技術(shù)領(lǐng)域

本申請(qǐng)涉及網(wǎng)絡(luò)安全技術(shù)領(lǐng)域，特別涉及一種加密套件的處理方法及設(shè)備。

背景技術(shù)

MACsec（MAC?security，MAC安全）是IEEE在802.1AE中定義的MAC（Media?Access?Control，媒體訪問控制）安全標(biāo)準(zhǔn)。該標(biāo)準(zhǔn)定義了無連接的數(shù)據(jù)機(jī)密性和完整性，為媒體訪問無關(guān)的協(xié)議提供服務(wù)。MACsec工作在鏈路層的MAC子層之上，為LLC（Logical?Link?Control，邏輯鏈路控制）子層以及LLC子層之上的協(xié)議提供安全的MAC層發(fā)送和接收服務(wù)。

MACsec定義了一個(gè)協(xié)議集，用于滿足在以太網(wǎng)上傳輸數(shù)據(jù)的安全需求。MACsec可以識(shí)別出未經(jīng)授權(quán)的局域網(wǎng)連接，并把它們排除在網(wǎng)絡(luò)通信之外。與IPsec（Internet?Protocol?security，IP安全）和SSL（Secure?Sockets?Layer，安全套接層）類似，MACsec定義了一個(gè)安全基礎(chǔ)架構(gòu)，該架構(gòu)提供數(shù)據(jù)機(jī)密性，數(shù)據(jù)完整性和數(shù)據(jù)源驗(yàn)證。通過對(duì)于數(shù)據(jù)源的驗(yàn)證，MACsec可以減輕二層協(xié)議受到的攻擊。

MACsec在協(xié)議層次上工作于鏈路層的LLC子層與MAC子層之間，相當(dāng)于一個(gè)墊層，為上層MAC用戶（包括LLC子層以及其他二層協(xié)議）提供封裝了加密功能的MAC子層服務(wù)訪問接口。MACsec是緊靠物理層之上的協(xié)議層次，在協(xié)議分層架構(gòu)中處于底層位置。

MACsec的基本概念主要包括：CA、SC和SA。

CA是連接聯(lián)盟（Connectivity?Association）的簡稱。擁有同一個(gè)CAK（Secure?Connectivity?Association?Key，CA密鑰），并且使用相同的加密套件的參與者（也可稱為CA成員設(shè)備）組成一個(gè)CA。在CA存在期間，CAK和加密套件不能改變。實(shí)現(xiàn)MACsec功能的實(shí)體：SecY（MAC?Security?Entity，MAC安全實(shí)體），并不會(huì)意識(shí)到CA的存在。MACsec密鑰協(xié)商協(xié)議（MACsec?Key?Agreement?protocol，MKA）負(fù)責(zé)CA成員設(shè)備的發(fā)現(xiàn)、認(rèn)證、和授權(quán)。SecY只負(fù)責(zé)MACsec幀（進(jìn)過MACsec處理后的數(shù)據(jù)幀）的加密、解密和驗(yàn)證。SecY只能屬于一個(gè)CA。

CAK（CA?Key）是CA的根密鑰，該CA使用的所有密鑰由該CAK導(dǎo)出。

SC（Secure?Channel）是安全通道的簡稱。SC在概念上是一個(gè)單向的點(diǎn)到多點(diǎn)的數(shù)據(jù)發(fā)送通道。點(diǎn)到點(diǎn)的通道被認(rèn)為是一種特殊的點(diǎn)到多點(diǎn)通道。SecY負(fù)責(zé)在自己的SC內(nèi)發(fā)送MACsec幀，并接收由其他SC傳送的MACsec幀并解密和驗(yàn)證。MKA負(fù)責(zé)通知SecY其自身的SC標(biāo)識(shí)（Identifier，SCI），以及其他SC的SCI。

SA（Secure?Association）是安全聯(lián)盟的簡稱。SC包含一系列的SA，每一個(gè)SA擁有一個(gè)不同的SAK（Secure?Association?Key，SA密鑰）。SA由SAI標(biāo)識(shí)（SA?Identifier，SA標(biāo)識(shí)），SAI由SCI＋AN號(hào)構(gòu)成。AN（Association?Number）是安全聯(lián)盟編號(hào)的簡稱，SC最多可以同時(shí)包含4個(gè)SA。SecY正常工作時(shí)，為了保證數(shù)據(jù)發(fā)送不間斷，至少要同時(shí)持有兩個(gè)有效的SA。

MACsec幀的報(bào)文格式如圖1所示，該MACsec幀中包括：目的MAC地址、源MAC地址、SecTAG（安全標(biāo)簽）、安全數(shù)據(jù)（Secure?Data）和ICV。其中，SecTAG的第一字節(jié)和第二字節(jié)是EtherType（以太類型），用于表明是本數(shù)據(jù)幀是MACsec幀；安全數(shù)據(jù)是將用戶數(shù)據(jù)MSDU（MAC?Service?Data?Unit）加密得到的；ICV（Integrity?Check?Value，完整性檢查值）是對(duì)包括源MAC地址、目的MAC地址、SecTAG和安全數(shù)據(jù)在內(nèi)的所有數(shù)據(jù)按照加密套件計(jì)算得到的。

在現(xiàn)有的MACsec標(biāo)準(zhǔn)中，僅描述了加密套件（Cipher?Suite）由密鑰服務(wù)器（KEY?SERVER）選擇，但是，沒有描述加密套件的協(xié)商方法。并且，當(dāng)CA成員設(shè)備不支持密鑰服務(wù)器為該CA成員設(shè)備所屬的CA選擇的加密套件時(shí)，會(huì)導(dǎo)致CA成員設(shè)備在該CA內(nèi)無法使用MACsec功能，來對(duì)傳輸?shù)膱?bào)文進(jìn)行加密保護(hù)。

發(fā)明內(nèi)容