的业务报文的处理方法,本发明实施例还提供了一种接入设备执行上述业务报文的处理方法时的具体流程,如图6所示,包括以下步骤。
步骤601,向认证***中的目标服务器发送状态请求报文。
其中,状态请求报文中携带有目标服务器中的目标服务进程的标识。
该步骤的处理过程可以参照上述步骤301的相关说明,不再赘述。
步骤602,接收目标服务器发送的反馈报文。
其中,反馈报文中携带有目标服务进程的状态信息。
该步骤的处理过程可以参照上述步骤302的相关说明,不再赘述。
步骤603,判断接收到的状态信息中,是否存在表示目标服务进程运行正常的状态信息。
如果接收到的状态信息中,存在表示目标服务进程运行正常的状态信息,则判定目标服务器未发生故障,执行步骤609。
如果接收到的状态信息中,不存在表示目标服务进程运行正常的状态信息,则判定目标服务器发生故障,执行步骤604~608。
该步骤的处理过程可以参照上述步骤303的相关说明,不再赘述。
步骤604,当判定目标服务进程发生故障时,若根据认证***中除目标服务器之外的其他服务器发送的反馈报文,确定认证***中与目标服务进程服务类型相同的所有第一服务进程均发生故障,则当接收到用户终端发送的业务报文时,执行步骤605~步骤608。
可选的,当判定目标服务进程发生故障时,若接入设备根据认证***中除目标服务器之外的其他服务器发送的反馈报文,确定至少一第一服务进程未发生故障,则将业务报文转发至至少一第一服务进程所在的任一服务器;或,若根据认证***中除目标服务器之外的其他服务器发送的反馈报文,确定认证***中每个服务类型的服务进程中均有至少一服务进程未发生故障,则将接收到的业务报文转发至认证***。
可选的,反馈报文中还可以携带有目标服务器的资源利用率。若接入设备根据认证***中除目标服务器之外的其他服务器发送的反馈报文,确定认证***中每个服务类型的服务进程中均有至少一服务进程未发生故障,则在至少一服务进程所在的服务器中,确定资源利用率最低的服务器,然后将业务报文发送给资源利用率最低的服务器。
该步骤及其可选方式的处理过程与上述步骤304的处理过程类似,不再赘述。
步骤605,当接收到用户终端发送的业务报文时,根据预先存储的认证用户列表,判断用户终端是否为待认证终端。
如果该用户终端为待认证终端,则执行步骤606,如果该用户终端为已认证终端,则执行步骤607。
该步骤的处理过程可以参照上述步骤305的相关说明,不再赘述。
步骤606,判断预先存储的逃生域列表中,是否包含业务报文携带的目的IP地址,逃生域列表中包含待认证终端能够访问的地址。
如果逃生域列表中包含业务报文携带的目的IP地址,则执行步骤606,如果逃生域列表中不包含业务报文携带的目的IP地址,则执行步骤608。
该步骤的处理过程可以参照上述步骤306的相关说明,不再赘述。
步骤607,根据业务报文携带的目的IP地址,对业务报文进行转发处理。
可选的,如果该逃生域列表中包含该业务报文携带的目的IP地址,则接入设备还可以获取用户终端的用户信息和业务报文的报文特征,然后在预设的逃生用户列表中,添加用户终端对应的表项,表项至少包括用户终端的用户信息和业务报文的报文特征。
该步骤及其可选方式的处理过程可以参照上述步骤307的相关说明,不再赘述。
步骤608,丢弃业务报文。
步骤609,将业务报文转发至目标服务器。
在实施中,如果接入设备判定目标服务器未发生故障,接入设备则可以将业务报文转发至目标服务器,目标服务器则会根据接收到的业务报文,对该用户终端进行认证处理,认证处理过程属于现有技术,此处不再赘述。
可选的,本发明实施例中,接入设备还可以在检测到认证***正常时,将用户信息发送给之前跳过的服务器进行认证,具体的处理过程包括以下步骤:
步骤一、当根据认证***中服务器发送的反馈报文,确定认证***中每个服务类型的服务进程中均有至少一服务进程未发生故障时,将逃生用户列表中的用户信息发送给未发生故障的任一第一服务进程所在的服务器。
本步骤的具体处理过程可以参照上述302~304的相关说明,此处不再赘述。
步骤二、接收返回的认证响应。
其中,认证响应可以表示该用户终端认证成功或认证失败。
步骤三、若根据认证响应确定用户信息认证失败,则执行以下至少一项操作:
1、删除用户信息对应的用户上线信息;
2、将用户信息对应的用户加入黑名单;
3、当根据认证***中服务器发送的反馈报文,确定认证***中至少有一个服务类型的所有服务进程均发生故障时,拒绝用户信息对应的用户上线。
实施例五
本发明实施例提供了一种认证***中的服务器执行上述业务报文的处理方法时的处理过程,如图7所示,包括以下步骤。
步骤701,接收接入设备发送的状态请求报文,状态请求报文中携带有目标服务进程的标识。
步骤702,根据目标服务进程的标识,获取目标服务进程的状态信息。
步骤703,向接入设备发送反馈报文,反馈报文中携带有目标服务进程的状态信息。
本发明实施例中,接入设备可以向认证***中的目标服务器发送状态请求报文,状态请求报文中携带有目标服务器中的目标服务进程的标识。目标服务器发送反馈报文,反馈报文中携带有目标服务进程的状态信息。接入设备根据接收到的状态信息,当判定目标服务器发生故障时,若根据认证***中除目标服务器之外的其他服务器发送的反馈报文,确定认证***中与目标服务器服务类型相同的所有第一服务器均发生故障,则当接收到用户终端发送的业务报文时,根据业务报文携带的目的IP地址,对业务报文进行转发处理。这样,接入设备可以对认证***中的每个服务器进行监控,如果某一服务类型的服务器全部发生故障,接入设备可以及时开启用户逃生机制,从而保证用户终端能够正常访问网络。
实施例六
基于图7所示的业务报文的处理方法,本发明实施例还提供了一种认证***中的服务器执行上述业务报文的处理方法时的具体流程,如图8所示,包括以下步骤。
步骤801,接收接入设备发送的状态请求报文,状态请求报文中携带有目标服务进程的标识。
在实施中,目标服务器可以接收接入设备发送的状态请求报文,然后可以对状态请求报文进行解析,获取其携带的有目标服务进程的标识,以便进行后续处理。例如,目标服务器可以监听端口号为722的UDP报文,当收到该报文后,解析该报文,以获取目标服务进程的标识。
步骤802,根据目标服务进程的标识,获取目标服务进程的状态信息。
在实施中,目标服务器可以实时记录当前正在运行的进程的状态信息。当目标服务器获取到目标服务进程的标识后,可以根据目标服务进程的标识,查询相应进程的状态信息。
需要说明的是,对于接入设备发送的报文包括上述三种类型的情况,服务器可以解析该报文,如果Type取值为0或1,则说明该报文为状态请求报文,执行步骤803,如果Type取值为2,则说明该报文为取消监测的通知报文,服务器取消对该目标服务进程的监测。
步骤803,获取本设备当前的资源利用率,根据资源利用率、目标服务进程的状态信息,封装反馈报文。
在实施中,目标服务器还可以获取本设备当前的资源利用率,然后根据目标服务进程的状态信息和当前的资源利用率生成反馈报文。也即,反馈报文中可以携带有目标服务进程的状态信息、以及目标服务器当前的资源利用率。目标服务器生成反馈报文后,可以将反馈报文发送给接入设备。
参照表四,为本申请实施例提供的反馈报文的格式示例。
表四
TYPE Length Vlaue1 Vlaue2 Vlaue3
1个字节 2个字节 进程状态 占用CPU 占用内存
其中,Type用于表示目标服务进程的查询信息。本申请实施例中,目标服务进程的查询信息可以为目标服务进程不存在,或者目标服务进程存在。在本申请实施例的一种实现方式中,Type取值为0可以表示进程不存在,Type取值为1可以表示进程存在。
Length表示反馈报文的长度。
Vlaue1表示目标服务进程的运行状态,该运行状态包括但不限于以下4种:
1、Running or runnable,即运行状态,可用R表示;
2、Interruptible sleep,即中断睡眠状态,可用S表示;
3、Dead,即故障状态,可用X表示;
4、Defunct process,即终止状态,可用Z表示。
Vlaue2表示该服务器当前的CPU占用率。
Vlaue3表示该服务器当前的内存占用率。
需要说明的是,目标服务进程的状态信息可以包括上述目标服务进程的查询信息和运行状态。当目标服务进程的查询信息为目标服务进程不存在,或者,目标服务进程的运行状态为X或Z时,表示目标服务进程故障;当目标服务进程的查询信息为目标服务进程存在,且目标服务进程的运行状态为R或S时,表示目标服务进程正常。
步骤804,向接入设备发送反馈报文。其中,反馈报文中可以携带有目标服务进程的状态信息,还可以携带有目标服务器当前的资源利用率。
本发明实施例中,目标服务器还可以将本设备当前的资源利用率发送给接入设备,以使接入设备将业务报文转发至能够正常使用的且资源利用率最低的服务器中,提高了资源利用率。
实施例七
本发明实施例还提供了一种基于上述业务报文的处理方法的***交互流程,如图9所示,具体处理过程可以如下。
步骤901,接入设备向认证***中的目标服务器发送状态请求消息。
步骤902,服务器接收接入设备发送的状态请求消息。
步骤903,服务器根据目标服务进程的标识,获取目标服务进程的状态信息。
步骤904,服务器向接入设备发送反馈消息。
步骤905,接入设备接收目标服务器发送的反馈消息。
步骤906,接入设备根据接收到的状态信息,当判定目标服务器发生故障时,若根据认证***中除目标服务器之外的其他服务器发送的反馈报文,确定认证***中与目标服务器服务类型相同的所有第一服务器均发生故障,则当接收到用户终端发送的业务报文时,根据业务报文携带的目的IP地址,对业务报文进行转发处理。
本发明实施例中,接入设备可以向认证***中的目标服务器发送状态请求报文,状态请求报文中携带有目标服务器中的目标服务进程的标识。接入设备接收目标服务器发送的反馈报文,反馈报文中携带有目标服务进程的状态信息。接入设备根据接收到的状态信息,当判定目标服务器发生故障时,若根据认证***中除目标服务器之外的其他服务器发送的反馈报文,确定认证***中与目标服务器服务类型相同的所有第一服务器均发生故障,则当接收到用户终端发送的业务报文时,根据业务报文携带的目的IP地址,对业务报文进行转发处理。这样,接入设备可以对认证***中的每个服务器进行监控,如果某一服务类型的服务器全部发生故障,接入设备可以及时开启用户逃生机制,从而保证用户终端能够正常访问网络。
实施例八
如图10所示,为本发明实施例提供的一种业务报文的处理方法的示例,该方法可以应用于接入设备,该接入设备中设置有监测模块、Track模块和报文处理模块,具体处理过程可以如下。
步骤1001,Track模块与认证***中的各目标服务器建立连接。
步骤1002,Track模块周期性的向各目标服务器发送状态请求报文。
其中,状态请求报文中携带有目标服务器中的目标服务进程的标识;
步骤1003,Track模块接收目标服务器发送的反馈报文。
其中,反馈报文中携带有目标服务进程的状态信息。
Track模块接收到反馈报文后,会将生成如表二所示的服务器状态表,然后,Track模块将该服务器状态表发送给监测模块,以使监测模块判断认证***是否能够工作。或者,在另一种可能的实现方式中,Track模块也可以将目标服务进程的状态信息发送给监测模块,由监测模块生成如表二所示的服务器状态表,然后根据服务器状态表判断认证***是否能够工作。
步骤1004,监测模块根据接收到的状态信息,判断服务器状态表中各Track项是否存在Negative状态。
如果各Track项中存在Negative状态,则判定认证***不能够正常使用,执行步骤1005,如果各Track项中不存在Negative状态,则判定认证***能够正常使用,执行步骤1010。
监测模块将判断结果发送给Track模块,Track模块接收到监测模块发送的判断结果,如果该判断结果表示认证***不能够正常使用,Track模块会调用接入设备中的报文处理模块,报文处理模块启动用户逃生进程,以开启用户逃生机制;如果判断结果表示认证***能够正常使用,Track模块不进行处理。
步骤1005,当接收到用户终端发送的业务报文时,报文处理模块根据预先存储的认证用户列表,判断用户终端是否为待认证终端。
如果用户终端为待认证终端,则执行步骤1006,如果用户终端为认证通过的终端,则步骤1007。步骤1006,报文处理模块判断预先存储的逃生域列表中,是否包含业务报文携带的目的IP地址。
其中,逃生域列表中包含待认证终端能够访问的地址;
如果逃生域列表中包含业务报文携带的目的IP地址,则执行步骤1007,如果逃生域列表中不包含业务报文携带的目的IP地址,则执行步骤1008。
步骤1007,报文处理模块根据业务报文携带的目的IP地址,对业务报文进行转发处理,并在逃生用户列表中记录该用户终端的用户信息和业务报文的报文特征。
步骤1008,报文处理模块丢弃业务报文。
步骤1009,当监测模块根据认证***中服务器发送的反馈报文,确定所有Track项都恢复positive状态,触发报文处理模块将逃生用户列表中记录的用户信息,发送给之前跳过的服务,继续进行Portal认证流程。
步骤1010,报文处理模块正常进行Portal认证流程。
本发明实施例中,接入设备可以向认证***中的目标服务器发送状态请求报文,状态请求报文中携带有目标服务器中的目标服务进程的标识。接入设备接收目标服务器发送的反馈报文,反馈报文中携带有目标服务进程的状态信息。接入设备根据接收到的状态信息,当判定目标服务器发生故障时,若根据认证***中除目标服务器之外的其他服务器发送的反馈报文,确定认证***中与目标服务器服务类型相同的所有第一服务器均发生故障,则当接收到用户终端发送的业务报文时,根据业务报文携带的目的IP地址,对业务报文进行转发处理。这样,接入设备可以对认证***中的每个服务器进行监控,如果某一服务类型的服务器全部发生故障,接入设备可以及时开启用户逃生机制,从而保证用户终端能够正常访问网络。
实施例九
基于相同的技术构思,本申请实施例还提供了一种业务报文的处理装置,该装置应用于接入设备,如图11所示,该装置包括第一发送模块1110、第一接收模块1120和第一转发模块1130,或者,如图12所示,装置包括第二发送模块1210、第二接收模块1220和第二转发模块1230,其中:
所述第一发送模块1110,用于向认证***中的目标服务器发送状态请求消息,所述状态请求消息中携带有所述目标服务器中的目标服务进程的标识;
所述第一接收模块1120,用于接收所述目标服务器发送的反馈消息,所述反馈消息中携带有所述目标服务进程的状态信息;
所述第一转发模块1130,用于根据接收到的状态信息,当判定所述目标服务器发生故障时,若根据认证***中除目标服务器之外的其他服务器发送的反馈报文,确定认证***中与所述目标服务器服务类型相同的所有第一服务器均发生故障,则当接收到用户终端发送的业务报文时,根据所述业务报文携带的目的IP地址,对所述业务报文进行转发处理;
所述第二发送模块1210,用于向认证***中的目标服务器发送状态请求报文,所述状态请求报文中携带有所述目标服务器中的目标服务进程的标识;
所述第二接收模块1220,用于接收所述目标服务器发送的反馈报文,所述反馈报文中携带有所述目标服务进程的状态信息;
所述第二转发模块1230,用于根据接收到的状态信息,当判定所述目标服务进程发生故障时,若根据认证***中除目标服务器之外的其他服务器发送的反馈报文,确定认证***中与所述目标服务进程服务类型相同的所有第一服务进程均发生故障,则当接收到用户终端发送的业务报文时,根据所述业务报文携带的目的IP地址,对所述业务报文进行转发处理。
可选的,所述装置还包括第三转发模块或第四转发模块,其中:
所述第三转发模块,用于若根据认证***中除目标服务器之外的其他服务器发送的反馈报文,确定至少一第一服务器未发生故障,则将所述业务报文转发至所述至少一第一服务器中的任一服务器;或,用于若根据认证***中除目标服务器之外的其他服务器发送的反馈报文,确定认证***中每个服务类型的服务器中均有至少一服务器未发生故障,则将接收到的业务报文转发至所述认证***;
所述第四转发模块,用于若根据认证***中除目标服务器之外的其他服务器发送的反馈报文,确定至少一第一服务进程未发生故障,则将所述业务报文转发至所述至少一第一服务进程所在的任一服务器;或,用于若根据认证***中除目标服务器之外的其他服务器发送的反馈报文,确定认证***中每个服务类型的服务进程中均有至少一服务进程未发生故障,则将接收到的业务报文转发至所述认证***。
可选的,所述第一转发模块1130通过以下方式判断所述目标服务器是否发生故障:
如果接收到的状态信息中,存在表示所述目标服务进程运行正常的状态信息,则判定所述目标服务器未发生故障;
如果接收到的状态信息中,不存在表示所述目标服务进程运行正常的状态信息,则判定所述目标服务器发生故障。
可选的,所述反馈报文中还携带有所述目标服务器的资源利用率,所述装置还包括第一确定模块和第三发送模块,或者,所述装置还包括第二确定模块和第四发送模块,其中:
所述第一确定模块,用于若根据认证***中除目标服务器之外的其他服务器发送的反馈报文,确定认证***中每个服务类型的服务器中均有至少一服务器未发生故障,则在所述至少一服务器中,确定资源利用率最低的服务器;
所述第三发送模块,用于将所述业务报文发送给所述资源利用率最低的服务器;
所述第二确定模块,用于若根据认证***中除目标服务器之外的其他服务器发送的反馈报文,确定认证***中每个服务类型的服务进程中均有至少一服务进程未发生故障,则在所述至少一服务进程所在的服务器中,确定资源利用率最低的服务器;
所述第四发送模块,用于将所述业务报文发送给所述资源利用率最低的服务器。
可选的,所述装置还包括第二判断模块、第三判断模块、第一处理模块和丢弃模块,其中:
所述第二判断模块,用于当接收到用户终端发送的业务报文时,根据预先存储的认证用户列表,判断所述用户终端是否为待认证终端,所述认证用户列表包括认证通过的用户终端的标识;
所述第三判断模块,用于如果所述用户终端为待认证终端,则判断预先存储的逃生域列表中,是否包含所述业务报文携带的目的IP地址,所述逃生域列表中包含待认证终端能够访问的地址;
所述第一处理模块,用于如果所述逃生域列表中包含所述业务报文携带的目的IP地址,则触发第一转发模块1130执行所述根据所述业务报文携带的目的IP地址,对所述业务报文进行转发处理的步骤;
所述丢弃模块,用于如果所述逃生域列表中不包含所述业务报文携带的目的IP地址,则丢弃所述业务报文。
可选的,所述装置还包括获取模块和添加模块,其中:
所述获取模块,用于获取所述用户终端的用户信息和所述业务报文的报文特征;
所述添加模块,用于在预设的逃生用户列表中,添加所述用户终端对应的表项,所述表项至少包括用户终端的用户信息和所述业务报文的报文特征。
可选的,所述装置还包括第五发送模块、第三接收模块和第一执行模块,或者,所述装置还包括第六发送模块、第四接收模块和第二执行模块,其中:
所述第五发送模块,用于当根据认证***中服务器发送的反馈报文,确定认证***中每个服务类型的服务器中均有至少一服务器未发生故障时,将所述逃生用户列表中的用户信息发送给所述第一服务器中未发生故障的任一服务器;
所述第三接收模块,用于接收返回的认证响应;
所述第一执行模块,用于若根据所述认证响应确定所述用户信息认证失败,则执行以下至少一项操作:删除所述用户信息对应的用户上线信息、将所述用户信息对应的用户加入黑名单、
当根据认证***中服务器发送的反馈报文,确定认证***中至少有一个服务类型的所有服务器均发生故障时,拒绝所述用户信息对应的用户上线;
所述第六发送模块,用于当根据认证***中服务器发送的反馈报文,确定认证***中每个服务类型的服务进程中均有至少一服务进程未发生故障时,将所述逃生用户列表中的用户信息发送给未发生故障的任一第一服务进程所在的服务器;
所述第四接收模块,用于接收返回的认证响应;
所述第二执行模块,用于若根据所述认证响应确定所述用户信息认证失败,则执行以下至少一项操作:删除所述用户信息对应的用户上线信息、将所述用户信息对应的用户加入黑名单、
当根据认证***中服务器发送的反馈报文,确定认证***中至少有一个服务类型的所有服务进程均发生故障时,拒绝所述用户信息对应的用户上线。
实施例十
基于相同的技术构思,如图13所示,本申请实施例还提供了一种业务报文的处理装置,该装置应用于认证***中的服务器,该装置包括:
接收模块1310,用于接收接入设备发送的状态请求消息,所述状态请求消息中携带有目标服务进程的标识;
第一获取模块1320,用于根据所述目标服务进程的标识,获取所述目标服务进程的状态信息;
发送模块1330,用于向所述接入设备发送反馈消息,所述反馈消息中携带有所述目标服务进程的状态信息。
可选的,所述反馈消息中还携带有所述服务器的资源利用率,所述装置还包括:第二获取模块,用于获取本设备当前的资源利用率,根据所述资源利用率、目标服务进程的状态信息,封装所述反馈报文。
实施例十一
本申请实施例还提供了一种接入设备,如图14所示,包括处理器1401、通信接口1402、存储器1403和通信总线1404,其中,处理器1401,通信接口1402,存储器1403通过通信总线1404完成相互间的通信,
存储器1403,用于存放计算机程序;
处理器1401,用于执行存储器1403上所存放的程序时,以使该接入设备执行上述业务报文的处理方法中的步骤。机器可读存储介质可以包括RAM(Random Access Memory,随机存取存储器),也可以包括NVM(Non-Volatile Memory,非易失性存储器),例如至少一个磁盘存储器。另外,机器可读存储介质还可以是至少一个位于远离前述处理器的存储装置。
上述处理器可以是通用处理器,包括CPU(Central Processing Unit,中央处理器)、NP(Network Processor,网络处理器)等;还可以是DSP(Digital Signal Processing,数字信号处理器)、ASIC(Application Specific Integrated Circuit,专用集成电路)、FPGA(Field-Programmable Gate Array,现场可编程门阵列)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。
实施例十二
本申请实施例还提供了一种服务器,如图15所示,包括处理器1501、通信接口1502、存储器1503和通信总线1504,其中,处理器1501,通信接口1502,存储器1503通过通信总线1504完成相互间的通信,
存储器1503,用于存放计算机程序;
处理器1501,用于执行存储器1503上所存放的程序时,以使该服务器执行上述业务报文的处理方法中的步骤。
机器可读存储介质可以包括RAM(Random Access Memory,随机存取存储器),也可以包括NVM(Non-Volatile Memory,非易失性存储器),例如至少一个磁盘存储器。另外,机器可读存储介质还可以是至少一个位于远离前述处理器的存储装置。
综上所述,本发明实施例中,接入设备可以向认证***中的目标服务器发送状态请求报文,状态请求报文中携带有目标服务器中的目标服务进程的标识。接入设备接收目标服务器发送的反馈报文,反馈报文中携带有目标服务进程的状态信息。接入设备根据接收到的状态信息,当判定目标服务器发生故障时,若根据认证***中除目标服务器之外的其他服务器发送的反馈报文,确定认证***中与目标服务器服务类型相同的所有第一服务器均发生故障,则当接收到用户终端发送的业务报文时,根据业务报文携带的目的IP地址,对业务报文进行转发处理。这样,接入设备可以对认证***中的每个服务器进行监控,如果某一服务类型的服务器全部发生故障,接入设备可以及时开启用户逃生机制,从而保证用户终端能够正常访问网络。
上述处理器可以是通用处理器,包括CPU(Central Processing Unit,中央处理器)、NP(Network Processor,网络处理器)等;还可以是DSP(Digital Signal Processing,数字信号处理器)、ASIC(Application Specific Integrated Circuit,专用集成电路)、FPGA(Field-Programmable Gate Array,现场可编程门阵列)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。
需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
本说明书中的各个实施例均采用相关的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。尤其,对于装置实施例而言,由于其基本相似于方法实施例,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
以上所述仅为本申请的较佳实施例而已,并非用于限定本申请的保护范围。凡在本申请的精神和原则之内所作的任何修改、等同替换、改进等,均包含在本申请的保护范围内。

Claims (15)

1.一种业务报文的处理方法,其特征在于,所述方法应用于接入设备,所述方法包括:
向认证***中的目标服务器发送状态请求报文,所述状态请求报文中携带有所述目标服务器中的目标服务进程的标识;
接收所述目标服务器发送的反馈报文,所述反馈报文中携带有所述目标服务进程的状态信息;
根据接收到的状态信息,当判定所述目标服务器发生故障时,若根据认证***中除目标服务器之外的其他服务器发送的反馈报文,确定认证***中与所述目标服务器服务类型相同的所有第一服务器均发生故障,则当接收到用户终端发送的业务报文时,根据所述业务报文携带的目的IP地址,对所述业务报文进行转发处理。
2.根据权利要求1所述的方法,其特征在于,当判定所述目标服务器发生故障时,还包括:
若根据认证***中除目标服务器之外的其他服务器发送的反馈报文,确定至少一第一服务器未发生故障,则将所述业务报文转发至所述至少一第一服务器中的任一服务器;
或,
若根据认证***中除目标服务器之外的其他服务器发送的反馈报文,确定认证***中每个服务类型的服务器中均有至少一服务器未发生故障,则将接收到的业务报文转发至所述认证***。
3.根据权利要求1所述的方法,其特征在于,根据接收到的状态信息,通过以下方式判断所述目标服务器是否发生故障:
如果接收到的状态信息中,存在表示所述目标服务进程运行正常的状态信息,则判定所述目标服务器未发生故障;
如果接收到的状态信息中,不存在表示所述目标服务进程运行正常的状态信息,则判定所述目标服务器发生故障。
4.根据权利要求1所述的方法,其特征在于,所述反馈报文中还携带有所述目标服务器的资源利用率,所述方法还包括:
若根据认证***中除目标服务器之外的其他服务器发送的反馈报文,确定认证***中每个服务类型的服务器中均有至少一服务器未发生故障,则在所述至少一服务器中,确定资源利用率最低的服务器;
将所述业务报文发送给所述资源利用率最低的服务器。
5.根据权利要求1所述的方法,其特征在于,所述方法还包括:
当接收到用户终端发送的业务报文时,根据预先存储的认证用户列表,判断所述用户终端是否为待认证终端;
如果所述用户终端为待认证终端,则判断预先存储的逃生域列表中,是否包含所述业务报文携带的目的IP地址,所述逃生域列表中包含待认证终端能够访问的地址;
如果所述逃生域列表中包含所述业务报文携带的目的IP地址,则执行所述根据所述业务报文携带的目的IP地址,对所述业务报文进行转发处理的步骤;
如果所述逃生域列表中不包含所述业务报文携带的目的IP地址,则丢弃所述业务报文。
6.根据权利要求1-5任一所述的方法,其特征在于,所述方法还包括:
获取所述用户终端的用户信息和所述业务报文的报文特征;
在预设的逃生用户列表中,添加所述用户终端对应的表项,所述表项至少包括用户终端的用户信息和所述业务报文的报文特征。
7.根据权利要求6所述的方法,其特征在于,所述方法还包括:
当根据认证***中服务器发送的反馈报文,确定认证***中每个服务类型的服务器中均有至少一服务器未发生故障时,将所述逃生用户列表中的用户信息发送给所述第一服务器中未发生故障的任一服务器;
接收返回的认证响应;
若根据所述认证响应确定所述用户信息认证失败,则执行以下至少一项操作:
删除所述用户信息对应的用户上线信息、
将所述用户信息对应的用户加入黑名单、
当根据认证***中服务器发送的反馈报文,确定认证***中至少有一个服务类型的所有服务器均发生故障时,拒绝所述用户信息对应的用户上线。
8.一种业务报文的处理方法,其特征在于,所述方法应用于接入设备,所述方法包括:
向认证***中的目标服务器发送状态请求报文,所述状态请求报文中携带有所述目标服务器中的目标服务进程的标识;
接收所述目标服务器发送的反馈报文,所述反馈报文中携带有所述目标服务进程的状态信息;
根据接收到的状态信息,当判定所述目标服务进程发生故障时,若根据认证***中除目标服务器之外的其他服务器发送的反馈报文,确定认证***中与所述目标服务进程服务类型相同的所有第一服务进程均发生故障,则当接收到用户终端发送的业务报文时,根据所述业务报文携带的目的IP地址,对所述业务报文进行转发处理。
9.根据权利要求8所述的方法,其特征在于,当判定所述目标服务进程发生故障时,还包括:
若根据认证***中除目标服务器之外的其他服务器发送的反馈报文,确定至少一第一服务进程未发生故障,则将所述业务报文转发至所述至少一第一服务进程所在的任一服务器;
或,
若根据认证***中除目标服务器之外的其他服务器发送的反馈报文,确定认证***中每个服务类型的服务进程中均有至少一服务进程未发生故障,则将接收到的业务报文转发至所述认证***。
10.根据权利要求8所述的方法,其特征在于,所述反馈报文中还携带有所述目标服务器的资源利用率,所述方法还包括:
若根据认证***中除目标服务器之外的其他服务器发送的反馈报文,确定认证***中每个服务类型的服务进程中均有至少一服务进程未发生故障,则在所述至少一服务进程所在的服务器中,确定资源利用率最低的服务器;
将所述业务报文发送给所述资源利用率最低的服务器。
11.根据权利要求8-10任一所述的方法,其特征在于,所述方法还包括:
获取所述用户终端的用户信息和所述业务报文的报文特征;
在预设的逃生用户列表中,添加所述用户终端对应的表项,所述表项至少包括用户终端的用户信息和所述业务报文的报文特征。
12.根据权利要求11所述的方法,其特征在于,所述方法还包括:
当根据认证***中服务器发送的反馈报文,确定认证***中每个服务类型的服务进程中均有至少一服务进程未发生故障时,将所述逃生用户列表中的用户信息发送给未发生故障的任一第一服务进程所在的服务器;
接收返回的认证响应;
若根据所述认证响应确定所述用户信息认证失败,则执行以下至少一项操作:
删除所述用户信息对应的用户上线信息、
将所述用户信息对应的用户加入黑名单、
当根据认证***中服务器发送的反馈报文,确定认证***中至少有一个服务类型的所有服务进程均发生故障时,拒绝所述用户信息对应的用户上线。
13.一种业务报文的处理方法,其特征在于,所述方法应用于认证***中的服务器,所述方法包括:
接收接入设备发送的状态请求报文,所述状态请求报文中携带有目标服务进程的标识;
根据所述目标服务进程的标识,获取所述目标服务进程的状态信息;
向所述接入设备发送反馈报文,所述反馈报文中携带有所述目标服务进程的状态信息。
14.根据权利要求13所述的方法,其特征在于,所述向所述接入设备发送反馈报文,之前还包括:
获取本设备当前的资源利用率,根据所述资源利用率、目标服务进程的状态信息,封装所述反馈报文。
15.一种业务报文的处理装置,其特征在于,所述装置应用于接入设备,所述装置包括第一发送模块、第一接收模块和第一转发模块,或者,所述装置包括第二发送模块、第二接收模块和第二转发模块,其中:
所述第一发送模块,用于向认证***中的目标服务器发送状态请求消息,所述状态请求消息中携带有所述目标服务器中的目标服务进程的标识;
所述第一接收模块,用于接收所述目标服务器发送的反馈消息,所述反馈消息中携带有所述目标服务进程的状态信息;
所述第一转发模块,用于根据接收到的状态信息,当判定所述目标服务器发生故障时,若根据认证***中除目标服务器之外的其他服务器发送的反馈报文,确定认证***中与所述目标服务器服务类型相同的所有第一服务器均发生故障,则当接收到用户终端发送的业务报文时,根据所述业务报文携带的目的IP地址,对所述业务报文进行转发处理;
所述第二发送模块,用于向认证***中的目标服务器发送状态请求报文,所述状态请求报文中携带有所述目标服务器中的目标服务进程的标识;
所述第二接收模块,用于接收所述目标服务器发送的反馈报文,所述反馈报文中携带有所述目标服务进程的状态信息;
所述第二转发模块,用于根据接收到的状态信息,当判定所述目标服务进程发生故障时,若根据认证***中除目标服务器之外的其他服务器发送的反馈报文,确定认证***中与所述目标服务进程服务类型相同的所有第一服务进程均发生故障,则当接收到用户终端发送的业务报文时,根据所述业务报文携带的目的IP地址,对所述业务报文进行转发处理。
CN201810532382.0A 2018-05-29 2018-05-29 一种业务报文的处理方法及装置 Active CN108769016B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201810532382.0A CN108769016B (zh) 2018-05-29 2018-05-29 一种业务报文的处理方法及装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201810532382.0A CN108769016B (zh) 2018-05-29 2018-05-29 一种业务报文的处理方法及装置

Publications (2)

Publication Number Publication Date
CN108769016A true CN108769016A (zh) 2018-11-06
CN108769016B CN108769016B (zh) 2020-02-11

Family

ID=64003644

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201810532382.0A Active CN108769016B (zh) 2018-05-29 2018-05-29 一种业务报文的处理方法及装置

Country Status (1)

Country Link
CN (1) CN108769016B (zh)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112306913A (zh) * 2019-07-30 2021-02-02 华为技术有限公司 一种端点设备的管理方法、装置及***
CN112839331A (zh) * 2019-11-22 2021-05-25 武汉神州数码云科网络技术有限公司 一种用于无线局域网Portal认证逃生的用户信息认证方法
CN113242141A (zh) * 2021-03-31 2021-08-10 联想(北京)有限公司 一种用户面网元的故障检测方法及装置
CN113572773A (zh) * 2021-07-27 2021-10-29 迈普通信技术股份有限公司 一种接入设备及终端接入控制方法

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101557405A (zh) * 2009-06-01 2009-10-14 杭州华三通信技术有限公司 一种入口认证方法及其对应的网关设备、服务器
CN105959295A (zh) * 2016-06-21 2016-09-21 福建富士通信息软件有限公司 一种Portal逃生方法及装置
CN106060048A (zh) * 2016-05-31 2016-10-26 杭州华三通信技术有限公司 一种网络资源访问方法和装置
CN107800715A (zh) * 2017-11-13 2018-03-13 迈普通信技术股份有限公司 一种Portal认证方法及接入设备

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101557405A (zh) * 2009-06-01 2009-10-14 杭州华三通信技术有限公司 一种入口认证方法及其对应的网关设备、服务器
CN106060048A (zh) * 2016-05-31 2016-10-26 杭州华三通信技术有限公司 一种网络资源访问方法和装置
CN105959295A (zh) * 2016-06-21 2016-09-21 福建富士通信息软件有限公司 一种Portal逃生方法及装置
CN107800715A (zh) * 2017-11-13 2018-03-13 迈普通信技术股份有限公司 一种Portal认证方法及接入设备

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112306913A (zh) * 2019-07-30 2021-02-02 华为技术有限公司 一种端点设备的管理方法、装置及***
CN112306913B (zh) * 2019-07-30 2023-09-22 华为技术有限公司 一种端点设备的管理方法、装置及***
CN112839331A (zh) * 2019-11-22 2021-05-25 武汉神州数码云科网络技术有限公司 一种用于无线局域网Portal认证逃生的用户信息认证方法
CN113242141A (zh) * 2021-03-31 2021-08-10 联想(北京)有限公司 一种用户面网元的故障检测方法及装置
CN113572773A (zh) * 2021-07-27 2021-10-29 迈普通信技术股份有限公司 一种接入设备及终端接入控制方法

Also Published As

Publication number Publication date
CN108769016B (zh) 2020-02-11

Similar Documents

Publication Publication Date Title
CN108769016A (zh) 一种业务报文的处理方法及装置
KR100800370B1 (ko) 어택 서명 생성 방법, 서명 생성 애플리케이션 적용 방법, 컴퓨터 판독 가능 기록 매체 및 어택 서명 생성 장치
CN107135093B (zh) 一种基于有限自动机的物联网入侵检测方法及检测***
US9325706B2 (en) Methods, systems, and computer program products for determining an originator of a network packet using biometric information
US9444821B2 (en) Management server, communication cutoff device and information processing system
CN102970306B (zh) 一种IPv6网络环境下的入侵检测***
US20110185060A1 (en) Method for allowing and blocking a user pc which can use internet at the same time in a private network therof a method for analyzing and detecting a judgement about whether nat(network address translation) can be used or not using a traffic data, and the number of terminals sharing nat
CN107347047A (zh) 攻击防护方法和装置
JPH10326256A (ja) マルチレベルセキュリティポート方法、装置、及びコンピュータプログラム製品
CN100463413C (zh) 客户机间通信记录的一致性保证管理***
Cuppens et al. Handling stateful firewall anomalies
CN110233831A (zh) 恶意注册的检测方法及装置
CN106789486B (zh) 共享接入的检测方法、装置、电子设备及计算机可读存储介质
CN109992485A (zh) 一种调试日志提供方法、终端设备及服务器
CN109743314A (zh) 网络异常的监控方法、装置、计算机设备及其存储介质
CN109937563A (zh) 用于通信网络的方法、和电子监测单元
CN106878339A (zh) 一种基于物联网终端设备的漏洞扫描***及方法
CN110691097A (zh) 一种基于hpfeeds协议的工控蜜罐的***及其工作方法
CN104348638A (zh) 识别会话流量的业务类型的方法、***及设备
CN109446807A (zh) 用于识别拦截恶意机器人的方法、装置以及电子设备
CN109600395A (zh) 一种终端网络接入控制***的装置及实现方法
CN107018116A (zh) 监控网络流量的方法、装置及服务器
CN101707535B (zh) 检测仿冒网络设备的方法和装置
CN106341413A (zh) 一种portal认证方法及装置
CN109040137A (zh) 用于检测中间人攻击的方法、装置以及电子设备

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant