[发明专利]用户终端之间安全连接的建立方法及系统

说明书

技术领域

本发明涉及一种用户终端之间安全连接的建立方法及系统。

背景技术

有线局域网一般为广播型网络，一个节点发出的数据，其他节点都能收到。 网络上的各个节点共享信道，这给网络带来了极大的安全隐患。攻击者只要接 入网络进行监听，就可以捕获网络上所有的数据包，从而窃取关键信息。

现有国家标准GB/T 15629.3(对应IEEE 802.3或者ISO/IEC 8802-3)定义的 局域网LAN(Local Area Network)并不提供安全接入及数据保密方法，只要用 户能接入局域网控制设备(如局域网交换设备)，就可以访问局域网中的设备或 资源。这在早期企业网有线LAN应用环境下并不存在明显的安全隐患，但是随 着网络的大规模发展，用户对信息的私密性要求不断提高，有必要实现数据链 路层的数据保密。

在有线局域网中，IEEE通过对IEEE 802.3进行安全增强来实现链路层的安 全。IEEE 802.1AE为保护以太网提供数据加密协议，并采用逐跳加密的安全措 施来实现网络实体之间信息的安全传达。但是，逐跳加密的这种安全措施要求 交换设备对每一个需要转发的数据包都进行解密后再加密再转发，无疑给局域 网中的交换设备带来了巨大的计算负担，容易引发攻击者对交换设备的攻击； 且数据包从发送方传递到接收方的延时也会增大，降低了网络传输效率。

在有线局域网中，同一个交换设备SW(SWitch)下直连用户终端STA (STAtion)之间往往有大量的通信数据，这些通信数据的保密传输都会经过该 交换设备。若能为同一交换设备下直连用户终端两两建立共享的站间密钥 STAkey(STAtion key)，这些用户终端之间的数据包利用建立的共享密钥进行保 护，交换设备就可以直接转发它们之间的加密数据包，无需进行解密再加密再 转发的处理，从而可大大降低交换设备的计算负担，提高网络的传输效率。

发明内容

为了解决背景技术中存在的上述技术问题，本发明提供了一种用户终端之 间安全连接的建立方法及系统，通过交换设备为其直连两个用户终端之间建立 站间密钥来保护用户终端之间用户数据的机密性和完整性。

本发明的技术解决方案是：本发明提供了一种用户终端之间安全连接的建 立方法，其特殊之处在于：所述方法包括以下步骤：

1)第一用户终端STA1向交换设备SW发送站间密钥请求分组；

2)交换设备SW收到第一用户终端STA1发来的站间密钥请求分组后，产生 站间密钥，构造站间密钥通告分组并发送给第二用户终端STA2；

3)第二用户终端STA2收到交换设备SW发送的站间密钥通告分组后，构造 站间密钥通告响应分组并发送给交换设备SW；

4)交换设备SW收到第二用户终端STA2发送的站间密钥通告响应分组后， 构造站间密钥通告分组并发送给第一用户终端STA1；

5)第一用户终端STA1收到交换设备SW发送的站间密钥通告分组后，构造 站间密钥通告响应分组并发送给交换设备SW；

6)交换设备SW接收第一用户终端STA1发送的站间密钥通告响应分组。

上述步骤1)的具体实现方式是：

当第一用户终端STA1要与第二用户终端STA2进行保密通信时，若用户终端 STA1与用户终端STA2是同一交换设备SW下直连用户终端，第一用户终端STA1 首先检查本地是否保存有与第二用户终端STA2共享的站间密钥，若有，则使用 站间密钥加密数据包；若没有，则第一用户终端STA1构造站间密钥请求分组， 发送给交换设备SW；所述站间密钥请求分组的主要内容包括：KN1字段以及 MIC1字段；

其中：

KN1字段：表示第一用户终端STA1的密钥通告标识，其值为一个整数，初 始值为一定值，在每次站间密钥请求时该字段值加1或增加一个定值使用；

MIC1字段：表示消息鉴别码，其值为第一用户终端STA1利用与交换设备SW 共享的单播密钥中的协议数据密钥PDK₁对站间密钥请求分组中本字段外的其他 字段通过杂凑函数计算得到的杂凑值。

上述步骤2)的具体实现方式是：

2.1)交换设备SW收到第一用户终端STA1发来的站间密钥请求分组后，首 先检查KN1字段是否单调递增，若不是，则丢弃该分组；若是，则执行步骤2.2)；