【技术实现步骤摘要】
本专利技术涉及网络通信
,具体涉及。
技术介绍
有线局域网一般为广播型网络,一个节点发出的数据,其它节点都能收到。网络上 的各个节点共享信道,这给网络带来了极大的安全隐患。攻击者只要接入网络进行监听,就 可以捕获网络上所有的数据包。现有国家标准GB/T 15629. 3 (对应IEEE 802. 3或IS0/IEC 8802-3)定义的局域 网LAN并不提供数据保密方法,这样就使得攻击者容易窃取到关键信息。在国际研究领域 里,IEEE所制定的IEEE 802. IAE标准为保护以太网提供数据加密协议,并采用逐跳加密的 安全措施来实现网络节点之间数据的安全传达。这种安全措施给局域网中的交换设备带来 了巨大的计算负担,容易引发攻击者对交换设备的攻击;且数据包从发送节点传递到目的 节点的延时也会增大,降低了网络传输效率。有线局域网的拓扑结构比较复杂,涉及到的节点(这里,终端和交换设备被统称 为节点)数目也比较多,因此网络中的数据通信比较复杂。如果为局域网节点间分配静态 的密钥对来建立节点间会话密钥,其分配和更新过程极为复杂。因此,静态密钥对的方式并 不适合建立节点间会话密钥。
技术实现思路
为了解决
技术介绍
中存在的上述技术问题,本专利技术提供了节点间会话密钥的建立 系统及方法,使得局域网合法节点之间可以灵活建立及更新它们之间的会话密钥。节点间会话密钥的建立系统,该系统包括两种类型的设备,分别用终端设备和连 接设备表示;其中,连接设备在网络中可以不断级联,终端设备只能通过连接设备连接到网 络中,任何设备均不能通过终端设备接入网络;连接设备中选定或者指定一个特...
【技术保护点】
节点间会话密钥的建立系统,其特征在于:该系统包括终端设备和连接设备,所述终端设备包括发起端终端设备以及接收端终端设备,所述连接设备包括核心连接设备、在发起端终端设备与核心连接设备之间链路上的发起端连接设备以及在接收端终端设备与核心连接设备之间链路上的接收端连接设备;所述发起端终端设备和接收端终端设备分别生成一随机数并秘密通告给对方,发起端终端设备和接收端终端设备分别利用自己生成的随机数以及收到的由对方生成的随机数计算得到一致的会话密钥,完成会话密钥的建立。
【技术特征摘要】
节点间会话密钥的建立系统,其特征在于该系统包括终端设备和连接设备,所述终端设备包括发起端终端设备以及接收端终端设备,所述连接设备包括核心连接设备、在发起端终端设备与核心连接设备之间链路上的发起端连接设备以及在接收端终端设备与核心连接设备之间链路上的接收端连接设备;所述发起端终端设备和接收端终端设备分别生成一随机数并秘密通告给对方,发起端终端设备和接收端终端设备分别利用自己生成的随机数以及收到的由对方生成的随机数计算得到一致的会话密钥,完成会话密钥的建立。2.根据权利要求1所述的节点间会话密钥的建立系统,其特征在于所述发起端连接 设备包括第一连接设备(SWl),所述接收端连接设备包括第二连接设备(SW2),所述发起端 终端设备包括第一终端设备(STA-A),所述接收端终端设备包括第二终端设备(STA-B);所 述第一连接设备(SWl)以及第二连接设备(SW2)分别与核心连接设备(SW-Center)存在安 全连接,所述第一连接设备(SWl)与第一终端设备(STA-A)存在安全连接,所述第二连接设 备(SW2)与第二终端设备(STA-B)存在安全连接;所述第一终端设备(STA-A)和第二终端设备(STA-B)分别生成一随机数并秘密通告给 对方,第一终端设备(STA-A)和第二终端设备(STA-B)利用自己生成的随机数以及收到的 由对方生成的随机数计算得到并建立一致的会话密钥。3.节点间会话密钥的建立方法,其特征在于包括以下步骤1]第一终端设备(STA-A)与第一连接设备(SWl)之间、第一连接设备(SWl)与核心连 接设备(SW-Center)之间、核心连接设备(SW-Center)与第二连接设备(SW2)之间、第二连 接设备(SW2)与第二终端设备(STA-B)之间建立安全连接;2]第一终端设备(STA-A)发送第一密钥协商请求分组(Ml)给第一连接设备(SWl);第 一终端设备(STA-A)通过第一密钥协商请求分组(Ml)将第一终端设备(STA-A)生成的第 一终端设备询问随机数秘密通告给第一连接设备(SWl);3]第一连接设备(SWl)接收到第一密钥协商请求分组(Ml)后发送第二密钥协商请求 分组(M2)给核心连接设备(SW-Center);第一连接设备(SWl)通过第二密钥协商请求分组 (M2)将得到的第一终端设备询问随机数秘密通告给核心连接设备(SW-Center);4]核心连接设备(SW-Center)接收到第二密钥协商请求分组(M2)后发送第三密钥协 商请求分组(M3)给第二连接设备(SW2);核心连接设备(SW-Center)通过第三密钥协商请 求分组(M3)将得到的第一终端设备询问随机数秘密通告给第二连接设备(SW2);5]第二连接设备(SW2)接收到第三密钥协商请求分组(M3)发送第四密钥协商请求分 组(M4)给第二终端设备(STA-B);第二连接设备(SW2)通过第四密钥协商请求分组(M4)将 得到的第一终端设备询问随机数秘密通告给第二终端设备(STA-B);6]第二终端设备(STA-B)接收到第四密钥协商请求分组(M4)发送第四密钥协商响应 分组(M5)给第二连接设备(SW2);第二终端设备(STA-B)在利用得到的第一终端设备询问 随机数及第二终端设备生成的第二终端设备询问随机数计算得到会话密钥后,通过第四密 钥协商响应分组(M5)将第二终端设备生成的第二终端设备询问随机数秘密通告给第二连 接设备(SW2);7]第二连接设备(SW2)接收到第四密钥协商响应分组(M5)后发送第三密钥协商响应 分组(M6)给核心连接设备(SW-Center);第二连接设备(SW2)通过第三密钥协商响应分组(M6)将得到的第二终端设备询问随机数秘密通告给核心连接设备(SW-Center);8]核心连接设备(SW-Center)接收到第三密钥协商响应分组(M6)后发送第二密钥协 商响应分组(M7)给第一连接设备(SWl);核心连接设备(SW-Center)通过第二密钥协商响 应分组(M7)将得到的第二终端设备询问随机数秘密通告给第一连接设备(SWl);9]第一连接设备(SWl)接收到第二密钥协商响应分组后(M7)发送第一密钥协商响应 分组(M8)给第一终端设备(STA-A);第一连接设备(SWl)通过第一密钥协商响应分组(M8) 将得到的第二终端设备询问随机数秘密通告给第一终端设备(STA-A);10]第一终端设备(STA-A)接收第一密钥协商响应分组(M8),利用第一终端设备 (STA-A)生成的第一终端设备询问随机数及得到的第二终端设备询问随机数计算得到会话 密钥,完成与第二终端设备(STA-B)之间的会话密钥的建立;第一终端设备(STA-A)和第二 终端设备(STA-B)之间采用会话密钥(KEYa_b)进行秘密通信。4.根据权利要求3所述的节点间会话密钥的建立方法,其特征在于其具体包括以下 步骤·1]第一终端设备(STA-A)与第一连接设备(SWl)之间、第一连接设备(SWl)与核心连 接设备(SW-Center)之间、核心连接设备(SW-Center)与第二连接设备(SW2)之间、第二连 接设备(SW2)与第二终端设备(STA-B)之间建立安全连接;·1. 1]第一终端设备(STA-A)与第一连接设备(SWl)之间建立具有第一共享密钥 (KEYp1)的安全连接;所述第一连接设备(SWl)是指从第一终端设备(STA-A)到第二终端设 备(STA-B)的数据包经过的第一个连接设备;·1.2]第一连接设备(SWl)与核心连接设备(SW-Center)之间建立具有第二共享密钥 (KEY1^center)的安全连接;·1.3]核心连接设备(SW-Center)与第二连接设备(SW2)之间建立具有第三共享密钥 (KEY2^center)的安全连接;所述第二连接设备(SW2)是指从第一终端设备(STA-A)到第二终 端设备(STA-B)的数据包经过的最后一个连接设备;·1.4]第二连接设备(SW2)与第二终端设备(STA-B)之间建立具有第四共享密钥 (KEYb_2)的安全连接;·2]第一终端设备(STA-A)发送第一密钥协商请求分组(Ml)给第一连接设备(SWl);所述第一密钥协商求请分组包括IDsta_b字段、E1 (NonceA)字段以及消息验证码MICl字段;所述IDsta_b字段表示第二终端设备STA-B的标识;所述E1 (NonceA)字段是表示询问 资料数据,是由第一终端设备STA-A利用第一共享密钥KEYiw对第一终端设备询问随机数 NonCeA加密后的数据;其中NonCeA是由第一终端设备(STA-A)生成的第一终端设备询问随 机数;所述MICl字段表示消息完整性验证码,是由第一终端设备(STA-A)利用第一共享密 钥(KEYp1)对该第一密钥协商请求分组(Ml)中本字段外的其他字段通过杂凑函数计算得 到的杂凑值;·3]第一连接设备(SWl)接收到第一密钥协商请求分组(Ml)后,做出如下处理·3. 1]第一连接设备(SWl)利用第一共享密钥(KEYp1)验证MICl是否正确,若不正确, 则丢弃第一密钥协商求请分组;否则,执行步骤3. 2];·3. 2]第一连接设备(SWl)利用第一共享密钥(KEYp1)解密EjNonceJ字段得到第一终 端设备询问随机数NonCeA;`3.3]第一连接设备(SWl)构造第二密钥协商请求分组(M2)并发送给核心连接设备 (Sff-Center):所述第二密钥协商请求分组(M2)包括IDSTA_A字段、IDSTA_B字段、E2 (Nonce》 字段以及消息验证码MIC2字段,所述IDsta_a字段表示第一终端设备(STA-A)的标识;所 述氏(似11(3。字段是表示询问资料数据,是由第一连接设备(SWl)利用第二共享密钥 (KEY1^center)对第一终端设备询问随机数NonCeA加密后的数据;所述MIC2字段表示消息完 整性验证码,是由第一连接设备(SWl)利用第二共享密钥(KEYKentw)对第二密钥协商请求 分组(M2)中MIC2字段之外的其他字段通过杂凑函数计算得到的杂凑值;`4]核心连接设备(SW-Center)接收到第二密钥协商请求分组(M2)后,做出如下处理``4.1]核心连接设备(SW-Center)利用第二共享密钥(KEYhtent J验证MIC2字段是否正 确,若不正确,则丢弃第二密钥协商请求分组(M2);否则,执行步骤4. 2];`4. 2]核心连接设备(SW-Center)利用第二共享密钥(KEY^enter)解密E2 (Nonce》字段 得到第一终端设备询问随机数NonCeA ;`4.3]核心连接设备(SW-Center)发送第三密钥协商请求分组(M3)给第二连接设备 (SW2);所述第三密钥协商请求分组(M3)包括IDSTA_A字段、IDSTA_B字段、E3(N0nCeA)字段以及消 息验证码MIC3字段,所述E3(N0nCeA)字段是询问资料数据,是由核心连接设备(SW-Center) 利用第三共享密钥(KEY2_。entJ对第一终端设备询问随机数NonCeA加密后的数据;所述 MIC3字段表示消息完整性验证码,是由核心连接设备(SW-Center)利用第三共享密钥 (KEY2^center)对第三密钥协商请求分组(M3)中本字段外的其他字段通过杂凑函数计算得到 的杂凑值;`5]第二连接设备(SW2)接收到第三密钥协商请求分组(M3)后,做出如下处理`5.1]第二连接设备(SW2)利用第三共享密钥(KEY2_CentJ验证MIC3字段是否正确,若 不正确,则丢弃第三密钥协商请求分组(M3);否则,执行步骤`5. 2];`5. 2]第二连接设备(SW2)利用第三共享密钥(KEY2_CentJ解密E3(N0nCeA)字段得到第 一终端设备询问随机数NonCeA ;`5.3]第二连接设备(SW2)发送第四密钥协商请求分组(M4)给第二终端设备(STA-B)所述第四密钥协商请求分组(M4)包括IDSTA_A字段、E4(N0nCeA)字段以及MIC4字段,所述^似!!⑶》字段是询问资料数据,是由第二连接设备(SW2)利用第四共享密钥(KEYb_2)对 第一终端设备询问随机数NonCeA加密后的数据;所述MIC4字段表示消息完整性验证码,是 由第二连接设备(SW2)利用第四共享密钥(KEYb_2)对第四密钥协商请求分组(M4)中MIC4 字段外的其他字段通过杂凑函数计算得到的杂凑值;`6]第二终端设备(STA-B)接收到第四密钥协商请求分组(M4)后,进行如下处理`6.1]第二终端设备(STA-B)利用第四共享密钥(KEYb_2)验证MIC4字段是否正确,若不 正确,则丢弃第四密钥协商请求分组(M4);否则,执行步骤`6. 2];`6. 2]第二终端设备(STA-B)利用第四共享密钥(KEYb_2)解密E4(N0nCeA)字段得到第一 终端设备询问随机数NonCeA ;`6. 3]第二终端设备(STA-B)随即生成第二终端设备询问随机数NonCeB,通过单向函数 F(NonceA,NonceB)计算得到第一终端设备(STA-A)和第二终端设备(STA-B)之间的会话密 钥 KEYa_b ;·6.4]第二终端设备(STA-B)构造第四密钥协商响应分组(M5)并发送给第二连接设备 (SW2);所述第四密钥协商响应分组(M5)包括IDsta_a字段、E5(N0nCeB)字段以及MIC5字段所 字段是询问资料数据,是由第二终端设备(STA-B)利用第四共享密钥(KEYb_2) 对第二终端设备询问随机数NonCeB加密后的数据,其中NonCeB是由第二终端...
【专利技术属性】
技术研发人员:铁满霞,李琴,黄振海,胡亚楠,
申请(专利权)人:西安西电捷通无线网络通信股份有限公司,
类型:发明
国别省市:87[中国|西安]
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。