专利名称:一种基于ppp协议的认证方法、系统及其装置的制作方法
技术领域:
本发明涉及网络通信技术领域,特别是涉及一种基于PPP协议的认证方法、系统及其装置。
背景技术:
互联网已成为全社会的信息基础设施,企业端的应用也大都基于IP,在互联网上构筑应用系统已成为必然趋势,因此基于IP的VPN(Virtual PrivateNetwork,虚拟专用网)业务获得了极大的增长空间。VPN被定义为通过一个公用网络建立一个临时的、安全的连接。虚拟专用网是对企业内部网的扩展,虚拟专用网可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接,并保证数据的安全传输。
Access VPN(Access Virtual Private Network,移动虚拟专用网)是VPN中的一种,这种方式的VPN解决了出差员工在异地访问企业内部私有网的问题,提供身份验证、授权和计费的功能。移动VPN的常见实现方案就是用L2TP(Layer 2 Tunneling Protocol,第二层隧道协议)协议承载PPP协议(Point-to-Point Protocol,点对点协议)实现。L2TP协议用于构建PPP的隧道和会话,然后由PPP协议完成配置协商,身份认证以及内网IP地址分配,最后携带IP数据报文完成VPN数据报文交互。常见组网有两种,如图1所示,VPN客户端本身具有PPP和LAC(L2TP Access Concentrator,L2TP访问集中器)功能,直接与VPN服务器建立隧道,VPN服务器Radius(RemoteAuthentication Dial-In User Service,远程身份验证拨号用户服务)是VPN服务器的认证服务器,用来配合VPN服务器完成对接入用户身份的验证和授权。
现有技术的缺点是PPP协议认证方式相对简单,不能采用类似EAD(Endpoint Admission Defense,端点准入防御方案)的安全认证,没有控制病毒、蠕虫的蔓延和主动防御对网络的非法入侵的功能,无法满足用户对VPN安全性的要求。因为一些用户总害怕内部的数据在互联网上传输不安全,严重影响了VPN的应用普及。
发明内容
本发明要解决的问题是提供基于PPP协议的认证方法和系统,保证只有安全的用户才可以接入共用网络。
为达到上述目的,本发明的实施例的技术方案提出一种基于点到点PPP协议的认证方法,包括以下步骤虚拟局域网VPN客户端向远程身份认证拨号用户服务Radius服务器发起身份认证;在通过身份认证后,向VPN客户端下发包含安全策略服务器配置信息的报文;所述VPN客户端根据所述配置信息与所述安全策略服务器建立连接,进行安全认证。
其中,在所述Radius服务器将带有所述配置信息的报文下发给VPN客户端之前,还包括以下步骤将所述配置信息存入Radius服务器。
其中,所述Radius服务器将配置信息下发给所述VPN客户端,具体包括以下步骤所述Radius服务器将所述配置信息传给VPN服务器;所述VPN服务器将所述配置信息取出后下发给VPN客户端。
其中,所述VPN服务器将所述配置信息取出后下发给VPN客户端,进一步包括以下步骤所述VPN服务器将所述配置信息取出;所述VPN服务器将所述配置信息封装为可扩展的PPP数据报文,通过PPP协议下发给所述VPN客户端。
其中,所述VPN客户端根据所述配置信息与安全策略服务器建立连接,具体包括所述VPN客户端将所述可扩展的PPP数据报文取出后,解封装并获取所述配置信息,根据所述配置信息建立与所述安全策略服务器的连接。
其中,所述配置信息包括安全策略服务器的IP地址和/或端口号。
本发明的实施例的技术方案还提出一种基于PPP协议的认证系统,包括包括VPN服务器、VPN客户端、Radius服务器和安全策略服务器,所述Radius服务器,用于在PPP协议身份认证通过后,将带有安全策略服务器配置信息的报文下发给VPN客户端;所述VPN客户端,用于根据收到所述Radius服务器发来的安全策略服务器配置信息,建立与所述安全策略服务器的连接,进行安全认证。
其中,所述Radius服务器包括身份检测模块和下发模块,所述身份检测模块用于检测所述VPN客户端是否通过PPP协议身份认证;所述下发模块用于在所述身份检测模块判断通过PPP协议身份认证后,将带有所述安全策略服务器配置信息的报文下发给VPN客户端。
其中,所述VPN客户端包括有连接建立模块,用于建立所述VPN客户端与所述安全策略服务器的连接。
本发明的实施例的技术方案还提出一种Radius服务器,包括身份检测模块和下发模块,所述身份检测模块用于检测所述VPN客户端是否通过PPP协议身份认证;所述下发模块用于在所述身份检测模块判断通过PPP协议身份认证后,将带有所述安全策略服务器配置信息的报文下发给VPN客户端。
本发明的实施例的技术方案实现了PPP协议认证过程的扩展,在用户认证之后进行安全认证,通过增加的安全认证来验证用户是否符合网络的安全策略,保证只有安全的用户才可以接入共用网络。
图1为现有技术的VPN常见的组网图;图2为本发明实施例采用EAD方案的VPN组网图;图3为本发明实施例的基于PPP协议的认证系统的结构图;图4为本发明实施例的基于PPP协议的认证方法的流程图;图5为本发明实施例的基于PPP协议的认证方法的具体实施例的流程图;图6为本发明实施例的以IP为配置信息的基于PPP协议的认证方法的流程图。
具体实施例方式
下面结合附图和实施例,对本发明的具体实施方式
作进一步详细描述
如图2所示,为本发明实施例采用EAD方案的VPN组网图,本发明实施例可以在用户接入网络前,强制检查用户终端的安全状态,并根据对用户终端安全状态的检查结果,强制实施用户接入控制策略。如果VPN客户端通过安全认证,则可以进入网络;如果VPN客户端未通过安全认证,则保留在隔离区等待后续处理。这样不仅提高了网络终端主动防御的能力,还可以控制病毒、蠕虫的蔓延。
本发明实施例整合了VPN的PPP协议身份认证功能和EAD方案的安全认证功能,在VPN客户端通过PPP协议身份认证通过后,将带有安全策略服务器配置信息的报文下发给VPN客户端,建立VPN客户端与安全策略服务器的连接,完成对VPN客户端的安全认证检查,保证了接入网络的PPP协议用户都是安全的使用者。
如图3所示的本发明实施例基于PPP协议的认证系统的结构图。
一种基于PPP协议的认证系统,包括VPN客户端1、VPN服务器2、Radius服务器3和安全策略服务器4,Radius服务器3主要用于完成对接入用户身份的验证和确认。
其中,该Radius服务器3包括身份检测模块31和下发模块32,其中,身份检测模块31用于检测VPN客户端1是否通过PPP协议身份认证;下发模块32用于在身份检测模块检测到VPN客户端1已经通过PPP协议身份认证后,将带有安全策略服务器配置信息的报文下发给VPN客户端1。
在本实施例中,下发模块32所发送的安全策略服务器4的配置信息为该安全策略服务器4的IP和/或端口号,还可以是其他可以使VPN客户端与安全策略服务器4建立起连接的信息。
VPN客户端还包括有连接建立模块11,用于建立与安全策略服务器4的连接,其建立连接的过程如下当VPN客户端1通过身份认证,在收到Radius服务器3的带有安全策略服务器4的IP和/或端口号的协议报文后,根据IP和/或端口号与安全策略服务器4建立连接,进行安全认证,确保接入网络的PPP协议用户都是安全的使用者。
综上,基于PPP协议的VPN客户端安全认证过程如下首先,由VPN客户端1根据PPP协议向VPN服务器2发起身份认证,具体为VPN客户端1向VPN服务器2发起L2TP协商;在L2TP协商成功后,VPN客户端1再次向VPN服务器2发起PPP链路协商,与其建立链路连接;在经协商建立链路连接后,VPN客户端1通过VPN服务器2向Radius服务器3发起身份认证请求,Radius服务器3应身份认证请求对VPN客户端进行身份认证。
当Radius服务器3身份检测模块31确定VPN客户端1已通过了PPP协议身份认证,则由下发模块32将协议封装模块32中的带有安全策略服务器4的IP和/或端口号的信息通过VPN服务器2发送给VPN客户端1。
VPN客户端的连接建立模块11根据收到Radius服务器3的IP和/或端口号,建立与安全策略服务器4的连接,由VPN客户端1直接向安全策略服务器4发起安全认证。
安全策略服务器4通过Radius服务器3和VPN服务器2对VPN客户端1进行安全认证,并向其发送安全认证结果信息。
当VPN客户端通过了安全认证,则VPN客户端可以访问网络;否则,将VPN客户端隔离在网络之外。
如图4所示,为本发明实施例的一种基于PPP协议的认证方法的流程图。该认证方法包括以下步骤步骤S401进行PPP协议身份认证,具体过程如下,由VPN客户端1向VPN服务器2发起L2TP协商;在L2TP协商成功后,VPN客户端1再次向VPN服务器2发起PPP链路协商;在协商成功后,VPN客户端1通过VPN服务器2向Radius服务器发起身份认证请求,VPN服务器将用户名和密码通过Radius服务协议传给Radius服务器,实现身份认证。
步骤S402在PPP协议身份认证通过后,Radius服务器将带有配置信息的报文下发给VPN客户端,该配置信息可以是安全策略服务器的IP和/或端口号,也可以是任何能够使VPN客户端准确找到安全策略服务器的任何配置。
步骤S403该VPN客户端根据收到的配置信息与安全策略服务器建立连接,进行安全认证;当VPN客户端通过安全认证,则可以进入网络;当VPN客户端未通过安全认证,则保留在隔离区等待后续处理。
如图5所示,为本发明实施例的基于PPP协议的认证方法的具体实施例的流程图,包括以下步骤步骤S501将安全策略服务器的配置信息存入Radius服务器,该配置信息可以是IP和/或端口号,也可以是能够使VPN客户端准确找到安全策略服务器的任何配置。
步骤S502进行PPP协议身份认证,具体过程如下,由VPN客户端1向VPN服务器2发起L2TP协商;在L2TP协商成功后,VPN客户端1再次向VPN服务器2发起PPP链路协商;在链路协商成功后,VPN客户端1通过VPN服务器2向Radius服务器发起身份认证请求,VPN服务器将用户名和密码通过Radius服务协议传给Radius服务器,完成身份认证过程。
步骤S503在PPP协议身份认证通过后,Radius服务器将配置信息下发给VPN客户端。具体过程如下,将安全策略服务器的配置信息通过Radius服务协议传给VPN服务器;VPN服务器将配置信息取出;VPN服务器将配置信息封装为可扩展的PPP数据报文,通过PPP协议下发给VPN客户端。
步骤S504该VPN客户端根据收到的配置信息与安全策略服务器建立连接,进行EAD安全认证;当VPN客户端通过安全认证,则可以进入网络;当VPN客户端未通过安全认证,则保留在隔离区等待后续处理。
如图6所示,为本发明实施例的以IP为配置信息的基于PPP协议的认证方法的流程图,包括以下步骤步骤S601将安全策略服务器的IP信息存入Radius服务器。
步骤S602进行标准的PPP协议身份认证,具体过程如下,由VPN客户端1向VPN服务器2发起L2TP协商;在L2TP协商成功后,VPN客户端1再次向VPN服务器2发起PPP链路协商;在链路协商成功后,VPN客户端1通过VPN服务器2向Radius服务器发起携带身份认证信息的身份认证请求,VPN服务器将VPN用户的身份认证信息,如用户名和密码,通过Radius服务协议的报文传给Radius服务器,由Radius服务器对VPN客户端进行身份认证。
步骤S603在通过PPP协议身份认证后,Radius服务器将该IP信息通过Radius服务协议报文传给VPN服务器。
步骤S604VPN服务器将IP信息从Radius服务协议报文中取出,再将IP信息封装为可扩展的PPP数据报文,通过PPP协议下发给VPN客户端。
步骤S605VPN客户端解开此扩展的PPP数据报文获取安全策略服务器的IP信息,并与之建立连接。
步骤S606VPN客户端向安全策略服务器进行安全认证,具体过程如下,由VPN客户端直接向安全策略服务器发起安全认证请求,安全策略服务器将安全认证通过信息通过Radius服务器和VPN服务器发送给VPN客户端;当VPN客户端通过安全认证,则可以进入网络;当VPN客户端未通过安全认证,则保留在隔离区等待后续处理。
本发明实现了PPP协议认证过程的扩展,在PPP协议用户认证之后进行EAD安全认证,通过增加的安全认证来验证用户是否符合网络的安全策略,保证了只有安全的用户才可以接入共用网络。
以上所述仅是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也应视为本发明的保护范围。
权利要求
1.一种基于点到点PPP协议的认证方法,其特征在于,包括以下步骤虚拟局域网VPN客户端向远程身份认证拨号用户服务Radius服务器发起身份认证;在通过身份认证后,向VPN客户端下发包含安全策略服务器配置信息的报文;所述VPN客户端根据所述配置信息与所述安全策略服务器建立连接,进行安全认证。
2.如权利要求1所述基于PPP协议的认证方法,其特征在于,在所述Radius服务器将带有所述配置信息的报文下发给VPN客户端之前,还包括以下步骤将所述配置信息存入Radius服务器。
3.如权利要求1所述基于PPP协议的认证方法,其特征在于,所述Radius服务器将所述配置信息下发给VPN客户端,具体包括以下步骤所述Radius服务器将所述配置信息传给VPN服务器;所述VPN服务器将所述配置信息取出后下发给VPN客户端。
4.如权利要求3所述基于PPP协议的认证方法,其特征在于,所述VPN服务器将所述配置信息取出后下发给VPN客户端,进一步包括以下步骤所述VPN服务器将所述配置信息取出;所述VPN服务器将所述配置信息封装为可扩展的PPP数据报文,通过PPP协议下发给所述VPN客户端。
5.如权利要求1所述基于PPP协议的认证方法,其特征在于,所述VPN客户端根据所述配置信息与安全策略服务器建立连接,具体包括所述VPN客户端将所述可扩展的PPP数据报文取出后,解封装并获取所述配置信息,根据所述配置信息建立与所述安全策略服务器的连接。
6.如权利要求1-5中任一项所述基于PPP协议的认证方法,其特征在于,所述配置信息包括安全策略服务器的IP地址和/或端口号。
7.一种基于PPP协议的认证系统,包括VPN服务器,其特征在于,还包括VPN客户端、Radius服务器和安全策略服务器,所述Radius服务器,用于在PPP协议身份认证通过后,将带有安全策略服务器配置信息的报文下发给VPN客户端;所述VPN客户端,用于根据收到所述Radius服务器发来的安全策略服务器配置信息,建立与所述安全策略服务器的连接,进行安全认证。
8.如权利要求7所述基于PPP协议的认证系统,其特征在于,所述Radius服务器包括身份检测模块和下发模块,所述身份检测模块用于检测所述VPN客户端是否通过PPP协议身份认证;所述下发模块用于在所述身份检测模块判断通过PPP协议身份认证后,将带有所述安全策略服务器配置信息的报文下发给VPN客户端。
9.如权利要求7所述基于PPP协议的认证系统,其特征在于,所述VPN客户端包括有连接建立模块,用于建立所述VPN客户端与所述安全策略服务器的连接。
10.一种Radius服务器,其特征在于,包括身份检测模块和下发模块,所述身份检测模块用于检测所述VPN客户端是否通过PPP协议身份认证;所述下发模块用于在所述身份检测模块检测到VPN客户端已通过PPP协议身份认证后,将带有所述安全策略服务器配置信息的报文下发给VPN客户端。
全文摘要
本发明公开了一种基于PPP协议的认证方法,包括以下步骤虚拟局域网VPN客户端向远程身份认证拨号用户服务Radius服务器发起身份认证;在通过身份认证后,向VPN客户端下发包含安全策略服务器配置信息的报文;所述VPN客户端根据所述配置信息与所述安全策略服务器建立连接,进行安全认证。通过增加的安全认证来验证用户是否符合网络的安全策略,保证只有安全的用户才可以接入共用网络。
文档编号H04L9/32GK101018232SQ20071008651
公开日2007年8月15日 申请日期2007年3月12日 优先权日2007年3月12日
发明者金亮, 李冬, 王博, 杜凤山, 刘恒胜 申请人:杭州华为三康技术有限公司