CN111049648B - 一种MACSec加密业务数据平面主动更新密钥保证可靠传输的方法 - Google Patents
一种MACSec加密业务数据平面主动更新密钥保证可靠传输的方法 Download PDFInfo
- Publication number
- CN111049648B CN111049648B CN201911261544.2A CN201911261544A CN111049648B CN 111049648 B CN111049648 B CN 111049648B CN 201911261544 A CN201911261544 A CN 201911261544A CN 111049648 B CN111049648 B CN 111049648B
- Authority
- CN
- China
- Prior art keywords
- sak
- channel
- macsec
- plane
- encryption
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0891—Revocation or update of secret information, e.g. encryption key update or rekeying
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Mobile Radio Communication Systems (AREA)
- Small-Scale Networks (AREA)
Abstract
本发明公开了一种MACSec加密业务数据平面主动更新密钥保证可靠传输的方法,包括检测发现MACSec控制平面或管理平面异常,没有正常更新SAK密钥,检测发现接收到的MACSec报文序列号大于设定的门限值时,数据平面主动在另外一条加密通道SC Channel发起更新Rx SAK等步骤,本发明可以检测发现MACSec控制平面MKA协议出现异常、发现MACSec控制平面MCP通信故障或者板卡故障,在发现控制平面更新SAK操作异常之后,数据平面主动接管SAK更新操作,避免了SAK无法更新导致的加密业务中断问题,实现了控制平面更新密钥,和数据平面更新密钥的组合操作。
Description
技术领域
本发明涉及一种MACSec(MAC Secruity)加密业务,具体地说,是一种MACSec加密业务数据平面主动更新密钥保证可靠传输的方法。
背景技术
MACSec定义了局域网数据加密通信的机制,提供加密的以太网MAC业务,由IEEE802.1AE和IEEE802.1x规范定义。在二层以太网传输过程中,对业务报文进行加密,只有加密的报文才能从相应的链路进行传输。MACSec功能实现分三个主要阶段,包括CAK/CKN(ConnectivityAssociationKey/CAKName)获取,密钥协商,数据加密。包括以下功能:
1.CAK/CKN获取
CAK是通过加密算法函数生成其它密钥的原始材料,CAK/CKN可以通过管理系统预配置给设备,也可以有802.1xRADIUS服务器分发。当系统发现两个设备接口之间具有相同的CAK/CKN时,就启动密钥协商机制,准备在它们之间传送加密业务。
2.密钥协商
密钥协商由MKA(MACSecKeyArgement)协议完成。MKA定义了密钥管理协议,通信的两个设备接口之间,通过MKA协议发现其具有相同的CAK,根据CAK和系统生成的增强随机数,通过加密算法生成其它要用的密钥包括SAK(SecurityAssociationKey)。在两端安装相同的SAK密钥之后,用SAK对业务报文进行加密和解密。
3.数据加密解密
通信的接口之间协商完成相同的SAK并安装到MACSec实体之后,MACSec实体采用相同的加密、解密算法,实现数据的加密传输。
密钥协商是一个严格而复杂的过程,需要确保密钥的更新安全,可靠。包括如下过程:
1.密钥SAK周期性更新
通信的两个设备端口之间,为了防止黑客攻击,密钥SAK需要周期性地刷新。
2.密钥SAK双通道更新机制
为了保证更新SAK的过程不中断业务,需要在两个加密通道(SC channel)上轮流更新发送密钥Tx SAK和接收密钥Rx SAK。比如正在使用的是工作通道SC channel1上的密钥,则更新密钥需要在SC channel2上进行。这样SC channel2上的密钥变化,不会影响channel1上的密钥。在SC channel2上的密钥准备好之后,可以将工作通道切换到SCchannel2,并且在SC channel1的Rx SAK删除之前,两个通道的密钥都能够使用,该机制能够保证密钥更新过程业务不会中断。
3.报文序列号SN触发的SAK更新机制
MACsec规范定义要求,所有MACsec报文都包含序列号SN(SerialNumber),每发送一个报文,其SN都会加1,当序列号达到最大值之后就会翻转,SN从2^32变为0。规范要求保证在SN翻转之前,必须更新密钥SAK,否则业务就会中断。在更新密钥之后,SN会重新从0开始增长。控制平面发起的SN触发的SAK更新,协议推荐门限值为0xE0000000,以确保控制平面发起SAK更新有足够的操作时间。
对于10G以太网业务端口,假设报文线速发送,大约300秒左右报文SN会达到最大值并翻转,因此要在这个时间之内必须完成密钥更新。
上述MACsec运行机制保证了基本的加密数据通信的要求,能够满足大部分的应用场景。但是对于严格要求加密数据通信不能有任何中断的用户,可能因为管理平面或者控制平面的异常,导致数据平面的加密业务中断。具体存在如下问题:
1.管理平面需要定期或不定期更新CAK/CKN到所有参与MACSec业务的接口,该更新过程可能因为任何管理通道异常而更新失败,或者只更新了部分接口。
2.MKA协议在主控MCP(Main Control Processor)上运行,周期性更新SAK或者SN越限更新SAK的机制,可能因为通信故障或者MCP系统故障而失败。而SAK更新失败必然会导致MACSec业务中断。
3.即使MCP协商SAK成功,在MCP更新SAK到MACSec实体的过程中,也有可能会失败。
4.SAK必须更新到MACSec业务的两端,也可能碰到一端SAK更新成功,另外一端SAK更新失败的情形,这也会导致两端运行的密钥不一致的情形,最终导致MACSec业务中断。
发明内容
本发明正是针对以上现有技术中存在的缺陷,在MACSec控制平面或管理平面出现异常的情形下,提供一种MACSec加密业务在数据平面主动更新密钥SAK保证可靠传输的方法。通过监视MACSec接口上收到的业务报文的Tx SN(发送报文序列号)和Rx SN(接收报文序列号),在判断出控制平面出现异常的情况下,发起SAK更新接管操作,保证MACSec报文不会因为SN越界导致业务中断。在MACSec控制平面恢复正常之后,MKA控制平面可以从数据平面得到当前工作SC通道,然后发起正常的SAK刷新操作。
本发明是通过以下技术方案实现的:
本发明公开了一种MACSec加密业务在数据平面主动更新密钥SAK保证可靠传输的方法,主要包括以下步骤:
1)检测发现MACSec控制平面或管理平面异常,没有正常更新SAK密钥;
2)检测发现接收到的MACSec报文序列号大于设定的门限值时,数据平面主动在另外一条加密通道SC Channel发起更新Rx SAK;
3)检测发现本端发送的MACSec报文序列号大于设定的门限值时,数据平面主动在另外一条加密通道SC Channel发起更新Tx SAK;
4)在控制平面恢复正常之后,依据MACSec实体当前的工作通道信息恢复正常的SAK刷新机制。
作为进一步地改进,本发明所述的步骤1)中,检测发现MACSec控制平面或管理平面异常包括如下步骤:
1.1)不针对特定的何种管理平面异常,包括任何因管理平面原因导致的生成SAK密钥异常的情形;
1.2)不针对特定的何种控制平面异常,包括任何因控制平面原因导致的生成SAK密钥异常的情形。
作为进一步地改进,本发明所述的步骤1)中,检测MACSec控制平面或管理平面异常,没有正常更新SAK密钥的方法包括:
2.1)MACSec控制平面正常情形下会周期性地更新SAK,不管是发送报文序列号SN还是接收报文序列号SN,不可能出现大于0xF0000000的情形;
2.2)MACSec数据平面一旦检测到序列号SN大于0xF0000000,则可以断定控制平面出现了异常,数据平面将发起接管SAK更新的操作。
作为进一步地改进,本发明所述的步骤2)包括以下步骤:
3.1)数据平面一旦检测到接收的MACSec报文序列号大于设定的门限值0xF0000000,则在另外一条加密通道SC Channel上发起更新Rx SAK;
3.2)所述在另外一条加密通道SC Channel上发起更新Rx SAK是指,保留当前工作SC Channel上的Rx SAK,删除之前使用的SC Channel上的Rx SAK并设置新的Rx SAK;
3.3)所述新的Rx SAK设置完成之后,该通道上就准备好接收,并且接收到的报文序列号将从SN=0开始。
3.4)所述的接收的MACSec报文序列号大于设定的门限值0xF0000000,并不限于特定的值,而是依据门限值判定管理平面或数据平面出现异常的机制,只要数据平面触发更新SAK的门限值,大于控制平面正常更新SAK时所采用的门限值,就应视为本文定义的内容;
作为进一步地改进,本发明所述的步骤3)包括以下步骤:
4.1)数据平面一旦检测到发送的MACSec报文序列号大于设定的门限值0xF1000000,则在另外一条加密通道SC Channel发起更新Tx SAK;
4.2)所述另外一条加密通道SC Channel发起更新Tx SAK是指,在该通道成功更新TX SAK之后,将当前工作通道切换过去;
4.3)所述的Tx SAK设置完成之后,加密业务在该通道上开始正常发送报文,并且发送的报文序列号将从SN=0开始增长;
4.4)所述的发送的MACSec报文序列号大于设定的门限值0xF1000000,并不限于特定的值,而是依据门限值判定管理平面或数据平面出现异常的机制,只要发送侧门限值大于接收侧门限值,以确保接收侧比发送侧更早地准备好SAK,就应视为本文定义的内容。
作为进一步地改进,本发明所述的步骤4)包括以下步骤:
5.1)控制平面从数据平面获取本端当前工作的加密通道,和对端当前工作的加密通道;
5.2)根据所述的当前工作通道和对端工作通道信息,控制平面按正常流程在非工作通道上发起SAK更新,恢复后续正常的SAK刷新机制。
本发明的有益效果如下:
1、根据步骤2.1)和2.2)所述方法,本发明可以检测发现MACSec控制平面MKA协议出现异常。
2、根据步骤2.1)和2.2)所述方法,本发明可以检测发现MACSec控制平面MCP通信故障或者板卡故障。
3、根据步骤3.1)到3.4)和4.1)到4.4)所述方法,本发明解决了MACSec控制平面更新SAK密钥,只更新到部分接口,其它接口没有及时更新时,数据平面加密业务会中断的问题。
4、根据步骤3.1)到3.4)和4.1)到4.4)所述方法,本发明在发现控制平面更新SAK操作异常之后,数据平面主动接管SAK更新操作,避免了SAK无法更新导致的加密业务中断问题。
5、根据步骤5.1)和5.2)所述的方法,本发明实现了控制平面更新密钥,和数据平面更新密钥的组合操作,实现了两个平面间密钥更新的平滑切换。
6、根据上面所述MACSec加密业务在数据平面主动更新密钥的完整方法,本发明解决了有高可靠性加密数据传输要求的应用,数据传输不能因为控制平面故障而中断的需求。
7、对于特殊的具有高可靠性要求的应用场合,本发明具有重要的意义。
附图说明
图1是MACSec工作机制流程框图;
图2是MKA协议协商机制流程框图;
图3是数据平面更新SAK机制流程框图。
具体实施方式
本发明涉及一种MACSec(MAC Secruity)加密业务,在控制平面或管理平面出现异常时,在数据平面主动更新密钥保证可靠传输的方法,在该方法中,引入一种MACSec数据平面主动更新SAK的处理技术,使得即使MACSec控制平面或管理平面出现异常,也能保证MACSec业务平面正常运行,不会出现业务中断。具体主要包括以下步骤:
1)、检测发现MACSec控制平面或管理平面异常,没有正常更新SAK密钥;
2)、检测发现接收到的MACSec报文序列号大于设定的门限值时,数据平面主动在另外一条加密通道SC Channel发起更新Rx SAK;
3)、检测发现本端发送的MACSec报文序列号大于设定的门限值时,数据平面主动在另外一条加密通道SC Channel发起更新Tx SAK;
4)、在控制平面恢复正常之后,依据MACSec实体当前的工作通道信息恢复正常的SAK刷新机制。
检测发现MACSec控制平面或管理平面异常,没有正常更新SAK密钥的方法为:
1.1)MACSec控制平面正常情形下会周期性更新SAK,一旦SAK更新,报文将恢复到SN=0开始增长。
1.2)MACSec更新SAK的另一个机制是,一旦发现报文SN>=0xE0000000时,将发起SAK更新操作,以避免SN翻转之后导致业务中断。
1.3)上述两个机制保证了加密报文,不管是发送SN还是接收SN,在正常情况下都不可能出现SN>=0xF0000000的情形。
1.4)MACSec数据平面一旦检测到SN>=0xF0000000,则可以断定控制平面出现了异常,发起接管SAK更新的操作。
在另外一条加密通道SC Channel发起更新Rx SAK的方法包括:
2.1)数据平面一旦检测到接收的MACSec报文序列号大于设定的门限值,则在另外一条加密通道SC Channel发起更新Rx SAK。按上述逻辑,门限值定义为rx_threshold=0xF0000000。
2.2)发起更新Rx SAK的逻辑,将保留当前工作SC Channel上的Rx SAK,删除之前使用的SC Channel上的Rx SAK并设置新的Rx SAK;一旦新的SAK设置完成,该通道上就准备好接收,并且接收到的报文序列号将从SN=0开始。
2.3)因为MACSec业务的对端是在当前工作SC Channel上发送报文,而本端接收侧更新的是另外一条SC Channel的密钥,所以该操作不会影响当前工作通道的业务。
2.4)因为本端接收侧已经在另外一条通道上更新完成密钥Rx SAK并准备好接收,所以一旦对端发送报文切换到对应的通道上,本端就能够正常接收报文了。
在另外一条加密通道SC Channel发起更新Tx SAK的方法包括:
3.1)数据平面一旦检测到发送的MACSec报文序列号大于设定的门限值,则在另外一条加密通道SC Channel发起更新Tx SAK。所述门限值定义为tx_threshold=0xF1000000。
3.2)发起更新Tx SAK,直接将发送侧的工作通道切换到另外一条SC channel上,并且发送报文序列号将从SN=0开始增长。
3.3)因为对端接收侧的密钥已经提前在SC channel上更新并准备好,所以一旦本端发送侧切换到相同的工作通道上,加密业务就开始正常运行。
控制平面恢复正常之后,依赖当前工作通道信息恢复正常的SAK刷新机制的方法包括:
4.1)控制平面从数据平面获取本端当前工作的加密通道local_tx_sc_channel,和对端当前工作的加密通道remote_tx_sc_channel。
4.2)控制平面按正常流程在非工作通道上发起SAK更新,接管后续正常的控制操作。
发送侧tx_threshold=0xF1000000,接收侧rx_threshold=0xF0000000的定义方法包括:
5.1)接收侧门限比发送侧门限小,接收侧可以更早地发起SAK更新。
5.2)确保接收侧的Rx SAK可以先准备好。
5.3)确保发送侧的Tx SAK更新时,对端Rx SAK已经准备好,这样Tx SAK更新之后加密业务就能够正常工作。
下面结合附图通过具体实施例对本发明的技术方案进行进一步详细说明:
首先对说明书中的英文缩写进行列表说明:
现有MACSec功能实现,图1是MACSec工作机制流程框图;
1、在需要进行MACSec通信的接口之间,通过管理系统配置相同的CAK和CKN。
2、一旦MKA协议模块发现网络内有接口配置了相同的CAK和CKN,表示它们之间希望进行MACSec业务通信,就开始在这两个接口之间发起MKA会话协商。
3、MKA协议利用CAK,增强随机数和密钥算法生成密钥SAK;
4、MACSec实体安装密钥SAK之后,通信的接口之间具有相同的SAK,采用相同的加密、解密算法,实现数据的加密传输。
密钥的协商与分发过程,图2是MKA协议协商机制流程框图;
1、通信的两个设备接口之间,密钥SAK需要周期性地刷新。
2、MKA协议依次在两个通道SC0,SC1上协商,更新密钥SAK。
3、服务器端利用CAK,增强随机数和密钥算法生成密钥SAK,通知MACSec实体安装Rx SAK之后,将Rx SAK发送给客户端。
4、客户端通知MACSec实体安装Rx SAK之后,回送Rx SAK安装完成消息给服务器端。
5、服务器端收到消息之后,通知MACSec实体安装Tx SAK。然后将TxSAK发送给客户端。
6、客户端通知MACSec实体安装Tx SAK之后,完成密钥分发过程。
7、在两侧MACSec接口都安装完成SAK之后,MACSec实体采用新的密钥SAK加密和解密业务数据。
8、上述过程必须在两个SC通道上轮流进行。即每次更新SAK,都需要在非当前工作通道上进行。
9、除了SAK周期性刷新之外,还必须支持业务报文序列号SN达到门限之后的密钥SAK刷新,SN过门限的刷新机制和上述过程是一样的。
本发明在MACSec控制平面或管理平面出现异常的情形下,提供一种MACSec加密业务在数据平面主动更新密钥SAK保证可靠传输的方法。图3是数据平面更新SAK机制流程框图:
1、当MACSec控制平面或管理平面出现异常时,MKA协议将不会发起SAK更新操作。
2、当MKA协议不发起SAK更新操作时,序列号SN将不会清零而持续增长。
3、从MACSec业务接收侧来看,所述序列号SN持续增长,将会超过预设的门限值,如图中的0xF0000000。出现这种情形表明接收侧MACSec控制面或管理面出现了某种异常。
4、一旦MACSec业务接受侧SN超过0xF0000000,则数据平面MACSec实体接管SAK更新操作,直接设置预定义的Rx SAK到另外一条SC通道上。
5、所述另外一条SC通道Rx SAK设置成功之后,已经准备好接收对端发送的加密数据。
6、从MACSec业务发送侧来看,序列号SN同样会持续增长,并将会超过预设的门限值,如图中的0xF1000000。出现这种情形表明发送侧MACSec控制面或管理面出现了某种异常。
7、一旦MACSec发送侧SN超过0xF1000000,则数据平面MACSec实体直接接管SAK更新操作,设置预定义的Tx SAK到另外一条SC通道。
8、所述另外一条SC通道Tx SAK设置成功之后,MACSec实体就可以切换到改通道用新的SAK发送加密数据。
9、在之后的运行过程中,只要控制平面没有恢复正常,数据平面将维持运行上述所述逻辑,一旦发现SN超过门限就将更新SAK操作。
10、当MACSec控制平面恢复正常之后,将从数据平面获取当前工作的SC Channel通道,然后在另外一条通道上发起正常的SAK更新操作。此后控制平面将重新接管MACSec运行过程。
11、本发明并不针对管理平面或控制平面某种特定的异常,本发明保护的重点是控制平面或管理平面出现任何异常时,MACSec数据平面检测发现报文序列号SN超过门限而发现异常的机制,以及数据平面主动更新SAK密钥的机制。
12、本发明所述的接收侧门限值0xF000000,发送测门限值0xF1000000,并不限于特定的值,而是依据门限值判定管理平面或数据平面出现异常的机制。只要数据平面触发更新SAK的门限值,大于控制平面触发更新SAK的门限值,就应视为本文定义的内容。
13、本发明所述的接收侧门限值0xF000000,发送测门限值0xF1000000,并不限于特定的值,只要发送侧门限值大于接收侧门限值,以确保接收侧比发送侧更早地准备好SAK,就应视为本发明定义的内容。
以上所述的仅是本发明的优选实施方式,应当指出,对于本技术领域中的普通技术人员来说,在不脱离本发明核心技术特征的前提下,还可以做出若干改进和润饰,这些改进和润饰也应视为本发明的保护范围。
Claims (5)
1.一种MACSec加密业务在数据平面主动更新密钥SAK保证可靠传输的方法,其特征在于,主要包括以下步骤:
1)检测发现MACSec控制平面或管理平面异常,没有正常更新SAK密钥;
2)检测发现接收到的MACSec报文序列号大于设定的门限值时,数据平面主动在另外一条加密通道SC Channel发起更新Rx SAK;
3)检测发现本端发送的MACSec报文序列号大于设定的门限值时,数据平面主动在另外一条加密通道SC Channel发起更新Tx SAK;
4)在控制平面恢复正常之后,依据MACSec实体当前的工作通道信息恢复正常的SAK刷新机制;
所述的步骤2)包括以下步骤:
3.1)数据平面一旦检测到接收的MACSec报文序列号大于设定的门限值0xF0000000,则在另外一条加密通道SC Channel上发起更新Rx SAK;
3.2)所述在另外一条加密通道SC Channel上发起更新Rx SAK是指,保留当前工作SCChannel上的Rx SAK,删除另一条加密通道SC Channel上的RxSAK并设置新的Rx SAK;
3.3)所述新的Rx SAK设置完成之后,该通道上就准备好接收,并且接收到的报文序列号将从SN=0开始。
2.根据权利要求1所述的MACSec加密业务在数据平面主动更新密钥SAK保证可靠传输的方法,其特征在于,所述的步骤1)中,检测发现MACSec控制平面或管理平面异常包括如下步骤:
1.1)包括因管理平面原因导致的生成SAK密钥异常的情形;
1.2)包括因控制平面原因导致的生成SAK密钥异常的情形。
3.根据权利要求1所述的MACSec加密业务在数据平面主动更新密钥SAK保证可靠传输的方法,其特征在于,所述的步骤1)中,检测MACSec控制平面或管理平面异常,没有正常更新SAK密钥的方法包括:
2.2)MACSec控制平面正常情形下会周期性地更新SAK,不管是发送报文序列号SN还是接收报文序列号SN,不可能出现大于0xF0000000的情形;
2.3)MACSec数据平面一旦检测到序列号SN大于0xF0000000,则可以断定控制平面出现了异常,数据平面将发起接管SAK更新的操作。
4.根据权利要求1所述的MACSec加密业务在数据平面主动更新密钥SAK保证可靠传输的方法,其特征在于,所述的步骤3)包括以下步骤:
4.1)数据平面一旦检测到发送的MACSec报文序列号大于设定的门限值0xF1000000,则在另外一条加密通道SC Channel发起更新Tx SAK;
4.2)所述另外一条加密通道SC Channel发起更新Tx SAK是指,在该通道成功更新TxSAK之后,将当前工作通道切换过去;
4.3)所述的Tx SAK设置完成之后,加密业务在该通道上开始正常发送报文,并且发送的报文序列号将从SN=0开始增长。
5.根据权利要求1所述的MACSec加密业务在数据平面主动更新密钥SAK保证可靠传输的方法,其特征在于,所述的步骤4)包括以下步骤:
5.1)控制平面从数据平面获取本端当前工作的加密通道,和对端当前工作的加密通道;
5.2)根据获取到的当前工作通道,控制平面按正常流程在非工作通道上发起SAK更新,接管后续正常的控制操作;
5.3)所述控制平面按正常流程在非工作通道上发起SAK更新是指,两条SC Channel交替使用,更新SAK应在非当前工作通道上进行。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201911261544.2A CN111049648B (zh) | 2019-12-10 | 2019-12-10 | 一种MACSec加密业务数据平面主动更新密钥保证可靠传输的方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201911261544.2A CN111049648B (zh) | 2019-12-10 | 2019-12-10 | 一种MACSec加密业务数据平面主动更新密钥保证可靠传输的方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN111049648A CN111049648A (zh) | 2020-04-21 |
| CN111049648B true CN111049648B (zh) | 2022-08-12 |
Family
ID=70235476
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201911261544.2A Active CN111049648B (zh) | 2019-12-10 | 2019-12-10 | 一种MACSec加密业务数据平面主动更新密钥保证可靠传输的方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN111049648B (zh) |
Families Citing this family (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113630242A (zh) * | 2020-05-06 | 2021-11-09 | 瞻博网络公司 | 使用数据平面反馈促进无损安全密钥翻转 |
| US11368294B2 (en) | 2020-05-06 | 2022-06-21 | Juniper Networks, Inc. | Facilitating hitless security key rollover using data plane feedback |
| US20230361992A1 (en) * | 2022-05-09 | 2023-11-09 | Juniper Networks, Inc. | Deleting stale or unused keys to guarantee zero packet loss |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101141241A (zh) * | 2006-09-06 | 2008-03-12 | 华为技术有限公司 | 实现mac安全的方法以及网络设备 |
| JP2014131264A (ja) * | 2012-11-30 | 2014-07-10 | Sumitomo Electric Ind Ltd | 切替検出装置、宅側装置、光回線の暗号デバイス、局側装置、光通信システム、切替検出方法、およびプログラム |
| CN107769914A (zh) * | 2016-08-17 | 2018-03-06 | 华为技术有限公司 | 保护数据传输安全的方法和网络设备 |
| WO2018057321A2 (en) * | 2016-09-23 | 2018-03-29 | Kwourz Research Llc | Secure communication of network traffic |
| CN110061878A (zh) * | 2019-04-24 | 2019-07-26 | 新华三技术有限公司 | 一种通道故障处理方法及装置 |
-
2019
- 2019-12-10 CN CN201911261544.2A patent/CN111049648B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101141241A (zh) * | 2006-09-06 | 2008-03-12 | 华为技术有限公司 | 实现mac安全的方法以及网络设备 |
| JP2014131264A (ja) * | 2012-11-30 | 2014-07-10 | Sumitomo Electric Ind Ltd | 切替検出装置、宅側装置、光回線の暗号デバイス、局側装置、光通信システム、切替検出方法、およびプログラム |
| CN107769914A (zh) * | 2016-08-17 | 2018-03-06 | 华为技术有限公司 | 保护数据传输安全的方法和网络设备 |
| WO2018057321A2 (en) * | 2016-09-23 | 2018-03-29 | Kwourz Research Llc | Secure communication of network traffic |
| CN110061878A (zh) * | 2019-04-24 | 2019-07-26 | 新华三技术有限公司 | 一种通道故障处理方法及装置 |
Non-Patent Citations (3)
| Title |
|---|
| IEEE802.1ae安全协议引擎的设计研究;叶院红;《中国优秀硕士学位论文全文数据库 信息技术辑》;20060930(第9期);第2章 * |
| MAC Security Protocol;IEEE International standard;《IEEE 8802-1AE》;20150501;第8-9节 * |
| MACsec Block operation;Microsemi;《VSC8562-11 Datasheet》;20190603;第3.6节 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN111049648A (zh) | 2020-04-21 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN111049648B (zh) | 一种MACSec加密业务数据平面主动更新密钥保证可靠传输的方法 | |
| US9438566B2 (en) | Method and system for negotiation based on IKE messages | |
| US8732462B2 (en) | Methods and apparatus for secure data sharing | |
| US8656481B2 (en) | System and method for IPSec link configuration | |
| US7120792B1 (en) | System and method for secure communication of routing messages | |
| US8370630B2 (en) | Client device, mail system, program, and recording medium | |
| CN111787025B (zh) | 加解密处理方法、装置、系统以及数据保护网关 | |
| CN107277058B (zh) | 一种基于bfd协议的接口认证方法及系统 | |
| WO2022179304A1 (zh) | 一种用于dc互联的安全通信方法、装置及系统 | |
| CN112270020B (zh) | 一种基于安全芯片的终端设备安全加密装置 | |
| CN113726795B (zh) | 报文转发方法、装置、电子设备及可读存储介质 | |
| US20230388353A1 (en) | Methods and apparatus for lawful interception of communications | |
| CN114938312B (zh) | 一种数据传输方法和装置 | |
| CN114375036A (zh) | 用于5g网络的数据同步的方法及装置、udm设备、存储介质 | |
| CN116389105A (zh) | 一种远程接入管理平台及管理方法 | |
| US10630479B2 (en) | Network communication method having function of recovering terminal session | |
| CN113992427B (zh) | 基于相邻节点的数据加密发送方法及装置 | |
| CN1791098B (zh) | 一种实现安全联盟同步的方法 | |
| CN110943996B (zh) | 一种业务加解密的管理方法、装置及系统 | |
| CN113472634A (zh) | 即时通讯方法、装置及系统、存储介质、电子装置 | |
| CN113765900B (zh) | 协议交互信息输出传输方法、适配器装置及存储介质 | |
| JP2004328563A (ja) | 暗号通信装置および暗号通信システム | |
| CN104618211A (zh) | 一种基于隧道的报文处理方法和总部网关设备 | |
| CN110855628A (zh) | 一种数据传输方法及系统 | |
| CN111212018A (zh) | 基于链路选择和破碎重组的多链路传输方法及系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |