通信方法及装置制造方法及图纸

本申请提供一种通信方法及装置，该方法包括：向第二网络设备发送第一MKPDU协议报文，该第一MKPDU协议报文包括第一扩展类型参数集，该第一扩展类型参数集包括第一灵活标签参数集，该第一灵活标签参数集包括无需加密的第一协议类型标识；接收第二网络设备发送的第二MKPDU协议报文；若第二MKPDU协议报文包括第二灵活标签参数集且第二灵活标签参数集包括的支持字段为第一值，则从第二灵活标签参数集中获取无需加密的第二协议类型标识；从第一协议类型标识与第二协议类型标识中，获取相同的第三协议类型标识；当数据帧报文包括承载第三协议类型标识的协议字段时，对承载第三协议类型标识的协议字段不进行加密操作。标识的协议字段不进行加密操作。标识的协议字段不进行加密操作。

【技术实现步骤摘要】
通信方法及装置


[0001]本申请涉及通信
，尤其涉及一种通信方法及装置。

技术介绍

[0002]通常人们认为跨越互联网(Internet)的链路或者跨广域网的链路是不安全的，采用对链路进行加密的方式可提高传输的安全性。
[0003]目前，普遍采用的加密技术为传统的互联网安全协议(英文：Internet Protocol Security，简称：IPsec)三层加密技术。但是，由于传统的IPsec技术缺少硬件资源，无法实现线速转发，不能满足用户要求。若使用外部专门的加密机来实现数据加密，一是成本太高，二是现在的网络设备的单端口吞吐能力高达10G级别或以上，加密机的性能也无法满足转发性能的要求。
[0004]媒体存取控制位址安全(英文：Media Access Control Security，简称：MACsec)定义了基于IEEE 802协议的局域网内数据安全通信方法，可为用户提供安全的MAC层数据发送和接收服务。例如，用户数据加密、数据帧完整性检查及数据源真实性校验，为用户提供加密数据的线速转发等等。
[0005]MACsec包括两部分功能实体：一个为MAC安全实体(SecY)，另一个为MAC安全密钥协商实体(英文：MAC Security Key Agreement Entity，简称：KaY)。SecY由驱动层面的硬件芯片实现。位于链路端口上分别为受控端口用户提供MAC安全转发服务，为非受控端口用户提供非安全服务。SecY使用KaY下发的安全关联密钥(英文：Secure Association Key，简称：SAK)来对通道发送的报文按SA进行加密，以及对安全通道接收的报文进行解密还原。同时在接收通道按每SA进行重播保护。
[0006]KaY由软件实现。负责密钥的生成和发布，发现和建立设备间的安全通道。在安全通道端到端间为SecY提供使用相同的SAK用于报文加密保护。KaY实体之间交互的MKPDU协议报文以Ethernet Type＝0x88
‑
8e(复用802.1x的报文类型，子类型为EAPOL_MKA)来区分于MACsec保护的数据帧报文(MACsec Frame)。
[0007]MACsec密钥协商(英文：MACsec Key Agreement，简称：MKA)会话中的密钥协商协议数据单元(英文：MACsec Key Agreement Protocol Data Unit，简称：MKPDU)或称之为MKPDU协议报文穿越广域网机理是：MKPDU基于802.1XEAPOL协议(英文：EAP over LANs，中文：局域网上的可扩展身份验证协议(英文：Extensible Authentication Protocol，简称：EAP))，是在任何情况下都不加密的普通二层协议报文，其在以太网(英文：Etherent，简称：ETH)头部后协议类型为888E，所以，在通过中间网络时相关协议的协议字段可以根据需要填写在其对应的位置。例如，虚拟局域网(英文：Virtual Local Area Network，简称：VLAN)的802.1Q协议字段就可直接填写在ETH头部后并在EAPOL协议头部前。综上，MKA会话中的MKPDU协议报文可穿越中间网络。
[0008]如图1所示，图1为现有包括802.1Q协议字段的MKPDU协议报文结构示意图。
[0009]MKA协商建立后，在MAC层传输数据帧报文时，通过物理硬件(PHY)按MKA会话协商
的加密算法对数据帧报文进行加密。如图2所示，图2为现有加密后的数据帧报文结构示意图。加密后的数据帧报文包括ETH头部以及MAC协议数据单元(英文：MAC Protocol Data Unit，简称：MPDU)部分。MPDU部分开始为MAC安全标签(英文：MAC Security TAG，简称：SecTAG)字段，协议类型为88E5。SecTAG字段后面为加密的数据报文，最后为完整性校验值(英文：Integrity Check Value，简称：ICV)。
[0010]在图2中，ETH头部之后的协议字段均进行了加密处理，例如，802.1Q协议字段等。数据帧报文发出后，对外显示的信息仅为目的MAC和源MAC信息，上述数据帧报文无法通过广域网络转发。
[0011]若要实现穿越中间的广域网络，必须在两台MACsec设备前各增加一个中间传输设备。而且，由于MACsec设备A发出的数据帧报文未携带任何协议信息，中间传输设备仅可从基于端口的VLAN ID(英文：Port
‑
base Vlan ID，简称：PVID)接收上述数据帧报文。中间传输设备在数据帧报文中标记vlan等协议标签。到达MACsec设备B前，由连接MACsec设备B的中间传输设备将协议标签删除后再转发至MACsec设备B，否则MACsec设备B解密的物理硬件无法对数据帧报文解密。
[0012]如此，MACsec协议的优势就被降低为类似加密机功能。使能MACsec协议的端口上已使能的其他协议均无法在有中间网络的情况下正常使用。MACsec协议也无法满足当前对跨越互联网的链路或者跨广域网的链路进行数据加密的需求。

技术实现思路

[0013]有鉴于此，本申请提供了一种通信方法及装置，用以解决MACsec协议加密的数据帧报文无法穿越中间网络的问题。
[0014]第一方面，本申请提供了一种通信方法，所述方法应用于第一网络设备，所述方法包括：
[0015]向第二网络设备发送第一MKPDU协议报文，所述第一MKPDU协议报文包括第一扩展类型参数集，所述第一扩展类型参数集包括第一灵活标签参数集，所述第一灵活标签参数集包括无需加密的第一协议类型标识；
[0016]接收所述第二网络设备发送的第二MKPDU协议报文；
[0017]若所述第二MKPDU协议报文包括第二灵活标签参数集且所述第二灵活标签参数集包括的支持字段为第一值，则从所述第二灵活标签参数集中获取无需加密的第二协议类型标识；
[0018]从所述第一协议类型标识与所述第二协议类型标识中，获取相同的第三协议类型标识；
[0019]当数据帧报文包括承载所述第三协议类型标识的协议字段时，对承载所述第三协议类型标识的协议字段不进行加密操作。
[0020]第二方面，本申请提供了一种通信装置，所述装置应用于应用于第一网络设备，所述方法包括：
[0021]发送单元，用于向第二网络设备发送第一MKPDU协议报文，所述第一MKPDU协议报文包括第一扩展类型参数集，所述第一扩展类型参数集包括第一灵活标签参数集，所述第一灵活标签参数集包括无需加密的第一协议类型标识；
[0022]接收单元，用于接收所述第二网络设备发送的第二MKPDU协议报文；
[0023]第一获取单元，用于若所述第二MKPDU协议报文包括第二灵活标签参数集且所述第二灵活标签参数集包括的支持字段为第一值，则从所述第二灵活标签参数集中获取无需加密的第二协议类本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种通信方法，其特征在于，所述方法应用于第一网络设备，所述方法包括：向第二网络设备发送第一MKPDU协议报文，所述第一MKPDU协议报文包括第一扩展类型参数集，所述第一扩展类型参数集包括第一灵活标签参数集，所述第一灵活标签参数集包括无需加密的第一协议类型标识；接收所述第二网络设备发送的第二MKPDU协议报文；若所述第二MKPDU协议报文包括第二灵活标签参数集且所述第二灵活标签参数集包括的支持字段为第一值，则从所述第二灵活标签参数集中获取无需加密的第二协议类型标识；从所述第一协议类型标识与所述第二协议类型标识中，获取相同的第三协议类型标识；当数据帧报文包括承载所述第三协议类型标识的协议字段时，对承载所述第三协议类型标识的协议字段不进行加密操作。2.根据权利要求1所述的方法，其特征在于，所述向第二网络设备发送第一MKPDU协议报文之前，所述方法还包括：接收用户输入的配置指令，所述配置指令包括数据帧报文中无需加密的协议字段，所述协议字段用于承载所述第一协议类型标识。3.根据权利要求1所述的方法，其特征在于，所述第一MKPDU协议报文包括第一报文体字段，所述第一报文体字段承载所述第一扩展类型参数集；所述第一扩展类型参数集包括第一类型字段以及第二报文体字段，当所述第一类型字段的值为第二值时，所述第二报文体字段承载所述第一灵活标签参数集；所述第一灵活标签参数集包括支持字段以及协议列表字段，当所述支持字段的值为所述第一值时，所述协议列表字段承载所述第一协议类型标识。4.根据权利要求1所述的方法，其特征在于，所述接收所述第二网络设备发送的第二MKPDU协议报文之后，所述方法还包括：若所述第二MKPDU协议报文未包括第二扩展类型参数集，则确定在进行MKA协商过程中不进行灵活标签参数集的协商。5.根据权利要求1所述的方法，其特征在于，所述接收所述第二网络设备发送的第二MKPDU协议报文之后，所述方法还包括：若所述第二MKPDU协议报文包括所述第二灵活标签参数集且所述第二灵活标签参数集包括的支持字段为第三值，则当所述数据帧报文包括承载所述第一协议类型标识的协议字段时，对承载所述第一协议类型标识的协议...

【专利技术属性】
技术研发人员：余华，
申请(专利权)人：北京华三通信技术有限公司，
类型：发明
国别省市：