CN103209072A - 一种MACsec密钥更新方法及设备 - Google Patents
一种MACsec密钥更新方法及设备 Download PDFInfo
- Publication number
- CN103209072A CN103209072A CN2013101560152A CN201310156015A CN103209072A CN 103209072 A CN103209072 A CN 103209072A CN 2013101560152 A CN2013101560152 A CN 2013101560152A CN 201310156015 A CN201310156015 A CN 201310156015A CN 103209072 A CN103209072 A CN 103209072A
- Authority
- CN
- China
- Prior art keywords
- network equipment
- sak
- new
- message
- key server
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开一种MACsec密钥更新方法和设备,应用于包括多个网络设备的连接联盟CA中,本发明实施例中,通过使网络设备在检测到攻击后,生成并发布新的SAK或者触发作为密钥服务器的网络设备生成并发布新的SAK,能够在CA内的网络设备检测到受到攻击后,及时更换当前CA所使用的SAK,从而提高MACsec密钥更新的及时性,最大限度的保障网络安全。
Description
技术领域
本发明涉及通信网络技术领域,尤其涉及一种MACsec密钥更新方法及设备。
背景技术
MACsec(Media Access Control Security,媒体接入控制安全)技术用于保护二层通信安全,防范二层攻击,满足在以太网上传输数据的安全需求。MACsec定义了一个安全基础架构,该架构提供数据机密性和完整性以及数据源验证,通过对于数据源的确认,MACsec可以减轻二层协议受到的攻击。
CA(Connectivity Association,连接联盟)由多个实现MACsec功能的SecY(MAC Security Entity,MAC安全实体)构成,MKA(MACsec Key Agreementprotocol,MACsec密钥协商协议)负责SecY的发现、认证、和授权。CA拥有同一个CAK(CA密钥),各SecY使用相同的密码算法套件进行通信。在CA存在期间,CAK和密码算法套件不能改变。SC(Secure Channel,安全通道)是一个单向的点到多点的数据发送通道,SecY负责在自己的SC内发送MACsec帧,以及接收由其他SC传送的MACsec帧并解密和验证。MKA负责通知SecY自身的SC标识以及其他SC的标识。SC包含一系列的SA(SecureAssociation,安全联盟),SA通过SCI(SC标识)+AN(Association Number,安全联盟编号)进行标识。每个SA拥有各自的SAK(Secure Association Key,SA密钥),用以加密发送数据。各SecY使用CAK协商产生SAK,CAK是固定不变的,而SAK是经常变化更新的,SAK的变化更新提高了数据的安全性。
现有技术中,同一SA的各SecY之间会以一定时间间隔发送Keep alive(保活)报文以检测SecY之间通信是否正常,Keep alive报文中携带有该SA的PN(Packet Number,报文编号),用于标识SecY接收报文的索引,当PN值大于等于0xc0000000时,认为PN即将耗尽。根据现有标准协议,只有当PN快要耗尽时,或者,SA失效时,才触发SAK更新。在数据传输过程中,若SecY受到非法报文的攻击,会对数据传输安全产生威胁,根据现有标准协议的MACsec密钥更新方案,即使SecY检测到攻击,也不会立即更换密钥,从而不能在第一时间保障网络安全。
因此,亟需一种MACsec密钥更新方案以解决以上问题。
发明内容
本发明实施例提供了一种MACsec密钥更新方法及设备,用以提高MACsec密钥更新的及时性。
为此,本发明实施例采用如下技术方案:
一种MACsec密钥更新方法,应用于包括多个网络设备的连接联盟CA中,所述CA中的各个网络设备使用相同的安全联盟密钥SAK对传输的报文进行解密或加密处理,所述多个网络设备中存在有一个网络设备作为密钥服务器,,所述方法包括:
网络设备检测到非法攻击后,当作为所述CA中的密钥服务器时,生成并向所述CA内的其他网络设备发布新的SAK及所述新SAK对应的安全联盟SA编号AN,并存储所述新的SAK及所述新SAK对应的AN;
当不是所述CA中的密钥服务器时,通知所述CA内的作为密钥服务器的网络设备生成并发布新的SAK及所述新SAK对应的AN,并接收所述作为密钥服务器的网络设备发布的新的SAK及所述新SAK对应的AN,以及存储所述新的SAK及所述新SAK对应的AN。
一种MACsec密钥更新设备,作为网络设备应用于包括多个网络设备的连接联盟CA中,所述CA中的各个网络设备使用相同的安全联盟密钥SAK对传输的报文进行解密或加密处理,所述多个网络设备中存在有一个网络设备作为密钥服务器,所述设备包括:
检测模块,用于检测非法攻击;
密钥更新模块,用于在所述检测模块检测到非法攻击且网络设备作为所述CA中的密钥服务器时,生成并向所述CA内的其他网络设备发布新的SAK及所述新SAK对应的安全联盟SA编号AN,并存储所述新的SAK及所述新SAK对应的AN;
密钥更新触发模块,用于在所述检测模块检测到非法攻击且网络设备不是所述CA中的密钥服务器时,通知所述CA内的作为密钥服务器的网络设备生成并发布新的SAK及所述新SAK对应的AN,并接收所述作为密钥服务器的网络设备发布的新的SAK及所述新SAK对应的AN,以及存储所述新的SAK及所述新SAK对应的AN。
与现有技术相比,本发明的上述实施例具有以下有益技术效果:
本发明实施例提供的MACsec密钥更新方案,通过使网络设备在检测到攻击后,生成并发布新的SAK或者触发作为密钥服务器的网络设备生成并发布新的SAK,能够在CA内的网络设备检测到受到攻击后,及时更换当前CA所使用的SAK,从而提高MACsec密钥更新的及时性,最大限度的保障网络安全。
附图说明
图1为本发明现有技术中CA网络架构示意图;
图2为本发明实施例提供的MACsec密钥更新方法的流程示意图;
图2a为本发明实施例提供的MACsec报文格式示意图;
图2b为本发明实施例提供的MACsec报文MPDU字段格式示意图;
图2c为本发明实施例提供的MACsec报文Sec TAG字段格式示意图;
图3为本发明实施例提供的网络设备结构示意图。
具体实施方式
现有技术中MACsec密钥更新的方法存在的主要问题在于,只有当PN快要耗尽时,或者,SA失效时,才会触发作为密钥服务器的网络设备进行SAK更新。这样在PN值耗尽或者SA失效之前,无法保障网络的安全。
针对现有技术存在的上述问题,本发明实施例提供了一种MACsec密钥更新方案,通过监测接收到的非法报文数量,判断网络设备是否受到攻击,一旦判断受到攻击,立即发布新SAK,从而保障网络安全。
下面结合附图对本发明实施例进行详细描述。
本发明实施例提供的MACsec密钥更新方案,应用于安全的连通联盟CA,作为CA成员的各网络设备之间建立有安全通道SC,并通过SC进行数据报文的传输,各个网络设备在安全通道SC上使用相同的安全联盟密钥SAK对传输的报文进行解密或加密处理。CA内的网络设备选举或者设定至少一个网络设备作为密钥服务器(KEY SERVER),KEY SERVER用于生成连接联盟密钥CAK,并根据CAK生成并发布各SA的SAK。
以下结合图1所示的网络架构,详细说明本发明实施例的MACsec密钥更新方案。如图所示,网络设备A、B、C之间建立有CA,网络设备A被选举为KEY SERVER,网络设备A与网络设备B、C之间建立SCA,网络设备B与网络设备A、C之间建立SCB,网络设备C与网络设备A、B之间建立SCC。假设当前网络设备A、B、C在上述通道SCA、SCB、SCC上进行数据报文的传输时使用SA0对数据报文进行解密或加密的处理,本申请提供的MACsec密钥更新的方法流程示意图可如图2所示:
步骤201,网络设备检测是否遭受到非法攻击,若是,则转向步骤202,若否,则结束流程。
优选的,网络设备A、B或C可以通过统计当前接收到的非法报文,并判断预设时间内接收到的非法报文的数量是否大于预设阈值,如果是,则认为遭受到了非法攻击,如果否,则认为没有遭受到网络攻击,继续监测并统计非法报文的数量。
需要指出的是,本领域技术人员可以根据需要设定该预设阈值,只要设定的阈值小于一个SA内所允许发送的报文的数量,都不会影响本发明实施例的实施。实际应用中,由于网络延时、设备故障等都有可能会造成网络设备将接收到的报文判定为非法报文,因此,为了避免对非法攻击的误检测,该预设阈值不应设定的过小,但是也不应该设定的过大,否则将会使网络设备对非法攻击的反应过慢,具体数值可以依据非法攻击发生时统计得到的经验值进行设置。
实际应用中,网络设备A、B、C分别统计本设备接收到的非法报文。其中,网络设备判断非法报文的方式包括但不限于以下几种方式:
方式一:网络设备通过判断接收到的报文的SA是否在用,判断是否为非法报文。即,网络设备接收到报文后,解析出其中携带的AN,将解析出的AN与当前本设备在用SA的AN相比较,若二者相同,则认为该报文为合法报文;若二者不同,则认为该报文为非法报文。AN位于报文中的SecTAG字段,该字段未被加密,因此可以解析得到其中的AN值。
方式二:网络设备通过判断报文的PN值,判断是否为非法报文。即,网络设备接收到报文后,解析出其中携带的PN,若解析出的PN小于合理值时,则认为该报文为非法报文。PN位于报文中的SecTAG字段,该字段未被加密,因此可以解析得到其中的PN值。这里的合理值,可以设置为网络设备已收到报文的PN的最大值。
优选的,可以通过在网络设备上设置计数器来统计非法报文的数量,当判断出接收到的报文为非法报文时,计数器加1。当网络设备判断接收到的非法报文数量大于预设阈值时,认定本设备受到网络攻击。
实际应用中,还可以在在网络设备上设置一个预设时间值,如果该预设时间内统计到的非法报文的数量达到预设阈值,则认为遭受到非法攻击,否则,则判定没有遭受到非法攻击。
步骤202,网络设备判断本设备是否为相应CA的KEY SERVER,若是,则转向步骤204,若否,则转向步骤203。
由于在实际应用中,同一台网络设备可能会属于不同的CA,因此网络设备会根据非法攻击来源于自身的哪个端口判断该端口对应的CA。比如,当网络设备A上分别与网络设备B和C相连的端口Port b和Port c的端口检测到的非法报文的数量大于预设阈值时,则认为攻击来自于自身与网络设备B和C共同所在的CA。在此基础上,网络设备A判断自身是否为该CA的密钥服务器。
步骤203,网络设备通知作为密钥服务器的网络设备生成并发布新的SAK及所述新SAK对应的AN,之后转向步骤204。
如果遭受到攻击的是网络设备B,则实际应用中,网络设备B可以采用如下方式通知作为密钥服务器的网络设备A生成并发布新的SAK及该新SAK对应的AN:
方式一、网络设备B生成一个用于请求密钥服务器发布新的SAK及对应的AN的密钥更新请求信息并发送给网络设备A,网络设备A在接收到该密钥更新请求信息后,即认为需要发布新的SAK。
方式二、网络设备B将下一个发送给作为密钥服务器的网络设备A的保活协议报文中的PN值修改为用于指示PN即将耗尽的设定值,网络设备A在接收到该保活协议报文后,根据解析的PN值确定需要发布新的SAK。
由于在现有技术中,当KEY SERVER在接收到0xC0000000,会认为PN即将耗尽,触发发布新的SAK,因此,在步骤中,可以使网络设备B将下一个发送给网络设备A的保活协议报文中的PN值修改为0xC0000000。当然在实际应用中,网络设备B也可以将该PN值修改为其他设定值,并对网络设备A进行相应的配置,使网络设备A在获取到PN值为该其他设定值的报文后,认为PN即将耗尽,需要发布新的SAK。
需要指出的是,实际应用中,网络设备B通知网络设备A进行新的SAK发布的方式并不局限于上述两种优选的实施方式,在能够实现本发明实施例的前提下,本领域技术人员可以采用其他多种方式完成相应的通知。
步骤204,作为密钥服务器的网络设备A生成新的SAK1并将新的SAK1及其对应的AN发布给网络设备B和网络设备C,之后转向步骤205。
实际应用中,假设网络设备A、B、C当前使用的SAK对应的SA的编号为0,则网络设备A在根据CAK生成SAK后,将新生成的SAK的编号设置为AN1(现有技术中A、B、C之间循环使用的AN为AN0、AN1、AN2或AN3,如果当前使用的SAK对应的SA的编号为AN1,则将新生成的SAK的编号设置为AN2,以此类推),并将新生成的SAK(为了方便说明,以下以SAK1代表新生成的SAK)及对应的编号AN1下发给网络设备B和C。
步骤205,网络设备A、B、C存储该新的SAK1及新的SAK1对应的编号AN1。
对于网络设备A,可以在生成新的SAK1及新的SAK1对应的AN1后直接存储。
对于网络设备B或C,可以在接收到网络设备A发布的新的SAK1及其对应的编号AN1后进行相应的存储。
此时,网络设备A、B和C上均存储了两个SAK及对应的AN,及SAK0和AN0,SAK1和AN1,则网络设备(比如网络设备B)在接收到该CA内的其他网络设备(比如网络设备A)发送的数据报文后,获取该数据报文中携带的SA的编号,若该AN为AN0,则使用SAK0对该数据报文进行解密,如果该AN为AN1,则使用SAK1对该数据报文进行解密,如果该AN为AN2或AN3,则认为该数据报文为非法报文。
本发明实施例中,在网络设备判断遭受到攻击时,立即发布或者触发相应的网络设备发布新的SAK。相比于现有技术中需要等到PN值耗尽才发布SAK的密钥更新方案,能够在CA内的网络设备遭受到攻击后,及时更新当前使用的SAK,从而能够在遭受到攻击及时保障网络的安全。
在作为密钥服务器的网络设备完成新的密钥的发布后,按照现有技术中的密钥老化的流程,各个网络设备会逐渐完成由当前使用的密钥到新的密钥的过渡,从而将当前使用的密钥老化,但是在该过渡期间,仍有可能遭受到利用当前正在使用的密钥进行加密的非法报文的攻击、因此,在上述实施例的基础上,本发明实施例还提供了另外一种密钥更新的方法,使CA中的各个网络设备在作为密钥服务器的网络设备发布新的SAK后,立即老化当前使用的SAK,进一步提高密钥更新的及时性,保证网络安全。
在上述步骤205后,本发明实施例中提供的MACsec密钥更新的方法还可以包括如下步骤:
步骤206,网络设备B或C接收到网络设备A发布的SAK1及SAK1对应的AN1后,向网络设备A返回响应报文,之后转向步骤207。
实际应用中,网络设备B或C可以在接收到网络设备A发布的SAK1及SAK1对应的AN1后,专门生成一个响应报文,通知网络设备A自身设备已经接收到相应的内容,也可以在下一个发送给网络设备A的数据报文或保活协议报文中,将数据报文或保活协议报文中携带的SA的编号设置为新接收到的SAK1对应的编号AN1,网络设备A接收到该数据报文或保活协议报文后,根据该数据报文或保活协议报文中携带的SA的编号AN1判定自身发布的SAK1及SAK1对应的编号AN1已经被相应的网络设备B成功接收。
步骤207,网络设备A接收到网络设备B或C发送的响应报文后,判断是否已经完全接收了网络设备B和C发送的响应报文,若是,则转向步骤208,若否,则转向步骤210。
步骤208,网络设备A删除SAK0及其对应的编号AN0,并将下一个发送给网络设备B或C的数据报文中携带的AN设置AN1,同时将数据报文中携带的更新标识的数值设置为第一数值,之后转向步骤209。
本步骤中,需要在数据报文中设置一个更新标识,实际应用中,可以使用数据报文的Sec TAG字段两个空闲比特位(第7个比特位和第8个比特位,以下以第8个比特位进行说明)中的一个作为该更新标识,并将该第8个比特位的比特值设置为1。
另外,网络设备设备A对数据报文进行加密时,需要采用与其中携带的SA编号AN1相对应的SAK1,否则将导致网络设备B或C无法对数据报文进行解密。
步骤209,网络设备B或C接收到网络设备A发送的数据报文后,根据更新标识的第一数值判断需要对当前存储的SAK及对应的编号进行更新,则删除SAK0和对应的AN0。
网络设备B或C接收到该网络报文后,首先获取该数据报文中携带的SA的编号AN1,并使用该编号AN1对应的SAK1对该数据报文进行解密处理,之后,查看该数据报文中Sec TAG字段第8个比特位的比特值,若该比特值为1,则说明需要对当前存储的SAK及对应的编号进行更新,此时网络设备B或C仅保留AN1及对应的SAK1,删除AN1之外的其他AN,即AN0,以及AN0对应的SAK0。
后续步骤中,删除了相应的SAK0及对应的AN0的设备B或C在接收到AN为AN0的报文后,发现AN为AN0已经不在使用,则认为该报文为非法报文。
通过本步骤206-209,能够使CA内的各个网络设备都获取到了新的SAK后,使各个网络设备立即完成由旧的SAK到新的SAK的过渡,进一步提高了MACsec密钥更新的及时性。
步骤210,网络设备A将下一个发送给网络设备B或C的数据报文中携带的SA编号设置AN0,同时将数据报文中携带的更新标识的数值设置为第二数值,之后转向步骤211。
本步骤中,将数据报文的Sec TAG字段中的第8比特位置为0。并且,网络设备设备A对数据报文进行加密时,需要采用与其中携带的SA编号AN0相对应的SAK0,否则将导致网络设备B或C无法对数据报文进行解密。
步骤211,网络设备B或C接收到该数据报文后,使用AN0对应的SAK0对该数据报文进行解密。
通过上述步骤210-211,网络设备A在未完全接收到网络设备B或C返回的响应时,仍使用当前使用的SAK0对数据进行加密处理,保证网络设备B或C能够正确的解密数据。
但是需要指出的是,实际应用中,可能会因为报文的丢失或者网络设备B或C遭受到攻击,其返回的报文无法被网络设备A接收,因此也可以还可以对网络设备A进行设置,使其在发布新的SAK1以后的预设时间后,老化当前增在使用的SAK0,并通知网络设备B和C老化SAK0。该预设时间也可以根据经验值确定。
以下分别通过两个实施例,对受到攻击的网络设备为网络设备A(KEYSERVER),以及受到攻击的网络设备为网络设备B(非KEY SERVER),这两种情况下的MACsec密钥更新方案分别进行详细说明。
实施例一、受到攻击的网络设备为网络设备A时,MACsec密钥更新流程,本实施例中假设受到攻击时,各个网络设备使用SA为SA0,对应的SAK为SAK1,对应的AN为AN0。
在本实施例中,受到攻击的网络设备为KEY SERVER(即设备A),MACsec密钥更新流程包括以下步骤:
KEY SERVER(设备A)生成SAK1以及对应的AN1并向该CA内的非KEY SERVER(设备B和设备C)通告SAK1以及对应的AN1。
通常,为了保证数据正常传输,SC内可以包含多个SA,最多包含4个SA,各AN分别为AN0、AN1、AN2和AN3。网络设备正常工作时,通常只有1个SA有效,当发生网络攻击或者当前传输通道链路故障时,可以从当前在用SA切换至其他SA。在本发明实施例中,SCA中当前SA0有效(即当前在用SA为SA0),当发生网络攻击时,从SA0切换至SA1。
SA1的密钥SAK1是KEY SERVER(设备A)基于根密钥CAK生成的,设备A在生成SAK1之后,可以通过协议报文发布给非KEY SERVER(设备B和设备C)。优选的,设备A可以通过在发送给设备B和设备C的保活报文(协议报文)中携带新密钥SAK1以及目标AN(目标AN),实现新密钥的发布。例如,当保活报文发送周期到达时,设备A将携带有SAK1和AN1的保活报文发送给设备B和设备A。设备A生成SAK1,以及通过保活报文在SC内发布新密钥的具体实现方式属于现有技术,在此不再赘述。
非KEY SERVER(设备B和设备C)在接收到KEY SERVER(设备A)发送的携带有SAK1和AN1的保活报文之后,会向设备A返回响应报文,设备A接收到非KEY SERVER返回的响应报文,即认为设备间通信正常,新密钥SAK1正常送达至非KEY SERVER。
KEY SERVER(设备A)接收到当前在用SA(SA0)内全部非KEY SERVER(设备B和设备C)返回的响应报文之后,说明设备A发布的新密钥SAK1已送达至当前在用SA(SA0)内的全部网络设备,因此,将密钥从SAK0更新为SAK1的条件已具备,设备A将本设备的密钥更新为SAK1,即删除原来使用的SAK0及对应的编号AN0。并且,在设备A需要向设备B或设备C发送数据报文时,利用SAK1对数据报文进行加密,在将数据报文中的AN字段的值设为1(即AN1),并设置数据报文中携带的更新标识的值(比如将更新标识对应的比特位置为1),使网络设备B或C接收到数据报文后,根据更新标识的值判断确定需要对SAK和AN进行更新,之后网络设备B或C删除出AN1以外的其他AN(AN0)以及AN0对应的SAK0。同时,由于数据报文中AN字段对应的AN为AN1,网络设备B或C接收到数据报文后,利用AN1对应的SAK1对数据报文进行解密。
设备A向设备B和设备C发送的数据报文可以为MACsec报文,以下结合图2a-图2c,对MACsec报文及其各字段的格式进行详细说明。
图2a示出了MACsec报文格式,MACsec报文包括:MAC(Media AccessControl,介质访问控制)地址和MPDU(MAC Protocol Data Unit,MAC协议数据单元)两部分,MAC地址包括源MAC地址和目的MAC地址;MPDU包括SecTAG(安全标签)、SecureData(安全数据)和ICV(完整性检查值)字段。
设备A的MAC层对报文源MAC、目的MAC以及MSDU(MAC ServiceData Unit,MAC服务数据单元)中的用户数据进行MACsec报文封装后,即产生MACsec报文的数据帧。
图2b示出了MPDU字段格式,其中,各字段含义如下:
SecTAG:位于源MAC和目的MAC之后,表示数据帧类型;
SecureData:加密后的MSDU数据;
ICV:通过对源MAC、目的MAC、SecTag和SecureData计算获得,放到MPDU的最后,用于信息安全的完整性检查。
图2c示出了SecTAG字段格式,其中,各字段含义如下:
MACsec Ethertype(以太类型):2字节,值为0x88e5,表明是一个MACsec帧。
TCI(标志控制信息):表示网络帧承载的802.1q的类型;
AN(SA编码):AN与TCI共用1个字节;
SL(短报文长度):1字节,最高两位为0,实际只有6位可用;SecTAG和ICV之间的用户数据长度如果小于48,则将该长度写入SL;否则,SL为0;当报文长度过短时,保存报文长度,由此,间接可以得知填充字段的长度;
PN(报文编号):为同一个SA内的报文提供编号,用来防重放;设备收到报文时,要检查PN是否大于对应SA的最小PN值,如果是,则防重放检查通过,更新该SA的最小PN值;否则丢弃;为了防止报文乱序,可以配置一个窗口,窗口里的报文不做防重放检查;
SCI(SC标识符):8个字节,其中,6个字节为全局唯一MAC地址,即桥MAC;2个字节为端口标识,用于支持一台设备配置多个实例。
本发明实施例中,对现有的Sec TAG字段格式进行了以下改进:利用SL字段的最高2位中的1位,例如在第1位或第2位上,设置用于指示是否更换密钥的标识CK,用以通告对端设备是否切换SA。当需要立即切换SA(即需要更换SAK)时,将CK设置为指示更换密钥的标识(例如将CK设置为1),并将Sec TAG字段中的AN设置为AN1;当无需切换SA(即无需更换SAK)时,将CK设置为指示维持当前密钥的标识(例如将CK设置为0),并将Sec TAG字段中的AN设置为当前在用AN。
KEY SERVER(设备A)接收到非KEY SERVER(设备B和设备C)返回的响应报文,并将本设备的密钥更新为SAK1之后,若设备A需要向设备B或设备C发送数据,则在MACsec报文Sec TAG字段中SL字段的第1或第2位中,将CK设置为1,将AN设置为AN1(即新密钥SAK1对应的AN,也就是目标AN),发送给设备B或设备C,并使用SAK1对数据进行加密,将加密数据携带于MACsec报文中发送给设备B或设备C。
相应的,非KEY SERVER(设备B或设备C)接收KEY SERVER(设备A)发送的数据报文后,从中解析出CK,若判断CK为指示更换密钥的标识,则将自身当前的SA密钥更新为所述数据报文中携带的AN对应的SA密钥。例如,设备B或设备C接收到设备A发送的MACsec报文后,从SL字段解析出CK,从AN字段解析出AN1,若判断CK=1,则将本设备在用SA(SA0)切换到AN1对应的SA(SA1),将SA的密钥更新为SA1的密钥SAK1,并使用SAK1对MACsec报文的SecureData字段中携带的数据进行解密。
需要说明的是,为了避免携带有值为1的CK以及AN1的数据报文丢失,导致非KEY SERVER设备无法正确切换到目标SA,引起数据传输错误,在旧SAK(SAK0)尚未失效,新密钥SAK1已启用的过渡阶段(其中,新密钥已启用是指,KEY SERVER和全部非KEY SERVER都已启用SAK1),若设备A需要向设备B或设备C发送数据,则设备A将MACsec报文的SL字段的CK设置为1,将AN字段设置为AN1,并使用SAK1对数据进行加密,将加密数据携带于MACsec报文中发送给设备B或设备C。相应的,设备B或设备C接收到设备A发送的MACsec报文后,从MACsec报文的SecTAG字段的SL字段解析出CK(值为1)和AN(AN1),根据值为1的CK以及AN1,设备B和设备C应该立即将在用SA切换至AN1对应的SA1,由于此时设备B或设备C已切换至SA1,则可以不再执行SA切换的操作,设备B或设备C使用新密钥SAK1对MACsec报文中携带的数据进行解密,从而保证了在过渡阶段KEY SERVER和非KEY SERVER之间数据传输的正确。
需要说明的是,若全部非KEY SERVER返回响应报文之前,例如,只有设备B向设备A返回了响应报文,设备C未向设备A返回响应报文,在这种情况下,若设备A需要向设备B或设备C发送数据,则设备A在MACsec报文的SL字段中将CK设置为0,将AN字段设置为AN0,使用当前在用的SAK0对数据进行加密,将加密后的数据携带于Secure Data字段后,将MACsec报文发送给向设备B或设备C。
进一步的,当旧密钥SAK0失效之后,所述方法还包括以下步骤:
若KEY SERVER需要向非KEY SERVER发送数据,则KEY SERVER在数据报文中携带用于指示维持当前密钥的标识,优选的,还可以携带当前在用SA对应的AN。相应的,非KEY SERVER接收到KEY SERVER发送的数据报文后,解析出其中携带的维持当前密钥的标识,维持当前在用SA。例如,当SAK0失效之后,若有数据需要从设备A发送至设备B或设备C,设备A在向设备B或设备C发送的MACsec报文中,将CK设置为0,将AN设置为当前在用的AN1,并使用SAK1对数据进行加密,将加密数据携带于数据报文中发送给设备B或设备C。设备B或设备C接收到MACsec报文,判断解析出的CK值为0,则维持当前在用的SA1,并使用SAK1对MACsec报文中携带的数据进行解密。至此,过渡阶段结束,在SCA内,设备A、B、C之间通过SA1,使用SAK1对数据进行加密解密传输。
需要注意的是,在非KEY SERVER在接收到KEY SERVER发送的数据报文并完成密钥更新后,能够返回密钥更新响应报文(数据报文)的情况下,KEYSERVER可以不用等到旧密钥过期,才向非KEY SERVER发送携带用于指示维持当前密钥的标识以及当前在用SA对应的AN的数据报文。即,KEYSERVER(设备A)在接收到非KEY SERVER(设备B或设备C)返回的密钥更新响应报文后,若需要向非KEY SERVER发送数据,即可在数据报文中携带用于指示维持当前密钥的标识以及当前在用SA对应的AN的数据报文。例如,设备B接收到设备A发送的携带有CK为1、AN1的MACsec报文后,解析出其中携带的CK和AN,根据值为1的CK,将密钥更新为AN1所对应的SA1的密钥SAK1,并向设备A返回密钥更新响应报文,用以通告设备A已完成密钥更新。设备A接收到设备B返回的密钥更新响应报文后,若有数据需要从设备A发送至设备B,设备A在向设备B发送的MACsec报文中,将CK设置为0,将AN设置为AN1,并使用SAK1对数据进行加密,将加密数据携带于数据报文中发送给设备B。设备B接收到MACsec报文后,判断解析出的CK值为0,则维持当前在用的SA1,并使用SAK1对MACsec报文中携带的数据进行解密。
实施例二、受到攻击的网络设备为非KEY SERVER时,MACsec密钥更新流程。
实施例二与实施例一的区别在于,受到网络攻击的网络设备判断本设备为非KEY SERVER后,需要通知KEY SERVER,以使KEY SERVER发布新密钥。
具体的,若受到网络攻击的网络设备判断本设备为非KEY SERVER,则通过现有的协议报文通知KEY SERVER,例如,受到网络攻击的非KEY SERVER可以在Keep alive报文发送周期到达时,将Keep alive报文中的LowestAcceptable PN(最低可接受PN值)直接设置为0xC0000000,发送给KEYSERVER,KEY SERVER接收到Keep alive报文,解析出其中携带的PN,若判断该PN值为0xC0000000,则知道该非KEY SERVER受到了网络攻击,从而触发生成新密钥以及发布新密钥的操作。
需要说明的是,非KEY SERVER向KEY SERVER通知本设备受到网络攻击,不限于利用Keep alive报文实现,任何能够携带收到攻击信息的协议报文都在本发明的保护范围之内。
KEY SERVER生成新SAK并向本设备当前在用SA内的非KEY SERVER发布新密钥,以及通过数据报文通告非KEY SERVER更新密钥的流程以及具体实现方式与实施例一相同,在此不再赘述。
通过上述流程可以看出,通过监测接收到的非法报文数量大于阈值,判断网络设备受到攻击,从而触发在当前在用的SA内发布新SAK,并由KEYSERVER在数据报文中携带用于指示更换密钥的标识和新SAK对应的AN,以通知非KEY SERVER切换至相应的SA并更新SAK。本发明实施例网络设备一旦检测到受到攻击,在SA内立即发布新密钥,利用数据报文通知CA中其他成员更换SA,缩短了密钥更新时间,提高了MACsec密钥更新的及时性,从而实现在第一时间保障网络安全。
基于相同的技术构思,本发明实施例还提供了一种Csec密钥更新设备,作为网络设备应用于包括多个网络设备的连接联盟CA中,该CA中的各个网络设备使用相同的安全联盟密钥SAK对传输的报文进行解密或加密处理,多个网络设备中存在有一个网络设备作为密钥服务器,其特征在于,包括:
检测模块301,用于检测非法攻击;
密钥更新模块302,用于在检测模块301检测到非法攻击且网络设备作为该CA中的密钥服务器时,生成并向该CA内的其他网络设备发布新的SAK及该新SAK对应的安全联盟SA编号AN,并存储该新的SAK及该新SAK对应的AN;
密钥更新触发模块303,用于在检测模块301检测到非法攻击且网络设备不是所述CA中的密钥服务器时,通知所述CA内的作为密钥服务器的网络设备生成并发布新的SAK及该新SAK对应的AN,并接收作为密钥服务器的网络设备发布的新的SAK及该新SAK对应的AN,以及存储该新的SAK及该新SAK对应的AN。
优选的,检测模块301具体用于,统计接收到的非法报文的数量,该非法报文包括AN字段为本设备当前未使用的AN的报文和报文编号PN字段小于本设备已收到报文的PN的最大值的报文;若在预设时间周期内接收到的非法报文的数量大于预设阈值,则判定遭受到非法攻击;
优选的,密钥更新触发模块303具体用于,向作为密钥服务器的网络设备发送密钥更新请求信息,该密钥更新请求信息用于请求作为密钥服务器的网络设备发布新的SAK以及该新的SAK对应的AN;或,
将下一个发送给作为密钥服务器的网络设备的保活协议报文中的PN值修改为用于指示PN即将耗尽的设定值,以使作为密钥服务器的网络设备在接收到该保活协议报文后根据该设定值判定需要发布新的SAK以及该新的SAK对应的AN。
优选的,密钥更新模块302还用于,接收到非密钥服务器的网络设备发送的用于请求发布新的SAK以及该新的SAK对应的AN的密钥更新请求信息后,发布新的SAK以及该新的SAK对应的AN;
或,接收非密钥服务器的网络设备发送的保活协议报文,并在确定该保活协议报文中的PN值为用于指示PN即将耗尽的设定值时,发布新的SAK以及该新的SAK对应的AN。
优选的,该设备还包括:
老化通知模块304,用于在该网络设备作为密钥服务器时,接收该CA内的其他网络设备在接收到该新的SAK及该新SAK对应的AN后返回的响应,并在接收到所有其他网络设备返回的响应后,删除自身存储的除除该新的SAK对应的AN以外的其他AN及该其他AN对应的SAK,并将发送给其他网络设备的数据报文中携带的更新标识的值设置为第一数值,以使其他网络设备在接收到该数据报文后,根据该更新标识的值判定需要删除除数据报文中携带的AN以外的其他AN及其他AN对应的SAK。
优选的,该设备还包括:
老化模块305,用于在该网络设备作为非密钥服务器接收作为密钥服务器的网络设备发布的新的SAK及该新SAK对应的AN后,向作为密钥服务器的网络设备返回响应,并在接收到作为密钥服务器的网络设备发送的数据报文后,获取该数据报文中携带的AN和更新标识,当该更新标识的值为第一数值时,删除除该数据报文中携带的AN以外的其他AN以及其他AN对应的SAK。
优选的,该数据报文中携带的更新标识的值具体为数据报文的SecTAG字段中的SL字段的第七个比特位或者第八个比特位的比特值。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到本发明可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台客户端设备(可以是手机,个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述的方法。
以上所述仅是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也应视本发明的保护范围。
Claims (14)
1.一种媒体接入控制安全MACsec密钥更新方法,应用于包括多个网络设备的连接联盟CA中,所述CA中的各个网络设备使用相同的安全联盟密钥SAK对传输的报文进行解密或加密处理,所述多个网络设备中存在有一个网络设备作为密钥服务器,其特征在于,所述方法包括:
网络设备检测到非法攻击后,当作为所述CA中的密钥服务器时,生成并向所述CA内的其他网络设备发布新的SAK及所述新SAK对应的安全联盟SA编号AN,并存储所述新的SAK及所述新SAK对应的AN;
当不是所述CA中的密钥服务器时,通知所述CA内的作为密钥服务器的网络设备生成并发布新的SAK及所述新SAK对应的AN,并接收所述作为密钥服务器的网络设备发布的新的SAK及所述新SAK对应的AN,以及存储所述新的SAK及所述新SAK对应的AN。
2.如权利要求1所述的方法,其特征在于,网络设备检测到非法攻击具体为:
所述网络设备统计接收到的非法报文的数量,所述非法报文包括AN字段为本设备当前未使用的AN的报文和报文编号PN字段小于本设备已收到报文的PN的最大值的报文;
若在预设时间周期内接收到的非法报文的数量大于预设阈值,则判定遭受到非法攻击。
3.如权利要求1所述的方法,其特征在于,所述网络设备通知所述CA内的作为密钥服务器的网络设备生成并发布新的SAK及所述新SAK对应的AN,具体为:
所述网络设备向所述作为密钥服务器的网络设备发送密钥更新请求信息,所述密钥更新请求信息用于请求所述作为密钥服务器的网络设备发布新的SAK以及所述新的SAK对应的AN;或,
所述网络设备将下一个发送给作为密钥服务器的网络设备的保活协议报文中的PN值修改为用于指示PN即将耗尽的设定值,以使所述作为密钥服务器的网络设备在接收到所述保活协议报文后根据所述设定值判定需要发布新的SAK以及所述新的SAK对应的AN。
4.如权利要求1所述的方法,其特征在于,当所述网络设备作为所述CA中的密钥服务器时,所述方法还包括:
所述网络设备接收到非密钥服务器的网络设备发送的用于请求发布新的SAK以及所述新的SAK对应的AN的密钥更新请求信息后,发布新的SAK以及所述新的SAK对应的AN;
或,所述网络设备接收非密钥服务器的网络设备发送的保活协议报文,并在确定所述保活协议报文中的PN值为用于指示PN即将耗尽的设定值时,发布新的SAK以及所述新的SAK对应的AN。
5.如权利要求1所述的方法,其特征在于,所述网络设备作为密钥服务器生成并向所述CA内的其他网络设备发布新的SAK及所述新SAK对应的AN后,所述方法还包括:
所述网络设备接收所述CA内的其他网络设备在接收到所述新的SAK及所述新SAK对应的AN后返回的响应,并在接收到所有其他网络设备返回的响应后,删除自身存储的除除所述新的SAK对应的AN以外的其他AN及所述其他AN对应的SAK,并将发送给其他网络设备的数据报文中携带的更新标识的值设置为第一数值,以使所述其他网络设备在接收到所述数据报文后,根据所述更新标识的值判定需要删除除数据报文中携带的AN以外的其他AN及所述其他AN对应的SAK。
6.如权利要求1所述的方法,其特征在于,所述网络设备作为非密钥服务器接收所述作为密钥服务器的网络设备发布的新的SAK及所述新SAK对应的AN后,所述方法还包括:
所述网络设备向所述作为密钥服务器的网络设备返回响应,并在接收到所述作为密钥服务器的网络设备发送的数据报文后,获取所述数据报文中携带的AN和更新标识,当所述更新标识的值为第一数值时,删除除所述数据报文中携带的AN以外的其他AN以及所述其他AN对应的SAK。
7.如权利要求5或6所述的方法,其特征在于,所述数据报文中携带的更新标识的值具体为数据报文的SecTAG字段中的SL字段的第七个比特位或者第八个比特位的比特值。
8.一种媒体接入控制安全MACsec密钥更新设备,作为网络设备应用于包括多个网络设备的连接联盟CA中,所述CA中的各个网络设备使用相同的安全联盟密钥SAK对传输的报文进行解密或加密处理,所述多个网络设备中存在有一个网络设备作为密钥服务器,其特征在于,包括:
检测模块,用于检测非法攻击;
密钥更新模块,用于在所述检测模块检测到非法攻击且网络设备作为所述CA中的密钥服务器时,生成并向所述CA内的其他网络设备发布新的SAK及所述新SAK对应的安全联盟SA编号AN,并存储所述新的SAK及所述新SAK对应的AN;
密钥更新触发模块,用于在所述检测模块检测到非法攻击且网络设备不是所述CA中的密钥服务器时,通知所述CA内的作为密钥服务器的网络设备生成并发布新的SAK及所述新SAK对应的AN,并接收所述作为密钥服务器的网络设备发布的新的SAK及所述新SAK对应的AN,以及存储所述新的SAK及所述新SAK对应的AN。
9.如权利要求8所述的设备,其特征在于,所述检测模块具体用于,统计接收到的非法报文的数量,所述非法报文包括AN字段为本设备当前未使用的AN的报文和报文编号PN字段小于本设备已收到报文的PN的最大值的报文;若在预设时间周期内接收到的非法报文的数量大于预设阈值,则判定遭受到非法攻击。
10.如权利要求8所述的设备,其特征在于,所述密钥更新触发模块具体用于,向所述作为密钥服务器的网络设备发送密钥更新请求信息,所述密钥更新请求信息用于请求所述作为密钥服务器的网络设备发布新的SAK以及所述新的SAK对应的AN;或,
将下一个发送给作为密钥服务器的网络设备的保活协议报文中的PN值修改为用于指示PN即将耗尽的设定值,以使所述作为密钥服务器的网络设备在接收到所述保活协议报文后根据所述设定值判定需要发布新的SAK以及所述新的SAK对应的AN。
11.如权利要求8所述的设备,其特征在于,所述密钥更新模块还用于,接收到非密钥服务器的网络设备发送的用于请求发布新的SAK以及所述新的SAK对应的AN的密钥更新请求信息后,发布新的SAK以及所述新的SAK对应的AN;
或,接收非密钥服务器的网络设备发送的保活协议报文,并在确定所述保活协议报文中的PN值为用于指示PN即将耗尽的设定值时,发布新的SAK以及所述新的SAK对应的AN。
12.如权利要求8所述的设备,其特征在于,还包括:
老化通知模块,用于在所述网络设备作为密钥服务器时,接收所述CA内的其他网络设备在接收到所述新的SAK及所述新SAK对应的AN后返回的响应,并在接收到所有其他网络设备返回的响应后,删除自身存储的除除所述新的SAK对应的AN以外的其他AN及所述其他AN对应的SAK,并将发送给其他网络设备的数据报文中携带的更新标识的值设置为第一数值,以使所述其他网络设备在接收到所述数据报文后,根据所述更新标识的值判定需要删除除数据报文中携带的AN以外的其他AN及所述其他AN对应的SAK。
13.如权利要求8所述的设备,其特征在于,还包括:
老化模块,用于在所述网络设备作为非密钥服务器接收所述作为密钥服务器的网络设备发布的新的SAK及所述新SAK对应的AN后,向所述作为密钥服务器的网络设备返回响应,并在接收到所述作为密钥服务器的网络设备发送的数据报文后,获取所述数据报文中携带的AN和更新标识,当所述更新标识的值为第一数值时,删除除所述数据报文中携带的AN以外的其他AN以及所述其他AN对应的SAK。
14.如权利要求12或13所述的设备,其特征在于,所述数据报文中携带的更新标识的值具体为数据报文的SecTAG字段中的SL字段的第七个比特位或者第八个比特位的比特值。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310156015.2A CN103209072B (zh) | 2013-04-27 | 2013-04-27 | 一种MACsec密钥更新方法及设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310156015.2A CN103209072B (zh) | 2013-04-27 | 2013-04-27 | 一种MACsec密钥更新方法及设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN103209072A true CN103209072A (zh) | 2013-07-17 |
| CN103209072B CN103209072B (zh) | 2017-08-22 |
Family
ID=48756166
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201310156015.2A Active CN103209072B (zh) | 2013-04-27 | 2013-04-27 | 一种MACsec密钥更新方法及设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN103209072B (zh) |
Cited By (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105591738A (zh) * | 2015-12-22 | 2016-05-18 | 杭州华三通信技术有限公司 | 一种密钥更新方法及装置 |
| CN106101079A (zh) * | 2016-05-31 | 2016-11-09 | 努比亚技术有限公司 | 一种实现签名加密的方法和系统 |
| CN106357388A (zh) * | 2016-10-10 | 2017-01-25 | 盛科网络(苏州)有限公司 | 自适应切换密钥的方法及装置 |
| CN103475465B (zh) * | 2013-09-10 | 2017-02-08 | 杭州华三通信技术有限公司 | 一种ISSU过程中MACsec密钥更新方法和装置 |
| CN109104385A (zh) * | 2018-10-10 | 2018-12-28 | 盛科网络(苏州)有限公司 | 一种防止macsec安全通道故障的方法和装置 |
| CN110061878A (zh) * | 2019-04-24 | 2019-07-26 | 新华三技术有限公司 | 一种通道故障处理方法及装置 |
| US10686595B2 (en) | 2017-11-17 | 2020-06-16 | Hewlett Packard Enterprise Development Lp | Configuring connectivity association key and connectivity association name in a media access control security capable device |
| WO2022105809A1 (zh) * | 2020-11-19 | 2022-05-27 | 中兴通讯股份有限公司 | 密钥更新方法、装置、电子设备和存储介质 |
| CN115208697A (zh) * | 2022-09-15 | 2022-10-18 | 广州万协通信息技术有限公司 | 基于攻击行为的自适应数据加密方法及装置 |
| CN115442305A (zh) * | 2021-06-01 | 2022-12-06 | 迈络思科技有限公司 | 具有中间介质访问控制安全设备的端到端流量控制 |
| US11764969B2 (en) * | 2020-12-01 | 2023-09-19 | Schweitzer Engineering Laboratories, Inc. | Media access control security (MACsec) sandboxing for suspect devices |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20070133791A1 (en) * | 2005-12-07 | 2007-06-14 | Electronics And Telecommunications Research Institute | Method for controlling security channel in MAC security network and terminal using the same |
| CN101197662A (zh) * | 2006-12-06 | 2008-06-11 | 华为技术有限公司 | 生成安全关联密钥sak的方法、网络设备、网络系统 |
| CN101282208A (zh) * | 2007-04-05 | 2008-10-08 | 华为技术有限公司 | 安全连接关联主密钥的更新方法和服务器及网络系统 |
| CN101322135A (zh) * | 2005-12-01 | 2008-12-10 | 索尼爱立信移动通讯股份有限公司 | 用于闪速存储器和电子设备的安全数字证书存储方案 |
-
2013
- 2013-04-27 CN CN201310156015.2A patent/CN103209072B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101322135A (zh) * | 2005-12-01 | 2008-12-10 | 索尼爱立信移动通讯股份有限公司 | 用于闪速存储器和电子设备的安全数字证书存储方案 |
| US20070133791A1 (en) * | 2005-12-07 | 2007-06-14 | Electronics And Telecommunications Research Institute | Method for controlling security channel in MAC security network and terminal using the same |
| CN101197662A (zh) * | 2006-12-06 | 2008-06-11 | 华为技术有限公司 | 生成安全关联密钥sak的方法、网络设备、网络系统 |
| CN101282208A (zh) * | 2007-04-05 | 2008-10-08 | 华为技术有限公司 | 安全连接关联主密钥的更新方法和服务器及网络系统 |
Non-Patent Citations (1)
| Title |
|---|
| 冷雪: "下一代无源光网络安全与密钥管理研究", 《中国优秀硕士学位论文全文数据库 信息科学辑》 * |
Cited By (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103475465B (zh) * | 2013-09-10 | 2017-02-08 | 杭州华三通信技术有限公司 | 一种ISSU过程中MACsec密钥更新方法和装置 |
| CN105591738B (zh) * | 2015-12-22 | 2018-12-25 | 新华三技术有限公司 | 一种密钥更新方法及装置 |
| CN105591738A (zh) * | 2015-12-22 | 2016-05-18 | 杭州华三通信技术有限公司 | 一种密钥更新方法及装置 |
| CN106101079A (zh) * | 2016-05-31 | 2016-11-09 | 努比亚技术有限公司 | 一种实现签名加密的方法和系统 |
| CN106357388A (zh) * | 2016-10-10 | 2017-01-25 | 盛科网络(苏州)有限公司 | 自适应切换密钥的方法及装置 |
| US10686595B2 (en) | 2017-11-17 | 2020-06-16 | Hewlett Packard Enterprise Development Lp | Configuring connectivity association key and connectivity association name in a media access control security capable device |
| CN109104385A (zh) * | 2018-10-10 | 2018-12-28 | 盛科网络(苏州)有限公司 | 一种防止macsec安全通道故障的方法和装置 |
| CN110061878A (zh) * | 2019-04-24 | 2019-07-26 | 新华三技术有限公司 | 一种通道故障处理方法及装置 |
| WO2022105809A1 (zh) * | 2020-11-19 | 2022-05-27 | 中兴通讯股份有限公司 | 密钥更新方法、装置、电子设备和存储介质 |
| US11764969B2 (en) * | 2020-12-01 | 2023-09-19 | Schweitzer Engineering Laboratories, Inc. | Media access control security (MACsec) sandboxing for suspect devices |
| CN115442305A (zh) * | 2021-06-01 | 2022-12-06 | 迈络思科技有限公司 | 具有中间介质访问控制安全设备的端到端流量控制 |
| US11956160B2 (en) | 2021-06-01 | 2024-04-09 | Mellanox Technologies, Ltd. | End-to-end flow control with intermediate media access control security devices |
| CN115442305B (zh) * | 2021-06-01 | 2024-05-28 | 迈络思科技有限公司 | 具有中间介质访问控制安全设备的端到端流量控制 |
| CN115208697A (zh) * | 2022-09-15 | 2022-10-18 | 广州万协通信息技术有限公司 | 基于攻击行为的自适应数据加密方法及装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN103209072B (zh) | 2017-08-22 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN103209072A (zh) | 一种MACsec密钥更新方法及设备 | |
| US10595207B2 (en) | Methods for verifying data integrity | |
| US20120066764A1 (en) | Method and apparatus for enhancing security in a zigbee wireless communication protocol | |
| CN103686717A (zh) | 一种物联网传感系统的密钥管理方法 | |
| Lu et al. | LEAP: A lightweight encryption and authentication protocol for in-vehicle communications | |
| US7386725B2 (en) | Node device and communication control method for improving security of packet communications | |
| CN110430014A (zh) | 一种水利自动化控制系统中现场总线信道加密方法 | |
| KR20120027296A (ko) | 무선 네트워크에서의 통신들을 보안화하는 방법 및 이를 위한 자원-제한된 디바이스 | |
| CN112640365B (zh) | 一种控制器区域网can总线安全通信方法及装置 | |
| CN103441983A (zh) | 基于链路层发现协议的信息保护方法和装置 | |
| CN102404721B (zh) | Un接口的安全保护方法、装置和基站 | |
| WO2019129201A1 (en) | Session management for communications between a device and a dtls server | |
| CN102546184B (zh) | 传感网内消息安全传输或密钥分发的方法和系统 | |
| CN103168458A (zh) | 用于防操纵的密钥管理的方法 | |
| CN102655643A (zh) | 无线数据加密方法和解密方法 | |
| CN101917294A (zh) | 主备切换时更新防重放参数的方法和设备 | |
| CN102546661A (zh) | 一种防止IPv6网关邻居欺骗攻击的方法及系统 | |
| Lee et al. | Flexicast: Energy-efficient software integrity checks to build secure industrial wireless active sensor networks | |
| Chanal et al. | Hybrid algorithm for data confidentiality in Internet of Things | |
| CN104618380A (zh) | 一种适用于物联网的密钥更新方法 | |
| KR20190040443A (ko) | 스마트미터의 보안 세션 생성 장치 및 방법 | |
| CN100596350C (zh) | 工业控制数据的加密解密方法 | |
| WO2014148960A1 (en) | Communication apparatus, control method thereof, and computer program thereof | |
| CN104303452A (zh) | 用于产生密码保护的冗余的数据包的方法和设备 | |
| CN103249035A (zh) | 无线传感网络数据加密传送方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| CB02 | Change of applicant information |
Address after: 310052 Binjiang District Changhe Road, Zhejiang, China, No. 466, No. Applicant after: Xinhua three Technology Co., Ltd. Address before: 310053 Hangzhou hi tech Industrial Development Zone, Zhejiang province science and Technology Industrial Park, No. 310 and No. six road, HUAWEI, Hangzhou production base Applicant before: Huasan Communication Technology Co., Ltd. |
|
| GR01 | Patent grant | ||
| GR01 | Patent grant |