网络密钥交换协议使用证书认证的方法和通信设备技术

本申请公开了一种网络密钥交换协议IKE使用证书认证的方法，所述方法包括：第一设备解析证书，获取证书中的签名信息；所述第一设备根据所述证书中的签名信息，填充IKE身份验证AUTH消息中的AUTH负载字段，所述AUTH负载字段指示的签名信息与所述证书中的签名信息相匹配；所述第一设备向第二设备发送所述IKE AUTH消息。本申请提供的IKE使用证书认证的方法中，第一设备可以自动从证书中解析签名信息并根据签名信息填充IKE AUTH消息相关字段，简化了用户配置，提升了产品的易用性。提升了产品的易用性。提升了产品的易用性。

【技术实现步骤摘要】
网络密钥交换协议使用证书认证的方法和通信设备


[0001]本申请涉及计算机领域，尤其涉及一种网络密钥交换协议使用证书认证的方法和通信设备。

技术介绍

[0002]在使用网络密钥交换协议第二版(internet key exchange protocol version 2，IKEv2)进行证书认证时，IKE消息中携带的签名信息需要用户进行配置。
[0003]一方面，用户的配置出错将导致认证无法完成。例如，用户需要配置的公钥算法为基于椭圆曲线的数字签名算法(elliptic curve digital signature algorithm，ECDSA)，但是用户配置成了RSA算法(Rivest
–
Shamir
–
Adleman algorithm，RSA)，由于配置错误，认证无法完成。再如，配置ECDSA算法时，由于拼写错误配置成“EDCSA”也将导致认证失败。
[0004]另一方面，不同厂商的设备的配置命令是不同的。当涉及对不同厂商的设备进行认证配置时，用户需要学习该厂商的设备的配置命令。例本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种网络密钥交换协议IKE使用证书认证的方法，其特征在于，包括：第一设备解析证书，获取证书中的签名信息；所述第一设备根据所述证书中的签名信息，填充网络密钥交换协议IKE身份验证AUTH消息中的AUTH负载字段，所述AUTH负载字段指示的签名信息与所述证书中的签名信息相匹配；所述第一设备向第二设备发送所述IKE AUTH消息。2.根据权利要求1所述的方法，其特征在于，所述证书中的签名信息包括：公钥算法。3.根据权利要求2所述的方法，其特征在于，所述证书中的签名信息还包括：签名的填充方式、哈希算法和扩展算法中的至少一个。4.根据权利要求2或3所述的方法，其特征在于，所述证书中的签名信息包括对象标识符，所述对象标识符是对所述证书中的签名信息的编码。5.根据权利要求1至4中任一项所述的方法，其特征在于，在所述第一设备解析证书，获取证书中的签名信息之前，所述方法还包括：所述第一设备获取第一配置信息，所述第一配置信息指示IKE使用证书认证的方法的类型。6.根据权利要求5所述的方法，其特征在于：所述IKE使用证书认证的方法的类型为通用的证书签名认证；或者，所述IKE使用证书认证的方法的类型为通用的非对称秘钥算法认证；在所述IKE使用证书认证的方法的类型为通用的非对称秘钥算法认证的情况下，所述第一配置信息还指示：所述通用的非对称秘钥算法认证的签名信息的来源。7.根据权利要求1至6中任一项所述的方法，其特征在于，在所述第一设备根据所述证书中的签名信息填充IKE AUTH消息中的AUTH负载字段之前，所述方法还包括：所述第一设备确定所述第一设备和所述第二设备均支持数字签名；在所述第一设备和所述第二设备均支持所述数字签名的情况下，采用数字签名方式填充所述AUTH负载字段，并且，所述AUTH负载字段中的算法标识字段的填充值为对象标识符的可辨别编码规则DER编码。8.根据权利要求7所述的方法，其特征在于，所述第一设备确定所述第一设备和所述第二设备均支持数字签名包括：所述第一设备获取第二配置信息，所述第二配置信息指示第一设备支持数字签名；所述第一设备获取所述第二设备发送的IKE安全关联参数SA消息，所述IKE SA消息指示所述第二设备支持数字签名。9.一种通信设备，其特征在于，所述通信设备包括：存储器，存储有程序；与所述存储器通信的处理器，所述处...

【专利技术属性】
技术研发人员：盛德，叶惠，申文斌，
申请(专利权)人：华为技术有限公司，
类型：发明
国别省市：