一种邻居用户终端间保密通信方法及系统的利记博彩app

文档序号:7756686阅读:444来源:国知局
导航: 利记体育> 最新专利>电子通信装置的制造及其应用技术
专利名称:一种邻居用户终端间保密通信方法及系统的利记博彩app
技术领域
本发明涉及通信网络安全应用领域,尤其涉及一种邻居用户终端间保密通信方法 及系统。
背景技术
有线局域网一般为广播型网络,一个节点发出的数据,其他节点都能收到。网络上 的各个节点共享信道,这给网络带来了极大的安全隐患。攻击者只要接入网络进行监听,就 可以捕获网络上所有的数据包,从而窃取关键信息。在局域网媒体访问控制安全技术TLSec安全网络架构下,可以使用一种三段式的 保密通信方法来保护以太网,实现MAC层数据保密传输。这种三段式的保密通信方法,需要 利用交换路由探寻机制得到从发送端到接收端的数据包经过的第一个和最后一个加密交 换设备(支持TLSec的交换设备)的信息,然后根据得到的交换路由信息发起数据保密通 信。这种机制适用于从发送端到接收端一定会经过加密交换设备的网络拓扑,对于发送端 到接收端不会经过加密交换设备的拓扑场景,也就是对于邻居用户终端之间,需要通过鉴 别来建立共享密钥,保证相互之间的数据保密传输。若在一个24 口的hub下面连接了 24 个用户终端,那么这24个用户终端之间就需要两两进行鉴别来建立共享密钥,无疑会增加 网络的负担。若网络是由加密交换设备和非加密交换设备(不支持TLSec的交换设备)混合组 成,则从发送端到接收端不经过任何加密交换设备的拓扑场景就更多,若这些通信双方之 间均通过鉴别来建立共享密钥,网络负担将更大。

发明内容
为了解决背景技术中存在的上述技术问题,本发明提供了一种邻居用户终端间保 密通信方法及系统,以解决背景技术中所述的不经过任何加密交换设备的邻居用户终端间 若通过鉴别建立共享密钥增大网络负担的问题。本发明的技术解决方案是一种邻居用户终端间保密通信方法,其特殊之处在于 该方法包括以下步骤1)选择邻居加密交换设备;2)建立站间密钥;3)进行数据保密通信。上述步骤1)的具体实现方式是1. 1. 1)第一用户终端STAl发送邻居加密交换设备选择请求分组给第二用户终端 STA2 ;所述邻居加密交换设备选择请求分组中包括第一用户终端STAl的邻居加密交换设 备的信息列表;1. 1. 2)第二用户终端STA2收到第一用户终端STAl发送的邻居加密交换设备选择 请求分组后,查看第二用户终端STA2的邻居加密交换设备列表,选择一个和第一用户终端STAl共有的邻居加密交换设备,构造邻居加密交换设备选择响应分组发送给第一用户终端 STAl ;所述邻居加密交换设备选择响应分组中包括第二用户终端STA2选择的和第一用户 终端STAl共有的邻居加密交换设备的信息;1. 1. 3)第一用户终端STAl收到第二用户终端STA2发送的邻居加密交换设备选择 响应分组后,提取第二用户终端STA2选择的和自己共有的邻居加密交换设备的信息。上述步骤1)的具体实现方式是1. 2. 1)第一用户终端STAl发送邻居加密交换设备选择请求分组给第二用户终端 STA2 ;所述邻居加密交换设备选择请求分组中包括第一用户终端STAl的邻居加密交换设 备的信息列表字段以及第一用户终端STAl支持的加密算法安全参数套件列表字段;1. 2. 2)第二用户终端STA2收到第一用户终端STAl发送的邻居加密交换设备选择 请求分组后,根据分组中的第一用户终端STAl的邻居加密交换设备列表信息字段以及第 一用户终端STAl支持的加密算法安全参数套件列表字段,选择一个和第一用户终端STAl 共有的邻居加密交换设备及一个和第一用户终端STAl均支持的加密算法安全参数套件, 构造邻居加密交换设备选择响应分组发送给第一用户终端STAl ;所述邻居加密交换设备 选择响应分组中包括第二用户终端STA2选择的和第一用户终端STAl共有的邻居加密交换 设备的信息以及第二用户终端STA2从第一用户终端STAl支持的加密算法安全参数套件列 表中选择的一个第二用户终端STA2也支持的加密算法等安全参数套件字段;1. 2. 3)第一用户终端STAl收到第二用户终端STA2发送的邻居加密交换设备选择 响应分组后,提取第二用户终端STA2选择的和自己共有的邻居加密交换设备的信息以及 第二用户终端STA2选择双方均支持的加密算法安全参数套件。上述步骤2)的具体实现方式是2. 1. 1)第一用户终端STAl发送站间密钥请求分组给加密交换设备ESW-B,请求协 助建立与第二用户终端STA2之间的站间密钥;所述站间密钥请求分组中包括第二用户终 端STA2的标识信息;2. 1. 2)加密交换设备ESW-B收到第一用户终端STAl发送的站间密钥请求分组 后,生成一随机数作为第一用户终端STAl与第二用户终端STA2之间的站间密钥STAKeyi_2, 构造站间密钥通告分组发送给第二用户终端STA2 ;所述站间密钥通告分组中包括第一用 户终端STAl的标识信息及用加密交换设备ESW-B与第二用户终端STA2之间的共享密钥 KEYb_2进行保护的STAKeyi_2的加密信息字段;2. 1. 3)第二用户终端STA2收到加密交换设备ESW-B发送的站间密钥通告分组后, 利用第二用户终端STA2与加密交换设备ESW-B之间的密钥KEYb_2解密STAKey"的加密信 息字段得到STAKeyi_2信息,即得到与第一用户终端STAl之间的站间密钥;然后构造站间密 钥通告响应分组发送给加密交换设备ESW-B ;所述站间密钥通告响应分组中包括第一用户 终端STAl的标识信息;2. 1. 4)加密交换设备ESW-B收到第二用户终端STA2发送的站间密钥通告响应分 组后,得知第二用户终端STA2已收到与第一用户终端STAl之间的站间密钥信息,构造站 间密钥响应分组发送给第一用户终端STAl ;所述站间密钥响应分组中包括第二用户终端 STA2的标识信息及用加密交换设备ESW-B与第一用户终端STAl之间的共享密钥KEY^1进 行保护的STAKeyi_2的加密信息字段;
2. 1. 5)第一用户终端STAl收到加密交换设备ESW-B发送的站间密钥响应分组后, 利用第一用户终端STAl与加密交换设备ESW-B之间的密钥KEYp1解密STAKey"的加密信 息字段得到STAKeyi_2信息,即得到与第二用户终端STA2之间的站间密钥。上述步骤3)的具体实现方式是通过步骤2)站间密钥建立过程建立第一用户终 端STAl与第二用户终端STA2之间的站间密钥STAKey^后,第一用户终端STAl与第二用 户终端STA2之间就可以利用该站间密钥进行数据保密通信从第一用户终端STAl发送到 第二用户终端STA2的数据由第一用户终端STAl利用STAKeyi_2进行加密发送,第二用户终 端STA2收到后利用STAKeyi_2进行解密;从第二用户终端STA2发送到第一用户终端STAl 的数据由第二用户终端STA2利用STAKeyi_2进行加密发送,第一用户终端STAl收到后利用 STAKeyi_2进行解密。上述步骤2)的具体实现方式是2. 2. 1)第一用户终端STAl发送站间密钥请求分组给加密交换设备ESW-B,请求协 助建立与第二用户终端STA2之间的站间密钥;所述站间密钥请求分组中包括第二用户终 端STA2的标识信息以及消息完整性验证码MIC字段,所述消息完整性验证码MICl字段是 第一用户终端STAl利用与加密交换设备ESW-B之间的共享密钥KEYp1对分组中除MICl字 段外其他字段通过杂凑函数计算得到的杂凑值;2. 2. 2)加密交换设备ESW-B收到第一用户终端STAl发送的站间密钥请求分组后, 首先验证消息完整性验证码MICl字段是否正确,若不正确,则丢弃该分组,若正确,则生成 一随机数作为第一用户终端STAl与第二用户终端STA2之间的站间密钥STAKeyi_2,构造站 间密钥通告分组发送给第二用户终端STA2 ;所述站间密钥通告分组中包括第一用户终端 STAl的标识信息及用加密交换设备ESW-B与第二用户终端STA2之间的共享密钥KEYB_2进 行保护的STAKey"的加密信息字段以及消息完整性验证码MIC2字段;所述消息完整性验 证码MIC2字段是加密交换设备ESW-B利用与第二用户终端STA2之间的共享密钥KEYB_2对 分组中除MIC2字段外其他字段通过杂凑函数计算得到的杂凑值;2. 2. 3)第二用户终端STA2收到加密交换设备ESW-B发送的站间密钥通告分组后, 首先验证消息完整性验证码MIC2字段是否正确,若不正确,则丢弃该分组;若正确,则利用 第二用户终端STA2与加密交换设备ESW-B之间的密钥KEYb_2解密STAKey"的加密信息字 段得到STAKeyi_2信息,即得到与第一用户终端STAl之间的站间密钥;然后构造站间密钥通 告响应分组发送给加密交换设备ESW-B ;所述站间密钥通告响应分组中包括第一用户终端 STAl的标识信息及消息完整性验证码MIC3字段;所述消息完整性验证码MIC3字段是第二 用户终端STA2利用与加密交换设备ESW-B之间的共享密钥KEYb_2对分组中除MIC3字段外 其他字段通过杂凑函数计算得到的杂凑值;2. 2. 4)加密交换设备ESW-B收到第二用户终端STA2发送的站间密钥通告响应分 组后,首先验证消息完整性验证码MIC3字段是否正确,若不正确,则丢弃该分组;若正确, 则得知第二用户终端STA2已收到与第一用户终端STAl之间的站间密钥信息,构造站间密 钥响应分组发送给第一用户终端STAl ;所述站间密钥响应分组中包括第二用户终端STA2 的标识信息及用加密交换设备ESW-B与第一用户终端STAl之间的共享密钥KEYp1进行保 护的STAKey"的加密信息字段以及消息完整性验证码MIC4字段;所述消息完整性验证码 MIC4字段是加密交换设备ESW-B利用与第一用户终端STAl之间的共享密钥KEYp1对分组中除MIC4字段外其他字段通过杂凑函数计算得到的杂凑值; 2. 2. 5)第一用户终端STAl收到加密交换设备ESW-B发送的站间密钥响应分组后, 首先验证消息完整性验证码MIC4字段是否正确,若不正确,则丢弃该分组;若正确,则利用 第一用户终端STAl与加密交换设备ESW-B之间的密钥KEYp1解密STAKey"的加密信息字 段得到STAKeyi_2信息,即得到与第二用户终端STA2之间的站间密钥。
上述步骤2)的具体实现方式是2. 3. 1)第一用户终端STAl发送站间密钥请求分组给加密交换设备ESW-B,请求协 助建立与第二用户终端STA2之间的站间密钥;所述站间密钥请求分组中包括第二用户终 端STA2的标识信息以及第一用户终端STAl支持的加密算法安全参数套件列表字段;2. 3. 2)加密交换设备ESW-B收到第一用户终端STAl发送的站间密钥请求分组 后,生成一随机数作为第一用户终端STAl与第二用户终端STA2之间的站间密钥STAKeyi_2, 构造站间密钥通告分组发送给第二用户终端STA2 ;所述站间密钥通告分组中包括第一用 户终端STAl的标识信息及用加密交换设备ESW-B与第二用户终端STA2之间的共享密钥 KEYb_2进行保护的STAKey"的加密信息字段以及第一用户终端STAl支持的加密算法安全 参数套件列表字段;2. 3. 3)第二用户终端STA2收到加密交换设备ESW-B发送的站间密钥通告分组后, 利用第二用户终端STA2与加密交换设备ESW-B之间的密钥KEYb_2解密STAKey"的加密信 息字段得到STAKeyi_2信息,即得到与第一用户终端STAl之间的站间密钥;然后构造站间密 钥通告响应分组发送给加密交换设备ESW-B ;所述站间密钥通告响应分组包括第一用户终 端STAl的标识信息及第二用户终端STA2从第一用户终端STAl支持的加密算法安全参数 套件列表中选择的一个第二用户终端STA2也支持的加密算法安全参数套件字段;2. 3. 4)加密交换设备ESW-B收到第二用户终端STA2发送的站间密钥通告响应分 组后,得知第二用户终端STA2已收到与第一用户终端STAl之间的站间密钥信息,构造站 间密钥响应分组发送给第一用户终端STAl ;所述站间密钥响应分组中包括第二用户终端 STA2的标识信息及用加密交换设备ESW-B与第一用户终端STAl之间的共享密钥KEY^1进 行保护的STAKeyi_2的加密信息以及第二用户终端STA2选择的加密算法安全参数套件字 段;2. 3. 5)第一用户终端STAl收到加密交换设备ESW-B发送的站间密钥响应分组后, 利用第一用户终端STAl与加密交换设备ESW-B之间的密钥KEYp1解密STAKey"的加密信 息字段得到STAKey"信息,即得到与第二用户终端STA2之间的站间密钥,同时提取第二用 户终端STA2选择的加密算法安全参数套件信息保存。上述步骤2)的具体实现方式是2. 4. 1)第一用户终端STAl发送站间密钥请求分组给加密交换设备ESW-B,请求协 助建立与第二用户终端STA2之间的站间密钥;所述站间密钥请求分组中包括第二用户终 端STA2的标识信息、消息完整性验证码MICl字段以及第一用户终端STAl支持的加密算法 安全参数套件列表字段;所述消息完整性验证码MICl字段是第一用户终端STAl利用与加 密交换设备ESW-B之间的共享密钥KEYp1对分组中除MICl字段外其他字段通过杂凑函数 计算得到的杂凑值;2. 4. 2)加密交换设备ESW-B收到第一用户终端STAl发送的站间密钥请求分组后,首先验证消息完整性验证码MIC字段是否正确,若不正确,则丢弃该分组;若正确,则生成 一随机数作为第一用户终端STAl与第二用户终端STA2之间的站间密钥STAKeyi_2,构造站 间密钥通告分组发送给第二用户终端STA2 ;所述站间密钥通告分组中包括第一用户终端 STAl的标识信息及用加密交换设备ESW-B与第二用户终端STA2之间的共享密钥KEYB_2进 行保护的STAKeyi_2的加密信息字段、消息完整性验证码MIC2字段以及第一用户终端STAl 支持的加密算法安全参数套件列表字段;所述消息完整性验证码MIC2字段是加密交换设 备ESW-B利用与第二用户终端STA2之间的共享密钥KEYb_2对分组中除MIC2字段外其他字 段通过杂凑函数计算得到的杂凑值;2. 4. 3)第二用户终端STA2收到加密交换设备ESW-B发送的站间密钥通告分组后, 首先验证消息完整性验证码MIC2字段是否正确,若不正确,则丢弃该分组;若正确,则利用 第二用户终端STA2与加密交换设备ESW-B之间的密钥KEYb_2解密STAKey"的加密信息字 段得到STAKeyi_2信息,即得到与第一用户终端STAl之间的站间密钥;然后构造站间密钥 通告响应分组发送给加密交换设备ESW-B ;所述站间密钥通告响应分组包括第一用户终端 STAl的标识信息、第二用户终端STA2从第一用户终端STAl支持的加密算法安全参数套件 列表中选择的一个第二用户终端STA2也支持的加密算法安全参数套件字段及消息完整性 验证码MIC3字段;所述消息完整性验证码MIC3字段是第二用户终端STA2利用与加密交换 设备ESW-B之间的共享密钥KEYb_2对分组中除MIC3字段外其他字段通过杂凑函数计算得 到的杂凑值;2. 4. 4)加密交换设备ESW-B收到第二用户终端STA2发送的站间密钥通告响应分 组后,首先验证消息完整性验证码MIC3字段是否正确,若不正确,则丢弃该分组;若正确, 则得知第二用户终端STA2已收到与第一用户终端STAl之间的站间密钥信息,构造站间密 钥响应分组发送给第一用户终端STAl ;所述站间密钥响应分组中包括第二用户终端STA2 的标识信息及用加密交换设备ESW-B与第一用户终端STAl之间的共享密钥KEYp1进行保 护的STAKeyi_2的加密信息字段、消息完整性验证码MIC字段以及第二用户终端STA2选择的 加密算法安全参数套件字段及消息完整性验证码MIC4字段;所述消息完整性验证码MIC4 字段是加密交换设备ESW-B利用与第一用户终端STAl之间的共享密钥KEYp1对分组中除 MIC4字段外其他字段通过杂凑函数计算得到的杂凑值;;2. 4. 5)第一用户终端STAl收到加密交换设备ESW-B发送的站间密钥响应分组后, 首先验证消息完整性验证码MIC4字段是否正确,若不正确,则丢弃该分组;若正确,则利用 第一用户终端STAl与加密交换设备ESW-B之间的密钥KEYp1解密STAKey"的加密信息字 段得到STAKey"信息,即得到与第二用户终端STA2之间的站间密钥,同时提取第二用户终 端STA2选择的加密算法安全参数套件信息保存。上述步骤3)的具体实现方式是通过步骤2)站间密钥建立过程建立第一用户终 端STAl与第二用户终端STA2之间的站间密钥STAKey^后,第一用户终端STAl与第二用 户终端STA2之间就可以利用该站间密钥进行数据保密通信从第一用户终端STAl发送到 第二用户终端STA2的数据由第一用户终端STAl利用STAKeyi_2进行加密发送,第二用户终 端STA2收到后利用STAKeyi_2进行解密;从第二用户终端STA2发送到第一用户终端STAl 的数据由第二用户终端STA2利用STAKeyi_2进行加密发送,第一用户终端STAl收到后利用 STAKeyi_2进行解密。
一种邻居用户终端间保密通信系统,其特殊之处在于所述系统包括互为邻居的 第一用户终端STAl以及第二用户终端STA2、第一用户终端STAl和第二用户终端STA2共有 的邻居加密交换设备ESW-B以及能接收到第一用户终端STAl与第二用户终端STA2之间的 数据包的一般中间设备;所述第一用户终端STAl发送邻居加密交换设备选择请求分组给 第二用户终端STA2 ;第二用户终端STA2收到第一用户终端STAl发送的邻居加密交换设备 选择请求分组后,构造邻居加密交换设备选择响应分组发送给第一用户终端STAl ;所述第 一用户终端STAl发送站间密钥请求分组给加密交换设备ESW-B ;所述加密交换设备ESW-B 收到第一用户终端STAl发送的站间密钥请求分组后,构造站间密钥通告分组发送给第二 用户终端STA2 ;所述第二用户终端STA2收到加密交换设备ESW-B发送的站间密钥通告分 组后,构造站间密钥通告响应分组发送给加密交换设备ESW-B ;所述加密交换设备ESW-B收 到第二用户终端STA2发送的站间密钥通告响应分组后,构造站间密钥响应分组发送给第 一用户终端STAl ;所述第一用户终端STAl接收加密交换设备ESW-B发送的站间密钥响应 分组。本发明的优点是本发明所提供的邻居用户终端间保密通信方法及系统在安全网 络架构下,邻居用户终端间进行保密通信时,利用他们之间共有的邻居交换设备为他们建 立站间密钥,后续的通信就可以直接使用该站间密钥实现数据的保密传输。该方法中,需要 进行保密通信的邻居用户终端间不需要两两进行身份鉴别,从而减少了网络负担。


图1是本发明所提供的邻居用户终端间保密通信系统的工作简图;图2是本发明的方法流程图。
具体实施例方式本发明所给出的一种邻居用户终端间保密通信方法中,定义两个用户终端间的数 据包不会经过任意一个加密交换设备,则这两个用户终端相互为邻居用户终端。邻居用户 终端间的数据包会经过一个或者多个hub或非加密交换设备,这里将这种hub或非加密交 换设备称为邻居用户终端间的一般中间设备。参见图1、2,STAl表示第一用户终端;STA2表示第二用户终端;ESW-B表示第一 用户终端STAl和第二用户终端STA2共有的邻居加密交换设备;CSW-A表示第一用户终端 STAl与第二用户终端STA2之间的一般中间设备;第一用户终端STAl和ESW-B是邻居,他 们之间已建立共享密钥KEYp1 ;第二用户终端STA2和ESW-B是邻居,他们之间已建立共享 密钥KEYb_2。根据本发明定义,第一用户终端STAl与第二用户终端STA2是邻居用户终端。 以第一用户终端STAl发起与第二用户终端STA2的数据保密通信过程为例进行说明,本发 明所给出的一种邻居用户终端间保密通信方法包括如下过程1)邻居加密交换设备选择过程;邻居加密交换设备选择过程可通过以下步骤来实现1. 1)第一用户终端STAl发送“邻居加密交换设备选择请求分组Ml”给第二用户 终端STA2 ;该分组Ml中包括第一用户终端STAl的邻居加密交换设备的信息列表;1. 2)第二用户终端STA2收到“邻居加密交换设备选择请求分组Ml”后,查看自己的邻居加密交换设备列表,选择一个和第一用户终端STAl共有的邻居加密交换设备,构造 “邻居加密交换设备选择响应分组M2”发送给第一用户终端STAl ;该分组M2中包括第二用 户终端STA2选择的和第一用户终端STAl共有的邻居加密交换设备的信息;1. 3)第一用户终端STAl收到“邻居加密交换设备选择响应分组M2”后,提取第二 用户终端STA2选择的和自己共有的邻居加密交换设备的信息;在具体实施时,上述过程1)邻居加密交换设备选择过程中还可以实现第一用户 终端STAl和第二用户终端STA2之间保密通信时所采用的加密算法等安全参数套件的协 商,具体方法是第一用户终端STAl构造的“邻居加密交换设备选择请求分组Ml”还包括 第一用户终端STAl支持的加密算法等安全参数套件列表字段,对应地第二用户终端STA2 构造的“邻居加密交换设备选择响应分组M2”中还包括第二用户终端STA2从第一用户终 端STAl支持的加密算法等安全参数套件列表中选择的一个第二用户终端STA2也支持的加 密算法等安全参数套件字段。通过上述方法,就可以实现第一用户终端STAl和第二用户终 端STA2之间对保密通信时所采用的加密算法等安全参数套件的协商,后续第一用户终端 STAl和第二用户终端STA2在建立站间密钥后,数据保密通信阶段使用协商确定的加密算 法等安全参数套件。2)站间密钥建立过程;以第一用户终端STAl和第二用户终端STA2通过1)邻居加密交换设备选择过程 选择加密交换设备ESW-B为例进行说明,站间密钥建立过程可通过以下步骤来实现2. 1)第一用户终端STAl发送“站间密钥请求分组M3”给加密交换设备ESW-B,请 求协助建立与STA2之间的站间密钥;该分组M3中包括第二用户终端STA2的标识信息;2. 2)加密交换设备ESW-B收到“站间密钥请求分组M3”后,生成一随机数作为第 一用户终端STAl与第二用户终端STA2之间的站间密钥STAKeyi_2,构造“站间密钥通告分 组M4”发送给第二用户终端STA2 ;该分组M4中包括第一用户终端STAl的标识信息及用加 密交换设备ESW-B与第二用户终端STA2之间的共享密钥KEYb_2进行保护的STAKey"的加 密信息字段;2. 3)第二用户终端STA2收到“站间密钥通告分组M4”后,利用其与加密交换设备 ESff-B之间的密钥KEYb_2解密STAKeyi_2的加密信息字段得到STAKeyi_2信息,即得到与第一 用户终端STAl之间的站间密钥;然后构造“站间密钥通告响应分组M5”发送给加密交换设 备 ESW-B ;2. 4)加密交换设备ESW-B收到“站间密钥通告响应分组M5”后,得知第二用户终 端STA2已收到与第一用户终端STAl之间的站间密钥信息,构造“站间密钥响应分组M6”发 送给第一用户终端STAl ;该分组M6中包括第二用户终端STA2的标识信息及用加密交换设 备ESW-B与第一用户终端STAl之间的共享密钥KEYp1进行保护的STAKey"的加密信息字 段;2. 5)第一用户终端STAl收到“站间密钥响应分组M6”后,利用其与加密交换设备 ESff-B之间的密钥KEYp1解密STAKeyi_2的加密信息字段得到STAKeyi_2信息,即得到与第二 用户终端STA2之间的站间密钥。在具体实施时,上述过程2)站间密钥建立过程中各个分组为保证分组消息的完 整性,可在分组中携带消息完整性验证码MIC字段,该字段可利用分组的构造方和接收方之间的共享密钥对分组中除MIC字段外其他字段通过杂凑函数计算得到的杂凑值。对应 地,分组的接收方在接到分组后,首先验EMIC是否正确,若正确则执行上述消息处理过程, 否则就丢弃该分组;在具体实施时,上述过程2)站间密钥建立过程中还可实现第一用户终端STAl和 第二用户终端STA2之间保密通信时所采用的加密算法等安全参数套件的协商,具体方法 是第一用户终端STAl构造的“站间密钥请求分组M3”还包括第一用户终端STAl支持的 加密算法等安全参数套件列表字段,对应地加密交换设备ESW-B构造的“站间密钥通告分 组M4”中还包括第一用户终端STAl支持的加密算法等安全参数套件列表字段;第二用户终 端STA2构造的“站间密钥通告响应分组M5”中还包括第二用户终端STA2从第一用户终端 STAl支持的加密算法等安全参数套件列表中选择的一个第二用户终端STA2也支持的加密 算法等安全参数套件字段;加密交换设备ESW-B构造的“站间密钥通告响应分组M5”中还 包括第二用户终端STA2选择的加密算法等安全参数套件字段。通过上述方法,就可以实现 第一用户终端STAl和第二用户终端STA2之间对保密通信时所采用的加密算法等安全参数 套件的协商,后续第一用户终端STAl和第二用户终端STA2在建立站间密钥后,数据保密通 信阶段使用协商确定的加密算法等安全参数套件。3)数据保密通信过程;在通过上述过程2)站间密钥建立过程建立第一用户终端STAl与第二用户终端 STA2之间的站间密钥STAKey^后,第一用户终端STAl与第二用户终端STA2之间就可以 利用该站间密钥进行数据保密通信。从第一用户终端STAl发送到第二用户终端STA2的 数据由第一用户终端STAl利用STAKeyi_2进行加密发送,第二用户终端STA2收到后利用 STAKey"进行解密;对应地,从第二用户终端STA2发送到第一用户终端STAl的数据由第二 用户终端STA2利用STAKeyi_2进行加密发送,第一用户终端STAl收到后利用STAKeyi_2进行 解密。一种邻居用户终端间保密通信系统包括互为邻居的用户终端STA1、STA2、第一用 户终端STAl和第二用户终端STA2共有的邻居加密交换设备ESW-B以及能接收到第一用户 终端STAl与第二用户终端STA2之间的数据包的一般中间设备。其中第一用户终端STAl 发送“邻居加密交换设备选择请求分组Ml”给第二用户终端STA2,接收第二用户终端STA2 发送的“邻居加密交换设备选择响应分组M2”,发送“站间密钥请求分组M3”给ESW-B,接收 ESW-B发送的“站间密钥请求响应分组M4”,将发送给第二用户终端STA2的数据包用站间密 钥STAKeyi_2加密后发送给第二用户终端STA2,将接收到来自第二用户终端STA2的数据包 用STAKeyi_2解密;第二用户终端STA2接收第一用户终端STAl发送的“邻居加密交换设备 选择请求分组Ml ”,发送“邻居加密交换设备选择响应分组M2”给第一用户终端STAl,接收 ESff-B发送的“站间密钥通告分组M4”,发送“站间密钥通告响应分组M5”给ESW-B,将发送 给第一用户终端STAl的数据包用站间密钥STAKey"加密后发送给第一用户终端STAlJf 接收到来自第一用户终端STAl的数据包用STAKeyi_2解密;第一用户终端STAl和第二用户 终端STA2共有的邻居加密交换设备ESW-B接收第一用户终端STAl发送的“站间密钥请求 分组M3”,发送“站间密钥通告分组M4”给第二用户终端STA2,接收第二用户终端STA2发送 的“站间密钥通告响应分组M5”,发送“站间密钥响应分组M6”给第一用户终端STAl ;—般 中间设备是hub或不支持三段式保密通信机制的非加密交换设备,一般中间设备对于第一用户终端STAl与第二用户终端STA2之间的协议数据以及加密数据包直接进行透传转发。
一种邻居用户终端间保密通信系统中一般中间设备可以是一个,也可以是多个。
权利要求
一种邻居用户终端间保密通信方法,其特征在于该方法包括以下步骤1)选择邻居加密交换设备;2)建立站间密钥;3)进行数据保密通信。
2.根据权利要求1所述的邻居用户终端间保密通信方法,其特征在于所述步骤1)的 具体实现方式是(1. 1. 1)第一用户终端(STAl)发送邻居加密交换设备选择请求分组(Ml)给第二用户终 端(STA2);所述邻居加密交换设备选择请求分组中包括第一用户终端(STAl)的邻居加密 交换设备的信息列表;(1. 1. 2)第二用户终端(STA2)收到第一用户终端(STAl)发送的邻居加密交换设备选择 请求分组(Ml)后,查看第二用户终端(STA2)的邻居加密交换设备列表,选择一个和第一用 户终端(STAl)共有的邻居加密交换设备,构造邻居加密交换设备选择响应分组(M2)发送 给第一用户终端(STAl);所述邻居加密交换设备选择响应分组(M2)中包括第二用户终端 (STA2)选择的和第一用户终端(STAl)共有的邻居加密交换设备的信息;(1. 1. 3)第一用户终端(STAl)收到第二用户终端(STA2)发送的邻居加密交换设备选择 响应分组(M2)后,提取第二用户终端(STA2)选择的和自己共有的邻居加密交换设备的信 肩、ο
3.根据权利要求2所述的邻居用户终端间保密通信方法,其特征在于所述步骤1)的 具体实现方式是(1. 2. 1)第一用户终端(STAl)发送邻居加密交换设备选择请求分组(Ml)给第二用户终 端(STA2);所述邻居加密交换设备选择请求分组(Ml)中包括第一用户终端(STAl)的邻居 加密交换设备的信息列表字段以及第一用户终端(STAl)支持的加密算法安全参数套件列 表字段;(1. 2. 2)第二用户终端(STA2)收到第一用户终端(STAl)发送的邻居加密交换设备选择 请求分组(Ml)后,根据分组中的第一用户终端(STAl)的邻居加密交换设备列表信息字段 以及第一用户终端(STAl)支持的加密算法安全参数套件列表字段,选择一个和第一用户 终端(STAl)共有的邻居加密交换设备及一个和第一用户终端(STAl)均支持的加密算法安 全参数套件,构造邻居加密交换设备选择响应分组(M2)发送给第一用户终端(STAl);所述 邻居加密交换设备选择响应分组(M2)中包括第二用户终端(STA2)选择的和第一用户终端 (STAl)共有的邻居加密交换设备的信息以及第二用户终端(STA2)从第一用户终端(STAl) 支持的加密算法安全参数套件列表中选择的一个第二用户终端(STA2)也支持的加密算法 等安全参数套件字段;(1.2. 3)第一用户终端(STAl)收到第二用户终端(STA2)发送的邻居加密交换设备选择 响应分组(M2)后,提取第二用户终端(STA2)选择的和自己共有的邻居加密交换设备的信 息以及第二用户终端(STA2)选择双方均支持的加密算法安全参数套件。
4.根据权利要求2或3所述的邻居用户终端间保密通信方法,其特征在于所述步骤 2)的具体实现方式是(2.1. 1)第一用户终端(STAl)发送站间密钥请求分组(M3)给加密交换设备(ESW-B), 请求协助建立与第二用户终端(STA2)之间的站间密钥;所述站间密钥请求分组(M3)中包括第二用户终端(STA2)的标识信息;2. 1.2)加密交换设备(ESW-B)收到第一用户终端(STAl)发送的站间密钥请求分组 (M3)后,生成一随机数作为第一用户终端(STAl)与第二用户终端(STA2)之间的站间密钥 STAKeyi_2,构造站间密钥通告分组(M4)发送给第二用户终端(STA2);所述站间密钥通告分 组(M4)中包括第一用户终端(STAl)的标识信息及用加密交换设备(ESW-B)与第二用户终 端(STA2)之间的共享密钥KEYb_2进行保护的STAKeyi_2的加密信息字段;2. 1.3)第二用户终端(STA2)收到加密交换设备(ESW-B)发送的站间密钥通告分 组(M4)后,利用第二用户终端(STA2)与加密交换设备(ESW-B)之间的密钥KEYB_2解密 STAKeyi_2的加密信息字段得到STAKey"信息,即得到与第一用户终端(STAl)之间的站间 密钥;然后构造站间密钥通告响应分组(M5)发送给加密交换设备(ESW-B);所述站间密钥 通告响应分组(M5)中包括第一用户终端(STAl)的标识信息;2. 1.4)加密交换设备(ESW-B)收到第二用户终端(STA2)发送的站间密钥通告响应 分组(M5)后,得知第二用户终端(STA2)已收到与第一用户终端(STAl)之间的站间密钥 信息,构造站间密钥响应分组(M6)发送给第一用户终端(STAl);所述站间密钥响应分组 (M6)中包括第二用户终端(STA2)的标识信息及用加密交换设备(ESW-B)与第一用户终端 (STAl)之间的共享密钥KEYp1进行保护的STAKey"的加密信息字段;2.1.5)第一用户终端(STAl)收到加密交换设备(ESW-B)发送的站间密钥响应分 组(M6)后,利用第一用户终端(STAl)与加密交换设备(ESW-B)之间的密钥KEY^1解密 STAKeyi_2的加密信息字段得到STAKey"信息,即得到与第二用户终端(STA2)之间的站间 密钥。
5.根据权利要求4所述的邻居用户终端间保密通信方法,其特征在于所述步骤3)的 具体实现方式是通过步骤2)站间密钥建立过程建立第一用户终端(STAl)与第二用户终 端(STA2)之间的站间密钥STAKey"后,第一用户终端(STAl)与第二用户终端(STA2)之间 就可以利用该站间密钥进行数据保密通信从第一用户终端(STAl)发送到第二用户终端 (STA2)的数据由第一用户终端(STAl)利用STAKey"进行加密发送,第二用户终端(STA2) 收到后利用STAKeyi_2进行解密;从第二用户终端(STA2)发送到第一用户终端(STAl)的数 据由第二用户终端(STA2)利用STAKeyi_2进行加密发送,第一用户终端(STAl)收到后利用 STAKeyi_2进行解密。
6.根据权利要求2或3所述的邻居用户终端间保密通信方法,其特征在于所述步骤 2)的具体实现方式是2. 2. 1)第一用户终端(STAl)发送站间密钥请求分组(M3)给加密交换设备(ESW-B), 请求协助建立与第二用户终端(STA2)之间的站间密钥;所述站间密钥请求分组(M3)中包 括第二用户终端(STA2)的标识信息以及消息完整性验证码MIC字段,所述消息完整性验证 码MICl字段是第一用户终端(STAl)利用与加密交换设备(ESW-B)之间的共享密钥KEY^1 对分组中除MICl字段外其他字段通过杂凑函数计算得到的杂凑值;2. 2. 2)加密交换设备(ESW-B)收到第一用户终端(STAl)发送的站间密钥请求分组 (M3)后,首先验证消息完整性验证码MICl字段是否正确,若不正确,则丢弃该分组,若正 确,则生成一随机数作为第一用户终端(STAl)与第二用户终端(STA2)之间的站间密钥 STAKeyi_2,构造站间密钥通告分组(M4)发送给第二用户终端(STA2);所述站间密钥通告分组(M4)中包括第一用户终端(STAl)的标识信息及用加密交换设备(ESW-B)与第二用户终 端(STA2)之间的共享密钥KEYB_2进行保护的STAKey"的加密信息字段以及消息完整性验 证码MIC2字段;所述消息完整性验证码MIC2字段是加密交换设备(ESW-B)利用与第二用 户终端(STA2)之间的共享密钥KEYB_2对分组中除MIC2字段外其他字段通过杂凑函数计算 得到的杂凑值;2. 2. 3)第二用户终端(STA2)收到加密交换设备ESW-B发送的站间密钥通告分组(M4) 后,首先验证消息完整性验证码MIC2字段是否正确,若不正确,则丢弃该分组;若正确,则 利用第二用户终端(STA2)与加密交换设备(ESW-B)之间的密钥KEYB_2解密STAKeyi_2的加 密信息字段得到STAKeyi_2信息,即得到与第一用户终端(STAl)之间的站间密钥;然后构 造站间密钥通告响应分组(M5)发送给加密交换设备(ESW-B);所述站间密钥通告响应分组 (M5)中包括第一用户终端(STAl)的标识信息及消息完整性验证码MIC3字段;所述消息完 整性验证码MIC3字段是第二用户终端(STA2)利用与加密交换设备(ESW-B)之间的共享密 钥KEYb_2对分组中除MIC3字段外其他字段通过杂凑函数计算得到的杂凑值;2. 2.4)加密交换设备(ESW-B)收到第二用户终端(STA2)发送的站间密钥通告响应分 组(M5)后,首先验证消息完整性验证码MIC3字段是否正确,若不正确,则丢弃该分组;若正 确,则得知第二用户终端(STA2)已收到与第一用户终端(STAl)之间的站间密钥信息,构造 站间密钥响应分组(M6)发送给第一用户终端(STAl);所述站间密钥响应分组(M6)中包括 第二用户终端(STA2)的标识信息及用加密交换设备(ESW-B)与第一用户终端(STAl)之间 的共享密钥KEYp1进行保护的STAKeyi_2的加密信息字段以及消息完整性验证码MIC4字段; 所述消息完整性验证码MIC4字段是加密交换设备(ESW-B)利用与第一用户终端(STAl)之 间的共享密钥KEYp1对分组中除MIC4字段外其他字段通过杂凑函数计算得到的杂凑值;2. 2. 5)第一用户终端(STAl)收到加密交换设备(ESW-B)发送的站间密钥响应分组 (M6)后,首先验证消息完整性验证码MIC4字段是否正确,若不正确,则丢弃该分组;若正 确,则利用第一用户终端(STAl)与加密交换设备(ESW-B)之间的密钥KEYp1解密STAKey" 的加密信息字段得到STAKeyi_2信息,即得到与第二用户终端(STA2)之间的站间密钥。
7.根据权利要求2所述的邻居用户终端间保密通信方法,其特征在于所述步骤2)的 具体实现方式是2. 3. 1)第一用户终端(STAl)发送站间密钥请求分组(M3)给加密交换设备(ESW-B), 请求协助建立与第二用户终端(STA2)之间的站间密钥;所述站间密钥请求分组(M3)中包 括第二用户终端(STA2)的标识信息以及第一用户终端(STAl)支持的加密算法安全参数套 件列表字段;2. 3. 2)加密交换设备(ESW-B)收到第一用户终端(STAl)发送的站间密钥请求分组 (M3)后,生成一随机数作为第一用户终端(STAl)与第二用户终端(STA2)之间的站间密钥 STAKeyi_2,构造站间密钥通告分组(M4)发送给第二用户终端(STA2);所述站间密钥通告分 组(M4)中包括第一用户终端(STAl)的标识信息及用加密交换设备(ESW-B)与第二用户终 端(STA2)之间的共享密钥KEYB_2进行保护的STAKey"的加密信息字段以及第一用户终端 (STAl)支持的加密算法安全参数套件列表字段;2. 3. 3)第二用户终端(STA2)收到加密交换设备(ESW-B)发送的站间密钥通告分 组(M4)后,利用第二用户终端(STA2)与加密交换设备(ESW-B)之间的密钥KEYB_2解密STAKeyi_2的加密信息字段得到STAKey"信息,即得到与第一用户终端(STAl)之间的站间 密钥;然后构造站间密钥通告响应分组(M5)发送给加密交换设备(ESW-B);所述站间密钥 通告响应分组(M5)包括第一用户终端(STAl)的标识信息及第二用户终端(STA2)从第一 用户终端(STAl)支持的加密算法安全参数套件列表中选择的一个第二用户终端(STA2)也 支持的加密算法安全参数套件字段;2. 3.4)加密交换设备(ESW-B)收到第二用户终端(STA2)发送的站间密钥通告响应分 组(M5)后,得知第二用户终端(STA2)已收到与第一用户终端(STAl)之间的站间密钥信 息,构造站间密钥响应分组(M6)发送给第一用户终端(STAl);所述站间密钥响应分组(M6) 中包括第二用户终端(STA2)的标识信息及用加密交换设备ESW-B与第一用户终端(STAl) 之间的共享密钥KEYp1进行保护的STAKeyi_2的加密信息以及第二用户终端(STA2)选择的 加密算法安全参数套件字段;2. 3. 5)第一用户终端(STAl)收到加密交换设备(ESW-B)发送的站间密钥响应分 组(M6)后,利用第一用户终端(STAl)与加密交换设备(ESW-B)之间的密钥KEY^1解密 STAKeyi_2的加密信息字段得到STAKey"信息,即得到与第二用户终端(STA2)之间的站间 密钥。
8.根据权利要求2所述的邻居用户终端间保密通信方法,其特征在于所述步骤2)的 具体实现方式是2.4. 1)第一用户终端(STAl)发送站间密钥请求分组(M3)给加密交换设备(ESW-B), 请求协助建立与第二用户终端(STA2)之间的站间密钥;所述站间密钥请求分组(M3)中 包括第二用户终端(STA2)的标识信息、消息完整性验证码MICl字段以及第一用户终端 (STAl)支持的加密算法安全参数套件列表字段;所述消息完整性验证码MICl字段是第一 用户终端(STAl)利用与加密交换设备(ESW-B)之间的共享密钥KEYp1对分组中除MICl字 段外其他字段通过杂凑函数计算得到的杂凑值;2.4. 2)加密交换设备(ESW-B)收到第一用户终端(STAl)发送的站间密钥请求分组 (M3)后,首先验证消息完整性验证码MIC字段是否正确,若不正确,则丢弃该分组;若正 确,则生成一随机数作为第一用户终端(STAl)与第二用户终端(STA2)之间的站间密钥 STAKeyi_2,构造站间密钥通告分组(M4)发送给第二用户终端(STA2);所述站间密钥通告分 组(M4)中包括第一用户终端(STAl)的标识信息及用加密交换设备(ESW-B)与第二用户终 端(STA2)之间的共享密钥KEYb_2进行保护的STAKey"的加密信息字段、消息完整性验证 码MIC2字段以及第一用户终端(STAl)支持的加密算法安全参数套件列表字段;所述消息 完整性验证码MIC2字段是加密交换设备(ESW-B)利用与第二用户终端(STA2)之间的共享 密钥KEYb_2对分组中除MIC2字段外其他字段通过杂凑函数计算得到的杂凑值;2.4. 3)第二用户终端(STA2)收到加密交换设备(ESW-B)发送的站间密钥通告分组 (M4)后,首先验证消息完整性验证码MIC2字段是否正确,若不正确,则丢弃该分组;若正 确,则利用第二用户终端(STA2)与加密交换设备(ESW-B)之间的密钥KEYB_2解密STAKey" 的加密信息字段得到STAKey"信息,即得到与第一用户终端(STAl)之间的站间密钥 ’然 后构造站间密钥通告响应分组(M5)发送给加密交换设备(ESW-B);所述站间密钥通告响应 分组(M5)包括第一用户终端(STAl)的标识信息、第二用户终端(STA2)从第一用户终端 (STAl)支持的加密算法安全参数套件列表中选择的一个第二用户终端(STA2)也支持的加密算法安全参数套件字段及消息完整性验证码MIC3字段;所述消息完整性验证码MIC3字 段是第二用户终端(STA2)利用与加密交换设备(ESW-B)之间的共享密钥KEYB_2对分组中 除MIC3字段外其他字段通过杂凑函数计算得到的杂凑值;。2.4.4)加密交换设备ESW-B收到第二用户终端(STA2)发送的站间密钥通告响应分组 (M5)后,首先验证消息完整性验证码MIC3字段是否正确,若不正确,则丢弃该分组;若正 确,则得知第二用户终端(STA2)已收到与第一用户终端(STAl)之间的站间密钥信息,构造 站间密钥响应分组(M6)发送给第一用户终端(STAl);所述站间密钥响应分组(M6)中包括 第二用户终端(STA2)的标识信息及用加密交换设备(ESW-B)与第一用户终端(STAl)之间 的共享密钥KEYp1进行保护的STAKeyi_2的加密信息字段、消息完整性验证码MIC字段以及 第二用户终端(STA2)选择的加密算法安全参数套件字段及消息完整性验证码MIC4字段; 所述消息完整性验证码MIC4字段是加密交换设备(ESW-B)利用与第一用户终端(STAl)之 间的共享密钥KEYp1对分组中除MIC4字段外其他字段通过杂凑函数计算得到的杂凑值;;,2.4. 5)第一用户终端(STAl)收到加密交换设备(ESW-B)发送的站间密钥响应分组 (M6)后,首先验证消息完整性验证码MIC4字段是否正确,若不正确,则丢弃该分组;若正 确,则利用第一用户终端(STAl)与加密交换设备(ESW-B)之间的密钥KEYp1解密STAKey" 的加密信息字段得到STAKeyi_2信息,即得到与第二用户终端(STA2)之间的站间密钥。
9.根据权利要求7或8所述的邻居用户终端间保密通信方法,其特征在于所述步 骤3)的具体实现方式是通过步骤2)站间密钥建立过程建立第一用户终端(STAl)与第 二用户终端(STA2)之间的站间密钥STAKeyi_2后,第一用户终端(STAl)与第二用户终端 (STA2)之间就可以利用该站间密钥进行数据保密通信从第一用户终端(STAl)发送到第 二用户终端(STA2)的数据由第一用户终端(STAl)利用STAKeyi_2进行加密发送,第二用户 终端(STA2)收到后利用STAKeyi_2进行解密;从第二用户终端(STA2)发送到第一用户终端 (STAl)的数据由第二用户终端(STA2)利用STAKey"进行加密发送,第一用户终端(STAl) 收到后利用STAKeyi_2进行解密。
10.一种邻居用户终端间保密通信系统,其特征在于所述系统包括互为邻居的第一 用户终端(STAl)以及第二用户终端(STA2)、第一用户终端(STAl)和第二用户终端(STA2) 共有的邻居加密交换设备(ESW-B)以及能接收到第一用户终端(STAl)与第二用户终端 (STA2)之间的数据包的一般中间设备;所述第一用户终端(STAl)发送邻居加密交换设 备选择请求分组(Ml)给第二用户终端(STA2);第二用户终端(STA2)收到第一用户终端 (STAl)发送的邻居加密交换设备选择请求分组(Ml)后,构造邻居加密交换设备选择响应 分组(M2)发送给第一用户终端(STAl);所述第一用户终端(STAl)发送站间密钥请求分组 (M3)给加密交换设备(ESW-B);所述加密交换设备(ESW-B)收到第一用户终端(STAl)发送 的站间密钥请求分组(M3)后,构造站间密钥通告分组(M4)发送给第二用户终端(STA2); 所述第二用户终端(STA2)收到加密交换设备(ESW-B)发送的站间密钥通告分组(M4) 后,构造站间密钥通告响应分组(M5)发送给加密交换设备(ESW-B);所述加密交换设备 (ESff-B)收到第二用户终端(STA2)发送的站间密钥通告响应分组(M5)后,构造站间密钥 响应分组(M6)发送给第一用户终端(STAl);所述第一用户终端(STAl)接收加密交换设备 (ESff-B)发送的站间密钥响应分组(M6)。
全文摘要
本发明涉及一种邻居用户终端间保密通信方法及系统。该方法包括以下步骤1)选择邻居加密交换设备;2)建立站间密钥;3)进行数据保密通信。本发明所提供的邻居用户终端间保密通信方法及系统在安全网络架构下,邻居用户终端间进行保密通信时,利用他们之间共有的邻居交换设备为他们建立站间密钥,后续的通信就可以直接使用该站间密钥实现数据的保密传输。该方法中,需要进行保密通信的邻居用户终端间不需要两两进行身份鉴别,从而减少了网络负担。
文档编号H04L9/32GK101917272SQ20101025199
公开日2010年12月15日 申请日期2010年8月12日 优先权日2010年8月12日
发明者曹军, 李琴, 杜志强, 铁满霞, 黄振海 申请人:西安西电捷通无线网络通信股份有限公司
完整全部详细技术资料下载
  • 该技术已申请专利。仅供学习研究,如用于商业用途,请联系技术所有人。
  • 技术研发人员:李琴;曹军;铁满霞;黄振海;杜志强
  • 技术所有人:西安西电捷通无线网络通信股份有限公司
  • 我是此专利的发明人
相关技术
网友询问留言 已有0条留言
  • 还没有人留言评论。精彩留言会获得点赞!
1
精彩留言,会给你点赞!
用户通信终端维修员相关技术
用户通信终端维修员证相关技术
中孚保密终端破解相关技术
中孚终端保密检查系统相关技术
如何卸载中孚保密终端相关技术
计算机终端保密检查相关技术

使用协议| 关于我们| 联系利记体育

© 2008-2024 【利记体育】 版权所有,并保留所有权利。津ICP备16005673号-2