專利名稱::生成安全關聯(lián)密鑰sak的方法�、網(wǎng)絡設備、網(wǎng)絡系統(tǒng)的制作方法
技術領域:
:本發(fā)明涉及通信領域���,特別的涉及通信安全領域中的一種生成安全關聯(lián)密鑰SAK的方法�、網(wǎng)絡設備�����、網(wǎng)絡系統(tǒng)�。
背景技術:
:網(wǎng)絡鏈路層的安全技術是網(wǎng)絡通信的重大研究課題�,IEEE802.1.ae任務組對該課題進行了研究���,提出使用MAC安全(MediaAccessControlSecurity�����,簡稱MACsec)來保護二層通信的安全����,防范二層攻擊��。該MACsec方法具體來說就是MACsec實體(MACSecurityEntity����,簡稱SecY)使用安全關聯(lián)密鑰(SecureAssociationKey�����,簡稱SAK)�,來對要發(fā)送的數(shù)據(jù)進行加密,接收SecY在接收到數(shù)據(jù)后�����,使用相同的密鑰來解密,從而獲得數(shù)據(jù)����,這樣保證了數(shù)據(jù)的機密性。同時的��,接收SecY通過檢查完整性校驗值��,來判斷接收到的數(shù)據(jù)和發(fā)送SecY發(fā)出來的數(shù)據(jù)一致�,保證數(shù)據(jù)的完整性,以及正確性��。在IEEE802.1.ae任務組目前在協(xié)議中規(guī)定的MACsec是基于LAN的�。各個SecY要進行通訊,就必須同屬于一個安全連接關聯(lián)(SecureConnectivityAssociation����,簡稱CA),同一個CA中的各個SecY擁有相同的安全關聯(lián)主密鑰(SecureConnectivityAssociationKey�����,簡稱CAK)��。CAK可以是手工配置����,也可以在通過認證后��,從認證服務器獲得�����。各個SecY使用CAK來協(xié)商產(chǎn)生一個SAK���,SAK是不斷變化更新的,而CAK則是固定不變的���,即使設備重啟�,CAK也將保持不變�。SAK的不斷變化更新,極大地提高了數(shù)據(jù)的安全性��。圖1為處于同一共享介質(zhì)LAN中的媒體訪問控制(MediaAccessControl��,簡稱MAC)設備的通信示意圖���,如圖示,MAC設備A����、B�����、C���、D同處于以共享介質(zhì)LAN中,各設備之間可以互相訪問通信����。假設MAC設備A、B�����、C同屬于一個CA����,擁有相同的SAK,而MAC設備D則排除在外�����,那么如圖2所示,顯然�,MAC設備A、B�、C上的SecY可以進行MACsec安全通信,而MAC設備D由于沒有該SAK�,即使抓到了A、B或C發(fā)出來的MACsec幀��,也不能解密��。SAK具體是使用MAC安全密鑰協(xié)商協(xié)議(MACKeyAgreementProtocol����,簡稱MKP),通過密鑰選舉協(xié)議數(shù)據(jù)單元(MACKeyAgreementProtocolDataUnits���,簡稱MKPDU)的交互通信產(chǎn)生的���。如圖3所示為MKPDU的幀格式示意圖,在協(xié)議IEEE902.1af中規(guī)定����,MKPDU幀的目的MAC地址(DestinationAddress)使用組播地址,使得同一LAN內(nèi)的所有MAC設備都能接收到MKPDU�����。網(wǎng)橋不對MKPDU進行轉(zhuǎn)發(fā)����,而是過濾掉MKPDU,這樣就把MKPDU局限在同一LAN內(nèi)���。實現(xiàn)了LAN內(nèi)的MACsec安全密鑰協(xié)商����。然而���,由于現(xiàn)有的MACsec技術都是針對LAN的�,MKPDU經(jīng)過任何網(wǎng)橋時����,將被網(wǎng)橋過濾掉,所以MKPDU被限制在一個LAN內(nèi)��,密鑰協(xié)商也只能在相鄰的網(wǎng)絡設備間進行��,因此MKP的應用范圍受到極大的限制���。隨著MAC安全通信技術的發(fā)展�,后來提出了一種SAK協(xié)商的方法,該方法具體是在協(xié)議IEEE.802.1af中重新定義了一種EAPOL消息類型(記為EAPOL-MKP消息)�,從而,將MKPDU置于局域網(wǎng)間的擴展認證協(xié)議(EAPOverLAN��,簡稱EAPOL)幀來承載實現(xiàn)的�����。但是�����,這樣MKPDU的傳遞范圍就決定于EAPOL-MKP消息的傳遞范圍�����,而EAPOL缺省采用802.X的端口認證實體(PortAccessEntity�,簡稱PAE)組播地址01-80-C2-00-03,此組播地址只能被MAC網(wǎng)橋���、VLAN網(wǎng)橋過濾而送交MAC安全密鑰協(xié)商實體(MACSecurityKeyAgreementEntity�,簡稱KAY)進行密鑰協(xié)商生成SAK�����,所以MKPDU相應只會被MAC網(wǎng)橋、VLAN網(wǎng)橋所終結(jié)�����,而將MKP應用只限制在MAC網(wǎng)橋之間或VLAN網(wǎng)橋之間的網(wǎng)絡����。為了進一步擴大MKP的應用�����,在協(xié)議802.1af-D0.9中增加了運營商網(wǎng)橋地址(ProviderBridgeAddress)01-80-C2-00-08�,此地址能夠被MAC網(wǎng)橋、VLAN網(wǎng)橋����、運營商網(wǎng)橋(ProviderBridge)以及運營商骨干網(wǎng)橋(ProviderBackboneBridge)過濾而送交相應的KAY進行密鑰協(xié)商生成SAK;另外的����,在協(xié)議802.1af-D0.9中進一步增加鏈路發(fā)現(xiàn)組播地址(LinkLayerDiscoveryProtocolmulticastaddress),該地址能夠被MAC網(wǎng)橋��、VLAN網(wǎng)橋、運營商網(wǎng)橋��、運營商骨干網(wǎng)橋和雙端口中繼(Two-PortMediaAccessControl(MAC)Relay����,簡稱TPMR)過濾而送交相應的KAY進行密鑰協(xié)商生成SAK。修改了協(xié)議802.1af-D0.9能夠使得MKP可以應用在兩個運營商網(wǎng)橋之間�����、用戶網(wǎng)橋和運營接入網(wǎng)之間����、以及TPMR和其相鄰的設備之間進行。一定程度的擴大了MKP的應用范圍���。由上可見���,以上協(xié)議規(guī)定的三個組播地址分別對應確定的傳播范圍,在實際應用中只能結(jié)合MKP應用范圍��,機械的從該三個規(guī)定的組播地址(分別為PAE組播地址�、運營商網(wǎng)橋地址、鏈路發(fā)現(xiàn)組播地址)中選用其中一個作為MKPDU的目的地址��。因此,相應的MKP應用范圍的只能是以下三種范圍之中的任一第一�����,當選用PAE組播地址時��,MKP應用范圍為在LAN內(nèi)的網(wǎng)絡或MAC網(wǎng)橋之間或VLAN網(wǎng)橋之間的網(wǎng)絡��;第二��,當選用運營商網(wǎng)橋地址時�����,MKP應用范圍為在兩個運營商網(wǎng)橋之間���、用戶網(wǎng)橋和運營接入網(wǎng)之間;第三�����,當使用鏈路發(fā)現(xiàn)組播地址時��,MKP應用范圍為TPMR和其相鄰的設備之間的網(wǎng)絡�����。可見該方法雖然能夠相對擴大了MKP的應用范圍����,但是對于MKP應用的范圍規(guī)定過于機械化,不能滿足MKP應用的靈活部署需要��。
發(fā)明內(nèi)容本發(fā)明要解決的技術問題是提供一種生成安全關聯(lián)密鑰SAK的方法����,實現(xiàn)在網(wǎng)絡內(nèi)靈活的應用MKP。本發(fā)明要解決的技術問題是還提供一種網(wǎng)絡設備����,實現(xiàn)在網(wǎng)絡內(nèi)靈活的應用MKP。本發(fā)明要解決的技術問題是還提供一種網(wǎng)絡系統(tǒng)�,實現(xiàn)在網(wǎng)絡內(nèi)靈活的應用MKP。發(fā)明提供的生成安全關聯(lián)密鑰SAK的方法��,包括發(fā)送端的維護聯(lián)盟節(jié)點向本維護聯(lián)盟內(nèi)的維護聯(lián)盟節(jié)點發(fā)送攜帶MAC安全密鑰協(xié)商協(xié)議數(shù)據(jù)單元MKPDU的消息���;接收端的維護聯(lián)盟節(jié)點對應的MAC安全密鑰協(xié)商實體KaY根據(jù)所述MKPDU與所述發(fā)送端的維護聯(lián)盟節(jié)點對應的KaY協(xié)商生成SAK�����。發(fā)明提供的網(wǎng)絡設備為確定的維護聯(lián)盟內(nèi)的維護聯(lián)盟節(jié)點�����,包括發(fā)送單元�,用于向本維護聯(lián)盟內(nèi)的維護聯(lián)盟節(jié)點發(fā)送攜帶MAC安全密鑰協(xié)商協(xié)議數(shù)據(jù)單元MKPDU的消息;接收單元�,用于接收發(fā)送到本網(wǎng)絡設備上的攜帶MKPDU的消息;MAC安全密鑰協(xié)商實體���,用于根據(jù)所述接收單元接收的消息攜帶的MKPDU���,與所述消息發(fā)送端的維護聯(lián)盟節(jié)點對應的MAC安全密鑰協(xié)商實體協(xié)商生成SAK�。發(fā)明提供的網(wǎng)絡系統(tǒng)包括至少一個維護聯(lián)盟節(jié)點,所述的各維護聯(lián)盟節(jié)點各屬于確定的維護聯(lián)盟�,所述各維護聯(lián)盟節(jié)點,用于向本維護聯(lián)盟內(nèi)的維護聯(lián)盟節(jié)點發(fā)送攜帶MAC安全密鑰協(xié)商協(xié)議數(shù)據(jù)單元MKPDU的消息�����,以及接收本維護聯(lián)盟內(nèi)的其他維護聯(lián)盟節(jié)點所發(fā)送的攜帶MKPDU的消息��;所述網(wǎng)絡系統(tǒng)還包括與所述各維護聯(lián)盟節(jié)點分別一一對應的MAC安全密鑰協(xié)商實體����,用于根據(jù)所述維護聯(lián)盟節(jié)點的攜帶MKPDU的消息與所述消息發(fā)送端的維護聯(lián)盟節(jié)點對應的KaY協(xié)商生成SAK����。由上可見�����,由于本發(fā)明實施例將CA中的MKP參與者設置成同一MA內(nèi)的維護聯(lián)盟節(jié)點(MaintenanceAssociationPoint�����,簡稱MP)����,發(fā)送端的MP向本MA內(nèi)的MP發(fā)送攜帶MKPDU的消息,使得MKPDU的傳遞范圍在MA的傳遞范圍內(nèi)�,在MA內(nèi)進行MKPDU的交互,生成CA和相應的SAK�����。從而可以利用網(wǎng)絡中MA可以根據(jù)需要配置的特性�����,靈活的配置CA,相應的可以在網(wǎng)絡中靈活應用MKP�����,實現(xiàn)靈活的SAK協(xié)商�����。圖1為處于同一LAN中的MAC設備的通信示意圖���;圖2為MAC安全通信示意圖��;圖3為MKPDU的幀格式示意圖����;圖4為本發(fā)明實施例1中的生成SAK的方法的流程示意圖��;圖5為本發(fā)明實施例1中的MD結(jié)構(gòu)示意圖��;圖6為本發(fā)明實施例1中的MA結(jié)構(gòu)示意圖�����;圖7為本發(fā)明實施例1中從用戶的角度看到的MA結(jié)構(gòu)示意圖�;圖8為本發(fā)明實施例1中MDLevel劃分示意圖;圖9為本發(fā)明實施例1中使用CCM的組播地址發(fā)送攜帶MKPDU的消息時��,網(wǎng)絡設備對該消息的處理流程示意圖��;圖10為本發(fā)明實施例2中提供的一種網(wǎng)絡設備結(jié)構(gòu)示意圖��;圖11為本發(fā)明實施例2中提供的另一種網(wǎng)絡設備結(jié)構(gòu)示意圖��;圖12為本發(fā)明實施例3中提供的網(wǎng)絡系統(tǒng)結(jié)構(gòu)示意圖��。具體實施例方式本發(fā)明實施例通過利用以太網(wǎng)的維護聯(lián)盟(MaintenanceAssociation���,簡稱MA)的特性��,將CA中的MKP參與者設置成同一MA內(nèi)的MP��,發(fā)送端的MP向本MA內(nèi)的MP發(fā)送攜帶MKPDU的消息��,使得MKPDU的傳遞范圍在MA的傳遞范圍內(nèi)�,在MA內(nèi)進行MKPDU的交互�,生成CA和相應的SAK。為了使得本領域技術人員更好的理解本發(fā)明技術方案的內(nèi)容�����,以下結(jié)合附圖以及具體實施方式對本發(fā)明技術方案進行詳細的說明。實施例1圖4為本實施例的生成SAK的方法的流程示意圖���,如圖示����,本實施例方法包括以下步驟步驟401發(fā)送端的MP向本MA內(nèi)的MP�����,發(fā)送攜帶MKPDU的消息���。在以太網(wǎng)中�����,以太網(wǎng)的運行與維護管理(OperationandMaintenance���,簡稱OAM)功能的重要部分為故障管理,故障管理是通過定時或手動出發(fā)的方式發(fā)送連續(xù)性檢測消息(ContinuityCheckMessage�����,簡稱CCM)來探測網(wǎng)絡的聯(lián)通性���;同時也提供環(huán)回消息(LoopbackMessage��,簡稱LBM)和相應的環(huán)回應答消息(LoopbackReply�,簡稱LBR)測試點對點之間的連接故障����;以及通過鏈路跟蹤消息(LinktraceMessage,簡稱LTM)以及相應的鏈路跟蹤應答消息(LinktraceReply�����,簡稱LTR)對以太網(wǎng)進行故障定位�。協(xié)議802.1ag規(guī)定將OAM功能所涉及到的網(wǎng)絡或網(wǎng)絡中的某部分稱為維護域(MaintenanceDomain,簡稱MD)�����,MD通過MD名稱來區(qū)分�,MD范圍通過一系列的域服務接入點(DomainServiceAccessPoint,簡稱DSAP)來界定��,其中位于MD的便捷的DSAP對域的外部提供連通性服務�,具體可以為網(wǎng)橋的某個端口�,同時的在MD內(nèi)部還可能存在中間服務接入點(IntermediateServiceAccessPoint���,簡稱IPAP)����,IPAP是從一個DSAP到另一個DSAP的中間節(jié)點��。圖5為一個MD的結(jié)構(gòu)示意圖���,如圖5示�����,該MD存在5個橋設備��,其中DSAP51����、DSAP52���、DSAP53�、DSAP54���、DSAP55����、DSAP56構(gòu)成的區(qū)域5覆蓋的范圍便是MD的范圍�,在MD內(nèi)部還存在多個ISAP。在MD中����,通過指定服務實例來建立DSAP之間的聯(lián)盟關系,這個聯(lián)盟關系一般稱為維護聯(lián)盟(MaitenanceAssociation����,簡稱MA),每服務實例對應一個MA����,各服務實例通過ID來進行標識,一個服務實例由多個DSAP組成����,各MA通過唯一的MA名來標識。屬于MA的各DSAP以及ISAP被稱為聯(lián)盟節(jié)點(MaintenanceAssociationPoint�,簡稱MP),處于MA邊界的MP稱為維護聯(lián)盟端點(MaintenanceAssociationEndPoint�����,簡稱MEP),該MA內(nèi)部的MP稱為維護聯(lián)盟中間節(jié)點(MaintenanceAssociationIntermediatePoint�,簡稱MIP),MEP位于相應的DSAP處�,MIP位于相應的ISAP處。圖6為MA結(jié)構(gòu)示意圖���,如圖6所示�����,對于如圖5所示的MD��,DSAP51���、DSAP53、DSAP55�����、DSAP56���、ISAP57����、ISAP58、ISAP559��、ISAP510�、ISAP512�、ISAP513被配置為某用戶可用的DSAP,從而建立了該用戶相關的一個服務實例和相應的MA�����,而由于DSAP52�、DSAP54未被使用,故不屬于這個服務實例和MA�����。從用戶的角度看可得到如圖7所示的MA�����,該MA60由同屬于一個服務實例的四個MEP以及6個MIP構(gòu)成�。以太網(wǎng)的OAM的另一個特點是層次化,按照OAM所在的網(wǎng)絡層次將OAM劃分為8個等級�,稱為維護域等級(MDLevel)�,并從應用出發(fā)�����,按照較優(yōu)的方案將該8個等級分別分配給用戶級連接管理(Customer)�、業(yè)務級連接管理(Service)、網(wǎng)絡運營商級連接管理(Operator)和物理級連接管理(Physical)等各層次的MA�����。即在以太網(wǎng)中���,各MA屬于不同的MDLevel����。表一為本實施例建議的一種MDLevel分配方案��。表一MDLevel分配表參考MDLevel的分配�����,在以太網(wǎng)中應用MKP進行SAK協(xié)商時�����,將各CA中的MKP參與者設置成MA中的MP(MEP或MIP),同時的�����,由于在以太網(wǎng)絡中MA屬于特定的MDLevel�,從而使得MA也與相應的MDLevel相對應,使得對應的MDLevel越高的CA��,其MKPDU穿透網(wǎng)絡的跨度越大����。比如如果當前的MKP應用需要為各終端用戶提供SAK協(xié)商時�,使得SAK協(xié)商僅在終端用戶側(cè)進行,即當前的CA需要為終端用戶用以SAK協(xié)商的MKPDU提供一種穿透CBN��、PBN���、PBBN的服務時�����,則可以將CA中的各MKP參與者設置成用戶級連接管理的中的各MEP點��。如果當前的MKP應用需要為處于同一業(yè)務網(wǎng)(S-VLAN)內(nèi)的用戶提供SAK協(xié)商時�����,使得SAK協(xié)商僅在同一S-VLAN內(nèi)的網(wǎng)絡設備側(cè)進行�,即當前的CA需要為同一業(yè)務網(wǎng)的終端用戶用以SAK協(xié)商的MKPDU提供了一種穿透PBN、PBBN的服務����,則可以將CA中的MKP參與者設置成業(yè)務級連接管理的MDLevel中的各MEP。如果當前的MKP應用需要為通信網(wǎng)絡內(nèi)的各LAN內(nèi)的終端用戶與相鄰的網(wǎng)橋�、以及各相鄰的網(wǎng)橋間的各鏈路分別提供SAK協(xié)商時,即SAK協(xié)商僅在同一LAN內(nèi)的相鄰設備之間進行���,各鏈路間的SAK協(xié)商相互獨立�,除了通過將CA中的MKP參與者設置成物理鏈路級連接管理中的各MEP方式實現(xiàn)以外�����;還可以通過將CA中的MKP參與者設置成MA(可以屬于各MDLevel)中的MP(MEP或MIP)和與之相鄰的MP(MIP或MEP)方式實現(xiàn)���。根據(jù)實際需要設置的CA�����,屬于CA內(nèi)的各MP向本MP所屬的MA內(nèi)并屬于當前CA的其他MP�,發(fā)送攜帶MKPDU的消息。具體采用CFM消息(如CCM�、LTM、LBM等)的哪個目的地址�,可以根據(jù)實際需要確定,比如如果當前的MKP應用需要為各終端用戶提供SAK協(xié)商時�����,則可以參考屬于用戶級連接管理的MDLevel的MA內(nèi)用于檢測連接故障的CCM的組播目的地址�,將該CCM的組播地址作為該攜帶MKPDU的消息的目的地址,將該攜帶MKPDU的消息發(fā)送至該MA內(nèi)的各MEP�����,使用戶級連接管理的MA中的各MEP成為該CA中的MKP參與者��。如果當前的MKP應用需要為處于同一S-VLAN內(nèi)的用戶提供SAK協(xié)商時����,則同理可以相應參考屬于業(yè)務級連接管理的MDLevel的MA內(nèi)的CCM的目的組播地址����,將該CCM的組播地址作為攜帶MKPDU的消息的目的地址�����,將該消息發(fā)送至該MA內(nèi)的各MEP�,即將MDLevel為業(yè)務級連接管理的MA中的各MEP作為該CA中的MKP參與者����。如果當前的MKP應用需要為通信網(wǎng)絡內(nèi)的各LAN內(nèi)的終端與相鄰的網(wǎng)橋、以及各相鄰的網(wǎng)橋間的各鏈路分別提供SAK協(xié)商時����,則既可以參考屬于物理級連接管理的MDLevel的MA內(nèi)的CCM的目的組播地址,將該CCM的組播地址作為攜帶MKPDU的消息的目的地址�,將該消息發(fā)送至該MA內(nèi)的各MEP,將MDLevel為物理級連接管理的MA中的兩端的MEP作為該CA中的MKP參與者��;另外的����,還可以參考在該CA所在的網(wǎng)絡層次的任意MDLevel內(nèi)用于路徑拓撲發(fā)現(xiàn)和故障定位的LTM的組播目的地址,將該LTM組播目的地址作為攜帶MKPDU的消息的目的地址�����,將該消息發(fā)送至屬于同一MA內(nèi)的與發(fā)送端MP相鄰的MP上�����,將各MDLevel內(nèi)的MA中的相鄰的MP作為該CA中的MKP參與者。當然����,如果當前的MACsec需要為點對點之間的通信提供MACsec服務,則相應的��,各發(fā)送端可以參考LBM的單播方式���,將對端的地址作為目的地址發(fā)送該攜帶MKPDU的消息的目的地址��,采用點對點的通信方式發(fā)送到本MA內(nèi)的其他MP�。使得該發(fā)送將該消息發(fā)送至對端的MP上�����。即該兩MP成為該CA中的MKP參與者�。由上可見�,在各MA內(nèi),使用CCM的組播目的地址���,可以滿足大部分的MKP應用需要��。因此�����,本實施例推薦使用CCM的組播地址作為攜帶MKPDU的消息的目的地址���。一般的��,為了使得SAK可以定時變化����,我們一般周期性的發(fā)送該攜帶MKPDU的消息��。同時的�����,為了可以使得本實施例方法與現(xiàn)有的CFM相兼容�,本實施例可以采用以下的方法使用現(xiàn)用的連接性故障管理數(shù)據(jù)單元(CFMPDU)的基本結(jié)構(gòu)來構(gòu)造攜帶MKPDU的消息。CFMPDU的幀格式如表二所示表二CFMPDU的幀格式其中�����,MDLevel使用3比特來標識����,之后是5比特的版本號�,一個字節(jié)的消息類型信息����,該消息類型的取值用以表示當前的CFMPDU具體為CCM、LTR等(該消息類型的取值范圍分配如表三所示)�,標志位和具體的消息類型結(jié)合使用,F(xiàn)irstTLVOffset表示CFMPDU中的第一個TLV和FirstTLVOffset域之間存在的字節(jié)數(shù)�����,CFMPDU以EndTLV(0)結(jié)尾��。表三消息類型的取值范圍分配為了使得本實施例方法與現(xiàn)有的CPM兼容�����,采用連接性故障管理消息的幀結(jié)構(gòu)構(gòu)建該攜帶MKPDU的消息�����。具體方式是新定義一個消息類型����,將攜帶MKPDU的消息的消息類型記為CFM-MKP,為該消息類型單獨分配一個消息類型值���,比如可以將消息類型值0x10用來標識該信息為攜帶了MKPDU�,以使接收端根據(jù)該消息�����,將該消息攜帶的MKP送至相應的KaY��,由該KaY進行相應的協(xié)商處理以生成SAK��。如表四所示為本實施例推薦的一種攜帶MKPDU的消息的幀格式�。表四攜帶MKPDU的消息的幀格式其中,X可以為消息的待擴充參數(shù)���,n為MKPDU的字節(jié)數(shù)�����,MKPDU的具體內(nèi)容可以參考圖3所示的現(xiàn)有技術中的MKPDU幀中不包含目的地址和源地址的與MKP有關的信息內(nèi)容�,以下具體介紹MKPDU內(nèi)的各參數(shù)信息以及作用如圖3所示�����,MKP協(xié)議類型(MKPEtherType)是用來標識MKP協(xié)議;Version是MKP的版本號����;接下來的一組最新關聯(lián)號有效標識is、最新關聯(lián)號LAN����、發(fā)送使用標識tx���、接收使用標識rx用來表示最新密鑰信息��,is表示MKPDU內(nèi)是否有最新密鑰信息�,如果為真�,則后面的LAN(LatestAssociationNumber,最新關聯(lián)號)�����、LKI(LatestKeyIdentifier�,最新密鑰標識)、LLPNLLPN(LatestLowestacceptablePacketNumber��,最新的最小接收包號)有意義,LAN是最新密鑰SAK對應的關聯(lián)號AN����,tx為真表示使用最新SAK來加密發(fā)送數(shù)據(jù)��,為假則不使用���,rx為真則使用最新SAK來解密發(fā)送數(shù)據(jù)����,為假則不使用�����;接下來的最新關聯(lián)號有效標識is���、最新關聯(lián)號OAN(OldAssociationNumber舊關聯(lián)號)���、發(fā)送使用標識tx、接收使用標識rx表示舊密鑰的信息�����,is如果為真,則后面的OAN����、OKI(OldKeyIdentifier舊密鑰標識)、OLPN(OldLowestacceptablePacketNumber舊的最小接收包號)有意義���,OAN是舊密鑰SAK對應的關聯(lián)字AN�。因為在一個SC中�����,SAK要求不斷變化���,所以一個SC需要維護一個舊SAK�,當一個新的SAK已經(jīng)安裝開始使用時����,舊SAK還必須保留,因為可能使用舊SAK加密發(fā)送來的加密幀目前還存在于接收緩沖buffer中����,或者還在網(wǎng)絡上,保留舊SAK���,就可以使用它來解密這些幀����。CKI是安全連接關聯(lián)主密鑰標識,它用來區(qū)別一個CA�。SCI是安全信道標識。成員標識MI是一個隨機數(shù)�,用來標識一個MKP參與者��,在一個CA中它是唯一的����,如果MKP參與者本身的MI和別人沖突,則會重新生成一個�����。MN是消息號�,其從1開始,每發(fā)送一個MKPDU就累加1�,當MI發(fā)生改變時,它重置為1����,當MN溢出時����,MI會改變�。每一MKP參與者都有自己的MI/MN,除了自己的MI/MN�,它還要維護對端的MI/MN,如果發(fā)現(xiàn)MKP參與者擁有和自己相同的CAK��,則把對端的MI/MN放入Livepeerlist����,如果還未證明對端MKP參與者擁有和自己相同的CAK,則把對端的MI/MN放入potentialpeerlist�����。MKP參與者發(fā)送MKPDU時��,把自己的MI/MN�,以及Livepeerlist、potentialpeerlist中所有MI/MN都放入MKPDU中發(fā)送����,并使用高級加密標準AES的CMAC模式來計算ICVICV=AES-CMAC(K,M���,128)�;其中M是從目的MAC地址開始到ICV為止的所有字節(jié);K通過AES的電碼本模式ECB生成����,K=AES-ECB(CAK,0X1)�����?��?梢姡琁CV值是使用CAK生成的�,接收MKP參與者必須擁有相同的CAK才能進行校驗。相應的���,接收MKP參與者可以采取同樣的算法�����,對從目的MAC地址開始到ICV為止的所有字節(jié)進行相同的計算��,如果ICV值相同則認為MKPDU沒有被攥改��;如果發(fā)送MKP參與者使用的不同的CAK�����,若MKPDU完整性校驗成功�,則接收MKP參與者在自己維護的本地Livepeerlist、本地potentialpeerlist中查找MKPDU中發(fā)送MKP參與者的MI��,如果沒有找到����,則把發(fā)送MKP參與者的MI/MN放入本地potentialpeerlist中;如果找到���,則比較MKPDU內(nèi)的MN是否比本地記錄的MN大���,如果大則更新本地記錄,如果MKPDU內(nèi)MN小于或等于本地記錄的MN����,則表明此MKPDU是錯序或重放攻擊的幀,直接丟棄�����,同時的校驗也會失敗,MKPDU完整性校驗失敗則直接丟棄���,不進行下一步處理��。MKPDU中除了攜帶有發(fā)送MKP參與者自己的MI/MN外����,還攜帶有發(fā)送MKP參與者維護的Livepeerlist���、potentialpeerlist中的所有MI/MN�,接收MKP參與者在MKPDU中的這兩個列表中查找自己的MI����,如果找到��,則證明自己曾經(jīng)發(fā)送過MKPDU給對端���,并且對端能進行正確校驗�����,說明對端擁有和自己相同的CAK���,所以接收MKP參與者就把MKP參與者的MI/MN放入到自己的本地Livepeerlist中�����,如果發(fā)送MKP參與者的MI已經(jīng)在本地Livepeerlist中存在���,則僅更新MN,如果發(fā)送MKP參與者的MI已經(jīng)在本地potentialpeerlist中存在�,則把此記錄移到本地Livepeerlist中,同時更新MN����,刪除本地potentialpeerlist的記錄。密鑰材料KC是MKPDU內(nèi)比較重要的一個域�����,當一個MKP參與者生成時其產(chǎn)生一個隨機數(shù)作為KC�����。在使用MKPDU協(xié)商以生成SAK時����,無論采用計算法或是分發(fā)法��,同一MA內(nèi)被劃分到當前CA內(nèi)的各MP均向其他得本CA內(nèi)的MP發(fā)送攜帶MKPDU的消息�����,同時接收其他MKP參與者發(fā)送來的MKPDU,所以處在同一CA內(nèi)的MKP參與者最終將獲得其他所有MKP參與者發(fā)送過來地MKPDU�。值得說明的是,除了可以應用本實施例方法�����,采用上述的直接為攜帶MKPDU的消息專門定義一個消息類型值的方法外�,也可以采用已有的消息,比如CCM消息來承載MKPDU�,采用后一種方法,把兩種通信協(xié)議的信息共同使用一個消息來傳遞�,有利于相應的減少網(wǎng)絡的消息傳遞數(shù)量。步驟402接收端的MP對應的KaY根據(jù)MKPDU與發(fā)送端的MP對應的KaY協(xié)商生成SAK�。該攜帶MKPDU的消息從發(fā)送端的MP發(fā)出后���,到達該消息的目的地址對應的接收端MP�����,如果該攜帶MKPDU的消息采用表四所示的幀格式�,則接收端的MP讀取消息類型的取值����,如果該消息類型的取值標識該消息包含MKPDU,則讀取該消息中的MKPDU��,并將該MKPDU送交相應的KaY�����,由該KaY參考現(xiàn)有技術的計算法或分發(fā)法����,與發(fā)送端MP對應的KaY協(xié)商生成SAK;否則��,根據(jù)消息類型的取值進行其他相應的處理�����。如果當前協(xié)商生成SAK采用計算法的話�����,各接收到該消息的KaY從所接收到的MKPDU中提取KC����,并把所有KC按照發(fā)送者的MI的大小順序串成一個大的隨機數(shù)M���,使用高級加密標準AES的CMAC模式來計算SAKSAK=AES-CMAC(K�,M��,128)����。其中M為把所有KC按照發(fā)送者的MI的大小順序串成的大隨機數(shù),K通過AES的電碼本模式生成��,K=AES-ECB(CAK�,0X2)。當每個MKP參與者擁有相同的CAK�、M���,所以每個MKP參與者計算出來的SAK相同����,當某個MKP參與者想申請新的SAK���,它只需改變自己的KC����,所有的MKP參與者就會重新計算SAK�,一個SAK使用一個密鑰標識KI來標識����,KI是所有KC的異或值。如果當前協(xié)商生成SAK采用分發(fā)法的話�,還需要在該CA中選取一MP作為密鑰服務器。各MP(MKP參與者)在接收到其他的MP(MKP參與者)發(fā)送過來的攜帶MKPDU的消息后���,將該MKPDU送交相應的KaY���,由該KaY提取該MKPDU,把自己的MI和MKPDU中的發(fā)送端的MP的KC進行異或�����、或其他計算后作為KI,并選擇一個隨機數(shù)作為SAK�,使用KEK對SAK進行加密,其中KEK可以使用AES的電碼本模式ECB計算得到KEK=AES-ECB(CAK����,0X0);該被選取為密鑰服務器的KaY(對應MP)將加密后的SAK和KI放入攜帶MKPDU的消息中��,發(fā)送給本CA內(nèi)的各MP���,各MP根據(jù)被選取為密鑰服務器的MP發(fā)送的攜帶MKPDU的消息,提取MKPDU����,并使用KEK進行解密獲取SAK。從使用方便����、適用范圍廣出發(fā),本實施例推薦使用CCM的組播目的地址作為攜帶MKPDU的消息的目的地址����,以下以使用CCM的組播地址作為攜帶MKPDU的消息為例,對該消息傳輸過程中的具體處理進行詳細分析圖9所示�����,為消息處理流程示意圖��,如圖示��,流程包括步驟901發(fā)送端的MEP采用CCM的組播地址��,向本MA內(nèi)的MEP�,發(fā)送攜帶MKPDU的消息���。本步驟同步驟401中的相應部分描述����。步驟902該消息到達的節(jié)點是否為MEP��,如果是���,執(zhí)行步驟903�,否則執(zhí)行步驟906�����,轉(zhuǎn)發(fā)該消息。步驟903接收到該消息的MEP判斷本MEP所屬的MDLEVEL與消息所包含的發(fā)送端的MEP所屬MDLEVEL的關系����,如果本MEP所屬的MDLEVEL高于發(fā)送端的MEP所屬MDLEVEL,則執(zhí)行步驟905�,丟棄該消息;否則��,執(zhí)行步驟904���。步驟904如果本MEP所屬的MDLEVEL低于發(fā)送端的MEP所屬MDLEVEL��,則執(zhí)行步驟906����;否則����,本MEP所屬的MDLEVEL等于發(fā)送端的MEP所屬MDLEVEL,執(zhí)行步驟907�����。步驟905丟棄該消息。根據(jù)圖8所示的MDLevel的劃分可見�����,MDLevel越高的MA跨度越大����,如果該消息到達的MP所屬的MDLEVEL高于發(fā)送端的MP所屬MDLEVEL,顯然該消息所要達到的相應MDLevel的MEP不可能在后續(xù)的網(wǎng)絡中�,故丟棄該消息���,而終止繼續(xù)轉(zhuǎn)發(fā)該消息,避免造成網(wǎng)絡中過多的冗余消息���。在圖8中�����,橋設備802�����、橋設備803��、橋設備805��、橋設備805各具有兩個MP��,終端801�、終端806各具有一個MEP。步驟906轉(zhuǎn)發(fā)該消息�。如果接收到該消息的節(jié)點為非MP點、或者為某MA內(nèi)的MIP�,節(jié)點不對該消息進行處理,而根據(jù)消息的目的地址進行轉(zhuǎn)發(fā)�。步驟907接收端的MEP對應的KaY根據(jù)MKPDU與發(fā)送端MEP對應的KaY協(xié)商生成SAK。如果該消息的接收節(jié)點為MEP�,并且,該MEP所屬的MDLevel與消息中包含的發(fā)送端的MEP所屬的MDLevel相一致��,則該MEP將該MKPDU送交相應的KaY�,由該KaY根據(jù)MKPDU與發(fā)送端MEP對應的KaY協(xié)商生成SAK。具體與步驟402同理���。實施例2圖10為本實施例的網(wǎng)絡設備結(jié)構(gòu)示意圖���,如圖10示,該網(wǎng)絡設備為屬于確定的MA的維護聯(lián)盟節(jié)點�����,將該維護聯(lián)盟節(jié)點記為維護聯(lián)盟節(jié)點101,該維護聯(lián)盟節(jié)點既可以是MEP��,也可以是MIP�����。一般的��,網(wǎng)絡設備上存儲有本網(wǎng)絡設備的屬性信息�,比如維護聯(lián)盟節(jié)點101屬于的維護聯(lián)盟、該維護聯(lián)盟屬于的維護域?qū)哟蔚刃畔?��,在此我們將該存儲網(wǎng)絡設備的屬性信息的存儲模塊記為網(wǎng)絡設備屬性存儲單元108。發(fā)送單元102��,用于根據(jù)網(wǎng)絡設備屬性存儲單元108存儲的信息���,向維護聯(lián)盟節(jié)點101同一MA內(nèi)(以下稱本MA)的MP發(fā)送攜帶MKPDU的消息�����。當需要在本MA內(nèi)與聯(lián)盟節(jié)點101相鄰的各MP(包括聯(lián)盟節(jié)點101)之間建立CA時���,發(fā)送單元102還可以使用單播地址�、或LTM的組播地址����,向本MA內(nèi)與維護聯(lián)盟節(jié)點101相鄰的其他維護聯(lián)盟節(jié)點發(fā)送所述該攜帶MKPDU的消息。另外的���,當維護聯(lián)盟節(jié)點101為是MEP時�����,并需要在對本MA內(nèi)的MEP之間應用MKP協(xié)商生成SAK而建立CA時����,發(fā)送單元102可以采用CCM的組播地址�����,向本MA內(nèi)的其他MEP����,發(fā)送該攜帶MKPDU的消息。具體采用CCM��、LTM的組播地址或單播地址,根據(jù)實際需要確定���,詳細選擇方案參見實施例中的步驟401中的具體描述���。接收單元103,用于接收發(fā)送到本網(wǎng)絡設備上的攜帶MKPDU的消息�����。MAC安全密鑰協(xié)商實體104���,用于根據(jù)所述接收單元接收的消息攜帶的MKPDU�,與所述消息發(fā)送端的維護聯(lián)盟節(jié)點對應的KaY協(xié)商生成SAK����。當接收的消息包含的MA信息標識該信息的發(fā)送端與維護聯(lián)盟節(jié)點101同屬一MA時���,根據(jù)接收單元103接收的消息攜帶的MKPDU����,與所述發(fā)送端的對應的KaYMP協(xié)商生成SAK�。MAC安全密鑰協(xié)商實體104的具體協(xié)商生成SAK的方法參見實施例1的相應描述���。為了進一步完善本實施例的網(wǎng)絡設備的支持MACsec的能力,如圖11所示�����,網(wǎng)絡設備還可以包括消息編碼單元107����,用于生成所述攜帶MKPDU的消息以供發(fā)送單元102發(fā)送。本消息編碼單元107既可以用于采用連接性故障管理消息的幀結(jié)構(gòu)����,封裝所述攜帶MKPDU的消息;同時的�����,消息編碼單元107還可以通過對所述連接性故障管理消息的消息類型信息域進行的取值�,使取值標識所述消息是否包含MKPDU;消息編碼單元107基于應用方便出發(fā)���,還用于將連接性故障管理消息的地址作為所述攜帶MKPDU的消息的目的地址���。當然的���,也可以采用別的方式在CFM消息中標識該CFM消息攜帶MKPDU,或者采用別的方式生成該攜帶MKPDU的消息�����。同時的消息編碼單元107采用CCM�、LTM的組播目的地址或者單播地址作為該攜帶MKPDU的消息的目的地址具體根據(jù)實際確定。維護域?qū)哟闻袛鄦卧?05��,用于根據(jù)網(wǎng)絡設備屬性存儲單元108存儲的維護域?qū)哟涡畔?����,確定接收單元103接收的消息包含的維護域?qū)哟闻c維護聯(lián)盟節(jié)點101所屬的MDLevel的關系��。轉(zhuǎn)發(fā)單元106�,用于根據(jù)維護域?qū)哟闻袛鄦卧?05的確定結(jié)果,轉(zhuǎn)發(fā)接收單元103接收的消息���。當維護聯(lián)盟節(jié)點101為MIP時�����,轉(zhuǎn)發(fā)單元106當維護域?qū)哟闻袛鄦卧?05確定接收單元103接收的消息包含的發(fā)送端的MP所屬的MDLevel與維護聯(lián)盟節(jié)點101所屬的MDLevel不一致時��,轉(zhuǎn)發(fā)接收單元103接收的消息��。當維護聯(lián)盟節(jié)點為MEP時����,轉(zhuǎn)發(fā)單元106當維護域?qū)哟闻袛鄦卧_定接收單元103接收的消息包含的發(fā)送端的MP所屬的MDLevel高于維護聯(lián)盟節(jié)點101所屬的MDLevel時�����,轉(zhuǎn)發(fā)接收單元103接收的消息�����。實施例3圖12為本實施例網(wǎng)絡系統(tǒng)結(jié)構(gòu)示意圖�,如圖示,本系統(tǒng)包括至少一個維護聯(lián)盟節(jié)點���,見圖中的維護聯(lián)盟節(jié)點121�����、維護聯(lián)盟節(jié)點122����、維護聯(lián)盟節(jié)點123、其中�,各維護聯(lián)盟節(jié)點各屬于確定的維護聯(lián)盟,假設�����,維護聯(lián)盟節(jié)點121維護聯(lián)盟節(jié)點122���、維護聯(lián)盟節(jié)點123均屬于維護聯(lián)盟1�。各維護聯(lián)盟節(jié)點�,具有向本維護聯(lián)盟內(nèi)的維護聯(lián)盟節(jié)點發(fā)送攜帶MAC安全密鑰協(xié)商協(xié)議數(shù)據(jù)單元MKPDU的消息,以及接收本維護聯(lián)盟內(nèi)的其他維護聯(lián)盟節(jié)點所發(fā)送的攜帶MKPDU的消息的功能����。比如維護聯(lián)盟節(jié)點121既能夠向維護聯(lián)盟1內(nèi)的維護聯(lián)盟節(jié)點122、維護聯(lián)盟節(jié)點123發(fā)送該攜帶MKPDU的消息����,又能夠接收來自維護聯(lián)盟1內(nèi)的維護聯(lián)盟節(jié)點122、維護聯(lián)盟節(jié)點123發(fā)送的攜帶MKPDU的消息����。具體發(fā)送以及接收方法參見實施例1、2中描述。與所述各維護聯(lián)盟節(jié)點分別一一對應一MAC安全密鑰協(xié)商實體(如圖示�,維護聯(lián)盟節(jié)點對應MAC安全密鑰協(xié)商實體1211���、121維護聯(lián)盟節(jié)點122對應MAC安全密鑰協(xié)商實體1221����,維護聯(lián)盟節(jié)點123對應MAC安全密鑰協(xié)商實體1231)各MAC安全密鑰協(xié)商實體用于根據(jù)相應的維護聯(lián)盟節(jié)點間接收的攜帶MKPDU的消息與所述消息發(fā)送端的維護聯(lián)盟節(jié)點對應的KaY協(xié)商生成SAK�����。比如MAC安全密鑰協(xié)商實體1211根據(jù)維護聯(lián)盟節(jié)點121接收到維護聯(lián)盟節(jié)點122�、維護聯(lián)盟節(jié)點123發(fā)送的攜帶MKPDU的消息,與MAC安全密鑰協(xié)商實體1212�����、MAC安全密鑰協(xié)商實體1213進行MKP協(xié)商�,以生成SAK。具體SAK協(xié)商方法參見實施例1中的相關描述�。實際應用中,本實施例的通信系統(tǒng)可以由實施例2中的網(wǎng)絡設備組成��。以上對本發(fā)明實施例提供的一種生成安全關聯(lián)密鑰SAK的方法��、網(wǎng)絡設備、網(wǎng)絡系統(tǒng)進行了詳細介紹�,本文中應用了具體個例對本發(fā)明實施例的原理及實施方式進行了闡述,以上實施例的說明只是用于幫助理解本發(fā)明實施例的方法及其核心思想�����;同時����,對于本領域的一般技術人員,依據(jù)本發(fā)明實施例的思想����,在具體實施方式及應用范圍上均會有改變之處,綜上所述����,本說明書內(nèi)容不應理解為對本發(fā)明的限制。權利要求1.一種生成安全關聯(lián)密鑰SAK的方法�����,其特征是����,包括發(fā)送端的維護聯(lián)盟節(jié)點向本維護聯(lián)盟內(nèi)的維護聯(lián)盟節(jié)點發(fā)送攜帶MAC安全密鑰協(xié)商協(xié)議數(shù)據(jù)單元MKPDU的消息;接收端的維護聯(lián)盟節(jié)點對應的MAC安全密鑰協(xié)商實體KaY根據(jù)所述MKPDU與所述發(fā)送端的維護聯(lián)盟節(jié)點對應的KaY協(xié)商生成SAK。2.根據(jù)權利要求1所述的方法��,其特征是���,所述攜帶MKPDU的消息采用連接性故障管理消息的幀結(jié)構(gòu)�。3.根據(jù)權利要求2所述的方法�,其特征是��,所述連接性故障管理消息包括消息類型信息��,通過所述消息類型信息的取值來標識所述消息包含所述的MKPDU����。4.根據(jù)權利要求1、2或3所述的方法�,其特征是,所述發(fā)送端的維護聯(lián)盟節(jié)點將連接性故障管理消息的地址作為所述攜帶MKPDU的消息的目的地址���。5.根據(jù)權利要求1����、2或3所述的方法�����,其特征是,所述發(fā)送端的維護聯(lián)盟節(jié)點為維護聯(lián)盟端點��,所述維護聯(lián)盟端點具體向本維護聯(lián)盟內(nèi)的其他維護聯(lián)盟端點�,發(fā)送所述攜帶MKPDU的消息。6.根據(jù)權利要求5所述的方法��,其特征是����,所述攜帶MKPDU的消息進一步包括所述發(fā)送端的維護聯(lián)盟端點所屬的維護域?qū)哟涡畔ⅲ谒霭l(fā)送端的維護聯(lián)盟端點發(fā)送所述攜帶MKPDU的消息之后�����,所述接收端的KaY與所述發(fā)送端的KaY生成所述SAK之前���,進一步包括所述消息到達的維護聯(lián)盟端點判斷本維護聯(lián)盟端點所屬的維護域?qū)哟问欠窀哂谒霭l(fā)送端的維護聯(lián)盟端點所屬的維護域?qū)哟?����,如果是��,則丟棄所述消息���;所述消息到達的維護聯(lián)盟端點判斷本維護聯(lián)盟端點所屬的維護域?qū)哟问欠竦陀谒霭l(fā)送端的維護聯(lián)盟端點所屬的維護域?qū)哟?����,如果是�,則丟棄所述消息��。7.根據(jù)權利要求1��、2或3所述的方法��,其特征是�����,所述發(fā)送端的維護聯(lián)盟節(jié)點具體是向與本維護聯(lián)盟節(jié)點相鄰的維護聯(lián)盟節(jié)點����,發(fā)送所述攜帶MKPDU的消息�����。8.一種網(wǎng)絡設備��,所述網(wǎng)絡設備為確定的維護聯(lián)盟內(nèi)的維護聯(lián)盟節(jié)點,其特征是�����,包括發(fā)送單元���,用于向本維護聯(lián)盟內(nèi)的維護聯(lián)盟節(jié)點發(fā)送攜帶MAC安全密鑰協(xié)商協(xié)議數(shù)據(jù)單元MKPDU的消息�����;接收單元�,用于接收發(fā)送到本網(wǎng)絡設備上的攜帶MKPDU的消息��;MAC安全密鑰協(xié)商實體�����,用于根據(jù)所述接收單元接收的消息攜帶的MKPDU��,與所述消息發(fā)送端的維護聯(lián)盟節(jié)點對應的MAC安全密鑰協(xié)商實體協(xié)商生成SAK���。9.根據(jù)權利要求8所述的方法�,其特征是����,所述網(wǎng)絡設備進一步包括消息編碼單元����,用于采用連接性故障管理消息的幀結(jié)構(gòu)�����,封裝所述攜帶MKPDU的消息�����;所述發(fā)送單元具體用于發(fā)送所述消息編碼單元封裝的消息���。10.根據(jù)權利要求9所述的方法,其特征是���,所述消息編碼單元還用于對所述連接性故障管理消息的消息類型信息域進行的取值��,以標識所述消息是否包含MKPDU���。11.根據(jù)權利要求8、9或10所述的方法��,其特征是,所述消息編碼單元還用于將連接性故障管理消息的地址作為所述攜帶MKPDU的消息的目的地址����。12.根據(jù)權利要求8、9或10所述的網(wǎng)絡設備��,其特征是�,所述維護聯(lián)盟節(jié)點為維護聯(lián)盟端點;所述發(fā)送單元具體用于向本維護聯(lián)盟內(nèi)的維護聯(lián)盟端點發(fā)送所述攜帶MKPDU的消息��。13.根據(jù)權利要求8�、9或10所述的網(wǎng)絡設備,其特征是�����,所述的維護維護聯(lián)盟屬于確定的維護域?qū)哟?��,所述維護聯(lián)盟節(jié)點為維護聯(lián)盟中間結(jié)點����,所述維護聯(lián)盟節(jié)點還包括維護域?qū)哟闻袛鄦卧?�,用于確定所述接收單元接收的消息包含發(fā)送端的維護聯(lián)盟節(jié)點所屬的維護域?qū)哟闻c本維護聯(lián)盟節(jié)點所屬的維護域?qū)哟蔚年P系����;轉(zhuǎn)發(fā)單元�,用于當維護域?qū)哟闻袛鄦卧_定所述消息包含的發(fā)送端的維護聯(lián)盟節(jié)點所屬的維護域?qū)哟尾粸楸揪S護聯(lián)盟節(jié)點所屬的維護域?qū)哟螘r���,轉(zhuǎn)發(fā)所述消息���。14.根據(jù)權利要求8、9或10所述的網(wǎng)絡設備�,其特征是,所述的維護聯(lián)盟屬于確定的維護域?qū)哟?��,所述維護聯(lián)盟節(jié)點為維護聯(lián)盟端點�����,所述維護聯(lián)盟節(jié)點還包括維護域?qū)哟闻袛鄦卧?�,用于確定所述接收單元接收的消息包含的發(fā)送端的維護聯(lián)盟節(jié)點所屬的維護域?qū)哟闻c本維護聯(lián)盟節(jié)點所屬的維護域?qū)哟蔚年P系;轉(zhuǎn)發(fā)單元�����,用于當維護域?qū)哟闻袛鄦卧_定所述消息包含的發(fā)送端的維護聯(lián)盟節(jié)點所屬的維護域?qū)哟蔚陀诒揪S護聯(lián)盟節(jié)點所屬的維護域?qū)哟螘r�,轉(zhuǎn)發(fā)所述消息����。15.一種網(wǎng)絡系統(tǒng)�����,所述網(wǎng)絡系統(tǒng)包括至少一個維護聯(lián)盟節(jié)點���,所述的各維護聯(lián)盟節(jié)點各屬于確定的維護聯(lián)盟���,其特征是,所述各維護聯(lián)盟節(jié)點��,用于向本維護聯(lián)盟內(nèi)的維護聯(lián)盟節(jié)點發(fā)送攜帶MAC安全密鑰協(xié)商協(xié)議數(shù)據(jù)單元MKPDU的消息���,以及接收本維護聯(lián)盟內(nèi)的其他維護聯(lián)盟節(jié)點所發(fā)送的攜帶MKPDU的消息���;所述網(wǎng)絡系統(tǒng)還包括與所述各維護聯(lián)盟節(jié)點分別一一對應的MAC安全密鑰協(xié)商實體,用于根據(jù)所述維護聯(lián)盟節(jié)點接收的攜帶MKPDU的消息與所述消息發(fā)送端的維護聯(lián)盟節(jié)點對應的KaY協(xié)商生成SAK����。全文摘要本發(fā)明涉及通信領域,公開了一種生成安全關聯(lián)密鑰SAK的方法、網(wǎng)絡設備�����、網(wǎng)絡系統(tǒng)����,本發(fā)明方法包括發(fā)送端的維護聯(lián)盟節(jié)點向本維護聯(lián)盟內(nèi)的維護聯(lián)盟節(jié)點發(fā)送攜帶MAC安全密鑰協(xié)商協(xié)議數(shù)據(jù)單元MKPDU的消息;接收端的維護聯(lián)盟節(jié)點對應的MAC安全密鑰協(xié)商實體KaY根據(jù)所述MKPDU與所述發(fā)送端的維護聯(lián)盟節(jié)點對應的KaY協(xié)商生成SAK�。本發(fā)明實現(xiàn)在網(wǎng)絡內(nèi)靈活的應用MKP。文檔編號H04L9/08GK101197662SQ20061016214公開日2008年6月11日申請日期2006年12月6日優(yōu)先權日2006年12月6日發(fā)明者云普申請人:華為技術有限公司