认证网关及其数据处理方法

摘要

本发明公开了一种认证网关及其数据处理方法，它由IP层监控模块、身份认证模块、路由模块、管理配置模块、审计(日志)模块和用户消息通知模块组成。IP层监控模块对所有进入IN端口的IP数据包进行监控，检查是否为新的客户端IP地址出现。若非新的IP地址或已过认证“活跃期”的IP地址出现，则该IP包放行，否则将其丢弃。丢弃时，将同时通知身份认证模块对该IP地址的用户进行基于数字证书的身份认证，认证结果反馈给IP层监控模块，监控模块据此作出对该IP地址的IP包是放行还是丢弃。这样，使得只有通过身份认证的用户的IP包才能穿过认证网关访问应用系统和获取系统资源。

主权项

1、一种认证网关，该认证网关与用户终端、适配服务器和应用系统实现信息交互，其特征在于：它包括IP层监控模块、身份认证模块、路由模块、管理配置模块、审计模块和用户消息通知模块；所述IP层监控模块是由基于路由软件的Netfilter框架的iptables的数据报文选择系统改造而成，该IP层监控模块对进入IN端口的IP层数据包进行解析和监控，决定是否允许其通过，此过程相对于接入的用户完全透明；所述身份认证模块由认证客户端和认证服务端即认证服务器两部分组成，通过自定义的IP层专有认证通讯协议，采用challenge/reply认证模式，实现对用户身份的基于X.509证书的本地认证功能，认证服务端包括一个已认证用户列表，其上记载着已认证身份且在认证“活跃期”的用户的信息；所述路由模块，由管理BGP-4和BGP-4+协议的Bgpd子模块、管理RIPv1，v2协议的Ripd子模块、管理RIPng协议的Ripngd子模块、管理OSPFv2协议的Ospfd子模块和管理OSPFv3协议的ospf6d子模块组成，实现动态路由器的全部功能，包括IP数据报文转发、基于OSPF、BGP协议的路由表动态更新功能；所述用户消息通知模块在用户通过所述认证网关的身份认证并得到相应的授权后，将用户信息及时通知给适配服务器；所述管理配置模块主要完成对用户、管理员基本信息和证书的管理，并能够完成对路由信息的配置和实时监控所述认证网关的功能；对用户的管理，需通过适配服务器中的日志服务器与授权模块的协调工作来实现；所述审计模块完成两种日志功能：基于syslog日志协议的远程日志功能和本地日志功能；所述认证网关在运行时，各模块组合如下：当IP层监控模块在IN端口处侦测到由外网到达认证网关意欲进入应用系统的IP层数据包，其源IP地址在已认证用户列表中并不存在时，立即通过系统调用通知身份认证模块对该源IP地址的用户进行身份认证，并丢弃该IP层数据包；身份认证模块对用户进行身份认证后，将调用消息通知接口实现和用户消息通知模块的组合，同时调用日志发送接口发送日志信息实现和审计模块的组合；当用户通过身份认证后，所述认证网关通过系统调用实现和路由模块的组合，并通过路由模块转发数据；当身份认证模块收到IP层监控模块传来的要求对认证客户端的用户进行认证的通知后，向认证客户端发出认证请求，开始认证，具体过程如下：认证服务端发出一个请求给认证客户端，要求认证客户端传送用户的证书ID号；认证客户端响应认证服务端发出的请求，将用户的证书ID号送给认证服务端进行处理；认证服务端收到用户的证书ID号后，生成随机数传送给认证客户端；认证客户端的用户收到由认证服务端传来的随机数后，使用用户X.509证书进行签名，并将签名和证书一起传给认证服务端；认证服务端进行验签，如果通过，则向已认证用户列表中添加该用户信息，并加盖时间戳，同时反馈认证通过的消息给认证客户端，发出容许该源IP地址在“活跃期”内通过的指令，允许用户的数据通过所述认证网关访问应用系统；否则，反馈认证失败的消息，并禁止该源IP地址访问应用系统。