[发明专利]一种面向安全认证传输网关集群的负载均衡方法

说明书

本发明涉及高增长、大并发业务需求下的安全认证传输方法，公开了一种面向安全认证传输网关集群的负载均衡方法。传统网关的集群方案，需要依赖外部的负载均衡设备或设备本身的第三方负载均衡软件实现，灵活性不高，性能的损失也很大。本发明提供一种基于安全认证传输网关自身特点的负载均衡方案，结合认证、资源分配，实现多传输服务器的负载均衡访问，其优点在于：1)可同时支持几十万的用户进行并发访问，用户负载会均衡到不同安全传输服务器上。2)可动态加入安全传输服务器，线性提升负载能力。3)如果某台安全传输服务器出现故障，客户端连接可无缝切入到另外的安全传输服务器，保障业务的正常运行。

技术领域

本发明涉及高增长、大并发业务需求下的安全认证传输方法，尤其涉及一种面向安全认证传输网关集群的负载均衡方法。

背景技术

随着信息技术的推广及使用范围的扩大，很多关键业务系统需要基于互联网及移动互联网进行远程访问，为了保护业务系统的安全，需要安全认证传输网关对业务系统进行统一认证、加密及访问控制。当访问用户达到一定规模后，传统的单一网关已不能满足性能要求，需要增加多台设备集群使用。

传统网关的集群方案，需要依赖外部的负载均衡设备或设备本身的第三方负载均衡软件实现，灵活性不高，性能的损失也很大。

发明内容

本发明的目的是克服现有方法的不足，提供一种基于安全认证传输网关自身特点的负载均衡方案，结合认证、资源分配，实现多传输服务器的负载均衡访问，满足高增长、大并发的业务需求。

其具体实现包括三个组成部分：认证服务器、调度服务器和安全传输服务器。

认证服务器完成客户认证、授权、单点登录、访问资源申请等功能，双机热备部署。调度服务器完成安全传输服务器的管理、监控、审计、调度及地址资源分配，双机热备部署。安全传输服务器完成安全传输的SSL通讯、访问控制、网络接入功能，根据业务负载一台或多台部署。

由认证服务器、调度服务器和安全传输服务器构成的安全认证传输网关，可以支持安全传输服务器的动态加入、负载均衡和运行状态管理，其工作步骤如下：

1)安全传输服务器启动后，注册到调度服务器，调度服务器对安全传输服务器的IP地址、端口、地址资源(地址池、在用地址、空闲地址)、状态进行管理。

2)用户通过浏览器访问网关时，先访问认证服务器进行认证。

3)认证服务器向调度服务器请求用户配置信息，调度服务器返回可访问的安全传输服务器地址信息及客户端网络配置信息(虚拟地址、掩码、网关、DNS等)。

4)浏览器通过认证控件启动安全认证客户端，并传递票据、访问控制列表、客户网络配置信息、安全传输服务器信息。

5)安全认证客户端连接到指定的安全传输服务器，建立SSL加密隧道，进行登录并传递票据。

6)安全传输服务器得到用户的登录信息后，向调度服务器验证客户票据。

7)客户端完成本地网络配置后，浏览器附带票据，重定向到业务系统。

8)业务系统将票据发送到认证服务器进行二次验证，如验证通过，则返回用户信息，登录过程完成，开始正常的业务访问。

所述的步骤1)中，调度服务器可同时管理多个安全传输服务器，支持安全传输服务器的动态注册及退出。

所述的步骤2)中，可使用账号密码、数字证书、Radius、LDAP等多种方式进行认证。

所述的步骤3)中，调度服务器根据安全传输服务器的负载能力和接入用户数，进行客户接入分配。

本发明的优点在于：

1)可同时支持几十万的用户进行并发访问，用户负载会均衡到不同安全传输服务器上。