[发明专利]一种端到端安全连接的建立方法及系统

说明书

技术领域

本发明涉及通信网络安全应用领域，尤其涉及一种端到端安全连接的建立方法及系统。

背景技术

有线局域网一般为广播型网络，一个节点发出的数据，其它节点都能收到。网络上的各个节点共享信道，这给网络带来了极大的安全隐患。攻击者只要接入网络进行监听，就可以捕获网络上所有的数据包。

现有国家标准GB/T 15629.3(对应IEEE 802.3或ISO/IEC 8802-3)定义的局域网LAN并不提供数据保密方法，这样就使得攻击者容易窃取到关键信息。在国际研究领域里，IEEE所制定的IEEE 802.1AE标准为保护以太网提供数据加密协议，并采用逐跳加密的安全措施来实现网络节点之间数据的安全传达。这种安全措施给局域网中的交换设备带来了巨大的计算负担，容易引发攻击者对交换设备的攻击；且数据包从发送节点传递到目的节点的延时也会增大，降低了网络传输效率。

有线局域网的拓扑结构比较复杂，涉及到的节点(这里，终端和交换设备被统称为节点)数目也比较多，因此网络中的数据通信比较复杂。如果为局域网节点间分配静态的密钥对来建立端到端的安全连接，其分配和更新过程极为复杂。因此，静态密钥对的方式并不适合建立局域网端到端的安全连接。

发明内容

为了解决背景技术中存在的上述技术问题，本发明提供了一种网络安全性更高的端到端安全连接的建立方法及系统。

本发明的技术解决方案是：

一种端到端安全连接的建立方法，包括以下步骤：

1)发送源节点N_Source发送密钥请求分组给核心交换设备SW_Center，所述密钥请求分组包含ID_Destination字段以及MIC1字段，其中：

ID_Destination字段：表示目的节点N_Destination的标识；

MIC1字段：表示消息完整性验证码，由发送源节点N_Source用其与核心交换设备SW_Center之间的密钥KEY_S-Center对该密钥请求分组中本字段外的其他字段通过杂凑函数计算得到的杂凑值。

2)核心交换设备SW_Center收到密钥请求分组后，构造密钥通告分组发送给目的节点N_Destination，所述密钥通告分组包含：ID_Source字段、E_key1字段以及MIC2字段，其中：

ID_Source字段：表示发送源节点N_Source的标识；

E_key1字段：表示密钥资料数据，由核心交换设备SW_Center用其与目的节点N_Destination之间的密钥KEY_D-Center对随机数KEY_S-D加密后的数据，其中随机数KEY_S-D是核心交换设备SW_Center生成的随机数；

MIC2字段：表示消息完整性验证码，由核心交换设备SW_Center用其与目的节点N_Destination之间的密钥KEY_D-Center对该密钥通告分组中本字段外的其他字段通过杂凑函数计算得到的杂凑值；

3)目的节点N_Destination收到密钥通告分组后，构造密钥通告响应分组发送给核心交换设备SW_Center，所述密钥通告响应分组包含：ID_Source字段以及MIC3字段，其中：

MIC3字段；表示消息完整性验证码，由目的节点N_Destination利用与核心交换设备SW_Center之间的密钥KEY_D-Center对该密钥通告响应分组中本字段外的其他字段通过杂凑函数计算得到的杂凑值；

4)核心交换设备SW_Center收到密钥通告响应分组后，构造密钥响应分组发送给发送源节点N_Source，所述密钥响应分组包含：ID_Destination字段、E_key2字段以及MIC4字段，其中：