CN101159750A - 一种身份认证方法和装置 - Google Patents
一种身份认证方法和装置 Download PDFInfo
- Publication number
- CN101159750A CN101159750A CNA2007101876535A CN200710187653A CN101159750A CN 101159750 A CN101159750 A CN 101159750A CN A2007101876535 A CNA2007101876535 A CN A2007101876535A CN 200710187653 A CN200710187653 A CN 200710187653A CN 101159750 A CN101159750 A CN 101159750A
- Authority
- CN
- China
- Prior art keywords
- vpn
- radius
- user
- mce
- authentication
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种身份认证方法,在MPLS VPN多用户网络边缘设备MCE中设有至少一个Radius实例,所述MCE接入的虚拟私有网VPN对应有所述Radius实例,所述Radius实例能够根据所述VPN对应的虚拟路由转发VRF将认证报文发送至Radius服务器,包括以下步骤:MCE接收用户的接入请求;所述MCE确定所述用户所属的VPN,并通过所述VPN对应的Radius实例通过查找VRF表代理所述用户向所述Radius服务器发起身份认证。通过本发明实施例解决了原Radius认证无法支持MCE接入的问题,提高了MPLS VPN身份认证组网的灵活性和安全性,提高接入端口利用率。
Description
技术领域
本发明涉及网络通信技术领域,特别是涉及一种身份认证方法和装置。
背景技术
VPN(Virtual Private Network,虚拟私有网)指的是依靠ISP(Internet服务提供商)和其它NSP(网络服务提供商),在公用网络中建立专用的数据通信网络的技术。在虚拟私有网中,任意两个节点之间的连接并没有传统专网所需的端到端的物理链路,而是利用某种公众网的资源动态组成的。VPN可以简单定义为在共享网络中,通过多种技术(如隧道、加密等)实现原有专用网络的能力,并在保证网络的安全性、可靠性、可管理性的同时提供更强的扩展性和灵活性。相对于专线的物理隔离技术来说,VPN技术更多意义上是一种逻辑隔离技术。它主要是在客户要求各个站点通过服务提供商公共网络进行连接的需求背景下由专线网络的概念引申而来的。由于VPN技术的上述优点,使其在企业或园区等网络中得到了广泛的应用。
但是随着企业或园区等私网规模的不断扩大,其上承载的业务复杂度也在不断增加,用户对私网的安全需求也不断增加。基于对各种业务数据在共用物理网络上数据传输安全的考虑,在企业或园区私网内部也开始采用MPLS(Multiprotocol Label Switching,多协议标记转换)L3 VPN技术对不同业务数据进行逻辑隔离、控制互访的同时,也需要接入层设备代理不同业务的用户向RADIUS(Remote Authentication Dial in User Service,远程认证拨入用户服务)服务器进行身份认证。
现有技术采用以下两种方式使接入层设备能够支持MPLSL3 VPN应用的身份认证。
方式一:在网络部署时,RADIUS服务器部署在共享VPN中,接入层设备使用二层交换机,然后再通过上行接口将所有的VLAN都TRUNK到汇聚层PE设备上,且网关也设在汇聚层PE设备上。在PE设备上,每个VPN都有自己的三层转发接口,Radius认证报文通过汇聚层PE设备上VPN接口进行三层转发,从而使接入设备能够与Radius服务器建立正常的通信。然而由于网关设在汇聚层PE设备上,因此二层接入降低了网络的安全性、容易受到各种二层攻击,因此并没有实现端到端的VPN隔离。并且该方式还需要配置MSTP(Multi-Service Transport Platform,多业务传送平台))协议、BPDU(BridgeProtocol Data Unit,桥协议数据单元)保护等二层特性,增加了网络配置工作量;并且汇聚层设备作为PE和三层网关,负担较重,容易产生性能瓶颈。
方式二:在该方式下RADIUS服务器同样部署在共享VPN中,在接入层使用CE设备,并且在CE设备上配置三层接口能够与PE进行三层转发,在CE设备中只有一个公用路由转发表,通过该公用路由转发表可以建立与RADIUS服务器的正常通信。上述方式的缺点是一个CE设备只能接入同一个VPN的用户,如果某个办公室内的人员较少却占有一个VPN,可能只需要4-5个端口,因此就会造成CE设备的其他端口的浪费。并且接入层只能使用CE设备限制了组网应用的灵活性,无法满足多VPN用户从同一台设备接入的应用需求。
针对上述缺陷可通过接入层使用MCE(Multi-customer Edge,多用户网络边缘设备,一种可实现多VPN用户接入的用户网络边缘设备)设备连接不同业务的用户,解决使用CE设备造成的端口浪费问题,然而现有技术中Radius协议只能根据公用路由转发表进行转发。因此在对用户进行身份认证时,由于各VPN用户只能在自己独立的VRF(Virtual Route Forwarding,虚拟路由转发)内查找路由,Radius协议不能在VRF中正确查找路由导致认证报文无法发送到认证服务器,从而导致基于Radius协议的身份认证方案无法正常使用。
发明内容
本发明实施例要解决的问题是提供一种身份认证方法和装置,解决现有技术中Radius协议无法在VRF中正确查找路由,而导致无法进行身份认证的技术缺陷。
为达到上述目的,本发明实施例一方面提出一种身份认证方法,在多用户网络边缘设备MCE中设有至少一个Radius实例,所述MCE接入的每个虚拟私有网VPN对应一个所述Radius实例,所述Radius实例能够根据所述VPN对应的虚拟路由转发VRF将认证报文发送至Radius服务器,包括以下步骤:MCE接收用户的接入请求;所述MCE确定所述用户所属的VPN,并通过所述VPN对应的Radius实例通过查找VRF表代理所述用户向所述Radius服务器发起身份认证。
另一方面,本发明实施例还提供了一种多用户网络边缘设备MCE,包括接入请求接收模块,VPN确定模块和Radius认证模块,所述接入请求接收模块,用于接收用户的接入请求;所述VPN确定模块,用于确定所述用户所属的VPN;所述Radius认证模块,具有多个Radius实例,MCE接入的每个VPN对应一个所述Radius实例,所述Radius认证模块在所述VPN确定模块确定所述用户所属的VPN后,通过与所述VPN对应的Radius实例通过查找VRF表代理所述用户向所述Radius服务器发起身份认证。
本发明实施例的技术方案具有以下优点,该发明实现了在MPLS VPN网络应用中,因为通过MCE接入的不同VPN用户通过扩展的Radius认证方案完成身份认证的功能,解决了原Radius认证无法支持MCE接入的问题,提高了MPLS VPN身份认证组网的灵活性和安全性,提高接入端口利用率。
附图说明
图1为本发明实施例一的不同VPN用户通过MCE进行身份认证的示意图;
图2为本发明实施例二的VRF与Radius实例绑定示意图;
图3为本发明实施例三的身份认证方法流程图;
图4为本发明实施例四的MCE结构图。
具体实施方式
下面结合附图和实施例,对本发明的具体实施方式作进一步详细描述:
如图1所示,为本发明实施例一的不同VPN用户通过MCE进行身份认证的示意图。本发明实施例主要针对在企业或园区等私网内部采用MPLS L3 VPN技术对不同业务数据进行逻辑隔离、控制互访的应用环境。当接入层使用MCE同时接入多个不同VPN的用户,且需要对这些用户进行远程身份认证时(如802.1X认证),可通过MCE上设置的多Radius实例向Radius服务器进行身份认证,其中,在MCE中,每个VPN对应有一个VRF,每个VRF绑定有一个Radius实例,Radius实例能够根据VPN对应的VRF将认证报文发送至Radius服务器。如图2所示,为本发明实施例二的VRF与Radius实例绑定示意图,VPN1分别与VRF1和Radius实例1对应,VPN2分别与VRF2和Radius实例2对应,每个Radius实例都具备完整的原Radius认证和配置的功能,能够根据Radius实例自身对应的VRF进行查表从而建立与Radius服务器的通信。也可以认为一个Radius实例就是一个完整的Radius程序,能够代理用户与Radius服务器进行身份认证,在Radius服务器返回通过认证的结果后,允许所述用户接入内部网络。因此上述MCE中的各个Radius实例能够并行运行,例如通过Radius实例1和Radius实例2能够同时对VPN1内的用户和VPN2内的用户进行身份认证。假设MCE能够支持三个VPN接入,这样对于用户来说,该MCE就可视为三个独立的CE,并且每个CE配置有独立的Radius认证功能。
如图3所示,为本发明实施例三的身份认证方法流程图,包括以下步骤:
步骤S301,MCE接收用户的接入请求。以图2中的VPN1内的用户发送接入请求为例。
步骤S302,MCE根据接收到的接入请求确定该用户所属的VPN。作为本发明的一个实施例,MCE能够根据接收该接入请求的端口信息判断该用户所属的VPN,在配置MCE时会根据接入VPN的个数完成对端口的划分,因此能够根据端口信息获取该用户所属VPN。
步骤S303,MCE根据用户所属的VPN,由该VPN对应的Radius实例代理所述用户向Radius服务器发起身份认证。Radius实例根据VRF表向Radius服务器发送认证报文,所述认证报文不仅携带所述用户信息,在本发明实施例中还需要携带所述用户所属VPN的信息,这样Radius服务器才能够根据所述VPN的信息将认证结果返回给所述VPN对应的Radius实例。作为本发明的一个优选方案,在Radius实例向Radius服务器发送的认证报文中的NAS(Network Access Server,网络接入服务器)IP字段填写所述用户所属VPN的接口IP。并且在上述实施例中,认证报文在用户所属的VPN内向Radius服务器发送,这样每个VPN用户的认证报文通过是自己的VRF路由表转发的,增强了认证的安全性。
步骤S304,如果所述用户通过验证,则Radius服务器向相应的Radius实例返回用户的授权信息包,所述Radius实例根据所述授权信息包决定对所述用户的授权,如开启端口允许所述用户接入,或设置所述用户访问隔离区资源等。其中Radius服务器向Radius实例返回用户的授权信息包,根据认证报文中的VPN信息确认选择相应的Radius实例,例如认证报文中填写所述用户所属VPN的接口IP,则Radius服务器就会向该IP地址发送用户的授权信息包。
需要说明的是,本发明上述实施例可为每个VPN配置有对应的Radius实例,这样所有VPN内的用户都能够进行身份认证,但本发明也能够为部分VPN设置对应的Radius实例,这样没有配置Radius实例的VRF绑定VPN用户将无法进行身份认证;并且用户也不能使用其他VPN的Radius instance进行认证。通过MCE的多Radius实例功能,所有VPN的用户可以共用一台Radius服务器完成身份认证,也可以使用多台Radius服务器完成身份认证。
如图4所示,为本发明实施例四的MCE结构图,该MCE1包括接入请求接收模块11,VPN确定模块12和Radius认证模块13,接入请求接收模块11用于接收用户的接入请求;VPN确定模块12用于确定用户所属的VPN;Radius认证模块13具有多个Radius实例,MCE1接入的每个VPN对应一个所述Radius实例,Radius认证模块13在所述VPN确定模块确定所述用户所属的VPN后,通过与所述VPN对应的Radius实例通过查找VRF表代理所述用户向所述Radius服务器发起身份认证。
其中,Radius认证模块13包括VPN信息添加子模块131,用于在向Radius服务器发送的认证报文中添加所述用户所属VPN的信息,Radius服务器能够根据所述VPN的信息将认证结果返回给所述VPN对应的Radius实例。
本发明实施例通过在MCE中为VPN绑定相应的Radius实例,通过Radius实例具备完整独立的Radius认证和配置功能,使得MCE在收到VPN用户的接入请求后,能够通过对应的Radius实例完成身份认证的功能,解决了原Radius认证无法支持MCE接入的问题,提高了MPLS VPN身份认证组网的灵活性和安全性,提高接入端口利用率。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到本发明可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述的方法。
以上所述仅是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也应视为本发明的保护范围。
Claims (7)
1.一种身份认证方法,其特征在于,在多用户网络边缘设备MCE中设有至少一个Radius实例,所述MCE接入的虚拟私有网VPN对应有所述Radius实例,所述Radius实例能够根据所述VPN对应的虚拟路由转发表VRF将认证报文发送至Radius服务器,包括以下步骤:
MCE接收用户的接入请求;
所述MCE确定所述用户所属的VPN,并由所述VPN对应的Radius实例通过查找VRF表代理所述用户向所述Radius服务器发起身份认证。
2.如权利要求1所述身份认证方法,其特征在于,所述MCE代理所述用户向所述Radius服务器发起身份认证还包括:
所述MCE在向所述Radius服务器发送的认证报文中添加所述用户所属VPN的信息,所述Radius服务器能够根据所述VPN的信息将认证结果返回给所述VPN对应的Radius实例。
3.如权利要求1或2所述身份认证方法,其特征在于,所述MCE在向所述Radius服务器发送的认证报文中添加所述用户所属VPN的信息具体为:
所述MCE在所述认证报文中的网络接入服务器NAS IP字段填写所述用户所属VPN的接口IP。
4.如权利要求3所述身份认证方法,其特征在于,所述认证报文在所述用户所属的VPN内向所述Radius服务器发送。
5.如权利要求1所述身份认证方法,其特征在于,所述MCE上的各个Radius实例能够并行运行。
6.一种多用户网络边缘设备MCE,其特征在于,包括接入请求接收模块,VPN确定模块和Radius认证模块,
所述接入请求接收模块,用于接收用户的接入请求;
所述VPN确定模块,用于确定所述用户所属的VPN;
所述Radius认证模块,具有多个Radius实例,MCE接入的每个VPN对应一个所述Radius实例,所述Radius认证模块在所述VPN模块确定所述用户所属的VPN后,通过与所述VPN对应的Radius实例通过查找VRF表代理所述用户向所述Radius服务器发起身份认证。
7.如权利要求6所述MCE,其特征在于,所述Radius认证模块包括VPN信息添加子模块,用于在向所述Radius服务器发送的认证报文中添加所述用户所属VPN的信息,所述Radius服务器能够根据所述VPN的信息将认证结果返回给所述VPN对应的Radius实例。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2007101876535A CN101159750B (zh) | 2007-11-20 | 2007-11-20 | 一种身份认证方法和装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2007101876535A CN101159750B (zh) | 2007-11-20 | 2007-11-20 | 一种身份认证方法和装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101159750A true CN101159750A (zh) | 2008-04-09 |
| CN101159750B CN101159750B (zh) | 2011-12-07 |
Family
ID=39307669
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2007101876535A Active CN101159750B (zh) | 2007-11-20 | 2007-11-20 | 一种身份认证方法和装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101159750B (zh) |
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2011147334A1 (zh) * | 2010-11-30 | 2011-12-01 | 华为技术有限公司 | 提供虚拟私有网业务的方法、设备和系统 |
| WO2013056585A1 (zh) * | 2011-10-18 | 2013-04-25 | 华为技术有限公司 | 一种虚拟私云接入认证方法及相关装置 |
| CN103618603A (zh) * | 2013-11-25 | 2014-03-05 | 网神信息技术(北京)股份有限公司 | 多协议标签交换网络的接入方法和装置 |
| CN107819658A (zh) * | 2016-09-14 | 2018-03-20 | 中兴通讯股份有限公司 | 一种报文传输方法、mec设备和系统 |
| CN109474713A (zh) * | 2018-11-13 | 2019-03-15 | 杭州数梦工场科技有限公司 | 报文转发方法和装置 |
| CN111225377A (zh) * | 2018-11-23 | 2020-06-02 | 财团法人工业技术研究院 | 网络服务系统及网络服务方法 |
| CN112866232A (zh) * | 2021-01-13 | 2021-05-28 | 新华三信息安全技术有限公司 | 一种访问控制系统、访问控制方法及相关装置 |
| CN114270789A (zh) * | 2019-08-20 | 2022-04-01 | 华为技术有限公司 | 一种获取信息的方法及装置 |
Family Cites Families (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| GB0423295D0 (en) * | 2004-10-20 | 2004-11-24 | Icu Global Ltd | System and method for providing a secure and efficient communication connection |
| JP4779639B2 (ja) * | 2005-12-21 | 2011-09-28 | パナソニック電工株式会社 | セキュリティ通信システム |
| CN101018232A (zh) * | 2007-03-12 | 2007-08-15 | 杭州华为三康技术有限公司 | 一种基于ppp协议的认证方法、系统及其装置 |
-
2007
- 2007-11-20 CN CN2007101876535A patent/CN101159750B/zh active Active
Cited By (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2011147334A1 (zh) * | 2010-11-30 | 2011-12-01 | 华为技术有限公司 | 提供虚拟私有网业务的方法、设备和系统 |
| WO2013056585A1 (zh) * | 2011-10-18 | 2013-04-25 | 华为技术有限公司 | 一种虚拟私云接入认证方法及相关装置 |
| CN103618603A (zh) * | 2013-11-25 | 2014-03-05 | 网神信息技术(北京)股份有限公司 | 多协议标签交换网络的接入方法和装置 |
| CN107819658A (zh) * | 2016-09-14 | 2018-03-20 | 中兴通讯股份有限公司 | 一种报文传输方法、mec设备和系统 |
| CN107819658B (zh) * | 2016-09-14 | 2021-08-10 | 中兴通讯股份有限公司 | 一种报文传输方法、mec设备和系统 |
| CN109474713A (zh) * | 2018-11-13 | 2019-03-15 | 杭州数梦工场科技有限公司 | 报文转发方法和装置 |
| CN109474713B (zh) * | 2018-11-13 | 2021-12-24 | 杭州数梦工场科技有限公司 | 报文转发方法和装置 |
| CN111225377A (zh) * | 2018-11-23 | 2020-06-02 | 财团法人工业技术研究院 | 网络服务系统及网络服务方法 |
| CN114270789A (zh) * | 2019-08-20 | 2022-04-01 | 华为技术有限公司 | 一种获取信息的方法及装置 |
| CN114270789B (zh) * | 2019-08-20 | 2023-09-01 | 华为技术有限公司 | 一种获取信息的方法及装置 |
| CN112866232A (zh) * | 2021-01-13 | 2021-05-28 | 新华三信息安全技术有限公司 | 一种访问控制系统、访问控制方法及相关装置 |
| CN112866232B (zh) * | 2021-01-13 | 2022-03-29 | 新华三信息安全技术有限公司 | 一种访问控制系统、访问控制方法及相关装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN101159750B (zh) | 2011-12-07 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101159750B (zh) | 一种身份认证方法和装置 | |
| Andersson et al. | Framework for layer 2 virtual private networks (L2VPNs) | |
| EP1886447B1 (en) | System and method for authentication of sp ethernet aggregation networks | |
| CN101288272B (zh) | 隧道化安全性群组 | |
| US20140230044A1 (en) | Method and Related Apparatus for Authenticating Access of Virtual Private Cloud | |
| CN100437550C (zh) | 一种以太网认证接入的方法 | |
| CN103701700B (zh) | 一种通信网络中的节点发现方法及系统 | |
| US20080028225A1 (en) | Authorizing physical access-links for secure network connections | |
| JP3599552B2 (ja) | パケットフィルタ装置、認証サーバ、パケットフィルタリング方法及び記憶媒体 | |
| CN101110745A (zh) | 衔接二层网络和三层网络的方法、装置和系统 | |
| EP2901630B1 (en) | Method operating in a fixed access network and user equipments | |
| JP2019515608A (ja) | アクセス制御 | |
| CN103795630B (zh) | 一种标签交换网络的报文传输方法和装置 | |
| CN101834864B (zh) | 一种三层虚拟专用网中攻击防范的方法及装置 | |
| CN109450905A (zh) | 传输数据的方法和装置及系统 | |
| CN111935213A (zh) | 一种基于分布式的可信认证虚拟组网系统及方法 | |
| CN107634907B (zh) | 一种二层虚拟专用网络l2vpn的数据转发方法和装置 | |
| CN100490393C (zh) | 一种访问客户网络管理平台的方法 | |
| CN102480403B (zh) | 提供虚拟私有网业务的方法、设备和系统 | |
| CN100409630C (zh) | 提高虚拟专用网用户安全性的方法及系统 | |
| CN103269300A (zh) | 一种实现异构网络互联的方法和设备 | |
| CN101808038A (zh) | 一种vpn实例的划分方法和设备 | |
| CN101316239B (zh) | 一种在虚拟专用局域网业务网络中控制访问及转发的方法 | |
| CN103109504B (zh) | 提供使用偏移的带内控制信道的伪线 | |
| CN109714271B (zh) | 一种信息处理方法、设备、系统及计算机可读存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CP03 | Change of name, title or address |
Address after: 310052 Binjiang District Changhe Road, Zhejiang, China, No. 466, No. Patentee after: Xinhua three Technology Co., Ltd. Address before: 310053 Hangzhou hi tech Industrial Development Zone, Zhejiang province science and Technology Industrial Park, No. 310 and No. six road, HUAWEI, Hangzhou production base Patentee before: Huasan Communication Technology Co., Ltd. |
|
| CP03 | Change of name, title or address |