一種認(rèn)證方法和裝置的制造方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及通信技術(shù)領(lǐng)域���,尤其是涉及一種認(rèn)證方法和裝置。
【背景技術(shù)】
[0002]IPsec (IP Security���,IP安全)是三層隧道加密協(xié)議,為互聯(lián)網(wǎng)上傳輸?shù)臄?shù)據(jù)提供了高質(zhì)量的����、基于密碼學(xué)的安全保證���,是一種實(shí)現(xiàn)三層VPN(Virtual Private Network,虛擬專(zhuān)用網(wǎng)絡(luò))的安全技術(shù)���。IPsec通過(guò)在特定通信方之間建立通道�����,來(lái)保護(hù)通信方之間傳輸?shù)臄?shù)據(jù)�,該通道通常稱(chēng)為IPsec隧道�����。
[0003]在使用IPsec保護(hù)數(shù)據(jù)之前���,需要先建立一個(gè)SA (Security Associat1n,安全聯(lián)盟)�����,該SA可以手工創(chuàng)建或者動(dòng)態(tài)建立�,IKE (Internet Key Exchange�����,互聯(lián)網(wǎng)密鑰交換)協(xié)議給出了一種動(dòng)態(tài)建立SA的方式。IKE協(xié)議建立在由ISAKMP(Internet SecurityAssociat1n and Key Management Protocol���,互聯(lián)網(wǎng)安全聯(lián)盟和密鑰管理協(xié)議)定義的框架上���,為IPsec提供自動(dòng)協(xié)商交換密鑰、建立SA的服務(wù)�����,能夠簡(jiǎn)化IPsec的使用和管理��,簡(jiǎn)化IPsec的配置和維護(hù)����。
[0004]當(dāng)在終端設(shè)備和接入設(shè)備之間建立IPsec隧道時(shí),則SA協(xié)商過(guò)程包括如下三個(gè)過(guò)程����。第一過(guò)程為主模式協(xié)商過(guò)程,在該過(guò)程中�����,終端設(shè)備與接入設(shè)備進(jìn)行IKE協(xié)商���,并得到IKE SA0第二過(guò)程為傳輸協(xié)商過(guò)程�,在該過(guò)程中����,接入設(shè)備向終端設(shè)備發(fā)送認(rèn)證通知報(bào)文,要求終端設(shè)備輸入用戶名和密碼��;終端設(shè)備向接入設(shè)備返回?cái)y帶有用戶名和密碼的認(rèn)證請(qǐng)求報(bào)文�����;接入設(shè)備將攜帶有用戶名和密碼的認(rèn)證請(qǐng)求報(bào)文發(fā)送給RADIUS(RemoteAuthenticat1n Dial-1n User Service���,遠(yuǎn)程認(rèn)證撥號(hào)用戶服務(wù))服務(wù)器���,RADIUS服務(wù)器利用用戶名和密碼對(duì)終端設(shè)備進(jìn)行認(rèn)證;如果認(rèn)證通過(guò)��,則接入設(shè)備接收來(lái)自該RADIUS服務(wù)器的認(rèn)證通過(guò)報(bào)文���,并進(jìn)行第三過(guò)程�。第三過(guò)程為快速模式協(xié)商過(guò)程,在該過(guò)程中�����,終端設(shè)備與接入設(shè)備進(jìn)行IPsec協(xié)商�����,得到IPsec SA0
[0005]在上述傳輸協(xié)商過(guò)程中�,涉及多個(gè)報(bào)文的交互,會(huì)浪費(fèi)網(wǎng)絡(luò)帶寬�。
【發(fā)明內(nèi)容】
[0006]本發(fā)明提供一種認(rèn)證方法,所述方法包括以下步驟:
[0007]接入設(shè)備接收來(lái)自終端設(shè)備的互聯(lián)網(wǎng)密鑰交換IKE協(xié)商報(bào)文��,所述IKE協(xié)商報(bào)文攜帶所述終端設(shè)備的用戶名信息����;
[0008]所述接入設(shè)備利用所述用戶名信息,查詢預(yù)先配置的用戶名信息與密碼信息之間的對(duì)應(yīng)關(guān)系��,得到所述用戶名信息對(duì)應(yīng)的密碼信息����;
[0009]所述接入設(shè)備利用所述用戶名信息和密碼信息對(duì)所述終端設(shè)備進(jìn)行認(rèn)證��。
[0010]本發(fā)明提供一種認(rèn)證方法�����,所述方法包括以下步驟:
[0011]終端設(shè)備接收用戶輸入的用戶名信息和密碼信息,并將所述密碼信息作為密鑰����;所述終端設(shè)備向接入設(shè)備發(fā)送攜帶所述用戶名信息的互聯(lián)網(wǎng)密鑰交換IKE協(xié)商報(bào)文,以使所述接入設(shè)備得到所述用戶名信息對(duì)應(yīng)的密碼信息�����,將所述密碼信息作為密鑰�����,并利用所述用戶名信息和密碼信息對(duì)所述終端設(shè)備進(jìn)行認(rèn)證�。
[0012]本發(fā)明提供一種認(rèn)證裝置,應(yīng)用在接入設(shè)備上����,所述認(rèn)證裝置包括:
[0013]接收模塊,用于接收來(lái)自終端設(shè)備的互聯(lián)網(wǎng)密鑰交換IKE協(xié)商報(bào)文�,所述IKE協(xié)商報(bào)文攜帶所述終端設(shè)備的用戶名信息���;
[0014]獲得模塊,用于利用所述用戶名信息�,查詢預(yù)先配置的用戶名信息與密碼信息之間的對(duì)應(yīng)關(guān)系,得到所述用戶名信息對(duì)應(yīng)的密碼信息�;
[0015]認(rèn)證模塊,用于利用所述用戶名信息和密碼信息對(duì)所述終端設(shè)備進(jìn)行認(rèn)證���。
[0016]本發(fā)明提供一種認(rèn)證裝置��,應(yīng)用在終端設(shè)備上���,所述認(rèn)證裝置包括:接收模塊,用于接收用戶輸入的用戶名信息和密碼信息��,并將所述密碼信息作為密鑰���;發(fā)送模塊�����,用于向接入設(shè)備發(fā)送攜帶所述用戶名信息的互聯(lián)網(wǎng)密鑰交換IKE協(xié)商報(bào)文��,以使所述接入設(shè)備得到所述用戶名信息對(duì)應(yīng)的密碼信息�,將所述密碼信息作為密鑰,并利用所述用戶名信息和密碼信息對(duì)所述終端設(shè)備進(jìn)行認(rèn)證����。
[0017]基于上述技術(shù)方案,本發(fā)明實(shí)施例中�,通過(guò)在IKE協(xié)商報(bào)文中攜帶終端設(shè)備的用戶名信息,使得接入設(shè)備可以直接利用用戶名信息得到對(duì)應(yīng)的密碼信息�,不需要終端設(shè)備向接入設(shè)備發(fā)送攜帶有用戶名和密碼的認(rèn)證請(qǐng)求報(bào)文,減少報(bào)文交互的數(shù)量�����,簡(jiǎn)化SA協(xié)商過(guò)程�,同時(shí)也簡(jiǎn)化了終端設(shè)備的配置���。
【附圖說(shuō)明】
[0018]圖1是本發(fā)明實(shí)施例的應(yīng)用場(chǎng)景示意圖�;
[0019]圖2是本發(fā)明一種實(shí)施方式中的認(rèn)證方法的流程圖�;
[0020]圖3是本發(fā)明一種實(shí)施方式中的接入設(shè)備的硬件結(jié)構(gòu)圖;
[0021]圖4是本發(fā)明一種實(shí)施方式中的認(rèn)證裝置的結(jié)構(gòu)圖�;
[0022]圖5是本發(fā)明一種實(shí)施方式中的終端設(shè)備的硬件結(jié)構(gòu)圖;
[0023]圖6是本發(fā)明一種實(shí)施方式中的認(rèn)證裝置的結(jié)構(gòu)圖�����。
【具體實(shí)施方式】
[0024]針對(duì)現(xiàn)有技術(shù)中存在的問(wèn)題,本發(fā)明實(shí)施例中提出一種認(rèn)證方法��,該方法應(yīng)用于包括接入設(shè)備�、終端設(shè)備和RADIUS服務(wù)器的系統(tǒng)中,且用于在SA協(xié)商過(guò)程中對(duì)終端設(shè)備進(jìn)行認(rèn)證����。以圖1為本發(fā)明實(shí)施例的應(yīng)用場(chǎng)景示意圖,該系統(tǒng)中可以包括終端設(shè)備1���、接入設(shè)備I和RADIUS服務(wù)器I����。
[0025]在上述應(yīng)用場(chǎng)景下�����,如圖2所示����,該認(rèn)證方法可以包括以下步驟:
[0026]步驟201,終端設(shè)備接收用戶輸入的用戶名信息和密碼信息����,并將該密碼信息作為密鑰��。其中����,對(duì)于密鑰的使用�,將在后續(xù)步驟中進(jìn)行說(shuō)明。
[0027]步驟202����,終端設(shè)備向接入設(shè)備發(fā)送攜帶用戶名信息的IKE協(xié)商報(bào)文。
[0028]步驟203��,接入設(shè)備接收來(lái)自終端設(shè)備的攜帶用戶名信息的IKE協(xié)商報(bào)文��。
[0029]本發(fā)明實(shí)施例中�����,在SA協(xié)商過(guò)程的主模式協(xié)商過(guò)程中����,終端設(shè)備在向接入設(shè)備發(fā)送IKE協(xié)商報(bào)文時(shí)�����,可以在該IKE協(xié)商報(bào)文中添加本終端設(shè)備的用戶名信息。接入設(shè)備在接收到來(lái)自終端設(shè)備的攜帶用戶名信息的IKE協(xié)商報(bào)文之后�����,可以從該IKE協(xié)商報(bào)文中獲得該終端設(shè)備的用戶名信息�。
[0030]本發(fā)明實(shí)施例中,通過(guò)對(duì)現(xiàn)有的IKE協(xié)商報(bào)文進(jìn)行改進(jìn)����,使得IKE協(xié)商報(bào)文中包括用于承載終端設(shè)備的用戶名信息的特定載荷字段(如REPLY(回應(yīng))載荷字段)?����;诖?����,終端設(shè)備可以在IKE協(xié)商報(bào)文的特定載荷字段中添加本終端設(shè)備的用戶名信息�����。而且����,接入設(shè)備從IKE協(xié)商報(bào)文中獲得終端設(shè)備的用戶名信息的過(guò)程�����,具體包括但不限于如下方式:接入設(shè)備解析IKE協(xié)商報(bào)文的特定載荷字段中承載的內(nèi)容�,獲得終端設(shè)備的用戶名信息�����。
[0031]步驟204�����,接入設(shè)備利用獲得的用戶名信息���,查詢預(yù)先配置的用戶名信息與密碼信息之間的對(duì)應(yīng)關(guān)系�,得到該用戶名信息對(duì)應(yīng)的密碼信息�����。
[0032]本發(fā)明實(shí)施例中��,在接入設(shè)備本地或者內(nèi)網(wǎng)數(shù)據(jù)庫(kù)中預(yù)先配置了用戶名信息與密碼信息之間的對(duì)應(yīng)關(guān)系���。接入設(shè)備在獲得用戶名信息之后���,通過(guò)利用該用戶名信息查詢接入設(shè)備本地或者內(nèi)網(wǎng)數(shù)據(jù)庫(kù)中配置的用戶名信息與密碼信息之間的對(duì)應(yīng)關(guān)系,可以得到該用戶名信息對(duì)應(yīng)的密碼信息����。
[0033]本發(fā)明實(shí)施例中,接入設(shè)備在得到該用戶名信息對(duì)應(yīng)的密碼信息之后�����,還可以將密碼信息作為密鑰����,以使接入設(shè)備配置的密鑰與終端設(shè)備配置的密鑰相同。其中����,終端設(shè)備將用戶輸入的與用戶名信息對(duì)應(yīng)的密碼信息作為密鑰。
[0034]本發(fā)明實(shí)施例中��,接入設(shè)