[发明专利]加密套件的处理方法及设备

说明书

技术领域

本申请涉及网络安全技术领域，特别涉及一种加密套件的处理方法及设备。

背景技术

MACsec（MAC security，MAC安全）是IEEE在802.1AE中定义的MAC（Media Access Control，媒体访问控制）安全标准。该标准定义了无连接的数据机密性和完整性，为媒体访问无关的协议提供服务。MACsec工作在链路层的MAC子层之上，为LLC（Logical Link Control，逻辑链路控制）子层以及LLC子层之上的协议提供安全的MAC层发送和接收服务。

MACsec定义了一个协议集，用于满足在以太网上传输数据的安全需求。MACsec可以识别出未经授权的局域网连接，并把它们排除在网络通信之外。与IPsec（Internet Protocol security，IP安全）和SSL（Secure Sockets Layer，安全套接层）类似，MACsec定义了一个安全基础架构，该架构提供数据机密性，数据完整性和数据源验证。通过对于数据源的验证，MACsec可以减轻二层协议受到的攻击。

MACsec在协议层次上工作于链路层的LLC子层与MAC子层之间，相当于一个垫层，为上层MAC用户（包括LLC子层以及其他二层协议）提供封装了加密功能的MAC子层服务访问接口。MACsec是紧靠物理层之上的协议层次，在协议分层架构中处于底层位置。

MACsec的基本概念主要包括：CA、SC和SA。

CA是连接联盟（Connectivity Association）的简称。拥有同一个CAK（Secure Connectivity Association Key，CA密钥），并且使用相同的加密套件的参与者（也可称为CA成员设备）组成一个CA。在CA存在期间，CAK和加密套件不能改变。实现MACsec功能的实体：SecY（MAC Security Entity，MAC安全实体），并不会意识到CA的存在。MACsec密钥协商协议（MACsec Key Agreement protocol，MKA）负责CA成员设备的发现、认证、和授权。SecY只负责MACsec帧（进过MACsec处理后的数据帧）的加密、解密和验证。SecY只能属于一个CA。

CAK（CA Key）是CA的根密钥，该CA使用的所有密钥由该CAK导出。

SC（Secure Channel）是安全通道的简称。SC在概念上是一个单向的点到多点的数据发送通道。点到点的通道被认为是一种特殊的点到多点通道。SecY负责在自己的SC内发送MACsec帧，并接收由其他SC传送的MACsec帧并解密和验证。MKA负责通知SecY其自身的SC标识（Identifier，SCI），以及其他SC的SCI。

SA（Secure Association）是安全联盟的简称。SC包含一系列的SA，每一个SA拥有一个不同的SAK（Secure Association Key，SA密钥）。SA由SAI标识（SA Identifier，SA标识），SAI由SCI＋AN号构成。AN（Association Number）是安全联盟编号的简称，SC最多可以同时包含4个SA。SecY正常工作时，为了保证数据发送不间断，至少要同时持有两个有效的SA。

MACsec帧的报文格式如图1所示，该MACsec帧中包括：目的MAC地址、源MAC地址、SecTAG（安全标签）、安全数据（Secure Data）和ICV。其中，SecTAG的第一字节和第二字节是EtherType（以太类型），用于表明是本数据帧是MACsec帧；安全数据是将用户数据MSDU（MAC Service Data Unit）加密得到的；ICV（Integrity Check Value，完整性检查值）是对包括源MAC地址、目的MAC地址、SecTAG和安全数据在内的所有数据按照加密套件计算得到的。

在现有的MACsec标准中，仅描述了加密套件（Cipher Suite）由密钥服务器（KEY SERVER）选择，但是，没有描述加密套件的协商方法。并且，当CA成员设备不支持密钥服务器为该CA成员设备所属的CA选择的加密套件时，会导致CA成员设备在该CA内无法使用MACsec功能，来对传输的报文进行加密保护。

发明内容