一种Portal双机热备份的实现方法、系统及设备

摘要

本发明公开了一种Portal双机热备份的实现方法、系统及设备，应用于包括用户设备、Portal服务器和至少两个认证网关的系统中，所述方法包括以下步骤：认证网关接收所述Portal服务器发送的对所述用户设备的认证请求；所述认证网关对所述用户设备认证成功后，将所述用户设备的信息同步到其他认证网关，当所述认证网关发生故障后，将从所述认证网关上行的数据流切换到所述其他认证网关上行。本发明中，在网络设备备份的组网情况，各个认证网关对用户信息进行备份，保证用户数据流切换后仍然能够通过认证，提高了用户数据流的可靠性。

说明书

技术领域

本发明涉及通信技术领域，尤其涉及一种Portal双机热备份的实现方法、系统及设备。

背景技术

EAD(Endpoint Admission Defense，端点准入防御)安全产品是一套融合网络设备、用户终端和第三方安全产品的全网安全体系框架，其目的是整合孤立的单点安全部件，形成完整的网络安全体系，最终为用户提供端到端的安全防护。EAD安全产品为了对内网的用户进行安全准入控制，扩展了自有的Portal(门户网站)接入控制协议，Portal指一个基于Web的系统，通常都会提供个性化设置、单一登录、以及由各种不同来源或不同网站取得各种信息，并且将这些信息放在网页之中组合而成的呈现平台。

Portal早期的设计仅针对于下连网络为单独的汇聚层设备，不能支持VRRP(Virtual Router Redundancy Protocol，虚拟路由冗余协议)+多生成树(MULTIPLE SPANNING TREE PROTOCOL，多生成树协议)和路由备份的汇聚层网络设备备份的组网情况。其中，VRRP+MSTP方案如图1所示，用户的网关在汇聚层设备上，路由备份方案如图2所示，用户的网关在接入层设备上。

针对图1和图2的两种组网，现有技术网关方式的期望组网如图3所示，虚线表示用户数据流方向，Portal客户端(即用户设备)通过接入层设备接入网络后，由核心层设备将用户数据流通过策略路由重定向到BAS(BroadbandAccess Server，宽带接入服务器)-A或BAS-B上进行认证，Portal服务器检测到Portal客户端发起的认证，并与BAS交互，使BAS在认证通过后对用户开放相应的权限。认证后，数据流返回核心层设备，核心层设备将数据流再通过出口路由器转发到Internet上，保证对接入用户进行认证。

现有技术中Portal协议框架如图4所示，包括：Portal客户端、Portal服务器(可以位于核心层、或接入层、或位于用户的服务器区)、BAS和AAA(Authentication，Authorization and Accounting，认证、授权和统计)服务器。其中，Portal客户端可以使用WEB浏览器或重客户端(已安装在计算机上的客户端)，用于提供用户可见的Portal上下线节目，并处理相应的客户端的认证流程；Portal服务器是Portal认证的核心(可以位于核心层、或接入层、或位于用户的服务器区)，用于检测到Portal客户端发起的认证，并与BAS交互，使BAS在认证通过后对用户开放相应的权限；BAS是控制用户的核心设备，用于接收Portal服务器发送的用户认证请求并将该认证请求转换为相应的RADIUS(Remote Authentication Dial In User Service，远程鉴别拨号用户服务)认证报文，到AAA服务器进行用户身份认证；AAA服务器，用于根据接收的RADIUS认证报文对用户进行身份认证。

图4的协议框架的上线流程如图5所示，包括以下步骤：

步骤501，Portal客户端上线，发送连接请求或强制重定向到Portal服务器的认证网页。

步骤502，Portal服务器向BAS发送认证请求报文REQ_AUTH。可选地，增设一定时器，用于Portal服务器向BAS发送认证请求后开始计时，如果在预先设定的时间内没有接收到BAS返回的认证成功消息，则说明认证失败，并清理该条请求相关的信息，或重新发送请求消息。

步骤503，BAS进行AAA认证，认证成功后，向Portal服务器返回认证成功ACK_AUTH，同时开放该用户的访问权限。

步骤504，Portal服务器通知Portal客户端认证成功。

图4的协议框架的下线流程如图6所示，包括以下步骤：

步骤601，Portal客户端通过HTTP(Hypertext Transfer Protocol，超文本传输协议)向Portal服务器发送下线请求。

步骤602，Portal服务器向BAS发送下线请求报文REQ_LOGOUT。

步骤603，BAS向AAA发送计费结束报文，确认计费结束后，向Portal服务器返回下线确认ACK_LOGOUT，同时关闭此用户的访问权限。

步骤604，Portal服务器通知Portal客户端下线成功。

其中，步骤605和步骤606、步骤607和步骤608为可能发生的重传过程，如图5中所述定时器所起作用。

现有技术中，在网络设备备份的组网情况，如图3或图4，用户网络发生切换时，不能保证用户数据流从BAS-A切换到BAS-B时，仍然能够通过认证，如果BAS-B没有该用户的认证信息，则该上线用户的数据流无法正常转发。

另外，当用户上线后，下线前数据流发生了切换，使得用户上线和下线经过不同的认证网关，且由于现有技术的服务器无法对来自不同认证网关的同一网段的用户进行身份认证，造成该用户的下线操作不能正常进行。

发明内容

本发明实施例提供了一种Portal双机热备份的实现方法、系统及设备，以在用户数据流方向切换后认证网关仍可以进行认证，并可以对来自不同认证网关的同一网段的用户请求进行身份认证。

本发明实施例提供了一种Portal双机热备份的实现方法，应用于包括用户设备、Portal服务器和至少两个认证网关的系统中，所述方法包括以下步骤：

认证网关接收所述Portal服务器发送的对所述用户设备的认证请求；

所述认证网关对所述用户设备认证成功后，将所述用户设备的信息同步到其他认证网关，当所述认证网关发生故障后，将从所述认证网关上行的数据流切换到所述其他认证网关上行。

其中，还包括：

所述Portal服务器对用户的认证网段与各个认证网关的IP地址进行分组绑定，识别来自不同认证网关对同一认证网段的用户设备的数据流。

其中，所述用户设备的信息同步到其他认证网关之前还包括：

所述各个认证网关之间通过保活机制相互获取状态信息。

其中，所述用户设备的信息同步到其他认证网关具体包括：

按照预先设定的时间间隔将本地存储的用户信息分批发送给其他认证网关；或

实时将用户信息发送给其他认证网关。

其中，将所述用户设备的信息同步到其他认证网关之后还包括：

收到用户设备通过Portal服务器发送的下线请求；

通知其他认证网关用户下线，并删除所述用户信息。

本发明还提供了一种Portal双机热备份的实现系统，包括用户设备、Portal服务器、和至少两个认证网关，

所述Portal服务器，用于用户上线时，与认证网关交互信息，使认证网关在认证通过后对所述用户开放或关闭相应的权限；

认证网关，用于接收所述Portal服务器发送的对所述用户设备的认证请求，并对所述用户设备认证成功后，对所述用户开放或关闭相应的权限，并将所述用户设备的信息同步到其他认证网关，当所述认证网关发生故障后，将从所述认证网关上行的数据流切换到所述其他认证网关上行。

其中，所述认证网关具体包括：

认证请求接收单元，用于接收用户设备发送的认证请求；

上线管理单元，用于接收到的认证请求为上线请求时，且对所述用户设备认证成功后，对所述用户开放相应的权限；

用户信息同步单元，用于将所述用户设备的信息同步到其他认证网关，当所述认证网关发生故障后，将从所述认证网关上行的数据流切换到所述其他认证网关上行。

其中，所述认证网关还包括：

保活单元，用于与其它认证网关之间通过保活机制相互获取状态信息。

其中，所述用户信息同步单元具体包括：

分批同步子单元，用于按照预先设定的时间间隔将本地存储的用户信息分批发送给其他认证网关；或

实时同步子单元，用于实时将用户信息发送给其他认证网关。

其中，所述认证网关还包括：

下线管理单元，用于接收到的认证请求为下线请求时，且对所述用户设备认证成功后，对所述用户关闭相应的权限。

其中，所述Portal服务器具体包括：

接收单元，用于接收用户设备的认证请求；

信息交互单元，用于与认证网关交互信息，使所述认证网关对所述用户设备进行认证管理。

其中，所述Portal服务器还包括：

分组绑定单元，用于对用户的认证网段与多个认证网关的IP地址进行分组绑定。

本发明还提供了一种认证网关，包括：

认证请求接收单元，用于接收用户设备发送的认证请求；

上线管理单元，用于接收到的认证请求为上线请求时，且对所述用户设备认证成功后，对所述用户开放相应的权限；

用户信息同步单元，用于将所述用户设备的信息同步到其他认证网关，当所述认证网关发生故障后，将从所述认证网关上行的数据流切换到所述其他认证网关上行。

本发明还提供了一种Portal服务器，包括：

接收单元，用于接收用户设备的认证请求；

信息交互单元，用于与认证网关交互信息，使所述认证网关对所述用户设备进行认证管理；

分组绑定单元，用于对用户的认证网段与多个认证网关的IP地址进行分组绑定。

本发明中，在网络设备备份的组网情况，各个认证网关对用户信息进行备份，保证用户数据流切换后仍然能够通过认证，提高了用户数据流的可靠性；并且服务器可以设置来自不同认证网关的同一网段的用户为一个分组，使得服务器对同一分组中的认证网关的数据流都可以处理，实现了用户上下线流程可以顺利进行。

附图说明

图1是现有技术中VRRP+MSTP备份的组网结构图；

图2是现有技术中路由备份的组网结构图；

图3是现有技术中网关方式的期望组网示意图；

图4是现有技术中Portal协议框架示意图；

图5是现有技术中Portal协议上线认证流程图；

图6是现有技术中Portal协议下线认证流程图；

图7是本发明中具有状态备份的Portal协议的上线流程图；

图8是本发明中具有状态备份的Portal协议的下线流程图；

图9是本发明中数据流切换后的示意图。

具体实施方式

本发明的核心思想是：在网络设备备份的组网情况，多台认证网关(例如两台BAS设备)之间使用保活报文，保证这些认证网关状态一致；并且在多台BAS设备(例如两台)之间同步上线用户的信息，保证每台BAS设备上都有上线用户的信息；另外，为了使Portal服务器可以对来自不同认证网关(BAS-A、BAS-B)的数据流进行处理，需要在Portal服务器设置Portal接入设备组(包括多台认证网关)，当Portal客户端上线时，可以设置BAS-A、BAS-B等认证网关的IP地址与上线用户的认证网段相对应，当Portal服务器接收到该认证网段的用户的数据流时，可以分别通过BAS-A、BAS-B进行交互。

本发明中提供了一种Portal双机热备份的实现系统包括：Portal客户端、Portal服务器、BAS-A和BAS-B。由于BAS之间不存在主备关系，所以在图中未说明主备，使用BAS-A，BAS-B说明二者关系平等。具有状态备份的Portal协议的上线流程如图7所示，包括以下步骤：

步骤701，Portal客户端上线，发送连接请求或强制重定向到Portal服务器的认证网页。

步骤702，Portal服务器向BAS-A发送认证请求REQ_AUTH。

步骤703，BAS进行AAA认证，认证成功后，向Portal服务器返回认证成功ACK_AUTH，同时开放此用户的访问权限。

步骤704，Portal服务器通知Portal客户端认证成功。

步骤705，认证成功后，BAS-A同步上线的用户状态到BAS-B。其中，BAS-A与BAS-B之间的保活，由于BAS-A与BAS-B之间需要相互同步用户的状态信息，当用户稳定的情况下，为了判断BAS-A与BAS-B之间会话正常，需要提供一种保活的手段：例如：BAS-A向BAS-B发送保活请求消息，BAS-B如果状态正常，则向BAS-A返回保活响应消息，BAS-A收到该保活响应消息后，可以确定BAS-B正常工作，可以向其进行用户信息同步或进行其他信息传递。如果BAS-A没有收到该保活响应消息，则确定BAS-B出现异常(例如设备故障、链路故障等)，无法进行后续用户信息同步。当然，设备之间的保活可以是相互的，因此，BAS-B也可以向BAS-A发送保活请求消息，具体步骤与BAS-A向BAS-B发送保活请求消息的过程相同，不在赘述。

另外，BAS-A与BAS-B之间同步用户状态的性能考虑，由于每一个用户上线时都同步用户状态信息是没有必要而且降低性能的，在同步用户操作时，可以间隔一定的时间分批进行，以提高系统的处理效率。例如：BAS-A确认BAS-B工作正常的情况下，按照预先设定的时间间隔将本地存储的用户上线信息发送给BAS-B，即，在此时间间隔以内的用户上线信息，先存储在本地，待该时间间隔到达时，将存储在本地的用户上线信息发送给BAS-B。

步骤705也可以在步骤702、或步骤703之后执行。

具有状态备份的Portal协议的下线流程如图8所示，包括以下步骤：

步骤801，Portal客户端通过HTTP向Portal服务器发送下线请求。

步骤802，Portal服务器向BAS-A发送下线请求REQ_LOGOUT。

步骤803，BAS向AAA发送计费结束报文，AAA对该用户认证成功后，向Portal服务器返回下线确认ACK_LOGOUT，同时关闭此用户的访问权限。

步骤804，Portal服务器通知Portal客户端下线成功。

步骤805，BAS-A通知BAS-B用户已经下线。

现有技术中，每台认证网关(BAS)的IP地址对应一个认证网段，认证网段是对BAS进行认证的一个网络IP地址的范围，比如192.168.0.1-192.168.0.180。Portal服务器对一台认证网关(如BAS-A)只能对应一个认证网段，与BAS-A的IP地址绑定，Portal服务器只对BAS-A的报文进行处理，而对其他认证网关(例如BAS-B)的报文不做处理。然而，由于本发明使用的是备份方案，包括BAS-A和BAS-B两个认证网关，当用户上线时，用户报文通过BAS-A，认证网关切换后，用户下线，使用BAS-B。由于上线的认证网关BAS-A与下线的认证网关BAS-B不是同一个认证网关，所以现有技术中的Portal服务器只与BAS-A的IP地址绑定，只能处理BAS-A的用户上线相关信息，而不能处理BAS-B的用户下线相关信息。

本发明在服务器侧对用户的认证网关进行分组，使Portal服务器与具有多个认证网关(例如BAS-A和BAS-B)的认证网关分组绑定，不与某个特定的认证网段绑定。例如，Portal服务器设置BAS-A和BAS-B在一个分组，Portal服务器可以对来自BAS-A和BAS-B的报文进行处理。因此，Portal服务器既可以对用户上线使用BAS-A时的请求及响应消息、也可以对用户下线使用BAS-B时的请求及响应消息，实现Portal服务器对用户上线和下线的处理。

步骤805也可以在步骤802、或步骤803之后执行。

本发明当下层链路切换，数据流向发生变化时，即数据流由图3的情况切换为图9的情况，Portal协议保证不中断Portal客户端的上线过程。Portal客户端通过BAS-A上线，如图3所示；BAS-A通过与BAS-B之间的心跳线将BAS-A的用户信息同步到BAS-B上；用户的数据流发生切换，数据流需要从BAS-B上行，Portal服务器通过接入层设备、核心层设备与BAS-B交互信息，使BAS-B不需要对Portal客户端进行再次认证，即可对Portal客户端开放相应的权限，使数据流从BAS-B上行，如图9所示。

由于进行Portal认证的两台BAS上面都存在相应的用户状态，所以无论用户从BAS-A还是BAS-B的启用相应网段的Portal的接口进入，都会进行相应的转发，保证了用户数据的转发。

通过以上的实施方式的描述，本领域的技术人员可以清楚地了解到本发明可借助软件加必需的通用硬件平台的方式来实现，当然也可以通过硬件，但很多情况下前者是更佳的实施方式。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本发明各个实施例所述的方法。

以上公开的仅为本发明的几个具体实施例，但是，本发明并非局限于此，任何本领域的技术人员能思之的变化都应落入本发明的保护范围。