CN101834862B - 一种节点间安全连接建立方法及系统 - Google Patents

一种节点间安全连接建立方法及系统 Download PDF

Info

Publication number
CN101834862B
CN101834862B CN201010159673.3A CN201010159673A CN101834862B CN 101834862 B CN101834862 B CN 101834862B CN 201010159673 A CN201010159673 A CN 201010159673A CN 101834862 B CN101834862 B CN 101834862B
Authority
CN
China
Prior art keywords
key
destination
switching equipment
field
node
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201010159673.3A
Other languages
English (en)
Other versions
CN101834862A (zh
Inventor
李琴
曹军
铁满霞
葛莉
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
China Iwncomm Co Ltd
Original Assignee
China Iwncomm Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by China Iwncomm Co Ltd filed Critical China Iwncomm Co Ltd
Priority to CN201010159673.3A priority Critical patent/CN101834862B/zh
Publication of CN101834862A publication Critical patent/CN101834862A/zh
Priority to PCT/CN2011/070515 priority patent/WO2011134294A1/zh
Application granted granted Critical
Publication of CN101834862B publication Critical patent/CN101834862B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Small-Scale Networks (AREA)

Abstract

一种节点间安全连接建立方法,该方法包括:1)发送源节点NSource发送密钥请求分组给交换设备SWFirst;2)交换设备SWFirst发送临时密钥通告分组给交换设备SWLast;3)交换设备SWLast发送密钥通告分组给目的节点NDestination;4)目的节点NDestination发送密钥通告响应分组给交换设备SWLast;5)交换设备SWLast发送临时密钥通告响应分组给交换设备SWFirst;6)交换设备SWFirst发送密钥响应分组给发送源节点NSource;7)发送源节点NSource接收密钥响应分组。本发明建立和更新过程灵活,无需管理员为全网节点两两之间部署共享的静态密钥。

Description

一种节点间安全连接建立方法及系统
技术领域
本发明涉及信息安全技术中的有线局域网安全应用领域,特别涉及一种节点间安全连接建立方法及系统。
背景技术
有线局域网一般为广播型网络,一个节点发出的数据,其它节点都能收到。网络上的各个节点共享信道,这给网络带来了极大的安全隐患。攻击者只要接入网络进行监听,就可以捕获网络上所有的数据包。现有国家标准GB/T 15629.3(对应IEEE 802.3或ISO/IEC 8802-3)定义的局域网LAN并不提供数据保密方法,这样就使得攻击者容易窃取到关键信息。
在有线局域网中,标准组织IEEE通过对IEEE 802.3进行安全增强来实现链路层的安全。IEEE 802.1AE为保护以太网提供数据加密协议,并采用逐跳加密的安全措施来实现网络节点之间数据的安全传达。但是,这种安全措施要求交换设备对需要转发的每一个数据包都进行解密再加密再转发的处理过程,无疑给局域网中的交换设备带来了巨大的计算负担,容易引发攻击者对交换设备的攻击;且数据包从发送节点传递到目的节点的延时也会增大,降低了网络传输效率。
有线局域网的拓扑结构比较复杂,涉及到的节点数目也比较多,因此网络中的数据通信比较复杂。如果为局域网节点间分配静态的密钥对来建立节点间的安全连接,其分配和更新过程极为复杂。
发明内容
为了解决背景技术中存在的上述问题,本发明提供了一种节点间安全连接建立方法及系统。
本发明的技术解决方案是:本发明一种节点间安全连接建立方法,其特殊之处在于:该方法包括以下步骤:
1)发送源节点NSource发送密钥请求分组给交换设备SWFirst
2)交换设备SWFirst发送临时密钥通告分组给交换设备SWLast
3)交换设备SWLast发送密钥通告分组给目的节点NDestination
4)目的节点NDestination发送密钥通告响应分组给交换设备SWLast
5)交换设备SWLast发送临时密钥通告响应分组给交换设备SWFirst
6)交换设备SWFirst发送密钥响应分组给发送源节点NSource
7)发送源节点NSource接收密钥响应分组。
上述步骤1)中密钥请求分组包括IDDestination字段,IDDestination字段表示目的节点NDestination的标识;
上述步骤2)的具体步骤如下:交换设备SWFirst收到密钥请求分组后,生成一随机数作为临时密钥,将该临时密钥作为此次发送源节点NSource和目的节点NDestination之间的共享密钥KEYS-D,构造临时密钥通告分组发送给交换设备SWLast;该临时密钥通告分组包括:IDSource字段、IDDestination字段、EKey1字段和MIC1字段,其中:IDSource字段表示发送源节点NSource的标识;IDDestination字段表示目的节点NDestination的标识;EKey1字段表示密钥资料数据,由交换设备SWFirst用其与交换设备SWLast之间的密钥KEYF-L对共享密钥KEYS-D加密后的数据;MIC1字段表示消息完整性验证码,是交换设备SWFirst利用其与交换设备SWLast之间的密钥KEYF-L对构造的临时密钥通告分组除本字段外其他字段通过杂凑函数计算得到的杂凑值。
上述步骤3)的具体步骤如下:
3.1)交换设备SWLast收到临时密钥通告分组后,利用其与交换设备SWFirst之间的密钥KEYF-L验证MIC1是否正确,若不正确,则丢弃该分组;否则,执行3.2);
3.2)利用其与交换设备SWFirst之间的密钥KEYF-L解密EKey1字段,得到临时密钥,将其作为发送源节点NSource和目的节点NDestination之间的共享密钥KEYS-D
3.3)构造密钥通告分组发送给目的节点NDestination;该密钥通告分组中包括:IDSource字段、Ekey2字段和MIC2字段,其中:IDSource字段表示发送源节点NSource的标识;Ekey2字段表示密钥资料数据,由交换设备SWLast用其与目的节点NDestination之间的密钥KEYD对计算得到的发送源节点NSource和目的节点NDestination之间的共享密钥KEYS-D加密后的数据;MIC2字段表示消息完整性验证码,由交换设备SWLast用其与目的节点NDestination之间的密钥KEYD对该密钥通告分组中本字段外的其他字段通过杂凑函数计算得到的杂凑值。
上述步骤4)的具体步骤如下:
4.1)目的节点NDestination收到密钥通告分组后,利用与交换设备SWLast之间的密钥KEYD验证MIC2是否正确,若不正确,则丢弃该分组;否则,执行4.2);
4.2)利用与交换设备SWLast之间的密钥KEYD解密Ekey2字段即可得到与发送源节点NSource之间的共享密钥KEYS-D
4.3)构造密钥通告响应分组发送给交换设备SWLast;该密钥通告响应分组包括:IDSource字段和MIC3字段,其中:IDSource字段表示发送源节点NSource的标识,其值同收到的密钥通告分组中的IDSource字段的值;MIC3字段表示消息完整性验证码,由目的节点NDestination利用与交换设备SWLast之间的密钥KEYD对该密钥通告响应分组中本字段外的其他字段通过杂凑函数计算得到的杂凑值。
上述步骤5)的具体步骤如下:
5.1)交换设备SWLast收到密钥通告响应分组后,比较IDSource字段与之前发送的密钥通告分组中IDSource字段值是否一致,若不一致,则丢弃该分组;否则,执行5.2);
5.2)利用与目的节点NDestination之间的密钥KEYD验证MIC3是否正确,若不正确,则丢弃该分组;否则,执行5.3);
5.3)构造临时密钥通告响应分组发送给交换设备SWFirst;该临时密钥通告响应分组包括:IDSource字段、IDDestination字段和MIC4字段,其中:IDSource字段表示发送源节点NSource的标识;IDDestination字段表示目的节点NDestination的标识;MIC4字段表示消息完整性验证码,由交换设备SWLast利用与交换设备SWFirst之间的密钥KEYF-L对该临时密钥通告响应分组中本字段外的其他字段通过杂凑函数计算得到的杂凑值。
上述步骤6)的具体步骤如下:
6.1)交换设备SWFirst收到临时密钥通告响应分组后,检查分组中的IDSource字段、IDDestination字段与之前发送给交换设备SWLast的临时密钥通告分组中的对应字段值是否一致,若不一致,则丢弃该分组;否则,执行6.2);
6.2)利用与交换设备SWLast之间的密钥KEYF-L验证MIC4是否正确,若不正确,则丢弃该分组;否则,构造密钥响应分组发送给发送源节点NSource;该密钥响应分组包括:IDDestination字段、Ekey3字段和MIC5字段,其中:IDDestination字段表示目的节点NDestination的标识;Ekey3字段表示密钥资料数据,由交换设备SWFirst用其与发送源节点NSource之间的密钥KEYS对计算得到的发送源节点NSource和目的节点NDestination之间的共享密钥KEYS-D加密后的数据;MIC5字段表示消息完整性验证码,由交换设备SWFirst用其与发送源节点NSource之间的密钥KEYS对该密钥响应分组中本字段外的其他字段通过杂凑函数计算得到的杂凑值。
上述步骤7)的具体步骤如下:
7.1)发送源节点NSource收到密钥响应分组后,利用与交换设备SWFirst之间的密钥KEYS验证MIC5是否正确,若不正确,则丢弃该分组;否则,执行7.2);
7.2)利用与交换设备SWFirst之间的密钥KEYS解密Ekey3字段即可得到与目的节点NDestination之间的共享密钥KEYS-D,即完成发送源节点NSource和目的节点NDestination之间共享密钥KEYS-D的建立过程。
共享密钥KEYS-D建立后,发送源节点NSource与目的节点NDestination之间的通信数据包就可以利用该共享密钥KEYS-D进行加密解密,即实现了发送源节点NSource与目的节点NDestination之间保密通信。
本发明还提供一种节点间安全连接的建立系统,其特殊之处在于:该系统包括向交换设备SWFirst发送密钥请求分组、接收交换设备SWFirst发送的密钥响应分组的发送源节点NSource;接收发送源节点NSource发送的密钥请求分组、向交换设备SWLast发送临时密钥通告分组、接收交换设备SWLast发送的临时密钥通告响应分组、向发送源节点NSource发送密钥响应分组的交换设备SWFirst;接收交换设备SWFirst发送的临时密钥通告分组、向目的节点NDestination发送密钥通告分组、接收目的节点NDestination发送的密钥通告响应分组、向交换设备SWFirst发送临时密钥通告响应分组的交换设备SWLast;接收交换设备SWLast发送的密钥通告分组、向交换设备SWLast发送密钥通告响应分组的目的节点NDestination
本发明的优点是:发送源节点NSource和目的节点NDestination之间的密钥是通过交换设备SWFirst临时生成,并分别通告给发送源节点NSource和目的节点NDestination的。节点间共享密钥的建立和更新过程可由发送源节点NSource的发送密钥请求分组触发。该建立和更新过程灵活,无需管理员为全网节点两两之间部署共享的静态密钥。
附图说明
图1为本发明的节点间共享密钥建立过程示意图。
具体实施方式
本发明中定义的节点N(Node)是指局域网中的用户终端STA(STAtion)和交换设备SW(SWitch)。局域网中的集线器等物理层设备不作为节点处理。
假设,在网络中相邻的交换设备与用户终端之间、相邻的交换设备与交换设备之间通过预分发或其他安全机制均已建立安全连接,即已具有共享的密钥;所有的交换设备两两之间通过预分发或其他安全机制已建立安全连接,即已具有共享的密钥。本发明中对该假设中的密钥的建立机制不予限制和定义。
以发送源节点NSource与目的节点NDestination之间的安全连接建立为例,交换设备SWFirst是指从发送源节点NSource到目的节点NDestination的数据包经过的第一个交换设备,交换设备SWLast是指从发送源节点NSource到目的节点NDestination的数据包经过的最后一个交换设备。
根据上述的假设,发送源节点NSource与交换设备SWFirst已建立安全连接,共享的密钥记为KEYS,目的节点NDestination与交换设备SWLast已建立安全连接,共享的密钥记为KEYD,交换设备SWFirst与交换设备SWLast已建立安全连接,共享的密钥记为KEYF-L
参见图1,本发明所提供的一种节点间安全连接的建立方法为发送源节点NSource和目的节点NDestination之间建立安全连接的具体方案如下:
1)发送源节点NSource发送密钥请求分组给交换设备SWFirst
该密钥请求分组包括:
  IDDestination
其中:
IDDestination字段:表示目的节点NDestination的标识;
2)交换设备SWFirst发送临时密钥通告分组给交换设备SWLast
交换设备SWFirst收到密钥请求分组后,生成一随机数作为临时密钥,将该临时密钥作为此次发送源节点NSource和目的节点NDestination之间的共享密钥KEYS-D,构造临时密钥通告分组发送给交换设备SWLast。该临时密钥通告分组包括:
  IDSource   IDDestination   EKey1   MIC1
其中:
IDSource字段:表示发送源节点NSource的标识;
IDDestination字段:表示目的节点NDestination的标识;
EKey1字段:表示密钥资料数据,由交换设备SWFirst用其与交换设备SWLast之间的密钥KEYF-L对共享密钥KEYS-D加密后的数据;
MIC1字段:表示消息完整性验证码,由交换设备SWFirst用其与交换设备SWLast之间的密钥KEYF-L对构造的临时密钥通告分组除本字段外其他字段通过杂凑函数计算得到的杂凑值。
3)交换设备SWLast发送密钥通告分组给目的节点NDestination
交换设备SWLast收到临时密钥通告分组后,进行如下处理:
3.1)利用其与交换设备SWFirst之间的密钥KEYF-L验证MIC1是否正确,若不正确,则丢弃该分组;否则,执行3.2);
3.2)利用其与交换设备SWFirst之间的密钥KEYF-L解密EKey1字段,得到临时密钥,将其作为发送源节点NSource和目的节点NDestination之间的共享密钥KEYS-D
3.3)构造密钥通告分组发送给目的节点NDestination
该密钥通告分组中包括:
  IDSource   Ekey2   MIC2
其中:
IDSource字段:表示发送源节点NSource的标识;
Ekey2字段:表示密钥资料数据,由交换设备SWLast用其与目的节点NDestination之间的密钥KEYD对计算得到的发送源节点NSource和目的节点NDestination之间的共享密钥KEYS-D加密后的数据;
MIC2字段:表示消息完整性验证码,由交换设备SWLast用其与目的节点NDestination之间的密钥KEYD对该密钥通告分组中本字段外的其他字段通过杂凑函数计算得到的杂凑值。
4)目的节点NDestination发送密钥通告响应分组给交换设备SWLast
目的节点NDestination收到密钥通告分组后,进行如下处理:
4.1)利用与交换设备SWLast之间的密钥KEYD验证MIC2是否正确,若不正确,则丢弃该分组;否则,执行4.2);
4.2)利用与交换设备SWLast之间的密钥KEYD解密Ekey2字段即可得到与发送源节点NSource之间的共享密钥KEYS-D
4.3)构造密钥通告响应分组发送给交换设备SWLast。该密钥通告响应分组包括:
  IDSource   MIC3
其中:
IDSource字段:表示发送源节点NSource的标识,其值同收到的密钥通告分组中的IDSource字段的值;
MIC3字段:表示消息完整性验证码,由目的节点NDestination利用与交换设备SWLast之间的密钥KEYD对该密钥通告响应分组中本字段外的其他字段通过杂凑函数计算得到的杂凑值。
5)交换设备SWLast发送临时密钥通告响应分组给交换设备SWFirst
交换设备SWLast收到密钥通告响应分组后,进行如下处理:
5.1)比较IDSource字段与之前发送的密钥通告分组中IDSource字段值是否一致,若不一致,则丢弃该分组;否则,执行5.2);
5.2)利用与目的节点NDestination之间的密钥KEYD验证MIC3是否正确,若不正确,则丢弃该分组;否则,执行5.3);
5.3)构造临时密钥通告响应分组发送给交换设备SWFirst
该临时密钥通告响应分组包括:
  IDSource   IDDestination   MIC4
其中:
IDSource字段:表示发送源节点NSource的标识;
IDDestination字段:表示目的节点NDestination的标识;
MIC4字段:表示消息完整性验证码,由交换设备SWLast利用与交换设备SWFirst之间的密钥KEYF-L对该临时密钥通告响应分组中本字段外的其他字段通过杂凑函数计算得到的杂凑值。
6)交换设备SWFirst发送密钥响应分组给发送源节点NSource
交换设备SWFirst收到临时密钥通告响应分组后,进行如下处理:
6.1)检查分组中的IDSource字段、IDDestination字段与之前发送给交换设备SWLast的临时密钥通告分组中的对应字段值是否一致,若不一致,则丢弃该分组;否则,执行6.2);
6.2)利用与交换设备SWLast之间的密钥KEYF-L验证MIC4是否正确,若不正确,则丢弃该分组;否则,构造密钥响应分组发送给发送源节点NSource。该密钥响应分组包括:
  IDDestination   Ekey3   MIC5
其中:
IDDestination字段:表示目的节点NDestination的标识;
Ekey3字段:表示密钥资料数据,由交换设备SWFirst用其与发送源节点NSource之间的密钥KEYS对计算得到的发送源节点NSource和目的节点NDestination之间的共享密钥KEYS-D加密后的数据;
MIC5字段:表示消息完整性验证码,由交换设备SWFirst用其与发送源节点NSource之间的密钥KEYS对该密钥响应分组中本字段外的其他字段通过杂凑函数计算得到的杂凑值。
7)发送源节点NSource接收密钥响应分组;
发送源节点NSource收到密钥响应分组后,进行如下处理:
7.1)利用与交换设备SWFirst之间的密钥KEYS验证MIC5是否正确,若不正确,则丢弃该分组;否则,执行7.2);
7.2)利用与交换设备SWFirst之间的密钥KEYS解密Ekey3字段即可得到与目的节点NDestination之间的共享密钥KEYS-D,即完成发送源节点NSource和目的节点NDestination之间共享密钥KEYS-D的建立过程。
当对上述方案进行具体实施时,发送源节点NSource还可生成一个数值,作为此次节点间密钥建立过程的标识,该标识可为时钟、顺序号或随机数,且在每个消息中进行携带,相应地交换设备SWLast收到密钥通告响应分组后需验证分组中的标识值与其之前接收的临时密钥通告分组中的标识值是否一致;交换设备SWFirst收到临时密钥通告响应分组后需验证分组中的标识值与其之前接收的密钥请求分组中的标识值是否一致;发送源节点NSource收到密钥响应分组后需验证分组中的标识值与其之前发送的密钥请求分组中的标识值是否一致。
当利用上述方案进行具体实施时,也可以由发送源节点NSource、交换设备SWFirst及交换设备SWLast在发送密钥请求分组、临时密钥通告分组、密钥通告分组时,各自独立生成一个数值(可为时钟、顺序号或随机数)作为消息新鲜性标识分别携带在上述分组中,相应地交换设备SWLast收到密钥通告响应分组后需验证分组中的标识值与其之前发送的密钥通告分组中的标识值是否一致;交换设备SWFirst收到临时密钥通告响应分组后需验证分组中的标识值与其之前发送的临时密钥通告分组中的标识值是否一致;发送源节点NSource收到密钥响应分组后需验证分组中的标识值与其之前发送的密钥请求分组中的标识值是否一致。
本发明还提供一种节点间安全连接的建立系统,包括向交换设备SWFirst发送密钥请求分组、接收交换设备SWFirst发送的密钥响应分组的发送源节点NSource;接收发送源节点NSource发送的密钥请求分组、向交换设备SWLast发送临时密钥通告分组、接收交换设备SWLast发送的临时密钥通告响应分组、向发送源节点NSource发送密钥响应分组的交换设备SWFirst;接收交换设备SWFirst发送的临时密钥通告分组、向目的节点NDestination发送密钥通告分组、接收目的节点NDestination发送的密钥通告响应分组、向交换设备SWFirst发送临时密钥通告响应分组的交换设备SWLast;接收交换设备SWLast发送的密钥通告分组、向交换设备SWLast发送密钥通告响应分组的目的节点NDestination

Claims (2)

1.一种节点间安全连接建立方法,其特征在于:该方法包括以下步骤:
1)发送源节点NSource发送密钥请求分组给交换设备SWFirst;密钥请求分组包括IDDestination字段,IDDestination字段表示目的节点NDestination的标识;
2)交换设备SWFirst发送临时密钥通告分组给交换设备SWLast;所述步骤2)的具体步骤如下:交换设备SWFirst收到密钥请求分组后,生成一随机数作为临时密钥,将该临时密钥作为此次发送源节点NSource和目的节点NDestination之间的共享密钥KEYS-D,构造临时密钥通告分组发送给交换设备SWLast;该临时密钥通告分组包括:IDSource字段、IDDestination字段、EKey1字段和MIC1字段,其中:IDSource字段表示发送源节点NSource的标识;IDDestination字段表示目的节点NDestination的标识;EKey1字段表示密钥资料数据,由交换设备SWFirst用其与交换设备SWLast之间的密钥KEYF-L对共享密钥KEYS-D加密后的数据;MIC1字段表示消息完整性验证码,由交换设备SWFirst用其与交换设备SWLast之间的密钥KEYF-L对构造的临时密钥通告分组除本字段外其他字段通过杂凑函数计算得到的杂凑值;
3)交换设备SWLast发送密钥通告分组给目的节点NDestination
3.1)交换设备SWLast收到临时密钥通告分组后,利用其与交换设备SWFirst之间的密钥KEYF-L验证MIC1是否正确,若不正确,则丢弃该分组;否则,执行3.2);
3.2)利用其与交换设备SWFirst之间的密钥KEYF-L解密EKey1字段,得到临时密钥,将其作为发送源节点NSource和目的节点NDestination之间的共享密钥KEYS-D
3.3)构造密钥通告分组发送给目的节点NDestination;该密钥通告分组中包括:IDSource字段、Ekey2字段和MIC2字段,其中:IDSource字段表示发送源节点NSource的标识;Ekey2字段表示密钥资料数据,由交换设备SWLast用其与目的节点NDestination之间的密钥KEYD对计算得到的发送源节点NSource和目的节点NDestination之间的共享密钥KEYS-D加密后的数据;MIC2字段表示消息完整性验证码,由交换设备SWLast用其与目的节点NDestination之间的密钥KEYD对该密钥通告分组中本字段外的其他字段通过杂凑函数计算得到的杂凑值;
4)目的节点NDestination发送密钥通告响应分组给交换设备SWLast
4.1)目的节点NDestination收到密钥通告分组后,利用与交换设备SWLast之间的密钥KEYD验证MIC2是否正确,若不正确,则丢弃该分组;否则,执行4.2);
4.2)利用与交换设备SWLast之间的密钥KEYD解密Ekey2字段即可得到与发送源节点NSource之间的共享密钥KEYS-D
4.3)构造密钥通告响应分组发送给交换设备SWLast;该密钥通告响应分组包括:IDSource字段和MIC3字段,其中:IDSource字段表示发送源节点NSource的标识,其值同收到的密钥通告分组中的IDSource字段的值;MIC3字段表示消息完整性验证码,由目的节点NDestination利用与交换设备SWLast之间的密钥KEYD对该密钥通告响应分组中本字段外的其他字段通过杂凑函数计算得到的杂凑值;
5)交换设备SWLast发送临时密钥通告响应分组给交换设备SWFirst
5.1)交换设备SWLast收到密钥通告响应分组后,比较IDSource字段与之前发送的密钥通告分组中IDSource字段值是否一致,若不一致,则丢弃该分组;否则,执行5.2);
5.2)利用与目的节点NDestination之间的密钥KEYD验证MIC3是否正确,若不正确,则丢弃该分组;否则,执行5.3);
5.3)构造临时密钥通告响应分组发送给交换设备SWFirst;该临时密钥通告响应分组包括:IDSource字段、IDDestination字段和MIC4字段,其中:IDSource字段表示发送源节点NSource的标识;IDDestination字段表示目的节点NDestination的标识;MIC4字段表示消息完整性验证码,由交换设备SWLast利用与交换设备SWFirst之间的密钥KEYF-L对该临时密钥通告响应分组中本字段外的其他字段通过杂凑函数计算得到的杂凑值;
6)交换设备SWFirst发送密钥响应分组给发送源节点NSource
6.1)交换设备SWFirst收到临时密钥通告响应分组后,检查分组中的IDSource字段、IDDestination字段与之前发送给交换设备SWLast的临时密钥通告分组中的对应字段值是否一致,若不一致,则丢弃该分组;否则,执行6.2);
6.2)利用与交换设备SWLast之间的密钥KEYF-L验证MIC4是否正确,若不正确,则丢弃该分组;否则,构造密钥响应分组发送给发送源节点NSource;该密钥响应分组包括:IDDestination字段、Ekey3字段和MIC5字段,其中:IDDestination字段表示目的节点NDestination的标识;Ekey3字段表示密钥资料数据,由交换设备SWFirst用其与发送源节点NSource之间的密钥KEYS对计算得到的发送源节点NSource和目的节点NDestination之间的共享密钥KEYS-D加密后的数据;MIC5字段表示消息完整性验证码,由交换设备SWFirst用其与发送源节点NSource之间的密钥KEYS对该密钥响应分组中本字段外的其他字段通过杂凑函数计算得到的杂凑值;
7)发送源节点NSource接收密钥响应分组;
7.1)发送源节点NSource收到密钥响应分组后,利用与交换设备SWFirst之间的密钥KEYS验证MIC5是否正确,若不正确,则丢弃该分组;否则,执行7.2);
7.2)利用与交换设备SWFirst之间的密钥KEYS解密Ekey3字段即可得到与目的节点NDestination之间的共享密钥KEYS-D,即完成发送源节点NSource和目的节点NDestination之间共享密钥KEYS-D的建立过程。
2.一种用于执行权利要求1所述的节点间安全连接建立方法的节点间安全连接的建立系统。
CN201010159673.3A 2010-04-29 2010-04-29 一种节点间安全连接建立方法及系统 Active CN101834862B (zh)

Priority Applications (2)

Application Number Priority Date Filing Date Title
CN201010159673.3A CN101834862B (zh) 2010-04-29 2010-04-29 一种节点间安全连接建立方法及系统
PCT/CN2011/070515 WO2011134294A1 (zh) 2010-04-29 2011-01-24 一种节点间安全连接建立方法及系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201010159673.3A CN101834862B (zh) 2010-04-29 2010-04-29 一种节点间安全连接建立方法及系统

Publications (2)

Publication Number Publication Date
CN101834862A CN101834862A (zh) 2010-09-15
CN101834862B true CN101834862B (zh) 2013-02-13

Family

ID=42718793

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201010159673.3A Active CN101834862B (zh) 2010-04-29 2010-04-29 一种节点间安全连接建立方法及系统

Country Status (2)

Country Link
CN (1) CN101834862B (zh)
WO (1) WO2011134294A1 (zh)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101834862B (zh) * 2010-04-29 2013-02-13 西安西电捷通无线网络通信股份有限公司 一种节点间安全连接建立方法及系统
CN101969375B (zh) * 2010-10-25 2012-07-04 西安西电捷通无线网络通信股份有限公司 通告式安全连接建立系统及方法
US10142769B2 (en) * 2015-01-14 2018-11-27 Samsung Electronics Co., Ltd. Method and system for establishing a secure communication between remote UE and relay UE in a device to device communication network

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6807277B1 (en) * 2000-06-12 2004-10-19 Surety, Llc Secure messaging system with return receipts
CN1937558A (zh) * 2005-09-22 2007-03-28 索尼株式会社 无线通信系统、装置和方法以及计算机程序
CN101227272A (zh) * 2007-01-19 2008-07-23 华为技术有限公司 一种获取媒体流保护密钥的方法和系统

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1901444A (zh) * 2006-07-21 2007-01-24 北京理工大学 一种降低manet网络密钥管理系统通信量的实现方法
CN101094064A (zh) * 2006-07-25 2007-12-26 中兴通讯股份有限公司 一种ip终端安全接入网络的方法
US10237401B2 (en) * 2007-08-08 2019-03-19 Mitel Networks Corporation Secure call recording system for IP telephony
CN101834862B (zh) * 2010-04-29 2013-02-13 西安西电捷通无线网络通信股份有限公司 一种节点间安全连接建立方法及系统
CN101834863B (zh) * 2010-04-29 2012-03-28 西安西电捷通无线网络通信股份有限公司 一种局域网节点间安全连接建立方法及系统

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6807277B1 (en) * 2000-06-12 2004-10-19 Surety, Llc Secure messaging system with return receipts
CN1937558A (zh) * 2005-09-22 2007-03-28 索尼株式会社 无线通信系统、装置和方法以及计算机程序
CN101227272A (zh) * 2007-01-19 2008-07-23 华为技术有限公司 一种获取媒体流保护密钥的方法和系统

Also Published As

Publication number Publication date
WO2011134294A1 (zh) 2011-11-03
CN101834862A (zh) 2010-09-15

Similar Documents

Publication Publication Date Title
CN101729249B (zh) 用户终端之间安全连接的建立方法及系统
CN101917272B (zh) 一种邻居用户终端间保密通信方法及系统
CN110808837B (zh) 一种基于树形qkd网络的量子密钥分发方法及系统
CN101841413B (zh) 一种端到端安全连接的建立方法及系统
JP6614304B2 (ja) モバイル通信システム、グループゲートウェイ、ue及び通信方法
CN101741548B (zh) 交换设备间安全连接的建立方法及系统
JP2016527736A5 (zh)
CN101834863B (zh) 一种局域网节点间安全连接建立方法及系统
CN101834862B (zh) 一种节点间安全连接建立方法及系统
CN101841547B (zh) 一种端到端共享密钥的建立方法及系统
CN106789845A (zh) 一种网络数据安全传输的方法
CN105472619B (zh) 面向无线自组织网中路由器可信验证方法
CN101814987B (zh) 一种节点间密钥的建立方法及系统
CN101998393A (zh) 无线通信系统中减少数据完整性校验的开销的方法和装置
CN101964708B (zh) 一种节点间会话密钥的建立系统及方法
CN101902324B (zh) 一种节点间通信密钥的建立方法及系统
CN101841414B (zh) 一种端到端通信密钥的建立方法及系统
CN101964802B (zh) 集中式安全连接建立系统及方法
CN107483197A (zh) 一种vpn网络终端密钥分发方法及装置
CN101969375B (zh) 通告式安全连接建立系统及方法
CN101964803B (zh) 节点间会话密钥的建立系统及方法
KR20130010438A (ko) 단말간 직접 통신을 위한 암호화 방법 및 장치

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
C14 Grant of patent or utility model
GR01 Patent grant