WO2011134294A1 - 一种节点间安全连接建立方法及系统 - Google Patents

一种节点间安全连接建立方法及系统 Download PDF

Info

Publication number
WO2011134294A1
WO2011134294A1 PCT/CN2011/070515 CN2011070515W WO2011134294A1 WO 2011134294 A1 WO2011134294 A1 WO 2011134294A1 CN 2011070515 W CN2011070515 W CN 2011070515W WO 2011134294 A1 WO2011134294 A1 WO 2011134294A1
Authority
WO
WIPO (PCT)
Prior art keywords
key
switching device
urce
packet
field
Prior art date
Application number
PCT/CN2011/070515
Other languages
English (en)
French (fr)
Inventor
李琴
曹军
铁满霞
葛莉
Original Assignee
西安西电捷通无线网络通信股份有限公司
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 西安西电捷通无线网络通信股份有限公司 filed Critical 西安西电捷通无线网络通信股份有限公司
Publication of WO2011134294A1 publication Critical patent/WO2011134294A1/zh

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks

Definitions

  • the present invention relates to the field of wired LAN security applications in information security technologies, and in particular, to a method and system for establishing a secure connection between nodes.
  • Wired LANs are generally broadcast networks. Data sent by one node can be received by other nodes. Each node on the network shares a channel, which brings great security risks to the network. As long as the attacker accesses the network for monitoring, it can capture all the packets on the network.
  • the LAN of the existing national standard GB/T 15629.3 (corresponding to IEEE 802.3 or ISO/IEC 8802-3) does not provide a data privacy method, which makes it easy for an attacker to steal key information.
  • IEEE 802.1AE provides a data encryption protocol for protecting Ethernet and uses hop-by-hop encryption security measures to securely communicate data between network nodes.
  • this security measure requires the switching device to decrypt, encrypt, and forward each data packet that needs to be forwarded, which undoubtedly brings a huge computational burden to the switching device in the local area network, and is likely to cause an attacker to exchange equipment. The attack; and the delay of the data packet from the sending node to the destination node is also increased, which reduces the network transmission efficiency.
  • the topology of wired LAN is more complicated.
  • the number of nodes involved (here, terminals and switching devices are collectively referred to as nodes) is also relatively large, so the data communication in the network is more complicated. If a static key pair is assigned between local area network nodes to establish a secure connection between nodes, the allocation and update process is extremely complicated.
  • the present invention provides a method and system for establishing a secure connection between nodes.
  • the technical solution of the present invention is:
  • the present invention provides a method for establishing a secure connection between nodes, which is special in that: the method includes the following steps: 1) Send the source node N s . Urce sends a key request packet to the first switching device SW FlKt ;
  • the first switching device SW FlKt sends a temporary key notification packet to the second switching device SW Last ;
  • the second switching device SWh St sends a key announcement packet to the destination node N Destination,
  • Destination node N Destinatl . n transmitting a key notification response packet to the second switching device SW Last ;
  • the second switching device SWh St sends a temporary key notification response packet to the first switching device
  • the first switching device sw FlKt sends a key response packet to the transmitting source node N s . Urce ;
  • the present invention also provides a system for establishing a secure connection between nodes, which is special in that: the system includes transmitting a key request packet to the first switching device SW F1Kt , and receiving a key response packet sent by the first switching device SW First The source node N s . Urce ; Receive the source node N s . a key request packet sent by urce , a temporary key notification packet sent to the second switching device SW ⁇ t,
  • the sent temporary key advertises the response packet to the sending source node N s .
  • urce transmits a key response packet to the first switching device SW FlKt; receiving a first switching device SW FlKt temporary key announcement packet transmitted to the destination node N Destinatl. n Send a key announcement packet and receive the destination node N Destinatl . n key announcement response packet sent, sending the second temporary key announcement response switching device SW Last packet to the first switching device SW FlKt; receiving a second switching device SWL ast key announcement packet transmitted to the second switching device SWL ast sends the key notification response packet to the destination node N Destinatl . n .
  • the present invention further provides a network node, which is characterized in that: the network node is a terminal device or a switching device, and the network node includes:
  • a sending module configured to: when the network node is a sending source node N s .
  • the transmission key request packet is sent to the first switching device SW FlKt , and the source node N s is transmitted.
  • the urce requests the first switching device SW F1Kt as the transmitting source node N s by the key request packet.
  • the urce establishes a shared key with the destination node N Destination; and the receiving module is configured to: when the network node is the sending source node N s .
  • the key response packet sent by the first switching device SW FlKt is received, and the random number of the secret notification in the key response packet is extracted as the transmission source node N s .
  • Urce establishes a shared key with the destination node N Destination;
  • the response module is configured to: when the network node is the destination node, receive the key advertisement packet sent by the second switching device SWh St , and extract a random number of the secret advertisement in the key advertisement packet as the transmission source node N s .
  • urce establish the destination node N Destmatl. Shared key between n ; and construct key notification Destination node N Destinatl .
  • n informs the second switching device SWh St that the destination node N Destination has received the transmission source node N s by the key advertisement response packet.
  • Urce is established with the destination node N Destinatl . The shared key between n .
  • An advantage of the present invention is: The source node N s is transmitted. Key between 13 ⁇ 4 ⁇ 1 ⁇ urce and the destination node is temporarily generated by a switching device SW FlKt, and are notified to the transmission source node N s. urce and destination nodes N Destmatl. n . The process of establishing and updating the shared key between nodes may be sent by the source node N s . Urce 's send key request packet is triggered. The setup and update process is flexible, eliminating the need for administrators to deploy shared static keys between nodes on the entire network.
  • FIG. 1 is a schematic diagram of a process of establishing a shared key between nodes according to the present invention.
  • the node N refers to a user terminal STA (STAtion) and a switching device SW (SWitch) in a local area network.
  • STAtion user terminal STA
  • SW switching device
  • Physical layer devices such as hubs in the local area network are not handled as nodes.
  • Urce and destination node N Destinatl To send the source node N s .
  • Urce and destination node N Destinatl For example, a secure connection between n is established, and the switching device SW FlKt refers to the slave source node N s .
  • the source node N s is transmitted.
  • Urce has established a secure connection with the switching device SW First .
  • the shared key is recorded as KEY S and the destination node N Destinatl .
  • n has established a secure connection with the switching device SW Last , the shared key is recorded as KEY D , the switching device SW FlKt has established a secure connection with the switching device SW Last , and the shared key is recorded as KEY F .
  • a method for establishing a secure connection between nodes is a source node N s .
  • the specific scheme for establishing a secure connection between urce and destination node ⁇ is as follows:
  • Urce sends a key request packet to the switching device SW First ;
  • the key request packet includes: ID Destination
  • IDoestination field Indicates the destination node N Destinati . The identity of n ;
  • the switching device SW FlKt sends a temporary key announcement packet to the switching device SW Last ;
  • the temporary key announcement packet includes:
  • Urce field Indicates the source node N s . Urce logo;
  • IDoestination field Indicates the destination node N Destinati . The identity of n ;
  • E Key i field data indicating key data, encrypted by the switching device SW First with the key KEY F between the switching device SW Last and the shared key KEY;
  • MIC1 field indicates the message integrity verification code, and the temporary key advertised packet constructed by the switching device SW FlKt with the key KEY F between the switching device SW Last and the other fields except the field is calculated by the hash function. value.
  • the switching device SW ⁇ t sends a key notification packet to the destination node N Destination,
  • the construction key announcement packet is sent to the destination node N Destmatl . n .
  • the key announcement packet includes:
  • Urce field Indicates the source node N s . Urce logo; E key2 field: indicates key data data, which is used by the switching device SW ⁇ t and the destination node N Destinatl .
  • MIC2 field Indicates the message integrity verification code, which is used by the switching device SW Last with the destination node N Destmatl .
  • the key KEY D between n is the hash value calculated by the hash function for the other fields outside the field in the key advertisement packet.
  • the key notification response packet includes:
  • Urce field Indicates the source node N s .
  • the identifier of urce whose value is the same as the ID s in the received key notification packet.
  • MIC3 field indicates the message integrity verification code, used by the destination node N ⁇ to ⁇ j and the switching device
  • the key KEY D between SWh St is the hash value calculated by the hash function for the other fields outside the field in the key notification response packet.
  • the switching device SWh St sends a temporary key notification response packet to the switching device SW FlKt ;
  • the temporary key notification response packet includes: ID Source ID Destination MIC4
  • Urce field Indicates the source node N s . Urce logo;
  • IDoestination field Indicates the destination node N Destinati . The identity of n ;
  • MIC4 field indicates a message integrity verification code, which is calculated by the switching device SW Last using the key KEY between the switching device 8 and the switching device 8 ⁇ ⁇ ⁇ ⁇ ⁇ ⁇ ⁇ ⁇ ⁇ Hash value.
  • the switching device SW FlKt sends a key response packet to the transmitting source node N s . Urce ;
  • the key response packet includes:
  • IDoestination field Indicates the destination node N Destinati . The identity of n ;
  • E key3 field indicates key data data, which is used by the switching device SW FlKt and the source node N s .
  • MIC5 field indicates the message integrity verification code, which is used by the switching device SW FlKt and the source node N s .
  • KEYs urce key between the key hash values of other fields in the packet field present outside the hash function calculated response.
  • the source node N s is transmitted.
  • Urce can also generate a value as the identifier of the key establishment process between the nodes.
  • the identifier can be a clock, a sequence number or a random number, and is carried in each message, and the switching device SWh St receives the key accordingly.
  • the notification response packet is verified, it is required to verify whether the identifier value in the packet is consistent with the identifier value in the temporary key advertisement packet received before; the switching device SW FlKt needs to verify the identifier value in the packet and receive it before receiving the temporary key notification response packet. Whether the identity value in the key request packet is consistent; the source node N s is sent. After receiving the key response packet, urce needs to verify whether the identity value in the packet is consistent with the identity value in the key request packet sent before.
  • the source node N s may also be used.
  • Urce switching equipment
  • the SW FlKt and the switching device SWh St independently generate a value (which may be a clock, a sequence number or a random number) as a message freshness identifier when transmitting the key request packet, the temporary key advertisement packet, and the key advertisement packet respectively.
  • a value which may be a clock, a sequence number or a random number
  • the switch device SW Last receives the key notification response packet, it is required to verify whether the identifier value in the packet is consistent with the identifier value in the previously transmitted key advertisement packet; the switching device SW FlKt receives the temporary key notification.
  • the source node N s is sent.
  • urce needs to verify whether the identity value in the packet is consistent with the identity value in the key request packet sent before.
  • the present invention also provides a system for establishing a secure connection between nodes, comprising : transmitting a key request packet to the switching device SW F1Kt , and transmitting a source node of the key response packet sent by the switching device SW F1Kt
  • the key notification response packet sent by n the switching device SWh St transmitting the temporary key advertisement response packet to the switching device SW FlKt ; receiving the key advertisement packet sent by the switching device SWh St , and transmitting the key notification response to the switching device SW ⁇ t Grouped destination node N Destination °
  • the present invention further provides a network node, where the network node may be a terminal device or a switching device, and the network node may include: a sending module, configured to: when the network node is a sending source node N s .
  • the transmission key request packet is sent to the switching device SW FlKt , and the source node N s is transmitted.
  • urce key request packet by switching device SW Firet request transmission source node N s.
  • Urce establishes a shared key with the destination node N Destination;
  • a receiving module configured to: when the network node is a sending source node N s .
  • the key response packet sent by the switching device SW FlKt is received, and the random number of the secret notification in the key response packet is extracted as the transmission source node N s .
  • Urce establishes a shared key with the destination node N Destination;
  • a response module configured to: when the network node is a destination node N Destmatl .
  • the key notification packet sent by the switching device SWh St is received, and the random number of the secret advertisement in the key advertisement packet is extracted as the transmission source node N s .
  • urce establish the destination node N Destmatl. The shared key between n ; and constructs a key announcement response packet sent to the switching device SW Last , the destination node N Destinatl .
  • n SW Last packet switching device to inform the destination node N Destination has been received by the source node N s key announcement response.
  • Urce establish and destination node
  • the network node When the network node is a switching device, the network node may further include a first advertising module and a second advertising module.
  • the first notification module is used when the switching device is the switching device SW First :
  • the key request packet sent by urce generates a random number as the source node N s .
  • Urce and destination node N Destinatl . a shared key between n , and constructing a temporary key notification packet is sent to the switching device SW Last ; the switching device SW FlKt notifies the generated random number secret to the switching device SW Last through the temporary key advertising packet;
  • the second notification module is used when the switching device is the switching device SW Last :
  • the temporary key advertisement packet sent by the switching device SW First is received, the random number of the secret announcement in the temporary key advertisement packet is extracted, and the key advertisement packet is constructed and sent to the destination node N Destinatl . n ;
  • the switching device SW ⁇ t secretly advertises the obtained random number to the destination node N Destinatl through the key advertisement packet. n ;
  • the key notification response packet sent by n confirms the destination node N Destinatl .
  • the random number advertised by the switching device SWh St has been received; and the temporary key notification response packet is constructed and sent to the switching device SW FlKt ; the switching device SW ⁇ t informs the switching device SW First destination node N Destinatl through the temporary key notification response packet.
  • n has received the random number advertised by the switching device SW FlKt .

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Small-Scale Networks (AREA)

Abstract

本发明公开了一种节点间安全连接建立方法及系统,其中,所述方法包括:发送源节点NSource发送密钥请求分组给第一交换设备SWFirst;第一交换设备SWFirst发送临时密钥通告分组给第二交换设备SWLast;第二交换设备SWLast发送密钥通告分组给目的节点NDestination;目的节点NDestination发送密钥通告响应分组给第二交换设备SWLast;第二交换设备SWLast发送临时密钥通告响应分组给第一交换设备SWFirst;第一交换设备SWFirst发送密钥响应分组给发送源节点NSource;发送源节点NSource接收密钥响应分组。该方法无需为节点两两之间部署共享的静态密钥。

Description

一种节点间安全连接建立方法及系统
本申请要求于 2010 年 4 月 29 日提交中国专利局、 申请号为 201010159673.3、 发明名称为"一种节点间安全连接建立方法及系统"的中国专 利申请的优先权, 其全部内容通过引用结合在本申请中。
技术领域
本发明涉及信息安全技术中的有线局域网安全应用领域,特别涉及一种节 点间安全连接建立方法及系统。
背景技术
有线局域网一般为广播型网络,一个节点发出的数据,其它节点都能收到。 网络上的各个节点共享信道, 这给网络带来了极大的安全隐患。 攻击者只要接 入网络进行监听, 就可以捕获网络上所有的数据包。 现有国家标准 GB/T 15629.3 (对应 IEEE 802.3或 ISO/IEC 8802-3 )定义的局域网 LAN并不提供数 据保密方法, 这样就使得攻击者容易窃取到关键信息。
在有线局域网中, IEEE通过对 IEEE 802.3进行安全增强来实现链路层的 安全。 IEEE 802.1AE为保护以太网提供数据加密协议, 并采用逐跳加密的安 全措施来实现网络节点之间数据的安全传达。但是, 这种安全措施要求交换设 备对需要转发的每一个数据包都进行解密再加密再转发的处理过程,无疑给局 域网中的交换设备带来了巨大的计算负担, 容易引发攻击者对交换设备的攻 击; 且数据包从发送节点传递到目的节点的延时也会增大, 降低了网络传输效 率。
有线局域网的拓朴结构比较复杂, 涉及到的节点(这里, 终端和交换设备 被统称为节点)数目也比较多, 因此网络中的数据通信比较复杂。 如果为局域 网节点间分配静态的密钥对来建立节点间的安全连接,其分配和更新过程极为 复杂。
发明内容
为了解决背景技术中存在的上述问题,本发明提供了一种节点间安全连接 建立方法及系统。
本发明的技术解决方案是: 本发明提供了一种节点间安全连接建立方法, 其特殊之处在于: 该方法包括以下步骤: 1 )发送源节点 Nsurce发送密钥请求分组给第一交换设备 SWFlKt;
2 )第一交换设备 SWFlKt发送临时密钥通告分组给第二交换设备 SWLast;
3 )第二交换设备 SWhSt发送密钥通告分组给目的节点 N Destination,
4 ) 目的节点 NDestinatln发送密钥通告响应分组给第二交换设备 SWLast;
5 ) 第二交换设备 SWhSt发送临时密钥通告响应分组给第一交换设备
First,
6 )第一交换设备 swFlKt发送密钥响应分组给发送源节点 Nsurce;
7 )发送源节点 Nsurce接收密钥响应分组。
本发明还提供了一种节点间安全连接的建立系统, 其特殊之处在于: 该系 统包括向第一交换设备 SWFlKt发送密钥请求分组、 接收第一交换设备 SWFirst发 送的密钥响应分组的发送源节点 Nsurce;接收发送源节点 Nsurce发送的密钥请求 分组、向第二交换设备 SW^t发送临时密钥通告分组、
Figure imgf000004_0001
发送的临时密钥通告响应分组、 向发送源节点 Nsurce发送密钥响应分组的第一 交换设备 SWFlKt; 接收第一交换设备 SWFlKt发送的临时密钥通告分组、 向目的 节点 NDestinatln发送密钥通告分组、 接收目的节点 NDestinatln发送的密钥通告响应 分组、 向第一交换设备 SWFlKt发送临时密钥通告响应分组的第二交换设备 SWLast; 接收第二交换设备 SWLast发送的密钥通告分组、 向第二交换设备 SWLast 发送密钥通告响应分组的目的节点 NDestinatln
本发明还提供了一种网络节点, 其特殊之处在于: 所述网络节点为终端设 备或交换设备, 所述网络节点包括:
发送模块, 用于当所述网络节点为发送源节点 Nsurce时, 发送密钥请求分 组给第一交换设备 SWFlKt,发送源节点 Nsurce通过密钥请求分组请求第一交换 设备 SWFlKt为发送源节点 Nsurce建立与目的节点 N Destination之间的共享密钥; 接收模块, 用于当所述网络节点为发送源节点 Nsurce时,接收第一交换设 备 SWFlKt发送的密钥响应分组,提取密钥响应分组中秘密通告的随机数,作为 发送源节点 Nsurce建立与目的节点 N Destination之间的共享密钥;
响应模块, 用于当所述网络节点为目的节点 ^^时, 接收第二交换设 备 SWhSt发送的密钥通告分组, 提取密钥通告分组中秘密通告的随机数, 作为 发送源节点 Nsurce建立与目的节点 NDestmatln之间的共享密钥; 并构造密钥通告
Figure imgf000005_0001
目的节点 NDestinatln通过密钥通告响应分 组告知第二交换设备 SWhSt目的节点 N Destination已收到发送源节点 Nsurce建立与 目的节点 NDestinatln之间的共享密钥。
本发明的优点是: 发送源节点 Nsurce和目的节点 1¾^^1∞之间的密钥是通 过交换设备 SWFlKt临时生成, 并分别通告给发送源节点 Nsurce和目的节点 NDestmatln的。 节点间共享密钥的建立和更新过程可由发送源节点 Nsurce的发送 密钥请求分组触发。该建立和更新过程灵活, 无需管理员为全网节点两两之间 部署共享的静态密钥。
附图说明
图 1为本发明的节点间共享密钥建立过程示意图。
具体实施方式
本发明中定义的节点 N ( Node )是指局域网中的用户终端 STA ( STAtion ) 和交换设备 SW ( SWitch )。 局域网中的集线器等物理层设备不作为节点处理。
假设,在网络中相邻的交换设备与用户终端之间、相邻的交换设备与交换 设备之间通过预分发或其他安全机制均已建立安全连接, 即已具有共享的密 钥; 所有的交换设备两两之间通过预分发或其他安全机制已建立安全连接, 即 已具有共享的密钥。 本发明中对该假设中的密钥的建立机制不予限制和定义。
以发送源节点 Nsurce与目的节点 NDestinatln之间的安全连接建立为例,交换 设备 SWFlKt是指从发送源节点 Nsurce到目的节点 ^^的数据包经过的第一 个交换设备, 交换设备 SWLast是指从发送源节点 Nsurce到目的节点 NDestinatln 的数据包经过的最后一个交换设备。
根据上述的假设, 发送源节点 Nsurce与交换设备 SWFirst已建立安全连接, 共享的密钥记为 KEYS,目的节点 NDestinatln与交换设备 SWLast已建立安全连接, 共享的密钥记为 KEYD, 交换设备 SWFlKt与交换设备 SWLast已建立安全连接, 共享的密钥记为 KEYF
参见图 1 , 本发明所提供的一种节点间安全连接的建立方法为发送源节点 Nsurce和目的节点 ^^之间建立安全连接的具体方案如下:
1 )发送源节点 Nsurce发送密钥请求分组给交换设备 SWFirst;
该密钥请求分组包括: ID Destination
其中:
IDoestination字段: 表示目的节点 NDestinatin的标识;
2 ) 交换设备 SWFlKt发送临时密钥通告分组给交换设备 SWLast;
交换设备 SWFlK^t到密钥请求分组后,生成一随机数作为临时密钥,将该 临时密钥作为此次发送源节点 Nsurce和目的节点 1¾^^1∞之间的共享密钥 KEYS_D, 构造临时密钥通告分组发送给交换设备 SWhSt。 该临时密钥通告分组 包括:
Figure imgf000006_0001
其中:
IDsurce字段: 表示发送源节点 Nsurce的标识;
IDoestination字段: 表示目的节点 NDestinatin的标识;
EKeyi字段:表示密钥资料数据, 由交换设备 SWFirst用其与交换设备 SWLast 之间的密钥 KEYF 对共享密钥 KEY 加密后的数据;
MIC1字段: 表示消息完整性验证码, 由交换设备 SWFlKt用其与交换设备 SWLast之间的密钥 KEYF 对构造的临时密钥通告分组除本字段外其他字段通 过杂凑函数计算得到的杂凑值。
3 ) 交换设备 SW^t发送密钥通告分组给目的节点 N Destination,
交换设备 sw^ t到临时密钥通告分组后, 进行如下处理:
3.1 )利用其与交换设备 SWFlKt之间的密钥 KEYF 验证 MIC1是否正确, 若不正确, 则丟弃该分组; 否则, 执行 3.2 );
3.2 )利用其与交换设备 SWFlKt之间的密钥 KEYF 解密 EKeyl字段, 得到 临时密钥, 将其作为发送源节点 Nsurce和目的节点 1¾^^1∞之间的共享密钥 KEYS-D;
3.3 )构造密钥通告分组发送给目的节点 NDestmatln
该密钥通告分组中包括:
ID Source E 'key2 MIC2
其中:
IDsurce字段: 表示发送源节点 Nsurce的标识; Ekey2字段:表示密钥资料数据,由交换设备 SW^t用其与目的节点 NDestinatln 之间的密钥 KEYD对计算得到的发送源节点 Nsurce和目的节点 NDestmatln之间的 共享密钥 KEY 加密后的数据;
MIC2字段: 表示消息完整性验证码, 由交换设备 SWLast用其与目的节点 NDestmatln之间的密钥 KEYD对该密钥通告分组中本字段外的其他字段通过杂凑 函数计算得到的杂凑值。
4 ) 目的节点 NDestinatln发送密钥通告响应分组给交换设备 SWLast;
目的节点 N^t^to^t到密钥通告分组后, 进行如下处理:
4.1 )利用与交换设备 SWLast之间的密钥 KEYD验证 MIC2是否正确, 若不正 确, 则丟弃该分组; 否则, 执行 4.2 );
4.2 ) 利用与交换设备 SWLast之间的密钥 KEYD解密 Ekey2字段即可得到与发 送源节点 Nsurce之间的共享密钥 KEYS_D;
4.3 )
Figure imgf000007_0001
该密钥通告响应分组包括:
ID Source MIC3
其中:
IDsurce字段: 表示发送源节点 Nsurce的标识, 其值同收到的密钥通告分组 中的 IDsurce字段的值;
MIC3字段:表示消息完整性验证码, 由目的节点 N^^to^j用与交换设备
SWhSt之间的密钥 KEYD对该密钥通告响应分组中本字段外的其他字段通过杂 凑函数计算得到的杂凑值。
5 ) 交换设备 SWhSt发送临时密钥通告响应分组给交换设备 SWFlKt;
交换设备 SW^J ^'j密钥通告响应分组后, 进行如下处理:
5.1 ) 比较 IDsurce字段与之前发送的密钥通告分组中 IDsurce字段值是否一 致, 若不一致, 则丟弃该分组; 否则, 执行 5.2 );
5.2 )利用与目的节点 NDestinatln之间的密钥 KEYD验证 MIC3是否正确, 若不 正确, 则丟弃该分组; 否则, 执行 5.3 );
5.3 )构造临时密钥通告响应分组发送给交换设备 SWFlKt
该临时密钥通告响应分组包括: ID Source ID Destination MIC4
其中:
IDsurce字段: 表示发送源节点 Nsurce的标识;
IDoestination字段: 表示目的节点 NDestinatin的标识;
MIC4字段: 表示消息完整性验证码, 由交换设备 SWLast利用与交换设备 8\^^之间的密钥 KEY †该临时密钥通告响应分组中本字段外的其他字段 通过杂凑函数计算得到的杂凑值。
6 ) 交换设备 SWFlKt发送密钥响应分组给发送源节点 Nsurce;
交换设备 S WFl t到临时密钥通告响应分组后, 进行如下处理:
6.1 )检查分组中的 IDsurce字段、 IDDestinatln字段与之前发送给交换设备 SWhSt的临时密钥通告分组中的对应字段值是否一致, 若不一致, 则丟弃该分 组; 否则, 执行 6.2 );
6.2 ) 利用与交换设备 SWLasr^¾]的密钥 KEYF 验证 MIC4是否正确, 若不 正确, 则丟弃该分组; 否则, 构造密钥响应分组发送给发送源节点 Nsurce
该密钥响应分组包括:
ID Destination E 'key3 MIC5
其中:
IDoestination字段: 表示目的节点 NDestinatin的标识;
Ekey3字段:表示密钥资料数据,由交换设备 SWFlKt用其与发送源节点 Nsurce 之间的密钥 KEYs对计算得到的发送源节点 Nsurce和目的节点 NDestmatln之间的 共享密钥 KEY 加密后的数据;
MIC5字段:表示消息完整性验证码, 由交换设备 SWFlKt用其与发送源节点 Nsurce之间的密钥 KEYs对该密钥响应分组中本字段外的其他字段通过杂凑函 数计算得到的杂凑值。
7 )发送源节点 Nsurce接收密钥响应分组;
发送源节点 Nsurce收到密钥响应分组后, 进行如下处理:
7.1 )利用与交换设备 SWFlKt之间的密钥 KEYs验证 MIC5是否正确, 若不正 确, 则丟弃该分组; 否则, 执行 7.2 );
7.2 ) 利用与交换设备 SWFirer^¾]的密钥 KEYs解密 Ekey3字段即可得到与目 的节点 N^totoA间的共享密钥 KEYS_D, 即完成发送源节点 NSurce和目的节点
NDestmatlon^间共享密钥 KEY D的建立过程。
当对上述方案进行具体实施时, 发送源节点 Nsurce还可生成一个数值, 作 为此次节点间密钥建立过程的标识, 该标识可为时钟、 顺序号或随机数, 且在 每个消息中进行携带, 相应地交换设备 SWhSt收到密钥通告响应分组后需验证 分组中的标识值与其之前接收的临时密钥通告分组中的标识值是否一致;交换 设备 SWFlKt收到临时密钥通告响应分组后需验证分组中的标识值与其之前接 收的密钥请求分组中的标识值是否一致; 发送源节点 Nsurce收到密钥响应分组 后需验证分组中的标识值与其之前发送的密钥请求分组中的标识值是否一致。
当利用上述方案进行具体实施时, 也可以由发送源节点 Nsurce、 交换设备
SWFlKt及交换设备 SWhSt在发送密钥请求分组、 临时密钥通告分组、 密钥通告 分组时, 各自独立生成一个数值(可为时钟、 顺序号或随机数)作为消息新鲜 性标识分别携带在上述分组中, 相应地交换设备 SWLast收到密钥通告响应分组 后需验证分组中的标识值与其之前发送的密钥通告分组中的标识值是否一致; 交换设备 SWFlKt收到临时密钥通告响应分组后需验证分组中的标识值与其之 前发送的临时密钥通告分组中的标识值是否一致; 发送源节点 Nsurce收到密钥 响应分组后需验证分组中的标识值与其之前发送的密钥请求分组中的标识值 是否一致。
本发明还提供一种节点间安全连接的建立系统, 包括向交换设备 SWFlKt 发送密钥请求分组、 接收交换设备 SWFlKt发送的密钥响应分组的发送源节点
Nsource; 接收发送源节点 NSurce发送的密钥请求分组、 向交换设备 SWL 发送 临时密钥通告分组、接收交换设备 SW^t发送的临时密钥通告响应分组、向发 送源节点 Nsurce发送密钥响应分组的交换设备 SWFirst; 接收交换设备 SWFlKt 发送的临时密钥通告分组、向目的节点 NDestinatln发送密钥通告分组、接收目的 节点 NDestinatln发送的密钥通告响应分组、 向交换设备 SWFlKt发送临时密钥通 告响应分组的交换设备 SWhSt; 接收交换设备 SWhSt发送的密钥通告分组、 向 交换设备 SW^t发送密钥通告响应分组的目的节点 N Destination °
本发明还提供一种网络节点, 所述网络节点可以为终端设备或交换设备, 所述网络节点可以包括: 发送模块, 用于当所述网络节点为发送源节点 Nsurce时, 发送密钥请求分 组给交换设备 SWFlKt, 发送源节点 Nsurce通过密钥请求分组请求交换设备 SWFiret为发送源节点 Nsurce建立与目的节点 N Destination之间的共享密钥;
接收模块, 用于当所述网络节点为发送源节点 Nsurce时, 接收交换设备 SWFlKt发送的密钥响应分组, 提取密钥响应分组中秘密通告的随机数, 作为发 送源节点 Nsurce建立与目的节点 N Destination之间的共享密钥;
响应模块, 用于当所述网络节点为目的节点 NDestmatln时, 接收交换设备 SWhSt发送的密钥通告分组, 提取密钥通告分组中秘密通告的随机数, 作为发 送源节点 Nsurce建立与目的节点 NDestmatln之间的共享密钥;并构造密钥通告响 应分组发送给交换设备 SWLast, 目的节点 NDestinatln通过密钥通告响应分组告知 交换设备 SWLast目的节点 N Destination已收到发送源节点 Nsurce建立与目的节点
NDestmatln之间的共享密钥。
当所述网络节点为交换设备时,所述网络节点还可以包括第一通告模块和 第二通告模块。
第一通告模块用于当所述交换设备为交换设备 SWFirst时:
接收发送源节点 Nsurce发送的密钥请求分组,生成一随机数作为发送源节 点 Nsurce与目的节点 NDestinatln之间的共享密钥,并构造临时密钥通告分组发送 给交换设备 SWLast;交换设备 SWFlKt通过临时密钥通告分组将生成的随机数秘 密通告给交换设备 SWLast;
接收交换设备 SWhSt发送的临时密钥通告响应分组,确认交换设备 SWLast 已将交换设备 SWFlKt生成的随机数秘密通告给目的节点 NDestinatln;并构造密钥 响应分组发送给发送源节点 Nsurce; 交换设备 SWFlKt通过密钥响应分组将生成 的随机数秘密通告给发送源节点 Nsurce
第二通告模块用于当所述交换设备为交换设备 SWLast时:
接收交换设备 SWFirst发送的临时密钥通告分组,提取临时密钥通告分组中 秘密通告的随机数, 并构造密钥通告分组发送给目的节点 NDestinatln; 交换设备 SW^t通过密钥通告分组将得到的随机数秘密通告给目的节点 NDestinatln;
接收目的节点 NDestinatln发送的密钥通告响应分组,确认目的节点 NDestinatln 已收到交换设备 SWhSt通告的随机数;并构造临时密钥通告响应分组发送给交 换设备 SWFlKt; 交换设备 SW^t通过临时密钥通告响应分组告知交换设备 SWFirst目的节点 NDestinatln已收到交换设备 SWFlKt通告的随机数。

Claims

权 利 要 求
1、 一种节点间安全连接建立方法, 其特征在于: 该方法包括以下步骤:
1 )发送源节点 Nsurce发送密钥请求分组给第一交换设备 SWFlKt;
2 )第一交换设备 SWFlKt发送临时密钥通告分组给第二交换设备 SWLast;
3 )第二交换设备 SWhSt发送密钥通告分组给目的节点 N Destination,
4 ) 目的节点 NDestinatln发送密钥通告响应分组给第二交换设备 SWLast;
5 ) 第二交换设备 SWhSt发送临时密钥通告响应分组给第一交换设备
First,
6 )第一交换设备 swFlKt发送密钥响应分组给发送源节点 Nsurce;
7 )发送源节点 Nsurce接收密钥响应分组。
2、 根据权利要求 1所述的节点间安全连接建立方法, 其特征在于: 所述 步骤 1 ) 中密钥请求分组包括目的节点标识 IDDestinatln字段, IDDestinatln字段表 示目的节点 NDestinatln的标识。
3、 根据权利要求 2所述的节点间安全连接建立方法, 其特征在于: 所述 步骤 2 )的具体步骤如下: 第一交换设备 SWFlKt收到密钥请求分组后, 生成一 随机数作为临时密钥, 将该临时密钥作为此次发送源节点 Nsurce和目的节点 NDestmatln之间的共享密钥 KEYS 3, 构造临时密钥通告分组发送给第二交换设 备 该临时密钥通告分组包括: 发送源节点标识 IDsurce字段、 目的节点 标识 IDDestinatln字段、 第一密钥资料数据 EKeyl字段和第一消息完整性验证码 MIC1字段, 其中: IDsurce字段表示发送源节点 Nsurc 々标识; ID Destination字段 表示目的节点 NDestinatln的标识; EKeyl字段表示密钥资料数据, 为由第一交换 设备 SWFlKt用其与第二交换设备 SWLast之间的第二密钥 KEYF 对共享密钥 KEY 加密后的数据; MIC1字段表示消息完整性验证码, 为由第一交换设备 SWFlKt用其与第二交换设备 SWLast之间的第二密钥 KEYF 对构造的临时密钥 通告分组除本字段外其他字段通过杂凑函数计算得到的杂凑值。
4、 根据权利要求 3所述的节点间安全连接建立方法, 其特征在于: 所述 步骤 3 ) 的具体步骤如下:
3.1 )第二交换设备 SWLast收到临时密钥通告分组后, 利用其与第一交换 设备 SWFirst之间的第二密钥 KEYF 验证 MIC1是否正确, 若不正确, 则丟弃 该临时密钥通告分组; 否则, 执行 3.2 );
3.2 )利用其与第一交换设备 SWFlKt之间的第二密钥 KEYF 解密 6¾^字 段,得到临时密钥,将其作为发送源节点 Nsurce和目的节点 1¾^^1∞之间的共 享密钥 KEYS 3;
3.3 )构造密钥通告分组发送给目的节点 NDestinatln; 该密钥通告分组中包 括: 发送源节点标识 IDsurce字段、 第二密钥资料数据 Ekey2字段和第二消息完 整性验证码 MIC2字段,其中: IDsurce字段表示发送源节点 Nsurce的标识; Ekey2 字段表示密钥资料数据, 为由第二交换设备 SWLast用其与目的节点 N Destination 之间的第三密钥 KEYD对计算得到的发送源节点 Nsurce和目的节点 NDestmatln 之间的共享密钥 KEY 加密后的数据; MIC2字段表示消息完整性验证码, 为由第二交换设备 SWLast用其与目的节点 N Destination之间的第三密钥 KEYD对该 密钥通告分组中本字段外的其他字段通过杂凑函数计算得到的杂凑值。
5、 根据权利要求 4所述的节点间安全连接建立方法, 其特征在于: 所述 步骤 4 ) 的具体步骤如下:
4.1 ) 目的节点 NDestinatKvlt到密钥通告分组后, 利用与第二交换设备 SWLast 之间的第三密钥 KEYD验证 MIC2是否正确,若不正确,则丟弃该密钥通告分组; 否则, 执行 4.2 );
4.2 ) 利用与第二交换设备 SWLast之间的第三密钥 KEYD解密 Ekey2字段即可 得到与发送源节点 Nsurce之间的共享密钥 KEYS_D;
4.3 )构造密钥通告响应分组发送给第二交换设备 SWhSt; 该密钥通告响应 分组包括: 发送源节点标识 IDsurce字段和第三消息完整性验证码 MIC3字段, 其中: IDsurce字段表示发送源节点 Nsurce的标识, 其值同收到的密钥通告分组 中的 IDsurce字段的值; MIC3字段表示消息完整性验证码, 由目的节点 N Destination 利用与第二交换设备 S WhSt之间的第三密钥 KEYD对该密钥通告响应分组中本 字段外的其他字段通过杂凑函数计算得到的杂凑值。
6、 根据权利要求 5所述的节点间安全连接建立方法, 其特征在于: 所述 步骤 5 ) 的具体步骤如下:
5.1 )第二交换设备 SWhJt到密钥通告响应分组后, 比较 IDsurce字段与之 前发送的密钥通告分组中 IDsurce字段值是否一致, 若不一致, 则丟弃该密钥通 告响应分组; 否则, 执行 5.2 );
5.2 )利用与目的节点 NDestinatln之间的第三密钥 KEYD验证 MIC3是否正确, 若不正确, 则丟弃该密钥通告响应分组; 否则, 执行 5.3 );
5.3 )构造临时密钥通告响应分组发送给第一交换设备 SWFlKt; 该临时密钥 通告响应分组包括: 发送源节点标识 IDsurce字段、 目的节点标识 IDDestinatln字段 和第四消息完整性验证码 MIC4字段, 其中: IDsurce字段表示发送源节点 Nsurce 的标识; IDDestinatln字段表示目的节点 NDestinatln的标识; MIC4字段表示消息完整 性验证码, 为由第二交换设备 S WhSt利用与第一交换设备 S WFlKt之间的第二密 算得到的杂凑值。
7、 根据权利要求 6所述的节点间安全连接建立方法, 其特征在于: 所述 步骤 6 ) 的具体步骤如下:
6.1 )第一交换设备 SWFlKt收到临时密钥通告响应分组后, 检查临时密钥通 告响应分组中的 IDsurce字段、
Figure imgf000014_0001
的临时密钥通告分组中的对应字段值是否一致, 若不一致, 则丟弃该临时密钥 通告响应分组; 否则, 执行 6.2 );
6.2 ) 利用与第二交换设备 SWLast之间的第二密钥 KEYF 验证 MIC4是否正 确, 若不正确, 则丟弃该临时密钥通告响应分组; 否则, 构造密钥响应分组发 送给发送源节点 Nsurce; 该密钥响应分组包括: 目的节点标识 IDDestinatln字段、 第三密钥资料数据 Ekey3字段和第五消息完整性验证码 MIC5字段, 其中:
IDDestmato^段表示目的节点 N Destination的标识; Ekey3字段表示密钥资料数据, 为 由第一交换设备 SWFlKt用其与发送源节点 Nsurce之间的第一密钥 KEYS对计算得 到的发送源节点 Nsurce和目的节点 NDestinatln之间的共享密钥 KEY 加密后的数 据; MIC5字段表示消息完整性验证码, 为由第一交换设备 SWFlKt用其与发送源 节点 Nsurce之间的第一密钥 KEYS对该密钥响应分组中本字段外的其他字段通 过杂凑函数计算得到的杂凑值。
8、根据权利要求 7所述的节点间安全连接建立方法, 其特征在于: 所述步 骤 7 ) 的具体步骤如下:
7.1 )发送源节点 Nsurce收到密钥响应分组后, 利用与第一交换设备 SWFlKt 之间的第一密钥 KEYS验证 MIC5是否正确,若不正确,则丟弃该密钥响应分组; 否则, 执行 7.2 );
7.2 ) 利用与第一交换设备 SWFiret之间的第一密钥 KEYS解密 Ekey3字段即可 得到与目的节点 N^t^toA间的共享密钥 KEYS_D, 即完成发送源节点 NSurce和 目的节点 NDestinatln之间共享密钥 KEY 的建立过程。
9、 一种节点间安全连接的建立系统, 其特征在于: 该系统包括向第一交 换设备 SWFlKt发送密钥请求分组、 接收第一交换设备 SWFirst发送的密钥响应分 组的发送源节点 Nsurce;接收发送源节点 Nsurce发送的密钥请求分组、向第二交 换设备 SWhSt发送临时密钥通告分组、 接收第二交换设备 SWhSt发送的临时密 钥通告响应分组、 向发送源节点 Nsurce发送密钥响应分组的第一交换设备 SWFirst; 接收第一交换设备 SWFlKt发送的临时密钥通告分组、 向目的节点 NDestmatln发送密钥通告分组、接收目的节点 NDestinatln发送的密钥通告响应分组、 向第一交换设备 SWFlKt发送临时密钥通告响应分组的第二交换设备 SWhSt; 接 收第二交换设备 SWhSt发送的密钥通告分组、 向第二交换设备 SW^t发送密钥 通告响应分组的目的节点 NDestinatln
10、 一种网络节点, 其特征在于: 所述网络节点为终端设备或交换设备, 所述网络节点包括:
发送模块, 用于当所述网络节点为发送源节点 Nsurce时, 发送密钥请求分 组给第一交换设备 SWFlKt,发送源节点 Nsurce通过密钥请求分组请求第一交换 设备 SWFirst为发送源节点 Nsurce建立与目的节点 N Destination之间的共享密钥; 接收模块, 用于当所述网络节点为发送源节点 Nsurce时,接收第一交换设 备 SWFlKt发送的密钥响应分组,提取密钥响应分组中秘密通告的随机数,作为 发送源节点 Nsurce与目的节点 NDestmatln之间的共享密钥;
响应模块,用于当所述网络节点为目的节点 NDestmatln时,接收第二交换设 备 SWhSt发送的密钥通告分组,提取密钥通告分组中秘密通告的随机数,作为 发送源节点 Nsurce与目的节点 NDestmatln之间的共享密钥;并构造密钥通告响应 分组发送给第二交换设备 SWLast, 目的节点 NDestinatln通过密钥通告响应分组告 知第二交换设备 SWLast目的节点 N Destination已收到发送源节点 Nsurce与目的节点
NDestmatln之间的共享密钥。
11、 根据权利要求 10所述的一种网络节点, 其特征在于, 当所述网络节 点为交换设备时, 还包括:
第一通告模块, 用于当所述交换设备为第一交换设备 SWFirst时,
接收发送源节点 Nsurce发送的密钥请求分组,生成一随机数作为发送源节 点 Nsurce与目的节点 NDestinatln之间的共享密钥,并构造临时密钥通告分组发送 给第二交换设备 SWLast;第一交换设备 SWFlKt通过临时密钥通告分组将生成的 随机数秘密通告给第二交换设备 SWLast;
接收第二交换设备 SWhSt发送的临时密钥通告响应分组,确认第二交换设 备 SWhSt 已将第一交换设备 SWFlKt生成的随机数秘密通告给目的节点 NDestinatlon;并构造密钥响应分组发送给发送源节点 Nsurce;第一交换设备 SWFirst 通过密钥响应分组将生成的随机数秘密通告给发送源节点 Nsurce;
第二通告模块, 用于当所述交换设备为第二交换设备 SWLast时,
接收第一交换设备 SWFirst发送的临时密钥通告分组,提取临时密钥通告分 组中秘密通告的随机数, 并构造密钥通告分组发送给目的节点 NDestinatln; 第二 交换设备 SW^t通过密钥通告分组将得到的随机数秘密通告给目的节点
^Destination,
接收目的节点 NDestinatln发送的密钥通告响应分组,确认目的节点 NDestinatln 已收到第二交换设备 SWhSt通告的随机数;并构造临时密钥通告响应分组发送 给第一交换设备 SWFirst;第二交换设备 SWhSt通过临时密钥通告响应分组告知 第一交换设备 SWFirst目的节点 N Destination已收到第一交换设备 swFlKt通告的随 机数。
PCT/CN2011/070515 2010-04-29 2011-01-24 一种节点间安全连接建立方法及系统 WO2011134294A1 (zh)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
CN201010159673.3A CN101834862B (zh) 2010-04-29 2010-04-29 一种节点间安全连接建立方法及系统
CN201010159673.3 2010-04-29

Publications (1)

Publication Number Publication Date
WO2011134294A1 true WO2011134294A1 (zh) 2011-11-03

Family

ID=42718793

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/CN2011/070515 WO2011134294A1 (zh) 2010-04-29 2011-01-24 一种节点间安全连接建立方法及系统

Country Status (2)

Country Link
CN (1) CN101834862B (zh)
WO (1) WO2011134294A1 (zh)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101834862B (zh) * 2010-04-29 2013-02-13 西安西电捷通无线网络通信股份有限公司 一种节点间安全连接建立方法及系统
CN101969375B (zh) * 2010-10-25 2012-07-04 西安西电捷通无线网络通信股份有限公司 通告式安全连接建立系统及方法
US10142769B2 (en) * 2015-01-14 2018-11-27 Samsung Electronics Co., Ltd. Method and system for establishing a secure communication between remote UE and relay UE in a device to device communication network

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1901444A (zh) * 2006-07-21 2007-01-24 北京理工大学 一种降低manet网络密钥管理系统通信量的实现方法
CN101094064A (zh) * 2006-07-25 2007-12-26 中兴通讯股份有限公司 一种ip终端安全接入网络的方法
EP2028830A2 (en) * 2007-08-08 2009-02-25 Mitel Networks Corporation Recording calls
CN101834862A (zh) * 2010-04-29 2010-09-15 西安西电捷通无线网络通信股份有限公司 一种节点间安全连接建立方法及系统
CN101834863A (zh) * 2010-04-29 2010-09-15 西安西电捷通无线网络通信股份有限公司 一种局域网节点间安全连接建立方法及系统

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6807277B1 (en) * 2000-06-12 2004-10-19 Surety, Llc Secure messaging system with return receipts
JP4735157B2 (ja) * 2005-09-22 2011-07-27 ソニー株式会社 無線通信システム、無線通信装置及び無線通信方法、並びにコンピュータ・プログラム
CN101227272A (zh) * 2007-01-19 2008-07-23 华为技术有限公司 一种获取媒体流保护密钥的方法和系统

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1901444A (zh) * 2006-07-21 2007-01-24 北京理工大学 一种降低manet网络密钥管理系统通信量的实现方法
CN101094064A (zh) * 2006-07-25 2007-12-26 中兴通讯股份有限公司 一种ip终端安全接入网络的方法
EP2028830A2 (en) * 2007-08-08 2009-02-25 Mitel Networks Corporation Recording calls
CN101834862A (zh) * 2010-04-29 2010-09-15 西安西电捷通无线网络通信股份有限公司 一种节点间安全连接建立方法及系统
CN101834863A (zh) * 2010-04-29 2010-09-15 西安西电捷通无线网络通信股份有限公司 一种局域网节点间安全连接建立方法及系统

Also Published As

Publication number Publication date
CN101834862B (zh) 2013-02-13
CN101834862A (zh) 2010-09-15

Similar Documents

Publication Publication Date Title
KR101492179B1 (ko) 사용자 단말기들 사이의 보안 연결을 확립하기 위한 방법 및 시스템
KR101019300B1 (ko) 애드 혹 무선 네트워크에서 인증 키 요소의 보안 처리를 위한 방법 및 시스템
JP6023152B2 (ja) ダイレクトリンク通信のための拡張されたセキュリティ
US8560848B2 (en) Galois/counter mode encryption in a wireless network
KR101421399B1 (ko) 링크 계층 암호화/복호화 능력을 구비하는 단말 장치 및 그의 데이터 처리 방법
KR101485279B1 (ko) 링크 계층 보안 전송을 지원하는 스위칭 장치 및 그의 데이터 처리 방법
WO2012019466A1 (zh) 邻居用户终端间保密通信方法、终端、交换设备及系统
WO2011143943A1 (zh) 一种端到端安全连接的建立方法、系统及装置
KR101421259B1 (ko) 스위치 장비들 사이에서 보안 연결을 확립하는 방법 및 시스템
US20100131762A1 (en) Secured communication method for wireless mesh network
WO2011134293A1 (zh) 一种局域网节点间安全连接建立方法及系统
WO2011134294A1 (zh) 一种节点间安全连接建立方法及系统
WO2011143945A1 (zh) 一种端到端共享密钥的建立方法、系统及装置
WO2011134291A1 (zh) 一种节点间密钥的建立方法、系统及装置
WO2011134292A1 (zh) 一种节点间通信密钥的建立方法、系统及装置
WO2012055173A1 (zh) 一种节点间会话密钥的建立系统、方法及装置
WO2012100552A1 (zh) 一种组播密钥的安全更新方法、系统及设备
WO2011143944A1 (zh) 一种端到端通信密钥的建立方法、系统及装置
Sudarsono et al. A Secure Data Exchange System in Wireless Delay Tolerant Network Using Attribute-Based Encryption
WO2012097601A1 (zh) 一种组播密钥的安全分发方法、系统及设备
Yin et al. Secure authentication scheme for 10 Gbit/s Ethernet passive optical networks
Jeba et al. Reliable anonymous secure packet forwarding scheme for wireless sensor networks
Dik et al. QKD-based MACsec control plane for the Open-RAN Fronthaul
WO2012055171A1 (zh) 通告式安全连接建立系统、方法及装置
WO2012055172A1 (zh) 节点间会话密钥的建立系统、方法及装置

Legal Events

Date Code Title Description
121 Ep: the epo has been informed by wipo that ep was designated in this application

Ref document number: 11774285

Country of ref document: EP

Kind code of ref document: A1

NENP Non-entry into the national phase

Ref country code: DE

122 Ep: pct application non-entry in european phase

Ref document number: 11774285

Country of ref document: EP

Kind code of ref document: A1