对所述终端设备的认证失败,则终止与所述终端设备的SA协商过程;或者,在完成主模式协商之后,利用所述用户名信息和密码信息对所述终端设备进行认证。
[0057]其中,本发明装置的各个模块可以集成于一体,也可以分离部署。上述模块可以合并为一个模块,也可以进一步拆分成多个子模块。
[0058]基于与上述方法同样的发明构思,本发明实施例还提供一种认证装置,该认证装置应用在终端设备上。该认证装置可通过软件实现,也可通过硬件或者软硬件结合的方式实现。以软件实现为例,作为一个逻辑意义上的装置,是通过其所在的终端设备的处理器将非易失性存储器中对应的计算机程序指令读取到内存中运行形成的。从硬件层面而言,如图5所示,为本发明提出的认证装置所在的终端设备的一种硬件结构图,除了图5所示的处理器、网络接口、内存以及非易失性存储器外,终端设备还可以包括其他硬件,如负责处理报文的转发芯片等;从硬件结构上来讲,该终端设备还可能是分布式设备,可能包括多个接口卡,以便在硬件层面进行报文处理的扩展。
[0059]如图6所示,为本发明提出的认证装置的结构图,所述认证装置具体包括:
[0060]接收模块21,用于接收用户输入的用户名信息和密码信息,并将所述密码信息作为密钥;发送模块22,用于向接入设备发送携带所述用户名信息的互联网密钥交换IKE协商报文,以使所述接入设备得到所述用户名信息对应的密码信息,将所述密码信息作为密钥,并利用所述用户名信息和密码信息对所述终端设备进行认证。本发明实施例中,所述IKE协商报文具体为用于协商安全联盟SA交换的请求报文,或者用于进行密钥交换的请求报文。
[0061]通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到本发明可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述的方法。本领域技术人员可以理解附图只是一个优选实施例的示意图,附图中的模块或流程并不一定是实施本发明所必须的。
[0062]本领域技术人员可以理解实施例中的装置中的模块可以按照实施例描述进行分布于实施例的装置中,也可以进行相应变化位于不同于本实施例的一个或多个装置中。上述实施例的模块可以合并为一个模块,也可进一步拆分成多个子模块。上述本发明实施例序号仅仅为了描述,不代表实施例的优劣。
[0063]以上公开的仅为本发明的几个具体实施例,但是,本发明并非局限于此,任何本领域的技术人员能思之的变化都应落入本发明的保护范围。
【主权项】
1.一种认证方法,其特征在于,所述方法包括以下步骤: 接入设备接收来自终端设备的互联网密钥交换IKE协商报文,所述IKE协商报文携带所述终端设备的用户名信息; 所述接入设备利用所述用户名信息,查询预先配置的用户名信息与密码信息之间的对应关系,得到所述用户名信息对应的密码信息; 所述接入设备利用所述用户名信息和密码信息对所述终端设备进行认证。2.根据权利要求1所述的方法,其特征在于,所述IKE协商报文具体为用于协商安全联盟SA交换的请求报文,或者用于进行密钥交换的请求报文。3.根据权利要求1所述的方法,其特征在于,所述方法进一步包括: 所述接入设备将所述密码信息作为密钥,以使所述接入设备配置的密钥与所述终端设备配置的密钥相同,所述终端设备将用户输入的与所述用户名信息对应的密码信息作为密钥。4.根据权利要求1所述的方法,其特征在于,所述接入设备利用所述用户名信息和密码信息对终端设备进行认证的过程,具体包括: 所述接入设备在接收到所述IKE协商报文时,利用所述用户名信息和密码信息对终端设备进行认证;如果对所述终端设备的认证成功,则所述接入设备向所述终端设备发送针对所述IKE协商报文的响应报文;如果对所述终端设备的认证失败,则所述接入设备终止与所述终端设备的SA协商过程;或者, 所述接入设备在完成主模式协商之后,利用所述用户名信息和密码信息对所述终端设备进行认证。5.一种认证方法,其特征在于,所述方法包括以下步骤: 终端设备接收用户输入的用户名信息和密码信息,并将所述密码信息作为密钥; 所述终端设备向接入设备发送携带所述用户名信息的互联网密钥交换IKE协商报文,以使所述接入设备得到所述用户名信息对应的密码信息,将所述密码信息作为密钥,并利用所述用户名信息和密码信息对所述终端设备进行认证。6.根据权利要求5所述的方法,其特征在于,所述IKE协商报文具体为用于协商安全联盟SA交换的请求报文,或者用于进行密钥交换的请求报文。7.—种认证装置,其特征在于,应用在接入设备上,所述认证装置包括: 接收模块,用于接收来自终端设备的互联网密钥交换IKE协商报文,所述IKE协商报文携带所述终端设备的用户名信息; 获得模块,用于利用所述用户名信息,查询预先配置的用户名信息与密码信息之间的对应关系,得到所述用户名信息对应的密码信息; 认证模块,用于利用所述用户名信息和密码信息对所述终端设备进行认证。8.根据权利要求7所述的装置,其特征在于,所述IKE协商报文具体为用于协商安全联盟SA交换的请求报文,或者用于进行密钥交换的请求报文。9.根据权利要求7所述的装置,其特征在于, 所述获得模块,还用于将所述密码信息作为密钥,以使所述接入设备配置的密钥与所述终端设备配置的密钥相同,所述终端设备将用户输入的与所述用户名信息对应的密码信息作为密钥。10.根据权利要求7所述的装置,其特征在于, 所述认证模块,具体用于在接收到所述IKE协商报文时,利用所述用户名信息和密码信息对终端设备进行认证;如果对所述终端设备的认证成功,则向所述终端设备发送针对所述IKE协商报文的响应报文;如果对所述终端设备的认证失败,则终止与所述终端设备的SA协商过程;或者,在完成主模式协商之后,利用所述用户名信息和密码信息对所述终端设备进行认证。11.一种认证装置,其特征在于,应用在终端设备上,所述认证装置包括: 接收模块,用于接收用户输入的用户名信息和密码信息,并将所述密码信息作为密钥; 发送模块,用于向接入设备发送携带所述用户名信息的互联网密钥交换IKE协商报文,以使所述接入设备得到所述用户名信息对应的密码信息,将所述密码信息作为密钥,并利用所述用户名信息和密码信息对所述终端设备进行认证。12.根据权利要求11所述的装置,其特征在于,所述IKE协商报文具体为用于协商安全联盟SA交换的请求报文,或者用于进行密钥交换的请求报文。
【专利摘要】本发明提供一种认证方法和装置,该方法包括:接入设备接收来自终端设备的互联网密钥交换IKE协商报文,所述IKE协商报文携带所述终端设备的用户名信息;所述接入设备利用所述用户名信息,查询预先配置的用户名信息与密码信息之间的对应关系,得到所述用户名信息对应的密码信息;所述接入设备利用所述用户名信息和密码信息对所述终端设备进行认证。通过本发明的技术方案,减少报文交互的数量,简化SA协商过程,简化终端设备的配置。
【IPC分类】H04L9/32, H04L29/08
【公开号】CN105591748
【申请号】CN201510603762
【发明人】张太博
【申请人】杭州华三通信技术有限公司
【公开日】2016年5月18日
【申请日】2015年9月21日