一种同城双活身份认证系统及方法与流程

本发明涉及信息认证技术领域，尤其涉及一种同城双活身份认证系统及方法。

背景技术：

众所众知，近年来双活技术已在众多大中型企业中得到应用，其核心实现原理是在一定距离的两个地域搭建相同的信息机房并部署相同的应用系统，其核心目标是为了应对如地震、火灾或停电等因素造成信息系统无法正常运转，导致信息系统业务中断的情况。双活模式下的信息系统即便其中一个站点因遭受地震、火灾等情况而瘫痪，另一个站点仍然可以保证信息系统业务正常运转，使得业务不受影响。

基于同城双活模式的运行，往往在a站点和b站点分别部署有一个4a平台(即网络安全认证服务平台)，假设请求到a站点的4a认证服务进行登录且认证登录成功后，a站点的4a认证服务便记录了登录信息并成功建立用户会话。但当用户在操作过程中再次需要发送其他请求时(如请求获取角色信息)，有可能该请求发送到b站点的4a平台，由于b站点没有用户的登录认证信息(该信息已保留在a站点)，b站点将认为用户没有完成登录或登录信息已失效，此时根据安全认证的原理，b站点的4a平台会要求用户重新登陆。因此，在双活模式下应用系统集成4a平台会出现频繁需要重新登陆的情况，导致应用系统的业务操作无法正常开展。目前为规避上述问题，许多企业往往采取单站点部署4a平台的方式，但仍然存在隐患：一旦4a平台因各种原因崩溃无法使用，将导致相关联的应用系统无法登陆，带来无法估量的损失。

技术实现要素：

本发明的目的在于克服现有技术的不足，本发明提供了一种同城双活身份认证系统及方法，可满足网络安全认证服务单元双站点部署的要求，且通过部署全局负载单元可保证应用系统的业务操作正常开展，大幅度提高系统安全性能。

为了解决上述问题，本发明提出了一种同城双活身份认证系统，所述系统包括综合网络接入模块、a站点应用服务模块和b站点应用服务模块；

所述a站点应用服务模块包括第一全局负载单元和第一网络安全认证服务单元，所述第一全局负载单元与所述综合网络接入模块相连接，所述第一网络安全认证服务单元与所述第一全局负载单元相连接；

所述b站点应用服务模块包括第二全局负载单元和第二网络安全认证服务单元，所述第二全局负载单元与所述综合网络接入模块相连接，所述第二全局负载单元与所述第一全局负载单元相连接，所述第二网络安全认证服务单元与所述第二全局负载单元相连接。

可选的，所述a站点应用服务模块还包括第一业务对接单元和第一存储单元；

所述第一业务对接单元与所述第一全局负载单元相连接，所述第一存储单元与所述第一业务对接单元相连接。

可选的，所述b站点应用服务模块还包括第二业务对接单元和第二存储单元；

所述第二业务对接单元与所述第二全局负载单元相连接，所述第二业务对接单元与所述第一存储单元相连接；所述第二存储单元与所述第一业务对接单元相连接，所述第二存储单元与所述第二业务对接单元相连接。

另外，本发明实施例还提供了一种同城双活身份认证方法，采用如上述的同城双活身份认证系统，所述方法包括：

通过综合网络接入模块获取用户的最新访问数据；

在第一全局负载单元和第一网络安全认证服务单元之间搭建第一端口通信通道，以及在第二全局负载单元和第二网络安全认证服务单元之间搭建第二端口通信通道；

基于端口探测算法，对所述第一端口通信通道与所述第二端口通信通道的运行情况进行验证；

根据所述第一端口通信通道与所述第二端口通信通道的运行情况，调用合适的控制策略完成对所述最新访问数据的解析认证与用户会话确立。

可选的，所述基于端口探测算法，对所述第一端口通信通道与所述第二端口通信通道的运行情况进行验证包括：

利用所述第一全局负载单元向所述第一网络安全认证服务单元所使用的第一端口发送连接测试指令，并根据所述第一端口的反馈状态确定所述第一端口通信通道的运行情况；

利用所述第二全局负载单元向所述第二网络安全认证服务单元所使用的第二端口发送连接测试指令，并根据所述第二端口的反馈状态确定所述第二端口通信通道的运行情况。

可选的，所述根据所述第一端口通信通道与所述第二端口通信通道的运行情况，调用合适的控制策略完成对所述最新访问数据的解析认证与用户会话确立包括：

根据所述第一端口通信通道为正常运行状态，启用a组控制策略完成对所述最新访问数据的解析认证与用户会话确立；

根据所述第一端口通信通道为异常运行状态以及所述第二端口通信通道为正常运行状态，启用b组控制策略完成对所述最新访问数据的解析认证与用户会话确立；

根据所述第一端口通信通道和所述第二端口通信通道均为异常运行状态，生成系统访问故障报告并输出至所述综合网络接入模块。

可选的，所述启用a组控制策略完成对所述最新访问数据的解析认证与用户会话确立包括：

利用所述第一网络安全认证服务单元对所述最新访问数据进行解析，获取身份认证信息；

利用所述第一全局负载单元对所述身份认证信息进行识别，并从所述第一业务对接单元中配对一个应用系统，完成用户正常会话关系的建立。

可选的，所述启用b组控制策略完成对所述最新访问数据的解析认证与用户会话确立包括：

利用所述第二网络安全认证服务单元对所述最新访问数据进行解析，获取身份认证信息；

利用所述第二全局负载单元对所述身份认证信息进行识别，并从所述第二业务对接单元中配对一个应用系统，完成用户正常会话关系的建立。

在本发明实施例中，可满足网络安全认证服务单元双站点部署的要求，以消除单点部署模式所存在的安全隐患；通过部署全局负载单元可规约用户的所有访问信息均由特定一个站点来执行认证服务，避免用户在与指定应用系统建立会话之前出现随机访问以致认证失败的情况，将保证指定应用系统的业务操作正常开展，大幅度提高系统安全性能。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见的，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其它的附图。

图1是本发明实施例中的同城双活身份认证系统的拓扑结构示意图；

图2是本发明实施例中的同城双活身份认证方法的流程示意图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其它实施例，都属于本发明保护的范围。

请参阅图1，图1是本发明实施例中的同城双活身份认证系统的拓扑结构示意图。

如图1所示，一种同城双活身份认证系统，所述系统包括综合网络接入模块、a站点应用服务模块和b站点应用服务模块；其中，所述综合网络接入模块用于获取用户的最新访问数据，所述a站点应用服务模块与所述b站点应用服务模块互为主备可替换关系，均具备对所述最新访问数据进行身份认证以及建立用户会话关系的功能。

具体的，所述a站点应用服务模块包括第一全局负载单元和第一网络安全认证服务单元，所述第一全局负载单元与所述综合网络接入模块相连接，所述第一网络安全认证服务单元与所述第一全局负载单元相连接。在实施过程中，通过所述第一全局负载单元来指定用户的访问路线，且在确定启用所述第一网络安全认证服务单元之后，由其执行对所述最新访问数据的身份认证，最后利用所述第一全局负载单元建立用户会话关系。

此外，所述a站点应用服务模块还包括第一业务对接单元和第一存储单元，所述第一业务对接单元与所述第一全局负载单元相连接，所述第一存储单元与所述第一业务对接单元相连接。其中，所述第一业务对接单元用于实施用户的业务需求，所述第一存储单元用于存储应用系统的运行数据。

具体的，所述b站点应用服务模块包括第二全局负载单元和第二网络安全认证服务单元，所述第二全局负载单元与所述综合网络接入模块相连接，所述第二全局负载单元与所述第一全局负载单元相连接，所述第二网络安全认证服务单元与所述第二全局负载单元相连接。其中，各个单元的工作原理与所述a站点应用服务模块的工作原理相似，在此不再赘述。

此外，所述b站点应用服务模块还包括第二业务对接单元和第二存储单元；且所述第二业务对接单元与所述第二全局负载单元相连接，所述第二业务对接单元与所述第一存储单元相连接；所述第二存储单元与所述第一业务对接单元相连接，所述第二存储单元与所述第二业务对接单元相连接。其中，各个单元的工作原理与所述a站点应用服务模块的工作原理相似，在此不再赘述。

请参阅图2，图2示出了本发明实施例中的同城双活身份认证方法的流程示意图，可对图1所提出的系统拓扑结构的工作过程进行描述。

如图2所示，一种同城双活身份认证方法，所述方法包括如下步骤：

s101、通过综合网络接入模块获取用户的最新访问数据；

s102、在第一全局负载单元和第一网络安全认证服务单元之间搭建第一端口通信通道，以及在第二全局负载单元和第二网络安全认证服务单元之间搭建第二端口通信通道；

s103、基于端口探测算法，对所述第一端口通信通道与所述第二端口通信通道的运行情况进行验证；

本发明实施过程包括：

(1)利用所述第一全局负载单元向所述第一网络安全认证服务单元所使用的第一端口发送连接测试指令，并根据所述第一端口的反馈状态确定所述第一端口通信通道的运行情况；

具体的，设定所述第一全局负载单元向所述第一端口发送telnet指令/ping命令，若所述第一网络安全认证服务单元在特定时间段内未对该telnet指令/ping命令做出回应，则判定所述第一端口处于不可连通状态，即所述第一端口通信通道为异常运行状态；若所述第一网络安全认证服务单元在特定时间段内对该telnet指令/ping命令做出回应并连通所述第一端口，则说明所述第一端口通信通道为正常运行状态。

(2)利用所述第二全局负载单元向所述第二网络安全认证服务单元所使用的第二端口发送连接测试指令，并根据所述第二端口的反馈状态确定所述第二端口通信通道的运行情况。

具体的，设定所述第二全局负载单元向所述第二端口发送telnet指令/ping命令，若所述第二网络安全认证服务单元在特定时间段内未对该telnet指令/ping命令做出回应，则判定所述第二端口处于不可连通状态，即所述第二端口通信通道为异常运行状态；若所述第二网络安全认证服务单元在特定时间段内对该telnet指令/ping命令做出回应并连通所述第二端口，则说明所述第二端口通信通道为正常运行状态。

需要说明的是，步骤(1)和步骤(2)的检验过程是同步进行的，以保证所述最新访问数据可被及时响应。

s104、根据所述第一端口通信通道与所述第二端口通信通道的运行情况，调用合适的控制策略完成对所述最新访问数据的解析认证与用户会话确立。

在本发明实施例中，针对所述最新访问数据的解析认证，主要采用统一安全管理平台(即4a平台)解决方案，包括执行统一认证管理、统一授权管理、统一账号管理与统一审计管理这四大部分的网络安全验证输出，均由所述第一网络安全认证服务单元与所述第二网络安全认证服务单元的内部独立运行。具体实施过程包括：

(1)根据所述第一端口通信通道为正常运行状态，启用a组控制策略完成对所述最新访问数据的解析认证与用户会话确立；

具体的，首先利用所述第一网络安全认证服务单元对所述最新访问数据进行解析，获取身份认证信息；其次利用所述第一全局负载单元对所述身份认证信息进行识别，并从所述第一业务对接单元中配对一个应用系统，完成用户正常会话关系的建立，此时可保证被访问的该应用系统所对应的认证信息与所述第一网络安全认证服务单元保持一致。

需要说明的是，本发明实施例规定所述第一端口通信通道的优先级别高于所述第二端口通信通道，即当所述第一端口通信通道与所述第二端口通信通道均为正常运行状态时，限定仅仅选择所述第一端口通信通道来完成所述最新访问数据的传输，以防止用户在访问时的会话认证出现随机性而发生认证失败的情况。

(2)根据所述第一端口通信通道为异常运行状态以及所述第二端口通信通道为正常运行状态，启用b组控制策略完成对所述最新访问数据的解析认证与用户会话确立；

具体的，首先利用所述第二网络安全认证服务单元对所述最新访问数据进行解析，获取身份认证信息；其次利用所述第二全局负载单元对所述身份认证信息进行识别，并从所述第二业务对接单元中配对一个应用系统，完成用户正常会话关系的建立，同理可保证被访问的该应用系统所对应的认证信息与所述第二网络安全认证服务单元保持一致。

(3)根据所述第一端口通信通道和所述第二端口通信通道均为异常运行状态，生成系统访问故障报告并输出至所述综合网络接入模块。

在本发明实施例中，可满足网络安全认证服务单元双站点部署的要求，以消除单点部署模式所存在的安全隐患；通过部署全局负载单元可规约用户的所有访问信息均由特定一个站点来执行认证服务，避免用户在与指定应用系统建立会话之前出现随机访问以致认证失败的情况，将保证指定应用系统的业务操作正常开展，大幅度提高系统安全性能。

本领域普通技术人员可以理解上述实施例的各种方法中的全部或部分步骤是可以通过程序来指令相关的硬件来完成，该程序可存储于一计算机可读存储介质中，存储介质可包括：只读存储器(rom，readonlymemory)、随机存取存储器(ram，randomaccessmemory)、磁盘或光盘等。

以上对本发明实施例所提供的一种同城双活身份认证系统及方法进行了详细介绍，本文中采用了具体个例对本发明的原理及实施方式进行了阐述，以上实施例的说明只是用于帮助理解本发明的方法及其核心思想；同时，对于本领域的一般技术人员，依据本发明的思想，在具体实施方式及应用范围上均会有改变之处，综上所述，本说明书内容不应理解为对本发明的限制。