专利名称:一种安全认证的方法和设备的制作方法
技术领域:
本发明涉及通信技术领域,特别是涉及一种安全认证的方法和设备。
背景技术:
随着社会信息化步伐的不断提速,网络应用不断普及与深入,网络安全已经超过 对网络可靠性、交换能力和服务质量的需求,成为企业用户最关心的问题,网络安全设施也 日渐成为企业网建设的重中之重。在企业网中,新的安全威胁不断涌现(例如,病毒和蠕虫 日益肆虐等),对企业网的破坏程度和范围持续扩大,经常引起系统崩溃、网络瘫痪等问题, 使企业蒙受了严重损失。因此,网络安全(主要关注网络不被攻击,保证网络中各种业务的 稳定运行)和信息安全(主要关注合法用户的接入,使得接入网络的用户合法地使用网络, 并可以控制用户向企业网外转出信息,也可以对用户进行实时以及事后审计)成为企业当 前关注的重点之一,而网内的终端是网络中最薄弱的环节,大部分网络攻击行为都是从终 端发起的,且大部分的信息泄露也是从终端泄露的。因此,加强终端的安全性成为企业的当务之急,而为了保证企业网中终端的安全 状态符合企业的安全策略,NAC(Network Access control,网络接入控制)技术为企业提供 了一个相对完整的网络安全解决方法,可以从企业网的终端入手,强制终端实施企业的安 全策略,从而加强企业网终端的主动防御能力,大幅度提高了企业网的整体安全。现有技术中,为了保证网络安全和信息安全,通常是在用户通过身份认证后,将自 身的安全信息组装成报文,发送给安全认证服务器,由安全认证服务器按照已定义的规则 检查用户的安全信息,若检查通过,则放开用户的网络访问权限;若检查不通过,则将用户 的违规内容通知给用户,并按照违规的级别对用户实施不同程度的网络访问限制。但是,在采用上述方法进行安全检查时,至少存在以下问题所有用户的安全信息 都通过安全认证服务器来检查,当用户数量增多时,可导致安全认证服务器的压力过大,并 产生性能瓶颈;而且一旦安全认证服务器产生故障,则会导致整个网络瘫痪,所有用户都无 法正常接入网络。
发明内容
本发明提供一种安全认证的方法和设备,以降低认证服务器的性能消耗,增强网 络健壮性。为了达到上述目的,本发明提供一种安全认证的方法,应用于包括身份认证服务 器、安全认证服务器和多个客户端的系统中,该方法包括以下步骤所述身份认证服务器从通过安全认证的客户端中选取代理客户端;并将安全策略 发送给所述代理客户端;当有客户端通过身份认证时,所述身份认证服务器或所述安全认证服务器将所述 代理客户端的信息发送给所述客户端;并由所述代理客户端根据所述安全策略对所述客户 端进行安全认证。
所述身份认证服务器从通过安全认证的客户端中选取代理客户端,具体包括所述身份认证服务器根据通过安全认证的客户端的性能信息选取代理客户端;其中,所述性能信息包括以下信息的一种或几种CPU能力信息、存储容量信息、 带宽信息、在线时间信息。所述将安全策略发送给所述代理客户端,具体包括所述身份认证服务器根据安全策略数量和代理客户端数量将安全策略发送给对 应的代理客户端。所述身份认证服务器或所述安全认证服务器将所述代理客户端的信息发送给所 述客户端,具体包括所述身份认证服务器或所述安全认证服务器获取所述客户端对应的安全策略信 息,并根据所述安全策略信息确定对应的代理客户端;所述身份认证服务器或所述安全认证服务器将确定的所述代理客户端的IP地址 发送给所述客户端。所述代理客户端根据所述安全策略对所述客户端进行安全认证,具体包括所述客户端根据所述代理客户端的IP地址将自身的安全认证信息发送给所述代 理客户端;所述代理客户端根据所述安全策略和所述客户端的安全认证信息对所述客户端 进行安全认证。所述方法还包括当所述客户端离开网络时,所述客户端向对应的代理客户端发送下线请求,由所 述代理客户端将所述客户端下线的信息通知给所述身份认证服务器;当所述代理客户端离开网络时,所述代理客户端向所述身份认证服务器发送下线 请求,由所述身份认证服务器从通过安全认证的客户端中选取新的代理客户端。本发明提供一种身份认证服务器,应用于包括所述身份认证服务器、安全认证服 务器和多个客户端的系统中,该身份认证服务器包括选取模块,用于从通过安全认证的客户端中选取代理客户端;第一发送模块,用于将安全策略发送给所述选取模块选取的所述代理客户端;第二发送模块,用于当有客户端通过身份认证时,将所述选取模块选取的所述代 理客户端的信息发送给所述客户端;并由所述代理客户端根据所述安全策略对所述客户端 进行安全认证。所述选取模块,具体用于根据通过安全认证的客户端的性能信息选取代理客户 端;其中,所述性能信息包括以下信息的一种或几种CPU能力信息、存储容量信息、 带宽信息、在线时间信息。所述第一发送模块,具体用于根据安全策略数量和代理客户端数量将安全策略发 送给对应的代理客户端。所述第二发送模块,具体用于获取所述客户端对应的安全策略信息,并根据所述 安全策略信息确定对应的代理客户端;以及将确定的所述代理客户端的IP地址发送给所 述客户端。
还包括接收模块,用于当所述客户端离开网络时,接收所述代理客户端转发的所述客户 端下线的信息;或者,当所述代理客户端离开网络时,接收来自所述代理客户端的下线请 求,并由所述选取模块从通过安全认证的客户端中选取新的代理客户端。本发明提供一种代理客户端,应用于包括身份认证服务器、安全认证服务器和多 个客户端的系统中,该代理客户端包括接收模块,用于接收来自所述身份认证服务器的安全策略;认证模块,用于根据所述接收模块接收的所述安全策略对通过身份认证的客户端 进行安全认证。所述接收模块,还用于接收来自所述客户端的安全认证信息;所述认证模块,具体用于根据所述安全策略和所述客户端的安全认证信息对所述 客户端进行安全认证。还包括发送模块,用于当所述客户端离开网络时,将所述客户端下线的信息通知给所述 身份认证服务器;或者,当自身离开网络时,向所述身份认证服务器发送下线请求。与现有技术相比,本发明至少具有以下优点降低了安全认证服务器的性能消耗,降低了安全认证服务器的压力,增强了网络 健壮性,避免了安全认证服务器压力过大造成的性能瓶颈;而且网络容错性强,避免了安全 认证服务器故障导致整个网络瘫痪的问题;而且充分利用了网络中的闲置资源,使得综合 性能高的客户端能够承担比普通客户端更多的责任。
图1是本发明提供的一种应用场景示意图;图2是本发明提供的一种安全认证的方法流程图;图3是本发明提出的一种身份认证服务器的结构图;图4是本发明提出的一种代理客户端的结构图。
具体实施例方式本发明中,通过将安全认证服务器的安全认证任务分发给多个综合性能高的客户 端,从而降低认证服务器的性能消耗,降低认证服务器的压力,增强网络健壮性,不会因为 认证服务器单点失效导致整个网络瘫痪。下面结合附图对本发明实施例进行详细描述。如图1所示,为本发明应用场景下提出的网络接入控制技术方案的组网示意图。 其中身份认证服务器用于对用户的身份进行认证,用户将帐号,密码,MAC (Media Access Control,介质访问控制)地址,IP (Internet Protocol,网络互连协议)地址,余额 等信息发送给身份认证服务器进行校验,校验成功则用户身份认证通过,校验失败则用户 身份认证不通过(将用户下线)。安全认证服务器用于对用户的安全性进行认证,用户通过身份认证后,安全认证服务器通过与客户端的配合检查用户的安全特性,若检查不合格可限制用户的网络访问权 限或直接将用户下线;若检查合格则用户的安全检查通过。BAS (Broad Access Server,宽带接入服务器),是对交换机、路由器等接入设备的 统称。客户端,其支持802. lx、Portal等认证方式,该客户端和用户接入管理配合可实 现一些高级特性,例如,防代理、防双网卡、通过给客户端下发消息使得认证通过后客户端 自动运行某一任务等。其中,该客户端和安全认证服务器配合可实现一些终端准入的安全 特性,如和防病毒软件的联动,检查可控软件/服务,补丁检查等特性。需要注意的是,身份认证服务器和安全认证服务器在网络中可以分别部署,也可 以部署在同一服务器上;当二者分别部署时,则身份认证服务器和安全认证服务器实现各 自的功能;当二者部署在同一服务器上,则该服务器需要实现身份认证服务器和安全认证 服务器的功能,此时可认为在该服务器上具有实现身份认证服务器功能的功能模块和实现 安全认证服务器功能的功能模块,即仍可认为组网中存在身份认证服务器和安全认证服务 器(以功能模块的方式存在)。为了方便描述,本发明中以二者分别部署为例进行说明。基于上述组网情况,如图2所示,本发明提出一种安全认证的方法,该方法包括以 下步骤步骤201,身份认证服务器从通过安全认证的客户端中选取代理客户端。在选取代理客户端之前,需要通过安全认证服务器对客户端进行安全认证。此时, 客户端需要首先进行身份认证,当身份认证通过后,则需要根据安全认证服务器的IP地址 (由身份认证服务器下发)到安全认证服务器上进行安全认证,该过程本发明中不再赘述。本发明中,当有客户端通过安全认证服务器上的安全认证后,则身份认证服务器 可从通过安全认证的客户端中选取代理客户端,该选取过程可以根据实际需要任意选择, 如选择前3个通过安全认证的客户端作为代理客户端等。优选的,选择代理客户端的数量 可以根据实际情况进行调整,例如,选取的代理客户端数目可由系统内用户总数决定,可取 用户数的1/100。优选的,身份认证服务器可根据通过安全认证的客户端的性能信息选取代理客 户端;其中,该性能信息包括但不限于以下信息的一种或几种CPU(Central Processing Unit,中央处理器)能力信息、存储容量信息、带宽信息、在线时间信息。具体的,在采用上述性能信息选取代理客户端时,可采用权值系数法进行选择,如 公式(1)所示W = F1*A+F2*B+F3*C+F4*D公式(1)W表示结点(即待选择的客户端)综合能力权值,A表示结点的CPU能力信息, B表示结点的存储容量信息,C表示结点的带宽信息,D表示结点的在线时间信息,Fl, F2,F3,F4等参数表示上述各项指标的权值,且F1+F2+F3+F4 = 1。其中,C,D可利用 SNMP(Simple Network Management Protocol,简单网络管理协议)网络管理中所使用的 Health Function来获得参考值;A,B可由结点的系统信息获取。因此,根据各通过安全认 证的客户端的相关信息可确定各客户端的W,并可以根据各客户端的W选取中最优的预设 个数的代理客户端。需要注意的是,上述计算方式是以使用CPU能力信息、存储容量信息、带宽信息、在线时间信息等性能信息为例进行说明,实际应用中可使用的性能信息还可以进行调整, 例如,使用CPU能力信息、存储容量信息、带宽信息计算W等,处理方式类似,本发明中不再 详加赘述。步骤202,身份认证服务器将安全策略发送给代理客户端。在实际应用中,针对各客户端可使用的安全策略是不同的,例如,客户端1希望有 更大的网络访问权限,则可使用级别较高的安全策略1对客户端1进行安全认证,客户端2 只需要较低的网络访问权限,则可使用级别较低的安全策略2对客户端2进行安全认证;因 此,可设置有多个安全策略对不同的客户端进行安全认证。本发明中,在将安全策略发送给代理客户端时,可根据安全策略数量和代理客户 端数量将安全策略发送给对应的代理客户端。例如,假设有N个代理客户端,M个安全策略, 将代理客户端从0至N-I编号,将安全策略从0至M-I编号。如果N = M,则将代理客户端 与安全策略一一对应下发。如果N < M,则将安全策略编号对N取模,并按照余数分配给相 应编号的代理客户端。如果N > M,则将代理客户端编号对M取模,并将安全策略分发给余 数相同的代理客户端。为了实现上述操作,可采用的算法如下if (N == M) {for(int i = 0 ;i < M ;i++)deploy (client [i], safestrategy [i]);}else if (N < M) {for(int i = 0 ;i < M ;i++)deploy (client [i% N], safestrategy [i]);}else if (N > M) {for(int i = 0 ;i < N ;i++)deploy (client [i], safestrategy [i % M]);}}需要注意的是,上述发送方式只是一种优选的发送方式,实际应用中可以任意调 整,只要保证所有的安全策略能够下发到代理客户端,且所有的代理客户端上均有安全策 略即可,对于其他的发送方式,本发明中不再赘述。步骤203,身份认证服务器对客户端进行身份认证,并在客户端通过身份认证时, 将代理客户端的信息发送给该客户端。其中,当选择了各代理客户端之后,如果客户端通过身份认证,则身份认证服务器 可以将代理客户端的信息(如代理客户端的IP地址)发送给该客户端。具体的,由于每个客户端可对应自身所使用的安全策略,则身份认证服务器可获 取到客户端对应的安全策略信息(在对客户端进行身份认证时可获知对应的安全策略信 息),并根据该安全策略信息确定对应的代理客户端;之后,将确定的代理客户端的IP地址 发送给客户端。例如,客户端1需要使用安全策略1进行安全认证,在下发安全策略时,安 全策略1被下发到代理客户端1上;当客户端1进行身份认证时,身份认证服务器可获知客 户端1的安全策略为安全策略1,并获知安全策略1被下发到代理客户端1上,此时,需要将代理客户端1的IP地址发送给客户端1。需要注意的是,如果一个安全策略对应多个代理客户端,则身份认证服务器可以 从多个代理客户端中任意选择一个,并将选择的代理客户端的IP地址发送给客户端。本发明中,将代理客户端的信息发送给该客户端的方式并不局限于使用身份认证 服务器来发送,例如,还可以由安全认证服务器将代理客户端的信息发送给该客户端。其 中,安全认证服务器可从身份认证服务器上获得各个代理客户端的相关信息(如代理客户 端的IP地址、代理客户端与安全策略信息的对应关系等),以及客户端对应的安全策略信 息,因此,安全认证服务器可根据客户端的安全策略信息确定对应的代理客户端,并将确定 的代理客户端的IP地址发送给客户端。步骤204,代理客户端根据安全策略对该客户端进行安全认证。具体的,当接收到代理客户端的IP地址后,客户端可根据代理客户端的IP地址将 自身的安全认证信息发送给代理客户端,之后,代理客户端根据安全策略(即身份认证服 务器下发的安全策略)和该客户端的安全认证信息对该客户端进行安全认证。需要说明的是,本发明中,为了获知各客户端的在线情况,各客户端和对应的代理 客户端(即为客户端进行安全认证的代理客户端)之间可发送心跳报文,从而使得代理客 户端能够获知客户端的在线情况,继而进行相应的处理。另外,为了避免代理客户端异常离线造成部分客户端无法上线,身份认证服务器 与代理客户端之间也可以通过心跳维持联系(即发送心跳报文),从而使得身份认证服务 器能够及时获知代理客户端的在线情况,并在代理客户端离线时,重新从通过安全认证的 客户端中选取新的代理客户端,并由新的代理客户端继续为客户端进行安全认证。本发明中,当客户端离开网络时可分两种情况(1)当客户端离开网络时,则该客 户端需要向对应的代理客户端发送下线请求,由代理客户端将该客户端下线的信息通知给 身份认证服务器(即代理客户端向身份认证服务器发送更新报文)。(2)当代理客户端离 开网络时,该代理客户端向身份认证服务器发送下线请求,由身份认证服务器从通过安全 认证的客户端中选取新的代理客户端,并将下线的代理客户端的编号,分配的安全策略等 信息发送给新的代理客户端,之后将原代理客户端下线,并由新的代理客户端继续为客户 端进行安全认证。基于与上述方法同样的发明构思,本发明还提出了一种身份认证服务器,应用于 包括所述身份认证服务器、安全认证服务器和多个客户端的系统中,如图3所示,该身份认 证服务器包括选取模块11,用于从通过安全认证的客户端中选取代理客户端;第一发送模块12,用于将安全策略发送给所述选取模块11选取的所述代理客户 端;第二发送模块13,用于当有客户端通过身份认证时,将所述选取模块11选取的所 述代理客户端的信息发送给所述客户端;并由所述代理客户端根据所述安全策略对所述客 户端进行安全认证。所述选取模块11,具体用于根据通过安全认证的客户端的性能信息选取代理客户 端;其中,所述性能信息包括以下信息的一种或几种CPU能力信息、存储容量信息、带宽信 息、在线时间信息。
所述第一发送模块12,具体用于根据安全策略数量和代理客户端数量将安全策略 发送给对应的代理客户端。所述第二发送模块13,具体用于获取所述客户端对应的安全策略信息,并根据所 述安全策略信息确定对应的代理客户端;以及将确定的所述代理客户端的IP地址发送给 所述客户端。本发明中,该身份认证服务器还包括接收模块14,用于当所述客户端离开网络时,接收所述代理客户端转发的所述客 户端下线的信息;或者,当所述代理客户端离开网络时,接收来自所述代理客户端的下线请 求,并由所述选取模块11从通过安全认证的客户端中选取新的代理客户端。其中,本发明装置的各个模块可以集成于一体,也可以分离部署。上述模块可以合 并为一个模块,也可以进一步拆分成多个子模块。基于与上述方法同样的发明构思,本发明还提出了一种代理客户端,应用于包括 身份认证服务器、安全认证服务器和多个客户端的系统中,如图4所示,该代理客户端包 括接收模块21,用于接收来自所述身份认证服务器的安全策略;认证模块22,用于根据所述接收模块21接收的所述安全策略对通过身份认证的 客户端进行安全认证。所述接收模块21,还用于接收来自所述客户端的安全认证信息;所述认证模块22,具体用于根据所述安全策略和所述客户端的安全认证信息对所 述客户端进行安全认证。该代理客户端还包括发送模块23,用于当所述客户端离开网络时,将所述客户端下线的信息通知给所 述身份认证服务器;或者,当自身离开网络时,向所述身份认证服务器发送下线请求。其中,本发明装置的各个模块可以集成于一体,也可以分离部署。上述模块可以合 并为一个模块,也可以进一步拆分成多个子模块。通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到本发明可以通 过硬件实现,也可以借助软件加必要的通用硬件平台的方式来实现。基于这样的理解,本发 明的技术方案可以以软件产品的形式体现出来,该软件产品可以存储在一个非易失性存储 介质(可以是⑶-ROM,U盘,移动硬盘等)中,包括若干指令用以使得一台计算机设备(可 以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述的方法。本领域技术人员可以理解附图只是一个优选实施例的示意图,附图中的模块或流 程并不一定是实施本发明所必须的。本领域技术人员可以理解实施例中的装置中的模块可以按照实施例描述进行分 布于实施例的装置中,也可以进行相应变化位于不同于本实施例的一个或多个装置中。上 述实施例的模块可以合并为一个模块,也可以进一步拆分成多个子模块。上述本发明序号仅仅为了描述,不代表实施例的优劣。以上公开的仅为本发明的几个具体实施例,但是,本发明并非局限于此,任何本领 域的技术人员能思之的变化都应落入本发明的保护范围。
权利要求
1.一种安全认证的方法,应用于包括身份认证服务器、安全认证服务器和多个客户端 的系统中,其特征在于,该方法包括以下步骤所述身份认证服务器从通过安全认证的客户端中选取代理客户端;并将安全策略发送 给所述代理客户端;当有客户端通过身份认证时,所述身份认证服务器或所述安全认证服务器将所述代理 客户端的信息发送给所述客户端;并由所述代理客户端根据所述安全策略对所述客户端进 行安全认证。
2.如权利要求1所述的方法,其特征在于,所述身份认证服务器从通过安全认证的客 户端中选取代理客户端,具体包括所述身份认证服务器根据通过安全认证的客户端的性能信息选取代理客户端;其中,所述性能信息包括以下信息的一种或几种CPU能力信息、存储容量信息、带宽 信息、在线时间信息。
3.如权利要求1所述的方法,其特征在于,所述将安全策略发送给所述代理客户端,具 体包括所述身份认证服务器根据安全策略数量和代理客户端数量将安全策略发送给对应的 代理客户端。
4.如权利要求1所述的方法,其特征在于,所述身份认证服务器或所述安全认证服务 器将所述代理客户端的信息发送给所述客户端,具体包括所述身份认证服务器或所述安全认证服务器获取所述客户端对应的安全策略信息,并 根据所述安全策略信息确定对应的代理客户端;所述身份认证服务器或所述安全认证服务器将确定的所述代理客户端的IP地址发送 给所述客户端。
5.如权利要求1所述的方法,其特征在于,所述代理客户端根据所述安全策略对所述 客户端进行安全认证,具体包括所述客户端根据所述代理客户端的IP地址将自身的安全认证信息发送给所述代理客 户端;所述代理客户端根据所述安全策略和所述客户端的安全认证信息对所述客户端进行 安全认证。
6.如权利要求1-5任一项所述的方法,其特征在于,所述方法还包括当所述客户端离开网络时,所述客户端向对应的代理客户端发送下线请求,由所述代 理客户端将所述客户端下线的信息通知给所述身份认证服务器;当所述代理客户端离开网络时,所述代理客户端向所述身份认证服务器发送下线请 求,由所述身份认证服务器从通过安全认证的客户端中选取新的代理客户端。
7.一种身份认证服务器,应用于包括所述身份认证服务器、安全认证服务器和多个客 户端的系统中,其特征在于,该身份认证服务器包括选取模块,用于从通过安全认证的客户端中选取代理客户端;第一发送模块,用于将安全策略发送给所述选取模块选取的所述代理客户端;第二发送模块,用于当有客户端通过身份认证时,将所述选取模块选取的所述代理客 户端的信息发送给所述客户端;并由所述代理客户端根据所述安全策略对所述客户端进行安全认证。
8.如权利要求7所述的身份认证服务器,其特征在于,所述选取模块,具体用于根据通过安全认证的客户端的性能信息选取代理客户端;其中,所述性能信息包括以下信息的一种或几种CPU能力信息、存储容量信息、带宽 信息、在线时间信息。
9.如权利要求7所述的身份认证服务器,其特征在于,所述第一发送模块,具体用于根据安全策略数量和代理客户端数量将安全策略发送给 对应的代理客户端。
10.如权利要求7所述的身份认证服务器,其特征在于,所述第二发送模块,具体用于获取所述客户端对应的安全策略信息,并根据所述安全 策略信息确定对应的代理客户端;以及将确定的所述代理客户端的IP地址发送给所述客 户端。
11.如权利要求7-10任一项所述的身份认证服务器,其特征在于,还包括接收模块,用于当所述客户端离开网络时,接收所述代理客户端转发的所述客户端下 线的信息;或者,当所述代理客户端离开网络时,接收来自所述代理客户端的下线请求,并 由所述选取模块从通过安全认证的客户端中选取新的代理客户端。
12.—种代理客户端,应用于包括身份认证服务器、安全认证服务器和多个客户端的系 统中,其特征在于,该代理客户端包括接收模块,用于接收来自所述身份认证服务器的安全策略;认证模块,用于根据所述接收模块接收的所述安全策略对通过身份认证的客户端进行 安全认证。
13.如权利要求12所述的代理客户端,其特征在于,所述接收模块,还用于接收来自所述客户端的安全认证信息;所述认证模块,具体用于根据所述安全策略和所述客户端的安全认证信息对所述客户 端进行安全认证。
14.如权利要求12所述的代理客户端,其特征在于,还包括发送模块,用于当所述客户端离开网络时,将所述客户端下线的信息通知给所述身份 认证服务器;或者,当自身离开网络时,向所述身份认证服务器发送下线请求。
全文摘要
本发明公开了一种安全认证的方法和设备,该方法包括身份认证服务器从通过安全认证的客户端中选取代理客户端;并将安全策略发送给所述代理客户端;当有客户端通过身份认证时,所述身份认证服务器或安全认证服务器将所述代理客户端的信息发送给所述客户端。本发明中,降低了安全认证服务器的性能消耗。
文档编号H04L29/06GK102006296SQ201010560969
公开日2011年4月6日 申请日期2010年11月26日 优先权日2010年11月26日
发明者姜朝晖 申请人:杭州华三通信技术有限公司