專利名稱:一種節(jié)點間通信密鑰的建立方法及系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及通信網(wǎng)絡(luò)應用領(lǐng)域,尤其涉及一種節(jié)點間通信密鑰的建立方法及系 統(tǒng)。
背景技術(shù):
有線局域網(wǎng)一般為廣播型網(wǎng)絡(luò),一個節(jié)點發(fā)出的數(shù)據(jù),其它節(jié)點都能收到。網(wǎng)絡(luò)上 的各個節(jié)點共享信道,這給網(wǎng)絡(luò)帶來了極大的安全隱患。攻擊者只要接入網(wǎng)絡(luò)進行監(jiān)聽,就 可以捕獲網(wǎng)絡(luò)上所有的數(shù)據(jù)包。現(xiàn)有國家標準GB/T 15629. 3 (對應IEEE 802. 3或IS0/IEC 8802-3)定義的局域網(wǎng)LAN并不提供數(shù)據(jù)保密方法,這樣就使得攻擊者容易竊取到關(guān)鍵信 肩、ο在有線局域網(wǎng)中,IEEE通過對IEEE 802. 3進行安全增強來實現(xiàn)鏈路層的安全。 IEEE 802. IAE為保護以太網(wǎng)提供數(shù)據(jù)加密協(xié)議,并采用逐跳加密的安全措施來實現(xiàn)網(wǎng)絡(luò)節(jié) 點之間數(shù)據(jù)的安全傳達。這種安全措施給局域網(wǎng)中的交換設(shè)備帶來了巨大的計算負擔,容 易引發(fā)攻擊者對交換設(shè)備的攻擊;且數(shù)據(jù)包從發(fā)送節(jié)點傳遞到目的節(jié)點的延時也會增大, 降低了網(wǎng)絡(luò)傳輸效率。有線局域網(wǎng)的拓撲結(jié)構(gòu)比較復雜,涉及到的節(jié)點數(shù)目也比較多,因此網(wǎng)絡(luò)中的數(shù) 據(jù)通信比較復雜,終端和交換設(shè)備被統(tǒng)稱為節(jié)點。如果為局域網(wǎng)節(jié)點間分配靜態(tài)密鑰來保 證節(jié)點間的保密通信,其分配和更新過程極為復雜。
發(fā)明內(nèi)容
為了解決背景技術(shù)中存在的上述問題,本發(fā)明提供了一種節(jié)點間通信密鑰的建立 方法及系統(tǒng)。本發(fā)明的技術(shù)解決方案是本發(fā)明為一種節(jié)點間通信密鑰的建立方法,其特殊之 處在于所述方法包括以下步驟1)發(fā)送源節(jié)點Ns。urce發(fā)送第一密鑰通告分組給交換設(shè)備SWpiret ;2)交換設(shè)備SWFi t發(fā)送第二密鑰通告分組給交換設(shè)備SW^t ;3)交換設(shè)備SW^t發(fā)送第三密鑰通告分組給目的節(jié)點NDestinati。n ;4)目的節(jié)點NDestinati。n發(fā)送第三密鑰通告響應分組給交換設(shè)備SW^t ;5)交換設(shè)備SW^t發(fā)送第二密鑰通告響應分組給交換設(shè)備SWpiret ;6)交換設(shè)備SWFi t發(fā)送第一密鑰通告響應分組給發(fā)送源節(jié)點Nswrce ;7)發(fā)送源節(jié)點Ns。urce接收第一密鑰通告響應分組。上述步驟1)中第一密鑰通告分組包括IDltestinatim字段、E1 (KEYs_d)字段以及MICl 字段;其中IDnestination字段表示目的節(jié)點NDestinati。n的標識;E1(KEYm)字段表示密鑰資料數(shù)據(jù),由發(fā)送源節(jié)點Ns。_利用其與交換設(shè)備SWpiret 之間的密鑰KEYs對KEYs_d加密后的數(shù)據(jù);其中KEYs_d是由發(fā)送源節(jié)點Ns。_生成的隨機數(shù),作為與目的節(jié)點NDestinati。n之間的通信密鑰;MICl字段表示消息完整性驗證碼,由發(fā)送源節(jié)點Nswrce利用其與交換設(shè)備SWFiret 之間的密鑰KEYs對第一密鑰通告分組中本字段外的其他字段通過雜湊函數(shù)計算得到的雜 湊值。上述步驟2)中交換設(shè)備SWFiret收到第一密鑰通告分組后發(fā)送第二密鑰通告分組 給交換設(shè)備S^ast,其具體實現(xiàn)方式是2. 1)利用其與發(fā)送源節(jié)點Ns_。e之間的密鑰KEYs驗證MICl是否正確,若不正確, 則丟棄該分組;否則,執(zhí)行2. 2);2.2)利用其與發(fā)送源節(jié)點Nswrce之間的密鑰KEYs解密E1(KEId)字段,得到節(jié)點 間通信密鑰keys_d ;2. 3)構(gòu)造第二密鑰通告分組發(fā)送給交換設(shè)備SW^t,所述第二密鑰通告分組包括
Source 字段、 Destination
字段、E2 (KEYs_d)字段以及MIC2字段;其中IDsource字段表示發(fā)送源節(jié)點Ns。_的標識;IDnestination字段表示目的節(jié)點NDestinati。n的標識,其值同收到的密鑰通告分組1中
U J -1--^Destination 字段的值;E2 (KEYs_d)字段表示密鑰資料數(shù)據(jù),由交換設(shè)備SWFi t利用其與交換設(shè)備SW^t之 間的密鑰KEYh對解密得到的節(jié)點間通信密鑰KEYs_d加密后的數(shù)據(jù);MIC2字段表示消息完整性驗證碼,由交換設(shè)備SWFi,st利用其與交換設(shè)備SW^t之 間的密鑰KEYh對第二密鑰通告分組中本字段外的其他字段通過雜湊函數(shù)計算得到的雜湊值。上述步驟3)中交換設(shè)備SW^t收到第二密鑰通告分組后發(fā)送第三密鑰通告分組給 目的節(jié)點NDestinati。n,其具體實現(xiàn)方式是3. 1)利用其與交換設(shè)備SWFi,st之間的密鑰KEYh驗證MIC2是否正確,若不正確, 則丟棄該分組;否則,執(zhí)行3. 2);3. 2)利用其與交換設(shè)備SWFiret之間的密鑰KEYf_l解密E2(KEYs_d)字段,得到節(jié)點間 通信密鑰keys_d ;3. 3)構(gòu)造第三密鑰通告分組發(fā)送給目的節(jié)點NDestinati。n,所述第三密鑰通告分組包 括IDswrce字段、E3 (KEYS_D)字段以及MIC3字段;其中1仏_。6字段表示發(fā)送源節(jié)點Nswra的標識,其值同收到的第二密鑰通告分組中的 IDsource字段的值;E3(KEYs_d)字段表示密鑰資料數(shù)據(jù),由交換設(shè)備SW^t用其與目的節(jié)點Nltestinatim 之間的密鑰KEYd對解密得到的節(jié)點間通信密鑰KEYs_d加密后的數(shù)據(jù);MIC3字段表示消息完整性驗證碼,由交換設(shè)備SW—用其與目的節(jié)點NDestinati。n之 間的密鑰KEYd對第三密鑰通告分組中本字段外的其他字段通過雜湊函數(shù)計算得到的雜湊 值。上述步驟4)中目的節(jié)點NDestinati。n收到第三密鑰通告分組后發(fā)送第三密鑰通告響 應分組給交換設(shè)備S^ast,其具體實現(xiàn)方式是4. 1)利用與交換設(shè)備SWl-之間的密鑰KEYd驗證MIC3是否正確,若不正確,則丟
6棄該分組;否則,執(zhí)行4. 2);4.2)利用與交換設(shè)備SW—之間的密鑰KEYd解密E3 (KEYs_d)字段,得到節(jié)點間通 信密鑰KEYS_D,該KEYs_d即為目的節(jié)點NDestinati。n與發(fā)送源節(jié)點Ns。urce之間的通信密鑰;4. 3)構(gòu)造第三密鑰通告響應分組發(fā)送給交換設(shè)備SW^t,所述第三密鑰通告響應 分組包括IDs。urce字段以及MIC4字段;其中1仏_。6字段表示發(fā)送源節(jié)點Ns_。e的標識,其值同收到的第三密鑰通告分組中的 IDsource字段的值;MIC4字段表示消息完整性驗證碼,由目的節(jié)點NDestinati。n利用與交換設(shè)備SW^t之 間的密鑰KEYd對第三密鑰通告響應分組中本字段外的其他字段通過雜湊函數(shù)計算得到的 雜湊值。上述步驟5)中交換設(shè)備SW^t收到第三密鑰通告響應分組后發(fā)送第二密鑰通告響 應分組給交換設(shè)備SWpiret,其具體實現(xiàn)方式是5. 1)比較IDs_。e字段與之前發(fā)送的第三密鑰通告分組中IDswra字段值是否一致, 若不一致,則丟棄該分組;否則,執(zhí)行5. 2);5. 2)利用與目的節(jié)點NDestinati。n之間的密鑰KEYd驗證MIC3是否正確,若不正確,則 丟棄該分組;否則,執(zhí)行5. 3);5. 3)構(gòu)造第二密鑰通告響應分組發(fā)送給交換設(shè)備SWFi t,所述第二密鑰通告響應 分組包括ID
Source 字段、 Destination
字段以及MIC5字段,其中1仏_。6字段表示發(fā)送源節(jié)點Nswra的標識,其值同收到的第二密鑰通告分組中的 IDsource字段的值;IDnestination字段表示目的節(jié)點NDestinati。n的標識,其值同收到的第二密鑰通告分組
中的 Destination 字段的值;MIC5字段表示消息完整性驗證碼,由交換設(shè)備SW^t利用與交換設(shè)備SWFiret之間 的密鑰KEYh對第二密鑰通告響應分組中本字段外的其他字段通過雜湊函數(shù)計算得到的雜湊值。上述步驟6)中交換設(shè)備SWFiret收到第二密鑰通告響應分組后發(fā)送第一密鑰通告 響應分組給發(fā)送源節(jié)點Nstjurre,其具體實現(xiàn)方式是6. 1)檢查分組中的IDS。_字段、IDDestinati。n字段與之前發(fā)送給交換設(shè)備SW^t的第 二密鑰通告分組中對應字段值是否一致,若不一致,則丟棄該分組;否則,執(zhí)行6. 2);6. 2)利用與交換設(shè)備SW^t之間的密鑰KEYf_l驗正MIC5是否正確,若不正確,則 丟棄該分組;否則,執(zhí)行6. 3);6. 3)構(gòu)造第一密鑰通告響應分組發(fā)送給發(fā)送源節(jié)點Ns。urce,所述第一密鑰通告響 應分組包括IDDestinati。n字段以及MIC6字段,其中IDnestination字段表示目的節(jié)點NDestinati。n的標識,其值同收到的第一密鑰通告分組
中的 Destination 字段的值;MIC6字段表示消息完整性驗證碼,由交換設(shè)備SWFiret用其與發(fā)送源節(jié)點Ns_。e之 間的密鑰KEYs對第一密鑰通告響應分組中本字段外的其他字段通過雜湊函數(shù)計算得到的 雜湊值。上述步驟7)的具體實現(xiàn)方式是
7
7. 1)檢查分組中的IDd-字段與之前發(fā)送給交換設(shè)備SWFiret的第一密鑰通告 分組中^^ -^字段值是否一致,若不一致,則丟棄該分組;否則,執(zhí)行7. 2);7. 2)利用與交換設(shè)備SWFi,st之間的密鑰KEYs驗證MIC6是否正確,若不正確,則丟 棄該分組;否則,即完成發(fā)送源節(jié)點Ns。urce和目的節(jié)點Nltestinatim之間通信密鑰KEYs_d的建立 過程,此后發(fā)送源節(jié)點Ns。_和目的節(jié)點NDestinati。n之間可采用該通信密鑰KEYs_d進行秘密
通{曰。一種節(jié)點間通信密鑰的建立系統(tǒng),其特殊之處在于所述節(jié)點間通信密鑰的建立 系統(tǒng)包括向交換設(shè)備swFi t發(fā)送第一密鑰通告分組、接收交換設(shè)備SWpiret發(fā)送的第一密鑰 通告響應分組的發(fā)送源節(jié)點Nswrce ;接收發(fā)送源節(jié)點Ns。urce發(fā)送的第一密鑰通告分組、向交 換設(shè)備SW^t發(fā)送第二密鑰通告分組、接收交換設(shè)備SW^t發(fā)送的第二密鑰通告響應分組、 向發(fā)送源節(jié)點Nswra發(fā)送第一密鑰通告響應分組的交換設(shè)備SWFi t ;接收交換設(shè)備SWFiret 發(fā)送的第二密鑰通告分組、向目的節(jié)點Nltestinatim發(fā)送第三密鑰通告分組、接收目的節(jié)點 Nltestinatim發(fā)送的第三密鑰通告響應分組、向交換設(shè)備SWFi t發(fā)送第二密鑰通告響應分組的 交換設(shè)備SW^t ;接收交換設(shè)備SW^t發(fā)送的第三密鑰通告分組、向交換設(shè)備SW^t發(fā)送第三 密鑰通告響應分組的目的節(jié)點NDestinati。n。本發(fā)明的優(yōu)點是發(fā)送源節(jié)點Nswra和目的節(jié)點NDestinati。n之間的通信密鑰是通過 發(fā)送源節(jié)點Nswrce臨時生成,并通過已建立的安全連接通道逐步通告給目的節(jié)點Nltestinatim 的。節(jié)點間共享密鑰的建立和更新過程可由發(fā)送源節(jié)點Nstjurre發(fā)起該過程觸發(fā)。通過該方 法,局域網(wǎng)合法節(jié)點之間可以靈活建立及更新它們之間的密鑰,無需管理員為全網(wǎng)節(jié)點兩 兩之間部署共享的靜態(tài)密鑰。
圖1為本發(fā)明所提供的節(jié)點間通信密鑰建立過程示意圖。
具體實施例方式本發(fā)明中定義的節(jié)點N(Node)是指局域網(wǎng)中的用戶終端STA(STAtion)和交換設(shè) 備SW(SWitch)。局域網(wǎng)中的集線器等物理層設(shè)備不作為節(jié)點處理。假設(shè),在網(wǎng)絡(luò)中相鄰的交換設(shè)備與用戶終端之間通過預分發(fā)或其他安全機制均已 建立安全連接,即已具有共享的密鑰;所有的交換設(shè)備兩兩之間通過預分發(fā)或其他安全機 制已建立安全連接,即已具有共享的密鑰。以發(fā)送源節(jié)點Nstjurre與目的節(jié)點NDestinati。n之間通信密鑰的建立為例進行說明,交 換設(shè)備SWFi t是指從發(fā)送源節(jié)點Ns。u_到目的節(jié)點Nltestinatim的數(shù)據(jù)包經(jīng)過的第一個交換設(shè) 備,交換設(shè)備SW^t是指從發(fā)送源節(jié)點Nswra到目的節(jié)點NDestinati。n的數(shù)據(jù)包經(jīng)過的最后一個 交換設(shè)備。根據(jù)上述的假設(shè),發(fā)送源節(jié)點Nswra與交換設(shè)備SWFi,st已建立安全連接,共享的密 鑰記為KEYs,目的節(jié)點NDestinati。n與交換設(shè)備SW^t已建立安全連接,共享的密鑰記為KEYd, 交換設(shè)備SWFi,st與交換設(shè)備SW^t已建立安全連接,共享的密鑰記為KEYFf參見圖1,本發(fā)明所提供的一種節(jié)點間通信密鑰的建立方法為發(fā)送源節(jié)點Nstjurre和 目的節(jié)點NDestinati。n之間通信密鑰的建立具體方案如下
1)發(fā)送源節(jié)點Ns。urce發(fā)送密鑰通告分組1給交換設(shè)備SWFiret ;該密鑰通告分組1包括 其中IDnestination字段表示目的節(jié)點Nltestinatim的標識;E1 (KEYs_d)字段表示密鑰資料數(shù)據(jù),由發(fā)送源節(jié)點Ns_。e利用其與交換設(shè)備SWFiret 之間的密鑰KEYs對KEYs_d加密后的數(shù)據(jù);其中KEYs_d是由發(fā)送源節(jié)點Ns。_生成的隨機數(shù), 作為與目的節(jié)點NDestinati。n之間的通信密鑰;MICl字段表示消息完整性驗證碼,由發(fā)送源節(jié)點Nswrce利用其與交換設(shè)備SWFiret 之間的密鑰KEYs對該密鑰通告分組1中本字段外的其他字段通過雜湊函數(shù)計算得到的雜 湊值。 2)交換設(shè)備SWFi t發(fā)送密鑰通告分組2給交換設(shè)備SW^t ;交換設(shè)備SWpiret收到密鑰通告分組1后,進行如下處理2. 1)利用其與發(fā)送源節(jié)點Ns_。e之間的密鑰KEYs驗證MICl是否正確,若不正確, 則丟棄該分組;否則,執(zhí)行2. 2);2.2)利用其與發(fā)送源節(jié)點Ns。_之間的密鑰KEYs解密E1(KEId)字段,即可得到 節(jié)點間通信密鑰KEYS_D ;2. 3)構(gòu)造密鑰通告分組2發(fā)送給交換設(shè)備SW^t。該密鑰通告分組2包括 IDnestination字段表示目的節(jié)點NDestinati。n的標識,其值同收到的密鑰通告分組1中
U J -1--^Destination 字段的值;E2 (KEYs_d)表示密鑰資料數(shù)據(jù),由交換設(shè)備SWFi t利用其與交換設(shè)備SW^t之間的 密鑰KEYf+對解密得到的節(jié)點間通信密鑰KEYs_d加密后的數(shù)據(jù);MIC2字段表示消息完整性驗證碼,由交換設(shè)備SWFi,st利用其與交換設(shè)備SW^t之 間的密鑰KEYh對該密鑰通告分組2中本字段外的其他字段通過雜湊函數(shù)計算得到的雜湊值。3)交換設(shè)備SW^t發(fā)送密鑰通告分組3給目的節(jié)點NDestinati。n ;交換設(shè)備SW^t收到密鑰通告分組2后,進行如下處理3. 1)利用其與交換設(shè)備SWFi,st之間的密鑰KEYh驗證MIC2是否正確,若不正確, 則丟棄該分組;否則,執(zhí)行3. 2);3.2)利用其與交換設(shè)備SWFiret之間的密鑰KEYf_l解密E2(KEYs_d)字段,即可得到節(jié) 點間通信密鑰KEYS_D ;
9
3. 3)構(gòu)造密鑰通告分組3發(fā)送給目的節(jié)點NDestinati。n。該密鑰通告分組3中包括 其中IDsource字段表示發(fā)送源節(jié)點Ns。_的標識,其值同收到的密鑰通告分組2中的 IDsource字段的值;E3(KEYs^d)字段表示密鑰資料數(shù)據(jù),由交換設(shè)備SW^t用其與目的節(jié)點Nltestinatim 之間的密鑰KEYd對解密得到的節(jié)點間通信密鑰KEYs_d加密后的數(shù)據(jù);MIC3字段表示消息完整性驗證碼,由交換設(shè)備SW—用其與目的節(jié)點NDestinati。n之 間的密鑰KEYd對該密鑰通告分組3中本字段外的其他字段通過雜湊函數(shù)計算得到的雜湊 值。4)目的節(jié)點Nltestinatim發(fā)送密鑰通告響應分組3給交換設(shè)備SW^t ;目的節(jié)點NDestinati。n收到密鑰通告分組3后,進行如下處理4. 1)利用與交換設(shè)備SWl-之間的密鑰KEYd驗證MIC3是否正確,若不正確,則丟 棄該分組;否則,執(zhí)行4. 2);4. 2)利用與交換設(shè)備SW^t之間的密鑰KEYd解密E3(KEYS_D)字段,即可得到節(jié)點 間通信密鑰KEYS_D,該KEYs_d即為目的節(jié)點NDestinati。n與發(fā)送源節(jié)點Ns。urce之間的通信密鑰;4. 3)構(gòu)造密鑰通告響應分組3發(fā)送給交換設(shè)備SW^t。該密鑰通告響應分組3包括 其中IDsource字段表示發(fā)送源節(jié)點Ns。urce的標識,其值同收到的密鑰通告分組3中的 IDsource字段的值;MIC4字段表示消息完整性驗證碼,由目的節(jié)點NDestinati。n利用與交換設(shè)備SW^t之 間的密鑰KEYd對該密鑰通告響應分組3中本字段外的其他字段通過雜湊函數(shù)計算得到的 雜湊值。5)交換設(shè)備SW^t發(fā)送密鑰通告響應分組2給交換設(shè)備SWpiret ;交換設(shè)備SW^t收到密鑰通告響應分組3后,進行如下處理5. 1)比較IDs_。e字段與之前發(fā)送的密鑰通告分組3中IDs。urce字段值是否一致,若 不一致,則丟棄該分組;否則,執(zhí)行5. 2);5. 2)利用與目的節(jié)點NDestinati。n之間的密鑰KEYd驗證MIC3是否正確,若不正確,則 丟棄該分組;否則,執(zhí)行5. 3);5. 3)構(gòu)造密鑰通告響應分組2發(fā)送給交換設(shè)備SWFi,st。該臨時密鑰協(xié)商響應分組包括 其中IDsource字段表示發(fā)送源節(jié)點Ns。urce的標識,其值同收到的密鑰通告分組2中的 IDsource字段的值;IDltestinatim字段表示目的節(jié)點NDestinati。n的標識,其值同收到的密鑰通告分組2中
U J -1--^Destination 字段的值;MIC5字段表示消息完整性驗證碼,由交換設(shè)備SW^t利用與交換設(shè)備SWpiret之間 的密鑰KEYh對該密鑰通告響應分組2中本字段外的其他字段通過雜湊函數(shù)計算得到的雜湊值。6)交換設(shè)備SWFi t發(fā)送密鑰通告響應分組1給發(fā)送源節(jié)點Nswrce ;交換設(shè)備SWFiret收到密鑰通告響應分組2后,進行如下處理6. 1)檢查分組中的IDS。_字段、IDDestinati。n字段與之前發(fā)送給交換設(shè)備SW^t的密 鑰通告分組2中對應字段值是否一致,若不一致,則丟棄該分組;否則,執(zhí)行6. 2);6. 2)利用與交換設(shè)備SW^t之間的密鑰KEYf_l驗證MIC5是否正確,若不正確,則 丟棄該分組;否則,執(zhí)行6. 3);6. 3)構(gòu)造密鑰通告響應分組1發(fā)送給發(fā)送源節(jié)點Ns。urce。該密鑰通告響應分組1包括 其中IDnestination字段表示目的節(jié)點NDestinati。n的標識,其值同收到的密鑰通告分組1中
U J -1--^Destination 字段的值;MIC6字段表示消息完整性驗證碼,由交換設(shè)備SWFirSt用其與發(fā)送源節(jié)點Ns。urce 之間的密鑰KEYs對密鑰通告響應分組1中本字段外的其他字段通過雜湊函數(shù)計算得到的 雜湊值。7)發(fā)送源節(jié)點Ns。urce接收密鑰通告響應分組1 ;發(fā)送源節(jié)點Nstjurre收到密鑰通告響應分組1后,進行如下處理7. 1)檢查分組中的IDd-字段與之前發(fā)送給交換設(shè)備SWFiret的密鑰通告分組 1中IDltestinatim字段值是否一致,若不一致,則丟棄該分組;否則,執(zhí)行7. 2);7. 2)利用與交換設(shè)備SWFi t之間的密鑰KEYs驗證MIC6是否正確,若不正確,則丟 棄該分組;否則,即完成發(fā)送源節(jié)點Ns。urce和目的節(jié)點Nltestinatim之間通信密鑰KEYs_d的建立 過程,此后發(fā)送源節(jié)點Ns。_和目的節(jié)點NDestinati。n之間可采用該通信密鑰KEYs_d進行秘密
通{曰。發(fā)送源節(jié)點Ns_。e需要與目的節(jié)點NDestinati。n建立通信密鑰KEYS_D,當利用上述方 案進行具體實施時,發(fā)送源節(jié)點Nswra還可生成一個數(shù)值,作為此次通信密鑰建立過程的標 識,該標識可為時鐘、順序號或隨機數(shù),且在每個消息中進行攜帶,相應地交換設(shè)備SW^t收 到密鑰通告響應分組3后需驗證分組中的標識值與其之前接收的密鑰通告分組2中的標識
11值是否一致;交換設(shè)備SWFiret收到密鑰通告響應分組2后需驗證分組中的標識值與其之前 接收的密鑰通告分組1中的標識值是否一致;發(fā)送源節(jié)點Nswrce收到密鑰通告響應分組1后 需驗證分組中的標識值與其之前發(fā)送的密鑰通告分組1中的標識值是否一致。當利用上述方案進行具體實施時,也可以由發(fā)送源節(jié)點Nstjurre、交換設(shè)備SWFiret及 交換設(shè)備SW^t在發(fā)送密鑰通告分組1、密鑰通告分組2及密鑰通告分組3時,各自獨立生 成一個數(shù)值作為通告標識分別攜帶在上述分組中,該通告標識可為時鐘、順序號或隨機數(shù), 相應地交換設(shè)備SW^t、交換設(shè)備SWFi t及發(fā)送源節(jié)點Ns。urce收到密鑰通告響應分組3、密鑰 通告響應分組2及密鑰通告響應分組1后均需驗證分組中的通告標識值與其之前發(fā)送的分 組中的標識值是否一致。一種節(jié)點間通信密鑰的建立系統(tǒng),其特殊之處在于所述節(jié)點間通信密鑰的建立 系統(tǒng)包括向交換設(shè)備swFi t發(fā)送密鑰通告分組1、接收交換設(shè)備swFi t發(fā)送的密鑰通告響應 分組1的發(fā)送源節(jié)點Nswra ;接收發(fā)送源節(jié)點Ns。urce發(fā)送的密鑰通告分組1、向交換設(shè)備SW^t 發(fā)送密鑰通告分組2、接收交換設(shè)備SW^t發(fā)送的密鑰通告響應分組2、向發(fā)送源節(jié)點Ns。urce 發(fā)送密鑰通告響應分組1的交換設(shè)備SWFi t ;接收交換設(shè)備SWFi t發(fā)送的密鑰通告分組2、 向目的節(jié)點Nltestinatim發(fā)送密鑰通告分組3、接收目的節(jié)點NDestinati。n發(fā)送的密鑰通告響應分 組3、向交換設(shè)備SWpiret發(fā)送密鑰通告響應分組2的交換設(shè)備SW^t ;接收交換設(shè)備SW^t發(fā) 送的密鑰通告分組3、向交換設(shè)備SW^t發(fā)送密鑰通告響應分組3的目的節(jié)點NDestinati。n。
權(quán)利要求
一種節(jié)點間通信密鑰的建立方法,其特征在于所述節(jié)點間通信密鑰的建立方法包括以下步驟1)發(fā)送源節(jié)點NSource發(fā)送第一密鑰通告分組給交換設(shè)備SWFirst;2)交換設(shè)備SWFirst發(fā)送第二密鑰通告分組給交換設(shè)備SWLast;3)交換設(shè)備SWLast發(fā)送第三密鑰通告分組給目的節(jié)點NDestination;4)目的節(jié)點NDestination發(fā)送第三密鑰通告響應分組給交換設(shè)備SWLast;5)交換設(shè)備SWLast發(fā)送第二密鑰通告響應分組給交換設(shè)備SWFirst;6)交換設(shè)備SWFirst發(fā)送第一密鑰通告響應分組給發(fā)送源節(jié)點NSource;7)發(fā)送源節(jié)點NSource接收第一密鑰通告響應分組。
2.根據(jù)權(quán)利要求1所述的節(jié)點間通信密鑰的建立方法,其特征在于所述步驟1)中第 一密鑰通告分組包括IDDestinati。n字段、E1(KEId)字段以及MICl字段;其中Destination 字段表示目的節(jié)點Nltestinatim的標識;E1(KEVd)字段表示密鑰資料數(shù)據(jù),由發(fā)送源節(jié)點Ns。_禾Ij用其與交換設(shè)備SWf―之間 的密鑰KEYs對KEYs_d加密后的數(shù)據(jù);其中KEYs_d是由發(fā)送源節(jié)點Ns。_生成的隨機數(shù),作為 與目的節(jié)點NDestinati。n之間的通信密鑰;MICl字段表示消息完整性驗證碼,由發(fā)送源節(jié)點Ns_。e利用其與交換設(shè)備SWFi t之間 的密鑰KEYs對第一密鑰通告分組中本字段外的其他字段通過雜湊函數(shù)計算得到的雜湊值。
3.根據(jù)權(quán)利要求2所述的節(jié)點間通信密鑰的建立方法,其特征在于所述步驟2)中交 換設(shè)備swFi t收到第一密鑰通告分組后發(fā)送第二密鑰通告分組給交換設(shè)備SW^t,其具體實 現(xiàn)方式是2. 1)利用其與發(fā)送源節(jié)點Nstjuree之間的密鑰KEYs驗證MICl是否正確,若不正確,則丟 棄該分組;否則,執(zhí)行2. 2);2. 2)利用其與發(fā)送源節(jié)點Ns_。e之間的密鑰KEYs解密E1(KEId)字段,得到節(jié)點間通 信密鑰KEYs_d ;2.3)構(gòu)造第二密鑰通告分組發(fā)送給交換設(shè)備SW^t,所述第二密鑰通告分組包括Source 字段、 Destination字段、E2 (KEYs_d)字段以及MIC2字段;其中IDsource字段表示發(fā)送源節(jié)點Nswrce的標識;IDnestination字段表示目的節(jié)點NDestinati。n的標識,其值同收到的密鑰通告分組1中的Destination 字段的值;E2(KEVd)字段表示密鑰資料數(shù)據(jù),由交換設(shè)備SWpiret利用其與交換設(shè)備SW^t之間的 密鑰KEYf+對解密得到的節(jié)點間通信密鑰KEYs_d加密后的數(shù)據(jù);MIC2字段表示消息完整性驗證碼,由交換設(shè)備SWpiret利用其與交換設(shè)備SW^t之間的 密鑰KEYh對第二密鑰通告分組中本字段外的其他字段通過雜湊函數(shù)計算得到的雜湊值。
4.根據(jù)權(quán)利要求3所述的節(jié)點間通信密鑰的建立方法,其特征在于所述步驟3)中交 換設(shè)備SW^t收到第二密鑰通告分組后發(fā)送第三密鑰通告分組給目的節(jié)點Nltestinatim,其具 體實現(xiàn)方式是.3.1)利用其與交換設(shè)備SWFi,st之間的密鑰KEYf+驗證MIC2是否正確,若不正確,則丟 棄該分組;否則,執(zhí)行3. 2);3. 2)利用其與交換設(shè)備SWf—之間的密鑰KEYh解密E2 (KEYs_d)字段,得到節(jié)點間通信 密鑰 keys_d ;3.3)構(gòu)造第三密鑰通告分組發(fā)送給目的節(jié)點NDestinati。n,所述第三密鑰通告分組包括 IDstjurce字段、E3 (KEYS_D)字段以及MIC3字段;其中IDswrce字段表示發(fā)送源節(jié)點Nstjurre的標識,其值同收到的第二密鑰通告分組中的 IDsource字段的值;E3 (KEYs_d)字段表示密鑰資料數(shù)據(jù),由交換設(shè)備SW^t用其與目的節(jié)點NDestinati。n之間 的密鑰KEYd對解密得到的節(jié)點間通信密鑰KEYs_d加密后的數(shù)據(jù);MIC3字段表示消息完整性驗證碼,由交換設(shè)備SW^t用其與目的節(jié)點NDestinati。n之間的 密鑰KEYd對第三密鑰通告分組中本字段外的其他字段通過雜湊函數(shù)計算得到的雜湊值。
5.根據(jù)權(quán)利要求4所述的節(jié)點間通信密鑰的建立方法,其特征在于所述步驟4)中目 的節(jié)點NDestinati。n收到第三密鑰通告分組后發(fā)送第三密鑰通告響應分組給交換設(shè)備SW^t, 其具體實現(xiàn)方式是4.1)利用與交換設(shè)備SW^t之間的密鑰KEYd驗證MIC3是否正確,若不正確,則丟棄該 分組;否則,執(zhí)行4. 2);4. 2)利用與交換設(shè)備SW^t之間的密鑰KEYd解密E3(KEYs_d)字段,得到節(jié)點間通信密 鑰KEYS_D,該KEYs_d即為目的節(jié)點NDestinati。n與發(fā)送源節(jié)點Ns。urce之間的通信密鑰;4.3)構(gòu)造第三密鑰通告響應分組發(fā)送給交換設(shè)備SW^t,所述第三密鑰通告響應分組 包括=IDsource字段以及MIC4字段;其中IDswrce字段表示發(fā)送源節(jié)點Nstjurre的標識,其值同收到的第三密鑰通告分組中的 IDsource字段的值;MIC4字段表示消息完整性驗證碼,由目的節(jié)點NDestinati。n利用與交換設(shè)備SW^t之間的 密鑰KEYd對第三密鑰通告響應分組中本字段外的其他字段通過雜湊函數(shù)計算得到的雜湊 值。
6.根據(jù)權(quán)利要求5所述的節(jié)點間通信密鑰的建立方法,其特征在于所述步驟5)中交 換設(shè)備SW^t收到第三密鑰通告響應分組后發(fā)送第二密鑰通告響應分組給交換設(shè)備SWFiret, 其具體實現(xiàn)方式是5.1)比較IDs。urce字段與之前發(fā)送的第三密鑰通告分組中IDswra字段值是否一致,若不 一致,則丟棄該分組;否則,執(zhí)行5. 2);5. 2)利用與目的節(jié)點NDestinati。n之間的密鑰KEYd驗證MIC3是否正確,若不正確,則丟棄 該分組;否則,執(zhí)行5. 3);5. 3)構(gòu)造第二密鑰通告響應分組發(fā)送給交換設(shè)備SWFi t,所述第二密鑰通告響應分組 包括IDSource 字段、 Destination字段以及MIC5字段,其中IDswrce字段表示發(fā)送源節(jié)點Nstjurre的標識,其值同收到的第二密鑰通告分組中的 IDsource字段的值;IDnestination字段表示目的節(jié)點NDestinati。n的標識,其值同收到的第二密鑰通告分組中的Destination 字段的值;MIC5字段表示消息完整性驗證碼,由交換設(shè)備SW^t利用與交換設(shè)備SWpiret之間的 密鑰KEYh對第二密鑰通告響應分組中本字段外的其他字段通過雜湊函數(shù)計算得到的雜湊值。
7.根據(jù)權(quán)利要求6所述的節(jié)點間通信密鑰的建立方法,其特征在于所述步驟6)中 交換設(shè)備SWFi t收到第二密鑰通告響應分組后發(fā)送第一密鑰通告響應分組給發(fā)送源節(jié)點 Nstjurre,其具體實現(xiàn)方式是6. 1)檢查分組中的IDS。U_字段、IDltestinatim字段與之前發(fā)送給交換設(shè)備SW^t的第二密 鑰通告分組中對應字段值是否一致,若不一致,則丟棄該分組;否則,執(zhí)行6. 2);6. 2)利用與交換設(shè)備SW^t之間的密鑰KEYf+驗證MIC5是否正確,若不正確,則丟棄 該分組;否則,執(zhí)行6. 3);6.3)構(gòu)造第一密鑰通告響應分組發(fā)送給發(fā)送源節(jié)點Ns。urce,所述第一密鑰通告響應分 組包括IDDestination字段以及MIC6字段,其中IDnestination字段表示目的節(jié)點NDestinati。n的標識,其值同收到的第一密鑰通告分組中的Destination 字段的值;MIC6字段表示消息完整性驗證碼,由交換設(shè)備SWFiret用其與發(fā)送源節(jié)點Ns_。e之間的 密鑰KEYs對第一密鑰通告響應分組中本字段外的其他字段通過雜湊函數(shù)計算得到的雜湊 值。
8.根據(jù)權(quán)利要求7所述的節(jié)點間通信密鑰的建立方法,其特征在于所述步驟7)的具 體實現(xiàn)方式是7.1)檢查分組中的IDltestinatim字段與之前發(fā)送給交換設(shè)備SWpiret的第一密鑰通告分組 中10—3 。 字段值是否一致,若不一致,則丟棄該分組;否則,執(zhí)行7. 2);7. 2)利用與交換設(shè)備SWFiret之間的密鑰KEYs驗證MIC6是否正確,若不正確,則丟棄該 分組;否則,即完成發(fā)送源節(jié)點Ns_。e和目的節(jié)點NDestinati。n之間通信密鑰KEYS_D的建立過程, 此后發(fā)送源節(jié)點Nswra和目的節(jié)點Nltestinatim之間可采用該通信密鑰KEYs_d進行秘密通信。
9.一種節(jié)點間通信密鑰的建立系統(tǒng),其特征在于所述節(jié)點間通信密鑰的建立系統(tǒng)包 括向交換設(shè)備swFi t發(fā)送第一密鑰通告分組、接收交換設(shè)備SWFiret發(fā)送的第一密鑰通告響 應分組的發(fā)送源節(jié)點Nswra ;接收發(fā)送源節(jié)點Nswrce發(fā)送的第一密鑰通告分組、向交換設(shè)備 SffLast發(fā)送第二密鑰通告分組、接收交換設(shè)備SW^t發(fā)送的第二密鑰通告響應分組、向發(fā)送 源節(jié)點Ns。u_發(fā)送第一密鑰通告響應分組的交換設(shè)備SWFi t ;接收交換設(shè)備SWFi t發(fā)送的 第二密鑰通告分組、向目的節(jié)點NDestinati。n發(fā)送第三密鑰通告分組、接收目的節(jié)點Nltestinatim 發(fā)送的第三密鑰通告響應分組、向交換設(shè)備SWFi t發(fā)送第二密鑰通告響應分組的交換設(shè)備 SffLast ;接收交換設(shè)備SW^t發(fā)送的第三密鑰通告分組、向交換設(shè)備SW^t發(fā)送第三密鑰通告 響應分組的目的節(jié)點NDestinati。n。
全文摘要
本發(fā)明為一種節(jié)點間通信密鑰的建立方法,該方法包括以下步驟1)發(fā)送源節(jié)點NSource發(fā)送第一密鑰通告分組給交換設(shè)備SWFirst;2)交換設(shè)備SWFirst發(fā)送第二密鑰通告分組給交換設(shè)備SWLast;3)交換設(shè)備SWLast發(fā)送第三密鑰通告分組給目的節(jié)點NDestination;4)目的節(jié)點NDestination發(fā)送第三密鑰通告響應分組給交換設(shè)備SWLast;5)交換設(shè)備SWLast發(fā)送第二密鑰通告響應分組給交換設(shè)備SWFirst;6)交換設(shè)備SWFirst發(fā)送第一密鑰通告響應分組給發(fā)送源節(jié)點NSource;7)發(fā)送源節(jié)點NSource接收第一密鑰通告響應分組。通過本發(fā)明的方法,局域網(wǎng)合法節(jié)點之間可以靈活建立及更新它們之間的密鑰,無需管理員為全網(wǎng)節(jié)點兩兩之間部署共享的靜態(tài)密鑰。
文檔編號H04L12/56GK101902324SQ20101015967
公開日2010年12月1日 申請日期2010年4月29日 優(yōu)先權(quán)日2010年4月29日
發(fā)明者張莎, 曹軍, 朱林, 李劍雄, 李琴, 苑克龍, 葛莉, 鐵滿霞 申請人:天維訊達無線電設(shè)備檢測(北京)有限責任公司;西安西電捷通無線網(wǎng)絡(luò)通信股份有限公司