接入认证方法、装置和系统制造方法及图纸

本发明专利技术提供了一种接入认证方法、装置和系统。涉及通讯技术领域；解决了现有认证方式降低网络安全性的问题。该方法包括：ASR维护一记录终端AID与Session信息映射关系的映射记录表；在有终端接入所述ASR并完成接入认证后，根据所述终端的Session信息查询所述映射记录表，判断所述终端的AID与所述映射记录表中记录的该终端Session信息对应的AID是否相同；在所述终端的AID与所述映射记录表中记录的该终端Session信息对应的AID不同时，判定所述终端接入认证失败。本发明专利技术提供的技术方案适用于标识网，实现了基于AID的高安全性的接入认证。

【技术实现步骤摘要】
接入认证方法、装置和系统
本专利技术涉及通讯
，尤其涉及一种接入认证方法、装置和系统。
技术介绍
(一)身份与位置分离技术。为了解决互联网(Internet)核心路由器节点的路由表容量快速膨胀以及IP地址二义性的问题，互联网工程任务组(InternetEngineeringTaskForce，IETF)近年来提出了身份与位置分离的技术，以身份位置分离协议(LocatorandIdentifierSeparationProtocol，LISP)工作组提出的LISP协议为例，其终端的身份标识(EndpointIdentifier，EID)不参与IP核心网的路由，骨干路由器只能看到边界接入路由器的接口路由地址(RoutingLOCator，RLOC)，而一个边界路由器可以接入大量的终端，单独设置一个映射平面存储终端身份EID和路由器RLOC的对应关系。发往终端的报文首先需要在映射平面中查找到其对应的边界路由器RLOC，然后根据RLOC路由到目的终端所在接入路由器。(二)标识网。随着网络的快速发展，现有网络的Internet公网路由器上的路由表容量激增，在路由可扩展性，网络安全保证，移动性保证方面，存在种种不足，网络架构调整势在必行，各种路由方式不同，寻址方式不同的异质网络融合、互通，成为网络发展的趋势，在新的架构思路下，传统网路架构下的网络标识的身份属性和位置属性被分离开来，新的网络分为两级架构，接入网和路由转发网(也称骨干网)。接入网的本地标识为源网络标识(LocalIP)；路由转发网的标识为RID(RouterID)，接入网与骨干网在拓扑关系上没有重叠。建立终端的“身份属性”标识----AID，终端间基于AID进行通信；建立终端的“位置属性”标识----RID，网络间基于RID进行路由；接入路由器负责AID、RID之间的转换，终端移动时，AID保持不变，RID变化。现有的互联网环境中，一般用户接入边界网关，可以通过二层隧道接入，如有线的PPP接入、PPPOE接入等，具体方法是通过用户名，密码认证，到了边界网关后，再接入连接在边界网关后面的AAA服务器，验证方式为用户名，密码认证。移动网络中的接入认证鉴权过程与固定网络中通过边界网关介入原理相同，亦是通过用户名密码的形式完成认证鉴权。现有的接入认证方式的容易被仿冒，现网中已经有很多攻击手段，鉴权认证可靠性不高，降低了网络安全性。
技术实现思路
本专利技术提供了一种接入认证方法、装置和系统，解决了现有认证方式降低网络安全性的问题。一种接入论证方法，包括：边界网关(ASR)维护一记录终端AID与会话(Session)信息映射关系的映射记录表；在有终端接入所述ASR并完成接入认证后，根据所述终端的Session信息查询所述映射记录表，判断所述终端的AID与所述映射记录表中记录的该终端Session信息对应的AID是否相同；在所述终端的AID与所述映射记录表中记录的该终端Session信息对应的AID不同时，判定所述终端接入认证失败。优选的，所述判断所述终端的AID与所述映射记录表中记录的该终端Session信息对应的AID是否相同的步骤之后，还包括：在所述终端的AID与所述映射记录表中记录的该终端Session信息对应的AID相同时，判定所述终端接入认证成功。优选的，所述ASR维护一记录终端AID与Session信息映射关系的映射记录表包括：在终端首次接入所述ASR并完成首次接入认证后，所述ASR为所述首次接入的终端分配AID；所述终端向所述ASR发送携带有AID的数据报文，所述ASR将所述数据报文的Session信息与所述终端的AID绑定，将所述数据报文的Session信息与所述终端的AID的映射关系存储在映射记录表内。优选的，所述ASR维护一记录终端AID与Session信息映射关系的映射记录表还包括：所述ASR在接收到终端开始的新的Session的数据报文时，将所述映射记录表中与所述终端AID对应的Session信息更新为新的Session信息。优选的，所述ASR维护一记录终端AID与Session信息映射关系的映射记录表还包括：在接收到所述终端通信对端发送的携带有该通信对端AID的数据报文时，将所述通信对端的AID与所述终端的AID的对应关系添加到所述映射记录表中。优选的，所述映射记录表包括至少一个表项，每个表项记录一AID与Session信息的映射关系，所述Session信息包括以下内容：Session标识(ID)、LocalIP、终端私网目的地址、终端的AID、终端的RID、会话老化时间和IP报文序列号和确认号的差值。本专利技术还提供了一种接入认证装置，其特征在于，包括：映射记录表维护模块，用于维护一记录终端AID与Session信息映射关系的映射记录表；判断模块，用于在有终端接入ASR并完成接入认证后，根据所述终端的Session信息查询所述映射记录表，判断所述终端的AID与所述映射记录表中记录的该终端Session信息对应的AID是否相同；判断结果分析模块，用于在所述终端的AID与所述映射记录表中记录的该终端Session信息对应的AID不同时，判定所述终端接入认证失败。优选的，判断结果分析模块，还用于在所述终端的AID与所述映射记录表中记录的该终端Session信息对应的AID相同时，判定所述终端接入认证成功。优选的，所述映射记录表维护模块包括：AID分配单元，用于在终端首次接入所述ASR并完成首次接入认证后，为所述首次接入的终端分配AID；映射记录单元，用于在所述终端向所述ASR发送携带有AID的数据报文时，将所述数据报文的Session信息与所述终端的AID绑定，将所述数据报文的Session信息与所述终端的AID的映射关系存储在映射记录表内。优选的，所述映射记录单元，还用于在接收到终端开始的新的Session的数据报文时，将所述映射记录表中与所述终端AID对应的Session信息更新为新的Session信息；或，在接收到所述终端通信对端发送的携带有该通信对端AID的数据报文时，将所述通信对端的AID与所述终端的AID的对应关系添加到所述映射记录表中。优选的，所述接入认证装置集成于所述ASR中。本专利技术还提供了一种接入认证系统，包括ASR和接入该ASR的终端；所述ASR，用于维护一记录所述终端AID与Session信息映射关系的映射记录表，在有终端接入所述ASR并完成接入认证后，根据所述终端的Session信息查询所述映射记录表，判断所述终端的AID与所述映射记录表中记录的该终端Session信息对应的AID是否相同，并在所述终端的AID与所述映射记录表中记录的该终端Session信息对应的AID不同时，判定所述终端接入认证失败。本专利技术还提供了一种接入认证方法，其特征在于，包括：映射服务器(ILR)维护一记录终端AID与Session信息映射关系的映射记录表；在有终端接入所述ILR并完成移动认证鉴权后，根据所述终端的Session信息查询所述映射记录表，判断所述终端的AID与所述映射记录表中记录的该终端Session信息对应的AID是否相同；在所述终端的AID与所述映射记录表中记录的该终端Session信息对应的AID不同时，判定所述终端本文档来自技高网...

【技术保护点】
一种接入认证方法，其特征在于，包括：边界网关(ASR)维护一记录终端AID与会话(Session)信息映射关系的映射记录表；在有终端接入所述ASR并完成接入认证后，根据所述终端的Session信息查询所述映射记录表，判断所述终端的AID与所述映射记录表中记录的该终端Session信息对应的AID是否相同；在所述终端的AID与所述映射记录表中记录的该终端Session信息对应的AID不同时，判定所述终端接入认证失败。

【技术特征摘要】
1.一种接入认证方法，其特征在于，包括：边界网关ASR维护一记录终端AID与会话Session信息映射关系的映射记录表；在有终端接入所述ASR并完成接入认证后，根据所述终端的Session信息查询所述映射记录表，判断所述终端的AID与所述映射记录表中记录的该终端Session信息对应的AID是否相同；在所述终端的AID与所述映射记录表中记录的该终端Session信息对应的AID不同时，判定所述终端接入认证失败。2.根据权利要求1所述的接入认证方法，其特征在于，所述判断所述终端的AID与所述映射记录表中记录的该终端Session信息对应的AID是否相同的步骤之后，还包括：在所述终端的AID与所述映射记录表中记录的该终端Session信息对应的AID相同时，判定所述终端接入认证成功。3.根据权利要求1所述的接入认证方法，其特征在于，所述ASR维护一记录终端AID与Session信息映射关系的映射记录表包括：在终端首次接入所述ASR并完成首次接入认证后，所述ASR为所述首次接入的终端分配AID；所述终端向所述ASR发送携带有AID的数据报文，所述ASR将所述数据报文的Session信息与所述终端的AID绑定，将所述数据报文的Session信息与所述终端的AID的映射关系存储在映射记录表内。4.根据权利要求1或3所述的接入认证方法，其特征在于，所述ASR维护一记录终端AID与Session信息映射关系的映射记录表还包括：所述ASR在接收到终端开始的新的Session的数据报文时，将所述映射记录表中与所述终端AID对应的Session信息更新为新的Session信息。5.根据权利要求1或3所述的接入认证方法，其特征在于，所述ASR维护一记录终端AID与Session信息映射关系的映射记录表还包括：在接收到所述终端通信对端发送的携带有该通信对端AID的数据报文时，将所述通信对端的AID与所述终端的AID的对应关系添加到所述映射记录表中。6.根据权利要求1或3所述的接入认证方法，其特征在于，所述映射记录表包括至少一个表项，每个表项记录一AID与Session信息的映射关系，所述Session信息包括以下内容：Session标识ID、本地LocalIP、终端私网目的地址、终端的AID、终端的RID、会话老化时间和IP报文序列号和确认号的差值。7.一种接入认证装置，其特征在于，包括：映射记录表维护模块，用于维护一记录终端AID与Session信息映射关系的映射记录表；判断模块，用于在有终端接入ASR并完成接入认证后，根据所述终端的Session信息查询所述映射记录表，判断所述终端的AID与所述映射记录表中记录的该终端Session信息对应的AID是否相同；判断结果分析模块，用于在所述终端的AID与所述映射记录表中记录的该终端Session信息对应的AID不同时，判定所述终端接入认证失败。8.根据权利要求7所述的接入认证装置，其特征在于，判断结果分析模块，还用于在所述终端的AID与所述映射记录表中记录的该终端Session信息对应的AID相同时，判定所述终端接入认证成功。9.根据权利要求7所述的接入认证装置，其特征在于，所述映射记录表维护模块包括：AID分配单元，用于在终端首次接入所述ASR并完成首次接入认证后，为所述首次接入的终端分配AID；映射记录单元，用于在所述终端向所述ASR发送携带有AID的数据报文时，将所述数据报文的Session信息与所述终端的AID绑定，将所述数据报文的Session信息与所述终端的AID的映射关系存储在映射记录表内。10.根据权利要求7或9所述的接入认证装置，其特征在于，所述映射记录单元，还用于在接收到终端开始的新的Session的数据报文时，将所述映射记录表中与所述终端AID对应的Session信息更新为新的Session信息；或，在接收到所述终端通信对端发送的携带有该通信对端AID的数据报文时，将所述通信对端的AID与所述终端的AID的对应关系添加到所述映射记录表中。11.根据权利要求7所述的接入认证装置，其特征在于，所述接入认证装置集成于所述ASR中。12.一种接入认证系统，其特征在于，包括ASR和接入该ASR的终端；所述ASR，用于维护一记录所述终端AID与Session信息映射关系的映射记录表，在有终端接入所述ASR并完成接入认证后，根据所述终端的Session信息...

【专利技术属性】
技术研发人员：谢柯，孟晓斌，黄兵，符涛，吴强，马金，
申请(专利权)人：中兴通讯股份有限公司，
类型：发明
国别省市：