[发明专利]安全连接关联主密钥的更新方法和服务器及网络系统

说明书

技术领域

本发明涉及安全连接关联主密钥的更新技术，尤其涉及安全连接关联主密钥的更新方法和安全连接关联主密钥服务器及更新安全连接关联主密钥的网络系统。

背景技术

美国电气和电子工程师学会(IEEE)对网络链路层的安全技术进行了研究，提出使用媒体接入控制安全(Media Access Control Security，MACsec)来保护二层通信的安全，防范二层的攻击；具体来说，作为发送端的MACsec实体(MAC Security Entity，SecY)使用安全关联密钥(Secure AssociationKey，SAK)对发送的数据进行加密，作为接收端的SecY在接收到加密数据后，使用相同的密钥来解密以获得数据，这样就实现了数据传输的机密性。

SecY为同一安全连接关联(Secure Connectivity Association，CA)中的成员时，它们才能进行MACSec通讯，CA成员发送的MACsec帧只有同一CA中的成员才能够解密。MACsec通信指同一CA内的成员使用MACsec帧的格式进行安全通信。安全连接关联主密钥(Secure Connectivity Association key，CAK)是CA成员互相进行认证的凭据，成员依据CAK建立信任关系，在建立信任关系过程中，每个成员互相比较CAK，若CAK相同则认为对方可信。每个成员使用CAK来协商产生SAK，SAK用以加密发送的数据。CAK可以在通过认证后从认证服务器获得，也可以预先配置。

请参考图1，为现有技术扩展认证协议(Extensible Authentication.Protocol，EAP)认证系统示意图。其中，包括，请求者(supplicant)A 101、请求者B 102、认证服务器(Authenticator Server)104和认证者(Authenticator)103。请求者A/请求者B与认证服务器104使用EAP进行认证。认证通过后，请求者A101和认证者103利用EAP方法生成一对成对主密钥(Pairwise Master Key，PMK)；请求者B 102和认证者103利用EAP方法生成另一对PMK；这两对PMK是不相同的。请求者A 101、请求者B 102和认证者103为CA成员，请求者A 101、请求者B 102和认证者103把PMK当作CAK使用，因为请求者A 101和请求者B 102使用的CAK不同，它们之间不能进行MACsec通信。成员之间具有相同的CAK，才能进行MACsec通信；现有技术中，没有更新成员的CAK的方法，以使得更新后的成员之间的CAK相同。

发明内容

本发明实施例要解决的技术问题是提供安全连接关联主密钥的更新方法和服务器及网络系统，以实现更新成员的CAK。

为解决上述技术问题，本发明实施例的目的是通过以下技术方案实现的：

一种安全连接关联主密钥的更新方法，包括：检测出同一安全连接关联中的不同成员的安全连接关联主密钥不同时或接收到更新安全连接关联的安全连接关联主密钥的请求信息时，生成安全连接关联的安全连接关联主密钥，向安全连接关联中的每个成员发送安全连接关联主密钥；成员接收到安全连接关联主密钥后，根据安全连接关联主密钥更新保存的安全连接关联主密钥。

一种安全连接关联主密钥的更新方法，包括：周期生成安全连接关联的安全连接关联主密钥，向安全连接关联中的每个成员发送安全连接关联主密钥；成员接收到安全连接关联主密钥后，根据安全连接关联主密钥更新保存的安全连接关联主密钥。

一种安全连接关联主密钥服务器，包括：安全连接关联主密钥检测单元，用于检测同一安全连接关联中的不同成员的安全连接关联主密钥是否相同；当检测出同一安全连接关联中的不同成员的安全连接关联主密钥不相同时，发送安全连接关联的安全连接关联主密钥的生成请求信息；安全连接关联主密钥生成单元，用于接收安全连接关联主密钥检测单元发送的生成请求信息，生成安全连接关联的安全连接关联主密钥，并发送安全连接关联主密钥；安全连接关联主密钥发送单元，用于接收安全连接关联主密钥生成单元发送的安全连接关联主密钥，向安全连接关联中的每个成员发送安全连接关联主密钥。