技術(shù)領(lǐng)域

本發(fā)明涉及通信技術(shù)領(lǐng)域，特別是涉及一種3G虛擬私有撥號(hào)網(wǎng)用戶安全認(rèn)證方法及其裝置。

背景技術(shù)

VPDN(Virtual?Private?Dial-up?Network，虛擬私有撥號(hào)網(wǎng))是指利用公共網(wǎng)絡(luò)(如ISDN或PSTN，其中，ISDN是Integrated?Services?Digital?Network的英文縮寫(xiě)，表示數(shù)字業(yè)務(wù)綜合網(wǎng)，PSTN是Public?Switched?Telephone?Network的英文縮寫(xiě)，表示公共交換電話網(wǎng))的撥號(hào)功能接入公共網(wǎng)絡(luò)，實(shí)現(xiàn)虛擬專用網(wǎng)，從而為企業(yè)、小型ISP(因特網(wǎng)服務(wù)提供者)、移動(dòng)辦公人員等提供接入服務(wù)。即，VPDN為遠(yuǎn)端用戶與私有企業(yè)網(wǎng)之間提供了一種經(jīng)濟(jì)而有效的點(diǎn)到點(diǎn)連接方式。

VPDN采用隧道協(xié)議在公共網(wǎng)絡(luò)上為企業(yè)建立安全的虛擬專網(wǎng)。企業(yè)駐外機(jī)構(gòu)和出差人員可從遠(yuǎn)程經(jīng)由公共網(wǎng)絡(luò)，通過(guò)虛擬隧道實(shí)現(xiàn)和企業(yè)總部之間的網(wǎng)絡(luò)連接，而公共網(wǎng)絡(luò)上其它用戶則無(wú)法穿過(guò)虛擬隧道訪問(wèn)企業(yè)網(wǎng)內(nèi)部的資源。

隨著3G網(wǎng)絡(luò)的成熟，用戶對(duì)于3G無(wú)線的應(yīng)用需求也越來(lái)越強(qiáng)烈，3G網(wǎng)絡(luò)給用戶帶來(lái)極大的便利性，并且是對(duì)有線通信方式及提高網(wǎng)絡(luò)可靠性的很好補(bǔ)充。其中比較常用的3G接入方式為VPDN(L2TP，即Layer?TwoTunneling?Protocol，二層隧道協(xié)議)接入，尤其是金融及其他對(duì)安全性要求較高的行業(yè)，由運(yùn)營(yíng)商為3G用戶分配特定的用戶名和密碼，3G用戶使用該用戶名和密碼接入網(wǎng)絡(luò)后，運(yùn)營(yíng)商接入設(shè)備，如LAC(L2TP?Access?Concentrator，L2TP訪問(wèn)集中器)負(fù)責(zé)與企業(yè)總部LNS(L2TP?Network?Server，L2TP網(wǎng)絡(luò)服務(wù)器)設(shè)備建立L2TP隧道，使3G用戶方便靈活的接入企業(yè)總部網(wǎng)絡(luò)。

3G?VPDN提供方便靈活的接入的同時(shí)，企業(yè)為保證接入的安全性，要求只有指定用戶，如特定的3G數(shù)據(jù)卡號(hào)和/或3G?UIM/SIM卡號(hào)(其中UIM是User?Identity?Model的英文縮寫(xiě)，表示用戶識(shí)別模塊；SIM是Subscriber?IdentityModule的英文縮寫(xiě)，表示客戶識(shí)別模塊；其中，SIM卡和UIM卡也可稱為用戶識(shí)別卡)對(duì)應(yīng)的用戶才允許接入。

圖1示出了一種典型的3G?VPDN組網(wǎng)的示意圖，其中，3G路由器作為L(zhǎng)2TP客戶端設(shè)備，運(yùn)營(yíng)商處的路由器(如圖中的RouterA)作為L(zhǎng)2TP隧道的LAC設(shè)備，企業(yè)總部的路由器(如圖中的RouterB)作為L(zhǎng)2TP隧道的LNS設(shè)備，企業(yè)網(wǎng)點(diǎn)的3G路由器通過(guò)3G無(wú)線網(wǎng)絡(luò)連接到運(yùn)營(yíng)商的LAC設(shè)備，企業(yè)總部的LNS設(shè)備一般是通過(guò)有線方式與運(yùn)營(yíng)商的LAC設(shè)備相連接。

客戶端3G路由器配置PPP賬戶，連接到LAC設(shè)備后，經(jīng)運(yùn)營(yíng)商處的RADIUS(Remote?Authentication?Dial?In?User?Service，遠(yuǎn)程用戶撥號(hào)認(rèn)證)服務(wù)器認(rèn)證。

基于圖1所示的3G?VPDN組網(wǎng)架構(gòu)，圖2示出了VPDN(L2TP)的處理流程：

步驟1～5：客戶端(如圖中的遠(yuǎn)程系統(tǒng)主機(jī)A)首先向LAC設(shè)備發(fā)起PPP連接建立請(qǐng)求，進(jìn)行PPP?LCP協(xié)商和認(rèn)證，LAC設(shè)備對(duì)撥號(hào)用戶的驗(yàn)證是通過(guò)AAA服務(wù)器(如圖中的LAC?RADIUS服務(wù)器)實(shí)現(xiàn)的。其中，AAA服務(wù)器上存儲(chǔ)了所有VPN用戶的資料，LAC設(shè)備在獲得撥入用戶的用戶名、口令等信息之后，在AAA服務(wù)器上找到對(duì)應(yīng)的用戶資料，并對(duì)用戶進(jìn)行驗(yàn)證。驗(yàn)證的方式可以采用PAP(Password?Authentication?Protocol，密鑰驗(yàn)證協(xié)議)或CHAP(Challenge-Handshake?Authentication?Protocol，挑戰(zhàn)握手認(rèn)證協(xié)議)；PAP方式要求用戶提供正確的密碼，密碼正確的話可以通過(guò)驗(yàn)證，CHAP方式要對(duì)用戶發(fā)一個(gè)盤(pán)問(wèn)(Challenge)，用戶用共有的加密方式回答盤(pán)問(wèn)之后才可以通過(guò)驗(yàn)證。

步驟6～8：LAC設(shè)備認(rèn)證通過(guò)后向LNS設(shè)備發(fā)起L2TP隧道建立請(qǐng)求，LAC設(shè)備和LNS設(shè)備為了相互驗(yàn)證對(duì)方的有效性可以使用隧道的CHAP認(rèn)證(可選)。

步驟9～11：隧道建立后LAC設(shè)備將客戶端信息發(fā)送給LNS設(shè)備，LNS設(shè)備將認(rèn)證信息發(fā)送給AAA服務(wù)器(如圖中的LNS?RADIUS服務(wù)器)，認(rèn)證通過(guò)后向客戶端分配IP地址等信息。

發(fā)明人在實(shí)現(xiàn)本發(fā)明的過(guò)程中，發(fā)現(xiàn)現(xiàn)有技術(shù)至少存在以下缺陷：