一种基于ppp协议的认证方法、系统及其装置的制作方法

专利名称：一种基于ppp协议的认证方法、系统及其装置的制作方法
技术领域：
本发明涉及网络通信技术领域，特别是涉及一种基于PPP协议的认证方法、系统及其装置。
背景技术：
互联网已成为全社会的信息基础设施，企业端的应用也大都基于IP，在互联网上构筑应用系统已成为必然趋势，因此基于IP的VPN(Virtual PrivateNetwork，虚拟专用网)业务获得了极大的增长空间。VPN被定义为通过一个公用网络建立一个临时的、安全的连接。虚拟专用网是对企业内部网的扩展，虚拟专用网可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接，并保证数据的安全传输。
Access VPN(Access Virtual Private Network，移动虚拟专用网)是VPN中的一种，这种方式的VPN解决了出差员工在异地访问企业内部私有网的问题，提供身份验证、授权和计费的功能。移动VPN的常见实现方案就是用L2TP(Layer 2 Tunneling Protocol，第二层隧道协议)协议承载PPP协议(Point-to-Point Protocol，点对点协议)实现。L2TP协议用于构建PPP的隧道和会话，然后由PPP协议完成配置协商，身份认证以及内网IP地址分配，最后携带IP数据报文完成VPN数据报文交互。常见组网有两种，如图1所示，VPN客户端本身具有PPP和LAC(L2TP Access Concentrator，L2TP访问集中器)功能，直接与VPN服务器建立隧道，VPN服务器Radius(RemoteAuthentication Dial-In User Service，远程身份验证拨号用户服务)是VPN服务器的认证服务器，用来配合VPN服务器完成对接入用户身份的验证和授权。
现有技术的缺点是PPP协议认证方式相对简单，不能采用类似EAD(Endpoint Admission Defense，端点准入防御方案)的安全认证，没有控制病毒、蠕虫的蔓延和主动防御对网络的非法入侵的功能，无法满足用户对VPN安全性的要求。因为一些用户总害怕内部的数据在互联网上传输不安全，严重影响了VPN的应用普及。

发明内容
本发明要解决的问题是提供基于PPP协议的认证方法和系统，保证只有安全的用户才可以接入共用网络。
为达到上述目的，本发明的实施例的技术方案提出一种基于点到点PPP协议的认证方法，包括以下步骤虚拟局域网VPN客户端向远程身份认证拨号用户服务Radius服务器发起身份认证；在通过身份认证后，向VPN客户端下发包含安全策略服务器配置信息的报文；所述VPN客户端根据所述配置信息与所述安全策略服务器建立连接，进行安全认证。
其中，在所述Radius服务器将带有所述配置信息的报文下发给VPN客户端之前，还包括以下步骤将所述配置信息存入Radius服务器。
其中，所述Radius服务器将配置信息下发给所述VPN客户端，具体包括以下步骤所述Radius服务器将所述配置信息传给VPN服务器；所述VPN服务器将所述配置信息取出后下发给VPN客户端。
其中，所述VPN服务器将所述配置信息取出后下发给VPN客户端，进一步包括以下步骤所述VPN服务器将所述配置信息取出；所述VPN服务器将所述配置信息封装为可扩展的PPP数据报文，通过PPP协议下发给所述VPN客户端。
其中，所述VPN客户端根据所述配置信息与安全策略服务器建立连接，具体包括所述VPN客户端将所述可扩展的PPP数据报文取出后，解封装并获取所述配置信息，根据所述配置信息建立与所述安全策略服务器的连接。
其中，所述配置信息包括安全策略服务器的IP地址和/或端口号。
本发明的实施例的技术方案还提出一种基于PPP协议的认证系统，包括包括VPN服务器、VPN客户端、Radius服务器和安全策略服务器，所述Radius服务器，用于在PPP协议身份认证通过后，将带有安全策略服务器配置信息的报文下发给VPN客户端；所述VPN客户端，用于根据收到所述Radius服务器发来的安全策略服务器配置信息，建立与所述安全策略服务器的连接，进行安全认证。
其中，所述Radius服务器包括身份检测模块和下发模块，所述身份检测模块用于检测所述VPN客户端是否通过PPP协议身份认证；所述下发模块用于在所述身份检测模块判断通过PPP协议身份认证后，将带有所述安全策略服务器配置信息的报文下发给VPN客户端。
其中，所述VPN客户端包括有连接建立模块，用于建立所述VPN客户端与所述安全策略服务器的连接。
本发明的实施例的技术方案还提出一种Radius服务器，包括身份检测模块和下发模块，所述身份检测模块用于检测所述VPN客户端是否通过PPP协议身份认证；所述下发模块用于在所述身份检测模块判断通过PPP协议身份认证后，将带有所述安全策略服务器配置信息的报文下发给VPN客户端。
本发明的实施例的技术方案实现了PPP协议认证过程的扩展，在用户认证之后进行安全认证，通过增加的安全认证来验证用户是否符合网络的安全策略，保证只有安全的用户才可以接入共用网络。


图1为现有技术的VPN常见的组网图；图2为本发明实施例采用EAD方案的VPN组网图；图3为本发明实施例的基于PPP协议的认证系统的结构图；图4为本发明实施例的基于PPP协议的认证方法的流程图；图5为本发明实施例的基于PPP协议的认证方法的具体实施例的流程图；图6为本发明实施例的以IP为配置信息的基于PPP协议的认证方法的流程图。
具体实施例方式
下面结合附图和实施例，对本发明的具体实施方式
作进一步详细描述
如图2所示，为本发明实施例采用EAD方案的VPN组网图，本发明实施例可以在用户接入网络前，强制检查用户终端的安全状态，并根据对用户终端安全状态的检查结果，强制实施用户接入控制策略。如果VPN客户端通过安全认证，则可以进入网络；如果VPN客户端未通过安全认证，则保留在隔离区等待后续处理。这样不仅提高了网络终端主动防御的能力，还可以控制病毒、蠕虫的蔓延。
本发明实施例整合了VPN的PPP协议身份认证功能和EAD方案的安全认证功能，在VPN客户端通过PPP协议身份认证通过后，将带有安全策略服务器配置信息的报文下发给VPN客户端，建立VPN客户端与安全策略服务器的连接，完成对VPN客户端的安全认证检查，保证了接入网络的PPP协议用户都是安全的使用者。
如图3所示的本发明实施例基于PPP协议的认证系统的结构图。
一种基于PPP协议的认证系统，包括VPN客户端1、VPN服务器2、Radius服务器3和安全策略服务器4，Radius服务器3主要用于完成对接入用户身份的验证和确认。
其中，该Radius服务器3包括身份检测模块31和下发模块32，其中，身份检测模块31用于检测VPN客户端1是否通过PPP协议身份认证；下发模块32用于在身份检测模块检测到VPN客户端1已经通过PPP协议身份认证后，将带有安全策略服务器配置信息的报文下发给VPN客户端1。
在本实施例中，下发模块32所发送的安全策略服务器4的配置信息为该安全策略服务器4的IP和/或端口号，还可以是其他可以使VPN客户端与安全策略服务器4建立起连接的信息。
VPN客户端还包括有连接建立模块11，用于建立与安全策略服务器4的连接，其建立连接的过程如下当VPN客户端1通过身份认证，在收到Radius服务器3的带有安全策略服务器4的IP和/或端口号的协议报文后，根据IP和/或端口号与安全策略服务器4建立连接，进行安全认证，确保接入网络的PPP协议用户都是安全的使用者。
综上，基于PPP协议的VPN客户端安全认证过程如下首先，由VPN客户端1根据PPP协议向VPN服务器2发起身份认证，具体为VPN客户端1向VPN服务器2发起L2TP协商；在L2TP协商成功后，VPN客户端1再次向VPN服务器2发起PPP链路协商，与其建立链路连接；在经协商建立链路连接后，VPN客户端1通过VPN服务器2向Radius服务器3发起身份认证请求，Radius服务器3应身份认证请求对VPN客户端进行身份认证。
当Radius服务器3身份检测模块31确定VPN客户端1已通过了PPP协议身份认证，则由下发模块32将协议封装模块32中的带有安全策略服务器4的IP和/或端口号的信息通过VPN服务器2发送给VPN客户端1。
VPN客户端的连接建立模块11根据收到Radius服务器3的IP和/或端口号，建立与安全策略服务器4的连接，由VPN客户端1直接向安全策略服务器4发起安全认证。
安全策略服务器4通过Radius服务器3和VPN服务器2对VPN客户端1进行安全认证，并向其发送安全认证结果信息。
当VPN客户端通过了安全认证，则VPN客户端可以访问网络；否则，将VPN客户端隔离在网络之外。
如图4所示，为本发明实施例的一种基于PPP协议的认证方法的流程图。该认证方法包括以下步骤步骤S401进行PPP协议身份认证，具体过程如下，由VPN客户端1向VPN服务器2发起L2TP协商；在L2TP协商成功后，VPN客户端1再次向VPN服务器2发起PPP链路协商；在协商成功后，VPN客户端1通过VPN服务器2向Radius服务器发起身份认证请求，VPN服务器将用户名和密码通过Radius服务协议传给Radius服务器，实现身份认证。
步骤S402在PPP协议身份认证通过后，Radius服务器将带有配置信息的报文下发给VPN客户端，该配置信息可以是安全策略服务器的IP和/或端口号，也可以是任何能够使VPN客户端准确找到安全策略服务器的任何配置。
步骤S403该VPN客户端根据收到的配置信息与安全策略服务器建立连接，进行安全认证；当VPN客户端通过安全认证，则可以进入网络；当VPN客户端未通过安全认证，则保留在隔离区等待后续处理。
如图5所示，为本发明实施例的基于PPP协议的认证方法的具体实施例的流程图，包括以下步骤步骤S501将安全策略服务器的配置信息存入Radius服务器，该配置信息可以是IP和/或端口号，也可以是能够使VPN客户端准确找到安全策略服务器的任何配置。
步骤S502进行PPP协议身份认证，具体过程如下，由VPN客户端1向VPN服务器2发起L2TP协商；在L2TP协商成功后，VPN客户端1再次向VPN服务器2发起PPP链路协商；在链路协商成功后，VPN客户端1通过VPN服务器2向Radius服务器发起身份认证请求，VPN服务器将用户名和密码通过Radius服务协议传给Radius服务器，完成身份认证过程。
步骤S503在PPP协议身份认证通过后，Radius服务器将配置信息下发给VPN客户端。具体过程如下，将安全策略服务器的配置信息通过Radius服务协议传给VPN服务器；VPN服务器将配置信息取出；VPN服务器将配置信息封装为可扩展的PPP数据报文，通过PPP协议下发给VPN客户端。
步骤S504该VPN客户端根据收到的配置信息与安全策略服务器建立连接，进行EAD安全认证；当VPN客户端通过安全认证，则可以进入网络；当VPN客户端未通过安全认证，则保留在隔离区等待后续处理。
如图6所示，为本发明实施例的以IP为配置信息的基于PPP协议的认证方法的流程图，包括以下步骤步骤S601将安全策略服务器的IP信息存入Radius服务器。
步骤S602进行标准的PPP协议身份认证，具体过程如下，由VPN客户端1向VPN服务器2发起L2TP协商；在L2TP协商成功后，VPN客户端1再次向VPN服务器2发起PPP链路协商；在链路协商成功后，VPN客户端1通过VPN服务器2向Radius服务器发起携带身份认证信息的身份认证请求，VPN服务器将VPN用户的身份认证信息，如用户名和密码，通过Radius服务协议的报文传给Radius服务器，由Radius服务器对VPN客户端进行身份认证。
步骤S603在通过PPP协议身份认证后，Radius服务器将该IP信息通过Radius服务协议报文传给VPN服务器。
步骤S604VPN服务器将IP信息从Radius服务协议报文中取出，再将IP信息封装为可扩展的PPP数据报文，通过PPP协议下发给VPN客户端。
步骤S605VPN客户端解开此扩展的PPP数据报文获取安全策略服务器的IP信息，并与之建立连接。
步骤S606VPN客户端向安全策略服务器进行安全认证，具体过程如下，由VPN客户端直接向安全策略服务器发起安全认证请求，安全策略服务器将安全认证通过信息通过Radius服务器和VPN服务器发送给VPN客户端；当VPN客户端通过安全认证，则可以进入网络；当VPN客户端未通过安全认证，则保留在隔离区等待后续处理。
本发明实现了PPP协议认证过程的扩展，在PPP协议用户认证之后进行EAD安全认证，通过增加的安全认证来验证用户是否符合网络的安全策略，保证了只有安全的用户才可以接入共用网络。
以上所述仅是本发明的优选实施方式，应当指出，对于本技术领域的普通技术人员来说，在不脱离本发明原理的前提下，还可以做出若干改进和润饰，这些改进和润饰也应视为本发明的保护范围。
权利要求
1.一种基于点到点PPP协议的认证方法，其特征在于，包括以下步骤虚拟局域网VPN客户端向远程身份认证拨号用户服务Radius服务器发起身份认证；在通过身份认证后，向VPN客户端下发包含安全策略服务器配置信息的报文；所述VPN客户端根据所述配置信息与所述安全策略服务器建立连接，进行安全认证。
2.如权利要求1所述基于PPP协议的认证方法，其特征在于，在所述Radius服务器将带有所述配置信息的报文下发给VPN客户端之前，还包括以下步骤将所述配置信息存入Radius服务器。
3.如权利要求1所述基于PPP协议的认证方法，其特征在于，所述Radius服务器将所述配置信息下发给VPN客户端，具体包括以下步骤所述Radius服务器将所述配置信息传给VPN服务器；所述VPN服务器将所述配置信息取出后下发给VPN客户端。
4.如权利要求3所述基于PPP协议的认证方法，其特征在于，所述VPN服务器将所述配置信息取出后下发给VPN客户端，进一步包括以下步骤所述VPN服务器将所述配置信息取出；所述VPN服务器将所述配置信息封装为可扩展的PPP数据报文，通过PPP协议下发给所述VPN客户端。
5.如权利要求1所述基于PPP协议的认证方法，其特征在于，所述VPN客户端根据所述配置信息与安全策略服务器建立连接，具体包括所述VPN客户端将所述可扩展的PPP数据报文取出后，解封装并获取所述配置信息，根据所述配置信息建立与所述安全策略服务器的连接。
6.如权利要求1-5中任一项所述基于PPP协议的认证方法，其特征在于，所述配置信息包括安全策略服务器的IP地址和/或端口号。
7.一种基于PPP协议的认证系统，包括VPN服务器，其特征在于，还包括VPN客户端、Radius服务器和安全策略服务器，所述Radius服务器，用于在PPP协议身份认证通过后，将带有安全策略服务器配置信息的报文下发给VPN客户端；所述VPN客户端，用于根据收到所述Radius服务器发来的安全策略服务器配置信息，建立与所述安全策略服务器的连接，进行安全认证。
8.如权利要求7所述基于PPP协议的认证系统，其特征在于，所述Radius服务器包括身份检测模块和下发模块，所述身份检测模块用于检测所述VPN客户端是否通过PPP协议身份认证；所述下发模块用于在所述身份检测模块判断通过PPP协议身份认证后，将带有所述安全策略服务器配置信息的报文下发给VPN客户端。
9.如权利要求7所述基于PPP协议的认证系统，其特征在于，所述VPN客户端包括有连接建立模块，用于建立所述VPN客户端与所述安全策略服务器的连接。
10.一种Radius服务器，其特征在于，包括身份检测模块和下发模块，所述身份检测模块用于检测所述VPN客户端是否通过PPP协议身份认证；所述下发模块用于在所述身份检测模块检测到VPN客户端已通过PPP协议身份认证后，将带有所述安全策略服务器配置信息的报文下发给VPN客户端。
全文摘要
本发明公开了一种基于PPP协议的认证方法，包括以下步骤虚拟局域网VPN客户端向远程身份认证拨号用户服务Radius服务器发起身份认证；在通过身份认证后，向VPN客户端下发包含安全策略服务器配置信息的报文；所述VPN客户端根据所述配置信息与所述安全策略服务器建立连接，进行安全认证。通过增加的安全认证来验证用户是否符合网络的安全策略，保证只有安全的用户才可以接入共用网络。
文档编号H04L9/32GK101018232SQ20071008651
公开日2007年8月15日 申请日期2007年3月12日 优先权日2007年3月12日
发明者金亮, 李冬, 王博, 杜凤山, 刘恒胜 申请人:杭州华为三康技术有限公司