專利名稱：一種節(jié)點(diǎn)間通信密鑰的建立方法及系統(tǒng)的制作方法
技術(shù)領(lǐng)域：
本發(fā)明涉及通信網(wǎng)絡(luò)應(yīng)用領(lǐng)域，尤其涉及一種節(jié)點(diǎn)間通信密鑰的建立方法及系 統(tǒng)。
背景技術(shù)：
有線局域網(wǎng)一般為廣播型網(wǎng)絡(luò)，一個(gè)節(jié)點(diǎn)發(fā)出的數(shù)據(jù)，其它節(jié)點(diǎn)都能收到。網(wǎng)絡(luò)上 的各個(gè)節(jié)點(diǎn)共享信道，這給網(wǎng)絡(luò)帶來(lái)了極大的安全隱患。攻擊者只要接入網(wǎng)絡(luò)進(jìn)行監(jiān)聽，就 可以捕獲網(wǎng)絡(luò)上所有的數(shù)據(jù)包?，F(xiàn)有國(guó)家標(biāo)準(zhǔn)GB/T 15629. 3 (對(duì)應(yīng)IEEE 802. 3或IS0/IEC 8802-3)定義的局域網(wǎng)LAN并不提供數(shù)據(jù)保密方法，這樣就使得攻擊者容易竊取到關(guān)鍵信 肩、ο在有線局域網(wǎng)中，IEEE通過(guò)對(duì)IEEE 802. 3進(jìn)行安全增強(qiáng)來(lái)實(shí)現(xiàn)鏈路層的安全。 IEEE 802. IAE為保護(hù)以太網(wǎng)提供數(shù)據(jù)加密協(xié)議，并采用逐跳加密的安全措施來(lái)實(shí)現(xiàn)網(wǎng)絡(luò)節(jié) 點(diǎn)之間數(shù)據(jù)的安全傳達(dá)。這種安全措施給局域網(wǎng)中的交換設(shè)備帶來(lái)了巨大的計(jì)算負(fù)擔(dān)，容 易引發(fā)攻擊者對(duì)交換設(shè)備的攻擊；且數(shù)據(jù)包從發(fā)送節(jié)點(diǎn)傳遞到目的節(jié)點(diǎn)的延時(shí)也會(huì)增大， 降低了網(wǎng)絡(luò)傳輸效率。有線局域網(wǎng)的拓?fù)浣Y(jié)構(gòu)比較復(fù)雜，涉及到的節(jié)點(diǎn)數(shù)目也比較多，因此網(wǎng)絡(luò)中的數(shù) 據(jù)通信比較復(fù)雜，終端和交換設(shè)備被統(tǒng)稱為節(jié)點(diǎn)。如果為局域網(wǎng)節(jié)點(diǎn)間分配靜態(tài)密鑰來(lái)保 證節(jié)點(diǎn)間的保密通信，其分配和更新過(guò)程極為復(fù)雜。

發(fā)明內(nèi)容
為了解決背景技術(shù)中存在的上述問(wèn)題，本發(fā)明提供了一種節(jié)點(diǎn)間通信密鑰的建立 方法及系統(tǒng)。本發(fā)明的技術(shù)解決方案是本發(fā)明為一種節(jié)點(diǎn)間通信密鑰的建立方法，其特殊之 處在于所述方法包括以下步驟1)發(fā)送源節(jié)點(diǎn)Ns。urce發(fā)送第一密鑰通告分組給交換設(shè)備SWpiret ；2)交換設(shè)備SWFi t發(fā)送第二密鑰通告分組給交換設(shè)備SW^t ；3)交換設(shè)備SW^t發(fā)送第三密鑰通告分組給目的節(jié)點(diǎn)NDestinati。n ；4)目的節(jié)點(diǎn)NDestinati。n發(fā)送第三密鑰通告響應(yīng)分組給交換設(shè)備SW^t ；5)交換設(shè)備SW^t發(fā)送第二密鑰通告響應(yīng)分組給交換設(shè)備SWpiret ；6)交換設(shè)備SWFi t發(fā)送第一密鑰通告響應(yīng)分組給發(fā)送源節(jié)點(diǎn)Nswrce ；7)發(fā)送源節(jié)點(diǎn)Ns。urce接收第一密鑰通告響應(yīng)分組。上述步驟1)中第一密鑰通告分組包括IDltestinatim字段、E1 (KEYs_d)字段以及MICl 字段；其中IDnestination字段表示目的節(jié)點(diǎn)NDestinati。n的標(biāo)識(shí)；E1(KEYm)字段表示密鑰資料數(shù)據(jù)，由發(fā)送源節(jié)點(diǎn)Ns。_利用其與交換設(shè)備SWpiret 之間的密鑰KEYs對(duì)KEYs_d加密后的數(shù)據(jù)；其中KEYs_d是由發(fā)送源節(jié)點(diǎn)Ns。_生成的隨機(jī)數(shù)，作為與目的節(jié)點(diǎn)NDestinati。n之間的通信密鑰；MICl字段表示消息完整性驗(yàn)證碼，由發(fā)送源節(jié)點(diǎn)Nswrce利用其與交換設(shè)備SWFiret 之間的密鑰KEYs對(duì)第一密鑰通告分組中本字段外的其他字段通過(guò)雜湊函數(shù)計(jì)算得到的雜 湊值。上述步驟2)中交換設(shè)備SWFiret收到第一密鑰通告分組后發(fā)送第二密鑰通告分組 給交換設(shè)備S^ast，其具體實(shí)現(xiàn)方式是2. 1)利用其與發(fā)送源節(jié)點(diǎn)Ns_。e之間的密鑰KEYs驗(yàn)證MICl是否正確，若不正確， 則丟棄該分組；否則，執(zhí)行2. 2)；2.2)利用其與發(fā)送源節(jié)點(diǎn)Nswrce之間的密鑰KEYs解密E1(KEId)字段，得到節(jié)點(diǎn) 間通信密鑰keys_d ；2. 3)構(gòu)造第二密鑰通告分組發(fā)送給交換設(shè)備SW^t,所述第二密鑰通告分組包括
Source 字段、 Destination
字段、E2 (KEYs_d)字段以及MIC2字段；其中IDsource字段表示發(fā)送源節(jié)點(diǎn)Ns。_的標(biāo)識(shí)；IDnestination字段表示目的節(jié)點(diǎn)NDestinati。n的標(biāo)識(shí)，其值同收到的密鑰通告分組1中
U J -1--^Destination 字段的值；E2 (KEYs_d)字段表示密鑰資料數(shù)據(jù)，由交換設(shè)備SWFi t利用其與交換設(shè)備SW^t之 間的密鑰KEYh對(duì)解密得到的節(jié)點(diǎn)間通信密鑰KEYs_d加密后的數(shù)據(jù)；MIC2字段表示消息完整性驗(yàn)證碼，由交換設(shè)備SWFi,st利用其與交換設(shè)備SW^t之 間的密鑰KEYh對(duì)第二密鑰通告分組中本字段外的其他字段通過(guò)雜湊函數(shù)計(jì)算得到的雜湊值。上述步驟3)中交換設(shè)備SW^t收到第二密鑰通告分組后發(fā)送第三密鑰通告分組給 目的節(jié)點(diǎn)NDestinati。n，其具體實(shí)現(xiàn)方式是3. 1)利用其與交換設(shè)備SWFi,st之間的密鑰KEYh驗(yàn)證MIC2是否正確，若不正確， 則丟棄該分組；否則，執(zhí)行3. 2)；3. 2)利用其與交換設(shè)備SWFiret之間的密鑰KEYf_l解密E2(KEYs_d)字段，得到節(jié)點(diǎn)間 通信密鑰keys_d ；3. 3)構(gòu)造第三密鑰通告分組發(fā)送給目的節(jié)點(diǎn)NDestinati。n，所述第三密鑰通告分組包 括IDswrce字段、E3 (KEYS_D)字段以及MIC3字段；其中1仏_。6字段表示發(fā)送源節(jié)點(diǎn)Nswra的標(biāo)識(shí)，其值同收到的第二密鑰通告分組中的 IDsource字段的值；E3(KEYs_d)字段表示密鑰資料數(shù)據(jù)，由交換設(shè)備SW^t用其與目的節(jié)點(diǎn)Nltestinatim 之間的密鑰KEYd對(duì)解密得到的節(jié)點(diǎn)間通信密鑰KEYs_d加密后的數(shù)據(jù)；MIC3字段表示消息完整性驗(yàn)證碼，由交換設(shè)備SW—用其與目的節(jié)點(diǎn)NDestinati。n之 間的密鑰KEYd對(duì)第三密鑰通告分組中本字段外的其他字段通過(guò)雜湊函數(shù)計(jì)算得到的雜湊 值。上述步驟4)中目的節(jié)點(diǎn)NDestinati。n收到第三密鑰通告分組后發(fā)送第三密鑰通告響 應(yīng)分組給交換設(shè)備S^ast,其具體實(shí)現(xiàn)方式是4. 1)利用與交換設(shè)備SWl-之間的密鑰KEYd驗(yàn)證MIC3是否正確，若不正確，則丟
6棄該分組；否則，執(zhí)行4. 2)；4.2)利用與交換設(shè)備SW—之間的密鑰KEYd解密E3 (KEYs_d)字段，得到節(jié)點(diǎn)間通 信密鑰KEYS_D，該KEYs_d即為目的節(jié)點(diǎn)NDestinati。n與發(fā)送源節(jié)點(diǎn)Ns。urce之間的通信密鑰；4. 3)構(gòu)造第三密鑰通告響應(yīng)分組發(fā)送給交換設(shè)備SW^t,所述第三密鑰通告響應(yīng) 分組包括IDs。urce字段以及MIC4字段；其中1仏_。6字段表示發(fā)送源節(jié)點(diǎn)Ns_。e的標(biāo)識(shí)，其值同收到的第三密鑰通告分組中的 IDsource字段的值；MIC4字段表示消息完整性驗(yàn)證碼，由目的節(jié)點(diǎn)NDestinati。n利用與交換設(shè)備SW^t之 間的密鑰KEYd對(duì)第三密鑰通告響應(yīng)分組中本字段外的其他字段通過(guò)雜湊函數(shù)計(jì)算得到的 雜湊值。上述步驟5)中交換設(shè)備SW^t收到第三密鑰通告響應(yīng)分組后發(fā)送第二密鑰通告響 應(yīng)分組給交換設(shè)備SWpiret，其具體實(shí)現(xiàn)方式是5. 1)比較IDs_。e字段與之前發(fā)送的第三密鑰通告分組中IDswra字段值是否一致， 若不一致，則丟棄該分組；否則，執(zhí)行5. 2)；5. 2)利用與目的節(jié)點(diǎn)NDestinati。n之間的密鑰KEYd驗(yàn)證MIC3是否正確，若不正確，則 丟棄該分組；否則，執(zhí)行5. 3)；5. 3)構(gòu)造第二密鑰通告響應(yīng)分組發(fā)送給交換設(shè)備SWFi t，所述第二密鑰通告響應(yīng) 分組包括ID
Source 字段、 Destination
字段以及MIC5字段，其中1仏_。6字段表示發(fā)送源節(jié)點(diǎn)Nswra的標(biāo)識(shí)，其值同收到的第二密鑰通告分組中的 IDsource字段的值；IDnestination字段表示目的節(jié)點(diǎn)NDestinati。n的標(biāo)識(shí)，其值同收到的第二密鑰通告分組
中的 Destination 字段的值；MIC5字段表示消息完整性驗(yàn)證碼，由交換設(shè)備SW^t利用與交換設(shè)備SWFiret之間 的密鑰KEYh對(duì)第二密鑰通告響應(yīng)分組中本字段外的其他字段通過(guò)雜湊函數(shù)計(jì)算得到的雜湊值。上述步驟6)中交換設(shè)備SWFiret收到第二密鑰通告響應(yīng)分組后發(fā)送第一密鑰通告 響應(yīng)分組給發(fā)送源節(jié)點(diǎn)Nstjurre，其具體實(shí)現(xiàn)方式是6. 1)檢查分組中的IDS。_字段、IDDestinati。n字段與之前發(fā)送給交換設(shè)備SW^t的第 二密鑰通告分組中對(duì)應(yīng)字段值是否一致，若不一致，則丟棄該分組；否則，執(zhí)行6. 2)；6. 2)利用與交換設(shè)備SW^t之間的密鑰KEYf_l驗(yàn)正MIC5是否正確，若不正確，則 丟棄該分組；否則，執(zhí)行6. 3)；6. 3)構(gòu)造第一密鑰通告響應(yīng)分組發(fā)送給發(fā)送源節(jié)點(diǎn)Ns。urce，所述第一密鑰通告響 應(yīng)分組包括IDDestinati。n字段以及MIC6字段，其中IDnestination字段表示目的節(jié)點(diǎn)NDestinati。n的標(biāo)識(shí)，其值同收到的第一密鑰通告分組
中的 Destination 字段的值；MIC6字段表示消息完整性驗(yàn)證碼，由交換設(shè)備SWFiret用其與發(fā)送源節(jié)點(diǎn)Ns_。e之 間的密鑰KEYs對(duì)第一密鑰通告響應(yīng)分組中本字段外的其他字段通過(guò)雜湊函數(shù)計(jì)算得到的 雜湊值。上述步驟7)的具體實(shí)現(xiàn)方式是
7
7. 1)檢查分組中的IDd-字段與之前發(fā)送給交換設(shè)備SWFiret的第一密鑰通告 分組中^^ -^字段值是否一致，若不一致，則丟棄該分組；否則，執(zhí)行7. 2)；7. 2)利用與交換設(shè)備SWFi,st之間的密鑰KEYs驗(yàn)證MIC6是否正確，若不正確，則丟 棄該分組；否則，即完成發(fā)送源節(jié)點(diǎn)Ns。urce和目的節(jié)點(diǎn)Nltestinatim之間通信密鑰KEYs_d的建立 過(guò)程，此后發(fā)送源節(jié)點(diǎn)Ns。_和目的節(jié)點(diǎn)NDestinati。n之間可采用該通信密鑰KEYs_d進(jìn)行秘密
通{曰。一種節(jié)點(diǎn)間通信密鑰的建立系統(tǒng)，其特殊之處在于所述節(jié)點(diǎn)間通信密鑰的建立 系統(tǒng)包括向交換設(shè)備swFi t發(fā)送第一密鑰通告分組、接收交換設(shè)備SWpiret發(fā)送的第一密鑰 通告響應(yīng)分組的發(fā)送源節(jié)點(diǎn)Nswrce ；接收發(fā)送源節(jié)點(diǎn)Ns。urce發(fā)送的第一密鑰通告分組、向交 換設(shè)備SW^t發(fā)送第二密鑰通告分組、接收交換設(shè)備SW^t發(fā)送的第二密鑰通告響應(yīng)分組、 向發(fā)送源節(jié)點(diǎn)Nswra發(fā)送第一密鑰通告響應(yīng)分組的交換設(shè)備SWFi t ；接收交換設(shè)備SWFiret 發(fā)送的第二密鑰通告分組、向目的節(jié)點(diǎn)Nltestinatim發(fā)送第三密鑰通告分組、接收目的節(jié)點(diǎn) Nltestinatim發(fā)送的第三密鑰通告響應(yīng)分組、向交換設(shè)備SWFi t發(fā)送第二密鑰通告響應(yīng)分組的 交換設(shè)備SW^t ；接收交換設(shè)備SW^t發(fā)送的第三密鑰通告分組、向交換設(shè)備SW^t發(fā)送第三 密鑰通告響應(yīng)分組的目的節(jié)點(diǎn)NDestinati。n。本發(fā)明的優(yōu)點(diǎn)是發(fā)送源節(jié)點(diǎn)Nswra和目的節(jié)點(diǎn)NDestinati。n之間的通信密鑰是通過(guò) 發(fā)送源節(jié)點(diǎn)Nswrce臨時(shí)生成，并通過(guò)已建立的安全連接通道逐步通告給目的節(jié)點(diǎn)Nltestinatim 的。節(jié)點(diǎn)間共享密鑰的建立和更新過(guò)程可由發(fā)送源節(jié)點(diǎn)Nstjurre發(fā)起該過(guò)程觸發(fā)。通過(guò)該方 法，局域網(wǎng)合法節(jié)點(diǎn)之間可以靈活建立及更新它們之間的密鑰，無(wú)需管理員為全網(wǎng)節(jié)點(diǎn)兩 兩之間部署共享的靜態(tài)密鑰。


圖1為本發(fā)明所提供的節(jié)點(diǎn)間通信密鑰建立過(guò)程示意圖。
具體實(shí)施例方式本發(fā)明中定義的節(jié)點(diǎn)N(Node)是指局域網(wǎng)中的用戶終端STA(STAtion)和交換設(shè) 備SW(SWitch)。局域網(wǎng)中的集線器等物理層設(shè)備不作為節(jié)點(diǎn)處理。假設(shè)，在網(wǎng)絡(luò)中相鄰的交換設(shè)備與用戶終端之間通過(guò)預(yù)分發(fā)或其他安全機(jī)制均已 建立安全連接，即已具有共享的密鑰；所有的交換設(shè)備兩兩之間通過(guò)預(yù)分發(fā)或其他安全機(jī) 制已建立安全連接，即已具有共享的密鑰。以發(fā)送源節(jié)點(diǎn)Nstjurre與目的節(jié)點(diǎn)NDestinati。n之間通信密鑰的建立為例進(jìn)行說(shuō)明，交 換設(shè)備SWFi t是指從發(fā)送源節(jié)點(diǎn)Ns。u_到目的節(jié)點(diǎn)Nltestinatim的數(shù)據(jù)包經(jīng)過(guò)的第一個(gè)交換設(shè) 備，交換設(shè)備SW^t是指從發(fā)送源節(jié)點(diǎn)Nswra到目的節(jié)點(diǎn)NDestinati。n的數(shù)據(jù)包經(jīng)過(guò)的最后一個(gè) 交換設(shè)備。根據(jù)上述的假設(shè)，發(fā)送源節(jié)點(diǎn)Nswra與交換設(shè)備SWFi,st已建立安全連接，共享的密 鑰記為KEYs,目的節(jié)點(diǎn)NDestinati。n與交換設(shè)備SW^t已建立安全連接，共享的密鑰記為KEYd, 交換設(shè)備SWFi,st與交換設(shè)備SW^t已建立安全連接，共享的密鑰記為KEYFf參見圖1，本發(fā)明所提供的一種節(jié)點(diǎn)間通信密鑰的建立方法為發(fā)送源節(jié)點(diǎn)Nstjurre和 目的節(jié)點(diǎn)NDestinati。n之間通信密鑰的建立具體方案如下
1)發(fā)送源節(jié)點(diǎn)Ns。urce發(fā)送密鑰通告分組1給交換設(shè)備SWFiret ；該密鑰通告分組1包括 其中IDnestination字段表示目的節(jié)點(diǎn)Nltestinatim的標(biāo)識(shí)；E1 (KEYs_d)字段表示密鑰資料數(shù)據(jù)，由發(fā)送源節(jié)點(diǎn)Ns_。e利用其與交換設(shè)備SWFiret 之間的密鑰KEYs對(duì)KEYs_d加密后的數(shù)據(jù)；其中KEYs_d是由發(fā)送源節(jié)點(diǎn)Ns。_生成的隨機(jī)數(shù)， 作為與目的節(jié)點(diǎn)NDestinati。n之間的通信密鑰；MICl字段表示消息完整性驗(yàn)證碼，由發(fā)送源節(jié)點(diǎn)Nswrce利用其與交換設(shè)備SWFiret 之間的密鑰KEYs對(duì)該密鑰通告分組1中本字段外的其他字段通過(guò)雜湊函數(shù)計(jì)算得到的雜 湊值。 2)交換設(shè)備SWFi t發(fā)送密鑰通告分組2給交換設(shè)備SW^t ；交換設(shè)備SWpiret收到密鑰通告分組1后，進(jìn)行如下處理2. 1)利用其與發(fā)送源節(jié)點(diǎn)Ns_。e之間的密鑰KEYs驗(yàn)證MICl是否正確，若不正確， 則丟棄該分組；否則，執(zhí)行2. 2)；2.2)利用其與發(fā)送源節(jié)點(diǎn)Ns。_之間的密鑰KEYs解密E1(KEId)字段，即可得到 節(jié)點(diǎn)間通信密鑰KEYS_D ；2. 3)構(gòu)造密鑰通告分組2發(fā)送給交換設(shè)備SW^t。該密鑰通告分組2包括 IDnestination字段表示目的節(jié)點(diǎn)NDestinati。n的標(biāo)識(shí)，其值同收到的密鑰通告分組1中
U J -1--^Destination 字段的值；E2 (KEYs_d)表示密鑰資料數(shù)據(jù)，由交換設(shè)備SWFi t利用其與交換設(shè)備SW^t之間的 密鑰KEYf+對(duì)解密得到的節(jié)點(diǎn)間通信密鑰KEYs_d加密后的數(shù)據(jù)；MIC2字段表示消息完整性驗(yàn)證碼，由交換設(shè)備SWFi,st利用其與交換設(shè)備SW^t之 間的密鑰KEYh對(duì)該密鑰通告分組2中本字段外的其他字段通過(guò)雜湊函數(shù)計(jì)算得到的雜湊值。3)交換設(shè)備SW^t發(fā)送密鑰通告分組3給目的節(jié)點(diǎn)NDestinati。n ；交換設(shè)備SW^t收到密鑰通告分組2后，進(jìn)行如下處理3. 1)利用其與交換設(shè)備SWFi,st之間的密鑰KEYh驗(yàn)證MIC2是否正確，若不正確， 則丟棄該分組；否則，執(zhí)行3. 2)；3.2)利用其與交換設(shè)備SWFiret之間的密鑰KEYf_l解密E2(KEYs_d)字段，即可得到節(jié) 點(diǎn)間通信密鑰KEYS_D ；
9
3. 3)構(gòu)造密鑰通告分組3發(fā)送給目的節(jié)點(diǎn)NDestinati。n。該密鑰通告分組3中包括 其中IDsource字段表示發(fā)送源節(jié)點(diǎn)Ns。_的標(biāo)識(shí)，其值同收到的密鑰通告分組2中的 IDsource字段的值；E3(KEYs^d)字段表示密鑰資料數(shù)據(jù)，由交換設(shè)備SW^t用其與目的節(jié)點(diǎn)Nltestinatim 之間的密鑰KEYd對(duì)解密得到的節(jié)點(diǎn)間通信密鑰KEYs_d加密后的數(shù)據(jù)；MIC3字段表示消息完整性驗(yàn)證碼，由交換設(shè)備SW—用其與目的節(jié)點(diǎn)NDestinati。n之 間的密鑰KEYd對(duì)該密鑰通告分組3中本字段外的其他字段通過(guò)雜湊函數(shù)計(jì)算得到的雜湊 值。4)目的節(jié)點(diǎn)Nltestinatim發(fā)送密鑰通告響應(yīng)分組3給交換設(shè)備SW^t ；目的節(jié)點(diǎn)NDestinati。n收到密鑰通告分組3后，進(jìn)行如下處理4. 1)利用與交換設(shè)備SWl-之間的密鑰KEYd驗(yàn)證MIC3是否正確，若不正確，則丟 棄該分組；否則，執(zhí)行4. 2)；4. 2)利用與交換設(shè)備SW^t之間的密鑰KEYd解密E3(KEYS_D)字段，即可得到節(jié)點(diǎn) 間通信密鑰KEYS_D，該KEYs_d即為目的節(jié)點(diǎn)NDestinati。n與發(fā)送源節(jié)點(diǎn)Ns。urce之間的通信密鑰；4. 3)構(gòu)造密鑰通告響應(yīng)分組3發(fā)送給交換設(shè)備SW^t。該密鑰通告響應(yīng)分組3包括 其中IDsource字段表示發(fā)送源節(jié)點(diǎn)Ns。urce的標(biāo)識(shí)，其值同收到的密鑰通告分組3中的 IDsource字段的值；MIC4字段表示消息完整性驗(yàn)證碼，由目的節(jié)點(diǎn)NDestinati。n利用與交換設(shè)備SW^t之 間的密鑰KEYd對(duì)該密鑰通告響應(yīng)分組3中本字段外的其他字段通過(guò)雜湊函數(shù)計(jì)算得到的 雜湊值。5)交換設(shè)備SW^t發(fā)送密鑰通告響應(yīng)分組2給交換設(shè)備SWpiret ；交換設(shè)備SW^t收到密鑰通告響應(yīng)分組3后，進(jìn)行如下處理5. 1)比較IDs_。e字段與之前發(fā)送的密鑰通告分組3中IDs。urce字段值是否一致，若 不一致，則丟棄該分組；否則，執(zhí)行5. 2)；5. 2)利用與目的節(jié)點(diǎn)NDestinati。n之間的密鑰KEYd驗(yàn)證MIC3是否正確，若不正確，則 丟棄該分組；否則，執(zhí)行5. 3)；5. 3)構(gòu)造密鑰通告響應(yīng)分組2發(fā)送給交換設(shè)備SWFi,st。該臨時(shí)密鑰協(xié)商響應(yīng)分組包括 其中IDsource字段表示發(fā)送源節(jié)點(diǎn)Ns。urce的標(biāo)識(shí)，其值同收到的密鑰通告分組2中的 IDsource字段的值；IDltestinatim字段表示目的節(jié)點(diǎn)NDestinati。n的標(biāo)識(shí)，其值同收到的密鑰通告分組2中
U J -1--^Destination 字段的值；MIC5字段表示消息完整性驗(yàn)證碼，由交換設(shè)備SW^t利用與交換設(shè)備SWpiret之間 的密鑰KEYh對(duì)該密鑰通告響應(yīng)分組2中本字段外的其他字段通過(guò)雜湊函數(shù)計(jì)算得到的雜湊值。6)交換設(shè)備SWFi t發(fā)送密鑰通告響應(yīng)分組1給發(fā)送源節(jié)點(diǎn)Nswrce ；交換設(shè)備SWFiret收到密鑰通告響應(yīng)分組2后，進(jìn)行如下處理6. 1)檢查分組中的IDS。_字段、IDDestinati。n字段與之前發(fā)送給交換設(shè)備SW^t的密 鑰通告分組2中對(duì)應(yīng)字段值是否一致，若不一致，則丟棄該分組；否則，執(zhí)行6. 2)；6. 2)利用與交換設(shè)備SW^t之間的密鑰KEYf_l驗(yàn)證MIC5是否正確，若不正確，則 丟棄該分組；否則，執(zhí)行6. 3)；6. 3)構(gòu)造密鑰通告響應(yīng)分組1發(fā)送給發(fā)送源節(jié)點(diǎn)Ns。urce。該密鑰通告響應(yīng)分組1包括 其中IDnestination字段表示目的節(jié)點(diǎn)NDestinati。n的標(biāo)識(shí)，其值同收到的密鑰通告分組1中
U J -1--^Destination 字段的值；MIC6字段表示消息完整性驗(yàn)證碼，由交換設(shè)備SWFirSt用其與發(fā)送源節(jié)點(diǎn)Ns。urce 之間的密鑰KEYs對(duì)密鑰通告響應(yīng)分組1中本字段外的其他字段通過(guò)雜湊函數(shù)計(jì)算得到的 雜湊值。7)發(fā)送源節(jié)點(diǎn)Ns。urce接收密鑰通告響應(yīng)分組1 ；發(fā)送源節(jié)點(diǎn)Nstjurre收到密鑰通告響應(yīng)分組1后，進(jìn)行如下處理7. 1)檢查分組中的IDd-字段與之前發(fā)送給交換設(shè)備SWFiret的密鑰通告分組 1中IDltestinatim字段值是否一致，若不一致，則丟棄該分組；否則，執(zhí)行7. 2)；7. 2)利用與交換設(shè)備SWFi t之間的密鑰KEYs驗(yàn)證MIC6是否正確，若不正確，則丟 棄該分組；否則，即完成發(fā)送源節(jié)點(diǎn)Ns。urce和目的節(jié)點(diǎn)Nltestinatim之間通信密鑰KEYs_d的建立 過(guò)程，此后發(fā)送源節(jié)點(diǎn)Ns。_和目的節(jié)點(diǎn)NDestinati。n之間可采用該通信密鑰KEYs_d進(jìn)行秘密
通{曰。發(fā)送源節(jié)點(diǎn)Ns_。e需要與目的節(jié)點(diǎn)NDestinati。n建立通信密鑰KEYS_D，當(dāng)利用上述方 案進(jìn)行具體實(shí)施時(shí)，發(fā)送源節(jié)點(diǎn)Nswra還可生成一個(gè)數(shù)值，作為此次通信密鑰建立過(guò)程的標(biāo) 識(shí)，該標(biāo)識(shí)可為時(shí)鐘、順序號(hào)或隨機(jī)數(shù)，且在每個(gè)消息中進(jìn)行攜帶，相應(yīng)地交換設(shè)備SW^t收 到密鑰通告響應(yīng)分組3后需驗(yàn)證分組中的標(biāo)識(shí)值與其之前接收的密鑰通告分組2中的標(biāo)識(shí)
11值是否一致；交換設(shè)備SWFiret收到密鑰通告響應(yīng)分組2后需驗(yàn)證分組中的標(biāo)識(shí)值與其之前 接收的密鑰通告分組1中的標(biāo)識(shí)值是否一致；發(fā)送源節(jié)點(diǎn)Nswrce收到密鑰通告響應(yīng)分組1后 需驗(yàn)證分組中的標(biāo)識(shí)值與其之前發(fā)送的密鑰通告分組1中的標(biāo)識(shí)值是否一致。當(dāng)利用上述方案進(jìn)行具體實(shí)施時(shí)，也可以由發(fā)送源節(jié)點(diǎn)Nstjurre、交換設(shè)備SWFiret及 交換設(shè)備SW^t在發(fā)送密鑰通告分組1、密鑰通告分組2及密鑰通告分組3時(shí)，各自獨(dú)立生 成一個(gè)數(shù)值作為通告標(biāo)識(shí)分別攜帶在上述分組中，該通告標(biāo)識(shí)可為時(shí)鐘、順序號(hào)或隨機(jī)數(shù)， 相應(yīng)地交換設(shè)備SW^t、交換設(shè)備SWFi t及發(fā)送源節(jié)點(diǎn)Ns。urce收到密鑰通告響應(yīng)分組3、密鑰 通告響應(yīng)分組2及密鑰通告響應(yīng)分組1后均需驗(yàn)證分組中的通告標(biāo)識(shí)值與其之前發(fā)送的分 組中的標(biāo)識(shí)值是否一致。一種節(jié)點(diǎn)間通信密鑰的建立系統(tǒng)，其特殊之處在于所述節(jié)點(diǎn)間通信密鑰的建立 系統(tǒng)包括向交換設(shè)備swFi t發(fā)送密鑰通告分組1、接收交換設(shè)備swFi t發(fā)送的密鑰通告響應(yīng) 分組1的發(fā)送源節(jié)點(diǎn)Nswra ；接收發(fā)送源節(jié)點(diǎn)Ns。urce發(fā)送的密鑰通告分組1、向交換設(shè)備SW^t 發(fā)送密鑰通告分組2、接收交換設(shè)備SW^t發(fā)送的密鑰通告響應(yīng)分組2、向發(fā)送源節(jié)點(diǎn)Ns。urce 發(fā)送密鑰通告響應(yīng)分組1的交換設(shè)備SWFi t ；接收交換設(shè)備SWFi t發(fā)送的密鑰通告分組2、 向目的節(jié)點(diǎn)Nltestinatim發(fā)送密鑰通告分組3、接收目的節(jié)點(diǎn)NDestinati。n發(fā)送的密鑰通告響應(yīng)分 組3、向交換設(shè)備SWpiret發(fā)送密鑰通告響應(yīng)分組2的交換設(shè)備SW^t ；接收交換設(shè)備SW^t發(fā) 送的密鑰通告分組3、向交換設(shè)備SW^t發(fā)送密鑰通告響應(yīng)分組3的目的節(jié)點(diǎn)NDestinati。n。
權(quán)利要求
一種節(jié)點(diǎn)間通信密鑰的建立方法，其特征在于所述節(jié)點(diǎn)間通信密鑰的建立方法包括以下步驟1)發(fā)送源節(jié)點(diǎn)NSource發(fā)送第一密鑰通告分組給交換設(shè)備SWFirst；2)交換設(shè)備SWFirst發(fā)送第二密鑰通告分組給交換設(shè)備SWLast；3)交換設(shè)備SWLast發(fā)送第三密鑰通告分組給目的節(jié)點(diǎn)NDestination；4)目的節(jié)點(diǎn)NDestination發(fā)送第三密鑰通告響應(yīng)分組給交換設(shè)備SWLast；5)交換設(shè)備SWLast發(fā)送第二密鑰通告響應(yīng)分組給交換設(shè)備SWFirst；6)交換設(shè)備SWFirst發(fā)送第一密鑰通告響應(yīng)分組給發(fā)送源節(jié)點(diǎn)NSource；7)發(fā)送源節(jié)點(diǎn)NSource接收第一密鑰通告響應(yīng)分組。
2.根據(jù)權(quán)利要求1所述的節(jié)點(diǎn)間通信密鑰的建立方法，其特征在于所述步驟1)中第 一密鑰通告分組包括IDDestinati。n字段、E1(KEId)字段以及MICl字段；其中Destination 字段表示目的節(jié)點(diǎn)Nltestinatim的標(biāo)識(shí)；E1(KEVd)字段表示密鑰資料數(shù)據(jù)，由發(fā)送源節(jié)點(diǎn)Ns。_禾Ij用其與交換設(shè)備SWf―之間 的密鑰KEYs對(duì)KEYs_d加密后的數(shù)據(jù)；其中KEYs_d是由發(fā)送源節(jié)點(diǎn)Ns。_生成的隨機(jī)數(shù)，作為 與目的節(jié)點(diǎn)NDestinati。n之間的通信密鑰；MICl字段表示消息完整性驗(yàn)證碼，由發(fā)送源節(jié)點(diǎn)Ns_。e利用其與交換設(shè)備SWFi t之間 的密鑰KEYs對(duì)第一密鑰通告分組中本字段外的其他字段通過(guò)雜湊函數(shù)計(jì)算得到的雜湊值。
3.根據(jù)權(quán)利要求2所述的節(jié)點(diǎn)間通信密鑰的建立方法，其特征在于所述步驟2)中交 換設(shè)備swFi t收到第一密鑰通告分組后發(fā)送第二密鑰通告分組給交換設(shè)備SW^t,其具體實(shí) 現(xiàn)方式是2. 1)利用其與發(fā)送源節(jié)點(diǎn)Nstjuree之間的密鑰KEYs驗(yàn)證MICl是否正確，若不正確，則丟 棄該分組；否則，執(zhí)行2. 2)；2. 2)利用其與發(fā)送源節(jié)點(diǎn)Ns_。e之間的密鑰KEYs解密E1(KEId)字段，得到節(jié)點(diǎn)間通 信密鑰KEYs_d ；2.3)構(gòu)造第二密鑰通告分組發(fā)送給交換設(shè)備SW^t,所述第二密鑰通告分組包括Source 字段、 Destination字段、E2 (KEYs_d)字段以及MIC2字段；其中IDsource字段表示發(fā)送源節(jié)點(diǎn)Nswrce的標(biāo)識(shí)；IDnestination字段表示目的節(jié)點(diǎn)NDestinati。n的標(biāo)識(shí)，其值同收到的密鑰通告分組1中的Destination 字段的值；E2(KEVd)字段表示密鑰資料數(shù)據(jù)，由交換設(shè)備SWpiret利用其與交換設(shè)備SW^t之間的 密鑰KEYf+對(duì)解密得到的節(jié)點(diǎn)間通信密鑰KEYs_d加密后的數(shù)據(jù)；MIC2字段表示消息完整性驗(yàn)證碼，由交換設(shè)備SWpiret利用其與交換設(shè)備SW^t之間的 密鑰KEYh對(duì)第二密鑰通告分組中本字段外的其他字段通過(guò)雜湊函數(shù)計(jì)算得到的雜湊值。
4.根據(jù)權(quán)利要求3所述的節(jié)點(diǎn)間通信密鑰的建立方法，其特征在于所述步驟3)中交 換設(shè)備SW^t收到第二密鑰通告分組后發(fā)送第三密鑰通告分組給目的節(jié)點(diǎn)Nltestinatim，其具 體實(shí)現(xiàn)方式是.3.1)利用其與交換設(shè)備SWFi,st之間的密鑰KEYf+驗(yàn)證MIC2是否正確，若不正確，則丟 棄該分組；否則，執(zhí)行3. 2)；3. 2)利用其與交換設(shè)備SWf—之間的密鑰KEYh解密E2 (KEYs_d)字段，得到節(jié)點(diǎn)間通信 密鑰 keys_d ；3.3)構(gòu)造第三密鑰通告分組發(fā)送給目的節(jié)點(diǎn)NDestinati。n，所述第三密鑰通告分組包括 IDstjurce字段、E3 (KEYS_D)字段以及MIC3字段；其中IDswrce字段表示發(fā)送源節(jié)點(diǎn)Nstjurre的標(biāo)識(shí)，其值同收到的第二密鑰通告分組中的 IDsource字段的值；E3 (KEYs_d)字段表示密鑰資料數(shù)據(jù)，由交換設(shè)備SW^t用其與目的節(jié)點(diǎn)NDestinati。n之間 的密鑰KEYd對(duì)解密得到的節(jié)點(diǎn)間通信密鑰KEYs_d加密后的數(shù)據(jù)；MIC3字段表示消息完整性驗(yàn)證碼，由交換設(shè)備SW^t用其與目的節(jié)點(diǎn)NDestinati。n之間的 密鑰KEYd對(duì)第三密鑰通告分組中本字段外的其他字段通過(guò)雜湊函數(shù)計(jì)算得到的雜湊值。
5.根據(jù)權(quán)利要求4所述的節(jié)點(diǎn)間通信密鑰的建立方法，其特征在于所述步驟4)中目 的節(jié)點(diǎn)NDestinati。n收到第三密鑰通告分組后發(fā)送第三密鑰通告響應(yīng)分組給交換設(shè)備SW^t, 其具體實(shí)現(xiàn)方式是4.1)利用與交換設(shè)備SW^t之間的密鑰KEYd驗(yàn)證MIC3是否正確，若不正確，則丟棄該 分組；否則，執(zhí)行4. 2)；4. 2)利用與交換設(shè)備SW^t之間的密鑰KEYd解密E3(KEYs_d)字段，得到節(jié)點(diǎn)間通信密 鑰KEYS_D，該KEYs_d即為目的節(jié)點(diǎn)NDestinati。n與發(fā)送源節(jié)點(diǎn)Ns。urce之間的通信密鑰；4.3)構(gòu)造第三密鑰通告響應(yīng)分組發(fā)送給交換設(shè)備SW^t,所述第三密鑰通告響應(yīng)分組 包括=IDsource字段以及MIC4字段；其中IDswrce字段表示發(fā)送源節(jié)點(diǎn)Nstjurre的標(biāo)識(shí)，其值同收到的第三密鑰通告分組中的 IDsource字段的值；MIC4字段表示消息完整性驗(yàn)證碼，由目的節(jié)點(diǎn)NDestinati。n利用與交換設(shè)備SW^t之間的 密鑰KEYd對(duì)第三密鑰通告響應(yīng)分組中本字段外的其他字段通過(guò)雜湊函數(shù)計(jì)算得到的雜湊 值。
6.根據(jù)權(quán)利要求5所述的節(jié)點(diǎn)間通信密鑰的建立方法，其特征在于所述步驟5)中交 換設(shè)備SW^t收到第三密鑰通告響應(yīng)分組后發(fā)送第二密鑰通告響應(yīng)分組給交換設(shè)備SWFiret， 其具體實(shí)現(xiàn)方式是5.1)比較IDs。urce字段與之前發(fā)送的第三密鑰通告分組中IDswra字段值是否一致，若不 一致，則丟棄該分組；否則，執(zhí)行5. 2)；5. 2)利用與目的節(jié)點(diǎn)NDestinati。n之間的密鑰KEYd驗(yàn)證MIC3是否正確，若不正確，則丟棄 該分組；否則，執(zhí)行5. 3)；5. 3)構(gòu)造第二密鑰通告響應(yīng)分組發(fā)送給交換設(shè)備SWFi t，所述第二密鑰通告響應(yīng)分組 包括IDSource 字段、 Destination字段以及MIC5字段，其中IDswrce字段表示發(fā)送源節(jié)點(diǎn)Nstjurre的標(biāo)識(shí)，其值同收到的第二密鑰通告分組中的 IDsource字段的值；IDnestination字段表示目的節(jié)點(diǎn)NDestinati。n的標(biāo)識(shí)，其值同收到的第二密鑰通告分組中的Destination 字段的值；MIC5字段表示消息完整性驗(yàn)證碼，由交換設(shè)備SW^t利用與交換設(shè)備SWpiret之間的 密鑰KEYh對(duì)第二密鑰通告響應(yīng)分組中本字段外的其他字段通過(guò)雜湊函數(shù)計(jì)算得到的雜湊值。
7.根據(jù)權(quán)利要求6所述的節(jié)點(diǎn)間通信密鑰的建立方法，其特征在于所述步驟6)中 交換設(shè)備SWFi t收到第二密鑰通告響應(yīng)分組后發(fā)送第一密鑰通告響應(yīng)分組給發(fā)送源節(jié)點(diǎn) Nstjurre，其具體實(shí)現(xiàn)方式是6. 1)檢查分組中的IDS。U_字段、IDltestinatim字段與之前發(fā)送給交換設(shè)備SW^t的第二密 鑰通告分組中對(duì)應(yīng)字段值是否一致，若不一致，則丟棄該分組；否則，執(zhí)行6. 2)；6. 2)利用與交換設(shè)備SW^t之間的密鑰KEYf+驗(yàn)證MIC5是否正確，若不正確，則丟棄 該分組；否則，執(zhí)行6. 3)；6.3)構(gòu)造第一密鑰通告響應(yīng)分組發(fā)送給發(fā)送源節(jié)點(diǎn)Ns。urce，所述第一密鑰通告響應(yīng)分 組包括IDDestination字段以及MIC6字段，其中IDnestination字段表示目的節(jié)點(diǎn)NDestinati。n的標(biāo)識(shí)，其值同收到的第一密鑰通告分組中的Destination 字段的值；MIC6字段表示消息完整性驗(yàn)證碼，由交換設(shè)備SWFiret用其與發(fā)送源節(jié)點(diǎn)Ns_。e之間的 密鑰KEYs對(duì)第一密鑰通告響應(yīng)分組中本字段外的其他字段通過(guò)雜湊函數(shù)計(jì)算得到的雜湊 值。
8.根據(jù)權(quán)利要求7所述的節(jié)點(diǎn)間通信密鑰的建立方法，其特征在于所述步驟7)的具 體實(shí)現(xiàn)方式是7.1)檢查分組中的IDltestinatim字段與之前發(fā)送給交換設(shè)備SWpiret的第一密鑰通告分組 中10—3 。 字段值是否一致，若不一致，則丟棄該分組；否則，執(zhí)行7. 2)；7. 2)利用與交換設(shè)備SWFiret之間的密鑰KEYs驗(yàn)證MIC6是否正確，若不正確，則丟棄該 分組；否則，即完成發(fā)送源節(jié)點(diǎn)Ns_。e和目的節(jié)點(diǎn)NDestinati。n之間通信密鑰KEYS_D的建立過(guò)程， 此后發(fā)送源節(jié)點(diǎn)Nswra和目的節(jié)點(diǎn)Nltestinatim之間可采用該通信密鑰KEYs_d進(jìn)行秘密通信。
9.一種節(jié)點(diǎn)間通信密鑰的建立系統(tǒng)，其特征在于所述節(jié)點(diǎn)間通信密鑰的建立系統(tǒng)包 括向交換設(shè)備swFi t發(fā)送第一密鑰通告分組、接收交換設(shè)備SWFiret發(fā)送的第一密鑰通告響 應(yīng)分組的發(fā)送源節(jié)點(diǎn)Nswra ；接收發(fā)送源節(jié)點(diǎn)Nswrce發(fā)送的第一密鑰通告分組、向交換設(shè)備 SffLast發(fā)送第二密鑰通告分組、接收交換設(shè)備SW^t發(fā)送的第二密鑰通告響應(yīng)分組、向發(fā)送 源節(jié)點(diǎn)Ns。u_發(fā)送第一密鑰通告響應(yīng)分組的交換設(shè)備SWFi t ；接收交換設(shè)備SWFi t發(fā)送的 第二密鑰通告分組、向目的節(jié)點(diǎn)NDestinati。n發(fā)送第三密鑰通告分組、接收目的節(jié)點(diǎn)Nltestinatim 發(fā)送的第三密鑰通告響應(yīng)分組、向交換設(shè)備SWFi t發(fā)送第二密鑰通告響應(yīng)分組的交換設(shè)備 SffLast ；接收交換設(shè)備SW^t發(fā)送的第三密鑰通告分組、向交換設(shè)備SW^t發(fā)送第三密鑰通告 響應(yīng)分組的目的節(jié)點(diǎn)NDestinati。n。
全文摘要
本發(fā)明為一種節(jié)點(diǎn)間通信密鑰的建立方法，該方法包括以下步驟1)發(fā)送源節(jié)點(diǎn)NSource發(fā)送第一密鑰通告分組給交換設(shè)備SWFirst；2)交換設(shè)備SWFirst發(fā)送第二密鑰通告分組給交換設(shè)備SWLast；3)交換設(shè)備SWLast發(fā)送第三密鑰通告分組給目的節(jié)點(diǎn)NDestination；4)目的節(jié)點(diǎn)NDestination發(fā)送第三密鑰通告響應(yīng)分組給交換設(shè)備SWLast；5)交換設(shè)備SWLast發(fā)送第二密鑰通告響應(yīng)分組給交換設(shè)備SWFirst；6)交換設(shè)備SWFirst發(fā)送第一密鑰通告響應(yīng)分組給發(fā)送源節(jié)點(diǎn)NSource；7)發(fā)送源節(jié)點(diǎn)NSource接收第一密鑰通告響應(yīng)分組。通過(guò)本發(fā)明的方法，局域網(wǎng)合法節(jié)點(diǎn)之間可以靈活建立及更新它們之間的密鑰，無(wú)需管理員為全網(wǎng)節(jié)點(diǎn)兩兩之間部署共享的靜態(tài)密鑰。
文檔編號(hào)H04L12/56GK101902324SQ20101015967
公開日2010年12月1日 申請(qǐng)日期2010年4月29日 優(yōu)先權(quán)日2010年4月29日
發(fā)明者張莎, 曹軍, 朱林, 李劍雄, 李琴, 苑克龍, 葛莉, 鐵滿霞 申請(qǐng)人:天維訊達(dá)無(wú)線電設(shè)備檢測(cè)(北京)有限責(zé)任公司;西安西電捷通無(wú)線網(wǎng)絡(luò)通信股份有限公司