CN102905263A - 实现3g用户安全接入网络的方法和设备 - Google Patents
实现3g用户安全接入网络的方法和设备 Download PDFInfo
- Publication number
- CN102905263A CN102905263A CN2012103712545A CN201210371254A CN102905263A CN 102905263 A CN102905263 A CN 102905263A CN 2012103712545 A CN2012103712545 A CN 2012103712545A CN 201210371254 A CN201210371254 A CN 201210371254A CN 102905263 A CN102905263 A CN 102905263A
- Authority
- CN
- China
- Prior art keywords
- client
- checking
- lns
- address
- fix information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Small-Scale Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本申请公开了一种实现3G用户安全接入网络的方法和设备:当LNS获取的客户端的LCP属性和用户名均可接受时,从创建的临时IP地址池中选取一个临时IP地址分配给客户端,接收客户端发送的验证客户端身份的固定信息;当接收到固定信息时,将其与用户名和密码对应记录,断开与客户端的PPP连接触发客户端发起第二次VPDN呼叫,根据记录的固定信息、用户名和密码将AAA服务器为客户端分配的指定的IP地址通知客户端,或者,当接收到固定信息时,直接将其与用户名、密码发给AAA服务器对该客户端进行认证通过后,将AAA服务器为客户端分配的指定的IP地址通知客户端。应用本发明所述的方法和设备,使得只有LNS进行了安全认证的客户端才能够接入网络,提高网络接入安全性。
Description
技术领域
本申请涉及3G网络技术领域,特别涉及一种实现3G用户安全接入网络的方法和设备。
背景技术
随着3G网络的成熟,用户对于3G无线的应用需求也越来越强烈,3G网络给用户带来极大的便利性,同时又是对有线通信方式及提高网络可靠性的很好补充。其中3G接入比较常用的方式为虚拟私有拨号网(VPDN)接入,尤其是金融及其他对安全性要求较高的行业,由运营商向3G用户分配特定的用户名和密码,3G用户使用该用户名和密码接入网络后,运营商接入设备二层隧道协议访问集中器(LAC)负责与企业总部二层隧道协议网络服务器(LNS)建立二层隧道协议(L2TP),使3G用户方便灵活地接入企业总部网络。
图1为现有3G VPDN应用组网示意图,如图1所示,企业网点中的3G路由器作为L2TP客户端设备,运营商网络中的路由器作为L2TP隧道的LAC,企业中心中的路由器作为L2TP隧道的LNS,L2TP客户端通过3G无线网络连接到LAC,LNS则通过有线专线与LAC相连接。该应用组网中VPDN接入的处理流程可参见图2,如图2所示,该流程包括:
1、客户端向LAC发起PPP连接建立请求,与LAC之间进行点到点协议(PPP)LAC协商和认证。
其中,LAC对客户端的认证是通过Radius服务器来实现的,Radius服务器上存储了所有客户端的资料,LAC在获得客户端的用户名、密码等信息之后,在Radius服务器上找到对应的客户端资料,并对客户端进行认证,认证的方式可以采用PAP或CHAP两种方式:PAP方式要求客户端提供正确的密码,密码正确的话可以通过认证;CHAP方式要对客户端发一个盘问(Challenge),客户端用共有的加密方式回答盘问之后才可以通过认证。
2、LAC认证通过后,向LNS发起L2TP隧道建立请求,LAC和LNS为了相互验证对方的有效性可以使用隧道的CHAP认证(可选),在LNS侧可以配置对用户的再次认证(可选),验证方式可为PAP或CHAP认证。隧道建立后LAC将客户端的用户名、密码等认证信息发送给AAA服务器,认证通过后向客户端分配IP地址等信息。
通过上述分析可以看出,现有组网在进行VPDN接入时,客户端通过PPP协议只能将用户名、密码等信息发送给LNS进行认证,而无法将用于标识客户端是否可以接入LNS的固定信息,如客户端的设备序列号(SN)信息和3G UIM/SIM卡的国际移动用户识别码(IMSI)等上传给LNS,也就导致了只要其它客户端能够获取用户名、密码等信息,即使不是使用指定的设备SN信息和3G IMSI信息等固定信息,也都能接入企业内部网络,从而降低了网络接入的安全性。
发明内容
有鉴于此,本发明提供了一种实现3G用户安全接入网络的方法,使得只有LNS根据绑定的多元素进行了安全认证的客户端才能够接入网络,提高网络接入的安全性。
本发明还提供了一种实现3G用户安全接入网络的设备,使得只有LNS根据绑定的多元素进行了安全认证的客户端才能够接入网络,提高网络接入的安全性。
为了达到上述目的,本发明提出的技术方案为:
一种实现3G用户安全接入网络的方法,应用于包括客户端、二层隧道协议访问集中器LAC、二层隧道协议网络服务器LNS和验证授权记账服务器AAA服务器的虚拟私有拨号网VPDN网络中,该方法包括:
a.LNS获取客户端发起的VPDN呼叫中的客户端的链路控制协议LCP属性、用户名和密码;
b.LNS确定出获取到的客户端的LCP属性和用户名均可接受时,判断该客户端的用于验证客户端身份的固定信息是否已被记录,如果是,执行步骤c;否则,执行步骤d;
c.LNS根据用户名、密码和记录的固定信息发给AAA服务器对客户端进行认证,并在认证通过时,将AAA服务器为客户端分配的指定的IP地址通知客户端后,删除记录的固定信息,结束流程;
d.LNS从为接入的客户端创建的临时IP地址池中选取一个未使用的临时IP地址分配给客户端,接收由客户端发送的用于验证客户端身份的固定信息;
e.LNS接收到客户端使用临时IP地址发送的用于验证客户端身份的固定信息时,将该客户端的用户名、密码与该用于验证客户端身份的固定信息进行对应记录后,断开与客户端的PPP连接触发客户端发起第二次VPDN呼叫。
所述步骤e中LNS接收到客户端使用临时IP地址发送的用于验证客户端身份的固定信息包括:LNS接收由客户端通过网管告警TRAP报文发送的用于验证客户端身份的固定信息。
所述用于验证客户端身份的固定信息包括客户端的设备序列号SN信息和3G卡的国际移动用户识别码IMSI信息。
一种实现3G用户安全接入网络的设备,该设备为应用于包括客户端、二层隧道协议访问集中器LAC、二层隧道协议网络服务器LNS和验证授权记账服务器AAA服务器的虚拟私有拨号网VPDN网络中的LNS,该设备包括:获取单元、确定单元、判断单元、临时地址分配单元、信息记录单元、二次触发单元和通知单元,其中,
所述获取单元,用于获取客户端发起的VPDN呼叫中的客户端的链路控制协议LCP属性、用户名和密码;
所述确定单元,用于确定获取单元获取到的客户端的LCP属性和用户名是否可接受;
所述判断单元,用于当确定单元确定出客户端的LCP属性和用户名均可接受时,判断信息记录单元中该客户端的用于验证客户端身份的固定信息是否已被记录;
所述临时地址分配单元,用于当判断单元判断出固定信息未被记录时,从为接入的客户端创建的临时IP地址池中选取一个未使用的临时IP地址分配给客户端,以便信息记录单元接收由客户端发送的用于验证客户端身份的固定信息;
所述信息记录单元,用于当接收到客户端使用临时地址分配单元选取的临时IP地址发送的用于验证客户端身份的固定信息时,将该客户端的用户名、密码与用于验证客户端身份的固定信息进行对应记录,并指示所述二次触发单元断开与客户端的PPP连接;
所述二次触发单元,用于接收到所述信息记录单元指示断开与客户端的PPP连接后,断开与客户端的PPP连接,触发客户端发起第二次VPDN呼叫;
所述通知单元,用于当判断单元判断出固定信息被记录时,将信息记录单元记录的用户名、密码和记录的固定信息发给AAA服务器对客户端进行认证,并在认证通过时,将AAA服务器为客户端分配的指定的IP地址通知客户端。
所述信息记录单元,用于记录由客户端通过网管告警TRAP报文发送的用于验证客户端身份的固定信息。
一种实现3G用户安全接入网络的方法,应用于包括客户端、二层隧道协议访问集中器LAC、二层隧道协议网络服务器LNS和验证授权记账服务器AAA服务器的虚拟私有拨号网VPDN网络中,该方法包括:
LNS获取客户端发起的VPDN呼叫中的客户端的链路控制协议LCP属性、用户名和密码;
LNS确定出获取到的客户端的LCP属性和用户名均可接受时,从为接入的客户端创建的临时IP地址池中选取一个未使用的临时IP地址分配给客户端,接收由客户端发送的用于验证客户端身份的固定信息;
LNS接收到客户端使用临时IP地址发送的用于验证客户端身份的固定信息时,将该客户端的用户名、密码与用于验证客户端身份的固定信息发给AAA服务器对该客户端进行认证;
当AAA服务器对客户端认证通过时,LNS通过与客户端进行点到点协议PPP因特网协议控制协议IPCP重协商将AAA服务器为客户端分配的指定的IP地址通知客户端。
所述LNS接收由客户端通过网管告警TRAP报文发送的用于验证客户端身份的固定信息。
所述用于验证客户端身份的固定信息包括客户端的设备序列号SN信息和3G卡的国际移动用户识别码IMSI信息。
一种实现3G用户安全接入网络的设备,该设备为应用于包括客户端、二层隧道协议访问集中器LAC、二层隧道协议网络服务器LNS和验证授权记账服务器AAA服务器的虚拟私有拨号网VPDN网络中的LNS,该设备包括:获取单元、确定单元、临时地址分配单元、认证单元和分配单元,其中,
所述获取单元,用于获取客户端发起的VPDN呼叫中的客户端的链路控制协议LCP属性、用户名和密码;
所述确定单元,用于确定所述获取单元获取到的客户端的LCP属性和用户名是否可接受;
所述临时地址分配单元,用于当所述确定单元确定出获取到的客户端的LCP属性和用户名均可接受时,从为接入的客户端创建的临时IP地址池中选取一个未使用的临时IP地址分配给客户端,以便由接收单元接收由客户端发送的用于验证客户端身份的固定信息;
所述接收单元,用于接收客户端使用临时地址分配单元选取的临时IP地址发送的用于验证客户端身份的固定信息;
所述发送单元,用于当所述接收单元接收到用于验证客户端身份的固定信息时,将该客户端的用户名、密码与用于验证客户端身份的固定信息发给AAA服务器对该客户端进行认证;
当AAA服务器对客户端认证通过时,所述通知单元,用于通过与客户端进行点到点协议PPP因特网协议控制协议IPCP重协商将AAA服务器为客户端分配的指定的IP地址通知客户端。
所述接收单元,用于接收由客户端通过网管告警TRAP报文发送的用于验证客户端身份的固定信息。
综上所述,本发明所采用的实现3G用户安全接入网络的方法,当客户端认证通过时,由LNS从创建的临时IP地址池中为客户端选取一个未使用的临时IP地址,以接收由客户端发送的用于验证客户端身份的固定信息;当接收到该固定信息时,将该客户端的固定信息与用户名、密码对应记录后,断开与客户端的PPP连接触发客户端发起第二次VPDN呼叫,进而能够记录的用户名、密码和记录的信息将AAA服务器为客户端分配的指定的IP地址通知客户端,或者,当接收到该固定信息时,直接根据客户端的固定信息与用户名、密码通过AAA服务器对该客户端进行认证,当认证通过时,再通过与客户端进行PPP IPCP重协商将AAA服务器为客户端分配的指定的IP地址通知客户端。由于本发明方法是由LNS将用于验证客户端身份的固定信息和客户端的用户名、密码发送给AAA服务器对客户端进行认证的,当认证通过时,才由LNS通过与客户端进行PPP IPCP重协商将AAA服务器为客户端分配的指定的IP地址通知客户端,因此,本发明实现3G用户安全接入网络的方法,只有通过了客户端身份信息验证的客户端才能够接入网络,也即只有LNS根据绑定的多元素进行了安全认证的客户端才能够接入网络,提高了网络接入的安全性。
附图说明
图1为现有3G VPDN应用组网示意图;
图2为现有3G VPDN应用组网中VPDN接入的处理方法流程图;
图3为本发明实施例一实现3G用户安全接入网络方法的工作流程图;
图4为本发明实施例一实现3G用户安全接入网络设备的结构示意图;
图5为本发明实施例二实现3G用户安全接入网络方法的工作流程图;
图6为本发明实施例二实现3G用户安全接入网络设备的结构示意图。
具体实施方式
为了解决本发明提出的技术问题,本发明实施例所述方案的具体实现包括:
a.LNS获取客户端发起的VPDN呼叫中的客户端的LCP属性、用户名和密码;
b.LNS确定出获取到的客户端的LCP属性和用户名均可接受时,判断该客户端的用于验证客户端身份的固定信息是否已被记录,如果是,执行步骤c;否则,执行步骤d;
c.LNS根据用户名、密码和记录的固定信息发给AAA服务器对客户端进行认证,并在认证通过时,将AAA服务器为客户端分配的指定的IP地址通知客户端后,删除记录的固定信息,结束流程;
d.LNS从为接入的客户端创建的临时IP地址池中选取一个未使用的临时IP地址分配给客户端,接收由客户端发送的用于验证客户端身份的固定信息;
e.LNS接收到客户端使用临时IP地址发送的用于验证客户端身份的固定信息时,将该客户端的用户名、密码与该用于验证客户端身份的固定信息进行对应记录后,断开与客户端的PPP连接触发客户端发起第二次VPDN呼叫,
或,LNS获取客户端发起的VPDN呼叫中的客户端的LCP属性、用户名和密码;
LNS确定出获取到的客户端的LCP属性和用户名均可接受时,从为接入的客户端创建的临时IP地址池中选取一个未使用的临时IP地址分配给客户端,接收由客户端发送的用于验证客户端身份的固定信息;
LNS接收到客户端使用临时IP地址发送的用于验证客户端身份的固定信息时,将该客户端的用户名、密码与用于验证客户端身份的固定信息发给AAA服务器对该客户端进行认证;
当AAA服务器对客户端认证通过时,LNS通过与客户端进行PPP IPCP重协商将AAA服务器为客户端分配的指定的IP地址通知客户端。
为使本发明的目的、技术方案和优点更加清楚,下面将结合附图及具体实施例对本发明作进一步地详细描述。
实施例一
参见图3,本实施例是通过二次拨号的方式来实现3G用户安全接入网络的,具体工作流程包括以下步骤:
步骤301:LNS获取客户端发起的VPDN呼叫中的客户端的LCP属性、用户名和密码等信息。
在本步骤中,客户端首次发起的VPDN呼叫实际是通过LAC完成的,具体为:
客户端向LAC发起PPP连接建立请求,进行点到点协议(PPP)LCP协商和认证;当LAC对客户端协商认证通过后,由LAC向LNS发起VPDN隧道建立请求,隧道建立后,LAC将客户端的LCP属性和用户名等信息发送给LNS,由LNS通过AAA服务器对该客户端进行认证。
步骤302:判断获取到的客户端的LCP属性是否可接受,如果是,执行步骤303;否则,以失败结束3G用户接入网络的工作流程。
当客户端的LCP属性不可接受时,需要关闭与客户端的PPP连接,即以失败结束接入网络的工作流程。
步骤303:判断获取到的用户名是否可接受,如果是,执行步骤304;否则,以失败结束3G用户接入网络的工作流程。
当客户端的用户名不可接受时,也需要关闭与客户端的PPP连接,即以失败结束接入网络的工作流程。
步骤304:判断该客户端的用于验证客户端身份的固定信息是否已被记录,如果是,执行步骤308;否则,执行步骤305。
在本步骤中,如果该客户端的用于验证客户端身份的固定信息已被记录,则说明该次拨号为第二次拨号,也就可以将记录的固定信息和用户名、密码发送给AAA服务器对客户端进行认证。
步骤305:LNS从为接入的客户端创建的临时IP地址池中选取一个未使用的临时IP地址分配给客户端,接收由客户端发送的用于验证客户端身份的固定信息。
当LNS将IP临时地址分配给客户端后,需要等待接收由客户端发送的用于验证客户端身份的固定信息,而且针对该临时IP地址,只接收用于验证客户端身份的固定信息。
需要说明的是,所述LNS接收由客户端通过网管告警(TRAP)报文(TRAP报文是IP报文的一种)发送的用于验证客户端身份的固定信息,所述用于验证客户端身份的固定信息包括但不限于客户端的设备序列号(SN)信息和3G卡的国际移动用户识别码(IMSI)信息,所述3G卡为3G UIM卡或3G SIM卡。实际中,还可通过其他IP报文来接收用于验证客户端身份的固定信息,只要保证该IP报文能够在客户端和LNS之间路由可达即可。
还需说明的是,本实施例中的客户端需要具备能够发送用于验证客户端身份的固定信息的能力。
步骤306:LNS是否接收到用于验证客户端身份的固定信息,如果是,执行步骤307;否则,以失败结束3G用户接入网络的工作流程。
步骤307:LNS将该客户端的用户名、密码与用于验证客户端身份的固定信息进行对应记录后,断开与客户端的PPP连接触发客户端发起第二次VPDN呼叫后,结束流程。
步骤308:LNS将用户名、密码和记录的用于验证客户端身份的固定信息发给AAA服务器对客户端进行认证,并当认证结果为认证通过时,将AAA服务器为客户端分配的指定的IP地址通知客户端后,删除记录的固定信息。
至此,即完成了本发明实施例所采用的实现3G用户安全接入网络方法的整个工作流程。
基于上述方法,图4给出了本实施例所采用的实现3G用户安全接入网络设备。如图4所示,该设备为应用于包括客户端、LAC、LNS和AAA服务器的VPDN网络中的LNS,包括:获取单元41、确定单元42、判断单元43、临时地址分配单元44、信息记录单元45、二次触发单元46、通知单元47和删除单元48,其中,
所述获取单元41,用于获取客户端发起的VPDN呼叫中的客户端的LCP属性、用户名和密码;
所述确定单元42,用于确定获取单元41获取到的客户端的LCP属性和用户名是否可接受;
所述判断单元43,用于当确定单元42确定出客户端的LCP属性和用户名均可接受时,判断信息记录单元45中该客户端的用于验证客户端身份的固定信息是否已被记录;
所述临时地址分配单元44,用于当判断单元43判断出固定信息未被记录时,从为接入的客户端创建的临时IP地址池中选取一个未使用的临时IP地址分配给客户端,以便信息记录单元45接收由客户端发送的用于验证客户端身份的固定信息;
所述信息记录单元45,用于当接收到客户端使用临时地址分配单元44选取的临时IP地址发送的用于验证客户端身份的固定信息时,将该客户端的用户名、密码与用于验证客户端身份的固定信息进行对应记录,并指示所述二次触发单元断开与客户端的PPP连接;
所述二次触发单元46,用于当接收到信息记录单元45指示断开与客户端的PPP连接后,断开与客户端的PPP连接,触发客户端发起第二次VPDN呼叫;
所述通知单元47,用于当判断单元43判断出固定信息被记录时,将信息记录单元45记录的用户名、密码和记录的固定信息发给AAA服务器对客户端进行认证,并在认证通过时,将AAA服务器为客户端分配的指定的IP地址通知客户端;
所述删除单元48,用于当通知单元47将AAA服务器为客户端分配的指定的IP地址通知客户端后,删除信息记录单元45记录的该客户端的固定信息。
其中,所述信息记录单元45,用于接收由客户端通过TRAP报文发送的用于验证客户端身份的固定信息,所述用于验证客户端身份的固定信息包括客户端的SN信息和3G卡的IMSI信息,所述3G卡为3G UIM卡或3G SIM卡。
至此,即得到了本发明实施例所采用的实现3G用户安全接入网络设备。图4所述设备的工作流程具体可参见图3所述方法的工作流程,这里不再赘述。
实施例二
参见图5,本实施例是通过一次拨号和再次进行PPP IPCP协商的方式来实现3G用户安全接入网络的,具体工作流程包括:
步骤501:LNS获取客户端发起的VPDN呼叫中的客户端的LCP属性、用户名和密码等信息。
同步骤301一样,在本步骤中,客户端首次发起的VPDN呼叫也是通过LAC完成的,具体为:
客户端向LAC发起PPP连接建立请求,进行PPP LCP协商和认证;当LAC对客户端协商认证通过后,由LAC向LNS发起VPDN隧道建立请求,隧道建立后,LAC将客户端的PPP LCP和用户名、密码等信息发送给LNS,由LNS通过AAA服务器对该客户端进行认证。
步骤502:判断获取到的客户端的LCP属性是否可接受,如果是,执行步骤503;否则,以失败结束3G用户接入网络的工作流程。
当客户端的LCP属性不可接受时,需要关闭与客户端的PPP连接,即以失败结束接入网络的工作流程。
步骤503:判断获取到的用户名是否可接受,如果是,执行步骤504;否则,以失败结束3G用户接入网络的工作流程。
当客户端的用户名不可接受时,也需要关闭与客户端的PPP连接,即以失败结束接入网络的工作流程。
步骤504:LNS从为客户端创建的临时IP地址池中选取一个未使用的临时IP地址分配给客户端,接收由客户端发送的用于验证客户端身份的固定信息。
当LNS将IP临时地址分配给客户端后,需要等待接收由客户端发送的用于验证客户端身份的固定信息,而且针对该临时IP地址,只接收用于验证客户端身份的固定信息。
需要说明的是,所述LNS接收由客户端通过TRAP报文来发送的用于验证客户端身份的固定信息的,所述用于验证客户端身份的固定信息包括但不限于客户端的SN信息和3G卡的IMSI信息,所述3G卡为3G UIM卡或3G SIM卡。实际中,还可通过其他IP报文来接收用于验证客户端身份的固定信息,只要保证该IP报文能够在客户端和LNS之间路由可达即可。
还需说明的是,本实施例中的客户端需要具备能够发送用于验证客户端身份的固定信息的能力。
步骤505:判断LNS是否接收到用于验证客户端身份的固定信息,如果是,执行步骤506;否则,以失败结束3G用户接入网络的工作流程。
步骤506:LNS将该客户端的用户名、密码与用于验证客户端身份的固定信息发给AAA服务器对该客户端进行认证。
步骤507:如果AAA服务器对客户端的认证通过,执行步骤508;否则,以失败结束3G用户接入网络的工作流程。
步骤508:LNS通过与客户端进行PPP因特网协议控制协议(IPCP)重协商后,将AAA服务器为客户端分配的指定的IP地址通知客户端,结束整个工作流程。
至此,即完成了本发明实施例所采用的实现3G用户安全接入网络方法的整个工作流程。
基于上述方法,图6给出了本实施例所采用的实现3G用户安全接入网络设备。如图6所示,该设备为应用于包括客户端、LAC、LNS和AAA服务器的VPDN网络中的LNS,其特征在于,包括:获取单元61、确定单元62、临时地址分配单元63、接收单元64、发送单元65和通知单元66,其中,
所述获取单元61,用于获取客户端发起的VPDN呼叫中的客户端的LCP属性、用户名和密码;
所述确定单元62,用于确定所述获取单元61获取到的客户端的LCP属性和用户名是否可接受;
所述临时地址分配单元63,用于当所述确定单元62确定出获取到的客户端的LCP属性和用户名均可接受时,从为接入的客户端创建的临时IP地址池中选取一个未使用的临时IP地址分配给客户端,以便由接收单元接收由客户端发送的用于验证客户端身份的固定信息;
所述接收单元64,用于接收客户端使用临时地址分配单元63选取的临时IP地址发送的用于验证客户端身份的固定信息;
所述发送单元65,用于当所述接收单元64接收到用于验证客户端身份的固定信息时,将该客户端的用户名、密码与用于验证客户端身份的固定信息发给AAA服务器对该客户端进行认证;
当AAA服务器对客户端认证通过时,所述通知单元66,用于通过与客户端进行PPP IPCP重协商将AAA服务器为客户端分配的指定的IP地址通知客户端。
进一步地,所述接收单元64,用于接收由客户端通过TRAP报文发送的用于验证客户端身份的固定信息,所述用于验证客户端身份的固定信息包括但不限于客户端的SN信息和3G卡的IMSI信息,所述3G卡为3G UIM卡或3G SIM卡。
至此,即得到了本发明实施例所采用的实现3G用户安全接入网络设备。图6所述设备的工作流程具体可参见图5所述方法的工作流程,这里不再赘述。
总之,本发明所采用的实现3G用户安全接入网络的方法,当客户端认证通过时,由LNS从创建的临时IP地址池中为客户端选取一个未使用的临时IP地址,以接收由客户端发送的用于验证客户端身份的固定信息;当接收到该固定信息时,将该客户端的固定信息与用户名、密码对应记录后,断开与客户端的PPP连接触发客户端发起第二次VPDN呼叫,进而能够记录的用户名、密码和记录的信息将AAA服务器为客户端分配的指定的IP地址通知客户端,或者,当接收到该固定信息时,直接根据客户端的固定信息与用户名、密码通过AAA服务器对该客户端进行认证,当认证通过时,再通过与客户端进行PPP IPCP重协商将AAA服务器为客户端分配的指定的IP地址通知客户端。由于本发明方法是由LNS将用于验证客户端身份的固定信息和客户端的用户名、密码发送给AAA服务器对客户端进行认证的,当认证通过时,才由LNS通过与客户端进行PPP IPCP重协商将AAA服务器为客户端分配的指定的IP地址通知客户端,因此,本发明实现3G用户安全接入网络的方法,只有通过了客户端身份信息验证的客户端才能够接入网络,也即只有LNS根据绑定的多元素进行了安全认证的客户端才能够接入网络,提高了网络接入的安全性。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本发明保护的范围之内。
Claims (10)
1.一种实现3G用户安全接入网络的方法,应用于包括客户端、二层隧道协议访问集中器LAC、二层隧道协议网络服务器LNS和验证授权记账服务器AAA服务器的虚拟私有拨号网VPDN网络中,其特征在于,该方法包括:
a.LNS获取客户端发起的VPDN呼叫中的客户端的链路控制协议LCP属性、用户名和密码;
b.LNS确定出获取到的客户端的LCP属性和用户名均可接受时,判断该客户端的用于验证客户端身份的固定信息是否已被记录,如果是,执行步骤c;否则,执行步骤d;
c.LNS根据用户名、密码和记录的固定信息发给AAA服务器对客户端进行认证,并在认证通过时,将AAA服务器为客户端分配的指定的IP地址通知客户端后,删除记录的固定信息,结束流程;
d.LNS从为接入的客户端创建的临时IP地址池中选取一个未使用的临时IP地址分配给客户端,接收由客户端发送的用于验证客户端身份的固定信息;
e.LNS接收到客户端使用临时IP地址发送的用于验证客户端身份的固定信息时,将该客户端的用户名、密码与该用于验证客户端身份的固定信息进行对应记录后,断开与客户端的PPP连接触发客户端发起第二次VPDN呼叫。
2.根据权利要求1所述的方法,其特征在于,所述步骤e中LNS接收到客户端使用临时IP地址发送的用于验证客户端身份的固定信息包括:LNS接收由客户端通过网管告警TRAP报文发送的用于验证客户端身份的固定信息。
3.根据权利要求1或2所述的方法,其特征在于,所述用于验证客户端身份的固定信息包括客户端的设备序列号SN信息和3G卡的国际移动用户识别码IMSI信息。
4.一种实现3G用户安全接入网络的设备,该设备为应用于包括客户端、二层隧道协议访问集中器LAC、二层隧道协议网络服务器LNS和验证授权记账服务器AAA服务器的虚拟私有拨号网VPDN网络中的LNS,其特征在于,该设备包括:获取单元、确定单元、判断单元、临时地址分配单元、信息记录单元、二次触发单元和通知单元,其中,
所述获取单元,用于获取客户端发起的VPDN呼叫中的客户端的链路控制协议LCP属性、用户名和密码;
所述确定单元,用于确定获取单元获取到的客户端的LCP属性和用户名是否可接受;
所述判断单元,用于当确定单元确定出客户端的LCP属性和用户名均可接受时,判断信息记录单元中该客户端的用于验证客户端身份的固定信息是否已被记录;
所述临时地址分配单元,用于当判断单元判断出固定信息未被记录时,从为接入的客户端创建的临时IP地址池中选取一个未使用的临时IP地址分配给客户端,以便信息记录单元接收由客户端发送的用于验证客户端身份的固定信息;
所述信息记录单元,用于当接收到客户端使用临时地址分配单元选取的临时IP地址发送的用于验证客户端身份的固定信息时,将该客户端的用户名、密码与用于验证客户端身份的固定信息进行对应记录,并指示所述二次触发单元断开与客户端的PPP连接;
所述二次触发单元,用于接收到所述信息记录单元指示断开与客户端的PPP连接后,断开与客户端的PPP连接,触发客户端发起第二次VPDN呼叫;
所述通知单元,用于当判断单元判断出固定信息被记录时,将信息记录单元记录的用户名、密码和记录的固定信息发给AAA服务器对客户端进行认证,并在认证通过时,将AAA服务器为客户端分配的指定的IP地址通知客户端。
5.根据权利要求4所述的设备,其特征在于,所述信息记录单元,用于记录由客户端通过网管告警TRAP报文发送的用于验证客户端身份的固定信息。
6.一种实现3G用户安全接入网络的方法,应用于包括客户端、二层隧道协议访问集中器LAC、二层隧道协议网络服务器LNS和验证授权记账服务器AAA服务器的虚拟私有拨号网VPDN网络中,其特征在于,该方法包括:
LNS获取客户端发起的VPDN呼叫中的客户端的链路控制协议LCP属性、用户名和密码;
LNS确定出获取到的客户端的LCP属性和用户名均可接受时,从为接入的客户端创建的临时IP地址池中选取一个未使用的临时IP地址分配给客户端,接收由客户端发送的用于验证客户端身份的固定信息;
LNS接收到客户端使用临时IP地址发送的用于验证客户端身份的固定信息时,将该客户端的用户名、密码与用于验证客户端身份的固定信息发给AAA服务器对该客户端进行认证;
当AAA服务器对客户端认证通过时,LNS通过与客户端进行点到点协议PPP因特网协议控制协议IPCP重协商将AAA服务器为客户端分配的指定的IP地址通知客户端。
7.根据权利要求6所述的方法,其特征在于,所述LNS接收由客户端通过网管告警TRAP报文发送的用于验证客户端身份的固定信息。
8.根据权利要求6或7所述的方法,其特征在于,所述用于验证客户端身份的固定信息包括客户端的设备序列号SN信息和3G卡的国际移动用户识别码IMSI信息。
9.一种实现3G用户安全接入网络的设备,该设备为应用于包括客户端、二层隧道协议访问集中器LAC、二层隧道协议网络服务器LNS和验证授权记账服务器AAA服务器的虚拟私有拨号网VPDN网络中的LNS,其特征在于,该设备包括:获取单元、确定单元、临时地址分配单元、认证单元和分配单元,其中,
所述获取单元,用于获取客户端发起的VPDN呼叫中的客户端的链路控制协议LCP属性、用户名和密码;
所述确定单元,用于确定所述获取单元获取到的客户端的LCP属性和用户名是否可接受;
所述临时地址分配单元,用于当所述确定单元确定出获取到的客户端的LCP属性和用户名均可接受时,从为接入的客户端创建的临时IP地址池中选取一个未使用的临时IP地址分配给客户端,以便由接收单元接收由客户端发送的用于验证客户端身份的固定信息;
所述接收单元,用于接收客户端使用临时地址分配单元选取的临时IP地址发送的用于验证客户端身份的固定信息;
所述发送单元,用于当所述接收单元接收到用于验证客户端身份的固定信息时,将该客户端的用户名、密码与用于验证客户端身份的固定信息发给AAA服务器对该客户端进行认证;
当AAA服务器对客户端认证通过时,所述通知单元,用于通过与客户端进行点到点协议PPP因特网协议控制协议IPCP重协商将AAA服务器为客户端分配的指定的IP地址通知客户端。
10.根据权利要求9所述的设备,其特征在于,所述接收单元,用于接收由客户端通过网管告警TRAP报文发送的用于验证客户端身份的固定信息。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201210371254.5A CN102905263B (zh) | 2012-09-28 | 2012-09-28 | 实现3g用户安全接入网络的方法和设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201210371254.5A CN102905263B (zh) | 2012-09-28 | 2012-09-28 | 实现3g用户安全接入网络的方法和设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN102905263A true CN102905263A (zh) | 2013-01-30 |
| CN102905263B CN102905263B (zh) | 2015-04-22 |
Family
ID=47577256
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201210371254.5A Active CN102905263B (zh) | 2012-09-28 | 2012-09-28 | 实现3g用户安全接入网络的方法和设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN102905263B (zh) |
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103152333A (zh) * | 2013-02-18 | 2013-06-12 | 杭州华三通信技术有限公司 | 3g接入l2tp组网中识别用户的方法及l2tp网络服务器 |
| CN106131847A (zh) * | 2016-08-30 | 2016-11-16 | 锐捷网络股份有限公司 | 一种无线移动终端安全接入控制方法、装置和设备 |
| CN107017998A (zh) * | 2016-01-27 | 2017-08-04 | 中国电信股份有限公司 | 用于实现cgn柔性备份的方法和系统 |
| CN107547681A (zh) * | 2017-07-21 | 2018-01-05 | 新华三技术有限公司 | 一种用户接入网络的方法及装置 |
| CN107566213A (zh) * | 2017-08-28 | 2018-01-09 | 新华三技术有限公司 | 一种保活检测方法和装置 |
| CN107896187A (zh) * | 2017-11-07 | 2018-04-10 | 北京首信科技股份有限公司 | 一种vpdn网络中下发lns设备的方法和装置 |
| CN109167714A (zh) * | 2018-08-28 | 2019-01-08 | 赛尔网络有限公司 | Ipv4网络中的终端访问ipv6网络的方法、系统、设备和介质 |
| CN114640651A (zh) * | 2020-11-30 | 2022-06-17 | 中国电信股份有限公司 | 通信方法、通信系统、lns设备、用户终端设备及存储介质 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20050039050A1 (en) * | 2003-02-10 | 2005-02-17 | Lionel Morand | Method and a system for authenticating a user at a network access while the user is making a connection to the Internet |
| CN1852222A (zh) * | 2005-09-08 | 2006-10-25 | 华为技术有限公司 | 无线接入宽带用户的管理方法及其装置 |
| CN101170412A (zh) * | 2007-11-27 | 2008-04-30 | 中兴通讯股份有限公司 | 一种无帐号输入实现认证的方法 |
-
2012
- 2012-09-28 CN CN201210371254.5A patent/CN102905263B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20050039050A1 (en) * | 2003-02-10 | 2005-02-17 | Lionel Morand | Method and a system for authenticating a user at a network access while the user is making a connection to the Internet |
| CN1852222A (zh) * | 2005-09-08 | 2006-10-25 | 华为技术有限公司 | 无线接入宽带用户的管理方法及其装置 |
| CN101170412A (zh) * | 2007-11-27 | 2008-04-30 | 中兴通讯股份有限公司 | 一种无帐号输入实现认证的方法 |
Cited By (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103152333B (zh) * | 2013-02-18 | 2016-05-11 | 杭州华三通信技术有限公司 | 3g接入l2tp组网中识别用户的方法及l2tp网络服务器 |
| CN103152333A (zh) * | 2013-02-18 | 2013-06-12 | 杭州华三通信技术有限公司 | 3g接入l2tp组网中识别用户的方法及l2tp网络服务器 |
| CN107017998B (zh) * | 2016-01-27 | 2020-04-07 | 中国电信股份有限公司 | 用于实现cgn柔性备份的方法和系统 |
| CN107017998A (zh) * | 2016-01-27 | 2017-08-04 | 中国电信股份有限公司 | 用于实现cgn柔性备份的方法和系统 |
| CN106131847A (zh) * | 2016-08-30 | 2016-11-16 | 锐捷网络股份有限公司 | 一种无线移动终端安全接入控制方法、装置和设备 |
| CN107547681A (zh) * | 2017-07-21 | 2018-01-05 | 新华三技术有限公司 | 一种用户接入网络的方法及装置 |
| CN107547681B (zh) * | 2017-07-21 | 2020-11-03 | 新华三技术有限公司 | 一种用户接入网络的方法及装置 |
| CN107566213B (zh) * | 2017-08-28 | 2020-09-25 | 新华三技术有限公司 | 一种保活检测方法和装置 |
| CN107566213A (zh) * | 2017-08-28 | 2018-01-09 | 新华三技术有限公司 | 一种保活检测方法和装置 |
| CN107896187A (zh) * | 2017-11-07 | 2018-04-10 | 北京首信科技股份有限公司 | 一种vpdn网络中下发lns设备的方法和装置 |
| CN109167714A (zh) * | 2018-08-28 | 2019-01-08 | 赛尔网络有限公司 | Ipv4网络中的终端访问ipv6网络的方法、系统、设备和介质 |
| CN109167714B (zh) * | 2018-08-28 | 2021-08-03 | 赛尔网络有限公司 | Ipv4网络中的终端访问ipv6网络的方法、系统、设备和介质 |
| CN114640651A (zh) * | 2020-11-30 | 2022-06-17 | 中国电信股份有限公司 | 通信方法、通信系统、lns设备、用户终端设备及存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN102905263B (zh) | 2015-04-22 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN102905263B (zh) | 实现3g用户安全接入网络的方法和设备 | |
| CN107733852B (zh) | 一种身份验证方法及装置,电子设备 | |
| CN101867476B (zh) | 一种3g虚拟私有拨号网用户安全认证方法及其装置 | |
| EP2039110B1 (en) | Method and system for controlling access to networks | |
| JP4291213B2 (ja) | 認証方法、認証システム、認証代行サーバ、ネットワークアクセス認証サーバ、プログラム、及び記録媒体 | |
| CN105307108B (zh) | 一种物联网信息交互通信方法及系统 | |
| CN104158824B (zh) | 网络实名认证方法及系统 | |
| CN101111075B (zh) | 移动通信系统中准入判断和寻呼用户的方法、系统及装置 | |
| CN106686589B (zh) | 一种实现VoWiFi业务的方法、系统及AAA服务器 | |
| CN101159624B (zh) | 一种账户使用监控方法 | |
| WO2015089996A1 (zh) | 一种安全认证方法及鉴权认证服务器 | |
| CN103874065A (zh) | 一种判断用户位置异常的方法及装置 | |
| EP2384038A1 (en) | Method, system and terminal device for realizing locking network by terminal device | |
| CN102264050A (zh) | 网络接入方法、系统及认证服务器 | |
| CN102413466A (zh) | 一种手机登录认证方法 | |
| JP2008097263A (ja) | 認証システム、認証方法およびサービス提供サーバ | |
| CN101771722B (zh) | 一种WAPI终端访问Web应用站点的系统及方法 | |
| CN105991619A (zh) | 一种安全认证方法和装置 | |
| WO2006079953A1 (en) | Authentication method and device for use in wireless communication system | |
| CN104469772A (zh) | 一种网点设备认证方法、装置及认证系统 | |
| US20050102519A1 (en) | Method for authentication of a user for a service offered via a communication system | |
| US20070226490A1 (en) | Communication System | |
| JP4377120B2 (ja) | リモートアクセス認証に基づくサービス提供システム | |
| CN101848228B (zh) | 用sim卡认证电脑终端服务器isp身份的方法和系统 | |
| CN106487776B (zh) | 一种保护机器类通信设备的方法、网络实体及系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CP03 | Change of name, title or address |
Address after: 310052 Binjiang District Changhe Road, Zhejiang, China, No. 466, No. Patentee after: Xinhua three Technology Co., Ltd. Address before: 310053 Hangzhou hi tech Industrial Development Zone, Zhejiang province science and Technology Industrial Park, No. 310 and No. six road, HUAWEI, Hangzhou production base Patentee before: Huasan Communication Technology Co., Ltd. |
|
| CP03 | Change of name, title or address |