CN105103490A - 网络控制器提供的MACsec密钥 - Google Patents
网络控制器提供的MACsec密钥 Download PDFInfo
- Publication number
- CN105103490A CN105103490A CN201380075343.8A CN201380075343A CN105103490A CN 105103490 A CN105103490 A CN 105103490A CN 201380075343 A CN201380075343 A CN 201380075343A CN 105103490 A CN105103490 A CN 105103490A
- Authority
- CN
- China
- Prior art keywords
- macsec
- network equipment
- key
- network
- switch
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0876—Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0272—Virtual private networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
- H04L63/061—Network architectures or network communication protocols for network security for supporting key management in a packet data network for key exchange, e.g. in peer-to-peer networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
- H04L63/062—Network architectures or network communication protocols for network security for supporting key management in a packet data network for key distribution, e.g. centrally by trusted party
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2101/00—Indexing scheme associated with group H04L61/00
- H04L2101/60—Types of network addresses
- H04L2101/618—Details of network addresses
- H04L2101/622—Layer-2 addresses, e.g. medium access control [MAC] addresses
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0435—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply symmetric encryption, i.e. same key used for encryption and decryption
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/162—Implementing security features at a particular protocol layer at the data link layer
Landscapes
- Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Power Engineering (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Small-Scale Networks (AREA)
Abstract
针对网络控制器提供的MACsec密钥提供了方法、网络控制器、以及机器可读和可执行指令。网络控制器可以向第一网络设备提供用于MACsec流的媒体访问控制安全(MACsec)密钥。所述网络控制器可以向第二网络设备提供用于所述MACsec流的所述MACsec密钥。
Description
背景技术
电气和电子工程师协会(IEEE)可以规定包括例如IEEE802.1AE媒体访问控制安全(MACsec)标准(其限定了媒体访问独立协议的无连接数据机密性和完整性)的多个网络业务标准。另一示例包括IEEE802.1X-2010,其描述了密钥管理和安全关联的建立。
附图说明
图1是图示根据本公开的层2网络的示例的图。
图2是图示根据本公开的网络控制器提供的MACsec密钥的方法的示例的流程图。
图3图示了根据本公开的网络控制器的示例。
具体实施方式
媒体访问控制安全(MACsec)可以包括经限定的帧格式,其可以类似于具有诸如安全标志(例如,以太网类型的扩展)和消息认证码之类的附加字段的以太网帧。在每个MACsec帧中的安全标志可以包括信道内的关联号、分组号以提供用于加密和认证算法以及保护免受重放攻击的唯一初始化向量。MACsec可以利用安全连接关联,其代表经由单向安全信道连接的站的组。在每个被保护的信道内的安全关联使用它们自己的加密/解密密钥。MACsec可以在层2网络上的交换机之间使用并且可能不适合于跨越层3网络(例如,跨越路由器)的通信。
MACsec流的通信路径中的每个交换机一般都可以负责使用IEEE802.1X-2010和MACsec密钥交换协定(MKA)协议来协商密钥。因此,由于每一个MACsec交换机都具有用于MACsec流的有效密钥,所以每一个MACsec交换机具有对业务的全可见性。然而,对于安全基础结构而言,整个网络(或者至少参与MACsec通信的网络的部分)需要具有有MACsec能力的设备,该设备可能部署起来代价高昂。此外,在MACsec网络中的交换机之间的每一跳处的密钥协商可能对所述MACsec流增加等待时间。
MACsec曾被设计成作为逐跳安全机制来工作。使用图1作为示例,为了提供服务器X和客户端1之间的完整、安全的路径,应该在交换机A-交换机B之间、交换机B-交换机C之间、以及交换机C-交换机D之间设置MACsec安全关联。此外,MACsec允许在MACsec流的不同方向上使用不同的密钥。例如,可能存在用于正在被从交换机A转发到交换机D的业务的密钥以及用于从交换机D转发到交换机A的业务的不同密钥。交换机A可以使用密钥X以对业务进行加密并且交换机D将使用密钥X以解密该业务。同样地,交换机D可以使用密钥Z以对该业务进行加密并且交换机A将使用密钥Z以解密该业务。密钥X和密钥Z可以不彼此相等。
相比之下,本公开的多个示例可以采用用于网络控制器提供的MACsec密钥的方法、网络控制器以及机器可读和可执行指令。例如,网络控制器可以给第一网络设备提供用于MACsec流的MACsec密钥。该网络控制器可以给第二网络设备提供用于MACsec流的MACsec密钥。根据本公开的多个示例,可以减少参与MACsec的设备的数量,并且可以避免在交换机自身上进行密钥交换协议的复杂性和开销。
在本公开中,对构成其一部分并在其中通过图示的方式示出可以如何实施本公开的多个示例的附图进行参考。充分详细地描述这些示例以使得本领域普通技术人员能够实施本公开的示例,并且应理解的是,可以使用其他示例并且可以进行过程、电和/或结构变化而不脱离本公开的范围。
本文中的图遵循以下编号惯例,其中第一个数字对应于附图图号,并且其余的数字标识附图中的元素或组件。可以添加、交换、和/或除去在本文中的各图中示出的元素以提供本公开的多个附加示例。另外,图中提供的元素的比例和相对尺度旨在图示本公开的示例,而不应以限制性意义加以理解。
图1是图示根据本公开的层2网络100的示例的图。层2网络100可以包括网络控制器102(例如,软件定义联网(SDN)网络控制器)。SDN是一种网络虚拟化形式,其中控制平面与数据平面分离并且控制平面以软件应用来实现。因此网络管理员可以具有对网络业务的可编程集中控制而不需要对网络的硬件设备进行物理访问。用于SDN的协议的一个示例是OpenFlow,OpenFlow是一个准许通过网络访问网络交换机的转发平面的通信协议。本公开的一些示例可以根据OpenFlow、或者其他SDN协议和/或与“常规”网络结合的SDN协议的混合来运作。
网络控制器102可以与网络设备106-1、106-2、106-3、106-4、106-5、106-6、108-1和108-2通信和/或能对上述这些网络设备进行控制。例如,网络设备106-1、106-2、106-3、106-4、106-5和106-6可以是MACsec使能的交换机。网络设备108-1和108-2可以是MACsec使能的交换机或者不是MACsec使能的交换机。不将示例限制在层2网络100中图示的网络设备的特定数目。值得注意的,MACsec使能的网络设备106-1被耦合到第一网络实体(例如,服务器X104)以提供MACsec流的第一端点,并且MACsec使能的网络设备106-2、106-3、106-4、106-5、106-6被耦合到客户端110-1、客户端110-2、客户端110-3、客户端110-4以及客户端110-5中的每一个以提供MACsec流的相应的端点。于其间的网络设备108-1、108-2表示取决于层2网络100的大小的于其间的(关于MACsec流)的任何数目的网络设备。尽管没有像这样明确地图示,MACsec流端点可以可替代地为服务器(例如服务器X104)和/或客户端(例如客户端110-1)而不是交换机(例如交换机106-1和/或交换机106-2),然而相应的端点则将与网络控制器102通信以被提供以根据本公开的多个示例的密钥。
在图1中图示的示例中,网络控制器102建立了交换机106-1和106-2之间的用于在服务器104和客户端110-1之间通信的第一MACsec流。该第一MACsec流包括交换机106-1和交换机106-2之间的通过交换机108-1和108-2的安全信道。当交换机108-1和108-2不具有用于该MACsec流的密钥时,该MACsec流可以保持通过交换机108-1和108-2封装。因此,网络控制器102可以给交换机106-1和106-2提供用于MACsec流的(一个或多个)密钥,而不给交换机108-1和108-2提供这样的(一个或多个)密钥。因此,第一MACsec流的路径中的交换机106-1、108-1、108-2、106-2中没有一个需要与另一交换机协商用于MACsec流的密钥,这可以减小交换机106-1、108-1、108-2、106-2上的开销和/或增加MACsec流的吞吐量。在图1的示例中,交换机106-1具有其保持的5个独特的MACsec安全关联。根据一些先前的方法,如果通过交换机106-1的业务迫使密钥频繁期满,那么交换机106-1将会花费许多处理周期来执行与它的MACsec安全关联邻居的MKA协商。另外,根据本公开,交换机108-1和108-2甚至不需要是有MACsec能力的,因为它们不需要密钥来处理MACsec流,而是可以仅仅根据它们的头信息(其是未加密的)传递帧。
还如图1中图示的,网络控制器102建立了交换机106-1和交换机106-3之间的用于在服务器104和客户端110-2之间通信的第二MACsec流。该第二MACsec流包括交换机106-1和交换机106-3之间的通过交换机108-1和108-2的安全信道。网络控制器102建立了交换机106-1和交换机106-4之间的用于在服务器104和客户端110-3之间通信的第三MACsec流。该第三MACsec流包括交换机106-1和交换机106-4之间的通过交换机108-1和108-2的安全信道。网络控制器102建立了交换机106-1和交换机106-5之间的用于在服务器104和客户端110-4之间通信的第四MACsec流。该第四MACsec流包括交换机106-1和交换机106-5之间的通过交换机108-1的安全信道。网络控制器102建立了交换机106-1和交换机106-6之间的用于在服务器104和客户端110-5之间通信的第五MACsec流。该第五MACsec流包括交换机106-1和交换机106-6之间的通过交换机108-1的安全信道。
网络控制器102可以包括与存储器资源通信的处理资源。存储器资源可以包括可被处理资源运行以执行本文描述的多个功能的指令集。例如,网络控制器102可以给第一交换机106-1提供用于第一MACsec流的第一MACsec密钥,其中所述第一交换机106-1可以是MACsec流的第一端点。网络控制器102可以给第一交换机106-1提供用于第二MACsec流的第二MACsec密钥,其中所述第一交换机106-1是所述第二流的第一端点。网络控制器102可以给第二交换机106-2提供第一MACsec密钥,其中所述第二交换机106-2是第一MACsec流的第二端点。网络控制器可以给第三交换机106-3提供第二MACsec密钥,其中所述第三交换机106-3是第二MACsec流的第二端点。
网络控制器102可以在关于MACsec流而在包括MACsec流的端点的交换机(例如,交换机106-1、106-2)之间的多个交换机108-1、108-2上设置用于MACsec流的转发规则。例如,交换机106-1可以使用由网络控制器102提供的密钥加密MACsec流,并且交换机106-2可以使用由网络控制器102提供的密钥解密MACsec流。然而,在MACsec流的端点(例如,交换机106-1、106-2)之间的多个交换机108-1、108-2中的任意一个可以既不加密也不解密该MACsec流。这样的示例可以有益于减少否则将不得不协商MACsec密钥和/或被MACsec使能的网络设备的数目。这可以提供大量的成本节约,因为MACsec是一种相对新的技术,并且根据一些先前的方法,当前已部署的非MACsec设备将以其他方式需要被有MACsec能力的设备替代以支持稳健的MACsec部署。许多组织可能由于这样的费用而不愿意对他们的网络进行“叉车式替换”。对于大部分用户来说,通过使网络控制器102执行根据本公开的MACsec操作所增加的任何附加等待时间应该是不明显的。
图2是图示了根据本公开的用于网络控制器提供的MACsec密钥的方法的示例的流程图。在块220处,该方法可以包括采用网络控制器(例如图1中图示的网络控制器102)给第一网络设备提供用于MACsec流的媒体访问控制安全(MACsec)密钥。在块222处,该方法可以包括采用所述网络控制器给第二网络设备提供用于MACsec流的MACsec密钥。在一些示例中,所述密钥可以是在第一和第二网络设备之间对称的。网络控制器可以酌情向网络设备提供更新的MACsec密钥。
在一些示例中,网络控制器可以向各种网络设备提供MACsec密钥组。在这样的示例中,网络控制器可以指示网络设备所述MACsec密钥组中的哪个用于特定的MACsec流。以下关于图3更详细地描述使用密钥组。
在一些实例中,对于特定的层2流而言可能不期望MACsec。在这样的实例中,网络控制器可以被配置成建立不加密数据的流。
图3图示了根据本公开的网络控制器的示例。网络控制器302可以与图1中图示的网络控制器102相似。网络控制器302可以利用软件、硬件、固件和/或逻辑来执行多个功能。
网络控制器302可以是被配置用于执行多个功能(例如动作)的硬件和程序指令的组合。硬件例如可以包括多个处理资源330和多个存储器资源332,诸如机器可读介质(MRM)或其他存储器资源332。存储器资源可以在网络控制器302之内和/或之外(例如,网络控制器302可以包括内部存储器资源并且可以访问外部存储器资源)。程序指令(例如机器可读指令(MRI))可以包括存储在MRM上以实现特定功能(例如,诸如管理网络交换机上的PoE之类的动作)的指令。可以由处理资源330中的一个或多个执行一组MRI。存储器资源332可以以有线和/或无线的方式被耦合到网络控制器302。例如,存储器资源332可以是内部存储器、便携式存储器、便携式盘、和/或与另一资源关联的存储器,例如,使MRI能够被跨越诸如互联网之类的网络传送和/或执行。
存储器资源332可以是非暂时性的并且可以包括易失性和/或非易失性存储器。易失性存储器可以包括依赖电能来存储信息的存储器,诸如除其它之外的各种类型的动态随机存取存储器(DRAM)。非易失性存储器可以包括不依赖于电能来存储信息的存储器。非易失性存储器的示例可以包括诸如闪存、电可擦可编程只读存储器(EEPROM)、相变随机存取存储器(PCRAM)之类的固态介质、诸如硬盘、磁带驱动器、软盘、和/或磁带存储器之类的磁存储器、光盘、数字多功能盘(DVD)、蓝光磁盘(BD)、紧致盘(CD)、和/或固态驱动器(SSD)等等,以及其他类型的机器可读媒体。
处理资源330可以经由通信路径334被耦合到存储器资源332。通信路径334可以相对于网络控制器302是本地的或者远程的。本地通信路径334的示例可以包括机器内部的电子总线,其中存储器资源332经由该电子总线与处理资源330通信。这样的电子总线的示例可以除其他类型的电子总线以及它们的变体之外还包括工业标准结构(ISA)、外设部件互联(PCI)、高级技术附件(ATA)、小型计算机系统接口(SCSI)、通用串行总线(USB)。通信路径334可以是这样的,即存储器资源332远离诸如在存储器资源332和处理资源330之间的网络连接中的处理资源330。即,通信路径334可以是网络连接。这样的网络连接的示例可以除其它之外还包括局域网(LAN)、广域网(WAN)、个人局域网(PAN)以及互联网。
如图3中所示,存储在存储器资源332中的MRI可以被分为当由处理资源330执行时可以执行多个功能的多个模块336、338。如本文中使用的,模块包括被包括以执行特定任务或动作的一组指令。所述多个模块336、338可以是其他模块的子模块。例如,MACsec流模块338可以是MACsec密钥模块336的子模块和/或MACsec密钥模块336和MACsec流模块338可以被包含在单个模块之内。另外,所述多个模块336、338可以包括与彼此分开且不同的单独的模块。示例不限于图3中图示的具体模块336、338。
网络控制器302可以包括MACsec密钥模块336,MACsec密钥模块336可以向第一网络设备提供MACsec密钥组并向第二网络设备提供该MACsec密钥组。网络控制器302可以包括MACsec流模块338,MACsec流模块338可以指示所述第一网络设备使用来自该MACsec密钥组的特定MACsec密钥来加密MACsec流,以及指示所述第二网络设备使用来自该MACsec密钥组的特定MACsec密钥解密该MACsec流。网络控制器302定义所述第一和所述第二网络设备作为该MACsec流的端点并且不就MACsec密钥而言指示关于该MACsec流而在所述第一网络设备和所述第二网络设备之间的网络设备。
网络控制器302可以指示网络设备在已经加密/解密了多个分组以后使用来自该MACsec密钥组的不同的MACsec密钥。MACsec分组可以包括随着每个分组增大以保护免受重放攻击的32位分组号。当分组号达到其最大值时,可以使用新的MACsec密钥(例如,网络控制器可以向相应的网络设备提供新的密钥,指示相应的网络设备使用来自密钥组的新的密钥;或者网络设备可以被配置成自动使用该组中的下一密钥)。32位分组号对应于4,294,967,296个分组。
网络控制器302可以指示网络设备在一段时间之后使用来自MACsec密钥组的不同的MACsec密钥和/或网络控制器302可以指示网络设备根据网络设备之间的链路的带宽使用来自MACsec密钥组的不同的MACsec密钥。例如,在100兆位每秒(Mbps)链路上的64字节分组将导致每秒1,562,500个分组,因此可以每45分钟更新MACsec密钥。在1千兆位每秒(Gbps)的链路上,可以每4.5分钟更新MACsec密钥。在10Gbps的链路上,可以每27秒更新MACsec密钥。向网络设备提供数个密钥组(例如,与每当它被更新时都向网络设备提供新的单独的密钥对照)可以减少网络控制器的开销和/或减少在网络设备上更新MACsec密钥的延迟,特别是针对具有快速链路的网络更是如此。相比于需要在参与MACsec流的每个层2交换机之间进行密钥协商的一些先前的方法而言,这样的示例会是特别有利的。网络控制器302可以被配置成比必需的更频繁地更新MACsec密钥(例如,基于期望的安全级别)。
如本文中使用的,“逻辑”是替代的或附加的用以执行本文描述的特定动作和/或功能等的处理资源;与例如软件固件等的存储于存储器中并可由处理器执行的计算机可执行指令形成对照,所述“逻辑”包括硬件,例如,各种形式的晶体管逻辑、专用集成电路(ASICs)等。
如本文中使用的,“一个”或“多个”某物可以指一个或更多这样的事物。例如,“多个小配件”可以指一个或更多小配件。
以上说明、示例以及数据提供了本公开的方法和应用以及系统和方法的使用的描述。由于可以在不脱离本公开的系统和方法的精神和范围的情况下提出很多示例,所以本说明书仅仅提出所述很多可能的实施例、配置和实施方式中的一些。
Claims (15)
1.一种方法,包括:
采用网络控制器向第一网络设备提供用于MACsec流的媒体访问控制安全(MACsec)密钥;以及
采用所述网络控制器向第二网络设备提供用于所述MACsec流的所述MACsec密钥。
2.如权利要求1的方法,其中所述第一网络设备和所述第二网络设备包括层2网络交换机和MACsec流的端点,并且其中所述方法包括:
根据所述MACsec密钥采用所述第一网络设备加密所述MACsec流;
根据所述MACsec密钥采用所述第二网络设备解密所述MACsec流;以及
在关于所述MACsec流而在所述第一网络设备和所述第二网络设备之间的多个网络设备中的任意一个处均不加密或解密所述MACsec流。
3.如权利要求1的方法,其中向所述第一和所述第二网络设备提供所述MACsec密钥包括向所述第一和所述第二网络设备提供对称的MACsec密钥。
4.如权利要求1的方法,其中向所述第一网络设备提供所述MACsec密钥包括向所述第一网络设备提供MACsec密钥组;以及
其中向所述第二网络设备提供所述MACsec密钥包括向所述第二网络设备提供该MACsec密钥组。
5.如权利要求4的方法,其中所述方法包括指示所述第一网络设备和所述第二网络设备使用该MACsec密钥组中的一个。
6.如权利要求1的方法,其中所述方法包括向所述第一和所述第二网络设备提供更新的MACsec密钥。
7.一种非暂时性机器可读介质,其存储可由网络控制器执行以使所述网络控制器进行以下操作的指令:
向第一网络设备提供MACsec密钥组;
向第二网络设备提供该MACsec密钥组;以及
指示所述第一网络设备使用来自该MACsec密钥组的特定MACsec密钥加密MACsec流;以及
指示所述第二网络设备使用来自该MACsec密钥组的特定MACsec密钥解密所述MACsec流。
8.如权利要求7的介质,其中所述指令可执行以使所述网络控制器指示所述第一网络设备和所述第二网络设备在一段时间之后使用来自该MACsec密钥组的不同的MACsec密钥。
9.如权利要求7的介质,其中所述指令可执行以使所述网络控制器指示所述第一网络设备和所述第二网络设备在已经加密/解密了多个分组之后使用来自该MACsec密钥组的不同的MACsec密钥。
10.如权利要求7的介质,其中所述指令可执行以使所述网络控制器指示所述第一网络设备和所述第二网络设备根据所述第一网络设备和所述第二网络设备之间的链路的带宽来使用来自该MACsec密钥组的不同的MACsec密钥。
11.如权利要求7的介质,其中所述指令可执行以使所述网络控制器定义所述第一和所述第二网络设备作为所述MACsec流的端点,并且不就MACsec密钥而言指示关于该MACsec流而在所述第一网络设备和所述第二网络设备之间的网络设备。
12.一种网络控制器,包括:
处理资源,所述处理资源与存储器资源通信,其中所述存储器资源包括可由所述处理资源执行以进行以下操作的一组指令:
向第一交换机提供用于第一MACsec流的第一媒体访问控制安全(MACsec)密钥,其中所述第一交换机构成所述第一MACsec流的第一端点;
向所述第一交换机提供用于第二MACsec流的第二MACsec密钥,其中所述第一交换机构成所述第二MACsec流的第一端点;
向第二交换机提供所述第一MACsec密钥,其中所述第二交换机构成所述第一MACsec流的第二端点;以及
向第三交换机提供所述第二MACsec密钥,其中所述第三交换机构成所述第二MACsec流的第二端点。
13.如权利要求12的网络控制器,其中所述指令可由所述处理资源执行以在关于所述第一MACsec流而在所述第一交换机和第二交换机之间的多个交换机上设置用于所述第一MACsec流的转发规则,而不向所述多个交换机提供MACsec密钥。
14.如权利要求12的网络控制器,其中所述指令可由所述处理资源执行以向所述第一交换机提供MACsec密钥组,其中该组中包括所述第一和所述第二MACsec密钥。
15.如权利要求12的网络控制器,其中所述网络控制器,所述第一交换机,所述第二交换机以及所述第三交换机在公共的层2网络上。
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| PCT/US2013/024072 WO2014120190A1 (en) | 2013-01-31 | 2013-01-31 | Network controller provisioned macsec keys |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN105103490A true CN105103490A (zh) | 2015-11-25 |
| CN105103490B CN105103490B (zh) | 2018-03-02 |
Family
ID=51262755
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201380075343.8A Active CN105103490B (zh) | 2013-01-31 | 2013-01-31 | 网络控制器提供的MACsec密钥 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US10397221B2 (zh) |
| EP (1) | EP2951948B1 (zh) |
| CN (1) | CN105103490B (zh) |
| WO (1) | WO2014120190A1 (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115225333A (zh) * | 2022-06-23 | 2022-10-21 | 中国电子科技集团公司第三十研究所 | 一种基于软件定义的tsn加密方法及系统 |
Families Citing this family (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20160036813A1 (en) * | 2013-03-15 | 2016-02-04 | Hewlett-Packard Development Company, L.P. | Emulate vlans using macsec |
| US10291515B2 (en) * | 2013-04-10 | 2019-05-14 | Huawei Technologies Co., Ltd. | System and method for a control plane reference model framework |
| CN111865906A (zh) * | 2015-07-17 | 2020-10-30 | 华为技术有限公司 | 报文传输的方法、装置和系统 |
| US10681539B2 (en) * | 2015-12-22 | 2020-06-09 | Institute Of Semiconductors, Chinese Academy Of Sciences | Multi-band channel encrypting switch control device and control method |
| CN105635154A (zh) * | 2016-01-05 | 2016-06-01 | 盛科网络(苏州)有限公司 | 灵活的MACSec报文加密认证的芯片实现方法及实现装置 |
| US10637865B2 (en) * | 2017-10-16 | 2020-04-28 | Juniper Networks, Inc. | Fast heartbeat liveness between packet processing engines using media access control security (MACSEC) communication |
| US10686595B2 (en) | 2017-11-17 | 2020-06-16 | Hewlett Packard Enterprise Development Lp | Configuring connectivity association key and connectivity association name in a media access control security capable device |
| US11075907B2 (en) * | 2017-12-20 | 2021-07-27 | Korea University Research And Business Foundation | End-to-end security communication method based on mac protocol using software defined-networking, and communication controller and computer program for the same |
| US20210092103A1 (en) * | 2018-10-02 | 2021-03-25 | Arista Networks, Inc. | In-line encryption of network data |
| US11128663B2 (en) | 2018-10-16 | 2021-09-21 | Cisco Technology, Inc. | Synchronizing link and event detection mechanisms with a secure session associated with the link |
| US10778662B2 (en) | 2018-10-22 | 2020-09-15 | Cisco Technology, Inc. | Upstream approach for secure cryptography key distribution and management for multi-site data centers |
| US11411915B2 (en) * | 2019-01-09 | 2022-08-09 | Cisco Technology, Inc. | Leveraging MACsec key agreement (MKA) state events to trigger fast IGP/EGP convergence on MACsec encrypted links |
| US11323437B1 (en) * | 2019-07-09 | 2022-05-03 | Juniper Networks, Inc. | Monitoring a media access control security session |
| US20220069619A1 (en) * | 2020-09-01 | 2022-03-03 | Schweitzer Engineering Laboratories, Inc. | Media access control security (macsec) application cryptographic fingerprinting |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20080123652A1 (en) * | 2006-11-29 | 2008-05-29 | Bora Akyol | Method and system for tunneling macsec packets through non-macsec nodes |
| US20080130894A1 (en) * | 2006-11-30 | 2008-06-05 | Zheng Qj | Multi-data rate security architecture for network security |
| US20090217032A1 (en) * | 2006-09-06 | 2009-08-27 | Hongguang Guan | Method for generating sak, method for realizing mac security, and network device |
| US20120045063A1 (en) * | 2006-03-17 | 2012-02-23 | Cisco Technology, Inc. | Techniques for Managing Keys Using a Key Server in a Network Segment |
Family Cites Families (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6556541B1 (en) * | 1999-01-11 | 2003-04-29 | Hewlett-Packard Development Company, L.P. | MAC address learning and propagation in load balancing switch protocols |
| DE102005027232A1 (de) * | 2005-06-13 | 2006-12-14 | Siemens Ag | Verfahren und Anordnung zum sicheren Übertragen von Daten in einem ein Mehrsprungverfahren nutzenden Kommunikationssystem |
| US7724899B2 (en) * | 2005-12-07 | 2010-05-25 | Electronics And Telecommunications Research Insitute | Method for controlling security channel in MAC security network and terminal using the same |
| US7853691B2 (en) * | 2006-11-29 | 2010-12-14 | Broadcom Corporation | Method and system for securing a network utilizing IPsec and MACsec protocols |
| US8112622B2 (en) | 2006-12-08 | 2012-02-07 | Broadcom Corporation | Chaining port scheme for network security |
| US7864762B2 (en) | 2007-02-14 | 2011-01-04 | Cipheroptics, Inc. | Ethernet encryption over resilient virtual private LAN services |
| US20110010770A1 (en) | 2009-07-10 | 2011-01-13 | Certicom Corp. | System and method for performing key injection to devices |
| US8719567B2 (en) | 2009-10-14 | 2014-05-06 | Cisco Technology, Inc. | Enabling QoS for MACsec protected frames |
-
2013
- 2013-01-31 US US14/763,484 patent/US10397221B2/en active Active
- 2013-01-31 EP EP13874117.8A patent/EP2951948B1/en active Active
- 2013-01-31 CN CN201380075343.8A patent/CN105103490B/zh active Active
- 2013-01-31 WO PCT/US2013/024072 patent/WO2014120190A1/en active Application Filing
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20120045063A1 (en) * | 2006-03-17 | 2012-02-23 | Cisco Technology, Inc. | Techniques for Managing Keys Using a Key Server in a Network Segment |
| US20090217032A1 (en) * | 2006-09-06 | 2009-08-27 | Hongguang Guan | Method for generating sak, method for realizing mac security, and network device |
| US20080123652A1 (en) * | 2006-11-29 | 2008-05-29 | Bora Akyol | Method and system for tunneling macsec packets through non-macsec nodes |
| US20080130894A1 (en) * | 2006-11-30 | 2008-06-05 | Zheng Qj | Multi-data rate security architecture for network security |
Non-Patent Citations (1)
| Title |
|---|
| KHAN FERDOUS WAHID: "《Rethinking the link security approach to manage》", 5 May 2010 * |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115225333A (zh) * | 2022-06-23 | 2022-10-21 | 中国电子科技集团公司第三十研究所 | 一种基于软件定义的tsn加密方法及系统 |
| CN115225333B (zh) * | 2022-06-23 | 2023-05-12 | 中国电子科技集团公司第三十研究所 | 一种基于软件定义的tsn加密方法及系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| WO2014120190A1 (en) | 2014-08-07 |
| EP2951948B1 (en) | 2020-11-25 |
| CN105103490B (zh) | 2018-03-02 |
| US10397221B2 (en) | 2019-08-27 |
| EP2951948A1 (en) | 2015-12-09 |
| US20150365409A1 (en) | 2015-12-17 |
| EP2951948A4 (en) | 2016-10-12 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN105103490A (zh) | 网络控制器提供的MACsec密钥 | |
| US11736277B2 (en) | Technologies for internet of things key management | |
| US11153080B1 (en) | Network securing device data using two post-quantum cryptography key encapsulation mechanisms | |
| WO2019174187A1 (zh) | 基于区块链的多端间消息通信的方法、终端及存储介质 | |
| US10069800B2 (en) | Scalable intermediate network device leveraging SSL session ticket extension | |
| US20160036813A1 (en) | Emulate vlans using macsec | |
| EP3937421A1 (en) | Blockchain integrated station and cryptographic acceleration card, key management methods and apparatuses | |
| US20170149748A1 (en) | Secure Group Messaging and Data Steaming | |
| US20220209944A1 (en) | Secure Server Digital Signature Generation For Post-Quantum Cryptography Key Encapsulations | |
| CN107683616A (zh) | 蜂窝网络中的安全改进 | |
| US11431728B2 (en) | Method and management node in a communication network, for supporting management of network nodes based on LLDP messages | |
| US20230361994A1 (en) | System and Methods for Secure Communication Using Post-Quantum Cryptography | |
| CN104243510A (zh) | 一种安全网络存储系统与方法 | |
| US11552994B2 (en) | Methods and nodes for handling LLDP messages in a communication network | |
| CN115174061A (zh) | 基于区块链中继通信网络系统的消息传输方法及装置 | |
| CN103354637B (zh) | 一种物联网终端m2m通信加密方法 | |
| KR102609578B1 (ko) | 양자 암호키 관리 장치, 방법 및 컴퓨터 프로그램 | |
| KR101812311B1 (ko) | 사용자 단말 및 속성 재암호 기반의 사용자 단말 데이터 공유 방법 | |
| CN115174188A (zh) | 一种消息传输方法、装置、电子设备和存储介质 | |
| WO2020053480A1 (en) | Method and apparatus for network function messaging | |
| Al-Kaabi et al. | The status, challenges, and future trends of advanced crypto algorithms for wireless network security: An Overview | |
| Barad et al. | Improvement of deterministic key management scheme for securing cluster-based sensor networks | |
| US20230308424A1 (en) | Secure Session Resumption using Post-Quantum Cryptography | |
| WO2023228623A1 (ja) | 暗号化システムおよび暗号化方法 | |
| de Toledo et al. | Enabling security in software-defined wireless sensor networks for internet of things |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C41 | Transfer of patent application or patent right or utility model | ||
| TA01 | Transfer of patent application right |
Effective date of registration: 20161228 Address after: American Texas Applicant after: HEWLETT PACKARD ENTERPRISE DEVELOPMENT LP Address before: American Texas Applicant before: Hewlett-Packard Development Company, L.P. |
|
| GR01 | Patent grant | ||
| GR01 | Patent grant |