專利名稱：：安全連接關(guān)聯(lián)主密鑰的更新方法和服務(wù)器及網(wǎng)絡(luò)系統(tǒng)的制作方法
技術(shù)領(lǐng)域：
：本發(fā)明涉及安全連接關(guān)聯(lián)主密鑰的更新技術(shù)，尤其涉及安全連接關(guān)聯(lián)主密鑰的更新方法和安全連接關(guān)聯(lián)主密鑰服務(wù)器及更新安全連接關(guān)聯(lián)主密鑰的網(wǎng)絡(luò)系統(tǒng)。技術(shù)背景美國(guó)電氣和電子工程師學(xué)會(huì)(正EE)對(duì)網(wǎng)絡(luò)鏈路層的安全技術(shù)進(jìn)行了研究，提出4吏用々某體接入控制安全(MediaAccessControlSecurity，MACsec)來(lái)保護(hù)二層通信的安全，防范二層的攻擊；具體來(lái)說(shuō)，作為發(fā)送端的MACsec實(shí)體(MACSecurityEntity,SecY)使用安全關(guān)聯(lián)密鑰(SecureAssociationKey,SAK)對(duì)發(fā)送的數(shù)據(jù)進(jìn)行加密，作為接收端的SecY在接收到加密數(shù)據(jù)后，使用相同的密鑰來(lái)解密以獲得數(shù)據(jù)，這樣就實(shí)現(xiàn)了數(shù)據(jù)傳輸?shù)臋C(jī)密性。SecY為同一安全連4姿關(guān)聯(lián)(SecureConnectivityAssociation,CA)中的成員時(shí)，它們才能進(jìn)行MACSec通訊，CA成員發(fā)送的MACsec幀只有同一CA中的成員才能夠解密。MACsec通信指同一CA內(nèi)的成員使用MACsec幀的格式進(jìn)行安全通信。安全連接關(guān)耳關(guān)主密鑰(SecureConnectivityAssociationkey，CAK)是CA成員互相進(jìn)行認(rèn)證的憑據(jù)，成員依據(jù)CAK建立信任關(guān)系，在建立信任關(guān)系過(guò)程中，每個(gè)成員互相比較CAK，若CAK相同則認(rèn)為對(duì)方可信。每個(gè)成員使用CAK來(lái)協(xié)商產(chǎn)生SAK,SAK用以加密發(fā)送的數(shù)據(jù)。CAK可以在通過(guò)認(rèn)證后從認(rèn)證服務(wù)器獲得，也可以預(yù)先配置。請(qǐng)參考圖1,為現(xiàn)有技術(shù)擴(kuò)展認(rèn)證協(xié)議(ExtensibleAuthentication.Protocol,EAP)認(rèn)證系統(tǒng)示意圖。其中，包括，請(qǐng)求者(supplicant)A101、請(qǐng)求者B102、認(rèn)證服務(wù)器(AuthenticatorServer)104和認(rèn)證者(Authenticator)103。請(qǐng)求者A/請(qǐng)求者B與認(rèn)證服務(wù)器104使用EAP進(jìn)行認(rèn)證。認(rèn)證通過(guò)后，請(qǐng)求者A101和認(rèn)證者103利用EAP方法生成一對(duì)成對(duì)主密鑰(PairwiseMasterKey,PMK);請(qǐng)求者B102和認(rèn)證者103利用EAP方法生成另一對(duì)PMK;這兩對(duì)PMK是不相同的。請(qǐng)求者A101、請(qǐng)求者B102和認(rèn)證者103為CA成員，請(qǐng)求者A101、請(qǐng)求者B102和認(rèn)證者103把PMK當(dāng)作CAK使用，因?yàn)檎?qǐng)求者A101和請(qǐng)求者B102使用的CAK不同，它們之間不能進(jìn)行MACsec通信。成員之間具有相同的CAK，才能進(jìn)行MACsec通信；現(xiàn)有技術(shù)中，沒(méi)有更新成員的CAK的方法，以使得更新后的成員之間的CAK相同。
發(fā)明內(nèi)容本發(fā)明實(shí)施例要解決的技術(shù)問(wèn)題是提供安全連接關(guān)聯(lián)主密鑰的更新方法和服務(wù)器及網(wǎng)絡(luò)系統(tǒng)，以實(shí)現(xiàn)更新成員的CAK。為解決上述技術(shù)問(wèn)題，本發(fā)明實(shí)施例的目的是通過(guò)以下技術(shù)方案實(shí)現(xiàn)的一種安全連接關(guān)聯(lián)主密鑰的更新方法，包括檢測(cè)出同一安全連接關(guān)聯(lián)中的不同成員的安全連接關(guān)聯(lián)主密鑰不同時(shí)或接收到更新安全連接關(guān)聯(lián)的安全連接關(guān)聯(lián)主密鑰的請(qǐng)求信息時(shí)，生成安全連接關(guān)聯(lián)的安全連接關(guān)聯(lián)主密鑰，向安全連接關(guān)聯(lián)中的每個(gè)成員發(fā)送安全連接關(guān)聯(lián)主密鑰；成員接收到安全連接關(guān)聯(lián)主密鑰后，根據(jù)安全連接關(guān)聯(lián)主密鑰更新保存的安全連接關(guān)聯(lián)主密鑰。一種安全連接關(guān)聯(lián)主密鑰的更新方法，包括周期生成安全連接關(guān)聯(lián)的安全連接關(guān)聯(lián)主密鑰，向安全連接關(guān)聯(lián)中的每個(gè)成員發(fā)送安全連接關(guān)聯(lián)主密鑰；成員接收到安全連接關(guān)聯(lián)主密鑰后，根據(jù)安全連接關(guān)聯(lián)主密鑰更新保存的安全連接關(guān)聯(lián)主密鑰。一種安全連接關(guān)聯(lián)主密鑰服務(wù)器，包括安全連接關(guān)聯(lián)主密鑰檢測(cè)單元，用于檢測(cè)同一安全連接關(guān)聯(lián)中的不同成員的安全連接關(guān)聯(lián)主密鑰是否相同；當(dāng)檢測(cè)出同一安全連接關(guān)聯(lián)中的不同成員的安全連接關(guān)聯(lián)主密鑰不相同時(shí)，發(fā)送安全連接關(guān)聯(lián)的安全連接關(guān)聯(lián)主密鑰的生成請(qǐng)求信息；安全連接關(guān)聯(lián)主密鑰生成單元，用于接收安全連接關(guān)聯(lián)主密鑰檢測(cè)單元發(fā)送的生成請(qǐng)求信息，生成安全連接關(guān)聯(lián)的安全連接關(guān)聯(lián)主密鑰，并發(fā)送安全連接關(guān)聯(lián)主密鑰；安全連接關(guān)聯(lián)主密鑰發(fā)送單元，用于接收安全連接關(guān)聯(lián)主密鑰生成單元發(fā)送的安全連接關(guān)聯(lián)主密鑰，向安全連接關(guān)聯(lián)中的每個(gè)成員發(fā)送安全連接關(guān)聯(lián)主密鑰。一種安全連接關(guān)聯(lián)主密鑰服務(wù)器，包括更新請(qǐng)求接收單元，用于接收更新安全連接關(guān)聯(lián)的安全連接關(guān)聯(lián)主密鑰請(qǐng)求信息；當(dāng)接收到更新安全連接關(guān)聯(lián)的安全連接關(guān)聯(lián)主密鑰的請(qǐng)求信息時(shí)，發(fā)送安全連接關(guān)聯(lián)的安全連接關(guān)聯(lián)主密鑰的生成請(qǐng)求信息；安全連接關(guān)聯(lián)主密鑰生成單元，用于接收更新請(qǐng)求接收單元發(fā)出的生成請(qǐng)求信息，生成安全連接關(guān)聯(lián)的安全連接關(guān)聯(lián)主密鑰，并發(fā)送安全連接關(guān)聯(lián)主密鑰；安全連接關(guān)聯(lián)主密鑰發(fā)送單元，用于接收安全連接關(guān)聯(lián)主密鑰生成單元發(fā)送的安全連接關(guān)聯(lián)主密鑰，向安全連接關(guān)聯(lián)中的每個(gè)成員發(fā)送安全連接關(guān)聯(lián)主密鑰。一種安全連接關(guān)聯(lián)主密鑰服務(wù)器，包括周期觸發(fā)單元，用于周期發(fā)送安全連接關(guān)聯(lián)的安全連接關(guān)聯(lián)主密鑰的生成請(qǐng)求信息；安全連接關(guān)聯(lián)主密鑰生成單元，用于接收周期觸發(fā)單元發(fā)送的生成請(qǐng)求信息，生成安全連接關(guān)聯(lián)的安全連接關(guān)聯(lián)主密鑰，并發(fā)送安全連接關(guān)聯(lián)主密鑰；安全連接關(guān)聯(lián)主密鑰發(fā)送單元，用于接收安全連接關(guān)聯(lián)主密鑰生成單元發(fā)送的安全連接關(guān)聯(lián)主密鑰，向安全連接關(guān)聯(lián)中的每個(gè)成員發(fā)送安全連接關(guān)聯(lián)主密鑰。一種網(wǎng)絡(luò)系統(tǒng)，包括安全連接關(guān)聯(lián)主密鑰服務(wù)器，用于檢測(cè)出同一安全連接關(guān)聯(lián)中的不同成員的安全連接關(guān)聯(lián)主密鑰不相同時(shí)，生成安全連接關(guān)聯(lián)的安全連接關(guān)聯(lián)主密鑰，向安全連接關(guān)聯(lián)中的每個(gè)成員發(fā)送安全連接關(guān)聯(lián)主密鑰；用戶端，用于接收安全連接關(guān)聯(lián)主密鑰服務(wù)器發(fā)送的安全連接關(guān)聯(lián)主密鑰，根據(jù)接收到的安全連接關(guān)聯(lián)主密鑰更新保存的安全連接關(guān)聯(lián)主密鑰。一種網(wǎng)絡(luò)系統(tǒng)，包括安全連接關(guān)聯(lián)主密鑰服務(wù)器，用于接收到更新安全連接關(guān)聯(lián)的安全連接關(guān)聯(lián)主密鑰的請(qǐng)求信息時(shí)，生成安全連接關(guān)聯(lián)的安全連接關(guān)聯(lián)主密鑰，向安全連接關(guān)聯(lián)中的每個(gè)成員發(fā)送安全連接關(guān)聯(lián)主密鑰；用戶端，用于接收安全連接關(guān)聯(lián)主密鑰服務(wù)器發(fā)送的安全連接關(guān)聯(lián)主密鑰，根據(jù)接收到的安全連接關(guān)聯(lián)主密鑰更新保存的安全連接關(guān)聯(lián)主密鑰。一種網(wǎng)絡(luò)系統(tǒng)，包括安全連接關(guān)聯(lián)主密鑰服務(wù)器，用于周期生成安全連接關(guān)聯(lián)的安全連接關(guān)聯(lián)主密鑰，向安全連接關(guān)聯(lián)中的每個(gè)成員發(fā)送安全連接關(guān)聯(lián)主密鑰；用戶端，用于接收安全連接關(guān)聯(lián)主密鑰服務(wù)器發(fā)送的安全連接關(guān)聯(lián)主密鑰，根據(jù)接收到的安全連接關(guān)聯(lián)主密鑰更新保存的安全連接關(guān)聯(lián)主密鑰。從以上技術(shù)方案可以看出，由于在本發(fā)明實(shí)施例中，生成CA的CAK，向CA中的每個(gè)成員發(fā)送CAK;成員接收到CAK后，根據(jù)CAK更新保存的CAK;每個(gè)成員更新CAK后，具有相同的CAK，成員之間可以進(jìn)行MACsec通信。圖1為現(xiàn)有技術(shù)的EAP認(rèn)證系統(tǒng)示意圖；圖2為本發(fā)明實(shí)施例一的方法流程圖；圖3為本發(fā)明實(shí)施例二的方法流程圖；圖4為本發(fā)明實(shí)施例六的網(wǎng)絡(luò)系統(tǒng)示意圖；圖5為本發(fā)明實(shí)施例七的網(wǎng)絡(luò)系統(tǒng)示意圖；圖6為本發(fā)明實(shí)施例八的網(wǎng)絡(luò)系統(tǒng)示意圖。具體實(shí)施方式本發(fā)明提供安全連接關(guān)聯(lián)主密鑰的更新方法和服務(wù)器及網(wǎng)絡(luò)系統(tǒng)。安全連接關(guān)聯(lián)主密鑰服務(wù)器(CAKServer)生成CA的CAK,向CA中的每個(gè)成員發(fā)送CAK;成員接收到CAK后，根據(jù)該CAK更新保存的CAK。其中，CAKServer生成CA的CAK情況可以包括以下3種檢測(cè)出同一CA中的不同成員的CAK不同時(shí)，生成CA的CAK;接收到更新CA的CAK的請(qǐng)求信息時(shí)，生成CA的CAK;周期生成CA的CAK。為了保證CAK的安全性，CAKServer生成CA的CAK的過(guò)程包括，產(chǎn)生CA的CAK，對(duì)CAK進(jìn)行加密；用戶端更新CAK的過(guò)程包括，對(duì)接收到的CAK進(jìn)行解密以獲得新CAK,用新CAK替換保存的CAK。加密的方法可以包括以下3種使用保存的CAK對(duì)產(chǎn)生的CAK進(jìn)行加密；使用基于保存的CAK生成的SAK對(duì)產(chǎn)生的CAK進(jìn)行加密；使用認(rèn)證通過(guò)后獲得的PMK/預(yù)先設(shè)置的預(yù)共享密鑰(Pre-SharedKey，PSK)對(duì)產(chǎn)生的CAK進(jìn)行加密。實(shí)施例一在本實(shí)施例中，成員在iU正通過(guò)后，CAKServer4全測(cè)出該成員所屬CA還有其它成員，且該成員與其它成員的CAK不同時(shí)，則進(jìn)行CAK更新。請(qǐng)參考圖2，為本發(fā)明實(shí)施例一的方法流程圖。步驟201.成員通過(guò)認(rèn)證后，成員和認(rèn)證設(shè)備利用EAP方法生成一對(duì)PMK，并把此PMK當(dāng)作CAK使用。使用密鑰協(xié)商協(xié)議(MACsecKeyAgreementProtocol,MKA)基于CAK產(chǎn)生SAK，SAK用于成員之間通信數(shù)據(jù)的加密。本說(shuō)明書的成員為CA成員，是針對(duì)CA提出的一個(gè)邏輯概念。本說(shuō)明書的用戶端為承載成員信息的通信實(shí)體，可以為SecY、請(qǐng)求者、認(rèn)證者、工作站、個(gè)人電腦和終端設(shè)備等。本說(shuō)明書的認(rèn)證設(shè)備泛指提供相關(guān)認(rèn)證功能的通信實(shí)體，可以為認(rèn)證者，路由器，交換機(jī)，數(shù)據(jù)服務(wù)器和接入網(wǎng)設(shè)備等。本說(shuō)明書的CAKServer泛指能夠生成并發(fā)送CAK的通信實(shí)體，可以為SecY、工作站、終端設(shè)備，認(rèn)證者，路由器，交換機(jī)，數(shù)據(jù)服務(wù)器，接入網(wǎng)設(shè)備等。步驟202.CAKServer檢測(cè)出通過(guò)認(rèn)證的新成員與其它成員屬于同一CA,且新成員與其它成員的CAK不同時(shí)，產(chǎn)生該CA的新CAK。CAKServer負(fù)責(zé)產(chǎn)生CA的新CAK，加密該CAK，并向該CA中的每個(gè)成員發(fā)送該CAK。在本實(shí)施例中，每一個(gè)CA中有一個(gè)CAKServer,CAKServer為CA中的一個(gè)特殊成員，為方便管理，建議把認(rèn)證設(shè)備設(shè)置為CAKSsrv6r。CAKServer判斷成員所屬的CA有兩種方法通過(guò)成員認(rèn)證時(shí)使用的用戶名判斷成員所屬的CA，比如，通過(guò)用戶名后綴以識(shí)別CA,兩個(gè)成員的用戶名分別為testl@cak08.com與test2@cak08.com，他們的CA都是cak08;通過(guò)密鑰協(xié)商協(xié)議數(shù)據(jù)單元(MACsecKeyAgreementProtocolDataUnits,MKPDU)中的安全連接關(guān)聯(lián)標(biāo)識(shí)(SecureConnectivityAssociationIdentifier,CAID)域判斷成員所屬的CA。為實(shí)現(xiàn)通過(guò)MKPDU識(shí)別成員所屬CA，本發(fā)明提出了一種MKPDU結(jié)構(gòu)。請(qǐng)參考表1,為本發(fā)明實(shí)施例提出的MKPDU結(jié)構(gòu)，該MKPDU結(jié)構(gòu)包括CAID域，該CAID域用于標(biāo)記成員所屬的CA。目的地址(DestinationAddress)源地址(SourceAddress)KSP協(xié)議類型(KSPEtherType)<table>tableseeoriginaldocumentpage11</column></row><table>表1CAKServer可以通過(guò)隨機(jī)數(shù)生成器產(chǎn)生新CAK?？梢岳斫獾氖牵部梢园哑渲幸粋€(gè)成員正在使用的CAK作為新的CAK,但安全性較低。步驟203.CAKServer加密CA的新CAK，并向該CA的所有成員發(fā)送。CAKServer向成員發(fā)送的信息一般需要加密。CAKServer可以使用保存的CAK,或者基于保存的CAK生成的SAK,對(duì)新CAK進(jìn)行加密，把加密過(guò)的CAK放入MKPDU報(bào)文的類型長(zhǎng)度值(TLV)域中，TLV域的位置請(qǐng)參考表1;使用組播或單播方式向該CA的每個(gè)成員下發(fā)該MKPDU報(bào)文。其中，保存的CAK為CA的成員當(dāng)前使用的CAK,即更新前的CAK。需要說(shuō)明的是，本發(fā)明實(shí)施例中，成員每次對(duì)新CAK進(jìn)行加密時(shí)，還可以使用通過(guò)認(rèn)證后生成的PMK來(lái)加密，這樣加密密鑰不需要更新，比較方便，但降低了安全性；因?yàn)檎J(rèn)證后每個(gè)成員與CAKServer之間的PMK并不相同，所以只能使用單播方式向每個(gè)成員發(fā)送攜帶加密的CAK的MKPDU報(bào)文。步驟304.成員接收到加密的CAK，對(duì)其進(jìn)行解密以獲得新CAK,用新CAK替換保存的CAK。解密為加密的反操作，CAKServer使用CAK、SAK或PMK進(jìn)4亍加密，則成員使用相同的CAK、SAK或PMK進(jìn)4亍解密?？梢岳斫獾氖牵珻AKServer為特殊的CA成員，CAKServer可以根據(jù)新CAK更新自身的CAK。更新后，同一CA的每個(gè)成員具有相同的CAK，故它們可以進(jìn)行MACsec通信。實(shí)施例二在本實(shí)施例中，CA成員預(yù)先配置CAID和PSK。CAKServer接收到成員主動(dòng)發(fā)起更新CA的CAK的請(qǐng)求信息時(shí)，更新成員的CAK;或CAKServer周期生成新CAK，更新成員的CAK。請(qǐng)參考圖3，為本發(fā)明實(shí)施例二的方法流程圖。步驟301.配置成員的CAID和PSK。對(duì)同一CA中的每個(gè)成員，配置相同的CAID和PSK;成員把PSK作CAK使用?；贑AK產(chǎn)生SAK,SAK用于通信數(shù)據(jù)的加密。步驟302.成員可以主動(dòng)發(fā)起更新CA的CAK的請(qǐng)求，CAKServer接收到請(qǐng)求信息后產(chǎn)生該CA的新CAK;或CAKServer周期產(chǎn)生該CA的新CAK。CAKServer可以通過(guò)隨機(jī)數(shù)生成器產(chǎn)生新CAK。實(shí)現(xiàn)周期產(chǎn)生新CAK的方法很多，比如，設(shè)置定時(shí)器，當(dāng)定時(shí)器溢出時(shí)，產(chǎn)生新CAK。周期的具體時(shí)長(zhǎng)，可以根據(jù)實(shí)際工作環(huán)境進(jìn)行設(shè)置。在本實(shí)施例中，可以通過(guò)預(yù)先配置其中一個(gè)成員作為CAKServer,或通過(guò)協(xié)議選舉出其中一個(gè)成員為CAKServer。每個(gè)成員會(huì)相互傳播MKPDU，MKPDU使用完整性校驗(yàn)值(ICV)保護(hù)，ICV值是根據(jù)CAK生成的，接收MKPDU的成員必須擁有和發(fā)送MKPDU的成員相同的CAK才能進(jìn)行校驗(yàn)，接收MKPDU的成員根據(jù)MKA協(xié)議決定是否把發(fā)送MKPDU的成員加入到本地激活對(duì)端列表(Livepeerlist),MKA協(xié)議保證力口入到本地Livepeerlist的成員都是可信的同一CA成員。步驟303.CAKServer加密CA的新CAK，并向該CA的所有成員發(fā)送。CAKServer可以使用保存的CAK,或者基于保存的CAK生成的SAK，對(duì)新CAK進(jìn)行加密，把加密過(guò)的CAK放入MKPDU報(bào)文的類型長(zhǎng)度值(TLV)域中，TLV域的位置請(qǐng)參考表1;使用組播或單播方式向該CA的每個(gè)成員下發(fā)該MKPDU報(bào)文。需要說(shuō)明的是，本發(fā)明實(shí)施例中，成員每次對(duì)新CAK進(jìn)行加密時(shí)，還可以使用配置的PSK來(lái)加密，加密密鑰不需要更新，比較方便，但降低了安全性。步驟304.成員接收到加密的CAK,對(duì)其進(jìn)行解密以獲得新CAK，用新CAK替換保存的CAK。解密為加密的反操作，CAKSever使用CAK、SAK或PSK進(jìn)行加密，則成員使用相同的CAK、SAK或PSK進(jìn)行解密?？梢岳斫獾氖?，CAKServer為特殊的CA成員，CAKServer可以根據(jù)新CAK更新自身的CAK。更新后，同一CA的每個(gè)成員具有相同的CAK,故它們可以進(jìn)行MACsec通信。實(shí)施例三本實(shí)施例的CAK服務(wù)器包括CAK檢測(cè)單元，用于檢測(cè)同一CA中的不同成員的CAK是否相同，當(dāng)檢測(cè)出同一CA中的不同成員的CAK不相同時(shí)，發(fā)送CA的CAK的生成請(qǐng)求信息；CAK生成單元，用于接收CAK檢測(cè)單元發(fā)送的生成請(qǐng)求信息，生成CA的CAK,并發(fā)送CAK;CAK發(fā)送單元，用于接收CAK生成單元發(fā)送的CAK,向CA中的每個(gè)成員發(fā)送該CAK。進(jìn)一步，CAK生成單元包括CAK產(chǎn)生單元，用于接收CAK檢測(cè)單元發(fā)送的生成請(qǐng)求信息，產(chǎn)生CA的CAK;CAK加密單元，用于加密CAK產(chǎn)生單元產(chǎn)生的CAK,并發(fā)送該CAK。實(shí)施例四本實(shí)施例的CAK服務(wù)器包括更新請(qǐng)求接收單元，用于接收更新CA的CAK請(qǐng)求信息，當(dāng)接收到更新CA的CAK的請(qǐng)求信息時(shí)，發(fā)送CA的CAK的生成請(qǐng)求信息；CAK生成單元，用于接收更新請(qǐng)求接收單元發(fā)出的生成請(qǐng)求信息，生成CA的CAK，并發(fā)送CAK;CAK發(fā)送單元，用于接收CAK生成單元發(fā)送的CAK,向CA中的每個(gè)成員發(fā)送該CAK。進(jìn)一步，CAK生成單元包括CAK產(chǎn)生單元，用于接收更新請(qǐng)求接收單元發(fā)送的生成請(qǐng)求信息，產(chǎn)生CA的CAK;CAK加密單元，用于加密CAK產(chǎn)生單元產(chǎn)生的CAK，并發(fā)送該CAK。實(shí)施例五本實(shí)施例的CAK服務(wù)器包括周期觸發(fā)單元，用于周期發(fā)送CA的CAK的生成請(qǐng)求信息；CAK生成單元，用于接收周期觸發(fā)單元發(fā)送的生成請(qǐng)求信息，生成CA的CAK，并發(fā)送CAK;CAK發(fā)送單元，用于接收CAK生成單元發(fā)送的CAK，向CA中的每個(gè)成員發(fā)送該CAK。進(jìn)一步，CAK生成單元包括CAK產(chǎn)生單元，用于接收周期觸發(fā)單元發(fā)送的生成請(qǐng)求信息，產(chǎn)生CA的CAK;CAK加密單元，用于加密CAK產(chǎn)生單元產(chǎn)生的CAK,并發(fā)送該CAK。實(shí)施例六本實(shí)施例的網(wǎng)絡(luò)系統(tǒng)包括CAK服務(wù)器420，用于檢測(cè)出同一CA中的不同成員的CAK不相同時(shí)，生成CA的CAK,向CA中的每個(gè)成員發(fā)送CAK;用戶端410,用于接收CAK服務(wù)器420發(fā)送的CAK,根據(jù)接收到的CAK更新保存的CAK。進(jìn)一步，CAK服務(wù)器420包括CAK檢測(cè)單元421,用于檢測(cè)同一CA中的不同成員的CAK是否相同，當(dāng)檢測(cè)出同一CA中的不同成員的CAK不相同時(shí)，發(fā)送CA的CAK的生成請(qǐng)求信息；CAK生成單元422,用于接收CAK檢測(cè)單元421發(fā)送的生成請(qǐng)求信息，產(chǎn)生CA的CAK，加密該CAK，并向CAK發(fā)送單元發(fā)送加密后的CAK;CAK發(fā)送單元423，用于接收CAK生成單元422發(fā)送的CAK,向CA中的每個(gè)成員發(fā)送該CAK。進(jìn)一步，用戶端410包括CAK接收單元411,用于接收CAK服務(wù)器420發(fā)送的CAK;CAK解密單元412,用于對(duì)CAK接收單元411接收到的第10CAK進(jìn)行解密，以獲得新CAK;CAK更新單元413，用于將CAK解密單元412獲得的新CAK替換保存的CAK。用戶端410發(fā)送認(rèn)證報(bào)文到認(rèn)證服務(wù)器430,通過(guò)認(rèn)證后，CAK服務(wù)器420與用戶端410建立一對(duì)PMK，成為CA的成員，成員把PMK當(dāng)作CAK使用。CAK服務(wù)器420的CAK檢測(cè)單元421檢測(cè)出同一CA中的不同成員的CAK不相同時(shí)，發(fā)送CA的CAK的生成請(qǐng)求信息。CAK生成單元422接收CAK檢測(cè)單元421發(fā)送的生成請(qǐng)求信息，產(chǎn)生CA的CAK，加密該CAK，并向CAK發(fā)送單元423發(fā)送加密后的CAK。CAK發(fā)送單元423接收CAK生成單元422發(fā)送的CAK，向CA中的每個(gè)成員發(fā)送該CAK。用戶端410的CAK接收單元411接收CAK服務(wù)器420發(fā)送的CAK。CAK解密單元412對(duì)CAK接收單元411接收到的CAK進(jìn)行解密，以獲得新CAK。CAK更新單元413將CAK解密單元412獲得的新CAK替換保存的CAK。其中，加密的方法可以包括以下3種使用保存的CAK對(duì)產(chǎn)生的CAK進(jìn)行加密；使用基于保存的CAK生成的SAK對(duì)產(chǎn)生的CAK進(jìn)行加密；使用認(rèn)證通過(guò)后獲得的PMK對(duì)產(chǎn)生的CAK進(jìn)行加密。實(shí)施例七本實(shí)施例的網(wǎng)絡(luò)系統(tǒng)包括CAK服務(wù)器520,用于接收到更新CA的CAK的請(qǐng)求信息時(shí)，生成CA的CAK,向CA中的每個(gè)成員發(fā)送CAK;用戶端510,用于接收CAK服務(wù)器520發(fā)送的CAK，根據(jù)接收到的CAK更新保存的CAK。進(jìn)一步，CAK服務(wù)器520包括更新請(qǐng)求接收單元521，用于接收更新CA的CAK請(qǐng)求信息，當(dāng)接收到更新CA的CAK的請(qǐng)求信息時(shí)，發(fā)送CA的CAK的生成請(qǐng)求信息；CAK生成單元522,用于接收更新請(qǐng)求接收單元521發(fā)送的生成請(qǐng)求信息，產(chǎn)生CA的CAK，加密該CAK,并向CAK發(fā)送單元523發(fā)送加密后的CAK;CAK發(fā)送單元523,用于接收CAK生成單元522發(fā)送的CAK，向CA中的每個(gè)成員發(fā)送該CAK。進(jìn)一步，用戶端510包括CAK接收單元511，用于接收CAK服務(wù)器520發(fā)送的CAK;CAK解密單元512,用于對(duì)CAK接收單元511接收到的CAK進(jìn)行解密，以獲得新CAK;CAK更新單元513，用于將CAK解密單元512獲得的新CAK替換保存的CAK。配置用戶端510的CAID和PSK,成為CA的成員，成員把PSK當(dāng)作CAK使用。成員主動(dòng)向CAK服務(wù)器520發(fā)送更新CA的CAK的請(qǐng)求。CAK服務(wù)器520的更新請(qǐng)求接收單元521當(dāng)接收到更新CA的CAK的請(qǐng)求信息時(shí)，發(fā)送CA的CAK的生成請(qǐng)求信息。CAK生成單元522接收更新請(qǐng)求接收單元521發(fā)送的生成請(qǐng)求信息，產(chǎn)生CA的CAK,加密該CAK,并向CAK發(fā)送單元523發(fā)送加密后的CAK。CAK發(fā)送單元523接收CAK生成單元522發(fā)送的CAK,向CA中的每個(gè)成員發(fā)送該CAK。用戶端510的CAK接收單元511接收CAK服務(wù)器520發(fā)送的CAK。CAK解密單元512對(duì)CAK接收單元511接收到的CAK進(jìn)行解密，以獲得新CAK。CAK更新單元513,用于將CAK解密單元512獲得的新CAK替換保存的CAK。其中，加密的方法可以包括以下3種使用保存的CAK對(duì)產(chǎn)生的CAK進(jìn)行加密；使用基于保存的CAK生成的SAK對(duì)產(chǎn)生的CAK進(jìn)行加密；使用預(yù)先設(shè)置的PSK對(duì)產(chǎn)生的CAK進(jìn)行加密。實(shí)施例/V本實(shí)施例的網(wǎng)絡(luò)系統(tǒng)包括CAK服務(wù)器620,用于周期生成CA的CAK,向CA中的每個(gè)成員發(fā)送CAK;用戶端610，用于接收CAK服務(wù)器620發(fā)送的CAK，根據(jù)接收到的CAK更新保存的CAK。進(jìn)一步，CAK服務(wù)器620包括周期觸發(fā)單元621,用于周期發(fā)送CA的CAK的生成請(qǐng)求信息；CAK生成單元622，用于接收周期觸發(fā)單元621發(fā)送的生成請(qǐng)求信息，產(chǎn)生CA的CAK,加密該CAK,并向CAK發(fā)送單元623發(fā)送加密后的CAK;CAK發(fā)送單元623，用于接收CAK生成單元622發(fā)送的CAK,向CA中的每個(gè)成員發(fā)送該CAK。進(jìn)一步，用戶端610包括CAK接收單元611,用于接收CAK服務(wù)器620發(fā)送的CAK;CAK解密單元612,用于對(duì)CAK接收單元611接收到的CAK進(jìn)行解密，以獲得新CAK;CAK更新單元613，用于將CAK解密單元612獲得的新CAK替換保存的CAK。配置用戶端610的CAID和PSK,成為CA的成員，成員把PSK當(dāng)作CAK使用。CAK服務(wù)器620的周期觸發(fā)單元621周期發(fā)送CA的CAK的生成請(qǐng)求信息。CAK生成單元622接收周期觸發(fā)單元621發(fā)送的生成請(qǐng)求信息，產(chǎn)生CA的CAK，加密該CAK，并向CAK發(fā)送單元623發(fā)送加密后的CAK。CAK發(fā)送單元623接收CAK生成單元622發(fā)送的CAK,向CA中的每個(gè)成員發(fā)送CAK解密單元612對(duì)CAK接收單元611接收到的CAK進(jìn)行解密，以獲得新CAK。CAK更新單元613將CAK解密單元612獲得的新CAK替換保存的CAK。其中，加密的方法可以包括以下3種使用保存的CAK對(duì)產(chǎn)生的CAK預(yù)先設(shè)置的PSK對(duì)產(chǎn)生的CAK進(jìn)行加密。從以上技術(shù)方案可以看出，由于在本發(fā)明實(shí)施例中，生成CA的CAK，向CA中的每個(gè)成員發(fā)送CAK;成員接收到CAK后，根據(jù)CAK更新保存的CAK;每個(gè)成員更新CAK后，具有相同的CAK,成員之間可以進(jìn)行MACsec通信。從以上技術(shù)方案可以看出，本發(fā)明實(shí)施例提出3種CAK服務(wù)器生成CA的CAK情況檢測(cè)出同一CA中的不同成員的CAK不同時(shí)，生成CA的CAK;接收到更新CA的CAK的請(qǐng)求信息時(shí)，生成CA的CAK;周期生成CA的CAK;從而可以根據(jù)具體情況選擇合適的實(shí)施方案。從以上技術(shù)方案可以看出，本發(fā)明實(shí)施例提出的MKPDU結(jié)構(gòu)包括CAID域，該CAID域用于標(biāo)記成員所屬的CA,從而可以通過(guò)MKPDU報(bào)文識(shí)別成員所屬的CA。以上對(duì)本發(fā)明實(shí)施例所提供的安全連接關(guān)聯(lián)主密鑰的更新方法和服務(wù)器及網(wǎng)絡(luò)系統(tǒng)進(jìn)行了詳細(xì)介紹，本文中應(yīng)用了具體個(gè)例對(duì)本發(fā)明的原理及實(shí)施方式進(jìn)行了闡述，以上實(shí)施例的說(shuō)明只是用于幫助理解本發(fā)明的方法及其核心思想；同時(shí)，對(duì)于本領(lǐng)域的一般技術(shù)人員，依據(jù)本發(fā)明的思想，在具體實(shí)施方式及應(yīng)用范圍上均會(huì)有改變之處，綜上所述，本說(shuō)明書內(nèi)容不應(yīng)理解為對(duì)本發(fā)明的限制。權(quán)利要求1.一種安全連接關(guān)聯(lián)主密鑰的更新方法，其特征在于，包括檢測(cè)出同一安全連接關(guān)聯(lián)中的不同成員的安全連接關(guān)聯(lián)主密鑰不同時(shí)或接收到更新安全連接關(guān)聯(lián)的安全連接關(guān)聯(lián)主密鑰的請(qǐng)求信息時(shí)，生成所述安全連接關(guān)聯(lián)的安全連接關(guān)聯(lián)主密鑰，向所述安全連接關(guān)聯(lián)中的每個(gè)成員發(fā)送所述安全連接關(guān)聯(lián)主密鑰；所述成員接收到所述安全連接關(guān)聯(lián)主密鑰后，根據(jù)所述安全連接關(guān)聯(lián)主密鑰更新保存的安全連接關(guān)聯(lián)主密鑰。2.根據(jù)權(quán)利要求1所述的更新方法，其特征在于，所述生成所述安全連接關(guān)聯(lián)的安全連接關(guān)聯(lián)主密鑰的過(guò)程包括，產(chǎn)生所述安全連接關(guān)聯(lián)的安全連接關(guān)聯(lián)主密鑰，對(duì)所述安全連接關(guān)聯(lián)主密鑰進(jìn)行加密；所述根據(jù)所述安全連接關(guān)聯(lián)主密鑰更新保存的安全連接關(guān)聯(lián)主密鑰的過(guò)程包括，對(duì)接收到的安全連接關(guān)聯(lián)主密鑰進(jìn)行解密以獲得新安全連接關(guān)聯(lián)主密鑰，用所述新安全連接關(guān)聯(lián)主密鑰替換保存的安全連接關(guān)聯(lián)主密鑰。3.—種安全連接關(guān)聯(lián)主密鑰的更新方法，其特征在于，包括周期生成安全連接關(guān)聯(lián)的安全連接關(guān)聯(lián)主密鑰，向所述安全連接關(guān)聯(lián)中的每個(gè)成員發(fā)送所述安全連接關(guān)聯(lián)主密鑰；所述成員接收到所述安全連接關(guān)聯(lián)主密鑰后，根據(jù)所述安全連接關(guān)聯(lián)主密鑰更新保存的安全連接關(guān)聯(lián)主密鑰。4.根據(jù)權(quán)利要求3所述的更新方法，其特征在于，所述周期生成安全連接關(guān)聯(lián)的安全連接關(guān)聯(lián)主密鑰的過(guò)程包括，周期產(chǎn)生安全連接關(guān)聯(lián)的安全連接關(guān)聯(lián)主密鑰，對(duì)所述安全連接關(guān)聯(lián)主密鑰進(jìn)行加密；所述根據(jù)所述安全連接關(guān)聯(lián)主密鑰更新保存的安全連接關(guān)聯(lián)主密鑰的過(guò)程包括，對(duì)接收到的安全連接關(guān)聯(lián)主密鑰進(jìn)行解密以獲得新安全連接關(guān)聯(lián)主密鑰，用所述新安全連接關(guān)聯(lián)主密鑰替換保存的安全連接關(guān)聯(lián)主密鑰。5.—種安全連接關(guān)聯(lián)主密鑰服務(wù)器，其特征在于，包括安全連接關(guān)聯(lián)主密鑰檢測(cè)單元，用于檢測(cè)同一安全連接關(guān)聯(lián)中的不同成員的安全連接關(guān)聯(lián)主密鑰是否相同；當(dāng)檢測(cè)出同一安全連接關(guān)聯(lián)中的不同成員的安全連接關(guān)聯(lián)主密鑰不相同時(shí)，發(fā)送所述安全連接關(guān)聯(lián)的安全連接關(guān)聯(lián)主密鑰的生成請(qǐng)求信息；安全連接關(guān)聯(lián)主密鑰生成單元，用于接收所述安全連接關(guān)聯(lián)主密鑰檢測(cè)2單元發(fā)送的生成請(qǐng)求信息，生成安全連接關(guān)聯(lián)的安全連接關(guān)聯(lián)主密鑰，并發(fā)送所述安全連接關(guān)聯(lián)主密鑰；安全連接關(guān)聯(lián)主密鑰發(fā)送單元，用于接收所述安全連接關(guān)聯(lián)主密鑰生成單元發(fā)送的安全連接關(guān)聯(lián)主密鑰，向所述安全連接關(guān)聯(lián)中的每個(gè)成員發(fā)送所述安全連接關(guān)聯(lián)主密鑰。6.根據(jù)權(quán)利要求5所述的安全連接關(guān)聯(lián)主密鑰服務(wù)器，其特征在于，所述安全連接關(guān)聯(lián)主密鑰生成單元包括安全連接關(guān)聯(lián)主密鑰產(chǎn)生單元，用于接收所述安全連接關(guān)聯(lián)主密鑰檢測(cè)單元發(fā)送的生成請(qǐng)求信息，產(chǎn)生安全連接關(guān)聯(lián)的安全連接關(guān)聯(lián)主密鑰；安全連接關(guān)聯(lián)主密鑰加密單元，用于加密所述安全連接關(guān)聯(lián)主密鑰產(chǎn)生單元產(chǎn)生的安全連接關(guān)聯(lián)主密鑰，并發(fā)送所述安全連接關(guān)聯(lián)主密鑰。7.—種安全連接關(guān)聯(lián)主密鑰服務(wù)器，其特征在于，包括更新請(qǐng)求接收單元，用于接收更新安全連接關(guān)聯(lián)的安全連接關(guān)聯(lián)主密鑰請(qǐng)求信息；當(dāng)接收到更新安全連接關(guān)聯(lián)的安全連接關(guān)聯(lián)主密鑰的請(qǐng)求信息時(shí)，發(fā)送所述安全連接關(guān)聯(lián)的安全連接關(guān)聯(lián)主密鑰的生成請(qǐng)求信息；安全連接關(guān)聯(lián)主密鑰生成單元，用于接收所述更新請(qǐng)求接收單元發(fā)出的生成請(qǐng)求信息，生成安全連接關(guān)聯(lián)的安全連接關(guān)聯(lián)主密鑰，并發(fā)送所述安全連接關(guān)聯(lián)主密鑰；安全連接關(guān)聯(lián)主密鑰發(fā)送單元，用于接收所述安全連接關(guān)聯(lián)主密鑰生成單元發(fā)送的安全連接關(guān)聯(lián)主密鑰，向所述安全連接關(guān)聯(lián)中的每個(gè)成員發(fā)送所述安全連接關(guān)聯(lián)主密鑰。8.根據(jù)權(quán)利要求7所述的安全連接關(guān)聯(lián)主密鑰服務(wù)器，其特征在于，所述安全連接關(guān)聯(lián)主密鑰生成單元包括安全連接關(guān)聯(lián)主密鑰產(chǎn)生單元，用于接收所述更新請(qǐng)求接收單元發(fā)送的生成請(qǐng)求信息，產(chǎn)生安全連接關(guān)聯(lián)的安全連接關(guān)聯(lián)主密鑰；安全連接關(guān)聯(lián)主密鑰加密單元，用于加密所述安全連接關(guān)聯(lián)主密鑰產(chǎn)生單元產(chǎn)生的安全連接關(guān)聯(lián)主密鑰，并發(fā)送所述安全連接關(guān)聯(lián)主密鑰。9.一種安全連接關(guān)聯(lián)主密鑰服務(wù)器，其特征在于，包括周期觸發(fā)單元，用于周期發(fā)送所述安全連接關(guān)聯(lián)的安全連接關(guān)聯(lián)主密鑰的生成請(qǐng)求信息；安全連接關(guān)聯(lián)主密鑰生成單元，用于接收所述周期觸發(fā)單元發(fā)送的生成請(qǐng)求信息，生成安全連接關(guān)聯(lián)的安全連接關(guān)聯(lián)主密鑰，并發(fā)送所述安全連接關(guān)聯(lián)主密鑰；安全連接關(guān)聯(lián)主密鑰發(fā)送單元，用于接收所述安全連接關(guān)聯(lián)主密鑰生成單元發(fā)送的安全連接關(guān)聯(lián)主密鑰，向所述安全連接關(guān)聯(lián)中的每個(gè)成員發(fā)送所述安全連接關(guān)聯(lián)主密鑰。10.根據(jù)權(quán)利要求9所述的安全連接關(guān)聯(lián)主密鑰服務(wù)器，其特征在于，所述安全連接關(guān)聯(lián)主密鑰生成單元包括安全連接關(guān)聯(lián)主密鑰產(chǎn)生單元，用于接收所述周期觸發(fā)單元發(fā)送的生成請(qǐng)求信息，產(chǎn)生安全連接關(guān)聯(lián)的安全連接關(guān)聯(lián)主密鑰；安全連接關(guān)聯(lián)主密鑰加密單元，用于加密所述安全連接關(guān)聯(lián)主密鑰產(chǎn)生單元產(chǎn)生的安全連接關(guān)聯(lián)主密鑰，并發(fā)送所述安全連接關(guān)聯(lián)主密鑰。11.一種網(wǎng)絡(luò)系統(tǒng)，其特征在于，包括安全連接關(guān)聯(lián)主密鑰服務(wù)器，用于檢測(cè)出同一安全連接關(guān)聯(lián)中的不同成員的安全連接關(guān)聯(lián)主密鑰不相同時(shí)，生成安全連接關(guān)聯(lián)的安全連接關(guān)聯(lián)主密鑰，向所述安全連接關(guān)聯(lián)中的每個(gè)成員發(fā)送所述安全連接關(guān)聯(lián)主密鑰；用戶端，用于接收所述安全連接關(guān)聯(lián)主密鑰服務(wù)器發(fā)送的安全連接關(guān)聯(lián)主密鑰，根據(jù)所述接收到的安全連接關(guān)聯(lián)主密鑰更新保存的安全連接關(guān)聯(lián)主密鑰。12.—種網(wǎng)絡(luò)系統(tǒng)，其特征在于，包括安全連接關(guān)聯(lián)主密鑰服務(wù)器，用于接收到更新安全連接關(guān)聯(lián)的安全連接關(guān)聯(lián)主密鑰的請(qǐng)求信息時(shí)，生成安全連接關(guān)聯(lián)的安全連接關(guān)聯(lián)主密鑰，向所述安全連接關(guān)聯(lián)中的每個(gè)成員發(fā)送所述安全連接關(guān)聯(lián)主密鑰；用戶端，用于接收所述安全連接關(guān)聯(lián)主密鑰服務(wù)器發(fā)送的安全連接關(guān)聯(lián)主密鑰，根據(jù)所述接收到的安全連接關(guān)聯(lián)主密鑰更新保存的安全連接關(guān)聯(lián)主密鑰。13.—種網(wǎng)絡(luò)系統(tǒng)，其特征在于，包括安全連接關(guān)聯(lián)主密鑰服務(wù)器，用于周期生成安全連接關(guān)聯(lián)的安全連接關(guān)用戶端，用于接收所述安全連接關(guān)聯(lián)主密鑰服務(wù)器發(fā)送的安全連接關(guān)聯(lián)主密鑰，根據(jù)所述接收到的安全連接關(guān)聯(lián)主密鑰更新保存的安全連接關(guān)聯(lián)主密鑰。全文摘要本發(fā)明公開(kāi)了安全連接關(guān)聯(lián)主密鑰的更新方法，包括，生成所述安全連接關(guān)聯(lián)的安全連接關(guān)聯(lián)主密鑰，向所述安全連接關(guān)聯(lián)中的每個(gè)成員發(fā)送所述安全連接關(guān)聯(lián)主密鑰；所述成員接收到所述安全連接關(guān)聯(lián)主密鑰后，根據(jù)所述安全連接關(guān)聯(lián)主密鑰更新保存的安全連接關(guān)聯(lián)主密鑰。相應(yīng)的，本發(fā)明進(jìn)一步公開(kāi)了服務(wù)器和網(wǎng)絡(luò)系統(tǒng)。本發(fā)明可以更新成員的安全連接關(guān)聯(lián)主密鑰，使得成員之間可以進(jìn)行MACsec通信。文檔編號(hào)H04L12/28GK101282208SQ20071009371公開(kāi)日2008年10月8日申請(qǐng)日期2007年4月5日優(yōu)先權(quán)日2007年4月5日發(fā)明者云普申請(qǐng)人:華為技術(shù)有限公司