專(zhuān)利名稱(chēng):實(shí)現(xiàn)3g用戶(hù)安全接入網(wǎng)絡(luò)的方法和設(shè)備的制作方法
技術(shù)領(lǐng)域:
本申請(qǐng)涉及3G網(wǎng)絡(luò)技術(shù)領(lǐng)域,特別涉及一種實(shí)現(xiàn)3G用戶(hù)安全接入網(wǎng)絡(luò)的方法和設(shè)備。
背景技術(shù):
隨著3G網(wǎng)絡(luò)的成熟,用戶(hù)對(duì)于3G無(wú)線(xiàn)的應(yīng)用需求也越來(lái)越強(qiáng)烈,3G網(wǎng)絡(luò)給用戶(hù)帶來(lái)極大的便利性,同時(shí)又是對(duì)有線(xiàn)通信方式及提高網(wǎng)絡(luò)可靠性的很好補(bǔ)充。其中3G接入比較常用的方式為虛擬私有撥號(hào)網(wǎng)(VPDN)接入,尤其是金融及其他對(duì)安全性要求較高的行業(yè),由運(yùn)營(yíng)商向3G用戶(hù)分配特定的用戶(hù)名和密碼,3G用戶(hù)使用該用戶(hù)名和密碼接入網(wǎng)絡(luò)后,運(yùn)營(yíng)商接入設(shè)備二層隧道協(xié)議訪(fǎng)問(wèn)集中器(LAC)負(fù)責(zé)與企業(yè)總部二 層隧道協(xié)議網(wǎng)絡(luò)服務(wù)器(LNS)建立二層隧道協(xié)議(L2TP),使3G用戶(hù)方便靈活地接入企業(yè)總部網(wǎng)絡(luò)。圖I為現(xiàn)有3G VPDN應(yīng)用組網(wǎng)示意圖,如圖I所示,企業(yè)網(wǎng)點(diǎn)中的3G路由器作為L(zhǎng)2TP客戶(hù)端設(shè)備,運(yùn)營(yíng)商網(wǎng)絡(luò)中的路由器作為L(zhǎng)2TP隧道的LAC,企業(yè)中心中的路由器作為L(zhǎng)2TP隧道的LNS,L2TP客戶(hù)端通過(guò)3G無(wú)線(xiàn)網(wǎng)絡(luò)連接到LAC,LNS則通過(guò)有線(xiàn)專(zhuān)線(xiàn)與LAC相連接。該應(yīng)用組網(wǎng)中VPDN接入的處理流程可參見(jiàn)圖2,如圖2所示,該流程包括I、客戶(hù)端向LAC發(fā)起PPP連接建立請(qǐng)求,與LAC之間進(jìn)行點(diǎn)到點(diǎn)協(xié)議(PPP)LAC協(xié)商和認(rèn)證。其中,LAC對(duì)客戶(hù)端的認(rèn)證是通過(guò)Radius服務(wù)器來(lái)實(shí)現(xiàn)的,Radius服務(wù)器上存儲(chǔ)了所有客戶(hù)端的資料,LAC在獲得客戶(hù)端的用戶(hù)名、密碼等信息之后,在Radius服務(wù)器上找到對(duì)應(yīng)的客戶(hù)端資料,并對(duì)客戶(hù)端進(jìn)行認(rèn)證,認(rèn)證的方式可以采用PAP或CHAP兩種方式PAP方式要求客戶(hù)端提供正確的密碼,密碼正確的話(huà)可以通過(guò)認(rèn)證;CHAP方式要對(duì)客戶(hù)端發(fā)一個(gè)盤(pán)問(wèn)(Chal Ienge ),客戶(hù)端用共有的加密方式回答盤(pán)問(wèn)之后才可以通過(guò)認(rèn)證。2,LAC認(rèn)證通過(guò)后,向LNS發(fā)起L2TP隧道建立請(qǐng)求,LAC和LNS為了相互驗(yàn)證對(duì)方的有效性可以使用隧道的CHAP認(rèn)證(可選),在LNS側(cè)可以配置對(duì)用戶(hù)的再次認(rèn)證(可選),驗(yàn)證方式可為PAP或CHAP認(rèn)證。隧道建立后LAC將客戶(hù)端的用戶(hù)名、密碼等認(rèn)證信息發(fā)送給AAA服務(wù)器,認(rèn)證通過(guò)后向客戶(hù)端分配IP地址等信息。通過(guò)上述分析可以看出,現(xiàn)有組網(wǎng)在進(jìn)行VPDN接入時(shí),客戶(hù)端通過(guò)PPP協(xié)議只能將用戶(hù)名、密碼等信息發(fā)送給LNS進(jìn)行認(rèn)證,而無(wú)法將用于標(biāo)識(shí)客戶(hù)端是否可以接入LNS的固定信息,如客戶(hù)端的設(shè)備序列號(hào)(SN)信息和3G nM/SIM卡的國(guó)際移動(dòng)用戶(hù)識(shí)別碼(MSI)等上傳給LNS,也就導(dǎo)致了只要其它客戶(hù)端能夠獲取用戶(hù)名、密碼等信息,即使不是使用指定的設(shè)備SN信息和3G IMSI信息等固定信息,也都能接入企業(yè)內(nèi)部網(wǎng)絡(luò),從而降低了網(wǎng)絡(luò)接入的安全性。
發(fā)明內(nèi)容
有鑒于此,本發(fā)明提供了一種實(shí)現(xiàn)3G用戶(hù)安全接入網(wǎng)絡(luò)的方法,使得只有LNS根據(jù)綁定的多元素進(jìn)行了安全認(rèn)證的客戶(hù)端才能夠接入網(wǎng)絡(luò),提高網(wǎng)絡(luò)接入的安全性。
本發(fā)明還提供了一種實(shí)現(xiàn)3G用戶(hù)安全接入網(wǎng)絡(luò)的設(shè)備,使得只有LNS根據(jù)綁定的多元素進(jìn)行了安全認(rèn)證的客戶(hù)端才能夠接入網(wǎng)絡(luò),提高網(wǎng)絡(luò)接入的安全性。為了達(dá)到上述目的,本發(fā)明提出的技術(shù)方案為一種實(shí)現(xiàn)3G用戶(hù)安全接入網(wǎng)絡(luò)的方法,應(yīng)用于包括客戶(hù)端、二層隧道協(xié)議訪(fǎng)問(wèn)集中器LAC、二層隧道協(xié)議網(wǎng)絡(luò)服務(wù)器LNS和驗(yàn)證授權(quán)記賬服務(wù)器AAA服務(wù)器的虛擬私有撥號(hào)網(wǎng)VPDN網(wǎng)絡(luò)中,該方法包括a. LNS獲取客戶(hù)端發(fā)起的VPDN呼叫中的客戶(hù)端的鏈路控制協(xié)議LCP屬性、用戶(hù)名和密碼;b. LNS確定出獲取到的客戶(hù)端的LCP屬性和用戶(hù)名均可接受時(shí),判斷該客戶(hù)端的用于驗(yàn)證客戶(hù)端身份的固定信息是否已被記錄,如果是,執(zhí)行步驟c ;否則,執(zhí)行步驟d ;
c. LNS根據(jù)用戶(hù)名、密碼和記錄的固定信息發(fā)給AAA服務(wù)器對(duì)客戶(hù)端進(jìn)行認(rèn)證,并在認(rèn)證通過(guò)時(shí),將AAA服務(wù)器為客戶(hù)端分配的指定的IP地址通知客戶(hù)端后,刪除記錄的固定信息,結(jié)束流程;d. LNS從為接入的客戶(hù)端創(chuàng)建的臨時(shí)IP地址池中選取一個(gè)未使用的臨時(shí)IP地址分配給客戶(hù)端,接收由客戶(hù)端發(fā)送的用于驗(yàn)證客戶(hù)端身份的固定信息;e. LNS接收到客戶(hù)端使用臨時(shí)IP地址發(fā)送的用于驗(yàn)證客戶(hù)端身份的固定信息時(shí),將該客戶(hù)端的用戶(hù)名、密碼與該用于驗(yàn)證客戶(hù)端身份的固定信息進(jìn)行對(duì)應(yīng)記錄后,斷開(kāi)與客戶(hù)端的PPP連接觸發(fā)客戶(hù)端發(fā)起第二次VPDN呼叫。所述步驟e中LNS接收到客戶(hù)端使用臨時(shí)IP地址發(fā)送的用于驗(yàn)證客戶(hù)端身份的固定信息包括=LNS接收由客戶(hù)端通過(guò)網(wǎng)管告警TRAP報(bào)文發(fā)送的用于驗(yàn)證客戶(hù)端身份的固
定信息。所述用于驗(yàn)證客戶(hù)端身份的固定信息包括客戶(hù)端的設(shè)備序列號(hào)SN信息和3G卡的國(guó)際移動(dòng)用戶(hù)識(shí)別碼頂SI信息。一種實(shí)現(xiàn)3G用戶(hù)安全接入網(wǎng)絡(luò)的設(shè)備,該設(shè)備為應(yīng)用于包括客戶(hù)端、二層隧道協(xié)議訪(fǎng)問(wèn)集中器LAC、二層隧道協(xié)議網(wǎng)絡(luò)服務(wù)器LNS和驗(yàn)證授權(quán)記賬服務(wù)器AAA服務(wù)器的虛擬私有撥號(hào)網(wǎng)VPDN網(wǎng)絡(luò)中的LNS,該設(shè)備包括獲取單元、確定單元、判斷單元、臨時(shí)地址分配單元、信息記錄單元、二次觸發(fā)單元和通知單元,其中,所述獲取單元,用于獲取客戶(hù)端發(fā)起的VPDN呼叫中的客戶(hù)端的鏈路控制協(xié)議LCP屬性、用戶(hù)名和密碼;所述確定單元,用于確定獲取單元獲取到的客戶(hù)端的LCP屬性和用戶(hù)名是否可接受;所述判斷單元,用于當(dāng)確定單元確定出客戶(hù)端的LCP屬性和用戶(hù)名均可接受時(shí),判斷信息記錄單元中該客戶(hù)端的用于驗(yàn)證客戶(hù)端身份的固定信息是否已被記錄;所述臨時(shí)地址分配單元,用于當(dāng)判斷單元判斷出固定信息未被記錄時(shí),從為接入的客戶(hù)端創(chuàng)建的臨時(shí)IP地址池中選取一個(gè)未使用的臨時(shí)IP地址分配給客戶(hù)端,以便信息記錄單元接收由客戶(hù)端發(fā)送的用于驗(yàn)證客戶(hù)端身份的固定信息;所述信息記錄單元,用于當(dāng)接收到客戶(hù)端使用臨時(shí)地址分配單元選取的臨時(shí)IP地址發(fā)送的用于驗(yàn)證客戶(hù)端身份的固定信息時(shí),將該客戶(hù)端的用戶(hù)名、密碼與用于驗(yàn)證客戶(hù)端身份的固定信息進(jìn)行對(duì)應(yīng)記錄,并指示所述二次觸發(fā)單元斷開(kāi)與客戶(hù)端的PPP連接;
所述二次觸發(fā)單元,用于接收到所述信息記錄單元指示斷開(kāi)與客戶(hù)端的PPP連接后,斷開(kāi)與客戶(hù)端的PPP連接,觸發(fā)客戶(hù)端發(fā)起第二次VPDN呼叫;所述通知單元,用于當(dāng)判斷單元判斷出固定信息被記錄時(shí),將信息記錄單元記錄的用戶(hù)名、密碼和記錄的固定信息發(fā)給AAA服務(wù)器對(duì)客戶(hù)端進(jìn)行認(rèn)證,并在認(rèn)證通過(guò)時(shí),將AAA服務(wù)器為客戶(hù)端分配的指定的IP地址通知客戶(hù)端。所述信息記錄單元,用于記錄由客戶(hù)端通過(guò)網(wǎng)管告警TRAP報(bào)文發(fā)送的用于驗(yàn)證客戶(hù)端身份的固定信息。一種實(shí)現(xiàn)3G用戶(hù)安全接入網(wǎng)絡(luò)的方法,應(yīng)用于包括客戶(hù)端、二層隧道協(xié)議訪(fǎng)問(wèn)集中器LAC、二層隧道協(xié)議網(wǎng)絡(luò)服務(wù)器LNS和驗(yàn)證授權(quán)記賬服務(wù)器AAA服務(wù)器的虛擬私有撥號(hào)網(wǎng)VPDN網(wǎng)絡(luò)中,該方法包括LNS獲取客戶(hù)端發(fā)起的VPDN呼叫中的客戶(hù)端的鏈路控制協(xié)議LCP屬性、用戶(hù)名和密碼;·LNS確定出獲取到的客戶(hù)端的LCP屬性和用戶(hù)名均可接受時(shí),從為接入的客戶(hù)端創(chuàng)建的臨時(shí)IP地址池中選取一個(gè)未使用的臨時(shí)IP地址分配給客戶(hù)端,接收由客戶(hù)端發(fā)送的用于驗(yàn)證客戶(hù)端身份的固定信息;LNS接收到客戶(hù)端使用臨時(shí)IP地址發(fā)送的用于驗(yàn)證客戶(hù)端身份的固定信息時(shí),將該客戶(hù)端的用戶(hù)名、密碼與用于驗(yàn)證客戶(hù)端身份的固定信息發(fā)給AAA服務(wù)器對(duì)該客戶(hù)端進(jìn)行認(rèn)證;當(dāng)AAA服務(wù)器對(duì)客戶(hù)端認(rèn)證通過(guò)時(shí),LNS通過(guò)與客戶(hù)端進(jìn)行點(diǎn)到點(diǎn)協(xié)議PPP因特網(wǎng)協(xié)議控制協(xié)議IPCP重協(xié)商將AAA服務(wù)器為客戶(hù)端分配的指定的IP地址通知客戶(hù)端。所述LNS接收由客戶(hù)端通過(guò)網(wǎng)管告警TRAP報(bào)文發(fā)送的用于驗(yàn)證客戶(hù)端身份的固
定信息。所述用于驗(yàn)證客戶(hù)端身份的固定信息包括客戶(hù)端的設(shè)備序列號(hào)SN信息和3G卡的國(guó)際移動(dòng)用戶(hù)識(shí)別碼頂SI信息。一種實(shí)現(xiàn)3G用戶(hù)安全接入網(wǎng)絡(luò)的設(shè)備,該設(shè)備為應(yīng)用于包括客戶(hù)端、二層隧道協(xié)議訪(fǎng)問(wèn)集中器LAC、二層隧道協(xié)議網(wǎng)絡(luò)服務(wù)器LNS和驗(yàn)證授權(quán)記賬服務(wù)器AAA服務(wù)器的虛擬私有撥號(hào)網(wǎng)VPDN網(wǎng)絡(luò)中的LNS,該設(shè)備包括獲取單元、確定單元、臨時(shí)地址分配單元、認(rèn)證單元和分配單元,其中,所述獲取單元,用于獲取客戶(hù)端發(fā)起的VPDN呼叫中的客戶(hù)端的鏈路控制協(xié)議LCP屬性、用戶(hù)名和密碼;所述確定單元,用于確定所述獲取單元獲取到的客戶(hù)端的LCP屬性和用戶(hù)名是否可接受;所述臨時(shí)地址分配單元,用于當(dāng)所述確定單元確定出獲取到的客戶(hù)端的LCP屬性和用戶(hù)名均可接受時(shí),從為接入的客戶(hù)端創(chuàng)建的臨時(shí)IP地址池中選取一個(gè)未使用的臨時(shí)IP地址分配給客戶(hù)端,以便由接收單元接收由客戶(hù)端發(fā)送的用于驗(yàn)證客戶(hù)端身份的固定信息;所述接收單元,用于接收客戶(hù)端使用臨時(shí)地址分配單元選取的臨時(shí)IP地址發(fā)送的用于驗(yàn)證客戶(hù)端身份的固定信息;所述發(fā)送單元,用于當(dāng)所述接收單元接收到用于驗(yàn)證客戶(hù)端身份的固定信息時(shí),將該客戶(hù)端的用戶(hù)名、密碼與用于驗(yàn)證客戶(hù)端身份的固定信息發(fā)給AAA服務(wù)器對(duì)該客戶(hù)端進(jìn)行認(rèn)證;當(dāng)AAA服務(wù)器對(duì)客戶(hù)端認(rèn)證通過(guò)時(shí),所述通知單元,用于通過(guò)與客戶(hù)端進(jìn)行點(diǎn)到點(diǎn)協(xié)議PPP因特網(wǎng)協(xié)議控制協(xié)議IPCP重協(xié)商將AAA服務(wù)器為客戶(hù)端分配的指定的IP地址通知客戶(hù)端。所述接收單元,用于接收由客戶(hù)端通過(guò)網(wǎng)管告警TRAP報(bào)文發(fā)送的用于驗(yàn)證客戶(hù)端身份的固定信息。綜上所述,本發(fā)明所采用的實(shí)現(xiàn)3G用戶(hù)安全接入網(wǎng)絡(luò)的方法,當(dāng)客戶(hù)端認(rèn)證通過(guò)時(shí),由LNS從創(chuàng)建的臨時(shí)IP地址池中為客戶(hù)端選取一個(gè)未使用的臨時(shí)IP地址,以接收由客戶(hù)端發(fā)送的用于驗(yàn)證客戶(hù)端身份的固定信息;當(dāng)接收到該固定信息時(shí),將該客戶(hù)端的固定信息與用戶(hù)名、密碼對(duì)應(yīng)記錄后,斷開(kāi)與客戶(hù)端的PPP連接觸發(fā)客戶(hù)端發(fā)起第二次VPDN呼口4,進(jìn)而能夠記錄的用戶(hù)名、密碼和記錄的信息將AAA服務(wù)器為客戶(hù)端分配的指定的IP地 址通知客戶(hù)端,或者,當(dāng)接收到該固定信息時(shí),直接根據(jù)客戶(hù)端的固定信息與用戶(hù)名、密碼通過(guò)AAA服務(wù)器對(duì)該客戶(hù)端進(jìn)行認(rèn)證,當(dāng)認(rèn)證通過(guò)時(shí),再通過(guò)與客戶(hù)端進(jìn)行PPP IPCP重協(xié)商將AAA服務(wù)器為客戶(hù)端分配的指定的IP地址通知客戶(hù)端。由于本發(fā)明方法是由LNS將用于驗(yàn)證客戶(hù)端身份的固定信息和客戶(hù)端的用戶(hù)名、密碼發(fā)送給AAA服務(wù)器對(duì)客戶(hù)端進(jìn)行認(rèn)證的,當(dāng)認(rèn)證通過(guò)時(shí),才由LNS通過(guò)與客戶(hù)端進(jìn)行PPP IPCP重協(xié)商將AAA服務(wù)器為客戶(hù)端分配的指定的IP地址通知客戶(hù)端,因此,本發(fā)明實(shí)現(xiàn)3G用戶(hù)安全接入網(wǎng)絡(luò)的方法,只有通過(guò)了客戶(hù)端身份信息驗(yàn)證的客戶(hù)端才能夠接入網(wǎng)絡(luò),也即只有LNS根據(jù)綁定的多元素進(jìn)行了安全認(rèn)證的客戶(hù)端才能夠接入網(wǎng)絡(luò),提高了網(wǎng)絡(luò)接入的安全性。
圖I為現(xiàn)有3G VPDN應(yīng)用組網(wǎng)示意圖;圖2為現(xiàn)有3G VPDN應(yīng)用組網(wǎng)中VPDN接入的處理方法流程圖;圖3為本發(fā)明實(shí)施例一實(shí)現(xiàn)3G用戶(hù)安全接入網(wǎng)絡(luò)方法的工作流程圖;圖4為本發(fā)明實(shí)施例一實(shí)現(xiàn)3G用戶(hù)安全接入網(wǎng)絡(luò)設(shè)備的結(jié)構(gòu)示意圖;圖5為本發(fā)明實(shí)施例二實(shí)現(xiàn)3G用戶(hù)安全接入網(wǎng)絡(luò)方法的工作流程圖;圖6為本發(fā)明實(shí)施例二實(shí)現(xiàn)3G用戶(hù)安全接入網(wǎng)絡(luò)設(shè)備的結(jié)構(gòu)示意圖。
具體實(shí)施例方式為了解決本發(fā)明提出的技術(shù)問(wèn)題,本發(fā)明實(shí)施例所述方案的具體實(shí)現(xiàn)包括a. LNS獲取客戶(hù)端發(fā)起的VPDN呼叫中的客戶(hù)端的LCP屬性、用戶(hù)名和密碼;b. LNS確定出獲取到的客戶(hù)端的LCP屬性和用戶(hù)名均可接受時(shí),判斷該客戶(hù)端的用于驗(yàn)證客戶(hù)端身份的固定信息是否已被記錄,如果是,執(zhí)行步驟c ;否則,執(zhí)行步驟d ;c. LNS根據(jù)用戶(hù)名、密碼和記錄的固定信息發(fā)給AAA服務(wù)器對(duì)客戶(hù)端進(jìn)行認(rèn)證,并在認(rèn)證通過(guò)時(shí),將AAA服務(wù)器為客戶(hù)端分配的指定的IP地址通知客戶(hù)端后,刪除記錄的固定信息,結(jié)束流程;d. LNS從為接入的客戶(hù)端創(chuàng)建的臨時(shí)IP地址池中選取一個(gè)未使用的臨時(shí)IP地址分配給客戶(hù)端,接收由客戶(hù)端發(fā)送的用于驗(yàn)證客戶(hù)端身份的固定信息;
e. LNS接收到客戶(hù)端使用臨時(shí)IP地址發(fā)送的用于驗(yàn)證客戶(hù)端身份的固定信息時(shí),將該客戶(hù)端的用戶(hù)名、密碼與該用于驗(yàn)證客戶(hù)端身份的固定信息進(jìn)行對(duì)應(yīng)記錄后,斷開(kāi)與客戶(hù)端的PPP連接觸發(fā)客戶(hù)端發(fā)起第二次VPDN呼叫,或,LNS獲取客戶(hù)端發(fā)起的VPDN呼叫中的客戶(hù)端的LCP屬性、用戶(hù)名和密碼;LNS確定出獲取到的客戶(hù)端的LCP屬性和用戶(hù)名均可接受時(shí),從為接入的客戶(hù)端創(chuàng)建的臨時(shí)IP地址池中選取一個(gè)未使用的臨時(shí)IP地址分配給客戶(hù)端,接收由客戶(hù)端發(fā)送的用于驗(yàn)證客戶(hù)端身份的固定信息;LNS接收到客戶(hù)端使用臨時(shí)IP地址發(fā)送的用于驗(yàn)證客戶(hù)端身份的固定信息時(shí),將該客戶(hù)端的用戶(hù)名、密碼與用于驗(yàn)證客戶(hù)端身份的固定信息發(fā)給AAA服務(wù)器對(duì)該客戶(hù)端進(jìn)行認(rèn)證;當(dāng)AAA服務(wù)器對(duì)客戶(hù)端認(rèn)證通過(guò)時(shí),LNS通過(guò)與客戶(hù)端進(jìn)行PPP IPCP重協(xié)商將AAA服務(wù)器為客戶(hù)端分配的指定的IP地址通知客戶(hù)端。 為使本發(fā)明的目的、技術(shù)方案和優(yōu)點(diǎn)更加清楚,下面將結(jié)合附圖及具體實(shí)施例對(duì)本發(fā)明作進(jìn)一步地詳細(xì)描述。實(shí)施例一參見(jiàn)圖3,本實(shí)施例是通過(guò)二次撥號(hào)的方式來(lái)實(shí)現(xiàn)3G用戶(hù)安全接入網(wǎng)絡(luò)的,具體工作流程包括以下步驟步驟301 :LNS獲取客戶(hù)端發(fā)起的VPDN呼叫中的客戶(hù)端的LCP屬性、用戶(hù)名和密碼
等信息。在本步驟中,客戶(hù)端首次發(fā)起的VPDN呼叫實(shí)際是通過(guò)LAC完成的,具體為客戶(hù)端向LAC發(fā)起PPP連接建立請(qǐng)求,進(jìn)行點(diǎn)到點(diǎn)協(xié)議(PPP) LCP協(xié)商和認(rèn)證;當(dāng)LAC對(duì)客戶(hù)端協(xié)商認(rèn)證通過(guò)后,由LAC向LNS發(fā)起VPDN隧道建立請(qǐng)求,隧道建立后,LAC將客戶(hù)端的LCP屬性和用戶(hù)名等信息發(fā)送給LNS,由LNS通過(guò)AAA服務(wù)器對(duì)該客戶(hù)端進(jìn)行認(rèn)證。步驟302 :判斷獲取到的客戶(hù)端的LCP屬性是否可接受,如果是,執(zhí)行步驟303 ;否貝U,以失敗結(jié)束3G用戶(hù)接入網(wǎng)絡(luò)的工作流程。當(dāng)客戶(hù)端的LCP屬性不可接受時(shí),需要關(guān)閉與客戶(hù)端的PPP連接,即以失敗結(jié)束接入網(wǎng)絡(luò)的工作流程。步驟303 :判斷獲取到的用戶(hù)名是否可接受,如果是,執(zhí)行步驟304 ;否則,以失敗結(jié)束3G用戶(hù)接入網(wǎng)絡(luò)的工作流程。當(dāng)客戶(hù)端的用戶(hù)名不可接受時(shí),也需要關(guān)閉與客戶(hù)端的PPP連接,即以失敗結(jié)束接入網(wǎng)絡(luò)的工作流程。步驟304 :判斷該客戶(hù)端的用于驗(yàn)證客戶(hù)端身份的固定信息是否已被記錄,如果是,執(zhí)行步驟308 ;否則,執(zhí)行步驟305。 在本步驟中,如果該客戶(hù)端的用于驗(yàn)證客戶(hù)端身份的固定信息已被記錄,則說(shuō)明該次撥號(hào)為第二次撥號(hào),也就可以將記錄的固定信息和用戶(hù)名、密碼發(fā)送給AAA服務(wù)器對(duì)客戶(hù)端進(jìn)行認(rèn)證。步驟305 =LNS從為接入的客戶(hù)端創(chuàng)建的臨時(shí)IP地址池中選取一個(gè)未使用的臨時(shí)IP地址分配給客戶(hù)端,接收由客戶(hù)端發(fā)送的用于驗(yàn)證客戶(hù)端身份的固定信息。
當(dāng)LNS將IP臨時(shí)地址分配給客戶(hù)端后,需要等待接收由客戶(hù)端發(fā)送的用于驗(yàn)證客戶(hù)端身份的固定信息,而且針對(duì)該臨時(shí)IP地址,只接收用于驗(yàn)證客戶(hù)端身份的固定信息。需要說(shuō)明的是,所述LNS接收由客戶(hù)端通過(guò)網(wǎng)管告警(TRAP)報(bào)文(TRAP報(bào)文是IP報(bào)文的一種)發(fā)送的用于驗(yàn)證客戶(hù)端身份的固定信息,所述用于驗(yàn)證客戶(hù)端身份的固定信息包括但不限于客戶(hù)端的設(shè)備序列號(hào)(SN)信息和3G卡的國(guó)際移動(dòng)用戶(hù)識(shí)別碼(IMSI)信息,所述3G卡為3G UM卡或3G SM卡。實(shí)際中,還可通過(guò)其他IP報(bào)文來(lái)接收用于驗(yàn)證客戶(hù)端身份的固定信息,只要保證該IP報(bào)文能夠在客戶(hù)端和LNS之間路由可達(dá)即可。還需說(shuō)明的是,本實(shí)施例中的客戶(hù)端需要具備能夠發(fā)送用于驗(yàn)證客戶(hù)端身份的固定信息的能力。步驟306 :LNS是否接收到用于驗(yàn)證客戶(hù)端身份的固定信息,如果是,執(zhí)行步驟307 ;否則,以失敗結(jié)束3G用戶(hù)接入網(wǎng)絡(luò)的工作流程。
步驟307 =LNS將該客戶(hù)端的用戶(hù)名、密碼與用于驗(yàn)證客戶(hù)端身份的固定信息進(jìn)行對(duì)應(yīng)記錄后,斷開(kāi)與客戶(hù)端的PPP連接觸發(fā)客戶(hù)端發(fā)起第二次VPDN呼叫后,結(jié)束流程。步驟308 =LNS將用戶(hù)名、密碼和記錄的用于驗(yàn)證客戶(hù)端身份的固定信息發(fā)給AAA服務(wù)器對(duì)客戶(hù)端進(jìn)行認(rèn)證,并當(dāng)認(rèn)證結(jié)果為認(rèn)證通過(guò)時(shí),將AAA服務(wù)器為客戶(hù)端分配的指定的IP地址通知客戶(hù)端后,刪除記錄的固定信息。至此,即完成了本發(fā)明實(shí)施例所采用的實(shí)現(xiàn)3G用戶(hù)安全接入網(wǎng)絡(luò)方法的整個(gè)工作流程。基于上述方法,圖4給出了本實(shí)施例所采用的實(shí)現(xiàn)3G用戶(hù)安全接入網(wǎng)絡(luò)設(shè)備。如圖4所示,該設(shè)備為應(yīng)用于包括客戶(hù)端、LAC、LNS和AAA服務(wù)器的VPDN網(wǎng)絡(luò)中的LNS,包括獲取單元41、確定單元42、判斷單元43、臨時(shí)地址分配單元44、信息記錄單元45、二次觸發(fā)單元46、通知單元47和刪除單元48,其中,所述獲取單元41,用于獲取客戶(hù)端發(fā)起的VPDN呼叫中的客戶(hù)端的LCP屬性、用戶(hù)名和密碼;所述確定單元42,用于確定獲取單元41獲取到的客戶(hù)端的LCP屬性和用戶(hù)名是否可接受;所述判斷單元43,用于當(dāng)確定單元42確定出客戶(hù)端的LCP屬性和用戶(hù)名均可接受時(shí),判斷信息記錄單元45中該客戶(hù)端的用于驗(yàn)證客戶(hù)端身份的固定信息是否已被記錄;所述臨時(shí)地址分配單元44,用于當(dāng)判斷單元43判斷出固定信息未被記錄時(shí),從為接入的客戶(hù)端創(chuàng)建的臨時(shí)IP地址池中選取一個(gè)未使用的臨時(shí)IP地址分配給客戶(hù)端,以便信息記錄單元45接收由客戶(hù)端發(fā)送的用于驗(yàn)證客戶(hù)端身份的固定信息;所述信息記錄單元45,用于當(dāng)接收到客戶(hù)端使用臨時(shí)地址分配單元44選取的臨時(shí)IP地址發(fā)送的用于驗(yàn)證客戶(hù)端身份的固定信息時(shí),將該客戶(hù)端的用戶(hù)名、密碼與用于驗(yàn)證客戶(hù)端身份的固定信息進(jìn)行對(duì)應(yīng)記錄,并指示所述二次觸發(fā)單元斷開(kāi)與客戶(hù)端的PPP連接;所述二次觸發(fā)單元46,用于當(dāng)接收到信息記錄單元45指示斷開(kāi)與客戶(hù)端的PPP連接后,斷開(kāi)與客戶(hù)端的PPP連接,觸發(fā)客戶(hù)端發(fā)起第二次VPDN呼叫;所述通知單元47,用于當(dāng)判斷單元43判斷出固定信息被記錄時(shí),將信息記錄單元45記錄的用戶(hù)名、密碼和記錄的固定信息發(fā)給AAA服務(wù)器對(duì)客戶(hù)端進(jìn)行認(rèn)證,并在認(rèn)證通過(guò)時(shí),將AAA服務(wù)器為客戶(hù)端分配的指定的IP地址通知客戶(hù)端;所述刪除單元48,用于當(dāng)通知單元47將AAA服務(wù)器為客戶(hù)端分配的指定的IP地址通知客戶(hù)端后,刪除信息記錄單元45記錄的該客戶(hù)端的固定信息。其中,所述信息記錄單元45,用于接收由客戶(hù)端通過(guò)TRAP報(bào)文發(fā)送的用于驗(yàn)證客戶(hù)端身份的固定信息,所述用于驗(yàn)證客戶(hù)端身份的固定信息包括客戶(hù)端的SN信息和3G卡的MSI信息,所述3G卡為3G UIM卡或3G SIM卡。至此,即得到了本發(fā)明實(shí)施例所采用的實(shí)現(xiàn)3G用戶(hù)安全接入網(wǎng)絡(luò)設(shè)備。圖4所述設(shè)備的工作流程具體可參見(jiàn)圖3所述方法的工作流程,這里不再贅述。實(shí)施例二參見(jiàn)圖5,本實(shí)施例是通過(guò)一次撥號(hào)和再次進(jìn)行PPP IPCP協(xié)商的方式來(lái)實(shí)現(xiàn)3G用戶(hù)安全接入網(wǎng)絡(luò)的,具體工作流程包括 步驟501 :LNS獲取客戶(hù)端發(fā)起的VPDN呼叫中的客戶(hù)端的LCP屬性、用戶(hù)名和密碼
等信息。同步驟301 —樣,在本步驟中,客戶(hù)端首次發(fā)起的VPDN呼叫也是通過(guò)LAC完成的,具體為客戶(hù)端向LAC發(fā)起PPP連接建立請(qǐng)求,進(jìn)行PPP LCP協(xié)商和認(rèn)證;當(dāng)LAC對(duì)客戶(hù)端協(xié)商認(rèn)證通過(guò)后,由LAC向LNS發(fā)起VPDN隧道建立請(qǐng)求,隧道建立后,LAC將客戶(hù)端的PPPLCP和用戶(hù)名、密碼等信息發(fā)送給LNS,由LNS通過(guò)AAA服務(wù)器對(duì)該客戶(hù)端進(jìn)行認(rèn)證。步驟502 :判斷獲取到的客戶(hù)端的LCP屬性是否可接受,如果是,執(zhí)行步驟503 ;否貝U,以失敗結(jié)束3G用戶(hù)接入網(wǎng)絡(luò)的工作流程。當(dāng)客戶(hù)端的LCP屬性不可接受時(shí),需要關(guān)閉與客戶(hù)端的PPP連接,即以失敗結(jié)束接入網(wǎng)絡(luò)的工作流程。步驟503 :判斷獲取到的用戶(hù)名是否可接受,如果是,執(zhí)行步驟504 ;否則,以失敗結(jié)束3G用戶(hù)接入網(wǎng)絡(luò)的工作流程。當(dāng)客戶(hù)端的用戶(hù)名不可接受時(shí),也需要關(guān)閉與客戶(hù)端的PPP連接,即以失敗結(jié)束接入網(wǎng)絡(luò)的工作流程。步驟504 =LNS從為客戶(hù)端創(chuàng)建的臨時(shí)IP地址池中選取一個(gè)未使用的臨時(shí)IP地址分配給客戶(hù)端,接收由客戶(hù)端發(fā)送的用于驗(yàn)證客戶(hù)端身份的固定信息。當(dāng)LNS將IP臨時(shí)地址分配給客戶(hù)端后,需要等待接收由客戶(hù)端發(fā)送的用于驗(yàn)證客戶(hù)端身份的固定信息,而且針對(duì)該臨時(shí)IP地址,只接收用于驗(yàn)證客戶(hù)端身份的固定信息。需要說(shuō)明的是,所述LNS接收由客戶(hù)端通過(guò)TRAP報(bào)文來(lái)發(fā)送的用于驗(yàn)證客戶(hù)端身份的固定信息的,所述用于驗(yàn)證客戶(hù)端身份的固定信息包括但不限于客戶(hù)端的SN信息和3G卡的頂SI信息,所述3G卡為3G UM卡或3G SM卡。實(shí)際中,還可通過(guò)其他IP報(bào)文來(lái)接收用于驗(yàn)證客戶(hù)端身份的固定信息,只要保證該IP報(bào)文能夠在客戶(hù)端和LNS之間路由可達(dá)即可。還需說(shuō)明的是,本實(shí)施例中的客戶(hù)端需要具備能夠發(fā)送用于驗(yàn)證客戶(hù)端身份的固定信息的能力。步驟505 :判斷LNS是否接收到用于驗(yàn)證客戶(hù)端身份的固定信息,如果是,執(zhí)行步驟506 ;否則,以失敗結(jié)束3G用戶(hù)接入網(wǎng)絡(luò)的工作流程。
步驟506 :LNS將該客戶(hù)端的用戶(hù)名、密碼與用于驗(yàn)證客戶(hù)端身份的固定信息發(fā)給AAA服務(wù)器對(duì)該客戶(hù)端進(jìn)行認(rèn)證。步驟507 :如果AAA服務(wù)器對(duì)客戶(hù)端的認(rèn)證通過(guò),執(zhí)行步驟508 ;否則,以失敗結(jié)束3G用戶(hù)接入網(wǎng)絡(luò)的工作流程。步驟508 =LNS通過(guò)與客戶(hù)端進(jìn)行PPP因特網(wǎng)協(xié)議控制協(xié)議(IPCP)重協(xié)商后,將AAA服務(wù)器為客戶(hù)端分配的指定的IP地址通知客戶(hù)端,結(jié)束整個(gè)工作流程。至此,即完成了本發(fā)明實(shí)施例所采用的實(shí)現(xiàn)3G用戶(hù)安全接入網(wǎng)絡(luò)方法的整個(gè)工作流程?;谏鲜龇椒?,圖6給出了本實(shí)施例所采用的實(shí)現(xiàn)3G用戶(hù)安全接入網(wǎng)絡(luò)設(shè)備。如圖6所示,該設(shè)備為應(yīng)用于包括客戶(hù)端、LAC、LNS和AAA服務(wù)器的VPDN網(wǎng)絡(luò)中的LNS,其特征在于,包括獲取單元61、確定單元62、臨時(shí)地址分配單元63、接收單元64、發(fā)送單元65和通知單元66,其中, 所述獲取單元61,用于獲取客戶(hù)端發(fā)起的VPDN呼叫中的客戶(hù)端的LCP屬性、用戶(hù)名和密碼;所述確定單元62,用于確定所述獲取單元61獲取到的客戶(hù)端的LCP屬性和用戶(hù)名是否可接受;所述臨時(shí)地址分配單元63,用于當(dāng)所述確定單元62確定出獲取到的客戶(hù)端的LCP屬性和用戶(hù)名均可接受時(shí),從為接入的客戶(hù)端創(chuàng)建的臨時(shí)IP地址池中選取一個(gè)未使用的臨時(shí)IP地址分配給客戶(hù)端,以便由接收單元接收由客戶(hù)端發(fā)送的用于驗(yàn)證客戶(hù)端身份的固定信息;所述接收單元64,用于接收客戶(hù)端使用臨時(shí)地址分配單元63選取的臨時(shí)IP地址發(fā)送的用于驗(yàn)證客戶(hù)端身份的固定信息;所述發(fā)送單元65,用于當(dāng)所述接收單元64接收到用于驗(yàn)證客戶(hù)端身份的固定信息時(shí),將該客戶(hù)端的用戶(hù)名、密碼與用于驗(yàn)證客戶(hù)端身份的固定信息發(fā)給AAA服務(wù)器對(duì)該客戶(hù)端進(jìn)行認(rèn)證;當(dāng)AAA服務(wù)器對(duì)客戶(hù)端認(rèn)證通過(guò)時(shí),所述通知單元66,用于通過(guò)與客戶(hù)端進(jìn)行PPPIPCP重協(xié)商將AAA服務(wù)器為客戶(hù)端分配的指定的IP地址通知客戶(hù)端。進(jìn)一步地,所述接收單元64,用于接收由客戶(hù)端通過(guò)TRAP報(bào)文發(fā)送的用于驗(yàn)證客戶(hù)端身份的固定信息,所述用于驗(yàn)證客戶(hù)端身份的固定信息包括但不限于客戶(hù)端的SN信息和3G卡的MSI信息,所述3G卡為3G UIM卡或3G SM卡。至此,即得到了本發(fā)明實(shí)施例所采用的實(shí)現(xiàn)3G用戶(hù)安全接入網(wǎng)絡(luò)設(shè)備。圖6所述設(shè)備的工作流程具體可參見(jiàn)圖5所述方法的工作流程,這里不再贅述??傊景l(fā)明所采用的實(shí)現(xiàn)3G用戶(hù)安全接入網(wǎng)絡(luò)的方法,當(dāng)客戶(hù)端認(rèn)證通過(guò)時(shí),由LNS從創(chuàng)建的臨時(shí)IP地址池中為客戶(hù)端選取一個(gè)未使用的臨時(shí)IP地址,以接收由客戶(hù)端發(fā)送的用于驗(yàn)證客戶(hù)端身份的固定信息;當(dāng)接收到該固定信息時(shí),將該客戶(hù)端的固定信息與用戶(hù)名、密碼對(duì)應(yīng)記錄后,斷開(kāi)與客戶(hù)端的PPP連接觸發(fā)客戶(hù)端發(fā)起第二次VPDN呼叫,進(jìn)而能夠記錄的用戶(hù)名、密碼和記錄的信息將AAA服務(wù)器為客戶(hù)端分配的指定的IP地址通知客戶(hù)端,或者,當(dāng)接收到該固定信息時(shí),直接根據(jù)客戶(hù)端的固定信息與用戶(hù)名、密碼通過(guò)AAA服務(wù)器對(duì)該客戶(hù)端進(jìn)行認(rèn)證,當(dāng)認(rèn)證通過(guò)時(shí),再通過(guò)與客戶(hù)端進(jìn)行PPP IPCP重協(xié)商將AAA服務(wù)器為客戶(hù)端分配的指定的IP地址通知客戶(hù)端。由于本發(fā)明方法是由LNS將用于驗(yàn)證客戶(hù)端身份的固定信息和客戶(hù)端的用戶(hù)名、密碼發(fā)送給AAA服務(wù)器對(duì)客戶(hù)端進(jìn)行認(rèn)證的,當(dāng)認(rèn)證通過(guò)時(shí),才由LNS通過(guò)與客戶(hù)端進(jìn)行PPP IPCP重協(xié)商將AAA服務(wù)器為客戶(hù)端分配的指定的IP地址通知客戶(hù)端,因此,本發(fā)明實(shí)現(xiàn)3G用戶(hù)安全接入網(wǎng)絡(luò)的方法,只有通過(guò)了客戶(hù)端身份信息驗(yàn)證的客戶(hù)端才能夠接入網(wǎng)絡(luò),也即只有LNS根據(jù)綁定的多元素進(jìn)行了安全認(rèn)證的客戶(hù)端才能夠接入網(wǎng)絡(luò),提高了網(wǎng)絡(luò)接入的安全性。
以上所述僅為本發(fā)明的較佳實(shí)施例而已,并不用以限制本發(fā)明,凡在本發(fā)明的精神和原則之內(nèi),所做的任何修改、等同替換、改進(jìn)等,均應(yīng)包含在本發(fā)明保護(hù)的范圍之內(nèi)。
權(quán)利要求
1.一種實(shí)現(xiàn)3G用戶(hù)安全接入網(wǎng)絡(luò)的方法,應(yīng)用于包括客戶(hù)端、二層隧道協(xié)議訪(fǎng)問(wèn)集中器LAC、二層隧道協(xié)議網(wǎng)絡(luò)服務(wù)器LNS和驗(yàn)證授權(quán)記賬服務(wù)器AAA服務(wù)器的虛擬私有撥號(hào)網(wǎng)VPDN網(wǎng)絡(luò)中,其特征在于,該方法包括 a.LNS獲取客戶(hù)端發(fā)起的VPDN呼叫中的客戶(hù)端的鏈路控制協(xié)議LCP屬性、用戶(hù)名和密碼; b.LNS確定出獲取到的客戶(hù)端的LCP屬性和用戶(hù)名均可接受時(shí),判斷該客戶(hù)端的用于驗(yàn)證客戶(hù)端身份的固定信息是否已被記錄,如果是,執(zhí)行步驟c ;否則,執(zhí)行步驟d ; c.LNS根據(jù)用戶(hù)名、密碼和記錄的固定信息發(fā)給AAA服務(wù)器對(duì)客戶(hù)端進(jìn)行認(rèn)證,并在認(rèn)證通過(guò)時(shí),將AAA服務(wù)器為客戶(hù)端分配的指定的IP地址通知客戶(hù)端后,刪除記錄的固定信息,結(jié)束流程; d.LNS從為接入的客戶(hù)端創(chuàng)建的臨時(shí)IP地址池中選取一個(gè)未使用的臨時(shí)IP地址分配 給客戶(hù)端,接收由客戶(hù)端發(fā)送的用于驗(yàn)證客戶(hù)端身份的固定信息; e.LNS接收到客戶(hù)端使用臨時(shí)IP地址發(fā)送的用于驗(yàn)證客戶(hù)端身份的固定信息時(shí),將該客戶(hù)端的用戶(hù)名、密碼與該用于驗(yàn)證客戶(hù)端身份的固定信息進(jìn)行對(duì)應(yīng)記錄后,斷開(kāi)與客戶(hù)端的PPP連接觸發(fā)客戶(hù)端發(fā)起第二次VPDN呼叫。
2.根據(jù)權(quán)利要求I所述的方法,其特征在于,所述步驟e中LNS接收到客戶(hù)端使用臨時(shí)IP地址發(fā)送的用于驗(yàn)證客戶(hù)端身份的固定信息包括LNS接收由客戶(hù)端通過(guò)網(wǎng)管告警TRAP報(bào)文發(fā)送的用于驗(yàn)證客戶(hù)端身份的固定信息。
3.根據(jù)權(quán)利要求I或2所述的方法,其特征在于,所述用于驗(yàn)證客戶(hù)端身份的固定信息包括客戶(hù)端的設(shè)備序列號(hào)SN信息和3G卡的國(guó)際移動(dòng)用戶(hù)識(shí)別碼IMSI信息。
4.一種實(shí)現(xiàn)3G用戶(hù)安全接入網(wǎng)絡(luò)的設(shè)備,該設(shè)備為應(yīng)用于包括客戶(hù)端、二層隧道協(xié)議訪(fǎng)問(wèn)集中器LAC、二層隧道協(xié)議網(wǎng)絡(luò)服務(wù)器LNS和驗(yàn)證授權(quán)記賬服務(wù)器AAA服務(wù)器的虛擬私有撥號(hào)網(wǎng)VPDN網(wǎng)絡(luò)中的LNS,其特征在于,該設(shè)備包括獲取單元、確定單元、判斷單元、臨時(shí)地址分配單元、信息記錄單元、二次觸發(fā)單元和通知單元,其中, 所述獲取單元,用于獲取客戶(hù)端發(fā)起的VPDN呼叫中的客戶(hù)端的鏈路控制協(xié)議LCP屬性、用戶(hù)名和密碼; 所述確定單元,用于確定獲取單元獲取到的客戶(hù)端的LCP屬性和用戶(hù)名是否可接受; 所述判斷單元,用于當(dāng)確定單元確定出客戶(hù)端的LCP屬性和用戶(hù)名均可接受時(shí),判斷信息記錄單元中該客戶(hù)端的用于驗(yàn)證客戶(hù)端身份的固定信息是否已被記錄; 所述臨時(shí)地址分配單元,用于當(dāng)判斷單元判斷出固定信息未被記錄時(shí),從為接入的客戶(hù)端創(chuàng)建的臨時(shí)IP地址池中選取一個(gè)未使用的臨時(shí)IP地址分配給客戶(hù)端,以便信息記錄單元接收由客戶(hù)端發(fā)送的用于驗(yàn)證客戶(hù)端身份的固定信息; 所述信息記錄單元,用于當(dāng)接收到客戶(hù)端使用臨時(shí)地址分配單元選取的臨時(shí)IP地址發(fā)送的用于驗(yàn)證客戶(hù)端身份的固定信息時(shí),將該客戶(hù)端的用戶(hù)名、密碼與用于驗(yàn)證客戶(hù)端身份的固定信息進(jìn)行對(duì)應(yīng)記錄,并指示所述二次觸發(fā)單元斷開(kāi)與客戶(hù)端的PPP連接; 所述二次觸發(fā)單元,用于接收到所述信息記錄單元指示斷開(kāi)與客戶(hù)端的PPP連接后,斷開(kāi)與客戶(hù)端的PPP連接,觸發(fā)客戶(hù)端發(fā)起第二次VPDN呼叫; 所述通知單元,用于當(dāng)判斷單元判斷出固定信息被記錄時(shí),將信息記錄單元記錄的用戶(hù)名、密碼和記錄的固定信息發(fā)給AAA服務(wù)器對(duì)客戶(hù)端進(jìn)行認(rèn)證,并在認(rèn)證通過(guò)時(shí),將AAA服務(wù)器為客戶(hù)端分配的指定的IP地址通知客戶(hù)端。
5.根據(jù)權(quán)利要求4所述的設(shè)備,其特征在于,所述信息記錄單元,用于記錄由客戶(hù)端通過(guò)網(wǎng)管告警TRAP報(bào)文發(fā)送的用于驗(yàn)證客戶(hù)端身份的固定信息。
6.一種實(shí)現(xiàn)3G用戶(hù)安全接入網(wǎng)絡(luò)的方法,應(yīng)用于包括客戶(hù)端、二層隧道協(xié)議訪(fǎng)問(wèn)集中器LAC、二層隧道協(xié)議網(wǎng)絡(luò)服務(wù)器LNS和驗(yàn)證授權(quán)記賬服務(wù)器AAA服務(wù)器的虛擬私有撥號(hào)網(wǎng)VPDN網(wǎng)絡(luò)中,其特征在于,該方法包括 LNS獲取客戶(hù)端發(fā)起的VPDN呼叫中的客戶(hù)端的鏈路控制協(xié)議LCP屬性、用戶(hù)名和密碼; LNS確定出獲取到的客戶(hù)端的LCP屬性和用戶(hù)名均可接受時(shí),從為接入的客戶(hù)端創(chuàng)建 的臨時(shí)IP地址池中選取一個(gè)未使用的臨時(shí)IP地址分配給客戶(hù)端,接收由客戶(hù)端發(fā)送的用于驗(yàn)證客戶(hù)端身份的固定信息; LNS接收到客戶(hù)端使用臨時(shí)IP地址發(fā)送的用于驗(yàn)證客戶(hù)端身份的固定信息時(shí),將該客戶(hù)端的用戶(hù)名、密碼與用于驗(yàn)證客戶(hù)端身份的固定信息發(fā)給AAA服務(wù)器對(duì)該客戶(hù)端進(jìn)行認(rèn)證; 當(dāng)AAA服務(wù)器對(duì)客戶(hù)端認(rèn)證通過(guò)時(shí),LNS通過(guò)與客戶(hù)端進(jìn)行點(diǎn)到點(diǎn)協(xié)議PPP因特網(wǎng)協(xié)議控制協(xié)議IPCP重協(xié)商將AAA服務(wù)器為客戶(hù)端分配的指定的IP地址通知客戶(hù)端。
7.根據(jù)權(quán)利要求6所述的方法,其特征在于,所述LNS接收由客戶(hù)端通過(guò)網(wǎng)管告警TRAP報(bào)文發(fā)送的用于驗(yàn)證客戶(hù)端身份的固定信息。
8.根據(jù)權(quán)利要求6或7所述的方法,其特征在于,所述用于驗(yàn)證客戶(hù)端身份的固定信息包括客戶(hù)端的設(shè)備序列號(hào)SN信息和3G卡的國(guó)際移動(dòng)用戶(hù)識(shí)別碼IMSI信息。
9.一種實(shí)現(xiàn)3G用戶(hù)安全接入網(wǎng)絡(luò)的設(shè)備,該設(shè)備為應(yīng)用于包括客戶(hù)端、二層隧道協(xié)議訪(fǎng)問(wèn)集中器LAC、二層隧道協(xié)議網(wǎng)絡(luò)服務(wù)器LNS和驗(yàn)證授權(quán)記賬服務(wù)器AAA服務(wù)器的虛擬私有撥號(hào)網(wǎng)VPDN網(wǎng)絡(luò)中的LNS,其特征在于,該設(shè)備包括獲取單元、確定單元、臨時(shí)地址分配單元、認(rèn)證單元和分配單元,其中, 所述獲取單元,用于獲取客戶(hù)端發(fā)起的VPDN呼叫中的客戶(hù)端的鏈路控制協(xié)議LCP屬性、用戶(hù)名和密碼; 所述確定單元,用于確定所述獲取單元獲取到的客戶(hù)端的LCP屬性和用戶(hù)名是否可接受;所述臨時(shí)地址分配單元,用于當(dāng)所述確定單元確定出獲取到的客戶(hù)端的LCP屬性和用戶(hù)名均可接受時(shí),從為接入的客戶(hù)端創(chuàng)建的臨時(shí)IP地址池中選取一個(gè)未使用的臨時(shí)IP地址分配給客戶(hù)端,以便由接收單元接收由客戶(hù)端發(fā)送的用于驗(yàn)證客戶(hù)端身份的固定信息;所述接收單元,用于接收客戶(hù)端使用臨時(shí)地址分配單元選取的臨時(shí)IP地址發(fā)送的用于驗(yàn)證客戶(hù)端身份的固定信息; 所述發(fā)送單元,用于當(dāng)所述接收單元接收到用于驗(yàn)證客戶(hù)端身份的固定信息時(shí),將該客戶(hù)端的用戶(hù)名、密碼與用于驗(yàn)證客戶(hù)端身份的固定信息發(fā)給AAA服務(wù)器對(duì)該客戶(hù)端進(jìn)行認(rèn)證; 當(dāng)AAA服務(wù)器對(duì)客戶(hù)端認(rèn)證通過(guò)時(shí),所述通知單元,用于通過(guò)與客戶(hù)端進(jìn)行點(diǎn)到點(diǎn)協(xié)議PPP因特網(wǎng)協(xié)議控制協(xié)議IPCP重協(xié)商將AAA服務(wù)器為客戶(hù)端分配的指定的IP地址通知客戶(hù)端。
10.根據(jù)權(quán)利要求9所述的設(shè)備,其特征在于,所述接收單元,用于接收由客戶(hù)端通過(guò)網(wǎng)管告警TRAP報(bào)文發(fā)送的用于驗(yàn)證客戶(hù)端身份的固定信息。
全文摘要
本申請(qǐng)公開(kāi)了一種實(shí)現(xiàn)3G用戶(hù)安全接入網(wǎng)絡(luò)的方法和設(shè)備當(dāng)LNS獲取的客戶(hù)端的LCP屬性和用戶(hù)名均可接受時(shí),從創(chuàng)建的臨時(shí)IP地址池中選取一個(gè)臨時(shí)IP地址分配給客戶(hù)端,接收客戶(hù)端發(fā)送的驗(yàn)證客戶(hù)端身份的固定信息;當(dāng)接收到固定信息時(shí),將其與用戶(hù)名和密碼對(duì)應(yīng)記錄,斷開(kāi)與客戶(hù)端的PPP連接觸發(fā)客戶(hù)端發(fā)起第二次VPDN呼叫,根據(jù)記錄的固定信息、用戶(hù)名和密碼將AAA服務(wù)器為客戶(hù)端分配的指定的IP地址通知客戶(hù)端,或者,當(dāng)接收到固定信息時(shí),直接將其與用戶(hù)名、密碼發(fā)給AAA服務(wù)器對(duì)該客戶(hù)端進(jìn)行認(rèn)證通過(guò)后,將AAA服務(wù)器為客戶(hù)端分配的指定的IP地址通知客戶(hù)端。應(yīng)用本發(fā)明所述的方法和設(shè)備,使得只有LNS進(jìn)行了安全認(rèn)證的客戶(hù)端才能夠接入網(wǎng)絡(luò),提高網(wǎng)絡(luò)接入安全性。
文檔編號(hào)H04L29/12GK102905263SQ20121037125
公開(kāi)日2013年1月30日 申請(qǐng)日期2012年9月28日 優(yōu)先權(quán)日2012年9月28日
發(fā)明者劉雄威 申請(qǐng)人:杭州華三通信技術(shù)有限公司