一種ISSU過程中MACsec密鑰更新方法和裝置制造方法
【專利摘要】本申請公開了一種不中斷業(yè)務(wù)升級(ISSU)過程中媒體接入控制安全(MACsec)密鑰更新方法�����,該方法包括:密鑰服務(wù)器獲知該CA中任一成員設(shè)備在進(jìn)行軟重啟ISSU時����,暫停新的SAK的生成;并且在軟重啟ISSU過程中���,若PN出現(xiàn)翻轉(zhuǎn)���,直接切換到下一個SAK�����?;谕瑯拥陌l(fā)明構(gòu)思����,本申請還提出一種裝置,能夠在進(jìn)行軟重啟ISSU時循環(huán)使用SAK進(jìn)行加密���,保證流量不中斷�。
【專利說明】—種ISSU過程中MACsec密鑰更新方法和裝置
【技術(shù)領(lǐng)域】
[0001]本申請涉及通信【技術(shù)領(lǐng)域】��,特別涉及一種ISSU過程中MACsec密鑰更新方法和裝置�。
【背景技術(shù)】
[0002]媒體訪問控制安全(MACsec)定義了 一個協(xié)議集,用于滿足在以太網(wǎng)上傳輸數(shù)據(jù)的安全需求���。MACsec工作在鏈路層的媒體訪問控制(MAC)子層之上���,為邏輯鏈路控制(Logical Link Control, LLC)子層以及LLC子層之上的協(xié)議提供安全的無連接MAC層發(fā)送和接收服務(wù)�����,包括用戶數(shù)據(jù)加密�����、數(shù)據(jù)幀完整檢查及數(shù)據(jù)源真實(shí)性較檢����。
[0003]MACsec可以識別出授權(quán)設(shè)備發(fā)送的報(bào)文�,并保證數(shù)據(jù)的機(jī)密性,避免處理非授權(quán)設(shè)備的報(bào)文或者非授權(quán)設(shè)備篡改發(fā)送的報(bào)文��。MACsec使用的安全密鑰(SAK)通過MKA協(xié)議進(jìn)行協(xié)商生成�����。在有新成員加入密鑰服務(wù)器所在的連接集(Connectivity Association,CA)中時,或CA中任一成員的報(bào)文編號(Packet Number, PN)的值等于或大于臨界值,或者密鑰服務(wù)器選擇一個新的加密套件時���,都會新生成一個SAK,并分發(fā)給各成員��。
[0004]當(dāng)密鑰服務(wù)器監(jiān)測到CA中的所有成員均已經(jīng)可以使用新的SAK進(jìn)行接收時��,密鑰服務(wù)器可以發(fā)起SAK的切換。在老的SAK對應(yīng)的PN翻轉(zhuǎn)時�,進(jìn)行SAK切換。SAK切換�����,即各成員設(shè)備實(shí)際使用的所有編號的SA中的SAK進(jìn)行輪轉(zhuǎn)切換����。
[0005]不中斷業(yè)務(wù)升級(In-Service Software Upgrade, ISSU)是一種可靠性高的升級設(shè)備啟動軟件的方式。它通過一系列的方法確保在升級過程中業(yè)務(wù)不中斷或者中斷時間較短��。其中����,軟重啟ISSU,是在CPU重啟前將系統(tǒng)運(yùn)行數(shù)據(jù)�����、配置數(shù)據(jù)���、硬件數(shù)據(jù)和狀態(tài)數(shù)據(jù)等全部保存在內(nèi)存中���,再使用新軟件重啟CPU�,重啟期間由轉(zhuǎn)發(fā)層面的硬件繼續(xù)提供轉(zhuǎn)發(fā)能力�����,保持業(yè)務(wù)不中斷���。CPU重啟后使用上次保存的數(shù)據(jù)和狀態(tài)繼續(xù)運(yùn)行�。對于需要實(shí)時和對端交互協(xié)議報(bào)文來保持連接的會話���,則可以通過協(xié)議代理進(jìn)程來確保在軟重啟升級過程中連接和協(xié)議狀態(tài)不受影響�����。
[0006]軟重啟ISSU—般是以接口板為單位進(jìn)行的��,軟重啟過程中由于接口板芯片狀態(tài)凍結(jié)在軟重啟前的狀態(tài)�����,軟件重啟�����,無法響應(yīng)外部變化��。也無法響應(yīng)軟件層面的SAK下發(fā)����,因此一旦PN用盡并且新的SAK未下發(fā)時���,在密鑰服務(wù)器切換到新的SAK的情況下�,無法正常加解密�����,導(dǎo)致出現(xiàn)業(yè)務(wù)轉(zhuǎn)發(fā)故障��。
【發(fā)明內(nèi)容】
[0007]有鑒于此�,本申請?zhí)峁┮环NISSU過程中MACsec密鑰更新方法和裝置,能夠在進(jìn)行軟重啟ISSU時循環(huán)使用SAK進(jìn)行加密�����,保證流量不中斷�����。
[0008]為解決上述技術(shù)問題���,本發(fā)明的技術(shù)方案是這樣實(shí)現(xiàn)的:
[0009]一種不中斷業(yè)務(wù)升級ISSU過程中媒體接入控制安全MACsec密鑰更新方法�����,應(yīng)用于包括兩個以上成員設(shè)備的連接集CA中的任一成員設(shè)備上���,該成員設(shè)備保持實(shí)際使用的安全集SA的個數(shù)�,以及指定編號的各SA對應(yīng)的安全密鑰SAK的內(nèi)容�,與所述CA中的其他成員設(shè)備一致,并且若進(jìn)行SAK切換���,將切換前的SAK對應(yīng)的下一個報(bào)文編號nextPN的值設(shè)置為初始有效值��,所述方法包括:
[0010]該成員設(shè)備作為密鑰服務(wù)器��,獲知該CA中任一成員設(shè)備在進(jìn)行軟重啟ISSU時����,暫停新的SAK的生成����;
[0011]并且在軟重啟ISSU過程中,若報(bào)文編號PN出現(xiàn)翻轉(zhuǎn),直接切換到下一個SAK��。
[0012]一種不中斷業(yè)務(wù)升級ISSU過程中媒體接入控制安全MACsec密鑰更新的裝置����,可應(yīng)用于包括兩個以上成員設(shè)備的連接集CA中的任一成員設(shè)備上�����,其特征在于����,該設(shè)備包括:記錄單元和處理單元;
[0013]所述記錄單元���,用于保持實(shí)際使用的安全集SA的個數(shù)��,以及指定編號的各SA中的SAK的內(nèi)容����,與所述CA中的其他成員設(shè)備一致�,并且若所述處理單元進(jìn)行SAK切換,將切換前的SAK對應(yīng)的下一個報(bào)文編號nextPN的值設(shè)置為初始有效值����;
[0014]所述處理單元����,用于本設(shè)備作為密鑰服務(wù)器����,獲知該CA中任一成員設(shè)備在進(jìn)行軟重啟ISSU時,暫停新的SAK的生成�;并且在軟重啟ISSU過程中,若報(bào)文編號PN出現(xiàn)翻轉(zhuǎn)����,直接切換到下一個SAK。
[0015]綜上所述����,本申請通過密鑰服務(wù)器在獲知CA中任一成員設(shè)備在進(jìn)行軟重啟ISSU時,暫停新的SAK的生成���;并且若PN出現(xiàn)翻轉(zhuǎn)��,直接切換到下一個SAK����。通過該方法,能夠在進(jìn)行軟重啟ISSU時循環(huán)使用SAK進(jìn)行加密����,保證流量不中斷。
【專利附圖】
【附圖說明】
[0016]圖1為本發(fā)明實(shí)施例中ISSU過程中MACsec密鑰更新方法流程示意圖�����;
[0017]圖2為本發(fā)明具體實(shí)施例中應(yīng)用于上述技術(shù)的裝置的結(jié)構(gòu)示意圖��。
【具體實(shí)施方式】
[0018]為使本發(fā)明的目的��、技術(shù)方案及優(yōu)點(diǎn)更加清楚明白���,以下參照附圖并舉實(shí)施例,對本發(fā)明所述方案作進(jìn)一步地詳細(xì)說明��。
[0019]本發(fā)明實(shí)施例中提出一種ISSU過程中MACsec密鑰更新方法��,應(yīng)用于包括兩個以上成員設(shè)備的CA中的任一成員設(shè)備上���。該成員設(shè)備作為密鑰服務(wù)器�,獲知該CA中任一成員設(shè)備在進(jìn)行軟重啟ISSU時����,暫停新的SAK的生成��;若PN出現(xiàn)翻轉(zhuǎn)��,直接切換到下一個SAK���。通過該方法,能夠在進(jìn)行軟重啟ISSU時循環(huán)使用SAK進(jìn)行加密����,保證流量不中斷。
[0020]CA由兩個或兩個以上成員設(shè)備組成�,其中一個成員設(shè)備作為密鑰服務(wù)器,其他成員設(shè)備作為非密鑰服務(wù)器的成員設(shè)備����,即普通的成員設(shè)備。CA中由密鑰服務(wù)器為各成員設(shè)備分發(fā)SAK��,在分發(fā)新的SAK時�,同時通知各成員設(shè)備該新分發(fā)的SAK所屬的SA的編號。各成員設(shè)備獲得新的SAK���,以及該SAK所屬的SA的編號時����,使用該SAK的內(nèi)容更新對應(yīng)的SA中的SAK的內(nèi)容。
[0021]在本發(fā)明的具體實(shí)現(xiàn)中�,需要各成員設(shè)備保持實(shí)際使用的SA的個數(shù),以及指定編號的各SA中的SAK的內(nèi)容一致����。具體如下:
[0022]目前不同的MACsec硬件支持不同數(shù)量的SAjB 2個、4個等�����。各硬件之間如果想要正常通信�����,要保持使用的SA的個數(shù)相同�����。如都支持2個�,或都支持4個����。
[0023]假設(shè)該CA中包括兩個成員設(shè)備���,分別為成員設(shè)備A和成員設(shè)備B,都設(shè)置實(shí)際使用的SA個數(shù)為2個��。成員設(shè)備A的編號O的SA與成員設(shè)備B的編號O的SA中的SAK的內(nèi)容相同�,并且成員設(shè)備A的編號I的SA與成員設(shè)備B的編號I的SA中SAK對應(yīng)的內(nèi)容相同。
[0024]各成員設(shè)備保持實(shí)際使用的SA中的SAK的一致性的方法可以有以下兩種���。具體為:
[0025]第一種����,當(dāng)有新成員設(shè)備加入時����,使用新分發(fā)的SAK的內(nèi)容更新所有實(shí)際使用的SA中的SAK的內(nèi)容;當(dāng)未有新成員設(shè)備加入��,且切換到新的SAK時��,使用新分發(fā)的SAK的內(nèi)容更新對應(yīng)的SA中的SAK的內(nèi)容�����。
[0026]在有新的成員設(shè)備加入CA時����,新成員設(shè)備會收到密鑰服務(wù)器分發(fā)的SAK���,此時,新成員設(shè)備將其所有實(shí)際使用的SA中的SAK的內(nèi)容全部設(shè)置為新分發(fā)的SAK的內(nèi)容����。
[0027]CA中的所有老成員設(shè)備,包括密鑰服務(wù)器本身會感知到PeerList發(fā)生變化��,即有新的成員設(shè)備加入時���,同時也會收到密鑰服務(wù)器新下發(fā)的SAK��,對于密鑰服務(wù)器而言,是自己重新生成并下發(fā)的SAK�����,在切換到新的SAK時�,將其實(shí)際使用的SA中的SAK的內(nèi)容設(shè)置為新分發(fā)的SAK的內(nèi)容。
[0028]該CA中未有新成員設(shè)備加入���,且在SAK切換時����,各成員設(shè)備不需要更新其他實(shí)際使用的SA中的SAK的內(nèi)容。
[0029]如當(dāng)前CA中只有成員設(shè)備A和成員設(shè)備B�,且成員設(shè)備A為密鑰服務(wù)器。實(shí)際使用的SA有兩個編號O和1�����,如果各成員設(shè)備未感知到有新成員設(shè)備加入���,且成員設(shè)備A分發(fā)新的SAK的內(nèi)容為10��,且該SAK所屬的SA的編號為1����,成員設(shè)備A和成員設(shè)備B僅更新本地編號為I的SA中的SAK的內(nèi)容為10���。
[0030]如果各成員設(shè)備感知到有新的成員設(shè)備��,如成員設(shè)備C加入該CA���,作為密鑰服務(wù)器的成員設(shè)備A生成新的SAK,并分發(fā)新的SAK的內(nèi)容,假設(shè)成員設(shè)備C加入之前的SA的編號為0�,則成員設(shè)備C分發(fā)的SAK所屬的SA的編號為1,假設(shè)新的SAK的內(nèi)容為11���,成員設(shè)備A����、成員設(shè)備B和成員設(shè)備C將編號為O和I的SA中的SAK的內(nèi)容均更新為11���。
[0031]第二種����,當(dāng)切換到新的SAK時�����,各成員設(shè)備使用新分發(fā)的SAK的內(nèi)容更新所有實(shí)際使用的SA中的SAK的內(nèi)容���。即不論是否有新的成員設(shè)備加入,每次SAK切換時�,均更新所有實(shí)際使用的SA中的SAK的內(nèi)容。
[0032]第一種方法�����,可以避免每次更新所有實(shí)際使用的SA中的SAK的內(nèi)容,第二種方法處理邏輯簡單����,但都能夠使得CA中各成員設(shè)備實(shí)際使用的SA中的SAK的內(nèi)容始終一致。在具體實(shí)現(xiàn)時�,可以選擇其中一種實(shí)現(xiàn),也可以使用其他可保證SAK內(nèi)容一致的實(shí)現(xiàn)方法��。
[0033]在本發(fā)明的具體實(shí)現(xiàn)中�,若進(jìn)行SAK切換,無論是正常情況下���,還是在軟重啟ISSU過程中��,將切換前的SAK的nextPN的值設(shè)置為初始有效值���。
[0034]由于必須先將切換前的SAK對應(yīng)的nextPN的值設(shè)置為無效值,才能進(jìn)行SAK的切換����,因此,在需要進(jìn)行SAK切換前����,先將切換前的SAK對應(yīng)的nextPN的值設(shè)置為無效值后���,進(jìn)行SAK的切換,切換SAK后�����,切換前的SAK的nextPN的值為無效值��。而本發(fā)明為了在軟重啟ISSU過程中���,直接切換SAK����,需要循環(huán)使用各SAK�����,在進(jìn)行SAK切換后�����,需要將切換前的SAK的nextPN的值設(shè)置為初始有效值��。
[0035]假設(shè)設(shè)備實(shí)際支持4個SA��,對應(yīng)4個SAK�����,分別為SAK0����、SAK1、SAK2和SAK3�����。當(dāng)需要由SAKl切換到SAK2時��,將SAKl對應(yīng)的nextPN的值設(shè)置為無效值后�����,切換到SAK2���,這時����,將SAKl對應(yīng)的nextPN的值設(shè)置為初始有效值。
[0036]在軟重啟ISSU中����,自動切換SAK,當(dāng)再次由SAKO切換到SAKl時����,由于SAKl對應(yīng)的nextPN的值為初始有效值,各成員設(shè)備可以繼續(xù)使用SAKl進(jìn)行通信�。
[0037]對于各SAK對應(yīng)的nextPN的值進(jìn)行同樣的處理,這樣����,無論軟重啟ISSU進(jìn)行多長時間,本發(fā)明的具體實(shí)現(xiàn)方式��,都能夠保使用相同的SAK進(jìn)行加密通信�����,保證鏈路不斷流����。
[0038]下面結(jié)合附圖,詳細(xì)描述本發(fā)明如何實(shí)現(xiàn)不中斷業(yè)務(wù)升級過程中MACsec密鑰更新方法�����。
[0039]參見圖1�����,圖1為本發(fā)明實(shí)施例中ISSU過程中MACsec密鑰更新方法流程示意圖�。具體步驟為:
[0040]步驟101,CA中的密鑰服務(wù)器�,獲知該CA中任一成員設(shè)備在進(jìn)行軟重啟ISSU時,暫停新的SAK的生成�����。
[0041]該密鑰服務(wù)器獲知該CA中其他作為非密鑰服務(wù)器的成員設(shè)備在進(jìn)行軟件重啟ISSU的方法����,包括:
[0042]該成員設(shè)備作為密鑰服務(wù)器,接收到作為非密鑰服務(wù)器的成員設(shè)備發(fā)送的其即將進(jìn)行軟重啟ISSU的消息時����,獲知該作為非密鑰服務(wù)器的成員設(shè)備在進(jìn)行軟重啟ISSU。
[0043]該成員設(shè)備作為密鑰服務(wù)器���,接收到作為非密鑰服務(wù)器的成員設(shè)備發(fā)送的其完成軟重啟ISSU的消息時��,確定該作為非密鑰服務(wù)器的成員設(shè)備完成軟重啟ISSU�����。
[0044]通常軟重啟ISSU是以接口板為單位進(jìn)行的����,如果生成新的SAK的功能在密鑰服務(wù)器的未進(jìn)行軟重啟的接口板上進(jìn)行,若不禁止密鑰服務(wù)器生成新的SAK�,密鑰服務(wù)器還是會生成新的SAK。因此���,在本發(fā)明的具體實(shí)施例中�����,在密鑰服務(wù)器進(jìn)行軟重啟ISSU時�����,禁止生成新的SAK����。
[0045]本步驟中�,即使某個成員設(shè)備當(dāng)前SAK的PN達(dá)到臨界值�����,密鑰服務(wù)器也不生成或分發(fā)新的SAK����。
[0046]步驟102���,在軟重啟ISSU過程中,若PN出現(xiàn)翻轉(zhuǎn)�,該密鑰服務(wù)器直接切換到下一個SAK。
[0047]由于本發(fā)明實(shí)施例的前提是保證了各成員設(shè)備上實(shí)際使用的SA的個數(shù)和SA中的SAK的內(nèi)容完全一致�����,因此���,自動切換到下一個SAK時����,各成員設(shè)備之間還是可以使用相同密鑰進(jìn)行加密�����,進(jìn)而進(jìn)行通信。
[0048]并且在切換SAK后�����,將切換前的SAK的nextPN的值置為初始有效值�����,這樣保證所有SAK的nextPN的值置為初始有效值��。在軟重啟ISSU過程中�����,循環(huán)使用各SAK時���,保證能夠使用切換后的SAK進(jìn)行加密并發(fā)送報(bào)文����。
[0049]該密鑰服務(wù)器�����,在本設(shè)備或其他成員設(shè)備完成軟重啟ISSU時,具體可以通過如下兩種方式進(jìn)行處理:
[0050]第一種���,該成員設(shè)備作為密鑰服務(wù)器�����,在獲知進(jìn)行軟重啟ISSU的成員設(shè)備完成軟重啟ISSU時�����,新生成SAK�,查詢當(dāng)前使用的SA的編號���,根據(jù)查詢到的SA的編號確定新生成的SAK所屬的SA的編號,并將該新生成的SAK�,以及確定的該新生成的SAK所屬的SA的編號分發(fā)給該CA中的成員設(shè)備。
[0051 ] 具體實(shí)現(xiàn)時����,查詢當(dāng)前使用的SA的編號,如果當(dāng)前使用的SA的編號是I����,則確定新生成的SAK所屬的SA的編號為2 ;如果當(dāng)前使用的SA的編號是3,則確定新生成的SAK所屬的SA的編號為O。
[0052]第二種����,該成員設(shè)備作為密鑰服務(wù)器,在獲知進(jìn)行軟重啟ISSU的成員設(shè)備完成軟重啟ISSU時�����,查詢當(dāng)前使用的SA的編號�����,確定查詢到的SA的編號對應(yīng)的PN是否達(dá)到臨界值���,如果是���,新生成SAK,根據(jù)查詢到的SA的編號確定新生成的SAK所屬的SA的編號�,并將該新生成的SAK,以及確定的該新生成的SAK所屬的SA的編號分發(fā)給該CA中的成員設(shè)備��;否則�����,等到查詢到的SA的編號對應(yīng)的PN到達(dá)臨界值時,新生成SAK�,根據(jù)查詢到的SA的編號確定新生成的SAK所屬的SA的編號,并將該新生成的SAK���,以及確定的該新生成的SAK所屬的SA的編號分發(fā)給該CA中的成員設(shè)備���。
[0053]第一種實(shí)現(xiàn)方式是軟重啟ISSU完成時,立即新生成SAK ;第二種實(shí)現(xiàn)方式是在當(dāng)前使用的SA的編號對應(yīng)的PN達(dá)到臨界值時�,才新生成SAK。
[0054]作為非密鑰服務(wù)器的成員設(shè)備����,在即將進(jìn)行軟重啟ISSU時,向密鑰服務(wù)器發(fā)送本成員設(shè)備即將進(jìn)行軟重啟ISSU的消息���;在完成軟重啟ISSU時,向密鑰服務(wù)器發(fā)送本成員設(shè)備完成軟重啟ISSU的消息����。
[0055]作為非密鑰服務(wù)器的成員設(shè)備,在進(jìn)行軟重啟ISSU過程中���,若PN出現(xiàn)翻轉(zhuǎn)�,直接切換到下一個SAK。
[0056]當(dāng)CA中的軟重啟ISSU完成時���,密鑰服務(wù)器分生成新的SAK時��,各成員設(shè)備根據(jù)本發(fā)明具體實(shí)施例中保持各SA中的SAK的內(nèi)容一致的原則����,更新SA中的SAK的內(nèi)容�����,其他處理過程同現(xiàn)有實(shí)現(xiàn)���,這里不再詳細(xì)描述���。
[0057]在本發(fā)明具體實(shí)施例中,CA中任一成員設(shè)備在進(jìn)行軟重啟ISSU過程中���,若PN出現(xiàn)翻轉(zhuǎn)時����,通過底層硬件(轉(zhuǎn)發(fā)芯片)直接切換到下一個SAK�����,即通過芯片進(jìn)行SAK的切換。
[0058]在軟重啟ISSU重啟完成時����,讀取SA對應(yīng)的PN時,也在硬件上讀取���,即在底層的轉(zhuǎn)發(fā)芯片上讀取�����,因?yàn)?,在軟重啟ISSU完成重啟后�,軟件緩沖中不存在SA的PN。
[0059]本發(fā)明具體實(shí)施例中基于同樣的發(fā)明構(gòu)思�,還提出一種不中斷業(yè)務(wù)升級ISSU過程中媒體接入控制安全MACsec密鑰更新的裝置,可應(yīng)用于包括兩個以上成員設(shè)備的CA中的任一成員設(shè)備上��。參見圖2��,圖2為本發(fā)明具體實(shí)施例中應(yīng)用于上述技術(shù)的裝置的結(jié)構(gòu)示意圖��。該裝置包括:記錄單元201和處理單元202�。
[0060]記錄單元201,用于保持實(shí)際使用的安全集SA的個數(shù)�,以及指定編號的各SA中的SAK的內(nèi)容,與所述CA中的其他成員設(shè)備一致����,并且若處理單元202進(jìn)行SAK切換,將切換前的SAK對應(yīng)的下一個報(bào)文編號nextPN的值設(shè)置為初始有效值����。
[0061]處理單元202,用于本設(shè)備作為密鑰服務(wù)器�,獲知該CA中任一成員設(shè)備在進(jìn)行軟重啟ISSU時,暫停新的SAK的生成�����;并且在軟重啟ISSU過程中��,若報(bào)文編號PN出現(xiàn)翻轉(zhuǎn)�,直接切換到下一個SAK。這里�,所述的本設(shè)備是指該裝置所在的成員設(shè)備。
[0062]較佳地����,
[0063]處理單元202�,用于接收到作為非密鑰服務(wù)器的成員設(shè)備發(fā)送的其即將進(jìn)行軟重啟ISSU的消息�,獲知該作為非密鑰服務(wù)器的成員設(shè)備在進(jìn)行軟重啟ISSU。
[0064]較佳地���,
[0065]處理單元202���,進(jìn)一步用于本設(shè)備作為密鑰服務(wù)器,接收到作為非密鑰服務(wù)器的成員設(shè)備發(fā)送的其完成軟重啟ISSU的消息時����,確定該作為非密鑰服務(wù)器的成員設(shè)備完成軟重啟ISSU,并新生成SAK����,查詢當(dāng)前使用的SA的編號,根據(jù)查詢到的SA的編號確定新生成的SAK所屬的SA的編號�����,并將該新生成的SAK�����,以及確定的該新生成的SAK所屬的SA的編號分發(fā)給該CA中的成員設(shè)備。
[0066]較佳地����,
[0067]處理單元202��,進(jìn)一步用于本設(shè)備作為密鑰服務(wù)器�����,接收到作為非密鑰服務(wù)器的成員設(shè)備發(fā)送的其完成軟重啟ISSU的消息時��,確定該作為非密鑰服務(wù)器的成員設(shè)備完成軟重啟ISSU��,并查詢當(dāng)前使用的SA的編號�,在查詢到的SA的編號對應(yīng)的PN達(dá)到臨界值時,新生成SAK��,根據(jù)查詢到的SA的編號確定新生成的SAK所屬的SA的編號����,并將該新生成的SAK,以及確定的該新生成的SAK所屬的SA的編號分發(fā)給該CA中的成員設(shè)備。
[0068]較佳地���,
[0069]處理單元202�,進(jìn)一步用于本設(shè)備作為非密鑰服務(wù)器的成員設(shè)備時���,在即將進(jìn)行軟重啟ISSU時��,向密鑰服務(wù)器發(fā)送本成員設(shè)備即將進(jìn)行軟重啟ISSU的消息���;在完成軟重啟ISSU時����,向密鑰服務(wù)器發(fā)送本成員設(shè)備完成軟重啟ISSU的消息�����;在進(jìn)行軟重啟ISSU過程中����,若PN出現(xiàn)翻轉(zhuǎn),通過底層硬件(轉(zhuǎn)發(fā)芯片)直接切換到下一個SAK��。
[0070]較佳地���,
[0071]記錄單元201,進(jìn)一步用于當(dāng)處理單元202切換到新的SAK時,使用新分發(fā)的SAK的內(nèi)容更新所有實(shí)際使用的SA中SAK的內(nèi)容����。
[0072]較佳地,
[0073]記錄單元201,進(jìn)一步用于當(dāng)感知到有新成員設(shè)備加入時,使用新分發(fā)的SAK的內(nèi)容更新所有實(shí)際使用的SA中的SAK的內(nèi)容��;當(dāng)未有新成員設(shè)備加入���,且切換到新的SAK時,使用新分發(fā)的SAK的內(nèi)容更新對應(yīng)的SA中的SAK的內(nèi)容����。
[0074]上述實(shí)施例的單元可以集成于一體,也可以分離部署��;可以合并為一個單元�����,也可以進(jìn)一步拆分成多個子單兀����。
[0075]綜上所述,本發(fā)明具體實(shí)施例中成員設(shè)備作為密鑰服務(wù)器�����,在自身進(jìn)行軟重啟ISSU過程����,或其他成員設(shè)備進(jìn)行軟件重啟過程中����,暫停新的SAK的生成���;gPN出現(xiàn)翻轉(zhuǎn)����,直接切換到下一個SAK����。通過該方法,能夠在進(jìn)行軟重啟ISSU時循環(huán)使用SAK進(jìn)行加密���,保證流量不中斷���。
[0076]以上所述,僅為本發(fā)明的較佳實(shí)施例而已��,并非用于限定本發(fā)明的保護(hù)范圍��。凡在本發(fā)明的精神和原則之內(nèi)���,所作的任何修改����、等同替換、改進(jìn)等���,均應(yīng)包含在本發(fā)明的保護(hù)范圍之內(nèi)�����。
【權(quán)利要求】
1.一種不中斷業(yè)務(wù)升級ISSU過程中媒體接入控制安全MACsec密鑰更新方法,應(yīng)用于包括兩個以上成員設(shè)備的連接集CA中的任一成員設(shè)備上����,其特征在于,該成員設(shè)備保持實(shí)際使用的安全集SA的個數(shù)�,以及指定編號的各SA對應(yīng)的安全密鑰SAK的內(nèi)容,與所述CA中的其他成員設(shè)備一致�,并且若進(jìn)行SAK切換,將切換前的SAK對應(yīng)的下一個報(bào)文編號nextPN的值設(shè)置為初始有效值����,所述方法包括:該成員設(shè)備作為密鑰服務(wù)器,獲知該CA中任一成員設(shè)備在進(jìn)行軟重啟ISSU時�����,暫停新的SAK的生成;并且在軟重啟ISSU過程中�,若報(bào)文編號PN出現(xiàn)翻轉(zhuǎn),直接切換到下一個SAK�。
2.根據(jù)權(quán)利要求1所述的方法,其特征在于��,該成員設(shè)備獲知該CA中其他成員設(shè)備在進(jìn)行軟件重啟ISSU的方法�,包括:該成員設(shè)備作為密鑰服務(wù)器,接收到作為非密鑰服務(wù)器的成員設(shè)備發(fā)送的其即將進(jìn)行軟重啟ISSU的消息��,獲知該作為非密鑰服務(wù)器的成員設(shè)備在進(jìn)行軟重啟ISSU����。
3.根據(jù)權(quán)利要求1或2所述的方法,其特征在于���,所述方法進(jìn)一步包括:該成員設(shè)備作為密鑰服務(wù)器��,接收作為非密鑰服務(wù)器的成員設(shè)備發(fā)送的其完成軟重啟ISSU的消息時��,確定該作為非密鑰服務(wù)器的成員設(shè)備完成軟重啟ISSU ;并新生成SAK���,查詢當(dāng)前使用的SA的編號����,根據(jù)查詢到的SA的編號確定新生成的SAK所屬的SA的編號����,并將該新生成的SAK,以及確定的該新生成的SAK所屬的SA的編號分發(fā)給該CA中的成員設(shè)備�。
4.根據(jù)權(quán)利要求1或2所述的方法,其特征在于����,所述方法進(jìn)一步包括:該成員設(shè)備作為密鑰服務(wù)器,接收作為非密鑰服務(wù)器的成員設(shè)備發(fā)送的其完成軟重啟ISSU的消息時�,確定該作為非密鑰服務(wù)器的成員設(shè)備完成軟重啟ISSU ;并查詢當(dāng)前使用的SA的編號����,在查詢到的 SA的編號對應(yīng)的PN達(dá)到臨界值時,新生成SAK���,根據(jù)查詢到的SA的編號確定新生成的SAK所屬的SA的編號�,并將該新生成的SAK����,以及確定的該新生成的SAK所屬的SA的編號分發(fā)給該CA中的成員設(shè)備����。
5.根據(jù)權(quán)利要求1或2所述的方法�����,其特征在于���,所述方法進(jìn)一步包括:該成員設(shè)備作為非密鑰服務(wù)器的成員設(shè)備��,在即將進(jìn)行軟重啟ISSU時����,向密鑰服務(wù)器發(fā)送本成員設(shè)備即將進(jìn)行軟重啟ISSU的消息��;在完成軟重啟ISSU時����,向密鑰服務(wù)器發(fā)送本成員設(shè)備完成軟重啟ISSU的消息;在進(jìn)行軟重啟ISSU過程中����,若PN出現(xiàn)翻轉(zhuǎn),直接切換到下一個SAK���。
6.根據(jù)權(quán)利要求1或2所述的方法��,其特征在于�����,所述保持實(shí)際使用的SA的個數(shù)����,以及指定編號的各SA中的SAK的內(nèi)容,與所述CA中的其他成員設(shè)備一致��,包括:當(dāng)切換到新的SAK時�����,使用新分發(fā)的SAK的內(nèi)容更新所有實(shí)際使用的SA中的SAK的內(nèi)容����。
7.根據(jù)權(quán)利要求1或2所述的方法����,其特征在于,所述保持實(shí)際使用的SA的個數(shù)�����,以及指定編號的各SA中的SAK的內(nèi)容,與所述CA中的其他成員設(shè)備一致���,包括:當(dāng)有新成員設(shè)備加入時�,使用新分發(fā)的SAK的內(nèi)容更新所有實(shí)際使用的SA中的SAK的內(nèi)容�;當(dāng)未有新成員設(shè)備加入,且切換到新的SAK時�,使用新分發(fā)的SAK的內(nèi)容更新對應(yīng)的SA中的SAK的內(nèi)容。
8.一種不中斷業(yè)務(wù)升級ISSU過程中媒體接入控制安全MACsec密鑰更新的裝置�����,可應(yīng)用于包括兩個以上成員設(shè)備的連接集CA中的任一成員設(shè)備上�,其特征在于,該設(shè)備包括:記錄單元和處理單元�����;所述記錄單元�,用于保持實(shí)際使用的安全集SA的個數(shù),以及指定編號的各SA中的SAK的內(nèi)容�,與所述CA中的其他成員設(shè)備一致,并且若所述處理單元進(jìn)行SAK切換,將切換前的SAK對應(yīng)的下一個報(bào)文編號nextPN的值設(shè)置為初始有效值�;所述處理單元,用于本設(shè)備作為密鑰服務(wù)器�����,獲知該CA中任一成員設(shè)備在進(jìn)行軟重啟ISSU時����,暫停新的SAK的生成;并且在軟重啟ISSU過程中����,若報(bào)文編號PN出現(xiàn)翻轉(zhuǎn),直接切換到下一個SAK�����。
9.根據(jù)權(quán)利要求8所述的裝置��,其特征在于�,所述處理單元,用于接收到作為非密鑰服務(wù)器的成員設(shè)備發(fā)送的其即將進(jìn)行軟重啟ISSU的消息����,獲知該作為非密鑰服務(wù)器的成員設(shè)備在進(jìn)行軟重啟ISSU�。
10.根據(jù)權(quán)利要求8或9所述的設(shè)備����,其特征在于��,所述處理單元����,進(jìn)一步用于本設(shè)備作為密鑰服務(wù)器,接收到作為非密鑰服務(wù)器的成員設(shè)備發(fā)送的其完成軟重啟ISSU的消息時��,確定該作為非密鑰服務(wù)器的成員設(shè)備完成軟重啟ISSU�,并新生成SAK,查詢當(dāng)前使用的SA的編號���,根據(jù)查詢到的SA的編號確定新生成的SAK所屬的SA的編號���,并將該新生成的SAK,以及確定的該新生成的SAK所屬的SA的編號分發(fā)給該CA中的成員設(shè)·備�。
11.根據(jù)權(quán)利要求8或9所述的裝置,其特征在于����,所述處理單元,進(jìn)一步用于本設(shè)備作為密鑰服務(wù)器,接收到作為非密鑰服務(wù)器的成員設(shè)備發(fā)送的其完成軟重啟ISSU的消息時�,確定該作為非密鑰服務(wù)器的成員設(shè)備完成軟重啟ISSU,并查詢當(dāng)前使用的SA的編號�����,����,在查詢到的SA的編號對應(yīng)的PN達(dá)到臨界值時,新生成SAK�,根據(jù)查詢到的SA的編號確定新生成的SAK所屬的SA的編號,并將該新生成的SAK,以及確定的該新生成的SAK所屬的SA的編號分發(fā)給該CA中的成員設(shè)備��。
12.根據(jù)權(quán)利要求8或9所述的裝置�,其特征在于,所述處理單元��,進(jìn)一步用于本設(shè)備作為非密鑰服務(wù)器的成員設(shè)備時��,在即將進(jìn)行軟重啟ISSU時�,向密鑰服務(wù)器發(fā)送本成員設(shè)備即將進(jìn)行軟重啟ISSU的消息;在完成軟重啟ISSU時��,向密鑰服務(wù)器發(fā)送本成員設(shè)備完成軟重啟ISSU的消息����;在進(jìn)行軟重啟ISSU過程中,若PN出現(xiàn)翻轉(zhuǎn)�����,直接切換到下一個SAK�����。
13.根據(jù)權(quán)利要求8或9所述的設(shè)備����,其特征在于,所述記錄單元����,進(jìn)一步用于當(dāng)所述處理單元切換到新的SAK時,使用新分發(fā)的SAK的內(nèi)容更新所有實(shí)際使用的SA中SAK的內(nèi)容�。
14.根據(jù)權(quán)利要求8或9所述的裝置,其特征在于����,所述記錄單元,進(jìn)一步用于當(dāng)感知到有新成員設(shè)備加入時��,使用新分發(fā)的SAK的內(nèi)容更新所有實(shí)際使用的SA中的SAK的內(nèi)容;當(dāng)未有新成員設(shè)備加入���,且切換到新的SAK時��,使用新分發(fā)的SAK的內(nèi)容更新對應(yīng)的SA中的SAK的內(nèi)容����。
【文檔編號】H04L9/08GK103441840SQ201310366094
【公開日】2013年12月11日 申請日期:2013年8月21日 優(yōu)先權(quán)日:2013年8月21日
【發(fā)明者】徐鵬飛 申請人:杭州華三通信技術(shù)有限公司