(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202210541748.7 (22)申请日 2022.05.17 (71)申请人 中国电信股份有限公司 地址 100033 北京市西城区金融大街31号 (72)发明人 王爱宝　李澄宇　陈文华　刘汉江　 陈勇量　徐勇　郭帅旗　 (74)专利代理 机构 北京律智知识产权代理有限 公司 11438 专利代理师 孙宝海 (51)Int.Cl. H04L 9/32(2006.01) H04L 12/46(2006.01) H04L 67/141(2022.01) H04L 69/324(2022.01) (54)发明名称 用于授权认证的方法及 装置、 存储介质及电 子设备 (57)摘要 本公开提供了一种用于授权认证的方法、 装 置、 电子设备及存储介质， 涉及计算机技术领域。 该方法包括： 基于二层隧道协议L2TP生成初始开 始控制连接请求SCCRQ， 并确定 单包授权认证SPA 参数信息； 向所述初始SCCRQ中添加所述SPA参数 信息， 生成包含所述SPA参数信息的扩展SCCRQ； 将所述扩展SCCRQ发送至目标L2TP网络服务器 LNS； 接收所述目标LNS返回的包含有授权信息的 扩展开始控制连接响应SCCRP， 以获得所述目标 LNS的授权认证。 该方法可以对L2TP进行扩展定 义， 通过将SPA参数信息添加至SCCRQ和SCCRP中， 以使基于L2TP的SCCRQ和SCCRP能够传递SPA单包 授权信息， 从而为支持L2TP协议的设备引 入SPA 单包授权 机制功能。 权利要求书3页 说明书16页 附图5页 CN 115001701 A 2022.09.02 CN 115001701 A 1.一种用于授权认证的方法， 其特 征在于， 应用于目标L2TP访问集中器LAC， 包括： 基于二层隧道协议L2TP生成初始开始控制连接请求SCCRQ， 并确定单包授权认证SPA参 数信息； 向所述初始SC CRQ中添加所述S PA参数信息， 生成包 含所述SPA参数信息的扩展SC CRQ； 将所述扩展SC CRQ发送至目标L2TP网络服 务器LNS； 接收所述目标LNS 返回的包含有授权信息的扩展开始控制连接响应SCCRP， 以获得所述 目标LNS的授权认证。 2.根据权利要求1所述的方法， 其特征在于， 向所述初始SCCRQ中添加所述SPA参数信 息， 生成包 含所述SPA参数信息的扩展SC CRQ， 包括： 创建用于指示扩展类型为认证请求的第一属性 值对； 将所述SPA参数信息转 化为符合L2TP报文头格式的S PA属性值对； 将所述第一属性值对和所述SPA属性值对添加至所述初始SCCRQ的L2TP报文头中， 生成 包含所述SPA参数信息的扩展SC CRQ。 3.根据权利 要求1或2所述的方法， 其特征在于， 所述初始SCCRQ是响应于通信隧道的建 立请求生成的； 以及， 所述方法还 包括： 解析所述SCCRP获得令牌； 基于所述令牌向所述目标L NS发送开始控制连接成功SC CCN， 以建立所述 通信隧道。 4.根据权利要求3所述的方法， 其特 征在于， 确定单包授权认证S PA参数信息， 包括： 响应于所述建立请求确定目标LAC标识和目标L NS标识； 读取所述目标LAC中存 储的发送端计数值； 和， 读取所述目标LAC中存储 的种子值， 进而通过预设的加密算法根据所述目标LAC标识、 目标LNS标识、 所述发送端计数值和所述种子值 生成动态密码； 根据所述目标LAC标识、 所述目标LNS标识、 所述发送端计数值和所述动态密码确定所 述SPA参数信息 。 5.根据权利 要求4所述的方法， 其特征在于， 所述SPA参数信息还包括所述目标LAC对应 的终端的设备 标识、 所述终端的位置信息和认证信息哈希值中的至少一个； 以及， 确定单包授权认证S PA参数信息， 还 包括： 根据所述建立请求确定所述目标LAC对应的所述终端的设备标识和所述终端的位置信 息； 和/或， 通过预设的哈希算法对除所述认证信息哈希值以外的其他SPA参数信息进行哈希计 算， 获得所述认证信息哈希值； 根据所述终端的设备标识、 所述终端的位置信息和/或所述认证信息哈希值确定所述 SPA参数信息 。 6.根据权利要求4所述的方法， 其特征在于， 在将所述扩展SCCRQ发送至目标L2TP网络 服务器LNS后， 还包括： 基于预设增量更新所述发送端计数值。 7.一种用于授权认证的方法， 其特 征在于， 应用于目标L NS， 包括： 接收目标LAC发送的数据包； 当确定所述数据包为扩展SC CRQ时， 解析 所述扩展SC CRQ， 获得S PA参数信息； 基于所述S PA参数信息进行认证；权　利　要　求　书 1/3 页 2 CN 115001701 A 2在认证通过的情况 下， 生成授权信息， 并基于L2TP生成初始SC CRP； 向所述初始SC CRP中添加所述授权信息， 生成包 含所述授权信息的扩展SC CRP； 将所述扩展SC CRP发送至所述目标LAC 。 8.根据权利 要求7所述的方法， 其特征在于， 向所述初始SCCRP中添加所述授权信息， 生 成包含所述授权信息的扩展SC CRP， 包括： 创建用于指示扩展类型为授权认证的第二属性 值对； 将所述授权信息转化为符合L2TP报文头格式的授权属性值对； 其中， 所述授权信息包 括令牌； 将所述第二属性值对和所述授权属性值对添加至所述初始SCCRP的L2TP报文头中， 生 成包含所述授权信息的扩展SC CRP。 9.根据权利要求7所述的方法， 其特征在于， 还包括根据如下方法确定所述目标LAC发 送的数据包为扩展SC CRQ： 解析所述数据包， 确定所述数据包中的L2TP报文头； 判断所述L2TP报文头 中是否存在用于指示扩展类型为认证请求的第一属性值对； 若存 在， 则确定所述目标LAC发送的数据包为扩展SC CRQ。 10.根据权利要求7 ‑9任一所述的方法， 其特征在于， 所述SPA参数信息包括目标LAC标 识、 目标L NS标识、 发送端计数值和动态密码； 基于所述S PA参数信息进行认证， 包括： 读取所述目标LNS中存储的接收端计数值； 根据所述接收端计数值和所述发送端计数 值进行比对认证； 以及， 读取所述目标LNS中存储 的种子值； 通过预设的加密算法根据所述目标LAC标识、 目标 LNS标识、 所述接收端计数值和所述种子值生成第二动态密码； 根据所述动态密码和所述第 二动态密码进行比对认证。 11.根据权利要求10所述的方法， 其特征在于， 所述SPA参数信息还包括认证信息哈希 值； 基于所述S PA参数信息进行认证， 还 包括： 通过预设的哈希算法对所述SPA参数信息中除所述认证信息 哈希值以外的其他SPA参 数信息进行哈希计算， 获得第二哈希值； 根据所述认证信息哈希值和所述第二哈希值进行比对认证。 12.根据权利 要求10所述的方法， 其特征在于， 在将所述扩展SCCRP发送至所述目标LAC 后， 还包括： 基于预设增量更新所述接收端计数值。 13.一种用于授权认证的装置， 其特 征在于， 应用于目标LAC， 包括： 第一生成模块， 用于基于二层隧道协议L2TP生成初始开始控制连接请求SCCRQ， 并确定 单包授权认证S PA参数信息； 所述第一生成模块还用于向所述初始SCCRQ中添加所述SPA参数信息， 生成包含所述 SPA参数信息的扩展SC CRQ； 第一发送模块， 用于将所述扩展SC CRQ发送至目标L2TP网络服 务器LNS； 第一接收模块， 用于接收所述目标LNS返回的包含有授权信息的扩展开始控制连接响 应SCCRP， 以获得 所述目标L NS的授权认证。 14.一种用于授权认证的装置， 其特 征在于， 应用于目标L NS， 包括： 第二接收模块， 用于 接收目标LAC发送的数据包；权　利　要　求　书 2/3 页 3 CN 115001701 A 3