技术特征:
1.一种通信方法,其特征在于,所述方法应用于第一网络设备,所述第一网络设备支持国密算法,所述第一网络设备已生成原始sak,所述原始sak用于对发送或者接收的报文进行加解密处理,所述方法包括:根据所述国密算法,生成当前sak;利用所述当前sak,创建sa,所述sa包括第一接收sa以及第一发送sa;当在本地已安装所述第一接收sa后,向第二网络设备发送第一mkpdu协议报文,所述第一mkpdu协议报文包括第一扩展类型参数集以及第二扩展类型参数集,所述第一扩展类型参数集包括所述国密算法的算法标识,所述第二扩展类型参数集包括所述当前sak;当在预设时间内接收到所述第二网络设备发送的第二mkpdu协议报文且所述第二mkpdu协议报文指示所述第二网络设备已安装第二接收sa时,在本地安装所述第一发送sa;向所述第二网络设备发送第三mkpdu协议报文,所述第三mkpdu协议报文用于使所述第二网络设备确定所述第一网络设备已安装所述第一接收sa以及所述第一发送sa,并在本地安装第二发送sa。2.根据权利要求1所述的方法,其特征在于,所述向第二网络设备发送第一mkpdu协议报文之后,所述方法还包括:启动第一定时器,在所述第一定时器的预设时间内,禁止生成sak。3.根据权利要求1所述的方法,其特征在于,所述第一mkpdu协议报文包括报文体字段,所述报文体字段承载所述第一扩展类型参数集以及所述第二扩展类型参数集;所述第一扩展类型参数集包括macsec密码套件字段,所述macsec密码套件字段承载所述国密算法的算法标识;所述国密算法的算法标识包括sm1算法的算法标识、或者,sm4草案算法的算法标识、或者,sm4标准算法的算法标识。4.根据权利要求1所述的方法,其特征在于,所述根据所述国密算法,生成当前sak之前,所述方法还包括:接收用户输入的配置指令,所述配置指令包括指定支持的算法的算法标识,所述指定支持的算法包括所述国密算法或者macsec协议已支持的算法。5.根据权利要求1所述的方法,其特征在于,所述方法还包括:启动第二定时器;当所述第二定时器的预设时间到达后,将原始sak删除,以使得再次发送或者接收报文时,使用所述当前sak进行加解密处理。6.根据权利要求1所述的方法,其特征在于,所述方法还包括:当在预设时间内接收到所述第二网络设备发送的第二mkpdu协议报文且所述第二mkpdu协议报文指示所述第二网络设备未安装第二接收sa时,确定与所述第二网络设备之间的macsec会话协商失败;将本地与所述第二网络设备之间建立所述macsec会话的端口设置为link down状态。7.一种通信装置,其特征在于,所述装置应用于第一网络设备,所述第一网络设备支持国密算法,所述第一网络设备已生成原始sak,所述原始sak用于对发送或者接收的报文进行加解密处理,所述装置包括:生成单元、创建单元、安装单元、发送单元、接收单元;所述生成单元,用于根据所述国密算法,生成当前sak;
所述创建单元,用于利用所述当前sak,创建sa,所述sa包括第一接收sa以及第一发送sa;所述发送单元,用于当所述安装单元在本地已安装所述第一接收sa后,向第二网络设备发送第一mkpdu协议报文,所述第一mkpdu协议报文包括第一扩展类型参数集以及第二扩展类型参数集,所述第一扩展类型参数集包括所述国密算法的算法标识,所述第二扩展类型参数集包括所述当前sak;所述安装单元,用于当所述接收单元在预设时间内接收到所述第二网络设备发送的第二mkpdu协议报文且所述第二mkpdu协议报文指示所述第二网络设备已安装第二接收sa时,在本地安装所述第一发送sa;所述发送单元还用于,向所述第二网络设备发送第三mkpdu协议报文,所述第三mkpdu协议报文用于使所述第二网络设备确定所述第一网络设备已安装所述第一接收sa以及所述第一发送sa,并在本地安装第二发送sa。8.根据权利要求7所述的装置,其特征在于,所述装置还包括:启动单元,用于启动第一定时器,在所述第一定时器的预设时间内,禁止生成sak。9.根据权利要求7所述的装置,其特征在于,所述第一mkpdu协议报文包括报文体字段,所述报文体字段承载所述第一扩展类型参数集以及所述第二扩展类型参数集;所述第一扩展类型参数集包括macsec密码套件字段,所述macsec密码套件字段承载所述国密算法的算法标识;所述国密算法的算法标识包括sm1算法的算法标识、或者,sm4草案算法的算法标识、或者,sm4标准算法的算法标识。10.根据权利要求7所述的装置,其特征在于,所述接收单元还用于,接收用户输入的配置指令,所述配置指令包括指定支持的算法的算法标识,所述指定支持的算法包括所述国密算法或者macsec协议已支持的算法。11.根据权利要求8所述的装置,其特征在于,所述启动单元还用于,启动第二定时器;所述装置还包括:删除单元,用于当所述第二定时器的预设时间到达后,将原始sak删除,以使得再次发送或者接收报文时,使用所述当前sak进行加解密处理。12.根据权利要求7所述的装置,其特征在于,所述装置还包括:确定单元,用于当所述接收单元在预设时间内接收到所述第二网络设备发送的第二mkpdu协议报文且所述第二mkpdu协议报文指示所述第二网络设备未安装第二接收sa时,确定与所述第二网络设备之间的macsec会话协商失败;设置单元,用于将本地与所述第二网络设备之间建立所述macsec会话的端口设置为link down状态。
技术总结
本申请提供一种通信方法及装置,该方法包括:根据国密算法,生成当前SAK;利用当前SAK,创建SA;当在本地已安装第一接收SA后,向第二网络设备发送第一MKPDU协议报文,该第一MKPDU协议报文包括第一扩展类型参数集以及第二扩展类型参数集,第一扩展类型参数集包括国密算法的算法标识,第二扩展类型参数集包括当前SAK;当在预设时间内接收到第二网络设备发送的第二MKPDU协议报文且第二MKPDU协议报文指示第二网络设备已安装第二接收SA时,在本地安装第一发送SA;向第二网络设备发送第三MKPDU协议报文,该第三MKPDU协议报文用于使第二网络设备在本地安装第二发送SA。络设备在本地安装第二发送SA。络设备在本地安装第二发送SA。
技术研发人员:余华
受保护的技术使用者:新华三技术有限公司
技术研发日:2022.04.15
技术公布日:2022/9/8