專利名稱：：一種節(jié)點間安全連接建立方法及系統(tǒng)的制作方法
技術領域：
：本發(fā)明涉及信息安全技術中的有線局域網安全應用領域，特別涉及一種節(jié)點間安全連接建立方法及系統(tǒng)。
背景技術：
：有線局域網一般為廣播型網絡，一個節(jié)點發(fā)出的數據，其它節(jié)點都能收到。網絡上的各個節(jié)點共享信道，這給網絡帶來了極大的安全隱患。攻擊者只要接入網絡進行監(jiān)聽，就可以捕獲網絡上所有的數據包?，F有國家標準GB/T15629.3(對應IEEE802.3或IS0/IEC8802-3)定義的局域網LAN并不提供數據保密方法，這樣就使得攻擊者容易竊取到關鍵信肩、ο在有線局域網中，標準組織IEEE通過對IEEE802.3進行安全增強來實現鏈路層的安全。IEEE802.IAE為保護以太網提供數據加密協(xié)議，并采用逐跳加密的安全措施來實現網絡節(jié)點之間數據的安全傳達。但是，這種安全措施要求交換設備對需要轉發(fā)的每一個數據包都進行解密再加密再轉發(fā)的處理過程，無疑給局域網中的交換設備帶來了巨大的計算負擔，容易引發(fā)攻擊者對交換設備的攻擊；且數據包從發(fā)送節(jié)點傳遞到目的節(jié)點的延時也會增大，降低了網絡傳輸效率。有線局域網的拓撲結構比較復雜，涉及到的節(jié)點數目也比較多，因此網絡中的數據通信比較復雜。如果為局域網節(jié)點間分配靜態(tài)的密鑰對來建立節(jié)點間的安全連接，其分配和更新過程極為復雜。
發(fā)明內容為了解決
背景技術：
中存在的上述問題，本發(fā)明提供了一種節(jié)點間安全連接建立方法及系統(tǒng)。本發(fā)明的技術解決方案是本發(fā)明一種節(jié)點間安全連接建立方法，其特殊之處在于該方法包括以下步驟1)發(fā)送源節(jié)點Ns。urce發(fā)送密鑰請求分組給交換設備SWFiret；2)交換設備SWFit發(fā)送臨時密鑰通告分組給交換設備SW^t；3)交換設備SW^t發(fā)送密鑰通告分組給目的節(jié)點NDestinati。n；4)目的節(jié)點Nltestinatim發(fā)送密鑰通告響應分組給交換設備SW^t；5)交換設備SW^t發(fā)送臨時密鑰通告響應分組給交換設備SWpiret；6)交換設備SWFit發(fā)送密鑰響應分組給發(fā)送源節(jié)點Nswrce；7)發(fā)送源節(jié)點Ns。urce接收密鑰響應分組。上述步驟1)中密鑰請求分組包括IDDestinati。n字段，IDnestination字段表示目的節(jié)點NDestination的標識；上述步驟2)的具體步驟如下交換設備SWFit收到密鑰請求分組后，生成一隨機數作為臨時密鑰，將該臨時密鑰作為此次發(fā)送源節(jié)點Nswrce和目的節(jié)點Nltestinatim之間的共享密鑰KEYS_D，構造臨時密鑰通告分組發(fā)送給交換設備SW^t；該臨時密鑰通告分組包括IDstjurre字段、IDDestinati。n字段、Efeyl字段和MICl字段，其中IDS。_字段表示發(fā)送源節(jié)點Ns。_的標識；IDltestinatim字段表示目的節(jié)點NDestinati。n的標識；EKeyl字段表示密鑰資料數據，由交換設備SWFiret用其與交換設備SW^t之間的密鑰KEYh對共享密鑰KEYs_d加密后的數據；MICl字段表示消息完整性驗證碼，是交換設備SWFiret利用其與交換設備SW^t之間的密鑰KEYh對構造的臨時密鑰通告分組除本字段外其他字段通過雜湊函數計算得到的雜湊值。上述步驟3)的具體步驟如下3.1)交換設備SW^t收到臨時密鑰通告分組后，利用其與交換設備SWFit之間的密鑰KEYf+驗證MICl是否正確，若不正確，則丟棄該分組；否則，執(zhí)行3.2)；3.2)利用其與交換設備SWFiret之間的密鑰KEYf+解密EKeyl字段，得到臨時密鑰，將其作為發(fā)送源節(jié)點Nstjurre和目的節(jié)點Nltestinatim之間的共享密鑰KEYs_d；3.3)構造密鑰通告分組發(fā)送給目的節(jié)點NDestinati。n；該密鑰通告分組中包括IDsource字段、Ekey2字段和MIC2字段，其中IDS。_字段表示發(fā)送源節(jié)點NS()Ur。e的標識；Ekey2字段表示密鑰資料數據，由交換設備SW^t用其與目的節(jié)點Nltestinatim之間的密鑰KEYd對計算得到的發(fā)送源節(jié)點Nstjuree和目的節(jié)點NDestinati。n之間的共享密鑰KEYs_d加密后的數據；MIC2字段表示消息完整性驗證碼，由交換設備SW^t用其與目的節(jié)點NDestinati。n之間的密鑰KEYd對該密鑰通告分組中本字段外的其他字段通過雜湊函數計算得到的雜湊值。上述步驟4)的具體步驟如下4.1)目的節(jié)點Nltestinatim收到密鑰通告分組后，利用與交換設備SW^t之間的密鑰KEYd驗證MIC2是否正確，若不正確，則丟棄該分組；否則，執(zhí)行4.2)；4.2)利用與交換設備SW^t之間的密鑰KEYd解密Ekey2字段即可得到與發(fā)送源節(jié)點Ns_。e之間的共享密鑰KEYs_d；4.3)構造密鑰通告響應分組發(fā)送給交換設備SW^t；該密鑰通告響應分組包括IDsource字段和MIC3字段，其中IDS。_字段表示發(fā)送源節(jié)點Ns。_的標識，其值同收到的密鑰通告分組中的IDswra字段的值；MIC3字段表示消息完整性驗證碼，由目的節(jié)點Nltestinatim利用與交換設備SW^t之間的密鑰KEYd對該密鑰通告響應分組中本字段外的其他字段通過雜湊函數計算得到的雜湊值。上述步驟5)的具體步驟如下5.1)交換設備SW^t收到密鑰通告響應分組后，比較IDS。_字段與之前發(fā)送的密鑰通告分組中IDswra字段值是否一致，若不一致，則丟棄該分組；否則，執(zhí)行5.2)；5.2)利用與目的節(jié)點NDestinati。n之間的密鑰KEYd驗證MIC3是否正確，若不正確，則丟棄該分組；否則，執(zhí)行5.3)；5.3)構造臨時密鑰通告響應分組發(fā)送給交換設備SWFit；該臨時密鑰通告響應分組包括IDs。urce字段、IDDestinati。n字段和MIC4字段，其中IDS。_字段表示發(fā)送源節(jié)點Ns。urce的標識；IDDestinati。n字段表示目的節(jié)點NDestinati。n的標識；MIC4字段表示消息完整性驗證碼，由交換設備SW^t利用與交換設備SWFiret之間的密鑰KEYf+對該臨時密鑰通告響應分組中本字段外的其他字段通過雜湊函數計算得到的雜湊值。上述步驟6)的具體步驟如下6.1)交換設備SWFit收到臨時密鑰通告響應分組后，檢查分組中的IDS。_字段、IDltestinatim字段與之前發(fā)送給交換設備SW^t的臨時密鑰通告分組中的對應字段值是否一致，若不一致，則丟棄該分組；否則，執(zhí)行6.2)；6.2)利用與交換設備SW^t之間的密鑰KEYh驗證MIC4是否正確，若不正確，則丟棄該分組；否則，構造密鑰響應分組發(fā)送給發(fā)送源節(jié)點Nstjurre；該密鑰響應分組包括IDltestinatim字段、Ekey3字段和MIC5字段，其中IDltestinatim字段表示目的節(jié)點NDestinati。n的標識；Ekey3字段表示密鑰資料數據，由交換設備SWFit用其與發(fā)送源節(jié)點Nswra之間的密鑰KEYs對計算得到的發(fā)送源節(jié)點Ns_。e和目的節(jié)點NDestinati。n之間的共享密鑰KEYs_d加密后的數據；MIC5字段表示消息完整性驗證碼，由交換設備SWFiret用其與發(fā)送源節(jié)點Ns_。e之間的密鑰KEYs對該密鑰響應分組中本字段外的其他字段通過雜湊函數計算得到的雜湊值。上述步驟7)的具體步驟如下7.1)發(fā)送源節(jié)點Nstjurre收到密鑰響應分組后，利用與交換設備SWFit之間的密鑰KEYs驗證MIC5是否正確，若不正確，則丟棄該分組；否則，執(zhí)行7.2)；7.2)利用與交換設備SWFi,st之間的密鑰KEYs解密Ekey3字段即可得到與目的節(jié)點NDestinati。n之間的共享密鑰KEYS_D，即完成發(fā)送源節(jié)點Ns。_和目的節(jié)點Nltestinatim之間共享密鑰KEYs_d的建立過程。共享密鑰KEYS_D建立后，發(fā)送源節(jié)點Ns。ur。e與目的節(jié)點NDestinati。n之間的通信數據包就可以利用該共享密鑰KEYs_d進行加密解密，即實現了發(fā)送源節(jié)點Ns。urce與目的節(jié)點Nltestinatim之間保密通信。本發(fā)明還提供一種節(jié)點間安全連接的建立系統(tǒng)，其特殊之處在于該系統(tǒng)包括向交換設備swFit發(fā)送密鑰請求分組、接收交換設備SWpiret發(fā)送的密鑰響應分組的發(fā)送源節(jié)點Ns_。e；接收發(fā)送源節(jié)點Nswra發(fā)送的密鑰請求分組、向交換設備SW^t發(fā)送臨時密鑰通告分組、接收交換設備SW^t發(fā)送的臨時密鑰通告響應分組、向發(fā)送源節(jié)點Nstjurre發(fā)送密鑰響應分組的交換設備SWpiret；接收交換設備SWFit發(fā)送的臨時密鑰通告分組、向目的節(jié)點Nnestination發(fā)送密鑰通告分組、接收目的節(jié)點NDestinati。n發(fā)送的密鑰通告響應分組、向交換設備swFit發(fā)送臨時密鑰通告響應分組的交換設備SW^t；接收交換設備SW^t發(fā)送的密鑰通告分組、向交換設備SW^t發(fā)送密鑰通告響應分組的目的節(jié)點NDestinati。n。本發(fā)明的優(yōu)點是發(fā)送源節(jié)點Nswra和目的節(jié)點NDestinati。n之間的密鑰是通過交換設備SWFit臨時生成，并分別通告給發(fā)送源節(jié)點Ns。urce和目的節(jié)點NDestinati。n的。節(jié)點間共享密鑰的建立和更新過程可由發(fā)送源節(jié)點Nstjurre的發(fā)送密鑰請求分組觸發(fā)。該建立和更新過程靈活，無需管理員為全網節(jié)點兩兩之間部署共享的靜態(tài)密鑰。圖1為本發(fā)明的節(jié)點間共享密鑰建立過程示意圖。具體實施例方式本發(fā)明中定義的節(jié)點N(Node)是指局域網中的用戶終端STA(STAtion)和交換設備SW(SWitch)。局域網中的集線器等物理層設備不作為節(jié)點處理。假設，在網絡中相鄰的交換設備與用戶終端之間、相鄰的交換設備與交換設備之間通過預分發(fā)或其他安全機制均已建立安全連接，即已具有共享的密鑰；所有的交換設備兩兩之間通過預分發(fā)或其他安全機制已建立安全連接，即已具有共享的密鑰。本發(fā)明中對該假設中的密鑰的建立機制不予限制和定義。以發(fā)送源節(jié)點Nstjurre與目的節(jié)點NDestinati。n之間的安全連接建立為例，交換設備SWpirst是指從發(fā)送源節(jié)點Nswra到目的節(jié)點NDestinati。n的數據包經過的第一個交換設備，交換設備SW^t是指從發(fā)送源節(jié)點Nstjurre到目的節(jié)點NDestinati。n的數據包經過的最后一個交換設備。根據上述的假設，發(fā)送源節(jié)點Nswra與交換設備SWFit已建立安全連接，共享的密鑰記為KEYs,目的節(jié)點NDestinati。n與交換設備SW^tB建立安全連接，共享的密鑰記為KEYd,交換設備SWFit與交換設備SW^tB建立安全連接，共享的密鑰記為KEYff參見圖1，本發(fā)明所提供的一種節(jié)點間安全連接的建立方法為發(fā)送源節(jié)點Nstjurre和目的節(jié)點NDestinati。n之間建立安全連接的具體方案如下1)發(fā)送源節(jié)點Ns。urce發(fā)送密鑰請求分組給交換設備SWFiret；該密鑰請求分組包括^-■^Destination其中IDnestination字段表示目的節(jié)點Nltestinatim的標識；2)交換設備SWFit發(fā)送臨時密鑰通告分組給交換設備SW^t；交換設備SWFit收到密鑰請求分組后，生成一隨機數作為臨時密鑰，將該臨時密鑰作為此次發(fā)送源節(jié)點Nswrce和目的節(jié)點Nltestinatim之間的共享密鑰KEYS_D，構造臨時密鑰通告分組發(fā)送給交換設備SWLast。該臨時密鑰通告分組包括IDsourceIDDestinationElieylMICl其中IDsource字段表示發(fā)送源節(jié)點Ns。_的標識；IDnestination字段表示目的節(jié)點NDestinati。n的標識；Efeyl字段表示密鑰資料數據，由交換設備SWFit用其與交換設備SW^t之間的密鑰KEYf+對共享密鑰KEYs_d加密后的數據；MICl字段表示消息完整性驗證碼，由交換設備SWFi,st用其與交換設備SW^t之間的密鑰KEYh對構造的臨時密鑰通告分組除本字段外其他字段通過雜湊函數計算得到的雜湊值。3)交換設備SW^t發(fā)送密鑰通告分組給目的節(jié)點NDestinati。n；交換設備SW^t收到臨時密鑰通告分組后，進行如下處理3.1)利用其與交換設備SWFi,st之間的密鑰KEYh驗證MICl是否正確，若不正確，則丟棄該分組；否則，執(zhí)行3.2)；3.2)利用其與交換設備SWFiret之間的密鑰KEYf+解密EKeyl字段，得到臨時密鑰，將其作為發(fā)送源節(jié)點Nstjurre和目的節(jié)點Nltestinatim之間的共享密鑰KEYS_D；3.3)構造密鑰通告分組發(fā)送給目的節(jié)點NDratinati。n。該密鑰通告分組中包括<table>tableseeoriginaldocumentpage9</column></row><table>其中IDsource字段表示發(fā)送源節(jié)點Nstjurce的標識；Ekey2字段表示密鑰資料數據，由交換設備SW^t用其與目的節(jié)點NDestinati。n之間的密鑰KEYd對計算得到的發(fā)送源節(jié)點Ns。urce和目的節(jié)點NDestinati。n之間的共享密鑰KEYs_d加密后的數據；MIC2字段表示消息完整性驗證碼，由交換設備SW—用其與目的節(jié)點NDestinati。n之間的密鑰KEYd對該密鑰通告分組中本字段外的其他字段通過雜湊函數計算得到的雜湊值。4)目的節(jié)點Nltestinatim發(fā)送密鑰通告響應分組給交換設備SW^t；目的節(jié)點NDestinati。n收到密鑰通告分組后，進行如下處理4.1)利用與交換設備SWl-之間的密鑰KEYd驗證MIC2是否正確，若不正確，則丟棄該分組；否則，執(zhí)行4.2)；4.2)利用與交換設備SW^t之間的密鑰KEYd解密Ekey2字段即可得到與發(fā)送源節(jié)點Ns_。e之間的共享密鑰KEYs_d；4.3)構造密鑰通告響應分組發(fā)送給交換設備SW^t。該密鑰通告響應分組包括<table>tableseeoriginaldocumentpage9</column></row><table>其中IDs。urce字段表示發(fā)送源節(jié)點Ns_。e的標識，其值同收到的密鑰通告分組中的IDsource字段的值；MIC3字段表示消息完整性驗證碼，由目的節(jié)點NDestinati。n利用與交換設備SW^t之間的密鑰KEYd對該密鑰通告響應分組中本字段外的其他字段通過雜湊函數計算得到的雜湊值。5)交換設備SW^t發(fā)送臨時密鑰通告響應分組給交換設備SWpiret；交換設備SW^t收到密鑰通告響應分組后，進行如下處理5.1)比較IDS。_字段與之前發(fā)送的密鑰通告分組中IDS。_字段值是否一致，若不一致，則丟棄該分組；否則，執(zhí)行5.2)；5.2)利用與目的節(jié)點NDestinati。n之間的密鑰KEYd驗證MIC3是否正確，若不正確，則丟棄該分組；否則，執(zhí)行5.3)；5.3)構造臨時密鑰通告響應分組發(fā)送給交換設備SWFit。該臨時密鑰通告響應分組包括<table>tableseeoriginaldocumentpage9</column></row><table>其中IDsource字段表示發(fā)送源節(jié)點Nstjurce的標識；IDnestination字段表示目的節(jié)點NDestinati。n的標識；MIC4字段表示消息完整性驗證碼，由交換設備SW^t利用與交換設備SWFiret之間的密鑰KEYh對該臨時密鑰通告響應分組中本字段外的其他字段通過雜湊函數計算得到的雜湊值。6)交換設備SWFit發(fā)送密鑰響應分組給發(fā)送源節(jié)點Nswrce；交換設備SWFiret收到臨時密鑰通告響應分組后，進行如下處理6.1)檢查分組中的IDS。_字段、IDDestinati。n字段與之前發(fā)送給交換設備SW^t的臨時密鑰通告分組中的對應字段值是否一致，若不一致，則丟棄該分組；否則，執(zhí)行6.2)；6.2)利用與交換設備SW^t之間的密鑰KEYf_l驗證MIC4是否正確，若不正確，則丟棄該分組；否則，構造密鑰響應分組發(fā)送給發(fā)送源節(jié)點Ns。urce。該密鑰響應分組包括<table>tableseeoriginaldocumentpage10</column></row><table>其中IDnestination字段表示目的節(jié)點Nltestinatim的標識；Ekey3字段表示密鑰資料數據，由交換設備SWpiret用其與發(fā)送源節(jié)點Nswra之間的密鑰KEYs對計算得到的發(fā)送源節(jié)點Ns。urce和目的節(jié)點NDestinati。n之間的共享密鑰KEYs_d加密后的數據；MIC5字段表示消息完整性驗證碼，由交換設備SWFiret用其與發(fā)送源節(jié)點Ns_。e之間的密鑰KEYs對該密鑰響應分組中本字段外的其他字段通過雜湊函數計算得到的雜湊值。7)發(fā)送源節(jié)點Ns。urce接收密鑰響應分組；發(fā)送源節(jié)點Nstjurre收到密鑰響應分組后，進行如下處理7.1)利用與交換設備SWFi,st之間的密鑰KEYs驗證MIC5是否正確，若不正確，則丟棄該分組；否則，執(zhí)行7.2)；7.2)利用與交換設備SWFi,st之間的密鑰KEYs解密Ekey3字段即可得到與目的節(jié)點NDestinati。n之間的共享密鑰KEYS_D，即完成發(fā)送源節(jié)點Ns。_和目的節(jié)點Nltestinatim之間共享密鑰KEYs_d的建立過程。當對上述方案進行具體實施時，發(fā)送源節(jié)點Nswra還可生成一個數值，作為此次節(jié)點間密鑰建立過程的標識，該標識可為時鐘、順序號或隨機數，且在每個消息中進行攜帶，相應地交換設備SW^t收到密鑰通告響應分組后需驗證分組中的標識值與其之前接收的臨時密鑰通告分組中的標識值是否一致；交換設備swFit收到臨時密鑰通告響應分組后需驗證分組中的標識值與其之前接收的密鑰請求分組中的標識值是否一致；發(fā)送源節(jié)點Ns。u_收到密鑰響應分組后需驗證分組中的標識值與其之前發(fā)送的密鑰請求分組中的標識值是否一致。當利用上述方案進行具體實施時，也可以由發(fā)送源節(jié)點Nstjurre、交換設備SWFiret及交換設備SW^t在發(fā)送密鑰請求分組、臨時密鑰通告分組、密鑰通告分組時，各自獨立生成一個數值(可為時鐘、順序號或隨機數)作為消息新鮮性標識分別攜帶在上述分組中，相應地交換設備SW^t收到密鑰通告響應分組后需驗證分組中的標識值與其之前發(fā)送的密鑰通告分組中的標識值是否一致；交換設備swFit收到臨時密鑰通告響應分組后需驗證分組中的標識值與其之前發(fā)送的臨時密鑰通告分組中的標識值是否一致；發(fā)送源節(jié)點Nstjurre收到密鑰響應分組后需驗證分組中的標識值與其之前發(fā)送的密鑰請求分組中的標識值是否一致。本發(fā)明還提供一種節(jié)點間安全連接的建立系統(tǒng)，包括向交換設備SWFit發(fā)送密鑰請求分組、接收交換設備SWFirst發(fā)送的密鑰響應分組的發(fā)送源節(jié)點Ns_。e；接收發(fā)送源節(jié)點Ns。u_發(fā)送的密鑰請求分組、向交換設備SW^t發(fā)送臨時密鑰通告分組、接收交換設備SffLast發(fā)送的臨時密鑰通告響應分組、向發(fā)送源節(jié)點Ns_。e發(fā)送密鑰響應分組的交換設備Sffpirst；接收交換設備SWFiret發(fā)送的臨時密鑰通告分組、向目的節(jié)點NDestinati。n發(fā)送密鑰通告分組、接收目的節(jié)點NDestinati。n發(fā)送的密鑰通告響應分組、向交換設備SWFit發(fā)送臨時密鑰通告響應分組的交換設備SW^t；接收交換設備SW^t發(fā)送的密鑰通告分組、向交換設備SW^t發(fā)送密鑰通告響應分組的目的節(jié)點NDestinati。n。權利要求一種節(jié)點間安全連接建立方法，其特征在于該方法包括以下步驟1)發(fā)送源節(jié)點NSource發(fā)送密鑰請求分組給交換設備SWFirst；2)交換設備SWFirst發(fā)送臨時密鑰通告分組給交換設備SWLast；3)交換設備SWLast發(fā)送密鑰通告分組給目的節(jié)點NDestination；4)目的節(jié)點NDestination發(fā)送密鑰通告響應分組給交換設備SWLast；5)交換設備SWLast發(fā)送臨時密鑰通告響應分組給交換設備SWFirst；6)交換設備SWFirst發(fā)送密鑰響應分組給發(fā)送源節(jié)點NSource；7)發(fā)送源節(jié)點NSource接收密鑰響應分組。2.根據權利要求1所述的節(jié)點間安全連接建立方法，其特征在于所述步驟1)中密鑰請求分組包括Destination字段，Destination字段表示目的節(jié)點ND6Stinati。n的標識；3.根據權利要求2所述的節(jié)點間安全連接建立方法，其特征在于所述步驟2)的具體步驟如下交換設備SWFiret收到密鑰請求分組后，生成一隨機數作為臨時密鑰，將該臨時密鑰作為此次發(fā)送源節(jié)點Ns。urc6和目的節(jié)點ND6Stinati。n之間的共享密鑰KEYS_D，構造臨時密鑰通告分組發(fā)送給交換設備SW—；該臨時密鑰通告分組包括IDS。_字段、IDDestinati。n字段、EKeyl字段和MIC1字段，其中IDS。_字段表示發(fā)送源節(jié)點Ns。_的標識；IDDestinati。n字段表示目的節(jié)點Nd—的標識；EKeyl字段表示密鑰資料數據，由交換設備SWFit用其與交換設備S^ast之間的密鑰KEYf<對共享密鑰KEYS_D加密后的數據；MIC1字段表示消息完整性驗證碼，由交換設備SWFit用其與交換設備SW—之間的密鑰KEYf<對構造的臨時密鑰通告分組除本字段外其他字段通過雜湊函數計算得到的雜湊值。4.根據權利要求3所述的節(jié)點間安全連接建立方法，其特征在于所述步驟3)的具體步驟如下·3.1)交換設備SW^t收到臨時密鑰通告分組后，利用其與交換設備SWFit之間的密鑰KEYf_l驗證MIC1是否正確，若不正確，則丟棄該分組；否則，執(zhí)行3.2)；·3.2)利用其與交換設備SWFi,st之間的密鑰KEYf<解密EI^字段，得到臨時密鑰，將其作為發(fā)送源節(jié)點Ns。ura和目的節(jié)點之間的共享密鑰KEYs_d；·3.3)構造密鑰通告分組發(fā)送給目的節(jié)點ND6Stinati。n；該密鑰通告分組中包括IDs。urc6字段、Ekey2字段和MIC2字段，其中IDs。urce字段表示發(fā)送源節(jié)點Ns。urce的標識；Ekey2字段表示密鑰資料數據，由交換設備SW^t用其與目的節(jié)點NDestinati。n之間的密鑰KEYd對計算得到的發(fā)送源節(jié)點Ns_。e和目的節(jié)點NDestinati。n之間的共享密鑰KEYs_d加密后的數據；MIC2字段表示消息完整性驗證碼，由交換設備SW^t用其與目的節(jié)點NDestinati。n之間的密鑰KEYd對該密鑰通告分組中本字段外的其他字段通過雜湊函數計算得到的雜湊值。5.根據權利要求4所述的節(jié)點間安全連接建立方法，其特征在于所述步驟4)的具體步驟如下·4.1)目的節(jié)點ND6Stinati。n收到密鑰通告分組后，利用與交換設備SW^t之間的密鑰KEYd驗證MIC2是否正確，若不正確，則丟棄該分組；否則，執(zhí)行4.2)；·4.2)利用與交換設備SW^t之間的密鑰KEYd解密Ek6y2字段即可得到與發(fā)送源節(jié)點Ns_。e之間的共享密鑰KEYS_D；·4.3)構造密鑰通告響應分組發(fā)送給交換設備SW—；該密鑰通告響應分組包括IDS。_字段和MIC3字段，其中IDs_。6字段表示發(fā)送源節(jié)點Ns_。6的標識，其值同收到的密鑰通告分組中的IDs_。e字段的值；MIC3字段表示消息完整性驗證碼，由目的節(jié)點NDestinati。n利用與交換設備SW^t之間的密鑰KEYd對該密鑰通告響應分組中本字段外的其他字段通過雜湊函數計算得到的雜湊值。6.根據權利要求5所述的節(jié)點間安全連接建立方法，其特征在于所述步驟5)的具體步驟如下5.1)交換設備SW^t收到密鑰通告響應分組后，比較IDs。urc6字段與之前發(fā)送的密鑰通告分組中IDs。ura字段值是否一致，若不一致，則丟棄該分組；否則，執(zhí)行5.2)；5.2)利用與目的節(jié)點NDestinati。n之間的密鑰KEYD驗證MIC3是否正確，若不正確，則丟棄該分組；否則，執(zhí)行5.3)；5.3)構造臨時密鑰通告響應分組發(fā)送給交換設備SWFit；該臨時密鑰通告響應分組包括IDs。urce字段、IDDestinati。n字段和MIC4字段，其中IDSource字段表示發(fā)送源節(jié)點Ns。urce的標識；IDDestinati。n字段表示目的節(jié)點NDestinati。n的標識；MIC4字段表示消息完整性驗證碼，由交換設備SW^t利用與交換設備SWFiret之間的密鑰KEYf<對該臨時密鑰通告響應分組中本字段外的其他字段通過雜湊函數計算得到的雜湊值。7.根據權利要求6所述的節(jié)點間安全連接建立方法，其特征在于所述步驟6)的具體步驟如下6.1)交換設備SWFiret收到臨時密鑰通告響應分組后，檢查分組中的IDS。U_字段、恥―字段與之前發(fā)送給交換設備SW—的臨時密鑰通告分組中的對應字段值是否一致，若不一致，則丟棄該分組；否則，執(zhí)行6.2)；6.2)利用與交換設備SW^t之間的密鑰KEYf<驗證MIC4是否正確，若不正確，則丟棄該分組；否則，構造密鑰響應分組發(fā)送給發(fā)送源節(jié)點Ns。ura；該密鑰響應分組包括IDD6Stinati。n字段、Ekey3字段和MIC5字段，其中IDDestinati。n字段表示目的節(jié)點NDestinati。n的標識；Ekey3字段表示密鑰資料數據，由交換設備SWFit用其與發(fā)送源節(jié)點Ns。u_之間的密鑰KEYS對計算得到的發(fā)送源節(jié)點Ns。urce和目的節(jié)點NDestinati。n之間的共享密鑰KEYs_d加密后的數據；MIC5字段表示消息完整性驗證碼，由交換設備SWFit用其與發(fā)送源節(jié)點Ns_。e之間的密鑰KEYS對該密鑰響應分組中本字段外的其他字段通過雜湊函數計算得到的雜湊值。8.根據權利要求7所述的節(jié)點間安全連接建立方法，其特征在于所述步驟7)的具體步驟如下7.1)發(fā)送源節(jié)點Ns_。6收到密鑰響應分組后，利用與交換設備SWFiret之間的密鑰KEYS驗證MIC5是否正確，若不正確，則丟棄該分組；否則，執(zhí)行7.2)；7.2)利用與交換設備SWFit之間的密鑰KEYS解密Etey3字段即可得到與目的節(jié)點ND6Stinati。n之間的共享密鑰KEYS_D，即完成發(fā)送源節(jié)點Ns。_和目的節(jié)點ND6Stinati。n之間共享密鑰KEYs_d的建立過程。9.一種節(jié)點間安全連接的建立系統(tǒng)，其特征在于該系統(tǒng)包括向交換設備SWFit發(fā)送密鑰請求分組、接收交換設備SWFit發(fā)送的密鑰響應分組的發(fā)送源節(jié)點Ns。urc6；接收發(fā)送源節(jié)點Ns。u_發(fā)送的密鑰請求分組、向交換設備SW^t發(fā)送臨時密鑰通告分組、接收交換設備SffLast發(fā)送的臨時密鑰通告響應分組、向發(fā)送源節(jié)點Ns_。6發(fā)送密鑰響應分組的交換設備SffFirst；接收交換設備SWFiret發(fā)送的臨時密鑰通告分組、向目的節(jié)點ND6Stinati。n發(fā)送密鑰通告分組、接收目的節(jié)點ND6Stinati。n發(fā)送的密鑰通告響應分組、向交換設備SWFit發(fā)送臨時密鑰通告響應分組的交換設備sw^t；接收交換設備SW^t發(fā)送的密鑰通告分組、向交換設備sw^t發(fā)送密鑰通告響應分組的目的節(jié)點ND6Stinati。n。全文摘要一種節(jié)點間安全連接建立方法，該方法包括1)發(fā)送源節(jié)點NSource發(fā)送密鑰請求分組給交換設備SWFirst；2)交換設備SWFirst發(fā)送臨時密鑰通告分組給交換設備SWLast；3)交換設備SWLast發(fā)送密鑰通告分組給目的節(jié)點NDestination；4)目的節(jié)點NDestination發(fā)送密鑰通告響應分組給交換設備SWLast；5)交換設備SWLast發(fā)送臨時密鑰通告響應分組給交換設備SWFirst；6)交換設備SWFirst發(fā)送密鑰響應分組給發(fā)送源節(jié)點NSource；7)發(fā)送源節(jié)點NSource接收密鑰響應分組。本發(fā)明建立和更新過程靈活，無需管理員為全網節(jié)點兩兩之間部署共享的靜態(tài)密鑰。文檔編號H04L12/28GK101834862SQ20101015967公開日2010年9月15日申請日期2010年4月29日優(yōu)先權日2010年4月29日發(fā)明者曹軍,李琴,葛莉,鐵滿霞申請人:西安西電捷通無線網絡通信股份有限公司