CN101841547B - 一种端到端共享密钥的建立方法及系统 - Google Patents

一种端到端共享密钥的建立方法及系统 Download PDF

Info

Publication number
CN101841547B
CN101841547B CN2010101783778A CN201010178377A CN101841547B CN 101841547 B CN101841547 B CN 101841547B CN 2010101783778 A CN2010101783778 A CN 2010101783778A CN 201010178377 A CN201010178377 A CN 201010178377A CN 101841547 B CN101841547 B CN 101841547B
Authority
CN
China
Prior art keywords
source
destination
nonce
center
field
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN2010101783778A
Other languages
English (en)
Other versions
CN101841547A (zh
Inventor
李琴
曹军
铁满霞
葛莉
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
China Iwncomm Co Ltd
Original Assignee
China Iwncomm Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by China Iwncomm Co Ltd filed Critical China Iwncomm Co Ltd
Priority to CN2010101783778A priority Critical patent/CN101841547B/zh
Publication of CN101841547A publication Critical patent/CN101841547A/zh
Priority to PCT/CN2011/070479 priority patent/WO2011143945A1/zh
Application granted granted Critical
Publication of CN101841547B publication Critical patent/CN101841547B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • H04L9/0827Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) involving distinctive intermediate devices or communication paths
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

一种端到端共享密钥的建立方法,包括以下步骤:1)发送源节点NSource发送第一密钥协商请求分组给核心交换设备SWCenter;2)核心交换设备SWCenter收到第一密钥协商请求分组后,构造第二密钥协商请求分组给目的节点NDestination;3)目的节点NDestination收到第二密钥协商请求分组后,构造第二密钥协商响应分组给核心交换设备SWCenter;4)核心交换设备SWCenter收到第二密钥协商响应分组后,构造第一密钥协商响应分组给发送源节点NSource;5)发送源节点NSource接收第一密钥协商响应分组,建立端到端的共享密钥。本发明提供了一种安全性能更好的端到端共享密钥的建立方法及系统。

Description

一种端到端共享密钥的建立方法及系统
技术领域
本发明涉及通信网络安全应用领域,尤其涉及一种端到端共享密钥的建立方法及系统。
背景技术
有线局域网一般为广播型网络,一个节点发出的数据,其它节点都能收到。网络上的各个节点共享信道,这给网络带来了极大的安全隐患。攻击者只要接入网络进行监听,就可以捕获网络上所有的数据包。
现有国家标准GB/T 15629.3(对应IEEE 802.3或ISO/IEC 8802-3)定义的局域网LAN并不提供数据保密方法,这样就使得攻击者容易窃取到关键信息。在国际研究领域里,IEEE所制定的IEEE 802.1AE标准为保护以太网提供数据加密协议,并采用逐跳加密的安全措施来实现网络节点之间数据的安全传达。这种安全措施给局域网中的交换设备带来了巨大的计算负担,容易引发攻击者对交换设备的攻击;且数据包从发送节点传递到目的节点的延时也会增大,降低了网络传输效率。
有线局域网的拓扑结构比较复杂,涉及到的节点(这里,终端和交换设备被统称为节点)数目也比较多,因此网络中的数据通信比较复杂。如果为局域网节点间分配静态的密钥对来建立端到端的共享密钥,其分配和更新过程极为复杂。因此,静态密钥对的方式并不适合建立局域网端到端的共享密钥。
发明内容
为了解决背景技术中存在的上述技术问题,本发明提供了一种安全性能更好的端到端共享密钥的建立方法及系统。
本发明的技术解决方案是:
一种端到端共享密钥的建立方法,包括以下步骤:
1)发送源节点NSource发送第一密钥协商请求分组给核心交换设备SWCenter,所述第一密钥协商请求分组包含:IDDestination字段、E1(NonceS)字段以及MIC1字段,其中:
IDDestination字段:表示目的节点NDestination的标识;
E1(NonceS)字段:表示发送源节点NSource的询问资料数据,由发送源节点NSource利用其与核心交换设备SWCenter之间的密钥KEYS-Center对发送源节点NSource的询问NonceS加密后的数据;其中NonceS是由发送源节点NSource生成的随机数;
MIC1字段:表示消息完整性验证码,由发送源节点NSource利用其与核心交换设备SWCenter之间的密钥KEYS-Center对第一密钥协商请求分组中本字段外的其他字段通过杂凑函数计算得到的杂凑值;
2)核心交换设备SWCenter收到第一密钥协商请求分组后,构造第二密钥协商请求分组给目的节点NDestination;所述第二密钥协商请求分组包含:IDSource字段、E2(NonceS)字段以及MIC2字段,其中:
IDSource字段:表示发送源节点NSource的标识;
E2(NonceS)字段:表示发送源节点NSource的询问资料数据,由核心交换设备SWCenter用其与目的节点NDestination之间的密钥KEYD-Center对发送源节点NSource的询问NonceS加密后的数据;
MIC2字段:表示消息完整性验证码,由核心交换设备SWCenter用其与目的节点NDestination之间的密钥KEYD-Center对第二密钥协商请求分组中本字段外的其他字段通过杂凑函数计算得到的杂凑值;
3)目的节点NDestination收到第二密钥协商请求分组后,构造第二密钥协商响应分组给核心交换设备SWCenter;所述第二密钥协商响应分组包括:IDSource字段、E3(NonceD)字段以及MIC3字段,其中:
E3(NonceD)字段:表示目的节点NDestination的询问资料数据,由目的节点NDestination利用与核心交换设备SWCenter之间的密钥KEYD-Center对目的节点NDestination的询问NonceD加密后的数据;其中NonceD是由目的节点NDestination生成的随机数;
MIC3字段:表示消息完整性验证码,由目的节点NDestination利用与核心交换设备SWCenter之间的密钥KEYD-Center对第二密钥协商响应分组中本字段外的其他字段通过杂凑函数计算得到的杂凑值;
4)核心交换设备SWCenter收到第二密钥协商响应分组后,构造第一密钥协商响应分组给发送源节点NSource;所述第一密钥协商响应分组包括:IDDestination字段、E4(NonceD)字段以及MIC4字段,其中:
E4(NonceD)字段:表示目的节点NDestination的询问资料数据,由核心交换设备SWCenter用其与发送源节点NSource之间的密钥KEYS-Center对目的节点NDestination的询问NonceD加密后的数据;
MIC4字段:表示消息完整性验证码,由核心交换设备SWCenter用其与发送源节点NSource之间的密钥KEYS-Center对第一密钥协商响应分组中本字段外的其他字段通过杂凑函数计算得到的杂凑值;
5)发送源节点NSource接收第一密钥协商响应分组,建立端到端的共享密钥。
上述发送源节点NSource发送的第一密钥协商请求分组中还包含标识字段,该标识为时钟、顺序号或随机数,所述标识字段用于标识此次共享密钥建立过程;所述核心交换设备SWCenter收到第二密钥协商响应分组后,需验证该分组中的标识值与其之前接收的第一密钥协商请求分组中的标识值是否一致;所述发送源节点NSource收到第一密钥协商响应分组后,需验证该分组中的标识值与其之前发送的第一密钥协商请求分组中的标识值是否一致。
上述发送源节点NSource发送的第一密钥协商请求分组中还包含一个独立的消息新鲜性标识字段,该标识为时钟、顺序号或随机数;所述发送源节点NSource收到第一密钥协商响应分组后,需验证该分组中的标识值与其之前发送的第一密钥协商请求分组中的标识值是否一致;所述核心交换设备SWCenter发送的第二密钥协商请求分组中还包含一个独立的消息新鲜性标识字段,该标识为时钟、顺序号或随机数;所述核心交换设备SWCenter收到第二密钥协商响应分组后,需验证该分组中的标识值与其之前发送的第二密钥协商请求分组中的标识值是否一致。
上述步骤2)的具体实现方式是:
2.1)利用与发送源节点NSource之间的密钥KEYS-Center验证MIC1是否正确,若不正确,则丢弃该分组;若正确,则执行2.2);
2.2)利用与发送源节点NSource之间的密钥KEYS-Center解密E1(NonceS)字段,即得到发送源节点NSource的询问NonceS
2.3)构造第二密钥协商请求分组发送给目的节点NDestination
上述步骤3)的具体实现方式是:
3.1)利用与核心交换设备SWCenter之间的密钥KEYD-Center验证MIC2是否正确,若不正确,则丢弃该分组;若正确,则执行3.2);
3.2)利用与核心交换设备SWCenter之间的密钥KEYD-Center解密E2(NonceS)字段,得到发送源节点NSource的询问NonceS
3.3)生成一随机数作为目的节点NDestination的询问NonceD,通过单向函数F(IDSource,IDDestination,NonceS,NonceD)计算得到与发送源节点NSource之间的共享密钥KEYS-D
3.4)构造第二密钥协商响应分组发送给核心交换设备SWCenter
上述步骤4)的具体实现方式是:
4.1)比较IDSource字段与之前发送的第二密钥协商请求分组中IDSource字段值是否一致,若不一致,则丢弃该分组;若一致,则执行4.2);
4.2)利用与目的节点NDestination之间的密钥KEYD-Center验证MIC3是否正确,若不正确,则丢弃该分组;若正确,则执行4.3);
4.3)利用与目的节点NDestination之间的密钥KEYD-Center解密E3(NonceD)字段,得到目的节点NDestination的询问NonceD
4.4)构造第一密钥协商响应分组发送给发送源节点NSource
上述步骤5)的具体实现方式是:
5.1)检查分组中的IDDestination字段与之前发送给核心交换设备SWCenter的第一密钥协商请求分组中的IDDestination字段值是否一致,若不一致,则丢弃该分组;若一致,则执行5.2);
5.2)利用与核心交换设备SWCenter之间的密钥KEYS-Center验证MIC4是否正确,若不正确,则丢弃该分组;若正确,则执行5.3);
5.3)利用与核心交换设备SWCenter之间的密钥KEYS-Center解密E4(NonceD)字段,得到目的节点NDestination的询问NonceD
5.4)通过单向函数F(IDSource,IDDestination,NonceS,NonceD)计算得到与目的节点NDestination之间的共享密钥KEYS-D
第二种端到端共享密钥的建立方法,包括以下步骤:
1)发送源节点NSource发送第一密钥协商请求分组给核心交换设备SWCenter,所述第一密钥协商请求分组包含:IDDestination字段、E1(NonceS)字段以及MIC1字段,其中:
IDDestination字段:表示目的节点NDestination的标识;
E1(NonceS)字段:表示发送源节点NSource的询问资料数据,由发送源节点NSource利用其与核心交换设备SWCenter之间的密钥KEYS-Center对发送源节点NSource的询问NonceS加密后的数据;其中NonceS是由发送源节点NSource生成的随机数;
MIC1字段:表示消息完整性验证码,由发送源节点NSource利用其与核心交换设备SWCenter之间的密钥KEYS-Center对第一密钥协商请求分组中本字段外的其他字段通过杂凑函数计算得到的杂凑值;
2)核心交换设备SWCenter收到第一密钥协商请求分组后,构造第二密钥协商请求分组给目的节点NDestination;所述第二密钥协商请求分组包含:IDSource字段、E2(NonceS)字段以及MIC2字段,其中:
IDSource字段:表示发送源节点NSource的标识;
E2(NonceS)字段:表示发送源节点NSource的询问资料数据,由核心交换设备SWCenter用其与目的节点NDestination之间的密钥KEYD-Center对发送源节点NSource的询问NonceS加密后的数据;
MIC2字段:表示消息完整性验证码,由核心交换设备SWCenter用其与目的节点NDestination之间的密钥KEYD-Center对第二密钥协商请求分组中本字段外的其他字段通过杂凑函数计算得到的杂凑值;
3)目的节点NDestination收到第二密钥协商请求分组后,构造第二密钥协商响应分组给核心交换设备SWCenter;所述第二密钥协商响应分组包括:IDSource字段、E3(NonceS||NonceD)字段以及MIC3字段,其中:
E3(NonceS||NonceD)字段:表示发送源节点NSource和目的节点NDestination的询问资料数据,由目的节点NDestination利用与核心交换设备SWCenter之间的密钥KEYD-Center对发送源节点NSource的询问NonceS及目的节点NDestination的询问NonceD加密后的数据;其中NonceD是由目的节点NDestination生成的随机数;
MIC3字段:表示消息完整性验证码,由目的节点NDestination利用与核心交换设备SWCenter之间的密钥KEYD-Center对第二密钥协商响应分组中本字段外的其他字段通过杂凑函数计算得到的杂凑值;
4)核心交换设备SWCenter收到第二密钥协商响应分组后,构造第一密钥协商响应分组给发送源节点NSource;所述第一密钥协商响应分组包括:IDDestination字段、E4(NonceS||NonceD)字段以及MIC4字段,其中:
E4(NonceS||NonceD)字段:表示发送源节点NSource和目的节点NDestination的询问资料数据,由核心交换设备SWCenter用其与发送源节点NSource之间的密钥KEYS-Center对发送源节点NSource的询问NonceS及目的节点NDestination的询问NonceD加密后的数据;
MIC4字段:表示消息完整性验证码,由核心交换设备SWCenter用其与发送源节点NSource之间的密钥KEYS-Center对第一密钥协商响应分组中本字段外的其他字段通过杂凑函数计算得到的杂凑值;
5)发送源节点NSource接收第一密钥协商响应分组,建立端到端的共享密钥。
上述发送源节点NSource发送的第一密钥协商请求分组中还包含标识字段,该标识为时钟、顺序号或随机数,所述标识字段用于标识此次共享密钥建立过程;所述核心交换设备SWCenter收到第二密钥协商响应分组后,需验证该分组中的标识值与其之前接收的第一密钥协商请求分组中的标识值是否一致;所述发送源节点NSource收到第一密钥协商响应分组后,需验证该分组中的标识值与其之前发送的第一密钥协商请求分组中的标识值是否一致。
上述发送源节点NSource发送的第一密钥协商请求分组中还包含一个独立的消息新鲜性标识字段,该标识为时钟、顺序号或随机数;所述发送源节点NSource收到第一密钥协商响应分组后,需验证该分组中的标识值与其之前发送的第一密钥协商请求分组中的标识值是否一致;所述核心交换设备SWCenter发送的第二密钥协商请求分组中还包含一个独立的消息新鲜性标识字段,该标识为时钟、顺序号或随机数;所述核心交换设备SWCenter收到第二密钥协商响应分组后,需验证该分组中的标识值与其之前发送的第二密钥协商请求分组中的标识值是否一致。
上述步骤2)的具体实现方式是:
2.1)利用与发送源节点NSource之间的密钥KEYS-Center验证MIC1是否正确,若不正确,则丢弃该分组;若正确,则执行2.2);
2.2)利用与发送源节点NSource之间的密钥KEYS-Center解密E1(NonceS)字段,即得到发送源节点NSource的询问NonceS
2.3)构造第二密钥协商请求分组发送给目的节点NDestination
所述步骤3)的具体实现方式是:
3.1)利用与核心交换设备SWCenter之间的密钥KEYD-Center验证MIC2是否正确,若不正确,则丢弃该分组;若正确,则执行3.2);
3.2)利用与核心交换设备SWCenter之间的密钥KEYD-Center解密E2(NonceS)字段,得到发送源节点NSource的询问NonceS
3.3)生成一随机数作为目的节点NDestination的询问NonceD,通过单向函数F(IDSource,IDDestination,NonceS,NonceD)计算得到与发送源节点NSource之间的共享密钥KEYS-D
3.4)构造第二密钥协商响应分组发送给核心交换设备SWCenter
上述步骤4)的具体实现方式是:
4.1)比较IDSource字段与之前发送的第二密钥协商请求分组中IDSource字段值是否一致,若不一致,则丢弃该分组;若一致,则执行4.2);
4.2)利用与目的节点NDestination之间的密钥KEYD-Center验证MIC3是否正确,若不正确,则丢弃该分组;若正确,则执行4.3);
4.3)利用与目的节点NDestination之间的密钥KEYD-Center解密E3(NonceS||NonceD)字段,得到发送源节点NSource的询问NonceS及目的节点NDestination的询问NonceD
4.4)比较解密得到的发送源节点NSource的询问NonceS值与步骤2.2)中得到的NonceS值是否相同,若不同,则丢弃该分组;若相同,则执行4.5);
4.5)构造第一密钥协商响应分组发送给发送源节点NSource
上述步骤5)的具体实现方式是:
5.1)检查分组中的IDDestination字段与之前发送给核心交换设备SWCenter的第一密钥协商请求分组中的IDDestination字段值是否一致,若不一致,则丢弃该分组;若一致,则执行5.2);
5.2)利用与核心交换设备SWCenter之间的密钥KEYS-Center验证MIC4是否正确,若不正确,则丢弃该分组;若正确,则执行5.3);
5.3)利用与核心交换设备SWCenter之间的密钥KEYS-Center解密E4(NonceS||NonceD)字段,得到发送源节点NSource的询问NonceS及目的节点NDestination的询问NonceD
5.4)比较解密得到的发送源节点NSource的询问NonceS值与在步骤1)中生成并使用的随机数NonceS值是否一致,若不一致,则丢弃该分组;若一致,则执行5.5);
5.5)通过单向函数F(IDSource,IDDestination,NonceS,NonceD)计算得到与目的节点NDestination之间的共享密钥KEYS-D
一种端到端共享密钥的建立系统,其特殊之处是,所述系统包括局域网中的发送源节点NSource、核心交换设备SWCenter、目的节点NDestination;所述发送源节点NSource向核心交换设备SWCenter发送第一密钥协商请求分组、接收核心交换设备SWCenter发送的第一密钥协商响应分组;所述核心交换设备SWCenter接收发送源节点NSource发送的第一密钥协商请求分组、向目的节点NDestination发送第二密钥协商请求分组、接收目的节点NDestination发送的第二密钥协商响应分组、向发送源节点NSource发送第一密钥协商响应分组;所述目的节点NDestination接收核心交换设备SWCenter发送的第二密钥协商请求分组、向核心交换设备SWCenter发送第二密钥协商响应分组。
本发明的优点是:发送源节点NSource和目的节点NDestination之间的共享密钥是由发送源节点NSource和目的节点NDestination临时协商后计算得到的。如果发送源节点NSource需要更新和目的节点NDestination之间的共享密钥,也可发起该建立过程重新建立新的密钥,更新过程灵活,无需管理员为全网节点两两之间部署共享的静态密钥对。
附图说明
图1为本发明所提供的端到端共享密钥建立过程示意图。
具体实施方式
本发明中的节点N(Node)是指有线局域网中的用户终端STA(STAtion)和交换设备SW(SWitch)。局域网中的集线器等物理层设备不作为节点处理。
在网络中,所有的交换设备和用户终端都与网络中的核心交换设备之间通过预分发或其他安全机制已建立安全连接,即已具有共享的密钥。本发明中对该假设中的密钥的建立机制不予限制和定义。本发明中所述核心交换设备一般是局域网中离网关最近的交换设备,可由网络管理员进行指定或配置,本发明不予限定和定义。
以发送源节点NSource与目的节点NDestination之间的共享密钥建立为例进行说明,SWCenter为网络中的核心交换设备。发送源节点NSource与核心交换设备SWCenter之间已建立安全连接,具有的共享密钥记为KEYS-Center;目的节点NDestination与核心交换设备SWCenter之间已建立安全连接,具有的共享密钥记为KEYD-Center
图1以发送源节点NSource和目的节点NDestination之间建立共享密钥的步骤为例来说明本发明端到端共享密钥建立的具体方案如下:
1)发送源节点NSource发送第一密钥协商请求分组给核心交换设备SWCenter;该第一密钥协商请求分组主要包含:
  IDDestination   E1(NonceS)   MIC1
其中:
IDDestination字段:表示目的节点NDestination的标识;
E1(NonceS)字段:表示发送源节点NSource的询问资料数据,由发送源节点NSource利用其与核心交换设备SWCenter之间的密钥KEYS-Center对发送源节点NSource的询问NonceS加密后的数据;其中NonceS是由发送源节点NSource生成的随机数;
MIC1字段:表示消息完整性验证码,由发送源节点NSource利用其与核心交换设备SWCenter之间的密钥KEYS-Center对该第一密钥协商请求分组中本字段外的其他字段通过杂凑函数计算得到的杂凑值。
2)核心交换设备SWCenter发送第二密钥协商请求分组给目的节点NDestination
核心交换设备SWCenter收到第一密钥协商请求分组后,进行如下处理:
2.1)利用与发送源节点NSource之间的密钥KEYS-Center验证MIC1是否正确,若不正确,则丢弃该分组;否则,执行2.2);
2.2)利用与发送源节点NSource之间的密钥KEYS-Center解密E1(NonceS)字段,即得到发送源节点NSource的询问NonceS
2.3)构造第二密钥协商请求分组发送给目的节点NDestination
该第二密钥协商请求分组中主要包含:
  IDSource   E2(NonceS)   MIC2
其中:
IDSource字段:表示发送源节点NSource的标识;
E2(NonceS)字段:表示发送源节点NSource的询问资料数据,由核心交换设备SWCenter用其与目的节点NDestination之间的密钥KEYD-Center对发送源节点NSource的询问NonceS加密后的数据;
MIC2字段:表示消息完整性验证码,由核心交换设备SWCenter用其与目的节点NDestination之间的密钥KEYD-Center对该第二密钥协商请求分组中本字段外的其他字段通过杂凑函数计算得到的杂凑值。
3)目的节点NDestination发送第二密钥协商响应分组给核心交换设备SWCenter
目的节点NDestination收到第二密钥协商请求分组后,进行如下处理:
3.1)利用与核心交换设备SWCenter之间的密钥KEYD-Center验证MIC2是否正确,若不正确,则丢弃该分组;否则,执行3.2);
3.2)利用与核心交换设备SWCenter之间的密钥KEYD-Center解密E2(NonceS)字段,即得到发送源节点NSource的询问NonceS
3.3)生成一随机数作为目的节点NDestination的询问NonceD,通过单向函数F(IDSource,IDDestination,NonceS,NonceD)计算得到与发送源节点NSource之间的共享密钥KEYS-D(这里使用的单向函数F,本发明中不予限制和定义);
3.4)构造第二密钥协商响应分组发送给核心交换设备SWCenter
该第二密钥协商响应分组主要包含:
  IDSource   E3(NonceS||NonceD)   MIC3
其中:
IDSource字段:表示发送源节点NSource的标识,其值同收到的第二密钥协商请求分组中的IDSource字段的值;
E3(NonceS||NonceD)字段:表示发送源节点NSource和目的节点NDestination的询问资料数据,由目的节点NDestination利用与核心交换设备SWCenter之间的密钥KEYD-Center对发送源节点NSource的询问NonceS及目的节点NDestination的询问NonceD加密后的数据;
MIC3字段:表示消息完整性验证码,由目的节点NDestination利用与核心交换设备SWCenter之间的密钥KEYD-Center对该第二密钥协商响应分组中本字段外的其他字段通过杂凑函数计算得到的杂凑值。
4)核心交换设备SWCenter发送第一密钥协商响应分组给发送源节点NSource
核心交换设备SWCenter收到第二密钥协商响应分组后,进行如下处理:
4.1)比较IDSource字段与之前发送的第二密钥协商请求分组中IDSource字段值是否一致,若不一致,则丢弃该分组;否则,执行4.2);
4.2)利用与目的节点NDestination之间的密钥KEYD-Center验证MIC3是否正确,若不正确,则丢弃该分组;否则,执行4.3)
4.3)利用与目的节点NDestination之间的密钥KEYD-Center解密E3(NonceS||NonceD)字段,即可得到发送源节点NSource的询问NonceS及目的节点NDestination的询问NonceD
4.4)比较解密得到的发送源节点NSource的询问NonceS值与步骤2.2)中得到的NonceS值是否相同,若不同,则丢弃该分组;否则,执行4.5);
4.5)构造第一密钥协商响应分组发送给发送源节点NSource
该第一密钥协商响应分组中主要包含:
IDDestination E4(NonceS||NonceD) MIC4
其中:
IDDestination字段:表示目的节点NDestination的标识;
E4(NonceS||NonceD)字段:表示发送源节点NSource和目的节点NDestination的询问资料数据,由核心交换设备SWCenter用其与发送源节点NSource之间的密钥KEYS-Center对发送源节点NSource的询问NonceS及目的节点NDestination的询问NonceD加密后的数据;
MIC4字段:表示消息完整性验证码,由核心交换设备SWCenter用其与发送源节点NSource之间的密钥KEYS-Center对第一密钥协商响应分组中本字段外的其他字段通过杂凑函数计算得到的杂凑值。
5)发送源节点NSource接收第一密钥协商响应分组;
发送源节点NSource收到第一密钥协商响应分组后,进行如下处理:
5.1)检查分组中的IDDestination字段与之前发送给核心交换设备SWCenter的第一密钥协商请求分组中的IDDestination字段值是否一致,若不一致,则丢弃该分组;否则,执行5.2);
5.2)利用与核心交换设备SWCenter之间的密钥KEYS-Center验证MIC4是否正确,若不正确,则丢弃该分组;否则,执行5.3);
5.3)利用与核心交换设备SWCenter之间的密钥KEYS-Center解密E4(NonceS||NonceD)字段,即可得到发送源节点NSource的询问NonceS及目的节点NDestination的询问NonceD
5.4)比较解密得到的发送源节点NSource的询问NonceS值与在步骤1)中生成并使用的随机数NonceS值是否一致,若不一致,则丢弃该分组;否则,执行5.5);
5.5)通过单向函数F(IDSource,IDDestination,NonceS,NonceD)计算得到与目的节点NDestination之间的共享密钥KEYS-D,即完成发送源节点NSource和目的节点NDestination之间共享密钥的建立过程。此后,发送源节点NSource和目的节点NDestination之间可通过该共享密钥KEYS-D进行保密通信。
当对上述方案进行具体实施时,第二密钥协商响应分组和第一密钥协商响应分组中的询问资料数据E3(NonceS||NonceD)和E4(NonceS||NonceD)还可以不包含对NonceS的加密信息,仅为E3(NonceD)和E4(NonceD)。对应地,上述步骤4)中不包含步骤4.4),在步骤4.3)之后直接执行4.5);上述步骤5)中也不包含步骤5.4),在步骤5.3)之后直接执行5.5)。
当对上述方案进行具体实施时,发送源节点NSource还可生成一个数值,作为此次共享密钥建立过程的标识,该标识可为时钟、顺序号或随机数,且在每个消息中进行携带,相应地核心交换设备SWCenter收到第二密钥协商响应分组后,需验证该分组中的标识值与其之前接收的第一密钥协商请求分组中的标识值是否一致;发送源节点NSource收到第一密钥协商响应分组后,也需验证该分组中的标识值与其之前发送的第一密钥协商请求分组中的标识值是否一致。
当利用上述方案进行具体实施时,也可以由发送源节点NSource和核心交换设备SWCenter在发送第一密钥协商请求分组和第二密钥协商请求分组时,各自独立生成一个数值(可为时钟、顺序号或随机数)作为消息新鲜性标识分别携带在上述分组中。对应地,核心交换设备SWCenter收到第二密钥协商响应分组后,需验证该分组中的标识值与其之前发送的第二密钥协商请求分组中的标识值是否一致;发送源节点NSource收到第一密钥协商响应分组后,也需验证该分组中的标识值与其之前发送的第一密钥协商请求分组中的标识值是否一致。
一种端到端共享密钥的建立系统,该系统包括向核心交换设备SWCenter发送第一密钥协商请求分组、接收核心交换设备SWCenter发送的第一密钥协商响应分组的发送源节点NSource;接收发送源节点NSource发送的第一密钥协商请求分组、向目的节点NDestination发送第二密钥协商请求分组、接收目的节点NDestination发送的第二密钥协商响应分组、向发送源节点NSource发送第一密钥协商响应分组的核心交换设备SWCenter;接收核心交换设备SWCenter发送的第二密钥协商请求分组、向核心交换设备SWCenter发送第二密钥协商响应分组的目的节点NDestination

Claims (9)

1.一种端到端共享密钥的建立方法,其特征在于:所述方法包括以下步骤:
1)发送源节点NSource发送第一密钥协商请求分组给核心交换设备SWCenter,所述第一密钥协商请求分组包含:IDDestination字段、E1(NonceS)字段以及MIC1字段,其中:
IDDestination字段:表示目的节点NDestination的标识;
E1(NonceS)字段:表示发送源节点NSource的询问资料数据,由发送源节点NSource利用其与核心交换设备SWCenter之间的密钥KEYS-Center对发送源节点NSource的询问NonceS加密后的数据;其中NonceS是由发送源节点NSource生成的随机数;
MIC1字段:表示消息完整性验证码,由发送源节点NSource利用其与核心交换设备SWCenter之间的密钥KEYS-Center对第一密钥协商请求分组中本字段外的其他字段通过杂凑函数计算得到的杂凑值;
2)核心交换设备SWCenter收到第一密钥协商请求分组后,解密E1(NonceS)字段,得到发送源节点NSource的询问NonceS,构造第二密钥协商请求分组给目的节点NDestination;所述第二密钥协商请求分组包含:IDSource字段、E2(NonceS)字段以及MIC2字段,其中:
IDSource字段:表示发送源节点NSource的标识;
E2(NonceS)字段:表示发送源节点NSource的询问资料数据,由核心交换设备SWCenter用其与目的节点NDestination之间的密钥KEYD-Center对发送源节点NSource的询问NonceS加密后的数据;
MIC2字段:表示消息完整性验证码,由核心交换设备SWCenter用其与目的节点NDestination之间的密钥KEYD-Center对第二密钥协商请求分组中本字段外的其他字段通过杂凑函数计算得到的杂凑值;
3)目的节点NDestination收到第二密钥协商请求分组后,解密E2(NonceS)字段,得到发送源节点NSource的询问NonceS,生成一随机数作为目的节点NDestination的询问NonceD,通过单向函数F(IDSource,IDDestination,NonceS,NonceD)计算得到与发送源节点NSource之间的共享密钥KEYS-D;构造第二密钥协商响应分组给核心交换设备SWCenter;所述第二密钥协商响应分组包括:IDSource字段、E3(NonceD)字段以及MIC3字段,其中:
E3(NonceD)字段:表示目的节点NDestination的询问资料数据,由目的节点NDestination利用与核心交换设备SWCenter之间的密钥KEYD-Center对目的节点NDestination的询问NonceD加密后的数据;其中NonceD是由目的节点NDestination生成的随机数;
MIC3字段:表示消息完整性验证码,由目的节点NDestination利用与核心交换设备SWCenter之间的密钥KEYD-Center对第二密钥协商响应分组中本字段外的其他字段通过杂凑函数计算得到的杂凑值;
4)核心交换设备SWCenter收到第二密钥协商响应分组后,解密E3(NonceD)字段,得到目的节点NDestination的询问NonceD,构造第一密钥协商响应分组给发送源节点NSource;所述第一密钥协商响应分组包括:IDDestination字段、E4(NonceD)字段以及MIC4字段,其中:
E4(NonceD)字段:表示目的节点NDestination的询问资料数据,由核心交换设备SWCenter用其与发送源节点NSource之间的密钥KEYS-Center对目的节点NDestination的询问NonceD加密后的数据;
MIC4字段:表示消息完整性验证码,由核心交换设备SWCenter用其与发送源节点NSource之间的密钥KEYS-Center对第一密钥协商响应分组中本字段外的其他字段通过杂凑函数计算得到的杂凑值;
5)发送源节点NSource接收第一密钥协商响应分组,解密E4(NonceD)字段,得到目的节点NDestination的询问NonceD;并通过单向函数F(IDSource,IDDestination,NonceS,NonceD)计算得到与目的节点NDestination之间的共享密钥KEYS-D
2.根据权利要求1所述的端到端共享密钥的建立方法,其特征在于:所述发送源节点NSource发送的第一密钥协商请求分组中还包含标识字段,该标识为时钟、顺序号或随机数,所述标识字段用于标识此次共享密钥建立过程;所述核心交换设备SWCenter收到第二密钥协商响应分组后,需验证该分组中的标识值与其之前接收的第一密钥协商请求分组中的标识值是否一致;所述发送源节点NSource收到第一密钥协商响应分组后,需验证该分组中的标识值与其之前发送的第一密钥协商请求分组中的标识值是否一致。
3.根据权利要求1所述的端到端共享密钥的建立方法,其特征在于:所述发送源节点NSource发送的第一密钥协商请求分组中还包含一个独立的消息新鲜性标识字段,该标识为时钟、顺序号或随机数;所述发送源节点NSource收到第一密钥协商响应分组后,需验证该分组中的标识值与其之前发送的第一密钥协商请求分组中的标识值是否一致;所述核心交换设备SWCenter发送的第二密钥协商请求分组中还包含一个独立的消息新鲜性标识字段,该标识为时钟、顺序号或随机数;所述核心交换设备SWCenter收到第二密钥协商响应分组后,需验证该分组中的标识值与其之前发送的第二密钥协商请求分组中的标识值是否一致。
4.根据权利要求1或2或3所述的端到端共享密钥的建立方法,其特征在于:所述步骤2)的具体实现方式是:
2.1)利用与发送源节点NSource之间的密钥KEYS-Center验证MIC1是否正确,若不正确,则丢弃该分组;若正确,则执行2.2);
2.2)利用与发送源节点NSource之间的密钥KEYS-Center解密E1(NonceS)字段,即得到发送源节点NSource的询问NonceS
2.3)构造第二密钥协商请求分组发送给目的节点NDestination
所述步骤3)的具体实现方式是:
3.1)利用与核心交换设备SWCenter之间的密钥KEYD-Center验证MIC2是否正确,若不正确,则丢弃该分组;若正确,则执行3.2);
3.2)利用与核心交换设备SWCenter之间的密钥KEYD-Center解密E2(NonceS)字段,得到发送源节点NSource的询问NonceS
3.3)生成一随机数作为目的节点NDestination的询问NonceD,通过单向函数F(IDSource,IDDestination,NonceS,NonceD)计算得到与发送源节点NSource之间的共享密钥KEYS-D
3.4)构造第二密钥协商响应分组发送给核心交换设备SWCenter
所述步骤4)的具体实现方式是:
4.1)比较IDSource字段与之前发送的第二密钥协商请求分组中IDSource字段值是否一致,若不一致,则丢弃该分组;若一致,则执行4.2);
4.2)利用与目的节点NDestination之间的密钥KEYD-Center验证MIC3是否正确,若不正确,则丢弃该分组;若正确,则执行4.3);
4.3)利用与目的节点NDestination之间的密钥KEYD-Center解密E3(NonceD)字段,得到目的节点NDestination的询问NonceD
4.4)构造第一密钥协商响应分组发送给发送源节点NSource
所述步骤5)的具体实现方式是:
5.1)检查分组中的IDDestination字段与之前发送给核心交换设备SWCenter的第一密钥协商请求分组中的IDDestination字段值是否一致,若不一致,则丢弃该分组;若一致,则执行5.2);
5.2)利用与核心交换设备SWCenter之间的密钥KEYS-Center验证MIC4是否正确,若不正确,则丢弃该分组;若正确,则执行5.3);
5.3)利用与核心交换设备SWCenter之间的密钥KEYS-Center解密E4(NonceD)字段,得到目的节点NDestination的询问NonceD
5.4)通过单向函数F(IDSource,IDDestination,NonceS,NonceD)计算得到与目的节点NDestination之间的共享密钥KEYS-D
5.一种端到端共享密钥的建立方法,其特征在于:所述方法包括以下步骤:
1)发送源节点NSource发送第一密钥协商请求分组给核心交换设备SWCenter,所述第一密钥协商请求分组包含:IDDestination字段、E1(NonceS)字段以及MIC1字段,其中:
IDDestination字段:表示目的节点NDestination的标识;
E1(NonceS)字段:表示发送源节点NSource的询问资料数据,由发送源节点NSource利用其与核心交换设备SWCenter之间的密钥KEYS-Center对发送源节点NSource的询问NonceS加密后的数据;其中NonceS是由发送源节点NSource生成的随机数;
MIC1字段:表示消息完整性验证码,由发送源节点NSource利用其与核心交换设备SWCenter之间的密钥KEYS-Center对第一密钥协商请求分组中本字段外的其他字段通过杂凑函数计算得到的杂凑值;
2)核心交换设备SWCenter收到第一密钥协商请求分组后,解密E1(NonceS)字段,得到发送源节点NSource的询问NonceS,构造第二密钥协商请求分组给目的节点NDestination;所述第二密钥协商请求分组包含:IDSource字段、E2(NonceS)字段以及MIC2字段,其中:
IDSource字段:表示发送源节点NSource的标识;
E2(NonceS)字段:表示发送源节点NSource的询问资料数据,由核心交换设备SWCenter用其与目的节点NDestination之间的密钥KEYD-Center对发送源节点NSource的询问NonceS加密后的数据;
MIC2字段:表示消息完整性验证码,由核心交换设备SWCenter用其与目的节点NDestination之间的密钥KEYD-Center对第二密钥协商请求分组中本字段外的其他字段通过杂凑函数计算得到的杂凑值;
3)目的节点NDestination收到第二密钥协商请求分组后,解密E2(NonceS)字段,得到发送源节点NSource的询问NonceS,生成一随机数作为目的节点NDestination的询问NonceD,通过单向函数F(IDSource,IDDestination,NonceS,NonceD)计算得到与发送源节点NSource之间的共享密钥KEYS-D;构造第二密钥协商响应分组给核心交换设备SWCenter;所述第二密钥协商响应分组包括:IDSource字段、E3(NonceS||NonceD)字段以及MIC3字段,其中:
E3(NonceS||NonceD)字段:表示发送源节点NSource和目的节点NDestination的询问资料数据,由目的节点NDestination利用与核心交换设备SWCenter之间的密钥KEYD-Center对发送源节点NSource的询问NonceS及目的节点NDestination的询问NonceD加密后的数据;其中NonceD是由目的节点NDestination生成的随机数;
MIC3字段:表示消息完整性验证码,由目的节点NDestination利用与核心交换设备SWCenter之间的密钥KEYD-Center对第二密钥协商响应分组中本字段外的其他字段通过杂凑函数计算得到的杂凑值;
4)核心交换设备SWCenter收到第二密钥协商响应分组后,解密E3(NonceS||NonceD)字段,得到目的节点NDestination的询问NonceD,构造第一密钥协商响应分组给发送源节点NSource;所述第一密钥协商响应分组包括:IDDestination字段、E4(NonceS||NonceD)字段以及MIC4字段,其中:
E4(NonceS||NonceD)字段:表示发送源节点NSource和目的节点NDestination的询问资料数据,由核心交换设备SWCenter用其与发送源节点NSource之间的密钥KEYS-Center对发送源节点NSource的询问NonceS及目的节点NDestination的询问NonceD加密后的数据;
MIC4字段:表示消息完整性验证码,由核心交换设备SWCenter用其与发送源节点NSource之间的密钥KEYS-Center对第一密钥协商响应分组中本字段外的其他字段通过杂凑函数计算得到的杂凑值;
5)发送源节点NSource接收第一密钥协商响应分组,解密E4(NonceS||NonceD),得到目的节点NDestination的询问NonceD;并通过单向函数F(IDSource,IDDestination,NonceS,NonceD)计算得到与目的节点NDestination之间的共享密钥KEYS-D
6.根据权利要求5所述的端到端共享密钥的建立方法,其特征在于:所述发送源节点NSource发送的第一密钥协商请求分组中还包含标识字段,该标识为时钟、顺序号或随机数,所述标识字段用于标识此次共享密钥建立过程;所述核心交换设备SWCenter收到第二密钥协商响应分组后,需验证该分组中的标识值与其之前接收的第一密钥协商请求分组中的标识值是否一致;所述发送源节点NSource收到第一密钥协商响应分组后,需验证该分组中的标识值与其之前发送的第一密钥协商请求分组中的标识值是否一致。
7.根据权利要求5所述的端到端共享密钥的建立方法,其特征在于:所述发送源节点NSource发送的第一密钥协商请求分组中还包含一个独立的消息新鲜性标识字段,该标识为时钟、顺序号或随机数;所述发送源节点NSource收到第一密钥协商响应分组后,需验证该分组中的标识值与其之前发送的第一密钥协商请求分组中的标识值是否一致;所述核心交换设备SWCenter发送的第二密钥协商请求分组中还包含一个独立的消息新鲜性标识字段,该标识为时钟、顺序号或随机数;所述核心交换设备SWCenter收到第二密钥协商响应分组后,需验证该分组中的标识值与其之前发送的第二密钥协商请求分组中的标识值是否一致。
8.根据权利要求5或6或7所述的端到端共享密钥的建立方法,其特征在于:所述步骤2)的具体实现方式是:
2.1)利用与发送源节点NSource之间的密钥KEYS-Center验证MIC1是否正确,若不正确,则丢弃该分组;若正确,则执行2.2);
2.2)利用与发送源节点NSource之间的密钥KEYS-Center解密E1(NonceS)字段,即得到发送源节点NSource的询问NonceS
2.3)构造第二密钥协商请求分组发送给目的节点NDestination
所述步骤3)的具体实现方式是:
3.1)利用与核心交换设备SWCenter之间的密钥KEYD-Center验证MIC2是否正确,若不正确,则丢弃该分组;若正确,则执行3.2);
3.2)利用与核心交换设备SWCenter之间的密钥KEYD-Center解密E2(NonceS)字段,得到发送源节点NSource的询问NonceS
3.3)生成一随机数作为目的节点NDestination的询问NonceD,通过单向函数F(IDSource,IDDestination,NonceS,NonceD)计算得到与发送源节点NSource之间的共享密钥KEYS-D
3.4)构造第二密钥协商响应分组发送给核心交换设备SWCenter
所述步骤4)的具体实现方式是:
4.1)比较IDSource字段与之前发送的第二密钥协商请求分组中IDSource字段值是否一致,若不一致,则丢弃该分组;若一致,则执行4.2);
4.2)利用与目的节点NDestination之间的密钥KEYD-Center验证MIC3是否正确,若不正确,则丢弃该分组;若正确,则执行4.3);
4.3)利用与目的节点NDestination之间的密钥KEYD-Center解密E3(NonceS||NonceD)字段,得到发送源节点NSource的询问NonceS及目的节点NDestination的询问NonceD
4.4)比较解密得到的发送源节点NSource的询问NonceS值与步骤2.2)中得到的NonceS值是否相同,若不同,则丢弃该分组;若相同,则执行4.5);
4.5)构造第一密钥协商响应分组发送给发送源节点NSource
所述步骤5)的具体实现方式是:
5.1)检查分组中的IDDestination字段与之前发送给核心交换设备SWCenter的第一密钥协商请求分组中的IDDestination字段值是否一致,若不一致,则丢弃该分组;若一致,则执行5.2);
5.2)利用与核心交换设备SWCenter之间的密钥KEYS-Center验证MIC4是否正确,若不正确,则丢弃该分组;若正确,则执行5.3);
5.3)利用与核心交换设备SWCenter之间的密钥KEYS-Center解密E4(NonceS||NonceD)字段,得到发送源节点NSource的询问NonceS及目的节点NDestination的询问NonceD
5.4)比较解密得到的发送源节点NSource的询问NonceS值与在步骤1)中生成并使用的随机数NonceS值是否一致,若不一致,则丢弃该分组;若一致,则执行5.5);
5.5)通过单向函数F(IDSource,IDDestination,NonceS,NonceD)计算得到与目的节点NDestination之间的共享密钥KEYS-D
9.一种端到端共享密钥的建立系统,其特征在于:所述系统包括局域网中的发送源节点NSource、核心交换设备SWCenter、目的节点NDestination
所述发送源节点NSource生成一随机数作为发送源节点NSource的询问NonceS;通过发送第一密钥协商请求分组将使用发送源节点NSource与核心交换设备SWCenter之间的密钥KEYS-Center对发送源节点NSource的询问NonceS加密后的数据发送给核心交换设备SWCenter
所述第一密钥协商请求分组包含:IDDestination字段、E1(NonceS)字段以及MIC1字段,其中:
IDDestination字段:表示目的节点NDestination的标识;
E1(NonceS)字段:表示发送源节点NSource的询问资料数据,由发送源节点NSource利用其与核心交换设备SWCenter之间的密钥KEYS-Center对发送源节点NSource的询问NonceS加密后的数据;其中NonceS是由发送源节点NSource生成的随机数;
MIC1字段:表示消息完整性验证码,由发送源节点NSource利用其与核心交换设备SWCenter之间的密钥KEYS-Center对第一密钥协商请求分组中本字段外的其他字段通过杂凑函数计算得到的杂凑值;
所述核心交换设备SWCenter接收第一密钥协商请求分组解密得到NonceS,并通过发送第二密钥协商请求分组将使用核心交换设备SWCenter与目的节点NDestination之间的密钥KEYD-Center对发送源节点NSource的询问NonceS加密后的数据发送给目的节点NDestination
所述第二密钥协商请求分组包含:IDSource字段、E2(NonceS)字段以及MIC2字段,其中:
IDSource字段:表示发送源节点NSource的标识;
E2(NonceS)字段:表示发送源节点NSource的询问资料数据,由核心交换设备SWCenter用其与目的节点NDestination之间的密钥KEYD-Center对发送源节点NSource的询问NonceS加密后的数据;
MIC2字段:表示消息完整性验证码,由核心交换设备SWCenter用其与目的节点NDestination之间的密钥KEYD-Center对第二密钥协商请求分组中本字段外的其他字段通过杂凑函数计算得到的杂凑值;
所述目的节点NDestination接收第二密钥协商请求分组解密得到NonceS,并生成一随机数作为目的节点NDestination的询问NonceD,通过单向函数F(IDSource,IDDestination,NonceS,NonceD)计算得到与发送源节点NSource之间的共享密钥KEYS-D,并通过发送第二密钥协商响应分组将使用目的节点NDestination与核心交换设备SWCenter之间的密钥KEYD-Center对目的节点NDestination的询问NonceD加密后的数据发送给核心交换设备SWCenter
所述第二密钥协商响应分组包括:IDSource字段、E3(NonceD)字段以及MIC3字段,其中:
E3(NonceD)字段:表示目的节点NDestination的询问资料数据,由目的节点NDestination利用与核心交换设备SWCenter之间的密钥KEYD-Center对目的节点NDestination的询问NonceD加密后的数据;其中NonceD是由目的节点NDestination生成的随机数;
MIC3字段:表示消息完整性验证码,由目的节点NDestination利用与核心交换设备SWCenter之间的密钥KEYD-Center对第二密钥协商响应分组中本字段外的其他字段通过杂凑函数计算得到的杂凑值;
所述核心交换设备SWCenter接收第二密钥协商响应分组解密得到NonceD,并通过发送第一密钥协商响应分组将使用核心交换设备SWCenter与发送源节点NSource之间的密钥KEYS-Center对目的节点NDestination的询问NonceD加密后的数据发送给发送源节点NSource
所述第一密钥协商响应分组包括:IDDestination字段、E4(NonceD)字段以及MIC4字段,其中:
E4(NonceD)字段:表示目的节点NDestination的询问资料数据,由核心交换设备SWCenter用其与发送源节点NSource之间的密钥KEYS-Center对目的节点NDestination的询问NonceD加密后的数据;
MIC4字段:表示消息完整性验证码,由核心交换设备SWCenter用其与发送源节点NSource之间的密钥KEYS-Center对第一密钥协商响应分组中本字段外的其他字段通过杂凑函数计算得到的杂凑值;
所述发送源节点NSource接收第一密钥协商响应分组解密得到NonceD,并通过单向函数F(IDSource,IDDestination,NonceS,NonceD)计算得到与目的节点NDestination之间的共享密钥KEYS-D
CN2010101783778A 2010-05-20 2010-05-20 一种端到端共享密钥的建立方法及系统 Active CN101841547B (zh)

Priority Applications (2)

Application Number Priority Date Filing Date Title
CN2010101783778A CN101841547B (zh) 2010-05-20 2010-05-20 一种端到端共享密钥的建立方法及系统
PCT/CN2011/070479 WO2011143945A1 (zh) 2010-05-20 2011-01-21 一种端到端共享密钥的建立方法、系统及装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN2010101783778A CN101841547B (zh) 2010-05-20 2010-05-20 一种端到端共享密钥的建立方法及系统

Publications (2)

Publication Number Publication Date
CN101841547A CN101841547A (zh) 2010-09-22
CN101841547B true CN101841547B (zh) 2012-08-08

Family

ID=42744670

Family Applications (1)

Application Number Title Priority Date Filing Date
CN2010101783778A Active CN101841547B (zh) 2010-05-20 2010-05-20 一种端到端共享密钥的建立方法及系统

Country Status (2)

Country Link
CN (1) CN101841547B (zh)
WO (1) WO2011143945A1 (zh)

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101841547B (zh) * 2010-05-20 2012-08-08 西安西电捷通无线网络通信股份有限公司 一种端到端共享密钥的建立方法及系统
CN101841414B (zh) * 2010-05-20 2012-05-23 西安西电捷通无线网络通信股份有限公司 一种端到端通信密钥的建立方法及系统
CN101964803B (zh) * 2010-10-25 2012-11-28 西安西电捷通无线网络通信股份有限公司 节点间会话密钥的建立系统及方法
CN112583590B (zh) * 2020-12-14 2022-06-17 联芸科技(杭州)有限公司 基于群组共享密钥的信息发布方法及系统

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101227272A (zh) * 2007-01-19 2008-07-23 华为技术有限公司 一种获取媒体流保护密钥的方法和系统
CN101340443A (zh) * 2008-08-28 2009-01-07 中国电信股份有限公司 一种通信网络中会话密钥协商方法、系统和服务器

Family Cites Families (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP4735157B2 (ja) * 2005-09-22 2011-07-27 ソニー株式会社 無線通信システム、無線通信装置及び無線通信方法、並びにコンピュータ・プログラム
US8583929B2 (en) * 2006-05-26 2013-11-12 Alcatel Lucent Encryption method for secure packet transmission
CN100463391C (zh) * 2006-09-23 2009-02-18 西安西电捷通无线网络通信有限公司 一种网络密钥管理及会话密钥更新方法
CN101436930A (zh) * 2007-11-16 2009-05-20 华为技术有限公司 一种密钥分发的方法、系统和设备
CN101448262A (zh) * 2008-12-15 2009-06-03 广州杰赛科技股份有限公司 基于wapi的无线网状网的认证方法
CN101841547B (zh) * 2010-05-20 2012-08-08 西安西电捷通无线网络通信股份有限公司 一种端到端共享密钥的建立方法及系统

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101227272A (zh) * 2007-01-19 2008-07-23 华为技术有限公司 一种获取媒体流保护密钥的方法和系统
CN101340443A (zh) * 2008-08-28 2009-01-07 中国电信股份有限公司 一种通信网络中会话密钥协商方法、系统和服务器

Also Published As

Publication number Publication date
WO2011143945A1 (zh) 2011-11-24
CN101841547A (zh) 2010-09-22

Similar Documents

Publication Publication Date Title
KR101492179B1 (ko) 사용자 단말기들 사이의 보안 연결을 확립하기 위한 방법 및 시스템
CN101917272B (zh) 一种邻居用户终端间保密通信方法及系统
CN101841413B (zh) 一种端到端安全连接的建立方法及系统
JP5367168B2 (ja) センサーネットワーク認証と鍵管理メカニズムの統合方法
CN102035845B (zh) 支持链路层保密传输的交换设备及其数据处理方法
CN101741548B (zh) 交换设备间安全连接的建立方法及系统
CN101841547B (zh) 一种端到端共享密钥的建立方法及系统
CN101854244A (zh) 一种三段式安全网络架构建立和保密通信方法及其系统
CN101867930B (zh) 无线Mesh网络骨干节点切换快速认证方法
CN104883372A (zh) 一种基于无线自组织网的防欺骗和抗攻击的数据传输方法
CN108055663B (zh) 一种轻量级低轨星座组网认证与群组密钥协商方法
CN101834863B (zh) 一种局域网节点间安全连接建立方法及系统
CN101814987B (zh) 一种节点间密钥的建立方法及系统
CN101834862B (zh) 一种节点间安全连接建立方法及系统
CN101841414B (zh) 一种端到端通信密钥的建立方法及系统
CN101964708B (zh) 一种节点间会话密钥的建立系统及方法
CN101854306B (zh) 一种交换路由探寻方法及系统
CN101902324B (zh) 一种节点间通信密钥的建立方法及系统
CN101964802B (zh) 集中式安全连接建立系统及方法
CN101964803B (zh) 节点间会话密钥的建立系统及方法
CN101969375B (zh) 通告式安全连接建立系统及方法

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
C14 Grant of patent or utility model
GR01 Patent grant