專利名稱:數(shù)據(jù)交互的方法、系統(tǒng)及設(shè)備的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及通信技術(shù)領(lǐng)域����,尤其涉及一種數(shù)據(jù)交互的方法、系統(tǒng)及設(shè)備���。
背景技術(shù):
VPDN (Virtual Private Dial-up Network,虛擬私有撥號網(wǎng))是客戶端設(shè)備 通過ISDN (Integrated Service Digital Network,綜合業(yè)務(wù)凄t字網(wǎng))或PSTN (Public Switched Telephone Network,公眾電話交換網(wǎng))等有線通信網(wǎng)絡(luò)接入 公共網(wǎng)絡(luò)中�����,利用公共網(wǎng)絡(luò)中的虛擬專用隧道與企業(yè)內(nèi)部的服務(wù)器設(shè)備進行 連接����,從而形成的虛擬專用網(wǎng)絡(luò)�����。VPDN技術(shù)采用專用的網(wǎng)絡(luò)通信協(xié)議��,可 以在公共網(wǎng)絡(luò)上建立安全性和可靠性很高的虛擬專用網(wǎng)絡(luò)��。遠(yuǎn)端用戶(例如 企業(yè)駐外機構(gòu))可經(jīng)由建立在公共網(wǎng)絡(luò)上的虛擬專用網(wǎng)絡(luò)實現(xiàn)和企業(yè)總部之 間的網(wǎng)絡(luò)連接。
VPDN協(xié)議分為PPTP (Point to Point Tunneling Protocol,點對點隧道協(xié) i義)�、L2F( Layer 2 Forwarding Protocol , 二層轉(zhuǎn)發(fā)妨4義)和L2TP( Layer 2 tunnel protocol, 二層隧道協(xié)議)三種,目前使用最廣泛的是L2TP協(xié)議�����。L2TP協(xié)議 現(xiàn)有兩個版本�����,分別為RFC (Request For Comments,評定要求文件)2661 規(guī)定的L2TPv2 (L2TP version 2,第二版本L2TP)和RFC3931規(guī)定的L2TPv3 (L2TP version 3�����,第三版本L2TP)�。 L2TPv3的協(xié)議架構(gòu)和L2TPv2基本相同, 沒有實質(zhì)性區(qū)別�。
一種典型的L2TP應(yīng)用場景如圖1所示,包括客戶端設(shè)備���、LAC(L2TP access concentrator, L2TP訪問集中器)和LNS (L2TP network server ��, L2TP 網(wǎng)絡(luò)服務(wù)器)��??蛻舳嗽O(shè)備與LAC通過有線ISDN網(wǎng)連接,LAC與LNS通過 IP網(wǎng)絡(luò)連接�,LAC是L2TP運營商部署的設(shè)備,用于對L2TP業(yè)務(wù)進行集中 管理����,LNS為企業(yè)用戶部署的設(shè)備�����,連接了企業(yè)內(nèi)部私有網(wǎng)絡(luò)和企業(yè)外部的IP網(wǎng)絡(luò)�,用于通過LAC與合法的客戶端設(shè)備進行業(yè)務(wù)數(shù)據(jù)交互,使合法的客 戶端設(shè)備可以訪問企業(yè)內(nèi)部私有網(wǎng)絡(luò)中的資源��。
圖l所示的場景中���,首先����,LAC與通過ISDN網(wǎng)接入的客戶端設(shè)備進行 LCP (Link Control Protocol,鏈路控制協(xié)議)協(xié)商����,即建立與客戶端設(shè)備的數(shù) 據(jù)鏈路;數(shù)據(jù)鏈路建立成功后,客戶端設(shè)備通過數(shù)據(jù)鏈路向LAC發(fā)送用戶名 和密碼�,LAC對客戶端設(shè)備的用戶名和密碼進行認(rèn)證。具體的�,LAC預(yù)先在 本地記錄多條合法的用戶名和密碼,每條合法記錄包含一個用戶名和與該用 戶名匹配的密碼���,LAC將來自客戶端設(shè)備的用戶名和密碼與本地記錄進行比 較�����,若來自客戶端設(shè)備的用戶名和密碼符合本地的任意一條合法記錄�����,則LAC 判斷客戶端設(shè)備通過認(rèn)證����,即客戶端設(shè)備合法��。之后��,LAC根據(jù)客戶端設(shè)備 的用戶名查找客戶端^殳備對應(yīng)的LNS,并與該LNS建立L2TP隧道和L2TP 會話��。L2TP隧道和L2TP會話建立完成后����,LNS通過LAC與客戶端設(shè)備進 行IPCP (IP Control Protocol, IP控制協(xié)議)協(xié)商����,建立與客戶端設(shè)備的網(wǎng)絡(luò) 層連接����,建立成功后,若LNS信任LAC的認(rèn)證結(jié)果���,可以直接通過LAC與 客戶端設(shè)備進行業(yè)務(wù)數(shù)據(jù)交互�,但是���,企業(yè)出于網(wǎng)絡(luò)安全考慮,LNS —般不 會完全信任LAC對客戶端設(shè)備的認(rèn)證結(jié)果�����,而是對客戶端設(shè)備的合法性重新 進行認(rèn)證�����,即重新認(rèn)證客戶端設(shè)備的用戶名和密碼����。具體的����,LNS也在本地 記錄多條合法的用戶名和密碼信息���,每條合法記錄包含一個用戶名和與該用 戶名匹配的密碼�����,LNS要求LAC轉(zhuǎn)發(fā)客戶端設(shè)備的用戶名和密碼并將其與本 地記錄進行比較��,若來自LAC的客戶端設(shè)備的用戶名和密碼信息符合本地的 任意一條合法記錄��,則LNS判斷客戶端設(shè)備通過認(rèn)證��,即客戶端設(shè)備合法���, 認(rèn)證通過后,LNS就可以通過LAC與客戶端設(shè)備進行業(yè)務(wù)數(shù)據(jù)交互��。
隨著移動通信技術(shù)的發(fā)展����,3G (3rd Generation,第三代數(shù)字通信)等移 動通信網(wǎng)絡(luò)已經(jīng)成為應(yīng)用非常廣泛的客戶端接入方式����,L2TP技術(shù)完全可以與 移動通信網(wǎng)絡(luò)相結(jié)合�����,實現(xiàn)客戶端設(shè)備靈活����、快速地接入到企業(yè)用戶設(shè)備 LNS,通過LNS訪問企業(yè)內(nèi)部私有網(wǎng)絡(luò)。圖2所示是典型的L2TP技術(shù)與移 動通信網(wǎng)絡(luò)相結(jié)合的應(yīng)用場景�����,其中的客戶端設(shè)備和LAC支持移動通信協(xié)議 和移動通信接口�����,客戶端設(shè)備與LAC通過移動通信網(wǎng)絡(luò)進行連接�。具體的協(xié)商和認(rèn)-〖正過程與圖1所示的場景相同�����。
在實現(xiàn)本發(fā)明的過程中�,發(fā)明人發(fā)現(xiàn)現(xiàn)有技術(shù)存在以下問題 現(xiàn)有技術(shù)中�,出于網(wǎng)絡(luò)安全考慮�����,LNS—般不會完全信任LAC對客戶端 設(shè)備的認(rèn)證結(jié)果����,而是對客戶端設(shè)備的合法性重新進行認(rèn)證,即重新認(rèn)證客 戶端設(shè)備的用戶名和密碼����。雖然這種處理方式在一定程度上保證了企業(yè)內(nèi)部 數(shù)據(jù)安全,但是���,如果客戶端設(shè)備的用戶名和密碼外泄����,或者其它用戶采用 不合法手段獲取到合法的用戶名和密碼�����,就可以使用任意客戶端設(shè)備連接到 LNS上��,竊取企業(yè)私有網(wǎng)絡(luò)中的數(shù)據(jù)或是破壞企業(yè)內(nèi)部私有網(wǎng)絡(luò)����。因此�����,現(xiàn) 有的LNS對客戶端設(shè)備的認(rèn)證機制存在安全隱患�����,無法有效保護企業(yè)的數(shù)據(jù) 和網(wǎng)癥各安全�。
發(fā)明內(nèi)容
本發(fā)明提供了一種數(shù)據(jù)交互的方法��、系統(tǒng)及設(shè)備���,防止獲得了合法用戶 名和密碼的惡意用戶使用任意客戶端設(shè)備訪問企業(yè)內(nèi)部網(wǎng)絡(luò)���,有效的保護了 企業(yè)內(nèi)部的數(shù)據(jù)和網(wǎng)絡(luò)安全。
本發(fā)明提供了一種凝:據(jù)交互的方法����,應(yīng)用于包括LNS���、 LAC和客戶端i殳 備的系統(tǒng)中��,所述方法包括以下步驟
所述LNS接收來自所述LAC的所述客戶端設(shè)備的用戶名����、密碼和唯一標(biāo)
識;
所述LNS根據(jù)所ii^戶端設(shè)備的用戶名�����、密碼和唯一標(biāo)識判斷所述客戶 端設(shè)備是否合法�����,若判斷結(jié)果為所ii^戶端設(shè)備合法�,通過所述LAC與所述 客戶端設(shè)備進行業(yè)務(wù)數(shù)據(jù)交互,若判斷結(jié)果為所述客戶端設(shè)備不合法�����,拒絕 與所述客戶端設(shè)備的業(yè)務(wù)數(shù)據(jù)交互�。
其中,所述LNS接收來自所述LAC的所述客戶端設(shè)備的用戶名��、密碼和 唯一標(biāo)識之前��,還包括
所述LNS與所述LAC進行承載能力協(xié)商,才艮據(jù)來自對方的宣告承載能力 的AVP判斷對方是否能夠識別所述唯一標(biāo)識�,若協(xié)商結(jié)果為雙方都能夠識別 所述唯一標(biāo)識,所述LAC向所述LNS發(fā)送所述客戶端設(shè)備的用戶名��、密碼和唯一標(biāo)識��。
其中����,所述LNS根據(jù)所述客戶端設(shè)備的用戶名、密碼和唯一標(biāo)識判斷所
述客戶端設(shè)備是否合法包括
所述LNS將所述客戶端設(shè)備的用戶名����、密碼和唯一標(biāo)識與本地的合法的
用戶名、密碼和唯一標(biāo)識記錄進行比較���,若所述客戶端設(shè)備的用戶名��、密碼
和唯一標(biāo)識符合本地的任意一條合法記錄�,則判斷所述客戶端設(shè)備合法�,若
所述客戶端設(shè)備的用戶名、密碼和唯一標(biāo)識不符合本地的任意一條合法記錄�,
則判斷所述客戶端設(shè)備不合法。
其中��,所述LNS接收來自所述LAC的所述客戶端設(shè)備的用戶名����、密碼和
唯一標(biāo)識之前,還包括
所述LAC接收來自所述客戶端設(shè)備的用戶名����、密碼和唯一標(biāo)識;
所述LAC根據(jù)所述客戶端設(shè)備的用戶名和密碼判斷所述客戶端設(shè)備是否
合法�����,若判斷結(jié)果為所述客戶端設(shè)備合法�����,向所述LNS發(fā)送所述客戶端設(shè)備
的用戶名�����、密碼和唯一標(biāo)識��,若判斷結(jié)果為所述客戶端設(shè)備不合法���,斷開與
所述客戶端i殳備的連才妻�����。
其中���,所述客戶端設(shè)備的唯一標(biāo)識為所述客戶端設(shè)備的ESN和IMSI�。 其中���,所述LNS接收來自所述LAC的所述客戶端設(shè)備的唯一標(biāo)識包括 所述LNS接收來自所述LAC的L2TP會話協(xié)商消息�,所述ESN和IMSI
包含在所述L2TP會話協(xié)商消息的新增AVP中�����。
本發(fā)明提供了 一種LNS,應(yīng)用于包括LNS�、 LAC和客戶端設(shè)備的系統(tǒng)中, 包括接收單元����、判斷單元和處理單元,其中��,
所述接收單元�����,用于接收來自LAC的客戶端設(shè)備的用戶名、密碼和唯一 標(biāo)識����;�����;
所述判斷單元���,與所述接收單元連接���,用于根據(jù)所述接收單元接收的客 戶端設(shè)備的用戶名、密碼和唯一標(biāo)識判斷所述客戶端設(shè)備是否合法���;
所述處理單元�,與所述判斷單元連接��,用于若所述判斷單元的判斷結(jié)果 為是����,通過所述LAC與所述客戶端設(shè)備進行業(yè)務(wù)數(shù)據(jù)交互。其中����,還包括
協(xié)商單元���,與所述接收單元連接,用于與所述LAC進行承載能力協(xié)商��, 根據(jù)來自所述LAC的宣告承栽能力的AVP判斷所述LAC是否能夠識別所述 唯一標(biāo)識���,若協(xié)商結(jié)果為雙方都能夠識別所述唯一標(biāo)識���,啟動所述接收單元 等待接收來自所述LAC的客戶端設(shè)備的用戶名、密碼和唯一標(biāo)識�����。
其中�,所述判斷單元,具體用于將所述客戶端設(shè)備的用戶名��、密碼和唯 一標(biāo)識與本地的合法的用戶名�、密碼和唯一標(biāo)識記錄進行比較,若所述客戶 端設(shè)備的用戶名���、密碼和唯一標(biāo)識符合本地的任意一條合法記錄���,則判斷所 述客戶端設(shè)備合法�,若所述客戶端設(shè)備的用戶名����、密碼和唯一標(biāo)識不符合本 地的任意一條合法記錄,則判斷所述客戶端設(shè)備不合法��。
其中���,所述處理單元,還用于若所述判斷單元的判斷結(jié)果為否���,拒絕與 所述客戶端設(shè)備的業(yè)務(wù)數(shù)據(jù)交互����。
其中�,所述客戶端設(shè)備的唯一標(biāo)識為所述客戶端設(shè)備的ESN和IMSI,
則所述接收單元,具體用于接收來自所述LAC的L2TP會話協(xié)商消息�����, 所述ESN和IMSI包含在所述L2TP會話協(xié)商消息的新增AVP中����;
則所述判斷單元�,具體用于根據(jù)所述接收單元接收的客戶端設(shè)備的用戶 名�、密碼、ESN和IMSI判斷所述客戶端設(shè)備是否合法�����。
本發(fā)明提供了 一種LAC �����,應(yīng)用于包括LNS ��、 LAC和客戶端設(shè)備的系統(tǒng)中��, 包括接收單元�����、判斷單元和處理單元����,其中,
所述接收單元���,用于接收來自所述客戶端設(shè)備的用戶名����、密碼和唯一標(biāo)
識;
所述判斷單元�����,與所述接收單元連接���,用于根據(jù)所述接收單元接收的客 戶端設(shè)備的用戶名和密碼判斷所述客戶端設(shè)備是否合法�����;
所述處理單元,與所述判斷單元和所述接收單元分別連接����,用于若所述 判斷單元的判斷結(jié)果為是,向所述LNS發(fā)送所述接收單元接收的客戶端設(shè)備 的用戶名�、密碼和唯一標(biāo)識,若所述判斷單元的判斷結(jié)果為否�����,斷開與所述 客戶端設(shè)備的連接。其中�����,還包括
協(xié)商單元���,與所述處理單元連接���,用于與所述LNS進行承載能力協(xié)商, 根據(jù)來自所述LNS的宣告承載能力的AVP判斷所述LNS是否能夠識別所述 唯一標(biāo)識�����,若協(xié)商結(jié)果為雙方都能夠識別所述唯一標(biāo)識���,啟動所述處理單元 向所述LNS發(fā)送所述客戶端設(shè)備的用戶名����、密碼和唯一標(biāo)識����。
其中,所述客戶端設(shè)備的唯一標(biāo)識為所述客戶端設(shè)備的ESN和IMSI, 則所述接收單元�,具體用于接收來自所述客戶端設(shè)備的用戶名、密碼��、 ESN和IMSI;
所述處理單元����,具體用于若所述判斷單元的判斷結(jié)果為是,向所述LNS 發(fā)送L2TP會話協(xié)商消息����,所述ESN和IMSI包含在所述L2TP會話協(xié)商消息 的新增AVP中。
本發(fā)明中��,LNS根據(jù)客戶端設(shè)備的用戶名�����、密碼和唯一標(biāo)識對客戶端設(shè) 備進行認(rèn)證�����,只有當(dāng)客戶端設(shè)備的用戶名��、密碼和唯一標(biāo)識均與合法記錄匹 配時����,LNS才與客戶端設(shè)備進行業(yè)務(wù)數(shù)據(jù)交互,從而防止獲得了合法用戶名 和密碼的惡意用戶使用任意客戶端設(shè)備訪問企業(yè)內(nèi)部網(wǎng)絡(luò)����,有效的保護了企 業(yè)內(nèi)部的數(shù)據(jù)和網(wǎng)絡(luò)安全。
圖1是現(xiàn)有技術(shù)中一種L2TP應(yīng)用場景示意圖���; 圖2是現(xiàn)有技術(shù)中一種L2TP應(yīng)用場景示意圖����; 圖3是本發(fā)明中一種數(shù)據(jù)交互方法流程圖�����; 圖4是本發(fā)明中一種數(shù)據(jù)交互方法流程圖���; 圖5是本發(fā)明中一種數(shù)據(jù)交互方法流程圖�����; 圖6是本發(fā)明中一種實現(xiàn)數(shù)據(jù)交互的系統(tǒng)結(jié)構(gòu)圖�; 圖7是本發(fā)明中 一種LNS結(jié)構(gòu)圖��; 圖8是本發(fā)明中 一種LAC結(jié)構(gòu)圖。
具體實施例方式
本發(fā)明主要提供了一種數(shù)據(jù)交互的方法�,主要思路是LNS根據(jù)客戶端 設(shè)備的用戶名、密碼和唯一標(biāo)識對客戶端設(shè)備進行認(rèn){正�,只有當(dāng)客戶端設(shè)備 的用戶名、密碼和唯一標(biāo)識均與合法記錄匹配時��,LNS才與客戶端設(shè)備進行 業(yè)務(wù)數(shù)據(jù)交互���,從而防止獲得了合法用戶名和密碼的惡意用戶使用了任意客 戶端設(shè)備訪問企業(yè)內(nèi)部網(wǎng)絡(luò)�,有效的保護了企業(yè)內(nèi)部的數(shù)據(jù)和網(wǎng)絡(luò)安全�。
本發(fā)明提出了一種數(shù)據(jù)交互的方法,應(yīng)用于包括LNS��、 LAC和客戶端設(shè) 備的系統(tǒng)中�,所述方法如圖3所示,包括以下步驟
步驟301 �, LNS接收來自LAC的客戶端設(shè)備的用戶名、密碼和唯一標(biāo)識����。 具體的,客戶端設(shè)備的唯一標(biāo)識可以包含在L2TP會話協(xié)商消息中���,客戶端設(shè) 備的唯一標(biāo)識可以為客戶端設(shè)備的ESN ( Electronic Serial Number,電子序列 號)和IMSI (International Mobile Subscriber Identifier,國際移動用戶標(biāo)識), 攜帶ESN和IMSI的可以為L2TP ^S舌協(xié)商消息,進一步的����,可以為ICRQ (Incoming Call Request,傳入呼叫請求)消息或OCRP( Outcoming Call Reply, 傳出呼叫響應(yīng))消息,ESN和IMSI具體可以包含在ICRQ消息或OCRP消息 的新增AVP (Attribute Value Pair,屬性值對)中����。
在步驟301之前,還可以包括LAC接收來自客戶端設(shè)備的用戶名����、密 碼和唯一標(biāo)識;LAC根據(jù)客戶端設(shè)備的用戶名和密碼判斷客戶端設(shè)備是否合 法��,若判斷結(jié)果為所述客戶端設(shè)"法���,向所述LNS發(fā)送客戶端設(shè)備的用戶 名��、密碼和唯一標(biāo)識��。
在步驟301之前���,還可以包括LNS與LAC進行承載能力協(xié)商,根據(jù)來 自對方的宣告承載能力的AVP判斷對方是否能夠識別唯一標(biāo)識���,若協(xié)商結(jié)果 為雙方都能夠識別唯一標(biāo)識�����,LAC向LNS發(fā)送客戶端設(shè)備的用戶名����、密碼和 唯一標(biāo)識。
步驟302�����, LNS根據(jù)客戶端設(shè)備的用戶名�����、密碼和唯一標(biāo)識判斷客戶端i殳 備是否合法����,若判斷結(jié)果為客戶端設(shè)備合法,通過LAC與客戶端設(shè)備進行業(yè) 務(wù)數(shù)據(jù)交互�����,若判斷結(jié)果為客戶端設(shè)備不合法���,拒絕與客戶端設(shè)備的業(yè)務(wù)數(shù) 據(jù)交互�����。具體的�����,LNS將客戶端設(shè)備的用戶名��、密碼和唯一標(biāo)識與本地的合法的 用戶名�����、密碼和唯一標(biāo)識記錄進行比較�,若客戶端設(shè)備的用戶名���、密碼和唯 一標(biāo)識符合本地的任意一條合法記錄���,則判斷客戶端設(shè)備合法,若客戶端設(shè) 備的用戶名�����、密碼和唯一標(biāo)識不符合本地的任意一條合法記錄,則判斷客戶 端設(shè)備不合法�����。
具體的����,本發(fā)明提出了一種數(shù)據(jù)交互的方法,應(yīng)用于包括LNS�����、 LAC和 客戶端設(shè)備的系統(tǒng)中��,所述方法如圖4所示���,包括以下步驟
步驟401����, LAC接收來自客戶端設(shè)備的用戶名�、密碼和唯一標(biāo)識。
具體的���,LAC需要與客戶端設(shè)備進行LCP協(xié)商��,即建立與客戶端設(shè)備的 數(shù)據(jù)鏈路����,并通過數(shù)據(jù)鏈路接收客戶端設(shè)備的用戶名、密碼和唯一標(biāo)識�����???戶端設(shè)備的唯一標(biāo)識為可以唯一標(biāo)識客戶端設(shè)備身份的任何標(biāo)識或標(biāo)識組 合�。例如,客戶端設(shè)備是支持3G接口的路由器�����,則客戶端的唯一標(biāo)識可以為 該路由器的ESN和IMSI�。
步驟402, LAC根據(jù)所述客戶端設(shè)備的用戶名和密碼判斷所述客戶端設(shè) 備是否合法,若判斷結(jié)果為是�����,轉(zhuǎn)步驟403�����,若判斷結(jié)果為否,轉(zhuǎn)步驟407����。
具體的,LAC會在本地記錄多條合法的用戶名和密碼記錄�����,每條合法記 錄包含一個用戶名和與該用戶名匹配的密碼���,LAC將來自客戶端設(shè)備的用戶 名和密碼與本地的記錄進行比較�����,若來自客戶端設(shè)備的用戶名和密碼符合本 地的任意一條合法記錄�,則LAC判斷客戶端設(shè)備通過認(rèn)證����,即客戶端設(shè)^^ 法,若來自客戶端設(shè)備的用戶名和密碼不符合本地的任意一條合法記錄�����,則 LAC判斷客戶端設(shè)備不合法。
步驟403��, LAC才艮據(jù)客戶端設(shè)備的用戶名查找對應(yīng)的LNS,并與該LNS 建立L2TP隧道�����。
具體的�,LAC會在本地記錄用戶名和LNS設(shè)備地址的對應(yīng)關(guān)系,LAC 會根據(jù)該對應(yīng)關(guān)系查找對應(yīng)的LNS設(shè)備�����,獲取到LNS設(shè)備地址后��,LAC會 通過公共網(wǎng)絡(luò)與LNS設(shè)備建立L2TP隧道��。
步驟404�����, LAC通過L2TP隧道向LNS發(fā)送包含客戶端設(shè)備的用戶名����、密碼和唯一標(biāo)識�����。
具體的,LAC可以將客戶端設(shè)備的唯一標(biāo)識攜帶在L2TP會話協(xié)商消息 中發(fā)送給LNS��。還以客戶端設(shè)備是支持3G接口的路由器為例����,客戶端設(shè)備的 唯一標(biāo)識是該路由器的ESN和IMSI。若L2TP會話協(xié)商是由LAC發(fā)起的�, 根據(jù)L2TP會話協(xié)商流程,則LAC需要將ESN和IMSI攜帶在ICRQ消息中 發(fā)送給LNS�����,若L2TP會話協(xié)商是由LNS發(fā)起的�,則LAC需要將ESN和IMSI 攜帶在OCRP消息中發(fā)送給LNS。進一步的�����,LAC可以將客戶端設(shè)備的ESN 和IMSI攜帶在ICRQ消息或OCRP消息的新增AVP中���。
步驟405���, LNS根據(jù)所述客戶端設(shè)備的用戶名�、密碼和唯一標(biāo)識判斷所述 客戶端設(shè)備是否合法�����。若判斷結(jié)果為是�,轉(zhuǎn)步驟406,若判斷結(jié)果為否,轉(zhuǎn)步 驟408�。
具體的,LNS會在本地記錄多條合法的用戶名�、密碼和唯一標(biāo)識記錄, 每條合法記錄包含一個用戶名和與該用戶名匹配的密碼和唯一標(biāo)識��,LNS將 客戶端設(shè)備的用戶名�����、密碼和唯一標(biāo)識與本地記錄的合法的用戶名����、密碼和 唯一標(biāo)識記錄進行比較����,若客戶端設(shè)備的用戶名、密碼和唯一標(biāo)識符合本地 的任意一條合法記錄�����,則判斷客戶端設(shè)備合法,若客戶端設(shè)備的用戶名��、密 碼和唯一標(biāo)識不符合本地的任意一條合法記錄��,則判斷客戶端設(shè)備不合法��。
步驟406����, LNS通過LAC與客戶端設(shè)備進行業(yè)務(wù)數(shù)據(jù)交互,流程結(jié)束���。 步驟407����, LAC斷開與客戶端設(shè)備的連接�,流程結(jié)束。 步驟408�����, LNS刪除與LAC間建立的L2TP會話�,拒絕與客戶端設(shè)備進 行業(yè)務(wù)數(shù)據(jù)交互��。
具體的�,本發(fā)明提出了一種數(shù)據(jù)交互的方法����,應(yīng)用于包括LNS、 LAC和 客戶端設(shè)備的系統(tǒng)中���,LAC與客戶端設(shè)備通過3G網(wǎng)絡(luò)連接�����,LNS與LAC通 過公共網(wǎng)絡(luò)連接����,在LAC與LNS建立L2TP隧道的過程中����,會通過L2TP控 制協(xié)商消息進行移動網(wǎng)絡(luò)承載能力協(xié)商���,若雙方都可以識別客戶端設(shè)備的 ESN和IMSI��, LAC將客戶端設(shè)備的用戶名���、密碼���、ESN和IMSI攜帶在L2TP 會話協(xié)商消息中發(fā)送給LNS,由LNS對客戶端設(shè)備進行認(rèn)證�,并且,給出了宣告承載能力的L2TP控制協(xié)商消息和攜帶ESN和IMSI的L2TP會話協(xié)商消 息的具體形式�,所述方法如圖5所示,包括以下步驟
步驟501, LAC通過3G網(wǎng)絡(luò)接收來自所述客戶端設(shè)備的用戶名���、密碼��、 ESN和IMSI����。
步驟502, LAC根據(jù)客戶端設(shè)備的用戶名和密碼判斷客戶端設(shè)備是否合 法����,若判斷結(jié)果為是,轉(zhuǎn)步驟503��,若判斷結(jié)果為否����,轉(zhuǎn)步驟507����。
步驟503�����, LAC與LNS進行承載能力協(xié)商�����,若LAC和LNS都可以識別 客戶端設(shè)備的ESN和IMSI,轉(zhuǎn)步驟504����,若LAC和LNS其中任何一方不能 傳輸或識別客戶端設(shè)備的ESN和IMSI,轉(zhuǎn)步驟508�����。
現(xiàn)有技術(shù)中�,RFC2661中對L2TP協(xié)議中的AVP格式定義如下
0 12 3
01234567890123456789012345678901
|M|H| rsvd I Length | Vendor ID |
I Attribute Type 1 Attribute Value...-,. |
+——+_+—+—+-+—+—+——+—+_+_—+_+—+——+—+_+—+——+—+_+—+—+—+—+—+—+—+
其中,各主要字段含義如下
Mandatory (M)比特位若置1,表示如果在L2TP控制協(xié)商或L2TP會 話協(xié)商過程中接收到不可識別的AVP��,則終結(jié)L2TP控制協(xié)商或L2TP會話協(xié) 商�;若置0�,表示如果在L2TP控制協(xié)商或L2TP會話協(xié)商過程中接收到不可 識別的AVP,忽略該不可識別的AVP,繼續(xù)進行L2TP控制協(xié)商或L2TP會話 協(xié)商�����。
Hidden (H)比特位若置1,表示AVP中的屬性值(Attribute Value)字段 將以密文方式進行傳輸���;若置O,表示AVP中的屬性值(AttributeValue)字段將 以明文方式進行傳輸。
Length字段長度字段�,表示AVP總字節(jié)數(shù),即從"M"比特位開始到 屬性值(Attribute Value)字段的長度��。Length字段最小值為6��,即從"M"比 特到屬性類型(Attribute Type )字段的長度�����。
Vendor ID字段廠商標(biāo)識字段����,表示AVP的實現(xiàn)廠商。若AVP是RFC 中所定義的�����,則該字^:為0。Attribute Type字段屬性類型字段�,表示AVP的屬性類型。該字段的長 度為2字節(jié)�����。
Attribute Value字段屬性值字段�,表示AVP的屬性值。 進一步的���,RFC2661中規(guī)定了在用于宣告承載能力的AVP的Attribute Type字段值為4���, Attribute Value字萃殳值如下
0 12 3
01234567890123456789012345678901
I Reserved for future bearer type definitions |A|D| +—+—+—+—+—+—+_+——+-+——+———+——+——+_+—+————_——+——+_—+
其中,"A"比特置1表示宣告承載模擬呼叫(即可以識別PSTN網(wǎng)的相 關(guān)標(biāo)識)�,"D"比特置1表示宣告承載數(shù)字呼叫(即可以識別ISDN網(wǎng)的相關(guān) 標(biāo)識)。
本發(fā)明中�����,對用于宣告承載能力的AVP的Attribute Value字段進行了擴 展�����,擴展為
0 ■ 1 2 3
01234567890123456789012345678901
+—+—+—+-+—+—+—+———+—+—+-+—+—+—+—+—+—+—+—+—+—+-+—+—+—+—+—+—+_+—+
1 Reserved for future bearer type definitions G|A|D|
該擴展報文中啟用右數(shù)第3個比特位一"G"比特位�����,具體的,"G"比 特置1表示宣告承載移動呼叫(即可以識別移動通信網(wǎng)絡(luò)的相關(guān)標(biāo)識��,例如 ESN和IMSI )�����。
LAC在與LNS建立L2TP隧道過程中����,可以分別將擴展后的宣告承栽能 力的AVP攜帶在L2TP控制協(xié)商消息發(fā)送給對方�,若雙方的G比特位值都為 1 。則表示LAC和LNS都可以識別客戶端設(shè)備ESN和IMSI���,若雙方的G比 特位值不都為1,則表示有一方或雙方都不能傳輸或識別客戶端設(shè)備ESN和 IMSI�����。
步驟504 ��, LAC通過L2TP隧道向LNS發(fā)送包含客戶端設(shè)備的ESN和IMSI 的L2TP會活協(xié)商消息��,并通過L2TP隧道向LNS發(fā)i^戶端設(shè)備的用戶名 和密碼����。
具體的,若L2TP會話協(xié)商是由LAC發(fā)起的�,則LAC需要將ESN和IMSI 攜帶在ICRQ消息中,若L2TP會話協(xié)商是由LNS發(fā)起的�����,則LAC需要將 ESN和IMSI攜帶在OCRP消息中����。進一步的,LAC將客戶端設(shè)備的ESN和IMSI攜帶在ICRQ消息或OCRP消息的新增AVP中�。
具體的,新增的攜帶ESN的AVP的Attribute Type字段值為81, M比特 位設(shè)置為1����,以指示LNS必須對ESN進行識別和-瞼證,H比特位可以設(shè)置為 0, Attribute Value字革史格式如下
0 12 3
01234567890123456789012345678901 '
+———————+———+—+-+—+-+—+———+-+——+—+—-+—+—+—+—+_+—+_+—
I ESN (arbitrary number of octets) I
+_+——+—+—+_+_+—+—+——+_+_+_+_+_+—+—+_+_+—+—+—+—+——+—+_+—_+_+_+
其中��,ESN可以采用ASCII字符串形式�。
具體的,新增的攜帶IMSI的AVP的Attribute Type字段值為82�����, M比特 位設(shè)置為1,以指示LNS必須對IMSI進行識別和驗證����,H比特位設(shè)置為O, Attribute Value字#爻格式如下
0■ 1 2 3
01234567890123456789012345678901
+—+—+—+一+—+_+—一+—+—+_+_+—_+——+_+—+_+—+_+——+—+—+—+—+—+_+—+_+—+
I IMSI (arbitrary number of octets) | +—+—+——+_+—+—+—+—+—+—+—+—+—+—+—+—+_+—+—+—+—+—+—+—+—+-+—+—+—+_+—+
其中�����,IMSI可以采用ASCII字符串形式�����。
步驟505 �, LNS根據(jù)客戶端設(shè)備的用戶名����、密碼、ESN和IMSI判斷客戶 端設(shè)備是否合法�����,若判斷結(jié)果為是��,轉(zhuǎn)步驟506�����,若判斷結(jié)果為否,轉(zhuǎn)步驟 509����。
具體的,LNS會在本地記錄多條合法的用戶名��、密碼���、ESN和IMSI記錄�, 每條合法記錄包含一個用戶名和與該用戶名匹配的密碼��、ESN和IMSI, LNS 將客戶端設(shè)備的用戶名���、密碼���、ESN和IMSI與本地的合法的用戶名、密碼�、 ESN和IMSI記錄進行比較,若客戶端設(shè)備的用戶名����、密碼��、ESN和IMSI符 合本地的任意一條合法記錄�����,則判斷客戶端設(shè)備合法�,若客戶端設(shè)備的用戶 名���、密碼���、ESN和IMSI不符合本地的任意一條合法記錄�����,則判斷客戶端i殳備 不合法�。
步驟506, LNS通過LAC與客戶端設(shè)備進行業(yè)務(wù)數(shù)據(jù)交互��,流程結(jié)束���。 步驟507���, LAC斷開與客戶端設(shè)備的3G網(wǎng)絡(luò)連接����,流程結(jié)束�����。 步驟508��, LAC只向LNS轉(zhuǎn)發(fā)的客戶端設(shè)備的用戶名和密碼�����,LNS根據(jù)
客戶端設(shè)備的用戶名和密碼對客戶端設(shè)備進行認(rèn)證�,并根據(jù)認(rèn)證結(jié)果進行相
應(yīng)處理,流程結(jié)束�。步驟509, LNS刪除與LAC間建立的L2TP會話,拒絕與客戶端設(shè)備的 業(yè)務(wù)數(shù)據(jù)交互��。
圖6為本發(fā)明方法對應(yīng)的數(shù)據(jù)交互系統(tǒng)�����,包括LNS 601���、 LAC 602和客戶 端設(shè)備603���,其中�,
LNS 601,與LAC 602連接���,用于接收來自LAC 602的客戶端設(shè)備603 的用戶名��、密碼和唯一標(biāo)識�;根據(jù)客戶端設(shè)備603的用戶名���、密碼和唯一標(biāo) 識判斷客戶端設(shè)備603是否合法���,若判斷結(jié)果為客戶端設(shè)備603合法,通過 LAC 602與客戶端設(shè)備603進行業(yè)務(wù)數(shù)據(jù)交互�,若判斷結(jié)果為客戶端設(shè)備603 不合法����,拒絕與客戶端設(shè)備603的業(yè)務(wù)數(shù)據(jù)交互。具體的��,LNS601將客戶端 設(shè)備603的用戶名�����、密碼和唯一標(biāo)識與本地的合法用戶名、密碼和唯一標(biāo)識 記錄進行比較�,若客戶端設(shè)備603的用戶名、密碼和唯一標(biāo)識符合本地的任 意一條合法記錄����,則判斷客戶端設(shè)備603合法,若客戶端設(shè)備603的用戶名����、 密碼和唯一標(biāo)識不符合本地的任意一條合法記錄,則判斷客戶端設(shè)備603不 合法�。
LAC 602,與客戶端設(shè)備603連接�,用于接收來自客戶端設(shè)備603的用戶 名、密碼和唯一標(biāo)識�����;根據(jù)客戶端設(shè)備603的用戶名和密碼判斷客戶端設(shè)備 603是否合法��,若判斷結(jié)果為客戶端設(shè)備603合法�����,向LNS 601發(fā)送客戶端設(shè) 備的用戶名、密碼和唯一標(biāo)識�,若判斷結(jié)果為客戶端設(shè)備603不合法,斷開 與客戶端設(shè)備603的連接����。
其中,客戶端設(shè)備603的唯一標(biāo)識可以為客戶端設(shè)備603的ESN和IMSI�����。 LAC 602可以將ESN和IMSI攜帶在L2TP會話協(xié)商消息中發(fā)送給LNS����。
圖7為本發(fā)明方法對應(yīng)的LNS,應(yīng)用于包括LNS、 LAC和客戶端設(shè)備的 系統(tǒng)中���,包括接收單元701�、判斷單元702和處理單元703����,其中���,
接收單元701���,用于接收來自LAC的客戶端設(shè)備的用戶名�����、密碼和��。舉一 標(biāo)識��。具體的�,若客戶端設(shè)備的唯一標(biāo)識為客戶端設(shè)備的ESN和IMSI����,接收 單元701,用于接收來自LAC的L2TP會話協(xié)商消息�,客戶端設(shè)備的ESN和IMSI包含在L2TP會話協(xié)商消息的新增AVP中。
判斷單元702,與接收單元701連接����,用于根據(jù)接收單元701接收的客戶 端設(shè)備的用戶名、密碼和唯一標(biāo)識判斷客戶端設(shè)備是否合法�����。具體的�,判斷 單元702,用于將客戶端設(shè)備的用戶名、密碼和唯一標(biāo)識與本地的合法用戶名�、 密碼和唯一標(biāo)識記錄進行比較,若客戶端設(shè)備的用戶名���、密碼和唯一標(biāo)識符 合本地的任意一條合法記錄�,則判斷客戶端設(shè)備合法�����,若客戶端設(shè)備的用戶 名��、密碼和唯一標(biāo)識不符合本地的任意一條合法記錄��,則判斷客戶端設(shè)備不 合法����。具體的,若客戶端設(shè)備的唯一標(biāo)識為客戶端設(shè)備的ESN和IMSI�,判斷 單元702,用于根據(jù)客戶端設(shè)備的用戶名���、密碼�����、ESN和IMSI判斷客戶端設(shè) 備是否合法��。
處理單元703,與判斷單元702連接�,用于若判斷單元702的判斷結(jié)果為 是�����,通過LAC與客戶端設(shè)備進行業(yè)務(wù)數(shù)據(jù)交互��;若判斷單元702的判斷結(jié)果 為否��,拒絕與客戶端設(shè)備的業(yè)務(wù)數(shù)據(jù)交互���。
進一步的���,LNS還可以包括協(xié)商單元704,
協(xié)商單元704��,與接收單元701連接����,用于與LAC進行承載能力協(xié)商, 根據(jù)來自LAC的宣告承載能力的AVP判斷LAC是否能夠識別唯一標(biāo)識�,若 協(xié)商結(jié)果為雙方都能夠識別唯一標(biāo)識����,啟動接收單元701等待接收來自LAC 的客戶端設(shè)備的用戶名����、密碼和唯一標(biāo)識。
圖8為本發(fā)明方法對應(yīng)的LAC,應(yīng)用于包括LNS��、 LAC和客戶端設(shè)備的 系統(tǒng)中�,包括接收單元801、判斷單元802和處理單元803���,其中��,
接收單元801,用于接收來自客戶端設(shè)備的用戶名�、密碼和唯一標(biāo)識��。具 體的�,若客戶端設(shè)備的唯一標(biāo)識為客戶端設(shè)備的ESN和IMSI,接收單元801 ���, 用于接收來自客戶端設(shè)備的用戶名�、密碼����、ESN和IMSI��。
判斷單元802�,與接收單元801連接����,用于根據(jù)接收單元801接收的客戶 端設(shè)備的用戶名和密碼判斷客戶端設(shè)備是否合法��。
處理單元803��,與判斷單元802和接收單元801分別連接��,用于若判斷單 元802的判斷結(jié)果為是����,向LNS發(fā)送接收單元801接收的客戶端設(shè)備的用戶名、密碼和唯一標(biāo)識�;若判斷單元802的判斷結(jié)果為否,斷開與客戶端設(shè)備 的連接����。具體的,若客戶端設(shè)備的唯一標(biāo)識為客戶端設(shè)備的ESN和IMSI�����,處-理單元803,用于若所述判斷單元的判斷結(jié)果為是,向LNS發(fā)送L2TP會話 協(xié)商消息�,接收單元801接收的ESN和IMSI包含在L2TP會話協(xié)商消息的 新增AVP中。
進一步的�,LNS還可以包括協(xié)商單元804,
協(xié)商單元804���,與處理單元803連接���,用于與LNS進行承載能力協(xié)商, 根據(jù)來自LNS的宣告承載能力的AVP判斷LNS是否能夠識別唯一標(biāo)識���,若 協(xié)商結(jié)果為雙方都能夠識別唯一標(biāo)識���,啟動處理單元803向LNS發(fā)送客戶端 設(shè)備的用戶名、密碼和唯一標(biāo)識�����。
本發(fā)明中���,LNS根據(jù)客戶端設(shè)備的用戶名��、密碼和唯一標(biāo)識對客戶端設(shè) 備進行認(rèn)證��,只有當(dāng)客戶端設(shè)備的用戶名���、密碼和唯一標(biāo)識均與合法記錄匹 配時�,LNS才與客戶端設(shè)備進行業(yè)務(wù)數(shù)據(jù)交互����,從而防止獲得了合法用戶名 和密碼的惡意用戶使用了任意客戶端設(shè)備訪問企業(yè)內(nèi)部網(wǎng)絡(luò)��,有效的保護了 企業(yè)內(nèi)部的數(shù)據(jù)和網(wǎng)絡(luò)安全。
通過以上的實施方式的描述����,本領(lǐng)域的技術(shù)人員可以清楚地了解到本 發(fā)明可借助軟件加必需的通用硬件平臺的方式來實現(xiàn)����,當(dāng)然也可以通過硬一 件,但很多情況下前者是更佳的實施方式���?�;谶@樣的理解��,本發(fā)明的技 術(shù)方案本質(zhì)上或者說對現(xiàn)有技術(shù)做出貢獻的部分可以以軟件產(chǎn)品的形式體 現(xiàn)出來����,該計算機軟件產(chǎn)品存儲在一個存儲介質(zhì)中,包括若干指令用以使 得一臺計算機設(shè)備(可以是個人計算機��,服務(wù)器���,或者網(wǎng)絡(luò)設(shè)備等)執(zhí)行 本發(fā)明所述的方法����。
本領(lǐng)域技術(shù)人員可以理解附圖只是一個優(yōu)選實施例的示意圖���,附圖中 的模塊或流程并不一定是實施本發(fā)明所必須的���。
本領(lǐng)域技術(shù)人員可以理解本發(fā)明中的裝置中的模塊可以按照實施例描 述進行分布于實施例的裝置中,也可以進行相應(yīng)變化位于不同于本實施例的一個或多個裝置中���。上述實施例的模塊可以合并為一個模塊�,也可以進 一步拆分成多個子模塊����。
以上公開的僅為本發(fā)明的幾個具體實施例����,但是����,本發(fā)明并非局限于 此,任何本領(lǐng)域的技術(shù)人員能思之的變化都應(yīng)落入本發(fā)明的保護范圍���。
權(quán)利要求
1��、一種數(shù)據(jù)交互的方法��,應(yīng)用于包括LNS、LAC和客戶端設(shè)備的系統(tǒng)中����,其特征在于,所述方法包括以下步驟所述LNS接收來自所述LAC的所述客戶端設(shè)備的用戶名�、密碼和唯一標(biāo)識;所述LNS根據(jù)所述客戶端設(shè)備的用戶名�����、密碼和唯一標(biāo)識判斷所述客戶端設(shè)備是否合法,若判斷結(jié)果為所述客戶端設(shè)備合法�����,通過所述LAC與所述客戶端設(shè)備進行業(yè)務(wù)數(shù)據(jù)交互��,若判斷結(jié)果為所述客戶端設(shè)備不合法��,拒絕與所述客戶端設(shè)備的業(yè)務(wù)數(shù)據(jù)交互���。
2����、 如權(quán)利要求1所述的方法�,其特征在于,所述LNS接收來自所述LAC 的所述客戶端設(shè)備的用戶名��、密碼和唯一標(biāo)識之前�,還包括所述LNS與所述LAC進行承載能力協(xié)商,根據(jù)來自對方的宣告承載能力 的AVP判斷對方是否能夠識別所述唯一標(biāo)識�,若協(xié)商結(jié)果為雙方都能夠識別 所述唯一標(biāo)識,所述LAC向所述LNS發(fā)送所述客戶端設(shè)備的用戶名����、密碼和 唯一標(biāo)識��。
3��、 如權(quán)利要求l所述的方法��,其特征在于����,所述LNS根據(jù)所述客戶端設(shè) 備的用戶名����、密碼和唯一標(biāo)識判斷所述客戶端設(shè)備是否合法包括所述LNS將所述客戶端設(shè)備的用戶名、密碼和唯一標(biāo)識與本地的合法的 用戶名����、密碼和唯一標(biāo)識記錄進行比較,若所述客戶端設(shè)備的用戶名����、密碼 和唯一標(biāo)識符合本地的任意一條合法記錄����,則判斷所述客戶端設(shè)備合法,若 所述客戶端設(shè)備的用戶名����、密碼和唯一標(biāo)識不符合本地的任意一條合法記錄�, 則判斷所述客戶端i殳備不合法�。
4、 如權(quán)利要求1所述的方法��,其特征在于�,所述LNS接收來自所述LAC 的所述客戶端設(shè)備的用戶名、密碼和唯一標(biāo)識之前�����,還包括所述LAC接收來自所述客戶端設(shè)備的用戶名���、密碼和唯一標(biāo)識�����; 所述LAC根據(jù)所述客戶端設(shè)備的用戶名和密碼判斷所述客戶端設(shè)備是否 合法����,若判斷結(jié)果為所述客戶端設(shè)備合法���,向所述LNS發(fā)送所述客戶端設(shè)備 的用戶名��、密碼和唯一標(biāo)識���,若判斷結(jié)果為所述客戶端設(shè)備不合法����,斷開與所述客戶端設(shè)備的連接�����。
5����、 如權(quán)利要求1至4中任一項所述的方法,其特征在于����,所述客戶端設(shè) 備的唯一標(biāo)識為所述客戶端設(shè)備的ESN和IMSI。
6�、 如權(quán)利要求5所述的方法,其特征在于�����,所述LNS接收來自所述LAC 的所述客戶端設(shè)備的唯一標(biāo)識包括所述LNS接收來自所述LAC的L2TP會話協(xié)商消息����,所述ESN和IMSI 包含在所述L2TP會話協(xié)商消息的新增AVP中。
7��、 一種LNS��,應(yīng)用于包括LNS�����、 LAC和客戶端設(shè)備的系統(tǒng)中�����,其特征 在于��,包括接收單元����、判斷單元和處理單元,其中�����,所述接收單元�����,用于接收來自LAC的客戶端設(shè)備的用戶名、密碼和唯一 標(biāo)識����;所述判斷單元,與所述接收單元連接�,用于根據(jù)所述接收單元接收的客 戶端設(shè)備的用戶名、密碼和唯一標(biāo)識判斷所述客戶端設(shè)備是否合法��;所述處理單元����,與所述判斷單元連接,用于若所述判斷單元的判斷結(jié)果 為是��,通過所述LAC與所述客戶端設(shè)備進行業(yè)務(wù)數(shù)據(jù)交互��,若所述判斷單元 的判斷結(jié)果為否��,拒絕與所述客戶端設(shè)備的業(yè)務(wù)數(shù)據(jù)交互���。
8�����、 如權(quán)利要求7所述的LNS����,其特征在于�,還包括協(xié)商單元,與所述接收單元連接�,用于與所述LAC進行承載能力協(xié)商, 根據(jù)來自所述LAC的宣告承載能力的AVP判斷所述LAC是否能夠識別所述 唯一標(biāo)識����,若協(xié)商結(jié)果為雙方都能夠識別所述唯一標(biāo)識,啟動所述接收單元 等待接收來自所述LAC的客戶端設(shè)備的用戶名���、密碼和唯一標(biāo)識����。
9���、 如權(quán)利要求7所述的LNS�����,其特征在于�����,所述判斷單元����,具體用于將所述客戶端設(shè)備的用戶名、密碼和唯一標(biāo)識 與本地的合法的用戶名�、密碼和唯一標(biāo)識記錄進行比較,若所述客戶端設(shè)備 的用戶名���、密碼和唯一標(biāo)識符合本地的任意一條合法記錄��,則判斷所述客戶 端設(shè)備合法����,若所述客戶端設(shè)備的用戶名����、密碼和唯一標(biāo)識不符合本地的任意一條合法記錄,則判斷所述客戶端設(shè)備不合法�����。
10、 如權(quán)利要求7所述的LNS,其特征在于�,所述客戶端設(shè)備的唯一標(biāo) 識為所ii^戶端設(shè)備的ESN和IMSI,則所述接收單元,具體用于接收來自所述LAC的L2TP會話協(xié)商消息���, 所述ESN和IMSI包含在所述L2TP會話協(xié)商消息的新增AVP中����;則所述判斷單元�����,具體用于根據(jù)所述接收單元接收的客戶端設(shè)備的用戶 名���、密碼、ESN和IMSI判斷所述客戶端設(shè)備是否合法�。
11、 一種LAC��,應(yīng)用于包括LNS����、 LAC和客戶端設(shè)備的系統(tǒng)中,其特征 在于����,包括接收單元��、判斷單元和處理單元�,其中�����,所述接收單元��,用于接收來自所述客戶端設(shè)備的用戶名���、密碼和唯一標(biāo)識�����;所述判斷單元�,與所述接收單元連接���,用于根據(jù)所述接收單元接收的客 戶端設(shè)備的用戶名和密碼判斷所述客戶端設(shè)備是否合法�����;所述處理單元��,與所述判斷單元和所述接收單元分別連接����,用于若所述 判斷單元的判斷結(jié)果為是,向所述LNS發(fā)送所述接收單元接收的客戶端設(shè)備 的用戶名��、密碼和唯一標(biāo)識����,若所述判斷單元的判斷結(jié)果為否,斷開與所述 客戶端設(shè)備的連接�����。
12����、 如權(quán)利要求11所述的LAC,其特征在于����,還包括協(xié)商單元,與所述處理單元連接���,用于與所述LNS進行承載能力協(xié)商�, 根據(jù)來自所述LNS的宣告承載能力的AVP判斷所述LNS是否能夠識別所述 唯一標(biāo)識,若協(xié)商結(jié)果為雙方都能夠識別所述唯一標(biāo)識�,啟動所述處理單元 向所述LNS發(fā)送所述客戶端設(shè)備的用戶名、密碼和唯一標(biāo)識��。
13�、 如權(quán)利要求11所述的LAC,其特征在于,所述客戶端設(shè)備的唯一標(biāo) 識為所M戶端設(shè)備的ESN和IMSI,則所述接收單元�����,具體用于接收來自所述客戶端設(shè)備的用戶名����、密碼、 ESN和IMSI;所述處理單元���,具體用于若所述判斷單元的判斷結(jié)果為是����,向所述LNS發(fā)送LZTP會話協(xié)商消息�,所述ESN和IMSI包含在所述L2TP會話協(xié)商消息 的新增AVP中。
全文摘要
本發(fā)明公開了一種數(shù)據(jù)交互的方法��,應(yīng)用于包括LNS�、LAC和客戶端設(shè)備的系統(tǒng)中�,所述方法包括以下步驟所述LNS接收來自所述LAC的所述客戶端設(shè)備的用戶名�����、密碼和唯一標(biāo)識����;所述LNS根據(jù)所述客戶端設(shè)備的用戶名、密碼和唯一標(biāo)識判斷所述客戶端設(shè)備是否合法���,若判斷結(jié)果為所述客戶端設(shè)備合法��,通過所述LAC與所述客戶端設(shè)備進行業(yè)務(wù)數(shù)據(jù)交互�����,若判斷結(jié)果為所述客戶端設(shè)備不合法,拒絕與所述客戶端設(shè)備的業(yè)務(wù)數(shù)據(jù)交互�。本發(fā)明中,LNS根據(jù)客戶端設(shè)備的用戶名���、密碼和唯一標(biāo)識對客戶端設(shè)備進行認(rèn)證���,防止獲得了合法用戶名和密碼的惡意用戶使用了任意客戶端設(shè)備訪問企業(yè)內(nèi)部網(wǎng)絡(luò)��,有效的保護了企業(yè)內(nèi)部的數(shù)據(jù)和網(wǎng)絡(luò)安全���。
文檔編號H04L29/06GK101562526SQ20091014231
公開日2009年10月21日 申請日期2009年5月27日 優(yōu)先權(quán)日2009年5月27日
發(fā)明者周澤泉 申請人:杭州華三通信技術(shù)有限公司