技術領域

本發明涉及通信網絡安全領域，具體涉及一種IKE(InternetKeyExchange，因特網密鑰交換協議)認證方法、IKE發起終端、IKE響應終端及IKE認證系統。

背景技術

隨著因特網的高速發展，IP網絡逐漸成為人們日常工作和生活中必不可少的工具，而在IP網絡上進行數據傳輸的安全性保證的需求也日趨強烈。眾所周知，IP網絡是個開放的網絡，不采取任何措施就利用IP網絡進行數據通信是毫無安全性可言的。為了滿足在IP網上獲得安全通信的需要，互聯網工程任務組的IPSec(IPSecurity，IP安全)工作組制定了一組基于密碼學的開放網絡安全協議，總稱IPSec體系結構。IPSec協議提供了訪問控制、無連接的數據完整性、數據保密性、數據源驗證、防重放攻擊、自動密鑰管理等安全服務。IPsec在對IP網絡提供安全保護時需要一些參數，包括加解密算法及密鑰，完整性驗證算法及密鑰等集合，稱之為SA(安全聯盟)。生成SA有兩種方法，手工配置和自動協商，在大型的網絡部署中，需要采用自動協商方式為IPsec通訊兩端生成SA。互聯網工程組指定了IKE協議用于自動協商SA，目前已有兩個版本IKEv1和IKEv2。IKEv2相對于IKEv1版本減少了協商報文個數，增加了一些新的功能。

數據源認證功能是IPsec協議簇提供的功能之一，通過在IKE協商過程中對IKE對端進行身份認證來實現。在IKE協商過程中，IKE通訊兩端通過相互認證對端的身份ID來確認對端的合法性；具體的認證類型有多種，IKE認證類型取決于本端配置，一旦配置確定了，在與不同的對端進行IKE協商時，都會采用同一種認證類型。在一些多對一的應用場景中，多個不同的IKE客戶端可能會要求IKE服務端采用不同的認證類型，這種需求很難通過IKE服務端的配置解決。例如如圖1所示，圖中安全網關是一臺IPsec網關設備；眾多IPsec站點可與一臺IPsec網關之間建立IPsec隧道，用于保護它們之間的數據通訊。圖1中的站點與網關之間通過IKEv2協議交換密鑰，IPsec站點作為IKE發起終端，IPsec網關作為IKE響應終端。IPsec站點和IPsec網關所保護的網絡是相互不可見的，它們之間需要通訊，為了保證通訊數據的數據源可靠，在IKEv2協商過程中兩端相互進行身份認證，身份認證是單向的，所采用的認證方式可不相同，在圖1的多對一組網中，眾多IPsec站點可能支持的是不同的認證方式，某些站點可能對IPsec網關上配置那一種認證方式不支持，這樣IPsec網關就不能以自身已經配置好的那一種認證方式來與所有的IPsec站點進行IKE協商，否則會導致因站點不支持IPsec網關所采用的認證方式導致認證失敗。

發明內容

本發明要解決的主要技術問題是，提供一種IKE認證方法、IKE發起終端、IKE響應終端及IKE認證系統，解決現有IKE認證過程中因IKE發起終端不支持IKE響應終端所采用的認證類型導致認證失敗的問題。

為解決上述技術問題，本發明提供一種IKE認證方法，包括：

IKE響應終端接收IKE發起終端發送的第一認證請求，所述第一認證請求中包含所述IKE發起終端使用的認證類型；

所述IKE響應終端從所述第一認證請求中獲取所述IKE發起終端使用的認證類型，根據獲取的認證類型生成第二認證請求；

所述IKE響應終端將所述第二認證請求發給所述IKE發起終端。

在本發明的一種實施例中，所述IKE響應終端根據獲取的認證類型生成第二認證請求之前，還包括：

所述IKE響應終端對所述第一認證請求進行校驗，如校驗通過，才根據獲取的認證類型生成第二認證請求。

在本發明的一種實施例中，所述IKE響應終端通過主模式交換響應報文或認證交換響應報文將所述第二認證請求發給所述IKE發起終端。

為了解決上述問題，本發明還提供了一種IKE認證方法，包括：

IKE發起終端生成第一認證請求，所述第一認證請求中包含所述IKE發起終端使用的認證類型；

所述IKE發起終端向IKE響應終端發送第一認證請求；

所述IKE發起終端接收所述IKE響應終端發送的第二認證請求；所述第二認證請求為所述IKE響應終端根據所述第一認證請求中包含的認證類型生成。

在本發明的一種實施例中，所述IKE發起終端通過主模式交換請求報文或認證交換請求報文將所述第一認證請求發給所述IKE響應終端。

為了解決上述問題，本發明還提供了一種IKE認證方法，包括：