CN113630242A - 使用数据平面反馈促进无损安全密钥翻转 - Google Patents
使用数据平面反馈促进无损安全密钥翻转 Download PDFInfo
- Publication number
- CN113630242A CN113630242A CN202010803683.XA CN202010803683A CN113630242A CN 113630242 A CN113630242 A CN 113630242A CN 202010803683 A CN202010803683 A CN 202010803683A CN 113630242 A CN113630242 A CN 113630242A
- Authority
- CN
- China
- Prior art keywords
- key
- network device
- receiving
- notification
- protocol
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 claims description 83
- 238000012790 confirmation Methods 0.000 claims description 45
- 230000005540 biological transmission Effects 0.000 claims description 44
- 230000015654 memory Effects 0.000 claims description 30
- 238000009434 installation Methods 0.000 description 33
- 238000004891 communication Methods 0.000 description 17
- 238000012545 processing Methods 0.000 description 14
- 238000010586 diagram Methods 0.000 description 11
- 230000006870 function Effects 0.000 description 6
- 230000003287 optical effect Effects 0.000 description 4
- 230000001413 cellular effect Effects 0.000 description 2
- 238000005538 encapsulation Methods 0.000 description 2
- 230000003068 static effect Effects 0.000 description 2
- 230000006399 behavior Effects 0.000 description 1
- 230000001934 delay Effects 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 239000000835 fiber Substances 0.000 description 1
- 230000007774 longterm Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000004044 response Effects 0.000 description 1
- 239000004984 smart glass Substances 0.000 description 1
- 239000007787 solid Substances 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
- H04L63/062—Network architectures or network communication protocols for network security for supporting key management in a packet data network for key distribution, e.g. centrally by trusted party
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0838—Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these
- H04L9/0847—Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these involving identity based encryption [IBE] schemes
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0838—Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
- H04L63/068—Network architectures or network communication protocols for network security for supporting key management in a packet data network using time-dependent keys, e.g. periodically changing keys
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/162—Implementing security features at a particular protocol layer at the data link layer
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0819—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
- H04L9/0827—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) involving distinctive intermediate devices or communication paths
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0894—Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage
- H04L9/0897—Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage involving additional devices, e.g. trusted platform module [TPM], smartcard or USB
Abstract
第一网络设备可以将用于对业务进行解密的接收密钥安装在与第一网络设备的数据平面相关联的协议硬件上。第一网络设备可以从数据平面接收指示接收密钥被安装在协议硬件上的第一通知,并且可以向第二网络设备提供标识接收密钥的第一消息。第一网络设备可以从第二网络设备接收指示接收密钥被安装在第二网络设备上的确认消息,并且可以将用于对业务进行加密的传输密钥安装在协议硬件上。第一网络设备可以从数据平面接收指示传输密钥被安装在协议硬件上的第二通知,并且可以向第二网络设备提供标识传输密钥的第二消息。
Description
相关申请的交叉引用
本申请对提交于2020年5月6日,标题为“FACILITATING HITLESS SECURITY KEYROLLOVER”的印度临时申请No.202041019240享有优先权。该申请的全部内容通过引用被明显地包含在本文中。
背景技术
媒体访问控制安全(MACsec)是电气和电子工程师协会(IEEE)802.1AE定义的一种安全标准,它规定了媒体访问独立协议的无连接数据的保密性和完整性。MACsec标准规范了一组协议,以满足保护通过以太网局域网(LANs)的数据的安全要求。MACsec定义了安全基础架构,以提供数据保密性、数据完整性和数据来源认证。
发明内容
根据一些实现,一种方法可以包括:由第一网络设备接收加密数据,该加密数据标识用于对业务进行解密的接收密钥,以及用于对业务进行加密的传输密钥;由第一网络设备将接收密钥安装在与第一网络设备的数据平面相关联的协议硬件上;从第一网络设备的数据平面上接收第一通知,该第一通知指示接收密钥被安装在协议硬件上;由第一网络设备向第二网络设备提供标识接收密钥的第一密钥协定控制消息,其中第一密钥协定控制消息基于接收到第一通知而被提供;由第一网络设备从第二网络设备接收确认消息,该确认消息指示接收密钥被安装在第二网络设备上;由第一网络设备基于接收到确认消息,将传输密钥安装在协议硬件上;从第一网络设备的数据平面上接收第二通知,该第二通知指示传输密钥被安装在协议硬件上;以及由第一网络设备向第二网络设备提供标识传输密钥的第二密钥协定控制消息,其中第二密钥协定控制消息基于接收第二通知而被提供。
根据一些实现,一种第一网络设备可以包括一个或多个存储器;以及一个或多个处理器用于:接收加密数据,该加密数据标识:用于对业务进行解密的第一密钥;以及用于对业务进行加密的第二密钥;将第一密钥安装在与第一网络设备的数据平面相关联的协议硬件上;从数据平面接收第一通知,该第一通知指示第一密钥被安装在协议硬件上;向第二网络设备提供标识第一密钥的第一密钥协定控制消息,其中第一密钥协定控制消息基于接收到第一通知而被提供;从第二网络设备接收第一确认消息,该第一确认消息指示第一密钥被安装在第二网络设备上;基于接收到第一确认消息将第二密钥安装在协议硬件上;从数据平面接收第二通知,该第二通知指示第二密钥被安装在协议硬件上;向第二网络设备提供标识第二密钥的第二密钥协定控制消息,其中第二密钥协定控制消息基于接收到第二通知而被提供;以及从第二网络设备接收第二确认消息,该第二确认消息指示第二密钥被安装在第二网络设备上。
根据一些实现,一种非暂态计算机可读介质,其可以存储一条或多条指令。当该一条或多条指令由第一网络设备的一个或多个处理器执行时,使一个或多个处理器:接收加密数据,该加密数据标识用于对业务进行解密的接收密钥和用于对业务进行加密的传输密钥;将接收密钥安装在与第一网络设备的数据平面相关联的协议硬件上;从数据平面接收第一通知,该第一通知指示接收密钥被安装在协议硬件上;向第二网络设备提供标识接收密钥的第一密钥协定控制消息,其中第一密钥协定控制消息基于接收到第一通知而被提供;从第二网络设备接收第一确认消息,该第一确认消息指示接收密钥被安装在第二网络设备上;基于接收到第一确认消息将传输密钥安装在协议硬件上;从数据平面接收第二通知,该第二通知指示传输密钥被安装在协议硬件上;向第二网络设备提供标识传输密钥的第二密钥协定控制消息,其中第二密钥协定控制消息基于接收到第二通知而被提供;从第二网络设备接收第二确认消息,该第二确认消息指示传输密钥被安装在第二网络设备上。基于接收到第一确认消息,使用传输密钥对业务进行加密并生成经加密业务;以及向第二网络设备提供经加密业务,以使第二网络设备使用接收密钥对经加密业务进行解密。
附图说明
图1A到图1J是本文所述的示例实现的示意图。
图2是可实现本文所述的系统和/或方法的示例环境的示意图。
图3到图4是图2的一个或多个设备的示例组件的示意图。
图5到图7是关于促进无损安全密钥翻转的示例流程的流程图。
具体实施方式
下面是参考附图对示例实现进行的详细描述。不同图中相同的附图标记可以标识相同或相似的元素。
各种安全协议,例如媒体访问控制安全(MACsec)协议、互联网协议安全(IPsec)协议和/或类似协议,用于网络设备之间的安全通信。在一个示例中,在使用MACsec协议期间,在通信网络设备之间创建和维护安全密钥(例如,包括传输密钥、接收密钥和/或类似物),以用于对业务(例如,经由MACsec通信链路在网络设备之间传送的网络业务)进行加密和解密。例如,传送网络设备可以使用传输密钥来加密并向接收网络设备发送业务,该接收网络设备使用接收密钥来对业务进行解密。安全密钥需要不时地改变,以确保通信网络设备之间的MACsec通信链路保持安全。这可以被称为密钥翻转(例如,当网络设备安装和/或使用新的安全密钥时)。
为了促进密钥翻转,密钥服务器网络设备在密钥服务器网络设备上启动(例如,使用密钥服务器网络设备的控制平面中的协议守护进程)新接收密钥的安装(例如,在密钥服务器网络设备的数据平面中)并将接收密钥发送到对等网络设备,该对等网络设备启动(例如,使用对等网络设备的控制平面中的协议守护进程)在对等网络设备上(例如,在对等网络设备的数据平面中)安装新接收密钥。然后,对等网络设备向密钥服务器网络设备发送(例如,使用对等网络设备的协议守护进程)第一确认,第一确认指示对等网络设备已经启动了接收密钥的安装。密钥服务器网络设备基于接收到第一确认,启动(例如,使用密钥服务器网络设备的协议守护进程)在密钥服务器网络设备上(例如,在密钥服务器网络设备的数据平面中)安装新的传输密钥。相应地,密钥服务器网络设备在密钥服务器网络设备上安装新的传输密钥后,使用新的传输密钥对业务进行加密,并将业务发送给对等网络设备以使用新接收密钥进行解密。此外,密钥服务器网络设备将传输密钥发送到对等网络设备,对等网络设备启动(例如,使用对等网络设备的协议守护进程)在对等网络设备上安装新的传输密钥(例如,在对等网络设备的数据平面中)。然后,对等网络设备向密钥服务器网络设备发送(例如,使用对等网络设备的协议守护进程)第二确认,该第二确认指示对等网络设备已经启动新传输密钥的安装。
然而,上述方案依赖于在新安全密钥的安装已经启动时(而不是在新安全密钥的安装被完成时)发送消息。因此,当密钥服务器网络设备开始向对等网络设备传输已经使用新传输密钥经加密的业务(并且该业务只能使用新接收密钥进行解密)时,对等网络设备可能还没有完成新接收密钥的安装。这可能是因为对等网络设备遇到了与涉及对等网络设备的数据平面的其他活动相关联的处理或调度延迟,因此尚未发生接收密钥的安装。因此,对等网络设备可能会接收到对等网络设备无法解密的业务(例如,因为对等网络设备尚未完成安装新接收密钥),从而导致业务丢失。此外,由于业务丢失,密钥服务器网络设备、对等网络设备和/或类似的设备可能会消耗计算资源(例如,处理资源、存储器资源、功率资源和/或类似的资源)来将业务从密钥服务器网络设备重新传送到对等网络设备(例如,在对等网络设备已经完成安装接收密钥之后)。
本文描述的一些实现提供了密钥服务器网络设备和对等网络设备,其在新安全密钥的安装完成时发送消息。在一些实现中,密钥服务器网络设备的控制平面的协议守护进程可以与密钥服务器网络设备的数据平面的数据平面守护进程通信,以在密钥服务器网络设备的数据平面上安装接收密钥。在完成接收密钥的安装后,数据平面守护进程可以通知协议守护进程该接收密钥被安装,从而允许协议守护进程向对等网络设备发送包括接收密钥的第一密钥协定控制消息。对等网络设备的控制平面的协议守护进程可以基于第一密钥协定控制消息与对等网络设备的数据平面的数据平面守护进程进行通信,以在对等网络设备的数据平面上安装接收密钥。在接收密钥安装完成后,数据平面守护进程可以通知协议守护进程,接收密钥被安装,从而允许协议守护进程向密钥服务器网络设备发送指示接收密钥已经安装在对等网络设备上的第一确认消息。
在一些实现中,密钥服务器网络设备的协议守护进程可以基于接收到第一确认消息,与密钥服务器网络设备的数据平面守护进程进行通信,以在密钥服务器网络设备的数据平面上安装传输密钥。在传输密钥安装完成后,数据平面守护进程可以通知协议守护进程传输密钥被安装。相应地,密钥服务器网络设备可以使用传输密钥并基于接收第一确认消息对从始发端点设备接收的业务进行加密,并且可以将经加密业务提供给对等网络设备。对等网络设备可以使用接收密钥对经加密业务进行解密,并且可以将业务发送到目的地端点设备。
附加地或备选地,在传输密钥的安装完成且协议守护进程已经被通知传输密钥被安装后,协议守护进程可以向对等网络设备发送包括传输密钥的第二密钥协定控制消息。对等网络设备的协议守护进程可以基于第二密钥协定控制消息,与对等网络设备的数据平面守护进程进行通信,以在对等网络设备的数据平面上安装传输密钥。在传输密钥的安装完成后,数据平面守护进程可以通知协议守护进程传输密钥被安装,这允许协议守护进程可以向密钥服务器网络设备发送,指示传输密钥被安装在对等网络设备上的第二确认消息。
以这种方式,密钥服务器网络设备和/或对等网络设备可以促进安全密钥无损翻转(例如,消除业务丢失的安全密钥翻转,这也被称为零丢包)。这可以消除消耗计算资源(例如,处理资源、存储器资源、功率资源和/或类似的资源)以将业务从密钥服务器网络设备重新传送到对等网络设备的需要。此外,本文描述的一些实现提供了密钥翻转,该密钥翻转不用重置与密钥服务器网络设备和/或对等网络设备相关联的对等会话(例如,MACsec会话、IPsec会话和/或类似物);不中断与密钥服务器网络设备和/或对等网络设备相关联的安全协议(例如,MACsec协议、IPsec协议和/或类似物);和/或类似物。此外,本文所述的一些实现增加了密钥服务器网络设备和/或对等网络设备的整体可预测性和/或稳定性,这可以改善密钥服务器网络设备和/或对等网络设备的性能。
图1A至图1J是与促进无损安全密钥翻转相关联的一个或多个示例100的示意图。如图1A到图1J所示,(一个或多个)示例100包括多个端点设备和多个网络设备。如图1A所示,多个网络设备可以被包括在网络中,以及可以包括密钥服务器网络设备和一个或多个对等网络设备。该多个端点设备可以经由包括多个网络设备的网络相互通信。
如图1B到图1I所示,每个网络设备可以与控制平面(也被称为协议层)和数据平面相关联。网络设备的控制平面可以包括协议守护进程(例如,进程或程序),该协议守护进程在网络设备的控制平面的后台运行,以控制在网络设备上安装一个或多个安全密钥和/或与其他网络设备通信以交换一个或多个安全密钥。网络设备的数据平面可以包括数据平面守护进程和协议硬件(例如,用于接收业务、转发业务、加密业务、解密业务和/或类似的硬件)。数据平面守护进程(例如,进程或程序)可以在网络设备的数据平面的后台运行,以从控制平面的协议守护进程获取一个或多个安全密钥,并将一个或多个安全密钥安装在协议硬件上(例如,允许网络设备基于一个或多个安全密钥对业务进行加密和/或解密)。网络设备、协议守护进程、数据平面守护进程、协议硬件和/或类似物可以与安全协议相关联,例如媒体访问控制安全(MACsec)协议、互联网协议安全(IPsec)协议和/或类似物。
如图1B所示,通过附图标记105,密钥服务器网络设备的协议守护进程可以接收加密数据(例如,从多个端点设备中的端点设备、多个网络设备的另一个网络设备和/或类似的设备)。加密数据可以标识一个或多个安全密钥(例如,一个或多个MACsec密钥、一个或多个IPsec密钥,和/或类似物)。在一些实现中,加密数据可以标识用于对业务进行解密的接收密钥和/或用于对业务进行加密的传输密钥。
在一些实现中,协议守护进程可以在接收到先前加密数据(例如,包括一个或多个先前安全密钥,例如先前接收密钥、先前传输密钥和/或类似物)之后的作为特定时间量的一些时间处接收加密数据。例如,密钥服务器的协议守护进程可以在接收先前加密数据后10秒、30秒、1分钟、10分钟和/或类似的时间内接收加密数据。备选地或者附加地,协议守护进程可以在使用一个或多个先前安全密钥处理特定数量的数据包之后(例如,在使用一个或多个先前安全密钥对特定数量的数据包进行加密和/或解密之后)接收加密数据。例如,协议守护进程可以在使用一个或多个先前安全密钥处理了1,000个数据包、10,000个数据包、25,000个数据包和/或类似的数据包之后接收加密数据。
在一些实现中,协议守护进程可以与密钥服务器网络设备的数据平面守护进程通信,以使接收密钥安装在密钥服务器网络设备的数据平面上。例如,协议守护进程可以向数据平面守护进程发送安装接收密钥的请求。如附图标记110所示,数据平面守护进程可以在密钥服务器网络设备的协议硬件上安装(或使其安装)接收密钥(例如,基于来自协议守护进程的请求)。例如,数据平面守护进程可以将接收密钥编程到协议硬件中。
如图1C所示,数据平面守护进程可以确定接收密钥在协议硬件上的安装完成。例如,协议硬件可以在协议硬件上的接收密钥安装完成后,向数据平面守护进程发送指示协议硬件上的接收密钥安装完成的消息。
如附图标记115所示,数据平面守护进程可以向协议守护进程发送指示接收密钥安装在协议硬件上的通知(例如,基于确定接收密钥在协议硬件上的安装完成)。如附图标记120所示,协议守护进程可以向对等网络设备提供(例如,发送、传送、转发和/或类似的方式)第一密钥协定控制消息(例如,基于接收指示接收密钥被安装在协议硬件上的通知)。第一密钥协定控制消息可以标识接收密钥(例如,允许接收密钥被安装在对等网络设备上)。
如图1D所示,并通过附图标记125,对等网络设备的协议守护进程可以接收第一密钥协定控制消息(例如,密钥服务器网络设备的协议守护进程向对等网络设备发送的)。在一些实现中,协议守护进程可以与对等网络设备的数据平面守护进程通信,以使接收密钥安装在对等网络设备的数据平面上。例如,协议守护进程可以向数据平面守护进程发送安装接收密钥的请求。
如附图标记130所示,数据平面守护进程可以在对等网络设备的协议硬件上安装(或使其安装)接收密钥(例如,基于来自协议守护进程的请求)。例如,数据平面守护进程可以将接收密钥编程到协议硬件中。
如图1E所示,数据平面守护进程可以确定接收密钥在协议硬件上的安装完成。例如,协议硬件可以在协议硬件上的接收密钥的安装完成时,向数据平面守护进程发送指示接收密钥在协议硬件上的安装完成的消息。
如附图标记135所示,数据平面守护进程可以向协议守护进程发送指示接收密钥安装在协议硬件上的通知(例如,基于确定接收密钥在协议硬件上的安装完成)。如附图标记140所示,协议守护进程可以向密钥服务器网络设备提供(例如,发送、传送、转发和/或类似的)第一确认消息(例如,基于接收指示接收密钥被安装在协议硬件上的通知)。第一确认消息可以指示接收密钥被安装在对等网络设备上。
如图1F所示,并通过附图标记145,密钥服务器网络设备的协议守护进程可以接收第一确认消息(例如,对等网络设备的协议守护进程向密钥服务器网络设备发送的)。在一些实现中,协议守护进程可以与密钥服务器网络设备的数据平面守护进程进行通信,以使传输密钥(例如,在由协议守护进程接收的加密数据中被标识的,如本文关于图1B和附图标记105所述)安装在密钥服务器网络设备的数据平面上(例如,基于第一确认消息)。例如,协议守护进程可以向数据平面守护进程发送安装传输密钥的请求。
如附图标记150所示,数据平面守护进程可以在密钥服务器网络设备的协议硬件上安装(或使其安装)传输密钥(例如,基于来自协议守护进程的请求)。例如,数据平面守护进程可以将传输密钥编程到协议硬件中。
如图1G所示,数据平面守护进程可以确定传输密钥在协议硬件上的安装完成。例如,协议硬件可以在协议硬件上的传输密钥的安装完成时,向数据平面守护进程发送指示协议硬件上的传输密钥的安装完成的消息。
如附图标记155所示,数据平面守护进程可以向协议守护进程发送指示传输密钥安装在协议硬件上的通知(例如,基于确定传输密钥在协议硬件上安装完成)。如附图标记160所示,协议守护进程可以向对等网络设备提供(例如,发送、传送、转发和/或类似的)第二密钥协定控制消息(例如,基于接收指示传输密钥被安装在协议硬件上的通知)。第二密钥协定控制消息可以标识传输密钥(例如,允许传输密钥被安装在对等网络设备上)。
如图1H所示,并通过附图标记165,对等网络设备的协议守护进程可以接收第二密钥协定控制消息(例如,密钥服务器网络设备的协议守护进程向对等网络设备发送的)。在一些实现中,协议守护进程可以与对等网络设备的数据平面守护进程通信,以使传输密钥安装在对等网络设备的数据平面上。例如,协议守护进程可以向数据平面守护进程发送安装传输密钥的请求。
如附图标记170所示,数据平面守护进程可以在对等网络设备的协议硬件上安装(或使其安装)传输密钥(例如,基于来自协议守护进程的请求)。例如,数据平面守护进程可以将传输密钥编程到协议硬件中。
如图1I所示,数据平面守护进程可以确定传输密钥在协议硬件上的安装完成。例如,协议硬件可以在协议硬件上的传输密钥安装完成时,向数据平面守护进程发送指示协议硬件上的传输密钥安装完成的消息。
如附图标记175所示,数据平面守护进程可以向协议守护进程发送指示传输密钥已安装在协议硬件上的通知(例如,基于确定传输密钥在协议硬件上的安装完成)。如附图标记180所示,协议守护进程可以向密钥服务器网络设备提供(例如,发送、传送、转发和/或类似的)第二确认消息(例如,基于接收指示传输密钥被安装在协议硬件上的通知)。第二确认消息可以指示传输密钥被安装在对等网络设备上。
如图1J所示,多个端点设备中的第一端点设备(例如,始发端点设备)可以向密钥服务器网络设备发送目的地为第二端点设备(例如,目的地端点设备)的业务。如附图标记185所示,密钥服务器网络设备可以基于接收到第一确认消息(例如,指示接收密钥安装在对等网络设备上)并使用传输密钥,对业务进行加密以生成经加密业务。如附图标记190所示,密钥服务器网络设备可以向对等网络设备提供(例如,发送、路由、转发和/或类似方式)经加密业务。如附图标记195所示,对等网络设备可以使用接收密钥对经加密业务进行解密。在一些实现中,对等网络设备可以将业务(例如,在解密业务之后)发送到第二端点设备。
如上所述,图1A到图1J是作为一个示例提供的。其他示例可能与关于图1A到图1J描述的内容不同。图1A到图1J所示的设备的数量和布置是作为示例提供的。在实践中,与图1A到图1J所示的设备相比,可以有附加的设备、更少的设备、不同的设备或被不同地布置。此外,图1A到图1J所示的两个或多个设备可以在单个设备内实现,或者图1A到图1J所示的单个设备可以实现为多个、分布式设备。附加地或备选地,图1A到图1J所示的一组设备(例如,一个或多个设备)可以执行所述由图1A到图1J所示的另一组设备执行的一个或多个功能。
图2是可在其中实现本文所述系统和/或方法的示例环境200的图。如图2所示,环境200可以包括一个或多个端点设备210、一个或多个网络设备220(显示为网络设备220-1至网络设备220-N,其中N≥1)和网络230。环境200的设备可以通过有线连接、无线连接或有线和无线连接的组合进行互连。
端点设备210包括能够接收、生成、存储、处理和/或提供信息(如本文所述信息)的一个或多个设备。例如,端点设备210可以包括移动电话(例如,智能手机、无线电话和/或类似的设备)、笔记本计算机、平板计算机、台式计算机、手持计算机、游戏设备、可穿戴通信设备(例如,智能手表、智能眼镜、心率监测器、健身追踪器、智能服装、智能珠宝、头戴式显示器和/或类似的设备)、网络设备或类似类型的设备。在一些实现中,端点设备210可以经由网络230从其他端点设备210接收网络业务和/或向其他端点设备210提供网络业务(例如,通过使用网络设备220作为中介路由数据包)。
网络设备220包括能够以本文所述的方式接收、处理、存储、路由和/或提供业务(例如,数据包、其他信息或元数据和/或类似物)的一个或多个设备。例如,网络设备220可以包括路由器,例如标签交换路由器(LSR)、标签边缘路由器(LER)、入口路由器、出口路由器、提供者路由器(例如,提供者边缘路由器、提供者核心路由器和/或类似物)、虚拟路由器和/或类似物。附加地或者备选地,网络设备220可以包括网关、交换机、防火墙、集线器、桥接器、反向代理、服务器(例如,代理服务器、云服务器、数据中心服务器和/或类似的设备)、负载平衡器和/或类似的设备。在一些实现中,网络设备220可以是密钥服务器网络设备、对等网络设备和/或类似的设备。
在一些实现方式中,网络设备220可以是在诸如机箱的壳体内实现的物理设备。在一些实现中,网络设备220可以是由云计算环境或数据中心的一个或多个计算机设备实现的虚拟设备。在一些实现中,网络设备220的组可以是一组数据中心节点,这些节点用于路由通过网络230的业务流。
网络230包括一个或多个有线和/或无线网络。例如,网络230可以包括蜂窝网络(例如,第五代(5G)网络、第四代(4G)网络,例如长期演进(LTE)网络、第三代(3G)网络、码分多址(CDMA)网络、公共陆地移动网络(PLMN)、局域网(LAN)、广域网(WAN)、城域网(MAN)、电话网络(例如,公共交换电话网(PSTN)、专用网络、临时网络、内联网、互联网、基于光纤的网络、云计算网络或类似网络,和/或这些网络或其他类型网络的组合。
图2所示的设备和网络的数量和布置作为一个或多个示例被提供。在实践中,与图2所示的设备和/或网络相比,可以有附加的设备和/或网络、更少的设备和/或网络、不同的设备和/或网络、或不同布置的设备和/或网络。此外,图2所示的两个或多个设备可以在单个设备内实施,或者图2所示的单个设备可以实施为多个、分布式设备。附加地,或者备选地,环境200的一组设备(例如,一个或多个设备)可以执行所述由环境200的另一组设备执行的一个或多个功能。
图3是设备300的示例组件图。设备300可以对应于端点设备210和/或网络设备220。在一些实现中,端点设备210和/或网络设备220可以包括一个或多个设备300和/或设备300的一个或多个组件。如图3所示,设备300可以包括总线310、处理器320、存储器330、存储组件340、输入组件350、输出组件360和通信接口370。
总线310包括允许设备300的组件之间的通信的组件。处理器320以硬件、固件或硬件和软件的组合实现。处理器320是中央处理单元(CPU)、图形处理单元(GPU)、加速处理单元(APU)、微处理器、微控制器、数字信号处理器(DSP)、现场可编程门阵列(FPGA)、专用集成电路(ASIC)或其他类型的处理组件。在一些实现中,处理器320包括一个或多个能够被编程以执行功能的处理器。存储器330包括随机存取存储器(RAM)、只读存储器(ROM)和/或另一种类型的动态或静态存储设备(例如,闪存、磁存储器和/或光存储器),其存储信息和/或指令供处理器320使用。
存储组件340存储与设备300的操作和使用相关的信息和/或软件。例如,存储组件340可以包括硬盘(例如,磁盘、光盘、磁光盘和/或固态盘)、光盘(CD)、数字多功能光盘(DVD)、软盘、磁带盒、磁带和/或另一种类型的非暂态计算机可读介质,以及相应的驱动器。
输入组件350包括允许设备300接收信息的组件,例如经由用户输入(例如,触摸屏显示器、键盘、小键盘、鼠标、按钮、开关和/或麦克风)。附加地或者备选地,输入组件350可以包括用于感测信息的传感器(例如,全球定位系统(GPS)组件、加速度计、陀螺仪和/或致动器)。输出组件360包括从设备300提供输出信息的组件(例如,显示器、扬声器和/或一个或多个LED)。
通信接口370包括类似收发器的组件(例如,收发器和/或单独的接收器和发射器),该组件允许设备300与其他设备通信,例如经由有线连接、无线连接或有线和无线连接的组合。通信接口370可允许设备300从另一设备接收信息和/或向另一设备提供信息。例如,通信接口370可以包括以太网接口、光学接口、同轴接口、红外接口、射频接口、通用串行总线(USB)接口、无线局域网接口、蜂窝网络接口和/或类似的接口。
设备300可以执行本文所述的一个或多个过程。设备300可以基于处理器320执行由诸如存储器330和/或存储组件340等非暂态计算机可读介质存储的软件指令,来执行这些过程。计算机可读介质在本文被定义为非暂态存储器设备。存储器设备包括单个物理存储设备内的存储器空间或分布在多个物理存储设备上的存储器空间。
软件指令可经由通信接口370从另一计算机可读介质或从另一设备读入存储器330和/或存储组件340。当执行时,存储在存储器330和/或存储组件340中的软件指令可使处理器320执行本文所述的一个或多个过程。附加地或备选地,硬连线电路可用于代替软件指令或与软件指令组合以执行本文所述的一个或多个过程。因此,本文所述的实现不限于硬件电路和软件的任何特定组合。
图3所示的组件的数量和布置是作为一个示例提供的。在实践中,与图3所示的组件相比,设备300可以包括附加的组件、较少的组件、不同的组件或不同布置的组件。附加地,或备选地,设备300的一组组件(例如,一个或多个组件)可以执行所述由设备300的另一组组件执行的一个或多个功能。
图4是设备400的示例组件的示意图。设备400可以对应于端点设备210和/或网络设备220。在一些实现中,端点设备210和/或网络设备220可以包括一个或多个设备400和/或设备400的一个或多个组件。如图4所示,设备400可以包括一个或多个输入组件410-1至410-A(A≥1)(以下统称为输入组件410,并单独称为输入组件410)、交换组件420、一个或多个输出组件430-1至430-B(B≥1)(以下统称为输出组件430,并单独称为输出组件430)以及控制器440。
输入组件410可以是物理链路的一个或多个附接点,并且可以是传入业务(例如数据包)的一个或多个进入点。输入组件410可以处理传入业务,例如通过执行数据链路层封装或解封装。在一些实现中,输入组件410可以发送和/或接收数据包。在一些实现中,输入组件410可以包括输入线卡,该线卡包括一个或多个数据包处理组件(例如,以集成电路的形式),例如一个或多个接口卡(IFC)、数据包转发组件、线卡控制器组件、输入端口、处理器、存储器和/或输入队列。在一些实现中,设备400可以包括一个或多个输入组件410。
交换组件420可将输入组件410与输出组件430互相连接。在一些实现中,交换组件420可以经由一个或多个横杆、经由总线和/或经由共享存储器来实现。共享存储器可以作为临时缓冲器,以在数据包最终被安排交付给输出组件430之前存储来自输入组件410的数据包。在一些实现中,交换组件420可以使输入组件410、输出组件430和/或控制器440彼此通信。
输出组件430可以存储数据包,并且可以调度数据包以在输出物理链路上传输。输出组件430可支持数据链路层封装或解封装,和/或各种更高级别的协议。在一些实现中,输出组件430可以传输数据包和/或接收数据包。在一些实现中,输出组件430可以包括输出线卡,该线卡包括一个或多个数据包处理组件(例如,以集成电路的形式),例如一个或多个IFC、数据包转发组件、线卡控制器组件、输出端口、处理器、存储器和/或输出队列。在一些实现中,设备400可以包括一个或多个输出组件430。在一些实现中,输入组件410和输出组件430可以由同一组组件实现(例如,输入/输出组件可以是输入组件410和输出组件430的组合)。
控制器440包括处理器,其形式为,例如CPU、GPU、APU、微处理器、微控制器、DSP、FPGA、ASIC和/或另一类型的处理器。处理器以硬件、固件或硬件和软件的组合来实现。在一些实现中,控制器440可包括一个或多个可被编程以执行功能的处理器。
在一些实现中,控制器440可以包括RAM、ROM和/或另一种类型的动态或静态存储设备(例如,闪存、磁存储器、光存储器等),其存储信息和/或指令供控制器440使用。
在一些实现中,控制器440可以与连接到设备400的其他设备、网络和/或系统通信,以交换关于网络拓扑的信息。控制器440可以基于网络拓扑信息创建路由表,可以基于路由表创建转发表,并且可以将转发表转发给输入组件410和/或输出组件430。输入组件410和/或输出组件430可以使用转发表来执行传入和/或传出数据包的路由查找。
控制器440可以执行本文所述的一个或多个过程。控制器440可以响应于执行由非暂态计算机可读介质存储的软件指令来执行这些过程。计算机可读介质在本文被定义为非暂态存储器设备。存储器设备包括单个物理存储设备内的存储器空间或分布在多个物理存储设备上的存储空间。
软件指令可以从另一个计算机可读介质或经由通信接口从另一个设备读入与控制器440相关联的存储器和/或存储组件。当执行时,存储在与控制器440相关联的存储器和/或存储组件中的软件指令可使控制器440执行本文所述的一个或多个过程。附加地或备选地,硬连线电路可用于代替软件指令或与软件指令组合以执行本文所述的一个或多个过程。因此,本文所述的实现不限于硬件电路和软件的任何特定组合。
图4所示的组件的数量和布置是作为一个示例提供的。在实践中,与图4所示的组件相比,设备400可以包括附加的组件、较少的组件、不同的组件或不同的布置的组件。附加地或备选地,设备400的一组组件(例如,一个或多个组件)可以执行所述由设备400的另一组组件执行的一个或多个功能。
图5是与促进无损安全密钥翻转相关联的示例过程500的流程图。在一些实现中,图5的一个或多个过程框可以由第一网络设备(例如,网络设备220)执行。在一些实现中,图5的一个或多个过程框可以由与第一网络设备分开或包括第一网络设备的另一个设备或一组设备执行,例如端点设备(如端点设备210)和/或类似设备。附加地或者备选地,图5的一个或多个过程框可以由设备300的一个或多个组件执行,例如处理器320、存储器330、存储组件340、输入组件350、输出组件360、通信接口370,和/或类似物;和/或类似物;设备400的一个或多个组件,例如输入组件410、交换组件420、输出组件430、控制器440,和/或类似物;和/或类似物。
如图5所示,过程500可以包括接收加密数据,加密数据标识用于对业务进行解密的接收密钥,以及用于对业务进行加密的传输密钥(块510)。例如,如上所述,第一网络设备可以接收加密数据,该加密数据标识用于对业务进行解密的接收密钥,以及用于对业务进行加密的传输密钥。
如图5进一步所示的,过程500可以包括将接收密钥安装在与第一网络设备的数据平面相关联的协议硬件上(框520)。例如,如上所述,第一网络设备可以将接收密钥安装在与第一网络设备的数据平面相关联的协议硬件上。
如图5进一步所示,过程500可以包括,从第一网络设备的数据平面接收指示接收密钥被安装在协议硬件上的第一通知(框530)。例如,如上所述,第一网络设备可以从第一网络设备的数据平面接收指示接收密钥被安装在协议硬件上的第一通知。
如图5进一步所示,过程500可以包括,向第二网络设备提供标识接收密钥的第一密钥协定控制消息,其中,第一密钥协定控制消息基于接收到第一通知而被提供(框540)。例如,如上所述,第一网络设备可以向第二网络设备提供标识接收密钥的第一密钥协定控制消息。在一些实现中,第一密钥协定控制消息基于接收到第一通知而被提供。
如图5进一步所示,过程500可以包括从第二网络设备接收指示接收密钥被安装在第二网络设备上的确认消息(框550)。例如,如上所述,第一网络设备可以从第二网络设备接收指示接收密钥被安装在第二网络设备上的确认消息。
如图5进一步所示,过程500可以包括基于接收到确认消息,将传输密钥安装在协议硬件上(框560)。例如,如上所述,第一网络设备可以基于接收到确认消息,将传输密钥安装在协议硬件上。
如图5进一步所示,过程500可以包括从第一网络设备的数据平面接收指示传输密钥被安装在协议硬件上的第二通知(框570)。例如,如上所述,第一网络设备可以从第一网络设备的数据平面接收指示传输密钥被安装在协议硬件上的第二通知。
如图5进一步所示,过程500可以包括,向第二网络设备提供标识传输密钥的第二密钥协定控制消息,其中,第二密钥协定控制消息基于接收到第二通知而被提供(框580)。例如,如上所述,第一网络设备可以向第二网络设备提供标识传输密钥的第二密钥协定控制消息。在一些实现中,第二密钥协定控制消息基于接收到第二通知而被提供。
过程500可以包括附加的实现方式,例如下面描述的和/或与本文其他地方描述的一个或多个其他过程相关联的任何单个实现或实现的任何组合,。
在第一实现中,确认消息基于由第二网络设备从第二网络设备的数据平面接收的附加通知,该附加通知指示接收密钥被安装在与第二网络设备的数据平面相关联的协议硬件上。
在第二实现中,单独或与第一实现相结合,过程500包括基于接收到的确认信息,用传输密钥加密业务,并生成经加密业务,并将经加密业务提供给第二网络设备,使第二网络设备用接收密钥对经加密业务进行解密。
在第三实现中,单独地或与第一和第二实现中的一个或多个实现相结合,过程500包括基于接收到另一确认消息而用传输密钥对业务进行加密以生成经加密业务,以及将经加密业务提供给第二网络设备以使第二网络设备使用接收密钥对经加密业务进行解密。
在第四实现中,单独地或与第一至第三实现中的一个或多个实现相结合,协议硬件与媒体访问控制安全协议、或互联网协议安全协议中的一个相关联。
在第五实现中,单独地或与第一至第四实现方式中的一个或多个实现相结合,第一网络设备包括密钥服务器网络设备和包括对等网络设备的第二网络设备。
在第六实现中,单独地或与第一至第五实现中的一个或多个实现相结合,第一通知和第二通知使第一网络设备能够提供安全密钥翻转,而不会导致业务丢失。
在第七实现中,单独地或与第一至第六实现中的一个或多个实现相结合,接收加密数据包括在接收先前安全密钥后的特定时间段接收加密数据,该加密数据标识接收密钥和传输密钥。
虽然图5示出了过程500的示例框,但在一些实现中,与图5中描绘的框相比,过程500可以包括附加的框、较少的框、不同的框或不同布置的框。附加地或备选地,过程500的两个或多个块可以并行地执行。
图6是与促进无损安全密钥翻转相关联的示例流程600的流程图。在一些实现中,图6的一个或多个过程框可以由第一网络设备(例如,网络设备220)执行。在一些实现中,图6的一个或多个过程框可以由与第一网络设备分开或包括第一网络设备的另一个设备或一组设备执行,例如端点设备(例如,端点设备210)和/或类似设备。附加地或备选地,图6的一个或多个过程框可以由设备300的一个或多个组件执行,例如处理器320、存储器330、存储组件340、输入组件350、输出组件360、通信接口370,和/或类似物;和/或类似物;设备400的一个或多个组件,例如输入组件410、交换组件420、输出组件430、控制器440,和/或类似物;和/或类似物。
如图6所示,过程600可包括接收标识第一密钥和第二密钥的加密数据(块610),该第一密钥用于对业务进行解密,该第二密钥用于对业务进行加密。例如,如上所述,第一网络设备可以接收标识第一密钥和第二密钥的加密数据,该第一密钥用于对业务进行解密,该第二密钥用于对业务进行加密。
如图6进一步所示,过程600可以包括将第一密钥安装在与第一网络设备的数据平面相关联的协议硬件上(框620)。例如,如上所述,第一网络设备可以将第一密钥安装在与第一网络设备的数据平面相关联的协议硬件上。
如图6进一步所示,过程600可以包括从数据平面接收指示第一密钥被安装在协议硬件上的第一通知(框630)。例如,如上所述,第一网络设备可以从数据平面接收指示第一密钥被安装在协议硬件上的第一通知。
如图6进一步所示,过程600可以包括,向第二网络设备提供标识第一密钥的第一密钥协定控制消息,其中,第一密钥协定控制消息基于接收到第一通知而被提供(框640)。例如,如上所述,第一网络设备可以向第二网络设备提供标识第一密钥的第一密钥协定控制消息。在一些实现中,第一密钥协定控制消息基于接收到第一通知而被提供。
如图6进一步所示,过程600可以包括从第二网络设备接收指示第一密钥被安装在第二网络设备上的第一确认消息(框650)。例如,如上所述,第一网络设备可以从第二网络设备接收指示第一密钥被安装在第二网络设备上的第一确认消息。
如图6进一步所示,过程600可以包括基于接收到第一确认消息将第二密钥安装在协议硬件上(框660)。例如,如上所述,第一网络设备可以基于接收到第一确认消息而将第二密钥安装在协议硬件上。
如图6进一步所示,过程600可以包括从数据平面接收指示第二密钥被安装在协议硬件上的第二通知(框670)。例如,如上所述,第一网络设备可以从数据平面接收指示第二密钥被安装在协议硬件上的第二通知。
如图6中进一步所示,过程600可以包括,向第二网络设备提供标识第二密钥的第二密钥协定控制消息,其中,第二密钥协定控制消息基于接收到第二通知而被提供(框680)。例如,如上所述,第一网络设备可以向第二网络设备提供标识第二密钥的第二密钥协定控制消息。在一些实现中,第二密钥协定控制消息基于接收到第二通知而被提供。
如图6进一步所示,过程600可以包括从第二网络设备接收指示第二密钥被安装在第二网络设备上的第二确认消息(框690)。例如,如上所述,第一网络设备可以从第二网络设备接收指示第二密钥被安装在第二网络设备上的第二确认消息。
过程600可以包括附加的实现,例如下面描述的和/或与本文其他地方描述的一个或多个其他过程相关联的任何单个实现或实现的任何组合。
在第一实现中,接收加密数据包括在一定数量的数据包用先前安全密钥处理之后,接收标识第一密钥和第二密钥的加密数据。
在第二实现中,单独地或与第一实现相结合,第二网络设备被包括在与第一网络设备相关联的多个对等网络设备中,过程600包括从多个对等网络设备中接收指示第一密钥被安装在多个对等网络设备中的每一个上的多个确认消息,以及基于接收到多个确认消息用第二密钥对业务进行加密并生成经加密业务。
在第三实现中,单独地或与第一和第二实现中的一个或多个实现相结合,过程600包括将经加密业务提供给多个对等网络设备中的一个或多个,以使多个对等网络设备中的一个或多个用第一密钥对经加密业务进行解密。
在第四实现中,单独地或与第一至第三实现中的一个或多个实现相结合,第一通知和第二通知使第一网络设备能够提供零丢包的安全密钥翻转。
在第五实现中,单独地或与第一至第四实现中的一个或多个实现相结合,在协议硬件上安装第一密钥包括将第一密钥编程到协议硬件中。
在第六实现中,单独或与第一至第五实现中的一个或多个实现相结合,基于接收到第一确认消息将第二密钥安装在协议硬件上包括在接收第一确认消息后将第二密钥编程到协议硬件中。
虽然图6示出了过程600的示例框,但在一些实现中,与图6中描绘的框相比,过程600可以包括附加的框、较少的框、不同的框或不同布置的框。附加地或备选地,过程600的两个或多个框可以并行执行。
图7是与促进针对安全密钥的无损安全密钥翻转相关联的示例过程700的流程图。在一些实现中,图7的一个或多个过程框可以由与第一网络设备分开或包括第一网络设备的另一个设备或一组设备执行,例如端点设备(例如端点设备210)和/或类似设备。附加地或备选地,图7的一个或多个过程框可以由设备300的一个或多个组件执行,例如处理器320、存储器330、存储组件340、输入组件350、输出组件360、通信接口370,和/或类似物;和/或类似物;设备400的一个或多个组件,例如输入组件410、交换组件420、输出组件430、控制器440,和/或类似物;和/或类似物。
如图7所示,过程700可以包括接收加密数据,加密数据标识用于对业务进行解密的接收密钥和用于对业务进行加密的传输密钥(框705)。例如,如上所述,第一网络设备可以接收标识接收密钥和传输密钥的加密数据,该接收密钥用于对业务进行解密,该传输密钥用于对业务进行加密。
如图7进一步所示,过程700可以包括将接收密钥安装在与第一网络设备的数据平面相关联的协议硬件上(框710)。例如,如上所述,第一网络设备可以将接收密钥安装在与第一网络设备的数据平面相关联的协议硬件上。
如图7进一步所示,过程700可以包括从数据平面接收指示接收密钥被安装在协议硬件上的第一通知(框715)。例如,如上所述,第一网络设备可以从数据平面接收指示接收密钥被安装在协议硬件上的第一通知。
如图7进一步所示,过程700可以包括向第二网络设备提供标识接收密钥的第一密钥协定控制消息,其中,第一密钥协定控制消息基于接收第一通知而被提供(框720)。例如,如上所述,第一网络设备可以向第二网络设备提供标识接收密钥的第一密钥协定控制消息。在一些实现中,第一密钥协定控制消息基于接收到第一通知而被提供。
如图7进一步所示,过程700可以包括从第二网络设备接收指示接收密钥被安装在第二网络设备上的第一确认消息(框725)。例如,如上所述,第一网络设备可以从第二网络设备接收指示接收密钥被安装在第二网络设备上的第一确认消息。
如图7进一步所示,过程700可以包括基于接收到第一确认消息将传输密钥安装在协议硬件上(框730)。例如,如上所述,第一网络设备可以基于接收到第一确认消息将传输密钥安装在协议硬件上。
如图7进一步所示,过程700可以包括从数据平面接收指示传输密钥安装在协议硬件上的第二通知(框735)。例如,如上所述,第一网络设备可以从数据平面接收指示传输密钥被安装在协议硬件上的第二通知。
如图7进一步所示,过程700可以包括,向第二网络设备提供标识传输密钥的第二密钥协定控制消息,其中,第二密钥协定控制消息基于接收到第二通知而被提供(框740)。例如,如上所述,第一网络设备可以向第二网络设备提供标识传输密钥的第二密钥协定控制消息。在一些实现中,第二密钥协定控制消息基于接收到第二通知而被提供。
如图7进一步所示,过程700可以包括,从第二网络设备接收指示传输密钥被安装在第二网络设备上的第二确认消息(框745)。例如,如上所述,第一网络设备可以从第二网络设备接收指示传输密钥被安装在第二网络设备上的第二确认消息。
如图7进一步所示,过程700可以包括基于接收到第一确认消息,利用传输密钥对业务进行加密以生成经加密业务(框750)。例如,如上所述,第一网络设备可以基于接收到第一确认消息,利用传输密钥对业务进行加密以生成经加密业务。
如图7进一步所示,过程700可以包括向第二网络设备提供经加密业务,以使第二网络设备利用接收密钥对该经加密业务进行解密(框755)。例如,如上所述,第一网络设备可以向第二网络设备提供经加密业务,以使第二网络设备用接收密钥对该经加密业务进行解密。
过程700可以包括附加的实现,例如下面描述的和/或与本文其他地方描述的一个或多个其他过程相关联的任何单个实现或实现的任何组合。
在第一实现中,接收加密数据包括在接收先前安全密钥之后或在利用先前安全密钥处理一定数量的数据包之后的特定时间段接收识别接收密钥和传输密钥的加密数据。
在第二实现中,单独地或与第一实现相结合,第一通知和第二通知使第一网络设备提供具有零丢包的安全密钥翻转。
在第三实现中,单独地或与第一和第二实现中的一个或多个实现相结合,将接收密钥安装在协议硬件上包括将接收密钥编程到协议硬件中。
在第四实现中,单独地或与第一至第三实现方式中的一个或多个实现方式相结合,基于接收到第一确认消息将传输密钥安装在协议硬件上包括在接收第一确认消息后将传输密钥编程到协议硬件中。
在第五实现中,单独地或与第一至第四实现中的一个或多个实现相结合,第一确认消息基于第三通知指示接收密钥被安装在与第二网络设备的数据平面相关联的协议硬件上。
虽然图7示出了流程700的示例框,但在一些实现中,与图7中描绘的框相比,过程700可以包括附加的框、较少的框、不同的框或不同布置的框。附加地或备选地,过程700的两个或多个框可以并行执行。
本公开公开了一种方法,包括:由第一网络设备接收加密数据,所述加密数据标识:用于对业务进行解密的接收密钥,以及用于对业务进行加密的传输密钥;由所述第一网络设备将所述接收密钥安装在与所述第一网络设备的数据平面相关联的协议硬件上;从所述第一网络设备的所述数据平面接收第一通知,所述第一通知指示所述接收密钥被安装在所述协议硬件上;由所述第一网络设备向第二网络设备提供标识所述接收密钥的第一密钥协定控制消息,其中所述第一密钥协定控制消息基于接收到所述第一通知而被提供;由所述第一网络设备从所述第二网络设备接收确认消息,所述确认消息指示所述接收密钥被安装在所述第二网络设备上;由所述第一网络设备基于接收到所述确认消息,将所述传输密钥安装在所述协议硬件上;从所述第一网络设备的所述数据平面接收第二通知,所述第二通知指示所述传输密钥被安装在所述协议硬件上;以及由所述第一网络设备向所述第二网络设备提供标识所述传输密钥的第二密钥协定控制消息,其中所述第二密钥协定控制消息基于接收到所述第二通知而被提供。
在一些实施例中,其中所述确认消息基于由所述第二网络设备从所述第二网络设备的数据平面接收的附加的通知,所述附加的通知指示所述接收密钥被安装在与所述第二网络设备的所述数据平面相关联的协议硬件上。
在一些实施例中,该方法进一步包括:基于接收到所述确认消息,利用所述传输密钥对业务进行加密以生成经加密业务;以及向所述第二网络设备提供所述经加密业务,以使所述第二网络设备利用所述接收密钥对所述经加密业务进行解密。
在一些实施例中,其中所述协议硬件与以下中的一项相关联:媒体访问控制安全协议,或互联网协议安全协议。
在一些实施例中,其中所述第一网络设备包括密钥服务器网络设备,并且所述第二网络设备包括对等网络设备。
在一些实施例中,其中所述第一通知和所述第二通知使所述第一网络设备能够提供安全密钥翻转而不会导致业务丢失。
在一些实施例中,其中接收所述加密数据包括:在接收先前安全密钥后的特定时间段,接收标识所述接收密钥和所述传输密钥的所述加密数据。
本公开公开了一种第一网络设备,包括:一个或多个存储器;以及一个或多个处理器,用于接收加密数据,所述加密数据标识:用于对业务进行解密的第一密钥,以及用于对业务进行加密的第二密钥;将所述第一密钥安装在与所述第一网络设备的数据平面相关联的协议硬件上;从所述数据平面接收第一通知,所述第一通知指示所述第一密钥被安装在所述协议硬件上;向第二网络设备提供标识所述第一密钥的第一密钥协定控制消息,其中所述第一密钥协定控制消息基于接收到所述第一通知而被提供;从所述第二网络设备接收第一确认消息,所述第一确认消息指示所述第一密钥被安装在所述第二网络设备上;基于接收到所述第一确认消息而将所述第二密钥安装在所述协议硬件上;从所述数据平面接收第二通知,所述第二通知指示所述第二密钥被安装在所述协议硬件上;向所述第二网络设备提供标识所述第二密钥的第二密钥协定议控制消息,其中所述第二密钥协定控制消息基于接收到所述第二通知而被提供;以及从所述第二网络设备接收第二确认消息,所述第二确认消息指示所述第二密钥被安装在所述第二网络设备上。
在一些实施例中,其中所述一个或多个处理器,当接收所述加密数据时,用于:在一些数据包利用先前安全密钥被处理后,接收标识所述第一密钥和所述第二密钥的所述加密数据。
在一些实施例中,其中所述第二网络设备被包括在与所述第一网络设备相关联的多个对等网络设备中,并且所述一个或多个处理器进一步用于:从所述多个对等网络设备接收多个确认消息,所述多个确认消息指示所述第一密钥被安装在所述多个对等网络设备中的每个对等网络设备上;以及基于接收到所述多个确认消息,利用所述第二密钥对业务进行加密以生成经加密业务。
在一些实施例中,其中所述一个或多个处理器进一步用于:向所述多个对等网络设备中的一个或多个对等网络设备提供所述经加密业务,以使所述多个对等网络设备中的所述一个或多个对等网络设备利用所述第一密钥对所述经加密业务进行解密。
在一些实施例中,其中所述第一通知和所述第二通知使所述第一网络设备能够提供零丢包的安全密钥翻转。
在一些实施例中,其中所述一个或多个处理器,当将所述第一密钥安装在所述协议硬件上时,用于:将所述第一密钥编程到所述协议硬件中。
在一些实施例中,其中所述一个或多个处理器,当基于接收到所述第一确认消息将所述第二密钥安装在所述协议硬件上时,用于:在接收所述第一确认消息后将所述第二密钥编程到所述协议硬件中。
本公开公开了一种非暂态计算机可读介质,所述非暂态计算机可读介质存储指令,所述指令包括:一条或多条指令,所述一条或多条指令在由第一网络设备的一个或多个处理器执行时,使所述一个或多个处理器:接收加密数据,所述加密数据标识用于对业务进行解密的接收密钥和用于对业务进行加密的传输密钥;将所述接收密钥安装在与所述第一网络设备的数据平面相关联的协议硬件上;从所述数据平面接收第一通知,所述第一通知指示所述接收密钥被安装在所述协议硬件上;向第二网络设备提供标识所述接收密钥的第一密钥协定控制消息,其中所述第一密钥协定控制消息基于接收到所述第一通知而被提供;从所述第二网络设备接收第一确认消息,所述第一确认消息指示所述接收密钥被安装在所述第二网络设备上;基于接收到所述第一确认消息将所述传输密钥安装在所述协议硬件上;从所述数据平面接收第二通知,所述第二通知指示所述传输密钥被安装在所述协议硬件上;向所述第二网络设备提供标识所述传输密钥的第二密钥协定控制消息,其中所述第二密钥协定控制消息基于接收到所述第二通知而被提供;从所述第二网络设备接收第二确认消息,所述第二确认消息指示所述传输密钥被安装在所述第二网络设备上;基于接收到所述第一确认消息,利用所述传输密钥对业务加密以生成经加密业务;以及向所述第二网络设备提供所述经加密业务,以使所述第二网络设备利用所述接收密钥对所述经加密业务进行解密。
在一些实施例中,其中使所述一个或多个处理器接收所述加密数据的所述一条或多条指令使所述一个或多个处理器:在接收先前安全密钥后或在一些数据包利用所述先前安全密钥被处理之后的特定时间段,接收标识所述接收密钥和所述传输密钥的所述加密数据。
在一些实施例中,其中所述第一通知和所述第二通知使所述第一网络设备提供零丢包的安全密钥翻转。
在一些实施例中,其中使所述一个或多个处理器将所述接收密钥安装在所述协议硬件上的所述一条或多条指令使所述一个或多个处理器:将所述接收密钥编程到所述协议硬件中。
在一些实施例中,其中使所述一个或多个处理器基于接收到所述第一确认消息而将所述传输密钥安装在所述协议硬件上的所述一条或多条指令使所述一个或多个处理器:在接收到所述第一确认消息后将所述传输密钥编程到所述协议硬件中。
在一些实施例中,其中所述第一确认消息基于第三通知,所述第三通知指示所述接收密钥被安装在与所述第二网络设备的数据平面相关联的协议硬件上。
上述公开提供了说明和描述,但并不旨在是穷尽的,也不旨在将实现限制为所公开的具体形式。修改和变化可以根据上述公开进行,或可以从实现的实践中获得。
如本文所使用的,术语“组件”旨在广义地解释为硬件、固件或硬件和软件的组合。
如本文所用的,业务或内容可包括一组数据包。数据包可以指的是用于通信信息的通信结构,例如协议数据单元(PDU)、服务数据单元(SDU)、网络数据包、数据报、段、消息、块、帧(例如以太网帧)、上述任何一种的一部分,和/或能够通过网络传输的另一种类型的格式化或非格式化数据单元。
显而易见的是,本文所述的系统和/或方法可以用不同形式的硬件、固件和/或硬件和软件的组合来实现。用于实现这些系统和/或方法的实际专门的控制硬件或软件代码并不是对本实现的限制。因此,本文描述了系统和/或方法的操作和行为,而不参考具体的软件代码,应当理解的是,可以基于本文的描述使用软件和硬件来实现该系统和/或方法。
即使在权利要求书中叙述和/或在说明书中公开了特定的特征组合,但这些组合并不旨在限制各种实现的公开。事实上,这些特征的许多可以以权利要求书未具体记载和/或说明书中未具体公开的方式组合。尽管下面列出的每个从权利要求可能仅直接依赖于一个权利要求,但各种实现的公开包括每个从权利要求与权利要求集中的每个其他权利要求的组合。
除非明确地被描述为是关键或必需的,否则本文使用的任何元素、行为或指令都不应被解释为关键或必需的。另外,如本文所使用的,“一”和“一个”这两个词旨在包括一个或多个项目,并且可以与“一个或多个”互换使用。此外,如本文所使用的,冠词“所述”旨在包括与冠词“所述”相关的一个或多个项目,并且可与“所述一个或多个”互换使用。此外,如本文所用的,术语“集合”旨在包括一个或多个项目(例如,相关项目、不相关项目、相关和不相关项目的组合等),并且可与“一个或多个”互换使用。在仅有一个项目的情况下,使用短语“只有一个”或类似的语言。另外,如本文所使用的,术语“有”、“具有”、“含有”或类似的语言旨在作为开放式术语。此外,除非另外明确说明,否则短语“基于”旨在指“至少部分基于”。此外,如本文所使用的,术语“或”在一系列中使用时旨在包括性的,并可与“和/或”互换使用,除非另外明确说明(例如,如果与“或者”或“只有一个”组合使用)。
Claims (20)
1.一种方法,包括:
由第一网络设备接收加密数据,所述加密数据标识:
用于对业务进行解密的接收密钥,以及
用于对业务进行加密的传输密钥;
由所述第一网络设备将所述接收密钥安装在与所述第一网络设备的数据平面相关联的协议硬件上;
从所述第一网络设备的所述数据平面接收第一通知,所述第一通知指示所述接收密钥被安装在所述协议硬件上;
由所述第一网络设备向第二网络设备提供标识所述接收密钥的第一密钥协定控制消息,
其中所述第一密钥协定控制消息基于接收到所述第一通知而被提供;
由所述第一网络设备从所述第二网络设备接收确认消息,所述确认消息指示所述接收密钥被安装在所述第二网络设备上;
由所述第一网络设备基于接收到所述确认消息,将所述传输密钥安装在所述协议硬件上;
从所述第一网络设备的所述数据平面接收第二通知,所述第二通知指示所述传输密钥被安装在所述协议硬件上;以及
由所述第一网络设备向所述第二网络设备提供标识所述传输密钥的第二密钥协定控制消息,
其中所述第二密钥协定控制消息基于接收到所述第二通知而被提供。
2.根据权利要求1所述的方法,其中所述确认消息基于由所述第二网络设备从所述第二网络设备的数据平面接收的附加的通知,所述附加的通知指示所述接收密钥被安装在与所述第二网络设备的所述数据平面相关联的协议硬件上。
3.根据权利要求2所述的方法,进一步包括:
基于接收到所述确认消息,利用所述传输密钥对业务进行加密以生成经加密业务;以及
向所述第二网络设备提供所述经加密业务,以使所述第二网络设备利用所述接收密钥对所述经加密业务进行解密。
4.根据权利要求1所述的方法,其中所述协议硬件与以下中的一项相关联:
媒体访问控制安全协议,或
互联网协议安全协议。
5.根据权利要求1所述的方法,其中所述第一网络设备包括密钥服务器网络设备,并且所述第二网络设备包括对等网络设备。
6.根据权利要求1所述的方法,其中所述第一通知和所述第二通知使所述第一网络设备能够提供安全密钥翻转而不会导致业务丢失。
7.根据权利要求1所述的方法,其中接收所述加密数据包括:
在接收先前安全密钥后的特定时间段,接收标识所述接收密钥和所述传输密钥的所述加密数据。
8.一种第一网络设备,包括:
一个或多个存储器;以及
一个或多个处理器,用于:
接收加密数据,所述加密数据标识:
用于对业务进行解密的第一密钥,以及
用于对业务进行加密的第二密钥;
将所述第一密钥安装在与所述第一网络设备的数据平面相关联的协议硬件上;
从所述数据平面接收第一通知,所述第一通知指示所述第一密钥被安装在所述协议硬件上;
向第二网络设备提供标识所述第一密钥的第一密钥协定控制消息,
其中所述第一密钥协定控制消息基于接收到所述第一通知而被提供;
从所述第二网络设备接收第一确认消息,所述第一确认消息指示所述第一密钥被安装在所述第二网络设备上;
基于接收到所述第一确认消息而将所述第二密钥安装在所述协议硬件上;
从所述数据平面接收第二通知,所述第二通知指示所述第二密钥被安装在所述协议硬件上;
向所述第二网络设备提供标识所述第二密钥的第二密钥协定议控制消息,
其中所述第二密钥协定控制消息基于接收到所述第二通知而被提供;以及
从所述第二网络设备接收第二确认消息,所述第二确认消息指示所述第二密钥被安装在所述第二网络设备上。
9.根据权利要求8所述的第一网络设备,其中所述一个或多个处理器,当接收所述加密数据时,用于:
在一些数据包利用先前安全密钥被处理后,接收标识所述第一密钥和所述第二密钥的所述加密数据。
10.根据权利要求8所述的第一网络设备,其中所述第二网络设备被包括在与所述第一网络设备相关联的多个对等网络设备中,并且所述一个或多个处理器进一步用于:
从所述多个对等网络设备接收多个确认消息,所述多个确认消息指示所述第一密钥被安装在所述多个对等网络设备中的每个对等网络设备上;以及
基于接收到所述多个确认消息,利用所述第二密钥对业务进行加密以生成经加密业务。
11.根据权利要求10所述的第一网络设备,其中所述一个或多个处理器进一步用于:
向所述多个对等网络设备中的一个或多个对等网络设备提供所述经加密业务,以使所述多个对等网络设备中的所述一个或多个对等网络设备利用所述第一密钥对所述经加密业务进行解密。
12.根据权利要求8所述的第一网络设备,其中所述第一通知和所述第二通知使所述第一网络设备能够提供零丢包的安全密钥翻转。
13.根据权利要求8所述的第一网络设备,其中所述一个或多个处理器,当将所述第一密钥安装在所述协议硬件上时,用于:
将所述第一密钥编程到所述协议硬件中。
14.根据权利要求8所述的第一网络设备,其中所述一个或多个处理器,当基于接收到所述第一确认消息将所述第二密钥安装在所述协议硬件上时,用于:
在接收所述第一确认消息后将所述第二密钥编程到所述协议硬件中。
15.一种非暂态计算机可读介质,所述非暂态计算机可读介质存储指令,所述指令包括:
一条或多条指令,所述一条或多条指令在由第一网络设备的一个或多个处理器执行时,使所述一个或多个处理器:
接收加密数据,所述加密数据标识用于对业务进行解密的接收密钥和用于对业务进行加密的传输密钥;
将所述接收密钥安装在与所述第一网络设备的数据平面相关联的协议硬件上;
从所述数据平面接收第一通知,所述第一通知指示所述接收密钥被安装在所述协议硬件上;
向第二网络设备提供标识所述接收密钥的第一密钥协定控制消息,
其中所述第一密钥协定控制消息基于接收到所述第一通知而被提供;
从所述第二网络设备接收第一确认消息,所述第一确认消息指示所述接收密钥被安装在所述第二网络设备上;
基于接收到所述第一确认消息将所述传输密钥安装在所述协议硬件上;
从所述数据平面接收第二通知,所述第二通知指示所述传输密钥被安装在所述协议硬件上;
向所述第二网络设备提供标识所述传输密钥的第二密钥协定控制消息,
其中所述第二密钥协定控制消息基于接收到所述第二通知而被提供;
从所述第二网络设备接收第二确认消息,所述第二确认消息指示所述传输密钥被安装在所述第二网络设备上;
基于接收到所述第一确认消息,利用所述传输密钥对业务加密以生成经加密业务;以及
向所述第二网络设备提供所述经加密业务,以使所述第二网络设备利用所述接收密钥对所述经加密业务进行解密。
16.根据权利要求15所述的非暂态计算机可读介质,其中使所述一个或多个处理器接收所述加密数据的所述一条或多条指令使所述一个或多个处理器:
在接收先前安全密钥后或在一些数据包利用所述先前安全密钥被处理之后的特定时间段,接收标识所述接收密钥和所述传输密钥的所述加密数据。
17.根据权利要求15所述的非暂态计算机可读介质,其中所述第一通知和所述第二通知使所述第一网络设备提供零丢包的安全密钥翻转。
18.根据权利要求15所述的非暂态计算机可读介质,其中使所述一个或多个处理器将所述接收密钥安装在所述协议硬件上的所述一条或多条指令使所述一个或多个处理器:
将所述接收密钥编程到所述协议硬件中。
19.根据权利要求15所述非暂态计算机可读介质,其中使所述一个或多个处理器基于接收到所述第一确认消息而将所述传输密钥安装在所述协议硬件上的所述一条或多条指令使所述一个或多个处理器:
在接收到所述第一确认消息后将所述传输密钥编程到所述协议硬件中。
20.根据权利要求15所述的非暂态计算机可读介质,其中所述第一确认消息基于第三通知,所述第三通知指示所述接收密钥被安装在与所述第二网络设备的数据平面相关联的协议硬件上。
Applications Claiming Priority (4)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| IN202041019240 | 2020-05-06 | ||
| IN202041019240 | 2020-05-06 | ||
| US16/907,685 US11368294B2 (en) | 2020-05-06 | 2020-06-22 | Facilitating hitless security key rollover using data plane feedback |
| US16/907,685 | 2020-06-22 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN113630242A true CN113630242A (zh) | 2021-11-09 |
Family
ID=72050682
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010803683.XA Pending CN113630242A (zh) | 2020-05-06 | 2020-08-11 | 使用数据平面反馈促进无损安全密钥翻转 |
Country Status (3)
| Country | Link |
|---|---|
| US (1) | US11626981B2 (zh) |
| EP (2) | EP3907961B1 (zh) |
| CN (1) | CN113630242A (zh) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20230361992A1 (en) * | 2022-05-09 | 2023-11-09 | Juniper Networks, Inc. | Deleting stale or unused keys to guarantee zero packet loss |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9882714B1 (en) * | 2013-03-15 | 2018-01-30 | Certes Networks, Inc. | Method and apparatus for enhanced distribution of security keys |
| CN111049648A (zh) * | 2019-12-10 | 2020-04-21 | 杭州依赛通信有限公司 | 一种MACSec加密业务数据平面主动更新密钥保证可靠传输的方法 |
Family Cites Families (23)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP4881538B2 (ja) * | 2003-06-10 | 2012-02-22 | 株式会社日立製作所 | コンテンツ送信装置およびコンテンツ送信方法 |
| JP4543657B2 (ja) * | 2003-10-31 | 2010-09-15 | ソニー株式会社 | 情報処理装置および方法、並びにプログラム |
| US8503681B1 (en) | 2005-11-04 | 2013-08-06 | Cisco Technology, Inc. | Method and system to securely transport data encryption keys |
| US8756439B1 (en) | 2009-08-28 | 2014-06-17 | Physical Optics Corporation | Encryption key management for secured access |
| US8630416B2 (en) * | 2009-12-21 | 2014-01-14 | Intel Corporation | Wireless device and method for rekeying with reduced packet loss for high-throughput wireless communications |
| EP2565585A1 (en) * | 2011-08-30 | 2013-03-06 | Nagravision S.A. | System and method to manage utility meter communications |
| EP2873188B1 (en) * | 2012-07-10 | 2016-09-14 | ABB Research Ltd. | Methods and devices for security key renewal in a communication system |
| DE102012220990B3 (de) * | 2012-11-16 | 2014-01-23 | Siemens Aktiengesellschaft | Verfahren und Anordnung zur sicheren Kommunikation zwischen Netzwerkeinrichtungen in einem Kommunikationsnetzwerk |
| US20140281546A1 (en) * | 2013-03-13 | 2014-09-18 | Eolas Technologies, Inc. | HEDI-Hopping-Enabled Dynamically-secured Intercommunication (AKA SockHop) |
| US9270651B2 (en) | 2013-04-05 | 2016-02-23 | Futurewei Technologies, Inc. | Authentication and initial key exchange in ethernet passive optical network over coaxial network |
| DE102015207763A1 (de) * | 2015-04-28 | 2016-11-03 | Robert Bosch Gmbh | Verfahren und Vorrichtung zum Erzeugen eines einem ersten Knoten und einem zweiten Knoten gemeinsamen geheimen kryptografischen Schlüssels mittels mindestens eines Helferknotens |
| US9847875B1 (en) | 2016-06-20 | 2017-12-19 | Verizon Patent And Licensing Inc. | Methods and systems for bootstrapping an end-to-end application layer session security keyset based on a subscriber identity master security credential |
| US10581872B1 (en) * | 2016-12-29 | 2020-03-03 | Alarm.Com Incorporated | Service authorization for IoT devices operating locally |
| CN106941487B (zh) * | 2017-02-24 | 2021-01-05 | 创新先进技术有限公司 | 一种数据发送方法及装置 |
| US11381386B2 (en) | 2017-07-31 | 2022-07-05 | Cisco Technology, Inc. | Secure network communication |
| US10439804B2 (en) * | 2017-10-27 | 2019-10-08 | EMC IP Holding Company LLC | Data encrypting system with encryption service module and supporting infrastructure for transparently providing encryption services to encryption service consumer processes across encryption service state changes |
| US11101999B2 (en) | 2017-11-08 | 2021-08-24 | Amazon Technologies, Inc. | Two-way handshake for key establishment for secure communications |
| US10873455B2 (en) * | 2018-03-15 | 2020-12-22 | Cisco Technology, Inc. | Techniques for encryption key rollover synchronization in a network |
| US11418434B2 (en) | 2018-10-02 | 2022-08-16 | Arista Networks, Inc. | Securing MPLS network traffic |
| US11349653B2 (en) * | 2018-12-18 | 2022-05-31 | Hewlett Packard Enterprise Development Lp | Multiple-site private network secured by IPsec using blockchain network for key exchange |
| US11411915B2 (en) | 2019-01-09 | 2022-08-09 | Cisco Technology, Inc. | Leveraging MACsec key agreement (MKA) state events to trigger fast IGP/EGP convergence on MACsec encrypted links |
| US20200358764A1 (en) | 2019-05-07 | 2020-11-12 | Verizon Patent And Licensing Inc. | System and method for generating symmetric key to implement media access control security check |
| US11368294B2 (en) | 2020-05-06 | 2022-06-21 | Juniper Networks, Inc. | Facilitating hitless security key rollover using data plane feedback |
-
2020
- 2020-08-11 CN CN202010803683.XA patent/CN113630242A/zh active Pending
- 2020-08-12 EP EP20190620.3A patent/EP3907961B1/en active Active
- 2020-08-12 EP EP23181807.1A patent/EP4243337A3/en active Pending
-
2021
- 2021-12-07 US US17/457,951 patent/US11626981B2/en active Active
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9882714B1 (en) * | 2013-03-15 | 2018-01-30 | Certes Networks, Inc. | Method and apparatus for enhanced distribution of security keys |
| CN111049648A (zh) * | 2019-12-10 | 2020-04-21 | 杭州依赛通信有限公司 | 一种MACSec加密业务数据平面主动更新密钥保证可靠传输的方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| US11626981B2 (en) | 2023-04-11 |
| EP3907961A1 (en) | 2021-11-10 |
| EP4243337A2 (en) | 2023-09-13 |
| US20220094534A1 (en) | 2022-03-24 |
| EP4243337A3 (en) | 2023-10-25 |
| EP3907961B1 (en) | 2023-06-28 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN112887259B (zh) | 基于应用的网络安全 | |
| CN113285863B (zh) | 经由多个隧道传输加密的分组的多个副本 | |
| CN114095195B (zh) | 用于安全套接字层代理的自适应控制的方法、网络设备以及非瞬态计算机可读介质 | |
| US11368294B2 (en) | Facilitating hitless security key rollover using data plane feedback | |
| US20220255771A1 (en) | Establishing a network micro-tunnel within a network tunnel | |
| US10567284B1 (en) | Transport batching technique for network communications | |
| US11626981B2 (en) | Facilitating hitless security key rollover using data plane feedback | |
| US11539668B2 (en) | Selective transport layer security encryption | |
| US11032203B2 (en) | Providing predictable quality of service traffic steering | |
| EP4277204A1 (en) | Deleting stale or unused keys to guarantee zero packet loss | |
| US11570162B1 (en) | Preventing packet loss during timer-based encryption key rollover | |
| US20230421360A1 (en) | Automatic generation and update of connectivity association keys for media access control security protocol | |
| JP6262104B2 (ja) | 匿名化メッセージシステム、端末ノード、パブリックノード、方法及びプログラム | |
| CN113765878B (zh) | 选择性的传送层安全加密 | |
| EP4160977A1 (en) | Delayed quantum key-distribution | |
| CN117097667A (zh) | 保护多协议标签交换(mpls)有效负载 | |
| CN116248572A (zh) | 经由与安全分类相关联的路由路径转发与安全分类相关联的网络业务 | |
| CN117081766A (zh) | 利用可移除量子随机数生成器以用于网络设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |