[发明专利]提高EAD系统可靠性的方法和设备

说明书

技术领域

本发明涉及通信领域，尤其涉及一种提高EAD系统可靠性的方法和设备。 

背景技术

随着社会的信息化步伐不断提速，网络应用的不断普及与深入，网络安全成为了企业用户特别关心的问题。如图1所示，现有技术中的EAD(End userAdmission Domination，终端准入控制)系统通常由AAA(Authentication，Authorization，Accounting，认证，授权，记帐)服务器、EAD Server(安全策略服务器)、EAD Proxy(安全策略代理设备)、接入设备和终端组成。其中，AAA服务器对终端进行身份认证，EAD Server和EAD Proxy对终端进行安全策略认证。 

结合图2所示，终端在EAD系统的接入流程包括：终端向接入设备发送接入请求，接入设备向AAA服务器发送终端的身份认证请求，AAA服务器对终端进行身份认证通过后，在向终端发送的Accounting-Response(认证响应)报文中携带隔离ACL(Access Control List，接入控制列表)和EAD Proxy的IP地址和端口号，接入设备根据隔离ACL可以控制终端接入隔离区(如图1所示)，并根据Accounting-Response报文中携带的安全认证信息(例如EADProxy的IP地址和端口号)向EAD Proxy发送安全认证请求。此时接入设备控制终端只能访问一个受限的网络区域(隔离区)，该隔离区通常包括补丁服务器或者防病毒服务器。EAD Proxy向EAD Server转发安全认证请求(为了提高EAD Server的安全，将EAD Server布置在内网，由外网的EAD Proxy向EAD Server转发安全认证请求)，安全认证通过后，接入设备接收EADProxy发送的安全认证通过报文，根据安全认证通过报文携带的ACL控制终端接入隔离区以外的网络，例如Internet。 

但是目前的网络安全方案中，一旦EAD Server或者EAD Proxy出现故障， 用户就无法进行安全认证，导致只能访问隔离区的资源或者下线，即使正常用户也无法使用隔离区以外的其他网络资源。 

现有技术中提供了一种主备切换的网络安全方案，如图3所示，其原理为：一个系统中部署两套Radius Server(Remote Authentication Dial In UserService Server，远程用户拨号认证系统服务器)、EAD Proxy和EAD Server，在主服务器的RADIUS Server侧启动一个探测线程，该线程模拟终端定时向EAD Server发送心跳报文，通过EAD Server回应报文的情况来判断EADServer是否正常工作。当探测线程发现EAD Server没有回应报文，则通知RADIUS Server的接收线程停止接收接入设备发送的RADIUS报文，这样接入设备因为没有收到RADIUS Server的响应报文而发生主备切换动作到备服务器上认证，从而实现安全认证系统的主备切换。发生主备切换后，主服务器上RADIUS Server的探测线程继续工作，不断尝试向EAD Server发送心跳报文，当EAD Server能够正常回应RADIUS Server的请求报文时，探测线程通知接收线程恢复接收接入设备发送的RADIUS报文。接入设备检测到主服务器的RADIUS Server可以正常回应报文，从备安全认证系统的RADIUSServer切换回主安全认证系统的RADIUS Server。 

但是，这种主备切换的网络安全方案需要部署两套EAD系统，实施成本高，而且不适用于只有一套EAD系统的情况，而该情况是当前市场上的主流应用，同时，该方案仅考虑了EAD Server的主备切换，当EAD Proxy出现故障时，仍然不能避免业务中断的网络事故。 

发明内容

本发明提供了一种提高终端准入控制EAD系统可靠性的方法和设备，实现在无法对用户终端执行安全策略认证时保证用户终端的正常网络接入。 

本发明提供了一种提高终端准入控制EAD系统可靠性的方法，应用于对终端进行安全认证和身份认证的系统中，认证、授权与计费AAA服务器对终端进行身份认证，安全策略服务器和安全策略代理设备对终端进行安全认证，该方法包括以下步骤： 

所述AAA服务器通过心跳报文分别检测所述安全策略服务器和安全策略代理设备的状态；