加密套件的处理方法及设备技术

本申请公开了一种加密套件的处理方法及设备，该方法包括：密钥服务器为CA选择加密套件，将选择的加密套件通知给该CA内的CA成员设备；接收CA成员设备针对该通知发送的加密套件协商报文，其中，加密套件协商报文中包含有：支持指示信息和发送本加密套件协商报文的CA成员设备所支持的加密套件，支持指示信息用于指示发送本加密套件协商报文的CA成员设备是否支持该选择的加密套件；根据接收的加密套件协商报文中的支持指示信息，判断是否所有CA成员设备均支持该选择的加密套件；若判断出不是所有CA成员设备均支持该选择的加密套件，则根据接收的加密套件协商报文选择一个所有CA成员设备均支持的加密套件，并将选择的加密套件通知给CA成员设备。

【技术实现步骤摘要】
加密套件的处理方法及设备
本申请涉及网络安全
，特别涉及一种加密套件的处理方法及设备。
技术介绍
MACsec（MACsecurity，MAC安全）是IEEE在802.1AE中定义的MAC（MediaAccessControl，媒体访问控制）安全标准。该标准定义了无连接的数据机密性和完整性，为媒体访问无关的协议提供服务。MACsec工作在链路层的MAC子层之上，为LLC（LogicalLinkControl，逻辑链路控制）子层以及LLC子层之上的协议提供安全的MAC层发送和接收服务。MACsec定义了一个协议集，用于满足在以太网上传输数据的安全需求。MACsec可以识别出未经授权的局域网连接，并把它们排除在网络通信之外。与IPsec（InternetProtocolsecurity，IP安全）和SSL（SecureSocketsLayer，安全套接层）类似，MACsec定义了一个安全基础架构，该架构提供数据机密性，数据完整性和数据源验证。通过对于数据源的验证，MACsec可以减轻二层协议受到的攻击。MACsec在协议层次上工作于链路层的LLC子层与MAC子层之间，相当于一个垫层，为上层MAC用户（包括LLC子层以及其他二层协议）提供封装了加密功能的MAC子层服务访问接口。MACsec是紧靠物理层之上的协议层次，在协议分层架构中处于底层位置。MACsec的基本概念主要包括：CA、SC和SA。CA是连接联盟（ConnectivityAssociation）的简称。拥有同一个CAK（SecureConnectivityAssociationKey，CA密钥），并且使用相同的加密套件的参与者（也可称为CA成员设备）组成一个CA。在CA存在期间，CAK和加密套件不能改变。实现MACsec功能的实体：SecY（MACSecurityEntity，MAC安全实体），并不会意识到CA的存在。MACsec密钥协商协议（MACsecKeyAgreementprotocol，MKA）负责CA成员设备的发现、认证、和授权。SecY只负责MACsec帧（进过MACsec处理后的数据帧）的加密、解密和验证。SecY只能属于一个CA。CAK（CAKey）是CA的根密钥，该CA使用的所有密钥由该CAK导出。SC（SecureChannel）是安全通道的简称。SC在概念上是一个单向的点到多点的数据发送通道。点到点的通道被认为是一种特殊的点到多点通道。SecY负责在自己的SC内发送MACsec帧，并接收由其他SC传送的MACsec帧并解密和验证。MKA负责通知SecY其自身的SC标识（Identifier，SCI），以及其他SC的SCI。SA（SecureAssociation）是安全联盟的简称。SC包含一系列的SA，每一个SA拥有一个不同的SAK（SecureAssociationKey，SA密钥）。SA由SAI标识（SAIdentifier，SA标识），SAI由SCI＋AN号构成。AN（AssociationNumber）是安全联盟编号的简称，SC最多可以同时包含4个SA。SecY正常工作时，为了保证数据发送不间断，至少要同时持有两个有效的SA。MACsec帧的报文格式如图1所示，该MACsec帧中包括：目的MAC地址、源MAC地址、SecTAG（安全标签）、安全数据（SecureData）和ICV。其中，SecTAG的第一字节和第二字节是EtherType（以太类型），用于表明是本数据帧是MACsec帧；安全数据是将用户数据MSDU（MACServiceDataUnit）加密得到的；ICV（IntegrityCheckValue，完整性检查值）是对包括源MAC地址、目的MAC地址、SecTAG和安全数据在内的所有数据按照加密套件计算得到的。在现有的MACsec标准中，仅描述了加密套件（CipherSuite）由密钥服务器（KEYSERVER）选择，但是，没有描述加密套件的协商方法。并且，当CA成员设备不支持密钥服务器为该CA成员设备所属的CA选择的加密套件时，会导致CA成员设备在该CA内无法使用MACsec功能，来对传输的报文进行加密保护。
技术实现思路
本申请提供了一种加密套件的处理方法及设备，以解决现有技术中存在的没有描述加密套件的协商方法，且当CA成员设备不支持密钥服务器为该CA成员设备所属的CA选择的加密套件时，会导致该CA成员设备在该CA内无法使用MACsec功能对传输的报文进行加密保护的问题。本申请的技术方案如下：一方面，提供了一种加密套件的处理方法，应用于MACsec协议中，该方法包括：密钥服务器为CA选择加密套件，将选择的加密套件通知给该CA内的CA成员设备；密钥服务器接收CA成员设备针对密钥服务器的通知发送的加密套件协商报文，其中，加密套件协商报文中包含有：支持指示信息和发送本加密套件协商报文的CA成员设备所支持的加密套件，支持指示信息用于指示发送本加密套件协商报文的CA成员设备是否支持密钥服务器选择的加密套件；密钥服务器根据接收的加密套件协商报文中的支持指示信息，判断是否所有CA成员设备均支持密钥服务器选择的加密套件；若判断出不是所有CA成员设备均支持密钥服务器选择的加密套件，则密钥服务器根据接收的加密套件协商报文选择一个所有CA成员设备均支持的加密套件，并将选择的加密套件通知给CA成员设备。另一方面，还提供了一种加密套件的处理方法，应用于MACsec协议中，该方法包括：CA成员设备接收密钥服务器发来的通知，通知中携带有密钥服务器为CA成员设备所属的CA选择的加密套件；CA成员设备向密钥服务器发送加密套件协商报文，其中，加密套件协商报文中包含有：支持指示信息和发送本加密套件协商报文的CA成员设备所支持的加密套件，支持指示信息用于指示发送本加密套件协商报文的CA成员设备是否支持密钥服务器选择的加密套件。又一方面，还提供了一种密钥服务器，应用于MACsec协议中，密钥服务器包括：选择模块、发送模块、接收模块和判断模块，其中，选择模块，用于为CA选择加密套件；还用于若判断模块判断出不是所有CA成员设备均支持选择模块选择的加密套件，则根据接收模块接收的加密套件协商报文选择一个所有CA成员设备均支持的加密套件；发送模块，用于将选择模块为CA选择加密套件通知给该CA内的CA成员设备；还用于将选择模块选择的所有CA成员设备均支持的加密套件通知给CA成员设备；接收模块，用于接收CA成员设备针对密钥服务器的通知发送的加密套件协商报文，其中，加密套件协商报文中包含有：支持指示信息和发送本加密套件协商报文的CA成员设备所支持的加密套件，支持指示信息用于指示发送本加密套件协商报文的CA成员设备是否支持密钥服务器选择的加密套件；判断模块，用于根据接收模块接收的加密套件协商报文中的支持指示信息，判断是否所有CA成员设备均支持密钥服务器选择的加密套件。又一方面，还提供了一种CA成员设备，应用于MACsec协议中，CA成员设备包括：接收模块，用于接收密钥服务器发来的通知，通知中携带有密钥服务器为CA成员设备所属的CA选择的加密套件；发送模块，用于向密钥服务器发送加密套件协商报文，其中，加密套件协商报文中包含有：本文档来自技高网...

【技术保护点】
一种加密套件的处理方法，应用于媒体访问控制安全MACsec协议中，其特征在于，所述方法包括：密钥服务器为连接联盟CA选择加密套件，将选择的加密套件通知给该CA内的CA成员设备；所述密钥服务器接收CA成员设备针对所述密钥服务器的通知发送的加密套件协商报文，其中，加密套件协商报文中包含有：支持指示信息和发送本加密套件协商报文的CA成员设备所支持的加密套件，所述支持指示信息用于指示发送本加密套件协商报文的CA成员设备是否支持所述密钥服务器选择的加密套件；所述密钥服务器根据接收的加密套件协商报文中的支持指示信息，判断是否所有CA成员设备均支持所述密钥服务器选择的加密套件；若判断出不是所有CA成员设备均支持所述密钥服务器选择的加密套件，则所述密钥服务器根据接收的加密套件协商报文选择一个所有CA成员设备均支持的加密套件，并将选择的加密套件通知给CA成员设备。

【技术特征摘要】
1.一种加密套件的处理方法，应用于媒体访问控制安全MACsec协议中，其特征在于，所述方法包括：密钥服务器为连接联盟CA选择加密套件，将选择的加密套件通知给该CA内的CA成员设备；所述密钥服务器接收CA成员设备针对所述密钥服务器的通知发送的加密套件协商报文，其中，加密套件协商报文中包含有：支持指示信息和发送本加密套件协商报文的CA成员设备所支持的加密套件，所述支持指示信息用于指示发送本加密套件协商报文的CA成员设备是否支持所述密钥服务器选择的加密套件；所述密钥服务器根据接收的加密套件协商报文中的支持指示信息，判断是否所有CA成员设备均支持所述密钥服务器选择的加密套件；若判断出不是所有CA成员设备均支持所述密钥服务器选择的加密套件，则所述密钥服务器根据接收的加密套件协商报文选择一个所有CA成员设备均支持的加密套件，并将选择的加密套件通知给CA成员设备。2.根据权利要求1所述的方法，其特征在于，加密套件协商报文的参数集中包括：参数集类型、支持指示信息、以及用于携带加密套件的类型长度值TLV，其中，当参数集类型的值为预定类型值时，表示本报文是加密套件协商报文；当支持指示信息的值置为第一值时，表示发送本加密套件协商报文的CA成员设备支持密钥服务器选择的加密套件，当支持指示信息的值置为第二值时，表示发送本加密套件协商报文的CA成员设备不支持密钥服务器选择的加密套件。3.一种加密套件的处理方法，应用于媒体访问控制安全MACsec协议中，其特征在于，所述方法包括：连接联盟CA成员设备接收密钥服务器发来的通知，所述通知中携带有所述密钥服务器为所述CA成员设备所属的CA选择的加密套件；所述CA成员设备向所述密钥服务器发送加密套件协商报文，其中，加密套件协商报文中包含有：支持指示信息和发送本加密套件协商报文的CA成员设备所支持的加密套件，所述支持指示信息用于指示发送本加密套件协商报文的CA成员设备是否支持所述密钥服务器选择的加密套件。4.根据权利要求3所述的方法，其特征在于，所述CA成员设备向所述密钥服务器发送加密套件协商报文的方法包括：所述CA成员设备判断本设备是否支持所述通知中携带的所述密钥服务器选择的加密套件；若支持，则所述CA成员设备将本设备支持的加密套件携带在加密套件协商报文中发送给所述密钥服务器，其中，发送的加密套件协商报文中的支持指示信息用于指示所述CA成员设备支持所述密钥服务器选择的加密套件；若不支持，则所述CA成员设备将本设备支持的加密套件携带在加密套件协商报文中发送给所述密钥服务器，其中，发送的加密套件协商报文中的支持指示信息用于指示所述CA成员设备不支持所述密钥服务器选择的加密套件。5.根据权利要求3所述的方法，其特征在于，加密套件协商报文的参数集中包括：参数集类型、支持指示信息、以及用于携带加密套件的类型长度值TLV，其中，当参数集类型的值为预定类型值时，表示本报文是加密套件协商报文；当支持指示信息的值置为第一值时，表示发送本加密套件协商报文的CA成员设备支持密钥服务器选择的加密套件，当支持指示信息的值置为第二值时，表示发送本加密套件协商报文的CA成员设备不支持密钥服务器选择的加密套件。6.一种密钥服务器，应用于媒体访问控制安全MACsec协议中，其特征在于，所述密钥服务器包...

【专利技术属性】
技术研发人员：彭剑远，
申请(专利权)人：杭州华三通信技术有限公司，
类型：发明
国别省市：