[发明专利]网络控制器提供的MACsec密钥

权利要求书

1.一种提供MACsec密钥的方法，包括：

采用网络控制器向第一网络设备提供用于MACsec流的媒体访问控制安全（MACsec）密钥；以及

采用所述网络控制器向第二网络设备提供用于所述MACsec流的所述MACsec密钥。

2.如权利要求1的方法，其中所述第一网络设备和所述第二网络设备包括层2网络交换机和MACsec流的端点，并且其中所述方法包括：

根据所述MACsec密钥采用所述第一网络设备加密所述MACsec流；

根据所述MACsec密钥采用所述第二网络设备解密所述MACsec流；以及

在相对于所述MACsec流而在所述第一网络设备和所述第二网络设备之间的多个网络设备中的任意一个处均不加密或解密所述MACsec流。

3.如权利要求1的方法，其中向所述第一和所述第二网络设备提供所述MACsec密钥包括向所述第一和所述第二网络设备提供对称的MACsec密钥。

4.如权利要求1的方法，其中向所述第一网络设备提供所述MACsec密钥包括向所述第一网络设备提供MACsec密钥组；以及

其中向所述第二网络设备提供所述MACsec密钥包括向所述第二网络设备提供该MACsec密钥组。

5.如权利要求4的方法，其中所述方法包括指示所述第一网络设备和所述第二网络设备使用该MACsec密钥组中的一个。

6.如权利要求1的方法，其中所述方法包括向所述第一和所述第二网络设备提供更新的MACsec密钥。

7.一种非暂时性机器可读介质，其存储可由网络控制器执行以使所述网络控制器进行以下操作的指令：

向第一网络设备提供MACsec密钥组；

向第二网络设备提供该MACsec密钥组；以及

指示所述第一网络设备使用来自该MACsec密钥组的特定MACsec密钥加密MACsec流；以及

指示所述第二网络设备使用来自该MACsec密钥组的特定MACsec密钥解密所述MACsec流。

8.如权利要求7的介质，其中所述指令可执行以使所述网络控制器指示所述第一网络设备和所述第二网络设备在一段时间之后使用来自该MACsec密钥组的不同的MACsec密钥。

9.如权利要求7的介质，其中所述指令可执行以使所述网络控制器指示所述第一网络设备和所述第二网络设备在已经加密/解密了多个分组之后使用来自该MACsec密钥组的不同的MACsec密钥。

10.如权利要求7的介质，其中所述指令可执行以使所述网络控制器指示所述第一网络设备和所述第二网络设备根据所述第一网络设备和所述第二网络设备之间的链路的带宽来使用来自该MACsec密钥组的不同的MACsec密钥。

11.如权利要求7的介质，其中所述指令可执行以使所述网络控制器定义所述第一和所述第二网络设备作为所述MACsec流的端点，并且不就MACsec密钥而言指示相对于该MACsec流而在所述第一网络设备和所述第二网络设备之间的网络设备。

12.一种网络控制器，包括：

处理资源，所述处理资源与存储器资源通信，其中所述存储器资源包括可由所述处理资源执行以进行以下操作的一组指令：

向第一交换机提供用于第一MACsec流的第一媒体访问控制安全（MACsec）密钥，其中所述第一交换机构成所述第一MACsec流的第一端点；

向所述第一交换机提供用于第二MACsec流的第二MACsec密钥，其中所述第一交换机构成所述第二MACsec流的第一端点；

向第二交换机提供所述第一MACsec密钥，其中所述第二交换机构成所述第一MACsec流的第二端点；以及

向第三交换机提供所述第二MACsec密钥，其中所述第三交换机构成所述第二MACsec流的第二端点。

13.如权利要求12的网络控制器，其中所述指令可由所述处理资源执行以在相对于所述第一MACsec流而在所述第一交换机和第二交换机之间的多个交换机上设置用于所述第一MACsec流的转发规则，而不向所述多个交换机提供MACsec密钥。