认证服务器集群的鉴别服务实体状态的更改方法和装置制造方法及图纸

本发明专利技术涉及无线通信系统的技术领域，特别涉及认证服务器集群多个鉴别服务实体状态的更改方法和装置。本发明专利技术旨在解决一个鉴别服务实体已在认证服务器集群中的一台认证服务器中启用，却因为其他认证服务器的该鉴别服务实体没有启用而发生相应鉴别服务请求的认证失败的问题。本发明专利技术给出认证服务器集群的鉴别服务实体状态的更改方法，认证服务器集群的鉴别服务实体状态的更改方法，通过一台认证服务器获得鉴别服务实体状态更改信息，将所获得的鉴别服务实体状态更改信息发送给集群内其他认证服务器，使得集群内所有的认证服务器的鉴别服务实体状态均能够按照此信息统一更改至一致。本发明专利技术还给出相应的认证服务器集群的鉴别服务实体状态的更改装置。

Method and apparatus for changing authentication service entity status of authentication server cluster

The invention relates to the technical field of a wireless communication system, in particular to a method and device for changing the status of a plurality of authentication service entities in an authentication server cluster. The invention aims to solve an authentication service entity has an authentication server in the authentication server in the cluster enabled, but because the other entity authentication service authentication server is not enabled and the corresponding identification service request authentication failure problem. Change the method of the invention are authentication server cluster authentication service entity status, change the method of authentication server cluster authentication service entity status, access authentication service entity status change information through a certification server authentication service entity state will receive the change information sent to the cluster other authentication server, the authentication service entity state all certificate servers in the cluster according to the unified information are changed to the same. The invention also discloses a change device for the authentication service entity state of the corresponding authentication server cluster.

【技术实现步骤摘要】

本专利技术涉及无线通信系统的
，特别涉及认证服务器集群多个鉴别服务实体状态的更改方法和装置。
技术介绍
近年来，以无线局域网(WLAN)和无线城域网(MAN)技术为代表的宽带无线网 络得到迅猛发展，各种新型宽带技术在全球范围内得到广泛应用。对于无线网络来说，其 安全性比有线网络低许多。网络监听者可能冒充其他用户获取有用信息，也可以通过窃 听用户的通信非法获得用户的信息。中国宽带无线IP标准工作组提出了三元对等鉴别 (Triple-elementPeer Authentication,简称TePA)可信架构，应用于WLAN形成了无线 局域网鉴别与保密基础结构(WLAN Authentication and Privacy Infrastructure,简称 WAPI)协议，可以有效解决IEEE 802. 11协议存在的安全问题。可以说，WAPI是TePA的一 个应用实例，用于解决无线局域网接入安全问题。申请号为200810027930. 0的专利《一种 无线城域网的安全接入方法》(以下简称WMAN-SA)是TePA的另一个应用实例，用于解决无 线城域网接入安全问题。上述WAPI和WMAN-SA安全网络都包括三个网络单元终端、接入 点和认证服务器。 在一个基于TePA的无线网络(如WAPI和WMAN-SA网络)中，终端和接入点通过 认证服务器中的鉴别服务实体(ASE)所提供的鉴别服务来达到相互认证身份的目标。目前 可以看到，基于WAPI或WMAN-SA协议的认证服务器，特定的接入点和终端都需指定一个鉴 别服务实体(ASE)，如果终端的证书是由不同鉴别服务实体(ASE)颁发的，则接入点需要将 包含接入点和终端证书的证书鉴别请求消息发送到对应的鉴别服务实体进行认证。 由于在典型的网络环境下，网络资源分属于不同的组织，而不同的组织可能配置 不同的鉴别服务实体。这种情况下，认证服务器中应支持多个鉴别服务实体的并发运行，以 实现跨鉴别服务实体的资源共享和协同计算，节省计算资源。 另外，随着网络的普及，认证服务器需要为越来越多的用户(接入点和终端)提 供接入认证服务，在这种条件下，即使单台认证服务器性能再高，所能提供的接入认证服务 也是有限的，因此，一般采用多台认证服务器构成认证服务器集群系统，为众多用户提供服 务，但希望集群内部设置对用户透明，即认证服务器集群的对外表现如同一台认证服务器。 这种方式借鉴了并行计算和负载均衡研究中的有关技术，形成了目前的认证服务器集群技 术。 如果采用认证服务器集群技术，集群中将存在多台认证服务器。对于各台认证服 务器，均可支持多个鉴别服务实体，可能会存在着某些认证服务器间鉴别服务实体状态没 有及时更改，使得某一认证服务器中某一鉴别服务实体已经启用，而另一认证服务器的这 一鉴别服务实体尚未启用，此时，如负载均衡调度器将这一鉴别服务实体的用户认证请求 发至未启用该鉴别服务实体的认证服务器，则这个用户请求将被丢弃不处理，从而导致认 证失败。认证过程的失败，将造成用户无法接入网络。
技术实现思路
本专利技术旨在解决一个鉴别服务实体已在认证服务器集群中的一台认证服务器中 启用，却因为其他认证服务器的该鉴别服务实体没有启用而发生相应鉴别服务请求的认证 失败的问题。 为解决上述技术问题，本专利技术给出认证服务器集群的鉴别服务实体状态的更改 方法，认证服务器集群的鉴别服务实体状态的更改方法，通过一台认证服务器获得鉴别服 务实体状态更改信息，将所获得的鉴别服务实体状态更改信息发送给集群内其他认证服务 器，使得集群内所有的认证服务器的鉴别服务实体状态均能够按照此信息统一更改至一 致。 本专利技术还给出认证服务器集群的鉴别服务实体状态的更改装置认证服务器集群 的鉴别服务实体状态的更改装置，包括用于获得鉴别服务实体状态更改信息的一台认证服 务器，还包括用于将所获得的鉴别服务实体状态更改信息发送给集群内其他认证服务器的 装置，使得集群内所有的认证服务器的鉴别服务实体状态均能够按照此信息统一更改至一 致。本专利技术相对于现有技术的有益效果是 本专利技术方法是通过对认证服务器集群中的某一台认证服务器获得鉴别服务实体状态更改信息，将所获得的鉴别服务实体状态更改信息发送给集群内其他认证服务器，使 得集群内所有的认证服务器的鉴别服务实体状态均能够按照此信息统一更改，这就使得如 果一个鉴别服务实体在认证服务器集群中的一台认证服务器启用，则集群中所有认证服务 器均启用该鉴别服务实体，那么相应的鉴别服务请求无论被调度到哪台认证服务器，都能够进行认证。 附图说明 图1是本专利技术认证服务器集群组成示意图。 具体实施例方式下面结合附图和具体实施方式对本专利技术作进一步详细的说明。 参见图1，认证服务器集群包括负载均衡调度器、认证服务器池和共享存储设备 等。认证服务器池和负载均衡调度器通过汇聚结点(如交换机等)进行网络互联。 负载均衡调度器，用于接收用户身份认证请求消息，并分发该请求消息给某台认 证服务器。 认证服务器池，包含多台认证服务器。每台认证服务器中运行有多个鉴别服务实 体(ASE)协议处理模块，每个鉴别服务实体(ASE)协议处理模块处理属于某个特定鉴别服 务实体的用户身份请求消息，并把认证响应消息发送给用户。 共享存储设备存储各鉴别服务实体和认证服务器的信息，其存储内容如下 1.各个鉴别服务实体的ASE配置信息表，表中信息ASE编号(ASE ID， ID = 1，2，......， m) ， ASE类型(支持WAPI或WMAN-SA、或其他类型认证协议)，ASE状态(未激活/激活/暂停/退出)，以及对应的ASE证书信息； 2.各台认证服务器信息表(AS信息表)，表中信息认证服务器编号(AS ID， ID =1，2，......，n)，运行状态(正常/故障)，负载情况(丢包率、CPU占用情况)等。 以WAPI网络为例，认证服务器集群处理身份认证请求流程描述如下 a.负载均衡调度器等待接收用户的WAPI认证请求消息； b.收到用户的WAPI认证请求消息后，负载均衡调度器在共享存储设备中，查询各 个AS信息表，根据其运行状态(正常/故障)、负载情况(丢包率、CPU占用情况)，采用负 载均衡和调度算法，把该身份认证请求消息转发给认证服务器池中的某台认证服务器，接 着继续接收身份认证请求消息。 c.认证服务器池中的某台认证服务器接收到负载均衡调度器发送来的身份认证 请求消息之后，解析该消息中的用户身份信息，查询共享存储设备的ASE配置信息表，定位 该用户所属的鉴别服务实体(如ASEi)，则 cl.如果在ASE配置信息表得不到匹配的鉴别服务实体，该认证服务器向管理员 发出告警信息，说明可能存在某个鉴别服务实体的ASE服务未启用。 c2.如果在ASE配置信息表得到匹配的鉴别服务实体，则对该身份认证请求消息 进行验证和用户身份认证，构造身份认证响应消息，并把该身份认证响应消息发送给用户。 为此，必须保证集群中各台认证服务器具有相同的鉴别服务实体状态，而实现认 证服务器集群中各台认证服务器鉴别服务实体状态同步的方法如下 管理员登录认证服务器集群中的某一台认证服务器，通过这台认证服务器，设置 或更改在共享存储设备中的ASE配置信息表中的本文档来自技高网...

【技术保护点】
认证服务器集群的鉴别服务实体状态的更改方法，通过一台认证服务器获得鉴别服务实体状态更改信息，其特征在于将所获得的鉴别服务实体状态更改信息发送给集群内其他认证服务器，使得集群内所有的认证服务器的鉴别服务实体状态均能够按照此信息统一更改至一致。

【技术特征摘要】
认证服务器集群的鉴别服务实体状态的更改方法，通过一台认证服务器获得鉴别服务实体状态更改信息，其特征在于将所获得的鉴别服务实体状态更改信息发送给集群内其他认证服务器，使得集群内所有的认证服务器的鉴别服务实体状态均能够按照此信息统一更改至一致。2. 认证服务器...

【专利技术属性】
技术研发人员：林凡，王胜男，张永强，
申请(专利权)人：广州杰赛科技股份有限公司，
类型：发明
国别省市：81[中国|广州]