[发明专利]一种节点间安全连接建立方法及系统

说明书

技术领域

本发明涉及信息安全技术中的有线局域网安全应用领域，特别涉及一种节点间安全连接建立方法及系统。

背景技术

有线局域网一般为广播型网络，一个节点发出的数据，其它节点都能收到。网络上的各个节点共享信道，这给网络带来了极大的安全隐患。攻击者只要接入网络进行监听，就可以捕获网络上所有的数据包。现有国家标准GB/T 15629.3(对应IEEE 802.3或ISO/IEC 8802-3)定义的局域网LAN并不提供数据保密方法，这样就使得攻击者容易窃取到关键信息。

在有线局域网中，标准组织IEEE通过对IEEE 802.3进行安全增强来实现链路层的安全。IEEE 802.1AE为保护以太网提供数据加密协议，并采用逐跳加密的安全措施来实现网络节点之间数据的安全传达。但是，这种安全措施要求交换设备对需要转发的每一个数据包都进行解密再加密再转发的处理过程，无疑给局域网中的交换设备带来了巨大的计算负担，容易引发攻击者对交换设备的攻击；且数据包从发送节点传递到目的节点的延时也会增大，降低了网络传输效率。

有线局域网的拓扑结构比较复杂，涉及到的节点数目也比较多，因此网络中的数据通信比较复杂。如果为局域网节点间分配静态的密钥对来建立节点间的安全连接，其分配和更新过程极为复杂。

发明内容

为了解决背景技术中存在的上述问题，本发明提供了一种节点间安全连接建立方法及系统。

本发明的技术解决方案是：本发明一种节点间安全连接建立方法，其特殊之处在于：该方法包括以下步骤：

1)发送源节点N_Source发送密钥请求分组给交换设备SW_First；

2)交换设备SW_First发送临时密钥通告分组给交换设备SW_Last；

3)交换设备SW_Last发送密钥通告分组给目的节点N_Destination；

4)目的节点N_Destination发送密钥通告响应分组给交换设备SW_Last；

5)交换设备SW_Last发送临时密钥通告响应分组给交换设备SW_First；

6)交换设备SW_First发送密钥响应分组给发送源节点N_Source；

7)发送源节点N_Source接收密钥响应分组。

上述步骤1)中密钥请求分组包括ID_Destination字段，ID_Destination字段表示目的节点N_Destination的标识；

上述步骤2)的具体步骤如下：交换设备SW_First收到密钥请求分组后，生成一随机数作为临时密钥，将该临时密钥作为此次发送源节点N_Source和目的节点N_Destination之间的共享密钥KEY_S-D，构造临时密钥通告分组发送给交换设备SW_Last；该临时密钥通告分组包括：ID_Source字段、ID_Destination字段、E_Key1字段和MIC1字段，其中：ID_Source字段表示发送源节点N_Source的标识；ID_Destination字段表示目的节点N_Destination的标识；E_Key1字段表示密钥资料数据，由交换设备SW_First用其与交换设备SW_Last之间的密钥KEY_F-L对共享密钥KEY_S-D加密后的数据；MIC1字段表示消息完整性验证码，是交换设备SW_First利用其与交换设备SW_Last之间的密钥KEY_F-L对构造的临时密钥通告分组除本字段外其他字段通过杂凑函数计算得到的杂凑值。

上述步骤3)的具体步骤如下：