背景技術

電氣和電子工程師協會（IEEE）可以規定包括例如IEEE 802.1AE媒體訪問控制安全(MACsec) 標準（其限定了媒體訪問獨立協議的無連接數據機密性和完整性）的多個網絡業務標準。另一示例包括IEEE 802.1X-2010，其描述了密鑰管理和安全關聯的建立。

附圖說明

圖1是圖示根據本公開的層2網絡的示例的圖。

圖2是圖示根據本公開的網絡控制器提供的MACsec密鑰的方法的示例的流程圖。

圖3圖示了根據本公開的網絡控制器的示例。

具體實施方式

媒體訪問控制安全（MACsec）可以包括經限定的幀格式，其可以類似于具有諸如安全標志（例如，以太網類型的擴展）和消息認證碼之類的附加字段的以太網幀。在每個MACsec幀中的安全標志可以包括信道內的關聯號、分組號以提供用于加密和認證算法以及保護免受重放攻擊的唯一初始化向量。MACsec可以利用安全連接關聯，其代表經由單向安全信道連接的站的組。在每個被保護的信道內的安全關聯使用它們自己的加密/解密密鑰。MACsec可以在層2網絡上的交換機之間使用并且可能不適合于跨越層3網絡（例如，跨越路由器）的通信。

MACsec流的通信路徑中的每個交換機一般都可以負責使用IEEE 802.1X-2010和MACsec密鑰交換協定（MKA）協議來協商密鑰。因此，由于每一個MACsec交換機都具有用于MACsec流的有效密鑰，所以每一個MACsec交換機具有對業務的全可見性。然而，對于安全基礎結構而言，整個網絡（或者至少參與MACsec通信的網絡的部分）需要具有有MACsec能力的設備，該設備可能部署起來代價高昂。此外，在MACsec網絡中的交換機之間的每一跳處的密鑰協商可能對所述MACsec流增加等待時間。

MACsec曾被設計成作為逐跳安全機制來工作。使用圖1作為示例，為了提供服務器X和客戶端1之間的完整、安全的路徑，應該在交換機A-交換機B之間、交換機B-交換機C之間、以及交換機C-交換機D之間設置MACsec安全關聯。此外，MACsec允許在MACsec流的不同方向上使用不同的密鑰。例如，可能存在用于正在被從交換機A轉發到交換機D的業務的密鑰以及用于從交換機D轉發到交換機A的業務的不同密鑰。交換機A可以使用密鑰X以對業務進行加密并且交換機D將使用密鑰X以解密該業務。同樣地，交換機D可以使用密鑰Z以對該業務進行加密并且交換機A將使用密鑰Z以解密該業務。密鑰X和密鑰Z可以不彼此相等。

相比之下，本公開的多個示例可以采用用于網絡控制器提供的MACsec密鑰的方法、網絡控制器以及機器可讀和可執行指令。例如，網絡控制器可以給第一網絡設備提供用于MACsec流的MACsec密鑰。該網絡控制器可以給第二網絡設備提供用于MACsec流的MACsec密鑰。根據本公開的多個示例，可以減少參與MACsec的設備的數量，并且可以避免在交換機自身上進行密鑰交換協議的復雜性和開銷。

在本公開中，對構成其一部分并在其中通過圖示的方式示出可以如何實施本公開的多個示例的附圖進行參考。充分詳細地描述這些示例以使得本領域普通技術人員能夠實施本公開的示例，并且應理解的是，可以使用其他示例并且可以進行過程、電和/或結構變化而不脫離本公開的范圍。

本文中的圖遵循以下編號慣例，其中第一個數字對應于附圖圖號，并且其余的數字標識附圖中的元素或組件。可以添加、交換、和/或除去在本文中的各圖中示出的元素以提供本公開的多個附加示例。另外，圖中提供的元素的比例和相對尺度旨在圖示本公開的示例，而不應以限制性意義加以理解。

圖1是圖示根據本公開的層2網絡100的示例的圖。層2網絡100可以包括網絡控制器102（例如，軟件定義聯網（SDN）網絡控制器）。SDN是一種網絡虛擬化形式，其中控制平面與數據平面分離并且控制平面以軟件應用來實現。因此網絡管理員可以具有對網絡業務的可編程集中控制而不需要對網絡的硬件設備進行物理訪問。用于SDN的協議的一個示例是OpenFlow，OpenFlow是一個準許通過網絡訪問網絡交換機的轉發平面的通信協議。本公開的一些示例可以根據OpenFlow、或者其他SDN協議和/或與“常規”網絡結合的SDN協議的混合來運作。