YDB 066-2011
标准分类号
关联标准
出版信息
相关单位信息
标准简介
YDB 066-2011.Wired local area network medium access control security r equi r ements.
1范围
YDB 066报告规定了基于TePA的有线局域网媒体访问控制安全TLSec (TePA-based wired LAN MAC Security)技术的整体方案,主要涉及基于TePA的局域网鉴别协议TLA (TePA-based LAN Authent ication
Protocol)以及基于TLA协议的局域网保密通信协议TLP (TLA-based LAN Privacy Protocol) 。TLA协议为有线局域网节点合法访问提供保障,TLP协议为有线局域网节点之间保密数据通信提供保障。
YDB 066报告适用于有线局域网的媒体访问控制产品,为有线局域网客户端和网络控制(交换)设备提供媒体访问控制层安全接入控制和保密通信功能。
2规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅所注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
GB/T 15629. 2-2008信息技术 系 统间远程通信和信息交换局域网和城域网特定要求 第2部分:逻辑链路控制
GB/T 15629. 3- 1995信息处理系统局域网第3部分:带碰撞检测的载波侦听多址访问(CSMA/CD)的访问方法和物理层规范
1范围
YDB 066报告规定了基于TePA的有线局域网媒体访问控制安全TLSec (TePA-based wired LAN MAC Security)技术的整体方案,主要涉及基于TePA的局域网鉴别协议TLA (TePA-based LAN Authent ication
Protocol)以及基于TLA协议的局域网保密通信协议TLP (TLA-based LAN Privacy Protocol) 。TLA协议为有线局域网节点合法访问提供保障,TLP协议为有线局域网节点之间保密数据通信提供保障。
YDB 066报告适用于有线局域网的媒体访问控制产品,为有线局域网客户端和网络控制(交换)设备提供媒体访问控制层安全接入控制和保密通信功能。
2规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅所注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
GB/T 15629. 2-2008信息技术 系 统间远程通信和信息交换局域网和城域网特定要求 第2部分:逻辑链路控制
GB/T 15629. 3- 1995信息处理系统局域网第3部分:带碰撞检测的载波侦听多址访问(CSMA/CD)的访问方法和物理层规范
标准图片预览
标准内容
通信标准类技术报告
YDB0662011
有线局域网媒体访问控制安全技术要求Wired local area network medium accesscontrol security requirements2011-08-05印发
中国通信标准化协会
1范围
规范性引用文件
3术语与缩略语、
3.1术语。
3.2缩略语。
4概述
5安全策略整体方案
5.1系统实体,
系统端口。
5.3系统安全策略
5.4安全关联的管理
5.4.1安全关联的定义
5.4.2安全关联的删除
6TLSec协议顿结构
TLA协议分组中字段固定格式
6.1.2鉴别标识
随机数
6.1.4身份
证书,
ECDH参数,
数字签名
MAC地址
地址索引
消息鉴别码
证书验证结果
复合的证书验证结果
身份列表bzxZ.net
TLA信息元素,
单播密码信息元素
邻居交换设备信息
邻居信息元素
公钥信息
YDB0662011
YDB0662011
6.1.19接入结果
6.1.20基密钥标识/交换基密钥标识6.1.21
单播会话密钥索引/交换密钥索引6.1.22组播会话密钥索引/站间密钥索引6.2数据元素封装格式
6.3TAEPoL协议
6.3.1TAEPoL协议各组成部分
6.3.2TAEPoLMPDU结构.
6.3.3TAEPoL协议下的数据帧
6.3.4TAEP分组
TAEPoL-Key数据帧
6.4TLSec的TLP协议
7邻居节点发现
邻居节点发现过程概述
邻居节点发现请求分组
邻居节点发现响应分组
8安全策略协商
8.1安全策略协商过程概述
8.2安全策略协商请求分组
8.3安全策略协商响应分组
9鉴别和单播密钥管理
9.1基于证书的鉴别和单播密钥管理9.1.1过程概述,
9.1.2公钥证书
9.1.3基于证书的鉴别协议TAEP-CAAP9.1.4单播密钥协商.
9.2基于预共享密钥的鉴别及单播密钥管理.9.2.1身份鉴别及单播密钥协商过程概述:9.2.2身份鉴别及单播密钥协商激活分组:9.2.3身份鉴别及单播密钥协商请求分组,9.2.4
身份鉴别及单播密钥协商响应分组:9.2.5身份鉴别及单播密钥协商确认分组10组播密钥通告
组播密钥通告过程概述,
10.2组播密钥通告分组
10.2.1帧格式,
处理过程
10.3组播密钥通告响应分组,
10.3.1顿格式
iiKANiKAca
10.3.2处理过程
11站间密钥建立
11.1站间密钥建立过程概述
11.2站间密钥请求
11.2.1顿格式
11.2.2处理过程
11.3对对端STA的站间密钥通告
11.3.1顿格式
处理过程
11.4对端STA的站间密钥通告响应11.4.1
帧格式
处理过程
11.5对发起端STA的站间密钥通告11.5.1
帧格式
处理过程
11.6发起端STA的站间密钥通告响应11.6.1顿格式
处理过程
11.7站间密钥建立补充说明
11.8邻居用户终端站间密钥建立.11.8.1过程概述,
邻居交换设备选择请求
邻居交换设备选择响应
12交换密钥建立
12.1交换密钥建立过程概述
12.2交换基密钥建立
交换基密钥建立过程概述
交换基密钥通告分组
交换基密钥通告响应分组
交换基密钥通告分组二
交换基密钥通告响应分组
12.3交换密钥协商过程
交换密钥协商过程概述
交换密钥协商激活
交换密钥协商请求
交换密钥协商响应
交换密钥协商确认
13节点间保密通信
13.1节点间交换路径探寻
节点间交换路径定义
13.1.2交换路径探寻过程概述
........
YDB0662011
iiKANiKAca
YDB0662011
13.1.3交换路径探寻请求,
13.1.4交换路径探寻响应
13.2节点间通信类型划分
13.2.1节点间通信类型分类.
13.2.2节点间通信类型划分流程13.3节点间保密通信策略.
13.3.1不同类型节点间保密通信策略..13.3.2
发送源节点发送处理.
13.3.3接收节点接收处理,
13.4加密模式与数据顿保护,
13.4.1GCM加密认证模式
GCM解密认证模式
数据帧保护模块.
14TLSec系统
TLSec与普通交换设备
TLSec 与VLAN
15控制管理机制
受控端口控制和数据传输,
密钥更新,
超时处理
15.4TLA协议分组的分片与重组
15.5TLP顿封装与解封装
15.6PN分组序列号使用规则
16TLSec状态机
一般要求
状态图中的符号约定,
16.3时钟和全局变量
16.3.1时钟.
16.3.2全局变量。
16.4端口时钟状态机
16.5鉴别访问控制器状态机
......
16.5.1鉴别访问控制器状态机中定义的变量、常量和过程各状态描述
统计变量
16.6请求者状态机
16.6.1请求者状态机中定义的变量、常量和过程16.6.2各状态描述
16.7密钥传输状态机,
16.8密钥接收状态机
16.8.1密钥接收状态机中定义的变量、常量和过程密钥接收状态机图示
:101
iiKANiKAca
16.9重鉴别计时器状态机
17端口接入控制管理
17.1一般要求
17.2管理功能
配置管理
故障管理
性能管理
安全管理
计费管理
17.3被管对象
17.4数据类型
17.5鉴别访问控制器PAE被管对象17.5.1
一般要求
鉴别访问控制器配置
鉴别访问控制器统计值
鉴别访问控制器诊断
鉴别访问控制器会话统计
17.6请求者PAE管理对象
请求者配置
请求者统计
17.7系统管理对象
系统配置
18端口接入控制MIB定义
附录A(规范性附录)
附录B(资料性附录)
附录C(规范性附录)
附录D(资料性附录)
附录E(资料性附录)
PICS表
本技术报告使用的有关算法
密钥导出体系。
应用场景。
TLSec与IEEE802.1AE的比较
YDB0662011
iiiKAoNiKAca
YDB0662011
为适应信息通信业发展对通信标准文件的需要,在工业和信息化部统一安排下,对于技术尚在发展中,又需要有相应的标准性文件引导其发展的领域,由中国通信标准化协会组织制定“通信标准类技术报告”,推荐有关方面参考采用。有关对本技术报告的建议和意见,向中国通信标准化协会反映。本技术报告由中国通信标准化协会提出并归口。本技术报告主要起草单位:西安邮电学院、西安西电捷通无线网络通信股份有限公司、北京邮电大学。
本技术报告主要起草人:朱志祥、李琴、黄振海、铁满霞、王育民、杨义先、赖晓龙、颜湘、龙昭华、罗旭光、葛莉、任学强、许成鹏、孙宇露、王佩、张永强、张变玲、胡亚楠、杜志强、杜慧、王、张国强、梁琼文、肖跃雷。
iiiKAoNhikAca
YDB 0662011
本技术报告针对现有局域网安全协议存在的易遭受欺骗、网络接入控制设备没有独立身份等缺陷,基于三元对等鉴别(TePA)机制,提出有线局域网安全技术要求。本技术报告也作为对GB/T15629.3-1995《信息处理系统局域网第3部分:带碰撞检测的载波侦听多址访问(CSMA/CD)的访问方法和物理层规范》的安全性能增强标准,补充安全机制,弥补因原标准中缺少安全方案而带来的隐患,消除产业安全瓶颈。
iiiKAoNiKAca
1范围
有线局域网媒体访问控制安全技术要求YDB0662011
本技术报告规定了基于TePA的有线局域网媒体访问控制安全TLSec(TePA-basedwiredLANMACSecurity)技术的整体方案,主要涉及基于TePA的局域网鉴别协议TLA(TePA-basedLANAuthenticationProtocol)以及基于TLA协议的局域网保密通信协议TLP(TLA-basedLANPrivacyProtocol)。TLA协议为有线局域网节点合法访问提供保障,TLP协议为有线局域网节点之间保密数据通信提供保障。本技术报告适用于有线局域网的媒体访问控制产品,为有线局域网客户端和网络控制(交换)设备提供媒体访问控制层安全接入控制和保密通信功能。2规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅所注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。GB/T15629.2一2008信息技术系统间远程通信和信息交换局域网和城域网特定要求第2部分:逻辑链路控制
GB/T15629.3一1995信息处理系统局域网第3部分:带碰撞检测的载波侦听多址访问(CSMA/CD))的访问方法和物理层规范
IS0/IEC9798-3:1998/Amd.1:2010信息技术安全技术实体鉴别第3部分采用数字签名技术的机制补篇l(Information technology- Security techniques— Entity authentication-Part 3: Mechanisms using digital signature techniques AMENDMENT 1)IEEEStd802.3M-2005局域网和城域网规范第3部分:带检测冲突的载波检测多址存取(CSMA/CD)方法和物理层规范(IEEEStandardforLocalandmetropolitan areanetworks:Part3:CarrierSenseMultiple Access with Collision Detection (CSMA/cD) access method and physical layerspecifications)
IEEEStd802.1DrM-2004局域网和城域网规范第3部分:媒体访问控制桥(IEEEStandardforLocal and metropolitan area networks: Media access control (MAc) Bridges)IEEEStd802.1QM-2003局域网和城域网规范第3部分:局域网虚拟桥(IEEEStandardsforLocaland Metropolitan Area Networks: Virtual Bridged Local Area Networks.)3术语与缩略语
3.1术语
鉴别访问控制器(AAC)authenticationaccesscontroller位于点到点链路一端的实体,该实体可以鉴别另外一端实体和被另外一端的实体鉴别,它与鉴别服务器有直接的通信。
HiiKAoNiKAca
YDB0662011
鉴别服务器(AS)authenticationserve提供鉴别服务给请求者和鉴别访问控制器,使请求者和鉴别访问控制器可以相互鉴别。3.1.3
基密钥(BK)basekey
用于导出单播会话密钥的密钥。基密钥由证书鉴别过程协商得到或由预共享密钥导出。3.1.4
基密钥安全关联(BKsA)basekeysecurityassociation证书鉴别过程的结果或预共享密钥导出的结果。3.1.5
密钥加密密钥(KEk)keyencryptionkey用于密钥管理协议中密钥数据字段的加密密钥。3.1.6
消息鉴别密钥(MAK)message authentication key提供密钥管理协议数据源鉴别和完整性校验的密钥。3.1.7
组播会话密钥(MSK)
)multicast session key
用于保护站点发送的组播MPDU的随机值。组播会话密钥由组播主密钥导出。3.1.8
组播会话密钥安全关联(MSKSA)MSKsecurityassociation组播密钥通告过程的结果。
预共享密钥(PSK)
preshared key
发布给STA的静态密钥。该密钥的发布方法超出本技术报告范围。3.1.10
请求者(REQ)
requester
位于点到点链路一端的实体,该实体可以鉴别另外一端实体和被另外一端的实体鉴别,它必须通过鉴别访问控制器与鉴别服务器通信。3.1.11
安全策略securitypolicys
请求者REQ和鉴别访问控制器AAC实体通过协商确定的安全机制,包括鉴别和密钥管理机制、单播密码机制以及组播密码机制。
站间密钥(STAKey)stationkey用来保护任意两个用户终端STA之间保密通信的对称密钥。3.1.13
站间密钥安全关联(sTAKeySA)STAKeysecurityassociationYDB0662011
同一交换设备下的两个用户终端通过该交换设备通告的站间密钥过程的结果。一个站间密钥安全关联包含一个站间密钥与有关的其他参数。3.1.14
交换基密钥(SWBK)switchbasickey用于导出交换设备之间的交换密钥的密钥。交换基密钥由交换基密钥通告过程得到,或者是发布给交换设备的静态密钥,其发布方法超出本技术报告的范围,3.1.15
交换基密钥安全关联(SWBKSA)SWBKsecurityassociation交换基密钥通告,或者是交换基密钥发布的结果。3.1.16
交换密钥(SWKey)switchKey
用于保护一个局域网中的交换设备之间的保密通信的密钥,它分为3个部分:交换单播加密密钥、交换消息鉴别密钥、交换密钥加密密钥。3.1.17
交换密钥安全关联(SWKeySA)SWKeysecurityassociation交换密钥协商过程的结果。
交换单播加密密钥(Sw-UEK)SwitchUnicastEncryptionKey用于保护交换设备之间用户数据的机密性,是交换密钥的一部分。3.1.19
交换消息鉴别密钥(SW-MAK)SwitchMessageAuthenticationKey用于保护交换设备之间协议数据的完整性,是交换密钥的一部分。3.1.20
交换密钥加密密钥(SW-KEK)SwitchKeyEncryptionKey用于保护设备之间协议数据中密钥数据的机密性,是交换密钥的一部分3.1.21
单播会话密钥(usk)unicastsessionkey由基密钥通过伪随机函数导出的随机值。它分为3个部分:单播加密密钥、消息鉴别密钥、密钥加密密钥。
YDB0662011
单播会话密钥安全关联(USKSA)unicast session key security association单播密钥协商过程的结果。
3.2缩略语
下列缩略语适用于本技术报告。ADDID
ASN.1/DER
STAKID
STAKSA
SWBKSA
ADDressInDex
Authentication and Key ManagementAbstract
Syntax
NotationOne/
Distinguished Encoding RulesBase Key Security AssociationEclipse Curve Cryptography
Elliptic Curve Diffie-HellmanElliptic Curve Digital SignatureAlgorithm
Key Encryption Key
Local Area Network
Media Access Control
Message Authentication Key
Management Information Base
Message Integrity Check
MAC ProtocolData Unit
MAC Service Data Unit
Multicast Session Key
Multicast Session Key InDex
Multicast
Association
Session
Objection IDentifier
Security
Organizationally Unique IdentifierProtocol Data Unit
Protocol Implementation ConformanceStatement
PreShared Key
SubNetwork Access Protocol
STAtion
STAtion Key
STAtion Key InDex
STAtion Key Security AssociationSWitch
SWitch Basic Key
SWitch
Association
Security
地址索引
鉴别和密钥管理
抽象语法标记/非典型编码规则
基密钥安全关联
圆曲线密码体制
椭圆曲线Diffie-Hellman交换
椭圆曲线数字签名算法
密钥加密密钥
局域网
媒体访问控制
消息鉴别密钥
管理信息库
消息鉴别码
MAC协议数据单元
MAC服务数据单元
组播会话密钥
组播会话密钥索引
组播会话密钥安全关联
客体标识符
组织唯一标识符
协议数据单元
协议实现一致性声明
预共享密钥
子网络访问安全
用户终端
站间密钥
站间密钥索引
站间密钥安全关联
交换设备
交换基密钥
交换基密钥安全关联
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。
YDB0662011
有线局域网媒体访问控制安全技术要求Wired local area network medium accesscontrol security requirements2011-08-05印发
中国通信标准化协会
1范围
规范性引用文件
3术语与缩略语、
3.1术语。
3.2缩略语。
4概述
5安全策略整体方案
5.1系统实体,
系统端口。
5.3系统安全策略
5.4安全关联的管理
5.4.1安全关联的定义
5.4.2安全关联的删除
6TLSec协议顿结构
TLA协议分组中字段固定格式
6.1.2鉴别标识
随机数
6.1.4身份
证书,
ECDH参数,
数字签名
MAC地址
地址索引
消息鉴别码
证书验证结果
复合的证书验证结果
身份列表bzxZ.net
TLA信息元素,
单播密码信息元素
邻居交换设备信息
邻居信息元素
公钥信息
YDB0662011
YDB0662011
6.1.19接入结果
6.1.20基密钥标识/交换基密钥标识6.1.21
单播会话密钥索引/交换密钥索引6.1.22组播会话密钥索引/站间密钥索引6.2数据元素封装格式
6.3TAEPoL协议
6.3.1TAEPoL协议各组成部分
6.3.2TAEPoLMPDU结构.
6.3.3TAEPoL协议下的数据帧
6.3.4TAEP分组
TAEPoL-Key数据帧
6.4TLSec的TLP协议
7邻居节点发现
邻居节点发现过程概述
邻居节点发现请求分组
邻居节点发现响应分组
8安全策略协商
8.1安全策略协商过程概述
8.2安全策略协商请求分组
8.3安全策略协商响应分组
9鉴别和单播密钥管理
9.1基于证书的鉴别和单播密钥管理9.1.1过程概述,
9.1.2公钥证书
9.1.3基于证书的鉴别协议TAEP-CAAP9.1.4单播密钥协商.
9.2基于预共享密钥的鉴别及单播密钥管理.9.2.1身份鉴别及单播密钥协商过程概述:9.2.2身份鉴别及单播密钥协商激活分组:9.2.3身份鉴别及单播密钥协商请求分组,9.2.4
身份鉴别及单播密钥协商响应分组:9.2.5身份鉴别及单播密钥协商确认分组10组播密钥通告
组播密钥通告过程概述,
10.2组播密钥通告分组
10.2.1帧格式,
处理过程
10.3组播密钥通告响应分组,
10.3.1顿格式
iiKANiKAca
10.3.2处理过程
11站间密钥建立
11.1站间密钥建立过程概述
11.2站间密钥请求
11.2.1顿格式
11.2.2处理过程
11.3对对端STA的站间密钥通告
11.3.1顿格式
处理过程
11.4对端STA的站间密钥通告响应11.4.1
帧格式
处理过程
11.5对发起端STA的站间密钥通告11.5.1
帧格式
处理过程
11.6发起端STA的站间密钥通告响应11.6.1顿格式
处理过程
11.7站间密钥建立补充说明
11.8邻居用户终端站间密钥建立.11.8.1过程概述,
邻居交换设备选择请求
邻居交换设备选择响应
12交换密钥建立
12.1交换密钥建立过程概述
12.2交换基密钥建立
交换基密钥建立过程概述
交换基密钥通告分组
交换基密钥通告响应分组
交换基密钥通告分组二
交换基密钥通告响应分组
12.3交换密钥协商过程
交换密钥协商过程概述
交换密钥协商激活
交换密钥协商请求
交换密钥协商响应
交换密钥协商确认
13节点间保密通信
13.1节点间交换路径探寻
节点间交换路径定义
13.1.2交换路径探寻过程概述
........
YDB0662011
iiKANiKAca
YDB0662011
13.1.3交换路径探寻请求,
13.1.4交换路径探寻响应
13.2节点间通信类型划分
13.2.1节点间通信类型分类.
13.2.2节点间通信类型划分流程13.3节点间保密通信策略.
13.3.1不同类型节点间保密通信策略..13.3.2
发送源节点发送处理.
13.3.3接收节点接收处理,
13.4加密模式与数据顿保护,
13.4.1GCM加密认证模式
GCM解密认证模式
数据帧保护模块.
14TLSec系统
TLSec与普通交换设备
TLSec 与VLAN
15控制管理机制
受控端口控制和数据传输,
密钥更新,
超时处理
15.4TLA协议分组的分片与重组
15.5TLP顿封装与解封装
15.6PN分组序列号使用规则
16TLSec状态机
一般要求
状态图中的符号约定,
16.3时钟和全局变量
16.3.1时钟.
16.3.2全局变量。
16.4端口时钟状态机
16.5鉴别访问控制器状态机
......
16.5.1鉴别访问控制器状态机中定义的变量、常量和过程各状态描述
统计变量
16.6请求者状态机
16.6.1请求者状态机中定义的变量、常量和过程16.6.2各状态描述
16.7密钥传输状态机,
16.8密钥接收状态机
16.8.1密钥接收状态机中定义的变量、常量和过程密钥接收状态机图示
:101
iiKANiKAca
16.9重鉴别计时器状态机
17端口接入控制管理
17.1一般要求
17.2管理功能
配置管理
故障管理
性能管理
安全管理
计费管理
17.3被管对象
17.4数据类型
17.5鉴别访问控制器PAE被管对象17.5.1
一般要求
鉴别访问控制器配置
鉴别访问控制器统计值
鉴别访问控制器诊断
鉴别访问控制器会话统计
17.6请求者PAE管理对象
请求者配置
请求者统计
17.7系统管理对象
系统配置
18端口接入控制MIB定义
附录A(规范性附录)
附录B(资料性附录)
附录C(规范性附录)
附录D(资料性附录)
附录E(资料性附录)
PICS表
本技术报告使用的有关算法
密钥导出体系。
应用场景。
TLSec与IEEE802.1AE的比较
YDB0662011
iiiKAoNiKAca
YDB0662011
为适应信息通信业发展对通信标准文件的需要,在工业和信息化部统一安排下,对于技术尚在发展中,又需要有相应的标准性文件引导其发展的领域,由中国通信标准化协会组织制定“通信标准类技术报告”,推荐有关方面参考采用。有关对本技术报告的建议和意见,向中国通信标准化协会反映。本技术报告由中国通信标准化协会提出并归口。本技术报告主要起草单位:西安邮电学院、西安西电捷通无线网络通信股份有限公司、北京邮电大学。
本技术报告主要起草人:朱志祥、李琴、黄振海、铁满霞、王育民、杨义先、赖晓龙、颜湘、龙昭华、罗旭光、葛莉、任学强、许成鹏、孙宇露、王佩、张永强、张变玲、胡亚楠、杜志强、杜慧、王、张国强、梁琼文、肖跃雷。
iiiKAoNhikAca
YDB 0662011
本技术报告针对现有局域网安全协议存在的易遭受欺骗、网络接入控制设备没有独立身份等缺陷,基于三元对等鉴别(TePA)机制,提出有线局域网安全技术要求。本技术报告也作为对GB/T15629.3-1995《信息处理系统局域网第3部分:带碰撞检测的载波侦听多址访问(CSMA/CD)的访问方法和物理层规范》的安全性能增强标准,补充安全机制,弥补因原标准中缺少安全方案而带来的隐患,消除产业安全瓶颈。
iiiKAoNiKAca
1范围
有线局域网媒体访问控制安全技术要求YDB0662011
本技术报告规定了基于TePA的有线局域网媒体访问控制安全TLSec(TePA-basedwiredLANMACSecurity)技术的整体方案,主要涉及基于TePA的局域网鉴别协议TLA(TePA-basedLANAuthenticationProtocol)以及基于TLA协议的局域网保密通信协议TLP(TLA-basedLANPrivacyProtocol)。TLA协议为有线局域网节点合法访问提供保障,TLP协议为有线局域网节点之间保密数据通信提供保障。本技术报告适用于有线局域网的媒体访问控制产品,为有线局域网客户端和网络控制(交换)设备提供媒体访问控制层安全接入控制和保密通信功能。2规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅所注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。GB/T15629.2一2008信息技术系统间远程通信和信息交换局域网和城域网特定要求第2部分:逻辑链路控制
GB/T15629.3一1995信息处理系统局域网第3部分:带碰撞检测的载波侦听多址访问(CSMA/CD))的访问方法和物理层规范
IS0/IEC9798-3:1998/Amd.1:2010信息技术安全技术实体鉴别第3部分采用数字签名技术的机制补篇l(Information technology- Security techniques— Entity authentication-Part 3: Mechanisms using digital signature techniques AMENDMENT 1)IEEEStd802.3M-2005局域网和城域网规范第3部分:带检测冲突的载波检测多址存取(CSMA/CD)方法和物理层规范(IEEEStandardforLocalandmetropolitan areanetworks:Part3:CarrierSenseMultiple Access with Collision Detection (CSMA/cD) access method and physical layerspecifications)
IEEEStd802.1DrM-2004局域网和城域网规范第3部分:媒体访问控制桥(IEEEStandardforLocal and metropolitan area networks: Media access control (MAc) Bridges)IEEEStd802.1QM-2003局域网和城域网规范第3部分:局域网虚拟桥(IEEEStandardsforLocaland Metropolitan Area Networks: Virtual Bridged Local Area Networks.)3术语与缩略语
3.1术语
鉴别访问控制器(AAC)authenticationaccesscontroller位于点到点链路一端的实体,该实体可以鉴别另外一端实体和被另外一端的实体鉴别,它与鉴别服务器有直接的通信。
HiiKAoNiKAca
YDB0662011
鉴别服务器(AS)authenticationserve提供鉴别服务给请求者和鉴别访问控制器,使请求者和鉴别访问控制器可以相互鉴别。3.1.3
基密钥(BK)basekey
用于导出单播会话密钥的密钥。基密钥由证书鉴别过程协商得到或由预共享密钥导出。3.1.4
基密钥安全关联(BKsA)basekeysecurityassociation证书鉴别过程的结果或预共享密钥导出的结果。3.1.5
密钥加密密钥(KEk)keyencryptionkey用于密钥管理协议中密钥数据字段的加密密钥。3.1.6
消息鉴别密钥(MAK)message authentication key提供密钥管理协议数据源鉴别和完整性校验的密钥。3.1.7
组播会话密钥(MSK)
)multicast session key
用于保护站点发送的组播MPDU的随机值。组播会话密钥由组播主密钥导出。3.1.8
组播会话密钥安全关联(MSKSA)MSKsecurityassociation组播密钥通告过程的结果。
预共享密钥(PSK)
preshared key
发布给STA的静态密钥。该密钥的发布方法超出本技术报告范围。3.1.10
请求者(REQ)
requester
位于点到点链路一端的实体,该实体可以鉴别另外一端实体和被另外一端的实体鉴别,它必须通过鉴别访问控制器与鉴别服务器通信。3.1.11
安全策略securitypolicys
请求者REQ和鉴别访问控制器AAC实体通过协商确定的安全机制,包括鉴别和密钥管理机制、单播密码机制以及组播密码机制。
站间密钥(STAKey)stationkey用来保护任意两个用户终端STA之间保密通信的对称密钥。3.1.13
站间密钥安全关联(sTAKeySA)STAKeysecurityassociationYDB0662011
同一交换设备下的两个用户终端通过该交换设备通告的站间密钥过程的结果。一个站间密钥安全关联包含一个站间密钥与有关的其他参数。3.1.14
交换基密钥(SWBK)switchbasickey用于导出交换设备之间的交换密钥的密钥。交换基密钥由交换基密钥通告过程得到,或者是发布给交换设备的静态密钥,其发布方法超出本技术报告的范围,3.1.15
交换基密钥安全关联(SWBKSA)SWBKsecurityassociation交换基密钥通告,或者是交换基密钥发布的结果。3.1.16
交换密钥(SWKey)switchKey
用于保护一个局域网中的交换设备之间的保密通信的密钥,它分为3个部分:交换单播加密密钥、交换消息鉴别密钥、交换密钥加密密钥。3.1.17
交换密钥安全关联(SWKeySA)SWKeysecurityassociation交换密钥协商过程的结果。
交换单播加密密钥(Sw-UEK)SwitchUnicastEncryptionKey用于保护交换设备之间用户数据的机密性,是交换密钥的一部分。3.1.19
交换消息鉴别密钥(SW-MAK)SwitchMessageAuthenticationKey用于保护交换设备之间协议数据的完整性,是交换密钥的一部分。3.1.20
交换密钥加密密钥(SW-KEK)SwitchKeyEncryptionKey用于保护设备之间协议数据中密钥数据的机密性,是交换密钥的一部分3.1.21
单播会话密钥(usk)unicastsessionkey由基密钥通过伪随机函数导出的随机值。它分为3个部分:单播加密密钥、消息鉴别密钥、密钥加密密钥。
YDB0662011
单播会话密钥安全关联(USKSA)unicast session key security association单播密钥协商过程的结果。
3.2缩略语
下列缩略语适用于本技术报告。ADDID
ASN.1/DER
STAKID
STAKSA
SWBKSA
ADDressInDex
Authentication and Key ManagementAbstract
Syntax
NotationOne/
Distinguished Encoding RulesBase Key Security AssociationEclipse Curve Cryptography
Elliptic Curve Diffie-HellmanElliptic Curve Digital SignatureAlgorithm
Key Encryption Key
Local Area Network
Media Access Control
Message Authentication Key
Management Information Base
Message Integrity Check
MAC ProtocolData Unit
MAC Service Data Unit
Multicast Session Key
Multicast Session Key InDex
Multicast
Association
Session
Objection IDentifier
Security
Organizationally Unique IdentifierProtocol Data Unit
Protocol Implementation ConformanceStatement
PreShared Key
SubNetwork Access Protocol
STAtion
STAtion Key
STAtion Key InDex
STAtion Key Security AssociationSWitch
SWitch Basic Key
SWitch
Association
Security
地址索引
鉴别和密钥管理
抽象语法标记/非典型编码规则
基密钥安全关联
圆曲线密码体制
椭圆曲线Diffie-Hellman交换
椭圆曲线数字签名算法
密钥加密密钥
局域网
媒体访问控制
消息鉴别密钥
管理信息库
消息鉴别码
MAC协议数据单元
MAC服务数据单元
组播会话密钥
组播会话密钥索引
组播会话密钥安全关联
客体标识符
组织唯一标识符
协议数据单元
协议实现一致性声明
预共享密钥
子网络访问安全
用户终端
站间密钥
站间密钥索引
站间密钥安全关联
交换设备
交换基密钥
交换基密钥安全关联
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。