專利名稱:一種節(jié)點(diǎn)間密鑰的建立方法及系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及通信網(wǎng)絡(luò)安全應(yīng)用領(lǐng)域�,尤其涉及一種節(jié)點(diǎn)間密鑰的建立方法及系統(tǒng)。
背景技術(shù):
有線局域網(wǎng)一般為廣播型網(wǎng)絡(luò),一個(gè)節(jié)點(diǎn)發(fā)出的數(shù)據(jù)���,其它節(jié)點(diǎn)都能收到�。網(wǎng)絡(luò)上的各個(gè)節(jié)點(diǎn)共享信道���,這給網(wǎng)絡(luò)帶來了極大的安全隱患���。攻擊者只要接入網(wǎng)絡(luò)進(jìn)行監(jiān)聽����,就可以捕獲網(wǎng)絡(luò)上所有的數(shù)據(jù)包?����,F(xiàn)有國(guó)家標(biāo)準(zhǔn)GB/T 15629.3(對(duì)應(yīng)IEEE 802.3或ISO/IEC 8802-3)定義的局域網(wǎng)LAN并不提供數(shù)據(jù)保密方法����,這樣就使得攻擊者容易竊取到關(guān)鍵信息。
在有線局域網(wǎng)中����,標(biāo)準(zhǔn)組織IEEE通過對(duì)IEEE 802.3進(jìn)行安全增強(qiáng)來實(shí)現(xiàn)鏈路層的安全。IEEE 802.1AE為保護(hù)以太網(wǎng)提供數(shù)據(jù)加密協(xié)議��,并采用逐跳加密的安全措施來實(shí)現(xiàn)網(wǎng)絡(luò)節(jié)點(diǎn)之間數(shù)據(jù)的安全傳達(dá)。這種安全措施給局域網(wǎng)中的交換設(shè)備帶來了巨大的計(jì)算負(fù)擔(dān)�����,容易引發(fā)攻擊者對(duì)交換設(shè)備的攻擊���;且數(shù)據(jù)包從發(fā)送節(jié)點(diǎn)傳遞到目的節(jié)點(diǎn)的延時(shí)也會(huì)增大�����,降低了網(wǎng)絡(luò)傳輸效率�����。
有線局域網(wǎng)的拓?fù)浣Y(jié)構(gòu)比較復(fù)雜�����,涉及到的節(jié)點(diǎn)數(shù)目也比較多��,因此網(wǎng)絡(luò)中的數(shù)據(jù)通信比較復(fù)雜�����。如果為局域網(wǎng)節(jié)點(diǎn)間分配靜態(tài)密鑰來保證節(jié)點(diǎn)間的保密通信�����,其分配和更新過程極為復(fù)雜�。
發(fā)明內(nèi)容
為了解決背景技術(shù)中存在的上述問題���,本發(fā)明提供了一種節(jié)點(diǎn)間密鑰的建立方法及系統(tǒng)����。
本發(fā)明的技術(shù)解決方案是本發(fā)明提供了一種節(jié)點(diǎn)間密鑰的建立方法���,其特殊之處在于所述節(jié)點(diǎn)間密鑰的建立方法包括以下步驟 1)發(fā)送源節(jié)點(diǎn)NSource發(fā)送第一密鑰協(xié)商請(qǐng)求分組給交換設(shè)備SWFirst���; 2)交換設(shè)備SWFirst發(fā)送第二密鑰協(xié)商請(qǐng)求分組給交換設(shè)備SWLast; 3)交換設(shè)備SWLast發(fā)送第三密鑰協(xié)商請(qǐng)求分組給目的節(jié)點(diǎn)NDestination���; 4)目的節(jié)點(diǎn)NDestination發(fā)送第三密鑰協(xié)商響應(yīng)分組給交換設(shè)備SWLast���; 5)交換設(shè)備SWLast發(fā)送第二密鑰協(xié)商響應(yīng)分組給交換設(shè)備SWFirst; 6)交換設(shè)備SWFirst發(fā)送第一密鑰協(xié)商響應(yīng)分組給發(fā)送源節(jié)點(diǎn)NSource�����; 7)發(fā)送源節(jié)點(diǎn)NSource接收第一密鑰協(xié)商響應(yīng)分組。
上述步驟1)中第一密鑰協(xié)商請(qǐng)求分組包括IDDestination字段����、E1(NonceS)字段以及MIC1字段,其中 IDDestination字段表示目的節(jié)點(diǎn)NDestination的標(biāo)識(shí)���; E1(NonceS)字段表示發(fā)送源節(jié)點(diǎn)NSource的詢問資料數(shù)據(jù)�����,由發(fā)送源節(jié)點(diǎn)NSource利用其與交換設(shè)備SWFirst之間的密鑰KEYS對(duì)發(fā)送源節(jié)點(diǎn)NSource的詢問NonceS加密后的數(shù)據(jù)��;其中NonceS是由發(fā)送源節(jié)點(diǎn)NSource生成的隨機(jī)數(shù)��; MIC1字段表示消息完整性驗(yàn)證碼���,由發(fā)送源節(jié)點(diǎn)NSource利用其與交換設(shè)備SWFirst之間的密鑰KEYS對(duì)第一密鑰協(xié)商請(qǐng)求分組中本字段外的其他字段通過雜湊函數(shù)計(jì)算得到的雜湊值。
上述步驟2)中交換設(shè)備SWFirst收到第一密鑰協(xié)商請(qǐng)求分組后發(fā)送第二密鑰協(xié)商請(qǐng)求分組給交換設(shè)備SWLast�,其具體實(shí)現(xiàn)方式是 2.1)利用其與發(fā)送源節(jié)點(diǎn)NSource之間的密鑰KEYS驗(yàn)證MIC1是否正確,若不正確�����,則丟棄該分組;否則���,執(zhí)行2.2); 2.2)利用其與發(fā)送源節(jié)點(diǎn)NSource之間的密鑰KEYS解密E1(NonceS)字段�����,得到發(fā)送源節(jié)點(diǎn)NSource的詢問NonceS�; 2.3)構(gòu)造第二密鑰協(xié)商請(qǐng)求分組發(fā)送給交換設(shè)備SWLast,所述第二密鑰協(xié)商請(qǐng)求分組包括IDSource字段�、IDDestination字段、E2(NonceS)字段以及MIC2字段�,其中 IDSource字段表示發(fā)送源節(jié)點(diǎn)NSource的標(biāo)識(shí); IDDestination字段表示目的節(jié)點(diǎn)NDestination的標(biāo)識(shí)��,其值同收到的第一密鑰協(xié)商請(qǐng)求分組中的IDDestination字段的值�����; E2(NonceS)字段表示發(fā)送源節(jié)點(diǎn)NSource的詢問資料數(shù)據(jù)�,由交換設(shè)備SWFirst利用其與交換設(shè)備SWLast之間的密鑰KEYF-L對(duì)解密得到的發(fā)送源節(jié)點(diǎn)NSource的詢問NonceS加密后的數(shù)據(jù); MIC2字段表示消息完整性驗(yàn)證碼����,由交換設(shè)備SWFirst利用其與交換設(shè)備SWLast之間的密鑰KEYF-L對(duì)第二密鑰協(xié)商請(qǐng)求分組中本字段外的其他字段通過雜湊函數(shù)計(jì)算得到的雜湊值。
上述步驟3)中交換設(shè)備SWLast收到第二密鑰協(xié)商請(qǐng)求分組后發(fā)送第三密鑰協(xié)商請(qǐng)求分組給目的節(jié)點(diǎn)NDestination,其具體實(shí)現(xiàn)方式是 3.1)利用其與交換設(shè)備SWFirst之間的密鑰KEYF-L驗(yàn)證MIC2是否正確�����,若不正確����,則丟棄該分組;否則����,執(zhí)行3.2); 3.2)利用其與交換設(shè)備SWFirst之間的密鑰KEYF-L解密E2(NonceS)字段�����,得到發(fā)送源節(jié)點(diǎn)NSource的詢問NonceS�; 3.3)構(gòu)造第三密鑰協(xié)商請(qǐng)求分組發(fā)送給目的節(jié)點(diǎn)NDestination,所述第三密鑰協(xié)商請(qǐng)求分組包括IDSource字段��、E3(NonceS)字段以及MIC3字段�����,其中 IDSource字段表示發(fā)送源節(jié)點(diǎn)NSource的標(biāo)識(shí)����,其值同收到的第二密鑰協(xié)商請(qǐng)求分組中的IDSource字段的值���; E3(NonceS)字段表示發(fā)送源節(jié)點(diǎn)NSource的詢問資料數(shù)據(jù),由交換設(shè)備SWLast用其與目的節(jié)點(diǎn)NDestination之間的密鑰KEYD對(duì)解密得到的發(fā)送源節(jié)點(diǎn)NSource的詢問NonceS加密后的數(shù)據(jù)�; MIC3字段表示消息完整性驗(yàn)證碼,由交換設(shè)備SWLast用其與目的節(jié)點(diǎn)NDestination之間的密鑰KEYD對(duì)第三密鑰協(xié)商請(qǐng)求分組中本字段外的其他字段通過雜湊函數(shù)計(jì)算得到的雜湊值��。
上述步驟4)中目的節(jié)點(diǎn)NDestination收到第三密鑰協(xié)商請(qǐng)求分組后發(fā)送第三密鑰協(xié)商響應(yīng)分組給交換設(shè)備SWLast�����,其具體實(shí)現(xiàn)方式是 4.1)利用與交換設(shè)備SWLast之間的密鑰KEYD驗(yàn)證MIC3是否正確��,若不正確��,則丟棄該分組�����;否則�����,執(zhí)行4.2)�; 4.2)利用與交換設(shè)備SWLast之間的密鑰KEYD解密E3(NonceS)字段,得到發(fā)送源節(jié)點(diǎn)NSource的詢問NonceS���; 4.3)生成一隨機(jī)數(shù)作為目的節(jié)點(diǎn)NDestination的詢問NonceD��,通過單向函數(shù)F(IDSource��,IDDestination���,NonceS,NonceD)計(jì)算得到與發(fā)送源節(jié)點(diǎn)NSource之間的共享密鑰KEYS-D���; 4.4)構(gòu)造第三密鑰協(xié)商響應(yīng)分組發(fā)送給交換設(shè)備SWLast����,所述第三密鑰協(xié)商響應(yīng)分組包括IDSource字段����、E4(NonceS||NonceD)字段以及MIC4字段,其中 IDSource字段表示發(fā)送源節(jié)點(diǎn)NSource的標(biāo)識(shí)����,其值同收到的第三密鑰協(xié)商請(qǐng)求分組中的IDSource字段的值; E4(NonceS||NonceD)字段表示發(fā)送源節(jié)點(diǎn)NSource和目的節(jié)點(diǎn)NDestination的詢問資料數(shù)據(jù)����,由目的節(jié)點(diǎn)NDestination利用與交換設(shè)備SWLast之間的密鑰KEYD對(duì)發(fā)送源節(jié)點(diǎn)NSource的詢問NonceS及目的節(jié)點(diǎn)NDestination的詢問NonceD加密后的數(shù)據(jù)�; MIC4字段表示消息完整性驗(yàn)證碼�����,由目的節(jié)點(diǎn)NDestination利用與交換設(shè)備SWLast之間的密鑰KEYD對(duì)第三密鑰協(xié)商響應(yīng)分組中本字段外的其他字段通過雜湊函數(shù)計(jì)算得到的雜湊值���。
上述步驟5)中交換設(shè)備SWLast收到第三密鑰協(xié)商響應(yīng)分組后發(fā)送第二密鑰協(xié)商響應(yīng)分組給交換設(shè)備SWFirst�,其具體實(shí)現(xiàn)方式是 5.1)比較IDSource字段與之前發(fā)送的第三密鑰協(xié)商請(qǐng)求分組中IDSource字段值是否一致�����,若不一致�,則丟棄該分組�����;否則���,執(zhí)行5.2)�; 5.2)利用與目的節(jié)點(diǎn)NDestination之間的密鑰KEYD驗(yàn)證MIC3是否正確�����,若不正確,則丟棄該分組�;否則,執(zhí)行5.3)���; 5.3)利用與目的節(jié)點(diǎn)NDestination之間的密鑰KEYD解密E4(NonceS||NonceD)字段��,即可得到發(fā)送源節(jié)點(diǎn)NSource的詢問NonceS及目的節(jié)點(diǎn)NDestination的詢問NonceD�; 5.4)比較解密得到的發(fā)送源節(jié)點(diǎn)NSource的詢問NonceS值與步驟3.2)中得到的NonceS值是否相同��,若不同���,則丟棄該分組�����;否則�,執(zhí)行5.5)�����; 5.5)構(gòu)造第二密鑰協(xié)商響應(yīng)分組發(fā)送給交換設(shè)備SWFirst����,所述第二密鑰協(xié)商響應(yīng)分組包括IDSource字段��、IDDestination字段��、E5(NonceS||NonceD)字段以及MIC5字段�,其中 IDSource字段表示發(fā)送源節(jié)點(diǎn)NSource的標(biāo)識(shí)�,其值同收到的第二密鑰協(xié)商請(qǐng)求分組中的IDSource字段的值; IDDestination字段表示目的節(jié)點(diǎn)NDestination的標(biāo)識(shí)����,其值同收到的第二密鑰協(xié)商請(qǐng)求分組中的IDDestination字段的值; E5(NonceS||NonceD)字段表示發(fā)送源節(jié)點(diǎn)NSource和目的節(jié)點(diǎn)NDestination的詢問資料數(shù)據(jù)����,由交換設(shè)備SWLast利用與交換設(shè)備SWFirst之間的密鑰KEYF-L對(duì)發(fā)送源節(jié)點(diǎn)NSource的詢問NonceS及目的節(jié)點(diǎn)NDestination的詢問NonceD加密后的數(shù)據(jù)����; MIC5字段表示消息完整性驗(yàn)證碼,由交換設(shè)備SWLast利用與交換設(shè)備SWFirst之間的密鑰KEYF-L對(duì)第二密鑰協(xié)商響應(yīng)分組中本字段外的其他字段通過雜湊函數(shù)計(jì)算得到的雜湊值��。
上述步驟6)中交換設(shè)備SWFirst收到第二密鑰協(xié)商響應(yīng)分組后發(fā)送第一密鑰協(xié)商響應(yīng)分組給發(fā)送源節(jié)點(diǎn)NSource�����,其具體實(shí)現(xiàn)方式是 6.1)檢查分組中的IDSource字段、IDDestination字段與之前發(fā)送給交換設(shè)備SWLast的第二密鑰協(xié)商請(qǐng)求分組中對(duì)應(yīng)字段值是否一致����,若不一致,則丟棄該分組�����;否則�����,執(zhí)行6.2)����; 6.2)利用與交換設(shè)備SWLast之間的密鑰KEYF-L驗(yàn)證MIC5是否正確,若不正確�����,則丟棄該分組��;否則�����,執(zhí)行6.3); 6.3)利用與交換設(shè)備SWLast之間的密鑰KEYF-L解密E5(NonceS||NonceD)字段�,即可得到發(fā)送源節(jié)點(diǎn)NSource的詢問NonceS及目的節(jié)點(diǎn)NDestination的詢問NonceD; 6.4)比較解密得到的發(fā)送源節(jié)點(diǎn)NSource的詢問NonceS值與步驟2.2)中得到的NonceS值是否一致�,若不一致,則丟棄該分組���;否則���,執(zhí)行6.5); 6.5)構(gòu)造第一密鑰協(xié)商響應(yīng)分組發(fā)送給發(fā)送源節(jié)點(diǎn)NSource���,所述第一密鑰協(xié)商響應(yīng)分組包括IDDestination字段����、E6(NonceS||NonceD)字段以及MIC6字段����,其中 IDDestination字段表示目的節(jié)點(diǎn)NDestination的標(biāo)識(shí)����,其值同收到的第一密鑰協(xié)商請(qǐng)求分組中的IDDestination字段的值; E6(NonceS||NonceD)字段表示發(fā)送源節(jié)點(diǎn)NSource和目的節(jié)點(diǎn)NDestination的詢問資料數(shù)據(jù)�����,由交換設(shè)備SWFirst用其與發(fā)送源節(jié)點(diǎn)NSource之間的密鑰KEYS對(duì)發(fā)送源節(jié)點(diǎn)NSource的詢問NonceS及目的節(jié)點(diǎn)NDestination的詢問NonceD加密后的數(shù)據(jù); MIC6字段表示消息完整性驗(yàn)證碼���,由交換設(shè)備SWFirst用其與發(fā)送源節(jié)點(diǎn)NSource之間的密鑰KEYS對(duì)第一密鑰協(xié)商響應(yīng)分組中本字段外的其他字段通過雜湊函數(shù)計(jì)算得到的雜湊值�。
上述步驟7)的具體實(shí)現(xiàn)方式是 7.1)檢查分組中的IDDestination字段與之前發(fā)送給交換設(shè)備SWFirst的第一密鑰協(xié)商請(qǐng)求分組中IDDestination字段值是否一致���,若不一致�����,則丟棄該分組����;否則�����,執(zhí)行7.2)�����; 7.2)利用與交換設(shè)備SWFirst之間的密鑰KEYS驗(yàn)證MIC6是否正確,若不正確����,則丟棄該分組;否則��,執(zhí)行7.3)�; 7.3)利用與交換設(shè)備SWFirst之間的密鑰KEYS解密E6(NonceS||NoceD)字段,即可得到發(fā)送源節(jié)點(diǎn)NSource的詢問NonceS及目的節(jié)點(diǎn)NDestination的詢問NonceD�; 7.4)比較解密得到的發(fā)送源節(jié)點(diǎn)NSource的詢問NonceS值與在步驟1)中生成并使用的隨機(jī)數(shù)NonceS值是否一致,若不一致����,則丟棄該分組;否則��,執(zhí)行7.5)��; 7.5)通過單向函數(shù)F(IDSource�����,IDDestination�����,NonceS�,NonceD)計(jì)算得到與目的節(jié)點(diǎn)NDestination之間的共享密鑰KEYS-D,即完成發(fā)送源節(jié)點(diǎn)NSource和目的節(jié)點(diǎn)NDestination之間共享密鑰KEYS-D的建立過程����,此后發(fā)送源節(jié)點(diǎn)NSource和目的節(jié)點(diǎn)NDestination之間可采用該共享密鑰KEYS-D進(jìn)行秘密通信。
一種節(jié)點(diǎn)間密鑰的建立系統(tǒng)�,其特殊之處在于所述節(jié)點(diǎn)間密鑰的建立系統(tǒng)包括向交換設(shè)備SWFirst發(fā)送第一密鑰協(xié)商請(qǐng)求分組、接收交換設(shè)備SWFirst發(fā)送的第一密鑰協(xié)商響應(yīng)分組的發(fā)送源節(jié)點(diǎn)NSource��;接收發(fā)送源節(jié)點(diǎn)NSource發(fā)送的第一密鑰協(xié)商請(qǐng)求分組����、向交換設(shè)備SWLast發(fā)送第二密鑰協(xié)商請(qǐng)求分組、接收交換設(shè)備SWLast發(fā)送的第二密鑰協(xié)商響應(yīng)分組��、向發(fā)送源節(jié)點(diǎn)NSource發(fā)送第一密鑰協(xié)商響應(yīng)分組的交換設(shè)備SWFirst���;接收交換設(shè)備SWFirst發(fā)送的第二密鑰協(xié)商請(qǐng)求分組��、向目的節(jié)點(diǎn)NDestination發(fā)送第三密鑰協(xié)商請(qǐng)求分組���、接收目的節(jié)點(diǎn)NDestination發(fā)送的第三密鑰協(xié)商響應(yīng)分組、向交換設(shè)備SWFirst發(fā)送第二密鑰協(xié)商響應(yīng)分組的交換設(shè)備SWLast�;接收交換設(shè)備SWLast發(fā)送的第三密鑰協(xié)商請(qǐng)求分組、向交換設(shè)備SWLast發(fā)送第三密鑰協(xié)商響應(yīng)分組的目的節(jié)點(diǎn)NDestination。
本發(fā)明的優(yōu)點(diǎn)是發(fā)送源節(jié)點(diǎn)NSource和目的節(jié)點(diǎn)NDestination之間的密鑰是通過發(fā)送源節(jié)點(diǎn)NSource和目的節(jié)點(diǎn)NDestination臨時(shí)協(xié)商后計(jì)算得到的����。如果發(fā)送源節(jié)點(diǎn)NSource需要更新和目的節(jié)點(diǎn)NDestination之間的密鑰,也可發(fā)起該建立過程重新建立新的密鑰���,局域網(wǎng)合法節(jié)點(diǎn)之間可以靈活建立及更新它們之間的密鑰�����,無需管理員為全網(wǎng)節(jié)點(diǎn)兩兩之間部署共享的靜態(tài)密鑰對(duì)����。
圖1為本發(fā)明所提供的節(jié)點(diǎn)間密鑰建立過程示意圖��。
具體實(shí)施例方式 本發(fā)明中定義的節(jié)點(diǎn)N(Node)是指局域網(wǎng)中的用戶終端STA(STAtion)和交換設(shè)備SW(SWitch)�。局域網(wǎng)中的集線器等物理層設(shè)備不作為節(jié)點(diǎn)處理。
假設(shè)��,在網(wǎng)絡(luò)中相鄰的交換設(shè)備與用戶終端之間通過預(yù)分發(fā)或其他安全機(jī)制均已建立安全連接�����,即已具有共享的密鑰��;所有的交換設(shè)備兩兩之間通過預(yù)分發(fā)或其他安全機(jī)制已建立安全連接,即已具有共享的密鑰���。
以發(fā)送源節(jié)點(diǎn)NSource與目的節(jié)點(diǎn)NDestination之間密鑰的建立為例進(jìn)行說明�,交換設(shè)備SWFirst是指從發(fā)送源節(jié)點(diǎn)NSource到目的節(jié)點(diǎn)NDestination的數(shù)據(jù)包經(jīng)過的第一個(gè)交換設(shè)備��,交換設(shè)備SWLast是指從發(fā)送源節(jié)點(diǎn)NSource到目的節(jié)點(diǎn)NDestination的數(shù)據(jù)包經(jīng)過的最后一個(gè)交換設(shè)備�����。
根據(jù)上述的假設(shè)����,發(fā)送源節(jié)點(diǎn)NSource與交換設(shè)備SWFirst已建立安全連接�,共享的密鑰記為KEYS,目的節(jié)點(diǎn)NDestination與交換設(shè)備SWLast已建立安全連接��,共享的密鑰記為KEYD�����,交換設(shè)備SWFirst與交換設(shè)備SWLast已建立安全連接�,共享的密鑰記為KEYF-L。
參見圖1�����,本發(fā)明所提供的一種節(jié)點(diǎn)間密鑰的建立方法為發(fā)送源節(jié)點(diǎn)NSource和目的節(jié)點(diǎn)NDestination之間密鑰的建立具體方案如下 1)發(fā)送源節(jié)點(diǎn)NSource發(fā)送密鑰協(xié)商請(qǐng)求分組1給交換設(shè)備SWFirst; 該密鑰協(xié)商請(qǐng)求分組1包括 其中 IDDestination字段表示目的節(jié)點(diǎn)NDestination的標(biāo)識(shí)�����; E1(NonceS)字段表示發(fā)送源節(jié)點(diǎn)NSource的詢問資料數(shù)據(jù)�,由發(fā)送源節(jié)點(diǎn)NSource利用其與交換設(shè)備SWFirst之間的密鑰KEYS對(duì)發(fā)送源節(jié)點(diǎn)NSource的詢問NonceS加密后的數(shù)據(jù);其中NonceS是由發(fā)送源節(jié)點(diǎn)NSource生成的隨機(jī)數(shù)�; MIC1字段表示消息完整性驗(yàn)證碼,由發(fā)送源節(jié)點(diǎn)NSource利用其與交換設(shè)備SWFirst之間的密鑰KEYS對(duì)該密鑰協(xié)商請(qǐng)求分組1中本字段外的其他字段通過雜湊函數(shù)計(jì)算得到的雜湊值����。
2)交換設(shè)備SWFirst發(fā)送密鑰協(xié)商請(qǐng)求分組2給交換設(shè)備SWLast; 交換設(shè)備SWFirst收到密鑰協(xié)商請(qǐng)求分組1后�,進(jìn)行如下處理 2.1)利用其與發(fā)送源節(jié)點(diǎn)NSource之間的密鑰KEYS驗(yàn)證MIC1是否正確,若不正確�,則丟棄該分組;否則��,執(zhí)行2.2)����; 2.2)利用其與發(fā)送源節(jié)點(diǎn)NSource之間的密鑰KEYS解密E1(NonceS)字段,即可得到發(fā)送源節(jié)點(diǎn)NSource的詢問NonceS�; 2.3)構(gòu)造密鑰協(xié)商請(qǐng)求分組2發(fā)送給交換設(shè)備SWLast�。
該密鑰協(xié)商請(qǐng)求分組2包括 其中 IDSource字段表示發(fā)送源節(jié)點(diǎn)NSource的標(biāo)識(shí)�; IDDestination字段表示目的節(jié)點(diǎn)NDestination的標(biāo)識(shí),其值同收到的密鑰協(xié)商請(qǐng)求分組1中的IDDestination字段的值�����; E2(NonceS)字段表示發(fā)送源節(jié)點(diǎn)NSource的詢問資料數(shù)據(jù)�����,由交換設(shè)備SWFirst利用其與交換設(shè)備SWLast之間的密鑰KEYF-L對(duì)解密得到的發(fā)送源節(jié)點(diǎn)NSource的詢問NonceS加密后的數(shù)據(jù)���; MIC2字段表示消息完整性驗(yàn)證碼,由交換設(shè)備SWFirst利用其與交換設(shè)備SWLast之間的密鑰KEYF-L對(duì)該密鑰協(xié)商請(qǐng)求分組2中本字段外的其他字段通過雜湊函數(shù)計(jì)算得到的雜湊值�。
3)交換設(shè)備SWLast發(fā)送密鑰協(xié)商請(qǐng)求分組3給目的節(jié)點(diǎn)NDestination; 交換設(shè)備SWLast收到密鑰協(xié)商請(qǐng)求分組2后�����,進(jìn)行如下處理 3.1)利用其與交換設(shè)備SWFirst之間的密鑰KEYF-L驗(yàn)證MIC2是否正確�,若不正確,則丟棄該分組��;否則���,執(zhí)行3.2)����; 3.2)利用其與交換設(shè)備SWFirst之間的密鑰KEYF-L解密E2(NonceS)字段,即可得到發(fā)送源節(jié)點(diǎn)NSource的詢問NonceS���; 3.3)構(gòu)造密鑰協(xié)商請(qǐng)求分組3發(fā)送給目的節(jié)點(diǎn)NDestination����。
該密鑰協(xié)商請(qǐng)求分組3中包括 其中 IDSource字段表示發(fā)送源節(jié)點(diǎn)NSource的標(biāo)識(shí)��,其值同收到的密鑰協(xié)商請(qǐng)求分組2中的IDSource字段的值�����; E3(NonceS)字段表示發(fā)送源節(jié)點(diǎn)NSource的詢問資料數(shù)據(jù)�����,由交換設(shè)備SWLast用其與目的節(jié)點(diǎn)NDestination之間的密鑰KEYD對(duì)解密得到的發(fā)送源節(jié)點(diǎn)NSource的詢問NonceS加密后的數(shù)據(jù)����; MIC3字段表示消息完整性驗(yàn)證碼,由交換設(shè)備SWLast用其與目的節(jié)點(diǎn)NDestination之間的密鑰KEYD對(duì)該密鑰協(xié)商請(qǐng)求分組3中本字段外的其他字段通過雜湊函數(shù)計(jì)算得到的雜湊值�����。
4)目的節(jié)點(diǎn)NDestination發(fā)送密鑰協(xié)商響應(yīng)分組3給交換設(shè)備SWLast; 目的節(jié)點(diǎn)NDestination收到密鑰協(xié)商請(qǐng)求分組3后�,進(jìn)行如下處理 4.1)利用與交換設(shè)備SWLast之間的密鑰KEYD驗(yàn)證MIC3是否正確,若不正確�,則丟棄該分組;否則�,執(zhí)行4.2); 4.2)利用與交換設(shè)備SWLast之間的密鑰KEYD解密E3(NonceS)字段����,即可得到發(fā)送源節(jié)點(diǎn)NSource的詢問NonceS; 4.3)生成一隨機(jī)數(shù)作為目的節(jié)點(diǎn)NDestination的詢問NonceD��,通過單向函數(shù)F(IDSource�����,IDDestination����,NonceS�,NonceD)計(jì)算得到與發(fā)送源節(jié)點(diǎn)NSource之間的共享密鑰KEYS-D(這里使用的單向函數(shù)F,本發(fā)明中不予限制和定義)���; 4.4)構(gòu)造密鑰協(xié)商響應(yīng)分組3發(fā)送給交換設(shè)備SWLast����。
該密鑰協(xié)商響應(yīng)分組3包括 其中 IDSource字段表示發(fā)送源節(jié)點(diǎn)NSource的標(biāo)識(shí),其值同收到的密鑰協(xié)商請(qǐng)求分組3中的IDSource字段的值��; E4(NonceS||NonceD)字段表示發(fā)送源節(jié)點(diǎn)NSource和目的節(jié)點(diǎn)NDestination的詢問資料數(shù)據(jù)�����,由目的節(jié)點(diǎn)NDestination利用與交換設(shè)備SWLast之間的密鑰KEYD對(duì)發(fā)送源節(jié)點(diǎn)NSource的詢問NonceS及目的節(jié)點(diǎn)NDestination的詢問NonceD加密后的數(shù)據(jù)���; MIC4字段表示消息完整性驗(yàn)證碼�,由目的節(jié)點(diǎn)NDestination利用與交換設(shè)備SWLast之間的密鑰KEYD對(duì)該密鑰協(xié)商響應(yīng)分組3中本字段外的其他字段通過雜湊函數(shù)計(jì)算得到的雜湊值�����。
5)交換設(shè)備SWLast發(fā)送密鑰協(xié)商響應(yīng)分組2給交換設(shè)備SWFirst����; 交換設(shè)備SWLast收到密鑰協(xié)商響應(yīng)分組3后,進(jìn)行如下處理 5.1)比較IDSource字段與之前發(fā)送的密鑰協(xié)商請(qǐng)求分組3中IDSource字段值是否一致����,若不一致�,則丟棄該分組���;否則���,執(zhí)行5.2); 5.2)利用與目的節(jié)點(diǎn)NDestination之間的密鑰KEYD驗(yàn)證MIC3是否正確���,若不正確�,則丟棄該分組��;否則�����,執(zhí)行5.3)���; 5.3)利用與目的節(jié)點(diǎn)NDestination之間的密鑰KEYD解密E4(NonceS||NonceD)字段,即可得到發(fā)送源節(jié)點(diǎn)NSource的詢問NonceS及目的節(jié)點(diǎn)NDestination的詢問NonceD�����; 5.4)比較解密得到的發(fā)送源節(jié)點(diǎn)NSource的詢問NonceS值與步驟3.2)中得到的NonceS值是否相同,若不同�����,則丟棄該分組��;否則�,執(zhí)行5.5); 5.5)構(gòu)造密鑰協(xié)商響應(yīng)分組2發(fā)送給交換設(shè)備SWFirst����。
該密鑰協(xié)商響應(yīng)分組2包括 其中 IDSource字段表示發(fā)送源節(jié)點(diǎn)NSource的標(biāo)識(shí),其值同收到的密鑰協(xié)商請(qǐng)求分組2中的IDSource字段的值����; IDDestination字段表示目的節(jié)點(diǎn)NDestination的標(biāo)識(shí),其值同收到的密鑰協(xié)商請(qǐng)求分組2中的IDDestination字段的值����; E5(NonceS||NonceD)字段表示發(fā)送源節(jié)點(diǎn)NSource和目的節(jié)點(diǎn)NDestination的詢問資料數(shù)據(jù),由交換設(shè)備SWLast利用與交換設(shè)備SWFirst之間的密鑰KEYF-L對(duì)發(fā)送源節(jié)點(diǎn)NSource的詢問NonceS及目的節(jié)點(diǎn)NDestination的詢問NonceD加密后的數(shù)據(jù)����; MIC5字段表示消息完整性驗(yàn)證碼,由交換設(shè)備SWLast利用與交換設(shè)備SWFirst之間的密鑰KEYF-L對(duì)該密鑰協(xié)商響應(yīng)分組2中本字段外的其他字段通過雜湊函數(shù)計(jì)算得到的雜湊值�。
6)交換設(shè)備SWFirst發(fā)送密鑰協(xié)商響應(yīng)分組1給發(fā)送源節(jié)點(diǎn)NSource�; 交換設(shè)備SWFirst收到密鑰協(xié)商響應(yīng)分組2后�����,進(jìn)行如下處理 6.1)檢查分組中的IDSource字段�����、IDDestination字段與之前發(fā)送給交換設(shè)備SWLast的密鑰協(xié)商請(qǐng)求分組2中對(duì)應(yīng)字段值是否一致��,若不一致����,則丟棄該分組;否則��,執(zhí)行6.2)����; 6.2)利用與交換設(shè)備SWLast之間的密鑰KEYF-L驗(yàn)證MIC5是否正確,若不正確�����,則丟棄該分組��;否則����,執(zhí)行6.3); 6.3)利用與交換設(shè)備SWLast之間的密鑰KEYF-L解密E5(NonceS||NonceD)字段���,即可得到發(fā)送源節(jié)點(diǎn)NSource的詢問NonceS及目的節(jié)點(diǎn)NDestination的詢問NonceD�; 6.4)比較解密得到的發(fā)送源節(jié)點(diǎn)NSource的詢問NonceS值與步驟2.2)中得到的NonceS值是否一致���,若不一致�,則丟棄該分組�����;否則��,執(zhí)行6.5)���; 6.5)構(gòu)造密鑰協(xié)商響應(yīng)分組1發(fā)送給發(fā)送源節(jié)點(diǎn)NSource����。
該密鑰協(xié)商響應(yīng)分組1包括 其中 IDDestination字段表示目的節(jié)點(diǎn)NDestination的標(biāo)識(shí)����,其值同收到的密鑰協(xié)商請(qǐng)求分組1中的IDDestination字段的值�; E6(NonceS||NonceD)字段表示發(fā)送源節(jié)點(diǎn)NSource和目的節(jié)點(diǎn)NDestination的詢問資料數(shù)據(jù)����,由交換設(shè)備SWFirst用其與發(fā)送源節(jié)點(diǎn)NSource之間的密鑰KEYS對(duì)發(fā)送源節(jié)點(diǎn)NSource的詢問NonceS及目的節(jié)點(diǎn)NDestination的詢問NonceD加密后的數(shù)據(jù); MIC6字段表示消息完整性驗(yàn)證碼�,由交換設(shè)備SWFirst用其與發(fā)送源節(jié)點(diǎn)NSource之間的密鑰KEYS對(duì)該密鑰協(xié)商響應(yīng)分組1中本字段外的其他字段通過雜湊函數(shù)計(jì)算得到的雜湊值。
7)發(fā)送源節(jié)點(diǎn)NSource接收密鑰協(xié)商響應(yīng)分組1���; 發(fā)送源節(jié)點(diǎn)NSource收到密鑰協(xié)商響應(yīng)分組1后��,進(jìn)行如下處理 7.1)檢查分組中的IDDestination字段與之前發(fā)送給交換設(shè)備SWFirst的密鑰協(xié)商請(qǐng)求分組1中IDDestination字段值是否一致����,若不一致�,則丟棄該分組;否則�����,執(zhí)行7.2)�����; 7.2)利用與交換設(shè)備SWFirst之間的密鑰KEYS驗(yàn)證MIC6是否正確,若不正確���,則丟棄該分組;否則���,執(zhí)行7.3)�; 7.3)利用與交換設(shè)備SWFirst之間的密鑰KEYS解密E6(NonceS||NonceD)字段��,即可得到發(fā)送源節(jié)點(diǎn)NSource的詢問NonceS及目的節(jié)點(diǎn)NDestination的詢問NonceD��; 7.4)比較解密得到的發(fā)送源節(jié)點(diǎn)NSource的詢問NonceS值與在步驟1)中生成并使用的隨機(jī)數(shù)NonceS值是否一致�,若不一致,則丟棄該分組�;否則,執(zhí)行7.5)�; 7.5)通過單向函數(shù)F(IDSource,IDDestination�����,NonceS����,NonceD)計(jì)算得到與目的節(jié)點(diǎn)NDestination之間的共享密鑰KEYS-D�,即完成發(fā)送源節(jié)點(diǎn)NSource和目的節(jié)點(diǎn)NDestination之間共享密鑰KEYS-D的建立過程����,此后發(fā)送源節(jié)點(diǎn)NSource和目的節(jié)點(diǎn)NDestination之間可采用該共享密鑰KEYS-D進(jìn)行秘密通信。
當(dāng)對(duì)上述方案進(jìn)行具體實(shí)施時(shí)���,密鑰協(xié)商響應(yīng)分組3����、密鑰協(xié)商響應(yīng)分組2及密鑰協(xié)商響應(yīng)分組1中的詢問資料數(shù)據(jù)E4(NonceS||NonceD)�����、E5(NonceS||NonceD)及E6(NonceS||NonceD)還可以不包含對(duì)NonceS的加密信息�����,僅為E4(NonceD)����、E5(NonceD)及E6(NonceD)。對(duì)應(yīng)地��,上述步驟5)中不包含步驟5.4),在步驟5.3)之后直接執(zhí)行5.5)��;上述步驟6)中也不包含步驟6.4)�,在步驟6.3)之后直接執(zhí)行6.5);上述步驟7)中也不包含步驟7.4)���,在步驟7.3)之后直接執(zhí)行7.5)。
當(dāng)對(duì)上述方案進(jìn)行具體實(shí)施時(shí)�,發(fā)送源節(jié)點(diǎn)NSource還可生成一個(gè)數(shù)值,作為此次節(jié)點(diǎn)間密鑰建立過程的標(biāo)識(shí)�����,該標(biāo)識(shí)可為時(shí)鐘����、順序號(hào)或隨機(jī)數(shù),且在每個(gè)消息中進(jìn)行攜帶�,相應(yīng)地交換設(shè)備SWLast收到密鑰協(xié)商響應(yīng)分組3后需驗(yàn)證分組中的標(biāo)識(shí)值與其之前接收的密鑰協(xié)商請(qǐng)求分組2中的標(biāo)識(shí)值是否一致;交換設(shè)備SWFirst收到密鑰協(xié)商響應(yīng)分組2后需驗(yàn)證分組中的標(biāo)識(shí)值與其之前接收的密鑰協(xié)商請(qǐng)求分組1中的標(biāo)識(shí)值是否一致����;發(fā)送源節(jié)點(diǎn)NSource收到密鑰協(xié)商響應(yīng)分組1后需驗(yàn)證分組中的標(biāo)識(shí)值與其之前發(fā)送的密鑰協(xié)商請(qǐng)求分組1中的標(biāo)識(shí)值是否一致; 當(dāng)利用上述方案進(jìn)行具體實(shí)施時(shí)�,也可以由發(fā)送源節(jié)點(diǎn)NSource、交換設(shè)備SWFirst及交換設(shè)備SWLast在發(fā)送密鑰協(xié)商請(qǐng)求分組1��、密鑰協(xié)商請(qǐng)求分組2及密鑰協(xié)商請(qǐng)求分組3時(shí),各自獨(dú)立生成一個(gè)數(shù)值作為密鑰協(xié)商標(biāo)識(shí)分別攜帶在上述分組中�����,該密鑰協(xié)商標(biāo)識(shí)可為時(shí)鐘�����、順序號(hào)或隨機(jī)數(shù)�����,相應(yīng)地交換設(shè)備SWLast�����、交換設(shè)備SWFirst及發(fā)送源節(jié)點(diǎn)NSource收到密鑰協(xié)商響應(yīng)分組3�����、密鑰協(xié)商響應(yīng)分組2及密鑰協(xié)商響應(yīng)分組1后均需驗(yàn)證分組中的密鑰協(xié)商標(biāo)識(shí)值與其之前發(fā)送的分組中的密鑰協(xié)商標(biāo)識(shí)值是否一致�����。
一種節(jié)點(diǎn)間密鑰的建立系統(tǒng),其特殊之處在于所述節(jié)點(diǎn)間密鑰的建立系統(tǒng)包括向交換設(shè)備SWFirst發(fā)送密鑰協(xié)商請(qǐng)求分組1���、接收交換設(shè)備SWFirst發(fā)送的密鑰協(xié)商響應(yīng)分組1的發(fā)送源節(jié)點(diǎn)NSource�;接收發(fā)送源節(jié)點(diǎn)NSource發(fā)送的密鑰協(xié)商請(qǐng)求分組1��、向交換設(shè)備SWLast發(fā)送密鑰協(xié)商請(qǐng)求分組2���、接收交換設(shè)備SWLast發(fā)送的密鑰協(xié)商響應(yīng)分組2���、向發(fā)送源節(jié)點(diǎn)NSource發(fā)送密鑰協(xié)商響應(yīng)分組1的交換設(shè)備SWFirst�����;接收交換設(shè)備SWFirst發(fā)送的密鑰協(xié)商請(qǐng)求分組2�����、向目的節(jié)點(diǎn)NDestination發(fā)送密鑰協(xié)商請(qǐng)求分組3����、接收目的節(jié)點(diǎn)NDestination發(fā)送的密鑰協(xié)商響應(yīng)分組3、向交換設(shè)備SWFirst發(fā)送密鑰協(xié)商響應(yīng)分組2的交換設(shè)備SWLast����;接收交換設(shè)備SWLast發(fā)送的密鑰協(xié)商請(qǐng)求分組3����、向交換設(shè)備SWLast發(fā)送密鑰協(xié)商響應(yīng)分組3的目的節(jié)點(diǎn)NDestination��。
權(quán)利要求
1.一種節(jié)點(diǎn)間密鑰的建立方法���,其特征在于所述節(jié)點(diǎn)間密鑰的建立方法包括以下步驟
1)發(fā)送源節(jié)點(diǎn)NSource發(fā)送第一密鑰協(xié)商請(qǐng)求分組給交換設(shè)備SWFirst�;
2)交換設(shè)備SWFirst發(fā)送第二密鑰協(xié)商請(qǐng)求分組給交換設(shè)備SWLast�����;
3)交換設(shè)備SWLast發(fā)送第三密鑰協(xié)商請(qǐng)求分組給目的節(jié)點(diǎn)NDestination��;
4)目的節(jié)點(diǎn)NDestination發(fā)送第三密鑰協(xié)商響應(yīng)分組給交換設(shè)備SWLast�;
5)交換設(shè)備SWLast發(fā)送第二密鑰協(xié)商響應(yīng)分組給交換設(shè)備SWFirst;
6)交換設(shè)備SWFirst發(fā)送第一密鑰協(xié)商響應(yīng)分組給發(fā)送源節(jié)點(diǎn)NSource�;
7)發(fā)送源節(jié)點(diǎn)NSource接收第一密鑰協(xié)商響應(yīng)分組。
2.根據(jù)權(quán)利要求1所述的節(jié)點(diǎn)間密鑰的建立方法����,其特征在于所述步驟1)中第一密鑰協(xié)商請(qǐng)求分組包括IDDestination字段、E1(NonceS)字段以及MIC1字段���,其中
IDDestination字段表示目的節(jié)點(diǎn)NDestination的標(biāo)識(shí)�;
E1(NonceS)字段表示發(fā)送源節(jié)點(diǎn)NSource的詢問資料數(shù)據(jù),由發(fā)送源節(jié)點(diǎn)NSource利用其與交換設(shè)備SWFirst之間的密鑰KEYS對(duì)發(fā)送源節(jié)點(diǎn)NSource的詢問NonceS加密后的數(shù)據(jù)��;其中NonceS是由發(fā)送源節(jié)點(diǎn)NSource生成的隨機(jī)數(shù)�����;
MIC1字段表示消息完整性驗(yàn)證碼���,由發(fā)送源節(jié)點(diǎn)NSource利用其與交換設(shè)備SWFirst之間的密鑰KEYS對(duì)第一密鑰協(xié)商請(qǐng)求分組中本字段外的其他字段通過雜湊函數(shù)計(jì)算得到的雜湊值�。
3.根據(jù)權(quán)利要求2所述的節(jié)點(diǎn)間密鑰的建立方法�,其特征在于所述步驟2)中交換設(shè)備SWFirst收到第一密鑰協(xié)商請(qǐng)求分組后發(fā)送第二密鑰協(xié)商請(qǐng)求分組給交換設(shè)備SWLast,其具體實(shí)現(xiàn)方式是
2.1)利用其與發(fā)送源節(jié)點(diǎn)NSource之間的密鑰KEYS驗(yàn)證MIC1是否正確�,若不正確���,則丟棄該分組���;否則,執(zhí)行2.2)�;
2.2)利用其與發(fā)送源節(jié)點(diǎn)NSource之間的密鑰KEYS解密E1(NonceS)字段,得到發(fā)送源節(jié)點(diǎn)NSource的詢問NonceS����;
2.3)構(gòu)造第二密鑰協(xié)商請(qǐng)求分組發(fā)送給交換設(shè)備SWLast�,所述第二密鑰協(xié)商請(qǐng)求分組包括IDSource字段�����、IDDestination字段���、E2(NonceS)字段以及MIC2字段���,其中
IDSource字段表示發(fā)送源節(jié)點(diǎn)NSource的標(biāo)識(shí);
IDDestination字段表示目的節(jié)點(diǎn)NDestination的標(biāo)識(shí)��,其值同收到的第一密鑰協(xié)商請(qǐng)求分組中的IDDestination字段的值����;
E2(NonceS)字段表示發(fā)送源節(jié)點(diǎn)NSource的詢問資料數(shù)據(jù),由交換設(shè)備SWFirst利用其與交換設(shè)備SWLast之間的密鑰KEYF-L對(duì)解密得到的發(fā)送源節(jié)點(diǎn)NSource的詢問NonceS加密后的數(shù)據(jù)�����;
MIC2字段表示消息完整性驗(yàn)證碼��,由交換設(shè)備SWFirst利用其與交換設(shè)備SWLast之間的密鑰KEYF-L對(duì)第二密鑰協(xié)商請(qǐng)求分組中本字段外的其他字段通過雜湊函數(shù)計(jì)算得到的雜湊值��。
4.根據(jù)權(quán)利要求3所述的節(jié)點(diǎn)間密鑰的建立方法,其特征在于所述步驟3)中交換設(shè)備SWLast收到第二密鑰協(xié)商請(qǐng)求分組后發(fā)送第三密鑰協(xié)商請(qǐng)求分組給目的節(jié)點(diǎn)NDestination��,其具體實(shí)現(xiàn)方式是
3.1)利用其與交換設(shè)備SWFirst之間的密鑰KEYF-L驗(yàn)證MIC2是否正確�,若不正確,則丟棄該分組��;否則���,執(zhí)行3.2)����;
3.2)利用其與交換設(shè)備SWFirst之間的密鑰KEYF-L解密E2(NonceS)字段�����,得到發(fā)送源節(jié)點(diǎn)NSource的詢問NonceS�����;
3.3)構(gòu)造第三密鑰協(xié)商請(qǐng)求分組發(fā)送給目的節(jié)點(diǎn)NDestination����,所述第三密鑰協(xié)商請(qǐng)求分組包括IDSource字段�、E3(NonceS)字段以及MIC3字段���,其中
IDSource字段表示發(fā)送源節(jié)點(diǎn)NSource的標(biāo)識(shí),其值同收到的第二密鑰協(xié)商請(qǐng)求分組中的IDSource字段的值����;
E3(NonceS)字段表示發(fā)送源節(jié)點(diǎn)NSource的詢問資料數(shù)據(jù),由交換設(shè)備SWLast用其與目的節(jié)點(diǎn)NDestination之間的密鑰KEYD對(duì)解密得到的發(fā)送源節(jié)點(diǎn)NSource的詢問NonceS加密后的數(shù)據(jù)���;
MIC3字段表示消息完整性驗(yàn)證碼��,由交換設(shè)備SWLast用其與目的節(jié)點(diǎn)NDestination之間的密鑰KEYD對(duì)第三密鑰協(xié)商請(qǐng)求分組中本字段外的其他字段通過雜湊函數(shù)計(jì)算得到的雜湊值�。
5.根據(jù)權(quán)利要求4所述的節(jié)點(diǎn)間密鑰的建立方法����,其特征在于所述步驟4)中目的節(jié)點(diǎn)NDestination收到第三密鑰協(xié)商請(qǐng)求分組后發(fā)送第三密鑰協(xié)商響應(yīng)分組給交換設(shè)備SWLast,其具體實(shí)現(xiàn)方式是
4.1)利用與交換設(shè)備SWLast之間的密鑰KEYD驗(yàn)證MIC3是否正確���,若不正確�����,則丟棄該分組����;否則,執(zhí)行4.2)��;
4.2)利用與交換設(shè)備SWLast之間的密鑰KEYD解密E3(NonceS)字段�,得到發(fā)送源節(jié)點(diǎn)NSource的詢問NonceS;
4.3)生成一隨機(jī)數(shù)作為目的節(jié)點(diǎn)NDestination的詢問NonceD��,通過單向函數(shù)F(IDSource����,IDDestination,NonceS����,NonceD)計(jì)算得到與發(fā)送源節(jié)點(diǎn)NSource之間的共享密鑰KEYS-D;
4.4)構(gòu)造第三密鑰協(xié)商響應(yīng)分組發(fā)送給交換設(shè)備SWLast��,所述第三密鑰協(xié)商響應(yīng)分組包括IDSource字段���、E4(NonceS||NonceD)字段以及MIC4字段��,其中
IDSource字段表示發(fā)送源節(jié)點(diǎn)NSource的標(biāo)識(shí)���,其值同收到的第三密鑰協(xié)商請(qǐng)求分組中的IDSource字段的值����;
E4(NonceS||NonceD)字段表示發(fā)送源節(jié)點(diǎn)NSource和目的節(jié)點(diǎn)NDestination的詢問資料數(shù)據(jù)����,由目的節(jié)點(diǎn)NDestination利用與交換設(shè)備SWLast之間的密鑰KEYD對(duì)發(fā)送源節(jié)點(diǎn)NSource的詢問NonceS及目的節(jié)點(diǎn)NDestination的詢問NonceD加密后的數(shù)據(jù)���;
MIC4字段表示消息完整性驗(yàn)證碼�����,由目的節(jié)點(diǎn)NDestination利用與交換設(shè)備SWLast之間的密鑰KEYD對(duì)第三密鑰協(xié)商響應(yīng)分組中本字段外的其他字段通過雜湊函數(shù)計(jì)算得到的雜湊值����。
6.根據(jù)權(quán)利要求5所述的節(jié)點(diǎn)間密鑰的建立方法�,其特征在于所述步驟5)中交換設(shè)備SWLast收到第三密鑰協(xié)商響應(yīng)分組后發(fā)送第二密鑰協(xié)商響應(yīng)分組給交換設(shè)備SWFirst,其具體實(shí)現(xiàn)方式是
5.1)比較IDSource字段與之前發(fā)送的第三密鑰協(xié)商請(qǐng)求分組中IDSource字段值是否一致�����,若不一致����,則丟棄該分組;否則,執(zhí)行5.2)�����;
5.2)利用與目的節(jié)點(diǎn)NDestination之間的密鑰KEYD驗(yàn)證MIC3是否正確�����,若不正確���,則丟棄該分組���;否則,執(zhí)行5.3)��;
5.3)利用與目的節(jié)點(diǎn)NDestination之間的密鑰KEYD解密E4(NonceS||NonceD)字段���,即可得到發(fā)送源節(jié)點(diǎn)NSource的詢問NonceS及目的節(jié)點(diǎn)NDestination的詢問NonceD�;
5.4)比較解密得到的發(fā)送源節(jié)點(diǎn)NSource的詢問NonceS值與步驟3.2)中得到的NonceS值是否相同����,若不同,則丟棄該分組���;否則�����,執(zhí)行5.5)�;
5.5)構(gòu)造第二密鑰協(xié)商響應(yīng)分組發(fā)送給交換設(shè)備SWFirst���,所述第二密鑰協(xié)商響應(yīng)分組包括IDSource字段�����、IDDestination字段���、E5(NonceS||NonceD)字段以及MIC5字段,其中
IDSource字段表示發(fā)送源節(jié)點(diǎn)NSource的標(biāo)識(shí)�����,其值同收到的第二密鑰協(xié)商請(qǐng)求分組中的IDSource字段的值�;
IDDestination字段表示目的節(jié)點(diǎn)NDestination的標(biāo)識(shí),其值同收到的第二密鑰協(xié)商請(qǐng)求分組中的IDDestination字段的值���;
E5(NonceS||NonceD)字段表示發(fā)送源節(jié)點(diǎn)NSource和目的節(jié)點(diǎn)NDestination的詢問資料數(shù)據(jù)����,由交換設(shè)備SWLast利用與交換設(shè)備SWFirst之間的密鑰KEYF-L對(duì)發(fā)送源節(jié)點(diǎn)NSource的詢問NonceS及目的節(jié)點(diǎn)NDestination的詢問NonceD加密后的數(shù)據(jù);
MIC5字段表示消息完整性驗(yàn)證碼��,由交換設(shè)備SWLast利用與交換設(shè)備SWFirst之間的密鑰KEYF-L對(duì)第二密鑰協(xié)商響應(yīng)分組中本字段外的其他字段通過雜湊函數(shù)計(jì)算得到的雜湊值�。
7.根據(jù)權(quán)利要求6所述的節(jié)點(diǎn)間密鑰的建立方法,其特征在于所述步驟6)中交換設(shè)備SWFirst收到第二密鑰協(xié)商響應(yīng)分組后發(fā)送第一密鑰協(xié)商響應(yīng)分組給發(fā)送源節(jié)點(diǎn)NSource����,其具體實(shí)現(xiàn)方式是
6.1)檢查分組中的IDSource字段、IDDestination字段與之前發(fā)送給交換設(shè)備SWLast的第二密鑰協(xié)商請(qǐng)求分組中對(duì)應(yīng)字段值是否一致���,若不一致����,則丟棄該分組�;否則,執(zhí)行6.2)���;
6.2)利用與交換設(shè)備SWLast之間的密鑰KEYF-L驗(yàn)正MIC5是否正確����,若不正確��,則丟棄該分組;否則��,執(zhí)行6.3)��;
6.3)利用與交換設(shè)備SWLast之間的密鑰KEYF-L解密E5(NonceS||NonceD)字段���,即可得到發(fā)送源節(jié)點(diǎn)NSource的詢問NonceS及目的節(jié)點(diǎn)NDestination的詢問NonceD;
6.4)比較解密得到的發(fā)送源節(jié)點(diǎn)NSource的詢問NonceS值與步驟2.2)中得到的NonceS值是否一致��,若不一致�,則丟棄該分組;否則��,執(zhí)行6.5)�����;
6.5)構(gòu)造第一密鑰協(xié)商響應(yīng)分組發(fā)送給發(fā)送源節(jié)點(diǎn)NSource�,所述第一密鑰協(xié)商響應(yīng)分組包括IDDestination字段、E6(NonceS||NonceD)字段以及MIC6字段���,其中
IDDestination字段表示目的節(jié)點(diǎn)NDestination的標(biāo)識(shí)�����,其值同收到的第一密鑰協(xié)商請(qǐng)求分組中的IDDestination字段的值�����;
E6(NonceS||NonceD)字段表示發(fā)送源節(jié)點(diǎn)NSource和目的節(jié)點(diǎn)NDestination的詢問資料數(shù)據(jù)�,由交換設(shè)備SWFirst用其與發(fā)送源節(jié)點(diǎn)NSource之間的密鑰KEYS對(duì)發(fā)送源節(jié)點(diǎn)NSource的詢問NonceS及目的節(jié)點(diǎn)NDestination的詢問NonceD加密后的數(shù)據(jù);
MIC6字段表示消息完整性驗(yàn)證碼�,由交換設(shè)備SWFirst用其與發(fā)送源節(jié)點(diǎn)NSource之間的密鑰KEYS對(duì)第一密鑰協(xié)商響應(yīng)分組中本字段外的其他字段通過雜湊函數(shù)計(jì)算得到的雜湊值。
8.根據(jù)權(quán)利要求7所述的節(jié)點(diǎn)間密鑰的建立方法�����,其特征在于所述步驟7)的具體實(shí)現(xiàn)方式是
7.1)檢查分組中的IDDestination字段與之前發(fā)送給交換設(shè)備SWFirst的第一密鑰協(xié)商請(qǐng)求分組中IDDestination字段值是否一致��,若不一致��,則丟棄該分組����;否則,執(zhí)行7.2)����;
7.2)利用與交換設(shè)備SWFirst之間的密鑰KEYS驗(yàn)證MIC6是否正確,若不正確�����,則丟棄該分組;否則�,執(zhí)行7.3);
7.3)利用與交換設(shè)備SWFirst之間的密鑰KEYS解密E6(NonceS||NonceD)字段����,即可得到發(fā)送源節(jié)點(diǎn)NSource的詢問NonceS及目的節(jié)點(diǎn)NDestination的詢問NonceD;
7.4)比較解密得到的發(fā)送源節(jié)點(diǎn)NSource的詢問NonceS值與在步驟1)中生成并使用的隨機(jī)數(shù)NonceS值是否一致��,若不一致��,則丟棄該分組����;否則��,執(zhí)行7.5)��;
7.5)通過單向函數(shù)F(IDSource�,IDDestination,NonceS�,NonceD)計(jì)算得到與目的節(jié)點(diǎn)NDestination之間的共享密鑰KEYS-D,即完成發(fā)送源節(jié)點(diǎn)NSource和目的節(jié)點(diǎn)NDestination之間共享密鑰KEYS-D的建立過程���,此后發(fā)送源節(jié)點(diǎn)NSource和目的節(jié)點(diǎn)NDestination之間可采用該共享密鑰KEYS-D進(jìn)行秘密通信����。
9.一種節(jié)點(diǎn)間密鑰的建立系統(tǒng),其特征在于所述節(jié)點(diǎn)間密鑰的建立系統(tǒng)包括向交換設(shè)備SWFirst發(fā)送第一密鑰協(xié)商請(qǐng)求分組���、接收交換設(shè)備SWFirst發(fā)送的第一密鑰協(xié)商響應(yīng)分組的發(fā)送源節(jié)點(diǎn)NSource��;接收發(fā)送源節(jié)點(diǎn)NSource發(fā)送的第一密鑰協(xié)商請(qǐng)求分組���、向交換設(shè)備SWLast發(fā)送第二密鑰協(xié)商請(qǐng)求分組、接收交換設(shè)備SWLast發(fā)送的第二密鑰協(xié)商響應(yīng)分組�����、向發(fā)送源節(jié)點(diǎn)NSource發(fā)送第一密鑰協(xié)商響應(yīng)分組的交換設(shè)備SWFirst���;接收交換設(shè)備SWFirst發(fā)送的第二密鑰協(xié)商請(qǐng)求分組����、向目的節(jié)點(diǎn)NDestination發(fā)送第三密鑰協(xié)商請(qǐng)求分組�、接收目的節(jié)點(diǎn)NDestination發(fā)送的第三密鑰協(xié)商響應(yīng)分組、向交換設(shè)備SWFirst發(fā)送第二密鑰協(xié)商響應(yīng)分組的交換設(shè)備SWLast�;接收交換設(shè)備SWLast發(fā)送的第三密鑰協(xié)商請(qǐng)求分組����、向交換設(shè)備SWLast發(fā)送第三密鑰協(xié)商響應(yīng)分組的目的節(jié)點(diǎn)NDestination��。
全文摘要
一種節(jié)點(diǎn)間密鑰的建立方法�,該方法包括以下步驟1)發(fā)送源節(jié)點(diǎn)NSource發(fā)送第一密鑰協(xié)商請(qǐng)求分組給交換設(shè)備SWFirst;2)交換設(shè)備SWFirst發(fā)送第二密鑰協(xié)商請(qǐng)求分組給交換設(shè)備SWLast�����;3)交換設(shè)備SWLast發(fā)送第三密鑰協(xié)商請(qǐng)求分組給目的節(jié)點(diǎn)NDestination����;4)目的節(jié)點(diǎn)NDestination發(fā)送第三密鑰協(xié)商響應(yīng)分組給交換設(shè)備SWLast;5)交換設(shè)備SWLast發(fā)送第二密鑰協(xié)商響應(yīng)分組給交換設(shè)備SWFirst��;6)交換設(shè)備SWFirst發(fā)送第一密鑰協(xié)商響應(yīng)分組給發(fā)送源節(jié)點(diǎn)NSource�;7)發(fā)送源節(jié)點(diǎn)NSource接收第一密鑰協(xié)商響應(yīng)分組���。局域網(wǎng)合法節(jié)點(diǎn)之間可以靈活建立及更新它們之間的密鑰����,無需管理員為全網(wǎng)節(jié)點(diǎn)兩兩之間部署共享的靜態(tài)密鑰對(duì)�����。
文檔編號(hào)H04L29/06GK101814987SQ20101015967
公開日2010年8月25日 申請(qǐng)日期2010年4月29日 優(yōu)先權(quán)日2010年4月29日
發(fā)明者鐵滿霞, 曹軍, 李琴, 黃振海 申請(qǐng)人:西安西電捷通無線網(wǎng)絡(luò)通信股份有限公司