专利名称:一种Portal双机热备份的实现方法、系统及设备的制作方法
技术领域:
本发明涉及通信技术领域,尤其涉及一种Portal双机热备份的实现方法、 系统及设备。
背景技术:
EAD (Endpoint Admission Defense,端点准入防御)安全产品是一套融合 网络设备、用户终端和第三方安全产品的全网安全体系框架,其目的是整合 孤立的单点安全部件,形成完整的网络安全体系,最终为用户提供端到端的 安全防护。EAD安全产品为了对内网的用户进行安全准入控制,扩展了自有 的Portal (门户网站)接入控制协议,Portal指一个基于Web的系统,通常都会 提供个性化设置、单一登录、以及由各种不同来源或不同网站取得各种信息, 并且将这些信息放在网页之中组合而成的呈现平台。
Portal早期的设计仅针对于下连网络为单独的汇聚层设备,不能支持 VRRP (Virtual Router Redundancy Protocol,虚拟路由冗余协议)十多生成树 (MULTIPLE SPANNING TREE PROTOCOL,多生成树协议)和路由备份的 汇聚层网络设备备份的组网情况。其中,VRRP+MSTP方案如图1所示,用户 的网关在汇聚层设备上,路由备份方案如图2所示,用户的网关在接入层设备 上。
针对图l和图2的两种组网,现有技术网关方式的期望组网如图3所示, 虛线表示用户数据流方向,Portal客户端(即用户设备)通过接入层设备接入 网络后,由核心层设备将用户数据流通过策略路由重定向到BAS (Broadband Access Server,宽带接入服务器)-A或BAS-B上进行认证,Portal服务器检 测到Portal客户端发起的认证,并与BAS交互,使BAS在认证通过后对用户 开放相应的权限。认证后,数据流返回核心层设备,核心层设备将数据流再 通过出口路由器转发到Internet上,保证对接入用户进行认证。现有技术中Portal协议框架如图4所示,包括Portal客户端、Portal服 务器(可以位于核心层、或接入层、或位于用户的服务器区)、BAS和AAA (Authentication, Authorization and Accounting, i人i正、4受4又和纟克"H")月l务器。 其中,Portal客户端可以使用WEB浏览器或重客户端(已安装在计算机上的 客户端),用于提供用户可见的Portal上下线节目,并处理相应的客户端的认 证流程;Portal服务器是Portal认证的核心(可以位于核心层、或接入层、或 位于用户的服务器区),用于纟企测到Portal客户端发起的认证,并与BAS交 互,使BAS在认证通过后对用户开放相应的权限;BAS是控制用户的核心设
RADIUS (Remote Authentication Dial In User Service,远程鉴别拨号用户服务)
认证4艮文,到AAA服务器进行用户身份认证;AAA服务器,用于根据接收
的RADIUS i/vi正才艮文对用户进行身4分iU正。
图4的协议框架的上线流程如图5所示,包括以下步骤
步骤501, Portal客户端上线,发送连接请求或强制重定向到Portal服务
器的认证网页。
步骤502, Portal服务器向BAS发送认证请求报文REQ—AUTH。可选地, 增设一定时器,用于Portal服务器向BAS发送认证请求后开始计时,如果在 预先设定的时间内没有接收到BAS返回的认证成功消息,则说明认证失败, 并清理该条请求相关的信息,或重新发送请求消息。
步骤503, BAS进行AAA认证,认证成功后,向Portal服务器返回认证 成功ACK—AUTH,同时开》丈该用户的访问4又限。
步骤504, Portal服务器通知Portal客户端iU正成功。 图4的协议框架的下线流程如图6所示,包括以下步骤 步骤601, Portal客户端通过HTTP ( Hypertext Transfer Protocol,超文本 传输协议)向Portal服务器发送下线请求。
步骤602, Portal服务器向BAS发送下线请求报文REQ—LOGOUT。 步骤603, BAS向AAA发送计费结束报文,确认计费结束后,向Portal 服务器返回下线确认ACK—LOGOUT,同时关闭此用户的访问权限。步骤604, Portal月良务器通知Portal客户端下线成功。
其中,步骤605和步骤606、步骤607和步骤608为可能发生的重传过程, 如图5中所述定时器所起作用。
现有技术中,在网络设备备份的组网情况,如图3或图4,用户网络发生 切换时,不能保证用户数据流从BAS-A切换到BAS-B时,仍然能够通过认 证,如果BAS-B没有该用户的认证信息,则该上线用户的数据流无法正常转 发。
另外,当用户上线后,下线前数据流发生了切换,使得用户上线和下线 经过不同的认证网关,且由于现有技术的服务器无法对来自不同认证网关的 同一网段的用户进行身份认证,造成该用户的下线操作不能正常进行。
发明内容
本发明实施例提供了一种Portal双机热备份的实现方法、系统及设备,以 在用户数据流方向切换后认证网关仍可以进行"i人证,并可以对来自不同认证 网关的同 一 网段的用户请求进行身份认证。
本发明实施例提供了 一种Portal双机热备份的实现方法,应用于包括用户 设备、Portal服务器和至少两个认证网关的系统中,所述方法包括以下步骤
认证网关接收所述Portal服务器发送的对所述用户设备的认证请求;
所述认证网关对所述用户设备认证成功后,将所述用户设备的信息同步 到其他认证网关,当所述认证网关发生故障后,将从所述认证网关上行的数 据流切换到所述其他认证网关上行。
其中,还包括
所述Portal服务器对用户的认证网段与各个认证网关的IP地址进行分组 绑定,识别来自不同认证网关对同一认证网段的用户设备的数据流。 其中,所述用户设备的信息同步到其他认证网关之前还包括 所述各个认证网关之间通过保活机制相互获取状态信息。 其中,所述用户设备的信息同步到其他认证网关具体包括 按照预先设定的时间间隔将本地存储的用户信息分批发送给其他认证网
7关;或
实时将用户信息发送给其他认证网关。
其中,将所述用户设备的信息同步到其他认证网关之后还包括
收到用户设备通过Portal服务器发送的下线请求;
通知其他认证网关用户下线,并删除所述用户信息。
本发明还提供了一种Portal双机热备份的实现系统,包括用户设备、Portal 服务器、和至少两个认证网关,
所述Portal服务器,用于用户上线时,与认证网关交互信息,使认证网关 在认证通过后对所述用户开放或关闭相应的权限;
认证网关,用于接收所述Portal服务器发送的对所述用户设备的认证请 求,并对所述用户设备认证成功后,对所述用户开放或关闭相应的权限,并 将所述用户设备的信息同步到其他认证网关,当所述认证网关发生故障后, 将从所述认证网关上行的数据流切换到所述其他认证网关上行。
其中,所述认证网关具体包括
认证请求接收单元,用于接收用户设备发送的认证请求;
上线管理单元,用于接收到的认证请求为上线请求时,且对所述用户设 备认证成功后,对所述用户开》文相应的4又限;
用户信息同步单元,用于将所述用户设备的信息同步到其他认证网关, 当所述认证网关发生故障后,将从所述认证网关上行的数据流切换到所述其 他iU正网关上4亍。
其中,所述认证网关还包括
其中,所述用户信息同步单元具体包括
分批同步子单元,用于按照预先设定的时间间隔将本地存储的用户信息 分批发送给其他认证网关;或
实时同步子单元,用于实时将用户信息发送给其他认证网关。 其中,所述认证网关还包括
下线管理单元,用于接收到的认证请求为下线请求时,且对所述用户设备认证成功后,对所述用户关闭相应的权限。
其中,所述Portal服务器具体包括 接收单元,用于接收用户设备的认证请求;
信息交互单元,用于与认证网关交互信息,使所述认证网关对所述用户 设备进行认证管理。
其中,所述Portal服务器还包括
分组绑定单元,用于对用户的认证网段与多个认证网关的IP地址进行分 组绑定。
本发明还提供了一种认证网关,包括 认证请求接收单元,用于接收用户设备发送的认证请求; 上线管理单元,用于接收到的认证请求为上线请求时,且对所述用户设
备认证成功后,对所述用户开放相应的权限;
用户信息同步单元,用于将所述用户设备的信息同步到其他认证网关,
当所述认证网关发生故障后,将从所述认证网关上行的数据流切换到所述其
4也iU正网关上4亍。
本发明还提供了一种Portal服务器,包括 接收单元,用于接收用户设备的认证请求;
信息交互单元,用于与认证网关交互信息,使所述认证网关对所述用户 设备进行认证管理;
分组绑定单元,用于对用户的认证网段与多个认证网关的IP地址进行分 组绑定。
本发明中,在网络设备备份的组网情况,各个认证网关对用户信息进行 备份,保证用户数据流切换后仍然能够通过认证,提高了用户数据流的可靠 性;并且服务器可以设置来自不同认证网关的同一网段的用户为一个分组, 使得服务器对同 一分组中的认证网关的数据流都可以处理,实现了用户上下 线流程可以顺利进行。
图1是现有技术中VRRP+MSTP备份的组网结构图;图2是现有技术中路由备份的组网结构图;图3是现有技术中网关方式的期望组网示意图;图4是现有技术中Portal协议框架示意图;图5是现有技术中Portal协议上线认证流程图;图6是现有技术中Portal协议下线认证流程图;图7是本发明中具有状态备份的Portal协议的上线流程图;图8是本发明中具有状态备份的Portal协议的下线流程图;图9是本发明中数据流切换后的示意图。
具体实施方式
本发明的核心思想是在网络设备备份的组网情况,多台认证网关(例 如两台BAS设备)之间使用保活报文,保证这些认证网关状态一致;并且在 多台BAS设备(例如两台)之间同步上线用户的信息,保证每台BAS设备上 都有上线用户的信息;另外,为了使Portal服务器可以对来自不同认证网关 (BAS-A、 BAS-B)的数据流进行处理,需要在Portal服务器设置Portal接入 设备组(包括多台认证网关),当Portal客户端上线时,可以设置BAS-A、BAS-B 等认证网关的IP地址与上线用户的认证网段相对应,当Portal服务器接收到 该认证网段的用户的凄t据流时,可以分别通过BAS-A、 BAS-B进行交互。本发明中提供了 一种Portal双机热备份的实现系统包括Portal客户端、 Portal服务器、BAS-A和BAS-B。由于BAS之间不存在主备关系,所以在图 中未说明主备,使用BAS-A,BAS-B说明二者关系平等。具有状态备份的Portal 协议的上线流程如图7所示,包括以下步骤步骤701, Portal客户端上线,发送连接请求或强制重定向到Portal服务 器的认证网页。步骤702, Portal服务器向BAS-A发送认证请求REQ—AUTH。 步骤703, BAS进行AAA认证,认证成功后,向Portal服务器返回认证 成功ACK—AUTH,同时开放此用户的访问权限。步骤704, Portal服务器通知Portal客户端认证成功。 步骤705, iU正成功后,BAS-A同步上线的用户状态到BAS-B。其中, BAS-A与BAS-B之间的保活,由于BAS-A与BAS-B之间需要相互同步用户 的状态信息,当用户稳定的情况下,为了判断BAS-A与BAS-B之间会话正 常,需要提供一种保活的手段例如BAS-A向BAS-B发送保活请求消息, BAS-B如果状态正常,则向BAS-A返回保活响应消息,BAS-A收到该保活 响应消息后,可以确定BAS-B正常工作,可以向其进行用户信息同步或进行 其他信息传递。如果BAS-A没有收到该保活响应消息,则确定BAS-B出现 异常(例如设备故障、链路故障等),无法进行后续用户信息同步。当然,设 备之间的保活可以是相互的,因此,BAS-B也可以向BAS-A发送保活请求消 息,具体步骤与BAS-A向BAS-B发送保活请求消息的过程相同,不在赘述。 另夕卜,BAS-A与BAS-B之间同步用户状态的性能考虑,由于每一个用户 上线时都同步用户状态信息是没有必要而且降低性能的,在同步用户操作时, 可以间隔一定的时间分批进行,以提高系统的处理效率。例如BAS-A确认 BAS-B工作正常的情况下,按照预先设定的时间间隔将本地存储的用户上线 信息发送给BAS-B,即,在此时间间隔以内的用户上线信息,先存储在本地, 待该时间间隔到达时,将存储在本地的用户上线信息发送给BAS-B。 步骤705也可以在步骤702、或步骤703之后执行。 具有状态备^f分的Portal协议的下线流程如图8所示,包括以下步骤 步骤801 , Portal客户端通过HTTP向Portal服务器发送下线请求。 步骤802, Portal服务器向BAS-A发送下线请求REQ—LOGOUT。 步骤803, BAS向AAA发送计费结束报文,AAA对该用户认证成功后, 向Portal服务器返回下线确认ACK—LOGOUT,同时关闭此用户的访问权限。 步骤804, Portal服务器通知Portal客户端下线成功。 步骤805, BAS-A通知BAS-B用户已经下线。现有技术中,每台认证网关(BAS)的IP地址对应一个认证网段,认证 网段是对BAS进行认证的 一 个网络IP地址的范围,比如 192.168.0.1-192.168.0.180。 Portal服务器对一台认证网关(如BAS-A )只能对应一个认证网段,与BAS-A的IP地址绑定,Portal服务器只对BAS-A的报 文进行处理,而对其他认证网关(例如BAS-B)的报文不做处理。然而,由 于本发明使用的是备份方案,包括BAS-A和BAS-B两个认证网关,当用户 上线时,用户报文通过BAS-A,认证网关切换后,用户下线,使用BAS-B。 由于上线的认证网关BAS-A与下线的认证网关BAS-B不是同一个认证网关, 所以现有技术中的Portal服务器只与BAS-A的IP地址绑定,只能处理BAS-A 的用户上线相关信息,而不能处理BAS-B的用户下线相关信息。本发明在服务器侧对用户的认证网关进行分组,使Portal服务器与具有多 个认证网关(例如BAS-A和BAS-B )的认证网关分组绑定,不与某个特定的 认证网段绑定。例如,Portal服务器设置BAS-A和BAS-B在一个分组,Portal 服务器可以对来自BAS-A和BAS-B的报文进行处理。因此,Portal服务器既 可以对用户上线使用BAS-A时的请求及响应消息、也可以对用户下线使用 BAS-B时的请求及响应消息,实现Portal服务器对用户上线和下线的处理。步骤805也可以在步骤802、或步骤803之后4丸行。本发明当下层链路切换,数据流向发生变化时,即数据流由图3的情况 切换为图9的情况,Portal协议保证不中断Portal客户端的上线过程。Portal 客户端通过BAS-A上线,如图3所示;BAS-A通过与BAS-B之间的心跳线 将BAS-A的用户信息同步到BAS-B上;用户的凝:据流发生切换,数据流需 要从BAS-B上行,Portal服务器通过接入层设备、核心层设备与BAS-B交互 信息,使BAS-B不需要对Portal客户端进行再次认证,即可对Portal客户端 开放相应的权限,使数据流从BAS-B上行,如图9所示。由于进行Portal认证的两台BAS上面都存在相应的用户状态,所以无论 用户从BAS-A还是BAS-B的启用相应网段的Portal的接口进入,都会进行相 应的转发,保证了用户数据的转发。通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到本 发明可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬 件,但很多情况下前者是更佳的实施方式。基于这样的理解,本发明的技 术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使 得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行 本发明各个实施例所述的方法。以上公开的仅为本发明的几个具体实施例,但是,本发明并非局限于此, 任何本领域的技术人员能思之的变化都应落入本发明的保护范围。
权利要求
1、一种Portal双机热备份的实现方法,应用于包括用户设备、Portal服务器和至少两个认证网关的系统中,其特征在于,所述方法包括以下步骤认证网关接收所述Portal服务器发送的对所述用户设备的认证请求;所述认证网关对所述用户设备认证成功后,将所述用户设备的信息同步到其他认证网关,当所述认证网关发生故障后,将从所述认证网关上行的数据流切换到所述其他认证网关上行。
2、 如权利要求1所述Portal双机热备份的实现方法,其特征在于,还包括绑定,识别来自不同认证网关对同 一 认证网段的用户设备的数据流。
3、 如权利要求1所述Portal双机热备份的实现方法,其特征在于,所述 用户设备的信息同步到其他认证网关之前还包括所述各个认证网关之间通过保活机制相互获取状态信息。
4、 如权利要求1所述Portal双机热备份的实现方法,其特征在于,所述 用户设备的信息同步到其他认证网关具体包括按照预先设定的时间间隔将本地存储的用户信息分批发送给其他认证网 关;或实时将用户信息发送给其他认证网关。
5、 如权利要求1所述Portal双机热备份的实现方法,其特征在于,将所 述用户设备的信息同步到其他认证网关之后还包括收到用户设备通过Portal服务器发送的下线请求; 通知其他认^〖正网关用户下线,并删除所述用户信息。
6、 一种Portal双机热备份的实现系统,包括用户设备、Portal服务器、 和至少两个认证网关,其特征在于,所述Portal服务器,用于用户上线时,与认证网关交互信息,使认证网关 在认证通过后对所述用户开》文或关闭相应的^f又限;认证网关,用于接收所述Portal服务器发送的对所述用户设备的认证请 求,并对所述用户设备认证成功后,对所述用户开放或关闭相应的权限,并 将所述用户设备的信息同步到其他认证网关,当所述认证网关发生故障后, 将从所述认证网关上行的数据流切换到所述其他认证网关上行。
7、 如权利要求6所述Portal双机热备份的实现系统,其特征在于,所述 认证网关具体包^":认证请求接收单元,用于接收用户设备发送的认证请求; 上线管理单元,用于接收到的认证请求为上线请求时,且对所述用户设备认证成功后,对所述用户开放相应的权限;用户信息同步单元,用于将所述用户设备的信息同步到其他认证网关,当所述认证网关发生故障后,将从所述认证网关上行的数据流切换到所述其他iU正网关上4亍。
8、 如权利要求6所述Portal双机热备份的实现系统,其特征在于,所述 iU正网关还包4舌保活单元,用于与其它认证网关之间通过保活机制相互获取状态信息。
9、 如权利要求6所述Portal双机热备份的实现系统,其特征在于,所述 用户信息同步单元具体包括分批同步子单元,用于按照预先设定的时间间隔将本地存储的用户信息 分批发送给其他认证网关;或实时同步子单元,用于实时将用户信息发送给其他认证网关。
10、 如权利要求7所述Portal双机热备份的实现系统,其特征在于,所述 i^i正网关还包4舌下线管理单元,用于接收到的认证请求为下线请求时,且对所述用户设 备认证成功后,对所述用户关闭相应的权限。
11、 如权利要求6所述Portal双机热备份的实现系统,其特征在于,所述 Portal服务器具体包括接收单元,用于接收用户设备的认证请求;信息交互单元,用于与认证网关交互信息,使所述认证网关对所述用户设备进行认证管理。
12、如权利要求11所述Portal双机热备份的实现系统,其特征在于,所 述Portal服务器还包括分组绑定单元,用于对用户的认证网段与多个认证网关的IP地址进行分 组绑定。
13、 一种认证网关,其特征在于,包括 认证请求接收单元,用于接收用户设备发送的认证请求; 上线管理单元,用于接收到的认证请求为上线请求时,且对所述用户设备认证成功后,对所述用户开放相应的权限;用户信息同步单元,用于将所述用户设备的信息同步到其他认证网关,当所述认证网关发生故障后,将从所述认证网关上行的数据流切换到所述其寸也iU正网关上4亍。
14、 一种Portal服务器,其特征在于,包括 接收单元,用于接收用户设备的认证请求;信息交互单元,用于与认证网关交互信息,使所述认证网关对所述用户 设备进行认证管理;分组绑定单元,用于对用户的认证网段与多个认证网关的IP地址进行分 组绑定。
全文摘要
本发明公开了一种Portal双机热备份的实现方法、系统及设备,应用于包括用户设备、Portal服务器和至少两个认证网关的系统中,所述方法包括以下步骤认证网关接收所述Portal服务器发送的对所述用户设备的认证请求;所述认证网关对所述用户设备认证成功后,将所述用户设备的信息同步到其他认证网关,当所述认证网关发生故障后,将从所述认证网关上行的数据流切换到所述其他认证网关上行。本发明中,在网络设备备份的组网情况,各个认证网关对用户信息进行备份,保证用户数据流切换后仍然能够通过认证,提高了用户数据流的可靠性。
文档编号H04L29/06GK101262350SQ20081009394
公开日2008年9月10日 申请日期2008年4月23日 优先权日2008年4月23日
发明者乔肖桉, 黄凤贤 申请人:杭州华三通信技术有限公司