CN117081767A - 删除过时的或未使用的密钥以保证零分组丢失 - Google Patents

删除过时的或未使用的密钥以保证零分组丢失 Download PDF

Info

Publication number
CN117081767A
CN117081767A CN202210718637.9A CN202210718637A CN117081767A CN 117081767 A CN117081767 A CN 117081767A CN 202210718637 A CN202210718637 A CN 202210718637A CN 117081767 A CN117081767 A CN 117081767A
Authority
CN
China
Prior art keywords
network device
key
new
request
data plane
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202210718637.9A
Other languages
English (en)
Inventor
S·蒙德拉
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Juniper Networks Inc
Original Assignee
Juniper Networks Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Juniper Networks Inc filed Critical Juniper Networks Inc
Publication of CN117081767A publication Critical patent/CN117081767A/zh
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0838Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these
    • H04L9/0841Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these involving Diffie-Hellman or related key agreement protocols
    • H04L9/0844Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these involving Diffie-Hellman or related key agreement protocols with user authentication or key authentication, e.g. ElGamal, MTI, MQV-Menezes-Qu-Vanstone protocol or Diffie-Hellman protocols using implicitly-certified keys
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/062Network architectures or network communication protocols for network security for supporting key management in a packet data network for key distribution, e.g. centrally by trusted party
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0435Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply symmetric encryption, i.e. same key used for encryption and decryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0485Networking architectures for enhanced packet encryption processing, e.g. offloading of IPsec packet processing or efficient security association look-up
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/068Network architectures or network communication protocols for network security for supporting key management in a packet data network using time-dependent keys, e.g. periodically changing keys
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0891Revocation or update of secret information, e.g. encryption key update or rekeying
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/14Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using a plurality of keys or algorithms

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computing Systems (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

一些实施例涉及删除过时的或未使用的密钥以保证零分组丢失。第一网络设备可以在第一网络设备的数据平面上安装新的接收密钥,并且可以向第二网络设备提供对安装新的接收密钥的第一请求。第一网络设备可以接收新的接收密钥由第二网络设备安装的第一指示,并且可以基于第一指示在第一网络设备的数据平面上安装新的发送密钥。第一网络设备可以向第二网络设备提供对安装新的发送密钥的第二请求,并且可以接收关于新的发送密钥由第二网络设备安装并且旧的接收密钥由第二网络设备删除的第二指示。第一网络设备可以基于第二指示从第一网络设备的数据平面删除旧的接收密钥。

Description

删除过时的或未使用的密钥以保证零分组丢失
背景技术
媒体访问控制安全(MACsec)在以太网链路上提供点对点安全性。MACsec可以与诸如互联网协议安全(IPsec)和安全套接字层(SSL)之类的其他安全协议结合来进行利用,以提供端到端网络安全性。
发明内容
本文描述的一些实现涉及一种方法。该方法可以包括在第一网络设备的数据平面上安装新的接收密钥,并且向第二网络设备提供对安装新的接收密钥的第一请求。该方法可以包括从第二网络设备接收新的接收密钥由第二网络设备安装的第一指示,以及基于第一指示在第一网络设备的数据平面上安装新的发送密钥。该方法可以包括向第二网络设备提供对安装新的发送密钥的第二请求,以及从第二网络设备接收新的发送密钥由第二网络设备安装并且旧的接收密钥由第二网络设备删除的第二指示。该方法可以包括基于第二指示从第一网络设备的数据平面删除旧的接收密钥。
本文描述的一些实现涉及第一网络设备。第一网络设备可以包括一个或多个存储器和一个或多个处理器。一个或多个处理器可以被配置为在第一网络设备的数据平面上安装新的接收密钥,并向第二网络设备提供对安装新的接收密钥的第一请求。一个或多个处理器可以被配置为从第二网络设备接收新的接收密钥由第二网络设备安装的第一指示,并且基于第一指示在第一网络设备的数据平面上安装新的发送密钥。一个或多个处理器可以被配置为向第二网络设备提供对安装新的发送密钥的第二请求,并且从第二网络设备接收新的发送密钥由第二网络设备安装并且旧的接收密钥由第二网络设备删除的第二指示。一个或多个处理器可以被配置为基于第二指示从第一网络设备的数据平面删除旧的接收密钥,并且用新的发送密钥对业务进行加密以生成加密业务。一个或多个处理器可以被配置为使加密业务被提供给目的地。
本文描述的一些实现涉及存储用于第一网络设备的指令集的非暂态计算机可读介质。指令集在由第一网络设备的一个或多个处理器执行时,可以使第一网络设备在第一网络设备的数据平面上安装新的接收密钥,并向第二网络设备提供对安装新的接收密钥的第一请求。指令集在由第一网络设备的一个或多个处理器执行时,可以使第一网络设备从第二网络设备接收新的接收密钥由第二网络设备安装的第一指示,以及基于第一指示在第一网络设备的数据平面上安装新的发送密钥。指令集在由第一网络设备的一个或多个处理器执行时,可以使第一网络设备向第二网络设备提供对安装新的发送密钥的第二请求,并且从第二网络设备接收新的发送密钥由第二网络设备安装并且旧的接收密钥由第二网络设备删除的第二指示。指令集在由第一网络设备的一个或多个处理器执行时,可以使第一网络设备基于第二指示从第一网络设备的数据平面删除旧的接收密钥,并且从源接收业务。指令集在由第一网络设备的一个或多个处理器执行时,可以使第一网络设备用新的发送密钥对业务进行加密以生成加密业务,并且使加密业务被提供给目的地。
附图说明
图1A-图1E是与删除过时的或未使用的密钥以保证零分组丢失相关联的示例的示图。
图2是可以在其中实现本文描述的系统和/或方法的示例环境的示图。
图3和图4是图2的一个或多个设备的示例组件的示图。
图5是用于删除过时的或未使用的密钥以保证零分组丢失的示例过程的流程图。
具体实施方式
以下示例实现的详细描述参考附图。不同附图中的相同附图标记可以标识相同或相似的元件。
为了实现无中断密钥滚动更新(例如,在密钥滚动更新期间以零分组丢失切换到新的发送(Tx)/接收(Rx)密钥对),首先将Rx密钥安装在所有网络设备上(例如,密钥服务器网络设备和非密钥服务器网络设备),然后安装Tx密钥。换言之,将新的Rx密钥安装在密钥服务器网络设备上,然后将新的Rx密钥安装在对等网络设备上。将新的Tx密钥安装在密钥服务器网络设备上,然后将新的Tx密钥安装在对等网络设备上。这种顺序将确保在密钥服务器网络设备使用新的Tx密钥发送业务之前,网络中的所有网络设备都准备好接收业务。
Tx/Rx密钥被存储在实现MACsec特征的芯片(例如,网络设备的专用集成电路(ASIC))的硬件存储器寄存器中。为了使密钥滚动更新无中断,当前Rx密钥被保持存储在硬件存储器寄存器中,同时新的Rx密钥被安装在网络设备上。这确保网络设备能够使用旧的Tx密钥接收和解密由对等网络设备发送的业务,直到新的Tx密钥被安装在对等网络设备上。然而,由于硬件存储器寄存器是有限资源,当发生密钥滚动更新事件时,网络设备无法继续存储所有先前的Rx密钥,因为网络设备最终将耗尽硬件存储器寄存器并且导致协议功能失败。
因此,用于实现无中断密钥滚动更新的当前技术消耗计算资源(例如,处理资源、存储器资源、通信资源等)、网络资源和/或类似资源,该计算资源、网络资源和/或类似资源与由于存储先前的Rx密钥、基于已耗尽的硬件寄存器而丢失业务、尝试恢复丢失的业务、通过网络提供不安全的业务等而导致的耗尽网络设备的硬件存储器寄存器而相关联。
本文描述的一些实现涉及删除过时的或未使用的密钥以保证零分组丢失的网络设备。例如,第一网络设备可以在第一网络设备的数据平面上安装新的接收密钥,并且可以向第二网络设备提供对安装新的接收密钥的第一请求。第一网络设备可以从第二网络设备接收新的接收密钥由第二网络设备安装的第一指示,并且可以基于第一指示在第一网络设备的数据平面上安装新的发送密钥。第一网络设备可以向第二网络设备提供对安装新的发送密钥的第二请求,并且可以从第二网络设备接收新的发送密钥由第二网络设备安装并且旧的接收密钥由第二网络设备删除的第二指示。第一网络设备可以基于第二指示从第一网络设备的数据平面来删除旧的接收密钥。
以这种方式,网络设备删除过时的或未使用的密钥以保证零分组丢失。例如,一旦网络设备确定网络中的所有MACsec对等网络设备都已移动到新的Tx/Rx密钥对,网络设备的控制平面可以显式地向网络设备的数据平面发送针对过时的或未使用的密钥的Rx密钥删除事件。一旦对等网络设备安装了新的Tx/Rx密钥对,对等网络设备可以更新控制数据分组中的对应字段,从而允许密钥服务器网络设备来确定新的Tx/Rx密钥对已被安装在对等网络设备上。然后,密钥服务器网络设备可以发起删除在网络中的所有对等网络设备上的旧的Rx密钥。因此,网络设备节省了计算资源、网络资源等,否则这些资源会被由于存储先前的Rx密钥、基于已耗尽的硬件寄存器而丢失业务、尝试恢复丢失的业务、通过网络提供不安全的业务等而导致的耗尽网络设备的硬件存储器寄存器所消耗。
图1A-图1E是与删除过时的或未使用的密钥以保证零分组丢失相关联的示例100的示图。如图1A-图1E中所示,示例100包括一个或多个端点设备和具有多个网络设备的网络。端点设备、网络和网络设备的进一步细节在本文别处被提供。
如图1A中所示,并且通过附图标记105,第一网络设备可以从端点设备接收业务。例如,端点设备可以连续地生成业务,可以周期性地生成业务等等,并且可以将业务提供给网络设备。因此,第一网络设备可以连续地接收来自端点设备的业务,可以周期性地接收来自端点设备的业务,可以基于从端点设备请求业务来接收来自端点设备的业务,等等。
如图1A中进一步所示,并且通过附图标记110,第一网络设备可以在第一网络设备的数据平面上安装新的接收(Rx)密钥。例如,第一网络设备可以是密钥服务器,而第二网络设备可以是对等或非密钥服务器。可以在第一网络设备和第二网络设备上安装旧的MACsec密钥对(例如,旧的Rx密钥和旧的Tx密钥)。第一网络设备可以被配置为安装新的MACsec密钥对(例如,新的Rx密钥和新的Tx密钥)。第一网络设备可以包括使第一网络设备在第一网络设备的数据平面上安装新的Rx密钥的软件(例如,守护进程)。在一些实现中,第一网络设备的守护进程可以使第一网络设备将新的Rx密钥存储在实现MACsec特征的芯片(例如,第一网络设备的ASIC)的硬件存储器寄存器中。
在一些实现中,新的MACsec密钥对可以被预先配置在第一网络设备上,可以由第一网络设备自动生成,可以从另一设备(例如,网络管理设备)接收,等等。在一些实现中,第一网络设备可以使另一设备生成新的MACsec密钥对。例如基于上次更新密钥对的时间、从另一设备(例如,网络管理设备)接收到对更新密钥对的指示、在预先确定的时间段等之后等等,可以触发第一网络以用新的MACsec密钥对替换旧的MACsec密钥对。
如图1A中进一步所示,并且通过附图标记115,第一网络设备可以向第二网络设备提供对安装新的Rx密钥的第一请求。例如,第一网络设备的守护进程可以使第一网络设备生成对安装新的Rx密钥的第一请求。在一些实现中,第一请求可以包括在第一网络设备的守护进程和在对等网络设备(诸如第二网络设备)上执行的守护进程之间交换的MACsec密钥协商(MKA)控制消息。第一请求可以包括新的Rx密钥和请求第二网络设备在第二网络设备的数据平面上安装新的Rx密钥的指令。第一网络设备可以向第二网络设备提供第一请求,并且第二网络设备可以接收第一请求。
如图1A中进一步所示,并且通过附图标记120,第二网络设备可以在第二网络设备的数据平面上安装新的Rx密钥。例如,第二网络设备可以接收对安装新的Rx密钥(例如,其包括新的Rx密钥)的第一请求,并且可以基于第一请求在第二网络设备的数据平面上安装新的Rx密钥。在一些实现中,第二网络设备可以包括使第二网络设备基于第一请求在第二网络设备的数据平面上安装新的Rx密钥的软件(例如,守护进程)。在一些实现中,第二网络设备的守护进程可以使第二网络设备将新的Rx密钥存储在实现MACsec特征的芯片(例如,第二网络设备的ASIC)的硬件存储器寄存器中。
如图1B中所示,并且通过附图标记125,第一网络设备可以从第二网络设备接收新的Rx密钥被安装的第一指示。例如,在数据平面上安装新的Rx密钥之后,第二网络设备的守护进程可以使第二网络设备生成指示新的Rx密钥被安装在第二网络设备的数据平面上的第一指示。在一些实现中,第一指示可以包括在第二网络设备上的守护进程和第一网络设备的守护进程之间交换的MKA控制消息。第一指示可以包括指示第二网络设备在第二网络设备的数据平面上安装了新的Rx密钥的信息。第二网络设备可以向第一网络设备提供第一指示,并且第一网络设备可以接收第一指示。
如图1B中进一步所示,并且通过附图标记130,第一网络设备可以基于第一指示在第一网络设备的数据平面上安装新的发送(Tx)密钥。例如,第一网络设备在接收到第一指示之后可以在第一网络设备的数据平面上安装新的Tx密钥。在一些实现中,第一网络设备的守护进程可以使第一网络设备在第一网络设备的数据平面上安装新的Tx密钥。在一些实现中,第一网络设备的守护进程可以使第一网络设备将新的Tx密钥存储在实现MACsec特征的芯片(例如,第一网络设备的ASIC)的硬件存储器寄存器中。
如图1C中所示,并且通过附图标记135,第一网络设备可以向第二网络设备提供对安装新的Tx密钥的第二请求。例如,第一网络设备的守护进程可以使第一网络设备生成对安装新的Tx密钥的第二请求。在一些实现中,第二请求可以包括在第一网络设备上的守护进程和在对等网络设备(诸如第二网络设备)上执行的守护进程之间交换的MKA控制消息。第二请求可以包括新的Tx密钥和请求第二网络设备在第二网络设备的数据平面上安装新的Tx密钥的指令。第一网络设备可以向第二网络设备提供第二请求,并且第二网络设备可以接收第二请求。
如图1C中进一步所示,并且通过附图标记140,第二网络设备可以在第二网络设备的数据平面上安装新的Tx密钥。例如,第二网络设备可以接收对安装新的Tx密钥(例如,其包括新的Tx密钥)的第二请求,并且可以基于第二请求在第二网络设备的数据平面上安装新的Tx密钥。在一些实现中,第二网络设备的守护进程可以使第二网络设备基于第二请求在第二网络设备的数据平面上安装新的Tx密钥。在一些实现中,第二网络设备的守护进程可以使第二网络设备将新的Tx密钥存储在实现MACsec特征的芯片(例如,第二网络设备的ASIC)的硬件存储器寄存器中。
如图1C中进一步所示,并且通过附图标记145,第二网络设备可以从第二网络设备的数据平面删除旧的Rx密钥。例如,第二网络设备的守护进程可以使第二网络设备基于第二请求从第二网络设备的数据平面删除旧的Rx密钥。在一些实现中,第二网络设备的守护进程可以基于第二请求使第二网络设备从实现MACsec特征的芯片(例如,第二网络设备的ASIC)的硬件存储器寄存器移除旧的Rx密钥。在一些实现中,第二网络设备的守护进程可以使第二网络设备的控制平面向第二网络设备的数据平面提供删除请求,并且可以使第二网络设备的数据平面基于删除请求来删除旧的接收密钥。
如图1D中所示,并且通过附图标记150,第一网络设备可以从第二网络设备接收新的Tx密钥被安装的第二指示。例如,在数据平面上安装新的Tx密钥之后,第二网络设备的守护进程可以使第二网络设备生成新的Tx密钥被安装的第二指示。在一些实现中,第二指示可以包括在第二网络设备上的守护进程和第一网络设备的守护进程之间交换的MKA控制消息。第二指示可以包括指示在第二网络设备的数据平面上安装新的Tx密钥的信息,以及指示从第二网络设备的数据平面删除旧的Rx密钥的信息。第二网络设备可以向第一网络设备提供第二指示,并且第一网络设备可以接收第二指示。
如图1D中进一步所示,并且通过附图标记155,第一网络设备可以基于第二指示从第一网络设备的数据平面删除旧的Rx密钥。例如,第一网络设备的守护进程可以使第一网络设备基于第二指示从第一网络设备的数据平面删除旧的Rx密钥。在一些实现中,基于第二指示,第一网络设备的守护进程可以使第一网络设备从实现MACsec特征的芯片(例如,第二网络设备的ASIC)的硬件存储器寄存器移除旧的Rx密钥。在一些实现中,第一网络设备的守护进程可以使第一网络设备的控制平面向第一网络设备的数据平面提供删除请求,并且可以使第一网络设备的数据平面基于删除请求来删除旧的接收密钥。在此时,可以完成密钥滚动更新,并且可以在第一网络设备和第二网络设备的数据平面上对新的密钥对(例如,新的Rx密钥和新的Tx密钥)进行编程。
如图1E中所示,并且通过附图标记160,第一网络设备可以用新的Tx密钥对业务进行加密以生成加密业务。例如,一旦密钥滚动更新完成,第一网络设备就可以利用新的Tx密钥来对业务进行加密并且生成加密业务。在一些实现中,第一网络设备可以生成旨在针对对称密钥加密学的对称密钥,并且可以利用新的Tx密钥来加密新生成的对称密钥和业务。第一网络设备可以经由第二网络设备通过不安全的信道将加密对称密钥和加密业务发送到目的地。第二网络设备可以使用新的Rx密钥(例如,与新的Tx密钥成对)对加密对称密钥和加密业务进行解密。由于第一网络设备和第二网络设备都具有相同的对称密钥,第一网络设备和第二网络设备可以安全地利用对称密钥加密来通过其他不安全的信道进行通信。
如图1E中进一步所示,并且通过附图标记165,第一网络设备可以使加密业务被提供给目的地。例如,第一网络设备可以将加密业务提供给第二网络设备。第二网络设备可以利用新的Rx密钥来对加密业务进行解密并且生成业务。如果第二网络设备被连接到目的地(例如,端点设备),则第二网络设备可以将业务转发到目的地。如果第二网络设备未被连接到目的地,则第二网络设备可以将加密业务提供给另一对等网络设备,该对等网络设备包括用于对加密业务进行解密的新的Rx密钥。
以这种方式,网络设备删除过时的或未使用的密钥以保证零分组丢失。例如,一旦网络设备确定网络中的所有MACsec对等网络设备都已移动到新的Tx/Rx密钥对,网络设备的控制平面可以显式地向网络设备的数据平面发送针对过时的或未使用的密钥的Rx密钥删除事件。一旦对等网络设备安装了新的Tx/Rx密钥对,对等网络设备可以更新控制数据分组中的对应字段,从而允许密钥服务器网络设备来确定新的Tx/Rx密钥对已被安装在对等网络设备上。然后,密钥服务器网络设备可以发起删除网络中所有对等网络设备上的旧的Rx密钥。因此,网络设备节省了计算资源、网络资源等,否则这些资源会被由于存储先前的Rx密钥、基于已耗尽的硬件寄存器而丢失业务、尝试恢复丢失的业务、通过网络提供不安全的业务等而导致的耗尽网络设备的硬件存储器寄存器所消耗。
如上面所指出,图1A-图1E作为示例而被提供。其他示例可以与关于图1A-图1E所描述的不同。图1A-图1E中所示的设备的数目和布置作为示例而被提供。在实践中,与图1A-图1E中所示的设备相比,可以存在更多的设备、更少的设备、不同的设备或不同布置的设备。此外,图1A-图1E中所示的两个或更多设备可以在单个设备内被实现,或者在图1A-图1E中所示的单个设备可以被实现为多个分布式设备。附加地或替代地,图1A-图1E中所示的设备集合(例如,一个或多个设备)可以执行被描述为由图1A-图1E中所示的另一设备集合执行的一个或多个功能。
图2是示例环境200的示图,在该示例环境200中可以实现本文描述的系统和/或方法。如图2中所示,环境200可以包括端点设备210、一组网络设备220(被示为网络设备220-1到网络设备220-N)和网络230。环境200的设备可以经由有线连接、无线连接或有线和无线连接的组合来互连。
端点设备210包括能够接收信息、生成信息、存储信息、处理信息和/或提供信息(诸如本文描述的信息)的一个或多个设备。例如,端点设备210可以包括移动电话(例如,智能电话或无线电话)、机顶盒、膝上型计算机、平板计算机、台式计算机、手持计算机、游戏设备、可穿戴通信设备(例如,智能手表、智能眼镜、心率监测器、健身追踪器、智能服装、智能首饰或头戴式显示器)、网络设备(例如,路由器、住宅网关等等)、或类似类型的设备。在一些实现中,端点设备210可以经由网络230从其他端点设备210接收网络业务和/或可以向其他端点设备210提供网络业务(例如,通过使用网络设备220作为中介来对分组进行路由)。
网络设备220包括能够以本文描述的方式接收业务、处理业务、存储业务、路由业务和/或提供业务(例如,分组或其他信息或元数据)的一个或多个设备。例如,网络设备220可以包括路由器,诸如标签交换路由器(LSR)、标签边缘路由器(LER)、入口路由器、出口路由器、提供商路由器(例如,提供商边缘路由器或提供商核心路由器)、虚拟路由器、路由反射器、区域边界路由器或其他类型的路由器。附加地或替代地,网络设备220可以包括网关、交换机、防火墙、集线器、网桥、反向代理、服务器(例如,代理服务器、云服务器或数据中心服务器)、负载平衡器和/或类似设备。在一些实现中,网络设备220可以是在外壳(诸如机箱)内实现的物理设备。在一些实现中,网络设备220可以是由云计算环境或数据中心的一个或多个计算机设备所实现的虚拟设备。在一些实现中,一组网络设备220可以是被用来通过网络230路由业务流的一组数据中心节点。
网络230包括一个或多个有线和/或无线网络。例如,网络230可以包括分组交换网络、蜂窝网络(例如,第五代(5G)网络、诸如长期演进(LTE)网络之类的第四代(4G)网络、第三代(3G)网络、码分多址(CDMA)网络、公共陆地移动网络(PLMN)、局域网(LAN)、广域网(WAN)、城域网(MAN)、电话网络(例如,公共交换电话网络(PSTN))、专用网络、自组织网络、内联网、互联网、基于光纤的网络、云计算网络等等和/或这些或其他类型的网络的组合。
图2中所示的设备和网络的数目和布置作为示例而被提供。在实践中,与图2中所示的那些相比,可以存在更多的设备和/或网络、更少的设备和/或网络、不同的设备和/或网络、或不同布置的设备和/或网络。此外,图2中所示的两个或更多设备可以在单个设备内被实现,或者图2中所示的单个设备可以被实现为多个分布式设备。附加地或替代地,环境200的设备集合(例如,一个或多个设备)可以执行被描述为由环境200的另一设备集合执行的一个或多个功能。
图3是图2的一个或多个设备的示例组件的示图。示例组件可以被包括在设备300中,设备300可以对应于端点设备210和/或网络设备220。在一些实现中,端点设备210和/或网络设备220可以包括一个或多个设备300和/或设备300的一个或多个组件。如图3中所示,设备300可以包括总线310、处理器320、存储器330、输入组件340、输出组件350和通信接口360。
总线310包括一个或多个组件,其实现设备300的组件之中的有线通信和/或无线通信。诸如经由操作耦合、通信耦合、电子耦合和/或电耦合,总线310可以将图3的两个或更多个组件耦合在一起。处理器320包括中央处理单元、图形处理单元、微处理器、控制器、微控制器、数字信号处理器、现场可编程门阵列、专用集成电路和/或其他类型的处理组件。处理器320以硬件、固件或硬件和软件的组合来实现。在一些实现中,处理器320包括一个或多个处理器,其能够被编程以执行本文别处所描述的一个或多个操作或过程。
存储器330包括易失性存储器和/或非易失性存储器。例如,存储器330可以包括随机存取存储器(RAM)、只读存储器(ROM)、硬盘驱动器和/或另一类型的存储器(例如,闪存、磁存储器和/或光学存储器)。存储器330可以包括内部存储器(例如,RAM、ROM或硬盘驱动器)和/或可移动存储器(例如,经由通用串行总线连接而可移动)。存储器330可以是非暂态计算机可读介质。存储器330存储与设备300的操作相关的信息、指令和/或软件(例如,一个或多个软件应用)。在一些实现中,存储器330包括诸如经由总线310而被耦合到一个或多个处理器(例如,处理器320)的一个或多个存储器。
输入组件340使得设备300能够接收输入,诸如用户输入和/或感测输入。例如,输入组件340可以包括触摸屏、键盘、小键盘、鼠标、按钮、麦克风、开关、传感器、全球定位系统传感器、加速度计、陀螺仪和/或致动器。诸如经由显示器、扬声器和/或发光二极管,输出组件350使得设备300能够提供输出。通信接口360使得设备300能够经由有线连接和/或无线连接来与其他设备进行通信。例如,通信接口360可以包括接收器、发送器、收发器、调制解调器、网络接口卡和/或天线。
设备300可以执行本文描述的一个或多个操作或过程。例如,非暂态计算机可读介质(例如,存储器330)可以存储指令集(例如,一个或多个指令或代码)以供处理器320执行。处理器320可以执行该指令集以执行本文描述的一个或多个操作或过程。在一些实现中,由一个或多个处理器320对指令集的执行使一个或多个处理器320和/或设备300执行本文描述的一个或多个操作或过程。在一些实现中,硬连线电路可以被用来代替指令或与指令组合来执行本文所述的一个或多个操作或过程。附加地或替代地,处理器320可以被配置为执行本文描述的一个或多个操作或过程。因此,本文描述的实现不限于硬件电路和软件的任何特定组合。
图3中所示的组件的数目和布置作为示例而被提供。设备300可以包括与图3中所示的组件相比更多的组件、更少的组件、不同的组件或不同布置的组件。附加地或替代地,设备300的组件集合(例如,一个或多个组件)可以执行被描述为由设备300的另一组件集合执行的一个或多个功能。
图4是图2的一个或多个设备的示例组件的示图。示例组件可以被包括在设备400中。设备400可以对应于网络设备220。在一些实现中,网络设备220可以包括一个或多个设备400和/或设备400的一个或多个组件。如图4中所示,设备400可以包括一个或多个输入组件410-1到410-B(B≥1)(以下被统称为输入组件410,并且单独地被称为输入组件410)、开关组件420、一个或多个输出组件430-1至430-C(C≥1)(以下被统称为输出组件430,并且单独地被称为输出组件430)和控制器440。
输入组件410可以是用于物理链路的一个或多个附接点,并且可以是用于诸如分组之类的传入业务的一个或多个入口点。诸如通过执行数据链路层封装或解封装,输入组件410可以处理传入业务。在一些实现中,输入组件410可以发送和/或接收分组。在一些实现中,输入组件410可以包括输入线卡,该输入线卡包括一个或多个分组处理组件(例如,以集成电路的形式),诸如一个或多个接口卡(IFC)、分组转发组件、线卡控制器组件、输入端口、处理器、存储器和/或输入队列。在一些实现中,设备400可以包括一个或多个输入组件410。
开关组件420可以将输入组件410与输出组件430进行互连。在一些实现中,开关组件420可以经由一个或多个交叉开关、经由总线和/或使用共享存储器来实现。共享存储器可以充当临时缓冲器,以在最终调度来自输入组件410的分组以递送到输出组件430之前来存储分组。在一些实现中,开关组件420可以使得输入组件410、输出组件430、和/或控制器440能够相互通信。
输出组件430可以存储分组,并且可以调度分组以在输出物理链路上发送。输出组件430可以支持数据链路层封装或解封装,和/或各种更高级的协议。在一些实现中,输出组件430可以发送分组和/或接收分组。在一些实现中,输出组件430可以包括输出线卡,该输出线卡包括一个或多个分组处理组件(例如,以集成电路的形式),诸如一个或多个IFC、分组转发组件、线卡控制器组件、输出端口、处理器、存储器和/或输出队列。在一些实现中,设备400可以包括一个或多个输出组件430。在一些实现中,输入组件410和输出组件430可以由同一组件集合来实现(例如,输入/输出组件可以是输入组件410和输出组件430的组合)。
控制器440包括例如CPU、GPU、APU、微处理器、微控制器、DSP、FPGA、ASIC和/或其他类型的处理器形式的处理器。处理器以硬件、固件或硬件和软件的组合来实现。在一些实现中,控制器440可以包括可以被编程以执行功能的一个或多个处理器。
在一些实现中,控制器440可以包括RAM、ROM和/或存储信息和/或指令以供控制器440使用的另一类型的动态或静态存储设备(例如,闪存、磁存储器、光存储器等)。
在一些实现中,控制器440可以与连接到设备400的其他设备、网络和/或系统进行通信,以交换关于网络拓扑的信息。控制器440可以基于网络拓扑信息来创建路由表,可以基于路由表来创建转发表,并且可以将转发表转发到输入组件410和/或输出组件430。输入组件410和/或输出组件430可以使用转发表来执行用于传入分组和/或传出分组的路由查找。
控制器440可以执行本文描述的一个或多个过程。控制器440可以响应于执行由非暂态计算机可读介质存储的软件指令来执行这些过程。计算机可读介质在本文中被定义为非暂态存储器设备。存储器设备包括单个物理存储设备内的存储器空间或分布在跨多个物理存储设备上的存储器空间。
软件指令可以经由通信接口从另一计算机可读介质或从另一设备被读入到与控制器440相关联的存储器和/或存储组件。当被执行时,存储在与控制器440相关联的存储器和/或存储组件中的软件指令可以使控制器440执行本文描述的一个或多个过程。附加地或替代地,硬连线电路可以代替软件指令而被使用或与软件指令结合使用,以执行本文描述的一个或多个过程。因此,本文描述的实现不限于硬件电路和软件的任何特定组合。
图4中所示的组件的数目和布置作为示例而被提供。在实践中,设备400可以包括与图4中所示的组件相比更多的组件、更少的组件、不同的组件或不同布置的组件。附加地或替代地,设备400的组件集合(例如,一个或多个组件)可以执行被描述为由设备400的另一组件集合执行的一个或多个功能。
图5是用于删除过时的或未使用的密钥以保证零分组丢失的示例过程500的流程图。在一些实现中,图5的一个或多个过程块可以由网络设备(例如,网络设备220)执行。在一些实现中,图5的一个或多个过程块可以由与网络设备分离或包括网络设备的另一设备或一组设备来执行,诸如端点设备(例如,端点设备210)。附加地或替代地,图5的一个或多个处理块可以由设备300的一个或多个组件执行,诸如处理器320、存储器330、输入组件340、输出组件350和/或通信接口360。附加地或替代地,图5的一个或多个处理块可以由设备400的一个或多个组件执行,诸如输入组件410、开关组件420、输出组件430和/或控制器440。
如图5中所示,过程500可以包括在第一网络设备的数据平面上安装新的接收密钥(块510)。例如,第一网络设备可以在第一网络设备的数据平面上安装新的接收密钥,如上所述。
如图5中进一步所示,过程500可以包括向第二网络设备提供对安装新的接收密钥的第一请求(块520)。例如,第一网络设备可以向第二网络设备提供对安装新的接收密钥的第一请求,如上所述。在一些实现中,第二网络设备将用新的接收密钥对加密业务进行解密。在一些实现中,第一网络设备是密钥服务器并且第二网络设备是非密钥服务器。在一些实现中,向第二网络设备提供对安装新的接收密钥的第一请求包括经由MACsec密钥协商控制消息向第二网络设备提供对安装新的接收密钥的第一请求。
如图5中进一步所示,过程500可以包括从第二网络设备接收新的接收密钥由第二网络设备安装的第一指示(块530)。例如,第一网络设备可以从第二网络设备接收新的接收密钥由第二网络设备安装的第一指示,如上所述。
如图5中进一步所示,过程500可以包括基于第一指示在第一网络设备的数据平面上安装新的发送密钥(块540)。例如,如上所述,第一网络设备可以基于第一指示在第一网络设备的数据平面上安装新的发送密钥。
如图5中进一步所示,过程500可以包括向第二网络设备提供对安装新的发送密钥的第二请求(块550)。例如,第一网络设备可以向第二网络设备提供对安装新的发送密钥的第二请求,如上所述。在一些实现中,向第二网络设备提供对安装新的发送密钥的第二请求包括通过MACsec密钥协商控制消息向第二网络设备提供对安装新的发送密钥的第二请求。
如图5中进一步所示,过程500可以包括从第二网络设备接收新的发送密钥由第二网络设备安装并且旧的接收密钥由第二网络设备删除的第二指示(块560)。例如,第一网络设备可以从第二网络设备接收新的发送密钥由第二网络设备安装并且旧的接收密钥由第二网络设备删除的第二指示,如上所述。在一些实现中,经由由第二网络设备生成的MACsec密钥协商控制消息来接收第一指示和第二指示中的每个指示。在一些实现中,第二网络设备使第二网络设备的控制平面向第二网络设备的数据平面提供删除请求,并且使第二网络设备的数据平面基于删除请求来删除旧的接收密钥。在一些实现中,新的接收密钥、新的发送密钥和旧的接收密钥中的每个密钥都是MACsec密钥。
如图5中进一步所示,过程500可以包括基于第二指示从第一网络设备的数据平面删除旧的接收密钥(块570)。例如,如上所述,第一网络设备可以基于第二指示从第一网络设备的数据平面中删除旧的接收密钥。在一些实现中,基于第二指示从第一网络设备的数据平面删除旧的接收密钥包括使第一网络设备的控制平面向第一网络设备的数据平面提供删除请求,并且使第一网络设备的数据平面基于删除请求来删除旧的接收密钥。在一些实现中,旧的接收密钥被删除以在密钥滚动更新期间实现零分组丢失。在一些实现中,第一网络设备包括守护进程,守护进程使第一网络设备安装新的接收密钥、提供第一请求、接收第一指示、安装新的发送密钥、提供第二请求、接收第二指示或删除旧的接收密钥。
在一些实现中,过程500包括从源接收业务,用新的发送密钥对业务进行加密以生成加密业务,以及使加密业务被提供给目的地。
在一些实现中,过程500包括:在第一网络设备的数据平面上安装新的接收密钥之后,将新的接收密钥存储在第一网络设备的硬件存储器寄存器中,并且在第一网络设备的数据平面上安装新的发送密钥之后,将新的发送密钥存储在第一网络设备的硬件存储器寄存器中。
虽然图5示出了过程500的示例块,但是在一些实现中,过程500可以包括与图5中描绘的那些相比更多的块、更少的块、不同的块或不同布置的块。附加地或替代地,可以并行执行过程500的两个或更多块。
前述公开提供了说明和描述,但是不旨在穷举或将实现限制为所公开的精确形式。可以根据上述公开进行修改或者可以从实现的实践中获取修改。
如本文中所使用的,术语“组件”旨在被广义地解释为硬件、固件或硬件和软件的组合。很显然,本文描述的系统和/或方法可以以不同形式的硬件、固件和/或硬件和软件的组合来实现。被用来实现这些系统和/或方法的实际专用控制硬件或软件代码不限制这些实现。因此,本文描述了系统和/或方法的操作和行为而不参考特定的软件代码——应当理解,软件和硬件可以被用来基于本文的描述来实现系统和/或方法。
尽管在权利要求中陈述了和/或在说明书中公开了特征的特定组合,但是这些组合并不旨在限制各种实现的公开。事实上,这些特征中的许多特征可以以未具体在权利要求中记载和/或在说明书中公开的方式来进行组合。尽管下面列出的每个从属权利要求可以直接从属于一个权利要求,但是各种实现的公开包括每个从属权利要求与权利要求集合中的每个其他权利要求的组合。
除非明确地如此描述,否则在本文中所使用的任何元素、动作或指令都不应被解释为关键的或必要的。此外,如本文中所使用的,冠词“一”和“一个”旨在包括一个或多个项目,并且可以与“一个或多个”互换使用。此外,如本文中所使用的,冠词“该”旨在包括与冠词“该”相关的一个或多个项目,并且可以与“一个或多个”互换使用。此外,如本文中所使用的,术语“集合(set)”旨在包括一个或多个项目(例如,相关项目、不相关项目、相关和不相关项目的组合等等),并且可以与“一个或多个”互换使用。在仅打算使用一个的情况下,则使用短语“仅一个”或类似的语言。此外,如本文中所使用的,术语“具有”等旨在为开放式术语。此外,除非另有明确说明,否则短语“基于”旨在意指“至少部分地基于”。此外,如本文中所使用的,术语“或”在以一系列形式使用时旨在包括在内,并且可以与“和/或”互换使用,除非另有明确说明(例如,如果与“要么”(either)或“只有一个”(only one of)结合使用)。
在前面的说明书中,已经参照附图描述了各种示例实施例。然而,在不背离如所附权利要求中阐述的本发明的更广泛范围的情况下,显然可以对其进行各种修改和改变,并且可以实现附加的实施例。因此,说明书和附图被认为是说明性的而不是限制性的。

Claims (20)

1.一种方法,包括:
由第一网络设备在所述第一网络设备的数据平面上安装新的接收密钥;
由所述第一网络设备向第二网络设备提供对安装所述新的接收密钥的第一请求;
由所述第一网络设备从所述第二网络设备接收所述新的接收密钥由所述第二网络设备安装的第一指示;
由所述第一网络设备基于所述第一指示在所述第一网络设备的所述数据平面上安装新的发送密钥;
由所述第一网络设备向所述第二网络设备提供对安装所述新的发送密钥的第二请求;
由所述第一网络设备从所述第二网络设备接收所述新的发送密钥由所述第二网络设备安装并且旧的接收密钥由所述第二网络设备删除的第二指示;以及
由所述第一网络设备基于所述第二指示从所述第一网络设备的所述数据平面删除所述旧的接收密钥。
2.根据权利要求1所述的方法,还包括:
从源接收业务;
使用所述新的发送密钥对所述业务进行加密以生成加密业务;以及
使所述加密业务被提供给目的地。
3.根据权利要求2所述的方法,其中所述第二网络设备使用所述新的接收密钥对所述加密业务进行解密。
4.根据权利要求1所述的方法,其中所述旧的接收密钥被删除以在密钥滚动更新期间实现零分组丢失。
5.根据权利要求1所述的方法,其中经由由所述第二网络设备生成的媒体访问控制安全密钥协商控制消息,来接收所述第一指示和所述第二指示中的每个指示。
6.根据权利要求1所述的方法,其中所述第一网络设备是密钥服务器,并且所述第二网络设备是非密钥服务器。
7.根据权利要求1所述的方法,还包括:
在所述第一网络设备的所述数据平面上安装所述新的接收密钥之后,将所述新的接收密钥存储在所述第一网络设备的硬件存储器寄存器中;以及
在所述第一网络设备的所述数据平面上安装所述新的发送密钥之后,将所述新的发送密钥存储在所述第一网络设备的所述硬件存储器寄存器中。
8.一种第一网络设备,包括:
一个或多个存储器;和
一个或多个处理器,用于:
在所述第一网络设备的数据平面上安装新的接收密钥;
向第二网络设备提供对安装所述新的接收密钥的第一请求;
从所述第二网络设备接收所述新的接收密钥由所述第二网络设备安装的第一指示;
基于所述第一指示在所述第一网络设备的所述数据平面上安装新的发送密钥;
向所述第二网络设备提供对安装所述新的发送密钥的第二请求;
从所述第二网络设备接收所述新的发送密钥由所述第二网络设备安装并且旧的接收密钥由所述第二网络设备删除的第二指示;
基于所述第二指示从所述第一网络设备的所述数据平面删除所述旧的接收密钥;
使用所述新的发送密钥对业务进行加密以生成加密业务;以及
使所述加密业务被提供给目的地。
9.根据权利要求8所述的第一网络设备,其中用于基于所述第二指示从所述第一网络设备的所述数据平面来删除所述旧的接收密钥的所述一个或多个处理器,用于:
使所述第一网络设备的控制平面向所述第一网络设备的所述数据平面提供删除请求;以及
使所述第一网络设备的所述数据平面基于所述删除请求来删除所述旧的接收密钥。
10.根据权利要求8所述的第一网络设备,其中所述第二网络设备使所述第二网络设备的控制平面向所述第二网络设备的数据平面提供删除请求,并且使所述第二网络设备的所述数据平面基于所述删除请求来删除所述旧的接收密钥。
11.根据权利要求8所述的第一网络设备,其中所述新的接收密钥、所述新的发送密钥和所述旧的接收密钥中的每个密钥都是媒体访问控制安全密钥。
12.根据权利要求8所述的第一网络设备,其中用于向所述第二网络设备提供对安装所述新的接收密钥的所述第一请求的所述一个或多个处理器,用于:
经由媒体访问控制安全密钥协商控制消息,向所述第二网络设备提供对安装所述新的接收密钥的所述第一请求。
13.根据权利要求8所述的第一网络设备,其中用于向所述第二网络设备提供对安装所述新的发送密钥的所述第二请求的所述一个或多个处理器,用于:
经由媒体访问控制安全密钥协商控制消息,向所述第二网络设备提供对安装所述新的发送密钥的所述第二请求。
14.根据权利要求8所述的第一网络设备,其中所述第一网络设备包括守护进程,所述守护进程使所述第一网络设备安装所述新的接收密钥、提供所述第一请求、接收所述第一指示、安装所述新的发送密钥、提供所述第二请求、接收所述第二指示或者删除所述旧的接收密钥。
15.一种非暂态计算机可读介质,其存储指令集,所述指令集包括:
一个或多个指令,所述一个或多个指令在由第一网络设备的一个或多个处理器执行时,使所述第一网络设备:
在所述第一网络设备的数据平面上安装新的接收密钥;
向第二网络设备提供对安装所述新的接收密钥的第一请求;
从所述第二网络设备接收所述新的接收密钥由所述第二网络设备安装的第一指示;
基于所述第一指示在所述第一网络设备的所述数据平面上安装新的发送密钥;
向所述第二网络设备提供对安装所述新的发送密钥的第二请求;
从所述第二网络设备接收所述新的发送密钥由所述第二网络设备安装并且旧的接收密钥由所述第二网络设备删除的第二指示;
基于所述第二指示从所述第一网络设备的所述数据平面删除所述旧的接收密钥;
从源接收业务;
使用所述新的发送密钥对所述业务进行加密以生成加密业务;以及
使所述加密业务被提供给目的地。
16.根据权利要求15所述的非暂态计算机可读介质,其中经由由所述第二网络设备生成的媒体访问控制安全密钥协商控制消息,来接收所述第一指示和所述第二指示中的每个指示。
17.根据权利要求15所述的非暂态计算机可读介质,其中所述一个或多个指令还使所述第一网络设备:
在所述第一网络设备的所述数据平面上安装所述新的接收密钥之后,将所述新的接收密钥存储在所述第一网络设备的硬件存储器寄存器中;以及
在所述第一网络设备的所述数据平面上安装所述新的发送密钥之后,将所述新的发送密钥存储在所述第一网络设备的所述硬件存储器寄存器中。
18.根据权利要求15所述的非暂态计算机可读介质,其中使所述第一网络设备基于所述第二指示从所述第一网络设备的所述数据平面删除所述旧的接收密钥的所述一个或多个指令,使所述第一网络设备:
使所述第一网络设备的控制平面向所述第一网络设备的所述数据平面提供删除请求;以及
使所述第一网络设备的所述数据平面基于所述删除请求来删除所述旧的接收密钥。
19.根据权利要求15所述的非暂态计算机可读介质,其中使所述第一网络设备向所述第二网络设备提供对安装所述新的接收密钥的所述第一请求的所述一个或多个指令,使所述第一网络设备:
经由媒体访问控制安全密钥协商控制消息,向所述第二网络设备提供对安装所述新的接收密钥的所述第一请求。
20.根据权利要求15所述的非暂态计算机可读介质,其中使所述第一网络设备向所述第二网络设备提供对安装所述新的发送密钥的所述第二请求的所述一个或多个指令,使所述第一网络设备:
经由媒体访问控制安全密钥协商控制消息,向所述第二网络设备提供对安装所述新的发送密钥的所述第二请求。
CN202210718637.9A 2022-05-09 2022-06-23 删除过时的或未使用的密钥以保证零分组丢失 Pending CN117081767A (zh)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US17/662,481 2022-05-09
US17/662,481 US20230361992A1 (en) 2022-05-09 2022-05-09 Deleting stale or unused keys to guarantee zero packet loss

Publications (1)

Publication Number Publication Date
CN117081767A true CN117081767A (zh) 2023-11-17

Family

ID=81975424

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202210718637.9A Pending CN117081767A (zh) 2022-05-09 2022-06-23 删除过时的或未使用的密钥以保证零分组丢失

Country Status (3)

Country Link
US (1) US20230361992A1 (zh)
EP (1) EP4277204A1 (zh)
CN (1) CN117081767A (zh)

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9882714B1 (en) * 2013-03-15 2018-01-30 Certes Networks, Inc. Method and apparatus for enhanced distribution of security keys
CN111049648B (zh) * 2019-12-10 2022-08-12 杭州依赛通信有限公司 一种MACSec加密业务数据平面主动更新密钥保证可靠传输的方法
CN113630242A (zh) * 2020-05-06 2021-11-09 瞻博网络公司 使用数据平面反馈促进无损安全密钥翻转

Also Published As

Publication number Publication date
US20230361992A1 (en) 2023-11-09
EP4277204A1 (en) 2023-11-15

Similar Documents

Publication Publication Date Title
US11115391B2 (en) Securing end-to-end virtual machine traffic
US20070094273A1 (en) System topology for secure end-to-end communications between wireless device and application data source
US11349808B2 (en) Internet protocol security messages for subnetworks
CN114095195B (zh) 用于安全套接字层代理的自适应控制的方法、网络设备以及非瞬态计算机可读介质
US10212141B2 (en) Autonomous key update mechanism with blacklisting of compromised nodes for mesh networks
US11368294B2 (en) Facilitating hitless security key rollover using data plane feedback
US11626981B2 (en) Facilitating hitless security key rollover using data plane feedback
US11570162B1 (en) Preventing packet loss during timer-based encryption key rollover
EP4277204A1 (en) Deleting stale or unused keys to guarantee zero packet loss
US20230421360A1 (en) Automatic generation and update of connectivity association keys for media access control security protocol
EP4160977A1 (en) Delayed quantum key-distribution
US11882029B2 (en) Securing multiprotocol label switching (MPLS) payloads
US11032203B2 (en) Providing predictable quality of service traffic steering
EP4277196A1 (en) Utilizing a removable quantum random number generator for a network device
US11985166B2 (en) Systems and methods for random connectivity association key negotiation for media access control security
CN116248572A (zh) 经由与安全分类相关联的路由路径转发与安全分类相关联的网络业务
CN116264514A (zh) 使用基于网络设备的区域将安全策略应用于网络业务

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination