[发明专利]一种防止认证时间过长导致IKE协商失败的方法

说明书

技术领域

本发明涉及通信技术领域，尤其涉及一种防止认证时间过长导致IKE协商失败的方法。

背景技术

Internet密钥交换协议（IKE）是用于交换和管理在虚拟专用网（VPN）中使用的加密密钥的，解决了在不安全的网络环境（如Internet）中安全地建立或更新共享密钥的问题。IKE是非常通用的协议，不仅可为IPsec协商安全关联，而且可以为SNMPv3、RIPv2、OSPFv2等任何要求保密的协议协商安全参数。

IKE属于一种混合型协议，由Internet安全关联和密钥管理协议（ISAKMP）和两种密钥交换协议OAKLEY与SKEME组成。IKE创建在由ISAKMP定义的框架上，沿用了OAKLEY的密钥交换模式以及SKEME的共享和密钥更新技术，还定义了它自己的两种密钥交换方式：主要模式和野蛮模式。当IKE协商过程中使用xauth认证时，通常可以选者xauth的认证方式为本地认证或者是AAA认证，通常如果选择了本地认证则不会占用太多的协商时间，但要使用AAA认证时，如果AAA认证又采取的第三方服务器认证方式，那么有可能使认证时间变得非常长，这样一来就会延长IKE协商的整体时间，往往会导致IKE整体协商失败的情况发生。

发明内容

（一）要解决的技术问题

针对上述缺陷，本发明要解决的技术问题是如何避免由于xauth认证时间过长导致IKE协商失败。

（二）技术方案

为解决上述问题，本发明提供了一种防止认证时间过长导致IKE协商失败的方法，所述方法具体包括：

S1：IKE服务器接收IKE客户端发送的用户名和密码后，默认xauth认证通过，直接进行IKE协商；

S3：如果所述IKE协商到最后一步时，所述IKE服务器还没有接收到认证结果或收到的认证结果为认证失败则断开所述IKE协商。。

进一步地，所述步骤S1默认xauth认证通过后还包括：将认证通过的消息反馈给所述IKE客户端，若所述IKE客户端收到反馈则进行IKE协商。

进一步地，所述步骤S3之前还包括：

S2：在所述IKE协商过程中所述IKE服务器将所述用户名和密码发送给AAA服务器进行认证，并将所述认证结果发送给所述IKE服务器。

进一步地，所述步骤S3具体包括：

所述IKE服务器接收到所述AAA服务器的认证结果，如果认证结果为认证失败则断开所述IKE协商，否则继续进行所述IKE协商；

如果所述IKE协商进行到最后一步时，所述IKE服务器仍没有收到所述AAA服务器的认证结果则认证失败，断开所述IKE协商。

（三）有益效果

本发明提供了一种防止认证时间过长导致IKE协商失败的方法，通过在接收到AAA服务器发送的认证结果之前先默认认证成功，继续进行协商，对协商不产生影响，同时还避免了等待AAA认证时间过长导致IKE协商失败。

附图说明

图1为本发明实施例中的一种防止认证时间过长导致IKE协商失败的方法的步骤流程图。

具体实施方式

下面结合附图和实施例，对本发明的具体实施方式作进一步详细描述。以下实施例用于说明本发明，但不用来限制本发明的范围。

本发明实施例中提供了一种防止认证时间过长导致IKE协商失败的方法，流程图如图1所示，具体包括以下步骤：

步骤S1：IKE服务器接收IKE客户端发送的用户名和密码后，默认xauth认证通过，直接进行IKE协商。

步骤S1默认xauth认证通过后还包括：将认证通过的消息反馈给IKE客户端，若IKE客户端收到反馈则进行IKE协商。

具体的，IKE协商分为两个阶段：

一、IKE协商第一阶段：

IKE的精髓在于它永远不在不安全的网络上直接传送密钥，而是通过一系列的计算，双方最终计算出共享密钥，并且即使第三方截获了交换中的所有数据，也无法计算出真正的密钥，其中的核心技术就是DH交换算法。

IKE协商第一阶段，参与通信的双方会生成4个秘密：

SKEYID：后续三个都建立在它的基础上，由它推算出。

SKEYID_d：用于为ipsec衍生出加密的材料。

SKEYID_a：用来为IKE消息保障数据的完整性以及对数据源的身份进行验证。

SKEYID_e：为后续的IKE协商及IPSEC SA协商进行加密。