CN101808013B - 提高ead系统可靠性的方法和设备 - Google Patents

提高ead系统可靠性的方法和设备 Download PDF

Info

Publication number
CN101808013B
CN101808013B CN2010101384814A CN201010138481A CN101808013B CN 101808013 B CN101808013 B CN 101808013B CN 2010101384814 A CN2010101384814 A CN 2010101384814A CN 201010138481 A CN201010138481 A CN 201010138481A CN 101808013 B CN101808013 B CN 101808013B
Authority
CN
China
Prior art keywords
server
message
authentication
terminal
agent equipment
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN2010101384814A
Other languages
English (en)
Other versions
CN101808013A (zh
Inventor
王丰恺
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
New H3C Technologies Co Ltd
Original Assignee
Hangzhou H3C Technologies Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hangzhou H3C Technologies Co Ltd filed Critical Hangzhou H3C Technologies Co Ltd
Priority to CN2010101384814A priority Critical patent/CN101808013B/zh
Publication of CN101808013A publication Critical patent/CN101808013A/zh
Application granted granted Critical
Publication of CN101808013B publication Critical patent/CN101808013B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

本发明提供一种提高终端准入控制EAD系统可靠性的方法和设备,该方法包括:AAA服务器通过心跳报文分别检测所述安全策略服务器和安全策略代理设备的状态;若检测到所述安全策略服务器和安全策略代理设备故障,所述AAA服务器取消在向终端发送的身份认证通过报文中携带安全认证信息,并在所述身份认证通过报文中携带权限扩大的接入控制列表;所述AAA服务器根据所述权限扩大的接入控制列表控制所述终端进行网络接入。本发明实现了在无法对用户终端执行安全策略认证时保证用户终端的正常网络接入。

Description

提高EAD系统可靠性的方法和设备
技术领域
本发明涉及通信领域,尤其涉及一种提高EAD系统可靠性的方法和设备。 
背景技术
随着社会的信息化步伐不断提速,网络应用的不断普及与深入,网络安全成为了企业用户特别关心的问题。如图1所示,现有技术中的EAD(End userAdmission Domination,终端准入控制)系统通常由AAA(Authentication,Authorization,Accounting,认证,授权,记帐)服务器、EAD Server(安全策略服务器)、EAD Proxy(安全策略代理设备)、接入设备和终端组成。其中,AAA服务器对终端进行身份认证,EAD Server和EAD Proxy对终端进行安全策略认证。 
结合图2所示,终端在EAD系统的接入流程包括:终端向接入设备发送接入请求,接入设备向AAA服务器发送终端的身份认证请求,AAA服务器对终端进行身份认证通过后,在向终端发送的Accounting-Response(认证响应)报文中携带隔离ACL(Access Control List,接入控制列表)和EAD Proxy的IP地址和端口号,接入设备根据隔离ACL可以控制终端接入隔离区(如图1所示),并根据Accounting-Response报文中携带的安全认证信息(例如EADProxy的IP地址和端口号)向EAD Proxy发送安全认证请求。此时接入设备控制终端只能访问一个受限的网络区域(隔离区),该隔离区通常包括补丁服务器或者防病毒服务器。EAD Proxy向EAD Server转发安全认证请求(为了提高EAD Server的安全,将EAD Server布置在内网,由外网的EAD Proxy向EAD Server转发安全认证请求),安全认证通过后,接入设备接收EADProxy发送的安全认证通过报文,根据安全认证通过报文携带的ACL控制终端接入隔离区以外的网络,例如Internet。 
但是目前的网络安全方案中,一旦EAD Server或者EAD Proxy出现故障, 用户就无法进行安全认证,导致只能访问隔离区的资源或者下线,即使正常用户也无法使用隔离区以外的其他网络资源。 
现有技术中提供了一种主备切换的网络安全方案,如图3所示,其原理为:一个系统中部署两套Radius Server(Remote Authentication Dial In UserService Server,远程用户拨号认证系统服务器)、EAD Proxy和EAD Server,在主服务器的RADIUS Server侧启动一个探测线程,该线程模拟终端定时向EAD Server发送心跳报文,通过EAD Server回应报文的情况来判断EADServer是否正常工作。当探测线程发现EAD Server没有回应报文,则通知RADIUS Server的接收线程停止接收接入设备发送的RADIUS报文,这样接入设备因为没有收到RADIUS Server的响应报文而发生主备切换动作到备服务器上认证,从而实现安全认证系统的主备切换。发生主备切换后,主服务器上RADIUS Server的探测线程继续工作,不断尝试向EAD Server发送心跳报文,当EAD Server能够正常回应RADIUS Server的请求报文时,探测线程通知接收线程恢复接收接入设备发送的RADIUS报文。接入设备检测到主服务器的RADIUS Server可以正常回应报文,从备安全认证系统的RADIUSServer切换回主安全认证系统的RADIUS Server。 
但是,这种主备切换的网络安全方案需要部署两套EAD系统,实施成本高,而且不适用于只有一套EAD系统的情况,而该情况是当前市场上的主流应用,同时,该方案仅考虑了EAD Server的主备切换,当EAD Proxy出现故障时,仍然不能避免业务中断的网络事故。 
发明内容
本发明提供了一种提高终端准入控制EAD系统可靠性的方法和设备,实现在无法对用户终端执行安全策略认证时保证用户终端的正常网络接入。 
本发明提供了一种提高终端准入控制EAD系统可靠性的方法,应用于对终端进行安全认证和身份认证的系统中,认证、授权与计费AAA服务器对终端进行身份认证,安全策略服务器和安全策略代理设备对终端进行安全认证,该方法包括以下步骤: 
所述AAA服务器通过心跳报文分别检测所述安全策略服务器和安全策略代理设备的状态; 
若检测到所述安全策略服务器和/或安全策略代理设备故障,所述AAA服务器取消在向终端发送的身份认证通过报文中携带安全认证信息,并在所述身份认证通过报文中携带权限扩大的接入控制列表; 
所述AAA服务器根据所述权限扩大的接入控制列表控制所述终端直接进行网络接入; 
检测到所述安全策略服务器和/或安全策略代理设备故障之后,还包括: 
所述AAA服务器查找存储的已通过安全认证的终端信息; 
所述AAA服务器根据查找到的终端信息通知对应终端停止向所述安全策略服务器和安全策略代理设备发送心跳报文。 
所述取消在向终端发送的身份认证通过报文中携带安全认证信息包括: 
取消在所述认证通过报文中携带所述安全策略代理设备的IP地址和端口号。 
所述权限扩大的接入控制列表具体为与所述终端通过安全认证后对应的接入控制列表。 
检测到所述安全策略服务器和/或安全策略代理设备故障之后,还包括: 
所述AAA服务器继续通过心跳报文检测安全策略服务器和安全策略代理设备的状态; 
若检测到发生故障的安全策略服务器和安全策略代理设备恢复正常,所述AAA服务器在向终端发送的身份认证通过报文中携带所述安全认证信息,并在所述身份认证通过报文中取消携带所述权限扩大的接入控制列表。 
还包括: 
所述AAA服务器检测到所述安全策略服务器和安全策略代理设备恢复正常后,通知对应终端恢复向所述安全策略服务器和安全策略代理设备发送心跳报文。 
本发明提供一种认证、授权和记帐AAA服务器,应用于对终端进行安全 认证和身份认证的系统中,所述AAA服务器对终端进行身份认证,安全策略服务器和安全策略代理设备对终端进行安全认证,该服务器包括: 
收发单元,用于向所述安全策略服务器和安全策略代理设备发送心跳检测报文,并接收所述安全策略服务器和安全策略代理设备发送的心跳响应报文; 
检测单元,与所述收发单元连接,用于所述收发单元在预设次数内没有接收到心跳响应报文时,判断所述安全策略服务器和/或安全策略代理设备故障; 
处理单元,与所述检测单元连接,用于所述检测单元检测到故障发生时,取消在向终端发送的身份认证通过报文中携带安全认证信息,并在所述身份认证通过报文中携带权限扩大的接入控制列表; 
还包括存储单元,用于存储已通过安全认证的终端信息; 
还包括查找单元,与所述收发单元、存储单元和检测单元连接,用于所述检测单元检测到所述安全策略服务器和/或安全策略代理设备故障之后,查找所述存储单元存储的已通过安全认证的终端信息,并根据查找到的终端信息通过收发单元通知对应终端停止向所述安全策略服务器和安全策略代理设备发送心跳报文。 
所述处理单元还用于: 
取消在所述认证通过报文中携带所述安全策略代理设备的IP地址和端口号。 
所述权限扩大的接入控制列表具体为与所述终端通过安全认证后对应的接入控制列表。 
所述检测单元还用于:所述收发单元在预设次数内接收到发生故障的所述安全策略服务器和安全策略代理设备发送的心跳响应报文时,判断所述安全策略服务器和安全策略代理设备恢复正常; 
所述处理单元还用于:当所述检测单元检测到发生故障的安全策略服务器和安全策略代理设备恢复正常时,在向通过认证的终端发送的身份认证通过报文中携带所述安全认证信息,并在所述身份认证通过报文中取消携带所 述权限扩大的接入控制列表。 
所述收发单元还用于: 
在所述安全策略服务器和安全策略代理设备恢复正常后,通知对应终端恢复向所述安全策略服务器和安全策略代理设备发送心跳报文。 
与现有技术相比,本发明至少具有以下优点: 
AAA服务器通过心跳报文检测安全策略服务器和安全策略代理设备的状态,在检测到安全策略服务器和/或安全策略代理设备故障时,AAA服务器取消在向终端发送的身份认证通过报文中携带安全认证信息,并在身份认证通过报文中携带权限扩大的接入控制列表,由接入设备根据该扩大的接入控制列表控制终端接入网络,从而实现在安全策略服务器或者安全策略代理设备故障时用户终端对网络的正常使用。 
附图说明
图1是现有技术中的网络安全方案的结构示意图; 
图2是现有技术中网络安全方案的流程示意图; 
图3是现有技术中主备切换的网络安全方案示意图; 
图4是本发明提供的提高终端准入控制EAD系统可靠性的方法的流程示意图; 
图5是本发明应用场景中当EAD Server和EAD Proxy正常工作时的流程示意图; 
图6是本发明应用场景中当EAD Server和EAD Proxy工作异常时的流程示意图; 
图7是本发明提供的AAA服务器的结构示意图。 
具体实施方式
本发明的核心思想是:在安全策略服务器和/或者安全策略代理设备故障时,取消对用户终端的安全策略认证,使用户终端可以通过AAA服务器发送 的扩大的接入控制列表直接接入隔离区以外的网络。 
本发明提供一种提高终端准入控制EAD系统可靠性的方法,应用于对终端进行安全认证和身份认证的系统中,认证、授权与计费AAA服务器对终端进行身份认证,安全策略服务器和安全策略代理设备对终端进行安全认证,如图4所示,该方法包括以下步骤: 
步骤401,所述AAA服务器通过心跳报文分别检测所述安全策略服务器和安全策略代理设备的状态; 
步骤402,若检测到所述安全策略服务器和/或安全策略代理设备故障,所述AAA服务器取消在向终端发送的身份认证通过报文中携带安全认证信息,并在所述身份认证通过报文中携带权限扩大的接入控制列表; 
步骤403,所述AAA服务器根据所述权限扩大的接入控制列表控制所述终端直接进行网络接入。 
下面结合具体应用场景对本发明提供的提高终端准入控制EAD系统可靠性的方法进行详细介绍。 
结合图1所示,该场景中以同时包括EAD Server和EAD Proxy为例。 
首先介绍当EAD Server和EAD Proxy正常工作时的流程,如图5所示,包括以下步骤: 
步骤501,RADIUS Server启动一个探测线程。 
步骤502,RADIUS Server通过探测线程向EAD Server和EAD Proxy发送心跳请求报文。 
具体的,探测线程中预先设置心跳请求报文的发送周期,以及故障判断的标准,例如3个发送周期内没有接收到对端发送的心跳响应报文时,则判断对端故障。 
RADIUS Server需要向EAD Server和EAD Proxy分别发送心跳请求报文,该心跳请求报文可以同时发送或者间隔发送。RADIUS Server内还设置定时器统计报文发送时间,并记录没有接收到对端反馈的心跳响应报文的时间。 RADIUS Server可以为EAD Server和EAD Proxy设置同一个定时器,或者分别设置定时器。 
步骤503,EAD Server和EAD Proxy向RADIUA Server发送心跳回应报文。 
EAD Server和EAD Proxy接收到RADIUS Server发送的心跳请求报文,直接向RADIUS Server发送心跳回应报文。 
RADIUS Server在设定的等待时间内收到心跳回应报文,判断EAD Server和EAD Proxy工作正常。 
下面介绍当EAD Server和/或EAD Proxy工作异常时的流程,如图6所示,包括以下步骤: 
步骤601,RADIUS Server定时向EAD Server和EAD Proxy发送心跳请求报文。 
具体的,RADIUS Server可以向EAD Server和EAD Proxy发送心跳请求报文,检测EAD Server和/或EAD Proxy的工作状态。 
步骤602,RADIUS Server在预定次数或时间内没有接收到EAD Server和/或EAD Proxy发送的心跳响应报文,判定EAD Server和/或EAD Proxy工作异常。 
具体的,RADIUS Server的探测线程中预先设置故障判断的标准,如果在预设次数(心跳请求报文的发送次数)或者时间内没有接收到EAD Server和/或EAD Proxy发送的心跳响应报文,则判定EAD Server和/或EAD Proxy工作异常。具体的,RADIUS Server没有收到EAD Server和/或EAD Proxy发送的心跳响应报文可以是没有收到EAD Server和EAD Proxy发送的心跳响应报文,此时RADIUS Server判断EAD Server和EAD Proxy均故障;RADIUSServer也可以没有收到其中之一(例如EAD Proxy)发送的心跳响应报文,此时RADIUS Server判断EAD Server或EAD Proxy故障。 
步骤603,RADIUS Server对终端的身份认证通过后,取消在向终端发送的身份认证通过报文中携带安全认证信息,并在身份认证通过报文中携带权 限扩大的接入控制列表,并根据所述权限扩大的接入控制列表控制所述终端直接进行网络接入。 
具体的,用户终端接入网络时首先需要进行身份认证,该身份认证由接入设备将用户终端的网络接入请求发送到RADIUS Server进行。在现有技术方案中,如果RADIUS Server判断用户终端为合法用户,在需要进行安全策略认证时RADIUS Server会在向用户终端发送的Accounting-Response报文中携带安全认证信息,例如EAD Proxy的IP地址和端口号,用户终端根据其中的IP地址和端口号进一步向EAD Server或者EAD Proxy发送报文进行安全策略认证。本发明方案步骤603中,RADIUS Server在向用户终端发送的Accounting-Response报文中取消携带EAD Proxy的IP地址和端口号,使用户终端不再向EAD Proxy和EAD Server进行安全认证。Accounting-Response报文中还携带权限扩大的接入控制列表,该权限扩大的接入控制列表可以使用户终端接入隔离区以外的网络资源,例如可以设置为与用户终端在通过安全认证后对应的接入控制列表(例如安全ACL)相同,该权限扩大的接入控制列表由用户根据实际需要在RADIUS Server中配置,不同的用户对应不同的权限扩大的接入控制列表。在本步骤中,RADIUS Server在用户终端通过身份认证后,根据用户终端的标识信息(例如用户名)查找与用户终端对应的权限扩大的控制列表,将查找到的权限扩大的控制列表向用户终端发送,并进一步根据所述权限扩大的接入控制列表控制所述终端直接进行网络接入,即通过该权限扩大的接入控制列表使用户终端通过接入设备直接进行网络接入。 
需要说明的是,在本发明方案中,由于用户终端在安全认证通过后会继续与EAD Server和EAD Proxy保持心跳,如果长时间接收不到EAD Server和/或EAD Proxy的心跳回应报文,已经在线的用户终端会下线。所以,RADIUS Server在EAD Server和/或EAD Proxy出现故障后,需要通知安全认证通过的在线用户终端停止与EAD Server和EAD Proxy的心跳检测。具体的,RADIUS Server中存储有通过安全认证的用户终端的信息,例如通过安全认证的用户终端列表,该列表中存储有用户终端的用户名和IP地址、认证时间等 标识信息。RADIUS Server查找该用户终端的信息,获取已经通过安全认证的用户终端的IP地址,向对应的用户终端发送消息通知用户终端取消与EADServer和EAD Proxy的心跳检测,该消息可以为RADIUS协议报文或者配置的私有报文。当然,如果预先配置通过认证的用户终端在无法接收到EADServer和/或EAD Proxy发送的心跳回应报文时,依然继续网络接入而不是下线,则RADIUS Server在EAD Server和/或EAD Proxy出现故障后,可以不通知安全认证通过的用户终端停止与EAD Server和EAD Proxy的心跳检测。 
步骤604,RADIUS Server继续向EAD Server和EAD Proxy发送心跳请求报文,若检测到发生故障的EAD Server和EAD Proxy发送的心跳响应报文,执行步骤605。 
步骤605,RADIUS Server在向终端发送的身份认证通过报文中携带安全认证信息,取消在身份认证通过报文中携带权限扩大的接入控制列表。 
具体地,假定在步骤602中RADIUS Server在预设次数内接收到EADProxy发送的心跳响应报文,但是没有接收到EAD Server发送的心跳响应报文,判断EAD Server故障,取消对用户终端的安全策略认证;若步骤604中RADIUS Server在预设次数内重新接收到EAD Server发送的心跳响应报文,则判断EAD Server恢复正常,若此时EAD Proxy也处于正常状态,即RADIUSServer在预设次数内接收到发生故障的EAD Server和EAD Proxy发送的心跳响应报文,判断发生故障的EAD Server和EAD Proxy恢复正常。RADIUSServer在通过身份认证的用户终端的Accounting-Response报文中携带安全认证信息,例如EAD Proxy的IP地址和端口号,恢复对用户终端的安全策略认证,并取消在身份认证通过报文中携带权限扩大的接入控制列表,而是携带隔离控制列表。 
步骤603中,RADIUS Server在EAD Server和/或EAD Proxy出现故障后,需要通知安全认证通过的用户终端停止与EAD Server或者EAD Proxy的心跳检测。本步骤中,RADIUS Server在发生故障的EAD Server和/或EAD Proxy恢复正常后,即EAD Server和EAD Proxy同时正常后,RADIUS Server可以通知通过安全认证的用户终端恢复与EAD Server和EAD Proxy的心跳检测 (通知方式同步骤603中类似),也可以不发送通知,而只是后续通过安全认证的用户终端与EAD Server和EAD Proxy进行心跳检测。 
本发明应用场景中,RADIUS Server在EAD Server和/或EAD Proxy发生故障时还可以在步骤603发送告警,例如RADIUS Server通过监控线程发送trap(捕捉)报文到RADIUS Server所在IMC(Internet Management Control,网络管理控制)平台的告警处理模块,通知系统管理员进行故障处理。 
对于那些关注网络安全性高于网络可用性的用户,本发明方案还可以提供使用原有方案的选项,即不启用EAD逃生。为此,在本发明方案RADIUSServer内设置选择EAD逃生功能启用或者不启用的配置参数。只有系统配置为启用EAD逃生功能时RADIUS Server才启动探测线程定时向EAD Server和EAD Proxy发送心跳请求报文,并在EAD Server和/或者EAD Proxy故障时取消安全策略认证。 
通过采用本发明提供的方法,AAA服务器通过心跳报文检测安全策略服务器和安全策略代理设备的状态,在检测到安全策略服务器和/或安全策略代理设备故障时,AAA服务器取消在向终端发送的身份认证通过报文中携带安全认证信息,并在身份认证通过报文中携带权限扩大的接入控制列表,由接入设备根据该扩大的接入控制列表控制终端接入网络,从而实现在安全策略服务器或者安全策略代理设备故障时用户终端对网络的正常使用。 
本发明提供了一种AAA服务器,应用于对终端进行安全认证和身份认证的系统中,所述AAA服务器对终端进行身份认证,安全策略服务器和安全策略代理设备对终端进行安全认证,如图7所示,该服务器包括: 
收发单元11,用于向所述安全策略服务器和安全策略代理设备发送心跳检测报文,并接收所述安全策略服务器和安全策略代理设备发送的心跳响应报文; 
检测单元12,与所述收发单元11连接,用于所述收发单元11在预设次数内没有接收到心跳响应报文时,判断所述安全策略服务器和/或安全策略代 理设备故障。当所述收发单元11在预设次数内接收到发生故障的所述安全策略服务器和安全策略代理设备发送的心跳响应报文时,所述检测单元12还用于判断所述安全策略服务器和安全策略代理设备恢复正常。 
处理单元13,与所述检测单元13连接,用于所述检测单元12检测到故障发生时,取消在向终端发送的身份认证通过报文中携带安全认证信息,并在所述身份认证通过报文中携带权限扩大的接入控制列表,并进一步根据所述权限扩大的接入控制列表控制所述终端直接进行网络接入。 
具体的,所述处理单元13用于,在所述检测单元12检测到故障发生时,取消在所述认证通过报文中携带所述安全策略代理设备的IP地址和端口号。所述权限扩大的接入控制列表具体为与所述终端通过安全认证后对应的接入控制列表。进一步地,当所述检测单元12检测到发生故障的安全策略服务器和安全策略代理设备恢复正常时,所述处理单元13还用于在向通过认证的终端发送的身份认证通过报文中携带所述安全认证信息,并在所述身份认证通过报文中取消携带所述权限扩大的接入控制列表。 
本发明提供的AAA服务器,还包括: 
存储单元14,用于存储已通过安全认证的终端信息; 
查找单元15,与所述收发单元11、存储单元14和检测单元12连接,用于所述检测单元12检测到所述安全策略服务器和/或安全策略代理设备故障之后,查找所述存储单元14存储的已通过安全认证的终端信息;并根据查找到的终端信息通过收发单元11通知对应终端停止向所述安全策略服务器和安全策略代理设备发送心跳报文。可选的,所述收发单元11还可以用于在所述安全策略服务器和安全策略代理设备恢复正常后,通知对应终端恢复向所述安全策略服务器和安全策略代理设备发送心跳报文。 
通过采用本发明提供的设备,AAA服务器通过心跳报文检测安全策略服务器和安全策略代理设备的状态,在检测到安全策略服务器和/或安全策略代理设备故障时,AAA服务器取消在向终端发送的身份认证通过报文中携带安全认证信息,并在身份认证通过报文中携带权限扩大的接入控制列表,由接入设备根据该扩大的接入控制列表控制终端直接接入网络,从而实现在安全 策略服务器或者安全策略代理设备故障时用户终端对网络的正常使用。 
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到本发明可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述的方法。 
本领域技术人员可以理解附图只是一个优选实施例的示意图,附图中的模块或流程并不一定是实施本发明所必须的。 
本领域技术人员可以理解实施例中的装置中的模块可以按照实施例描述进行分布于实施例的装置中,也可以进行相应变化位于不同于本实施例的一个或多个装置中。上述实施例的模块可以合并为一个模块,也可以进一步拆分成多个子模块。 
上述本发明实施例序号仅仅为了描述,不代表实施例的优劣。 
以上公开的仅为本发明的几个具体实施例,但是,本发明并非局限于此,任何本领域的技术人员能思之的变化都应落入本发明的保护范围。 

Claims (10)

1.一种提高终端准入控制EAD系统可靠性的方法,应用于对终端进行安全认证和身份认证的系统中,认证、授权与计费AAA服务器对终端进行身份认证,安全策略服务器和安全策略代理设备对终端进行安全认证,其特征在于,该方法包括以下步骤:
所述AAA服务器通过心跳报文分别检测所述安全策略服务器和安全策略代理设备的状态;
若检测到所述安全策略服务器和/或安全策略代理设备故障,所述AAA服务器取消在向终端发送的身份认证通过报文中携带安全认证信息,并在所述身份认证通过报文中携带权限扩大的接入控制列表;
所述AAA服务器根据所述权限扩大的接入控制列表控制所述终端直接进行网络接入;
在检测到所述安全策略服务器和/或安全策略代理设备故障之后,还包括:
所述AAA服务器查找存储的已通过安全认证的终端信息;
所述AAA服务器根据查找到的终端信息通知对应终端停止向所述安全策略服务器和安全策略代理设备发送心跳报文。
2.如权利要求1所述的方法,其特征在于,所述取消在向终端发送的身份认证通过报文中携带安全认证信息包括:
取消在所述认证通过报文中携带所述安全策略代理设备的IP地址和端口号。
3.如权利要求1所述的方法,其特征在于,所述权限扩大的接入控制列表具体为与所述终端通过安全认证后对应的接入控制列表。
4.如权利要求1-3中任一项所述的方法,其特征在于,检测到所述安全策略服务器和/或安全策略代理设备故障之后,还包括:
所述AAA服务器继续通过心跳报文检测安全策略服务器和安全策略代理设备的状态;
若检测到发生故障的安全策略服务器和安全策略代理设备恢复正常,所述AAA服务器在向终端发送的身份认证通过报文中携带所述安全认证信息,并在所述身份认证通过报文中取消携带所述权限扩大的接入控制列表。
5.如权利要求1所述的方法,其特征在于,还包括:
所述AAA服务器检测到所述安全策略服务器和安全策略代理设备恢复正常后,通知对应终端恢复向所述安全策略服务器和安全策略代理设备发送心跳报文。
6.一种认证、授权和记帐AAA服务器,应用于对终端进行安全认证和身份认证的系统中,所述AAA服务器对终端进行身份认证,安全策略服务器和安全策略代理设备对终端进行安全认证,其特征在于,该服务器包括:
收发单元,用于向所述安全策略服务器和安全策略代理设备发送心跳检测报文,并接收所述安全策略服务器和安全策略代理设备发送的心跳响应报文;
检测单元,与所述收发单元连接,用于所述收发单元在预设次数内没有接收到心跳响应报文时,判断所述安全策略服务器和/或安全策略代理设备故障;
处理单元,与所述检测单元连接,用于所述检测单元检测到故障发生时,取消在向终端发送的身份认证通过报文中携带安全认证信息,并在所述身份认证通过报文中携带权限扩大的接入控制列表;
存储单元,用于存储已通过安全认证的终端信息;
查找单元,与所述收发单元、存储单元和检测单元连接,用于所述检测单元检测到所述安全策略服务器和/或安全策略代理设备故障之后,查找所述存储单元存储的已通过安全认证的终端信息,并根据查找到的终端信息通过收发单元通知对应终端停止向所述安全策略服务器和安全策略代理设备发送心跳报文。
7.如权利要求6所述的AAA服务器,其特征在于,所述处理单元还用于:
取消在所述认证通过报文中携带所述安全策略代理设备的IP地址和端口号。
8.如权利要求6所述的AAA服务器,其特征在于,所述权限扩大的接入控制列表具体为与所述终端通过安全认证后对应的接入控制列表。
9.如权利要求6-8中任一项所述的AAA服务器,其特征在于,
所述检测单元还用于:所述收发单元在预设次数内接收到发生故障的所述安全策略服务器和安全策略代理设备发送的心跳响应报文时,判断所述安全策略服务器和安全策略代理设备恢复正常;
所述处理单元还用于:当所述检测单元检测到发生故障的安全策略服务器和安全策略代理设备恢复正常时,在向通过认证的终端发送的身份认证通过报文中携带所述安全认证信息,并在所述身份认证通过报文中取消携带所述权限扩大的接入控制列表。
10.如权利要求6所述的AAA服务器,其特征在于,所述收发单元还用于:
在所述安全策略服务器和安全策略代理设备恢复正常后,通知对应终端恢复向所述安全策略服务器和安全策略代理设备发送心跳报文。
CN2010101384814A 2010-04-02 2010-04-02 提高ead系统可靠性的方法和设备 Active CN101808013B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN2010101384814A CN101808013B (zh) 2010-04-02 2010-04-02 提高ead系统可靠性的方法和设备

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN2010101384814A CN101808013B (zh) 2010-04-02 2010-04-02 提高ead系统可靠性的方法和设备

Publications (2)

Publication Number Publication Date
CN101808013A CN101808013A (zh) 2010-08-18
CN101808013B true CN101808013B (zh) 2012-09-26

Family

ID=42609634

Family Applications (1)

Application Number Title Priority Date Filing Date
CN2010101384814A Active CN101808013B (zh) 2010-04-02 2010-04-02 提高ead系统可靠性的方法和设备

Country Status (1)

Country Link
CN (1) CN101808013B (zh)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103166960A (zh) * 2013-03-01 2013-06-19 北京神州绿盟信息安全科技股份有限公司 接入控制方法及装置
CN105577674B (zh) * 2015-12-30 2019-01-22 深信服科技股份有限公司 网络访问控制方法及准入设备

Also Published As

Publication number Publication date
CN101808013A (zh) 2010-08-18

Similar Documents

Publication Publication Date Title
CN102413456B (zh) 基于运营网络的用户终端防盗方法、装置和系统
CN102624677B (zh) 一种网络用户行为监控方法及服务器
CN101179583B (zh) 一种防止用户假冒上网的方法及设备
CN105095746A (zh) 应用程序启动鉴权方法及装置
CN101667933A (zh) 一种安全认证系统及其主备切换方法和设备
US20110078311A1 (en) Network communication device and automatic reconnection method
CN101557405A (zh) 一种入口认证方法及其对应的网关设备、服务器
CN101778019A (zh) 一种心跳检测报文的发送方法和设备
CN102427472A (zh) 远程控制移动通讯设备的装置与方法
CN102882676A (zh) 物联网设备端安全接入方法及系统
CN111077883A (zh) 一种基于can总线的车载网络安全防护方法及装置
CN111555920B (zh) 一种智能运维方法、系统、设备和用户端
CN109120599A (zh) 一种外联管控系统
CN104065921A (zh) 安防广域网嵌入式监测设备及其控制方法
CN111934913A (zh) 一种智能网络管理系统
CN102752289A (zh) 一种用于用电信息采集系统的主站
CN103888465A (zh) 一种网页劫持检测方法及装置
CN101808013B (zh) 提高ead系统可靠性的方法和设备
CN102045310B (zh) 一种工业互联网入侵检测和防御方法及其装置
CN102932811A (zh) 检测丢失终端的方法及系统
CN101729310A (zh) 实现业务监控的方法、系统以及信息获取设备
CN107800715B (zh) 一种Portal认证方法及接入设备
CN103476025A (zh) 进程管理方法及系统、移动终端
CN112152895A (zh) 智能家居设备控制方法、装置、设备及计算机可读介质
CN116319803A (zh) 一种云边协同分布式api调用方法及系统

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
C14 Grant of patent or utility model
GR01 Patent grant
CP03 Change of name, title or address
CP03 Change of name, title or address

Address after: 310052 Binjiang District Changhe Road, Zhejiang, China, No. 466, No.

Patentee after: Xinhua three Technology Co., Ltd.

Address before: 310053 Hangzhou hi tech Industrial Development Zone, Zhejiang province science and Technology Industrial Park, No. 310 and No. six road, HUAWEI, Hangzhou production base

Patentee before: Huasan Communication Technology Co., Ltd.