CN113497822A - 网络设备变为临时不可用后继续介质接入控制安全性密钥协定会话 - Google Patents
网络设备变为临时不可用后继续介质接入控制安全性密钥协定会话 Download PDFInfo
- Publication number
- CN113497822A CN113497822A CN202010399434.9A CN202010399434A CN113497822A CN 113497822 A CN113497822 A CN 113497822A CN 202010399434 A CN202010399434 A CN 202010399434A CN 113497822 A CN113497822 A CN 113497822A
- Authority
- CN
- China
- Prior art keywords
- network device
- mka
- session
- state
- network
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000004891 communication Methods 0.000 claims abstract description 96
- 238000000034 method Methods 0.000 claims description 101
- 230000008569 process Effects 0.000 claims description 75
- 230000015654 memory Effects 0.000 claims description 41
- 238000011084 recovery Methods 0.000 claims description 17
- 238000012545 processing Methods 0.000 claims description 15
- 230000009471 action Effects 0.000 claims description 11
- 230000005540 biological transmission Effects 0.000 claims description 4
- 238000010586 diagram Methods 0.000 description 11
- 230000006870 function Effects 0.000 description 6
- 230000003287 optical effect Effects 0.000 description 4
- 230000001934 delay Effects 0.000 description 3
- 230000001419 dependent effect Effects 0.000 description 3
- 239000002699 waste material Substances 0.000 description 3
- 230000001413 cellular effect Effects 0.000 description 2
- 238000005538 encapsulation Methods 0.000 description 2
- 230000002085 persistent effect Effects 0.000 description 2
- 230000007420 reactivation Effects 0.000 description 2
- 230000004044 response Effects 0.000 description 2
- 230000003068 static effect Effects 0.000 description 2
- 238000012546 transfer Methods 0.000 description 2
- 230000006399 behavior Effects 0.000 description 1
- 230000001010 compromised effect Effects 0.000 description 1
- 230000007613 environmental effect Effects 0.000 description 1
- 239000000835 fiber Substances 0.000 description 1
- 239000012634 fragment Substances 0.000 description 1
- 230000007774 longterm Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000002441 reversible effect Effects 0.000 description 1
- 239000007787 solid Substances 0.000 description 1
- 230000000007 visual effect Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/162—Implementing security features at a particular protocol layer at the data link layer
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/14—Session management
- H04L67/141—Setup of application sessions
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/06—Management of faults, events, alarms or notifications
- H04L41/0631—Management of faults, events, alarms or notifications using root cause analysis; using analysis of correlation between notifications, alarms or events based on decision criteria, e.g. hierarchy, tree or time analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/06—Management of faults, events, alarms or notifications
- H04L41/0654—Management of faults, events, alarms or notifications using network fault recovery
- H04L41/0659—Management of faults, events, alarms or notifications using network fault recovery by isolating or reconfiguring faulty entities
- H04L41/0661—Management of faults, events, alarms or notifications using network fault recovery by isolating or reconfiguring faulty entities by reconfiguring faulty entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
- H04L63/065—Network architectures or network communication protocols for network security for supporting key management in a packet data network for group communications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/14—Session management
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/14—Session management
- H04L67/142—Managing session states for stateless protocols; Signalling session states; State transitions; Keeping-state mechanisms
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/14—Session management
- H04L67/143—Termination or inactivation of sessions, e.g. event-controlled end of session
- H04L67/145—Termination or inactivation of sessions, e.g. event-controlled end of session avoiding end of session, e.g. keep-alive, heartbeats, resumption message or wake-up for inactive or interrupted session
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/50—Network services
- H04L67/54—Presence management, e.g. monitoring or registration for receipt of user log-on information, or the connection status of the users
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/28—Timers or timing mechanisms used in protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0838—Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/085—Secret sharing or secret splitting, e.g. threshold schemes
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0891—Revocation or update of secret information, e.g. encryption key update or rekeying
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Health & Medical Sciences (AREA)
- Cardiology (AREA)
- General Health & Medical Sciences (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
一种网络设备,可以经由介质接入控制安全性(MACsec)密钥协定(MKA)通信链路与其他网络设备进行通信,其中MKA会话已经在网络设备与其他网络设备之间被建立。网络设备可以确定其他网络设备不可用。网络设备可以基于确定其他网络设备不可用而使网络设备的MKA状态被置于暂停状态下。网络设备可以在使得网络设备的MKA状态被置于暂停状态下之后,经由MKA通信链路从其他网络设备接收分组。网络设备可以基于分组来确定MKA会话尚未结束。网络设备可以基于MKA会话尚未结束,通过重新激活MKA状态来继续MKA会话。
Description
背景技术
介质接入控制安全性(MACsec)是由电气和电子工程师协会(IEEE)802.1AE定义的安全性标准,其针对介质接入独立协议定义了无连接数据机密性和完整性。MACsec标准指定了一组协议,以满足用于保护遍历以太网局域网(LAN)的数据的安全性要求。MACsec允许从网络内的通信中标识未经授权的LAN连接并将其排除在外,并且定义了安全性基础设施以提供数据机密性、数据完整性和数据源认证。
发明内容
根据一些实现,一种方法可以包括:通过网络设备经由介质接入控制安全性(MACsec)密钥协定(MKA)通信链路与其他网络设备进行通信,其中MKA会话已经在网络设备与其他网络设备之间被建立;通过网络设备确定其他网络设备不可用;由网络设备以及基于确定其他网络设备是不可用的,使网络设备的MKA状态被置于暂停状态下;由网络设备以及在使网络设备的MKA状态被置于暂停状态下之后,经由MKA通信链路从其他网络设备接收分组;通过网络设备以及基于分组,确定MKA会话尚未结束;以及由网络设备基于MKA会话尚未结束,通过重新激活MKA状态来继续MKA会话。
根据一些实现,一种网络设备可以包括一个或多个存储器;以及一个或多个处理器,该一个或多个处理器用以:经由介质接入控制安全性(MACsec)密钥协定(MKA)通信链路与其他网络设备进行通信,其中MKA会话已经在网络设备与其他网络设备之间被建立;基于与其他网络设备进行通信,使与网络设备的MKA状态相关联的信息和与MKA会话相关联的信息被存储在数据结构中;确定网络设备将在特定时间变为不可用;基于确定网络设备将在特定时间变为不可用,向其他网络设备发送指示网络设备将变为不可用的MKA分组;在特定时间之后确定网络设备已经变为可用;以及在确定网络设备已经变为可用之后,使网络设备基于与网络设备的MKA状态相关联的信息和与存储在数据结构中的MKA会话相关联的信息被更新。
根据一些实现,一种非瞬态计算机可读介质可以存储一个或多个指令。该一个或多个指令在被网络设备的一个或多个处理器执行时可以使一个或多个处理器:经由介质接入控制安全性(MACsec)密钥协定(MKA)通信链路与其他网络设备进行通信,其中MKA会话已经在网络设备与其他网络设备之间被建立;基于与其他网络设备进行通信,使与网络设备的MKA状态相关联的信息和与MKA会话相关联的信息被存储在数据结构中,在使得与网络设备的MKA状态相关联的信息和与MKA会话相关联的信息被存储在数据结构中之后,确定网络设备在临时不可用之后已经变为可用;在确定网络设备已经变为可用之后,使网络设备基于与网络设备的MKA状态相关联的信息和与存储在数据结构中的MKA会话相关联的信息而被更新;在使得网络设备被更新之后经由MKA通信链路向其他网络设备发送MKA分组;基于经由MKA通信链路向其他网络设备发送MKA分组来确定MKA会话尚未结束;以及通过网络设备基于确定MKA会话尚未结束来执行至少一个动作。
根据本发明的第一方面,提供了一种方法,包括:由网络设备经由介质接入控制安全性(MACsec)密钥协定(MKA)通信链路与其他网络设备通信,其中MKA会话已经在网络设备与其他网络设备之间被建立;由网络设备确定其他网络设备不可用;由网络设备基于确定其他网络设备是不可用的而使网络设备的MKA状态被置于暂停状态;在使网络设备的MKA状态被置于暂停状态之后,由网络设备经由MKA通信链路从其他网络设备接收分组;由网络设备基于分组确定MKA会话尚未结束;以及由网络设备基于MKA会话尚未结束而通过重新激活MKA状态来继续MKA会话。
根据实施例,其中确定其他网络设备是不可用的包括:处理从其他网络设备接收到的特定分组,以确定其他网络设备已经变为不可用。
根据实施例,其中确定其他网络设备是不可用的包括:确定网络设备在时间长度内尚未从其他网络设备接收到MKA分组。
根据实施例,其中使网络设备的MKA状态被置于暂停状态包括:使网络设备中止与MKA会话相关联的MKA分组的传输;使网络设备中止与MKA会话相关联的超时定时器;使网络设备将与MKA会话相关联的信息存储在数据结构中;以及使网络设备启动与MKA会话相关联的恢复定时器;其中恢复定时器在网络设备与其他网络设备之间被配置和/或协商。
根据实施例,其中确定MKA会话尚未结束包括:确定使网络设备的MKA状态被置于暂停状态与经由MKA通信链路从其他网络设备接收分组之间的时间长度;确定时间长度不满足阈值;标识分组的消息标识符;确定:在MKA状态被置于暂停状态时,分组的消息标识符与MKA会话的消息标识符相对应;以及基于确定时间长度确实满足阈值并且在MKA状态被置于暂停状态时分组的消息标识符与MKA会话的消息标识符相对应,确定MKA会话尚未结束。
根据实施例,其中继续MKA会话包括:恢复MKA会话,而不执行用于建立新MKA会话的过程。
根据实施例,其中继续MKA会话包括:使网络设备的MKA状态被置于活动状态中。
根据实施例,其中继续MKA会话包括:使网络设备的MKA状态被置于活动状态;以及使密钥更新过程针对MKA会话被执行。
根据实施例,还包括:当其他网络设备不可用时,配置网络设备配置以避免终止与其他网络设备的MKA会话。
根据本发明的第二方面,提供了一种网络设备,包括:一个或多个存储器;以及一个或多个处理器,一个或多个处理器用以:
经由介质接入控制安全性(MACsec)密钥协定(MKA)通信链路与其他网络设备通信,其中MKA会话已经在网络设备与其他网络设备之间被建立;基于与其他网络设备通信,使与网络设备的MKA状态相关联的信息和与MKA会话相关联的信息被存储在数据结构中;确定网络设备将在特定时间变为不可用;基于确定网络设备将在特定时间变为不可用,向其他网络设备发送指示网络设备将变为不可用的MKA分组;在特定时间之后,确定网络设备已经变为可用;以及在确定网络设备已经变为可用之后,使网络设备基于被存储在数据结构中的、与网络设备的MKA状态相关联的信息和与MKA会话相关联的信息而被更新。
根据实施例,其中向其他网络设备发送MKA分组使其他网络设备将其他网络设备的MKA状态置于暂停状态。
根据实施例,其中一个或多个处理器进一步用以:在使网络设备被更新之后,生成附加MKA分组;以及经由MKA通信链路向其他网络设备发送附加MKA分组。
根据实施例,其中向其他网络设备发送附加MKA分组使其他网络设备将其他网络设备的MKA状态置于活动状态。
根据实施例,其中一个或多个处理器进一步用以:在使网络设备被更新之后,生成附加MKA分组;经由MKA通信链路向其他网络设备发送附加MKA分组;在向其他网络设备发送附加MKA分组之后,从其他网络设备接收密钥更新请求MKA分组;以及基于密钥更新请求MKA分组,使密钥更新过程针对MKA会话被执行。
根据实施例,其中一个或多个处理器进一步用以:在使网络设备被更新之后,生成附加MKA分组;以及经由MKA通信链路向其他网络设备发送附加MKA分组,以使其他网络设备针对MKA会话执行密钥更新过程。
根据本发明的第三方面,提供了一种存储有指令的非瞬态计算机可读介质,指令包括:一个或多个指令,一个或多个指令在由网络设备的一个或多个处理器执行时,使一个或多个处理器:经由介质接入控制安全性(MACsec)密钥协定(MKA)通信链路与其他网络设备通信,其中MKA会话已经在网络设备与其他网络设备之间被建立;基于与其他网络设备进行通信,使与网络设备的MKA状态相关联的信息和与MKA会话相关联的信息被存储在数据结构中,在使与网络设备的MKA状态相关联的信息和与MKA会话相关联的信息被存储在数据结构中之后,确定网络设备在临时不可用之后已经变为可用;在确定网络设备已经变为可用之后,使网络设备基于被存储在数据结构中的、与网络设备的MKA状态相关联的信息和与MKA会话相关联的信息而被更新;在使网络设备被更新之后,经由MKA通信链路向其他网络设备发送MKA分组;基于经由MKA通信链路向其他网络设备发送MKA分组来确定MKA会话尚未结束;以及由网络设备基于确定MKA会话尚未结束来执行至少一个动作。
根据实施例,其中在网络设备变为临时不可用时,MKA分组的消息标识符与MKA会话的消息标识符相对应。
根据实施例,其中使一个或多个处理器确定MKA会话尚未结束的一个或多个指令,使一个或多个处理器:确定网络设备是否已经经由MKA通信链路从其他网络设备接收到与MKA会话相关联的一个或多个分组。
根据实施例,其中网络设备确定了MKA会话尚未结束,其中使一个或多个处理器执行至少一个动作的一个或多个指令,使一个或多个处理器:通过重新激活MKA状态来继续MKA会话。
根据实施例,其中网络设备确定了MKA会话尚未结束,其中使一个或多个处理器执行至少一个动作的一个或多个指令,使一个或多个处理器:使密钥更新过程针对MKA会话被执行。
附图说明
图1A-图1F是本文中所描述的一个或多个示例实现的图式。
图2是可以实现本文中所描述的***和/或方法的示例环境的图式。
图3A和图3B是图2的一个或多个设备的示例组件的图式。
图4至图6是用于在网络设备变为临时不可用后继续介质接入控制安全性(MACsec)密钥协定(MKA)会话的一个或多个示例过程的流程图。
具体实施方式
示例实现的以下具体实施方式参照附图。不同示意图中的相同附图标记可以标识相同或相似元件。
在一些情况下,网络设备可以与其他网络设备建立介质接入控制安全性(MACsec)密钥协定(MKA)会话(例如安全会话)。当网络设备中的一者重启或离线时,MKA会话被破坏。在这种情况下,当离线的网络设备重新上线时,必须在网络设备之间建立新MKA会话。然而,在网络设备与其他网络设备之间连续破坏并且建立新MKA会话可能会浪费计算资源(例如处理资源、存储器资源、通信资源等)和/或与破坏和建立MKA会话相关联的网络资源。附加地,在网络设备中的一者离线时破坏MKA会话并在网络设备重新上线时建立新MKA会话可能会浪费与等待MKA会话重新建立的网络设备之间的业务量传送的延迟相关联的计算资源和/或网络资源。此外,在网络设备中的一者离线时破坏MKA会话并在网络设备重新上线时建立新MKA会话可能会导致整体网络服务恢复的延迟,这可能会浪费与延迟相关联的计算资源和/或网络资源。
根据本文中所描述的一些实现,网络设备可以在其他网络设备变为临时不可用(例如重新激活、上线、故障等)后继续MKA会话。在一些实现中,网络设备可以经由MKA通信链路与其他网络设备进行通信,建立MKA会话。网络设备可以确定其他网络设备是不可用的(例如重新激活、上线、故障等)。网络设备可以使网络设备的MKA状态被置于暂停状态下。网络设备可以经由MKA通信链路从该其他网络设备接收分组。网络设备可以基于分组来确定MKA会话尚未结束。网络设备可以基于MKA会话尚未结束,通过重新激活MKA状态来与其他网络设备继续MKA会话。
以这种方式,网络设备可以节省计算资源和/或网络资源,否则当其他网络设备变为不可用时,这些计算资源和/或网络资源将被用于破坏MKA会话,并且当其他网络设备再次变为可用时,这些计算资源和/或网络资源重新建立MKA会话。此外,网络设备可以快速地恢复MKA会话,并且可以节省计算资源和/或网络资源,否则当在其他网络设备再次变为可用之后重新建立MKA会话时,这些计算资源和/或网络资源将被用于等待传送业务。
图1A-图1F是本文中所描述的一个或多个示例实现100的图式。如图1A至图1F中所示,网络设备A和网络设备B可以经由MACsec通信链路(例如MKA通信链路)进行通信。如图1A至图1F中所示,网络设备A和网络设备B可以包括MKA栈。网络设备A和/或网络设备B的MKA栈可以包括MKA后台程序、内核、分组处理组件、接口和/或MACsec网络接口控制器(NIC)。
在图1A至图1F的(多种)示例实现100的MKA栈中,MKA后台程序可以包括在网络设备(例如网络设备A和/或网络设备B)的后台中操作的、用以与MKA支持的设备交换MKA通信(例如分组)的过程或程序。内核可以包括操作为在分组处理组件与MKA后台程序之间转换分组数据的程序。分组处理组件可以执行MKA分组数据的分组交换和/或路由,诸如局域网上的可扩展认证协议(EAPoL)分组。接口可以充当MACsec NIC与网络设备/分组处理组件之间的软件接口。MACsec NIC可以充当网络设备(例如网络设备A和/或网络设备B)与网络(例如MACsec通信链路的网络)之间的硬件接口。在一些实现中,MACsec NIC可以是网络设备与网络之间的软件接口。
在(多个)示例实现100中,可以经由MKA会话路径交换数据。如图1A至图1F中所示,MKA会话路径可以在网络设备A和网络设备B的MKA后台程序之间。MKA会话路径可以行进通过网络设备A和/或网络设备B的MKA栈中的每个元件(例如MACsec NIC、接口、分组处理组件和内核)。
如图1A中且通过附图标记102所示,如下文更详细地描述的,MKA会话可以在网络设备A与网络设备B之间被建立。在MKA会话期间,MKA分组数据(例如对等活性消息)可以被调度为经由MKA会话路径(例如根据标准)在网络设备A的MKA后台程序与网络设备B的MKA后台程序之间被周期性地(例如每隔2秒或更长时间)发送。
如利用附图标记104所示,网络设备A和网络设备B可以共享MKA密钥(例如加密密钥、解密密钥等)。可以通过网络设备A和/或网络设备B来验证MKA密钥以建立MKA会话(例如如果网络设备A和/或网络设备B无法验证从其他网络设备接收到的MKA密钥,那么可以不建立MKA会话)。MKA密钥可以由与网络设备A和/或网络设备B相关联的用户配置。备选地,MKA密钥可以由网络设备A、网络设备B、与网络设备A相关联和/或与网络设备B相关联的设备(诸如服务器设备、云计算平台等)等动态地生成。
MKA密钥可以包括连接性关联密钥(CAK)、安全关联密钥(SAK)、主密钥等。例如,为了建立MKA会话,网络设备A和/或网络设备B可以使用预先共享的密钥,诸如与网络设备相关联的连接性关联名称(CKN)和CAK。预先共享的密钥可以由与网络设备A和/或网络设备B相关联的用户配置,并且可以由网络设备A和/或由网络设备B存储。网络设备A可以与网络设备B共享与网络设备A相关联的预先共享的密钥,并且网络设备B可以与网络设备A共享与网络设备B相关联的预先共享的密钥。如果预先共享的密钥匹配(例如网络设备A验证从网络设备B接收到的预先共享的密钥和/或网络设备B验证从网络设备A接收到的预先共享的密钥),那么可以建立MKA会话。
在一些实现中,在建立MKA会话之后,如果网络设备中的一者变为临时不可用(例如暂时离线、重新激活、故障等),那么网络设备A和网络设备B可以协商(例如启用和/或配置)MKA会话是否将恢复。这样,网络设备A和网络设备B可以启用、禁用、配置(等)本文中所描述的与在网络设备A和/或网络设备B变为临时不可用后继续MKA会话相关联的过程。在一些实现中,只有在网络设备A和网络设备B首次建立MKA会话时才可以发生此协商。以这种方式,可以提供附加安全性,这是由于在网络设备A和/或网络设备B在变为临时不可用之后变为可用时,可能需要网络设备A和/或网络设备B同意继续MKA会话。这样,除非网络设备A和/或网络设备B同意在网络设备A和/或网络设备B再次变为可用时继续MKA会话,否则网络设备A和/或网络设备B可以在网络设备A和/或网络设备B变为不可用时不存储与MKA会话相关的信息(如下文更详细地描述的)。这可以提高网络设备A和/或网络设备B的安全性,并且节省计算资源和/或网络资源,该计算资源和/或网络资源否则将被用于存储与MKA会话相关的信息。
如图1A中且利用附图标记106进一步所示,在建立MKA会话之后,网络设备A和网络设备B可以经由MACsec通信链路进行通信。例如,网络设备A可以经由MACsec通信链路将业务从网络设备A传送至网络设备B(反之亦然)。
在一些实现中,可以使用在网络设备A与网络设备B之间共享的密钥(诸如SAK)来保护经由MACsec通信链路传送的业务量。SAK可以是随机生成的密钥。SAK可以由网络设备A、网络设备B和/或与网络设备A相关联和/或与网络设备B相关联的设备生成。可以基于在网络设备A与网络设备B之间建立MKA会话来生成SAK。附加地或备选地,可以周期性地生成SAK,使得每当SAK在MKA会话处于活动时生成时,都能够在网络设备A与网络设备B之间共享新SAK。SAK可以从一个网络设备共享到其他网络设备(例如从网络设备A共享到网络设备B或从网络设备B共享到网络设备A)和/或由网络设备A和/或网络设备B从与网络设备A相关联和/或与网络设备B相关联的设备接收。例如,可以在建立MKA会话之后共享SAK。网络设备A和/或网络设备B可以使用SAK来保护经由MACsec通信链路发送的所有业务量。
在一些实现中,经由网络设备A与网络设备B之间的MACsec通信链路传送的业务量可以与消息标识符相关联。可以向经由MACsec通信链路传送的业务量指派消息标识符,以确保业务量不被网络设备(例如网络设备A或网络设备B)不按顺序地(例如无序、与不相关的业务量相关联等)接收。例如,可以指派消息标识符,使得消息标识符与最新的先前指派的消息标识符相关联(例如以使得消息标识符按顺序分配)。
如图1B中且通过附图标记108所示,网络设备A可以存储与网络设备A的MKA状态相关联的信息和/或与同网络设备B的MKA会话相关联的信息。附加地或备选地,网络设备B可以存储与网络设备B的MKA状态相关联的信息和/或与MKA会话相关联的信息。网络设备A和/或网络设备B可以将与MKA状态相关联的信息和/或与MKA会话相关联的信息存储在持久性存储装置中(例如在网络设备变为不可用之后保留数据的存储装置)。与一个网络设备的MKA状态相关联的信息可以参考与其他网络设备相关联的信息(例如与网络设备A的MKA状态相关联的信息可以参考与网络设备B相关联的信息,反之亦然)。
在该示例中,假设与MKA状态相关联的信息和与MKA会话相关联的信息由网络设备B存储。网络设备A可以以相似方式存储与网络设备A的MKA状态相关联的信息和与MKA会话相关联的信息。针对网络设备B,与MKA状态相关联的信息和与MKA会话相关联的信息可以包括一个或多个MKA密钥、与网络设备B相关联的控制面MKA状态、与MKA会话相关联的一个或多个消息标识符、与网络设备A相关联的MAC地址和/或与网络设备B相关联的MAC地址、与MKA会话相关联的端口标识符、与网络设备A相关联的标识符等。
网络设备B可以周期性地(例如每隔30分钟一次、每隔小时一次、每天一次等)存储与MKA状态相关联的信息和与MKA会话相关联的信息。附加地或备选地,当网络设备B(诸如通过接收指示网络设备B离线或重新激活的输入,通过检测网络设备B的功率损耗,通过检测与网络设备B相关联的故障状况等)确定网络设备B将变为临时不可用时,网络设备B可以存储与MKA状态相关联的信息和与MKA会话相关联的信息。
网络设备B可以将与MKA状态相关联的信息和与MKA会话相关联的信息存储在网络设备B可以访问的数据结构(例如列表、表格、映射等)中。可以将数据结构存储在网络设备B中,存储在与网络设备B相关联的设备中,存储在与网络设备B相关联的云计算环境中等。可以将数据结构存储在持久存储装置中。可以将与MKA状态相关联的信息和与MKA会话相关联的信息存储在具有标识MKA会话的标识符的数据结构中,使得网络设备B可以通过在数据结构中搜索标识MKA会话的标识符来访问与MKA状态相关联的信息和与MKA会话相关联的信息。例如,网络设备B可以参与同不同网络设备的多个MKA会话。网络设备B可以针对多个MKA会话中的每个MKA会话存储MKA状态和与MKA会话相关联的信息。网络设备B可以基于与每个MKA会话相关联的标识符来在多个MKA会话中的每个MKA会话之间进行区分。在一些实现中,当网络设备B存储与MKA状态相关联的信息和与MKA会话相关联的信息时,网络设备B可以替换和/或删除数据结构中的与不同MKA状态相关联的任何先前存储的信息和/或与不同MKA会话相关联的信息(例如使得存储在数据结构中的信息与由网络设备B建立的最新MKA会话相关联)。
如图1B中并且通过附图标记110进一步所示,网络设备B可以确定网络设备B将变为临时不可用。例如,网络设备B可以接收引导网络设备B重新激活和/或离线的输入,检测网络设备B的功率损耗,确定网络设备B被调度来重新激活和/或离线,检测与网络设备B相关联的故障状况等。
如通过附图标记112所示,网络设备B可以向网络设备A发送指示网络设备B将变为临时不可用的分组(例如分组可以是任何分组,诸如MKA分组、与网络业务量相关联的分组、与最终告警消息相关联的分组等)。分组可以指示当网络设备B再次变为可用时,网络设备A和网络设备B先前已经进行了协商(例如启用和/或配置)以继续MKA会话。在一些实现中,当网络设备B确定网络设备B将变为临时不可用时,网络设备B可以向网络设备A发送断电告警消息(例如指示网络设备B的电源已中断、将要重新激活、将要离线、已经经历了特定故障状况等的消息)。
如图1C中并且通过附图标记114所示,网络设备B可以变为不可用。网络设备B可以通过重新激活网络设备B、通过离线、通过使电源中断以及再次启动等变为不可用。变为不可用的网络设备B可以使网络设备A与网络设备B之间的MACsec通信链路被中断。
如利用附图标记116所示,网络设备A可以确定网络设备不可用(例如正在重新激活、离线、已经出现故障等)。网络设备A可以基于从网络设备B接收到的分组、基于从网络设备B接收到的断电告警消息、基于网络设备A与网络设备B之间的MACsec通信链路中断、基于在时间长度内未从网络设备B接收到MKA分组等来确定网络设备B不可用。
如图1C中且通过附图标记118进一步所示,网络设备A可以使网络设备A的MKA状态被置于暂停状态下。这样,可以在网络设备A与网络设备B之间暂停MKA会话的MKA协议。例如,网络设备A或网络设备B中的一者或两者可以暂停MKA后台程序或MKA会话的过程(例如通过暂停与MKA后台程序相关联的一个或多个状态机)。在暂停状态下,网络设备A的(和/或网络设备B的)MKA后台程序可以不发送与MKA会话相关联的MKA分组数据。网络设备A可以暂停与MKA会话相关联的超时定时器。附加地或备选地,网络设备A(和/或网络设备B)可以中止或暂停与向网络设备B发送MKA会话的活性消息相关联的超时定时器。相应地,在MKA会话处于暂停状态下时,因为MKA会话的MKA分组数据(其充当活性消息)不会被传输和/或不会被监测接收情况,所以MKA会话不会被破坏。
网络设备A基于确定网络设备B不可用且网络设备A的MKA状态已经被置于暂停状态下,可以存储与网络设备A的MKA状态相关联的信息和/或与MKA会话相关联的信息。如上文所描述,与网络设备A的MKA状态相关联的信息和/或与MKA会话相关联的信息可以与由网络设备B存储的信息相似(或与由网络设备B存储的信息相同)。网络设备A可以以与上文相对于网络设备B描述的相似(或相同)方式来将与网络设备A的MKA状态相关联的信息和/或与MKA会话相关联的信息存储在数据结构中。
网络设备A基于网络设备A的MKA状态被置于暂停状态下,可以发起与暂停状态相关联的恢复定时器。恢复定时器可以与网络设备A的MKA状态可以保持在暂停状态下的时间量相关。例如,如果恢复定时器到期(例如如果与恢复时间相关联的时间量已过去),那么网络设备A可以(诸如通过删除与网络设备A的MKA状态相关联的信息和/或与由网络设备A存储的MKA会话相关联的信息)破坏网络设备A与网络设备B之间的MKA会话,直到结束。
与恢复定时器相关联的时间量可以由网络设备A预先配置。附加地或备选地,如上文所描述,与恢复定时器相关联的时间量可以在网络设备A和网络设备B协商(例如启用和/或配置):在网络设备A和/或网络设备B再次变为可用后继续MKA会话时进行配置。与恢复定时器相关联的时间量可以与网络设备A和/或网络设备B需要在变为不可用之后变为可用的时间量(诸如用以重新激活的时间量、用以从故障状况中恢复的时间量、用以解决离线状况的时间量等)相关。在一些实现中,与恢复定时器相关联的时间量可以由与网络设备A相关联和/或与网络设备B相关联的用户设置(例如配置)。在一些实现中,可以使用网络协议(例如MKA协议等)在网络设备1与网络设备2之间协商与恢复定时器相关联的时间量。
如图1D中且通过附图标记120所示,网络设备B可以确定网络设备B已经(例如通过完成重新激活过程、通过上线、通过从故障状态中恢复等)再次变为可用。网络设备B可以确定网络设备B已经基于网络设备B完成了重新激活过程、上线、从故障状况中恢复等而变为可用。
如通过附图标记122所示,网络设备B基于确定网络设备B已经变为可用,可以基于与MKA状态相关联的信息和与由网络设备B存储的MKA会话相关联的信息来更新网络设备B。例如,网络设备B可以访问数据结构以获得与MKA状态相关联的信息和与MKA会话相关联的信息。网络设备B可以基于与MKA状态相关联的信息和与由网络设备B存储的MKA会话相关联的信息来恢复网络设备B的MKA状态。网络设备B可以通过获得与MKA状态相关联的信息和与由网络设备B存储的MKA会话相关联的信息并且将信息存储在网络设备B内以用于操作(例如在MKA后台程序中、在分组处理组件中等)来恢复网络设备B的MKA状态。网络设备B可以恢复与MKA会话相关联的一个或多个MKA密钥。同样地,网络设备B可以返回与在网络设备B变为不可用之前所存在的相同的MKA状态。
如图1D中且通过附图标记124进一步所示,网络设备B基于更新网络设备B并且恢复MKA状态,可以向网络设备A发送指示网络设备B已经变为可用的分组(例如该分组可以是任何分组,诸如MKA分组、与网络业务量相关联的分组等)。分组可以标识与网络设备B的MKA状态相关联的信息和/或与MKA会话相关联的信息。例如,分组可以关联于与由网络设备B存储的最终消息标识符相关的消息标识符(例如网络设备B可以基于由网络设备B存储的最终消息标识符将分组与按顺序为下一个的消息标识符相关联)。指示网络设备B已经变为可用的分组可以标识与MKA会话相关联的一个或多个MKA密钥。
如图1E中且通过附图标记126所示,网络设备A基于接收到指示网络设备B已经变为可用的分组,可以确定MKA会话尚未结束。网络设备A可以基于恢复定时器来确定MKA会话尚未结束。例如,网络设备A可以确定在使得网络设备A的MKA状态被置于暂停状态下与从网络设备B接收到指示网络设备B已经变为可用的分组之间的时间量。网络设备A可以确定在使得网络设备A的MKA状态被置于暂停状态下与从网络设备B接收到指示网络设备B已经变为可用的分组之间的时间量是否满足阈值时间量。阈值时间量可以与关联于恢复定时器的时间量相关。在一些实现中,网络设备A可以确定与恢复定时器相关联的时间量已经到期(例如恢复定时器可以是递减计数定时器或递增计数定时器,使得当恢复定时器(例如通过从时间量中递减计数或递增计数至时间量)到达与恢复定时器相关联的时间量时,恢复定时器致使MKA会话已经到期)。
网络设备A可以基于网络设备A获得与网络设备A的MKA状态相关联的信息和/或与由网络设备A存储的MKA会话相关联的信息来确定MKA会话尚未结束。例如,如果与恢复定时器相关联的时间量过去,那么网络设备A可以删除与网络设备A的MKA状态相关联的信息和/或与由网络设备A存储的MKA会话相关联的信息。这样,如果网络设备A能够获得与网络设备A的MKA状态相关联的信息和/或与MKA会话相关联的信息,那么网络设备A可以确定MKA会话尚未结束。
网络设备A可以基于标识与指示网络设备B已经变为可用的分组相关联的消息标识符来确定MKA会话尚未结束。网络设备A可以标识消息标识符,并且在网络设备A的MKA状态被置于暂停状态下时确定消息标识符与MKA会话的消息标识符对应。附加地或备选地,网络设备A可以标识指示网络设备B已经变为可以的分组中所标识的一个或多个MKA密钥。当网络设备A的MKA状态被置于暂停状态下时,网络设备A可以将一个或多个MKA密钥与由网络设备A存储的MKA密钥进行比较。如果一个或多个MKA密钥与由网络设备A存储的MKA密钥相匹配,那么网络设备A可以确定MKA会话尚未结束。
如图1E中且通过附图标记128进一步所示,网络设备A可以基于确定MKA会话尚未结束而使网络设备A的MKA会话被置于活动状态下。网络设备A可以基于网络设备A的MKA会话被置于活动状态下而致使与MKA会话相关联的MKA协议恢复。当网络设备B通过重新激活与网络设备A相关联的MKA状态而变为可用时,网络设备A可以继续MKA会话。例如,网络设备A可以恢复经由MKA会话路径(例如根据标准)在网络设备A的MKA后台程序与网络设备B的MKA后台程序之间周期性地(例如每隔2秒或更长时间)发送MKA分组数据(例如对等活性消息)。
如通过附图标记130所示,网络设备A和/或网络设备B可以基于网络设备A的MKA会话被置于活动状态下来经由MACsec通信链路传送业务。网络设备A和网络设备B可以以与上文关于网络设备B变为不可用之前的业务传送相似的方式来传送业务。
如图1E中且通过附图标记132进一步所示,网络设备A和/或网络设备B可以在MKA会话被置于活动状态下之后,使密钥更新过程针对MKA会话而被执行。可以通过网络设备A和/或网络设备B请求密钥更新过程。网络设备A和/或网络设备B可以在从其他网络设备接收到的打包的密钥更新请求MKA中标识密钥更新请求。
密钥更新过程可以使与MKA会话相关联的MKA密钥被改变、替换、更新、更改等。密钥更新过程可以提供改进的安全性,因为在网络设备B不可用期间,MKA密钥可能已经由网络设备A和/或网络设备B存储了一段时间。这样,在网络设备B不可用的时间期间,MKA密钥可能已经被地访问或被盗用。同样地,密钥更新过程提供了(提供一个或多个新MKA密钥的)附加安全性。备选地,网络设备A和/或网络设备B可以不致使密钥更新过程被执行。在这种情况下,MKA会话可以使用在MKA会话被置于暂停状态下之前使用的相同MKA密钥继续。
如图1F中且通过附图标记134所示,网络设备A可以基于接收到指示网络设备B已经变为可用的分组来确定MKA会话已经结束。例如,网络设备A可以基于如下来确定MKA会话已经结束:确定在使得网络设备A的MKA状态被置于暂停状态下与从网络设备B接收到使网络设备B已经变为可用的分组之间的时间量不满足阈值时间量(例如与关联于恢复定时器的时间量相关);确定恢复定时器已经到期;确定网络设备A无法访问与网络设备A的MKA状态相关联的信息和/或与由网络设备A存储的MKA会话相关联的信息;确定在MKA会话被置于暂停状态下时,指示网络设备B已经变为可用的分组中所标识的消息标识符不与MKA会话的消息标识符相对应;确定在MKA会话被置于暂停状态下时,指示网络设备B已经变为可用的分组中所标识的一个或多个MKA密钥不与MKA会话的一个或多个MKA密钥相匹配,等等。
网络设备A可以基于网络设备A确定MKA会话已经结束来删除与由网络设备A存储的MKA会话相关的任何信息。相似地,网络设备B可以基于网络设备B确定MKA会话已经结束(例如通过网络设备B独立地确定MKA会话已经结束(例如通过未接收到对指示网络设备B已经变为可用的分组的响应、通过确定MKA会话尚未被重新建立等)、通过从网络设备A接收到指示MKA会话已经结束的消息等)来删除与由网络设备B存储的MKA会话相关的任何信息。例如,网络设备A可以删除与网络设备A的MKA状态相关联的信息和/或与由网络设备A存储的MKA会话相关联的信息。网络设备B可以删除与网络设备B的MKA状态相关联的信息和/或与由网络设备B存储的MKA会话相关联的信息。删除与网络设备A和/或网络设备B的MKA状态相关联的信息和/或与MKA会话相关联的信息可以通过确保在MKA会话已经结束之后无法访问敏感信息(诸如MKA密钥)来提高安全性。
如通过附图标记136所示,网络设备A可以基于网络设备A确定MKA会话已经结束而使新MKA会话在网络设备A与网络设备B之间被建立。相似地,网络设备B可以基于网络设备B确定MKA会话已经结束而使新MKA会话在网络设备B与网络设备A之间被建立。新MKA会话可以以与上文关于在网络设备A与网络设备B之间最初建立MKA会话所描述的相似(或相同)的方式被建立。网络设备A和网络设备B可以基于建立新MKA会话而以与上文所描述的相似(或相同)的方式经由新MACsec通信链路传送业务量。
本文中所描述的一些实现可以使网络设备A和/或网络设备B节省计算资源和/或网络资源,否则这些计算资源和/或网络资源在其他网络设备变为不可用时将被用于破坏MKA会话,并且在其他网络设备再次变为可用时重新建立MKA会话。此外,本文中所描述的一些实现可以节省计算资源和/或网络资源,否则当在其他网络设备再次变为可用之后重新建立MKA会话时,这些计算资源和/或网络资源将被用于等待传送业务量。
如上文所指示,图1A至图1F仅仅被提供作为一个或多个示例。其他示例可以与关于图1A至图1F描述的示例不同。图1A至图1F中所示的设备的数目和布置被提供作为一个或多个实例。实际上,与图1A至图1F中所示出的设备相比,可以存在附加的设备、更少的设备、不同设备或以不同方式布置的设备。此外,图1至图1F中所示的两个或更多个设备可以实现在单个设备内,或图1A至图1F中所示的单个设备可以实现为多个分布式设备。附加地或备选地,图1A至图1F的一组设备(例如一个或多个设备)可以执行被描述为由图1A至图1F的另一组设备执行的一个或多个功能。
图2是其中可以实现本文中所描述的***和/或方法的示例环境200的示意图。如图2中所示,环境200可以包括一组网络设备210(通过网络设备210-N示出为网络设备210-1)和网络220。环境200的设备可以经由有线连接、无线连接或有线连接与无线连接的组合进行互连。
网络设备210包括能够以本文中所描述的方式接收、处理、存储、路由和/或提供业务量(例如分组、其他信息或元数据等)的一个或多个设备。例如,网络设备210可以包括路由器,诸如标签交换路由器(LSR)、标签边缘路由器(LER)、入口路由器、出口路由器、提供者路由器(例如提供者边缘路由器、提供者核心路由器等)、虚拟路由器等。附加地或备选地,网络设备210可以包括网关、交换机、防火墙、集线器、桥接器、反向代理、服务器(例如代理服务器、云服务器、数据中心服务器等)、负载均衡器和/或相似设备。在一些实现中,网络设备210可以是实现于壳体(诸如机架)内的物理设备。在一些实现中,网络设备210可以是由云计算环境或数据中心的一个或多个计算机设备实现的虚拟设备。在一些实现中,一组网络设备210可以是用于通过网络220路由业务流的一组数据中心节点。
网络220包括一个或多个有线和/或无线网络。例如,网络220可以包括分组交换网络、蜂窝网络(例如第五代(5G)网络、***(4G)网络(诸如长期演进(LTE)网络)、第三代(3G)网络、码分多址(CDMA)网络、公共陆地移动网络(PLMN)、局域网(LAN)、广域网(WAN)、城域网(MAN)、电话网络(例如公共交换电话网络(PSTN))、专用网络、ad hoc网络、内联网、互联网、基于光纤的网络、云计算网络等和/或这些或其他类型的网络的组合。
图2中所示的设备和网络的数目和布置被提供为示例。实际上,与图2中所示的设备和网络相比,可以存在附加的设备和/或网络、更少的设备和/或网络、不同的设备和/或网络或以不同方式布置的设备和/或网络。此外,图2中所示的两个或更多个设备可以实现于单个设备内,或图2中所示的单个设备可以实现为多个分布式设备。附加地或备选地,环境200的一组设备(例如一个或多个设备)可以执行被描述为由环境200的另一组设备执行的一种或多种功能。
图3A是设备300的示例组件的图式。设备300可以与网络设备210对应。在一些实现中,网络设备210可以包括一个或多个设备300和/或设备300的一个或多个组件。如图3A中所示,设备300可以包括总线305、处理器310、存储器315、存储组件320、输入组件325、输出组件330以及通信接口335。
总线305包括允许设备300的多个组件间的通信的组件。利用硬件、固件和/或硬件与软件的组合来实现处理器310。处理器310采用中央处理单元(CPU)、图形处理单元(GPU)、加速处理单元(APU)、微处理器、微控制器、数字信号处理器(DSP)、现场可编程门阵列(FPGA)、专用集成电路(ASIC)或另一种类型的处理组件的形式。在一些实现中,处理器310包括能够被编程为执行功能的一个或多个处理器。存储器315包括存储供处理器310使用的信息和/或指令的随机存取存储器(RAM)、只读存储器(ROM)和/或另一种类型的动态或静态存储设备(例如闪速存储器、磁性存储器和/或光学存储器)。
存储组件320存储与设备300的操作和使用相关的信息和/或软件。例如,存储组件320可以包括硬盘(例如磁盘、光盘和/或磁光盘)、固态驱动器(SSD)、光盘(CD)、数字多功能光盘(DVD)、软盘、磁带盒、磁带和/或另一种类型的非瞬态计算机可读介质以及对应驱动器。
输入组件325包括允许设备300诸如经由用户输入接收信息的组件(例如触摸屏显示器、键盘、小键盘、鼠标、按钮、交换机和/或麦克风)。附加地或备选地,输入组件325可以包括用于确定位置的组件(例如全球定位***(GPS)组件)和/或传感器(例如加速度计、陀螺仪、致动器、另一种类型的位置或环境传感器等)。输出组件330包括(经由例如显示器、扬声器、触觉反馈组件、音频或视觉指示器等)提供来自设备300的输出信息的组件。
通信接口335包括类似收发器的组件(例如收发器、单独接收器、单独发射器等),该组件使得设备300能够诸如经由有线连接、无线连接或有线连接与无线连接的组合与其他设备通信。通信接口335可以允许设备300从另一设备接收信息和/或向另一设备提供信息。例如,通信接口335可以包括以太网接口、光学接口、同轴接口、红外接口、射频(RF)接口、通用串行总线(USB)接口、Wi-Fi接口、蜂窝网络接口等。
设备300可以执行本文中所描述的一个或多个过程。设备300可以基于处理器310执行由非瞬态计算机可读介质(诸如存储器315和/或存储组件320)存储的软件指令来执行这些过程。如本文中所使用,术语“计算机可读介质”是指非瞬态存储器设备。存储器设备包括单个物理存储设备内的存储空间或跨多个物理存储设备分布的存储空间。
可以经由通信接口335从另一计算机可读介质或从另一设备将软件指令读取到存储器315和/或存储组件320中。存储在存储器315和/或存储组件320中的软件指令在被执行时可以使处理器310执行本文中所描述的一个或多个过程。附加地或备选地,硬件电路***可以代替软件指令使用或与软件指令结合使用以执行本文中所描述的一个或多个过程。因此,本文中所描述的实现不限于硬件电路***和软件的任何特定组合。
图3A中所示的组件的数目和布置被提供作为示例。实际上,与图3A中所示的组件相比,设备300可以包括附加的组件、更少的组件、不同组件或以不同方式布置的组件。附加地或备选地,设备300的一组组件(例如一个或多个组件)可以执行被描述为由设备300的另一组组件执行的一种或多种功能。
图3B是设备350的示例组件的图式。设备350可以与网络设备210等相对应。在一些实现中,网络设备210等可以包括一个或多个设备350和/或设备350的一个或多个组件。如图3B中所示,设备350可以包括一个或多个输入组件355-1至355-B(B≥1)(在下文中统称为输入组件355且单独地称为输入组件355)、交换组件360、一个或多个输出组件365-1至365-C(C≥1)(在下文中统称为输出组件365且单独地称为输出组件365)和控制器370。
输入组件355可以是用于物理链路的一个或多个附接点,并且可以是用于传入业务(诸如分组)的一个或多个入口点。输入组件355可以诸如通过执行数据链路层封装或解封装来处理传入业务。在一些实现中,输入组件355可以传输和/或接收分组。在一些实现中,输入组件355可以包括输入线卡,该输入线卡包括一个或多个分组处理组件(例如以集成电路的形式),诸如一个或多个接口卡(IFC)、分组转发组件、线卡控制器组件、输入端口、处理器、存储器和/或输入队列。在一些实现中,设备350可以包括一个或多个输入组件355。
交换组件360可以将输入组件355与输出组件365互连。在一些实现中,可以经由一个或多个交叉开关(crossbar)、经由总线和/或利用共享存储器来实现交换组件360。共享存储器可以充当用以在最终调度了分组以将其递送到输出组件365之前存储来自输入组件355的分组的临时缓冲器。在一些实现中,交换组件360可以使输入组件355、输出组件365和/或控制器370能彼此通信。
输出组件365可以存储分组并且可以调度分组以用于在输出物理链路上传输。输出组件365可以支持数据链路层封装或解封装和/或各种高级协议。在一些实现中,输出组件365可以传输分组和/或接收分组。在一些实现中,输出组件365可以包括输出线卡,该输出线卡包括一个或多个分组处理组件(例如以集成电路的形式),诸如一个或多个IFC、分组转发组件、线卡控制器组件、输出端口、处理器、存储器和/或输出队列。在一些实现中,设备350可以包括一个或多个输出组件365。在一些实现中,输入组件355和输出组件365可以由一组相同的组件(例如,且输入/输出组件可以是输入组件355与输出组件365的组合)来实现。
控制器370包括例如以CPU、GPU、APU、微处理器、微控制器、DSP、FPGA、ASIC和/或另一种类型的处理器的形式的处理器。可以利用硬件、固件或硬件与软件的组合来实现处理器。在一些实现中,控制器370可以包括可被编程为执行功能的一个或多个处理器。
在一些实现中,控制器370可以包括存储供控制器370使用的信息和/或指令的RAM、ROM和/或另一种类型的动态或静态存储设备(例如闪速存储器、磁性存储器和/或光学存储器等)。
在一些实现中,控制器370可以与连接到设备350的其他设备、网络和/或***通信以交换关于网络拓扑的信息。控制器370可以基于网络拓扑信息来创建路由表,可以基于路由表来创建转发表,并且可以将转发表转发到输入组件355和/或输出组件365。输入组件355和/或输出组件365可以使用转发表来针对传入和/或传出分组执行路由查找。
控制器370可以执行本文中所描述的一个或多个过程。控制器370可以响应于执行由非瞬态计算机可读介质存储的软件指令来执行这些过程。计算机可读介质在本文中被定义为非瞬态存储器设备。存储器设备包括单个物理存储设备内的存储空间或跨多个物理存储设备分布的存储空间。
可以经由通信接口从另一计算机可读介质或另一设备将软件指令读入与控制器370相关联的存储器和/或存储组件中。存储在与控制器370相关联的存储器和/或存储组件中的软件指令在被执行时可以使控制器370执行本文中所描述的一个或多个过程。附加地或备选地,硬连线电路***可以代替软件指令使用或与软件指令结合使用以执行本文中所描述的一个或多个过程。因此,本文中所描述的实现不限于硬件电路***和软件的任何特定组合。
图3B中所示的组件的数目和布置被提供为示例。实际上,与图3B中所示的组件相比,设备350可以包括附加组件、更少的组件、不同组件或以不同方式布置的组件。附加地或备选地,设备350的一组组件(例如一个或多个组件)可以执行被描述为由设备350的另一组组件执行的一种或多种功能。
图4是用于在网络设备变为临时不可用后继续介质接入控制安全性(MACsec)密钥协定(MKA)会话的示例过程400的流程图。在一些实现中,图4的一个或多个过程框可以由网络设备(例如网络设备210)执行。在一些实现中,图4的一个或多个过程框可以由另一设备或一组设备执行,这些设备与网络设备分离或包括网络设备,诸如其他网络设备210、与网络220通信的设备等。
如图4中所示,过程400可以包括经由介质接入控制安全性(MACsec)密钥协定(MKA)通信链路与其他网络设备进行通信,其中MKA会话已经在网络设备与其他网络设备之间被建立(框410)。例如,如上文所描述,网络设备(例如使用处理器310、存储器315、存储组件320、输入组件325、输出组件330、通信接口335、输入组件355、交换组件360、输出组件365、控制器370等)可以经由介质接入控制安全性(MACsec)密钥协定(MKA)通信链路与其他网络设备进行通信。在一些实现中,MKA会话已经在网络设备与其他网络设备之间被建立。
如图4中进一步所示,过程400可以包括确定其他网络设备不可用(框420)。例如,如上文所描述,网络设备(例如使用处理器310、存储器315、存储组件320、输入组件325、输出组件330、通信接口335、输入组件355、交换组件360、输出组件365、控制器370等)可以确定其他网络设备不可用。
如图4中进一步所示,过程400可以包括基于确定其他网络设备不可用而使网络设备的MKA被置于暂停状态下(框430)。例如,如上文所描述,网络设备(例如使用处理器310、存储器315、存储组件320、输入组件325、输出组件330、通信接口335、输入组件355、交换组件360、输出组件365、控制器370等)可以基于确定其他网络设备不可用而使网络设备的MKA状态被置于暂停状态下。
如图4中进一步所示,过程400可以包括在使得网络设备的MKA状态被置于暂停状态下之后经由MKA通信链路从其他网络设备接收分组(框440)。例如,如上文所描述,网络设备(例如使用处理器310、存储器315、存储组件320、输入组件325、输出组件330、通信接口335、输入组件355、交换组件360、输出组件365、控制器370等)可以在使得网络设备的MKA状态被置于暂停状态下之后经由MKA通信链路从其他网络设备接收分组。
如图4中进一步所示,过程400可以包括基于分组确定MKA会话尚未结束(框450)。例如,如上文所描述,网络设备(例如使用处理器310、存储器315、存储组件320、输入组件325、输出组件330、通信接口335、输入组件355、交换组件360、输出组件365、控制器370等)可以基于分组来确定MKA会话尚未结束。
如图4中进一步所示,过程400可以包括基于MKA会话尚未结束,通过重新激活MKA状态来继续MKA会话(框460)。例如,如上文所描述,网络设备(例如使用处理器310、存储器315、存储组件320、输入组件325、输出组件330、通信接口335、输入组件355、交换组件360、输出组件365、控制器370等)可以基于MKA会话尚未结束,通过重新激活MKA状态来继续MKA会话。
过程400可以包括附加实现,诸如下文所描述的任何单种实现或实现的任何组合和/或结合本文中的其他地方所描述的一个或多个其他过程。
在第一实现中,确定其他网络设备不可用包括:处理从其他网络设备接收到的特定分组,以确定其他网络设备已经变为不可用。
在第二实现中,单独地或与第一实现结合,确定其他网络设备不可用包括:确定网络设备在时间长度内没有从其他网络设备接收到MKA分组
在第三实现中,单独地或与第一实现和第二实现中的一者或多者相结合,使得网络设备的MKA状态被置于暂停状态下包括:使网络设备中止与MKA会话相关联的MKA分组的传输;使网络设备中止与MKA会话相关联的超时定时器;使网络设备将与MKA会话相关联的信息存储在数据结构中;以及使网络设备发起与MKA会话相关的恢复定时器,其中该恢复定时器在网络设备与其他网络设备之间被配置或协商。
在第四实现中,单独地或与第一实现至第三实现中的一者或多者相结合,确定MKA会话尚未结束包括:确定在使得网络设备的MKA状态被置于暂停状态下与经由MKA通信链路从其他网络设备接收分组之间的时间长度;确定时间长度不满足阈值;标识分组的消息标识符;确定在MKA状态被置于暂停状态下时,分组的消息标识符与MKA会话的消息标识符对应;以及基于确定时间长度确实满足阈值并且确定在MKA会话被置于暂停状态下时分组的消息标识符与MKA会话的消息标识符箱对应来确定MKA会话尚未结束。
在第五实现中,单独地或与第一实现至第四实现中的一者或多者相结合,继续MKA会话包括:在不执行用于建立新MKA会话的过程的情况下,恢复MKA会话。
在第六实现中,单独地或与第一实现至第五实现中的一者或多者相结合,继续MKA会话包括:使网络设备的MKA状态被置于活动状态下。
在第七实现中,单独地或与第一实现至第六实现中的一者或多者相结合,继续MKA会话包括:使网络设备的MKA状态被置于活动状态下,并且使密钥更新过程针对MKA会话而被执行。
在第八实现中,单独地或与第一实现至第七实现中的一者或多者相结合,过程400包括配置网络设备以在其他网络设备不可用时避免终止与其他网络设备的MKA会话。
尽管图4示出了过程400的示例框,但在一些实现中,与图4中所描绘的框相比,过程400可以包括附加的框、更少的框、不同框或以不同方式布置的框。附加地或备选地,过程400的框中的两个或更多个可以被并行执行。
图5是用于在网络设备变为临时不可用后继续介质接入控制安全性(MACsec)密钥协定(MKA)会话的示例过程500的流程图。在一些实现中,图5的一个或多个过程框可以由网络设备(例如网络设备210)执行。在一些实现中,图5的一个或多个过程框可以由另一设备或一组设备执行,这些设备与网络设备分离或包括网络设备,诸如另一网络设备210、与网络220通信的设备等。
如图5中所示,过程500可以包括经由介质接入控制安全性(MACsec)密钥协定(MKA)通信链路与另一网络设备进行通信,其中已经在网络设备与其他网络设备之间建立了MKA会话(框510)。例如,如上文所描述,网络设备(例如使用处理器310、存储器315、存储组件320、输入组件325、输出组件330、通信接口335、输入组件355、交换组件360、输出组件365、控制器370等)可以经由介质接入控制安全性(MACsec)密钥协定(MKA)通信链路与另一网络设备进行通信。在一些实现中,已经在网络设备与其他网络设备之间建立了MKA会话。
如图5中进一步所示,过程500可以包括基于与其他网络设备进行通信,使与网络设备的MKA状态相关联的信息和与MKA会话相关联的信息被存储在数据结构中(框520)。例如,如上文所描述,网络设备(例如使用处理器310、存储器315、存储组件320、输入组件325、输出组件330、通信接口335、输入组件355、交换组件360、输出组件365、控制器370等)可以基于与其他网络设备进行通信,致使与网络设备的MKA状态相关联的信息和与MKA会话相关联的信息被存储在数据结构中。
如图5中进一步所示,过程500可以包括确定网络设备将在特定时间变为不可用(框530)。例如,如上文所描述,网络设备(例如使用处理器310、存储器315、存储组件320、输入组件325、输出组件330、通信接口335、输入组件355、交换组件360、输出组件365、控制器370等)可以确定网络设备将在特定时间变为不可用。
如图5中进一步所示,过程500可以包括基于确定网络设备将在特定时间变为不可用而向其他网络设备发送指示网络设备将变为不可用的分组(框540)。例如,如上文所描述,网络设备(例如使用处理器310、存储器315、存储组件320、输入组件325、输出组件330、通信接口335、输入组件355、交换组件360、输出组件365、控制器370等)可以基于确定网络设备将在特定时间变为不可用而向其他网络设备发送指示网络设备将变为不可用的分组。
如图5中进一步所示,过程500可以包括在特定时间之后确定网络设备已经变为可用(框550)。例如,如上文所描述,网络设备(例如使用处理器310、存储器315、存储组件320、输入组件325、输出组件330、通信接口335、输入组件355、交换组件360、输出组件365、控制器370等)可以在特定时间之后确定网络设备已经变为可用。
如图5中进一步所示,过程500可以包括在确定网络设备已经变为可用之后,使网络设备基于与网络设备的MKA状态相关联的信息和与存储在数据结构中的MKA会话相关联的信息而被更新(框560)。例如,如上文所描述,网络设备(例如使用处理器310、存储器315、存储组件320、输入组件325、输出组件330、通信接口335、输入组件355、交换组件360、输出组件365、控制器370等)可以在确定网络设备已经变为可用之后,使网络设备基于与网络设备的MKA状态相关联的信息和与存储在数据结构中的MKA会话相关联的信息而被更新。
过程500可以包括附加实现,诸如下文所描述的任何单个实现或实现的任何组合和/或结合本文中的其他地方所描述的一个或多个其他过程。
在第一实现中,向其他网络设备发送MKA分组,使其他网络设备将其他网络设备的MKA状态置于暂停状态下。
在第二实现中,单独地或与第一实现相结合,过程500包括在使网络设备被更新之后生成附加MKA分组;以及经由MKA通信链路向其他网络设备发送附加MKA分组。
在第三实现中,单独地或与第一实现和第二实现中的一者或多者相结合,向其他网络设备发送附加MKA分组以使其他网络设备将其他网络设备的MKA状态置于活动状态下。
在第四实现中,单独地或与第一实现至第三实现中的一者或多者相结合,过程500包括在使网络设备被更新之后生成附加MKA分组;经由MKA通信链路向其他网络设备发送附加MKA分组;在向其他网络设备发送附加MKA分组之后从其他网络设备接收密钥更新请求MKA分组;以及基于密钥更新请求MKA分组使密钥更新过程针对MKA会话而被执行。
在第五实现中,单独地或与第一实现至第四实现中的一者或多者相结合,过程500包括在使得网络设备被更新之后生成附加MKA分组;以及经由MKA通信链路向其他网络设备发送附加MKA分组以使其他网络设备针对MKA会话执行密钥更新过程。
尽管图5示出了过程500的示例框,但在一些实现中,与图5中所描绘的框相比,过程500可以包括附加框、更少的框、不同框或以不同方式布置的框。附加地或备选地,过程500的框中的两个或更多个可以并行执行。
图6是用于在网络设备变为临时不可用后继续介质接入控制安全性(MACsec)密钥协定(MKA)会话的示例过程600的流程图。在一些实现中,图6的一个或多个过程框可以由网络设备(例如网络设备210)执行。在一些实现中,图6的一个或多个过程框可以由另一设备或一组设备执行,这些设备与网络设备分离或包括网络设备,诸如另一网络设备210、与网络220通信的设备等。
如图6中所示,过程600可以包括经由介质接入控制安全性(MACsec)密钥协定(MKA)通信链路与另一网络设备进行通信,其中已经在网络设备与其他网络设备之间建立了MKA会话(框610)。例如,如上文所描述,网络设备(例如使用处理器310、存储器315、存储组件320、输入组件325、输出组件330、通信接口335、输入组件355、交换组件360、输出组件365、控制器370等)可以经由介质接入控制安全性(MACsec)密钥协定(MKA)通信链路与另一网络设备进行通信。在一些实现中,MKA会话已经在网络设备与其他网络设备之间被建立。
如图6中进一步所示,过程600可以包括基于与其他网络设备进行通信,致使与网络设备的MKA状态相关联的信息和与MKA会话相关联的信息被存储在数据结构中(框620)。例如,如上文所描述,网络设备(例如使用处理器310、存储器315、存储组件320、输入组件325、输出组件330、通信接口335、输入组件355、交换组件360、输出组件365、控制器370等)可以基于与其他网络设备进行通信,使与网络设备的MKA状态相关联的信息和与MKA会话相关联的信息被存储在数据结构中。
如图6中进一步所示,过程600可以包括在使得与网络设备的MKA状态相关联的信息和与MKA会话相关联的信息被存储在数据结构中之后,确定网络设备已经在临时不可用之后变为可用(框630)。例如,如上文所描述,网络设备(例如使用处理器310、存储器315、存储组件320、输入组件325、输出组件330、通信接口335、输入组件355、交换组件360、输出组件365、控制器370等)可以在使得与网络设备的MKA状态相关联的信息和与MKA会话相关联的信息被存储在数据结构中之后,确定网络设备已经在临时不可用之后变为可用。
如图6中进一步所示,过程600可以包括在确定网络设备已经变为可用之后,使网络设备基于与网络设备的MKA状态相关联的信息和与被存储在数据结构中的MKA会话相关联的信息而被更新(框640)。例如,如上文所描述,网络设备(例如使用处理器310、存储器315、存储组件320、输入组件325、输出组件330、通信接口335、输入组件355、交换组件360、输出组件365、控制器370等)可以在确定网络设备已经变为可用之后,使网络设备基于与网络设备的MKA状态相关联的信息和与存储在数据结构中的MKA会话相关联的信息而被更新。
如图6中进一步所示,过程600可以包括在使得网络设备被更新之后经由MKA通信链路向其他网络设备发送MKA分组(框650)。例如,如上文所描述,网络设备(例如使用处理器310、存储器315、存储组件320、输入组件325、输出组件330、通信接口335、输入组件355、交换组件360、输出组件365、控制器370等)可以在使网络设备被更新之后经由MKA通信链路向其他网络设备发送MKA分组。
如图6中进一步所示,过程600可以包括基于经由MKA通信链路向其他网络设备发送MKA分组来确定MKA会话尚未结束(框660)。例如,如上文所描述,网络设备(例如使用处理器310、存储器315、存储组件320、输入组件325、输出组件330、通信接口335、输入组件355、交换组件360、输出组件365、控制器370等)可以基于经由MKA通信链路向其他网络设备发送MKA分组来确定MKA会话尚未结束。
如图6中进一步所示,过程600可以包括基于确定MKA会话尚未结束来执行至少一个动作(框670)。例如,如上文所描述,网络设备(例如使用处理器310、存储器315、存储组件320、输入组件325、输出组件330、通信接口335、输入组件355、交换组件360、输出组件365、控制器370等)可以基于确定MKA会话尚未结束来执行至少一个动作。
过程600可以包括附加实现,诸如下文所描述的任何单个实现或实现的任何组合和/或结合本文中的其他地方所描述的一个或多个其他过程。
在第一实现中,MKA分组的消息标识符在网络设备变为临时不可用时与MKA会话的消息标识符对应。
在第二实现中,单独地或与第一实现相结合,过程600包括确定网络设备是否已经经由MKA通信链路从其他网络设备接收到与MKA会话相关联的一个或多个分组。
在第三实现中,单独地或与第一实现和第二实现中的一者或多者相结合,网络设备确定MKA会话尚未结束,执行至少一个动作包括通过重新激活MKA状态来继续MKA会话。
在第四实现中,单独地或与第一实现至第三实现中的一者或多者相结合,网络设备确定MKA会话尚未结束,执行至少一个动作包括致使密钥更新过程得以针对MKA会话执行。
尽管图6示出了过程600的示例框,但在一些实现中,与图6中所描绘的框相比,过程600可以包括附加框、更少的框、不同框或以不同方式布置的框。附加地或备选地,过程600的框中的两个或更多个可以并行执行。
前述公开内容提供了说明和描述,但并不旨在详尽地展现实现或将实现限制于所公开的精确形式。可以鉴于以上公开内容做出修改和改变,并且可以从实现的实践中获取这些修改和改变。
如本文中所使用,术语“组件”旨在被广泛地解释为硬件、固件和/或硬件与软件的组合。
如本文中所使用,术语“业务量或内容”可以包括一组分组。分组可以指用于传达信息的通信结构,诸如协议数据单元(PDU)、网络分组、数据报、片段、消息、区块、小区、帧、子帧、时隙、符号、上述任一者的一部分和/或能够经由网络传输的另一种类型的格式化或未经格式化的数据。
在本文中结合阈值描述了一些实现。如本文中所使用,取决于上下文,满足阈值可以是指大于阈值、多于阈值、高于阈值、大于或等于阈值、小于阈值、少于阈值、低于阈值、小于或等于阈值、等于阈值等的值。
显而易见的是,本文中所描述的***和/或方法可以以不同形式的硬件、固件或硬件与软件的组合来实现。用于实现这些***和/或方法的实际专用控制硬件或软件代码不是对实现的限制。因此,本文中在不参考具体软件代码的情况下描述了***和/或方法的操作和行为——应理解,可以基于本文中的描述将软件和硬件设计为用于实现***和/或方法。
即使在权利要求书中叙述了和/或在说明书中公开了特征的特定组合,但这些组合不旨在限制各种实现的公开内容。实际上,可以以权利要求书中未具体叙述和/或说明书中未公开的方式组合许多这些特征。尽管下面列出的每个从属权利要求可以仅直接从属于一项权利要求,但各种实现的公开内容包括每项从属权利要求与权利要求集合中的每项其他权利要求。
同样地,除非另有明确描述,否则本文中所使用的元件、动作或指令不应被解释为关键的或必需的。此外,如本文中所使用的,冠词“一”和“一个”旨在包括一个或多个项目并且可以与“一个或多个”互换地使用。另外,如本文中所使用的,冠词“该”旨在包括结合冠词“该”引用的一个或多个项目,并且可以与“一个或多个”互换地使用。此外,如本文中所使用的,术语“集合”旨在包括一个或多个项目(例如相关项目、不相关项目、相关项目与不相关项目的组合等),并且可以与“一个或多个”互换地使用。在仅旨在表示一个项目的情况下,使用短语“仅一个”或相似语言。此外,如本文中所使用的,术语“具有(has)”、“具有(have)”、“具有(having)”等旨在作为开放式术语。另外,除非另有明确陈述,否则短语“基于”旨在表示“至少部分地基于”。此外,如本文中所使用的,除非另有明确陈述,否则术语“或”旨在当串联使用时为包括性的,并且可以与“和/或”互换地使用(例如在结合“任一者”或“中的仅一者”使用的条件下)。
Claims (20)
1.一种方法,包括:
由网络设备经由介质接入控制安全性(MACsec)密钥协定(MKA)通信链路与其他网络设备通信,
其中MKA会话已经在所述网络设备与所述其他网络设备之间被建立;
由所述网络设备确定所述其他网络设备不可用;
由所述网络设备基于确定所述其他网络设备是不可用的而使所述网络设备的MKA状态被置于暂停状态;
在使所述网络设备的所述MKA状态被置于所述暂停状态之后,由所述网络设备经由所述MKA通信链路从所述其他网络设备接收分组;
由所述网络设备基于所述分组确定所述MKA会话尚未结束;以及
由所述网络设备基于所述MKA会话尚未结束而通过重新激活所述MKA状态来继续所述MKA会话。
2.根据权利要求1所述的方法,其中确定其他网络设备是不可用的包括:
处理从所述其他网络设备接收到的特定分组,以确定其他网络设备已经变为不可用。
3.根据权利要求1所述的方法,其中确定所述其他网络设备是不可用的包括:
确定所述网络设备在时间长度内尚未从所述其他网络设备接收到MKA分组。
4.根据权利要求1所述的方法,其中使所述网络设备的所述MKA状态被置于所述暂停状态包括:
使所述网络设备中止与所述MKA会话相关联的MKA分组的传输;
使所述网络设备中止与所述MKA会话相关联的超时定时器;
使所述网络设备将与MKA会话相关联的信息存储在数据结构中;以及
使所述网络设备启动与所述MKA会话相关联的恢复定时器;
其中所述恢复定时器在所述网络设备与所述其他网络设备之间被配置和/或协商。
5.根据权利要求1所述的方法,其中确定所述MKA会话尚未结束包括:
确定使所述网络设备的所述MKA状态被置于所述暂停状态与经由所述MKA通信链路从所述其他网络设备接收所述分组之间的时间长度;
确定所述时间长度不满足阈值;
标识所述分组的消息标识符;
确定:在所述MKA状态被置于所述暂停状态时,所述分组的所述消息标识符与所述MKA会话的消息标识符相对应;以及
基于确定所述时间长度确实满足所述阈值并且在所述MKA状态被置于所述暂停状态时所述分组的所述消息标识符与所述MKA会话的所述消息标识符相对应,确定所述MKA会话尚未结束。
6.根据权利要求1所述的方法,其中继续所述MKA会话包括:
恢复所述MKA会话,而不执行用于建立新MKA会话的过程。
7.根据权利要求1所述的方法,其中继续所述MKA会话包括:
使所述网络设备的所述MKA状态被置于活动状态中。
8.根据权利要求1所述的方法,其中继续所述MKA会话包括:
使所述网络设备的所述MKA状态被置于活动状态;以及
使密钥更新过程针对所述MKA会话被执行。
9.根据权利要求1所述的方法,还包括:
当所述其他网络设备不可用时,配置所述网络设备配置以避免终止与所述其他网络设备的MKA会话。
10.一种网络设备,包括:
一个或多个存储器;以及
一个或多个处理器,所述一个或多个处理器用以:
经由介质接入控制安全性(MACsec)密钥协定(MKA)通信链路与其他网络设备通信,
其中MKA会话已经在所述网络设备与所述其他网络设备之间被建立;
基于与其他网络设备通信,使与所述网络设备的MKA状态相关联的信息和与所述MKA会话相关联的信息被存储在数据结构中;
确定所述网络设备将在特定时间变为不可用;
基于确定所述网络设备将在所述特定时间变为不可用,向所述其他网络设备发送指示所述网络设备将变为不可用的MKA分组;
在所述特定时间之后,确定所述网络设备已经变为可用;以及
在确定所述网络设备已经变为可用之后,使所述网络设备基于被存储在所述数据结构中的、与所述网络设备的所述MKA状态相关联的所述信息和与所述MKA会话相关联的所述信息而被更新。
11.根据权利要求10所述的网络设备,其中向所述其他网络设备发送所述MKA分组使所述其他网络设备将所述其他网络设备的MKA状态置于暂停状态。
12.根据权利要求10所述的网络设备,其中所述一个或多个处理器进一步用以:
在使所述网络设备被更新之后,生成附加MKA分组;以及
经由所述MKA通信链路向所述其他网络设备发送所述附加MKA分组。
13.根据权利要求12所述的网络设备,其中向所述其他网络设备发送所述附加MKA分组使所述其他网络设备将所述其他网络设备的MKA状态置于活动状态。
14.根据权利要求10所述的网络设备,其中所述一个或多个处理器进一步用以:
在使所述网络设备被更新之后,生成附加MKA分组;
经由所述MKA通信链路向所述其他网络设备发送所述附加MKA分组;
在向所述其他网络设备发送所述附加MKA分组之后,从所述其他网络设备接收密钥更新请求MKA分组;以及
基于所述密钥更新请求MKA分组,使密钥更新过程针对所述MKA会话被执行。
15.根据权利要求10所述的网络设备,其中所述一个或多个处理器进一步用以:
在使所述网络设备被更新之后,生成附加MKA分组;以及
经由所述MKA通信链路向所述其他网络设备发送所述附加MKA分组,以使所述其他网络设备针对所述MKA会话执行密钥更新过程。
16.一种存储有指令的非瞬态计算机可读介质,所述指令包括:
一个或多个指令,所述一个或多个指令在由网络设备的一个或多个处理器执行时,使所述一个或多个处理器:
经由介质接入控制安全性(MACsec)密钥协定(MKA)通信链路与其他网络设备通信,
其中MKA会话已经在所述网络设备与所述其他网络设备之间被建立;
基于与所述其他网络设备进行通信,使与所述网络设备的MKA状态相关联的信息和与所述MKA会话相关联的信息被存储在数据结构中,
在使与所述网络设备的所述MKA状态相关联的所述信息和与所述MKA会话相关联的信息被存储在所述数据结构中之后,确定所述网络设备在临时不可用之后已经变为可用;
在确定所述网络设备已经变为可用之后,使所述网络设备基于被存储在所述数据结构中的、与所述网络设备的所述MKA状态相关联的所述信息和与所述MKA会话相关联的所述信息而被更新;
在使所述网络设备被更新之后,经由所述MKA通信链路向所述其他网络设备发送MKA分组;
基于经由所述MKA通信链路向所述其他网络设备发送所述MKA分组来确定所述MKA会话尚未结束;以及
由所述网络设备基于确定所述MKA会话尚未结束来执行至少一个动作。
17.根据权利要求16所述的非瞬态计算机可读介质,其中在所述网络设备变为临时不可用时,所述MKA分组的消息标识符与所述MKA会话的消息标识符相对应。
18.根据权利要求16所述的非瞬态计算机可读介质,其中使所述一个或多个处理器确定所述MKA会话尚未结束的所述一个或多个指令,使所述一个或多个处理器:
确定所述网络设备是否已经经由所述MKA通信链路从所述其他网络设备接收到与所述MKA会话相关联的一个或多个分组。
19.根据权利要求16所述的非瞬态计算机可读介质,其中所述网络设备确定了所述MKA会话尚未结束,
其中使所述一个或多个处理器执行所述至少一个动作的所述一个或多个指令,使所述一个或多个处理器:
通过重新激活所述MKA状态来继续所述MKA会话。
20.根据权利要求16所述的非瞬态计算机可读介质,其中所述网络设备确定了所述MKA会话尚未结束,
其中使所述一个或多个处理器执行所述至少一个动作的所述一个或多个指令,使所述一个或多个处理器:
使密钥更新过程针对所述MKA会话被执行。
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US16/824,028 | 2020-03-19 | ||
US16/824,028 US11711367B2 (en) | 2020-03-19 | 2020-03-19 | Continuing a media access control security (MACsec) key agreement (MKA) session upon a network device becoming temporarily unavailable |
Publications (1)
Publication Number | Publication Date |
---|---|
CN113497822A true CN113497822A (zh) | 2021-10-12 |
Family
ID=70682596
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202010399434.9A Pending CN113497822A (zh) | 2020-03-19 | 2020-05-12 | 网络设备变为临时不可用后继续介质接入控制安全性密钥协定会话 |
Country Status (3)
Country | Link |
---|---|
US (2) | US11711367B2 (zh) |
EP (1) | EP3883205B1 (zh) |
CN (1) | CN113497822A (zh) |
Families Citing this family (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US11711367B2 (en) | 2020-03-19 | 2023-07-25 | Juniper Networks, Inc. | Continuing a media access control security (MACsec) key agreement (MKA) session upon a network device becoming temporarily unavailable |
US11997076B2 (en) * | 2020-08-25 | 2024-05-28 | Schweitzer Engineering Laboratories, Inc. | Systems and methods for establishing secure communication in an electric power distribution system |
US11502825B2 (en) * | 2020-11-17 | 2022-11-15 | Schweitzer Engineering Laboratories, Inc. | Systems and methods for using entropy data in an electric power distribution system |
US11722501B2 (en) * | 2021-03-17 | 2023-08-08 | Schweitzer Engineering Laboratories. Inc. | Device management in power systems using media access control security (MACsec) |
US11843479B2 (en) * | 2021-03-23 | 2023-12-12 | Schweitzer Engineering Laboratories, Inc. | Systems and methods for establishing a secure communication link in an electric power distribution system |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101471936A (zh) * | 2007-12-29 | 2009-07-01 | 华为技术有限公司 | 建立ip会话的方法、装置及*** |
US20140258532A1 (en) * | 2010-05-25 | 2014-09-11 | Cisco Technology, Inc. | Keep-alive hiatus declaration |
US20190007302A1 (en) * | 2017-06-29 | 2019-01-03 | Cisco Technology, Inc. | Mechanism for Dual Active Detection Link Monitoring in Virtual Switching System with Hardware Accelerated Fast Hello |
CN109417551A (zh) * | 2016-06-29 | 2019-03-01 | T移动美国公司 | 互联网协议多媒体***会话恢复 |
US20190116183A1 (en) * | 2017-10-16 | 2019-04-18 | Juniper Networks, Inc. | Fast heartbeat liveness between packet processing engines using media access control security (macsec) communication |
Family Cites Families (15)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US5694537A (en) * | 1995-07-31 | 1997-12-02 | Canon Information Systems, Inc. | Network device which selects a time service provider |
US8719567B2 (en) * | 2009-10-14 | 2014-05-06 | Cisco Technology, Inc. | Enabling QoS for MACsec protected frames |
US20160036813A1 (en) * | 2013-03-15 | 2016-02-04 | Hewlett-Packard Development Company, L.P. | Emulate vlans using macsec |
US10454887B2 (en) * | 2015-11-18 | 2019-10-22 | Cisco Technology, Inc. | Allocation of local MAC addresses to client devices |
CN107769914B (zh) * | 2016-08-17 | 2021-02-12 | 华为技术有限公司 | 保护数据传输安全的方法和网络设备 |
CN112910637B (zh) * | 2016-11-26 | 2022-04-22 | 华为技术有限公司 | 用于设备之间mka协商的***、方法和设备 |
US20180302269A1 (en) * | 2017-04-17 | 2018-10-18 | Hewlett Packard Enterprise Development Lp | Failover in a Media Access Control Security Capable Device |
US10469461B1 (en) * | 2017-10-11 | 2019-11-05 | Juniper Networks, Inc. | Securing end-to-end virtual machine traffic |
US20190386824A1 (en) * | 2018-06-13 | 2019-12-19 | Hewlett Packard Enterprise Development Lp | Failover in a media access control security capabale device |
US11128663B2 (en) * | 2018-10-16 | 2021-09-21 | Cisco Technology, Inc. | Synchronizing link and event detection mechanisms with a secure session associated with the link |
US11411915B2 (en) * | 2019-01-09 | 2022-08-09 | Cisco Technology, Inc. | Leveraging MACsec key agreement (MKA) state events to trigger fast IGP/EGP convergence on MACsec encrypted links |
US20200358764A1 (en) * | 2019-05-07 | 2020-11-12 | Verizon Patent And Licensing Inc. | System and method for generating symmetric key to implement media access control security check |
US11265301B1 (en) * | 2019-12-09 | 2022-03-01 | Amazon Technologies, Inc. | Distribution of security keys |
US11316869B2 (en) * | 2019-12-10 | 2022-04-26 | Cisco Technology, Inc. | Systems and methods for providing attestation of data integrity |
US11711367B2 (en) | 2020-03-19 | 2023-07-25 | Juniper Networks, Inc. | Continuing a media access control security (MACsec) key agreement (MKA) session upon a network device becoming temporarily unavailable |
-
2020
- 2020-03-19 US US16/824,028 patent/US11711367B2/en active Active
- 2020-05-12 CN CN202010399434.9A patent/CN113497822A/zh active Pending
- 2020-05-12 EP EP20174112.1A patent/EP3883205B1/en active Active
-
2023
- 2023-06-01 US US18/327,408 patent/US12041052B2/en active Active
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101471936A (zh) * | 2007-12-29 | 2009-07-01 | 华为技术有限公司 | 建立ip会话的方法、装置及*** |
US20140258532A1 (en) * | 2010-05-25 | 2014-09-11 | Cisco Technology, Inc. | Keep-alive hiatus declaration |
CN109417551A (zh) * | 2016-06-29 | 2019-03-01 | T移动美国公司 | 互联网协议多媒体***会话恢复 |
US20190007302A1 (en) * | 2017-06-29 | 2019-01-03 | Cisco Technology, Inc. | Mechanism for Dual Active Detection Link Monitoring in Virtual Switching System with Hardware Accelerated Fast Hello |
US20190116183A1 (en) * | 2017-10-16 | 2019-04-18 | Juniper Networks, Inc. | Fast heartbeat liveness between packet processing engines using media access control security (macsec) communication |
Non-Patent Citations (1)
Title |
---|
BRIAN WEIS: "MKA Suspension", 《IEEE DRAFT》, pages 1 - 9 * |
Also Published As
Publication number | Publication date |
---|---|
US12041052B2 (en) | 2024-07-16 |
US11711367B2 (en) | 2023-07-25 |
EP3883205A1 (en) | 2021-09-22 |
US20210297416A1 (en) | 2021-09-23 |
EP3883205B1 (en) | 2024-06-26 |
US20230308445A1 (en) | 2023-09-28 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11316858B2 (en) | Fast heartbeat liveness between packet processing engines using media access control security (MACsec) communication | |
EP3883205B1 (en) | Continuing a media access control security (macsec) key agreement (mka) session upon a network device becoming temporarily unavailable | |
US11115391B2 (en) | Securing end-to-end virtual machine traffic | |
WO2018161639A1 (zh) | 一种互联网协议安全性隧道的维护方法、装置及*** | |
US20230079217A1 (en) | Pausing a media access control security (macsec) key agreement (mka) protocol of an mka session using a fast heartbeat session | |
US20210143997A1 (en) | Deterministic distribution of rekeying procedures for a scaling virtual private network (vpn) | |
US11876800B2 (en) | Monitoring a media access control security session | |
CN111953597A (zh) | 链路聚合组(LAG)的支持媒体访问控制安全(MACsec)的链路 | |
CN108289044B (zh) | 数据转发方法、确定静态路由的链路状态方法及网络设备 | |
CN110784436A (zh) | 维持互联网协议安全隧道 | |
US11368294B2 (en) | Facilitating hitless security key rollover using data plane feedback | |
CN113452664B (zh) | 在网络隧道内建立网络微隧道 | |
US10999379B1 (en) | Liveness detection for an authenticated client session | |
US11570162B1 (en) | Preventing packet loss during timer-based encryption key rollover | |
US11626981B2 (en) | Facilitating hitless security key rollover using data plane feedback | |
US11539668B2 (en) | Selective transport layer security encryption | |
US20230083034A1 (en) | Selective transport layer security encryption | |
CN111865821B (zh) | 提供可预测服务质量业务引导 | |
CN113452543B (zh) | 多宿主错误配置的检测 | |
US20230421360A1 (en) | Automatic generation and update of connectivity association keys for media access control security protocol | |
CN117081767A (zh) | 删除过时的或未使用的密钥以保证零分组丢失 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |