WO2016045307A1 - Ike认证方法、ike发起终端、ike响应终端及ike认证系统 - Google Patents

Abstract

一种IKE认证方法、IKE发起终端、IKE响应终端及IKE认证系统，IKE发起终端生成包含其当前使用的认证类型的第一认证请求，并将该第一认证请求发给IKE响应终端；IKE响应终端接收到第一认证请求后，从中获取IKE发起终端使用的认证类型，然后该认证类型生成第二认证请求并发给所述IKE发起终端，其中，IKE响应终端生成第二认证请求时所采用的认证类型是从第一认证请求中获取的，因此，IKE响应终端采用的认证类型与IKE发起终端采用的认证类型是一致的。通过本发明实施例提供的方案，IKE响应终端可以针对不同的IKE发起终端智能适配认证类型，从而避免因IKE发起终端不支持IKE响应终端所采用的认证类型导致认证失败的问题。

Description

IKE认证方法、IKE发起终端、IKE响应终端及IKE认证系统 技术领域

本发明涉及通信网络安全领域，具体涉及一种IKE(Internet Key Exchange，因特网密钥交换协议)认证方法、IKE发起终端、IKE响应终端及IKE认证系统。

背景技术

随着因特网的高速发展，IP网络逐渐成为人们日常工作和生活中必不可少的工具，而在IP网络上进行数据传输的安全性保证的需求也日趋强烈。众所周知，IP网络是个开放的网络，不采取任何措施就利用IP网络进行数据通信是毫无安全性可言的。为了满足在IP网上获得安全通信的需要，互联网工程任务组的IPSec(IP Security，IP安全)工作组制定了一组基于密码学的开放网络安全协议，总称IPSec体系结构。IPSec协议提供了访问控制、无连接的数据完整性、数据保密性、数据源验证、防重放攻击、自动密钥管理等安全服务。IPsec在对IP网络提供安全保护时需要一些参数，包括加解密算法及密钥，完整性验证算法及密钥等集合，称之为SA(安全联盟)。生成SA有两种方法，手工配置和自动协商，在大型的网络部署中，需要采用自动协商方式为IPsec通讯两端生成SA。互联网工程组指定了IKE协议用于自动协商SA，目前已有两个版本IKEv1和IKEv2。IKEv2相对于IKEv1版本减少了协商报文个数，增加了一些新的功能。

数据源认证功能是IPsec协议簇提供的功能之一，通过在IKE协商过程中对IKE对端进行身份认证来实现。在IKE协商过程中，IKE通讯两端通过相互认证对端的身份ID来确认对端的合法性；具体的认证类型有多种，IKE认证类型取决于本端配置，一旦配置确定了，在与不同的对端进行IKE协商时，都会采用同一种认证类型。在一些多对一的应用场景中，多个不同的IKE客户端可能会要求IKE服务端采用不同的认证类型，这种需求很难通过IKE服务端的配置解决。例如如图1所示，图中安全网关是一台IPsec网关设备；众多IPsec站点可与一台IPsec网关之间建立IPsec隧道，用于保护 它们之间的数据通讯。图1中的站点与网关之间通过IKEv2协议交换密钥，IPsec站点作为IKE发起终端，IPsec网关作为IKE响应终端。IPsec站点和IPsec网关所保护的网络是相互不可见的，它们之间需要通讯，为了保证通讯数据的数据源可靠，在IKEv2协商过程中两端相互进行身份认证，身份认证是单向的，所采用的认证方式可不相同，在图1的多对一组网中，众多IPsec站点可能支持的是不同的认证方式，某些站点可能对IPsec网关上配置那一种认证方式不支持，这样IPsec网关就不能以自身已经配置好的那一种认证方式来与所有的IPsec站点进行IKE协商，否则会导致因站点不支持IPsec网关所采用的认证方式导致认证失败。

发明内容

本发明实施例提供一种IKE认证方法、IKE发起终端、IKE响应终端及IKE认证系统，以解决现有IKE认证过程中因IKE发起终端不支持IKE响应终端所采用的认证类型导致认证失败的问题。

为解决上述技术问题，本发明实施例提供了一种IKE认证方法，包括：

IKE响应终端接收IKE发起终端发送的第一认证请求，所述第一认证请求中包含所述IKE发起终端使用的认证类型；

所述IKE响应终端从所述第一认证请求中获取所述IKE发起终端使用的认证类型，根据获取的认证类型生成第二认证请求；

所述IKE响应终端将所述第二认证请求发给所述IKE发起终端。

在本发明的一种实施例中，在所述IKE响应终端根据获取的认证类型生成第二认证请求之前，还包括：

所述IKE响应终端对所述第一认证请求进行校验，当校验通过时，根据获取的认证类型生成第二认证请求。

在本发明的一种实施例中，所述IKE响应终端通过主模式交换响应报文或认证交换响应报文将所述第二认证请求发给所述IKE发起终端。

为了解决上述问题，本发明实施例还提供了一种IKE认证方法，包括：

IKE发起终端生成第一认证请求，所述第一认证请求中包含所述IKE发 起终端使用的认证类型；

所述IKE发起终端向IKE响应终端发送第一认证请求；

所述IKE发起终端接收所述IKE响应终端发送的第二认证请求；所述第二认证请求为所述IKE响应终端根据所述第一认证请求中包含的认证类型生成。

在本发明的一种实施例中，所述IKE发起终端通过主模式交换请求报文或认证交换请求报文将所述第一认证请求发给所述IKE响应终端。

为了解决上述问题，本发明实施例还提供了一种IKE认证方法，包括：

IKE发起终端生成第一认证请求，并将该第一认证请求发给IKE响应终端，所述第一认证请求中包含所述IKE发起终端使用的认证类型；

所述IKE响应终端接收所述IKE发起终端发送的第一认证请求，从所述第一认证请求中获取所述IKE发起终端使用的认证类型，根据获取的认证类型生成第二认证请求，将所述第二认证请求发给所述IKE发起终端；

所述IKE发起终端接收所述IKE响应终端发送的第二认证请求。

为了解决上述问题，本发明实施例还提供了一种IKE响应终端，包括第一接收模块、第一处理模块和第一发送模块；

所述第一接收模块，设置为接收IKE发起终端发送的第一认证请求，所述第一认证请求中包含所述IKE发起终端使用的认证类型；

所述第一处理模块，设置为从所述第一认证请求中获取所述IKE发起终端使用的认证类型，根据获取的认证类型生成第二认证请求；

所述第一发送模块，设置为将所述第二认证请求发给所述IKE发起终端。

在本发明的一种实施例中，还包括校验模块，设置为在所述第一处理模块根据获取的认证类型生成第二认证请求之前，对所述第一认证请求进行校验，当校验通过时，通知所述第一处理模块根据获取的认证类型生成第二认证请求。

在本发明的一种实施例中，所述第一发送模块包括主模式交换响应报文 发送子模块，设置为将所述第二认证请求通过主模式交换响应报文发给所述IKE发起终端；或所述第一发送模块包括认证交换响应报文发送子模块，设置为将所述第二认证请求通过认证交换响应报文发给所述IKE发起终端。

为了解决上述问题，本发明实施例还提供了一种IKE发起终端，包括第二接收模块、第二处理模块和第二发送模块；

所述第二处理模块，设置为生成第一认证请求，所述第一认证请求中包含所述IKE发起终端使用的认证类型；

所述第二发送模块，设置为向IKE响应终端发送所述第一认证请求；

所述第二接收模块，设置为接收所述IKE响应终端发送的第二认证请求；所述第二认证请求为所述IKE响应终端根据所述第一认证请求中包含的认证类型生成。

在本发明的一种实施例中，所述第二发送模块包括主模式交换请求报文发送子模块，设置为将所述第一认证请求通过主模式交换请求报文发送给所述IKE响应终端；或所述第二发送模块包括认证交换请求报文发送子模块，设置为将所述第一认证请求通过认证交换请求报文发给所述IKE响应终端。

为了解决上述问题，本发明实施例还提供了一种IKE认证系统，包括IKE发起终端和IKE响应终端；

所述IKE发起终端，设置为生成第一认证请求，并将该第一认证请求发给所述IKE响应终端，所述第一认证请求中包含所述IKE发起终端使用的认证类型；以及接收所述IKE响应终端发送的第二认证请求；

所述IKE响应终端，设置为接收IKE发起终端发送的第一认证请求，从所述第一认证请求中获取所述IKE发起终端使用的认证类型，根据获取的认证类型生成第二认证请求；以及将所述第二认证请求发给所述IKE发起终端。

其中，所述IKE发起终端通过主模式交换请求报文或认证交换请求报文将所述第一认证请求发给所述IKE响应终端；相应地，所述IKE响应终端，通过主模式交换请求报文或认证交换请求报文将所述第二认证请求发给所述IKE发起终端。

本发明实施例还提供一种计算机可读存储介质，所述存储介质存储有计算机程序，所述计算机程序包括程序指令，但该程序指令被IKE发起终端执行时，使得该终端执行上述的IKE认证方法。

本发明实施例还提供一种计算机可读存储介质，所述存储介质存储有计算机程序，所述计算机程序包括程序指令，但该程序指令被IKE响应终端执行时，使得该终端执行上述的IKE认证方法。

本发明实施例的有益效果是：

本发明实施例提供的IKE认证方法、IKE发起终端、IKE响应终端及IKE认证系统，IKE发起终端生成包含其当前使用的认证类型的第一认证请求，并将该第一认证请求发给IKE响应终端；IKE响应终端接收到第一认证请求后，从中获取IKE发起终端使用的认证类型，然后该认证类型生成第二认证请求并发给所述IKE发起终端；可见，在本发明实施例中，IKE响应终端生成第二认证请求时所采用的认证类型是从第一认证请求中获取的，也即采用的认证类型与IKE发起终端采用的认证类型是一致的，IKE发起终端必然支持该认证类型。因此，通过本发明实施例提供的该方案可以IKE响应终端可以针对不同的IKE发起终端智能适配认证类型，进而可避免因IKE发起终端不支持IKE响应终端所采用的认证类型导致认证失败的问题。

附图概述

图1为一种典型组网的结构示意图；

图2为本发明实施例一中IKE认证方法流程示意图；

图3为本发明实施例二中IKE认证方法流程示意图；

图4为本发明实施例三中IKE认证方法流程示意图；

图5为本发明实施例四中IKE认证系统结构示意图；

图6为本发明实施例四中IKE响应终端结构示意图；

图7为本发明实施例四中另一种IKE响应终端结构示意图；

图8为本发明实施例四中IKE发起终端结构示意图；

图9为本发明实施例五中IKE认证方法流程示意图。

本发明的较佳实施方式

下文中将结合附图对本发明的实施例进行详细说明。需要说明的是，在不冲突的情况下，本申请中的实施例及实施例中的特征可以相互任意组合。另外，虽然在流程图中示出了逻辑顺序，但是在某些情况下，可以以不同于此处的顺序执行所示出或描述的步骤。

实施例一：

请参考图2所示，本实施例提供的IKE认证方法包括：

步骤201：IKE响应终端接收IKE发起终端发送的第一认证请求，该第一认证请求中包含IKE发起终端使用的认证类型；

步骤202：IKE响应终端从第一认证请求中获取IKE发起终端使用的认证类型，根据获取的认证类型生成第二认证请求；也即采用获取的认证类型生成第二认证请求，以保证IKE发起终端能支持识别该认证类型；

步骤203：IKE响应终端将生成的第二认证请求发给IKE发起终端以进行认证。

在本实施例中，IKE响应终端接收到第一认证请求后，根据从第一认证请求中获取的认证类型生成第二认证请求之前，还包括：

IKE响应终端对第一认证请求进行校验，如校验通过，才根据获取的认证类型生成第二认证请求；否则，可直接向IKE发起终端反馈认证失败的响应消息。

本实施例中提供的方案可适用但并不局限于预共享密钥认证类型和证书认证类型。下面以预共享密钥认证类型为例，对IKE响应终端对第一认证请求进行校验的过程进行示例性说明：

第一认证请求还可包括IKE发起终端的身份信息，以及IKE发起终端根据其本地配置的认证类型对第一原始认证数据进行计算得到的计算结果数据(以下称为第一待验证数据)；IKE响应终端接收到该第一认证请求后，获取身份信息，从相应的数据对应关系库中查找到对应的密钥，并结合第一认 证请求中的认证类型对所述第一原始数据进行计算得到第一验证数据，将第一验证数据与第一待验证数据进行匹配，如二者一致则验证通过；否则，验证失败。

本实施例中，IKE响应终端生成第二认证请求的过程为：IKE响应终端根据获取配置的认证类型对第二原始认证数据进行计算得到的计算结果数据(以下称为第二待验证数据)；并将认证类型和第二待验证数据以及自身的身份信息加入第二认证请求中。在此之前，IKE响应终端可以将该第二原始认证数据先发给IKE发起终端，当然也可将其随着第二认证请求发给IKE响应终端。

本实施例中，IKE响应终端向IKE发起终端反馈第二认证请求时，具体可通过主模式交换响应报文(针对IKEv1)或认证交换响应报文(即IKE_AUTH响应报文,针对IKEv2)将第二认证请求发给IKE发起终端。通过IKE_AUTH响应报文发送时，该报文中具体可包括IDr载荷和AUTH载荷，其中IDr载荷包括IKE响应终端的身份信息，AUTH载荷包括IKE响应终端采用的认证类型(与IKE发起终端所采用的认证类型一致)以及IKE响应终端根据该认证类型对第二原始认证数据进行计算得到的计算结果数据(以下称为第二待验证数据)。

本实施例中，IKE发起终端的用于进行认证的第一原始认证数据和IKE响应终端的用于进行认证的第二原始认证数据可以在IKE发起终端向IKE响应终端发送第一认证请求前分别发给对端；当然，根据实际应用，也可分别随着第一认证请求和第二认证请求发给对端。

实施例二：

请参考图3所示，本实施例提供的IKE认证方法包括：

步骤301：IKE发起终端生成第一认证请求，生成的第一认证请求中包含IKE发起终端使用的认证类型；

步骤302：IKE发起终端向IKE响应终端发送第一认证请求；

步骤303：IKE发起终端接收IKE响应终端发送的第二认证请求；第二 认证请求为IKE响应终端根据第一认证请求中包含的认证类型生成。

在本实施例中，IKE发起终端生成第一认证请求的过程为：IKE发起终端根据本地配置的认证类型对第一原始认证数据进行计算得到的计算结果数据(以下称为第一待验证数据)；并将认证类型和第一待验证数据以及自身的身份信息加入第一认证请求中。在此之前，IKE发起终端可以将该第一原始认证数据先发给IKE响应终端，当然也可将其随着第一认证请求发给IKE响应终端。

本实施例中，IKE发起终端具体可通过主模式交换请求报文(针对IKEv1)或认证交换请求报文(即IKE_AUTH请求报文,针对IKEv2)将第一认证请求发给所述IKE响应终端。通过IKE_AUTH请求报文发送时，该报文中具体可包括IDi载荷和AUTH载荷，其中IDi载荷包括IKE发起终端的身份信息，AUTH载荷包括IKE发起终端采用的认证类型以及IKE发起终端根据其本地的认证类型对第一原始认证数据进行计算得到的第一待验证数据。

本实施例中，IKE响应终端生成第二认证请求的过程为：IKE响应终端根据获取配置的认证类型对第二原始认证数据进行计算得到的计算结果数据(以下称为第二待验证数据)；并将认证类型和第二待验证数据以及自身的身份信息加入第二认证请求中。在此之前，IKE发起终端可以将该第二原始认证数据先发给IKE发起终端，当然也可将其随着第二认证请求发给IKE响应终端。

在上述步骤303之后，IKE发起终端收到第二认证请求后，对第二认证请求进行校验认证。下面仍以预共享密钥认证类型为例，对IKE发起终端对第二认证请求进行校验的过程进行示例性说明：

第二认证请求还包括IKE响应终端的身份信息，以及IKE响应终端根据获取认证类型对第二原始认证数据进行计算得到的计算结果数据(以下称为第二待验证数据)；IKE发起终端接收到该第二认证请求后，获取身份信息，从相应的数据对应关系库中查找到对应的密钥，并结合第二认证请求中的认证类型对第二原始数据进行计算得到第二验证数据，将第二验证数据与第二待验证数据进行匹配，如二者一致则验证通过；否则，验证失败，可直接向IKE响应终端反馈认证失败的响应消息。

实施例三：

请参见图4所示，本实施例提供的IKE认证方法包括：

步骤401：IKE发起终端生成第一认证请求，并将该第一认证请求发给IKE响应终端，第一认证请求中包含所述IKE发起终端使用的认证类型；

步骤402：IKE响应终端接收IKE发起终端发送的第一认证请求，从第一认证请求中获取IKE发起终端使用的认证类型；

步骤403：IKE响应终端根据获取的认证类型生成第二认证请求，将第二认证请求发给IKE发起终端；

步骤404：IKE发起终端接收IKE响应终端发送的第二认证请求。

本实施例中，IKE发起终端具体可通过主模式交换请求报文(针对IKEv1)或认证交换请求报文(即IKE_AUTH请求报文,针对IKEv2)将第一认证请求发给所述IKE响应终端。IKE响应终端向IKE发起终端反馈第二认证请求时，具体可通过主模式交换响应报文(针对IKEv1)或认证交换响应报文(即IKE_AUTH响应报文,针对IKEv2)将第二认证请求发给IKE发起终端。

在本实施例中，IKE响应终端接收到第一认证请求后，根据从第一认证请求中获取的认证类型生成第二认证请求之前，还包括：

IKE响应终端对第一认证请求进行校验，如校验通过，才根据获取的认证类型生成第二认证请求；否则，可直接向IKE发起终端反馈认证失败的响应消息。

在本实施例中，IKE发起终端收到第二认证请求后，对第二认证请求进行校验认证。下面仍以预共享密钥认证类型为例，对IKE发起终端对第二认证请求进行校验的过程进行示例性说明；对于IKE响应终端对第一认证请求的认证过程在此不再赘述：

第二认证请求还包括IKE响应终端的身份信息，以及IKE响应终端根据获取认证类型对第二原始认证数据进行计算得到的计算结果数据(以下称为第二待验证数据)；IKE发起终端接收到该第二认证请求后，获取身份信 息，从相应的数据对应关系库中查找到对应的密钥，并结合第二认证请求中的认证类型对第二原始数据进行计算得到第二验证数据，将第二验证数据与第二待验证数据进行匹配，如二者一致则验证通过；否则，验证失败，可直接向IKE响应终端反馈认证失败的响应消息。

实施例四：

请参见图5所示，本实施例提供的IKE认证系统包括IKE发起终端和IKE响应终端，分别包括处理器和程序存储设备，其中：

IKE发起终端适用于生成第一认证请求，并将该第一认证请求发给所述IKE响应终端，第一认证请求中包含IKE发起终端使用的认证类型；以及适用于接收IKE响应终端发送的第二认证请求；

IKE响应终端适用于接收IKE发起终端发送的第一认证请求，从第一认证请求中获取IKE发起终端使用的认证类型，根据获取的认证类型生成第二认证请求；以及将第二认证请求发给IKE发起终端。

具体的，请参见图6所示，本实施例中的IKE响应终端包括第一接收模块、第一处理模块和第一发送模块；

第一接收模块适用于接收IKE发起终端发送的第一认证请求，第一认证请求中包含IKE发起终端使用的认证类型；

第一处理模块适用于从第一认证请求中获取IKE发起终端使用的认证类型，根据获取的认证类型生成第二认证请求；

第一发送模块适用于将第二认证请求发给IKE发起终端。

请参见图7所示，IKE响应终端还包括校验模块(以下称为第一校验模块)，适用于在第一处理模块根据获取的认证类型生成第二认证请求之前，对第一认证请求进行校验，如校验通过，才通知第一处理模块根据获取的认证类型生成第二认证请求。下面以预共享密钥认证类型为例，对第一校验模块对第一认证请求进行校验的过程进行示例性说明：

第一认证请求还可包括IKE发起终端的身份信息，以及IKE发起终端根据其本地配置的认证类型对第一原始认证数据进行计算得到的计算结果数据 (以下称为第一待验证数据)；IKE响应终端接收到该第一认证请求后，第一校验模块获取身份信息，从相应的数据对应关系库中查找到对应的密钥，并结合第一认证请求中的认证类型对所述第一原始数据进行计算得到第一验证数据，将第一验证数据与第一待验证数据进行匹配，如二者一致则验证通过；否则，验证失败。

本实施例中，第一处理模块生成第二认证请求的过程为：第一处理模块根据获取配置的认证类型对第二原始认证数据进行计算得到的计算结果数据(以下称为第二待验证数据)；并将认证类型和第二待验证数据以及自身的身份信息加入第二认证请求中。在此之前，IKE响应终端可以将该第二原始认证数据先发给IKE发起终端，当然也可将其随着第二认证请求发给IKE响应终端。

本实施例中，第一发送模块包括主模式交换响应报文发送子模块，适用于将第二认证请求通过主模式交换响应报文(针对IKEv1)发给所述IKE发起终端；或第一发送模块包括认证交换响应报文发送子模块，适用于将第二认证请求通过认证交换响应报文(即IKE_AUTH响应报文,针对IKEv2)发给IKE发起终端。

请参见图8所示，本实施例提供的IKE发起终端包括第二接收模块、第二处理模块和第二发送模块；

第二处理模块适用于生成第一认证请求，第一认证请求中包含所述IKE发起终端使用的认证类型；

第二发送模块适用于向IKE响应终端发送第一认证请求；

第二接收模块适用于接收IKE响应终端发送的第二认证请求；第二认证请求为IKE响应终端根据所述第一认证请求中包含的认证类型生成。

第二处理模块生成第一认证请求的过程为：第二处理模块根据IKE发起终端本地配置的认证类型对第一原始认证数据进行计算得到的计算结果数据(以下称为第一待验证数据)；并将认证类型和第一待验证数据以及自身的身份信息加入第一认证请求中。在此之前，IKE发起终端可以将该第一原始认证数据先发给IKE响应终端，当然也可将其随着第一认证请求发给IKE响 应终端。

本实施例中，第二发送模块包括主模式交换请求报文发送子模块，适用于将第一认证请求通过主模式交换请求报文(针对IKEv1)发送给IKE响应终端；或第二发送模块包括认证交换请求报文(即IKE_AUTH请求报文,针对IKEv2)发送子模块，适用于将第一认证请求通过认证交换请求报文发给IKE响应终端。

本实施例中的IKE发起终端还包括第二校验模块，适用于在第二接收模块接收到第二认证请求后，对其进行校验，下面以预共享密钥认证类型为例对该过程进行说明：

第二认证请求还包括IKE响应终端的身份信息，以及IKE响应终端根据获取认证类型对第二原始认证数据进行计算得到的计算结果数据(以下称为第二待验证数据)；第二验证模块接收到该第二认证请求后，获取身份信息，从相应的数据对应关系库中查找到对应的密钥，并结合第二认证请求中的认证类型对第二原始数据进行计算得到第二验证数据，将第二验证数据与第二待验证数据进行匹配，如二者一致则验证通过；否则，验证失败，可直接向IKE响应终端反馈认证失败的响应消息。

实施例五：

在本实施例中，在IKE响应终端上可配置一个用于开启和关闭上述认证类型智能匹配功能的开关模块，在该功能开启时，才进行上述智能匹配过程，否则，直接采用IKE响应终端本地配置的认证类型进行认证。下面以IKEv2为例进行说明，请参见图9所示，包括：

步骤901：IKE响应终端接收IKE发起终端发送的IKE_AUTH交换报文(即第一认证请求报文)中的AUTH载荷；

步骤902：IKE响应终端从该AUTH载荷中获取IKE发起终端使用的认证类型；

步骤903：IKE响应终端读取本端认证类型智能适配功能的配置信息，判断认证类型智能匹配功能是否开启，如是，转至步骤905，否则，转至步 骤904；

步骤904：IKE响应终端读取本端认证类型配置，根据本端配置的认证类型计算本端的IDr载荷和AUTH载荷得到第二认证请求，转步骤906；

步骤905：IKE响应终端根据IKE发起终端的认证类型计算本端的IDr载荷和AUTH载荷得到第二认证请求；

步骤906：IKE响应终端将第二认证请求IKE发起终端，继续IKEv2协商流程。

可见，本发明实施例引入了IKE协商过程中智能适配认证类型的认证策略，使得IKE网关在多对一组网时能同时接入支持不同认证类型的IKE客户端设备，一方面降低了IKE网关接入网络对组网的要求，另一方面也能让组网扩容及变动更加灵活。

本领域普通技术人员可以理解上述实施例的全部或部分步骤可以使用计算机程序流程来实现，所述计算机程序可以存储于一计算机可读存储介质中，所述计算机程序在相应的硬件平台上(如系统、设备、装置、器件等)执行，在执行时，包括方法实施例的步骤之一或其组合。

可选地，上述实施例的全部或部分步骤也可以使用集成电路来实现，这些步骤可以被分别制作成一个个集成电路模块，或者将它们中的多个模块或步骤制作成单个集成电路模块来实现。这样，本发明不限制于任何特定的硬件和软件结合。

上述实施例中的各装置/功能模块/功能单元可以采用通用的计算装置来实现，它们可以集中在单个的计算装置上，也可以分布在多个计算装置所组成的网络上。

上述实施例中的各装置/功能模块/功能单元以软件功能模块的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。上述提到的计算机可读取存储介质可以是只读存储器，磁盘或光盘等。

任何熟悉本技术领域的技术人员在本发明揭露的技术范围内，可轻易想到变化或替换，都应涵盖在本发明的保护范围之内。因此，本发明的保护范围应以权利要求所述的保护范围为准。

工业实用性

本发明实施例提供的方案，IKE响应终端在生成第二认证请求时，从IKE发起终端发送的第一认证请求中获取认证类型，采用与IKE发起终端相同的认证类型生成和发送第二认证请求，从而可以针对不同的IKE发起终端智能适配认证类型，避免因IKE发起终端不支持IKE响应终端所采用的认证类型导致认证失败的问题。

Claims (15)

1. 一种因特网密钥交换协议(IKE)认证方法，包括：

   IKE响应终端接收IKE发起终端发送的第一认证请求，所述第一认证请求中包含所述IKE发起终端使用的认证类型；

   所述IKE响应终端从所述第一认证请求中获取所述IKE发起终端使用的认证类型，根据获取的认证类型生成第二认证请求；

   所述IKE响应终端将所述第二认证请求发给所述IKE发起终端。
2. 如权利要求1所述的方法，在所述IKE响应终端根据获取的认证类型生成第二认证请求之前，还包括：

   所述IKE响应终端对所述第一认证请求进行校验，当校验通过时，根据获取的认证类型生成第二认证请求。
3. 如权利要求1或2所述的方法，其中，所述IKE响应终端通过主模式交换响应报文或认证交换响应报文将所述第二认证请求发给所述IKE发起终端。
4. 一种IKE认证方法，包括：

   IKE发起终端生成第一认证请求，所述第一认证请求中包含所述IKE发起终端使用的认证类型；

   所述IKE发起终端向IKE响应终端发送第一认证请求；

   所述IKE发起终端接收所述IKE响应终端发送的第二认证请求；所述第二认证请求为所述IKE响应终端根据所述第一认证请求中包含的认证类型生成。
5. 如权利要求4所述的方法，其中，所述IKE发起终端通过主模式交换请求报文或认证交换请求报文将所述第一认证请求发给所述IKE响应终端。
6. 一种IKE认证方法，包括：

   IKE发起终端生成第一认证请求，并将该第一认证请求发给IKE响应终端，所述第一认证请求中包含所述IKE发起终端使用的认证类型；

   所述IKE响应终端接收所述IKE发起终端发送的第一认证请求，从所述 第一认证请求中获取所述IKE发起终端使用的认证类型，根据获取的认证类型生成第二认证请求，将所述第二认证请求发给所述IKE发起终端；

   所述IKE发起终端接收所述IKE响应终端发送的第二认证请求。
7. 一种IKE响应终端，包括第一接收模块、第一处理模块和第一发送模块；

   所述第一接收模块，设置为接收IKE发起终端发送的第一认证请求，所述第一认证请求中包含所述IKE发起终端使用的认证类型；

   所述第一处理模块，设置为用于从所述第一认证请求中获取所述IKE发起终端使用的认证类型，根据获取的认证类型生成第二认证请求；

   所述第一发送模块，设置为将所述第二认证请求发给所述IKE发起终端。
8. 如权利要求7所述的IKE响应终端，还包括校验模块，设置为在所述第一处理模块根据获取的认证类型生成第二认证请求之前，对所述第一认证请求进行校验，当校验通过时，通知所述第一处理模块根据获取的认证类型生成第二认证请求。
9. 如权利要求7或8所述的IKE响应终端，其中，所述第一发送模块包括主模式交换响应报文发送子模块，设置为将所述第二认证请求通过主模式交换响应报文发给所述IKE发起终端；或所述第一发送模块包括认证交换响应报文发送子模块，设置为将所述第二认证请求通过认证交换响应报文发给所述IKE发起终端。
10. 一种IKE发起终端，包括第二接收模块、第二处理模块和第二发送模块；

    所述第二处理模块，设置为生成第一认证请求，所述第一认证请求中包含所述IKE发起终端使用的认证类型；

    所述第二发送模块，设置为向IKE响应终端发送所述第一认证请求；

    所述第二接收模块，设置为接收所述IKE响应终端发送的第二认证请求；所述第二认证请求为所述IKE响应终端根据所述第一认证请求中包含的认证类型生成。
11. 如权利要求10所述的IKE发起终端，其中，所述第二发送模块包括主模式交换请求报文发送子模块，设置为将所述第一认证请求通过主模式交 换请求报文发送给所述IKE响应终端；或所述第二发送模块包括认证交换请求报文发送子模块，设置为将所述第一认证请求通过认证交换请求报文发给所述IKE响应终端。
12. 一种IKE认证系统，包括IKE发起终端和IKE响应终端；

    所述IKE发起终端，设置为生成第一认证请求，并将该第一认证请求发给所述IKE响应终端，所述第一认证请求中包含所述IKE发起终端使用的认证类型；以及接收所述IKE响应终端发送的第二认证请求；

    所述IKE响应终端，设置为接收IKE发起终端发送的第一认证请求，从所述第一认证请求中获取所述IKE发起终端使用的认证类型，根据获取的认证类型生成第二认证请求；以及将所述第二认证请求发给所述IKE发起终端。
13. 如权利要求12所述的系统，其中，所述IKE发起终端通过主模式交换请求报文或认证交换请求报文将所述第一认证请求发给所述IKE响应终端；相应地，所述IKE响应终端，通过主模式交换请求报文或认证交换请求报文将所述第二认证请求发给所述IKE发起终端。
14. 一种计算机可读存储介质，所述存储介质存储有计算机程序，所述计算机程序包括程序指令，但该程序指令被IKE发起终端执行时，使得该终端执行权利要求1-3任一项所述的方法。
15. 一种计算机可读存储介质，所述存储介质存储有计算机程序，所述计算机程序包括程序指令，但该程序指令被IKE响应终端执行时，使得该终端执行权利要求4-5任一项所述的方法。

Images