專利名稱:一種基于ppp協(xié)議的認證方法、系統(tǒng)及其裝置的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及網(wǎng)絡(luò)通信技術(shù)領(lǐng)域,特別是涉及一種基于PPP協(xié)議的認證方法、系統(tǒng)及其裝置。
背景技術(shù):
互聯(lián)網(wǎng)已成為全社會的信息基礎(chǔ)設(shè)施,企業(yè)端的應(yīng)用也大都基于IP,在互聯(lián)網(wǎng)上構(gòu)筑應(yīng)用系統(tǒng)已成為必然趨勢,因此基于IP的VPN(Virtual PrivateNetwork,虛擬專用網(wǎng))業(yè)務(wù)獲得了極大的增長空間。VPN被定義為通過一個公用網(wǎng)絡(luò)建立一個臨時的、安全的連接。虛擬專用網(wǎng)是對企業(yè)內(nèi)部網(wǎng)的擴展,虛擬專用網(wǎng)可以幫助遠程用戶、公司分支機構(gòu)、商業(yè)伙伴及供應(yīng)商同公司的內(nèi)部網(wǎng)建立可信的安全連接,并保證數(shù)據(jù)的安全傳輸。
Access VPN(Access Virtual Private Network,移動虛擬專用網(wǎng))是VPN中的一種,這種方式的VPN解決了出差員工在異地訪問企業(yè)內(nèi)部私有網(wǎng)的問題,提供身份驗證、授權(quán)和計費的功能。移動VPN的常見實現(xiàn)方案就是用L2TP(Layer 2 Tunneling Protocol,第二層隧道協(xié)議)協(xié)議承載PPP協(xié)議(Point-to-Point Protocol,點對點協(xié)議)實現(xiàn)。L2TP協(xié)議用于構(gòu)建PPP的隧道和會話,然后由PPP協(xié)議完成配置協(xié)商,身份認證以及內(nèi)網(wǎng)IP地址分配,最后攜帶IP數(shù)據(jù)報文完成VPN數(shù)據(jù)報文交互。常見組網(wǎng)有兩種,如圖1所示,VPN客戶端本身具有PPP和LAC(L2TP Access Concentrator,L2TP訪問集中器)功能,直接與VPN服務(wù)器建立隧道,VPN服務(wù)器Radius(RemoteAuthentication Dial-In User Service,遠程身份驗證撥號用戶服務(wù))是VPN服務(wù)器的認證服務(wù)器,用來配合VPN服務(wù)器完成對接入用戶身份的驗證和授權(quán)。
現(xiàn)有技術(shù)的缺點是PPP協(xié)議認證方式相對簡單,不能采用類似EAD(Endpoint Admission Defense,端點準入防御方案)的安全認證,沒有控制病毒、蠕蟲的蔓延和主動防御對網(wǎng)絡(luò)的非法入侵的功能,無法滿足用戶對VPN安全性的要求。因為一些用戶總害怕內(nèi)部的數(shù)據(jù)在互聯(lián)網(wǎng)上傳輸不安全,嚴重影響了VPN的應(yīng)用普及。
發(fā)明內(nèi)容
本發(fā)明要解決的問題是提供基于PPP協(xié)議的認證方法和系統(tǒng),保證只有安全的用戶才可以接入共用網(wǎng)絡(luò)。
為達到上述目的,本發(fā)明的實施例的技術(shù)方案提出一種基于點到點PPP協(xié)議的認證方法,包括以下步驟虛擬局域網(wǎng)VPN客戶端向遠程身份認證撥號用戶服務(wù)Radius服務(wù)器發(fā)起身份認證;在通過身份認證后,向VPN客戶端下發(fā)包含安全策略服務(wù)器配置信息的報文;所述VPN客戶端根據(jù)所述配置信息與所述安全策略服務(wù)器建立連接,進行安全認證。
其中,在所述Radius服務(wù)器將帶有所述配置信息的報文下發(fā)給VPN客戶端之前,還包括以下步驟將所述配置信息存入Radius服務(wù)器。
其中,所述Radius服務(wù)器將配置信息下發(fā)給所述VPN客戶端,具體包括以下步驟所述Radius服務(wù)器將所述配置信息傳給VPN服務(wù)器;所述VPN服務(wù)器將所述配置信息取出后下發(fā)給VPN客戶端。
其中,所述VPN服務(wù)器將所述配置信息取出后下發(fā)給VPN客戶端,進一步包括以下步驟所述VPN服務(wù)器將所述配置信息取出;所述VPN服務(wù)器將所述配置信息封裝為可擴展的PPP數(shù)據(jù)報文,通過PPP協(xié)議下發(fā)給所述VPN客戶端。
其中,所述VPN客戶端根據(jù)所述配置信息與安全策略服務(wù)器建立連接,具體包括所述VPN客戶端將所述可擴展的PPP數(shù)據(jù)報文取出后,解封裝并獲取所述配置信息,根據(jù)所述配置信息建立與所述安全策略服務(wù)器的連接。
其中,所述配置信息包括安全策略服務(wù)器的IP地址和/或端口號。
本發(fā)明的實施例的技術(shù)方案還提出一種基于PPP協(xié)議的認證系統(tǒng),包括包括VPN服務(wù)器、VPN客戶端、Radius服務(wù)器和安全策略服務(wù)器,所述Radius服務(wù)器,用于在PPP協(xié)議身份認證通過后,將帶有安全策略服務(wù)器配置信息的報文下發(fā)給VPN客戶端;所述VPN客戶端,用于根據(jù)收到所述Radius服務(wù)器發(fā)來的安全策略服務(wù)器配置信息,建立與所述安全策略服務(wù)器的連接,進行安全認證。
其中,所述Radius服務(wù)器包括身份檢測模塊和下發(fā)模塊,所述身份檢測模塊用于檢測所述VPN客戶端是否通過PPP協(xié)議身份認證;所述下發(fā)模塊用于在所述身份檢測模塊判斷通過PPP協(xié)議身份認證后,將帶有所述安全策略服務(wù)器配置信息的報文下發(fā)給VPN客戶端。
其中,所述VPN客戶端包括有連接建立模塊,用于建立所述VPN客戶端與所述安全策略服務(wù)器的連接。
本發(fā)明的實施例的技術(shù)方案還提出一種Radius服務(wù)器,包括身份檢測模塊和下發(fā)模塊,所述身份檢測模塊用于檢測所述VPN客戶端是否通過PPP協(xié)議身份認證;所述下發(fā)模塊用于在所述身份檢測模塊判斷通過PPP協(xié)議身份認證后,將帶有所述安全策略服務(wù)器配置信息的報文下發(fā)給VPN客戶端。
本發(fā)明的實施例的技術(shù)方案實現(xiàn)了PPP協(xié)議認證過程的擴展,在用戶認證之后進行安全認證,通過增加的安全認證來驗證用戶是否符合網(wǎng)絡(luò)的安全策略,保證只有安全的用戶才可以接入共用網(wǎng)絡(luò)。
圖1為現(xiàn)有技術(shù)的VPN常見的組網(wǎng)圖;圖2為本發(fā)明實施例采用EAD方案的VPN組網(wǎng)圖;圖3為本發(fā)明實施例的基于PPP協(xié)議的認證系統(tǒng)的結(jié)構(gòu)圖;圖4為本發(fā)明實施例的基于PPP協(xié)議的認證方法的流程圖;圖5為本發(fā)明實施例的基于PPP協(xié)議的認證方法的具體實施例的流程圖;圖6為本發(fā)明實施例的以IP為配置信息的基于PPP協(xié)議的認證方法的流程圖。
具體實施例方式
下面結(jié)合附圖和實施例,對本發(fā)明的具體實施方式
作進一步詳細描述
如圖2所示,為本發(fā)明實施例采用EAD方案的VPN組網(wǎng)圖,本發(fā)明實施例可以在用戶接入網(wǎng)絡(luò)前,強制檢查用戶終端的安全狀態(tài),并根據(jù)對用戶終端安全狀態(tài)的檢查結(jié)果,強制實施用戶接入控制策略。如果VPN客戶端通過安全認證,則可以進入網(wǎng)絡(luò);如果VPN客戶端未通過安全認證,則保留在隔離區(qū)等待后續(xù)處理。這樣不僅提高了網(wǎng)絡(luò)終端主動防御的能力,還可以控制病毒、蠕蟲的蔓延。
本發(fā)明實施例整合了VPN的PPP協(xié)議身份認證功能和EAD方案的安全認證功能,在VPN客戶端通過PPP協(xié)議身份認證通過后,將帶有安全策略服務(wù)器配置信息的報文下發(fā)給VPN客戶端,建立VPN客戶端與安全策略服務(wù)器的連接,完成對VPN客戶端的安全認證檢查,保證了接入網(wǎng)絡(luò)的PPP協(xié)議用戶都是安全的使用者。
如圖3所示的本發(fā)明實施例基于PPP協(xié)議的認證系統(tǒng)的結(jié)構(gòu)圖。
一種基于PPP協(xié)議的認證系統(tǒng),包括VPN客戶端1、VPN服務(wù)器2、Radius服務(wù)器3和安全策略服務(wù)器4,Radius服務(wù)器3主要用于完成對接入用戶身份的驗證和確認。
其中,該Radius服務(wù)器3包括身份檢測模塊31和下發(fā)模塊32,其中,身份檢測模塊31用于檢測VPN客戶端1是否通過PPP協(xié)議身份認證;下發(fā)模塊32用于在身份檢測模塊檢測到VPN客戶端1已經(jīng)通過PPP協(xié)議身份認證后,將帶有安全策略服務(wù)器配置信息的報文下發(fā)給VPN客戶端1。
在本實施例中,下發(fā)模塊32所發(fā)送的安全策略服務(wù)器4的配置信息為該安全策略服務(wù)器4的IP和/或端口號,還可以是其他可以使VPN客戶端與安全策略服務(wù)器4建立起連接的信息。
VPN客戶端還包括有連接建立模塊11,用于建立與安全策略服務(wù)器4的連接,其建立連接的過程如下當VPN客戶端1通過身份認證,在收到Radius服務(wù)器3的帶有安全策略服務(wù)器4的IP和/或端口號的協(xié)議報文后,根據(jù)IP和/或端口號與安全策略服務(wù)器4建立連接,進行安全認證,確保接入網(wǎng)絡(luò)的PPP協(xié)議用戶都是安全的使用者。
綜上,基于PPP協(xié)議的VPN客戶端安全認證過程如下首先,由VPN客戶端1根據(jù)PPP協(xié)議向VPN服務(wù)器2發(fā)起身份認證,具體為VPN客戶端1向VPN服務(wù)器2發(fā)起L2TP協(xié)商;在L2TP協(xié)商成功后,VPN客戶端1再次向VPN服務(wù)器2發(fā)起PPP鏈路協(xié)商,與其建立鏈路連接;在經(jīng)協(xié)商建立鏈路連接后,VPN客戶端1通過VPN服務(wù)器2向Radius服務(wù)器3發(fā)起身份認證請求,Radius服務(wù)器3應(yīng)身份認證請求對VPN客戶端進行身份認證。
當Radius服務(wù)器3身份檢測模塊31確定VPN客戶端1已通過了PPP協(xié)議身份認證,則由下發(fā)模塊32將協(xié)議封裝模塊32中的帶有安全策略服務(wù)器4的IP和/或端口號的信息通過VPN服務(wù)器2發(fā)送給VPN客戶端1。
VPN客戶端的連接建立模塊11根據(jù)收到Radius服務(wù)器3的IP和/或端口號,建立與安全策略服務(wù)器4的連接,由VPN客戶端1直接向安全策略服務(wù)器4發(fā)起安全認證。
安全策略服務(wù)器4通過Radius服務(wù)器3和VPN服務(wù)器2對VPN客戶端1進行安全認證,并向其發(fā)送安全認證結(jié)果信息。
當VPN客戶端通過了安全認證,則VPN客戶端可以訪問網(wǎng)絡(luò);否則,將VPN客戶端隔離在網(wǎng)絡(luò)之外。
如圖4所示,為本發(fā)明實施例的一種基于PPP協(xié)議的認證方法的流程圖。該認證方法包括以下步驟步驟S401進行PPP協(xié)議身份認證,具體過程如下,由VPN客戶端1向VPN服務(wù)器2發(fā)起L2TP協(xié)商;在L2TP協(xié)商成功后,VPN客戶端1再次向VPN服務(wù)器2發(fā)起PPP鏈路協(xié)商;在協(xié)商成功后,VPN客戶端1通過VPN服務(wù)器2向Radius服務(wù)器發(fā)起身份認證請求,VPN服務(wù)器將用戶名和密碼通過Radius服務(wù)協(xié)議傳給Radius服務(wù)器,實現(xiàn)身份認證。
步驟S402在PPP協(xié)議身份認證通過后,Radius服務(wù)器將帶有配置信息的報文下發(fā)給VPN客戶端,該配置信息可以是安全策略服務(wù)器的IP和/或端口號,也可以是任何能夠使VPN客戶端準確找到安全策略服務(wù)器的任何配置。
步驟S403該VPN客戶端根據(jù)收到的配置信息與安全策略服務(wù)器建立連接,進行安全認證;當VPN客戶端通過安全認證,則可以進入網(wǎng)絡(luò);當VPN客戶端未通過安全認證,則保留在隔離區(qū)等待后續(xù)處理。
如圖5所示,為本發(fā)明實施例的基于PPP協(xié)議的認證方法的具體實施例的流程圖,包括以下步驟步驟S501將安全策略服務(wù)器的配置信息存入Radius服務(wù)器,該配置信息可以是IP和/或端口號,也可以是能夠使VPN客戶端準確找到安全策略服務(wù)器的任何配置。
步驟S502進行PPP協(xié)議身份認證,具體過程如下,由VPN客戶端1向VPN服務(wù)器2發(fā)起L2TP協(xié)商;在L2TP協(xié)商成功后,VPN客戶端1再次向VPN服務(wù)器2發(fā)起PPP鏈路協(xié)商;在鏈路協(xié)商成功后,VPN客戶端1通過VPN服務(wù)器2向Radius服務(wù)器發(fā)起身份認證請求,VPN服務(wù)器將用戶名和密碼通過Radius服務(wù)協(xié)議傳給Radius服務(wù)器,完成身份認證過程。
步驟S503在PPP協(xié)議身份認證通過后,Radius服務(wù)器將配置信息下發(fā)給VPN客戶端。具體過程如下,將安全策略服務(wù)器的配置信息通過Radius服務(wù)協(xié)議傳給VPN服務(wù)器;VPN服務(wù)器將配置信息取出;VPN服務(wù)器將配置信息封裝為可擴展的PPP數(shù)據(jù)報文,通過PPP協(xié)議下發(fā)給VPN客戶端。
步驟S504該VPN客戶端根據(jù)收到的配置信息與安全策略服務(wù)器建立連接,進行EAD安全認證;當VPN客戶端通過安全認證,則可以進入網(wǎng)絡(luò);當VPN客戶端未通過安全認證,則保留在隔離區(qū)等待后續(xù)處理。
如圖6所示,為本發(fā)明實施例的以IP為配置信息的基于PPP協(xié)議的認證方法的流程圖,包括以下步驟步驟S601將安全策略服務(wù)器的IP信息存入Radius服務(wù)器。
步驟S602進行標準的PPP協(xié)議身份認證,具體過程如下,由VPN客戶端1向VPN服務(wù)器2發(fā)起L2TP協(xié)商;在L2TP協(xié)商成功后,VPN客戶端1再次向VPN服務(wù)器2發(fā)起PPP鏈路協(xié)商;在鏈路協(xié)商成功后,VPN客戶端1通過VPN服務(wù)器2向Radius服務(wù)器發(fā)起攜帶身份認證信息的身份認證請求,VPN服務(wù)器將VPN用戶的身份認證信息,如用戶名和密碼,通過Radius服務(wù)協(xié)議的報文傳給Radius服務(wù)器,由Radius服務(wù)器對VPN客戶端進行身份認證。
步驟S603在通過PPP協(xié)議身份認證后,Radius服務(wù)器將該IP信息通過Radius服務(wù)協(xié)議報文傳給VPN服務(wù)器。
步驟S604VPN服務(wù)器將IP信息從Radius服務(wù)協(xié)議報文中取出,再將IP信息封裝為可擴展的PPP數(shù)據(jù)報文,通過PPP協(xié)議下發(fā)給VPN客戶端。
步驟S605VPN客戶端解開此擴展的PPP數(shù)據(jù)報文獲取安全策略服務(wù)器的IP信息,并與之建立連接。
步驟S606VPN客戶端向安全策略服務(wù)器進行安全認證,具體過程如下,由VPN客戶端直接向安全策略服務(wù)器發(fā)起安全認證請求,安全策略服務(wù)器將安全認證通過信息通過Radius服務(wù)器和VPN服務(wù)器發(fā)送給VPN客戶端;當VPN客戶端通過安全認證,則可以進入網(wǎng)絡(luò);當VPN客戶端未通過安全認證,則保留在隔離區(qū)等待后續(xù)處理。
本發(fā)明實現(xiàn)了PPP協(xié)議認證過程的擴展,在PPP協(xié)議用戶認證之后進行EAD安全認證,通過增加的安全認證來驗證用戶是否符合網(wǎng)絡(luò)的安全策略,保證了只有安全的用戶才可以接入共用網(wǎng)絡(luò)。
以上所述僅是本發(fā)明的優(yōu)選實施方式,應(yīng)當指出,對于本技術(shù)領(lǐng)域的普通技術(shù)人員來說,在不脫離本發(fā)明原理的前提下,還可以做出若干改進和潤飾,這些改進和潤飾也應(yīng)視為本發(fā)明的保護范圍。
權(quán)利要求
1.一種基于點到點PPP協(xié)議的認證方法,其特征在于,包括以下步驟虛擬局域網(wǎng)VPN客戶端向遠程身份認證撥號用戶服務(wù)Radius服務(wù)器發(fā)起身份認證;在通過身份認證后,向VPN客戶端下發(fā)包含安全策略服務(wù)器配置信息的報文;所述VPN客戶端根據(jù)所述配置信息與所述安全策略服務(wù)器建立連接,進行安全認證。
2.如權(quán)利要求1所述基于PPP協(xié)議的認證方法,其特征在于,在所述Radius服務(wù)器將帶有所述配置信息的報文下發(fā)給VPN客戶端之前,還包括以下步驟將所述配置信息存入Radius服務(wù)器。
3.如權(quán)利要求1所述基于PPP協(xié)議的認證方法,其特征在于,所述Radius服務(wù)器將所述配置信息下發(fā)給VPN客戶端,具體包括以下步驟所述Radius服務(wù)器將所述配置信息傳給VPN服務(wù)器;所述VPN服務(wù)器將所述配置信息取出后下發(fā)給VPN客戶端。
4.如權(quán)利要求3所述基于PPP協(xié)議的認證方法,其特征在于,所述VPN服務(wù)器將所述配置信息取出后下發(fā)給VPN客戶端,進一步包括以下步驟所述VPN服務(wù)器將所述配置信息取出;所述VPN服務(wù)器將所述配置信息封裝為可擴展的PPP數(shù)據(jù)報文,通過PPP協(xié)議下發(fā)給所述VPN客戶端。
5.如權(quán)利要求1所述基于PPP協(xié)議的認證方法,其特征在于,所述VPN客戶端根據(jù)所述配置信息與安全策略服務(wù)器建立連接,具體包括所述VPN客戶端將所述可擴展的PPP數(shù)據(jù)報文取出后,解封裝并獲取所述配置信息,根據(jù)所述配置信息建立與所述安全策略服務(wù)器的連接。
6.如權(quán)利要求1-5中任一項所述基于PPP協(xié)議的認證方法,其特征在于,所述配置信息包括安全策略服務(wù)器的IP地址和/或端口號。
7.一種基于PPP協(xié)議的認證系統(tǒng),包括VPN服務(wù)器,其特征在于,還包括VPN客戶端、Radius服務(wù)器和安全策略服務(wù)器,所述Radius服務(wù)器,用于在PPP協(xié)議身份認證通過后,將帶有安全策略服務(wù)器配置信息的報文下發(fā)給VPN客戶端;所述VPN客戶端,用于根據(jù)收到所述Radius服務(wù)器發(fā)來的安全策略服務(wù)器配置信息,建立與所述安全策略服務(wù)器的連接,進行安全認證。
8.如權(quán)利要求7所述基于PPP協(xié)議的認證系統(tǒng),其特征在于,所述Radius服務(wù)器包括身份檢測模塊和下發(fā)模塊,所述身份檢測模塊用于檢測所述VPN客戶端是否通過PPP協(xié)議身份認證;所述下發(fā)模塊用于在所述身份檢測模塊判斷通過PPP協(xié)議身份認證后,將帶有所述安全策略服務(wù)器配置信息的報文下發(fā)給VPN客戶端。
9.如權(quán)利要求7所述基于PPP協(xié)議的認證系統(tǒng),其特征在于,所述VPN客戶端包括有連接建立模塊,用于建立所述VPN客戶端與所述安全策略服務(wù)器的連接。
10.一種Radius服務(wù)器,其特征在于,包括身份檢測模塊和下發(fā)模塊,所述身份檢測模塊用于檢測所述VPN客戶端是否通過PPP協(xié)議身份認證;所述下發(fā)模塊用于在所述身份檢測模塊檢測到VPN客戶端已通過PPP協(xié)議身份認證后,將帶有所述安全策略服務(wù)器配置信息的報文下發(fā)給VPN客戶端。
全文摘要
本發(fā)明公開了一種基于PPP協(xié)議的認證方法,包括以下步驟虛擬局域網(wǎng)VPN客戶端向遠程身份認證撥號用戶服務(wù)Radius服務(wù)器發(fā)起身份認證;在通過身份認證后,向VPN客戶端下發(fā)包含安全策略服務(wù)器配置信息的報文;所述VPN客戶端根據(jù)所述配置信息與所述安全策略服務(wù)器建立連接,進行安全認證。通過增加的安全認證來驗證用戶是否符合網(wǎng)絡(luò)的安全策略,保證只有安全的用戶才可以接入共用網(wǎng)絡(luò)。
文檔編號H04L9/32GK101018232SQ20071008651
公開日2007年8月15日 申請日期2007年3月12日 優(yōu)先權(quán)日2007年3月12日
發(fā)明者金亮, 李冬, 王博, 杜鳳山, 劉恒勝 申請人:杭州華為三康技術(shù)有限公司