通信方法及装置制造方法及图纸

本申请提供一种通信方法及装置，所述方法应用于第一网络设备，所述方法包括：向第二网络设备发送第一MKPDU协议报文，所述第一MKPDU协议报文包括第一扩展类型参数集，所述第一扩展类型参数集包括第一类型字段，所述第一类型字段的值为第一值；接收所述第二网络设备根据所述第一值发送的第二MKPDU协议报文；若所述第二MKPDU协议报文包括第二扩展类型参数集，且所述第二扩展类型参数集包括的第二类型字段为所述第一值，则与所述第二网络设备协商建立第一隧道，所述第一隧道为加密隧道；在所述第一隧道内，与所述第二网络设备进行MKA协商，并通过所述MKA协商交互加密的SKA。并通过所述MKA协商交互加密的SKA。并通过所述MKA协商交互加密的SKA。

【技术实现步骤摘要】
通信方法及装置


[0001]本申请涉及通信
，尤其涉及一种通信方法及装置。

技术介绍

[0002]媒体存取控制位址安全(英文：Media Access Control Security，简称：MACsec)定义了基于IEEE 802协议的局域网内数据安全通信方法，可为用户提供安全的MAC层数据发送和接收服务。例如，用户数据加密、数据帧完整性检查及数据源真实性校验，未用户提供加密数据的线速转发等等。
[0003]在实际应用中，例如，密钥服务端(key server)确定需要启用MACsec保护服务时，生成安全关联密钥(英文：Secure Association Key，简称：SAK)，并与非密钥服务端(例如，密钥客户端(key client))建立MACsec密钥协商(英文：MACsec Key Agreement，简称：MKA)会话。通过MKA会话告知密钥客户端SAK，以使得密钥服务段与密钥客户端在后续收发数据报文时，使用相同SAK为收发的报文提供保护。
[0004]其中，在通过MKA会话告知密钥客户端SAK时，密钥服务端通过AES算法对SAK进行加密操作。密钥服务端生成密钥协商协议数据单元(英文：MACsec Key Agreement Protocol Data Unit，简称：MKPDU)或称之为MKPDU协议报文，该MKPDU包括SAK分发参数集，在SAK分发参数集内存储加密后的SAK。密钥客户端接收到MKPDU后，从SAK分发参数集内获取加密后的SAK，并利用AES算法对加密后的SAK进行解密，得到SAK。
[0005]但是，如果在密钥服务端发送MKPDU的过程，存在“中间人攻击”，也即是，攻击者监听MKA会话，并直接截获MKPDU，然后，利用AES算法解密，则攻击者就会获取到密钥服务端发布的SAK，从而对后续采用SAK加密的数据报文进行解密。

技术实现思路

[0006]有鉴于此，本申请提供了一种通信方法及装置，用以解决现有密钥服务端在发布SAK过程中，易被攻击者截获加密后的SAK的问题。
[0007]第一方面，本申请提供了一种通信方法，所述方法应用于第一网络设备，所述方法包括：
[0008]向第二网络设备发送第一MKPDU协议报文，所述第一MKPDU协议报文包括第一扩展类型参数集，所述第一扩展类型参数集包括第一类型字段，所述第一类型字段的值为第一值；
[0009]接收所述第二网络设备根据所述第一值发送的第二MKPDU协议报文；
[0010]若所述第二MKPDU协议报文包括第二扩展类型参数集，且所述第二扩展类型参数集包括的第二类型字段为所述第一值，则与所述第二网络设备协商建立第一隧道，所述第一隧道为加密隧道；
[0011]在所述第一隧道内，与所述第二网络设备进行MKA协商，并通过所述MKA协商交互加密的SKA。
[0012]第二方面，本申请提供了一种通信装置，所述装置应用于第一网络设备，所述方法包括：
[0013]发送单元，用于向第二网络设备发送第一MKPDU协议报文，所述第一MKPDU协议报文包括第一扩展类型参数集，所述第一扩展类型参数集包括第一类型字段，所述第一类型字段的值为第一值；
[0014]接收单元，用于接收所述第二网络设备根据所述第一值发送的第二MKPDU协议报文；
[0015]建立单元，用于若所述第二MKPDU协议报文包括第二扩展类型参数集，且所述第二扩展类型参数集包括的第二类型字段为所述第一值，则与所述第二网络设备协商建立第一隧道，所述第一隧道为加密隧道；
[0016]协商单元，用于在所述第一隧道内，与所述第二网络设备进行MKA协商，并通过所述MKA协商交互加密的SKA。
[0017]第三方面，本申请提供了一种网络设备，包括处理器和机器可读存储介质，机器可读存储介质存储有能够被处理器执行的机器可执行指令，处理器被机器可执行指令促使执行本申请第一方面所提供的方法。
[0018]因此，通过应用本申请提供的通信方法及装置，第一网络设备向第二网络设备发送第一MKPDU协议报文，该第一MKPDU协议报文包括第一扩展类型参数集，其中，第一扩展类型参数集包括第一类型字段，第一类型字段的值为第一值；第一网络设备接收第二网络设备根据第一值发送的第二MKPDU协议报文；若第二MKPDU协议报文包括第二扩展类型参数集，且第二扩展类型参数集包括的第二类型字段为第一值，则第一网络设备与第二网络设备协商建立第一隧道，第一隧道为加密隧道；在第一隧道内，第一网络设备与第二网络设备进行MKA协商，并通过MKA协商交互加密的SKA。
[0019]如此，通过协商建立加密隧道，使得后续的MKA协商、发布SAK均在加密隧道中进行，最大限度地保障SAK的安全性解决了现有密钥服务端在发布SAK过程中，易被攻击者截获加密后的SAK的问题。
附图说明
[0020]图1为本申请实施例提供的通信方法的流程图；
[0021]图2为本申请实施例提供的EAP协议报文结构示意图；
[0022]图3为本申请实施例提供的PEAP类型的EAP协议报文结构示意图；
[0023]图4为本申请实施例提供的EAPOL报文结构示意图；
[0024]图5为本申请实施例提供的MKPDU协议报文包括多个参数集结构示意图；
[0025]图6为本申请实施例提供的第一扩展类型参数集结构示意图；
[0026]图7为本申请实施例提供的通信装置结构图；
[0027]图8为本申请实施例提供的网络设备硬件结构体。
具体实施方式
[0028]这里将详细地对示例性实施例进行说明，其示例表示在附图中。下面的描述涉及附图时，除非另有表示，不同附图中的相同数字表示相同或相似的要素。以下示例性实施例
中所描述的实施例并不代表与本申请相一致的所有实施例。相反，它们仅是与如所附权利要求书中所详述的、本申请的一些方面相一致的装置和方法的例子。
[0029]在本申请使用的术语是仅仅出于描述特定实施例的目的，而非旨在限制本申请。在本申请和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式，除非上下文清楚地表示其他含义。还应当理解，本文中使用的术语“和/或”是指并包含一个或多个相对应的列出项目的任何或所有可能组合。
[0030]应当理解，尽管在本申请可能采用术语第一、第二、第三等来描述各种信息，但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如，在不脱离本申请范围的情况下，第一信息也可以被称为第二信息，类似地，第二信息也可以被称为第一信息。取决于语境，如在此所使用的词语“如果”可以被解释成为“在
……
时”或“当
……
时”或“响应于确定”。
[0031]下面对本申请实施例提供的通信方法进行详细地说明。参见图1，图1为本申请实施例提供的通信方法的流程图。该方法应用于第一网络设备。本申请实施例提供的本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种通信方法，其特征在于，所述方法应用于第一网络设备，所述方法包括：向第二网络设备发送第一MKPDU协议报文，所述第一MKPDU协议报文包括第一扩展类型参数集，所述第一扩展类型参数集包括第一类型字段，所述第一类型字段的值为第一值；接收所述第二网络设备根据所述第一值发送的第二MKPDU协议报文；若所述第二MKPDU协议报文包括第二扩展类型参数集，且所述第二扩展类型参数集包括的第二类型字段为所述第一值，则与所述第二网络设备协商建立第一隧道，所述第一隧道为加密隧道；在所述第一隧道内，与所述第二网络设备进行MKA协商，并通过所述MKA协商交互加密的SKA。2.根据权利要求1所述的方法，其特征在于，所述向第二网络设备发送第一MKPDU协议报文之前，所述方法还包括：接收用户输入的配置指令，所述配置指令包括MKA协商策略，所述MKA协商策略用于使所述第一网络设备与所述第二网络设备建立所述第一隧道，并在所述第一隧道内进行所述MKA协商。3.根据权利要求1所述的方法，其特征在于，所述向第二网络设备发送第一MKPDU协议报文之前，所述方法还包括：生成EAP协议报文；基于EAPOL协议，对所述EAP报文进行封装处理，得到EAPOL报文，所述EAPOL报文包括EAPOL头部以及第一报文体字段，所述EAPOL头部包括EAPOL报文类型字段，所述EAPOL报文类型字段的值为第二值，所述第二值用以标识所述EAPOL报文为MKPDU协议报文，所述第一报文体字段包括所述第一扩展类型参数集，所述第一扩展类型参数集包括第一参数集类型字段以及第二报文体字段，所述第一参数集类型字段的值为第三值，所述第三值用于表示所述第一网络设备支持所述第一扩展类型参数集，当所述第一类型字段的值为所述第一值时，所述第二报文体字段用于承载所述EAP协议报文。4.根据权利要求1所述的方法，其特征在于，所述方法还包括：若所述第二MKPDU协议报文未包括所述第二扩展类型参数集，则确定不与所述第二网络设备协商建立所述第一隧道。5.根据权利要求1所述的方法，其特征在于，所述第二扩展类型参数集还包括所述第二网络设备支持的加密算法列表以及所述第二网络设备产生的第一随机数；所述与所述第二网络设备协商建立第一隧道，具体包括：从所述第二网络设备支持的加密算法列表中，获取所述第一网络设备支持的第一加密算法；向所述第二网络设备发送第三MKPDU协议报文，所述第三MKPDU协议报文包括所述第一加密算法的标识、服务端证书，所述服务端证书包括公钥；接收所述第二网络设备发送的第四MKPDU协议报文，所述第四MKPDU协议报文包括客户端密钥交换以及隧道属性，所述客户端密钥交换信息为当所述服务端证书合法时，所述第二网络设备基于所述第一加密算法的标识对应的所述第一加密算法以及公钥对产生的随机密码串进行加密操作后得到；当所述隧道属性表征所述第二网络设备本端隧道已准备完成时，基于所述服务端证书
对应的私钥对所述加密信息进行解密，获取所述第二网络设备产生的所述随机密码串；对所述随机密码串、所述第一随机数以及所述第一网络设备产生的第二随机数进行运算处理，生成加密密钥、加密初始化向量和校验密钥；建立所述第一隧道。6.根据权利要求5所述的方法，其特征在于，所述第三MKPDU协议报文还包括第二随机数，所述第二随机数用于使所述第二网络设备对所述随机密码串、所述第一随机数以及所述第二随机数进行运算处理，生成所述加密密钥、加密初始化向量和校...

【专利技术属性】
技术研发人员：余华，
申请(专利权)人：新华三技术有限公司合肥分公司，
类型：发明
国别省市：