CN101741548A - 交换设备间安全连接的建立方法及系统 - Google Patents

交换设备间安全连接的建立方法及系统 Download PDF

Info

Publication number
CN101741548A
CN101741548A CN200910219575A CN200910219575A CN101741548A CN 101741548 A CN101741548 A CN 101741548A CN 200910219575 A CN200910219575 A CN 200910219575A CN 200910219575 A CN200910219575 A CN 200910219575A CN 101741548 A CN101741548 A CN 101741548A
Authority
CN
China
Prior art keywords
switching equipment
key
field
interchange
interchange key
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN200910219575A
Other languages
English (en)
Other versions
CN101741548B (zh
Inventor
李琴
曹军
葛莉
铁满霞
黄振海
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
China Iwncomm Co Ltd
Original Assignee
China Iwncomm Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by China Iwncomm Co Ltd filed Critical China Iwncomm Co Ltd
Priority to CN2009102195751A priority Critical patent/CN101741548B/zh
Priority to US13/515,394 priority patent/US8713303B2/en
Priority to PCT/CN2010/073253 priority patent/WO2011072513A1/zh
Priority to EP10836950.5A priority patent/EP2515468B1/en
Priority to KR1020127018460A priority patent/KR101421259B1/ko
Priority to JP2012543452A priority patent/JP5540111B2/ja
Publication of CN101741548A publication Critical patent/CN101741548A/zh
Application granted granted Critical
Publication of CN101741548B publication Critical patent/CN101741548B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0838Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/64Hybrid switching systems
    • H04L12/6418Hybrid transport
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/061Network architectures or network communication protocols for network security for supporting key management in a packet data network for key exchange, e.g. in peer-to-peer networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/162Implementing security features at a particular protocol layer at the data link layer

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

本发明提供一种交换设备间安全连接的建立方法及系统,该交换设备安全连接的建立系统包括向交换设备SW2发送交换密钥协商激活分组和交换密钥协商响应分组、接收交换设备SW2发送的交换密钥协商请求分组的交换设备SW1以及接收交换设备SW1发送的交换密钥协商激活分组和交换密钥协商响应分组和向交换设备SW1发送的交换密钥协商请求分组的交换设备SW2;本发明通过为交换设备两两之间建立共享的交换密钥,为交换设备之间的数据保密传输提供一种安全策略,保证数据链路层交换设备之间数据传递过程的机密性;且可减轻交换设备的计算负担,减少数据包从发送方传递到接收方的延时,提高网络传输效率。

Description

交换设备间安全连接的建立方法及系统
技术领域
本发明涉及一种交换设备间安全连接的建立方法及系统。
背景技术
有线局域网一般为广播型网络,一个节点发出的数据,其他节点都能收到。网络上的各个节点共享信道,这给网络带来了极大的安全隐患。攻击者只要接入网络进行监听,就可以捕获网络上所有的数据包,从而窃取关键信息。
现有国家标准GB/T 15629.3(对应IEEE 802.3或者ISO/IEC 8802-3)定义的局域网LAN(Local Area Network)并不提供安全接入及数据保密方法,只要用户能接入局域网控制设备(如局域网中的交换设备),就可以访问局域网中的设备或资源。这在早期企业网有线局域网LAN应用环境下并不存在明显的安全隐患,但是随着网络的大规模发展,用户对信息的私密性要求不断提高,有必要实现数据链路层的数据保密。
在有线局域网中,IEEE通过对IEEE 802.3进行安全增强来实现数据链路层的安全。IEEE 802.1AE为保护以太网数据提供数据加密协议,并采用逐跳加密的安全措施来实现网络实体之间信息的安全传达。但是,逐跳加密这种安全措施要求交换设备SW(SWitch)对每一个需要转发的数据包进行解密后再加密再转发,无疑给局域网中的交换设备带来了巨大的计算负担,容易引发攻击者对交换设备的攻击;且数据包从发送方传递到接收方的延时也会增大,降低了网络传输效率。
发明内容
为了解决背景技术中存在的技术问题,本发明提供一种交换设备间安全连接的建立方法及系统,通过为交换设备两两之间建立共享的交换密钥,为交换设备之间的数据保密传输提供一种安全策略,保证数据链路层交换设备之间数据传递过程的机密性;且该安全机制中,交换设备无需对所有需要转发的数据包都进行解密再加密的处理,大多数需要转发的数据包都可以直接透传,相比IEEE 802.1AE技术,可减轻交换设备的计算负担,减少数据包从发送方传递到接收方的延时,提高网络传输效率。
本发明的技术解决方案是:本发明提供了一种交换设备间安全连接的建立方法,其特殊之处在于:所述交换设备间安全连接的建立方法包括以下步骤:
6)交换设备SW1向交换设备SW2发送交换密钥协商激活分组,该交换密钥协商激活分组包括NSW1字段;
其中:
NSW1字段:表示交换密钥协商标识;若为交换设备SW1与交换设备SW2之间的首次交换密钥协商过程,则该字段的值为交换设备SW1产生的随机数;若为更新的交换密钥协商过程,则该字段的值为上一次交换密钥协商过程中计算的交换密钥协商标识的值。
7)交换设备SW2接收交换设备SW1发送的交换密钥协商激活分组后,构造交换密钥协商请求分组发送给交换设备SW1;
8)交换设备SW1接收交换设备SW2发送的交换密钥协商请求分组后,构造交换密钥协商响应分组发送给交换设备SW2;
9)交换设备SW2接收交换设备SW1发送的交换密钥协商响应分组后,对交换设备SW1已获得与其一致的交换密钥进行确认。
当交换设备SW2收到交换密钥协商激活分组后,上述步骤7)的具体实现方式是:
7.1)若此次交换密钥协商过程为更新过程,则交换设备SW2检查交换密钥协商激活分组中的交换密钥协商标识NSW1字段值与上一次交换密钥协商过程中计算的交换密钥协商标识值是否一致,若不一致,则丢弃该分组;若一致,则执行步骤7.2);若为首次交换密钥协商过程,则直接执行步骤7.2);
7.2)生成询问NSW2,利用与交换设备SW1之间的交换基密钥SW-BK1-2、交换密钥协商标识NSW1及交换设备SW2的询问NSW2计算得到与交换设备SW1之间的交换密钥(协议数据交换密钥SW-PDK1-2、用户数据交换密钥SW-UDK1-2)以及下一次交换密钥协商过程中的交换密钥协商标识NSW1并保存;
7.3)利用计算得到的交换密钥中的协议数据交换密钥SW-PDK1-2本地计算消息鉴别码MIC5,构造交换密钥协商请求分组发送给交换设备SW1;该交换密钥协商请求分组包括:NSW2字段、NSW1字段以及MIC5字段;
其中:
NSW2字段:表示交换设备SW2的询问,是交换设备SW2产生的随机数;
NSW1字段:表示交换密钥协商标识;若为交换设备SW1与SW2之间的首次交换密钥协商过程,则该字段的值直接取决于交换密钥协商激活分组中NSW1字段的值;若为交换密钥协商更新过程,则该字段的值为上一次交换密钥协商过程中计算的交换密钥协商标识值;
MIC5字段:表示消息鉴别码,由交换设备SW2利用计算得到的交换密钥中的协议数据交换密钥SW-PDK1-2对交换密钥协商请求分组中本字段外的其他字段通过杂凑函数计算得到的杂凑值。
当交换设备SW1收到交换设备SW2发送的交换密钥协商请求分组后,上述步骤8)的具体实现方式是:
8.1)若此次交换密钥协商过程为更新过程,则检查分组中的NSW1字段与上一次交换密钥协商过程中计算的交换密钥协商标识值是否一致,若不一致,则丢弃该分组;若一致,则执行步骤8.2);若为首次交换密钥协商过程,则需要检查分组中的NSW1字段值与交换密钥协商激活分组中的NSW1字段值是否一致,若不一致,则丢弃该分组,若一致,执行步骤8.2);
8.2)利用与交换设备SW2之间的交换基密钥SW-BK1-2、交换密钥协商标识NSW1及交换设备SW2的询问NSW2计算得到与交换设备SW2之间的交换密钥(协议数据交换密钥SW-PDK1-2、用户数据交换密钥SW-UDK1-2)和下一次交换密钥协商过程中的交换密钥协商标识NSW1并保存;
8.3)利用计算得到的交换密钥中的协议数据交换密钥SW-PDK1-2验证交换密钥协商请求分组中的MIC5字段的正确性,若不正确,则丢弃该分组;若正确,则执行步骤8.4);
8.4)利用计算得到的交换密钥中的协议数据交换密钥SW-PDK1-2本地计算消息鉴别码MIC6,构造交换密钥协商响应分组,发送给交换设备SW2;该交换密钥协商响应分组包括:NSW2字段以及MIC6字段;
其中:
NSW2字段:表示交换设备SW2的询问,是交换设备SW2产生的随机数;其值同交换密钥协商请求分组中的NSW2字段的值;
MIC6字段:表示消息鉴别码,由交换设备SW1利用计算得到的交换密钥中的协议数据交换密钥SW-PDK1-2对交换密钥协商响应分组中本字段外的其他字段或对交换密钥协商响应分组中本字段外的其他字段及已计算出的下一次交换密钥协商过程中的交换密钥协商标识NSW1通过杂凑函数计算得到的杂凑值。
当交换设备SW2收到交换设备SW1发送的交换密钥协商响应分组后,上述步骤9)的具体实现方式是:
9.1)检查NSW2字段与之前发送的交换密钥协商请求分组中的NSW2字段是否相同,若不同,则丢弃该分组;若相同,则执行步骤9.2);
9.2)利用计算得到的交换密钥中的协议数据交换密钥SW-PDK1-2验证交换密钥协商响应分组中的MIC6字段的正确性,若不正确,则丢弃该分组;否则,交换设备SW2确认交换设备SW1已获得与其一致的交换密钥。
上述交换设备间安全连接的建立方法在步骤9)之后还包括以下步骤:
10)当交换设备SW2需要构造交换密钥协商确认分组时,交换设备SW2利用计算得到的交换密钥中的协议数据交换密钥SW-PDK1-2本地计算消息鉴别码MIC7,构造交换密钥协商确认分组,发送给交换设备SW1;该交换密钥协商确认分组包括:NSW1字段以及MIC7字段;
其中:
NSW1字段:表示交换密钥协商标识,其值同交换密钥协商请求分组中的NSW1字段的值;
MIC7字段:表示消息鉴别码,由交换设备SW2利用计算得到的交换密钥中的协议数据交换密钥SW-PDK1-2对交换密钥协商确认分组中本字段外的其他字段或对交换密钥协商确认分组中本字段外的其他字段及已计算出的下一次交换密钥协商过程中的交换密钥协商标识NSW1通过杂凑函数计算得到的杂凑值。
11)交换设备SW1接收交换设备SW2发送的交换密钥协商确认分组后,对交换设备SW2已获得与其一致的交换密钥进行确认。
当交换设备SW1收到交换设备SW2发送的交换密钥协商确认分组后,上述步骤11)的具体实现方式是:
11.1)当交换设备SW1收到交换设备SW2发送的交换密钥协商确认分组后,检查NSW1字段值与收到的交换密钥协商请求分组中的NSW1字段值是否相同,若不同,则丢弃该分组;若相同,则执行步骤11.2);
11.2)利用计算得到的交换密钥中协议数据交换密钥SW-PDK1-2验证交换密钥协商确认分组中的MIC7字段的正确性,若不正确,则丢弃该分组;若正确,则交换设备SW1确认交换设备SW2已获得与其一致的交换密钥。
当交换设备SW1通过交换设备SW-M成功接入网络时,交换设备SW1和交换设备SW-M之间通过预分发或其他安全机制已经建立起共享的单播密钥,该密钥直接作为它们之间的交换密钥,且交换设备SW-M和交换设备SW2之间已建立了交换密钥之后,上述交换设备间安全连接的建立方法在步骤6)之前,还包括以下步骤:
1)交换设备SW-M构造交换基密钥通告分组并发送给交换设备SW2;该交换基密钥通告分组包括:KN2字段、E2字段以及MIC1字段;
其中:
KN2字段:表示交换设备SW2的密钥通告标识,其值为一个整数,初始值为一定值,在每次对交换设备SW2进行交换基密钥通告时该字段值加1或增加一个定值使用;
E2字段:表示密钥加密数据,是交换设备SW-M利用与交换设备SW2之间的协议数据交换密钥SW-PDK2-M对交换基密钥SW-BK1-2加密后的数据;
MIC1字段:表示消息鉴别码,由交换设备SW-M利用与SW2之间的协议数据交换密钥SW-PDK2-M对交换基密钥通告分组中本字段外的其他字段通过杂凑函数计算得到的杂凑值;
2)交换设备SW2接收交换设备SW-M发送的交换基密钥通告分组后,构造交换基密钥通告响应分组发送给交换设备SW-M;
3)交换设备SW-M接收交换设备SW2发送的交换基密钥通告响应分组后,构造交换基密钥通告分组发送给交换设备SW1;
4)交换设备SW1接收交换设备SW-M发送的交换基密钥通告分组后,构造交换基密钥通告响应分组发送给交换设备SW-M;
5)交换设备SW-M接收交换设备SW1发送的交换基密钥通告响应分组。
当交换设备SW2收到交换设备SW-M发送的交换基密钥通告分组后,上述步骤2)的具体实现方式是:
2.1)检查KN2字段是否单调递增,若不是,则丢弃该分组;否则,执行步骤2.2);
2.2)利用与交换设备SW-M之间的协议数据交换密钥SW-PDK2-M验证MIC1字段是否正确,若不正确,则丢弃该分组;若正确,执行步骤2.3);
2.3)利用与交换设备SW-M之间的协议数据交换密钥SW-PDK2-M解密E2字段即可得到与交换设备SW1之间的交换基密钥SW-BK1-2
2.4)保存此次的密钥通告标识KN2字段的值,构造交换基密钥通告响应分组,发送给交换设备SW-M;该交换基密钥通告响应分组主要内容包括:KN2字段以及MIC2字段;
其中:
KN2字段:表示交换设备SW2的密钥通告标识,其值同收到的交换基密钥通告分组中的KN2字段的值;
MIC2字段:表示消息鉴别码,由交换设备SW2利用与交换设备SW-M之间的协议数据交换密钥SW-PDK2-M对交换基密钥通告响应分组中本字段外的其他字段通过杂凑函数计算得到的杂凑值。
当交换设备SW-M收到交换设备SW2发送的交换基密钥通告响应分组后,上述步骤3)的具体实现方式是:
3.1)比较KN2字段与之前发送给交换设备SW2的交换基密钥通告分组中的KN2字段值是否一致,若不一致,则丢弃该分组;若一致,则执行步骤3.2);
3.2)利用与SW2之间的协议数据交换密钥SW-PDK2-M验证MIC2字段的正确性,若不正确,则丢弃该分组;若正确,则保存此次的密钥通告标识KN2字段的值,完成将交换设备SW1与交换设备SW2之间的交换基密钥SW-BK1-2对交换设备SW2通告的过程,然后执行步骤3.3);
3.3)交换设备SW-M根据之前通告给交换设备SW2的交换基密钥SW-BK1-2,构造交换基密钥通告分组,发送给交换设备SW1;该交换基密钥通告分组包括:KN1字段、E1字段以及MIC3字段;
其中:
KN1字段:表示交换设备SW1的密钥通告标识,其值为一个整数,初始值为一定值,在每次对交换设备SW1进行交换基密钥通告时该字段值加1或增加一个定值使用;
E1字段:表示密钥加密数据,是交换设备SW-M利用与交换设备SW1之间的协议数据交换密钥SW-PDK1-M对交换基密钥SW-BK1-2加密后的数据,其中交换基密钥SW-BK1-2同通告给交换设备SW2的交换基密钥SW-BK1-2
MIC3字段:表示消息鉴别码,由交换设备SW-M利用与交换设备SW1之间的协议数据交换密钥SW-PDK1-M对交换基密钥通告分组中本字段外的其他字段通过杂凑函数计算得到的杂凑值。
当交换设备SW1收到交换设备SW-M发送的交换基密钥通告分组后,上述步骤4)的具体实现方式是:
4.1)检查KN1字段是否单调递增,若不是,则丢弃该分组;否则,执行步骤4.2);
4.2)利用与交换设备SW-M之间的协议数据交换密钥SW-PDK1-M验证MIC3字段是否正确,若不正确,则丢弃该分组;若正确,执行步骤4.3);
4.3)利用与交换设备SW-M之间的协议数据交换密钥SW-PDK1-M解密E1字段即可得到与交换设备SW1之间的交换基密钥SW-BK1-2
4.4)保存此次的密钥通告标识KN1字段的值,并构造交换基密钥通告响应分组,发送给交换设备SW-M;该交换基密钥通告响应分组包括:KN1字段及MIC4字段;
其中:
KN1字段:表示交换设备SW1的密钥通告标识,其值同收到的交换基密钥通告分组中的KN1字段的值;
MIC4字段:表示消息鉴别码,由交换设备SW1利用与交换设备SW-M之间的协议数据交换密钥SW-PDK1-M对交换基密钥通告响应分组中本字段外的其他字段通过杂凑函数计算得到的杂凑值;
当交换设备SW-M收到交换设备SW1发送的交换基密钥通告响应分组后,上述步骤5)的具体实现方式是:
5.1)比较KN1字段与之前发送给交换设备SW1的交换基密钥通告分组中的KN1字段值是否一致,若不一致,则丢弃该分组;否则,执行步骤5.2);
5.2)利用与交换设备SW1之间的协议数据交换密钥SW-PDK1-M验证MIC4字段的正确性,若正确,则保存此次的密钥通告标识KN1字段的值,完成将交换设备SW1与交换设备SW2之间的交换基密钥SW-BK1-2对交换设备SW1通告的过程,即完成交换设备SW1和交换设备SW2交换基密钥的建立过程;若不正确,则丢弃该分组。
上述交换设备间安全连接的建立方法还包括如下特征:
若交换设备SW-M需要更新或者撤销交换设备SW1与SW2之间的交换基密钥时,交换设备SW-M构造交换基密钥通告分组,发送给交换设备SW1/SW2,要求交换设备SW1/SW2更新或者删除与交换设备SW2/SW1之间的交换基密钥;交换基密钥的更新、撤销过程和交换基密钥的建立过程相同,具体实现时,通过在上述的交换基密钥通告过程中的每个分组中增加一个标识字段进行区分,用于标识通过交换设备SW完成交换设备SW1和SW2之间交换基密钥的建立、撤销或者更新过程。
若交换设备SW1/SW2需要更新或者撤销与交换设备SW2/SW1之间的交换密钥时,交换设备SW1/SW2构造交换密钥协商激活分组发送给交换设备SW2/SW1,要求交换设备SW2/SW1更新或者删除与交换设备SW1/SW2之间的交换密钥;交换密钥的更新、撤销过程和交换密钥的协商过程相同,具体实现时,通过在上述的交换密钥协商过程中的每个分组中增加一个标识字段进行区分,用于标识交换设备SW1与SW2之间交换密钥的协商、撤销或者更新。
一种交换设备安全连接的建立系统,其特殊之处在于:所述交换设备安全连接的建立系统包括向交换设备SW2发送交换密钥协商激活分组和交换密钥协商响应分组、接收交换设备SW2发送的交换密钥协商请求分组的交换设备SW1以及接收交换设备SW1发送的交换密钥协商激活分组和交换密钥协商响应分组和向交换设备SW1发送的交换密钥协商请求分组的交换设备SW2。
上述交换设备安全连接的建立系统中,交换设备SW2还可发送交换密钥协商确认分组给交换设备SW1;此时,交换设备SW1接收交换设备SW2发送的交换密钥协商确认分组。
上述交换设备安全连接的建立系统还包括向交换设备SW2或交换设备SW1发送交换基密钥通告分组并接收交换设备SW2或交换设备SW1发送的交换基密钥通告响应分组的交换设备SW-M;此时,上述系统中的交换设备SW2接收交换设备SW-M发送的交换基密钥通告分组,并向交换设备SW-M发送交换基密钥通告响应分组;上述系统中的交换设备SW1接收SW-M发送的交换基密钥通告分组,并向交换设备SW-M发送交换基密钥通告响应分组。
本发明的优点是:本发明在相邻交换设备SW之间通过预分发或其他安全机制已建立了共享的单播密钥的基础上,提供一种方法为交换设备两两之间建立交换密钥,并将该密钥用于交换设备之间数据的保密通信过程,为交换设备之间的数据保密传输提供一种安全策略,保证数据链路层交换设备之间数据传递过程的机密性,提高了网络的安全性。
附图说明
图1为本发明所述交换基密钥通告过程示意图;
图2为本发明所述交换密钥协商过程示意图;
图3为本发明所述不相邻交换设备之间交换密钥的建立过程示意图;
具体实施方式
本发明中定义的单播密钥包含协议数据密钥PDK(Protocol Data Key)和用户数据密钥UDK(User Data Key)两部分,其中协议数据密钥PDK用于保护设备之间协议数据中密钥数据的机密性及协议数据的完整性,用户数据密钥UDK用于保护设备之间用户数据的机密性及用户数据完整性;交换密钥包含协议数据交换密钥SW-PDK(SWitch Protocol Data Key)和用户数据交换密钥SW-UDK(SWitch User Data Key)。交换密钥的两个组成部分与单播密钥的两个组成部分一一对应。
在实际应用时,协议数据密钥PDK、用户数据密钥UDK或者协议数据交换密钥SW-PDK、用户数据交换密钥SW-UDK的结构可以根据分组加密模式的不同而有所变化,用于保护数据机密性和完整性的密钥可以相同,也可以不同。
参见图1-3,本发明提供了一种为交换设备间建立安全连接的方法及系统,通过该方法可为局域网中所有交换设备两两之间建立交换密钥。
本发明提供方法中,若交换设备SW1和SW2相邻,则它们之间的交换密钥就是它们之间的单播密钥;若交换设备SW1和SW2不相邻,则它们之间交换密钥的建立分为两个过程:交换基密钥通告过程和交换密钥协商过程。对于不相邻的交换设备SW1和SW2,若它们之间已存在通过预分发或其他安全机制(本发明对此不作定义和限制)建立的交换基密钥SW-BK(Switch Basic Key),则只需执行交换密钥协商过程即可完成交换密钥的建立;若它们之间没有预先设置的交换基密钥,则首先需要执行交换基密钥通告过程,再执行交换密钥协商过程,才能完成交换密钥的建立。
由于相邻的交换设备之间的单播密钥就是它们之间的交换密钥,当相邻的交换设备通过预分发或其他安全机制(本发明对此不作定义和限制)建立了共享的单播密钥时,也就建立了它们之间的交换密钥。初始的网络中可以只有一个或者两个交换设备,之后逐步扩展。因此,当交换设备SW1通过当前网络中的交换设备SW-M接入当前网络时,交换设备SW1和SW-M已建立了单播密钥,即建立了它们之间的交换密钥,同时当前网络中其他所有不相邻的交换设备两两之间也已建立有交换密钥。此时,通过交换设备SW-M就可以建立交换设备SW1和当前网络中其他任意的交换设备(如SW2)之间的交换密钥。交换设备SW1和SW2之间交换密钥建立过程即为本发明阐述的交换基密钥通告过程和交换密钥协商过程,具体步骤如下:
1)交换基密钥通告过程:
交换基密钥通告过程为网络中不相邻的交换设备SW1和交换设备SW2之间建立交换基密钥,将此密钥应用于交换密钥协商过程,以建立起交换设备SW1与交换设备SW2之间共享的交换密钥。
参见图1,交换基密钥通告过程是由交换设备SW-M生成一个随机数,作为交换设备SW2和SW1的交换基密钥,并先后将此交换基密钥通告给交换设备SW2和SW1。该过程共包含四个步骤:交换设备SW-M对SW2的交换基密钥通告、交换设备SW2的交换基密钥通告响应、交换设备SW-M对SW1的交换基密钥通告以及交换设备SW1的交换基密钥通告响应。其中交换设备SW-M对SW1的交换基密钥通告及交换设备SW1的交换基密钥通告响应与交换设备SW-M对SW2的交换基密钥通告及交换设备SW2的交换基密钥通告响应类似,只是通告中的交换基密钥所使用的协议数据交换密钥SW-PDK不同。
1.1)交换设备SW-M对SW2的交换基密钥通告
当交换设备SW1通过SW-M成功接入网络后,交换设备SW1和交换设备SW-M之间通过预分发或其他安全机制(本发明对此不作定义和限制)已经建立起共享的单播密钥(协议数据密钥PDK1-M、用户数据密钥UDK1-M),该密钥直接作为它们之间的交换密钥(协议数据交换密钥SW-PDK1-M、用户数据交换密钥SW-UDK1-M)。根据上述假设,交换设备SW-M和交换设备SW2之间已存在交换密钥(协议数据交换密钥SW-PDK2-M、用户数据交换密钥SW-UDK2-M)。交换设备SW-M为建立交换设备SW1和SW2之间共享的交换基密钥SW-BK1-2,首先交换设备SW-M生成一个随机数,作为交换设备SW1和SW2之间的交换基密钥SW-BK1-2,构造交换基密钥通告分组并发送给交换设备SW2。
交换基密钥通告分组的主要内容包括:
  KN2   E2   MIC1
其中:
KN2字段:表示交换设备SW2的密钥通告标识,其值为一个整数,初始值为一定值,在每次对交换设备SW2进行交换基密钥通告时该字段值加1或增加一个定值使用;
E2字段:表示密钥加密数据,是交换设备SW-M利用与交换设备SW2之间的协议数据交换密钥SW-PDK2-M对交换基密钥SW-BK1-2加密后的数据;
MIC1字段:表示消息鉴别码,由交换设备SW-M利用与交换设备SW2之间的协议数据交换密钥SW-PDK2-M对交换基密钥通告分组中本字段外的其他字段通过杂凑函数计算得到的杂凑值。
1.2)交换设备SW2交换基密钥通告响应
当交换设备SW2收到交换设备SW-M发送的交换基密钥通告分组后,进行如下处理:
1.2.1)检查KN2字段是否单调递增,若不是,则丢弃该分组;否则,执行步骤1.2.2);
1.2.2)利用与交换设备SW-M之间的协议数据交换密钥SW-PDK2-M验证MIC1字段是否正确,若不正确,则丢弃该分组;若正确,执行步骤1.2.3);
1.2.3)利用与交换设备SW-M之间的协议数据交换密钥SW-PDK2-M解密E2字段即可得到与交换设备SW1之间的交换基密钥SW-BK1-2
1.2.4)保存此次的密钥通告标识KN2字段的值,并构造交换基密钥通告响应分组,发送给交换设备SW-M。
交换基密钥通告响应分组主要内容包括:
 KN2   MIC2
其中:
KN2字段:表示密钥通告标识,其值同收到的交换基密钥通告分组中的KN2字段的值;
MIC2字段:表示消息鉴别码,由交换设备SW2利用与交换设备SW-M之间的协议数据交换密钥SW-PDK2-M对交换基密钥通告响应分组中本字段外的其他字段通过杂凑函数计算得到的杂凑值。
1.3)交换设备SW-M对SW1的交换基密钥通告
交换设备SW-M收到交换设备SW2发送的交换基密钥通告响应分组后,进行如下处理:
1.3.1)比较KN2字段与之前发送给交换设备SW2的交换基密钥通告分组中的KN2字段值是否一致,若不一致,则丢弃该分组;若一致,则执行步骤1.3.2);
1.3.2)利用与交换设备SW2之间的协议数据交换密钥SW-PDK2-M验证MIC2字段的正确性,若不正确,则丢弃该分组;若正确,则保存此次的密钥通告标识KN2字段的值,完成将交换设备SW1与交换设备SW2之间的交换基密钥SW-BK1-2对交换设备SW2通告的过程。执行步骤1.3.3);
1.3.3)交换设备SW-M根据之前通告给交换设备SW2的交换基密钥SW-BK1-2,构造交换基密钥通告分组,发送给交换设备SW1。
交换基密钥通告分组的主要内容包括:
  KN1   E1   MIC3
其中:
KN1字段:表示交换设备SW1的密钥通告标识,其值为一个整数,初始值为一定值,在每次对交换设备SW1进行交换基密钥通告时该字段值加1或增加一个定值使用;
E1字段:表示密钥加密数据,是交换设备SW-M利用与交换设备SW1之间的协议数据交换密钥SW-PDK1-M对交换基密钥SW-BK1-2加密后的数据,其中交换基密钥SW-BK1-2同通告给交换设备SW2的交换基密钥SW-BK1-2
MIC3字段:表示消息鉴别码,由交换设备SW-M利用与交换设备SW1之间的协议数据交换密钥SW-PDK1-M对交换基密钥通告分组中本字段外的其他字段通过杂凑函数计算得到的杂凑值。
1.4)交换设备SW1交换基密钥通告响应
交换设备SW1收到交换设备SW-M发送的交换基密钥通告分组后,进行如下处理:
1.4.1)检查KN1字段是否单调递增,若不是则丢弃该分组;否则执行步骤1.4.2);
1.4.2)利用与交换设备SW-M之间的协议数据交换密钥SW-PDK1-M验证MIC3字段是否正确,若不正确,则丢弃该分组;若正确,执行步骤1.4.3);
1.4.3)利用与交换设备SW-M之间的协议数据交换密钥SW-PDK1-M解密E1字段即可得到与交换设备SW1之间的交换基密钥SW-BK1-2
1.4.4)保存此次的密钥通告标识KN1字段的值,并构造交换基密钥通告响应分组,发送给交换设备SW-M。
交换基密钥通告响应分组主要内容包括:
 KN1   MIC4
其中:
KN1字段:表示交换设备SW1的密钥通告标识,其值同收到的交换基密钥通告分组中的KN1字段的值;
MIC4字段:表示消息鉴别码,由交换设备SW1利用与交换设备SW-M之间的协议数据交换密钥SW-PDK1-M对交换基密钥通告响应分组中本字段外的其他字段通过杂凑函数计算得到的杂凑值。
1.5)交换设备SW-M收到交换设备SW1发送的交换基密钥通告响应分组后,进行如下处理:
1.5.1)比较KN1字段与之前发送给交换设备SW1的交换基密钥通告分组中的KN1字段值是否一致,如果不一致,则丢弃该分组;否则执行步骤1.5.2);
1.5.2)利用与交换设备SW1之间的协议数据交换密钥SW-PDK1-M验证MIC4字段的正确性,若正确,则保存此次的密钥通告标识KN1字段的值,完成将交换设备SW1与交换设备SW2之间的交换基密钥SW-BK1-2对交换设备SW1通告的过程,即完成为交换设备SW1和交换设备SW2交换基密钥的建立过程;若不正确,则丢弃该分组。
在具体实现时,对交换设备SW2和SW1的通告不成功时,可通过重新通告机制重新发起通告。交换设备SW1通过交换设备SW-M接入网络,若交换设备SW-M对交换设备SW2的通告在达到设定的最大重新通告次数仍没有取得成功,则认为无法为交换设备SW1和SW2建立一致的交换基密钥,协议终止;若对交换设备SW2的通告取得成功,但对交换设备SW1的通告在达到设定的最大重新通告次数仍没有取得成功,则认为无法为交换设备SW1和SW2建立一致的交换基密钥,此时需要通知交换设备SW2撤销刚建立的与交换设备SW1之间的交换基密钥,即交换设备SW-M构造交换基密钥通告分组给交换设备SW2,通知交换设备SW2将已建立的与交换设备SW1之间的交换基密钥删除。
若交换设备SW-M需要更新或者撤销交换设备SW1与SW2之间的交换基密钥,也可以构造交换基密钥通告分组发送给交换设备SW2/SW1,要求交换设备SW2/SW1更新或者删除与交换设备SW1/SW2之间的交换基密钥。交换基密钥的更新或撤销过程和交换基密钥的建立过程相同,在具体实现时,可通过在上述交换基密钥通告过程中的每个分组中增加一个标识字段进行区分,用于标识通过交换设备SW完成交换设备SW1和SW2之间交换基密钥的建立、撤销或者更新过程。
2)交换密钥协商过程:
交换密钥协商过程是交换设备SW1和SW2利用它们之间的交换基密钥SW-BK1-2来协商共享的交换密钥(协议数据交换密钥SW-PDK1-2、用户数据交换密钥SW-UDK1-2)。参见图2,交换密钥协商过程包含四个分组:交换密钥协商激活分组、交换密钥协商请求分组、交换密钥协商响应分组及交换密钥协商确认分组,其中交换密钥协商确认分组是可选的,即在具体实现过程中,交换设备SW2向交换设备SW1可发送交换密钥协商确认分组,也可不发送交换密钥协商确认分组,具体实现策略该发明中不予限定。交换密钥协商具体过程如下:
2.1)交换设备SW1向交换设备SW2发送交换密钥协商激活分组
当交换设备SW1与交换设备SW2已配置好两两的交换基密钥SW-BK1-2准备建立交换密钥(协议数据交换密钥SW-PDK1-2、用户数据交换密钥SW-UDK1-2)时,或通过交换基密钥通告过程已建立交换基密钥SW-BK1-2时,交换设备SW1发送交换密钥协商激活分组给交换设备SW2开始交换密钥协商过程。
交换密钥协商激活分组的主要内容包括:
  NSW1
其中:
NSW1字段:表示交换密钥协商标识,若为交换设备SW1与交换设备SW2之间的首次交换密钥协商过程,则该字段的值为交换设备SW1产生的随机数;若为更新的交换密钥协商过程,则该字段的值为上一次交换密钥协商过程中计算的交换密钥协商标识的值。
2.2)交换设备SW2向交换设备SW1发送交换密钥协商请求分组
当交换设备SW2收到交换设备SW1发送的交换密钥协商激活分组后,进行如下处理:
2.2.1)若此次交换密钥协商过程为更新过程,则交换设备SW2检查分组中的交换密钥协商标识NSW1字段值与上一次交换密钥协商过程中计算的交换密钥协商标识值是否一致,若不一致,则丢弃该分组,若一致,则执行步骤2.2.2);若为首次交换密钥协商过程,则直接执行步骤2.2.2);
2.2.2)生成询问NSW2,利用与交换设备SW1之间的交换基密钥SW-BK1-2、交换密钥协商标识NSW1及交换设备SW2生成的询问NSW2计算得到与交换设备SW1之间的交换密钥(协议数据交换密钥SW-PDK1-2、用户数据交换密钥SW-UDK1-2)以及下一次交换密钥协商过程中的交换密钥协商标识NSW1并保存;
2.2.3)利用计算得到的交换密钥中的协议数据交换密钥SW-PDK1-2本地计算消息鉴别码MIC5,构造交换密钥协商请求分组发送给交换设备SW1。
交换密钥协商请求分组主要内容包括:
  NSW2   NSW1   MIC5
其中:
NSW2字段:表示交换设备SW2的询问,是交换设备SW2产生的随机数;
NSW1字段:表示交换密钥协商标识,若为交换设备SW1与交换设备SW2之间的首次交换密钥协商过程,则该字段的值直接取决于交换密钥协商激活分组中NSW1字段的值;若为交换密钥协商更新过程,则该字段的值为上一次交换密钥协商过程中计算的交换密钥协商标识值;
MIC5字段:表示消息鉴别码,由交换设备SW2利用计算得到的交换密钥中的协议数据交换密钥SW-PDK1-2对交换密钥协商请求分组中本字段外的其他字段通过杂凑函数计算得到的杂凑值。
2.3)交换设备SW1向交换设备SW2发送交换密钥协商响应分组
当交换设备SW1收到交换设备SW2发送的交换密钥协商请求分组后,进行如下处理:
2.3.1)若此次交换密钥协商过程为更新过程,则检查分组中的NSW1字段与上一次交换密钥协商过程中计算的交换密钥协商标识值是否一致,若不一致,则丢弃该分组,若一致,则执行步骤2.3.2);若为首次交换密钥协商过程,则需要检查分组中的NSW1字段值与交换密钥协商激活分组中的NSW1字段值是否一致,若不一致,则丢弃该分组,若一致,则执行步骤2.3.2);
2.3.2)利用与交换设备SW2之间的交换基密钥SW-BK1-2、交换密钥协商标识NSW1及交换设备SW2的询问NSW2计算得到与交换设备SW2之间的交换密钥(协议数据交换密钥SW-PDK1-2、用户数据交换密钥SW-UDK1-2)和下一次交换密钥协商过程中的交换密钥协商标识NSW1并保存;
2.3.3)利用计算得到的交换密钥中的协议数据交换密钥SW-PDK1-2验证交换密钥协商请求分组中的MIC5字段的正确性,若不正确,则丢弃该分组;若正确,执行步骤2.3.4);
2.3.4)利用计算得到的交换密钥中的协议数据交换密钥SW-PDK1-2本地计算消息鉴别码MIC6,构造交换密钥协商响应分组,发送给交换设备SW2。
交换密钥协商响应分组主要内容包括:
  NSW2   MIC6
其中:
NSW2字段:表示交换设备SW2的询问,是交换设备SW2产生的随机数。其值同交换密钥协商请求分组中的NSW2字段的值;
MIC6字段:表示消息鉴别码,由交换设备SW1利用计算得到的交换密钥中的协议数据交换密钥SW-PDK1-2对交换密钥协商响应分组中本字段外的其他字段或对交换密钥协商响应分组中本字段外的其他字段及已计算出的下一次交换密钥协商过程中的交换密钥协商标识NSW1通过杂凑函数计算得到的杂凑值。
2.4)交换设备SW2确认交换设备SW1的交换密钥
交换设备SW2收到交换设备SW1发送的交换密钥协商响应分组后,进行如下处理:
2.4.1)检查NSW2字段与之前发送的交换密钥协商请求分组中的NSW2字段是否一致,若不一致,则丢弃该分组;若一致,执行步骤2.4.2);
2.4.2)利用计算得到的交换密钥中的协议数据交换密钥SW-PDK1-2验证交换密钥协商响应分组中的MIC6字段的正确性,若不正确,则丢弃该分组;否则,交换设备SW2确认交换设备SW1已获得与其一致的交换密钥。
参见图2,本发明流程中在步骤2.4)之后,还包括如下步骤:
2.5)交换设备SW2向交换设备SW1发送交换密钥协商确认分组
当交换设备SW2需要构造交换密钥协商确认分组时,交换设备SW2利用计算得到的交换密钥中的协议数据交换密钥SW-PDK1-2本地计算消息鉴别码MIC7,构造交换密钥协商确认分组,发送给交换设备SW1;该交换密钥协商确认分组是可选的,即在具体实现过程中,交换设备SW2向交换设备SW1可发送交换密钥协商确认分组,也可不发送交换密钥协商确认分组,具体实现策略该发明中不予限定。
交换密钥协商确认分组主要内容包括:
  NSW1   MIC7
其中:
NSW1字段:表示交换密钥协商标识,其值同交换密钥协商请求分组中的NSW1字段的值;
MIC7字段:表示消息鉴别码,由交换设备SW2利用计算得到的交换密钥中的协议数据交换密钥SW-PDK1-2对交换密钥协商确认分组中本字段外的其他字段或对交换密钥协商确认分组中本字段外的其他字段及已计算出的下一次交换密钥协商过程中的交换密钥协商标识NSW1通过杂凑函数计算得到的杂凑值。
2.6)交换设备SW1确认交换设备SW2的交换密钥:
交换设备SW1收到交换设备SW2发送的交换密钥协商确认分组后,进行如下处理:
2.6.1)检查NSW1字段值与收到的交换密钥协商请求分组中的NSW1字段值是否一致,若不一致,则丢弃该分组;若一致,执行步骤2.6.2);
2.6.2)利用计算得到的交换密钥中协议数据交换密钥SW-PDK1-2验证交换密钥协商确认分组中的MIC7字段的正确性,若不正确,则丢弃该分组;若正确,则交换设备SW1确认交换设备SW2已获得与其一致的交换密钥。
上述交换设备间安全连接的建立方法还包括如下特征:
若交换设备SW-M需要更新或者撤销交换设备SW1与SW2之间的交换基密钥,则构造交换基密钥通告分组发送给交换设备SW2/SW1,要求交换设备SW2/SW1更新或者删除与交换设备SW1/SW2之间的交换基密钥。交换基密钥的更新或撤销过程和交换基密钥的建立过程相同,在具体实现时,可通过在上述交换基密钥通告过程中的每个分组中增加一个标识字段进行区分,用于标识通过交换设备SW完成交换设备SW1和SW2之间交换基密钥的建立、撤销或者更新过程。
若交换设备SW1/SW2需要更新或者撤销与交换设备SW2/SW1之间的交换密钥时,交换设备SW1/SW2构造交换密钥协商激活分组发送给交换设备SW2/SW1,要求交换设备SW2/SW1更新或者删除与交换设备SW1/SW2之间交换密钥;交换密钥的更新、撤销过程和交换密钥的协商过程相同,具体实现时,通过在上述的交换密钥协商过程中的每个分组中增加一个标识字段进行区分,用于标识交换设备SW1与SW2之间交换密钥的协商、撤销或者更新。
如图3所示,交换设备SW-M是当前网络中的交换设备;交换设备SW1是即将通过SW-M接入网络的交换设备;交换设备SW2是当前网络中除交换设备SW-M外的其他任一交换设备。
根据之前的假设,当前网络中所有的交换设备两两之间有交换密钥。因此,交换设备SW-M和SW2之间有交换密钥,即图3中交换设备SW-M和SW2之间的“(一)(SW-PDK2-M,SW-UDK2-M)”。
当交换设备SW1通过SW-M接入当前网络时,通过预分发或其他安全机制可建立交换设备SW1与SW-M之间的单播密钥,此单播密钥就是它们之间的交换密钥,即图3中交换设备SW-M和SW1之间的“(一)(SW-PDK1-M,SW-UDK1-M)=(PDK1-M,UDK1-M)所示。
之后交换设备SW1要与当前网络中其他所有的交换设备建立交换密钥。以交换设备SW2为例,若交换设备SW1与SW2没有配置共享的交换基密钥,则需要通过图中的八个分组交换过程来建立它们之间的交换密钥,即图3中的过程“(二)”和“(三)”;若交换设备SW1与SW2已配置共享的交换基密钥,则直接发起第5个分组,只需要图3中的过程“(三)”即可建立它们之间的交换密钥。
图中的“(一)”为本发明中的假设,假设相邻的交换设备之间通过预分发或其他安全机制建立了单播密钥,当前网络中交换设备之间已建立了交换密钥;图中的“(二)”,和“(三)”为本发明所述的交换基密钥通告过程和交换密钥协商过程。
通过图3所示的过程后,交换设备SW1和SW2之间就建立了交换密钥(SW-PDK1-2,SW-UDK1-2),从SW1到SW2的数据包可使用它们之间的用户数据交换密钥SW-UDK1-2进行加密处理和数据完整性保护。当交换设备SW1需要发送数据给交换设备SW2时,则交换设备SW1利用SW1和SW2之间的用户数据交换密钥SW-UDK1-2对数据进行加密发送,中间的交换设备如SW-M无需进行解密再加密的处理,直接对数据包进行透传,数据包最终由交换设备SW2利用SW1和SW2之间的用户数据交换密钥SW-UDK1-2进行解密处理。
至于交换设备是否配置了共享的交换基密钥等信息,可在交换设备SW1接入鉴别过程中告知交换设备SW-M,以便于SW-M判断是否需要发起交换基密钥通告过程,具体实现细节本发明中不予限制和定义。
通过多次交换基密钥通告过程和交换密钥协商过程,交换设备SW1就可以和网络中所有其他交换设备建立交换密钥。最终网络中的交换设备两两之间都具有交换密钥,即建立起了网络中交换设备之间的安全连接。之后,交换设备之间用户数据的保密通信就可以直接使用它们之间交换密钥中的用户数据密钥UDK进行保护。
本发明的交换设备间安全连接的建立系统包括向交换设备SW2发送交换密钥协商激活分组和交换密钥协商响应分组、接收交换设备SW2发送的交换密钥协商请求分组的交换设备SW1以及接收交换设备SW1发送的交换密钥协商激活分组和交换密钥协商响应分组和向交换设备SW1发送的交换密钥协商请求分组的交换设备SW2。
本发明的交换设备间安全连接的建立系统中,交换设备SW2还可发送交换密钥协商确认分组给交换设备SW1;此时,交换设备SW1接收交换设备SW2发送的交换密钥协商确认分组。
本发明的交换设备间安全连接的建立系统还包括向交换设备SW2或交换设备SW1发送交换基密钥通告分组并接收交换设备SW2或交换设备SW1发送的交换基密钥通告响应分组的交换设备SW-M;此时,上述系统中的交换设备SW2接收交换设备SW-M发送的交换基密钥通告分组,并向交换设备SW-M发送交换基密钥通告响应分组;上述系统中的交换设备SW1接收SW-M发送的交换基密钥通告分组,并向交换设备SW-M发送交换基密钥通告响应分组。

Claims (16)

1.一种交换设备间安全连接的建立方法,其特征在于:所述交换设备间安全连接的建立方法包括以下步骤:
6)交换设备SW1向交换设备SW2发送交换密钥协商激活分组,该交换密钥协商激活分组包括NSW1字段;
其中:
NSW1字段:表示交换密钥协商标识;若为交换设备SW1与交换设备SW2之间的首次交换密钥协商过程,则该字段的值为交换设备SW1产生的随机数;若为更新的交换密钥协商过程,则该字段的值为上一次交换密钥协商过程中计算的交换密钥协商标识的值;
7)交换设备SW2接收交换设备SW1发送的交换密钥协商激活分组后构造交换密钥协商请求分组发送给交换设备SW1;
8)交换设备SW1接收交换设备SW2发送的交换密钥协商请求分组后构造交换密钥协商响应分组发送给交换设备SW2;
9)交换设备SW2接收交换设备SW1发送的交换密钥协商响应分组后,对交换设备SW1已获得与其一致的交换密钥进行确认。
2.根据权利要求1所述的交换设备间安全连接的建立方法,其特征在于:当交换设备SW2收到交换密钥协商激活分组后,所述步骤7)的具体实现方式是:
7.1)若此次交换密钥协商过程为更新过程,则交换设备SW2检查交换密钥协商激活分组中的交换密钥协商标识NSW1字段值与上一次交换密钥协商过程中计算的交换密钥协商标识值是否一致,若不一致,则丢弃该分组;若一致,则执行步骤8.2);若为首次交换密钥协商过程,则直接执行步骤7.2);
7.2)生成询问NSW2,利用与交换设备SW1之间的交换基密钥SW-BK1-2、交换密钥协商标识NSW1及交换设备SW2的询问NSW2计算得到与交换设备SW1之间的交换密钥以及下一次交换密钥协商过程中的交换密钥协商标识NSW1并保存;所述与交换设备SW1之间的交换密钥是协议数据交换密钥SW-PDK1-2以及用户数据交换密钥SW-UDK1-2
7.3)利用计算得到的交换密钥中的协议数据交换密钥SW-PDK1-2本地计算消息鉴别码MIC5,构造交换密钥协商请求分组发送给交换设备SW1;该交换密钥协商请求分组包括:NSW2字段、NSW1字段以及MIC5字段;
其中:
NSW2字段:表示交换设备SW2的询问,是交换设备SW2产生的随机数;
NSW1字段:表示交换密钥协商标识;若为交换设备SW1与SW2之间的首次交换密钥协商过程,则该字段的值直接取决于交换密钥协商激活分组中NSW1字段的值;若为交换密钥协商更新过程,则该字段的值为上一次交换密钥协商过程中计算的交换密钥协商标识值;
MIC5字段:表示消息鉴别码,由交换设备SW2利用计算得到的交换密钥中的协议数据交换密钥SW-PDK1-2对交换密钥协商请求分组中本字段外的其他字段通过杂凑函数计算得到的杂凑值。
3.根据权利要求2所述的交换设备间安全连接的建立方法,其特征在于:当交换设备SW1收到交换设备SW2发送的交换密钥协商请求分组后,所述步骤8)的具体实现方式是:
8.1)若此次交换密钥协商过程为更新过程,则检查分组中的NSW1字段与上一次交换密钥协商过程中计算的交换密钥协商标识值是否一致,若不一致,则丢弃该分组;若一致,则执行步骤8.2);若为首次交换密钥协商过程,则需要检查分组中的NSW1字段值与交换密钥协商激活分组中的NSW1字段值是否一致,若不一致,则丢弃该分组,若一致,执行步骤8.2);
8.2)利用与交换设备SW2之间的交换基密钥SW-BK1-2、交换密钥协商标识NSW1及交换设备SW2的询问NSW2计算得到与交换设备SW2之间的交换密钥和下一次交换密钥协商过程中的交换密钥协商标识NSW1并保存;所述与交换设备SW2之间的交换密钥是协议数据交换密钥SW-PDK1-2、用户数据交换密钥SW-UDK1-2
8.3)利用计算得到的交换密钥中的协议数据交换密钥SW-PDK1-2验证交换密钥协商请求分组中的MIC5字段的正确性,若不正确,则丢弃该分组;若正确,则执行步骤8.4);
8.4)利用计算得到的交换密钥中的协议数据交换密钥SW-PDK1-2本地计算消息鉴别码MIC6,构造交换密钥协商响应分组,发送给交换设备SW2;该交换密钥协商响应分组包括:NSW2字段以及MIC6字段;
其中:
NSW2字段:表示交换设备SW2的询问,是交换设备SW2产生的随机数;其值同交换密钥协商请求分组中的NSW2字段的值;
MIC6字段:表示消息鉴别码,由交换设备SW1利用计算得到的交换密钥中的协议数据交换密钥SW-PDK1-2对交换密钥协商响应分组中本字段外的其他字段或对交换密钥协商响应分组中本字段外的其他字段及已计算出的下一次交换密钥协商过程中的交换密钥协商标识NSW1通过杂凑函数计算得到的杂凑值。
4.根据权利要求3所述的交换设备间安全连接的建立方法,其特征在于:当交换设备SW2收到交换设备SW1发送的交换密钥协商响应分组后,所述步骤9)的具体实现方式是:
9.1)检查NSW2字段与之前发送的交换密钥协商请求分组中的NSW2字段是否相同,若不同,则丢弃该分组;若相同,则执行步骤9.2);
9.2)利用计算得到的交换密钥中的协议数据交换密钥SW-PDK1-2验证交换密钥协商响应分组中的MIC6字段的正确性,若不正确,则丢弃该分组;否则,交换设备SW2确认交换设备SW1已获得与其一致的交换密钥。
5.根据权利要求4所述的交换设备间安全连接的建立方法,其特征在于:所述交换设备间安全连接的建立方法还包括:
10)当交换设备SW2需要构造交换密钥协商确认分组时,交换设备SW2利用计算得到的交换密钥中的协议数据交换密钥SW-PDK1-2本地计算消息鉴别码MIC7,构造交换密钥协商确认分组,发送给交换设备SW1;该交换密钥协商确认分组包括:NSW1字段以及MIC7字段;
其中:
NSW1字段:表示交换密钥协商标识,其值同交换密钥协商请求分组中的NSW1字段的值;
MIC7字段:表示消息鉴别码,由交换设备SW2利用计算得到的交换密钥中的协议数据交换密钥SW-PDK1-2对交换密钥协商确认分组中本字段外的其他字段或对交换密钥协商确认分组中本字段外的其他字段及已计算出的下一次交换密钥协商过程中的交换密钥协商标识NSW1通过杂凑函数计算得到的杂凑值;
11)交换设备SW1接收交换设备SW2发送的交换密钥协商确认分组后,对交换设备SW2已获得与其一致的交换密钥进行确认。
6.根据权利要求5所述的交换设备间安全连接的建立方法,其特征在于:所述步骤11)的具体实现方式是:
11.1)当交换设备SW1收到交换设备SW2发送的交换密钥协商确认分组后,检查NSW1字段值与收到的交换密钥协商请求分组中的NSW1字段值是否相同,若不同,则丢弃该分组;若相同,则执行步骤11.2);
11.2)利用计算得到的交换密钥中协议数据交换密钥SW-PDK1-2验证交换密钥协商确认分组中的MIC7字段的正确性,若不正确,则丢弃该分组;若正确,则交换设备SW1确认交换设备SW2已获得与其一致的交换密钥。
7.根据权利要求6所述的交换设备间安全连接的建立方法,其特征在于:若交换设备SW1/SW2需要更新或者撤销与交换设备SW2/SW1之间的交换密钥时,交换设备SW1/SW2构造交换密钥协商激活分组发送给交换设备SW2/SW1,要求交换设备SW2/SW1更新或者删除与交换设备SW1/SW2之间的交换密钥;交换密钥的更新、撤销过程和交换密钥的协商过程相同,具体实现时,通过在上述的交换密钥协商过程中的每个分组中增加一个标识字段进行区分,用于标识交换设备SW1与SW2之间交换密钥的协商、撤销或者更新。
8.根据权利要求1至7中任一权利要求所述的交换设备间安全连接的建立方法,其特征在于:当交换设备SW1通过交换设备SW-M成功接入网络时,交换设备SW1和交换设备SW-M之间已经建立起共享的单播密钥,该密钥直接作为它们之间的交换密钥,且交换设备SW-M和交换设备SW2之间已建立了交换密钥之后,所述交换设备间安全连接的建立方法在步骤6)之前还包括以下步骤:
1)交换设备SW-M构造交换基密钥通告分组并发送给交换设备SW2;该交换基密钥通告分组包括:KN2字段、E2字段以及MIC1字段;
其中:
KN2字段:表示交换设备SW2的密钥通告标识,其值为一个整数,初始值为一定值,在每次对交换设备SW2进行交换基密钥通告时该字段值加1或增加一个定值使用;
E2字段:表示密钥加密数据,是交换设备SW-M利用与交换设备SW2之间的协议数据交换密钥SW-PDK2-M对交换基密钥SW-BK1-2加密后的数据;
MIC1字段:表示消息鉴别码,由交换设备SW-M利用与SW2之间的协议数据交换密钥SW-PDK2-M对交换基密钥通告分组中本字段外的其他字段通过杂凑函数计算得到的杂凑值;
2)交换设备SW2接收交换设备SW-M发送的交换基密钥通告分组后,构造交换基密钥通告响应分组发送给交换设备SW-M;
3)交换设备SW-M接收交换设备SW2发送的交换基密钥通告响应分组后构造交换基密钥通告分组发送给交换设备SW1;
4)交换设备SW1接收交换设备SW-M发送的交换基密钥通告分组后,构造交换基密钥通告响应分组发送给交换设备SW-M;
5)交换设备SW-M接收交换设备SW1发送的交换基密钥通告响应分组。
9.根据权利要求8所述的交换设备间安全连接的建立方法,其特征在于:当交换设备SW2收到交换设备SW-M发送的交换基密钥通告分组后,所述步骤2)的具体实现方式是:
2.1)检查KN2字段是否单调递增,若不是,则丢弃该分组;否则,执行步骤2.2);
2.2)利用与交换设备SW-M之间的协议数据交换密钥SW-PDK2-M验证MIC1字段是否正确,若不正确,则丢弃该分组;若正确,执行步骤2.3);
2.3)利用与交换设备SW-M之间的协议数据交换密钥SW-PDK2-M解密E2字段即可得到与交换设备SW1之间的交换基密钥SW-BK1-2
2.4)保存此次的密钥通告标识KN2字段的值,构造交换基密钥通告响应分组,发送给交换设备SW-M;该交换基密钥通告响应分组主要内容包括:KN2字段以及MIC2字段;
其中:
KN2字段:表示交换设备SW2的密钥通告标识,其值同收到的交换基密钥通告分组中的KN2字段的值;
MIC2字段:表示消息鉴别码,由交换设备SW2利用与交换设备SW-M之间的协议数据交换密钥SW-PDK2-M对交换基密钥通告响应分组中本字段外的其他字段通过杂凑函数计算得到的杂凑值。
10.根据权利要求9所述的交换设备间安全连接的建立方法,其特征在于:当交换设备SW-M收到交换设备SW2发送的交换基密钥通告响应分组后,所述步骤3)的具体实现方式是:
3.1)比较KN2字段与之前发送给交换设备SW2的交换基密钥通告分组中的KN2字段值是否一致,若不一致,则丢弃该分组;若一致,则执行步骤3.2);
3.2)利用与SW2之间的协议数据交换密钥SW-PDK2-M验证MIC2字段的正确性,若不正确,则丢弃该分组;若正确,则保存此次的密钥通告标识KN2字段的值,完成将交换设备SW1与交换设备SW2之间的交换基密钥SW-BK1-2对交换设备SW2通告的过程,然后执行3.3);
3.3)交换设备SW-M根据之前通告给交换设备SW2的交换基密钥SW-BK1-2,构造交换基密钥通告分组,发送给交换设备SW1;该交换基密钥通告分组包括:KN1字段、E1字段以及MIC3字段;
其中:
KN1字段:表示交换设备SW1的密钥通告标识,其值为一个整数,初始值为一定值,在每次对交换设备SW1进行交换基密钥通告时该字段值加1或增加一个定值使用;
E1字段:表示密钥加密数据,是交换设备SW-M利用与交换设备SW1之间的协议数据交换密钥SW-PDK1-M对交换基密钥SW-BK1-2加密后的数据,其中交换基密钥SW-BK1-2同通告给交换设备SW2的交换基密钥SW-BK1-2
MIC3字段:表示消息鉴别码,由交换设备SW-M利用与交换设备SW1之间的协议数据交换密钥SW-PDK1-M对交换基密钥通告分组中本字段外的其他字段通过杂凑函数计算得到的杂凑值。
11.根据权利要求10所述的交换设备间安全连接的建立方法,其特征在于:当交换设备SW1收到交换设备SW-M发送的交换基密钥通告分组后,所述步骤4)的具体实现方式是:
4.1)检查KN1字段是否单调递增,若不是,则丢弃该分组;否则,执行步骤5.2);
4.2)利用与交换设备SW-M之间的协议数据交换密钥SW-PDK1-M验证MIC3字段是否正确,若不正确,则丢弃该分组;若正确,执行步骤4.3);
4.3)利用与交换设备SW-M之间的协议数据交换密钥SW-PDK1-M解密E1字段即可得到与交换设备SW1之间的交换基密钥SW-BK1-2
4.4)保存此次的密钥通告标识KN1字段的值,并构造交换基密钥通告响应分组,发送给交换设备SW-M;该交换基密钥通告响应分组包括:KN1字段及MIC4字段;
其中:
KN1字段:表示交换设备SW1的密钥通告标识,其值同收到的交换基密钥通告分组中的KN1字段的值;
MIC4字段:表示消息鉴别码,由交换设备SW1利用与交换设备SW-M之间的协议数据交换密钥SW-PDK1-M对交换基密钥通告响应分组中本字段外的其他字段通过杂凑函数计算得到的杂凑值。
12.根据权利要求11所述的交换设备间安全连接的建立方法,其特征在于:当交换设备SW-M收到交换设备SW1发送的交换基密钥通告响应分组后,所述步骤5)的具体实现方式是:
5.1)比较KN1字段与之前发送给交换设备SW1的交换基密钥通告分组中的KN1字段值是否一致,若不一致,则丢弃该分组;否则,执行步骤5.2);
5.2)利用与交换设备SW1之间的协议数据交换密钥SW-PDK1-M验证MIC4字段的正确性,若正确,则保存此次的密钥通告标识KN1字段的值,完成将交换设备SW1与交换设备SW2之间的交换基密钥SW-BK1-2对交换设备SW1通告的过程,即完成交换设备SW1和交换设备SW2交换基密钥的建立过程;若不正确,则丢弃该分组。
13.根据权利要求12所述的交换设备间安全连接的建立方法,其特征在于:若交换设备SW-M需要更新或者撤销交换设备SW1与SW2之间的交换基密钥时,交换设备SW-M构造交换基密钥通告分组,发送给交换设备SW1/SW2,要求交换设备SW1/SW2更新或者删除与交换设备SW2/SW1之间的交换基密钥;交换基密钥的更新或撤销过程和交换基密钥的建立过程相同,具体实现时,通过在上述的交换基密钥通告过程中的每个分组中增加一个标识字段进行区分,用于标识通过交换设备SW完成交换设备SW1和SW2之间交换基密钥的建立、撤销或者更新过程。
14.一种交换设备安全连接的建立系统,其特征在于:所述交换设备安全连接的建立系统包括向交换设备SW2发送交换密钥协商激活分组和交换密钥协商响应分组、接收交换设备SW2发送的交换密钥协商请求分组的交换设备SW1以及接收交换设备SW1发送的交换密钥协商激活分组和交换密钥协商响应分组和向交换设备SW1发送的交换密钥协商请求分组的交换设备SW2。
15.根据权利要求14所述的交换设备安全连接的建立系统,其特征在于:所述交换设备安全连接的建立系统还包括交换设备SW2发送交换密钥协商确认分组给交换设备SW1;交换设备SW1接收交换设备SW2发送的交换密钥协商确认分组。
16.根据权利要求14或15所述的交换设备安全连接的建立系统,其特征在于:所述交换设备安全连接的建立系统还包括向交换设备SW2或交换设备SW1发送交换基密钥通告分组并接收交换设备SW2或交换设备SW1发送的交换基密钥通告响应分组的交换设备SW-M;所述系统中的交换设备SW2接收交换设备SW-M发送的交换基密钥通告分组,并向交换设备SW-M发送交换基密钥通告响应分组;所述系统中的交换设备SW1接收SW-M发送的交换基密钥通告分组,并向交换设备SW-M发送交换基密钥通告响应分组。
CN2009102195751A 2009-12-18 2009-12-18 交换设备间安全连接的建立方法及系统 Active CN101741548B (zh)

Priority Applications (6)

Application Number Priority Date Filing Date Title
CN2009102195751A CN101741548B (zh) 2009-12-18 2009-12-18 交换设备间安全连接的建立方法及系统
US13/515,394 US8713303B2 (en) 2009-12-18 2010-05-26 Method and system for establishing security connection between switch equipments
PCT/CN2010/073253 WO2011072513A1 (zh) 2009-12-18 2010-05-26 交换设备间安全连接的建立方法及系统
EP10836950.5A EP2515468B1 (en) 2009-12-18 2010-05-26 Method and system for establishing security connection between switch equipments
KR1020127018460A KR101421259B1 (ko) 2009-12-18 2010-05-26 스위치 장비들 사이에서 보안 연결을 확립하는 방법 및 시스템
JP2012543452A JP5540111B2 (ja) 2009-12-18 2010-05-26 交換デバイス間の安全な接続の構築方法及びシステム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN2009102195751A CN101741548B (zh) 2009-12-18 2009-12-18 交换设备间安全连接的建立方法及系统

Publications (2)

Publication Number Publication Date
CN101741548A true CN101741548A (zh) 2010-06-16
CN101741548B CN101741548B (zh) 2012-02-01

Family

ID=42464489

Family Applications (1)

Application Number Title Priority Date Filing Date
CN2009102195751A Active CN101741548B (zh) 2009-12-18 2009-12-18 交换设备间安全连接的建立方法及系统

Country Status (6)

Country Link
US (1) US8713303B2 (zh)
EP (1) EP2515468B1 (zh)
JP (1) JP5540111B2 (zh)
KR (1) KR101421259B1 (zh)
CN (1) CN101741548B (zh)
WO (1) WO2011072513A1 (zh)

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102035845A (zh) * 2010-12-20 2011-04-27 西安西电捷通无线网络通信股份有限公司 支持链路层保密传输的交换设备及其数据处理方法
CN102130768A (zh) * 2010-12-20 2011-07-20 西安西电捷通无线网络通信股份有限公司 一种具有链路层加解密能力的终端设备及其数据处理方法
WO2012019466A1 (zh) * 2010-08-12 2012-02-16 西安西电捷通无线网络通信股份有限公司 邻居用户终端间保密通信方法、终端、交换设备及系统
CN104506483A (zh) * 2014-10-21 2015-04-08 中兴通讯股份有限公司 一种信息加密解密、管理密钥的方法、终端及网络服务器
CN105553951A (zh) * 2015-12-08 2016-05-04 腾讯科技(深圳)有限公司 数据传输方法和装置

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101556906B1 (ko) * 2008-12-29 2015-10-06 삼성전자주식회사 선인증을 통한 이종 무선 통신망 간의 핸드오버 방법
CN110719169A (zh) * 2019-11-07 2020-01-21 北京小米移动软件有限公司 传输路由器安全信息的方法及装置

Family Cites Families (21)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US4965804A (en) * 1989-02-03 1990-10-23 Racal Data Communications Inc. Key management for encrypted packet based networks
US5410602A (en) * 1993-09-27 1995-04-25 Motorola, Inc. Method for key management of point-to-point communications
JP3688830B2 (ja) * 1995-11-30 2005-08-31 株式会社東芝 パケット転送方法及びパケット処理装置
JPH10178421A (ja) * 1996-10-18 1998-06-30 Toshiba Corp パケット処理装置、移動計算機装置、パケット転送方法及びパケット処理方法
US7203834B1 (en) * 1999-12-02 2007-04-10 International Business Machines Corporation Method of updating encryption keys in a data communication system
US7231526B2 (en) * 2001-10-26 2007-06-12 Authenex, Inc. System and method for validating a network session
US7441267B1 (en) * 2003-03-19 2008-10-21 Bbn Technologies Corp. Method and apparatus for controlling the flow of data across a network interface
US7392378B1 (en) * 2003-03-19 2008-06-24 Verizon Corporate Services Group Inc. Method and apparatus for routing data traffic in a cryptographically-protected network
CN100389555C (zh) * 2005-02-21 2008-05-21 西安西电捷通无线网络通信有限公司 一种适合有线和无线网络的接入认证方法
US8886934B2 (en) * 2006-07-26 2014-11-11 Cisco Technology, Inc. Authorizing physical access-links for secure network connections
CN101141241B (zh) * 2006-09-06 2010-08-18 华为技术有限公司 实现mac安全的方法以及网络设备
CN100463391C (zh) * 2006-09-23 2009-02-18 西安西电捷通无线网络通信有限公司 一种网络密钥管理及会话密钥更新方法
US8688986B2 (en) * 2006-12-27 2014-04-01 Intel Corporation Method for exchanging strong encryption keys between devices using alternate input methods in wireless personal area networks (WPAN)
US20100023768A1 (en) * 2007-06-27 2010-01-28 Intel Corporation Method and system for security key agreement
CN101106454A (zh) * 2007-08-17 2008-01-16 杭州华三通信技术有限公司 发起互联网密钥交换协商的方法和设备
GB2452251B (en) * 2007-08-21 2010-03-24 Motorola Inc Method and apparatus for authenticating a network device
KR101061899B1 (ko) * 2007-09-12 2011-09-02 삼성전자주식회사 이종망간 핸드오버를 위한 빠른 인증 방법 및 장치
CN100566240C (zh) * 2007-11-16 2009-12-02 西安西电捷通无线网络通信有限公司 一种wapi单播密钥协商方法
CN101232378B (zh) 2007-12-29 2010-12-08 西安西电捷通无线网络通信股份有限公司 一种无线多跳网络的认证接入方法
CN101521580B (zh) * 2009-03-25 2014-12-10 中兴通讯股份有限公司 无线局域网鉴别与保密基础结构单播密钥协商方法及系统
CN101527905A (zh) * 2009-04-08 2009-09-09 刘建 无线局域网鉴别与保密基础结构单播密钥协商方法及系统

Cited By (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2012019466A1 (zh) * 2010-08-12 2012-02-16 西安西电捷通无线网络通信股份有限公司 邻居用户终端间保密通信方法、终端、交换设备及系统
US8850190B2 (en) 2010-08-12 2014-09-30 China Iwncomm Co., Ltd. Secret communication method and system between neighboring user terminals, terminal, switching equipment
CN102035845A (zh) * 2010-12-20 2011-04-27 西安西电捷通无线网络通信股份有限公司 支持链路层保密传输的交换设备及其数据处理方法
CN102130768A (zh) * 2010-12-20 2011-07-20 西安西电捷通无线网络通信股份有限公司 一种具有链路层加解密能力的终端设备及其数据处理方法
WO2012083653A1 (zh) * 2010-12-20 2012-06-28 西安西电捷通无线网络通信股份有限公司 支持链路层保密传输的交换设备及其数据处理方法
CN102035845B (zh) * 2010-12-20 2012-07-18 西安西电捷通无线网络通信股份有限公司 支持链路层保密传输的交换设备及其数据处理方法
US9264405B2 (en) 2010-12-20 2016-02-16 China Iwncomm Co., Ltd. Switch equipment and data processing method for supporting link layer security transmission
CN104506483A (zh) * 2014-10-21 2015-04-08 中兴通讯股份有限公司 一种信息加密解密、管理密钥的方法、终端及网络服务器
CN105553951A (zh) * 2015-12-08 2016-05-04 腾讯科技(深圳)有限公司 数据传输方法和装置
CN105553951B (zh) * 2015-12-08 2019-11-08 腾讯科技(深圳)有限公司 数据传输方法和装置

Also Published As

Publication number Publication date
EP2515468A1 (en) 2012-10-24
KR20120105511A (ko) 2012-09-25
US8713303B2 (en) 2014-04-29
JP2013514018A (ja) 2013-04-22
KR101421259B1 (ko) 2014-07-18
EP2515468B1 (en) 2019-12-25
US20120254617A1 (en) 2012-10-04
WO2011072513A1 (zh) 2011-06-23
EP2515468A4 (en) 2017-06-07
JP5540111B2 (ja) 2014-07-02
CN101741548B (zh) 2012-02-01

Similar Documents

Publication Publication Date Title
CN101729249B (zh) 用户终端之间安全连接的建立方法及系统
CN102130768B (zh) 一种具有链路层加解密能力的终端设备及其数据处理方法
CN101741548B (zh) 交换设备间安全连接的建立方法及系统
JP7248059B2 (ja) ネットワークノード及び通信方法
CN102035845B (zh) 支持链路层保密传输的交换设备及其数据处理方法
CN102056157B (zh) 一种确定密钥和密文的方法、系统及装置
CN101917272A (zh) 一种邻居用户终端间保密通信方法及系统
CN101895882A (zh) 一种WiMAX系统中的数据传输方法、系统及装置
CN108964895B (zh) 基于群组密钥池和改进Kerberos的User-to-User身份认证系统和方法
CN101635922B (zh) 无线网状网络安全通信方法
CN102487503B (zh) 一种多级安全动态群组密钥管理方法
CN101841413A (zh) 一种端到端安全连接的建立方法及系统
CN101867930A (zh) 无线Mesh网络骨干节点切换快速认证方法
CN101834863B (zh) 一种局域网节点间安全连接建立方法及系统
CN104780169A (zh) 一种基于控制器的量子中继器网络编码方案
CN101841547B (zh) 一种端到端共享密钥的建立方法及系统
CN101814987B (zh) 一种节点间密钥的建立方法及系统
CN101964708B (zh) 一种节点间会话密钥的建立系统及方法
CN101834862B (zh) 一种节点间安全连接建立方法及系统
CN101964802B (zh) 集中式安全连接建立系统及方法
CN101902324A (zh) 一种节点间通信密钥的建立方法及系统
CN101964803B (zh) 节点间会话密钥的建立系统及方法
CN101969375B (zh) 通告式安全连接建立系统及方法
Nematy Secure Protocol for Four D2D Scenarios

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
C14 Grant of patent or utility model
GR01 Patent grant