Ike认证方法、ike发起终端、ike响应终端及ike认证系统的制作方法
【技术领域】
[0001]本发明涉及通信网络安全领域,具体涉及一种IKE (Internet Key Exchange,因特网密钥交换协议)认证方法、IKE发起终端、IKE响应终端及IKE认证系统。
【背景技术】
[0002]随着因特网的高速发展,IP网络逐渐成为人们日常工作和生活中必不可少的工具,而在IP网络上进行数据传输的安全性保证的需求也日趋强烈。众所周知,IP网络是个开放的网络,不采取任何措施就利用IP网络进行数据通信是毫无安全性可言的。为了满足在IP网上获得安全通信的需要,互联网工程任务组的IPSec(IP Security, IP安全)工作组制定了一组基于密码学的开放网络安全协议,总称IPSec体系结构。IPSec协议提供了访问控制、无连接的数据完整性、数据保密性、数据源验证、防重放攻击、自动密钥管理等安全服务。IPsec在对IP网络提供安全保护时需要一些参数,包括加解密算法及密钥,完整性验证算法及密钥等集合,称之为SA(安全联盟)。生成SA有两种方法,手工配置和自动协商,在大型的网络部署中,需要采用自动协商方式为IPsec通讯两端生成SA。互联网工程组指定了 IKE协议用于自动协商SA,目前已有两个版本IKEvl和IKEv2。IKEv2相对于IKEvl版本减少了协商报文个数,增加了一些新的功能。
[0003]数据源认证功能是IPsec协议簇提供的功能之一,通过在IKE协商过程中对IKE对端进行身份认证来实现。在IKE协商过程中,IKE通讯两端通过相互认证对端的身份ID来确认对端的合法性;具体的认证类型有多种,IKE认证类型取决于本端配置,一旦配置确定了,在与不同的对端进行IKE协商时,都会采用同一种认证类型。在一些多对一的应用场景中,多个不同的IKE客户端可能会要求IKE服务端采用不同的认证类型,这种需求很难通过IKE服务端的配置解决。例如如图1所示,图中安全网关是一台IPsec网关设备;众多IPsec站点可与一台IPsec网关之间建立IPsec隧道,用于保护它们之间的数据通讯。图1中的站点与网关之间通过IKEv2协议交换密钥,IPsec站点作为IKE发起终端,IPsec网关作为IKE响应终端。IPsec站点和IPsec网关所保护的网络是相互不可见的,它们之间需要通讯,为了保证通讯数据的数据源可靠,在IKEv2协商过程中两端相互进行身份认证,身份认证是单向的,所采用的认证方式可不相同,在图1的多对一组网中,众多IPsec站点可能支持的是不同的认证方式,某些站点可能对IPsec网关上配置那一种认证方式不支持,这样IPsec网关就不能以自身已经配置好的那一种认证方式来与所有的IPsec站点进行IKE协商,否则会导致因站点不支持IPsec网关所采用的认证方式导致认证失败。
【发明内容】
[0004]本发明要解决的主要技术问题是,提供一种IKE认证方法、IKE发起终端、IKE响应终端及IKE认证系统,解决现有IKE认证过程中因IKE发起终端不支持IKE响应终端所采用的认证类型导致认证失败的问题。
[0005]为解决上述技术问题,本发明提供一种IKE认证方法,包括:
[0006]IKE响应终端接收IKE发起终端发送的第一认证请求,所述第一认证请求中包含所述IKE发起终端使用的认证类型;
[0007]所述IKE响应终端从所述第一认证请求中获取所述IKE发起终端使用的认证类型,根据获取的认证类型生成第二认证请求;
[0008]所述IKE响应终端将所述第二认证请求发给所述IKE发起终端。
[0009]在本发明的一种实施例中,所述IKE响应终端根据获取的认证类型生成第二认证请求之前,还包括:
[0010]所述IKE响应终端对所述第一认证请求进行校验,如校验通过,才根据获取的认证类型生成第二认证请求。
[0011]在本发明的一种实施例中,所述IKE响应终端通过主模式交换响应报文或认证交换响应报文将所述第二认证请求发给所述IKE发起终端。
[0012]为了解决上述问题,本发明还提供了一种IKE认证方法,包括:
[0013]IKE发起终端生成第一认证请求,所述第一认证请求中包含所述IKE发起终端使用的认证类型;
[0014]所述IKE发起终端向IKE响应终端发送第一认证请求;
[0015]所述IKE发起终端接收所述IKE响应终端发送的第二认证请求;所述第二认证请求为所述IKE响应终端根据所述第一认证请求中包含的认证类型生成。
[0016]在本发明的一种实施例中,所述IKE发起终端通过主模式交换请求报文或认证交换请求报文将所述第一认证请求发给所述IKE响应终端。
[0017]为了解决上述问题,本发明还提供了一种IKE认证方法,包括:
[0018]IKE发起终端生成第一认证请求,并将该第一认证请求发给IKE响应终端,所述第一认证请求中包含所述IKE发起终端使用的认证类型;
[0019]所述IKE响应终端接收所述IKE发起终端发送的第一认证请求,从所述第一认证请求中获取所述IKE发起终端使用的认证类型,根据获取的认证类型生成第二认证请求,将所述第二认证请求发给所述IKE发起终端;
[0020]所述IKE发起终端接收所述IKE响应终端发送的第二认证请求。
[0021]为了解决上述问题,本发明还提供了一种IKE响应终端,包括第一接收模块、第一处理模块和第一发送模块;
[0022]所述第一接收模块用于接收IKE发起终端发送的第一认证请求,所述第一认证请求中包含所述IKE发起终端使用的认证类型;
[0023]所述第一处理模块用于从所述第一认证请求中获取所述IKE发起终端使用的认证类型,根据获取的认证类型生成第二认证请求;
[0024]所述第一发送模块用于将所述第二认证请求发给所述IKE发起终端。
[0025]在本发明的一种实施例中,还包括校验模块,用于在所述第一处理模块根据获取的认证类型生成第二认证请求之前,对所述第一认证请求进行校验,如校验通过,才通知所述第一处理模块根据获取的认证类型生成第二认证请求。
[0026]在本发明的一种实施例中,所述第一发送模块包括主模式交换响应报文发送子模块,用于将所述第二认证请求通过主模式交换响应报文发给所述IKE发起终端;或所述第一发送模块包括认证交换响应报文发送子模块,用于将所述第二认证请求通过认证交换响应报文发给所述IKE发起终端。
[0027]为了解决上述问题,本发明还提供了一种IKE发起终端,包括第二接收模块、第二处理模块和第二发送模块;
[0028]所述第二处理模块用于生成第一认证请求,所述第一认证请求中包含所述IKE发起终端使用的认证类型;
[0029]所述第二发送模块用于向IKE响应终端发送所述第一认证请求;
[0030]所述第二接收模块用于接收所述IKE响应终端发送的第二认证请求;所述第二认证请求为所述IKE响应终端根据所述第一认证请求中包含的认证类型生成。
[0031]在本发明的一种实施例中,所述第二发送模块包括主模式交换请求报文发送子模块,用于将所述第一认证请求通过主模式交换请求报文发送给所述IKE响应终端;或所述第二发送模块包括认证交换请求报文发送子模块,用于将所述第一认证请求通过认证交换请求报文发给所述IKE响应终端。
[0032]为了解决上述问题,本发明还提供了一种IKE认证系统,包括IKE发起终端和IKE响应终端;<