[发明专利]用户终端之间安全连接的建立方法及系统

权利要求书

1.一种用户终端之间安全连接的建立方法，其特征在于：所述方法包括以 下步骤：

1)第一用户终端STA1向交换设备SW发送站间密钥请求分组，所述站间密 钥请求分组的主要内容包括：KN1字段以及MIC1字段；

其中：

KN1字段：表示第一用户终端STA1的密钥通告标识，其值为一个整数，初 始值为一定值，在每次站间密钥请求时该字段值加1或增加一个定值使用；

MIC1字段：表示消息鉴别码，其值为第一用户终端STA1利用与交换设备SW 共享的单播密钥中的协议数据密钥PDK₁对站间密钥请求分组中本字段外的其他 字段通过杂凑函数计算得到的杂凑值；

2)交换设备SW收到第一用户终端STA1发来的站间密钥请求分组后，产生 站间密钥，构造第一站间密钥通告分组并发送给第二用户终端STA2，所述第一 站间密钥通告分组包括：KN2字段、E₂字段以及MIC2字段；

其中：

KN2字段：表示第二用户终端STA2的密钥通告标识，其值为一个整数，初 始值为一定值，在每次站间密钥通告时该字段值加1或增加一个定值使用；

E₂字段：表示密钥加密数据，是交换设备SW利用与第二用户终端STA2共享 的单播密钥中的协议数据密钥PDK₂对站间密钥STAkey_1-2加密后的数据；

MIC2字段：表示消息鉴别码，其值为交换设备SW利用与第二用户终端STA2 共享的单播密钥中的协议数据密钥PDK₂对站间密钥通告分组中本字段外的其他 字段通过杂凑函数计算得到的杂凑值；

3)第二用户终端STA2收到交换设备SW发送的第一站间密钥通告分组后， 构造第一站间密钥通告响应分组并发送给交换设备SW；

所述第一站间密钥通告响应分组包括：KN2字段和MIC3字段；

其中：

MIC3字段：表示消息鉴别码，由第二用户终端STA2利用与交换设备SW共 享的单播密钥中的协议数据密钥PDK₂对第一站间密钥通告响应分组中本字段外 的其他字段通过杂凑函数计算得到的杂凑值；

4)交换设备SW收到第二用户终端STA2发送的第一站间密钥通告响应分组 后，构造第二站间密钥通告分组并发送给第一用户终端STA1，所述第二站间密 钥通告分组主要内容包括：KN1字段、E₁字段以及MIC4字段；

其中：

E₁字段：表示密钥加密数据，是交换设备SW利用与第一用户终端STA1共享 的单播密钥中的协议数据密钥PDK₁对站间密钥STAkey_1-2加密后的数据，其中站 间密钥STAkey_1-2同通告给第二用户终端STA2的站间密钥STAkey_1-2；

MIC4字段：表示消息鉴别码，其值为交换设备SW利用与第一用户终端STA1 共享的单播密钥中的协议数据密钥PDK₁对第二站间密钥通告分组中本字段外的 其他字段通过杂凑函数计算得到的杂凑值；

5)第一用户终端STA1收到交换设备SW发送的第二站间密钥通告分组后， 构造第二站间密钥通告响应分组并发送给交换设备SW，所述第二站间密钥通告 响应分组内容包括：KN1字段以及MIC5字段；

其中：

MIC5字段：表示消息鉴别码，由第一用户终端STA1利用与交换设备SW共 享的单播密钥中的协议数据密钥PDK₁对第二站间密钥通告响应分组中本字段外 的其他字段通过杂凑函数计算得到的杂凑值；

6)交换设备SW接收第一用户终端STA1发送的第二站间密钥通告响应分组。