[发明专利]一种成组CA的形成方法和装置

说明书

技术领域

本发明涉及网络通信技术领域，特别涉及一种成组连通集（Connectivity Association，CA）的形成方法和装置。

背景技术

目前，随着网络在社会上的广泛应用，用户对于网络的可靠性也提出了越来越高的要求。为了应对用户对网络可靠性的高要求，各种应对网络外部威胁的网络安全措施也越来越多。随着以太网的快速发展，对于网络内部的安全需求也与日俱增，基于此媒体接入控制安全（Media Access Control security，MACsec）协议被开发并应用于局域网的数据保护。MACsec协议通过提供逐跳的安全性，对接入网络的终端的通信进行保护。由于MACsec协议只提供了对数据进行封装和加密的框架，它还需要其他协议来提供密钥管理、成员认证和授权等功能，因此MACsec密钥协商（MACsec Key Agreement，MKA）协议被制定出来，以满足MACsec协议对密钥的相关需求。IEEE802.1X协议通过认证提供了基于端口的接入控制，而MKA协议则是该协议的一个扩展，其协议报文是扩展了类型的基于局域网的扩展认证（Extensible Authentication Protocol over LANs，EAPOL）报文，通过MKA协议报文的交互来发现MACsec成员并协商MACsec密钥。

图1为根据现有技术的成组CA示意图。交换设备A、B、C之间创建了一个组CA，具体方法包括：

步骤11、认证服务器在认证过程中为其中两个交换设备A和B分发主会话密钥1（Master Session Key，MSK1），用于交换机各自推导计算生成连通集密钥（CAK）1，CAK包括密钥（Key）值和名称（name），交换机之间采用MKA报文，互相通告CAK的name，在接收到的CAK的name与自身生成的CAK name相匹配(即两者相同)时，确定互为同一成对CA1中成员。

依次类推，认证服务器在认证过程中为交换设备A和C分发MSK2，最终确认交换机A和C互为同一成对CA2中成员；认证服务器在认证过程中为交换设备B和C分发MSK3，最终确认交换机B和C互为同一成对CA3中成员。

步骤12、作为密钥服务器的交换机将组CA的CAK的key值通过MKA报文，发送给组CA成员。例如，交换机A根据优先属性参数，确定为密钥服务器，交换机A将组CA的CAK的key值通过MKA报文，发送给组CA成员：交换机B和交换机C，从而形成组CA。

后续，作为密钥服务器的交换机根据CAK推导生成安全集密钥（Secure Association Key，SAK），通过MKA报文，发送给组CA成员；组CA成员接收SAK并安装后就可以对数据报文进行加密通信了。在上述描述中，MACsec协议负责使用SAK完成对收发的数据进行加解密的控制，MKA协议负责发现CA中的成员，并通过协议交互生成SAK，以提供给MACsec使用。

从上述描述可以看出，要形成组CA，必须先在两两设备之间形成成对CA，基于成对的CA才能形成成组的CA。而且现有技术在形成成对CA时，要在EAP认证的过程中，只有在EAP认证的过程中才能给要形成成对CA的两个交换设备分配MSK，从而进行后续的推导生成CAK，并进行成对CA成员相互间的确认。而在EAP认证过程中，要求一个交换机作为客户端，另一个交换机作为认证者，而交换机一般只支持EAP服务器端，而不支持EAP客户端，支持EAP客户端需要进行大型的项目开发才能实现。

发明内容

本发明的目的在于提供一种成组CA的形成方法和装置，能够快速形成成组CA。

为实现上述发明目的，本发明提供了一种成组CA的形成方法，应用于软件定义的网络（SDN）中，所述SDN包括控制设备和SDN设备，该方法包括：

第一SDN设备根据控制设备为同一CA中的SDN设备下发的主会话密钥MSK和同一CA中的所有SDN设备的媒体接入控制MAC地址拼接值，推导生成连通集密钥CAK名称，并保存所述CAK名称，并向其他SDN设备发送携带有所述CAK名称的媒体接入控制安全密钥协商MKA报文；

第一SDN设备接收其他SDN设备发送的MKA报文，所述MKA报文携带其他SDN设备根据控制设备下发的MSK和MAC地址拼接值推导生成的CAK名称；

第一SDN设备在接收的MKA报文中的CAK名称与自身保存的CAK名称相匹配时，确认其他SDN设备与第一SDN设备为同一CA中的成员。