CN1859415A - 一种点到点协议强制认证方法和装置 - Google Patents

一种点到点协议强制认证方法和装置 Download PDF

Info

Publication number
CN1859415A
CN1859415A CNA200610034898XA CN200610034898A CN1859415A CN 1859415 A CN1859415 A CN 1859415A CN A200610034898X A CNA200610034898X A CN A200610034898XA CN 200610034898 A CN200610034898 A CN 200610034898A CN 1859415 A CN1859415 A CN 1859415A
Authority
CN
China
Prior art keywords
point
lcp
type
authentication
territory
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CNA200610034898XA
Other languages
English (en)
Other versions
CN100546305C (zh
Inventor
张轶炯
韩涛
夏开军
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Huawei Technologies Co Ltd
Original Assignee
Huawei Technologies Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Huawei Technologies Co Ltd filed Critical Huawei Technologies Co Ltd
Priority to CNB200610034898XA priority Critical patent/CN100546305C/zh
Publication of CN1859415A publication Critical patent/CN1859415A/zh
Priority to PCT/CN2006/003409 priority patent/WO2007112624A1/zh
Application granted granted Critical
Publication of CN100546305C publication Critical patent/CN100546305C/zh
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • H04L63/205Network architectures or network communication protocols for network security for managing network security; network security policies in general involving negotiation or determination of the one or more network security mechanisms to be used, e.g. by negotiation between the client and the server or between peers or by selection according to the capabilities of the entities involved

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明公开了一种点到点协议强制认证方法,包括如下步骤:A.进行LCP协商,获得LCP协商的认证类型;B.比较LCP协商的认证类型和域下配置的点到点协议强制认证类型,进行点到点协议认证。本发明还公开了一种点到点协议强制认证装置。本发明能够对不同运营商的用户进行认证管理,有利于网络服务供应商开展业务,并且是构建大容量宽带远程接入服务器系统不可或缺的一项技术。

Description

一种点到点协议强制认证方法和装置
技术领域
本发明涉及网络管理技术,尤其是一种点到点协议强制认证方法和装置。
背景技术
PPP协议(Point to Point Protocol,点到点协议)是TCP/IP协议(Transmission Control Protocol/Internet Protocol,传输控制协议/互联网协议)中数据链路层的协议,提供一种标准的方式在点对点的链路上传输多个网络层协议的数据包,PPP协议包括各种NCP协议(Network Control Protocol,网络控制协议),如IPCP协议(InternetProtocol Control Protocol,网络协议控制协议)和IPXCP(IPX ControlProtocol,IPX控制协议)等;LCP协议族(Link Control Protocol,链路控制协议);以及验证协议族(Authentication Protocol),如CHAP协议(Challenge Handshake Authentication Protocol,挑战握手验证协议)、PAP协议(Password Authentication Protocol,密码验证协议)等。
其中,NCP协议主要用来协商链路上传输的数据包的格式和类型;LCP协议主要用来建立、拆除和监控PPP数据链路;验证协议主要用来提供网络安全的保证。
为了在点对点的链路上建立通信,PPP链路的两端必须发送LCP数据包进行数据链路的测试和配置,等链路建立起来之后,还可能需要进行端的验证。然后,PPP发送NCP数据包选择并配置一个或多个网络层协议,当所选择的网络层协议配置成功之后,每个网络层发送的数据包就可以在链路上传送了。链路一直保持连接状态,直到有明确的LCP或者NCP数据包断开链路,或某些外来的事件发生,如定时器超时或者网络管理员干涉。
在验证阶段,由于运营商采用AAA服务器(AuthenticationAuthorization and Accounting,认证、授权和计费)所支持的认证类型存在差异,有的不支持PAP,CHAP,或者MSCHAP1(Microsoft CHAPversion1,微软CHAP协议版本1)、MSCHAP2(Microsoft CHAP version2,微软CHAP协议版本2)的情况,所以,只有在对端采用的验证协议跟AAA服务器所支持的认证类型相一致的情况下,才有可能通过验证;否则,就会出现在AAA服务器上存在该帐号而实际未通过验证的现象。
针对上述情形,现有的解决方案一是基于物理位置,如用户接入设备的槽位、子卡、端口、VLAN(Virtual Local Area Network,虚拟局域网)或PVC(Permanent Virtual Connection,永久虚连接)来配置点到点认证方案,使之与AAA服务器所支持的认证类型相一致。为了减少配置工作量可将同一物理端口下一些VLAN或PVC,组成一个逻辑接口一起进行配置。所有通过该接口接入的用户,PPP协商过程的LCP阶段,设备使用该接口下配置的认证方案与用户进行协商。通过该接口上来的用户在LCP阶段协商的认证类型就是接口所配置的认证类型,例如接口下配置的认证类型是PAP,则通过该接口上来的用户在LCP阶段协商的认证类型就是PAP。
如图1所示的用户拨号上网流程示意图,取PPPoE(PPP overEthernet,以太网承载PPP协议)用户为例,假设在接口下配置了CHAP认证类型,则具体过程如下:
首先,进行PPPoE协商;
其次,进行PPP协商,具体包括下述步骤:
(1)用户端和PPPoE服务器之间进行点到点的LCP协商,建立链路层通信,同时协商使用CHAP认证方式;
(2)PPPoE服务器发送Challenge报文给认证用户端,提供一个128bit的Challenge;
(3)用户端收到Challenge报文后,将密码和Challenge做MD5算法后,发送Response响应报文给PPPoE服务器;
(4)PPPoE服务器发送含Challenge、Challenge-Password和用户名的Access-Request(认证请求报文)到AAA服务器,由AAA服务器进行认证。
(5)AAA服务器根据用户信息判断用户是否合法,然后回应Access-Accept/Access-Reject(认证成功/失败报文)到PPPoE服务器;
如果认证成功,携带协商参数,以及用户的相关业务属性给用户授权;
如果认证失败,则流程到此结束;
(6)PPPoE服务器将认证结果(Success/Failure)返回给用户端;
(7)用户进行NCP(如IPCP)协商,通过PPPoE服务器获取到规划的IP地址等参数;
(8)认证如果成功,PPPoE服务器发起计费开始请求给AAA服务器;
(9)AAA服务器回应计费开始请求报文;
用户此时通过认证,并且获得了合法的权限,可以正常开展网络业务。
目前,网络用户与网络接入服务设备相连,通过这些设备实现网络连接。网络用户又属于不同的网络运营商,属于不同的域。在目前的网络运营管理系统中,网络运营商不需要真正的NAS(Network AccessServer,网络接入服务设备),只需要向真正拥有该设备的网络服务供应商租用设备即可。多个网络运营商可能租用同一个网络服务供应商的设备的同一个接口。由于运营商采用的AAA服务器所支持的认证类型存在差异,有的不支持PAP,CHAP,或者MSCHAP1、MSCHAP2的情况。如图2所示,运营商A和运营商B分别采用AAA服务器1和AAA服务器2,这两台用户认证服务器所支持的认证类型分别为PAP和CHAP。按照现有的技术方案一,如果接口下配置的PPP强制认证方案为MSCHAP1或者MSCHAP2,那么分属于运营商A和运营商B的网络用户user1@dom1和user2@dom2虽然在各自的AAA服务器上有账号,但均不能验证通过,从而导致用户无法开展网络业务;如果接口下配置的点到点强制认证方案为PAP或者CHAP,那么用户user1@dom1和user2@dom2最多只有一个用户能够验证成功。也就是说,只有在LCP阶段协商好的认证类型与AAA服务器所支持的认证类型相一致的情况下才有可能通过验证,否则就会出现在AAA服务器上存在着该账号而实际上验证不过的现象。所以,现有的技术方案一在图2所示的情况下,为了使得用户均能验证通过,只能由网络服务供应商给每个网络运营商分配不同的接口,这样不利于网络服务供应商的利益;且在大容量的BRAS(Broadband Remote Access Server,宽带远程接入服务器)中,给每个运营商分配不同的接口是不现实的。
现有的解决方案二是通过为用户端配置点到点强制认证类型的方式来实现,在用户的客户端拨号软件上配置点到点认证类型,设备接口上配置认证类型为自适应。这样PPP协商中LCP阶段时用户端指定使用用户端拨号软件上配置的认证类型,而设备接受用户端的要求。例如,AAA服务器支持的认证类型是CHAP,则配置用户端的认证类型是CHAP。这一方案的前提是用户必须知道其所要认证的AAA服务器支持的认证类型,即运营商必须预先告诉用户AAA服务器所支持的认证类型,因此就存在一定的网络安全隐患;另外,该方案不够灵活,如果运营商需要切换用户认证的AAA服务器,必须通知用户根据新的服务器所支持的认证类型进行调整,使用户端的认证类型与切换后的认证服务器所支持的认证类型保持一致,否则,将导致用户无法验证通过。
发明内容
基于上述情形,本发明提供了一种点到点协议强制认证方法和装置。灵活、安全地解决了由于运营商采用AAA服务器所支持的认证类型存在差异而导致用户无法通过验证的问题;无须为每个网络运营商分配不同接口,从而维护网络服务供应商的利益。
本发明中的点到点协议强制认证方法,包括步骤:
A、链路进行LCP协商,获得LCP协商的认证类型;
B、比较LCP协商的认证类型和域下配置的点到点强制认证类型,进行点到点协议认证。
其中,步骤B包括具体步骤:
B1、若LCP协商的认证类型和域下配置的点到点强制认证类型相同,发送认证请求报文到AAA服务器进行认证;
B2、若LCP协商的认证类型和域下配置的点到点强制认证类型不同,将域下配置的点到点强制认证类型下发,进行LCP重协商,获得LCP重协商的认证类型,并与域下配置的点到点强制认证类型进行比较,二者相同,则发送认证请求报文到AAA服务器进行认证。
本发明方法中,域下配置的点到点强制认证类型为AAA服务器所支持的认证类型。
所述LCP重协商是由链路控制协议通过交换配置报文,将协商的类型更换为所述下发的域下配置的点到点强制认证类型。
所述AAA服务器接收到认证请求报文后,进行认证,认证通过后,返回认证成功报文。
本发明的点到点协议强制认证装置,在用户端与AAA服务器之间包括接口模块与比较模块,接口模块与用户端和比较模块相连,比较模块又与AAA服务器相连,
接口模块,与用户端进行LCP协商,并发送比较请求消息给比较模块;
比较模块,将LCP协商的认证类型与域下配置的点到点强制认证类型进行比较,并发送认证请求报文给AAA服务器进行认证。
其中,若LCP协商的认证类型与域下配置的认证类型不同,则所述的比较模块将域下配置的点到点强制认证类型下发给所述的接口模块。
所述的接口模块根据下发的认证类型与用户端进行LCP重协商,链路再次建立后,所述的接口模块再次发送比较请求消息给所述的比较模块进行处理。
其中,所述比较请求消息中携带有LCP协商的认证类型。
本发明提供的方法和装置,实现了针对不同运营商的网络用户的认证管理。这不仅有利于网络服务供应商开展业务,能够把同一个接口租给不同的网络运营商,同时也是构建大容量BRAS系统不可或缺的一项技术。
附图说明
图1为现有技术中的用户拨号上网流程图;
图2为现有技术中的用户拨号上网示意图;
图3为本发明中点到点协议强制认证的流程图;
图4为本发明中点到点协议强制认证装置图。
具体实施方式
同一个域下的用户具有相同的认证方法,计费方法,DNS(DomainName Server,域名服务器)的IP地址,缺省的业务属性,该域对应的AAA服务器的IP地址和服务端口号,当系统失去计费能力时是否允许用户在线的策略等。
在域下配置点到点强制认证类型与AAA服务器所支持的认证类型相一致,可通过下发命令进行配置。网络用户拨号上网根据域所对应的AAA服务器的IP地址和服务端口号,到相应的AAA服务器上去认证。
下面结合图3,具体说明点到点协议强制认证方法的具体实现过程:
步骤1,LCP协商阶段
接口下配置认证类型为auto,用户拨号上网,LCP通过交换配置报文,进行LCP协商,建立链路并确定认证类型;
步骤2,认证阶段
把LCP协商阶段确定的认证类型和该用户所在域下配置的点到点强制认证类型比较,
如果二者相同,发送认证请求报文到AAA服务器进行认证处理;
如果二者不同,则将域下配置的点到点强制认证类型下发,进入LCP重协商阶段;
步骤3,LCP重协商阶段
LCP通过交换配置报文,进行LCP重协商,协商的认证类型为步骤2中下发的域下配置的点到点强制认证类型,链路建立后,再次进入步骤2的认证阶段。
这时,LCP阶段协商的认证类型和该用户所在域下配置的点到点强制认证类型相同,发送认证请求报文到AAA服务器进行认证处理。
由于,在域下配置点到点强制认证类型与该AAA服务器所支持的认证类型相一致,因此,用户能够通过AAA服务器的验证,顺利开展网络业务。
同时,本发明还提供了一种点到点强制认证装置,如图4所示,在用户端与AAA服务器之间包括接口模块与比较模块。
用户端与接口模块之间进行LCP协商建立链路并协商认证类型;
链路建立后,接口模块发送比较请求消息给比较模块,该比较请求消息中携带有LCP协商的认证类型;比较模块将LCP阶段协商的认证类型与域下配置的点到点强制认证类型进行比较,
若LCP阶段协商的认证类型与域下配置的点到点强制认证类型相同,比较模块则发送认证请求报文给AAA服务器,进行认证;
若LCP阶段协商的认证类型与域下配置的点到点强制认证类型不同,则比较模块将域下配置的点到点强制认证类型下发给接口模块;接口模块根据下发的认证类型与用户端进行LCP重协商,链路再次建立后,由接口模块发送比较请求消息给比较模块。此时,LCP阶段协商的认证类型与域下配置的点到点强制认证类型相同,比较模块将发送认证请求报文给AAA服务器,进行认证。
AAA服务器认证成功后,将返回认证成功报文给接口模块,接口模块将认证成功报文返回到用户端。至此,用户通过认证,获得合法的权限,可以正常开展网络业务。
以上所述,仅为本发明较佳的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉该技术的人在本发明所揭露的技术范围内,可轻易想到的变化或替换,都应涵盖在本发明的保护范围之内。

Claims (9)

1、一种点到点协议强制认证方法,其特征在于,包括步骤:
A、链路两端进行LCP协商,获得LCP协商的认证类型;
B、比较LCP协商的认证类型和域下配置的点到点强制认证类型,进行点到点协议认证。
2、根据权利要求1所述的点到点协议强制认证方法,其特征在于,步骤B包括具体步骤:
B1、若LCP协商的认证类型和域下配置的点到点强制认证类型相同,发送认证请求报文到AAA服务器进行认证;
B2、若LCP协商的认证类型和域下配置的点到点强制认证类型不同,将域下配置的点到点强制认证类型下发,进行LCP重协商,获得LCP重协商的认证类型,并与域下配置的点到点强制认证类型进行比较,二者相同,则发送认证请求报文到AAA服务器进行认证。
3、根据权利要求1或2所述的点到点协议强制认证方法,其特征在于,所述域下配置的点到点强制认证类型为AAA服务器所支持的认证类型。
4、根据权利要求2所述的点到点协议强制认证方法,所述LCP重协商是由链路控制协议通过交换配置报文,将协商的类型更换为所述下发的域下配置的点到点强制认证类型。
5、根据权利要求2所述的点到点协议强制认证方法,其特征在于,所述AAA服务器接收到认证请求报文后,进行认证,认证通过后,返回认证成功报文。
6、一种点到点协议强制认证装置,其特征在于,在用户端与AAA服务器之间包括接口模块与比较模块,接口模块与用户端和比较模块相连,比较模块又与AAA服务器相连,
接口模块,与用户端进行LCP协商,并发送比较请求消息给比较模块;
比较模块,将LCP协商的认证类型与域下配置的点到点强制认证类型进行比较,并发送认证请求报文到AAA服务器进行认证。
7、根据权利要求6所述的点到点协议强制认证装置,其特征在于,若LCP协商的认证类型与域下配置的认证类型不同,则所述的比较模块将域下配置的点到点强制认证类型下发给所述的接口模块。
8、根据权利要求7所述的点到点协议强制认证装置,其特征在于,所述的接口模块根据下发的认证类型与用户端进行LCP重协商,链路再次建立后,所述的接口模块再次发送比较请求消息给所述的比较模块进行处理。
9、根据权利要求6所述的点到点协议强制认证装置,其特征在于,所述比较请求消息中携带有LCP协商的认证类型。
CNB200610034898XA 2006-04-04 2006-04-04 一种点到点协议强制认证方法和装置 Expired - Fee Related CN100546305C (zh)

Priority Applications (2)

Application Number Priority Date Filing Date Title
CNB200610034898XA CN100546305C (zh) 2006-04-04 2006-04-04 一种点到点协议强制认证方法和装置
PCT/CN2006/003409 WO2007112624A1 (fr) 2006-04-04 2006-12-14 Procédé d'authentification, procédé de négociation du type d'authentification, et dispositif de fourniture d'accès au réseau

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CNB200610034898XA CN100546305C (zh) 2006-04-04 2006-04-04 一种点到点协议强制认证方法和装置

Publications (2)

Publication Number Publication Date
CN1859415A true CN1859415A (zh) 2006-11-08
CN100546305C CN100546305C (zh) 2009-09-30

Family

ID=37298277

Family Applications (1)

Application Number Title Priority Date Filing Date
CNB200610034898XA Expired - Fee Related CN100546305C (zh) 2006-04-04 2006-04-04 一种点到点协议强制认证方法和装置

Country Status (2)

Country Link
CN (1) CN100546305C (zh)
WO (1) WO2007112624A1 (zh)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102739657A (zh) * 2012-06-15 2012-10-17 中兴通讯股份有限公司 一种对接TACACS+服务器的enable认证方法及系统
CN113206827A (zh) * 2021-03-29 2021-08-03 北京华三通信技术有限公司 报文处理方法及装置
WO2023082894A1 (zh) * 2021-11-10 2023-05-19 杭州萤石软件有限公司 一种终端侧设备与网络侧设备之间的认证方法、系统

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2003234795A (ja) * 2002-02-08 2003-08-22 Fujitsu Access Ltd プロトコル変換通信方法及び該変換機能を備えた中継装置
JP2003244188A (ja) * 2002-02-21 2003-08-29 Nippon Telegr & Teleph Corp <Ntt> トンネル通信方法
CN1265579C (zh) * 2002-09-23 2006-07-19 华为技术有限公司 一种对网络接入用户进行认证的方法

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102739657A (zh) * 2012-06-15 2012-10-17 中兴通讯股份有限公司 一种对接TACACS+服务器的enable认证方法及系统
CN113206827A (zh) * 2021-03-29 2021-08-03 北京华三通信技术有限公司 报文处理方法及装置
CN113206827B (zh) * 2021-03-29 2022-10-21 北京华三通信技术有限公司 报文处理方法及装置
WO2023082894A1 (zh) * 2021-11-10 2023-05-19 杭州萤石软件有限公司 一种终端侧设备与网络侧设备之间的认证方法、系统

Also Published As

Publication number Publication date
WO2007112624A1 (fr) 2007-10-11
CN100546305C (zh) 2009-09-30

Similar Documents

Publication Publication Date Title
CN101127600B (zh) 一种用户接入认证的方法
US8125980B2 (en) User terminal connection control method and apparatus
EP1876754B1 (en) Method system and server for implementing dhcp address security allocation
US8484695B2 (en) System and method for providing access control
CN101110847B (zh) 一种获取介质访问控制地址的方法、系统及装置
JP4291213B2 (ja) 認証方法、認証システム、認証代行サーバ、ネットワークアクセス認証サーバ、プログラム、及び記録媒体
US9332579B2 (en) Method and system for efficient use of a telecommunication network and the connection between the telecommunications network and a customer premises equipment
KR100738526B1 (ko) 다중 영구가상회선 접속환경을 위한 중간 인증관리 시스템및 그 방법
CN101141492B (zh) 实现dhcp地址安全分配的方法及系统
US20100107223A1 (en) Network Access Method, System, and Apparatus
CN101888389B (zh) 一种实现icp联盟统一认证的方法和系统
CN101043331A (zh) 一种为网络设备分配地址的系统和方法
EP2051473A1 (en) Method and system to trace the IP traffic back to the sender or receiver of user data in public wireless networks
CN100574195C (zh) 基于动态主机配置协议的安全接入方法及其系统
CN101227481A (zh) 一种基于dhcp协议的ip接入的方法及其装置
WO2007000120A1 (fr) Systeme, procede et serveur d&#39;acces pour authentification
CN1713629A (zh) 用户登录名和ip地址绑定的实现方法
CN1243434C (zh) 基于远程认证的网络中实现eap认证的方法
CN102404293A (zh) 一种双栈用户管理方法及宽带接入服务器
CN1567868A (zh) 基于以太网认证系统的认证方法
CN100583759C (zh) 实现不同认证控制设备间同步认证的方法
CN1859415A (zh) 一种点到点协议强制认证方法和装置
CN102075567B (zh) 认证方法、客户端、服务器、直通服务器及认证系统
CN1527557A (zh) 一种桥接设备透传802.1x认证报文的方法
WO2011023228A1 (en) Identity management system

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
C14 Grant of patent or utility model
GR01 Patent grant
CF01 Termination of patent right due to non-payment of annual fee
CF01 Termination of patent right due to non-payment of annual fee

Granted publication date: 20090930