[发明专利]一种数据链路层安全通信中设备发现方法

说明书

技术领域

本发明涉及网络安全领域，特别涉及一种能够兼容常规交换设备与TLSec交换设备的网络安全通信中设备发现方法。 

背景技术

局域网数据链路层安全是网络通信的重大研究课题，目前国际上IEEE发布了数据链路层安全IEEE802.1AE标准即Media Access Control(MAC)Security，该标准定义了数据链路层的加密。IEEE802.1AF(开发中)定义了用于802.1AE的密钥协商和管理。IEEE802.1AR(开发中)定义了网络和网络连接的设备如何鉴别和验证彼此身份的协议。IEEE802.1AE、IEEE802.1AF和IEEE802.1AR构成了以太网网络接入控制的新架构。 

我们对该课题进行了研究，克服目前IEEE802.1AE解决方案中存在中间人攻击、网络部署复杂等问题，提出一种能实现用户与网络之间的单/双向认证、接入控制及数据机密等功能的局域网媒体访问控制安全TLSec(TePA-based LAN MAC Security)方法。 

TLSec设备是指，采用了TLSec方法的设备，即在常规设备的基础上增加了身份鉴别机制和加解密数据的功能，能够实现节点间的保密通信。当TLSec设备接入网络时，通过三元对等架构，来进行身份鉴别，即请求者与鉴别访问控制器之间通过鉴别服务器提供的服务，进行双向和单向的身份鉴别。对于鉴别成功的TLSec设备可以成功接入网络并可以和其它接入网络的TLSec设备通过对数据加解密来进行保密通信。TLSec方法可用在交换设备即TLSec交换设备，也可用在用户终端。常规交换设备不具备身份鉴别机制和加解密数据的功 能。 

三元对等鉴别技术提出了一种终端与网络间对等鉴别的技术思想和框架方法，该技术定义了一种三元实体鉴别架构，基于对等鉴别思想，用户和网络之间可完成双向对等鉴别。 

当局域网中只存在常规交换设备时，因为不存在TLSec交换设备，所以不需要设备发现过程。 

当局域网中只存在TLSec交换设备时，一旦新节点接入网络，就能和其邻居直接进行鉴别，所以也不需要设备发现过程。 

当常规设备和TLSec交换设备同时存在的网络，新节点要加入该网络时，请求者REQ和鉴别访问控制器AAC的身份难以确定，两者之间的双向鉴别也不能进行，从而无法进行后续的节点间保密通信，这就需要设备发现过程，来确定REQ和AAC的身份。 

发明内容

本发明就是为了解决背景技术中存在的上述技术问题，提供了一种数据链路层安全通信中设备发现方法，可以实现在常规设备和TLSec设备共存的网络中加入新节点时，解决当新节点由常规交换设备接入网络的情况下，新节点和邻居TLSec设备如何交互信息，从而确定REQ和AAC身份，完成用户和网络之间的双向对等鉴别。 

本发明的目的是通过下述技术方案实现的：在网络中，如果要加入新节点，就需要其他设备对加入的新节点进行鉴别，新节点也要对网络中已有的邻居TLSec设备进行鉴别，才能保障通信。新节点和邻居TLSec设备之间的相互鉴别就需要相互之间获取信息，相互发现，设备发现过程就是获取所有的邻居TLSEc设备信息，同时也将自己的信息告知周围的邻居TLSec设备的过程。设备一旦离开网络，也要通知邻居TLSec设备。设备发现过程完成后就可以根据发现的结果确定AAC和REQ的身份。 

一种数据链路层安全通信中设备发现方法，参见图1，包括新节点和邻居TLSec设备，新节点可以是TLSec交换设备也可以是用户终端，邻居TLSec设备可以是TLSec交换设备也可以是用户终端，邻居 TLSec设备可以有多个，所述数据链路层安全通信中设备发现方法包括以下步骤： 

①设备发现请求过程：新节点接入网络，向邻居TLSec设备发送设备发现请求分组，邻居TLSec设备收到设备发现请求分组； 

②设备发现响应过程：邻居TLSec设备发送设备发现响应分组，直到新节点收到设备发现响应分组，整个设备发现过程完成； 

③AAC和REQ确定过程：新节点根据自身信息和邻居TLSec设备的信息，确定请求者REQ和鉴别服务器AAC身份； 

④设备离线过程：参见图2，当TLSec设备需要下线时，该设备用组播发送给它的所有邻居TLSec设备，邻居TLSec设备接收到分组消息，删除各自邻居列表中的下线的邻居信息。 

设备发现请求过程：