[发明专利]基于CA证书的身份认证网关集成设计方法及集成系统

说明书

本发明涉及身份认证网关技术领域，公开了基于CA证书的身份认证网关集成设计方法及集成系统，包括身份认证网关设计方法和负载均衡设计方法，身份认证网关设计方法中身份认证网关采用若干个台网关设备作集群部署，通过身份认证网关为全网用户访问应用系统时提供安全服务；负载均衡设计方法中包括集成位于若干个台网关设备前端的两个网关负载均衡设备以及位于若干个台网关设备后端的两个应用负载均衡设备实现对身份认证访问请求的有效分担。本发明通过对身份认证网关实施集群设计并引入负载均衡机制，解决了身份认证网关面临的性能、稳定性和单点故障的问题，提升了身份认证网关设备的资源利用率，保障了信息系统运行的安全性、高可用性以及稳定性。

技术领域

本发明涉及身份认证网关集成技术领域，具体地涉及基于CA证书的身份认证网关集成设计方法及集成系统。

背景技术

随着企业应用系统和用户数量的不断增长，高并发访问量与数据量越来越大，单台身份认证网关存在性能和单点故障的风险，已经无法满足未来的业务需求。一旦在用的身份认证网关设备由于性能原因导致服务中断，所有身份认证信息请求会同步传递给备用网关设备，备用网关设备在一定时间范围内同样会因为访问压力过大而出现服务中断。双机热备部署模式只解决了认证网关高可用的问题，并不能有效解决其性能瓶颈的问题。因此对身份认证网关需要考虑一种新的集成设计方法来更好的满足当前业务对身份认证的需求。

发明内容

本发明提供基于CA证书的身份认证网关集成设计方法及集成系统，从而解决现有技术的上述问题。

第一方面，本发明提供了一种基于CA证书的身份认证网关集成设计方法，包括身份认证网关设计方法和负载均衡设计方法，所述身份认证网关设计方法中身份认证网关采用若干个台网关设备作集群部署，所述身份认证网关基于CA数字证书认证系统、并采用硬件特征码标识对接入终端设备发送的认证请求进行认证，通过所述身份认证网关为全网用户访问应用系统时提供若干个安全服务；所述负载均衡设计方法中包括集成位于所述若干个台网关设备前端的两个网关负载均衡设备以及位于所述若干个台网关设备后端的两个应用负载均衡设备实现对身份认证访问请求的有效分担，所述若干个台网关设备前端的两个网关负载均衡设备以及所述若干个台网关设备后端的两个应用负载均衡设备均采用主路部署，所述两个网关负载均衡设备之间采用双活模式，所述两个应用负载均衡设备之间采用双活模式。

进一步的，所述若干个安全服务包括统一的身份认证、访问控制和/或单点登录。

进一步的，通过所述身份认证网关为全网用户访问应用系统时提供若干个安全服务，包括以下步骤：

S1)用户通过浏览器访问身份认证网关URL地址、并使用密码钥匙USBkey登录身份认证网关，所述用户提出认证请求；

S2)网关负载均衡设备根据负载均衡策略将所述认证请求轮询至所述若干个台网关设备中的其中一台网关设备，身份认证网关通过集群服务配置将用户的请求session同步至所有集群配置的若干个台网关设备中；

S3)接收到所述认证请求的网关设备要求用户出示CA证书进行签名验证，用户在浏览器网页的弹框中输入证书PIN码，身份认证网关读取证书信息、并进行用户身份认证；判断用户身份认证是否验证成功，若是，则进入步骤S4)；若否，则返回步骤S1)；

S4)用户身份认证验证成功后打开至代理的应用系统的通讯链路，所述身份认证网关将认证的CA证书信息和认证通过信息通过位于所述若干个台网关设备后端的应用负载均衡设备发送到代理的应用系统中；

S5)代理的应用系统收到身份认证网关发送的证书信息和认证通过信息后根据用户的权限开放相应的页面给用户，用户根据所述相应的页面进行单点登录。

进一步的，在步骤S5)中，还包括所述代理的应用系统通过安全Cookie机制对用户的会话信息进行维护，用户登录应用系统时无需再次认证。