CN115001701B - 用于授权认证的方法及装置、存储介质及电子设备 - Google Patents

用于授权认证的方法及装置、存储介质及电子设备 Download PDF

Info

Publication number
CN115001701B
CN115001701B CN202210541748.7A CN202210541748A CN115001701B CN 115001701 B CN115001701 B CN 115001701B CN 202210541748 A CN202210541748 A CN 202210541748A CN 115001701 B CN115001701 B CN 115001701B
Authority
CN
China
Prior art keywords
target
spa
authentication
lns
sccrq
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202210541748.7A
Other languages
English (en)
Other versions
CN115001701A (zh
Inventor
王爱宝
李澄宇
陈文华
刘汉江
陈勇量
徐勇
郭帅旗
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
China Telecom Corp Ltd
Original Assignee
China Telecom Corp Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by China Telecom Corp Ltd filed Critical China Telecom Corp Ltd
Priority to CN202210541748.7A priority Critical patent/CN115001701B/zh
Publication of CN115001701A publication Critical patent/CN115001701A/zh
Application granted granted Critical
Publication of CN115001701B publication Critical patent/CN115001701B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/321Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
    • H04L9/3213Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority using tickets or tokens, e.g. Kerberos
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/46Interconnection of networks
    • H04L12/4633Interconnection of networks using encapsulation techniques, e.g. tunneling
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/14Session management
    • H04L67/141Setup of application sessions
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/30Definitions, standards or architectural aspects of layered protocol stacks
    • H04L69/32Architecture of open systems interconnection [OSI] 7-layer type protocol stacks, e.g. the interfaces between the data link level and the physical level
    • H04L69/322Intralayer communication protocols among peer entities or protocol data unit [PDU] definitions
    • H04L69/324Intralayer communication protocols among peer entities or protocol data unit [PDU] definitions in the data link layer [OSI layer 2], e.g. HDLC
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3226Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
    • H04L9/3228One-time or temporary data, i.e. information which is sent for every authentication or authorization, e.g. one-time-password, one-time-token or one-time-key
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3236Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions

Abstract

本公开提供了一种用于授权认证的方法、装置、电子设备及存储介质,涉及计算机技术领域。该方法包括:基于二层隧道协议L2TP生成初始开始控制连接请求SCCRQ,并确定单包授权认证SPA参数信息;向所述初始SCCRQ中添加所述SPA参数信息,生成包含所述SPA参数信息的扩展SCCRQ;将所述扩展SCCRQ发送至目标L2TP网络服务器LNS;接收所述目标LNS返回的包含有授权信息的扩展开始控制连接响应SCCRP,以获得所述目标LNS的授权认证。该方法可以对L2TP进行扩展定义,通过将SPA参数信息添加至SCCRQ和SCCRP中,以使基于L2TP的SCCRQ和SCCRP能够传递SPA单包授权信息,从而为支持L2TP协议的设备引入SPA单包授权机制功能。

Description

用于授权认证的方法及装置、存储介质及电子设备
技术领域
本公开涉及计算机技术领域,尤其涉及一种用于授权认证的方法及装置、存储介质及电子设备。
背景技术
随着计算机技术和网络技术的发展,网络通讯已成为人们生活的一部分,通过网络进行数据通信已非常常见,此过程中,对数据通信双方进行安全认证非常重要,例如,单包授权技术可以有效保护后端的业务系统(服务器),并缓解DDOS攻击。
相关技术中,网络设备通常不支持单包授权技术,不具备实现单包授权技术的能力,无法实现单包授权认证。
需要说明的是,在上述背景技术部分公开的信息仅用于加强对本公开的背景的理解,因此可以包括不构成对本领域普通技术人员已知的现有技术的信息。
发明内容
本公开的目的在于提供一种用于授权认证的方法、装置、电子设备及存储介质,可以对L2TP进行扩展定义,为支持L2TP协议的设备引入SPA单包授权机制功能。
本公开的其他特性和优点将通过下面的详细描述变得显然,或部分地通过本公开的实践而习得。
根据本公开的一个方面,提供一种用于授权认证的方法,应用于目标L2TP访问集中器LAC,包括:基于二层隧道协议L2TP生成初始开始控制连接请求SCCRQ,并确定单包授权认证SPA参数信息;向初始SCCRQ中添加SPA参数信息,生成包含SPA参数信息的扩展SCCRQ;将扩展SCCRQ发送至目标L2TP网络服务器LNS;接收目标LNS返回的包含有授权信息的扩展开始控制连接响应SCCRP,以获得目标LNS的授权认证。
在本公开一个实施例中,向初始SCCRQ中添加SPA参数信息,生成包含SPA参数信息的扩展SCCRQ,包括:创建用于指示扩展类型为认证请求的第一属性值对;将SPA参数信息转化为符合L2TP报文头格式的SPA属性值对;将第一属性值对和SPA属性值对添加至初始SCCRQ的L2TP报文头中,生成包含SPA参数信息的扩展SCCRQ。
在本公开一个实施例中,初始SCCRQ是响应于通信隧道的建立请求生成的;以及,用于授权认证的方法还包括:解析SCCRP获得令牌;基于令牌向目标LNS发送开始控制连接成功SCCCN,以建立通信隧道。
在本公开一个实施例中,确定单包授权认证SPA参数信息,包括:响应于建立请求确定目标LAC标识和目标LNS标识;读取目标LAC中存储的发送端计数值;和,读取目标LAC中存储的种子值,进而通过预设的加密算法根据目标LAC标识、目标LNS标识、发送端计数值和种子值生成动态密码;根据目标LAC标识、目标LNS标识、发送端计数值和动态密码确定SPA参数信息。
在本公开一个实施例中,SPA参数信息还包括目标LAC对应的终端的设备标识、终端的位置信息和认证信息哈希值中的至少一个;以及,确定单包授权认证SPA参数信息,还包括:响应于建立请求确定目标LAC对应的终端的设备标识和终端的位置信息;和/或,通过预设的哈希算法对除认证信息哈希值以外的其他SPA参数信息进行哈希计算,获得认证信息哈希值;根据终端的设备标识、终端的位置信息和/或认证信息哈希值确定SPA参数信息。
在本公开一个实施例中,在将扩展SCCRQ发送至目标L2TP网络服务器LNS后,用于授权认证的方法还包括:基于预设增量更新发送端计数值。
根据本公开的又一个方面,提供一种用于授权认证的方法,应用于目标LNS,包括:接收目标LAC发送的数据包;当确定数据包为扩展SCCRQ时,解析扩展SCCRQ,获得SPA参数信息;基于SPA参数信息进行认证;在认证通过的情况下,生成授权信息,并基于L2TP生成初始SCCRP;向初始SCCRP中添加授权信息,生成包含授权信息的扩展SCCRP;将扩展SCCRP发送至目标LAC。
在本公开一个实施例中,向初始SCCRP中添加授权信息,生成包含授权信息的扩展SCCRP,包括:创建用于指示扩展类型为授权认证的第二属性值对;将授权信息转化为符合L2TP报文头格式的授权属性值对;其中,授权信息包括令牌;将第二属性值对和授权属性值对添加至初始SCCRP的L2TP报文头中,生成包含授权信息的扩展SCCRP。
在本公开一个实施例中,还包括根据如下方法确定目标LAC发送的数据包为扩展SCCRQ:解析数据包,确定数据包中的L2TP报文头;判断L2TP报文头中是否存在用于指示扩展类型为认证请求的第一属性值对;若存在,则确定目标LAC发送的数据包为扩展SCCRQ。
在本公开一个实施例中,SPA参数信息包括目标LAC标识、目标LNS标识、发送端计数值和动态密码;基于SPA参数信息进行认证,包括:读取目标LNS中存储的接收端计数值;根据接收端计数值和发送端计数值进行比对认证;以及,读取目标LNS中存储的种子值;通过预设的加密算法根据目标LAC标识、目标LNS标识、接收端计数值和种子值生成第二动态密码;根据动态密码和第二动态密码进行比对认证。
在本公开一个实施例中,SPA参数信息还包括认证信息哈希值;基于SPA参数信息进行认证,还包括:通过预设的哈希算法对SPA参数信息中除认证信息哈希值以外的其他SPA参数信息进行哈希计算,获得第二哈希值;根据认证信息哈希值和第二哈希值进行比对认证。
在本公开一个实施例中,在将扩展SCCRP发送至目标LAC后,用于授权认证的方法还包括:基于预设增量更新接收端计数值。
根据本公开的又一个方面,提供一种用于授权认证的装置,应用于目标LAC,包括:第一生成模块,用于基于二层隧道协议L2TP生成初始开始控制连接请求SCCRQ,并确定单包授权认证SPA参数信息;第一生成模块还用于向初始SCCRQ中添加SPA参数信息,生成包含SPA参数信息的扩展SCCRQ;第一发送模块,用于将扩展SCCRQ发送至目标L2TP网络服务器LNS;第一接收模块,用于接收目标LNS返回的包含有授权信息的扩展开始控制连接响应SCCRP,以获得目标LNS的授权认证。
根据本公开的又一个方面,提供一种用于授权认证的装置,应用于目标LNS,包括:第二接收模块,用于接收目标LAC发送的数据包;解析模块,用于当确定数据包为扩展SCCRQ时,解析扩展SCCRQ,获得SPA参数信息;认证模块,用于基于SPA参数信息进行认证;第二生成模块,用于在认证通过的情况下,生成授权信息,并基于L2TP生成初始SCCRP;第二生成模块还用于向初始SCCRP中添加授权信息,生成包含授权信息的扩展SCCRP;第二发送模块,用于将扩展SCCRP发送至目标LAC。
根据本公开的又一个方面,提供一种计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现上述的用于授权认证的方法。
根据本公开的再一个方面,提供一种电子设备,包括:处理器;以及存储器,用于存储所述处理器的可执行指令;其中,所述处理器配置为经由执行所述可执行指令来执行上述的用于授权认证的方法。
本公开的实施例所提供的用于授权认证的方法,可以使目标LAC通过扩展定义后的L2TP,将SPA单包授权信息放置于扩展SCCRQ中发送给目标LNS,以及接收目标LNS通过扩展SCCRP传递回的授权认证信息,从而实现单包授权认证。根据本公开提供的方法,可以对L2TP进行扩展定义,通过将SPA参数信息以及授权认证信息以属性值对的结构添加至SCCRQ和SCCRP中,以使基于L2TP的SCCRQ和SCCRP能够传递SPA单包授权认证信息,从而为支持L2TP协议的设备引入SPA单包授权机制功能。
进一步,本公开提供的用于授权认证的方法可以不改变原有的L2TP连接建立流程,在实现授权认证的同时,可沿用原有方式在目标LAC和目标LNS之间进行隧道建立。
应当理解的是,以上的一般描述和后文的细节描述仅是示例性和解释性的,并不能限制本公开。
附图说明
此处的附图被并入说明书中并构成本说明书的一部分,示出了符合本公开的实施例,并与说明书一起用于解释本公开的原理。显而易见地,下面描述中的附图仅仅是本公开的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1示出了可以应用本公开实施例的用于授权认证的方法的示例性系统架构的示意图;
图2示出了本公开一个实施例的用于授权认证的方法的流程图;
图3示出了本公开一个实施例的L2TP扩展方式的示意图;
图4示出了本公开又一个实施例的用于授权认证的方法的流程图;
图5示出了本公开一个实施例的用于授权认证的方法的系统架构示意图;
图6示出了本公开一个实施例的用于授权认证的方法的应用示意图;
图7示出了本公开一个实施例的用于授权认证的装置的框图;
图8示出了本公开又一个实施例的用于授权认证的装置的框图;和
图9示出了本公开实施例中一种用于授权认证的计算机设备的结构框图。
具体实施方式
现在将参考附图更全面地描述示例实施方式。然而,示例实施方式能够以多种形式实施,且不应被理解为限于在此阐述的范例;相反,提供这些实施方式使得本公开将更加全面和完整,并将示例实施方式的构思全面地传达给本领域的技术人员。所描述的特征、结构或特性可以以任何合适的方式结合在一个或更多实施方式中。
此外,附图仅为本公开的示意性图解,并非一定是按比例绘制。图中相同的附图标记表示相同或类似的部分,因而将省略对它们的重复描述。附图中所示的一些方框图是功能实体,不一定必须与物理或逻辑上独立的实体相对应。可以采用软件形式来实现这些功能实体,或在一个或多个硬件模块或集成电路中实现这些功能实体,或在不同网络和/或处理器装置和/或微控制器装置中实现这些功能实体。
此外,术语“第一”、“第二”仅用于描述目的,而不能理解为指示或暗示相对重要性或者隐含指明所指示的技术特征的数量。由此,限定有“第一”、“第二”的特征可以明示或者隐含地包括一个或者更多个该特征。在本公开的描述中,“多个”的含义是至少两个,例如两个,三个等,除非另有明确具体的限定。
图1示出了可以应用本公开实施例的用于授权认证的方法的示例性系统架构的示意图。
如图1所示,该系统架构可以包括LAC(L2TP Access Concentrator,L2TP访问集中器)101、网络102和LNS(L2TP Network Server,L2TP网络服务器)103。网络102用以在LAC101和LNS 103之间提供通信链路的介质。网络102可以包括各种连接类型,例如有线、无线通信链路或者光纤电缆等等。
在示例性实施例中,LAC 101与LNS 103可以应用于L2TP(Layer 2TunnelingProtocol,二层隧道协议)模型中,在LAC 101和LNS 101之间可以建立L2TP隧道,LAC和LNS可以作为L2TP隧道两端的对等节点共同维护L2TP隧道。
在一些实际应用中,L2TP是VPDN(Virtual Private Dial-up Network,虚拟私有拨号网)隧道协议的一种,其中,VPDN(包括L2TP)是指利用公共网络(如ISDN,IntegratedServices Digital Network,综合业务数字网,或者PSTN,Public Switched TelephoneNetwork,公共交换电话网络)的拨号功能接入公共网络,实现虚拟专用网,从而为企业、小型ISP、移动办公人员等提供接入服务。即,VPDN(包括L2TP)可以为远端用户与私有企业网之间提供了一种经济而有效的点到点连接方式。VPDN(包括L2TP)可以采用专用的网络通信协议,在公共网络上为企业建立安全的虚拟专网,从而使得企业驻外机构或出差人员可从远程经由公共网络、通过虚拟隧道(如L2TP隧道)实现与企业总部之间的网络连接,而公共网络上其它用户则无法穿过虚拟隧道访问企业网内部的资源,保证了一定的安全性。
在示例性实施例中,LAC 101的位置可以处于远端系统(如用户客户端)与LNS之间,或者就存在于远端系统上。LAC 101可以把从远端系统接收到的报文封装后发给LNS103,也可以把LNS 103发来的报文解封装发给远端系统。这些封装可以使用L2TP封装方式。LNS 103可以是接受PPP会话的一端,可以位于私网与公网边界。远端系统(如用户客户端)可以通过LNS 103登录到私网(如企业网)进而访问私网资源。
应用如图1所示的LAC 101和LNS 103,可以实现本公开提供的用于授权认证的方法。
在示例性实施例中,LAC 101实现本公开提供的用于授权认证的方法的过程可以是:LAC 101基于L2TP生成初始SCCRQ(Start-Control-Connection-Request,开始控制连接请求),并确定SPA(Single Packet Authorization,单包授权认证)参数信息;LAC 101向初始SCCRQ中添加SPA参数信息,生成包含SPA参数信息的扩展SCCRQ;LAC 101将扩展SCCRQ发送至LNS 103;LAC 101接收LNS 103返回的包含有授权信息的扩展SCCRP(Start-Control-Connection-Reply,开始控制连接响应),以获得LNS 103的授权认证。
在又一示例性实施例中,LNS 103实现本公开提供的用于授权认证的方法的过程可以是:LNS 103接收LAC 101发送的数据包;当LNS 103确定数据包为扩展SCCRQ时,解析扩展SCCRQ,获得SPA参数信息;LNS 103基于SPA参数信息进行认证;在认证通过的情况下,LNS103生成授权信息,并基于L2TP生成初始SCCRP;LNS 103向初始SCCRP中添加授权信息,生成包含授权信息的扩展SCCRP;LNS 103将扩展SCCRP发送至LAC 101。
此外,需要说明的是,图1所示的仅仅是本公开提供的用于授权认证的方法的一种应用环境。图1中的客户端、网络和服务器的数目仅仅是示意性的,根据实际需要,可以具有任意数目的客户端、网络和服务器。
为了使本领域普通人员更好地理解本公开的技术方案,下面将结合附图及实施例对本公开示例实施例中的用于授权认证的方法的各个步骤进行更详细的说明。
图2示出了本公开一个实施例的用于授权认证的方法的流程图。本公开实施例提供的方法可以由如图1所示的LAC 101执行,但本公开并不限定于此。
如图2所示,本公开实施例提供的用于授权认证的方法可以应用于目标LAC,可以包括如下步骤。
步骤S201,基于L2TP生成初始SCCRQ,并确定SPA参数信息。
在一些实施例中,初始SCCRQ可以是响应于通信隧道的建立请求生成的,通信隧道的建立请求可以是用户利用自己所使用的用户终端设备发起的。在一些实际应用中,用户终端设备可以先通过公共网络与目标LAC建立连接,再将通信隧道的建立请求发送至目标LAC;目标LAC也可以位于该用户终端设备上,从而直接调用目标LAC。
在一些实施例中,确定单包授权认证SPA参数信息的过程可以包括:响应于建立请求确定目标LAC标识和目标LNS标识;读取目标LAC中存储的发送端计数值;和,读取目标LAC中存储的种子值,进而通过预设的加密算法根据目标LAC标识、目标LNS标识、发送端计数值和种子值生成动态密码;根据目标LAC标识、目标LNS标识、发送端计数值和动态密码确定SPA参数信息。
其中,发送端计数值可以通过设置在目标LAC上的计数器实现。
在一些实际应用中,在本公开所提供的用于授权认证的方法中,可以预先对原始的LAC进行软件升级成为目标LAC,使目标LAC具有加密计算的功能。可以预先在目标LAC上配置好预设的加密算法,例如可以是RFC4226加密算法,进而可以根据RFC4226加密算法,基于目标LAC标识、目标LNS标识、发送端计数值和种子值生成HOTP(An HMAC-Based One-TimePassword Algorithm)值,将HOTP值作为动态密码。
需要注意的是,由于认证过程中在目标LAC与目标LNS上都需要进行加密计算,故预设的加密算法需要确保在目标LAC与目标LNS上都可以实现,以及确保都预先配置好,才可以保证在认证过程中对动态密码认证的顺利实现。
在一些实施例中,SPA参数信息还包括目标LAC对应的终端的设备标识、终端的位置信息和认证信息哈希值中的至少一个;以及,确定单包授权认证SPA参数信息的过程还可以包括:响应于建立请求确定目标LAC对应的终端的设备标识和终端的位置信息;和/或,通过预设的哈希算法对除认证信息哈希值以外的其他SPA参数信息进行哈希计算,获得认证信息哈希值;根据终端的设备标识、终端的位置信息和/或认证信息哈希值确定SPA参数信息。
在一些实际应用中,目标LAC对应的终端的设备标识、终端的位置信息也可以用于目标LNS的认证;其中,终端的位置信息可以使目标LAC基于终端常用的登录位置信息对对端(即目标LNS)进行可信度认证。
其此外,也可以计算出哈希值,将其包含进SPA参数信息汇总,以用于目标LNS进行比对认证,进而确定数据(即SPA参数信息)在传输过程中是否被篡改。
步骤S203,向初始SCCRQ中添加SPA参数信息,生成包含SPA参数信息的扩展SCCRQ。
在一些实施例中,向初始SCCRQ中添加SPA参数信息,生成包含SPA参数信息的扩展SCCRQ,可以包括:创建用于指示扩展类型为认证请求的第一属性值对;将SPA参数信息转化为符合L2TP报文头格式的SPA属性值对;将第一属性值对和SPA属性值对添加至初始SCCRQ的L2TP报文头中,生成包含SPA参数信息的扩展SCCRQ。
在一些实际应用中,在本公开所提供的用于授权认证的方法中,可以预先对原始的LAC进行软件升级成为目标LAC,使目标LAC具有生成包含SPA参数信息的扩展SCCRQ的功能。
举例而言,可以修改初始SCCRQ中所携带的信息,将SPA参数信息转化为SPA包的形式(如转化为符合L2TP报文头格式的SPA属性值对),将SPA包添加至初始SCCRQ中以获得扩展SCCRQ。
在一些实际应用中,可以在L2TP报文头中原有内容之后紧跟着添加一个第一属性值对,该第一属性值对可以用于指示扩展类型为认证请求;例如,可以用“17”表示“本SCCRQ中携带有SPA认证请求”这一信息,那么在L2TP报文头中原有内容之后,可以添加属性值对“控制消息类型-17”(其中,“控制消息类型”为属性,“17”为属性值)。基于此,可以将SPA属性值对添加在该第一属性值对之后。
表1示出了本公开一个实施例的L2TP扩展方式中的L2TP扩展定义;如表1所示,定义了将SPA相关信息携带到基于L2TP的SCCRQ或SCCRP中所需遵循的规则,包括可携带的SPA相关信息的属性类型、是否必填、属性值的内容。
表1L2TP扩展定义
如表1所示,在一些实际应用中,LAC标识(LAC客户端(SPA包生成器)的唯一ID)、LNS标识(服务器ID,即SPA包验证者的ID)、种子(即通信双方之间共享的种子)、发送端计数值、动态密码、密码长度以及令牌(即token)这些属性类型,可以是需要明确进行属性值定义的属性类型。其中,LAC标识、LNS标识、发送端计数值和动态密码,可以是需要携带进扩展SCCRQ中的属性类型,令牌可以是需要携带进扩展SCCRP中的属性类型。
此外,终端设备ID、终端位置信息和哈希值(即MD5的Hash值)这些属性类型,也可以进行属性值的定义,且都可以携带进扩展SCCRQ中;其中,增加终端设备ID和终端位置信息的认证,可用于加强用户身份的安全增强;增加哈希值的认证,可用于验证SPA信息内容是否被篡改,具体地,可以在通过预设的哈希算法计算得到哈希值后,再对哈希值进行数字签名,从而使认证服务模块(如目标LNS)对签名进行校验进行认证,检验SPA信息内容是否被篡改。
图3示出了本公开一个实施例的L2TP扩展方式的示意图,如图3所示,包括:L2TP数据报文结构301,原有的L2TP报文头结构302,SPA包结构303。其中,SPA包结构303即为本公开所提出的L2TP扩展方式中,新增的用于表示SPA参数信息的数据结构。
如图3所示,数据结构303中“SPA控制消息类型”可以为“17”,用于表示“本SCCRQ中携带有SPA认证请求”这一信息;“SPA控制消息类型”也可以为“18”,用于表示“本SCCRP中携带有SPA授权信息”这一信息。数据结构303中“SPA参数”可以填入SPA相关信息的属性值对,具体可以包括如表1所示的扩展定义内容。
步骤S205,将扩展SCCRQ发送至目标LNS。
生成扩展SCCRQ后,可以将报文基于L2TP发送至目标LNS,以使目标LNS进行认证,以及使目标LNS在认证通过后进行授权。
在一些实际应用中,在本公开所提供的用于授权认证的方法中,可以预先对原始的LNS进行软件升级,成为目标LNS,使目标LNS具有识别出扩展SCCRQ、从扩展SCCRQ中获取到SPA包、对SPA包进行认证,并生成包含授权信息的扩展SCCRP的功能。
进一步地,在一些实施例中,在将扩展SCCRQ发送至目标L2TP网络服务器LNS后,用于授权认证的方法还可以包括:基于预设增量更新发送端计数值。
其中,计数器可以用于通信双方之间同步,接收端(如目标LNS)上也可以设置计数器,用于记录接收端计数值;当目标LAC每使用种子一次,可以操作目标LAC上的计数器将发送端计数值增加一定数值,从而当接收端接收到发送端计数值后,可以根据接收端计数值和接受到的发送端计数值进行比对,以用于防重放攻击。
步骤S207,接收目标LNS返回的包含有授权信息的扩展SCCRP,以获得目标LNS的授权认证。
进一步地,本公开所提供的用于授权认证的方法还可以包括:解析SCCRP获得令牌;基于令牌向目标LNS发送开始控制连接成功SCCCN,以建立通信隧道。
通过如图2所示的实施方式,可以使目标LAC通过扩展定义后的L2TP,将SPA单包授权信息放置于扩展SCCRQ中发送给目标LNS,以及接收目标LNS通过扩展SCCRP传递回的授权认证信息,从而实现单包授权认证。根据本公开提供的方法,可以对L2TP进行扩展定义,通过将SPA参数信息以及授权认证信息以属性值对的结构添加至SCCRQ和SCCRP中,以使基于L2TP的SCCRQ和SCCRP能够传递SPA单包授权认证信息,从而为支持L2TP协议的设备引入SPA单包授权机制功能。
此外,本公开提供的用于授权认证的方法可以不改变原有的L2TP连接建立流程,在实现授权认证的同时,可沿用原有方式在目标LAC和目标LNS之间进行隧道建立。
图4示出了本公开又一个实施例的用于授权认证的方法的流程图;
根据本公开的又一个方面,提供一种用于授权认证的方法,应用于目标LNS,包括:
步骤S401,接收目标LAC发送的数据包。
本步骤中,可以对目标LAC发送的数据包进行侦听过滤,以识别出扩展SCCRQ;在本方案中,若一个数据包是扩展SCCRQ,则可以认为该数据包中包含有SPA信息。
在一些实际应用中,在本公开所提供的用于授权认证的方法中,可以预先对原始的LNS进行软件升级,成为目标LNS,使目标LNS具有识别出扩展SCCRQ、从扩展SCCRQ中获取到SPA包、对SPA包进行认证,并生成包含授权信息的扩展SCCRP的功能。
在一些实施例中,还包括根据如下方法确定目标LAC发送的数据包为扩展SCCRQ:解析数据包,确定数据包中的L2TP报文头;判断L2TP报文头中是否存在用于指示扩展类型为认证请求的第一属性值对;若存在,则确定目标LAC发送的数据包为扩展SCCRQ。
如前文所述,可以用“17”表示“本SCCRQ中携带有SPA认证请求”这一信息,第一属性值对可以是“控制消息类型-17”(其中,“控制消息类型”为属性,“17”为属性值),基于此,当确认数据包中L2TP报文头中原有内容之后紧跟着的第一个属性值对(即所述第一属性值对)中的属性值为17,则可以认为该数据包为扩展SCCRQ,其中携带有SPA参数信息。
步骤S403,当确定数据包为扩展SCCRQ时,解析扩展SCCRQ,获得SPA参数信息。
步骤S405,基于SPA参数信息进行认证。
在一些实施例中,SPA参数信息可以包括目标LAC标识、目标LNS标识、发送端计数值和动态密码。
基于此,基于SPA参数信息进行认证的过程可以包括:读取目标LNS中存储的接收端计数值;根据接收端计数值和发送端计数值进行比对认证;以及,读取目标LNS中存储的种子值;通过预设的加密算法根据目标LAC标识、目标LNS标识、接收端计数值和种子值生成第二动态密码;根据动态密码和第二动态密码进行比对认证。
对动态密码进行验证,可以用于确认作为发送端的目标LAC身份的合法性。
进一步地,在一些实施例中,SPA参数信息还可以包括认证信息哈希值。基于此,基于SPA参数信息进行认证的过程可以包括:通过预设的哈希算法对SPA参数信息中除认证信息哈希值以外的其他SPA参数信息进行哈希计算,获得第二哈希值;根据认证信息哈希值和第二哈希值进行比对认证。
对认证信息哈希值进行验证,可以用于确认SPA参数信息的完整性,当SPA参数信息被篡改时可及时发现。
步骤S407,在认证通过的情况下,生成授权信息,并基于L2TP生成初始SCCRP。其中,授权信息可以包括令牌(token)。
本步骤中,对生成授权信息和生成初始SCCRP的顺序不做限定,生成授权信息和生成初始SCCRP可以同时进行,也可以先后进行。
步骤S409,向初始SCCRP中添加授权信息,生成包含授权信息的扩展SCCRP。
在一些实施例中,向初始SCCRP中添加授权信息,生成包含授权信息的扩展SCCRP,包括:创建用于指示扩展类型为授权认证的第二属性值对;将授权信息转化为符合L2TP报文头格式的授权属性值对;将第二属性值对和授权属性值对添加至初始SCCRP的L2TP报文头中,生成包含授权信息的扩展SCCRP。
举例而言,可以修改初始SCCRP中所携带的信息,将授权信息转化为SPA授权包的形式(如转化为符合L2TP报文头格式的授权属性值对),将SPA授权包(即授权属性值对)添加至初始SCCRP中以获得扩展SCCRP。
在一些实际应用中,可以在L2TP报文头中原有内容之后紧跟着添加一个第二属性值对,该第二属性值对可以用于指示扩展类型为授权认证;例如,可以用“18”表示“本SCCRP中携带有SPA授权信息”这一信息,那么在L2TP报文头中原有内容之后,可以添加属性值对“控制消息类型-18”(其中,“控制消息类型”为属性,“18”为属性值)。基于此,可以将授权属性值对添加在该第二属性值对之后。
步骤S411,将扩展SCCRP发送至目标LAC。
在一些实施例中,在将扩展SCCRP发送至目标LAC后,本公开提供的用于授权认证的方法还可以包括:基于预设增量更新接收端计数值。
其中,接收端计数值可以通过设置在目标LNS上的计数器实现。如前文所述,计数器可以用于通信双方之间同步,当目标LNS每使用种子一次,可以操作目标LNS上的计数器将接收端计数值增加一定数值,从而当接收端再接收到发送端计数值后,可以根据接收端计数值和接受到的发送端计数值进行比对,以用于防重放攻击。
通过如图4所示的实施方式,可以使目标LNS通过扩展定义后的L2TP,将SPA授权认证信息放置于扩展SCCRP中发送给目标LAC,通知目标LAC以通过SPA认证,从而实现单包授权认证。根据本公开提供的方法,可以对L2TP进行扩展定义,通过将SPA参数信息以及授权认证信息以属性值对的结构添加至SCCRQ和SCCRP中,以使基于L2TP的SCCRQ和SCCRP能够传递SPA单包授权认证信息,从而为支持L2TP协议的设备引入SPA单包授权机制功能。
此外,本公开提供的用于授权认证的方法可以不改变原有的L2TP连接建立流程,在实现授权认证的同时,可沿用原有方式在目标LAC和目标LNS之间进行隧道建立。
图5示出了本公开一个实施例的用于授权认证的方法的系统架构示意图,如图5所示,包括:目标LAC 501和目标LNS 505;其中,目标LAC501中包括加密模块502,SPA包生成模块503,LAC-L2TP协议处理模块504;目标LNS 505中包括SPA包过滤器506,认证服务507,LNS-L2TP协议处理模块508。
如图5所示,目标LAC 501可以是在原有LAC功能的基础上增加了加密模块502和SPA包生成模块503,其中,
加密模块502可以用于保存种子;还可以用于基于种子、发送端计数值、客户端ID(目标LAC标识)、终端ID(终端的设备标识)、服务器ID(目标LNS标识)等参数根据RFC4226加密算法生成动态密码;还可以用于根据将要传递的SPA参数信息计算生成认证信息哈希值。并且,加密模块502在每进行加密一次后,还将其中记录的发送端计数值增加一定数值,用于防重放攻击。
SPA包生成模块503用于将客户端ID、终端ID、对端LNS的服务ID(目标LNS标识)、动态密码、Hash值(认证信息哈希值)等信息插入L2TP的初始SCCRQ的扩展属性值对(AVP)中,进而生成扩展SCCRQ。在生成扩展SCCRQ后,SPA包生成模块503还用于将生成的扩展SCCRQ发送给LAC-L2TP协议处理模块504。
LAC-L2TP协议处理模块504可以用于发送数据包(包括扩展SCCRQ)和接收数据包(包括扩展SCCRP)。
目标LNS 504可以是在原有LNS功能的基础上增加了SPA包过滤器506和认证服务507,其中,
SPA包过滤器506可以用于对网络包进行侦听过滤,从目标LAC发送的数据包中识别出扩展SCCRQ;还用于将包含有SPA参数信息的扩展SCCRQ转发到认证服务507,以使认证服务507进行认证。
认证服务507用于从扩展SCCRQ中提取出SPA参数信息;还用于将提取的SPA参数信息进行hash,与收到的hash值进行比对,以确认数据完整性;还用于对SPA参数信息中的动态密码进行验证,以确认发送端身份的合法性;还用于在认证通过后,将授权信息(如token)插入初始SCCRP的扩展AVP中,进而生成扩展SCCRP。在生成扩展SCCRP后,认证服务507还用于将扩展SCCRP发送给LNS-L2TP协议处理模块508。
LNS-L2TP协议处理模块508可以用于发送数据包(包括扩展SCCRP)。
图6示出了本公开一个实施例的用于授权认证的方法的应用示意图;
步骤S601,软件升级。
本步骤中,对LAC Client和LNS进行软件升级,使升级后能够支持SPA单包授权机制,升级后的设备分别可称为LAC Client+(即目标LAC)和LNS+(即目标LNS)。
步骤603,生成扩展SCCRQ。
本步骤中,LAC Client+可以基于客户端ID、终端ID、服务器ID、种子等参数根据RFC4226加密算法生成动态密码,并将计划发送出去的SPA信息进行hash,将SPA信息及hash值以SPA包的结构插入SCCRQ的扩展属性值对中,生成携带有SPA认证包的扩展SCCRQ。
步骤605,发送扩展SCCRQ(携带SPA认证包)。
本步骤中,LAC Client+可以向LNS+发送携带SPA认证信息的扩展SCCRQ请求包。
步骤607,生成扩展SCCRP。
本步骤中,LNS+过滤获取到扩展SCCRQ请求包,首先可以验证SPA包是不是重放攻击(例如,将该SPA包的计数器数值与之前收到的计时器的值做对比);然后对动态密码进行验证,确认发送端LAC+身份的合法性;接着将SPA相关信息提取出来,并将提取的信息进行hash,与收到的hash值进行比对,确认数据传输过程是否被篡改;最后根据服务端(即LNS+)的配置,验证SPA认证信息并进行授权,可以将授权信息(如token)以SPA授权包的结构插入SCCRP的扩展属性值对中,生成携带有SPA授权包的扩展SCCRP。此外,如果未通过SPA验证,LNS+可以直接丢弃数据包。
步骤609,发送扩展SCCRP(携带SPA授权包)。
本步骤中,LNS+可以向LAC Client+发送携带SPA授权包(如携带SPA单包认证token)的扩展SCCRP报文。
步骤611,发送SCCCN(建立L2TP隧道)。
本步骤中,LAC Client+在收到扩展SCCRP报文后查看其中的授权信息(如token),如果通过授权则可以返回确认SCCCN报文,进而建立L2TP隧道。
通过如图6所示的实施方式,可以使目标LAC通过扩展定义后的L2TP,将SPA单包授权信息放置于扩展SCCRQ中发送给目标LNS,以及接收目标LNS通过扩展SCCRP传递回的授权认证信息,从而实现单包授权认证。根据本公开提供的方法,可以对L2TP进行扩展定义,通过将SPA参数信息以及授权认证信息以属性值对的结构添加至SCCRQ和SCCRP中,以使基于L2TP的SCCRQ和SCCRP能够传递SPA单包授权认证信息,从而为支持L2TP协议的设备引入SPA单包授权机制功能。
此外,本公开提供的用于授权认证的方法可以不改变原有的L2TP连接建立流程,在实现授权认证的同时,仍可沿用原有方式在目标LAC和目标LNS之间进行隧道建立。
需要注意的是,上述附图仅是根据本发明示例性实施例的方法所包括的处理的示意性说明,而不是限制目的。易于理解,上述附图所示的处理并不表明或限制这些处理的时间顺序。另外,也易于理解,这些处理可以是例如在多个模块中同步或异步执行的。
图7示出了本公开一个实施例的用于授权认证的装置700的框图,可以应用于目标LAC;如图7所示,包括:
第一生成模块701,用于基于二层隧道协议L2TP生成初始开始控制连接请求SCCRQ,并确定单包授权认证SPA参数信息;
第一生成模块701还用于向初始SCCRQ中添加SPA参数信息,生成包含SPA参数信息的扩展SCCRQ;
第一发送模块702,用于将扩展SCCRQ发送至目标L2TP网络服务器LNS;
第一接收模块703,用于接收目标LNS返回的包含有授权信息的扩展开始控制连接响应SCCRP,以获得目标LNS的授权认证。
通过如图7所示的装置,可以使目标LAC通过扩展定义后的L2TP,将SPA单包授权信息放置于扩展SCCRQ中发送给目标LNS,以及接收目标LNS通过扩展SCCRP传递回的授权认证信息,从而实现单包授权认证。根据本公开提供的方法,可以对L2TP进行扩展定义,通过将SPA参数信息添加至SCCRQ和SCCRP中,以使基于L2TP的SCCRQ和SCCRP能够传递SPA单包授权信息,从而为支持L2TP协议的设备引入SPA单包授权机制功能。
在一些实施例中,第一生成模块701向初始SCCRQ中添加SPA参数信息,生成包含SPA参数信息的扩展SCCRQ,包括:创建用于指示扩展类型为认证请求的第一属性值对;将SPA参数信息转化为符合L2TP报文头格式的SPA属性值对;将第一属性值对和SPA属性值对添加至初始SCCRQ的L2TP报文头中,生成包含SPA参数信息的扩展SCCRQ。
在一些实施例中,初始SCCRQ是响应于通信隧道的建立请求生成的;以及,第一生成模块701还用于解析SCCRP获得令牌;基于令牌向目标LNS发送开始控制连接成功SCCCN,以建立通信隧道。
在一些实施例中,第一生成模块701确定单包授权认证SPA参数信息,包括:响应于建立请求确定目标LAC标识和目标LNS标识;读取目标LAC中存储的发送端计数值;和,读取目标LAC中存储的种子值,进而通过预设的加密算法根据目标LAC标识、目标LNS标识、发送端计数值和种子值生成动态密码;根据目标LAC标识、目标LNS标识、发送端计数值和动态密码确定SPA参数信息。
在一些实施例中,SPA参数信息还包括目标LAC对应的终端的设备标识、终端的位置信息和认证信息哈希值中的至少一个;以及,第一生成模块701确定单包授权认证SPA参数信息,还包括:响应于建立请求确定目标LAC对应的终端的设备标识和终端的位置信息;和/或,通过预设的哈希算法对除认证信息哈希值以外的其他SPA参数信息进行哈希计算,获得认证信息哈希值;根据终端的设备标识、终端的位置信息和/或认证信息哈希值确定SPA参数信息。
在一些实施例中,在将扩展SCCRQ发送至目标L2TP网络服务器LNS后,第一生成模块701还用于:基于预设增量更新发送端计数值。
图7实施例的其它内容可以参照上述其它实施例。
图8示出了本公开又一个实施例的用于授权认证的装置800的框图;可以应用于目标LNS;如图8所示,包括:
第二接收模块801,用于接收目标LAC发送的数据包;
解析模块802,用于当确定数据包为扩展SCCRQ时,解析扩展SCCRQ,获得SPA参数信息;
认证模块803,用于基于SPA参数信息进行认证;
第二生成模块804,用于在认证通过的情况下,生成授权信息,并基于L2TP生成初始SCCRP;
第二生成模块804还用于向初始SCCRP中添加授权信息,生成包含授权信息的扩展SCCRP;
第二发送模块805,用于将扩展SCCRP发送至目标LAC。
通过如图8所示的装置,可以使目标LNS通过扩展定义后的L2TP,将SPA授权认证信息放置于扩展SCCRP中发送给目标LAC,通知目标LAC以通过SPA认证,从而实现单包授权认证。根据本公开提供的方法,可以对L2TP进行扩展定义,通过将SPA参数信息以及授权认证信息以属性值对的结构添加至SCCRQ和SCCRP中,以使基于L2TP的SCCRQ和SCCRP能够传递SPA单包授权认证信息,从而为支持L2TP协议的设备引入SPA单包授权机制功能。
在一些实施例中,第二生成模块804向初始SCCRP中添加授权信息,生成包含授权信息的扩展SCCRP,包括:创建用于指示扩展类型为授权认证的第二属性值对;将授权信息转化为符合L2TP报文头格式的授权属性值对;其中,授权信息包括令牌;将第二属性值对和授权属性值对添加至初始SCCRP的L2TP报文头中,生成包含授权信息的扩展SCCRP。
在一些实施例中,解析模块802还用于根据如下方法确定目标LAC发送的数据包为扩展SCCRQ:解析数据包,确定数据包中的L2TP报文头;判断L2TP报文头中是否存在用于指示扩展类型为认证请求的第一属性值对;若存在,则确定目标LAC发送的数据包为扩展SCCRQ。
在一些实施例中,SPA参数信息包括目标LAC标识、目标LNS标识、发送端计数值和动态密码;认证模块803基于SPA参数信息进行认证,包括:读取目标LNS中存储的接收端计数值;根据接收端计数值和发送端计数值进行比对认证;以及,读取目标LNS中存储的种子值;通过预设的加密算法根据目标LAC标识、目标LNS标识、接收端计数值和种子值生成第二动态密码;根据动态密码和第二动态密码进行比对认证。
在一些实施例中,SPA参数信息还包括认证信息哈希值;认证模块803基于SPA参数信息进行认证,还包括:通过预设的哈希算法对SPA参数信息中除认证信息哈希值以外的其他SPA参数信息进行哈希计算,获得第二哈希值;根据认证信息哈希值和第二哈希值进行比对认证。
在一些实施例中,在将扩展SCCRP发送至目标LAC后,认证模块803还用于:基于预设增量更新接收端计数值。
图8实施例的其它内容可以参照上述其它实施例。
所属技术领域的技术人员能够理解,本发明的各个方面可以实现为系统、方法或程序产品。因此,本发明的各个方面可以具体实现为以下形式,即:完全的硬件实施方式、完全的软件实施方式(包括固件、微代码等),或硬件和软件方面结合的实施方式,这里可以统称为“电路”、“模块”或“系统”。
图9示出本公开实施例中一种用于授权认证的计算机设备的结构框图。需要说明的是,图示出的电子设备仅仅是一个示例,不应对本发明实施例的功能和使用范围带来任何限制。
下面参照图9来描述根据本发明的这种实施方式的电子设备900。图9显示的电子设备900仅仅是一个示例,不应对本发明实施例的功能和使用范围带来任何限制。
如图9所示,电子设备900以通用计算设备的形式表现。电子设备900的组件可以包括但不限于:上述至少一个处理单元910、上述至少一个存储单元920、连接不同系统组件(包括存储单元920和处理单元910)的总线930。
其中,所述存储单元存储有程序代码,所述程序代码可以被所述处理单元910执行,使得所述处理单元910执行本说明书上述“示例性方法”部分中描述的根据本发明各种示例性实施方式的步骤。例如,所述处理单元910可以执行如图2中所示的方法。
存储单元920可以包括易失性存储单元形式的可读介质,例如随机存取存储单元(RAM)9201和/或高速缓存存储单元9202,还可以进一步包括只读存储单元(ROM)9203。
存储单元920还可以包括具有一组(至少一个)程序模块9205的程序/实用工具9204,这样的程序模块9205包括但不限于:操作系统、一个或者多个应用程序、其它程序模块以及程序数据,这些示例中的每一个或某种组合中可能包括网络环境的实现。
总线930可以为表示几类总线结构中的一种或多种,包括存储单元总线或者存储单元控制器、外围总线、图形加速端口、处理单元或者使用多种总线结构中的任意总线结构的局域总线。
电子设备900也可以与一个或多个外部设备1000(例如键盘、指向设备、蓝牙设备等)通信,还可与一个或者多个使得用户能与该电子设备900交互的设备通信,和/或与使得该电子设备900能与一个或多个其它计算设备进行通信的任何设备(例如路由器、调制解调器等等)通信。这种通信可以通过输入/输出(I/O)接口950进行。并且,电子设备900还可以通过网络适配器960与一个或者多个网络(例如局域网(LAN),广域网(WAN)和/或公共网络,例如因特网)通信。如图所示,网络适配器960通过总线930与电子设备900的其它模块通信。应当明白,尽管图中未示出,可以结合电子设备900使用其它硬件和/或软件模块,包括但不限于:微代码、设备驱动器、冗余处理单元、外部磁盘驱动阵列、RAID系统、磁带驱动器以及数据备份存储系统等。
在本公开的示例性实施例中,还提供了一种计算机可读存储介质,其上存储有能够实现本说明书上述方法的程序产品。在一些可能的实施方式中,本发明的各个方面还可以实现为一种程序产品的形式,其包括程序代码,当所述程序产品在终端设备上运行时,所述程序代码用于使所述终端设备执行本说明书上述“示例性方法”部分中描述的根据本发明各种示例性实施方式的步骤。
根据本发明实施方式的用于实现上述方法的程序产品,其可以采用便携式紧凑盘只读存储器(CD-ROM)并包括程序代码,并可以在终端设备,例如个人电脑上运行。然而,本发明的程序产品不限于此,在本文件中,可读存储介质可以是任何包含或存储程序的有形介质,该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。
所述程序产品可以采用一个或多个可读介质的任意组合。可读介质可以是可读信号介质或者可读存储介质。可读存储介质例如可以为但不限于电、磁、光、电磁、红外线、或半导体的系统、装置或器件,或者任意以上的组合。可读存储介质的更具体的例子(非穷举的列表)包括:具有一个或多个导线的电连接、便携式盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。
计算机可读信号介质可以包括在基带中或者作为载波一部分传播的数据信号,其中承载了可读程序代码。这种传播的数据信号可以采用多种形式,包括但不限于电磁信号、光信号或上述的任意合适的组合。可读信号介质还可以是可读存储介质以外的任何可读介质,该可读介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。
可读介质上包含的程序代码可以用任何适当的介质传输,包括但不限于无线、有线、光缆、RF等等,或者上述的任意合适的组合。
可以以一种或多种程序设计语言的任意组合来编写用于执行本发明操作的程序代码,所述程序设计语言包括面向对象的程序设计语言—诸如Java、C++等,还包括常规的过程式程序设计语言—诸如“C”语言或类似的程序设计语言。程序代码可以完全地在用户计算设备上执行、部分地在用户设备上执行、作为一个独立的软件包执行、部分在用户计算设备上部分在远程计算设备上执行、或者完全在远程计算设备或服务器上执行。在涉及远程计算设备的情形中,远程计算设备可以通过任意种类的网络,包括局域网(LAN)或广域网(WAN),连接到用户计算设备,或者,可以连接到外部计算设备(例如利用因特网服务提供商来通过因特网连接)。
应当注意,尽管在上文详细描述中提及了用于动作执行的设备的若干模块或者单元,但是这种划分并非强制性的。实际上,根据本公开的实施方式,上文描述的两个或更多模块或者单元的特征和功能可以在一个模块或者单元中具体化。反之,上文描述的一个模块或者单元的特征和功能可以进一步划分为由多个模块或者单元来具体化。
此外,尽管在附图中以特定顺序描述了本公开中方法的各个步骤,但是,这并非要求或者暗示必须按照该特定顺序来执行这些步骤,或是必须执行全部所示的步骤才能实现期望的结果。附加的或备选的,可以省略某些步骤,将多个步骤合并为一个步骤执行,以及/或者将一个步骤分解为多个步骤执行等。
通过以上的实施方式的描述,本领域的技术人员易于理解,这里描述的示例实施方式可以通过软件实现,也可以通过软件结合必要的硬件的方式来实现。因此,根据本公开实施方式的技术方案可以以软件产品的形式体现出来,该软件产品可以存储在一个非易失性存储介质(可以是CD-ROM,U盘,移动硬盘等)中或网络上,包括若干指令以使得一台计算设备(可以是个人计算机、服务器、移动终端、或者网络设备等)执行根据本公开实施方式的方法。
本领域技术人员在考虑说明书及实践这里公开的发明后,将容易想到本公开的其它实施方案。本申请旨在涵盖本公开的任何变型、用途或者适应性变化,这些变型、用途或者适应性变化遵循本公开的一般性原理并包括本公开未公开的本技术领域中的公知常识或惯用技术手段。说明书和实施例仅被视为示例性的,本公开的真正范围和精神由所附的权利要求指出。

Claims (14)

1.一种用于授权认证的方法,其特征在于,应用于目标L2TP访问集中器LAC,包括:
基于二层隧道协议L2TP生成初始SCCRQ,并确定单包授权认证SPA参数信息;其中,所述初始SCCRQ是响应于通信隧道的建立请求生成的;
向所述初始SCCRQ中添加所述SPA参数信息,生成包含所述SPA参数信息的扩展SCCRQ;
将所述扩展SCCRQ发送至目标L2TP网络服务器LNS;
接收所述目标LNS返回的包含有授权信息的扩展开始控制连接响应SCCRP,以获得所述目标LNS的授权认证;
其中,确定单包授权认证SPA参数信息,包括:响应于所述建立请求确定目标LAC标识和目标LNS标识;读取所述目标LAC中存储的发送端计数值;和,读取所述目标LAC中存储的种子值,进而通过预设的加密算法根据所述目标LAC标识、目标LNS标识、所述发送端计数值和所述种子值生成动态密码;根据所述目标LAC标识、所述目标LNS标识、所述发送端计数值和所述动态密码确定所述SPA参数信息。
2.根据权利要求1所述的方法,其特征在于,向所述初始SCCRQ中添加所述SPA参数信息,生成包含所述SPA参数信息的扩展SCCRQ,包括:
创建用于指示扩展类型为认证请求的第一属性值对;
将所述SPA参数信息转化为符合L2TP报文头格式的SPA属性值对;
将所述第一属性值对和所述SPA属性值对添加至所述初始SCCRQ的L2TP报文头中,生成包含所述SPA参数信息的扩展SCCRQ。
3.根据权利要求1或2所述的方法,其特征在于,所述方法还包括:
解析所述SCCRP获得令牌;
基于所述令牌向所述目标LNS发送开始控制连接成功SCCCN,以建立所述通信隧道。
4.根据权利要求1所述的方法,其特征在于,所述SPA参数信息还包括所述目标LAC对应的终端的设备标识、所述终端的位置信息和认证信息哈希值中的至少一个;以及,
确定单包授权认证SPA参数信息,还包括:
根据所述建立请求确定所述目标LAC对应的所述终端的设备标识和所述终端的位置信息;和/或,
通过预设的哈希算法对除所述认证信息哈希值以外的其他SPA参数信息进行哈希计算,获得所述认证信息哈希值;
根据所述终端的设备标识、所述终端的位置信息和/或所述认证信息哈希值确定所述SPA参数信息。
5.根据权利要求1所述的方法,其特征在于,在将所述扩展SCCRQ发送至目标L2TP网络服务器LNS后,还包括:基于预设增量更新所述发送端计数值。
6.一种用于授权认证的方法,其特征在于,应用于目标LNS,包括:
接收目标LAC发送的数据包;
当确定所述数据包为扩展SCCRQ时,解析所述扩展SCCRQ,获得SPA参数信息;其中,所述SPA参数信息包括目标LAC标识、目标LNS标识、发送端计数值和动态密码;
基于所述SPA参数信息进行认证;
在认证通过的情况下,生成授权信息,并基于L2TP生成初始SCCRP;
向所述初始SCCRP中添加所述授权信息,生成包含所述授权信息的扩展SCCRP;
将所述扩展SCCRP发送至所述目标LAC;
其中,基于所述SPA参数信息进行认证,包括:读取所述目标LNS中存储的接收端计数值;根据所述接收端计数值和所述发送端计数值进行比对认证;以及,读取所述目标LNS中存储的种子值;通过预设的加密算法根据所述目标LAC标识、目标LNS标识、所述接收端计数值和所述种子值生成第二动态密码;根据所述动态密码和所述第二动态密码进行比对认证。
7.根据权利要求6所述的方法,其特征在于,向所述初始SCCRP中添加所述授权信息,生成包含所述授权信息的扩展SCCRP,包括:
创建用于指示扩展类型为授权认证的第二属性值对;
将所述授权信息转化为符合L2TP报文头格式的授权属性值对;其中,所述授权信息包括令牌;
将所述第二属性值对和所述授权属性值对添加至所述初始SCCRP的L2TP报文头中,生成包含所述授权信息的扩展SCCRP。
8.根据权利要求6所述的方法,其特征在于,还包括根据如下方法确定所述目标LAC发送的数据包为扩展SCCRQ:
解析所述数据包,确定所述数据包中的L2TP报文头;
判断所述L2TP报文头中是否存在用于指示扩展类型为认证请求的第一属性值对;若存在,则确定所述目标LAC发送的数据包为扩展SCCRQ。
9.根据权利要求6所述的方法,其特征在于,所述SPA参数信息还包括认证信息哈希值;基于所述SPA参数信息进行认证,还包括:
通过预设的哈希算法对所述SPA参数信息中除所述认证信息哈希值以外的其他SPA参数信息进行哈希计算,获得第二哈希值;
根据所述认证信息哈希值和所述第二哈希值进行比对认证。
10.根据权利要求6所述的方法,其特征在于,在将所述扩展SCCRP发送至所述目标LAC后,还包括:基于预设增量更新所述接收端计数值。
11.一种用于授权认证的装置,其特征在于,应用于目标LAC,包括:
第一生成模块,用于基于二层隧道协议L2TP生成初始SCCRQ,并确定单包授权认证SPA参数信息;其中,所述初始SCCRQ是响应于通信隧道的建立请求生成的;
所述第一生成模块还用于向所述初始SCCRQ中添加所述SPA参数信息,生成包含所述SPA参数信息的扩展SCCRQ;
第一发送模块,用于将所述扩展SCCRQ发送至目标L2TP网络服务器LNS;
第一接收模块,用于接收所述目标LNS返回的包含有授权信息的扩展开始控制连接响应SCCRP,以获得所述目标LNS的授权认证;
其中,所述第一生成模块用于确定单包授权认证SPA参数信息,包括:响应于所述建立请求确定目标LAC标识和目标LNS标识;读取所述目标LAC中存储的发送端计数值;和,读取所述目标LAC中存储的种子值,进而通过预设的加密算法根据所述目标LAC标识、目标LNS标识、所述发送端计数值和所述种子值生成动态密码;根据所述目标LAC标识、所述目标LNS标识、所述发送端计数值和所述动态密码确定所述SPA参数信息。
12.一种用于授权认证的装置,其特征在于,应用于目标LNS,包括:
第二接收模块,用于接收目标LAC发送的数据包;
解析模块,用于当确定所述数据包为扩展SCCRQ时,解析所述扩展SCCRQ,获得SPA参数信息;其中,所述SPA参数信息包括目标LAC标识、目标LNS标识、发送端计数值和动态密码;
认证模块,用于基于所述SPA参数信息进行认证;
第二生成模块,用于在认证通过的情况下,生成授权信息,并基于L2TP生成初始SCCRP;
所述第二生成模块还用于向所述初始SCCRP中添加所述授权信息,生成包含所述授权信息的扩展SCCRP;
第二发送模块,用于将所述扩展SCCRP发送至所述目标LAC;
其中,所述认证模块用于基于所述SPA参数信息进行认证,包括:读取所述目标LNS中存储的接收端计数值;根据所述接收端计数值和所述发送端计数值进行比对认证;以及,读取所述目标LNS中存储的种子值;通过预设的加密算法根据所述目标LAC标识、目标LNS标识、所述接收端计数值和所述种子值生成第二动态密码;根据所述动态密码和所述第二动态密码进行比对认证。
13.一种计算机可读存储介质,其上存储有计算机程序,所述程序被处理器执行时实现如权利要求1至10任一项所述的用于授权认证的方法。
14.一种电子设备,其特征在于,包括:
一个或多个处理器;
存储装置,用于存储一个或多个程序,当所述一个或多个程序被所述一个或多个处理器执行时,使得所述一个或多个处理器实现如权利要求1至10任一项所述的用于授权认证的方法。
CN202210541748.7A 2022-05-17 2022-05-17 用于授权认证的方法及装置、存储介质及电子设备 Active CN115001701B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202210541748.7A CN115001701B (zh) 2022-05-17 2022-05-17 用于授权认证的方法及装置、存储介质及电子设备

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202210541748.7A CN115001701B (zh) 2022-05-17 2022-05-17 用于授权认证的方法及装置、存储介质及电子设备

Publications (2)

Publication Number Publication Date
CN115001701A CN115001701A (zh) 2022-09-02
CN115001701B true CN115001701B (zh) 2023-10-31

Family

ID=83026758

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202210541748.7A Active CN115001701B (zh) 2022-05-17 2022-05-17 用于授权认证的方法及装置、存储介质及电子设备

Country Status (1)

Country Link
CN (1) CN115001701B (zh)

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102111326A (zh) * 2009-12-25 2011-06-29 杭州华三通信技术有限公司 在二层隧道协议虚拟专用网实现移动的方法、系统和装置
CN106559303A (zh) * 2015-09-28 2017-04-05 瞻博网络公司 使用多播地址作为第2层隧道协议访问集中器中的隧道远程网关地址
CN111343071A (zh) * 2020-03-20 2020-06-26 新华三信息安全技术有限公司 隧道建立方法、装置、负载均衡设备及存储介质
CN111817941A (zh) * 2020-05-28 2020-10-23 中交信通网络科技有限公司 一种用于高速公路光纤网系统的vpdn网络安全装置
CN113645193A (zh) * 2021-07-16 2021-11-12 牙木科技股份有限公司 网络安全防护方法、业务管理系统及计算机可读存储介质
CN114448706A (zh) * 2022-02-08 2022-05-06 恒安嘉新(北京)科技股份公司 一种单包授权方法、装置、电子设备及存储介质

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102111326A (zh) * 2009-12-25 2011-06-29 杭州华三通信技术有限公司 在二层隧道协议虚拟专用网实现移动的方法、系统和装置
CN106559303A (zh) * 2015-09-28 2017-04-05 瞻博网络公司 使用多播地址作为第2层隧道协议访问集中器中的隧道远程网关地址
CN111343071A (zh) * 2020-03-20 2020-06-26 新华三信息安全技术有限公司 隧道建立方法、装置、负载均衡设备及存储介质
CN111817941A (zh) * 2020-05-28 2020-10-23 中交信通网络科技有限公司 一种用于高速公路光纤网系统的vpdn网络安全装置
CN113645193A (zh) * 2021-07-16 2021-11-12 牙木科技股份有限公司 网络安全防护方法、业务管理系统及计算机可读存储介质
CN114448706A (zh) * 2022-02-08 2022-05-06 恒安嘉新(北京)科技股份公司 一种单包授权方法、装置、电子设备及存储介质

Also Published As

Publication number Publication date
CN115001701A (zh) 2022-09-02

Similar Documents

Publication Publication Date Title
CN108901022B (zh) 一种微服务统一鉴权方法及网关
JP2020064668A (ja) ネットワーク接続自動化
CN106412024B (zh) 一种页面获取方法和装置
US20100043065A1 (en) Single sign-on for web applications
US20100186076A1 (en) Method and system of providing security services using a secure device
CN112235266B (zh) 一种数据处理方法、装置、设备及存储介质
JP2000003348A (ja) 遠隔的にコマンドを実行する装置
US8191131B2 (en) Obscuring authentication data of remote user
CN110958119A (zh) 身份验证方法和装置
CN111131416A (zh) 业务服务的提供方法和装置、存储介质、电子装置
CN113225351B (zh) 一种请求处理方法、装置、存储介质及电子设备
CN111181912B (zh) 浏览器标识的处理方法、装置、电子设备及存储介质
CN112968910B (zh) 一种防重放攻击方法和装置
CN115603932A (zh) 一种访问控制方法、访问控制系统及相关设备
WO2006114361A1 (en) Method, system, and program product for connecting a client to a network
CN113055357B (zh) 单包验证通信链路可信的方法、装置、计算设备及存储介质
CN115001701B (zh) 用于授权认证的方法及装置、存储介质及电子设备
CN112738005A (zh) 访问处理方法、装置、系统、第一认证服务器及存储介质
CN116633725A (zh) 一种全渠道接入网关
CN113055186B (zh) 一种跨系统的业务处理方法、装置及系统
CN112994882B (zh) 基于区块链的鉴权方法、装置、介质及设备
CN114372245A (zh) 基于区块链的物联网终端认证方法、系统、设备及介质
CN113992734A (zh) 会话连接方法及装置、设备
US20210409385A1 (en) Method and apparatus for authenticating a device or user
CN114915462B (zh) 跨站请求伪造攻击防御方法及装置、电子设备及介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant