专利名称:一种绑定移动终端esn和imsi号码的方法、系统及装置的制作方法
技术领域:
本发明涉及通信技术领域,尤其涉及一种绑定移动终端ESN和IMSI号码的方法、 系统及装置。
背景技术:
现有技术中,3G(3G mobile network, 3G移动网络,或称为第三代移动通信系统) 中移动用户接入的典型应用场景如图1所示,包括移动客户端、网络接入设备、认证服务 器。移动客户端通过3G网络与网络接入设备的3Gmodem(调制解调器)通信,进而向认证 服务器进行认证。 目前GSM(Global System for Mobile communications,全球移动通信系统)/3G 等移动通信网络已经成为应用非常广泛的接入方式。网络接入设备主要提供两种基于移 动通信的PPP(Point-To-Point Protocol,点到点协议)接入方式, 一种是L2TP(Layer 2tunnel protocol, 二层隧道协议)中PPP接入技术应用到移动通信网络,实现客户端灵 活、快速地接入到LNS,其中远端系统和LNS进行PPP重协商重新认证。应用场景如图2,移 动终端1和移动终端2实现对讲业务,数据流方向是移动终端1将语音打包成TCP包后,发 到企业内部服务器上,服务器收到此报文后转发给移动终端2,对讲业务对接入安全性高, 需要绑定移动用户终端设备和移动身份。另一种是网络接入设备直接提供PPP接入,其中 移动客户端和网络接入设备进行PPP协商。如图1中,移动客户端通过GSM/3G等移动通信 网络接入方式到网络设备,移动客户端和网络设备所用的协议为PPP,当PPP认证通过后, 移动客户端通过网络设备访问内网资源。 PPP作为一种提供在点到点链路上承载网络层数据包的链路层协议,处于TCP/ IP (Transmission Control Protocol/Internet Protocol,传输控制协议/因特网互联协 议)协议栈的第二层,主要用来在支持全双工的同异步链路上进行点到点之间的数据传 输。 PPP主要包括三类协议族LCP(Link Control Protocol,链路控制协议族)、 NCP(Network Control Protocol,网络控制协议族)和PPP扩展协议族。其中,LCP主 要用于建立、拆除和监控PPP数据链路,同时协商一些链路属性;NCP主要用于协商在该 数据链路上所传输的网络层数据包的类型以及网络层协议自身的一些属性,如ipcp(ip 控制协议)要协商IP地址等;PPP扩展协议族主要用于提供对PPP功能的进一步支持, 提供一些特性服务,基于PPP协议框架设计的一些扩展协议,例如,用于网络安全方面的 PAP(PasswordAuthentication Protocol,密码验证协议)禾口 CHAP (Challenge-Handshake Authentication Protocol,验证请求握手协议);其中,PAP为两次握手协议,通过用户名 及口令来对用户进行验证,具体过程为当两端链路可相互传输数据时,被验证方发送本端 的用户名及口令到验证方,验证方根据本端的用户表(或radius服务器)查看是否有此 用户,口令是否正确,如正确则会给对端发送ACK报文,通告对端已被允许进入下一阶段协 商;否则发送NAK报文,通告对端验证失败;CHAP为三次握手协议,只在网络上传输用户名,而并不传输用户口令(即不直接传输口令,而传输用MD5算法将口令与一随机报文ID —起 计算的结果),因此CHAP的安全性要比PAP高。 VPDN(Virtual Private Dial-up Network,虚拟私有拨号网)是指利用公共 网络的拨号功能接入公共网络,如ISDN (Integrated Service Digital Network,综 合业务数字网)、PSTN(Public Switched Tel印hone Network,公众电话交换网)或 CDMA (Code Division Multiple Access,码分多址)网,实现虚拟专用网,从而为企业、小 型ISP (Internet Service Provider,互联网服务提供商)、移动办公人员等提供接入服务。 VPDN为远端用户与私有企业网之间提供了点到点连接方式,采用专用的网络通信协议,在 公共网络上为企业建立安全的虚拟专网。企业驻外机构和出差人员可从远程经由公共网 络,通过虚拟隧道实现和企业总部之间的网络连接,而公共网络上其它用户则无法穿过虚 拟隧道访问企业网内部的资源。VPDN隧道协议主要包括PPTP(point to pointtunneling protocol,点对点隧道协议)、L2F(Layer 2 forwarding protocol, 二层转发协议)和L2TP 三种,目前使用最广泛的是L2TP。 L2TPv2是一种对PPP链路层数据包进行隧道传输的技术,如图3所示,包括 客户端、LAC(L2TP access concentrator, L2TP访问集中器)禾口 LNS(L2TP network server, L2TP网络服务器)。其中LNS为网络接入设备,远程系统的拨号用户通过PPPoE/ ISDN (Integrated Service Digital Network,综合业务数字网)拨入LAC,由LAC通过 Internet向LNS发起建立隧道连接请求。拨号用户的私网地址由LNS分配;对远程拨号用 户的验证与计费既可由LAC侧代理完成,也可在LNS侧完成。 在移动通信网络中使用PPP作为接入手段,还无法向RADIUS服务器提供认证 ESN (Electronic Serial Number,电子序列号)禾口 IMSI (InternationalMobile Subscriber Identifier,国际移动用户标识)的功能,PPP只能通过用户名、密码对接入用户进行认 证。这样用户端可以使用任意合法的(对移动运营商来说)移动终端和SM(Subscriber Identity Module,客户识别模块)/UM(User Identity Module,用户识别模块),使用正确 的用户名、密码即可接入。对安全性要求较高的应用来说,无法实现绑定移动用户终端设备 和移动身份,对终端序列号和用户标识进行认证。
发明内容
本发明提供了一种绑定移动终端ESN和IMSI号码的方法、系统及装置,以实现对 终端序列号和用户标识进行认证。 本发明提供了一种绑定移动终端ESN和IMSI号码的方法,应用于包括移动客户
端、网络接入设备和认证服务器的系统中,所述方法包括以下步骤 所述网络接入设备接收所述移动客户端发送的LCP协商请求; 所述网络接入设备判断所述LCP协商请求中是否携带序列号和用户标识,如果
有,则传送给所述认证服务器进行合法性判断; 所述网络接入设备接收所述认证服务器返回的判断结果为合法时,继续与所述移 动客户端进行PPP用户名认证协商,如果判断结果为非法,中断与所述移动客户端的PPP协 商。 优选地,所述与移动客户端进行PPP用户名认证协商,之后还包括
所述移动客户端进行用户名认证协商通过后,访问网络接入设备的内部相关资 源。 优选地,所述网络接入设备接收所述移动客户端发送的LCP协商请求,之前还包 括 所述移动客户端在所述LCP协商请求中添加序列号和用户标识; 所述移动客户端将所述LCP协商请求发送给所述网络接入设备。 本发明提供了一种绑定移动终端ESN和IMSI号码的系统,包括移动客户端、网络
接入设备和认证服务器, 所述移动客户端,用于在所述LCP协商请求中添加序列号和用户标识,将所述LCP 协商请求发送给所述网络接入设备; 所述网络接入设备,用于接收所述移动客户端发送的LCP协商请求,判断所述LCP
协商请求中是否携带序列号和用户标识,如果有,则传送给所述认证服务器进行合法性判
断;接收所述认证服务器返回的判断结果为合法时,继续与所述移动客户端进行PPP用户
名认证协商,如果判断结果为非法,中断与所述移动客户端的PPP协商; 所述认证服务器,用于接收所述网络接入设备发送的序列号和用户标识,判断是
否合法,并向所述网络接入设备返回判断结果; 本发明提供了一种网络接入设备,应用于包括移动客户端、网络接入设备和认证 服务器的系统中,所述网络接入设备包括 接收模块,用于接收所述移动客户端发送的LCP协商请求,及所述认证服务器返 回的判断结果 判断模块,与所述接收模块连接,用于判断所述LCP协商请求中是否携带序列号 和用户标识,如果有,则传送给所述认证服务器进行合法性判断; 处理模块,与所述接收模块连接,用于所述认证服务器返回的判断结果为合法时, 继续与所述移动客户端进行PPP用户名认证协商,如果判断结果为非法,中断与所述移动 客户端的PPP协商。
优选地,还包括 认证模块,与所述处理模块连接,用于与所述移动客户端进行用户名认证协商;
所述处理模块,还用于用户名认证协商通过后,接受所述移动客户端访问内部相 关资源。 本发明提供了一种移动客户端,应用于包括移动客户端、网络接入设备和认证服 务器的系统中,所述移动客户端包括 添加模块,用于在所述LCP协商请求中添加序列号和用户标识; 发送模块,与所述添加模块连接,用于将所述LCP协商请求发送给所述网络接入 设备。 优选地,还包括 协商模块,与所述发送模块连接,用于与所述网络接入设备进行用户名认证协 商; 访问模块,与所述协商模块连接,用于用户名认证协商通过后,访问所述网络接入 设备内部相关资源。
本发明提供了一种认证服务器,应用于包括移动客户端、网络接入设备和认证服 务器的系统中,所述认证服务器包括 接收模块,用于在所述网络接入设备发送的序列号和用户标识; 匹配模块,与所述接收模块连接,用于将所述接收的序列号和用户标识与本地存
储的选项进行匹配查找,如果有匹配条目,向所述网络接入设备发送认证通过报文,否则,
向网络接入设备发送认证失败报文。 与现有技术相比,本发明具有以下优点 本发明中,通过对PPP进行扩展,增加两种协商类型用于交互IMSI和ESN,实现 PPP对终端序列号和用户标识的认证,同时与不支持本功能的PPP协议保持兼容。
图1是现有技术中3G移动用户接入典型的应用场景示意图; 图2是现有技术中一种L2TPv2的应用场景示意图; 图3是现有技术中另一种L2TPv2的应用场景示意图; 图4是本发明中一种绑定移动终端ESN和IMSI号码的方法流程图; 图5是本发明中扩展的LCP格式携带序列号示意图; 图6是本发明中扩展的LCP格式携带用户标识示意图; 图7是本发明中一种网络接入设备结构图; 图8是本发明中一种移动客户端结构图; 图9是本发明中一种认证服务器结构图。
具体实施例方式
本发明的核心思想在PPP的LCP中增加2个LCP选项,用于移动客户端向网络接 入设备发送终端序列号和用户标识,网络接入设备和认证服务器对两个选项进行认证,如 果认证成功则继续PPP用户名认证,协商通过后移动客户端才可访问相关资源;如果认证 不成功则断开链接,从而可以实现对终端序列号和用户标识的认证。 本发明提供了一种绑定移动终端ESN和IMSI号码的方法,应用于包括移动客户 端、网络接入设备和认证服务器的系统中。移动通信相对PSTN、 ISDN等有线交换网络有自 己的安全特点。ESN用于标识终端设备,全球唯一 ;IMSI用于标识用户SM/UM,也是全球 唯一。对这两个号码的认证可以保障接入设备和用户的唯一性,具体实现过程如图4所示, 包括以下步骤 步骤401,如果移动客户端不支持Serial-Number和Subscriber-Identifier选 项,则移动客户端在LCP协商阶段不携带该两个选项,如果支持,则在向对端网络接入设备 发送LCP的Configure-Request时携带该两个选项。 携带该两个选项对现有的PPP协议框架不做改动,对LCP协议做进一步的扩展。 为支持移动通信网络,需要扩展LCP两个协商选项,用于承载终端序列号ESN和用户标识 頂SI。支持移动通信网络包括GSM、 CDMA、3G或其它如EVD0等各种版本的移动网络。
其中,扩展的LCP格式携带序列号如图5所示,该选项可以向对端发送本端的序列 号,如ESN,默认不需要携带该选项。其中,类型为20,长度为8, Serial-Number域是八个字
7节,指出本端设备的序列号,Serial-Number为0是违法的。 其中,扩展的LCP格式携带用户标如图6所示,该选项可以向对端发送本端的用户 标识如MSI,默认不需要携带该选项。其中,类型为21,长度为15, Subscriber-Identifier 域是15个字节,指出本端设备的用户标识,Subscriber-Identifier为0是违法的。
步骤402,网络接入设备收到对端的LCP的Configure-Request时,如果没有 携带Serial-Number和Subscriber-Identifier选项,则按现有流程处理;如果携带有 Serial-Number和Subscriber-Identifier选项,则将该两个选项值透传给认证服务器。
步骤403,认证服务器收到Serial-Number和Subscriber-Identifier选项 值后,根据本地配置文件,判断是否是合法的移动客户端(收到的Serial-Number和 Subscriber-Identifier与本地存储列表中对应选项进行匹配查找,如果有匹配条目,则合 法),如果非法,向网络接入设备发送认证失败报文。如果合法,发送认证通过报文。
步骤404,网络接入设备收到认证服务器回应报文后,如果是认证失败报文,向移 动客户端发送Terminate-Request,断开该PPP协商;如果是认证通过报文,继续与移动客 户端进行PPP用户名认证协商。 步骤405,移动客户端和网络接入设备的终端序列号和用户标识认证通过,且用户 名认证协商通过后,移动客户端访问网络接入设备的内部相关资源。 如果移动客户端或网络接入设备不支持此两个选项,则PPP仍保留原来的方式, 不携带此两个选项。 本发明提供了一种绑定移动终端ESN和IMSI号码的系统,包括移动客户端、网络 接入设备和认证服务器, 所述移动客户端,用于在所述LCP协商请求中添加序列号和用户标识,将所述LCP 协商请求发送给所述网络接入设备; 所述网络接入设备,用于接收所述移动客户端发送的LCP协商请求,判断所述LCP
协商请求中是否携带序列号和用户标识,如果有,则传送给所述认证服务器进行合法性判
断;接收所述认证服务器返回的判断结果为合法时,继续与所述移动客户端进行PPP用户
名认证协商,如果判断结果为非法,中断与所述移动客户端的PPP协商; 所述认证服务器,用于接收所述网络接入设备发送的序列号和用户标识,判断是
否合法,并向所述网络接入设备返回判断结果; 本发明提供了一种网络接入设备,应用于包括移动客户端、网络接入设备和认证 服务器的系统中,所述网络接入设备如图7所示,包括 接收模块710,用于接收所述移动客户端发送的LCP协商请求,及所述认证服务器 返回的判断结果 判断模块720,与接收模块710连接,用于判断所述LCP协商请求中是否携带序列 号和用户标识,如果有,则传送给所述认证服务器进行合法性判断; 处理模块730,与接收模块连720接,用于所述认证服务器返回的判断结果为合法 时,继续与所述移动客户端进行PPP用户名认证协商,如果判断结果为非法,中断与所述移 动客户端的PPP协商。
优选地,还包括 认证模块740,与处理模块730连接,用于与所述移动客户端进行用户名认证协商; 处理模块730,还用于用户名认证协商通过后,接受所述移动客户端访问内部相关 资源。 本发明提供了一种移动客户端,应用于包括移动客户端、网络接入设备和认证服 务器的系统中,所述移动客户端如图8所示,包括 添加模块810,用于在所述LCP协商请求中添加序列号和用户标识; 发送模块820,与添加模块810连接,用于将所述LCP协商请求发送给所述网络接
入设备。 优选地,还包括 协商模块830,与发送模块820连接,用于与所述网络接入设备进行用户名认证协 商; 访问模块840,与协商模块830连接,用于用户名认证协商通过后,访问所述网络 接入设备内部相关资源。 本发明提供了一种认证服务器,应用于包括移动客户端、网络接入设备和认证服 务器的系统中,所述认证服务器如图9所示,包括 接收模块910,用于在所述网络接入设备发送的序列号和用户标识;
匹配模块920,与接收模块910连接,用于将所述接收的序列号和用户标识与本 地存储的选项进行匹配查找,如果有匹配条目,向所述网络接入设备发送认证通过报文,否 则,向网络接入设备发送认证失败报文。 通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到本发明可以通
过硬件实现,也可以借助软件加必要的通用硬件平台的方式来实现。基于这样的理解,本发
明的技术方案可以以软件产品的形式体现出来,该软件产品可以存储在一个非易失性存储
介质(可以是CD-ROM, U盘,移动硬盘等)中,包括若干指令用以使得一台计算机设备(可
以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述的方法。 本领域技术人员可以理解附图只是一个优选实施例的示意图,附图中的模块或流
程并不一定是实施本发明所必须的。 本领域技术人员可以理解实施例中的装置中的模块可以按照实施例描述进行分 布于实施例的装置中,也可以进行相应变化位于不同于本实施例的一个或多个装置中。上 述实施例的模块可以合并为一个模块,也可以进一步拆分成多个子模块。
上述本发明序号仅仅为了描述,不代表实施例的优劣。 以上公开的仅为本发明的几个具体实施例,但是,本发明并非局限于此,任何本领 域的技术人员能思之的变化都应落入本发明的保护范围。
权利要求
一种绑定移动终端电子序列号ESN和国际移动用户标识IMSI号码的方法,应用于包括移动客户端、网络接入设备和认证服务器的系统中,其特征在于,所述方法包括以下步骤所述网络接入设备接收所述移动客户端发送的链路控制协议族LCP协商请求;所述网络接入设备判断所述LCP协商请求中是否携带序列号和用户标识,如果有,则传送给所述认证服务器进行合法性判断;所述网络接入设备接收所述认证服务器返回的判断结果为合法时,继续与所述移动客户端进行点对点PPP用户名认证协商,如果判断结果为非法,中断与所述移动客户端的PPP协商。
2. 如权利要求l所述的方法,其特征在于,所述与移动客户端进行PPP用户名认证协 商,之后还包括所述移动客户端进行用户名认证协商通过后,访问网络接入设备的内部相关资源。
3. 如权利要求1所述的方法,其特征在于,所述网络接入设备接收所述移动客户端发 送的LCP协商请求,之前还包括所述移动客户端在所述LCP协商请求中添加序列号和用户标识; 所述移动客户端将所述LCP协商请求发送给所述网络接入设备。
4. 一种绑定移动终端ESN和IMSI号码的系统,包括移动客户端、网络接入设备和认证 服务器,其特征在于,所述移动客户端,用于在所述LCP协商请求中添加序列号和用户标识,将所述LCP协商 请求发送给所述网络接入设备;所述网络接入设备,用于接收所述移动客户端发送的LCP协商请求,判断所述LCP协商 请求中是否携带序列号和用户标识,如果有,则传送给所述认证服务器进行合法性判断;接 收所述认证服务器返回的判断结果为合法时,继续与所述移动客户端进行PPP用户名认证 协商,如果判断结果为非法,中断与所述移动客户端的PPP协商;所述认证服务器,用于接收所述网络接入设备发送的序列号和用户标识,判断是否合 法,并向所述网络接入设备返回判断结果。
5. —种网络接入设备,应用于包括移动客户端、网络接入设备和认证服务器的系统中, 其特征在于,所述网络接入设备包括接收模块,用于接收所述移动客户端发送的LCP协商请求,及所述认证服务器返回的 判断结果;判断模块,与所述接收模块连接,用于判断所述LCP协商请求中是否携带序列号和用 户标识,如果有,则传送给所述认证服务器进行合法性判断;处理模块,与所述接收模块连接,用于所述认证服务器返回的判断结果为合法时,继续 与所述移动客户端进行PPP用户名认证协商,如果判断结果为非法,中断与所述移动客户 端的PPP协商。
6. 如权利要求5所述的网络接入设备,其特征在于,还包括 认证模块,与所述处理模块连接,用于与所述移动客户端进行用户名认证协商; 所述处理模块,还用于用户名认证协商通过后,接受所述移动客户端访问内部相关资源。
7. —种移动客户端,应用于包括移动客户端、网络接入设备和认证服务器的系统中,其 特征在于,所述移动客户端包括添加模块,用于在所述LCP协商请求中添加序列号和用户标识;发送模块,与所述添加模块连接,用于将所述LCP协商请求发送给所述网络接入设备。
8. 如权利要求7所述的移动客户端,其特征在于,还包括协商模块,与所述发送模块连接,用于与所述网络接入设备进行用户名认证协商; 访问模块,与所述协商模块连接,用于用户名认证协商通过后,访问所述网络接入设备 内部相关资源。
9. 一种认证服务器,应用于包括移动客户端、网络接入设备和认证服务器的系统中,其特征在于,所述认证服务器包括接收模块,用于接收所述网络接入设备发送的序列号和用户标识; 匹配模块,与所述接收模块连接,用于将所述接收的序列号和用户标识与本地存储的选项进行匹配查找,如果有匹配条目,向所述网络接入设备发送认证通过报文,否则,向网络接入设备发送认证失败报文。
全文摘要
本发明公开了一种绑定移动终端ESN和IMSI号码的方法,所述方法包括以下步骤所述网络接入设备接收所述移动客户端发送的LCP协商请求;所述网络接入设备判断所述LCP协商请求中是否携带序列号和用户标识,如果有,则传送给所述认证服务器进行合法性判断;所述网络接入设备接收所述认证服务器返回的判断结果为合法时,继续与所述移动客户端进行PPP用户名认证协商,如果判断结果为非法,中断与所述移动客户端的PPP协商。本发明中,通过对PPP进行扩展,增加两种协商类型用于交互IMSI和ESN,实现PPP对终端序列号和用户标识的认证,同时与不支持本功能的PPP协议保持兼容。
文档编号H04W12/06GK101754177SQ20091026611
公开日2010年6月23日 申请日期2009年12月30日 优先权日2009年12月30日
发明者林奇伟 申请人:杭州华三通信技术有限公司