[发明专利]认证网关及其数据处理方法

摘要

本发明公开了一种认证网关及其数据处理方法，它由IP层监控模块、身份认证模块、路由模块、管理配置模块、审计(日志)模块和用户消息通知模块组成。IP层监控模块对所有进入IN端口的IP数据包进行监控，检查是否为新的客户端IP地址出现。若非新的IP地址或已过认证“活跃期”的IP地址出现，则该IP包放行，否则将其丢弃。丢弃时，将同时通知身份认证模块对该IP地址的用户进行基于数字证书的身份认证，认证结果反馈给IP层监控模块，监控模块据此作出对该IP地址的IP包是放行还是丢弃。这样，使得只有通过身份认证的用户的IP包才能穿过认证网关访问应用系统和获取系统资源。

主权项

1.一种认证网关，该认证网关与用户终端、适配服务器、应用系统实现信息交互，其特征在于：它包括IP层监控模块、身份认证模块、路由模块、管理配置模块、审计模块和用户消息通知模块；所述IP层监控模块基于路由软件的Netfilter框架的iptables的数据报文选择系统改造而成，该IP层监控模块负责实现对进入IN端口的IP层数据包进行解析、监控，决定是否允许其通过，此过程相对于接入用户完全透明；所述身份认证模块由认证客户端和认证服务端即认证服务器两部分组成，通过自定义的IP层专有认证通讯协议，采用challenge/reply认证模式，实现对用户身份的基于X.509证书的本地认证功能，认证服务端包括一个已认证用户列表，其上记载着已认证身份且在“活跃期”的用户的信息；所述路由模块，由管理BGP-4和BGP-4+协议的Bgpd子模块、管理RIPv1，v2协议的Ripd子模块、管理RIPng协议的Ripngd子模块、管理OSPFv2协议的Ospfd子模块、管理OSPFv3协议的ospf6d子模块组成，实现动态路由器的全部功能，包括IP数据报文转发、基于OSPF、BGP协议的路由表动态更新功能；所述用户消息通知模块在用户通过所述认证网关的身份认证并得到相应的授权后，将用户信息及时通知给适配服务器；所述管理配置模块主要完成对用户、管理员基本信息和证书的管理，并能够完成对路由信息的配置和实时监控所述认证网关的功能；对用户的管理，需通过适配服务器中的日志服务器与授权模块的协调工作来实现；所述审计模块完成两种日志功能：基于syslog日志协议的远程日志功能和本地日志功能；所述认证网关在运行时，各模块组合如下：当IP层监控模块在IN端口处侦测到对由外网到达认证网关意欲进入应用系统的IP数据包，其源IP地址在已认证用户列表中并不存在时，立即通过系统调用通知身份认证模块对该IP地址的用户进行身份认证，并丢弃该IP数据包；当身份认证模块在对用户进行身份认证后，将调用消息通知接口实现和用户消息通知模块的组合，同时调用日志发送接口发送日志信息实现和审计模块的组合；当用户通过身份认证后，所述认证网关通过系统调用实现和路由模块的组合，并通过路由模块转发数据。