一种认证方法和设备的制造方法
【技术领域】
[0001]本申请涉及网络技术领域,特别是涉及一种认证方法和设备。
【背景技术】
[0002]IPsec(Internet Protocol Security,网络协议安全)是 IETF (InternetEngineering Task Force,互联网工程任务组)制定的三层隧道加密协议,它为互联网上传输的数据提供了高质量的、基于密码学的安全保证,是一种传统的实现三层VPN(VirtualPrivate Network,虚拟专用网络)的安全技术。IPsec通过在特定通信方之间(例如两个安全网关之间)建立“通道”,来保护通信方之间传输的用户数据,该通道通常称为IPsec隧道。
[0003]IKE (Internet Key Exchange,互联网密钥交换)协议利用 ISAKMP (InternetSecurity Associat1n and Key Management Protocol,互联网安全联盟和密钥管理协议)语言定义密钥交换的过程,是一种对安全服务进行协商的手段。
[0004]用IPsec保护一个IP数据包之前,必选先建立一个IPsec SA(SecurityAssociat1n,安全联盟),IPsec SA可以手工创建或动态建立。IKE为IPsec提供了自动建立IPsec SA的服务。
[0005]在实现本申请的过程中,发明人发现现有技术至少存在如下问题:
[0006]对于政务这样安全性要求比较高的部门,要求设备和账户信息一一对应,但是目前的IKE扩展认证,多个设备可以使用同一个账户信息通过认证,无法实现设备和账户信息--对应,认证的安全性较低。
【发明内容】
[0007]本申请提供了一种认证方法,所述方法包括:
[0008]一种认证方法,所述方法包括:
[0009]边缘设备向用户设备发送请求报文;其中,所述请求报文是所述边缘设备根据所述用户设备发送的互联网秘钥交换IKE协商报文生成的;
[0010]所述边缘设备接收所述用户设备根据所述请求报文返回的回应报文,所述回应报文携带所述用户设备的唯一标识及所述用户设备对应的账户信息,所述账户信息包括:用户名和密码;
[0011]所述边缘设备根据所述用户设备的唯一标识及所述用户设备对应的账户信息进行远端用户拨入验证服务Radius认证。
[0012]一种认证方法,所述方法包括:
[0013]用户设备向边缘设备发送互联网秘钥交换IKE协商报文,以使所述边缘设备在收到所述IKE协商报文后返回请求报文;
[0014]所述用户设备根据接收到的所述请求报文向所述边缘设备发送回应报文,所述回应报文携带所述用户设备的唯一标识及所述用户设备对应的账户信息,所述账户信息包括:用户名和密码,以使所述边缘设备根据所述回应报文携带所述用户设备的唯一标识及所述用户设备对应的账户信息进行Radius认证。
[0015]一种边缘设备,所述设备包括:
[0016]发送模块,用于向用户设备发送请求报文;其中,所述请求报文是所述边缘设备根据所述用户设备发送的互联网秘钥交换IKE协商报文生成的;
[0017]接收模块,用于接收所述用户设备根据所述请求报文返回的回应报文,所述回应报文携带所述用户设备的唯一标识及所述用户设备对应的账户信息,所述账户信息包括:用户名和密码;
[0018]认证模块,用于根据所述用户设备的唯一标识及所述用户设备对应的账户信息进行远端用户拨入验证服务Radius认证。
[0019]一种用户设备,所述设备包括:
[0020]第一发送模块,用于向边缘设备发送互联网秘钥交换IKE协商报文,以使所述边缘设备在收到所述IKE协商报文后返回请求报文;
[0021]第二发送模块,用于根据接收到的所述请求报文向所述边缘设备发送回应报文,所述回应报文携带所述用户设备的唯一标识及所述用户设备对应的账户信息,所述账户信息包括:用户名和密码,以使所述边缘设备根据所述回应报文携带所述用户设备的唯一标识及所述用户设备对应的账户信息进行Radius认证。
[0022]本申请实施例中,边缘设备接收用户设备的唯一标识及用户设备对应的账户信息,并根据用户设备的唯一标识及用户设备对应的账户信息进行Radius认证,从而保证了用户设备和账户信息一一对应的关系,提高了认证的安全性。
【附图说明】
[0023]为了更清楚地说明本申请或现有技术中的技术方案,下面将对本申请或现有技术描述中所需要使用的附图作简单的介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
[0024]图1为本申请实施例中的一种进行Radius认证的结构示意图;
[0025]图2为本申请实施例中的一种认证方法流程图之一;
[0026]图3为本申请实施例中的一种认证方法流程图之二 ;
[0027]图4为本申请实施例中的一种边缘设备的结构示意图;
[0028]图5为本申请实施例中的一种用户设备的结构示意图。
【具体实施方式】
[0029]下面将结合本申请中的附图,对本申请中的技术方案进行清楚、完整的描述,显然,所描述的实施例是本申请的一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员获得的其他实施例,都属于本申请保护的范围。
[0030]如图1所不,在现有技术中,用户设备向边缘设备发起IKE协商报文进行IKE协商,当IKE协商过程进行到Transact1n交互阶段时,边缘设备向用户设备发送要求其输入账户信息的请求报文,具体的,所述请求报文中有所述请求报文的属性载荷,用以表示所述请求报文的相应属性,所述报文的属性载荷如下:
[0031]请求报文的属性载荷中的下一跳有效载荷Next Payload的值填充为0,表示没有下一跳有效载荷;请求报文的属性载荷中的有效载荷长度Payload Length的值为所述请求报文的属性载荷的长度,用以表示所述请求报文的大小;该请求报文的属性载荷中的类型Type的值为01,表示该请求报文的类型为ISAKMP_CFG_REQUEST ;该请求报文的属性载荷中的标识符Ientifier为所述边缘设备分配随机值,用于表示该请求报文的唯一性;该请求报文的属性载荷中的属性Attribute包括:XAUTH_USER_NAME(用户名)属性和XAUTH_USER_PASSW0RD (密码)属性,请求报文中的各个属性包括Value项和填充项。Value项中的值,用于表示属性类型,填充项中的值,用于表示该属性类型对应的填充值。具体的:XAUTH_USER_NAME属性的Vaule项中可以填充4089(10进制为16521),表示该属性为:XAUTH_USER_NAME属性,在XAUTH_USER_NAME属性中的填充项中填充“0000”,表示用户名为空(因为没有用户名,所以为空);XAUTH_USER_PASSWORD属性的Value项中填充408a(10进制为16522),表示该属性为 XAUTH_USER_PASSWORD 属性,在 XAUTH_USER_PASSWORD 属性中的填充项中填充“0000”,表示密码为空(因为没有密码,所以为空)。当用户设备接收到XAUTH_USER_NAME属性和XAUTH_USER_PASSWORD属性的填充项都为空的请求报文时,便会向边缘设备返回用户名和密码。
[0032]边缘设备向用户设备发送要求其输入账户信息的请求报文,以使边缘设备根据得到的账户信息进行Radius认证,但是这样的认证方式不能使用户设备与账户信息形成一一对应的关系,即无论哪个用户设备发送正确的账户信息都能认证通过,这就使对账户信息有要求的用户的信息安全不能得到有效的保证,即不能满足特定账户在特定用户设备上使用的要求。
[0033]本申请实施例中提供了一种认证方法,用户设备在发起IKE扩展认证协商的过程中,利用用户设备的唯一标识和账户信息进行Radius认证,如图2所示,所述方法包括:
[0034]步骤201,边缘设备向用户设备发送请求报文;其中,该请求报文是边缘设备根据用户设备发送的IKE协商报文生成的。
[0035]该请求报文中携带有用于指示用户设备将自身的唯一标识携带在回应报文中的字段信息。
[0036]其中,请求报文和回应报文的具体结构将在后续的例子中进行介绍,在此不再赘述。
[0037]步骤202,边缘设备接收