报文传输的方法、装置和系统制造方法及图纸

本发明专利技术实施例涉及报文传输的方法、装置和系统。该方法包括第一网络设备根据MACSec协议，与第二网络设备建立MACSec通道；该第一网络设备通过该MACSec通道，向该第二网络设备发送ACP报文，该ACP报文承载在MACSec帧中，该MACSec帧的帧头中携带了用于标识该ACP报文的识别信息。本发明专利技术实施例的报文传输的方法、装置和系统，根据MACSec协议，自组织网络中的相邻节点之间建立MACSec通道，通过该MACSec通道，相邻节点之间传输并处理ACP报文，从而不需要在接口上同时配置可路由的接口地址和用于建立IPSec的链路本地地址，为ACP提供的MACSec安全机制，不需要使用L3隧道，进而提高了效率。

Method, device and system of message transmission

【技术实现步骤摘要】
报文传输的方法、装置和系统本申请是向中国知识产权局提交的申请日为2015年07月17日、申请号为201580001609.3、专利技术名称为“报文传输的方法、装置和系统”的申请的分案申请。
本专利技术涉及通信领域，尤其涉及报文传输的方法、装置和系统。
技术介绍
自组织网络支持自管理，可以减少管理员的干预，提升网络的自动化程度，从而减轻网络管理的工作，方便新业务的部署，减少配置失误概率，降低运营费用(OperatingExpense，简称“OPEX”)。自组织网络的一个重要的方面是设备可以“即插即用”，支持自举，自配置，其中的一个关键技术是自动控制平面(AutonomicControlPlane，简称“ACP”)的建立，它的特点是无需管理员参与，这个控制平面自动产生，自动生长(新设备自动加入)；端到端的连接建立完全“零接触(zero-touch)”，而且ACP不受管理员的错误配置的影响，实现信息安全交互。现有方案中ACP的建立依赖于IPv6，而现网中大部分设备支持IPv4，开发基于IPv4的ACP将拥有更好的现网兼容性，可以减少部署障碍。如果考虑采用类似于IPv6的链路本地地址(link-local-IP)(169.254.0.0/16)来建立安全隧道，基于IPv4建立具有IPSec通道的ACP时，需要使用IPv4链路本地地址，但是与IPv6不同的是，请求注解RFC(RequestForComments)3927建议仅在没有可路由的IPv4接口地址时才使用IPv4链路本地地址，因此通常此时没有对应于IPv6中的link-local-IP的三层隧道可用，无法建立基于IPv4的具有IPSec通道的ACP。
技术实现思路
本专利技术提供了一种报文传输的方法、装置和系统，能够提高效率。第一方面，提供了一种报文传输的方法，应用在自组织网络中，该方法包括：第一网络设备根据介质访问控制安全MACSec协议，与第二网络设备建立MACSec通道；该第一网络设备通过该MACSec通道，向该第二网络设备发送自组织控制平面ACP报文，该ACP报文承载在MACSec帧中，该MACSec帧的帧头中携带了用于标识该ACP报文的识别信息。结合第一方面，在第一方面的一种实现方式中，该识别信息携带在该MACSec帧的帧头中的以太网类型字段中，该以太网类型字段用于指示该MACSec帧用于承载该ACP报文。结合第一方面及其上述实现方式，在第一方面的另一种实现方式中，该识别信息携带在该MACSec帧的帧头中的标志位字段中，该标识位字段为新增字段或版本字段。结合第一方面及其上述实现方式，在第一方面的另一种实现方式中，该识别信息携带在该MACSec帧的帧头中的MAC地址字段中。第二方面，提供了一种报文传输的方法，应用在自组织网络中，该方法包括：第二网络设备根据介质访问控制安全MACSec协议，与第一网络设备建立MACSec通道；该第二网络设备通过该MACSec通道，接收该第一网络设备发送的MACSec帧；该第二网络设备根据该MACSec帧的帧头中携带的用于标识自组织控制平面ACP报文的识别信息，确定该ACP报文。结合第二方面，在第二方面的一种实现方式中，该识别信息携带在该MACSec帧的帧头中的以太网类型字段中，该以太网类型字段用于指示该MACSec帧用于承载该ACP报文。结合第二方面及其上述实现方式，在第二方面的另一种实现方式中，该识别信息携带在该MACSec帧的帧头中的标志位字段中，该标识位字段为新增字段或版本字段。结合第二方面及其上述实现方式，在第二方面的另一种实现方式中，该识别信息携带在该MACSec帧的帧头中的MAC地址字段中。第三方面，提供了一种用于报文传输的第一网络设备，应用在自组织网络中，该第一网络设备包括：建立模块，用于该第一网络设备根据介质访问控制安全MACSec协议，与第二网络设备建立MACSec通道；发送模块，用于该第一网络设备通过该建立模块建立的该MACSec通道，向该第二网络设备发送自组织控制平面ACP报文，该ACP报文承载在MACSec帧中，该MACSec帧的帧头中携带了用于标识该ACP报文的识别信息。结合第三方面，在第三方面的一种实现方式中，该识别信息携带在该MACSec帧的帧头中的以太网类型字段中，该以太网类型字段用于指示该MACSec帧用于承载该ACP报文。结合第三方面及其上述实现方式，在第三方面的另一种实现方式中，该识别信息携带在该MACSec帧的帧头中的标志位字段中，该标识位字段为新增字段或版本字段。结合第三方面及其上述实现方式，在第三方面的另一种实现方式中，该识别信息携带在该MACSec帧的帧头中的MAC地址字段中。第四方面，提供了一种用于报文传输的第二网络设备，应用在自组织网络中，该第二网络设备包括：建立模块，用于该第二网络设备根据介质访问控制安全MACSec协议，与第一网络设备建立MACSec通道；接收模块，用于该第二网络设备通过该建立模块建立的该MACSec通道，接收该第一网络设备发送的MACSec帧；确定模块，用于该第二网络设备根据该接收模块接收的该MACSec帧的帧头中携带的用于标识自组织控制平面ACP报文的识别信息，确定该ACP报文。结合第四方面，在第四方面的一种实现方式中，该识别信息携带在该MACSec帧的帧头中的以太网类型字段中，该以太网类型字段用于指示该MACSec帧用于承载该ACP报文。结合第四方面及其上述实现方式，在第四方面的另一种实现方式中，该识别信息携带在该MACSec帧的帧头中的标志位字段中，该标识位字段为新增字段或版本字段。结合第四方面及其上述实现方式，在第四方面的另一种实现方式中，该识别信息携带在该MACSec帧的帧头中的MAC地址字段中。第五方面，提供了一种用于报文传输的系统，应用在自组织网络中，该系统包括：上述的第一网络设备和第二网络设备，该第一网络设备根据介质访问控制安全MACSec协议，与该第二网络设备建立MACSec通道；通过该MACSec通道，该第一网络设备向该第二网络设备发送自组织控制平面ACP报文，该ACP报文承载在MACSec帧中，该MACSec帧的帧头中携带了用于标识该ACP报文的识别信息；该第二网络设备接收该MACSec帧；该第二网络设备根据该MACSec帧的帧头中携带的用于标识自组织控制平面ACP报文的识别信息，确定该ACP报文。基于上述技术方案，本专利技术实施例的报文传输的方法、装置和系统，根据MACSec协议，自组织网络中的第一网络设备和第二网络设备之间建立MACSec通道，通过该MACSec通道，第一网络设备与第二网络设备之间可以传输MACSec帧，该MACSec帧的帧头中携带了识别信息，可以根据该识别信息表示ACP报文，从而不需要在接口上同时配置可路由的接口地址和用于建立IPSec的链路本地地址，而是根据MACSec协议，为ACP提供MACSec安全机制，不需要使用L3隧道，进而提高了效率。并且，可以通过识别信息区分MAC本文档来自技高网...

【技术保护点】
1.一种报文传输的方法，应用在自组织网络中，其特征在于，所述方法包括：/n第一网络设备根据介质访问控制安全MACSec协议，与第二网络设备建立MACSec通道；/n所述第一网络设备通过所述MACSec通道，向所述第二网络设备发送自组织控制平面ACP报文，所述ACP报文承载在MACSec帧中；/n在所述第一网络设备根据MACSec协议，与第二网络设备建立MACSec通道之前，所述方法还包括：/n所述第一网络设备接收来自所述第二网络设备的邻居发现AD消息，所述AD消息包括所述第二网络设备的唯一设备标识UDI；/n所述第一网络设备比较所述第一网络设备的UDI白名单与所述第二网络设备的UDI；/n如果所述第二网络设备的UDI属于所述第一网络设备的UDI白名单，所述第一网络设备向所述第二网络设备发送域证书；/n基于所述域证书，所述第一网络设备与所述第二网络设备相互认证；/n在所述认证成功后，所述第一网络设备基于所述认证中生成的密钥与所述第二网络设备协商出报文加密密钥。/n

【技术特征摘要】
1.一种报文传输的方法，应用在自组织网络中，其特征在于，所述方法包括：
第一网络设备根据介质访问控制安全MACSec协议，与第二网络设备建立MACSec通道；
所述第一网络设备通过所述MACSec通道，向所述第二网络设备发送自组织控制平面ACP报文，所述ACP报文承载在MACSec帧中；
在所述第一网络设备根据MACSec协议，与第二网络设备建立MACSec通道之前，所述方法还包括：
所述第一网络设备接收来自所述第二网络设备的邻居发现AD消息，所述AD消息包括所述第二网络设备的唯一设备标识UDI；
所述第一网络设备比较所述第一网络设备的UDI白名单与所述第二网络设备的UDI；
如果所述第二网络设备的UDI属于所述第一网络设备的UDI白名单，所述第一网络设备向所述第二网络设备发送域证书；
基于所述域证书，所述第一网络设备与所述第二网络设备相互认证；
在所述认证成功后，所述第一网络设备基于所述认证中生成的密钥与所述第二网络设备协商出报文加密密钥。


2.根据权利要求1所述的方法，其特征在于，所述MACSec帧的帧头中携带了用于标识所述ACP报文的识别信息。


3.根据权利要求2所述的方法，其特征在于，所述识别信息携带在所述MACSec帧的帧头中的以太网类型字段中，所述以太网类型字段用于指示所述MACSec帧用于承载所述ACP报文。


4.根据权利要求2所述的方法，其特征在于，所述识别信息携带在所述MACSec帧的帧头中的标志位字段中，所述标识位字段为新增字段或版本字段。


5.根据权利要求2所述的方法，其特征在于，所述识别信息携带在所述MACSec帧的帧头中的MAC地址字段中。


6.一种报文传输的方法，应用在自组织网络中，其特征在于，所述方法包括：
第二网络设备根据介质访问控制安全MACSec协议，与第一网络设备建立MACSec通道；
所述第二网络设备通过所述MACSec通道，接收所述第一网络设备发送的MACSec帧，所述MACSec帧用于承载自组织控制平面ACP报文；
在所述第二网络设备根据介质访问控制安全MACSec协议，与第一网络设备建立MACSec通道之前，所述方法还包括：
所述第二网络设备向所述第一网络设备发送邻居发现AD消息，所述AD消息包括所述第二网络设备的唯一设备标识UDI；和
所述第二网络设备根据所述第二网络设备的UDI从所述第一网络设备接收域证书。


7.根据权利要求6所述的方法，其特征在于，所述方法还包括：
所述第二网络设备根据所述MACSec帧的帧头中携带的用于标识所述ACP报文的识别信息，确定所述ACP报文。


8.根据权利要求7所述的方法，其特征在于，所述识别信息携带在所述MACSec帧的帧头中的以太网类型字段中，所述以太网类型字段用于指示所述MACSec帧用于承载所述ACP报文。


9.根据权利要求7所述的方法，其特征在于，所述识别信息携带在所述MACSec帧的帧头中的标志位字段中，所述标识位字段为新增字段或版本字段。


10.根据权利要求7所述的方法，其特征在于，所述识别信息携带在所述MACSec帧的帧头中的MAC地址字段中。


11.一种用于报文传输的第一网络设备，应用在自组织网络中，其特征在于，所述第一网络设备包括：
建立模块，用于所述第一网络设备根据介质访问控制安全MACSec协议，与第二网络设备建立MACSec通道；
发送模块，用于所述第一网络设备通过所述建立模块建立的所述MACSec通道，向所述第二网络设备发送自组织控制平面ACP报文，所述A...

【专利技术属性】
技术研发人员：杜宗鹏，蒋胜，刘冰，
申请(专利权)人：华为技术有限公司，
类型：发明
国别省市：广东;44