專利名稱:一種安全認證的方法和設(shè)備的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及通信技術(shù)領(lǐng)域���,特別是涉及一種安全認證的方法和設(shè)備�。
背景技術(shù):
隨著社會信息化步伐的不斷提速����,網(wǎng)絡(luò)應(yīng)用不斷普及與深入����,網(wǎng)絡(luò)安全已經(jīng)超過 對網(wǎng)絡(luò)可靠性���、交換能力和服務(wù)質(zhì)量的需求�����,成為企業(yè)用戶最關(guān)心的問題�,網(wǎng)絡(luò)安全設(shè)施也 日漸成為企業(yè)網(wǎng)建設(shè)的重中之重��。在企業(yè)網(wǎng)中�����,新的安全威脅不斷涌現(xiàn)(例如���,病毒和蠕蟲 日益肆虐等),對企業(yè)網(wǎng)的破壞程度和范圍持續(xù)擴大��,經(jīng)常引起系統(tǒng)崩潰����、網(wǎng)絡(luò)癱瘓等問題�����, 使企業(yè)蒙受了嚴重損失�����。因此���,網(wǎng)絡(luò)安全(主要關(guān)注網(wǎng)絡(luò)不被攻擊,保證網(wǎng)絡(luò)中各種業(yè)務(wù)的 穩(wěn)定運行)和信息安全(主要關(guān)注合法用戶的接入��,使得接入網(wǎng)絡(luò)的用戶合法地使用網(wǎng)絡(luò)�, 并可以控制用戶向企業(yè)網(wǎng)外轉(zhuǎn)出信息,也可以對用戶進行實時以及事后審計)成為企業(yè)當 前關(guān)注的重點之一�����,而網(wǎng)內(nèi)的終端是網(wǎng)絡(luò)中最薄弱的環(huán)節(jié)�����,大部分網(wǎng)絡(luò)攻擊行為都是從終 端發(fā)起的��,且大部分的信息泄露也是從終端泄露的。因此���,加強終端的安全性成為企業(yè)的當務(wù)之急��,而為了保證企業(yè)網(wǎng)中終端的安全 狀態(tài)符合企業(yè)的安全策略����,NAC(Network Access control�,網(wǎng)絡(luò)接入控制)技術(shù)為企業(yè)提供 了一個相對完整的網(wǎng)絡(luò)安全解決方法,可以從企業(yè)網(wǎng)的終端入手�����,強制終端實施企業(yè)的安 全策略����,從而加強企業(yè)網(wǎng)終端的主動防御能力�,大幅度提高了企業(yè)網(wǎng)的整體安全。現(xiàn)有技術(shù)中����,為了保證網(wǎng)絡(luò)安全和信息安全,通常是在用戶通過身份認證后��,將自 身的安全信息組裝成報文,發(fā)送給安全認證服務(wù)器��,由安全認證服務(wù)器按照已定義的規(guī)則 檢查用戶的安全信息��,若檢查通過���,則放開用戶的網(wǎng)絡(luò)訪問權(quán)限����;若檢查不通過�����,則將用戶 的違規(guī)內(nèi)容通知給用戶��,并按照違規(guī)的級別對用戶實施不同程度的網(wǎng)絡(luò)訪問限制��。但是����,在采用上述方法進行安全檢查時,至少存在以下問題所有用戶的安全信息 都通過安全認證服務(wù)器來檢查��,當用戶數(shù)量增多時���,可導(dǎo)致安全認證服務(wù)器的壓力過大����,并 產(chǎn)生性能瓶頸;而且一旦安全認證服務(wù)器產(chǎn)生故障���,則會導(dǎo)致整個網(wǎng)絡(luò)癱瘓���,所有用戶都無 法正常接入網(wǎng)絡(luò)。
發(fā)明內(nèi)容
本發(fā)明提供一種安全認證的方法和設(shè)備�,以降低認證服務(wù)器的性能消耗,增強網(wǎng) 絡(luò)健壯性��。為了達到上述目的����,本發(fā)明提供一種安全認證的方法,應(yīng)用于包括身份認證服務(wù) 器�、安全認證服務(wù)器和多個客戶端的系統(tǒng)中,該方法包括以下步驟所述身份認證服務(wù)器從通過安全認證的客戶端中選取代理客戶端��;并將安全策略 發(fā)送給所述代理客戶端���;當有客戶端通過身份認證時�����,所述身份認證服務(wù)器或所述安全認證服務(wù)器將所述 代理客戶端的信息發(fā)送給所述客戶端�����;并由所述代理客戶端根據(jù)所述安全策略對所述客戶 端進行安全認證�。
所述身份認證服務(wù)器從通過安全認證的客戶端中選取代理客戶端���,具體包括所述身份認證服務(wù)器根據(jù)通過安全認證的客戶端的性能信息選取代理客戶端�;其中���,所述性能信息包括以下信息的一種或幾種CPU能力信息��、存儲容量信息����、 帶寬信息����、在線時間信息。所述將安全策略發(fā)送給所述代理客戶端,具體包括所述身份認證服務(wù)器根據(jù)安全策略數(shù)量和代理客戶端數(shù)量將安全策略發(fā)送給對 應(yīng)的代理客戶端��。所述身份認證服務(wù)器或所述安全認證服務(wù)器將所述代理客戶端的信息發(fā)送給所 述客戶端�����,具體包括所述身份認證服務(wù)器或所述安全認證服務(wù)器獲取所述客戶端對應(yīng)的安全策略信 息����,并根據(jù)所述安全策略信息確定對應(yīng)的代理客戶端;所述身份認證服務(wù)器或所述安全認證服務(wù)器將確定的所述代理客戶端的IP地址 發(fā)送給所述客戶端��。所述代理客戶端根據(jù)所述安全策略對所述客戶端進行安全認證�,具體包括所述客戶端根據(jù)所述代理客戶端的IP地址將自身的安全認證信息發(fā)送給所述代 理客戶端;所述代理客戶端根據(jù)所述安全策略和所述客戶端的安全認證信息對所述客戶端 進行安全認證����。所述方法還包括當所述客戶端離開網(wǎng)絡(luò)時,所述客戶端向?qū)?yīng)的代理客戶端發(fā)送下線請求�,由所 述代理客戶端將所述客戶端下線的信息通知給所述身份認證服務(wù)器;當所述代理客戶端離開網(wǎng)絡(luò)時���,所述代理客戶端向所述身份認證服務(wù)器發(fā)送下線 請求�����,由所述身份認證服務(wù)器從通過安全認證的客戶端中選取新的代理客戶端�����。本發(fā)明提供一種身份認證服務(wù)器�����,應(yīng)用于包括所述身份認證服務(wù)器�����、安全認證服 務(wù)器和多個客戶端的系統(tǒng)中����,該身份認證服務(wù)器包括選取模塊����,用于從通過安全認證的客戶端中選取代理客戶端;第一發(fā)送模塊��,用于將安全策略發(fā)送給所述選取模塊選取的所述代理客戶端�����;第二發(fā)送模塊,用于當有客戶端通過身份認證時���,將所述選取模塊選取的所述代 理客戶端的信息發(fā)送給所述客戶端����;并由所述代理客戶端根據(jù)所述安全策略對所述客戶端 進行安全認證�����。所述選取模塊���,具體用于根據(jù)通過安全認證的客戶端的性能信息選取代理客戶 端�����;其中���,所述性能信息包括以下信息的一種或幾種CPU能力信息、存儲容量信息����、 帶寬信息、在線時間信息���。所述第一發(fā)送模塊�����,具體用于根據(jù)安全策略數(shù)量和代理客戶端數(shù)量將安全策略發(fā) 送給對應(yīng)的代理客戶端��。所述第二發(fā)送模塊�,具體用于獲取所述客戶端對應(yīng)的安全策略信息��,并根據(jù)所述 安全策略信息確定對應(yīng)的代理客戶端��;以及將確定的所述代理客戶端的IP地址發(fā)送給所 述客戶端���。
還包括接收模塊�����,用于當所述客戶端離開網(wǎng)絡(luò)時���,接收所述代理客戶端轉(zhuǎn)發(fā)的所述客戶 端下線的信息;或者���,當所述代理客戶端離開網(wǎng)絡(luò)時�,接收來自所述代理客戶端的下線請 求,并由所述選取模塊從通過安全認證的客戶端中選取新的代理客戶端�����。本發(fā)明提供一種代理客戶端���,應(yīng)用于包括身份認證服務(wù)器���、安全認證服務(wù)器和多 個客戶端的系統(tǒng)中,該代理客戶端包括接收模塊����,用于接收來自所述身份認證服務(wù)器的安全策略;認證模塊��,用于根據(jù)所述接收模塊接收的所述安全策略對通過身份認證的客戶端 進行安全認證�����。所述接收模塊�,還用于接收來自所述客戶端的安全認證信息;所述認證模塊��,具體用于根據(jù)所述安全策略和所述客戶端的安全認證信息對所述 客戶端進行安全認證�。還包括發(fā)送模塊�,用于當所述客戶端離開網(wǎng)絡(luò)時�����,將所述客戶端下線的信息通知給所述 身份認證服務(wù)器�;或者,當自身離開網(wǎng)絡(luò)時����,向所述身份認證服務(wù)器發(fā)送下線請求����。與現(xiàn)有技術(shù)相比,本發(fā)明至少具有以下優(yōu)點降低了安全認證服務(wù)器的性能消耗�����,降低了安全認證服務(wù)器的壓力���,增強了網(wǎng)絡(luò) 健壯性���,避免了安全認證服務(wù)器壓力過大造成的性能瓶頸;而且網(wǎng)絡(luò)容錯性強����,避免了安全 認證服務(wù)器故障導(dǎo)致整個網(wǎng)絡(luò)癱瘓的問題����;而且充分利用了網(wǎng)絡(luò)中的閑置資源���,使得綜合 性能高的客戶端能夠承擔比普通客戶端更多的責任����。
圖1是本發(fā)明提供的一種應(yīng)用場景示意圖��;圖2是本發(fā)明提供的一種安全認證的方法流程圖����;圖3是本發(fā)明提出的一種身份認證服務(wù)器的結(jié)構(gòu)圖;圖4是本發(fā)明提出的一種代理客戶端的結(jié)構(gòu)圖����。
具體實施例方式本發(fā)明中,通過將安全認證服務(wù)器的安全認證任務(wù)分發(fā)給多個綜合性能高的客戶 端�����,從而降低認證服務(wù)器的性能消耗,降低認證服務(wù)器的壓力�����,增強網(wǎng)絡(luò)健壯性�,不會因為 認證服務(wù)器單點失效導(dǎo)致整個網(wǎng)絡(luò)癱瘓。下面結(jié)合附圖對本發(fā)明實施例進行詳細描述����。如圖1所示,為本發(fā)明應(yīng)用場景下提出的網(wǎng)絡(luò)接入控制技術(shù)方案的組網(wǎng)示意圖�。 其中身份認證服務(wù)器用于對用戶的身份進行認證,用戶將帳號�,密碼,MAC (Media Access Control�,介質(zhì)訪問控制)地址,IP (Internet Protocol����,網(wǎng)絡(luò)互連協(xié)議)地址����,余額 等信息發(fā)送給身份認證服務(wù)器進行校驗,校驗成功則用戶身份認證通過�,校驗失敗則用戶 身份認證不通過(將用戶下線)。安全認證服務(wù)器用于對用戶的安全性進行認證,用戶通過身份認證后���,安全認證服務(wù)器通過與客戶端的配合檢查用戶的安全特性���,若檢查不合格可限制用戶的網(wǎng)絡(luò)訪問權(quán) 限或直接將用戶下線;若檢查合格則用戶的安全檢查通過��。BAS (Broad Access Server����,寬帶接入服務(wù)器),是對交換機�、路由器等接入設(shè)備的 統(tǒng)稱?���?蛻舳耍渲С?02. lx�����、Portal等認證方式��,該客戶端和用戶接入管理配合可實 現(xiàn)一些高級特性��,例如,防代理���、防雙網(wǎng)卡���、通過給客戶端下發(fā)消息使得認證通過后客戶端 自動運行某一任務(wù)等。其中����,該客戶端和安全認證服務(wù)器配合可實現(xiàn)一些終端準入的安全 特性,如和防病毒軟件的聯(lián)動�,檢查可控軟件/服務(wù),補丁檢查等特性���。需要注意的是���,身份認證服務(wù)器和安全認證服務(wù)器在網(wǎng)絡(luò)中可以分別部署,也可 以部署在同一服務(wù)器上�;當二者分別部署時,則身份認證服務(wù)器和安全認證服務(wù)器實現(xiàn)各 自的功能�;當二者部署在同一服務(wù)器上�,則該服務(wù)器需要實現(xiàn)身份認證服務(wù)器和安全認證 服務(wù)器的功能,此時可認為在該服務(wù)器上具有實現(xiàn)身份認證服務(wù)器功能的功能模塊和實現(xiàn) 安全認證服務(wù)器功能的功能模塊����,即仍可認為組網(wǎng)中存在身份認證服務(wù)器和安全認證服務(wù) 器(以功能模塊的方式存在)��。為了方便描述�����,本發(fā)明中以二者分別部署為例進行說明���。基于上述組網(wǎng)情況���,如圖2所示�,本發(fā)明提出一種安全認證的方法�,該方法包括以 下步驟步驟201,身份認證服務(wù)器從通過安全認證的客戶端中選取代理客戶端��。在選取代理客戶端之前���,需要通過安全認證服務(wù)器對客戶端進行安全認證��。此時�����, 客戶端需要首先進行身份認證��,當身份認證通過后��,則需要根據(jù)安全認證服務(wù)器的IP地址 (由身份認證服務(wù)器下發(fā))到安全認證服務(wù)器上進行安全認證���,該過程本發(fā)明中不再贅述��。本發(fā)明中�����,當有客戶端通過安全認證服務(wù)器上的安全認證后�,則身份認證服務(wù)器 可從通過安全認證的客戶端中選取代理客戶端��,該選取過程可以根據(jù)實際需要任意選擇��, 如選擇前3個通過安全認證的客戶端作為代理客戶端等�。優(yōu)選的,選擇代理客戶端的數(shù)量 可以根據(jù)實際情況進行調(diào)整�,例如,選取的代理客戶端數(shù)目可由系統(tǒng)內(nèi)用戶總數(shù)決定���,可取 用戶數(shù)的1/100�����。優(yōu)選的�,身份認證服務(wù)器可根據(jù)通過安全認證的客戶端的性能信息選取代理客 戶端���;其中��,該性能信息包括但不限于以下信息的一種或幾種CPU(Central Processing Unit,中央處理器)能力信息����、存儲容量信息����、帶寬信息、在線時間信息���。具體的�����,在采用上述性能信息選取代理客戶端時��,可采用權(quán)值系數(shù)法進行選擇�,如 公式(1)所示W(wǎng) = F1*A+F2*B+F3*C+F4*D公式(1)W表示結(jié)點(即待選擇的客戶端)綜合能力權(quán)值,A表示結(jié)點的CPU能力信息��, B表示結(jié)點的存儲容量信息��,C表示結(jié)點的帶寬信息��,D表示結(jié)點的在線時間信息�����,F(xiàn)l, F2��,F(xiàn)3�,F(xiàn)4等參數(shù)表示上述各項指標的權(quán)值,且F1+F2+F3+F4 = 1���。其中��,C����,D可利用 SNMP(Simple Network Management Protocol���,簡單網(wǎng)絡(luò)管理協(xié)議)網(wǎng)絡(luò)管理中所使用的 Health Function來獲得參考值���;A���,B可由結(jié)點的系統(tǒng)信息獲取����。因此,根據(jù)各通過安全認 證的客戶端的相關(guān)信息可確定各客戶端的W����,并可以根據(jù)各客戶端的W選取中最優(yōu)的預(yù)設(shè) 個數(shù)的代理客戶端。需要注意的是���,上述計算方式是以使用CPU能力信息�����、存儲容量信息�、帶寬信息����、在線時間信息等性能信息為例進行說明,實際應(yīng)用中可使用的性能信息還可以進行調(diào)整��, 例如,使用CPU能力信息�����、存儲容量信息�����、帶寬信息計算W等����,處理方式類似,本發(fā)明中不再 詳加贅述�����。步驟202��,身份認證服務(wù)器將安全策略發(fā)送給代理客戶端���。在實際應(yīng)用中����,針對各客戶端可使用的安全策略是不同的,例如����,客戶端1希望有 更大的網(wǎng)絡(luò)訪問權(quán)限,則可使用級別較高的安全策略1對客戶端1進行安全認證��,客戶端2 只需要較低的網(wǎng)絡(luò)訪問權(quán)限���,則可使用級別較低的安全策略2對客戶端2進行安全認證;因 此���,可設(shè)置有多個安全策略對不同的客戶端進行安全認證�����。本發(fā)明中����,在將安全策略發(fā)送給代理客戶端時��,可根據(jù)安全策略數(shù)量和代理客戶 端數(shù)量將安全策略發(fā)送給對應(yīng)的代理客戶端�����。例如,假設(shè)有N個代理客戶端��,M個安全策略�, 將代理客戶端從0至N-I編號,將安全策略從0至M-I編號�����。如果N = M��,則將代理客戶端 與安全策略一一對應(yīng)下發(fā)�����。如果N < M�,則將安全策略編號對N取模,并按照余數(shù)分配給相 應(yīng)編號的代理客戶端�。如果N > M,則將代理客戶端編號對M取模�����,并將安全策略分發(fā)給余 數(shù)相同的代理客戶端����。為了實現(xiàn)上述操作����,可采用的算法如下if (N == M) {for(int i = 0 ;i < M �;i++)deploy (client [i], safestrategy [i]);}else if (N < M) {for(int i = 0 ;i < M �����;i++)deploy (client [i% N], safestrategy [i])�����;}else if (N > M) {for(int i = 0 ;i < N ���;i++)deploy (client [i], safestrategy [i % M]);}}需要注意的是��,上述發(fā)送方式只是一種優(yōu)選的發(fā)送方式����,實際應(yīng)用中可以任意調(diào) 整,只要保證所有的安全策略能夠下發(fā)到代理客戶端�,且所有的代理客戶端上均有安全策 略即可,對于其他的發(fā)送方式�,本發(fā)明中不再贅述。步驟203,身份認證服務(wù)器對客戶端進行身份認證����,并在客戶端通過身份認證時, 將代理客戶端的信息發(fā)送給該客戶端�����。其中�,當選擇了各代理客戶端之后,如果客戶端通過身份認證�����,則身份認證服務(wù)器 可以將代理客戶端的信息(如代理客戶端的IP地址)發(fā)送給該客戶端��。具體的����,由于每個客戶端可對應(yīng)自身所使用的安全策略,則身份認證服務(wù)器可獲 取到客戶端對應(yīng)的安全策略信息(在對客戶端進行身份認證時可獲知對應(yīng)的安全策略信 息)�,并根據(jù)該安全策略信息確定對應(yīng)的代理客戶端;之后�����,將確定的代理客戶端的IP地址 發(fā)送給客戶端。例如��,客戶端1需要使用安全策略1進行安全認證��,在下發(fā)安全策略時�,安 全策略1被下發(fā)到代理客戶端1上;當客戶端1進行身份認證時���,身份認證服務(wù)器可獲知客 戶端1的安全策略為安全策略1����,并獲知安全策略1被下發(fā)到代理客戶端1上��,此時��,需要將代理客戶端1的IP地址發(fā)送給客戶端1�。需要注意的是��,如果一個安全策略對應(yīng)多個代理客戶端�,則身份認證服務(wù)器可以 從多個代理客戶端中任意選擇一個,并將選擇的代理客戶端的IP地址發(fā)送給客戶端����。本發(fā)明中����,將代理客戶端的信息發(fā)送給該客戶端的方式并不局限于使用身份認證 服務(wù)器來發(fā)送���,例如�����,還可以由安全認證服務(wù)器將代理客戶端的信息發(fā)送給該客戶端�。其 中��,安全認證服務(wù)器可從身份認證服務(wù)器上獲得各個代理客戶端的相關(guān)信息(如代理客戶 端的IP地址�����、代理客戶端與安全策略信息的對應(yīng)關(guān)系等)���,以及客戶端對應(yīng)的安全策略信 息����,因此���,安全認證服務(wù)器可根據(jù)客戶端的安全策略信息確定對應(yīng)的代理客戶端����,并將確定 的代理客戶端的IP地址發(fā)送給客戶端。步驟204��,代理客戶端根據(jù)安全策略對該客戶端進行安全認證����。具體的,當接收到代理客戶端的IP地址后�����,客戶端可根據(jù)代理客戶端的IP地址將 自身的安全認證信息發(fā)送給代理客戶端���,之后���,代理客戶端根據(jù)安全策略(即身份認證服 務(wù)器下發(fā)的安全策略)和該客戶端的安全認證信息對該客戶端進行安全認證。需要說明的是��,本發(fā)明中����,為了獲知各客戶端的在線情況�,各客戶端和對應(yīng)的代理 客戶端(即為客戶端進行安全認證的代理客戶端)之間可發(fā)送心跳報文����,從而使得代理客 戶端能夠獲知客戶端的在線情況�����,繼而進行相應(yīng)的處理����。另外,為了避免代理客戶端異常離線造成部分客戶端無法上線��,身份認證服務(wù)器 與代理客戶端之間也可以通過心跳維持聯(lián)系(即發(fā)送心跳報文)�,從而使得身份認證服務(wù) 器能夠及時獲知代理客戶端的在線情況,并在代理客戶端離線時�����,重新從通過安全認證的 客戶端中選取新的代理客戶端�����,并由新的代理客戶端繼續(xù)為客戶端進行安全認證�����。本發(fā)明中,當客戶端離開網(wǎng)絡(luò)時可分兩種情況(1)當客戶端離開網(wǎng)絡(luò)時�����,則該客 戶端需要向?qū)?yīng)的代理客戶端發(fā)送下線請求����,由代理客戶端將該客戶端下線的信息通知給 身份認證服務(wù)器(即代理客戶端向身份認證服務(wù)器發(fā)送更新報文)。(2)當代理客戶端離 開網(wǎng)絡(luò)時�����,該代理客戶端向身份認證服務(wù)器發(fā)送下線請求�����,由身份認證服務(wù)器從通過安全 認證的客戶端中選取新的代理客戶端�,并將下線的代理客戶端的編號,分配的安全策略等 信息發(fā)送給新的代理客戶端��,之后將原代理客戶端下線��,并由新的代理客戶端繼續(xù)為客戶 端進行安全認證����。基于與上述方法同樣的發(fā)明構(gòu)思���,本發(fā)明還提出了一種身份認證服務(wù)器���,應(yīng)用于 包括所述身份認證服務(wù)器、安全認證服務(wù)器和多個客戶端的系統(tǒng)中����,如圖3所示,該身份認 證服務(wù)器包括選取模塊11�����,用于從通過安全認證的客戶端中選取代理客戶端��;第一發(fā)送模塊12����,用于將安全策略發(fā)送給所述選取模塊11選取的所述代理客戶 端;第二發(fā)送模塊13����,用于當有客戶端通過身份認證時,將所述選取模塊11選取的所 述代理客戶端的信息發(fā)送給所述客戶端;并由所述代理客戶端根據(jù)所述安全策略對所述客 戶端進行安全認證�����。所述選取模塊11��,具體用于根據(jù)通過安全認證的客戶端的性能信息選取代理客戶 端�;其中,所述性能信息包括以下信息的一種或幾種CPU能力信息�����、存儲容量信息�����、帶寬信 息���、在線時間信息����。
所述第一發(fā)送模塊12�,具體用于根據(jù)安全策略數(shù)量和代理客戶端數(shù)量將安全策略 發(fā)送給對應(yīng)的代理客戶端。所述第二發(fā)送模塊13����,具體用于獲取所述客戶端對應(yīng)的安全策略信息���,并根據(jù)所 述安全策略信息確定對應(yīng)的代理客戶端;以及將確定的所述代理客戶端的IP地址發(fā)送給 所述客戶端��。本發(fā)明中�,該身份認證服務(wù)器還包括接收模塊14����,用于當所述客戶端離開網(wǎng)絡(luò)時,接收所述代理客戶端轉(zhuǎn)發(fā)的所述客 戶端下線的信息��;或者���,當所述代理客戶端離開網(wǎng)絡(luò)時�����,接收來自所述代理客戶端的下線請 求�����,并由所述選取模塊11從通過安全認證的客戶端中選取新的代理客戶端�。其中,本發(fā)明裝置的各個模塊可以集成于一體��,也可以分離部署����。上述模塊可以合 并為一個模塊,也可以進一步拆分成多個子模塊�����?�;谂c上述方法同樣的發(fā)明構(gòu)思�����,本發(fā)明還提出了一種代理客戶端��,應(yīng)用于包括 身份認證服務(wù)器���、安全認證服務(wù)器和多個客戶端的系統(tǒng)中��,如圖4所示����,該代理客戶端包 括接收模塊21,用于接收來自所述身份認證服務(wù)器的安全策略����;認證模塊22,用于根據(jù)所述接收模塊21接收的所述安全策略對通過身份認證的 客戶端進行安全認證��。所述接收模塊21�����,還用于接收來自所述客戶端的安全認證信息�;所述認證模塊22�����,具體用于根據(jù)所述安全策略和所述客戶端的安全認證信息對所 述客戶端進行安全認證����。該代理客戶端還包括發(fā)送模塊23,用于當所述客戶端離開網(wǎng)絡(luò)時��,將所述客戶端下線的信息通知給所 述身份認證服務(wù)器���;或者���,當自身離開網(wǎng)絡(luò)時��,向所述身份認證服務(wù)器發(fā)送下線請求����。其中���,本發(fā)明裝置的各個模塊可以集成于一體���,也可以分離部署。上述模塊可以合 并為一個模塊��,也可以進一步拆分成多個子模塊����。通過以上的實施方式的描述,本領(lǐng)域的技術(shù)人員可以清楚地了解到本發(fā)明可以通 過硬件實現(xiàn)��,也可以借助軟件加必要的通用硬件平臺的方式來實現(xiàn)���?��;谶@樣的理解��,本發(fā) 明的技術(shù)方案可以以軟件產(chǎn)品的形式體現(xiàn)出來����,該軟件產(chǎn)品可以存儲在一個非易失性存儲 介質(zhì)(可以是⑶-ROM��,U盤��,移動硬盤等)中�,包括若干指令用以使得一臺計算機設(shè)備(可 以是個人計算機,服務(wù)器����,或者網(wǎng)絡(luò)設(shè)備等)執(zhí)行本發(fā)明各個實施例所述的方法�����。本領(lǐng)域技術(shù)人員可以理解附圖只是一個優(yōu)選實施例的示意圖��,附圖中的模塊或流 程并不一定是實施本發(fā)明所必須的��。本領(lǐng)域技術(shù)人員可以理解實施例中的裝置中的模塊可以按照實施例描述進行分 布于實施例的裝置中�,也可以進行相應(yīng)變化位于不同于本實施例的一個或多個裝置中。上 述實施例的模塊可以合并為一個模塊����,也可以進一步拆分成多個子模塊��。上述本發(fā)明序號僅僅為了描述�,不代表實施例的優(yōu)劣��。以上公開的僅為本發(fā)明的幾個具體實施例�����,但是�,本發(fā)明并非局限于此,任何本領(lǐng) 域的技術(shù)人員能思之的變化都應(yīng)落入本發(fā)明的保護范圍���。
權(quán)利要求
1.一種安全認證的方法���,應(yīng)用于包括身份認證服務(wù)器、安全認證服務(wù)器和多個客戶端 的系統(tǒng)中����,其特征在于,該方法包括以下步驟所述身份認證服務(wù)器從通過安全認證的客戶端中選取代理客戶端��;并將安全策略發(fā)送 給所述代理客戶端;當有客戶端通過身份認證時����,所述身份認證服務(wù)器或所述安全認證服務(wù)器將所述代理 客戶端的信息發(fā)送給所述客戶端;并由所述代理客戶端根據(jù)所述安全策略對所述客戶端進 行安全認證�����。
2.如權(quán)利要求1所述的方法�����,其特征在于�����,所述身份認證服務(wù)器從通過安全認證的客 戶端中選取代理客戶端��,具體包括所述身份認證服務(wù)器根據(jù)通過安全認證的客戶端的性能信息選取代理客戶端��;其中����,所述性能信息包括以下信息的一種或幾種CPU能力信息���、存儲容量信息�、帶寬 信息、在線時間信息�����。
3.如權(quán)利要求1所述的方法��,其特征在于�,所述將安全策略發(fā)送給所述代理客戶端,具 體包括所述身份認證服務(wù)器根據(jù)安全策略數(shù)量和代理客戶端數(shù)量將安全策略發(fā)送給對應(yīng)的 代理客戶端�。
4.如權(quán)利要求1所述的方法,其特征在于�,所述身份認證服務(wù)器或所述安全認證服務(wù) 器將所述代理客戶端的信息發(fā)送給所述客戶端,具體包括所述身份認證服務(wù)器或所述安全認證服務(wù)器獲取所述客戶端對應(yīng)的安全策略信息���,并 根據(jù)所述安全策略信息確定對應(yīng)的代理客戶端����;所述身份認證服務(wù)器或所述安全認證服務(wù)器將確定的所述代理客戶端的IP地址發(fā)送 給所述客戶端�����。
5.如權(quán)利要求1所述的方法�,其特征在于,所述代理客戶端根據(jù)所述安全策略對所述 客戶端進行安全認證,具體包括所述客戶端根據(jù)所述代理客戶端的IP地址將自身的安全認證信息發(fā)送給所述代理客 戶端��;所述代理客戶端根據(jù)所述安全策略和所述客戶端的安全認證信息對所述客戶端進行 安全認證���。
6.如權(quán)利要求1-5任一項所述的方法��,其特征在于�,所述方法還包括當所述客戶端離開網(wǎng)絡(luò)時��,所述客戶端向?qū)?yīng)的代理客戶端發(fā)送下線請求���,由所述代 理客戶端將所述客戶端下線的信息通知給所述身份認證服務(wù)器�����;當所述代理客戶端離開網(wǎng)絡(luò)時���,所述代理客戶端向所述身份認證服務(wù)器發(fā)送下線請 求,由所述身份認證服務(wù)器從通過安全認證的客戶端中選取新的代理客戶端�。
7.一種身份認證服務(wù)器,應(yīng)用于包括所述身份認證服務(wù)器�����、安全認證服務(wù)器和多個客 戶端的系統(tǒng)中�,其特征在于,該身份認證服務(wù)器包括選取模塊�,用于從通過安全認證的客戶端中選取代理客戶端;第一發(fā)送模塊��,用于將安全策略發(fā)送給所述選取模塊選取的所述代理客戶端���;第二發(fā)送模塊����,用于當有客戶端通過身份認證時���,將所述選取模塊選取的所述代理客 戶端的信息發(fā)送給所述客戶端�����;并由所述代理客戶端根據(jù)所述安全策略對所述客戶端進行安全認證�����。
8.如權(quán)利要求7所述的身份認證服務(wù)器����,其特征在于,所述選取模塊���,具體用于根據(jù)通過安全認證的客戶端的性能信息選取代理客戶端���;其中,所述性能信息包括以下信息的一種或幾種CPU能力信息�����、存儲容量信息����、帶寬 信息、在線時間信息��。
9.如權(quán)利要求7所述的身份認證服務(wù)器���,其特征在于��,所述第一發(fā)送模塊�,具體用于根據(jù)安全策略數(shù)量和代理客戶端數(shù)量將安全策略發(fā)送給 對應(yīng)的代理客戶端�。
10.如權(quán)利要求7所述的身份認證服務(wù)器,其特征在于����,所述第二發(fā)送模塊,具體用于獲取所述客戶端對應(yīng)的安全策略信息�,并根據(jù)所述安全 策略信息確定對應(yīng)的代理客戶端;以及將確定的所述代理客戶端的IP地址發(fā)送給所述客 戶端�。
11.如權(quán)利要求7-10任一項所述的身份認證服務(wù)器,其特征在于�����,還包括接收模塊�,用于當所述客戶端離開網(wǎng)絡(luò)時,接收所述代理客戶端轉(zhuǎn)發(fā)的所述客戶端下 線的信息�����;或者��,當所述代理客戶端離開網(wǎng)絡(luò)時���,接收來自所述代理客戶端的下線請求�����,并 由所述選取模塊從通過安全認證的客戶端中選取新的代理客戶端��。
12.—種代理客戶端�,應(yīng)用于包括身份認證服務(wù)器、安全認證服務(wù)器和多個客戶端的系 統(tǒng)中�����,其特征在于�����,該代理客戶端包括接收模塊��,用于接收來自所述身份認證服務(wù)器的安全策略��;認證模塊��,用于根據(jù)所述接收模塊接收的所述安全策略對通過身份認證的客戶端進行 安全認證���。
13.如權(quán)利要求12所述的代理客戶端���,其特征在于,所述接收模塊��,還用于接收來自所述客戶端的安全認證信息��;所述認證模塊,具體用于根據(jù)所述安全策略和所述客戶端的安全認證信息對所述客戶 端進行安全認證����。
14.如權(quán)利要求12所述的代理客戶端,其特征在于���,還包括發(fā)送模塊,用于當所述客戶端離開網(wǎng)絡(luò)時��,將所述客戶端下線的信息通知給所述身份 認證服務(wù)器����;或者,當自身離開網(wǎng)絡(luò)時����,向所述身份認證服務(wù)器發(fā)送下線請求。
全文摘要
本發(fā)明公開了一種安全認證的方法和設(shè)備��,該方法包括身份認證服務(wù)器從通過安全認證的客戶端中選取代理客戶端�;并將安全策略發(fā)送給所述代理客戶端;當有客戶端通過身份認證時���,所述身份認證服務(wù)器或安全認證服務(wù)器將所述代理客戶端的信息發(fā)送給所述客戶端���。本發(fā)明中�,降低了安全認證服務(wù)器的性能消耗���。
文檔編號H04L29/06GK102006296SQ201010560969
公開日2011年4月6日 申請日期2010年11月26日 優(yōu)先權(quán)日2010年11月26日
發(fā)明者姜朝暉 申請人:杭州華三通信技術(shù)有限公司