[发明专利]基于CA证书的身份认证网关集成设计方法及集成系统

权利要求书

1.一种基于CA证书的身份认证网关集成设计方法，其特征在于，包括身份认证网关设计方法和负载均衡设计方法，所述身份认证网关设计方法中身份认证网关采用若干台网关设备作集群部署，所述身份认证网关基于CA数字证书认证系统、并采用硬件特征码标识对接入终端设备发送的认证请求进行认证，通过所述身份认证网关为全网用户访问应用系统时提供若干个安全服务；所述负载均衡设计方法中包括集成位于所述若干台网关设备前端的两个网关负载均衡设备以及位于所述若干台网关设备后端的两个应用负载均衡设备实现对身份认证访问请求的有效分担，所述若干台网关设备前端的两个网关负载均衡设备以及所述若干台网关设备后端的两个应用负载均衡设备均采用主路部署，所述两个网关负载均衡设备之间采用双活模式，所述两个应用负载均衡设备之间采用双活模式；

其中，通过所述身份认证网关为全网用户访问应用系统时提供若干个安全服务，包括以下步骤：

S1)用户通过浏览器访问身份认证网关URL地址、并使用密码钥匙USBkey登录身份认证网关，所述用户提出认证请求；

S2)网关负载均衡设备根据负载均衡策略将所述认证请求轮询至所述若干台网关设备中的其中一台网关设备，身份认证网关通过集群服务配置将用户的请求session同步至所有集群配置的若干台网关设备中；

S3)接收到所述认证请求的网关设备要求用户出示CA证书进行签名验证，用户在浏览器网页的弹框中输入证书PIN码，身份认证网关读取证书信息、并进行用户身份认证；判断用户身份认证是否验证成功，若是，则进入步骤S4)；若否，则返回步骤S1)；

S4)用户身份认证验证成功后打开至代理的应用系统的通讯链路，所述身份认证网关将认证的CA证书信息和认证通过信息通过位于所述若干台网关设备后端的应用负载均衡设备发送到代理的应用系统中；

S5)代理的应用系统收到身份认证网关发送的证书信息和认证通过信息后根据用户的权限开放相应的页面给用户，用户根据所述相应的页面进行单点登录。

2.根据权利要求1所述的基于CA证书的身份认证网关集成设计方法，其特征在于，所述若干个安全服务包括统一的身份认证、访问控制和/或单点登录。

3.根据权利要求1所述的基于CA证书的身份认证网关集成设计方法，其特征在于，在步骤S5)中，还包括所述代理的应用系统通过安全Cookie机制对用户的会话信息进行维护，用户登录应用系统时无需再次认证。

4.根据权利要求1或3所述的基于CA证书的身份认证网关集成设计方法，其特征在于，集成位于所述若干台网关设备前端的两个网关负载均衡设备实现对身份认证访问请求的有效分担，包括将身份认证网关认证端口和应用访问端口地址分别配置在网关负载均衡设备的真实服务里，将所述真实服务添加到真实服务组中，然后真实服务组中配置负载对外虚拟服务，网关负载均衡设备通过虚拟IP地址对位于网关负载均衡设备后端的身份认证网关设备进行负载均衡、并接收用户认证请求后通过轮询算法将所述用户认证请求发送至位于后端的一台网关设备；网关负载均衡设备通过健康检测机制检测网关设备的状态，当检测到网关设备异常时，网关负载均衡设备自动将异常的网关设备从轮询节点中摘除；网关负载均衡设备通过会话保持机制保证用户在会话保持时间内能够访问同一台网关设备；两台网关负载均衡设备通过双活模式确保业务零中断；身份认证网关集群配置中每台网关设备的两个网口分别与两台网关负载均衡设备连接，两个网口同时工作，同时收发数据；当网关设备的一个网口出现故障时，网关负载均衡设备通过检测机制将数据发给网关设备的另一个网口。