亚洲成年人黄色一级片,日本香港三级亚洲三级,黄色成人小视频,国产青草视频,国产一区二区久久精品,91在线免费公开视频,成年轻人网站色直接看

用戶終端之間安全連接的建立方法及系統(tǒng)的制作方法

文檔序號(hào):7724436閱讀:310來源:國知局

專利名稱::用戶終端之間安全連接的建立方法及系統(tǒng)的制作方法
技術(shù)領(lǐng)域
:本發(fā)明涉及一種用戶終端之間安全連接的建立方法及系統(tǒng)。
背景技術(shù)
:有線局域網(wǎng)一般為廣播型網(wǎng)絡(luò),一個(gè)節(jié)點(diǎn)發(fā)出的數(shù)據(jù),其他節(jié)點(diǎn)都能收到。網(wǎng)絡(luò)上的各個(gè)節(jié)點(diǎn)共享信道,這給網(wǎng)絡(luò)帶來了極大的安全隱患。攻擊者只要接入網(wǎng)絡(luò)進(jìn)行監(jiān)聽,就可以捕獲網(wǎng)絡(luò)上所有的數(shù)據(jù)包,從而竊取關(guān)鍵信息?,F(xiàn)有國家標(biāo)準(zhǔn)GB/T15629.3(對(duì)應(yīng)IEEE802.3或者IS0/IEC8802-3)定義的局域網(wǎng)LAN(LocalAreaNetwork)并不提供安全接入及數(shù)據(jù)保密方法,只要用戶能接入局域網(wǎng)控制設(shè)備(如局域網(wǎng)交換設(shè)備),就可以訪問局域網(wǎng)中的設(shè)備或資源。這在早期企業(yè)網(wǎng)有線LAN應(yīng)用環(huán)境下并不存在明顯的安全隱患,但是隨著網(wǎng)絡(luò)的大規(guī)模發(fā)展,用戶對(duì)信息的私密性要求不斷提高,有必要實(shí)現(xiàn)數(shù)據(jù)鏈路層的數(shù)據(jù)保密。在有線局域網(wǎng)中,IEEE通過對(duì)IEEE802.3進(jìn)行安全增強(qiáng)來實(shí)現(xiàn)鏈路層的安全。IEEE802.1AE為保護(hù)以太網(wǎng)提供數(shù)據(jù)加密協(xié)議,并采用逐跳加密的安全措施來實(shí)現(xiàn)網(wǎng)絡(luò)實(shí)體之間信息的安全傳達(dá)。但是,逐跳加密的這種安全措施要求交換設(shè)備對(duì)每一個(gè)需要轉(zhuǎn)發(fā)的數(shù)據(jù)包都進(jìn)行解密后再加密再轉(zhuǎn)發(fā),無疑給局域網(wǎng)中的交換設(shè)備帶來了巨大的計(jì)算負(fù)擔(dān),容易引發(fā)攻擊者對(duì)交換設(shè)備的攻擊;且數(shù)據(jù)包從發(fā)送方傳遞到接收方的延時(shí)也會(huì)增大,降低了網(wǎng)絡(luò)傳輸效率。在有線局域網(wǎng)中,同一個(gè)交換設(shè)備SW(SWitch)下直連用戶終端STA(STAtion)之間往往有大量的通信數(shù)據(jù),這些通信數(shù)據(jù)的保密傳輸都會(huì)經(jīng)過該交換設(shè)備。若通過交換設(shè)備的數(shù)據(jù)包要經(jīng)過解密再加密后再進(jìn)行轉(zhuǎn)發(fā),不但會(huì)增加交換設(shè)備的計(jì)算負(fù)擔(dān),增加網(wǎng)絡(luò)的延時(shí),也會(huì)大大降低了網(wǎng)絡(luò)的傳輸效率。
發(fā)明內(nèi)容為了解決
背景技術(shù)
中存在的上述技術(shù)問題,本發(fā)明提供了一種用戶終端之間安全連接的建立方法及系統(tǒng),通過交換設(shè)備為其直連兩個(gè)用戶終端之間建立站間密鑰來保護(hù)用戶終端之間用戶數(shù)據(jù)的機(jī)密性和完整性。本發(fā)明的技術(shù)解決方案是本發(fā)明提供了一種用戶終端之間安全連接的建立方法,其特殊之處在于所述方法包括以下步驟1)第一用戶終端STA1向交換設(shè)備SW發(fā)送站間密鑰請(qǐng)求分組;2)交換設(shè)備SW收到第一用戶終端STA1發(fā)來的站間密鑰請(qǐng)求分組后,產(chǎn)生站間密鑰,構(gòu)造站間密鑰通告分組并發(fā)送給第二用戶終端STA2;3)第二用戶終端STA2收到交換設(shè)備SW發(fā)送的站間密鑰通告分組后,構(gòu)造站間密鑰通告響應(yīng)分組并發(fā)送給交換設(shè)備SW;4)交換設(shè)備SW收到第二用戶終端STA2發(fā)送的站間密鑰通告響應(yīng)分組后,構(gòu)造站間密鑰通告分組并發(fā)送給第一用戶終端STA1;5)第一用戶終端STA1收到交換設(shè)備SW發(fā)送的站間密鑰通告分組后,構(gòu)造站間密鑰通告響應(yīng)分組并發(fā)送給交換設(shè)備SW;6)交換設(shè)備SW接收第一用戶終端STA1發(fā)送的站間密鑰通告響應(yīng)分組。上述步驟1)的具體實(shí)現(xiàn)方式是當(dāng)?shù)谝挥脩艚K端STA1要與第二用戶終端STA2進(jìn)行保密通信時(shí),若用戶終端STA1與用戶終端STA2是同一交換設(shè)備SW下直連用戶終端,第一用戶終端STA1首先檢查本地是否保存有與第二用戶終端STA2共享的站間密鑰,若有,則使用站間密鑰加密數(shù)據(jù)包;若沒有,則第一用戶終端STA1構(gòu)造站間密鑰請(qǐng)求分組,發(fā)送給交換設(shè)備SW;所述站間密鑰請(qǐng)求分組的主要內(nèi)容包括KN1字段以及MIC1字段;其中KN1字段表示第一用戶終端STA1的密鑰通告標(biāo)識(shí),其值為一個(gè)整數(shù),初始值為一定值,在每次站間密鑰請(qǐng)求時(shí)該字段值加1或增加一個(gè)定值使用;MIC1字段表示消息鑒別碼,其值為第一用戶終端STA1利用與交換設(shè)備SW共享的單播密鑰中的協(xié)議數(shù)據(jù)密鑰對(duì)站間密鑰請(qǐng)求分組中本字段外的其他字段通過雜湊函數(shù)計(jì)算得到的雜湊值。上述步驟2)的具體實(shí)現(xiàn)方式是2.1)交換設(shè)備SW收到第一用戶終端STA1發(fā)來的站間密鑰請(qǐng)求分組后,首先檢查KN1字段是否單調(diào)遞增,若不是,則丟棄該分組;若是,則執(zhí)行步驟2.2);2.2)利用與第一用戶終端STA1共享的單播密鑰中的協(xié)議數(shù)據(jù)密鑰PD&驗(yàn)證站間密鑰請(qǐng)求分組中MIC1字段的正確性,若正確,則執(zhí)行步驟2.2);若不正確,則丟棄該分組;2.3)生成一個(gè)隨機(jī)數(shù)作為第一用戶終端STA1和第二用戶終端STA2之間的站間密鑰STAkeyi—2,構(gòu)造站間密鑰通告分組,將其發(fā)送給第二用戶終端STA2;站間密鑰通告分組的主要內(nèi)容包括KN2字段、E2字段以及MIC2字段;其中KN2字段表示第二用戶終端STA2的密鑰通告標(biāo)識(shí),其值為一個(gè)整數(shù),初始值為一定值,在每次站間密鑰通告時(shí)該字段值加1或增加一個(gè)定值使用;E2字段表示密鑰加密數(shù)據(jù),是交換設(shè)備SW利用與第二用戶終端STA2共享的單播密鑰中的協(xié)議數(shù)據(jù)密鑰PDK2對(duì)站間密鑰STAkey卜2加密后的數(shù)據(jù);MIC2字段表示消息鑒別碼,其值為交換設(shè)備SW利用與第二用戶終端STA2共享的單播密鑰中的協(xié)議數(shù)據(jù)密鑰PDK2對(duì)站間密鑰通告分組中本字段外的其他字段通過雜湊函數(shù)計(jì)算得到的雜湊值。上述步驟3)的具體實(shí)現(xiàn)方式是3.1)第二用戶終端STA2收到交換設(shè)備SW發(fā)送的站間密鑰通告分組后,檢查KN2字段是否單調(diào)遞增,若不是,則丟棄該分組;若是,則執(zhí)行步驟3.2);3.2)利用與交換設(shè)備SW共享的單播密鑰中的協(xié)議數(shù)據(jù)密鑰PDK2驗(yàn)證MIC2字段是否正確,若不正確,則丟棄該分組;若正確,則執(zhí)行步驟3.3);3.3)利用與交換設(shè)備SW共享的單播密鑰中的協(xié)議數(shù)據(jù)密鑰PDK2解密E2字段即可得到與第一用戶終端STA1之間的站間密鑰STAkeyi—2;3.4)保存此次的密鑰通告標(biāo)識(shí)KN2字段的值,并構(gòu)造站間密鑰通告響應(yīng)分組,發(fā)送給交換設(shè)備SW;站間密鑰通告響應(yīng)分組主要內(nèi)容包括KN2字段和MIC3字段;其中KN2字段表示第二用戶終端STA2的密鑰通告標(biāo)識(shí),其值同收到的站間密鑰通告分組中的KN2字段的值;MIC3字段表示消息鑒別碼,由第二用戶終端STA2利用與交換設(shè)備SW共享的單播密鑰中的協(xié)議數(shù)據(jù)密鑰PDK2對(duì)站間密鑰通告響應(yīng)分組中本字段外的其他字段通過雜湊函數(shù)計(jì)算得到的雜湊值。上述步驟4)的具體實(shí)現(xiàn)方式是4.1)交換設(shè)備SW收到第二用戶終端STA2發(fā)送的站間密鑰通告響應(yīng)分組后,比較KN2字段與之前發(fā)送給第二用戶終端STA2的站間密鑰通告分組中的KN2字段值是否一致,若不一致,則丟棄該分組;若一致,則執(zhí)行步驟4.2);4.2)利用與第二用戶終端STA2共享的單播密鑰中的協(xié)議數(shù)據(jù)密鑰PDK2驗(yàn)證MIC3字段的正確性,若不正確,則丟棄該分組;若正確,則保存此次的密鑰通告標(biāo)識(shí)KN2字段的值,完成將第一用戶終端STA1與第二用戶終端STA2之間的站間密鑰STAkey卜2對(duì)第二用戶終端STA2通告的過程,執(zhí)行步驟4.3);4.3)根據(jù)之前通告給第二用戶終端STA2的站間密鑰STAkey卜2,構(gòu)造站間密鑰通告分組,將其發(fā)送給第一用戶終端STA1;站間密鑰通告分組主要內(nèi)容包括KN1字段、E工字段以及MIC4字段;其中KN1字段表示第一用戶終端STA1的密鑰通告標(biāo)識(shí),其值同之前收到的第一用戶終端STA1發(fā)送的站間密鑰請(qǐng)求分組中的KN1字段的值;E工字段表示密鑰加密數(shù)據(jù),是交換設(shè)備SW利用與第一用戶終端STA1共享的單播密鑰中的協(xié)議數(shù)據(jù)密鑰PD^對(duì)站間密鑰STAkey卜2加密后的數(shù)據(jù),其中站間密鑰STAkey^2同通告給第二用戶終端STA2的站間密鑰STAkeyi—2;MIC4字段表示消息鑒別碼,其值為交換設(shè)備SW利用與第一用戶終端STA1共享的單播密鑰中的協(xié)議數(shù)據(jù)密鑰PD^對(duì)站間密鑰通告分組中本字段外的其他字段通過雜湊函數(shù)計(jì)算得到的雜湊值。上述步驟5)的具體實(shí)現(xiàn)方式是5.D當(dāng)?shù)谝挥脩艚K端STA1收到交換設(shè)備SW發(fā)送的站間密鑰通告分組后,比較KN1字段值與之前發(fā)送的站間密鑰請(qǐng)求分組中的KN1字段值是否一致,若不一致,則丟棄該分組;若一致,則執(zhí)行步驟5.2);5.2)利用與交換設(shè)備SW共享的單播密鑰中的協(xié)議數(shù)據(jù)密鑰PD^驗(yàn)證MIC4字段是否正確,若不正確,則丟棄該分組;若正確,則執(zhí)行步驟5.3);5.3)利用與交換設(shè)備SW共享的單播密鑰中的協(xié)議數(shù)據(jù)密鑰PD^解密E工字段即可得到與第二用戶終端STA2之間的站間密鑰STAkeyi—2;5.4)保存此次的密鑰通告標(biāo)識(shí)KN1字段的值,并構(gòu)造站間密鑰通告響應(yīng)分組,發(fā)送給交換設(shè)備SW;站間密鑰通告響應(yīng)分組內(nèi)容包括KN1字段以及MIC5字段;其中KN1字段表示第一用戶終端STA1的密鑰通告標(biāo)識(shí),其值同收到的站間密鑰通告8分組中的KN1字段的值;MIC5字段表示消息鑒別碼,由第一用戶終端STA1利用與交換設(shè)備SW共享的單播密鑰中的協(xié)議數(shù)據(jù)密鑰PD^對(duì)站間密鑰通告響應(yīng)分組中本字段外的其他字段通過雜湊函數(shù)計(jì)算得到的雜湊值。上述步驟6)的具體實(shí)現(xiàn)方式是6.1)當(dāng)交換設(shè)備SW收到第一用戶終端STA1發(fā)送的站間密鑰通告響應(yīng)分組后,比較KN1字段與之前發(fā)送給第一用戶終端STA1的站間密鑰通告分組中的KN1字段值是否一致,若不一致,則丟棄該分組;若一致,則執(zhí)行步驟6.2);6.2)利用與第一用戶終端STA1共享的單播密鑰中的協(xié)議數(shù)據(jù)密鑰PD&驗(yàn)證MIC5字段的正確性,若正確,則保存此次的密鑰通告標(biāo)識(shí)KN1字段的值,完成將第一用戶終端STA1與第二用戶終端STA2之間的站間密鑰STAkey卜2對(duì)第一用戶終端STA1通告的過程;若不正確,則丟棄該分組。上述用戶終端之間安全連接的建立方法還包括7)當(dāng)?shù)谝挥脩艚K端STA1需要更新或者撤銷與第二用戶終端STA2之間的站間密鑰時(shí),構(gòu)造站間密鑰請(qǐng)求分組,發(fā)送給交換設(shè)備SW,或者當(dāng)?shù)诙脩艚K端STA2需要更新或者撤銷與第一用戶終端STA1之間的站間密鑰時(shí),構(gòu)造站間密鑰請(qǐng)求分組,發(fā)送給交換設(shè)備SW,請(qǐng)求更新或撤銷第一用戶終端STA1和第二用戶終端STA2之間的站間密鑰STAkey卜2;該站間密鑰的更新或撤銷過程同站間密鑰的建立過程,在具體實(shí)現(xiàn)時(shí),通過在上述的每個(gè)分組中增加一個(gè)標(biāo)識(shí)字段進(jìn)行區(qū)分,用于標(biāo)識(shí)通過交換設(shè)備SW完成第一用戶終端STA1和第二用戶終端STA2之間站間密鑰的建立、撤銷或者更新過程。—種用戶終端之間安全連接的建立系統(tǒng),其特殊之處在于所述同一交換設(shè)備下直連用戶終端之間安全連接的建立系統(tǒng)包括向交換設(shè)備SW發(fā)送站間密鑰請(qǐng)求分組和站間密鑰通告響應(yīng)分組、接收交換設(shè)備SW的站間密鑰通告分組并和第二用戶終端STA2進(jìn)行保密通信的第一用戶終端STA1;接收站間密鑰請(qǐng)求分組并向第二用戶終端STA2發(fā)送站間密鑰通告分組、接收第二用戶終端STA2發(fā)送的站間密鑰通告響應(yīng)分組、向第一用戶終端STA1發(fā)送站間密鑰通告分組、接收第一用戶終端STA1發(fā)送的站間密鑰通告響應(yīng)分組的交換設(shè)備SW以及接收交換設(shè)備SW發(fā)送的站間密鑰通告分組并向交換設(shè)備SW發(fā)送站間密鑰通告響應(yīng)分組并和第一用戶終端STA1進(jìn)行保密通信的第二用戶終端STA2。本發(fā)明的優(yōu)點(diǎn)是本發(fā)明所提供的用戶終端之間安全連接的建立方法及系統(tǒng),是在交換設(shè)備與直連用戶終端之間通過預(yù)分發(fā)或其他安全機(jī)制已建立共享的單播密鑰基礎(chǔ)上,通過交換設(shè)備SW為該交換設(shè)備下兩直連用戶終端之間建立共享密鑰,即站間密鑰STAkey,并將該密鑰用于彼此之間數(shù)據(jù)的通信過程,保證了數(shù)據(jù)鏈路層同一交換設(shè)備下直連用戶終端之間數(shù)據(jù)傳遞過程的機(jī)密性,并使得交換設(shè)備對(duì)其下的站間通信數(shù)據(jù)實(shí)現(xiàn)透傳。相比傳統(tǒng)方法,減輕了交換設(shè)備的計(jì)算負(fù)擔(dān),提高了網(wǎng)絡(luò)傳輸效率。圖1為本發(fā)明所提供站間密鑰建立方法示意圖;圖2為本發(fā)明所提供的用戶終端間安全連接建立示意圖。具體實(shí)施例方式本發(fā)明中定義的交換設(shè)備SW下的直連用戶終端是指直接連接在交換設(shè)備SW某個(gè)端口下的用戶終端,包括通過網(wǎng)線直接連接到交換設(shè)備SW的用戶終端及通過集線器(hub)等物理層設(shè)備連接到交換設(shè)備SW的用戶終端。通過其他設(shè)備連接到交換設(shè)備SW的用戶終端不屬于交換設(shè)備SW的直連用戶終端。第一用戶終端STA1和第二用戶終端STA2分別與交換設(shè)備SW已建立安全連接,即已分別具有共享的單播密鑰,本發(fā)明可以通過交換設(shè)備SW為第一用戶終端STA1和第二用戶終端STA2之間建立共享的站間密鑰,即建立它們之間的安全連接。本發(fā)明中定義的單播密鑰包含協(xié)議數(shù)據(jù)密鑰PDK(ProtocolDataKey)和用戶數(shù)據(jù)密鑰UDK(UserDataKey)兩部分,其中協(xié)議數(shù)據(jù)密鑰PDK用于保護(hù)設(shè)備之間協(xié)議數(shù)據(jù)中密鑰數(shù)據(jù)的機(jī)密性及協(xié)議數(shù)據(jù)的完整性,用戶數(shù)據(jù)密鑰UDK用于保護(hù)設(shè)備之間用戶數(shù)據(jù)的機(jī)密性和完整性。在實(shí)際應(yīng)用時(shí),協(xié)議數(shù)據(jù)密鑰PDK和用戶數(shù)據(jù)密鑰UDK的結(jié)構(gòu)可以根據(jù)分組密碼算法工作的模式不同而有所變化,用于保護(hù)數(shù)據(jù)機(jī)密性和完整性的密鑰可相同,也可不同。本發(fā)明對(duì)單播密鑰的建立機(jī)制不予定義和限制。假設(shè),在網(wǎng)絡(luò)中,交換設(shè)備與用戶終端之間通過預(yù)分發(fā)或其他安全機(jī)制已經(jīng)建立了安全連接,即已具有共享的單播密鑰。參見圖l和圖2,本發(fā)明提供了一種用戶終端之間安全連接的建立方法及系統(tǒng),該方法為同一交換設(shè)備下直連用戶終端兩兩之間建立站間密鑰。以交換設(shè)備SW下第一用戶終端STA1和第二用戶終端STA2建立站間密鑰STAkeyi—2為例,其建立過程是由第一用戶終端STA1發(fā)送站間密鑰請(qǐng)求給交換設(shè)備SW,之后由交換設(shè)備SW生成一個(gè)隨機(jī)數(shù),作為第一用戶終端STA1和第二用戶終端STA2的站間密鑰STAkeyi—2,并先后將此站間密鑰STAkey卜2秘密通告給第二用戶終端STA2和第一用戶終端STA1。整個(gè)過程共包含五個(gè)步驟第一用戶終端STA1向交換設(shè)備SW發(fā)送站間密鑰請(qǐng)求,請(qǐng)求建立第一用戶終端STA1和第二用戶終端STA2的站間密鑰;交換設(shè)備SW對(duì)第二用戶終端STA2進(jìn)行站間密鑰通告,第二用戶終端STA2進(jìn)行站間密鑰通告響應(yīng);接著交換設(shè)備SW對(duì)第一用戶終端STA1進(jìn)行站間密鑰通告以及第一用戶終端STA1進(jìn)行站間密鑰通告響應(yīng)。其中交換設(shè)備SW對(duì)第一用戶終端STA1的通告及第一用戶終端STA1的響應(yīng)與交換設(shè)備SW對(duì)第二用戶終端STA2的通告及第二用戶終端STA2的響應(yīng)類似,只是通告站間密鑰所使用的協(xié)議數(shù)據(jù)密鑰PDK不同而已。交換設(shè)備SW對(duì)用戶終端STA1/STA2的站間密鑰通告過程可以是通知用戶終端STA1/STA2建立與用戶終端STA2/STA1之間的站間密鑰,也可以是通知用戶終端STA1/STA2更新與用戶終端STA2/STA1之間的站間密鑰,還可以是通知用戶終端STA1/STA2撤銷與用戶終端STA2/STA1之間的站間密鑰。建立、更新、撤銷的過程是一樣的,在具體實(shí)現(xiàn)時(shí)可以通過攜帶一個(gè)標(biāo)識(shí)字段進(jìn)行區(qū)分。站間密鑰建立的具體方案如下1)站間密鑰請(qǐng)求當(dāng)?shù)谝挥脩艚K端STA1要與第二用戶終端STA2進(jìn)行保密通信時(shí),若用戶終端STA1與用戶終端STA2是同一交換設(shè)備SW下的直連用戶終端,第一用戶終端STA1首先檢查本地是否保存有與第二用戶終端STA2共享的站間密鑰,若有,則使用站間密鑰加密數(shù)據(jù)包;若沒有,則第一用戶終端STA1構(gòu)造站間密鑰請(qǐng)求分組,發(fā)送給交換設(shè)備SW;站間密鑰請(qǐng)求分組的主要內(nèi)容包括<table>tableseeoriginaldocumentpage11</column></row><table>其中KN1字段表示第一用戶終端STA1的密鑰通告標(biāo)識(shí),其值為一個(gè)整數(shù),初始值為一定值,在每次站間密鑰請(qǐng)求時(shí)該字段值加1或增加一個(gè)定值使用;MIC1字段表示消息鑒別碼,其值為第一用戶終端STA1利用與交換設(shè)備SW共享的單播密鑰中的協(xié)議數(shù)據(jù)密鑰對(duì)站間密鑰請(qǐng)求分組中本字段外的其他字段通過雜湊函數(shù)計(jì)算得到的雜湊值。2)交換設(shè)備SW對(duì)第二用戶終端STA2進(jìn)行站間密鑰通告交換設(shè)備SW收到第一用戶終端STAl發(fā)來的站間密鑰請(qǐng)求分組后,進(jìn)行如下處理2.1)檢查KN1字段是否單調(diào)遞增,若不是,則丟棄該分組;若是,則執(zhí)行步驟2.2);2.2)利用與第一用戶終端STA1共享的單播密鑰中的協(xié)議數(shù)據(jù)密鑰PD&驗(yàn)證站間密鑰請(qǐng)求分組中MIC1字段的正確性,若正確,則執(zhí)行步驟2.2);若不正確,則丟棄該分組;2.3)生成一個(gè)隨機(jī)數(shù)作為第一用戶終端STA1和第二用戶終端STA2之間的站間密鑰STAkey卜2,構(gòu)造站間密鑰通告分組,將其發(fā)送給第二用戶終端STA2;站間密鑰通告分組的主要內(nèi)容包括<table>tableseeoriginaldocumentpage11</column></row><table>其中KN2字段表示第二用戶終端STA2的密鑰通告標(biāo)識(shí),其值為一個(gè)整數(shù),初始值為一定值,在每次站間密鑰通告時(shí)該字段值加1或增加一個(gè)定值使用;E2字段表示密鑰加密數(shù)據(jù),是交換設(shè)備SW利用與第二用戶終端STA2共享的單播密鑰中的協(xié)議數(shù)據(jù)密鑰PDK2對(duì)站間密鑰STAkey卜2加密后的數(shù)據(jù);MIC2字段表示消息鑒別碼,其值為交換設(shè)備SW利用與第二用戶終端STA2共享的單播密鑰中的協(xié)議數(shù)據(jù)密鑰PDK2對(duì)站間密鑰通告分組中本字段外的其他字段通過雜湊函數(shù)計(jì)算得到的雜湊值。3)第二用戶終端STA2進(jìn)行站間密鑰通告響應(yīng)當(dāng)?shù)诙脩艚K端STA2收到交換設(shè)備SW發(fā)送的站間密鑰通告分組后,進(jìn)行如下處理3.1)檢查KN2字段是否單調(diào)遞增,若不是,則丟棄該分組;若是,則執(zhí)行步驟3.2);3.2)利用與交換設(shè)備SW共享的單播密鑰中的協(xié)議數(shù)據(jù)密鑰PDK2驗(yàn)證MIC2字段是否正確,若不正確,則丟棄該分組;若正確,則執(zhí)行步驟3.3);3.3)利用與交換設(shè)備SW共享的單播密鑰中的協(xié)議數(shù)據(jù)密鑰PDK2解密E2字段即可得到與第一用戶終端STA1之間的站間密鑰STAkeyi—2;3.4)保存此次的密鑰通告標(biāo)識(shí)KN2字段的值,并構(gòu)造站間密鑰通告響應(yīng)分組,發(fā)送給交換設(shè)備SW。站間密鑰通告響應(yīng)分組主要內(nèi)容包括<table>tableseeoriginaldocumentpage12</column></row><table>KN2字段表示第二用戶終端STA2的密鑰通告標(biāo)識(shí),其值同收到的站間密鑰通告分組中的KN2字段的值;MIC3字段表示消息鑒別碼,由第二用戶終端STA2利用與交換設(shè)備SW共享的單播密鑰中的協(xié)議數(shù)據(jù)密鑰PDK2對(duì)站間密鑰通告響應(yīng)分組中本字段外的其他字段通過雜湊函數(shù)計(jì)算得到的雜湊值。4)交換設(shè)備SW對(duì)第一用戶終端STA1進(jìn)行站間密鑰通告交換設(shè)備SW收到第二用戶終端STA2發(fā)送的站間密鑰通告響應(yīng)分組后進(jìn)行如下處理4.1)比較KN2字段與之前發(fā)送給第二用戶終端STA2的站間密鑰通告分組中的KN2字段值是否一致,若不一致,則丟棄該分組;若一致,則執(zhí)行步驟4.2);4.2)利用與第二用戶終端STA2共享的單播密鑰中的協(xié)議數(shù)據(jù)密鑰PDK2驗(yàn)證MIC3字段的正確性,若不正確,則丟棄該分組;若正確,則保存此次的密鑰通告標(biāo)識(shí)KN2字段的值,完成將第一用戶終端STA1與第二用戶終端STA2之間的站間密鑰STAkey卜2對(duì)第二用戶終端STA2通告的過程,并執(zhí)行步驟4.3);4.3)根據(jù)之前通告給第二用戶終端STA2的站間密鑰STAkey卜2,構(gòu)造站間密鑰通告分組,將其發(fā)送給第一用戶終端STA1。站間密鑰通告分組的主要內(nèi)容包括<table>tableseeoriginaldocumentpage12</column></row><table>KN1字段表示第一用戶終端STA1的密鑰通告標(biāo)識(shí),其值同之前收到的第一用戶終端STA1發(fā)送的站間密鑰請(qǐng)求分組中的KN1字段的值;E工字段表示密鑰加密數(shù)據(jù),是交換設(shè)備SW利用與第一用戶終端STA1共享的單播密鑰中的協(xié)議數(shù)據(jù)密鑰PD^對(duì)站間密鑰STAkey卜2加密后的數(shù)據(jù),其中站間密鑰STAkey^2同通告給第二用戶終端STA2的站間密鑰STAkeyi—2;MIC4字段表示消息鑒別碼,其值為交換設(shè)備SW利用與第一用戶終端STA1共享的單播密鑰中的協(xié)議數(shù)據(jù)密鑰PD^對(duì)站間密鑰通告分組中本字段外的其他字段通過雜湊函數(shù)計(jì)算得到的雜湊值。5)第一用戶終端STA1進(jìn)行站間密鑰通告響應(yīng)當(dāng)?shù)谝挥脩艚K端STA1收到交換設(shè)備SW發(fā)送的站間密鑰通告分組后,進(jìn)行如下處理5.1)比較KN1字段值與之前發(fā)送的站間密鑰請(qǐng)求分組中的KN1字段值是否一致,若不一致,則丟棄該分組;若一致,則執(zhí)行步驟5.2);5.2)利用與交換設(shè)備SW共享的單播密鑰中的協(xié)議數(shù)據(jù)密鑰驗(yàn)證MIC4字段是否正確,若不正確,則丟棄該分組;若正確,則執(zhí)行步驟5.3);5.3)利用與交換設(shè)備SW共享的單播密鑰中的協(xié)議數(shù)據(jù)密鑰解密E工字段即可得到與第二用戶終端STA2之間的站間密鑰STAkeyi—2;5.4)保存此次的密鑰通告標(biāo)識(shí)KN1字段的值,并構(gòu)造站間密鑰通告響應(yīng)分組,發(fā)送給交換設(shè)備SW。站間密鑰通告響應(yīng)分組主要內(nèi)容包括<table>tableseeoriginaldocumentpage13</column></row><table>其中KN1字段表示第一用戶終端STA1的密鑰通告標(biāo)識(shí),其值同收到的站間密鑰通告分組中的KN1字段的值;MIC5字段表示消息鑒別碼,由第一用戶終端STA1利用與交換設(shè)備SW共享的單播密鑰中的協(xié)議數(shù)據(jù)密鑰對(duì)站間密鑰通告響應(yīng)分組中本字段外的其他字段通過雜湊函數(shù)計(jì)算得到的雜湊值。6)交換設(shè)備SW收到第一用戶終端STA1發(fā)送的站間密鑰通告響應(yīng)分組后進(jìn)行如下處理6.1)比較KN1字段與之前發(fā)送給第一用戶終端STA1的站間密鑰通告分組中的KN1字段值是否一致,若不一致,則丟棄該分組;若一致,則執(zhí)行步驟6.2);6.2)利用與第一用戶終端STA1共享的單播密鑰中的協(xié)議數(shù)據(jù)密鑰PD&驗(yàn)證MIC5字段的正確性,若正確,則保存此次的密鑰通告標(biāo)識(shí)KN1字段的值,完成將第一用戶終端STA1與第二用戶終端STA2之間的站間密鑰STAkey卜2對(duì)第一用戶終端STA1通告的過程;若不正確,則丟棄該分組。在此,對(duì)上述用戶終端STA的密鑰通告標(biāo)識(shí)KN字段的維護(hù)和使用補(bǔ)充解釋如下每個(gè)用戶終端STA將維護(hù)一個(gè)密鑰通告標(biāo)識(shí)KN,其取值為一個(gè)整數(shù),初始值為一個(gè)定值,在每次發(fā)起站間密鑰請(qǐng)求分組時(shí)會(huì)主動(dòng)對(duì)該值加1或增加一個(gè)定值后使用,并在每次收到正確的站間密鑰通告分組后會(huì)根據(jù)其中的密鑰通告標(biāo)識(shí)KN字段的值對(duì)該值進(jìn)行更新;交換設(shè)備SW為其下所有直連用戶終端分別維護(hù)一個(gè)密鑰通告標(biāo)識(shí)KN,當(dāng)其需要為某用戶終端主動(dòng)通告站間密鑰時(shí)會(huì)對(duì)該用戶終端的密鑰通告標(biāo)識(shí)KN的值加1或增加一個(gè)定值后使用,并在每次收到正確的站間密鑰通告響應(yīng)分組后會(huì)根據(jù)其中的密鑰通告標(biāo)識(shí)KN字段的值對(duì)該值進(jìn)行更新。在上述實(shí)施例中,交換設(shè)備SW對(duì)第二用戶終端STA2的站間密鑰通告過程即為主動(dòng)通告過程,對(duì)第一用戶終端STA1的站間密鑰通告過程則為被動(dòng)通告過程。在上述實(shí)施例中,第一用戶終端STA1維護(hù)一個(gè)密鑰通告標(biāo)識(shí)KN1,第二用戶終端STA2維護(hù)一個(gè)密鑰通告標(biāo)識(shí)KN2,交換設(shè)備SW分別為第一用戶終端STA1和第二用戶終端STA2維護(hù)密鑰通告標(biāo)識(shí)KN1和密鑰通告標(biāo)識(shí)KN2;第一用戶終端STA1對(duì)自己維護(hù)的密鑰通告標(biāo)識(shí)KN1加1或增加一個(gè)定值后用于發(fā)起站間密鑰請(qǐng)求分組,交換設(shè)備SW對(duì)維護(hù)的第二用戶終端STA2的密鑰通告標(biāo)識(shí)KN2加1或增加一個(gè)定值后用于主動(dòng)向第二用戶終端STA2發(fā)起站間密鑰通告分組,第二用戶終端STA2收到正確的站間密鑰通告分組后會(huì)根據(jù)其中的密鑰通告標(biāo)識(shí)KN2字段的值對(duì)自己維護(hù)的密鑰通告標(biāo)識(shí)KN2的值進(jìn)行更新,交換設(shè)備SW收到正確的第二用戶終端STA2發(fā)送的站間密鑰通告響應(yīng)分組后會(huì)根據(jù)其中的密鑰通告標(biāo)識(shí)KN2字段的值對(duì)自己維護(hù)的密鑰通告標(biāo)識(shí)KN2的值進(jìn)行更新,交換設(shè)備SW使用站間密鑰請(qǐng)求分組中的密鑰通告標(biāo)識(shí)KN1被動(dòng)地向第一用戶終端STA1發(fā)起站間密鑰通告分組,第一用戶終端STA1收到正確的站間密鑰通告分組后會(huì)根據(jù)其中的密鑰通告標(biāo)識(shí)KN1字段的值對(duì)自己維護(hù)的密鑰通告標(biāo)識(shí)KN1的值進(jìn)行更新,當(dāng)交換設(shè)備SW收到正確的第一用戶終端STA1發(fā)送的站間密鑰通告響應(yīng)分組后會(huì)根據(jù)其中的密鑰通告標(biāo)識(shí)KN1字段的值對(duì)自己維護(hù)的密鑰通告標(biāo)識(shí)KN1的值進(jìn)行更新。交換設(shè)備SW根據(jù)第一用戶終端STA1的請(qǐng)求為第一用戶終端STA1和第二用戶終端STA2建立站間密鑰過程中,需要先完成對(duì)第二用戶終端STA2的通告,再完成對(duì)第一用戶終端STA1的通告。只有對(duì)第二用戶終端STA2和第一用戶終端STA1的通告都成功才完成整個(gè)站間密鑰建立過程。若用戶終端STA1/STA2需要更新或者撤銷與用戶終端STA2/STA1之間的站間密鑰,也需要構(gòu)造站間密鑰請(qǐng)求分組,發(fā)送給交換設(shè)備SW,請(qǐng)求更新或撤銷用戶終端STA1和用戶終端STA2之間的站間密鑰STAkey卜2。站間密鑰的更新或撤銷過程和站間密鑰的建立過程相同,在具體實(shí)現(xiàn)時(shí),可通過在上述的每個(gè)分組中增加一個(gè)標(biāo)識(shí)字段進(jìn)行區(qū)分,用于標(biāo)識(shí)通過交換設(shè)備SW完成用戶終端STA1和用戶終端STA2之間站間密鑰的建立、撤銷或者更新過程。實(shí)際實(shí)現(xiàn)時(shí),若對(duì)用戶終端STA2和STA1的通告不成功,可通過重新通告機(jī)制重新發(fā)起通告。若對(duì)第二用戶終端STA2的通告在達(dá)到設(shè)定的最大重新通告次數(shù)仍沒有取得成功,則認(rèn)為無法為用戶終端STA1和STA2建立站間密鑰;若對(duì)第二用戶終端STA2的通告取得成功,但對(duì)第一用戶終端STA1的通告在達(dá)到設(shè)定的最大重新通告次數(shù)仍沒有取得成功,則認(rèn)為無法為用戶終端STA1和STA2建立站間密鑰,此時(shí)需要通知第二用戶終端STA2撤銷剛建立的與第一用戶終端STA1之間的站間密鑰,即交換設(shè)備SW構(gòu)造站間密鑰通告分組給第二用戶終端STA2,并且分組中需要設(shè)置撤銷標(biāo)識(shí)。在用戶終端STA1和STA2之間需要保密通信時(shí),用戶終端STA1和STA2均可發(fā)起站間密鑰請(qǐng)求。根據(jù)本地策略,若站間密鑰是雙向的,可選擇由MAC地址大的用戶終端發(fā)起建立的站間密鑰作為它們之間數(shù)據(jù)保密傳輸使用的密鑰;若站間密鑰是單向的,則用戶終端STA1/STA2發(fā)送數(shù)據(jù)包到用戶終端STA2/STA1時(shí),使用用戶終端STA1/STA2發(fā)起的站間密鑰建立過程建立的站間密鑰加密數(shù)據(jù)包,用戶終端STA1/STA2接收來自用戶終端STA2/STA1的數(shù)據(jù)包時(shí),使用用戶終端STA2/STA1發(fā)起的站間密鑰建立過程建立的站間密鑰解密數(shù)據(jù)包。如圖2所示,用戶終端STA1和STA2均為交換設(shè)備SW的直連用戶終端,在站間密鑰建立之前,假設(shè)用戶終端STA1和STA2均分別與交換設(shè)備SW建立了安全連接,即分別和交換設(shè)備SW共享有單播密鑰,見圖2中的(PDKpUDK》和(PDK2、UDK2)。用戶終端STA1和STA2利用交換設(shè)備SW通過站間密鑰建立過程,即執(zhí)行完圖2中的消息1-5后,建立起站間密鑰,見圖2中的(STAkeyi—2),此時(shí),用戶終端STA1和STA2之間的通信數(shù)據(jù)包就直接使用該站間密鑰STAkeyi—2進(jìn)行加密解密,交換設(shè)備SW對(duì)于這些數(shù)據(jù)包直接透傳,無需加解密處理,相比傳統(tǒng)技術(shù)降低了交換設(shè)備的處理負(fù)擔(dān),減小了數(shù)據(jù)傳輸時(shí)延?!N用戶終端之間安全連接的建立系統(tǒng),其特殊之處在于所述同一交換設(shè)備下直連用戶終端之間安全連接的建立系統(tǒng)包括向交換設(shè)備SW發(fā)送站間密鑰請(qǐng)求分組和站間密鑰通告響應(yīng)分組、接收交換設(shè)備SW的站間密鑰通告分組并和第二用戶終端STA2進(jìn)行保密通信的第一用戶終端STA1;接收站間密鑰請(qǐng)求分組并向第二用戶終端STA2發(fā)送站間密鑰通告分組、接收第二用戶終端STA2發(fā)送的站間密鑰通告響應(yīng)分組、向第一用戶終端STA1發(fā)送站間密鑰通告分組、接收第一用戶終端STA1發(fā)送的站間密鑰通告響應(yīng)分組的交換設(shè)備SW以及接收交換設(shè)備SW發(fā)送的站間密鑰通告分組并向交換設(shè)備SW發(fā)送站間密鑰通告響應(yīng)分組并和第一用戶終端STA1進(jìn)行保密通信的第二用戶終端STA2。上述同一交換設(shè)備下兩直連用戶終端之間的站間密鑰建立方法還可以適應(yīng)于下述情況在局域網(wǎng)中,當(dāng)兩個(gè)用戶終端通過交換設(shè)備系統(tǒng)進(jìn)行數(shù)據(jù)通信時(shí),其中交換設(shè)備系統(tǒng)可由多臺(tái)交換設(shè)備組成,若這些交換設(shè)備中有的屬于二層交換設(shè)備,有的屬于三層交換設(shè)備,此時(shí)在兩個(gè)用戶終端數(shù)據(jù)交換路由中,可建立(1)發(fā)送用戶終端和發(fā)送路由中第一個(gè)三層交換設(shè)備之間的安全連接,(2)發(fā)送路由中相鄰三層交換設(shè)備之間的安全連接,(3)發(fā)送路由中最末一個(gè)三層交換設(shè)備和接收用戶終端之間的安全連接,從而實(shí)現(xiàn)兩個(gè)用戶終端之間的保密通信。這三種安全連接中(1)和(3)的建立方法可以采用本發(fā)明中上述的站間密鑰建立方法來實(shí)現(xiàn),其中(1)中安全連接建立時(shí),圖1和圖2中SW設(shè)備由與STA1直連的交換設(shè)備來擔(dān)當(dāng),STA2由發(fā)送路由中第一個(gè)三層交換設(shè)備來擔(dān)當(dāng);(3)中安全連接建立時(shí),圖l和圖2中SW設(shè)備由與STA2直連的交換設(shè)備來擔(dān)當(dāng),STA1由發(fā)送路由中最末一個(gè)三層交換設(shè)備來擔(dān)當(dāng)。對(duì)于安全連接(2)即三層交換設(shè)備之間的安全連接建立方法本發(fā)明不予定義和限制。權(quán)利要求一種用戶終端之間安全連接的建立方法,其特征在于所述方法包括以下步驟1)第一用戶終端STA1向交換設(shè)備SW發(fā)送站間密鑰請(qǐng)求分組;2)交換設(shè)備SW收到第一用戶終端STA1發(fā)來的站間密鑰請(qǐng)求分組后,產(chǎn)生站間密鑰,構(gòu)造站間密鑰通告分組并發(fā)送給第二用戶終端STA2;3)第二用戶終端STA2收到交換設(shè)備SW發(fā)送的站間密鑰通告分組后,構(gòu)造站間密鑰通告響應(yīng)分組并發(fā)送給交換設(shè)備SW;4)交換設(shè)備SW收到第二用戶終端STA2發(fā)送的站間密鑰通告響應(yīng)分組后,構(gòu)造站間密鑰通告分組并發(fā)送給第一用戶終端STA1;5)第一用戶終端STA1收到交換設(shè)備SW發(fā)送的站間密鑰通告分組后,構(gòu)造站間密鑰通告響應(yīng)分組并發(fā)送給交換設(shè)備SW;6)交換設(shè)備SW接收第一用戶終端STA1發(fā)送的站間密鑰通告響應(yīng)分組。2.根據(jù)權(quán)利要求1所述的用戶終端之間安全連接的建立方法,其特征在于所述步驟1)的具體實(shí)現(xiàn)方式是當(dāng)?shù)谝挥脩艚K端STA1要與第二用戶終端STA2之間進(jìn)行保密通信時(shí),若用戶終端STA1與用戶終端STA2是同一交換設(shè)備SW下的直連用戶終端,第一用戶終端STA1首先檢查本地是否保存有與第二用戶終端STA2共享的站間密鑰,若有,則使用此站間密鑰加密數(shù)據(jù)包;若沒有,則第一用戶終端STA1構(gòu)造站間密鑰請(qǐng)求分組,發(fā)送給交換設(shè)備SW;所述站間密鑰請(qǐng)求分組的主要內(nèi)容包括KN1字段以及MIC1字段;其中KN1字段表示第一用戶終端STA1的密鑰通告標(biāo)識(shí),其值為一個(gè)整數(shù),初始值為一定值,在每次站間密鑰請(qǐng)求時(shí)該字段值加1或增加一個(gè)定值使用;MIC1字段表示消息鑒別碼,其值為第一用戶終端STA1利用與交換設(shè)備SW共享的單播密鑰中的協(xié)議數(shù)據(jù)密鑰對(duì)站間密鑰請(qǐng)求分組中本字段外的其他字段通過雜湊函數(shù)計(jì)算得到的雜湊值。3.根據(jù)權(quán)利要求2所述的用戶終端之間安全連接的建立方法,其特征在于所述步驟2)的具體實(shí)現(xiàn)方式是`2.1)交換設(shè)備SW收到第一用戶終端STA1發(fā)來的站間密鑰請(qǐng)求分組后,首先檢查KN1字段是否單調(diào)遞增,若不是,則丟棄該分組;若是,則執(zhí)行步驟2.2);`2.2)利用與第一用戶終端STAl共享的單播密鑰中的協(xié)議數(shù)據(jù)密鑰PDKl驗(yàn)證站間密鑰請(qǐng)求分組中MIC1字段的正確性,若正確,則執(zhí)行步驟2.2);若不正確,則丟棄該分組;`2.3)生成一個(gè)隨機(jī)數(shù)作為第一用戶終端STA1和第二用戶終端STA2之間的站間密鑰STAkeyi—2,構(gòu)造站間密鑰通告分組,將其發(fā)送給第二用戶終端STA2;站間密鑰通告分組的主要內(nèi)容包括KN2字段、^字段以及MIC2字段;其中KN2字段表示第二用戶終端STA2的密鑰通告標(biāo)識(shí),其值為一個(gè)整數(shù),初始值為一定值,在每次站間密鑰通告時(shí)該字段值加1或增加一個(gè)定值使用;E2字段表示密鑰加密數(shù)據(jù),是交換設(shè)備SW利用與第二用戶終端STA2共享的單播密鑰中的協(xié)議數(shù)據(jù)密鑰PDK2對(duì)站間密鑰STAkey卜2加密后的數(shù)據(jù);MIC2字段表示消息鑒別碼,其值為交換設(shè)備SW利用與第二用戶終端STA2共享的單播密鑰中的協(xié)議數(shù)據(jù)密鑰PDK2對(duì)站間密鑰通告分組中本字段外的其他字段通過雜湊函數(shù)計(jì)算得到的雜湊值。4.根據(jù)權(quán)利要求3所述的用戶終端之間安全連接的建立方法,其特征在于所述步驟3)的具體實(shí)現(xiàn)方式是,3.1)第二用戶終端STA2收到交換設(shè)備SW發(fā)送的站間密鑰通告分組后,檢查KN2字段是否單調(diào)遞增,若不是,則丟棄該分組;若是,則執(zhí)行步驟3.2);,3.2)利用與交換設(shè)備SW共享的單播密鑰中的協(xié)議數(shù)據(jù)密鑰PDK2驗(yàn)證MIC2字段是否正確,若不正確,則丟棄該分組;若正確,則執(zhí)行步驟3.3);,3.3)利用與交換設(shè)備SW共享的單播密鑰中的協(xié)議數(shù)據(jù)密鑰PDK2解密E2字段即可得到與第一用戶終端STA1之間的站間密鑰STAkeyi—2;,3.4)保存此次的密鑰通告標(biāo)識(shí)KN2字段的值,并構(gòu)造站間密鑰通告響應(yīng)分組,發(fā)送給交換設(shè)備SW;站間密鑰通告響應(yīng)分組主要內(nèi)容包括KN2字段和MIC3字段;其中KN2字段表示第二用戶終端STA2的密鑰通告標(biāo)識(shí),其值同收到的站間密鑰通告分組中的KN2字段的值;MIC3字段表示消息鑒別碼,由第二用戶終端STA2利用與交換設(shè)備SW共享的單播密鑰中的協(xié)議數(shù)據(jù)密鑰PDK2對(duì)站間密鑰通告響應(yīng)分組中本字段外的其他字段通過雜湊函數(shù)計(jì)算得到的雜湊值。5.根據(jù)權(quán)利要求4所述的用戶終端之間安全連接的建立方法,其特征在于所述步驟4)的具體實(shí)現(xiàn)方式是,4.1)交換設(shè)備SW收到第二用戶終端STA2發(fā)送的站間密鑰通告響應(yīng)分組后,比較KN2字段與之前發(fā)送給第二用戶終端STA2的站間密鑰通告分組中的KN2字段值是否一致,若不一致,則丟棄該分組;若一致,則執(zhí)行步驟4.2);,4.2)利用與第二用戶終端STA2共享的單播密鑰中的協(xié)議數(shù)據(jù)密鑰PDK2驗(yàn)證MIC3字段的正確性,若不正確,則丟棄該分組;若正確,則保存此次的密鑰通告標(biāo)識(shí)KN2字段的值,完成將第一用戶終端STA1與第二用戶終端STA2之間的站間密鑰STAkey卜2對(duì)第二用戶終端STA2通告的過程,執(zhí)行步驟4.3);,4.3)根據(jù)之前通告給第二用戶終端STA2的站間密鑰STAkey卜2,構(gòu)造站間密鑰通告分組,將其發(fā)送給第一用戶終端STA1;站間密鑰通告分組主要內(nèi)容包括KN1字段、^字段以及MIC4字段;其中KN1字段表示第一用戶終端STA1的密鑰通告標(biāo)識(shí),其值同之前收到的第一用戶終端STA1發(fā)送的站間密鑰請(qǐng)求分組中的KN1字段的值;E工字段表示密鑰加密數(shù)據(jù),是交換設(shè)備SW利用與第一用戶終端STA1共享的單播密鑰中的協(xié)議數(shù)據(jù)密鑰PDK1對(duì)站間密鑰STAkey卜2加密后的數(shù)據(jù),其中站間密鑰STAkey卜2同通告給第二用戶終端STA2的站間密鑰STAkey卜2;MIC4字段表示消息鑒別碼,其值為交換設(shè)備SW利用與第一用戶終端STA1共享的單播密鑰中的協(xié)議數(shù)據(jù)密鑰對(duì)站間密鑰通告分組中本字段外的其他字段通過雜湊函數(shù)計(jì)算得到的雜湊值。6.根據(jù)權(quán)利要求5所述的用戶終端之間安全連接的建立方法,其特征在于所述步驟5)的具體實(shí)現(xiàn)方式是5.1)當(dāng)?shù)谝挥脩艚K端STA1收到交換設(shè)備SW發(fā)送的站間密鑰通告分組后,比較KN1字段值與之前發(fā)送的站間密鑰請(qǐng)求分組中的KN1字段值是否一致,若不一致,則丟棄該分組;若一致,則執(zhí)行步驟5.2);5.2)利用與交換設(shè)備SW共享的單播密鑰中的協(xié)議數(shù)據(jù)密鑰驗(yàn)證MIC4字段是否正確,若不正確,則丟棄該分組;若正確,則執(zhí)行步驟5.3);5.3)利用與交換設(shè)備SW共享的單播密鑰中的協(xié)議數(shù)據(jù)密鑰解密E工字段即可得到與第二用戶終端STA2之間的站間密鑰STAkeyi—2;5.4)保存此次的密鑰通告標(biāo)識(shí)KN1字段的值,并構(gòu)造站間密鑰通告響應(yīng)分組,發(fā)送給交換設(shè)備SW;站間密鑰通告響應(yīng)分組內(nèi)容包括KN1字段以及MIC5字段;其中KN1字段表示第一用戶終端的密鑰通告標(biāo)識(shí),其值同收到的站間密鑰通告分組中的KN1字段的值;MIC5字段表示消息鑒別碼,由第一用戶終端STA1利用與交換設(shè)備SW共享的單播密鑰中的協(xié)議數(shù)據(jù)密鑰PDKl對(duì)站間密鑰通告響應(yīng)分組中本字段外的其他字段通過雜湊函數(shù)計(jì)算得到的雜湊值。7.根據(jù)權(quán)利要求6所述的用戶終端之間安全連接的建立方法,其特征在于所述步驟6)的具體實(shí)現(xiàn)方式是6.1)當(dāng)交換設(shè)備SW收到第一用戶終端STA1發(fā)送的站間密鑰通告響應(yīng)分組后,比較KN1字段與之前發(fā)送給第一用戶終端STA1的站間密鑰通告分組中的KN1字段值是否一致,若不一致,則丟棄該分組;若一致,則執(zhí)行步驟6.2);6.2)利用與第一用戶終端STA1共享的單播密鑰中的協(xié)議數(shù)據(jù)密鑰PDKl驗(yàn)證MIC5字段的正確性,若正確,則保存此次的密鑰通告標(biāo)識(shí)KN1字段的值,完成將第一用戶終端STA1與第二用戶終端STA2之間的站間密鑰STAkey卜2對(duì)第一用戶終端STA1通告的過程;若不正確,則丟棄該分組。8.根據(jù)權(quán)利要求1至7任一權(quán)利要求所述的用戶終端之間安全連接的建立方法,其特征在于所述用戶終端之間安全連接的建立方法還包括7)當(dāng)?shù)谝挥脩艚K端STA1需要更新或者撤銷與第二用戶終端STA2之間的站間密鑰時(shí),構(gòu)造站間密鑰請(qǐng)求分組,發(fā)送給交換設(shè)備SW,或者當(dāng)?shù)诙脩艚K端STA2需要更新或者撤銷與第一用戶終端STA1之間的站間密鑰時(shí),構(gòu)造站間密鑰請(qǐng)求分組,發(fā)送給交換設(shè)備SW,請(qǐng)求更新或撤銷第一用戶終端STA1和第二用戶終端STA2之間的站間密鑰STAkey卜2;該站間密鑰的更新或撤銷過程同站間密鑰的建立過程,在具體實(shí)現(xiàn)時(shí),通過在上述的每個(gè)分組中增加一個(gè)標(biāo)識(shí)字段進(jìn)行區(qū)分,用于標(biāo)識(shí)通過交換設(shè)備SW完成第一用戶終端STA1和第二用戶終端STA2之間站間密鑰的建立、撤銷或者更新。9.一種用戶終端之間安全連接的建立系統(tǒng),其特征在于所述同一交換設(shè)備下直連用戶終端之間安全連接的建立系統(tǒng)包括向交換設(shè)備SW發(fā)送站間密鑰請(qǐng)求分組和站間密鑰通告響應(yīng)分組、接收交換設(shè)備SW的站間密鑰通告分組并和第二用戶終端STA2進(jìn)行保密通信的第一用戶終端STA1;接收站間密鑰請(qǐng)求分組并向第二用戶終端STA2發(fā)送站間密鑰通告分組、接收第二用戶終端STA2發(fā)送的站間密鑰通告響應(yīng)分組、向第一用戶終端STA1發(fā)送站間密鑰通告分組、接收第一用戶終端STA1發(fā)送的站間密鑰通告響應(yīng)分組的交換設(shè)備SW以及接收交換設(shè)備SW發(fā)送的站間密鑰通告分組并向交換設(shè)備SW發(fā)送站間密鑰通告響應(yīng)分組并和第一用戶終端STA1進(jìn)行保密通信的第二用戶終端STA2。全文摘要本發(fā)明提供了一種用戶終端之間安全連接的建立方法,包括以下步驟1)第一用戶終端STA1向交換設(shè)備SW發(fā)送站間密鑰請(qǐng)求分組;2)交換設(shè)備SW收到第一用戶終端STA1發(fā)來的站間密鑰請(qǐng)求分組后,產(chǎn)生站間密鑰,構(gòu)造站間密鑰通告分組并發(fā)送給第二用戶終端STA2;3)第二用戶終端STA2收到交換設(shè)備SW發(fā)送的站間密鑰通告分組后,構(gòu)造站間密鑰通告響應(yīng)分組并發(fā)送給交換設(shè)備SW;本發(fā)明提供了一種用戶終端之間安全連接的建立方法及系統(tǒng),通過交換設(shè)備為其直連兩個(gè)用戶終端之間建立站間密鑰來保護(hù)用戶終端之間用戶數(shù)據(jù)的機(jī)密性和完整性。文檔編號(hào)H04L29/06GK101729249SQ20091031194公開日2010年6月9日申請(qǐng)日期2009年12月21日優(yōu)先權(quán)日2009年12月21日發(fā)明者曹軍,李琴,葛莉,賴曉龍,鐵滿霞申請(qǐng)人:西安西電捷通無線網(wǎng)絡(luò)通信有限公司
網(wǎng)友詢問留言 已有0條留言
  • 還沒有人留言評(píng)論。精彩留言會(huì)獲得點(diǎn)贊!
1