| 发明名称 | 一种加密设备和非加密设备混合组网的通信方法 | ||
| 摘要 | 一种加密设备和非加密设备混合组网的通信方法,该通信方法中,所有的非加密交换设备对于网络中所有的协议数据包以及用户数据包均直接透传转发,所有的加密交换设备对于协议数据包的处理均采用以下三步骤进行处理:父加密交换设备探寻过程、鉴别与单播密钥建立过程、节点间密钥建立。本发明解决了背景技术通信方法安全隐患大、升级代价大、传输效率低的技术问题,实现了加密交换设备与非加密交换设备的兼容,同时保证了局域网数据链路层的保密传输,既可实现传统节点之间的非加密通信,又可实现加密设备之间的保密通信。 | ||
| 申请公布号 | CN101834722B | 申请公布日期 | 2012.06.13 |
| 申请号 | CN201010155326.3 | 申请日期 | 2010.04.23 |
| 申请人 | 西安西电捷通无线网络通信股份有限公司 | 发明人 | 李琴;曹军;铁满霞;黄博 |
| 分类号 | H04L9/14(2006.01)I;H04L9/30(2006.01)I;H04L12/56(2006.01)I;H04L12/18(2006.01)I | 主分类号 | H04L9/14(2006.01)I |
| 代理机构 | 西安智邦专利商标代理有限公司 61211 | 代理人 | 王少文 |
| 主权项 | 一种加密设备和非加密设备混合组网的通信方法,其特征在于:包括以下步骤:步骤1]当新节点N1接入当前局域网时,若新节点N1是非加密交换设备CSW或者是非加密用户终端CSTA,则进行步骤5];若新节点N1是加密交换设备ESW或加密用户终端ESTA,则进行步骤2];步骤2]父加密交换设备探寻过程:步骤2.1]父加密交换设备探寻请求分组:新节点N1构造父加密交换设备探寻请求分组,并发送给局域网网关;该分组内容为空;步骤2.2]父加密交换设备探寻响应分组:父加密交换设备ESW‑P1收到父加密交换设备探寻请求分组后,不再转发,将新节点N1信息保存,并根据自己的标识信息,构造父加密交换设备探寻响应分组,发送给新节点N1;该分组内容主要包含: IDESW‑P1所述IDESW‑P1字段表示新节点N1的父加密交换设备的标识,其字段值为加密交换设备ESW‑P1的标识值;其中:加密节点通往核心交换设备ESW‑Center的数据包经过的除发送节点外的第一个加密交换设备是该加密节点的父加密交换设备,核心交换设备ESW‑Center的父加密交换设备就是核心交换设备ESW‑Center本身;局域网的核心交换设备ESW‑Center是加密交换设备,局域网中所有的三层交换设备是加密交换设备;步骤2.3]确定父加密交换设备:新节点N1收到父加密交换设备探寻响应分组后,记录IDESW‑P1字段值,该字段值所标识的加密交换设备就是新节点N1的父加密交换设备;步骤3]鉴别与单播密钥建立过程:若新节点N1是加密用户终端,记为ESTA1,则加密用户终端ESTA1通过其它安全机制与其父加密交换设备ESW‑P1进行鉴别,并协商出新节点N1与其父加密交换设备ESW‑P1之间的单播密钥USK1‑P1;若新节点N1是加密交换设备,记为ESW1,则加密交换设备ESW1通过其它安全机制与其父加密交换设备ESW‑P1进行鉴别,并协商出单播密钥USK1‑P1;然后加密交换设备ESW1执行以下步骤之一:1]加密交换设备ESW1通过父加密交换设备ESW‑P1建立加密交换设备ESW1与网络中所有其他的加密交换设备两两之间的单播密钥;2]加密交换设备ESW1通过父加密交换设备ESW‑P1建立加密交换设备ESW1与核心交换设备ESW‑Center之间的单播密钥USK1‑Center;步骤4]节点间密钥建立:步骤4.1]若发送源节点NSource知晓目的上行加密交换设备ESW‑UP‑D的标识IDESW‑UP‑D的信息,则执行步骤4.3];若发送源节点NSource不知晓目的上行加密交换设备ESW‑UP‑D的标识IDESW‑UP‑D的信息,则执行步骤4.2];其中:上行加密交换设备是指加密节点通往核心交换设备的数据包经过的第一个加密交换设备;目的上行加密交换设备是指目的节点NDestination的上行加密交换设备,记为ESW‑UP‑D,其标识为IDESW‑UP‑D;步骤4.2]发送源节点NSource获取目的上行加密交换设备ESW‑UP‑D的标识IDESW‑UP‑D,并记录该标识,然后执行步骤4.3];步骤4.3]若源上行加密交换设备ESW‑UP‑S与目的上行加密交换设备ESW‑UP‑D是同一个交换设备,则由该加密交换设备负责为发送源节点NSource和目的节点NDestination建立节点间密钥NKeyS‑D;若源上行加密交换设备ESW‑UP‑S与目的上行加密交换设备ESW‑UP‑D不是同一个交换设备,则根据已建立的单播密钥的情况,选择以下适用的一种节点间密钥建立机制建立节点间密钥NKeyS‑D:1]若网络中的加密用户终端ESTA已建立与其父加密交换设备ESW‑Center之间的单播密钥且网络中所有的加密交换设备ESW两两之间已建立单播密钥,则由源上行加密交换设备ESW‑UP‑S与目的上行加密交换设备ESW‑UP‑D负责为发送源节点NSource和目的节点NDestination建立节点间密钥NKeyS‑D;2]若网络中的加密用户终端ESTA已建立与其父加密交换设备ESW‑Center之间的单播密钥且网络中的加密交换设备ESW已建立与核心交换设备ESW‑Center之间的单播密钥,则由核心交换设备ESW‑Center、源上行加密交换设备ESW‑UP‑S及目的上行加密交换设备ESW‑UP‑D负责为发送源节点NSource和目的节点NDestination建立节点间密钥NKeyS‑D;其中:源上行加密交换设备是指发送源节点NSource的上行加密交换设备,记为ESW‑UP‑S,其标识为IDESW‑UP‑S;步骤5]完成接入过程,按以下原则进行通信:需要保密通信的加密节点之间采用按照步骤4]所建立的节点间密钥进行保密通信;非加密节点之间进行非加密通信;加密交换设备ESW对非加密通信数据包进行透传转发;加密交换设备ESW对使用节点间密钥加密的通信数据包进行透传转发;非加密交换设备CSW对保密通信数据包进行透传转发。 | ||
| 地址 | 710075 陕西省西安市高新区科技二路68号西安软件园秦风阁A201 | ||