一种邻居用户终端间保密通信方法及系统

摘要

本发明涉及一种邻居用户终端间保密通信方法及系统。该方法包括以下步骤：1)选择邻居加密交换设备；2)建立站间密钥；3)进行数据保密通信。本发明所提供的邻居用户终端间保密通信方法及系统在安全网络架构下，邻居用户终端间进行保密通信时，利用他们之间共有的邻居交换设备为他们建立站间密钥，后续的通信就可以直接使用该站间密钥实现数据的保密传输。该方法中，需要进行保密通信的邻居用户终端间不需要两两进行身份鉴别，从而减少了网络负担。

主权项

一种邻居用户终端间保密通信方法，其特征在于：该方法包括以下步骤：1)选择邻居加密交换设备；第一用户终端(STA1)发送邻居加密交换设备选择请求分组(M1)给第二用户终端(STA2)；所述邻居加密交换设备选择请求分组中包括第一用户终端(STA1)的邻居加密交换设备的信息列表；第二用户终端(STA2)收到第一用户终端(STA1)发送的邻居加密交换设备选择请求分组(M1)后，查看第二用户终端(STA2)的邻居加密交换设备列表，选择一个和第一用户终端(STA1)共有的邻居加密交换设备，构造邻居加密交换设备选择响应分组(M2)发送给第一用户终端(STA1)；所述邻居加密交换设备选择响应分组(M2)中包括第二用户终端(STA2)选择的和第一用户终端(STA1)共有的邻居加密交换设备的信息；第一用户终端(STA1)收到第二用户终端(STA2)发送的邻居加密交换设备选择响应分组(M2)后，提取第二用户终端(STA2)选择的和自己共有的邻居加密交换设备的信息；2)建立站间密钥；第一用户终端(STA1)发送站间密钥请求分组(M3)给加密交换设备(ESW‑B)，请求协助建立与第二用户终端(STA2)之间的站间密钥；所述站间密钥请求分组(M3)中包括第二用户终端(STA2)的标识信息；加密交换设备(ESW‑B)收到第一用户终端(STA1)发送的站间密钥请求分组(M3)后，生成一随机数作为第一用户终端(STA1)与第二用户终端(STA2)之间的站间密钥STAKey1‑2，构造站间密钥通告分组(M4)发送给第二用户终端(STA2)；所述站间密钥通告分组(M4)中包括第一用户终端(STA1)的标识信息及用加密交换设备(ESW‑B)与第二用户终端(STA2)之间的共享密钥KEYB‑2进行保护的STAKey1‑2的加密信息字段；第二用户终端(STA2)收到加密交换设备(ESW‑B)发送的站间密钥通告分组(M4)后，利用第二用户终端(STA2)与加密交换设备(ESW‑B)之间的密钥KEYB‑2解密STAKey1‑2的加密信息字段得到STAKey1‑2信息，即得到与第一用户终端(STA1)之间的站间密钥；然后构造站间密钥通告响应分组(M5)发送给加密交换设备(ESW‑B)；所述站间密钥通告响应分组(M5)中包括第一 用户终端(STA1)的标识信息；加密交换设备(ESW‑B)收到第二用户终端(STA2)发送的站间密钥通告响应分组(M5)后，得知第二用户终端(STA2)已收到与第一用户终端(STA1)之间的站间密钥信息，构造站间密钥响应分组(M6)发送给第一用户终端(STA1)；所述站间密钥响应分组(M6)中包括第二用户终端(STA2)的标识信息及用加密交换设备(ESW‑B)与第一用户终端(STA1)之间的共享密钥KEYB‑1进行保护的STAKey1‑2的加密信息字段；第一用户终端(STA1)收到加密交换设备(ESW‑B)发送的站间密钥响应分组(M6)后，利用第一用户终端(STA1)与加密交换设备(ESW‑B)之间的密钥KEYB‑1解密STAKey1‑2的加密信息字段得到STAKey1‑2信息，即得到与第二用户终端(STA2)之间的站间密钥；3)进行数据保密通信；通过步骤2)站间密钥建立过程建立第一用户终端(STA1)与第二用户终端(STA2)之间的站间密钥STAKey1‑2后，第一用户终端(STA1)与第二用户终端(STA2)之间就可以利用该站间密钥进行数据保密通信：从第一用户终端(STA1)发送到第二用户终端(STA2)的数据由第一用户终端(STA1)利用STAKey1‑2进行加密发送，第二用户终端(STA2)收到后利用STAKey1‑2进行解密；从第二用户终端(STA2)发送到第一用户终端(STA1)的数据由第二用户终端(STA2)利用STAKey1‑2进行加密发送，第一用户终端(STA1)收到后利用STAKey1‑2进行解密；其中两个用户终端间的数据包不会经过任意一个加密交换设备，则这两个用户终端相互为邻居用户终端。