[发明专利]用于设备之间MKA协商的系统、方法和设备

权利要求书

1.一种用于提供同步密钥协定过程的系统，其具有多个端口访问实体，其特征在于，所述系统包括：

所述多个端口访问实体中的至少一个第一端口访问实体，用于：

通过向所述多个端口访问实体中的至少一个第二端口访问实体发送具有基本类型-长度-值(TLV)信息的第一消息来发起密钥协定过程，所述TLV信息包括对所述第一消息唯一的消息号(MN)和消息指示符(MI)；

响应于所述第一消息，从所述至少一个第二端口访问实体接收具有潜在对端TLV的第二消息，所述潜在对端TLV包括对所述至少一个第二端口访问实体最终接收的至少一个消息唯一的MN和MI；

基于所述第二消息中的所述MN，检测指示竞争条件的同步密钥协定过程会话发起的发生；

检测到所述竞争条件的情况下存储所述第二消息中的所述MN；以及

通过向所述至少一个第二端口访问实体发送具有所述存储的MN和活跃对端TLV的第三消息来响应，以实现所述密钥协定过程，其中，所述第三消息在从所述至少一个第二端口访问实体接收到潜在对端TLV中与所述第一消息相关联的所述MN时被发送。

2.根据权利要求1所述的系统，其特征在于，当即使所述基本TLV信息已发送给所述对端之后，从所述对端接收的所述潜在对端TLV也不包含所述第一消息的所述MN时，识别所述竞争条件。

3.根据权利要求1或2所述的系统，其特征在于，所述密钥协定过程是媒体访问控制(MAC)安全(MACsec)密钥协定协议(MKA)密钥协商过程。

4.根据权利要求1或2所述的系统，其特征在于，所述第一消息是媒体访问控制(MAC)安全(MACsec)密钥协定协议数据单元(MKPDU)。

5.根据权利要求1或2所述的系统，其特征在于，所述至少一个第一端口访问实体从潜在或活跃对端TLV下的所述至少一个第二端口访问实体接收所述潜在对端TLV中与所述第一消息相关联的所述MN。

6.根据权利要求1或2所述的系统，其特征在于，所述至少一个第一端口访问实体还用于在所述竞争条件发生时保持对所述至少一个第二端口访问实体的响应，直到所述竞争条件被避免。

7.根据权利要求1或2所述的系统，其特征在于，当被认证端反映在潜在或活跃对端TLV下的对端媒体访问控制安全密钥协定协议(MKA)消息中时，避免所述竞争条件。

8.根据权利要求1或2所述的系统，其特征在于，所述至少一个第二端口访问实体用于处理所述第一消息。

9.一种用于提供同步密钥协定过程以实现安全通信的方法，其特征在于，所述方法包括：

至少一个第一端口访问实体通过向至少一个第二端口访问实体发送具有基本类型-长度-值(TLV)信息的第一消息来发起密钥协定过程，所述TLV信息包括对所述第一消息唯一的消息号(MN)和消息指示符(MI)；

响应于所述第一消息，所述至少一个第一端口访问实体从所述至少一个第二端口访问实体接收至少具有潜在对端TLV的第二消息，所述潜在对端TLV包括所述至少一个第二端口访问实体最终接收的至少一个消息的唯一MN和MI；

所述至少一个第一端口访问实体至少基于通过所述第二消息接收的所述MN，检测指示竞争条件的同步密钥协定过程会话发起的发生；

如果检测到所述竞争条件，则所述至少一个第一端口访问实体存储通过所述第二消息接收的所述MN；以及

所述至少一个第一端口访问实体通过发送具有所述存储的MN和活跃对端TLV的第三消息来进行响应，以实现所述密钥协定过程，其中，在从所述至少一个第二端口访问实体接收到潜在对端TLV中与所述第一消息相关联的所述MN时，发送所述第三消息。

10.根据权利要求9所述的方法，其特征在于，如果所述多个端口访问实体中的多个第一端口访问实体同步发起密钥协定过程，则发生所述竞争条件。