[发明专利]实现3G用户安全接入网络的方法和设备

说明书

技术领域

本申请涉及3G网络技术领域，特别涉及一种实现3G用户安全接入网络的方法和设备。

背景技术

随着3G网络的成熟，用户对于3G无线的应用需求也越来越强烈，3G网络给用户带来极大的便利性，同时又是对有线通信方式及提高网络可靠性的很好补充。其中3G接入比较常用的方式为虚拟私有拨号网（VPDN）接入，尤其是金融及其他对安全性要求较高的行业，由运营商向3G用户分配特定的用户名和密码，3G用户使用该用户名和密码接入网络后，运营商接入设备二层隧道协议访问集中器（LAC）负责与企业总部二层隧道协议网络服务器（LNS）建立二层隧道协议（L2TP），使3G用户方便灵活地接入企业总部网络。

图1为现有3G VPDN应用组网示意图，如图1所示，企业网点中的3G路由器作为L2TP客户端设备，运营商网络中的路由器作为L2TP隧道的LAC，企业中心中的路由器作为L2TP隧道的LNS，L2TP客户端通过3G无线网络连接到LAC，LNS则通过有线专线与LAC相连接。该应用组网中VPDN接入的处理流程可参见图2，如图2所示，该流程包括：

1、客户端向LAC发起PPP连接建立请求，与LAC之间进行点到点协议（PPP）LAC协商和认证。

其中，LAC对客户端的认证是通过Radius服务器来实现的，Radius服务器上存储了所有客户端的资料，LAC在获得客户端的用户名、密码等信息之后，在Radius服务器上找到对应的客户端资料，并对客户端进行认证，认证的方式可以采用PAP或CHAP两种方式：PAP方式要求客户端提供正确的密码，密码正确的话可以通过认证；CHAP方式要对客户端发一个盘问（Challenge），客户端用共有的加密方式回答盘问之后才可以通过认证。

2、LAC认证通过后，向LNS发起L2TP隧道建立请求，LAC和LNS为了相互验证对方的有效性可以使用隧道的CHAP认证（可选），在LNS侧可以配置对用户的再次认证（可选），验证方式可为PAP或CHAP认证。隧道建立后LAC将客户端的用户名、密码等认证信息发送给AAA服务器，认证通过后向客户端分配IP地址等信息。

通过上述分析可以看出，现有组网在进行VPDN接入时，客户端通过PPP协议只能将用户名、密码等信息发送给LNS进行认证，而无法将用于标识客户端是否可以接入LNS的固定信息，如客户端的设备序列号（SN）信息和3G UIM/SIM卡的国际移动用户识别码（IMSI）等上传给LNS，也就导致了只要其它客户端能够获取用户名、密码等信息，即使不是使用指定的设备SN信息和3G IMSI信息等固定信息，也都能接入企业内部网络，从而降低了网络接入的安全性。

发明内容

有鉴于此，本发明提供了一种实现3G用户安全接入网络的方法，使得只有LNS根据绑定的多元素进行了安全认证的客户端才能够接入网络，提高网络接入的安全性。

本发明还提供了一种实现3G用户安全接入网络的设备，使得只有LNS根据绑定的多元素进行了安全认证的客户端才能够接入网络，提高网络接入的安全性。

为了达到上述目的，本发明提出的技术方案为：

一种实现3G用户安全接入网络的方法，应用于包括客户端、二层隧道协议访问集中器LAC、二层隧道协议网络服务器LNS和验证授权记账服务器AAA服务器的虚拟私有拨号网VPDN网络中，该方法包括：

a．LNS获取客户端发起的VPDN呼叫中的客户端的链路控制协议LCP属性、用户名和密码；

b．LNS确定出获取到的客户端的LCP属性和用户名均可接受时，判断该客户端的用于验证客户端身份的固定信息是否已被记录，如果是，执行步骤c；否则，执行步骤d；

c．LNS根据用户名、密码和记录的固定信息发给AAA服务器对客户端进行认证，并在认证通过时，将AAA服务器为客户端分配的指定的IP地址通知客户端后，删除记录的固定信息，结束流程；

d．LNS从为接入的客户端创建的临时IP地址池中选取一个未使用的临时IP地址分配给客户端，接收由客户端发送的用于验证客户端身份的固定信息；

e．LNS接收到客户端使用临时IP地址发送的用于验证客户端身份的固定信息时，将该客户端的用户名、密码与该用于验证客户端身份的固定信息进行对应记录后，断开与客户端的PPP连接触发客户端发起第二次VPDN呼叫。

所述步骤e中LNS接收到客户端使用临时IP地址发送的用于验证客户端身份的固定信息包括：LNS接收由客户端通过网管告警TRAP报文发送的用于验证客户端身份的固定信息。