專利名稱：：安全連接關(guān)聯(lián)主密鑰的更新方法和服務(wù)器及網(wǎng)絡(luò)系統(tǒng)的制作方法
技術(shù)領(lǐng)域：
：本發(fā)明涉及安全連接關(guān)聯(lián)主密鑰的更新技術(shù)，尤其涉及安全連接關(guān)聯(lián)主密鑰的更新方法和安全連接關(guān)聯(lián)主密鑰服務(wù)器及更新安全連接關(guān)聯(lián)主密鑰的網(wǎng)絡(luò)系統(tǒng)。技術(shù)背景美國電氣和電子工程師學會(正EE)對網(wǎng)絡(luò)鏈路層的安全技術(shù)進行了研究，提出4吏用々某體接入控制安全(MediaAccessControlSecurity，MACsec)來保護二層通信的安全，防范二層的攻擊；具體來說，作為發(fā)送端的MACsec實體(MACSecurityEntity,SecY)使用安全關(guān)聯(lián)密鑰(SecureAssociationKey,SAK)對發(fā)送的數(shù)據(jù)進行加密，作為接收端的SecY在接收到加密數(shù)據(jù)后，使用相同的密鑰來解密以獲得數(shù)據(jù)，這樣就實現(xiàn)了數(shù)據(jù)傳輸?shù)臋C密性。SecY為同一安全連4姿關(guān)聯(lián)(SecureConnectivityAssociation,CA)中的成員時，它們才能進行MACSec通訊，CA成員發(fā)送的MACsec幀只有同一CA中的成員才能夠解密。MACsec通信指同一CA內(nèi)的成員使用MACsec幀的格式進行安全通信。安全連接關(guān)耳關(guān)主密鑰(SecureConnectivityAssociationkey，CAK)是CA成員互相進行認證的憑據(jù)，成員依據(jù)CAK建立信任關(guān)系，在建立信任關(guān)系過程中，每個成員互相比較CAK，若CAK相同則認為對方可信。每個成員使用CAK來協(xié)商產(chǎn)生SAK,SAK用以加密發(fā)送的數(shù)據(jù)。CAK可以在通過認證后從認證服務(wù)器獲得，也可以預先配置。請參考圖1,為現(xiàn)有技術(shù)擴展認證協(xié)議(ExtensibleAuthentication.Protocol,EAP)認證系統(tǒng)示意圖。其中，包括，請求者(supplicant)A101、請求者B102、認證服務(wù)器(AuthenticatorServer)104和認證者(Authenticator)103。請求者A/請求者B與認證服務(wù)器104使用EAP進行認證。認證通過后，請求者A101和認證者103利用EAP方法生成一對成對主密鑰(PairwiseMasterKey,PMK);請求者B102和認證者103利用EAP方法生成另一對PMK;這兩對PMK是不相同的。請求者A101、請求者B102和認證者103為CA成員，請求者A101、請求者B102和認證者103把PMK當作CAK使用，因為請求者A101和請求者B102使用的CAK不同，它們之間不能進行MACsec通信。成員之間具有相同的CAK，才能進行MACsec通信；現(xiàn)有技術(shù)中，沒有更新成員的CAK的方法，以使得更新后的成員之間的CAK相同。
發(fā)明內(nèi)容本發(fā)明實施例要解決的技術(shù)問題是提供安全連接關(guān)聯(lián)主密鑰的更新方法和服務(wù)器及網(wǎng)絡(luò)系統(tǒng)，以實現(xiàn)更新成員的CAK。為解決上述技術(shù)問題，本發(fā)明實施例的目的是通過以下技術(shù)方案實現(xiàn)的一種安全連接關(guān)聯(lián)主密鑰的更新方法，包括檢測出同一安全連接關(guān)聯(lián)中的不同成員的安全連接關(guān)聯(lián)主密鑰不同時或接收到更新安全連接關(guān)聯(lián)的安全連接關(guān)聯(lián)主密鑰的請求信息時，生成安全連接關(guān)聯(lián)的安全連接關(guān)聯(lián)主密鑰，向安全連接關(guān)聯(lián)中的每個成員發(fā)送安全連接關(guān)聯(lián)主密鑰；成員接收到安全連接關(guān)聯(lián)主密鑰后，根據(jù)安全連接關(guān)聯(lián)主密鑰更新保存的安全連接關(guān)聯(lián)主密鑰。一種安全連接關(guān)聯(lián)主密鑰的更新方法，包括周期生成安全連接關(guān)聯(lián)的安全連接關(guān)聯(lián)主密鑰，向安全連接關(guān)聯(lián)中的每個成員發(fā)送安全連接關(guān)聯(lián)主密鑰；成員接收到安全連接關(guān)聯(lián)主密鑰后，根據(jù)安全連接關(guān)聯(lián)主密鑰更新保存的安全連接關(guān)聯(lián)主密鑰。一種安全連接關(guān)聯(lián)主密鑰服務(wù)器，包括安全連接關(guān)聯(lián)主密鑰檢測單元，用于檢測同一安全連接關(guān)聯(lián)中的不同成員的安全連接關(guān)聯(lián)主密鑰是否相同；當檢測出同一安全連接關(guān)聯(lián)中的不同成員的安全連接關(guān)聯(lián)主密鑰不相同時，發(fā)送安全連接關(guān)聯(lián)的安全連接關(guān)聯(lián)主密鑰的生成請求信息；安全連接關(guān)聯(lián)主密鑰生成單元，用于接收安全連接關(guān)聯(lián)主密鑰檢測單元發(fā)送的生成請求信息，生成安全連接關(guān)聯(lián)的安全連接關(guān)聯(lián)主密鑰，并發(fā)送安全連接關(guān)聯(lián)主密鑰；安全連接關(guān)聯(lián)主密鑰發(fā)送單元，用于接收安全連接關(guān)聯(lián)主密鑰生成單元發(fā)送的安全連接關(guān)聯(lián)主密鑰，向安全連接關(guān)聯(lián)中的每個成員發(fā)送安全連接關(guān)聯(lián)主密鑰。一種安全連接關(guān)聯(lián)主密鑰服務(wù)器，包括更新請求接收單元，用于接收更新安全連接關(guān)聯(lián)的安全連接關(guān)聯(lián)主密鑰請求信息；當接收到更新安全連接關(guān)聯(lián)的安全連接關(guān)聯(lián)主密鑰的請求信息時，發(fā)送安全連接關(guān)聯(lián)的安全連接關(guān)聯(lián)主密鑰的生成請求信息；安全連接關(guān)聯(lián)主密鑰生成單元，用于接收更新請求接收單元發(fā)出的生成請求信息，生成安全連接關(guān)聯(lián)的安全連接關(guān)聯(lián)主密鑰，并發(fā)送安全連接關(guān)聯(lián)主密鑰；安全連接關(guān)聯(lián)主密鑰發(fā)送單元，用于接收安全連接關(guān)聯(lián)主密鑰生成單元發(fā)送的安全連接關(guān)聯(lián)主密鑰，向安全連接關(guān)聯(lián)中的每個成員發(fā)送安全連接關(guān)聯(lián)主密鑰。一種安全連接關(guān)聯(lián)主密鑰服務(wù)器，包括周期觸發(fā)單元，用于周期發(fā)送安全連接關(guān)聯(lián)的安全連接關(guān)聯(lián)主密鑰的生成請求信息；安全連接關(guān)聯(lián)主密鑰生成單元，用于接收周期觸發(fā)單元發(fā)送的生成請求信息，生成安全連接關(guān)聯(lián)的安全連接關(guān)聯(lián)主密鑰，并發(fā)送安全連接關(guān)聯(lián)主密鑰；安全連接關(guān)聯(lián)主密鑰發(fā)送單元，用于接收安全連接關(guān)聯(lián)主密鑰生成單元發(fā)送的安全連接關(guān)聯(lián)主密鑰，向安全連接關(guān)聯(lián)中的每個成員發(fā)送安全連接關(guān)聯(lián)主密鑰。一種網(wǎng)絡(luò)系統(tǒng)，包括安全連接關(guān)聯(lián)主密鑰服務(wù)器，用于檢測出同一安全連接關(guān)聯(lián)中的不同成員的安全連接關(guān)聯(lián)主密鑰不相同時，生成安全連接關(guān)聯(lián)的安全連接關(guān)聯(lián)主密鑰，向安全連接關(guān)聯(lián)中的每個成員發(fā)送安全連接關(guān)聯(lián)主密鑰；用戶端，用于接收安全連接關(guān)聯(lián)主密鑰服務(wù)器發(fā)送的安全連接關(guān)聯(lián)主密鑰，根據(jù)接收到的安全連接關(guān)聯(lián)主密鑰更新保存的安全連接關(guān)聯(lián)主密鑰。一種網(wǎng)絡(luò)系統(tǒng)，包括安全連接關(guān)聯(lián)主密鑰服務(wù)器，用于接收到更新安全連接關(guān)聯(lián)的安全連接關(guān)聯(lián)主密鑰的請求信息時，生成安全連接關(guān)聯(lián)的安全連接關(guān)聯(lián)主密鑰，向安全連接關(guān)聯(lián)中的每個成員發(fā)送安全連接關(guān)聯(lián)主密鑰；用戶端，用于接收安全連接關(guān)聯(lián)主密鑰服務(wù)器發(fā)送的安全連接關(guān)聯(lián)主密鑰，根據(jù)接收到的安全連接關(guān)聯(lián)主密鑰更新保存的安全連接關(guān)聯(lián)主密鑰。一種網(wǎng)絡(luò)系統(tǒng)，包括安全連接關(guān)聯(lián)主密鑰服務(wù)器，用于周期生成安全連接關(guān)聯(lián)的安全連接關(guān)聯(lián)主密鑰，向安全連接關(guān)聯(lián)中的每個成員發(fā)送安全連接關(guān)聯(lián)主密鑰；用戶端，用于接收安全連接關(guān)聯(lián)主密鑰服務(wù)器發(fā)送的安全連接關(guān)聯(lián)主密鑰，根據(jù)接收到的安全連接關(guān)聯(lián)主密鑰更新保存的安全連接關(guān)聯(lián)主密鑰。從以上技術(shù)方案可以看出，由于在本發(fā)明實施例中，生成CA的CAK，向CA中的每個成員發(fā)送CAK;成員接收到CAK后，根據(jù)CAK更新保存的CAK;每個成員更新CAK后，具有相同的CAK，成員之間可以進行MACsec通信。圖1為現(xiàn)有技術(shù)的EAP認證系統(tǒng)示意圖；圖2為本發(fā)明實施例一的方法流程圖；圖3為本發(fā)明實施例二的方法流程圖；圖4為本發(fā)明實施例六的網(wǎng)絡(luò)系統(tǒng)示意圖；圖5為本發(fā)明實施例七的網(wǎng)絡(luò)系統(tǒng)示意圖；圖6為本發(fā)明實施例八的網(wǎng)絡(luò)系統(tǒng)示意圖。具體實施方式本發(fā)明提供安全連接關(guān)聯(lián)主密鑰的更新方法和服務(wù)器及網(wǎng)絡(luò)系統(tǒng)。安全連接關(guān)聯(lián)主密鑰服務(wù)器(CAKServer)生成CA的CAK,向CA中的每個成員發(fā)送CAK;成員接收到CAK后，根據(jù)該CAK更新保存的CAK。其中，CAKServer生成CA的CAK情況可以包括以下3種檢測出同一CA中的不同成員的CAK不同時，生成CA的CAK;接收到更新CA的CAK的請求信息時，生成CA的CAK;周期生成CA的CAK。為了保證CAK的安全性，CAKServer生成CA的CAK的過程包括，產(chǎn)生CA的CAK，對CAK進行加密；用戶端更新CAK的過程包括，對接收到的CAK進行解密以獲得新CAK,用新CAK替換保存的CAK。加密的方法可以包括以下3種使用保存的CAK對產(chǎn)生的CAK進行加密；使用基于保存的CAK生成的SAK對產(chǎn)生的CAK進行加密；使用認證通過后獲得的PMK/預先設(shè)置的預共享密鑰(Pre-SharedKey，PSK)對產(chǎn)生的CAK進行加密。實施例一在本實施例中，成員在iU正通過后，CAKServer4全測出該成員所屬CA還有其它成員，且該成員與其它成員的CAK不同時，則進行CAK更新。請參考圖2，為本發(fā)明實施例一的方法流程圖。步驟201.成員通過認證后，成員和認證設(shè)備利用EAP方法生成一對PMK，并把此PMK當作CAK使用。使用密鑰協(xié)商協(xié)議(MACsecKeyAgreementProtocol,MKA)基于CAK產(chǎn)生SAK，SAK用于成員之間通信數(shù)據(jù)的加密。本說明書的成員為CA成員，是針對CA提出的一個邏輯概念。本說明書的用戶端為承載成員信息的通信實體，可以為SecY、請求者、認證者、工作站、個人電腦和終端設(shè)備等。本說明書的認證設(shè)備泛指提供相關(guān)認證功能的通信實體，可以為認證者，路由器，交換機，數(shù)據(jù)服務(wù)器和接入網(wǎng)設(shè)備等。本說明書的CAKServer泛指能夠生成并發(fā)送CAK的通信實體，可以為SecY、工作站、終端設(shè)備，認證者，路由器，交換機，數(shù)據(jù)服務(wù)器，接入網(wǎng)設(shè)備等。步驟202.CAKServer檢測出通過認證的新成員與其它成員屬于同一CA,且新成員與其它成員的CAK不同時，產(chǎn)生該CA的新CAK。CAKServer負責產(chǎn)生CA的新CAK，加密該CAK，并向該CA中的每個成員發(fā)送該CAK。在本實施例中，每一個CA中有一個CAKServer,CAKServer為CA中的一個特殊成員，為方便管理，建議把認證設(shè)備設(shè)置為CAKSsrv6r。CAKServer判斷成員所屬的CA有兩種方法通過成員認證時使用的用戶名判斷成員所屬的CA，比如，通過用戶名后綴以識別CA,兩個成員的用戶名分別為testl@cak08.com與test2@cak08.com，他們的CA都是cak08;通過密鑰協(xié)商協(xié)議數(shù)據(jù)單元(MACsecKeyAgreementProtocolDataUnits,MKPDU)中的安全連接關(guān)聯(lián)標識(SecureConnectivityAssociationIdentifier,CAID)域判斷成員所屬的CA。為實現(xiàn)通過MKPDU識別成員所屬CA，本發(fā)明提出了一種MKPDU結(jié)構(gòu)。請參考表1,為本發(fā)明實施例提出的MKPDU結(jié)構(gòu)，該MKPDU結(jié)構(gòu)包括CAID域，該CAID域用于標記成員所屬的CA。目的地址(DestinationAddress)源地址(SourceAddress)KSP協(xié)議類型(KSPEtherType)<table>tableseeoriginaldocumentpage11</column></row><table>表1CAKServer可以通過隨機數(shù)生成器產(chǎn)生新CAK?？梢岳斫獾氖?，也可以把其中一個成員正在使用的CAK作為新的CAK,但安全性較低。步驟203.CAKServer加密CA的新CAK，并向該CA的所有成員發(fā)送。CAKServer向成員發(fā)送的信息一般需要加密。CAKServer可以使用保存的CAK,或者基于保存的CAK生成的SAK,對新CAK進行加密，把加密過的CAK放入MKPDU報文的類型長度值(TLV)域中，TLV域的位置請參考表1;使用組播或單播方式向該CA的每個成員下發(fā)該MKPDU報文。其中，保存的CAK為CA的成員當前使用的CAK,即更新前的CAK。需要說明的是，本發(fā)明實施例中，成員每次對新CAK進行加密時，還可以使用通過認證后生成的PMK來加密，這樣加密密鑰不需要更新，比較方便，但降低了安全性；因為認證后每個成員與CAKServer之間的PMK并不相同，所以只能使用單播方式向每個成員發(fā)送攜帶加密的CAK的MKPDU報文。步驟304.成員接收到加密的CAK，對其進行解密以獲得新CAK,用新CAK替換保存的CAK。解密為加密的反操作，CAKServer使用CAK、SAK或PMK進4亍加密，則成員使用相同的CAK、SAK或PMK進4亍解密?？梢岳斫獾氖牵珻AKServer為特殊的CA成員，CAKServer可以根據(jù)新CAK更新自身的CAK。更新后，同一CA的每個成員具有相同的CAK，故它們可以進行MACsec通信。實施例二在本實施例中，CA成員預先配置CAID和PSK。CAKServer接收到成員主動發(fā)起更新CA的CAK的請求信息時，更新成員的CAK;或CAKServer周期生成新CAK，更新成員的CAK。請參考圖3，為本發(fā)明實施例二的方法流程圖。步驟301.配置成員的CAID和PSK。對同一CA中的每個成員，配置相同的CAID和PSK;成員把PSK作CAK使用?；贑AK產(chǎn)生SAK,SAK用于通信數(shù)據(jù)的加密。步驟302.成員可以主動發(fā)起更新CA的CAK的請求，CAKServer接收到請求信息后產(chǎn)生該CA的新CAK;或CAKServer周期產(chǎn)生該CA的新CAK。CAKServer可以通過隨機數(shù)生成器產(chǎn)生新CAK。實現(xiàn)周期產(chǎn)生新CAK的方法很多，比如，設(shè)置定時器，當定時器溢出時，產(chǎn)生新CAK。周期的具體時長，可以根據(jù)實際工作環(huán)境進行設(shè)置。在本實施例中，可以通過預先配置其中一個成員作為CAKServer,或通過協(xié)議選舉出其中一個成員為CAKServer。每個成員會相互傳播MKPDU，MKPDU使用完整性校驗值(ICV)保護，ICV值是根據(jù)CAK生成的，接收MKPDU的成員必須擁有和發(fā)送MKPDU的成員相同的CAK才能進行校驗，接收MKPDU的成員根據(jù)MKA協(xié)議決定是否把發(fā)送MKPDU的成員加入到本地激活對端列表(Livepeerlist),MKA協(xié)議保證力口入到本地Livepeerlist的成員都是可信的同一CA成員。步驟303.CAKServer加密CA的新CAK，并向該CA的所有成員發(fā)送。CAKServer可以使用保存的CAK,或者基于保存的CAK生成的SAK，對新CAK進行加密，把加密過的CAK放入MKPDU報文的類型長度值(TLV)域中，TLV域的位置請參考表1;使用組播或單播方式向該CA的每個成員下發(fā)該MKPDU報文。需要說明的是，本發(fā)明實施例中，成員每次對新CAK進行加密時，還可以使用配置的PSK來加密，加密密鑰不需要更新，比較方便，但降低了安全性。步驟304.成員接收到加密的CAK,對其進行解密以獲得新CAK，用新CAK替換保存的CAK。解密為加密的反操作，CAKSever使用CAK、SAK或PSK進行加密，則成員使用相同的CAK、SAK或PSK進行解密?？梢岳斫獾氖?，CAKServer為特殊的CA成員，CAKServer可以根據(jù)新CAK更新自身的CAK。更新后，同一CA的每個成員具有相同的CAK,故它們可以進行MACsec通信。實施例三本實施例的CAK服務(wù)器包括CAK檢測單元，用于檢測同一CA中的不同成員的CAK是否相同，當檢測出同一CA中的不同成員的CAK不相同時，發(fā)送CA的CAK的生成請求信息；CAK生成單元，用于接收CAK檢測單元發(fā)送的生成請求信息，生成CA的CAK,并發(fā)送CAK;CAK發(fā)送單元，用于接收CAK生成單元發(fā)送的CAK,向CA中的每個成員發(fā)送該CAK。進一步，CAK生成單元包括CAK產(chǎn)生單元，用于接收CAK檢測單元發(fā)送的生成請求信息，產(chǎn)生CA的CAK;CAK加密單元，用于加密CAK產(chǎn)生單元產(chǎn)生的CAK,并發(fā)送該CAK。實施例四本實施例的CAK服務(wù)器包括更新請求接收單元，用于接收更新CA的CAK請求信息，當接收到更新CA的CAK的請求信息時，發(fā)送CA的CAK的生成請求信息；CAK生成單元，用于接收更新請求接收單元發(fā)出的生成請求信息，生成CA的CAK，并發(fā)送CAK;CAK發(fā)送單元，用于接收CAK生成單元發(fā)送的CAK,向CA中的每個成員發(fā)送該CAK。進一步，CAK生成單元包括CAK產(chǎn)生單元，用于接收更新請求接收單元發(fā)送的生成請求信息，產(chǎn)生CA的CAK;CAK加密單元，用于加密CAK產(chǎn)生單元產(chǎn)生的CAK，并發(fā)送該CAK。實施例五本實施例的CAK服務(wù)器包括周期觸發(fā)單元，用于周期發(fā)送CA的CAK的生成請求信息；CAK生成單元，用于接收周期觸發(fā)單元發(fā)送的生成請求信息，生成CA的CAK，并發(fā)送CAK;CAK發(fā)送單元，用于接收CAK生成單元發(fā)送的CAK，向CA中的每個成員發(fā)送該CAK。進一步，CAK生成單元包括CAK產(chǎn)生單元，用于接收周期觸發(fā)單元發(fā)送的生成請求信息，產(chǎn)生CA的CAK;CAK加密單元，用于加密CAK產(chǎn)生單元產(chǎn)生的CAK,并發(fā)送該CAK。實施例六本實施例的網(wǎng)絡(luò)系統(tǒng)包括CAK服務(wù)器420，用于檢測出同一CA中的不同成員的CAK不相同時，生成CA的CAK,向CA中的每個成員發(fā)送CAK;用戶端410,用于接收CAK服務(wù)器420發(fā)送的CAK,根據(jù)接收到的CAK更新保存的CAK。進一步，CAK服務(wù)器420包括CAK檢測單元421,用于檢測同一CA中的不同成員的CAK是否相同，當檢測出同一CA中的不同成員的CAK不相同時，發(fā)送CA的CAK的生成請求信息；CAK生成單元422,用于接收CAK檢測單元421發(fā)送的生成請求信息，產(chǎn)生CA的CAK，加密該CAK，并向CAK發(fā)送單元發(fā)送加密后的CAK;CAK發(fā)送單元423，用于接收CAK生成單元422發(fā)送的CAK,向CA中的每個成員發(fā)送該CAK。進一步，用戶端410包括CAK接收單元411,用于接收CAK服務(wù)器420發(fā)送的CAK;CAK解密單元412,用于對CAK接收單元411接收到的第10CAK進行解密，以獲得新CAK;CAK更新單元413，用于將CAK解密單元412獲得的新CAK替換保存的CAK。用戶端410發(fā)送認證報文到認證服務(wù)器430,通過認證后，CAK服務(wù)器420與用戶端410建立一對PMK，成為CA的成員，成員把PMK當作CAK使用。CAK服務(wù)器420的CAK檢測單元421檢測出同一CA中的不同成員的CAK不相同時，發(fā)送CA的CAK的生成請求信息。CAK生成單元422接收CAK檢測單元421發(fā)送的生成請求信息，產(chǎn)生CA的CAK，加密該CAK，并向CAK發(fā)送單元423發(fā)送加密后的CAK。CAK發(fā)送單元423接收CAK生成單元422發(fā)送的CAK，向CA中的每個成員發(fā)送該CAK。用戶端410的CAK接收單元411接收CAK服務(wù)器420發(fā)送的CAK。CAK解密單元412對CAK接收單元411接收到的CAK進行解密，以獲得新CAK。CAK更新單元413將CAK解密單元412獲得的新CAK替換保存的CAK。其中，加密的方法可以包括以下3種使用保存的CAK對產(chǎn)生的CAK進行加密；使用基于保存的CAK生成的SAK對產(chǎn)生的CAK進行加密；使用認證通過后獲得的PMK對產(chǎn)生的CAK進行加密。實施例七本實施例的網(wǎng)絡(luò)系統(tǒng)包括CAK服務(wù)器520,用于接收到更新CA的CAK的請求信息時，生成CA的CAK,向CA中的每個成員發(fā)送CAK;用戶端510,用于接收CAK服務(wù)器520發(fā)送的CAK，根據(jù)接收到的CAK更新保存的CAK。進一步，CAK服務(wù)器520包括更新請求接收單元521，用于接收更新CA的CAK請求信息，當接收到更新CA的CAK的請求信息時，發(fā)送CA的CAK的生成請求信息；CAK生成單元522,用于接收更新請求接收單元521發(fā)送的生成請求信息，產(chǎn)生CA的CAK，加密該CAK,并向CAK發(fā)送單元523發(fā)送加密后的CAK;CAK發(fā)送單元523,用于接收CAK生成單元522發(fā)送的CAK，向CA中的每個成員發(fā)送該CAK。進一步，用戶端510包括CAK接收單元511，用于接收CAK服務(wù)器520發(fā)送的CAK;CAK解密單元512,用于對CAK接收單元511接收到的CAK進行解密，以獲得新CAK;CAK更新單元513，用于將CAK解密單元512獲得的新CAK替換保存的CAK。配置用戶端510的CAID和PSK,成為CA的成員，成員把PSK當作CAK使用。成員主動向CAK服務(wù)器520發(fā)送更新CA的CAK的請求。CAK服務(wù)器520的更新請求接收單元521當接收到更新CA的CAK的請求信息時，發(fā)送CA的CAK的生成請求信息。CAK生成單元522接收更新請求接收單元521發(fā)送的生成請求信息，產(chǎn)生CA的CAK,加密該CAK,并向CAK發(fā)送單元523發(fā)送加密后的CAK。CAK發(fā)送單元523接收CAK生成單元522發(fā)送的CAK,向CA中的每個成員發(fā)送該CAK。用戶端510的CAK接收單元511接收CAK服務(wù)器520發(fā)送的CAK。CAK解密單元512對CAK接收單元511接收到的CAK進行解密，以獲得新CAK。CAK更新單元513,用于將CAK解密單元512獲得的新CAK替換保存的CAK。其中，加密的方法可以包括以下3種使用保存的CAK對產(chǎn)生的CAK進行加密；使用基于保存的CAK生成的SAK對產(chǎn)生的CAK進行加密；使用預先設(shè)置的PSK對產(chǎn)生的CAK進行加密。實施例/V本實施例的網(wǎng)絡(luò)系統(tǒng)包括CAK服務(wù)器620,用于周期生成CA的CAK,向CA中的每個成員發(fā)送CAK;用戶端610，用于接收CAK服務(wù)器620發(fā)送的CAK，根據(jù)接收到的CAK更新保存的CAK。進一步，CAK服務(wù)器620包括周期觸發(fā)單元621,用于周期發(fā)送CA的CAK的生成請求信息；CAK生成單元622，用于接收周期觸發(fā)單元621發(fā)送的生成請求信息，產(chǎn)生CA的CAK,加密該CAK,并向CAK發(fā)送單元623發(fā)送加密后的CAK;CAK發(fā)送單元623，用于接收CAK生成單元622發(fā)送的CAK,向CA中的每個成員發(fā)送該CAK。進一步，用戶端610包括CAK接收單元611,用于接收CAK服務(wù)器620發(fā)送的CAK;CAK解密單元612,用于對CAK接收單元611接收到的CAK進行解密，以獲得新CAK;CAK更新單元613，用于將CAK解密單元612獲得的新CAK替換保存的CAK。配置用戶端610的CAID和PSK,成為CA的成員，成員把PSK當作CAK使用。CAK服務(wù)器620的周期觸發(fā)單元621周期發(fā)送CA的CAK的生成請求信息。CAK生成單元622接收周期觸發(fā)單元621發(fā)送的生成請求信息，產(chǎn)生CA的CAK，加密該CAK，并向CAK發(fā)送單元623發(fā)送加密后的CAK。CAK發(fā)送單元623接收CAK生成單元622發(fā)送的CAK,向CA中的每個成員發(fā)送CAK解密單元612對CAK接收單元611接收到的CAK進行解密，以獲得新CAK。CAK更新單元613將CAK解密單元612獲得的新CAK替換保存的CAK。其中，加密的方法可以包括以下3種使用保存的CAK對產(chǎn)生的CAK預先設(shè)置的PSK對產(chǎn)生的CAK進行加密。從以上技術(shù)方案可以看出，由于在本發(fā)明實施例中，生成CA的CAK，向CA中的每個成員發(fā)送CAK;成員接收到CAK后，根據(jù)CAK更新保存的CAK;每個成員更新CAK后，具有相同的CAK,成員之間可以進行MACsec通信。從以上技術(shù)方案可以看出，本發(fā)明實施例提出3種CAK服務(wù)器生成CA的CAK情況檢測出同一CA中的不同成員的CAK不同時，生成CA的CAK;接收到更新CA的CAK的請求信息時，生成CA的CAK;周期生成CA的CAK;從而可以根據(jù)具體情況選擇合適的實施方案。從以上技術(shù)方案可以看出，本發(fā)明實施例提出的MKPDU結(jié)構(gòu)包括CAID域，該CAID域用于標記成員所屬的CA,從而可以通過MKPDU報文識別成員所屬的CA。以上對本發(fā)明實施例所提供的安全連接關(guān)聯(lián)主密鑰的更新方法和服務(wù)器及網(wǎng)絡(luò)系統(tǒng)進行了詳細介紹，本文中應(yīng)用了具體個例對本發(fā)明的原理及實施方式進行了闡述，以上實施例的說明只是用于幫助理解本發(fā)明的方法及其核心思想；同時，對于本領(lǐng)域的一般技術(shù)人員，依據(jù)本發(fā)明的思想，在具體實施方式及應(yīng)用范圍上均會有改變之處，綜上所述，本說明書內(nèi)容不應(yīng)理解為對本發(fā)明的限制。權(quán)利要求1.一種安全連接關(guān)聯(lián)主密鑰的更新方法，其特征在于，包括檢測出同一安全連接關(guān)聯(lián)中的不同成員的安全連接關(guān)聯(lián)主密鑰不同時或接收到更新安全連接關(guān)聯(lián)的安全連接關(guān)聯(lián)主密鑰的請求信息時，生成所述安全連接關(guān)聯(lián)的安全連接關(guān)聯(lián)主密鑰，向所述安全連接關(guān)聯(lián)中的每個成員發(fā)送所述安全連接關(guān)聯(lián)主密鑰；所述成員接收到所述安全連接關(guān)聯(lián)主密鑰后，根據(jù)所述安全連接關(guān)聯(lián)主密鑰更新保存的安全連接關(guān)聯(lián)主密鑰。2.根據(jù)權(quán)利要求1所述的更新方法，其特征在于，所述生成所述安全連接關(guān)聯(lián)的安全連接關(guān)聯(lián)主密鑰的過程包括，產(chǎn)生所述安全連接關(guān)聯(lián)的安全連接關(guān)聯(lián)主密鑰，對所述安全連接關(guān)聯(lián)主密鑰進行加密；所述根據(jù)所述安全連接關(guān)聯(lián)主密鑰更新保存的安全連接關(guān)聯(lián)主密鑰的過程包括，對接收到的安全連接關(guān)聯(lián)主密鑰進行解密以獲得新安全連接關(guān)聯(lián)主密鑰，用所述新安全連接關(guān)聯(lián)主密鑰替換保存的安全連接關(guān)聯(lián)主密鑰。3.—種安全連接關(guān)聯(lián)主密鑰的更新方法，其特征在于，包括周期生成安全連接關(guān)聯(lián)的安全連接關(guān)聯(lián)主密鑰，向所述安全連接關(guān)聯(lián)中的每個成員發(fā)送所述安全連接關(guān)聯(lián)主密鑰；所述成員接收到所述安全連接關(guān)聯(lián)主密鑰后，根據(jù)所述安全連接關(guān)聯(lián)主密鑰更新保存的安全連接關(guān)聯(lián)主密鑰。4.根據(jù)權(quán)利要求3所述的更新方法，其特征在于，所述周期生成安全連接關(guān)聯(lián)的安全連接關(guān)聯(lián)主密鑰的過程包括，周期產(chǎn)生安全連接關(guān)聯(lián)的安全連接關(guān)聯(lián)主密鑰，對所述安全連接關(guān)聯(lián)主密鑰進行加密；所述根據(jù)所述安全連接關(guān)聯(lián)主密鑰更新保存的安全連接關(guān)聯(lián)主密鑰的過程包括，對接收到的安全連接關(guān)聯(lián)主密鑰進行解密以獲得新安全連接關(guān)聯(lián)主密鑰，用所述新安全連接關(guān)聯(lián)主密鑰替換保存的安全連接關(guān)聯(lián)主密鑰。5.—種安全連接關(guān)聯(lián)主密鑰服務(wù)器，其特征在于，包括安全連接關(guān)聯(lián)主密鑰檢測單元，用于檢測同一安全連接關(guān)聯(lián)中的不同成員的安全連接關(guān)聯(lián)主密鑰是否相同；當檢測出同一安全連接關(guān)聯(lián)中的不同成員的安全連接關(guān)聯(lián)主密鑰不相同時，發(fā)送所述安全連接關(guān)聯(lián)的安全連接關(guān)聯(lián)主密鑰的生成請求信息；安全連接關(guān)聯(lián)主密鑰生成單元，用于接收所述安全連接關(guān)聯(lián)主密鑰檢測2單元發(fā)送的生成請求信息，生成安全連接關(guān)聯(lián)的安全連接關(guān)聯(lián)主密鑰，并發(fā)送所述安全連接關(guān)聯(lián)主密鑰；安全連接關(guān)聯(lián)主密鑰發(fā)送單元，用于接收所述安全連接關(guān)聯(lián)主密鑰生成單元發(fā)送的安全連接關(guān)聯(lián)主密鑰，向所述安全連接關(guān)聯(lián)中的每個成員發(fā)送所述安全連接關(guān)聯(lián)主密鑰。6.根據(jù)權(quán)利要求5所述的安全連接關(guān)聯(lián)主密鑰服務(wù)器，其特征在于，所述安全連接關(guān)聯(lián)主密鑰生成單元包括安全連接關(guān)聯(lián)主密鑰產(chǎn)生單元，用于接收所述安全連接關(guān)聯(lián)主密鑰檢測單元發(fā)送的生成請求信息，產(chǎn)生安全連接關(guān)聯(lián)的安全連接關(guān)聯(lián)主密鑰；安全連接關(guān)聯(lián)主密鑰加密單元，用于加密所述安全連接關(guān)聯(lián)主密鑰產(chǎn)生單元產(chǎn)生的安全連接關(guān)聯(lián)主密鑰，并發(fā)送所述安全連接關(guān)聯(lián)主密鑰。7.—種安全連接關(guān)聯(lián)主密鑰服務(wù)器，其特征在于，包括更新請求接收單元，用于接收更新安全連接關(guān)聯(lián)的安全連接關(guān)聯(lián)主密鑰請求信息；當接收到更新安全連接關(guān)聯(lián)的安全連接關(guān)聯(lián)主密鑰的請求信息時，發(fā)送所述安全連接關(guān)聯(lián)的安全連接關(guān)聯(lián)主密鑰的生成請求信息；安全連接關(guān)聯(lián)主密鑰生成單元，用于接收所述更新請求接收單元發(fā)出的生成請求信息，生成安全連接關(guān)聯(lián)的安全連接關(guān)聯(lián)主密鑰，并發(fā)送所述安全連接關(guān)聯(lián)主密鑰；安全連接關(guān)聯(lián)主密鑰發(fā)送單元，用于接收所述安全連接關(guān)聯(lián)主密鑰生成單元發(fā)送的安全連接關(guān)聯(lián)主密鑰，向所述安全連接關(guān)聯(lián)中的每個成員發(fā)送所述安全連接關(guān)聯(lián)主密鑰。8.根據(jù)權(quán)利要求7所述的安全連接關(guān)聯(lián)主密鑰服務(wù)器，其特征在于，所述安全連接關(guān)聯(lián)主密鑰生成單元包括安全連接關(guān)聯(lián)主密鑰產(chǎn)生單元，用于接收所述更新請求接收單元發(fā)送的生成請求信息，產(chǎn)生安全連接關(guān)聯(lián)的安全連接關(guān)聯(lián)主密鑰；安全連接關(guān)聯(lián)主密鑰加密單元，用于加密所述安全連接關(guān)聯(lián)主密鑰產(chǎn)生單元產(chǎn)生的安全連接關(guān)聯(lián)主密鑰，并發(fā)送所述安全連接關(guān)聯(lián)主密鑰。9.一種安全連接關(guān)聯(lián)主密鑰服務(wù)器，其特征在于，包括周期觸發(fā)單元，用于周期發(fā)送所述安全連接關(guān)聯(lián)的安全連接關(guān)聯(lián)主密鑰的生成請求信息；安全連接關(guān)聯(lián)主密鑰生成單元，用于接收所述周期觸發(fā)單元發(fā)送的生成請求信息，生成安全連接關(guān)聯(lián)的安全連接關(guān)聯(lián)主密鑰，并發(fā)送所述安全連接關(guān)聯(lián)主密鑰；安全連接關(guān)聯(lián)主密鑰發(fā)送單元，用于接收所述安全連接關(guān)聯(lián)主密鑰生成單元發(fā)送的安全連接關(guān)聯(lián)主密鑰，向所述安全連接關(guān)聯(lián)中的每個成員發(fā)送所述安全連接關(guān)聯(lián)主密鑰。10.根據(jù)權(quán)利要求9所述的安全連接關(guān)聯(lián)主密鑰服務(wù)器，其特征在于，所述安全連接關(guān)聯(lián)主密鑰生成單元包括安全連接關(guān)聯(lián)主密鑰產(chǎn)生單元，用于接收所述周期觸發(fā)單元發(fā)送的生成請求信息，產(chǎn)生安全連接關(guān)聯(lián)的安全連接關(guān)聯(lián)主密鑰；安全連接關(guān)聯(lián)主密鑰加密單元，用于加密所述安全連接關(guān)聯(lián)主密鑰產(chǎn)生單元產(chǎn)生的安全連接關(guān)聯(lián)主密鑰，并發(fā)送所述安全連接關(guān)聯(lián)主密鑰。11.一種網(wǎng)絡(luò)系統(tǒng)，其特征在于，包括安全連接關(guān)聯(lián)主密鑰服務(wù)器，用于檢測出同一安全連接關(guān)聯(lián)中的不同成員的安全連接關(guān)聯(lián)主密鑰不相同時，生成安全連接關(guān)聯(lián)的安全連接關(guān)聯(lián)主密鑰，向所述安全連接關(guān)聯(lián)中的每個成員發(fā)送所述安全連接關(guān)聯(lián)主密鑰；用戶端，用于接收所述安全連接關(guān)聯(lián)主密鑰服務(wù)器發(fā)送的安全連接關(guān)聯(lián)主密鑰，根據(jù)所述接收到的安全連接關(guān)聯(lián)主密鑰更新保存的安全連接關(guān)聯(lián)主密鑰。12.—種網(wǎng)絡(luò)系統(tǒng)，其特征在于，包括安全連接關(guān)聯(lián)主密鑰服務(wù)器，用于接收到更新安全連接關(guān)聯(lián)的安全連接關(guān)聯(lián)主密鑰的請求信息時，生成安全連接關(guān)聯(lián)的安全連接關(guān)聯(lián)主密鑰，向所述安全連接關(guān)聯(lián)中的每個成員發(fā)送所述安全連接關(guān)聯(lián)主密鑰；用戶端，用于接收所述安全連接關(guān)聯(lián)主密鑰服務(wù)器發(fā)送的安全連接關(guān)聯(lián)主密鑰，根據(jù)所述接收到的安全連接關(guān)聯(lián)主密鑰更新保存的安全連接關(guān)聯(lián)主密鑰。13.—種網(wǎng)絡(luò)系統(tǒng)，其特征在于，包括安全連接關(guān)聯(lián)主密鑰服務(wù)器，用于周期生成安全連接關(guān)聯(lián)的安全連接關(guān)用戶端，用于接收所述安全連接關(guān)聯(lián)主密鑰服務(wù)器發(fā)送的安全連接關(guān)聯(lián)主密鑰，根據(jù)所述接收到的安全連接關(guān)聯(lián)主密鑰更新保存的安全連接關(guān)聯(lián)主密鑰。全文摘要本發(fā)明公開了安全連接關(guān)聯(lián)主密鑰的更新方法，包括，生成所述安全連接關(guān)聯(lián)的安全連接關(guān)聯(lián)主密鑰，向所述安全連接關(guān)聯(lián)中的每個成員發(fā)送所述安全連接關(guān)聯(lián)主密鑰；所述成員接收到所述安全連接關(guān)聯(lián)主密鑰后，根據(jù)所述安全連接關(guān)聯(lián)主密鑰更新保存的安全連接關(guān)聯(lián)主密鑰。相應(yīng)的，本發(fā)明進一步公開了服務(wù)器和網(wǎng)絡(luò)系統(tǒng)。本發(fā)明可以更新成員的安全連接關(guān)聯(lián)主密鑰，使得成員之間可以進行MACsec通信。文檔編號H04L12/28GK101282208SQ20071009371公開日2008年10月8日申請日期2007年4月5日優(yōu)先權(quán)日2007年4月5日發(fā)明者云普申請人:華為技術(shù)有限公司