一种3G虚拟私有拨号网用户安全认证方法及其装置转让专利
申请号 : CN201010205449.3
文献号 : CN101867476B
文献日 : 2012-09-26
发明人 : 刘雄威 , 关天舒 , 王仕进
申请人 : 杭州华三通信技术有限公司
摘要 :
本发明公开了一种3G虚拟私有拨号网VPDN用户安全认证方法及其装置,应用于包括有客户端、LAC设备和LNS设备的认证系统,该方法包括:LNS设备接收到LAC设备发送的用于表示客户端初始认证通过的通知消息后,向所述客户端发送用于要求客户端再次发起认证的请求消息;所述LNS设备接收所述客户端根据所述请求消息发送的认证消息,其中携带有3G帐户信息,所述LNS设备根据所述3G帐户信息对所述客户端进行再次认证。采用本发明可提高3G VPDN用户安全认证机制的安全性。
权利要求 :
1.一种3G虚拟私有拨号网VPDN用户安全认证方法,应用于包括有客户端、L2TP访问集中器LAC设备和L2TP网络服务器LNS设备的认证系统,其特征在于,该方法包括:LNS设备接收到LAC设备发送的用于表示客户端初始认证通过的通知消息后,向所述客户端发送用于要求客户端再次发起认证的请求消息;
所述LNS设备接收所述客户端根据所述请求消息发送的认证消息,其中携带有3G帐户信息,所述LNS设备根据所述3G帐户信息对所述客户端进行再次认证。
2.如权利要求1所述的方法,其特征在于,所述LAC设备在接收到所述客户端的初始认证请求消息,并根据其中携带的用于初始认证的帐户信息对所述客户端认证通过后,向所述LNS发送所述通知消息。
3.如权利要求1所述的方法,其特征在于,所述LNS设备接收所述客户端发送的认证消息,具体包括:所述LNS设备接收所述客户端通过密钥验证协议PAP方式或挑战握手认证协议CHAP方式发送的所述认证消息。
4.如权利要求1至3任一项所述的方法,其特征在于,所述3G帐户信息包括:3G数据卡信息和/或用户识别卡信息。
5.如权利要求4所述的方法,其特征在于,所述3G数据卡信息包括该数据卡的电子序列号,所述用户识别卡信息包括用户识别卡的国际移动通讯设备识别号IMSI。
6.一种LNS设备,其特征在于,包括:
再次认证请求单元,用于接收到L2TP访问集中器LAC设备发送的用于表示客户端初始认证通过的通知消息后,向所述客户端发送用于要求客户端再次发起认证的请求消息;
认证单元,用于接收所述客户端根据所述请求消息发送的认证消息,其中携带有3G帐户信息,根据所述3G帐户信息对所述客户端进行再次认证。
7.如权利要求6所述的LNS设备,其特征在于,所述再次认证请求单元,具体用于,接收所述客户端通过密钥验证协议PAP方式或挑战握手认证协议CHAP方式发送的所述认证消息。
8.如权利要求6或7所述的LNS设备,其特征在于,所述认证单元具体用于,根据所述
3G帐户信息中包括的3G数据卡信息和/或用户识别卡信息进行认证。
9.一种3G虚拟私有拨号网VPDN客户端设备,其特征在于,包括:初始认证请求单元,用于将客户端设备的帐户信息发送给L2TP访问集中器LAC设备进行初始认证;
再次认证请求单元,用于在客户端接收到L2TP网络服务器LNS设备要求该客户端再次发起认证的报文后,将3G账户信息发送到LNS设备再次进行认证。
10.如权利要求9所述的3G VPDN客户端设备,其特征在于,所述再次认证请求单元通过密钥验证协议PAP方式或挑战握手认证协议CHAP方式,将3G账户信息发送到LNS设备再次进行认证。
11.如权利要求9或10所述的3G VPDN客户端设备,其特征在于,所述再次认证请求单元所发送的3G帐户信息包括:3G数据卡信息和/或用户识别卡信息。
12.如权利要求11所述的3G VPDN客户端设备,其特征在于,所述再次认证请求单元所发送的3G数据卡信息包括该数据卡的电子序列号,发送的用户识别卡信息包括用户识别卡的IMSI。
说明书 :
一种3G虚拟私有拨号网用户安全认证方法及其装置
技术领域
[0001] 本发明涉及通信技术领域,特别是涉及一种3G虚拟私有拨号网用户安全认证方法及其装置。
背景技术
[0002] VPDN(Virtual Private Dial-up Network,虚拟私有拨号网)是指利用公共网络(如ISDN或PSTN,其中,ISDN是Integrated Services Digital Network的英文缩写,表示数字业务综合网,PSTN是Public Switched Telephone Network的英文缩写,表示公共交换电话网)的拨号功能接入公共网络,实现虚拟专用网,从而为企业、小型ISP(因特网服务提供者)、移动办公人员等提供接入服务。即,VPDN为远端用户与私有企业网之间提供了一种经济而有效的点到点连接方式。
[0003] VPDN采用隧道协议在公共网络上为企业建立安全的虚拟专网。企业驻外机构和出差人员可从远程经由公共网络,通过虚拟隧道实现和企业总部之间的网络连接,而公共网络上其它用户则无法穿过虚拟隧道访问企业网内部的资源。
[0004] 随着3G网络的成熟,用户对于3G无线的应用需求也越来越强烈,3G网络给用户带来极大的便利性,并且是对有线通信方式及提高网络可靠性的很好补充。其中比较常用的3G接入方式为VPDN(L2TP,即Layer Two Tunneling Protocol,二层隧道协议)接入,尤其是金融及其他对安全性要求较高的行业,由运营商为3G用户分配特定的用户名和密码,3G用户使用该用户名和密码接入网络后,运营商接入设备,如LAC(L2TP Access Concentrator,L2TP访问集中器)负责与企业总部LNS(L2TP Network Server,L2TP网络服务器)设备建立L2TP隧道,使3G用户方便灵活的接入企业总部网络。
[0005] 3G VPDN提供方便灵活的接入的同时,企业为保证接入的安全性,要求只有指定用户,如特定的3G数据卡号和/或3G UIM/SIM卡号(其中UIM是User Identity Model的英文缩写,表示用户识别模块;SIM是Subscriber Identity Module的英文缩写,表示客户识别模块;其中,SIM卡和UIM卡也可称为用户识别卡)对应的用户才允许接入。
[0006] 图1示出了一种典型的3G VPDN组网的示意图,其中,3G路由器作为L2TP客户端设备,运营商处的路由器(如图中的RouterA)作为L2TP隧道的LAC设备,企业总部的路由器(如图中的RouterB)作为L2TP隧道的LNS设备,企业网点的3G路由器通过3G无线网络连接到运营商的LAC设备,企业总部的LNS设备一般是通过有线方式与运营商的LAC设备相连接。
[0007] 客户端3G路由器配置PPP账户,连接到LAC设备后,经运营商处的RADIUS(Remote Authentication Dial In User Service,远程用户拨号认证)服务器认证。
[0008] 基于图1所示的3G VPDN组网架构,图2示出了VPDN(L2TP)的处理流程:
[0009] 步骤1~5:客户端(如图中的远程系统主机A)首先向LAC设备发起PPP连接建立请求,进行PPP LCP协商和认证,LAC设备对拨号用户的验证是通过AAA服务器(如图中的LAC RADIUS服务器)实现的。其中,AAA服务器上存储了所有VPN用户的资料,LAC设备在获得拨入用户的用户名、口令等信息之后,在AAA服务器上找到对应的用户资料,并对用户进行验证。验证的方式可以采用PAP(Password Authentication Protocol,密钥验证协议)或CHAP(Challenge-Handshake Authentication Protocol,挑战握手认证协议);PAP方式要求用户提供正确的密码,密码正确的话可以通过验证,CHAP方式要对用户发一个盘问(Challenge),用户用共有的加密方式回答盘问之后才可以通过验证。
[0010] 步骤6~8:LAC设备认证通过后向LNS设备发起L2TP隧道建立请求,LAC设备和LNS设备为了相互验证对方的有效性可以使用隧道的CHAP认证(可选)。
[0011] 步骤9~11:隧道建立后LAC设备将客户端信息发送给LNS设备,LNS设备将认证信息发送给AAA服务器(如图中的LNS RADIUS服务器),认证通过后向客户端分配IP地址等信息。
[0012] 发明人在实现本发明的过程中,发现现有技术至少存在以下缺陷:
[0013] 上述组网应用中,客户端3G路由器只能通过PPP协议将用户名和密码发送给LNS设备进行认证,无法进行3G VPDN用户安全绑定认证,其后果是,只要第三方用户能够获取用户名和密码,即使不使用指定的3G模块和UIM/SIM卡也可以接入企业内部网络,降低网络接入的安全性。
发明内容
[0014] 本发明提供了一种3G虚拟私有拨号网用户安全认证方法及其装置,用以解决现有技术中3G虚拟私有拨号网用户安全认证机制安全性低的问题。
[0015] 本发明提供的3G虚拟私有拨号网VPDN用户安全认证方法,应用于包括有客户端、L2TP访问集中器LAC设备和L2TP网络服务器LNS设备的认证系统,该方法包括:
[0016] LNS设备接收到LAC设备发送的用于表示客户端初始认证通过的通知消息后,向所述客户端发送用于要求客户端再次发起认证的请求消息;
[0017] 所述LNS设备接收所述客户端根据所述请求消息发送的认证消息,其中携带有3G帐户信息,所述LNS设备根据所述3G帐户信息对所述客户端进行再次认证。
[0018] 上述方法中,所述LAC设备在接收到所述客户端的初始认证请求消息,并根据其中携带的用于初始认证的帐户信息对所述客户端认证通过后,向所述LNS发送所述通知消息。
[0019] 上述方法中,所述LNS设备接收所述客户端发送的认证消息,具体包括:
[0020] 所述LNS设备接收所述客户端通过密钥验证协议PAP方式或挑战握手认证协议CHAP方式发送的所述认证消息。
[0021] 上述方法中,所述3G帐户信息包括:3G数据卡信息和/或用户识别卡信息。
[0022] 其中,所述3G数据卡信息包括该数据卡的电子序列号,所述用户识别卡信息包括用户识别卡的国际移动通讯设备识别号IMSI。
[0023] 本发明提供的LNS设备,其特征在于,包括:
[0024] 再次认证请求单元,用于接收到LAC设备发送的用于表示客户端初始认证通过的通知消息后,向所述客户端发送用于要求客户端再次发起认证的请求消息;
[0025] 认证单元,用于接收所述客户端根据所述请求消息发送的认证消息,其中携带有3G帐户信息,根据所述3G帐户信息对所述客户端进行再次认证。
[0026] 上述LNS设备中,所述再次认证请求单元,具体用于,接收所述客户端通过密钥验证协议PAP方式或挑战握手认证协议CHAP方式发送的所述认证消息。
[0027] 上述LNS设备中,所述认证单元具体用于,根据所述3G帐户信息中包括的3G数据卡信息和/或用户识别卡信息进行认证。
[0028] 本发明提供的3G VPDN客户端设备,包括:
[0029] 初始认证请求单元,用于将客户端设备的帐户信息发送给LAC设备进行初始认证;
[0030] 再次认证请求单元,用于在客户端接收到LNS设备要求该客户端再次发起认证的报文后,将3G账户信息发送到LNS设备再次进行认证。
[0031] 上述3G VPDN客户端设备中,所述再次认证请求单元通过PAP方式或CHAP方式,将3G账户信息发送到LNS设备再次进行认证。
[0032] 上述3G VPDN客户端设备中,所述再次认证请求单元所发送的3G帐户信息包括:3G数据卡信息和/或用户识别卡信息。
[0033] 上述3G VPDN客户端设备中,再次认证请求单元所发送的3G数据卡信息包括该数据卡的电子序列号,发送的用户识别卡信息包括用户识别卡的IMSI。
[0034] 本发明的有益技术效果包括:
[0035] 本发明通过在对客户端初始认证通过后,要求客户端进行再次认证,在再次认证过程中,客户端将该客户端的3G帐户信息中发送给LNS设备进行认证,从而使LNS设备能够根据客户端发送的3G帐户信息对该客户端进行认证,从而不仅验证客户端的账户还可验证客户端的3G信息,提高了3G VPDN用户安全认证机制的安全性。
附图说明
[0036] 图1为现有技术中3G VPDN组网的示意图;
[0037] 图2为现有技术中VPDN(L2TP)的处理流程示意图;
[0038] 图3为本发明实施例中3G VPDN组网架构以及3G信息的安全绑定认证实现原理示意图;
[0039] 图4为本发明实施例提供的3G信息的安全绑定认证流程;
[0040] 图5为本发明实施例提供的客户端处理流程示意图;
[0041] 图6为本发明实施例提供的客户端设备结构示意图;
[0042] 图7为本发明实施例提供的LNS设备的结构示意图。
具体实施方式
[0043] 为解决现有技术存在的上述问题,本发明实施例在客户端使用3GVPDN接入时,通过两次认证过程实现3G信息的安全绑定认证。其中,在第一次认证过程中,客户端发起PPP LCP协商和认证,将客户端帐号信息(如用户名和密码)提交上去进行认证(主要是保证通过运营商接入设备的认证,并发起L2TP连接);在第二次认证过程中,在L2TP隧道成功建立,并且LNS设备收到LAC设备发送过来的客户端PPP信息后,LNS设备向客户端发送触发3G信息认证报文,当客户端收到认证报文后,触发二次PPP认证流程,此时客户端读取3G数据卡或/和UIM/SIM卡信息,并附加到密码后,根据认证类型(PAP/CHAP)将用户名和密码发送给LNS设备进行认证。
[0044] 对于LNS设备向客户端发送触发3G信息认证的报文类型,本发明实施例不做限制。本发明的以下实施例以触发3G信息认证报文类型为LCP重协商报文为例进行具体描述。
[0045] 下面结合附图对本发明实施例进行详细描述。
[0046] 图3示出了本发明实施例中的3G VPDN组网架构以及3G信息的安全绑定认证实现原理。本发明实施例可采用现有的3G VPDN组网架构,基于该组网架构,3G信息的安全绑定认证实现原理为:
[0047] 在企业总部LNS设备上启用LCP重协商功能。客户端首次发起PPP LCP协商和认证时,客户端将为其配置的帐户信息(如用户名和密码)提交给LAC设备(即运营商接入设备)进行首次认证,并发起L2TP连接;L2TP隧道建立后,LNS设备向客户端发送LCP重协商报文,当客户端收到LCP重协商报文时,重新启动PPP LCP和认证流程,将3G信息(如3G数据卡和/或UIM/SIM卡信息附)加到帐户信息中,根据认证类型(PAP/CHAP)将包含有
3G信息的帐户信息发送给LNS设备进行二次认证。
3G信息的帐户信息发送给LNS设备进行二次认证。
[0048] 基于图3所示的3G VPDN组网架构以及3G信息的安全绑定认证实现原理,图4示出了本发明实施例提供的3G信息的安全绑定认证流程。
[0049] 如图4所示,该流程可包括:
[0050] 步骤401~409、同图2所示的步骤1~9,3G客户端向运营商LAC设备发起PPP连接建立请求后,根据运营商LAC设备的认证类型(PAP/CHAP),3G客户端将初始配置的3G用户的帐户信息,如用户名和密码,发送给运营商LAC设备,完成3G客户端的接入认证。运营商LAC设备对该3G客户端认证通过后与企业总部LNS设备建立L2TP隧道,并且将该3G客户端的信息发送给企业总部LNS设备。
[0051] 步骤410、企业总部LNS设备(如图中的LNS RouterB)向该3G客户端发送LCP重协商请求(LCP ConfReq)报文,以触发该3G客户端发起二次认证。LNS设备与3G客户端可预先约定该LCP ConfReq报文的标识信息(如报文类型等),从而使3G客户端可以识别该报文。
[0052] 步骤411、3G客户端收到LCP ConfReq报文后,再次与企业总部LNS设备进行PPP LCP协商和认证。
[0053] 步骤412、3G客户端读取3G信息,主要是读取3G数据卡的ESN(Electronic Serial Number,电子序列号),和/或UIM/SIM卡信息,如IMSI(International Mobile Equipment Identity,国际移动通讯设备识别号),然后将读取到的3G信息附到用户初始密码后,根据认证类型(PAP/CHAP)将用户名和密码发送给LNS设备进行认证。
[0054] 例如,3G客户端初始配置的用户名和密码是:
[0055] Username
[0056] Password
[0057] 附加3G信息后的用户名和密码是:
[0058] Username
[0059] Password.ESN.IMSI
[0060] 上述附加了3G信息后的用户名和密码的帐户信息可称为3G帐户信息。
[0061] 步骤413~414、LNS设备收到客户端发送的用户名和密码后,将用户名和密码通过现有的AAA认证协议发送给AAA服务器(如图中的LNSRADIUS服务器)进行认证。本实施例中,LNS设备连接的AAA服务器上对应用户名Username的注册密码为Password.ESN.IMSI,因此AAA服务器对该3G客户端认证通过,并通知LNS设备向客户端分配IP地址等参数。如果3G客户端发送的3G信息与AAA服务器上注册的3G信息不一致,则AAA服务器对该3G客户端认证失败,该3G客户端无法接入LNS设备。
[0062] 通常情况下,只要LNS设备启用LCP重协商功能,则LNS设备在客户端设备初始认证通过后,就会通过LCP ConfReq报文触发客户端进行再次认证。为了节省网络资源,本发明实施例中,可在LNS设备上增加识别客户端是否是3G客户端的功能,并且对于3G客户端向其发送LCP ConfReq报文以触发二次认证,而对于其他客户端,如有线拨号客户端,则不发送LCP ConfReq报文,因而不会触发有线拨号客户端进行二次认证。LNS设备可通过以下方式判断客户端是否是3G客户端:
[0063] 方式一:通过客户端用户名。通常,有线拨号用户和3G用户的命名规则不同,通过用户名可判断出是否是3G用户;
[0064] 方式二:通过物理层链路参数判断。通常,在LAC设备与LNS设备交互以建立隧道连接时,会传输客户端的物理层链路参数,而有线拨号客户端与3G客户端的物理层链路参数通常不同,因此可判断是否是3G客户端。
[0065] 可以看出,上述流程相对于现有技术的相关流程,主要修改了客户端PPP认证流程,即当客户端根据收到的LCP重协商报文进行第二次认证时,将客户端的3G信息附加到密码后发送给LNS设备(即将3G信息绑定到客户端帐户信息中),使LNS设备能够根据其存储的客户端注册信息验证客户端发送的携带有3G信息的密码的合法性,从而对客户端进行安全绑定认证。LNS设备与AAA服务器之间的交互可不作改动,可采用现有机制实现。
[0066] 需要说明的是,以上实施例中,客户端再次发起认证时,其3G信息是附加在初始密码后上报的,事实上,3G信息附加在初始密码之前或帐户信息中的其他位置也是允许的。并且,客户端发起二次认证时,可使用不同于初始密码的密码(可称为二次认证密码),并将3G信息附加在二次认证密码中,LNS设备对客户端进行二次认证时,可根据该客户端注册的二次认证密码和3G信息对该客户端进行认证。类似的,二次认证所使用的用户名可以与初始认证的相同或不同。通过在二次认证过程中使用不同的帐户信息,可以进一步提高客户端认证的安全性。
[0067] 图5示出了本发明实施例中3G客户端的处理流程示意图。
[0068] 当3G客户端通过初始认证后(即完成上述流程的步骤1~9),该3G客户端处于Authenticate-Request Sent(认证发送)状态。后续,如果该3G客户端收到认证成功或者认证失败报文,则按照现有机制进行处理;如果该3G客户端收到LCP重协商请求(LCP ConfReq)报文,则重新与LNS设备进行PPP LCP协商和认证,其流程可如图5所示:
[0069] 步骤501、3G客户端在初始认证通过后进入认证发送状态。
[0070] 步骤502、3G客户端接收LNS设备发送的PPP报文。
[0071] 步骤503、3G客户端根据该报文判断是否需要触发3G信息认证过程,如果需要,则执行步骤504;否则,执行步骤506
[0072] 具体的,如果3G客户端收到的PPP报文是认证成功或认证失败报文,则不需要触发3G信息认证过程;如果3G客户端收到的PPP报文是LCPConfReg报文,则需要触发3G信息认证过程。
[0073] 步骤504、3G客户端读取3G相关信息,如3G数据卡的ESN,或/和UIM/SIM卡的IMSI,然后执行步骤505。
[0074] 步骤505、3G客户端将读取到的3G相关信息附到该3G客户端的密码后,根据认证类型(PAP/CHAP)发送给LNS设备进行二次认证。
[0075] 步骤506、3G客户端按照现有机制进行处理。
[0076] 基于相同的技术构思,本发明实施例还提供了一种3G VPDN客户端设备,该客户端设备为3G客户端设备,以及一种LNS设备,可应用于前述的实施例。
[0077] 如图6所示,本发明实施例提供的客户端设备可包括:初始认证请求单元61和再次认证请求单元62,其中:
[0078] 初始认证请求单元61,用于将客户端设备的帐户信息发送给运营商认证设备(如LAC设备或LAC RADIUS服务器)进行初始认证;
[0079] 再次认证请求单元62,用于在客户端接收到VPDN认证设备(如LNS设备或LNS RADIUS服务器)要求该客户端再次发起认证的报文后,获取所述客户端的3G信息,将获取到的3G信息附加到所述客户端的帐户信息中,并将附加有所述3G信息的账户信息发送到VPDN认证设备再次进行认证。
[0080] 上述3G VPDN客户端设备中,再次认证请求单元62可通过PAP方式或CHAP方式,将附加有所述3G信息的账户信息发送到VPDN认证设备再次进行认证。
[0081] 客户端的帐户信息可包括密码,相应的,再次认证请求单元62可将获取到的3G信息附加到所述客户端的密码之前或之后。
[0082] 上述3G VPDN客户端设备中,再次认证请求单元62获取到的3G信息可包括:3G数据卡信息和/或用户识别卡信息。其中,3G数据卡信息可包括该数据卡的电子序列号,用户识别卡信息可包括用户识别卡的IMSI。
[0083] 上述3G VPDN客户端设备中,初始认证请求单元61所发送的用于初始认证的帐户信息,与再次认证请求单元62所发送的用于再次认证的帐户信息可以相同或不同。
[0084] 上述3G VPDN客户端设备中,初始认证请求单元61和再次认证请求单元62可通过常规的报文收发单元63接收或/和发送报文,以请求初始认证或/和再次认证。
[0085] 如图7所示,本发明实施例提供的LNS设备,可包括:再次认证请求单元71和认证单元72,其中:
[0086] 再次认证请求单元71,用于接收到LAC设备发送的用于表示客户端初始认证通过的通知消息后,向所述客户端发送用于要求客户端再次发起认证的请求消息;
[0087] 认证单元72,用于接收所述客户端根据所述请求消息发送的认证消息,其中携带有3G帐户信息,所述LNS设备根据所述3G帐户信息对所述客户端进行再次认证。
[0088] 上述LNS设备中,再次认证请求单元72可具体用于,接收所述客户端通过PAP方式或CHAP方式发送的所述认证消息。
[0089] 上述LNS设备中,认证单元72可具体用于,根据所述3G帐户信息中包括的3G数据卡信息和/或用户识别卡信息进行认证。
[0090] 综上所述,本发明的上述实施例中,客户端在3G VPDN接入时将3G数据卡和UIM/SIM卡信息上传,以完成3G VPDN用户绑定3G信息进行安全认证,提高了3G VPDN用户安全认证机制的安全性。
[0091] 通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到本发明可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台终端设备(可以是手机,个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述的方法。
[0092] 以上所述仅是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也应视本发明的保护范围。