CN106254376B - 一种认证协商方法及装置 - Google Patents
一种认证协商方法及装置 Download PDFInfo
- Publication number
- CN106254376B CN106254376B CN201610807997.0A CN201610807997A CN106254376B CN 106254376 B CN106254376 B CN 106254376B CN 201610807997 A CN201610807997 A CN 201610807997A CN 106254376 B CN106254376 B CN 106254376B
- Authority
- CN
- China
- Prior art keywords
- ike
- message
- notification message
- auth
- authentication
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0485—Networking architectures for enhanced packet encryption processing, e.g. offloading of IPsec packet processing or efficient security association look-up
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本发明提供一种认证协商方法及装置,该方法包括:当接收到响应方设备发送的互联网密钥交换协议认证IKE_AUTH交互消息时,根据所述IKE_AUTH交互消息进行IKE认证;当认证成功时,向所述响应方设备发送认证成功通知消息,以使所述响应方设备接收到所述认证成功通知消息时,使能出方向互联网协议安全性IPsec安全联盟SA。应用本发明实施例可以避免协商震荡的产生。
Description
技术领域
本发明涉及网络通信技术领域,尤其涉及一种认证协商方法及装置。
背景技术
IKEv2(Internet Key Exchange Version 2,互联网密钥交换协议版本2)是一种用于协商密钥的协议,可以为IPsec(Internet Protocol Security,互联网协议安全性)隧道协商安全协议、算法、密钥等参数。
一次完整的IKEv2协商,至少需要4条报文交互。前两条消息(称为IKE_SA(Security Association,安全联盟)_INIT(IKE SA初始化)交互消息)用于IKE秘钥材料交换,后两条消息(称为IKE_AUTH(IKE认证)消息)用于完成IKE认证和协商IPsec SA。
现有IKEv2协商过程中,响应方设备接收到发起方设备发送的IKE_AUTH消息时,一方面会生成入方向和出方向IPsec SA并将其使能;另一方面会向发起方设备发送IKE_AUTH消息,若此时存在响应方设备发往发起方设备的数据流量,则响应方设备会通过出方向IPsec SA对该数据流量加密,并发送给发起方设备,如果加密后的数据流量比IKE_AUTH消息先到达发起方设备,发起方设备会发送INVALID(无效的)SPI(Security ParameterIndex,安全参数索引)消息给响应方设备,然后再完成协商,生成入方向和出方向IPsecSA;响应方设备接收到INVALID SPI消息时,会把本端的IPsec SA删掉,这样就导致发起方设备有IPsec SA,响应方设备没有IPsec SA。当存在发起方设备发送给响应方设备的数据流量时,发起方设备使用出方向IPsec SA对其加密,并发送给响应方设备,响应方设备接收到加密后的数据流量后,会向发起方设备发送INVALID SPI消息,以使发起方设备删除本端的IPsec SA,从而发起方设备和响应方设备之间需要重新进行IKEv2协商,若在该过程中,发起方设备和响应方设备之间存在持续的流量,则可能会反复出现上述情况,导致协商震荡产生。
发明内容
本发明提供一种认证协商方法及装置,以解决现有IKEv2协商方案中的协商震荡问题。
根据本发明实施例的第一方面,提供一种认证协商方法,应用于发起方设备,包括:
当接收到响应方设备发送的互联网密钥交换协议认证IKE_AUTH交互消息时,根据所述IKE_AUTH交互消息进行IKE认证;
当认证成功时,向所述响应方设备发送认证成功通知消息,以使所述响应方设备接收到所述认证成功通知消息时,使能出方向互联网协议安全性IPsec安全联盟SA。
根据本发明实施例的第二方面,提供一种认证协商方法,应用于响应方设备,包括:
当根据发起方设备发送的IKE_AUTH交互消息进行IKE认证成功时,生成入方向互联网协议安全性IPsec安全联盟SA和出方向IPsec SA,使能入方向IPsec SA,并向所述发起方设备发送IKE_AUTH交互消息;
当接收到所述发起方设备发送的认证成功通知消息时,使能所述出方向IPsecSA。
根据本发明实施例的第三方面,提供一种认证协商装置,应用于发起方设备,包括:
接收单元,用于接收响应方设备发送的互联网密钥交换协议认证IKE_AUTH交互消息;
认证单元,用于根据所述IKE_AUTH交互消息进行IKE认证;
发送单元,用于当认证成功时,向所述响应方设备发送认证成功通知消息,以使所述响应方设备接收到所述认证成功通知消息时,使能出方向互联网协议安全性IPsec安全联盟SA。
根据本发明实施例的第四方面,提供一种认证协商装置,应用于响应方设备,包括:
认证单元,用于根据发起方设备发送的IKE_AUTH交互消息进行IKE认证成功;
生成单元,用于当认证成功时,生成入方向互联网协议安全性IPsec安全联盟SA和出方向IPsec SA,使能入方向IPsec SA;
发送单元,用于向所述发起方设备发送IKE_AUTH交互消息;
接收单元,用于接收所述发起方设备发送的认证成功通知消息;
所述生成单元,还用于当所述接收单元接收到所述发起方设备发送的认证成功通知消息时,使能所述出方向IPsec SA。
应用本发明实施例,当发起方设备根据响应方设备发送的IKE_AUTH交互消息进行IKE认证成功时,向响应方设备发送认证成功通知消息;响应方设备在接收到发起方设备发送的认证成功通知消息时,再使能出方向IPsec SA,响应方设备通过在发起方设备生成并使能入方向IPsec SA之后,再使能本端的出方向IPsec SA,避免了加密的数据流量在对端入方向IPsec SA使能前到达对端引起的协商震荡。
附图说明
图1是本发明实施例提供的一种认证协商方法的流程示意图;
图2是本发明实施例提供的另一种认证协商方法的流程示意图;
图3A是本发明实施例提供的一种具体应用场景的架构示意图;
图3B是本发明实施例提供的一种IKEv2证协商过程中的报文交互示意图;
图4是本发明实施例提供的一种认证协商装置的结构示意图;
图5是本发明实施例提供的另一种认证协商装置的结构示意图;
图6是本发明实施例提供的一种认证协商装置的结构示意图。
具体实施方式
为了使本技术领域的人员更好地理解本发明实施例中的技术方案,并使本发明实施例的上述目的、特征和优点能够更加明显易懂,下面结合附图对本发明实施例中技术方案作进一步详细的说明。
请参见图1,图1为本发明实施例提供的一种认证协商方法的流程示意图,如图1所示,该认证协商方法可以包括以下步骤:
需要说明的是,步骤101~步骤102的执行主体可以为认证协商的发起方设备或发起方设备中的处理器,如CPU(Center Process Unit,中央处理单元),为便于描述,以下以步骤101~步骤102的执行主体为发起方设备为例进行说明。
步骤101、当接收到响应方设备发送的IKE_AUTH交互消息时,根据该IKE_AUTH交互消息进行IKE认证。
本发明实施例中,发起方设备与响应方设备之间的IKE_SA_INIT交互,以及发起方设备向响应方设备发送IKE_AUTH交互消息的具体实现可以参见现有IKEv2协商中的相关实现,本发明实施例对此不做赘述。
本发明实施例中,当响应方设备接收到发起方设备发送的IKE_AUTH交互消息,且根据该IKE_AUTH交互消息进行IKE认证成功时,响应方设备一方面,可以生成入方向IPsecSA和出方向IPsec SA,另一方面,会向发起方设备发送IKE_AUTH交互消息作为应答。
本发明实施例中,为了避免响应方设备向发起方设备发送的加密后的数据流量先于IKE_AUTH交互消息到达发起方设备,响应方设备生成入方向IPsec SA和出方向IPsec SA之后,可以先不使能出方向IPsec SA,即响应方设备在未确认发起方设备接收到IKE_AUTH交互消息之前,向发起方设备发送的数据流量先不使用上述出方向IPsec SA进行加密。
发起方设备接收到响应方设备发送的IKE_AUTH交互消息时,可以根据该IKE_AUTH交互消息进行IKE认证。
其中,发起方设备根据响应方设备发送的IKE_AUTH交互消息进行IKE认证的具体实现可以参见现有IKEv2协商中的相关实现,本发明实施例对此不做赘述。
步骤102、当认证成功时,向响应方设备发送认证成功通知消息,以使响应方设备接收到认证成功通知消息时,使能出方向IPsec SA。
本发明实施例中,当发起方设备根据响应方设备发送的IKE_AUTH交互消息进行IKE认证成功时,一方面,发起方设备可以生成入方向IPsec SA和出方向IPsec SA,并将其使能,另一方面,发起方设备需要向响应方设备发送认证成功通知消息,以通知响应方设备IKE认证成功。
响应方设备接收到发起方设备发送的认证成功通知消息时,可以使能出方向IPsec SA,之后,响应方设备向发起方设备发送数据流量时,可以使用该出方向IPsec SA对数据流量进行加密。
进一步地,在本发明实施例中,当发起方设备根据响应方设备发送的IKE_AUTH进行IKE认证失败时,发起方设备也可以向响应方设备发送认证失败通知消息,以通知响应方设备IKE认证失败。
响应方设备接收到发起方设备发送的认证失败通知消息时,响应方设备可以删除本端的IKE SA,并在后续流程中重新进行认证协商。
作为一种可选的实施方式,上述步骤102中,当认证成功时,向响应方设备发送认证成功通知消息之前,还可以包括以下步骤:
11)、判断接收到的IKE_AUTH消息中是否包括第一标识,该第一标识用于指示发起方设备发送认证结果通知消息;
12)、若包括,则确定执行上述当认证成功,向响应方设备发送认证成功通知消息的步骤。
在该实施方式中,为了使本发明实施例提供的认证协商方案可以兼容现有IKEv2协议,使用本发明实施例提供的认证协商方案的响应方设备在向发起方设备发送IKE_AUTH消息时,可以在该IKE_AUTH消息中携带一个预设标识(本文中称为第一标识),该第一标识用于指示发起方设备发送认证结果通知消息;其中,该认证结果通知消息可以包括但不限于认证成功通知消息或认证失败通知消息等。
相应地,在该实施方式中,当发起方设备接收到IKE_AUTH消息时,可以判断该IKE_AUTH消息中是否包括第一标识;若包括,则发起方设备需要根据IKE认证结果向响应方设备发送认证结果通知消息。例如,当认证成功时,发起方设备可以向响应方设备发送认证成功结果通知消息;当认证失败时,发起方设备可以向响应方设备发送认证失败结果通知消息。
可选地,在该实施方式中,IKE_AUTH交互消息中携带的上述第一标识可以通过在IKE_AUTH交互消息中新增字段的方式实现,例如,可以在IKE_AUTH交互消息中新增AdditionalFlag字段,当该新增字段置位时,用于指示发起方设备发送认证结果通知消息。
值得说明的是,在该实施方式中,当响应方设备不支持本发明实施例提供的认证协商方案时,响应方设备向发起方设备发送的IKE_AUTH交互消息中将不会携带上述第一标识;当发起方设备支持本发明实施例提供的认证协商方案,且接收到的IKE_AUTH交互消息中未携带第一标识时,发起方设备可以参照现有IKEv2协商中的相关实现进行处理;此外,当发起方设备不支持本发明实施例提供的认证协商方案时,则即使接收到的IKE_AUTH交互消息中携带有上述第一标识,发起方设备仍然可以参照现有IKEv2协商中的相关实现进行处理,其具体实现在此不做赘述。
作为一种可选的实施方式,在本发明实施例中,认证结果通知消息可以为携带有认证结果类型的NOTIFY(通知)载荷的Information(通知)消息。
例如,认证成功通知消息可以为携带有AUTHENTICATION_SUCCESS(认证成功)类型的NOTIFY载荷的Information消息;认证失败通知消息可以携带有AUTHENTICATION_FAILED(认证失败)类型的NOTIFY载荷的Information消息。
可见,在图1所示的方法流程中,通过发起方设备根据响应方设备发送的IKE_AUTH交互消息进行IKE认证成功时,向响应方设备发送认证成功通知消息,以使响应方设备根据该认证成功通知消息使能出方向IPsec SA,避免了协商认证过程中发起方设备和响应方设备之间存在持续的数据流量,且响应方设备发送的加密后的数据流量先于IKE_AUTH交互消息到达发起方设备的情况下引发的协商震荡。
请参见图2,图2为本发明实施例提供的一种认证协商方法的流程示意图,如图2所示,该认证协商方法可以包括以下步骤:
需要说明的是,步骤201~步骤202的执行主体可以为认证协商的响应方设备或响应方设备中的处理器,如CPU,为便于描述,以下以步骤201~步骤202的执行主体为发起方设备为例进行说明。
步骤201、当根据发起方设备发送的IKE_AUTH交互消息进行IKE认证成功时,生成入方向IPsec SA和出方向IPsec SA,使能入方向IPsec SA,并向发起方设备发送IKE_AUTH交互消息。
本发明实施例中,发起方设备与响应方设备之间的IKE_SA_INIT交互,以及响应方设备根据发起方设备发送的IKE_AUTH交互消息进行IKE认证的具体实现可以参见现有IKEv2协商中的相关实现,本发明实施例对此不做赘述。
本发明实施例中,响应方设备根据发起方设备发送的IKE_AUTH交互消息认证成功之后,一方面需要生成入方向IPsec SA和出方向IPsec SA,另一方面,需要向发起方设备发送IKE_AUTH交互消息。
本发明实施例中,为了避免响应方设备向发起方设备发送的加密后的数据流量先于IKE_AUTH交互消息到达发起方设备,响应方设备生成入方向IPsec SA和出方向IPsec SA之后,可以先不使能出方向IPsec SA,即响应方设备在未确认发起方设备接收到IKE_AUTH交互消息之前,向发起方设备发送的数据流量先不使用上述出方向IPsec SA进行加密。
作为一种可选的实施方式,在本发明实施例中,当响应方设备使能了认证结果通知功能时,上述向发起方设备发送IKE_AUTH交互消息,包括:
向发起方设备发送携带有第一标识的IKE_AUTH交互消息,该第一标识用于指示发起方设备发送认证结果通知消息。
在该实施方式中,为了使本发明实施例提供的认证协商方案可以兼容现有IKEv2协议,使用本发明实施例提供的认证协商方案的响应方设备在向发起方设备发送IKE_AUTH消息时,可以在该IKE_AUTH消息中携带一个预设标识(本文中称为第一标识),该第一标识用于指示发起方设备发送认证结果通知消息;其中,该认证结果通知消息可以包括但不限于认证成功通知消息或认证失败通知消息等。
相应地,在该实施方式中,当发起方设备接收到IKE_AUTH消息时,可以判断该IKE_AUTH消息中是否包括第一标识;若包括,则发起方设备需要根据IKE认证结果向响应方设备发送认证结果通知消息。例如,当认证成功时,发起方设备可以向响应方设备发送认证成功结果通知消息;当认证失败时,发起方设备可以向响应方设备发送认证失败结果通知消息。
可选地,在该实施方式中,IKE_AUTH交互消息中携带的上述第一标识可以通过在IKE_AUTH交互消息中新增字段的方式实现,例如,可以在IKE_AUTH交互消息中新增AdditionalFlag字段,当该新增字段置位时,用于指示发起方设备发送认证结果通知消息。
步骤202、当接收到发起方设备发送的认证成功通知消息时,使能出方向IPsecSA。
本发明实施例中,当响应方设备接收到发起方设备的认证成功通知消息时,可以确定发起方设备IKE认证成功,响应方设备可以使能出方向IPsec SA,之后,响应方设备向发起方设备发送数据流量时,可以使用该出方向IPsec SA对数据流量进行加密。
进一步地,在本发明实施例中,当发起方设备根据响应方设备发送的IKE_AUTH进行IKE认证失败时,发起方设备也可以向响应方设备发送认证失败通知消息,以通知响应方设备IKE认证失败。
响应方设备接收到发起方设备发送的认证失败通知消息时,响应方设备可以删除本端的IKE SA,并在后续流程中重新进行认证协商。
作为一种可选的实施方式,在本发明实施例中,认证结果通知消息可以为携带有认证结果类型的NOTIFY载荷的Information消息。
例如,认证成功通知消息可以为携带有AUTHENTICATION_SUCCESS类型的NOTIFY载荷的Information消息;认证失败通知消息可以携带有AUTHENTICATION_FAILED类型的NOTIFY载荷的Information消息。
为了使本领域技术人员更好地理解本发明实施例提供的技术方案,下面结合具体应用场景对本发明实施例提供的技术方案进行描述。
请参见图3A,为本发明实施例提供的一种具体应用场景的架构示意图,如图3A所示,在该应用场景中,设备A和设备B均支持IKEv2协议,且使能了认证结果通知功能,基于该应用场景,设备A(作为发起方设备)与设备B(作为响应方设备)之间进行IKEv2协商的消息交互可以参见图3B,具体地:
1、设备A与设备B之间交互IKE_SA_INIT交互消息(即图3B中的消息1和消息2);
2、设备A向设备B发送IKE_AUTH交互消息(即图3B中的消息3);
其中,上述步骤1和步骤2的具体实现可以参见现有IKEv2协商中的相关实现。
3、设备B接收到设备A发送的IKE_AUTH交互消息,并根据该交互消息进行IKE认证成功时(即图3B中所示的A点),一方面,设备B可以生成入方向IPsec SA和出方向IPsec SA,并使能入方向IPsec SA,另一方面,设备B可以向设备A发送IKE_AUTH交互消息,该消息中携带有置位的AdditionalFlag字段;
其中,现有IKEv2协商方案中,设备B在A点同时使能入方向和出方向IPsec SA,当此时设备A和设备B之间存在持续流量时,可能发生协商震荡。
4、设备A接收到设备B发送的IKE_AUTH交互消息(即图3B中的消息4)时,解析该IKE_AUTH认证消息,发现该IKE_AUTH认证消息中携带有置位的AdditionalFlag字段,确定需要发送认证通知结果消息,因此,当设备A进行IKE认证成功时,可以向设备B发送携带有AUTHENTICATION_SUCCESS类型的NOTIFY载荷的Information消息(即图3B中的消息5);当设备A进行IKE认证失败时,可以向设备B发送携带有AUTHENTICATION_FAILED类型NOTIFY载荷的Information消息(即图3B中的消息5);
其中,该实施例中,设备A进行IKE认证成功时,生成并使能入方向IPsec SA和出方向IPsec SA的相关实现可以参见现有IKEv2协商中的相关实现,即该实施例中与现有IKEv2协商方案中,设备A均在B点使能入方向IPsec SA和出方向IPsec SA。
5、当设备B接收到设备A发送的携带有AUTHENTICATION_SUCCESS类型的NOTIFY载荷的Information消息时,使能出方向IPsec SA;当设备B接收到设备A发送的携带有AUTHENTICATION_FAILED类型NOTIFY载荷的Information消息时,删除IKE SA;
即在该实施例中,设备B在C点使能出方向IPsec SA。
通过以上描述可以看出,在本发明实施例提供的技术方案中,当发起方设备根据响应方设备发送的IKE_AUTH交互消息进行IKE认证成功时,向响应方设备发送认证成功通知消息;响应方设备在接收到发起方设备发送的认证成功通知消息时,再使能出方向IPsecSA,响应方设备通过在发起方设备生成并使能入方向IPsec SA之后,再使能本端的出方向IPsec SA,避免了加密的数据流量在对端入方向IPsec SA使能前到达对端引起的协商震荡。
请参见图4,为本发明实施例提供的一种认证协商装置的结构示意图,其中,该装置可以应用于上述方法实施例中所描述的发起方设备,如图4所示,该装置可以包括:
接收单元410,用于接收响应方设备发送的互联网密钥交换协议认证IKE_AUTH交互消息;
认证单元420,用于根据所述IKE_AUTH交互消息进行IKE认证;
发送单元430,用于当认证成功时,向所述响应方设备发送认证成功通知消息,以使所述响应方设备接收到所述认证成功通知消息时,使能出方向互联网协议安全性IPsec安全联盟SA。
请一并参见图5,为本发明实施例提供的一种认证协商装置的架构示意图,如图5所示,在图4所示认证协商装置的基础上,图5所示的认证协商装置还可以包括:
判断单元440,用于判断所述接收单元410接收到的所述IKE_AUTH消息中是否包括第一标识,所述第一标识用于指示所述发起方设备发送认证结果通知消息,所述认证结果通知消息包括认证成功通知消息;
所述发送单元430,具体用于当所述判断单元440的判断结果为是,且所述认证单元420认证成功时,向所述响应方设备发送认证成功通知消息。
在可选实施例中,所述认证成功通知消息为携带有认证成功AUTHENTICATION_SUCCESS类型的通知NOTIFY载荷的通知Information消息。
请参见图6,为本发明实施例提供的一种认证协商装置的结构示意图,其中,该装置可以应用于上述方法实施例中所描述的响应方设备,如图6所示,该装置可以包括:
认证单元610,用于根据发起方设备发送的IKE_AUTH交互消息进行IKE认证成功;
生成单元620,用于当认证成功时,生成入方向互联网协议安全性IPsec安全联盟SA和出方向IPsec SA,使能入方向IPsec SA;
发送单元630,用于向所述发起方设备发送IKE_AUTH交互消息;
接收单元640,用于接收所述发起方设备发送的认证成功通知消息;
所述生成单元620,还用于当所述接收单元640接收到所述发起方设备发送的认证成功通知消息时,使能所述出方向IPsec SA。
在可选实施例中,所述发送单元630,具体用于当所述响应方设备使能了认证结果通知功能时,向所述发起方设备发送携带有第一标识的IKE_AUTH交互消息,所述第一标识用于指示所述发起方设备发送认证结果通知消息,所述认证结果通知消息包括认证成功通知消息。
上述装置中各个单元的功能和作用的实现过程具体详见上述方法中对应步骤的实现过程,在此不再赘述。
对于装置实施例而言,由于其基本对应于方法实施例,所以相关之处参见方法实施例的部分说明即可。以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本发明方案的目的。本领域普通技术人员在不付出创造性劳动的情况下,即可以理解并实施。
由上述实施例可见,当发起方设备根据响应方设备发送的IKE_AUTH交互消息进行IKE认证成功时,向响应方设备发送认证成功通知消息;响应方设备在接收到发起方设备发送的认证成功通知消息时,再使能出方向IPsec SA,响应方设备通过在发起方设备生成并使能入方向IPsec SA之后,再使能本端的出方向IPsec SA,避免了加密的数据流量在对端入方向IPsec SA使能前到达对端引起的协商震荡。
本领域技术人员在考虑说明书及实践这里公开的发明后,将容易想到本发明的其它实施方案。本申请旨在涵盖本发明的任何变型、用途或者适应性变化,这些变型、用途或者适应性变化遵循本发明的一般性原理并包括本发明未公开的本技术领域中的公知常识或惯用技术手段。说明书和实施例仅被视为示例性的,本发明的真正范围和精神由下面的权利要求指出。
应当理解的是,本发明并不局限于上面已经描述并在附图中示出的精确结构,并且可以在不脱离其范围进行各种修改和改变。本发明的范围仅由所附的权利要求来限制。
Claims (10)
1.一种认证协商方法,应用于发起方设备,其特征在于,包括:
当接收到响应方设备发送的互联网密钥交换协议认证IKE_AUTH交互消息时,根据所述IKE_AUTH交互消息进行IKE认证;
当认证成功时,向所述响应方设备发送认证成功通知消息,以使所述响应方设备接收到所述认证成功通知消息时,使能响应方设备出方向互联网协议安全性IPsec安全联盟SA。
2.根据权利要求1所述方法,其特征在于,所述当认证成功时,向所述响应方设备发送认证成功通知消息之前,还包括:
判断所述IKE_AUTH消息中是否包括第一标识,所述第一标识用于指示所述发起方设备发送认证结果通知消息,所述认证结果通知消息包括认证成功通知消息;
若包括,则确定执行所述当认证成功时,向所述响应方设备发送认证成功通知消息的步骤。
3.根据权利要求1所述的方法,其特征在于,所述认证成功通知消息为携带有认证成功AUTHENTICATION_SUCCESS类型的通知NOTIFY载荷的通知Information消息。
4.一种认证协商方法,应用于响应方设备,其特征在于,包括:
当根据发起方设备发送的IKE_AUTH交互消息进行IKE认证成功时,生成入方向互联网协议安全性IPsec安全联盟SA和出方向IPsec SA,使能入方向IPsec SA,并向所述发起方设备发送IKE_AUTH交互消息;
当接收到所述发起方设备发送的认证成功通知消息时,使能所述出方向IPsec SA。
5.根据权利要求4所述的方法,其特征在于,当所述响应方设备使能了认证结果通知功能时,所述向所述发起方设备发送IKE_AUTH交互消息,包括:
向所述发起方设备发送携带有第一标识的IKE_AUTH交互消息,所述第一标识用于指示所述发起方设备发送认证结果通知消息,所述认证结果通知消息包括认证成功通知消息。
6.一种认证协商装置,应用于发起方设备,其特征在于,包括:
接收单元,用于接收响应方设备发送的互联网密钥交换协议认证IKE_AUTH交互消息;
认证单元,用于根据所述IKE_AUTH交互消息进行IKE认证;
发送单元,用于当认证成功时,向所述响应方设备发送认证成功通知消息,以使所述响应方设备接收到所述认证成功通知消息时,使能响应方设备出方向互联网协议安全性IPsec安全联盟SA。
7.根据权利要求6所述的装置,其特征在于,所述装置还包括:
判断单元,用于判断所述接收单元接收到的所述IKE_AUTH消息中是否包括第一标识,所述第一标识用于指示所述发起方设备发送认证结果通知消息,所述认证结果通知消息包括认证成功通知消息;
所述发送单元,具体用于当所述判断单元的判断结果为是,且所述认证单元认证成功时,向所述响应方设备发送认证成功通知消息。
8.根据权利要求6所述的装置,其特征在于,所述认证成功通知消息为携带有认证成功AUTHENTICATION_SUCCESS类型的通知NOTIFY载荷的通知Information消息。
9.一种认证协商装置,应用于响应方设备,其特征在于,包括:
认证单元,用于根据发起方设备发送的IKE_AUTH交互消息进行IKE认证成功;
生成单元,用于当认证成功时,生成入方向互联网协议安全性IPsec安全联盟SA和出方向IPsec SA,使能入方向IPsec SA;
发送单元,用于向所述发起方设备发送IKE_AUTH交互消息;
接收单元,用于接收所述发起方设备发送的认证成功通知消息;
所述生成单元,还用于当所述接收单元接收到所述发起方设备发送的认证成功通知消息时,使能所述出方向IPsec SA。
10.根据权利要求9所述的装置,其特征在于,
所述发送单元,具体用于当所述响应方设备使能了认证结果通知功能时,向所述发起方设备发送携带有第一标识的IKE_AUTH交互消息,所述第一标识用于指示所述发起方设备发送认证结果通知消息,所述认证结果通知消息包括认证成功通知消息。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610807997.0A CN106254376B (zh) | 2016-09-05 | 2016-09-05 | 一种认证协商方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610807997.0A CN106254376B (zh) | 2016-09-05 | 2016-09-05 | 一种认证协商方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN106254376A CN106254376A (zh) | 2016-12-21 |
| CN106254376B true CN106254376B (zh) | 2019-10-11 |
Family
ID=57598731
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201610807997.0A Active CN106254376B (zh) | 2016-09-05 | 2016-09-05 | 一种认证协商方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN106254376B (zh) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP4026299A4 (en) * | 2019-10-10 | 2022-10-26 | Huawei Technologies Co., Ltd. | METHODS AND SYSTEMS FOR OPTIMIZING R-AUTHENTICATION BY INTERNET KEY EXCHANGE |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101340287A (zh) * | 2007-07-02 | 2009-01-07 | 华为技术有限公司 | 一种网络接入认证方法及系统和装置 |
| CN101350809A (zh) * | 2007-07-19 | 2009-01-21 | 华为技术有限公司 | 一种实现认证的方法和系统 |
| CN102055733A (zh) * | 2009-10-30 | 2011-05-11 | 华为技术有限公司 | 协商业务承载隧道的方法、设备及系统 |
| CN102420770B (zh) * | 2011-12-27 | 2014-03-12 | 汉柏科技有限公司 | Ike报文协商方法及设备 |
| CN104410610A (zh) * | 2014-11-13 | 2015-03-11 | 杭州华三通信技术有限公司 | 一种基于IKEv2的初始协商方法及装置 |
| CN102970293B (zh) * | 2012-11-20 | 2016-05-04 | 杭州华三通信技术有限公司 | 一种设备间安全联盟同步方法及装置 |
-
2016
- 2016-09-05 CN CN201610807997.0A patent/CN106254376B/zh active Active
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101340287A (zh) * | 2007-07-02 | 2009-01-07 | 华为技术有限公司 | 一种网络接入认证方法及系统和装置 |
| CN101350809A (zh) * | 2007-07-19 | 2009-01-21 | 华为技术有限公司 | 一种实现认证的方法和系统 |
| CN102055733A (zh) * | 2009-10-30 | 2011-05-11 | 华为技术有限公司 | 协商业务承载隧道的方法、设备及系统 |
| CN102420770B (zh) * | 2011-12-27 | 2014-03-12 | 汉柏科技有限公司 | Ike报文协商方法及设备 |
| CN102970293B (zh) * | 2012-11-20 | 2016-05-04 | 杭州华三通信技术有限公司 | 一种设备间安全联盟同步方法及装置 |
| CN104410610A (zh) * | 2014-11-13 | 2015-03-11 | 杭州华三通信技术有限公司 | 一种基于IKEv2的初始协商方法及装置 |
Non-Patent Citations (1)
| Title |
|---|
| "基于扩展认证机制的IKEv2研究";谷雷;《中国优秀硕士学位论文全文数据库 信息科技辑》;20080815(第08期);I139-83页 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN106254376A (zh) | 2016-12-21 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110380852B (zh) | 双向认证方法及通信系统 | |
| CN107277061A (zh) | 基于iot设备的端云安全通信方法 | |
| US20160165435A1 (en) | Encrypted communications method and encrypted communications system | |
| WO2013004112A1 (zh) | 数据传输的方法及装置 | |
| CN106790285B (zh) | 一种会话重用方法及装置 | |
| US20070283430A1 (en) | Negotiating vpn tunnel establishment parameters on user's interaction | |
| WO2011140924A1 (zh) | 一种网关、节点和服务器进行鉴权的方法、装置及系统 | |
| CN103166931A (zh) | 一种安全传输数据方法,装置和系统 | |
| CN106027518B (zh) | 一种基于准实时状态反馈的可信网络连接方法 | |
| CN106169952B (zh) | 一种英特网密钥管理协议重协商的认证方法及装置 | |
| TW201902177A (zh) | 相互認證系統 | |
| CN102638468A (zh) | 保护信息传输安全的方法、发送端、接收端及系统 | |
| CN111541716A (zh) | 一种数据传输的方法和相关装置 | |
| CN105577377A (zh) | 带密钥协商的基于身份的认证方法和系统 | |
| CN109995719A (zh) | 一种无人机认证方法、系统、无人机监管平台和第一设备 | |
| CN112242993A (zh) | 双向认证方法及系统 | |
| Akram et al. | Blockchain-based privacy-preserving authentication protocol for UAV networks | |
| CN106254376B (zh) | 一种认证协商方法及装置 | |
| CN109309648B (zh) | 一种信息传输的方法和设备 | |
| CN103986716B (zh) | Ssl连接的建立方法以及基于ssl连接的通信方法及装置 | |
| CN109474667A (zh) | 一种基于tcp和udp的无人机通信方法 | |
| WO2018032984A1 (zh) | 一种接入认证方法、ue和接入设备 | |
| CN105592076B (zh) | 一种gd vpn的注册方法和装置 | |
| WO2014117524A1 (zh) | Wlan接入网络中传递成对主密钥的方法和系统 | |
| CN110167081A (zh) | 认证方法及装置、消息处理方法及装置、存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| CB02 | Change of applicant information | ||
| CB02 | Change of applicant information |
Address after: 310052 Binjiang District Changhe Road, Zhejiang, China, No. 466, No. Applicant after: Xinhua three Technology Co., Ltd. Address before: 310052 Binjiang District Changhe Road, Zhejiang, China, No. 466, No. Applicant before: Huasan Communication Technology Co., Ltd. |
|
| GR01 | Patent grant | ||
| GR01 | Patent grant |