[发明专利]安全认证网关

权利要求书

1.安全认证网关，其特征在于，所述网关包括客户端密码模块、客户端业务模块、服务端业务模块和服务端密码模块，所述客户端业务模块作为应用客户端的代理，与服务端业务模块交互建立加密连接；所述客户端密码模块作为证书存放介质及算法提供者，受客户端业务模块调用完成相应的证书操作和密码运算；所述服务端业务模块负责接受客户端业务模块的连接，处理SSL协议，使用双证书完成身份认证和密钥交换，指定加密算法，与客户端业务模块建立安全加密通道，将接收来的数据解密发送给应用服务器，将应用服务器的响应数据加密后发送给客户端业务模块，由客户端业务模块反映给客户端；所述服务端密码模块作为证书存放介质及算法提供者，受服务端业务模块调用完成相应的证书操作和密码运算。

2.根据权利要求1所述的安全认证网关，其特征在于，所述客户端业务模块包含配置模块，代理模块，加密连接模块，客户端密码服务模块，日志模块；所述代理模块接受客户端连接，根据客户端连接的类型进行相应处理，形成应用客户端的代理连接；所述加密连接模块调用客户端密码服务模块，完成与服务端业务模块的加密连接；所述配置模块负责读取、存储客户端的相关配置；所述日志模块记录客户端业务模块中各模块的日志；所述客户端密码服务模块调用客户端密码模块，向加密连接模块提供密码服务。

3.根据权利要求1所述的安全认证网关，其特征在于，所述服务端业务模块包括核心连接模块、黑名单管理模块、监控模块、热备模块、日志服务模块、配置模块、用户管理模块、服务端密码服务模块；所述核心连接模块多进程的服务器模块，其完成与服务端业务模块的SSL握手，实现后台服务的反向代理，并处理所有的业务流程，通过加密卡来加速RSA和对称加密操作；用户管理模块完成用户凭证的发放、废除等管理，配合核心连接模块完成用户的认证；黑名单管理模块从指定的发布点上获取最新的黑名单后通知核心连接模块进行黑名单的动态更新；所述日志服务模块负责服务端业务模块中各模块的日志和报警；所述配置模块提供网关配置页面，实现与用户的交互；所述热备模块实现网关之间的无缝切换；所述监控模块监控核心连接模块、黑名单管理模块、热备模块、日志服务模块、配置模块的运行状态；所述服务端密码服务模块调用服务端密码模块，向核心连接模块提供密码服务。

4.根据权利要求3所述的安全认证网关，其特征在于，所述黑名单管理模块与核心连接模块配合完成的黑名单的动态更新通过一下步骤实现：所述黑名单管理模块到远程的发布服务器上获取新的黑名单，下载完成以后将其组织存放在指定路径的文件中，然后用信号的方式通知核心连接模块进行黑名单更新，核心连接模块得到更新信号后动态载入黑名单，完成在线更新。

5.根据权利要求3或4所述的安全认证网关，其特征在于，所述黑名单管理模块在远程发布服务器上获取新的黑名单时，进行一级索引。

6.根据权利要求3所述的安全认证网关，其特征在于，所述监控模块配合热备模块进行热备切换，所述监控模块实时探测核心连接模块、黑名单管理模块、日志服务模块、配置模块的运行状态，必要时重启相应模块；在核心连接模块发生多次故障，并重启多次后还不能正常运行时，监控模块通知热备模块，进行热备切换。

7.根据权利要求3所述的安全认证网关，其特征在于，所述配置模块完成相应的配置修改以后，只能通过监控模块控制服务端业务模块中其它各模块的启动和停止。