一种基于ISAKMP的扩展认证方法及系统技术方案

本发明专利技术公开了一种基于因特网安全联盟和密钥管理协议(ISAKMP)的扩展认证方法，包括：需要发送第一条路由消息时，发起者与响应者协商使用扩展认证协议(EAP)进行认证；EAP认证过程成功后，所述发起者与所述响应者依据EAP过程生成的主会话密钥(MSK)或共享密钥，计算AUTH载荷中的带密钥的消息认证码(HMAC)值，并向对方发送AUTH载荷，在ISAKMP中完成认证。本发明专利技术同时公开了一种基于ISAKMP的扩展认证系统，采用本发明专利技术的方法及系统，能在ISAKMP中灵活选择认证方法，进而能跟进现代认证技术的发展。

【技术实现步骤摘要】
一种基于ISAKMP的扩展认证方法及系统
本专利技术涉及通信网络中路由设备的密钥管理与认证技术，尤其涉及一种基于因特网安全联盟和密钥管理协议(ISAKMP，InternetSecurityAssociationandKeyManagementProtocol)的扩展认证方法及系统。
技术介绍
因特网(Internet)已经成为现代社会不可或缺的基础设施，对政治、经济和民生起着非常重要的作用。因特网一旦遭受破坏或攻击，将带来严重的危害和影响，因此网络安全备受世人关注。因特网中的核心设备是路由设备，保障路由设备的安全是网络安全的重要方面，而路由设备(包括所运行的路由协议)的安全机制中，密钥管理与认证是非常重要的一方面。这里，所述Internet就是指因特网协议(IP，InternetProtocol)网络。目前，因特网工程任务组(IETF，InternetEngineeringTaskForce)致力于因特网架构和各种协议标准制定工作的全球性组织)的路由协议密钥和认证(KARP，KeyingandAuthenticationforRoutingProtocols)工作组和安全域间路由(S本文档来自技高网...

【技术保护点】
一种基于因特网安全联盟和密钥管理协议(ISAKMP)的扩展认证方法，其特征在于，该方法包括：需要发送第一条路由消息时，发起者与响应者协商使用扩展认证协议(EAP)进行认证；EAP认证过程成功后，所述发起者与所述响应者依据EAP过程生成的主会话密钥(MSK)或共享密钥，计算AUTH载荷中的带密钥的消息认证码(HMAC)值，并向对方发送AUTH载荷，在ISAKMP中完成认证。

【技术特征摘要】
1.一种基于因特网安全联盟和密钥管理协议(ISAKMP)的扩展认证方法，其特征在于，该方法包括：需要发送第一条路由消息时，发起者与响应者协商使用扩展认证协议(EAP)进行认证；EAP认证过程成功后，所述发起者与所述响应者依据EAP过程生成的主会话密钥(MSK)或共享密钥，计算AUTH载荷中的带密钥的消息认证码(HMAC)值，并向对方发送AUTH载荷，在ISAKMP中完成认证；其中，所述ISAKMP包括了基本交换、身份保护交换、仅认证交换、以及进取交换四种交换类型。2.根据权利要求1所述的方法，其特征在于，所述发起者与响应者协商使用EAP进行认证，包括：所述发起者向所述响应者发送不包含AUTH载荷的EAP消息；所述响应者收到EAP消息后，通过EAP载荷向所述发起者发送EAP请求(Request)；所述发起者收到EAPRequest后，通过EAP载荷向所述响应者发送EAP响应(Response)，与所述响应者进行EAP认证过程。3.根据权利要求2所述的方法，其特征在于，在所述发起者向所述响应者发送EAP消息之前，该方法进一步包括：所述发起者与所述响应者进行初始安全联盟(SA)建立过程。4.根据权利要求1、2或3所述的方法，其特征在于，在所述发起者与所述响应者之间协商使用进行EAP认证时，且当所述发起者与所述响应者之间未配置信任关系，所述发起者与所述响应者均与Diameter服务器之间事先已配置信任关系时，该方法进一步包括：所述响应者依据Diameter-EAP协议，向Diameter服务器发送EAP启动(Start)消息；Diameter服务器收到EAPStart消息后，与所述响应者进行EAP认证信息交互，以使所述发起者与所述响应者之间通过Diameter服务器进行EAP认证过程，并在EAP认证过程成功后，将生成的MSK或共享密钥发送给所述响应者。5.根据权利要求4所述的方法，其特征在于，所述响应者依据Diameter-EAP协议，向Diameter服务器发送EAPStart消息，为：所述响应者向Diameter服务器发送包含空的EAP载荷的Diameter-EAP-Request消息；所述发起者与所述响应者进行EAP认证信息交互，以使所述发起者与所述响应者之间通过Diameter服务器进行EAP认证过程，为：Diameter服务器将EAPRequest封装在EAP载荷中，之后向所述响应者返回包含EAP载荷的Diameter-EAP-Answer消息；所述响应者将收到的EAPRequest封装在ISAKMP的扩展载荷EAP载荷中，发送给所述发起者；所述发起者根据收到的EAPRequest向所述响应者返回相应的EAPResponse；所述响应者将收到的EAPResponse封装在Diameter-EAP-Request消息的EAP载荷中，发送给Diameter服务器，如此往复，直至Diameter服务器确认EAP认证过程结束。6.根据权利要求5所述的方法，其特征在于，在所述响应者依据EAP过程生成的MSK或共享密钥，计算AUTH载荷中的HMAC值之前，该方法进一步包括：EAP认证过程成功后，Diameter服务器将EAP成功消息及EAP认证过程生成的MSK或共享密钥发送给所述响应者。7.根据权利要求1、2或3所述的方法，其特征在于，在所述发起者与所述响应者之间协商使用进行EAP认证时，且当所述发起者与所述响应者之间未配置信任关系，所述发起者与所述响应者之间通过两个以上Diameter服务器建立信任关系时，该方法进一步包括：所述响应者依据Diameter-EAP协议，向Diameter中继服务器发送EAPStart消息；Diameter中继服务器向Diameter服务器转发EAPStart消息；Diameter服务器收到EAPStart消息后，与Diameter中继服务器进行EAP认证信息交互，以使所述发起者与所述响应者之间通过Diameter服务器、及Diameter中继服务器进行EAP认证过程，并在EAP认证过程成功后，将生成的MSK或共享密钥发送给Diameter中继服务器；Diameter中继服务器将收到的MSK或共享密钥发送给所述响应者。8.根据权利要求7所述的方法，其特征在于，所述响应者依据Diameter-EAP协议，向Diameter服务器发送EAPStart消息，为：所述响应者向Diameter服务器发送包含空的EAP载荷的Diameter-EAP-Request消息；所述与Diameter中继服务器进行EAP认证信息交互，以使所述发起者与所述响应者之间通过Diameter服...

【专利技术属性】
技术研发人员：梁小萍，韦银星，
申请(专利权)人：中兴通讯股份有限公司，
类型：发明
国别省市：