一种认证方法和装置的制造方法
【技术领域】
[0001]本发明涉及通信技术领域,尤其是涉及一种认证方法和装置。
【背景技术】
[0002]IPsec (IP Security,IP安全)是三层隧道加密协议,为互联网上传输的数据提供了高质量的、基于密码学的安全保证,是一种实现三层VPN(Virtual Private Network,虚拟专用网络)的安全技术。IPsec通过在特定通信方之间建立通道,来保护通信方之间传输的数据,该通道通常称为IPsec隧道。
[0003]在使用IPsec保护数据之前,需要先建立一个SA (Security Associat1n,安全联盟),该SA可以手工创建或者动态建立,IKE (Internet Key Exchange,互联网密钥交换)协议给出了一种动态建立SA的方式。IKE协议建立在由ISAKMP(Internet SecurityAssociat1n and Key Management Protocol,互联网安全联盟和密钥管理协议)定义的框架上,为IPsec提供自动协商交换密钥、建立SA的服务,能够简化IPsec的使用和管理,简化IPsec的配置和维护。
[0004]当在终端设备和接入设备之间建立IPsec隧道时,则SA协商过程包括如下三个过程。第一过程为主模式协商过程,在该过程中,终端设备与接入设备进行IKE协商,并得到IKE SA0第二过程为传输协商过程,在该过程中,接入设备向终端设备发送认证通知报文,要求终端设备输入用户名和密码;终端设备向接入设备返回携带有用户名和密码的认证请求报文;接入设备将携带有用户名和密码的认证请求报文发送给RADIUS(RemoteAuthenticat1n Dial-1n User Service,远程认证拨号用户服务)服务器,RADIUS服务器利用用户名和密码对终端设备进行认证;如果认证通过,则接入设备接收来自该RADIUS服务器的认证通过报文,并进行第三过程。第三过程为快速模式协商过程,在该过程中,终端设备与接入设备进行IPsec协商,得到IPsec SA0
[0005]在上述传输协商过程中,涉及多个报文的交互,会浪费网络带宽。
【发明内容】
[0006]本发明提供一种认证方法,所述方法包括以下步骤:
[0007]接入设备接收来自终端设备的互联网密钥交换IKE协商报文,所述IKE协商报文携带所述终端设备的用户名信息;
[0008]所述接入设备利用所述用户名信息,查询预先配置的用户名信息与密码信息之间的对应关系,得到所述用户名信息对应的密码信息;
[0009]所述接入设备利用所述用户名信息和密码信息对所述终端设备进行认证。
[0010]本发明提供一种认证方法,所述方法包括以下步骤:
[0011]终端设备接收用户输入的用户名信息和密码信息,并将所述密码信息作为密钥;所述终端设备向接入设备发送携带所述用户名信息的互联网密钥交换IKE协商报文,以使所述接入设备得到所述用户名信息对应的密码信息,将所述密码信息作为密钥,并利用所述用户名信息和密码信息对所述终端设备进行认证。
[0012]本发明提供一种认证装置,应用在接入设备上,所述认证装置包括:
[0013]接收模块,用于接收来自终端设备的互联网密钥交换IKE协商报文,所述IKE协商报文携带所述终端设备的用户名信息;
[0014]获得模块,用于利用所述用户名信息,查询预先配置的用户名信息与密码信息之间的对应关系,得到所述用户名信息对应的密码信息;
[0015]认证模块,用于利用所述用户名信息和密码信息对所述终端设备进行认证。
[0016]本发明提供一种认证装置,应用在终端设备上,所述认证装置包括:接收模块,用于接收用户输入的用户名信息和密码信息,并将所述密码信息作为密钥;发送模块,用于向接入设备发送携带所述用户名信息的互联网密钥交换IKE协商报文,以使所述接入设备得到所述用户名信息对应的密码信息,将所述密码信息作为密钥,并利用所述用户名信息和密码信息对所述终端设备进行认证。
[0017]基于上述技术方案,本发明实施例中,通过在IKE协商报文中携带终端设备的用户名信息,使得接入设备可以直接利用用户名信息得到对应的密码信息,不需要终端设备向接入设备发送携带有用户名和密码的认证请求报文,减少报文交互的数量,简化SA协商过程,同时也简化了终端设备的配置。
【附图说明】
[0018]图1是本发明实施例的应用场景示意图;
[0019]图2是本发明一种实施方式中的认证方法的流程图;
[0020]图3是本发明一种实施方式中的接入设备的硬件结构图;
[0021]图4是本发明一种实施方式中的认证装置的结构图;
[0022]图5是本发明一种实施方式中的终端设备的硬件结构图;
[0023]图6是本发明一种实施方式中的认证装置的结构图。
【具体实施方式】
[0024]针对现有技术中存在的问题,本发明实施例中提出一种认证方法,该方法应用于包括接入设备、终端设备和RADIUS服务器的系统中,且用于在SA协商过程中对终端设备进行认证。以图1为本发明实施例的应用场景示意图,该系统中可以包括终端设备1、接入设备I和RADIUS服务器I。
[0025]在上述应用场景下,如图2所示,该认证方法可以包括以下步骤:
[0026]步骤201,终端设备接收用户输入的用户名信息和密码信息,并将该密码信息作为密钥。其中,对于密钥的使用,将在后续步骤中进行说明。
[0027]步骤202,终端设备向接入设备发送携带用户名信息的IKE协商报文。
[0028]步骤203,接入设备接收来自终端设备的携带用户名信息的IKE协商报文。
[0029]本发明实施例中,在SA协商过程的主模式协商过程中,终端设备在向接入设备发送IKE协商报文时,可以在该IKE协商报文中添加本终端设备的用户名信息。接入设备在接收到来自终端设备的携带用户名信息的IKE协商报文之后,可以从该IKE协商报文中获得该终端设备的用户名信息。
[0030]本发明实施例中,通过对现有的IKE协商报文进行改进,使得IKE协商报文中包括用于承载终端设备的用户名信息的特定载荷字段(如REPLY(回应)载荷字段)。基于此,终端设备可以在IKE协商报文的特定载荷字段中添加本终端设备的用户名信息。而且,接入设备从IKE协商报文中获得终端设备的用户名信息的过程,具体包括但不限于如下方式:接入设备解析IKE协商报文的特定载荷字段中承载的内容,获得终端设备的用户名信息。
[0031]步骤204,接入设备利用获得的用户名信息,查询预先配置的用户名信息与密码信息之间的对应关系,得到该用户名信息对应的密码信息。
[0032]本发明实施例中,在接入设备本地或者内网数据库中预先配置了用户名信息与密码信息之间的对应关系。接入设备在获得用户名信息之后,通过利用该用户名信息查询接入设备本地或者内网数据库中配置的用户名信息与密码信息之间的对应关系,可以得到该用户名信息对应的密码信息。
[0033]本发明实施例中,接入设备在得到该用户名信息对应的密码信息之后,还可以将密码信息作为密钥,以使接入设备配置的密钥与终端设备配置的密钥相同。其中,终端设备将用户输入的与用户名信息对应的密码信息作为密钥。
[0034]本发明实施例中,接入设