CN101282208B - 安全连接关联主密钥的更新方法和服务器及网络系统 - Google Patents
安全连接关联主密钥的更新方法和服务器及网络系统 Download PDFInfo
- Publication number
- CN101282208B CN101282208B CN2007100937118A CN200710093711A CN101282208B CN 101282208 B CN101282208 B CN 101282208B CN 2007100937118 A CN2007100937118 A CN 2007100937118A CN 200710093711 A CN200710093711 A CN 200710093711A CN 101282208 B CN101282208 B CN 101282208B
- Authority
- CN
- China
- Prior art keywords
- well
- master key
- safety connection
- incident master
- connection incident
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Landscapes
- Storage Device Security (AREA)
Abstract
本发明公开了安全连接关联主密钥的更新方法,包括,生成所述安全连接关联的安全连接关联主密钥,向所述安全连接关联中的每个成员发送所述安全连接关联主密钥;所述成员接收到所述安全连接关联主密钥后,根据所述安全连接关联主密钥更新保存的安全连接关联主密钥。相应的,本发明进一步公开了服务器和网络系统。本发明可以更新成员的安全连接关联主密钥,使得成员之间可以进行MACsec通信。
Description
技术领域
本发明涉及安全连接关联主密钥的更新技术,尤其涉及安全连接关联主密钥的更新方法和安全连接关联主密钥服务器及具有安全连接关联的通信系统。
背景技术
美国电气和电子工程师学会(IEEE)对网络链路层的安全技术进行了研究,提出使用媒体接入控制安全(Media Access Control Security,MACsec)来保护二层通信的安全,防范二层的攻击;具体来说,作为发送端的MACsec实体(MAC Security Entity,SecY)使用安全关联密钥(Secure AssociationKey,SAK)对发送的数据进行加密,作为接收端的SecY在接收到加密数据后,使用相同的密钥来解密以获得数据,这样就实现了数据传输的机密性。
SecY为同一安全连接关联(Secure Connectivity Association,CA)中的成员时,它们才能进行MACSec通讯,CA成员发送的MACsec帧只有同一CA中的成员才能够解密。MACsec通信指同一CA内的成员使用MACsec帧的格式进行安全通信。安全连接关联主密钥(Secure Connectivity Association key,CAK)是CA成员互相进行认证的凭据,成员依据CAK建立信任关系,在建立信任关系过程中,每个成员互相比较CAK,若CAK相同则认为对方可信。每个成员使用CAK来协商产生SAK,SAK用以加密发送的数据。CAK可以在通过认证后从认证服务器获得,也可以预先配置。
请参考图1,为现有技术扩展认证协议(Extensible Authentication.Protocol,EAP)认证系统示意图。其中,包括,请求者(supplicant)A 101、请求者B 102、认证服务器(Authenticator Server)104和认证者(Authenticator)103。请求者A/请求者B与认证服务器104使用EAP进行认证。认证通过后,请求者A101和认证者103利用EAP方法生成一对成对主密钥(Pairwise Master Key,PMK);请求者B 102和认证者103利用EAP方法生成另一对PMK;这两对PMK是不相同的。请求者A 101、请求者B 102和认证者103为CA成员,请 求者A 101、请求者B 102和认证者103把PMK当作CAK使用,因为请求者A 101和请求者B 102使用的CAK不同,它们之间不能进行MACsec通信。成员之间具有相同的CAK,才能进行MACsec通信;现有技术中,没有更新成员的CAK的方法,以使得更新后的成员之间的CAK相同。
发明内容
本发明实施例要解决的技术问题是提供安全连接关联主密钥的更新方法和服务器及通信系统,以实现更新成员的CAK。
为解决上述技术问题,本发明实施例的目的是通过以下技术方案实现的:
一种安全连接关联主密钥的更新方法,包括:检测出同一安全连接关联中的不同成员的安全连接关联主密钥不同时或接收到更新安全连接关联的安全连接关联主密钥的请求信息时,生成安全连接关联的安全连接关联主密钥,向安全连接关联中的每个成员发送安全连接关联主密钥;成员接收到安全连接关联主密钥后,根据安全连接关联主密钥更新保存的安全连接关联主密钥。
一种安全连接关联主密钥的更新方法,包括:周期生成安全连接关联的安全连接关联主密钥,向安全连接关联中的每个成员发送安全连接关联主密钥;成员接收到安全连接关联主密钥后,根据安全连接关联主密钥更新保存的安全连接关联主密钥。
一种安全连接关联主密钥服务器,包括:安全连接关联主密钥检测单元,用于检测同一安全连接关联中的不同成员的安全连接关联主密钥是否相同;当检测出同一安全连接关联中的不同成员的安全连接关联主密钥不相同时,发送安全连接关联的安全连接关联主密钥的生成请求信息;安全连接关联主密钥生成单元,用于接收安全连接关联主密钥检测单元发送的生成请求信息,生成安全连接关联的安全连接关联主密钥,并发送安全连接关联主密钥;安全连接关联主密钥发送单元,用于接收安全连接关联主密钥生成单元发送的安全连接关联主密钥,向安全连接关联中的每个成员发送安全连接关联主密钥。
一种安全连接关联主密钥服务器,包括:更新请求接收单元,用于接收更新安全连接关联的安全连接关联主密钥请求信息;当接收到更新安全连接关联的安全连接关联主密钥的请求信息时,发送安全连接关联的安全连接关 联主密钥的生成请求信息;安全连接关联主密钥生成单元,用于接收更新请求接收单元发出的生成请求信息,生成安全连接关联的安全连接关联主密钥,并发送安全连接关联主密钥;安全连接关联主密钥发送单元,用于接收安全连接关联主密钥生成单元发送的安全连接关联主密钥,向安全连接关联中的每个成员发送安全连接关联主密钥。
一种安全连接关联主密钥服务器,包括:周期触发单元,用于周期发送安全连接关联的安全连接关联主密钥的生成请求信息;安全连接关联主密钥生成单元,用于接收周期触发单元发送的生成请求信息,生成安全连接关联的安全连接关联主密钥,并发送安全连接关联主密钥;安全连接关联主密钥发送单元,用于接收安全连接关联主密钥生成单元发送的安全连接关联主密钥,向安全连接关联中的每个成员发送安全连接关联主密钥。
一种使用安全连接关联的通信系统,包括:安全连接关联主密钥服务器,用于检测出同一安全连接关联中的不同成员的安全连接关联主密钥不相同时,生成安全连接关联的安全连接关联主密钥,向安全连接关联中的每个成员发送安全连接关联主密钥;用户端,作为所述安全连接关联中的成员,用于接收安全连接关联主密钥服务器发送的安全连接关联主密钥,根据接收到的安全连接关联主密钥更新保存的安全连接关联主密钥。
一种使用安全连接关联的通信通信系统,包括:安全连接关联主密钥服务器,用于接收到更新安全连接关联的安全连接关联主密钥的请求信息时,生成安全连接关联的安全连接关联主密钥,向安全连接关联中的每个成员发送安全连接关联主密钥;用户端,作为所述安全连接关联中的成员,用于接收安全连接关联主密钥服务器发送的安全连接关联主密钥,根据接收到的安全连接关联主密钥更新保存的安全连接关联主密钥。
一种使用安全连接关联的通信系统,包括:安全连接关联主密钥服务器,用于周期生成安全连接关联的安全连接关联主密钥,向安全连接关联中的每个成员发送安全连接关联主密钥;用户端,作为所述安全连接关联中的成员,用于接收安全连接关联主密钥服务器发送的安全连接关联主密钥,根据接收到的安全连接关联主密钥更新保存的安全连接关联主密钥。
从以上技术方案可以看出,由于在本发明实施例中,生成CA的CAK,向CA中的每个成员发送CAK;成员接收到CAK后,根据CAK更新保存的CAK;每个成员更新CAK后,具有相同的CAK,成员之间可以进行MACsec通信。
附图说明
图1为现有技术的EAP认证系统示意图;
图2为本发明实施例一的方法流程图;
图3为本发明实施例二的方法流程图;
图4为本发明实施例六的网络系统示意图;
图5为本发明实施例七的网络系统示意图;
图6为本发明实施例八的网络系统示意图。
具体实施方式
本发明提供安全连接关联主密钥的更新方法和服务器及网络系统。安全连接关联主密钥服务器(CAK Server)生成CA的CAK,向CA中的每个成员发送CAK;成员接收到CAK后,根据该CAK更新保存的CAK。其中,CAK Server生成CA的CAK情况可以包括以下3种:检测出同一CA中的不同成员的CAK不同时,生成CA的CAK;接收到更新CA的CAK的请求信息时,生成CA的CAK;周期生成CA的CAK。为了保证CAK的安全性,CAK Server生成CA的CAK的过程包括,产生CA的CAK,对CAK进行加密;用户端更新CAK的过程包括,对接收到的CAK进行解密以获得新CAK,用新CAK替换保存的CAK。加密的方法可以包括以下3种:使用保存的CAK对产生的CAK进行加密;使用基于保存的CAK生成的SAK对产生的CAK进行加密;使用认证通过后获得的PMK/预先设置的预共享密钥(Pre-SharedKey,PSK)对产生的CAK进行加密。
实施例一:
在本实施例中,成员在认证通过后,CAK Server检测出该成员所属CA还有其它成员,且该成员与其它成员的CAK不同时,则进行CAK更新。
请参考图2,为本发明实施例一的方法流程图。
步骤201.成员通过认证后,成员和认证设备利用EAP方法生成一对 PMK,并把此PMK当作CAK使用。使用密钥协商协议(MACsec KeyAgreement Protocol,MKA)基于CAK产生SAK,SAK用于成员之间通信数据的加密。
本说明书的成员为CA成员,是针对CA提出的一个逻辑概念。本说明书的用户端为承载成员信息的通信实体,可以为SecY、请求者、认证者、工作站、个人电脑和终端设备等。本说明书的认证设备泛指提供相关认证功能的通信实体,可以为认证者,路由器,交换机,数据服务器和接入网设备等。本说明书的CAK Server泛指能够生成并发送CAK的通信实体,可以为SecY、工作站、终端设备,认证者,路由器,交换机,数据服务器,接入网设备等。
步骤202.CAK Server检测出通过认证的新成员与其它成员属于同一CA,且新成员与其它成员的CAK不同时,产生该CA的新CAK。
CAK Server负责产生CA的新CAK,加密该CAK,并向该CA中的每个成员发送该CAK。在本实施例中,每一个CA中有一个CAK Server,CAKServer为CA中的一个特殊成员,为方便管理,建议把认证设备设置为CAKServer。
CAK Server判断成员所属的CA有两种方法:通过成员认证时使用的用户名判断成员所属的CA,比如,通过用户名后缀以识别CA,两个成员的用户名分别为test1@cak08.com与test2@cak08.com,他们的CA都是cak08;通过密钥协商协议数据单元(MACsec Key Agreement Protocol Data Units,MKPDU)中的安全连接关联标识(Secure Connectivity Association Identifier,CAID)域判断成员所属的CA。
为实现通过MKPDU识别成员所属CA,本发明提出了一种MKPDU结构。请参考表1,为本发明实施例提出的MKPDU结构,该MKPDU结构包括CAID域,该CAID域用于标记成员所属的CA。
表1
CAK Server可以通过随机数生成器产生新CAK。可以理解的是,也可以把其中一个成员正在使用的CAK作为新的CAK,但安全性较低。
步骤203.CAK Server加密CA的新CAK,并向该CA的所有成员发送。
CAK Server向成员发送的信息一般需要加密。CAK Server可以使用保存的CAK,或者基于保存的CAK生成的SAK,对新CAK进行加密,把加密过的CAK放入MKPDU报文的类型长度值(TLV)域中,TLV域的位置请参考 表1;使用组播或单播方式向该CA的每个成员下发该MKPDU报文。
其中,保存的CAK为CA的成员当前使用的CAK,即更新前的CAK。
需要说明的是,本发明实施例中,成员每次对新CAK进行加密时,还可以使用通过认证后生成的PMK来加密,这样加密密钥不需要更新,比较方便,但降低了安全性;因为认证后每个成员与CAK Server之间的PMK并不相同,所以只能使用单播方式向每个成员发送携带加密的CAK的MKPDU报文。
步骤304.成员接收到加密的CAK,对其进行解密以获得新CAK,用新CAK替换保存的CAK。解密为加密的反操作,CAK Server使用CAK、SAK或PMK进行加密,则成员使用相同的CAK、SAK或PMK进行解密。可以理解的是,CAK Server为特殊的CA成员,CAK Server可以根据新CAK更新自身的CAK。更新后,同一CA的每个成员具有相同的CAK,故它们可以进行MACsec通信。
实施例二:
在本实施例中,CA成员预先配置CAID和PSK。CAK Server接收到成员主动发起更新CA的CAK的请求信息时,更新成员的CAK;或CAK Server周期生成新CAK,更新成员的CAK。
请参考图3,为本发明实施例二的方法流程图。
步骤301.配置成员的CAID和PSK。对同一CA中的每个成员,配置相同的CAID和PSK;成员把PSK作CAK使用。基于CAK产生SAK,SAK用于通信数据的加密。
步骤302.成员可以主动发起更新CA的CAK的请求,CAK Server接收到请求信息后产生该CA的新CAK;或CAK Server周期产生该CA的新CAK。CAK Server可以通过随机数生成器产生新CAK。
实现周期产生新CAK的方法很多,比如,设置定时器,当定时器溢出时,产生新CAK。周期的具体时长,可以根据实际工作环境进行设置。
在本实施例中,可以通过预先配置其中一个成员作为CAK Server,或通过协议选举出其中一个成员为CAK Server。每个成员会相互传播MKPDU,MKPDU使用完整性校验值(ICV)保护,ICV值是根据CAK生成的,接收 MKPDU的成员必须拥有和发送MKPDU的成员相同的CAK才能进行校验,接收MKPDU的成员根据MKA协议决定是否把发送MKPDU的成员加入到本地激活对端列表(Live peer list),MKA协议保证加入到本地Live peer list的成员都是可信的同一CA成员。
步骤303.CAK Server加密CA的新CAK,并向该CA的所有成员发送。
CAK Server可以使用保存的CAK,或者基于保存的CAK生成的SAK,对新CAK进行加密,把加密过的CAK放入MKPDU报文的类型长度值(TLV)域中,TLV域的位置请参考表1;使用组播或单播方式向该CA的每个成员下发该MKPDU报文。需要说明的是,本发明实施例中,成员每次对新CAK进行加密时,还可以使用配置的PSK来加密,加密密钥不需要更新,比较方便,但降低了安全性。
步骤304.成员接收到加密的CAK,对其进行解密以获得新CAK,用新CAK替换保存的CAK。解密为加密的反操作,CAK Sever使用CAK、SAK或PSK进行加密,则成员使用相同的CAK、SAK或PSK进行解密。可以理解的是,CAK Server为特殊的CA成员,CAK Server可以根据新CAK更新自身的CAK。更新后,同一CA的每个成员具有相同的CAK,故它们可以进行MACsec通信。
实施例三:
本实施例的CAK服务器包括:CAK检测单元,用于检测同一CA中的不同成员的CAK是否相同,当检测出同一CA中的不同成员的CAK不相同时,发送CA的CAK的生成请求信息;CAK生成单元,用于接收CAK检测单元发送的生成请求信息,生成CA的CAK,并发送CAK;CAK发送单元,用于接收CAK生成单元发送的CAK,向CA中的每个成员发送该CAK。
进一步,CAK生成单元包括:CAK产生单元,用于接收CAK检测单元发送的生成请求信息,产生CA的CAK;CAK加密单元,用于加密CAK产生单元产生的CAK,并发送该CAK。
实施例四:
本实施例的CAK服务器包括:更新请求接收单元,用于接收更新CA的 CAK请求信息,当接收到更新CA的CAK的请求信息时,发送CA的CAK的生成请求信息;CAK生成单元,用于接收更新请求接收单元发出的生成请求信息,生成CA的CAK,并发送CAK;CAK发送单元,用于接收CAK生成单元发送的CAK,向CA中的每个成员发送该CAK。
进一步,CAK生成单元包括:CAK产生单元,用于接收更新请求接收单元发送的生成请求信息,产生CA的CAK;CAK加密单元,用于加密CAK产生单元产生的CAK,并发送该CAK。
实施例五:
本实施例的CAK服务器包括:周期触发单元,用于周期发送CA的CAK的生成请求信息;CAK生成单元,用于接收周期触发单元发送的生成请求信息,生成CA的CAK,并发送CAK;CAK发送单元,用于接收CAK生成单元发送的CAK,向CA中的每个成员发送该CAK。
进一步,CAK生成单元包括:CAK产生单元,用于接收周期触发单元发送的生成请求信息,产生CA的CAK;CAK加密单元,用于加密CAK产生单元产生的CAK,并发送该CAK。
实施例六:
本实施例的网络系统包括:CAK服务器420,用于检测出同一CA中的不同成员的CAK不相同时,生成CA的CAK,向CA中的每个成员发送CAK;用户端410,用于接收CAK服务器420发送的CAK,根据接收到的CAK更新保存的CAK。
进一步,CAK服务器420包括:CAK检测单元421,用于检测同一CA中的不同成员的CAK是否相同,当检测出同一CA中的不同成员的CAK不相同时,发送CA的CAK的生成请求信息;CAK生成单元422,用于接收CAK检测单元421发送的生成请求信息,产生CA的CAK,加密该CAK,并向CAK发送单元发送加密后的CAK;CAK发送单元423,用于接收CAK生成单元422发送的CAK,向CA中的每个成员发送该CAK。
进一步,用户端410包括:CAK接收单元411,用于接收CAK服务器420发送的CAK;CAK解密单元412,用于对CAK接收单元411接收到的 CAK进行解密,以获得新CAK;CAK更新单元413,用于将CAK解密单元412获得的新CAK替换保存的CAK。
用户端410发送认证报文到认证服务器430,通过认证后,CAK服务器420与用户端410建立一对PMK,成为CA的成员,成员把PMK当作CAK使用。CAK服务器420的CAK检测单元421检测出同一CA中的不同成员的CAK不相同时,发送CA的CAK的生成请求信息。CAK生成单元422接收CAK检测单元421发送的生成请求信息,产生CA的CAK,加密该CAK,并向CAK发送单元423发送加密后的CAK。CAK发送单元423接收CAK生成单元422发送的CAK,向CA中的每个成员发送该CAK。用户端410的CAK接收单元411接收CAK服务器420发送的CAK。CAK解密单元412对CAK接收单元411接收到的CAK进行解密,以获得新CAK。CAK更新单元413将CAK解密单元412获得的新CAK替换保存的CAK。其中,加密的方法可以包括以下3种:使用保存的CAK对产生的CAK进行加密;使用基于保存的CAK生成的SAK对产生的CAK进行加密;使用认证通过后获得的PMK对产生的CAK进行加密。
实施例七:
本实施例的网络系统包括:CAK服务器520,用于接收到更新CA的CAK的请求信息时,生成CA的CAK,向CA中的每个成员发送CAK;用户端510,用于接收CAK服务器520发送的CAK,根据接收到的CAK更新保存的CAK。
进一步,CAK服务器520包括:更新请求接收单元521,用于接收更新CA的CAK请求信息,当接收到更新CA的CAK的请求信息时,发送CA的CAK的生成请求信息;CAK生成单元522,用于接收更新请求接收单元521发送的生成请求信息,产生CA的CAK,加密该CAK,并向CAK发送单元523发送加密后的CAK;CAK发送单元523,用于接收CAK生成单元522发送的CAK,向CA中的每个成员发送该CAK。
进一步,用户端510包括:CAK接收单元511,用于接收CAK服务器520发送的CAK;CAK解密单元512,用于对CAK接收单元511接收到的CAK进行解密,以获得新CAK;CAK更新单元513,用于将CAK解密单元 512获得的新CAK替换保存的CAK。
配置用户端510的CAID和PSK,成为CA的成员,成员把PSK当作CAK使用。成员主动向CAK服务器520发送更新CA的CAK的请求。CAK服务器520的更新请求接收单元521当接收到更新CA的CAK的请求信息时,发送CA的CAK的生成请求信息。CAK生成单元522接收更新请求接收单元521发送的生成请求信息,产生CA的CAK,加密该CAK,并向CAK发送单元523发送加密后的CAK。CAK发送单元523接收CAK生成单元522发送的CAK,向CA中的每个成员发送该CAK。用户端510的CAK接收单元511接收CAK服务器520发送的CAK。CAK解密单元512对CAK接收单元511接收到的CAK进行解密,以获得新CAK。CAK更新单元513,用于将CAK解密单元512获得的新CAK替换保存的CAK。其中,加密的方法可以包括以下3种:使用保存的CAK对产生的CAK进行加密;使用基于保存的CAK生成的SAK对产生的CAK进行加密;使用预先设置的PSK对产生的CAK进行加密。
实施例八:
本实施例的网络系统包括:CAK服务器620,用于周期生成CA的CAK,向CA中的每个成员发送CAK;用户端610,用于接收CAK服务器620发送的CAK,根据接收到的CAK更新保存的CAK。
进一步,CAK服务器620包括:周期触发单元621,用于周期发送CA的CAK的生成请求信息;CAK生成单元622,用于接收周期触发单元621发送的生成请求信息,产生CA的CAK,加密该CAK,并向CAK发送单元623发送加密后的CAK;CAK发送单元623,用于接收CAK生成单元622发送的CAK,向CA中的每个成员发送该CAK。
进一步,用户端610包括:CAK接收单元611,用于接收CAK服务器620发送的CAK;CAK解密单元612,用于对CAK接收单元611接收到的CAK进行解密,以获得新CAK;CAK更新单元613,用于将CAK解密单元612获得的新CAK替换保存的CAK。
配置用户端610的CAID和PSK,成为CA的成员,成员把PSK当作CAK 使用。CAK服务器620的周期触发单元621周期发送CA的CAK的生成请求信息。CAK生成单元622接收周期触发单元621发送的生成请求信息,产生CA的CAK,加密该CAK,并向CAK发送单元623发送加密后的CAK。CAK发送单元623接收CAK生成单元622发送的CAK,向CA中的每个成员发送该CAK。用户端610的CAK接收单元611接收CAK服务器620发送的CAK。CAK解密单元612对CAK接收单元611接收到的CAK进行解密,以获得新CAK。CAK更新单元613将CAK解密单元612获得的新CAK替换保存的CAK。其中,加密的方法可以包括以下3种:使用保存的CAK对产生的CAK进行加密;使用基于保存的CAK生成的SAK对产生的CAK进行加密;使用预先设置的PSK对产生的CAK进行加密。
从以上技术方案可以看出,由于在本发明实施例中,生成CA的CAK,向CA中的每个成员发送CAK;成员接收到CAK后,根据CAK更新保存的CAK;每个成员更新CAK后,具有相同的CAK,成员之间可以进行MACsec通信。
从以上技术方案可以看出,本发明实施例提出3种CAK服务器生成CA的CAK情况:检测出同一CA中的不同成员的CAK不同时,生成CA的CAK;接收到更新CA的CAK的请求信息时,生成CA的CAK;周期生成CA的CAK;从而可以根据具体情况选择合适的实施方案。
从以上技术方案可以看出,本发明实施例提出的MKPDU结构包括CAID域,该CAID域用于标记成员所属的CA,从而可以通过MKPDU报文识别成员所属的CA。
以上对本发明实施例所提供的安全连接关联主密钥的更新方法和服务器及网络系统进行了详细介绍,本文中应用了具体个例对本发明的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本发明的方法及其核心思想;同时,对于本领域的一般技术人员,依据本发明的思想,在具体实施方式及应用范围上均会有改变之处,综上所述,本说明书内容不应理解为对本发明的限制。
Claims (13)
1.一种安全连接关联主密钥的更新方法,其特征在于,包括:
检测出同一安全连接关联中的不同成员的安全连接关联主密钥不同时或接收到更新安全连接关联的安全连接关联主密钥的请求信息时,生成所述安全连接关联的安全连接关联主密钥,向所述安全连接关联中的每个成员发送所述安全连接关联主密钥;所述成员接收到所述安全连接关联主密钥后,根据所述安全连接关联主密钥更新保存的安全连接关联主密钥。
2.根据权利要求1所述的更新方法,其特征在于,所述生成所述安全连接关联的安全连接关联主密钥的过程包括,产生所述安全连接关联的安全连接关联主密钥,对所述安全连接关联主密钥进行加密;所述根据所述安全连接关联主密钥更新保存的安全连接关联主密钥的过程包括,对接收到的安全连接关联主密钥进行解密以获得新安全连接关联主密钥,用所述新安全连接关联主密钥替换保存的安全连接关联主密钥。
3.一种安全连接关联主密钥的更新方法,其特征在于,包括:
周期生成安全连接关联的安全连接关联主密钥,向所述安全连接关联中的每个成员发送所述安全连接关联主密钥;所述成员接收到所述安全连接关联主密钥后,根据所述安全连接关联主密钥更新保存的安全连接关联主密钥。
4.根据权利要求3所述的更新方法,其特征在于,所述周期生成安全连接关联的安全连接关联主密钥的过程包括,周期产生安全连接关联的安全连接关联主密钥,对所述安全连接关联主密钥进行加密;所述根据所述安全连接关联主密钥更新保存的安全连接关联主密钥的过程包括,对接收到的安全连接关联主密钥进行解密以获得新安全连接关联主密钥,用所述新安全连接关联主密钥替换保存的安全连接关联主密钥。
5.一种安全连接关联主密钥服务器,其特征在于,包括:
安全连接关联主密钥检测单元,用于检测同一安全连接关联中的不同成员的安全连接关联主密钥是否相同;当检测出同一安全连接关联中的不同成员的安全连接关联主密钥不相同时,发送所述安全连接关联的安全连接关联主密钥的生成请求信息;
安全连接关联主密钥生成单元,用于接收所述安全连接关联主密钥检测 单元发送的生成请求信息,生成安全连接关联的安全连接关联主密钥,并发送所述安全连接关联主密钥;
安全连接关联主密钥发送单元,用于接收所述安全连接关联主密钥生成单元发送的安全连接关联主密钥,向所述安全连接关联中的每个成员发送所述安全连接关联主密钥。
6.根据权利要求5所述的安全连接关联主密钥服务器,其特征在于,所述安全连接关联主密钥生成单元包括:
安全连接关联主密钥产生单元,用于接收所述安全连接关联主密钥检测单元发送的生成请求信息,产生安全连接关联的安全连接关联主密钥;
安全连接关联主密钥加密单元,用于加密所述安全连接关联主密钥产生单元产生的安全连接关联主密钥,并发送所述安全连接关联主密钥。
7.一种安全连接关联主密钥服务器,其特征在于,包括:
更新请求接收单元,用于接收更新安全连接关联的安全连接关联主密钥请求信息;当接收到更新安全连接关联的安全连接关联主密钥的请求信息时,发送所述安全连接关联的安全连接关联主密钥的生成请求信息;
安全连接关联主密钥生成单元,用于接收所述更新请求接收单元发出的生成请求信息,生成安全连接关联的安全连接关联主密钥,并发送所述安全连接关联主密钥;
安全连接关联主密钥发送单元,用于接收所述安全连接关联主密钥生成单元发送的安全连接关联主密钥,向所述安全连接关联中的每个成员发送所述安全连接关联主密钥。
8.根据权利要求7所述的安全连接关联主密钥服务器,其特征在于,所述安全连接关联主密钥生成单元包括:
安全连接关联主密钥产生单元,用于接收所述更新请求接收单元发送的生成请求信息,产生安全连接关联的安全连接关联主密钥;
安全连接关联主密钥加密单元,用于加密所述安全连接关联主密钥产生单元产生的安全连接关联主密钥,并发送所述安全连接关联主密钥。
9.一种安全连接关联主密钥服务器,其特征在于,包括:
周期触发单元,用于周期发送所述安全连接关联的安全连接关联主密钥的生成请求信息;
安全连接关联主密钥生成单元,用于接收所述周期触发单元发送的生成请求信息,生成安全连接关联的安全连接关联主密钥,并发送所述安全连接关联主密钥;
安全连接关联主密钥发送单元,用于接收所述安全连接关联主密钥生成单元发送的安全连接关联主密钥,向所述安全连接关联中的每个成员发送所述安全连接关联主密钥。
10.根据权利要求9所述的安全连接关联主密钥服务器,其特征在于,所述安全连接关联主密钥生成单元包括:
安全连接关联主密钥产生单元,用于接收所述周期触发单元发送的生成请求信息,产生安全连接关联的安全连接关联主密钥;
安全连接关联主密钥加密单元,用于加密所述安全连接关联主密钥产生单元产生的安全连接关联主密钥,并发送所述安全连接关联主密钥。
11.一种具有安全连接关联的通信系统,其特征在于,包括:
安全连接关联主密钥服务器,用于检测出同一安全连接关联中的不同成员的安全连接关联主密钥不相同时,生成安全连接关联的安全连接关联主密钥,向所述安全连接关联中的每个成员发送所述安全连接关联主密钥;
用户端,作为所述安全连接关联中的成员,用于接收所述安全连接关联主密钥服务器发送的安全连接关联主密钥,根据所述接收到的安全连接关联主密钥更新保存的安全连接关联主密钥。
12.一种具有安全连接关联的通信系统,其特征在于,包括:
安全连接关联主密钥服务器,用于接收到更新安全连接关联的安全连接关联主密钥的请求信息时,生成安全连接关联的安全连接关联主密钥,向所述安全连接关联中的每个成员发送所述安全连接关联主密钥;
用户端,作为所述安全连接关联中的成员,用于接收所述安全连接关联主密钥服务器发送的安全连接关联主密钥,根据所述接收到的安全连接关联主密钥更新保存的安全连接关联主密钥。
13.一种具有安全连接关联的通信系统,其特征在于,包括:
安全连接关联主密钥服务器,用于周期生成安全连接关联的安全连接关联主密钥,向所述安全连接关联中的每个成员发送所述安全连接关联主密钥;
用户端,作为所述安全连接关联中的成员,用于接收所述安全连接关联主密钥服务器发送的安全连接关联主密钥,根据所述接收到的安全连接关联主密钥更新保存的安全连接关联主密钥。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2007100937118A CN101282208B (zh) | 2007-04-05 | 2007-04-05 | 安全连接关联主密钥的更新方法和服务器及网络系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2007100937118A CN101282208B (zh) | 2007-04-05 | 2007-04-05 | 安全连接关联主密钥的更新方法和服务器及网络系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101282208A CN101282208A (zh) | 2008-10-08 |
| CN101282208B true CN101282208B (zh) | 2011-04-06 |
Family
ID=40014507
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2007100937118A Expired - Fee Related CN101282208B (zh) | 2007-04-05 | 2007-04-05 | 安全连接关联主密钥的更新方法和服务器及网络系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101282208B (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP4246886A1 (en) * | 2022-03-18 | 2023-09-20 | Juniper Networks, Inc. | Systems and methods for random connectivity association key negotiation for media access control security |
| EP4297331A1 (en) * | 2022-06-23 | 2023-12-27 | Juniper Networks, Inc. | Automatic generation and update of connectivity association keys for media access control security protocol |
Families Citing this family (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102412962B (zh) * | 2011-12-23 | 2018-07-20 | 南京中兴新软件有限责任公司 | 组安全连接联合密钥cak的分发方法及装置 |
| CN103209072B (zh) * | 2013-04-27 | 2017-08-22 | 新华三技术有限公司 | 一种MACsec密钥更新方法及设备 |
| CN107769914B (zh) * | 2016-08-17 | 2021-02-12 | 华为技术有限公司 | 保护数据传输安全的方法和网络设备 |
| CN107800535A (zh) * | 2016-09-05 | 2018-03-13 | 上海前隆金融信息服务有限公司 | 一种数据安全的处理方法及装置 |
| US10686595B2 (en) | 2017-11-17 | 2020-06-16 | Hewlett Packard Enterprise Development Lp | Configuring connectivity association key and connectivity association name in a media access control security capable device |
| CN113973001A (zh) * | 2020-07-25 | 2022-01-25 | 华为技术有限公司 | 一种认证密钥的更新方法及装置 |
| US11764969B2 (en) * | 2020-12-01 | 2023-09-19 | Schweitzer Engineering Laboratories, Inc. | Media access control security (MACsec) sandboxing for suspect devices |
| CN114139180B (zh) * | 2021-11-29 | 2024-09-20 | 厦门熵基科技有限公司 | 一种密钥处理的方法及装置 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1350382A (zh) * | 2001-11-29 | 2002-05-22 | 东南大学 | 基于pki的vpn密钥交换的实现方法 |
| CN1483265A (zh) * | 2000-08-01 | 2004-03-17 | ��˹��ŵ�� | 采用会话启动协议消息进行通用移动通信系统验证的技术 |
-
2007
- 2007-04-05 CN CN2007100937118A patent/CN101282208B/zh not_active Expired - Fee Related
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1483265A (zh) * | 2000-08-01 | 2004-03-17 | ��˹��ŵ�� | 采用会话启动协议消息进行通用移动通信系统验证的技术 |
| CN1350382A (zh) * | 2001-11-29 | 2002-05-22 | 东南大学 | 基于pki的vpn密钥交换的实现方法 |
Non-Patent Citations (1)
| Title |
|---|
| US 2004/0003241 A1,全文. |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP4246886A1 (en) * | 2022-03-18 | 2023-09-20 | Juniper Networks, Inc. | Systems and methods for random connectivity association key negotiation for media access control security |
| EP4297331A1 (en) * | 2022-06-23 | 2023-12-27 | Juniper Networks, Inc. | Automatic generation and update of connectivity association keys for media access control security protocol |
Also Published As
| Publication number | Publication date |
|---|---|
| CN101282208A (zh) | 2008-10-08 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101282208B (zh) | 安全连接关联主密钥的更新方法和服务器及网络系统 | |
| US20200358764A1 (en) | System and method for generating symmetric key to implement media access control security check | |
| US8281127B2 (en) | Method for digital identity authentication | |
| CN109787761B (zh) | 一种基于物理不可克隆函数的设备认证与密钥分发系统和方法 | |
| CN107453868A (zh) | 一种安全高效的量子密钥服务方法 | |
| CN102957584B (zh) | 家庭网络设备的管理方法、控制设备和家庭网络设备 | |
| CN107769913A (zh) | 一种基于量子UKey的通信方法及系统 | |
| US20120072717A1 (en) | Dynamic identity authentication system | |
| CN113630248B (zh) | 一种会话密钥协商方法 | |
| CN104901940A (zh) | 一种基于cpk标识认证的802.1x网络接入方法 | |
| CN103023911A (zh) | 可信网络设备接入可信网络认证方法 | |
| CN112804356B (zh) | 一种基于区块链的联网设备监管认证方法及系统 | |
| Razouk et al. | New security approach for ZigBee weaknesses | |
| WO2023151427A1 (zh) | 量子密钥传输方法、装置及系统 | |
| CN101192927B (zh) | 基于身份保密的授权与多重认证方法 | |
| CN101577620A (zh) | 一种以太网无源光网络(epon)系统认证方法 | |
| CN105610872B (zh) | 物联网终端加密方法和物联网终端加密装置 | |
| CN113312639A (zh) | 基于标识加密算法的智能电网终端接入认证方法和系统 | |
| CN103780389A (zh) | 基于端口认证的方法及网络设备 | |
| CN102413144B (zh) | 一种用于c/s架构业务的安全接入系统及相关接入方法 | |
| Cho et al. | Using QKD in MACsec for secure Ethernet networks | |
| CN113591103A (zh) | 一种电力物联网智能终端间的身份认证方法和系统 | |
| Hoeper et al. | Where EAP security claims fail | |
| CN101646172B (zh) | 一种分布式mesh网络中产生密钥的方法和装置 | |
| Basic et al. | Trust your BMS: Designing a Lightweight Authentication Architecture for Industrial Networks |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20110406 Termination date: 20170405 |
|
| CF01 | Termination of patent right due to non-payment of annual fee |