WO2010003354A1 - 认证服务器及虚拟专用网的移动通信终端接入控制方法 - Google Patents

Description

认证月良务器及虚拟专用网的移动通信终端接入控制方法 技术领域 本发明涉及虚拟专用网的安全控制技术领域， 具体而言， 涉及一种认证 月艮务器及虚拟专用网的移动通信终端接入控制方法。 背景技术

VPN ( Virtual Private Network, 虚拟专用网） 指的是在公用网络中建立 专用数据通信网络的技术， 在虚拟专用网中， 任意两个节点之间的连接釆用 某种公用网的资源动态组成。 虚拟专用网可以实现不同网络的组件和资源之 间的相互连接， 能够利用 Internet或其它公共互联网络的基础设施为用户创 建隧道， 提供与专用网络一样的安全和功能保障。 移动 VPN业务是利用移动通信网实现的 VPN业务，可以为企业等机构 提供移动的、 安全的、 有质量保证的数据通道， 以便用户随时随地实现对机 构资源的访问。 与固网 VPN的要求相同， 移动 VPN也要求网络安全、 性能优化、 和易 于管理。 安全性的实现可以通过隧道和加密、 数据验证、 用户验证、 防火墙 和攻击检测等手段实现； 性能优化的实现要求充分利用网络已有的资源和能 力， 通过流量预测和控制策略， 按照优先级分配带宽资源， 尽可能满足各类 数据业务的 QoS ( Quality of Service, 月艮务质量）需求； 易于管理体现在可才艮 据企业的不同需求， 实现企业和运营商对 VPN 的分工管理， 并使其具有良 好的扩展性、 经济性、 安全可靠性。 在构建 VPN方面， 隧道技术是关键。 现有的隧道协议主要有 2层隧道 协议（如， 层 2隧道协议 L2TP )和 3屋隧道协议 (如， 通用路由封装 GRE、 IPSec、 多协议标签交换 MPLS等）。移动 VPN正是利用移动网络设备对上述 隧道协议的支持能力进行 VPN组网， 来实现移动网的 VPN业务。 区别于固网 VPN, 用户釆用诸如手机、 上网卡等移动通信终端访问企 业等机构的专用网的资源。移动通信终端可以随时 地访问专用网路的资源， 在带来便捷的同时也带来了终端管理方面的困难， 如， 终端的使用状态不受 控制， 终端在使用中发生丢失、 被盗的现象， 存在未经许可的用户使用移动 通信终端访问专用网络的资源的风险等，以上情况均影响到专用网络的安全。 因此， 在移动 VPN 的技术方案中， 需要就移动通信终端方面的安全问题提 供相应的解决方法。 发明内容 针对移动 VPN技术中移动通信终端带来的安全方面的问题而提出本发 明， 为此， 本发明的主要目的在于提供一种认证服务器及虚拟专用网的移动 通信终端接入控制方法， 以解决上述问题至少之一。 为了实现上述目的， 根据本发明实施例的一个方面， 提供了一种认证服 务器。 根据本发明实施例的认证服务器包括： 第一保存模块， 用于保存允许接 入的移动通信终端的第一特征信息； 接收模块， 用于接收虚拟专用网接入请 求消息； 判断模块， 用于判断待接入终端的类型， 得到一判断结果； 信息获 取模块， 用于在判断结果指示待接入终端为移动通信终端时， 获取待接入终 端的第二特征信息； 第一比较模块， 用于比较第二特征信息和第一特征信息， 得到一第一比较结果； 第一执行模块， 用于在第一比较结果指示第二特征信 息与第一特征信息中的一个特征信息相同时， 允许待接入终端继续进行接入 处理， 否则， 拒绝待接入终端继续进行接入处理。 优选地， 上述的认证服务器还包括： 第二保存模块， 用于保存不允许接 入的移动通信终端的第三特征信息； 第二比较模块， 用于在第一执行模块拒 绝待接入终端继续进行接入处理时， 比较第二特征信息和第三特征信息， 得 到一第二比较结果； 第二执行模块， 用于在第二比较结果指示第二特征信息 与第三特征信息中的一个特征信息相同时， 向待接入终端发送删除虚拟专用 网配置信息的指令。 优选地， 第二特征信息为国际移动设备身份码。 优选地， 上述的认证服务器还包括： 管理模块， 用于对第一保存模块和 第二保存模块所保存的第一特征信息和第三特征信息进行管理操作。 优选地， 在 VPN接入请求消息来自于网关 GPRS支持节点时， 判断结 果指示待接入终端为移动通信终端。 为了实现上述目的， 才艮据本发明实施例的另一个方面， 提供了一种虚拟 专用网的移动通信终端接入控制方法。 根据本发明的虚拟专用网的移动通信终端接入控制方法包括： 接收 VPN接入请求消息； 判断待接入终端的类型， 得到一判断结果； 在判断结果 指示待接入终端为移动通信终端时， 获取待接入终端的第二特征信息； 比较 第二特征信息和第一特征信息， 得到一第一比较结果； 第一特征信息为允许 接入的移动通信终端的特征信息的集合； 在第一比较结果指示第二特征信息 与第一特征信息中的一个特征信息相同时， 允许待接入终端继续进行接入处 理， 否则， 拒绝待接入终端继续进行接入处理。 优选地， 上述的方法还包括： 在拒绝待接入终端继续进行接入处理时， 比较第二特征信息和第三特征信息， 得到一第二比较结果， 第三特征信息为 不允许接入的移动通信终端的特征信息的集合； 在第二比较结果指示第二特 征信息与第三特征信息中的一个特征信息相同时， 向待接入终端发送删除虚 拟专用网配置信息的指令。 优选地， 第二特征信息为国际移动设备身份码。 优选地， 在虚拟专用网接入请求消息来自于网关 GPRS支持节点时， 判 断结果指示待接入终端为移动通信终端。 通过本发明， 对请求接入 VPN的移动通信终端进行终端身份认证， 对 于不被允许接入 VPN 的移动通信终端， 通过认证服务器与其进行交互进而 删除该终端上的 VPN配置以防其再次接入该 VPN。解决了移动 VPN技术中 移动通信终端带来的安全方面的问题， 可以有效地保证移动 VPN的安全性。 本发明的其它特征和优点将在随后的说明书中阐述， 并且， 部分地从说 明书中变得显而易见， 或者通过实施本发明而了解。 本发明的目的和其他优 点可通过在所写的说明书、 权利要求书、 以及附图中所特别指出的结构来实 现和获得。 附图说明 图 1为才艮据本发明实施例的应用环境的结构示意图； 图 2为根据本发明实施例的认证服务器的结构示意图； 图 3为才艮据本发明实施例的方法的流程示意图。 具体实施方式 功能相无述 在本发明实施例提供的技术方案中， 认证服务器在判断出 VPN接入请 求消息来自移动通信终端之后， 与移动通信终端交互， 对移动通信终端执行 认证操作， 只有认证通过的移动通信终端才能接入到 VPN 执行后续操作。 对于不被允许接入 VPN 的移动通信终端， 通过认证服务器与其进行交互进 而删除该终端上的 VPN 配置以防其再次接入该 VPN。 该方案解决了移动 VPN技术中移动通信终端带来的安全方面的问题，可以有效地保证移动 VPN 的安全性。 在对本发明实施例的认证服务器及虚拟专用网的移动通信终端接入控 制方法进行详细说明之前， 先对本发明实施例认证服务器及虚拟专用网的移 动通信终端接入控制方法的应用环境进行说明， 以便于更好的理解本发明。 本发明实施例的装置和方法需要移动 VPN接入系统的支持。 本发明实 施例中的移动 VPN接入系统如图 1 所示， 包括移动通信终端、 移动通信网 络、 企业等机构的专用网络。 移动通信终端需要支持移动数据业务和 VPN接入功能， 其可以通过内 置的 VPN接入软件实现 VPN连接。 移动通信网络可以为第三代通信网络， 核心网中的 GGSN ( Gateway GPRS Support Node , 网关 GPRS支持节点）设备可以将移动 VPN接入到企 业等机构的专用网络。 企业等机构的专用网络包括 VPN网关、 验证服务器、 及专用网内的其他节点 （如图 1所示的计算机 )„ 以下结合附图对本发明的优选实施例进行说明， 应当理解， 此处所描述 的优选实施例仅用于说明和解释本发明， 并不构成对本发明的限定。 需要说 明的是， 在不冲突的情况下， 本申请中的实施例及实施例中的特征可以相互 组合。 装置实施例 根据本发明的实施例， 提供了一种认证服务器。 如图 2所示， 该认证服务器包括： 第一保存模块， 用于保存允许接入的移动通信终端的第一特征信息； 接收模块， 用于接收 VPN接入请求消息； 判断模块，用于根据 VPN接入请求消息的来源判断待接入终端的类型， 得到一判断结果； 信息获取模块， 用于在上述判断结果指示待接入终端为移动通信终端 时， 与待接入终端交互， 获取待接入终端的第二特征信息； 第一比较模块， 用于比较第二特征信息和第一特征信息， 得到第一比较 结果； 第一执行模块，用于在上述第一比较结果指示第二特征信息与第一特征 信息中的一个特征信息相同时， 允许待接入终端继续进行接入处理， 否则， 拒绝待接入终端继续进行接入处理。 在上述的装置中，判断出待接入移动通信终端的第二特征信息与上述第 一特征信息中的所有特征信息均不相同时， 则拒绝待接入终端继续进行接入 处理， 然而， 一^:来说， 上述的不在允许范围内的该待接入移动通信终端还 包括以下两种 'It况： 情况一、待接入移动通信终端的特征信息在第三特征信息中， 该第三特 征信息为明确不允许接入的移动通信终端的特征信息的集合， 即该待接入移 动通信终端被明确禁止接入 VPN; 情况二、待接入移动通信终端的特征信息既不在第一特征信息中， 也不 在第三特征信息中， 即该待接入移动通信终端既没有被明确允许可以接入 VPN , 也没有被明确禁止接入 VPN。 在本发明的具体实施例的认证服务器中，需要对上述的两种不同情况区 别对待， 以尽可能地保证数据安全。 在上述情况下， 如图 2所示， 本发明实施例的认证服务器还包括： 第二保存模块， 用于保存不允许接入的移动通信终端（如用户已经挂失 的移动通信终端， 或者明确表示不使用该项业务的移动通信终端等） 的第三 特征信息； 第二比较模块，用于在上述第一执行模块拒绝待接入终端继续进行接入 处理时， 比较第二特征信息和第三特征信息， 得到第二比较结果； 第二执行模块，用于在上述第二比较结果指示第二特征信息与第三特征 信息中的一个特征信息相同时， 向待接入终端发送删除 VPN 配置信息的指 令， 待接入终端接收到删除 VPN配置信息的指令后删除 VPN配置信息。 方法实施例 图 3 所示为本发明实施例的虚拟专用网的移动通信终端接入控制方法 的示意图， 该方法包括步骤 31至步骤 37: 步骤 31 , 接收 VPN接入请求消息； 步骤 32 , 根据 VPN接入请求消息的来源判断待接入终端的类型， 得到 一判断结果； 步骤 33 , 在上述判断结果指示待接入终端为移动通信终端时， 获取待 接入终端的第二特征信息； 步骤 34, 比较上述第二特征信息和第一特征信息， 得到第一比较结果； 上述第一特征信息为允许接入的移动通信终端的特征信息的集合； 步骤 35 , 在上述第一比较结果指示第二特征信息与第一特征信息中的 一个特征信息相同时， 允许待接入终端继续进行接入处理， 否则， 拒绝待接 入终端继续进行接入处理； 步骤 36, 比较上述第二特征信息和第三特征信息， 得到第二比较结果； 上述第三特征信息为不允许接入的移动通信终端的特征信息的集合； 步骤 37 , 在上述第二比较结果指示第二特征信息与第三特征信息中的 一个特征信息相同时， 向待接入终端发送删除 VPN配置信息的指令。 待接入终端接收到删除 VPN配置信息的指令后删除 VPN配置信息，其 中， VPN配置信息可以包括 VPN网关 IP地址、 预共享秘钥、 算法策略等。 通过删除 VPN配置信息， 可以增加 VPN配置信息的安全性并使该移动通信 终端不能再接入该专用网络， 进一步加强了安全性。 其中， 待接入终端继续进行接入处理包括 VPN用户验证、 VPN隧道的 建立等其他接入过程， 这在 VPN 技术规范中有相应的技术规范， 在此不再 描述。 当然， 在待接入终端向认证月艮务器发送 VPN接入请求消息之前， 双方 可以按照 VPN 的技术规范进行通信加密的协商， 保证数据通信的安全。 通 信加密的¼、商属于现有 VPN的技术规范， 在 iH不再描述。 才艮据本发明实施例， 还提供了一种计算机可读介质， 该计算机可读介质 上存储有计算机可执行的指令， 当该指令被计算机或处理器执行时， 使得计 算机或处理器执行如图 3所示的步骤 31至步骤 37的处理。 下面对上述的装置和方法进行进一步详细的说明。 在上述的描述中， 可以看到， 本发明实施例的装置和方法是对移动通信 终端接入 VPN进行控制， 这就需要认证月艮务器知道请求接入 VPN的是移动 通信终端还是固定装置， 在本发明的具体实施例中， 根据 VPN接入请求消 息的来源判断待接入终端的类型： 当 VPN接入请求消息来自于移动通信网 络的 GGSN时， 判断待接入终端为移动通信终端， 并执行后续的处理流程； 当 VPN接入请求消息不是来自于移动通信网络的 GGSN时， 按常规处理方 式进行处理， 而该常规处理方式在现有的 VPN 规范中已经有详细描述， 在 此不再详细描述。 在判断出待接入终端为移动通信终端之后，就需要对该移动通信终端进 行身份认证， 在上面已经说明， 釆用移动通信终端的特征信息进行认证， 其 中， 该特征信息可以是任何能唯一标识移动通信终端的信息。 在本发明的具 体实施例中， 釆用移动通信终端的 IMEI ( International Mobile Equipment Identity,国际移动设备身份码）来进行身 人证，但应该理解，此处釆用 IMEI 作为标识移动终端的信息是为了对本发明进行更加详细的描述， 而不构成对 本发明的限定。 允许接入的移动通信终端的 IMEI 和不允许接入的移动通信终端的 IMEI使用数据库进行保存。 当然， 这些保存的数据应该是管理者可以更改的数据， 因此， 本发明实 施例的认证服务器还包括： 管理模块，用于对上述第一保存模块和第二保存模块所保存的第一特征 信息和第三特征信息进行管理操作。 其中该管理操作包括以下操作中的一个或多个： 删除操作， 如用户移动通信终端丢失， 管理员应该将该用户的移动通信 终端的特征信息从第一特征信息中删除； 添加操作， 如用户移动通信终端丢失， 管理员应该将该用户的移动通信 终端的特征信息添加到第三特征信息中； 查询操作。 当然， 还可以是修改等其他管理操作， 如， 对录入错误的特征信息进行 修改等。 在判断出待接入终端为移动通信终端时，需要获取上述待接入终端的第 二特征信息， 下面对该过程进行详细描述， 其包括步骤 A1至步骤 A3: 步骤 Al , VPN验证服务器向待接入终端发送身份验证请求消息； 步骤 A2 , 待接入终端向 VPN认证月艮务器发送身份 3 证请求响应消息， 该身份 3 证请求响应消息中包含 IMEI; 步骤 A3 , 认证服务器解析身份验证请求响应消息， 获取该身份验证请 求响应消息中包含的 IMEI。 在上述步骤 A2 中， 移动通信终端收到 VPN认证服务器发送的身份验 证请求消息后， 读取移动通信终端的 IMEI, 然后将 IMEI封装到身份验证请 求响应消息中， 并发送给专用网络的认证服务器。 显然， 本领域的技术人员应该明白， 上述的本发明的各模块或各步骤可 以用通用的计算装置来实现， 它们可以集中在单个的计算装置上， 或者分布 在多个计算装置所组成的网络上， 可选地， 它们可以用计算装置可执行的程 序代码来实现， 从而， 可以将它们存储在存储装置中由计算装置来执行， 或 者将它们分别制作成各个集成电路模块， 或者将它们中的多个模块或步骤制 作成单个集成电路模块来实现。 这样， 本发明不限制于任何特定的硬件和软 件结合。 以上所述仅为本发明的优选实施例而已， 并不用于限制本发明， 对于本 领域的技术人员来说， 本发明可以有各种更改和变^^ 凡在本发明的^^申和 原则之内， 所作的任何修改、 等同替换、 改进等， 均应包含在本发明的保护 范围之内。

Claims

权 利 要 求 书 一种认证服务器， 其特征在于， 包括： 第一保存模块， 用于保存允许接入的移动通信终端的第一特征信 息；

接收模块， 用于接收来自待接入终端的虚拟专用网接入请求消 息；

判断模块， 用于判断所述待接入终端的类型， 得到一判断结果； 信息获取模块， 用于在所述判断结果指示所述待接入终端为移动 通信终端时， 获取所述待接入终端的第二特征信息；

第一比较模块， 用于比较所述第二特征信息和所述第一特征信 息， 得到一第一比较结果；

第一执行模块， 用于在所述第一比较结果指示所述第二特征信息 与所述第一特征信息中的一个特征信息相同时， 允许所述待接入终端 继续进行接入处理， 否则， 拒绝所述待接入终端继续进行接入处理。 根据权利要求 1所述的认证服务器， 其特征在于， 还包括：

第二保存模块， 用于保存不允许接入的移动通信终端的第三特征 信息；

第二比较模块， 用于在所述第一执行模块拒绝所述待接入终端继 续进行接入处理时， 比较所述第二特征信息和所述第三特征信息， 得 到一第二比较结果； 第二执行模块， 用于在所述第二比较结果指示所述第二特征信息 与所述第三特征信息中的一个特征信息相同时， 向所述待接入终端发 送删除虚拟专用网配置信息的指令。 根据权利要求 1或 2所述的认证服务器， 其特征在于， 所述第二特征 信息为国际移动设备身份码。 根据权利要求 2所述的认证服务器， 其特征在于， 还包括:

管理模块， 用于对所述第一保存模块和第二保存模块所保存的第 一特征信息和第三特征信息进行管理操作。 根据权利要求 1所述的认证服务器， 其特征在于， 在所述 VPN接入请 求消息来自于网关 GPRS支持节点时， 所述判断结果指示所述待接入 终端为移动通信终端。 一种虚拟专用网的移动通信终端接入控制方法， 其特征在于， 包括： 接收来自待接入终端的 VPN接入请求消息；

判断所述待接入终端的类型， 得到一判断结果；

在所述判断结果指示所述待接入终端为移动通信终端时， 获取所 述待接入终端的第二特征信息；

比较所述第二特征信息和第一特征信息， 得到一第一比较结果； 所述第一特征信息为允许接入的移动通信终端的特征信息的集合； 在所述第一比较结果指示所述第二特征信息与所述第一特征信 息中的一个特征信息相同时，允许所述待接入终端继续进行接入处理， 否则， 拒绝所述待接入终端继续进行接入处理。 根据权利要求 6所述的方法， 其特征在于， 还包括：

在拒绝所述待接入终端继续进行接入处理时， 比较所述第二特征 信息和第三特征信息， 得到一第二比较结果， 所述第三特征信息为不 允许接入的移动通信终端的特征信息的集合；

在所述第二比较结果指示所述第二特征信息与所述第三特征信 息中的一个特征信息相同时， 向所述待接入终端发送删除虚拟专用网 配置信息的指令。 根据权利要求 6或 7所述的方法， 其特征在于， 所述第二特征信息为 国际移动设备身份码。 根据权利要求 6或 7所述的方法， 其特征在于， 在所述虚拟专用网接 入请求消息来自于网关 GPRS支持节点时， 所述判断结果指示所述待 接入终端为移动通信终端。