申请/专利权人：中兴通讯股份有限公司

申请日：2011-07-28

公开（公告）日：2017-10-03

公开（公告）号：CN102904861B

主分类号：H04L29/06(2006.01)I

分类号：H04L29/06(2006.01)I;H04L9/08(2006.01)I

优先权：

专利状态码：有效-专利权的转移

法律状态：2021.01.08#专利权的转移;2017.10.03#授权;2014.08.06#实质审查的生效;2013.01.30#公开

摘要：本发明公开了一种基于因特网安全联盟和密钥管理协议ISAKMP的扩展认证方法，包括：需要发送第一条路由消息时，发起者与响应者协商使用扩展认证协议EAP进行认证；EAP认证过程成功后，所述发起者与所述响应者依据EAP过程生成的主会话密钥MSK或共享密钥，计算AUTH载荷中的带密钥的消息认证码HMAC值，并向对方发送AUTH载荷，在ISAKMP中完成认证。本发明同时公开了一种基于ISAKMP的扩展认证系统，采用本发明的方法及系统，能在ISAKMP中灵活选择认证方法，进而能跟进现代认证技术的发展。

主权项：一种基于因特网安全联盟和密钥管理协议ISAKMP的扩展认证方法，其特征在于，该方法包括：需要发送第一条路由消息时，发起者与响应者协商使用扩展认证协议EAP进行认证；EAP认证过程成功后，所述发起者与所述响应者依据EAP过程生成的主会话密钥MSK或共享密钥，计算AUTH载荷中的带密钥的消息认证码HMAC值，并向对方发送AUTH载荷，在ISAKMP中完成认证；其中，所述ISAKMP包括了基本交换、身份保护交换、仅认证交换、以及进取交换四种交换类型。

全文数据：一种基于丨SAKMP的扩展认证方法及系统技术领域[0001]本发明涉及通信网络中路由设备的密钥管理与认证技术，尤其涉及一种基于因特网安全联盟和密钥管理协议（ISAKMP，InternetSecurityAssociationandKeyManagementProtocol的扩展认证方法及系统。背景技术[0002]因特网（Internet已经成为现代社会不可或缺的基础设施，对政治、经济和民生起着非常重要的作用。因特网一旦遭受破坏或攻击，将带来严重的危害和影响，因此网络安全备受世人关注。因特网中的核心设备是路由设备，保障路由设备的安全是网络安全的重要方面，而路由设备包括所运行的路由协议）的安全机制中，密钥管理与认证是非常重要的一方面。这里，所述Internet就是指因特网协议（IP，InternetProtocol网络。目前，因特网工程任务组（IETF，InternetEngineeringTaskForce致力于因特网架构和各种协议标准制定工作的全球性组织）的路由协议密钥和认证（KARP，KeyingandAuthenticationforRoutingProtocols工作组和安全域间路由（SIDR，SecureInter-DomainRouting工作组正在进行这方面的研宄，其中有人提出对ISAKMP进行扩展，以用于路由设备包含路由协议的密钥管理和认证。[0003]ISAKMP认证的基本思想及过程是：认证双方先协商安全联盟（SA，SecurityAssociation，S卩：ISAKMPSA，这里，所述SA为一套密钥材料，包括:采用的哈希算法hashalgorithm或签名算法、加密算法（encryptionalgorithm、认证算法（authenticationalgorithm、以及Diffie-Heliman交换的组信息等；认证的双方使用协商好的hashalgorithm或签名算法，将所发送的部分消息和或ISAKMP状态，计算生成带密钥的消息认证码（HMAC，Keyed-hashMessageAuthenticationCode，并将这个HMAC写入AUTH载荷中，交给对方，进而完成消息与身份认证过程。其中，所述部分消息是指:SA参数或认证参数;可将事先配置的共享密钥pre-sharedkey或经过密钥交换如Diffie-Hellman交换计算出的密钥，作为计算HMAC时的输入密钥。[0004]但是，现有技术中，ISAKMP的认证方式的局限主要表现在以下几个方面：[0005]第一，认证机制的选择范围受限。由于只能使用简单的hashalgorithm或签名算法生成HMAC，完成认证过程，不能使用最新的认证方法比如安全传输层（TLS，Transp〇rtLayerSecurity认证方法进行认证，如此，限制了路由设备选择认证机制的自由，不能随时跟进现代认证技术的发展。[0006]第二，配置复杂。ISAKMP的认证机制要求路由设备之间事先配置有信任关系，比如pre-sharedkey或数字证书等，然而，在路由设备上配置信任关系的工作量非常大，而且在某种情况下甚至不可能完成。举个例子来说，假设本地网络内有n个路由设备，要为它们两两配置信任关系，则需要配置nn-12个信任关系，如果本地网络规模较大，S卩：路由设备的个数较多时，则配置起来工作量将非常庞大。另外，假如两个路由设备分属不同的运营商，此时，则两者之间很难事先配置信任关系。更进一步地，如果在全球范围内，则不可能为路由设备两两配置信任关系。[0007]第三，不能使用三方认证技术。ISAKMP定义的是两方认证的技术，要求路由设备之间事先配置有信任关系。但是，在实际应用时，路由设备两两之间事先配置信任关系在很多时候是不可能实现的，尤其在路由设备分属不同网络域的情况下。在这种情况下，由于ISAKMP没有定义三方认证机制，因此，ISAKMP不能很好地解决路由设备之间未事先配置信任关系的情况。[0008]第四，不利于长期密钥更新和增加拆除路由设备。当某个路由设备需要更新共享密钥时，其它所有相关的路由设备都要跟着更新密钥，这一过程的工作量巨大，且会影响其它路由设备。当需要在网络上增加一个路由设备时，所有相关的路由设备都要增加这个路由设备相关的安全材料，这一过程的工作量同样巨大，且会影响其它路由设备。当某个路由设备被拆除时，其它所有相关路由设备上都要删除这个路由设备相关的安全材料，这一过程的工作量也很大，且会影响其它路由设备。发明内容[0009]有鉴于此，本发明的主要目的在于提供一种基于ISAKMP的扩展认证方法及系统，能在ISAKMP中灵活选择认证方法，进而能跟进现代认证技术的发展。[0010]为达到上述目的，本发明的技术方案是这样实现的：[0011]本发明提供了一种基于ISAKMP的扩展认证方法，该方法包括：[0012]需要发送第一条路由消息时，发起者与响应者协商使用扩展认证协议（EAP，ExtensibleAuthenticationProtocol进行认证；[0013]EAP认证过程成功后，所述发起者与所述响应者依据EAP过程生成的主会话密钥MSK，MasterSessionKey或共享密钥，计算AUTH载荷中的HMAC值，并向对方发送AUTH载荷，在ISAKMP中完成认证。[0014]上述方案中，所述发起者与响应者协商使用EAP进行认证，包括：[0015]所述发起者向所述响应者发送不包含AUTH载荷的EAP消息；[0016]所述响应者收到EAP消息后，通过EAP载荷向所述发起者发送EAP请求Request;[0017]所述发起者收到EAPRequest后，通过EAP载荷向所述响应者发送EAP响应Response，与所述响应者进行EAP认证过程。[0018]上述方案中，在所述发起者向所述响应者发送EAP消息之前，该方法进一步包括：[0019]所述发起者与所述响应者进行初始SA建立过程。[0020]上述方案中，在所述发起者与所述响应者之间协商使用进行EAP认证时，且当所述发起者与所述响应者之间未配置信任关系，所述发起者与所述响应者均与Diameter服务器之间事先已配置信任关系时，该方法进一步包括：[0021]所述响应者依据Diameter-EAP协议，向Diameter服务器发送EAP启动（Start消息；[0022]Diameter服务器收到EAPStart消息后，与所述响应者进行EAP认证信息交互，以使所述发起者与所述响应者之间通过Diametei•服务器进行EAP认证过程，并在EAP认证过程成功后，将生成的MSK或共享密钥发送给所述响应者。[0023]上述方案中，所述响应者依据Diameter-EAP协议，向Diameter服务器发送EAPStart消息，为：[0024]所述响应者向Diameter服务器发送包含空的EAP载荷的Diameter-EAP-Request消息；[0025]所述发起者与所述响应者进行EAP认证信息交互，以使所述发起者与所述响应者之间通过Diameter服务器进行EAP认证过程，为：[0026]Diameter服务器将EAPRequest封装在EAP载荷中，之后向所述响应者返回包含EAP载荷的Diameter-EAP-Answer消息；[0027]所述响应者将收到的EAPRequest封装在ISAKMP的扩展载荷EAP载荷中，发送给所述发起者；[0028]所述发起者根据收到的EAPRequest向所述响应者返回相应的EAPResponse;[0029]所述响应者将收到的EAPResponse封装在Diameter-EAP-Request消息的EAP载荷中，发送给Diameter服务器，如此往复，直至Diameter服务器确认EAP认证过程结束。[0030]上述方案中，在所述响应者依据EAP过程生成的MSK或共享密钥，计算AUTH载荷中的HMAC值之前，该方法进一步包括：[0031]EAP认证过程成功后，Diameter服务器将EAP成功消息及EAP认证过程生成的MSK或共享密钥发送给所述响应者。[0032]上述方案中，在所述发起者与所述响应者之间协商使用进行EAP认证时，且当所述发起者与所述响应者之间未配置信任关系，所述发起者与所述响应者之间通过两个以上Diameter服务器建立信任关系时，该方法进一步包括：[0033]所述响应者依据Diameter-EAP协议，向Diameter中继服务器发送EAPStart消息；[0034]Diameter中继服务器向Diameter服务器转发EAPStart消息；[0035]Diameter服务器收到EAPStart消息后，与Diameter中继服务器进行EAP认证信息交互，以使所述发起者与所述响应者之间通过Diameter服务器、及Diameter中继服务器进行EAP认证过程，并在EAP认证过程成功后，将生成的MSK或共享密钥发送给Diameter中继服务器;Diameter中继服务器将收到的MSK或共享密钥发送给所述响应者。[0036]上述方案中，所述响应者依据Diameter-EAP协议，向Diameter服务器发送EAPStart消息，为：[0037]所述响应者向Diameter服务器发送包含空的EAP载荷的Diameter-EAP-Request消息；[0038]所述与Diameter中继服务器进行EAP认证信息交互，以使所述发起者与所述响应者之间通过Diameter服务器、及Diameter中继服务器进行EAP认证过程，为：[0039]Diameter服务器将EAPRequest封装在EAP载荷中，之后向Diameter中继服务器返回包含EAP载荷的Diameter-EAP-Answer消息；[0040]Diameter中继服务器向所述响应者转发收到的包含EAP载荷的Diameter-EAP-Answer消息；[0041]所述响应者将收到的EAPRequest封装在ISAKMP的扩展载荷EAP载荷中，发送给所述发起者；[0042]所述发起者根据收到的EAPRequest向所述响应者返回相应的EAPResponse;[0043]所述响应者将收到的EAPResponse封装在Diameter-EAP-Request消息的EAP载荷中，发送给Diameter中继服务器；[0044]Diameter中继服务器向Diameter服务器转发收到的EAPResponse，如此往复，直至Diameter服务器确认EAP认证过程结束。[0045]上述方案中，在所述响应者依据EAP过程生成的MSK或共享密钥，计算AUTH载荷中的HMAC值之前，该方法进一步包括：[0046]EAP认证过程成功后，Diameter服务器将EAP成功消息及EAP认证过程生成的MSK或共享密钥发送给Diameter中继服务器；[0047]Diameter中继服务器将收到的EAP成功消息及EAP认证过程生成的MSK或共享密钥转发给所述响应者。[0048]本发明还提供了一种基于ISAKMP的扩展认证系统，该系统包括:第一路由器、及第二路由器;其中，[0049]第一路由器，用于需要发送第一条路由消息时，与第二路由设备协商使用EAP进行认证;并在EAP认证成功后，依据EAP过程生成的MSK或共享密钥，计算AUTH载荷的值，并向第二路由设备发送AUTH载荷，在ISAKMP中完成认证；[0050]第二路由器，用于与第一路由设备协商使用EAP进行认证;并在EAP认证成功后，依据EAP过程生成的MSK或共享密钥，计算AUTH载荷的值，并向第一路由设备发送AUTH载荷，在ISAKMP中完成认证。[0051]上述方案中，当在第一路由设备与第二路由设备之间协商使用EAP进行认证时，且当第一路由设备与第二路由设备之间未配置信任关系，而第一路由设备与第二路由设备均与Diameter服务器之间事先已配置信任关系时，该系统进一步包括:第一Diameter服务器，用于收到第二路由设备发送的EAPStart消息后，与第二路由设备进行EAP认证信息交互，以使第一路由设备与第二路由设备之间通过Diameter服务器进行EAP认证过程，并在EAP认证过程成功后，将生成的MSK或共享密钥发送给第二路由设备；[0052]所述第二路由设备，还用于依据Diameter-EAP协议，向第一Diameter服务器发送EAPStart消息，与第一Diameter服务器进行EAP认证信息交互，以使第一路由设备与第二路由设备之间通过第一Diameter服务器进行EAP认证过程，并接收第一Diameter服务器发送的生成的MSK或共享密钥。[0053]上述方案中，在第一路由设备与第二路由设备之间协商使用EAP进行认证时，且当第一路由设备与第二路由设备之间未配置信任关系，第一路由设备与第二路由设备之间通过两个以上Diameter服务器建立信任关系时，该系统进一步包括:第二Diameter服务器，用于收到第二路由设备发送的EAPStart消息后，向第一Diameter服务器转发EAPStart消息；与第一Diameter服务器进行EAP认证信息交互，以使第一路由设备与第二路由设备之间通过第一Diameter服务器、及第二Diameter服务器进行EAP认证过程；并将收到的第一Diameter服务器发送的生成的MSK或共享密钥发送给第二路由设备；[0054]所述第一Diameter服务器，还用于收到第二Diameter服务器发送的EAPStart消息后，与第二Diameter服务器进行EAP认证信息交互，以使第一路由设备与第二路由设备之间通过第一Diameter服务器、及第二Diameter服务器进行EAP认证过程，并在EAP认证过程成功后，将生成的MSK或共享密钥发送给第二Diameter服务器；[0055]所述第二路由设备，还用于依据Diameter-EAP协议，向第二Diameter服务器发送EAPStart消息，并接收第二Diameter服务器发送的生成的MSK或共享密钥。[0056]上述方案中，所述第二Diameter服务器的个数为一个以上。[0057]本发明提供的基于ISAKMP的扩展认证方法及系统，需要发送第一条路由消息时，发起者与响应者协商使用EAP进行认证;EAP认证过程成功后，所述发起者与所述响应者依据EAP过程生成的MSK或共享密钥，计算AUTH载荷中的HMAC值，并向对方发送AUTH载荷，在ISAKMP中完成认证;发起者和响应者在EAP认证过程可以依据需要灵活选择认证方法，如此，使得认证机制灵活，进而能跟进现代认证技术的发展。[0058]另外，在协商使用EAP进行认证时，当发起者与响应者之间未配置信任关系，而发起者与响应者均与Diameter服务器之间事先已配置信任关系时，响应者使用依据Diameter-EAP协议向Diameter服务器发送EAPStart消息；Diameter服务器收到EAPStart消息后，与响应者进行EAP认证信息交互，以使响应者与发起者之间通过Diameter服务器进行EAP认证过程;当发起者与响应者之间未配置信任关系，且发起者与响应者之间通过两个以上Diameter服务器建立信任关系时，响应者依据Diameter-EAP协议，向Diameter中继服务器发送EAPStart消息；Diameter中继服务器向Diameter服务器转发EAPStart消息；Diameter服务器收到EAPStart消息后，通过与Diameter中继服务器与响应者进行EAP认证信息交互，以使发起者与响应者之间通过Diameter服务器、及Diameter中继服务器进行EAP认证过程，如此，能在ISAKMP中实现三方认证技术，从而能解决配置信任关系复杂的问题；而且，在密钥更新、和或增加路由设备、和或拆除路由设备时，只需要在Diameter服务器上更新、和或增加、和或删除对应的路由设备相关的安全材料即可，如此,能有效地减少工作量，便于实现。附图说明[0059]图1为本发明基于ISAKMP的扩展认证方法流程示意图；[0060]图2为原有技术ISAKMP的身份保护交换流程示意图；[0061]图3为实施例一基于ISAKMP的扩展认证方法流程示意图；[0062]图4为实施例二引入Diameter服务器的基于ISAKMP的扩展认证方法流程示意图；[0063]图5为实施例三引入Diameter中继服务器的基于ISAKMP的扩展认证方法流程示意图；[0064]图6为本发明基于ISAKMP的扩展认证系统结构示意图。具体实施方式[0065]下面结合附图及具体实施例对本发明再作进一步详细的说明。[0066]在以下的描述中，将充当发起者的路由设备称为发起者，将充当响应者的路由设备称为响应者。其中，所述发起者是指:发起第一条消息的路由设备，所述响应者是指:为向发起者反馈第一条消息的路由设备。[0067]本发明基于ISAKMP的扩展认证方法，如图1所示，包括以下步骤：[0068]步骤101:需要发送第一条路由消息时，发起者与响应者协商使用EAP进行认证；[0069]这里，本步骤的具体实现，包括以下步骤：[0070]所述发起者向所述响应者发送不包含AUTH载荷的EAP消息；[0071]所述响应者收到EAP消息后，通过EAP载荷向所述发起者发送EAPRequest;[0072]所述发起者收到EAPRequest后，通过EAP载荷向所述响应者发送EAPResponse，与所述响应者进行EAP认证过程。[0073]其中，所述EAP消息不包含AUTH载荷，所述响应者据此可以获知启动EAP认证过程。[0074]如果所述发起者与所述响应者需要交互的内容较多，则EAPRequest和EAPResponse的序列可以持续下去，S卩：所述发起者与所述响应者之间交互多次EAP载荷，直至所述响应者向所述发起者发送EAP认证结果，即：成功（EAPSuccess或失败（EAPFailure〇[0075]在所述发起者向所述响应者发送EAP消息之前，该方法还可以进一步包括：[0076]所述发起者与所述响应者进行初始SA建立过程;其中，进行初始SA建立过程的具体实现为现有技术，这里不再赘述。[0077]在所述发起者与所述响应者之间协商使用进行EAP认证时，且当所述发起者与所述响应者之间未配置信任关系，所述发起者与所述响应者均与Diameter服务器之间事先已配置信任关系时，该方法进一步包括：[0078]所述响应者依据Diameter-EAP协议，向Diameter服务器发送EAPStart消息；[0079]Diameter服务器收到EAPStart消息后，与所述响应者进行EAP认证信息交互，以使所述发起者与所述响应者之间通过Diameter服务器进行EAP认证过程，并在EAP认证过程成功后，将生成的MSK或共享密钥发送给所述响应者。[0080]其中，所述响应者依据Diameter-EAP协议，向Diameter服务器发送EAPStart消息，具体为：[0081]所述响应者向Diameter服务器发送包含空的EAP载荷的Diameter-EAP-Request消息；[0082]所述发起者与所述响应者进行EAP认证信息交互，以使所述发起者与所述响应者之间通过Diameter服务器进行EAP认证过程具体为：[0083]Diameter服务器将EAPRequest封装在EAP载荷中，之后向所述响应者返回包含EAP载荷的Diameter-EAP-Answer消息；[0084]所述响应者将收到的EAPRequest封装在ISAKMP的扩展载荷EAP载荷中，发送给所述发起者；[0085]所述发起者根据收到的EAPRequest向所述响应者返回相应的EAPResponse;[0086]所述响应者将收到的EAPResponse封装在Diameter-EAP-Request消息的EAP载荷中，发送给Diameter服务器，如此往复，直至Diameter服务器确认EAP认证过程结束。这里，所述认证的结果可以是成功或失败。[0087]若EAP认证过程成功，Diameter服务器将EAPSuccess消息及EAP方法认证过程生成的MSK或共享密钥发送给所述响应者，再由所述响应者将生成的MSK或共享密钥发送给所述发起者。[0088]在所述发起者与所述响应者之间协商使用进行EAP认证时，且当所述发起者与所述响应者之间未配置信任关系，所述发起者与所述响应者之间通过两个以上Diameter服务器建立信任关系时，该方法进一步包括：[0089]所述响应者依据Diameter-EAP协议，向Diameter中继服务器发送EAPStart消息；[0090]Diameter中继服务器向Diameter服务器转发EAPStart消息；[0091]Diameter服务器收到EAPStart消息后，与Diameter中继服务器进彳丁EAP认证彳曰息交互，以使所述发起者与所述响应者之间通过Diameter服务器、及Diameter中继服务器进行EAP认证过程，并在EAP认证过程成功后，将生成的MSK或共享密钥发送给Diameter中继服务器;Diameter中继服务器将收到的MSK或共享密钥发送给所述响应者。[0092]其中，所述响应者依据Diameter-EAP协议，向Diameter中继服务器发送EAPStart消息，具体为：[0093]所述响应者向Diameter中继服务器发送包含空的EAP载荷的Diameter-EAP-Request消息；[0094]与Diameter中继服务器进行EAP认证信息交互，以使所述发起者与所述响应者之间通过Diameter服务器、及Diameter中继服务器进行EAP认证过程，具体为：[0095]Diameter服务器将EAPRequest封装在EAP载荷中，之后向Diameter中继服务器返回包含EAP载荷的Diameter-EAP-Answer消息；[0096]Diameter中继服务器向所述响应者转发收到的包含EAP载荷的Diameter-EAP-Answer消息；[0097]所述响应者将收到的EAPRequest封装在ISAKMP的扩展载荷EAP载荷中，发送给所述发起者；[0098]所述发起者根据收到的EAPRequest向所述响应者返回相应的EAPResponse;[0099]所述响应者将收到的EAPResponse封装在Diameter-EAP-Request消息的EAP载荷中，发送给Diameter中继服务器；[0100]Diameter中继服务器向Diameter服务器转发收到的EAPResponse，如此往复，直至Diameter服务器确认EAP认证过程结束。这里，所述认证的结果可以是成功或失败。[0101]该过程与上述所述发起者与所述响应者均与Diameter服务器之间事先已配置信任关系时的过程一样相同，在所述响应者、Diameter中继服务器及Diameter服务器之间信息的交互也是依据Diameter-EAP协议来完成的，在该过程中，Diameter中继服务器只是起到的了中继的作用，可无需处理，直接将来自所述响应者及Diameter服务器的消息进行转发。若EAP认证过程成功，Diameter服务器将EAPSuccess消息及EAP方法认证过程生成的MSK或共享密钥发送给Diameter中继服务器，，Diameter中继服务器将EAPSuccess消息及EAP方法认证过程生成的MSK或共享密钥转发给所述响应者，再由所述响应者将生成的MSK或共享密钥发送给所述发起者。[0102]在所述发起者向所述响应者发送EAP消息之前，该方法还可以进一步包括：[0103]所述发起者与所述响应者进行ISAKMPSA建立过程;其中，进行ISAKMPSA建立过程的具体实现为现有技术，这里不再赘述;ISAKMPSA建立后，在ISAKMPSA保护下，所述发起者与所述响应者协商使用EAP进行认证。[0104]由于ISAKMP中实现的是双向认证，因此，在选择EAP方法时，推荐选择能实现双向认证的EAP方法，以便可以生成MSK或共享密钥。[0105]步骤102:EAP认证过程成功后，所述发起者与所述响应者依据EAP过程生成的MSK或共享密钥，计算AUTH载荷中的HMAC值，并向对方发送AUTH载荷，在ISAKMP中完成认证。[0106]这里，当EAP认证过程中生成MSK时，则依据生成的MSK，计算AUTH载荷中的HMAC值，当EAP认证过程中未生成MSK时，依据生成的共享密钥，计算AUTH载荷中的HMAC值。[0107]当EAP认证成功后，所述响应者在向所述发起者发送EAP认证结果的同时，向所述发起者发送依据EAP认证过程生成的MSK或共享密钥，进而使所述发起者与所述响应者可以在ISAKMP中完成认证。[0108]其中，MSK为一个不变的参数，而共享密钥为一次性参数，只适用于本次会话，换句话说，当发起者和响应者再次发送会话时，生成的共享密钥则与上次会话的共享密钥不同，而MSK则不会发生变化;这里，依据EAP过程生成的MSK或共享密钥，计算AUTH载荷中的HMAC值的具体处理过程为现有技术，这里不再赘述。[0109]在ISAKMP中完成认证的具体处理过程为现有技术，这里不再赘述。[0110]本发明采用的EAP认证过程中所涉及的EAP载荷，其格式与定义同RFC3748中所定义的。这里，所述RFC是指请求评议RFC，RequestForComments，是一系列以编号排定的文件。文件收集了有关因特网相关资讯、以及UNIX和因特网社群的软件文件。下面结合实施例对本发明再作进一步详细的描述。[0112]ISAKMP可以在四种交换类型ExchangeType中实施认证机制，四种交换类型分别是基本交换BaseExchange、身份保护交换（IdentityProtectionExchange、仅认证交换（AuthenticationOnlyExchange、以及进取交换（AggressiveExchange。其中，IdentityProtectionExchange可以很好地保护身份载荷和AUTH载荷。[0113]IdentityProtectionExchange的流程，如图2所示，包括以下步骤：[0114]步骤201:需要发送第一条路由消息时，发起者向响应者发送HDR载荷及SA载荷；[0115]步骤202:响应者收到SA载荷后，向发起者发送HDR载荷及SA载荷，与发起者协商建立ISAKMPSA;[0116]这里，HDR载荷表示ISAKMP协议头，发起者与响应者之间交互时均要发送HDR载荷。[0117]步骤203〜204:发起者与响应者相互发送密钥交换KE，KeyExchange，）载荷及随机数NONCE载荷，发起者与响应者根据收到的KE载荷及NONCE载荷，计算共享密钥，作为计算AUTH载荷的HMAC的输入密钥；[0118]这里，KE载荷装载的是Diffie-Hellman的公开值publicvalue。[0119]步骤205〜206:发起者与响应者在ISAKMPSA的保护下相互发送HDR载荷、身份IDx载荷及AUTH载荷，进行相互认证。[0120]具体地，发起者与响应者分别计算HMAC值并与AUTH载荷中的HMAC值进行比较，如果发起者与响应者双方的HMAC均能匹配，则相互认证通过，否则，认证失败。[0121]这里，HDR载荷后面的号表示随后的载荷均是经过加密的，g卩：IDx载荷及AUTH载荷均是经过加密的；[0122]x可以是ii或ir，分别表示ISAKMP的发起者及响应者，当ISAKMPdaemon守护进程为一个代理协商者proxynegotiator时，x也可以是ui或ur，分别代表用户发起者及响应者;AUTH载荷是通用的身份认证机制，AUTH载荷具体可以是HASH哈希载荷或SIG签名载荷。[0123]由于IdentityProtectionExchange具有较好的安全性，为达到本发明的目的，并最好地体现本发明的核心思想，以下描述的实施例中均使用IdentityProtectionExchange来实践本发明的核心思想，S卩：进行EAP扩展，ISAKMP中的其它的交换类型也可以仿照本发明的实施例进行EAP扩展，属于本发明专利的保护范畴。[0124]实施例一：[0125]本实施例的应用场景为:发起者与响应者之间事先已配置共享密钥kab，发起者和响应者可以处于网络上的任何位置，采用IP协议进行通信。其中，发起者是指发送路由消息的路由器，响应者为接收路由消息的路由器。本实施例对ISAKMP进行EAP扩展，其基于ISAKMP的身份保护交换使用EAP方法进行认证的流程，如图3所示，包括以下步骤：[0126]步骤301:需要发送第一条路由消息时，发起者向响应者发送SA载荷；[0127]步骤302:响应者向发起者发送SA载荷；[0128]至此，发起者与响应者协商建立ISAKMPSA。[0129]步骤303:发起者向响应者发送KE载荷及NONCE载荷；[0130]步骤304:响应者向发起者发送KE载荷及NONCE载荷；[0131]这里，步骤301〜304的过程可以称为ISAKMPSA建立过程，步骤301〜304执行的目的是:发起者和响应者相互交换协商密码算法crytographicalgorithms、交换NONCE、以及进行DifTie-HellmanD-H交换等，为发起者和响应者随后的交换提供安全通道;步骤301〜304的具体处理过程为现有技术，这里不再赘述。[0132]步骤305:在ISAKMPSA的保护下，发起者向响应者发送IDii载荷；[0133]这里，发起者让AUTH载荷为空，以此告知响应者想协商使用EAP方法进行认证。[0134]步骤306:在ISAKMPSA的保护下，响应者向发起者发送IDir、AUTH及EAP载荷；[0135]这里，发送EAP载荷表示响应者同意使用EAP方法进行认证，同时发出EAPRequest；[0136]步骤307:发起者向响应者回应EAP载荷，与所述响应者进行EAP认证过程；[0137]这里，所述EAP载荷为EAPResponse;[0138]EAP认证所采用的方法可以是现有的认证方法，比如:TLS、或消息摘要算法第五版MD5，MessageDigestAlgorithm5等;在实际应用时，可以依据需要选择进行EAP认证过程所采用的方法;根据采用的认证方法的不同，发起者与响应者之间需要交互多次EAP载荷，换句话说，根据所采用的认证方法，发起者可能需要向响应者发送多个EAP载荷，相应的，响应者需要向发起者发送多个EAP载荷，以完成EAP认证过程。建议使用能够实现双向认证的EAP方法。[0139]由于发起者和响应者之间事先已配置共享密钥kab，因此，响应者收到EAP载荷后，直接与发起者进行EAP认证过程。[0140]步骤308:EAP认证成功后，响应者向发送者返回EAP载荷；[0141]这里，所述EAP载荷为EAPSuccess，包含EAP认证的过程生成MSK或共享密钥。[0142]步骤309:发起者收到EAP载荷后，依据EAP认证过程生成的MSK或共享密钥，计算AUTH载荷中的HMAC值，并将AUTH载荷发送给响应者，以便与计算出的HMAC值进行比较；[0143]步骤310:响应者依据EAP认证过程生成的MSK或共享密钥，计算AUTH载荷中的HMAC值，并将AUTH载荷发送给发起者，以便与计算出的HMAC值进行比较；[0144]至此，双方完成ISAKMP认证。[0145]实施例二：[0146]本实施例的应用场景为：发起者与响应者之间未配置信任关系，发起者与Diameter服务器之间事先己配置信任关系kac，响应者与Diameter服务器之间事先已配置信任关系kb。，发起者与响应者之间采用ISAKMP进行交互，响应者与Diameter服务器之间米用Diameter-ISAKMP进行交互。其中，发起者是指发送路由消息的路由器，响应者为接收路由消息的路由器。本实施例引入Diameter服务器的基于ISAKMP的扩展认证方法，如图4所示，包括以下步骤：[0147]步骤401:需要发送第一条路由消息时，发起者向响应者发送SA载荷；[0148]步骤402:响应者向发起者发送SA载荷；[0149]至此，发起者与响应者协商建立ISAKMPSA。[0150]步骤403:发起者向响应者发送KE载荷及NONCE载荷；[0151]步骤404:响应者向发起者发送KE载荷及NONCE载荷；[0152]这里，步骤401〜404的过程可以称为ISAKMPSA建立过程，步骤401〜404执行的目的是:发起者和响应者相互交换协商crytographicalgorithms、交换NONCE、以及进行D-H交换等，为发起者和响应者随后的交换提供安全通道;步骤401〜404的具体处理过程为现有技术，这里不再赘述。[0153]步骤405:在ISAKMPSA的保护下，发起者向响应者发送HDR载荷及IDii载荷；[0154]这里，发起者让AUTH载荷为空，以此告知响应者想协商使用EAP方法进行认证。[0155]步骤406:响应者收到KE载荷及NONCE载荷后，依据Diameter-EAP协议，向Diameter服务器发送EAPStart消息；[0156]具体地，在Diameter-EAP-Request消息中发送空的EAP载荷来提示Diameter服务器。[0157]这里，由于发起者与响应者之间未配置信任关系，且响应者与Diameter服务器之间事先已配置信任关系kbc，因此，响应者收到EAP载荷后，会向Diameter服务器发送EAPStart消息；[0158]其中，响应者Diameter服务器之间建立初始连接的过程见Diameter协议，即：RFC3588文件中的规定，在实际应用时，一般，只需要配置名字和信任关系即可;建立连接的方式可以是：响应者与Diameter服务器可利用域名系统（DNS，DomainNameSystem服务器就可以完成动态连接建立，响应者与Diameter服务器也可以通过手动配置的方式建立连接。[0159]步骤407:Diameter服务器收到EAPStart消息后，将EAPRequest封装在EAP载荷中，之后向响应者返回包含EAP载荷的Diameter-EAP-Answer消息；[0160]步骤408:响应者将收到的EAPRequest封装在ISAKMP的扩展载荷EAP载荷中，发送给发起者；[0161]步骤409:发起者根据收到的EAPRequest向响应者返回相应的EAPResponse;[0162]这里，所述EAPResponse同样封装在ISAKMP的扩展载荷EAP载荷中。[0163]步骤410:响应者再将收到的EAPResponse封装在Diameter-EAP-Request消息的EAP载荷中，发送给Diameter服务器，进行EAP认证过程；[0164]这里，EAP认证所采用的方法可以是现有的认证方法，比如:TLS、或MD5，等;在实际应用时，可以依据需要选择进行EAP认证过程所采用的方法;根据采用的认证方法的不同，发起者与响应者之间需要交互多次EAP载荷，换句话说，根据所采用的认证方法，发起者可能需要向响应者发送多个EAP载荷，相应的，响应者需要向发起者发送多个EAP载荷，相应的，Diameter服务器与响应者之间需要交互多次EAP消息以完成EAP认证过程。建议使用能够实现双向认证的EAP方法。[0165]步骤411:EAP认证过程成功，Diameter服务器将EAPSuccess消息及EAP认证过程生成的MSK或共享密钥封装在Diameter-EAP-Answer消息中，发送给响应者；[0166]步骤412:响应者收到Diameter-EAP-Answer消息后，向发送者返回EAP载荷；[0167]这里，所述EAP载荷为EAPSuccess，包含EAP认证的过程生成MSK或共享密钥。[0168]步骤413:发起者收到EAP载荷后，依据所述MSK或共享密钥，计算AUTH载荷中的HMAC值，并将AUTH载荷发送给响应者，以便与计算出的HMAC值进行比较；[0169]步骤414:响应者依据所述MSK或共享密钥，计算AUTH载荷中的HMAC值，并将AUTH载荷发送给发起者，以便与计算出的HMAC值进行比较。[0170]至此，双方完成ISAKMP认证。[0171]实施例三：[0172]本实施例的应用场景为：发起者与响应者之间未配置信任关系，发起者与Diameter服务器之间事先已配置信任关系kac，响应者与Diameter中继服务器之间事先已配置信任关系kbd，Diameter中继服务器与Diameter服务器之间事先已配置信任关系kcd。由于Diameter中继服务器与发起者之间未事先配置信任关系。其中，发起者是指发送路由消息的路由器，响应者为接收路由消息的路由器。本实施例引入Diameter中继服务器的基于ISAKMP的扩展认证方法，如图5所示，包括以下步骤：[0173]步骤501:需要发送第一条路由消息时，发起者向响应者发送SA载荷；[0174]步骤502:响应者向发起者发送SA载荷；[0175]至此，发起者与响应者协商建立ISAKMPSA。[0176]步骤503:发起者向响应者发送KE载荷及NONCE载荷；[0177]步骤504:响应者向发起者发送KE载荷及NONCE载荷；[0178]这里，步骤501〜504的过程可以称为ISAKMPSA建立过程，步骤501〜504执行的目的是:发起者和响应者相互交换协商crytographicalgorithms、交换NONCE、以及进行D-H交换等，为发起者和响应者随后的交换提供安全通道;步骤501〜504的具体处理过程为现有技术，这里不再赘述。[0179]步骤505:在ISAKMPSA的保护下，发起者向响应者发送HDR载荷及IDii载荷；[0180]这里，发起者让AUTH载荷为空，以此告知响应者想协商使用EAP方法进行认证。[0181]步骤506:响应者收到KE载荷及NONCE载荷后，依据Diameter-EAP协议，向Diameter中继服务器发送EAPStart消息；[0182]具体地，在Diameter-EAP-Request消息中发送空的EAP载荷来提示Diameter中继服务器。[0183]这里，由于发起者与响应者之间未配置信任关系，且响应者与Diameter中继服务器之间事先已配置信任关系kbd，因此，响应者收到EAP载荷后，会向Diameter中继服务器发送认证请求消息；[0184]其中，响应者与Diameter中继服务器之间建立初始连接的过程见diameter协议，即：RFC3588文件中的规定，在实际应用时，一般，只需要配置名字和信任关系即可;建立连接的方式可以是：响应者与Diameter中继服务器可利用DNS服务器就可以芫成动态连接建立，响应者与Diameter中继服务器也可以通过手动配置的方式建立连接。[0185]步骤507:Diameter中继服务器直接向Diameter服务器转发EAPStart消息；[0186]步骤508:Diameter服务器收到EAPStart消息后，将EAPRequest封装在EAP载荷中，之后向Diameter中继服务器返回包含EAP载荷的Diameter-EAP-Answer消息；[0187]步骤509:Diameter中继服务器收到消息后，向响应者转发收到的包含EAP载荷的Diameter-EAP-Answer消息；[0188]步骤510:响应者将收到的EAPRequest封装在ISAKMP的扩展载荷EAP载荷中，发送给发起者；[0189]步骤511:发起者根据收到的EAPRequest向响应者返回相应的EAPResponse;[0190]这里，所述EAPResponse同样封装在ISAKMP的扩展载荷EAP载荷中。[0191]步骤512:响应者将收到的EAPResponse封装在Diameter-EAP-Request消息的EAP载荷中，发送给Diameter中继服务器；[0192]步骤513:Diameter中继服务器向Diameter服务器转发收到的EAPResponse，进行EAP认证过程；[0193]这里，EAP认证所采用的方法可以是现有的认证方法，比如:TLS、或MD5,等;在实际应用时，可以依据需要选择进行EAP认证过程所采用的方法;根据采用的认证方法的不同，发起者与响应者之间需要交互多次EAP载荷，换句话说，根据所采用的认证方法，发起者可能需要向响应者发送多个EAP载荷，相应的，响应者需要向发起者发送多个EAP载荷，相应的，Diameter中继服务器与响应者之间需要交互多次EAP消息，Diameter中继服务器与Diameter服务器之间同样需要交互多次EAP消息，以完成EAP认证过程。建议使用能够实现双向认证的EAP方法。[0194]步骤514:EAP认证过程成功，Diameter服务器将EAPSuccess消息及EAP认证过程生成的MSK或共享密钥封装在Diameter-EAP-Answer消息中，发送给Diameter中继服务器；[0195]步骤515:Diameter中继服务器收到Diameter-EAP-Answer消息后，向响应者转发收到的Diameter-EAP-Answer消息；[0196]步骤516:响应者收到Diameter-EAP-Answer消息后，向发送者返回EAP载荷；[0197]这里，所述EAP载荷为EAPSuccess，包含EAP认证的过程生成MSK或共享密钥。[0198]步骤517:发起者收到EAP载荷后，依据所述MSK或共享密钥，计算AUTH载荷中的HMAC值，并将AUTH载荷发送给响应者，以便与计算出的HMAC值进行比较；[0199]步骤518:响应者依据所述MSK或共享密钥，计算AUTH载荷中的HMAC值，并将AUTH载荷发送给发起者，以便与计算出的HMAC值进行比较。[0200]这里，本实施例中的消息的定义和作用与实施例二中的消息的定义和作用完全相同。[0201]至此，双方完成ISAKMP认证。[0202]为实现上述方法，本发明还提供了一种基于ISAKMP的扩展认证系统，如图6所示，该系统包括:第一路由设备61、及第二路由设备62;其中，[0203]第一路由设备ei，用于需要发送第一条路由消息时，与第二路由设备62协商使用EAP进行认证;并在EAP认证成功后，依据EAP过程生成的MSK或共享密钥，计算AUTH载荷的值，并向第二路由设备62发送AUTH载荷，在ISAKMP中完成认证；[0204]第二路由设备62,用于与第一路由设备61协商使用EAP进行认证;并在EAP认证成功后，依据EAP过程生成的MSK或共享密钥，计算AUTH载荷的值，并向第一路由设备61发送AUTH载荷，在ISAKMP中完成认证。[0205]这里需要说明的是:第一路由设备61为充当发起者的路由设备，第二路由设备62为充当响应者的路由设备;其中，所述发起者是指:发起第一条消息的路由设备，所述响应者是指:为向发起者反馈第一条消息的路由设备。[0206]当在第一路由设备61与第二路由设备62之间协商使用EAP进行认证时，且当第一路由设备与第二路由设备62之间未配置信任关系，而第一路由设备61与第二路由设备62均与Diameter服务器之间事先已配置信任关系时，该系统还可以进一步包括:第一Diameter服务器，用于收到第二路由设备62发送的EAPStart消息后，与第二路由设备62进行EAP认证信息交互，以使第一路由设备61与第二路由设备62之间通过Diameter服务器进行EAP认证过程，并在EAP认证过程成功后，将生成的MSK或共享密钥发送给第二路由设备62;[0207]所述第二路由设备62，还用于依据Diameter-EAP协议，向第一Diameter服务器发送EAPStart消息，与第一Diameter服务器进行EAP认证信息交互，以使第一路由设备61与第二路由设备62之间通过第一Diameter服务器进行EAP认证过程，并接收第一Diameter服务器发送的生成的MSK或共享密钥。[0208]在第一路由设备61与第二路由设备62之间协商使用EAP进行认证时，且当第一路由设备61与第二路由设备62之间未配置信任关系，第一路由设备61与第二路由设备62之间通过两个以上Ddiameter服务器建立信任关系时，该系统进一步包括：第二Diameter服务器，用于收到第二路由设备62发送的EAPStart消息后，向第一Diameter服务器转发EAPStart消息；与第一Diameter服务器进行EAP认证信息交互，以使第一路由设备61与第二路由设备62之间通过第一Diameter服务器、及第二Diameter服务器进行EAP认证过程;并将收到的第一Diameter服务器发送的生成的MSK或共享密钥发送给第二路由设备62;[0209]所述第一Diameter服务器，还用于收到第二Diameter服务器发送的EAPStart消息后，与第二Diameter服务器进行EAP认证信息交互，以使第一路由设备61与第二路由设备62之间通过第一Diameter服务器、及第二Diameter服务器进行EAP认证过程，并在EAP认证过程成功后，将生成的MSK或共享密钥发送给第二Diameter服务器；[0210]所述第二路由设备62,还用于依据Diameter-EAP协议，向第二Diameter服务器发送EAPStart消息，并接收第二Diameter服务器发送的生成的MSK或共享密钥。[0211]这里，需要说明的是:所述第二Diameter服务器的个数可以为一个以上。[0212]这里，本发明所述系统中的第一路由器、第二路由器、第一Diameter服务器及第二Diameter服务器的具体处理过程已在上文中详述，不再赘述。[0213]以上所述，仅为本发明的较佳实施例而已，并非用于限定本发明的保护范围。

权利要求：1.一种基于因特网安全联盟和密钥管理协议（ISAKMP的扩展认证方法，其特征在于，该方法包括：需要发送第一条路由消息时，发起者与响应者协商使用扩展认证协议EAP进行认证；EAP认证过程成功后，所述发起者与所述响应者依据EAP过程生成的主会话密钥MSK或共享密钥，计算AUTH载荷中的带密钥的消息认证码HMAC值，并向对方发送AUTH载荷，在ISAKMP中完成认证；其中，所述ISAKMP包括了基本交换、身份保护交换、仅认证交换、以及进取交换四种交换类型。2.根据权利要求1所述的方法，其特征在于，所述发起者与响应者协商使用EAP进行认证，包括：所述发起者向所述响应者发送不包含AUTH载荷的EAP消息；所述响应者收到EAP消息后，通过EAP载荷向所述发起者发送EAP请求Request;所述发起者收到EAPRequest后，通过EAP载荷向所述响应者发送EAP响应Response，与所述响应者进行EAP认证过程。3.根据权利要求2所述的方法，其特征在于，在所述发起者向所述响应者发送EAP消息之前，该方法进一步包括：所述发起者与所述响应者进行初始安全联盟SA建立过程。4.根据权利要求1、2或3所述的方法，其特征在于，在所述发起者与所述响应者之间协商使用进行EAP认证时，且当所述发起者与所述响应者之间未配置信任关系，所述发起者与所述响应者均与Diameter服务器之间事先已配置信任关系时，该方法进一步包括：所述响应者依据Diameter-EAP协议，向Diameter服务器发送EAP启动Start消息；Diameter服务器收到EAPStart消息后，与所述响应者进行EAP认证信息交互，以使所述发起者与所述响应者之间通过Diameter服务器进行EAP认证过程，并在EAP认证过程成功后，将生成的MSK或共享密钥发送给所述响应者。5.根据权利要求4所述的方法，其特征在于，所述响应者依据Diameter-EAP协议，向Diameter服务器发送EAPStart消息，为：所述响应者向Diameter服务器发送包含空的EAP载荷的Diameter-EAP-Request消息；所述发起者与所述响应者进行EAP认证信息交互，以使所述发起者与所述响应者之间通过Diameter服务器进行EAP认证过程，为：Diameter服务器将EAPRequest封装在EAP载荷中，之后向所述响应者返回包含EAP载荷的Diameter-EAP-Answer消息；所述响应者将收到的EAPRequest封装在ISAKMP的扩展载荷EAP载荷中，发送给所述发起者；所述发起者根据收到的EAPRequest向所述响应者返回相应的EAPResponse;所述响应者将收到的EAPResponse封装在Diameter-EAP-Request消息的EAP载荷中，发送给Diameter服务器，如此往复，直至Diameter服务器确认EAP认证过程结束。6.根据权利要求5所述的方法，其特征在于，在所述响应者依据EAP过程生成的MSK或共享密钥，计算AUTH载荷中的HMAC值之前，该方法进一步包括：EAP认证过程成功后，Diameter服务器将EAP成功消息及EAP认证过程生成的MSK或共享密钥发送给所述响应者。7.根据权利要求1、2或3所述的方法，其特征在于，在所述发起者与所述响应者之间协商使用进行EAP认证时，且当所述发起者与所述响应者之间未配置信任关系，所述发起者与所述响应者之间通过两个以上Diameter服务器建立信任关系时，该方法进一步包括：所述响应者依据Diameter-EAP协议，向Diameter中继服务器发送EAPStart消息；Diameter中继服务器向Diameter服务器转发EAPStart消息；Diameter服务器收到EAPStart消息后，与Diameter中继服务器进行EAP认证信息交互，以使所述发起者与所述响应者之间通过Diameter服务器、及Diameter中继服务器进行EAP认证过程，并在EAP认证过程成功后，将生成的MSK或共享密钥发送给Diameter中继服务器;Diameter中继服务器将收到的MSK或共享密钥发送给所述响应者。8.根据权利要求7所述的方法，其特征在于，所述响应者依据Diameter-EAP协议，向Diameter服务器发送EAPStart消息，为：所述响应者向Diameter服务器发送包含空的EAP载荷的Diameter-EAP-Request消息；所述与Diameter中继服务器进行EAP认证信息交互，以使所述发起者与所述响应者之间通过Diameter服务器、及Diameter中继服务器进行EAP认证过程，为：Diameter服务器将EAPRequest封装在EAP载荷中，之后向Diameter中继服务器返回包含EAP载荷的Diameter-EAP-Answer消息；Diameter中继服务器向所述响应者转发收到的包含EAP载荷的Diameter-EAP-Answer消息；所述响应者将收到的EAPRequest封装在ISAKMP的扩展载荷EAP载荷中，发送给所述发起者；所述发起者根据收到的EAPRequest向所述响应者返回相应的EAPResponse;所述响应者将收到的EAPResponse封装在Diameter-EAP-Request消息的EAP载荷中，发送给Diameter中继服务器；Diameter中继服务器向Diameter服务器转发收到的EAPResponse，如此往复，直至Diameter服务器确认EAP认证过程结束。9.根据权利要求8所述的方法，其特征在于，在所述响应者依据EAP过程生成的MSK或共享密钥，计算AUTH载荷中的HMAC值之前，该方法进一步包括：EAP认证过程成功后，Diameter服务器将EAP成功消息及EAP认证过程生成的MSK或共享密钥发送给Diameter中继服务器；Diameter中继服务器将收到的EAP成功消息及EAP认证过程生成的MSK或共享密钥转发给所述响应者。10.—种基于ISAKMP的扩展认证系统，其特征在于，该系统包括:第一路由器、及第二路由器;其中，第一路由器，用于需要发送第一条路由消息时，与第二路由设备协商使用EAP进行认证;并在EAP认证成功后，依据EAP过程生成的MSK或共享密钥，计算AUTH载荷的值，并向第二路由设备发送AUTH载荷，在ISAKMP中完成认证；第二路由器，用于与第一路由设备协商使用EAP进行认证；并在EAP认证成功后，依据EAP过程生成的MSK或共享密钥，计算AUTH载荷的值，并向第一路由设备发送AUTH载荷，在ISAKMP中完成认证；所述ISAKMP包括了基本交换、身份保护交换、仅认证交换、以及进取交换四种交换类型。11.根据权利要求10所述的系统，其特征在于，当在第一路由设备与第二路由设备之间协商使用EAP进行认证时，且当第一路由设备与第二路由设备之间未配置信任关系，而第一路由设备与第二路由设备均与Diameter服务器之间事先己配置信任关系时，该系统进一步包括:第一Diameter服务器，用于收到第二路由设备发送的EAPStart消息后，与第二路由设备进行EAP认证信息交互，以使第一路由设备与第二路由设备之间通过Diameter服务器进行EAP认证过程，并在EAP认证过程成功后，将生成的MSK或共享密钥发送给第二路由设备；所述第二路由设备，还用于依据Diameter-EAP协议，向第一Diameter服务器发送EAPStart消息，与第一Diameter服务器进行EAP认证信息交互，以使第一路由设备与第二路由设备之间通过第一Diameter服务器进行EAP认证过程，并接收第一Diameter服务器发送的生成的MSK或共享密钥。12.根据权利要求11所述的系统，其特征在于，在第一路由设备与第二路由设备之间协商使用EAP进行认证时，且当第一路由设备与第二路由设备之间未配置信任关系，第一路由设备与第二路由设备之间通过两个以上Diameter服务器建立信任关系时，该系统进一步包括：第二Diameter服务器，用于收到第二路由设备发送的EAPStart消息后，向第一Diameter服务器转发EAPStart消息；与第一'Diameter服务器进彳丁EAP认证彳目息交互，以使第一路由设备与第二路由设备之间通过第一Diameter服务器、及第二Diameter服务器进行EAP认证过程;并将收到的第一Diameter服务器发送的生成的MSK或共享密钥发送给第二路由设备；所述第一Diameter服务器，还用于收到第二Diameter服务器发送的EAPStart消息后，与第二Diameter服务器进行EAP认证信息交互，以使第一路由设备与第二路由设备之间通过第一Diameter服务器、及第二Diameter服务器进行EAP认证过程，并在EAP认证过程成功后，将生成的MSK或共享密钥发送给第二Diameter服务器；所述第二路由设备，还用于依据Diameter-EAP协议，向第二Diameter服务器发送EAPStart消息，并接收第二Diameter服务器发送的生成的MSK或共享密钥。13.根据权利要求12所述的系统，其特征在于，所述第二Diameter服务器的个数为一个以上。

百度查询： 中兴通讯股份有限公司 一种基于ISAKMP的扩展认证方法及系统

免责声明
1、本报告根据公开、合法渠道获得相关数据和信息，力求客观、公正，但并不保证数据的最终完整性和准确性。
2、报告中的分析和结论仅反映本公司于发布本报告当日的职业理解，仅供参考使用，不能作为本公司承担任何法律责任的依据或者凭证。

阅读全文 双屏查看 官方信息 专利公告 收藏专利 下载PDF 下载WORD