CN101917272A - 一种邻居用户终端间保密通信方法及系统 - Google Patents

一种邻居用户终端间保密通信方法及系统 Download PDF

Info

Publication number
CN101917272A
CN101917272A CN2010102519965A CN201010251996A CN101917272A CN 101917272 A CN101917272 A CN 101917272A CN 2010102519965 A CN2010102519965 A CN 2010102519965A CN 201010251996 A CN201010251996 A CN 201010251996A CN 101917272 A CN101917272 A CN 101917272A
Authority
CN
China
Prior art keywords
user terminal
key
sta1
sta2
station
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN2010102519965A
Other languages
English (en)
Other versions
CN101917272B (zh
Inventor
李琴
曹军
铁满霞
黄振海
杜志强
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
China Iwncomm Co Ltd
Original Assignee
China Iwncomm Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by China Iwncomm Co Ltd filed Critical China Iwncomm Co Ltd
Priority to CN2010102519965A priority Critical patent/CN101917272B/zh
Publication of CN101917272A publication Critical patent/CN101917272A/zh
Priority to PCT/CN2011/073367 priority patent/WO2012019466A1/zh
Priority to EP11816025.8A priority patent/EP2605447B1/en
Priority to US13/814,899 priority patent/US8850190B2/en
Application granted granted Critical
Publication of CN101917272B publication Critical patent/CN101917272B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • H04L9/083Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) involving central third party, e.g. key distribution center [KDC] or trusted third party [TTP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/321Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2463/00Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
    • H04L2463/062Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00 applying encryption of the keys

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

本发明涉及一种邻居用户终端间保密通信方法及系统。该方法包括以下步骤:1)选择邻居加密交换设备;2)建立站间密钥;3)进行数据保密通信。本发明所提供的邻居用户终端间保密通信方法及系统在安全网络架构下,邻居用户终端间进行保密通信时,利用他们之间共有的邻居交换设备为他们建立站间密钥,后续的通信就可以直接使用该站间密钥实现数据的保密传输。该方法中,需要进行保密通信的邻居用户终端间不需要两两进行身份鉴别,从而减少了网络负担。

Description

一种邻居用户终端间保密通信方法及系统
技术领域
本发明涉及通信网络安全应用领域,尤其涉及一种邻居用户终端间保密通信方法及系统。
背景技术
有线局域网一般为广播型网络,一个节点发出的数据,其他节点都能收到。网络上的各个节点共享信道,这给网络带来了极大的安全隐患。攻击者只要接入网络进行监听,就可以捕获网络上所有的数据包,从而窃取关键信息。
在局域网媒体访问控制安全技术TLSec安全网络架构下,可以使用一种三段式的保密通信方法来保护以太网,实现MAC层数据保密传输。这种三段式的保密通信方法,需要利用交换路由探寻机制得到从发送端到接收端的数据包经过的第一个和最后一个加密交换设备(支持TLSec的交换设备)的信息,然后根据得到的交换路由信息发起数据保密通信。这种机制适用于从发送端到接收端一定会经过加密交换设备的网络拓扑,对于发送端到接收端不会经过加密交换设备的拓扑场景,也就是对于邻居用户终端之间,需要通过鉴别来建立共享密钥,保证相互之间的数据保密传输。若在一个24口的hub下面连接了24个用户终端,那么这24个用户终端之间就需要两两进行鉴别来建立共享密钥,无疑会增加网络的负担。
若网络是由加密交换设备和非加密交换设备(不支持TLSec的交换设备)混合组成,则从发送端到接收端不经过任何加密交换设备的拓扑场景就更多,若这些通信双方之间均通过鉴别来建立共享密钥,网络负担将更大。
发明内容
为了解决背景技术中存在的上述技术问题,本发明提供了一种邻居用户终端间保密通信方法及系统,以解决背景技术中所述的不经过任何加密交换设备的邻居用户终端间若通过鉴别建立共享密钥增大网络负担的问题。
本发明的技术解决方案是:一种邻居用户终端间保密通信方法,其特殊之处在于:该方法包括以下步骤:
1)选择邻居加密交换设备;
2)建立站间密钥;
3)进行数据保密通信。
上述步骤1)的具体实现方式是:
1.1.1)第一用户终端STA1发送邻居加密交换设备选择请求分组给第二用户终端STA2;所述邻居加密交换设备选择请求分组中包括第一用户终端STA1的邻居加密交换设备的信息列表;
1.1.2)第二用户终端STA2收到第一用户终端STA1发送的邻居加密交换设备选择请求分组后,查看第二用户终端STA2的邻居加密交换设备列表,选择一个和第一用户终端STA1共有的邻居加密交换设备,构造邻居加密交换设备选择响应分组发送给第一用户终端STA1;所述邻居加密交换设备选择响应分组中包括第二用户终端STA2选择的和第一用户终端STA1共有的邻居加密交换设备的信息;
1.1.3)第一用户终端STA1收到第二用户终端STA2发送的邻居加密交换设备选择响应分组后,提取第二用户终端STA2选择的和自己共有的邻居加密交换设备的信息。
上述步骤1)的具体实现方式是:
1.2.1)第一用户终端STA1发送邻居加密交换设备选择请求分组给第二用户终端STA2;所述邻居加密交换设备选择请求分组中包括第一用户终端STA1的邻居加密交换设备的信息列表字段以及第一用户终端STA1支持的加密算法安全参数套件列表字段;
1.2.2)第二用户终端STA2收到第一用户终端STA1发送的邻居加密交换设备选择请求分组后,根据分组中的第一用户终端STA1的邻居加密交换设备列表信息字段以及第一用户终端STA1支持的加密算法安全参数套件列表字段,选择一个和第一用户终端STA1共有的邻居加密交换设备及一个和第一用户终端STA1均支持的加密算法安全参数套件,构造邻居加密交换设备选择响应分组发送给第一用户终端STA1;所述邻居加密交换设备选择响应分组中包括第二用户终端STA2选择的和第一用户终端STA1共有的邻居加密交换设备的信息以及第二用户终端STA2从第一用户终端STA1支持的加密算法安全参数套件列表中选择的一个第二用户终端STA2也支持的加密算法等安全参数套件字段;
1.2.3)第一用户终端STA1收到第二用户终端STA2发送的邻居加密交换设备选择响应分组后,提取第二用户终端STA2选择的和自己共有的邻居加密交换设备的信息以及第二用户终端STA2选择双方均支持的加密算法安全参数套件。
上述步骤2)的具体实现方式是:
2.1.1)第一用户终端STA1发送站间密钥请求分组给加密交换设备ESW-B,请求协助建立与第二用户终端STA2之间的站间密钥;所述站间密钥请求分组中包括第二用户终端STA2的标识信息;
2.1.2)加密交换设备ESW-B收到第一用户终端STA1发送的站间密钥请求分组后,生成一随机数作为第一用户终端STA1与第二用户终端STA2之间的站间密钥STAKey1-2,构造站间密钥通告分组发送给第二用户终端STA2;所述站间密钥通告分组中包括第一用户终端STA1的标识信息及用加密交换设备ESW-B与第二用户终端STA2之间的共享密钥KEYB-2进行保护的STAKey1-2的加密信息字段;
2.1.3)第二用户终端STA2收到加密交换设备ESW-B发送的站间密钥通告分组后,利用第二用户终端STA2与加密交换设备ESW-B之间的密钥KEYB-2解密STAKey1-2的加密信息字段得到STAKey1-2信息,即得到与第一用户终端STA1之间的站间密钥;然后构造站间密钥通告响应分组发送给加密交换设备ESW-B;所述站间密钥通告响应分组中包括第一用户终端STA1的标识信息;
2.1.4)加密交换设备ESW-B收到第二用户终端STA2发送的站间密钥通告响应分组后,得知第二用户终端STA2已收到与第一用户终端STA1之间的站间密钥信息,构造站间密钥响应分组发送给第一用户终端STA1;所述站间密钥响应分组中包括第二用户终端STA2的标识信息及用加密交换设备ESW-B与第一用户终端STA1之间的共享密钥KEYB-1进行保护的STAKey1-2的加密信息字段;
2.1.5)第一用户终端STA1收到加密交换设备ESW-B发送的站间密钥响应分组后,利用第一用户终端STA1与加密交换设备ESW-B之间的密钥KEYB-1解密STAKey1-2的加密信息字段得到STAKey1-2信息,即得到与第二用户终端STA2之间的站间密钥。
上述步骤3)的具体实现方式是:通过步骤2)站间密钥建立过程建立第一用户终端STA1与第二用户终端STA2之间的站间密钥STAKey1-2后,第一用户终端STA1与第二用户终端STA2之间就可以利用该站间密钥进行数据保密通信:从第一用户终端STA1发送到第二用户终端STA2的数据由第一用户终端STA1利用STAKey1-2进行加密发送,第二用户终端STA2收到后利用STAKey1-2进行解密;从第二用户终端STA2发送到第一用户终端STA1的数据由第二用户终端STA2利用STAKey1-2进行加密发送,第一用户终端STA1收到后利用STAKey1-2进行解密。
上述步骤2)的具体实现方式是:
2.2.1)第一用户终端STA1发送站间密钥请求分组给加密交换设备ESW-B,请求协助建立与第二用户终端STA2之间的站间密钥;所述站间密钥请求分组中包括第二用户终端STA2的标识信息以及消息完整性验证码MIC字段,所述消息完整性验证码MIC1字段是第一用户终端STA1利用与加密交换设备ESW-B之间的共享密钥KEYB-1对分组中除MIC1字段外其他字段通过杂凑函数计算得到的杂凑值;
2.2.2)加密交换设备ESW-B收到第一用户终端STA1发送的站间密钥请求分组后,首先验证消息完整性验证码MIC1字段是否正确,若不正确,则丢弃该分组,若正确,则生成一随机数作为第一用户终端STA1与第二用户终端STA2之间的站间密钥STAKey1-2,构造站间密钥通告分组发送给第二用户终端STA2;所述站间密钥通告分组中包括第一用户终端STA1的标识信息及用加密交换设备ESW-B与第二用户终端STA2之间的共享密钥KEYB-2进行保护的STAKey1-2的加密信息字段以及消息完整性验证码MIC2字段;所述消息完整性验证码MIC2字段是加密交换设备ESW-B利用与第二用户终端STA2之间的共享密钥KEYB-2对分组中除MIC2字段外其他字段通过杂凑函数计算得到的杂凑值;
2.2.3)第二用户终端STA2收到加密交换设备ESW-B发送的站间密钥通告分组后,首先验证消息完整性验证码MIC2字段是否正确,若不正确,则丢弃该分组;若正确,则利用第二用户终端STA2与加密交换设备ESW-B之间的密钥KEYB-2解密STAKey1-2的加密信息字段得到STAKey1-2信息,即得到与第一用户终端STA1之间的站间密钥;然后构造站间密钥通告响应分组发送给加密交换设备ESW-B;所述站间密钥通告响应分组中包括第一用户终端STA1的标识信息及消息完整性验证码MIC3字段;所述消息完整性验证码MIC3字段是第二用户终端STA2利用与加密交换设备ESW-B之间的共享密钥KEYB-2对分组中除MIC3字段外其他字段通过杂凑函数计算得到的杂凑值;
2.2.4)加密交换设备ESW-B收到第二用户终端STA2发送的站间密钥通告响应分组后,首先验证消息完整性验证码MIC3字段是否正确,若不正确,则丢弃该分组;若正确,则得知第二用户终端STA2已收到与第一用户终端STA1之间的站间密钥信息,构造站间密钥响应分组发送给第一用户终端STA1;所述站间密钥响应分组中包括第二用户终端STA2的标识信息及用加密交换设备ESW-B与第一用户终端STA1之间的共享密钥KEYB-1进行保护的STAKey1-2的加密信息字段以及消息完整性验证码MIC4字段;所述消息完整性验证码MIC4字段是加密交换设备ESW-B利用与第一用户终端STA1之间的共享密钥KEYB-1对分组中除MIC4字段外其他字段通过杂凑函数计算得到的杂凑值;
2.2.5)第一用户终端STA1收到加密交换设备ESW-B发送的站间密钥响应分组后,首先验证消息完整性验证码MIC4字段是否正确,若不正确,则丢弃该分组;若正确,则利用第一用户终端STA1与加密交换设备ESW-B之间的密钥KEYB-1解密STAKey1-2的加密信息字段得到STAKey1-2信息,即得到与第二用户终端STA2之间的站间密钥。
上述步骤2)的具体实现方式是:
2.3.1)第一用户终端STA1发送站间密钥请求分组给加密交换设备ESW-B,请求协助建立与第二用户终端STA2之间的站间密钥;所述站间密钥请求分组中包括第二用户终端STA2的标识信息以及第一用户终端STA1支持的加密算法安全参数套件列表字段;
2.3.2)加密交换设备ESW-B收到第一用户终端STA1发送的站间密钥请求分组后,生成一随机数作为第一用户终端STA1与第二用户终端STA2之间的站间密钥STAKey1-2,构造站间密钥通告分组发送给第二用户终端STA2;所述站间密钥通告分组中包括第一用户终端STA1的标识信息及用加密交换设备ESW-B与第二用户终端STA2之间的共享密钥KEYB-2进行保护的STAKey1-2的加密信息字段以及第一用户终端STA1支持的加密算法安全参数套件列表字段;
2.3.3)第二用户终端STA2收到加密交换设备ESW-B发送的站间密钥通告分组后,利用第二用户终端STA2与加密交换设备ESW-B之间的密钥KEYB-2解密STAKey1-2的加密信息字段得到STAKey1-2信息,即得到与第一用户终端STA1之间的站间密钥;然后构造站间密钥通告响应分组发送给加密交换设备ESW-B;所述站间密钥通告响应分组包括第一用户终端STA1的标识信息及第二用户终端STA2从第一用户终端STA1支持的加密算法安全参数套件列表中选择的一个第二用户终端STA2也支持的加密算法安全参数套件字段;
2.3.4)加密交换设备ESW-B收到第二用户终端STA2发送的站间密钥通告响应分组后,得知第二用户终端STA2已收到与第一用户终端STA1之间的站间密钥信息,构造站间密钥响应分组发送给第一用户终端STA1;所述站间密钥响应分组中包括第二用户终端STA2的标识信息及用加密交换设备ESW-B与第一用户终端STA1之间的共享密钥KEYB-1进行保护的STAKey1-2的加密信息以及第二用户终端STA2选择的加密算法安全参数套件字段;
2.3.5)第一用户终端STA1收到加密交换设备ESW-B发送的站间密钥响应分组后,利用第一用户终端STA1与加密交换设备ESW-B之间的密钥KEYB-1解密STAKey1-2的加密信息字段得到STAKey1-2信息,即得到与第二用户终端STA2之间的站间密钥,同时提取第二用户终端STA2选择的加密算法安全参数套件信息保存。
上述步骤2)的具体实现方式是:
2.4.1)第一用户终端STA1发送站间密钥请求分组给加密交换设备ESW-B,请求协助建立与第二用户终端STA2之间的站间密钥;所述站间密钥请求分组中包括第二用户终端STA2的标识信息、消息完整性验证码MIC1字段以及第一用户终端STA1支持的加密算法安全参数套件列表字段;所述消息完整性验证码MIC1字段是第一用户终端STA1利用与加密交换设备ESW-B之间的共享密钥KEYB-1对分组中除MIC1字段外其他字段通过杂凑函数计算得到的杂凑值;
2.4.2)加密交换设备ESW-B收到第一用户终端STA1发送的站间密钥请求分组后,首先验证消息完整性验证码MIC字段是否正确,若不正确,则丢弃该分组;若正确,则生成一随机数作为第一用户终端STA1与第二用户终端STA2之间的站间密钥STAKey1-2,构造站间密钥通告分组发送给第二用户终端STA2;所述站间密钥通告分组中包括第一用户终端STA1的标识信息及用加密交换设备ESW-B与第二用户终端STA2之间的共享密钥KEYB-2进行保护的STAKey1-2的加密信息字段、消息完整性验证码MIC2字段以及第一用户终端STA1支持的加密算法安全参数套件列表字段;所述消息完整性验证码MIC2字段是加密交换设备ESW-B利用与第二用户终端STA2之间的共享密钥KEYB-2对分组中除MIC2字段外其他字段通过杂凑函数计算得到的杂凑值;
2.4.3)第二用户终端STA2收到加密交换设备ESW-B发送的站间密钥通告分组后,首先验证消息完整性验证码MIC2字段是否正确,若不正确,则丢弃该分组;若正确,则利用第二用户终端STA2与加密交换设备ESW-B之间的密钥KEYB-2解密STAKey1-2的加密信息字段得到STAKey1-2信息,即得到与第一用户终端STA1之间的站间密钥;然后构造站间密钥通告响应分组发送给加密交换设备ESW-B;所述站间密钥通告响应分组包括第一用户终端STA1的标识信息、第二用户终端STA2从第一用户终端STA1支持的加密算法安全参数套件列表中选择的一个第二用户终端STA2也支持的加密算法安全参数套件字段及消息完整性验证码MIC3字段;所述消息完整性验证码MIC3字段是第二用户终端STA2利用与加密交换设备ESW-B之间的共享密钥KEYB-2对分组中除MIC3字段外其他字段通过杂凑函数计算得到的杂凑值;
2.4.4)加密交换设备ESW-B收到第二用户终端STA2发送的站间密钥通告响应分组后,首先验证消息完整性验证码MIC3字段是否正确,若不正确,则丢弃该分组;若正确,则得知第二用户终端STA2已收到与第一用户终端STA1之间的站间密钥信息,构造站间密钥响应分组发送给第一用户终端STA1;所述站间密钥响应分组中包括第二用户终端STA2的标识信息及用加密交换设备ESW-B与第一用户终端STA1之间的共享密钥KEYB-1进行保护的STAKey1-2的加密信息字段、消息完整性验证码MIC字段以及第二用户终端STA2选择的加密算法安全参数套件字段及消息完整性验证码MIC4字段;所述消息完整性验证码MIC4字段是加密交换设备ESW-B利用与第一用户终端STA1之间的共享密钥KEYB-1对分组中除MIC4字段外其他字段通过杂凑函数计算得到的杂凑值;;
2.4.5)第一用户终端STA1收到加密交换设备ESW-B发送的站间密钥响应分组后,首先验证消息完整性验证码MIC4字段是否正确,若不正确,则丢弃该分组;若正确,则利用第一用户终端STA1与加密交换设备ESW-B之间的密钥KEYB-1解密STAKey1-2的加密信息字段得到STAKey1-2信息,即得到与第二用户终端STA2之间的站间密钥,同时提取第二用户终端STA2选择的加密算法安全参数套件信息保存。
上述步骤3)的具体实现方式是:通过步骤2)站间密钥建立过程建立第一用户终端STA1与第二用户终端STA2之间的站间密钥STAKey1-2后,第一用户终端STA1与第二用户终端STA2之间就可以利用该站间密钥进行数据保密通信:从第一用户终端STA1发送到第二用户终端STA2的数据由第一用户终端STA1利用STAKey1-2进行加密发送,第二用户终端STA2收到后利用STAKey1-2进行解密;从第二用户终端STA2发送到第一用户终端STA1的数据由第二用户终端STA2利用STAKey1-2进行加密发送,第一用户终端STA1收到后利用STAKey1-2进行解密。
一种邻居用户终端间保密通信系统,其特殊之处在于:所述系统包括互为邻居的第一用户终端STA1以及第二用户终端STA2、第一用户终端STA1和第二用户终端STA2共有的邻居加密交换设备ESW-B以及能接收到第一用户终端STA1与第二用户终端STA2之间的数据包的一般中间设备;所述第一用户终端STA1发送邻居加密交换设备选择请求分组给第二用户终端STA2;第二用户终端STA2收到第一用户终端STA1发送的邻居加密交换设备选择请求分组后,构造邻居加密交换设备选择响应分组发送给第一用户终端STA1;所述第一用户终端STA1发送站间密钥请求分组给加密交换设备ESW-B;所述加密交换设备ESW-B收到第一用户终端STA1发送的站间密钥请求分组后,构造站间密钥通告分组发送给第二用户终端STA2;所述第二用户终端STA2收到加密交换设备ESW-B发送的站间密钥通告分组后,构造站间密钥通告响应分组发送给加密交换设备ESW-B;所述加密交换设备ESW-B收到第二用户终端STA2发送的站间密钥通告响应分组后,构造站间密钥响应分组发送给第一用户终端STA1;所述第一用户终端STA1接收加密交换设备ESW-B发送的站间密钥响应分组。
本发明的优点是:本发明所提供的邻居用户终端间保密通信方法及系统在安全网络架构下,邻居用户终端间进行保密通信时,利用他们之间共有的邻居交换设备为他们建立站间密钥,后续的通信就可以直接使用该站间密钥实现数据的保密传输。该方法中,需要进行保密通信的邻居用户终端间不需要两两进行身份鉴别,从而减少了网络负担。
附图说明
图1是本发明所提供的邻居用户终端间保密通信系统的工作简图;
图2是本发明的方法流程图。
具体实施方式
本发明所给出的一种邻居用户终端间保密通信方法中,定义两个用户终端间的数据包不会经过任意一个加密交换设备,则这两个用户终端相互为邻居用户终端。邻居用户终端间的数据包会经过一个或者多个hub或非加密交换设备,这里将这种hub或非加密交换设备称为邻居用户终端间的一般中间设备。
参见图1、2,STA1表示第一用户终端;STA2表示第二用户终端;ESW-B表示第一用户终端STA1和第二用户终端STA2共有的邻居加密交换设备;CSW-A表示第一用户终端STA1与第二用户终端STA2之间的一般中间设备;第一用户终端STA1和ESW-B是邻居,他们之间已建立共享密钥KEYB-1;第二用户终端STA2和ESW-B是邻居,他们之间已建立共享密钥KEYB-2。根据本发明定义,第一用户终端STA1与第二用户终端STA2是邻居用户终端。以第一用户终端STA1发起与第二用户终端STA2的数据保密通信过程为例进行说明,本发明所给出的一种邻居用户终端间保密通信方法包括如下过程:
1)邻居加密交换设备选择过程;
邻居加密交换设备选择过程可通过以下步骤来实现:
1.1)第一用户终端STA1发送“邻居加密交换设备选择请求分组M1”给第二用户终端STA2;该分组M1中包括第一用户终端STA1的邻居加密交换设备的信息列表;
1.2)第二用户终端STA2收到“邻居加密交换设备选择请求分组M1”后,查看自己的邻居加密交换设备列表,选择一个和第一用户终端STA1共有的邻居加密交换设备,构造“邻居加密交换设备选择响应分组M2”发送给第一用户终端STA1;该分组M2中包括第二用户终端STA2选择的和第一用户终端STA1共有的邻居加密交换设备的信息;
1.3)第一用户终端STA1收到“邻居加密交换设备选择响应分组M2”后,提取第二用户终端STA2选择的和自己共有的邻居加密交换设备的信息;
在具体实施时,上述过程1)邻居加密交换设备选择过程中还可以实现第一用户终端STA1和第二用户终端STA2之间保密通信时所采用的加密算法等安全参数套件的协商,具体方法是:第一用户终端STA1构造的“邻居加密交换设备选择请求分组M1”还包括第一用户终端STA1支持的加密算法等安全参数套件列表字段,对应地第二用户终端STA2构造的“邻居加密交换设备选择响应分组M2”中还包括第二用户终端STA2从第一用户终端STA1支持的加密算法等安全参数套件列表中选择的一个第二用户终端STA2也支持的加密算法等安全参数套件字段。通过上述方法,就可以实现第一用户终端STA1和第二用户终端STA2之间对保密通信时所采用的加密算法等安全参数套件的协商,后续第一用户终端STA1和第二用户终端STA2在建立站间密钥后,数据保密通信阶段使用协商确定的加密算法等安全参数套件。
2)站间密钥建立过程;
以第一用户终端STA1和第二用户终端STA2通过1)邻居加密交换设备选择过程选择加密交换设备ESW-B为例进行说明,站间密钥建立过程可通过以下步骤来实现:
2.1)第一用户终端STA1发送“站间密钥请求分组M3”给加密交换设备ESW-B,请求协助建立与STA2之间的站间密钥;该分组M3中包括第二用户终端STA2的标识信息;
2.2)加密交换设备ESW-B收到“站间密钥请求分组M3”后,生成一随机数作为第一用户终端STA1与第二用户终端STA2之间的站间密钥STAKey1-2,构造“站间密钥通告分组M4”发送给第二用户终端STA2;该分组M4中包括第一用户终端STA1的标识信息及用加密交换设备ESW-B与第二用户终端STA2之间的共享密钥KEYB-2进行保护的STAKey1-2的加密信息字段;
2.3)第二用户终端STA2收到“站间密钥通告分组M4”后,利用其与加密交换设备ESW-B之间的密钥KEYB-2解密STAKey1-2的加密信息字段得到STAKey1-2信息,即得到与第一用户终端STA1之间的站间密钥;然后构造“站间密钥通告响应分组M5”发送给加密交换设备ESW-B;
2.4)加密交换设备ESW-B收到“站间密钥通告响应分组M5”后,得知第二用户终端STA2已收到与第一用户终端STA1之间的站间密钥信息,构造“站间密钥响应分组M6”发送给第一用户终端STA1;该分组M6中包括第二用户终端STA2的标识信息及用加密交换设备ESW-B与第一用户终端STA1之间的共享密钥KEYB-1进行保护的STAKey1-2的加密信息字段;
2.5)第一用户终端STA1收到“站间密钥响应分组M6”后,利用其与加密交换设备ESW-B之间的密钥KEYB-1解密STAKey1-2的加密信息字段得到STAKey1-2信息,即得到与第二用户终端STA2之间的站间密钥。
在具体实施时,上述过程2)站间密钥建立过程中各个分组为保证分组消息的完整性,可在分组中携带消息完整性验证码MIC字段,该字段可利用分组的构造方和接收方之间的共享密钥对分组中除MIC字段外其他字段通过杂凑函数计算得到的杂凑值。对应地,分组的接收方在接到分组后,首先验EMIC是否正确,若正确则执行上述消息处理过程,否则就丢弃该分组;
在具体实施时,上述过程2)站间密钥建立过程中还可实现第一用户终端STA1和第二用户终端STA2之间保密通信时所采用的加密算法等安全参数套件的协商,具体方法是:第一用户终端STA1构造的“站间密钥请求分组M3”还包括第一用户终端STA1支持的加密算法等安全参数套件列表字段,对应地加密交换设备ESW-B构造的“站间密钥通告分组M4”中还包括第一用户终端STA1支持的加密算法等安全参数套件列表字段;第二用户终端STA2构造的“站间密钥通告响应分组M5”中还包括第二用户终端STA2从第一用户终端STA1支持的加密算法等安全参数套件列表中选择的一个第二用户终端STA2也支持的加密算法等安全参数套件字段;加密交换设备ESW-B构造的“站间密钥通告响应分组M5”中还包括第二用户终端STA2选择的加密算法等安全参数套件字段。通过上述方法,就可以实现第一用户终端STA1和第二用户终端STA2之间对保密通信时所采用的加密算法等安全参数套件的协商,后续第一用户终端STA1和第二用户终端STA2在建立站间密钥后,数据保密通信阶段使用协商确定的加密算法等安全参数套件。
3)数据保密通信过程;
在通过上述过程2)站间密钥建立过程建立第一用户终端STA1与第二用户终端STA2之间的站间密钥STAKey1-2后,第一用户终端STA1与第二用户终端STA2之间就可以利用该站间密钥进行数据保密通信。从第一用户终端STA1发送到第二用户终端STA2的数据由第一用户终端STA1利用STAKey1-2进行加密发送,第二用户终端STA2收到后利用STAKey1-2进行解密;对应地,从第二用户终端STA2发送到第一用户终端STA1的数据由第二用户终端STA2利用STAKey1-2进行加密发送,第一用户终端STA1收到后利用STAKey1-2进行解密。
一种邻居用户终端间保密通信系统包括互为邻居的用户终端STA1、STA2、第一用户终端STA1和第二用户终端STA2共有的邻居加密交换设备ESW-B以及能接收到第一用户终端STA1与第二用户终端STA2之间的数据包的一般中间设备。其中第一用户终端STA1发送“邻居加密交换设备选择请求分组M1”给第二用户终端STA2,接收第二用户终端STA2发送的“邻居加密交换设备选择响应分组M2”,发送“站间密钥请求分组M3”给ESW-B,接收ESW-B发送的“站间密钥请求响应分组M4”,将发送给第二用户终端STA2的数据包用站间密钥STAKey1-2加密后发送给第二用户终端STA2,将接收到来自第二用户终端STA2的数据包用STAKey1-2解密;第二用户终端STA2接收第一用户终端STA1发送的“邻居加密交换设备选择请求分组M1”,发送“邻居加密交换设备选择响应分组M2”给第一用户终端STA1,接收ESW-B发送的“站间密钥通告分组M4”,发送“站间密钥通告响应分组M5”给ESW-B,将发送给第一用户终端STA1的数据包用站间密钥STAKey1-2加密后发送给第一用户终端STA1,将接收到来自第一用户终端STA1的数据包用STAKey1-2解密;第一用户终端STA1和第二用户终端STA2共有的邻居加密交换设备ESW-B接收第一用户终端STA1发送的“站间密钥请求分组M3”,发送“站间密钥通告分组M4”给第二用户终端STA2,接收第二用户终端STA2发送的“站间密钥通告响应分组M5”,发送“站间密钥响应分组M6”给第一用户终端STA1;一般中间设备是hub或不支持三段式保密通信机制的非加密交换设备,一般中间设备对于第一用户终端STA1与第二用户终端STA2之间的协议数据以及加密数据包直接进行透传转发。
一种邻居用户终端间保密通信系统中一般中间设备可以是一个,也可以是多个。

Claims (10)

1.一种邻居用户终端间保密通信方法,其特征在于:该方法包括以下步骤:
1)选择邻居加密交换设备;
2)建立站间密钥;
3)进行数据保密通信。
2.根据权利要求1所述的邻居用户终端间保密通信方法,其特征在于:所述步骤1)的具体实现方式是:
1.1.1)第一用户终端(STA1)发送邻居加密交换设备选择请求分组(M1)给第二用户终端(STA2);所述邻居加密交换设备选择请求分组中包括第一用户终端(STA1)的邻居加密交换设备的信息列表;
1.1.2)第二用户终端(STA2)收到第一用户终端(STA1)发送的邻居加密交换设备选择请求分组(M1)后,查看第二用户终端(STA2)的邻居加密交换设备列表,选择一个和第一用户终端(STA1)共有的邻居加密交换设备,构造邻居加密交换设备选择响应分组(M2)发送给第一用户终端(STA1);所述邻居加密交换设备选择响应分组(M2)中包括第二用户终端(STA2)选择的和第一用户终端(STA1)共有的邻居加密交换设备的信息;
1.1.3)第一用户终端(STA1)收到第二用户终端(STA2)发送的邻居加密交换设备选择响应分组(M2)后,提取第二用户终端(STA2)选择的和自己共有的邻居加密交换设备的信息。
3.根据权利要求2所述的邻居用户终端间保密通信方法,其特征在于:所述步骤1)的具体实现方式是:
1.2.1)第一用户终端(STA1)发送邻居加密交换设备选择请求分组(M1)给第二用户终端(STA2);所述邻居加密交换设备选择请求分组(M1)中包括第一用户终端(STA1)的邻居加密交换设备的信息列表字段以及第一用户终端(STA1)支持的加密算法安全参数套件列表字段;
1.2.2)第二用户终端(STA2)收到第一用户终端(STA1)发送的邻居加密交换设备选择请求分组(M1)后,根据分组中的第一用户终端(STA1)的邻居加密交换设备列表信息字段以及第一用户终端(STA1)支持的加密算法安全参数套件列表字段,选择一个和第一用户终端(STA1)共有的邻居加密交换设备及一个和第一用户终端(STA1)均支持的加密算法安全参数套件,构造邻居加密交换设备选择响应分组(M2)发送给第一用户终端(STA1);所述邻居加密交换设备选择响应分组(M2)中包括第二用户终端(STA2)选择的和第一用户终端(STA1)共有的邻居加密交换设备的信息以及第二用户终端(STA2)从第一用户终端(STA1)支持的加密算法安全参数套件列表中选择的一个第二用户终端(STA2)也支持的加密算法等安全参数套件字段;
1.2.3)第一用户终端(STA1)收到第二用户终端(STA2)发送的邻居加密交换设备选择响应分组(M2)后,提取第二用户终端(STA2)选择的和自己共有的邻居加密交换设备的信息以及第二用户终端(STA2)选择双方均支持的加密算法安全参数套件。
4.根据权利要求2或3所述的邻居用户终端间保密通信方法,其特征在于:所述步骤2)的具体实现方式是:
2.1.1)第一用户终端(STA1)发送站间密钥请求分组(M3)给加密交换设备(ESW-B),请求协助建立与第二用户终端(STA2)之间的站间密钥;所述站间密钥请求分组(M3)中包括第二用户终端(STA2)的标识信息;
2.1.2)加密交换设备(ESW-B)收到第一用户终端(STA1)发送的站间密钥请求分组(M3)后,生成一随机数作为第一用户终端(STA1)与第二用户终端(STA2)之间的站间密钥STAKey1-2,构造站间密钥通告分组(M4)发送给第二用户终端(STA2);所述站间密钥通告分组(M4)中包括第一用户终端(STA1)的标识信息及用加密交换设备(ESW-B)与第二用户终端(STA2)之间的共享密钥KEYB-2进行保护的STAKey1-2的加密信息字段;
2.1.3)第二用户终端(STA2)收到加密交换设备(ESW-B)发送的站间密钥通告分组(M4)后,利用第二用户终端(STA2)与加密交换设备(ESW-B)之间的密钥KEYB-2解密STAKey1-2的加密信息字段得到STAKey1-2信息,即得到与第一用户终端(STA1)之间的站间密钥;然后构造站间密钥通告响应分组(M5)发送给加密交换设备(ESW-B);所述站间密钥通告响应分组(M5)中包括第一用户终端(STA1)的标识信息;
2.1.4)加密交换设备(ESW-B)收到第二用户终端(STA2)发送的站间密钥通告响应分组(M5)后,得知第二用户终端(STA2)已收到与第一用户终端(STA1)之间的站间密钥信息,构造站间密钥响应分组(M6)发送给第一用户终端(STA1);所述站间密钥响应分组(M6)中包括第二用户终端(STA2)的标识信息及用加密交换设备(ESW-B)与第一用户终端(STA1)之间的共享密钥KEYB-1进行保护的STAKey1-2的加密信息字段;
2.1.5)第一用户终端(STA1)收到加密交换设备(ESW-B)发送的站间密钥响应分组(M6)后,利用第一用户终端(STA1)与加密交换设备(ESW-B)之间的密钥KEYB-1解密STAKey1-2的加密信息字段得到STAKey1-2信息,即得到与第二用户终端(STA2)之间的站间密钥。
5.根据权利要求4所述的邻居用户终端间保密通信方法,其特征在于:所述步骤3)的具体实现方式是:通过步骤2)站间密钥建立过程建立第一用户终端(STA1)与第二用户终端(STA2)之间的站间密钥STAKey1-2后,第一用户终端(STA1)与第二用户终端(STA2)之间就可以利用该站间密钥进行数据保密通信:从第一用户终端(STA1)发送到第二用户终端(STA2)的数据由第一用户终端(STA1)利用STAKey1-2进行加密发送,第二用户终端(STA2)收到后利用STAKey1-2进行解密;从第二用户终端(STA2)发送到第一用户终端(STA1)的数据由第二用户终端(STA2)利用STAKey1-2进行加密发送,第一用户终端(STA1)收到后利用STAKey1-2进行解密。
6.根据权利要求2或3所述的邻居用户终端间保密通信方法,其特征在于:所述步骤2)的具体实现方式是:
2.2.1)第一用户终端(STA1)发送站间密钥请求分组(M3)给加密交换设备(ESW-B),请求协助建立与第二用户终端(STA2)之间的站间密钥;所述站间密钥请求分组(M3)中包括第二用户终端(STA2)的标识信息以及消息完整性验证码MIC字段,所述消息完整性验证码MIC1字段是第一用户终端(STA1)利用与加密交换设备(ESW-B)之间的共享密钥KEYB-1对分组中除MIC1字段外其他字段通过杂凑函数计算得到的杂凑值;
2.2.2)加密交换设备(ESW-B)收到第一用户终端(STA1)发送的站间密钥请求分组(M3)后,首先验证消息完整性验证码MIC1字段是否正确,若不正确,则丢弃该分组,若正确,则生成一随机数作为第一用户终端(STA1)与第二用户终端(STA2)之间的站间密钥STAKey1-2,构造站间密钥通告分组(M4)发送给第二用户终端(STA2);所述站间密钥通告分组(M4)中包括第一用户终端(STA1)的标识信息及用加密交换设备(ESW-B)与第二用户终端(STA2)之间的共享密钥KEYB-2进行保护的STAKey1-2的加密信息字段以及消息完整性验证码MIC2字段;所述消息完整性验证码MIC2字段是加密交换设备(ESW-B)利用与第二用户终端(STA2)之间的共享密钥KEYB-2对分组中除MIC2字段外其他字段通过杂凑函数计算得到的杂凑值;
2.2.3)第二用户终端(STA2)收到加密交换设备ESW-B发送的站间密钥通告分组(M4)后,首先验证消息完整性验证码MIC2字段是否正确,若不正确,则丢弃该分组;若正确,则利用第二用户终端(STA2)与加密交换设备(ESW-B)之间的密钥KEYB-2解密STAKey1-2的加密信息字段得到STAKey1-2信息,即得到与第一用户终端(STA1)之间的站间密钥;然后构造站间密钥通告响应分组(M5)发送给加密交换设备(ESW-B);所述站间密钥通告响应分组(M5)中包括第一用户终端(STA1)的标识信息及消息完整性验证码MIC3字段;所述消息完整性验证码MIC3字段是第二用户终端(STA2)利用与加密交换设备(ESW-B)之间的共享密钥KEYB-2对分组中除MIC3字段外其他字段通过杂凑函数计算得到的杂凑值;
2.2.4)加密交换设备(ESW-B)收到第二用户终端(STA2)发送的站间密钥通告响应分组(M5)后,首先验证消息完整性验证码MIC3字段是否正确,若不正确,则丢弃该分组;若正确,则得知第二用户终端(STA2)已收到与第一用户终端(STA1)之间的站间密钥信息,构造站间密钥响应分组(M6)发送给第一用户终端(STA1);所述站间密钥响应分组(M6)中包括第二用户终端(STA2)的标识信息及用加密交换设备(ESW-B)与第一用户终端(STA1)之间的共享密钥KEYB-1进行保护的STAKey1-2的加密信息字段以及消息完整性验证码MIC4字段;所述消息完整性验证码MIC4字段是加密交换设备(ESW-B)利用与第一用户终端(STA1)之间的共享密钥KEYB-1对分组中除MIC4字段外其他字段通过杂凑函数计算得到的杂凑值;
2.2.5)第一用户终端(STA1)收到加密交换设备(ESW-B)发送的站间密钥响应分组(M6)后,首先验证消息完整性验证码MIC4字段是否正确,若不正确,则丢弃该分组;若正确,则利用第一用户终端(STA1)与加密交换设备(ESW-B)之间的密钥KEYB-1解密STAKey1-2的加密信息字段得到STAKey1-2信息,即得到与第二用户终端(STA2)之间的站间密钥。
7.根据权利要求2所述的邻居用户终端间保密通信方法,其特征在于:所述步骤2)的具体实现方式是:
2.3.1)第一用户终端(STA1)发送站间密钥请求分组(M3)给加密交换设备(ESW-B),请求协助建立与第二用户终端(STA2)之间的站间密钥;所述站间密钥请求分组(M3)中包括第二用户终端(STA2)的标识信息以及第一用户终端(STA1)支持的加密算法安全参数套件列表字段;
2.3.2)加密交换设备(ESW-B)收到第一用户终端(STA1)发送的站间密钥请求分组(M3)后,生成一随机数作为第一用户终端(STA1)与第二用户终端(STA2)之间的站间密钥STAKey1-2,构造站间密钥通告分组(M4)发送给第二用户终端(STA2);所述站间密钥通告分组(M4)中包括第一用户终端(STA1)的标识信息及用加密交换设备(ESW-B)与第二用户终端(STA2)之间的共享密钥KEYB-2进行保护的STAKey1-2的加密信息字段以及第一用户终端(STA1)支持的加密算法安全参数套件列表字段;
2.3.3)第二用户终端(STA2)收到加密交换设备(ESW-B)发送的站间密钥通告分组(M4)后,利用第二用户终端(STA2)与加密交换设备(ESW-B)之间的密钥KEYB-2解密STAKey1-2的加密信息字段得到STAKey1-2信息,即得到与第一用户终端(STA1)之间的站间密钥;然后构造站间密钥通告响应分组(M5)发送给加密交换设备(ESW-B);所述站间密钥通告响应分组(M5)包括第一用户终端(STA1)的标识信息及第二用户终端(STA2)从第一用户终端(STA1)支持的加密算法安全参数套件列表中选择的一个第二用户终端(STA2)也支持的加密算法安全参数套件字段;
2.3.4)加密交换设备(ESW-B)收到第二用户终端(STA2)发送的站间密钥通告响应分组(M5)后,得知第二用户终端(STA2)已收到与第一用户终端(STA1)之间的站间密钥信息,构造站间密钥响应分组(M6)发送给第一用户终端(STA1);所述站间密钥响应分组(M6)中包括第二用户终端(STA2)的标识信息及用加密交换设备ESW-B与第一用户终端(STA1)之间的共享密钥KEYB-1进行保护的STAKey1-2的加密信息以及第二用户终端(STA2)选择的加密算法安全参数套件字段;
2.3.5)第一用户终端(STA1)收到加密交换设备(ESW-B)发送的站间密钥响应分组(M6)后,利用第一用户终端(STA1)与加密交换设备(ESW-B)之间的密钥KEYB-1解密STAKey1-2的加密信息字段得到STAKey1-2信息,即得到与第二用户终端(STA2)之间的站间密钥。
8.根据权利要求2所述的邻居用户终端间保密通信方法,其特征在于:所述步骤2)的具体实现方式是:
2.4.1)第一用户终端(STA1)发送站间密钥请求分组(M3)给加密交换设备(ESW-B),请求协助建立与第二用户终端(STA2)之间的站间密钥;所述站间密钥请求分组(M3)中包括第二用户终端(STA2)的标识信息、消息完整性验证码MIC1字段以及第一用户终端(STA1)支持的加密算法安全参数套件列表字段;所述消息完整性验证码MIC1字段是第一用户终端(STA1)利用与加密交换设备(ESW-B)之间的共享密钥KEYB-1对分组中除MIC1字段外其他字段通过杂凑函数计算得到的杂凑值;
2.4.2)加密交换设备(ESW-B)收到第一用户终端(STA1)发送的站间密钥请求分组(M3)后,首先验证消息完整性验证码MIC字段是否正确,若不正确,则丢弃该分组;若正确,则生成一随机数作为第一用户终端(STA1)与第二用户终端(STA2)之间的站间密钥STAKey1-2,构造站间密钥通告分组(M4)发送给第二用户终端(STA2);所述站间密钥通告分组(M4)中包括第一用户终端(STA1)的标识信息及用加密交换设备(ESW-B)与第二用户终端(STA2)之间的共享密钥KEYB-2进行保护的STAKey1-2的加密信息字段、消息完整性验证码MIC2字段以及第一用户终端(STA1)支持的加密算法安全参数套件列表字段;所述消息完整性验证码MIC2字段是加密交换设备(ESW-B)利用与第二用户终端(STA2)之间的共享密钥KEYB-2对分组中除MIC2字段外其他字段通过杂凑函数计算得到的杂凑值;
2.4.3)第二用户终端(STA2)收到加密交换设备(ESW-B)发送的站间密钥通告分组(M4)后,首先验证消息完整性验证码MIC2字段是否正确,若不正确,则丢弃该分组;若正确,则利用第二用户终端(STA2)与加密交换设备(ESW-B)之间的密钥KEYB-2解密STAKey1-2的加密信息字段得到STAKey1-2信息,即得到与第一用户终端(STA1)之间的站间密钥;然后构造站间密钥通告响应分组(M5)发送给加密交换设备(ESW-B);所述站间密钥通告响应分组(M5)包括第一用户终端(STA1)的标识信息、第二用户终端(STA2)从第一用户终端(STA1)支持的加密算法安全参数套件列表中选择的一个第二用户终端(STA2)也支持的加密算法安全参数套件字段及消息完整性验证码MIC3字段;所述消息完整性验证码MIC3字段是第二用户终端(STA2)利用与加密交换设备(ESW-B)之间的共享密钥KEYB-2对分组中除MIC3字段外其他字段通过杂凑函数计算得到的杂凑值;
2.4.4)加密交换设备ESW-B收到第二用户终端(STA2)发送的站间密钥通告响应分组(M5)后,首先验证消息完整性验证码MIC3字段是否正确,若不正确,则丢弃该分组;若正确,则得知第二用户终端(STA2)已收到与第一用户终端(STA1)之间的站间密钥信息,构造站间密钥响应分组(M6)发送给第一用户终端(STA1);所述站间密钥响应分组(M6)中包括第二用户终端(STA2)的标识信息及用加密交换设备(ESW-B)与第一用户终端(STA1)之间的共享密钥KEYB-1进行保护的STAKey1-2的加密信息字段、消息完整性验证码MIC字段以及第二用户终端(STA2)选择的加密算法安全参数套件字段及消息完整性验证码MIC4字段;所述消息完整性验证码MIC4字段是加密交换设备(ESW-B)利用与第一用户终端(STA1)之间的共享密钥KEYB-1对分组中除MIC4字段外其他字段通过杂凑函数计算得到的杂凑值;;
2.4.5)第一用户终端(STA1)收到加密交换设备(ESW-B)发送的站间密钥响应分组(M6)后,首先验证消息完整性验证码MIC4字段是否正确,若不正确,则丢弃该分组;若正确,则利用第一用户终端(STA1)与加密交换设备(ESW-B)之间的密钥KEYB-1解密STAKey1-2的加密信息字段得到STAKey1-2信息,即得到与第二用户终端(STA2)之间的站间密钥。
9.根据权利要求7或8所述的邻居用户终端间保密通信方法,其特征在于:所述步骤3)的具体实现方式是:通过步骤2)站间密钥建立过程建立第一用户终端(STA1)与第二用户终端(STA2)之间的站间密钥STAKey1-2后,第一用户终端(STA1)与第二用户终端(STA2)之间就可以利用该站间密钥进行数据保密通信:从第一用户终端(STA1)发送到第二用户终端(STA2)的数据由第一用户终端(STA1)利用STAKey1-2进行加密发送,第二用户终端(STA2)收到后利用STAKey1-2进行解密;从第二用户终端(STA2)发送到第一用户终端(STA1)的数据由第二用户终端(STA2)利用STAKey1-2进行加密发送,第一用户终端(STA1)收到后利用STAKey1-2进行解密。
10.一种邻居用户终端间保密通信系统,其特征在于:所述系统包括互为邻居的第一用户终端(STA1)以及第二用户终端(STA2)、第一用户终端(STA1)和第二用户终端(STA2)共有的邻居加密交换设备(ESW-B)以及能接收到第一用户终端(STA1)与第二用户终端(STA2)之间的数据包的一般中间设备;所述第一用户终端(STA1)发送邻居加密交换设备选择请求分组(M1)给第二用户终端(STA2);第二用户终端(STA2)收到第一用户终端(STA1)发送的邻居加密交换设备选择请求分组(M1)后,构造邻居加密交换设备选择响应分组(M2)发送给第一用户终端(STA1);所述第一用户终端(STA1)发送站间密钥请求分组(M3)给加密交换设备(ESW-B);所述加密交换设备(ESW-B)收到第一用户终端(STA1)发送的站间密钥请求分组(M3)后,构造站间密钥通告分组(M4)发送给第二用户终端(STA2);所述第二用户终端(STA2)收到加密交换设备(ESW-B)发送的站间密钥通告分组(M4)后,构造站间密钥通告响应分组(M5)发送给加密交换设备(ESW-B);所述加密交换设备(ESW-B)收到第二用户终端(STA2)发送的站间密钥通告响应分组(M5)后,构造站间密钥响应分组(M6)发送给第一用户终端(STA1);所述第一用户终端(STA1)接收加密交换设备(ESW-B)发送的站间密钥响应分组(M6)。
CN2010102519965A 2010-08-12 2010-08-12 一种邻居用户终端间保密通信方法及系统 Active CN101917272B (zh)

Priority Applications (4)

Application Number Priority Date Filing Date Title
CN2010102519965A CN101917272B (zh) 2010-08-12 2010-08-12 一种邻居用户终端间保密通信方法及系统
PCT/CN2011/073367 WO2012019466A1 (zh) 2010-08-12 2011-04-27 邻居用户终端间保密通信方法、终端、交换设备及系统
EP11816025.8A EP2605447B1 (en) 2010-08-12 2011-04-27 Secret communication method, terminal, switching equipment and system between neighboring user terminals
US13/814,899 US8850190B2 (en) 2010-08-12 2011-04-27 Secret communication method and system between neighboring user terminals, terminal, switching equipment

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN2010102519965A CN101917272B (zh) 2010-08-12 2010-08-12 一种邻居用户终端间保密通信方法及系统

Publications (2)

Publication Number Publication Date
CN101917272A true CN101917272A (zh) 2010-12-15
CN101917272B CN101917272B (zh) 2012-07-18

Family

ID=43324670

Family Applications (1)

Application Number Title Priority Date Filing Date
CN2010102519965A Active CN101917272B (zh) 2010-08-12 2010-08-12 一种邻居用户终端间保密通信方法及系统

Country Status (4)

Country Link
US (1) US8850190B2 (zh)
EP (1) EP2605447B1 (zh)
CN (1) CN101917272B (zh)
WO (1) WO2012019466A1 (zh)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102130768A (zh) * 2010-12-20 2011-07-20 西安西电捷通无线网络通信股份有限公司 一种具有链路层加解密能力的终端设备及其数据处理方法
WO2012019466A1 (zh) * 2010-08-12 2012-02-16 西安西电捷通无线网络通信股份有限公司 邻居用户终端间保密通信方法、终端、交换设备及系统

Families Citing this family (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104883677B (zh) 2014-02-28 2018-09-18 阿里巴巴集团控股有限公司 一种近场通讯设备间通讯的连接方法、装置和系统
CN105814837B (zh) * 2014-11-19 2020-09-08 华为技术有限公司 一种定向统计流量的方法、设备及系统
CN106162618A (zh) * 2015-04-23 2016-11-23 中兴通讯股份有限公司 一种d2d业务组播的认证方法、装置和系统
US11734458B2 (en) * 2019-02-26 2023-08-22 Intel Corporation Extensible layered trusted computing base for computing devices
US11652616B2 (en) 2020-02-26 2023-05-16 International Business Machines Corporation Initializing a local key manager for providing secure data transfer in a computing environment
US11502834B2 (en) 2020-02-26 2022-11-15 International Business Machines Corporation Refreshing keys in a computing environment that provides secure data transfer
US11546137B2 (en) * 2020-02-26 2023-01-03 International Business Machines Corporation Generation of a request to initiate a secure data transfer in a computing environment
US11405215B2 (en) 2020-02-26 2022-08-02 International Business Machines Corporation Generation of a secure key exchange authentication response in a computing environment
US11310036B2 (en) 2020-02-26 2022-04-19 International Business Machines Corporation Generation of a secure key exchange authentication request in a computing environment
US11489821B2 (en) 2020-02-26 2022-11-01 International Business Machines Corporation Processing a request to initiate a secure data transfer in a computing environment
US11184160B2 (en) 2020-02-26 2021-11-23 International Business Machines Corporation Channel key loading in a computing environment
CN112218171B (zh) * 2020-09-15 2022-07-19 深圳数字电视国家工程实验室股份有限公司 基于接口的数据传输方法、电子设备及存储介质
US11502830B2 (en) * 2020-10-12 2022-11-15 Kyndryl, Inc. Ultrasound split key transmission for enhanced security

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1406005A (zh) * 2001-09-17 2003-03-26 华为技术有限公司 用于网络区域节点间安全通信的安全联盟(sa)产生方法
WO2006108907A2 (en) * 2005-04-14 2006-10-19 Nokia Corporation Utilizing generic authentication architecture for mobile internet protocol key distribution
CN101005359A (zh) * 2006-01-18 2007-07-25 华为技术有限公司 一种实现终端设备间安全通信的方法及装置
CN101800943A (zh) * 2010-03-31 2010-08-11 西安西电捷通无线网络通信股份有限公司 一种适合组呼系统的组播密钥协商方法及系统
CN101808286A (zh) * 2010-03-16 2010-08-18 西安西电捷通无线网络通信股份有限公司 一种适合集群系统的组播密钥协商方法及系统

Family Cites Families (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP4551202B2 (ja) * 2004-12-07 2010-09-22 株式会社日立製作所 アドホックネットワークの認証方法、および、その無線通信端末
US7936878B2 (en) * 2006-04-10 2011-05-03 Honeywell International Inc. Secure wireless instrumentation network system
CN101247642B (zh) 2007-02-14 2012-12-19 华为技术有限公司 安全邻居发现方法、网络设备和移动台
CN101741547B (zh) * 2009-12-18 2012-05-23 西安西电捷通无线网络通信股份有限公司 节点间保密通信方法及系统
CN101741548B (zh) 2009-12-18 2012-02-01 西安西电捷通无线网络通信股份有限公司 交换设备间安全连接的建立方法及系统
CN101729249B (zh) * 2009-12-21 2011-11-30 西安西电捷通无线网络通信股份有限公司 用户终端之间安全连接的建立方法及系统
CN101917272B (zh) 2010-08-12 2012-07-18 西安西电捷通无线网络通信股份有限公司 一种邻居用户终端间保密通信方法及系统

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1406005A (zh) * 2001-09-17 2003-03-26 华为技术有限公司 用于网络区域节点间安全通信的安全联盟(sa)产生方法
WO2006108907A2 (en) * 2005-04-14 2006-10-19 Nokia Corporation Utilizing generic authentication architecture for mobile internet protocol key distribution
CN101005359A (zh) * 2006-01-18 2007-07-25 华为技术有限公司 一种实现终端设备间安全通信的方法及装置
CN101808286A (zh) * 2010-03-16 2010-08-18 西安西电捷通无线网络通信股份有限公司 一种适合集群系统的组播密钥协商方法及系统
CN101800943A (zh) * 2010-03-31 2010-08-11 西安西电捷通无线网络通信股份有限公司 一种适合组呼系统的组播密钥协商方法及系统

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2012019466A1 (zh) * 2010-08-12 2012-02-16 西安西电捷通无线网络通信股份有限公司 邻居用户终端间保密通信方法、终端、交换设备及系统
US8850190B2 (en) 2010-08-12 2014-09-30 China Iwncomm Co., Ltd. Secret communication method and system between neighboring user terminals, terminal, switching equipment
CN102130768A (zh) * 2010-12-20 2011-07-20 西安西电捷通无线网络通信股份有限公司 一种具有链路层加解密能力的终端设备及其数据处理方法
CN102130768B (zh) * 2010-12-20 2012-11-07 西安西电捷通无线网络通信股份有限公司 一种具有链路层加解密能力的终端设备及其数据处理方法
US9009466B2 (en) 2010-12-20 2015-04-14 China Iwncomm Co., Ltd. Terminal device capable of link layer encryption and decryption and data processing method thereof

Also Published As

Publication number Publication date
EP2605447B1 (en) 2020-07-22
EP2605447A1 (en) 2013-06-19
US20130159706A1 (en) 2013-06-20
US8850190B2 (en) 2014-09-30
WO2012019466A1 (zh) 2012-02-16
CN101917272B (zh) 2012-07-18
EP2605447A4 (en) 2017-08-09

Similar Documents

Publication Publication Date Title
CN101917272B (zh) 一种邻居用户终端间保密通信方法及系统
CN101741547B (zh) 节点间保密通信方法及系统
KR101492179B1 (ko) 사용자 단말기들 사이의 보안 연결을 확립하기 위한 방법 및 시스템
US8611539B2 (en) Group key security in a multihop relay wireless network
CN107317674A (zh) 密钥分发、认证方法,装置及系统
WO2010077910A2 (en) Enhanced security for direct link communications
CN102035845B (zh) 支持链路层保密传输的交换设备及其数据处理方法
CN101641935B (zh) 配电系统安全接入通信系统和方法
CN103179558A (zh) 集群系统组呼加密实现方法及系统
CN101854244B (zh) 一种三段式安全网络架构建立和保密通信方法及其系统
CN101841413B (zh) 一种端到端安全连接的建立方法及系统
CN101741548B (zh) 交换设备间安全连接的建立方法及系统
CN101442749B (zh) 基于wapi的无线网状网的认证方法
CN104883372A (zh) 一种基于无线自组织网的防欺骗和抗攻击的数据传输方法
CN101635922B (zh) 无线网状网络安全通信方法
CN101867930A (zh) 无线Mesh网络骨干节点切换快速认证方法
CN101841547B (zh) 一种端到端共享密钥的建立方法及系统
Rong et al. Wireless network security
CN101834863B (zh) 一种局域网节点间安全连接建立方法及系统
CN101814987B (zh) 一种节点间密钥的建立方法及系统
SM et al. IDENTITY BASED ATTACK DETECTION AND MANIFOLD ADVERSARIES LOCALIZATION IN WIRELESS NETWORKS.
CN101964708A (zh) 一种节点间会话密钥的建立系统及方法
CN101834862A (zh) 一种节点间安全连接建立方法及系统
CN101902324B (zh) 一种节点间通信密钥的建立方法及系统
CN101964802B (zh) 集中式安全连接建立系统及方法

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
C14 Grant of patent or utility model
GR01 Patent grant