本发明专利技术提供一种认证方法和装置,该方法包括:接入设备接收来自终端设备的互联网密钥交换IKE协商报文,所述IKE协商报文携带所述终端设备的用户名信息;所述接入设备利用所述用户名信息,查询预先配置的用户名信息与密码信息之间的对应关系,得到所述用户名信息对应的密码信息;所述接入设备利用所述用户名信息和密码信息对所述终端设备进行认证。通过本发明专利技术的技术方案,减少报文交互的数量,简化SA协商过程,简化终端设备的配置。
【技术实现步骤摘要】
本专利技术涉及通信
,尤其是涉及一种认证方法和装置。
技术介绍
IPsec(IPSecurity,IP安全)是三层隧道加密协议,为互联网上传输的数据提供了高质量的、基于密码学的安全保证,是一种实现三层VPN(VirtualPrivateNetwork,虚拟专用网络)的安全技术。IPsec通过在特定通信方之间建立通道,来保护通信方之间传输的数据,该通道通常称为IPsec隧道。在使用IPsec保护数据之前,需要先建立一个SA(SecurityAssociation,安全联盟),该SA可以手工创建或者动态建立,IKE(InternetKeyExchange,互联网密钥交换)协议给出了一种动态建立SA的方式。IKE协议建立在由ISAKMP(InternetSecurityAssociationandKeyManagementProtocol,互联网安全联盟和密钥管理协议)定义的框架上,为IPsec提供自动协商交换密钥、建立SA的服务,能够简化IPsec的使用和管理,简化IPsec的配置和维护。当在终端设备和接入设备之间建立IPsec隧道时,则SA协商过程包括如下三个过程。第一过程为主模式协商过程,在该过程中,终端设备与接入设备进行IKE协商,并得到IKESA。第二过程为传输协商过程,在该过程中,接入设备向终端设备发送认证通知报文,要求终端设备输入用户名和密码;终端设备向接入设备返回携带有用户名和密码的认证请求报文;接入设备将携带有用户名和密码的认证请求报文发送给RADIUS(RemoteAuthenticationDial-InUserService,远程认证拨号用户服务)服务器,RADIUS服务器利用用户名和密码对终端设备进行认证;如果认证通过,则接入设备接收来自该RADIUS服务器的认证通过报文,并进行第三过程。第三过程为快速模式协商过程,在该过程中,终端设备与接入设备进行IPsec协商,得到IPsecSA。在上述传输协商过程中,涉及多个报文的交互,会浪费网络带宽。
技术实现思路
本专利技术提供一种认证方法,所述方法包括以下步骤:接入设备接收来自终端设备的互联网密钥交换IKE协商报文,所述IKE协商报文携带所述终端设备的用户名信息;所述接入设备利用所述用户名信息,查询预先配置的用户名信息与密码信息之间的对应关系,得到所述用户名信息对应的密码信息;所述接入设备利用所述用户名信息和密码信息对所述终端设备进行认证。本专利技术提供一种认证方法,所述方法包括以下步骤:终端设备接收用户输入的用户名信息和密码信息,并将所述密码信息作为密钥;所述终端设备向接入设备发送携带所述用户名信息的互联网密钥交换IKE协商报文,以使所述接入设备得到所述用户名信息对应的密码信息,将所述密码信息作为密钥,并利用所述用户名信息和密码信息对所述终端设备进行认证。本专利技术提供一种认证装置,应用在接入设备上,所述认证装置包括:接收模块,用于接收来自终端设备的互联网密钥交换IKE协商报文,所述IKE协商报文携带所述终端设备的用户名信息;获得模块,用于利用所述用户名信息,查询预先配置的用户名信息与密码信息之间的对应关系,得到所述用户名信息对应的密码信息;认证模块,用于利用所述用户名信息和密码信息对所述终端设备进行认证。本专利技术提供一种认证装置,应用在终端设备上,所述认证装置包括:接收模块,用于接收用户输入的用户名信息和密码信息,并将所述密码信息作为密钥;发送模块,用于向接入设备发送携带所述用户名信息的互联网密钥交换IKE协商报文,以使所述接入设备得到所述用户名信息对应的密码信息,将所述密码信息作为密钥,并利用所述用户名信息和密码信息对所述终端设备进行认证。基于上述技术方案,本专利技术实施例中,通过在IKE协商报文中携带终端设备的用户名信息,使得接入设备可以直接利用用户名信息得到对应的密码信息,不需要终端设备向接入设备发送携带有用户名和密码的认证请求报文,减少报文交互的数量,简化SA协商过程,同时也简化了终端设备的配置。附图说明图1是本专利技术实施例的应用场景示意图;图2是本专利技术一种实施方式中的认证方法的流程图;图3是本专利技术一种实施方式中的接入设备的硬件结构图;图4是本专利技术一种实施方式中的认证装置的结构图;图5是本专利技术一种实施方式中的终端设备的硬件结构图;图6是本专利技术一种实施方式中的认证装置的结构图。具体实施方式针对现有技术中存在的问题,本专利技术实施例中提出一种认证方法,该方法应用于包括接入设备、终端设备和RADIUS服务器的系统中,且用于在SA协商过程中对终端设备进行认证。以图1为本专利技术实施例的应用场景示意图,该系统中可以包括终端设备1、接入设备1和RADIUS服务器1。在上述应用场景下,如图2所示,该认证方法可以包括以下步骤:步骤201,终端设备接收用户输入的用户名信息和密码信息,并将该密码信息作为密钥。其中,对于密钥的使用,将在后续步骤中进行说明。步骤202,终端设备向接入设备发送携带用户名信息的IKE协商报文。步骤203,接入设备接收来自终端设备的携带用户名信息的IKE协商报文。本专利技术实施例中,在SA协商过程的主模式协商过程中,终端设备在向接入设备发送IKE协商报文时,可以在该IKE协商报文中添加本终端设备的用户名信息。接入设备在接收到来自终端设备的携带用户名信息的IKE协商报文之后,可以从该IKE协商报文中获得该终端设备的用户名信息。本专利技术实施例中,通过对现有的IKE协商报文进行改进,使得IKE协商报文中包括用于承载终端设备的用户名信息的特定载荷字段(如REPLY(回应)载荷字段)。基于此,终端设备可以在IKE协商报文的特定载荷字段中添加本终端设备的用户名信息。而且,接入设备从IKE协商报文中获得终端设备的用户名信息的过程,具体包括但不限于如下方式:接入设备解析IKE协商报文的特定载荷字段中承载的内容,获得终端设备的用户名信息。步骤204,接入设备利用获得的用户名信息,查询预先配置的用户名信息与密码信息之间的对应关系,得到该用户名信息对应的密码信息。本专利技术实施例中,在接入设备本地或者内网数据库中预先配置了用户名信息与密码信息之间的对应关系。接入设备在获得用户名信息之后,通过利用该用户名信息查询接入设备本地或者内网数据库中配置的用户名信息与密码信息之间的对应关系,可以得到该用户名信息对应的密码信息。本专利技术实施例中,接入设备在得到该用户名信息对应的密码信息之后,还可以将密码信息本文档来自技高网...
【技术保护点】
一种认证方法,其特征在于,所述方法包括以下步骤:接入设备接收来自终端设备的互联网密钥交换IKE协商报文,所述IKE协商报文携带所述终端设备的用户名信息;所述接入设备利用所述用户名信息,查询预先配置的用户名信息与密码信息之间的对应关系,得到所述用户名信息对应的密码信息;所述接入设备利用所述用户名信息和密码信息对所述终端设备进行认证。
【技术特征摘要】
1.一种认证方法,其特征在于,所述方法包括以下步骤:
接入设备接收来自终端设备的互联网密钥交换IKE协商报文,所述IKE协
商报文携带所述终端设备的用户名信息;
所述接入设备利用所述用户名信息,查询预先配置的用户名信息与密码信
息之间的对应关系,得到所述用户名信息对应的密码信息;
所述接入设备利用所述用户名信息和密码信息对所述终端设备进行认证。
2.根据权利要求1所述的方法,其特征在于,所述IKE协商报文具体为用
于协商安全联盟SA交换的请求报文,或者用于进行密钥交换的请求报文。
3.根据权利要求1所述的方法,其特征在于,所述方法进一步包括:
所述接入设备将所述密码信息作为密钥,以使所述接入设备配置的密钥与
所述终端设备配置的密钥相同,所述终端设备将用户输入的与所述用户名信息
对应的密码信息作为密钥。
4.根据权利要求1所述的方法,其特征在于,所述接入设备利用所述用户
名信息和密码信息对终端设备进行认证的过程,具体包括:
所述接入设备在接收到所述IKE协商报文时,利用所述用户名信息和密码
信息对终端设备进行认证;如果对所述终端设备的认证成功,则所述接入设备
向所述终端设备发送针对所述IKE协商报文的响应报文;如果对所述终端设备
的认证失败,则所述接入设备终止与所述终端设备的SA协商过程;或者,
所述接入设备在完成主模式协商之后,利用所述用户名信息和密码信息对
所述终端设备进行认证。
5.一种认证方法,其特征在于,所述方法包括以下步骤:
终端设备接收用户输入的用户名信息和密码信息,并将所述密码信息作为
密钥;
所述终端设备向接入设备发送携带所述用户名信息的互联网密钥交换IKE
协商报文,以使所述接入设备得到所述用户名信息对应的密码信息,将所述密
\t码信息作为密钥,并利用所述用户名信息和密码信息对所述终端设备进行认证。
6.根据权利要求5所述的方法,其特征在于,所述IKE协商报文具体为用
于协商安全联盟SA交换的请求报...
【专利技术属性】
技术研发人员:张太博,
申请(专利权)人:杭州华三通信技术有限公司,
类型:发明
国别省市:浙江;33
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。