望MACsec。在这样的实例中,网络控制器可以被配置成建立不加密数据的流。
[0020]图3图示了根据本公开的网络控制器的示例。网络控制器302可以与图1中图示的网络控制器102相似。网络控制器302可以利用软件、硬件、固件和/或逻辑来执行多个功能。
[0021]网络控制器302可以是被配置用于执行多个功能(例如动作)的硬件和程序指令的组合。硬件例如可以包括多个处理资源330和多个存储器资源332,诸如机器可读介质(MRM)或其他存储器资源332。存储器资源可以在网络控制器302之内和/或之外(例如,网络控制器302可以包括内部存储器资源并且可以访问外部存储器资源)。程序指令(例如机器可读指令(MRI))可以包括存储在MRM上以实现特定功能(例如,诸如管理网络交换机上的PoE之类的动作)的指令。可以由处理资源330中的一个或多个执行一组MRI。存储器资源332可以以有线和/或无线的方式被耦合到网络控制器302。例如,存储器资源332可以是内部存储器、便携式存储器、便携式盘、和/或与另一资源关联的存储器,例如,使MRI能够被跨越诸如互联网之类的网络传送和/或执行。
[0022]存储器资源332可以是非暂时性的并且可以包括易失性和/或非易失性存储器。易失性存储器可以包括依赖电能来存储信息的存储器,诸如除其它之外的各种类型的动态随机存取存储器(DRAM)。非易失性存储器可以包括不依赖于电能来存储信息的存储器。非易失性存储器的示例可以包括诸如闪存、电可擦可编程只读存储器(EEPR0M)、相变随机存取存储器(PCRAM)之类的固态介质、诸如硬盘、磁带驱动器、软盘、和/或磁带存储器之类的磁存储器、光盘、数字多功能盘(DVD)、蓝光磁盘(BD)、紧致盘(⑶)、和/或固态驱动器(SSD)等等,以及其他类型的机器可读媒体。
[0023]处理资源330可以经由通信路径334被耦合到存储器资源332。通信路径334可以相对于网络控制器302是本地的或者远程的。本地通信路径334的示例可以包括机器内部的电子总线,其中存储器资源332经由该电子总线与处理资源330通信。这样的电子总线的示例可以除其他类型的电子总线以及它们的变体之外还包括工业标准结构(ISA)、外设部件互联(PCI)、高级技术附件(ATA)、小型计算机系统接口(SCSI)、通用串行总线(USB)。通信路径334可以是这样的,即存储器资源332远离诸如在存储器资源332和处理资源330之间的网络连接中的处理资源330。S卩,通信路径334可以是网络连接。这样的网络连接的示例可以除其它之外还包括局域网(LAN)、广域网(WAN)、个人局域网(PAN)以及互联网。
[0024]如图3中所示,存储在存储器资源332中的MRI可以被分为当由处理资源330执行时可以执行多个功能的多个模块336、338ο如本文中使用的,模块包括被包括以执行特定任务或动作的一组指令。所述多个模块336、338可以是其他模块的子模块。例如,MACsec流模块338可以是MACsec密钥模块336的子模块和/或MACsec密钥模块336和MACsec流模块338可以被包含在单个模块之内。另外,所述多个模块336、338可以包括与彼此分开且不同的单独的模块。示例不限于图3中图示的具体模块336、338。
[0025]网络控制器302可以包括MACsec密钥模块336,MACsec密钥模块336可以向第一网络设备提供MACsec密钥组并向第二网络设备提供该MACsec密钥组。网络控制器302可以包括MACsec流模块338,MACsec流模块338可以指示所述第一网络设备使用来自该MACsec密钥组的特定MACsec密钥来加密MACsec流,以及指示所述第二网络设备使用来自该MACsec密钥组的特定MACsec密钥解密该MACsec流。网络控制器302定义所述第一和所述第二网络设备作为该MACsec流的端点并且不就MACsec密钥而言指示关于该MACsec流而在所述第一网络设备和所述第二网络设备之间的网络设备。
[0026]网络控制器302可以指示网络设备在已经加密/解密了多个分组以后使用来自该MACsec密钥组的不同的MACsec密钥。MACsec分组可以包括随着每个分组增大以保护免受重放攻击的32位分组号。当分组号达到其最大值时,可以使用新的MACsec密钥(例如,网络控制器可以向相应的网络设备提供新的密钥,指示相应的网络设备使用来自密钥组的新的密钥;或者网络设备可以被配置成自动使用该组中的下一密钥)。32位分组号对应于4,294,967,296 个分组。
[0027]网络控制器302可以指示网络设备在一段时间之后使用来自MACsec密钥组的不同的MACsec密钥和/或网络控制器302可以指示网络设备根据网络设备之间的链路的带宽使用来自MACsec密钥组的不同的MACsec密钥。例如,在100兆位每秒(Mbps)链路上的64字节分组将导致每秒1,562,500个分组,因此可以每45分钟更新MACsec密钥。在I千兆位每秒(Gbps)的链路上,可以每4.5分钟更新MACsec密钥。在1Gbps的链路上,可以每27秒更新MACsec密钥。向网络设备提供数个密钥组(例如,与每当它被更新时都向网络设备提供新的单独的密钥对照)可以减少网络控制器的开销和/或减少在网络设备上更新MACsec密钥的延迟,特别是针对具有快速链路的网络更是如此。相比于需要在参与MACsec流的每个层2交换机之间进行密钥协商的一些先前的方法而言,这样的示例会是特别有利的。网络控制器302可以被配置成比必需的更频繁地更新MACsec密钥(例如,基于期望的安全级别)。
[0028]如本文中使用的,“逻辑”是替代的或附加的用以执行本文描述的特定动作和/或功能等的处理资源;与例如软件固件等的存储于存储器中并可由处理器执行的计算机可执行指令形成对照,所述“逻辑”包括硬件,例如,各种形式的晶体管逻辑、专用集成电路(ASICs)等。
[0029]如本文中使用的,“一个”或“多个”某物可以指一个或更多这样的事物。例如,“多个小配件”可以指一个或更多小配件。
[0030]以上说明、示例以及数据提供了本公开的方法和应用以及系统和方法的使用的描述。由于可以在不脱离本公开的系统和方法的精神和范围的情况下提出很多示例,所以本说明书仅仅提出所述很多可能的实施例、配置和实施方式中的一些。
【主权项】
1.一种方法,包括: 采用网络控制器向第一网络设备提供用于MACsec流的媒体访问控制安全(MACsec)密钥;以及 采用所述网络控制器向第二网络设备提供用于所述MACsec流的所述MACsec密钥。2.如权利要求1的方法,其中所述第一网络设备和所述第二网络设备包括层2网络交换机和MACsec流的端点,并且其中所述方法包括: 根据所述MACsec密钥采用所述第一网络设备加密所述MACsec流; 根据所述MACsec密钥采用所述第二网络设备解密所述MACsec流;以及在关于所述MACsec流而在所述第一网络设备和所述第二网络设备之间的多个网络设备中的任意一个处均不加密或解密所述MACsec流。3.如权利要求1的方法,其中向所述第一和所述第二网络设备提供所述MACsec密钥包括向所述第一和所述第二网络设备提供对称的MACsec密钥。4.如权利要求1的方法,其中向所述第一网络设备提供所述MACsec密钥包括向所述第一网络设备提供MACsec密钥组;以及 其中向所述第二网络设备提供所述MACsec密钥包括向所述第二网络设备提供该MACsec密钥组。5.如权利要求4的方法,其中所述方法包括指示所述第一网络设备和所述第二网络设备使用该MACsec密钥组中的一个。6.如权利要求1的方法,其中所述方法包括向所述第一和所述第二网络设备提供更新的MACsec密钥。7.一种非暂时性机器可读介质,其存储可由网络控制器执行以使所述网络控制器进行以下操作的指令: 向第一网络设备提供MACsec密钥组; 向第二网络设备提供该MACsec密钥组;以及 指示所述第一网络设备使用来自该MACsec密钥组的特定MACsec密钥加密MACsec流;以及 指示所述第二网络设备使用来自该MACsec密钥组的特定MACsec密钥解密所述MACsec流。8.如权利要求7的介质,其中所述指令可执行以使所述网络控制器指示所述第一网络设备和所述第二网络设备在一段时间之后使用来自该MACsec密钥组的不同的MACsec密钥。9.如权利要求7的介质,其中所述指令可执行以使所述网络控制器指示所述第一网络设备和所述第二网络设备在已经加密/解密了多个分组之后使用来自该MACsec密钥组的不同的MACsec密钥。10.如权利要求7的介质,其中所述指令可执行以使所述网络控制器指示所述第一网络设备和所述第二网络设备根据所述第一网络设备和所述第二网络设备之间的链路的带宽来使用来自该MACsec密钥组的不同的MACsec密钥。11.如权利要求7的介质,其中所述指令可执行以使所述网络控制器定义所述第一和所述第二网络设备作为所述MACsec流的端点,并且不就MACsec密钥而言指示关于该MACsec流而在所述第一网络设备和所述第二网络设备之间的网络设备。12.一种网络控制器,包括: 处理资源,所述处理资源与存储器资源通信,其中所述存储器资源包括可由所述处理资源执行以进行以下操作的一组指令: 向第一交换机提供用于第一 MACsec流的第一媒体访问控制安全(MACsec)密钥,其中所述第一交换机构成所述第一 MACsec流的第一端点; 向所述第一交换机提供用于第二 MACsec流的第二 MACsec密钥,其中所述第一交换机构成所述第二 MACsec流的第一端点; 向第二交换机提供所述第一 MACsec密钥,其中所述第二交换机构成所述第一 MACsec流的第二端点;以及 向第三交换机提供所述第二 MACsec密钥,其中所述第三交换机构成所述第二 MACsec流的第二端点。13.如权利要求12的网络控制器,其中所述指令可由所述处理资源执行以在关于所述第一 MACsec流而在所述第一交换机和第二交换机之间的多个交换机上设置用于所述第一MACsec流的转发规则,而不向所述多个交换机提供MACsec密钥。14.如权利要求12的网络控制器,其中所述指令可由所述处理资源执行以向所述第一交换机提供MACsec密钥组,其中该组中包括所述第一和所述第二 MACsec密钥。15.如权利要求12的网络控制器,其中所述网络控制器,所述第一交换机,所述第二交换机以及所述第三交换机在公共的层2网络上。
【专利摘要】针对网络控制器提供的MACsec密钥提供了方法、网络控制器、以及机器可读和可执行指令。网络控制器可以向第一网络设备提供用于MACsec流的媒体访问控制安全(MACsec)密钥。所述网络控制器可以向第二网络设备提供用于所述MACsec流的所述MACsec密钥。
【IPC分类】H04L9/14
【公开号】CN105103490
【申请号】CN201380075343
【发明人】P.S.穆罕默德, S.K.瓦库莫托, C.J.米尔斯
【申请人】惠普发展公司,有限责任合伙企业
【公开日】2015年11月25日
【申请日】2013年1月31日
【公告号】EP2951948A1, US20150365409, WO2014120190A1