[发明专利]一种基于内存数据库的高可靠高并发安全认证系统和方法

说明书

本发明提供一种基于内存数据库的高可靠高并发安全认证系统和方法，所述系统包括一一对应的n组终端和n个异地中心节点；n个异地中心节点包括2个备份中心节点和n‑2个普通中心节点；每个普通中心节点内部部署了2台安全认证设备，分别为主安全认证设备和备安全认证设备，每台安全认证设备上安装了安全认证服务程序和存储了归属于本普通中心节点的终端认证凭证的内存数据库；每个备份中心节点内部部署了n台安全认证设备，每台安全认证设备上安装了安全认证服务程序和存储了系统内所有终端认证凭证的内存数据库。本发明使用内存数据库存储终端的认证凭证信息，并采用异地多中心分级的系统部署方式，支持终端接入认证高并发以及系统运行高可靠。

技术领域

本发明涉及数据安全认证技术领域，具体而言，涉及一种基于内存数据库的高可靠高并发安全认证系统和方法。

背景技术

安全认证是终端在接入系统时被判定是否合法的过程，作为网络信息安全的第一道屏障，在防止非授权访问、保护系统内部敏感数据、避免系统遭受内部攻击等方面有着举足轻重的作用。常用的认证方式，如静态口令、动态口令（令牌）、数字证书、指纹，都要求系统内部提前存储所有待接入终端的凭证信息，在终端发起接入时由系统查询终端凭证并基于密码算法进行认证协议的计算，最终完成与终端之间的认证。当系统中需要接入的终端数量庞大、单个终端认证频次高且单次认证完成时间有严格限制时，如移动通信系统中终端设备接入核心网的主认证，在终端的接入认证设计实现上则必须具备高并发、低时延、高可靠的特性，需要解决以下问题：

（1）终端凭证的快速存取：系统内部存储了所有终端的认证凭证，传统的做法是使用磁盘数据库管理凭证信息。终端在接入系统进行安全认证时，一方面，需要从所有凭证中及时读取终端对应凭证，另一方面，若认证协议要求每次认证时更新终端凭据，还需要将更新的凭证信息迅速写入。当海量的终端接入系统时，需要系统具备高并发的终端凭证读写处理能力。而磁盘数据库由于受到IO接口速率影响，其数据存取速度也受到一定限制，在处理认证请求时成为限制系统并发能力的瓶颈。

（2）高可靠高并发系统方案设计：单设备的运算能力是有限的，为了提高整个系统的吞吐量，通常采用负载均衡的方式将请求消息分发到不同设备进行处理，同时进行冗余备份增强系统可用性，系统呈异地多中心方式部署。对于安全认证服务，考虑到认证过程中存在更新终端凭证的情况，需要确保不同设备、不同中心之间数据的一致性，否则将会导致主备切换时终端认证凭据与系统存储的凭据不一致而无法接入。而很多数据库原生支持的主从备份方式是异步的，可能发生数据同步失败，因此需要额外的机制保证系统高可靠及高并发。

发明内容

本发明旨在提供一种基于内存数据库的高可靠高并发安全认证系统和方法，以解决上述存在的问题。

本发明提供的一种基于内存数据库的高可靠高并发安全认证系统，包括n组终端和相连接的n个异地中心节点，n组终端与n个异地中心节点一一对应，每组终端归属于1个中心节点；所述n个异地中心节点包括2个备份中心节点和n-2个普通中心节点；n≥2且n为正整数；

每个普通中心节点内部部署了2台安全认证设备，分别为主安全认证设备和备安全认证设备，每台安全认证设备上安装了安全认证服务程序和存储了归属于本普通中心节点的终端认证凭证的内存数据库；

每个备份中心节点内部部署了n台安全认证设备，每台安全认证设备上安装了安全认证服务程序和存储了系统内所有终端认证凭证的内存数据库。

进一步地，每个普通中心节点中的2台安全认证设备之间采用热备冗余的方式工作。

进一步地，每个备份中心节点中的n台安全认证设备之间采用负载均衡的方式工作。

进一步地，当系统中所有终端数量为x，单台安全认证设备最多能够为y个终端提供安全认证服务，则n=max(2,x/y的结果向上取整)。