CN101141241B - 实现mac安全的方法以及网络设备 - Google Patents
实现mac安全的方法以及网络设备 Download PDFInfo
- Publication number
- CN101141241B CN101141241B CN2006101269400A CN200610126940A CN101141241B CN 101141241 B CN101141241 B CN 101141241B CN 2006101269400 A CN2006101269400 A CN 2006101269400A CN 200610126940 A CN200610126940 A CN 200610126940A CN 101141241 B CN101141241 B CN 101141241B
- Authority
- CN
- China
- Prior art keywords
- mac
- key
- voting protocol
- security arrangement
- macsec
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
- H04L63/123—Applying verification of the received information received data contents, e.g. message integrity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/162—Implementing security features at a particular protocol layer at the data link layer
Abstract
本发明公开了一种实现MAC安全的方法以及网络设备,一种生成安全关联密钥的方法,其中在通信网络中已根据MAC安全应用范围,预设有MAC安全层次,在KSP实例上预设本实例所属的MAC安全层次,本方法包括:发送端KSP实例向同一安全连接关联的其他密钥选举协议实例,发送KSPDU,其中KSPDU包含本实例的安全关联主密钥标识、所属的MAC安全层次信息;接收KSP实例判断本实例是否拥有与KSPDU一致的安全关联主密钥标识,如果是,则根据所述KSPDU获取所述安全关联密钥。
Description
技术领域
本发明涉及网络通信领域,特别的涉及一种实现MAC安全的方法以及网络设备。
背景技术
网络链路层的安全技术是网络通信的重大研究课题,IEEE 802.1.ae任务组对该课题进行了研究,提出使用MAC安全(Media Access Control Security,简称MACsec)来保护二层通信的安全,防范二层攻击。该MACsec方法具体来说就是,MACsec实体(MAC Security Entity,简称SecY)使用安全关联密钥(Secure Association Key,简称SAK),来对要发送的数据进行加密,接收SecY在接收到数据后,使用相同的密钥来解密,从而获得数据,这样保证了数据的机密性。同时的,接收SecY通过检查完整性校验值,来判断接收到的数据和发送SecY发出来的数据一致,保证数据的完整性,以及正确性。
在IEEE 802.1.ae任务组目前在协议中规定的MACsec是基于LAN的。各个SecY要进行通讯,就必须同属于一个安全连接关联(Secure ConnectivityAssociation,简称CA),同一个CA中的各个SecY拥有相同的安全关联主密钥(Secure Connectivity Association Key,简称CAK)。CAK可以是手工配置,也可以在通过认证后,从认证服务器获得。各个SecY使用CAK来协商产生一个SAK,SAK是不断变化更新的,而CAK则是固定不变的,即使设备重启,CAK也将保持不变。SAK的不断变化更新,极大地提高了数据的安全性。
图1为处于同一共享介质LAN中的媒体访问控制(Media Access Control,简称MAC)设备的通信示意图,如图示,MAC设备A、B、C、D同处于以共享介质LAN中,各设备之间可以互相访问通信。假设MAC设备A、B、C同属于一个CA,拥有相同的CAK,而MAC设备D则排除在外,那么如图2所示,显然,MAC设备A、B、C上的SecY可以进行MACsec安全通信,而MAC设备D由于没有SAK,即使抓到了A、B或C发出来的MACsec帧,也不能解密。
IEEE 802.1af任务组针对SAK的产生作了规定,SecY使用的SAK是从密钥协商实体(MAC Security Key Agreement Entity,简称KaY)获得。一个KaY可以包含一个或多个密钥选举协议(Key Selection Protocol,简称KSP)实例,一个KSP实例对应于一个SecY,它们拥有相同的CAK。KSP实例使用CAK和同一CA内的其他KSP实例,共同协商出SAK,然后交付给本CA内的SecY使用。其中KSP实例的数据包的接收和发送通过本KSP实例对应的KaY进行转发,即当KSP实例需要向链路发送一个数据包时,首先将该数据包发送至其对应的KAY,由该KAY将该数据包转发至链路上。
SAK具体是使用KSP协议,通过密钥选举协议数据单元(Key SelectionProtocol Data Units,简称KSPDU)的交互通信产生。如图3所示为KSPDU的帧格式示意图,KSPDU帧的目的MAC地址(Destination Address)使用组播地址,所以同一LAN内的所有MAC设备都能接收到KSPDU。网桥不对KSPDU进行转发,而是过滤掉KSPDU,这样就把KSPDU局限在同一LAN内。实现了LAN内的MACsec通信。
然而,由于现有的MACsec技术都是针对LAN的,同一CA内的所有SecY都必须处于同一LAN内,MACsec对数据的保护都是必须采用逐跳的方式,即需要在每段链路之间进行解密、加密。如图4所示,对于由网桥构成的网络系统,用户终端A和用户终端B之间发送的以加密通信帧,在网桥1、网桥2、网桥3都可以进行解密,读取到用户数据,这对于用户数据来说是很大的安全威胁。特别的,当中间网桥不属于用户自己管理时,用户数据的安全性、机密性根本得不到保护。
发明内容
本发明要解决的技术问题是提供一种在各MACsec层独立生成安全关联密钥的方法,以实现在通信网络内实现多层次的MACsec,并实现多层次的MACsec安全网络通信。
本发明要解决的技术问题是还提供一种实现网络通信MAC安全的方法,以确保网络通信的机密性。
本发明要解决的技术问题是还提供一种网络设备,以实现在通信网络内实现多层次的MACsec,并实现多层次的MACsec安全网络通信。
本发明要解决的技术问题是还提供一种网络设备,以确保网络通信的机密性。
为解决上述第一技术问题,本发明的目的是通过以下技术方案实现的:
一种生成安全关联密钥的方法,在通信网络中已根据MAC安全应用范围,预设有MAC安全层次,在密钥选举协议实例上预设本实例所属的MAC安全层次,所述方法包括:
发送端密钥选举协议实例向同一安全连接关联的其他密钥选举协议实例,发送密钥选举协议数据单元,其中所述密钥选举协议数据单元包含所述发送端密钥选举协议实例的安全关联主密钥标识、本实例所属的MAC安全层次信息;
接收密钥选举协议实例判断所述接收密钥选举协议实例是否拥有与所述密钥选举协议数据单元一致的安全关联主密钥标识,如果是,则根据所述密钥选举协议数据单元生成所述安全关联密钥。
本发明所述方法中,可选地,发送端密钥选举协议实例发送所述密钥选举协议数据单元之后,所述接收密钥选举协议实例接收所述密钥选举协议数据单元之前,进一步包括:
非控制端口接收所述密钥选举协议数据单元,判断本端口是否存在所述密钥选举协议数据单元所属的MAC安全层次,如果是,将所述密钥选举协议数据单元传递至所述层次对应的MAC安全密钥协商实体;
所述MAC安全密钥协商实体将所述密钥选举协议数据单元传递至本实体下的密钥选举协议实例。
本发明所述方法中,可选地,如果所述非控制端口判断本端口存在所述密钥选举协议数据单元所属的MAC安全层次,则停止向下一链路发送所述密钥选举协议数据单元;否则,则向下一链路转发所述密钥选举协议数据单元。
本发明所述方法中,可选地,在通信网络中根据MAC安全应用范围,预设MAC安全层次,具体包括:
在以太网的终端之间设置MAC安全层次,和/或,在以太网的各链路之间分别设置MAC安全层次。
本发明所述方法中,可选地,在通信网络中根据MAC安全应用范围,预设MAC安全层次,具体包括:
在用户桥网络之间设置MAC安全层次,和/或,在运营商桥网络之间设置MAC安全层次。
本发明所述方法中,可选地,所述密钥选举协议数据单元包含所述发送端密钥选举协议实例所属的MAC安全层次信息,具体通过以下方式实现:
预设各MAC安全层次的密钥选举协议实例使用的组播MAC地址,使得各组播MAC地址与各MAC安全层次一一对应;
在所述密钥选举协议数据单元的目的地址中携带所述发送端密钥选举协议实例所在的MAC安全层次所对应的组播MAC地址。
本发明所述方法中,可选地,所述密钥选举协议数据单元包含所述发送端密钥选举协议实例所属的MAC安全层次信息,具体通过以下方式实现:
在所述密钥选举协议数据单元中携带MAC安全层次标识。
本发明所述方法中,可选地,所述密钥选举协议数据单元包含所述发送端密钥选举协议实例所属的MAC安全层次信息,具体通过以下方式实现:
预设各MAC安全层次的安全关联主密钥标识,使得安全关联主密钥标识与所述MAC安全层次一一对应;
在所述密钥选举协议数据单元中携带所述发送端密钥选举协议实例所对应的安全关联主密钥标识。
本发明所述方法中,可选地,所述密钥选举协议数据单元包含所述发送端密钥选举协议实例所属的MAC安全层次信息,具体通过以下方式实现:
预规划各MAC安全层次的安全关联主密钥标识,使得所述安全关联主密钥标识取值的不同范围段对应所述不同的MAC安全层次;
在所述密钥选举协议数据单元中携带所述发送端密钥选举协议实例所对应的安全关联主密钥标识。
本发明所述方法中,可选地,如果在所述的MAC安全层次中的同一安全连接关联仅包括两个密钥选举协议实例,并且所述两个密钥选举协议实例分别在两个网络设备,则第一密钥选举协议实例采用单播的方式,向第二密钥选举协议实例,发送所述密钥选举协议数据单元。
本发明所述方法中,可选地,所述密钥选举协议数据单元包含所述第一密钥选举协议实例所属的MAC安全层次信息,具体通过以下方式实现:
在所述第二密钥选举协议实例上预存所述第一密钥选举协议实例所在的网络设备的安全信道标识、以及MAC安全层次对应关系;
所述第二密钥选举协议实例接收到所述第一密钥选举协议实例发送的密钥选举协议数据单元后,根据所述密钥选举协议数据单元中的安全信道标识,获取所述第一密钥选举协议实例所属的MAC安全层次。
为解决上述第二技术问题,本发明的目的是通过以下技术方案实现的:
一种使用所述的安全关联密钥实现网络通信MAC安全的方法,在所述网络的网络设备上根据MAC安全的应用范围,预设有MAC安全层次,并且预设有所述MAC安全层次的MAC安全实体、密钥选举协议实例以及所述密钥选举协议实例的安全关联密钥,所述方法包括:
发送MAC安全实体根据需要,使用所述安全关联密钥加密并发送通信帧;
接收MAC安全实体判断本MAC安全实体是否存在所述通信帧的安全关联密钥,如果是,则使用所述安全关联密钥解密所述通信帧,否则,如果所述接收MAC安全实体在网桥设备上,则转发所述通信帧,如果所述接收MAC安全实体在终端设备上,则丢弃通信帧。
本发明所述方法中,可选地,所述接收MAC安全实体接收所述通信帧后,如果本MAC安全实体不存在所述通信帧的安全关联密钥,并且所述接收MAC安全实体在网桥设备上,则在转发所述通信帧之前,进一步包括:
使用所述接收MAC安全实体所在的发送端口上的MAC安全实体对所述通信帧进行加密。
本发明所述方法中,可选地,所述发送MAC安全实体对所述通信帧进行加密时,在MAC安全标签中携带加密所使用的安全关联密钥所属的MAC安全层次信息,接收MAC安全实体接收所述通信帧之前进一步包括:
接收MAC安全实体所在的物理端口读取所述通信帧携带的MAC安全层次信息,判断本网口是否存在所述MAC安全层次,如果是,则将所述通信帧发送至所述接收MAC安全实体;否则,直接转发至下一链路。
本发明所述方法中,可选地,所述发送MAC安全实体加密所述通信帧,具体包括:
如果所述发送MAC安全实体所在的网络设备与下一网络设备的接口为运营商提供的Port-based Service Interface接口,则对所述通信帧中的用户虚拟局域网标签、和MAC服务数据单元加密,或者,仅对所述MAC服务数据单元加密;
如果所述发送MAC安全实体所在的网络设备与下一网络设备的接口为运营桥接网提供的C-Tagged Service Interface接口,则对所述通信帧中MAC服务数据单元加密;
如果所述发送MAC安全实体所在的网络设备与下一网络设备的接口为运营商骨干桥接网提供的S-tagged Service Interface接口,则仅对所述通信帧中的业务虚拟局域网标签S-Tag之后的数据加密。
为解决上述第三技术问题,本发明的目的是通过以下技术方案实现的:
一种网络设备,在所述网络设备上预设了至少一个MAC安全层次,所述网络设备包含,密钥选举协议实例,非控制端口,MAC安全密钥协商实体,其中所述密钥选举协议实例,包括:
发送单元,用于向与本实例同一安全关联内的其他密钥选举协议实例,发送密钥选举协议数据单元,并在所述密钥选举协议数据单元中标示本实例的安全关联主密钥标识、本实例所属的MAC安全层次标识;
接收单元,用于接收发送到所述密钥选举协议实例的密钥选举协议数据单元;
安全关联密钥生成单元,用于根据密钥选举协议数据单元,获取安全关联密钥;
所述非控制端口,用于接收所述密钥选举协议数据单元,并判断本端口是否存在所述的MAC安全层次,如果是,将所述密钥选举协议数据单元发送至所述层次对应的MAC安全密钥协商实体;
所述MAC安全密钥协商实体,用于接收将所接收的密钥选举协议数据单元传递至本实体下的密钥选举协议实例。
本发明所述系统中,可选地,所述非控制端口,在所述非控制端口不存在所接收的密钥选举协议数据单元指示的MAC安全层次的情况下,进一步用于向下一以太网链路转发所述密钥选举协议数据单元。
本发明所述系统中,可选地,所述网络设备进一步包括:
MAC地址配置单元,用于配置各MAC安全层次的MAC设备的组播MAC地址,使得所述组播MAC地址与所述MAC安全层次对应。
本发明所述系统中,可选地,所述网络设备进一步包括:
安全关联主密钥标识配置单元,用于设置各MAC安全层次的安全关联主密钥标识,使得所述的安全关联主密钥标识与所述MAC安全层次对应。
为解决上述第四技术问题,本发明的目的是通过以下技术方案实现的:
一种网络设备,在所述网络设备上根据MAC安全的应用范围,预设有至少一个MAC安全层次,网络设备上预设有所述MAC安全层次的MAC安全实体,并且预设有安全关联主密钥,密钥选举协议实例,以及由所述密钥选举协议实例为其对应的MAC安全实体所生成的安全关联密钥,所述MAC安全实体包括:
接收单元,用于接收通信帧;
加密单元,用于使用所述安全关联密钥加密所述通信帧;
安全关联密钥判定单元,用于判断本MAC安全实体是否存在所接收的通信帧的安全关联密钥;
解密单元,用于根据所述安全关联密钥判定单元的判定结果,当本MAC安全实体存在所接收的通信帧的安全关联密钥时,使用所述安全关联密钥解密所述通信帧。
本发明所述系统中,可选地,所述网络设备进一步包括:
接口类型读取单元,用于获取所述MAC安全实体所在的网络设备与下一网络设备的接口类型;
所述加密单元进一步与所述接口类型读取单元相连接,用于根据所述接口类型读取单元获取的接口类型,对所述通信帧进行加密。
由以上可见,本发明打破了现有技术中对MACsec技术仅局限于LAN内的应用的局限,在各个局域网间,整个以太网通信系统内,根据MACsec的应用范围,提供不同层次的MACsec,使得可以根据实际MACsec安全需要,选择不同的MACsec层次,各MACsec层次间相互独立,不能相互解密。保证了以太网通信的机密性和安全性,并且,更加的有利于通信的机密性的控制。
进一步的,本发明在以太网通信系统的各个链路间分别设置MACsec安全,既可以为LAN内的用户提供MACsec服务,同时也可以为网络自身的控制平面协议在自身网络内的逐跳通信提供了安全保证。
进一步的,本发明将以太网的各终端之间设置了MACsec层次,该层次可以为终端用户提供安全服务,使得终端用户之间的MACsec加密数据,终端之间的网桥(比如CBN、PBN和/或PBBN)无法对用户数据进行解密。因此该层次MACsec为终端用户提供了一种穿透终端间的所有网桥的服务。
进一步的,本发明对于存在PBN、PBBN的以太网络通信系统,在PBN之间设置MAC安全层次,可以为处于同一骨干虚拟局域网(Backbone-VLAN,简称B-VLAN)内的用户提供安全,使得加解密操作仅在同一B-VLAN内的用户设备之间进行,PBBN上的网桥无法对这些加密帧进行解密。因此,本层次的MACsec层次为PBBN用户提供了一种穿透PBBN的服务。
进一步的,本发明对于存在CBN,并且存在PBN(还可以存在PBBN)的以太网络通信系统,在CBN之间设置MAC安全层次,使得加解密操作仅在同一运营商虚拟局域网(Service Provider VLAN,简称S-VLAN)的用户设备间进行,PBN(和PBBN)无法对该加密帧进行解密。因此本层次的MACsec为PBN用户提供了一种穿透PBN和/或PBBN的服务。
进一步的,本发明针对在用于获取SAK的KSPDU中,如何标示发送该KSPDU的KSP实例所属的层分别提供了四种可选方案,可以根据不同的需要采用不同的方法,因此本发明方法易于实施。
进一步的,本发明对于用于获取SAK的KSPDU的通信,如果该通信为点对点通信,除了可以采用组播的方式外,还可以采用单播的方式,来发送该KSPDU。因此本发明相对于现有技术对于KSPDU的发送方式均使用组播的方式,进一步扩充了KSPDU的发送方法。
由以上第二技术方案可见,对于在通信网络上以及根据MAC安全的应用范围,预设有MAC安全层次,并且预设所述MAC安全层次的MAC安全密钥协商实体、MAC安全实体、密钥选举协议实例、以及所述密钥选举协议实例对应的安全关联主密钥的时候,可以根据不同MAC安全应用需要,选用不同的MACsec层次来加、解密数据,各MACsec层次间相互独立,不能相互解密。保证了以太网通信的机密性和安全性,并且,更加的有利于通信的机密性的控制,以及相对现有技术,大大提高了网络通信效率。
进一步的,对于终端用户间的用户数据通信,可以只选用终端间的MACsec层次对数据进行加解密,即避免了终端间的任何网桥对用户数据的解密操作,保证了数据通信的机密性,又相对于现有技术的逐链路解密、加密MACsec操作方式,具有高的网络通信效率。
进一步的,对于终端用户间的用户数据通信,如果用户需要,还可以进一步选用CBN之间的MACsec层次和/或PBN之间的MACsec层次对用户数据进行加密,使用多层加密,进一步保证用户数据的机密性。同时的相对于现有的逐链路解密、加密的MACsec操作方式,仍然具有较高的网络通信效率。
由以上第三技术方案可见,本发明打破了现有技术中对MACsec技术仅局限于LAN内的应用,在各个局域网间,整个以太网通信系统内,根据MACsec的应用范围,提供不同层次的MACsec,使得可以根据实际MACsec需要,选择不同的MACsec层次,各MACsec层次间相互独立,不能相互解密。保证了以太网通信的机密性和安全性,并且,更加的有利于通信的机密性的控制。
进一步的,在终端之间设置MACsec层次,该层次可以为用户终端设备提供安全服务,使得终端用户之间的MACsec加密数据,终端之间的网桥(比如CBN、PBN和/或PBBN)无法对用户数据进行解密。因此网络为终端用户提供了一种穿透终端间的所有网桥的服务。
进一步的,对于存在PBN、PBBN的以太网络通信系统,在各PBN边缘的与PBBN相连接的边缘网桥上设置MAC安全,实现了为处于同一骨干虚拟局域网(Backbone-VLAN,简称B-VLAN)内的用户提供安全的功能,使得加解密操作仅在同一B-VLAN内的用户设备之间进行,PBBN上的网桥无法对这些加密帧进行解密。因此,网络为PBBN用户提供了一种穿透PBBN的服务。
进一步的,本发明对于存在CBN的以太网络系统,并且存在PBN(还可以存在PBBN)的以太网络通信系统,在各CBN边缘的与PBN相连接的网桥上设置MAC安全,使得加解密操作仅在同一运营商虚拟局域网(ServiceProvider VLAN,简称S-VLAN)的用户设备间进行,PBN(和PBBN)无法对该加密帧进行解密。因此,网络系统为PBN用户提供了一种穿透PBN和/或PBBN的服务。
由以上第四技术方案可见,对于在通信网络上根据MAC安全的应用范围,预设有MAC安全层次,并且在网络中的设置了MACsec安全机制的网络设备上,预设安全关联主密钥的时候的时候,可以根据不同MAC安全应用需要,选用不同的MACsec层次来加、解密数据,各MACsec层次间相互独立,不能相互解密。保证了以太网通信的机密性和安全性,并且,更加的有利于通信的机密性的控制,以及相对现有技术,大大提高了网络通信效率。
进一步的,本发明对于存在CBN的以太网络系统,并且存在PBN(还可以存在PBBN)的以太网络通信系统,在各CBN边缘的与PBN相连接的网桥上设置MAC安全,使得加解密操作仅在同一运营商虚拟局域网(ServiceProvider VLAN,简称S-VLAN)的用户设备间进行,PBN(和PBBN)无法对该加密帧进行解密。因此,网络系统为PBN用户提供了一种穿透PBN和/或PBBN的服务。
进一步的,对于终端用户间的用户数据通信,可以只选用终端间的MACsec层次对数据进行加解密,即避免了终端间的任何网桥对用户数据的解密操作,保证了数据通信的机密性,又相对于现有技术的逐链路解密、加密MACsec操作方式,具有高的网络通信效率。
进一步的,对于终端用户间的用户数据通信,如果用户需要,还可以进一步选用CBN之间的MACsec层次和/或PBN之间的MACsec层次对用户数据进行加密,使用多层加密,进一步保证用户数据的机密性。同时的相对于现有的逐链路解密、加密的MACsec操作方式,仍然具有较高的网络通信效率。
附图说明
图1为处于同一共享介质LAN中的MAC设备的通信示意图;
图2为同一LAN中的MACsec通信示意图;
图3为KSPDU的帧格式示意图;
图4为包含网桥的网络系统;
图5为城域以太网的结构示意图;
图6为在城域以太网MACsec层次划分示意图;
图7为实施例1中获取SAK的方法流程示意图;
图8为实施例1中的一种KSPDU帧结构示意图;
图9为终端A使用终端级MACsec对用户数据进行加密的加密后的帧格式;
图10为CB1对图9所示的加密帧添加VLAN标签后的帧格式;
图11为CB2使用C-VLAN级MACsec对用户数据进行加密,加密后的帧格式;
图12为PB2使用S-VLAN级MACsec对用户数据进行加密,加密后的帧格式;
图13为图6中的终端A分别使用链路层、终端层MACsec对用户数据进行加密,加密后的帧格式示意图;
图14为在MACsec帧中的MACsec标签内增加MAC层次域的MACsec标签格式;
图15为实例4中的设置了MACsec的网络设备逻辑结构示意图;
图16为实例5中的设置了MACsec的网络设备逻辑结构示意图;
图17为实施例7中的一种网络设备的物理端口逻辑结构示意图;
图18为实施例8中的一种网络设备的物理端口逻辑结构示意图;
图19为实施例8中的一种网络设备的物理端口逻辑结构示意图。
具体实施方式
本发明的核心思想是,提供一种多层次的MACsec安全机制,在各MACsec层独立生成安全关联密钥,实现多层次的MACsec安全网络通信,为各层次用户数据提供安全穿透CBN、PBN和/或PBBN的机密性保护,并且提高了网络数据通讯的效率。
为了使得本领域的技术人员更好的理解本发明内容,以下结合附图以及具体实施方案,进行详细的说明:
实施例1:
本实施例针对在具有多层次MACsec的网络内生成SAK的方法,进行详细说明。
以图5所示的城域以太网系统的为例,如图5所示,本系统由终端、CBN、PBN、以及PBBN网络的节点网桥组成。假设在图5网络内预设了如图6所示的MACsec安全机制,如图6所示,本发明在网络系统中将MACsec分为四层。
第一层是链路级的MACsec,该层的MACsec划分具体是,将通信网络内的各LAN内的终端与相邻的网桥、以及各相邻的网桥间的各链路分别分别独立使用MACsec,即加解密操作仅在同一LAN内的设备之间进行,各链路间的MACsec相互独立。本层MACsec特别的适合LAN内的控制协议帧传输,比如LAN自身的生成树STP、快速生成树RSTP、多生成树MSTP、通用属性注册协议GARP等等,由于这些协议在自身LAN内都是逐跳的,使用本层的MACsec,有利于保证LAN内的控制信令传输的机密性,保证局域网控制平面的安全性。
第二层是S-VLAN级的MACsec,该层MACsec跨越PBBN,设置在PBN边缘、并且与PBBN相连接的网桥上(如图6所示的PB2与PB3)。本层的MACsec可以为处于同一B-VLAN内的用户提供MACsec安全服务,使得加解密仅在同一B-VLAN内的用户设备之间进行,PBBN上的网桥无法对采用该层MACsec的加密帧进行解密,也就是说S-VLAN层的MACsec为PBBN用户提供了一种穿透PBBN的服务。同时的,该层MACsec为PBN间的控制协议帧的传输,提供了穿透PBBN的服务,比如由PBN2发送到PBN4的控制协议帧,在PBN2的PB2处使用了第二层S-VLAN级MACsec安全加密,到了PBBN的边缘网桥处,就被当作PBBN自己的普通用户数据处理,直到到达PBN4的边缘设备PB3被解密,解密后此控制协议帧用于配置、管理PBN4。
第三层是C-VLAN级的MACsec,本层跨越PBN以及PBBN,设置在CBN内与PBN网络相连接的边缘用户网桥上(如图6所示的CB1与CB2)。本层为处于同一S-VLAN内的用户提供MAC安全服务,使得加解密操作仅在同一S-VLAN内的用户设备间进行,PBN、PBBN上的网桥无法对使用该MACsec加密的加密帧进行解密,也就是说C-VLAN层的MACsec为PBN的用户提供了一种穿透PBN、PBBN的服务。与第二层MACsec同理的,该层MACsec为CBN键的控制协议帧提供穿透PBN、PBBN的服务。
第四层是终端用户级的MACsec,本层设置在终端上,为处于同一C-VLAN内的用户提供MACsec安全服务,使得加解密操作仅在同一C-VLAN内的用户间进行,各用户间的CBN、PBN、PBBN内的网桥均无法对用户的帧进行解密,也就是说,终端用户级的MACsec为终端用户提供一种穿透CBN、PBN、PBBN的服务。
由上可见,本发明设置的MACsec安全级别,MACsec级别越高,其穿透网络的跨度越大。当网络的外层使用了高层的MACsec加密时,网络内层就不需要使用低层的MACsec来进行加密保护了,因为使用了低层MACsec进一步加密,降低了网络效率,不过安全性有所提高,实际使用中可以根据用户需要来进行选择。
值得说明的是,图6给出的MACsec层次划分方法为,针对城域以太网络,所采用的一种较优、并较合理的一种MACsec层次划分方法,在实际中可以由本发明出发,根据不同的网络结构以及MACsec需要,进行不同的MACsec层次划分,比如,可以选取上述的任意一层MACsec或任意几层MACsec的组合进行划分。
在网络中预设了不同的MACsec层次划分以后,并且为每层的MACsec分别配置了CAK后,KSP实例构造并发送KSPDU,在和其他同一CA内的KSP实例交换KSPDU后产生SAK。每层KSP实例获得SAK后,就可以使用SAK进行多层次的MACsec通信了。
图7为使用计算法获取SAK的方法流程示意图,如图示,本方法包括以下步骤:
步骤S701:发送端的KSP实例周期性的生成用于获取SAK的KSPDU,并在生成KSPDU后,向本KSP实例所属的KaY发送该KSPDU,并在KSPDU内包含CAK、本KSP实例所属的MACsec层次、以及KC参数等信息。
一个设备在使用MACsec前,首先需要获得安全连接关联主密钥CAK,CAK可能是手工配置的,也可能在通过认证后,从认证服务器获得。在配置CAK的时候必须指明此CAK属于哪一层MACsec。
KSP实例构造并在KSPDU内包含本KSP实例所属的MACsec层次,其可以通过以下方法实现:
第一:通过在KSPDU中增加一个字段CKL(CAK Level),用来携带发送该KSPDU所属的MACsec层次,该字段在KSPDU内的位置建议在CKI之前,长度建议1个字节,如图8所示,但该字段的位置以及长度可以不限于此。
第二:在KSPDU的目的地址中使用不同的组播MAC地址,使组播MAC地址反映MACsec层次。为了实现分层的MACsec,需要引入多个组播地址,每个组播地址对应一层MACsec。表一是一种较佳的对应关系,其中x待定,y由MACsec层次决定。本发明不局限于此种对应关系。
表一
第三:通过对CKI进行规划,使得不同范围CKI取值分别属于不同层的MACsec。
第四:通过在MACsec网络设备上预设CKI,使得每个CKI和特定的MACsec层对应。
第五:在点到点的情况下,在KSP事例上预设对端网络设备的安全信道标识(SCI,由MAC地址和虚拟端口号组成)的同时,预设MACsec层次,使得对端的安全信道标识和指定的MACsec层次对应。从而使得接收段根据KSPDU的SCI,以及预设的对应关系,获知发送该KSPDU所属的MAC安全层次。
发送KSP实例可以根据需要选去上述的任一指示MACsec的方法,在KSPDU中携带MACsec层次信息。假设选用第一种方法,构造的KSPDU帧如图8所示,如图示:
目的地址Destination address是KSP协议自己特定的组播MAC地址;源地址source address是发送者的MAC地址;KSP协议类型(KSP EtherType)是用来标识KSP协议;Version是KSP版本号;接下来的一组最新关联号有效标识is、最新关联号LAN、发送使用标识tx、接收使用标识rx用来表示最新密钥信息,is表示帧内是否有最新密钥信息,如果为真,则后面的LAN(Latest AssociationNumber,最新关联号)、LKI(Latest Key Identifier,最新密钥标识)、LLPNLLPN(Latest Lowest acceptable Packet Number,最新最小接收包号)有意义,LAN是最新密钥SAK对应的关联号AN,tx为真表示使用最新SAK来加密发送数据,为假则不使用,rx为真则使用最新SAK来解密发送数据,为假则不使用;接下来的最新关联号有效标识is、最新关联号OAN(Old Association Number旧关联号)、发送使用标识tx、接收使用标识rx表示旧密钥的信息,is如果为真,则后面的OAN、OKI(Old Key Identifier旧密钥标识)、OLPN(Old Lowestacceptable Packet Number旧最小接收包号)有意义,OAN是旧密钥SAK对应的关联字AN。因为在一个SC中,SAK要求不断变化,所以一个SC需要维护一个旧SAK,当一个新的SAK已经安装开始使用时,旧SAK还必须保留,因为可能使用旧SAK加密发送来的帧目前还存在于接收缓冲buffer中,或者还在网络上,保留旧SAK,就可以使用它来解密这些帧。CKI是安全连接关联主密钥标识,它用来区别一个CA。SCI是安全信道标识。成员标识MI是一个随机数,用来标识一个KSP实例,在一个CA中它是唯一的,如果KSP实例自己的MI和别人冲突,则会重新生成一个。MN是消息号,其从1开始,每发送一个KSPDU就累加1,当MI发生改变时,它重置为1,当MN溢出时,MI会改变。
每一KSP实例都有自己的MI/MN,除了自己的MI/MN,它还要维护对端的MI/MN,如果发现对端KSP实例拥有和自己相同的CAK,则把对端的MI/MN放入Live peer list,如果还未证明对端KSP实例拥有和自己相同的CAK,则把对端的MI/MN放入potential peer list。KSP实例发送KSPDU时,把自己的MI/MN,以及Live peer list、potential peer list中所有MI/MN都放入KSPDU中发送,并使用高级加密标准AES的CMAC模式来计算ICV:
ICV=AES-CMAC(K,M,128);
其中M是从目的MAC地址开始到ICV为止的所有字节;K通过AES的电码本模式ECB生成,
K=AES-ECB(CAK,0X1);
可见,ICV值是使用CAK生成的,接收KSP实例必须拥有相同的CAK才能进行校验,
其他字段的含义如IEEE802.1af协议中的规定一致。
发送KSP实例构造该KSPDU后,通过KaY周期性定时发送KSPDU帧。
步骤S702:KaY根据KSPDU中目的地址,把该KSPDU发送到链路上。
步骤S703:接收到KSPDU的非控制端口判断本端口是否存在此KSPDU标明的MACsec层次的KSP实例,如果是,则执行步骤S704,否则,执行步骤S719。
KSPDU经过连路到达下一通信设备,经由非控制端口Uncontrolled Portindication时,非控制端口读取KSPDU中的MACsec层次(CKL)字段,获知该KSPDU所属的MACsec层次,并且判断本接口是否此KSPDU标明的MACsec层次的KSP实例,如果存在,则执行步骤S704,否则,执行步骤S719。
步骤S704:非控制端口根据KSPDU中的SCI,查找对应的KaY,如果找到对应的KaY,则执行步骤S705;否则,执行步骤S713。
步骤S705:将该KSPDU传递至相应的KaY。
步骤S706:KaY根据CKI查找相应KSP实例,如果找到,则执行步骤S707,否则,执行步骤S713。
步骤S707:将该KSPDU传递至相应的KSP实例。
步骤S708:对KSPDU进行完整性校验,如果校验正确,则执行步骤S709,否则,执行步骤S713。
接收KSP实例采取与发送端KSP实例获取ICV所使用的同样的算法,对从目的MAC地址开始到ICV为止的所有字节进行相同的计算,如果ICV值相同则认为KSPDU没有被攥改;如果发送KSP实例使用的不同的CAK,则校验也会失败,KSPDU完整性校验失败则直接丢弃,不进行下一步处理。
步骤S709:KSP实例在本地Live peer list、Potential peer list中查找KSPDU中携带的发送该KSPDU的KSP实例的MI,如果没找到,则执行步骤S710;否则执行步骤S711。
步骤S710:把发送该KSPDU的KSP实例的MI/MN放入本地Potential peerlist中。并跳转至步骤S718。
步骤S711:如果是在本地Live peer list找到KSPDU中携带的MI,则执行步骤S712,否则,(即如果是在本地Potential peer list找到)执行步骤S713。
步骤S712:比较帧内的MN是否比本地记录的MN大,如果是,执行步骤S717,否则,执行步骤S718。
比较帧内的MN是否比本地记录的MN大,如果小或等于,则表明此KSPDU是错序、或重放攻击的帧,直接丢弃。
步骤S713:比较帧内的MN是否比本地记录的MN大,如果是,执行步骤S714,否则,执行步骤S718。
步骤S714:接收KSP实例的MI是否包含在KSPDU中Live Peer list或Potential peer list内,如果是,则执行步骤S716;否则,执行步骤S715。
步骤S715:更新本地记录的MN,并跳转至步骤S718
步骤S716:把发送KSP实例的MN/MI从Potential List移入Live Peer List。并执行步骤S717。
步骤S717:根据KC计算SAK。
KSPDU内比较重要的一个域是密钥材料KC,当一个KSP实例生成时其产生一个随机数作为KC。每一个KSP实例定时周期性地组播KSPDU,同时接收其他KSP实例组播来的KSPDU,所以处在同一CA内的KSP实例最终将获得其他所有KSP实例发送过来地KSPDU。
在SAK计算法中,每个KSP实例从所有接收到的KSPDU中提起KC,并把所有KC按发送者的MI大小顺序排列串成一个大的随机数M,使用高级加密标准AES的CMAC模式来计算SAK:
SAK=AES-CMAC(K,M,128);
其中M就是大随机数;K通过AES的电码本模式ECB生成,
K=AES-ECB(CAK,0X2);
因为每个KSP实例拥有相同地CAK、M,所以每个KSP实例计算出来的SAK相同。当某个KSP实例想申请新的SAK,它只需要改变自己的KC,所有的KSP实例就会重新计算SAK。一个SAK使用一个密钥标识KI来标识,KI是所有KC的异或值。
步骤S718:丢弃该KSPDU。
步骤S719:转发至下一链路。
非控制端口直接该KSPDU转发至一链路,下一网络设备的非控制端口接收到该KSPDU后,继续使用步骤S704至步骤S720的方法流程对该KSPDU进行处理。
步骤S720:KSP实例将当前所获取的SAK上报的SecY。
值得说明的是,除了可以使用上述的计算法获取SAK外,还可以使用SAK分发法,通过发送KSPDU获取SAK。
SAK分发法中,首先需要在各MACsec层次的各CA中选举一个KSP实例作为密钥服务器,可以通过配置的方式来确定密钥服务器,也可以用一种协议来确定密钥服务器,目前一般是KSP实例在接收到其他KSP实例组播发送过来的KSPDU后,把自己地MI和KSPDU中的发送KSP实例的MI比较,选择MI最大(或最小)的最为密钥服务器,密钥服务器把所有KSP实例的KC值进行异或计算后作为KI,并选择一个随机数作为SAK,使用KEK对SAK进行加密,其中KEK使用AES的电码本模式ECB计算得到:
KEK=AES-ECB(CAK,0X0);
加密后的SAK和KI放入KSPDU中组播给各个KSP实例,KSP实例接收到KSPDU后,使用KEK进行解密获得SAK。
实施例2:
本实施例针对在已划分多层次MAC安全的网络系统中,使用SAK来实现不同MACsec安全机制进行数据传输进行说明。
当一个设备上实现了多层MACsec时,每一层的操作和链路级的MACsec操作相同。为了提高效率,对于已经使用了高层MACsec加密保护的帧,就不必使用底层的MACsec再进行加密。
例如,在网络的最边缘终端设备上,如果配置了第四层终端用户级的MACsec和第一层链路级的MACsec,那么终端用户发出的用户帧应该使用第四层终端用户级的MACsec加密,而不必使用第一层链路级的MACsec再进行加密保护。如图9所示,终端A、B上配置了用户级MACsec和链路级MACsec;CB2、CB3上配置了第三层C-VLAN级MACsec和第一层链路级MACsec;PB2、PB3上配置了第二层S-VLAN级MACsec和第一层链路级MACsec。
终端A发送用户帧(相对二层控制协议帧而言)时,使用第四层用户级的MACsec的SAK对MAC业务数据单元进行加密。如图9所示,图中a为加密前的帧,b所示为对a所示的帧进行加密后的帧格式,如b所示,在对MAC业务数据单元进行加密后,需要在MAC业务数据单元之前加上MACsec标签,并在MAC业务数据单元之后加上完整性校验值。如果终端A发出的不是用户帧,而是CBN的控制协议帧,如GMRP报文,则终端A使用第一层链路级的MACsec的SAK进行加密,CBN上的网桥可以对控制协议帧进行解密,但CBN上的网桥并不能对终端A发出的用户帧进行解密。
当CB1用户网网桥接收到MACsec帧时,因为其拥有链路级的SAK,所以可以进行验证加密操作,但对使用第四层用户终端级的SAK加密的用户帧,它并没有相应的SAK,所以解密操作时查找不到相应的SAK,这时仅对用户数据帧进行转发操作,同时如果当该CB1支持VLAN时,在加密的MSDU前面打上C-VLAN标签,其用户数据帧格式如图10所示。如果用户数据帧需要传递到User B,则需要经过CB2进入PBN,并经PB2进入PBBN,在CB2、PB2上虽然有两层MACsec,但考虑到效率,并不进行任何更多的加密,仅仅进行转发,若用户有特殊的安全需求,也可以进一步使用C-VLAN级的MACsec加密。
对于没有采用第四层用户终端级MACsec的用户帧,其到达CB2后可以采用第三层C-VLAN级MACsec加密,并根据IEEE P802.1ad中定义的用户接口类型来进行加密操作,若CB2和PB1间是C-Tagged Service Interface接口,PB1需要识别C-VLAN,所以不应该对用户VLAN加密,应该使用如图11中的帧类型110,若CB2和PB1间是Port-based Service Interface接口,PB1并不识别C-VLAN,所以可以对用户VLAN进行加密,当然也可也不加密,所以可使用帧类型110或帧类型111。所以若CB2和PB1间是S-Tagged ServiceInterface接口,则可以对用户VLAN进行加密(如图11中的112所示),当然也可也不加密(如图11中的113所示)。
对于CB2发出控制协议帧,如果是属于CBN网络的控制协议帧,比如用于CBN生成树的帧,以及用于CBN自己VLAN注册的GVRP帧,这些帧需要透传PBN/PBBN,所以使用第三层C-VLAN级MACsec加密后发往PB1。其他不需要穿透PBN控制协议帧,则使用第一层链路级MACsec加密后发往PB1。
对于没有采用第四层用户终端级MACsec加密也没有采用第三层C-VLAN级MACsec加密的用户帧,其到达PB2后可以采用第二层S-VLAN级MACsec加密,并根据IEEE 802.1ah中定义的用户接口类型来进行加密操作,若PB2和PBB1间是S-Tagged Service Interface接口,PBB1需要识别S-VLAN,所以不应该对S-VLAN加密,应该使用如图12中的帧类型120,对于Transparent Service Interface接口,PBB1并不识别S-VLAN,所以可以对S-VLAN进行加密,当然也可也不加密,所以可使用帧类型120或帧类型121。若PB2和PBB1间是I-Tagged Service Interface接口,则使用帧类型122、123,当然当S-VLAN标签不需要时,就使用类型124了。
对于PB2发出控制协议帧,如果是属于PBN网络的控制协议帧,比如用于PBN生成树的帧,以及用于PBN己VLAN注册的GVRP帧,当这些帧需要透传PBBN时,使用第二层S-VLAN级MACsec加密后发往PBB1。其他不需要穿透PBBN的控制协议帧则使用使用第一层链路级MACsec加密后发往PBB1。
如果用户希望更高的安全性,可分别在用户终端设备、CB、PB上分别进行用户终端级、C-VLAN级、S-VLAN级MACsec加密,或选择性进行加密,并同时使用链路级机密,完成两层、三层甚至四层MACsec加密,以便获得更高的机密性。比如:如果在图9所示的网络中,终端A同时采用第一级链路级和第四级终端级MACsec加密发送给User B的帧时,CB1将接收到如图13所示的帧。
实施例3:
在实施例2中,一个网桥的物理端口接收到一个MAC安全通信帧时,实施例2中是通过MACsec帧内的SCI和AN来查找SAK,如果找到进行解密,否则不进行解密,而直接转发。
为了快速判断一个MACsec帧在转发前或丢弃前是否需要进行解密,可以通过在MACsec帧内的每一个MACSec标签中携带各自MACSec标签所属的层次信息,当一个物理端口接收到一个MACsec帧时,其根据帧内最外层的MACSec标签携带的层次信息,以及自身存在哪几层MACsec实体SecY,来判断在转发此MACsec前是否需要进行解密。
如果此物理端口自身存在相应的MACsec层次,并通过SAK能查找到对于的SecY,则解密,最外层解密完成后,继续判断其后的MACSec标签,采用同样的处理方法。当此物理端口自身不存在相应的MACsec层次时,则直接转发,当然若此接口属于终端,则直接丢弃次帧。
如果在图6所示的网络中,终端A同时采用第一级链路级和第四级终端级MACsec加密发送给User B的帧时,CB1将接收到如图13所示的帧。CB1存在第一级链路级和第三级C-VLAN级MACsec,CB1首先分析MACSec标签1,发现SecTAG1属于第一层MACsec,并且CB1自身存在第一级链路级MACsec,所以使用MACSec标签1中的AN、SCI或源地址来查找SAK解密,第一层MACsec解密完成后,CB1继续分析MACSec标签4,发现SecTAG4属于第四层MACsec,并且CB1自身无此层MACsec,所以并不再进一步查找SAK解密,而是直接转发。
在MACSec标签中携带MACSec标签所属的层次信息有两种方法:
一种方法是通过MACSec标签中的短长度(Short Length,简称SL)域,来标明此MACSec标签属于哪一层MACsec。IEEE 802.1ae规定MACsec帧的MACSec标签里包含8比特的SL字段,当机密数据长度<48的时候,SL的值等于机密数据长度值,否则SL=0。然而,实际上SL仅仅使用了比特1至比特6来表示机密数据长度,比特7、比特8并没有使用,所以MACsec帧的发送者在给帧打MACSec标签时,可以使用SL的比特7、比特8来表示此MACSec标签所属于的MACsec层次。
另外一种方法是,在MACSec标签中,新增加一个新的域MACsec层次(MACsec Level,简称ML)来标识此MACSec标签所属MACsec层次,ML最好放在MACs安全帧参数之后,控制信息之前(如图14所示),当然也可以放在其他位置。
实施例4:
如图6所示的网络系统,在网络系统中划分了MACsec安全层次,其具体划分方法以及各MACsec层次的特性,如实施例1所述。
一个设备在使用MACsec前,首先需要获得安全连接关联主密钥CAK,CAK可能是手工配置的,也可能在通过认证后,从认证服务器获得。在配置CAK的时候必须指明此CAK属于哪一层MACsec。
对于如图6所示的网络系统,分别在所述设置了MACsec安全机制的网络设备15的物理端口150上(如图15所示)。
由于网络设备15上的物理端口150可能存在多层MACsec,因此,需要引入多个组播地址来,每个组播地址对应一层MACsec。如表一所示,其中x待定,y由MACsec层次决定在网络设备上设置一MAC地址配置单元。因此,在网络设备上设置一MAC地址配置单元151,用于配置各MAC安全层次的MAC组播地址,使得所述各MAC地址与所述MAC安全层次一一对应,并将所配置的属于各MACsec层次的各MAC组播地址存储到MAC地址存储单元152。
如图15所示,物理端口包括以下非控制端口1509、KaY1508以及KSP实例1510。
非控制端口1509,用于接收、发送KSPDU,并判断本接口是否存在KSPDU所属的MAC安全层次,如果是,将KSPDU发送至所述层次对应的KaY,否则向下一链路发送该KSPDU。
KaY1508,用于生成本KaY下的KSP实例,KSP实例通过KaY接收和发送KSPDU。
KSP实例1510包括:
KSPDU生成单元1505,构造用于生成SAK的KSPDU,并在KSPDU中包含:本实例的安全关联主密钥标识、所属的MAC安全层次、以及密钥材料参数信息。
在本实例中,由于MAC地址配置单元对应不同MACsec层次,分别配置了不同的MAC地址,因此,KSPDU生成单元在生成KSPDU时,只需在MAC存储单元152获取当前MACsec层次所对应的MAC组播地址作为目的地址即可,网络根据MAC地址配置规则,根据MAC地址,获知该KSPDU所属的MACsec层次。
发送单元1504,分别与KSPDU生成单元1505、KaY1508相连接,用于将由KSPDU生成单元1505生产的KSPDU,通过KaY1508,向链路发送。
其中发送单元发送KSPDU的方式,具体根据世纪通信情况选用不同的通信方式,比如:对于所有的通信方式,均可以选用组播的方式,而对于点对点的通信方式,可以选取单播的方式。
接收单元1500,与KaY1508相连接,用于接收由KaY1508发送到本KSP实例的KSPDU。
CAK判定单元1506,与接收单元1500相连接,用于读取接收的KSPDU中的CKI,并判断本KSP实例的CKI是否与KSPDU中的CKI相一致,如果一致,则表明该KSPDU来自同一CA,否则,不是,并丢弃该KSPDU。
完整性校验单元1501,与CAK判定单元1506相连接,如果CAK判定单元1506判定该KSPDU来自同一CA,则由完整性校验单元1501采取对从目的MAC地址开始到ICV为止的所有字节进行相同的计算,如果ICV值相同则认为KSPDU没有被攥改;如果发送KSP实例使用的不同的CAK,则校验也会失败,KSPDU完整性校验失败则直接丢弃。
判定单元1502,与完整性校验单元1501相连接,在校验正确后,比较KSPDU内的MN是否比本地记录的MN大,如果大则更新本地记录,如果KSPDU内MN小于或等于本地记录的MN,则表明此KSPDU是错序或重放攻击的帧,直接丢弃。
SAK生成单元1505,与判定单元1506相连接,用于根据KSPDU,按照相应的法则,根据KC获取SAK,并且将获取的SAK上报所述的KaY以及SecY1507。
根据KC获取SAK,如计算法为例,其获取方法如下:
在SAK计算法中,每个KSP实例从所有接收到的KSPDU中提起KC,并把所有KC按发送者的MI大小顺序排列串成一个大的随机数M,使用高级加密标准AES的CMAC模式来计算SAK:
SAK=AES-CMAC(K,M,128);
其中M就是大随机数;K通过AES的电码本模式ECB生成,
K=AES-ECB(CAK,0X2);
因为每个KSP实例拥有相同地CAK、M,所以每个KSP实例计算出来的SAK相同。当某个KSP实例想申请新地SAK,它只需要改变自己的KC,所有地KSP实例就会重新计算SAK。一个SAK使用一个密钥标识KI来标识,KI是所有KC的异或值。
根据KC获取SAK,如使用分发法为例,其获取方法如下:
SAK分发法中,首先需要在一个CA中选举一个KSP实例作为密钥服务器,可以通过配置的方式来确定密钥服务器,也可以用一种协议来确定密钥服务器,目前一般是KSP实例在接收到其他KSP实例发送过来的KSPDU后,把自己地MI和KSPDU中的发送KSP实例的MI比较,选择MI最大(或最小)的最为密钥服务器,密钥服务器把所有KSP实例的KC值进行异或计算后作为KI,并选择一个随机数作为SAK,使用KEK对SAK进行加密,其中KEK使用AES的电码本模式ECB计算得到:
KEK=AES-ECB(CAK,0X0);
密钥服务器把加密后的SAK和KI放入KSPDU中组播给各个KSP实例,KSP实例接收到KSPDU后,使用KEK进行解密获得SAK。
实施例5:
本实施例与实施例4所不同的是,本实施例通过对CKI的配置,使用CKI来标示KSPDU所属的MACsec层次,如图16所示,本网络设备16包括:
CKI配置单元162,用于在配置各MAC安全层次的CAK标识值CKI,使得各CKI值与各MAC安全层次一一对应,并将所配置的属于各MACsec层次的各CKI存储到CKI存储单元161。
CKI存储单元161,用于存储CKI配置单元为各MACsec层次配置的CKI。
该CKI配置单元162、以及CKI存储单元161即可以设置在KSP实例1610中亦可以设置在KSP实体1508中。
在KSP实例中的KSPDU生成单元1605,与实施例4所不同的是,本单元在生成KSPDU,从CKI存储单元161,获取当前KSPDU所属的MACsec层次所对应的CKI,通过CKI标示当前所属的MACsec层次。
实施例6:
本实施例与实施例4、5所不同的是,本实施例采用在KSPDU中携带MAMsec层次标识的方式,在KSPDU中携带所属的MAC安全层次信息,具体是:
KSPDU生成单元,在构造KSPDU时,根据当前KSPDU所属的MACsec层次,在KSPDU中增加,一用于标识所属MACsec层次的字段CKI,使用CKL的值,来标示该KSPDU所属的MACsec层次。KSPDU的组成结构示意图如图8所示。比如:字段CKL值为”00”,表示当前MACsec层次为第一层MACsec;字段CKL值为”11”,表示当前MACsec层次为第四层MACsec。
其他与实施例4、5同理。
实施例7:
本实施实例应用于点到点情况下,通过为KSP实例配置对端SCI,使对端SCI和指定的MACsec层次对应,如图17所示,本网络设备17包括:
SCI配置单元172,用于配置对端SCI,使对端SCI和指定的MACsec层次对应,并将所配置的属于各MACsec层次的各对端SCI存储到SCI存储单元171。
SCI存储单元171,用于存储SCI配置单元172所配置的SCI。
该SCI配置单元172、以及SCI存储单元171即可以设置在KSP实例1610中也可以设置在KSP实体1508中。
在KSP实例中接收单元在接收到KSPDU时,从KSPDU中提起SCI,然后在SCI存储单元171中,获取当前KSPDU所属的MACsec层次。
实施例8:
如图6所示的网络系统,在网络系统中划分了MACsec安全层次,各MAC安全层次的各SecY在获取当前的SAK后,可以分别根据需要,使用SAK对通信帧进行加、解密操作,保证网络通信安全性以及机密性。
对于图6所示的网络系统,在每设置了MACsec安全的通信设备上分别设置有至少一个SecY,在该SecY上保存有该属于该SecY的KSP实例的SAK,并根据需要使用SAK对通信帧进行加密或解密。
如图18所示,设在一网络设备的物理端口18上设置了两个MACsec层次,各MACsec层次分别对应一个CA,每CA分别对应至少一个SecY,如图18示,在网络设备的物理端口18上,该物理端口包括:SecY180、SecY181、接口类型读取单元1817。
其中接口类型读取单元1817,用于获取物理端口18的接口类型;各SecY的结构相同,如图18示,如SecY180为例,SecY180包括:
SAK存储单元1801,用于存储SecY180下的SAK。
SAK判定单元1800,与SAK存储单元1801相连接,用于判定本SecY是否存在解密所接收的通信帧的SAK,如果存在,则将该通信帧发送到解密单元1804;否则,直接将该通信帧,发送到转发单元1803。
加密判定单元1815,用于判断是否需要对所接收的通信帧进行加密,如果需要,则将该通信帧发送到加密单元1802,否则,直接将该通信帧,发送到转发单元1803。
解密单元1804,与判定单元1800,SAK存储单元1801相连接,用于使用所SAK对该通信帧进行解密。
加密单元1802,与加密判定单元1815、SAK存储单元1801、转发单元1803、控制端口183、接口类型读取单元1817分别相连接,用于根据加密判定单元1815的判断结论,使用当前最新的SAK,根据接口类型读取单元1817获取的接口类型,对通信帧进行加密具体是:如果物理端口18为Port-based Service Interface接口,则对所述通信帧中的用户虚拟局域网标签、和MAC服务数据单元加密,或者,仅对MAC服务数据单元加密;如果物理端口18为运营桥接网提供的C-Tagged Service Interface接口,则对所述通信帧中MAC服务数据单元加密;如果物理端口18为运营商骨干桥接网提供的S-tagged Service Interface接口,则仅对所述通信帧中的业务虚拟局域网标签S-Tag之后的数据加密。
转发单元1803,用于将通信帧发送至SecY181,进行于本SecY进行同理的处理。
如图18所示,通信帧到达网络设备的物理端口18,SecY180首先对该通信帧进行分析处理,如果SecY180不能对该通信帧进行解密,则将该通信帧发送到SecY181,由SecY181同理于SecY180对该通信帧,进行的处理,SecY181处理后,通过物理端口18发送至网络链路上去。
假设如图18所示的网络设备为图6所示系统中的CB1,SecY属于链路级的MACsec,SecY属于C-VLAN级的MACsec,图中的以太帧为用户终端1加密并发出的用户数据报文,该用户报文,到达该CB1后,由于CB1上的SecY180、SecY181均不存在终端用户对该用户数据报文的SAK,因此CB1无法读取该用户数据信息,保证了用户数据的机密性。另外的,进一步的,如果用户终端有特殊的需要,SecY180和/或SecY181继续根据需要,对该用户数据报文进行二次和/或三次加密。
但是值得说明的是,该使用多次加密,虽然一定程度上加强了用户数据的机密性,但是相对于一次加密而言,增加了网络通信处理时延,降低了网络通信效率。
由本实施例可见,在通信网络上根据MAC安全的应用范围,预设有MAC安全层次,并且在网络中的设置了MACsec安全机制的网络设备上,预设所述MAC安全层次的MAC安全实体、以及所述MAC安全实体下的各对应的安全关联主密钥的时候,可以根据不同MAC安全应用需要,选用不同的MACsec层次来加、解密数据,各MACsec层次间相互独立,不能相互解密。保证了以太网通信的机密性和安全性,并且,更加的有利于通信的机密性的控制,以及相对现有技术,大大提高了网络通信效率。
进一步的,对于终端用户间的用户数据通信,可以只选用终端间的MACsec层次对数据进行加解密,即避免了终端间的任何网桥对用户数据的解密操作,保证了数据通信的机密性,又相对于现有技术的逐链路解密、加密MACsec操作方式,具有高的网络通信效率。
进一步的,对于终端用户间的用户数据通信,如果用户需要,还可以进一步选用CBN之间的MACsec层次和/或PBN之间的MACsec层次对用户数据进行加密,使用多层加密,进一步保证用户数据的机密性。同时的相对于现有的逐链路解密、加密的MACsec操作方式,仍然具有较高的网络通信效率。
实施例9:
本实施例与实施例8所不同的是,本实施例对MACsec帧的MACsec标签进行了改进,使得MACsec标签携带所属的MACsec层次信息,比如可以使用MACsec标签中SL域中的比特7、比特8来表示此MACSec标签所属于的MACsec层次;或者在MACSec标签中,新增加一个新的域ML(MACsec层次)来标识此MACSec标签所属MACsec层次。
由于在MACsec帧中携带了所属的MACsec层次信息,因此网络设备的物理端口在接收到一个加密了的MACsec帧时,可以通过在MACsec帧内的每一个MACSec标签中携带各自MACSec标签所属的层次信息,当一个物理端口接收到一个MACsec帧时,其根据帧内最外层的MACSec标签携带的层次信息,以及自身存在哪几层MACsec实体SecY,来判断在转发此MACsec前是否需要进行解密。
如图19所示,本物理端口19与图18所示的物理端口的不同之处在于,在物理端口上新增加了一个MACsec层次判定单元193,该MACsec层次判定单元193与判定单元1800、控制端口182分别相连接,用于对到达本网口的MACsec进行MACsec判定,判定本网口是否存在该MACsec帧的MACsec层次,如果物理端口19自身存在相应的MACsec层次,并通过SAK能查找到对于的SecY,则解密,最外层解密完成后,继续判断其后的MACSec标签,采用同样的处理方法;当物理端口19自身不存在相应的MACsec层次时,则直接转发至控制端口182,当然若此接口属于终端,则直接丢弃次帧。
由上可见,本实施例相对于实施例7进一步的加快了网络接口对以太帧的处理速度,特别的当该物理端口存在多个SecY时,大大提高了网络通信效率。
以上对本发明所提供的一种实现MAC安全的方法以及网络设备进行了详细介绍,本文中应用了具体个例对本发明的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本发明的方法及其核心思想;同时,对于本领域的一般技术人员,依据本发明的思想,在具体实施方式及应用范围上均会有改变之处,综上所述,本说明书内容不应理解为对本发明的限制。
Claims (21)
1.一种生成安全关联密钥的方法,其特征是:在通信网络中已根据MAC安全应用范围,预设有MAC安全层次,在密钥选举协议实例上预设本实例所属的MAC安全层次,所述方法包括:
发送端密钥选举协议实例向同一安全连接关联的其他密钥选举协议实例,发送密钥选举协议数据单元,其中所述密钥选举协议数据单元包含所述发送端密钥选举协议实例的安全关联主密钥标识、所属的MAC安全层次信息;
接收密钥选举协议实例判断所述接收密钥选举协议实例是否拥有与所述密钥选举协议数据单元一致的安全关联主密钥标识,如果是,则根据所述密钥选举协议数据单元生成所述安全关联密钥。
2.根据权利要求1所述的生成安全关联密钥的方法,其特征是,发送端密钥选举协议实例发送所述密钥选举协议数据单元之后,所述接收密钥选举协议实例接收所述密钥选举协议数据单元之前,进一步包括:
非控制端口接收所述密钥选举协议数据单元,判断本端口是否存在所述密钥选举协议数据单元所属的MAC安全层次,如果是,将所述密钥选举协议数据单元传递至所述层次对应的MAC安全密钥协商实体;
所述MAC安全密钥协商实体将所述密钥选举协议数据单元传递至本实体下的密钥选举协议实例。
3.根据权利要求2所述的生成安全关联密钥的方法,其特征是,
如果所述非控制端口判断本端口存在所述密钥选举协议数据单元所属的MAC安全层次,则停止向下一链路发送所述密钥选举协议数据单元;否则,则向下一链路转发所述密钥选举协议数据单元。
4.根据权利要求1所述的生成安全关联密钥的方法,其特征是,在通信网络中根据MAC安全应用范围,预设MAC安全层次,具体包括:
在以太网的终端之间设置MAC安全层次,和/或,在以太网的各链路之间分别设置MAC安全层次。
5.根据权利要求1所述的生成安全关联密钥的方法,其特征是,在通信网络中根据MAC安全应用范围,预设MAC安全层次,具体包括:
在用户桥网络之间设置MAC安全层次,和/或,在运营商桥网络之间设置MAC安全层次。
6.根据权利要求4或5所述的生成安全关联密钥的方法,其特征是,所述密钥选举协议数据单元包含所述发送端密钥选举协议实例所属的MAC安全层次信息,具体通过以下方式实现:
预设各MAC安全层次的密钥选举协议实例使用的组播MAC地址,使得各组播MAC地址与各MAC安全层次一一对应;
在所述密钥选举协议数据单元的目的地址中携带所述发送端密钥选举协议实例所在的MAC安全层次所对应的组播MAC地址。
7.根据权利要求4或5所述的生成安全关联密钥的方法,其特征是,所述密钥选举协议数据单元包含所述发送端密钥选举协议实例所属的MAC安全层次信息,具体通过以下方式实现:
在所述密钥选举协议数据单元中携带MAC安全层次标识。
8.根据权利要求4或5所述的生成安全关联密钥的方法,其特征是,所述密钥选举协议数据单元包含所述发送端密钥选举协议实例所属的MAC安全层次信息,具体通过以下方式实现:
预设各MAC安全层次的安全关联主密钥标识,使得安全关联主密钥标识与所述MAC安全层次一一对应;
在所述密钥选举协议数据单元中携带所述发送端密钥选举协议实例所对应的安全关联主密钥标识。
9.根据权利要求4或5所述的生成安全关联密钥的方法,其特征是,所述密钥选举协议数据单元包含所述发送端密钥选举协议实例所属的MAC安全层次信息,具体通过以下方式实现:
预规划各MAC安全层次的安全关联主密钥标识,使得所述安全关联主密钥标识取值的不同范围段对应不同的MAC安全层次;
在所述密钥选举协议数据单元中携带所述发送端密钥选举协议实例所对应的安全关联主密钥标识。
10.根据权利要求1所述的生成安全关联密钥的方法,其特征是,
如果在所述的MAC安全层次中的同一安全连接关联仅包括两个密钥选举协议实例,并且所述两个密钥选举协议实例分别在两个网络设备,则第一密钥选举协议实例采用单播的方式,向第二密钥选举协议实例,发送所述密钥选举协议数据单元。
11.根据权利要求10所述的生成安全关联密钥的方法,其特征是,所述密钥选举协议数据单元包含所述第一密钥选举协议实例所属的MAC安全层次信息,具体通过以下方式实现:
在所述第二密钥选举协议实例上预存所述第一密钥选举协议实例所在的网络设备的安全信道标识、以及MAC安全层次对应关系;
所述第二密钥选举协议实例接收到所述第一密钥选举协议实例发送的密钥选举协议数据单元后,根据所述密钥选举协议数据单元中的安全信道标识,获取所述第一密钥选举协议实例所属的MAC安全层次。
12.一种使用权利要求1所述的安全关联密钥实现网络通信MAC安全的方法,其特征是,在所述网络的网络设备上根据MAC安全的应用范围,预设有MAC安全层次,并且预设有所述MAC安全层次的MAC安全实体、密钥选举协议实例以及所述密钥选举协议实例的安全关联密钥,所述方法包括:
发送MAC安全实体根据需要,使用所述安全关联密钥加密并发送通信帧;
接收MAC安全实体判断本MAC安全实体是否存在所述通信帧的安全关联密钥,如果是,则使用所述安全关联密钥解密所述通信帧,否则,如果所述接收MAC安全实体在网桥设备上,则转发所述通信帧,如果所述接收MAC安全实体在终端设备上,则丢弃通信帧。
13.根据权利要求12所述的实现网络通信MAC安全的方法,其特征是,所述接收MAC安全实体接收所述通信帧后,如果本MAC安全实体不存在所述通信帧的安全关联密钥,并且所述接收MAC安全实体在网桥设备上,则在转发所述通信帧之前,进一步包括:
使用所述接收MAC安全实体所在的发送端口上的MAC安全实体对所述通信帧进行加密。
14.根据权利要求12或13所述的实现网络通信MAC安全的方法,其特征是,所述发送MAC安全实体对所述通信帧进行加密时,在MAC安全标签中携带加密所使用的安全关联密钥所属的MAC安全层次信息,接收MAC安全实体接收所述通信帧之前进一步包括:
接收MAC安全实体所在的物理端口读取所述通信帧携带的MAC安全层次信息,判断本网口是否存在所述MAC安全层次,如果是,则将所述通信帧发送至所述接收MAC安全实体;否则,直接转发至下一链路。
15.根据权利要求12或13所述的实现网络通信MAC安全的方法,其特征是,所述发送MAC安全实体加密所述通信帧,具体包括:
如果所述发送MAC安全实体所在的网络设备与下一网络设备的接口为运营商提供的Port-based Service Interface接口,则对所述通信帧中的用户虚拟局域网标签、和MAC服务数据单元加密,或者,仅对所述MAC服务数据单元加密;
如果所述发送MAC安全实体所在的网络设备与下一网络设备的接口为运营桥接网提供的C-Tagged Service Interface接口,则对所述通信帧中MAC服务数据单元加密;
如果所述发送MAC安全实体所在的网络设备与下一网络设备的接口为运营商骨干桥接网提供的S-tagged Service Interface接口,则仅对所述通信帧中的业务虚拟局域网标签S-Tag之后的数据加密。
16.一种网络设备,其特征是,在所述网络设备上预设了至少一个MAC安全层次,所述网络设备包含,密钥选举协议实例,非控制端口,MAC安全密钥协商实体,其中所述密钥选举协议实例,包括:
发送单元,用于向与本实例同一安全关联内的其他密钥选举协议实例,发送密钥选举协议数据单元,并在所述密钥选举协议数据单元中标示本实例的安全关联主密钥标识、本实例所属的MAC安全层次标识;
接收单元,用于接收发送到所述密钥选举协议实例的密钥选举协议数据单元;
安全关联密钥生成单元,用于根据密钥选举协议数据单元,获取安全关联密钥;
所述非控制端口,用于接收所述密钥选举协议数据单元,并判断本端口是否存在所述的MAC安全层次,如果是,将所述密钥选举协议数据单元发送至所述MAC安全层次对应的MAC安全密钥协商实体;
所述MAC安全密钥协商实体,用于将所接收的密钥选举协议数据单元传递至本实体下的密钥选举协议实例。
17.根据权利要求16所述的网络设备,其特征是,所述非控制端口,在所述非控制端口不存在所接收的密钥选举协议数据单元指示的MAC安全层次的情况下,进一步用于向下一以太网链路转发所述密钥选举协议数据单元。
18.根据权利要求16或17所述的网络设备,其特征是,所述网络设备进一步包括:
MAC地址配置单元,用于配置各MAC安全层次的MAC设备的组播MAC地址,使得所述组播MAC地址与所述MAC安全层次对应。
19.根据权利要求16或17所述的网络设备,其特征是,所述网络设备进一步包括:
安全关联主密钥标识配置单元,用于设置各MAC安全层次的安全关联主密钥标识,使得所述的安全关联主密钥标识与所述MAC安全层次对应。
20.一种网络设备,其特征是,在所述网络设备上根据MAC安全的应用范围,预设有至少一个MAC安全层次,网络设备上预设有所述MAC安全层次的MAC安全实体,并且预设有安全关联主密钥,密钥选举协议实例,以及由所述密钥选举协议实例为其对应的MAC安全实体所生成的安全关联密钥,所述MAC安全实体包括:
接收单元,用于接收通信帧;
加密单元,用于使用所述安全关联密钥加密所述通信帧;
安全关联密钥判定单元,用于判断本MAC安全实体是否存在所接收的通信帧的安全关联密钥;
解密单元,用于根据所述安全关联密钥判定单元的判定结果,当本MAC安全实体存在所接收的通信帧的安全关联密钥时,使用所述安全关联密钥解密所述通信帧。
21.根据权利要求20所述的网络设备,其特征是,所述网络设备进一步包括:
接口类型读取单元,用于获取所述MAC安全实体所在的网络设备与下一网络设备的接口类型;
所述加密单元进一步与所述接口类型读取单元相连接,用于根据所述接口类型读取单元获取的接口类型,对所述通信帧进行加密。
Priority Applications (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN2006101269400A CN101141241B (zh) | 2006-09-06 | 2006-09-06 | 实现mac安全的方法以及网络设备 |
PCT/CN2007/070602 WO2008040196A1 (fr) | 2006-09-06 | 2007-08-31 | Procédé de génération de sak, procédé réalisant la sécurité mac et dispositif de réseau |
US12/398,580 US8386772B2 (en) | 2006-09-06 | 2009-03-05 | Method for generating SAK, method for realizing MAC security, and network device |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN2006101269400A CN101141241B (zh) | 2006-09-06 | 2006-09-06 | 实现mac安全的方法以及网络设备 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN101141241A CN101141241A (zh) | 2008-03-12 |
CN101141241B true CN101141241B (zh) | 2010-08-18 |
Family
ID=39193011
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN2006101269400A Active CN101141241B (zh) | 2006-09-06 | 2006-09-06 | 实现mac安全的方法以及网络设备 |
Country Status (3)
Country | Link |
---|---|
US (1) | US8386772B2 (zh) |
CN (1) | CN101141241B (zh) |
WO (1) | WO2008040196A1 (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8386772B2 (en) | 2006-09-06 | 2013-02-26 | Huawei Technologies Co., Ltd. | Method for generating SAK, method for realizing MAC security, and network device |
Families Citing this family (32)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7729276B2 (en) * | 2006-11-29 | 2010-06-01 | Broadcom Corporation | Method and system for tunneling MACSec packets through non-MACSec nodes |
US8700891B2 (en) * | 2008-05-09 | 2014-04-15 | Broadcom Corporation | Preserving security association in MACsec protected network through VLAN mapping |
US8719567B2 (en) * | 2009-10-14 | 2014-05-06 | Cisco Technology, Inc. | Enabling QoS for MACsec protected frames |
US8705534B2 (en) | 2009-11-13 | 2014-04-22 | Telefonaktiebolaget L M Ericsson (Publ) | Provider edge bridge with remote customer service interface |
CN101741547B (zh) * | 2009-12-18 | 2012-05-23 | 西安西电捷通无线网络通信股份有限公司 | 节点间保密通信方法及系统 |
CN101741548B (zh) * | 2009-12-18 | 2012-02-01 | 西安西电捷通无线网络通信股份有限公司 | 交换设备间安全连接的建立方法及系统 |
US8718281B2 (en) * | 2010-04-08 | 2014-05-06 | Cisco Technology, Inc. | Rekey scheme on high speed links |
CN102316124B (zh) * | 2011-10-28 | 2015-05-20 | 杭州华三通信技术有限公司 | 终端设备注册方法及设备 |
CN103490887B (zh) * | 2012-06-14 | 2017-06-13 | 中兴通讯股份有限公司 | 一种网络设备及其认证和密钥管理方法 |
CN105103490B (zh) * | 2013-01-31 | 2018-03-02 | 慧与发展有限责任合伙企业 | 网络控制器提供的MACsec密钥 |
WO2014143025A1 (en) | 2013-03-15 | 2014-09-18 | Hewlett-Packard Development Company, L.P. | Secure path determination between devices |
WO2017011948A1 (zh) | 2015-07-17 | 2017-01-26 | 华为技术有限公司 | 报文传输的方法、装置和系统 |
CN105635154A (zh) * | 2016-01-05 | 2016-06-01 | 盛科网络(苏州)有限公司 | 灵活的MACSec报文加密认证的芯片实现方法及实现装置 |
CN105913533B (zh) * | 2016-06-25 | 2018-06-05 | 浙江中烟工业有限责任公司 | 智能门安全控制方法和系统 |
CN107769914B (zh) | 2016-08-17 | 2021-02-12 | 华为技术有限公司 | 保护数据传输安全的方法和网络设备 |
CN108616978B (zh) * | 2016-12-14 | 2022-04-15 | 中兴通讯股份有限公司 | 一种网络功能实体进行无状态处理的方法及装置 |
WO2018142571A1 (ja) * | 2017-02-03 | 2018-08-09 | 三菱電機株式会社 | 転送装置および通信ネットワーク |
CN107070944B (zh) * | 2017-05-09 | 2019-12-24 | 四川长虹电器股份有限公司 | 一种mac地址的安全存储与读取方法 |
US10637865B2 (en) * | 2017-10-16 | 2020-04-28 | Juniper Networks, Inc. | Fast heartbeat liveness between packet processing engines using media access control security (MACSEC) communication |
WO2019143591A1 (en) * | 2018-01-16 | 2019-07-25 | Raytheon Company | Extensible system for authenticated and protected key agreement in large mesh layer 2 ethernet networks |
US20210092103A1 (en) * | 2018-10-02 | 2021-03-25 | Arista Networks, Inc. | In-line encryption of network data |
US10778662B2 (en) * | 2018-10-22 | 2020-09-15 | Cisco Technology, Inc. | Upstream approach for secure cryptography key distribution and management for multi-site data centers |
US11411915B2 (en) | 2019-01-09 | 2022-08-09 | Cisco Technology, Inc. | Leveraging MACsec key agreement (MKA) state events to trigger fast IGP/EGP convergence on MACsec encrypted links |
US11323437B1 (en) * | 2019-07-09 | 2022-05-03 | Juniper Networks, Inc. | Monitoring a media access control security session |
CN111049648B (zh) * | 2019-12-10 | 2022-08-12 | 杭州依赛通信有限公司 | 一种MACSec加密业务数据平面主动更新密钥保证可靠传输的方法 |
US11316869B2 (en) * | 2019-12-10 | 2022-04-26 | Cisco Technology, Inc. | Systems and methods for providing attestation of data integrity |
US11212265B2 (en) * | 2020-01-09 | 2021-12-28 | Cisco Technology, Inc. | Perfect forward secrecy (PFS) protected media access control security (MACSEC) key distribution |
US11764969B2 (en) * | 2020-12-01 | 2023-09-19 | Schweitzer Engineering Laboratories, Inc. | Media access control security (MACsec) sandboxing for suspect devices |
US11843583B2 (en) * | 2021-01-05 | 2023-12-12 | Schweitzer Engineering Laboratories, Inc. | Systems and methods for adjusting a secure communication link in an electric power distribution system |
US11722501B2 (en) * | 2021-03-17 | 2023-08-08 | Schweitzer Engineering Laboratories. Inc. | Device management in power systems using media access control security (MACsec) |
US11870762B2 (en) * | 2021-07-07 | 2024-01-09 | Cisco Technology, Inc. | MACsec key exchange attribute reflection for transparent provider backbone bridge forwarding over public ethernet provider backbones |
CN115277200B (zh) * | 2022-07-27 | 2023-08-15 | 北京国领科技有限公司 | 一种链路层透明加密系统多节点密钥自动协商管理的方法 |
Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1805333A (zh) * | 2005-01-11 | 2006-07-19 | 三星电子株式会社 | 无线网络系统中的数据安全 |
Family Cites Families (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20030009540A1 (en) * | 2001-06-29 | 2003-01-09 | International Business Machines Corporation | Method and system for presentation and specification of distributed multi-customer configuration management within a network management framework |
JP2004048660A (ja) * | 2002-05-24 | 2004-02-12 | Sony Corp | 情報処理システムおよび方法、情報処理装置および方法、記録媒体、並びにプログラム |
KR100599199B1 (ko) | 2003-12-17 | 2006-07-12 | 한국전자통신연구원 | 무선 랜(lan) 보안 시스템에서의 무선 장치의 암호 키생성 시스템 |
KR100527632B1 (ko) | 2003-12-26 | 2005-11-09 | 한국전자통신연구원 | Ad-hoc 네트워크의 게이트웨이에서 사용자 인증시스템 및 그 방법 |
KR100636209B1 (ko) | 2004-11-12 | 2006-10-19 | 삼성전자주식회사 | Mac 주소 보안 방법 및 장치 |
KR100617321B1 (ko) * | 2004-12-14 | 2006-08-30 | 한국전자통신연구원 | 링크 암호화 공격을 차단하는 장치 및 그 방법 |
US7539311B2 (en) * | 2006-03-17 | 2009-05-26 | Cisco Technology, Inc. | Techniques for managing keys using a key server in a network segment |
CN101141241B (zh) | 2006-09-06 | 2010-08-18 | 华为技术有限公司 | 实现mac安全的方法以及网络设备 |
-
2006
- 2006-09-06 CN CN2006101269400A patent/CN101141241B/zh active Active
-
2007
- 2007-08-31 WO PCT/CN2007/070602 patent/WO2008040196A1/zh active Application Filing
-
2009
- 2009-03-05 US US12/398,580 patent/US8386772B2/en active Active
Patent Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1805333A (zh) * | 2005-01-11 | 2006-07-19 | 三星电子株式会社 | 无线网络系统中的数据安全 |
Non-Patent Citations (2)
Title |
---|
IEEE Standard for Local and metropolitan areanetworks Media Access Control (MAC) Security.IEEE Std 802.1AE.2006,全文. * |
Mick Seaman.A distributed fault-tolerant group key selection protocolfor MACsec.全文. * |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8386772B2 (en) | 2006-09-06 | 2013-02-26 | Huawei Technologies Co., Ltd. | Method for generating SAK, method for realizing MAC security, and network device |
Also Published As
Publication number | Publication date |
---|---|
CN101141241A (zh) | 2008-03-12 |
WO2008040196A1 (fr) | 2008-04-10 |
US20090217032A1 (en) | 2009-08-27 |
US8386772B2 (en) | 2013-02-26 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN101141241B (zh) | 实现mac安全的方法以及网络设备 | |
US7703132B2 (en) | Bridged cryptographic VLAN | |
US8347377B2 (en) | Bridged cryptographic VLAN | |
CN107294711B (zh) | 一种基于vxlan技术的电力信息内网报文加密发布方法 | |
JP5060081B2 (ja) | フレームを暗号化して中継する中継装置 | |
CN103095710B (zh) | 以内容为中心的网络中基于身份的广播加密传输方法 | |
US8752131B2 (en) | Facilitating protection of a maintenance entity group | |
CN101103593B (zh) | 鉴别多播消息的方法 | |
JP2008104040A (ja) | 共通鍵生成装置および共通鍵生成方法 | |
CN1938980A (zh) | 用于密码加密处理数据的方法和设备 | |
CN102035845B (zh) | 支持链路层保密传输的交换设备及其数据处理方法 | |
US20110093696A1 (en) | Device and method for directing exchange flows for public or non sensitive values for creating common secret keys between areas | |
US20030037235A1 (en) | System for signatureless transmission and reception of data packets between computer networks | |
CN107078898A (zh) | 一种在多路径网络上建立安全私人互连的方法 | |
CN101834793A (zh) | 基于mpls/ops的虚拟专用网的实现方法 | |
CN100563148C (zh) | Mac安全网络通信方法以及网络设备 | |
CN101197662B (zh) | 生成安全关联密钥sak的方法、网络设备、网络系统 | |
CN101834722A (zh) | 一种加密设备和非加密设备混合组网的通信方法 | |
Wahid | Rethinking the link security approach to manage large scale Ethernet network | |
Wahid | Maximizing Ethernet security by switch-based single secure domain | |
JP2005354504A (ja) | 光加入者線端局装置、光加入者線終端装置およびその通信方法 | |
O’Connor | Secure Ethernet Service | |
Wahid et al. | Secure bridging in large scale deployment of Ethernet |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant |