一种ISSU过程中MACsec密钥方法及装置.pdfVIP

table{border-collapse:collapse;}table,th,td{border:1pxsolid#000;}

(21)申请号201310366094.X

(22)申请日2013.08.21

(65)同一申请的已公布的文献号申请公布号CN103441840

(43)申请公布日2013.12.11

(73)专利权人通信技术

地址310053浙江省市高新技术产业之江科技工业园路310号生

产

(72)发明人

(74)专利机构德琦11018

人宋志强

(51)Int.CI.

HO4L9/08(2006.01)

HO4L29/06(2006.01)

员

权利要求书2页说明书6页附图1页

(54)发明名称

一种ISSU过程中MACsec密钥更新方法和装置

(57)

本申请公开了一种不中断业务升级（ISSU）过程中接入控制安全（MACsec）密钥更

新方法，该方法包括：密钥服务器获知该CA中任一成员设备在进行软重启ISSU时，暂

停新的SAK的生成；并且在软重启ISSU过程中，若PN出现翻转，直接切换到下一个

SAK。基于同样的发明构思，本申请还提出一种装置，能够在进行软重启ISSU时循环使

用SAK进行加密，保证流量不中断。

1.一种不中断业务升级ISSU过程中接入控制安全MACsec密钥更新方法，应用

于包括两个以上成员设备的连接集CA中的任一成员设备上，其特征在于，该成员

设备保持实际使用的安全集SA的个数，以及指定编号的各SA对应的安全密钥

SAK的内容，与所述CA中的其他成员设备一致，并且若进行SAK切换，在切换

SAK后将切换前的SAK对应的下一个报文编号nextPN的值设置为初始有效值，

所述方法包括：

该成员设备作为密钥服务器，获知该CA中任一成员设备在进行软重启ISSU时，暂停新

的SAK的生成；

并且在软重启ISSU过程中，若报文编号PN出现翻转，直接切换到下一个SAK。

2.根据权利要求1所述的方法，其特征在于，该成员设备获知该CA中其他成员设备在进

行软件重启ISSU的方法，包括：

该成员设备作为密钥服务器，接收到作为非密钥服务器的成员设备发送的其即将进行软重

启ISSU的消息，获知该作为非密钥服务器的成员设备在进行软重启ISSU。

3.根据权利要求1或2所述的方法，其特征在于，所述方法进一步包括：

该成员设备作为密钥服务器，接收作为非密钥服务器的成员设备发送的其完成软重启

ISSU的消息时，确定该作为非密钥服务器的成员设备完成软重启ISSU；并成SAK，

查询当前使用的SA的编号，根据查询到的SA的编号确定成的SAK所属的SA的编

号，并将该成的SAK，以及确定的该成的SAK所属的SA的编号分发给该CA中

的成员设备。

4.根据权利要求1或2所述的方法，其特征在于，所述方法进一步包括：

该成员设备作为密钥服务器，接收作为非密钥服务器的成员设备发送的其完成软重启

ISSU的消息时，确定该作为非密钥服务器的成员设备完成软重启ISSU；并查询当前使用

的SA的编号，在查询到的SA的编号对应的PN达到临界值时，成SAK，根据查询

到的SA的编号确定成的SAK所属的SA的编号，并将该成的SAK，以及确定的

该成的SAK所属的SA的编号分发给该CA中的成员设备。

5.根据权利要求1或2所述的方