技術領域

本發明涉及通信網絡安全應用領域，尤其涉及一種端到端共享密鑰的建立方法及系統。

背景技術

有線局域網一般為廣播型網絡，一個節點發出的數據，其它節點都能收到。網絡上的各個節點共享信道，這給網絡帶來了極大的安全隱患。攻擊者只要接入網絡進行監聽，就可以捕獲網絡上所有的數據包。

現有國家標準GB/T?15629.3(對應IEEE?802.3或ISO/IEC?8802-3)定義的局域網LAN并不提供數據保密方法，這樣就使得攻擊者容易竊取到關鍵信息。在國際研究領域里，IEEE所制定的IEEE?802.1AE標準為保護以太網提供數據加密協議，并采用逐跳加密的安全措施來實現網絡節點之間數據的安全傳達。這種安全措施給局域網中的交換設備帶來了巨大的計算負擔，容易引發攻擊者對交換設備的攻擊；且數據包從發送節點傳遞到目的節點的延時也會增大，降低了網絡傳輸效率。

有線局域網的拓撲結構比較復雜，涉及到的節點(這里，終端和交換設備被統稱為節點)數目也比較多，因此網絡中的數據通信比較復雜。如果為局域網節點間分配靜態的密鑰對來建立端到端的共享密鑰，其分配和更新過程極為復雜。因此，靜態密鑰對的方式并不適合建立局域網端到端的共享密鑰。

發明內容

為了解決背景技術中存在的上述技術問題，本發明提供了一種安全性能更好的端到端共享密鑰的建立方法及系統。

本發明的技術解決方案是：

一種端到端共享密鑰的建立方法，包括以下步驟：

1)發送源節點N_Source發送第一密鑰協商請求分組給核心交換設備SW_Center，所述第一密鑰協商請求分組包含：ID_Destination字段、E₁(Nonce_S)字段以及MIC1字段，其中：

ID_Destination字段：表示目的節點N_Destination的標識；

E₁(Nonce_S)字段：表示發送源節點N_Source的詢問資料數據，由發送源節點N_Source利用其與核心交換設備SW_Center之間的密鑰KEY_S-Center對發送源節點N_Source的詢問Nonce_S加密后的數據；其中Nonce_S是由發送源節點N_Source生成的隨機數；

MIC1字段：表示消息完整性驗證碼，由發送源節點N_Source利用其與核心交換設備SW_Center之間的密鑰KEY_S-Center對第一密鑰協商請求分組中本字段外的其他字段通過雜湊函數計算得到的雜湊值；

2)核心交換設備SW_Center收到第一密鑰協商請求分組后，構造第二密鑰協商請求分組給目的節點N_Destination；所述第二密鑰協商請求分組包含：ID_Source字段、E₂(Nonce_S)字段以及MIC2字段，其中：

ID_Source字段：表示發送源節點N_Source的標識；

E₂(Nonce_S)字段：表示發送源節點N_Source的詢問資料數據，由核心交換設備SW_Center用其與目的節點N_Destination之間的密鑰KEY_D-Center對發送源節點N_Source的詢問Nonce_S加密后的數據；

MIC2字段：表示消息完整性驗證碼，由核心交換設備SW_Center用其與目的節點N_Destination之間的密鑰KEY_D-Center對第二密鑰協商請求分組中本字段外的其他字段通過雜湊函數計算得到的雜湊值；