CN101834722B - 一种加密设备和非加密设备混合组网的通信方法 - Google Patents

一种加密设备和非加密设备混合组网的通信方法 Download PDF

Info

Publication number
CN101834722B
CN101834722B CN2010101553263A CN201010155326A CN101834722B CN 101834722 B CN101834722 B CN 101834722B CN 2010101553263 A CN2010101553263 A CN 2010101553263A CN 201010155326 A CN201010155326 A CN 201010155326A CN 101834722 B CN101834722 B CN 101834722B
Authority
CN
China
Prior art keywords
esw
switching equipment
encryption
source
node
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
CN2010101553263A
Other languages
English (en)
Other versions
CN101834722A (zh
Inventor
李琴
曹军
铁满霞
黄博
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
China Iwncomm Co Ltd
Original Assignee
China Iwncomm Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by China Iwncomm Co Ltd filed Critical China Iwncomm Co Ltd
Priority to CN2010101553263A priority Critical patent/CN101834722B/zh
Publication of CN101834722A publication Critical patent/CN101834722A/zh
Application granted granted Critical
Publication of CN101834722B publication Critical patent/CN101834722B/zh
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

一种加密设备和非加密设备混合组网的通信方法,该通信方法中,所有的非加密交换设备对于网络中所有的协议数据包以及用户数据包均直接透传转发,所有的加密交换设备对于协议数据包的处理均采用以下三步骤进行处理:父加密交换设备探寻过程、鉴别与单播密钥建立过程、节点间密钥建立。本发明解决了背景技术通信方法安全隐患大、升级代价大、传输效率低的技术问题,实现了加密交换设备与非加密交换设备的兼容,同时保证了局域网数据链路层的保密传输,既可实现传统节点之间的非加密通信,又可实现加密设备之间的保密通信。

Description

一种加密设备和非加密设备混合组网的通信方法
技术领域
本发明涉及加密设备和非加密设备混合组网的局域网通信方法。
背景技术
有线局域网一般为广播型网络,一个节点发出的数据,其他节点都能收到。网络上的各个节点共享信道,这给网络带来了极大的安全隐患。802.1AE是IEEE为保护以太网研究的数据链路层数据加密协议,该协议采用逐跳加密的安全措施来实现网络节点之间数据的安全传达,该协议中的交换设备具备加密解密的能力,用于对以太网数据链路层的加密数据包进行解密后再加密再转发,以保证数据链路层的数据包都以密文形式在网络中传输。
该协议主要存在两个问题:
1、该协议中要求交换设备具有加密解密能力,而当前诸多局域网中大量部署的交换设备均不具备加密解密能力,这就要求当前局域网在升级使用802.1AE协议时,需要升级所有的交换设备,升级代价非常大;
2、逐跳加密的安全措施要求交换设备对需要转发的每一个数据包都进行解密后再加密再转发的处理过程,无疑给局域网中的交换设备带来了巨大的计算负担,容易引发攻击者对交换设备的攻击;且数据包从发送源节点传递到目的节点的延时增大,降低了网络传输效率。
伴随IEEE 802.1AE的研究,还有一些研究学者提出一些新的数据链路层保密传输协议,这些协议大都以局域网的所有的交换设备都支持加密解密为基础展开研究的,均存在上述的问题一。
发明内容
本发明目的是提供一种加密设备和非加密设备混合组网的通信方法,以克服现有通信方法安全隐患大、升级代价大、传输效率低的技术问题。
本发明的技术方案为:
一种加密设备和非加密设备混合组网的通信方法,包括以下步骤:
步骤1]当新节点N1接入当前局域网时,若新节点N1是非加密交换设备CSW或者是非加密用户终端CSTA,则进行步骤5];若新节点N1是加密交换设备ESW或加密用户终端ESTA,则进行步骤2];
步骤2]父加密交换设备探寻过程:
步骤2.1]父加密交换设备探寻请求分组:
新节点N1构造父加密交换设备探寻请求分组,并发送给局域网网关;该分组内容为空;
步骤2.2]父加密交换设备探寻响应分组:
父加密交换设备ESW-P1收到父加密交换设备探寻请求分组后,不再转发,将新节点N1信息保存,并根据自己的标识信息,构造父加密交换设备探寻响应分组,发送给新节点N1;该分组内容主要包含:
  IDESW-P1
所述IDESW-P1字段表示新节点N1的父加密交换设备的标识,其字段值为加密交换设备ESW-P1的标识值;
其中:加密节点通往核心交换设备ESW-Center的数据包经过的除发送节点外的第一个加密交换设备是该加密节点的父加密交换设备,核心交换设备ESW-Center的父加密交换设备就是核心交换设备ESW-Center本身;局域网的核心交换设备ESW-Center是加密交换设备,局域网中所有的三层交换设备是加密交换设备;
步骤2.3]确定父加密交换设备:
新节点N1收到父加密交换设备探寻响应分组后,记录IDESW-P1字段值,该字段值所标识的加密交换设备就是新节点N1的父加密交换设备;
步骤3]鉴别与单播密钥建立过程:
若新节点N1是加密用户终端,记为ESTA1,则加密用户终端ESTA1通过其它安全机制与其父加密交换设备ESW-P1进行鉴别,并协商出新节点N1与其父加密交换设备ESW-P1之间的单播密钥USK1-P1
若新节点N1是加密交换设备,记为ESW1,则加密交换设备ESW1通过其它安全机制与其父加密交换设备ESW-P1进行鉴别,并协商出单播密钥USK1-P1;然后加密交换设备ESW1执行以下步骤之一:
1]加密交换设备ESW1通过父加密交换设备ESW-P1建立加密交换设备ESW1与网络中所有其他的加密交换设备两两之间的单播密钥;
2]加密交换设备ESW1通过父加密交换设备ESW-P1建立加密交换设备ESW1与核心交换设备ESW-Center之间的单播密钥USK1-Center
步骤4]节点间密钥建立:
步骤4.1]若发送源节点NSource知晓目的上行加密交换设备ESW-UP-D的标识IDESW-UP-D的信息,则执行步骤4.3];若发送源节点NSource不知晓目的上行加密交换设备ESW-UP-D的标识IDESW-UP-D的信息,则执行步骤4.2];
其中:上行加密交换设备是指加密节点通往核心交换设备的数据包经过的第一个加密交换设备;目的上行加密交换设备是指目的节点NDestination的上行加密交换设备,记为ESW-UP-D,其标识为IDESW-UP-D
步骤4.2]发送源节点NSource获取目的上行加密交换设备ESW-UP-D的标识IDESW-UP-D,并记录该标识,然后执行步骤4.3];
步骤4.3]若源上行加密交换设备ESW-UP-S与目的上行加密交换设备ESW-UP-D是同一个交换设备,则由该加密交换设备负责为发送源节点NSource和目的节点NDestination建立节点间密钥NKeyS-D
若源上行加密交换设备ESW-UP-S与目的上行加密交换设备ESW-UP-D不是同一个交换设备,则根据已建立的单播密钥的情况,选择以下适用的一种节点间密钥建立机制建立节点间密钥NKeyS-D
1]若网络中的加密用户终端ESTA已建立与其父加密交换设备ESW-Center之间的单播密钥且网络中所有的加密交换设备ESW两两之间已建立单播密钥,则由源上行加密交换设备ESW-UP-S与目的上行加密交换设备ESW-UP-D负责为发送源节点NSource和目的节点NDestination建立节点间密钥NKeyS-D
2]若网络中的加密用户终端ESTA已建立与其父加密交换设备ESW-Center之间的单播密钥且网络中的加密交换设备ESW已建立与核心交换设备ESW-Center之间的单播密钥,则由核心交换设备ESW-Center、源上行加密交换设备ESW-UP-S及目的上行加密交换设备ESW-UP-D负责为发送源节点NSource和目的节点NDestination建立节点间密钥NKeyS-D
其中:源上行加密交换设备是指发送源节点NSource的上行加密交换设备,记为ESW-UP-S,其标识为IDESW-UP-S
步骤5]完成接入过程,按以下原则进行通信:
需要保密通信的加密节点之间采用按照步骤4]所建立的节点间密钥进行保密通信;
非加密节点之间进行非加密通信;
加密交换设备ESW对非加密通信数据包进行透传转发;
加密交换设备ESW对使用节点间密钥加密的通信数据包进行透传转发;
非加密交换设备CSW对保密通信数据包进行透传转发。
上述步骤4.2]发送源节点NSource获取目的上行加密交换设备ESW-UP-D的标识IDESW-UP-D的具体过程如下:
步骤4.2.1]目的上行加密交换设备信息探寻分组:
发送源节点NSource构造目的上行加密交换设备信息探寻分组,发送给目的节点NDestination;该分组包含:
  IDESW-UP-S
所述IDESW-UP-S字段表示发送源节点NSource的上行加密交换设备ESW-UP-S的标识,其字段值为该上行加密交换设备ESW-UP-S的标识值;
步骤4.2.2]目的上行加密交换设备信息响应分组:
目的节点NDestination收到目的上行加密交换设备信息探寻分组后,保存发送源节点NSource的上行加密交换设备ESW-UP-S的标识,并构造目的上行加密交换设备探寻响应分组,发送给发送源节点NSource;该分组包含:
  IDESW-UP-D
所述IDESW-UP-D字段表示目的节点NDestination的上行加密交换设备ESW-UP-D的标识,其字段值为该上行加密交换设备ESW-UP-D的标识值;
步骤4.2.3]发送源节点NSource收到目的上行加密交换设备信息响应分组后,获得目的节点NDestination的上行加密交换设备ESW-UP-D的标识。
当新节点N1是加密用户终端时,加密用户终端ESTA1在建立与其父加密交换设备ESW-P1之间的单播密钥USK1-P1后,加密用户终端ESTA1还进行以下步骤:
加密用户终端ESTA1通过其父加密交换设备ESW-P1建立与核心交换设备ESW-Center之间的单播密钥USK1-Center;再由核心交换设备ESW-Center负责为发送源节点NSource和目的节点NDestination建立节点间密钥NKeyS-D
上述核心交换设备ESW-Center为发送源节点NSource和目的节点NDestination建立节点间密钥NKeyS-D的具体方式为以下方式之一:
1]由核心交换设备ESW-Center生成一随机数作为节点间密钥NKeyS-D,分别秘密通告给发送源节点NSource和目的节点NDestination;其中,通告给目的节点NDestination的过程用目的节点NDestination和核心交换设备ESW-Center之间的单播密钥USKD-Center进行保护,通告给发送源节点NSource的过程用发送源节点NSource和核心交换设备ESW-Center之间的单播密钥USKS-Center进行保护;
2]由发送源节点NSource生成一随机数作为节点间密钥NKeyS-D,以逐跳加密的方式利用单播密钥USKS-Center和单播密钥USKD-Center通过核心交换设备ESW-Center秘密通告给目的节点NDestination
3]由发送源节点NSourcen和目的节点NDestination各生成一随机数NonceS及随机数NonceD告知对方,之后由发送源节点NSource和目的节点NDestination利用同一单向函数以随机数NonceS和随机数NonceD为参数分别本地计算得到节点间密钥NKeyS-D;该过程中,随机数NonceS的传递利用单播密钥USKS-Center和单播密钥USKD-Center通过核心交换设备ESW-Center以逐跳加密的方式进行保密传输;随机数NonceD的传递利用单播密钥USKD-Center和单播密钥USKS-Center通过核心交换设备ESW-Center以逐跳加密的方式进行保密传输。
上述步骤4.3]中若源上行加密交换设备ESW-UP-S与目的上行加密交换设备ESW-UP-D是同一个交换设备,记为加密交换设备ESW-UP-SD,则该加密交换设备ESW-UP-SD为发送源节点NSource和目的节点NDestination建立节点间密钥NKeyS-D的具体方式为以下方式之一:
1]由加密交换设备ESW-UP-SD生成一随机数作为节点间密钥NKeyS-D,分别秘密通告给发送源节点NSource和目的节点NDestination;其中,通告给目的节点NDestination的过程用目的节点NDestination与加密交换设备ESW-UP-SD之间的单播密钥USKD进行保护,通告给发送源节点NSource的过程用发送源节点NSource与加密交换设备ESW-UP-SD之间的单播密钥USKS进行保护;
2]由发送源节点NSource生成一随机数作为节点间密钥NKeyS-D,以逐跳加密的方式利用单播密钥USKD和单播密钥USKS通过加密交换设备ESW-UP-SD秘密通告给目的节点NDestination
3]由发送源节点NSourcen和目的节点NDestination各生成一随机数NonceS及随机数NonceD告知对方,之后由发送源节点NSource和目的节点NDestination利用同一单向函数以随机数NonceS和随机数NonceD为参数分别本地计算得到节点间密钥NKeyS-D;该过程中,随机数NonceS的传递利用单播密钥USKS和单播密钥USKD通过加密交换设备ESW-UP-SD以逐跳加密的方式进行保密传输;随机数NonceD的传递利用单播密钥USKD和单播密钥USKS通过加密交换设备ESW-UP-SD以逐跳加密的方式进行保密传输。
上述步骤4.3]中若源上行加密交换设备ESW-UP-S与目的上行加密交换设备ESW-UP-D不是同一个交换设备,且网络中的加密用户终端ESTA已建立与其父加密交换设备ESW-Center之间的单播密钥、网络中所有的加密交换设备ESW两两之间已建立单播密钥,则源上行加密交换设备ESW-UP-S与目的上行加密交换设备ESW-UP-D为发送源节点NSource和目的节点NDestination建立节点间密钥NKeyS-D的具体方式为以下方式之一:
1]由源上行加密交换设备ESW-UP-S和目的上行加密交换设备ESW-UP-D各生成一随机数NonceUPS及随机数NonceUPD告知对方,之后由源上行加密交换设备ESW-UP-S和目的上行加密交换设备ESW-UP-D利用同一单向函数以NonceUPS、NonceUPD及源上行加密交换设备ESW-UP-S和目的上行加密交换设备ESW-UP-D之间的单播密钥USKUPS-UPD为参数分别本地计算得到节点间密钥NKeyS-D;然后,目的上行加密交换设备ESW-UP-D利用目的上行加密交换设备ESW-UP-D和目的节点NDestination之间的单播密钥USKD-UPD将该节点间密钥NKeyS-D秘密通告给目的节点NDestination;源上行加密交换设备ESW-UP-S利用源上行加密交换设备ESW-UP-S和发送源节点NSource之间的单播密钥USKS-UPS将该节点间密钥NKeyS-D秘密通告给发送源节点NSource
2]由源上行加密交换设备ESW-UP-S生成一随机数作为节点间密钥NKeyS-D,然后以逐跳加密的方式利用单播密钥USKUPS-UPD及USKD-UPD通过目的上行加密交换设备ESW-UP-D秘密通告给目的节点NDestination;再由源上行加密交换设备ESW-UP-S利用单播密钥USKS-UPS秘密通告给发送源节点NSource
3]由发送源节点NSourcen和目的节点NDestination各生成一随机数NonceS及随机数NonceD告知对方,之后由发送源节点NSource和目的节点NDestination利用同一个单向函数以随机数NonceS和随机数NonceD为参数分别本地计算得到节点间密钥NKeyS-D;该过程中,随机数NonceS传递需通过源上行加密交换设备ESW-UP-S和目的上行加密交换设备ESW-UP-D以逐跳加密的方式利用单播密钥USKS-UPS、USKUPS-UPD及USKD-UPD进行保密传输;随机数NonceD的传递需通过目的上行加密交换设备ESW-UP-D和源上行加密交换设备ESW-UP-S以逐跳加密的方式利用单播密钥USKD-UPD、USKUPS-UPD及USKS-UPS进行保密传输;
4]由发送源节点NSource生成一随机数作为节点间密钥NKeyS-D,通过源上行加密交换设备ESW-UP-S和目的上行加密交换设备ESW-UP-D以逐跳加密的方式利用单播密钥USKS-UPS、USKUPS-UPD及USKD-UPD秘密通告给目的节点NDestination
上述步骤4.3]中若源上行加密交换设备ESW-UP-S与目的上行加密交换设备ESW-UP-D不是同一个交换设备,且网络中的加密用户终端ESTA已建立与其父加密交换设备ESW-Center之间的单播密钥、网络中的加密交换设备ESW已建立与核心交换设备ESW-Center之间的单播密钥,则核心交换设备ESW-Center、源上行加密交换设备ESW-UP-S及目的上行加密交换设备ESW-UP-D为发送源节点NSource和目的节点NDestination建立节点间密钥NKeyS-D的具体方式为以下方式之一:
1]由核心交换设备ESW-Center生成一随机数作为节点间密钥NKeyS-D,通过目的上行加密交换设备ESW-UP-D以逐跳加密的方式利用核心交换设备ESW-Center和目的上行加密交换设备ESW-UP-D之间的单播密钥USKUPD-Center及目的上行加密交换设备ESW-UP-D和目的节点NDestination之间的单播密钥USKD-UPD秘密通告给目的节点NDestination,再通过源上行加密交换设备ESW-UP-S以逐跳加密的方式利用核心交换设备ESW-Center和源上行加密交换设备ESW-UP-S之间的单播密钥USKUPS-Center及源上行加密交换设备ESW-UP-S和发送源节点NSource之间的单播密钥USKS-UPS秘密通告给发送源节点NSource
2]由发送源节点NSource生成一随机数作为节点间密钥NKeyS-D,将节点间密钥NKeyS-D通过源上行加密交换设备ESW-UP-S、核心交换设备ESW-Center及目的上行加密交换设备ESW-UP-D以逐跳加密的方式利用单播密钥USKS-UPS、USKUPS-Center、USKUPD-Center及USKD-UPD秘密通告给目的节点NDestination
3]由源上行加密交换设备ESW-UP-S生成一随机数作为节点间密钥NKeyS-D,将节点间密钥NKeyS-D通过核心交换设备ESW-Center及目的上行加密交换设备ESW-UP-D以逐跳加密的方式利用单播密钥USKUPS-Center、USKUPD-Center及USKD-UPD秘密通告给目的节点NDestination后,再利用单播密钥USKS-UPS秘密通告给发送源节点NSource
4]由源上行加密交换设备ESW-UP-S和目的上行加密交换设备ESW-UP-D各生成一随机数NonceUPS及随机数NonceUPD告知对方,之后由源上行加密交换设备ESW-UP-S和目的上行加密交换设备ESW-UP-D利用同一单向函数以随机数NonceUPS和随机数NonceUPD为参数分别本地计算得到节点间密钥NKeyS-D;该过程中,随机数NonceUPS的传递需通过核心交换设备ESW-Center以逐跳加密的方式利用单播密钥USKUPS-Center和USKUPD-Center进行保密传输;随机数NonceUPD的传递需通过核心交换设备ESW-Center以逐跳加密的方式利用单播密钥USKUPD-Center和USKUPS-Center进行保密传输;之后目的上行加密交换设备ESW-UP-D将该节点间密钥NKeyS-D利用单播密钥USKD-UPD通告给目的节点NDestination,源上行加密交换设备ESW-UP-S将该节点间密钥NKeyS-D利用单播密钥USKS-UPS通告发送源节点NSource
5]由发送源节点NSourcen和目的节点NDestination各生成一随机数NonceS及随机数NonceD告知对方,之后由发送源节点NSource和目的节点NDestination利用同一单向函数以随机数NonceS和随机数NonceD为参数分别本地计算得到节点间密钥NKeyS-D;该过程中,随机数NonceS的传递需通过源上行加密交换设备ESW-UP-S、核心交换设备ESW-Center及目的上行加密交换设备ESW-UP-D以逐跳加密的方式利用单播密钥USKS-UPS、USKUPS-Center、USKUPD-Center及USKD-UPD进行保密传输;随机数NonceD的传递需通过目的上行加密交换设备ESW-UP-D、核心交换设备ESW-Center及源上行加密交换设备ESW-UP-S以逐跳加密的方式利用单播密钥USKD-UPD、USKUPD-Center、USKUPS-Center及USKS-UPS进行保密传输。
本发明的技术效果为:
1、本发明通信方法实现了加密设备和非加密设备的混合组网,既可实现传统网络设备之间的非加密通信,又可实现两个加密设备之间的保密通信。
2、本发明通信方法为需要保密通信的两个加密设备建立了共享的节点间密钥,保证了端到端数据包的保密传输,提高了传输效率。
3、本发明通信方法中,网络中的非加密交换设备对所有的协议数据包以及加密用户数据包直接透传转发,从而实现了加密交换设备与非加密交换设备的兼容,同时保证了局域网数据链路层的保密传输,解决了背景技术需升级全部交换设备所带来的升级代价大的技术问题。
附图说明
图1为本发明的加密设备与非加密设备混合组网示意图;
图2为本发明的父加密交换设备探寻过程示意图;
图3为本发明的目的上行加密交换设备信息探寻过程示意图;
附图标记:ESW-Center-核心交换设备,CSW-B、CSW-E-非加密交换设备,ESW-C、ESW-D、ESW-F、ESW-G-加密交换设备,ESTA1、ESTA2、ESTA4、ESTA5、ESTA7、ESTA8-加密用户终端,CSTA3、CSTA6、CSTA9-非加密用户终端,N1-新节点,ESW-P1-父加密交换设备,NSource-发送源节点,NDestination-目的节点。
具体实施方式
本发明中的节点N(Node)是指有线局域网中的用户终端STA(STAtion)和交换设备SW(SWitch)。局域网中的集线器等物理层设备不作为节点处理。交换设备SW分为加密交换设备ESW(Encrpytion SWitch)和非加密交换设备CSW(Common SWitch),其中加密交换设备支持数据链路层加解密及鉴别机制;非加密交换设备就是当前局域网中广泛使用的一般交换设备,仅具备交换功能,不支持数据链路层加解密以及鉴别机制。用户终端STA分为加密用户终端ESTA(Encrpytion STAtion)和非加密用户终端CSTA(Common STAtion),其中加密用户终端支持数据链路层加解密及鉴别机制;非加密用户终端就是当前局域网中广泛使用的一般用户终端,不支持数据链路层加解密以及鉴别机制。
本发明所提供的一种加密设备和非加密设备混合组网的通信方法,要求局域网的核心交换设备必须是加密交换设备,记为ESW-Center,且要求局域网中所有的三层交换设备都必须是加密交换设备。核心交换设备ESW-Center一般是局域网中离网关最近的交换设备,可由网络管理员进行指定或配置,本发明不予限定和定义。
本发明所提供的一种加密设备和非加密设备混合组网的通信方法,在加密设备和非加密设备混合组网环境下,既可实现传统非加密节点之间的非加密通信,又可通过加密交换设备实现需要保密通信的两个加密节点之间的保密通信。该方法为需要保密通信的两个加密节点建立共享的节点间密钥,保证端到端数据包的保密传输。该通信方法包括三部分:父加密交换设备探寻过程、鉴别与单播密钥建立过程、节点间密钥建立。
1)父加密交换设备探寻过程
父加密交换设备探寻过程主要是帮助加密节点找到该节点通往核心交换设备ESW-Center的数据包经过的除发送节点外的第一个加密交换设备。本发明中将加密节点通往核心交换设备ESW-Center的数据包经过的第一个加密交换设备称该加密节点的父加密交换设备,核心交换设备ESW-Center的父加密交换设备就是核心交换设备ESW-Center本身。本发明对非加密节点不定义父加密交换设备。
如图1所示,加密用户终端ESTA1的父加密交换设备为ESW-Center;加密用户终端ESTA4的父加密交换设备为ESW-F;加密交换设备ESW-G的父加密交换设备为ESW-D;核心交换设备ESW-Center的父加密交换设备为ESW-Center本身;非加密用户终端CSTA3和非加密交换设备CSW-B没有父加密交换设备。
如图2所示,父加密交换设备探寻过程主要包括父加密交换设备探寻请求分组和父加密交换设备探寻响应分组。非加密交换设备对于父加密交换设备探寻请求分组、父加密交换设备探寻响应分组直接透传转发。通过该过程,节点可以得到所在局域网拓扑结构中通往核心交换设备ESW-Center方向最近的加密交换设备的信息。
1.1)新节点N1接入到当前局域网后,若新节点N1是非加密交换设备CSW或者是非加密用户终端CSTA,则直接完成接入过程;若新节点N1是加密交换设备ESW或加密用户终端ESTA,则构造父加密交换设备探寻请求分组,并发送给局域网网关。该分组内容为空。
1.2)父加密交换设备ESW-P1收到父加密交换设备探寻分组后,不再转发,将新节点N1信息保存,并根据自己的标识信息,构造父加密交换设备探寻响应分组,发送给新节点N1;该分组主要包含:
  IDESW-P1
其中:
IDESW-P1字段:表示新节点N1的父加密交换设备的标识,父加密交换设备探寻响应分组中IDESW-P1字段值为该加密交换设备ESW-P1的标识。
1.3)新节点N1收到父加密交换设备探寻响应分组后,记录IDESW-P1字段值,该字段值所标识的加密交换设备就是节点N1所在局域网拓扑结构中通往核心交换设备ESW-Center方向最近的加密交换设备,为节点N1的父加密交换设备。
任一新节点N1发送父加密交换设备探寻请求分组给局域网网关,其父加密交换设备ESW-P1一定会收到该请求分组,新节点N1的父加密交换设备ESW-P1可能是核心交换设备ESW-Center,也有可能是新节点N1和核心交换设备ESW-Center之间的一个加密交换设备。根据上述描述,网络中有且仅有一个加密交换设备会对该父加密交换设备探寻请求分组进行响应,并发送父加密交换设备探寻响应分组给新节点N1
2)鉴别与单播密钥建立过程
新节点N1接入到当前局域网后,通过上述的父加密交换设备探寻过程得到其父加密交换设备ESW-P1的信息后,执行如下步骤:
2.1)若新节点N1是非加密交换设备CSW或者是非加密用户终端CSTA,则无需进行鉴别与单播密钥建立过程;
2.2)若新节点N1是加密用户终端,记为ESTA1,则执行如下步骤:
2.2.1)加密用户终端ESTA1通过其它安全机制与其父加密交换设备ESW-P1进行鉴别,并协商出单播密钥USK1-P1(具体的鉴别与单播密钥协商机制本发明中不予限定和定义);
上述步骤2.2.1)加密用户终端ESTA1在建立与其父加密交换设备ESW-P1之间的单播密钥USK1-P1后,还可以包含:
2.2.2)加密用户终端ESTA1通过其父加密交换设备ESW-P1建立与核心交换设备ESW-Center之间的单播密钥USK1-Center
上述步骤2.2.2)中具体的单播密钥的建立机制,本发明不予限定和定义。上述步骤2.2.2)为可选,若系统机制中规定不执行步骤2.2.2),则加密用户终端ESTA1仅建立与父加密交换设备ESW-P1之间的单播密钥;若系统机制中规定执行步骤2.2.2),则加密用户终端ESTA1除建立与父加密交换设备ESW-P1之间的单播密钥外,还建立与核心交换设备ESW-Center之间的单播密钥。
2.3)若新节点N1是加密交换设备,记为ESW1,则执行如下步骤:
2.3.1)加密交换设备ESW1通过其它安全机制与其父加密交换设备ESW-P1进行鉴别,并协商出单播密钥USK1-P1(具体的鉴别与单播密钥协商机制本发明中不予限定和定义);
上述步骤2.3.1)加密交换设备ESW1在建立与其父加密交换设备ESW-P1之间的单播密钥USK1-P1后,还包含:
2.3.2)加密交换设备ESW1通过父加密交换设备ESW-P1建立加密交换设备ESW1与网络中所有其他的加密交换设备两两之间的单播密钥(比如与ESW2之间的单播密钥USK1-2);
上述步骤2.3.1)加密交换设备ESW1在建立与其父加密交换设备ESW-P1之间的单播密钥USK1-P1后,或者还包含:
2.3.3)加密交换设备ESW1通过父加密交换设备ESW-P1建立加密交换设备ESW1与核心交换设备ESW-Center之间的单播密钥USK1-Center
上述步骤2.3.2及2.3.3)中具体的单播密钥的建立机制,本发明不予限定和定义。上述步骤步骤2.3.2)和步骤2.3.3)为二选一步骤。若系统机制中规定执行步骤2.3.2),则网络中所有的加密交换设备两两之间均建立单播密钥;若系统机制中规定执行步骤2.3.3),则网络中所有的加密交换设备仅建立与各自的父加密交换设备之间的单播密钥及与核心交换设备ESW-Center之间的单播密钥。
3)节点间密钥建立
本发明为需要保密通信的两个加密设备之间建立节点间密钥,也即本发明所提供的一种加密设备和非加密设备混合组网的通信方法支持加密设备之间的保密通信。
节点的父加密交换设备是该节点通往核心交换设备ESW-Center的数据包经过的除发送节点外的第一个加密交换设备。此处定义节点通往核心交换设备的数据包经过的第一个加密交换设备为上行加密交换设备。因此,加密用户终端ESTA的上行加密交换设备就是其父加密交换设备,加密交换设备ESW的上行加密交换设备就是其本身。
若发送源节点NSource要与目的节点NDestination之间进行保密通信,若它们之间没有共享的节点间密钥,则需要执行节点间密钥建立过程,建立共享的节点间密钥NKeyS-D,以保证他们之间端到端的保密通信。
以发送源节点NSource与目的节点NDestination之间建立节点间密钥NKeyS-D为例进行说明,发送源节点NSource的父加密交换设备记为ESW-P-S,其标识为IDESW-P-S;目的节点NDestination的父加密交换设备记为ESW-P-D,其标识为IDESW-P-D;发送源节点NSource的上行加密交换设备记为ESW-UP-S,其标识为IDESW-UP-S,称源上行加密交换设备;目的节点NDestination的上行加密交换设备记为ESW-UP-D,其标识为IDESW-UP-D,称目的上行加密交换设备。节点间密钥NKeyS-D的具体建立过程如下:
3.1)若发送源节点NSource知晓目的上行加密交换设备ESW-UP-D的标识IDESW-UP-D的信息,则直接执行3.3);若发送源节点NSource不知晓目的上行加密交换设备ESW-UP-D的标识IDESW-UP-D的信息,则执行3.2);
3.2)发送源节点NSource发起目的上行加密交换设备信息探寻过程,得到并记录目的上行加密交换设备ESW-UP-D的标识IDESW-UP-D,然后执行3.3);
3.3)若源上行加密交换设备ESW-UP-S与目的上行加密交换设备ESW-UP-D是同一个交换设备,则由该加密交换设备负责为发送源节点NSource和目的节点NDestination建立节点间密钥NKeyS-D
3.4)若源上行加密交换设备ESW-UP-S与目的上行加密交换设备ESW-UP-D不是同一个交换设备,则根据已建立的单播密钥的情况,选择适用的节点间密钥建立机制;
3.4.1)若系统机制中规定执行上述步骤2.2.2),即无论步骤2.3.2)和2.3.3)的选择如何,网络中所有的加密节点均已建立与核心交换设备ESW-Center之间的单播密钥,则由核心交换设备ESW-Center负责为发送源节点NSource和目的节点NDestination建立节点间密钥NKeyS-D
3.4.2)若系统机制中规定不执行上述步骤2.2.2),执行上述步骤2.3.2),即网络中的加密用户终端ESTA已建立与其父加密交换设备ESW-Center之间的单播密钥、网络中所有的加密交换设备ESW两两之间已建立单播密钥,则由源上行加密交换设备ESW-UP-S与目的上行加密交换设备ESW-UP-D负责为发送源节点NSource和目的节点NDestination建立节点间密钥NKeyS-D
3.4.3)若系统机制中规定不执行上述步骤2.2.2),执行上述步骤2.3.3),即网络中的加密用户终端ESTA已建立与其父加密交换设备ESW-Center之间的单播密钥、网络中的加密交换设备ESW已建立与核心交换设备ESW-Center之间的单播密钥,则由核心交换设备ESW-Center、源上行加密交换设备ESW-UP-S及目的上行加密交换设备ESW-UP-D负责为发送源节点NSource和目的节点NDestination建立节点间密钥NKeyS-D
节点间密钥NKeyS-D建立后,发送源节点NSource就可利用该节点间密钥NKeyS-D加密数据包,发送给目的节点NDestination;目的节点NDestination就可利用该节点间密钥NKeyS-D解密数据包,即实现了发送源节点NSource和目的节点NDestination之间的端到端保密通信。
4)上述步骤3.2)中的目的上行加密交换设备信息探寻过程如下:
如图3所示,目的上行加密交换设备信息探寻过程主要包括目的上行加密交换设备信息探寻分组和目的上行加密交换设备信息响应分组。该过程主要是实现发送源节点NSource获取目的节点NDestination的上行加密交换设备信息,也即得到ESW-UP-D的信息。
4.1)若发送源节点NSource需要得到目的节点NDestination的上行加密交换设备ESW-UP-D的信息,则构造目的上行加密交换设备信息探寻分组,发送给目的节点NDestination。该分组主要包含:
  IDESW-UP-S
其中:
IDESW-UP-S字段:表示发送源节点NSource的上行加密交换设备的标识。若发送源节点NSource是加密交换设备,则IDESW-UP-S字段值为发送源节点NSource的标识;若发送源节点NSource是用户终端,则IDESW-UP-S字段值为发送源节点NSource的父加密交换设备的标识。
4.2)目的节点NDestination收到目的上行加密交换设备信息探寻分组后,保存发送源节点NSource的上行加密交换设备ESW-UP-S的标识,并构造目的上行加密交换设备探寻响应分组,发送给发送源节点NSource;该分组主要包含:
  IDESW-UP-D
其中:
IDESW-UP-D字段:表示目的节点NDestination的上行加密交换设备ESW-UP-D的标识。若目的节点NDestination是加密交换设备,则IDESW-UP-D字段值为目的节点NDestination的标识;若目的节点NDestination是用户终端,则IDESW-UP-D字段值为目的节点NDestination的父加密交换设备的标识;
4.3)发送源节点NSource收到目的上行加密交换设备信息响应分组后,保存目的节点NDestination的上行加密交换设备ESW-UP-D的标识。
5)上述步骤3.3)中,源上行加密交换设备ESW-UP-S与目的上行加密交换设备ESW-UP-D相同时,源、目的上行加密交换设备记为ESW-UP-SD,发送源节点NSource和ESW-UP-SD之间已建立单播密钥USKS;目的节点NDestination和ESW-UP-SD之间已建立单播密钥USKD。此种情况下,
5.1)发送源节点NSource和目的节点NDestination之间节点间密钥NKeyS-D的建立过程,可由加密交换设备ESW-UP-SD生成一随机数作为节点间密钥NKeyS-D,分别秘密通告给发送源节点NSource和目的节点NDestination。其中,通告给目的节点NDestination的过程用单播密钥USKD进行保护;通告给发送源节点NSource的过程用单播密钥USKS进行保护。
可选地,
5.2)发送源节点NSourcen和目的节点NDestination之间节点间密钥NKeyS-D的建立过程,也可由发送源节点NSource生成一随机数作为节点间密钥NKeyS-D,以逐跳加密的方式利用单播密钥USKD和单播密钥USKS通过加密交换设备ESW-UP-SD秘密通告给目的节点NDestination
可选地,
5.3)发送源节点NSourcen和目的节点NDestination之间节点间密钥NKeyS-D的建立过程,也可由发送源节点NSource和目的节点NDestination协商后计算得到。该协商过程中,发送源节点NSourcen和目的节点NDestination各生成一个随机数NonceS及NonceD告知对方,之后由发送源节点NSource和目的节点NDestination利用同一单向函数以随机数NonceS和随机数NonceD为参数计算得到NKeyS-D。该过程中,随机数NonceS和随机数NonceD的传递需利用单播密钥USKD和单播密钥USKS通过加密交换设备ESW-UP-SD以逐跳加密的方式进行保密传输。
6)上述步骤3.4.1)中,源上行加密交换设备ESW-UP-S与目的上行加密交换设备ESW-UP-D不同时,若系统机制中规定执行上述步骤2.2.2),即无论步骤2.3.2)和2.3.3)的选择如何,网络中所有的加密节点均已建立和核心交换设备ESW-Center之间的单播密钥,即发送源节点NSource和核心交换设备ESW-Center之间已建立单播密钥USKS-Center;目的节点NDestination和核心交换设备ESW-Center之间已建立单播密钥USKD-Center。此种情况下,可参照5)所述,由核心交换设备ESW-Center为发送源节点NSourcen和目的节点NDestination之间建立节点间密钥NKeyS-D
7)上述步骤3.4.2)中,源上行加密交换设备ESW-UP-S与目的上行加密交换设备ESW-UP-D不同时,若系统机制中规定不执行上述步骤2.2.2),执行上述步骤2.3.2),即网络中的加密用户终端ESTA已建立与其父加密交换设备ESW-Center之间的单播密钥、网络中所有的加密交换设备ESW两两之间已建立单播密钥,即发送源节点NSource和源上行加密交换设备ESW-UP-S之间已建立单播密钥USKS-UPS;源上行加密交换设备ESW-UP-S和目的上行加密交换设备ESW-UP-D之间已建立单播密钥USKUPS-UPD;目的节点NDestination和目的上行加密交换设备ESW-UP-D之间已建立单播密钥USKD-UPD。此种情况下:
7.1)发送源节点NSource和目的节点NDestination之间节点间密钥NKeyS-D的建立过程,可由源上行加密交换设备ESW-UP-S和目的上行加密交换设备ESW-UP-D协商计算得到节点间密钥NKeyS-D后,分别秘密通告给发送源节点NSource和目的节点NDestination。该协商过程中,源上行加密交换设备ESW-UP-S和目的上行加密交换设备ESW-UP-D各生成一个随机数NonceUPS及NonceUPD告知对方,之后由源上行加密交换设备ESW-UP-S和目的上行加密交换设备ESW-UP-D利用同一单向函数以NonceUPS、NonceUPD及USKUPS-UPD为参数计算得到NKeyS-D。该过程中,随机数NonceUPS及NonceUPD以明文形式进行传输。源上行加密交换设备ESW-UP-S和目的上行加密交换设备ESW-UP-D在协商得到节点间密钥NKeyS-D后,目的上行加密交换设备ESW-UP-D利用单播密钥USKD-UPD将该节点间密钥NKeyS-D秘密通告给目的节点NDestination;源上行加密交换设备ESW-UP-S利用单播密钥USKS-UPS将该节点间密钥NKeyS-D秘密通告给发送源节点NSource
可选地,
7.2)发送源节点NSource和目的节点NDestination之间节点间密钥NKeyS-D的建立过程,还可由源上行加密交换设备ESW-UP-S生成一随机数作为节点间密钥NKeyS-D,然后以逐跳加密的方式利用单播密钥USKUPS-UPD及USKD-UPD通过目的上行加密交换设备ESW-UP-D秘密通告给目的节点NDestination;再由源上行加密交换设备ESW-UP-S利用单播密钥USKS-UPS秘密通告给发送源节点NSource
可选地,
7.3)发送源节点NSource和目的节点NDestination之间节点间密钥NKeyS-D的建立过程,还可由发送源节点NSource和目的节点NDestination协商后计算得到。该协商过程中,发送源节点NSourcen和目的节点NDestination各生成一个随机数NonceS及NonceD告知对方,之后由发送源节点NSource和目的节点NDestination利用同一个单向函数以随机数NonceS和随机数NonceD为参数计算得到NKeyS-D。该过程中,随机数NonceS和随机数NonceD的传递需通过源上行加密交换设备ESW-UP-S和目的上行加密交换设备ESW-UP-D以逐跳加密的方式利用单播密钥USKS-UPS、USKUPS-UPD及USKD-UPD进行保密传输。
可选地,
7.4)发送源节点NSource和目的节点NDestination之间节点间密钥NKeyS-D的建立过程,还可由发送源节点NSource生成一随机数作为节点间密钥NKeyS-D,通过源上行加密交换设备ESW-UP-S和目的上行加密交换设备ESW-UP-D以逐跳加密的方式利用单播密钥USKS-UPS、USKUPS-UPD及USKD-UPD秘密通告给目的节点NDestination
8)上述步骤3.4.3)中,源上行加密交换设备ESW-UP-S与目的上行加密交换设备ESW-UP-D不同时,若系统机制中规定不执行上述步骤2.2.2),执行上述步骤2.3.3),即网络中的加密用户终端ESTA已建立与其父加密交换设备ESW-Center之间的单播密钥、网络中的加密交换设备ESW已建立与核心交换设备ESW-Center之间的单播密钥,即发送源节点NSource和源上行加密交换设备ESW-UP-S之间已建立单播密钥USKS-UPS;源上行加密交换设备ESW-UP-S和核心交换设备ESW-Center之间已建立单播密钥USKUPS-Center;目的上行加密交换设备ESW-UP-D和核心交换设备ESW-Center之间已建立单播密钥USKUPD-Center;目的节点NDestination和目的上行加密交换设备ESW-UP-D之间已建立单播密钥USKD-UPD。此种情况下,
8.1)发送源节点NSource和目的节点NDestination之间节点间密钥NKeyS-D的建立过程,可由核心交换设备生成一随机数作为节点间密钥NKeyS-D,通过目的上行加密交换设备ESW-UP-D以逐跳加密的方式利用单播密钥USKUPD-Center及USKD-UPD秘密通告给目的节点NDestination,再通过源上行加密交换设备ESW-UP-S以逐跳加密的方式利用单播密钥USKUPS-Center及USKS-UPS秘密通告给发送源节点NSource
可选地,
8.2)发送源节点NSource和目的节点NDestination之间节点间密钥NKeyS-D的建立过程,还可由发送源节点NSource生成一随机数作为节点间密钥NKeyS-D,通过源上行加密交换设备ESW-UP-S、核心交换设备ESW-Center及目的上行加密交换设备ESW-UP-D以逐跳加密的方式利用单播密钥USKS-UPS、USKUPS-Center、USKUPD-Center及USKD-UPD秘密通告给目的节点NDestination
可选地,
8.3)发送源节点NSource和目的节点NDestination之间节点间密钥NKeyS-D的建立过程,还可由源上行加密交换设备ESW-UP-S生成一随机数作为节点间密钥NKeyS-D,通过核心交换设备ESW-Center及目的上行加密交换设备ESW-UP-D以逐跳加密的方式利用单播密钥USKUPS-Center、USKUPD-Center及USKD-UPD秘密通告给目的节点NDestination后,再利用单播密钥USKS-UPS秘密通告给发送源节点NSource
可选地,
8.4)发送源节点NSource和目的节点NDestination之间节点间密钥NKeyS-D的建立过程,还可由源上行加密交换设备ESW-UP-S和目的上行加密交换设备ESW-UP-D协商计算得到节点间密钥NKeyS-D后,分别秘密通告给发送源节点NSource和目的节点NDestination。该协商过程中,源上行加密交换设备ESW-UP-S和目的上行加密交换设备ESW-UP-D各生成一个随机数NonceUPS及NonceUPD告知对方,之后由源上行加密交换设备ESW-UP-S和目的上行加密交换设备ESW-UP-D利用同一单向函数以随机数NonceUPS和随机数NonceUPD为参数计算得到NKeyS-D。该过程中,随机数NonceUPS和随机数NonceUPD的传递需通过核心交换设备ESW-Center以逐跳加密的方式利用单播密钥USKUPS-Center及USKUPD-Center进行保密传输。且目的上行加密交换设备ESW-UP-D将该节点间密钥NKeyS-D通告给目的节点NDestination的过程由单播密钥USKD-UPD进行保护;源上行加密交换设备ESW-UP-S将该节点间密钥NKeyS-D通告发送源节点NSource的过程由单播密钥USKS-UPS进行保护。
可选地,
8.5)发送源节点NSource和目的节点NDestination之间节点间密钥NKeyS-D的建立过程,还可由发送源节点NSource和目的节点NDestination协商后计算得到。该协商过程中,发送源节点NSourcen和目的节点NDestination各生成一个随机数NonceS及NonceD告知对方,之后由发送源节点NSource和目的节点NDestination利用同一单向函数以为随机数NonceS和随机数NonceD为参数计算得到NKeyS-D。该过程中,随机数NonceS和随机数NonceD的传递需通过源上行加密交换设备ESW-UP-S、核心交换设备ESW-Center及目的上行加密交换设备ESW-UP-D以逐跳加密的方式利用单播密钥USKS-UPS、USKUPS-Center、USKUPD-Center及USKD-UPD进行保密传输。
本发明所提供的加密设备和非加密设备混合组网的通信方法既可实现非加密节点之间的非加密通信,又可实现加密设备之间的保密通信。本发明对加密设备和非加密设备之间的通信策略不予限定。
本发明通信方法为需要保密通信的加密节点之间建立节点间密钥,并利用该加密节点之间的节点间密钥进行保密通信;加密交换设备ESW对非加密通信数据包进行透传转发;加密交换设备ESW对使用节点间密钥加密的通信数据包进行透传转发;非加密交换设备CSW对保密通信数据包进行透传转发。

Claims (7)

1.一种加密设备和非加密设备混合组网的通信方法,其特征在于:包括以下步骤:
步骤1]当新节点N1接入当前局域网时,若新节点N1是非加密交换设备CSW或者是非加密用户终端CSTA,则进行步骤5];若新节点N1是加密交换设备ESW或加密用户终端ESTA,则进行步骤2];
步骤2]父加密交换设备探寻过程:
步骤2.1]父加密交换设备探寻请求分组:
新节点N1构造父加密交换设备探寻请求分组,并发送给局域网网关;该分组内容为空;
步骤2.2]父加密交换设备探寻响应分组:
父加密交换设备ESW-P1收到父加密交换设备探寻请求分组后,不再转发,将新节点N1信息保存,并根据自己的标识信息,构造父加密交换设备探寻响应分组,发送给新节点N1;该分组内容主要包含:
  IDESW-P1
所述IDESW-P1字段表示新节点N1的父加密交换设备的标识,其字段值为加密交换设备ESW-P1的标识值;
其中:加密节点通往核心交换设备ESW-Center的数据包经过的除发送节点外的第一个加密交换设备是该加密节点的父加密交换设备,核心交换设备ESW-Center的父加密交换设备就是核心交换设备ESW-Center本身;局域网的核心交换设备ESW-Center是加密交换设备,局域网中所有的三层交换设备是加密交换设备;
步骤2.3]确定父加密交换设备:
新节点N1收到父加密交换设备探寻响应分组后,记录IDESW-P1字段值,该字段值所标识的加密交换设备就是新节点N1的父加密交换设备;
步骤3]鉴别与单播密钥建立过程:
若新节点N1是加密用户终端,记为ESTA1,则加密用户终端ESTA1通过其它安全机制与其父加密交换设备ESW-P1进行鉴别,并协商出新节点N1与其父加密交换设备ESW-P1之间的单播密钥USK1-P1
若新节点N1是加密交换设备,记为ESW1,则加密交换设备ESW1通过其它安全机制与其父加密交换设备ESW-P1进行鉴别,并协商出单播密钥USK1-P1;然后加密交换设备ESW1执行以下步骤之一:
1]加密交换设备ESW1通过父加密交换设备ESW-P1建立加密交换设备ESW1与网络中所有其他的加密交换设备两两之间的单播密钥;
2]加密交换设备ESW1通过父加密交换设备ESW-P1建立加密交换设备ESW1与核心交换设备ESW-Center之间的单播密钥USK1-Center
步骤4]节点间密钥建立:
步骤4.1]若发送源节点NSource知晓目的上行加密交换设备ESW-UP-D的标识IDESW-UP-D的信息,则执行步骤4.3];若发送源节点NSource不知晓目的上行加密交换设备ESW-UP-D的标识IDESW-UP-D的信息,则执行步骤4.2];
其中:上行加密交换设备是指加密节点通往核心交换设备的数据包经过的第一个加密交换设备;目的上行加密交换设备是指目的节点NDestination的上行加密交换设备,记为ESW-UP-D,其标识为IDESW-UP-D
步骤4.2]发送源节点NSource获取目的上行加密交换设备ESW-UP-D的标识IDESW-UP-D,并记录该标识,然后执行步骤4.3];
步骤4.3]若源上行加密交换设备ESW-UP-S与目的上行加密交换设备ESW-UP-D是同一个交换设备,则由该加密交换设备负责为发送源节点NSource和目的节点NDestination建立节点间密钥NKeyS-D
若源上行加密交换设备ESW-UP-S与目的上行加密交换设备ESW-UP-D不是同一个交换设备,则根据已建立的单播密钥的情况,选择以下适用的一种节点间密钥建立机制建立节点间密钥NKeyS-D
1]若网络中的加密用户终端ESTA已建立与其父加密交换设备ESW-Center之间的单播密钥且网络中所有的加密交换设备ESW两两之间已建立单播密钥,则由源上行加密交换设备ESW-UP-S与目的上行加密交换设备ESW-UP-D负责为发送源节点NSource和目的节点NDestination建立节点间密钥NKeyS-D
2]若网络中的加密用户终端ESTA已建立与其父加密交换设备ESW-Center之间的单播密钥且网络中的加密交换设备ESW已建立与核心交换设备ESW-Center之间的单播密钥,则由核心交换设备ESW-Center、源上行加密交换设备ESW-UP-S及目的上行加密交换设备ESW-UP-D负责为发送源节点NSource和目的节点NDestination建立节点间密钥NKeyS-D
其中:源上行加密交换设备是指发送源节点NSource的上行加密交换设备,记为ESW-UP-S,其标识为IDESW-UP-S
步骤5]完成接入过程,按以下原则进行通信:
需要保密通信的加密节点之间采用按照步骤4]所建立的节点间密钥进行保密通信;
非加密节点之间进行非加密通信;
加密交换设备ESW对非加密通信数据包进行透传转发;
加密交换设备ESW对使用节点间密钥加密的通信数据包进行透传转发;
非加密交换设备CSW对保密通信数据包进行透传转发。
2.根据权利要求1所述的加密设备和非加密设备混合组网的通信方法,其特征在于:所述步骤4.2]发送源节点NSource获取目的上行加密交换设备ESW-UP-D的标识IDESW-UP-D的具体过程如下:
步骤4.2.1]目的上行加密交换设备信息探寻分组:
发送源节点NSource构造目的上行加密交换设备信息探寻分组,发送给目的节点NDestination;该分组包含:
  IDESW-UP-S
所述IDESW-UP-S字段表示发送源节点NSource的上行加密交换设备ESW-UP-S的标识,其字段值为该上行加密交换设备ESW-UP-S的标识值;
步骤4.2.2]目的上行加密交换设备信息响应分组:
目的节点NDestination收到目的上行加密交换设备信息探寻分组后,保存发送源节点NSource的上行加密交换设备ESW-UP-S的标识,并构造目的上行加密交换设备探寻响应分组,发送给发送源节点NSource;该分组包含:
  IDESW-UP-D
所述IDESW-UP-D字段表示目的节点NDestination的上行加密交换设备ESW-UP-D的标识,其字段值为该上行加密交换设备ESW-UP-D的标识值;
步骤4.2.3]发送源节点NSource收到目的上行加密交换设备信息响应分组后,获得目的节点NDestination的上行加密交换设备ESW-UP-D的标识。
3.根据权利要求1或2所述的加密设备和非加密设备混合组网的通信方法,其特征在于:当新节点N1是加密用户终端时,加密用户终端ESTA1在建立与其父加密交换设备ESW-P1之间的单播密钥USK1-P1后,加密用户终端ESTA1还进行以下步骤:
加密用户终端ESTA1通过其父加密交换设备ESW-P1建立与核心交换设备ESW-Center之间的单播密钥USK1-Center;再由核心交换设备ESW-Center负责为发送源节点NSource和目的节点NDestination建立节点间密钥NKeyS-D
4.根据权利要求3所述的加密设备和非加密设备混合组网的通信方法,其特征在于:核心交换设备ESW-Center为发送源节点NSource和目的节点NDestination建立节点间密钥NKeyS-D的具体方式为以下方式之一:
1]由核心交换设备ESW-Center生成一随机数作为节点间密钥NKeyS-D,分别秘密通告给发送源节点NSource和目的节点NDestination;其中,通告给目的节点NDestination的过程用目的节点NDestination和核心交换设备ESW-Center之间的单播密钥USKD-Center进行保护,通告给发送源节点NSource的过程用发送源节点NSource和核心交换设备ESW-Center之间的单播密钥USKS-Center进行保护;
2]由发送源节点NSource生成一随机数作为节点间密钥NKeyS-D,以逐跳加密的方式利用单播密钥USKS-Center和单播密钥USKD-Center通过核心交换设备ESW-Center秘密通告给目的节点NDestination
3]由发送源节点NSourcen和目的节点NDestination各生成一随机数NonceS及随机数NonceD告知对方,之后由发送源节点NSource和目的节点NDestination利用同一单向函数以随机数NonceS和随机数NonceD为参数分别本地计算得到节点间密钥NKeyS-D;该过程中,随机数NonceS的传递利用单播密钥USKS-Center和单播密钥USKD-Center通过核心交换设备ESW-Center以逐跳加密的方式进行保密传输;随机数NonceD的传递利用单播密钥USKD-Center和单播密钥USKS-Center通过核心交换设备ESW-Center以逐跳加密的方式进行保密传输。
5.根据权利要求1或2所述的加密设备和非加密设备混合组网的通信方法,其特征在于:所述步骤4.3]中若源上行加密交换设备ESW-UP-S与目的上行加密交换设备ESW-UP-D是同一个交换设备,记为加密交换设备ESW-UP-SD,则该加密交换设备ESW-UP-SD为发送源节点NSource和目的节点NDestination建立节点间密钥NKeyS-D的具体方式为以下方式之一:
1]由加密交换设备ESW-UP-SD生成一随机数作为节点间密钥NKeyS-D,分别秘密通告给发送源节点NSource和目的节点NDestination;其中,通告给目的节点NDestination的过程用目的节点NDestination与加密交换设备ESW-UP-SD之间的单播密钥USKD进行保护,通告给发送源节点NSource的过程用发送源节点NSource与加密交换设备ESW-UP-SD之间的单播密钥USKS进行保护;
2]由发送源节点NSource生成一随机数作为节点间密钥NKeyS-D,以逐跳加密的方式利用单播密钥USKD和单播密钥USKS通过加密交换设备ESW-UP-SD秘密通告给目的节点NDestination
3]由发送源节点NSourcen和目的节点NDestination各生成一随机数NonceS及随机数NonceD告知对方,之后由发送源节点NSource和目的节点NDestination利用同一单向函数以随机数NonceS和随机数NonceD为参数分别本地计算得到节点间密钥NKeyS-D;该过程中,随机数NonceS的传递利用单播密钥USKS和单播密钥USKD通过加密交换设备ESW-UP-SD以逐跳加密的方式进行保密传输;随机数NonceD的传递利用单播密钥USKD和单播密钥USKS通过加密交换设备ESW-UP-SD以逐跳加密的方式进行保密传输。
6.根据权利要求1或2所述的加密设备和非加密设备混合组网的通信方法,其特征在于:所述步骤4.3]中若源上行加密交换设备ESW-UP-S与目的上行加密交换设备ESW-UP-D不是同一个交换设备,且网络中的加密用户终端ESTA已建立与其父加密交换设备ESW-Center之间的单播密钥、网络中所有的加密交换设备ESW两两之间已建立单播密钥,则源上行加密交换设备ESW-UP-S与目的上行加密交换设备ESW-UP-D为发送源节点NSource和目的节点NDestination建立节点间密钥NKeyS-D的具体方式为以下方式之一:
1]由源上行加密交换设备ESW-UP-S和目的上行加密交换设备ESW-UP-D各生成一随机数NonceUPS及随机数NonceUPD告知对方,之后由源上行加密交换设备ESW-UP-S和目的上行加密交换设备ESW-UP-D利用同一单向函数以NonceUPS、NonceUPD及源上行加密交换设备ESW-UP-S和目的上行加密交换设备ESW-UP-D之间的单播密钥USKUPS-UPD为参数分别本地计算得到节点间密钥NKeyS-D;然后,目的上行加密交换设备ESW-UP-D利用目的上行加密交换设备ESW-UP-D和目的节点NDestination之间的单播密钥USKD-UPD将该节点间密钥NKeyS-D秘密通告给目的节点NDestination;源上行加密交换设备ESW-UP-S利用源上行加密交换设备ESW-UP-S和发送源节点NSource之间的单播密钥USKS-UPS将该节点间密钥NKeyS-D秘密通告给发送源节点NSource
2]由源上行加密交换设备ESW-UP-S生成一随机数作为节点间密钥NKeyS-D,然后以逐跳加密的方式利用单播密钥USKUPS-UPD及USKD-UPD通过目的上行加密交换设备ESW-UP-D秘密通告给目的节点NDestination;再由源上行加密交换设备ESW-UP-S利用单播密钥USKS-UPS秘密通告给发送源节点NSource
3]由发送源节点NSourcen和目的节点NDestination各生成一随机数NonceS及随机数NonceD告知对方,之后由发送源节点NSource和目的节点NDestination利用同一个单向函数以随机数NonceS和随机数NonceD为参数分别本地计算得到节点间密钥NKeyS-D;该过程中,随机数NonceS传递需通过源上行加密交换设备ESW-UP-S和目的上行加密交换设备ESW-UP-D以逐跳加密的方式利用单播密钥USKS-UPS、USKUPS-UPD及USKD-UPD进行保密传输;随机数NonceD的传递需通过目的上行加密交换设备ESW-UP-D和源上行加密交换设备ESW-UP-S以逐跳加密的方式利用单播密钥USKD-UPD、USKUPS-UPD及USKS-UPS进行保密传输;
4]由发送源节点NSource生成一随机数作为节点间密钥NKeyS-D,通过源上行加密交换设备ESW-UP-S和目的上行加密交换设备ESW-UP-D以逐跳加密的方式利用单播密钥USKS-UPS、USKUPS-UPD及USKD-UPD秘密通告给目的节点NDestination
7.根据权利要求1或2所述的加密设备和非加密设备混合组网的通信方法,其特征在于:所述步骤4.3]中若源上行加密交换设备ESW-UP-S与目的上行加密交换设备ESW-UP-D不是同一个交换设备,且网络中的加密用户终端ESTA已建立与其父加密交换设备ESW-Center之间的单播密钥、网络中的加密交换设备ESW已建立与核心交换设备ESW-Center之间的单播密钥,则核心交换设备ESW-Center、源上行加密交换设备ESW-UP-S及目的上行加密交换设备ESW-UP-D为发送源节点NSource和目的节点NDestination建立节点间密钥NKeyS-D的具体方式为以下方式之一:
1]由核心交换设备ESW-Center生成一随机数作为节点间密钥NKeyS-D,通过目的上行加密交换设备ESW-UP-D以逐跳加密的方式利用核心交换设备ESW-Center和目的上行加密交换设备ESW-UP-D之间的单播密钥USKUPD-Center及目的上行加密交换设备ESW-UP-D和目的节点NDestination之间的单播密钥USKD-UPD秘密通告给目的节点NDestination,再通过源上行加密交换设备ESW-UP-S以逐跳加密的方式利用核心交换设备ESW-Center和源上行加密交换设备ESW-UP-S之间的单播密钥USKUPS-Center及源上行加密交换设备ESW-UP-S和发送源节点NSource之间的单播密钥USKS-UPS秘密通告给发送源节点NSource
2]由发送源节点NSource生成一随机数作为节点间密钥NKeyS-D,将节点间密钥NKeyS-D通过源上行加密交换设备ESW-UP-S、核心交换设备ESW-Center及目的上行加密交换设备ESW-UP-D以逐跳加密的方式利用单播密钥USKS-UPS、USKUPS-Center、USKUPD-Center及USKD-UPD秘密通告给目的节点NDestination
3]由源上行加密交换设备ESW-UP-S生成一随机数作为节点间密钥NKeyS-D,将节点间密钥NKeyS-D通过核心交换设备ESW-Center及目的上行加密交换设备ESW-UP-D以逐跳加密的方式利用单播密钥USKUPS-Center、USKUPD-Center及USKD-UPD秘密通告给目的节点NDestination后,再利用单播密钥USKS-UPS秘密通告给发送源节点NSource
4]由源上行加密交换设备ESW-UP-S和目的上行加密交换设备ESW-UP-D各生成一随机数NonceUPS及随机数NonceUPD告知对方,之后由源上行加密交换设备ESW-UP-S和目的上行加密交换设备ESW-UP-D利用同一单向函数以随机数NonceUPS和随机数NonceUPD为参数分别本地计算得到节点间密钥NKeyS-D;该过程中,随机数NonceUPS的传递需通过核心交换设备ESW-Center以逐跳加密的方式利用单播密钥USKUPS-Center和USKUPD-Center进行保密传输;随机数NonceUPD的传递需通过核心交换设备ESW-Center以逐跳加密的方式利用单播密钥USKUPD-Center和USKUPS-Center进行保密传输;之后目的上行加密交换设备ESW-UP-D将该节点间密钥NKeyS-D利用单播密钥USKD-UPD通告给目的节点NDestination,源上行加密交换设备ESW-UP-S将该节点间密钥NKeyS-D利用单播密钥USKS-UPS通告发送源节点NSource
5]由发送源节点NSourcen和目的节点NDestination各生成一随机数NonceS及随机数NonceD告知对方,之后由发送源节点NSource和目的节点NDestination利用同一单向函数以随机数NonceS和随机数NonceD为参数分别本地计算得到节点间密钥NKeyS-D;该过程中,随机数NonceS的传递需通过源上行加密交换设备ESW-UP-S、核心交换设备ESW-Center及目的上行加密交换设备ESW-UP-D以逐跳加密的方式利用单播密钥USKS-UPS、USKUPS-Center、USKUPD-Center及USKD-UPD进行保密传输;随机数NonceD的传递需通过目的上行加密交换设备ESW-UP-D、核心交换设备ESW-Center及源上行加密交换设备ESW-UP-S以逐跳加密的方式利用单播密钥USKD-UPD、USKUPD-Center、USKUPS-Center及USKS-UPS进行保密传输。
CN2010101553263A 2010-04-23 2010-04-23 一种加密设备和非加密设备混合组网的通信方法 Expired - Fee Related CN101834722B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN2010101553263A CN101834722B (zh) 2010-04-23 2010-04-23 一种加密设备和非加密设备混合组网的通信方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN2010101553263A CN101834722B (zh) 2010-04-23 2010-04-23 一种加密设备和非加密设备混合组网的通信方法

Publications (2)

Publication Number Publication Date
CN101834722A CN101834722A (zh) 2010-09-15
CN101834722B true CN101834722B (zh) 2012-06-13

Family

ID=42718661

Family Applications (1)

Application Number Title Priority Date Filing Date
CN2010101553263A Expired - Fee Related CN101834722B (zh) 2010-04-23 2010-04-23 一种加密设备和非加密设备混合组网的通信方法

Country Status (1)

Country Link
CN (1) CN101834722B (zh)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102035845B (zh) * 2010-12-20 2012-07-18 西安西电捷通无线网络通信股份有限公司 支持链路层保密传输的交换设备及其数据处理方法
CN102426636A (zh) * 2011-10-31 2012-04-25 绚视软件科技(上海)有限公司 可挂载式加密算法引擎系统及其使用方法
CN115277200B (zh) * 2022-07-27 2023-08-15 北京国领科技有限公司 一种链路层透明加密系统多节点密钥自动协商管理的方法

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN100463391C (zh) * 2006-09-23 2009-02-18 西安西电捷通无线网络通信有限公司 一种网络密钥管理及会话密钥更新方法
CN101227272A (zh) * 2007-01-19 2008-07-23 华为技术有限公司 一种获取媒体流保护密钥的方法和系统
CN101183934A (zh) * 2007-10-23 2008-05-21 中兴通讯股份有限公司 无源光网络中密钥更新方法
CN101521580B (zh) * 2009-03-25 2014-12-10 中兴通讯股份有限公司 无线局域网鉴别与保密基础结构单播密钥协商方法及系统

Also Published As

Publication number Publication date
CN101834722A (zh) 2010-09-15

Similar Documents

Publication Publication Date Title
CN102130768B (zh) 一种具有链路层加解密能力的终端设备及其数据处理方法
CN109995513B (zh) 一种低延迟的量子密钥移动服务方法
CN102035845B (zh) 支持链路层保密传输的交换设备及其数据处理方法
US8831227B2 (en) Method and system for establishing secure connection between stations
CN108510270B (zh) 一种量子安全的移动转账方法
CN104994112A (zh) 一种无人机与地面站通信数据链加密的方法
CN101499972B (zh) Ip安全报文转发方法及装置
US20180288013A1 (en) End-to-end secured communication for mobile sensor in an iot network
JP2006505222A (ja) ブリッジ暗号vlan
CA2650050A1 (en) Method and system for providing cellular assisted secure communications of a plurality of ad hoc devices
CN101420686B (zh) 基于密钥的工业无线网络安全通信实现方法
CN101854244B (zh) 一种三段式安全网络架构建立和保密通信方法及其系统
CN101917272A (zh) 一种邻居用户终端间保密通信方法及系统
CN109995514A (zh) 一种安全高效的量子密钥移动服务方法
CN109995511A (zh) 一种基于量子密钥分发网络的移动保密通信方法
CN102036230A (zh) 本地路由业务的实现方法、基站及系统
CN109995512A (zh) 一种基于量子密钥分发网络的移动安全应用方法
CN101741548B (zh) 交换设备间安全连接的建立方法及系统
CN110943835A (zh) 一种发送无线局域网信息的配网加密方法及系统
CN109842442B (zh) 一种以机场为区域中心的量子密钥服务方法
US20080072033A1 (en) Re-encrypting policy enforcement point
CN101834722B (zh) 一种加密设备和非加密设备混合组网的通信方法
US8559632B2 (en) Method for transferring messages comprising extensible markup language information
CN103200191B (zh) 通信装置和无线通信方法
CN104038930B (zh) 一种端到中心ip数据分组加密的方法

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
C14 Grant of patent or utility model
GR01 Patent grant
CF01 Termination of patent right due to non-payment of annual fee
CF01 Termination of patent right due to non-payment of annual fee

Granted publication date: 20120613