專利名稱:基于動態(tài)主機(jī)配置協(xié)議加網(wǎng)絡(luò)門戶認(rèn)證的安全接入方法
技術(shù)領(lǐng)域:
本發(fā)明涉及寬帶局域網(wǎng)的安全接入方法�����,尤其涉及基于動態(tài)主機(jī)配置協(xié)議加網(wǎng)絡(luò)門戶(DHCP+WEB PORTAL)認(rèn)證的IP安全協(xié)議(IPSEC)安全接入方法�����。
背景技術(shù):
隨著WLAN(寬帶無線局域網(wǎng))技術(shù)的迅猛發(fā)展�����,WLAN的應(yīng)用范圍越來越廣�,用戶越來越多,而WLAN無線鏈路所采用的WEP(有線等效加密)技術(shù)不能有效的保障用戶的信息安全�����。為了推動WLAN技術(shù)的廣泛應(yīng)用��,迫切需要解決無線鏈路的安全問題��。
目前�,解決無線鏈路的安全問題,除了采用基于MAC/LLC層的安全措施外�,比較有效的手段就是采用基于IP的安全VPN(虛擬專網(wǎng))技術(shù)一IPSEC VPN(IP安全協(xié)議虛擬專網(wǎng))技術(shù)。采用IPSEC技術(shù)��,在STA(端站)側(cè)和寬帶接入設(shè)備之間構(gòu)建基于隧道模式的安全通道,應(yīng)用加密��、認(rèn)證�、簽名等手段將大大提高WLAN用戶數(shù)據(jù)通信的安全性能,很好地解決WLAN接入用戶的安全問題�。
但是,目前IPSEC技術(shù)應(yīng)用主要應(yīng)用于公網(wǎng)上建立安全VPN�����,沒有將IP安全協(xié)議虛擬專網(wǎng)納入到建立可運(yùn)營�����、可管理的接入業(yè)務(wù)上來�����。例如���,當(dāng)前運(yùn)營商采用基于DHCP+WEB PORTAL認(rèn)證方式實(shí)現(xiàn)寬帶無線局域網(wǎng)用戶接入時,如何將用戶的IPSEC VPN需求與用戶的認(rèn)證��、計費(fèi)等聯(lián)系起來����,以實(shí)現(xiàn)基于DHCP+WEB PORTAL認(rèn)證方式的IPSEC安全接入���,成為IPSEC安全接入業(yè)務(wù)運(yùn)營的關(guān)鍵。
發(fā)明內(nèi)容
本發(fā)明要解決的技術(shù)問題是提供一種基于動態(tài)主機(jī)配置協(xié)議加網(wǎng)絡(luò)門戶認(rèn)證的安全接入方法�,可以實(shí)現(xiàn)基于DHCP+WEB PORTAL認(rèn)證的IPSEC安全接入。
為了解決上述技術(shù)問題����,本發(fā)明提供了一種基于動態(tài)主機(jī)配置協(xié)議加網(wǎng)絡(luò)門戶認(rèn)證的安全接入方法,包括以下步驟(a)在采用動態(tài)主機(jī)配置協(xié)議的客戶端啟用IP安全協(xié)議的安全服務(wù)和策略管理�����,在與其相連的寬帶接入設(shè)備上啟用網(wǎng)絡(luò)門戶接入認(rèn)證��、IP安全協(xié)議安全服務(wù)以及接入用戶安全策略管理���;(b)所述客戶端從所述寬帶接入設(shè)備動態(tài)地獲得IP地址后�����,根據(jù)該IP地址創(chuàng)建基于隧道模式的IP安全協(xié)議安全策略���,對所述客戶端到所述寬帶接入設(shè)備、認(rèn)證服務(wù)器間的HTTP協(xié)議數(shù)據(jù)包不進(jìn)行保護(hù);(c)所述客戶端發(fā)起網(wǎng)絡(luò)門戶認(rèn)證請求�����,通過認(rèn)證后����,認(rèn)證服務(wù)器向所述寬帶接入設(shè)備返回包括該客戶端IP安全協(xié)議屬性信息的認(rèn)證結(jié)果;(d)所述寬帶接入設(shè)備根據(jù)所述認(rèn)證結(jié)果判斷是否啟用IP安全協(xié)議功能�����,如啟用�����,提取出該客戶端的IP安全協(xié)議屬性��,決定所采用的IPSEC安全策略��,并觸發(fā)與所述客戶端之間的因特網(wǎng)密鑰交換協(xié)商���,以生成IP安全協(xié)議安全關(guān)聯(lián);(e)所述客戶端對通過所述寬帶接入設(shè)備發(fā)送到外部設(shè)備的IP包進(jìn)行加密���,而所述寬帶接入設(shè)備對轉(zhuǎn)發(fā)至所述客戶端的IP包進(jìn)行加密��,并將所述客戶端發(fā)來的IP包解密后轉(zhuǎn)發(fā)到目的設(shè)備�����;(f)所述客戶端下線后���,所述寬帶接入設(shè)備銷毀與所述客戶端的IP安全協(xié)議隧道�����。
進(jìn)一步地�,上述安全接入方法還可具有以下特點(diǎn)所述接入是指寬帶無線局域網(wǎng)的接入��。
進(jìn)一步地��,上述安全接入方法還可具有以下特點(diǎn)計費(fèi)服務(wù)器在生成IP安全協(xié)議安全關(guān)聯(lián)后�����,根據(jù)用戶的包括IP安全協(xié)議屬性在內(nèi)的信息進(jìn)行計費(fèi)���,而在所述客戶端下線后停止計費(fèi)����。
進(jìn)一步地,上述安全接入方法還可具有以下特點(diǎn)所述客戶端將因特網(wǎng)密鑰交換協(xié)商配置為主動協(xié)商的方式����,同時,所述步驟(e)進(jìn)一步分為以下步驟(e11)所述客戶端通過所述寬帶接入設(shè)備訪問外部設(shè)備時��,先判斷是否已建立IP安全協(xié)議隧道���,如果沒有建立����,執(zhí)行下一步���,否則���,執(zhí)行步驟(e13)(e12)所述客戶端觸發(fā)與所述寬帶接入設(shè)備間的因特網(wǎng)密鑰交換協(xié)商���,生成與所述寬帶接入設(shè)備間的IP安全協(xié)議安全關(guān)聯(lián)�;(e13)所述客戶端向所述寬帶接入設(shè)備發(fā)送至外部設(shè)備的已加密的安全I(xiàn)P包��,所述寬帶接入設(shè)備解密后轉(zhuǎn)發(fā)至外部設(shè)備;(e14)所述寬帶接入設(shè)備對外部設(shè)備發(fā)往所述客戶端的IP包��,加密后再轉(zhuǎn)發(fā)到所述客戶端�����。
進(jìn)一步地��,上述安全接入方法還可具有以下特點(diǎn)所述客戶端將因特網(wǎng)密鑰交換協(xié)商配置為被動協(xié)商的方式�,同時,所述步驟(e)進(jìn)一步分為以下步驟(e21)所述客戶端通過所述寬帶接入設(shè)備訪問外部設(shè)備時��,先判斷是否已建立IP安全協(xié)議隧道�����,如果沒有建立�,直接發(fā)送明文數(shù)據(jù)包,執(zhí)行下一步�,否則,執(zhí)行步驟(e23)�����;(e22)所述寬帶接入設(shè)備收到所述客戶端發(fā)出的明文數(shù)據(jù)包后��,若檢查到與所述客戶端之間的IP安全協(xié)議隧道未建立,則再次觸發(fā)與所述客戶端間的因特網(wǎng)密鑰交換協(xié)商����,生成與所述客戶端間的IP安全協(xié)議安全關(guān)聯(lián);(e23)所述客戶端向所述寬帶接入設(shè)備發(fā)送至外部設(shè)備的已加密的安全I(xiàn)P包���,所述寬帶接入設(shè)備解密后轉(zhuǎn)發(fā)至外部設(shè)備����;(e24)所述寬帶接入設(shè)備對外部設(shè)備發(fā)往所述客戶端的IP包���,加密后再轉(zhuǎn)發(fā)到所述客戶端�����。
由上可知�����,本發(fā)明針對基于DHCP+WEB PORTAL認(rèn)證的寬帶用戶接入方案�����,在寬帶接入設(shè)備中��,根據(jù)WEB PORTAL認(rèn)證結(jié)果實(shí)現(xiàn)DHCP用戶與寬帶接入設(shè)備間基于IPSEC隧道模式的安全VPN接入方法�,從而最大限度地保護(hù)寬帶接入用戶(包括WLAN接入用戶)的網(wǎng)絡(luò)信息安全����,實(shí)現(xiàn)了基于IPSEC安全接入的可運(yùn)營、可管理業(yè)務(wù)����,為寬帶用戶(包括WLAN用戶)的安全接入提供了很好的解決方案。
圖1是本發(fā)明實(shí)施例某企業(yè)的INTERNET接入網(wǎng)絡(luò)圖���。
圖2是本發(fā)明實(shí)施例寬帶接入的處理流程圖����。
具體實(shí)施例方式
IPSEC VPN的可運(yùn)營�、可管理的目標(biāo)是當(dāng)DHCP用戶沒有認(rèn)證通過時,不能通過ISP(網(wǎng)絡(luò)接入服務(wù)商)的寬帶接入設(shè)備訪問外部網(wǎng)絡(luò)��,也不能與寬帶接入設(shè)備建立IPSEC安全隧道以保護(hù)DHCP用戶與其他用戶間的網(wǎng)絡(luò)數(shù)據(jù)流����。當(dāng)DHCP用戶通過登陸WEB PORTAL服務(wù)器進(jìn)行認(rèn)證通過后,寬帶接入設(shè)備將根據(jù)認(rèn)證結(jié)果返回的IPSEC保護(hù)策略屬性�,選擇是否觸發(fā)IKE(因特網(wǎng)密鑰交換)協(xié)商���,以建立IPSEC保護(hù)隧道,同時����,也進(jìn)行相應(yīng)的計費(fèi)。當(dāng)用戶下線時��,拆除已建立的IPSEC隧道�����,并停止計費(fèi)����。從而實(shí)現(xiàn)WLAN用戶的IPSEC安全接入業(yè)務(wù)的運(yùn)營。下面將以一實(shí)施例對本發(fā)明方法進(jìn)行詳細(xì)說明��。
某大型企業(yè)需要將內(nèi)部網(wǎng)絡(luò)用戶(包括WLAN用戶)接入INTERNET中����,為了簡化對接入用戶的管理,采用了DHCP+WEB PORTAL的用戶接入方法��,如圖1所示,該系統(tǒng)包括DHCP客戶端�、ZXR10寬帶接入設(shè)備、INTERNET網(wǎng)及RADIUS(遠(yuǎn)程認(rèn)證撥號接入用戶服務(wù))��、FTP服務(wù)器等����,其中WEB PORTAL服務(wù)器內(nèi)置于ZXR10寬帶接入設(shè)備中�����。
假設(shè)某DHCP(動態(tài)主機(jī)配置協(xié)議)用戶需要訪問INTERNET����,為了保證DHCP用戶,特別是基于WLAN的DHCP用戶與ZXR10寬帶接入設(shè)備之間的IP通信安全��,需要在DHCP用戶與ZXR10寬帶接入設(shè)備之間建立IPSEC安全隧道����。為了提供方便、快捷�、安全、可運(yùn)營��、可管理的IPSEC安全接入手段,本實(shí)施例對原系統(tǒng)進(jìn)行以下的改進(jìn)在DHCP客戶端駐留“IPSEC安全服務(wù)”和“IPSEC策略管理”軟件模塊����。其中“IPSEC安全服務(wù)”模塊用于實(shí)現(xiàn)標(biāo)準(zhǔn)的IPSEC協(xié)議相關(guān)功能,包括實(shí)現(xiàn)密鑰交換協(xié)議IKE(因特網(wǎng)密鑰交換)功能和IPSEC加解密功能�。對采用WINDOWS操作系統(tǒng)的客戶端,可以采用其自帶的“IPSEC安全服務(wù)”軟件實(shí)現(xiàn)�,采用其他操作系統(tǒng)的客戶端需要安裝相應(yīng)的“IPSEC安全服務(wù)”軟件。
“IPSEC策略管理”模塊用于根據(jù)DHCP用戶分配到的IP地址��,動態(tài)創(chuàng)建基于隧道模式的IPSEC的安全策略(需要用到IP地址信息)���,本實(shí)施例的IPSEC安全策略包括以下內(nèi)容(1)DHCP客戶端與寬帶接入設(shè)備��、WEB PORTAL服務(wù)器間的HTTP協(xié)議數(shù)據(jù)包不運(yùn)用IPSEC保護(hù)�,從而旁路掉DHCP用戶的WEB PORTAL認(rèn)證�����、下線請求等數(shù)據(jù)包����,保證WEB PORTAL認(rèn)證、下線等過程的正常進(jìn)行�����,該規(guī)則是必須要包括的。
(2)配置IPSEC保護(hù)策略為主動協(xié)商或者被動協(xié)商�����,采用被動協(xié)商可避免DHCP客戶端在認(rèn)證前可能發(fā)起的IKE協(xié)商����,產(chǎn)生額外的非法IKE協(xié)商流量�,但DHCP客戶端可能在沒有協(xié)商到可用的IPSEC安全策略前,會向外部發(fā)送明文數(shù)據(jù)包�����,導(dǎo)致不安全因素����。采用主動協(xié)商時,DHCP客戶端在沒有協(xié)商到可用的IPSEC安全策略前�����,將會觸發(fā)IKE協(xié)商以生成IPSEC安全策略�����,然后再向外部發(fā)送加密數(shù)據(jù)包,不會直接發(fā)送明文數(shù)據(jù)包���。本實(shí)施例配置為主動協(xié)商�����。
(3)根據(jù)用戶的需求��,針對需要保護(hù)的數(shù)據(jù)流創(chuàng)建相應(yīng)的IPSEC保護(hù)策略��。
ZXR10寬帶接入設(shè)備支持DHCP+WEB PORTAL認(rèn)證方式實(shí)現(xiàn)對DHCP用戶的INTERNET接入���,本實(shí)施例使用內(nèi)置的WEB PORTAL服務(wù)器對DHCP用戶進(jìn)行接入,認(rèn)證和計費(fèi)由后端的RADIUS服務(wù)器進(jìn)行����。此外,該寬帶接入設(shè)備還需要駐留“IPSEC安全服務(wù)”進(jìn)程和“接入用戶安全策略管理”進(jìn)程���。其中“IPSEC安全服務(wù)”進(jìn)程用于實(shí)現(xiàn)標(biāo)準(zhǔn)的IPSEC協(xié)議相關(guān)功能�,IPSEC功能是實(shí)現(xiàn)IPSEC安全接入的根本��,主要包括IKE協(xié)商和IPSEC處理。
“接入用戶安全策略管理”進(jìn)程用于根據(jù)RADIUS返回的認(rèn)證結(jié)果和IPSEC屬性���,決定是否啟用用戶的IPSEC功能����,以及啟用IPSEC功能時所采用的IPSEC安全策略��,該IPSEC安全策略包括多種加(解)密算法�����、多種認(rèn)證算法�����、會話密鑰�、密鑰更新周期等��。這些策略在雙方的IKE協(xié)商過程中會協(xié)商出確定的�、匹配的加(解)密算法、認(rèn)證算法���、會話密鑰����、密鑰更新周期等。
RADIUS服務(wù)器用于用戶的認(rèn)證和計費(fèi)����。該服務(wù)器中還配置有客戶端的IPSEC屬性,在認(rèn)證通過后�,該服務(wù)器向ZXR10寬帶接入設(shè)備返回的認(rèn)證結(jié)果中帶有相應(yīng)客戶端的IPSEC屬性。RADIUS服務(wù)器還根據(jù)用戶是否啟用IPSEC功能以及采用的IPSEC安全策略進(jìn)行相應(yīng)的計費(fèi)����。
通過上述改進(jìn)后的系統(tǒng)可以實(shí)現(xiàn)將IPSEC安全接入與可運(yùn)營與可管理的接入業(yè)務(wù)相結(jié)合。具體的處理流程如圖2所示(RADIUS服務(wù)器在圖中未示出)��,包括以下步驟步驟一����,在DHCP客戶端啟用IPSEC安全服務(wù)和IPSEC策略管理,在寬帶接入設(shè)備上啟用WEB PORTAL接入認(rèn)證��、IPSEC安全服務(wù)和接入用戶安全策略管理�;步驟二,DHCP客戶端發(fā)起IP地址租用請求���,完成DHCP協(xié)議交換后���,從ZXR10寬帶接入設(shè)備獲得租用的IP地址�����;步驟三�����,DHCP客戶端根據(jù)動態(tài)獲取的IP地址�,動態(tài)地創(chuàng)建DHCP客戶端的IPSEC安全策略���,旁路掉DHCP客戶端與寬帶接入設(shè)備��、WEBPORTAL服務(wù)器間的HTTP協(xié)議數(shù)據(jù)包�;步驟四��,DHCP客戶端發(fā)起WEB PROTAL認(rèn)證請求�����,通過認(rèn)證后����,RADIUS服務(wù)器向ZXR10寬帶接入設(shè)備返回認(rèn)證結(jié)果(含IPSEC屬性),ZXR10寬帶接入設(shè)備向DHCP客戶端發(fā)送認(rèn)證成功的消息����;步驟五,ZXR10寬帶接入設(shè)備根據(jù)RADIUS返回的認(rèn)證結(jié)果及提取出的IPSEC屬性�����,啟用IPSEC功能并決定所采用的IPSEC安全策略�����;步驟六��,ZXR10寬帶接入設(shè)備觸發(fā)IKE協(xié)商�����,完成協(xié)商后��,生成IPSEC安全關(guān)聯(lián)���,建立IPSEC保護(hù)隧道��,同時�����,RADIUS服務(wù)器根據(jù)用戶的包括IPSEC屬性在內(nèi)的信息進(jìn)行計費(fèi)��;步驟七��,DHCP客戶端通過ZXR10寬帶接入設(shè)備訪問外部的設(shè)備時���,先判斷是否已建立IPSEC安全隧道(有可能因異常原因沒有建立���,但圖中是按IPSEC安全關(guān)聯(lián)已建立來處理的),如果沒有建立�,執(zhí)行下一步,否則��,執(zhí)行步驟九�����;步驟八�,DHCP客戶端觸發(fā)與ZXR10寬帶接入設(shè)備間的IKE協(xié)商����,以生成相應(yīng)的IPSEC安全關(guān)聯(lián)�;步驟九�,DHCP客戶端向ZXR10寬帶接入設(shè)備發(fā)送外出的已加密的安全I(xiàn)P包,ZXR10寬帶接入設(shè)備解密后轉(zhuǎn)發(fā)至INTERNET主機(jī)����;步驟十,對于INTERNET主機(jī)向DHCP客戶端返回的數(shù)據(jù)包���,ZXR10寬帶接入設(shè)備加密后再轉(zhuǎn)發(fā)到DHCP客戶端�����,從而實(shí)現(xiàn)安全接入���;步驟十一,DHCP客戶端向ZXR10寬帶接入設(shè)備發(fā)送下線請求���,ZXR10寬帶接入設(shè)備銷毀與DHCP客戶端的IPSEC隧道��,RADIUS服務(wù)器則停止計費(fèi)�����。
上述實(shí)施例還可以其他的各種變換�,例如若客戶端配置為被動觸發(fā)IKE協(xié)商,則由寬帶接入設(shè)備檢查隧道是否建立�����,如未建立��,由寬帶接入設(shè)備再次觸發(fā)IKE協(xié)商���。具體來說�,可將步驟七和步驟八替換為以下步驟�����,其余的步驟均不變���。
步驟七’���,DHCP客戶端通過ZXR10寬帶接入設(shè)備訪問外部的設(shè)備時,先判斷是否已建立IPSEC安全隧道�����,如果沒有建立����,則直接發(fā)送明文數(shù)據(jù)包而不觸發(fā)IKE協(xié)商,執(zhí)行下一步�,如果已建立,執(zhí)行步驟九�;步驟八’,ZXR10寬帶接入設(shè)備收到DHCP客戶端所發(fā)出的明文數(shù)據(jù)包后�,若檢查到與DHCP客戶端之間的IPSEC安全隧道未建立,則再次觸發(fā)與DHCP客戶端間的IKE協(xié)商��,生成相應(yīng)的IPSEC安全關(guān)聯(lián)���;此外�����,也可以在認(rèn)證服務(wù)器上僅配置IPSEC屬性標(biāo)識���,每個IPSEC屬性標(biāo)識代表寬帶接入設(shè)備中配置的一種IPSEC安全策略,認(rèn)證服務(wù)器上僅需要配置IPSEC屬性標(biāo)識即可����,由寬帶接入設(shè)備根據(jù)該標(biāo)識來找到相應(yīng)的IPSEC安全策略��。
綜上所述����,本發(fā)明“基于DHCP+WEB PORTAL認(rèn)證的IPSEC安全接入方法”以方便���、快捷�����、安全�、可管理�、可運(yùn)營的優(yōu)勢完全滿足用戶的需求,為用戶的安全通信提供了足夠的安全保障����。
權(quán)利要求
1.一種基于動態(tài)主機(jī)配置協(xié)議加網(wǎng)絡(luò)門戶認(rèn)證的安全接入方法,包括以下步驟(a)在采用動態(tài)主機(jī)配置協(xié)議的客戶端啟用IP安全協(xié)議的安全服務(wù)和策略管理����,在與其相連的寬帶接入設(shè)備上啟用網(wǎng)絡(luò)門戶接入認(rèn)證、IP安全協(xié)議安全服務(wù)以及接入用戶安全策略管理�����;(b)所述客戶端從所述寬帶接入設(shè)備動態(tài)地獲得IP地址后,根據(jù)該IP地址創(chuàng)建基于隧道模式的IP安全協(xié)議安全策略����,對所述客戶端到所述寬帶接入設(shè)備�����、認(rèn)證服務(wù)器間的HTTP協(xié)議數(shù)據(jù)包不進(jìn)行保護(hù)�;(c)所述客戶端發(fā)起網(wǎng)絡(luò)門戶認(rèn)證請求,通過認(rèn)證后�,認(rèn)證服務(wù)器向所述寬帶接入設(shè)備返回包括該客戶端IP安全協(xié)議屬性信息的認(rèn)證結(jié)果;(d)所述寬帶接入設(shè)備根據(jù)所述認(rèn)證結(jié)果判斷是否啟用IP安全協(xié)議功能����,如啟用,提取出該客戶端的IP安全協(xié)議屬性��,決定所采用的IPSEC安全策略�����,并觸發(fā)與所述客戶端之間的因特網(wǎng)密鑰交換協(xié)商�,以生成IP安全協(xié)議安全關(guān)聯(lián);(e)所述客戶端對通過所述寬帶接入設(shè)備發(fā)送到外部設(shè)備的IP包進(jìn)行加密��,而所述寬帶接入設(shè)備對轉(zhuǎn)發(fā)至所述客戶端的IP包進(jìn)行加密,并將所述客戶端發(fā)來的IP包解密后轉(zhuǎn)發(fā)到目的設(shè)備���;(f)所述客戶端下線后����,所述寬帶接入設(shè)備銷毀與所述客戶端的IP安全協(xié)議隧道����。
2.如權(quán)利要求1所述的安全接入方法,其特征在于�,所述接入是指寬帶無線局域網(wǎng)的接入。
3.如權(quán)利要求1所述的安全接入方法�����,其特征在于�����,計費(fèi)服務(wù)器在生成IP安全協(xié)議安全關(guān)聯(lián)后���,根據(jù)用戶的包括IP安全協(xié)議屬性在內(nèi)的信息進(jìn)行計費(fèi)�,而在所述客戶端下線后停止計費(fèi)���。
4.如權(quán)利要求1所述的安全接入方法����,其特征在于,所述客戶端將因特網(wǎng)密鑰交換協(xié)商配置為主動協(xié)商的方式���,同時�����,所述步驟(e)進(jìn)一步分為以下步驟(e11)所述客戶端通過所述寬帶接入設(shè)備訪問外部設(shè)備時,先判斷是否已建立IP安全協(xié)議隧道����,如果沒有建立,執(zhí)行下一步���,否則��,執(zhí)行步驟(e13)���;(e12)所述客戶端觸發(fā)與所述寬帶接入設(shè)備間的因特網(wǎng)密鑰交換協(xié)商,生成與所述寬帶接入設(shè)備間的IP安全協(xié)議安全關(guān)聯(lián)�����;(e13)所述客戶端向所述寬帶接入設(shè)備發(fā)送至外部設(shè)備的已加密的安全I(xiàn)P包,所述寬帶接入設(shè)備解密后轉(zhuǎn)發(fā)至外部設(shè)備�����;(e14)所述寬帶接入設(shè)備對外部設(shè)備發(fā)往所述客戶端的IP包�,加密后再轉(zhuǎn)發(fā)到所述客戶端。
5.如權(quán)利要求1所述的安全接入方法��,其特征在于�,所述客戶端將因特網(wǎng)密鑰交換協(xié)商配置為被動協(xié)商的方式,同時���,所述步驟(e)進(jìn)一步分為以下步驟(e21)所述客戶端通過所述寬帶接入設(shè)備訪問外部設(shè)備時����,先判斷是否已建立IP安全協(xié)議隧道����,如果沒有建立,直接發(fā)送明文數(shù)據(jù)包���,執(zhí)行下一步����,否則,執(zhí)行步驟(e23)���;(e22)所述寬帶接入設(shè)備收到所述客戶端發(fā)出的明文數(shù)據(jù)包后�,若檢查到與所述客戶端之間的IP安全協(xié)議隧道未建立���,則再次觸發(fā)與所述客戶端間的因特網(wǎng)密鑰交換協(xié)商���,生成與所述客戶端間的IP安全協(xié)議安全關(guān)聯(lián);(e23)所述客戶端向所述寬帶接入設(shè)備發(fā)送至外部設(shè)備的已加密的安全I(xiàn)P包��,所述寬帶接入設(shè)備解密后轉(zhuǎn)發(fā)至外部設(shè)備�;(e24)所述寬帶接入設(shè)備對外部設(shè)備發(fā)往所述客戶端的IP包�����,加密后再轉(zhuǎn)發(fā)到所述客戶端�。
全文摘要
一種基于DHCP+WEB PORTAL認(rèn)證的IPSEC安全接入方法在DHCP客戶端啟用IPSEC的安全服務(wù)和策略管理,在寬帶接入設(shè)備上啟用IPSEC安全服務(wù)和接入用戶安全策略管理�����;客戶端獲得IP地址后,創(chuàng)建IPSEC安全策略�����,對與寬帶接入設(shè)備����、認(rèn)證服務(wù)器間的HTTP協(xié)議數(shù)據(jù)包不進(jìn)行保護(hù);客戶端通過認(rèn)證后���,寬帶接入設(shè)備根據(jù)所述認(rèn)證結(jié)果判斷是否啟用IPSEC功能�����,如啟用��,提取IPSEC屬性決定采用的IPSEC安全策略����,并觸發(fā)與客戶端之間的IKE協(xié)商�,生成IPSEC安全關(guān)聯(lián),從而對客戶端與寬帶接入設(shè)備之間的外出IP包進(jìn)行加密����;客戶下線后�,銷毀建立的IPSEC隧道��。本發(fā)明方法實(shí)現(xiàn)了基于IPSEC安全接入的可運(yùn)營�、可管理業(yè)務(wù)。
文檔編號H04L9/32GK1780244SQ200410091539
公開日2006年5月31日 申請日期2004年11月18日 優(yōu)先權(quán)日2004年11月18日
發(fā)明者趙真富, 王東, 郭鐘 申請人:中興通訊股份有限公司