[发明专利]一种基于ISAKMP的扩展认证方法及系统

权利要求书

1.一种基于因特网安全联盟和密钥管理协议(ISAKMP)的扩展认证方法，其特征在于，该方法包括：

需要发送第一条路由消息时，发起者与响应者协商使用扩展认证协议(EAP)进行认证；

EAP认证过程成功后，所述发起者与所述响应者依据EAP过程生成的主会话密钥(MSK)或共享密钥，计算AUTH载荷中的带密钥的消息认证码(HMAC)值，并向对方发送AUTH载荷，在ISAKMP中完成认证。

2.根据权利要求1所述的方法，其特征在于，所述发起者与响应者协商使用EAP进行认证，包括：

所述发起者向所述响应者发送不包含AUTH载荷的EAP消息；

所述响应者收到EAP消息后，通过EAP载荷向所述发起者发送EAP请求(Request)；

所述发起者收到EAP Request后，通过EAP载荷向所述响应者发送EAP响应(Response)，与所述响应者进行EAP认证过程。

3.根据权利要求2所述的方法，其特征在于，在所述发起者向所述响应者发送EAP消息之前，该方法进一步包括：

所述发起者与所述响应者进行初始安全联盟(SA)建立过程。

4.根据权利要求1、2或3所述的方法，其特征在于，在所述发起者与所述响应者之间协商使用进行EAP认证时，且当所述发起者与所述响应者之间未配置信任关系，所述发起者与所述响应者均与Diameter服务器之间事先已配置信任关系时，该方法进一步包括：

所述响应者依据Diameter-EAP协议，向Diameter服务器发送EAP启动(Start)消息；

Diameter服务器收到EAP Start消息后，与所述响应者进行EAP认证信息交互，以使所述发起者与所述响应者之间通过Diameter服务器进行EAP认证过程，并在EAP认证过程成功后，将生成的MSK或共享密钥发送给所述响应者。

5.根据权利要求4所述的方法，其特征在于，所述响应者依据Diameter-EAP协议，向Diameter服务器发送EAP Start消息，为：

所述响应者向Diameter服务器发送包含空的EAP载荷的Diameter-EAP-Request消息；

所述发起者与所述响应者进行EAP认证信息交互，以使所述发起者与所述响应者之间通过Diameter服务器进行EAP认证过程，为：

Diameter服务器将EAP Request封装在EAP载荷中，之后向所述响应者返回包含EAP载荷的Diameter-EAP-Answer消息；

所述响应者将收到的EAP Request封装在ISAKMP的扩展载荷EAP载荷中，发送给所述发起者；

所述发起者根据收到的EAP Request向所述响应者返回相应的EAP Response；

所述响应者将收到的EAP Response封装在Diameter-EAP-Request消息的EAP载荷中，发送给Diameter服务器，如此往复，直至Diameter服务器确认EAP认证过程结束。

6.根据权利要求5所述的方法，其特征在于，在所述响应者依据EAP过程生成的MSK或共享密钥，计算AUTH载荷中的HMAC值之前，该方法进一步包括：

EAP认证过程成功后，Diameter服务器将EAP成功消息及EAP认证过程生成的MSK或共享密钥发送给所述响应者。

7.根据权利要求1、2或3所述的方法，其特征在于，在所述发起者与所述响应者之间协商使用进行EAP认证时，且当所述发起者与所述响应者之间未配置信任关系，所述发起者与所述响应者之间通过两个以上Diameter服务器建立信任关系时，该方法进一步包括：

所述响应者依据Diameter-EAP协议，向Diameter中继服务器发送EAP Start消息；

Diameter中继服务器向Diameter服务器转发EAP Start消息；

Diameter服务器收到EAP Start消息后，与Diameter中继服务器进行EAP认证信息交互，以使所述发起者与所述响应者之间通过Diameter服务器、及Diameter中继服务器进行EAP认证过程，并在EAP认证过程成功后，将生成的MSK或共享密钥发送给Diameter中继服务器；Diameter中继服务器将收到的MSK或共享密钥发送给所述响应者。