WO2014000195A1 - 接入认证方法、装置和系统 - Google Patents

Abstract

一种接入认证方法、装置和系统，涉及通讯技术领域，解决了现有认证方式降低网络安全性的问题。该方法包括：ASR维护一记录终端AID与Session信息映射关系的映射记录表；在有终端接入所述ASR并完成接入认证后，根据所述终端的Session信息查询所述映射记录表，判断所述终端的AID与所述映射记录表中记录的该终端Session信息对应的AID是否相同；在所述终端的AID与所述映射记录表中记录的该终端Session信息对应的AID不同时，判定所述终端接入认证失败。

Description

接入认证方法、 装置和系统

技术领域

本发明涉及通讯技术领域， 尤其涉及一种接入认证方法、 装置和系统。

背景技术

(一） 身份与位置分离技术。

为了解决互联网 （Internet )核心路由器节点的路由表容量快速膨胀以及 IP地址二义性的问题， 互联网工程任务组 ( Internet Engineering Task Force , IETF )近年来提出了身份与位置分离的技术， 以身份位置分离协议（Locator and Identifier Separation Protocol, LISP )工作组提出的 LISP协议为例， 其终 端的身份标识（ Endpoint Identifier, EID )不参与 IP核心网的路由， 骨干路由 器只能看到边界接入路由器的接口路由地址（Routing LOCator, RLOC ) , 而 一个边界路由器可以接入大量的终端， 单独设置一个映射平面存储终端身份 EID和路由器 RLOC的对应关系。 发往终端的报文首先需要在映射平面中查 找到其对应的边界路由器 RLOC, 然后根据 RLOC路由到目的终端所在接入 路由器。

(二）标识网。 随着网络的快速发展，现有网络的 Internet公网路由器上的路由表容量激 增， 在路由可扩展性， 网络安全保证， 移动性保证方面， 存在种种不足， 网 络架构调整势在必行， 各种路由方式不同， 寻址方式不同的异质网络融合、 互通， 成为网络发展的趋势， 在新的架构思路下， 传统网路架构下的网络标 识的身份属性和位置属性被分离开来， 新的网络分为两级架构， 接入网和路 由转发网 （也称骨干网） 。 接入网的本地标识为源网络标识（Local lP )； 路 由转发网的标识为 RID ( Router ID ) , 接入网与骨干网在拓朴关系上没有重 叠。

建立终端的 "身份属性" 标识 -— AID, 终端间基于 AID进行通信； 建立终端的 "位置属性" 标识 -— RID, 网络间基于 RID进行路由； 接入路由器负责 AID、 RID之间的转换， 终端移动时， AID保持不变， RID变化。

现有的互联网环境中， 一般用户接入边界网关， 可以通过二层隧道接入， 如有线的 PPP接入、 PPPOE接入等， 具体方法是通过用户名， 密码认证， 到 了边界网关后，再接入连接在边界网关后面的 AAA服务器，验证方式为用户 名， 密码认证。 移动网络中的接入认证鉴权过程与固定网络中通过边界网关 介入原理相同， 亦是通过用户名密码的形式完成认证鉴权。

现有的接入认证方式的容易被仿冒， 现网中已经有很多攻击手段， 鉴权 认证可靠性不高， 降低了网络安全性。

发明内容

本发明实施例提供了一种接入认证方法、 装置和系统， 解决了现有认证 方式降低网络安全性的问题。

一种接入论证方法， 包括：

边界网关（ASR )维护一记录终端 AID与会话 ( Session )信息映射关系 的映射记录表；

在有终端接入所述 ASR并完成接入认证后， 根据所述终端的 Session信 息查询所述映射记录表， 判断所述终端的 AID与所述映射记录表中记录的该 终端 Session信息对应的 AID是否相同；

在所述终端的 AID与所述映射记录表中记录的该终端 Session信息对应 的 AID不同时， 判定所述终端接入认证失败。

优选的， 所述判断所述终端的 AID 与所述映射记录表中记录的该终端 Session信息对应的 AID是否相同的步骤之后， 还包括：

在所述终端的 AID与所述映射记录表中记录的该终端 Session信息对应 的 AID相同时， 判定所述终端接入认证成功。

优选的，所述 ASR维护一记录终端 AID与 Session信息映射关系的映射 记录表包括： 在终端首次接入所述 ASR并完成首次接入认证后， 所述 ASR为所述首 次接入的终端分配 AID;

所述终端向所述 ASR发送携带有 AID的数据报文， 所述 ASR将所述数 据报文的 Session信息与所述终端的 AID绑定， 将所述数据报文的 Session信 息与所述终端的 AID的映射关系存储在映射记录表内。

优选的，所述 ASR维护一记录终端 AID与 Session信息映射关系的映射 记录表还包括：

所述 ASR在接收到终端开始的新的 Session的数据报文时， 将所述映射 记录表中与所述终端 AID对应的 Session信息更新为新的 Session信息。

优选的，所述 ASR维护一记录终端 AID与 Session信息映射关系的映射 记录表还包括：

在接收到所述终端通信对端发送的携带有该通信对端 AID 的数据报文 时，将所述通信对端的 AID与所述终端的 AID的对应关系添加到所述映射记 录表中。

优选的， 所述映射记录表包括至少一个表项， 每个表项记录一 AID 与

Session信息的映射关系， 所述 Session信息包括以下内容：

Session标识（ ID ) 、 Local IP、 终端私网目的地址、 终端的 AID、 终端 的 RID、 会话老化时间和 IP报文序列号和确认号的差值。

本发明实施例还提供了一种接入认证装置， 包括：

映射记录表维护模块， 其设置为维护一记录终端 AID与 Session信息映 射关系的映射记录表；

判断模块， 其设置为在有终端接入 ASR并完成接入认证后， 根据所述终 端的 Session信息查询所述映射记录表， 判断所述终端的 AID与所述映射记 录表中记录的该终端 Session信息对应的 AID是否相同；

判断结果分析模块， 其设置为在所述终端的 AID与所述映射记录表中记 录的该终端 Session信息对应的 AID不同时， 判定所述终端接入认证失败。 优选的， 判断结果分析模块， 还设置为在所述终端的 AID与所述映射记 录表中记录的该终端 Session信息对应的 AID相同时， 判定所述终端接入认 证成功。

优选的， 所述映射记录表维护模块包括：

AID分配单元，其设置为在终端首次接入所述 ASR并完成首次接入认证 后， 为所述首次接入的终端分配 AID;

映射记录单元，其设置为在所述终端向所述 ASR发送携带有 AID的数据 报文时， 将所述数据报文的 Session信息与所述终端的 AID绑定， 将所述数 据报文的 Session信息与所述终端的 AID的映射关系存储在映射记录表内。

优选的， 所述映射记录单元， 还设置为在接收到终端开始的新的 Session 的数据报文时， 将所述映射记录表中与所述终端 AID对应的 Session信息更 新为新的 Session信息； 或，

在接收到所述终端通信对端发送的携带有该通信对端 AID 的数据报文 时，将所述通信对端的 AID与所述终端的 AID的对应关系添加到所述映射记 录表中。

优选的， 所述接入认证装置集成于所述 ASR中。

本发明实施例还提供了一种接入认证系统， 包括 ASR和接入该 ASR的 终端；

所述 ASR, 设置为维护一记录所述终端 AID与 Session信息映射关系的 映射记录表， 在有终端接入所述 ASR并完成接入认证后， 根据所述终端的 Session信息查询所述映射记录表，判断所述终端的 AID与所述映射记录表中 记录的该终端 Session信息对应的 AID是否相同， 并在所述终端的 AID与所 述映射记录表中记录的该终端 Session信息对应的 AID不同时， 判定所述终 端接入认证失败。

本发明实施例还提供了一种接入认证方法， 包括：

映射服务器（ILR )维护一记录终端 AID与 Session信息映射关系的映射 ΐ己录

在有终端接入所述 ILR并完成移动认证鉴权后，根据所述终端的 Session 信息查询所述映射记录表， 判断所述终端的 AID与所述映射记录表中记录的 该终端 Session信息对应的 AID是否相同；

在所述终端的 AID与所述映射记录表中记录的该终端 Session信息对应 的 AID不同时， 判定所述终端接入认证失败。

优选的， 所述判断所述终端的 AID 与所述映射记录表中记录的该终端 Session信息对应的 AID是否相同的步骤之后， 还包括：

在所述终端的 AID与所述映射记录表中记录的该终端 Session信息对应 的 AID相同时， 判定所述终端接入认证成功。

优选的， 所述 ILR维护一记录终端 AID与 Session信息映射关系的映射 记录表包括：

在终端首次接入所述 ILR并完成首次移动认证鉴权后， 所述 ILR为所述 首次接入的终端分配 AID;

所述终端向所述 ILR发送携带有 AID的数据报文， 所述 ILR将所述数据 报文的 Session信息与所述终端的 AID绑定， 将所述数据报文的 Session信息 与所述终端的 AID的映射关系存储在映射记录表内。

优选的， 所述 ILR维护一记录终端 AID与 Session信息映射关系的映射 记录表还包括：

所述 ILR在接收到终端开始的新的 Session的数据报文时，将所述映射记 录表中与所述终端 AID对应的 Session信息更新为新的 Session信息。

优选的， 所述映射记录表包括至少一个表项， 每个表项记录一 AID 与 Session信息的映射关系， 所述 Session信息包括以下内容：

用户名密码、 IMSL AID和 Session ID。

本发明实施例还提供了一种接入认证装置， 包括：

映射记录表维护模块， 其设置为维护一记录终端 AID与 Session信息映 射关系的映射记录表；

判断模块， 其设置为在有终端接入 ILR并完成移动认证鉴权后， 根据所 述终端的 Session信息查询所述映射记录表， 判断所述终端的 AID与所述映 射记录表中记录的该终端 Session信息对应的 AID是否相同；

判断结果分析模块， 其设置为在所述终端的 AID与所述映射记录表中记 录的该终端 Session信息对应的 AID不同时， 判定所述终端接入认证失败。

优选的， 所述判断结果分析模块， 还设置为在所述终端的 AID与所述映 射记录表中记录的该终端 Session信息对应的 AID相同时， 判定所述终端接 入认证成功。

优选的， 所述映射记录表维护模块包括：

AID分配单元， 其设置为在终端首次接入所述 ILR并完成首次移动认证 鉴权后， 所述首次接入的终端分配 AID;

映射记录单元， 其设置为在所述终端向所述 ILR发送携带有 AID的数据 报文时， 将所述数据报文的 Session信息与所述终端的 AID绑定， 将所述数 据报文的 Session信息与所述终端的 AID的映射关系存储在映射记录表内。

优选的， 所述映射记录单元， 还设置为在接收到终端开始的新的 Session 的数据报文时， 将所述映射记录表中与所述终端 AID对应的 Session信息更 新为新的 Session信息。

优选的， 该装置集成于 ILR中。

本发明实施例还提供了一种接入认证系统， 包括 ILR和接入该 ILR的终 端；

所述 ILR,设置为维护一记录终端 AID与 Session信息映射关系的映射记 录表，在有终端接入所述 ILR并完成移动认证鉴权后，根据所述终端的 Session 信息查询所述映射记录表， 判断所述终端的 AID与所述映射记录表中记录的 该终端 Session信息对应的 AID是否相同， 并在所述终端的 AID与所述映射 记录表中记录的该终端 Session信息对应的 AID不同时， 判定所述终端接入 认证失败。 本发明实施例提供了一种接入认证方法、 装置和系统， ASR或 ILR维护 一记录终端 AID与 Session信息映射关系的映射记录表， 在有终端接入所述 ASR并完成接入认证或在有终端接入所述 ILR并完成移动认证鉴权后， 根据 所述终端的 Session信息查询所述映射记录表， 判断所述终端的 AID与所述 映射记录表中记录的该终端 Session信息对应的 AID是否相同， 并在所述终 端的 AID与所述映射记录表中记录的该终端 Session信息对应的 AID不同时， 判定所述终端接入认证失败， 实现了基于 AID标识用户身份不变性的接入认 证， 解决了现有认证方式降低网络安全性的问题。 附图概述

图 1为本发明的实施例一提供的一种接入认证方法的流程图；

图 2为本发明的实施例三提供的一种接入认证方法的流程图；

图 3为本发明的实施例七应用环境的系统框架图；

图 4为本发明的实施例七中固定网络接入时实现的非法用户接入鉴别流 程图；

图 5 为本发明实施例中移动网络接入时实现的非法用户接入鉴别流程 图。 本发明的较佳实施方式

现有的接入认证方式的容易被仿冒， 现网中已经有很多攻击手段， 鉴权 认证可靠性不高， 降低了网络安全性。

为了解决上述问题， 本发明的实施例提供了一种接入认证方法、 装置和 系统。 下文中将结合附图对本发明的实施例进行详细说明。 需要说明的是， 在不冲突的情况下，本申请中的实施例及实施例中的特征可以相互任意组合。

首先结合附图， 对本发明的实施例一进行说明。

本发明实施例提供了一种接入认证方法， 通过对 AID进行二次认证保证 了认证的安全性。 本发明实施例中以有线接入方式接入有线网络的终端接入 流程为例进行说明， 具体流程如图 1所示， 包括：

步骤 101、ASR维护一记录终端 AID与 Session信息映射关系的映射记录 表；

为了解决 Internet核心路由器节点的路由表容量快速膨胀以及 IP地址二 义性的问题， 互联网工程任务组（Internet Engineering Task Force, IETF )近 年来提出了身份与位置分离的技术， 以身份位置分离协议 （Locator and Identifier Separation Protocol, LISP )工作组提出的 LISP协议为例， 其终端的 身份标识（ Endpoint Identifier, EID )不参与 IP核心网的路由， 骨干路由器只 能看到边界接入路由器的接口路由地址（Routing LOCator, RLOC ) , 而一个 边界路由器可以接入大量的终端， 单独设置一个映射平面存储终端身份 EID 和路由器 RLOC的对应关系。 发往终端的报文首先需要在映射平面中查找到 其对应的边界路由器 RLOC, 然后根据 RLOC路由到目的终端所在接入路由 哭口 o

随着网络的快速发展，现有网络的 Internet公网路由器上的路由表容量激 增， 在路由可扩展性， 网络安全保证， 移动性保证方面， 存在种种不足， 网 络架构调整势在必行， 各种路由方式不同， 寻址方式不同的异质网络融合、 互通， 成为网络发展的趋势， 在新的架构思路下， 传统网路架构下的网络标 识的身份属性和位置属性被分离开来， 新的网络分为两级架构， 接入网和路 由转发网 （也称骨干网） 。 接入网的本地标识为源网络标识（Local lP )； 路 由转发网的标识为 RID ( Router ID ) , 接入网与骨干网在拓朴关系上没有重 叠。

建立终端的 "身份属性" 标识 -— AID, 终端间基于 AID进行通信 建立终端的 "位置属性" 标识 -— RID, 网络间基于 RID进行路由 接入路由器负责 AID、 RID之间的转换， 终端移动时， AID保持不变， RID变化。

本发明实施例中， ASR负责记录终端 AID与 Session信息的映射关系。 具体的， 在终端首次接入所述 ASR并完成首次接入认证后， 所述 ASR为所 述首次接入的终端分配 AID, 该 AID为标识终端身份的永久用户标记； 终端 用户在收到 ASR发出的 AID后， 向所述 ASR发送携带有 AID的数据报文， 此时， ASR会建立基于此 AID的 Session信息， 所述 ASR将所述数据报文的 Session信息与所述终端的 AID绑定， 将所述数据报文的 Session信息与所述 终端的 AID的映射关系存储在映射记录表内。 Session信息包括： Session ID、 Local IP, 终端私网目的地址、 终端的 AID、 终端的 RID、 会话老化时间和 IP 报文序列号和确认号的差值。

优选的， ASR还可以对已存储在映射记录表内的映射关系进行修改， 具 体包括以下两种情况：

1、 所述 ASR在接收到终端开始的新的 Session的数据报文时， 将所述映 射记录表中与所述终端 AID对应的 Session信息更新为新的 Session信息；或，

2、 在接收到所述终端通信对端发送的携带有该通信对端 AID 的数据报 文时，将所述通信对端的 AID与所述终端的 AID的对应关系添加到所述映射 记录表中。

步骤 102、 在有终端接入所述 ASR并完成接入认证后， 根据所述终端的 Session信息查询所述映射记录表，判断所述终端的 AID与所述映射记录表中 记录的该终端 Session信息对应的 AID是否相同； 若不同， 转入步骤 103 , 若 相同， 则转入步骤 104。

终端接入 ASR的首次认证还是通过传统的认证形式完成的，可以但不限 于通过 PPP , PPPOE等认证形式，可以但不限于通过用户名密码方法的方式。

步骤 103、 在所述终端的 AID与所述映射记录表中记录的该终端 Session 信息对应的 AID不同时， 判定所述终端接入认证失败。

步骤 104、 在所述终端的 AID与所述映射记录表中记录的该终端 Session 信息对应的 AID相同时， 判定所述终端接入认证成功。

下面结合附图， 对本发明的实施例二进行说明。

本发明实施例提供了一种接入认证装置， 包括：

映射记录表维护模块， 用于维护一记录终端 AID与 Session信息映射关 系的映射记录表； 判断模块， 用于在有终端接入 ASR并完成接入认证后， 根据所述终端的 Session信息查询所述映射记录表维护模块维护的映射记录表， 判断所述终端 的 AID与所述映射记录表中记录的该终端 Session信息对应的 AID是否相同； 判断结果分析模块， 用于在所述判断模块判断所述终端的 AID与所述映 射记录表中记录的该终端 Session信息对应的 AID不同时， 判定所述终端接 入认证失败。

优选的，判断结果分析模块，还用于在所述判断模块判断所述终端的 AID 与所述映射记录表中记录的该终端 Session信息对应的 AID相同时， 判定所 述终端接入认证成功。

优选的， 所述映射记录表维护模块包括：

AID分配单元， 用于在终端首次接入所述 ASR并完成首次接入认证后， 为所述首次接入的终端分配 AID;

映射记录单元，用于在所述终端向所述 ASR发送携带有 AID的数据报文 时， 将所述数据报文的 Session信息与所述终端的 AID绑定， 将所述数据报 文的 Session信息与所述终端的 AID的映射关系存储在映射记录表内。

优选的， 所述映射记录单元，还用于在接收到终端开始的新的 Session的 数据报文时， 将所述映射记录表中与所述终端 AID对应的 Session信息更新 为新的 Session信息； 或，

在接收到所述终端通信对端发送的携带有该通信对端 AID 的数据报文 时 ,将所述通信对端的 AID与所述终端的 AID的对应关系添加到所述映射记 录表中。

本发明实施例所提供的接入认证装置可集成于所述 ASR中，与终端构成 一接入认证系统。

本发明实施例还提供了一种接入认证系统， 包括 ASR和接入该 ASR的 终端；

所述 ASR, 用于维护一记录所述终端 AID与 Session信息映射关系的映 射记录表， 在有终端接入所述 ASR 并完成接入认证后， 根据所述终端的 Session信息查询所述映射记录表，判断所述终端的 AID与所述映射记录表中 记录的该终端 Session信息对应的 AID是否相同， 并在所述终端的 AID与所 述映射记录表中记录的该终端 Session信息对应的 AID不同时， 判定所述终 端接入认证失败。

本发明实施例提供的接入认证装置和系统， 能够与本发明的实施例一提 供的接入认证方法相结合， 提供一种基于身份和位置分离的接入认证方式， 能够为接入网的用户身份鉴别提供保障， 利用标识网架构中用户标识 AID固 定不变的特性，解决现有互联网络中用户身份被仿冒篡改的问题。 ASR为 AID 和 Session信息建立绑定映射记录表， 利用 AID标识用户身份的不变性， 将 AID与 Session信息建立强相关关系， 可实施性强， 可以有效防止在用户名密 码被非法用户通过非法手段盗取时， 用户身份被仿冒的问题， 由于现有的 IP 地址动态分配， 针对动态 IP的攻击手段很多， 现有的基于用户名密码的认证 方式已经不能有效的保证用户身份的唯一合法性， 将 AID与 Session信息建 立强相关关系， 可以有效的保证接入用户的用户身份的唯一合法性， 具有很 强的现实意义。

下面结合附图， 对本发明的实施例三进行说明。

本发明实施例提供了一种接入认证方法， 通过对 AID进行二次认证保证 了认证的安全性。 本发明实施例中以移动接入方式接入无线网络的终端接入 流程为例进行说明， 具体流程如图 2所示， 包括：

步骤 201、 ILR维护一记录终端 AID与 Session信息映射关系的映射记录 表；

本发明实施例中， ILR负责记录终端 AID与 Session信息的映射关系。 具体的，在终端首次接入所述 ILR并完成首次移动认证鉴权后，所述 ILR 为所述首次接入的终端分配 AID; 所述终端向所述 ILR发送携带有 AID的数 据报文， 所述 ILR将所述数据报文的 Session信息与所述终端的 AID绑定， 将所述数据报文的 Session信息与所述终端的 AID的映射关系存储在映射记 录表内。 Session信息包括： 用户名密码、 IMSI、 AID和 Session ID 优选的， ILR还可以对已存储在映射记录表内的映射关系进行修改， 具 体如下：

ILR在接收到终端开始的新的 Session的数据报文时， 将所述映射记录表 中与所述终端 AID对应的 Session信息更新为新的 Session信息。

步骤 202、 在有终端接入所述 ILR并完成移动认证鉴权后， 根据所述终 端的 Session信息查询所述映射记录表， 判断所述终端的 AID与所述映射记 录表中记录的该终端 Session信息对应的 AID是否相同； 若不同， 转入步骤 203 , 若相同， 则转入步骤 204。

终端接入 ILR的首次认证鉴权还是通过传统的认证形式完成的， 可以但 不限于是 GTP等认证认证形式， 可以但不限于通过 IMSI的方式。

步骤 203、 在所述终端的 AID与所述映射记录表中记录的该终端 Session 信息对应的 AID不同时， 判定所述终端接入认证失败。

步骤 204、 在所述终端的 AID与所述映射记录表中记录的该终端 Session 信息对应的 AID相同时， 判定所述终端接入认证成功。

下面对本发明的实施例四进行说明。

本发明实施例提供了一种接入认证装置， 包括：

映射记录表维护模块， 用于维护一记录终端 AID与 Session信息映射关 系的映射记录表；

判断模块， 用于在有终端接入 ILR并完成移动认证鉴权后， 根据所述终 端的 Session信息查询所述映射记录表维护模块维护的映射记录表，判断所述 终端的 AID与所述映射记录表中记录的该终端 Session信息对应的 AID是否 相同；

判断结果分析模块， 用于在所述判断模块判断所述终端的 AID与所述映 射记录表中记录的该终端 Session信息对应的 AID不同时， 判定所述终端接 入认证失败。

优选的， 所述判断结果分析模块， 还用于在所述判断模块判断所述终端 的 AID与所述映射记录表中记录的该终端 Session信息对应的 AID相同时， 判定所述终端接入认证成功。

优选的， 所述映射记录表维护模块包括：

AID分配单元， 用于在终端首次接入所述 ILR并完成首次移动认证鉴权 后， 所述首次接入的终端分配 AID;

映射记录单元， 用于在所述终端向所述 ILR发送携带有 AID的数据报文 时， 将所述数据报文的 Session信息与所述终端的 AID绑定， 将所述数据报 文的 Session信息与所述终端的 AID的映射关系存储在映射记录表内。

优选的， 所述映射记录单元，还用于在接收到终端开始的新的 Session的 数据报文时， 将所述映射记录表中与所述终端 AID对应的 Session信息更新 为新的 Session信息。

优选的， 该接入认证装置集成于 ILR中， 与接入该 ILR的终端构成了接 入认证系统。

本发明实施例提供了一种接入认证系统，包括 ILR和接入该 ILR的终端； 所述 ILR,用于维护一记录终端 AID与 Session信息映射关系的映射记录 表， 在有终端接入所述 ILR并完成移动认证鉴权后， 根据所述终端的 Session 信息查询所述映射记录表， 判断所述终端的 AID与所述映射记录表中记录的 该终端 Session信息对应的 AID是否相同， 并在所述终端的 AID与所述映射 记录表中记录的该终端 Session信息对应的 AID不同时， 判定所述终端接入 认证失败。

本发明实施例提供的系统， 能够与本发明的实施例三提供的接入认证方 法相结合， 提供一种基于身份和位置分离的接入认证方式， 能够为接入网的 用户身份鉴别提供保障， 利用标识网架构中用户标识 AID固定不变的特性， 解决现有互联网络中用户身份被仿冒篡改的问题。 ILR为 AID和 Session信息 建立绑定映射记录表， 利用 AID标识用户身份的不变性， 将 AID与 Session 信息建立强相关关系， 可实施性强， 可以有效防止在用户名密码被非法用户 通过非法手段盗取时，用户身份被仿冒的问题，由于现有的 IP地址动态分配， 针对动态 IP的攻击手段很多， 现有的基于用户名密码的的认证方式已经不能 有效的保证用户身份的唯一合法性， 将 AID与 Session信息建立强相关关系， 可以有效的保证接入用户的用户身份的唯一合法性， 具有很强的现实意义。

下面， 对本发明的实施例五进行说明。

本发明实施例中， 以固定网络的有线接入流程为例， 对本发明实施例提 供的一种接入认证方法进行说明。

现有的互联网环境， 一般用户终端接入 ASR, 可以但不限于通过二层隧 道接入， 如有线的 PPP接入， PPPOE接入等， 方法是通过用户名、 密码认证， 到了 ASR后， 再接入连接在 ASR后面的 AAA服务器， 验证方式为用户名， 密码认证。

这种接入认证方式的缺点是容易被仿冒， 现网中已经有很多攻击手段， 故本发明实施例提供了一种基于 AID标识的接入认证方法， 实施流程如下：

( 1 )用户终端 1通过 PPP, PPPOE等方式登录 ASR, ASR与 DNS/ILR 交互， 得到用户终端 1的 AID 1 , 作为用户终端 1的 Local IP, 这个 Locaol IP 可以但不局限于私网 IP地址， ASR将 AID1分配给用户终端 1； 同时 ASR上 生成 Session ID/AID/Local IP等信息之间的映射列表， 即 AID与 Session信息 的映射关系的映射记录表， 具体格式如下：

( 2 )用户终端 1使用 Local IP作为源地址发起 DNS查询请求， 域名为 其想访问的外部域名。

( 3 ) ASR截获用户终端 1发出的 DNS查询请求，根据 AID和 RID的映 射列表， 还原成源、 目的 AID或 RID。 ASR作为 DNS Proxy修改 DNS查询 请求的报文封装，按<RID-DNS><RID 1><AID-DNS><AID 1>格式转发 DNS 请求。

( 4 ) DNS服务器返回域名对应的 AID 2 , 向 ASR回复 DNS应答报文， 在该报文中携带 AID2 , AID2对应一个公网 IPv4地址。

( 5 ) ASR收到 DNS发送的应答报文， 从中获取 AID2。

( 6 ) ASR回复 DNS后， 把 AID2对应的公网 IPv4地址作为 DNS解析 域名结果发送给用户终端 1。

至此， 映射记录表的建立完毕。

( 7 ) ASR1更新 Session ID/AID/Local IP之间的映射记录表。

( 8 )在有用户终端接入时， 获取该用户终端的 Session信息， 将该用户 接入 AID和 ASR中相同 Session信息对应的 AID进行绑定比较认证。

下面， 对本发明的实施例六进行说明。

本发明实施例中， 以移动网络的无线接入流程为例， 对本发明实施例提 供的一种接入认证方法进行说明。 本发明实施例提供了一种基于 AID标识的 接入认证方法， 实施流程如下：

( 1 )移动用户终端通过 GTP隧道接入， HLR对该用户终端进行接入认 证；

( 2 )ILR存储接入用户的 Session信息， ILR上存储用户 IMSI、 Session ID 等构成一条 Session信息记录；

( 3 ) IMSL APN与 AID的绑定关系存储在 ILR中， GGSN根据用户终 端的 IMSI和 APN, 从 ILR获取用户终端的 AID , 作为分配给用户终端的 IP 地址下发给该用户终端， 同时将 AID同步至 ILR, 与 ILR上的 IMSI、 Session ID等 Session信息绑定， 构成映射记录表的表项。 如：

( 4 )用户终端向通信对端发送数据包 [AID1 , AID2][Data] , 其中携带有 用户终端和通信对端的 AID,用户终端获取的通信对端 AID2由 GGSN下发。

至此， 映射记录表建立完成。

( 5 )在移动用户终端接入时， 根据该移动用户终端的 AID和 Session信 息， 查询 AID和 ILR上存储的映射记录表， 判断该移动用户终端的 Session 信息在该映射记录表中对应的 AID是否与该移动用户终端的 AID—致，判别 用户是否非法接入。

( 6 ) GGSN收到数据包后， 先根据 AID2查询本地 AID-RID映射緩存， 如无緩存， 则查询 ILR。

( 7 ) ILR查询 AID2对应的 RID2 , 进行数据包全局路由

下面结合附图， 对本发明的实施例七进行说明。

本发明实施例提供了一种非法用户识别装置， 实现将突破现有网络认证 方法的非法用户截获， 制止， 包括： 终端、 边缘网关和映射服务器， 其中： 终端， 支持现有网络认证， 如有线的 PPP, PPPOE认证， 无线的 GTP认 证；

边缘网关， 发放 AID标识， 完成接入用户的 AID信息和 Session信息的 关联记录， 与 ILR映射服务器的信息交互， 同步； 有线接入时进行接入用户 的 AID、 Session信息与映射记录表的比较， 在确认非法用户后， 断开非法用 户连接， 完成和映射服务器的交互；

ILR: 无线接入时进行接入用户的 AID信息、 Session信息与映射记录表 的比较， 在确认非法用户后， 断开非法用户连接， 完成和 ILR的交互。

接入网络包括以下子单元：

用户汇聚网关， 负责隧道封装， 为每一用户添加隧道标识， 通过隧道实 现源网络标识的接入网穿越；

用户接入模块，提供各种初级接入技术， 将源网络标识传递到隧道入口。 图 3为本发明实施例应用的系统框架图， 图中接入网和骨干网是认证用 户接入的网络背景， 映射服务器即为 ILR, 在固定网络中完成认证用户名， 密码与 AID绑定记录的存储， 完成 AID和 Session信息的绑定， 在移动网络 中完成接入时 IMSI, AID与 Session ID 的绑定， 边界网关在固定网络中为 BRAS, 通过接入用户 AID和 Session信息的比较， 完成接入认证， 鉴别非法 用户在互联网别的接入网关下的非法接入。 边界网关在移动网络中为 GGSN, 通过接入用户 AID和 ILR上 Session 信息的比较， 完成接入认证， 鉴别非法用户在互联网别的接入网关下的非法 接入。 ISR为网络出口网关， 完成异种网络互联。

图 4为本发明实施例中固定网络接入时实现的非法用户接入鉴别流程， 以接入用户私网 IP接入为例， 包括以下步骤：

步骤 401、 用户终端以传统认证方式登录；

步骤 402、 ASR上记录用户登录 Session信息， 并将 Session信息和用户 终端的 AID绑定， 将映射关系存储在映射记录表内；

步骤 403、 用户终端使用源 AID发起 DNS查询请求， 获取外部域名； 步骤 404、 DNS服务器返回外部域名对应的 AID , 用户发起标识网登录 认证；

步骤 405、 将用户终端接入 AID和 ASR中绑定的 Session信息进行绑定 比较认证。

图 5为本发明实施例中移动网络接入时实现的非法用户接入鉴别流程， 包括以下步骤：

步骤 501、 用户终端以传统认证方式登录；

步骤 502、 ILR存储接入用户的 Session信息， ILR上存储用户 IMSI、 Session ID等信息， 构成一条 Session记录（映射记录表中的表项 ) ；

步骤 503、 GGSN从 ILR获取用户终端的 AID, 下发给用户终端， 同时 将用户终端的 AID同步至 ILR,与 ILR上的 IMSI、 Session ID构成新的 Session 记录；

步骤 504、 用户终端向通信对端发送数据包 [AID1 , AID2][Data] , 通信对 端的 AID2由 GGSN下发；

步骤 505、移动用户终端接入后， ILR查询映射记录表中是否有与该移动 用户终端 AID和 Session信息一致的 Session记录， 如 IMSI、 Session ID等信 息， 判别用户是否非法接入。 本发明的实施例提供了一种接入认证方法和系统， ASR或 ILR维护一记 录终端 AID与 Session信息映射关系的映射记录表， 在有终端接入所述 ASR 并完成接入认证或在有终端接入所述 ILR并完成移动认证鉴权后， 根据所述 终端的 Session信息查询所述映射记录表， 判断所述终端的 AID与所述映射 记录表中记录的该终端 Session信息对应的 AID是否相同， 并在所述终端的 AID与所述映射记录表中记录的该终端 Session信息对应的 AID不同时， 判 定所述终端接入认证失败，实现了基于 AID标识用户身份不变性的接入认证， 解决了现有认证方式降低网络安全性的问题。 能够完成在现有网络现有认证 方式失败后， 攻击者仿冒合法用户身份时， 对网络非法攻击用户的身份鉴别， 从而保证可信的用户接入， 在边界网关和 ILR上， 这种仿冒合法用户身份的 网络攻击行为可以被有效制止， 保证了网络安全， 最大限度地为用户提供服 务。

本领域普通技术人员可以理解上述实施例的全部或部分步骤可以使用计 算机程序流程来实现，所述计算机程序可以存储于一计算机可读存储介质中， 所述计算机程序在相应的硬件平台上（如系统、 设备、 装置、 器件等）执行， 在执行时， 包括方法实施例的步骤之一或其组合。

可选地， 上述实施例的全部或部分步骤也可以使用集成电路来实现， 这 些步骤可以被分别制作成一个个集成电路模块， 或者将它们中的多个模块或 步骤制作成单个集成电路模块来实现。 这样， 本发明不限制于任何特定的硬 件和软件结合。

上述实施例中的各装置 /功能模块 /功能单元可以釆用通用的计算装置来 实现， 它们可以集中在单个的计算装置上， 也可以分布在多个计算装置所组 成的网络上。

上述实施例中的各装置 /功能模块 /功能单元以软件功能模块的形式实现 并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。 上述提到的计算机可读取存储介质可以是只读存储器， 磁盘或光盘等。 任何熟悉本技术领域的技术人员在本发明揭露的技术范围内， 可轻易想 到变化或替换， 都应涵盖在本发明的保护范围之内。 因此， 本发明的保护范 围应以权利要求所述的保护范围为准。

工业实用性

本发明实施例中， ASR或 ILR维护一记录终端 AID与 Session信息映射 关系的映射记录表，在有终端接入所述 ASR并完成接入认证或在有终端接入 所述 ILR并完成移动认证鉴权后，根据所述终端的 Session信息查询所述映射 记录表， 判断所述终端的 AID与所述映射记录表中记录的该终端 Session信 息对应的 AID是否相同，并在所述终端的 AID与所述映射记录表中记录的该 终端 Session信息对应的 AID不同时， 判定所述终端接入认证失败， 实现了 基于 AID标识用户身份不变性的接入认证， 解决了现有认证方式降低网络安 全性的问题。

Claims

权 利 要 求 书

1、 一种接入认证方法， 其包括：

边界网关 （ASR ) 维护一记录终端接入标识 （AID ) 与会话 （Session ) 信息映射关系的映射记录表；

在有终端接入所述 ASR并完成接入认证后， 根据所述终端的 Session信 息查询所述映射记录表， 判断所述终端的 AID与所述映射记录表中记录的该 终端 Session信息对应的 AID是否相同；

在所述终端的 AID与所述映射记录表中记录的该终端 Session信息对应 的 AID不同时， 判定所述终端接入认证失败。

2、 根据权利要求 1 所述的接入认证方法， 其中， 所述判断所述终端的

AID与所述映射记录表中记录的该终端 Session信息对应的 AID是否相同的 步骤之后， 所述还包括：

在所述终端的 AID与所述映射记录表中记录的该终端 Session信息对应 的 AID相同时， 判定所述终端接入认证成功。

3、 根据权利要求 1所述的接入认证方法， 其中， 所述 ASR维护一记录 终端 AID与 Session信息映射关系的映射记录表的步骤包括：

在终端首次接入所述 ASR并完成首次接入认证后， 所述 ASR为所述首 次接入的终端分配 AID;

所述终端向所述 ASR发送携带有 AID的数据报文， 所述 ASR将所述数 据报文的 Session信息与所述终端的 AID绑定， 将所述数据报文的 Session信 息与所述终端的 AID的映射关系存储在映射记录表内。

4、 根据权利要求 3所述的接入认证方法， 其中， 所述 ASR维护一记录 终端 AID与 Session信息映射关系的映射记录表的步骤还包括：

所述 ASR在接收到终端开始的新的 Session的数据报文时， 将所述映射 记录表中与所述终端 AID对应的 Session信息更新为新的 Session信息。

5、 根据权利要求 3所述的接入认证方法， 其中， 所述 ASR维护一记录 终端 AID与 Session信息映射关系的映射记录表的步骤还包括： 在接收到所述终端通信对端发送的携带有该通信对端 AID 的数据报文 时，将所述通信对端的 AID与所述终端的 AID的对应关系添加到所述映射记 录表中。

6、 根据权利要求 1或 3所述的接入认证方法， 其中， 所述映射记录表包 括至少一个表项， 每个表项记录一 AID 与 Session信息的映射关系， 所述 Session信息包括以下内容：

Session标识（ ID )、 本地 ( Local ) IP、 终端私网目的地址、 终端的 AID、 终端的路由 （RID ) 、 会话老化时间和 IP · ^艮文序列号和确认号的差值。

7、 一种接入认证装置， 其包括：

映射记录表维护模块， 其设置为： 维护一记录终端接入标识（AID )与 会话 ( Session )信息映射关系的映射记录表；

判断模块， 其设置为： 在有终端接入边界网关 （ASR )并完成接入认证 后，根据所述终端的 Session信息查询所述映射记录表， 判断所述终端的 AID 与所述映射记录表中记录的该终端 Session信息对应的 AID是否相同； 以及 判断结果分析模块， 其设置为： 在所述判断模块判断所述终端的 AID与 所述映射记录表中记录的该终端 Session信息对应的 AID不同时， 判定所述 终端接入认证失败。

8、 根据权利要求 7所述的接入认证装置， 其中，

判断结果分析模块， 还设置为： 在所述判断模块判断所述终端的 AID与 所述映射记录表中记录的该终端 Session信息对应的 AID相同时， 判定所述 终端接入认证成功。

9、 根据权利要求 7所述的接入认证装置， 其中， 所述映射记录表维护模 块包括：

AID分配单元， 其设置为： 在终端首次接入所述 ASR并完成首次接入认 证后， 为所述首次接入的终端分配 AID; 以及 映射记录单元，其设置为：在所述终端向所述 ASR发送携带有 AID的数 据报文时， 将所述数据报文的 Session信息与所述终端的 AID绑定， 将所述 数据报文的 Session信息与所述终端的 AID的映射关系存储在映射记录表内。

10、 根据权利要求 9所述的接入认证装置， 其中，

所述映射记录单元，还设置为在接收到终端开始的新的 Session的数据报 文时， 将所述映射记录表中与所述终端 AID对应的 Session信息更新为新的 Session信息； 或,

在接收到所述终端通信对端发送的携带有该通信对端 AID 的数据报文 时，将所述通信对端的 AID与所述终端的 AID的对应关系添加到所述映射记 录表中。

11、 根据权利要求 7所述的接入认证装置， 其中， 所述接入认证装置集 成于所述 ASR中。

12、一种接入认证系统， 其包括边界网关（ASR )和接入该 ASR的终端； 所述 ASR设置为： 维护一记录所述终端 AID与 Session信息映射关系的 映射记录表， 在有终端接入所述 ASR并完成接入认证后， 根据所述终端的 Session信息查询所述映射记录表，判断所述终端的 AID与所述映射记录表中 记录的该终端 Session信息对应的 AID是否相同， 并在所述终端的 AID与所 述映射记录表中记录的该终端 Session信息对应的 AID不同时， 判定所述终 端接入认证失败。

13、 一种接入认证方法， 其包括：

映射服务器（ILR ) 维护一记录终端接入标识（AID )与会话 ( Session ) 信息映射关系的映射记录表；

在有终端接入所述 ILR并完成移动认证鉴权后，根据所述终端的 Session 信息查询所述映射记录表， 判断所述终端的 AID与所述映射记录表中记录的 该终端 Session信息对应的 AID是否相同；

在所述终端的 AID与所述映射记录表中记录的该终端 Session信息对应 的 AID不同时， 判定所述终端接入认证失败。

14、 根据权利要求 13所述的接入认证方法， 其中， 所述判断所述终端的 AID与所述映射记录表中记录的该终端 Session信息对应的 AID是否相同的 步骤之后， 所述方法还包括：

在所述终端的 AID与所述映射记录表中记录的该终端 Session信息对应 的 AID相同时， 判定所述终端接入认证成功。

15、根据权利要求 13所述的接入认证方法， 其中， 所述 ILR维护一记录 终端 AID与 Session信息映射关系的映射记录表的步骤包括：

在终端首次接入所述 ILR并完成首次移动认证鉴权后， 所述 ILR为所述 首次接入的终端分配 AID;

所述终端向所述 ILR发送携带有 AID的数据报文， 所述 ILR将所述数据 报文的 Session信息与所述终端的 AID绑定， 将所述数据报文的 Session信息 与所述终端的 AID的映射关系存储在映射记录表内。

16、根据权利要求 15所述的接入认证方法， 其中， 所述 ILR维护一记录 终端 AID与 Session信息映射关系的映射记录表的步骤还包括：

所述 ILR在接收到终端开始的新的 Session的数据报文时，将所述映射记 录表中与所述终端 AID对应的 Session信息更新为新的 Session信息。

17、 根据权利要求 13或 15所述的接入认证方法， 其中， 所述映射记录 表包括至少一个表项， 每个表项记录一 AID与 Session信息的映射关系， 所 述 Session信息包括以下内容：

用户名密码、 国际移动用户识别码（IMSI ) 、 AID和 Session ID。

18、 一种接入认证装置， 其包括：

映射记录表维护模块， 其设置为维护一记录终端接入标识（AID )与会 话（Session )信息映射关系的映射记录表；

判断模块， 其设置为： 在有终端接入映射服务器（ILR )并完成移动认证 鉴权后，根据所述终端的 Session信息查询所述映射记录表， 判断所述终端的 AID与所述映射记录表中记录的该终端 Session信息对应的 AID是否相同； 以及

判断结果分析模块， 其设置为： 在所述判断模块判断所述终端的 AID与 所述映射记录表中记录的该终端 Session信息对应的 AID不同时， 判定所述 终端接入认证失败。

19、 根据权利要求 18所述的接入认证装置， 其中，

所述判断结果分析模块，还设置为：在所述判断模块判断所述终端的 AID 与所述映射记录表中记录的该终端 Session信息对应的 AID相同时， 判定所 述终端接入认证成功。

20、 根据权利要求 17所述的接入认证装置， 其中， 所述映射记录表维护 模块包括：

AID分配单元， 其设置为： 在终端首次接入所述 ILR并完成首次移动认 证鉴权后， 所述首次接入的终端分配 AID; 以及

映射记录单元， 其设置为： 在所述终端向所述 ILR发送携带有 AID的数 据报文时， 将所述数据报文的 Session信息与所述终端的 AID绑定， 将所述 数据报文的 Session信息与所述终端的 AID的映射关系存储在映射记录表内。

21、 根据权利要求 20所述的接入认证装置， 其中，

所述映射记录单元，还设置为： 在接收到终端开始的新的 Session的数据 报文时， 将所述映射记录表中与所述终端 AID对应的 Session信息更新为新 的 Session信息。

22、根据权利要求 20所述的接入认证装置，其中，该装置集成于所述 ILR 中。

23、一种接入认证系统，其包括映射服务器（ ILR )和接入该 ILR的终端； 所述 ILR设置为： 维护一记录终端接入标识（AID )与会话 ( Session ) 信息映射关系的映射记录表，在有终端接入所述 ILR并完成移动认证鉴权后 , 根据所述终端的 Session信息查询所述映射记录表， 判断所述终端的 AID与 所述映射记录表中记录的该终端 Session信息对应的 AID是否相同， 并在所 述终端的 AID与所述映射记录表中记录的该终端 Session信息对应的 AID不 同时， 判定所述终端接入认证失败。