CN111865906A - 报文传输的方法、装置和系统 - Google Patents

报文传输的方法、装置和系统 Download PDF

Info

Publication number
CN111865906A
CN111865906A CN202010507174.2A CN202010507174A CN111865906A CN 111865906 A CN111865906 A CN 111865906A CN 202010507174 A CN202010507174 A CN 202010507174A CN 111865906 A CN111865906 A CN 111865906A
Authority
CN
China
Prior art keywords
macsec
network device
message
node
acp
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202010507174.2A
Other languages
English (en)
Inventor
杜宗鹏
蒋胜
刘冰
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Huawei Technologies Co Ltd
Original Assignee
Huawei Technologies Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Huawei Technologies Co Ltd filed Critical Huawei Technologies Co Ltd
Priority to CN202010507174.2A priority Critical patent/CN111865906A/zh
Publication of CN111865906A publication Critical patent/CN111865906A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/10Protocols in which an application is distributed across nodes in the network
    • H04L67/104Peer-to-peer [P2P] networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • H04L63/126Applying verification of the received information the source of the received data
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/162Implementing security features at a particular protocol layer at the data link layer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/12Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/22Parsing or analysis of headers
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/40Network security protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload

Abstract

本发明实施例涉及报文传输的方法、装置和系统。该方法包括第一网络设备根据MACSec协议,与第二网络设备建立MACSec通道;该第一网络设备通过该MACSec通道,向该第二网络设备发送ACP报文,该ACP报文承载在MACSec帧中,该MACSec帧的帧头中携带了用于标识该ACP报文的识别信息。本发明实施例的报文传输的方法、装置和系统,根据MACSec协议,自组织网络中的相邻节点之间建立MACSec通道,通过该MACSec通道,相邻节点之间传输并处理ACP报文,从而不需要在接口上同时配置可路由的接口地址和用于建立IPSec的链路本地地址,为ACP提供的MACSec安全机制,不需要使用L3隧道,进而提高了效率。

Description

报文传输的方法、装置和系统
本申请是向中国知识产权局提交的申请日为2015年07月17日、申请号为201580001609.3、发明名称为“报文传输的方法、装置和系统”的申请的分案申请。
技术领域
本发明涉及通信领域,尤其涉及报文传输的方法、装置和系统。
背景技术
自组织网络支持自管理,可以减少管理员的干预,提升网络的自动化程度,从而减轻网络管理的工作,方便新业务的部署,减少配置失误概率,降低运营费用(OperatingExpense,简称“OPEX”)。
自组织网络的一个重要的方面是设备可以“即插即用”,支持自举,自配置,其中的一个关键技术是自动控制平面(Autonomic Control Plane,简称“ACP”)的建立,它的特点是无需管理员参与,这个控制平面自动产生,自动生长(新设备自动加入);端到端的连接建立完全“零接触(zero-touch)”,而且ACP不受管理员的错误配置的影响,实现信息安全交互。
现有方案中ACP的建立依赖于IPv6,而现网中大部分设备支持IPv4,开发基于IPv4的ACP将拥有更好的现网兼容性,可以减少部署障碍。如果考虑采用类似于IPv6的链路本地地址(link-local-IP)(169.254.0.0/16)来建立安全隧道,基于IPv4建立具有IPSec通道的ACP时,需要使用IPv4链路本地地址,但是与IPv6不同的是,请求注解RFC(Request ForComments)3927建议仅在没有可路由的IPv4接口地址时才使用IPv4链路本地地址,因此通常此时没有对应于IPv6中的link-local-IP的三层隧道可用,无法建立基于IPv4的具有IPSec通道的ACP。
发明内容
本发明提供了一种报文传输的方法、装置和系统,能够提高效率。
第一方面,提供了一种报文传输的方法,应用在自组织网络中,该方法包括:第一网络设备根据介质访问控制安全MACSec协议,与第二网络设备建立MACSec通道;该第一网络设备通过该MACSec通道,向该第二网络设备发送自组织控制平面ACP报文,该ACP报文承载在MACSec帧中,该MACSec帧的帧头中携带了用于标识该ACP报文的识别信息。
结合第一方面,在第一方面的一种实现方式中,该识别信息携带在该MACSec帧的帧头中的以太网类型字段中,该以太网类型字段用于指示该MACSec帧用于承载该ACP报文。
结合第一方面及其上述实现方式,在第一方面的另一种实现方式中,该识别信息携带在该MACSec帧的帧头中的标志位字段中,该标识位字段为新增字段或版本字段。
结合第一方面及其上述实现方式,在第一方面的另一种实现方式中,该识别信息携带在该MACSec帧的帧头中的MAC地址字段中。
第二方面,提供了一种报文传输的方法,应用在自组织网络中,该方法包括:第二网络设备根据介质访问控制安全MACSec协议,与第一网络设备建立MACSec通道;该第二网络设备通过该MACSec通道,接收该第一网络设备发送的MACSec帧;该第二网络设备根据该MACSec帧的帧头中携带的用于标识自组织控制平面ACP报文的识别信息,确定该ACP报文。
结合第二方面,在第二方面的一种实现方式中,该识别信息携带在该MACSec帧的帧头中的以太网类型字段中,该以太网类型字段用于指示该MACSec帧用于承载该ACP报文。
结合第二方面及其上述实现方式,在第二方面的另一种实现方式中,该识别信息携带在该MACSec帧的帧头中的标志位字段中,该标识位字段为新增字段或版本字段。
结合第二方面及其上述实现方式,在第二方面的另一种实现方式中,该识别信息携带在该MACSec帧的帧头中的MAC地址字段中。
第三方面,提供了一种用于报文传输的第一网络设备,应用在自组织网络中,该第一网络设备包括:建立模块,用于该第一网络设备根据介质访问控制安全MACSec协议,与第二网络设备建立MACSec通道;发送模块,用于该第一网络设备通过该建立模块建立的该MACSec通道,向该第二网络设备发送自组织控制平面ACP报文,该ACP报文承载在MACSec帧中,该MACSec帧的帧头中携带了用于标识该ACP报文的识别信息。
结合第三方面,在第三方面的一种实现方式中,该识别信息携带在该MACSec帧的帧头中的以太网类型字段中,该以太网类型字段用于指示该MACSec帧用于承载该ACP报文。
结合第三方面及其上述实现方式,在第三方面的另一种实现方式中,该识别信息携带在该MACSec帧的帧头中的标志位字段中,该标识位字段为新增字段或版本字段。
结合第三方面及其上述实现方式,在第三方面的另一种实现方式中,该识别信息携带在该MACSec帧的帧头中的MAC地址字段中。
第四方面,提供了一种用于报文传输的第二网络设备,应用在自组织网络中,该第二网络设备包括:建立模块,用于该第二网络设备根据介质访问控制安全MACSec协议,与第一网络设备建立MACSec通道;接收模块,用于该第二网络设备通过该建立模块建立的该MACSec通道,接收该第一网络设备发送的MACSec帧;确定模块,用于该第二网络设备根据该接收模块接收的该MACSec帧的帧头中携带的用于标识自组织控制平面ACP报文的识别信息,确定该ACP报文。
结合第四方面,在第四方面的一种实现方式中,该识别信息携带在该MACSec帧的帧头中的以太网类型字段中,该以太网类型字段用于指示该MACSec帧用于承载该ACP报文。
结合第四方面及其上述实现方式,在第四方面的另一种实现方式中,该识别信息携带在该MACSec帧的帧头中的标志位字段中,该标识位字段为新增字段或版本字段。
结合第四方面及其上述实现方式,在第四方面的另一种实现方式中,该识别信息携带在该MACSec帧的帧头中的MAC地址字段中。
第五方面,提供了一种用于报文传输的系统,应用在自组织网络中,该系统包括:上述的第一网络设备和第二网络设备,该第一网络设备根据介质访问控制安全MACSec协议,与该第二网络设备建立MACSec通道;通过该MACSec通道,该第一网络设备向该第二网络设备发送自组织控制平面ACP报文,该ACP报文承载在MACSec帧中,该MACSec帧的帧头中携带了用于标识该ACP报文的识别信息;该第二网络设备接收该MACSec帧;该第二网络设备根据该MACSec帧的帧头中携带的用于标识自组织控制平面ACP报文的识别信息,确定该ACP报文。
基于上述技术方案,本发明实施例的报文传输的方法、装置和系统,根据MACSec协议,自组织网络中的第一网络设备和第二网络设备之间建立MACSec通道,通过该MACSec通道,第一网络设备与第二网络设备之间可以传输MACSec帧,该MACSec帧的帧头中携带了识别信息,可以根据该识别信息表示ACP报文,从而不需要在接口上同时配置可路由的接口地址和用于建立IPSec的链路本地地址,而是根据MACSec协议,为ACP提供MACSec安全机制,不需要使用L3隧道,进而提高了效率。并且,可以通过识别信息区分MACSec帧中的ACP报文,从而使得自组织网络中的第一网络设备和第二网络设备之间可以传输ACP报文。
附图说明
为了更清楚地说明本发明实施例的技术方案,下面将对本发明实施例中所需要使用的附图作简单地介绍,显而易见地,下面所描述的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是根据本发明实施例的报文传输的方法的示意性流程图。
图2是根据本发明实施例的报文传输的方法中MACSec帧结构的示意图。
图3是根据本发明实施例的报文传输的方法中另一MACSec帧结构的示意图。
图4是根据本发明实施例的报文传输的方法中再一MACSec帧结构的示意图。
图5是根据本发明另一实施例的报文传输的方法的示意性流程图。
图6是根据本发明实施例的用于报文传输的第一网络设备的示意性框图。
图7是根据本发明实施例的用于报文传输的第二网络设备的示意性框图。
图8是根据本发明实施例的用于报文传输的系统的示意性框图。
图9是根据本发明另一实施例的用于报文传输的第一网络设备的示意性框图。
图10是根据本发明另一实施例的自用于报文传输的第二网络设备的示意性框图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明的一部分实施例,而不是全部实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例,都应属于本发明保护的范围。
图1示出了根据本发明实施例的报文传输的方法100的示意性流程图,该方法100可以应用于自组织网络中,由自组织网络中的第一网络设备执行,该第一网络设备可以为发送节点。如图1所示,该方法100包括:
S110,第一网络设备根据介质访问控制安全MACSec协议,与第二网络设备建立MACSec通道;
S120,该第一网络设备通过该MACSec通道,向该第二网络设备发送自组织控制平面ACP报文,该ACP报文承载在MACSec帧中,该MACSec帧的帧头中携带了用于标识该ACP报文的识别信息。
具体地,在自组织网络中,可以将一个节点设置为认证(Registrar)节点,该Registrar节点配置了自组织节点的唯一设备标识(Unique Device Identification,简称“UDI”)白名单,该UDI白名单内的节点可以加入该自组织域,并且Registrar节点本身连接到domain CA(自组织域数字证书认证机构),支持分配域证书(domain certificate)。网络中各个节点发起邻居发现(AD)消息,通过该AD消息寻找邻居节点,该AD消息中包括UDI或域证书。根据该AD消息,各个节点可以创建邻居列表;Registrar节点收到该AD消息后,对比UDI白名单,向属于UDI白名单的该邻居节点发送域证书。基于该域证书,邻居节点与Registrar节点相互认证,并在认证成功后基于认证过程中生成的密钥协商出报文加密密钥,根据介质访问控制安全(Media Access Control Security,简称“MACSec”)协议,建立Registrar节点与邻居节点之间的MACSec通道。同样地,针对Registrar节点的邻居节点的邻居节点,需要Registrar节点的邻居节点作为代理服务器(Proxy)以及认证点,其它步骤一致,从而建立自组织网络中相邻节点之间的MACSec通道,使得属于同一域的多个节点构成一个ACP。在该ACP内,各个节点之间可以通过MACSec通道,互相传输根据MACSec协议封装的ACP报文。
因此,本发明实施例的报文传输的方法,根据MACSec协议,自组织网络中的第一网络设备与第二网络设备之间建立MACSec通道,通过该MACSec通道,第一网络设备向第二网络设备发送ACP报文,该ACP报文承载在MACSec帧中,该MACSec帧的帧头中携带了用于标识该ACP报文的识别信息,从而不需要在接口上同时配置可路由的接口地址和用于建立IPSec的链路本地地址,为传输ACP报文提供的MACSec安全机制,不需要使用L3隧道,进而提高了效率。并且,可以通过MACSec帧的帧头中的识别信息区分ACP报文和其他报文,从而使得自组织网络中的第一网络设备和第二网络设备之间可以传输ACP报文。
在本发明实施例中,自组织网络中各个节点支持自组织特性,每个节点都有自己的UDI或者设备ID证书(IDevID certificate),可选地,这里以各个节点通过UDI获取域证书为例进行说明,但本发明并不限于此。在该网络中,设置其中一个节点为认证(Registrar)节点,该Registrar节点支持分配域证书,并且配置了自组织节点的UDI白名单,该UDI白名单内的节点属于同一个自组织域。可选地,可以预配置该Registrar节点,Registrar节点能够支持分配域证书的节点,即该Registrar节点与数字证书认证管理机构有连接,可以进行通信,换句话说,该Registrar节点能够通过数字证书认证管理结构为其他节点分配域证书。
在本发明实施例中,自组织特性使能后,自组织节点可以向邻居节点发送AD消息,从而寻找自己的邻居节点。可选地,各个节点可以每隔一段时间,例如10s,发起一次AD消息。该AD消息可以包括UDI或者域证书,例如,对于Registrar节点发送的AD消息,Registrar节点支持分配域证书,它会先给自己配置一个域证书,Registrar节点发送的该AD消息中可以包括域证书;而对于没有域证书的节点发送的AD消息,该AD消息中可以包括UDI。
在本发明实施例中,由于自组织节点发送的AD消息只能发送一跳的距离,即只有邻居节点可以收到该AD消息,因此当节点收到邻居节点发送的AD消息后,可以建立一个邻居列表,用于记录属于该节点的邻居节点。可选地,该邻居列表可以包括邻居节点的UDI,该UDI通过邻居节点发送的AD消息获得,邻居列表还可以包括地址信息,该地址信息可以为IPv6地址,或IPv4地址,或介质访问控制(Media Access Control,简称“MAC”)地址,该地址信息可以通过发送的AD消息的报文确定,但本发明并不限于此。根据节点确定的邻居节点列表,可以确定各个节点的邻居节点的UDI以及地址信息。
在本发明实施例中,当Registrar节点收到邻居节点发送的AD消息后,将AD消息中的UDI对比Registrar节点中的UDI白名单,如果邻居节点的UDI匹配UDI白名单,则Registrar节点根据该UDI生成一个域证书,将该域证书发送给该邻居节点,后续AD广播中将使用该域证书。此时,具有域证书的该Registrar节点和邻居节点属于同一个ACP。
在本发明实施例中,对于Registrar节点接收到的邻居节点发送的AD消息,可以为该邻居节点的AD消息,也可以为该邻居节点转发自己的邻居节点的AD消息,并比照UDI白名单,对于属于同一个域的节点,Registrar节点均发送域证书,可选地,可以通过邻居节点互相转发,具有该域证书的节点均属于同一个域,该自组织网络中的这些节点属于同一个ACP。
在本发明实施例中,当自组织网络中每个节点有自己的IDevID certificate时,则节点向邻居节点发送的AD消息包括域证书或SUDI,其中,Registrar节点的AD消息可以包括域证书,而没有域证书的节点的AD消息中包括SUDI。邻居节点将自己的802.1AR证书发给Registrar节点,可选地,可以经过一个Proxy。收到该消息的Registrar节点使用公钥验证该证书,并且连接到验证服务器验证该设备是否可以接入域。如果验证成功,Registrar节点根据该SUDI生成一个域证书,发给对应的邻居节点,该邻居节点接收到域证书,后续AD广播中将使用域证书。同样地,Registrar节点的邻居节点的邻居节点同样可以通过该方法获得域证书,具有域证书的该Registrar节点和邻居节点属于同一个ACP。
在S110中,根据介质访问控制安全MACSec协议,自组织网络中的第一网络设备和第二网络设备可以建立MACSec通道,其中,该第一网络设备和第二网络设备可以为该自组织网络中的任意两个节点,可选地,该第一网络设备和第二网络设备可以为相邻的两个节点。具体地,基于域证书,获得域证书的邻居节点可以与Registrar节点相互认证,并在认证成功后基于认证过程中生成的密钥协商出报文加密密钥,根据MACSec协议,建立Registrar节点与邻居节点之间的MACSec通道。同样地,对于Registrar节点的邻居节点的邻居节点,可以将Registrar节点的邻居节点作为代理服务器(Proxy)以及认证点,其它步骤一致,从而建立属于同一个域的各个节点中相邻节点之间的MACSec通道。这样,对于该ACP中的任意两个节点,即第一网络设备和第二网络设备之间可以通过该MACSec通道进行报文传输。
具体地,获得Registrar节点发送的域证书的邻居节点,可以向Registrar节点发起认证,例如可以发起基于802.1X的认证,Registrar节点可以作为认证者(Authenticator)和认证服务器,实现Registrar节点和邻居节点之间的相互认证,例如,可以选择EAP-TLS(Extensible Authentication Protocol,扩展的认证协议)(TransportLayer Security Protocol,安全传输层协议)的认证方式,遵守802.1af的标准。
在本发明实施例中,Registrar节点与邻居节点认证成功后,基于认证过程中生成的密钥协商出报文加密密钥,建立起ACP专用的安全MACSec通道。具体地,按照MACSec密钥协议(MACsec Key Agreement,简称“MKA”),将之前的Registrar节点与邻居节点认证中生成的成对主密钥(pairwise master key,简称“PMK”)作为连通性关联密钥(ConnectivityAssociation Key,简称“CAK”)。Registrar节点作为Authenticator,默认被选择为MKA协议中的密钥服务器(key server),可以按照802.1X协议,根据CAK,随机数等产生一个安全关联密钥(secure association key,简称“SAK”),加密后发给邻居节点,以便于在后续的通信中,启用这个SAK作以太帧的加密和签名。
在本发明实施例中,Registrar节点与邻居节点通过上述方法建立MACSec通道后,对于Registrar节点的邻居节点的邻居节点加入该ACP时,Registrar节点的邻居节点可以作为代理服务器(Proxy)以及认证点,同样通过上述方法获得域证书,进而加入该ACP,并通过验证,建立与邻居节点之间的MACSec通道。
在S120中,在自组织网络中的ACP内,第一网络设备可以通过建立的MACSec通道向第二网络设备发送ACP报文,具体地,自组织网络中任意一个节点可以通过MACSec通道向邻居节点发送ACP报文,经过至少一次转发,自组织网络中的任意两个节点,第一网络设备和第二网络设备之间可以传输ACP报文。由于在MAC层,还可以通过MACSec通道传输其它报文,因此,具体地,可以在MACSec帧的帧头中携带识别信息,可以通过该识别信息区分该MACSec帧是否承载ACP报文,可选地,可以通过下面几种方法确定根据MACSec协议封装的报文中的ACP报文以及其它报文。
可选地,作为一个实施例,以邻居节点之间传输报文为例,当节点向邻居节点发送MACSec协议封装的MACSec帧时,该MACSec帧的帧头中可以携带识别信息,该识别信息用于指示该帧结构用于承载ACP报文。具体地,若整个自组织网络不启用数据面的MACSec时,则根据MACSec协议封装的报文即为ACP报文,而其它报文可以通过MAC封装,该报文解封装后,由Global路由处理。例如,整个自组织网络不启用数据面的MACSec时,节点向邻居节点发送的802.1ae格式封装的报文即为根据MACSec协议封装的报文,该报文即可被理解为ACP报文。具体地,如图2所示,802.1ae格式封装的MACSec帧,该MACSec帧的帧头可以包括如图2所示的几种字段,其中,该802.1AE头(802.1AE Header)字段可以为识别信息,表示该帧结构为根据MACSec协议封装的报文,则该MACSec帧用于承载ACP报文,相反的,如果不包括该802.1AE Header字段,则可以确定该帧结构为其它的普通报文。
可选地,作为一个实施例,以邻居节点之间传输报文为例,当节点向邻居节点发送MACSec协议封装的MACSec帧,该MACSec帧的帧头中可以携带识别信息,该识别信息用于指示该帧结构用于承载ACP报文,例如该识别信息可以被携带在传输的MACSec帧的帧头中的以太网类型字段中。具体地,传输的报文中可以包括以太网类型(Ethertype)字段,例如,如图2所示,该以太网类型字段可以位于802.1AE Header字段中,具体地,如图3所示,该802.1AE Header字段可以包括MACSec Ethertype字段、TCI(TAG control information,标签控制信息)字段、AN(Association Number)字段、SL(Short Length)字段、PN(PacketNumber)字段以及SCI(Secure Channel Identifier,安全通道标识)字段,其中,MACSecEthertype字段可以包括两个八位位组,一个八位位组可以包括8比特,TCI字段和AN字段一共可以包括一个八位位组,SL字段可以包括一个八位位组,PN字段可以包括4个八位位组,SCI字段可以包括8个八位位组,但发明并不限于此。在该802.1AE Header字段中,该MACSecEthertype字段,即携带识别信息的以太网类型字段,可选的,该MACSec Ethertype字段中可以包括识别信息,也可以直接将该字段作为识别信息。可选地,如果将该字段作为识别信息,可以设置为当该MACSec Ethertype值字段为预设值时,则该报文为ACP报文;当该MACSec Ether type值不是该预设值时,则该报文为其它报文。例如,对于802.1ae格式封装的报文中,可以用88e5表示MACSec Ethertype值,则该报文为普通报文;设置一个新的MACSec Ethertype值为预设值,例如88e6,则该报文即为ACP报文。
可选地,作为一个实施例,以邻居节点之间传输报文为例,当节点向邻居节点发送MACSec协议封装的MACSec帧,该MACSec帧的帧头中可以包括用于区别ACP报文的识别信息,例如该识别信息可以被携带在传输的MACSec帧的帧头中的标志位字段中,该标志位字段可以为新增字段,也可以为现有的某个字段。具体地,该标识位字段可以为该报文中原有的有一个指示位,例如,在802.1ae格式封装的报文中,如图3所示的TCI字段和AN字段占用一个八位位组,即这两个字段一共占用8比特,可以展开如图4所示,其中第8位的v=0表示版本(version)位,该版本位原本用于指示MACSec的版本,目前为0,在本发明实施例中,可以将该版本位用于指示ACP报文,当该位的比特为“1”时,指示该报文为ACP报文;当该位的比特为“0”时,指示该报文为其它报文。可选地,也可以在传输报文中增加一个新的标志位,该标志位包括ACP报文的识别信息,例如,当该标志位为“0”时,指示该报文为ACP报文;当该标志位为“1”时,指示该报文为其它报文。
可选地,作为一个实施例,以邻居节点之间传输报文为例,当节点向邻居节点发送MACSec协议封装的MACSec帧,该MACSec帧的帧头中可以包括ACP报文的识别信息,用于指示该报文为ACP报文,例如该识别信息可以被携带在该传输报文中的MAC地址字段中,根据该MAC地址字段确定该传输报文是否为ACP报文。例如,现有的MAC地址的最高位的8比特,其中第二比特b2用于区分该MAC地址为本地管理MAC地址,还是全球(global)MAC地址,由于现有MAC地址大多为global,因此,可以将b2位作为识别信息,用于指示该报文是否为ACP报文。这时,设备接口上同时使用本地管理MAC地址(虚拟MAC)和全球MAC地址,当使用本地管理MAC地址传输报文时,即b2的值为1时,该传输报文为ACP报文;当使用全球MAC地址传输报文时,即b2的值为0时,该传输报文为其它报文,但本发明并不限于此。可选地,也可以在MAC地址字段中的其他位置携带ACP报文的识别信息,也可以在MAC地址字段中新增加一个或多个比特用于携带识别信息。
在本发明实施例中,ACP各个节点可以通过上述方法,生成并向邻居节点发送MACSec协议封装的ACP报文。
因此,本发明实施例的报文传输的方法,根据MACSec协议,自组织网络中的第一网络设备与第二网络设备之间建立MACSec通道,通过该MACSec通道,第一网络设备向第二网络设备发送ACP报文,该ACP报文承载在MACSec帧中,该MACSec帧的帧头中携带了用于标识该ACP报文的识别信息,从而不需要在接口上同时配置可路由的接口地址和用于建立IPSec的链路本地地址,为传输ACP报文提供的MACSec安全机制,不需要使用L3隧道,进而提高了效率。并且,可以通过MACSec帧的帧头中的识别信息区分ACP报文和其他报文,从而使得自组织网络中的第一网络设备和第二网络设备之间可以传输ACP报文。
上文中结合图1至图4,从发送端即第一网络设备的角度详细描述了根据本发明实施例的报文传输的方法,下面将结合图5,从接收端即第二网络设备的角度描述根据本发明实施例的报文传输的方法。
图5示出了根据本发明另一实施例的报文传输的方法200的示意性流程图,该方法200可以应用于自组织网络中,由自组织网络中的第一网络设备执行,该第一网络设备可以为接收节点。如图5所示,该方法200包括:
S210,第二网络设备根据介质访问控制安全MACSec协议,与第一网络设备建立MACSec通道;
S220,该第二网络设备通过该MACSec通道,接收该第一网络设备发送的MACSec帧;
S230,该第二网络设备根据该MACSec帧的帧头中携带的用于标识自组织控制平面ACP报文的识别信息,确定该ACP报文。
具体地,在自组织网络中,可以将一个节点设置为认证(Registrar)节点,该Registrar节点配置了自组织节点的UDI白名单,该UDI白名单内的节点可以加入该自组织域,并且Registrar节点本身连接到domain CA(自组织域数字证书认证机构),支持分配域证书(domain certificate)。网络中各个节点发起邻居发现(AD)消息,通过该AD消息寻找邻居节点,该AD消息中包括UDI或域证书。根据该AD消息,各个节点可以创建邻居列表;Registrar节点收到该AD消息后,对比UDI白名单,向属于UDI白名单的该邻居节点发送域证书。基于该域证书,邻居节点与Registrar节点相互认证,并在认证成功后基于认证过程中生成的密钥协商出报文加密密钥,根据MACSec协议,建立Registrar节点与邻居节点之间的MACSec通道。同样地,针对Registrar节点的邻居节点的邻居节点,需要Registrar节点的邻居节点作为代理服务器(Proxy)以及认证点,其它步骤一致,从而建立自组织网络中相邻节点之间的MACSec通道,使得属于同一域的多个节点构成一个ACP。在该ACP内,各个节点之间可以通过MACSec通道,互相传输根据MACSec协议封装的ACP报文。
因此,本发明实施例的报文传输的方法,根据MACSec协议,自组织网络中的第二网络设备与第一网络设备之间建立MACSec通道,通过该MACSec通道,第二网络设备接收第一网络设备发送的MACSec帧,根据该MACSec帧的帧头中的识别信息,确定ACP报文,从而不需要在接口上同时配置可路由的接口地址和用于建立IPSec的链路本地地址,为传输ACP报文提供的MACSec安全机制,不需要使用L3隧道,进而提高了效率。并且,可以通过MACSec帧的帧头中的识别信息区分ACP报文和其他报文,从而使得自组织网络中的第一网络设备和第二网络设备之间可以传输ACP报文。
在本发明实施例中,自组织网络中各个节点支持自组织特性,每个节点都有自己的UDI或者设备ID证书(IDevID certificate),可选地,这里以各个节点通过UDI获取域证书为例进行说明,但本发明并不限于此。在该网络中,设置其中一个节点为认证(Registrar)节点,该Registrar节点支持分配域证书,并且配置了自组织节点的UDI白名单,该UDI白名单内的节点属于同一个自组织域。可选地,可以预配置该Registrar节点,Registrar节点能够支持分配域证书的节点,即该Registrar节点与数字证书认证管理机构有连接,可以进行通信,换句话说,该Registrar节点能够通过数字证书认证管理结构为其他节点分配域证书。
在本发明实施例中,自组织特性使能后,自组织节点可以向邻居节点发送AD消息,从而寻找自己的邻居节点。可选地,各个节点可以每隔一段时间,例如10s,发起一次AD消息。该AD消息可以包括UDI或者域证书,例如,对于Registrar节点发送的AD消息,Registrar节点支持分配域证书,它会先给自己配置一个域证书,Registrar节点发送的该AD消息中可以包括域证书;而对于没有域证书的节点发送的AD消息,该AD消息中可以包括UDI。
在本发明实施例中,由于自组织节点发送的AD消息只能发送一跳的距离,即只有邻居节点可以收到该AD消息,因此当节点收到邻居节点发送的AD消息后,可以建立一个邻居列表,用于记录属于该节点的邻居节点。可选地,该邻居列表可以包括邻居节点的UDI,该UDI通过邻居节点发送的AD消息获得,邻居列表还可以包括地址信息,该地址信息可以为IPv6地址,或IPv4地址,或MAC地址,该地址信息可以通过发送的AD消息的报文确定,但本发明并不限于此。根据节点确定的邻居节点列表,可以确定各个节点的邻居节点的UDI以及地址信息。
在本发明实施例中,当Registrar节点收到邻居节点发送的AD消息后,将AD消息中的UDI对比Registrar节点中的UDI白名单,如果邻居节点的UDI匹配UDI白名单,则Registrar节点根据该UDI生成一个域证书,将该域证书发送给该邻居节点,后续AD广播中将使用该域证书。此时,具有域证书的该Registrar节点和邻居节点属于同一个ACP。
在本发明实施例中,对于Registrar节点接收到的邻居节点发送的AD消息,可以为该邻居节点的AD消息,也可以为该邻居节点转发自己的邻居节点的AD消息,并比照UDI白名单,对于属于同一个域的节点,Registrar节点均发送域证书,可选地,可以通过邻居节点互相转发,具有该域证书的节点均属于同一个域,该自组织网络中的这些节点属于同一个ACP。
在本发明实施例中,当自组织网络中每个节点有自己的IDevID certificate时,则节点向邻居节点发送的AD消息包括域证书或SUDI,其中,Registrar节点的AD消息可以包括域证书,而没有域证书的节点的AD消息中包括SUDI。邻居节点将自己的802.1AR证书发给Registrar节点,可选地,可以经过一个Proxy。收到该消息的Registrar节点使用公钥验证该证书,并且连接到验证服务器验证该设备是否可以接入域。如果验证成功,Registrar节点根据该SUDI生成一个域证书,发给对应的邻居节点,该邻居节点接收到域证书,后续AD广播中将使用域证书。同样地,Registrar节点的邻居节点的邻居节点同样可以通过该方法获得域证书,具有域证书的该Registrar节点和邻居节点属于同一个ACP。
在S210中,根据介质访问控制安全MACSec协议,自组织网络中的第一网络设备和第二网络设备可以建立MACSec通道,其中,该第一网络设备和第二网络设备可以为该自组织网络中的任意两个节点,可选地,该第一网络设备和第二网络设备可以为相邻的两个节点。具体地,基于域证书,获得域证书的邻居节点可以与Registrar节点相互认证,并在认证成功后基于认证过程中生成的密钥协商出报文加密密钥,根据MACSec协议,建立Registrar节点与邻居节点之间的MACSec通道。同样地,对于Registrar节点的邻居节点的邻居节点,可以将Registrar节点的邻居节点作为代理服务器(Proxy)以及认证点,其它步骤一致,从而建立属于同一个域的各个节点中相邻节点之间的MACSec通道。这样,对于该ACP中的任意两个节点,即第一网络设备和第二网络设备之间可以通过该MACSec通道进行报文传输。
具体地,获得Registrar节点发送的域证书的邻居节点,可以向Registrar节点发起认证,例如可以发起基于802.1X的认证,Registrar节点可以作为认证者(Authenticator)和认证服务器,实现Registrar节点和邻居节点之间的相互认证,例如,可以选择EAP-TLS的认证方式,遵守802.1af的标准。
在本发明实施例中,Registrar节点与邻居节点认证成功后,基于认证过程中生成的密钥协商出报文加密密钥,建立起ACP专用的安全MACSec通道。具体地,按照MKA协议,将之前的Registrar节点与邻居节点认证中生成的PMK作为CAK。Registrar节点作为Authenticator,默认被选择为MKA协议中的密钥服务器(key server),可以按照802.1X协议,根据CAK,随机数等产生一个SAK,加密后发给邻居节点,以便于在后续的通信中,启用这个SAK作以太帧的加密和签名。
在本发明实施例中,Registrar节点与邻居节点通过上述方法建立MACSec通道后,对于Registrar节点的邻居节点的邻居节点加入该ACP时,Registrar节点的邻居节点可以作为代理服务器(Proxy)以及认证点,同样通过上述方法获得域证书,进而加入该ACP,并通过验证,建立与邻居节点之间的MACSec通道。
在S220中,在自组织网络中的ACP内,第二网络设备可以通过MACSec通道接收第一网络设备发送的MACSec帧。具体地,自组织网络中任意一个节点可以通过MACSec通道向邻居节点发送ACP报文,经过至少一次转发,自组织网络中的任意两个节点,第一网络设备和第二网络设备之间可以传输MACSec帧。
在本发明实施例中,由于第二网络设备接收的该MACSec帧的帧头中可以包括识别信息,该识别信息用于区别该MACSec帧是否为ACP报文。因此,在S230中,第二网络设备可以根据MACSec帧的帧头中的识别信息,确定该MACSec帧为ACP报文。由于在MAC层,还可以通过MACSec通道传输其它报文,因此,具体地,可以根据在MACSec帧的帧头中携带的识别信息,区分该MACSec帧是否承载ACP报文,可选地,可以通过下面几种方法确定接收到的根据MACSec协议封装的报文中的ACP报文以及其它报文。
可选地,作为一个实施例,以邻居节点之间传输报文为例,当节点接收邻居节点发送的MACSec协议封装的MACSec帧,该MACSec帧的帧头中可以携带识别信息,该识别信息用于指示该帧结构用于承载ACP报文。具体地,若整个自组织网络不启用数据面的MACSec时,则根据MACSec协议封装的报文即为ACP报文,而其它报文可以通过MAC封装,该报文解封装后,由Global路由处理。例如,整个自组织网络不启用数据面的MACSec时,节点接收邻居节点发送的802.1ae格式封装的报文即为根据MACSec协议封装的报文,该报文即可被理解为ACP报文。具体地,如图2所示,802.1ae格式封装的MACSec帧,该MACSec帧的帧头可以包括如图2所示的几种字段,其中,该802.1AE头(802.1AE Header)字段可以为识别信息,表示该帧结构为根据MACSec协议封装的报文,则该MACSec帧用于承载ACP报文,相反的,如果不包括该802.1AE Header字段,则可以确定该帧结构为其它的普通报文。
可选地,作为一个实施例,以邻居节点之间传输报文为例,当节点接收邻居节点发送的MACSec协议封装的MACSec帧,该MACSec帧中包括ACP报文的识别信息,用于指示该报文为ACP报文,例如该识别信息可以被携带在传输的MACSec帧的帧头中的以太网类型字段中。具体地,传输的报文中可以包括以太网类型(Ethertype)字段,例如,如图2所示,该以太网类型字段可以位于802.1AE Header字段中,具体地,如图3所示,该802.1AE Header字段可以包括MACSec Ethertype字段、TCI字段、AN字段、SL字段、PN字段以及SCI字段。在该802.1AE Header字段中,该MACSec Ethertype字段,即携带识别信息的以太网类型字段,可选的,该MACSec Ethertype字段中可以包括识别信息,也可以直接将该字段作为识别信息。可选地,如果将该字段作为识别信息,可以设置为当该MACSec Ethertype值字段为预设值时,则该报文为ACP报文;当该MACSec Ether type值不是该预设值时,则该报文为其它报文。例如,对于802.1ae格式封装的报文中,可以用88e5表示MACSec Ethertype值,则该报文为普通报文;设置一个新的MACSec Ethertype值为预设值,例如88e6,则该报文即为ACP报文。
可选地,作为一个实施例,以邻居节点之间传输报文为例,当节点接收邻居节点发送的MACSec协议封装的MACSec帧,该MACSec帧的帧头中包括ACP报文的识别信息,用于指示该报文为ACP报文,例如该识别信息可以被携带在传输的MACSec帧的帧头中的标志位字段中,该标志位字段可以为新增字段,也可以为现有的某个字段。具体地,该标识位字段可以为该报文中原有的有一个指示位,例如,在802.1ae格式封装的报文中,如图3所示的TCI字段和AN字段可以展开如图4所示,其中v=0表示版本(version)位,该版本位原本用于指示MACSec的版本,目前为0,在本发明实施例中,可以将该版本位用于指示ACP报文,当该位的比特为“1”时,指示该报文为ACP报文;当该位的比特为“0”时,指示该报文为其它报文。可选地,也可以在传输报文中增加一个新的标志位,该标志位包括ACP报文的识别信息,例如,当该标志位为“0”时,指示该报文为ACP报文;当该标志位为“1”时,指示该报文为其它报文。
可选地,作为一个实施例,以邻居节点之间传输报文为例,当节点接收邻居节点发送的MACSec协议封装的MACSec帧,该MACSec帧的帧头中包括ACP报文的识别信息,用于指示该报文为ACP报文,例如该识别信息可以被携带在该传输报文中的MAC地址字段中,根据该MAC地址字段确定该传输报文是否为ACP报文。例如,现有的MAC地址的最高位的8比特,其中第二比特b2用于区分该MAC地址为本地管理MAC地址,还是全球(global)MAC地址,由于现有MAC地址大多为global,因此,可以将b2位作为识别信息,用于指示该报文是否为ACP报文。这时,设备接口上同时使用本地管理MAC地址(虚拟MAC)和全球MAC地址,当使用本地管理MAC地址传输报文时,即b2的值为1时,该传输报文为ACP报文;当使用全球MAC地址传输报文时,即b2的值为0时,该传输报文为其它报文,但本发明并不限于此。可选地,也可以在MAC地址字段中的其他位置携带ACP报文的识别信息,也可以在MAC地址字段中新增加一个或多个比特用于携带识别信息。
在本发明实施例中,自组织网络中的节点接收邻居节点发送的MACSec协议封装MACSec帧,根据该MACSec帧的帧头中包括的识别信息,确定ACP报文,具体地,可以通过上述方法确定哪些为ACP报文。
应理解,在本发明的各种实施例中,上述各过程的序号的大小并不意味着执行顺序的先后,各过程的执行顺序应以其功能和内在逻辑确定,而不应对本发明实施例的实施过程构成任何限定。
因此,本发明实施例的报文传输的方法,根据MACSec协议,自组织网络中的第二网络设备与第一网络设备之间建立MACSec通道,通过该MACSec通道,第二网络设备接收第一网络设备发送的MACSec帧,根据该MACSec帧的帧头中的识别信息,确定ACP报文,从而不需要在接口上同时配置可路由的接口地址和用于建立IPSec的链路本地地址,为传输ACP报文提供的MACSec安全机制,不需要使用L3隧道,进而提高了效率。并且,可以通过MACSec帧的帧头中的识别信息区分ACP报文和其他报文,从而使得自组织网络中的第一网络设备和第二网络设备之间可以传输ACP报文。
上文中结合图1至图5,详细描述了根据本发明实施例的报文传输的方法,下面将结合图6和图7,描述根据本发明实施例的用于报文传输的装置。
图6示出了根据本发明实施例的用于报文传输的第一网络设备300的示意性流程图,该第一网络设备300可以为自组织网络中的发送节点。如图6所示,该第一网络设备300包括:
建立模块310,用于该第一网络设备根据介质访问控制安全MACSec协议,与第二网络设备建立MACSec通道;
发送模块320,用于该第一网络设备通过该建立模块建立的该MACSec通道,向该第二网络设备发送自组织控制平面ACP报文,该ACP报文承载在MACSec帧中,该MACSec帧的帧头中携带了用于标识该ACP报文的识别信息。
具体地,可以将自组织网络中的一个节点设置为认证(Registrar)节点,该Registrar节点配置了自组织节点的UDI白名单,该UDI白名单内的节点可以加入该自组织域,并且Registrar节点本身连接到domain CA(自组织域数字证书认证机构),支持分配域证书(domain certificate)。网络中各个节点发起邻居发现(AD)消息,通过该AD消息寻找邻居节点,该AD消息中包括UDI或域证书。根据该AD消息,各个节点可以创建邻居列表;Registrar节点收到该AD消息后,对比UDI白名单,向属于UDI白名单的该邻居节点发送域证书。基于该域证书,邻居节点与Registrar节点相互认证,并在认证成功后基于认证过程中生成的密钥协商出报文加密密钥,根据MACSec协议,建立Registrar节点与邻居节点之间的MACSec通道。同样地,针对Registrar节点的邻居节点的邻居节点,需要Registrar节点的邻居节点作为代理服务器(Proxy)以及认证点,其它步骤一致,从而建立自组织网络中相邻节点之间的MACSec通道,使得属于同一域的多个节点构成一个ACP。在该ACP内,各个节点之间可以通过MACSec通道,互相传输根据MACSec协议封装的ACP报文。
因此,本发明实施例的用于报文传输的第一网络设备,根据MACSec协议,自组织网络中的第一网络设备的建立模块与第二网络设备之间建立MACSec通道,通过该MACSec通道,第一网络设备的发送模块向第二网络设备发送ACP报文,该ACP报文承载在MACSec帧中,该MACSec帧的帧头中携带了用于标识该ACP报文的识别信息,从而不需要在接口上同时配置可路由的接口地址和用于建立IPSec的链路本地地址,为传输ACP报文提供的MACSec安全机制,不需要使用L3隧道,进而提高了效率。并且,可以通过MACSec帧的帧头中的识别信息区分ACP报文和其他报文,从而使得自组织网络中的第一网络设备和第二网络设备之间可以传输ACP报文。
在本发明实施例中,自组织网络中各个节点支持自组织特性,每个节点都有自己的UDI或者设备ID证书(IDevID certificate),可选地,这里以各个节点通过UDI获取域证书为例进行说明,但本发明并不限于此。在该网络中,设置其中一个节点为认证(Registrar)节点,该Registrar节点支持分配域证书,并且配置了自组织节点的UDI白名单,该UDI白名单内的节点属于同一个自组织域。可选地,可以预配置该Registrar节点,Registrar节点能够支持分配域证书的节点,即该Registrar节点与数字证书认证管理机构有连接,可以进行通信,换句话说,该Registrar节点能够通过数字证书认证管理结构为其他节点分配域证书。
在本发明实施例中,自组织特性使能后,自组织节点可以向邻居节点发送AD消息,从而寻找自己的邻居节点。可选地,各个节点可以每隔一段时间,例如10s,发起一次AD消息。该AD消息可以包括UDI或者域证书,例如,对于Registrar节点发送的AD消息,Registrar节点支持分配域证书,它会先给自己配置一个域证书,Registrar节点发送的该AD消息中可以包括域证书;而对于没有域证书的节点发送的AD消息,该AD消息中可以包括UDI。
在本发明实施例中,由于自组织节点发送的AD消息只能发送一跳的距离,即只有邻居节点可以收到该AD消息,因此当节点收到邻居节点发送的AD消息后,可以建立一个邻居列表,用于记录属于该节点的邻居节点。可选地,该邻居列表可以包括邻居节点的UDI,该UDI通过邻居节点发送的AD消息获得,邻居列表还可以包括地址信息,该地址信息可以为IPv6地址,或IPv4地址,或MAC地址,该地址信息可以通过发送的AD消息的报文确定,但本发明并不限于此。根据节点确定的邻居节点列表,可以确定各个节点的邻居节点的UDI以及地址信息。
在本发明实施例中,当Registrar节点收到邻居节点发送的AD消息后,将AD消息中的UDI对比Registrar节点中的UDI白名单,如果邻居节点的UDI匹配UDI白名单,则Registrar节点根据该UDI生成一个域证书,将该域证书发送给该邻居节点,后续AD广播中将使用该域证书。此时,具有域证书的该Registrar节点和邻居节点属于同一个ACP。
在本发明实施例中,对于Registrar节点接收到的邻居节点发送的AD消息,可以为该邻居节点的AD消息,也可以为该邻居节点转发自己的邻居节点的AD消息,并比照UDI白名单,对于属于同一个域的节点,Registrar节点均发送域证书,可选地,可以通过邻居节点互相转发,具有该域证书的节点均属于同一个域,该自组织网络中的这些节点属于同一个ACP。
在本发明实施例中,当自组织网络中每个节点有自己的IDevID certificate时,则节点向邻居节点发送的AD消息包括域证书或SUDI,其中,Registrar节点的AD消息可以包括域证书,而没有域证书的节点的AD消息中包括SUDI。邻居节点将自己的802.1AR证书发给Registrar节点,可选地,可以经过一个Proxy。收到该消息的Registrar节点使用公钥验证该证书,并且连接到验证服务器验证该设备是否可以接入域。如果验证成功,Registrar节点根据该SUDI生成一个域证书,发给对应的邻居节点,该邻居节点接收到域证书,后续AD广播中将使用域证书。同样地,Registrar节点的邻居节点的邻居节点同样可以通过该方法获得域证书,具有域证书的该Registrar节点和邻居节点属于同一个ACP。
在本发明实施例中,根据MACSec协议,自组织网络中的第一网络设备的建立模块310建立与第二网络设备之间的MACSec通道,其中,该第一网络设备和第二网络设备可以为该自组织网络中的任意两个节点,可选地,该第一网络设备和第二网络设备可以为相邻的两个节点。具体地,基于该域证书,获得域证书的邻居节点可以与Registrar节点相互认证,并在认证成功后基于认证过程中生成的密钥协商出报文加密密钥,根据MACSec协议,建立Registrar节点与邻居节点之间的MACSec通道。同样地,对于Registrar节点的邻居节点的邻居节点,可以将Registrar节点的邻居节点作为代理服务器(Proxy)以及认证点,其它步骤一致,从而建立属于同一个域的各个节点中相邻节点之间的MACSec通道。这样,对于该ACP中的任意两个节点,即第一网络设备和第二网络设备之间可以通过该MACSec通道进行报文传输。
具体地,获得Registrar节点发送的域证书的邻居节点,可以向Registrar节点发起认证,例如可以发起基于802.1X的认证,Registrar节点可以作为认证者(Authenticator)和认证服务器,实现Registrar节点和邻居节点之间的相互认证,例如,可以选择EAP-TLS的认证方式,遵守802.1af的标准。
在本发明实施例中,Registrar节点与邻居节点认证成功后,基于认证过程中生成的密钥协商出报文加密密钥,建立起ACP专用的安全MACSec通道。具体地,按照MKA协议,将之前的Registrar节点与邻居节点认证中生成的PMK作为CAK。Registrar节点作为Authenticator,默认被选择为MKA协议中的密钥服务器(key server),可以按照802.1X协议,根据CAK,随机数等产生一个SAK,加密后发给邻居节点,以便于在后续的通信中,启用这个SAK作以太帧的加密和签名。
在本发明实施例中,Registrar节点与邻居节点通过上述方法建立MACSec通道后,对于Registrar节点的邻居节点的邻居节点加入该ACP时,Registrar节点的邻居节点可以作为代理服务器(Proxy)以及认证点,同样通过上述方法获得域证书,进而加入该ACP,并通过验证,建立与邻居节点之间的MACSec通道。
在本发明实施例中,在自组织网络中的ACP内,第一网络设备的发送模块320可以通过建立模块310建立的MACSec通道向第二网络设备发送ACP报文,具体地,自组织网络中任意一个节点的发送模块320可以通过MACSec通道向邻居节点发送ACP报文,经过至少一次转发,自组织网络中的任意两个节点,第一网络设备和第二网络设备之间可以传输ACP报文。由于在MAC层,还可以通过MACSec通道传输其它报文,因此,具体地,可以在MACSec帧的帧头中携带识别信息,可以通过该识别信息区分该MACSec帧是否承载ACP报文,可选地,可以通过下面几种方法确定根据MACSec协议封装的报文中的ACP报文以及其它报文。
可选地,作为一个实施例,以邻居节点之间传输报文为例,节点的发送模块320向邻居节点发送MACSec协议封装的MACSec帧,该MACSec帧的帧头中可以携带识别信息,该识别信息用于指示该帧结构用于承载ACP报文。具体地,若整个自组织网络不启用数据面的MACSec时,则根据MACSec协议封装的报文即为ACP报文,而其它报文可以通过MAC封装,该报文解封装后,由Global路由处理。例如,整个自组织网络不启用数据面的MACSec时,节点向邻居节点发送的802.1ae格式封装的报文即为根据MACSec协议封装的报文,该报文即可被理解为ACP报文。具体地,如图2所示,802.1ae格式封装的MACSec帧,该MACSec帧的帧头可以包括如图2所示的几种字段,其中,该802.1AE头(802.1AE Header)字段可以为识别信息,表示该帧结构为根据MACSec协议封装的报文,则该MACSec帧用于承载ACP报文,相反的,如果不包括该802.1AE Header字段,则可以确定该帧结构为其它的普通报文。
可选地,作为一个实施例,以邻居节点之间传输报文为例,节点的发送模块320向邻居节点发送MACSec协议封装的MACSec帧,该MACSec帧的帧头中可以携带识别信息,该识别信息用于指示该帧结构用于承载ACP报文,例如该识别信息可以被携带在传输的报文中的以太网类型字段中。具体地,传输的报文中可以包括以太网类型(Ethertype)字段,例如,如图2所示,该以太网类型字段可以位于802.1AE Header字段中,具体地,如图3所示,该802.1AE Header字段可以包括MACSec Ethertype字段、TCI字段、AN字段、SL字段、PN字段以及SCI字段。在该802.1AE Header字段中,该MACSec Ethertype字段,即携带识别信息的以太网类型字段,可选的,该MACSec Ethertype字段中可以包括识别信息,也可以直接将该字段作为识别信息。可选地,如果将该字段作为识别信息,可以设置为当该MACSec Ethertype值字段为预设值时,则该报文为ACP报文;当该MACSec Ether type值不是该预设值时,则该报文为其它报文。例如,对于802.1ae格式封装的报文中,可以用88e5表示MACSecEthertype值,则该报文为普通报文;设置一个新的MACSec Ethertype值为预设值,例如88e6,则该报文即为ACP报文。
可选地,作为一个实施例,以邻居节点之间传输报文为例,节点的发送模块320向邻居节点发送MACSec协议封装的MACSec帧,该MACSec帧的帧头中可以包括用于区别ACP报文的识别信息,例如该识别信息可以被携带在传输的MACSec帧的帧头中的标志位字段中,该标志位字段可以为新增字段,也可以为现有的某个字段。具体地,该标识位字段可以为该报文中原有的有一个指示位,例如,在802.1ae格式封装的报文中,如图3所示的TCI字段和AN字段可以展开如图4所示,其中v=0表示版本(version)位,该版本位原本用于指示MACSec的版本,目前为0,在本发明实施例中,可以将该版本位用于指示ACP报文,当该位的比特为“1”时,指示该报文为ACP报文;当该位的比特为“0”时,指示该报文为其它报文。可选地,也可以在传输报文中增加一个新的标志位,该标志位包括ACP报文的识别信息,例如,当该标志位为“0”时,指示该报文为ACP报文;当该标志位为“1”时,指示该报文为其它报文。
可选地,作为一个实施例,以邻居节点之间传输报文为例,节点的发送模块320向邻居节点发送MACSec协议封装的MACSec帧,该MACSec帧的帧头中可以包括ACP报文的识别信息,用于指示该报文为ACP报文,例如该识别信息可以被携带在该传输报文中的MAC地址字段中,根据该MAC地址字段确定该传输报文是否为ACP报文。例如,现有的MAC地址的最高位的8比特,其中第二比特b2用于区分该MAC地址为本地管理MAC地址,还是全球(global)MAC地址,由于现有MAC地址大多为global,因此,可以将b2位作为识别信息,用于指示该报文是否为ACP报文。这时,设备接口上同时使用本地管理MAC地址(虚拟MAC)和全球MAC地址,当使用本地管理MAC地址传输报文时,即b2的值为1时,该传输报文为ACP报文;当使用全球MAC地址传输报文时,即b2的值为0时,该传输报文为其它报文,但本发明并不限于此。可选地,也可以在MAC地址字段中的其他位置携带ACP报文的识别信息,也可以在MAC地址字段中新增加一个或多个比特用于携带识别信息。
在本发明实施例中,ACP各个节点可以通过上述方法,由发送模块320向邻居节点发送MACSec协议封装的ACP报文。
应理解,根据本发明实施例的用于报文传输的第一网络设备300可对应于执行本发明实施例中的方法100,并且用于报文传输的第一网络设备300中的各个模块的上述和其它操作和/或功能分别为了实现图1中的各个方法的相应流程,为了简洁,在此不再赘述。
因此,本发明实施例的用于报文传输的第一网络设备,根据MACSec协议,自组织网络中的第一网络设备的建立模块与第二网络设备之间建立MACSec通道,通过该MACSec通道,第一网络设备的发送模块向第二网络设备发送ACP报文,该ACP报文承载在MACSec帧中,该MACSec帧的帧头中携带了用于标识该ACP报文的识别信息,从而不需要在接口上同时配置可路由的接口地址和用于建立IPSec的链路本地地址,为传输ACP报文提供的MACSec安全机制,不需要使用L3隧道,进而提高了效率。并且,可以通过MACSec帧的帧头中的识别信息区分ACP报文和其他报文,从而使得自组织网络中的第一网络设备和第二网络设备之间可以传输ACP报文。
图7示出了根据本发明另一实施例的报文传输的第二网络设备400的示意性流程图,该第二网络设备400可以自组织网络中的接收节点。如图7所示,该第二网络设备400包括:
建立模块410,用于该第二网络设备根据介质访问控制安全MACSec协议,与第一网络设备建立MACSec通道;
接收模块420,用于该第二网络设备通过该建立模块建立的该MACSec通道,接收该第一网络设备发送的MACSec帧;
确定模块430,用于该第二网络设备根据该接收模块接收的该MACSec帧的帧头中携带的用于标识自组织控制平面ACP报文的识别信息,确定该ACP报文。
具体地,可以将自组织网络中的一个节点设置为认证(Registrar)节点,该Registrar节点配置了自组织节点的UDI白名单,该UDI白名单内的节点可以加入该自组织域,并且Registrar节点本身连接到domain CA,支持分配域证书(domain certificate)。网络中各个节点发起邻居发现(AD)消息,通过该AD消息寻找邻居节点,该AD消息中包括UDI或域证书。根据该AD消息,各个节点可以创建邻居列表;Registrar节点收到该AD消息后,对比UDI白名单,向属于UDI白名单的该邻居节点发送域证书。基于该域证书,邻居节点与Registrar节点相互认证,并在认证成功后基于认证过程中生成的密钥协商出报文加密密钥,根据MACSec协议,建立Registrar节点与邻居节点之间的MACSec通道。同样地,针对Registrar节点的邻居节点的邻居节点,需要Registrar节点的邻居节点作为代理服务器(Proxy)以及认证点,其它步骤一致,从而建立自组织网络中相邻节点之间的MACSec通道,使得属于同一域的多个节点构成一个ACP。在该ACP内,各个节点之间可以通过MACSec通道,互相传输根据MACSec协议封装的ACP报文。
因此,本发明实施例的用于报文传输的第二网络设备,根据MACSec协议,该第二网络设备与第一网络设备之间建立MACSec通道,通过该MACSec通道,该第二网络设备接收第一网络设备发送的MACSec帧,根据该MACSec帧中的识别信息确定ACP报文,从而不需要在接口上同时配置可路由的接口地址和用于建立IPSec的链路本地地址,为传输ACP报文提供的MACSec安全机制,不需要使用L3隧道,进而提高了效率。并且,可以通过MACSec帧的帧头中的识别信息区分ACP报文和其他报文,从而使得自组织网络中的第一网络设备和第二网络设备之间可以通过MACSec通道传输ACP报文。
在本发明实施例中,自组织网络中各个节点支持自组织特性,每个节点都有自己的UDI或者设备ID证书(IDevID certificate),可选地,这里以各个节点通过UDI获取域证书为例进行说明,但本发明并不限于此。在该网络中,设置其中一个节点为认证(Registrar)节点,该Registrar节点支持分配域证书,并且配置了自组织节点的UDI白名单,该UDI白名单内的节点属于同一个自组织域。可选地,可以预配置该Registrar节点,Registrar节点能够支持分配域证书的节点,即该Registrar节点与数字证书认证管理机构有连接,可以进行通信,换句话说,该Registrar节点能够通过数字证书认证管理结构为其他节点分配域证书。
在本发明实施例中,自组织特性使能后,自组织节点可以向邻居节点发送AD消息,从而寻找自己的邻居节点。可选地,各个节点可以每隔一段时间,例如10s,发起一次AD消息。该AD消息可以包括UDI或者域证书,例如,对于Registrar节点发送的AD消息,Registrar节点支持分配域证书,它会先给自己配置一个域证书,Registrar节点发送的该AD消息中可以包括域证书;而对于没有域证书的节点发送的AD消息,该AD消息中可以包括UDI。
在本发明实施例中,由于自组织节点发送的AD消息只能发送一跳的距离,即只有邻居节点可以收到该AD消息,因此当节点收到邻居节点发送的AD消息后,可以建立一个邻居列表,用于记录属于该节点的邻居节点。可选地,该邻居列表可以包括邻居节点的UDI,该UDI通过邻居节点发送的AD消息获得,邻居列表还可以包括地址信息,该地址信息可以为IPv6地址,或IPv4地址,或MAC地址,该地址信息可以通过发送的AD消息的报文确定,但本发明并不限于此。根据节点确定的邻居节点列表,可以确定各个节点的邻居节点的UDI以及地址信息。
在本发明实施例中,当Registrar节点收到邻居节点发送的AD消息后,将AD消息中的UDI对比Registrar节点中的UDI白名单,如果邻居节点的UDI匹配UDI白名单,则Registrar节点根据该UDI生成一个域证书,将该域证书发送给该邻居节点,后续AD广播中将使用该域证书。此时,具有域证书的该Registrar节点和邻居节点属于同一个ACP。
在本发明实施例中,对于Registrar节点接收到的邻居节点发送的AD消息,可以为该邻居节点的AD消息,也可以为该邻居节点转发自己的邻居节点的AD消息,并比照UDI白名单,对于属于同一个域的节点,Registrar节点均发送域证书,可选地,可以通过邻居节点互相转发,具有该域证书的节点均属于同一个域,该自组织网络中的这些节点属于同一个ACP。
在本发明实施例中,当自组织网络中每个节点有自己的IDevID certificate时,则节点向邻居节点发送的AD消息包括域证书或SUDI,其中,Registrar节点的AD消息可以包括域证书,而没有域证书的节点的AD消息中包括SUDI。邻居节点将自己的802.1AR证书发给Registrar节点,可选地,可以经过一个Proxy。收到该消息的Registrar节点使用公钥验证该证书,并且连接到验证服务器验证该设备是否可以接入域。如果验证成功,Registrar节点根据该SUDI生成一个域证书,发给对应的邻居节点,该邻居节点接收到域证书,后续AD广播中将使用域证书。同样地,Registrar节点的邻居节点的邻居节点同样可以通过该方法获得域证书,具有域证书的该Registrar节点和邻居节点属于同一个ACP。
在本发明实施例中,根据MACSec协议,自组织网络中的第一网络设备的建立模块410建立与第一网络设备之间的MACSec通道,其中,该第一网络设备和第二网络设备可以为该自组织网络中的任意两个节点,可选地,该第一网络设备和第二网络设备可以为相邻的两个节点。具体地,基于域证书,获得域证书的邻居节点可以与Registrar节点相互认证,并在认证成功后基于认证过程中生成的密钥协商出报文加密密钥,根据MACSec协议,建立Registrar节点与邻居节点之间的MACSec通道。同样地,对于Registrar节点的邻居节点的邻居节点,可以将Registrar节点的邻居节点作为代理服务器(Proxy)以及认证点,其它步骤一致,从而建立属于同一个域的各个节点中相邻节点之间的MACSec通道。这样,对于该ACP中的任意两个节点,即第一网络设备和第二网络设备之间可以通过该MACSec通道进行报文传输。
具体地,获得Registrar节点发送的域证书的邻居节点,可以向Registrar节点发起认证,例如可以发起基于802.1X的认证,Registrar节点可以作为认证者(Authenticator)和认证服务器,实现Registrar节点和邻居节点之间的相互认证,例如,可以选择EAP-TLS的认证方式,遵守802.1af的标准。
在本发明实施例中,Registrar节点与邻居节点认证成功后,基于认证过程中生成的密钥协商出报文加密密钥,建立起ACP专用的安全MACSec通道。具体地,按照MKA协议,将之前的Registrar节点与邻居节点认证中生成的PMK作为CAK。Registrar节点作为Authenticator,默认被选择为MKA协议中的密钥服务器(key server),可以按照802.1X协议,根据CAK,随机数等产生一个SAK,加密后发给邻居节点,以便于在后续的通信中,启用这个SAK作以太帧的加密和签名。
在本发明实施例中,Registrar节点与邻居节点通过上述方法建立MACSec通道后,对于Registrar节点的邻居节点的邻居节点加入该ACP时,Registrar节点的邻居节点可以作为代理服务器(Proxy)以及认证点,同样通过上述方法获得域证书,进而加入该ACP,并通过验证,建立与邻居节点之间的MACSec通道。
在本发明实施例中,在自组织网络中的ACP内,第二网络设备的接收模块420可以通过MACSec通道接收第一网络设备发送的MACSec帧。具体地,自组织网络中任意一个节点可以通过MACSec通道向邻居节点发送ACP报文,经过至少一次转发,自组织网络中的任意两个节点,第一网络设备和第二网络设备之间可以传输MACSec帧。
在本发明实施例中,由于第二网络设备的接收模块420接收的该MACSec帧的帧头中可以包括识别信息,该识别信息用于区别该MACSec帧是否为ACP报文。因此,第二网络设备的确定模块430可以根据MACSec帧的帧头中的识别信息,确定该MACSec帧为ACP报文。由于在MAC层,还可以通过MACSec通道传输其它报文,因此,具体地,可以根据在MACSec帧的帧头中携带的识别信息,区分该MACSec帧是否承载ACP报文,可选地,可以通过下面几种方法确定接收到的根据MACSec协议封装的报文中的ACP报文以及其它报文。
可选地,作为一个实施例,以邻居节点之间传输报文为例,当节点的接收模块420接收邻居节点发送的MACSec协议封装的MACSec帧,确定模块430可以根据该MACSec帧的帧头中携带的识别信息确定ACP报文。具体地,若整个自组织网络不启用数据面的MACSec时,则根据MACSec协议封装的报文即为ACP报文,而其它报文可以通过MAC封装,该报文解封装后,由Global路由处理。例如,整个自组织网络不启用数据面的MACSec时,节点接收邻居节点发送的802.1ae格式封装的报文即为根据MACSec协议封装的报文,该报文即可被理解为ACP报文。具体地,如图2所示,802.1ae格式封装的MACSec帧,该MACSec帧的帧头可以包括如图2所示的几种字段,其中,该802.1AE头(802.1AE Header)字段可以为识别信息,表示该帧结构为根据MACSec协议封装的报文,则该MACSec帧用于承载ACP报文,相反的,如果不包括该802.1AE Header字段,则可以确定该帧结构为其它的普通报文。
可选地,作为一个实施例,以邻居节点之间传输报文为例,当节点的接收模块420接收邻居节点发送的MACSec协议封装的MACSec帧,确定模块430可以根据该MACSec帧中包括的ACP报文的识别信息,确定该报文为ACP报文,例如该识别信息可以被携带在传输的MACSec帧的帧头中的以太网类型字段中。具体地,传输的报文中可以包括以太网类型(Ethertype)字段,例如,如图2所示,该以太网类型字段可以位于802.1AE Header字段中,具体地,如图3所示,该802.1AE Header字段可以包括MACSec Ethertype字段、TCI字段、AN字段、SL字段、PN字段以及SCI字段。在该802.1AE Header字段中,该MACSec Ethertype字段,即携带识别信息的以太网类型字段,可选的,该MACSec Ethertype字段中可以包括识别信息,也可以直接将该字段作为识别信息。可选地,如果将该字段作为识别信息,可以设置为当该MACSec Ethertype值字段为预设值时,则该报文为ACP报文;当该MACSec Ethertype值不是该预设值时,则该报文为其它报文。例如,对于802.1ae格式封装的报文中,可以用88e5表示MACSec Ethertype值,则该报文为普通报文;设置一个新的MACSec Ethertype值为预设值,例如88e6,则该报文即为ACP报文。
可选地,作为一个实施例,以邻居节点之间传输报文为例,当节点的接收模块420接收邻居节点发送的MACSec协议封装的MACSec帧,确定模块430可以根据该MACSec帧的帧头中包括的ACP报文的识别信息,确定该报文为ACP报文,例如该识别信息可以被携带在传输的MACSec帧的帧头中的标志位字段中,该标志位字段可以为新增字段,也可以为现有的某个字段。具体地,该标识位字段可以为该报文中原有的有一个指示位,例如,在802.1ae格式封装的报文中,如图3所示的TCI字段和AN字段可以展开如图4所示,其中v=0表示版本(version)位,该版本位原本用于指示MACSec的版本,目前为0,在本发明实施例中,可以将该版本位用于指示ACP报文,当该位的比特为“1”时,指示该报文为ACP报文;当该位的比特为“0”时,指示该报文为其它报文。可选地,也可以在传输报文中增加一个新的标志位,该标志位包括ACP报文的识别信息,例如,当该标志位为“0”时,指示该报文为ACP报文;当该标志位为“1”时,指示该报文为其它报文。
可选地,作为一个实施例,以邻居节点之间传输报文为例,当节点的接收模块420接收邻居节点发送的MACSec协议封装的MACSec帧,确定模块430可以根据该MACSec帧的帧头中包括的ACP报文的识别信息,确定该报文为ACP报文,例如该识别信息可以被携带在该传输报文中的MAC地址字段中,根据该MAC地址字段确定该传输报文是否为ACP报文。例如,现有的MAC地址的最高位的8比特,其中第二比特b2用于区分该MAC地址为本地管理MAC地址,还是全球(global)MAC地址,由于现有MAC地址大多为global,因此,可以将b2位作为识别信息,用于指示该报文是否为ACP报文。这时,设备接口上同时使用本地管理MAC地址(虚拟MAC)和全球MAC地址,当使用本地管理MAC地址传输报文时,即b2的值为1时,该传输报文为ACP报文;当使用全球MAC地址传输报文时,即b2的值为0时,该传输报文为其它报文,但本发明并不限于此。可选地,也可以在MAC地址字段中的其他位置携带ACP报文的识别信息,也可以在MAC地址字段中新增加一个或多个比特用于携带识别信息。
在本发明实施例中,自组织网络中的节点的接收模块420接收邻居节点发送的MACSec协议封装的MACSec帧,确定模块430根据该MACSec帧的帧头中包括的识别信息,确定ACP报文,具体地,可以通过上述方法确定哪些为ACP报文。
应理解,根据本发明实施例的用于报文传输的第二网络设备400可对应于执行本发明实施例中的方法200,并且用于报文传输的第二网络设备400中的各个模块的上述和其它操作和/或功能分别为了实现图5中的各个方法的相应流程,为了简洁,在此不再赘述。
因此,本发明实施例的用于报文传输的第二网络设备,根据MACSec协议,该第二网络设备与第一网络设备之间建立MACSec通道,通过该MACSec通道,该第二网络设备接收第一网络设备发送的MACSec帧,根据该MACSec帧中的识别信息确定ACP报文,从而不需要在接口上同时配置可路由的接口地址和用于建立IPSec的链路本地地址,为传输ACP报文提供的MACSec安全机制,不需要使用L3隧道,进而提高了效率。并且,可以通过MACSec帧的帧头中的识别信息区分ACP报文和其他报文,从而使得自组织网络中的第一网络设备和第二网络设备之间可以通过MACSec通道传输ACP报文。
如图8所示,本发明实施例还提供了一种用于报文传输的系统500,该系统500可以包括第一网络设备510和第二网络设备520。该第一网络设备510根据MACSec协议,与该第二网络设备520建立MACSec通道;通过该MACSec通道,该第一网络设备510向该第二网络设备520发送ACP报文,该ACP报文承载在MACSec帧中,该MACSec帧的帧头中携带了用于标识该ACP报文的识别信息;该第二网络设备520接收该MACSec帧;该第二网络设备520根据该MACSec帧的帧头中携带的用于标识ACP报文的识别信息,确定该ACP报文。
该第一网络设备510可以是如图6所示的所示的第一网络设备300,第二网络设备520可以是如图7所示的第二网络设备400。
该第一网络设备510还可以包括如图6所示的建立模块310和发送模块320;该第二网络设备520还可以包括如图7所示的建立模块410,接收模块420和确定模块430。
因此,本发明实施例的用于报文传输的系统,包括自组织网络中的第一网络设备和第二网络设备,根据MACSec协议,该第一网络设备和第二网络设备之间建立MACSec通道,通过该MACSec通道,第一网络设备与第二网络设备之间可以传输MACSec帧,该MACSec帧的帧头中携带了识别信息,可以根据该识别信息表示ACP报文,从而不需要在接口上同时配置可路由的接口地址和用于建立IPSec的链路本地地址,而是根据MACSec协议,为ACP提供MACSec安全机制,不需要使用L3隧道,进而提高了效率。并且,可以通过识别信息区分MACSec帧中的ACP报文,从而使得自组织网络中的第一网络设备和第二网络设备之间可以传输ACP报文。
如图9所示,本发明实施例还提供了一种用于报文传输的第一网络设备600,该第一网络设备600包括处理器610、存储器620、发送器630和总线系统640。其中,处理器610、存储器620和发送器630通过总线系统640相连,该存储器620用于存储指令,该处理器610用于执行该存储器620存储的指令,以控制发送器630发送信号。其中,该处理器610用于第一网络设备根据介质访问控制安全MACSec协议,与第二网络设备建立MACSec通道;发送器630用于该第一网络设备通过该MACSec通道,向该第二网络设备发送自组织控制平面ACP报文,该ACP报文承载在MACSec帧中,该MACSec帧的帧头中携带了用于标识该ACP报文的识别信息。
因此,本发明实施例的用于报文传输的第一网络设备,根据MACSec协议,自组织网络中的第一网络设备的建立模块与第二网络设备之间建立MACSec通道,通过该MACSec通道,第一网络设备的发送模块向第二网络设备发送ACP报文,该ACP报文承载在MACSec帧中,该MACSec帧的帧头中携带了用于标识该ACP报文的识别信息,从而不需要在接口上同时配置可路由的接口地址和用于建立IPSec的链路本地地址,为传输ACP报文提供的MACSec安全机制,不需要使用L3隧道,进而提高了效率。并且,可以通过MACSec帧的帧头中的识别信息区分ACP报文和其他报文,从而使得自组织网络中的第一网络设备和第二网络设备之间可以传输ACP报文。
应理解,在本发明实施例中,该处理器610可以是中央处理单元(CentralProcessing Unit,简称为“CPU”),该处理器610还可以是其他通用处理器、数字信号处理器(DSP)、专用集成电路(ASIC)、现成可编程门阵列(FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。
该存储器620可以包括只读存储器和随机存取存储器,并向处理器610提供指令和数据。存储器620的一部分还可以包括非易失性随机存取存储器。例如,存储器620还可以存储设备类型的信息。
该总线系统640除包括数据总线之外,还可以包括电源总线、控制总线和状态信号总线等。但是为了清楚说明起见,在图中将各种总线都标为总线系统640。
在实现过程中,上述方法的各步骤可以通过处理器610中的硬件的集成逻辑电路或者软件形式的指令完成。结合本发明实施例所公开的方法的步骤可以直接体现为硬件处理器执行完成,或者用处理器中的硬件及软件模块组合执行完成。软件模块可以位于随机存储器,闪存、只读存储器,可编程只读存储器或者电可擦写可编程存储器、寄存器等本领域成熟的存储介质中。该存储介质位于存储器620,处理器610读取存储器620中的信息,结合其硬件完成上述方法的步骤。为避免重复,这里不再详细描述。
可选地,作为一个实施例,该识别信息携带在该MACSec帧的帧头中的以太网类型字段中,该以太网类型字段用于指示该MACSec帧用于承载该ACP报文。
可选地,作为一个实施例,该识别信息携带在该MACSec帧的帧头中的标志位字段中,该标识位字段为新增字段或版本字段。
可选地,作为一个实施例,该识别信息携带在该MACSec帧的帧头中的MAC地址字段中。
应理解,根据本发明实施例的用于报文传输的第一网络设备600可对应于本发明实施例中的用于报文传输的第一网络设备300,并可以对应于执行根据本发明实施例的方法100中的相应主体,并且第一网络设备600中的各个模块的上述和其它操作和/或功能分别为了实现图1中的各个方法的相应流程,为了简洁,在此不再赘述。
因此,本发明实施例的用于报文传输的第一网络设备,根据MACSec协议,自组织网络中的第一网络设备的建立模块与第二网络设备之间建立MACSec通道,通过该MACSec通道,第一网络设备的发送模块向第二网络设备发送ACP报文,该ACP报文承载在MACSec帧中,该MACSec帧的帧头中携带了用于标识该ACP报文的识别信息,从而不需要在接口上同时配置可路由的接口地址和用于建立IPSec的链路本地地址,为传输ACP报文提供的MACSec安全机制,不需要使用L3隧道,进而提高了效率。并且,可以通过MACSec帧的帧头中的识别信息区分ACP报文和其他报文,从而使得自组织网络中的第一网络设备和第二网络设备之间可以传输ACP报文。
如图10所示,本发明实施例还提供了一种用于报文传输的第二网络设备700,该第二网络设备700包括处理器710、存储器720、接收器730和总线系统740。其中,处理器710、存储器720和接收器730通过总线系统740相连,该存储器720用于存储指令,该处理器710用于执行该存储器720存储的指令,以控制接收器730接收信号。其中,该处理器710用于第二网络设备根据介质访问控制安全MACSec协议,与第一网络设备建立MACSec通道;接收器730用于该第二网络设备通过该MACSec通道,接收该第一网络设备发送的MACSec帧该处理器710还用于该第二网络设备根据该MACSec帧的帧头中携带的用于标识自组织控制平面ACP报文的识别信息,确定该ACP报文。
因此,本发明实施例的用于报文传输的第二网络设备,根据MACSec协议,该第二网络设备与第一网络设备之间建立MACSec通道,通过该MACSec通道,该第二网络设备接收第一网络设备发送的MACSec帧,根据该MACSec帧中的识别信息确定ACP报文,从而不需要在接口上同时配置可路由的接口地址和用于建立IPSec的链路本地地址,为传输ACP报文提供的MACSec安全机制,不需要使用L3隧道,进而提高了效率。并且,可以通过MACSec帧的帧头中的识别信息区分ACP报文和其他报文,从而使得自组织网络中的第一网络设备和第二网络设备之间可以通过MACSec通道传输ACP报文。
应理解,在本发明实施例中,该处理器710可以是中央处理单元(CentralProcessing Unit,简称为“CPU”),该处理器710还可以是其他通用处理器、数字信号处理器(DSP)、专用集成电路(ASIC)、现成可编程门阵列(FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。
该存储器720可以包括只读存储器和随机存取存储器,并向处理器710提供指令和数据。存储器720的一部分还可以包括非易失性随机存取存储器。例如,存储器720还可以存储设备类型的信息。
该总线系统740除包括数据总线之外,还可以包括电源总线、控制总线和状态信号总线等。但是为了清楚说明起见,在图中将各种总线都标为总线系统740。
在实现过程中,上述方法的各步骤可以通过处理器710中的硬件的集成逻辑电路或者软件形式的指令完成。结合本发明实施例所公开的方法的步骤可以直接体现为硬件处理器执行完成,或者用处理器中的硬件及软件模块组合执行完成。软件模块可以位于随机存储器,闪存、只读存储器,可编程只读存储器或者电可擦写可编程存储器、寄存器等本领域成熟的存储介质中。该存储介质位于存储器720,处理器710读取存储器720中的信息,结合其硬件完成上述方法的步骤。为避免重复,这里不再详细描述。
可选地,作为一个实施例,该识别信息携带在该MACSec帧的帧头中的以太网类型字段中,该以太网类型字段用于指示该MACSec帧用于承载该ACP报文。
可选地,作为一个实施例,该识别信息携带在该MACSec帧的帧头中的标志位字段中,该标识位字段为新增字段或版本字段。
可选地,作为一个实施例,该识别信息携带在该MACSec帧的帧头中的MAC地址字段中。
应理解,根据本发明实施例的用于报文传输的第二网络设备700可对应于本发明实施例中的用于报文传输的第二网络设备400,并可以对应于执行根据本发明实施例的方法200中的相应主体,并且第二网络设备700中的各个模块的上述和其它操作和/或功能分别为了实现图5中的各个方法的相应流程,为了简洁,在此不再赘述。
因此,本发明实施例的用于报文传输的第二网络设备,根据MACSec协议,该第二网络设备与第一网络设备之间建立MACSec通道,通过该MACSec通道,该第二网络设备接收第一网络设备发送的MACSec帧,根据该MACSec帧中的识别信息确定ACP报文,从而不需要在接口上同时配置可路由的接口地址和用于建立IPSec的链路本地地址,为传输ACP报文提供的MACSec安全机制,不需要使用L3隧道,进而提高了效率。并且,可以通过MACSec帧的帧头中的识别信息区分ACP报文和其他报文,从而使得自组织网络中的第一网络设备和第二网络设备之间可以通过MACSec通道传输ACP报文。
本领域普通技术人员可以意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、或者计算机软件和电子硬件的结合来实现。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本发明的范围。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的系统、装置和单元的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
在本申请所提供的几个实施例中,应该理解到,所揭露的系统、装置和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本发明各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。
所述功能如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应所述以权利要求的保护范围为准。

Claims (21)

1.一种报文传输的方法,应用在自组织网络中,其特征在于,所述方法包括:
第一网络设备根据介质访问控制安全MACSec协议,与第二网络设备建立MACSec通道;
所述第一网络设备通过所述MACSec通道,向所述第二网络设备发送自组织控制平面ACP报文,所述ACP报文承载在MACSec帧中;
在所述第一网络设备根据MACSec协议,与第二网络设备建立MACSec通道之前,所述方法还包括:
所述第一网络设备接收来自所述第二网络设备的邻居发现AD消息,所述AD消息包括所述第二网络设备的唯一设备标识UDI;
所述第一网络设备比较所述第一网络设备的UDI白名单与所述第二网络设备的UDI;
如果所述第二网络设备的UDI属于所述第一网络设备的UDI白名单,所述第一网络设备向所述第二网络设备发送域证书;
基于所述域证书,所述第一网络设备与所述第二网络设备相互认证;
在所述认证成功后,所述第一网络设备基于所述认证中生成的密钥与所述第二网络设备协商出报文加密密钥。
2.根据权利要求1所述的方法,其特征在于,所述MACSec帧的帧头中携带了用于标识所述ACP报文的识别信息。
3.根据权利要求2所述的方法,其特征在于,所述识别信息携带在所述MACSec帧的帧头中的以太网类型字段中,所述以太网类型字段用于指示所述MACSec帧用于承载所述ACP报文。
4.根据权利要求2所述的方法,其特征在于,所述识别信息携带在所述MACSec帧的帧头中的标志位字段中,所述标识位字段为新增字段或版本字段。
5.根据权利要求2所述的方法,其特征在于,所述识别信息携带在所述MACSec帧的帧头中的MAC地址字段中。
6.一种报文传输的方法,应用在自组织网络中,其特征在于,所述方法包括:
第二网络设备根据介质访问控制安全MACSec协议,与第一网络设备建立MACSec通道;
所述第二网络设备通过所述MACSec通道,接收所述第一网络设备发送的MACSec帧,所述MACSec帧用于承载自组织控制平面ACP报文;
在所述第二网络设备根据介质访问控制安全MACSec协议,与第一网络设备建立MACSec通道之前,所述方法还包括:
所述第二网络设备向所述第一网络设备发送邻居发现AD消息,所述AD消息包括所述第二网络设备的唯一设备标识UDI;和
所述第二网络设备根据所述第二网络设备的UDI从所述第一网络设备接收域证书。
7.根据权利要求6所述的方法,其特征在于,所述方法还包括:
所述第二网络设备根据所述MACSec帧的帧头中携带的用于标识所述ACP报文的识别信息,确定所述ACP报文。
8.根据权利要求7所述的方法,其特征在于,所述识别信息携带在所述MACSec帧的帧头中的以太网类型字段中,所述以太网类型字段用于指示所述MACSec帧用于承载所述ACP报文。
9.根据权利要求7所述的方法,其特征在于,所述识别信息携带在所述MACSec帧的帧头中的标志位字段中,所述标识位字段为新增字段或版本字段。
10.根据权利要求7所述的方法,其特征在于,所述识别信息携带在所述MACSec帧的帧头中的MAC地址字段中。
11.一种用于报文传输的第一网络设备,应用在自组织网络中,其特征在于,所述第一网络设备包括:
建立模块,用于所述第一网络设备根据介质访问控制安全MACSec协议,与第二网络设备建立MACSec通道;
发送模块,用于所述第一网络设备通过所述建立模块建立的所述MACSec通道,向所述第二网络设备发送自组织控制平面ACP报文,所述ACP报文承载在MACSec帧中;
所述第一网络设备还包括:
接收模块,用于接收来自第二网络设备的邻居发现AD消息,其中,AD消息包括第二网络设备的唯一设备标识UDI;
比较模块,用于比较第一网络设备的UDI白名单和第二网络设备的UDI;
所述发送模块,还用于若所述第二网络设备的UDI属于所述第一网络设备的UDI白名单,向所述第二网络设备发送域证书;
所述建立模块,还用于基于所述域证书,与所述第二网络设备相互认证;
获取模块,用于在所述认证成功后,基于所述认证中生成的密钥与所述第二网络设备协商出报文加密密钥。
12.根据权利要求11所述的方法,其特征在于,所述MACSec帧的帧头中携带了用于标识所述ACP报文的识别信息。
13.根据权利要求12所述的第一网络设备,其特征在于,所述识别信息携带在所述MACSec帧的帧头中的以太网类型字段中,所述以太网类型字段用于指示所述MACSec帧用于承载所述ACP报文。
14.根据权利要求12所述的第一网络设备,其特征在于,所述识别信息携带在所述MACSec帧的帧头中的标志位字段中,所述标识位字段为新增字段或版本字段。
15.根据权利要求12所述的第一网络设备,其特征在于,所述识别信息携带在所述MACSec帧的帧头中的MAC地址字段中。
16.一种用于报文传输的第二网络设备,应用在自组织网络中,其特征在于,所述第二网络设备包括:
建立模块,用于所述第二网络设备根据介质访问控制安全MACSec协议,与第一网络设备建立MACSec通道;
接收模块,用于所述第二网络设备通过所述建立模块建立的所述MACSec通道,接收所述第一网络设备发送的MACSec帧,所述MACSec帧用于承载自组织控制平面ACP报文;
所述第二网络设备还包括:
发送模块,用于向所述第一网络设备发送邻居发现AD消息,其中,所述AD消息包括所述第二网络设备的唯一设备标识UDI;
所述接收模块,还用于根据所述第二网络设备的UDI从所述第一网络设备接收域证书。
17.根据权利要求16所述的第二网络设备,其特征在于,所述第二网络设备还包括:
确定模块,用于所述第二网络设备根据所述接收模块接收的所述MACSec帧的帧头中携带的用于标识所述ACP报文的识别信息,确定所述ACP报文。
18.根据权利要求17所述的第二网络设备,其特征在于,所述识别信息携带在所述MACSec帧的帧头中的以太网类型字段中,所述以太网类型字段用于指示所述MACSec帧用于承载所述ACP报文。
19.根据权利要求17所述的第二网络设备,其特征在于,所述识别信息携带在所述MACSec帧的帧头中的标志位字段中,所述标识位字段为新增字段或版本字段。
20.根据权利要求17所述的第二网络设备,其特征在于,所述识别信息携带在所述MACSec帧的帧头中的MAC地址字段中。
21.一种用于报文传输的系统,应用在自组织网络中,其特征在于,所述系统包括:如权利要求11至15中任一项所述的第一网络设备,以及如权利要求16至20中任一项所述的第二网络设备,
所述第一网络设备根据介质访问控制安全MACSec协议,与所述第二网络设备建立MACSec通道;
通过所述MACSec通道,所述第一网络设备向所述第二网络设备发送自组织控制平面ACP报文,所述ACP报文承载在MACSec帧中,所述MACSec帧的帧头中携带了用于标识所述ACP报文的识别信息;
所述第二网络设备接收所述MACSec帧,所述MACSec帧用于承载自组织控制平面ACP报文。
CN202010507174.2A 2015-07-17 2015-07-17 报文传输的方法、装置和系统 Pending CN111865906A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202010507174.2A CN111865906A (zh) 2015-07-17 2015-07-17 报文传输的方法、装置和系统

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
PCT/CN2015/084384 WO2017011948A1 (zh) 2015-07-17 2015-07-17 报文传输的方法、装置和系统
CN202010507174.2A CN111865906A (zh) 2015-07-17 2015-07-17 报文传输的方法、装置和系统
CN201580001609.3A CN107580768B (zh) 2015-07-17 2015-07-17 报文传输的方法、装置和系统

Related Parent Applications (1)

Application Number Title Priority Date Filing Date
CN201580001609.3A Division CN107580768B (zh) 2015-07-17 2015-07-17 报文传输的方法、装置和系统

Publications (1)

Publication Number Publication Date
CN111865906A true CN111865906A (zh) 2020-10-30

Family

ID=57833521

Family Applications (3)

Application Number Title Priority Date Filing Date
CN202010507174.2A Pending CN111865906A (zh) 2015-07-17 2015-07-17 报文传输的方法、装置和系统
CN202010495252.1A Pending CN111865903A (zh) 2015-07-17 2015-07-17 报文传输的方法、装置和系统
CN201580001609.3A Active CN107580768B (zh) 2015-07-17 2015-07-17 报文传输的方法、装置和系统

Family Applications After (2)

Application Number Title Priority Date Filing Date
CN202010495252.1A Pending CN111865903A (zh) 2015-07-17 2015-07-17 报文传输的方法、装置和系统
CN201580001609.3A Active CN107580768B (zh) 2015-07-17 2015-07-17 报文传输的方法、装置和系统

Country Status (4)

Country Link
US (2) US10979428B2 (zh)
EP (1) EP3316528B1 (zh)
CN (3) CN111865906A (zh)
WO (1) WO2017011948A1 (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114760093A (zh) * 2022-03-07 2022-07-15 新华三技术有限公司合肥分公司 通信方法及装置

Families Citing this family (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111865906A (zh) * 2015-07-17 2020-10-30 华为技术有限公司 报文传输的方法、装置和系统
US10819685B2 (en) 2018-03-02 2020-10-27 Futurewei Technologies, Inc. Lightweight secure autonomic control plane
CN110392395B (zh) 2018-04-23 2022-03-29 华为技术有限公司 发送报文的方法和发送报文的装置
CN109150406B (zh) * 2018-09-20 2021-05-25 丁顺敏 一种字节流通信的数据包分包方法
US20210092103A1 (en) * 2018-10-02 2021-03-25 Arista Networks, Inc. In-line encryption of network data
CN109450826B (zh) * 2018-12-27 2020-10-23 Ut斯达康通讯有限公司 报文处理方法及装置
CN111628957B (zh) * 2019-02-28 2021-10-01 华为技术有限公司 一种数据传输方法以及网络设备
US11115389B2 (en) 2019-05-17 2021-09-07 Juniper Networks, Inc. Media access control security (MACsec) enabled links of a link aggregation group (LAG)
US11323437B1 (en) * 2019-07-09 2022-05-03 Juniper Networks, Inc. Monitoring a media access control security session
CN110636078B (zh) * 2019-10-12 2022-02-11 苏州盛科通信股份有限公司 实现Cloudsec的方法及装置
CN114598453A (zh) * 2020-11-19 2022-06-07 中兴通讯股份有限公司 密钥更新方法、装置、电子设备和存储介质
US11570179B2 (en) * 2021-01-18 2023-01-31 Schweitzer Engineering Laboratories, Inc. Secure transfer using media access control security (MACsec) key agreement (MKA)
US11601278B2 (en) * 2021-03-25 2023-03-07 Schweitzer Engineering Laboratories, Inc. Authentication of intelligent electronic devices (IEDs) using secure association keys (SAKs)

Family Cites Families (77)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5959990A (en) * 1996-03-12 1999-09-28 Bay Networks, Inc. VLAN frame format
US7369556B1 (en) * 1997-12-23 2008-05-06 Cisco Technology, Inc. Router for virtual private network employing tag switching
US8238347B2 (en) * 2004-10-22 2012-08-07 Cisco Technology, Inc. Fibre channel over ethernet
US7797745B2 (en) * 2004-12-22 2010-09-14 Electronics And Telecommunications Research Institute MAC security entity for link security entity and transmitting and receiving method therefor
US20060259759A1 (en) * 2005-05-16 2006-11-16 Fabio Maino Method and apparatus for securely extending a protected network through secure intermediation of AAA information
CN101529814B (zh) * 2006-06-12 2012-08-01 北方电讯网络有限公司 通过以太网交换路径支持多协议标记交换(mpls)应用
US7835389B2 (en) 2006-09-20 2010-11-16 Broadcom Corporation Method and system for an extended range Ethernet line code using 4B/3B mapping
US7729276B2 (en) * 2006-11-29 2010-06-01 Broadcom Corporation Method and system for tunneling MACSec packets through non-MACSec nodes
US20080022388A1 (en) * 2006-06-30 2008-01-24 Karanvir Grewal Method and apparatus for multiple inclusion offsets for security protocols
JP5008680B2 (ja) * 2006-07-04 2012-08-22 パナソニック株式会社 通信システム及びモバイル・ホームエージェント
CN101141241B (zh) * 2006-09-06 2010-08-18 华为技术有限公司 实现mac安全的方法以及网络设备
US8379638B2 (en) * 2006-09-25 2013-02-19 Certes Networks, Inc. Security encapsulation of ethernet frames
US7853691B2 (en) * 2006-11-29 2010-12-14 Broadcom Corporation Method and system for securing a network utilizing IPsec and MACsec protocols
US8112622B2 (en) * 2006-12-08 2012-02-07 Broadcom Corporation Chaining port scheme for network security
US7822875B1 (en) * 2006-12-22 2010-10-26 Marvell International Ltd. Method for flexible modifications to a packet
US20080162922A1 (en) * 2006-12-27 2008-07-03 Swartz Troy A Fragmenting security encapsulated ethernet frames
US7826360B1 (en) * 2007-08-27 2010-11-02 Marvell International Ltd. Adjusting transmission rates during packet expansion using in band signaling
US9043862B2 (en) 2008-02-06 2015-05-26 Qualcomm Incorporated Policy control for encapsulated data flows
US8199811B2 (en) * 2008-02-18 2012-06-12 Lg Electronics Inc. Digital broadcast system and data processing method
US8335316B2 (en) * 2008-04-21 2012-12-18 Broadcom Corporation Method and apparatus for data privacy in passive optical networks
US8745373B2 (en) * 2008-04-23 2014-06-03 Dell Products L.P. Systems and methods for applying encryption to network traffic on the basis of policy
US8752131B2 (en) * 2008-04-30 2014-06-10 Fujitsu Limited Facilitating protection of a maintenance entity group
US8700891B2 (en) * 2008-05-09 2014-04-15 Broadcom Corporation Preserving security association in MACsec protected network through VLAN mapping
US8417934B2 (en) * 2008-08-22 2013-04-09 Marvell World Trade Ltd. Method and apparatus for integrating precise time protocol and media access control security in network elements
TWI469595B (zh) * 2008-11-27 2015-01-11 Realtek Semiconductor Corp 用於本地端實體層之控制方法及其裝置
US20100153550A1 (en) * 2008-12-15 2010-06-17 Broadcom Corporation Pluggable device that enables an addition of security functionality in a network
JP5467574B2 (ja) * 2009-01-05 2014-04-09 ピーエムシー−シエラ イスラエル,エルティディ. EPON(1GEPONと10GEPON)ネットワークにおけるIEEE802.1AEと802.1afセキュリティの実行方法
US8336098B2 (en) * 2009-03-25 2012-12-18 Sysmate Co., Ltd. Method and apparatus for classifying harmful packet
US9001846B2 (en) * 2009-06-09 2015-04-07 Broadcom Corporation Physical layer device with dual medium access controller path
US8284776B2 (en) * 2009-06-10 2012-10-09 Broadcom Corporation Recursive packet header processing
US8719567B2 (en) * 2009-10-14 2014-05-06 Cisco Technology, Inc. Enabling QoS for MACsec protected frames
JP5643609B2 (ja) * 2009-12-24 2014-12-17 キヤノン株式会社 通信装置、その処理方法及びプログラム
US8718281B2 (en) * 2010-04-08 2014-05-06 Cisco Technology, Inc. Rekey scheme on high speed links
US8707020B1 (en) * 2010-05-13 2014-04-22 ClearCrypt, Inc. Selective exposure of feature tags in a MACSec packet
JP5797463B2 (ja) 2011-06-07 2015-10-21 ラピスセミコンダクタ株式会社 フレーム受信装置、フレーム送信装置、フレーム送受信システム及びフレーム送受信方法
US8966240B2 (en) * 2011-10-05 2015-02-24 Cisco Technology, Inc. Enabling packet handling information in the clear for MACSEC protected frames
US20130195119A1 (en) * 2011-10-14 2013-08-01 Qualcomm Incorporated Feedback channel for wireless display devices
US9094375B2 (en) * 2011-11-07 2015-07-28 Microsemi Communications, Inc. WAN transport of frames with MAC security
CN104012025B (zh) * 2011-11-07 2017-04-19 美高森美通信股份有限公司 时戳及mac安全性的物理层处理
US20150030029A1 (en) * 2012-03-26 2015-01-29 Parvez Syed Mohamed Frame Passing Based on Ethertype
US10257161B2 (en) * 2012-05-22 2019-04-09 Cisco Technology, Inc. Using neighbor discovery to create trust information for other applications
US9866475B2 (en) * 2012-06-15 2018-01-09 Citrix Systems, Inc. Systems and methods for forwarding traffic in a cluster network
WO2014021870A1 (en) * 2012-07-31 2014-02-06 Hewlett-Packard Development Company, L.P. Feature enablement or disablement determination based on discovery message
US9065780B2 (en) * 2012-09-18 2015-06-23 Cisco Technology, Inc. Low latency networking device using header prediction
US9258223B1 (en) * 2012-12-11 2016-02-09 Amazon Technologies, Inc. Packet routing in a network address translation network
CN103067199B (zh) * 2012-12-19 2015-11-25 华为技术有限公司 深度报文检测结果扩散方法及装置
US10091102B2 (en) * 2013-01-09 2018-10-02 Cisco Technology, Inc. Tunnel sub-interface using IP header field
US9391959B2 (en) * 2013-01-15 2016-07-12 Cisco Technology, Inc. Automated control plane for limited user destruction
US9043884B2 (en) * 2013-01-25 2015-05-26 Cisco Technology, Inc. Autonomic network protection based on neighbor discovery
US10397221B2 (en) * 2013-01-31 2019-08-27 Hewlett Packard Enterprise Development Lp Network controller provisioned MACsec keys
US9930066B2 (en) * 2013-02-12 2018-03-27 Nicira, Inc. Infrastructure level LAN security
US9154484B2 (en) * 2013-02-21 2015-10-06 Cisco Technology, Inc. Identity propagation
WO2014142985A1 (en) * 2013-03-15 2014-09-18 Hewlett-Packard Development Company, L.P. Emulate vlans using macsec
US9584387B1 (en) * 2013-03-15 2017-02-28 Google Inc. Systems and methods of sending a packet in a packet-switched network through a pre-determined path to monitor network health
WO2014143025A1 (en) * 2013-03-15 2014-09-18 Hewlett-Packard Development Company, L.P. Secure path determination between devices
US9025459B2 (en) * 2013-04-13 2015-05-05 Hei Tao Fung Network traffic load balancing
US9866339B1 (en) * 2013-10-24 2018-01-09 Marvell Israel (M.I.S.L) Ltd. Method and apparatus for securing clock synchronization in a network
US9306693B2 (en) * 2013-11-15 2016-04-05 Broadcom Corporation Time synchronization architecture in a network device
US9705693B1 (en) * 2013-12-10 2017-07-11 Marvell International Ltd. Provisioning using multicast traffic
US20150189365A1 (en) * 2013-12-26 2015-07-02 Thomson Licensing Method and apparatus for generating a recording index
EP2924934B1 (en) * 2014-03-28 2018-09-26 Airbus Operations GmbH Ethernet switch and method for establishing forwarding patterns in an ethernet switch
US10298481B1 (en) * 2014-04-29 2019-05-21 Marvell Israel (M.I.S.L) Ltd. Method and apparatus for testing VLAN
US10382228B2 (en) * 2014-06-26 2019-08-13 Avago Technologies International Sales Pte. Limited Protecting customer virtual local area network (VLAN) tag in carrier ethernet services
CN104125167A (zh) * 2014-07-24 2014-10-29 海信集团有限公司 一种流量控制方法和装置
US9497025B2 (en) * 2014-09-20 2016-11-15 Innovasic Inc. Ethernet interface module
US9667437B2 (en) * 2014-10-23 2017-05-30 Verizon Patent And Licensing Inc. Billing multiple packet flows associated with a client router
WO2016070947A1 (en) * 2014-11-05 2016-05-12 Telefonaktiebolaget L M Ericsson (Publ) Transmitting residence time information in a network
US9606781B2 (en) * 2014-11-14 2017-03-28 Cavium, Inc. Parser engine programming tool for programmable network devices
US9560018B2 (en) * 2014-12-08 2017-01-31 Cisco Technology, Inc. Autonomic locator/identifier separation protocol for secure hybrid cloud extension
US9571405B2 (en) * 2015-02-25 2017-02-14 Cisco Technology, Inc. Metadata augmentation in a service function chain
US9660909B2 (en) * 2014-12-11 2017-05-23 Cisco Technology, Inc. Network service header metadata for load balancing
US9503362B2 (en) * 2015-01-07 2016-11-22 Vmware, Inc. Reverse path maximum transmission unit (PMTU) discovery
US10069727B2 (en) * 2015-04-17 2018-09-04 International Business Machines Corporation Data packet retransmission processing
US9686186B2 (en) * 2015-04-22 2017-06-20 Cisco Technology, Inc. Traffic flow identifiers resistant to traffic analysis
US9893979B2 (en) * 2015-05-23 2018-02-13 Cisco Technology, Inc. Network topology discovery by resolving loops
US9773261B2 (en) * 2015-06-19 2017-09-26 Google Inc. Interactive content rendering application for low-bandwidth communication environments
CN111865906A (zh) * 2015-07-17 2020-10-30 华为技术有限公司 报文传输的方法、装置和系统

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114760093A (zh) * 2022-03-07 2022-07-15 新华三技术有限公司合肥分公司 通信方法及装置
CN114760093B (zh) * 2022-03-07 2024-02-09 新华三技术有限公司合肥分公司 通信方法及装置

Also Published As

Publication number Publication date
CN107580768A (zh) 2018-01-12
US10979428B2 (en) 2021-04-13
EP3316528B1 (en) 2021-06-30
WO2017011948A1 (zh) 2017-01-26
EP3316528A4 (en) 2018-06-13
US20210297414A1 (en) 2021-09-23
CN111865903A (zh) 2020-10-30
CN107580768B (zh) 2020-06-26
US20180145981A1 (en) 2018-05-24
US11716332B2 (en) 2023-08-01
EP3316528A1 (en) 2018-05-02

Similar Documents

Publication Publication Date Title
CN107580768B (zh) 报文传输的方法、装置和系统
CN107800602B (zh) 一种报文处理方法、设备及系统
US10880817B2 (en) Wi-fi configuration method, Wi-Fi mobile terminal, and Wi-Fi device
US9055430B2 (en) Rapid local address assignment for wireless communication networks
CN103580980A (zh) 虚拟网络自动发现和自动配置的方法及其装置
US11153207B2 (en) Data link layer-based communication method, device, and system
CN112583705B (zh) 混合网络的通信方法、设备和系统
CN103188351A (zh) IPv6 环境下IPSec VPN 通信业务处理方法与系统
US20210273915A1 (en) Multi-access interface for internet protocol security
EP3932044B1 (en) Automatic distribution of dynamic host configuration protocol (dhcp) keys via link layer discovery protocol (lldp)
US20220361261A1 (en) Method for connecting a communication node and communication node
CN107113295B (zh) 一种通信方法、装置和系统
CN108259292B (zh) 建立隧道的方法及装置
CN115664807B (zh) 一种ssl vpn转发方法、装置、系统及存储介质
CN112583688B (zh) 混合网络的通信方法和设备
EP1983715B1 (en) Wireless network configuration
Bjarnason RFC 8994: An Autonomic Control Plane (ACP)
CN117834753A (zh) 一种支持WireGuard设备的端口共用和IP绑定的系统和方法
Cui et al. Softwire Mesh Management Information Base (MIB)
Cui et al. RFC 7856: Softwire Mesh Management Information Base (MIB)

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination