CN114363147B - 用于媒体访问控制安全性的改善的错误处理 - Google Patents
用于媒体访问控制安全性的改善的错误处理 Download PDFInfo
- Publication number
- CN114363147B CN114363147B CN202011529583.9A CN202011529583A CN114363147B CN 114363147 B CN114363147 B CN 114363147B CN 202011529583 A CN202011529583 A CN 202011529583A CN 114363147 B CN114363147 B CN 114363147B
- Authority
- CN
- China
- Prior art keywords
- macsec
- session
- network
- network device
- link
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000004891 communication Methods 0.000 claims abstract description 77
- 230000000903 blocking effect Effects 0.000 claims abstract description 5
- 238000000034 method Methods 0.000 claims description 62
- 230000015654 memory Effects 0.000 claims description 28
- 230000004044 response Effects 0.000 claims description 21
- 238000012545 processing Methods 0.000 claims description 19
- 230000005540 biological transmission Effects 0.000 claims description 11
- 238000012544 monitoring process Methods 0.000 claims description 11
- 238000001514 detection method Methods 0.000 abstract description 3
- 230000000694 effects Effects 0.000 abstract description 2
- 238000011084 recovery Methods 0.000 abstract 1
- 230000003139 buffering effect Effects 0.000 description 13
- 238000011144 upstream manufacturing Methods 0.000 description 10
- 238000010586 diagram Methods 0.000 description 7
- 230000006870 function Effects 0.000 description 6
- 239000004065 semiconductor Substances 0.000 description 5
- 230000003068 static effect Effects 0.000 description 5
- 239000000872 buffer Substances 0.000 description 4
- 238000004590 computer program Methods 0.000 description 4
- 238000005516 engineering process Methods 0.000 description 4
- 230000005291 magnetic effect Effects 0.000 description 4
- 230000000737 periodic effect Effects 0.000 description 4
- 230000009471 action Effects 0.000 description 3
- 230000001413 cellular effect Effects 0.000 description 3
- 230000001934 delay Effects 0.000 description 3
- 230000007246 mechanism Effects 0.000 description 3
- 230000003287 optical effect Effects 0.000 description 3
- 230000003111 delayed effect Effects 0.000 description 2
- 230000007274 generation of a signal involved in cell-cell signaling Effects 0.000 description 2
- 230000008569 process Effects 0.000 description 2
- 238000009825 accumulation Methods 0.000 description 1
- 238000013459 approach Methods 0.000 description 1
- 230000002457 bidirectional effect Effects 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 230000003750 conditioning effect Effects 0.000 description 1
- 230000001419 dependent effect Effects 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 230000001627 detrimental effect Effects 0.000 description 1
- 230000007774 longterm Effects 0.000 description 1
- 230000002093 peripheral effect Effects 0.000 description 1
- 230000001902 propagating effect Effects 0.000 description 1
- 230000000717 retained effect Effects 0.000 description 1
- 239000007787 solid Substances 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0876—Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/06—Management of faults, events, alarms or notifications
- H04L41/0604—Management of faults, events, alarms or notifications using filtering, e.g. reduction of information by using priority, element types, position or time
- H04L41/0627—Management of faults, events, alarms or notifications using filtering, e.g. reduction of information by using priority, element types, position or time by acting on the notification or alarm source
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/08—Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
- H04L43/0823—Errors, e.g. transmission errors
- H04L43/0829—Packet loss
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/08—Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
- H04L43/0852—Delays
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/08—Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
- H04L43/0876—Network utilisation, e.g. volume of load or congestion level
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/22—Alternate routing
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
- H04L63/061—Network architectures or network communication protocols for network security for supporting key management in a packet data network for key exchange, e.g. in peer-to-peer networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/162—Implementing security features at a particular protocol layer at the data link layer
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L65/00—Network arrangements, protocols or services for supporting real-time applications in data packet communication
- H04L65/1066—Session management
- H04L65/1069—Session establishment or de-establishment
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2101/00—Indexing scheme associated with group H04L61/00
- H04L2101/60—Types of network addresses
- H04L2101/618—Details of network addresses
- H04L2101/622—Layer-2 addresses, e.g. medium access control [MAC] addresses
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/16—Threshold monitoring
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
Abstract
本发明涉及用于媒体访问控制安全性的改善的错误处理。各实施例改善媒体访问控制安全会话中的错误检测和恢复。在三个活跃性时间间隔流逝之后而未从远程对等收到MACsec密钥交换协议数据单元(MKPDU),MACsec会话被断开。在MACsec会话已进入安全阻塞模式之后,随着网络继续通过MACsec会话路由/转发数据一段时间,通过MACsec会话的有效的网络通信的停止和三个“活跃性”间隔的期满之间的该延迟导致分组丢失增加以及网络融合时间增加。为了解决该问题,各实施例定义被称为MACsec链路报警的新警报,其比由传统实施例生成的MACsec会话超时更早地被提出。在单个MACsec“活跃性”超时间隔流逝后未能从远程对等成功接收MKPDU之后,MACsec链路报警由至少一些实施例提出。
Description
技术领域
本发明涉及通信领域,具体地,涉及用于媒体访问控制安全性的改善的错误处理。
背景技术
媒体访问控制(MAC)安全性(MACsec)经由MACsec密钥协商协议(MKA)管理两个端点之间的会话密钥。MACsec标准指定MACsec密钥协商协议数据单元(MKPDU)应当以具体的频率在MACsec会话的对等之间被交换。如果没有MKPDU在由MACsec标准定义的MKA生命期时段(period)内从远程对等被接收,则MACsec会话的安全数据流不能再被维持。检测这个条件的路由器可能在内部网关协议(IGP)和/或双向转发检测(BFD)协议中超时。
发明内容
一种方法,包括:由第一网络设备通过第一网络链路建立与第二网络设备的媒体访问控制安全(MACsec)会话,所述MACsec会话包括预定义的会话超时阈值,所述会话超时阈值定义通过所述MACsec会话对来自所述第二网络设备的两个依序的MACsec密钥协商协议数据单元(MKPDU)的接收之间的最大流逝时间;监测通过所述MACsec会话对来自所述网络设备的两个依序的MKPDU的接收之间的流逝时间;将所述流逝时间与预定义的警报时间阈值相比较,预定义的所述警报时间阈值表示比所述会话超时阈值小的流逝时间;以及选择性地基于所述比较生成MACsec链路报警。
一种系统,包括:硬件处理电路装置;存储指令的一个或多个硬件存储器,所述指令当被执行时,将所述硬件处理电路装置配置为执行以下操作,所述操作包括:由第一网络设备通过第一网络链路建立与第二网络设备的媒体访问控制安全(MACsec)会话,所述MACsec会话包括预定义的会话超时阈值,所述会话超时阈值定义通过所述MACsec会话对所述第二网络设备的两个依序的MACsec密钥协商协议数据单元(MKPDU)的接收之间的最大流逝时间;监测通过所述MACsec会话对来自所述网络设备的两个依序的MKPDU的接收之间的流逝时间;将所述流逝时间与预定义的警报时间阈值相比较,预定义的所述警报时间阈值表示比所述会话超时阈值小的流逝时间;以及选择性地基于所述比较来生成MACsec链路报警。
一种包括指令的非瞬态计算机可读存储介质,所述指令当被执行时,将硬件处理电路装置配置为执行以下操作,所述操作包括:由第一网络设备通过第一网络链路建立与第二网络设备的媒体访问控制安全(MACsec)会话,所述MACsec会话包括预定义的会话超时阈值,所述会话超时阈值定义通过所述MACsec会话对来自所述第二网络设备的两个依序的MACsec密钥协商协议数据单元(MKPDU)的接收之间的最大流逝时间;监测通过所述MACsec会话对来自所述网络设备的两个依序的MKPDU的接收之间的流逝时间;将所述流逝时间与预定义的警报时间阈值相比较,预定义的所述警报时间阈值表示比所述会话超时阈值小的流逝时间;以及选择性地基于所述比较来生成MACsec链路报警。
附图说明
在附图中以示例而非限制的方式示出了示例实施例,其中相似的附图标记指示相同或相似的元件。
图1是实现所公开的实施例中的一个或多个实施例的网络化系统的概略图。
图2示出了与所公开的实施例中的一个或多个实施例一致的在网络路径上的网络通信的示例。
图3示出了与所公开的实施例中的一个或多个实施例一致的在网络路径上的网络通信的示例。
图4是示出消息在源设备和目的地设备之间的网络路径内的三个网络设备之间被交换的序列图。
图5是示出消息在三个网络设备之间被交换的序列图。
图6实现所公开的实施例中的一个或多个实施例的示例方法的流程图。
图7图示了示例机器的框图,本文中所讨论的技术(例如,方法)中的任何一个或多个技术可以在其上执行。
具体实施方式
如上文所描述,MACsec要求MKPDU以最小的频率或者周期性间隔在MACsec会话的两个对等设备之间被交换。如果由会话超时阈值定义的流逝时间经过,而没有由参与MACsec会话的设备对MKPDU的成功接收,则MACsec会话被终止。MACsec标准定义MKPDU必须在由MKA生命期参数定义的时间段(time period)内被接收。一些实施例将该参数定义为六(6)秒。
所公开的示例实施例认识到在MACsec会话的两个端点之间作用的通信可以在会话超时阈值被达到之前的显著的时间有效地停止。在该时间期间,包括MACsec会话的网络路由保持激活,使网络通信中的参与者通过MACsec会话路由数据。在不再起作用的MACsec会话上的数据的该路由,使数据在MACsec会话的两个端点设备处都缓冲,以及,在一些情况下,也在端点设备的上游设备处缓冲。例如,当通过网络路径的通信停止时,作为通过MACsec会话的通信的停止的结果,流控制窗口开始关闭。因此,通过MACsec会话的数据通信的有效停止和由参与者对相同的依赖之间的延迟,导致跨网络的多个低效性。例如,在端点设备和上游设备处发生的作为结果的数据缓冲消耗否则可以被利用以促进成功的网络通信的存储器资源。处理资源也可以被花费来管理这些经缓冲的资源,并且在一些情况下,当确定未被接收时,执行数据的重新传输。进一步地,失败的MACsec会话周围的重新路由中的延迟导致用户级的网络异常。例如,视频流可能缺失视频的若干秒,数字电话可能被打断,以及网络浏览的响应时间被延迟。
为了解决与通过MACsec会话的有效通信的停止和MACsec会话周围的网络通信的重新路由之间的延迟相关联的技术问题,所公开的实施例发出(signal)一种新类型的警报。新的MACsec链路报警早于传统的MACsec会话超时被认识而被发出。例如,直到至少三个MACsec“活跃性”(例如,MKA问候时间(Hello Time)或MAK有界问候时间(Bounded HelloTime))定时间隔流逝为止,传统的MACsec会话超时不会发生,而新的警报在单个“活跃性”间隔流逝之后被发出,无需从MACsec会话的远程对等接收MKPDU消息。所公开的实施例认识到甚至在单个MACsec“活跃性”超时间隔内接收MKPDU失败也是MACsec会话可能失败的信号。通过更早生成新的警报,所公开的实施例通知依赖于MACsec会话的设备,它们应当通过不同的网络路径重新路由它们的数据,以确保它们的通信的连续性。该更早的通知防止与现有的MACsec标准遵守相关联的过度的数据缓冲、超时、延时增加、以及吞吐量减少。
图1是实施所公开的实施例中的一个或多个实施例的网络化系统100的概略图。图1示出了经由网络103与目的地设备104通信的源设备102。源设备102和目的地设备104经由包括多个网络设备的网络路径通信,多个网络设备在图1中示出为服务器105、以及网络设备106、108以及110(示出为路由器)。这些网络设备之间的链路被示出为网络链路122、124、126、128以及130。
所公开的实施例中的至少一些实施例建立媒体访问控制安全性(MACsec)会话,以提供网络路径内两个毗邻的网络设备之间的安全通信。例如,在一些实施例中,MACsec会话通过网络链路128被使用,以确保网络设备108和网络设备110之间的通信。MACsec依赖于在这两个设备之间建立加密密钥,密钥被用于加密和解密通过网络链路128被运送的数据。为了确保MACsec会话保持被建立,MACsec还要求MKPDU以具体的频率或者周期性地被交换,以便维持MACsec会话。例如,MACsec要求MKPDU在MKA生命期超时时段内被交换,其在一些实施例中是六秒。一些实施例以由MKA问候时间参数或者MKA有界问候时间参数定义的间隔(其在一些实施例中,分别是两秒和0.5秒)执行周期性的传输。如果MKA生命期超时时段经过,而没有对MKPDU的成功的接收,则MACsec会话被终止。
对MACsec会话内的MKPDU进行接收的频率要求使MACsec会话的风险最小化,而由MACsec标准定义的超时协议可以导致在两个设备之间的通信的损失和由MACsec会话已丢失的设备中的一个设备的检测之间相对长的延迟。例如,在一些实施例中,六秒(例如,MKA生命期)可以在参与会话的第一设备确定会话不再是激活的之前流逝。在MKA生命期正在流逝时,在一些情况下,数据到达第一设备以用于向参与MACsec会话的第二设备的传输。取决于会话的状态,该数据被传输到第二设备处,或者被保留在第一设备处。当从第一设备到第二设备的数据流由于MACsec会话的问题停止时,数据继续到达第一设备,并且,在至少一些实施例中,在第一设备处被缓冲。在一些实施例中,在第一设备处缓冲数据使第一设备关闭在第一设备和第一设备的上游的设备(例如,网络设备106)之间的流控制窗口。此外,当MACsec会话丢失时,数据缓冲可能发生吞吐源设备和目的地设备之间的网络路径。例如,数据可以继续在端点设备处被缓冲一些时间,例如,当负责数据的传输的传送级协议的流控制窗口由于起因于MACsec会话丢失的端到端通信的失败而关闭时。
该数据的过度缓冲浪费源设备102与链接失败的点之间的设备和链路(诸如在上面的示例中的网络链路128)的网络容量和处理容量两者。此外,在从第二设备接收MKPDU的第一失败和MACsec会话的断开之间的延迟也延迟源设备和第二设备之间的数据通信的任何重新路由。
图2示出了与所公开的实施例中的一个或多个实施例一致的在网络路径200上的网络通信的示例。图2的示例示出了在网络路径200上的象征性的网络通信期间网络设备中的缓冲。图2示出了在从源设备(例如,源设备102)到目的地设备(例如,目的地设备104)的单个方向上的网络通信。如本领域技术人员所理解的,在大部分网络上的通信在多个方向上流动,但是仅有单个方向在图2的讨论中被考虑,以简化图示和讨论。
图2示出了在网络路径200上的网络通信以及在网络路径200内的多个网络设备之间的网络通信的典型的稳定状态。如所示出的,网络设备106、108以及110中的每个网络设备使一些数据被缓冲。网络设备中的每个网络设备已经缓冲了两个分组。网络设备106缓冲分组202a和分组202b,网络设备108缓冲分组204a和分组204b,并且网络设备110缓冲分组206a和分组206b。
图3示出了与所公开的实施例中的一个或多个实施例一致的在网络路径300上的网络通信的示例。与上面关于图2描述的稳定状态环境相反,图3图示了可以在MACsec会话失败存在时发生的在网络设备内的缓冲。图3也图示了从源设备(例如,源设备102)到目的地设备(例如,目的地设备104)的网络通信。网络通信遍历包括图3的图示出的网络设备的网络路径300,包括网络设备106、网络设备108、以及网络设备110。图3示出了网络链路108已经经历如下问题,该问题导致在网络设备108和网络设备110之间的通信中的中断301。
作为网络设备108和网络设备110之间的通信中的中断301的结果,图3图示了附加的数据在中断301上游的网络设备处被缓冲,包括在网络设备106处、以及在网络设备108处,网络设备106示出六个经缓冲的分组302a-f,网络设备108示出四个经缓冲的分组304a-d。经缓冲的分组302a-f以及经缓冲的分组304a-d至少部分地起因于源设备102在中断301存在时继续将数据发送到网络路径300中,这阻止由源设备102发送的任何数据到达目的地设备104。网络设备108在本地缓冲数据,至少直到存储极限被达到为止,而不是能够将数据传输到网络设备110。至少在一些实施例中,网络设备110也关闭与网络设备106的流控制窗口。在这种情况下,网络设备106不能够将任何附加的数据发送到网络设备108,导致在网络设备106处的数据的缓冲,这由经缓冲的分组302a-f表示。
该数据的缓冲在一些情况下对总体的网络系统性能、效率以及客户满意度是有害的。例如,网络路径300内的数据的缓冲导致计算和网络资源的低效率的使用,因为经缓冲的数据消耗沿着网络路径的可用吞吐量、它在其中被缓冲的设备中的每个设备内的存储器空间、以及管理经缓冲的数据所必需的任何计算功率。附加地,缓冲是端到端通信机制没有充分地适配于沿着网络路径300的链路级条件的信号,其至少部分地是由缓冲导致的低效率使的。
如上面所讨论的,所公开的实施例寻求将起因于端到端通信机制的该失败的数据缓冲和延迟最小化,以适配于网络链路128的条件,如下面进一步所讨论的。
图4是示出消息在源设备和目的地设备之间的网络路径内的三个网络设备之间被交换的序列图。图4的具体示例示出了在网络链路128上的MACsec会话内的数据消息和MKPDU消息(例如,MACsec密钥协商(MKA)协议数据单元(MKPDU))。图4示出了三个网络设备106、108以及110。图4图示了数据消息412a从网络设备106被传输到网络设备108。网络设备108和网络设备110已经通过网络链路128建立了MACsec会话。图4示出了MKPDU 402和MKPDU404分别由网络设备108和网络设备110发送。图4也示出了四个两秒定时窗口405a-d。在一些实施例中,两秒定时窗口405a-d中的每个两秒定时窗口表示由MKA问候时间或者MKA有界问候时间定义的周期性传输时间段。图4的示例将这些定时窗口中的每个定时窗口描述为长度两秒,而其他实施例则将定时窗口的长度改变为其他时间段。
如上面所描述的,MACsec的一些实现要求依序的MKPDU至少在MKA生命期超时窗口内从MACsec会话的第二设备被接收,MKA生命期超时窗口的长度在至少一些实施例中是六秒。如果没有MKPDU在MKA生命期超时窗口内被接收,则MACsec会话被视为断开。因此,图4示出了网络设备108和网络设备110分别接收MKPDU 402和MKPDU 404。MKPDU也作为MKPDU 406和MKPDU 408分别由网络设备108和网络设备110接收。在定时窗口405a期间,MKPDU 406由网络设备108从网络设备110接收,并且网络设备110在定时窗口405b期间接收MKPDU 408。作为附加,MKPDU 410被示出为由网络设备108传输到网络设备110,图4还图示了在定时窗口405b、405c或者405d中的任何定时窗口期间,网络设备108未从网络设备110接收到MKPDU。因为网络设备108在三个连续的定时窗口405b-d期间未从网络设备110接收到任何MKPDU,流逝时间因而超过MKA生命期超时窗口,并且因此网络设备108确定MACsec会话被断开。在一些实施例中,图4的定时窗口405a-d是MACsec“活跃性”或者“问候时间”间隔。
图4进一步图示了当上面讨论的MKPDU在网络设备108和网络设备110之间被交换时,网络设备106继续向网络设备108发送数据。该数据由数据消息412b和数据消息412c表示。在接收数据消息412a和数据消息412b时,图4示出网络设备108向网络设备110发送数据,分别表示为数据消息414a和数据消息414b。在接收数据消息412c和数据消息412d时,图4图示了网络设备108未将数据转发给网络设备110。在一些实施例中,这是网络设备108的流控制窗口关闭的结果。这可以导致在网络设备108和网络设备110之间的网络链路128上的通信故障,尽管当数据消息412c和数据消息412d被网络设备108接收、网络链路128的问题还未被检测到时。图4进一步示出了在三个连续的时间段405b-d期满而未从网络设备110接收到MKPDU时,网络设备108终止网络设备108和网络设备110之间的MACsec会话。作为结果,网络设备108生成路由消息430,并且将路由消息430传输给上游设备,网络设备106。路由消息430指示,例如,网络设备108和网络设备110之间的网络链路是不运作(inoperative)的。路由消息430被配置为使一个或多个上游设备从它们的路由表移除包括网络链路128的路由,使得通信利用不包括网络链路128的网络路径。一些实施例在MKA生命期超时窗口被超过之后而未接收到MKPDU的情况下生成通信关闭警报(communicationdown alarm),诸如在三个“活跃性”定时间隔405b-d的期满之后。
所公开的实施例认识到存在关于数据的积累的问题,在没有进一步的MKPDU被网络设备108从网络设备110接收之后,至少由数据消息412c和数据消息412d表示。所公开的实施例认识到,对网络设备108和网络设备110之间的网络链路128的问题的更早的认识可以为上游设备(诸如网络设备106)提供更早的通知。这将降低在源设备(例如,源设备102)和目的地设备(例如,目的地设备104)之间的网络路径内被缓冲的数据的量。
图5是示出消息在三个网络设备之间被交换的序列图。网络设备108和网络设备110是MACsec会话中的参与者。图5中图示的消息交换与图4中的消息交换类似,但是在至少一个方面不同。图5示出了四个连续的流逝时间窗口505a-d。
在一些实施例中,流逝时间窗口505a-d中的每个流逝时间窗口是MACsec MKA问候时间或者MKA有界问候时间间隔。图5也示出了MKPDU在网络设备108和网络设备110之间通过网络链路128被交换。在一些实施例中,MKPDU包括安全关联密钥(SAK)编号。在定时窗口505a期间或者之前,MKPDU 502和MKPDU 504分别由网络设备108和网络设备110接收。图5也示出了在定时窗口505b期间,MKPDU 506和MKPDU 508分别由网络设备108和网络设备110接收。在网络设备108在定时窗口505a和定时窗口505b之前或者期间维持网络设备108和网络设备110之间的MACsec会话时,网络设备108将数据514a和数据514b发送给网络设备110,作为分别从网络设备106接收数据512a和512b的结果。在一些实施例中,MKPDU(诸如消息502、消息504、消息506、消息508或者消息510中的任何消息)由消息的源设备以如下间隔周期性地进行传输,间隔被MACsec标准定义为MKA问候时间或者MKA有界问候时间。
在一些实施例中,MACsec会话中的参与者在MKPDU(诸如MKPDU 502、MKPDU 504、MKPDU 506、MKPDU 508或者MKPDU 510)中的每个MKPDU中包括活跃对等列表和潜在对等列表。活跃对等列表包括如下所有对等:已在最近的MKPDU中包括参与者的消息标识符(MI)以及最近的消息编号(MN)。潜在的对等列表包括如下其他对等:已传输已被参与者直接接收的MKPDU,或者曾被包括在由已证明活跃性的对等所传输的MKPDU的活跃对等列表中。当自参与者最近的MN被传输以来,在MKA生命期和MKA生命期加上MKA问候时间之间的间隔已流逝时,对等从每个列表被移除。该时间足以确保在对活跃对等的不正确移除之前,两个或更多MKPDU将已被丢失或被延迟。
图5示出了在定时窗口505b期间,没有MKPDU从网络设备110被网络设备108接收。因此,所公开的实施例中的一些实施例生成路由消息525作为结果。在一些实施例中,路由消息525被传输,以指示网络链路128不再起作用。在一些实施例中,在路由消息525之前,MACsec链路报警警报被提出(raise)。至少在一些实施例中,链路报警警报的提出导致路由消息525的生成。
在从MACsec会话的远程侧(例如,网络设备110)接收任何MKPDU(例如,包括SAK)失败之后,网络设备108生成路由消息525。如图5所示,路由消息525被至少传输给上游设备(诸如网络设备106)。路由消息525通过与支持失败的MACsec会话的网络链路(例如,网络链路128)不同的网络链路(例如,网络链路126)被传输。在接收路由消息525时,网络设备106认为与网络设备108的通信在现在的时间是不可能的,并且可以标识和利用源设备和目的地设备之间的一个或多个其他网络路径。通过在失败时传输路由消息525以接收单个定时窗口(例如,定时窗口505b)内的MKPDU,网路设备108能够提供更早的认识,认识到在网络链路128上在网络设备108与网络设备110之间的MACsec会话存在问题。该更早的认识改善网络融合时间、降低分组错误并且改善源设备和目的地设备之间的通信涉及的设备的网络吞吐。
注意在一些情况下,MKPDU在链路报警警报和/或路由消息525被生成之后、但是在MKA生命期超时时段期满之前被接收。在一些实施例中,如果MKPDU在链路报警警报和/或路由消息525被生成之后、但是在MKA生命期超时时段的期满之前被接收,则先前提出的链路报警警报被清除和/或附加的路由消息被生成,其中附加的路由消息指示在链路上的通信是起作用的。
图6是实施所公开的实施例中的一个或多个实施例的示例方法的流程图。在一些实施例中,下面关于方法600讨论的功能中的一个或多个功能由硬件处理电路装置(例如,下面讨论的处理器702)执行。在一些实施例中,指令(例如,下面讨论的指令724)被存储在电子存储器中(例如,下面讨论的存储器704和/或存储器706),并且当其被执行时,配置硬件处理电路装置执行下面关于方法600和/或图6讨论的功能中的一个或多个功能。在一些实施例中,方法600由上面讨论的网络设备106、网络设备108或者网络设备110中的任一个网络设备执行。在下面的讨论中,执行方法600的设备被称为“执行设备”。
在一些实施例中,方法600描述两个端点设备之间的网络路径内的网络设备的操作,两个端点设备诸如源设备(例如,源设备102)和目的地设备(例如,目的地设备104)。网络通信一般在两个端点设备之间的两个方向上都流动,但是在一些情况下,关于从第一网络设备到第二网络设备的流而被讨论,其中MACsec会话在第一网络设备和第二网络设备之间被建立。
在开始操作605之后,方法600移动到操作610。在操作610中,与第二网络设备的MACsec会话由第一设备通过第一网络链路建立。MACsec会话包括预定义的会话超时阈值,其定义通过MACsec会话对连续的MKPDU的接收之间被允许的最大流逝时间。例如,如上面关于图4和图5所讨论的,一些实施例跟踪从第二设备对MKPDU的接收之间的流逝时间。在一些实施例中,会话超时阈值相当于由MACsec标准定义的MKA生命期参数值。在一些实施例中,会话超时值是六秒。一些其他实施例利用不同长度的定时窗口,诸如一(1)秒、1.5秒、三(3)秒,或者任何秒数或秒的分数。这些实施例中的一些实施例依据“活跃性”超时窗口、或者“问候时间”窗口的数目定义会话超时阈值。例如,如上面所讨论的,一些实施例将最大流逝时间设置为相当于三(3)个“活跃性”定时窗口流逝,在三(3)个定时窗口中的每个定时窗口具有两(2)秒的长度的情况下,总的流逝时间为六(6)秒。
操作615监测MACsec会话的依序MKPDU之间的流逝时间。例如,如上面关于至少图1以及图4至图5所讨论的,一些实施例要求经由MACsec会话连接的两个设备之间的MKPDU的周期性通信。操作615监测通过MACsec会话所接收的依序MKPDU之间的流逝时间。例如,在一些实施例中,操作615包括监测由执行设备或第一设备从第二设备对连续的MKPDU消息的接收之间的时间量。
在操作620中,将所监测的流逝时间与预定义的警报时间阈值相比较。警报阈值表示比会话超时阈值更小的流逝时间的量。在一些实施例中,操作620确定监测的流逝时间是否超过预定义的警报时间阈值。例如,一些实施例将预定义的警报时间阈值设置为相当于由MACsec标准(例如,MKA问候时间或者MKA有界问候时间,其在一些实施例中,分别相当于两秒和0.5秒的时间段)定义的单个“活跃性”定时窗口的长度。在一些实施例中,这一单个的“活跃性”定时窗口类似于定时窗口405a-d或者定时窗口505a-d中的任何一个定时窗口。
在至少一些实施例中,操作620包括将消息传输给第二设备,消息请求第二设备通过MACsec会话利用针对通信的新密钥。在一些实施例中,消息在MKPDU中被运送。例如,在一些实施例中,消息被编码,以便包括安全关联密钥(SAK)编号。操作620的一些实施例包括依序将多个请求发送给第二设备,该多个请求中的每个请求请求第二设备在MACsec会话期间利用针对通信的新密钥。在一些实施例中,多个请求中的每个请求指定不同的新密钥。在一些实施例中,对利用新密钥的这些请求被周期性地生成。
基于在操作620中进行的比较,操作625选择性地生成MACsec链路报警。因此,在一些实施例中,响应于所监测的流逝时间超过预先定义的警报时间阈值,MACsec链路报警被生成。在一些实施例中,MACsec链路报警类似于报警或系统日志或错误消息。在这些实施例中,MACsec链路报警被添加到一个或多个系统日志,并且在一些实施例中生成对一个或多个联系方的报警,一个或多个联系方被配置为接收所述警报的通知(例如,经由电子邮件、文本等)。在一些实施例中,MACsec链路报警由第一软件或固件组件/模块生成,并且由第二软件或者固件组件模块接收。例如,在一些实施例中,物理层驱动或者模块生成MACsec链路报警,并且,例如,该警报由在更高级的网络组件中所实施的路由协议接收。例如,在一些实施例中,IGP或BFD协议模块接收警报。在一些实施例中,对警报的接收使IGP或BRD模块生成一个或多个路由消息,一个或多个路由消息指示包括第一网络链路的路由不再运作(operative)。
在一些实施例中,生成MACsec链路报警包括通过第二网络链路传输路由消息(例如,IGP或BFD消息)。在这些实施例中,例如,消息经由在消息的具体字段中的预定义的编号或代码来指示网络链路对于网络通信不再可用。在一些实施例中,消息被配置为使一个或多个网络设备从它们的路由表移除包括网络链路的网络路径。
如上面所讨论的,在一些实施例中,执行设备被连接到至少两个网络链路。例如,如上面关于图1至图3中的任一图所讨论的,例如,网络设备106、网络设备108、以及网络设备110被示出为通过两个不同的链路通信。例如,网络设备106通过网络链路124和网络链路126两者通信。网络设备108通过网络链路126和网络链路128两者通信。例如,网络设备110通过网络链路128和网络链路130通信。因此,如果MACsec会话通过第一网络链路被初始地建立,则MACsec链路报警被生成并且消息通过第二网络链路被传输。在一些实施例中,MACsec链路报警消息通知上游设备(例如,如图3中所图示的网络设备106)包括执行设备的网络路径、或者至少包括执行设备和远程设备的网络路径不可用,并且因此至少在一些实施例中,上游设备通过不包括第一网络链路的网络路径重新路由源设备和目的地设备之间的通信。
一些实施例响应于生成链路报警而建立安全阻塞(secure block)模式会话。在安全阻塞模式的一些实施例中,任何现有的业务使用现有的数据平面编程而被处理。然而,在安全阻塞模式中,至少直到新的MACsec会话被建立为止,到达网络链路的接口的任何分组不使用MACsec链路。
一些实施例继续监测依序的MKPDU之间的流逝时间,并且检测依序的MKPDU之间的流逝时间何时超过会话超时阈值。响应于会话超时阈值被超过,一些实施例终止或者关闭MACsec会话。
这些实施例中的一些实施例响应于流逝时间超过会话超时阈值而生成通信关闭警报。通信关闭警报与通信通过其发生的端口或接口/网络相关联,其在方法600的示例中是第一网络链路。在一些实施例中,通信关闭警报由设备的物理层组件生成,诸如与链路驱动相关联的软件和/或固件,或者其他物理层代码。通信关闭警报由更高级的组件接收,诸如路由组件。在一些实施例中,响应于通信关闭警报,路由组件允许任何现有的分组利用第一网络链路,以通过第一网络链路接口排放。这些实施例还生成一个或多个路由消息,一个或多个路由消息重新配置网络路径内的网络设备,以通过不同的路径重新路由任何新的数据。换而言之,在至少一些实施例中,路由消息使任何包括第一网络链路的网络路径无效。
与警报相关联的典型的数据是该条件发生在其上的端口或者接口。由于该警报意在用于上层(路由),典型的动作是让当前传输中的分组通过当前接口排放,但是重新编程数据路径以通过替代的路径(假设它存在)重新路由新的分组。链路报警警报使业务被重新路由。
在一些实施例中,响应于通信关闭警报,报警被生成。例如,报警由网络操作器接收,在一些情况下,网络操作器提示纠正动作。一些实施例在链路报警被生成之后监测通信关闭警报,如果在链路报警之后的预定义时间段内没有通信关闭警报被接收/被生成,则链路报警被重置或者以其他方式被擦除。在一些情况下,MKPDU在MKA生命期时段之前被接收,因此指示MACsec会话仍然是完整的。在这种情况下,在至少一些实施例中,附加的路由消息被生成,附加的路由消息指示第一网络链路再次起作用。
在操作625完成之后,方法600移到结束操作630。
图7图示了示例机器700的框图,本文中所讨论的技术(例如,方法)中的任何一个或多个技术可以在其上执行。机器700(例如,计算机系统)可以包括硬件处理器702(例如,中央处理单元(CPU)、图形处理单元(GPU)、硬件处理器核、或者前述的任何组合)、主存储器704以及静态存储器706,其中的一些或者所有可以经由互联(例如,总线)而彼此通信。
主存储器704的特定示例包括随机存取存储器(RAM)以及半导体存储器设备,在一些实施例中,半导体存储器设备可以包括半导体中的存储位置(诸如寄存器)。静态存储器707的特定示例包括非易失性存储器,诸如半导体存储器设备(例如,电可编程只读存储器(EPROM)、电可擦除可编程只读存储器(EEPROM))以及闪存设备;磁盘,诸如内部硬盘以及可移动盘;磁光盘;RAM;以及CD-ROM和DVD-ROM盘。
机器700还包括显示器设备710、输入设备712(例如,键盘)、以及用户接口(UI)导航设备714(例如,鼠标)。在一个示例中,显示器设备710、输入设备712以及UI导航设备714可以是触摸屏显示器。机器700可以附加地包括大容量存储设备(例如,驱动单元)716、信标信号生成设备718、网络接口设备720、以及一个或多个传感器721(诸如全球定位系统(GPS)传感器、罗盘、加速度计、或者另一传感器)。机器700可以包括输出控制器728,诸如以供通信或控制一个或多个外围设备(例如,打印机、读卡器等)的串行(例如,通用串行总线(USB))、并行、或者其他有线或无线(例如,红外的(IR)、近场通信(NFC)等)连接。在一些实施例中,硬件处理器702和/或指令724可以包括处理电路装置和/或收发器电路装置。
大容量存储设备716可以包括机器可读介质722,在机器可读介质722上存储有数据结构或指令724的一个或多个集合(例如,软件),数据结构或指令724的一个或多个集合实施本文所描述的技术或功能中的任何一个或多个技术或功能、或者由本文所描述的技术或功能中的任何一个或多个技术或功能利用。在至少一些实施例中,机器可读介质722是非瞬态计算机可读存储介质。在由机器700对其的执行期间,指令724也可以完全地或者部分地驻留在主存储器704内、在静态存储器706内、或者在硬件处理器702内。在一个示例中,硬件处理器702、主存储器704、静态存储器706、或者大容量存储设备716中的一个或任何组合可以构成机器可读介质。
机器可读介质的特定示例可以包括非易失性存储器,诸如半导体存储器设备(例如,EPROM或者EEPROM)以及闪存设备;磁盘,诸如内部硬盘以及可移动盘;磁光盘;RAM;以及CD-ROM和DVD-ROM盘。
虽然机器可读介质722被图示为单个介质,但是术语“机器可读介质”可以包括被配置为存储指令724的单个介质或者多个介质(例如集中式或者分布式数据库、和/或与高速缓存以及服务器相关联)。
机器700的装置可以是以下中的一个或多个:硬件处理器702(例如,中央处理单元(CPU)、图形处理单元(GPU),硬件处理器核、或者上述的任意组合)、一个或多个硬件存储器(包括主存储器704和静态存储器706中的一个或多个)。在一些实施例中,机器700的装置还包括一个或多个传感器721、网络接口设备720、一个或多个天线760、显示器设备710、输入设备712、UI导航设备714、大容量存储设备716、指令724、信标信号生成设备718、以及输出控制器728。装置可以被配置为执行本文中所公开的方法和/或操作中的一个或多个方法和/或操作。装置可以意在作为机器700的组件,以执行本文中所公开的方法和/或操作中的一个或多个方法和/或操作,和/或执行本文中所公开的方法和/或操作中的一个或多个方法和/或操作的一部分。在一些实施例中,装置可以包括销或者其他手段以接收功率。在一些实施例中,装置可以包括功率调节硬件。
术语“机器可读介质”可以包括如下任何介质:能够存储、编码、或者携带用于由机器700执行并且使机器700执行本公开的技术中的任何一个或多个技术的指令的介质,或者能够存储、编码或者携带由这样的指令使用或者与这样的指令相关联的数据结构的介质。非限制性的机器可读介质示例可以包括固态存储器、以及光学和磁性介质。机器可读介质的特定示例可以包括:非易失性存储器,诸如半导体存储器设备(例如,电可编程只读存储器(EPROM)、电可擦除可编程只读存储器(EEPROM))以及闪存设备;磁盘,诸如内部硬盘以及可移动盘;磁光盘;随机存取存储器(RAM);以及CD-ROM和DVD-ROM盘。在一些示例中,机器可读介质可以包括非瞬态机器可读介质。在一些示例中,机器可读介质可以包括不是瞬态传播信号的机器可读介质。
指令724还可以利用若干传输协议(例如,帧中继、互联网协议(IP)、传输控制协议(TCP)、用户数据报协议(UDP)、超文本传输协议(HTTP)等)中的一个协议经由网络接口设备720使用传输介质通过通信网络726被传输或者被接收。示例通信网络可以包括局域网(LAN)、广域网(WAN)、分组数据网络(例如,互联网)、移动电话网络(例如,蜂窝网络)、普通老式电话(POTS)网络、以及无线数据网络(例如,被称为的电气和电子工程师协会(IEEE)802.11标准族、被称为/>的IEEE 802.16标准族)、IEEE 802.15.4标准族、长期演进(LTE)标准族、通用移动电信系统(UMTS)标准族、对等(P2P)网络等。
在一个示例中,网络接口设备720可以包括一个或多个物理插口(例如,以太网、同轴、或电话插口)或者一个或多个天线以连接到通信网络726。在一个示例中,网络接口设备720可以包括一个或多个天线760以使用单输入多输出(SIMO)技术、多输入多输出(MIMO)技术或者多输入单输出(MISO)技术中的至少一项来无线地通信。在一些示例中,网络接口设备720可以使用多用户MIMO技术无线地通信。术语“传输介质”应当被认为包括能够存储、编码或者携带用于由机器700执行的指令的任何无形介质,并且包括促进这样的软件的通信的数字通信信号或模拟通信信号、或者其他无形介质。
如本文中所描述的示例可以包括逻辑或者若干组件、模块或机制,或者可以在逻辑或者若干组件、模块或机制上操作。模块是能够执行指定的操作的有形实体(例如,硬件),并且可以以某种方式被配置或者被布置。在一个示例中,电路可以以指定的方式被布置(例如,内部地或者关于诸如其他电路的外部实体)为模块。在一个示例中,一个或多个计算机系统(例如,单机的、客户端或者服务器计算机系统)或者一个或多个硬件处理器的整体或部分可以由固件或者软件(例如,指令、应用部分、或者应用)配置为操作以执行指定的操作的模块。在一个示例中,软件可以驻留在机器可读介质上。在一个示例中,软件当由模块的基础硬件执行时,使硬件执行指定的操作。
各种实施例的技术可以使用软件、硬件和/或软件与硬件的组合而被实施。各种实施例涉及装置,例如管理实体,例如,网络监测节点、路由器、网关、交换机、接入点、DHCP服务器、DNS服务器、AAA服务器、用户装备设备,例如,无线节点,诸如移动无线终端、基站、通信网络以及通信系统。各种实施例还涉及方法,例如,控制和/或操作一个或多个通信设备(例如,网络管理节点、接入点、无线终端(WT)、用户装备(UEs)、基站、控制节点、DHCP节点、DNS服务器、AAA节点、移动性管理实体(MMEs)、网络、和/或通信系统)的方法。各种实施例还涉及非瞬态机器,例如,计算机、可读介质(例如ROM、RAM、CDs、硬盘等),其包括用于控制机器以实现方法的一个或多个步骤的机器可读指令。
应理解,所公开的过程中的步骤的特定的顺序或层次作为示例方法被提供。基于设计偏好,应理解过程中的步骤的特定的顺序或者特层次可以被重新安排,而不脱离本公开的范围。所附方法权利要求以示例顺序呈现各种步骤的要素,并不旨在限于所呈现的特定的顺序或层次。
在各种实施例中,本文中所描述的设备和节点使用一个或多个模块被实施,以执行对应于一个或多个方法的步骤,例如,信号生成、传输、处理、分析、和/或接收步骤。因此,在一些实施例中,各种特征用模块实施。这样的模块可以使用软件、硬件或者软件和硬件的组合实施。在一些实施例中,每个模块利用包括独立电路的设备或系统而被实施为单独电路,用于实施对应于每个所描述的模块的功能。上面所描述的方法或者方法步骤中的许多方法或方法步骤,可以使用机器可执行指令(诸如软件)被实现,机器可执行指令被包括在诸如存储器设备的机器可读介质(例如,RAM、软盘等)中,以控制机器(例如,具有或不具有附加硬件的通用目的计算机),例如,在一个或多个节点中实施上述方法的全部或者部分。由此,除此以外,各种实施例涉及机器可读介质(例如,非瞬态计算机可读介质),包括机器可执行指令以用于使机器(例如,处理器以及相关联的硬件)执行上述的(多个)方法的步骤中的一个或多个步骤。一些实施例涉及设备,设备包括被配置为实施所公开的实施例的操作中的一个、多个或者全部操作的处理器。
在一些实施例中,一个或多个设备(例如,通信设备,诸如路由器、交换机、网络附加服务器、网络管理节点,无线终端(UE)、和/或访问节点)的一个或多个处理器(例如,CPU)被配置为执行被描述为由设备执行的方法的步骤。处理器的配置可以通过以下达成:使用一个或多个模块(例如,软件模块)以控制处理器配置,和/或在处理器中包括硬件(例如,硬件模块)以执行所述的步骤和/或控制处理器配置。由此,一些但不是全部的实施例涉及一种通信设备,例如,用户装备,其具有处理器,处理器包括对应于各种所述方法的步骤中的每个步骤的模块,各种所述方法由在其中包括处理器的设备执行。在一些但不是全部实施例中,通信设备包括对应于各种所述方法的步骤中的每个步骤的模块,各种所述方法由在其中包括处理器的设备执行。模块可以纯粹由硬件实现(例如,作为电路),或者可以使用软件和/或硬件或者软件和硬件的组合实现。
一些实施例涉及包括计算机可读介质的计算机程序产品,计算机可读介质包括用于使计算机、或者多个计算机实现各种功能、步骤、动作和/或操作(例如,上面所描述的一个或多个步骤)的代码。取决于实施例,计算机程序产品可以并且有时的确包括针对每个将被执行的步骤的不同的代码。因此,计算机程序产品可以并且有时的确包括针对方法的每个单独的步骤的代码,例如,操作通信设备(例如,网络管理节点、接入点、基站、无线终端或者节点)的方法。代码可以是以机器(例如计算机)可执行指令的形式存储在计算机可读介质(诸如RAM(随机存取存储器)、ROM(只读存储器)或者其他类型的存储设备)上。在涉及计算机程序产品以外,一些实施例还涉及被配置为实现上面所描述的一个或多个方法的各种功能、步骤、动作和/或操作的处理器。由此,一些实施例涉及被配置为实现本文中所描述的方法的步骤中的一些或全部步骤的处理器(例如,CPU)。处理器可以用于在例如本申请中所描述的通信设备或者其他设备中使用。
虽然在包括有线、光学、蜂窝、Wi-Fi、蓝牙以及BLE的通信系统的上下文中被描述,但是各种实施例的方法和装置中的至少一些方法和装置适用于广泛的通信系统,包括基于IP的和非基于IP的、OFDM和非OFDM、和/或非蜂窝系统。
鉴于上面的描述,上面所描述的各种实施例的方法和装置上的大量附加的变化对本领域技术人员将是明显的。这样的变化被认为在范围内。这些方法和装置可以是、并且在各种实施例中是与基于IP的和非IP的、有线和无线(诸如CDMA)、正交频分复用(OFDM)、Wi-Fi、蓝牙、BLE、光学和/或各种其他类型的通信技术一起使用,为了实现方法,这些通信技术可以被用以提供在网络附加设备或与网络相关联的设备、或者其他设备(包括接收器/发射器电路以及逻辑和/或例程)之间的链路。
示例1是一种方法,包括:由第一网络设备通过第一网络链路建立与第二网络设备的媒体访问控制安全(MACsec)会话,所述MACsec会话包括预定义的会话超时阈值,所述会话超时阈值定义通过所述MACsec会话对来自所述第二网络设备的两个依序的MACsec密钥协商协议数据单元(MKPDU)的接收之间的最大流逝时间;监测通过所述MACsec会话对来自所述网络设备的两个依序的MKPDU的接收之间的流逝时间;将所述流逝时间与预定义的警报时间阈值相比较,预定义的所述警报时间阈值表示比所述会话超时阈值小的流逝时间;以及选择性地基于所述比较生成MACsec链路报警。
在示例2中,示例1的技术方案可选地包括其中预定义的所述会话超时阈值相当于MKA生命期。
在示例3中,示例1-2中的任何一个或多个示例的技术方案可选地包括其中预定义的所述警报时间阈值是MKA问候时间或者MKA有界问候时间。
在示例4中,示例1-3中的任何一个或多个示例的技术方案可选地包括:响应于生成所述MACsec链路报警,进入安全阻塞模式。
在示例5中,示例1-4中的任何一个或多个示例的技术方案可选地包括:其中所述MACsec链路报警响应于所述流逝时间超过所述警报时间阈值而被生成。
在示例6中,示例1-5中的任何一个或多个示例的技术方案可选地包括其中所述MACsec链路报警的所述生成在所述MACsec会话保持建立时发生。
在示例7中,示例1-6中的任何一个或多个示例的技术方案可选地包括第二确定所述流逝时间超过所述会话超时阈值;响应于所述第二确定,终止通过所述第一网络链路的所述MACsec会话;以及生成通信关闭警报。
在示例8中,示例6-7中的任何一个或多个示例的技术方案可选地包括:响应于所述最大流逝时间期满而没有通过所述MACsce会话从所述第二网络设备接收到MKPDU,生成MACsec通信关闭警报。
在示例9中,示例1-8中的任何一个或多个示例的技术方案可选地包括:其中所述MACsec链路报警的所述生成包括向第三网络设备传输指示所述MACsec链路报警的网络消息,其中所述网络消息被配置为使所述第三网络设备在所述流逝时间超过所述超时阈值之前,停止通过包括所述第一网络链路的网络路径路由数据。
在示例10中,示例8-9中的任何一个或多个示例的技术方案可选地包括所述网络消息的所述传输将所述网络消息通过第二网络链路传输给所述第三网络设备。
示例11是一种系统,包括:硬件处理电路装置;存储指令的一个或多个硬件存储器,所述指令当被执行时,将所述硬件处理电路装置配置为执行以下操作,所述操作包括:由第一网络设备通过第一网络链路建立与第二网络设备的媒体访问控制安全(MACsec)会话,所述MACsec会话包括预定义的会话超时阈值,所述会话超时阈值定义通过所述MACsec会话对所述第二网络设备的两个依序的MACsec密钥协商协议数据单元(MKPDU)的接收之间的最大流逝时间;监测通过所述MACsec会话对来自所述网络设备的两个依序的MKPDU的接收之间的流逝时间;将所述流逝时间与预定义的警报时间阈值相比较,预定义的所述警报时间阈值表示比所述会话超时阈值小的流逝时间;以及选择性地基于所述比较来生成MACsec链路报警。
在示例12中,示例10-11中的任何一个或多个示例的技术方案可选地包括其中预定义的所述会话超时阈值相当于MKA生命期。
在示例13中,示例10-12中的任何一个或多个示例的技术方案可选地包括其中预定义的所述警报时间阈值是MKA问候时间或者MKA有界问候时间。
在示例14中,示例10-13中的任何一个或多个示例的技术方案可选地包括其中所述MACsec链路报警响应于所述流逝时间超过所述警报时间阈值而被生成。
在示例15中,示例10-14中的任何一个或多个示例的技术方案可选地包括其中所述MACsec链路报警的所述生成在所述MACsec会话保持建立时发生。
在示例16中,示例10-15中的任何一个或多个示例的技术方案可选地包括操作,所述操作还包括:第二确定所述流逝时间超过所述会话超时阈值;以及响应于所述第二确定,终止通过所述第一网络链路的所述MACsec会话。
在示例17中,示例15-16中的任何一个或多个示例的技术方案可选地包括操作,所述操作还包括:响应于所述最大流逝时间期满而没有通过所述MACsce会话从所述第二网络设备接收到MKPDU,生成MACsec通信关闭警报。
在示例18中,示例10-17中的任何一个或多个示例的技术方案可选地包括其中所述MACsec链路报警的所述生成包括向第三网络设备传输指示所述MACsec链路报警的网络消息,其中所述网络消息被配置为使所述第三网络设备在所述流逝时间超过所述超时阈值之前,停止通过包括所述第一网络链路的网络路径路由数据。
示例19是一种包括指令的非瞬态计算机可读存储介质,所述指令当被执行时,将硬件处理电路装置配置为执行以下操作,所述操作包括:由第一网络设备通过第一网络链路建立与第二网络设备的媒体访问控制安全(MACsec)会话,所述MACsec会话包括预定义的会话超时阈值,所述会话超时阈值定义通过所述MACsec会话对来自所述第二网络设备的两个依序的MACsec密钥协商协议数据单元(MKPDU)的接收之间的最大流逝时间;监测通过所述MACsec会话对来自所述网络设备的两个依序的MKPDU的接收之间的流逝时间;将所述流逝时间与预定义的警报时间阈值相比较,预定义的所述警报时间阈值表示比所述会话超时阈值小的流逝时间;以及选择性地基于所述比较来生成MACsec链路报警。
在示例20中,示例19中的技术方案可选地包括:其中预定义的所述会话超时阈值相当于MKA生命期,并且预定义的所述警报时间阈值是MKA问候时间或者MKA有界问候时间。
Claims (20)
1.一种用于媒体访问控制安全的方法,包括:
由第一网络设备通过第一网络链路建立与第二网络设备的媒体访问控制安全MACsec会话,所述MACsec会话包括预定义的会话超时阈值;
监测通过所述MACsec会话对来自所述第二网络设备的连续的MACsec密钥协商协议数据单元MKPDU的接收之间的流逝时间,
其中所述会话超时阈值限定通过所述MACsec会话对任何连续的MKPDU的所述接收之间被允许的最大流逝时间;
将所述流逝时间与预定义的警报时间阈值相比较,预定义的所述警报时间阈值表示比所述会话超时阈值小的流逝时间;以及
选择性地基于所述比较来生成MACsec链路报警。
2.根据权利要求1所述的方法,其中预定义的所述会话超时阈值相当于MKA生命期。
3.根据权利要求1所述的方法,其中预定义的所述警报时间阈值是MKA问候时间或者MKA有界问候时间。
4.根据权利要求1所述的方法,还包括:响应于生成所述MACsec链路报警,进入安全阻塞模式。
5.根据权利要求1所述的方法,其中所述MACsec链路报警响应于所述流逝时间超过所述警报时间阈值而被生成。
6.根据权利要求1所述的方法,其中所述MACsec链路报警的所述生成在所述MACsec会话保持建立时发生。
7.根据权利要求1所述的方法,还包括:
第二确定所述流逝时间超过所述会话超时阈值;
响应于所述第二确定,终止通过所述第一网络链路的所述MACsec会话;以及
生成通信关闭警报。
8.根据权利要求6所述的方法,还包括:响应于所述最大流逝时间期满而没有通过所述MACsec会话从所述第二网络设备接收到MKPDU,生成MACsec通信关闭警报。
9.根据权利要求1所述的方法,其中所述MACsec链路报警的所述生成包括向第三网络设备传输指示所述MACsec链路报警的网络消息,其中所述网络消息被配置为:使所述第三网络设备在所述流逝时间超过所述超时阈值之前,停止通过包括所述第一网络链路的网络路径路由数据。
10.根据权利要求9所述的方法,其中所述网络消息的所述传输将所述网络消息通过第二网络链路传输给所述第三网络设备。
11.一种电子系统,包括:
硬件处理电路装置;
存储指令的一个或多个硬件存储器,所述指令当被执行时,将所述硬件处理电路装置配置为执行以下操作,所述操作包括:
由第一网络设备通过第一网络链路建立与第二网络设备的媒体访问控制安全MACsec会话,所述MACsec会话包括预定义的会话超时阈值;
监测通过所述MACsec会话对来自所述第二网络设备的连续的MACsec密钥协商协议数据单元MKPDU的接收之间的流逝时间,
其中所述会话超时阈值限定通过所述MACsec会话对任何连续的MKPDU的所述接收之间被允许的最大流逝时间;
将所述流逝时间与预定义的警报时间阈值相比较,预定义的所述警报时间阈值表示比所述会话超时阈值小的流逝时间;以及
选择性地基于所述比较来生成MACsec链路报警。
12.根据权利要求11所述的系统,其中预定义的所述会话超时阈值相当于MKA生命期。
13.根据权利要求11所述的系统,其中预定义的所述警报时间阈值是MKA问候时间或者MKA有界问候时间。
14.根据权利要求11所述的系统,其中所述MACsec链路报警响应于所述流逝时间超过所述警报时间阈值而被生成。
15.根据权利要求11所述的系统,其中所述MACsec链路报警的所述生成在所述MACsec会话保持建立时发生。
16.根据权利要求11所述的系统,所述操作还包括:
第二确定所述流逝时间超过所述会话超时阈值;以及
响应于所述第二确定,终止通过所述第一网络链路的所述MACsec会话。
17.根据权利要求15所述的系统,所述操作还包括:响应于所述最大流逝时间期满而没有通过所述MACsec会话从所述第二网络设备接收到MKPDU,生成MACsec通信关闭警报。
18.根据权利要求11所述的系统,其中所述MACsec链路报警的所述生成包括向第三网络设备传输指示所述MACsec链路报警的网络消息,其中所述网络消息被配置为:使所述第三网络设备在所述流逝时间超过所述超时阈值之前,停止通过包括所述第一网络链路的网络路径路由数据。
19.一种包括指令的非瞬态计算机可读存储介质,所述指令当被执行时,将硬件处理电路装置配置为执行以下操作,所述操作包括:
由第一网络设备通过第一网络链路建立与第二网络设备的媒体访问控制安全MACsec会话,所述MACsec会话包括预定义的会话超时阈值;
监测通过所述MACsec会话对来自所述第二网络设备的连续的MACsec密钥协商协议数据单元MKPDU的接收之间的流逝时间,
其中所述会话超时阈值限定通过所述MACsec会话对任何依序的MKPDU的所述接收之间被允许的最大流逝时间;
将所述流逝时间与预定义的警报时间阈值相比较,预定义的所述警报时间阈值表示比所述会话超时阈值小的流逝时间;以及
选择性地基于所述比较来生成MACsec链路报警。
20.根据权利要求19所述的非瞬态计算机可读存储介质,其中预定义的所述会话超时阈值相当于MKA生命期,并且预定义的所述警报时间阈值是MKA问候时间或者MKA有界问候时间。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US17/038,222 | 2020-09-30 | ||
| US17/038,222 US11336647B2 (en) | 2020-09-30 | 2020-09-30 | Error handling for media access control security |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN114363147A CN114363147A (zh) | 2022-04-15 |
| CN114363147B true CN114363147B (zh) | 2023-12-01 |
Family
ID=73855449
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202011529583.9A Active CN114363147B (zh) | 2020-09-30 | 2020-12-22 | 用于媒体访问控制安全性的改善的错误处理 |
Country Status (3)
| Country | Link |
|---|---|
| US (1) | US11336647B2 (zh) |
| EP (1) | EP3979588A1 (zh) |
| CN (1) | CN114363147B (zh) |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US11843583B2 (en) * | 2021-01-05 | 2023-12-12 | Schweitzer Engineering Laboratories, Inc. | Systems and methods for adjusting a secure communication link in an electric power distribution system |
| CN114884839B (zh) * | 2022-06-10 | 2023-05-16 | 中煤科工重庆设计研究院(集团)有限公司 | 一种可检测单向链路质量的检测方法 |
Family Cites Families (22)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20050132360A1 (en) * | 2003-12-11 | 2005-06-16 | Chu Simon C. | Network boot sequence in the absence of a DHCP server |
| KR100640862B1 (ko) * | 2004-08-03 | 2006-11-02 | 엘지전자 주식회사 | 순방향 메시지 전송 중 타임아웃의 동적 제어방법 |
| US7831570B2 (en) * | 2004-12-30 | 2010-11-09 | Oracle International Corporation | Mandatory access control label security |
| US7921208B2 (en) * | 2005-10-24 | 2011-04-05 | Sap Aktiengesellschaft | Network time out handling |
| US8180874B2 (en) * | 2008-01-11 | 2012-05-15 | Alcatel Lucent | Facilitating defense against MAC table overflow attacks |
| FR2927749B1 (fr) * | 2008-02-14 | 2010-12-17 | Canon Kk | Procede et dispositif de transmission de donnees, notamment video. |
| US9369448B2 (en) * | 2011-06-01 | 2016-06-14 | Broadcom Corporation | Network security parameter generation and distribution |
| EP2721900B1 (en) * | 2011-06-14 | 2015-04-08 | Interdigital Patent Holdings, Inc. | Efficiently maintaining communications connectivity for a plurality of applications |
| US8547982B2 (en) * | 2011-11-23 | 2013-10-01 | King Fahd University Of Petroleum And Minerals | Wireless sensor network with energy efficient protocols |
| US8989113B2 (en) * | 2012-05-11 | 2015-03-24 | Blackberry Limited | Method and system for partitioning contention based resources in a wireless network |
| US10098168B2 (en) * | 2014-12-08 | 2018-10-09 | Apple Inc. | Neighbor awareness networking datapath |
| EP3443729A1 (en) * | 2016-04-14 | 2019-02-20 | Telefonaktiebolaget LM Ericsson (PUBL) | Registration of data packet traffic for a wireless device |
| US10667140B2 (en) * | 2016-04-21 | 2020-05-26 | Apple Inc. | Dynamic frequency selection proxy |
| US10075418B1 (en) * | 2017-03-24 | 2018-09-11 | Amazon Technologies, Inc. | Modular encryption device |
| US20180302269A1 (en) * | 2017-04-17 | 2018-10-18 | Hewlett Packard Enterprise Development Lp | Failover in a Media Access Control Security Capable Device |
| US10637865B2 (en) * | 2017-10-16 | 2020-04-28 | Juniper Networks, Inc. | Fast heartbeat liveness between packet processing engines using media access control security (MACSEC) communication |
| US11068600B2 (en) * | 2018-05-21 | 2021-07-20 | Kct Holdings, Llc | Apparatus and method for secure router with layered encryption |
| US11128663B2 (en) * | 2018-10-16 | 2021-09-21 | Cisco Technology, Inc. | Synchronizing link and event detection mechanisms with a secure session associated with the link |
| US11411915B2 (en) * | 2019-01-09 | 2022-08-09 | Cisco Technology, Inc. | Leveraging MACsec key agreement (MKA) state events to trigger fast IGP/EGP convergence on MACsec encrypted links |
| US20200358764A1 (en) * | 2019-05-07 | 2020-11-12 | Verizon Patent And Licensing Inc. | System and method for generating symmetric key to implement media access control security check |
| US11115389B2 (en) * | 2019-05-17 | 2021-09-07 | Juniper Networks, Inc. | Media access control security (MACsec) enabled links of a link aggregation group (LAG) |
| US11489823B2 (en) * | 2020-03-04 | 2022-11-01 | Cisco Technology, Inc. | Network enclave attestation for network and compute devices |
-
2020
- 2020-09-30 US US17/038,222 patent/US11336647B2/en active Active
- 2020-12-17 EP EP20215179.1A patent/EP3979588A1/en active Pending
- 2020-12-22 CN CN202011529583.9A patent/CN114363147B/zh active Active
Also Published As
| Publication number | Publication date |
|---|---|
| CN114363147A (zh) | 2022-04-15 |
| US20220103551A1 (en) | 2022-03-31 |
| US11336647B2 (en) | 2022-05-17 |
| EP3979588A1 (en) | 2022-04-06 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11316858B2 (en) | Fast heartbeat liveness between packet processing engines using media access control security (MACsec) communication | |
| Yi et al. | A case for stateful forwarding plane | |
| US9842013B2 (en) | Dynamic adaptive approach for failure detection of node in a cluster | |
| US9655003B2 (en) | Systems and methods for improved wireless interface aggregation | |
| Sinky et al. | Proactive multipath TCP for seamless handoff in heterogeneous wireless access networks | |
| JP5801175B2 (ja) | パケット通信装置および方法 | |
| CN114363147B (zh) | 用于媒体访问控制安全性的改善的错误处理 | |
| US20160088093A1 (en) | Dynamic data management | |
| JP5884892B2 (ja) | ネットワークシステム、コントローラ、及び負荷分散方法 | |
| US11323310B2 (en) | Method, device, and system for providing hot reservation for in-line deployed network functions with multiple network interfaces | |
| CN108289044B (zh) | 数据转发方法、确定静态路由的链路状态方法及网络设备 | |
| KR20120134466A (ko) | 메쉬 네트워크 노드 및 그의 데이터 전송 방법 | |
| EP1871045B1 (en) | Detecting and bypassing misbehaving nodes in distrusted ad hoc networks | |
| KR20150045639A (ko) | 네트워크를 선택하기 위한 방법 및 그 전자 장치 | |
| EP2523401B1 (en) | Virtual networks within a physical network | |
| US11895228B2 (en) | Pausing a media access control security (MACsec) key agreement (MKA) protocol of an MKA session using a fast heartbeat session | |
| CN110381007B (zh) | Tcp加速方法及装置 | |
| US20200136946A1 (en) | System and method for determining branch gateway device availability in computer networks | |
| US11632326B1 (en) | Selection of network paths for reliable communications based on network reliability metrics | |
| JP6468566B2 (ja) | データ伝送制御システム及び方法、並びに、データ伝送制御プログラム | |
| CN112073270B (zh) | 一种链路故障检测方法及装置 | |
| US20220225171A1 (en) | Reliable and available wireless forwarding information base (fib) optimization | |
| KR20150050447A (ko) | Bgp 라우팅에 대한 장애 처리 방법 | |
| WO2015194134A1 (ja) | 通信状態推定装置、通信状態推定方法及び通信状態推定プログラムを記憶する記録媒体 | |
| JP2009065617A (ja) | Lan通信システム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |