本申請(qǐng)公開了一種網(wǎng)絡(luò)密鑰交換協(xié)議IKE使用證書認(rèn)證的方法，所述方法包括：第一設(shè)備解析證書，獲取證書中的簽名信息；所述第一設(shè)備根據(jù)所述證書中的簽名信息，填充IKE身份驗(yàn)證AUTH消息中的AUTH負(fù)載字段，所述AUTH負(fù)載字段指示的簽名信息與所述證書中的簽名信息相匹配；所述第一設(shè)備向第二設(shè)備發(fā)送所述IKE AUTH消息。本申請(qǐng)?zhí)峁┑腎KE使用證書認(rèn)證的方法中，第一設(shè)備可以自動(dòng)從證書中解析簽名信息并根據(jù)簽名信息填充IKE AUTH消息相關(guān)字段，簡化了用戶配置，提升了產(chǎn)品的易用性。

技術(shù)領(lǐng)域

本申請(qǐng)涉及計(jì)算機(jī)領(lǐng)域，尤其涉及一種網(wǎng)絡(luò)密鑰交換協(xié)議使用證書認(rèn)證的方法和通信設(shè)備。

背景技術(shù)

在使用網(wǎng)絡(luò)密鑰交換協(xié)議第二版(internet key exchange protocol version2，IKEv2)進(jìn)行證書認(rèn)證時(shí)，IKE消息中攜帶的簽名信息需要用戶進(jìn)行配置。

一方面，用戶的配置出錯(cuò)將導(dǎo)致認(rèn)證無法完成。例如，用戶需要配置的公鑰算法為基于橢圓曲線的數(shù)字簽名算法(elliptic curve digital signature algorithm，ECDSA)，但是用戶配置成了RSA算法(Rivest–Shamir–Adleman algorithm，RSA)，由于配置錯(cuò)誤，認(rèn)證無法完成。再如，配置ECDSA算法時(shí)，由于拼寫錯(cuò)誤配置成“EDCSA”也將導(dǎo)致認(rèn)證失敗。

另一方面，不同廠商的設(shè)備的配置命令是不同的。當(dāng)涉及對(duì)不同廠商的設(shè)備進(jìn)行認(rèn)證配置時(shí)，用戶需要學(xué)習(xí)該廠商的設(shè)備的配置命令。例如，需要配置的公鑰算法是RSA算法時(shí)，不同廠商的配置命令不同，例如：

A廠商設(shè)備的配置命令為：

authentication{local{rsa-sig|pre-share|ecdsa-sig}|remote{eap[query-identity]|rsa-sig|pre-share|ecdsa-sig}；

B廠商設(shè)備的配置命令為：

authentication-method(dsa-signatures|pre-shared-keys|rsa-signatures)；

C廠商設(shè)備的配置命令為：

authby＝pubkey|rsasig|psk|secret|xauthrsasig|xauthpsk|never；

華為的Eudemon設(shè)備的配置命令為：

authentication-method{pre-share|rsa-signature|digital-envelope}；

D廠商設(shè)備的配置命令為：

authentication-method{pre-share|rsa-sig}。

因此，現(xiàn)有的IKE認(rèn)證對(duì)用戶有較高的要求。

發(fā)明內(nèi)容

本申請(qǐng)?zhí)峁┮环N網(wǎng)絡(luò)密鑰交換協(xié)議(internet key exchange protocol，IKE)使用證書認(rèn)證的方法和通信設(shè)備，第一設(shè)備可以自動(dòng)解析證書，獲取證書中的簽名信息，并根據(jù)該簽名信息填充IKE身份驗(yàn)證(authentication，AUTH)消息的相關(guān)字段，無需用戶配置具體的簽名信息。