在认证服务器集群中处理认证请求的方法和装置 【技术领域】
本发明涉及无线通信系统的技术领域,特别涉及在认证服务器集群中处理认证请求的方法。
背景技术
近年来,以无线局域网(WLAN)和无线城域网(WMAN)技术为代表的宽带无线网络得到迅猛发展,各种新型宽带技术在全球范围内得到广泛应用。对于无线网络来说,其面临的安全性威胁比有线网络严峻得多。网络监听者可能冒充其他用户获取有用信息,也可以通过窃听用户的通信非法获得用户的信息。中国宽带无线IP标准工作组提出了三元对等鉴别(Triple-element Peer Authentication,简称TePA)可信架构,应用于WLAN形成了无线局域网鉴别和保密基础结构(WLAN Authentication and PrivacyInfrastructure,简称WAPI)协议,可以有效解决IEEE 802.11协议存在的安全问题。可以说,WAPI是TePA的一个应用实例,用于解决无线局域网接入安全问题。申请号为200810027930.0的专利《一种无线城域网的安全接入方法》(以下简称WMAN-SA)是TePA的另一个应用实例,用于解决无线城域网接入安全问题。上述WAPI和WMAN-SA安全网络都包括三个网络单元:终端、接入点和认证服务器。
在一个基于TePA的无线网络(如WAPI和WMAN-SA网络)中,终端和接入点通过认证服务器中的鉴别服务实体(ASE)所提供的认证服务来实现相互认证身份的目标。目前可以看到,基于WAPI或WMAN-SA协议的认证服务器,特定的接入点和终端都需指定一个鉴别服务实体(ASE),如果终端的证书是由不同鉴别服务实体(ASE)颁发的,则接入点需要将包含接入点和终端证书的证书鉴别请求消息发送到对应的鉴别服务实体进行认证。
随着网络的普及,认证服务器需要为越来越多的用户(接入点和终端)提供接入认证服务,在这种条件下,即使单台认证服务器性能再高,所能提供的接入认证服务也是有限的,因此,一般采用多台认证服务器构成认证服务器集群为众多用户提供服务,但希望集群内部设置对用户透明,即认证服务器集群对外表现的如同一台服务器一样。这种方式借鉴了并行计算和负载均衡研究中的有关技术,形成了目前的服务器集群技术。
如果采用服务器集群技术,集群中将存在多台认证服务器。每台认证服务器中的鉴别服务实体使用公钥密码学算法进行数字证书签名和验证等消耗计算资源的操作,需要成本较高的密码学硬件加速设备等计算资源的支持。
如果每台认证服务器都启用支持的所有鉴别服务实体提供认证服务,可能需要在每台认证服务器中增加密码学硬件加速设备,才能满足密码学计算的效率;同时,每台认证服务器启用支持的所有鉴别服务实体,会成倍地增加每个鉴别服务实体工作时存储的各类信息的空间,造成不必要的资源开销。所以需要有一种方法,在保证满足集群可以处理对多个认证请求的前提下,尽可能地节省密码学计算资源和鉴别服务实体的存储开销,降低系统运行成本。
【发明内容】
本发明的目的是在有效节约资源的基础上实现认证服务器集群处理多个认证请求。
为解决上述技术问题,在认证服务器集群中处理认证请求的方法,当接收到认证请求时,选取认证服务器处理该认证请求,其特征在于:以确保处理该认证请求的认证服务器是在指定范围内负载最低的认证服务器的策略来进行所述的选取,
如果所选取的认证服务器未启动对应的鉴别服务实体,则在所选取的认证服务器中启用该鉴别服务实体后再处理该认证请求,
a.对集群内存在负载小于阈值的认证服务器的情况,所述的指定范围是指集群内负载小于阈值的认证服务器,
b.对集群内所有认证服务器的负载均超过阈值的情况,所述的指定范围是指集群内所有认证服务器。
上述方法能够在所选取的认证服务器中灵活地启用或配置为认证请求提供认证服务的鉴别服务实体来处理认证请求。
所述的在认证服务器集群中处理认证请求的方法,其特征在于:当接收到认证请求时,判断集群内是否有启用与所接收认证请求对应的鉴别服务实体的认证服务器,
A.如无,则选取集群内负载最小地认证服务器;
B.如有,则判断已启用该鉴别服务实体的认证服务器中是否存在负载小于阈值的——
B1.如存在,则选取其中负载最小的认证服务器,
B2.如不存在,则判断未启用该鉴别服务实体的认证服务器中是否存在负载小于阈值的——B21.如存在,则选取已启用该鉴别服务实体的认证服务器中负载最小的认证服务器;B22.如不存在,则选取未启用该鉴别服务实体的认证服务器中负载最小的认证服务器。
所述的在认证服务器集群中处理认证请求的方法,其特征在于:当接收到认证请求时,判断集群内是否存在负载小于阈值的认证服务器;进行选取时,排除在判断结果所对应的指定范围外的认证服务器。
在认证服务器集群中处理认证请求的装置,其特征在于:包括
用于当接收到认证请求时,取在指定范围内负载最低的认证服务器处理该认证请求的选取装置,其特征在于:
选取装置具有用于
确保处理该认证请求的认证服务器是在指定范围内负载最低的认证服务器
的确保装置;
还包括用于如果所取的认证服务器未启动对应的鉴别服务实体,则在所取的认证服务器中启用该鉴别服务实体后再处理该认证请求的启用装置,
a.对集群内存在负载小于阈值的认证服务器的情况,所述的指定范围是指集群内负载小于阈值的认证服务器,
b.对集群内所有认证服务器的负载均超过阈值的情况,所述的指定范围是指集群内所有认证服务器。
所述的在认证服务器集群中处理认证请求的装置,其特征在于,包括第一判断装置、第二判断装置、第三判断装置,其中,第一判断装置当接收到认证请求时,判断集群内是否有启用与所接收认证请求对应的鉴别服务实体的认证服务器,
A.如无,则所述的选取装置选取集群内负载最小的认证服务器;
B.如有,则第二判断装置判断已启用该鉴别服务实体的认证服务器中是否存在负载小于阈值的——
B1.如存在,则选取装置选取其中负载最小的认证服务器,
B2.如不存在,则第三判断装置判断未启用该鉴别服务实体的认证服务器中是否存在负载小于阈值的——B21.如存在,则选取装置选取已启用该鉴别服务实体的认证服务器中负载最小的认证服务器;B22.如不存在,则选取装置选取未启用该鉴别服务实体的认证服务器中负载最小的认证服务器。
所述的在认证服务器集群中处理认证请求的装置,其特征在于:包括判断装置,其用于当接收到认证请求时,判断集群内是否存在负载小于阈值的认证服务器,所述的选取装置进行选取时,排除在判断结果所对应的指定范围外的认证服务器。
本发明相对于现有技术的有益效果是:
本发明通过在集群中不同的认证服务器中灵活地启用或配置为认证请求提供认证服务的鉴别服务实体,使集群能对多个认证请求进行处理,与在每台认证服务器都启用支持的所有鉴别服务实体相比,节省了密码计算资源和存储各类信息的存储资源,在有效节约资源的基础上实现认证服务器集群处理多个认证请求。
【附图说明】
图1是本发明认证服务器集群组成示意图。
【具体实施方式】
下面结合附图通过具体实施方式对本发明作进一步详细的说明。
参见图1,认证服务器集群包括负载均衡调度器、多台认证服务器和共享存储设备等。多台认证服务器(AS0、AS1......ASn)和负载均衡调度器通过汇聚结点(如交换机等)进行网络互联。
负载均衡调度器,用于接收用户身份认证请求消息,解析该认证请求消息,获得该认证请求消息的所属的鉴别服务实体及其编号,并根据各认证服务器的负载情况,分发该认证请求消息给集群中已启用该鉴别服务实体的某个特定认证服务器。
多台认证服务器中的每台认证服务器中支持运行多个鉴别服务实体,每个鉴别服务实体处理本认证域的用户认证请求消息,并把认证响应消息发送给用户。各认证服务器应周期性地将其运行的状态信息更新到共享存储设备中的认证服务器信息表(AS信息表)中。
共享存储设备存储各鉴别服务实体和认证服务器的信息,其存储内容如下:
1、各个认证服务器信息表(AS信息表),表中信息:认证服务器编号(AS ID,ID=1,2,......,n),运行状态(正常/故障),负载情况(丢包率、CPU占用情况),本地已创建的鉴别服务实体信息(ASE信息)等。其中,ASE信息包括:ASE编号(ASE ID,ID=1,2,......,i),ASE类型(支持WAPI或WMAN-SA或其他类型认证协议),ASE状态(未激活/激活/暂停/退出)。
2、ASE管理信息表,表中包含认证服务器集群中已创建的所有ASE的信息。表中信息:ASE编号(ASE ID,ID=1,2,......,m),ASE类型(支持WAPI或WMAN-SA或其他类型认证协议),以及对应的ASE证书信息。
为了灵活地启用或配置为认证请求提供认证服务的鉴别服务实体,负载均衡调度器可以实时地对各台认证服务器的鉴别服务实体进行管理和控制,其过程如下:
1)负载均衡调度器向目标鉴别服务实体(ASE)所在的认证服务器发送ASE配置更改请求消息。ASE配置更改请求消息中的字段内容包括:目标认证服务器编号,ASE编号、ASE类型、消息新鲜性标识、更改后的ASE状态。
2)目标认证服务器收到该ASE配置更改请求消息后,应优先执行此消息。解析该消息,得到消息的各个字段内容,并进行如下操作:
2.1)检查消息新鲜性标识,如确定该消息为重发消息,则丢弃,并在认证服务器本地存储该标识。
2.2)若该认证服务器已经启用了该鉴别服务实体,则应确定消息中ASE编号、ASE类型(WAPI认证协议)和认证服务器本地的ASE编号、ASE类型是否一致,如不一致,则丢弃该消息;应对比本地ASE状态和消息字段描述的“更改的ASE状态”是否一致,如一致,则认证服务器应向负载均衡调度器发出ASE配置更改响应信息,说明状态异常(如鉴别服务实体的认证服务器理信息表中的ASE状态信息记录异常,“更改前的”和“更改后”ASE状态正常情况下应是不一致的)。如不一致,调整本地ASE状态为消息字段描述的“更改的ASE状态”。
2.3)若该认证服务器本地还未启用该鉴别服务实体,则应从共享存储设备中读取证书信息和私钥,创建鉴别服务实体,并设置为消息字段描述的“更改后的ASE状态”。并向负载均衡调度器发送ASE配置更改响应消息,说明目标认证服务器已经成功地更改调整ASE状态。其中,ASE配置更改响应消息中的字段内容包括:目标认证服务器编号,ASE编号、ASE类型、消息新鲜性标识、更改后的ASE状态,更改结果。
3)负载均衡调度器收到该ASE配置更改响应消息后,解析该消息,得到消息的各个字段内容,并进行如下操作:
3.1)检查消息新鲜性标识。消息新鲜性标志应和原ASE配置更改请求消息中的消息新鲜性标识一致。如不一致,则丢弃;如一致,则执行下一步;
3.2)确定消息中ASE编号、ASE类型(WAPI认证协议)、更改后的ASE状态和原ASE配置更改请求消息中的ASE编号、ASE类型、更改的ASE状态一致,如不一致,则丢弃该消息;如一致,则检查“更改结果”是否成功,如“更改结果”指示失败,则根据策略重发ASE配置更改请求消息或做其他告警处理。
下面以基于TePA可信架构的网络为例,详述本发明认证服务器集群的工作过程:
1、负载均衡调度器等待接收用户认证请求消息;
2、收到用户认证请求消息后,负载均衡调度器解析该消息,确定该用户所属的鉴别服务实体。负载均衡调度在共享存储设备中,查询ASE管理信息表,如在ASE管理信息表中未找到已创建的ASE信息,则应向负载均衡调度器发出告警信息或进行日志记录,显示该用户认证请求为异常请求。
3、如果是正常用户认证请求,当接收到认证请求时,选取认证服务器处理该认证请求,以确保处理该认证请求的认证服务器是在指定范围内负载最低的认证服务器的策略来进行所述的选取,
如果所选取的认证服务器未启动对应的鉴别服务实体,则在所选取的认证服务器中启用该鉴别服务实体后再处理该认证请求,
3.1.对集群内存在负载小于阈值的认证服务器的情况,所述的指定范围是指集群内负载小于阈值的认证服务器,
3.2.对集群内所有认证服务器的负载均超过阈值的情况,所述的指定范围是指集群内所有认证服务器。
第一种实现过程是:当接收到认证请求且在管理信息表中查询到相应的ASE信息时,负载均衡调度器应查询各个认证服务器信息表(AS信息表),结果如下:
A、如果各个认证服务器信息表(AS信息表)均无该ASE信息,则负载均衡调度器应根据目前各AS的负载情况,根据负载均衡算法,选择负载最小的AS,发送ASE配置更改请求消息(消息中的“更改后的ASE状态”为“激活”)创建并激活鉴别服务实体,发送ASE配置更改响应消息给负载均衡调度器,通告更改状态成功,接着目标AS更改其AS信息表。创建并激活完成后,负载均衡调度器将该用户认证请求发送给该AS进行处理。如更改ASE状态失败,发送ASE配置更改响应消息给负载均衡调度器,通告更改状态失败,负载均衡调度器收到这个消息后,应选择除了这台认证服务器外,负载最小的认证服务器,发送ASE配置更改请求消息,处理流程同上。
此种情况没有判断集群内是否存在负载小于阈值的认证服务器的步骤,而是直接选择负载最低的认证服务器启用对应的ASE来处理该认证请求。这意味着若存在负载小于阈值的认证服务器,则指定的范围定是以负载小于阈值的认证服务器为范围,若不存在负载小于阈值的认证服务器,则指定的范围定是以集群内所有认证服务器为范围。
B、如果有一个或多个认证服务器信息表(AS信息表)显示已经启用了该ASE,那么有两种情况:
B1其中存在有认证服务器的负载在一定阈值(阈值可以由管理员定义)内,则可将该用户认证请求发给负载最小的认证服务器。
此种情况属于在负载小于阈值的认证服务器的范围内查找到已启用与所接收认证请求对应的鉴别服务实体(ASE),从而以负载小于阈值的认证服务器为指定范围选择负载最低的认证服务器来处理该认证请求。
B2、各认证服务器的负载均超过了一定阈值,此时,负载均衡调度器根据刚开始查询认证服务器信息表(AS信息表)的结果,取用其他未启用该ASE的AS信息表,对这些未启用该ASE的认证服务器进行判断是否有没有未超过阈值的认证服务器:
B21、如其他认证服务器负载均超过阈值,则将用户认证请求发给已启用ASE的负载最小的认证服务器。此种情况属于集群内所有认证服务器的负载均超过阈值,且在集群内负载均超过阈值的认证服务器中查找到已启用与所接收认证请求对应的鉴别服务实体(ASE),从而以集群内所有认证服务器为指定范围选择负载最低的认证服务器来处理该认证请求。
B22、如存在负载还未超过阈值的认证服务器,选择没有超过阈值的负载最小的AS,发送ASE配置更改请求消息(消息中的“更改的ASE状态”为“激活”)激活其鉴别服务实体,发送ASE配置更改响应消息给负载均衡调度器,通告更改状态成功,接着目标AS更改其AS信息表,接着更改存储设备的AS信息表。如更改ASE状态失败,发送ASE配置更改响应消息给负载均衡调度器,通告更改状态失败,负载均衡调度器收到这个消息后,应选择除了这个认证服务器外,没有超过阈值的负载最小的认证服务器,发送ASE配置更改请求消息,处理流程同上。
此种情况属于集群内存在负载小于阈值的认证服务器,且在负载小于阈值的认证服务器没查找到已启用的对应ASE,从而以负载小于阈值的认证服务器为指定范围选择负载最低的认证服务器启用对应的ASE来处理该认证请求。
第二种实现过程是:在进行选取之前,判断集群内是否存在负载小于阈值的认证服务器;进行选取时,排除在判断结果所对应的指定范围外的认证服务器。即判断后按两种情况选取;
(1).当集群内存在负载小于阈值的认证服务器时,就以这些负载小于阈值的认证服务器为指定范围查找已启用与所接收认证请求对应的鉴别服务实体(ASE)且负载最低的认证服务器来处理该认证请求,若没查找到已启用的对应ASE,则在该范围内选择负载最低的认证服务器启用对应的ASE来处理该认证请求;
(2).当集群内所有认证服务器的负载均超过阈值时,就以集群内所有认证服务器为指定范围查找已启用与所接收认证请求对应的鉴别服务实体(ASE)且负载最低的认证服务器来处理该认证请求,若没查找到已启用的对应ASE,则在该范围内选择负载最低的认证服务器启用对应的ASE来处理该认证请求。
上述两种实现过程主要区别是第一种实现过程先是判断是否启用ASE再根据ASE启用状况对全部或部分认证服务器进行负载判断,故在已启用对应ASE的认证服务器比较少的情况下可以缩小对认证服务器进行负载判断的范围,第二种实现过程是先判断负载再根据负载状况对全部或部分认证服务器进行ASE启用状况判断,故在负载超过阈值的认证服务器比较多的情况下(即整个认证服务器集群负载压力较大的情况下)可以缩小对认证服务器进行ASE启用状况判断的范围。
两种实现过程都能够确保在指定范围内选取到负载最低的认证服务器,并灵活地启用或配置为认证请求提供认证服务的鉴别服务实体来处理认证请求。
4、接收到用户认证请求的认证服务器,对该身份认证请求进行验证和用户身份认证,构造身份认证响应消息,并把该身份认证响应消息发送给用户。