网络控制器提供的MACsec密钥的制作方法
【专利说明】
【背景技术】
[0001 ] 电气和电子工程师协会(IEEE)可以规定包括例如IEEE 802.1AE媒体访问控制安全(MACsec)标准(其限定了媒体访问独立协议的无连接数据机密性和完整性)的多个网络业务标准。另一示例包括IEEE 802.1X-2010,其描述了密钥管理和安全关联的建立。
【附图说明】
[0002]图1是图示根据本公开的层2网络的示例的图。
[0003]图2是图示根据本公开的网络控制器提供的MACsec密钥的方法的示例的流程图。
[0004]图3图示了根据本公开的网络控制器的示例。
【具体实施方式】
[0005]媒体访问控制安全(MACsec)可以包括经限定的帧格式,其可以类似于具有诸如安全标志(例如,以太网类型的扩展)和消息认证码之类的附加字段的以太网帧。在每个MACsec帧中的安全标志可以包括信道内的关联号、分组号以提供用于加密和认证算法以及保护免受重放攻击的唯一初始化向量。MACsec可以利用安全连接关联,其代表经由单向安全信道连接的站的组。在每个被保护的信道内的安全关联使用它们自己的加密/解密密钥。MACsec可以在层2网络上的交换机之间使用并且可能不适合于跨越层3网络(例如,跨越路由器)的通信。
[0006]MACsec流的通信路径中的每个交换机一般都可以负责使用IEEE 802.1X-2010和MACsec密钥交换协定(MKA)协议来协商密钥。因此,由于每一个MACsec交换机都具有用于MACsec流的有效密钥,所以每一个MACsec交换机具有对业务的全可见性。然而,对于安全基础结构而言,整个网络(或者至少参与MACsec通信的网络的部分)需要具有有MACsec能力的设备,该设备可能部署起来代价高昂。此外,在MACsec网络中的交换机之间的每一跳处的密钥协商可能对所述MACsec流增加等待时间。
[0007]MACsec曾被设计成作为逐跳安全机制来工作。使用图1作为示例,为了提供服务器X和客户端I之间的完整、安全的路径,应该在交换机A-交换机B之间、交换机B-交换机C之间、以及交换机C-交换机D之间设置MACsec安全关联。此外,MACsec允许在MACsec流的不同方向上使用不同的密钥。例如,可能存在用于正在被从交换机A转发到交换机D的业务的密钥以及用于从交换机D转发到交换机A的业务的不同密钥。交换机A可以使用密钥X以对业务进行加密并且交换机D将使用密钥X以解密该业务。同样地,交换机D可以使用密钥Z以对该业务进行加密并且交换机A将使用密钥Z以解密该业务。密钥X和密钥Z可以不彼此相等。
[0008]相比之下,本公开的多个示例可以采用用于网络控制器提供的MACsec密钥的方法、网络控制器以及机器可读和可执行指令。例如,网络控制器可以给第一网络设备提供用于MACsec流的MACsec密钥。该网络控制器可以给第二网络设备提供用于MACsec流的MACsec密钥。根据本公开的多个示例,可以减少参与MACsec的设备的数量,并且可以避免在交换机自身上进行密钥交换协议的复杂性和开销。
[0009]在本公开中,对构成其一部分并在其中通过图示的方式示出可以如何实施本公开的多个示例的附图进行参考。充分详细地描述这些示例以使得本领域普通技术人员能够实施本公开的示例,并且应理解的是,可以使用其他示例并且可以进行过程、电和/或结构变化而不脱离本公开的范围。
[0010]本文中的图遵循以下编号惯例,其中第一个数字对应于附图图号,并且其余的数字标识附图中的元素或组件。可以添加、交换、和/或除去在本文中的各图中示出的元素以提供本公开的多个附加示例。另外,图中提供的元素的比例和相对尺度旨在图示本公开的示例,而不应以限制性意义加以理解。
[0011]图1是图示根据本公开的层2网络100的示例的图。层2网络100可以包括网络控制器102 (例如,软件定义联网(SDN)网络控制器)。SDN是一种网络虚拟化形式,其中控制平面与数据平面分离并且控制平面以软件应用来实现。因此网络管理员可以具有对网络业务的可编程集中控制而不需要对网络的硬件设备进行物理访问。用于SDN的协议的一个示例是OpenFlow,OpenFlow是一个准许通过网络访问网络交换机的转发平面的通信协议。本公开的一些示例可以根据OpenFlow、或者其他SDN协议和/或与“常规”网络结合的SDN协议的混合来运作。
[0012]网络控制器102 可以与网络设备 106-1、106-2、106-3、106-4、106-5、106-6、108-1和108-2通信和/或能对上述这些网络设备进行控制。例如,网络设备106-1、106-2、106-3、106-4U06-5和106-6可以是MACsec使能的交换机。网络设备108-1和108-2可以是MACsec使能的交换机或者不是MACsec使能的交换机。不将示例限制在层2网络100中图示的网络设备的特定数目。值得注意的,MACsec使能的网络设备106-1被耦合到第一网络实体(例如,服务器X 104)以提供MACsec流的第一端点,并且MACsec使能的网络设备106-2、106-3、106-4、106-5、106-6 被耦合到客户端 110-1、客户端 110-2、客户端 110-3、客户端110-4以及客户端110-5中的每一个以提供MACsec流的相应的端点。于其间的网络设备108-1、108-2表示取决于层2网络100的大小的于其间的(关于MACsec流)的任何数目的网络设备。尽管没有像这样明确地图示,MACsec流端点可以可替代地为服务器(例如服务器X 104)和/或客户端(例如客户端110-1)而不是交换机(例如交换机106-1和/或交换机106-2),然而相应的端点则将与网络控制器102通信以被提供以根据本公开的多个示例的密钥。
[0013]在图1中图示的示例中,网络控制器102建立了交换机106-1和106-2之间的用于在服务器104和客户端110-1之间通信的第一 MACsec流。该第一 MACsec流包括交换机106-1和交换机106-2之间的通过交换机108-1和108-2的安全信道。当交换机108-1和108-2不具有用于该MACsec流的密钥时,该MACsec流可以保持通过交换机108-1和108-2封装。因此,网络控制器102可以给交换机106-1和106-2提供用于MACsec流的(一个或多个)密钥,而不给交换机108-1和108-2提供这样的(一个或多个)密钥。因此,第一MACsec流的路径中的交换机106-1、108-1、108-2、106-2中没有一个需要与另一交换机协商用于MACsec流的密钥,这可以减小交换机106-1、108-1、108-2、106-2上的开销和/或增加MACsec流的吞吐量。在图1的示例中,交换机106-1具有其保持的5个独特的MACsec安全关联。根据一些先前的方法,如果通过交换机106-1的业务迫使密钥频繁期满,那么交换机106-1将会花费许多处理周期来执行与它的MACsec安全关联邻居的MKA协商。另外,根据本公开,交换机108-1和108-2甚至不需要是有MACsec能力的,因为它们不需要密钥来处理MACsec流,而是可以仅仅根据它们的头信息(其是未加密的)传递帧。
[0014]还如图1中图示的,网络控制器102建立了交换机106-1和交换机106-3之间的用于在服务器104和客户端110-2之间通信的第二 MACsec流。该第二 MACsec流包括交换机106-1和交换机106-3之间的通过交换机108-1和108-2的安全信道。网络控制器102建立了交换机106-1和交换机106-4之间的用于在服务器104和客户端110-3之间通信的第三MACsec流。该第三MACsec流包括交换机106_1和交换机106-4之间的通过交换机108-1和108-2的安全信道。网络控制器102建立了交换机106-1和交换机106-5之间的用于在服务器104和客户端110-4之间通信的第四MACsec流。该第四MACsec流包括交换机106-1和交换机106-5之间的通过交换机108-1的安全信道。网络控制器102建立了交换机106-1和交换机106-6之间的用于在服务器104和客户端110-5之间通信的第五MACsec流。该第五MACsec流包括交换机106-1和交换机106-6之间的通过交换机108-1的安全信道。
[0015]网络控制器102可以包括与存储器资源通信的处理资源。存储器资源可以包括可被处理资源运行以执行本文描述的多个功能的指令集。例如,网络控制器102可以给第一交换机106-1提供用于第一 MACsec流的第一MACsec密钥,其中所述第一交换机106-1可以是MACsec流的第一端点。网络控制器102可以给第一交换机106-1提供用于第二 MACsec流的第二 MACsec密钥,其中所述第一交换机106-1是所述第二流的第一端点。网络控制器102可以给第二交换机106-2提供第一 MACsec密钥,其中所述第二交换机106-2是第一MACsec流的第二端点。网络控制器可以给第三交换机106-3提供第二 MACsec密钥,其中所述第三交换机106-3是第二 MACsec流的第二端点。
[0016]网络控制器102可以在关于MACsec流而在包括MACsec流的端点的交换机(例如,交换机106-1、106-2)之间的多个交换机108-1、108-2上设置用于MACsec流的转发规贝1J。例如,交换机106-1可以使用由网络控制器102提供的密钥加密MACsec流,并且交换机106-2可以使用由网络控制器102提供的密钥解密MACsec流。然而,在MACsec流的端点(例如,交换机106-1、106-2)之间的多个交换机108-1、108-2中的任意一个可以既不加密也不解密该MACsec流。这样的示例可以有益于减少否则将不得不协商MACsec密钥和/或被MACsec使能的网络设备的数目。这可以提供大量的成本节约,因为MACsec是一种相对新的技术,并且根据一些先前的方法,当前已部署的非MACsec设备将以其他方式需要被有MACsec能力的设备替代以支持稳健的MACsec部署。许多组织可能由于这样的费用而不愿意对他们的网络进行“叉车式替换”。对于大部分用户来说,通过使网络控制器102执行根据本公开的MACsec操作所增加的任何附加等待时间应该是不明显的。
[0017]图2是图示了根据本公开的用于网络控制器提供的MACsec密钥的方法的示例的流程图。在块220处,该方法可以包括采用网络控制器(例如图1中图示的网络控制器102)给第一网络设备提供用于MACsec流的媒体访问控制安全(MACsec)密钥。在块222处,该方法可以包括采用所述网络控制器给第二网络设备提供用于MACsec流的MACsec密钥。在一些示例中,所述密钥可以是在第一和第二网络设备之间对称的。网络控制器可以酌情向网络设备提供更新的MACsec密钥。
[0018]在一些示例中,网络控制器可以向各种网络设备提供MACsec密钥组。在这样的示例中,网络控制器可以指示网络设备所述MACsec密钥组中的哪个用于特定的MACsec流。以下关于图3更详细地描述使用密钥组。
[0019]在一些实例中,对于特定的层2流而言可能不期