一种授权认证方法及装置与流程

文档序号:17248070发布日期:2019-03-30 08:55阅读:185来源:国知局
导航: X技术> 最新专利>电子通信装置的制造及其应用技术
一种授权认证方法及装置与流程

本发明涉及通信技术领域,特别是涉及一种授权认证方法及装置。



背景技术:

安全套接层虚拟私有网络(securesocketslayervirtualprivatenetwork,sslvpn)是一种新兴的vpn技术,是以ssl协议建立加密连接的vpn网络。sslvpn考虑的是应用软件的安全性,其协议工作在传输层之上,保护的是应用程序与应用程序之间的安全连接。

sslvpn中,为了免受设备故障影响、保证网络的正常运行,多将网络中的设备进行堆叠设置,堆叠的网络设备分为主节点设备和备节点设备,正常情况下主节点设备工作,如果主节点设备发生故障,则切换至备节点设备工作。

为了保证备节点设备在工作时,具有与主节点设备完全相同的功能,在进行授权认证时,要求备节点设备与主节点设备配置相同的授权个数,也就是说,备节点设备的许可证(license)数据与主节点设备的license数据完全相同,例如,sslvpn要求允许100个用户上线,则在进行授权认证时,设置主节点设备的license数据为100个授权,同时也需要设置备节点设备的license数据为100个授权。

由于对网络安全运行的要求越来越高,网络中的备节点设备的数目越来越多,基于上述license数据的设置方式,主节点设备和各备节点设备的license数据均需要设置为sslvpn允许授权的最大个数,导致实际需要授权个数为sslvpn中各节点设备所需授权个数中最大值的整数倍,大大增加了网络的授权成本。



技术实现要素:

本发明实施例的目的在于提供一种授权认证方法及装置,以降低网络的授权成本。具体技术方案如下:

第一方面,本发明实施例提供了一种授权认证方法,应用于sslvpn中的主节点设备,所述方法包括:

接收第一备节点设备发送的第一license数据,所述第一license数据用于使所述主节点设备将所述第一license数据与所述主节点设备的第二license数据进行叠加后作为所述主节点设备的授权个数;

发送第三license数据至所述第一备节点设备,以使所述第一备节点设备将所述第一license数据与所述第三license数据进行叠加后作为所述第一备节点设备的授权个数;

其中,所述第三license数据包括所述第二license数据以及除所述第一备节点设备以外的第二备节点设备的第一license数据。

第二方面,本发明实施例提供了一种授权认证方法,应用于sslvpn中的第一备节点设备,所述方法包括:

发送第一license数据至主节点设备,以使所述主节点设备将所述第一license数据与所述主节点设备的第二license数据进行叠加后作为所述主节点设备的授权个数;

接收所述主节点设备发送的第三license数据,所述第三license数据用于使所述第一备节点设备将所述第一license数据与所述第三license数据进行叠加后作为所述第一备节点设备的授权个数;

其中,所述第三license数据包括所述第二license数据以及除所述第一备节点设备以外的第二备节点设备的第一license数据。

第三方面,本发明实施例提供了一种授权认证装置,应用于sslvpn中的主节点设备,所述装置包括:

接收模块,用于接收第一备节点设备发送的第一license数据,所述第一license数据用于使所述主节点设备将所述第一license数据与所述主节点设备的第二license数据进行叠加后作为所述主节点设备的授权个数;

发送模块,用于发送第三license数据至所述第一备节点设备,以使所述第一备节点设备将所述第一license数据与所述第三license数据进行叠加后作为所述第一备节点设备的授权个数;其中,所述第三license数据包括所述第二license数据以及除所述第一备节点设备以外的第二备节点设备的第一license数据。

第四方面,本发明实施例提供了一种授权认证装置,应用于sslvpn中的第一备节点设备,所述装置包括:

发送模块,用于发送第一license数据至主节点设备,以使所述主节点设备将所述第一license数据与所述主节点设备的第二license数据进行叠加后作为所述主节点设备的授权个数;

接收模块,用于接收所述主节点设备发送的第三license数据,所述第三license数据用于使所述第一备节点设备将所述第一license数据与所述第三license数据进行叠加后作为所述第一备节点设备的授权个数;其中,所述第三license数据包括所述第二license数据以及除所述第一备节点设备以外的第二备节点设备的第一license数据。

第五方面,本发明实施例提供了一种主节点设备,包括处理器和机器可读存储介质,所述机器可读存储介质存储有能够被所述处理器执行的机器可执行指令,所述处理器被所述机器可执行指令促使:执行本发明实施例第一方面所述的方法步骤。

第六方面,本发明实施例提供了一种机器可读存储介质,所述机器可读存储介质内存储有机器可执行指令,所述机器可执行指令被处理器执行时,实现本发明实施例第一方面所述的方法步骤。

第七方面,本发明实施例提供了一种备节点设备,包括处理器和机器可读存储介质,所述机器可读存储介质存储有能够被所述处理器执行的机器可执行指令,所述处理器被所述机器可执行指令促使:执行本发明实施例第二方面所述的方法步骤。

第八方面,本发明实施例提供了一种机器可读存储介质,所述机器可读存储介质内存储有机器可执行指令,所述机器可执行指令被处理器执行时,实现本发明实施例第二方面所述的方法步骤。

本发明实施例提供的一种授权认证方法及装置,sslvpn中的主节点设备可以接收到第一备节点设备发送的第一license数据,主节点设备将第一license数据和主节点设备的第二license数据进行叠加后作为主节点设备的授权个数,主节点设备在做完license数据叠加之后,向第一备节点设备发送第三license数据(包括主节点设备的第二license数据和第二备节点设备的第一license数据),这样第一备节点设备可以将第一license数据与第三license数据进行叠加后作为第一备节点设备的授权个数。通过本发明实施例,每个节点设备的授权个数是所有节点设备的license数据叠加后的结果,也就是说,每个节点设备的license数据可以设置的较少,通过license数据的同步、叠加,达到sslvpn对于总授权个数的要求,降低了网络的授权成本。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。

图1为本发明实施例的应用于主节点设备的授权认证方法的流程示意图;

图2为本发明实施例的应用于第一备节点设备的授权认证方法的流程示意图;

图3为本发明实施例的授权认证方法的交互流程示意图;

图4为本发明实施例的维稳处理的流程示意图;

图5为本发明实施例的应用于主节点设备的授权认证装置的结构示意图;

图6为本发明实施例的应用于第一备节点设备的授权认证装置的结构示意图;

图7为本发明实施例的主节点设备的结构示意图;

图8为本发明实施例的备节点设备的结构示意图。

具体实施方式

下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。

为了降低网络的授权成本,本发明实施例提供了一种授权认证方法、装置、主节点设备、备节点设备及机器可读存储介质。下面,首先对本发明实施例所提供的授权认证方法进行介绍。

本发明实施例所提供的授权认证方法可以应用于sslvpn中堆叠的主节点设备和第一备节点设备,节点设备可以为网络安全设备,例如防火墙设备等,还可以为路由器、交换机等设备。主节点设备是在正常情况下工作的节点设备,备节点设备是在主节点设备故障的情况下工作的节点设备,第一备节点设备为sslvpn中任一个备节点设备。

如图1所示,本发明实施例所提供的一种授权认证方法,应用于主节点设备,可以包括如下步骤:

s101,接收第一备节点设备发送的第一license数据,其中,第一license数据用于使主节点设备将第一license数据与主节点设备的第二license数据进行叠加后作为主节点设备的授权个数。

s102,发送第三license数据至第一备节点设备,以使第一备节点设备将第一license数据与第三license数据进行叠加后作为第一备节点设备的授权个数,其中,第三license数据包括第二license数据以及除第一备节点设备以外的第二备节点设备的第一license数据。

如图2所示,本发明实施例所提供的一种授权认证方法,应用于第一备节点设备,可以包括如下步骤:

s201,发送第一license数据至主节点设备,以使主节点设备将第一license数据与主节点设备的第二license数据进行叠加后作为主节点设备的授权个数。

s202,接收主节点设备发送的第三license数据,其中,第三license数据用于使第一备节点设备将第一license数据与第三license数据进行叠加后作为第一备节点设备的授权个数,第三license数据包括第二license数据以及除第一备节点设备以外的第二备节点设备的第一license数据。

第一备节点设备可以将其自身的第一license数据以一种特定的编码结构进行封装,例如tlv(type-length-value)编码结构,封装在一个数据结构中,通过与主节点设备之间的接口,将第一license数据发送至主节点设备,这样,主节点设备可以将第一license数据与该主节点设备的第二license数据进行叠加后作为该主节点设备的授权个数;并且,主节点设备可以将第三license数据(包括第二license数据和除第一备节点设备以外的第二备节点设备的第一license数据)以相同的编码结构封装在一个数据结构中,通过与第一备节点设备之间的接口,将第三license数据发送至第一备节点设备,这样,第一备节点设备就可以将自身的第一license数据与第三license数据进行叠加后作为该第一备节点设备的授权个数。每个节点设备的授权个数是sslvpn中所有节点设备的license数据叠加后的结果,也就是说,每个节点设备的license数据可以设置的较少,通过license数据的同步、叠加,达到sslvpn对于总授权个数的要求,降低了网络的授权成本。

为了便于理解,下面从主节点设备和第一备节点设备之间的交互过程,对本发明实施例所提供的授权认证方法进行介绍,如图3所示,该授权认证方法可以包括如下步骤:

s301,第一备节点设备发送第一license数据至主节点设备。

主节点设备可以是sslvpn的堆叠设备中的任一个指定的节点设备,第一备节点设备为作为备节点设备的任一个节点设备,主节点设备中配置有第一sslvpn进程(sslvpnd)和第一license进程(licd),备节点设备中配置有第二sslvpnd和第二licd。主节点设备中的第一sslvpnd和第一licd创建连接,同时备节点设备中的第二sslvpnd与第二licd创建连接,由于第一licd和第二licd具有相同的软件配置,则在主节点设备与备节点设备堆叠后,第一licd和第二licd之间可以建立软件交互接口,主节点设备的第一sslvpnd与备节点设备的第二sslvpnd即可通过该软件交互接口实现license数据同步。

第一license数据是指备节点设备中配置的授权认证的相关信息,可以包括授权的用户数、licenseid、备节点设备的设备地址信息等。第一备节点设备通过向主节点设备发送第一license数据,告知主节点设备该第一备节点设备有多少可授权的用户数。网络中的每一个备节点设备都可以向主节点设备发送各自的第一license数据,这样更有利于主节点设备对整个网络的所有备节点设备的第一license数据进行统一叠加。

可选的,在获取到第一备节点设备发送的第一license数据之前,主节点设备还可以执行如下步骤:

接收第一备节点设备发送的同步开始指令;

根据同步开始指令,记录第一备节点设备的设备信息,并对第一备节点设备的设备信息设置待删除标记。

同步开始指令主要用于第一备节点设备通知主节点设备将要开始license数据同步,一般来讲,在第一备节点设备发送完第一license数据之后,还应该向主节点设备发送一个同步结束指令,如果主节点设备可以接收到该同步结束指令,则说明主节点设备和第一备节点设备的传输正常,如果主节点设备在接收到同步开始指令之后的很长一段时间内未收到同步结束指令,则说明主节点设备和第一备节点设备之间的传输链路出现传输异常,可以及时提示管理人员进行维护。

同步开始指令中可以携带第一备节点设备的设备信息,例如第一备节点设备的设备名称、设备编号、设备识别码等,主节点设备可以记录第一备节点设备的设备信息,并且为了便于对第一备节点设备的状态进行监控,可以对第一备节点设备的设备信息设置待删除标记。

可选的,在获取到第一备节点设备发送的第一license数据之后,主节点设备还可以执行如下步骤:

根据第一license数据,清除第一备节点设备的设备信息的待删除标记。

主节点设备在接收到第一备节点设备发送的同步开始指令之后,对第一备节点设备的设备信息设置了待删除标记,若之后接收到了第一备节点设备发送的第一license数据,则说明第一备节点设备与主节点设备之间的传输正常,第一备节点设备也处于正常的在线状态,则主节点设备可以将第一备节点设备的设备信息的待删除标记删除。

可选的,在清除了第一备节点设备的设备信息的待删除标记之后,主节点设备还可以执行如下步骤:

接收第一备节点设备发送的同步结束指令;

根据同步结束指令,确定sslvpn中的各备节点设备是否存在具有待删除标记的设备信息;

若sslvpn中的第三备节点设备存在具有待删除标记的设备信息,则删除第三备节点设备的设备信息以及第三备节点设备的第一license数据。

与同步开始指令相对应,为了探测主节点设备与第一备节点设备之间的传输状态,排除因链路故障或其他网络因素导致同步失败的影响,第一备节点设备在发送完第一license数据之后,可以向主节点设备发送同步结束指令。如果主节点设备可以接收到同步结束指令,则说明无链路故障或其他网络问题;如果主节点设备无法接收到同步结束指令,则说明存在链路故障或其他网络问题,需要进行排除。

主节点设备在接收到同步结束指令时,可以确定本次的license数据同步结束,对于因链路故障等问题没有收到第三备节点设备的license数据的情况,由于未收到第三备节点设备的第一license数据,第三备节点设备对应的待删除标记并不会被清除,表示第三备节点设备的设备状态为待删除状态,因此,需要删除第三备节点设备的设备信息和第一license数据,即在进行授权认证时,排除掉存在故障的第三备节点设备的第一license数据,其中,第三备节点设备为sslvpn中的任一个备节点设备。

s302,主节点设备将第一license数据与主节点设备的第二license数据进行叠加后作为该主节点设备的授权个数。

主节点设备在接收到第一备节点设备发送的第一license数据后,可以以链表的形式进行记录,在链表中可以记录下各备节点设备的设备信息和对应的第一license数据,主节点设备的主sslvpnd可以遍历该链表,把所有license数据进行叠加处理,得到主节点设备的授权个数,由licd以该授权个数进行授权认证。

s303,主节点设备发送第三license数据至第一备节点设备,其中,第三license数据包括第二license数据以及除第一备节点设备以外的第二备节点设备的第一license数据。

主节点设备在对第一license数据和第二license数据进行叠加处理之后,为了保证备节点设备也可以授权相同的用户数,主节点设备需要向第一备节点设备反馈第三license数据。主节点设备向备节点设备反馈的第三license数据包括除该第一备节点设备以外的第二备节点设备的第一license数据和主节点设备的第二license数据。

可选的,在获取到主节点设备发送的第三license数据之前,第一备节点设备还可以执行如下步骤:

接收主节点设备发送的同步开始指令;

根据同步开始指令,记录第二备节点设备的设备信息,并对第二备节点设备的设备信息设置待删除标记。

类同于上述同步开始指令,这里的同步开始指令主要是用于主节点设备通知第一备节点设备将要开始license数据同步,一般来讲,在主节点设备发送完第三license数据之后,还应该向第一备节点设备发送一个同步结束指令,如果第一备节点设备可以接收到该同步结束指令,则说明主节点设备和第一备节点设备的传输正常,如果第一备节点设备在接收到同步开始指令之后的很长一段时间内未收到同步结束指令,则说明主节点设备和第一备节点设备之间的传输链路出现传输异常,可以及时提示管理人员进行维护。

同步开始指令中可以携带有网络中第二备节点设备的设备信息,为了便于对网络中第二备节点设备的状态进行监控,可以对第二备节点设备的设备信息设置待删除标记。

可选的,在获取到主节点设备发送的第三license数据之后,第一备节点设备还可以执行如下步骤:

根据第三license数据,清除第三license数据中第一license数据对应的第二备节点设备的设备信息的待删除标记。

第一备节点设备在接收到主节点设备发送的同步开始指令之后,对第二备节点设备的设备信息设置了待删除标记,若之后接收到了主节点设备发送的第三license数据,并从中可以确定出第三license数据中第一license数据对应的第二备节点设备,则这些第二备节点设备与主节点设备之间的传输正常,这些第二备节点设备也处于正常的在线状态,则可以将这些第二备节点设备对应的待删除标记删除。

可选的,在清除了第三license数据中第一license数据对应的第二备节点设备的设备信息的待删除标记之后,第一备节点设备还可以执行如下步骤:

接收主节点设备发送的同步结束指令;

根据同步结束指令,确定第二备节点设备是否存在具有待删除标记的设备信息;

若第二备节点设备存在具有待删除标记的设备信息,则删除第二备节点设备的设备信息以及第二备节点设备的第一license数据。

与同步开始指令相对应,为了探测主节点设备与第一备节点设备之间的传输状态,排除因链路故障或其他网络因素导致同步失败的影响,主节点设备在发送完第三license数据之后,可以向第一备节点设备发送同步结束指令。如果第一备节点设备可以接收到同步结束指令,则说明无链路故障或其他网络问题;如果第一备节点设备无法接收到同步结束指令,则说明存在链路故障或其他网络问题,需要进行排除。

第一备节点设备在接收到同步结束指令时,可以确定本次从主节点设备来的第三license数据同步结束,可能存在因链路故障等问题没有收到某个或者某些第二备节点设备的license数据,该第二备节点设备对应的待删除标记并不会被清除,则表示该第二备节点设备的设备状态为删除状态,因此,需要删除该第二备节点设备的设备信息和对应的license数据,即在进行授权认证时,排除掉存在故障的第二备节点设备的license数据。

s304,第一备节点设备将第一license数据与第三license数据进行叠加后作为该第一备节点设备的授权个数。

第一备节点设备在接收到第三license数据后,也可以以链表的形式进行记录,在链表中可以记录下主节点设备和各备节点设备的设备信息及对应的license数据,第一备节点设备的备sslvpnd可以遍历该链表,把所有license数据进行叠加处理,得到第一备节点设备的授权个数,由licd以该授权个数进行授权认证。

示例性的,网络中有主节点设备a、备节点设备b、备节点设备c和备节点设备d,主节点设备a本地的license数据为license数据1、备节点设备b本地的license数据为license数据2、备节点设备c本地的license数据为license数据3、备节点设备d本地的license数据为license数据4,3个备节点设备分别向主节点设备a发送各自的license数据,主节点设备a在接收到这些license数据后,进行叠加、授权认证,并将license数据1、license数据3和license数据4发送给备节点设备b,将license数据1、license数据2和license数据4发送给备节点设备c,将license数据1、license数据2和license数据3发送给备节点设备d。各备节点设备可以以接收到的license数据和本地的license数据的叠加结果进行授权认证。

应用本实施例,sslvpn中的主节点设备可以接收到第一备节点设备发送的第一license数据,主节点设备将第一license数据和主节点设备的第二license数据进行叠加后作为主节点设备的授权个数,主节点设备在做完license数据叠加之后,向第一备节点设备发送第三license数据(包括主节点设备的第二license数据和第二备节点设备的第一license数据),这样第一备节点设备可以将第一license数据与第三license数据进行叠加后作为第一备节点设备的授权个数。通过本发明实施例,每个节点设备的授权个数是所有节点设备的license数据叠加后的结果,也就是说,每个节点设备的license数据可以设置的较少,通过license数据的同步、叠加,达到sslvpn对于总授权个数的要求,降低了网络的授权成本。

相较于传统的授权认证中license数据单一生效的方式,用户针对每一个节点设备都需要购买相同授权用户数的license,而通过本发明实施例,用户可以根据具体情况购买license,只要加和总数满足用户需求即可,license的购买方式更为灵活、且用户购买license的经济成本也得到了降低,可以增加市场竞争力。并且,如果出现license卸载、过期等导致授权用户数量下降的情况,如果还未进行license数据的重新同步,主节点设备的授权认证信息并未更新,因此,已上线的用户并不会被迫下线。

如图4所示,本发明实施例所提供的授权认证方法中,还提供了license数据维稳的功能,license数据维稳的过程主要包括如下步骤:

s401,主节点设备监测第一备节点设备的设备状态。

由于节点设备可能会因为设备故障、设备拔出、进程异常退出等问题,出现离线的状态,如果节点设备离线,则该节点设备可以认为是一个独立的设备,不再属于sslvpn,因此,出现故障的节点设备的license数据需要从叠加结果中删除,以保证授权认证的准确性。则主节点设备需要对第一备节点设备的设备状态进行实时监测。

s402,若主节点设备监测到第一备节点设备的设备状态为不在线,则创建维稳定时器,并向第二备节点设备发送维稳定时器创建指令。

第一备节点设备的设备状态包括在线状态和不在线状态,主节点设备和第一备节点设备之间可以通过发送指定的探测报文来监测第一备节点设备的设备状态,主节点设备可以向第一备节点设备发送探测报文,等待第一备节点设备回复响应报文。如果主节点设备在预设时间内收到响应报文,则说明第一备节点设备的设备状态为在线状态;如果主节点设备在预设时间内没有接收到响应报文,则说明第一备节点设备的设备状态为不在线状态。当然,其他通过信号监控等监测设备状态的方式也属于本发明实施例的保护范围,这里不再赘述。

如果主节点设备监测到第一备节点设备的设备状态为不在线,则需要启动授权维稳功能,即在一段时间内保持license数据可用,也就是说,可以排除掉因传输时延、丢包等传输问题的影响,并且给第一备节点设备出现故障后一定的修复周期(例如60天),如果第一备节点设备在该周期内可以修复,重新恢复到在线状态,则可以继续叠加第一备节点设备的license数据。

相应的,如果第一备节点设备接收到主节点设备发送的维稳定时器创建指令,则可以根据维稳定时器创建指令,确定设备状态不在线的第二备节点设备,并为设备状态不在线的第二备节点设备创建维稳定时器,当维稳定时器超时,删除第二备节点设备的设备信息及第二备节点设备的第一license数据。

s403,当维稳定时器超时,删除第一备节点设备的设备信息及第一备节点设备的第一license数据。

如果主节点设备和第二备节点设备的维稳定时器超时,例如在60天内第一备节点设备的故障未修复,则说明第一备节点设备确定不在线,则可以从叠加结果中将第一备节点设备的第一license数据删除,第一备节点设备不再同步license数据。

应用本实施例,当某一个备节点设备因设备故障、设备拔出、进程异常等问题离线,给不在线的备节点设备一个可修复的维稳定时时长,如果维稳定时器超时,则确定该备节点设备不在线,主节点设备和其他各备节点设备从叠加结果中删除该该备节点设备的第一license数据,降低了备节点设备故障给网络运行所带来的风险,并且在备节点设备故障的情况下,有充分的时间对出现故障的备节点设备进行定位、修改,并且,故障时的维稳实现对于用户来讲无感知,可以提升用户的体验。

相应于上述方法实施例,本发明实施例提供了一种应用于sslvpn中的主节点设备的授权认证装置,如图5所示,该授权认证装置可以包括:

接收模块510,用于接收第一备节点设备发送的第一license数据,所述第一license数据用于使所述主节点设备将所述第一license数据与所述主节点设备的第二license数据进行叠加后作为所述主节点设备的授权个数;

发送模块520,用于发送第三license数据至所述第一备节点设备,以使所述第一备节点设备将所述第一license数据与所述第三license数据进行叠加后作为所述第一备节点设备的授权个数;其中,所述第三license数据包括所述第二license数据以及除所述第一备节点设备以外的第二备节点设备的第一license数据。

可选的,所述接收模块510,还可以用于接收所述第一备节点设备发送的同步开始指令;

所述装置还可以包括:

设置模块,用于根据所述同步开始指令,记录所述第一备节点设备的设备信息,并对所述第一备节点设备的设备信息设置待删除标记;

清除模块,用于根据所述第一license数据,清除所述第一备节点设备的设备信息的待删除标记。

可选的,所述接收模块510,还可以用于接收所述第一备节点设备发送的同步结束指令;

所述装置还可以包括:

确定模块,用于根据所述同步结束指令,确定所述sslvpn中的各备节点设备是否存在具有待删除标记的设备信息;

删除模块,用于若所述sslvpn中的第三备节点设备存在具有待删除标记的设备信息,则删除所述第三备节点设备的设备信息以及所述第三备节点设备的第一license数据。

可选的,所述装置还可以包括:

监测模块,用于监测所述第一备节点设备的设备状态;

创建模块,用于若监测到所述第一备节点设备的设备状态为不在线,则创建维稳定时器;

所述发送模块520,还可以用于向所述第二备节点设备发送维稳定时器创建指令,所述维稳定时器创建指令用于使所述第二备节点设备确定设备状态不在线的第一备节点设备,并为所述设备状态不在线的第一备节点设备创建维稳定时器;

删除模块,用于当所述维稳定时器超时,删除所述第一备节点设备的设备信息及所述第一备节点设备的第一license数据。

本发明实施例提供了一种应用于sslvpn中的第一备节点设备的授权认证装置,如图6所示,该授权认证装置可以包括:

发送模块610,用于发送第一license数据至主节点设备,以使所述主节点设备将所述第一license数据与所述主节点设备的第二license数据进行叠加后作为所述主节点设备的授权个数;

接收模块620,用于接收所述主节点设备发送的第三license数据,所述第三license数据用于使所述第一备节点设备将所述第一license数据与所述第三license数据进行叠加后作为所述第一备节点设备的授权个数;其中,所述第三license数据包括所述第二license数据以及除所述第一备节点设备以外的第二备节点设备的第一license数据。

可选的,所述接收模块620,还可以用于接收所述主节点设备发送的同步开始指令;

所述装置还可以包括:

设置模块,用于根据所述同步开始指令,记录所述第二备节点设备的设备信息,并对所述第二备节点设备的设备信息设置待删除标记;

清除模块,用于根据所述第三license数据,清除所述第三license数据中第一license数据对应的第二备节点设备的设备信息的待删除标记。

可选的,所述接收模块620,还可以用于接收所述主节点设备发送的同步结束指令;

所述装置还可以包括:

确定模块,用于根据所述同步结束指令,确定所述第二备节点设备是否存在具有待删除标记的设备信息;

删除模块,用于若所述第二备节点设备存在具有待删除标记的设备信息,则删除所述第二备节点设备的设备信息以及所述第二备节点设备的第一license数据。

可选的,所述接收模块620,还可以用于接收所述主节点设备发送的维稳定时器创建指令;

所述装置还可以包括:

创建模块,用于根据所述维稳定时器创建指令,确定设备状态为不在线的第二备节点设备,并为所述设备状态不在线的第二备节点设备创建维稳定时器;

删除模块,用于当所述维稳定时器超时,删除所述第二备节点设备的设备信息及所述第二备节点设备的第一license数据。

应用本实施例,sslvpn中的主节点设备可以接收到第一备节点设备发送的第一license数据,主节点设备将第一license数据和主节点设备的第二license数据进行叠加后作为主节点设备的授权个数,主节点设备在做完license数据叠加之后,向第一备节点设备发送第三license数据(包括主节点设备的第二license数据和第二备节点设备的第一license数据),这样第一备节点设备可以将第一license数据与第三license数据进行叠加后作为第一备节点设备的授权个数。通过本发明实施例,每个节点设备的授权个数是所有节点设备的license数据叠加后的结果,也就是说,每个节点设备的license数据可以设置的较少,通过license数据的同步、叠加,达到sslvpn对于总授权个数的要求,降低了网络的授权成本。

本发明实施例还提供了一种主节点设备,如图7所示,包括处理器701和机器可读存储介质702,所述机器可读存储介质702存储有能够被所述处理器701执行的机器可执行指令,所述处理器701被所述机器可执行指令促使:执行本发明实施例所提供的应用于sslvpn中的主节点设备的授权认证方法的步骤。

本发明实施例还提供了一种备节点设备,如图8所示,包括处理器801和机器可读存储介质802,所述机器可读存储介质802存储有能够被所述处理器801执行的机器可执行指令,所述处理器801被所述机器可执行指令促使:执行本发明实施例所提供的应用于sslvpn中的第一备节点设备的授权认证方法的步骤。

上述机器可读存储介质可以包括ram(randomaccessmemory,随机存取存储器),也可以包括nvm(non-volatilememory,非易失性存储器),例如至少一个磁盘存储器。可选的,机器可读存储介质还可以是至少一个位于远离前述处理器的存储装置。

上述处理器可以是通用处理器,包括cpu(centralprocessingunit,中央处理器)、np(networkprocessor,网络处理器)等;还可以是dsp(digitalsignalprocessor,数字信号处理器)、asic(applicationspecificintegratedcircuit,专用集成电路)、fpga(field-programmablegatearray,现场可编程门阵列)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。

机器可读存储介质702与处理器701之间、机器可读存储介质802与处理器801之间可以通过有线连接或者无线连接的方式进行数据传输,并且两个网络设备之间以及两个网络设备与其他的设备之间可以通过有线通信接口或者无线通信接口进行通信。图7和图8所示的仅为通过总线进行数据传输的示例,不作为具体连接方式的限定。

本实施例中,处理器701通过读取机器可读存储介质702中存储的机器可执行指令,处理器801通过读取机器可读存储介质802中存储的机器可执行指令,被机器可执行指令促使能够实现:sslvpn中的主节点设备可以接收到第一备节点设备发送的第一license数据,主节点设备将第一license数据和主节点设备的第二license数据进行叠加后作为主节点设备的授权个数,主节点设备在做完license数据叠加之后,向第一备节点设备发送第三license数据(包括主节点设备的第二license数据和第二备节点设备的第一license数据),这样第一备节点设备可以将第一license数据与第三license数据进行叠加后作为第一备节点设备的授权个数。通过本发明实施例,每个节点设备的授权个数是所有节点设备的license数据叠加后的结果,也就是说,每个节点设备的license数据可以设置的较少,通过license数据的同步、叠加,达到sslvpn对于总授权个数的要求,降低了网络的授权成本。

另外,本发明实施例还提供了一种机器可读存储介质,所述机器可读存储介质内存储有机器可执行指令,所述机器可执行指令被处理器执行时,执行本发明实施例所提供的应用于sslvpn中的主节点设备的授权认证方法的步骤。

本发明实施例还提供了一种机器可读存储介质,所述机器可读存储介质内存储有机器可执行指令,所述机器可执行指令被处理器执行时,执行本发明实施例所提供的应用于sslvpn中的第一备节点设备的授权认证方法的步骤。

本实施例中,机器可读存储介质在运行时执行本发明实施例所提供的应用于sslvpn中的主节点设备和第一备节点设备的授权认证方法的机器可执行指令,因此能够实现:sslvpn中的主节点设备可以接收到第一备节点设备发送的第一license数据,主节点设备将第一license数据和主节点设备的第二license数据进行叠加后作为主节点设备的授权个数,主节点设备在做完license数据叠加之后,向第一备节点设备发送第三license数据(包括主节点设备的第二license数据和第二备节点设备的第一license数据),这样第一备节点设备可以将第一license数据与第三license数据进行叠加后作为第一备节点设备的授权个数。通过本发明实施例,每个节点设备的授权个数是所有节点设备的license数据叠加后的结果,也就是说,每个节点设备的license数据可以设置的较少,通过license数据的同步、叠加,达到sslvpn对于总授权个数的要求,降低了网络的授权成本。

对于主节点设备、备节点设备以及机器可读存储介质实施例而言,由于其涉及的方法内容基本相似于前述的方法实施例,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。

需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。

本说明书中的各个实施例均采用相关的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。尤其,对于装置、主节点设备、备节点设备及机器可读存储介质实施例而言,由于其基本相似于方法实施例,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。

以上所述仅为本发明的较佳实施例而已,并非用于限定本发明的保护范围。凡在本发明的精神和原则之内所作的任何修改、等同替换、改进等,均包含在本发明的保护范围内。

完整全部详细技术资料下载
当前第1页1 2 
  • 该技术已申请专利。仅供学习研究,如用于商业用途,请联系技术所有人。
  • 技术研发人员:王素芹
  • 技术所有人:新华三信息安全技术有限公司
  • 我是此专利的发明人
相关技术
网友询问留言 已有0条留言
  • 还没有人留言评论。精彩留言会获得点赞!
1
精彩留言,会给你点赞!

使用协议| 关于我们| 联系X技术

© 2008-2024 【X技术】 版权所有,并保留所有权利。津ICP备16005673号-2