[发明专利]一种成组CA的形成方法和装置

权利要求书

1.一种成组连通集CA的形成方法，应用于软件定义的网络SDN中，所述SDN包括控制设备和SDN设备，该方法包括：

第一SDN设备根据控制设备为同一CA中的SDN设备下发的主会话密钥MSK和同一CA中的所有SDN设备的媒体接入控制MAC地址拼接值，推导生成连通集密钥CAK名称，并保存所述CAK名称，并向其他SDN设备发送携带有所述CAK名称的媒体接入控制安全密钥协商MKA报文；

第一SDN设备接收其他SDN设备发送的MKA报文，所述MKA报文携带其他SDN设备根据控制设备下发的MSK和MAC地址拼接值推导生成的CAK名称；

第一SDN设备在接收的MKA报文中的CAK名称与自身保存的CAK名称相匹配时，确认其他SDN设备与第一SDN设备为同一CA中的成员。

2.如权利要求1所述的方法，其特征在于，第一SDN设备进一步通过与控制设备之间的安全控制通道，接收控制设备利用第一SDN设备的证书加密后的MSK和MAC地址拼接值，并利用自身安装的证书进行解密后得到MSK和MAC拼接值。

3.如权利要求1所述的方法，其特征在于，

所述第一SDN设备在接收控制设备下发的MSK和MAC地址拼接值的同时，若还接收控制设备下发的密钥服务器标识，则进一步设置自身为所述CA的密钥服务器，根据所述MSK和MAC地址拼接值推导生成CAK的密钥值，进而根据CAK的密钥值推导生成安全集密钥SAK并分发给同一CA中的其他SDN设备。

4.如权利要求1所述的方法，其特征在于，还包括：

所述第一SDN设备接收作为所述CA中的密钥服务器的SDN设备生成并分发的SAK。

5.如权利要求3或4所述的方法，其特征在于，该方法进一步包括：

第一SDN设备根据控制设备为同一CA中的SDN设备下发的MSK和MAC地址拼接值推导生成CAK名称时，创建发送方向的安全通道SC；

第一SDN设备接收同一CA中其他SDN设备发送的MKA报文时，创建与其他SDN设备之间接收方向的SC；

第一SDN设备通过发送方向的SC，将数据报文采用SAK进行加密发送；通过接收方向的SC，将数据报文采用SAK进行解密接收。

6.如权利要求5所述的方法，其特征在于，在成组CA形成之后，该方法进一步包括：第一SDN设备通过相应的安全控制通道接收控制设备为同一CA中的SDN设备生成并下发的更新SAK。

7.一种成组连通集CA的形成方法，应用于软件定义的网络SDN中，所述SDN包括控制设备和SDN设备，该方法包括：

控制设备确认同一连通集CA中的SDN设备；

控制设备为同一CA中的每个SDN设备生成相同主会话密钥MSK；

控制设备向同一CA中的每个SDN设备下发该同一CA中的所有SDN设备的媒体接入控制MAC地址拼接值以及所述MSK，以使得各个SDN设基于所述MSK和MAC地址拼接值推导生成CAK名称，并通过在SDN设备之间交互各自生成的CAK名称来形成成组CA。

8.如权利要求7所述的方法，其特征在于，

所述控制设备确认同一连通集CA中的SDN设备的同时，该方法进一步包括：

确认同一CA中作为密钥服务器的SDN设备；

所述控制设备向同一CA中的每个SDN设备下发该同一CA中的所有SDN设备的媒体接入控制MAC地址拼接值以及所述MSK的同时，该方法进一步包括：

向同一CA中作为密钥服务器的SDN设备下发密钥服务器标识。

9.如权利要求7所述的方法，其特征在于，成组CA形成之后，该方法进一步包括：控制设备为同一CA中的SDN设备生成并下发更新的安全集密钥SAK。