一種基于ISAKMP的擴展認證方法及系統技術方案

本發明專利技術公開了一種基于因特網安全聯盟和密鑰管理協議(ISAKMP)的擴展認證方法，包括：需要發送第一條路由消息時，發起者與響應者協商使用擴展認證協議(EAP)進行認證；EAP認證過程成功后，所述發起者與所述響應者依據EAP過程生成的主會話密鑰(MSK)或共享密鑰，計算AUTH載荷中的帶密鑰的消息認證碼(HMAC)值，并向對方發送AUTH載荷，在ISAKMP中完成認證。本發明專利技術同時公開了一種基于ISAKMP的擴展認證系統，采用本發明專利技術的方法及系統，能在ISAKMP中靈活選擇認證方法，進而能跟進現代認證技術的發展。

【技術實現步驟摘要】
一種基于ISAKMP的擴展認證方法及系統
本專利技術涉及通信網絡中路由設備的密鑰管理與認證技術，尤其涉及一種基于因特網安全聯盟和密鑰管理協議(ISAKMP，InternetSecurityAssociationandKeyManagementProtocol)的擴展認證方法及系統。
技術介紹
因特網(Internet)已經成為現代社會不可或缺的基礎設施，對政治、經濟和民生起著非常重要的作用。因特網一旦遭受破壞或攻擊，將帶來嚴重的危害和影響，因此網絡安全備受世人關注。因特網中的核心設備是路由設備，保障路由設備的安全是網絡安全的重要方面，而路由設備(包括所運行的路由協議)的安全機制中，密鑰管理與認證是非常重要的一方面。這里，所述Internet就是指因特網協議(IP，InternetProtocol)網絡。目前，因特網工程任務組(IETF，InternetEngineeringTaskForce)致力于因特網架構和各種協議標準制定工作的全球性組織)的路由協議密鑰和認證(KARP，KeyingandAuthenticationforRoutingProtocols)工作組和安全域間路由(SIDR，SecureInter-DomainRouting)工作組正在進行這方面的研究，其中有人提出對ISAKMP進行擴展，以用于路由設備(包含路由協議)的密鑰管理和認證。ISAKMP認證的基本思想及過程是：認證雙方先協商安全聯盟(SA，SecurityAssociation)，即：ISAKMPSA，這里，所述SA為一套密鑰材料，包括：采用的哈希算法(hashalgorithm)或簽名算法、加密算法(encryptionalgorithm)、認證算法(authenticationalgorithm)、以及Diffie-Hellman交換的組信息等；認證的雙方使用協商好的hashalgorithm或簽名算法，將所發送的部分消息和/或ISAKMP狀態，計算生成帶密鑰的消息認證碼(HMAC，Keyed-hashMessageAuthenticationCode)，并將這個HMAC寫入AUTH載荷中，交給對方，進而完成消息與身份認證過程。其中，所述部分消息是指：SA參數或認證參數；可將事先配置的共享密鑰(pre-sharedkey)或經過密鑰交換如Diffie-Hellman交換計算出的密鑰，作為計算HMAC時的輸入密鑰。但是，現有技術中，ISAKMP的認證方式的局限主要表現在以下幾個方面：第一，認證機制的選擇范圍受限。由于只能使用簡單的hashalgorithm或簽名算法生成HMAC，完成認證過程，不能使用最新的認證方法比如安全傳輸層(TLS，TransportLayerSecurity)認證方法進行認證，如此，限制了路由設備選擇認證機制的自由，不能隨時跟進現代認證技術的發展。第二，配置復雜。ISAKMP的認證機制要求路由設備之間事先配置有信任關系，比如pre-sharedkey或數字證書等，然而，在路由設備上配置信任關系的工作量非常大，而且在某種情況下甚至不可能完成。舉個例子來說，假設本地網絡內有n個路由設備，要為它們兩兩配置信任關系，則需要配置n(n-1)/2個信任關系，如果本地網絡規模較大，即：路由設備的個數較多時，則配置起來工作量將非常龐大。另外，假如兩個路由設備分屬不同的運營商，此時，則兩者之間很難事先配置信任關系。更進一步地，如果在全球范圍內，則不可能為路由設備兩兩配置信任關系。第三，不能使用三方認證技術。ISAKMP定義的是兩方認證的技術，要求路由設備之間事先配置有信任關系。但是，在實際應用時，路由設備兩兩之間事先配置信任關系在很多時候是不可能實現的，尤其在路由設備分屬不同網絡域的情況下。在這種情況下，由于ISAKMP沒有定義三方認證機制，因此，ISAKMP不能很好地解決路由設備之間未事先配置信任關系的情況。第四，不利于長期密鑰更新和增加拆除路由設備。當某個路由設備需要更新共享密鑰時，其它所有相關的路由設備都要跟著更新密鑰，這一過程的工作量巨大，且會影響其它路由設備。當需要在網絡上增加一個路由設備時，所有相關的路由設備都要增加這個路由設備相關的安全材料，這一過程的工作量同樣巨大，且會影響其它路由設備。當某個路由設備被拆除時，其它所有相關路由設備上都要刪除這個路由設備相關的安全材料，這一過程的工作量也很大，且會影響其它路由設備。
技術實現思路
有鑒于此，本專利技術的主要目的在于提供一種基于ISAKMP的擴展認證方法及系統，能在ISAKMP中靈活選擇認證方法，進而能跟進現代認證技術的發展。為達到上述目的，本專利技術的技術方案是這樣實現的：本專利技術提供了一種基于ISAKMP的擴展認證方法，該方法包括：需要發送第一條路由消息時，發起者與響應者協商使用擴展認證協議(EAP，ExtensibleAuthenticationProtocol)進行認證；EAP認證過程成功后，所述發起者與所述響應者依據EAP過程生成的主會話密鑰(MSK，MasterSessionKey)或共享密鑰，計算AUTH載荷中的HMAC值，并向對方發送AUTH載荷，在ISAKMP中完成認證。上述方案中，所述發起者與響應者協商使用EAP進行認證，包括：所述發起者向所述響應者發送不包含AUTH載荷的EAP消息；所述響應者收到EAP消息后，通過EAP載荷向所述發起者發送EAP請求(Request)；所述發起者收到EAPRequest后，通過EAP載荷向所述響應者發送EAP響應(Response)，與所述響應者進行EAP認證過程。上述方案中，在所述發起者向所述響應者發送EAP消息之前，該方法進一步包括：所述發起者與所述響應者進行初始SA建立過程。上述方案中，在所述發起者與所述響應者之間協商使用進行EAP認證時，且當所述發起者與所述響應者之間未配置信任關系，所述發起者與所述響應者均與Diameter服務器之間事先已配置信任關系時，該方法進一步包括：所述響應者依據Diameter-EAP協議，向Diameter服務器發送EAP啟動(Start)消息；Diameter服務器收到EAPStart消息后，與所述響應者進行EAP認證信息交互，以使所述發起者與所述響應者之間通過Diameter服務器進行EAP認證過程，并在EAP認證過程成功后，將生成的MSK或共享密鑰發送給所述響應者。上述方案中，所述響應者依據Diameter-EAP協議，向Diameter服務器發送EAPStart消息，為：所述響應者向Diameter服務器發送包含空的EAP載荷的Diameter-EAP-Request消息；所述發起者與所述響應者進行EAP認證信息交互，以使所述發起者與所述響應者之間通過Diameter服務器進行EAP認證過程，為：Diameter服務器將EAPRequest封裝在EAP載荷中，之后向所述響應者返回包含EAP載荷的Diameter-EAP-Answer消息；所述響應者將收到的EAPRequest封裝在ISAKMP的擴展載荷EAP載荷中，發送給所述發起者；所述發起者根據收到的EAPRequest向所述響應者返回相應的EAPResponse；所述響應者將收到的EAPResponse封裝本文檔來自技高網...

【技術保護點】
一種基于因特網安全聯盟和密鑰管理協議(ISAKMP)的擴展認證方法，其特征在于，該方法包括：需要發送第一條路由消息時，發起者與響應者協商使用擴展認證協議(EAP)進行認證；EAP認證過程成功后，所述發起者與所述響應者依據EAP過程生成的主會話密鑰(MSK)或共享密鑰，計算AUTH載荷中的帶密鑰的消息認證碼(HMAC)值，并向對方發送AUTH載荷，在ISAKMP中完成認證。

【技術特征摘要】
1.一種基于因特網安全聯盟和密鑰管理協議(ISAKMP)的擴展認證方法，其特征在于，該方法包括：需要發送第一條路由消息時，發起者與響應者協商使用擴展認證協議(EAP)進行認證；EAP認證過程成功后，所述發起者與所述響應者依據EAP過程生成的主會話密鑰(MSK)或共享密鑰，計算AUTH載荷中的帶密鑰的消息認證碼(HMAC)值，并向對方發送AUTH載荷，在ISAKMP中完成認證；其中，所述ISAKMP包括了基本交換、身份保護交換、僅認證交換、以及進取交換四種交換類型。2.根據權利要求1所述的方法，其特征在于，所述發起者與響應者協商使用EAP進行認證，包括：所述發起者向所述響應者發送不包含AUTH載荷的EAP消息；所述響應者收到EAP消息后，通過EAP載荷向所述發起者發送EAP請求(Request)；所述發起者收到EAPRequest后，通過EAP載荷向所述響應者發送EAP響應(Response)，與所述響應者進行EAP認證過程。3.根據權利要求2所述的方法，其特征在于，在所述發起者向所述響應者發送EAP消息之前，該方法進一步包括：所述發起者與所述響應者進行初始安全聯盟(SA)建立過程。4.根據權利要求1、2或3所述的方法，其特征在于，在所述發起者與所述響應者之間協商使用進行EAP認證時，且當所述發起者與所述響應者之間未配置信任關系，所述發起者與所述響應者均與Diameter服務器之間事先已配置信任關系時，該方法進一步包括：所述響應者依據Diameter-EAP協議，向Diameter服務器發送EAP啟動(Start)消息；Diameter服務器收到EAPStart消息后，與所述響應者進行EAP認證信息交互，以使所述發起者與所述響應者之間通過Diameter服務器進行EAP認證過程，并在EAP認證過程成功后，將生成的MSK或共享密鑰發送給所述響應者。5.根據權利要求4所述的方法，其特征在于，所述響應者依據Diameter-EAP協議，向Diameter服務器發送EAPStart消息，為：所述響應者向Diameter服務器發送包含空的EAP載荷的Diameter-EAP-Request消息；所述發起者與所述響應者進行EAP認證信息交互，以使所述發起者與所述響應者之間通過Diameter服務器進行EAP認證過程，為：Diameter服務器將EAPRequest封裝在EAP載荷中，之后向所述響應者返回包含EAP載荷的Diameter-EAP-Answer消息；所述響應者將收到的EAPRequest封裝在ISAKMP的擴展載荷EAP載荷中，發送給所述發起者；所述發起者根據收到的EAPRequest向所述響應者返回相應的EAPResponse；所述響應者將收到的EAPResponse封裝在Diameter-EAP-Request消息的EAP載荷中，發送給Diameter服務器，如此往復，直至Diameter服務器確認EAP認證過程結束。6.根據權利要求5所述的方法，其特征在于，在所述響應者依據EAP過程生成的MSK或共享密鑰，計算AUTH載荷中的HMAC值之前，該方法進一步包括：EAP認證過程成功后，Diameter服務器將EAP成功消息及EAP認證過程生成的MSK或共享密鑰發送給所述響應者。7.根據權利要求1、2或3所述的方法，其特征在于，在所述發起者與所述響應者之間協商使用進行EAP認證時，且當所述發起者與所述響應者之間未配置信任關系，所述發起者與所述響應者之間通過兩個以上Diameter服務器建立信任關系時，該方法進一步包括：所述響應者依據Diameter-EAP協議，向Diameter中繼服務器發送EAPStart消息；Diameter中繼服務器向Diameter服務器轉發EAPStart消息；Diameter服務器收到EAPStart消息后，與Diameter中繼服務器進行EAP認證信息交互，以使所述發起者與所述響應者之間通過Diameter服務器、及Diameter中繼服務器進行EAP認證過程，并在EAP認證過程成功后，將生成的MSK或共享密鑰發送給Diameter中繼服務器；Diameter中繼服務器將收到的MSK或共享密鑰發送給所述響應者。8.根據權利要求7所述的方法，其特征在于，所述響應者依據Diameter-EAP協議，向Diameter服務器發送EAPStart消息，為：所述響應者向Diameter服務器發送包含空的EAP載荷的Diameter-EAP-Request消息；所述與Diameter中繼服務器進行EAP認證信息交互，以使所述發起者與所述響應者之間通過Diameter服...

【專利技術屬性】
技術研發人員：梁小萍，韋銀星，
申請(專利權)人：中興通訊股份有限公司，
類型：發明
國別省市：