CN101834863B - 一种局域网节点间安全连接建立方法及系统 - Google Patents

一种局域网节点间安全连接建立方法及系统 Download PDF

Info

Publication number
CN101834863B
CN101834863B CN2010101599375A CN201010159937A CN101834863B CN 101834863 B CN101834863 B CN 101834863B CN 2010101599375 A CN2010101599375 A CN 2010101599375A CN 201010159937 A CN201010159937 A CN 201010159937A CN 101834863 B CN101834863 B CN 101834863B
Authority
CN
China
Prior art keywords
key
field
switching equipment
destination
source
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN2010101599375A
Other languages
English (en)
Other versions
CN101834863A (zh
Inventor
李琴
曹军
铁满霞
黄振海
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
China Iwncomm Co Ltd
Original Assignee
China Iwncomm Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by China Iwncomm Co Ltd filed Critical China Iwncomm Co Ltd
Priority to CN2010101599375A priority Critical patent/CN101834863B/zh
Publication of CN101834863A publication Critical patent/CN101834863A/zh
Priority to PCT/CN2011/070514 priority patent/WO2011134293A1/zh
Application granted granted Critical
Publication of CN101834863B publication Critical patent/CN101834863B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/047Key management, e.g. using generic bootstrapping architecture [GBA] without using a trusted network node as an anchor
    • H04W12/0471Key exchange
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/041Key generation or derivation

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Small-Scale Networks (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明为一种局域网节点间安全连接建立方法,该方法包括以下步骤:1)发送源节点NSource发送密钥请求分组给交换设备SWFirst;2)交换设备SWFirst发送临时密钥协商请求分组给交换设备SWLast;3)交换设备SWLast发送密钥通告分组给目的节点NDestination;4)目的节点NDestination发送密钥通告响应分组给交换设备SWLast;5)交换设备SWLast发送临时密钥协商响应分组给交换设备SWFirst;6)交换设备SWFirst发送密钥响应分组给发送源节点NSource;7)发送源节点NSource接收密钥响应分组。本发明提供了一种局域网节点间安全连接建立方法及系统,该方法中,局域网合法节点之间可以灵活建立及更新它们之间的密钥。

Description

一种局域网节点间安全连接建立方法及系统
技术领域
本发明涉及一种局域网节点间安全连接建立方法及系统。
背景技术
有线局域网一般为广播型网络,一个节点发出的数据,其它节点都能收到。网络上的各个节点共享信道,这给网络带来了极大的安全隐患。攻击者只要接入网络进行监听,就可以捕获网络上所有的数据包。现有国家标准GB/T 15629.3(对应IEEE 802.3或ISO/IEC 8802-3)定义的局域网LAN并不提供数据保密方法,这样就使得攻击者容易窃取到关键信息。
在有线局域网中,IEEE通过对IEEE 802.3进行安全增强来实现链路层的安全。IEEE 802.1AE为保护以太网提供数据加密协议,并采用逐跳加密的安全措施来实现网络节点之间数据的安全传达。但是,这种安全措施要求交换设备对需要转发的每一个数据包都进行解密再加密再转发的处理过程,无疑给局域网中的交换设备带来了巨大的计算负担,容易引发攻击者对交换设备的攻击;且数据包从发送节点传递到目的节点的延时也会增大,降低了网络传输效率。
有线局域网的拓扑结构比较复杂,涉及到的节点(这里,终端和交换设备被统称为节点)数目也比较多,因此网络中的数据通信比较复杂。如果为局域网节点间分配静态的密钥对来建立节点间的安全连接,其分配和更新过程极为复杂。
发明内容
为了解决背景技术中存在的上述问题,本发明提供了一种局域网节点间安全连接建立方法及系统,该方法中,局域网合法节点之间可以灵活建立及更新它们之间的密钥。
本发明的技术解决方案是:本发明为一种局域网节点间安全连接建立方法,其特殊之处在于:所述方法包括以下步骤:
1)发送源节点NSource发送密钥请求分组给交换设备SWFirst
2)交换设备SWFirst发送临时密钥协商请求分组给交换设备SWLast
3)交换设备SWLast发送密钥通告分组给目的节点NDestination
4)目的节点NDestination发送密钥通告响应分组给交换设备SWLast
5)交换设备SWLast发送临时密钥协商响应分组给交换设备SWFirst
6)交换设备SWFirst发送密钥响应分组给发送源节点NSource
7)发送源节点NSource接收密钥响应分组。
上述步骤1)中的密钥请求分组包括:IDDestination字段,IDDestination字段表示目的节点NDestination的标识。
上述步骤2)的具体步骤如下:交换设备SWFirst收到密钥请求分组后,生成一随机数作为自己的临时询问NonceSW-First,并构造临时密钥协商请求分组发送给交换设备SWLast;该临时密钥协商请求分组包括:IDSource字段、IDDestination字段、NonceSW-First字段和MIC1字段,其中:IDSource字段表示发送源节点NSource的标识;IDDestination字段表示目的节点NDestination的标识;NonceSW-First字段表示交换设备SWFirst的临时询问,是由交换设备SWFirst生成的随机数;MIC1字段表示消息完整性验证码,是交换设备SWFirst利用其与交换设备SWLast之间的密钥KEYF-L对该临时密钥协商请求分组中本字段外的其他字段通过杂凑函数计算得到的杂凑值。
上述步骤3)的具体步骤如下:
3.1)交换设备SWLast收到临时密钥协商请求分组后,利用其与交换设备SWFirst之间的密钥KEYF-L验证MIC1是否正确,若不正确,则丢弃该分组;否则,执行3.2);
3.2)生成一随机数作为自己的临时询问NonceSW-Last,然后通过单向函数F(KEYF-L,IDSource,IDDestination,NonceSW-First,NonceSW-Last)计算得到临时密钥,作为发送源节点NSource和目的节点NDestination之间的共享密钥KEYS-D(这里使用的单向函数F,本发明中不予限制和定义);
3.3)构造密钥通告分组发送给目的节点NDestination;该密钥通告分组中包括:IDSource字段、Ekey1字段和MIC2字段,其中:IDSource字段表示发送源节点NSource的标识;Ekey1字段表示密钥资料数据,由交换设备SWLast用其与目的节点NDestination之间的密钥KEYD对计算得到的发送源节点NSource和目的节点NDestination之间的共享密钥KEYS-D加密后的数据;MIC2字段表示消息完整性验证码,由交换设备SWLast用其与目的节点NDestination之间的密钥KEYD对该密钥通告分组中本字段外的其他字段通过杂凑函数计算得到的杂凑值。
上述步骤4)的具体步骤如下:
4.1)目的节点NDestination收到密钥通告分组后,利用与交换设备SWLast之间的密钥KEYD验证MIC2是否正确,若不正确,则丢弃该分组;否则,执行4.2);
4.2)利用与交换设备SWLast之间的密钥KEYD解密Ekey1字段即可得到与发送源节点NSource之间的共享密钥KEYS-D
4.3)构造密钥通告响应分组发送给交换设备SWLast;该密钥通告响应分组包括:IDSource字段和MIC3字段,其中:IDSource字段表示发送源节点NSource的标识,其值同收到的密钥通告分组中的IDSource字段的值;MIC3字段表示消息完整性验证码,由目的节点NDestination利用与交换设备SWLast之间的密钥KEYD对该密钥通告响应分组中本字段外的其他字段通过杂凑函数计算得到的杂凑值。
上述步骤5)的具体步骤如下:
5.1)交换设备SWLast收到密钥通告响应分组后,比较IDSource字段与之前发送的密钥通告分组中IDSource字段值是否一致,若不一致,则丢弃该分组;否则,执行5.2);
5.2)利用与目的节点NDestination之间的密钥KEYD验证MIC3是否正确,若不正确,则丢弃该分组;否则,执行5.3);
5.3)构造临时密钥协商响应分组发送给交换设备SWFirst;该临时密钥协商响应分组包括:IDSource字段、IDDestination字段、NonceSW-First字段、NonceSW-Last字段和MIC4字段,其中:IDSource字段表示发送源节点NSource的标识;IDDestination字段表示目的节点NDestination的标识;NonceSW-First字段表示交换设备SWFirst的临时询问,其值同收到临时密钥协商请求分组中NonceSW-First字段值;NonceSW-Last字段表示交换设备SWLast生成的随机数,其值同之前用于计算共享密钥KEYS-D的NonceSW-Last的值;MIC4字段表示消息完整性验证码,由交换设备SWLast利用与交换设备SWFirst之间的密钥KEYF-L对该临时密钥协商响应分组中本字段外的其他字段通过杂凑函数计算得到的杂凑值。
上述步骤6)的具体步骤如下:
6.1)交换设备SWFirst收到临时密钥协商响应分组后,检查分组中的NonceSW-First字段与之前发送给交换设备SWLast的临时密钥协商请求分组中的NonceSW-First字段值是否一致,若不一致,则丢弃该分组;否则,执行6.2);
6.2)利用与交换设备SWLast之间的密钥KEYF-L验证MIC4是否正确,若不正确,则丢弃该分组;否则,执行6.3);
6.3)通过单向函数F(KEYF-L,IDSource,IDDestination,NonceSW-First,NonceSW-Last)计算得到临时密钥,作为发送源节点NSource和目的节点NDestination之间的共享密钥KEYS-D(这里使用的单向函数F,本发明中不予限制和定义);
6.4)构造密钥响应分组发送给发送源节点NSource;该密钥响应分组包括:IDDestination字段、Ekey2字段和MIC5字段,其中:IDDestination字段表示目的节点NDestination的标识;Ekey2字段表示密钥资料数据,由交换设备SWFirst用其与发送源节点NSource之间的密钥KEYS对计算得到的发送源节点NSource和目的节点NDestination之间的共享密钥KEYS-D加密后的数据;MIC5字段表示消息完整性验证码,由交换设备SWFirst用其与发送源节点NSource之间的密钥KEYS对该密钥响应分组中本字段外的其他字段通过杂凑函数计算得到的杂凑值。
上述步骤7)的具体步骤如下:
7.1)发送源节点NSource收到密钥响应分组后,利用与交换设备SWFirst之间的密钥KEYS验证MIC5是否正确,若不正确,则丢弃该分组;否则,执行7.2);
7.2)利用与交换设备SWFirst之间的密钥KEYS解密Ekey2字段即可得到与目的节点NDestination之间的共享密钥KEYS-D,即完成发送源节点NSource和目的节点NDestination之间共享密钥KEYS-D的建立过程。
共享密钥KEYS-D建立后,发送源节点NSource与目的节点NDestination之间的通信数据包就可以利用该共享密钥KEYS-D进行加密解密,即实现了发送源节点NSource与目的节点NDestination之间保密通信。
一种局域网节点间安全连接的建立系统,其特殊之处在于:所述节点间安全连接的建立系统包括向交换设备SWFirst发送密钥请求分组、接收交换设备SWFirst发送的密钥响应分组的发送源节点NSource;接收发送源节点NSource发送的密钥请求分组、向交换设备SWLast发送临时密钥协商请求分组、接收交换设备SWLast发送的临时密钥协商响应分组、向发送源节点NSource发送密钥响应分组的交换设备SWFirst;接收交换设备SWFirst发送的临时密钥协商请求分组、向目的节点NDestination发送密钥通告分组、接收目的节点NDestination发送的密钥通告响应分组、向交换设备SWFirst发送临时密钥协商响应分组的交换设备SWLast;接收交换设备SWLast发送的密钥通告分组、向交换设备SWLast发送密钥通告响应分组的目的节点NDestination
本发明的优点是:发送源节点NSource和目的节点NDestination之间的密钥是通过交换设备SWFirst和SWLast临时协商后计算得到的。如果发送源节点NSource的需要更新和目的节点NDestination之间的密钥,也可发送密钥请求分组重新建立新的密钥,更新过程灵活,无需管理员为全网节点两两之间部署共享的静态密钥。
附图说明
图1为本发明的节点间密钥建立过程示意图。
具体实施方式
本发明中定义的节点N(Node)是指局域网中的用户终端STA(STAtion)和交换设备SW(SWitch)。局域网中的集线器等物理层设备不作为节点处理。
假设,在网络中相邻的交换设备与用户终端之间、相邻的交换设备与交换设备之间通过预分发或其他安全机制均已建立安全连接,即已具有共享的密钥;所有的交换设备两两之间通过预分发或其他安全机制已建立安全连接,即已具有共享的密钥。本发明中对该假设中的密钥的建立机制不予限制和定义。
以发送源节点NSource与目的节点NDestination之间的安全连接建立为例,交换设备SWFirst是从发送源节点NSource到目的节点NDestination的数据包经过的第一个交换设备,交换设备SWLast是从发送源节点NSource到目的节点NDestination的数据包经过的最后一个交换设备。
根据上述的假设,发送源节点NSource与交换设备SWFirst已建立密钥KEYS,目的节点NDestination与交换设备SWLast已建立密钥KEYD,交换设备SWFirst与交换设备SWLast已建立密钥KEYF-L
参见图1,本发明所提供的一种局域网节点间安全连接的建立方法为发送源节点NSource和目的节点NDestination之间建立安全连接的具体方案如下:
1)发送源节点NSource发送密钥请求分组给交换设备SWFirst
该密钥请求分组包括:
  IDDestination
其中:
IDDestination字段:表示目的节点NDestination的标识;
2)交换设备SWFirst发送临时密钥协商请求分组给交换设备SWLast
交换设备SWFirst收到密钥请求分组后,生成一随机数作为自己的临时询问NonceSW-First,并构造临时密钥协商请求分组发送给交换设备SWLast。该临时密钥协商请求分组包括:
  IDSource   IDDestination   NonceSW-First   MIC1
其中:
IDSource字段:表示发送源节点NSource的标识;
IDDestination字段:表示目的节点NDestination的标识;
NonceSW-First字段:表示交换设备SWFirst的临时询问,是由交换设备SWFirst生成的随机数;
MIC1字段:表示消息完整性验证码,是交换设备SWFirst利用其与交换设备SWLast之间的密钥KEYF-L对该临时密钥协商请求分组中本字段外的其他字段通过杂凑函数计算得到的杂凑值。
3)交换设备SWLast发送密钥通告分组给目的节点NDestination
交换设备SWLast收到临时密钥协商请求分组后,进行如下处理:
3.1)利用其与交换设备SWFirst之间的密钥KEYF-L验证MIC1是否正确,若不正确,则丢弃该分组;否则,执行3.2);
3.2)生成一随机数作为自己的临时询问NonceSW-Last,然后通过单向函数F(KEYF-L,IDSource,IDDestination,NonceSW-First,NonceSW-Last)计算得到临时密钥,作为发送源节点NSource和目的节点NDestination之间的共享密钥KEYS-D(这里使用的单向函数F,本发明中不予限制和定义);
3.3)构造密钥通告分组发送给目的节点NDestination
该密钥通告分组中包括:
  IDSource   Ekey1   MIC2
其中:
IDSource字段:表示发送源节点NSource的标识;
Ekey1字段:表示密钥资料数据,由交换设备SWLast用其与目的节点NDestination之间的密钥KEYD对计算得到的发送源节点NSource和目的节点NDestination之间的共享密钥KEYS-D加密后的数据;
MIC2字段:表示消息完整性验证码,由交换设备SWLast用其与目的节点NDestination之间的密钥KEYD对该密钥通告分组中本字段外的其他字段通过杂凑函数计算得到的杂凑值。
4)目的节点NDestination发送密钥通告响应分组给交换设备SWLast
目的节点NDestination收到密钥通告分组后,进行如下处理:
4.1)利用与交换设备SWLast之间的密钥KEYD验证MIC2是否正确,若不正确,则丢弃该分组;否则,执行4.2);
4.2)利用与交换设备SWLast之间的密钥KEYD解密Ekey1字段即可得到与发送源节点NSource之间的共享密钥KEYS-D
4.3)构造密钥通告响应分组发送给交换设备SWLast
该密钥通告响应分组包括:
  IDSource   MIC3
其中:
IDSource字段:表示发送源节点NSource的标识,其值同收到的密钥通告分组中的IDSource字段的值;
MIC3字段:表示消息完整性验证码,由目的节点NDestination利用与交换设备SWLast之间的密钥KEYD对该密钥通告响应分组中本字段外的其他字段通过杂凑函数计算得到的杂凑值。
5)交换设备SWLast发送临时密钥协商响应分组给交换设备SWFirst
交换设备SWLast收到密钥通告响应分组后,进行如下处理:
5.1)比较IDSource字段与之前发送的密钥通告分组中IDSource字段值是否一致,若不一致,则丢弃该分组;否则,执行5.2);
5.2)利用与目的节点NDestination之间的密钥KEYD验证MIC3是否正确,若不正确,则丢弃该分组;否则,执行5.3);
5.3)构造临时密钥协商响应分组发送给交换设备SWFirst
该临时密钥协商响应分组包括:
  IDSource   IDDestination   NonceSW-First   NonceSW-Last   MIC4
其中:
IDSource字段:表示发送源节点NSource的标识;
IDDestination字段:表示目的节点NDestination的标识;
NonceSW-First字段:表示交换设备SWFirst的临时询问,其值同收到临时密钥协商请求分组中NonceSW-First字段值;
NonceSW-Last字段:表示交换设备SWLast生成的随机数,其值同之前用于计算共享密钥KEYS-D的NonceSW-Last的值;
MIC4字段:表示消息完整性验证码,由交换设备SWLast利用与交换设备SWFirst之间的密钥KEYF-L对该临时密钥协商响应分组中本字段外的其他字段通过杂凑函数计算得到的杂凑值。
6)交换设备SWFirst发送密钥响应分组给发送源节点NSource
交换设备SWFirst收到临时密钥协商响应分组后,进行如下处理:
6.1)检查分组中的NonceSW-First字段与之前发送给交换设备SWLast的临时密钥协商请求分组中的NonceSW-First字段值是否一致,若不一致,则丢弃该分组;否则,执行6.2);
6.2)利用与交换设备SWLast之间的密钥KEYF-L验证MIC4是否正确,若不正确,则丢弃该分组;否则,执行6.3);
6.3)通过单向函数F(KEYF-L,IDSource,IDDestination,NonceSW-First,NonceSW-Last)计算得到临时密钥,作为发送源节点NSource和目的节点NDestination之间的共享密钥KEYS-D(这里使用的单向函数F,本发明中不予限制和定义);
6.4)构造密钥响应分组发送给发送源节点NSource
该密钥响应分组包括:
  IDDestination   Ekey2   MIC5
其中:
IDDestination字段:表示目的节点NDestination的标识;
Ekey2字段:表示密钥资料数据,由交换设备SWFirst用其与发送源节点NSource之间的密钥KEYS对计算得到的发送源节点NSource和目的节点NDestination之间的共享密钥KEYS-D加密后的数据;
MIC5字段:表示消息完整性验证码,由交换设备SWFirst用其与发送源节点NSource之间的密钥KEYS对该密钥响应分组中本字段外的其他字段通过杂凑函数计算得到的杂凑值。
7)发送源节点NSource接收密钥响应分组;
发送源节点NSource收到密钥响应分组后,进行如下处理:
7.1)利用与交换设备SWFirst之间的密钥KEYS验证MIC5是否正确,若不正确,则丢弃该分组;否则,执行7.2);
7.2)利用与交换设备SWFirst之间的密钥KEYS解密Ekey2字段即可得到与目的节点NDestination之间的共享密钥KEYS-D,即完成发送源节点NSource和目的节点NDestination之间共享密钥KEYS-D的建立过程。
当对上述方案进行具体实施时,发送源节点NSource还可生成一个数值,作为此次节点间密钥建立过程的标识,该标识可为时钟、顺序号或随机数,且在每个消息中进行携带,相应地交换设备SWLast收到密钥通告响应分组后需验证分组中的标识值与其之前接收的临时密钥协商请求分组中的标识值是否一致;交换设备SWFirst收到临时密钥协商响应分组后需验证分组中的标识值与其之前接收的密钥请求分组中的标识值是否一致;发送源节点NSource收到密钥响应分组后需验证分组中的标识值与其之前发送的密钥请求分组中的标识值是否一致。
当利用上述方案进行具体实施时,也可以由发送源节点NSource、交换设备SWFirst及交换设备SWLast在发送密钥请求分组、临时密钥协商请求分组、密钥通告分组时,各自独立生成一个数值(可为时钟、顺序号或随机数)作为消息新鲜性标识分别携带在上述分组中,相应地交换设备SWLast收到密钥通告响应分组后需验证分组中的标识值与其之前发送的密钥通告分组中的标识值是否一致;交换设备SWFirst收到临时密钥协商响应分组后需验证分组中的标识值与其之前发送的临时密钥协商请求分组中的标识值是否一致;发送源节点NSource收到密钥响应分组后需验证分组中的标识值与其之前发送的密钥请求分组中的标识值是否一致。
一种局域网节点间安全连接的建立系统,其特殊之处在于:所述节点间安全连接的建立系统包括向交换设备SWFirst发送密钥请求分组、接收交换设备SWFirst发送的密钥响应分组的发送源节点NSource;接收发送源节点NSource发送的密钥请求分组、向交换设备SWLast发送临时密钥协商请求分组、接收交换设备SWLast发送的临时密钥协商响应分组、向发送源节点NSource发送密钥响应分组的交换设备SWFirst;接收交换设备SWFirst发送的临时密钥协商请求分组、向目的节点NDestination发送密钥通告分组、接收目的节点NDestination发送的密钥通告响应分组、向交换设备SWFirst发送临时密钥协商响应分组的交换设备SWLast;接收交换设备SWLast发送的密钥通告分组、向交换设备SWLast发送密钥通告响应分组的目的节点NDestination

Claims (8)

1.一种局域网节点间安全连接建立方法,其特征在于:所述方法包括以下步骤:
1)发送源节点NSource发送密钥请求分组给交换设备SWFirst
所述密钥请求分组包括:IDDestination字段,IDDestination字段表示目的节点NDestination的标识;
2)交换设备SWFirst发送临时密钥协商请求分组给交换设备SWLast
所述临时密钥协商请求分组包括:IDSource字段、IDDestination字段、NonceSW-First字段和MIC1字段;
其中:IDSource字段表示发送源节点NSource的标识;NonceSW-First字段表示交换设备SWFirst的临时询问,是由交换设备SWFirst生成的随机数;MIC1字段表示消息完整性验证码,是交换设备SWFirst利用其与交换设备SWLast之间的密钥KEYF-L对该临时密钥协商请求分组中本字段外的其他字段通过杂凑函数计算得到的杂凑值;
3)交换设备SWLast发送密钥通告分组给目的节点NDestination
所述密钥通告分组中包括:IDSource字段、Ekey1字段和MIC2字段;
其中:Ekey1字段表示密钥资料数据,由交换设备SWLast用其与目的节点NDestination之间的密钥KEYD对计算得到的发送源节点NSource和目的节点NDestination之间的共享密钥KEYS-D加密后的数据;MIC2字段表示消息完整性验证码,由交换设备SWLast用其与目的节点NDestination之间的密钥KEYD对该密钥通告分组中本字段外的其他字段通过杂凑函数计算得到的杂凑值;
所述交换设备SWLast计算得到共享密钥KEYS-D是通过单向函数F(KEYF-L,IDSource,IDDestination,NonceSW-First,NonceSW-Last)计算得到的;KEYF-L是交换设备SWFirst和交换设备SWLast之间的密钥,NonceSW-Last是交换设备SWLast的临时询问,是由交换设备SWLast生成的随机数;
4)目的节点NDestination发送密钥通告响应分组给交换设备SWLast
所述密钥通告响应分组包括:IDSource字段和MIC3字段;
其中:MIC3字段表示消息完整性验证码,由目的节点NDestination利用与交换设备SWLast之间的密钥KEYD对该密钥通告响应分组中本字段外的其他字段通过杂凑函数计算得到的杂凑值;
5)交换设备SWLast发送临时密钥协商响应分组给交换设备SWFirst
所述临时密钥协商响应分组包括:IDSource字段、IDDestination字段、NonceSW-First字段、NonceSW-Last字段和MIC4字段;
其中:NonceSW-Last字段表示交换设备SWLast生成的随机数;MIC4字段表示消息完整性验证码,由交换设备SWLast利用与交换设备SWFirst之间的密钥KEYF-L对该临时密钥协商响应分组中本字段外的其他字段通过杂凑函数计算得到的杂凑值;
6)交换设备SWFirst发送密钥响应分组给发送源节点NSource
所述密钥响应分组包括:IDDestination字段、Ekey2字段和MIC5字段;
其中:Ekey2字段表示密钥资料数据,由交换设备SWFirst用其与发送源节点NSource之间的密钥KEYS对计算得到的发送源节点NSource和目的节点NDestination之间的共享密钥KEYS-D加密后的数据;MIC5字段表示消息完整性验证码,由交换设备SWFirst用其与发送源节点NSource之间的密钥KEYS对该密钥响应分组中本字段外的其他字段通过杂凑函数计算得到的杂凑值;
所述交换设备SWFirst计算得到共享密钥KEYS-D是通过单向函数F(KEYF-L,IDSource,IDDestination,NonceSW-First,NonceSW-Last)计算得到的;
7)发送源节点NSource接收密钥响应分组,利用与交换设备SWFirst之间的密钥KEYS解密Ekey2字段即可得到与目的节点NDestination之间的共享密钥KEYS-D
2.根据权利要求1所述的局域网节点间安全连接建立方法,其特征在于:所述步骤2)的具体步骤如下:交换设备SWFirst收到密钥请求分组后,生成一随机数作为自己的临时询问NonceSW-First,并构造临时密钥协商请求分组发送给交换设备SWLast
3.根据权利要求2所述的局域网节点间安全连接建立方法,其特征在于:所述步骤3)的具体步骤如下:
3.1)交换设备SWLast收到临时密钥协商请求分组后,利用其与交换设备SWFirst之间的密钥KEYF-L验证MIC1是否正确,若不正确,则丢弃该分组;否则,执行3.2);
3.2)生成一随机数作为自己的临时询问NonceSW-Last,然后通过单向函数F(KEYF-L,IDSource,IDDestination,NonceSW-First,NonceSW-Last)计算得到临时密钥,作为发送源节点NSource和目的节点NDestination之间的共享密钥KEYS-D
3.3)构造密钥通告分组发送给目的节点NDestination
4.根据权利要求3所述的局域网节点间安全连接建立方法,其特征在于:所述步骤4)的具体步骤如下:
4.1)目的节点NDestination收到密钥通告分组后,利用与交换设备SWLast之间的密钥KEYD验证MIC2是否正确,若不正确,则丢弃该分组;否则,执行4.2);
4.2)利用与交换设备SWLast之间的密钥KEYD解密Ekey1字段即可得到与发送源节点NSource之间的共享密钥KEYS-D
4.3)构造密钥通告响应分组发送给交换设备SWLast
5.根据权利要求4所述的局域网节点间安全连接建立方法,其特征在于:所述步骤5)的具体步骤如下:
5.1)交换设备SWLast收到密钥通告响应分组后,比较IDSource字段与之前发送的密钥通告分组中IDSource字段值是否一致,若不一致,则丢弃该分组;否则,执行5.2);
5.2)利用与目的节点NDestination之间的密钥KEYD验证MIC3是否正确,若不正确,则丢弃该分组;否则,执行5.3);
5.3)构造临时密钥协商响应分组发送给交换设备SWFirst
6.根据权利要求5所述的局域网节点间安全连接建立方法,其特征在于:所述步骤6)的具体步骤如下:
6.1)交换设备SWFirst收到临时密钥协商响应分组后,检查分组中的NonceSW-First字段与之前发送给交换设备SWLast的临时密钥协商请求分组中的NonceSW-First字段值是否一致,若不一致,则丢弃该分组;否则,执行6.2);
6.2)利用与交换设备SWLast之间的密钥KEYF-L验证MIC4是否正确,若不正确,则丢弃该分组;否则,执行6.3);
6.3)通过单向函数F(KEYF-L,IDSource,IDDestination,NonceSW-First,NonceSW-Last)计算得到临时密钥,作为发送源节点NSource和目的节点NDestination之间的共享密钥KEYS-D
6.4)构造密钥响应分组发送给发送源节点NSource
7.根据权利要求6所述的局域网节点间安全连接建立方法,其特征在于:所述步骤7)的具体步骤如下:
7.1)发送源节点NSource收到密钥响应分组后,利用与交换设备SWFirst之间的密钥KEYS验证MIC5是否正确,若不正确,则丢弃该分组;否则,执行7.2);
7.2)利用与交换设备SWFirst之间的密钥KEYS解密Ekey2字段即可得到与目的节点NDestination之间的共享密钥KEYS-D,即完成发送源节点NSource和目的节点NDestination之间共享密钥KEYS-D的建立过程。
8.一种局域网节点间安全连接的建立系统,其特征在于:所述节点间安全连接的建立系统包括向交换设备SWFirst发送密钥请求分组、接收交换设备SWFirst发送的密钥响应分组的发送源节点NSource;接收发送源节点NSource发送的密钥请求分组、向交换设备SWLast发送临时密钥协商请求分组、接收交换设备SWLast发送的临时密钥协商响应分组、向发送源节点NSource发送密钥响应分组的交换设备SWFirst;接收交换设备SWFirst发送的临时密钥协商请求分组、向目的节点NDestination发送密钥通告分组、接收目的节点NDestination发送的密钥通告响应分组、向交换设备SWFirst发送临时密钥协商响应分组的交换设备SWLast;接收交换设备SWLast发送的密钥通告分组、向交换设备SWLast发送密钥通告响应分组的目的节点NDestination
所述密钥请求分组包括:IDDestination字段;
所述临时密钥协商请求分组包括:IDSource字段、IDDestination字段、NonceSW-First字段和MIC1字段;
所述密钥通告分组中包括:IDSource字段、Ekey1字段和MIC2字段;
所述密钥通告响应分组包括:IDSource字段和MIC3字段;
所述临时密钥协商响应分组包括:IDSource字段、IDDestination字段、NonceSW-First字段、NonceSW-Last字段和MIC4字段;
所述密钥响应分组包括:IDDestination字段、Ekey2字段和MIC5字段;
其中:
IDDestination字段表示目的节点NDestination的标识;
IDSource字段表示发送源节点NSource的标识;
NonceSW-First字段表示交换设备SWFirst的临时询问,是由交换设备SWFirst生成的随机数;
MIC1字段表示消息完整性验证码,是交换设备SWFirst利用其与交换设备SWLast之间的密钥KEYF-L对该临时密钥协商请求分组中本字段外的其他字段通过杂凑函数计算得到的杂凑值;
Ekey1字段表示密钥资料数据,由交换设备SWLast用其与目的节点NDestination之间的密钥KEYD对计算得到的发送源节点NSource和目的节点NDestination之间的共享密钥KEYS-D加密后的数据;
MIC2字段表示消息完整性验证码,由交换设备SWLast用其与目的节点NDestination之间的密钥KEYD对该密钥通告分组中本字段外的其他字段通过杂凑函数计算得到的杂凑值;
MIC3字段表示消息完整性验证码,由目的节点NDestination利用与交换设备SWLast之间的密钥KEYD对该密钥通告响应分组中本字段外的其他字段通过杂凑函数计算得到的杂凑值;
NonceSW-Last字段表示交换设备SWLast生成的随机数;
MIC4字段表示消息完整性验证码,由交换设备SWLast利用与交换设备SWFirst之间的密钥KEYF-L对该临时密钥协商响应分组中本字段外的其他字段通过杂凑函数计算得到的杂凑值;
Ekey2字段表示密钥资料数据,由交换设备SWFirst用其与发送源节点NSource之间的密钥KEYS对计算得到的发送源节点NSource和目的节点NDestination之间的共享密钥KEYS-D加密后的数据;
MIC5字段表示消息完整性验证码,由交换设备SWFirst用其与发送源节点NSource之间的密钥KEYS对该密钥响应分组中本字段外的其他字段通过杂凑函数计算得到的杂凑值;
所述交换设备SWLast或交换设备SWFirst计算得到共享密钥KEYS-D是通过单向函数F(KEYF-L,IDSource,IDDestination,NonceSW-First,NonceSW-Last)计算得到的;所述发送源节点NSource接收密钥响应分组后,利用与交换设备SWFirst之间的密钥KEYS解密Ekey2字段即可得到与目的节点NDestination之间的共享密钥KEYS-D
CN2010101599375A 2010-04-29 2010-04-29 一种局域网节点间安全连接建立方法及系统 Active CN101834863B (zh)

Priority Applications (2)

Application Number Priority Date Filing Date Title
CN2010101599375A CN101834863B (zh) 2010-04-29 2010-04-29 一种局域网节点间安全连接建立方法及系统
PCT/CN2011/070514 WO2011134293A1 (zh) 2010-04-29 2011-01-24 一种局域网节点间安全连接建立方法及系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN2010101599375A CN101834863B (zh) 2010-04-29 2010-04-29 一种局域网节点间安全连接建立方法及系统

Publications (2)

Publication Number Publication Date
CN101834863A CN101834863A (zh) 2010-09-15
CN101834863B true CN101834863B (zh) 2012-03-28

Family

ID=42718794

Family Applications (1)

Application Number Title Priority Date Filing Date
CN2010101599375A Active CN101834863B (zh) 2010-04-29 2010-04-29 一种局域网节点间安全连接建立方法及系统

Country Status (2)

Country Link
CN (1) CN101834863B (zh)
WO (1) WO2011134293A1 (zh)

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101834862B (zh) * 2010-04-29 2013-02-13 西安西电捷通无线网络通信股份有限公司 一种节点间安全连接建立方法及系统
CN101834863B (zh) * 2010-04-29 2012-03-28 西安西电捷通无线网络通信股份有限公司 一种局域网节点间安全连接建立方法及系统
CN109428709B (zh) * 2017-08-22 2022-03-01 中国电信股份有限公司 量子密钥分配方法、系统以及光网络系统
CA3203347A1 (en) 2018-05-28 2019-12-05 Pierson Capital Environmental (Beijing) Limited Efficient methods and compositions for recovery of products from organic acid pretreatment of plant materials

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101340443A (zh) * 2008-08-28 2009-01-07 中国电信股份有限公司 一种通信网络中会话密钥协商方法、系统和服务器

Family Cites Families (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN100359845C (zh) * 2004-03-26 2008-01-02 中兴通讯股份有限公司 无线局域网自组网模式共享密钥认证和会话密钥协商方法
CN1691583B (zh) * 2004-04-26 2010-04-28 华为技术有限公司 基于端点之间的安全通信方法
US7596690B2 (en) * 2004-09-09 2009-09-29 International Business Machines Corporation Peer-to-peer communications
CN101005359B (zh) * 2006-01-18 2010-12-08 华为技术有限公司 一种实现终端设备间安全通信的方法及装置
US8583929B2 (en) * 2006-05-26 2013-11-12 Alcatel Lucent Encryption method for secure packet transmission
US20080298328A1 (en) * 2007-06-04 2008-12-04 Suman Sharma Trusted wireless communications with station-to-station link association
CN101272241B (zh) * 2008-04-09 2010-05-12 西安西电捷通无线网络通信有限公司 一种密钥的分配与管理方法
CN101588345A (zh) * 2008-05-23 2009-11-25 深圳华为通信技术有限公司 站与站之间信息发送、转发和接收方法、装置和通信系统
CN101626370B (zh) * 2008-07-07 2012-06-20 华为技术有限公司 节点间密钥的分配方法、系统及设备
CN101814987B (zh) * 2010-04-29 2012-06-13 西安西电捷通无线网络通信股份有限公司 一种节点间密钥的建立方法及系统
CN101834863B (zh) * 2010-04-29 2012-03-28 西安西电捷通无线网络通信股份有限公司 一种局域网节点间安全连接建立方法及系统

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101340443A (zh) * 2008-08-28 2009-01-07 中国电信股份有限公司 一种通信网络中会话密钥协商方法、系统和服务器

Also Published As

Publication number Publication date
WO2011134293A1 (zh) 2011-11-03
CN101834863A (zh) 2010-09-15

Similar Documents

Publication Publication Date Title
KR101492179B1 (ko) 사용자 단말기들 사이의 보안 연결을 확립하기 위한 방법 및 시스템
CN101917272B (zh) 一种邻居用户终端间保密通信方法及系统
CN102625995B (zh) 无线网络中的伽罗瓦/计数器模式加密
CN101741547B (zh) 节点间保密通信方法及系统
CN101841413B (zh) 一种端到端安全连接的建立方法及系统
CN105306492A (zh) 一种针对安全即时通信的异步密钥协商方法及装置
CN101741548B (zh) 交换设备间安全连接的建立方法及系统
CN101854244B (zh) 一种三段式安全网络架构建立和保密通信方法及其系统
CN101834863B (zh) 一种局域网节点间安全连接建立方法及系统
CN101841547B (zh) 一种端到端共享密钥的建立方法及系统
CN101834862B (zh) 一种节点间安全连接建立方法及系统
CN101814987B (zh) 一种节点间密钥的建立方法及系统
CN101964708B (zh) 一种节点间会话密钥的建立系统及方法
CN101902324B (zh) 一种节点间通信密钥的建立方法及系统
CN101841414B (zh) 一种端到端通信密钥的建立方法及系统
CN101964802B (zh) 集中式安全连接建立系统及方法
CN101969375B (zh) 通告式安全连接建立系统及方法
CN101964803B (zh) 节点间会话密钥的建立系统及方法
CN116233767B (zh) 集群对讲通信方法、装置、设备及存储介质

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
C14 Grant of patent or utility model
GR01 Patent grant