專利名稱:數據交互的方法、系統及設備的制作方法
技術領域:
本發明涉及通信技術領域,尤其涉及一種數據交互的方法、系統及設備。
背景技術:
VPDN (Virtual Private Dial-up Network,虛擬私有撥號網)是客戶端設備 通過ISDN (Integrated Service Digital Network,綜合業務凄t字網)或PSTN (Public Switched Telephone Network,公眾電話交換網)等有線通信網絡接入 公共網絡中,利用公共網絡中的虛擬專用隧道與企業內部的服務器設備進行 連接,從而形成的虛擬專用網絡。VPDN技術采用專用的網絡通信協議,可 以在公共網絡上建立安全性和可靠性很高的虛擬專用網絡。遠端用戶(例如 企業駐外機構)可經由建立在公共網絡上的虛擬專用網絡實現和企業總部之 間的網絡連接。
VPDN協議分為PPTP (Point to Point Tunneling Protocol,點對點隧道協 i義)、L2F( Layer 2 Forwarding Protocol , 二層轉發妨4義)和L2TP( Layer 2 tunnel protocol, 二層隧道協議)三種,目前使用最廣泛的是L2TP協議。L2TP協議 現有兩個版本,分別為RFC (Request For Comments,評定要求文件)2661 規定的L2TPv2 (L2TP version 2,第二版本L2TP)和RFC3931規定的L2TPv3 (L2TP version 3,第三版本L2TP)。 L2TPv3的協議架構和L2TPv2基本相同, 沒有實質性區別。
一種典型的L2TP應用場景如圖1所示,包括客戶端設備、LAC(L2TP access concentrator, L2TP訪問集中器)和LNS (L2TP network server , L2TP 網絡服務器)。客戶端設備與LAC通過有線ISDN網連接,LAC與LNS通過 IP網絡連接,LAC是L2TP運營商部署的設備,用于對L2TP業務進行集中 管理,LNS為企業用戶部署的設備,連接了企業內部私有網絡和企業外部的IP網絡,用于通過LAC與合法的客戶端設備進行業務數據交互,使合法的客 戶端設備可以訪問企業內部私有網絡中的資源。
圖l所示的場景中,首先,LAC與通過ISDN網接入的客戶端設備進行 LCP (Link Control Protocol,鏈路控制協議)協商,即建立與客戶端設備的數 據鏈路;數據鏈路建立成功后,客戶端設備通過數據鏈路向LAC發送用戶名 和密碼,LAC對客戶端設備的用戶名和密碼進行認證。具體的,LAC預先在 本地記錄多條合法的用戶名和密碼,每條合法記錄包含一個用戶名和與該用 戶名匹配的密碼,LAC將來自客戶端設備的用戶名和密碼與本地記錄進行比 較,若來自客戶端設備的用戶名和密碼符合本地的任意一條合法記錄,則LAC 判斷客戶端設備通過認證,即客戶端設備合法。之后,LAC根據客戶端設備 的用戶名查找客戶端^殳備對應的LNS,并與該LNS建立L2TP隧道和L2TP 會話。L2TP隧道和L2TP會話建立完成后,LNS通過LAC與客戶端設備進 行IPCP (IP Control Protocol, IP控制協議)協商,建立與客戶端設備的網絡 層連接,建立成功后,若LNS信任LAC的認證結果,可以直接通過LAC與 客戶端設備進行業務數據交互,但是,企業出于網絡安全考慮,LNS —般不 會完全信任LAC對客戶端設備的認證結果,而是對客戶端設備的合法性重新 進行認證,即重新認證客戶端設備的用戶名和密碼。具體的,LNS也在本地 記錄多條合法的用戶名和密碼信息,每條合法記錄包含一個用戶名和與該用 戶名匹配的密碼,LNS要求LAC轉發客戶端設備的用戶名和密碼并將其與本 地記錄進行比較,若來自LAC的客戶端設備的用戶名和密碼信息符合本地的 任意一條合法記錄,則LNS判斷客戶端設備通過認證,即客戶端設備合法, 認證通過后,LNS就可以通過LAC與客戶端設備進行業務數據交互。
隨著移動通信技術的發展,3G (3rd Generation,第三代數字通信)等移 動通信網絡已經成為應用非常廣泛的客戶端接入方式,L2TP技術完全可以與 移動通信網絡相結合,實現客戶端設備靈活、快速地接入到企業用戶設備 LNS,通過LNS訪問企業內部私有網絡。圖2所示是典型的L2TP技術與移 動通信網絡相結合的應用場景,其中的客戶端設備和LAC支持移動通信協議 和移動通信接口,客戶端設備與LAC通過移動通信網絡進行連接。具體的協商和認-〖正過程與圖1所示的場景相同。
在實現本發明的過程中,發明人發現現有技術存在以下問題 現有技術中,出于網絡安全考慮,LNS—般不會完全信任LAC對客戶端 設備的認證結果,而是對客戶端設備的合法性重新進行認證,即重新認證客 戶端設備的用戶名和密碼。雖然這種處理方式在一定程度上保證了企業內部 數據安全,但是,如果客戶端設備的用戶名和密碼外泄,或者其它用戶采用 不合法手段獲取到合法的用戶名和密碼,就可以使用任意客戶端設備連接到 LNS上,竊取企業私有網絡中的數據或是破壞企業內部私有網絡。因此,現 有的LNS對客戶端設備的認證機制存在安全隱患,無法有效保護企業的數據 和網癥各安全。
發明內容
本發明提供了一種數據交互的方法、系統及設備,防止獲得了合法用戶 名和密碼的惡意用戶使用任意客戶端設備訪問企業內部網絡,有效的保護了 企業內部的數據和網絡安全。
本發明提供了一種凝:據交互的方法,應用于包括LNS、 LAC和客戶端i殳 備的系統中,所述方法包括以下步驟
所述LNS接收來自所述LAC的所述客戶端設備的用戶名、密碼和唯一標
識;
所述LNS根據所ii^戶端設備的用戶名、密碼和唯一標識判斷所述客戶 端設備是否合法,若判斷結果為所ii^戶端設備合法,通過所述LAC與所述 客戶端設備進行業務數據交互,若判斷結果為所述客戶端設備不合法,拒絕 與所述客戶端設備的業務數據交互。
其中,所述LNS接收來自所述LAC的所述客戶端設備的用戶名、密碼和 唯一標識之前,還包括
所述LNS與所述LAC進行承載能力協商,才艮據來自對方的宣告承載能力 的AVP判斷對方是否能夠識別所述唯一標識,若協商結果為雙方都能夠識別 所述唯一標識,所述LAC向所述LNS發送所述客戶端設備的用戶名、密碼和唯一標識。
其中,所述LNS根據所述客戶端設備的用戶名、密碼和唯一標識判斷所
述客戶端設備是否合法包括
所述LNS將所述客戶端設備的用戶名、密碼和唯一標識與本地的合法的
用戶名、密碼和唯一標識記錄進行比較,若所述客戶端設備的用戶名、密碼
和唯一標識符合本地的任意一條合法記錄,則判斷所述客戶端設備合法,若
所述客戶端設備的用戶名、密碼和唯一標識不符合本地的任意一條合法記錄,
則判斷所述客戶端設備不合法。
其中,所述LNS接收來自所述LAC的所述客戶端設備的用戶名、密碼和
唯一標識之前,還包括
所述LAC接收來自所述客戶端設備的用戶名、密碼和唯一標識;
所述LAC根據所述客戶端設備的用戶名和密碼判斷所述客戶端設備是否
合法,若判斷結果為所述客戶端設備合法,向所述LNS發送所述客戶端設備
的用戶名、密碼和唯一標識,若判斷結果為所述客戶端設備不合法,斷開與
所述客戶端i殳備的連才妻。
其中,所述客戶端設備的唯一標識為所述客戶端設備的ESN和IMSI。 其中,所述LNS接收來自所述LAC的所述客戶端設備的唯一標識包括 所述LNS接收來自所述LAC的L2TP會話協商消息,所述ESN和IMSI
包含在所述L2TP會話協商消息的新增AVP中。
本發明提供了 一種LNS,應用于包括LNS、 LAC和客戶端設備的系統中, 包括接收單元、判斷單元和處理單元,其中,
所述接收單元,用于接收來自LAC的客戶端設備的用戶名、密碼和唯一 標識;;
所述判斷單元,與所述接收單元連接,用于根據所述接收單元接收的客 戶端設備的用戶名、密碼和唯一標識判斷所述客戶端設備是否合法;
所述處理單元,與所述判斷單元連接,用于若所述判斷單元的判斷結果 為是,通過所述LAC與所述客戶端設備進行業務數據交互。其中,還包括
協商單元,與所述接收單元連接,用于與所述LAC進行承載能力協商, 根據來自所述LAC的宣告承栽能力的AVP判斷所述LAC是否能夠識別所述 唯一標識,若協商結果為雙方都能夠識別所述唯一標識,啟動所述接收單元 等待接收來自所述LAC的客戶端設備的用戶名、密碼和唯一標識。
其中,所述判斷單元,具體用于將所述客戶端設備的用戶名、密碼和唯 一標識與本地的合法的用戶名、密碼和唯一標識記錄進行比較,若所述客戶 端設備的用戶名、密碼和唯一標識符合本地的任意一條合法記錄,則判斷所 述客戶端設備合法,若所述客戶端設備的用戶名、密碼和唯一標識不符合本 地的任意一條合法記錄,則判斷所述客戶端設備不合法。
其中,所述處理單元,還用于若所述判斷單元的判斷結果為否,拒絕與 所述客戶端設備的業務數據交互。
其中,所述客戶端設備的唯一標識為所述客戶端設備的ESN和IMSI,
則所述接收單元,具體用于接收來自所述LAC的L2TP會話協商消息, 所述ESN和IMSI包含在所述L2TP會話協商消息的新增AVP中;
則所述判斷單元,具體用于根據所述接收單元接收的客戶端設備的用戶 名、密碼、ESN和IMSI判斷所述客戶端設備是否合法。
本發明提供了 一種LAC ,應用于包括LNS 、 LAC和客戶端設備的系統中, 包括接收單元、判斷單元和處理單元,其中,
所述接收單元,用于接收來自所述客戶端設備的用戶名、密碼和唯一標
識;
所述判斷單元,與所述接收單元連接,用于根據所述接收單元接收的客 戶端設備的用戶名和密碼判斷所述客戶端設備是否合法;
所述處理單元,與所述判斷單元和所述接收單元分別連接,用于若所述 判斷單元的判斷結果為是,向所述LNS發送所述接收單元接收的客戶端設備 的用戶名、密碼和唯一標識,若所述判斷單元的判斷結果為否,斷開與所述 客戶端設備的連接。其中,還包括
協商單元,與所述處理單元連接,用于與所述LNS進行承載能力協商, 根據來自所述LNS的宣告承載能力的AVP判斷所述LNS是否能夠識別所述 唯一標識,若協商結果為雙方都能夠識別所述唯一標識,啟動所述處理單元 向所述LNS發送所述客戶端設備的用戶名、密碼和唯一標識。
其中,所述客戶端設備的唯一標識為所述客戶端設備的ESN和IMSI, 則所述接收單元,具體用于接收來自所述客戶端設備的用戶名、密碼、 ESN和IMSI;
所述處理單元,具體用于若所述判斷單元的判斷結果為是,向所述LNS 發送L2TP會話協商消息,所述ESN和IMSI包含在所述L2TP會話協商消息 的新增AVP中。
本發明中,LNS根據客戶端設備的用戶名、密碼和唯一標識對客戶端設 備進行認證,只有當客戶端設備的用戶名、密碼和唯一標識均與合法記錄匹 配時,LNS才與客戶端設備進行業務數據交互,從而防止獲得了合法用戶名 和密碼的惡意用戶使用任意客戶端設備訪問企業內部網絡,有效的保護了企 業內部的數據和網絡安全。
圖1是現有技術中一種L2TP應用場景示意圖; 圖2是現有技術中一種L2TP應用場景示意圖; 圖3是本發明中一種數據交互方法流程圖; 圖4是本發明中一種數據交互方法流程圖; 圖5是本發明中一種數據交互方法流程圖; 圖6是本發明中一種實現數據交互的系統結構圖; 圖7是本發明中 一種LNS結構圖; 圖8是本發明中 一種LAC結構圖。
具體實施例方式
本發明主要提供了一種數據交互的方法,主要思路是LNS根據客戶端 設備的用戶名、密碼和唯一標識對客戶端設備進行認{正,只有當客戶端設備 的用戶名、密碼和唯一標識均與合法記錄匹配時,LNS才與客戶端設備進行 業務數據交互,從而防止獲得了合法用戶名和密碼的惡意用戶使用了任意客 戶端設備訪問企業內部網絡,有效的保護了企業內部的數據和網絡安全。
本發明提出了一種數據交互的方法,應用于包括LNS、 LAC和客戶端設 備的系統中,所述方法如圖3所示,包括以下步驟
步驟301 , LNS接收來自LAC的客戶端設備的用戶名、密碼和唯一標識。 具體的,客戶端設備的唯一標識可以包含在L2TP會話協商消息中,客戶端設 備的唯一標識可以為客戶端設備的ESN ( Electronic Serial Number,電子序列 號)和IMSI (International Mobile Subscriber Identifier,國際移動用戶標識), 攜帶ESN和IMSI的可以為L2TP ^S舌協商消息,進一步的,可以為ICRQ (Incoming Call Request,傳入呼叫請求)消息或OCRP( Outcoming Call Reply, 傳出呼叫響應)消息,ESN和IMSI具體可以包含在ICRQ消息或OCRP消息 的新增AVP (Attribute Value Pair,屬性值對)中。
在步驟301之前,還可以包括LAC接收來自客戶端設備的用戶名、密 碼和唯一標識;LAC根據客戶端設備的用戶名和密碼判斷客戶端設備是否合 法,若判斷結果為所述客戶端設"法,向所述LNS發送客戶端設備的用戶 名、密碼和唯一標識。
在步驟301之前,還可以包括LNS與LAC進行承載能力協商,根據來 自對方的宣告承載能力的AVP判斷對方是否能夠識別唯一標識,若協商結果 為雙方都能夠識別唯一標識,LAC向LNS發送客戶端設備的用戶名、密碼和 唯一標識。
步驟302, LNS根據客戶端設備的用戶名、密碼和唯一標識判斷客戶端i殳 備是否合法,若判斷結果為客戶端設備合法,通過LAC與客戶端設備進行業 務數據交互,若判斷結果為客戶端設備不合法,拒絕與客戶端設備的業務數 據交互。具體的,LNS將客戶端設備的用戶名、密碼和唯一標識與本地的合法的 用戶名、密碼和唯一標識記錄進行比較,若客戶端設備的用戶名、密碼和唯 一標識符合本地的任意一條合法記錄,則判斷客戶端設備合法,若客戶端設 備的用戶名、密碼和唯一標識不符合本地的任意一條合法記錄,則判斷客戶 端設備不合法。
具體的,本發明提出了一種數據交互的方法,應用于包括LNS、 LAC和 客戶端設備的系統中,所述方法如圖4所示,包括以下步驟
步驟401, LAC接收來自客戶端設備的用戶名、密碼和唯一標識。
具體的,LAC需要與客戶端設備進行LCP協商,即建立與客戶端設備的 數據鏈路,并通過數據鏈路接收客戶端設備的用戶名、密碼和唯一標識。客 戶端設備的唯一標識為可以唯一標識客戶端設備身份的任何標識或標識組 合。例如,客戶端設備是支持3G接口的路由器,則客戶端的唯一標識可以為 該路由器的ESN和IMSI。
步驟402, LAC根據所述客戶端設備的用戶名和密碼判斷所述客戶端設 備是否合法,若判斷結果為是,轉步驟403,若判斷結果為否,轉步驟407。
具體的,LAC會在本地記錄多條合法的用戶名和密碼記錄,每條合法記 錄包含一個用戶名和與該用戶名匹配的密碼,LAC將來自客戶端設備的用戶 名和密碼與本地的記錄進行比較,若來自客戶端設備的用戶名和密碼符合本 地的任意一條合法記錄,則LAC判斷客戶端設備通過認證,即客戶端設^^ 法,若來自客戶端設備的用戶名和密碼不符合本地的任意一條合法記錄,則 LAC判斷客戶端設備不合法。
步驟403, LAC才艮據客戶端設備的用戶名查找對應的LNS,并與該LNS 建立L2TP隧道。
具體的,LAC會在本地記錄用戶名和LNS設備地址的對應關系,LAC 會根據該對應關系查找對應的LNS設備,獲取到LNS設備地址后,LAC會 通過公共網絡與LNS設備建立L2TP隧道。
步驟404, LAC通過L2TP隧道向LNS發送包含客戶端設備的用戶名、密碼和唯一標識。
具體的,LAC可以將客戶端設備的唯一標識攜帶在L2TP會話協商消息 中發送給LNS。還以客戶端設備是支持3G接口的路由器為例,客戶端設備的 唯一標識是該路由器的ESN和IMSI。若L2TP會話協商是由LAC發起的, 根據L2TP會話協商流程,則LAC需要將ESN和IMSI攜帶在ICRQ消息中 發送給LNS,若L2TP會話協商是由LNS發起的,則LAC需要將ESN和IMSI 攜帶在OCRP消息中發送給LNS。進一步的,LAC可以將客戶端設備的ESN 和IMSI攜帶在ICRQ消息或OCRP消息的新增AVP中。
步驟405, LNS根據所述客戶端設備的用戶名、密碼和唯一標識判斷所述 客戶端設備是否合法。若判斷結果為是,轉步驟406,若判斷結果為否,轉步 驟408。
具體的,LNS會在本地記錄多條合法的用戶名、密碼和唯一標識記錄, 每條合法記錄包含一個用戶名和與該用戶名匹配的密碼和唯一標識,LNS將 客戶端設備的用戶名、密碼和唯一標識與本地記錄的合法的用戶名、密碼和 唯一標識記錄進行比較,若客戶端設備的用戶名、密碼和唯一標識符合本地 的任意一條合法記錄,則判斷客戶端設備合法,若客戶端設備的用戶名、密 碼和唯一標識不符合本地的任意一條合法記錄,則判斷客戶端設備不合法。
步驟406, LNS通過LAC與客戶端設備進行業務數據交互,流程結束。 步驟407, LAC斷開與客戶端設備的連接,流程結束。 步驟408, LNS刪除與LAC間建立的L2TP會話,拒絕與客戶端設備進 行業務數據交互。
具體的,本發明提出了一種數據交互的方法,應用于包括LNS、 LAC和 客戶端設備的系統中,LAC與客戶端設備通過3G網絡連接,LNS與LAC通 過公共網絡連接,在LAC與LNS建立L2TP隧道的過程中,會通過L2TP控 制協商消息進行移動網絡承載能力協商,若雙方都可以識別客戶端設備的 ESN和IMSI, LAC將客戶端設備的用戶名、密碼、ESN和IMSI攜帶在L2TP 會話協商消息中發送給LNS,由LNS對客戶端設備進行認證,并且,給出了宣告承載能力的L2TP控制協商消息和攜帶ESN和IMSI的L2TP會話協商消 息的具體形式,所述方法如圖5所示,包括以下步驟
步驟501, LAC通過3G網絡接收來自所述客戶端設備的用戶名、密碼、 ESN和IMSI。
步驟502, LAC根據客戶端設備的用戶名和密碼判斷客戶端設備是否合 法,若判斷結果為是,轉步驟503,若判斷結果為否,轉步驟507。
步驟503, LAC與LNS進行承載能力協商,若LAC和LNS都可以識別 客戶端設備的ESN和IMSI,轉步驟504,若LAC和LNS其中任何一方不能 傳輸或識別客戶端設備的ESN和IMSI,轉步驟508。
現有技術中,RFC2661中對L2TP協議中的AVP格式定義如下
0 12 3
01234567890123456789012345678901
|M|H| rsvd I Length | Vendor ID |
I Attribute Type 1 Attribute Value...-,. |
+——+_+—+—+-+—+—+——+—+_+_—+_+—+——+—+_+—+——+—+_+—+—+—+—+—+—+—+
其中,各主要字段含義如下
Mandatory (M)比特位若置1,表示如果在L2TP控制協商或L2TP會 話協商過程中接收到不可識別的AVP,則終結L2TP控制協商或L2TP會話協 商;若置0,表示如果在L2TP控制協商或L2TP會話協商過程中接收到不可 識別的AVP,忽略該不可識別的AVP,繼續進行L2TP控制協商或L2TP會話 協商。
Hidden (H)比特位若置1,表示AVP中的屬性值(Attribute Value)字段 將以密文方式進行傳輸;若置O,表示AVP中的屬性值(AttributeValue)字段將 以明文方式進行傳輸。
Length字段長度字段,表示AVP總字節數,即從"M"比特位開始到 屬性值(Attribute Value)字段的長度。Length字段最小值為6,即從"M"比 特到屬性類型(Attribute Type )字段的長度。
Vendor ID字段廠商標識字段,表示AVP的實現廠商。若AVP是RFC 中所定義的,則該字^:為0。Attribute Type字段屬性類型字段,表示AVP的屬性類型。該字段的長 度為2字節。
Attribute Value字段屬性值字段,表示AVP的屬性值。 進一步的,RFC2661中規定了在用于宣告承載能力的AVP的Attribute Type字段值為4, Attribute Value字萃殳值如下
0 12 3
01234567890123456789012345678901
I Reserved for future bearer type definitions |A|D| +—+—+—+—+—+—+_+——+-+——+———+——+——+_+—+————_——+——+_—+
其中,"A"比特置1表示宣告承載模擬呼叫(即可以識別PSTN網的相 關標識),"D"比特置1表示宣告承載數字呼叫(即可以識別ISDN網的相關 標識)。
本發明中,對用于宣告承載能力的AVP的Attribute Value字段進行了擴 展,擴展為
0 ■ 1 2 3
01234567890123456789012345678901
+—+—+—+-+—+—+—+———+—+—+-+—+—+—+—+—+—+—+—+—+—+-+—+—+—+—+—+—+_+—+
1 Reserved for future bearer type definitions G|A|D|
該擴展報文中啟用右數第3個比特位一"G"比特位,具體的,"G"比 特置1表示宣告承載移動呼叫(即可以識別移動通信網絡的相關標識,例如 ESN和IMSI )。
LAC在與LNS建立L2TP隧道過程中,可以分別將擴展后的宣告承栽能 力的AVP攜帶在L2TP控制協商消息發送給對方,若雙方的G比特位值都為 1 。則表示LAC和LNS都可以識別客戶端設備ESN和IMSI,若雙方的G比 特位值不都為1,則表示有一方或雙方都不能傳輸或識別客戶端設備ESN和 IMSI。
步驟504 , LAC通過L2TP隧道向LNS發送包含客戶端設備的ESN和IMSI 的L2TP會活協商消息,并通過L2TP隧道向LNS發i^戶端設備的用戶名 和密碼。
具體的,若L2TP會話協商是由LAC發起的,則LAC需要將ESN和IMSI 攜帶在ICRQ消息中,若L2TP會話協商是由LNS發起的,則LAC需要將 ESN和IMSI攜帶在OCRP消息中。進一步的,LAC將客戶端設備的ESN和IMSI攜帶在ICRQ消息或OCRP消息的新增AVP中。
具體的,新增的攜帶ESN的AVP的Attribute Type字段值為81, M比特 位設置為1,以指示LNS必須對ESN進行識別和-瞼證,H比特位可以設置為 0, Attribute Value字革史格式如下
0 12 3
01234567890123456789012345678901 '
+———————+———+—+-+—+-+—+———+-+——+—+—-+—+—+—+—+_+—+_+—
I ESN (arbitrary number of octets) I
+_+——+—+—+_+_+—+—+——+_+_+_+_+_+—+—+_+_+—+—+—+—+——+—+_+—_+_+_+
其中,ESN可以采用ASCII字符串形式。
具體的,新增的攜帶IMSI的AVP的Attribute Type字段值為82, M比特 位設置為1,以指示LNS必須對IMSI進行識別和驗證,H比特位設置為O, Attribute Value字#爻格式如下
0■ 1 2 3
01234567890123456789012345678901
+—+—+—+一+—+_+—一+—+—+_+_+—_+——+_+—+_+—+_+——+—+—+—+—+—+_+—+_+—+
I IMSI (arbitrary number of octets) | +—+—+——+_+—+—+—+—+—+—+—+—+—+—+—+—+_+—+—+—+—+—+—+—+—+-+—+—+—+_+—+
其中,IMSI可以采用ASCII字符串形式。
步驟505 , LNS根據客戶端設備的用戶名、密碼、ESN和IMSI判斷客戶 端設備是否合法,若判斷結果為是,轉步驟506,若判斷結果為否,轉步驟 509。
具體的,LNS會在本地記錄多條合法的用戶名、密碼、ESN和IMSI記錄, 每條合法記錄包含一個用戶名和與該用戶名匹配的密碼、ESN和IMSI, LNS 將客戶端設備的用戶名、密碼、ESN和IMSI與本地的合法的用戶名、密碼、 ESN和IMSI記錄進行比較,若客戶端設備的用戶名、密碼、ESN和IMSI符 合本地的任意一條合法記錄,則判斷客戶端設備合法,若客戶端設備的用戶 名、密碼、ESN和IMSI不符合本地的任意一條合法記錄,則判斷客戶端i殳備 不合法。
步驟506, LNS通過LAC與客戶端設備進行業務數據交互,流程結束。 步驟507, LAC斷開與客戶端設備的3G網絡連接,流程結束。 步驟508, LAC只向LNS轉發的客戶端設備的用戶名和密碼,LNS根據
客戶端設備的用戶名和密碼對客戶端設備進行認證,并根據認證結果進行相
應處理,流程結束。步驟509, LNS刪除與LAC間建立的L2TP會話,拒絕與客戶端設備的 業務數據交互。
圖6為本發明方法對應的數據交互系統,包括LNS 601、 LAC 602和客戶 端設備603,其中,
LNS 601,與LAC 602連接,用于接收來自LAC 602的客戶端設備603 的用戶名、密碼和唯一標識;根據客戶端設備603的用戶名、密碼和唯一標 識判斷客戶端設備603是否合法,若判斷結果為客戶端設備603合法,通過 LAC 602與客戶端設備603進行業務數據交互,若判斷結果為客戶端設備603 不合法,拒絕與客戶端設備603的業務數據交互。具體的,LNS601將客戶端 設備603的用戶名、密碼和唯一標識與本地的合法用戶名、密碼和唯一標識 記錄進行比較,若客戶端設備603的用戶名、密碼和唯一標識符合本地的任 意一條合法記錄,則判斷客戶端設備603合法,若客戶端設備603的用戶名、 密碼和唯一標識不符合本地的任意一條合法記錄,則判斷客戶端設備603不 合法。
LAC 602,與客戶端設備603連接,用于接收來自客戶端設備603的用戶 名、密碼和唯一標識;根據客戶端設備603的用戶名和密碼判斷客戶端設備 603是否合法,若判斷結果為客戶端設備603合法,向LNS 601發送客戶端設 備的用戶名、密碼和唯一標識,若判斷結果為客戶端設備603不合法,斷開 與客戶端設備603的連接。
其中,客戶端設備603的唯一標識可以為客戶端設備603的ESN和IMSI。 LAC 602可以將ESN和IMSI攜帶在L2TP會話協商消息中發送給LNS。
圖7為本發明方法對應的LNS,應用于包括LNS、 LAC和客戶端設備的 系統中,包括接收單元701、判斷單元702和處理單元703,其中,
接收單元701,用于接收來自LAC的客戶端設備的用戶名、密碼和。舉一 標識。具體的,若客戶端設備的唯一標識為客戶端設備的ESN和IMSI,接收 單元701,用于接收來自LAC的L2TP會話協商消息,客戶端設備的ESN和IMSI包含在L2TP會話協商消息的新增AVP中。
判斷單元702,與接收單元701連接,用于根據接收單元701接收的客戶 端設備的用戶名、密碼和唯一標識判斷客戶端設備是否合法。具體的,判斷 單元702,用于將客戶端設備的用戶名、密碼和唯一標識與本地的合法用戶名、 密碼和唯一標識記錄進行比較,若客戶端設備的用戶名、密碼和唯一標識符 合本地的任意一條合法記錄,則判斷客戶端設備合法,若客戶端設備的用戶 名、密碼和唯一標識不符合本地的任意一條合法記錄,則判斷客戶端設備不 合法。具體的,若客戶端設備的唯一標識為客戶端設備的ESN和IMSI,判斷 單元702,用于根據客戶端設備的用戶名、密碼、ESN和IMSI判斷客戶端設 備是否合法。
處理單元703,與判斷單元702連接,用于若判斷單元702的判斷結果為 是,通過LAC與客戶端設備進行業務數據交互;若判斷單元702的判斷結果 為否,拒絕與客戶端設備的業務數據交互。
進一步的,LNS還可以包括協商單元704,
協商單元704,與接收單元701連接,用于與LAC進行承載能力協商, 根據來自LAC的宣告承載能力的AVP判斷LAC是否能夠識別唯一標識,若 協商結果為雙方都能夠識別唯一標識,啟動接收單元701等待接收來自LAC 的客戶端設備的用戶名、密碼和唯一標識。
圖8為本發明方法對應的LAC,應用于包括LNS、 LAC和客戶端設備的 系統中,包括接收單元801、判斷單元802和處理單元803,其中,
接收單元801,用于接收來自客戶端設備的用戶名、密碼和唯一標識。具 體的,若客戶端設備的唯一標識為客戶端設備的ESN和IMSI,接收單元801 , 用于接收來自客戶端設備的用戶名、密碼、ESN和IMSI。
判斷單元802,與接收單元801連接,用于根據接收單元801接收的客戶 端設備的用戶名和密碼判斷客戶端設備是否合法。
處理單元803,與判斷單元802和接收單元801分別連接,用于若判斷單 元802的判斷結果為是,向LNS發送接收單元801接收的客戶端設備的用戶名、密碼和唯一標識;若判斷單元802的判斷結果為否,斷開與客戶端設備 的連接。具體的,若客戶端設備的唯一標識為客戶端設備的ESN和IMSI,處-理單元803,用于若所述判斷單元的判斷結果為是,向LNS發送L2TP會話 協商消息,接收單元801接收的ESN和IMSI包含在L2TP會話協商消息的 新增AVP中。
進一步的,LNS還可以包括協商單元804,
協商單元804,與處理單元803連接,用于與LNS進行承載能力協商, 根據來自LNS的宣告承載能力的AVP判斷LNS是否能夠識別唯一標識,若 協商結果為雙方都能夠識別唯一標識,啟動處理單元803向LNS發送客戶端 設備的用戶名、密碼和唯一標識。
本發明中,LNS根據客戶端設備的用戶名、密碼和唯一標識對客戶端設 備進行認證,只有當客戶端設備的用戶名、密碼和唯一標識均與合法記錄匹 配時,LNS才與客戶端設備進行業務數據交互,從而防止獲得了合法用戶名 和密碼的惡意用戶使用了任意客戶端設備訪問企業內部網絡,有效的保護了 企業內部的數據和網絡安全。
通過以上的實施方式的描述,本領域的技術人員可以清楚地了解到本 發明可借助軟件加必需的通用硬件平臺的方式來實現,當然也可以通過硬一 件,但很多情況下前者是更佳的實施方式。基于這樣的理解,本發明的技 術方案本質上或者說對現有技術做出貢獻的部分可以以軟件產品的形式體 現出來,該計算機軟件產品存儲在一個存儲介質中,包括若干指令用以使 得一臺計算機設備(可以是個人計算機,服務器,或者網絡設備等)執行 本發明所述的方法。
本領域技術人員可以理解附圖只是一個優選實施例的示意圖,附圖中 的模塊或流程并不一定是實施本發明所必須的。
本領域技術人員可以理解本發明中的裝置中的模塊可以按照實施例描 述進行分布于實施例的裝置中,也可以進行相應變化位于不同于本實施例的一個或多個裝置中。上述實施例的模塊可以合并為一個模塊,也可以進 一步拆分成多個子模塊。
以上公開的僅為本發明的幾個具體實施例,但是,本發明并非局限于 此,任何本領域的技術人員能思之的變化都應落入本發明的保護范圍。
權利要求
1、一種數據交互的方法,應用于包括LNS、LAC和客戶端設備的系統中,其特征在于,所述方法包括以下步驟所述LNS接收來自所述LAC的所述客戶端設備的用戶名、密碼和唯一標識;所述LNS根據所述客戶端設備的用戶名、密碼和唯一標識判斷所述客戶端設備是否合法,若判斷結果為所述客戶端設備合法,通過所述LAC與所述客戶端設備進行業務數據交互,若判斷結果為所述客戶端設備不合法,拒絕與所述客戶端設備的業務數據交互。
2、 如權利要求1所述的方法,其特征在于,所述LNS接收來自所述LAC 的所述客戶端設備的用戶名、密碼和唯一標識之前,還包括所述LNS與所述LAC進行承載能力協商,根據來自對方的宣告承載能力 的AVP判斷對方是否能夠識別所述唯一標識,若協商結果為雙方都能夠識別 所述唯一標識,所述LAC向所述LNS發送所述客戶端設備的用戶名、密碼和 唯一標識。
3、 如權利要求l所述的方法,其特征在于,所述LNS根據所述客戶端設 備的用戶名、密碼和唯一標識判斷所述客戶端設備是否合法包括所述LNS將所述客戶端設備的用戶名、密碼和唯一標識與本地的合法的 用戶名、密碼和唯一標識記錄進行比較,若所述客戶端設備的用戶名、密碼 和唯一標識符合本地的任意一條合法記錄,則判斷所述客戶端設備合法,若 所述客戶端設備的用戶名、密碼和唯一標識不符合本地的任意一條合法記錄, 則判斷所述客戶端i殳備不合法。
4、 如權利要求1所述的方法,其特征在于,所述LNS接收來自所述LAC 的所述客戶端設備的用戶名、密碼和唯一標識之前,還包括所述LAC接收來自所述客戶端設備的用戶名、密碼和唯一標識; 所述LAC根據所述客戶端設備的用戶名和密碼判斷所述客戶端設備是否 合法,若判斷結果為所述客戶端設備合法,向所述LNS發送所述客戶端設備 的用戶名、密碼和唯一標識,若判斷結果為所述客戶端設備不合法,斷開與所述客戶端設備的連接。
5、 如權利要求1至4中任一項所述的方法,其特征在于,所述客戶端設 備的唯一標識為所述客戶端設備的ESN和IMSI。
6、 如權利要求5所述的方法,其特征在于,所述LNS接收來自所述LAC 的所述客戶端設備的唯一標識包括所述LNS接收來自所述LAC的L2TP會話協商消息,所述ESN和IMSI 包含在所述L2TP會話協商消息的新增AVP中。
7、 一種LNS,應用于包括LNS、 LAC和客戶端設備的系統中,其特征 在于,包括接收單元、判斷單元和處理單元,其中,所述接收單元,用于接收來自LAC的客戶端設備的用戶名、密碼和唯一 標識;所述判斷單元,與所述接收單元連接,用于根據所述接收單元接收的客 戶端設備的用戶名、密碼和唯一標識判斷所述客戶端設備是否合法;所述處理單元,與所述判斷單元連接,用于若所述判斷單元的判斷結果 為是,通過所述LAC與所述客戶端設備進行業務數據交互,若所述判斷單元 的判斷結果為否,拒絕與所述客戶端設備的業務數據交互。
8、 如權利要求7所述的LNS,其特征在于,還包括協商單元,與所述接收單元連接,用于與所述LAC進行承載能力協商, 根據來自所述LAC的宣告承載能力的AVP判斷所述LAC是否能夠識別所述 唯一標識,若協商結果為雙方都能夠識別所述唯一標識,啟動所述接收單元 等待接收來自所述LAC的客戶端設備的用戶名、密碼和唯一標識。
9、 如權利要求7所述的LNS,其特征在于,所述判斷單元,具體用于將所述客戶端設備的用戶名、密碼和唯一標識 與本地的合法的用戶名、密碼和唯一標識記錄進行比較,若所述客戶端設備 的用戶名、密碼和唯一標識符合本地的任意一條合法記錄,則判斷所述客戶 端設備合法,若所述客戶端設備的用戶名、密碼和唯一標識不符合本地的任意一條合法記錄,則判斷所述客戶端設備不合法。
10、 如權利要求7所述的LNS,其特征在于,所述客戶端設備的唯一標 識為所ii^戶端設備的ESN和IMSI,則所述接收單元,具體用于接收來自所述LAC的L2TP會話協商消息, 所述ESN和IMSI包含在所述L2TP會話協商消息的新增AVP中;則所述判斷單元,具體用于根據所述接收單元接收的客戶端設備的用戶 名、密碼、ESN和IMSI判斷所述客戶端設備是否合法。
11、 一種LAC,應用于包括LNS、 LAC和客戶端設備的系統中,其特征 在于,包括接收單元、判斷單元和處理單元,其中,所述接收單元,用于接收來自所述客戶端設備的用戶名、密碼和唯一標識;所述判斷單元,與所述接收單元連接,用于根據所述接收單元接收的客 戶端設備的用戶名和密碼判斷所述客戶端設備是否合法;所述處理單元,與所述判斷單元和所述接收單元分別連接,用于若所述 判斷單元的判斷結果為是,向所述LNS發送所述接收單元接收的客戶端設備 的用戶名、密碼和唯一標識,若所述判斷單元的判斷結果為否,斷開與所述 客戶端設備的連接。
12、 如權利要求11所述的LAC,其特征在于,還包括協商單元,與所述處理單元連接,用于與所述LNS進行承載能力協商, 根據來自所述LNS的宣告承載能力的AVP判斷所述LNS是否能夠識別所述 唯一標識,若協商結果為雙方都能夠識別所述唯一標識,啟動所述處理單元 向所述LNS發送所述客戶端設備的用戶名、密碼和唯一標識。
13、 如權利要求11所述的LAC,其特征在于,所述客戶端設備的唯一標 識為所M戶端設備的ESN和IMSI,則所述接收單元,具體用于接收來自所述客戶端設備的用戶名、密碼、 ESN和IMSI;所述處理單元,具體用于若所述判斷單元的判斷結果為是,向所述LNS發送LZTP會話協商消息,所述ESN和IMSI包含在所述L2TP會話協商消息 的新增AVP中。
全文摘要
本發明公開了一種數據交互的方法,應用于包括LNS、LAC和客戶端設備的系統中,所述方法包括以下步驟所述LNS接收來自所述LAC的所述客戶端設備的用戶名、密碼和唯一標識;所述LNS根據所述客戶端設備的用戶名、密碼和唯一標識判斷所述客戶端設備是否合法,若判斷結果為所述客戶端設備合法,通過所述LAC與所述客戶端設備進行業務數據交互,若判斷結果為所述客戶端設備不合法,拒絕與所述客戶端設備的業務數據交互。本發明中,LNS根據客戶端設備的用戶名、密碼和唯一標識對客戶端設備進行認證,防止獲得了合法用戶名和密碼的惡意用戶使用了任意客戶端設備訪問企業內部網絡,有效的保護了企業內部的數據和網絡安全。
文檔編號H04L29/06GK101562526SQ20091014231
公開日2009年10月21日 申請日期2009年5月27日 優先權日2009年5月27日
發明者周澤泉 申請人:杭州華三通信技術有限公司