【技术实现步骤摘要】
通信方法及装置
[0001]本申请涉及通信
,尤其涉及一种通信方法及装置。
技术介绍
[0002]媒体存取控制位址安全(英文:Media Access Control Security,简称:MACsec)定义了基于IEEE 802协议的局域网内数据安全通信方法,可为用户提供安全的MAC层数据发送和接收服务。例如,用户数据加密、数据帧完整性检查及数据源真实性校验,未用户提供加密数据的线速转发等等。
[0003]在实际应用中,例如,密钥服务端(key server)确定需要启用MACsec保护服务时,生成安全关联密钥(英文:Secure Association Key,简称:SAK),并与非密钥服务端(例如,密钥客户端(key client))建立MACsec密钥协商(英文:MACsec Key Agreement,简称:MKA)会话。通过MKA会话告知密钥客户端SAK,以使得密钥服务段与密钥客户端在后续收发数据报文时,使用相同SAK为收发的报文提供保护。
[0004]其中,在通过MKA会话告知密钥客户端SAK时,密钥服务端通过AES算法对SAK进行加密操作。密钥服务端生成密钥协商协议数据单元(英文:MACsec Key Agreement Protocol Data Unit,简称:MKPDU)或称之为MKPDU协议报文,该MKPDU包括SAK分发参数集,在SAK分发参数集内存储加密后的SAK。密钥客户端接收到MKPDU后,从SAK分发参数集内获取加密后的SAK,并利用AES算法对加密后的SAK ...
【技术保护点】
【技术特征摘要】
1.一种通信方法,其特征在于,所述方法应用于第一网络设备,所述方法包括:向第二网络设备发送第一MKPDU协议报文,所述第一MKPDU协议报文包括第一扩展类型参数集,所述第一扩展类型参数集包括第一类型字段,所述第一类型字段的值为第一值;接收所述第二网络设备根据所述第一值发送的第二MKPDU协议报文;若所述第二MKPDU协议报文包括第二扩展类型参数集,且所述第二扩展类型参数集包括的第二类型字段为所述第一值,则与所述第二网络设备协商建立第一隧道,所述第一隧道为加密隧道;在所述第一隧道内,与所述第二网络设备进行MKA协商,并通过所述MKA协商交互加密的SKA。2.根据权利要求1所述的方法,其特征在于,所述向第二网络设备发送第一MKPDU协议报文之前,所述方法还包括:接收用户输入的配置指令,所述配置指令包括MKA协商策略,所述MKA协商策略用于使所述第一网络设备与所述第二网络设备建立所述第一隧道,并在所述第一隧道内进行所述MKA协商。3.根据权利要求1所述的方法,其特征在于,所述向第二网络设备发送第一MKPDU协议报文之前,所述方法还包括:生成EAP协议报文;基于EAPOL协议,对所述EAP报文进行封装处理,得到EAPOL报文,所述EAPOL报文包括EAPOL头部以及第一报文体字段,所述EAPOL头部包括EAPOL报文类型字段,所述EAPOL报文类型字段的值为第二值,所述第二值用以标识所述EAPOL报文为MKPDU协议报文,所述第一报文体字段包括所述第一扩展类型参数集,所述第一扩展类型参数集包括第一参数集类型字段以及第二报文体字段,所述第一参数集类型字段的值为第三值,所述第三值用于表示所述第一网络设备支持所述第一扩展类型参数集,当所述第一类型字段的值为所述第一值时,所述第二报文体字段用于承载所述EAP协议报文。4.根据权利要求1所述的方法,其特征在于,所述方法还包括:若所述第二MKPDU协议报文未包括所述第二扩展类型参数集,则确定不与所述第二网络设备协商建立所述第一隧道。5.根据权利要求1所述的方法,其特征在于,所述第二扩展类型参数集还包括所述第二网络设备支持的加密算法列表以及所述第二网络设备产生的第一随机数;所述与所述第二网络设备协商建立第一隧道,具体包括:从所述第二网络设备支持的加密算法列表中,获取所述第一网络设备支持的第一加密算法;向所述第二网络设备发送第三MKPDU协议报文,所述第三MKPDU协议报文包括所述第一加密算法的标识、服务端证书,所述服务端证书包括公钥;接收所述第二网络设备发送的第四MKPDU协议报文,所述第四MKPDU协议报文包括客户端密钥交换以及隧道属性,所述客户端密钥交换信息为当所述服务端证书合法时,所述第二网络设备基于所述第一加密算法的标识对应的所述第一加密算法以及公钥对产生的随机密码串进行加密操作后得到;当所述隧道属性表征所述第二网络设备本端隧道已准备完成时,基于所述服务端证书
对应的私钥对所述加密信息进行解密,获取所述第二网络设备产生的所述随机密码串;对所述随机密码串、所述第一随机数以及所述第一网络设备产生的第二随机数进行运算处理,生成加密密钥、加密初始化向量和校验密钥;建立所述第一隧道。6.根据权利要求5所述的方法,其特征在于,所述第三MKPDU协议报文还包括第二随机数,所述第二随机数用于使所述第二网络设备对所述随机密码串、所述第一随机数以及所述第二随机数进行运算处理,生成所述加密密钥、加密初始化向量和校...
【专利技术属性】
技术研发人员:余华,
申请(专利权)人:新华三技术有限公司合肥分公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。