专利名称:一种三段式安全网络架构建立和保密通信方法及其系统的制作方法
技术领域:
本发明涉及通信网络安全应用领域,特别涉及一种三段式安全网络架构建立和保 密通信方法及其系统。
背景技术:
有线局域网一般为广播型网络,一个节点发出的数据,其他节点都能收到。网络上 的各个节点共享信道,这给网络带来了极大的安全隐患。攻击者只要接入网络进行监听,就 可以捕获网络上所有的数据包,从而窃取关键信息。现有国家标准GB/T 15629. 3 (对应IEEE 802. 3或IS0/IEC 8802-3)定义的局域 网LAN并不提供数据保密方法。在国际研究领域里,IEEE所制定的IEEE802. 1AE标准为保 护以太网提供数据加密协议,并采用逐跳加密的安全措施来实现网络节点之间数据的安全 传达。这种安全措施给局域网中的交换设备带来了巨大的计算负担,容易引发攻击者对交 换设备的攻击;且数据包从发送节点传递到目的节点的延时也会增大,降低了网络传输效 率。有线局域网的拓扑结构比较复杂,涉及到的节点(这里,终端和交换设备被统称 为节点)数目也比较多,因此网络中的数据通信比较复杂。如果为局域网节点间分配静态 的密钥对来建立节点间会话密钥,其分配和更新过程极为复杂。因此,静态密钥对的方式并 不适合建立节点间会话密钥。
发明内容
本发明目的是提供一种三段式安全网络架构建立和保密通信方法及其系统,以克 服现有局域网所存在的安全隐患,在保证保密通信的同时,尽量减少局域网交换设备的计 算负担,降低数据传输延时。本发明的技术方案为一种三段式安全网络架构建立方法和保密通信方法,其特 殊之处在于该方法包括以下步骤1)构造节点身份合法的网络架构;1. 1)邻居节点发现;1. 2)节点和邻居节点进行身份鉴别和共享密钥协商;2)构造安全的交换设备架构建立交换设备两两之间的共享密钥;上述步骤1. 1)的具体步骤如下1. 1. 1)新节点加入网络后,主动将“邻居节点发现请求分组”以组播形式进行发 送;1. 1. 2)网络中任一节点在接收到“邻居节点发现请求分组”组播消息后,提取新节 点信息,将其加入到自己的“邻居节点列表”中,并构造“邻居节点发现响应分组”以单播形 式发送给新节点;1. 1. 3)新节点在接收到其他节点响应的“邻居节点发现响应分组”单播消息后,提取响应节点的信息,将其加入到自己的“邻居节点列表”中;完成此次邻居节点发现过程。上述步骤2)之后还包括以下步骤3)交换路由探寻寻找从发送源节点到目的节点之间路由所经过的第一个交换 设备和最后一个交换设备。4)三段式保密通信过程;上述步骤3)的具体步骤如下3. 1)发送源节点Ns。urc6发送“交换路由探寻请求分组”给目的节点ND6Stinati。n ; “交换 路由探寻请求分组”中包括发送源节点Ns。ura已知的发送源节点Ns_。6到目的节点ND6Stinati。n 的交换路由信息;其中发送源节点Ns。ura到目的节点NDestinati。n的交换路由信息为一个标识
四兀组[IDSource、IDSw—first、IDsw—last、IDDestination],其中IDSource 表示发送源节点Ns。urce的标识;IDSff_first 表示从发送源节点Ns。urc6到目的节点ND6Stinati。n的路由经过的第一个交换 设备sw-first的标识;IDsw_last 表示从发送源节点Ns。u_到目的节点N^t^t^的路由经过的最后一个交 换设备SW-last的标识;IDDestination 表示目的节点 NDestinati。n 的标识;3. 2)目的节点ND6Stinati。n接收到“交换路由探寻请求分组”后,发送“交换路由探寻 响应分组”给发送源节点Ns_。6 ;上述步骤3)中标识ID使用身份ID信息或MAC地址信息。上述步骤3)中若发送源节点Ns。urce知道发送源节点Ns。_发往目的节点NDestinati。n 的路由经过的第一个交换设备SW-f irst,目的节点ND6Stinati。n知道发送源节点Ns。urc6发往目 的节点ND6Stinati。n的路由经过的最后一个交换设备SW-last,则由发送源节点Ns。urc6在构造 “交换路由探寻请求分组”时,填写四元组中的IDS。_、ID—、IDD6Stinati。J|f息发送给目的 节点ND6Stinati。n ;目的节点ND6Stinati。n在构造“交换路由探寻响应分组”时,填写IDsw_last信息, 发送给目的节点NDestinati。n。上述步骤3)中,若发送源节点Ns。urc6不知道发送源节点Ns。urc6发往目的节点 NDestination的路由经过的第一个交换设备SW-first信息,目的节点ND6Stinati。n不知道发送源 节点Ns。urc6发往目的节点ND6Stinati。n的路由经过的最后个交换设备SW-last信息,则由发送 源节点Ns。_在构造“交换路由探寻请求分组”时,填写四元组中的IDS。_、IDD6Stinati。n信息 发送给目的节点ND6Stinati。n ;发往目的节点ND6Stinati。n的路由经过的第一个交换设备SW-f irst 收到“交换路由探寻请求分组”时,填写四元组中的IDsw_firet信息,然后转发;发往目的节点 NDestination的路由经过的最后一个交换设备SW-last收到“交换路由探寻请求分组”时,发 现目的节点ND6Stinati。n是自己的邻居节点,则填写四元组中的IDsw_last信息,转发给目的节点 NDestination ;目的节点ND6Stinati。n构造“交换路由探寻响应分组”时,将已知的四元组信息发送 给发送源节点Ns。ura。上述步骤4)的具体步骤如下4. 1)发送源节点Ns。urce通过三段式数据保密方式发送数据包到目的节点
M
1^Destination ,4. 1. 1)发送源节点Ns_。e利用与第一个交换设备SW-first之间的共享密钥KEYs_f加密数据包,发送给目的节点ND6Stinati。n ;4. 1. 2)第一个交换设备SW-first收到发送源节点队■。发给目的节点NDestinati。n的 加密数据包后,使用与发送源节点Ns。urc6之间的共享密钥KEYs_f解密数据包,然后使用与最 后一个交换设备SW-last之间的共享密钥KEYf<加密数据包,然后转发;4. 1. 3)中间交换设备直接转发发送源节点发给目的节点NDestinati。n的加密数 据包;4. 1. 4)最后一个交换设备SW-last收到发送源节点Ns。urce发给目的节点NDestinati。n 的加密数据包后,使用与第一个交换设备SW-first之间的共享密钥KEYf<解密数据包,然 后使用与目的节点ND6Stinati。n之间的共享密钥KEYu加密数据包,然后转发;4. 1. 5)目的节点ND6Stinati。n收到发送源节点Ns。urc6发来的加密数据包后,使用与最 后一个交换设备SW-last之间的共享密钥KEYu解密数据包,即可得到从发送源节点Ns。urce 发来的数据信息。4. 2)目的节点NDestinati。n通过三段式数据保密方式发送数据包到发送源节点
M
1 ^Source,4. 2. 1)目的节点NDestinati。n利用与最后一个交换设备SW-last之间的共享密钥 KEYl_d加密数据包,发送给目的节点NDestinati。n ;4. 2. 2)最后一个交换设备SW-last收到目的节点NDestinati。n发给发送源节点Ns。urce 的加密数据包后,使用与目的节点ND6Stinati。n之间的共享密钥KEYu解密数据包,然后使用与 第一个交换设备SW-first之间的共享密钥KEYf<加密数据包,然后转发;4. 2. 3)中间交换设备直接转发目的节点NDestinati。n发给发送源节点Ns。_的加密数 据包;4. 2. 4)第一个交换设备SW-f irst收到目的节点NDestinati。n发给发送源节点Ns。urce 的加密数据包后,使用与最后一个交换设备SW-last之间的共享密钥KEYf<解密数据包,然 后使用与发送源节点Ns_。6之间的共享密钥KEYs_f加密数据包,然后转发;4. 2. 5)发送源节点Ns。_收到目的节点ND6Stinati。n发来的加密数据包后,使用与第 一个交换设备sw-f irst之间的共享密钥KEYs_f解密数据包,得到从目的节点NDestinati。n发来 的数据信息。本发明还提供一种三段式安全网络架构建立和保密通信系统,其特殊之处在于 所述三段式安全网络架构建立和保密通信系统包括用户终端和交换设备,其中所述用户终 端和交换设备均需要通过邻居节点发现过程得到所有的邻居节点信息,并与邻居节点进行 鉴别协商得到两者之间的共享密钥;所述交换设备还需要建立交换设备之间两两共享密 钥。上述三段式安全网络架构建立和保密通信系统在发起数据保密通信时,该系统中 的用户终端和交换设备可以有四种特定的节点身份发送源节点Ns_。6、发送源节点Ns。urc6、 第一个交换设备SW-first、最后一个交换设备SW-last和目的节点NDestinati。n,其中发送 源节点Ns。UM6构造并发送交换路由探寻请求分组给目的节点ND6Stinati。n,接收来自目的节点 NDestination的交换路由探寻响应分组,对发往目的节点队㈣,—的用户数据均使用与第一个 交换设备SW-first之间的共享密钥进行加密后发出,对接收到来自目的节点NDestinati。n的 密文数据包,均使用与第一个交换设备SW-first之间的共享密钥解密后得到信息;第一个交换设备SW-first对发送源节点Ns。urc6到目的节点ND6Stinati。n的交换路由探寻请求分组 进行修改后再转发,对目的节点ND6Stinati。n到发送源节点Ns_。6的交换路由探寻响应分组提 取并保存四元组信息后再转发,对发送源节点Ns_。6发往目的节点ND6Stinati。n的密文数据包 使用与发送源节点NS()Urre之间的共享密钥解密、使用与最后一个交换设备SW-last之间的 共享密钥加密后再转发,对目的节点ND6Stinati。n发往发送源节点Ns。urc6的密文数据包使用与 最后一个交换设备SW-last之间的共享密钥解密、使用与发送源节点Ns。u_之间的共享密 钥加密后再转发;最后一个交换设备SW-last对发送源节点Ns。ura到目的节点ND6Stinati。n的 交换路由探寻请求分组进行修改后再转发,对目的节点ND6Stinati。n到发送源节点Ns_。6的 交换路由探寻响应分组提取并保存四元组信息后再转发,对发送源节点Ns。urc6发往目的节 点NDestinati。n的密文数据包使用与第一个交换设备SW-first之间的共享密钥解密、使用与 目的节点ND6Stinati。n之间的共享密钥加密后再转发,对目的节点ND6Stinati。n发往发送源节点 NSource的密文数据包使用与目的节点NDestinati。n之间的共享密钥解密、使用与第一个交换设 备SW-first之间的共享密钥加密后再转发;目的节点ND6Stinati。n接收来自发送源节点Ns。urc6 的交换路由探寻请求分组提取保存四元组信息,发送交换路由探寻响应分组给发送源节点 Ns。u^,对发往发送源节点NS()Urre的用户数据均使用与最后一个交换设备SW-last之间的共 享密钥进行加密后发出,对接收到来自发送源节点Ns。ura的密文数据包,均使用与最后一个 交换设备SW-last之间的共享密钥解密后得到信息。上述三段式安全网络架构建立和保密通信系统中还包含一种中间交换设备的节 点角色;所述中间交换设备SW-M是能接收到发送源节点Ns。ura和目的节点NDestinati。n之间的 通信数据包,却没有出现在交换四元组中的交换设备;所述中间交换设备对于发送源节点 NSource和目的节点ND6Stinati。n之间的交换路由探寻请求分组、交换路由探寻响应分组、加密数 据包均直接进行转发。本发明所提供的一种三段式安全网络架构建立和保密通信方法及其系统,其优点 在于,该安全网络架构下,用户终端仅需保存与相邻交换设备之间的共享密钥,交换设备需 保存与相邻用户终端之间的共享密钥及与其他所有交换设备之间的共享密钥,即可建立起 一种三段式的安全网络架构,用于保障发送节点和目的节点之间三段式的数据保密通信。 在该架构下的数据保密通信,无需为发送节点和目的节点之间建立两两共享的通信密钥, 也无需使用逐跳加密的方式实现数据的保密传输。
图1是本发明的流程图;图2是本发明实施例一的示意图;图3是本发明实施例二的示意图。
具体实施例方式参见图1,根据本发明的优选实施例,一种三段式安全网络架构及保密通信方法包 含如下过程1)构造节点身份合法的网络架构;1. 1)邻居节点发现;
优选地,邻居节点发现可以通过以下步骤实现1. 1. 1)新节点加入网络后,主动将“邻居节点发现请求分组”以组播形式进行发 送;1. 1. 2)网络中任一节点在接收到“邻居节点发现请求分组”组播消息后,提取新节 点信息,将其加入到自己的“邻居节点列表”中,并构造“邻居节点发现响应分组”以单播形 式发送给新节点;1. 1. 3)新节点在接收到其他节点响应的“邻居节点发现响应分组”单播消息后,提 取响应节点的信息,将其加入到自己的“邻居节点列表”中;完成此次邻居节点发现过程。1. 2)节点和邻居节点进行身份鉴别和共享密钥协商;优选地,节点在添加新的邻居节点信息到自己的“邻居节点列表”后,将发起与新 的邻居节点之间的身份鉴别和共享密钥协商过程,最终协商得到与邻居节点之间的共享密 钥;优选地,节点和邻居节点进行身份鉴别和共享密钥协商发生在交换设备和交换设 备之间或者交换设备和用户终端之间。2)构造安全的交换设备架构建立交换设备两两之间的共享密钥;网络中的交换设备通过上述机制已建立与相邻交换设备之间的共享密钥,之后会 选择其中一个交换设备(具体的选择机制本发明不予限定和定义)来为该交换设备和网络 中其他所有不相邻的交换设备建立两两之间的共享密钥。优选地,在具体实施时,交换设备SW-A选择一个邻居交换设备SW-M为其建立和任 意一个不相邻的交换设备SW-B之间的共享密钥,可由SW-M生成一随机数作为SW-A和SW-B 之间的共享密钥,然后利用SW-M和SW-A之间的共享密钥以及SW-M和SW-B之间的共享密 钥将新生成的随机数秘密通告给SW-A和SW-B ;3)交换路由探寻寻找从发送源节点到目的节点之间路由所经过的第一个交换 设备和最后一个交换设备;优选地,交换路由探寻可以通过以下步骤来实现3. 1)发送源节点Ns。u_发送“交换路由探寻请求分组”给目的节点3. 2)目的节点ND6Stinati。n接收到“交换路由探寻请求分组”后,发送“交换路由探寻 响应分组”给发送源节点Ns_。6 ;优选地,定义从发送源节点Ns。ura到目的节点ND6Stinati。n的交换路由信息为一个标 识四兀组[IDSource、IDsw_first、IDsw_last、IDDestination],其中IDSource 表示发送源节点Ns。urce的标识;IDSff_first 表示从发送源节点Ns。urc6到目的节点ND6Stinati。n的路由经过的第一个交换 设备sw-first的标识;IDsw_last 表示从发送源节点Ns。urc6到目的节点ND6Stinati。n的路由经过的最后一个交 换设备SW-last的标识;IDDestination 表示目的节点 NDestinati。n 的标识;定义能接收到发送源节点Ns。urc6和目的节点ND6Stinati。之间通信的数据包但又不在 标识四元组中的交换设备为发送源节点Ns_。6和目的节点ND6Stinati。通信链路上的中间交换 设备。
优选地,上述标识四元组在实际实施时,标识ID可以使用身份ID信息,也可以使 用MAC地址信息。以发送源节点Ns。urce是STA1,目的节点NDestinati。n是STA2为例进行说明,STA1和 STA2通过上述步骤3. 1)、3. 2)即可得到四元组信息[IDSTA1、IDsw_a、IDsw_b、IDSTA2]。优选地,具体实施时,若STA1知道发往STA2的路由经过的第一个交换设备是 Sff-A, STA2知道发往STA1的路由经过的第一个交换设备是SW-B,则由STA1在构造“交换
路由探寻请求分组”时,填写四元组中的 IDsource、I^sw-first、IDDestination 信息(ID
SourceSTA1'
IDsw-first = IDsw-A' IDDestination = IDSTA2)发送给 STA2 ;STA2 在构造“交换路由探寻响应分组” 时,填写 IDi—信息(IDsw_last = IDSW_B),发送给 STA1。优选地,具体实施时,若STA1不知道发往STA2的路由经过的第一个交换设备信 息,STA2不知道发往STA1的路由经过的第一个交换设备信息,则STA1在构造“交换路由 探寻请求分组”时,填写四元组中的IDS。_、恥—^信息(IDs。_ = IDSTA1,IDDestination = IDSTA2)发送给STA2 ;Sff-A收到“交换路由探寻请求分组”时,填写四元组中的ID—信息 (IDSff_first = IDsw_a),然后转发;SW-B收到“交换路由探寻请求分组”时,发现STA2是自己的 邻居节点,则填写四元组中的IDsw_last信息(IDsw_last = IDSW_B),转发给STA2 ;STA2构造“交 换路由探寻响应分组”时,将已知的四元组信息发送给STA1。通过上述的交换路由探寻过程,STA1、SW-A、SW-B、STA2均可知晓从STA1发往STA2 的路由经过的第一个和最后一个交换设备的信息,以及从STA2发往STA1的路由经过的第 一个和最后一个交换设备的信息。具体实施时,在一般交换设备和加密交换设备的混合组网情况下,交换路由探寻 协议实现在加密交换设备上,利用上述过程3)找到的交换路由信息得到的就是从STA1到 STA2的路由经过的第一个和最后一个加密交换设备信息。4)进行三段式数据保密通信以发送源节点Ns_。e是STA1,以目的节点NDestinati。n是STA2的数据保密通信为例4. 1) STA1通过三段式数据保密方式发送数据包到STA2通过以下步骤实现4. 1. 1) STA1利用与SW-A之间的共享密钥KEY^加密数据包,发送给STA2 ;4. 1. 2) SW-A收到STA1发给STA2的加密数据包后,使用与STA1之间的共享密钥 KEYg解密数据包,然后使用与SW-B之间的共享密钥KEYa_b加密数据包,然后转发;4. 1. 3)中间交换设备直接转发STA1发给STA2的加密数据包;4. 1. 4) SW-B收到STA1发给STA2的加密数据包后,使用与SW_A之间的共享密钥 KEYa_b解密数据包,然后使用与STA2之间的共享密钥KEY2_b加密数据包,然后转发;4. 1. 5) STA2收到STA1发来的加密数据包后,使用与SW_B之间的共享密钥KEY2_B 解密数据包,即可得到从STA1发来的数据信息。4. 2) STA2通过三段式数据保密方式发送数据包到STA1通过以下步骤实现4. 2. 1) STA2利用与SW-B之间的共享密钥KEY2_B加密数据包,发送给STA1 ;4. 2. 2) SW-B收到STA2发给STA1的加密数据包后,使用与STA2之间的共享密钥 KEY2_b解密数据包,然后使用与SW-A之间的共享密钥KEYa_b加密数据包,然后转发;4. 2. 3)中间交换设备直接转发STA2发给STA1的加密数据包;4. 2. 4) SW-A收到STA2发给STA1的加密数据包后,使用与SW_B之间的共享密钥KEYa_b解密数据包,然后使用与STA1之间的共享密钥KEYg加密数据包,然后转发;4. 2. 5) STA1收到STA2发来的加密数据包后,使用与SW-A之间的共享密钥KEY^ 解密数据包,即可得到从STA2发来的数据信息。实施例1中,用户终端STA1作为一个新节点接入当前网络中。如图2所示,STA1 接入网络之前,网络中所有的节点都知晓自己的邻居节点,并已和邻居节点进行了鉴别并 建立起共享密钥;所有的交换设备两两之间已建立共享密钥。当STA1接入当前网络中,后 续过程如图2虚线下部分所示STA1发起邻居节点发现过程,让所有的邻居知晓STA1的信息,同时STA1得到所有 邻居信息;STA1和邻居节点(特别是邻居交换设备)发起鉴别和共享密钥协商过程,建立 起与邻居节点之间的安全路径。若STA1要与STA2进行数据保密通信,则STA1发起交换路由探寻过程,从而使得 STA1、SW-A、SW-B、STA2得到从STA1到STA2的路由经过的第一个交换设备和最后一个交换 设备的信息,即得到从STA1到STA2的交换路由信息;STA1和STA2之间的数据通信利用三 段安全路径进行,即STA1与SW-A之间利用共享密钥KEYg保密传输,Sff-A和SW-B之间利 用共享密钥KEYa_b保密传输,SW-B与STA2之间利用共享密钥KEYB_2保密传输。实施例2中,交换设备SW-N作为一个新节点接入当前网络中。如图3所示,Sff-N 接入网络之前,网络中所有的节点都知晓自己的邻居节点,并已和邻居节点进行了鉴别并 建立起共享密钥;所有的交换设备两两之间已建立共享密钥。当SW-N接入当前网络中,后 续过程如图3虚线下部分所示SW-N发起邻居节点发现过程,让所有的邻居知晓SW-N的信息,同时SW_N得到所有 邻居信息;SW-N和邻居节点发起鉴别和共享密钥协商过程,建立起与邻居节点之间的安全 路径;SW-N选择一个邻居节点(例如SW-A)建立与网络中其他所有非邻居交换设备之间的 共享密钥,如图所示与SW-M之间的共享密钥,与SW-B之间的共享密钥;之后,若SW-N要与STA2进行数据保密通信,则SW_N发起交换路由探寻过程,从 而使得SW-N、SW-B、STA2得到从SW-N到STA2的路由经过的第一个交换设备和最后一个交 换设备的信息,即得到从STA1到STA2的交换路由信息;这里找到的第一个交换设备就是 SW-N自己;由于SW-N就是SW-first ;故SW-N和STA2之间的数据通信利用简化的三段安全 路径进行,即SW-N与SW-B之间利用共享密钥KEYn_b保密传输,SW-B与STA2之间利用共享 密钥KEYb_2保密传输。若SW-N要与SW-M进行数据保密通信,通信双方均为交换设备,无需进行交换路由 探寻即可知发送节点即为SW-first,目的节点即为SW-last ;就可以直接使用它们之间的 共享密钥KEYn_m保密传输,这就是最为简化的三段式保密通信。一种三段式安全网络架构建立和保密通信系统包括用户终端和交换设备,其中所 述用户终端和交换设备均需要通过邻居节点发现过程得到所有的邻居节点信息,并与邻居 节点进行鉴别协商得到两者之间的共享密钥;所述交换设备还需要建立交换设备之间两两 共享密钥。一种三段式安全网络架构建立和保密通信系统,其特殊之处还在于所述三段式 安全网络架构建立和保密通信系统在发起数据保密通信时,该系统中的用户终端和交换 设备可以有四种特定的节点身份发送源节点Ns。ura、发送源节点Ns。u_、第一个交换设备SW-first、最后一个交换设备SW-last和目的节点ND6Stinati。n,其中发送源节点Ns。urc6构造并 发送交换路由探寻请求分组给目的节点ND—,接收来自目的节点NDestinati。n的交换路由 探寻响应分组,对发往目的节点NDestinati。n的用户数据均使用与第一个交换设备SW-first之 间的共享密钥进行加密后发出,对接收到来自目的节点ND—的密文数据包,均使用与 第一个交换设备SW-first之间的共享密钥解密后得到信息;第一个交换设备SW-first对 发送源节点Ns_。6到目的节点ND6Stinati。n的交换路由探寻请求分组进行修改后再转发,对目 的节点ND6Stinati。n到发送源节点Ns_。6的交换路由探寻响应分组提取并保存四元组信息后再 转发,对发送源节点Ns_。6发往目的节点ND6Stinati。n的密文数据包使用与发送源节点Ns。urc6之 间的共享密钥解密、使用与最后一个交换设备SW-last之间的共享密钥加密后再转发,对 目的节点ND6Stinati。n发往发送源节点Ns_。6的密文数据包使用与最后一个交换设备SW-last 之间的共享密钥解密、使用与发送源节点Ns。urc6之间的共享密钥加密后再转发;最后一个交 换设备SW-last对发送源节点Ns。urc6到目的节点ND6Stinati。n的交换路由探寻请求分组进行修 改后再转发,对目的节点ND6Stinati。n到发送源节点Ns。urc6的交换路由探寻响应分组提取并保 存四元组信息后再转发,对发送源节点Ns。urc6发往目的节点ND6Stinati。n的密文数据包使用与 第一个交换设备SW-first之间的共享密钥解密、使用与目的节点NDestinati。n2间的共享密钥 加密后再转发,对目的节点ND6Stinati。n发往发送源节点Ns。urc6的密文数据包使用与目的节点 NDestinati。n之间的共享密钥解密、使用与第一个交换设备SW-first之间的共享密钥加密后再 转发;目的节点ND6Stinati。n接收来自发送源节点Ns。urc6的交换路由探寻请求分组提取保存四 元组信息,发送交换路由探寻响应分组给发送源节点Ns_。6,对发往发送源节点Ns。ura的用 户数据均使用与最后一个交换设备SW-last之间的共享密钥进行加密后发出,对接收到来 自发送源节点Ns。u_的密文数据包,均使用与最后一个交换设备SW-last之间的共享密钥 解密后得到信息。 上述三段式安全网络架构建立和保密通信系统中还包含一种中间交换设备的节 点角色;所述中间交换设备SW-M是能接收到发送源节点Ns。ura和目的节点NDestinati。n之间的 通信数据包,却没有出现在交换四元组中的交换设备;所述中间交换设备对于发送源节点 NSource和目的节点ND6Stinati。n之间的交换路由探寻请求分组、交换路由探寻响应分组、加密数 据包均直接进行转发。
权利要求
一种三段式安全网络架构建立方法和保密通信方法,其特征在于该方法包括以下步骤1)构造节点身份合法的网络架构;1.1)邻居节点发现;1.2)节点和邻居节点进行身份鉴别和共享密钥协商;2)构造安全的交换设备架构建立交换设备两两之间的共享密钥。
2.根据权利要求1所述的三段式安全网络架构建立方法,其特征在于所述步骤1.1) 的具体步骤如下1.1.1)新节点加入网络后,主动将“邻居节点发现请求分组”以组播形式进行发送;1. 1.2)网络中任一节点在接收到“邻居节点发现请求分组”组播消息后,提取新节点信 息,将其加入到自己的“邻居节点列表”中,并构造“邻居节点发现响应分组”以单播形式发 送给新节点;1. 1.3)新节点在接收到其他节点响应的“邻居节点发现响应分组”单播消息后,提取响 应节点的信息,将其加入到自己的“邻居节点列表”中;完成此次邻居节点发现过程。
3.根据权利要求1或2所述的三段式安全网络架构建立方法和保密通信方法,其特征 在于所述步骤2)之后还包括以下步骤3)交换路由探寻寻找从发送源节点到目的节点之间路由所经过的第一个交换设备 和最后一个交换设备。4)三段式保密通信过程;
4.根据权利要求3所述的三段式安全网络架构建立方法和保密通信方法,其特征在 于所述步骤3)的具体步骤如下3. 1)发送源节点Nswrce发送“交换路由探寻请求分组”给目的节点Nltestinatim ;其中“交换 路由探寻请求分组”中包括发送源节点Nswra已知的发送源节点Ns_。e到目的节点Nltestinatim 的交换路由信息;其中发送源节点Nswra到目的节点NDestinati。n的交换路由信息为一个标识 四兀组[IDgourceΛ IDsw-first、IDsw-Iast^ IDDestination],其中IDsource 表示发送源节点Nstjurre的标识;IDSff_first 表示从发送源节点Nstjurre到目的节点NDestinati。n的路由经过的第一个交换设备 Sff-first的标识;IDSff_last 表示从发送源节点Nswrce到目的节点NDestinati。n的路由经过的最后一个交换设 备SW-Iast的标识;Destination 表示目的节点NDestinati。n的标识;3. 2)目的节点NDestinati。n接收到“交换路由探寻请求分组”后,发送“交换路由探寻响应 分组”给发送源节点Nstjurre ;
5.根据权利要求4所述的三段式安全网络架构建立方法和保密通信方法,其特征在 于所述步骤3)中标识ID使用身份ID信息或MAC地址信息。
6.根据权利要求4所述的三段式安全网络架构建立方法和保密通信方法,其特征在 于所述步骤3)中若发送源节点Nswrce知道发送源节点Nstjurre发往目的节点NDestinati。n的路 由经过的第一个交换设备SW-f irst,目的节点NDestinati。n知道发送源节点Nswrce发往目的节 点NDestinati。n的路由经过的最后一个交换设备SW-last,则由发送源节点Ns。urce在构造“交换路由探寻请求分组”时,填写四元组中的IDs_。e、IDsw_fi t、IDltestinatim信息发送给目的节点 Nnestination ;目的节点NDestinati。n在构造“交换路由探寻响应分组”时,填写IDsw_last信息,发送给目的节点 ^Destination0
7.根据权利要求4所述的三段式安全网络架构建立方法和保密通信方法,其特征在 于所述步骤3)中,若发送源节点Ns_。e不知道发送源节点Ns_。e发往目的节点Nltestinatim 的路由经过的第一个交换设备SW-first信息,目的节点Nltestinatim不知道发送源节点Ns。urce 发往目的节点Nltestinatim的路由经过的最后个交换设备SW-Iast信息,则发送源节点Ns。urce 在构造“交换路由探寻请求分组”时,填写四元组中的IDstjurc^IDllestinatim信息发送给目的节 点NDestinati。n ;发往目的节点NDestinati。n的路由经过的第一个交换设备SW-f irst收到“交换路 由探寻请求分组”时,填写四元组中的IDsw_firet信息,然后转发;发往目的节点NDestinati。n的 路由经过的最后一个交换设备SW-Iast收到“交换路由探寻请求分组”时,发现目的节点 NDestinati。n是自己的邻居节点,则填写四元组中的IDsw_last信息,转发给目的节点NDestinati。n ;目 的节点NDestinati。n构造“交换路由探寻响应分组”时,将已知的四元组信息发送给发送源节点^Source°
8.根据权利要求3所述的三段式安全网络架构建立方法和保密通信方法,其特征在 于所述步骤4)的具体步骤如下`4. 1)发送源节点Ns。ura,通过三段式数据保密方式发送数据包到目的节点NDestinati。n ; 4. 1. 1)发送源节点Nswrce利用与第一个交换设备SW-first之间的共享密钥KEYS_F加 密数据包,发送给目的节点NDestinati。n ;`4. 1. 2)第一个交换设备SW-f irst收到发送源节点Ns。_发给目的节点NDestinati。n的加 密数据包后,使用与发送源节点Ns。urce之间的共享密钥KEYs_f解密数据包,然后使用与最后 一个交换设备SW-Iast之间的共享密钥KEYh加密数据包,然后转发;`4. 1. 3)中间交换设备直接转发发送源节点Ns。u_发给目的节点Nltestinatim的加密数据包;`4. 1. 4)最后一个交换设备SW-Iast收到发送源节点Ns。_发给目的节点Nltestinatim的加 密数据包后,使用与第一个交换设备SW-first之间的共享密钥KEYh解密数据包,然后使 用与目的节点NDestinati。n之间的共享密钥KEYmi加密数据包,然后转发;`4. 1. 5)目的节点NDestinati。n收到发送源节点Nswra发来的加密数据包后,使用与最后一 个交换设备SW-Iast之间的共享密钥KEYmi解密数据包,即可得到从发送源节点Ns_。e发来 的数据信息。`4. 2)目的节点NDestinati。n通过三段式数据保密方式发送数据包到发送源节点Nswrce ; 4. 2. 1)目的节点NDestinati。n利用与最后一个交换设备SW-Iast之间的共享密钥KEY^1加 密数据包,发送给目的节点NDestinati。n ;`4. 2. 2)最后一个交换设备SW-Iast收到目的节点NDestinati。n发给发送源节点Ns_。e的加 密数据包后,使用与目的节点NDestinati。n之间的共享密钥KEYmi解密数据包,然后使用与第一 个交换设备SW-first之间的共享密钥KEYf+加密数据包,然后转发;`4. 2. 3)中间交换设备直接转发目的节点NDestinati。n发给发送源节点Nstjurre的加密数据包;`4. 2. 4)第一个交换设备SW-f irst收到目的节点NDestinati。n发给发送源节点Ns。_的加密数据包后,使用与最后一个交换设备SW-Iast之间的共享密钥KEYh解密数据包,然后使 用与发送源节点Nswra之间的共享密钥KEYs_f加密数据包,然后转发;,4. 2. 5)发送源节点Nstjurre收到目的节点NDestinati。n发来的加密数据包后,使用与第一个 交换设备SW-f irst之间的共享密钥KEYs_f解密数据包,得到从目的节点NDestinati。n发来的数 据信息。
9.一种三段式安全网络架构建立和保密通信系统,其特征在于所述三段式安全网络 架构建立和保密通信系统包括用户终端和交换设备,所述用户终端和交换设备均通过邻居 节点发现过程得到所有的邻居节点信息,并与邻居节点进行鉴别协商得到两者之间的共享 密钥;所述交换设备还建立交换设备之间两两共享密钥。
10.根据权利要求9所述的一种三段式安全网络架构建立和保密通信系统,其特征在 于所述三段式安全网络架构建立和保密通信系统在发起数据保密通信时,该系统中的用 户终端和交换设备有四种特定的节点身份发送源节点Nstjurre、第一个交换设备SW-first、 最后一个交换设备SW-Iast和目的节点Nltestinatim,其中发送源节点Nstjurre构造并发送交换 路由探寻请求分组给目的节点NDestinati。n,接收来自目的节点NDestinati。n的交换路由探寻响应 分组,对发往目的节点Nd-的用户数据均使用与第一个交换设备SW-first之间的共 享密钥进行加密后发出,对接收到来自目的节点Nltestinatim的密文数据包,均使用与第一个 交换设备SW-first之间的共享密钥解密后得到信息;第一个交换设备SW-first对发送源 节点Ns。urce到目的节点NDestinati。n的交换路由探寻请求分组进行修改后再转发,对目的节点 Nnestination到发送源节点Nswrce的交换路由探寻响应分组提取并保存四元组信息后再转发, 对发送源节点Ns_。e发往目的节点NDestinati。n的密文数据包使用与发送源节点Nswrce之间的 共享密钥解密、使用与最后一个交换设备SW-Iast之间的共享密钥加密后再转发,对目的 节点NDestinati。n发往发送源节点Nstjurre的密文数据包使用与最后一个交换设备SW-Iast之间 的共享密钥解密、使用与发送源节点Ns。u_之间的共享密钥加密后再转发;最后一个交换设 备SW-Iast对发送源节点Nstjurre到目的节点NDestinati。n的交换路由探寻请求分组进行修改 后再转发,对目的节点NDestinati。n到发送源节点Nstjurre的交换路由探寻响应分组提取并保存 四元组信息后再转发,对发送源节点Nstjurre发往目的节点Nltestinatim的密文数据包使用与第 一个交换设备SW-first之间的共享密钥解密、使用与目的节点NDestinati。n2间的共享密钥 加密后再转发,对目的节点NDestinati。n发往发送源节点Nswrce的密文数据包使用与目的节点 Nltestinatim之间的共享密钥解密、使用与第一个交换设备SW-first之间的共享密钥加密后再 转发;目的节点NDestinati。n接收来自发送源节点Ns。urce的交换路由探寻请求分组提取保存四 元组信息,发送交换路由探寻响应分组给发送源节点Nstjurre,对发往发送源节点Nswra的用 户数据均使用与最后一个交换设备SW-Iast之间的共享密钥进行加密后发出,对接收到来 自发送源节点Ns。u_的密文数据包,均使用与最后一个交换设备SW-Iast之间的共享密钥 解密后得到信息。
11.根据权利要求9所述的三段式安全网络架构建立和保密通信系统,其特征在于所 述三段式安全网络架构建立和保密通信系统中还包含中间交换设备的节点角色;所述中间 交换设备SW-M是能接收到发送源节点Ns。_和目的节点NDestinati。n之间的通信数据包,却没 有出现在交换四元组中的交换设备;所述中间交换设备对于发送源节ANS。U_和目的节点 Nr^i—之间的交换路由探寻请求分组、交换路由探寻响应分组、加密数据包均直接进行转发.
全文摘要
本发明涉及一种三段式安全网络架构建立和保密通信方法及其系统。该方法包括以下步骤1)构造节点身份合法的网络架构;1.1)邻居节点发现;1.2)节点和邻居节点进行身份鉴别和共享密钥协商;2)构造安全的交换设备架构建立交换设备两两之间的共享密钥。本发明架构下的数据保密通信,无需为发送节点和目的节点之间建立两两共享的通信密钥,也无需使用逐跳加密的方式实现数据的保密传输。
文档编号H04L9/08GK101854244SQ20101019572
公开日2010年10月6日 申请日期2010年6月7日 优先权日2010年6月7日
发明者曹军, 李琴, 葛莉, 铁满霞 申请人:西安西电捷通无线网络通信股份有限公司