CN115037504A - 通信方法及装置 - Google Patents
通信方法及装置 Download PDFInfo
- Publication number
- CN115037504A CN115037504A CN202210397454.1A CN202210397454A CN115037504A CN 115037504 A CN115037504 A CN 115037504A CN 202210397454 A CN202210397454 A CN 202210397454A CN 115037504 A CN115037504 A CN 115037504A
- Authority
- CN
- China
- Prior art keywords
- algorithm
- mkpdu
- network device
- sak
- parameter set
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0435—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply symmetric encryption, i.e. same key used for encryption and decryption
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/162—Implementing security features at a particular protocol layer at the data link layer
Abstract
本申请提供一种通信方法及装置,该方法包括:根据国密算法,生成当前SAK;利用当前SAK,创建SA;当在本地已安装第一接收SA后,向第二网络设备发送第一MKPDU协议报文,该第一MKPDU协议报文包括第一扩展类型参数集以及第二扩展类型参数集,第一扩展类型参数集包括国密算法的算法标识,第二扩展类型参数集包括当前SAK;当在预设时间内接收到第二网络设备发送的第二MKPDU协议报文且第二MKPDU协议报文指示第二网络设备已安装第二接收SA时,在本地安装第一发送SA;向第二网络设备发送第三MKPDU协议报文,该第三MKPDU协议报文用于使第二网络设备在本地安装第二发送SA。
Description
技术领域
本申请涉及通信技术领域,尤其涉及一种通信方法及装置。
背景技术
媒体存取控制位址安全(英文:Media Access Control Security,简称:MACsec)定义了基于IEEE 802协议的局域网内数据安全通信方法,可为用户提供安全的 MAC层数据发送和接收服务。例如,用户数据加密、数据帧完整性检查及数据源真实性校验,为用户提供加密数据的线速转发等等。
MACsec包括两部分功能实体:一个为MAC安全实体(SecY),另一个为 MAC安全密钥协商主体(KaY)。SecY由驱动层面的硬件芯片实现。位于链路端口上分别为受控端口用户提供MAC安全转发服务,为非受控端口用户提供非安全服务。SecY使用KaY下发的SAK密钥来对通道发送的报文按安全集(英文: Secure Association,简称:SA)进行加密,以及对安全通道接收的报文进行解密还原。同时在接收通道按每SA进行重播保护。
KaY由软件实现。负责密钥的生成和发布,发现和建立设备间的安全通道。在安全通道端到端间为SecY提供使用相同的SAK用于报文加密保护。KaY实体之间交互的MKPDU协议报文以Ethernet Type=0x88-8e(复用802.1x的报文类型,子类型为EAPOL_MKA)来区分于MACsec保护的数据报文(MACsec Frame)。
目前,MACsec IEEE802.1X-2020协议支持的加密套件包括GCM-AES-128, GCM-AES-256,GCM-AES-XPN-128,GCM-AES-XPN-256四种对称加密算法。在IEEE 文档中声明,仅可实现上述协议规定的加密套件,无法实现其他的加密套件。
国密算法是我国自主研发创新的一套数据加密处理系列算法。从SM1至 SM4分别实现了对称、非对称、摘要等算法功能。国密算法适合应用于嵌入式物联网等相关领域,完成身份认证和数据加解密等功能。
但是,由于MACsec协议文档中已声明仅可实现MACsec协议支持的四种对称加密套件,而无法实现其他的加密套件,例如,国密算法,具有一定的局限性;并且,密码算法是保障信息安全的核心技术,为增强国有数据通信设备的安全性,如何将国密算法应用在MACsec协议中是现在亟待解决的问题。
发明内容
有鉴于此,本申请提供了一种通信方法及装置,用以解决现有MACsec协议无法支持国密算法的问题。
第一方面,本申请提供了一种通信方法,所述方法应用于第一网络设备,所述第一网络设备支持国密算法,所述第一网络设备已生成原始SAK,所述原始 SAK用于对发送或者接收的报文进行加解密处理,所述方法包括:
根据所述国密算法,生成当前SAK;
利用所述当前SAK,创建SA,所述SA包括第一接收SA以及第一发送SA;
当在本地已安装所述第一接收SA后,向第二网络设备发送第一MKPDU协议报文,所述第一MKPDU协议报文包括第一扩展类型参数集以及第二扩展类型参数集,所述第一扩展类型参数集包括所述国密算法的算法标识,所述第二扩展类型参数集包括所述当前SAK;
当在预设时间内接收到所述第二网络设备发送的第二MKPDU协议报文且所述第二MKPDU协议报文指示所述第二网络设备已安装第二接收SA时,在本地安装所述第一发送SA;
向所述第二网络设备发送第三MKPDU协议报文,所述第三MKPDU协议报文用于使所述第二网络设备确定所述第一网络设备已安装所述第一接收SA以及所述第一发送SA,并在本地安装第二发送SA。
第二方面,本申请提供了一种通信装置,所述装置应用于应用于第一网络设备,所述第一网络设备支持国密算法,所述第一网络设备已生成原始SAK,所述原始SAK用于对发送或者接收的报文进行加解密处理,所述装置包括:生成单元、创建单元、安装单元、发送单元、接收单元;
所述生成单元,用于根据所述国密算法,生成当前SAK;
所述创建单元,用于利用所述当前SAK,创建SA,所述SA包括第一接收 SA以及第一发送SA;
所述发送单元,用于当所述安装单元在本地已安装所述第一接收SA后,向第二网络设备发送第一MKPDU协议报文,所述第一MKPDU协议报文包括第一扩展类型参数集以及第二扩展类型参数集,所述第一扩展类型参数集包括所述国密算法的算法标识,所述第二扩展类型参数集包括所述当前SAK;
所述安装单元,用于当所述接收单元在预设时间内接收到所述第二网络设备发送的第二MKPDU协议报文且所述第二MKPDU协议报文指示所述第二网络设备已安装第二接收SA时,在本地安装所述第一发送SA;
所述发送单元还用于,向所述第二网络设备发送第三MKPDU协议报文,所述第三MKPDU协议报文用于使所述第二网络设备确定所述第一网络设备已安装所述第一接收SA以及所述第一发送SA,并在本地安装第二发送SA。
第三方面,本申请提供了一种网络设备,包括处理器和机器可读存储介质,机器可读存储介质存储有能够被处理器执行的机器可执行指令,处理器被机器可执行指令促使执行本申请第一方面所提供的方法。
因此,通过应用本申请提供的通信方法及装置,第一网络设备根据国密算法,生成当前SAK;利用当前SAK,第一网络设备创建SA,SA包括第一接收SA 以及第一发送SA;当在本地已安装第一接收SA后,第一网络设备向第二网络设备发送第一MKPDU协议报文,该第一MKPDU协议报文包括第一扩展类型参数集以及第二扩展类型参数集,第一扩展类型参数集包括国密算法的算法标识,第二扩展类型参数集包括当前SAK;当在预设时间内接收到第二网络设备发送的第二MKPDU协议报文且第二MKPDU协议报文指示第二网络设备已安装第二接收SA时,第一网络设备在本地安装第一发送SA;第一网络设备向第二网络设备发送第三MKPDU协议报文,该第三MKPDU协议报文用于使第二网络设备确定第一网络设备已安装第一接收SA以及第一发送SA,并在本地安装第二发送SA。
如此,通过将国密算法的算法标识携带在扩展类型参数集中,使得在进行 MKA协商的过程中,对是否支持国密算法进行协商。若两端设备均支持国密算法,则各自根据利用国密算法生成的SAK,在本地创建SA。在后续发送数据帧报文时,利用SAK进行加解密操作。解决了现有MACsec协议无法支持国密算法的问题。实现了MACsec协议支持国密算法,增强国有数据通信设备的安全性。
附图说明
图1为本申请实施例提供的通信方法的流程图;
图2为本申请实施例提供的EAPOL报文结构示意图;
图3为本申请实施例提供的MKPDU协议报文包括多个参数集结构示意图;
图4为本申请实施例提供的第一扩展类型参数集结构示意图;
图5为本申请实施例提供的通信装置结构图;
图6为本申请实施例提供的网络设备硬件结构体。
具体实施方式
这里将详细地对示例性实施例进行说明,其示例表示在附图中。下面的描述涉及附图时,除非另有表示,不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施例并不代表与本申请相一致的所有实施例。相反,它们仅是与如所附权利要求书中所详述的、本申请的一些方面相一致的装置和方法的例子。
在本申请使用的术语是仅仅出于描述特定实施例的目的,而非旨在限制本申请。在本申请和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式,除非上下文清楚地表示其他含义。还应当理解,本文中使用的术语“和/或”是指并包含一个或多个相对应的列出项目的任何或所有可能组合。
应当理解,尽管在本申请可能采用术语第一、第二、第三等来描述各种信息,但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如,在不脱离本申请范围的情况下,第一信息也可以被称为第二信息,类似地,第二信息也可以被称为第一信息。取决于语境,如在此所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。
下面对本申请实施例提供的通信方法进行详细地说明。参见图1,图1为本申请实施例提供的通信方法的流程图。该方法应用于第一网络设备。本申请实施例提供的通信方法可包括如下所示步骤。
步骤110、根据所述国密算法,生成当前SAK。
具体地,第一网络设备与第二网络设备建立MKA会话,并在MKA会话上进行MKA协商。
根据第一网络设备、第二网络设备各自的优先级,分别配置第一网络设备、第二网络设备在MKA协商中的角色。例如,根据优先级进行配置时,将优先级高的配置为keyserver端,将优先级低的配置为key client端。在本申请实施例中,第一网络设备的优先级高于第二网络设备,则第一网络设备为key server端,第二网络设备为key client端。
第一网络设备作为key server端,根据本地的配置,采用指定的国密算法 GCM-SM1、或者GCM-SM4-DRAFT、或者GCM-SM4-STANDARD生成当前SAK。
可以理解的是,第一网络设备采用国密算法生成当前SAK可参照现有生成 SAK的方式进行,在此不再复述。
可选地,在本步骤之前,还包括第一网络设备接收用户输入的配置指令的步骤。
进一步地,用户通过向第一网络设备输入命令行的方式,向第一网络设备下发配置指令。该配置指令包括指定支持的算法的算法标识,上述指定支持的算法包括国密算法或者MACsec协议已支持的算法。
例如,命令行具体为:macsec cipher-suite[gcm-sm1|gcm-sm4-draft| gcm-sm4-standard]
或者,命令行具体为macsec cipher-suite[gcm-aes-128|gcm-aes-256| gcm-sm1|gcm-sm4-draft|gcm-sm4-standard]
其中,在本申请实施例中,可指定加密算法使用国密对称算法SM1,SM4 (如上述首个命令行)。由于SM4算法的版本存在差异,网络设备作为发起方与其他厂家的网络设备进行MKA协商时,需要通过上述配置指令指定SM4算法版本,保证两端网络设备使用相同版本的SM4算法进行协商,协商通过后按指定的加密算法对报文进行加解密。
步骤120、利用所述当前SAK,创建SA,所述SA包括第一接收SA以及第一发送SA。
具体地,根据步骤110的描述,第一网络设备生成当前SAK后,利用当前 SAK创建SA。该SA包括第一接收SA以及第一发送SA。
第一网络设备创建第一接收SA以及第一发送SA后,首先在本地安装第一接收SA。
可以理解的是,第一网络设备在本地安装第一接收SA可参照现有安装接收 SA的方式进行,在此不再复述。
步骤130、当在本地已安装所述第一接收SA后,向第二网络设备发送第一密钥协商协议报文(英文:MACsec Key Agreement Protocol Data Unit,简称: MKPDU)协议报文,所述第一MKPDU协议报文包括第一扩展类型参数集以及第二扩展类型参数集,所述第一扩展类型参数集包括所述国密算法的算法标识,所述第二扩展类型参数集包括所述当前SAK。
具体地,根据步骤120的描述,当第一网络设备在本地已安装第一接收SA 后,第一网络设备生成第一MKPDU协议报文。该第一MKPDU协议报文包括第一扩展类型参数集以及第二扩展类型参数集。
其中,第一扩展类型参数集包括国密算法的算法标识,第二扩展类型参数集包括当前SAK。国密算法的算法标识包括SM1算法的算法标识(GCM-SM1)、或者,SM4草案算法的算法标识(GCM-SM4-DRAFT)、或者,SM4标准算法的算法标识(GCM-SM4-STANDARD)。
第一网络设备生成第一MKPDU协议报文后,向第二网络设备发送第一 MKPDU协议报文。第二网络设备接收第一MKPDU协议报文后,分别从第一扩展类型参数集、第二扩展类型参数集中获取国密算法的算法标识以及当前SAK。
进一步地,下面对第一MKPDU协议报文的报文格式进行详细说明。
第一网络设备生成可扩展身份验证协议报文(英文:Extensible AuthenticationProtocol,简称:EAP协议报文),并通过局域网上的EAP(英文: EAP over LANs,简称:EAPOL)技术对EAP协议进行封装处理,得到EAPOL报文。 EAPOL技术是802.1X协议定义的一种承载EAP协议报文的封装技术,主要用于在局域网中传送客户端和服务端之间的EAP协议报文。
如图2所示,图2为本申请实施例提供的EAPOL报文结构示意图。在图2 中,EAPOL报文包括协议版本(Protocol Version)字段、报文类型(Packet Type) 字段、报文体长度(Packet Body Length)字段以及报文体(Packet Body)字段 (该报文体字段可称之为第一报文体字段)。
其中,当Packet Type字段的值为0000 0101时,表征EAPOL报文为MKPDU 协议报文。也即是,第一MKPDU协议报文包括的Packet Type字段的值为0000 0101。
每个MKPDU协议报文包括多个参数集,多个参数集携带在报文体(Packet Body)字段中。各参数集的使用标准由MACsec密钥协议在IEEE802.1X-2010第 9条中指定,该条款指定各参数集的编码。
如图3所示,图3为本申请实施例提供的MKPDU协议报文包括多个参数集结构示意图。在图3中,第一个参数集为基本参数集(Basic Parameter Set),其始终存在,基本参数集后面可伴随着0个或更多个参数集,最后为ICV字段。
在本申请实施例中,第一网络设备利用基本参数集后的第一扩展参数集携带国密算法的算法标识,利用第二扩展参数集携带当前SAK。
其中,第一扩展参数集可具体为Distributed SAK参数集,第二扩展参数集可具体为MACsec SAK Use参数集。上述两个参数集均为现有参数集,各自包括的字段均为现有字段。MACsec SAK Use参数集携带当前SAK可具体参考现有携带当前SAK的方式,在此不再复述。
下面针对Distributed SAK参数集携带国密算法的算法标识进行说明。如图4 所示,图4为本申请实施例提供的第一扩展类型参数集结构示意图。在图4中,第一扩展类型参数集包括参数集类型(Parameter Set Type)字段(该参数集类型字段的值为4)、Distributed A Na字段、Confidentiality offset字段、Parameter set body length字段、Parameter set body length(cont)字段、Key Number字段、 MACsec密码套件(MACsecCipher Suite)字段以及AES key wrap of sak as specified in 9.8字段。
其中,MACsec密码套件字段用于承载网络设备支持的密码套件参考号。目前,MACsec协议支持的密码套件号以及本申请实施例新增的密码套件号如下表所示。
表1密码套件号
| 加密算法 | 加密套件 | 定义协议 |
| GCM-AES-128 | 00-80-c2-00-01-00-00-01 | 802.1AE 2006 |
| GCM-AES-256 | 00-80-c2-00-01-00-00-02 | 802.1AEbn 2011 |
| GCM-AES-XPN-128 | 00-80-c2-00-01-00-00-03 | 802.1AEbw 2013 |
| GCM-AES-XPN-256 | 00-80-c2-00-01-00-00-04 | 802.1AEbw 2013 |
| GCM-SM1 | 50-98-B8-00-01-00-00-01 | |
| GCM-SM4-DRAFT | 50-98-B8-00-01-00-00-02 | |
| GCM-SM4-STANDARD | 50-98-B8-00-01-00-00-03 |
其中,00-80-c2代表IEEE 802.1Working Group(standards-oui.ieee.org)的OUI,00-01-00-00-01定义的加密算法为GCM-AES-128。
本申请实施例中,新增的密码套件参考号为:50-98-B8-00-01-00-00-01至 50-98-B8-00-01-00-00-03。50-98-B8代表设备厂商;01-00-00-01代表加密套件为 GCM-SM1;01-00-00-02代表加密套件为GCM-SM4-DRAFT;01-00-00-03代表加密套件为GCM-SM4-STANDARD。
步骤140、当在预设时间内接收到所述第二网络设备发送的第二MKPDU协议报文且所述第二MKPDU协议报文指示所述第二网络设备已安装第二接收SA 时,在本地安装所述第一发送SA。
具体地,根据步骤130的描述,第一网络设备向第二网络设备发送第一 MKPDU协议报文。第二网络设备接收到第一MKPDU协议报文后,先从第一报文体字段中获取第一扩展类型参数集以及第二扩展类型参数集。然后,第二网络设备从第一扩展类型参数集中获取第一网络设备支持的国密算法的算法标识,从第二扩展类型参数集中获取当前SAK。
第二网络设备根据本地配置以及支持的算法,识别自身是否支持与第一网络设备匹配的国密算法。若支持,则根据当前SAK,创建SA。该SA包括第二接收SA以及第二发送SA。第二网络设备创建第二接收SA以及第二发送SA后,在本地安装第二接收SA。
第二网络设备安装第二接收SA后,生成第二MKPDU协议报文。该第二 MKPDU协议报文包括第二扩展类型参数集,也即是MACsec SAK Use参数集。 MACsec SAK Use参数集包括RX字段。第二网络设备将RX字段置位,以此表示第二网络设备已安装第二接收SA。
第二网络设备向第一网络设备发送第二MKPDU协议报文。第一网络设备接收到第二MKPDU协议报文后,先从第一报文体字段中获取第二扩展类型参数集,即MACsec SAK Use参数集。根据MACsec SAK Use参数集包括RX字段的值,确定第二网络设备已安装第二接收SA。
第一网络设备在本地安装第一发送SA。
可选地,若第二网络设备不支持国密算法,则第二网络设备即使获取当前 SAK,也无法创建SA。如此,第二网络设备也无法安装第二接收SA。第二网络设备将RX字段不置位,以此表示第二网络设备未安装第二接收SA。
第二网络设备向第一网络设备发送第二MKPDU协议报文。第一网络设备接收到第二MKPDU协议报文后,先从第一报文体字段中获取第二扩展类型参数集,即MACsec SAK Use参数集。根据MACsec SAK Use参数集包括RX字段的值,确定第二网络设备未安装第二接收SA。
第一网络设备确定与第二网络设备之间的MACsec会话协商失败。第一网络设备将本地与第二网络设备之间建立MACsec会话的端口设置为link down状态,不再向第二网络设备转发协议报文、数据帧报文。
可选地,第一网络设备向第二网络设备发送第一MKPDU协议报文后,在本地启动一个定时器。该定时器的预设时间可具体为6s,并等待第二网络设备发送的第二MKPDU协议报文。
步骤150、向所述第二网络设备发送第三MKPDU协议报文,所述第三MKPDU 协议报文用于使所述第二网络设备确定所述第一网络设备已安装所述第一接收 SA以及所述第一发送SA,并在本地安装第二发送SA。
具体地,根据步骤140的描述,第一网络设备在本地安装第一发送SA后,生成第三MKPDU协议报文。该第三MKPDU协议报文包括第二扩展类型参数集,也即是MACsec SAK Use参数集。MACsec SAK Use参数集包括RX字段以及TX字段。第一网络设备将RX字段、TX字段置位,以此表示第一网络设备已安装第一接收SA以及第一发送SA。
第一网络设备向第二网络设备发送第三MKPDU协议报文。
第二网络设备接收到第一MKPDU协议报文后,先从第一报文体字段中获取第二扩展类型参数集,即MACsec SAK Use参数集。根据MACsec SAK Use参数集包括RX字段、TX字段的值,确定第一网络设备已安装第一接收SA以及第一发送SA。
第二网络设备在本地安装第二发送SA。
如此,两端网络设备均根据当前SAK,创建SA,并均已在本地完成接收SA、发送SA的安装。SA安全会话建立完毕,两端网络设备可开始利用国密算法对相互往来的数据帧报文进行加解密操作。
因此,通过应用本申请提供的通信方法,第一网络设备根据国密算法,生成当前SAK;利用当前SAK,第一网络设备创建SA,SA包括第一接收SA以及第一发送SA;当在本地已安装第一接收SA后,第一网络设备向第二网络设备发送第一MKPDU协议报文,该第一MKPDU协议报文包括第一扩展类型参数集以及第二扩展类型参数集,第一扩展类型参数集包括国密算法的算法标识,第二扩展类型参数集包括当前SAK;当在预设时间内接收到第二网络设备发送的第二 MKPDU协议报文且第二MKPDU协议报文指示第二网络设备已安装第二接收SA时,第一网络设备在本地安装第一发送SA;第一网络设备向第二网络设备发送第三MKPDU协议报文,该第三MKPDU协议报文用于使第二网络设备确定第一网络设备已安装第一接收SA以及第一发送SA,并在本地安装第二发送SA。
如此,通过将国密算法的算法标识携带在扩展类型参数集中,使得在进行 MKA协商的过程中,对是否支持国密算法进行协商。若两端设备均支持国密算法,则各自根据利用国密算法生成的SAK,在本地创建SA。在后续发送数据帧报文时,利用SAK进行加解密操作。解决了现有MACsec协议无法支持国密算法的问题。实现了MACsec协议支持国密算法,增强国有数据通信设备的安全性。
可选地,在本申请实施例步骤130之后,还启动第一定时器,在第一定时器的预设时间内,第一网络设备禁止生成SAK,防止频繁刷新。该第一定时器的预设时间可具体为6s。
可选地,在本申请实施例中,第一网络设备向第二网络设备发送第三MKPDU 协议报文后,第一网络设备还启动第二定时器。当第二定时器的预设时间到达后,第一网络设备将原始SAK删除,以使得后续发送或者接收数据帧报文时,第一网络设备使用当前SAK进行加解密处理。
该第二定时器的预设时间可具体为3s,用于延后删除原始SAK(可以理解的是,SA安全会话建立完毕之前,两端网络设备均使用原始SAK对收发的数据帧报文进行加解密处理)。
基于同一发明构思,本申请实施例还提供了与通信方法对应的通信装置。参见图5,图5为本申请实施例提供的通信装置,所述装置应用于第一网络设备,所述第一网络设备支持国密算法,所述第一网络设备已生成原始SAK,所述原始 SAK用于对发送或者接收的报文进行加解密处理,所述装置包括:生成单元510、创建单元520、安装单元530、发送单元540、接收单元550;
所述生成单元510,用于根据所述国密算法,生成当前SAK;
所述创建单元520,用于利用所述当前SAK,创建SA,所述SA包括第一接收SA以及第一发送SA;
所述发送单元540,用于当所述安装单元530在本地已安装所述第一接收SA后,向第二网络设备发送第一MKPDU协议报文,所述第一MKPDU协议报文包括第一扩展类型参数集以及第二扩展类型参数集,所述第一扩展类型参数集包括所述国密算法的算法标识,所述第二扩展类型参数集包括所述当前SAK;
所述安装单元530,用于当所述接收单元550在预设时间内接收到所述第二网络设备发送的第二MKPDU协议报文且所述第二MKPDU协议报文指示所述第二网络设备已安装第二接收SA时,在本地安装所述第一发送SA;
所述发送单元540还用于,向所述第二网络设备发送第三MKPDU协议报文,所述第三MKPDU协议报文用于使所述第二网络设备确定所述第一网络设备已安装所述第一接收SA以及所述第一发送SA,并在本地安装第二发送SA。
可选地,所述装置还包括:启动单元(图中未示出),用于启动第一定时器,在所述第一定时器的预设时间内,禁止生成SAK。
可选地,所述第一MKPDU协议报文包括报文体字段,所述报文体字段承载所述第一扩展类型参数集以及所述第二扩展类型参数集;所述第一扩展类型参数集包括MACsec密码套件字段,所述MACsec密码套件字段承载所述国密算法的算法标识;
所述国密算法的算法标识包括SM1算法的算法标识、或者,SM4草案算法的算法标识、或者,SM4标准算法的算法标识。
可选地,所述接收单元550还用于,接收用户输入的配置指令,所述配置指令包括指定支持的算法的算法标识,所述指定支持的算法包括所述国密算法或者MACsec协议已支持的算法。
可选地,所述启动单元(图中未示出)还用于,启动第二定时器;
所述装置还包括:删除单元(图中未示出),用于当所述第二定时器的预设时间到达后,将原始SAK删除,以使得再次发送或者接收报文时,使用所述当前SAK进行加解密处理。
可选地,所述装置还包括:确定单元(图中未示出),用于当所述接收单元在预设时间内接收到所述第二网络设备发送的第二MKPDU协议报文且所述第二MKPDU协议报文指示所述第二网络设备未安装第二接收SA时,确定与所述第二网络设备之间的MACsec会话协商失败;
设置单元(图中未示出),用于将本地与所述第二网络设备之间建立所述 MACsec会话的端口设置为link down状态。
因此,通过应用本申请提供的通信装置,第一网络设备根据国密算法,生成当前SAK;利用当前SAK,第一网络设备创建SA,SA包括第一接收SA以及第一发送SA;当在本地已安装第一接收SA后,第一网络设备向第二网络设备发送第一MKPDU协议报文,该第一MKPDU协议报文包括第一扩展类型参数集以及第二扩展类型参数集,第一扩展类型参数集包括国密算法的算法标识,第二扩展类型参数集包括当前SAK;当在预设时间内接收到第二网络设备发送的第二 MKPDU协议报文且第二MKPDU协议报文指示第二网络设备已安装第二接收SA时,第一网络设备在本地安装第一发送SA;第一网络设备向第二网络设备发送第三MKPDU协议报文,该第三MKPDU协议报文用于使第二网络设备确定第一网络设备已安装第一接收SA以及第一发送SA,并在本地安装第二发送SA。
如此,通过将国密算法的算法标识携带在扩展类型参数集中,使得在进行 MKA协商的过程中,对是否支持国密算法进行协商。若两端设备均支持国密算法,则各自根据利用国密算法生成的SAK,在本地创建SA。在后续发送数据帧报文时,利用SAK进行加解密操作。解决了现有MACsec协议无法支持国密算法的问题。实现了MACsec协议支持国密算法,增强国有数据通信设备的安全性。
基于同一发明构思,本申请实施例还提供了一种网络设备,如图6所示,包括处理器610、收发器620和机器可读存储介质630,机器可读存储介质630 存储有能够被处理器610执行的机器可执行指令,处理器610被机器可执行指令促使执行本申请实施例所提供的通信方法。前述图5所示的通信装置,可采用如图6所示的网络设备硬件结构实现。
上述计算机可读存储介质630可以包括随机存取存储器(英文:Random AccessMemory,简称:RAM),也可以包括非易失性存储器(英文:Non-volatile Memory,简称:NVM),例如至少一个磁盘存储器。可选的,计算机可读存储介质630还可以是至少一个位于远离前述处理器610的存储装置。
上述处理器610可以是通用处理器,包括中央处理器(英文:Central ProcessingUnit,简称:CPU)、网络处理器(英文:Network Processor,简称: NP)等;还可以是数字信号处理器(英文:Digital Signal Processor,简称:DSP)、专用集成电路(英文:ApplicationSpecific Integrated Circuit,简称:ASIC)、现场可编程门阵列(英文:Field-Programmable Gate Array,简称:FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。
本申请实施例中,处理器610通过读取机器可读存储介质630中存储的机器可执行指令,被机器可执行指令促使能够实现处理器610自身以及调用收发器620执行前述本申请实施例描述的通信方法。
另外,本申请实施例提供了一种机器可读存储介质630,机器可读存储介质 630存储有机器可执行指令,在被处理器610调用和执行时,机器可执行指令促使处理器610自身以及调用收发器620执行前述本申请实施例描述的通信方法。
上述装置中各个单元的功能和作用的实现过程具体详见上述方法中对应步骤的实现过程,在此不再赘述。
对于装置实施例而言,由于其基本对应于方法实施例,所以相关之处参见方法实施例的部分说明即可。以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本申请方案的目的。本领域普通技术人员在不付出创造性劳动的情况下,即可以理解并实施。
对于通信装置以及机器可读存储介质实施例而言,由于其涉及的方法内容基本相似于前述的方法实施例,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
以上所述仅为本申请的较佳实施例而已,并不用以限制本申请,凡在本申请的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本申请保护的范围之内。
Claims (12)
1.一种通信方法,其特征在于,所述方法应用于第一网络设备,所述第一网络设备支持国密算法,所述第一网络设备已生成原始SAK,所述原始SAK用于对发送或者接收的报文进行加解密处理,所述方法包括:
根据所述国密算法,生成当前SAK;
利用所述当前SAK,创建SA,所述SA包括第一接收SA以及第一发送SA;
当在本地已安装所述第一接收SA后,向第二网络设备发送第一MKPDU协议报文,所述第一MKPDU协议报文包括第一扩展类型参数集以及第二扩展类型参数集,所述第一扩展类型参数集包括所述国密算法的算法标识,所述第二扩展类型参数集包括所述当前SAK;
当在预设时间内接收到所述第二网络设备发送的第二MKPDU协议报文且所述第二MKPDU协议报文指示所述第二网络设备已安装第二接收SA时,在本地安装所述第一发送SA;
向所述第二网络设备发送第三MKPDU协议报文,所述第三MKPDU协议报文用于使所述第二网络设备确定所述第一网络设备已安装所述第一接收SA以及所述第一发送SA,并在本地安装第二发送SA。
2.根据权利要求1所述的方法,其特征在于,所述向第二网络设备发送第一MKPDU协议报文之后,所述方法还包括:
启动第一定时器,在所述第一定时器的预设时间内,禁止生成SAK。
3.根据权利要求1所述的方法,其特征在于,所述第一MKPDU协议报文包括报文体字段,所述报文体字段承载所述第一扩展类型参数集以及所述第二扩展类型参数集;所述第一扩展类型参数集包括MACsec密码套件字段,所述MACsec密码套件字段承载所述国密算法的算法标识;
所述国密算法的算法标识包括SM1算法的算法标识、或者,SM4草案算法的算法标识、或者,SM4标准算法的算法标识。
4.根据权利要求1所述的方法,其特征在于,所述根据所述国密算法,生成当前SAK之前,所述方法还包括:
接收用户输入的配置指令,所述配置指令包括指定支持的算法的算法标识,所述指定支持的算法包括所述国密算法或者MACsec协议已支持的算法。
5.根据权利要求1所述的方法,其特征在于,所述方法还包括:
启动第二定时器;
当所述第二定时器的预设时间到达后,将原始SAK删除,以使得再次发送或者接收报文时,使用所述当前SAK进行加解密处理。
6.根据权利要求1所述的方法,其特征在于,所述方法还包括:
当在预设时间内接收到所述第二网络设备发送的第二MKPDU协议报文且所述第二MKPDU协议报文指示所述第二网络设备未安装第二接收SA时,确定与所述第二网络设备之间的MACsec会话协商失败;
将本地与所述第二网络设备之间建立所述MACsec会话的端口设置为link down状态。
7.一种通信装置,其特征在于,所述装置应用于第一网络设备,所述第一网络设备支持国密算法,所述第一网络设备已生成原始SAK,所述原始SAK用于对发送或者接收的报文进行加解密处理,所述装置包括:生成单元、创建单元、安装单元、发送单元、接收单元;
所述生成单元,用于根据所述国密算法,生成当前SAK;
所述创建单元,用于利用所述当前SAK,创建SA,所述SA包括第一接收SA以及第一发送SA;
所述发送单元,用于当所述安装单元在本地已安装所述第一接收SA后,向第二网络设备发送第一MKPDU协议报文,所述第一MKPDU协议报文包括第一扩展类型参数集以及第二扩展类型参数集,所述第一扩展类型参数集包括所述国密算法的算法标识,所述第二扩展类型参数集包括所述当前SAK;
所述安装单元,用于当所述接收单元在预设时间内接收到所述第二网络设备发送的第二MKPDU协议报文且所述第二MKPDU协议报文指示所述第二网络设备已安装第二接收SA时,在本地安装所述第一发送SA;
所述发送单元还用于,向所述第二网络设备发送第三MKPDU协议报文,所述第三MKPDU协议报文用于使所述第二网络设备确定所述第一网络设备已安装所述第一接收SA以及所述第一发送SA,并在本地安装第二发送SA。
8.根据权利要求7所述的装置,其特征在于,所述装置还包括:
启动单元,用于启动第一定时器,在所述第一定时器的预设时间内,禁止生成SAK。
9.根据权利要求7所述的装置,其特征在于,所述第一MKPDU协议报文包括报文体字段,所述报文体字段承载所述第一扩展类型参数集以及所述第二扩展类型参数集;所述第一扩展类型参数集包括MACsec密码套件字段,所述MACsec密码套件字段承载所述国密算法的算法标识;
所述国密算法的算法标识包括SM1算法的算法标识、或者,SM4草案算法的算法标识、或者,SM4标准算法的算法标识。
10.根据权利要求7所述的装置,其特征在于,所述接收单元还用于,接收用户输入的配置指令,所述配置指令包括指定支持的算法的算法标识,所述指定支持的算法包括所述国密算法或者MACsec协议已支持的算法。
11.根据权利要求8所述的装置,其特征在于,所述启动单元还用于,启动第二定时器;
所述装置还包括:删除单元,用于当所述第二定时器的预设时间到达后,将原始SAK删除,以使得再次发送或者接收报文时,使用所述当前SAK进行加解密处理。
12.根据权利要求7所述的装置,其特征在于,所述装置还包括:
确定单元,用于当所述接收单元在预设时间内接收到所述第二网络设备发送的第二MKPDU协议报文且所述第二MKPDU协议报文指示所述第二网络设备未安装第二接收SA时,确定与所述第二网络设备之间的MACsec会话协商失败;
设置单元,用于将本地与所述第二网络设备之间建立所述MACsec会话的端口设置为link down状态。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210397454.1A CN115037504A (zh) | 2022-04-15 | 2022-04-15 | 通信方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210397454.1A CN115037504A (zh) | 2022-04-15 | 2022-04-15 | 通信方法及装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN115037504A true CN115037504A (zh) | 2022-09-09 |
Family
ID=83120095
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202210397454.1A Pending CN115037504A (zh) | 2022-04-15 | 2022-04-15 | 通信方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN115037504A (zh) |
-
2022
- 2022-04-15 CN CN202210397454.1A patent/CN115037504A/zh active Pending
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CA2662841C (en) | Method and system for secure processing of authentication key material in an ad hoc wireless network | |
| TWI388180B (zh) | 通信系統中之金鑰產生 | |
| JP4649513B2 (ja) | 無線携帯インターネットシステムの認証方法及び関連キー生成方法 | |
| CN102036230B (zh) | 本地路由业务的实现方法、基站及系统 | |
| CN110999359A (zh) | 通过非接入层的安全短消息服务 | |
| JP2011139457A (ja) | 無線通信装置とサーバとの間でデータを安全にトランザクション処理する方法及びシステム | |
| KR20080077006A (ko) | 관리 프레임 보호 장치 및 방법 | |
| WO2007111710A2 (en) | Method and apparatus for providing a key for secure communications | |
| JP2018532325A (ja) | ユーザ機器ueのアクセス方法、アクセスデバイス、およびアクセスシステム | |
| US20100161958A1 (en) | Device for Realizing Security Function in Mac of Portable Internet System and Authentication Method Using the Device | |
| JP2012518302A (ja) | 非暗号化ネットワーク動作解決策 | |
| US9872175B2 (en) | Packet processing method, apparatus, and system | |
| WO2020133543A1 (zh) | 通信方法和相关产品 | |
| US20170078288A1 (en) | Method for accessing communications network by terminal, apparatus, and communications system | |
| EP4068683A1 (en) | Communication method, and related product | |
| US20090136043A1 (en) | Method and apparatus for performing key management and key distribution in wireless networks | |
| WO2018076298A1 (zh) | 一种安全能力协商方法及相关设备 | |
| CN109428868B (zh) | 对OSPFv3进行加密的方法、加密装置、加密设备及存储介质 | |
| JP4071774B2 (ja) | 無線ネットワークにおける暗号鍵の配送方法および子機 | |
| KR100599199B1 (ko) | 무선 랜(lan) 보안 시스템에서의 무선 장치의 암호 키생성 시스템 | |
| WO2014117524A1 (zh) | Wlan接入网络中传递成对主密钥的方法和系统 | |
| CN115037504A (zh) | 通信方法及装置 | |
| WO2021236078A1 (en) | Simplified method for onboarding and authentication of identities for network access | |
| CN114760093B (zh) | 通信方法及装置 | |
| CN114567478A (zh) | 通信方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |