CN101841414B - 一种端到端通信密钥的建立方法及系统 - Google Patents

一种端到端通信密钥的建立方法及系统 Download PDF

Info

Publication number
CN101841414B
CN101841414B CN 201010178378 CN201010178378A CN101841414B CN 101841414 B CN101841414 B CN 101841414B CN 201010178378 CN201010178378 CN 201010178378 CN 201010178378 A CN201010178378 A CN 201010178378A CN 101841414 B CN101841414 B CN 101841414B
Authority
CN
China
Prior art keywords
key
center
field
source
destination
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN 201010178378
Other languages
English (en)
Other versions
CN101841414A (zh
Inventor
铁满霞
曹军
李琴
葛莉
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
China Iwncomm Co Ltd
Original Assignee
China Iwncomm Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by China Iwncomm Co Ltd filed Critical China Iwncomm Co Ltd
Priority to CN 201010178378 priority Critical patent/CN101841414B/zh
Publication of CN101841414A publication Critical patent/CN101841414A/zh
Priority to PCT/CN2011/070470 priority patent/WO2011143944A1/zh
Application granted granted Critical
Publication of CN101841414B publication Critical patent/CN101841414B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • H04L9/0827Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) involving distinctive intermediate devices or communication paths
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0891Revocation or update of secret information, e.g. encryption key update or rekeying

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Small-Scale Networks (AREA)

Abstract

一种端到端通信密钥的建立方法,包括以下步骤:1)发送源节点NSource发送第一密钥通告分组给核心交换设备SWCenter;2)核心交换设备SWCenter收到第一密钥通告分组后,构造第二密钥通告分组给目的节点NDestination;3)目的节点NDestination收到第二密钥通告分组后,构造第二密钥通告响应分组给核心交换设备SWCenter;4)核心交换设备SWCenter收到第二密钥通告响应分组后,构造第一密钥通告响应分组给发送源节点NSource;5)发送源节点NSource接收第一密钥通告响应分组,建立端到端的通信密钥。本发明提供了一种安全性更高的端到端通信密钥的建立方法及系统。

Description

一种端到端通信密钥的建立方法及系统
技术领域
本发明涉及通信网络安全应用领域,尤其涉及一种端到端通信密钥的建立方法及系统。
背景技术
有线局域网一般为广播型网络,一个节点发出的数据,其它节点都能收到。网络上的各个节点共享信道,这给网络带来了极大的安全隐患。攻击者只要接入网络进行监听,就可以捕获网络上所有的数据包。
现有国家标准GB/T 15629.3(对应IEEE 802.3或ISO/IEC 8802-3)定义的局域网LAN并不提供数据保密方法,这样就使得攻击者容易窃取到关键信息。在国际研究领域里,IEEE所制定的IEEE 802.1AE标准为保护以太网提供数据加密协议,并采用逐跳加密的安全措施来实现网络节点之间数据的安全传达这种安全措施给局域网中的交换设备带来了巨大的计算负担,容易引发攻击者对交换设备的攻击;且数据包从发送节点传递到目的节点的延时也会增大,降低了网络传输效率。
有线局域网的拓扑结构比较复杂,涉及到的节点(这里,终端和交换设备被统称为节点)数目也比较多,因此网络中的数据通信比较复杂。如果为局域网节点间分配静态的密钥对来建立端到端的通信密钥,其分配和更新过程极为复杂。因此,静态密钥对的方式并不适合建立局域网端到端的通信密钥。
发明内容
为了解决背景技术中存在的上述技术问题,本发明提供了一种安全性更高的端到端通信密钥的建立方法及系统。
本发明的技术方案是:
一种端到端通信密钥的建立方法,包括以下步骤:
1)发送源节点NSource发送第一密钥通告分组给核心交换设备SWCenter;所述第一密钥通告分组包含:IDDestination字段、E1(KEYS-D)字段以及MIC1字段,其中:
IDDestination字段:表示目的节点NDestination的标识;
E1(KEYS-D)字段:表示密钥资料数据,由发送源节点NSource利用其与核心交换设备SWCenter之间的密钥KEYS-Center对KEYS-D加密后的数据;其中KEYS-D是由发送源节点NSource生成的随机数,发送源节点NSource将其作为与目的节点NDestination之间的通信密钥;
MIC1字段:表示消息完整性验证码,由发送源节点NSource利用其与核心交换设备SWCenter之间的密钥KEYS-Center对第一密钥通告分组中本字段外的其他字段通过杂凑函数计算得到的杂凑值;
2)核心交换设备SWCenter收到第一密钥通告分组后,构造第二密钥通告分组给目的节点NDestination;所述第二密钥通告分组包括IDSource字段、E2(KEYS-D)字段以及MIC2字段,其中:
IDSource字段:表示发送源节点NSource的标识;
E2(KEYS-D)字段:表示密钥资料数据,由核心交换设备SWCenter用其与目的节点NDestination之间的密钥KEYD-Center对KEYS-D加密后的数据;
MIC2字段:表示消息完整性验证码,由核心交换设备SWCenter用其与目的节点NDestination之间的密钥KEYD-Center对第二密钥通告分组中本字段外的其他字段通过杂凑函数计算得到的杂凑值;
3)目的节点NDestination收到第二密钥通告分组后,构造第二密钥通告响应分组给核心交换设备SWCenter;所述第二密钥通告响应分组包括:IDSource字段以及MIC3字段;其中:
MIC3字段:表示消息完整性验证码,由目的节点NDestination利用与核心交换设备SWCenter之间的密钥KEYD-Center对第二密钥通告响应分组中本字段外的其他字段通过杂凑函数计算得到的杂凑值;
4)核心交换设备SWCenter收到第二密钥通告响应分组后,构造第一密钥通告响应分组给发送源节点NSource;所述第一密钥通告响应分组包括:IDDestination字段以及MIC4字段,其中:
MIC4字段:表示消息完整性验证码,由核心交换设备SWCenter用其与发送源节点NSource之间的密钥KEYS-Center对第一密钥通告响应分组中本字段外的其他字段通过杂凑函数计算得到的杂凑值;
5)发送源节点NSource接收第一密钥通告响应分组,建立端到端的通信密钥。
上述发送源节点NSource发送的第一密钥通告分组中还包括标识字段,该标识字段为时钟、顺序号或随机数,所述标识字段用于标识此次通信密钥建立过程;所述核心交换设备SWCenter收到第二密钥通告响应分组后,需验证该分组中的标识值与其之前接收的第一密钥通告分组中的标识值是否一致;所述发送源节点NSource收到第一密钥通告响应分组后,需验证该分组中的标识值与其之前发送的第一密钥通告分组中的标识值是否一致。
上述发送源节点NSource发送的第一密钥通告分组中还包括一个独立的消息新鲜性标识字段,该标识为时钟、顺序号或随机数;所述发送源节点NSource收到第一密钥通告响应分组后,需验证该分组中的标识值与其之前发送的第一密钥通告分组中的标识值是否一致;所述核心交换设备SWCenter发送的第二密钥通告分组中还包含一个独立的消息新鲜性标识字段,该标识为时钟、顺序号或随机数;所述核心交换设备SWCenter收到第二密钥通告响应分组后,需验证该分组中的标识值与其之前发送的第二密钥通告分组中的标识值是否一致。
上述步骤2)的具体实现方式是:
2.1)利用与发送源节点NSource之间的密钥KEYS-Center验证MIC1是否正确,若不正确,则丢弃该分组;若正确,则执行2.2);
2.2)利用与发送源节点NSource之间的密钥KEYS-Center解密E1(KEYS-D)字段,即得到KEYS-D值;
2.3)构造第二密钥通告分组发送给目的节点NDestination
上述步骤3)的具体实现方式是:
3.1)利用与核心交换设备SWCenter之间的密钥KEYD-Center验证MIC2是否正确,若不正确,则丢弃该分组;若正确,则执行3.2);
3.2)利用与核心交换设备SWCenter之间的密钥KEYD-Center解密E2(KEYS-D)字段,即得到KEYS-D值,将其作为与发送源节点NSource之间的通信密钥;
3.3)构造第二密钥通告响应分组发送给核心交换设备SWCenter
上述步骤4)的具体实现方式是:
4.1)比较IDSource字段与之前发送的第二密钥通告分组中IDSource字段值是否一致,若不一致,则丢弃该分组;若一致,则执行4.2);
4.2)利用与目的节点NDestination之间的密钥KEYD-Center验证MIC3是否正确,若不正确,则丢弃该分组;若正确,则执行4.3)
4.3)构造第一密钥通告响应分组发送给发送源节点NSource
上述步骤5)的具体实现方式是:
5.1)检查分组中的IDDestination字段与之前发送给核心交换设备SWCenter的第一密钥通告分组中的IDDestination字段值是否一致,若不一致,则丢弃该分组;若一致,则执行5.2);
5.2)利用与核心交换设备SWCenter之间的密钥KEYS-Center验证MIC4是否正确,若不正确,则丢弃该分组;若正确,则完成发送源节点NSource和目的节点NDestination之间通信密钥KEYS-D的建立过程。
一种端到端通信密钥的建立系统,其特殊之处是,所述系统包括局域网内的发送源节点NSource、核心交换设备SWCentr、目的节点NDestination;所述发送源节点NSource向核心交换设备SWCenter发送第一密钥通告分组、接收核心交换设备SWCenter发送的第一密钥通告响应分组;所述核心交换设备SWCenter接收发送源节点NSource发送的第一密钥通告分组、向目的节点NDestination发送第二密钥通告分组、接收目的节点NDestination发送的第二密钥通告响应分组、向发送源节点NSource发送第一密钥通告响应分组;所述目的节点NDestination接收核心交换设备SWCenter发送的第二密钥通告分组、向核心交换设备SWCenter发送第二密钥通告响应分组。
本发明的优点是:发送源节点NSource和目的节点NDestination之间的通信密钥是由发送源节点NSource临时生成后,通过核心交换设备SWCenter利用发送源节点NSource和核心交换设备SWCenter之间的通信密钥KEYS-Center及目的节点NDestination和核心交换设备SWCenter之间的通信密钥KEYD-Center以逐跳加密的方式通告给目的节点NDestination。如果发送源节点NSource需要更新和目的节点NDestination之间的通信密钥,也可发起该建立过程重新建立新的通信密钥,更新过程灵活,无需管理员为全网节点两两之间部署共享的静态密钥对。
附图说明
图1为本发明所提供的端到端通信密钥建立过程示意图。
具体实施方式
本发明中的节点N(Node)是指有线局域网中的用户终端STA(STAtion)和交换设备SW(SWitch)。局域网中的集线器等物理层设备不作为节点处理。
在网络中,所有的交换设备和用户终端都与网络中的核心交换设备之间通过预分发或其他安全机制已建立安全连接,即已具有共享的密钥。本发明中对该假设中的通信密钥的建立机制不予限制和定义。本发明中所述核心交换设备一般是局域网中离网关最近的交换设备,可由网络管理员进行指定或配置,本发明不予限定和定义。
以发送源节点NSource与目的节点NDestination之间的通信密钥建立为例进行说明,SWCenter为网络中的核心交换设备。发送源节点NSource与核心交换设备SWCenter之间已建立安全连接,具有的共享密钥记为KEYS-Center;目的节点NDestination与核心交换设备SWCenter之间已建立安全连接,具有的共享密钥记为KEYD-Center
图1以发送源节点NSource和目的节点NDestination之间建立通信密钥的步骤为例来说明本发明所提供的一种端到端通信密钥的建立方法的具体方案如下:
1)发送源节点NSource发送第一密钥通告分组给核心交换设备SWCenter;该第一密钥通告分组主要包含:
  IDDestination   E1(KEYS-D)   MIC1
其中:
IDDestination字段:表示目的节点NDestination的标识;
E1(KEYS-D)字段:表示密钥资料数据,由发送源节点NSource利用其与核心交换设备SWCenter之间的密钥KEYS-Center对KEYS-D加密后的数据;其中KEYS-D是由发送源节点NSource生成的随机数,发送源节点NSource将其作为与目的节点NDestination之间的通信密钥;
MIC1字段:表示消息完整性验证码,由发送源节点NSource利用其与核心交换设备SWCenter之间的密钥KEYS-Center对该第一密钥通告分组中本字段外的其他字段通过杂凑函数计算得到的杂凑值。
2)核心交换设备SWCenter发送第二密钥通告分组给目的节点NDestination
核心交换设备SWCenter收到第一密钥通告分组后,进行如下处理:
2.1)利用与发送源节点NSource之间的密钥KEYS-Center验证MIC1是否正确,若不正确,则丢弃该分组;否则,执行2.2);
2.2)利用与发送源节点NSource之间的密钥KEYS-Center解密E1(KEYS-D)字段,即得到KEYS-D值;
2.3)构造第二密钥通告分组发送给目的节点NDestination
该第二密钥通告分组中主要包含:
IDSource E2(KEYS-D) MIC2
其中:
IDSource字段:表示发送源节点NSource的标识;
E2(KEYS-D)字段:表示密钥资料数据,由核心交换设备SWCenter用其与目的节点NDestination之间的密钥KEYD-Center对KEYS-D加密后的数据;
MIC2字段:表示消息完整性验证码,由核心交换设备SWCenter用其与目的节点NDestination之间的密钥KEYD-Center对该第二密钥通告分组中本字段外的其他字段通过杂凑函数计算得到的杂凑值。
3)目的节点NDestination发送第二密钥通告响应分组给核心交换设备SWCenter
目的节点NDestination收到第二密钥通告分组后,进行如下处理:
3.1)利用与核心交换设备SWCenter之间的密钥KEYD-Center验证MIC2是否正确,若不正确,则丢弃该分组;否则,执行3.2);
3.2)利用与核心交换设备SWCenter之间的密钥KEYD-Center解密E2(KEYS-D)字段,即得到KEYS-D值,将其作为与发送源节点NSource之间的通信密钥;
3.3)构造第二密钥通告响应分组发送给核心交换设备SWCenter
该第二密钥通告响应分组主要包含:
IDSource MIC3
其中:
IDSource字段:表示发送源节点NSource的标识,其值同收到的第二密钥通告分组中的IDSource字段的值;
MIC3字段:表示消息完整性验证码,由目的节点NDestination利用与核心交换设备SWCenter之间的密钥KEYD-Center对该第二密钥通告响应分组中本字段外的其他字段通过杂凑函数计算得到的杂凑值。
4)核心交换设备SWCenter发送第一密钥通告响应分组给发送源节点NSource
核心交换设备SWCenter收到第二密钥通告响应分组后,进行如下处理:
4.1)比较IDSource字段与之前发送的第二密钥通告分组中IDSource字段值是否一致,若不一致,则丢弃该分组;否则,执行4.2);
4.2)利用与目的节点NDestination之间的密钥KEYD-Center验证MIC3是否正确,若不正确,则丢弃该分组;否则,执行4.3)
4.3)构造第一密钥通告响应分组发送给发送源节点NSource
该第一密钥通告响应分组中主要包含:
IDDestination   MIC4
其中:
IDDestination字段:表示目的节点NDestination的标识;
MIC4字段:表示消息完整性验证码,由核心交换设备SWCenter用其与发送源节点NSource之间的密钥KEYS-Center对第一密钥通告响应分组中本字段外的其他字段通过杂凑函数计算得到的杂凑值。
5)发送源节点NSource接收第一密钥通告响应分组;
发送源节点NSource收到第一密钥通告响应分组后,进行如下处理:
5.1)检查分组中的IDDestination字段与之前发送给核心交换设备SWCenter的第一密钥通告分组中的IDDestination字段值是否一致,若不一致,则丢弃该分组;否则,执行5.2);
5.2)利用与核心交换设备SWCenter之间的密钥KEYS-Center验证MIC4是否正确,若不正确,则丢弃该分组;否则,即完成发送源节点NSource和目的节点NDestination之间通信密钥KEYS-D的建立过程。此后,发送源节点NSource和目的节点NDestination之间可通过该通信密钥KEYS-D进行保密通信。
当对上述方案进行具体实施时,发送源节点NSource还可生成一个数值,作为此次通信密钥建立过程的标识,该标识可为时钟、顺序号或随机数,且在每个消息中进行携带,相应地核心交换设备SWCenter收到第二密钥通告响应分组后,需验证该分组中的标识值与其之前接收的第一密钥通告分组中的标识值是否一致;发送源节点NSource收到第一密钥通告响应分组后,也需验证该分组中的标识值与其之前发送的第一密钥通告分组中的标识值是否一致。
当利用上述方案进行具体实施时,也可以由发送源节点NSource和核心交换设备SWCenter在发送第一密钥通告分组和第二密钥通告分组时,各自独立生成一个数值(可为时钟、顺序号或随机数)作为消息新鲜性标识分别携带在上述分组中,对应地核心交换设备SWCenter收到第二密钥通告响应分组后,需验证该分组中的标识值与其之前发送的第二密钥通告分组中的标识值是否一致;发送源节点NSource收到第一密钥通告响应分组后,也需验证该分组中的标识值与其之前发送的第一密钥通告分组中的标识值是否一致。
一种端到端通信密钥的建立系统,该系统包括向核心交换设备SWCenter发送第一密钥通告分组、接收核心交换设备SWCenter发送的第一密钥通告响应分组的发送源节点NSource;接收发送源节点NSource发送的第一密钥通告分组、向目的节点NDestination发送第二密钥通告分组、接收目的节点NDestination发送的第二密钥通告响应分组、向发送源节点NSource发送第一密钥通告响应分组的核心交换设备SWCenter;接收核心交换设备SWCenter发送的第二密钥通告分组、向核心交换设备SWCenter发送第二密钥通告响应分组的目的节点NDestination

Claims (8)

1.一种端到端通信密钥的建立方法,其特征在于:其包括以下步骤:
1)发送源节点NSource发送第一密钥通告分组给核心交换设备SWCenter;所述第一密钥通告分组包含:IDDestination字段、E1(KEYS-D)字段以及MIC1字段,其中:
IDDestination字段:表示目的节点NDestination的标识;
E1(KEYS-D)字段:表示密钥资料数据,由发送源节点NSource利用其与核心交换设备SWCenter之间的密钥KEYS-Center对KEYS-D加密后的数据;其中KEYS-D是由发送源节点NSource生成的随机数,发送源节点NSource将其作为与目的节点NDestination之间的通信密钥;
MIC1字段:表示消息完整性验证码,由发送源节点NSource利用其与核心交换设备SWCenter之间的密钥KEYS-Center对第一密钥通告分组中本字段外的其他字段通过杂凑函数计算得到的杂凑值;
2)核心交换设备SWCenter收到第一密钥通告分组后,构造第二密钥通告分组给目的节点NDestination;所述第二密钥通告分组包括IDSource字段、E2(KEYS-D)字段以及MIC2字段,其中:
IDSource字段:表示发送源节点NSource的标识;
E2(KEYS-D)字段:表示密钥资料数据,由核心交换设备SWCenter用其与目的节点NDestination之间的密钥KEYD-Center对KEYS-D加密后的数据;
MIC2字段:表示消息完整性验证码,由核心交换设备SWCenter用其与目的节点NDestination之间的密钥KEYD-Center对第二密钥通告分组中本字段外的其他字段通过杂凑函数计算得到的杂凑值;
3)目的节点NDestination收到第二密钥通告分组后,构造第二密钥通告响应分组给核心交换设备SWCenter;所述第二密钥通告响应分组包括:IDSource字段以及MIC3字段;其中:
MIC3字段:表示消息完整性验证码,由目的节点NDestination利用与核心交换设备SWCenter之间的密钥KEYD-Center对第二密钥通告响应分组中本字段外的其他字段通过杂凑函数计算得到的杂凑值;
4)核心交换设备SWCenter收到第二密钥通告响应分组后,构造第一密钥通告响应分组给发送源节点NSource;所述第一密钥通告响应分组包括:IDDestination字段以及MIC4字段,其中:
MIC4字段:表示消息完整性验证码,由核心交换设备SWCenter用其与发送源节点NSource之间的密钥KEYS-Center对第一密钥通告响应分组中本字段外的其他字段通过杂凑函数计算得到的杂凑值;
5)发送源节点NSource接收第一密钥通告响应分组,建立端到端的通信密钥。
2.根据权利要求1所述的端到端通信密钥的建立方法,其特征在于:所述发送源节点NSource发送的第一密钥通告分组中还包括标识字段,该标识字段为时钟、顺序号或随机数,所述标识字段用于标识此次通信密钥建立过程;所述核心交换设备SWCenter收到第二密钥通告响应分组后,需验证该分组中的标识值与其之前接收的第一密钥通告分组中的标识值是否一致;所述发送源节点NSource收到第一密钥通告响应分组后,需验证该分组中的标识值与其之前发送的第一密钥通告分组中的标识值是否一致。
3.根据权利要求1所述的端到端通信密钥的建立方法,其特征在于:所述发送源节点NSource发送的第一密钥通告分组中还包括一个独立的消息新鲜性标识字段,该标识为时钟、顺序号或随机数;所述发送源节点NSource收到第一密钥通告响应分组后,需验证该分组中的标识值与其之前发送的第一密钥通告分组中的标识值是否一致;所述核心交换设备SWCenter发送的第二密钥通告分组中还包含一个独立的消息新鲜性标识字段,该标识为时钟、顺序号或随机数;所述核心交换设备SWCenter收到第二密钥通告响应分组后,需验证该分组中的标识值与其之前发送的第二密钥通告分组中的标识值是否一致。
4.根据权利要求1或2或3所述的端到端通信密钥的建立方法,其特征在于:所述步骤2)的具体实现方式是:
2.1)利用与发送源节点NSource之间的密钥KEYS-Center验证MIC1是否正确,若不正确,则丢弃该分组;若正确,则执行2.2);
2.2)利用与发送源节点NSource之间的密钥KEYS-Center解密E1(KEYS-D)字段,即得到KEYS-D值;
2.3)构造第二密钥通告分组发送给目的节点NDestination
5.根据权利要求1或2或3所述的端到端通信密钥的建立方法,其特征在于:所述步骤3)的具体实现方式是:
3.1)利用与核心交换设备SWCenter之间的密钥KEYD-Center验证MIC2是否正确,若不正确,则丢弃该分组;若正确,则执行3.2);
3.2)利用与核心交换设备SWCenter之间的密钥KEYD-Center解密E2(KEYS-D)字段,即得到KEYS-D值,将其作为与发送源节点NSource之间的通信密钥;
3.3)构造第二密钥通告响应分组发送给核心交换设备SWCenter
6.根据权利要求1或2或3所述的端到端通信密钥的建立方法,其特征在于:所述步骤4)的具体实现方式是:
4.1)比较IDSource字段与之前发送的第二密钥通告分组中IDSource字段值是否一致,若不一致,则丢弃该分组;若一致,则执行4.2);
4.2)利用与目的节点NDestination之间的密钥KEYD-Center验证MIC3是否正确,若不正确,则丢弃该分组;若正确,则执行4.3)
4.3)构造第一密钥通告响应分组发送给发送源节点NSource
7.根据权利要求1或2或3所述的端到端通信密钥的建立方法,其特征在于:所述步骤5)的具体实现方式是:
5.1)检查分组中的IDDestination字段与之前发送给核心交换设备SWCenter的第一密钥通告分组中的IDDestination字段值是否一致,若不一致,则丢弃该分组;若一致,则执行5.2);
5.2)利用与核心交换设备SWCenter之间的密钥KEYS-Center验证MIC4是否正确,若不正确,则丢弃该分组;若正确,则完成发送源节点NSource和目的节点NDestination之间通信密钥KEYS-D的建立过程。
8.一种端到端通信密钥的建立系统,其特征在于:所述系统包括局域网内的发送源节点NSource、核心交换设备SWCenter、目的节点NDestination;所述发送源节点NSource向核心交换设备SWCenter发送第一密钥通告分组、接收核心交换设备SWCenter发送的第一密钥通告响应分组;所述核心交换设备SWCenter接收发送源节点NSource发送的第一密钥通告分组、向目的节点NDestination发送第二密钥通告分组、接收目的节点NDestination发送的第二密钥通告响应分组、向发送源节点NSource发送第一密钥通告响应分组;所述目的节点NDestination接收核心交换设备SWCenter发送的第二密钥通告分组、向核心交换设备SWCenter发送第二密钥通告响应分组;
所述第一密钥通告分组包含IDDestination字段、E1(KEYS-D)字段以及MIC1字段,其中:
IDDestination字段:表示目的节点NDestination的标识;
E1(KEYS-D)字段:表示密钥资料数据,由发送源节点NSource利用其与核心交换设备SWCenter之间的密钥KEYS-Center对KEYS-D加密后的数据;其中KEYS-D是由发送源节点NSource生成的随机数,发送源节点NSource将其作为与目的节点NDestination之间的通信密钥;
MIC1字段:表示消息完整性验证码,由发送源节点NSource利用其与核心交换设备SWCenter之间的密钥KEYS-Center对第一密钥通告分组中本字段外的其他字段通过杂凑函数计算得到的杂凑值;
所述第二密钥通告分组包括IDSource字段、E2(KEYS-D)字段以及MIC2字段,其中:
IDSource字段:表示发送源节点NSource的标识;
E2(KEYS-D)字段:表示密钥资料数据,由核心交换设备SWCenter用其与目的节点NDestination之间的密钥KEYD-Center对KEYS-D加密后的数据;
MIC2字段:表示消息完整性验证码,由核心交换设备SWCenter用其与目的节点NDestination之间的密钥KEYD-Center对第二密钥通告分组中本字段外的其他字段通过杂凑函数计算得到的杂凑值;
所述第二密钥通告响应分组包括IDSource字段以及MIC3字段;其中:
MIC3字段:表示消息完整性验证码,由目的节点NDestination利用与核心交换设备SWCenter之间的密钥KEYD-Center对第二密钥通告响应分组中本字段外的其他字段通过杂凑函数计算得到的杂凑值;
所述第一密钥通告响应分组包括IDDestination字段以及MIC4字段,其中:
MIC4字段:表示消息完整性验证码,由核心交换设备SWCenter用其与发送源节点NSource之间的密钥KEYS-Center对第一密钥通告响应分组中本字段外的其他字段通过杂凑函数计算得到的杂凑值。
CN 201010178378 2010-05-20 2010-05-20 一种端到端通信密钥的建立方法及系统 Active CN101841414B (zh)

Priority Applications (2)

Application Number Priority Date Filing Date Title
CN 201010178378 CN101841414B (zh) 2010-05-20 2010-05-20 一种端到端通信密钥的建立方法及系统
PCT/CN2011/070470 WO2011143944A1 (zh) 2010-05-20 2011-01-21 一种端到端通信密钥的建立方法、系统及装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN 201010178378 CN101841414B (zh) 2010-05-20 2010-05-20 一种端到端通信密钥的建立方法及系统

Publications (2)

Publication Number Publication Date
CN101841414A CN101841414A (zh) 2010-09-22
CN101841414B true CN101841414B (zh) 2012-05-23

Family

ID=42744555

Family Applications (1)

Application Number Title Priority Date Filing Date
CN 201010178378 Active CN101841414B (zh) 2010-05-20 2010-05-20 一种端到端通信密钥的建立方法及系统

Country Status (2)

Country Link
CN (1) CN101841414B (zh)
WO (1) WO2011143944A1 (zh)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101841414B (zh) * 2010-05-20 2012-05-23 西安西电捷通无线网络通信股份有限公司 一种端到端通信密钥的建立方法及系统
CN101969375B (zh) * 2010-10-25 2012-07-04 西安西电捷通无线网络通信股份有限公司 通告式安全连接建立系统及方法

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101227272A (zh) * 2007-01-19 2008-07-23 华为技术有限公司 一种获取媒体流保护密钥的方法和系统
CN101340443A (zh) * 2008-08-28 2009-01-07 中国电信股份有限公司 一种通信网络中会话密钥协商方法、系统和服务器
CN101729249A (zh) * 2009-12-21 2010-06-09 西安西电捷通无线网络通信有限公司 用户终端之间安全连接的建立方法及系统

Family Cites Families (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP4735157B2 (ja) * 2005-09-22 2011-07-27 ソニー株式会社 無線通信システム、無線通信装置及び無線通信方法、並びにコンピュータ・プログラム
US8583929B2 (en) * 2006-05-26 2013-11-12 Alcatel Lucent Encryption method for secure packet transmission
CN101383698A (zh) * 2008-10-29 2009-03-11 中国电信股份有限公司 会话密钥分发方法及系统
CN101902324B (zh) * 2010-04-29 2012-11-07 天维讯达无线电设备检测(北京)有限责任公司 一种节点间通信密钥的建立方法及系统
CN101841547B (zh) * 2010-05-20 2012-08-08 西安西电捷通无线网络通信股份有限公司 一种端到端共享密钥的建立方法及系统
CN101841414B (zh) * 2010-05-20 2012-05-23 西安西电捷通无线网络通信股份有限公司 一种端到端通信密钥的建立方法及系统

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101227272A (zh) * 2007-01-19 2008-07-23 华为技术有限公司 一种获取媒体流保护密钥的方法和系统
CN101340443A (zh) * 2008-08-28 2009-01-07 中国电信股份有限公司 一种通信网络中会话密钥协商方法、系统和服务器
CN101729249A (zh) * 2009-12-21 2010-06-09 西安西电捷通无线网络通信有限公司 用户终端之间安全连接的建立方法及系统

Also Published As

Publication number Publication date
CN101841414A (zh) 2010-09-22
WO2011143944A1 (zh) 2011-11-24

Similar Documents

Publication Publication Date Title
CN101841413B (zh) 一种端到端安全连接的建立方法及系统
CN101917272B (zh) 一种邻居用户终端间保密通信方法及系统
KR101492179B1 (ko) 사용자 단말기들 사이의 보안 연결을 확립하기 위한 방법 및 시스템
JP5367168B2 (ja) センサーネットワーク認証と鍵管理メカニズムの統合方法
CN101741547B (zh) 节点间保密通信方法及系统
CN101641935B (zh) 配电系统安全接入通信系统和方法
US20140317406A1 (en) Communication between network nodes that are not directly connected
CN105792190B (zh) 通信系统中的数据加解密和传输方法
CN101741548B (zh) 交换设备间安全连接的建立方法及系统
CN101841547B (zh) 一种端到端共享密钥的建立方法及系统
CN101834863B (zh) 一种局域网节点间安全连接建立方法及系统
CN101854244A (zh) 一种三段式安全网络架构建立和保密通信方法及其系统
CN104883372A (zh) 一种基于无线自组织网的防欺骗和抗攻击的数据传输方法
CN101841414B (zh) 一种端到端通信密钥的建立方法及系统
CN101814987B (zh) 一种节点间密钥的建立方法及系统
CN101834862B (zh) 一种节点间安全连接建立方法及系统
CN106452751A (zh) 基于量子纠缠和信道自校验的矿用高压电网定值传输方法
CN101902324B (zh) 一种节点间通信密钥的建立方法及系统
CN101964708B (zh) 一种节点间会话密钥的建立系统及方法
CN101854306B (zh) 一种交换路由探寻方法及系统
CN101964802B (zh) 集中式安全连接建立系统及方法
CN101969375B (zh) 通告式安全连接建立系统及方法
CN107342853B (zh) 一种低交互开销的计数器同步方法
CN101964803B (zh) 节点间会话密钥的建立系统及方法
Ahmad et al. Security on MANETs using block coding

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
C14 Grant of patent or utility model
GR01 Patent grant