通告式安全连接建立系统及方法技术方案

本发明专利技术涉及通告式安全连接建立系统及方法，该系统包括终端设备和连接设备，终端设备包括发起端终端设备以及接收端终端设备，连接设备包括核心连接设备、在发起端终端设备与核心连接设备之间链路上的发起端连接设备以及在接收端终端设备与核心连接设备之间链路上的接收端连接设备；本发明专利技术使得局域网合法节点之间可以灵活建立及更新它们之间的密钥，以建立起它们之间的安全连接。本发明专利技术可以实现局域网用户终端之间的保密传输，且不需要为用户终端配置静态密钥。本发明专利技术核心连接设备ＳＷ－Ｃｅｎｔｅｒ只需要保存与网络中的其他连接设备之间的密钥，无需建立与用户终端之间的密钥。

【技术实现步骤摘要】

本专利技术涉及网络通信
，具体涉及一种。
技术介绍
有线局域网一般为广播型网络，一个节点发出的数据，其它节点都能收到。网络上 的各个节点共享信道，这给网络带来了极大的安全隐患。攻击者只要接入网络进行监听，就 可以捕获网络上所有的数据包。现有国家标准GB/T 15629. 3 (对应IEEE 802. 3或IS0/IEC 8802-3)定义的局域 网LAN并不提供数据保密方法，这样就使得攻击者容易窃取到关键信息。在国际研究领域 里，IEEE所制定的IEEE 802. IAE标准为保护以太网提供数据加密协议，并采用逐跳加密的 安全措施来实现网络节点之间数据的安全传达。这种安全措施给局域网中的交换设备带来 了巨大的计算负担，容易引发攻击者对交换设备的攻击；且数据包从发送节点传递到目的 节点的延时也会增大，降低了网络传输效率。有线局域网的拓扑结构比较复杂，涉及到的节点(这里，终端和交换设备被统称 为节点)数目也比较多，因此网络中的数据通信比较复杂。如果为局域网节点间分配静态 的密钥对来建立端到端的安全连接，其分配和更新过程极为复杂。因此，静态密钥对的方式 并不适合建立局域网端到端的安全连接。
技术实现思路
为了解决
技术介绍
中存在的上述技术问题，本专利技术提供了一种通告式安全连接建 立系统及方法，使得局域网合法节点之间可以灵活建立及更新它们之间的密钥，以建立起 它们之间的安全连接。本专利技术的技术解决方案是—种通告式安全连接建立系统，该系统包括两种类型的设备，分别用终端设备和 连接设备表示；其中，连接设备在网络中可以不断级联，终端设备只能通过连接设备连接到 网络中，任何设备均不能通过终端设备接入网络；连接设备中选定或者指定一个特定连接 设备作为这些连接设备中的核心连接设备；所有的连接设备均需要和该核心连接设备建立 安全连接；所有的终端设备都和直接相连的连接设备(该连接设备即为离终端设备最近的 连接设备)建立安全连接；该系统中，任何的两个终端设备之间均可通过直接相连的连接 设备以及核心连接设备建立两者之间的安全连接。以系统中第一终端设备STA-A、第二终端设备STA-B为例进行说明，第一终端设备 STA-A与第一连接设备SWl具有安全连接，第二终端设备STA-B与第二连接设备SW2具有 安全连接，该系统中连接设备SW-Center是核心连接设备；所述第一连接设备SWl以及第 二连接设备SW2分别与核心连接设备SW-Center存在安全连接，所述第一连接设备SWl与 第一终端设备STA-A存在安全连接，所述第二连接设备SW2与第二终端设备STA-B存在安 全连接；第一终端设备STA-A直接生成一随机数作为第一终端设备STA-A和第二终端设备STA-B之间共享密钥或第一连接设备SWl在接收到第一终端设备STA-A发送的与第二终端 设备STA-B之间安全连接的请求后生成一随机数作为第一终端设备STA-A和第二终端设备 STA-B之间共享密钥，并以秘密的方式进行通告，确保第一终端设备STA-A和第二终端设备 STA-B建立一致的共享密钥，完成安全连接的建立。一种通告式安全连接建立方法，其包括以下步骤1]第一终端设备STA-A与第一连接设备SWl之间、第一连接设备SWl与核心连接 设备SW-Center之间、核心连接设备SW-Center与第二连接设备SW2之间、第二连接设备 SW2与第二终端设备STA-B之间建立安全连接2]第一终端设备STA-A发送密钥建立激活分组Ml给第一连接设备SWl ；第一终端 设备STA-A通过密钥建立激活分组Ml或将自己生成的随机数作为共享密钥秘密通告给第 一连接设备SW1，或请求第一连接设备SWl协助建立第一终端设备STA-A与第二终端设备 STA-B之间的共享密钥；3]第一连接设备SWl收到密钥建立激活分组Ml后发送第二密钥通告分组M2给 核心连接设备SW-Center ；第一连接设备SWl通过第二密钥通告分组M2或将第一终端设 备STA-A通告的共享密钥秘密通告给核心连接设备SW-Center ；或自己生成一随机数作 为第一终端设备STA-A与第二终端设备STA-B之间的共享密钥秘密通告给核心连接设备 Sff-Center ；4]核心连接设备SW-Center收到第二密钥通告分组M2后发送第三密钥通告分组 M3给第二连接设备SW2 ；核心连接设备SW-Center通过第三密钥通告分组M3将从第一连接 设备SWl处得到的共享密钥秘密通告给第二连接设备SW2 ；5]第二连接设备SW2收到第三密钥通告分组M3后发送第四密钥通告分组M4给 第二终端设备STA-B ；第二连接设备SW2通过第四密钥通告分组M4将从核心连接设备 Sff-Center处得到的共享密钥秘密通告给第二终端设备STA-B ；6]第二终端设备STA-B收到第四密钥通告分组M4后发送第四密钥通告响应分组 M5给第二连接设备SW2，告知第二连接设备SW2已收到共享密钥；7]第二连接设备SW2收到第四密钥通告响应分组M5后发送第三密钥通告响应分 组M6给核心连接设备SW-Center，告知核心连接设备SW-Center共享密钥已传达至第二终 端设备STA-B ；8]核心连接设备SW-Center收到第三密钥通告响应分组M6后发送第二密钥通告 响应分组M7给第一连接设备SWl，告知第一连接设备SWl共享密钥已传达至第二终端设备 STA-B ；9]第一连接设备SWl收到第二密钥通告响应分组M7后发送密钥建立确认分组M8 给第一终端设备STA-A，告知第一终端设备STA-A共享密钥已传达至第二终端设备STA-B或 将第一连接设备SWl为第一终端设备STA-A与第二终端设备STA-B之间生成的共享密钥秘 密通告给第一终端设备STA-A ；10]第一终端设备STA-A接收密钥建立确认分组M8，完成与第二终端设备STA-B 之间的安全连接的建立。上述的通告式安全连接建立方法，其具体包括以下步骤1]第一终端设备STA-A与第一连接设备SWl之间、第一连接设备SWl与核心连接11设备SW-Center之间、核心连接设备SW-Center与第二连接设备SW2之间、第二连接设备 SW2与第二终端设备STA-B之间建立安全连接1. 1]第一终端设备STA-A与第一连接设备SWl之间建立具有第一共享密钥KEYi^1 的安全连接；所述第一连接设备SWl是指从第一终端设备STA-A到第二终端设备STA-B的 数据包经过的第一个连接设备；1. 2]第一连接设备SWl与核心连接设备SW-Center之间建立具有第二共享密钥 KEY1^center的安全连接；所述核心连接设备SW-Center是一个特定的连接设备，所有其他的 连接设备都需要建立和核心连接设备SW-Center之间的安全连接；1. 3]第二连接设备SW2与核心连接设备SW-Center之间建立具有第三共享密钥 KEY2^center的安全连接；所述第二连接设备SW2是指从第一终端设备STA-A到第二终端设备 STA-B的数据包经过的最后一个连接设备；1. 4]第二连接设备SW2与第二终端设备STA-B之间建立具有第四共享密钥KEYB_2 的安全连接；2]第一终端设备STA-A发送密钥建立激活分本文档来自技高网...

【技术保护点】
一种通告式安全连接建立系统，其特征在于：该系统包括终端设备和连接设备，所述终端设备包括发起端终端设备以及接收端终端设备，所述连接设备包括核心连接设备、在发起端终端设备与核心连接设备之间链路上的发起端连接设备以及在接收端终端设备与核心连接设备之间链路上的接收端连接设备；所述发起端终端设备用于生成一随机数作为其与接收端终端设备之间的共享密钥，并以秘密方式通过连接设备通告给接收端终端设备；或发起端终端设备用于发出一安全连接建立请求给发起端连接设备，由发起端连接设备生成一随机数作为发起端终端设备与接收端终端设备之间的共享密钥，并以秘密方式分别通告给接收端终端设备和发起端终端设备，完成安全连接的建立。

【技术特征摘要】
一种通告式安全连接建立系统，其特征在于该系统包括终端设备和连接设备，所述终端设备包括发起端终端设备以及接收端终端设备，所述连接设备包括核心连接设备、在发起端终端设备与核心连接设备之间链路上的发起端连接设备以及在接收端终端设备与核心连接设备之间链路上的接收端连接设备；所述发起端终端设备用于生成一随机数作为其与接收端终端设备之间的共享密钥，并以秘密方式通过连接设备通告给接收端终端设备；或发起端终端设备用于发出一安全连接建立请求给发起端连接设备，由发起端连接设备生成一随机数作为发起端终端设备与接收端终端设备之间的共享密钥，并以秘密方式分别通告给接收端终端设备和发起端终端设备，完成安全连接的建立。2.根据权利要求1所述的通告式安全连接建立系统，其特征在于所述发起端连接设备包括第一连接设备(SWl)，所述接收端连接设备包括第二连接设 备(SW2)，所述发起端终端设备包括第一终端设备(STA-A)，所述接收端终端设备包括第二 终端设备(STA-B)；所述第一连接设备(SWl)以及第二连接设备(SW2)分别与核心连接设 备(SW-Center)存在安全连接，所述第一连接设备(SWl)与第一终端设备(STA-A)存在安 全连接，所述第二连接设备(SW2)与第二终端设备(STA-B)存在安全连接；所述第一终端设备(STA-A)用于生成一随机数作为其与第二终端设备(STA-B)之间 的共享密钥，并以秘密方式通过第一连接设备(SWl)、核心连接设备(SW-Center)以及第二 连接设备(SW2)通告给第二终端设备(STA-B)；或第一终端设备(STA-A)用于发出一安全 连接建立请求给第一连接设备(SWl)，由第一连接设备(SWl)生成一随机数作为第一终端 设备(STA-A)与第二终端设备(STA-B)之间的共享密钥，并以秘密方式通过核心连接设备 (Sff-Center)及第二连接设备(SW2)通告给第二终端设备(STA-B)，再以秘密方式通告给第 一终端设备(STA-A)，完成安全连接的建立。3.—种通告式安全连接建立方法，其特征在于其包括以下步骤1]第一终端设备(STA-A)与第一连接设备(SWl)之间、第一连接设备(SWl)与核心连 接设备(SW-Center)之间、核心连接设备(SW-Center)与第二连接设备(SW2)之间、第二连 接设备(SW2)与第二终端设备(STA-B)之间建立安全连接2]第一终端设备(STA-A)发送密钥建立激活分组(Ml)给第一连接设备(SWl)；第一 终端设备(STA-A)通过密钥建立激活分组(Ml)将第一终端设备(STA-A)生成的随机数作 为第一终端设备与第二终端设备间的共享密钥秘密通告给第一连接设备(SWl)，或第一终 端设备(STA-A)请求第一连接设备(SWl)协助建立第一终端设备(STA-A)与第二终端设备 (STA-B)之间的安全连接；3]第一连接设备(SWl)收到密钥建立激活分组(Ml)后发送第二密钥通告分组(M2)给 核心连接设备(SW-Center)；第一连接设备(SWl)通过第二密钥通告分组(M2)将第一终端 设备(STA-A)通告的共享密钥秘密通告给核心连接设备(SW-Center)；或将第一连接设备 (Sffl)生成一随机数作为第一终端设备(STA-A)与第二终端设备(STA-B)之间的共享密钥 秘密通告给核心连接设备(SW-Center)；4]核心连接设备(SW-Center)收到第二密钥通告分组(M2)后发送第三密钥通告分组 (M3)给第二连接设备(SW2)；核心连接设备(SW-Center)通过第三密钥通告分组(M3)将从 第一连接设备(SWl)处得到的共享密钥秘密通告给第二连接设备(SW2)；5]第二连接设备(SW2)收到第三密钥通告分组(M3)后发送第四密钥通告分组(M4)给 第二终端设备(STA-B)；第二连接设备(SW2)通过第四密钥通告分组(M4)将从核心连接设 备(SW-Center)处得到的共享密钥秘密通告给第二终端设备(STA-B)；6]第二终端设备(STA-B)收到第四密钥通告分组(M4)后发送第四密钥通告响应分组 (M5)给第二连接设备(SW2)，告知第二连接设备(SW2)第二终端设备(STA-B)已收到共享 密钥；7]第二连接设备(SW2)收到第四密钥通告响应分组(M5)后发送第三密钥通告响应分 组(M6)给核心连接设备(SW-Center)，告知核心连接设备(SW-Center)共享密钥已传达至 第二终端设备(STA-B)；8]核心连接设备(SW-Center)收到第三密钥通告响应分组(M6)后发送第二密钥通告 响应分组(M7)给第一连接设备(SWl)，告知第一连接设备(SWl)共享密钥已传达至第二终 端设备(STA-B)；9]第一连接设备(SWl)收到第二密钥通告响应分组(M7)后发送密钥建立确认分组 (M8)给第一终端设备(STA-A)，告知第一终端设备(STA-A)共享密钥已传达至第二终端设 备(STA-B)或将第一连接设备(SWl)为第一终端设备(STA-A)与第二终端设备(STA-B)之 间生成的共享密钥秘密通告给第一终端设备(STA-A)；10]第一终端设备(STA-A)接收密钥建立确认分组(M8)，完成与第二终端设备(STA-B) 之间安全连接的建立。4.根据权利要求3所述的通告式安全连接建立方法，其特征在于其具体包括以下步骤1]第一终端设备(STA-A)与第一连接设备(SWl)之间、第一连接设备(SWl)与核心连 接设备(SW-Center)之间、核心连接设备(SW-Center)与第二连接设备(SW2)之间、第二连 接设备(SW2)与第二终端设备(STA-B)之间建立安全连接[1. 1]第一终端设备(STA-A)与第一连接设备(SWl)之间建立具有第一共享密钥 (KEYp1)的安全连接；所述第一连接设备(SWl)是指从第一终端设备(STA-A)到第二终端设 备(STA-B)的数据包经过的发起端的第一个连接设备；[1.2]第一连接设备(SWl)与核心连接设备(SW-Center)之间建立具有第二共享密钥 (KEY1^center)的安全连接；[1.3]第二连接设备(SW2)与核心连接设备(SW-Center)之间建立具有第三共享密钥 (KEY2^center)的安全连接；所述第二连接设备(SW2)是指从第一终端设备(STA-A)到第二终 端设备(STA-B)的数据包经过的接收端的最后一个连接设备；[1.4]第二连接设备(SW2)与第二终端设备(STA-B)之间建立具有第四共享密钥 (KEYb_2)的安全连接；[2]第一终端设备(STA-A)发送密钥建立激活分组(Ml)给第一连接设备(SWl)；所述密 钥建立激活分组(Ml)包括IDsta_b字段、E1(KEYm)字段以及MICl字段，其中取^字段表示 第二终端设备STA-B的标识^(KEYm)字段表示密钥资料数据，由第一终端设备(STA-A) 利用与第一连接设备(SWl)之间的第一共享密钥(KEYp1)对共享密钥KEYA_B加密后的数据； MICl字段表示消息完整性验证码，由第一终端设备(STA-A)利用与第一连接设备(SWl)之 间的第一共享密钥(KEYp1)对该密钥建立激活分组(Ml)中本字段外的其他字段通过杂凑函数计算得到的杂凑值；其中，共享密钥KEYA_B是由第一终端设备(STA-A)生成的随机数， 作为第一终端设备(STA-A)与第二终端设备(STA-B)之间的共享密钥；3]第一连接设备(SWl)收到密钥建立激活分组(Ml)后，进行如下处理，3. 1]第一连接设备(SWl)利用与第一终端设备(STA-A)之间的第一共享密钥(KEYp1) 验证MICl是否正确，若不正确，则丢弃该分组；否则，执行3. 2]；，3. 2]第一连接设备(SWl)利用与第一终端设备(STA-A)之间的第一共享密钥(KEYp1) 解密E1 (KEYa_b)字段即可得到共享密钥KEYa_b ；，3.3]构造第二密钥通告分组(M2)发送给核心连接设备(SW-Center)，该第二密钥通 告分组(M2)包括IDsta_a字段、IDsta_b字段、E2 (KEYa_b)字段以及MIC2字段；其中:IDSTA_A字 段表示第一终端设备(STA-A)的标识；E2(KEYa_b)字段表示密钥资料数据，由第一连接设 备(SWl)利用与核心连接设备(SW-Center)之间的第二共享密钥(KEY^ntJ对共享密钥 KEYA_B加密后的数据；MIC2字段表示消息完整性验证码，由第一连接设备(SWl)利用与核心 连接设备(SW-Center)之间的第二共享密钥(KEYnmtJ对该第二密钥通告分组(M2)中本 字段外的其他字段通过杂凑函数计算得到的杂凑值；4]核心连接设备(SW-Center)收到第二密钥通告分组(M2)后，进行如下处理，4.1]利用与第一连接设备(SWl)之间的第二共享密钥(KEYwentJ验证MIC2是否正 确，若不正确，则丢弃该分组；否则，执行4. 2]；，4. 2]利用与第一连接设备(SWl)之间的第二共享密钥(KEYKente)解密E2(KEYa_b)字段 即可得到共享密钥KEYa_b ；，4.3]构造第三密钥通告分组(M3)发送给第二连接设备(SW2)，所述第三密钥通告分组 (M3)包括IDsta_a字段、IDsta_b字段、E3(KEYa_b)字段以及MIC3字段，其中E3(KEYA_B)字段表 示密钥资料数据，由核心连接设备(SW-Center)利用与第二连接设备(SW2)之间的第三共 享密钥(KEY2_。ent J对共享密钥KEYa_b加密后的数据；MIC3字段表示消息完整性验证码，由 核心连接设备(SW-Center)利用与第二连接设备(SW2)之间的第三共享密钥(KEY2_CentJ对 该第三密钥通告分组(M3)中本字段外的其他字段通过杂凑函数计算得到的杂凑值；5]第二连接设备(SW2)收到第三密钥通告分组(M3)后，进行如下处理，5.1]利用与核心连接设备(SW-Center)之间的第三共享密钥(KEY2_CentJ验证MIC3是 否正确，若不正确，则丢弃该分组；否则，执行5. 2]；，5. 2]利用与核心连接设备(SW-Center)之间的第三共享密钥(KEY2_Cent J解密 E3(keya_b)字段即可得到共享密钥KEYa_b ；，5.3]构造第四密钥通告分组(M4)发送给第二终端设备(STA-B)，所述第四密钥通告分 组(M4)包括IDsta_a字段、E4(KEYa_b)字段以及MIC4字段，其中E4(KEYA_B)字段表示密钥资 料数据，由第二连接设备(SW2)利用与第二终端设备(STA-B)之间的第四共享密钥(KEYb_2) 对共享密钥KEYa_b加密后的数据；MIC4字段表示消息完整性验证码，由第二连接设备(SW2) 利用与第二终端设备(STA-B)之间的第四共享密钥(KEYb_2)对该第四密钥通告分组(M4)中 本字段外的其他字段通过杂凑函数计算得到的杂凑值；6]第二终端设备(STA-B)收到第四密钥通告分组(M4)后，进行如下处理，6.1]利用与第二连接设备(SW2)之间的第四共享密钥(KEYb_2)验证MIC4是否正确，若 不正确，则丢弃该分组，否则，执行6. 2]；[6. 2]利用与第二连接设备(SW2)之间的第四共享密钥(KEYb_2)解密E4(KEYa_b)字段， 即可得到共享密钥keya_b ；[6.3]构造第四密钥通告响应分组(M5)发送给第二连接设备(SW2)，所述第四密钥通告 响应分组(M5)包括巩^字段以及MIC5字段，其中MIC5字段表示消息完整性验证码，由 第二终端设备(STA-B)利用与第二连接设备(SW2)之间的第四共享密钥(KEYb_2)对该第四 密钥通告响应分组(M5)中本字段外的其他字段通过杂凑函数计算得到的杂凑值；7]第二连接设备(SW2)收到第四密钥通告响应分组(M5)后，进行如下处理[7.1]验证分组中的1%14字段和之前发送的第四密钥通告分组(M4)中对应字段值是 否一致，若都不一致，则执行7. 2]；否则，丢弃该分组；[7. 2]利用与第二终端设备(STA-B)之间的第四共享密钥(KEYb_2)验证MIC5是否正确， 若不正确，则丢弃该分组，否则，执行7. 3]；[7.3]构造第三密钥通告响应分组(M6)发送给核心连接设备(SW-Center)，所述第三密 钥通告响应分组(M6)包括IDsta_a字段、IDsta_b字段以及MIC6字段，其中MIC6字段表示消 息完整性验证码，由第二连接设备(SW2)利用与核心连接设备(SW-Center)之间的第三共 享密钥(KEY2_。entJ对该第三密钥通告响应分组(M6)中本字段外的其他字段通过杂凑函数 计算得到的杂凑值；[8]核心连接设备(SW-Center)收到第三密钥通告响应分组(M6)后，进行如下处理[8.1]验证分组中的IDSTA_A字段、皿皿力字段和之前发送的第三密钥通告分组(M3)中对 应字段值是否一致，若都一致，则执行8. 2]；否则，丢弃该分组；[8. 2]利用与第二连接设备(SW2)之间的第三共享密钥(KEY2_CentJ验证MIC6是否正 确，若不正确，则丢弃该分组，否则，执行8. 3]；[8.3]构造第二密钥通告响应分组(M7)发送给第一连接设备(SWl)，所述第二密钥通告 响应分组(M7)包括IDsta_a字段、IDsta_b字段以及MIC7字段，其中MIC7字段表示消息完整 性验证码，由核心连接设备(SW-Center)利用与第一连接设备(SWl)之间的第二共享密钥 (KEY1^center)对该第二密钥通告响应分组(M7)中本字段外的其他字段通过杂凑函数计算得 到的...

【专利技术属性】
技术研发人员：铁满霞，李琴，葛莉，杜志强，
申请(专利权)人：西安西电捷通无线网络通信股份有限公司，
类型：发明
国别省市：87[中国|西安]