【技术实现步骤摘要】
一种基于PSK进行MACSec通信的方法及装置
[0001]本申请要求于2020年7月25日提交中国专利局、申请号为202010740829.0、专利技术名称为“一种安全通信方法,装置和系统”的中国专利申请的优先权,其全部内容通过引用结合在本申请中。
[0002]本申请涉及安全
,尤其涉及一种基于预共享密钥(pre
‑
shared key,PSK)进行媒体接入控制安全(media access control security,MACSec)通信的方法及装置。
技术介绍
[0003]目前,当两个通信装置之间进行MACSec通信时,为了保证数据安全。可以利用 MACSec密钥对该两个通信装置之间交互的报文进行处理。
[0004]在一些实施例中,可以利用PSK派生得到MACSec密钥。例如,当第一通信装置和第二通信装置进行MACSec通信时,第一通信装置和第二通信装置中可以分别保存一个 PSK,并且,第一通信装置和第二通信装置保存的PSK相同。这样一来,第一通信装置和第二通信装置可以分别利...
【技术保护点】
【技术特征摘要】
1.一种基于预共享密钥PSK进行媒体接入控制安全MACSec通信的方法,其特征在于,由第一通信装置执行,所述方法包括:在第一PSK的老化周期内,基于所述第一PSK派生第一媒体接入控制安全MACSec密钥,所述第一PSK用于在所述第一PSK的老化周期内对所述第一通信装置和所述第二通信装置之间交互的报文进行处理;将所述第一PSK更新为第二PSK,所述第二PSK用于在所述第二PSK的老化周期内对所述第一通信装置和所述第二通信装置之间交互的报文进行处理;在所述第二PSK的老化周期内,基于所述第二PSK派生第二MACSec密钥。2.根据权利要求1所述的方法,其特征在于,所述将所述第一PSK更新为第二PSK,包括:在所述PSK的老化周期内接收第二通信装置发送的第一协议报文,所述第一协议报文中包括第一PSK密钥材料,所述第一PSK密钥材料用于生成所述第二PSK;根据所述第一PSK密钥材料得到所述第二PSK。3.根据权利要求1或2所述的方法,其特征在于,所述方法还包括:将所述第二PSK保存至所述第一通信装置的非易失存储区。4.根据权利要求1
‑
3任意一项所述的方法,其特征在于,所述利用所述第二PSK派生第二MACSec密钥,包括:将所述第二PSK作为安全连接关联密钥CAK派生所述第二MACSec密钥。5.根据权利要求1
‑
3任意一项所述的方法,其特征在于,所述利用所述第二PSK派生第二MACSec密钥,包括:根据所述第二PSK生成主会话密钥MSK;利用所述MSK派生安全连接关联密钥CAK;利用所述CAK派生所述第二MACSec密钥。6.根据权利要求2所述的方法,其特征在于,所述根据所述第一PSK密钥材料得到所述第二PSK,包括:根据所述第一PSK密钥材料和所述第一通信装置的第二PSK密钥材料,得到所述第二PSK。7.根据权利要求1
‑
6任意一项所述的方法,其特征在于,所述方法还包括:将第三PSK密钥材料发送给第二通信装置,以便于所述第二通信装置根据所述第三PSK密钥材料生成所述第二PSK。8.根据权利要求2所述的方法,其特征在于,所述根据所述第一PSK密钥材料得到所述第二PSK,包括:将所述第一PSK密钥材料确定为所述第二PSK。9.根据权利要求2所述的方法,其特征在于,所述根据所述第一PSK密钥材料得到所述第二PSK,包括:根据所述第一PSK密钥材料和第一密钥派生算法,得到所述第二PSK。10.根据权利要求9所述的方法,其特征在于,所述根据所述第一PSK密钥材料和第一密钥派生算法,生成所述第二PSK,包括:利用第一算法对所述第一PSK密钥材料进行计算,得到中间值;根据所述中间值和所述第一密钥派生算法,生成所述第二PSK。
11.根据权利要求2
‑
10任一项所述的方法,其特征在于,所述第一PSK密钥材料包括随机数。12.根据权利要求2
‑
11任意一项所述的方法,其特征在于,所述第一协议报文为基于PSK的扩展认证协议EAP
‑
PSK的报文。13.根据权利要求12所述的方法,其特征在于,所述第一协议报文包括扩展的类型长度值TLV字段,所述扩展的TLV字段包括所述第一PSK密钥材料。14.根据权利要求12或13所述的方法,其特征在于,在所述第一协议报文中,利用第一密钥加密所述第一PSK密钥材料。15.根据权利要求12
‑
14任意一项所述的方法,其特征在于,所述第一协议报文还包括第一完整性验证信息,所述第一完整性验证信息用于对所述第一协议报文进行完整性验证。16.根据权利要求15所述的方法,其特征在于,在所述根据所述第一PSK密钥材料得到所述第二PSK之前,所述方法还包括:根据所述第一完整性验证信息,对所述第一协议报文进行完整性验证。17.根据权利要求14
‑
16任意一项所述的方法,其特征在于,所述第一协议报文中携带所述第一密钥的标识,所述根据所述第一PSK密钥材料得到所述第二PSK,包括:根据所述第一密钥的标识确定所述第一密钥;利用所述第一密钥解密所述第一PSK密钥材料;根据解密得到的所述第一PSK密钥材料得到所述第二PSK。18.根据权利要求16所述的方法,其特征在于,所述第一协议报文包括第二密钥的标识,所述第二密钥的标识用于标识第二密钥,所述根据所述第一完整性验证信息,对所述第一协议报文进行完整性验证,包括:根据所述第二密钥的标识确定所述第二密钥;根据所述第二密钥和所述第一完整性验证信息对所述第一协议报文进行完整性验证。19.根据权利要求14
‑
16任意一项所述的方法,其特征在于,在接收所述第一协议报文之前,所述方法还包括:向所述第二通信装置发送第二协议报文,所述第二协议报文中携带第三密钥的标识,所述第三密钥的标识用于标识第三密钥,所述第三密钥用于派生所述第一密钥。20.根据权利要求15或16所述的方法,其特征在于,在接收所述第一协议报文之前,所述方法还包括:向所述第二通信装置发送第二协议报文,所述第二协议报文中携带第三密钥的标识,所述第三密钥的标识用于标识第三密钥,所述第三密钥用于派生第二密钥,所述第二密钥用于计算所述第一完整性验证信息。21.根据权利要求19或20所述的方法,其特征在于,所述第三密钥包括所述第一PSK。22.根据权利要求19
‑
21任意一项所述的方法,其特征在于,在向所述第二通信装置发送所述第二协议报文之前,所述方法还包括:接收来自于所述第二通信装置的第三协议报文,所述第三协议报文用于请求对所述第二通信装置进行身份认证。23.根据权利要求21所述的方法,其特征在于,所述第三协议报文中携带所述第三密钥
的标识。24.根据权利要求22或23所述的方法,其特征在于,所述第一协议报文中包括第一身份认证信息,所述第一身份认证信息用于对所述第二通信装置进行身份认证。25.根据权利要求24所述的方法,其特征在于,在所述第一协议报文中,通过所述第一密钥加密所述第一身份认证信息。26.根据权利要求24或25所述的方法,其特征在于,所述第一身份认证信息根据第四密钥对以下一项或者多项计算得到:所述第三协议报文的部分或者全部字段、所述第二协议报文的部分或者全部字段。27.根据权利要求24
‑
26任意一项所述的方法,其特征在于,所述方法还包括:利用所述第一身份认证信息对所述第二通信装置进行身份认证。28.根据权利要求27所述的方法,其特征在于,所述利用所述第一身份认证信息对所述第二通信装置进行身份认证,包括:利用所述第四密钥对目标字段进行计算,得到第三身份认证信息;将所述第三身份认证信息和所述第一协议报文中携带的所述第一身份认证信息进行匹配验证;其中,所述目标字段包括以下一项或者多项:所述第三协议报文的部分或者全部字段、所述第二协议报文的部分或者全部字段。29.根据权利要求28所述的方法,其特征在于,所述利用所述第四密钥对目标字段进行计算,得到第三身份认证信息,包括:利用所述第四密钥对所述目标字段进行计算,得到第一计算结果;利用所述第一密钥对所述第一计算结果进行加密,得到所述第三身份认证信息。30.根据权利要求26或28或29所述的方法,其特征在于,所述第四密钥由所述第三密钥派生得到。31.根据权利要求26或28或29所述的方法,其特征在于,所述第四密钥是所述第一通信装置和所述第二通信装置中存储的第三PSK派生得到的。32.根据权利要求31所述的方法,其特征在于,所述第二协议报文中携带所述第三PSK的标识,所述第三PSK的标识用于标识所述第三PSK。33.根据权利要求3
‑
32任意一项所述的方法,其特征在于,所述方法还包括:向所述第二通信装置发送第四协议报文,所述第四协议报文中携带第一指示信息,所述第一指示信息用于指示所述第一通信装置已保存所述第二PSK。34.根据权利要求33所述的方法,其特征在于,所述第四协议报文包括扩展的TLV字段,所述扩展的TLV字段包括所述第一指示信息。35.根据权利要求33或34所述的方法,其特征在于,所述第四协议报文中携带第二完整性验证信息,所述第二完整性验证信息用于对所述第四协议报文进行完整性验证。36.根据权利要求33
‑
35任意一项所述的方法,其特征在于,所述第四协议报文中包括第二身份认证信息,所述第二身份认证信息用于对所述第一通信装置进行身份认证。37.根据权利要求36所述的方法,其特征在于,在所述第四协议报文中,通过所述第一密钥加密所述第二身份认证信息。38.根据权利要求36或37所述的方法,其特征在于,所述第二身份认证信息根据第四密钥对以下一项或者多项计算得到:
所述第二协议报文中的部分或者全部字段、所述第三协议报文中的部分或者全部字段。39.根据权利要求33
‑
38任意一项所述的方法,其特征在于,所述方法还包括:接收来自于所述第二通信装置的第五协议报文,所述第五协议报文中携带身份认证结果和PSK更新结果。40.根据权利要求39所述的方法,其特征在于,所述方法还包括:若所述第五协议报文中的身份认证结果指示身份认证失败,或者,若所述第五协议报文中的PSK更新结果指示PSK更新失败,则删除所述第二PSK。41.根据权利要求39或40所述的方法,其特征在于,所述方法还包括:向所述第二通信装置发送第六协议报文,所述第六协议报文用于指示所述第一通信装置接收到了所述第五协议报文。42.根据权利要求39
‑
41任意一项所述的方法,其特征在于,所述方法还包括:对所述第五协议报文进行完整性验证。43.根据权利要求2
‑
42任意一项所述的方法,其特征在于,所述第一通信装置保存有第一数据密钥,所述第一协议报文中包括数据密钥材料,所述数据密钥材料用于生成第二数据密钥,所述第一数据密钥用于在所述第一数据密钥的老化周期内对所述第一通信装置和所述第二通信装置之间交互的数据报文进行处理,所述第二数据密钥用于在所述第二数据密钥的老化周期内对所述第一通信装置和所述第二通信装置之间交互的数据报文进行处理;所述方法还包括:根据所述数据密钥材料得到所述第二数据密钥。44.根据权利要求43所述的方法,其特征在于,所述第二数据密钥包括:完整性计算密钥,和/或,加密密钥,所述完整性计算密钥用于对数据报文进行完整性计算,所述加密密钥用于对数据报文进行加密。45.根据权利要求2
‑
44任意一项所述的方法,其特征在于,所述第一通信装置保存有第一认证密钥,所述第一协议报文中包括认证密钥材料,所述认证密钥材料用于生成第二认证密钥,所述第一认证密钥用于在所述第一认证密钥的老化周期内对所述第一通信装置和所述第二通信装置之间交互的身份认证报文进行处理,所述第二认证密钥用于在第二认证密钥的老化周期内对所述第一通信装置和所述第二通信装置之间交互的身份认证报文进行处理;所述方法还包括:根据所述认证密钥材料得到所述第二认证密钥。46.根据权利要求45所述的方法,其特征在于,所述第二认证密钥包括以下任意一项或者多项:完整性计算密钥、加密密钥、密钥派生密钥和身份认证密钥,所述完整性计算密钥用于对身份认证报文进行完整性计算,所述加密密钥用于对身份认证报文进行加密,所述密钥派生密钥用于派生其它密钥,所述身份认证密钥用于计算认证报文中的身份认证信息。47.根据权利要求12
‑
46所述的方法,其特征在于,用于派生所述第二MACSec密钥的CAK的标识,根据以下任意一项或者多项参数生成:所述第一通信装置生成的第一随机数、所述第二通信装置生成的第二随机数、以及所述第一协议报文的会话标识。
48.根据权利要求12至47任意一项所述的方法,其特征在于,所述第一协议报文包括:EAP头、EAP扩展头和关键字字段。49.根据权利要求48所述的方法,其特征在于,所述PSK密钥材料携带在所述关键字字段中。50.根据权利要求48或49所述的方法,其特征在于,所述关键字字段包括以下任意一个或者多个字段:协议版本号字段、会话标识字段、密钥标识字段、加密数据字段、随机数字段、身份标识字段和完整性验证字段。51.根据权利要求50所述的方法,其特征在于,所述关键字字段包括所述加密数据字段,所述第一PSK密钥材料携带在所述加密数据字段中。52.根据权利要求12
‑
51任意一项所述的方法,其特征在于,所述方法还包括:向所述第二通信装置发送第二指示信息,所述第二指示信息用于指示所述第一通信装置具备自动更新PSK的能力。53.根据权利要求2
‑
11任意一项所述的方法,其特征在于,所述第一协议报文为基于网络密钥交换协议IKE的报文。54.根据权利要求53所述的方法,其特征在于,所述第一PSK密钥材料携带在所述第一协议报文的载荷payload字段中。55.根据权利要求53或54所述的方法,其特征在于,所述第一PSK密钥材料携带在所述第一协议报文的通知notification payload字段中。56.根据权利要求53
‑
55任意一项所述的方法,其特征在于,所述第一PSK密钥材料携带在所述第一协议报文的扩展TLV字段中。57.根据权利要求53
‑
56任意一项所述的方法,其特征在于,所述方法还包括:向所述第二通信装置发送第三指示信息,所述第三指示信息用于指示所述第一通信装置具备自动更新PSK的能力。58.根据权利要求57所述的方法,其特征在于,所述第三指示信息携带在基于IKE协议的报文的notification payload字段中。59.根据权利要求57或58所述的方法,其特征在于,所述第三指示信息携带在所述基于IKE协议的报文的通知消息类型字段中,所述基于IKE协议的报文的notification payload字段包括所述通知消息类型字段。60.根据权利要求53
‑
59任意一项所述的方法,其特征在于,所述方法还包括:向所述第二通信装置发送第七协议报文,所述第七协议报文用于指示所述第一通信装置已保存所述第二PSK。61.根据权利要求60所述的方法,其特征在于,所述第七协议报文中包括第四指示信息,所述第四指示信息用于指示所述第一通信装置已保存所述第二PSK。62.根据权利要求61所述的方法,其特征在于,所述第七协议报文为基于IKE协议的报文,所述第四指示信息携带在所述第七协议报文的通知消息类型字段中。63.根据权利要求53
‑
62任意一项所述的方法,其特征在于,所述第一协议报文为认证交换AUTH exchange报文。64.根据权利要求53
‑
62任意一项所述的方法,其特征在于,所述第一协议报文为创建
子安全关联交换CREATE_CHILD_SA exchange报文。65.根据权利要求53
‑
62任意一项所述的方法,其特征在于,所述第一协议报文为通知交换INFORMATIONAL exchange报文。66.根据权利要求2
‑
11任意一项所述的方法,其特征在于,所述第一协议报文为基于媒体接入控制安全密钥协议MKA的报文。67.根据权利要求66所述的方法,其特征在于,所述第一PSK密钥材料,携带在所述第一协议报文的扩展参数集parameter set字段中。68.根据权利要求66或67任意一项所述的方法,其特征在于,所述方法还包括:向所述第二通信装置发送第五指示信息,所述第五指示信息用于指示所述第一通信装置具备自动更新PSK的能力。69.根据权利要求68所述的方法,其特征在于,所述第五指示信息携带在基于MKA的报文的parameter set字段中。70.根据权利要求69所述的方法,其特征在于,所述第五指示信息携带在所述基于MKA的报文的parameter set类型字段中,所述parameter set字段包括parameter set类型字段。71.根据权利要求66
‑
70任意一项所述的方法,其特征在于,所述方法还包括:向所述第二通信装置发送第八协议报文,所述第八协议报文用于指示所述第一通信装置已保存所述第二PSK。72.根据权利要求71所述的方法,其特征在于,所述第八协议报文中包括第六指示信息,所述第六指示信息用于指示所述第一通信装置已保存所述第二PSK。73.根据权利要求72所述的方法,其特征在于,所述第八协议报文为基于MKA的报文,所述第六指示信息携带在所述基于MKA的报文的parameter set类型字段中。74.根据权利要求1
‑
73任意一项所述的方法,其特征在于,所述第一通信装置为车载装置。75.根据权利要求1
‑
74任意一项所述的方法,其特征在于,所述第二通信装置为车载装置。76.一种基于预共享密钥PSK进行媒体接入控制安全MACSec通信的方法,其特征在于,由第二通信装置执行,所述方法包括:获取第一PSK密钥材料,所述第一PSK密钥材料用于指示第一通信装置生成第二PSK,所述第一PSK用于在第一PSK的老化周期内对所述第一通信装置和所述第二通信装置之间交互的报文进行处理,所述第二PSK用于在第二PSK的老化周期内对所述第一通信装置和所述第二通信装置之间交互的报文进行处理;在所述第一PSK的老化周期内向所述第一通信装置发送第一协议报文,所述第一协议报文中包括所述第一PSK密钥材料。77.根据权利要求76所述的方法,其特征在于,所述方法还包括:保存所述第一PSK密钥材料。78.根据权利要求76所述的方法,其特征在于,所述方法还包括:接收所述第一通信装置发送的第三PSK密钥材料;根据所述第三PSK密钥材料获得所述第二PSK。
79.根据权利要求76或77所述的方法,其特征在于,所述方法还包括:根据所述第一PSK密钥材料得到所述第二PSK。80.根据权利要求79所述的方法,其特征在于,所述根据所...
【专利技术属性】
技术研发人员:盛德,胡中华,张舒,王静怡,张浩,
申请(专利权)人:华为技术有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。