CN101018232A - 一种基于ppp协议的认证方法、系统及其装置 - Google Patents
一种基于ppp协议的认证方法、系统及其装置 Download PDFInfo
- Publication number
- CN101018232A CN101018232A CN 200710086516 CN200710086516A CN101018232A CN 101018232 A CN101018232 A CN 101018232A CN 200710086516 CN200710086516 CN 200710086516 CN 200710086516 A CN200710086516 A CN 200710086516A CN 101018232 A CN101018232 A CN 101018232A
- Authority
- CN
- China
- Prior art keywords
- server
- vpn client
- configuration information
- vpn
- ppp protocol
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Abstract
本发明公开了一种基于PPP协议的认证方法,包括以下步骤:虚拟局域网VPN客户端向远程身份认证拨号用户服务Radius服务器发起身份认证;在通过身份认证后,向VPN客户端下发包含安全策略服务器配置信息的报文;所述VPN客户端根据所述配置信息与所述安全策略服务器建立连接,进行安全认证。通过增加的安全认证来验证用户是否符合网络的安全策略,保证只有安全的用户才可以接入共用网络。
Description
技术领域
本发明涉及网络通信技术领域,特别是涉及一种基于PPP协议的认证方法、系统及其装置。
背景技术
互联网已成为全社会的信息基础设施,企业端的应用也大都基于IP,在互联网上构筑应用系统已成为必然趋势,因此基于IP的VPN(Virtual PrivateNetwork,虚拟专用网)业务获得了极大的增长空间。VPN被定义为通过一个公用网络建立一个临时的、安全的连接。虚拟专用网是对企业内部网的扩展,虚拟专用网可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接,并保证数据的安全传输。
Access VPN(Access Virtual Private Network,移动虚拟专用网)是VPN中的一种,这种方式的VPN解决了出差员工在异地访问企业内部私有网的问题,提供身份验证、授权和计费的功能。移动VPN的常见实现方案就是用L2TP(Layer 2 Tunneling Protocol,第二层隧道协议)协议承载PPP协议(Point-to-Point Protocol,点对点协议)实现。L2TP协议用于构建PPP的隧道和会话,然后由PPP协议完成配置协商,身份认证以及内网IP地址分配,最后携带IP数据报文完成VPN数据报文交互。常见组网有两种,如图1所示,VPN客户端本身具有PPP和LAC(L2TP Access Concentrator,L2TP访问集中器)功能,直接与VPN服务器建立隧道,VPN服务器Radius(RemoteAuthentication Dial-In User Service,远程身份验证拨号用户服务)是VPN服务器的认证服务器,用来配合VPN服务器完成对接入用户身份的验证和授权。
现有技术的缺点是PPP协议认证方式相对简单,不能采用类似EAD(Endpoint Admission Defense,端点准入防御方案)的安全认证,没有控制病毒、蠕虫的蔓延和主动防御对网络的非法入侵的功能,无法满足用户对VPN安全性的要求。因为一些用户总害怕内部的数据在互联网上传输不安全,严重影响了VPN的应用普及。
发明内容
本发明要解决的问题是提供基于PPP协议的认证方法和系统,保证只有安全的用户才可以接入共用网络。
为达到上述目的,本发明的实施例的技术方案提出一种基于点到点PPP协议的认证方法,包括以下步骤:虚拟局域网VPN客户端向远程身份认证拨号用户服务Radius服务器发起身份认证;在通过身份认证后,向VPN客户端下发包含安全策略服务器配置信息的报文;所述VPN客户端根据所述配置信息与所述安全策略服务器建立连接,进行安全认证。
其中,在所述Radius服务器将带有所述配置信息的报文下发给VPN客户端之前,还包括以下步骤:将所述配置信息存入Radius服务器。
其中,所述Radius服务器将配置信息下发给所述VPN客户端,具体包括以下步骤:所述Radius服务器将所述配置信息传给VPN服务器;所述VPN服务器将所述配置信息取出后下发给VPN客户端。
其中,所述VPN服务器将所述配置信息取出后下发给VPN客户端,进一步包括以下步骤:所述VPN服务器将所述配置信息取出;所述VPN服务器将所述配置信息封装为可扩展的PPP数据报文,通过PPP协议下发给所述VPN客户端。
其中,所述VPN客户端根据所述配置信息与安全策略服务器建立连接,具体包括所述VPN客户端将所述可扩展的PPP数据报文取出后,解封装并获取所述配置信息,根据所述配置信息建立与所述安全策略服务器的连接。
其中,所述配置信息包括安全策略服务器的IP地址和/或端口号。
本发明的实施例的技术方案还提出一种基于PPP协议的认证系统,包括包括VPN服务器、VPN客户端、Radius服务器和安全策略服务器,所述Radius服务器,用于在PPP协议身份认证通过后,将带有安全策略服务器配置信息的报文下发给VPN客户端;所述VPN客户端,用于根据收到所述Radius服务器发来的安全策略服务器配置信息,建立与所述安全策略服务器的连接,进行安全认证。
其中,所述Radius服务器包括身份检测模块和下发模块,所述身份检测模块用于检测所述VPN客户端是否通过PPP协议身份认证;所述下发模块用于在所述身份检测模块判断通过PPP协议身份认证后,将带有所述安全策略服务器配置信息的报文下发给VPN客户端。
其中,所述VPN客户端包括有连接建立模块,用于建立所述VPN客户端与所述安全策略服务器的连接。
本发明的实施例的技术方案还提出一种Radius服务器,包括身份检测模块和下发模块,所述身份检测模块用于检测所述VPN客户端是否通过PPP协议身份认证;所述下发模块用于在所述身份检测模块判断通过PPP协议身份认证后,将带有所述安全策略服务器配置信息的报文下发给VPN客户端。
本发明的实施例的技术方案实现了PPP协议认证过程的扩展,在用户认证之后进行安全认证,通过增加的安全认证来验证用户是否符合网络的安全策略,保证只有安全的用户才可以接入共用网络。
附图说明
图1为现有技术的VPN常见的组网图;
图2为本发明实施例采用EAD方案的VPN组网图;
图3为本发明实施例的基于PPP协议的认证系统的结构图;
图4为本发明实施例的基于PPP协议的认证方法的流程图;
图5为本发明实施例的基于PPP协议的认证方法的具体实施例的流程图;
图6为本发明实施例的以IP为配置信息的基于PPP协议的认证方法的流程图。
具体实施方式
下面结合附图和实施例,对本发明的具体实施方式作进一步详细描述:
如图2所示,为本发明实施例采用EAD方案的VPN组网图,本发明实施例可以在用户接入网络前,强制检查用户终端的安全状态,并根据对用户终端安全状态的检查结果,强制实施用户接入控制策略。如果VPN客户端通过安全认证,则可以进入网络;如果VPN客户端未通过安全认证,则保留在隔离区等待后续处理。这样不仅提高了网络终端主动防御的能力,还可以控制病毒、蠕虫的蔓延。
本发明实施例整合了VPN的PPP协议身份认证功能和EAD方案的安全认证功能,在VPN客户端通过PPP协议身份认证通过后,将带有安全策略服务器配置信息的报文下发给VPN客户端,建立VPN客户端与安全策略服务器的连接,完成对VPN客户端的安全认证检查,保证了接入网络的PPP协议用户都是安全的使用者。
如图3所示的本发明实施例基于PPP协议的认证系统的结构图。
一种基于PPP协议的认证系统,包括VPN客户端1、VPN服务器2、Radius服务器3和安全策略服务器4,Radius服务器3主要用于完成对接入用户身份的验证和确认。
其中,该Radius服务器3包括身份检测模块31和下发模块32,其中,身份检测模块31用于检测VPN客户端1是否通过PPP协议身份认证;下发模块32用于在身份检测模块检测到VPN客户端1已经通过PPP协议身份认证后,将带有安全策略服务器配置信息的报文下发给VPN客户端1。
在本实施例中,下发模块32所发送的安全策略服务器4的配置信息为该安全策略服务器4的IP和/或端口号,还可以是其他可以使VPN客户端与安全策略服务器4建立起连接的信息。
VPN客户端还包括有连接建立模块11,用于建立与安全策略服务器4的连接,其建立连接的过程如下:
当VPN客户端1通过身份认证,在收到Radius服务器3的带有安全策略服务器4的IP和/或端口号的协议报文后,根据IP和/或端口号与安全策略服务器4建立连接,进行安全认证,确保接入网络的PPP协议用户都是安全的使用者。
综上,基于PPP协议的VPN客户端安全认证过程如下:
首先,由VPN客户端1根据PPP协议向VPN服务器2发起身份认证,具体为:
VPN客户端1向VPN服务器2发起L2TP协商;
在L2TP协商成功后,VPN客户端1再次向VPN服务器2发起PPP链路协商,与其建立链路连接;
在经协商建立链路连接后,VPN客户端1通过VPN服务器2向Radius服务器3发起身份认证请求,Radius服务器3应身份认证请求对VPN客户端进行身份认证。
当Radius服务器3身份检测模块31确定VPN客户端1已通过了PPP协议身份认证,则由下发模块32将协议封装模块32中的带有安全策略服务器4的IP和/或端口号的信息通过VPN服务器2发送给VPN客户端1。
VPN客户端的连接建立模块11根据收到Radius服务器3的IP和/或端口号,建立与安全策略服务器4的连接,由VPN客户端1直接向安全策略服务器4发起安全认证。
安全策略服务器4通过Radius服务器3和VPN服务器2对VPN客户端1进行安全认证,并向其发送安全认证结果信息。
当VPN客户端通过了安全认证,则VPN客户端可以访问网络;否则,将VPN客户端隔离在网络之外。
如图4所示,为本发明实施例的一种基于PPP协议的认证方法的流程图。该认证方法包括以下步骤:
步骤S401:进行PPP协议身份认证,具体过程如下,由VPN客户端1向VPN服务器2发起L2TP协商;在L2TP协商成功后,VPN客户端1再次向VPN服务器2发起PPP链路协商;在协商成功后,VPN客户端1通过VPN服务器2向Radius服务器发起身份认证请求,VPN服务器将用户名和密码通过Radius服务协议传给Radius服务器,实现身份认证。
步骤S402:在PPP协议身份认证通过后,Radius服务器将带有配置信息的报文下发给VPN客户端,该配置信息可以是安全策略服务器的IP和/或端口号,也可以是任何能够使VPN客户端准确找到安全策略服务器的任何配置。
步骤S403:该VPN客户端根据收到的配置信息与安全策略服务器建立连接,进行安全认证;
当VPN客户端通过安全认证,则可以进入网络;
当VPN客户端未通过安全认证,则保留在隔离区等待后续处理。
如图5所示,为本发明实施例的基于PPP协议的认证方法的具体实施例的流程图,包括以下步骤:
步骤S501:将安全策略服务器的配置信息存入Radius服务器,该配置信息可以是IP和/或端口号,也可以是能够使VPN客户端准确找到安全策略服务器的任何配置。
步骤S502:进行PPP协议身份认证,具体过程如下,由VPN客户端1向VPN服务器2发起L2TP协商;在L2TP协商成功后,VPN客户端1再次向VPN服务器2发起PPP链路协商;在链路协商成功后,VPN客户端1通过VPN服务器2向Radius服务器发起身份认证请求,VPN服务器将用户名和密码通过Radius服务协议传给Radius服务器,完成身份认证过程。
步骤S503:在PPP协议身份认证通过后,Radius服务器将配置信息下发给VPN客户端。具体过程如下,将安全策略服务器的配置信息通过Radius服务协议传给VPN服务器;VPN服务器将配置信息取出;VPN服务器将配置信息封装为可扩展的PPP数据报文,通过PPP协议下发给VPN客户端。
步骤S504:该VPN客户端根据收到的配置信息与安全策略服务器建立连接,进行EAD安全认证;
当VPN客户端通过安全认证,则可以进入网络;
当VPN客户端未通过安全认证,则保留在隔离区等待后续处理。
如图6所示,为本发明实施例的以IP为配置信息的基于PPP协议的认证方法的流程图,包括以下步骤:
步骤S601:将安全策略服务器的IP信息存入Radius服务器。
步骤S602:进行标准的PPP协议身份认证,具体过程如下,由VPN客户端1向VPN服务器2发起L2TP协商;在L2TP协商成功后,VPN客户端1再次向VPN服务器2发起PPP链路协商;在链路协商成功后,VPN客户端1通过VPN服务器2向Radius服务器发起携带身份认证信息的身份认证请求,VPN服务器将VPN用户的身份认证信息,如用户名和密码,通过Radius服务协议的报文传给Radius服务器,由Radius服务器对VPN客户端进行身份认证。
步骤S603:在通过PPP协议身份认证后,Radius服务器将该IP信息通过Radius服务协议报文传给VPN服务器。
步骤S604:VPN服务器将IP信息从Radius服务协议报文中取出,再将IP信息封装为可扩展的PPP数据报文,通过PPP协议下发给VPN客户端。
步骤S605:VPN客户端解开此扩展的PPP数据报文获取安全策略服务器的IP信息,并与之建立连接。
步骤S606:VPN客户端向安全策略服务器进行安全认证,具体过程如下,由VPN客户端直接向安全策略服务器发起安全认证请求,安全策略服务器将安全认证通过信息通过Radius服务器和VPN服务器发送给VPN客户端;当VPN客户端通过安全认证,则可以进入网络;当VPN客户端未通过安全认证,则保留在隔离区等待后续处理。
本发明实现了PPP协议认证过程的扩展,在PPP协议用户认证之后进行EAD安全认证,通过增加的安全认证来验证用户是否符合网络的安全策略,保证了只有安全的用户才可以接入共用网络。
以上所述仅是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也应视为本发明的保护范围。
Claims (10)
1、一种基于点到点PPP协议的认证方法,其特征在于,包括以下步骤:
虚拟局域网VPN客户端向远程身份认证拨号用户服务Radius服务器发起身份认证;
在通过身份认证后,向VPN客户端下发包含安全策略服务器配置信息的报文;
所述VPN客户端根据所述配置信息与所述安全策略服务器建立连接,进行安全认证。
2、如权利要求1所述基于PPP协议的认证方法,其特征在于,在所述Radius服务器将带有所述配置信息的报文下发给VPN客户端之前,还包括以下步骤:
将所述配置信息存入Radius服务器。
3、如权利要求1所述基于PPP协议的认证方法,其特征在于,所述Radius服务器将所述配置信息下发给VPN客户端,具体包括以下步骤:
所述Radius服务器将所述配置信息传给VPN服务器;
所述VPN服务器将所述配置信息取出后下发给VPN客户端。
4、如权利要求3所述基于PPP协议的认证方法,其特征在于,所述VPN服务器将所述配置信息取出后下发给VPN客户端,进一步包括以下步骤:
所述VPN服务器将所述配置信息取出;
所述VPN服务器将所述配置信息封装为可扩展的PPP数据报文,通过PPP协议下发给所述VPN客户端。
5、如权利要求1所述基于PPP协议的认证方法,其特征在于,所述VPN客户端根据所述配置信息与安全策略服务器建立连接,具体包括所述VPN客户端将所述可扩展的PPP数据报文取出后,解封装并获取所述配置信息,根据所述配置信息建立与所述安全策略服务器的连接。
6、如权利要求1-5中任一项所述基于PPP协议的认证方法,其特征在于,所述配置信息包括安全策略服务器的IP地址和/或端口号。
7、一种基于PPP协议的认证系统,包括VPN服务器,其特征在于,还包括VPN客户端、Radius服务器和安全策略服务器,
所述Radius服务器,用于在PPP协议身份认证通过后,将带有安全策略服务器配置信息的报文下发给VPN客户端;
所述VPN客户端,用于根据收到所述Radius服务器发来的安全策略服务器配置信息,建立与所述安全策略服务器的连接,进行安全认证。
8、如权利要求7所述基于PPP协议的认证系统,其特征在于,所述Radius服务器包括身份检测模块和下发模块,
所述身份检测模块用于检测所述VPN客户端是否通过PPP协议身份认证;
所述下发模块用于在所述身份检测模块判断通过PPP协议身份认证后,将带有所述安全策略服务器配置信息的报文下发给VPN客户端。
9、如权利要求7所述基于PPP协议的认证系统,其特征在于,所述VPN客户端包括有连接建立模块,用于建立所述VPN客户端与所述安全策略服务器的连接。
10、一种Radius服务器,其特征在于,包括身份检测模块和下发模块,
所述身份检测模块用于检测所述VPN客户端是否通过PPP协议身份认证;
所述下发模块用于在所述身份检测模块检测到VPN客户端已通过PPP协议身份认证后,将带有所述安全策略服务器配置信息的报文下发给VPN客户端。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN 200710086516 CN101018232A (zh) | 2007-03-12 | 2007-03-12 | 一种基于ppp协议的认证方法、系统及其装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN 200710086516 CN101018232A (zh) | 2007-03-12 | 2007-03-12 | 一种基于ppp协议的认证方法、系统及其装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN101018232A true CN101018232A (zh) | 2007-08-15 |
Family
ID=38726988
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN 200710086516 Pending CN101018232A (zh) | 2007-03-12 | 2007-03-12 | 一种基于ppp协议的认证方法、系统及其装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101018232A (zh) |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101272627B (zh) * | 2008-04-30 | 2010-12-22 | 杭州华三通信技术有限公司 | 实现漫游的网络接入控制方法及设备 |
| CN101159750B (zh) * | 2007-11-20 | 2011-12-07 | 杭州华三通信技术有限公司 | 一种身份认证方法和装置 |
| CN106411650A (zh) * | 2016-10-19 | 2017-02-15 | 北京交通大学 | 一种分布式安全保密检查方法 |
| CN106656921A (zh) * | 2015-10-30 | 2017-05-10 | 华为技术有限公司 | 一种安全策略服务器的地址获取方法和设备 |
| CN106713337A (zh) * | 2017-01-03 | 2017-05-24 | 北京并行科技股份有限公司 | 一种访问超级计算中心的方法、系统及调度服务器 |
-
2007
- 2007-03-12 CN CN 200710086516 patent/CN101018232A/zh active Pending
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101159750B (zh) * | 2007-11-20 | 2011-12-07 | 杭州华三通信技术有限公司 | 一种身份认证方法和装置 |
| CN101272627B (zh) * | 2008-04-30 | 2010-12-22 | 杭州华三通信技术有限公司 | 实现漫游的网络接入控制方法及设备 |
| US8161523B2 (en) | 2008-04-30 | 2012-04-17 | Hangzhou H3C Technologies Co., Ltd. | Method and apparatus for network access control (NAC) in roaming services |
| CN106656921A (zh) * | 2015-10-30 | 2017-05-10 | 华为技术有限公司 | 一种安全策略服务器的地址获取方法和设备 |
| CN106411650A (zh) * | 2016-10-19 | 2017-02-15 | 北京交通大学 | 一种分布式安全保密检查方法 |
| CN106411650B (zh) * | 2016-10-19 | 2019-06-28 | 北京交通大学 | 一种分布式安全保密检查方法 |
| CN106713337A (zh) * | 2017-01-03 | 2017-05-24 | 北京并行科技股份有限公司 | 一种访问超级计算中心的方法、系统及调度服务器 |
| CN106713337B (zh) * | 2017-01-03 | 2020-04-21 | 北京并行科技股份有限公司 | 一种访问超级计算中心的方法、系统及调度服务器 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10523678B2 (en) | System and method for architecture initiated network access control | |
| TWI426762B (zh) | 網路身分管理方法與系統 | |
| US7389534B1 (en) | Method and apparatus for establishing virtual private network tunnels in a wireless network | |
| CN101212297B (zh) | 基于web的wlan接入认证方法及系统 | |
| CN101964800B (zh) | 一种在ssl vpn中对数字证书用户认证的方法 | |
| US20080189393A1 (en) | Remote Access to Secure Network Devices | |
| US8336082B2 (en) | Method for realizing the synchronous authentication among the different authentication control devices | |
| US20020144144A1 (en) | Method and system for common control of virtual private network devices | |
| US20100197293A1 (en) | Remote computer access authentication using a mobile device | |
| CN106027565B (zh) | 一种基于pppoe的内外网统一认证的方法和装置 | |
| CN105100095A (zh) | 移动终端应用程序安全交互方法及装置 | |
| WO2013080166A1 (en) | Mutually authenticated communication | |
| CN106169952B (zh) | 一种英特网密钥管理协议重协商的认证方法及装置 | |
| CN1243434C (zh) | 基于远程认证的网络中实现eap认证的方法 | |
| US20070086462A1 (en) | Dynamic tunnel construction method for securely accessing to a private LAN and apparatus therefor | |
| CN101018232A (zh) | 一种基于ppp协议的认证方法、系统及其装置 | |
| US20230336529A1 (en) | Enhanced privacy preserving access to a vpn service | |
| CN101867588A (zh) | 一种基于802.1x的接入控制系统 | |
| WO2012163159A1 (zh) | 实现企业网aaa服务器与公网aaa服务器合一的方法及装置 | |
| Williams et al. | Better-Than-Nothing Security: An Unauthenticated Mode of IPsec | |
| CN102075567B (zh) | 认证方法、客户端、服务器、直通服务器及认证系统 | |
| CN210380896U (zh) | 一种网络系统 | |
| Cisco | Understanding the Cisco VPN Client | |
| CN107733931A (zh) | 入口认证方法、装置及入口服务器 | |
| Vishwakarma | Virtual private networks |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C12 | Rejection of a patent application after its publication | ||
| RJ01 | Rejection of invention patent application after publication |
Open date: 20070815 |