亚洲成年人黄色一级片,日本香港三级亚洲三级,黄色成人小视频,国产青草视频,国产一区二区久久精品,91在线免费公开视频,成年轻人网站色直接看

網(wǎng)絡(luò)控制器提供的MACsec密鑰的制作方法

文檔序號(hào):9383391閱讀:950來源:國知局
網(wǎng)絡(luò)控制器提供的MACsec密鑰的制作方法
【專利說明】
【背景技術(shù)】
[0001 ] 電氣和電子工程師協(xié)會(huì)(IEEE)可以規(guī)定包括例如IEEE 802.1AE媒體訪問控制安全(MACsec)標(biāo)準(zhǔn)(其限定了媒體訪問獨(dú)立協(xié)議的無連接數(shù)據(jù)機(jī)密性和完整性)的多個(gè)網(wǎng)絡(luò)業(yè)務(wù)標(biāo)準(zhǔn)。另一示例包括IEEE 802.1X-2010,其描述了密鑰管理和安全關(guān)聯(lián)的建立。
【附圖說明】
[0002]圖1是圖示根據(jù)本公開的層2網(wǎng)絡(luò)的示例的圖。
[0003]圖2是圖示根據(jù)本公開的網(wǎng)絡(luò)控制器提供的MACsec密鑰的方法的示例的流程圖。
[0004]圖3圖示了根據(jù)本公開的網(wǎng)絡(luò)控制器的示例。
【具體實(shí)施方式】
[0005]媒體訪問控制安全(MACsec)可以包括經(jīng)限定的幀格式,其可以類似于具有諸如安全標(biāo)志(例如,以太網(wǎng)類型的擴(kuò)展)和消息認(rèn)證碼之類的附加字段的以太網(wǎng)幀。在每個(gè)MACsec幀中的安全標(biāo)志可以包括信道內(nèi)的關(guān)聯(lián)號(hào)、分組號(hào)以提供用于加密和認(rèn)證算法以及保護(hù)免受重放攻擊的唯一初始化向量。MACsec可以利用安全連接關(guān)聯(lián),其代表經(jīng)由單向安全信道連接的站的組。在每個(gè)被保護(hù)的信道內(nèi)的安全關(guān)聯(lián)使用它們自己的加密/解密密鑰。MACsec可以在層2網(wǎng)絡(luò)上的交換機(jī)之間使用并且可能不適合于跨越層3網(wǎng)絡(luò)(例如,跨越路由器)的通信。
[0006]MACsec流的通信路徑中的每個(gè)交換機(jī)一般都可以負(fù)責(zé)使用IEEE 802.1X-2010和MACsec密鑰交換協(xié)定(MKA)協(xié)議來協(xié)商密鑰。因此,由于每一個(gè)MACsec交換機(jī)都具有用于MACsec流的有效密鑰,所以每一個(gè)MACsec交換機(jī)具有對(duì)業(yè)務(wù)的全可見性。然而,對(duì)于安全基礎(chǔ)結(jié)構(gòu)而言,整個(gè)網(wǎng)絡(luò)(或者至少參與MACsec通信的網(wǎng)絡(luò)的部分)需要具有有MACsec能力的設(shè)備,該設(shè)備可能部署起來代價(jià)高昂。此外,在MACsec網(wǎng)絡(luò)中的交換機(jī)之間的每一跳處的密鑰協(xié)商可能對(duì)所述MACsec流增加等待時(shí)間。
[0007]MACsec曾被設(shè)計(jì)成作為逐跳安全機(jī)制來工作。使用圖1作為示例,為了提供服務(wù)器X和客戶端I之間的完整、安全的路徑,應(yīng)該在交換機(jī)A-交換機(jī)B之間、交換機(jī)B-交換機(jī)C之間、以及交換機(jī)C-交換機(jī)D之間設(shè)置MACsec安全關(guān)聯(lián)。此外,MACsec允許在MACsec流的不同方向上使用不同的密鑰。例如,可能存在用于正在被從交換機(jī)A轉(zhuǎn)發(fā)到交換機(jī)D的業(yè)務(wù)的密鑰以及用于從交換機(jī)D轉(zhuǎn)發(fā)到交換機(jī)A的業(yè)務(wù)的不同密鑰。交換機(jī)A可以使用密鑰X以對(duì)業(yè)務(wù)進(jìn)行加密并且交換機(jī)D將使用密鑰X以解密該業(yè)務(wù)。同樣地,交換機(jī)D可以使用密鑰Z以對(duì)該業(yè)務(wù)進(jìn)行加密并且交換機(jī)A將使用密鑰Z以解密該業(yè)務(wù)。密鑰X和密鑰Z可以不彼此相等。
[0008]相比之下,本公開的多個(gè)示例可以采用用于網(wǎng)絡(luò)控制器提供的MACsec密鑰的方法、網(wǎng)絡(luò)控制器以及機(jī)器可讀和可執(zhí)行指令。例如,網(wǎng)絡(luò)控制器可以給第一網(wǎng)絡(luò)設(shè)備提供用于MACsec流的MACsec密鑰。該網(wǎng)絡(luò)控制器可以給第二網(wǎng)絡(luò)設(shè)備提供用于MACsec流的MACsec密鑰。根據(jù)本公開的多個(gè)示例,可以減少參與MACsec的設(shè)備的數(shù)量,并且可以避免在交換機(jī)自身上進(jìn)行密鑰交換協(xié)議的復(fù)雜性和開銷。
[0009]在本公開中,對(duì)構(gòu)成其一部分并在其中通過圖示的方式示出可以如何實(shí)施本公開的多個(gè)示例的附圖進(jìn)行參考。充分詳細(xì)地描述這些示例以使得本領(lǐng)域普通技術(shù)人員能夠?qū)嵤┍竟_的示例,并且應(yīng)理解的是,可以使用其他示例并且可以進(jìn)行過程、電和/或結(jié)構(gòu)變化而不脫離本公開的范圍。
[0010]本文中的圖遵循以下編號(hào)慣例,其中第一個(gè)數(shù)字對(duì)應(yīng)于附圖圖號(hào),并且其余的數(shù)字標(biāo)識(shí)附圖中的元素或組件。可以添加、交換、和/或除去在本文中的各圖中示出的元素以提供本公開的多個(gè)附加示例。另外,圖中提供的元素的比例和相對(duì)尺度旨在圖示本公開的示例,而不應(yīng)以限制性意義加以理解。
[0011]圖1是圖示根據(jù)本公開的層2網(wǎng)絡(luò)100的示例的圖。層2網(wǎng)絡(luò)100可以包括網(wǎng)絡(luò)控制器102 (例如,軟件定義聯(lián)網(wǎng)(SDN)網(wǎng)絡(luò)控制器)。SDN是一種網(wǎng)絡(luò)虛擬化形式,其中控制平面與數(shù)據(jù)平面分離并且控制平面以軟件應(yīng)用來實(shí)現(xiàn)。因此網(wǎng)絡(luò)管理員可以具有對(duì)網(wǎng)絡(luò)業(yè)務(wù)的可編程集中控制而不需要對(duì)網(wǎng)絡(luò)的硬件設(shè)備進(jìn)行物理訪問。用于SDN的協(xié)議的一個(gè)示例是OpenFlow,OpenFlow是一個(gè)準(zhǔn)許通過網(wǎng)絡(luò)訪問網(wǎng)絡(luò)交換機(jī)的轉(zhuǎn)發(fā)平面的通信協(xié)議。本公開的一些示例可以根據(jù)OpenFlow、或者其他SDN協(xié)議和/或與“常規(guī)”網(wǎng)絡(luò)結(jié)合的SDN協(xié)議的混合來運(yùn)作。
[0012]網(wǎng)絡(luò)控制器102 可以與網(wǎng)絡(luò)設(shè)備 106-1、106-2、106-3、106-4、106-5、106-6、108-1和108-2通信和/或能對(duì)上述這些網(wǎng)絡(luò)設(shè)備進(jìn)行控制。例如,網(wǎng)絡(luò)設(shè)備106-1、106-2、106-3、106-4U06-5和106-6可以是MACsec使能的交換機(jī)。網(wǎng)絡(luò)設(shè)備108-1和108-2可以是MACsec使能的交換機(jī)或者不是MACsec使能的交換機(jī)。不將示例限制在層2網(wǎng)絡(luò)100中圖示的網(wǎng)絡(luò)設(shè)備的特定數(shù)目。值得注意的,MACsec使能的網(wǎng)絡(luò)設(shè)備106-1被耦合到第一網(wǎng)絡(luò)實(shí)體(例如,服務(wù)器X 104)以提供MACsec流的第一端點(diǎn),并且MACsec使能的網(wǎng)絡(luò)設(shè)備106-2、106-3、106-4、106-5、106-6 被耦合到客戶端 110-1、客戶端 110-2、客戶端 110-3、客戶端110-4以及客戶端110-5中的每一個(gè)以提供MACsec流的相應(yīng)的端點(diǎn)。于其間的網(wǎng)絡(luò)設(shè)備108-1、108-2表示取決于層2網(wǎng)絡(luò)100的大小的于其間的(關(guān)于MACsec流)的任何數(shù)目的網(wǎng)絡(luò)設(shè)備。盡管沒有像這樣明確地圖示,MACsec流端點(diǎn)可以可替代地為服務(wù)器(例如服務(wù)器X 104)和/或客戶端(例如客戶端110-1)而不是交換機(jī)(例如交換機(jī)106-1和/或交換機(jī)106-2),然而相應(yīng)的端點(diǎn)則將與網(wǎng)絡(luò)控制器102通信以被提供以根據(jù)本公開的多個(gè)示例的密鑰。
[0013]在圖1中圖示的示例中,網(wǎng)絡(luò)控制器102建立了交換機(jī)106-1和106-2之間的用于在服務(wù)器104和客戶端110-1之間通信的第一 MACsec流。該第一 MACsec流包括交換機(jī)106-1和交換機(jī)106-2之間的通過交換機(jī)108-1和108-2的安全信道。當(dāng)交換機(jī)108-1和108-2不具有用于該MACsec流的密鑰時(shí),該MACsec流可以保持通過交換機(jī)108-1和108-2封裝。因此,網(wǎng)絡(luò)控制器102可以給交換機(jī)106-1和106-2提供用于MACsec流的(一個(gè)或多個(gè))密鑰,而不給交換機(jī)108-1和108-2提供這樣的(一個(gè)或多個(gè))密鑰。因此,第一MACsec流的路徑中的交換機(jī)106-1、108-1、108-2、106-2中沒有一個(gè)需要與另一交換機(jī)協(xié)商用于MACsec流的密鑰,這可以減小交換機(jī)106-1、108-1、108-2、106-2上的開銷和/或增加MACsec流的吞吐量。在圖1的示例中,交換機(jī)106-1具有其保持的5個(gè)獨(dú)特的MACsec安全關(guān)聯(lián)。根據(jù)一些先前的方法,如果通過交換機(jī)106-1的業(yè)務(wù)迫使密鑰頻繁期滿,那么交換機(jī)106-1將會(huì)花費(fèi)許多處理周期來執(zhí)行與它的MACsec安全關(guān)聯(lián)鄰居的MKA協(xié)商。另外,根據(jù)本公開,交換機(jī)108-1和108-2甚至不需要是有MACsec能力的,因?yàn)樗鼈儾恍枰荑€來處理MACsec流,而是可以僅僅根據(jù)它們的頭信息(其是未加密的)傳遞幀。
[0014]還如圖1中圖示的,網(wǎng)絡(luò)控制器102建立了交換機(jī)106-1和交換機(jī)106-3之間的用于在服務(wù)器104和客戶端110-2之間通信的第二 MACsec流。該第二 MACsec流包括交換機(jī)106-1和交換機(jī)106-3之間的通過交換機(jī)108-1和108-2的安全信道。網(wǎng)絡(luò)控制器102建立了交換機(jī)106-1和交換機(jī)106-4之間的用于在服務(wù)器104和客戶端110-3之間通信的第三MACsec流。該第三MACsec流包括交換機(jī)106_1和交換機(jī)106-4之間的通過交換機(jī)108-1和108-2的安全信道。網(wǎng)絡(luò)控制器102建立了交換機(jī)106-1和交換機(jī)106-5之間的用于在服務(wù)器104和客戶端110-4之間通信的第四MACsec流。該第四MACsec流包括交換機(jī)106-1和交換機(jī)106-5之間的通過交換機(jī)108-1的安全信道。網(wǎng)絡(luò)控制器102建立了交換機(jī)106-1和交換機(jī)106-6之間的用于在服務(wù)器104和客戶端110-5之間通信的第五MACsec流。該第五MACsec流包括交換機(jī)106-1和交換機(jī)106-6之間的通過交換機(jī)108-1的安全信道。
[0015]網(wǎng)絡(luò)控制器102可以包括與存儲(chǔ)器資源通信的處理資源。存儲(chǔ)器資源可以包括可被處理資源運(yùn)行以執(zhí)行本文描述的多個(gè)功能的指令集。例如,網(wǎng)絡(luò)控制器102可以給第一交換機(jī)106-1提供用于第一 MACsec流的第一MACsec密鑰,其中所述第一交換機(jī)106-1可以是MACsec流的第一端點(diǎn)。網(wǎng)絡(luò)控制器102可以給第一交換機(jī)106-1提供用于第二 MACsec流的第二 MACsec密鑰,其中所述第一交換機(jī)106-1是所述第二流的第一端點(diǎn)。網(wǎng)絡(luò)控制器102可以給第二交換機(jī)106-2提供第一 MACsec密鑰,其中所述第二交換機(jī)106-2是第一MACsec流的第二端點(diǎn)。網(wǎng)絡(luò)控制器可以給第三交換機(jī)106-3提供第二 MACsec密鑰,其中所述第三交換機(jī)106-3是第二 MACsec流的第二端點(diǎn)。
[0016]網(wǎng)絡(luò)控制器102可以在關(guān)于MACsec流而在包括MACsec流的端點(diǎn)的交換機(jī)(例如,交換機(jī)106-1、106-2)之間的多個(gè)交換機(jī)108-1、108-2上設(shè)置用于MACsec流的轉(zhuǎn)發(fā)規(guī)貝1J。例如,交換機(jī)106-1可以使用由網(wǎng)絡(luò)控制器102提供的密鑰加密MACsec流,并且交換機(jī)106-2可以使用由網(wǎng)絡(luò)控制器102提供的密鑰解密MACsec流。然而,在MACsec流的端點(diǎn)(例如,交換機(jī)106-1、106-2)之間的多個(gè)交換機(jī)108-1、108-2中的任意一個(gè)可以既不加密也不解密該MACsec流。這樣的示例可以有益于減少否則將不得不協(xié)商MACsec密鑰和/或被MACsec使能的網(wǎng)絡(luò)設(shè)備的數(shù)目。這可以提供大量的成本節(jié)約,因?yàn)镸ACsec是一種相對(duì)新的技術(shù),并且根據(jù)一些先前的方法,當(dāng)前已部署的非MACsec設(shè)備將以其他方式需要被有MACsec能力的設(shè)備替代以支持穩(wěn)健的MACsec部署。許多組織可能由于這樣的費(fèi)用而不愿意對(duì)他們的網(wǎng)絡(luò)進(jìn)行“叉車式替換”。對(duì)于大部分用戶來說,通過使網(wǎng)絡(luò)控制器102執(zhí)行根據(jù)本公開的MACsec操作所增加的任何附加等待時(shí)間應(yīng)該是不明顯的。
[0017]圖2是圖示了根據(jù)本公開的用于網(wǎng)絡(luò)控制器提供的MACsec密鑰的方法的示例的流程圖。在塊220處,該方法可以包括采用網(wǎng)絡(luò)控制器(例如圖1中圖示的網(wǎng)絡(luò)控制器102)給第一網(wǎng)絡(luò)設(shè)備提供用于MACsec流的媒體訪問控制安全(MACsec)密鑰。在塊222處,該方法可以包括采用所述網(wǎng)絡(luò)控制器給第二網(wǎng)絡(luò)設(shè)備提供用于MACsec流的MACsec密鑰。在一些示例中,所述密鑰可以是在第一和第二網(wǎng)絡(luò)設(shè)備之間對(duì)稱的。網(wǎng)絡(luò)控制器可以酌情向網(wǎng)絡(luò)設(shè)備提供更新的MACsec密鑰。
[0018]在一些示例中,網(wǎng)絡(luò)控制器可以向各種網(wǎng)絡(luò)設(shè)備提供MACsec密鑰組。在這樣的示例中,網(wǎng)絡(luò)控制器可以指示網(wǎng)絡(luò)設(shè)備所述MACsec密鑰組中的哪個(gè)用于特定的MACsec流。以下關(guān)于圖3更詳細(xì)地描述使用密鑰組。
[0019]在一些實(shí)例中,對(duì)于特定的層2流而言可能不期
當(dāng)前第1頁1 2 
網(wǎng)友詢問留言 已有0條留言
  • 還沒有人留言評(píng)論。精彩留言會(huì)獲得點(diǎn)贊!
1