CN102111326B - 在二层隧道协议虚拟专用网实现移动的方法、系统和装置 - Google Patents
在二层隧道协议虚拟专用网实现移动的方法、系统和装置 Download PDFInfo
- Publication number
- CN102111326B CN102111326B CN200910265531.2A CN200910265531A CN102111326B CN 102111326 B CN102111326 B CN 102111326B CN 200910265531 A CN200910265531 A CN 200910265531A CN 102111326 B CN102111326 B CN 102111326B
- Authority
- CN
- China
- Prior art keywords
- tunnel
- lac
- lns
- l2tp
- information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Abstract
本发明提供了一种二层隧道协议虚拟专用网(L2TP VPN)中实现移动的方法、系统和装置,访问集中器(LAC)检测到远端设备的LAC地址变更后,向网络服务器(LNS)发送携带变更后的LAC地址信息和L2TP隧道标识的隧道重关联请求,并利用变更后的LAC地址更新远端设备中包含L2TP隧道标识的L2TP隧道信息;LNS接收到隧道重关联请求后,利用变更后的LAC地址信息在本地更新包含L2TP隧道标识的L2TP隧道信息,并向LAC客户端回复隧道重关联响应;远端设备和LNS利用本地更新后的L2TP隧道信息发送数据。通过本发明能够提高远端设备在移动过程中的安全性和方便性。
Description
技术领域
本发明涉及网络通信技术领域,特别涉及一种二层隧道协议虚拟专用网实现移动的方法和系统。
背景技术
远程访问虚拟专用网(Access VPN)向出差流动员工、远程办公人员和远程小办公室提供了通过公用网络与企业内部网络(Intranet)建立私有的网络连接。
二层隧道协议虚拟专用网(L2TP VPN)是Access VPN的一种,采用L2TP构建虚拟专用网络,其典型组网如图1所示,主要包括:远端设备、L2TP访问集中器(LAC)和网络服务器(LNS)。其中,远端设备是要接入Intranet网络的远端用户设备或分支结构,通常是一个用户主机或私有分支网络的一台路由设备。LAC是具有点对点(PPP)端系统和L2TP处理能力的设备,通常是当地网络服务提供商(ISP)的网络接入服务器(NAS),为PPP端设备提供接入服务,其位于远端设备和LNS之间,用于在LNS和远端设备之间传递信息包。LNS既是PPP端设备,又是L2TP协议的服务器端,通常作为一个Intranet网络的边缘设备。在该组网中,通过在公网中建立L2TP隧道连接,将远端设备的PPP连接的另一端由LAC在逻辑上延伸到了Intranet网络的LNS,从而实现远端设备接入Intranet。
L2TP VPN的连接建立包括两种类型,一种是NAS发起的VPN连接,一种是用户发起的VPN连接。本发明主要涉及用户发起的VPN连接,如图2所示,这种方式下,远端设备为本地支持L2TP协议的设备,即在远程设备中设置了LAC客户端,该LAC客户端获得Internet访问权限后,可直接向LNS发起隧道连接请求,无需经过一个单独的LAC设备建立L2TP隧道,远程设备的LAC地址由LNS分配。其中,LAC地址是L2TP隧道使用的私网地址。
在L2TP隧道建立完成后,远端设备会在建立的L2TP隧道上进行PPP会话协商和PPP认证,从而建立PPP会话。但是,如果远端设备为移动用户,则常常遇到LAC地址发生变化的情况,例如,远端设备的接入点发生变化,或者切换到不同的网卡。这就需要重新建立L2TP隧道,并在新建立的L2TP隧道上重新进行PPP会话协商和PPP认证。这就需要远程设备记住用户输入的PPP认证信息,存在一定安全隐患,或者需要用户重新输入PPP认证信息给用户带来不便。另外,重新进行的PPP会话协商会为远程设备重新分配PPP地址,PPP地址的变化往往会给业务应用带来不便。例如远程用户如果使用FTP从Intranet下载数据,远程设备的移动如果造成LAC地址变化,则重新进行的PPP会话协商为远程设备重新分配PPP地址,则会造成FTP的下载中断,需要利用新的PPP地址重新进行FTP下载任务。
发明内容
有鉴于此,本发明提供了一种在L2TP VPN实现移动的方法和系统,以便于在远程设备移动造成LAC地址变化时,无需远程设备记住用户输入的PPP认证信息,且无需重新进行PPP会话协商,从而提高安全性和方便性。
一种在L2TP VPN实现移动的方法,应用于包含远端设备、LAC和LNS的L2TP VPN,其中,LAC客户端设置在远端设备中;该方法包括:
A、LAC客户端检测到所述远端设备的LAC地址变更后,向所述LNS发送携带变更后的LAC地址信息和L2TP隧道标识的隧道重关联请求,并利用变更后的LAC地址更新远端设备中包含所述L2TP隧道标识的L2TP隧道信息;
B、所述LNS接收到隧道重关联请求后,利用所述变更后的LAC地址信息在本地更新包含所述L2TP隧道标识的L2TP隧道信息,并向所述LAC客户端回复隧道重关联响应;
C、所述远端设备和LNS利用本地更新后的L2TP隧道信息发送数据。
一种在L2TP VPN中实现移动的系统,该系统包括:远端设备、LAC客户端和LNS,其中,所述LAC客户端设置在所述远端设备中;
所述LAC客户端,用于检测到所述远端设备的LAC地址变更后,向所述LNS发送携带变更后的LAC地址信息和L2TP隧道标识的隧道重关联请求,并利用变更后的LAC地址信息更新远端设备中包含所述L2TP隧道标识的L2TP隧道信息,以便所述远端设备利用本地更新后的L2TP隧道信息发送数据;
所述LNS,用于接收到隧道重关联请求后,利用所述变更后的LAC地址信息在本地更新包含所述L2TP隧道标识的L2TP隧道信息,以便利用本地更新后的L2TP隧道信息发送数据,向所述LAC客户端回复隧道重关联响应。
一种LAC客户端,应用于包含远端设备、LAC客户端和LNS的系统,所述LAC客户端设置在所述远端设备中;所述LAC客户端包括:变更检测单元、第一重关联单元和第一更新单元;
所述变更检测单元,用于检测所述远端设备的LAC地址是否发生变更;
所述第一重关联单元,用于在所述变更检测单元检测到所述远端设备的LAC地址发生变更后,向所述LNS发送携带变更后的LAC地址信息和L2TP隧道标识的隧道重关联请求,以供所述远端设备利用变更后的LAC地址信息在远端设备本地更新包含所述L2TP隧道标识的L2TP隧道信息;
所述第一更新单元,用于在所述变更检测单元检测到所述远端设备的LAC地址发生变更后,利用变更后的LAC地址信息更新所述远端设备中包含所述L2TP隧道标识的L2TP隧道信息,以便所述远端设备利用本地更新后的L2TP隧道信息发送数据。
一种LNS,应用于包含远端设备、LAC客户端和LNS的系统,所述LAC客户端设置在所述远端设备中;所述LNS包括:第二重关联单元和第二更新单元;
所述第二重关联单元,用于接收所述LAC客户端在检测到所述远端设备的LAC地址变更后发送的隧道重关联请求;在所述第二更新单元更新L2TP隧道信息后,向所述LAC客户端回复隧道重关联响应;
所述第二更新单元,用于从所述隧道重关联请求中获取远端设备变更后的LAC地址信息和L2TP隧道标识,利用所述变更后的LAC地址信息更新该LNS中包含所述L2TP隧道标识的L2TP隧道信息,以便该LNS利用本地更新后的L2TP隧道信息发送数据。
由以上技术方案可以看出,本发明中LAC客户端将变更后的LAC地址和L2TP隧道标识通过隧道重关联请求发送给LNS,使得LAC和LNS都能够利用LAC地址信息更新本地包含L2TP隧道标识的L2TP隧道信息,便可以基于更新后的L2TP隧道信息进行数据通信,而无需重新建立L2TP隧道。由于对原有L2TP隧道来说仅更换了L2TP隧道信息中的LAC地址,因此与该L2TP隧道相关联的会话不会受到影响,无需远端设备记住用户输入的PPP认证信息,也无需用户重新输入PPP认证信息,从而提高了安全性;也无需重新进行相关会话的协商,用户的IP地址不会引起变更,从而为各种会话应用带来方便,也可以使得基于L2TP隧道的会话得以快速恢复。
附图说明
图1为L2TP VPN的典型组网示意图;
图2为用户发起L2TP VPN连接的示意图;
图3为本发明实施例提供的详细方法流程图;
图4为本发明实施例提供的AVP格式示意图;
图5为本发明实施例提供的L2TP隧道信息的示意图;
图6为本发明实施例提供的系统结构图。
具体实施方式
为了使本发明的目的、技术方案和优点更加清楚,下面结合附图和具体实施例对本发明进行详细描述。
本发明所提供的方法主要包括:LAC客户端检测到远端设备的LAC地址变更后,向LNS发送携带L2TP隧道标识和变更后LAC地址信息的隧道重关联请求(SCRRQ),并利用变更后的LAC地址在本地更新包含该L2TP隧道标识的L2TP隧道信息;LNS利用该变更后的LAC地址信息在本地更新包含该L2TP隧道标识的L2TP隧道信息,并向LAC客户端回复隧道重关联响应(SCRRP);远端设备和LNS利用本地更新后的L2TP隧道信息发送数据。
另外,可以在初始的L2TP隧道建立过程中,LAC客户端与LNS进行L2TP移动接入能力的协商,如果LAC客户端和LNS都支持L2TP移动接入,则可以在远端设备检测到自身的LAC地址变更后,按照本发明提供的上述方法进行隧道重关联;如果LAC客户端或LNS不支持L2TP移动接入,则可以在远端设备检测到自身的LAC地址变更后,按照现有技术中的方式重新建立L2TP隧道,也可以按照其它方式处理。
下面结合具体实施例对上述方法进行详细描述。图3为本发明实施例提供的详细方法流程图,如图3所示,该方法可以包括以下步骤:
步骤301:在L2TP隧道建立过程中,远端设备的LAC客户端通过隧道建立请求(SCCRQ)携带远端设备的L2TP移动接入能力信息。
本发明可以在L2TP隧道建立过程的能力协商过程中,通过扩展的L2TP控制报文来携带远端设备的L2TP移动接入能力信息。可以具体为:首先在SCCRQ中包含扩展的属性值对(AVP,Attribute-Value-Pair),该AVP用于描述L2TP移动接入能力,其格式可以如图4所示。其中,M字段用于携带该属性是否为可选属性,可以用0标识可选;H字段用于携带该属性是否需要隐藏,可以用0标识不需要隐藏;属性长度(Length)字段用于携带该属性的长度信息;企业标识(Vendor ID)字段用于携带企业标识,由于不同的企业可能采用不同的AVP版本,因此,可以用该字段对不同版本进行区分;属性类型(Attribute Type)字段可以定义为0x1;属性值(AttributeValue)字段携带L2TP移动接入能力信息。
步骤302:LNS接收到携带远端设备的L2TP移动接入能力信息的SCCRQ后,在隧道建立响应(SCCRP)中携带该LNS的L2TP移动接入能力信息。
本步骤中,也可以通过在SCCRP中通过扩展的AVP携带该LNS的L2TP移动接入能力信息,具体携带方式与步骤301中相同。
LAC客户端获取到LNS的L2TP移动接入能力信息后,如果确定LNS支持L2TP移动接入,则在检测到远端设备的LAC地址变更后,按照下述步骤执行。如果确定LNS不支持L2TP移动接入,则在检测到远端设备的LAC地址变更后,可以按照现有技术中的方式重新建立L2TP隧道,或者采用其它方式处理。
后续隧道建立过程、PPP会话协商和PPP认证过程与现有技术相同,在此省略。
如果LAC客户端检测到远端设备的LAC地址变更,则不再重新建立L2TP隧道,而是执行下述隧道重关联过程。
步骤303:当LAC客户端检测到远端设备的LAC地址变更后,确定变更前的LAC地址对应的L2TP隧道标识,向LNS发送携带L2TP隧道标识和变更后LAC地址信息的SCRRQ,并利用变更后的LAC地址在本地更新包含该L2TP隧道标识的L2TP隧道信息。
当远端设备与LNS完成L2TP隧道建立后,在远端设备和LNS端都会保存建立的L2TP隧道信息,该L2TP隧道信息的内容可以如图5所示,包括:LAC地址、LAC端口、LNS地址、LNS端口和L2TP隧道标识。需要说明的是,L2TP隧道标识可能包含:LAC客户端分配的L2TP隧道标识(LACAssigned Tunnel ID)和LNS分配的L2TP隧道标识(LNS Assigned TunnelID),这两个隧道标识可能并不相同,针对这种情况,本发明中涉及到的L2TP隧道标识是指LNS分配的L2TP隧道标识。
远端设备和LNS通常利用本地保存的L2TP隧道信息进行数据的封装和解封装,以及隧道的维护。另外,包括PPP会话等基于该L2TP隧道的会话信息与对应的L2TP隧道标识相关联。
LAC客户端检测到远端设备的LAC地址变更后,可以根据本地的L2TP隧道信息确定变更LAC地址对应的L2TP隧道标识。然后通过SCRRQ将变更后的LAC地址信息和该L2TP隧道标识发送给LNS,以进行隧道重关联。
该SCRRQ是一个新增的L2TP控制报文,该SCRRQ的AVP中除了包含L2TP隧道标识之外,还可以包含报文类型信息、协议版本号、远端设备标识。变更后的LAC地址信息可以通过该SCRRQ的源地址信息携带,如果LAC端口也发生变更,则还可以通过SCRRQ的源端口信息携带变更后的LAC端口信息。
另外,LAC客户端会利用变更后的LAC端口在本地更新包含该L2TP隧道标识的L2TP隧道信息。
步骤304:LNS从接收到的SCRRQ中获取变更后的LAC地址信息和L2TP隧道标识,确定包含该L2TP隧道标识的L2TP隧道信息,将该L2TP隧道信息中的LAC地址更新为变更后的LAC地址,然后向LAC客户端回复SCRRP。
如果LAC端口也发生变更,则同时利用变更后的LAC端口,将确定的L2TP隧道信息中的LAC端口更新为变更后的LAC端口。上述变更后的LAC地址和变更后的LAC端口可以从SCRRQ的源地址和源端口获取,这样即便在LAC客户端和LNS之间存在NAT,也能够保证隧道重关联的正确性。
如果LNS没有找到包含L2TP隧道标识的L2TP隧道信息,或者LNS本身不支持L2TP移动接入,则可以不回复SCRRP。
步骤305:LAC客户端接收到SCRRP后,向LNS回复隧道重关联成功报文(SCRCN)。
步骤306:LNS接收到SCRCN后,回应零长度体响应(ZLB ACK)。
至此,隧道重关联过程结束。由于L2TP隧道没有重建且重关联的L2TP隧道标识没有发生变化,PPP会话利用的用户IP地址也没有发生变化,因此可以利用已有的PPP会话参数继续基于该L2TP隧道进行相应的PPP会话。
更优地,由于LAC地址的变更对于LNS来说是不可预知的,因此,在LAC客户端发起隧道重关联之前LNS需要保留所有的隧道信息,为了防止LAC客户端意外断线长时间占用隧道资源,可以为隧道信息进行超时处理,如果在设定时间内没有通过某L2TP隧道接收到报文,则删除该L2TP隧道的隧道信息并释放该L2TP隧道资源。
在上述隧道重关联过程中,LAC客户端通过SCRRQ告知LNS发生变更的LAC地址和L2TP隧道标识之间的对应关系,这样很容易遭到非法攻击。只要知道了L2TP隧道标识,非法LAC客户端就可以接管已存在的L2TP隧道,使得合法的LAC客户端不能使用该L2TP隧道进行通信。因此,为了进一步提高安全性,可以在上述重关联过程中引入LAC认证过程,具体方案如下:
在步骤302中,如果LNS支持L2TP移动接入,在回复的SCCRP中除了携带该LNS的L2TP移动接入能力信息之外,还可以携带LNS为所述L2TP隧道分配的隧道重关联挑战码(RCC),该RRC同样可以通过扩展的AVP携带。其中,该RRC是LNS随机分配的,对于不同的L2TP隧道,这个随机分配的RRC应最大限度保证唯一性。
另外,在LNS和LAC客户端均会记录该RRC与隧道标识之间的对应关系,以便后续重关联过程中进行认证使用。
当LAC客户端检测到远端设备的LAC地址变更,从而发起隧道重关联过程时,在步骤303中发送的SCRRQ中可以进一步携带隧道重关联认证码(RAC)。其中,该RAC是利用LNS和该LAC客户端的共享密钥(share-key)以及LNS分配的RRC按照约定的算法生成的,具体生成方法可以采用多种方式,例如采用哈希(HASH)算法,即RAC=HASH(share-key,RCC),其中,HASH算法可以采用信息摘要算法5(MD5),也可以采用安全散列算法(SHA)等方式。
在步骤304中,LNS接收到SCRRQ后,还会进一步利用其中包含的RAC对LAC客户端的合法性进行认证,如果认证通过,则重新为该LAC客户端分配RCC,并将该RRC携带在SCRRP中回复给LAC客户端,LAC客户端接收到该重新分配的RRC后,更新记录的RRC与L2TP隧道标识之间的对应关系。如果认证失败,则不更新L2TP隧道信息,且不向LAC客户端回复SCRRP。
其中,LNS在进行合法性认证时,具体的认证过程为:确定SCRRQ中携带的L2TP隧道标识所对应的RRC,利用LNS和该LAC客户端的share-key以及确定的RRC按照约定的算法生成RAC,将生成的RAC与SCRRQ携带的RAC进行比较,如果一致,说明认证通过,否则认证失败。需要说明的是,LNS与LAC客户端在生成RAC时约定的算法是相同的。
以上是对本发明所提供的方法进行的详细描述,下面对本发明所提供的系统进行详细描述。如图6所示,该系统主要包括:远端设备600、LAC客户端610和LNS 620,其中,LAC客户端610设置在远端设备600中。
LAC客户端610,用于检测到远端设备600的LAC地址变更后,向LNS 620发送携带变更后的LAC地址信息和L2TP隧道标识的SCRRQ,并利用变更后的LAC地址信息更新远端设备600中包含L2TP隧道标识的L2TP隧道信息,以便远端设备600利用本地更新后的L2TP隧道信息发送数据。
LNS 620,用于接收到SCRRQ后,利用变更后的LAC地址信息在本地更新包含L2TP隧道标识的L2TP隧道信息,以便利用本地更新后的L2TP隧道信息发送数据,向LAC客户端610回复SCRRP。
下面对上述的LAC客户端610和LNS 620的结构进行具体描述。其中,上述LAC客户端610可以具体包括:变更检测单元611、第一重关联单元612和第一更新单元613。
变更检测单元611,用于检测远端设备600的LAC地址是否发生变更。
第一重关联单元612,用于在变更检测单元611检测到远端设备600的LAC地址发生变更后,向LNS 620发送携带变更后的LAC地址信息和L2TP隧道标识的SCRRQ。
第一更新单元613,用于在变更检测单元600检测到远端设备600的LAC地址发生变更后,利用变更后的LAC地址信息更新远端设备600中包含L2TP隧道标识的L2TP隧道信息。
LNS 620可以具体包括:第二重关联单元621和第二更新单元622。
第二重关联单元621,用于接收SCRRQ;在第二更新单元622更新L2TP隧道信息后,向LAC客户端610回复SCRRP。
第二更新单元622,用于从SCRRQ中获取变更后的LAC地址信息和L2TP隧道标识,利用变更后的LAC地址信息更新该LNS 620中包含L2TP隧道标识的L2TP隧道信息,以便该LNS 620利用本地更新后的L2TP隧道信息发送数据。
更进一步地,第一重关联单元612可以在收到SCRRP后,向LNS 620回复SCRCN。
第二重关联单元621可以在收到SCRCN后,向LAC客户端610回复ZLBACK。
另外,LAC客户端610还可以包括:第一隧道建立单元614和第一能力协商单元615。
第一隧道建立单元614,用于在L2TP隧道建立过程中,向LNS 620发送SCCRQ,接收LNS 620回复的SCCRP。
第一能力协商单元615,用于在SCCRQ中携带远端设备600的L2TP移动接入能力信息;如果根据SCCRP确定LNS 620支持L2TP移动接入,则使能第一重关联单元612在变更检测单元611检测到远端设备600的LAC地址变更后,发送SCRRQ。
如果根据SCCRP确定LNS 620不支持L2TP移动接入,则第一能力协商单元615可以使能第一隧道建立单元612在变更检测单元611检测到远端设备600的LAC地址变更后,重新向LNS 620发起L2TP隧道建立过程,或者采用其它方式处理。
对应地,LNS 620还可以包括:第二隧道建立单元623和第二能力协商单元624。
第二隧道建立单元623,用于接收到SCCRQ后,向LAC客户端610回复SCCRP。
第二能力协商单元624,用于在SCCRP中携带该LNS 620的L2TP移动接入能力信息。
由于远端设备600的移动除了引起LAC地址发生变更之外,还可能引起LAC端口发生变更,针对这种情况,变更检测单元611,还可以用于检测远端设备600的LAC端口是否发生变更。
第一重关联单元612,还用于在远端设备600的LAC端口也发生变更时,在SCRRQ中还携带变更后的LAC端口信息。
第一更新单元613,还用于在远端设备600的LAC端口发生变更时,利用变更后的LAC端口信息更新远端设备600中包含L2TP隧道标识的L2TP隧道信息。
对应地,第二更新单元622,还可以用于利用变更后的LAC端口信息更新该LNS 620中包含L2TP隧道标识的L2TP隧道信息。
其中,LNS 620中的第二更新单元622可以将SCRRQ的源IP地址和源端口分别作为变更后的LAC地址信息和变更后的LAC端口信息。
为了防止非法的LAC客户端利用重关联过程对LNS发起攻击,接管原有的L2TP隧道,造成合法LAC客户端无法使用L2TP隧道,更优地,LNS 620可以进一步包括:第二认证单元625,用于在SCCRP中携带该LNS 620分配的RCC;利用LNS 620和LAC客户端610的共享密钥以及RCC按照约定的算法生成RAC,将生成的RAC与SCRRQ中携带的RAC进行比较,如果一致,则认证成功,则使能第二更新单元622执行更新该LNS 620中包含L2TP隧道标识的L2TP隧道信息;如果不一致,则认证失败,禁止第二更新单元622执行更新该LNS 620中包含L2TP隧道标识的L2TP隧道信息。
LAC客户端610可以进一步包括:第一认证单元616,用于在远端设备600的LAC地址发生变更后,利用LNS 620和LAC客户端610的共享密钥以及RCC按照约定的算法生成RAC,并将该RAC携带在SCRRQ中。
更优地,为了在后续过程中更加严密地保证安全性,第二认证单元625可以在认证成功后,重新分配RCC并携带在所述SCRRP中发送给LAC客户端610。
为了避免LAC客户端断线后长时间占用L2TP隧道资源,LNS 620还可以包括:信息维护单元(该单元在图6中没有示出),用于在设定时长内没有通过与所述LAC客户端建立的L2TP隧道接收和发送报文,则删除所述L2TP隧道的隧道信息并释放所述L2TP隧道资源。
由以上描述可以看出,本发明中LAC客户端将变更后的LAC地址和L2TP隧道标识通过隧道重关联请求发送给LNS,使得LAC和LNS都能够利用LAC地址信息更新本地包含L2TP隧道标识的L2TP隧道信息,便可以基于更新后的L2TP隧道信息进行数据通信,而无需重新建立L2TP隧道。由于对原有L2TP隧道来说仅更换了L2TP隧道信息中的LAC地址,因此与该L2TP隧道相关联的会话不会受到影响,无需远端设备记住用户输入的PPP认证信息,也无需用户重新输入PPP认证信息,从而提高了安全性;也无需重新进行相关会话的协商,用户的IP地址不会引起变更,从而为各种会话应用带来方便,也可以使得基于L2TP隧道的会话得以快速恢复。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本发明保护的范围之内。
Claims (10)
1.一种在二层隧道协议虚拟专用网L2TP VPN实现移动的方法,应用于包含远端设备、访问集中器LAC客户端和网络服务器LNS的L2TP VPN;其中,LAC客户端设置在远端设备中;其特征在于,该方法包括:
所述LAC客户端在发送给所述LNS的隧道建立请求中携带远端设备的L2TP移动接入能力信息;
所述LNS接收到所述隧道建立请求后,在回复给所述LAC客户端的隧道建立响应中携带该LNS的L2TP移动接入能力信息;所述隧道建立响应还携带所述LNS分配的重关联挑战码RCC;
所述LAC客户端根据所述隧道建立响应确定所述LNS支持L2TP移动接入;
该方法还包括:
A、LAC客户端检测到所述远端设备的LAC地址变更后,向所述LNS发送携带变更后的LAC地址信息和L2TP隧道标识和隧道重关联认证码RAC的隧道重关联请求,该RAC是利用LNS和LAC客户端的共享密钥以及所述RCC按照约定的算法生成的,并利用变更后的LAC地址更新远端设备中包含所述L2TP隧道标识的L2TP隧道信息;
B、所述LNS接收到隧道重关联请求后,所述LNS利用LNS和LAC客户端的共享密钥以及所述RCC按照约定的算法生成RAC,将生成的RAC与所述隧道重关联请求中携带的RAC进行比较,如果一致,则认证成功,再利用所述变更后的LAC地址信息在本地更新包含所述L2TP隧道标识的L2TP隧道信息,并向所述LAC客户端回复隧道重关联响应,所述远端设备和LNS利用本地更新后的L2TP隧道信息发送数据;如果不一致,则认证失败,结束流程。
2.根据权利要求1所述的方法,其特征在于,如果所述远端设备的LAC端口也发生变更,则所述隧道重关联请求还携带变更后的LAC端口信息;
所述步骤A还包括:所述LAC客户端利用变更后的LAC端口信息更新远端设备中包含所述L2TP隧道标识的L2TP隧道信息;
所述步骤B还包括:所述LNS利用所述变更后的LAC端口信息在本地更新包含所述L2TP隧道标识的L2TP隧道信息。
3.根据权利要求2所述的方法,其特征在于,在所述步骤B中,所述LNS将所述隧道重关联请求的源IP地址和源端口分别作为变更后的LAC地址信息和变更后的LAC端口信息。
4.根据权利要求1所述的方法,其特征在于,如果认证成功,所述LNS重新分配RCC,并将重新分配的RCC携带在所述隧道重关联响应中。
5.根据权利要求1至4任一权项所述的方法,其特征在于,该方法还包括:所述LNS如果在设定时长内没有通过与所述LAC客户端建立的L2TP隧道接收和发送报文,则删除所述L2TP隧道的隧道信息并释放所述L2TP隧道资源。
6.一种在二层隧道协议虚拟专用网L2TP VPN实现移动的系统,该系统包括:远端设备、访问集中器LAC客户端和网络服务器LNS,其中,所述LAC客户端设置在所述远端设备中;其特征在于,
所述LAC客户端,用于发送携带有远端设备的L2TP移动接入能力信息的隧道建立请求给所述LNS,根据来自网络服务器LNS的隧道建立响应确定所述LNS支持L2TP移动接入;检测到所述远端设备的LAC地址变更后,向所述LNS发送携带变更后的LAC地址信息和L2TP隧道标识和隧道重关联认证码RAC的隧道重关联请求,该RAC是利用LNS和LAC客户端的共享密钥以及重关联挑战码RCC按照约定的算法生成的,并利用变更后的LAC地址信息更新远端设备中包含所述L2TP隧道标识的L2TP隧道信息,以便所述远端设备利用本地更新后的L2TP隧道信息发送数据;
所述LNS,用于接收到来自LAC的隧道建立请求后,在回复给所述LAC客户端的隧道建立响应中携带该LNS的L2TP移动接入能力信息,所述隧道建立响应还携带所述LNS分配的所述RCC;接收到隧道重关联请求后,所述LNS利用LNS和LAC客户端的共享密钥以及所述RCC按照约定的算法生成RAC,将生成的RAC与所述隧道重关联请求中携带的RAC进行比较,如果一致,则认证成功,再利用所述变更后的LAC地址信息在本地更新包含所述L2TP隧道标识的L2TP隧道信息,以便利用本地更新后的L2TP隧道信息发送数据,向所述LAC客户端回复隧道重关联响应。
7.一种访问集中器LAC客户端,应用于包含远端设备、LAC客户端和网络服务器LNS的系统,所述LAC客户端设置在所述远端设备中;其特征在于,所述LAC客户端包括:变更检测单元、第一重关联单元、第一更新单元、第一隧道建立单元、第一能力协商单元和第一认证单元;
所述变更检测单元,用于检测所述远端设备的LAC地址是否发生变更;
所述第一重关联单元,用于在所述变更检测单元检测到所述远端设备的LAC地址发生变更后,向所述LNS发送携带变更后的LAC地址信息和二层隧道协议L2TP隧道标识和隧道重关联认证码RAC的隧道重关联请求,以供所述远端设备利用变更后的LAC地址信息在远端设备本地更新包含所述L2TP隧道标识的L2TP隧道信息;
所述第一更新单元,用于在所述变更检测单元检测到所述远端设备的LAC地址发生变更后,利用变更后的LAC地址信息更新所述远端设备中包含所述L2TP隧道标识的L2TP隧道信息,以便所述远端设备利用本地更新后的L2TP隧道信息发送数据;
所述第一隧道建立单元,用于在L2TP隧道建立过程中,向所述LNS发送隧道建立请求,接收所述LNS回复的隧道建立响应;
所述第一能力协商单元,用于在所述隧道建立请求中携带远端设备的L2TP移动接入能力信息;从所述LNS发送的隧道建立响应中获取LNS的L2TP移动接入能力信息,如果确定所述LNS支持L2TP移动接入,则使能所述第一重关联单元在所述变更检测单元检测到所述远端设备的LAC地址变更后,发送所述隧道重关联请求;
所述第一认证单元,用于在所述远端设备的LAC地址发生变更后,利用LNS和LAC客户端的共享密钥以及所述隧道建立响应中携带的重关联挑战码RCC,按照约定的算法生成RAC,并将该RAC携带在所述隧道重关联请求中。
8.根据权利要求7所述的LAC客户端,其特征在于,所述变更检测单元,还用于检测所述远端设备的LAC端口是否发生变更;
所述第一重关联单元,还用于在所述远端设备的LAC端口也发生变更时,在所述隧道重关联请求中还携带变更后的LAC端口信息;
所述第一更新单元,还用于在所述远端设备的LAC端口也发生变更时,利用变更后的LAC端口信息更新远端设备中包含所述L2TP隧道标识的L2TP隧道信息。
9.一种网络服务器LNS,应用于包含远端设备、访问集中器LAC客户端和LNS的系统,所述LAC客户端设置在所述远端设备中;其特征在于,所述LNS包括:第二重关联单元、第二更新单元、第二隧道建立单元、第二能力协商单元和第二认证单元;
所述第二重关联单元,用于接收所述LAC客户端在检测到所述远端设备的LAC地址变更后发送的隧道重关联请求;在所述第二更新单元更新二层隧道协议L2TP隧道信息后,向所述LAC客户端回复隧道重关联响应;
所述第二更新单元,用于从所述隧道重关联请求中获取远端设备变更后的LAC地址信息和L2TP隧道标识,利用所述变更后的LAC地址信息更新该LNS中包含所述L2TP隧道标识的L2TP隧道信息,以便该LNS利用本地更新后的L2TP隧道信息发送数据;
第二隧道建立单元,用于接收到所述LAC客户端发送的隧道建立请求后,向所述LAC客户端回复隧道建立响应,其中,所述隧道建立请求携带所述远端设备的L2TP移动接入能力信息;
所述第二能力协商单元,用于在所述隧道建立响应中携带该LNS的L2TP移动接入能力信息;
所述第二认证单元,用于在所述隧道建立响应中携带该LNS分配的重关联挑战码RCC;利用LNS和LAC客户端的共享密钥以及所述RCC按照约定的算法生成隧道重关联认证码RAC,将生成的RAC与所述隧道重关联请求中携带的RAC进行比较,如果一致,则认证成功,使能所述第二更新单元执行更新该LNS中包含所述L2TP隧道标识的L2TP隧道信息;如果不一致,则认证失败,禁止所述第二更新单元执行更新该LNS中包含所述L2TP隧道标识的L2TP隧道信息;其中,所述隧道重关联请求中携带的RAC是所述LAC客户端利用LNS和LAC客户端的共享密钥以及所述RCC按照约定的算法生成的。
10.根据权利要求9所述的LNS,其特征在于,所述第二更新单元,还用于利用所述隧道重关联请求中携带的变更后的LAC端口信息更新该LNS中包含所述L2TP隧道标识的L2TP隧道信息。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN200910265531.2A CN102111326B (zh) | 2009-12-25 | 2009-12-25 | 在二层隧道协议虚拟专用网实现移动的方法、系统和装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN200910265531.2A CN102111326B (zh) | 2009-12-25 | 2009-12-25 | 在二层隧道协议虚拟专用网实现移动的方法、系统和装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN102111326A CN102111326A (zh) | 2011-06-29 |
| CN102111326B true CN102111326B (zh) | 2014-06-25 |
Family
ID=44175360
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN200910265531.2A Expired - Fee Related CN102111326B (zh) | 2009-12-25 | 2009-12-25 | 在二层隧道协议虚拟专用网实现移动的方法、系统和装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN102111326B (zh) |
Families Citing this family (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103227773B (zh) * | 2012-03-31 | 2016-05-11 | 杭州华三通信技术有限公司 | 一种建立虚拟专用拨号网络连接的方法及其系统 |
| CN102724767B (zh) * | 2012-04-27 | 2015-03-18 | 杭州华三通信技术有限公司 | 一种移动用户的虚拟专用网接入方法及其装置 |
| CN103647832B (zh) * | 2013-12-13 | 2017-06-09 | 华为技术有限公司 | 信息同步方法及网络设备 |
| CN106375376B (zh) * | 2016-08-25 | 2020-04-14 | 迈普通信技术股份有限公司 | 资源回收方法及装置 |
| CN107294831A (zh) * | 2017-06-28 | 2017-10-24 | 迈普通信技术股份有限公司 | 地址分配方法及装置 |
| CN111182657B (zh) * | 2018-11-09 | 2023-09-22 | 中兴通讯股份有限公司 | 一种隧道协商建立方法及装置 |
| CN109600292B (zh) * | 2018-12-24 | 2021-09-28 | 安徽皖通邮电股份有限公司 | 一种lac路由器自拨号发起l2tp隧道连接的方法及系统 |
| CN111343071B (zh) * | 2020-03-20 | 2022-02-22 | 新华三信息安全技术有限公司 | 隧道建立方法、装置、负载均衡设备及存储介质 |
| CN113595848B (zh) * | 2021-07-28 | 2022-06-28 | 中移(杭州)信息技术有限公司 | 一种通信隧道建立方法、装置、设备及存储介质 |
| CN114285900B (zh) * | 2021-12-09 | 2023-10-03 | 中国联合网络通信集团有限公司 | 调度系统、认证方法、调度方法、装置、服务器及介质 |
| CN115001701B (zh) * | 2022-05-17 | 2023-10-31 | 中国电信股份有限公司 | 用于授权认证的方法及装置、存储介质及电子设备 |
| CN114928664B (zh) * | 2022-06-16 | 2023-10-31 | 中国电信股份有限公司 | 网络隧道建立方法及装置、存储介质及电子设备 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1677976A (zh) * | 2004-03-19 | 2005-10-05 | 微软公司 | 再使用于移动计算设备的虚拟专用网络结构 |
| CN101110847A (zh) * | 2007-08-27 | 2008-01-23 | 华为技术有限公司 | 一种获取介质访问控制地址的方法、系统及装置 |
| CN101262409A (zh) * | 2008-04-23 | 2008-09-10 | 华为技术有限公司 | 虚拟私有网络vpn接入方法和装置 |
| CN101297523A (zh) * | 2004-08-13 | 2008-10-29 | 高通弗拉里奥恩技术公司 | 用于高效的vpn服务器接口、地址分配和与本地寻址域的信令传递的方法和装置 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101128025B (zh) * | 2006-08-17 | 2011-01-19 | 中兴通讯股份有限公司 | 随机接入中用调度请求传送终端无线接入能力信息的方法 |
-
2009
- 2009-12-25 CN CN200910265531.2A patent/CN102111326B/zh not_active Expired - Fee Related
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1677976A (zh) * | 2004-03-19 | 2005-10-05 | 微软公司 | 再使用于移动计算设备的虚拟专用网络结构 |
| CN101297523A (zh) * | 2004-08-13 | 2008-10-29 | 高通弗拉里奥恩技术公司 | 用于高效的vpn服务器接口、地址分配和与本地寻址域的信令传递的方法和装置 |
| CN101110847A (zh) * | 2007-08-27 | 2008-01-23 | 华为技术有限公司 | 一种获取介质访问控制地址的方法、系统及装置 |
| CN101262409A (zh) * | 2008-04-23 | 2008-09-10 | 华为技术有限公司 | 虚拟私有网络vpn接入方法和装置 |
Non-Patent Citations (4)
| Title |
|---|
| Chen-Han Lin et al.Mobile Intelligent Agent Technologies to Support VoIP Seamless Mobility.《AINA 2005.19th International Conference on Advanced Information Networking and Applications, 2005》.2005,第2卷 |
| Mobile Intelligent Agent Technologies to Support VoIP Seamless Mobility;Chen-Han Lin et al;《AINA 2005.19th International Conference on Advanced Information Networking and Applications, 2005》;20050330;第2卷;全文 * |
| 曾勇军等.通过L2TP实现虚拟专用网.《计算机系统应用》.2000,(第4期), |
| 通过L2TP实现虚拟专用网;曾勇军等;《计算机系统应用》;20000405(第4期);全文 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN102111326A (zh) | 2011-06-29 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN102111326B (zh) | 在二层隧道协议虚拟专用网实现移动的方法、系统和装置 | |
| KR101914408B1 (ko) | 인터넷 액세스 인증 방법 및 클라이언트, 그리고 컴퓨터 저장 매체 | |
| WO2015101125A1 (zh) | 网络接入控制方法和设备 | |
| US20110016309A1 (en) | Cryptographic communication system and gateway device | |
| US8806608B2 (en) | Authentication server and method for controlling mobile communication terminal access to virtual private network | |
| CN112997454A (zh) | 经由移动通信网络连接到家庭局域网 | |
| CN101599967B (zh) | 基于802.1x认证系统的权限控制方法及系统 | |
| US9775032B2 (en) | Method for controlling access point in wireless local area network, and communication system | |
| CN101030908A (zh) | 无线局域网wapi安全机制中证书的申请方法 | |
| CN102572005A (zh) | 一种ip地址分配方法和设备 | |
| CN101404575B (zh) | 一种更新签名算法的方法和系统 | |
| CN105323325A (zh) | 一种身份位置分离网络中的地址分配方法及接入服务节点 | |
| CN102571811A (zh) | 用户接入权限控制系统和方法 | |
| CN103957194B (zh) | 一种网络协议ip接入方法及接入设备 | |
| CN104243625A (zh) | 一种ip地址的分配方法及装置 | |
| CN107342972B (zh) | 一种实现远程访问的方法及装置 | |
| CN102075504B (zh) | 一种实现二层门户认证的方法、系统及门户服务器 | |
| CN102638782B (zh) | 一种分配家乡代理的方法及系统 | |
| WO2024002143A1 (zh) | 一种根证书更新方法、装置 | |
| CN101945053A (zh) | 一种报文的发送方法和装置 | |
| CN103532717A (zh) | 一种Portal认证处理方法、认证协助方法及装置 | |
| JP6076276B2 (ja) | 通信システム及び通信方法 | |
| CN100556027C (zh) | 一种基于网络密钥交换协议的地址更新方法 | |
| CN101031133B (zh) | 一种确定移动节点归属的家乡代理的方法及装置 | |
| CN103179222B (zh) | 一种双栈地址分配方法和设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CP03 | Change of name, title or address |
Address after: 310052 Binjiang District Changhe Road, Zhejiang, China, No. 466, No. Patentee after: Xinhua three Technology Co., Ltd. Address before: 310053 Hangzhou hi tech Industrial Development Zone, Zhejiang province science and Technology Industrial Park, No. 310 and No. six road, HUAWEI, Hangzhou production base Patentee before: Huasan Communication Technology Co., Ltd. |
|
| CP03 | Change of name, title or address | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20140625 Termination date: 20191225 |
|
| CF01 | Termination of patent right due to non-payment of annual fee |