WO2011134294A1 - 一种节点间安全连接建立方法及系统 - Google Patents
一种节点间安全连接建立方法及系统 Download PDFInfo
- Publication number
- WO2011134294A1 WO2011134294A1 PCT/CN2011/070515 CN2011070515W WO2011134294A1 WO 2011134294 A1 WO2011134294 A1 WO 2011134294A1 CN 2011070515 W CN2011070515 W CN 2011070515W WO 2011134294 A1 WO2011134294 A1 WO 2011134294A1
- Authority
- WO
- WIPO (PCT)
- Prior art keywords
- key
- switching device
- urce
- packet
- field
- Prior art date
Links
- 238000000034 method Methods 0.000 title claims abstract description 29
- 230000005540 biological transmission Effects 0.000 claims description 17
- 238000012795 verification Methods 0.000 claims description 15
- 102000008482 12E7 Antigen Human genes 0.000 claims description 6
- 108010020567 12E7 Antigen Proteins 0.000 claims description 6
- 102100032912 CD44 antigen Human genes 0.000 claims description 6
- 102100037904 CD9 antigen Human genes 0.000 claims description 6
- 101000868273 Homo sapiens CD44 antigen Proteins 0.000 claims description 6
- 101000738354 Homo sapiens CD9 antigen Proteins 0.000 claims description 6
- 101001051490 Homo sapiens Neural cell adhesion molecule L1 Proteins 0.000 claims description 6
- 102100024964 Neural cell adhesion molecule L1 Human genes 0.000 claims description 6
- 101000893549 Homo sapiens Growth/differentiation factor 15 Proteins 0.000 claims description 5
- 101000692878 Homo sapiens Regulator of MON1-CCZ1 complex Proteins 0.000 claims description 5
- 102100026436 Regulator of MON1-CCZ1 complex Human genes 0.000 claims description 5
- 239000000463 material Substances 0.000 claims 6
- 230000003068 static effect Effects 0.000 abstract description 3
- 238000012545 processing Methods 0.000 description 5
- 230000007246 mechanism Effects 0.000 description 3
- 238000004891 communication Methods 0.000 description 1
- 238000010276 construction Methods 0.000 description 1
- 238000010586 diagram Methods 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 230000001960 triggered effect Effects 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
Definitions
- the present invention relates to the field of wired LAN security applications in information security technologies, and in particular, to a method and system for establishing a secure connection between nodes.
- Wired LANs are generally broadcast networks. Data sent by one node can be received by other nodes. Each node on the network shares a channel, which brings great security risks to the network. As long as the attacker accesses the network for monitoring, it can capture all the packets on the network.
- the LAN of the existing national standard GB/T 15629.3 (corresponding to IEEE 802.3 or ISO/IEC 8802-3) does not provide a data privacy method, which makes it easy for an attacker to steal key information.
- IEEE 802.1AE provides a data encryption protocol for protecting Ethernet and uses hop-by-hop encryption security measures to securely communicate data between network nodes.
- this security measure requires the switching device to decrypt, encrypt, and forward each data packet that needs to be forwarded, which undoubtedly brings a huge computational burden to the switching device in the local area network, and is likely to cause an attacker to exchange equipment. The attack; and the delay of the data packet from the sending node to the destination node is also increased, which reduces the network transmission efficiency.
- the topology of wired LAN is more complicated.
- the number of nodes involved (here, terminals and switching devices are collectively referred to as nodes) is also relatively large, so the data communication in the network is more complicated. If a static key pair is assigned between local area network nodes to establish a secure connection between nodes, the allocation and update process is extremely complicated.
- the present invention provides a method and system for establishing a secure connection between nodes.
- the technical solution of the present invention is:
- the present invention provides a method for establishing a secure connection between nodes, which is special in that: the method includes the following steps: 1) Send the source node N s . Urce sends a key request packet to the first switching device SW FlKt ;
- the first switching device SW FlKt sends a temporary key notification packet to the second switching device SW Last ;
- the second switching device SWh St sends a key announcement packet to the destination node N Destination,
- Destination node N Destinatl . n transmitting a key notification response packet to the second switching device SW Last ;
- the second switching device SWh St sends a temporary key notification response packet to the first switching device
- the first switching device sw FlKt sends a key response packet to the transmitting source node N s . Urce ;
- the present invention also provides a system for establishing a secure connection between nodes, which is special in that: the system includes transmitting a key request packet to the first switching device SW F1Kt , and receiving a key response packet sent by the first switching device SW First The source node N s . Urce ; Receive the source node N s . a key request packet sent by urce , a temporary key notification packet sent to the second switching device SW ⁇ t,
- the sent temporary key advertises the response packet to the sending source node N s .
- urce transmits a key response packet to the first switching device SW FlKt; receiving a first switching device SW FlKt temporary key announcement packet transmitted to the destination node N Destinatl. n Send a key announcement packet and receive the destination node N Destinatl . n key announcement response packet sent, sending the second temporary key announcement response switching device SW Last packet to the first switching device SW FlKt; receiving a second switching device SWL ast key announcement packet transmitted to the second switching device SWL ast sends the key notification response packet to the destination node N Destinatl . n .
- the present invention further provides a network node, which is characterized in that: the network node is a terminal device or a switching device, and the network node includes:
- a sending module configured to: when the network node is a sending source node N s .
- the transmission key request packet is sent to the first switching device SW FlKt , and the source node N s is transmitted.
- the urce requests the first switching device SW F1Kt as the transmitting source node N s by the key request packet.
- the urce establishes a shared key with the destination node N Destination; and the receiving module is configured to: when the network node is the sending source node N s .
- the key response packet sent by the first switching device SW FlKt is received, and the random number of the secret notification in the key response packet is extracted as the transmission source node N s .
- Urce establishes a shared key with the destination node N Destination;
- the response module is configured to: when the network node is the destination node, receive the key advertisement packet sent by the second switching device SWh St , and extract a random number of the secret advertisement in the key advertisement packet as the transmission source node N s .
- urce establish the destination node N Destmatl. Shared key between n ; and construct key notification Destination node N Destinatl .
- n informs the second switching device SWh St that the destination node N Destination has received the transmission source node N s by the key advertisement response packet.
- Urce is established with the destination node N Destinatl . The shared key between n .
- An advantage of the present invention is: The source node N s is transmitted. Key between 13 ⁇ 4 ⁇ 1 ⁇ urce and the destination node is temporarily generated by a switching device SW FlKt, and are notified to the transmission source node N s. urce and destination nodes N Destmatl. n . The process of establishing and updating the shared key between nodes may be sent by the source node N s . Urce 's send key request packet is triggered. The setup and update process is flexible, eliminating the need for administrators to deploy shared static keys between nodes on the entire network.
- FIG. 1 is a schematic diagram of a process of establishing a shared key between nodes according to the present invention.
- the node N refers to a user terminal STA (STAtion) and a switching device SW (SWitch) in a local area network.
- STAtion user terminal STA
- SW switching device
- Physical layer devices such as hubs in the local area network are not handled as nodes.
- Urce and destination node N Destinatl To send the source node N s .
- Urce and destination node N Destinatl For example, a secure connection between n is established, and the switching device SW FlKt refers to the slave source node N s .
- the source node N s is transmitted.
- Urce has established a secure connection with the switching device SW First .
- the shared key is recorded as KEY S and the destination node N Destinatl .
- n has established a secure connection with the switching device SW Last , the shared key is recorded as KEY D , the switching device SW FlKt has established a secure connection with the switching device SW Last , and the shared key is recorded as KEY F .
- a method for establishing a secure connection between nodes is a source node N s .
- the specific scheme for establishing a secure connection between urce and destination node ⁇ is as follows:
- Urce sends a key request packet to the switching device SW First ;
- the key request packet includes: ID Destination
- IDoestination field Indicates the destination node N Destinati . The identity of n ;
- the switching device SW FlKt sends a temporary key announcement packet to the switching device SW Last ;
- the temporary key announcement packet includes:
- Urce field Indicates the source node N s . Urce logo;
- IDoestination field Indicates the destination node N Destinati . The identity of n ;
- E Key i field data indicating key data, encrypted by the switching device SW First with the key KEY F between the switching device SW Last and the shared key KEY;
- MIC1 field indicates the message integrity verification code, and the temporary key advertised packet constructed by the switching device SW FlKt with the key KEY F between the switching device SW Last and the other fields except the field is calculated by the hash function. value.
- the switching device SW ⁇ t sends a key notification packet to the destination node N Destination,
- the construction key announcement packet is sent to the destination node N Destmatl . n .
- the key announcement packet includes:
- Urce field Indicates the source node N s . Urce logo; E key2 field: indicates key data data, which is used by the switching device SW ⁇ t and the destination node N Destinatl .
- MIC2 field Indicates the message integrity verification code, which is used by the switching device SW Last with the destination node N Destmatl .
- the key KEY D between n is the hash value calculated by the hash function for the other fields outside the field in the key advertisement packet.
- the key notification response packet includes:
- Urce field Indicates the source node N s .
- the identifier of urce whose value is the same as the ID s in the received key notification packet.
- MIC3 field indicates the message integrity verification code, used by the destination node N ⁇ to ⁇ j and the switching device
- the key KEY D between SWh St is the hash value calculated by the hash function for the other fields outside the field in the key notification response packet.
- the switching device SWh St sends a temporary key notification response packet to the switching device SW FlKt ;
- the temporary key notification response packet includes: ID Source ID Destination MIC4
- Urce field Indicates the source node N s . Urce logo;
- IDoestination field Indicates the destination node N Destinati . The identity of n ;
- MIC4 field indicates a message integrity verification code, which is calculated by the switching device SW Last using the key KEY between the switching device 8 and the switching device 8 ⁇ ⁇ ⁇ ⁇ ⁇ ⁇ ⁇ ⁇ ⁇ Hash value.
- the switching device SW FlKt sends a key response packet to the transmitting source node N s . Urce ;
- the key response packet includes:
- IDoestination field Indicates the destination node N Destinati . The identity of n ;
- E key3 field indicates key data data, which is used by the switching device SW FlKt and the source node N s .
- MIC5 field indicates the message integrity verification code, which is used by the switching device SW FlKt and the source node N s .
- KEYs urce key between the key hash values of other fields in the packet field present outside the hash function calculated response.
- the source node N s is transmitted.
- Urce can also generate a value as the identifier of the key establishment process between the nodes.
- the identifier can be a clock, a sequence number or a random number, and is carried in each message, and the switching device SWh St receives the key accordingly.
- the notification response packet is verified, it is required to verify whether the identifier value in the packet is consistent with the identifier value in the temporary key advertisement packet received before; the switching device SW FlKt needs to verify the identifier value in the packet and receive it before receiving the temporary key notification response packet. Whether the identity value in the key request packet is consistent; the source node N s is sent. After receiving the key response packet, urce needs to verify whether the identity value in the packet is consistent with the identity value in the key request packet sent before.
- the source node N s may also be used.
- Urce switching equipment
- the SW FlKt and the switching device SWh St independently generate a value (which may be a clock, a sequence number or a random number) as a message freshness identifier when transmitting the key request packet, the temporary key advertisement packet, and the key advertisement packet respectively.
- a value which may be a clock, a sequence number or a random number
- the switch device SW Last receives the key notification response packet, it is required to verify whether the identifier value in the packet is consistent with the identifier value in the previously transmitted key advertisement packet; the switching device SW FlKt receives the temporary key notification.
- the source node N s is sent.
- urce needs to verify whether the identity value in the packet is consistent with the identity value in the key request packet sent before.
- the present invention also provides a system for establishing a secure connection between nodes, comprising : transmitting a key request packet to the switching device SW F1Kt , and transmitting a source node of the key response packet sent by the switching device SW F1Kt
- the key notification response packet sent by n the switching device SWh St transmitting the temporary key advertisement response packet to the switching device SW FlKt ; receiving the key advertisement packet sent by the switching device SWh St , and transmitting the key notification response to the switching device SW ⁇ t Grouped destination node N Destination °
- the present invention further provides a network node, where the network node may be a terminal device or a switching device, and the network node may include: a sending module, configured to: when the network node is a sending source node N s .
- the transmission key request packet is sent to the switching device SW FlKt , and the source node N s is transmitted.
- urce key request packet by switching device SW Firet request transmission source node N s.
- Urce establishes a shared key with the destination node N Destination;
- a receiving module configured to: when the network node is a sending source node N s .
- the key response packet sent by the switching device SW FlKt is received, and the random number of the secret notification in the key response packet is extracted as the transmission source node N s .
- Urce establishes a shared key with the destination node N Destination;
- a response module configured to: when the network node is a destination node N Destmatl .
- the key notification packet sent by the switching device SWh St is received, and the random number of the secret advertisement in the key advertisement packet is extracted as the transmission source node N s .
- urce establish the destination node N Destmatl. The shared key between n ; and constructs a key announcement response packet sent to the switching device SW Last , the destination node N Destinatl .
- n SW Last packet switching device to inform the destination node N Destination has been received by the source node N s key announcement response.
- Urce establish and destination node
- the network node When the network node is a switching device, the network node may further include a first advertising module and a second advertising module.
- the first notification module is used when the switching device is the switching device SW First :
- the key request packet sent by urce generates a random number as the source node N s .
- Urce and destination node N Destinatl . a shared key between n , and constructing a temporary key notification packet is sent to the switching device SW Last ; the switching device SW FlKt notifies the generated random number secret to the switching device SW Last through the temporary key advertising packet;
- the second notification module is used when the switching device is the switching device SW Last :
- the temporary key advertisement packet sent by the switching device SW First is received, the random number of the secret announcement in the temporary key advertisement packet is extracted, and the key advertisement packet is constructed and sent to the destination node N Destinatl . n ;
- the switching device SW ⁇ t secretly advertises the obtained random number to the destination node N Destinatl through the key advertisement packet. n ;
- the key notification response packet sent by n confirms the destination node N Destinatl .
- the random number advertised by the switching device SWh St has been received; and the temporary key notification response packet is constructed and sent to the switching device SW FlKt ; the switching device SW ⁇ t informs the switching device SW First destination node N Destinatl through the temporary key notification response packet.
- n has received the random number advertised by the switching device SW FlKt .
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Small-Scale Networks (AREA)
Abstract
本发明公开了一种节点间安全连接建立方法及系统,其中,所述方法包括:发送源节点NSource发送密钥请求分组给第一交换设备SWFirst;第一交换设备SWFirst发送临时密钥通告分组给第二交换设备SWLast;第二交换设备SWLast发送密钥通告分组给目的节点NDestination;目的节点NDestination发送密钥通告响应分组给第二交换设备SWLast;第二交换设备SWLast发送临时密钥通告响应分组给第一交换设备SWFirst;第一交换设备SWFirst发送密钥响应分组给发送源节点NSource;发送源节点NSource接收密钥响应分组。该方法无需为节点两两之间部署共享的静态密钥。
Description
一种节点间安全连接建立方法及系统
本申请要求于 2010 年 4 月 29 日提交中国专利局、 申请号为 201010159673.3、 发明名称为"一种节点间安全连接建立方法及系统"的中国专 利申请的优先权, 其全部内容通过引用结合在本申请中。
技术领域
本发明涉及信息安全技术中的有线局域网安全应用领域,特别涉及一种节 点间安全连接建立方法及系统。
背景技术
有线局域网一般为广播型网络,一个节点发出的数据,其它节点都能收到。 网络上的各个节点共享信道, 这给网络带来了极大的安全隐患。 攻击者只要接 入网络进行监听, 就可以捕获网络上所有的数据包。 现有国家标准 GB/T 15629.3 (对应 IEEE 802.3或 ISO/IEC 8802-3 )定义的局域网 LAN并不提供数 据保密方法, 这样就使得攻击者容易窃取到关键信息。
在有线局域网中, IEEE通过对 IEEE 802.3进行安全增强来实现链路层的 安全。 IEEE 802.1AE为保护以太网提供数据加密协议, 并采用逐跳加密的安 全措施来实现网络节点之间数据的安全传达。但是, 这种安全措施要求交换设 备对需要转发的每一个数据包都进行解密再加密再转发的处理过程,无疑给局 域网中的交换设备带来了巨大的计算负担, 容易引发攻击者对交换设备的攻 击; 且数据包从发送节点传递到目的节点的延时也会增大, 降低了网络传输效 率。
有线局域网的拓朴结构比较复杂, 涉及到的节点(这里, 终端和交换设备 被统称为节点)数目也比较多, 因此网络中的数据通信比较复杂。 如果为局域 网节点间分配静态的密钥对来建立节点间的安全连接,其分配和更新过程极为 复杂。
发明内容
为了解决背景技术中存在的上述问题,本发明提供了一种节点间安全连接 建立方法及系统。
本发明的技术解决方案是: 本发明提供了一种节点间安全连接建立方法, 其特殊之处在于: 该方法包括以下步骤:
1 )发送源节点 Ns。urce发送密钥请求分组给第一交换设备 SWFlKt;
2 )第一交换设备 SWFlKt发送临时密钥通告分组给第二交换设备 SWLast;
3 )第二交换设备 SWhSt发送密钥通告分组给目的节点 N Destination,
4 ) 目的节点 NDestinatl。n发送密钥通告响应分组给第二交换设备 SWLast;
5 ) 第二交换设备 SWhSt发送临时密钥通告响应分组给第一交换设备
First,
6 )第一交换设备 swFlKt发送密钥响应分组给发送源节点 Ns。urce;
7 )发送源节点 Ns。urce接收密钥响应分组。
本发明还提供了一种节点间安全连接的建立系统, 其特殊之处在于: 该系 统包括向第一交换设备 SWFlKt发送密钥请求分组、 接收第一交换设备 SWFirst发 送的密钥响应分组的发送源节点 Ns。urce;接收发送源节点 Ns。urce发送的密钥请求 分组、向第二交换设备 SW^t发送临时密钥通告分组、
发送的临时密钥通告响应分组、 向发送源节点 Ns。urce发送密钥响应分组的第一 交换设备 SWFlKt; 接收第一交换设备 SWFlKt发送的临时密钥通告分组、 向目的 节点 NDestinatl。n发送密钥通告分组、 接收目的节点 NDestinatl。n发送的密钥通告响应 分组、 向第一交换设备 SWFlKt发送临时密钥通告响应分组的第二交换设备 SWLast; 接收第二交换设备 SWLast发送的密钥通告分组、 向第二交换设备 SWLast 发送密钥通告响应分组的目的节点 NDestinatl。n。
本发明还提供了一种网络节点, 其特殊之处在于: 所述网络节点为终端设 备或交换设备, 所述网络节点包括:
发送模块, 用于当所述网络节点为发送源节点 Ns。urce时, 发送密钥请求分 组给第一交换设备 SWFlKt,发送源节点 Ns。urce通过密钥请求分组请求第一交换 设备 SWFlKt为发送源节点 Ns。urce建立与目的节点 N Destination之间的共享密钥; 接收模块, 用于当所述网络节点为发送源节点 Ns。urce时,接收第一交换设 备 SWFlKt发送的密钥响应分组,提取密钥响应分组中秘密通告的随机数,作为 发送源节点 Ns。urce建立与目的节点 N Destination之间的共享密钥;
响应模块, 用于当所述网络节点为目的节点 ^^时, 接收第二交换设 备 SWhSt发送的密钥通告分组, 提取密钥通告分组中秘密通告的随机数, 作为 发送源节点 Ns。urce建立与目的节点 NDestmatl。n之间的共享密钥; 并构造密钥通告
目的节点 NDestinatl。n通过密钥通告响应分 组告知第二交换设备 SWhSt目的节点 N Destination已收到发送源节点 Ns。urce建立与 目的节点 NDestinatl。n之间的共享密钥。
本发明的优点是: 发送源节点 Ns。urce和目的节点 1¾^^1∞之间的密钥是通 过交换设备 SWFlKt临时生成, 并分别通告给发送源节点 Ns。urce和目的节点 NDestmatl。n的。 节点间共享密钥的建立和更新过程可由发送源节点 Ns。urce的发送 密钥请求分组触发。该建立和更新过程灵活, 无需管理员为全网节点两两之间 部署共享的静态密钥。
附图说明
图 1为本发明的节点间共享密钥建立过程示意图。
具体实施方式
本发明中定义的节点 N ( Node )是指局域网中的用户终端 STA ( STAtion ) 和交换设备 SW ( SWitch )。 局域网中的集线器等物理层设备不作为节点处理。
假设,在网络中相邻的交换设备与用户终端之间、相邻的交换设备与交换 设备之间通过预分发或其他安全机制均已建立安全连接, 即已具有共享的密 钥; 所有的交换设备两两之间通过预分发或其他安全机制已建立安全连接, 即 已具有共享的密钥。 本发明中对该假设中的密钥的建立机制不予限制和定义。
以发送源节点 Ns。urce与目的节点 NDestinatl。n之间的安全连接建立为例,交换 设备 SWFlKt是指从发送源节点 Ns。urce到目的节点 ^^的数据包经过的第一 个交换设备, 交换设备 SWLast是指从发送源节点 Ns。urce到目的节点 NDestinatl。n 的数据包经过的最后一个交换设备。
根据上述的假设, 发送源节点 Ns。urce与交换设备 SWFirst已建立安全连接, 共享的密钥记为 KEYS,目的节点 NDestinatl。n与交换设备 SWLast已建立安全连接, 共享的密钥记为 KEYD, 交换设备 SWFlKt与交换设备 SWLast已建立安全连接, 共享的密钥记为 KEYF 。
参见图 1 , 本发明所提供的一种节点间安全连接的建立方法为发送源节点 Ns。urce和目的节点 ^^之间建立安全连接的具体方案如下:
1 )发送源节点 Ns。urce发送密钥请求分组给交换设备 SWFirst;
该密钥请求分组包括:
ID Destination
其中:
IDoestination字段: 表示目的节点 NDestinati。n的标识;
2 ) 交换设备 SWFlKt发送临时密钥通告分组给交换设备 SWLast;
交换设备 SWFlK^t到密钥请求分组后,生成一随机数作为临时密钥,将该 临时密钥作为此次发送源节点 Ns。urce和目的节点 1¾^^1∞之间的共享密钥 KEYS_D, 构造临时密钥通告分组发送给交换设备 SWhSt。 该临时密钥通告分组 包括:
其中:
IDs。urce字段: 表示发送源节点 Ns。urce的标识;
IDoestination字段: 表示目的节点 NDestinati。n的标识;
EKeyi字段:表示密钥资料数据, 由交换设备 SWFirst用其与交换设备 SWLast 之间的密钥 KEYF 对共享密钥 KEY 加密后的数据;
MIC1字段: 表示消息完整性验证码, 由交换设备 SWFlKt用其与交换设备 SWLast之间的密钥 KEYF 对构造的临时密钥通告分组除本字段外其他字段通 过杂凑函数计算得到的杂凑值。
3 ) 交换设备 SW^t发送密钥通告分组给目的节点 N Destination,
交换设备 sw^ t到临时密钥通告分组后, 进行如下处理:
3.1 )利用其与交换设备 SWFlKt之间的密钥 KEYF 验证 MIC1是否正确, 若不正确, 则丟弃该分组; 否则, 执行 3.2 );
3.2 )利用其与交换设备 SWFlKt之间的密钥 KEYF 解密 EKeyl字段, 得到 临时密钥, 将其作为发送源节点 Ns。urce和目的节点 1¾^^1∞之间的共享密钥 KEYS-D;
3.3 )构造密钥通告分组发送给目的节点 NDestmatl。n。
该密钥通告分组中包括:
ID Source E 'key2 MIC2
其中:
IDs。urce字段: 表示发送源节点 Ns。urce的标识;
Ekey2字段:表示密钥资料数据,由交换设备 SW^t用其与目的节点 NDestinatl。n 之间的密钥 KEYD对计算得到的发送源节点 Ns。urce和目的节点 NDestmatl。n之间的 共享密钥 KEY 加密后的数据;
MIC2字段: 表示消息完整性验证码, 由交换设备 SWLast用其与目的节点 NDestmatl。n之间的密钥 KEYD对该密钥通告分组中本字段外的其他字段通过杂凑 函数计算得到的杂凑值。
4 ) 目的节点 NDestinatl。n发送密钥通告响应分组给交换设备 SWLast;
目的节点 N^t^to^t到密钥通告分组后, 进行如下处理:
4.1 )利用与交换设备 SWLast之间的密钥 KEYD验证 MIC2是否正确, 若不正 确, 则丟弃该分组; 否则, 执行 4.2 );
4.2 ) 利用与交换设备 SWLast之间的密钥 KEYD解密 Ekey2字段即可得到与发 送源节点 Ns。urce之间的共享密钥 KEYS_D;
该密钥通告响应分组包括:
ID Source MIC3
其中:
IDs。urce字段: 表示发送源节点 Ns。urce的标识, 其值同收到的密钥通告分组 中的 IDs。urce字段的值;
MIC3字段:表示消息完整性验证码, 由目的节点 N^^to^j用与交换设备
SWhSt之间的密钥 KEYD对该密钥通告响应分组中本字段外的其他字段通过杂 凑函数计算得到的杂凑值。
5 ) 交换设备 SWhSt发送临时密钥通告响应分组给交换设备 SWFlKt;
交换设备 SW^J ^'j密钥通告响应分组后, 进行如下处理:
5.1 ) 比较 IDs。urce字段与之前发送的密钥通告分组中 IDs。urce字段值是否一 致, 若不一致, 则丟弃该分组; 否则, 执行 5.2 );
5.2 )利用与目的节点 NDestinatl。n之间的密钥 KEYD验证 MIC3是否正确, 若不 正确, 则丟弃该分组; 否则, 执行 5.3 );
5.3 )构造临时密钥通告响应分组发送给交换设备 SWFlKt。
该临时密钥通告响应分组包括:
ID Source ID Destination MIC4
其中:
IDs。urce字段: 表示发送源节点 Ns。urce的标识;
IDoestination字段: 表示目的节点 NDestinati。n的标识;
MIC4字段: 表示消息完整性验证码, 由交换设备 SWLast利用与交换设备 8\^^之间的密钥 KEY †该临时密钥通告响应分组中本字段外的其他字段 通过杂凑函数计算得到的杂凑值。
6 ) 交换设备 SWFlKt发送密钥响应分组给发送源节点 Ns。urce;
交换设备 S WFl t到临时密钥通告响应分组后, 进行如下处理:
6.1 )检查分组中的 IDs。urce字段、 IDDestinatl。n字段与之前发送给交换设备 SWhSt的临时密钥通告分组中的对应字段值是否一致, 若不一致, 则丟弃该分 组; 否则, 执行 6.2 );
6.2 ) 利用与交换设备 SWLasr^¾]的密钥 KEYF 验证 MIC4是否正确, 若不 正确, 则丟弃该分组; 否则, 构造密钥响应分组发送给发送源节点 Ns。urce。
该密钥响应分组包括:
ID Destination E 'key3 MIC5
其中:
IDoestination字段: 表示目的节点 NDestinati。n的标识;
Ekey3字段:表示密钥资料数据,由交换设备 SWFlKt用其与发送源节点 Ns。urce 之间的密钥 KEYs对计算得到的发送源节点 Ns。urce和目的节点 NDestmatl。n之间的 共享密钥 KEY 加密后的数据;
MIC5字段:表示消息完整性验证码, 由交换设备 SWFlKt用其与发送源节点 Ns。urce之间的密钥 KEYs对该密钥响应分组中本字段外的其他字段通过杂凑函 数计算得到的杂凑值。
7 )发送源节点 Ns。urce接收密钥响应分组;
发送源节点 Ns。urce收到密钥响应分组后, 进行如下处理:
7.1 )利用与交换设备 SWFlKt之间的密钥 KEYs验证 MIC5是否正确, 若不正 确, 则丟弃该分组; 否则, 执行 7.2 );
7.2 ) 利用与交换设备 SWFirer^¾]的密钥 KEYs解密 Ekey3字段即可得到与目
的节点 N^totoA间的共享密钥 KEYS_D, 即完成发送源节点 NS。urce和目的节点
NDestmatlon^间共享密钥 KEY D的建立过程。
当对上述方案进行具体实施时, 发送源节点 Ns。urce还可生成一个数值, 作 为此次节点间密钥建立过程的标识, 该标识可为时钟、 顺序号或随机数, 且在 每个消息中进行携带, 相应地交换设备 SWhSt收到密钥通告响应分组后需验证 分组中的标识值与其之前接收的临时密钥通告分组中的标识值是否一致;交换 设备 SWFlKt收到临时密钥通告响应分组后需验证分组中的标识值与其之前接 收的密钥请求分组中的标识值是否一致; 发送源节点 Ns。urce收到密钥响应分组 后需验证分组中的标识值与其之前发送的密钥请求分组中的标识值是否一致。
当利用上述方案进行具体实施时, 也可以由发送源节点 Ns。urce、 交换设备
SWFlKt及交换设备 SWhSt在发送密钥请求分组、 临时密钥通告分组、 密钥通告 分组时, 各自独立生成一个数值(可为时钟、 顺序号或随机数)作为消息新鲜 性标识分别携带在上述分组中, 相应地交换设备 SWLast收到密钥通告响应分组 后需验证分组中的标识值与其之前发送的密钥通告分组中的标识值是否一致; 交换设备 SWFlKt收到临时密钥通告响应分组后需验证分组中的标识值与其之 前发送的临时密钥通告分组中的标识值是否一致; 发送源节点 Ns。urce收到密钥 响应分组后需验证分组中的标识值与其之前发送的密钥请求分组中的标识值 是否一致。
本发明还提供一种节点间安全连接的建立系统, 包括向交换设备 SWFlKt 发送密钥请求分组、 接收交换设备 SWFlKt发送的密钥响应分组的发送源节点
Nsource; 接收发送源节点 NS。urce发送的密钥请求分组、 向交换设备 SWL 发送 临时密钥通告分组、接收交换设备 SW^t发送的临时密钥通告响应分组、向发 送源节点 Ns。urce发送密钥响应分组的交换设备 SWFirst; 接收交换设备 SWFlKt 发送的临时密钥通告分组、向目的节点 NDestinatl。n发送密钥通告分组、接收目的 节点 NDestinatl。n发送的密钥通告响应分组、 向交换设备 SWFlKt发送临时密钥通 告响应分组的交换设备 SWhSt; 接收交换设备 SWhSt发送的密钥通告分组、 向 交换设备 SW^t发送密钥通告响应分组的目的节点 N Destination °
本发明还提供一种网络节点, 所述网络节点可以为终端设备或交换设备, 所述网络节点可以包括:
发送模块, 用于当所述网络节点为发送源节点 Ns。urce时, 发送密钥请求分 组给交换设备 SWFlKt, 发送源节点 Ns。urce通过密钥请求分组请求交换设备 SWFiret为发送源节点 Ns。urce建立与目的节点 N Destination之间的共享密钥;
接收模块, 用于当所述网络节点为发送源节点 Ns。urce时, 接收交换设备 SWFlKt发送的密钥响应分组, 提取密钥响应分组中秘密通告的随机数, 作为发 送源节点 Ns。urce建立与目的节点 N Destination之间的共享密钥;
响应模块, 用于当所述网络节点为目的节点 NDestmatl。n时, 接收交换设备 SWhSt发送的密钥通告分组, 提取密钥通告分组中秘密通告的随机数, 作为发 送源节点 Ns。urce建立与目的节点 NDestmatl。n之间的共享密钥;并构造密钥通告响 应分组发送给交换设备 SWLast, 目的节点 NDestinatl。n通过密钥通告响应分组告知 交换设备 SWLast目的节点 N Destination已收到发送源节点 Ns。urce建立与目的节点
NDestmatl。n之间的共享密钥。
当所述网络节点为交换设备时,所述网络节点还可以包括第一通告模块和 第二通告模块。
第一通告模块用于当所述交换设备为交换设备 SWFirst时:
接收发送源节点 Ns。urce发送的密钥请求分组,生成一随机数作为发送源节 点 Ns。urce与目的节点 NDestinatl。n之间的共享密钥,并构造临时密钥通告分组发送 给交换设备 SWLast;交换设备 SWFlKt通过临时密钥通告分组将生成的随机数秘 密通告给交换设备 SWLast;
接收交换设备 SWhSt发送的临时密钥通告响应分组,确认交换设备 SWLast 已将交换设备 SWFlKt生成的随机数秘密通告给目的节点 NDestinatl。n;并构造密钥 响应分组发送给发送源节点 Ns。urce; 交换设备 SWFlKt通过密钥响应分组将生成 的随机数秘密通告给发送源节点 Ns。urce。
第二通告模块用于当所述交换设备为交换设备 SWLast时:
接收交换设备 SWFirst发送的临时密钥通告分组,提取临时密钥通告分组中 秘密通告的随机数, 并构造密钥通告分组发送给目的节点 NDestinatl。n; 交换设备 SW^t通过密钥通告分组将得到的随机数秘密通告给目的节点 NDestinatl。n;
接收目的节点 NDestinatl。n发送的密钥通告响应分组,确认目的节点 NDestinatl。n
已收到交换设备 SWhSt通告的随机数;并构造临时密钥通告响应分组发送给交 换设备 SWFlKt; 交换设备 SW^t通过临时密钥通告响应分组告知交换设备 SWFirst目的节点 NDestinatl。n已收到交换设备 SWFlKt通告的随机数。
Claims
1、 一种节点间安全连接建立方法, 其特征在于: 该方法包括以下步骤:
1 )发送源节点 Ns。urce发送密钥请求分组给第一交换设备 SWFlKt;
2 )第一交换设备 SWFlKt发送临时密钥通告分组给第二交换设备 SWLast;
3 )第二交换设备 SWhSt发送密钥通告分组给目的节点 N Destination,
4 ) 目的节点 NDestinatl。n发送密钥通告响应分组给第二交换设备 SWLast;
5 ) 第二交换设备 SWhSt发送临时密钥通告响应分组给第一交换设备
First,
6 )第一交换设备 swFlKt发送密钥响应分组给发送源节点 Ns。urce;
7 )发送源节点 Ns。urce接收密钥响应分组。
2、 根据权利要求 1所述的节点间安全连接建立方法, 其特征在于: 所述 步骤 1 ) 中密钥请求分组包括目的节点标识 IDDestinatl。n字段, IDDestinatl。n字段表 示目的节点 NDestinatl。n的标识。
3、 根据权利要求 2所述的节点间安全连接建立方法, 其特征在于: 所述 步骤 2 )的具体步骤如下: 第一交换设备 SWFlKt收到密钥请求分组后, 生成一 随机数作为临时密钥, 将该临时密钥作为此次发送源节点 Ns。urce和目的节点 NDestmatl。n之间的共享密钥 KEYS 3, 构造临时密钥通告分组发送给第二交换设 备 该临时密钥通告分组包括: 发送源节点标识 IDs。urce字段、 目的节点 标识 IDDestinatl。n字段、 第一密钥资料数据 EKeyl字段和第一消息完整性验证码 MIC1字段, 其中: IDs。urce字段表示发送源节点 Ns。urc 々标识; ID Destination字段 表示目的节点 NDestinatl。n的标识; EKeyl字段表示密钥资料数据, 为由第一交换 设备 SWFlKt用其与第二交换设备 SWLast之间的第二密钥 KEYF 对共享密钥 KEY 加密后的数据; MIC1字段表示消息完整性验证码, 为由第一交换设备 SWFlKt用其与第二交换设备 SWLast之间的第二密钥 KEYF 对构造的临时密钥 通告分组除本字段外其他字段通过杂凑函数计算得到的杂凑值。
4、 根据权利要求 3所述的节点间安全连接建立方法, 其特征在于: 所述 步骤 3 ) 的具体步骤如下:
3.1 )第二交换设备 SWLast收到临时密钥通告分组后, 利用其与第一交换 设备 SWFirst之间的第二密钥 KEYF 验证 MIC1是否正确, 若不正确, 则丟弃
该临时密钥通告分组; 否则, 执行 3.2 );
3.2 )利用其与第一交换设备 SWFlKt之间的第二密钥 KEYF 解密 6¾^字 段,得到临时密钥,将其作为发送源节点 Ns。urce和目的节点 1¾^^1∞之间的共 享密钥 KEYS 3;
3.3 )构造密钥通告分组发送给目的节点 NDestinatl。n; 该密钥通告分组中包 括: 发送源节点标识 IDs。urce字段、 第二密钥资料数据 Ekey2字段和第二消息完 整性验证码 MIC2字段,其中: IDs。urce字段表示发送源节点 Ns。urce的标识; Ekey2 字段表示密钥资料数据, 为由第二交换设备 SWLast用其与目的节点 N Destination 之间的第三密钥 KEYD对计算得到的发送源节点 Ns。urce和目的节点 NDestmatl。n 之间的共享密钥 KEY 加密后的数据; MIC2字段表示消息完整性验证码, 为由第二交换设备 SWLast用其与目的节点 N Destination之间的第三密钥 KEYD对该 密钥通告分组中本字段外的其他字段通过杂凑函数计算得到的杂凑值。
5、 根据权利要求 4所述的节点间安全连接建立方法, 其特征在于: 所述 步骤 4 ) 的具体步骤如下:
4.1 ) 目的节点 NDestinatKvlt到密钥通告分组后, 利用与第二交换设备 SWLast 之间的第三密钥 KEYD验证 MIC2是否正确,若不正确,则丟弃该密钥通告分组; 否则, 执行 4.2 );
4.2 ) 利用与第二交换设备 SWLast之间的第三密钥 KEYD解密 Ekey2字段即可 得到与发送源节点 Ns。urce之间的共享密钥 KEYS_D;
4.3 )构造密钥通告响应分组发送给第二交换设备 SWhSt; 该密钥通告响应 分组包括: 发送源节点标识 IDs。urce字段和第三消息完整性验证码 MIC3字段, 其中: IDs。urce字段表示发送源节点 Ns。urce的标识, 其值同收到的密钥通告分组 中的 IDs。urce字段的值; MIC3字段表示消息完整性验证码, 由目的节点 N Destination 利用与第二交换设备 S WhSt之间的第三密钥 KEYD对该密钥通告响应分组中本 字段外的其他字段通过杂凑函数计算得到的杂凑值。
6、 根据权利要求 5所述的节点间安全连接建立方法, 其特征在于: 所述 步骤 5 ) 的具体步骤如下:
5.1 )第二交换设备 SWhJt到密钥通告响应分组后, 比较 IDs。urce字段与之 前发送的密钥通告分组中 IDs。urce字段值是否一致, 若不一致, 则丟弃该密钥通
告响应分组; 否则, 执行 5.2 );
5.2 )利用与目的节点 NDestinatl。n之间的第三密钥 KEYD验证 MIC3是否正确, 若不正确, 则丟弃该密钥通告响应分组; 否则, 执行 5.3 );
5.3 )构造临时密钥通告响应分组发送给第一交换设备 SWFlKt; 该临时密钥 通告响应分组包括: 发送源节点标识 IDs。urce字段、 目的节点标识 IDDestinatl。n字段 和第四消息完整性验证码 MIC4字段, 其中: IDs。urce字段表示发送源节点 Ns。urce 的标识; IDDestinatl。n字段表示目的节点 NDestinatl。n的标识; MIC4字段表示消息完整 性验证码, 为由第二交换设备 S WhSt利用与第一交换设备 S WFlKt之间的第二密 算得到的杂凑值。
7、 根据权利要求 6所述的节点间安全连接建立方法, 其特征在于: 所述 步骤 6 ) 的具体步骤如下:
的临时密钥通告分组中的对应字段值是否一致, 若不一致, 则丟弃该临时密钥 通告响应分组; 否则, 执行 6.2 );
6.2 ) 利用与第二交换设备 SWLast之间的第二密钥 KEYF 验证 MIC4是否正 确, 若不正确, 则丟弃该临时密钥通告响应分组; 否则, 构造密钥响应分组发 送给发送源节点 Ns。urce; 该密钥响应分组包括: 目的节点标识 IDDestinatl。n字段、 第三密钥资料数据 Ekey3字段和第五消息完整性验证码 MIC5字段, 其中:
IDDestmato^段表示目的节点 N Destination的标识; Ekey3字段表示密钥资料数据, 为 由第一交换设备 SWFlKt用其与发送源节点 Ns。urce之间的第一密钥 KEYS对计算得 到的发送源节点 Ns。urce和目的节点 NDestinatl。n之间的共享密钥 KEY 加密后的数 据; MIC5字段表示消息完整性验证码, 为由第一交换设备 SWFlKt用其与发送源 节点 Ns。urce之间的第一密钥 KEYS对该密钥响应分组中本字段外的其他字段通 过杂凑函数计算得到的杂凑值。
8、根据权利要求 7所述的节点间安全连接建立方法, 其特征在于: 所述步 骤 7 ) 的具体步骤如下:
7.1 )发送源节点 Ns。urce收到密钥响应分组后, 利用与第一交换设备 SWFlKt
之间的第一密钥 KEYS验证 MIC5是否正确,若不正确,则丟弃该密钥响应分组; 否则, 执行 7.2 );
7.2 ) 利用与第一交换设备 SWFiret之间的第一密钥 KEYS解密 Ekey3字段即可 得到与目的节点 N^t^toA间的共享密钥 KEYS_D, 即完成发送源节点 NS。urce和 目的节点 NDestinatl。n之间共享密钥 KEY 的建立过程。
9、 一种节点间安全连接的建立系统, 其特征在于: 该系统包括向第一交 换设备 SWFlKt发送密钥请求分组、 接收第一交换设备 SWFirst发送的密钥响应分 组的发送源节点 Ns。urce;接收发送源节点 Ns。urce发送的密钥请求分组、向第二交 换设备 SWhSt发送临时密钥通告分组、 接收第二交换设备 SWhSt发送的临时密 钥通告响应分组、 向发送源节点 Ns。urce发送密钥响应分组的第一交换设备 SWFirst; 接收第一交换设备 SWFlKt发送的临时密钥通告分组、 向目的节点 NDestmatl。n发送密钥通告分组、接收目的节点 NDestinatl。n发送的密钥通告响应分组、 向第一交换设备 SWFlKt发送临时密钥通告响应分组的第二交换设备 SWhSt; 接 收第二交换设备 SWhSt发送的密钥通告分组、 向第二交换设备 SW^t发送密钥 通告响应分组的目的节点 NDestinatl。n。
10、 一种网络节点, 其特征在于: 所述网络节点为终端设备或交换设备, 所述网络节点包括:
发送模块, 用于当所述网络节点为发送源节点 Ns。urce时, 发送密钥请求分 组给第一交换设备 SWFlKt,发送源节点 Ns。urce通过密钥请求分组请求第一交换 设备 SWFirst为发送源节点 Ns。urce建立与目的节点 N Destination之间的共享密钥; 接收模块, 用于当所述网络节点为发送源节点 Ns。urce时,接收第一交换设 备 SWFlKt发送的密钥响应分组,提取密钥响应分组中秘密通告的随机数,作为 发送源节点 Ns。urce与目的节点 NDestmatl。n之间的共享密钥;
响应模块,用于当所述网络节点为目的节点 NDestmatl。n时,接收第二交换设 备 SWhSt发送的密钥通告分组,提取密钥通告分组中秘密通告的随机数,作为 发送源节点 Ns。urce与目的节点 NDestmatl。n之间的共享密钥;并构造密钥通告响应 分组发送给第二交换设备 SWLast, 目的节点 NDestinatl。n通过密钥通告响应分组告 知第二交换设备 SWLast目的节点 N Destination已收到发送源节点 Ns。urce与目的节点
NDestmatl。n之间的共享密钥。
11、 根据权利要求 10所述的一种网络节点, 其特征在于, 当所述网络节 点为交换设备时, 还包括:
第一通告模块, 用于当所述交换设备为第一交换设备 SWFirst时,
接收发送源节点 Ns。urce发送的密钥请求分组,生成一随机数作为发送源节 点 Ns。urce与目的节点 NDestinatl。n之间的共享密钥,并构造临时密钥通告分组发送 给第二交换设备 SWLast;第一交换设备 SWFlKt通过临时密钥通告分组将生成的 随机数秘密通告给第二交换设备 SWLast;
接收第二交换设备 SWhSt发送的临时密钥通告响应分组,确认第二交换设 备 SWhSt 已将第一交换设备 SWFlKt生成的随机数秘密通告给目的节点 NDestinatlon;并构造密钥响应分组发送给发送源节点 Ns。urce;第一交换设备 SWFirst 通过密钥响应分组将生成的随机数秘密通告给发送源节点 Ns。urce;
第二通告模块, 用于当所述交换设备为第二交换设备 SWLast时,
接收第一交换设备 SWFirst发送的临时密钥通告分组,提取临时密钥通告分 组中秘密通告的随机数, 并构造密钥通告分组发送给目的节点 NDestinatl。n; 第二 交换设备 SW^t通过密钥通告分组将得到的随机数秘密通告给目的节点
^Destination,
接收目的节点 NDestinatl。n发送的密钥通告响应分组,确认目的节点 NDestinatl。n 已收到第二交换设备 SWhSt通告的随机数;并构造临时密钥通告响应分组发送 给第一交换设备 SWFirst;第二交换设备 SWhSt通过临时密钥通告响应分组告知 第一交换设备 SWFirst目的节点 N Destination已收到第一交换设备 swFlKt通告的随 机数。
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201010159673.3A CN101834862B (zh) | 2010-04-29 | 2010-04-29 | 一种节点间安全连接建立方法及系统 |
CN201010159673.3 | 2010-04-29 |
Publications (1)
Publication Number | Publication Date |
---|---|
WO2011134294A1 true WO2011134294A1 (zh) | 2011-11-03 |
Family
ID=42718793
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
PCT/CN2011/070515 WO2011134294A1 (zh) | 2010-04-29 | 2011-01-24 | 一种节点间安全连接建立方法及系统 |
Country Status (2)
Country | Link |
---|---|
CN (1) | CN101834862B (zh) |
WO (1) | WO2011134294A1 (zh) |
Families Citing this family (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101834862B (zh) * | 2010-04-29 | 2013-02-13 | 西安西电捷通无线网络通信股份有限公司 | 一种节点间安全连接建立方法及系统 |
CN101969375B (zh) * | 2010-10-25 | 2012-07-04 | 西安西电捷通无线网络通信股份有限公司 | 通告式安全连接建立系统及方法 |
US10142769B2 (en) * | 2015-01-14 | 2018-11-27 | Samsung Electronics Co., Ltd. | Method and system for establishing a secure communication between remote UE and relay UE in a device to device communication network |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1901444A (zh) * | 2006-07-21 | 2007-01-24 | 北京理工大学 | 一种降低manet网络密钥管理系统通信量的实现方法 |
CN101094064A (zh) * | 2006-07-25 | 2007-12-26 | 中兴通讯股份有限公司 | 一种ip终端安全接入网络的方法 |
EP2028830A2 (en) * | 2007-08-08 | 2009-02-25 | Mitel Networks Corporation | Recording calls |
CN101834862A (zh) * | 2010-04-29 | 2010-09-15 | 西安西电捷通无线网络通信股份有限公司 | 一种节点间安全连接建立方法及系统 |
CN101834863A (zh) * | 2010-04-29 | 2010-09-15 | 西安西电捷通无线网络通信股份有限公司 | 一种局域网节点间安全连接建立方法及系统 |
Family Cites Families (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US6807277B1 (en) * | 2000-06-12 | 2004-10-19 | Surety, Llc | Secure messaging system with return receipts |
JP4735157B2 (ja) * | 2005-09-22 | 2011-07-27 | ソニー株式会社 | 無線通信システム、無線通信装置及び無線通信方法、並びにコンピュータ・プログラム |
CN101227272A (zh) * | 2007-01-19 | 2008-07-23 | 华为技术有限公司 | 一种获取媒体流保护密钥的方法和系统 |
-
2010
- 2010-04-29 CN CN201010159673.3A patent/CN101834862B/zh active Active
-
2011
- 2011-01-24 WO PCT/CN2011/070515 patent/WO2011134294A1/zh active Application Filing
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1901444A (zh) * | 2006-07-21 | 2007-01-24 | 北京理工大学 | 一种降低manet网络密钥管理系统通信量的实现方法 |
CN101094064A (zh) * | 2006-07-25 | 2007-12-26 | 中兴通讯股份有限公司 | 一种ip终端安全接入网络的方法 |
EP2028830A2 (en) * | 2007-08-08 | 2009-02-25 | Mitel Networks Corporation | Recording calls |
CN101834862A (zh) * | 2010-04-29 | 2010-09-15 | 西安西电捷通无线网络通信股份有限公司 | 一种节点间安全连接建立方法及系统 |
CN101834863A (zh) * | 2010-04-29 | 2010-09-15 | 西安西电捷通无线网络通信股份有限公司 | 一种局域网节点间安全连接建立方法及系统 |
Also Published As
Publication number | Publication date |
---|---|
CN101834862B (zh) | 2013-02-13 |
CN101834862A (zh) | 2010-09-15 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
KR101492179B1 (ko) | 사용자 단말기들 사이의 보안 연결을 확립하기 위한 방법 및 시스템 | |
KR101019300B1 (ko) | 애드 혹 무선 네트워크에서 인증 키 요소의 보안 처리를 위한 방법 및 시스템 | |
JP6023152B2 (ja) | ダイレクトリンク通信のための拡張されたセキュリティ | |
US8560848B2 (en) | Galois/counter mode encryption in a wireless network | |
KR101421399B1 (ko) | 링크 계층 암호화/복호화 능력을 구비하는 단말 장치 및 그의 데이터 처리 방법 | |
KR101485279B1 (ko) | 링크 계층 보안 전송을 지원하는 스위칭 장치 및 그의 데이터 처리 방법 | |
WO2012019466A1 (zh) | 邻居用户终端间保密通信方法、终端、交换设备及系统 | |
WO2011143943A1 (zh) | 一种端到端安全连接的建立方法、系统及装置 | |
KR101421259B1 (ko) | 스위치 장비들 사이에서 보안 연결을 확립하는 방법 및 시스템 | |
US20100131762A1 (en) | Secured communication method for wireless mesh network | |
WO2011134293A1 (zh) | 一种局域网节点间安全连接建立方法及系统 | |
WO2011134294A1 (zh) | 一种节点间安全连接建立方法及系统 | |
WO2011143945A1 (zh) | 一种端到端共享密钥的建立方法、系统及装置 | |
WO2011134291A1 (zh) | 一种节点间密钥的建立方法、系统及装置 | |
WO2011134292A1 (zh) | 一种节点间通信密钥的建立方法、系统及装置 | |
WO2012055173A1 (zh) | 一种节点间会话密钥的建立系统、方法及装置 | |
WO2012100552A1 (zh) | 一种组播密钥的安全更新方法、系统及设备 | |
WO2011143944A1 (zh) | 一种端到端通信密钥的建立方法、系统及装置 | |
Sudarsono et al. | A Secure Data Exchange System in Wireless Delay Tolerant Network Using Attribute-Based Encryption | |
WO2012097601A1 (zh) | 一种组播密钥的安全分发方法、系统及设备 | |
Yin et al. | Secure authentication scheme for 10 Gbit/s Ethernet passive optical networks | |
Jeba et al. | Reliable anonymous secure packet forwarding scheme for wireless sensor networks | |
Dik et al. | QKD-based MACsec control plane for the Open-RAN Fronthaul | |
WO2012055171A1 (zh) | 通告式安全连接建立系统、方法及装置 | |
WO2012055172A1 (zh) | 节点间会话密钥的建立系统、方法及装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
121 | Ep: the epo has been informed by wipo that ep was designated in this application |
Ref document number: 11774285 Country of ref document: EP Kind code of ref document: A1 |
|
NENP | Non-entry into the national phase |
Ref country code: DE |
|
122 | Ep: pct application non-entry in european phase |
Ref document number: 11774285 Country of ref document: EP Kind code of ref document: A1 |