[发明专利]组安全连接联合密钥CAK的分发方法及装置

说明书

本发明公开了一种组安全连接联合密钥CAK的分发方法及装置，该方法包括：密钥服务器将组CAK报文分发至组CA的成员；密钥服务器判断是否在预定时间内接收到来自成员的保活报文；如果是，则密钥服务器将成员加入组CA成员列表。该发明的运用，解决了相关技术中未给出如何确认组CAK是否分发成功的问题，进而可以确认组CAK是否分发成功，提升了系统性能。

技术领域

本发明涉及通信领域，具体而言，涉及一种组安全连接联合密钥CAK的分发方法及装置。

背景技术

目前，随着网络在社会上的广泛应用，用户对于网络的可靠性也提出了越来越高的要求。为了应对用户对网络可靠性的高要求，各种应对网络外部威胁的网络安全措施也越来越多。随着以太网的快速发展，对于网络内部的安全需求也与日俱增，基于此媒体接入控制安全(Media Access Control security，简称为MACsec)协议被开发并应用于局域网的数据保护。MACsec协议通过提供逐跳的安全性，对接入网络的终端的通信进行保护。由于MACsec协议只提供了对数据进行封装和加密的框架，它还需要其它协议来提供密钥管理、成员认证和授权等功能，因此MACsec密钥协商(MACsec Key Agreement protocol，简称为MKA)协议被制定出来，以满足MACsec协议对密钥的相关需求。IEEE 802.1X协议通过认证提供了基于端口的接入控制，而MKA协议则是该协议的一个扩展，其协议报文是扩展了类型的EAPoL(Extensible Authentication Protocol over LANs，基于局域网的扩展认证协议)报文，通过MKA协议报文的交互来发现MACsec成员并协商MACsec密钥。

为更好的理解现有技术，现对本发明中涉及到的MACsec与MKA协议作简要介绍。

MACsec协议与MKA协议一起提供对二层数据的保护，如图1所示，网络设备A、B、C之间通过互相认证和授权创建了一个安全连接联合(secure Connectivity Association，简称为CA)，设备D不属于该CA。设备A、B、C之间使用相同的密钥安全联合密钥(SecureAssociationKey，简称为SAK)来完成数据通信，设备D虽然不在CA内，但仍可在共享网段内实现数据的收发，但由于设备D不拥有SAK，因此它的数据对A、B、C不会造成危害，如此CA内的成员设备A、B、C之间的数据通信的机密性和完整性得到了保护。

在上述描述中，MACsec协议负责使用密钥SAK完成对收发的数据进行加解密的控制，MKA协议负责发现CA内的成员，并通过协议交互生成密钥SAK，以提供给MACsec使用。CA使用安全连接联合密钥(secure Connectivity Association Key，简称为CAK)来标识，一个CA内的所有成员拥有相同的CAK。

图2描述的是一个典型的点到点的用户接入环境来描述MACsec协议与MKA协议运行的过程。如图2所示，终端设备与接入设备的一个端口直接相连，终端设备作为请求者，接入设备作为认证者，另外指定一个设备作为认证服务器。当请求者通过802.1X协议报文完成与认证者之间的认证会话后，此时请求者可以访问网络，此时请求者收发的数据如图中虚线所示，为不加密数据，该数据在局域网内容易受到攻击。当在请求者与认证者之间开启MACsec功能后，MKA会根据成功认证后生成的认证数据在请求者与认证者上都生成相同的pairwiseCAK(简称为成对CAK)，此后认证者的MKA协议实体MACsec密钥协商实体(MACSecurityKey Agreement Entity，简称为KaY)就作为密钥服务器生成一个密钥SAK，并通过协议报文将该密钥分发至请求者一端的KaY，如此请求者与认证者均拥有相同的密钥，就可以对数据进行加密通信了。