[发明专利]一种IKE协商中身份认证的方法及网络设备

说明书

本申请提供了一种因特网密钥交换IKE协商中身份认证的方法及网络设备。在一种IKE协商中身份认证的方法中，第一网络设备接收第二网络设备发送的IKE认证消息，向第三网络设备发送密钥请求消息，接收所述第三网络设备发送的密钥请求响应消息，根据所述密钥请求响应消息中的预共享密钥对所述第二网络设备进行身份认证，向所述第二网络设备发送IKE认证响应消息，所述IKE认证响应消息用于向所述第二网络设备证明所述第一网络设备的身份。通过本申请提供的方案，降低了对第一网络设备的性能要求，简化了第一网络设备上的配置，降低了维护难度。

技术领域

本申请涉及通信领域，尤其涉及一种IKE协商中身份认证的方法及网络设备。

背景技术

互联网协议安全(英文：Internet Protocol Security，IPSec)是对互联网协议(英文：Internet Protocol，IP)的分组进行加密和认证来保护IP协议传输的协议族。IPSec协议的交互包括两个阶段，第一阶段为因特网密钥交换(英文：Internet Key Exchange，IKE)协商，目的是为第二阶段的协议交互提供一条安全通道，保护第二阶段IPSec安全联盟(Security Associations，SA)的协商过程，第二阶段是基于第一阶段建立的安全通道协商IPSec SA，对IP报文进行加密或验证处理。

其中第一阶段IKE协商分为两步，第一步交换安全策略以及交换迪菲-赫尔曼(Diffie-Hellman，DH)信息，第二步进行双向身份认证。第二步双向身份认证目前通用的方式有两种：证书方式和预共享密钥方式。第一种证书方式需要维护一套公钥基础设施(英文：Public Key Infrastructure，PKI)系统，维护较为复杂；第二种预共享密钥方式需要在IPSec网关为每个用户接入的IPSec终端提前配置好预共享密钥，当用户数量巨大单个IPSec接入网关处理性能难以容纳所有用户时，需要将接入的IPSec终端提前分配到不同的IPSec网关上进行管理，但同时使用多个IPSec网关维护较为复杂。

发明内容

本申请提供了一种IKE协商中身份认证的方法及装置，有助于降低对网关设备的性能要求。

第一方面，提供了一种IKE协商中身份认证的方法。该方法包括：

第一网络设备接收第二网络设备发送的IKE认证消息，所述IKE认证消息包括所述第二网络设备的身份标识；该第一网络设备和第二网络设备例如分别是图1和图2中的设备B和设备A。

所述第一网络设备向第三网络设备发送密钥请求消息，所述密钥请求消息包括所述第二网络设备的身份标识；

所述第一网络设备接收所述第三网络设备发送的密钥请求响应消息，根据所述密钥请求响应消息中的预共享密钥对所述第二网络设备进行身份认证，所述预共享密钥对应于所述第二网络设备的身份标识；

所述第一网络设备向所述第二网络设备发送IKE认证响应消息，所述IKE认证响应消息用于向所述第二网络设备证明所述第一网络设备的身份。

以上IKE协商中身份认证的方法，第一网络设备动态从第三网络设备中获取预共享密钥，不需要预先配置大量预共享密钥。该方法降低了对第一网络设备的性能要求，且简化了第一网络设备上的配置，降低了维护难度。

可选地，所述IKE认证消息包括第一证明信息，所述第一证明信息是根据所述第二网络设备的身份标识和所述第二网络设备保存的预共享密钥确定的。第一证明信息可以被第二网络设备用来向第一网络设备证明身份，以供第一网络设备进行验证。