在认证服务器集群中处理认证请求的方法和装置制造方法及图纸

本发明专利技术公开了在认证服务器集群中处理认证请求的方法和装置，其中方法为：当接收到认证请求时，选取认证服务器处理该认证请求，其特征在于：以确保处理该认证请求的认证服务器是在指定范围内负载最低的认证服务器的策略来进行所述的选取，如果所选取的认证服务器未启动对应的鉴别服务实体，则在所选取的认证服务器中启用该鉴别服务实体后再处理该认证请求，当集群内存在负载小于阈值的认证服务器时，所述的指定范围是指集群内负载小于阈值的认证服务器，当集群内所有认证服务器的负载均超过阈值时，所述的指定范围是指集群内所有认证服务器。本发明专利技术能低成本实现处理多个认证请求。

Method and apparatus for processing authentication requests in an authentication server cluster

The invention discloses a method and a device for processing authentication request authentication server in the cluster, the method is as follows: when receiving the authentication request, select the authentication server handles the authentication request, which is characterized in that: to ensure the authentication request authentication server is to select the least loaded authentication server within the specified range of strategies to said, if the selected authentication server does not start the corresponding authentication service entity, the entity authentication service is enabled in the selected authentication server after processing the authentication request, when the memory of the cluster in the load less than the threshold value of the authentication server, specify the range of the means in the cluster load is less than the threshold of authentication the server load, when all the authentication server in the cluster are over the threshold, the specified range refers to all certification services within the cluster For. The invention can realize the processing of multiple authentication requests at low cost.

【技术实现步骤摘要】

本专利技术涉及无线通信系统的
，特别涉及在认证服务器集群中处理认证请求的方法。
技术介绍
近年来，以无线局域网(WLAN)和无线城域网(MAN)技术为代表的宽带无线网络 得到迅猛发展，各种新型宽带技术在全球范围内得到广泛应用。对于无线网络来说，其面临 的安全性威胁比有线网络严峻得多。网络监听者可能冒充其他用户获取有用信息，也可以 通过窃听用户的通信非法获得用户的信息。中国宽带无线IP标准工作组提出了三元对等 鉴别(Triple-element Peer Authentication,简称TePA)可信架构，应用于WLAN形成了无 线局域网鉴别和保密基础结构(WLAN Authentication and Privacylnfrastructure，简称 WAPI)协议，可以有效解决IEEE 802. 11协议存在的安全问题。可以说，WAPI是TePA的一 个应用实例，用于解决无线局域网接入安全问题。申请号为200810027930. 0的专利《一种 无线城域网的安全接入方法》(以下简称WMAN-SA)是TePA的另一个应用实例，用于解决无 线城域网接入安全问题。上述WAPI和WMAN-SA安全网络都包括三个网络单元终端、接入 点和认证服务器。 在一个基于TePA的无线网络(如WAPI和WMAN-SA网络)中，终端和接入点通过认证服务器中的鉴别服务实体(ASE)所提供的认证服务来实现相互认证身份的目标。目前可以看到，基于WAPI或WMAN-SA协议的认证服务器，特定的接入点和终端都需指定一个鉴别服务实体(ASE)，如果终端的证书是由不同鉴别服务实体(ASE)颁发的，则接入点需要将包含接入点和终端证书的证书鉴别请求消息发送到对应的鉴别服务实体进行认证。 随着网络的普及，认证服务器需要为越来越多的用户(接入点和终端)提供接入认证服务，在这种条件下，即使单台认证服务器性能再高，所能提供的接入认证服务也是有限的，因此，一般采用多台认证服务器构成认证服务器集群为众多用户提供服务，但希望集群内部设置对用户透明，即认证服务器集群对外表现的如同一台服务器一样。这种方式借鉴了并行计算和负载均衡研究中的有关技术，形成了目前的服务器集群技术。 如果采用服务器集群技术，集群中将存在多台认证服务器。每台认证服务器中的鉴别服务实体使用公钥密码学算法进行数字证书签名和验证等消耗计算资源的操作，需要成本较高的密码学硬件加速设备等计算资源的支持。 如果每台认证服务器都启用支持的所有鉴别服务实体提供认证服务，可能需要在 每台认证服务器中增加密码学硬件加速设备，才能满足密码学计算的效率；同时，每台认证 服务器启用支持的所有鉴别服务实体，会成倍地增加每个鉴别服务实体工作时存储的各类 信息的空间，造成不必要的资源开销。所以需要有一种方法，在保证满足集群可以处理对多 个认证请求的前提下，尽可能地节省密码学计算资源和鉴别服务实体的存储开销，降低系 统运行成本。
技术实现思路
本专利技术的目的是在有效节约资源的基础上实现认证服务器集群处理多个认证请求。 为解决上述技术问题，在认证服务器集群中处理认证请求的方法，当接收到认证请求时，选取认证服务器处理该认证请求，其特征在于以确保处理该认证请求的认证服务器是在指定范围内负载最低的认证服务器的策略来进行所述的选取， 如果所选取的认证服务器未启动对应的鉴别服务实体，则在所选取的认证服务器中启用该鉴别服务实体后再处理该认证请求， a.对集群内存在负载小于阈值的认证服务器的情况，所述的指定范围是指集群内负载小于阈值的认证服务器， b.对集群内所有认证服务器的负载均超过阈值的情况，所述的指定范围是指集群内所有认证服务器。 上述方法能够在所选取的认证服务器中灵活地启用或配置为认证请求提供认证服务的鉴别服务实体来处理认证请求。 所述的在认证服务器集群中处理认证请求的方法，其特征在于当接收到认证请求时，判断集群内是否有启用与所接收认证请求对应的鉴别服务实体的认证服务器， A.如无，则选取集群内负载最小的认证服务器； B.如有，则判断已启用该鉴别服务实体的认证服务器中是否存在负载小于阈值的—— Bl.如存在，则选取其中负载最小的认证服务器， B2.如不存在，则判断未启用该鉴别服务实体的认证服务器中是否存在负载小于阈值的——B21.如存在，则选取已启用该鉴别服务实体的认证服务器中负载最小的认证服务器；B22.如不存在，则选取未启用该鉴别服务实体的认证服务器中负载最小的认证服务器。 所述的在认证服务器集群中处理认证请求的方法，其特征在于当接收到认证请求时，判断集群内是否存在负载小于阈值的认证服务器；进行选取时，排除在判断结果所对应的指定范围外的认证服务器。在认证服务器集群中处理认证请求的装置，其特征在于包括 用于当接收到认证请求时，取在指定范围内负载最低的认证服务器处理该认证请求的选取装置，其特征在于 选取装置具有用于 确保处理该认证请求的认证服务器是在指定范围内负载最低的认证服务器 的确保装置； 还包括用于如果所取的认证服务器未启动对应的鉴别服务实体，则在所取的认证服务器中启用该鉴别服务实体后再处理该认证请求的启用装置， a.对集群内存在负载小于阈值的认证服务器的情况，所述的指定范围是指集群内负载小于阈值的认证服务器， b.对集群内所有认证服务器的负载均超过阈值的情况，所述的指定范围是指集群内所有认证服务器。 所述的在认证服务器集群中处理认证请求的装置，其特征在于，包括第一判断装置、第二判断装置、第三判断装置，其中，第一判断装置当接收到认证请求时，判断集群内是否有启用与所接收认证请求对应的鉴别服务实体的认证服务器， A.如无，则所述的选取装置选取集群内负载最小的认证服务器； B.如有，则第二判断装置判断已启用该鉴别服务实体的认证服务器中是否存在负载小于阈值的—— Bl.如存在，则选取装置选取其中负载最小的认证服务器， B2.如不存在，则第三判断装置判断未启用该鉴别服务实体的认证服务器中是否存在负载小于阈值的——B21.如存在，则选取装置选取已启用该鉴别服务实体的认证服务器中负载最小的认证服务器；B22.如不存在，则选取装置选取未启用该鉴别服务实体的认证服务器中负载最小的认证服务器。 所述的在认证服务器集群中处理认证请求的装置，其特征在于包括判断装置，其用于当接收到认证请求时，判断集群内是否存在负载小于阈值的认证服务器，所述的选取装置进行选取时，排除在判断结果所对应的指定范围外的认证服务器。 本专利技术相对于现有技术的有益效果是 本专利技术通过在集群中不同的认证服务器中灵活地启用或配置为认证请求提供认证服务的鉴别服务实体，使集群能对多个认证请求进行处理，与在每台认证服务器都启用支持的所有鉴别服务实体相比，节省了密码计算资源和存储各类信息的存储资源，在有效节约资源的基础上实现认证服务器集群处理多个认证请求。附图说明 图1是本专利技术认证服务器集群组成示意图。具体实施例方式下面结合附图通过具体实施方式对本专利技术作进一步详细的说明。 参见图1 ，认证服务器集群包括负载均衡调度器、多台认证服务器和共享存储设备等。多台认证服务器(AS0、AS1......ASn)和负载均衡调度器通过汇聚结点(如交换机等)进行网络互联。 负载均衡调度本文档来自技高网...

【技术保护点】
在认证服务器集群中处理认证请求的方法，当接收到认证请求时，选取认证服务器处理该认证请求，其特征在于：以确保处理该认证请求的认证服务器是在指定范围内负载最低的认证服务器的策略来进行所述的选取，　　　　如果所选取的认证服务器未启动对应的鉴别服务实体，则在所选取的认证服务器中启用该鉴别服务实体后再处理该认证请求，　　　　ａ．对集群内存在负载小于阈值的认证服务器的情况，所述的指定范围是指集群内负载小于阈值的认证服务器，　　　　ｂ．对集群内所有认证服务器的负载均超过阈值的情况，所述的指定范围是指集群内所有认证服务器。

【技术特征摘要】
在认证服务器集群中处理认证请求的方法，当接收到认证请求时，选取认证服务器处理该认证请求，其特征在于以确保处理该认证请求的认证服务器是在指定范围内负载最低的认证服务器的策略来进行所述的选取，如果所选取的认证服务器未启动对应的鉴别服务实体，则在所选取的认证服务器中启用该鉴别服务实体后再处理该认证请求，a.对集群内存在负载小于阈值的认证服务器的情况，所述的指定范围是指集群内负载小于阈值的认证服务器，b.对集群内所有认证服务器的负载均超过阈值的情况，所述的指定范围是指集群内所有认证服务器。2. 根据权利要求1所述的在认证服务器集群中处理认证请求的方法，其特征在于当 接收到认证请求时，判断集群内是否有启用与所接收认证请求对应的鉴别服务实体的认证 服务器，A. 如无，则选取集群内负载最小的认证服务器；B. 如有，则判断已启用该鉴别服务实体的认证服务器中是否存在负载小于阈值的——Bl.如存在，则选取其中负载最小的认证服务器，B2.如不存在，则判断未启用该鉴别服务实体的认证服务器中是否存在负载小于阈值 的——B21.如存在，则选取已启用该鉴别服务实体的认证服务器中负载最小的认证服务 器；B22.如不存在，则选取未启用该鉴别服务实体的认证服务器中负载最小的认证服务 器。3. 根据权利要求1所述的在认证服务器集群中处理认证请求的方法，其特征在于当 接收到认证请求时，判断集群内是否存在负载小于阈值的认证服务器；进行选取时，排除在 判断结果所对应的指定范围外的认证服务器。4. 在认证服务器集群中处理认证请求的装置，其特征在于包括用于当接收到认证请求时，取在指定范围内负载最低的认证服务器处理该...

【专利技术属性】
技术研发人员：林凡，王胜男，张永强，
申请(专利权)人：广州杰赛科技股份有限公司，
类型：发明
国别省市：81[中国|广州]