一種認(rèn)證方法和設(shè)備的制造方法
【技術(shù)領(lǐng)域】
[0001]本申請(qǐng)涉及網(wǎng)絡(luò)技術(shù)領(lǐng)域,特別是涉及一種認(rèn)證方法和設(shè)備。
【背景技術(shù)】
[0002]IPsec(Internet Protocol Security,網(wǎng)絡(luò)協(xié)議安全)是 IETF (InternetEngineering Task Force,互聯(lián)網(wǎng)工程任務(wù)組)制定的三層隧道加密協(xié)議,它為互聯(lián)網(wǎng)上傳輸?shù)臄?shù)據(jù)提供了高質(zhì)量的、基于密碼學(xué)的安全保證,是一種傳統(tǒng)的實(shí)現(xiàn)三層VPN(VirtualPrivate Network,虛擬專用網(wǎng)絡(luò))的安全技術(shù)。IPsec通過(guò)在特定通信方之間(例如兩個(gè)安全網(wǎng)關(guān)之間)建立“通道”,來(lái)保護(hù)通信方之間傳輸?shù)挠脩魯?shù)據(jù),該通道通常稱為IPsec隧道。
[0003]IKE (Internet Key Exchange,互聯(lián)網(wǎng)密鑰交換)協(xié)議利用 ISAKMP (InternetSecurity Associat1n and Key Management Protocol,互聯(lián)網(wǎng)安全聯(lián)盟和密鑰管理協(xié)議)語(yǔ)言定義密鑰交換的過(guò)程,是一種對(duì)安全服務(wù)進(jìn)行協(xié)商的手段。
[0004]用IPsec保護(hù)一個(gè)IP數(shù)據(jù)包之前,必選先建立一個(gè)IPsec SA(SecurityAssociat1n,安全聯(lián)盟),IPsec SA可以手工創(chuàng)建或動(dòng)態(tài)建立。IKE為IPsec提供了自動(dòng)建立IPsec SA的服務(wù)。
[0005]在實(shí)現(xiàn)本申請(qǐng)的過(guò)程中,發(fā)明人發(fā)現(xiàn)現(xiàn)有技術(shù)至少存在如下問(wèn)題:
[0006]對(duì)于政務(wù)這樣安全性要求比較高的部門(mén),要求設(shè)備和賬戶信息一一對(duì)應(yīng),但是目前的IKE擴(kuò)展認(rèn)證,多個(gè)設(shè)備可以使用同一個(gè)賬戶信息通過(guò)認(rèn)證,無(wú)法實(shí)現(xiàn)設(shè)備和賬戶信息--對(duì)應(yīng),認(rèn)證的安全性較低。
【發(fā)明內(nèi)容】
[0007]本申請(qǐng)?zhí)峁┝艘环N認(rèn)證方法,所述方法包括:
[0008]一種認(rèn)證方法,所述方法包括:
[0009]邊緣設(shè)備向用戶設(shè)備發(fā)送請(qǐng)求報(bào)文;其中,所述請(qǐng)求報(bào)文是所述邊緣設(shè)備根據(jù)所述用戶設(shè)備發(fā)送的互聯(lián)網(wǎng)秘鑰交換IKE協(xié)商報(bào)文生成的;
[0010]所述邊緣設(shè)備接收所述用戶設(shè)備根據(jù)所述請(qǐng)求報(bào)文返回的回應(yīng)報(bào)文,所述回應(yīng)報(bào)文攜帶所述用戶設(shè)備的唯一標(biāo)識(shí)及所述用戶設(shè)備對(duì)應(yīng)的賬戶信息,所述賬戶信息包括:用戶名和密碼;
[0011]所述邊緣設(shè)備根據(jù)所述用戶設(shè)備的唯一標(biāo)識(shí)及所述用戶設(shè)備對(duì)應(yīng)的賬戶信息進(jìn)行遠(yuǎn)端用戶撥入驗(yàn)證服務(wù)Radius認(rèn)證。
[0012]一種認(rèn)證方法,所述方法包括:
[0013]用戶設(shè)備向邊緣設(shè)備發(fā)送互聯(lián)網(wǎng)秘鑰交換IKE協(xié)商報(bào)文,以使所述邊緣設(shè)備在收到所述IKE協(xié)商報(bào)文后返回請(qǐng)求報(bào)文;
[0014]所述用戶設(shè)備根據(jù)接收到的所述請(qǐng)求報(bào)文向所述邊緣設(shè)備發(fā)送回應(yīng)報(bào)文,所述回應(yīng)報(bào)文攜帶所述用戶設(shè)備的唯一標(biāo)識(shí)及所述用戶設(shè)備對(duì)應(yīng)的賬戶信息,所述賬戶信息包括:用戶名和密碼,以使所述邊緣設(shè)備根據(jù)所述回應(yīng)報(bào)文攜帶所述用戶設(shè)備的唯一標(biāo)識(shí)及所述用戶設(shè)備對(duì)應(yīng)的賬戶信息進(jìn)行Radius認(rèn)證。
[0015]一種邊緣設(shè)備,所述設(shè)備包括:
[0016]發(fā)送模塊,用于向用戶設(shè)備發(fā)送請(qǐng)求報(bào)文;其中,所述請(qǐng)求報(bào)文是所述邊緣設(shè)備根據(jù)所述用戶設(shè)備發(fā)送的互聯(lián)網(wǎng)秘鑰交換IKE協(xié)商報(bào)文生成的;
[0017]接收模塊,用于接收所述用戶設(shè)備根據(jù)所述請(qǐng)求報(bào)文返回的回應(yīng)報(bào)文,所述回應(yīng)報(bào)文攜帶所述用戶設(shè)備的唯一標(biāo)識(shí)及所述用戶設(shè)備對(duì)應(yīng)的賬戶信息,所述賬戶信息包括:用戶名和密碼;
[0018]認(rèn)證模塊,用于根據(jù)所述用戶設(shè)備的唯一標(biāo)識(shí)及所述用戶設(shè)備對(duì)應(yīng)的賬戶信息進(jìn)行遠(yuǎn)端用戶撥入驗(yàn)證服務(wù)Radius認(rèn)證。
[0019]一種用戶設(shè)備,所述設(shè)備包括:
[0020]第一發(fā)送模塊,用于向邊緣設(shè)備發(fā)送互聯(lián)網(wǎng)秘鑰交換IKE協(xié)商報(bào)文,以使所述邊緣設(shè)備在收到所述IKE協(xié)商報(bào)文后返回請(qǐng)求報(bào)文;
[0021]第二發(fā)送模塊,用于根據(jù)接收到的所述請(qǐng)求報(bào)文向所述邊緣設(shè)備發(fā)送回應(yīng)報(bào)文,所述回應(yīng)報(bào)文攜帶所述用戶設(shè)備的唯一標(biāo)識(shí)及所述用戶設(shè)備對(duì)應(yīng)的賬戶信息,所述賬戶信息包括:用戶名和密碼,以使所述邊緣設(shè)備根據(jù)所述回應(yīng)報(bào)文攜帶所述用戶設(shè)備的唯一標(biāo)識(shí)及所述用戶設(shè)備對(duì)應(yīng)的賬戶信息進(jìn)行Radius認(rèn)證。
[0022]本申請(qǐng)實(shí)施例中,邊緣設(shè)備接收用戶設(shè)備的唯一標(biāo)識(shí)及用戶設(shè)備對(duì)應(yīng)的賬戶信息,并根據(jù)用戶設(shè)備的唯一標(biāo)識(shí)及用戶設(shè)備對(duì)應(yīng)的賬戶信息進(jìn)行Radius認(rèn)證,從而保證了用戶設(shè)備和賬戶信息一一對(duì)應(yīng)的關(guān)系,提高了認(rèn)證的安全性。
【附圖說(shuō)明】
[0023]為了更清楚地說(shuō)明本申請(qǐng)或現(xiàn)有技術(shù)中的技術(shù)方案,下面將對(duì)本申請(qǐng)或現(xiàn)有技術(shù)描述中所需要使用的附圖作簡(jiǎn)單的介紹,顯而易見(jiàn)地,下面描述中的附圖僅僅是本申請(qǐng)的一些實(shí)施例,對(duì)于本領(lǐng)域普通技術(shù)人員來(lái)講,在不付出創(chuàng)造性勞動(dòng)的前提下,還可以根據(jù)這些附圖獲得其他的附圖。
[0024]圖1為本申請(qǐng)實(shí)施例中的一種進(jìn)行Radius認(rèn)證的結(jié)構(gòu)示意圖;
[0025]圖2為本申請(qǐng)實(shí)施例中的一種認(rèn)證方法流程圖之一;
[0026]圖3為本申請(qǐng)實(shí)施例中的一種認(rèn)證方法流程圖之二 ;
[0027]圖4為本申請(qǐng)實(shí)施例中的一種邊緣設(shè)備的結(jié)構(gòu)示意圖;
[0028]圖5為本申請(qǐng)實(shí)施例中的一種用戶設(shè)備的結(jié)構(gòu)示意圖。
【具體實(shí)施方式】
[0029]下面將結(jié)合本申請(qǐng)中的附圖,對(duì)本申請(qǐng)中的技術(shù)方案進(jìn)行清楚、完整的描述,顯然,所描述的實(shí)施例是本申請(qǐng)的一部分實(shí)施例,而不是全部的實(shí)施例。基于本申請(qǐng)中的實(shí)施例,本領(lǐng)域普通技術(shù)人員獲得的其他實(shí)施例,都屬于本申請(qǐng)保護(hù)的范圍。
[0030]如圖1所不,在現(xiàn)有技術(shù)中,用戶設(shè)備向邊緣設(shè)備發(fā)起IKE協(xié)商報(bào)文進(jìn)行IKE協(xié)商,當(dāng)IKE協(xié)商過(guò)程進(jìn)行到Transact1n交互階段時(shí),邊緣設(shè)備向用戶設(shè)備發(fā)送要求其輸入賬戶信息的請(qǐng)求報(bào)文,具體的,所述請(qǐng)求報(bào)文中有所述請(qǐng)求報(bào)文的屬性載荷,用以表示所述請(qǐng)求報(bào)文的相應(yīng)屬性,所述報(bào)文的屬性載荷如下:
[0031]請(qǐng)求報(bào)文的屬性載荷中的下一跳有效載荷Next Payload的值填充為0,表示沒(méi)有下一跳有效載荷;請(qǐng)求報(bào)文的屬性載荷中的有效載荷長(zhǎng)度Payload Length的值為所述請(qǐng)求報(bào)文的屬性載荷的長(zhǎng)度,用以表示所述請(qǐng)求報(bào)文的大??;該請(qǐng)求報(bào)文的屬性載荷中的類型Type的值為01,表示該請(qǐng)求報(bào)文的類型為ISAKMP_CFG_REQUEST ;該請(qǐng)求報(bào)文的屬性載荷中的標(biāo)識(shí)符Ientifier為所述邊緣設(shè)備分配隨機(jī)值,用于表示該請(qǐng)求報(bào)文的唯一性;該請(qǐng)求報(bào)文的屬性載荷中的屬性Attribute包括:XAUTH_USER_NAME(用戶名)屬性和XAUTH_USER_PASSW0RD (密碼)屬性,請(qǐng)求報(bào)文中的各個(gè)屬性包括Value項(xiàng)和填充項(xiàng)。Value項(xiàng)中的值,用于表示屬性類型,填充項(xiàng)中的值,用于表示該屬性類型對(duì)應(yīng)的填充值。具體的:XAUTH_USER_NAME屬性的Vaule項(xiàng)中可以填充4089(10進(jìn)制為16521),表示該屬性為:XAUTH_USER_NAME屬性,在XAUTH_USER_NAME屬性中的填充項(xiàng)中填充“0000”,表示用戶名為空(因?yàn)闆](méi)有用戶名,所以為空);XAUTH_USER_PASSWORD屬性的Value項(xiàng)中填充408a(10進(jìn)制為16522),表示該屬性為 XAUTH_USER_PASSWORD 屬性,在 XAUTH_USER_PASSWORD 屬性中的填充項(xiàng)中填充“0000”,表示密碼為空(因?yàn)闆](méi)有密碼,所以為空)。當(dāng)用戶設(shè)備接收到XAUTH_USER_NAME屬性和XAUTH_USER_PASSWORD屬性的填充項(xiàng)都為空的請(qǐng)求報(bào)文時(shí),便會(huì)向邊緣設(shè)備返回用戶名和密碼。
[0032]邊緣設(shè)備向用戶設(shè)備發(fā)送要求其輸入賬戶信息的請(qǐng)求報(bào)文,以使邊緣設(shè)備根據(jù)得到的賬戶信息進(jìn)行Radius認(rèn)證,但是這樣的認(rèn)證方式不能使用戶設(shè)備與賬戶信息形成一一對(duì)應(yīng)的關(guān)系,即無(wú)論哪個(gè)用戶設(shè)備發(fā)送正確的賬戶信息都能認(rèn)證通過(guò),這就使對(duì)賬戶信息有要求的用戶的信息安全不能得到有效的保證,即不能滿足特定賬戶在特定用戶設(shè)備上使用的要求。
[0033]本申請(qǐng)實(shí)施例中提供了一種認(rèn)證方法,用戶設(shè)備在發(fā)起IKE擴(kuò)展認(rèn)證協(xié)商的過(guò)程中,利用用戶設(shè)備的唯一標(biāo)識(shí)和賬戶信息進(jìn)行Radius認(rèn)證,如圖2所示,所述方法包括:
[0034]步驟201,邊緣設(shè)備向用戶設(shè)備發(fā)送請(qǐng)求報(bào)文;其中,該請(qǐng)求報(bào)文是邊緣設(shè)備根據(jù)用戶設(shè)備發(fā)送的IKE協(xié)商報(bào)文生成的。
[0035]該請(qǐng)求報(bào)文中攜帶有用于指示用戶設(shè)備將自身的唯一標(biāo)識(shí)攜帶在回應(yīng)報(bào)文中的字段信息。
[0036]其中,請(qǐng)求報(bào)文和回應(yīng)報(bào)文的具體結(jié)構(gòu)將在后續(xù)的例子中進(jìn)行介紹,在此不再贅述。
[0037]步驟202,邊緣設(shè)備接收