CN110024325B - 用于设备之间mka协商的***、方法和设备 - Google Patents
用于设备之间mka协商的***、方法和设备 Download PDFInfo
- Publication number
- CN110024325B CN110024325B CN201780073042.XA CN201780073042A CN110024325B CN 110024325 B CN110024325 B CN 110024325B CN 201780073042 A CN201780073042 A CN 201780073042A CN 110024325 B CN110024325 B CN 110024325B
- Authority
- CN
- China
- Prior art keywords
- message
- port access
- tlv
- key agreement
- access entity
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/30—Definitions, standards or architectural aspects of layered protocol stacks
- H04L69/32—Architecture of open systems interconnection [OSI] 7-layer type protocol stacks, e.g. the interfaces between the data link level and the physical level
- H04L69/322—Intralayer communication protocols among peer entities or protocol data unit [PDU] definitions
- H04L69/324—Intralayer communication protocols among peer entities or protocol data unit [PDU] definitions in the data link layer [OSI layer 2], e.g. HDLC
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0838—Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
- H04L63/061—Network architectures or network communication protocols for network security for supporting key management in a packet data network for key exchange, e.g. in peer-to-peer networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/162—Implementing security features at a particular protocol layer at the data link layer
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0838—Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these
- H04L9/0841—Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these involving Diffie-Hellman or related key agreement protocols
- H04L9/0844—Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these involving Diffie-Hellman or related key agreement protocols with user authentication or key authentication, e.g. ElGamal, MTI, MQV-Menezes-Qu-Vanstone protocol or Diffie-Hellman protocols using implicitly-certified keys
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
- H04W12/043—Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
- H04W12/0431—Key distribution or pre-distribution; Key agreement
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W84/00—Network topologies
- H04W84/02—Hierarchically pre-organised networks, e.g. paging networks, cellular networks, WLAN [Wireless Local Area Network] or WLL [Wireless Local Loop]
- H04W84/10—Small scale networks; Flat hierarchical networks
- H04W84/12—WLAN [Wireless Local Area Networks]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Mobile Radio Communication Systems (AREA)
- Computer And Data Communications (AREA)
- Small-Scale Networks (AREA)
Abstract
公开了用于设备之间进行同步MACsec密钥协定(MACsec key agreement,MKA)协商的***、方法和设备。在竞争条件的情况下,本申请控制被认证端和认证端之间的基本TLV消息交换以建立安全关联密钥(secure association key,SAK)信道。本申请通过控制基本TLV消息交换,能够在竞争条件中建立安全信道并实现产品的高可靠性,同时使得产品可以快速启动MACsec服务并且可用于服务。因此,当双方(两个被认证端)同时交换具有基本TLV的hello而触发竞争条件时,被认证端首先丢弃来自认证端的消息并更新对端MN,同时被认证端将不发送应答消息。当认证端发送对端MN递增1的下一条消息(基本TLV+潜在对端TLV)时,被认证端将使用具有活跃对端TLV的递增消息进行响应。
Description
技术领域
本文所述的本发明一般涉及通信网络,并且更具体地涉及基于端口的网络访问控制。
背景技术
IEEE 802.1AE是IEEE MAC安全标准(也称为MACsec),并且定义媒体访问独立协议的无连接数据机密性和完整性。对MACsec进行定义,用于在两个支持MACsec的设备之间认证和加密数据包。但是,密钥管理和安全关联的建立由IEEE 802.1X-2010规定。IEEE802.1X是基于端口的网络访问控制(Port-based Network Access Control,PNAC)的IEEE标准,并且是IEEE 802.1网络协议组的一部分。IEEE 802.1X为希望连接到局域网(localarea network,LAN)或无线局域网(wireless local area network,WLAN)的设备提供认证机制。具体而言,MACsec在有线LAN上提供安全通信。IEEE 802.1X为鉴权端口定义了两个逻辑端口实体:“受控端口”和“不受控端口”。受控端口由802.1X端口访问实体(Port AccessEntity,PAE)操纵,以允许(授权状态下)或防止(未授权状态下)网络流量进入和离开受控端口。802.1X PAE使用不受控端口来传输和接收基于LAN的扩展认证协议(ExtensibleAuthentication Protocol over LAN,EAPOL)帧。
一般而言,802.1X认证涉及三方:被认证端、认证端和认证服务器。被认证端是希望连接到LAN/WLAN的客户端设备(例如笔记本电脑)。术语“被认证端”也可互换使用,指的是在向认证端提供凭证的客户端上运行的软件。为了支持MACsec,被认证端应当能够管理MACsec密钥协商和加密数据包。认证端是一种网络访问设备,它通过向认证服务器重放被认证端的凭证来促进认证过程。认证端可以是以太网交换机或无线接入点。该认证用于验证被认证端的凭据并确定被认证端应接收的网络访问权限。认证服务器可以是RADIUS服务器。在MACsec中,认证服务器在分发主密钥材料给被认证端和认证端的过程中有着重要的作用。此外,认证服务器可以定义要应用于特定端点的MACsec策略。MACsec协定包括三个阶段:认证阶段、密钥协商和消息加密传输阶段,如图1所示。
如图1所示,在认证阶段,被认证端端口访问实体(port access entity,PAE)和认证端PAE将通过双向证书交换来共同使用传输层安全扩展认证协议(extensibleauthentication protocol transport layer security,EAP-TLS)方法进行802.1x认证过程。在成功交换和验证对端PAE证书后,两个PAE上的端口都声明为安全。定期重复该过程以重新验证PAE来增强安全性。认证阶段的默认周期为3600秒。
在密钥协定阶段的认证过程中,PAE首先协商主会话密钥(master session key,MSK)。根据MACsec密钥协定协议(MACsec Key Agreement,MKA),MSK用于生成连接关联密钥(Connectivity Association Key,CAK)。选择一个PAE作为密钥服务器,该PAE作为密钥服务器生成密钥,对密钥进行加密并将密钥发送给其它PAE。密钥服务器定期更新密钥以防止破解。密钥协定阶段的默认周期是1800秒。
在加密传输阶段,802.1AE-2006定义了对安全端口发送的消息进行加密的过程。用于加密的密钥在密钥协定期间生成并分发给所有其它PAE。
现在参考图2,其示出了两个PAE之间的MKA过程(一个指定为认证端,另一个指定为被认证端)。PAE A(被认证端)通过发送仅具有基本类型-长度-值(Type-Length-Value,TLV)信息的MACsec密钥协定协议数据单元(MACsec key agreement protocol data unit,MKPDU)来发起MKA过程。该TLV包含称为消息号(Message Number,MN)的字段,该字段对于每个MKPDU必须是唯一的,并且必须针对发送的每个数据包递增。在接收到MKPDU时,如果基本认证成功,则接收PAE B(认证端)存储接收到的MN并通过发回具有PAE B的MKPDU的响应来反映这一点,其中,PAE B的MKPDU包括潜在对端TLV。当PAE A从PAE B收到此响应时,PAE A检查响应中的潜在对端TLV。潜在对端TLV应该包含消息指示符(Message Indicator,MI)和发送给PAE B的最后一个MKPDU中使用的MN。如果潜在对端TLV中的MN较旧,则PAE A拒绝该TLV。如果潜在对端TLV是可接受的,则PAE A将PAE B添加到活跃对端列表中。一旦PAE A和PAE B彼此添加到其活跃对端列表中,就分发MKA密钥。
现在参考图3,其示出了传统的MKA过程。在图3的MKA过程中,预期一次只有一个PAE发起MKA过程。但是,根据标准,没有机制来控制PAE何时发起MKA过程。因此,如果多个PAE同步活跃起来(例如,同时启动2个设备),则这些PAE可能同步发起MKA过程。这可能导致MKA失败,并且无法建立安全的数据通道。MACsec协议没有定义防止上述场景的机制。
现在参考图4,其示出了PAE A和PAE B之间同步发起MKA协商的场景以及关联的限制或技术问题。如图4所示,PAE A和PAE B通过发送具有包含关联的消息指示符(messageindicator,MI)和MN的基本参数TLV的MKPDU来发起MKA。当PAE A接收到PAE B发送的MKPDU时,PAE A仅在接收到的MKPDU包含PAE A发送的最新MI和MN时才将PAE B添加到PAE A的活跃对端列表中。由于同步发起MKA,且同时发送PAE A和PAE B的MKPDU,因而PAE A发送的最后一个MI和MN将永远不会被PAE B回应。因此,无法建立对端活跃度,不分发MKA密钥且不能建立安全数据信道。
PAE实体之间的现有MKA协商的上述缺陷仅旨在提供传统***/机制/技术的一些问题的概述,并不旨在穷举。通过查阅以下描述,传统***/机制/技术的其它问题以及本文所述的各种非限制性实施例的相应优点会更加显而易见。
发明内容
提供本发明内容是为了介绍与用于设备之间进行同步MACsec密钥协定(MACseckey agreement,MKA)协商的***、方法和设备有关的概念,并且在下文的详细描述中进一步描述了这些概念。本发明内容不旨在识别所要求保护的主题的必要特征,也不旨在用于确定或限定所要求保护的主题的范围。
本申请的目的在于通过在竞争条件的情况下控制PAE(被认证端和认证端)之间的基本类型-长度-值(Type-Length-Value,TLV)消息交换以建立安全关联密钥(secureassociation key,SAK)通道来解决上述技术问题。
本申请的另一目的在于提供一种用于PAE实体(被认证端和认证端)之间进行同步MKA协商的***、设备和方法。
因此,本申请提供了一种***。该***用于提供同步密钥协商过程以实现安全通信,并具有多个端口访问实体。所述***包括所述多个端口访问实体中的至少一个第一端口访问实体,用于:通过向所述多个端口访问实体中的至少一个第二端口访问实体发送至少具有基本TLV信息的第一消息来发起密钥协定过程,所述TLV至少包括所述发送的第一消息的唯一消息号(message number,MN)和消息指示符(message indicator,MI);响应于所述第一消息,从所述至少一个第二端口访问实体接收至少具有潜在对端TLV的第二消息,所述潜在对端TLV至少包括所述至少一个第二端口访问实体最终接收的至少一个消息的唯一消息号(message number,MN)和消息指示符(message indicator,MI);至少基于通过所述第二消息接收的所述消息号(message number,MN),检测指示竞争条件的同步密钥协定过程会话发起的发生;如果检测到所述竞争条件,则存储通过所述第二消息接收的所述消息号(message number,MN);以及通过发送具有所述存储的消息号(message number,MN)和活跃对端TLV的第三消息来响应所述至少一个第二端口访问实体,以实现所述密钥协定过程,其中,在从所述至少一个第二端口访问实体接收到所述潜在对端TLV中与所述第一消息相关联的所述消息号(message number,MN)时,发送所述第三消息。
在一实施方式中,本申请提供了一种用于提供同步密钥协商过程以实现安全通信的方法。所述方法包括:至少一个第一端口访问实体通过向至少一个第二端口访问实体发送至少具有基本TLV信息的第一消息来发起密钥协定过程,所述TLV至少包括所述发送的第一消息的唯一消息号(message number,MN)和消息指示符(message indicator,MI);响应于所述第一消息,所述至少一个第一端口访问实体从所述至少一个第二端口访问实体接收至少具有潜在对端TLV的第二消息,所述潜在对端TLV至少包括所述至少一个第二端口访问实体最终接收的至少一个消息的唯一消息号(message number,MN)和消息指示符(messageindicator,MI);至少基于通过所述第二消息接收的所述消息号(message number,MN),检测指示竞争条件的同步密钥协定过程会话发起的发生;如果检测到所述竞争条件,则所述至少一个第一端口访问实体存储通过所述第二消息接收的所述消息号(message number,MN);以及所述至少一个第一端口访问实体通过发送具有所述存储的消息号(messagenumber,MN)和活跃对端TLV的第三消息来进行响应,以实现所述密钥协定过程,其中,在从所述至少一个第二端口访问实体接收到所述潜在对端TLV中与所述第一消息相关联的所述消息号(message number,MN)时,发送所述第三消息。
在一实施方式中,本申请提供了一种用于提供同步密钥协商过程以实现安全通信的设备。所述设备包括处理器和存储器,所述存储器耦合到所述处理器,用于执行存在于所述存储器中的多个模块。所述多个模块包括发送模块、接收模块、检测模块、存储模块和响应模块。
所述发送模块用于通过向至少一个端口访问实体发送至少具有基本TLV信息的第一消息来发起密钥协定过程,所述TLV至少包括所述发送的第一消息的唯一消息号(message number,MN)和消息指示符(message indicator,MI)。
所述接收模块用于响应于所述第一消息,从所述至少一个端口访问实体接收至少具有潜在对端TLV的第二消息,所述潜在对端TLV至少包括所述至少一个端口访问实体最终接收的至少一个消息的唯一消息号(message number,MN)和消息指示符(messageindicator,MI)。
所述检测模块用于至少基于通过所述第二消息接收的所述消息号(messagenumber,MN),检测指示竞争条件的同步密钥协定过程会话发起的发生。
所述存储模块用于检测到所述竞争条件的情况下存储通过所述第二消息接收的所述消息号(message number,MN)。
所述响应模块用于通过发送具有所述存储的消息号(message number,MN)和活跃对端TLV的第三消息来响应所述至少一个第二端口访问实体,以实现所述密钥协定过程,其中,在从所述至少一个第二端口访问实体接收到所述潜在对端TLV中与所述第一消息相关联的所述消息号(message number,MN)时,发送所述第三消息。
与可用技术相比,本申请能够在竞争条件场景下建立安全信道并且有助于实现产品的高可靠性,因为这样使得产品快速启动MACsec服务且可用于服务。
以上关于第一实施方式提及的各种选项和优选实施例也适用于其它实施方式。
附图说明
该详细说明是参考附图给出的。在附图中,参考编号最左边的数字表示所述参考编号在该附图中首次出现。所有附图使用相同数字指代相同特征的组件。
图1示出了根据现有技术的与MACsec协议相关联的认证阶段、密钥协商和消息加密传输阶段。
图2示出了根据现有技术的两个PAE之间的MKA过程。
图3示出了根据现有技术的另一MKA过程。
图4示出了根据现有技术的PAE A和PAE B之间的MKA协商的同步发起。
图5示出了根据本发明实施例的MKA会话。
图6示出了根据本发明实施例的用于提供同步密钥协商过程以实现安全通信,并具有多个端口访问实体的***。
图7示出了根据本发明实施例的用于提供同步密钥协商过程以实现安全通信的设备。
图8示出了根据本发明实施例的用于提供同步密钥协商过程以实现安全通信的方法。
应理解,附图是为了说明本申请的概念,可能未按比例绘制。
具体实施方式
本申请可以通过多种方式实施,可实施为过程、装置、***、合成物质、计算机可读存储介质等的计算机可读介质,或其中的程序指令通过光或电通信链路发送的计算机网络。在本说明书中,这些实施方式或者本申请可采取的任何其它形式都可称为技术。通常,可在本申请的范围内改变所公开过程中的步骤的顺序。
下文提供本申请的一个或多个实施例的详细描述以及图示本申请原理的附图。本申请结合这些实施例进行描述,但是本申请不限于任何实施例。本申请的范围仅由权利要求限制,并且本申请包括许多替代物、修改和等同物。下文的描述中阐述了许多具体细节,以便透彻理解本申请。这些详细内容供示例之用,在没有这些具体细节中的一些或全部的情况下,本申请仍可根据权利要求书实施。为清楚起见,未详细描述有关本申请的技术领域中已知的技术资料,以免对本申请产生不必要的混淆。
在下文的详细描述中,阐述了许多具体细节以透彻理解本申请。然而,本领域技术人员将理解,没有这些具体细节也可实践本申请。在其它情况下,未详细描述公知的方法、过程、组件、模块、单元和/或电路,以免混淆本申请。
尽管本申请实施例在这方面不受限制,但是利用“处理”、“计算”、“确定”、“建立”、“分析”、“检查”等术语的讨论可以指计算机、计算平台、计算***或其它电子计算设备的操作和/或过程,这些设备将计算机的寄存器和/或存储器中表示成物理(例如电气)量的数据操纵和变换为在该计算机的寄存器和/或存储器或可存储执行操作和/或过程的指令的其它信息非瞬时性存储介质中按照类似方式表示为物理量的其它数据。
尽管本申请实施例在这方面不受限制,但是本文使用的术语“多个”可以包括“多个”或“两个或以上”等。在整个说明书中可以使用术语“多个”来描述两个或更多组件、设备、元件、单元、参数等。除非明确指出,否则这里所描述的方法实施例不限于特定顺序或次序。另外,所描述的一部分方法实施例或其元素可以同步、同时或并行发生或执行。
公开了用于设备之间进行同步MACsec密钥协定(MACsec key agreement,MKA)协商的***、方法和设备。
虽然描述了针对用于设备之间进行同步MKA协商的***、方法和设备的各方面,但是本申请可以在任何数量的不同计算***、环境和/或配置中实现,实施例在以下示例性***、设备/节点/装置和方法中描述。
此后,借助于示例性图表和一个或多个示例来解释本发明实施例。但是,出于说明目的提供这些示例性图表和示例,以便更好地理解本发明,但不应对本发明的范围进行限制。
再次参考图4,PAE A通过发送具有基本参数类型-长度-值(Type-Length-Value,TLV)的MKPDU来发起MKA,该基本参数TLV包含关联MI和关联MN。当PAE A接收到PAE B发送的MKPDU时,PAE A在接收的MKPDU包含PAE A发送的最新MI和MN时将PAE B添加到PAE A的活跃对端列表中。由于同步发起MKA,且同时发送PAE A和PAE B的MKPDU,因此PAE A最后发送的MI和MN将永远不会被PAE B回应。因此,无法建立对端活跃性,不分发MKA密钥且不能建立安全数据信道。这种场景在整个申请中称为竞争条件。竞争条件是多个设备同步发起MKA并且同时发送PAE A和PAE B的MKPDU的条件,因此PAE A最后发送的MI和MN将永远不会被PAE B回应。
如果被认证端(发送方)能够检测到潜在对端(认证端)没有接收到最后一个MI和MN,并且被认证端可以丢弃来自认证端的MKPDU,而被认证端更新潜在对端列表中的MI和MN,则可以避免这种竞争条件。
因此,在竞争条件的情况下,本申请控制被认证端和认证端之间的基本TLV消息交换以建立安全关联密钥(secure association key,SAK)信道。本申请控制基本TLV消息交换,可以在竞争条件场景中建立安全信道并提高产品的可靠性,同时产品可以快速启动MACsec服务并且可用于服务。
因此,当双方(两个被认证端)同时交换具有基本TLV的hello而触发竞争条件时,被认证端首先丢弃来自认证端(对端)的消息并更新对端MN,同时被认证端将不进行应答。认证端发送对端MN递增1的下一条消息(基本TLV+潜在对端TLV),被认证端将使用带有活跃对端TLV的应答消息进行响应,该应答消息的MN递增1。
在一实施方式中,本申请提供了一种检测同步MKA会话发起的发生的机制,并且被认证端延迟协商直到竞争条件消失。
当被认证端从对端(认证端)接收到MKA基本参数TLV时,被认证端可以识别竞争条件,但是在被认证端之前已经向该对端发送了MKA基本参数TLV之后,被认证端没有接收到应答。在这种情况下,被认证端识别同步会话发起,被认证端将存储从被认证端的对端接收的MN但是不响应对端直到被认证端反映在潜在或活跃对端TLV下的对端MKA消息中。
现在参考图5,其示出了通过本申请的机制来避免竞争条件的MKA会话。如图5所示,由于同步发起,被认证端识别出接收到了具有MN B+1的MKPDU而不是MN A+1。被认证端记录来自对端的MN B+1。然后,被认证端可以丢弃MKPDU。认证端处理被认证端发送的初始MKPDU,并发送反映被认证端的最新MI和MN的下一个MKPDU。由于只有一方丢弃了MKPDU,因此竞争条件被破坏并且MKA过程正常进行。密钥交换可以成功,并且可以建立安全的数据信道。
现在参考图6,公开了一种用于提供同步密钥协商过程以实现安全通信的***。该***包括多个端口访问实体。该***包括多个端口访问实体中的至少一个第一端口访问实体601-1、601-2、……、601-N,在下文中统称为601。第一端口访问实体601用于通过向多个端口访问实体中的至少一个第二端口访问实体602发送至少具有基本TLV信息的第一消息来发起密钥协商过程,该TLV信息至少包括第一消息的唯一消息号(message number,MN)和消息指示符(message indicator,MI)。响应于第一消息,第一端口访问实体601从至少一个第二端口访问实体接收至少具有潜在对端TLV的第二消息。潜在对端TLV至少包括至少一个第二端口访问实体602最终接收的至少一个消息的唯一MN和MI。第一端口访问实体601至少基于与第二消息一起接收的MN来检测指示竞争条件的同步密钥协定过程会话发起的发生。如果检测到竞争条件,则第一端口访问实体601存储与第二消息一起接收的MN。然后,第一端口访问实体601通过发送具有存储的MN和活跃对端TLV的第三消息来响应至少一个第二端口访问实体,以实现密钥协定过程,其中,在从至少一个第二端口访问实体接收到潜在对端TLV中与第一消息相关联的MN时,发送第三消息。
在一实施方式中,如果多个端口访问实体中的多个第一端口访问实体同步发起密钥协定过程,则发生竞争条件。
在一实施方式中,当即使基本TLV信息已发送给对端之后,从对端接收的潜在对端TLV也不包含发送方发送的第一消息的MN时,识别竞争条件。
在一实施方式中,密钥协定过程是MAC安全(MAC security,MACsec)密钥协定协议(MACsec Key Agreement,MKA)密钥协商过程。
在一实施方式中,第一消息、第二消息和第三消息是MAC安全(MAC security,MACsec)密钥协定协议数据单元(MACsec key agreement protocol data unit,MKPDU)。
在一实施方式中,至少一个第一端口访问实体从潜在或活跃对端TLV下的至少一个第二端口访问实体接收潜在对端TLV中与第一消息相关联的消息号(message number,MN)。
在一实施方式中,至少一个第一端口访问实体还用于在竞争条件发生时保持对至少一个第二端口访问实体的响应,直到避免竞争条件。
在一实施方式中,当被认证端反映在潜在或活跃对端TLV下的对端MKA消息中时,避免竞争条件。
在一实施方式中,该***是对现有技术的技术进步,因为该***在端口访问实体之间提供同步MACsec密钥协定(MACsec Key Agreement,MKA)协商以实现有线网络上的安全通信。
在一实施方式中,至少一个第二端口访问实体用于处理接收的第一消息。
尽管考虑到至少一个第一端口访问实体601实施为第一端口访问实体来解释本发明,但是可以理解,至少一个第一端口访问实体601也可以在各种计算***,例如手提电脑、台式计算机、笔记本、工作站、大型计算机、服务器、网络服务器等中实施。应当理解,多个用户可以通过一个或多个用户设备或驻留在用户设备上的应用来访问至少一个第一端口访问实体601。至少一个第一端口访问实体601的示例可以包括但不限于便携式计算机、个人数字助理、手持设备和工作站。至少一个第一端口访问实体601通过网络(未示出)通信式地耦合到至少一个第二端口访问实体602。
在一实施方式中,网络可以是无线网络、有线网络或其组合。网络可以实施为不同类型的网络之一,例如内网、局域网(local area network,LAN)、广域网(wide areanetwork,WAN)、互联网等。网络可以是专用网络或共享网络。共享网络表示使用各种协议的不同类型网络的结合,例如,超文本传输协议(Hypertext Transfer Protocol,HTTP)、传输控制协议/互联网协议(Transmission Control Protocol/Internet Protocol,TCP/IP)、无线应用协议(Wireless Application Protocol,WAP)等,以相互通信。此外,网络可以包括各种网络设备,包括路由器、网桥、服务器、计算设备、存储设备等。
现在参考图7,其示出了根据本发明实施例的用于提供同步密钥协商过程以实现安全通信的设备700。
在一实施例中,设备700包括存储器706和与存储器706通信的处理器702。可选地,设备700包括I/O接口704和耦合存储器706、处理器702和通信接口704的互连机制。处理器702可以实施为一个或多个微处理器、微计算机、微控制器、数字信号处理器、中央处理器、状态机、逻辑电路,和/或基于操作指令操纵信号的任何设备。在其它能力中,至少一个处理器702用于获取并执行存储在存储器706中的计算机可读指令。
I/O接口704可以包括各种软件和硬件接口,例如,web接口、图形用户界面等。I/O接口704可以允许设备700直接或通过用户设备704与用户交互。此外,I/O接口704可以使设备700能够与其它计算设备通信,例如web服务器和外部数据服务器(未示出)。I/O/用户接口704可以促进各种网络和协议类型中的多种通信,包括LAN、电缆等有线网络,以及WLAN、蜂窝网或卫星等无线网络。I/O接口704可以包括一个或多个端口,用于将多个设备彼此连接或连接到另一服务器。
存储器706可以包括本领域中已知的任何计算机可读介质,包括静态随机存取存储器(static random access memory,SRAM)和动态随机存取存储器(dynamic randomaccess memory,DRAM)等易失性存储器,和/或只读存储器(read only memory,ROM)、可擦除可编程ROM、闪存、硬盘、光盘和磁带等非易失性存储器。存储器706可以包括模块和数据(未示出)。
模块包括执行特定任务或实施特定抽象数据类型的例程、程序、对象、组件、数据结构等。在一实施例中,多个模块包括发送模块708、接收模块710、检测模块712、存储模块714和响应模块716。
发送模块708用于通过向至少一个端口访问实体发送至少具有基本TLV信息的第一消息来发起密钥协定过程,该TLV至少包括发送的第一消息的唯一消息号(messagenumber,MN)和消息指示符(message indicator,MI)。
接收模块710用于响应于第一消息,从至少一个端口访问实体接收至少具有潜在对端TLV的第二消息,该潜在对端TLV至少包括至少一个端口访问实体最终接收的至少一个消息的唯一消息号(message number,MN)和消息指示符(message indicator,MI)。
检测模块712用于至少基于通过第二消息接收的消息号(message number,MN),检测指示竞争条件的同步密钥协定过程会话发起的发生。
存储模块714用于在检测到竞争条件的情况下存储通过第二消息接收的消息号(message number,MN)。
响应模块716用于通过发送具有存储的消息号(message number,MN)和活跃对端TLV的第三消息来响应至少一个第二端口访问实体,以实现密钥协定过程,其中,在从至少一个第二端口访问实体接收到潜在对端TLV中与第一消息相关联的消息号(messagenumber,MN)时,发送第三消息。
在一实施方式中,如果多个设备同步发起密钥协定过程,则发生竞争条件。
在一实施方式中,当即使基本TLV信息已发送给对端之后,从对端接收的潜在对端TLV也不包含发送方发送的第一消息的消息号(message number,MN)时,识别竞争条件。
在一实施方式中,密钥协定过程是MAC安全(MAC security,MACsec)密钥协定协议(MACsec Key Agreement,MKA)密钥协商过程。
在一实施方式中,第一消息、第二消息和第三消息是MAC安全(MAC security,MACsec)密钥协定协议数据单元(MACsec key agreement protocol data unit,MKPDU)。
在一实施方式中,至少一个第一端口访问实体从潜在或活跃对端TLV下的至少一个第二端口访问实体接收潜在对端TLV中与第一消息相关联的消息号(message number,MN)。
在一实施方式中,设备还用于在竞争条件发生时保持对至少一个第二端口访问实体的响应,直到避免竞争条件。
在一实施方式中,当被认证端反映在潜在或活跃对端TLV下的对端MKA消息中时,避免竞争条件。
在一实施方式中,至少一个第二端口访问实体用于处理接收的第一消息。
现在参考图8,其示出了根据本发明实施例的用于提供同步密钥协商过程以实现安全通信的方法。可以在计算机可执行指令的一般上下文中描述该方法。一般而言,计算机可执行指令可以包括执行特定功能或实施特定抽象数据类型的例程、程序、对象、组件、数据结构、过程、模块、功能等。该方法还可以在分布式计算环境中实践,其中,功能由通过通信网络链接的远程处理设备执行。在分布式计算环境中,计算机可执行指令可以位于本地和远程计算机存储介质中,包括存储器存储设备。
描述该方法的顺序不旨在视为限制,并且可以以任何顺序组合任何数量的所述方法的步骤以实施该方法或替代方法。另外,可以从该方法中删除各个步骤而不脱离本文所述的主题的保护范围。此外,该方法可以以任何合适的硬件、软件、固件或其组合来实施。但是,为了便于解释,在下文描述的实施例中,可以认为该方法在上述设备700和/或至少一个第二端口访问实体601中实施。
在步骤802处,至少一个第一端口访问实体通过向至少一个第二端口访问实体发送至少具有基本TLV信息的第一消息来发起密钥协定过程,该TLV至少包括第一消息的唯一消息号(message number,MN)和消息指示符(message indicator,MI)。
在一实施方式中,密钥协定过程是MAC安全(MAC security,MACsec)密钥协定协议(MACsec Key Agreement,MKA)密钥协商过程。
在步骤804处,响应于第一消息,至少一个第一端口访问实体601从至少一个第二端口访问实体602接收至少具有潜在对端TLV的第二消息,该潜在对端TLV至少包括至少一个第二端口访问实体602最终接收的至少一个消息的唯一消息号(message number,MN)和消息指示符(message indicator,MI)。
在一实施例中,第一端口访问实体601从潜在或活跃对端TLV下的至少一个第二端口访问实体接收潜在对端TLV中与第一消息相关联的消息号(message number,MN)。
在步骤806处,至少一个第一端口访问实体601至少基于通过第二消息接收的消息号(message number,MN),检测指示竞争条件的同步密钥协定过程会话发起的发生。
在一实施例中,在检测到竞争条件时,至少一个第二端口访问实体601保持对至少一个第二端口访问实体602发送响应,直到避免竞争条件。
在步骤808处,如果检测到竞争条件,则至少一个第一端口访问实体601存储通过第二消息接收的消息号(message number,MN)。当即使基本TLV信息已发送给对端之后,从对端接收的潜在对端TLV也不包含发送方发送的第一消息的消息号(message number,MN)时,识别竞争条件。
在一实施方式中,如果多个端口访问实体中的多个第一端口访问实体同步发起密钥协定过程,则发生竞争条件。
在步骤808处,当至少一个第一端口访问实体601从至少一个第二端口访问实体接收到潜在对端TLV中与第一消息相关联的消息号(message number,MN)时,至少一个第一端口访问实体601通过发送具有存储的消息号(message number,MN)和活跃对端TLV的第三消息来响应至少一个第二端口访问实体602,以实现密钥协定过程。
在一实施例中,第一实体601在避免检测到的竞争条件时响应第二实体。当被认证端反映在潜在或活跃对端TLV下的对端MKA消息中时,避免竞争条件。
该方法是对现有技术文献的技术进步,因为该方法在端口访问实体之间提供同步MACsec密钥协定(MACsec Key Agreement,MKA)协商以实现有线网络上的安全通信。
在一实施例中,第一消息、第二消息和第三消息是MAC安全(MAC security,MACsec)密钥协定协议数据单元(MACsec key agreement protocol data unit,MKPDU)。
除了上文讨论的内容之外,本发明的一些其它优点和特征如下所述:
i.本申请使得在检测到竞争条件时,被认证端能够在被认证端处丢弃对端的“hello”消息。
ii.本申请使得被认证端能够记录对端的消息号。
iii.本申请使得被认证端能够发送来自认证端的具有递增号的响应。
iv.本申请使得能够在竞争条件场景中建立安全信道。
v.本申请实现了产品的高可靠性,因为这使得产品快速启动MACsec服务且可用于服务。
本领域技术人员可以理解,可使用任何已知的或新的算法来实施本申请。然而,需要注意的是,不管使用何种已知的或新的算法,本申请提供了一种可在备份操作中使用的方法,以实现上述提到的益处和技术进步。
本领域普通技术人员能够认识到,结合本说明书所公开实施例中描述的示例,可以通过电子硬件或计算机软件与电子硬件的组合实现单元和算法步骤。功能是由硬件还是由软件执行取决于技术方案的特定应用和设计约束条件。本领域技术人员可使用不同方法实现每个特定应用的所描述功能,但是不应认为该实现超出了本申请范围。
在本申请提供的若干实施例中,应理解,所公开的***、装置和方法可通过其它方式实现。例如,所描述的装置实施例仅仅是示例性的。例如,单元划分仅仅是逻辑功能划分,在实际实现中可以是其它划分。例如,可将多个单元或部件合并或集成到另一***中,或可忽略或不执行部分特征。另外,可通过一些接口实现所显示或论述的互相耦合或直接耦合或通信连接。装置或单元之间的间接耦合或通信连接可通过电子、机械或其它形式实现。
当这些功能以软件功能单元的形式实现以及作为单独产品销售或使用时,它们可存储在计算机可读存储介质中。基于这种理解,本申请的技术方案基本上或构成现有技术的部分或技术方案的部分可通过软件产品的形式实现。计算机软件产品存储在存储介质中,包括若干指令,用于指示计算机节点(其可为为个人计算机、服务器或网络节点)执行本申请实施例中所描述的方法的所有或部分步骤。上述存储介质包括:可以存储程序代码的任何介质,例如USB盘、可移动硬盘、只读存储器(Read-Only Memory,ROM)、随机存取存储器(Random Access Memory,RAM)、磁盘或光盘。
除非另有明确规定,否则相互通信的设备不必连续地相互通信。另外,相互通信的设备可以直接通信或通过一个或多个媒介间接通信。
当在本文中描述单个设备或物品时,显而易见的是,可使用不止一个设备/物品(不管它们是否能配合)来代替该单个设备/物品。类似地,在本文描述了不止一个设备或物品(无论它们是否能配合)的情况下,显而易见的是,可使用单个设备/物品来代替所述不止一个设备或物品,或可使用不同数量的设备/物品来代替所示数量的设备或程序。或者,设备的功能和/或特征可由一个或多个没有明确说明具有这种功能/特征的其它设备来体现。因此,本申请的其它实施例无需包括设备本身。
尽管已经用结构特征和/或方法专用的语言描述了用于设备之间进行同步MACsec密钥协定(MACsec key agreement,MKA)协商的***、方法和设备的实施,但是应该理解,所附权利要求不一定限于所描述的特定特征或方法。更确切地说,所述特定特征和方法是作为设备之间进行同步MACsec密钥协定(MACsec key agreement,MKA)协商的***、方法以及设备的实施示例来公开的。
Claims (26)
1.一种用于提供同步密钥协定过程的***,其具有多个端口访问实体,其特征在于,所述***包括:
所述多个端口访问实体中的至少一个第一端口访问实体,用于:
通过向所述多个端口访问实体中的至少一个第二端口访问实体发送具有基本类型-长度-值(TLV)信息的第一消息来发起密钥协定过程,所述TLV信息包括对所述第一消息唯一的消息号(MN)和消息指示符(MI);
响应于所述第一消息,从所述至少一个第二端口访问实体接收具有潜在对端TLV的第二消息,所述潜在对端TLV包括对所述至少一个第二端口访问实体最终接收的至少一个消息唯一的MN和MI;
基于所述第二消息中的所述MN,检测指示竞争条件的同步密钥协定过程会话发起的发生;
检测到所述竞争条件的情况下存储所述第二消息中的所述MN;以及
通过向所述至少一个第二端口访问实体发送具有所述存储的MN和活跃对端TLV的第三消息来响应,以实现所述密钥协定过程,其中,所述第三消息在从所述至少一个第二端口访问实体接收到潜在对端TLV中与所述第一消息相关联的所述MN时被发送。
2.根据权利要求1所述的***,其特征在于,当即使所述基本TLV信息已发送给所述对端之后,从所述对端接收的所述潜在对端TLV也不包含所述第一消息的所述MN时,识别所述竞争条件。
3.根据权利要求1或2所述的***,其特征在于,所述密钥协定过程是媒体访问控制(MAC)安全(MACsec)密钥协定协议(MKA)密钥协商过程。
4.根据权利要求1或2所述的***,其特征在于,所述第一消息是媒体访问控制(MAC)安全(MACsec)密钥协定协议数据单元(MKPDU)。
5.根据权利要求1或2所述的***,其特征在于,所述至少一个第一端口访问实体从潜在或活跃对端TLV下的所述至少一个第二端口访问实体接收所述潜在对端TLV中与所述第一消息相关联的所述MN。
6.根据权利要求1或2所述的***,其特征在于,所述至少一个第一端口访问实体还用于在所述竞争条件发生时保持对所述至少一个第二端口访问实体的响应,直到所述竞争条件被避免。
7.根据权利要求1或2所述的***,其特征在于,当被认证端反映在潜在或活跃对端TLV下的对端媒体访问控制安全密钥协定协议(MKA)消息中时,避免所述竞争条件。
8.根据权利要求1或2所述的***,其特征在于,所述至少一个第二端口访问实体用于处理所述第一消息。
9.一种用于提供同步密钥协定过程以实现安全通信的方法,其特征在于,所述方法包括:
至少一个第一端口访问实体通过向至少一个第二端口访问实体发送具有基本类型-长度-值(TLV)信息的第一消息来发起密钥协定过程,所述TLV信息包括对所述第一消息唯一的消息号(MN)和消息指示符(MI);
响应于所述第一消息,所述至少一个第一端口访问实体从所述至少一个第二端口访问实体接收至少具有潜在对端TLV的第二消息,所述潜在对端TLV包括所述至少一个第二端口访问实体最终接收的至少一个消息的唯一MN和MI;
所述至少一个第一端口访问实体至少基于通过所述第二消息接收的所述MN,检测指示竞争条件的同步密钥协定过程会话发起的发生;
如果检测到所述竞争条件,则所述至少一个第一端口访问实体存储通过所述第二消息接收的所述MN;以及
所述至少一个第一端口访问实体通过发送具有所述存储的MN和活跃对端TLV的第三消息来进行响应,以实现所述密钥协定过程,其中,在从所述至少一个第二端口访问实体接收到潜在对端TLV中与所述第一消息相关联的所述MN时,发送所述第三消息。
10.根据权利要求9所述的方法,其特征在于,如果所述多个端口访问实体中的多个第一端口访问实体同步发起密钥协定过程,则发生所述竞争条件。
11.根据权利要求9或10所述的方法,其特征在于,当即使所述基本TLV信息已发送给所述对端之后,从所述对端接收的所述潜在对端TLV也不包含所述发送方发送的所述第一消息的所述MN时,识别所述竞争条件。
12.根据权利要求9或10所述的方法,其特征在于,所述密钥协定过程是媒体访问控制(MAC)安全(MACsec)密钥协定协议(MKA)密钥协商过程。
13.根据权利要求9或10任一项所述的方法,其特征在于,所述第一消息是MAC安全(MACsec)密钥协定协议数据单元(MKPDU)。
14.根据权利要求9或10所述的方法,其特征在于,还包括:所述至少一个第一端口访问实体从潜在或活跃对端TLV下的所述至少一个第二端口访问实体接收所述潜在对端TLV中与所述第一消息相关联的所述MN。
15.根据权利要求9或10所述的方法,其特征在于,还包括:所述至少一个第一端口访问实体在所述竞争条件发生时保持对所述至少一个第二端口访问实体的响应,直到避免所述竞争条件。
16.根据权利要求9或10所述的方法,其特征在于,当被认证端反映在潜在或活跃对端TLV下的对端媒体访问控制安全密钥协定协议(MKA)消息中时,避免所述竞争条件。
17.根据权利要求9或10所述的方法,其特征在于,还包括:通过所述至少一个第二端口访问实体处理所述第一消息。
18.一种用于提供同步密钥协定过程以实现安全通信的设备,其特征在于,所述设备包括:
处理器;
存储器,其耦合到所述处理器,用于执行存在于所述存储器中的多个模块的指令,所述多个模块包括:
发送模块,用于通过向至少一个端口访问实体发送具有基本类型-长度-值(TLV)信息的第一消息来发起密钥协定过程,所述TLV信息包括对所述第一消息唯一的消息号(MN)和消息指示符(MI);
接收模块,用于:响应于所述第一消息,从所述至少一个端口访问实体接收具有潜在对端TLV的第二消息,所述潜在对端TLV包括所述至少一个端口访问实体最终接收的至少一个消息的唯一MN和MI;
检测模块,用于:基于通过所述第二消息接收的所述MN,检测指示竞争条件的同步密钥协定过程会话发起的发生;
存储模块,用于:检测到所述竞争条件的情况下存储通过所述第二消息接收的所述MN;以及
响应模块,用于:通过向所述至少一个端口访问实体发送具有所述存储的MN和活跃对端TLV的第三消息来进行响应,以实现所述密钥协定过程,其中,在从所述至少一个端口访问实体接收到所述潜在对端TLV中与所述第一消息相关联的所述MN时,发送所述第三消息。
19.根据权利要求18所述的设备,其特征在于,如果多个设备同步发起密钥协定过程,则发生所述竞争条件。
20.根据权利要求18或19所述的设备,其特征在于,当即使所述基本TLV信息已发送给所述对端之后,从所述对端接收的所述潜在对端TLV也不包含所述发送方发送的所述第一消息的所述消息号(MN)时,识别所述竞争条件。
21.根据权利要求18或19所述的设备,其特征在于,所述密钥协定过程是MAC安全(MACsec)密钥协定协议(MKA)密钥协商过程。
22.根据权利要求18或19所述的设备,其特征在于,所述第一消息是MAC安全(MACsec)密钥协定协议数据单元(MKPDU)。
23.根据权利要求18或19任一项所述的设备,其特征在于从潜在或活跃对端TLV下的所述至少一个端口访问实体接收所述潜在对端TLV中与所述第一消息相关联的所述MN。
24.根据权利要求18或19所述的设备,其特征在于,所述设备还用于在所述竞争条件发生时保持对所述至少一个端口访问实体的响应,直到避免所述竞争条件。
25.根据权利要求18或19所述的设备,其特征在于,当被认证端反映在潜在或活跃对端TLV下的对端媒体访问控制安全密钥协定协议(MKA)消息中时,避免所述竞争条件。
26.根据权利要求18或19所述的设备,其特征在于,所述至少一个端口访问实体用于处理所述第一消息。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110064593.8A CN112910637B (zh) | 2016-11-26 | 2017-11-15 | 用于设备之间mka协商的***、方法和设备 |
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| IN201641040427 | 2016-11-26 | ||
| IN201641040427 | 2016-11-26 | ||
| PCT/CN2017/111141 WO2018095256A1 (en) | 2016-11-26 | 2017-11-15 | System, method and devices for mka negotiation between the devices |
Related Child Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202110064593.8A Division CN112910637B (zh) | 2016-11-26 | 2017-11-15 | 用于设备之间mka协商的***、方法和设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN110024325A CN110024325A (zh) | 2019-07-16 |
| CN110024325B true CN110024325B (zh) | 2021-01-29 |
Family
ID=62194712
Family Applications (2)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202110064593.8A Active CN112910637B (zh) | 2016-11-26 | 2017-11-15 | 用于设备之间mka协商的***、方法和设备 |
| CN201780073042.XA Active CN110024325B (zh) | 2016-11-26 | 2017-11-15 | 用于设备之间mka协商的***、方法和设备 |
Family Applications Before (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202110064593.8A Active CN112910637B (zh) | 2016-11-26 | 2017-11-15 | 用于设备之间mka协商的***、方法和设备 |
Country Status (4)
| Country | Link |
|---|---|
| US (2) | US10904368B2 (zh) |
| EP (2) | EP3860039B1 (zh) |
| CN (2) | CN112910637B (zh) |
| WO (1) | WO2018095256A1 (zh) |
Families Citing this family (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10637865B2 (en) * | 2017-10-16 | 2020-04-28 | Juniper Networks, Inc. | Fast heartbeat liveness between packet processing engines using media access control security (MACSEC) communication |
| US11075907B2 (en) * | 2017-12-20 | 2021-07-27 | Korea University Research And Business Foundation | End-to-end security communication method based on mac protocol using software defined-networking, and communication controller and computer program for the same |
| US20210092103A1 (en) * | 2018-10-02 | 2021-03-25 | Arista Networks, Inc. | In-line encryption of network data |
| US11411915B2 (en) | 2019-01-09 | 2022-08-09 | Cisco Technology, Inc. | Leveraging MACsec key agreement (MKA) state events to trigger fast IGP/EGP convergence on MACsec encrypted links |
| US11323437B1 (en) * | 2019-07-09 | 2022-05-03 | Juniper Networks, Inc. | Monitoring a media access control security session |
| US11349817B2 (en) | 2019-12-23 | 2022-05-31 | Intel Corporation | Session management framework for secure communications between host devices and trusted devices |
| US11711367B2 (en) * | 2020-03-19 | 2023-07-25 | Juniper Networks, Inc. | Continuing a media access control security (MACsec) key agreement (MKA) session upon a network device becoming temporarily unavailable |
| US11381391B2 (en) | 2020-06-15 | 2022-07-05 | Cisco Technology, Inc. | Pre-shared secret key capabilities in secure MAC layer communication protocols |
| CN113973001A (zh) * | 2020-07-25 | 2022-01-25 | 华为技术有限公司 | 一种认证密钥的更新方法及装置 |
| US11349780B2 (en) * | 2020-09-03 | 2022-05-31 | Mellanox Technologies, Ltd. | Enhancing port link-up time |
| US11764969B2 (en) * | 2020-12-01 | 2023-09-19 | Schweitzer Engineering Laboratories, Inc. | Media access control security (MACsec) sandboxing for suspect devices |
| US11722501B2 (en) * | 2021-03-17 | 2023-08-08 | Schweitzer Engineering Laboratories. Inc. | Device management in power systems using media access control security (MACsec) |
| CN114567478B (zh) * | 2022-02-24 | 2024-07-02 | 北京华三通信技术有限公司 | 通信方法及装置 |
Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102857521A (zh) * | 2012-10-12 | 2013-01-02 | 盛科网络(苏州)有限公司 | 设置oam安全认证的方法及装置 |
Family Cites Families (32)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7096494B1 (en) * | 1998-05-05 | 2006-08-22 | Chen Jay C | Cryptographic system and method for electronic transactions |
| US7116668B2 (en) * | 2001-10-09 | 2006-10-03 | Telefunaktiebolaget Lm Ericsson (Publ) | Method for time stamp-based replay protection and PDSN synchronization at a PCF |
| US7325246B1 (en) * | 2002-01-07 | 2008-01-29 | Cisco Technology, Inc. | Enhanced trust relationship in an IEEE 802.1x network |
| US7269730B2 (en) * | 2002-04-18 | 2007-09-11 | Nokia Corporation | Method and apparatus for providing peer authentication for an internet key exchange |
| CA2495539C (en) * | 2002-08-16 | 2010-08-10 | Togewa Holding Ag | Method and system for gsm authentication during wlan roaming |
| US7350077B2 (en) * | 2002-11-26 | 2008-03-25 | Cisco Technology, Inc. | 802.11 using a compressed reassociation exchange to facilitate fast handoff |
| US7171555B1 (en) * | 2003-05-29 | 2007-01-30 | Cisco Technology, Inc. | Method and apparatus for communicating credential information within a network device authentication conversation |
| RU2322766C2 (ru) * | 2003-06-18 | 2008-04-20 | Телефонактиеболагет Лм Эрикссон (Пабл) | Способ, система и устройства для поддержки услуг протокола ip мобильной связи, версии 6 |
| WO2006022469A1 (en) * | 2004-08-25 | 2006-03-02 | Electronics And Telecommunications Research Institute | Method for security association negociation with extensible authentication protocol in wireless portable internet system |
| CN101156412B (zh) * | 2005-02-11 | 2011-02-09 | 诺基亚公司 | 用于在通信网络中提供引导过程的方法和装置 |
| US7562224B2 (en) * | 2005-04-04 | 2009-07-14 | Cisco Technology, Inc. | System and method for multi-session establishment for a single device |
| EP1900170B1 (en) * | 2005-06-29 | 2017-11-15 | Telecom Italia S.p.A. | Short authentication procedure in wireless data communications networks |
| US8705550B2 (en) * | 2005-08-08 | 2014-04-22 | Qualcomm Incorporated | Device interface architecture and protocol |
| JP4979715B2 (ja) * | 2006-02-09 | 2012-07-18 | シスコ テクノロジー インコーポレーテッド | ワイヤレス・ネットワークのための高速ハンドオフ支援 |
| US20090063851A1 (en) * | 2006-03-20 | 2009-03-05 | Nijdam Mark J | Establishing communications |
| US8578159B2 (en) * | 2006-09-07 | 2013-11-05 | Motorola Solutions, Inc. | Method and apparatus for establishing security association between nodes of an AD HOC wireless network |
| US9225518B2 (en) * | 2006-12-08 | 2015-12-29 | Alcatel Lucent | Method of providing fresh keys for message authentication |
| EP1973265A1 (en) * | 2007-03-21 | 2008-09-24 | Nokia Siemens Networks Gmbh & Co. Kg | Key refresh in SAE/LTE system |
| CN101807998A (zh) * | 2009-02-13 | 2010-08-18 | 英飞凌科技股份有限公司 | 认证 |
| US8509448B2 (en) | 2009-07-29 | 2013-08-13 | Motorola Solutions, Inc. | Methods and device for secure transfer of symmetric encryption keys |
| WO2011113873A1 (en) * | 2010-03-17 | 2011-09-22 | Telefonaktiebolaget L M Ericsson (Publ) | Enhanced key management for srns relocation |
| US8301180B1 (en) * | 2010-05-17 | 2012-10-30 | Sprint Communications Company L.P. | System and methods for robust messaging |
| US9350708B2 (en) * | 2010-06-01 | 2016-05-24 | Good Technology Corporation | System and method for providing secured access to services |
| US20130305332A1 (en) * | 2012-05-08 | 2013-11-14 | Partha Narasimhan | System and Method for Providing Data Link Layer and Network Layer Mobility Using Leveled Security Keys |
| US8995667B2 (en) * | 2013-02-21 | 2015-03-31 | Telefonaktiebolaget L M Ericsson (Publ) | Mechanism for co-ordinated authentication key transition for IS-IS protocol |
| US9497074B2 (en) * | 2013-04-23 | 2016-11-15 | Telefonaktiebolaget L M Ericsson (Publ) | Packet data unit (PDU) structure for supporting distributed relay control protocol (DRCP) |
| CN103401682B (zh) * | 2013-07-19 | 2016-12-28 | 杭州华三通信技术有限公司 | 加密套件的处理方法及设备 |
| CN103501298B (zh) * | 2013-09-29 | 2016-07-20 | 杭州华三通信技术有限公司 | 一种不中断业务升级过程中保证链路不断流的方法和设备 |
| US20150201045A1 (en) * | 2014-01-13 | 2015-07-16 | Transcirrus | Automatic connection of nodes to a cloud cluster |
| CN105450547A (zh) * | 2014-08-22 | 2016-03-30 | 华为技术有限公司 | 一种按需分配带宽的方法及装置 |
| US9930049B2 (en) * | 2015-01-16 | 2018-03-27 | Cisco Technology, Inc. | Method and apparatus for verifying source addresses in a communication network |
| US20160373441A1 (en) * | 2015-06-16 | 2016-12-22 | Avaya Inc. | Providing secure networks |
-
2017
- 2017-11-15 CN CN202110064593.8A patent/CN112910637B/zh active Active
- 2017-11-15 WO PCT/CN2017/111141 patent/WO2018095256A1/en unknown
- 2017-11-15 EP EP21163714.5A patent/EP3860039B1/en active Active
- 2017-11-15 EP EP17873385.3A patent/EP3535926B1/en active Active
- 2017-11-15 CN CN201780073042.XA patent/CN110024325B/zh active Active
-
2019
- 2019-05-23 US US16/420,959 patent/US10904368B2/en active Active
-
2020
- 2020-12-16 US US17/123,631 patent/US20210105348A1/en not_active Abandoned
Patent Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102857521A (zh) * | 2012-10-12 | 2013-01-02 | 盛科网络(苏州)有限公司 | 设置oam安全认证的方法及装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| EP3535926A4 (en) | 2019-09-11 |
| CN110024325A (zh) | 2019-07-16 |
| CN112910637A (zh) | 2021-06-04 |
| EP3860039B1 (en) | 2023-09-13 |
| EP3535926B1 (en) | 2021-04-28 |
| US20210105348A1 (en) | 2021-04-08 |
| WO2018095256A1 (en) | 2018-05-31 |
| CN112910637B (zh) | 2022-04-22 |
| EP3860039A1 (en) | 2021-08-04 |
| EP3535926A1 (en) | 2019-09-11 |
| US20190281031A1 (en) | 2019-09-12 |
| US10904368B2 (en) | 2021-01-26 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110024325B (zh) | 用于设备之间mka协商的***、方法和设备 | |
| US10848320B2 (en) | Device-assisted verification | |
| US10491580B2 (en) | Methods and apparatuses for enabling an establishment of a second secure session over a communication network | |
| US8838957B2 (en) | Stateless cryptographic protocol-based hardware acceleration | |
| EP2105819B1 (en) | Efficient and secure authentication of computing systems | |
| US20190386824A1 (en) | Failover in a media access control security capabale device | |
| US20180302269A1 (en) | Failover in a Media Access Control Security Capable Device | |
| EP3065334A1 (en) | Key configuration method, system and apparatus | |
| US20130276060A1 (en) | Methods and systems for fallback modes of operation within wireless computer networks | |
| US10824744B2 (en) | Secure client-server communication | |
| US10158608B2 (en) | Key establishment for constrained resource devices | |
| WO2019178942A1 (zh) | 一种进行ssl握手的方法和*** | |
| JP2004201288A (ja) | ネットワーク通信のためのレイヤ間の高速認証または再認証 | |
| US10721061B2 (en) | Method for establishing a secure communication session in a communications system | |
| US10659228B2 (en) | Method for establishing a secure communication session in a communications system | |
| Moreira et al. | Security mechanisms to protect IEEE 1588 synchronization: State of the art and trends | |
| CN108040071B (zh) | 一种VoIP音视频加密密钥动态切换方法 | |
| US11368325B2 (en) | System for communication on a network | |
| EP3932044B1 (en) | Automatic distribution of dynamic host configuration protocol (dhcp) keys via link layer discovery protocol (lldp) | |
| CN113950802B (zh) | 用于执行站点到站点通信的网关设备和方法 | |
| WO2016045307A1 (zh) | Ike认证方法、ike发起终端、ike响应终端及ike认证*** | |
| US20240146719A1 (en) | Hitless shared secret rotation | |
| Mæland et al. | Distributed Trust Empowerment for Secure Offline Communications | |
| Grochla et al. | Extending the TLS protocol by EAP handshake to build a security architecture for heterogenous wireless network | |
| Vasic et al. | Security Agility Solution Independent of the Underlaying Protocol Architecture. |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |