CN108259157A - 一种ike协商中身份认证的方法及网络设备 - Google Patents

一种ike协商中身份认证的方法及网络设备 Download PDF

Info

Publication number
CN108259157A
CN108259157A CN201611248343.5A CN201611248343A CN108259157A CN 108259157 A CN108259157 A CN 108259157A CN 201611248343 A CN201611248343 A CN 201611248343A CN 108259157 A CN108259157 A CN 108259157A
Authority
CN
China
Prior art keywords
network equipment
identity
ike
message
key request
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201611248343.5A
Other languages
English (en)
Other versions
CN108259157B (zh
Inventor
盛建
赵能钰
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Huawei Technologies Co Ltd
Original Assignee
Huawei Technologies Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Huawei Technologies Co Ltd filed Critical Huawei Technologies Co Ltd
Priority to CN201611248343.5A priority Critical patent/CN108259157B/zh
Publication of CN108259157A publication Critical patent/CN108259157A/zh
Application granted granted Critical
Publication of CN108259157B publication Critical patent/CN108259157B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/164Implementing security features at a particular protocol layer at the network layer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/006Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols involving public key infrastructure [PKI] trust models
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0838Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these
    • H04L9/0841Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these involving Diffie-Hellman or related key agreement protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0838Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these
    • H04L9/0841Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these involving Diffie-Hellman or related key agreement protocols
    • H04L9/0844Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these involving Diffie-Hellman or related key agreement protocols with user authentication or key authentication, e.g. ElGamal, MTI, MQV-Menezes-Qu-Vanstone protocol or Diffie-Hellman protocols using implicitly-certified keys

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

本申请提供了一种因特网密钥交换IKE协商中身份认证的方法及网络设备。在一种IKE协商中身份认证的方法中,第一网络设备接收第二网络设备发送的IKE认证消息,向第三网络设备发送密钥请求消息,接收所述第三网络设备发送的密钥请求响应消息,根据所述密钥请求响应消息中的预共享密钥对所述第二网络设备进行身份认证,向所述第二网络设备发送IKE认证响应消息,所述IKE认证响应消息用于向所述第二网络设备证明所述第一网络设备的身份。通过本申请提供的方案,降低了对第一网络设备的性能要求,简化了第一网络设备上的配置,降低了维护难度。

Description

一种IKE协商中身份认证的方法及网络设备
技术领域
本申请涉及通信领域,尤其涉及一种IKE协商中身份认证的方法及网络设备。
背景技术
互联网协议安全(英文:Internet Protocol Security,IPSec)是对互联网协议(英文:Internet Protocol,IP)的分组进行加密和认证来保护IP协议传输的协议族。IPSec协议的交互包括两个阶段,第一阶段为因特网密钥交换(英文:Internet Key Exchange,IKE)协商,目的是为第二阶段的协议交互提供一条安全通道,保护第二阶段IPSec安全联盟(Security Associations,SA)的协商过程,第二阶段是基于第一阶段建立的安全通道协商IPSec SA,对IP报文进行加密或验证处理。
其中第一阶段IKE协商分为两步,第一步交换安全策略以及交换迪菲-赫尔曼(Diffie-Hellman,DH)信息,第二步进行双向身份认证。第二步双向身份认证目前通用的方式有两种:证书方式和预共享密钥方式。第一种证书方式需要维护一套公钥基础设施(英文:Public Key Infrastructure,PKI)系统,维护较为复杂;第二种预共享密钥方式需要在IPSec网关为每个用户接入的IPSec终端提前配置好预共享密钥,当用户数量巨大单个IPSec接入网关处理性能难以容纳所有用户时,需要将接入的IPSec终端提前分配到不同的IPSec网关上进行管理,但同时使用多个IPSec网关维护较为复杂。
发明内容
本申请提供了一种IKE协商中身份认证的方法及装置,有助于降低对网关设备的性能要求。
第一方面,提供了一种IKE协商中身份认证的方法。该方法包括:
第一网络设备接收第二网络设备发送的IKE认证消息,所述IKE认证消息包括所述第二网络设备的身份标识;该第一网络设备和第二网络设备例如分别是图1和图2中的设备B和设备A。
所述第一网络设备向第三网络设备发送密钥请求消息,所述密钥请求消息包括所述第二网络设备的身份标识;
所述第一网络设备接收所述第三网络设备发送的密钥请求响应消息,根据所述密钥请求响应消息中的预共享密钥对所述第二网络设备进行身份认证,所述预共享密钥对应于所述第二网络设备的身份标识;
所述第一网络设备向所述第二网络设备发送IKE认证响应消息,所述IKE认证响应消息用于向所述第二网络设备证明所述第一网络设备的身份。
以上IKE协商中身份认证的方法,第一网络设备动态从第三网络设备中获取预共享密钥,不需要预先配置大量预共享密钥。该方法降低了对第一网络设备的性能要求,且简化了第一网络设备上的配置,降低了维护难度。
可选地,所述IKE认证消息包括第一证明信息,所述第一证明信息是根据所述第二网络设备的身份标识和所述第二网络设备保存的预共享密钥确定的。第一证明信息可以被第二网络设备用来向第一网络设备证明身份,以供第一网络设备进行验证。
可选地,所述第一网络设备根据所述密钥请求响应消息中的预共享密钥对所述第二网络设备进行身份认证包括:确定所述第一证明信息与第二证明信息是否相同,如果相同,则对所述第二网络设备的身份认证成功,其中所述第二证明信息根据所述密钥请求响应消息中的预共享密钥和所述第二网络设备的身份标识确定的。通过第一证明信息和第二证明信息的比对,第一网络设备可以确定第二网络设备是否具有合法的身份。
可选地,所述IKE认证响应消息包括所述第一网络设备的身份标识和第三证明信息,所述第三证明信息是根据所述第一网络设备的身份标识和所述密钥请求响应消息中的预共享密钥确定的。第三证明信息可以被第一网络设备用来向第二网络设备证明身份,以供第二网络设备进行验证。
可选地,所述第一网络设备为网关设备,所述第二网络设备为用户终端。
第二方面,提供了一种第一网络设备。该第一网络设备包括接收单元、发送单元和处理单元。
所述接收单元,用于接收第二网络设备发送的IKE认证消息,所述IKE认证消息包括所述第二网络设备的身份标识;以及用于接收第三网络设备发送的密钥请求响应消息;其中该第一网络设备和第二网络设备例如分别是图1和图2中的设备B和设备A。
所述发送单元,用于响应于接收到所述IKE认证消息,向所述第三网络设备发送密钥请求消息,所述密钥请求消息包括所述第二网络设备的身份标识,以及用于响应于接收到所述密钥请求响应消息,向所述第二网络设备发送IKE认证响应消息,所述IKE认证响应消息用于向所述第二网络设备证明所述第一网络设备的身份;
所述处理单元,用于根据所述密钥请求响应消息中的预共享密钥对所述第二网络设备进行身份认证,所述预共享密钥对应于所述第二网络设备的身份标识。
可选地,所述IKE认证消息包括第一证明信息,所述第一证明信息是根据所述第二网络设备的身份标识和所述第二网络设备保存的预共享密钥确定的;所述处理单元根据所述密钥请求响应消息中的预共享密钥对所述第二网络设备进行身份认证包括:确定所述第一证明信息与第二证明信息是否相同,如果相同,则对所述第二网络设备的身份认证成功,其中所述第二证明信息是根据所述密钥请求响应消息中的预共享密钥和所述第二网络设备的身份标识确定的。
可选地,所述IKE认证响应消息包括所述第一网络设备的身份标识和第三证明信息,所述第三证明信息是根据所述第一网络设备的身份标识和所述密钥请求响应消息中的预共享密钥确定的。
可选地,所述第一网络设备为网关设备,所述第二网络设备为用户终端。
第二方面的上述方案与第一方面描述内容中使用相同手段的对应方案具有相同的技术效果。
第三方面,提供了一种第一网络设备。该第一网络设备包括网络接口和处理器。
所述网络接口,用于接收第二网络设备发送的IKE认证消息,所述IKE认证消息包括所述第二网络设备的身份标识,以及用于接收第三网络设备发送的密钥请求响应消息,以及用于响应于接收到所述IKE认证消息,向所述第三网络设备发送密钥请求消息,所述密钥请求消息包括所述第二网络设备的身份标识,以及用于响应于接收到所述密钥请求响应消息,向所述第二网络设备发送IKE认证响应消息,所述IKE认证响应消息用于向所述第二网络设备证明所述第一网络设备的身份;
所述处理器,用于根据所述密钥请求响应消息中的预共享密钥对所述第二网络设备进行身份认证,所述预共享密钥对应于所述第二网络设备的身份标识。
可选地,所述IKE认证消息包括第一证明信息,所述第一证明信息是根据所述第二网络设备的身份标识和所述第二网络设备保存的预共享密钥确定的;所述处理器根据所述密钥请求响应消息中的预共享密钥对所述第二网络设备进行身份认证包括:确定所述第一证明信息与第二证明信息是否相同,如果相同,则对所述第二网络设备的身份认证成功,其中所述第二证明信息是根据所述密钥请求响应消息中的预共享密钥和所述第二网络设备的身份标识确定的。
可选地,所述IKE认证响应消息包括所述第一网络设备的身份标识和第三证明信息,所述第三证明信息是根据所述第一网络设备的身份标识和所述密钥请求响应消息中的预共享密钥确定的。
可选地,所述第一网络设备为网关设备,所述第二网络设备为用户终端。
第三方面的上述方案与第一方面描述内容中使用相同手段的对应方案具有相同的技术效果。
第四方面,提供了一种计算机存储介质,用于储存为上述第一网络设备所用的计算机软件指令。所述第一网络设备执行所述计算机软件指令来实现上述第一方面提供的方法。
第四方面的上述方案与第一方面描述内容中使用相同手段的对应方案具有相同的技术效果。
第五方面,提供了一种身份认证系统,该身份认证系统包括第一网络设备、第二网络设备和第三网络设备。
所述第二网络设备,用于向所述第一网络设备发送IKE认证消息,所述IKE认证消息包括所述第二网络设备的身份标识;以及用于接收所述第一网络设备发送的IKE认证响应消息,根据所述IKE认证响应消息中的所述第一网络设备的身份标识和所述第二网络设备保存的预共享密钥对所述第一网络设备进行身份认证;
所述第一网络设备,用于接收所述第二网络设备发送的IKE认证消息,向所述第三网络设备发送密钥请求消息,所述密钥请求消息包括所述第二网络设备的身份标识;以及用于接收所述第三网络设备发送的密钥请求响应消息,根据所述密钥请求响应消息中的预共享密钥对所述第二网络设备进行身份认证,并向所述第二网络设备发送IKE认证响应消息,所述IKE认证响应消息包括所述第一网络设备的身份标识;
所述第三网络设备,用于接收所述第一网络设备发送的密钥请求消息,向所述第一网络设备发送密钥请求响应消息,所述密钥请求响应消息包括对应于所述第二网络设备的身份标识的预共享密钥。
可选地,所述IKE认证消息包括第一证明信息,所述第一证明信息是根据所述第二网络设备的身份标识和所述第二网络设备保存的预共享密钥确定的;所述第一网络设备根据所述密钥请求响应消息中的预共享密钥对所述第二网络设备进行身份认证包括:确定所述第一证明信息与第二证明信息是否相同,如果相同,则对所述第二网络设备的身份认证成功,其中所述第二证明信息根据所述密钥请求响应消息中的预共享密钥和所述第二网络设备的身份标识确定的。
可选地,所述IKE认证响应消息包括第三证明信息,所述第三证明信息是根据所述第一网络设备的身份标识和所述密钥请求响应消息中的预共享密钥确定的;所述第二网络设备根据所述IKE认证响应消息中的所述第一网络设备的身份标识和所述第二网络设备保存的预共享密钥对所述第一网络设备进行身份认证包括:确定所述第三证明信息与第四证明信息是否相同,如果相同,则对所述第一网络设备的身份认证成功,其中所述第四证明信息是根据所述第一网络设备的身份标识和所述第二网络设备保存的预共享密钥确定的。
可选地,所述第一网络设备为网关设备,所述第二网络设备为用户终端。
第五方面的上述方案与第一方面描述内容中使用相同手段的对应方案具有相同的技术效果。
附图说明
图1为现有IPSec协议交互第一阶段IKE协商的流程示意图;
图2为本申请实施例提供的一种IKE协商中身份认证的方法的流程示意图;
图3为本申请实施例提供的一种第一网络设备300的结构示意图;
图4为本申请实施例提供的一种第一网络设备400的结构示意图;
图5为本申请实施例提供的一种身份认证系统500的结构示意图;
具体实施方式
本申请实施例描述的应用场景是为了更加清楚的说明本申请实施例的技术方案,并不构成对于本申请实施例提供的技术方案的限定,本领域普通技术人员可知,随着网络架构的演变和新应用场景的出现,本申请实施例提供的技术方案对于类似的技术问题,同样适用。
图1示出了现有IPSec协议交互第一阶段IKE协商的过程。图1中设备A与设备B首先进行IKE协商以便为第二阶段IPSec SA协商建立安全通道,假设所述IKE协商采用预共享密钥方式,其中设备A可以为用户终端设备或路由器,设备B可以为网关设备,该网关设备可以为路由器等。
S101,设备A向设备B发送IKE初始化消息,IKE初始化消息中例如可以包括HDR、SAi和KEi。其中HDR表示头部信息,例如可以包括IKE协议头、安全参数索引(英文:SecurityParameter Index,SPI)和版本号。SAi表示发起方支持的IKE阶段的算法,KEi表示发起方的迪菲-赫尔曼DH数值。
S102,设备B向设备A发送IKE初始化响应消息,IKE初始化响应消息中例如可以包括HDR、SAr和KEr。其中HDR表示前述头部信息。SAr表示响应方支持的IKE阶段的算法,KEr表示响应方的DH数值。以上S101和S102完成安全策略和DH信息的交换,所述安全策略例如包括设备A和设备B之间通信使用的SPI和IKE阶段的算法等。S101和S102交换的安全策略还可以包括认证方式如预共享密钥方式或证书方式,密钥有效期和加密协议如认证头(Authentication Header,AH)协议和/或封装安全负载(英文:Encapsulating SecurityPayload,ESP)协议等。
S103,设备A向设备B发送IKE认证消息,IKE认证消息中例如可以包括HDR和{IDi,AUTH}。其中HDR表示前述头部信息,IDi表示发起方的身份标识,AUTH表示验证身份信息的载荷,{…}表示其中的内容基于S101和S102协商的信息进行了加密和完整性保护,例如{IDi,AUTH}表示IDi和AUTH基于S101和S102协商的信息进行了加密和完整性保护。发起方在IDi中声明自己的身份,并通过S101和S102中协商的算法以及发起方自己的密钥来计算得出AUTH,由此通过AUTH来证明发起方的身份以便进行身份认证。
S104,设备B向设备A发送IKE认证响应消息,IKE认证响应消息中例如可以包括HDR和{IDr,AUTH}。其中HDR表示前述头部信息,IDr表示响应方的身份标识,AUTH表示验证身份信息的载荷,{…}表示其中的内容基于S101和S102协商的信息进行了加密和完整性保护,例如{IDr,AUTH}表示IDr和AUTH基于S101和S102协商的信息进行了加密和完整性保护。响应方在IDr中声明自己的身份,并通过S101和S102中协商的算法以及响应方自己的密钥来计算得出AUTH,由此通过AUTH来证明响应方的身份以便进行身份认证。
设备B在接收到设备A发送的IKE认证消息后,需要在预先配置好的预共享密钥信息中找到与设备A对应的预共享密钥来结合该IKE认证消息对设备A的身份进行认证。当有大量设备A连接设备B时,设备B上需要处理的信息量较大,对设备B的设备处理性能要求较高。当设备B为网关设备而不具有足够的处理性能时,需要将不同的设备A提前分配到多个网关设备,由多个网关设备来协同管理预配置的预共享密钥。但多个网关设备间的协同管理要求较高,维护复杂。
图2示出了本申请实施例提供的一种IKE协商中身份认证的方法的流程示意图。该方法用于代替以上IKE协商中的S103和S104的交互过程。该方法包括:
S201,设备A向设备B发送IKE认证消息。
该IKE认证消息中例如可以包括HDR和{IDi,AUTH},其中HDR、IDi、AUTH和{IDi,AUTH}的含义与S103中描述相同。设备A利用S101和S102中协商的算法以及设备A本地的预共享密钥来对IDi进行计算得出该AUTH的值,该AUTH值做为一种证明信息,用于向设备B证明设备A的身份。所述S101和S102中协商的算法例如哈希运算消息认证码(英文:Hash-based Message Authentication Code,HMAC)算法。
S202,设备B收到设备A发送的IKE认证消息后,向设备C发送密钥请求消息。
设备B收到设备A发送的IKE认证消息后,获取IKE认证消息中的身份标识IDi,向设备C发送密钥请求消息,在该密钥请求消息中携带从IKE认证消息获取的身份标识IDi。该身份标识IDi用于标识设备A的身份,该IDi例如是运营商或服务商提供给用户的用户名。其中设备C例如可以为服务器、控制器、控制中心等具有较高计算和处理能力的网络设备。该密钥请求消息例如采用用户数据报协议(英文:User Datagram Protocol,UDP)报文,在该UPD报文的载荷中携带该身份标识IDi。
S203,设备C根据密钥请求消息中的身份标识IDi,向设备B发送密钥请求响应消息。
设备C收到设备B发送的密钥请求消息后,获取密钥请求消息中的身份标识IDi,查找IDi对应的预共享密钥,向设备B返回密钥请求响应消息,并在该密钥请求响应消息中携带IDi对应的预共享密钥。该密钥请求响应消息例如采用UDP报文,在该UPD报文的载荷中携带该身份标识IDi对应的预共享密钥。设备C为具有较高处理能力的网络设备,可以用于存储和管理所有身份标识IDi对应的预共享密钥。
S204,设备B接收设备C发送的密钥请求响应消息对设备A进行身份认证。
设备B收到设备C发送的密钥请求响应消息后,获取密钥请求响应消息中与IDi对应的的预共享密钥,该预共享密钥即为与设备A对应的预共享密钥。设备B利用S101和S102中协商的算法以及该与设备A对应的预共享密钥来对IDi进行计算得出AUTH值,并将该AUTH值与设备A发送过来的IKE认证消息中的AUTH值相比较,如果两个值相同,则设备B确定对设备A的身份认证成功。可选地,如果两个值不同,则设备B确定对设备A的身份认证不成功,向设备A返回身份认证失败消息。
S205,设备B向设备A发送IKE认证响应消息。
该IKE认证响应消息中例如可以包括HDR和{IDr,AUTH}。其中设备B利用S101和S102中协商的算法以及从密钥请求响应消息获取的所述预共享密钥来对IDr进行计算得出AUTH值,该AUTH值做为一种证明信息,用于向设备A证明设备B的身份。HDR、IDr和{…}含义与S104中描述相同。其中IDr例如是运营商或服务商设定的网关设备的设备名。
S206,设备A接收设备B发送的IKE认证响应消息,进行设备B的身份认证。
设备A收到设备B发送的IKE认证响应消息后,获取IKE认证响应消息中的IDr和AUTH。设备A利用S101和S102中协商的算法以及设备A本地的预共享密钥来对IDr进行计算得出AUTH值,并将该AUTH值与设备B发送过来的IKE认证响应消息中的AUTH值相比较,如果两个值相同,则设备A确定对设备B的身份认证成功,由此完成设备A与设备B之间的双向身份认证。可选地,如果两个值不同,则设备A确定对设备B的身份认证不成功,向设备B返回身份认证失败消息。
设备A与设备B之间双向身份认证成功,即设备B确定对设备A的身份认证成功且设备A确定对设备B的身份认证成功后,即可以进入IPSec协议交互第二阶段,即利用第一阶段IKE协商的参数来进行IPSec SA的协商以及对IP报文进行加密或验证处理。以上IKE协商中身份认证的方法,设备B动态从设备C中获取预共享密钥,因此不需要预先配置大量预共享密钥,降低了对设备B的设备性能要求,并且可以简化设备B上的配置,降低设备B的维护难度。
图3为本申请实施例提供的一种第一网络设备300的结构示意图。第一网络设备300可以用于执行图1和图2方法中设备B的功能。第一网络设备300包括接收单元301、发送单元302和处理单元303。第一网络设备300例如是网关设备。接收单元301,用于接收第二网络设备发送的IKE认证消息,所述IKE认证消息包括所述第二网络设备的身份标识。接收单元301还可以用于接收第三网络设备发送的密钥请求响应消息。该第二网络设备可以是图1和图2中的设备A。该第二网络设备例如是用户终端。该第三网络设备可以是图1和图2中的设备C。该第三网络设备例如是服务器、控制器或控制中心等。
发送单元302,用于响应于接收到所述IKE认证消息,向所述第三网络设备发送密钥请求消息,所述密钥请求消息包括所述第二网络设备的身份标识。发送单元302还可以用于响应于接收到所述密钥请求响应消息,向所述第二网络设备发送IKE认证响应消息,所述IKE认证响应消息用于向所述第二网络设备证明所述第一网络设备300的身份。
处理单元303,用于根据所述密钥请求响应消息中的预共享密钥对所述第二网络设备进行身份认证,所述预共享密钥对应于所述第二网络设备的身份标识。
可选地,所述IKE认证消息包括第一证明信息,所述第一证明信息是根据所述第二网络设备的身份标识和所述第二网络设备保存的预共享密钥确定的,例如S201中的AUTH值。所述处理单元303根据所述密钥请求响应消息中的预共享密钥对所述第二网络设备进行身份认证包括:确定所述第一证明信息与第二证明信息是否相同,如果相同,则对所述第二网络设备的身份认证成功,其中所述第二证明信息是根据所述密钥请求响应消息中的预共享密钥和所述第二网络设备的身份标识确定的,例如S204中设备B根据从密钥请求响应消息中获取的预共享密钥计算得出的AUTH值。
可选地,所述IKE认证响应消息包括所述第一网络设备的身份标识和第三证明信息,所述第三证明信息是根据所述第一网络设备的身份标识和所述密钥请求响应消息中的预共享密钥确定的,例如S204中设备B根据从密钥请求响应消息中获取的预共享密钥计算得出的AUTH值。
图4为本申请实施例提供的一种第一网络设备400的结构示意图。第一网络设备400例如是网关设备,该网关设备例如是路由器等。第一网络设备400可以是图1和图2中所示的设备B,以便执行图1和图2中所示的方法中设备B的功能。第一网络设备400可以为图3中的第一网络设备300。第一网络设备400包括处理器401和网络接口402。
网络接口402,用于接收第二网络设备发送的IKE认证消息,所述IKE认证消息包括所述第二网络设备的身份标识。网络接口402还用于接收第三网络设备发送的密钥请求响应消息。网络接口402还用于响应于接收到所述IKE认证消息,向所述第三网络设备发送密钥请求消息,所述密钥请求消息包括所述第二网络设备的身份标识。网络接口402还用于响应于接收到所述密钥请求响应消息,向所述第二网络设备发送IKE认证响应消息,所述IKE认证响应消息用于向所述第二网络设备证明所述第一网络设备400的身份。
处理器401,用于根据所述密钥请求响应消息中的预共享密钥对所述第二网络设备进行身份认证,所述预共享密钥对应于所述第二网络设备的身份标识。
该第二网络设备可以是图1和图2中的设备A。该第二网络设备例如是用户终端。该第三网络设备可以是图1和图2中的设备C。该第三网络设备例如是服务器、控制器或控制中心等。
第一网络设备400为图3所示第一网络设备300时,处理器401实现处理单元303的功能,网络接口402实现接收单元301和发送单元302的功能。
以上处理器400包括但不限于中央处理器(英文:Central Processing Unit,CPU),网络处理器(英文:Network Processor,NP),专用集成电路(英文:Application-Specific Integrated Circuit,ASIC)或者可编程逻辑器件(英文:Programmable LogicDevice,PLD)中的一个或多个。上述PLD可以是复杂可编程逻辑器件(英文:ComplexProgrammable Logic Device,CPLD),现场可编程逻辑门阵列(英文:Field-ProgrammableGate Array,FPGA),通用阵列逻辑(英文:Generic Array Logic,GAL)或其任意组合。
网络接口402例如为以太网接口、异步传输模式(英文:Asynchronous TransferMode,ATM)接口或基于SDH/SONET的包封装(英文:Packet over SONET/SDH,POS)接口。
网络接口402可以和处理器401通过总线通信,也可以直连。
图5为本申请实施例提供的一种身份认证系统500的结构示意图。该身份认证系统500包括第一网络设备501、第二网络设备502和第三网络设备503。第一网络设备501可以是图1和图2中的设备B,图3中的第一网络设备300和第一网络设备400。第二网络设备502可以是图1和图2中的设备A。第三网络设备503可以是图2中的设备C。第一网络设备501为图4所示第一网络设备400时,第二网络设备502和第三网络设备503可以具有与第一网络设备400相同的物理结构,例如包括处理器和网络接口。
第二网络设备502,用于向第一网络设备501发送IKE认证消息,所述IKE认证消息包括第二网络设备502的身份标识;以及用于接收第一网络设备501发送的IKE认证响应消息,根据所述IKE认证响应消息中的第一网络设备501的身份标识和第二网络设备502保存的预共享密钥对第一网络设备501进行身份认证;
第一网络设备501,用于接收第二网络设备502发送的IKE认证消息,向第三网络设备503发送密钥请求消息,所述密钥请求消息包括第二网络设备502的身份标识;以及用于接收第三网络设备503发送的密钥请求响应消息,根据所述密钥请求响应消息中的预共享密钥对第二网络设备502进行身份认证,并向第二网络设备502发送IKE认证响应消息,所述IKE认证响应消息包括第一网络设备501的身份标识;
第三网络设备503,用于接收第一网络设备501发送的密钥请求消息,向所述第一网络设备501发送密钥请求响应消息,所述密钥请求响应消息包括对应于第二网络设备502的身份标识的预共享密钥。
可选地,所述IKE认证消息包括第一证明信息,所述第一证明信息是根据第二网络设备502的身份标识和第二网络设备502保存的预共享密钥确定的;第一网络设备501根据所述密钥请求响应消息中的预共享密钥对第二网络设备502进行身份认证包括:确定所述第一证明信息与第二证明信息是否相同,如果相同,则对第二网络设备502的身份认证成功,其中所述第二证明信息根据所述密钥请求响应消息中的预共享密钥和第二网络设备502的身份标识确定的。
可选地,所述IKE认证响应消息包括第三证明信息,所述第三证明信息是根据第一网络设备501的身份标识和所述密钥请求响应消息中的预共享密钥确定的;第二网络设备502根据所述IKE认证响应消息中的第一网络设备501的身份标识和第二网络设备502保存的预共享密钥对第一网络设备501进行身份认证包括:确定所述第三证明信息与第四证明信息是否相同,如果相同,则对第一网络设备501的身份认证成功,其中所述第四证明信息是根据第一网络设备501的身份标识和第二网络设备502保存的预共享密钥确定的。
可选地,第一网络设备501为网关设备,第二网络设备502为用户终端,第三网络设备为服务器、控制器或控制中心。
本领域技术人员应明白,本申请的实施例可提供为方法、装置(设备)、或计算机程序产品。因此,本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。计算机程序存储/分布在合适的介质中,与其它硬件一起提供或作为硬件的一部分,也可以采用其他分布形式,如通过Internet或其它有线或无线电信系统。
本申请是参照本申请实施例的方法、装置(设备)和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
本说明书的各个部分均采用递进的方式进行描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点介绍的都是与其他实施例不同之处。尤其,对于装置和系统实施例而言,由于其基本相似于方法实施例,所以描述的比较简单,相关之处参见方法实施例部分的说明即可。
应理解,在本申请的各种实施例中,上述各方法的序号的大小并不意味着执行顺序的先后,各方法的执行顺序应以其功能和内在逻辑确定,而不应对本申请实施例的实施过程构成任何限定。

Claims (10)

1.一种因特网密钥交换IKE协商中身份认证的方法,其特征在于,所述方法包括:
第一网络设备接收第二网络设备发送的IKE认证消息,所述IKE认证消息包括所述第二网络设备的身份标识;
所述第一网络设备向第三网络设备发送密钥请求消息,所述密钥请求消息包括所述第二网络设备的身份标识;
所述第一网络设备接收所述第三网络设备发送的密钥请求响应消息,根据所述密钥请求响应消息中的预共享密钥对所述第二网络设备进行身份认证,所述预共享密钥对应于所述第二网络设备的身份标识;
所述第一网络设备向所述第二网络设备发送IKE认证响应消息,所述IKE认证响应消息用于向所述第二网络设备证明所述第一网络设备的身份。
2.如权利要求1所述的方法,其特征在于,所述IKE认证消息包括第一证明信息,所述第一证明信息是根据所述第二网络设备的身份标识和所述第二网络设备保存的预共享密钥确定的;
所述第一网络设备根据所述密钥请求响应消息中的预共享密钥对所述第二网络设备进行身份认证包括:确定所述第一证明信息与第二证明信息是否相同,如果相同,则对所述第二网络设备的身份认证成功,其中所述第二证明信息根据所述密钥请求响应消息中的预共享密钥和所述第二网络设备的身份标识确定的。
3.如权利要求1或2所述的方法,其特征在于,所述IKE认证响应消息包括所述第一网络设备的身份标识和第三证明信息,所述第三证明信息是根据所述第一网络设备的身份标识和所述密钥请求响应消息中的预共享密钥确定的。
4.如权利要求1至3任意一项所述的方法,其特征在于,所述第一网络设备为网关设备,所述第二网络设备为用户终端。
5.一种第一网络设备,其特征在于,所述第一网络设备包括:
接收单元,用于接收第二网络设备发送的IKE认证消息,所述IKE认证消息包括所述第二网络设备的身份标识,以及用于接收第三网络设备发送的密钥请求响应消息;
发送单元,用于响应于接收到所述IKE认证消息,向所述第三网络设备发送密钥请求消息,所述密钥请求消息包括所述第二网络设备的身份标识,以及用于响应于接收到所述密钥请求响应消息,向所述第二网络设备发送IKE认证响应消息,所述IKE认证响应消息用于向所述第二网络设备证明所述第一网络设备的身份;
处理单元,用于根据所述密钥请求响应消息中的预共享密钥对所述第二网络设备进行身份认证,所述预共享密钥对应于所述第二网络设备的身份标识。
6.如权利要求5所述的第一网络设备,其特征在于,所述IKE认证消息包括第一证明信息,所述第一证明信息是根据所述第二网络设备的身份标识和所述第二网络设备保存的预共享密钥确定的;
所述处理单元根据所述密钥请求响应消息中的预共享密钥对所述第二网络设备进行身份认证包括:确定所述第一证明信息与第二证明信息是否相同,如果相同,则对所述第二网络设备的身份认证成功,其中所述第二证明信息是根据所述密钥请求响应消息中的预共享密钥和所述第二网络设备的身份标识确定的。
7.如权利要求5或6所述的第一网络设备,其特征在于,所述IKE认证响应消息包括所述第一网络设备的身份标识和第三证明信息,所述第三证明信息是根据所述第一网络设备的身份标识和所述密钥请求响应消息中的预共享密钥确定的。
8.如权利要求5至7任意一项所述的第一网络设备,其特征在于,所述第一网络设备为网关设备,所述第二网络设备为用户终端。
9.一种第一网络设备,其特征在于,所述第一网络设备包括:
网络接口,用于接收第二网络设备发送的IKE认证消息,所述IKE认证消息包括所述第二网络设备的身份标识,以及用于接收第三网络设备发送的密钥请求响应消息,以及用于响应于接收到所述IKE认证消息,向所述第三网络设备发送密钥请求消息,所述密钥请求消息包括所述第二网络设备的身份标识,以及用于响应于接收到所述密钥请求响应消息,向所述第二网络设备发送IKE认证响应消息,所述IKE认证响应消息用于向所述第二网络设备证明所述第一网络设备的身份;
处理器,用于根据所述密钥请求响应消息中的预共享密钥对所述第二网络设备进行身份认证,所述预共享密钥对应于所述第二网络设备的身份标识。
10.如权利要求9所述的第一网络设备,其特征在于,所述IKE认证消息包括第一证明信息,所述第一证明信息是根据所述第二网络设备的身份标识和所述第二网络设备保存的预共享密钥确定的;
所述处理器根据所述密钥请求响应消息中的预共享密钥对所述第二网络设备进行身份认证包括:确定所述第一证明信息与第二证明信息是否相同,如果相同,则对所述第二网络设备的身份认证成功,其中所述第二证明信息是根据所述密钥请求响应消息中的预共享密钥和所述第二网络设备的身份标识确定的。
CN201611248343.5A 2016-12-29 2016-12-29 一种ike协商中身份认证的方法及网络设备 Active CN108259157B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201611248343.5A CN108259157B (zh) 2016-12-29 2016-12-29 一种ike协商中身份认证的方法及网络设备

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201611248343.5A CN108259157B (zh) 2016-12-29 2016-12-29 一种ike协商中身份认证的方法及网络设备

Publications (2)

Publication Number Publication Date
CN108259157A true CN108259157A (zh) 2018-07-06
CN108259157B CN108259157B (zh) 2021-06-01

Family

ID=62721333

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201611248343.5A Active CN108259157B (zh) 2016-12-29 2016-12-29 一种ike协商中身份认证的方法及网络设备

Country Status (1)

Country Link
CN (1) CN108259157B (zh)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110796021A (zh) * 2019-10-08 2020-02-14 中国建设银行股份有限公司 一种应用于自助设备的身份认证方法和装置
WO2022135413A1 (zh) * 2020-12-26 2022-06-30 西安西电捷通无线网络通信股份有限公司 身份鉴别方法、鉴别接入控制器、请求设备、存储介质、程序、及程序产品
CN114826627A (zh) * 2021-01-13 2022-07-29 中国电信股份有限公司 信息传输方法、企业安全网关和系统

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7234058B1 (en) * 2002-08-27 2007-06-19 Cisco Technology, Inc. Method and apparatus for generating pairwise cryptographic transforms based on group keys
CN102065069B (zh) * 2009-11-11 2013-07-31 中国移动通信集团公司 一种身份认证方法、装置和系统
CN102892114B (zh) * 2012-09-28 2015-07-15 大唐移动通信设备有限公司 一种设备合法性检验的方法及装置
CN105591748A (zh) * 2015-09-21 2016-05-18 杭州华三通信技术有限公司 一种认证方法和装置
CN105763318A (zh) * 2016-01-29 2016-07-13 杭州华三通信技术有限公司 一种预共享密钥获取、分配方法及装置
CN106169952A (zh) * 2016-09-06 2016-11-30 杭州迪普科技有限公司 一种英特网密钥管理协议重协商的认证方法及装置

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7234058B1 (en) * 2002-08-27 2007-06-19 Cisco Technology, Inc. Method and apparatus for generating pairwise cryptographic transforms based on group keys
CN102065069B (zh) * 2009-11-11 2013-07-31 中国移动通信集团公司 一种身份认证方法、装置和系统
CN102892114B (zh) * 2012-09-28 2015-07-15 大唐移动通信设备有限公司 一种设备合法性检验的方法及装置
CN105591748A (zh) * 2015-09-21 2016-05-18 杭州华三通信技术有限公司 一种认证方法和装置
CN105763318A (zh) * 2016-01-29 2016-07-13 杭州华三通信技术有限公司 一种预共享密钥获取、分配方法及装置
CN106169952A (zh) * 2016-09-06 2016-11-30 杭州迪普科技有限公司 一种英特网密钥管理协议重协商的认证方法及装置

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110796021A (zh) * 2019-10-08 2020-02-14 中国建设银行股份有限公司 一种应用于自助设备的身份认证方法和装置
WO2022135413A1 (zh) * 2020-12-26 2022-06-30 西安西电捷通无线网络通信股份有限公司 身份鉴别方法、鉴别接入控制器、请求设备、存储介质、程序、及程序产品
CN114826627A (zh) * 2021-01-13 2022-07-29 中国电信股份有限公司 信息传输方法、企业安全网关和系统

Also Published As

Publication number Publication date
CN108259157B (zh) 2021-06-01

Similar Documents

Publication Publication Date Title
US8327129B2 (en) Method, apparatus and system for internet key exchange negotiation
CN104322001A (zh) 使用服务名称识别的传输层安全流量控制
CN106169952B (zh) 一种英特网密钥管理协议重协商的认证方法及装置
CN107040536A (zh) 数据加密方法、装置和系统
CN114143117B (zh) 数据处理方法及设备
CN114221765B (zh) 一种qkd网络与经典密码算法融合的量子密钥分发方法
CN112422560A (zh) 基于安全套接层的轻量级变电站安全通信方法及系统
CN111935213A (zh) 一种基于分布式的可信认证虚拟组网系统及方法
TWI568234B (zh) 全球移動通訊網路的匿名認證方法
CN108259157A (zh) 一种ike协商中身份认证的方法及网络设备
CN114024698A (zh) 一种基于国密算法的配电物联网业务安全交互方法及系统
CN116886288A (zh) 一种量子会话密钥分发方法及装置
US20240072996A1 (en) System and method for key establishment
JP2010539839A (ja) サーバ基盤移動インターネットプロトコルシステムにおけるセキュリティ方法
CN110730071A (zh) 一种配电通信设备安全接入认证方法、装置及设备
CN113904809B (zh) 一种通信方法、装置、电子设备及存储介质
CN105591748B (zh) 一种认证方法和装置
CN107276996A (zh) 一种日志文件的传输方法及系统
CN107135226A (zh) 基于socks5的传输层代理通信方法
CN107171786A (zh) 网络代理账户控制方法
CN110120907B (zh) 一种基于提议组的IPSec VPN隧道的通信方法及装置
Guenane et al. A strong authentication for virtual networks using eap-tls smart cards
CN109391938A (zh) 密钥协商方法、装置及系统
Gupta et al. Security mechanisms of Internet of things (IoT) for reliable communication: a comparative review
Kammueller et al. Engineering security protocols with model checking-Radius-SHA256 and secured simple protocol

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant