一种认证方法和设备的制造方法
一种认证方法和设备的制造方法
【技术领域】
[0001]本申请涉及网络技术领域,特别是涉及一种认证方法和设备。
【背景技术】
[0002]IPsec(Internet Protocol Security,网络协议安全)是 IETF (InternetEngineering Task Force,互联网工程任务组)制定的三层隧道加密协议,它为互联网上传输的数据提供了高质量的、基于密码学的安全保证,是一种传统的实现三层VPN(VirtualPrivate Network,虚拟专用网络)的安全技术。IPsec通过在特定通信方之间(例如两个安全网关之间)建立“通道”,来保护通信方之间传输的用户数据,该通道通常称为IPsec隧道。
[0003]IKE (Internet Key Exchange,互联网密钥交换)协议利用 ISAKMP (InternetSecurity Associat1n and Key Management Protocol,互联网安全联盟和密钥管理协议)语言定义密钥交换的过程,是一种对安全服务进行协商的手段。
[0004]用IPsec保护一个IP数据包之前,必选先建立一个IPsec SA(SecurityAssociat1n,安全联盟),IPsec SA可以手工创建或动态建立。IKE为IPsec提供了自动建立IPsec SA的服务。
[0005]在实现本申请的过程中,发明人发现现有技术至少存在如下问题:
[0006]对于政务这样安全性要求比较高的部门,要求设备和账户信息一一对应,但是目前的IKE扩展认证,多个设备可以使用同一个账户信息通过认证,无法实现设备和账户信息--对应,认证的安全性较低。
【发明内容】
[0007]本申请提供了一种认证方法,所述方法包括:
[0008]一种认证方法,所述方法包括:
[0009]边缘设备向用户设备发送请求报文;其中,所述请求报文是所述边缘设备根据所述用户设备发送的互联网秘钥交换IKE协商报文生成的;
[0010]所述边缘设备接收所述用户设备根据所述请求报文返回的回应报文,所述回应报文携带所述用户设备的唯一标识及所述用户设备对应的账户信息,所述账户信息包括:用户名和密码;
[0011]所述边缘设备根据所述用户设备的唯一标识及所述用户设备对应的账户信息进行远端用户拨入验证服务Radius认证。
[0012]一种认证方法,所述方法包括:
[0013]用户设备向边缘设备发送互联网秘钥交换IKE协商报文,以使所述边缘设备在收到所述IKE协商报文后返回请求报文;
[0014]所述用户设备根据接收到的所述请求报文向所述边缘设备发送回应报文,所述回应报文携带所述用户设备的唯一标识及所述用户设备对应的账户信息,所述账户信息包括:用户名和密码,以使所述边缘设备根据所述回应报文携带所述用户设备的唯一标识及所述用户设备对应的账户信息进行Radius认证。
[0015]一种边缘设备,所述设备包括:
[0016]发送模块,用于向用户设备发送请求报文;其中,所述请求报文是所述边缘设备根据所述用户设备发送的互联网秘钥交换IKE协商报文生成的;
[0017]接收模块,用于接收所述用户设备根据所述请求报文返回的回应报文,所述回应报文携带所述用户设备的唯一标识及所述用户设备对应的账户信息,所述账户信息包括:用户名和密码;
[0018]认证模块,用于根据所述用户设备的唯一标识及所述用户设备对应的账户信息进行远端用户拨入验证服务Radius认证。
[0019]一种用户设备,所述设备包括:
[0020]第一发送模块,用于向边缘设备发送互联网秘钥交换IKE协商报文,以使所述边缘设备在收到所述IKE协商报文后返回请求报文;
[0021]第二发送模块,用于根据接收到的所述请求报文向所述边缘设备发送回应报文,所述回应报文携带所述用户设备的唯一标识及所述用户设备对应的账户信息,所述账户信息包括:用户名和密码,以使所述边缘设备根据所述回应报文携带所述用户设备的唯一标识及所述用户设备对应的账户信息进行Radius认证。
[0022]本申请实施例中,边缘设备接收用户设备的唯一标识及用户设备对应的账户信息,并根据用户设备的唯一标识及用户设备对应的账户信息进行Radius认证,从而保证了用户设备和账户信息一一对应的关系,提高了认证的安全性。
【附图说明】
[0023]为了更清楚地说明本申请或现有技术中的技术方案,下面将对本申请或现有技术描述中所需要使用的附图作简单的介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
[0024]图1为本申请实施例中的一种进行Radius认证的结构示意图;
[0025]图2为本申请实施例中的一种认证方法流程图之一;
[0026]图3为本申请实施例中的一种认证方法流程图之二 ;
[0027]图4为本申请实施例中的一种边缘设备的结构示意图;
[0028]图5为本申请实施例中的一种用户设备的结构示意图。
【具体实施方式】
[0029]下面将结合本申请中的附图,对本申请中的技术方案进行清楚、完整的描述,显然,所描述的实施例是本申请的一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员获得的其他实施例,都属于本申请保护的范围。
[0030]如图1所不,在现有技术中,用户设备向边缘设备发起IKE协商报文进行IKE协商,当IKE协商过程进行到Transact1n交互阶段时,边缘设备向用户设备发送要求其输入账户信息的请求报文,具体的,所述请求报文中有所述请求报文的属性载荷,用以表示所述请求报文的相应属性,所述报文的属性载荷如下:
[0031]请求报文的属性载荷中的下一跳有效载荷Next Payload的值填充为0,表示没有下一跳有效载荷;请求报文的属性载荷中的有效载荷长度Payload Length的值为所述请求报文的属性载荷的长度,用以表示所述请求报文的大小;该请求报文的属性载荷中的类型Type的值为01,表示该请求报文的类型为ISAKMP_CFG_REQUEST ;该请求报文的属性载荷中的标识符Ientifier为所述边缘设备分配随机值,用于表示该请求报文的唯一性;该请求报文的属性载荷中的属性Attribute包括:XAUTH_USER_NAME(用户名)属性和XAUTH_USER_PASSW0RD (密码)属性,请求报文中的各个属性包括Value项和填充项。Value项中的值,用于表示属性类型,填充项中的值,用于表示该属性类型对应的填充值。具体的:XAUTH_USER_NAME属性的Vaule项中可以填充4089(10进制为16521),表示该属性为:XAUTH_USER_NAME属性,在XAUTH_USER_NAME属性中的填充项中填充“0000”,表示用户名为空(因为没有用户名,所以为空);XAUTH_USER_PASSWORD属性的Value项中填充408a(10进制为16522),表示该属性为 XAUTH_USER_PASSWORD 属性,在 XAUTH_USER_PASSWORD 属性中的填充项中填充“0000”,表示密码为空(因为没有密码,所以为空)。当用户设备接收到XAUTH_USER_NAME属性和XAUTH_USER_PASSWORD属性的填充项都为空的请求报文时,便会向边缘设备返回用户名和密码。
[0032]边缘设备向用户设备发送要求其输入账户信息的请求报文,以使边缘设备根据得到的账户信息进行Radius认证,但是这样的认证方式不能使用户设备与账户信息形成一一对应的关系,即无论哪个用户设备发送正确的账户信息都能认证通过,这就使对账户信息有要求的用户的信息安全不能得到有效的保证,即不能满足特定账户在特定用户设备上使用的要求。
[0033]本申请实施例中提供了一种认证方法,用户设备在发起IKE扩展认证协商的过程中,利用用户设备的唯一标识和账户信息进行Radius认证,如图2所示,所述方法包括:
[0034]步骤201,边缘设备向用户设备发送请求报文;其中,该请求报文是边缘设备根据用户设备发送的IKE协商报文生成的。
[0035]该请求报文中携带有用于指示用户设备将自身的唯一标识携带在回应报文中的字段信息。
[0036]其中,请求报文和回应报文的具体结构将在后续的例子中进行介绍,在此不再赘述。
[0037]步骤202,边缘设备接收 用户设备根据该请求报文返回的回应报文,该回应报文携带该用户设备的唯一标识及该用户设备对应的账户信息,该账户信息包括:用户名和密码。
[0038]其中,用户设备的唯一标识可以为用户设备的MAC地址,当然用户设备的唯一标识还可以为其他能够表示用户设备唯一性的信息。
[0039]步骤203,边缘设备根据用户设备的唯一标识及用户设备对应的账户信息进行远端用户拨入验证服务Radius认证。
[0040]边缘设备根据用户设备的唯一标识及用户设备对应的账户信息进行Radius认证,具体为:
[0041]边缘设备向Radius服务器发送认证报文,该认证报文携带用户设备的唯一标识及用户设备对应的账户信息;
[0042]边缘设备在接收到Radius服务器发送的对应于该认证报文的认证通过报文时,确定该用户设备认证通过。其中,认证通过报文是在Radius服务器确定本地维护的认证对应关系中存在该用户设备的唯一标识、该用户设备对应的账户信息包括的用户名及该用户设备对应的账户信息包括的密码三者之间的对应关系时发送的。
[0043]具体的,在Radius服务器中存储有预先设定的用户设备对应的唯一标识、用户设备对应的用户名以及用户设备对应的用户名的密码这三者之间的对应关系,当在Radius服务器在接受到的认证报文中携带的用户设备的唯一标识及账户信息中的用户名和密码与其存储的对应关系吻合时才能通过认证,并且,只要认证报文中携带的用户设备的唯一标识及账户信息中的用户名和密码其中之一与其存储的对应关系不吻合,则认证失败。同时,Radius服务器根据设定的用户设备对应的唯一标识、用户设备对应的用户名以及用户设备对应的用户名的密码这三者之间的对应关系时时更新对应关系。
[0044]边缘设备用所述用户设备的唯一标识和在用户设备对应的账户信息进行Radius认证,以使用户设备和用户设备的账户信息形成一一对应的关系,以达到特定的用户设备上只能使用特定的账户,特定的账户在特定的设备上才能登陆成功。
[0045]本申请还提供了一种认证方法,如图3所示,所述方法包括:
[0046]步骤301,用户设备向边缘设备发送IKE协商报文,以使所述边缘设备在收到所述IKE协商报文后返回请求报文。
[0047]步骤302,所述用户设备根据接收到的所述请求报文向所述边缘设备发送回应报文,所述回应报文携带所述用户设备的唯一标识及所述用户设备对应的账户信息,所述账户信息包括:用户名和密码,以使所述边缘设备根据所述回应报文携带所述用户设备的唯一标识及所述用户设备对应的账户信息进行Radius认证。
[0048]其中,所述用户设备的唯一标识可以为用户设备的MAC地址,当然所述用户设备唯一标识还可以为其他能够表示所述用户设备唯一性的信息。
[0049]所述请求报文中携带有用于指示所述用户设备将自身的唯一标识携带在所述回应报文中的字段信息。相应的,所述用户设备根据接收到的所述请求报文向所述边缘设备发送回应报文具体为:
[0050]所述用户设备根据所述请求报文携带的用于指示所述用户设备将自身的唯一标识携带在所述回应报文中的字段信息向所述边缘设备发送所述回应报文。其中,请求报文和回应报文的具体结构将在后续的例子中进行介绍,在此不再赘述。
[0051]为了进一步阐述本申请的技术思想,现结合具体的应用场景,对本申请的完整的技术方案进行说明。
[0052]用户设备向边缘设备发送IKE配置业务Configurat1n Transact1n协商报文,在IKE协商进行到Transact1n交互阶段时,边缘设备根据自身的设定来判断是否使用IKE协商用户绑定MAC地址功能;
[0053]如果不使用,边缘设备按照原有流程进行处理;
[0054]如果使用,边缘设备向用户设备发送Transact1n请求报文(为描述方便,后续简称请求报文),该请求报文中携带用于指示用户设备将自身的唯一标识携带在回应报文中的字段信息,例如:该字段信息可以是在请求报文的属性载荷中添加的一个属性,如将该属性称为 XAUTH_Calling_Stat1n_Id (唯一标识)属性,该 XAUTH_Calling_Stat1n_Id 属性的Value项可以填充4090 (10进制为16528),用于标识该属性为XAUTH_Calling_Stat1n_Id属性,填充项可以填充“0000”,表示唯一标识为空。可以理解的是,该请求报文的属性载荷中的属性Attribute还会包括填充项为空的XAUTH_USER_NAME属性和XAUTH_USER_PASSWORD 属性。
[0055]用户设备接收边缘设备发送的请求报文,判断该请求报文的属性载荷中是否包括XAUTH_Calling_Stat1n_Id属性且在请求报文的属性载荷中是否包括XAUTH_Calling_Stat1n_Id属性时判断XAUTH_Calling_Stat1n_Id属性的填充项是否为空。
[0056]如果该请求报文中的属性载荷中包括XAUTH_Calling_Stat1n_Id属性且XAUTH_CalIing_Stat1n_Id属性的填充项为空,则用户设备在回应报文的属性载荷中添加XAUTH_Calling_Stat1n_Id 属性,且在 XAUTH_Calling_Stat1n_Id 属性的 Value 项中填充4090,用于表示该属性为XAUTH_Calling_Stat1n_Id属性,在填充项中填充用户设备的MAC地址作为该用户设备的唯一标识。
[0057]可以理解的是,用户设备在确定请求报文的属性载荷包括填充项为空的XAUTH_USER_NAME属性和XAUTH_USER_PASSWORD属性时,还需要在回应报文的属性载荷中包括的XAUTH_USER_NAME属性的填充项中填充该用户设备对应的账户信息中的用户名,在回应报文的属性载荷中包括的XAUTH_USER_PASSWORD属性的填充项中填充该用户设备对应的账户信息中的密码。
[0058]用户设备将该回应报文发送给边缘设备。
[0059]边缘设备接收到回应报文后,判断该回应报文的属性载荷中是否包括XAUTH_Calling_Stat1n_Id属性且在回应报文的属性载荷中包括XAUTH_Calling_Stat1n_Id属性时判断XAUTH_Calling_Stat1n_Id属性的填充项是否为空。
[0060]如果回应报文的属性载荷中不包括XAUTH_Calling_Stat1n_Id属性,或回应报文的属性载荷中包括 XAUTH_CalIing_Stat1n_Id 属性但 XAUTH_CalIing_Stat1n_Id 属性的填充项为空,则协商失败。
[0061 ] 如果回应报文的属性载荷中包括XAUTH_CalIing_Stat1n_Id属性且XAUTH_Calling_Stat1n_Id属性的填充项不为空,则边缘设备将XAUTH_Calling_Stat1n_Id属性的填充项中的值表示的用户设备的MAC地址、XAUTH_USER_NAME属性的填充项中的值表示的用户名和XAUTH_USER_PASSWORD属性的填充项中的值表示的密码(即账户信息)携带在认证报文中发送给Radius服务器进行Radius认证。
[0062]边缘设备根据Radius服务器下发的认证报文对应的回复报文判断Radius认证是否通过,如果不通过则协商失败;如果通过,边缘设备则继续进行后续协商。
[0063]具体的,在Radius服务器中存储有预先设定的用户设备的MAC地址、用户设备对应的用户名以及用户设备对应的用户名的密码这三者之间的对应关系,当在Radius服务器在接收到的认证报文后,确定认证报文携带的用户设备的MAC地址及账户信息中的用户名和密码与其存储的对应关系吻合时才能通过认证,并且,只要认证报文中携带的用户设备的MAC地址及账户信息中的用户名和密码其中之一与其存储的对应关系不吻合,则认证失败。
[0064]本申请实施例中,边缘设备接收用户设备的唯一标识及用户设备对应的账户信息,并根据用户设备的唯一标识及用户设备对应的账户信息进行Radius认证,从而保证了用户设备和账户信息一一对应的关系,提高了认证的安全性。
[0065]基于与上述方法同样的申请构思,本申请还提出了一种边缘设备,如图4所述,该设备包括:
[0066]发送模块41,用于向用户设备发送请求报文;其中,所述请求报文是所述边缘设备根据所述用户设备发送的IKE协商报文生成的;
[0067]接收模块42,用于接收所述用户设备根据所述请求报文返回的回应报文,所述 回应报文携带所述用户设备的唯一标识及所述用户设备对应的账户信息,所述账户信息包括:用户名和密码;
[0068]认证模块43,用于根据所述用户设备的唯一标识及所述用户设备对应的账户信息进行远端用户拨入验证服务Radius认证。
[0069]所述请求报文中携带有用于指示所述用户设备将自身的唯一标识携带在所述回应报文中的字段信息。
[0070]所述认证模块43,具体用于:
[0071]向Radius服务器发送认证报文,所述认证报文携带所述用户设备的唯一标识及所述用户设备对应的账户信息;
[0072]在接收到所述Radius服务器发送的对应于所述认证报文的认证通过报文时,确定所述用户设备认证通过,其中,所述认证通过报文是在所述Radius服务器确定本地维护的认证对应关系中存在所述用户设备的唯一标识、所述用户设备对应的账户信息包括的用户名及所述用户设备对应的账户信息包括的密码三者之间的对应关系时发送的。
[0073]基于与上述方法同样的申请构思,本申请还提出了一种用户设备,如图5所述,该设备包括:
[0074]第一发送模块51,用于向边缘设备发送IKE协商报文,以使所述边缘设备在收到所述IKE协商报文后返回请求报文。
[0075]第二发送模块52,用于根据接收到的所述请求报文向所述边缘设备发送回应报文,所述回应报文携带所述用户设备的唯一标识及所述用户设备对应的账户信息,所述账户信息包括:用户名和密码,以使所述边缘设备根据所述回应报文携带所述用户设备的唯一标识及所述用户设备对应的账户信息进行Radius认证。
[0076]所述请求报文中携带有用于指示所述用户设备将自身的唯一标识携带在所述回应报文中的字段信息;
[0077]所述第二发送模块,具体用于:
[0078]根据所述请求报文携带的用于指示所述用户设备将自身的唯一标识携带在所述回应报文中的字段信息向所述边缘设备发送所述回应报文。
[0079]本申请实施例中,边缘设备接收用户设备的唯一标识及用户设备对应的账户信息,并根据用户设备的唯一标识及用户设备对应的账户信息进行Radius认证,从而保证了用户设备和账户信息一一对应的关系,提高了认证的安全性。
[0080]通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到本申请可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台终端设备(可以是手机,个人计算机,服务器,或者网络设备等)执行本申请各个实施例所述的方法。
[0081]以上所述仅是本申请的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本申请原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也应视本申请的保护范围。
[0082]本领域技术人员可以理解实施例中的装置中的模块可以按照实施例描述进行分布于实施例的装置中,也可以进行相应变化位于不同于本实施例的一个或多个装置中。上述实施例的模块可以集成于一体,也可以分离部署;可以合并为一个模块,也可以进一步拆分成多个子模块。上述本申请实施例序号仅仅为了描述,不代表实施例的优劣。
[0083]以上公开的仅为本申请的几个具体实施例,但是,本申请并非局限于此,任何本领域的技术人员能思之的变化都应落入本申请的保护范围。
【主权项】
1.一种认证方法,其特征在于,所述方法包括: 边缘设备向用户设备发送请求报文;其中,所述请求报文是所述边缘设备根据所述用户设备发送的互联网秘钥交换IKE协商报文生成的; 所述边缘设备接收所述用户设备根据所述请求报文返回的回应报文,所述回应报文携带所述用户设备的唯一标识及所述用户设备对应的账户信息,所述账户信息包括:用户名和密码; 所述边缘设备根据所述用户设备的唯一标识及所述用户设备对应的账户信息进行远端用户拨入验证服务Radius认证。2.如权利要求1所述方法,其特征在于,所述请求报文中携带有用于指示所述用户设备将自身的唯一标识携带在所述回应报文中的字段信息。3.如权利要求1所述方法,其特征在于,所述边缘设备根据用户设备的唯一标识及所述用户设备对应的账户信息进行Radius认证,具体为: 所述边缘设备向Radius服务器发送认证报文,所述认证报文携带所述用户设备的唯一标识及所述用户设备对应的账户信息; 所述边缘设备在接收到所述Radius服务器发送的对应于所述认证报文的认证通过报文时,确定所述用户设备认证通过,其中,所述认证通过报文是在所述Radius服务器确定本地维护的认证对应关系中存在所述用户设备的唯一标识、所述用户设备对应的账户信息包括的用户名及所述用户设备对应的账户信息包括的密码三者之间的对应关系时发送的。4.一种认证方法,其特征在于,所述方法包括: 用户设备向边缘设备发送IKE协商报文,以使所述边缘设备在收到所述IKE协商报文后返回请求报文; 所述用户设备根据接收到的所述请求报文向所述边缘设备发送回应报文,所述回应报文携带所述用户设备的唯一标识及所述用户设备对应的账户信息,所述账户信息包括:用户名和密码,以使所述边缘设备根据所述回应报文携带所述用户设备的唯一标识及所述用户设备对应的账户信息进行Radius认证。5.如权利要求4所述的方法,其特征在于,所述请求报文中携带有用于指示所述用户设备将自身的唯一标识携带在所述回应报文中的字段信息; 所述用户设备根据接收到的所述请求报文向所述边缘设备发送回应报文具体为: 所述用户设备根据所述请求报文携带的用于指示所述用户设备将自身的唯一标识携带在所述回应报文中的字段信息向所述边缘设备发送所述回应报文。6.一种边缘设备,其特征在于,所述设备包括: 发送模块,用于向用户设备发送请求报文;其中,所述请求报文是所述边缘设备根据所述用户设备发送的IKE协商报文生成的; 接收模块,用于接收所述用户设备根据所述请求报文返回的回应报文,所述回应报文携带所述用户设备的唯一标识及所述用户设备对应的账户信息,所述账户信息包括:用户名和密码; 认证模块,用于根据所述用户设备的唯一标识及所述用户设备对应的账户信息进行远端用户拨入验证服务Radius认证。7.如权利要求6所述设备,其特征在于,所述请求报文中携带有用于指示所述用户设备将自身的唯一标识携带在所述回应报文中的字段信息。8.如权利要求6所述设备,其特征在于,所述认证模块,具体用于: 向Radius服务器发送认证报文,所述认证报文携带所述用户设备的唯一标识及所述用户设备对应的账户信息; 在接收到所述Radius服务器发送的对应于所述认证报文的认证通过报文时,确定所述用户设备认证通过,其中,所述认证通过报文是在所述Radius服务器确定本地维护的认证对应关系中存在所述用户设备的唯一标识、所述用户设备对应的账户信息包括的用户名及所述用户设备对应的账户信息包括的密码三者之间的对应关系时发送的。9.一种用户设备,其特征在于,所述设备包括: 第一发送模块,用于向边缘设备发送IKE协商报文,以使所述边缘设备在收到所述IKE协商报文后返回请求报文; 第二发送模块,用于根据接收到的所述请求报文向所述边缘设备发送回应报文,所述回应报文携带所述用户设备的唯一标识及所述用户设备对应的账户信息,所述账户信息包括:用户名和密码,以使所述边缘设备根据所述回应报文携带所述用户设备的唯一标识及所述用户设备对应的账户信息进行Radius认证。10.如权利要求9所述的设备,其特征在于,所述请求报文中携带有用于指示所述用户设备将自身的唯一标识携带在所述回应报文中的字段信息; 所述第二发送模块,具体用于: 根据所述请求报文携带的用于指示所述用户设备将自身的唯一标识携带在所述回应报文中的字段信息向所述边缘设备发送所述回应报文。
【专利摘要】本申请公开了一种认证方法,该方法包括:边缘设备向用户设备发送请求报文;所述边缘设备接收所述用户设备根据所述请求报文返回的回应报文,所述回应报文携带所述用户设备的唯一标识及所述用户设备对应的账户信息,所述账户信息包括:用户名和密码;所述边缘设备根据所述用户设备的唯一标识及所述用户设备对应的账户信息进行远端用户拨入验证服务Radius认证。
【IPC分类】H04L9/08, H04L29/06
【公开号】CN104901796
【申请号】CN201510297630
【发明人】张太博, 董瑶
【申请人】杭州华三通信技术有限公司
【公开日】2015年9月9日
【申请日】2015年6月2日
【技术领域】
[0001]本申请涉及网络技术领域,特别是涉及一种认证方法和设备。
【背景技术】
[0002]IPsec(Internet Protocol Security,网络协议安全)是 IETF (InternetEngineering Task Force,互联网工程任务组)制定的三层隧道加密协议,它为互联网上传输的数据提供了高质量的、基于密码学的安全保证,是一种传统的实现三层VPN(VirtualPrivate Network,虚拟专用网络)的安全技术。IPsec通过在特定通信方之间(例如两个安全网关之间)建立“通道”,来保护通信方之间传输的用户数据,该通道通常称为IPsec隧道。
[0003]IKE (Internet Key Exchange,互联网密钥交换)协议利用 ISAKMP (InternetSecurity Associat1n and Key Management Protocol,互联网安全联盟和密钥管理协议)语言定义密钥交换的过程,是一种对安全服务进行协商的手段。
[0004]用IPsec保护一个IP数据包之前,必选先建立一个IPsec SA(SecurityAssociat1n,安全联盟),IPsec SA可以手工创建或动态建立。IKE为IPsec提供了自动建立IPsec SA的服务。
[0005]在实现本申请的过程中,发明人发现现有技术至少存在如下问题:
[0006]对于政务这样安全性要求比较高的部门,要求设备和账户信息一一对应,但是目前的IKE扩展认证,多个设备可以使用同一个账户信息通过认证,无法实现设备和账户信息--对应,认证的安全性较低。
【发明内容】
[0007]本申请提供了一种认证方法,所述方法包括:
[0008]一种认证方法,所述方法包括:
[0009]边缘设备向用户设备发送请求报文;其中,所述请求报文是所述边缘设备根据所述用户设备发送的互联网秘钥交换IKE协商报文生成的;
[0010]所述边缘设备接收所述用户设备根据所述请求报文返回的回应报文,所述回应报文携带所述用户设备的唯一标识及所述用户设备对应的账户信息,所述账户信息包括:用户名和密码;
[0011]所述边缘设备根据所述用户设备的唯一标识及所述用户设备对应的账户信息进行远端用户拨入验证服务Radius认证。
[0012]一种认证方法,所述方法包括:
[0013]用户设备向边缘设备发送互联网秘钥交换IKE协商报文,以使所述边缘设备在收到所述IKE协商报文后返回请求报文;
[0014]所述用户设备根据接收到的所述请求报文向所述边缘设备发送回应报文,所述回应报文携带所述用户设备的唯一标识及所述用户设备对应的账户信息,所述账户信息包括:用户名和密码,以使所述边缘设备根据所述回应报文携带所述用户设备的唯一标识及所述用户设备对应的账户信息进行Radius认证。
[0015]一种边缘设备,所述设备包括:
[0016]发送模块,用于向用户设备发送请求报文;其中,所述请求报文是所述边缘设备根据所述用户设备发送的互联网秘钥交换IKE协商报文生成的;
[0017]接收模块,用于接收所述用户设备根据所述请求报文返回的回应报文,所述回应报文携带所述用户设备的唯一标识及所述用户设备对应的账户信息,所述账户信息包括:用户名和密码;
[0018]认证模块,用于根据所述用户设备的唯一标识及所述用户设备对应的账户信息进行远端用户拨入验证服务Radius认证。
[0019]一种用户设备,所述设备包括:
[0020]第一发送模块,用于向边缘设备发送互联网秘钥交换IKE协商报文,以使所述边缘设备在收到所述IKE协商报文后返回请求报文;
[0021]第二发送模块,用于根据接收到的所述请求报文向所述边缘设备发送回应报文,所述回应报文携带所述用户设备的唯一标识及所述用户设备对应的账户信息,所述账户信息包括:用户名和密码,以使所述边缘设备根据所述回应报文携带所述用户设备的唯一标识及所述用户设备对应的账户信息进行Radius认证。
[0022]本申请实施例中,边缘设备接收用户设备的唯一标识及用户设备对应的账户信息,并根据用户设备的唯一标识及用户设备对应的账户信息进行Radius认证,从而保证了用户设备和账户信息一一对应的关系,提高了认证的安全性。
【附图说明】
[0023]为了更清楚地说明本申请或现有技术中的技术方案,下面将对本申请或现有技术描述中所需要使用的附图作简单的介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
[0024]图1为本申请实施例中的一种进行Radius认证的结构示意图;
[0025]图2为本申请实施例中的一种认证方法流程图之一;
[0026]图3为本申请实施例中的一种认证方法流程图之二 ;
[0027]图4为本申请实施例中的一种边缘设备的结构示意图;
[0028]图5为本申请实施例中的一种用户设备的结构示意图。
【具体实施方式】
[0029]下面将结合本申请中的附图,对本申请中的技术方案进行清楚、完整的描述,显然,所描述的实施例是本申请的一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员获得的其他实施例,都属于本申请保护的范围。
[0030]如图1所不,在现有技术中,用户设备向边缘设备发起IKE协商报文进行IKE协商,当IKE协商过程进行到Transact1n交互阶段时,边缘设备向用户设备发送要求其输入账户信息的请求报文,具体的,所述请求报文中有所述请求报文的属性载荷,用以表示所述请求报文的相应属性,所述报文的属性载荷如下:
[0031]请求报文的属性载荷中的下一跳有效载荷Next Payload的值填充为0,表示没有下一跳有效载荷;请求报文的属性载荷中的有效载荷长度Payload Length的值为所述请求报文的属性载荷的长度,用以表示所述请求报文的大小;该请求报文的属性载荷中的类型Type的值为01,表示该请求报文的类型为ISAKMP_CFG_REQUEST ;该请求报文的属性载荷中的标识符Ientifier为所述边缘设备分配随机值,用于表示该请求报文的唯一性;该请求报文的属性载荷中的属性Attribute包括:XAUTH_USER_NAME(用户名)属性和XAUTH_USER_PASSW0RD (密码)属性,请求报文中的各个属性包括Value项和填充项。Value项中的值,用于表示属性类型,填充项中的值,用于表示该属性类型对应的填充值。具体的:XAUTH_USER_NAME属性的Vaule项中可以填充4089(10进制为16521),表示该属性为:XAUTH_USER_NAME属性,在XAUTH_USER_NAME属性中的填充项中填充“0000”,表示用户名为空(因为没有用户名,所以为空);XAUTH_USER_PASSWORD属性的Value项中填充408a(10进制为16522),表示该属性为 XAUTH_USER_PASSWORD 属性,在 XAUTH_USER_PASSWORD 属性中的填充项中填充“0000”,表示密码为空(因为没有密码,所以为空)。当用户设备接收到XAUTH_USER_NAME属性和XAUTH_USER_PASSWORD属性的填充项都为空的请求报文时,便会向边缘设备返回用户名和密码。
[0032]边缘设备向用户设备发送要求其输入账户信息的请求报文,以使边缘设备根据得到的账户信息进行Radius认证,但是这样的认证方式不能使用户设备与账户信息形成一一对应的关系,即无论哪个用户设备发送正确的账户信息都能认证通过,这就使对账户信息有要求的用户的信息安全不能得到有效的保证,即不能满足特定账户在特定用户设备上使用的要求。
[0033]本申请实施例中提供了一种认证方法,用户设备在发起IKE扩展认证协商的过程中,利用用户设备的唯一标识和账户信息进行Radius认证,如图2所示,所述方法包括:
[0034]步骤201,边缘设备向用户设备发送请求报文;其中,该请求报文是边缘设备根据用户设备发送的IKE协商报文生成的。
[0035]该请求报文中携带有用于指示用户设备将自身的唯一标识携带在回应报文中的字段信息。
[0036]其中,请求报文和回应报文的具体结构将在后续的例子中进行介绍,在此不再赘述。
[0037]步骤202,边缘设备接收 用户设备根据该请求报文返回的回应报文,该回应报文携带该用户设备的唯一标识及该用户设备对应的账户信息,该账户信息包括:用户名和密码。
[0038]其中,用户设备的唯一标识可以为用户设备的MAC地址,当然用户设备的唯一标识还可以为其他能够表示用户设备唯一性的信息。
[0039]步骤203,边缘设备根据用户设备的唯一标识及用户设备对应的账户信息进行远端用户拨入验证服务Radius认证。
[0040]边缘设备根据用户设备的唯一标识及用户设备对应的账户信息进行Radius认证,具体为:
[0041]边缘设备向Radius服务器发送认证报文,该认证报文携带用户设备的唯一标识及用户设备对应的账户信息;
[0042]边缘设备在接收到Radius服务器发送的对应于该认证报文的认证通过报文时,确定该用户设备认证通过。其中,认证通过报文是在Radius服务器确定本地维护的认证对应关系中存在该用户设备的唯一标识、该用户设备对应的账户信息包括的用户名及该用户设备对应的账户信息包括的密码三者之间的对应关系时发送的。
[0043]具体的,在Radius服务器中存储有预先设定的用户设备对应的唯一标识、用户设备对应的用户名以及用户设备对应的用户名的密码这三者之间的对应关系,当在Radius服务器在接受到的认证报文中携带的用户设备的唯一标识及账户信息中的用户名和密码与其存储的对应关系吻合时才能通过认证,并且,只要认证报文中携带的用户设备的唯一标识及账户信息中的用户名和密码其中之一与其存储的对应关系不吻合,则认证失败。同时,Radius服务器根据设定的用户设备对应的唯一标识、用户设备对应的用户名以及用户设备对应的用户名的密码这三者之间的对应关系时时更新对应关系。
[0044]边缘设备用所述用户设备的唯一标识和在用户设备对应的账户信息进行Radius认证,以使用户设备和用户设备的账户信息形成一一对应的关系,以达到特定的用户设备上只能使用特定的账户,特定的账户在特定的设备上才能登陆成功。
[0045]本申请还提供了一种认证方法,如图3所示,所述方法包括:
[0046]步骤301,用户设备向边缘设备发送IKE协商报文,以使所述边缘设备在收到所述IKE协商报文后返回请求报文。
[0047]步骤302,所述用户设备根据接收到的所述请求报文向所述边缘设备发送回应报文,所述回应报文携带所述用户设备的唯一标识及所述用户设备对应的账户信息,所述账户信息包括:用户名和密码,以使所述边缘设备根据所述回应报文携带所述用户设备的唯一标识及所述用户设备对应的账户信息进行Radius认证。
[0048]其中,所述用户设备的唯一标识可以为用户设备的MAC地址,当然所述用户设备唯一标识还可以为其他能够表示所述用户设备唯一性的信息。
[0049]所述请求报文中携带有用于指示所述用户设备将自身的唯一标识携带在所述回应报文中的字段信息。相应的,所述用户设备根据接收到的所述请求报文向所述边缘设备发送回应报文具体为:
[0050]所述用户设备根据所述请求报文携带的用于指示所述用户设备将自身的唯一标识携带在所述回应报文中的字段信息向所述边缘设备发送所述回应报文。其中,请求报文和回应报文的具体结构将在后续的例子中进行介绍,在此不再赘述。
[0051]为了进一步阐述本申请的技术思想,现结合具体的应用场景,对本申请的完整的技术方案进行说明。
[0052]用户设备向边缘设备发送IKE配置业务Configurat1n Transact1n协商报文,在IKE协商进行到Transact1n交互阶段时,边缘设备根据自身的设定来判断是否使用IKE协商用户绑定MAC地址功能;
[0053]如果不使用,边缘设备按照原有流程进行处理;
[0054]如果使用,边缘设备向用户设备发送Transact1n请求报文(为描述方便,后续简称请求报文),该请求报文中携带用于指示用户设备将自身的唯一标识携带在回应报文中的字段信息,例如:该字段信息可以是在请求报文的属性载荷中添加的一个属性,如将该属性称为 XAUTH_Calling_Stat1n_Id (唯一标识)属性,该 XAUTH_Calling_Stat1n_Id 属性的Value项可以填充4090 (10进制为16528),用于标识该属性为XAUTH_Calling_Stat1n_Id属性,填充项可以填充“0000”,表示唯一标识为空。可以理解的是,该请求报文的属性载荷中的属性Attribute还会包括填充项为空的XAUTH_USER_NAME属性和XAUTH_USER_PASSWORD 属性。
[0055]用户设备接收边缘设备发送的请求报文,判断该请求报文的属性载荷中是否包括XAUTH_Calling_Stat1n_Id属性且在请求报文的属性载荷中是否包括XAUTH_Calling_Stat1n_Id属性时判断XAUTH_Calling_Stat1n_Id属性的填充项是否为空。
[0056]如果该请求报文中的属性载荷中包括XAUTH_Calling_Stat1n_Id属性且XAUTH_CalIing_Stat1n_Id属性的填充项为空,则用户设备在回应报文的属性载荷中添加XAUTH_Calling_Stat1n_Id 属性,且在 XAUTH_Calling_Stat1n_Id 属性的 Value 项中填充4090,用于表示该属性为XAUTH_Calling_Stat1n_Id属性,在填充项中填充用户设备的MAC地址作为该用户设备的唯一标识。
[0057]可以理解的是,用户设备在确定请求报文的属性载荷包括填充项为空的XAUTH_USER_NAME属性和XAUTH_USER_PASSWORD属性时,还需要在回应报文的属性载荷中包括的XAUTH_USER_NAME属性的填充项中填充该用户设备对应的账户信息中的用户名,在回应报文的属性载荷中包括的XAUTH_USER_PASSWORD属性的填充项中填充该用户设备对应的账户信息中的密码。
[0058]用户设备将该回应报文发送给边缘设备。
[0059]边缘设备接收到回应报文后,判断该回应报文的属性载荷中是否包括XAUTH_Calling_Stat1n_Id属性且在回应报文的属性载荷中包括XAUTH_Calling_Stat1n_Id属性时判断XAUTH_Calling_Stat1n_Id属性的填充项是否为空。
[0060]如果回应报文的属性载荷中不包括XAUTH_Calling_Stat1n_Id属性,或回应报文的属性载荷中包括 XAUTH_CalIing_Stat1n_Id 属性但 XAUTH_CalIing_Stat1n_Id 属性的填充项为空,则协商失败。
[0061 ] 如果回应报文的属性载荷中包括XAUTH_CalIing_Stat1n_Id属性且XAUTH_Calling_Stat1n_Id属性的填充项不为空,则边缘设备将XAUTH_Calling_Stat1n_Id属性的填充项中的值表示的用户设备的MAC地址、XAUTH_USER_NAME属性的填充项中的值表示的用户名和XAUTH_USER_PASSWORD属性的填充项中的值表示的密码(即账户信息)携带在认证报文中发送给Radius服务器进行Radius认证。
[0062]边缘设备根据Radius服务器下发的认证报文对应的回复报文判断Radius认证是否通过,如果不通过则协商失败;如果通过,边缘设备则继续进行后续协商。
[0063]具体的,在Radius服务器中存储有预先设定的用户设备的MAC地址、用户设备对应的用户名以及用户设备对应的用户名的密码这三者之间的对应关系,当在Radius服务器在接收到的认证报文后,确定认证报文携带的用户设备的MAC地址及账户信息中的用户名和密码与其存储的对应关系吻合时才能通过认证,并且,只要认证报文中携带的用户设备的MAC地址及账户信息中的用户名和密码其中之一与其存储的对应关系不吻合,则认证失败。
[0064]本申请实施例中,边缘设备接收用户设备的唯一标识及用户设备对应的账户信息,并根据用户设备的唯一标识及用户设备对应的账户信息进行Radius认证,从而保证了用户设备和账户信息一一对应的关系,提高了认证的安全性。
[0065]基于与上述方法同样的申请构思,本申请还提出了一种边缘设备,如图4所述,该设备包括:
[0066]发送模块41,用于向用户设备发送请求报文;其中,所述请求报文是所述边缘设备根据所述用户设备发送的IKE协商报文生成的;
[0067]接收模块42,用于接收所述用户设备根据所述请求报文返回的回应报文,所述 回应报文携带所述用户设备的唯一标识及所述用户设备对应的账户信息,所述账户信息包括:用户名和密码;
[0068]认证模块43,用于根据所述用户设备的唯一标识及所述用户设备对应的账户信息进行远端用户拨入验证服务Radius认证。
[0069]所述请求报文中携带有用于指示所述用户设备将自身的唯一标识携带在所述回应报文中的字段信息。
[0070]所述认证模块43,具体用于:
[0071]向Radius服务器发送认证报文,所述认证报文携带所述用户设备的唯一标识及所述用户设备对应的账户信息;
[0072]在接收到所述Radius服务器发送的对应于所述认证报文的认证通过报文时,确定所述用户设备认证通过,其中,所述认证通过报文是在所述Radius服务器确定本地维护的认证对应关系中存在所述用户设备的唯一标识、所述用户设备对应的账户信息包括的用户名及所述用户设备对应的账户信息包括的密码三者之间的对应关系时发送的。
[0073]基于与上述方法同样的申请构思,本申请还提出了一种用户设备,如图5所述,该设备包括:
[0074]第一发送模块51,用于向边缘设备发送IKE协商报文,以使所述边缘设备在收到所述IKE协商报文后返回请求报文。
[0075]第二发送模块52,用于根据接收到的所述请求报文向所述边缘设备发送回应报文,所述回应报文携带所述用户设备的唯一标识及所述用户设备对应的账户信息,所述账户信息包括:用户名和密码,以使所述边缘设备根据所述回应报文携带所述用户设备的唯一标识及所述用户设备对应的账户信息进行Radius认证。
[0076]所述请求报文中携带有用于指示所述用户设备将自身的唯一标识携带在所述回应报文中的字段信息;
[0077]所述第二发送模块,具体用于:
[0078]根据所述请求报文携带的用于指示所述用户设备将自身的唯一标识携带在所述回应报文中的字段信息向所述边缘设备发送所述回应报文。
[0079]本申请实施例中,边缘设备接收用户设备的唯一标识及用户设备对应的账户信息,并根据用户设备的唯一标识及用户设备对应的账户信息进行Radius认证,从而保证了用户设备和账户信息一一对应的关系,提高了认证的安全性。
[0080]通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到本申请可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台终端设备(可以是手机,个人计算机,服务器,或者网络设备等)执行本申请各个实施例所述的方法。
[0081]以上所述仅是本申请的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本申请原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也应视本申请的保护范围。
[0082]本领域技术人员可以理解实施例中的装置中的模块可以按照实施例描述进行分布于实施例的装置中,也可以进行相应变化位于不同于本实施例的一个或多个装置中。上述实施例的模块可以集成于一体,也可以分离部署;可以合并为一个模块,也可以进一步拆分成多个子模块。上述本申请实施例序号仅仅为了描述,不代表实施例的优劣。
[0083]以上公开的仅为本申请的几个具体实施例,但是,本申请并非局限于此,任何本领域的技术人员能思之的变化都应落入本申请的保护范围。
【主权项】
1.一种认证方法,其特征在于,所述方法包括: 边缘设备向用户设备发送请求报文;其中,所述请求报文是所述边缘设备根据所述用户设备发送的互联网秘钥交换IKE协商报文生成的; 所述边缘设备接收所述用户设备根据所述请求报文返回的回应报文,所述回应报文携带所述用户设备的唯一标识及所述用户设备对应的账户信息,所述账户信息包括:用户名和密码; 所述边缘设备根据所述用户设备的唯一标识及所述用户设备对应的账户信息进行远端用户拨入验证服务Radius认证。2.如权利要求1所述方法,其特征在于,所述请求报文中携带有用于指示所述用户设备将自身的唯一标识携带在所述回应报文中的字段信息。3.如权利要求1所述方法,其特征在于,所述边缘设备根据用户设备的唯一标识及所述用户设备对应的账户信息进行Radius认证,具体为: 所述边缘设备向Radius服务器发送认证报文,所述认证报文携带所述用户设备的唯一标识及所述用户设备对应的账户信息; 所述边缘设备在接收到所述Radius服务器发送的对应于所述认证报文的认证通过报文时,确定所述用户设备认证通过,其中,所述认证通过报文是在所述Radius服务器确定本地维护的认证对应关系中存在所述用户设备的唯一标识、所述用户设备对应的账户信息包括的用户名及所述用户设备对应的账户信息包括的密码三者之间的对应关系时发送的。4.一种认证方法,其特征在于,所述方法包括: 用户设备向边缘设备发送IKE协商报文,以使所述边缘设备在收到所述IKE协商报文后返回请求报文; 所述用户设备根据接收到的所述请求报文向所述边缘设备发送回应报文,所述回应报文携带所述用户设备的唯一标识及所述用户设备对应的账户信息,所述账户信息包括:用户名和密码,以使所述边缘设备根据所述回应报文携带所述用户设备的唯一标识及所述用户设备对应的账户信息进行Radius认证。5.如权利要求4所述的方法,其特征在于,所述请求报文中携带有用于指示所述用户设备将自身的唯一标识携带在所述回应报文中的字段信息; 所述用户设备根据接收到的所述请求报文向所述边缘设备发送回应报文具体为: 所述用户设备根据所述请求报文携带的用于指示所述用户设备将自身的唯一标识携带在所述回应报文中的字段信息向所述边缘设备发送所述回应报文。6.一种边缘设备,其特征在于,所述设备包括: 发送模块,用于向用户设备发送请求报文;其中,所述请求报文是所述边缘设备根据所述用户设备发送的IKE协商报文生成的; 接收模块,用于接收所述用户设备根据所述请求报文返回的回应报文,所述回应报文携带所述用户设备的唯一标识及所述用户设备对应的账户信息,所述账户信息包括:用户名和密码; 认证模块,用于根据所述用户设备的唯一标识及所述用户设备对应的账户信息进行远端用户拨入验证服务Radius认证。7.如权利要求6所述设备,其特征在于,所述请求报文中携带有用于指示所述用户设备将自身的唯一标识携带在所述回应报文中的字段信息。8.如权利要求6所述设备,其特征在于,所述认证模块,具体用于: 向Radius服务器发送认证报文,所述认证报文携带所述用户设备的唯一标识及所述用户设备对应的账户信息; 在接收到所述Radius服务器发送的对应于所述认证报文的认证通过报文时,确定所述用户设备认证通过,其中,所述认证通过报文是在所述Radius服务器确定本地维护的认证对应关系中存在所述用户设备的唯一标识、所述用户设备对应的账户信息包括的用户名及所述用户设备对应的账户信息包括的密码三者之间的对应关系时发送的。9.一种用户设备,其特征在于,所述设备包括: 第一发送模块,用于向边缘设备发送IKE协商报文,以使所述边缘设备在收到所述IKE协商报文后返回请求报文; 第二发送模块,用于根据接收到的所述请求报文向所述边缘设备发送回应报文,所述回应报文携带所述用户设备的唯一标识及所述用户设备对应的账户信息,所述账户信息包括:用户名和密码,以使所述边缘设备根据所述回应报文携带所述用户设备的唯一标识及所述用户设备对应的账户信息进行Radius认证。10.如权利要求9所述的设备,其特征在于,所述请求报文中携带有用于指示所述用户设备将自身的唯一标识携带在所述回应报文中的字段信息; 所述第二发送模块,具体用于: 根据所述请求报文携带的用于指示所述用户设备将自身的唯一标识携带在所述回应报文中的字段信息向所述边缘设备发送所述回应报文。
【专利摘要】本申请公开了一种认证方法,该方法包括:边缘设备向用户设备发送请求报文;所述边缘设备接收所述用户设备根据所述请求报文返回的回应报文,所述回应报文携带所述用户设备的唯一标识及所述用户设备对应的账户信息,所述账户信息包括:用户名和密码;所述边缘设备根据所述用户设备的唯一标识及所述用户设备对应的账户信息进行远端用户拨入验证服务Radius认证。
【IPC分类】H04L9/08, H04L29/06
【公开号】CN104901796
【申请号】CN201510297630
【发明人】张太博, 董瑶
【申请人】杭州华三通信技术有限公司
【公开日】2015年9月9日
【申请日】2015年6月2日
最新回复(0)