本发明专利技术公开了一种高并发策略决策系统、可信网络系统及接入方法,属于可信网络接入领域,要解决的技术问题为如何避免大规模终端接入可信网络时发生的系统延时。其结构包括:多种认证服务器;任务调度服务器,其内核层配置有网卡驱动模块和netfilter模块,其应用层配置有用户空间进程。可信网络系统包括:PEP、PDP和多个AR,PDP为一种高并发策略决策系统,PDP通过任务调度服务器与PEP连接。PDP通过任务调度服务器中netfilter模块将AR的接入认证请求转发至对应种类的认证服务器,并汇总各种认证服务器的认证结果生成可信网络决策。
A High Concurrency Policy Decision System, Trusted Network System and Access Method
【技术实现步骤摘要】
一种高并发策略决策系统、可信网络系统及接入方法
本专利技术涉及可信网络接入领域,具体地说是一种高并发策略决策系统、可信网络系统及接入方法。
技术介绍
TNC(英文全称为TrustedNetworkConnect,中文翻译为可信网络接入),作为TCG(英文全称为TrustedComputingGroup,中文翻译为可信计算组织)中的一个分支,专门负责网络终端入网的可信任务。可信网络是指在终端连接网络之前,对用户的身份进行认证。如果认证通过,对终端平台的身份进行认证,如果认证通过,对终端的平台可信状态进行度量,如果度量结果满足网络连接的安全策略,则允许终端连接网络,否则将终端连接到指定的隔离区域,对其进行安全性修补和升级。当前的可信网络系统对于终端数量规模不是太大时能够满足用户的使用,但当可信网络系统中终端数量超过一定规模时,当前可信网络的架构就不能够满足系统需求,部分终端接入可信网络的过程中就会有很长时间的等待,降低用户体验。netfilter是Linux2.4.x引入的一个子系统,它作为一个通用的、抽象的框架,提供一整套的hook函数的管理机制,使得诸如数据包过滤、网络地址转换(NAT)和基于协议类型的连接跟踪成为了可能。如何利用netfilter的相关机制,避免大规模终端接入可信网络时发生的系统延时,是需要解决的技术问题。
技术实现思路
本专利技术的技术任务是针对以上不足,提供一种高并发策略决策系统、可信网络系统及接入方法,来解决如何避免大规模终端接入可信网络时发生的系统延时的问题。第一方面,本专利技术提供一种高并发策略决策系统,包括:认证服务器,所述认证服务器共多种,每种认证服务器对应一种认证过程,所述多种认证服务器用于进行用户身份认证以及平台完整性认证;任务调度服务器,所述任务调度服务器内核层配置有网卡驱动模块和netfilter模块,任务调度服务器应用层配置有用户空间进程;netfilter模块分别与上述多种认证服务器连接,用于接收AR的接入认证请求,并根据接入认证请求的认证过程种类将接入认证请求转发至对应的认证服务器;用户空间进程基于netlink机制与netfilter模块连接,用于接收接入认证请求、记录认证请求对应的AR,并用于接收认证服务器的认证结果、根据认证结果生成可信网络决策。Netlink套接字是用以实现用户进程与内核进程通信的一种特殊的进程间通信(IPC),也是网络应用程序与内核通信的最常用的接口。在上述实施方式中,认证服务器配置有多种以对应不同种类的认证过程,在接收到AR的接入认证请求后,通过netfilter模块判断接入认证请求的认证过程种类,并将不同的认证过程分散到不同的认证服务器进行处理,通过用户空间进程汇总不同认证服务器的认证结果并生成可信网络决策,通过可信网络决策判断对应AR的接入认证请求是否接入可信网络。作为优选,平台完整性认证包括系统文件完整性认证、杀毒软件完整性认证、网络端口完整性认证以及USB端口完整性认证;所述多种认证服务器包括身份认证服务器、系统文件完整性认证服务器、杀毒软件完整性认证服务器、网络端口完整性认证服务器和USB端口完整性认证服务器。作为优选,用户空间进程为freeradius进程。Freeradius是一个模块化,高性能并且功能丰富的一套Radius程序,包含服务器,客户端(radiusclient),开发库和一些额外的相关radius工具。第二方面,本专利技术提供一种高并发可信网络系统,包括:AR,所述AR共多个,AR运行于接入端点设备,同于提交接入认证请求,接入认证请求包括用户身份信息和安全状态信息,安全状态信息用于进行平台完整性认证;PEP,所述PEP与上述多个AR连接,用于接收接入认证请求;PDP,所述PDP为如权利要求1-3任一项所述的一种高并发策略决策系统,PDP通过任务调度服务器与PEP连接;PDP用于通过通过任务调度服务器中neitfilter模块接收AR的接入认证请求、根据接入认证请求的认证过程种类将接入认证请求转发至对应的认证服务器;PDP用于通过任务调度服务器中用户空间进程记录接收接入认证请求、记录认证请求对应的AR,并用于通过任务调度服务器中用户空间进程接收认证服务器的认证结果、根据认证结果生成可信网络决策;PEP用于接收可信网络决策、并根据可信网络决策判断AR是否接入可信网络。在上述实施方式中,该可信网络系统中AR的接入认证请求通过PEP发送至netfilter模块;通过netfilter模块判断接入认证请求的认证过程种类,并将不同的认证过程分散到不同的认证服务器进行处理;通过用户空间进程汇总不同认证服务器的认证结果并生成可信网络决策;通过PEP接收可信网络决策、并根据可信网络决策判断AR是否接入可信网络。作为优选,安全状态信息包括系统文件完整性信息、杀毒软件完整性信息、网络端口完整性信息以及USB端口完整性信息安全状态信息。作为优选,安全状态信息为由配置于接入端点设备上的完整性采集器采集的完整性信息。第三方面,本专利技术提供一种高并发可信网路接入方法,构建如第一方面任一项所述的一种高并发可信网络系统作为PDP,通过PDP将AR的接入认证请求转发至对应种类的认证服务器,并汇总各种认证服务器的认证结果生成可信网络决策,并通过PEP根据可信网络决策判断所述AR是否接入可信网络。作为优选,包括如下步骤:通过netfilter模块接收AR的接入认证请求,并判断接入认证请求的认证过程种类;根据接入认证请求的认证过程种类,通过netfilter模块将接入认证请求转发至对应的认证服务器;基于netlink机制,通过netfiler模块将接入认证请求传送至用户空间进程;通过用户空间进程汇总认证服务器的认证处理结果,并生成可信网络决策;将可信网络决策传送至PEP,通过PEP根据可信网络决策判断AR是否接入可信网络。本专利技术的一种高并发策略决策系统、可信网络系统及接入方法具有优点:通过netlink模块将不同的认证过程分散到不同的认证服务器进行处理,通过用户空间进程汇总不同认证服务器的认证结果并生成可信网络决策,从而将复杂的耗时的认证过程分散到不同的认证服务器实现,每个认证服务器只执行一部分的认证过程,大大提高了可信网络服务端处理的效率。附图说明为了更清楚地说明本专利技术实施例中的技术方案,下面将对实施例中描述中所需要使用的附图作简要介绍,显而易见地,下面描述中的附图仅仅是本专利技术的一些实施例,对于本领域的普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。下面结合附图对本专利技术进一步说明。附图1为实施例1一种高并发策略决策系统的结构框图;附图2为实施例1一种高并发策略决策系统中任务调度服务器的结构框图;附图3为实施例2一种高并发可信网络系统的结构框图;附图4为实施例3一种高并发可信网络接入方法的流程框图。具体实施方式下面结合附图和具体实施例对本专利技术作进一步说明,以使本领域的技术人员可以更好地理解本专利技术并能予以实施,但所举实施例不作为对本专利技术的限定,在不冲突的情况下,本专利技术实施例以及实施例中的技术特征可以相互结合。需要理解的是,在本专利技术实施例中的“多个”,是指两个或两个以上。本专利技术实施例提供一种高并发策略决策系统、可信网络系统本文档来自技高网...
【技术保护点】
1.一种高并发策略决策系统,其特征在于包括:认证服务器,所述认证服务器共多种,每种认证服务器对应一种认证过程,所述多种认证服务器用于进行用户身份认证以及平台完整性认证;任务调度服务器,所述任务调度服务器内核层配置有网卡驱动模块和netfilter模块,任务调度服务器应用层配置有用户空间进程;netfilter模块分别与上述多种认证服务器连接,用于接收AR的接入认证请求,并根据接入认证请求的认证过程种类将接入认证请求转发至对应的认证服务器;用户空间进程基于netlink机制与netfilter模块连接,用于接收接入认证请求、记录认证请求对应的AR,并用于接收认证服务器的认证结果、根据认证结果生成可信网络决策。
【技术特征摘要】
1.一种高并发策略决策系统,其特征在于包括:认证服务器,所述认证服务器共多种,每种认证服务器对应一种认证过程,所述多种认证服务器用于进行用户身份认证以及平台完整性认证;任务调度服务器,所述任务调度服务器内核层配置有网卡驱动模块和netfilter模块,任务调度服务器应用层配置有用户空间进程;netfilter模块分别与上述多种认证服务器连接,用于接收AR的接入认证请求,并根据接入认证请求的认证过程种类将接入认证请求转发至对应的认证服务器;用户空间进程基于netlink机制与netfilter模块连接,用于接收接入认证请求、记录认证请求对应的AR,并用于接收认证服务器的认证结果、根据认证结果生成可信网络决策。2.根据权利要求1所述的一种高并发策略决策系统,其特征在于平台完整性认证包括系统文件完整性认证、杀毒软件完整性认证、网络端口完整性认证以及USB端口完整性认证;所述多种认证服务器包括身份认证服务器、系统文件完整性认证服务器、杀毒软件完整性认证服务器、网络端口完整性认证服务器和USB端口完整性认证服务器。3.根据权利要求1或2所述的一种高并发策略决策系统,其特征在于用户空间进程为freeradius进程。4.一种高并发可信网络系统,其特征在于包括:AR,所述AR共多个,AR运行于接入端点设备,同于提交接入认证请求,接入认证请求包括用户身份信息和安全状态信息,安全状态信息用于进行平台完整性认证;PEP,所述PEP与上述多个AR连接,用于接收接入认证请求;PDP,所述PDP为如权利要求1-3任一项所述的一种高并发策略决策系统,PDP通过任务调度服务器与PEP连接;PDP用于通过任务调度服务器中neitfilt...
【专利技术属性】
技术研发人员:李文通,孙大军,路永轲,刘洋,
申请(专利权)人:山东超越数控电子股份有限公司,
类型:发明
国别省市:山东,37
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。