CN105450418A - Ike认证方法、ike发起终端、ike响应终端及ike认证系统 - Google Patents
Ike认证方法、ike发起终端、ike响应终端及ike认证系统 Download PDFInfo
- Publication number
- CN105450418A CN105450418A CN201410486241.1A CN201410486241A CN105450418A CN 105450418 A CN105450418 A CN 105450418A CN 201410486241 A CN201410486241 A CN 201410486241A CN 105450418 A CN105450418 A CN 105450418A
- Authority
- CN
- China
- Prior art keywords
- ike
- authentication request
- terminal
- initiating terminal
- authentication
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Withdrawn
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本发明公开了一种IKE认证方法、IKE发起终端、IKE响应终端及IKE认证系统,IKE发起终端生成包含其当前使用的认证类型的第一认证请求,并将该第一认证请求发给IKE响应终端;IKE响应终端接收到第一认证请求后,从中获取IKE发起终端使用的认证类型,然后该认证类型生成第二认证请求并发给所述IKE发起终端;可见,在本发明中,IKE响应终端生成第二认证请求时所采用的认证类型是从第一认证请求中获取的,也即采用的认证类型与IKE发起终端采用的认证类型是一致的,IKE发起终端必然支持该认证类型。因此,通过本发明提供的方案可以IKE响应终端可以针对不同的IKE发起终端智能适配认证类型,进而可避免因IKE发起终端不支持IKE响应终端所采用的认证类型导致认证失败的问题。
Description
技术领域
本发明涉及通信网络安全领域,具体涉及一种IKE(InternetKeyExchange,因特网密钥交换协议)认证方法、IKE发起终端、IKE响应终端及IKE认证系统。
背景技术
随着因特网的高速发展,IP网络逐渐成为人们日常工作和生活中必不可少的工具,而在IP网络上进行数据传输的安全性保证的需求也日趋强烈。众所周知,IP网络是个开放的网络,不采取任何措施就利用IP网络进行数据通信是毫无安全性可言的。为了满足在IP网上获得安全通信的需要,互联网工程任务组的IPSec(IPSecurity,IP安全)工作组制定了一组基于密码学的开放网络安全协议,总称IPSec体系结构。IPSec协议提供了访问控制、无连接的数据完整性、数据保密性、数据源验证、防重放攻击、自动密钥管理等安全服务。IPsec在对IP网络提供安全保护时需要一些参数,包括加解密算法及密钥,完整性验证算法及密钥等集合,称之为SA(安全联盟)。生成SA有两种方法,手工配置和自动协商,在大型的网络部署中,需要采用自动协商方式为IPsec通讯两端生成SA。互联网工程组指定了IKE协议用于自动协商SA,目前已有两个版本IKEv1和IKEv2。IKEv2相对于IKEv1版本减少了协商报文个数,增加了一些新的功能。
数据源认证功能是IPsec协议簇提供的功能之一,通过在IKE协商过程中对IKE对端进行身份认证来实现。在IKE协商过程中,IKE通讯两端通过相互认证对端的身份ID来确认对端的合法性;具体的认证类型有多种,IKE认证类型取决于本端配置,一旦配置确定了,在与不同的对端进行IKE协商时,都会采用同一种认证类型。在一些多对一的应用场景中,多个不同的IKE客户端可能会要求IKE服务端采用不同的认证类型,这种需求很难通过IKE服务端的配置解决。例如如图1所示,图中安全网关是一台IPsec网关设备;众多IPsec站点可与一台IPsec网关之间建立IPsec隧道,用于保护它们之间的数据通讯。图1中的站点与网关之间通过IKEv2协议交换密钥,IPsec站点作为IKE发起终端,IPsec网关作为IKE响应终端。IPsec站点和IPsec网关所保护的网络是相互不可见的,它们之间需要通讯,为了保证通讯数据的数据源可靠,在IKEv2协商过程中两端相互进行身份认证,身份认证是单向的,所采用的认证方式可不相同,在图1的多对一组网中,众多IPsec站点可能支持的是不同的认证方式,某些站点可能对IPsec网关上配置那一种认证方式不支持,这样IPsec网关就不能以自身已经配置好的那一种认证方式来与所有的IPsec站点进行IKE协商,否则会导致因站点不支持IPsec网关所采用的认证方式导致认证失败。
发明内容
本发明要解决的主要技术问题是,提供一种IKE认证方法、IKE发起终端、IKE响应终端及IKE认证系统,解决现有IKE认证过程中因IKE发起终端不支持IKE响应终端所采用的认证类型导致认证失败的问题。
为解决上述技术问题,本发明提供一种IKE认证方法,包括:
IKE响应终端接收IKE发起终端发送的第一认证请求,所述第一认证请求中包含所述IKE发起终端使用的认证类型;
所述IKE响应终端从所述第一认证请求中获取所述IKE发起终端使用的认证类型,根据获取的认证类型生成第二认证请求;
所述IKE响应终端将所述第二认证请求发给所述IKE发起终端。
在本发明的一种实施例中,所述IKE响应终端根据获取的认证类型生成第二认证请求之前,还包括:
所述IKE响应终端对所述第一认证请求进行校验,如校验通过,才根据获取的认证类型生成第二认证请求。
在本发明的一种实施例中,所述IKE响应终端通过主模式交换响应报文或认证交换响应报文将所述第二认证请求发给所述IKE发起终端。
为了解决上述问题,本发明还提供了一种IKE认证方法,包括:
IKE发起终端生成第一认证请求,所述第一认证请求中包含所述IKE发起终端使用的认证类型;
所述IKE发起终端向IKE响应终端发送第一认证请求;
所述IKE发起终端接收所述IKE响应终端发送的第二认证请求;所述第二认证请求为所述IKE响应终端根据所述第一认证请求中包含的认证类型生成。
在本发明的一种实施例中,所述IKE发起终端通过主模式交换请求报文或认证交换请求报文将所述第一认证请求发给所述IKE响应终端。
为了解决上述问题,本发明还提供了一种IKE认证方法,包括:
IKE发起终端生成第一认证请求,并将该第一认证请求发给IKE响应终端,所述第一认证请求中包含所述IKE发起终端使用的认证类型;
所述IKE响应终端接收所述IKE发起终端发送的第一认证请求,从所述第一认证请求中获取所述IKE发起终端使用的认证类型,根据获取的认证类型生成第二认证请求,将所述第二认证请求发给所述IKE发起终端;
所述IKE发起终端接收所述IKE响应终端发送的第二认证请求。
为了解决上述问题,本发明还提供了一种IKE响应终端,包括第一接收模块、第一处理模块和第一发送模块;
所述第一接收模块用于接收IKE发起终端发送的第一认证请求,所述第一认证请求中包含所述IKE发起终端使用的认证类型;
所述第一处理模块用于从所述第一认证请求中获取所述IKE发起终端使用的认证类型,根据获取的认证类型生成第二认证请求;
所述第一发送模块用于将所述第二认证请求发给所述IKE发起终端。
在本发明的一种实施例中,还包括校验模块,用于在所述第一处理模块根据获取的认证类型生成第二认证请求之前,对所述第一认证请求进行校验,如校验通过,才通知所述第一处理模块根据获取的认证类型生成第二认证请求。
在本发明的一种实施例中,所述第一发送模块包括主模式交换响应报文发送子模块,用于将所述第二认证请求通过主模式交换响应报文发给所述IKE发起终端;或所述第一发送模块包括认证交换响应报文发送子模块,用于将所述第二认证请求通过认证交换响应报文发给所述IKE发起终端。
为了解决上述问题,本发明还提供了一种IKE发起终端,包括第二接收模块、第二处理模块和第二发送模块;
所述第二处理模块用于生成第一认证请求,所述第一认证请求中包含所述IKE发起终端使用的认证类型;
所述第二发送模块用于向IKE响应终端发送所述第一认证请求;
所述第二接收模块用于接收所述IKE响应终端发送的第二认证请求;所述第二认证请求为所述IKE响应终端根据所述第一认证请求中包含的认证类型生成。
在本发明的一种实施例中,所述第二发送模块包括主模式交换请求报文发送子模块,用于将所述第一认证请求通过主模式交换请求报文发送给所述IKE响应终端;或所述第二发送模块包括认证交换请求报文发送子模块,用于将所述第一认证请求通过认证交换请求报文发给所述IKE响应终端。
为了解决上述问题,本发明还提供了一种IKE认证系统,包括IKE发起终端和IKE响应终端;
所述IKE发起终端用于生成第一认证请求,并将该第一认证请求发给所述IKE响应终端,所述第一认证请求中包含所述IKE发起终端使用的认证类型;以及用于接收所述IKE响应终端发送的第二认证请求;
所述IKE响应终端用于接收IKE发起终端发送的第一认证请求,从所述第一认证请求中获取所述IKE发起终端使用的认证类型,根据获取的认证类型生成第二认证请求;以及将所述第二认证请求发给所述IKE发起终端。
本发明的有益效果是:
本发明提供的IKE认证方法、IKE发起终端、IKE响应终端及IKE认证系统,IKE发起终端生成包含其当前使用的认证类型的第一认证请求,并将该第一认证请求发给IKE响应终端;IKE响应终端接收到第一认证请求后,从中获取IKE发起终端使用的认证类型,然后该认证类型生成第二认证请求并发给所述IKE发起终端;可见,在本发明中,IKE响应终端生成第二认证请求时所采用的认证类型是从第一认证请求中获取的,也即采用的认证类型与IKE发起终端采用的认证类型是一致的,IKE发起终端必然支持该认证类型。因此,通过本发明提供的该方案可以IKE响应终端可以针对不同的IKE发起终端智能适配认证类型,进而可避免因IKE发起终端不支持IKE响应终端所采用的认证类型导致认证失败的问题。
附图说明
图1为一种典型组网的结构示意图;
图2为本发明实施例一中IKE认证方法流程示意图;
图3为本发明实施例二中IKE认证方法流程示意图;
图4为本发明实施例三中IKE认证方法流程示意图;
图5为本发明实施例四中IKE认证系统结构示意图;
图6为本发明实施例四中IKE响应终端结构示意图;
图7为本发明实施例四中另一种IKE响应终端结构示意图;
图8为本发明实施例四中IKE发起终端结构示意图;
图9为本发明实施例五中IKE认证方法流程示意图。
具体实施方式
下面通过具体实施方式结合附图对本发明作进一步详细说明。
实施例一:
请参考图2所示,本实施例提供的IKE认证方法包括:
步骤201:IKE响应终端接收IKE发起终端发送的第一认证请求,该第一认证请求中包含IKE发起终端使用的认证类型;
步骤202:IKE响应终端从第一认证请求中获取IKE发起终端使用的认证类型,根据获取的认证类型生成第二认证请求;也即采用获取的认证类型生成第二认证请求,以保证IKE发起终端能支持识别该认证类型;
步骤203:IKE响应终端将生成的第二认证请求发给IKE发起终端以进行认证。
在本实施例中,IKE响应终端接收到第一认证请求后,根据从第一认证请求中获取的认证类型生成第二认证请求之前,需包括:
IKE响应终端对第一认证请求进行校验,如校验通过,才根据获取的认证类型生成第二认证请求;否则,可直接向IKE发起终端反馈认证失败的响应消息。
本实施例中提供的方案可适用但并不局限于预共享密钥认证类型和证书认证类型。下面以预共享密钥认证类型为例,对IKE响应终端对第一认证请求进行校验的过程进行示例性说明:
第一认证请求还可包括IKE发起终端的身份信息,以及IKE发起终端根据其本地配置的认证类型对第一原始认证数据进行计算得到的计算结果数据(以下称为第一待验证数据);IKE响应终端接收到该第一认证请求后,获取身份信息,从相应的数据对应关系库中查找到对应的密钥,并结合第一认证请求中的认证类型对所述第一原始数据进行计算得到第一验证数据,将第一验证数据与第一待验证数据进行匹配,如二者一致则验证通过;否则,验证失败。
本实施例中,IKE响应终端生成第二认证请求的过程为:IKE响应终端根据获取配置的认证类型对第二原始认证数据进行计算得到的计算结果数据(以下称为第二待验证数据);并将认证类型和第二待验证数据以及自身的身份信息加入第二认证请求中。在此之前,IKE发响应端可以将该第二原始认证数据先发给IKE发起终端,当然也可将其随着第二认证请求发给IKE响应终端。
本实施例中,IKE响应终端向IKE发起终端反馈第二认证请求时,具体可通过主模式交换响应报文(针对IKEv1)或认证交换响应报文(即IKE_AUTH响应报文,针对IKEv2)将第二认证请求发给IKE发起终端。通过IKE_AUTH响应报文发送时,该报文中具体可包括IDr载荷和AUTH载荷,其中IDr载荷包括IKE响应终端的身份信息,AUTH载荷包括IKE响应终端采用的认证类型(与IKE发起终端所采用的认证类型一致)以及IKE响应终端根据该认证类型对第二原始认证数据进行计算得到的计算结果数据(以下称为第二待验证数据)。
本实施例中,IKE发起终端的用于进行认证的第一原始认证数据和IKE响应终端的用于进行认证的第二原始认证数据可以在IKE发起终端向IKE响应终端发送第一认证请求前分别发给对端;当然,根据实际应用,也可分别随着第一认证请求和第二认证请求发给对端。
实施例二:
请参考图3所示,本实施例提供的IKE认证方法包括:
步骤301:IKE发起终端生成第一认证请求,生成的第一认证请求中包含IKE发起终端使用的认证类型;
步骤302:IKE发起终端向IKE响应终端发送第一认证请求;
步骤303:IKE发起终端接收IKE响应终端发送的第二认证请求;第二认证请求为IKE响应终端根据第一认证请求中包含的认证类型生成。
在本实施例中,IKE发起终端生成第一认证请求的过程为:IKE发起终端根据本地配置的认证类型对第一原始认证数据进行计算得到的计算结果数据(以下称为第一待验证数据);并将认证类型和第一待验证数据以及自身的身份信息加入第一认证请求中。在此之前,IKE发起终端可以将该第一原始认证数据先发给IKE响应终端,当然也可将其随着第一认证请求发给IKE响应终端。
本实施例中,IKE发起终端具体可通过主模式交换请求报文(针对IKEv1)或认证交换请求报文(即IKE_AUTH请求报文,针对IKEv2)将第一认证请求发给所述IKE响应终端。通过IKE_AUTH请求报文发送时,该报文中具体可包括IDi载荷和AUTH载荷,其中IDi载荷包括IKE发起终端的身份信息,AUTH载荷包括IKE发起终端采用的认证类型以及IKE发起终端根据其本地的认证类型对第一原始认证数据进行计算得到的第一待验证数据。
本实施例中,IKE响应终端生成第二认证请求的过程为:IKE响应终端根据获取配置的认证类型对第二原始认证数据进行计算得到的计算结果数据(以下称为第二待验证数据);并将认证类型和第二待验证数据以及自身的身份信息加入第二认证请求中。在此之前,IKE发起终端可以将该第二原始认证数据先发给IKE发起终端,当然也可将其随着第二认证请求发给IKE响应终端。
在上述步骤303之后,IKE发起终端收到第二认证请求后,对第二认证请求进行校验认证。下面仍以预共享密钥认证类型为例,对IKE发起终端对第二认证请求进行校验的过程进行示例性说明:
第二认证请求还包括IKE响应终端的身份信息,以及IKE响应终端根据获取认证类型对第二原始认证数据进行计算得到的计算结果数据(以下称为第二待验证数据);IKE发起终端接收到该第二认证请求后,获取身份信息,从相应的数据对应关系库中查找到对应的密钥,并结合第二认证请求中的认证类型对第二原始数据进行计算得到第二验证数据,将第二验证数据与第二待验证数据进行匹配,如二者一致则验证通过;否则,验证失败,可直接向IKE响应终端反馈认证失败的响应消息。
实施例三:
请参见图4所示,本实施例提供的IKE认证方法包括:
步骤401:IKE发起终端生成第一认证请求,并将该第一认证请求发给IKE响应终端,第一认证请求中包含所述IKE发起终端使用的认证类型;
步骤402:IKE响应终端接收IKE发起终端发送的第一认证请求,从第一认证请求中获取IKE发起终端使用的认证类型;
步骤403:IKE响应终端根据获取的认证类型生成第二认证请求,将第二认证请求发给IKE发起终端;
步骤404:IKE发起终端接收IKE响应终端发送的第二认证请求。
本实施例中,IKE发起终端具体可通过主模式交换请求报文(针对IKEv1)或认证交换请求报文(即IKE_AUTH请求报文,针对IKEv2)将第一认证请求发给所述IKE响应终端。IKE响应终端向IKE发起终端反馈第二认证请求时,具体可通过主模式交换响应报文(针对IKEv1)或认证交换响应报文(即IKE_AUTH响应报文,针对IKEv2)将第二认证请求发给IKE发起终端。
在本实施例中,IKE响应终端接收到第一认证请求后,根据从第一认证请求中获取的认证类型生成第二认证请求之前,需包括:
IKE响应终端对第一认证请求进行校验,如校验通过,才根据获取的认证类型生成第二认证请求;否则,可直接向IKE发起终端反馈认证失败的响应消息。
在本实施例中,IKE发起终端收到第二认证请求后,对第二认证请求进行校验认证。下面仍以预共享密钥认证类型为例,对IKE发起终端对第二认证请求进行校验的过程进行示例性说明;对于IKE响应终端对第一认证请求的认证过程在此不再赘述:
第二认证请求还包括IKE响应终端的身份信息,以及IKE响应终端根据获取认证类型对第二原始认证数据进行计算得到的计算结果数据(以下称为第二待验证数据);IKE发起终端接收到该第二认证请求后,获取身份信息,从相应的数据对应关系库中查找到对应的密钥,并结合第二认证请求中的认证类型对第二原始数据进行计算得到第二验证数据,将第二验证数据与第二待验证数据进行匹配,如二者一致则验证通过;否则,验证失败,可直接向IKE响应终端反馈认证失败的响应消息。
实施例四:
请参见图5所示,本实施例提供的IKE认证系统包括IKE发起终端和IKE响应终端,其中:
IKE发起终端用于生成第一认证请求,并将该第一认证请求发给所述IKE响应终端,第一认证请求中包含IKE发起终端使用的认证类型;以及用于接收IKE响应终端发送的第二认证请求;
IKE响应终端用于接收IKE发起终端发送的第一认证请求,从第一认证请求中获取IKE发起终端使用的认证类型,根据获取的认证类型生成第二认证请求;以及将第二认证请求发给IKE发起终端。
具体的,请参见图6所示,本实施例中的IKE响应终端包括第一接收模块、第一处理模块和第一发送模块;
第一接收模块用于接收IKE发起终端发送的第一认证请求,第一认证请求中包含IKE发起终端使用的认证类型;
第一处理模块用于从第一认证请求中获取IKE发起终端使用的认证类型,根据获取的认证类型生成第二认证请求;
第一发送模块用于将第二认证请求发给IKE发起终端。
请参见图7所示,IKE响应终端还包括校验模块(以下称为第一校验模块),用于在第一处理模块根据获取的认证类型生成第二认证请求之前,对第一认证请求进行校验,如校验通过,才通知第一处理模块根据获取的认证类型生成第二认证请求。下面以预共享密钥认证类型为例,对第一校验模块对第一认证请求进行校验的过程进行示例性说明:
第一认证请求还可包括IKE发起终端的身份信息,以及IKE发起终端根据其本地配置的认证类型对第一原始认证数据进行计算得到的计算结果数据(以下称为第一待验证数据);IKE响应终端接收到该第一认证请求后,第一校验模块获取身份信息,从相应的数据对应关系库中查找到对应的密钥,并结合第一认证请求中的认证类型对所述第一原始数据进行计算得到第一验证数据,将第一验证数据与第一待验证数据进行匹配,如二者一致则验证通过;否则,验证失败。
本实施例中,第一处理模块生成第二认证请求的过程为:第一处理模块根据获取配置的认证类型对第二原始认证数据进行计算得到的计算结果数据(以下称为第二待验证数据);并将认证类型和第二待验证数据以及自身的身份信息加入第二认证请求中。在此之前,IKE响应终端可以将该第二原始认证数据先发给IKE发起终端,当然也可将其随着第二认证请求发给IKE响应终端。
本实施例中,第一发送模块包括主模式交换响应报文发送子模块,用于将第二认证请求通过主模式交换响应报文(针对IKEv1)发给所述IKE发起终端;或第一发送模块包括认证交换响应报文发送子模块,用于将第二认证请求通过认证交换响应报文(即IKE_AUTH响应报文,针对IKEv2)发给IKE发起终端。
请参见图8所示,本实施例提供的IKE发起终端包括第二接收模块、第二处理模块和第二发送模块;
第二处理模块用于生成第一认证请求,第一认证请求中包含所述IKE发起终端使用的认证类型;
第二发送模块用于向IKE响应终端发送第一认证请求;
第二接收模块用于接收IKE响应终端发送的第二认证请求;第二认证请求为IKE响应终端根据所述第一认证请求中包含的认证类型生成。
第二处理模块生成第一认证请求的过程为:第二处理模块根据IKE发起终端本地配置的认证类型对第一原始认证数据进行计算得到的计算结果数据(以下称为第一待验证数据);并将认证类型和第一待验证数据以及自身的身份信息加入第一认证请求中。在此之前,IKE发起终端可以将该第一原始认证数据先发给IKE响应终端,当然也可将其随着第一认证请求发给IKE响应终端。
本实施例中,第二发送模块包括主模式交换请求报文发送子模块,用于将第一认证请求通过主模式交换请求报文(针对IKEv1)发送给IKE响应终端;或第二发送模块包括认证交换请求报文(即IKE_AUTH请求报文,针对IKEv2)发送子模块,用于将第一认证请求通过认证交换请求报文发给IKE响应终端。
本实施例中的IKE发起终端还包括第二校验模块,用于在第二接收模块接收到第二认证请求后,对其进行校验,下面以预共享密钥认证类型为例对该过程进行说明:
第二认证请求还包括IKE响应终端的身份信息,以及IKE响应终端根据获取认证类型对第二原始认证数据进行计算得到的计算结果数据(以下称为第二待验证数据);第二验证模块接收到该第二认证请求后,获取身份信息,从相应的数据对应关系库中查找到对应的密钥,并结合第二认证请求中的认证类型对第二原始数据进行计算得到第二验证数据,将第二验证数据与第二待验证数据进行匹配,如二者一致则验证通过;否则,验证失败,可直接向IKE响应终端反馈认证失败的响应消息。
实施例五:
在本实施例中,在IKE响应终端上可配置一个用于开启和关闭上述认证类型智能匹配功能的开关模块,在该功能开启时,才进行上述智能匹配过程,否则,直接采用IKE响应终端本地配置的认证类型进行认证。下面以IKEv2为例进行说明,请参见图9所示,包括:
步骤901:IKE响应终端接收IKE发起终端发送的IKE_AUTH交换报文(即第一认证请求报文)中的AUTH载荷;
步骤902:IKE响应终端从该AUTH载荷中获取IKE发起终端使用的认证类型;
步骤903:IKE响应终端读取本端认证类型智能适配功能的配置信息,判断认证类型智能匹配功能是否开启,如是,转至步骤905,否则,转至步骤904;
步骤904:IKE响应终端读取本端认证类型配置,根据本端配置的认证类型计算本端的IDr载荷和AUTH载荷得到第二认证请求;
步骤905:IKE响应终端根据IKE发起终端的认证类型计算本端的IDr载荷和AUTH载荷得到第二认证请求;
步骤906:IKE响应终端将第二认证请求IKE发起终端,继续IKEv2协商流程。
可见,本发明引入了IKE协商过程中智能适配认证类型的认证策略,使得IKE网关在多对一组网时能同时接入支持不同认证类型的IKE客户端设备,一方面降低了IKE网关接入网络对组网的要求,另一方面也能让组网扩容及变动更加灵活。
以上内容是结合具体的实施方式对本发明所作的进一步详细说明,不能认定本发明的具体实施只局限于这些说明。对于本发明所属技术领域的普通技术人员来说,在不脱离本发明构思的前提下,还可以做出若干简单推演或替换,都应当视为属于本发明的保护范围。
Claims (12)
1.一种IKE认证方法,其特征在于,包括:
IKE响应终端接收IKE发起终端发送的第一认证请求,所述第一认证请求中包含所述IKE发起终端使用的认证类型;
所述IKE响应终端从所述第一认证请求中获取所述IKE发起终端使用的认证类型,根据获取的认证类型生成第二认证请求;
所述IKE响应终端将所述第二认证请求发给所述IKE发起终端。
2.如权利要求1所述的IKE认证方法,其特征在于,所述IKE响应终端根据获取的认证类型生成第二认证请求之前,还包括:
所述IKE响应终端对所述第一认证请求进行校验,如校验通过,才根据获取的认证类型生成第二认证请求。
3.如权利要求1或2所述的IKE认证方法,其特征在于,所述IKE响应终端通过主模式交换响应报文或认证交换响应报文将所述第二认证请求发给所述IKE发起终端。
4.一种IKE认证方法,其特征在于,包括:
IKE发起终端生成第一认证请求,所述第一认证请求中包含所述IKE发起终端使用的认证类型;
所述IKE发起终端向IKE响应终端发送第一认证请求;
所述IKE发起终端接收所述IKE响应终端发送的第二认证请求;所述第二认证请求为所述IKE响应终端根据所述第一认证请求中包含的认证类型生成。
5.如权利要求4所述的IKE认证方法,其特征在于,所述IKE发起终端通过主模式交换请求报文或认证交换请求报文将所述第一认证请求发给所述IKE响应终端。
6.一种IKE认证方法,其特征在于,包括:
IKE发起终端生成第一认证请求,并将该第一认证请求发给IKE响应终端,所述第一认证请求中包含所述IKE发起终端使用的认证类型;
所述IKE响应终端接收所述IKE发起终端发送的第一认证请求,从所述第一认证请求中获取所述IKE发起终端使用的认证类型,根据获取的认证类型生成第二认证请求,将所述第二认证请求发给所述IKE发起终端;
所述IKE发起终端接收所述IKE响应终端发送的第二认证请求。
7.一种IKE响应终端,其特征在于,包括第一接收模块、第一处理模块和第一发送模块;
所述第一接收模块用于接收IKE发起终端发送的第一认证请求,所述第一认证请求中包含所述IKE发起终端使用的认证类型;
所述第一处理模块用于从所述第一认证请求中获取所述IKE发起终端使用的认证类型,根据获取的认证类型生成第二认证请求;
所述第一发送模块用于将所述第二认证请求发给所述IKE发起终端。
8.如权利要求7所述的IKE响应终端,其特征在于,还包括校验模块,用于在所述第一处理模块根据获取的认证类型生成第二认证请求之前,对所述第一认证请求进行校验,如校验通过,才通知所述第一处理模块根据获取的认证类型生成第二认证请求。
9.如权利要求7或8所述的IKE响应终端,其特征在于,所述第一发送模块包括主模式交换响应报文发送子模块,用于将所述第二认证请求通过主模式交换响应报文发给所述IKE发起终端;或所述第一发送模块包括认证交换响应报文发送子模块,用于将所述第二认证请求通过认证交换响应报文发给所述IKE发起终端。
10.一种IKE发起终端,其特征在于,包括第二接收模块、第二处理模块和第二发送模块;
所述第二处理模块用于生成第一认证请求,所述第一认证请求中包含所述IKE发起终端使用的认证类型;
所述第二发送模块用于向IKE响应终端发送所述第一认证请求;
所述第二接收模块用于接收所述IKE响应终端发送的第二认证请求;所述第二认证请求为所述IKE响应终端根据所述第一认证请求中包含的认证类型生成。
11.如权利要求10所述的IKE发起终端,其特征在于,所述第二发送模块包括主模式交换请求报文发送子模块,用于将所述第一认证请求通过主模式交换请求报文发送给所述IKE响应终端;或所述第二发送模块包括认证交换请求报文发送子模块,用于将所述第一认证请求通过认证交换请求报文发给所述IKE响应终端。
12.一种IKE认证系统,其特征在于,包括IKE发起终端和IKE响应终端;
所述IKE发起终端用于生成第一认证请求,并将该第一认证请求发给所述IKE响应终端,所述第一认证请求中包含所述IKE发起终端使用的认证类型;以及用于接收所述IKE响应终端发送的第二认证请求;
所述IKE响应终端用于接收IKE发起终端发送的第一认证请求,从所述第一认证请求中获取所述IKE发起终端使用的认证类型,根据获取的认证类型生成第二认证请求;以及将所述第二认证请求发给所述IKE发起终端。
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410486241.1A CN105450418A (zh) | 2014-09-22 | 2014-09-22 | Ike认证方法、ike发起终端、ike响应终端及ike认证系统 |
| PCT/CN2015/073052 WO2016045307A1 (zh) | 2014-09-22 | 2015-02-13 | Ike认证方法、ike发起终端、ike响应终端及ike认证系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410486241.1A CN105450418A (zh) | 2014-09-22 | 2014-09-22 | Ike认证方法、ike发起终端、ike响应终端及ike认证系统 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN105450418A true CN105450418A (zh) | 2016-03-30 |
Family
ID=55560230
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201410486241.1A Withdrawn CN105450418A (zh) | 2014-09-22 | 2014-09-22 | Ike认证方法、ike发起终端、ike响应终端及ike认证系统 |
Country Status (2)
| Country | Link |
|---|---|
| CN (1) | CN105450418A (zh) |
| WO (1) | WO2016045307A1 (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111147471A (zh) * | 2019-12-20 | 2020-05-12 | 视联动力信息技术股份有限公司 | 一种终端入网认证方法、装置、系统和存储介质 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1835436A (zh) * | 2005-03-14 | 2006-09-20 | 华为技术有限公司 | 一种通用鉴权框架及一种实现鉴权的方法 |
| CN101075876A (zh) * | 2007-06-19 | 2007-11-21 | 北京握奇数据系统有限公司 | 一种物理认证的方法及装置 |
| CN101772020A (zh) * | 2009-01-05 | 2010-07-07 | 华为技术有限公司 | 鉴权处理方法和系统、3gpp认证授权计费服务器及用户设备 |
| CN101997684A (zh) * | 2009-08-10 | 2011-03-30 | 北京多思科技发展有限公司 | 一种授权认证方法、装置以及系统 |
| US20120225640A1 (en) * | 2008-03-04 | 2012-09-06 | Alcatel-Lucent Usa Inc. | System and method for securing a base station using sim cards |
Family Cites Families (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101815296A (zh) * | 2009-02-23 | 2010-08-25 | 华为技术有限公司 | 一种进行接入认证的方法、装置及系统 |
| US8434132B2 (en) * | 2010-08-31 | 2013-04-30 | Intel Corporation | Roaming between networks employing different authentication protocols |
| CN102611683B (zh) * | 2011-12-14 | 2015-08-19 | 上海聚力传媒技术有限公司 | 一种用于执行第三方认证的方法、装置、设备和系统 |
-
2014
- 2014-09-22 CN CN201410486241.1A patent/CN105450418A/zh not_active Withdrawn
-
2015
- 2015-02-13 WO PCT/CN2015/073052 patent/WO2016045307A1/zh active Application Filing
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1835436A (zh) * | 2005-03-14 | 2006-09-20 | 华为技术有限公司 | 一种通用鉴权框架及一种实现鉴权的方法 |
| CN101075876A (zh) * | 2007-06-19 | 2007-11-21 | 北京握奇数据系统有限公司 | 一种物理认证的方法及装置 |
| US20120225640A1 (en) * | 2008-03-04 | 2012-09-06 | Alcatel-Lucent Usa Inc. | System and method for securing a base station using sim cards |
| CN101772020A (zh) * | 2009-01-05 | 2010-07-07 | 华为技术有限公司 | 鉴权处理方法和系统、3gpp认证授权计费服务器及用户设备 |
| CN101997684A (zh) * | 2009-08-10 | 2011-03-30 | 北京多思科技发展有限公司 | 一种授权认证方法、装置以及系统 |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111147471A (zh) * | 2019-12-20 | 2020-05-12 | 视联动力信息技术股份有限公司 | 一种终端入网认证方法、装置、系统和存储介质 |
| CN111147471B (zh) * | 2019-12-20 | 2023-02-28 | 视联动力信息技术股份有限公司 | 一种终端入网认证方法、装置、系统和存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| WO2016045307A1 (zh) | 2016-03-31 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10601594B2 (en) | End-to-end service layer authentication | |
| CN109088870B (zh) | 一种新能源厂站发电单元采集终端安全接入平台的方法 | |
| CN104168267B (zh) | 一种接入sip安防视频监控系统的身份认证方法 | |
| EP2590356B1 (en) | Method, device and system for authenticating gateway, node and server | |
| CN106789015B (zh) | 一种智能配电网通信安全系统 | |
| CN110267270B (zh) | 一种变电站内传感器终端接入边缘网关身份认证方法 | |
| CN103237038B (zh) | 一种基于数字证书的双向入网认证方法 | |
| US11736304B2 (en) | Secure authentication of remote equipment | |
| US20170201382A1 (en) | Secure Endpoint Devices | |
| TW201706900A (zh) | 終端的認證處理、認證方法及裝置、系統 | |
| JP7292263B2 (ja) | デジタル証明書を管理するための方法および装置 | |
| KR101575862B1 (ko) | 이기종 전력기기 간 보안 연계 시스템 | |
| CN105072125A (zh) | 一种http通信系统及方法 | |
| CN103095731A (zh) | 一种基于签名机制的rest安全系统 | |
| CN111163470B (zh) | 核心网网元通信方法、装置、计算机存储介质和电子设备 | |
| JP6456929B2 (ja) | ネットワークエンドポイント内の通信の保護 | |
| CN103647788A (zh) | 一种智能电网中的节点安全认证方法 | |
| CN113411187A (zh) | 身份认证方法和系统、存储介质及处理器 | |
| CN106789845A (zh) | 一种网络数据安全传输的方法 | |
| US20220182229A1 (en) | Protected protocol for industrial control systems that fits large organizations | |
| CN105656623A (zh) | 一种增强智能变电站ied安全性的装置 | |
| CN103312495B (zh) | 一种成组ca的形成方法和装置 | |
| CN105450418A (zh) | Ike认证方法、ike发起终端、ike响应终端及ike认证系统 | |
| WO2018076299A1 (zh) | 数据传输方法及装置 | |
| Fu et al. | Improvement of Home Appliance Control System in Smart Home Based on 6LoWPAN. |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| WW01 | Invention patent application withdrawn after publication | ||
| WW01 | Invention patent application withdrawn after publication |
Application publication date: 20160330 |