[发明专利]一种网络接入认证方法及系统

说明书

技术领域

本发明涉及安全认证技术，具体涉及一种网络接入认证方法及系统。

背景技术

接入认证服务器出于可靠性考虑，一般都会采用双机互备(一台主认证服务器，另一台作为备份认证服务器)，其中主认证服务器拥有写数据权限，备份认证服务器仅作为数据备份，仅有数据读取权限，因此主认证服务器正常工作期间，备份认证服务器仅作为主认证服务器的数据备份，实时同步主认证服务器的数据，不可运行认证业务。如果主认证服务器宕机，通过HA(高可靠)技术，备份认证服务器将被切换为主认证服务器，此时备份认证服务器将具有数据写权限，可以运行认证业务。

主控认证服务器正常工作的工作流程如图1所示：

1)终端(手机、pc或笔记本)向NAS设备发起上网请求，如802.1x或portal协议报文。

2)NAS设备收到请求后，向主认证服务器对外提供的虚拟IP地址发起radius认证请求。

3)主认证服务器收到radius认证请求报文，查询NAS设备信息(IP地址、radius密钥)，以及认证用户名对应的密码。然后校验该用户是否具备上网权限，并将认证结果日志写入到数据存储模块。

4)主认证服务器实时同步认证数据(认证结果日志、在线用户等)到备份认证服务器。

5)主认证服务器将认证结果反馈给NAS设备，NAS设备根据认证结果决定是否开启该终端的网络访问权限。

6)NAS设备反馈上网请求结果给终端。

当主认证认证服务器宕机，备份认证服务器的工作流程如图2所示：

1)备份认证服务器链路HA模块检测到主控服务器宕机，HA模块切换备份认证服务器为主认证服务器，切换对外IP地址为虚拟地址并启动认证服务，具备数据写入权限，并对外提供认证服务。

2)终端(手机、pc或笔记本)向NAS设备发起上网请求，如802.1x或portal协议报文。

3)NAS设备收到请求后，向备份认证服务器对外提供的虚拟IP地址发起radius认证请求。

4)备份认证服务器收到radius认证请求报文，查询NAS设备信息(IP地址、radius密钥)，以及认证用户名对应的密码。然后校验该用户是否具备上网权限，并将认证结果日志保存。

5)备份认证服务器将认证结果反馈给NAS设备，NAS设备根据认证结果决定是否开启该终端的网络访问权限。

6)NAS设备反馈上网请求结果给终端。

现有的主备认证服务器解决方案存在如下的问题：

1.负载不均衡：

主认证服务器和备份认证服务器不能同时运行认证业务，主认证服务器的负载高；

2.浪费系统资源：

主认证服务器正常工作情况下，备份认证服务器不运行认证业务，浪费资源；

3.系统复杂度高：

系统结构复杂，需要额外引入HA模块；

4.可靠性差：

主备认证服务器切换存在一定的时间延迟，导致部分认证数据丢失，影响用户业务。

发明内容

本发明所要解决的技术问题是：提出一种网络接入认证方法及系统，解决传统技术中主备认证服务器方案存在的负载不均衡、浪费系统资源、系统复杂度高和可靠性差的问题。

本发明解决上述技术问题所采用的方案是，一种网络接入认证系统，包括终端设备、NAS设备、第一认证服务器和第二认证服务器；

所述终端设备，用于向NAS设备发起上网请求；

所述NAS设备，用于随机将第一认证服务器或第二认证服务器分别配置为主认证服务器和备份认证服务器，在收到终端设备的上网请求后，判断当前配置的主认证服务器是否宕机，若未宕机则向配置的主认证服务器发送radius认证请求；若宕机，则向配置的备份认证服务器发送radius认证请求；

所述第一认证服务器和第二认证服务器之间实时同步认证配置数据，并在接收到NAS设备发送的radius认证请求后，读取认证配置数据对用户信息进行认证，并向NAS设备反馈认证结果；

所述NAS设备还用于根据认证结果决定是否开启终端设备网络访问权限。

进一步的，所述第一认证服务器和第二认证服务器中均包括：认证模块、配置数据存储模块和业务数据存储模块：

所述认证模块，用于接收并处理NAS设备发送的radius认证请求，从配置数据存储模块中读取认证配置数据对用户信息进行认证，并向NAS设备反馈认证结果；

所述配置数据存储模块，用于存储认证配置数据；