CN109639746B - 一种面向安全认证传输网关集群的负载均衡方法 - Google Patents
一种面向安全认证传输网关集群的负载均衡方法 Download PDFInfo
- Publication number
- CN109639746B CN109639746B CN201710927781.2A CN201710927781A CN109639746B CN 109639746 B CN109639746 B CN 109639746B CN 201710927781 A CN201710927781 A CN 201710927781A CN 109639746 B CN109639746 B CN 109639746B
- Authority
- CN
- China
- Prior art keywords
- server
- authentication
- transmission
- load balancing
- security
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
- H04L67/1001—Protocols in which an application is distributed across nodes in the network for accessing one among a plurality of replicated servers
- H04L67/1036—Load balancing of requests to servers for services different from user content provisioning, e.g. load balancing across domain name servers
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0807—Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0815—Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/168—Implementing security features at a particular protocol layer above the transport layer
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/50—Network services
- H04L67/60—Scheduling or organising the servicing of application requests, e.g. requests for application data transmissions using the analysis and optimisation of the required network resources
Abstract
本发明涉及高增长、大并发业务需求下的安全认证传输方法,公开了一种面向安全认证传输网关集群的负载均衡方法。传统网关的集群方案,需要依赖外部的负载均衡设备或设备本身的第三方负载均衡软件实现,灵活性不高,性能的损失也很大。本发明提供一种基于安全认证传输网关自身特点的负载均衡方案,结合认证、资源分配,实现多传输服务器的负载均衡访问,其优点在于:1)可同时支持几十万的用户进行并发访问,用户负载会均衡到不同安全传输服务器上。2)可动态加入安全传输服务器,线性提升负载能力。3)如果某台安全传输服务器出现故障,客户端连接可无缝切入到另外的安全传输服务器,保障业务的正常运行。
Description
技术领域
本发明涉及高增长、大并发业务需求下的安全认证传输方法,尤其涉及一种面向安全认证传输网关集群的负载均衡方法。
背景技术
随着信息技术的推广及使用范围的扩大,很多关键业务系统需要基于互联网及移动互联网进行远程访问,为了保护业务系统的安全,需要安全认证传输网关对业务系统进行统一认证、加密及访问控制。当访问用户达到一定规模后,传统的单一网关已不能满足性能要求,需要增加多台设备集群使用。
传统网关的集群方案,需要依赖外部的负载均衡设备或设备本身的第三方负载均衡软件实现,灵活性不高,性能的损失也很大。
发明内容
本发明的目的是克服现有方法的不足,提供一种基于安全认证传输网关自身特点的负载均衡方案,结合认证、资源分配,实现多传输服务器的负载均衡访问,满足高增长、大并发的业务需求。
其具体实现包括三个组成部分:认证服务器、调度服务器和安全传输服务器。
认证服务器完成客户认证、授权、单点登录、访问资源申请等功能,双机热备部署。调度服务器完成安全传输服务器的管理、监控、审计、调度及地址资源分配,双机热备部署。安全传输服务器完成安全传输的SSL通讯、访问控制、网络接入功能,根据业务负载一台或多台部署。
由认证服务器、调度服务器和安全传输服务器构成的安全认证传输网关,可以支持安全传输服务器的动态加入、负载均衡和运行状态管理,其工作步骤如下:
1)安全传输服务器启动后,注册到调度服务器,调度服务器对安全传输服务器的IP地址、端口、地址资源(地址池、在用地址、空闲地址)、状态进行管理。
2)用户通过浏览器访问网关时,先访问认证服务器进行认证。
3)认证服务器向调度服务器请求用户配置信息,调度服务器返回可访问的安全传输服务器地址信息及客户端网络配置信息(虚拟地址、掩码、网关、DNS等)。
4)浏览器通过认证控件启动安全认证客户端,并传递票据、访问控制列表、客户网络配置信息、安全传输服务器信息。
5)安全认证客户端连接到指定的安全传输服务器,建立SSL加密隧道,进行登录并传递票据。
6)安全传输服务器得到用户的登录信息后,向调度服务器验证客户票据。
7)客户端完成本地网络配置后,浏览器附带票据,重定向到业务系统。
8)业务系统将票据发送到认证服务器进行二次验证,如验证通过,则返回用户信息,登录过程完成,开始正常的业务访问。
所述的步骤1)中,调度服务器可同时管理多个安全传输服务器,支持安全传输服务器的动态注册及退出。
所述的步骤2)中,可使用账号密码、数字证书、Radius、LDAP等多种方式进行认证。
所述的步骤3)中,调度服务器根据安全传输服务器的负载能力和接入用户数,进行客户接入分配。
本发明的优点在于:
1)可同时支持几十万的用户进行并发访问,用户负载会均衡到不同安全传输服务器上。
2)根据业务的增长,可动态加入安全传输服务器,线性提升负载能力。
3)如果某台安全传输服务器出现故障,客户端连接可无缝切入到另外的安全传输服务器,保障业务的正常运行。
附图说明
下面结合附图及实施方式对本发明作进一步详细的说明:
图1为本发明方案的实现流程(支持负载均衡的安全认证传输网关组成及流程)。
具体实施方式
由认证服务器、调度服务器和安全传输服务器构成的安全认证传输网关的运行流程如图1所示,步骤如下:
1.安全传输服务器启动后,注册到调度服务器,调度服务器对传输服务器的IP地址、端口、地址资源(地址池、在用地址、空闲地址)、状态进行管理,调度服务器可同时管理多个安全传输服务器,支持安全传输服务器的动态注册及退出。
2.用户通过浏览器访问网关时,先访问认证服务器进行认证,可使用账号密码、数字证书、Radius、LDAP等认证方式,认证通过后执行步骤3,否则返回错误。
3.认证服务器向调度服务器请求用户配置信息,调度服务器根据安全传输服务器的负载情况,返回可访问的安全传输服务器地址信息及客户端网络配置信息(虚拟地址、掩码、网关、DNS等)。
4.浏览器通过认证控件启动安全认证客户端,并传递票据、访问控制列表、客户网络配置信息、安全传输服务器信息。
5.安全认证客户端连接到指定的安全传输服务器,建立SSL加密隧道,进行登录并传递票据。
6.安全传输服务器得到用户的登录信息后,向调度服务器验证客户票据,验证通过后执行步骤7,否则返回错误。
7.客户端完成本地网络配置后,浏览器附带票据,重定向到业务系统。
8.业务系统将票据发送到认证服务器进行二次验证,如验证通过,则返回用户信息,登录过程完成,开始正常的业务访问。
Claims (4)
1.一种面向安全认证传输网关集群的负载均衡方法,其特征在于安全认证传输网关由三个部分构成:
1)认证服务器,用于完成客户认证、授权、单点登录、访问资源申请功能,双机热备部署;
2)调度服务器,用于完成安全传输服务器的管理、监控、审计、调度及地址资源分配,双机热备部署;
3)安全传输服务器,用于完成安全传输的SSL通讯、访问控制、网络接入功能,根据业务负载一台或多台部署;
其中,所述的三个部分按如下步骤运行:
1)安全传输服务器启动后,注册到调度服务器,调度服务器对安全传输服务器的IP地址、端口、地址资源、状态进行管理,其中,所述地址资源包括地址池、在用地址、空闲地址;
2)用户通过浏览器访问网关时,先访问认证服务器进行认证,认证通过后执行步骤3),否则返回错误;
3)认证服务器向调度服务器请求用户配置信息,调度服务器返回可访问的安全传输服务器地址信息及客户端网络配置信息,其中,所述客户端网络配置信息包括虚拟地址、掩码、网关、DNS;
4)浏览器通过认证控件启动安全认证客户端,并传递票据、访问控制列表、客户网络配置信息、安全传输服务器信息;
5)安全认证客户端连接到指定的安全传输服务器,建立SSL加密隧道,进行登录并传递票据;
6)安全传输服务器得到用户的登录信息后,向调度服务器验证客户票据,验证通过后执行步骤7),否则返回错误;
7)客户端完成本地网络配置后,浏览器附带票据,重定向到业务系统;
8)业务系统将票据发送到认证服务器进行二次验证,如验证通过,则返回用户信息,登录过程完成,开始正常的业务访问。
2.根据权利要求1所述的一种面向安全认证传输网关集群的负载均衡方法,其特征在于所述的步骤1)中,调度服务器可同时管理多个安全传输服务器,支持安全传输服务器的动态注册及退出。
3.根据权利要求1所述的一种面向安全认证传输网关集群的负载均衡方法,其特征在于所述的步骤2)中,可使用账号密码、数字证书、Radius、LDAP方式进行认证。
4.根据权利要求1所述的一种面向安全认证传输网关集群的负载均衡方法,其特征在于所述的步骤3)中,调度服务器根据安全传输服务器的负载能力和接入用户数,进行客户接入分配。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201710927781.2A CN109639746B (zh) | 2017-10-09 | 2017-10-09 | 一种面向安全认证传输网关集群的负载均衡方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201710927781.2A CN109639746B (zh) | 2017-10-09 | 2017-10-09 | 一种面向安全认证传输网关集群的负载均衡方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN109639746A CN109639746A (zh) | 2019-04-16 |
CN109639746B true CN109639746B (zh) | 2021-07-27 |
Family
ID=66050887
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201710927781.2A Active CN109639746B (zh) | 2017-10-09 | 2017-10-09 | 一种面向安全认证传输网关集群的负载均衡方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN109639746B (zh) |
Families Citing this family (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN114244548B (zh) * | 2021-04-12 | 2023-10-13 | 无锡江南计算技术研究所 | 一种面向云ide的动态调度和用户认证方法 |
CN113923202B (zh) * | 2021-10-18 | 2023-10-13 | 成都安恒信息技术有限公司 | 一种基于http集群服务器的负载均衡方法 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2009097717A1 (zh) * | 2008-02-04 | 2009-08-13 | Huawei Technologies Co., Ltd. | 多业务资源分配方法、系统、网关设备及认证服务器 |
CN104202365A (zh) * | 2014-08-15 | 2014-12-10 | 深圳市蜂联科技有限公司 | 一种集群式智能网关平台及其部署扩展业务应用的方法 |
CN104660409A (zh) * | 2013-11-25 | 2015-05-27 | 北京神州泰岳软件股份有限公司 | 集群环境下系统登录的方法和认证服务器集群 |
CN106713337A (zh) * | 2017-01-03 | 2017-05-24 | 北京并行科技股份有限公司 | 一种访问超级计算中心的方法、系统及调度服务器 |
-
2017
- 2017-10-09 CN CN201710927781.2A patent/CN109639746B/zh active Active
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2009097717A1 (zh) * | 2008-02-04 | 2009-08-13 | Huawei Technologies Co., Ltd. | 多业务资源分配方法、系统、网关设备及认证服务器 |
CN104660409A (zh) * | 2013-11-25 | 2015-05-27 | 北京神州泰岳软件股份有限公司 | 集群环境下系统登录的方法和认证服务器集群 |
CN104202365A (zh) * | 2014-08-15 | 2014-12-10 | 深圳市蜂联科技有限公司 | 一种集群式智能网关平台及其部署扩展业务应用的方法 |
CN106713337A (zh) * | 2017-01-03 | 2017-05-24 | 北京并行科技股份有限公司 | 一种访问超级计算中心的方法、系统及调度服务器 |
Also Published As
Publication number | Publication date |
---|---|
CN109639746A (zh) | 2019-04-16 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN109981561B (zh) | 单体架构系统迁移到微服务架构的用户认证方法 | |
CN111181727B (zh) | 一种基于微服务的开放api全生命周期管理方法 | |
CN106411857B (zh) | 一种基于虚拟隔离机制的私有云gis服务访问控制方法 | |
CN103001999B (zh) | 用于公用云网络的私有云服务器、智能装置客户端及方法 | |
CN103384237B (zh) | 一种共享IaaS业务云账号的方法、及共享平台和网络装置 | |
JP5787640B2 (ja) | 認証システムおよび認証方法およびプログラム | |
US8391452B2 (en) | User-based authentication for realtime communications | |
CN105812488A (zh) | 云计算分布式服务集群系统及其方法 | |
CN103312744A (zh) | 一种基于云桌面的业务办理方法、平台及系统 | |
CN101459836B (zh) | 交互式网络电视的内容分发网络中的业务处理方法及系统 | |
CN105577757B (zh) | 基于负载均衡的智能电力终端的多级管理系统及认证方法 | |
CN102769631A (zh) | 访问云服务器的方法、系统和接入设备 | |
CN105262780B (zh) | 一种权限控制方法及系统 | |
CN110891060A (zh) | 一种基于多业务系统集成的统一认证系统 | |
CN106331155B (zh) | 一种防止用户重复登录的方法和服务器 | |
CN102104483A (zh) | 一种基于负载均衡的单点登录方法、系统和负载均衡设备 | |
CN103179080B (zh) | 一种面向互联网用户的云电脑系统以及连接云电脑的方法 | |
CN109639746B (zh) | 一种面向安全认证传输网关集群的负载均衡方法 | |
CN103986734A (zh) | 一种适用于高安全性业务系统的鉴权管理方法和系统 | |
CN203135901U (zh) | 加密机管理装置 | |
CN110661782A (zh) | 一种基于单点登录和微服务架构的公共基础服务系统及其实现方法 | |
CN109905402B (zh) | 基于ssl vpn的sso登录方法和装置 | |
CN102404351A (zh) | 一种ldap云存储服务系统 | |
CN103516683A (zh) | 包含离线终端的远程服务器系统 | |
CN102137044A (zh) | 一种基于社区平台的群组信息安全交互的方法及系统 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |