技術領域

本發(fā)明涉及通信網絡技術領域，尤其涉及一種MACsec密鑰更新方法及設備。

背景技術

MACsec（Media Access Control Security，媒體接入控制安全）技術用于保護二層通信安全，防范二層攻擊，滿足在以太網上傳輸數據的安全需求。MACsec定義了一個安全基礎架構，該架構提供數據機密性和完整性以及數據源驗證，通過對于數據源的確認，MACsec可以減輕二層協(xié)議受到的攻擊。

CA（Connectivity Association，連接聯(lián)盟）由多個實現MACsec功能的SecY（MAC Security Entity，MAC安全實體）構成，MKA（MACsec Key Agreement protocol，MACsec密鑰協(xié)商協(xié)議）負責SecY的發(fā)現、認證、和授權。CA擁有同一個CAK（CA密鑰），各SecY使用相同的密碼算法套件進行通信。在CA存在期間，CAK和密碼算法套件不能改變。SC（Secure Channel，安全通道）是一個單向的點到多點的數據發(fā)送通道，SecY負責在自己的SC內發(fā)送MACsec幀，以及接收由其他SC傳送的MACsec幀并解密和驗證。MKA負責通知SecY自身的SC標識以及其他SC的標識。SC包含一系列的SA（Secure Association，安全聯(lián)盟），SA通過SCI（SC標識）＋AN（Association Number，安全聯(lián)盟編號）進行標識。每個SA擁有各自的SAK（Secure Association Key，SA密鑰），用以加密發(fā)送數據。各SecY使用CAK協(xié)商產生SAK，CAK是固定不變的，而SAK是經常變化更新的，SAK的變化更新提高了數據的安全性。

現有技術中，同一SA的各SecY之間會以一定時間間隔發(fā)送Keep alive（保活）報文以檢測SecY之間通信是否正常，Keep alive報文中攜帶有該SA的PN（Packet Number，報文編號），用于標識SecY接收報文的索引，當PN值大于等于0xc0000000時，認為PN即將耗盡。根據現有標準協(xié)議，只有當PN快要耗盡時，或者，SA失效時，才觸發(fā)SAK更新。在數據傳輸過程中，若SecY受到非法報文的攻擊，會對數據傳輸安全產生威脅，根據現有標準協(xié)議的MACsec密鑰更新方案，即使SecY檢測到攻擊，也不會立即更換密鑰，從而不能在第一時間保障網絡安全。

因此，亟需一種MACsec密鑰更新方案以解決以上問題。

發(fā)明內容

本發(fā)明實施例提供了一種MACsec密鑰更新方法及設備，用以提高MACsec密鑰更新的及時性。

為此，本發(fā)明實施例采用如下技術方案：

一種MACsec密鑰更新方法，應用于包括多個網絡設備的連接聯(lián)盟CA中，所述CA中的各個網絡設備使用相同的安全聯(lián)盟密鑰SAK對傳輸的報文進行解密或加密處理，所述多個網絡設備中存在有一個網絡設備作為密鑰服務器，，所述方法包括：

網絡設備檢測到非法攻擊后，當作為所述CA中的密鑰服務器時，生成并向所述CA內的其他網絡設備發(fā)布新的SAK及所述新SAK對應的安全聯(lián)盟SA編號AN，并存儲所述新的SAK及所述新SAK對應的AN；

當不是所述CA中的密鑰服務器時，通知所述CA內的作為密鑰服務器的網絡設備生成并發(fā)布新的SAK及所述新SAK對應的AN，并接收所述作為密鑰服務器的網絡設備發(fā)布的新的SAK及所述新SAK對應的AN，以及存儲所述新的SAK及所述新SAK對應的AN。

一種MACsec密鑰更新設備，作為網絡設備應用于包括多個網絡設備的連接聯(lián)盟CA中，所述CA中的各個網絡設備使用相同的安全聯(lián)盟密鑰SAK對傳輸的報文進行解密或加密處理，所述多個網絡設備中存在有一個網絡設備作為密鑰服務器，所述設備包括：

檢測模塊，用于檢測非法攻擊；

密鑰更新模塊，用于在所述檢測模塊檢測到非法攻擊且網絡設備作為所述CA中的密鑰服務器時，生成并向所述CA內的其他網絡設備發(fā)布新的SAK及所述新SAK對應的安全聯(lián)盟SA編號AN，并存儲所述新的SAK及所述新SAK對應的AN；

密鑰更新觸發(fā)模塊，用于在所述檢測模塊檢測到非法攻擊且網絡設備不是所述CA中的密鑰服務器時，通知所述CA內的作為密鑰服務器的網絡設備生成并發(fā)布新的SAK及所述新SAK對應的AN，并接收所述作為密鑰服務器的網絡設備發(fā)布的新的SAK及所述新SAK對應的AN，以及存儲所述新的SAK及所述新SAK對應的AN。

與現有技術相比，本發(fā)明的上述實施例具有以下有益技術效果：