專利名稱:一種3g虛擬私有撥號網(wǎng)用戶安全認證方法及其裝置的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及通信技術(shù)領(lǐng)域,特別是涉及一種3G虛擬私有撥號網(wǎng)用戶安全認證方 法及其裝置���。
背景技術(shù):
VPDN(Virtual Private Dial-up Network�,虛擬私有撥號網(wǎng))是指利用公共網(wǎng)絡(luò) (如 ISDN 或 PSTN�,其中,ISDN 是 Integrated Services Digital Network 的英文縮寫�,表 示數(shù)字業(yè)務(wù)綜合網(wǎng),PSTN是Public Switched Telephone Network的英文縮寫���,表示公共 交換電話網(wǎng))的撥號功能接入公共網(wǎng)絡(luò)����,實現(xiàn)虛擬專用網(wǎng),從而為企業(yè)�����、小型ISP(因特網(wǎng)服 務(wù)提供者)��、移動辦公人員等提供接入服務(wù)�。即,VPDN為遠端用戶與私有企業(yè)網(wǎng)之間提供了 一種經(jīng)濟而有效的點到點連接方式��。VPDN采用隧道協(xié)議在公共網(wǎng)絡(luò)上為企業(yè)建立安全的虛擬專網(wǎng)�。企業(yè)駐外機構(gòu)和出 差人員可從遠程經(jīng)由公共網(wǎng)絡(luò),通過虛擬隧道實現(xiàn)和企業(yè)總部之間的網(wǎng)絡(luò)連接���,而公共網(wǎng) 絡(luò)上其它用戶則無法穿過虛擬隧道訪問企業(yè)網(wǎng)內(nèi)部的資源�。隨著3G網(wǎng)絡(luò)的成熟���,用戶對于3G無線的應(yīng)用需求也越來越強烈��,3G網(wǎng)絡(luò)給用戶帶 來極大的便利性���,并且是對有線通信方式及提高網(wǎng)絡(luò)可靠性的很好補充��。其中比較常用的 3G接入方式為VPDN(L2TP JPLayer TwoTunneling Protocol���,二層隧道協(xié)議)接入,尤其是 金融及其他對安全性要求較高的行業(yè)���,由運營商為3G用戶分配特定的用戶名和密碼,3G用 戶使用該用戶名和密碼接入網(wǎng)絡(luò)后�����,運營商接入設(shè)備���,如LAC(L2TP Access Concentrator, L2TP訪問集中器)負責與企業(yè)總部LNS(L2TP Network Server�����,L2TP網(wǎng)絡(luò)服務(wù)器)設(shè)備建 立L2TP隧道�,使3G用戶方便靈活的接入企業(yè)總部網(wǎng)絡(luò)��。3G VPDN提供方便靈活的接入的同時��,企業(yè)為保證接入的安全性�����,要求只有指定用 戶,如特定的3G數(shù)據(jù)卡號和/或3G UIM/SIM卡號(其中UIM是User Identity Model的 英文縮寫���,表示用戶識別模塊�����;SIM是Subscriber IdentityModule的英文縮寫�,表示客戶 識別模塊��;其中���,SIM卡和UIM卡也可稱為用戶識別卡)對應(yīng)的用戶才允許接入��。圖1示出了一種典型的3G VPDN組網(wǎng)的示意圖��,其中��,3G路由器作為L2TP客戶端 設(shè)備���,運營商處的路由器(如圖中的RouterA)作為L2TP隧道的LAC設(shè)備,企業(yè)總部的路由 器(如圖中的RouterB)作為L2TP隧道的LNS設(shè)備��,企業(yè)網(wǎng)點的3G路由器通過3G無線網(wǎng) 絡(luò)連接到運營商的LAC設(shè)備,企業(yè)總部的LNS設(shè)備一般是通過有線方式與運營商的LAC設(shè) 備相連接�����?����?蛻舳?G路由器配置PPP賬戶���,連接到LAC設(shè)備后,經(jīng)運營商處的RADIUS (Remote Authentication Dial In User Service�����,遠程用戶撥號認證)服務(wù)器認證���?�;趫D1所示的3G VPDN組網(wǎng)架構(gòu)��,圖2示出了 VPDN (L2TP)的處理流程步驟1 5:客戶端(如圖中的遠程系統(tǒng)主機A)首先向LAC設(shè)備發(fā)起PPP連接建 立請求�����,進行PPP LCP協(xié)商和認證���,LAC設(shè)備對撥號用戶的驗證是通過AAA服務(wù)器(如圖中 的LAC RADIUS服務(wù)器)實現(xiàn)的�。其中��,AAA服務(wù)器上存儲了所有VPN用戶的資料�,LAC設(shè)備在獲得撥入用戶的用戶名、口令等信息之后�����,在AAA服務(wù)器上找到對應(yīng)的用戶資料�����,并對用 戶進行驗證�����。驗證的方式可以采用PAP(Password Authentication Protocol��,密鑰驗證協(xié) 議)或 CHAP (Challenge-Handshake Authentication Protocol����,挑戰(zhàn)握手認證協(xié)議)�;PAP 方式要求用戶提供正確的密碼�����,密碼正確的話可以通過驗證����,CHAP方式要對用戶發(fā)一個盤 問(Challenge),用戶用共有的加密方式回答盤問之后才可以通過驗證��。步驟6 8 =LAC設(shè)備認證通過后向LNS設(shè)備發(fā)起L2TP隧道建立請求��,LAC設(shè)備和 LNS設(shè)備為了相互驗證對方的有效性可以使用隧道的CHAP認證(可選)�����。
步驟9 11 隧道建立后LAC設(shè)備將客戶端信息發(fā)送給LNS設(shè)備��,LNS設(shè)備將認證 信息發(fā)送給AAA服務(wù)器(如圖中的LNS RADIUS服務(wù)器)�����,認證通過后向客戶端分配IP地址 ^fn 息��。發(fā)明人在實現(xiàn)本發(fā)明的過程中����,發(fā)現(xiàn)現(xiàn)有技術(shù)至少存在以下缺陷上述組網(wǎng)應(yīng)用中,客戶端3G路由器只能通過PPP協(xié)議將用戶名和密碼發(fā)送給LNS 設(shè)備進行認證�,無法進行3G VPDN用戶安全綁定認證,其后果是���,只要第三方用戶能夠獲取 用戶名和密碼����,即使不使用指定的3G模塊和UIM/SIM卡也可以接入企業(yè)內(nèi)部網(wǎng)絡(luò)����,降低網(wǎng) 絡(luò)接入的安全性。
發(fā)明內(nèi)容
本發(fā)明提供了一種3G虛擬私有撥號網(wǎng)用戶安全認證方法及其裝置��,用以解決現(xiàn) 有技術(shù)中3G虛擬私有撥號網(wǎng)用戶安全認證機制安全性低的問題��。本發(fā)明提供的3G虛擬私有撥號網(wǎng)VPDN用戶安全認證方法���,應(yīng)用于包括有客戶端�����、 LAC設(shè)備和LNS設(shè)備的認證系統(tǒng)�,該方法包括LNS設(shè)備接收到LAC設(shè)備發(fā)送的用于表示客戶端初始認證通過的通知消息后,向 所述客戶端發(fā)送用于要求客戶端再次發(fā)起認證的請求消息�;所述LNS設(shè)備接收所述客戶端根據(jù)所述請求消息發(fā)送的認證消息,其中攜帶有3G 帳戶信息�����,所述LNS設(shè)備根據(jù)所述3G帳戶信息對所述客戶端進行再次認證�����。上述方法中���,所述LAC設(shè)備在接收到所述客戶端的初始認證請求消息�����,并根據(jù)其 中攜帶的用于初始認證的帳戶信息對所述客戶端認證通過后,向所述LNS發(fā)送所述通知消 肩��、ο上述方法中��,所述LNS設(shè)備接收所述客戶端發(fā)送的認證消息�����,具體包括所述LNS設(shè)備接收所述客戶端通過密鑰驗證協(xié)議PAP方式或挑戰(zhàn)握手認證協(xié)議 CHAP方式發(fā)送的所述認證消息。上述方法中���,所述3G帳戶信息包括3G數(shù)據(jù)卡信息和/或用戶識別卡信息�。其中�,所述3G數(shù)據(jù)卡信息包括該數(shù)據(jù)卡的電子序列號,所述用戶識別卡信息包括 用戶識別卡的國際移動通訊設(shè)備識別號IMSI�����。本發(fā)明提供的LNS設(shè)備�����,其特征在于�,包括再次認證請求單元,用于接收到LAC設(shè)備發(fā)送的用于表示客戶端初始認證通過的 通知消息后�����,向所述客戶端發(fā)送用于要求客戶端再次發(fā)起認證的請求消息��;認證單元��,用于接收所述客戶端根據(jù)所述請求消息發(fā)送的認證消息,其中攜帶有 3G帳戶信息�����,所述LNS設(shè)備根據(jù)所述3G帳戶信息對所述客戶端進行再次認證�。
上述LNS設(shè)備中,所述再次認證請求單元��,具體用于����,接收所述客戶端通過密鑰驗 證協(xié)議PAP方式或挑戰(zhàn)握手認證協(xié)議CHAP方式發(fā)送的所述認證消息。
上述LNS設(shè)備中����,所述認證單元具體用于,根據(jù)所述3G帳戶信息中包括的3G數(shù)據(jù) 卡信息和/或用戶識別卡信息進行認證���。本發(fā)明提供的3G VPDN客戶端設(shè)備�,包括初始認證請求單元��,用于將客戶端設(shè)備的帳戶信息發(fā)送給LAC設(shè)備進行初始認 證�����;再次認證請求單元����,用于在客戶端接收到LNS設(shè)備要求該客戶端再次發(fā)起認證的 報文后,將3G賬戶信息發(fā)送到LNS設(shè)備再次進行認證��。上述3G VPDN客戶端設(shè)備中���,所述再次認證請求單元通過PAP方式或CHAP方式��, 將3G賬戶信息發(fā)送到LNS設(shè)備再次進行認證����。上述3G VPDN客戶端設(shè)備中���,所述再次認證請求單元所發(fā)送的3G帳戶信息包括 3G數(shù)據(jù)卡信息和/或用戶識別卡信息���。上述3G VPDN客戶端設(shè)備中,再次認證請求單元所發(fā)送的3G數(shù)據(jù)卡信息包括該數(shù) 據(jù)卡的電子序列號����,發(fā)送的用戶識別卡信息包括用戶識別卡的IMSI。本發(fā)明的有益技術(shù)效果包括本發(fā)明通過在對客戶端初始認證通過后�����,要求客戶端進行再次認證,在再次認證 過程中�,客戶端將該客戶端的3G帳戶信息中發(fā)送給LNS設(shè)備進行認證,從而使LNS設(shè)備能 夠根據(jù)客戶端發(fā)送的3G帳戶信息對該客戶端進行認證����,從而不僅驗證客戶端的賬戶還可 驗證客戶端的3G信息,提高了 3G VPDN用戶安全認證機制的安全性��。
圖1為現(xiàn)有技術(shù)中3G VPDN組網(wǎng)的示意圖��;圖2為現(xiàn)有技術(shù)中VPDN(L2TP)的處理流程示意圖���;圖3為本發(fā)明實施例中3G VPDN組網(wǎng)架構(gòu)以及3G信息的安全綁定認證實現(xiàn)原理 示意圖���;圖4為本發(fā)明實施例提供的3G信息的安全綁定認證流程;圖5為本發(fā)明實施例提供的客戶端處理流程示意圖��;圖6為本發(fā)明實施例提供的客戶端設(shè)備結(jié)構(gòu)示意圖�;圖7為本發(fā)明實施例提供的LNS設(shè)備的結(jié)構(gòu)示意圖。
具體實施例方式為解決現(xiàn)有技術(shù)存在的上述問題���,本發(fā)明實施例在客戶端使用3GVPDN接入時���,通 過兩次認證過程實現(xiàn)3G信息的安全綁定認證。其中�,在第一次認證過程中,客戶端發(fā)起PPP LCP協(xié)商和認證���,將客戶端帳號信息(如用戶名和密碼)提交上去進行認證(主要是保證通 過運營商接入設(shè)備的認證�,并發(fā)起L2TP連接)��;在第二次認證過程中���,在L2TP隧道成功建 立��,并且LNS設(shè)備收到LAC設(shè)備發(fā)送過來的客戶端PPP信息后�,LNS設(shè)備向客戶端發(fā)送觸發(fā) 3G信息認證報文�,當客戶端收到認證報文后,觸發(fā)二次PPP認證流程���,此時客戶端讀取3G數(shù) 據(jù)卡或/和UIM/SIM卡信息��,并附加到密碼后����,根據(jù)認證類型(PAP/CHAP)將用戶名和密碼發(fā)送給LNS設(shè)備進行認證。對于LNS設(shè)備向客戶端發(fā)送觸發(fā)3G信息認證的報文類型�����,本發(fā)明實施例不做限 制�����。本發(fā)明的以下實施例以觸發(fā)3G信息認證報文類型為LCP重協(xié)商報文為例進行具體描 述�。下面結(jié)合附圖對本發(fā)明實施例進行詳細描述。圖3示出了本發(fā)明實施例中的3G VPDN組網(wǎng)架構(gòu)以及3G信息的安全綁定認證實 現(xiàn)原理��。本發(fā)明實施例可采用現(xiàn)有的3G VPDN組網(wǎng)架構(gòu)�����,基于該組網(wǎng)架構(gòu)����,3G信息的安全綁 定認證實現(xiàn)原理為在企業(yè)總部LNS設(shè)備上啟用LCP重協(xié)商功能?�?蛻舳耸状伟l(fā)起PPP LCP協(xié)商和認 證時����,客戶端將為其配置的帳戶信息(如用戶名和密碼)提交給LAC設(shè)備(即運營商接入 設(shè)備)進行首次認證���,并發(fā)起L2TP連接;L2TP隧道建立后�����,LNS設(shè)備向客戶端發(fā)送LCP重 協(xié)商報文����,當客戶端收到LCP重協(xié)商報文時��,重新啟動PPP LCP和認證流程����,將3G信息(如 3G數(shù)據(jù)卡和/或UIM/SIM卡信息附)加到帳戶信息中,根據(jù)認證類型(PAP/CHAP)將包含有 3G信息的帳戶信息發(fā)送給LNS設(shè)備進行二次認證��?����;趫D3所示的3G VPDN組網(wǎng)架構(gòu)以及3G信息的安全綁定認證實現(xiàn)原理���,圖4示 出了本發(fā)明實施例提供的3G信息的安全綁定認證流程�。如圖4所示,該流程可包括步驟401 409�、同圖2所示的步驟1 9,3G客戶端向運營商LAC設(shè)備發(fā)起PPP 連接建立請求后�����,根據(jù)運營商LAC設(shè)備的認證類型(PAP/CHAP)�����,3G客戶端將初始配置的3G 用戶的帳戶信息����,如用戶名和密碼,發(fā)送給運營商LAC設(shè)備���,完成3G客戶端的接入認證���。運 營商LAC設(shè)備對該3G客戶端認證通過后與企業(yè)總部LNS設(shè)備建立L2TP隧道,并且將該3G 客戶端的信息發(fā)送給企業(yè)總部LNS設(shè)備�。步驟410、企業(yè)總部LNS設(shè)備(如圖中的LNS RouterB)向該3G客戶端發(fā)送LCP重 協(xié)商請求(LCP ConfReq)報文����,以觸發(fā)該3G客戶端發(fā)起二次認證����。LNS設(shè)備與3G客戶端可 預(yù)先約定該LCP ConfReq報文的標識信息(如報文類型等)����,從而使3G客戶端可以識別該 報文。步驟411����、3G客戶端收到LCP ConfReq報文后�����,再次與企業(yè)總部LNS設(shè)備進行PPP LCP協(xié)商和認證�����。步驟412�����、3G客戶端讀取3G信息���,主要是讀取3G數(shù)據(jù)卡的ESN(Electronic Serial Number,電子序列號)�����,和 / 或 UIM/SIM 卡信息�,如 IMSI (International Mobile Equipment Identity,國際移動通訊設(shè)備識別號),然后將讀取到的3G信息附到用戶初始密碼后��,根據(jù) 認證類型(PAP/CHAP)將用戶名和密碼發(fā)送給LNS設(shè)備進行認證���。例如��,3G客戶端初始配置的用戶名和密碼是UsernamePassword附加3G信息后的用戶名和密碼是UsernamePassword. ESN. IMSI上述附加了 3G信息后的用戶名和密碼的帳戶信息可稱為3G帳戶信息���。
步驟413 414、LNS設(shè)備收到客戶端發(fā)送的用戶名和密碼后����,將用戶名和密碼通 過現(xiàn)有的AAA認證協(xié)議發(fā)送給AAA服務(wù)器(如圖中的LNSRADIUS服務(wù)器)進行認證。本實 施例中�,LNS設(shè)備連接的AAA服務(wù)器上對應(yīng)用戶名Username的注冊密碼為Password. ESN. IMSI,因此AAA服務(wù)器對該3G客戶端認證通過���,并通知LNS設(shè)備向客戶端分配IP地址等參 數(shù)����。如果3G客戶端發(fā)送的3G信息與AAA服務(wù)器上注冊的3G信息不一致,則AAA服務(wù)器對 該3G客戶端認證失敗�,該3G客戶端無法接入LNS設(shè)備。通常情況下����,只要LNS設(shè)備啟用LCP重協(xié)商功能,則LNS設(shè)備在客戶端設(shè)備初始認 證通過后�����,就會通過LCP ConfReq報文觸發(fā)客戶端進行再次認證����。為了節(jié)省網(wǎng)絡(luò)資源�����,本發(fā) 明實施例中�����,可在LNS設(shè)備上增加識別客戶端是否是3G客戶端的功能���,并且對于3G客戶端 向其發(fā)送LCPConfReq報文以觸發(fā)二次認證�,而對于其他客戶端,如有線撥號客戶端���,則不 發(fā)送LCP ConfReq報文�����,因而不會觸發(fā)有線撥號客戶端進行二次認證�。LNS設(shè)備可通過以下 方式判斷客戶端是否是3G客戶端方式一通過客戶端用戶名�����。通常����,有線撥號用戶和3G用戶的命名規(guī)則不同,通過用戶名可判斷出是否是3G用戶��;方式二 通過物理層鏈路參數(shù)判斷��。通常�����,在LAC設(shè)備與LNS設(shè)備交互以建立隧道 連接時,會傳輸客戶端的物理層鏈路參數(shù)�����,而有線撥號客戶端與3G客戶端的物理層鏈路參 數(shù)通常不同�����,因此可判斷是否是3G客戶端�����?�?梢钥闯?,上述流程相對于現(xiàn)有技術(shù)的相關(guān)流程,主要修改了客戶端PPP認證流 程�,即當客戶端根據(jù)收到的LCP重協(xié)商報文進行第二次認證時,將客戶端的3G信息附加到 密碼后發(fā)送給LNS設(shè)備(即將3G信息綁定到客戶端帳戶信息中)���,使LNS設(shè)備能夠根據(jù)其 存儲的客戶端注冊信息驗證客戶端發(fā)送的攜帶有3G信息的密碼的合法性,從而對客戶端 進行安全綁定認證���。LNS設(shè)備與AAA服務(wù)器之間的交互可不作改動���,可采用現(xiàn)有機制實現(xiàn)���。需要說明的是,以上實施例中�,客戶端再次發(fā)起認證時,其3G信息是附加在初始 密碼后上報的��,事實上����,3G信息附加在初始密碼之前或帳戶信息中的其他位置也是允許的。 并且��,客戶端發(fā)起二次認證時���,可使用不同于初始密碼的密碼(可稱為二次認證密碼)���,并 將3G信息附加在二次認證密碼中,LNS設(shè)備對客戶端進行二次認證時�����,可根據(jù)該客戶端注 冊的二次認證密碼和3G信息對該客戶端進行認證�。類似的����,二次認證所使用的用戶名可以 與初始認證的相同或不同�。通過在二次認證過程中使用不同的帳戶信息,可以進一步提高 客戶端認證的安全性����。圖5示出了本發(fā)明實施例中3G客戶端的處理流程示意圖。當3G客戶端通過初始認證后(即完成上述流程的步驟1 9)����,該3G客戶端處于 Authenticate-Request Sent (認證發(fā)送)狀態(tài)。后續(xù)�����,如果該3G客戶端收到認證成功或 者認證失敗報文����,則按照現(xiàn)有機制進行處理;如果該3G客戶端收到LCP重協(xié)商請求(LCP ConfReq)報文�����,則重新與LNS設(shè)備進行PPP LCP協(xié)商和認證��,其流程可如圖5所示步驟501���、3G客戶端在初始認證通過后進入認證發(fā)送狀態(tài)��。步驟502����、3G客戶端接收LNS設(shè)備發(fā)送的PPP報文�����。步驟503����、3G客戶端根據(jù)該報文判斷是否需要觸發(fā)3G信息認證過程,如果需要���,則 執(zhí)行步驟504 ��;否則�����,執(zhí)行步驟506具體的����,如果3G客戶端收到的PPP報文是認證成功或認證失敗報文,則不需要觸發(fā)3G信息認證過程��;如果3G客戶端收到的PPP報文是LCPConfReg報文�����,則需要觸發(fā)3G信 息認證過程����。步驟504、3G客戶端讀取3G相關(guān)信息�����,如3G數(shù)據(jù)卡的ESN�,或/和UIM/SIM卡的 IMSI,然后執(zhí)行步驟505�����。步驟505�、3G客戶端將讀取到的3G相關(guān)信息附到該3G客戶端的密碼后��,根據(jù)認證 類型(PAP/CHAP)發(fā)送給LNS設(shè)備進行二次認證��。步驟506、3G客戶端按照現(xiàn)有機制進行處理�����?�;谙嗤募夹g(shù)構(gòu)思���,本發(fā)明實施例還提供了一種3G VPDN客戶端設(shè)備���,該客戶端 設(shè)備為3G客戶端設(shè)備,以及一種LNS設(shè)備���,可應(yīng)用于前述的實施例�����。 如圖6所示����,本發(fā)明實施例提供的客戶端設(shè)備可包括初始認證請求單元61和再 次認證請求單元62,其中初始認證請求單元61�����,用于將客戶端設(shè)備的帳戶信息發(fā)送給運營商認證設(shè)備(如 LAC設(shè)備或LAC RADIUS服務(wù)器)進行初始認證��;再次認證請求單元62��,用于在客戶端接收到VPDN認證設(shè)備(如LNS設(shè)備或LNS RADIUS服務(wù)器)要求該客戶端再次發(fā)起認證的報文后���,獲取所述客戶端的3G信息�,將獲取 到的3G信息附加到所述客戶端的帳戶信息中��,并將附加有所述3G信息的賬戶信息發(fā)送到 VPDN認證設(shè)備再次進行認證��。上述3G VPDN客戶端設(shè)備中�����,再次認證請求單元62可通過PAP方式或CHAP方式����, 將附加有所述3G信息的賬戶信息發(fā)送到VPDN認證設(shè)備再次進行認證?�?蛻舳说膸粜畔⒖砂艽a,相應(yīng)的��,再次認證請求單元62可將獲取到的3G信 息附加到所述客戶端的密碼之前或之后���。上述3G VPDN客戶端設(shè)備中����,再次認證請求單元62獲取到的3G信息可包括3G數(shù) 據(jù)卡信息和/或用戶識別卡信息�����。其中�����,3G數(shù)據(jù)卡信息可包括該數(shù)據(jù)卡的電子序列號����,用戶 識別卡信息可包括用戶識別卡的IMSI�����。上述3G VPDN客戶端設(shè)備中���,初始認證請求單元61所發(fā)送的用于初始認證的帳戶 信息��,與再次認證請求單元62所發(fā)送的用于再次認證的帳戶信息可以相同或不同����。上述3G VPDN客戶端設(shè)備中,初始認證請求單元61和再次認證請求單元62可通 過常規(guī)的報文收發(fā)單元63接收或/和發(fā)送報文���,以請求初始認證或/和再次認證���。如圖7所示,本發(fā)明實施例提供的LNS設(shè)備���,可包括再次認證請求單元71和認證 單元72��,其中再次認證請求單元71�,用于接收到LAC設(shè)備發(fā)送的用于表示客戶端初始認證通過 的通知消息后����,向所述客戶端發(fā)送用于要求客戶端再次發(fā)起認證的請求消息;認證單元72�,用于接收所述客戶端根據(jù)所述請求消息發(fā)送的認證消息,其中攜帶 有3G帳戶信息�,所述LNS設(shè)備根據(jù)所述3G帳戶信息對所述客戶端進行再次認證��。上述LNS設(shè)備中�����,再次認證請求單元72可具體用于�,接收所述客戶端通過PAP方 式或CHAP方式發(fā)送的所述認證消息��。上述LNS設(shè)備中����,認證單元72可具體用于�,根據(jù)所述3G帳戶信息中包括的3G數(shù) 據(jù)卡信息和/或用戶識別卡信息進行認證。綜上所述���,本發(fā)明的上述實施例中����,客戶端在3G VPDN接入時將3G數(shù)據(jù)卡和UIM/SIM卡信息上傳�,以完成3G VPDN用戶綁定3G信息進行安全認證,提高了 3G VPDN用戶安全認證機制的安全性���。通過以上的實施方式的描述��,本領(lǐng)域的技術(shù)人員可以清楚地了解到本發(fā)明可借助 軟件加必需的通用硬件平臺的方式來實現(xiàn)��,當然也可以通過硬件�,但很多情況下前者是更 佳的實施方式?����;谶@樣的理解��,本發(fā)明的技術(shù)方案本質(zhì)上或者說對現(xiàn)有技術(shù)做出貢獻的 部分可以以軟件產(chǎn)品的形式體現(xiàn)出來���,該計算機軟件產(chǎn)品存儲在一個存儲介質(zhì)中�,包括若 干指令用以使得一臺終端設(shè)備(可以是手機��,個人計算機���,服務(wù)器��,或者網(wǎng)絡(luò)設(shè)備等)執(zhí)行 本發(fā)明各個實施例所述的方法����。以上所述僅是本發(fā)明的優(yōu)選實施方式���,應(yīng)當指出����,對于本技術(shù)領(lǐng)域的普通技術(shù)人 員來說,在不脫離本發(fā)明原理的前提下�����,還可以做出若干改進和潤飾�����,這些改進和潤飾也應(yīng) 視本發(fā)明的保護范圍�����。
權(quán)利要求
一種3G虛擬私有撥號網(wǎng)VPDN用戶安全認證方法�,應(yīng)用于包括有客戶端���、LAC設(shè)備和LNS設(shè)備的認證系統(tǒng)����,其特征在于���,該方法包括LNS設(shè)備接收到LAC設(shè)備發(fā)送的用于表示客戶端初始認證通過的通知消息后��,向所述客戶端發(fā)送用于要求客戶端再次發(fā)起認證的請求消息��;所述LNS設(shè)備接收所述客戶端根據(jù)所述請求消息發(fā)送的認證消息���,其中攜帶有3G帳戶信息���,所述LNS設(shè)備根據(jù)所述3G帳戶信息對所述客戶端進行再次認證。
2.如權(quán)利要求1所述的方法����,其特征在于,所述LAC設(shè)備在接收到所述客戶端的初始認 證請求消息����,并根據(jù)其中攜帶的用于初始認證的帳戶信息對所述客戶端認證通過后,向所 述LNS發(fā)送所述通知消息�����。
3.如權(quán)利要求1所述的方法����,其特征在于���,所述LNS設(shè)備接收所述客戶端發(fā)送的認證消 息,具體包括所述LNS設(shè)備接收所述客戶端通過密鑰驗證協(xié)議PAP方式或挑戰(zhàn)握手認證協(xié)議CHAP 方式發(fā)送的所述認證消息����。
4.如權(quán)利要求1至3任一項所述的方法,其特征在于���,所述3G帳戶信息包括3G數(shù)據(jù) 卡信息和/或用戶識別卡信息�。
5.如權(quán)利要求4所述的方法�����,其特征在于���,所述3G數(shù)據(jù)卡信息包括該數(shù)據(jù)卡的電子序 列號���,所述用戶識別卡信息包括用戶識別卡的國際移動通訊設(shè)備識別號IMSI。
6.一種LNS設(shè)備��,其特征在于���,包括再次認證請求單元�����,用于接收到LAC設(shè)備發(fā)送的用于表示客戶端初始認證通過的通知 消息后����,向所述客戶端發(fā)送用于要求客戶端再次發(fā)起認證的請求消息����;認證單元,用于接收所述客戶端根據(jù)所述請求消息發(fā)送的認證消息��,其中攜帶有3G帳 戶信息��,所述LNS設(shè)備根據(jù)所述3G帳戶信息對所述客戶端進行再次認證�。
7.如權(quán)利要求6所述的LNS設(shè)備,其特征在于����,所述再次認證請求單元,具體用于�����,接收 所述客戶端通過密鑰驗證協(xié)議PAP方式或挑戰(zhàn)握手認證協(xié)議CHAP方式發(fā)送的所述認證消 肩、o
8.如權(quán)利要求6或7所述的LNS設(shè)備�,其特征在于,所述認證單元具體用于�,根據(jù)所述 3G帳戶信息中包括的3G數(shù)據(jù)卡信息和/或用戶識別卡信息進行認證。
9.一種3G VPDN客戶端設(shè)備��,其特征在于��,包括初始認證請求單元��,用于將客戶端設(shè)備的帳戶信息發(fā)送給LAC設(shè)備進行初始認證��;再次認證請求單元�,用于在客戶端接收到LNS設(shè)備要求該客戶端再次發(fā)起認證的報文 后,將3G賬戶信息發(fā)送到LNS設(shè)備再次進行認證��。
10.如權(quán)利要求9所述的3GVPDN客戶端設(shè)備�����,其特征在于��,所述再次認證請求單元通 過PAP方式或CHAP方式�����,將3G賬戶信息發(fā)送到LNS設(shè)備再次進行認證���。
11.如權(quán)利要求9或10所述的3GVPDN客戶端設(shè)備���,其特征在于,所述再次認證請求單 元所發(fā)送的3G帳戶信息包括3G數(shù)據(jù)卡信息和/或用戶識別卡信息�。
12.如權(quán)利要求11所述的3GVPDN客戶端設(shè)備,其特征在于�,所述再次認證請求單元所 發(fā)送的3G數(shù)據(jù)卡信息包括該數(shù)據(jù)卡的電子序列號,發(fā)送的用戶識別卡信息包括用戶識別 卡的IMSI�����。
全文摘要
本發(fā)明公開了一種3G虛擬私有撥號網(wǎng)VPDN用戶安全認證方法及其裝置����,應(yīng)用于包括有客戶端、LAC設(shè)備和LNS設(shè)備的認證系統(tǒng)���,該方法包括LNS設(shè)備接收到LAC設(shè)備發(fā)送的用于表示客戶端初始認證通過的通知消息后����,向所述客戶端發(fā)送用于要求客戶端再次發(fā)起認證的請求消息��;所述LNS設(shè)備接收所述客戶端根據(jù)所述請求消息發(fā)送的認證消息,其中攜帶有3G帳戶信息�����,所述LNS設(shè)備根據(jù)所述3G帳戶信息對所述客戶端進行再次認證����。采用本發(fā)明可提高3G VPDN用戶安全認證機制的安全性。
文檔編號H04L29/06GK101867476SQ201010205449
公開日2010年10月20日 申請日期2010年6月22日 優(yōu)先權(quán)日2010年6月22日
發(fā)明者關(guān)天舒, 劉雄威, 王仕進 申請人:杭州華三通信技術(shù)有限公司