WO2022105809A1

WO2022105809A1 - 密钥更新方法、装置、电子设备和存储介质

Info

Publication number: WO2022105809A1
Application number: PCT/CN2021/131294
Authority: WO
Inventors: 王月明
Original assignee: 中兴通讯股份有限公司
Priority date: 2020-11-19
Filing date: 2021-11-17
Publication date: 2022-05-27
Also published as: CN114598453A

Abstract

一种密钥更新方法、装置、电子设备和存储介质，其中，该方法包括：根据预设规则选择状态机运行模式(110)；将所述状态机运行模式通知给从节点以使所述从节点根据所述状态机运行模式配置状态机(120)；根据所述状态机运行模式进行密钥更新(130)。

Description

密钥更新方法、装置、电子设备和存储介质

相关申请的交叉引用

本申请基于申请号为202011307313.3、申请日为2020年11月19日的中国专利申请提出，并要求该中国专利申请的优先权，该中国专利申请的全部内容在此引入本申请作为参考。

技术领域

本申请涉及数据通信领域，尤其涉及一种密钥更新方法、装置、电子设备和存储介质。

背景技术

媒体接入控制安全(Media Access Control security,MACsec)是IEEE802.1AE中定义的安全标准，该标准定义了一个安全基础架构，该架构提供了数据的机密性和完整性，通过应用MACsec协议标准，可以满足二层通信数据安全的需求，由于MACsec协议只提供了对数据进行封装和加密的框架，该标准所需的密钥(SAK)则是由IEEE 802.1X-2010标准协议中的MKA协议来协商生成。由于MACsecx协议只提供了对数据进行封装和加密的框架，该标准所需的密钥(SAK)则是由IEEE 802.1X-2010标准协议中的MACsec密钥协商协议(MACsec Key Agreement protocol,MKA)来协商生成。连接联盟(Connectivity Association,CA)由多个实现MACsec功能的MAC安全实体(Security Entity,SecY)构成，MKA负责SecY的发现、认证和授权，拥有用一个CA密码的CA成员根据规则选举其中一个作为密钥服务器，由密钥服务器生成密钥并分发至CA内所有成员，各CA成员则可使用相同密钥完成彼此之间的安全通信。

在MKA协议中，CP状态机在***中起着至关重要的作用，该状态机定义了MKA协议在***运行过长中的所处的不同状态及相应处理方法，包括保护通信前INIT、CHANGE、ALLOWED、AUTHENTICATED、SECURED状态和进入通信保护后的RECEIVE、RECEIVING、READY、TRANSMIT、ABANDON、TRANSMITTING和RETIRE状态。按照MKA协议说明，当密钥服务器准备协商一个新密钥时，密钥服务器进入RECEIVE状态，生成一个最新密钥标识符(Latest Key Identifier,LKI)的新密钥，并分发至CA内的其他成员。当CA内所有成员都安装了新密钥后，CA内所有的成员包括密钥服务器都进入RETIRE状态，并将LKI标识的新密钥赋给老密钥标识符(Old Key Identifier,OKI)的旧密钥,同时LKI被清除，整个CA内均使用OKI标识的密钥对通信数据进学校加解密，以实现数据的保护。

现有的对MKA的CP状态实现的方案中，由于对该状态机的RETIRE状态理解不同，因此导致各方案在处理RETIRE状态时采用的操作并不完全一致，有些方案采用保留LKI而清除OKI的方式来处理准备使用的密钥，由于MKA协议报文分发使用密钥的协议参数集3中携带并处理了LKI和OKI这两个状态机参数，因而这对于不同设备间或终端与设备间的对接造成了一定的影响，有很大可能导致设备对接失败。

发明内容

本申请实施例提出一种密钥更新方法、装置、电子设备和存储介质。

本申请实施例提供了一种密钥更新方法，应用于主节点，该方法包括：根据预设规则选择状态机运行模式；将所述状态机运行模式通知给从节点以使所述从节点根据所述状态机运行模式配置状态机；根据所述状态机运行模式进行密钥更新。

本申请实施例还提供了一种密钥更新方法，应用于从节点，该方法包括：获取主节点通知的状态机运行模式；根据所述状态机运行模式配置状态机，并向所述主节点反馈配置完成信息；根据所述状态机运行模式进行密钥更新。

本申请实施例还提供了一种密钥更新装置，该装置应用于主节点，该装置包括：模式确定模块，被设置成根据预设规则选择状态机运行模式；模式同步模块，被设置成将所述状态机运行模式通知给从节点以使所述从节点根据所述状态机运行模式配置状态机；密钥更新模块，被设置成根据所述状态机运行模式进行密钥更新。

本申请实施例还提供了一种密钥更新装置，该装置应用于从节点，该装置包括：模式获取模块，被设置成获取主节点通知的状态机运行模式；信息反馈模块，被设置成根据所述状态机运行模式配置状态机，并向所述主节点反馈配置完成信息；密钥更新模块，被设置成根据所述状态机运行模式进行密钥更新。

本申请实施例还提供了一种电子设备，该电子设备包括：一个或多个处理器；存储器，用于存储一个或多个程序，当所述一个或多个程序被所述一个或多个处理器执行，使得所述一个或多个处理器实现如本申请实施例中任一所述的密钥更新方法。

本申请实施例还提供了一种计算机可读存储介质，其上存储有计算机程序，该计算机程序被处理器执行时实现如本申请实施例中任一所述的密钥更新方法。

附图说明

图1是本申请实施例提供的一种密钥更新方法的流程图；

图2是本申请实施例提供的另一种密钥更新方法的流程图；

图3是本申请实施例提供的一种通信报文的结构示意图；

图4是本申请实施例提供的一种密钥更新方法的流程图；

图5是本申请实施例提供的一种密钥更新方法的示例图；

图6是本申请实施例提供的一种密钥更新装置的结构示意图；

图7是本申请实施例提供的一种密钥更新装置的结构示意图；

图8是本申请实施例提供的一种电子设备的结构示意图。

具体实施方式

应当理解，此处所描述的具体实施例仅仅用以解释本申请，并不用于限定本申请。

在后续的描述中，使用用于表示元件的诸如“模块”、“部件”或“单元”的后缀仅为了有利于本申请的说明，其本身没有特有的意义。因此，“模块”、“部件”或“单元”可以混合地使用。

图1是本申请实施例提供的一种密钥更新方法的流程图，本申请实施例可适用于主从节点之间进行密钥更新的情况，例如，连接联盟中密钥服务器和MAC实体之间的密钥更新，该方法可以由密钥更新装置来执行，该装置可以由软件和/或硬件的方式来实现，一般可以集成在主节点中，例如，连接联盟中的密钥服务器，参见图1，本申请实施例提供的方法具体包括如下步骤：

步骤110、根据预设规则选择状态机运行模式。

其中，预设规则可以是主节点选择状态机运行模式的方式，包括根据主节点和从节点的设备性能确定，或者，按照预先存储的配置参数确定等，状态机运行模式可以是主节点和/ 或从节点处理密钥更新的流程，例如，在RETIRE状态下保留OKI，清除LKI；或者，在RETIRE状态下保留LKI，清除OKI等。

具体的，主节点可以根据预先设定规则选择使用的状态机运行模式，例如，可以通过提前配置的方式设定状态机运行模式。

步骤120、将状态机运行模式通知给从节点以使从节点根据状态机运行模式配置状态机。

在本申请实施例中，主节点确定密钥更新过程中使用的状态机运行模式后，可以将将该状态机运行模式发送给从节点，从节点可以根据接收到的状态机运行模式进行配置，使得从节点的状态机按照主节点选择的状态机运行模式进行运行。

步骤130、根据所述状态机运行模式进行密钥更新。

具体的，从节点根据主节点选择的状态机运行模式配置后，可以按照对应状态机运行模块的处理规则进行密钥更新，例如，当状态机运行模式为状态1时，可以在RETIRE状态下保留OKI，清除LKI，当状态机运行模式为状态2时，可以在RETIRE状态下保留LKI，清除PKI。

本申请实施例，通过择状态机运行模式并发送到从节点，使得从节点根据该状态机运行模式进行配置，根据选择的状态机运行模式密钥更新，实现主节点和从节点之间的加密通信，统一不同节点间的状态机运行模式，防止设备对接失败，提高了主从节点间通信的稳定性。

图2是本申请实施例提供的另一种密钥更新方法的流程图，本申请实施例是在上述实施例基础上的具体化，参见图2，本申请实施例提供的方法具体包括如下步骤：

步骤210、获取本地预先存储的状态机配置参数作为状态机运行模式参数。

其中，状态机配置参数可以是主节点本地存储的配置信息，该状态配置参数可以指示进行密钥更新时主节点和从节点使用的状态机运行模式。

在本申请实施例中，当主节点进行密钥更新时，可以获取本地预先存储的状态配置参数，可以将状态配置参数作为状态机运行模式参数，主节点在选择状态机运行模式参数后，可以根据该参数对本地的状态机进行配置，使得主节点可以按照对应的方式处理密钥更新。

步骤220、将状态机运行模式按照预设格式封装为通信报文，其中，通信报文至少包括当前状态机运行模式字段、状态机运行模式字段。

其中，通信报文可以用于主节点和从节点之间进行数据交互的报文，通信报文可以按照预设格式进行封装，通信报文中可以由当前状态机运行模式字段和状态机运行模式参数字段组成，其中，当前状态机运行模式字段可以存储当前节点的状态机运行的模式，当前状态机运行模式字段中可以使用不同的标识符代表不同的状态机运行模式，状态机运行模式参数字段可以存储需要配置的状态机运行模式。

具体的，主节点在选择出状态机运行模式，可以将状态机运行模式封装到通信报文中，可以在通信报文中的固定字段以不同的数值表示不同的状态机运行模式，该通信报文中可以至少包括当前状态机运行模式字段和状态机运行模式字段，可以通过主节点当前的状态机运行模式以及选择的状态继续运行模式分别对通信报文中的当前状态机运行模式字段和状态机运行模式字段进行标记。图3是本申请实施例提供的一种通信报文的结构示意图，参见图3，发送状态机运行模式的报文可以包括参数集类型字段、状态字段、参数集长度字段和状态机运行模式字段，其中，参数集类型字段，可以占8比特，图中示出的参数集类型字段的取值为12，表明对应的参数集类型，例如，CP run mode类型。状态字段可以表示当前使用的状态机运行模式，占1比特，取值为0表示未使用状态机模式，取值为1表示使用状态机模式。参数集长度，占12比特，表明本通信报文中参数集的长度，可以不包括参数头长度。状态机运行模式字段可以表示状态机运行的模式，占8比特，不同的取值可以对应不同的状态机运行模式，例如，状态机运行模式字段的取值为1，表示状态机运行模式为：RETIRE状态保留OKI，清除LKI；状态机运行模式字段的取值为0，表示状态机运行模式为:RETIRE状态保留LKI，清除OKI。

步骤230、发送通信报文到从节点以使从节点根据通信报文内的状态机运行模式配置状态机。

具体的，主节点可以将通信报文发送到从节点，从节点可以提前通信报文中的状态机运行模式，并根据该状态机模式配置从节点，使得从节点按照该状态机运行模式处理密钥更新。

步骤240、在从节点反馈的通信报文中提取当前状态机运行模式。

在本申请实施例中，从节点可以通过通信报文向主节点反馈信息，通知自身完成状态机运行模式的配置。可以从该通信报文中提取当前状态机运行模式，该通信报文的报文格式可以与主节点发送到从节点的报文格式相同，当前状态机运行模式可以位于当前状态机运行模式字段，使用不同的标识信息表示不同的状态机运行模式。

步骤250、确定当前状态机运行模式与状态机运行模式相同，则按照状态机运行模式进行密钥更新。

具体的，主节点可以将选择的状态机运行模式与当前状态机运行模式进行对比，判断是否一致，若是，则确定从节点的状态机运行模式配置完成，主节点和从节点可以按照相同的状态机运行模式进行密钥更新，防止设备对接失败，若否，则确定从节点的状态机运行模式未配置完成，不对该从节点进行密钥更新。

步骤260、不对预设时间内未反馈配置完成信息的从节点进行密钥更新。

其中，预设时间可以是主节点控制从节点配置状态机运行模式的最长等待时间，当预设时间内未确定从节点完成状态机运行模式的配置时，可以认为该从节点故障，不对该从节点进行密钥更新。

在本申请实施例中，主节点通知从节点的状态机运行模式时，可以设置一个定时器，该定时器的定时长度可以为预设时间，若在定时器的时间范围内未接收到从节点反馈的信息时，可以确定该从节点未完成状态机运行模式的配置，在进行密钥更新时，可以不向从节点发送新的密钥以完成密钥更新。

本申请实施例中，通过本地预先存储的状态机配置参数选择状态机运行模式参数，封装该状态机运行模式参数为通信报文，并将该通信报文发送到从节点完成对应的状态机配置，在从节点反馈的通信报文中的当前状态机运行模式字段，确定当前状态机运行模式字段的参数与状态机运行模式相同，则根据该状态机运行模式进行密钥更新，对预设时间内未反馈配置完成信息的从节点不进行密钥更新，实现主节点与从节点的状态机运行模式的统一，实现主节点和从节点之间的加密通信，防止设备对接失败，提高了主从节点间通信的稳定性。

在一些示例中，在上述申请实施例的基础上，所述状态机运行模式参数字段根据新增状态机运行模式拓展取值。

在本申请实施例中，当主节点和从节点的状态机的状态运行模式进行更新时，可以通过协商的方式确定出新的标识符进行标记，相应的，可以在状态机运行模式参数字段中增加新的标识符实现取值范围的拓展。

在一些示例中，针对协议应用中出现除RETORE状态外的其他CP状态机对接过程中出现的问题，可以在通信报文的状态机运行模式参数字段定义新的取值以表示为解决出现的问题新增的协商方式，实现通信报文的可拓展性。

图4是本申请实施例提供的一种密钥更新方法的流程图，本申请实施例可适用于主从节点之间进行密钥更新的情况，例如，连接联盟中密钥服务器和MAC实体之间的密钥更新，该方法可以由密钥更新装置来执行，该装置可以由软件和/或硬件的方式实现，一般可以集成在从节点中，例如，连接联盟中的MAC实体，参见如4，本申请实施例提供的方法具体包括如下步骤：

步骤310、获取主节点通知的状态机运行模式。

在本申请实施例中，从节点可以接收主节点通知的状态机运行模式，该状态机运行模式可以通过报文的方式进行传输。

步骤320、根据状态机运行模式配置状态机，并向主节点反馈配置完成信息。

具体的，从节点接收到状态机运行模式后，可以将本地的状态机配置为主节点通知的状态机运行模式，使得从节点在处理密钥更新时的处理流程与主节点一致，降低设备对接的失败机率。从节点完成配置后可以向主节点反馈配置完成信息，其中，配置完成信息可以包括从节点当前的状态机运行模式，用于通知主节点完成状态机运行模式的配置。

步骤330、根据状态机运行模式进行密钥更新。

在本申请实施例中，从节点根据当前的状态机运行模式进行密钥更新，不同的状态机运行模式可以对应不同的密钥更新流程，在一些示例中，当状态机运行模式为状态1时，从节点在RETIRE状态保留OKI，清除LKI，若当状态机运行模式为状态2时，从节点在RETIRE状态保留LKI，清除OKI。

本申请实施例，通过获取主节点通知的状态机运行模式，并按照该状态机运行模式进行配置，配置完成后向主节点反馈配置完成信息，基于状态机运行模式对应的流程实现密钥更新，实现了主从节点的密钥更新，通过统一主节点和从节点的状态机运行模式，防止设备间对接失败，提高了设备间信息交互的安全性和稳定性。

在一些示例中，在上述申请实施例的基础上，根据所述状态机运行模式配置状态机，包括：

判断状态机已配置的运行模式是否与所述状态机运行模式相同，若不是，则将所述状态机的运行模式，若是，则不更改所述状态机的运行模式。

本申请实施例中，可以将从节点已配置的运行模式与主节点通知的状态机运行模式进行对比，若相同，则确定无需对从节点的状态机运行模式进行更改，若不同，则将从节点的状态机的运行模式更改为主节点通知的状态机运行模式。

在一些示例中，在上述申请实施例的基础上，所述向所述主节点反馈配置完成信息，包括：

将所述配置完成信息通过通信报文反馈至所述主节点；其中，所述通信报文至少包括当前状态机运行模式字段、状态机运行模式参数字段。

具体的，从节点可以通过通信报文向主节点反馈配置完成信息，通信报文可以至少包括当前状态机运行模式字段和状态机运行模式参数字段，可以通过对当前状态机运行模式字段进行标识的方式作为配置完成信息，例如，将当前状态机运行模式字段进行置位，使得该标识值代表主节点通知的状态机运行模式，可以将被置位后的通信报文作为配置完成信息。

在一些示例中，在上述申请实施例的基础上，所述根据所述状态机运行模式进行密钥更新，包括：接收所述主节点的新密钥，并根据所述状态机运行模式处理本地的旧密钥。

在本申请实施例中，从节点在不同的状态机运行模式下对密钥更新具有不同的处理流程，可以根据从节点当前使用的状态机运行模式处理主节点发送的新密钥和本地的旧密钥，在一些示例中，若从节点的状态机运行模式为状态1，在RETIRE状态下将旧密钥删除，保留新密钥，若从节点的状态机运行模式为状态2，在RETIRE状态下将新密钥删除，保留旧密钥。

图5是本申请实施例提供的一种密钥更新方法的示例图，参见图5，所有CA成员完成密钥服务器选举后均进入SECURED状态，其中密钥服务器开始运行CP状态机运行模式协商的流程图，包括以下步骤：

步骤410，密钥服务器通过一定的规则选择将要使用的CP状态机运行模式，比如可以通过提前配置或默认的方式来选择，在确定了CP状态机运行模式后，密钥服务器向CA内其它成员发送协议报文，通知CA内其它成员。同时密钥服务器启动一个“CP状态机运行模式”的超时定时器，用于判断CA内其它成员在规定时间内是否均统一完成CP状态机运行模式的设置。

步骤420，CA内其它成员接收从密钥服务器发送的携带“CP状态机运行模式”参数的报文，解析出该参数后与本地的CP状态机运行模式比较是否一致，若不一致，则修改本地的CP状态机运行模式为与密钥服务器使用的模式相同。完成设置后向密钥服务器发送携带“CP状态机运行模式”参数的报文，并置状态位为1，表示CP状态机运行模式设置完成。

步骤430，密钥服务器收到CA内其它成员发送的携带“CP状态机运行模式”参数的报文，判断CA内成员的CP状态机运行模式是否都一致。

步骤440，若CA内所有成员的CP状态机运行模式均已经设置一致，则按照MKA协议中密钥协商处理说明，继续运行后续的CP状态机处理流程。

步骤450，若CA内有成员在“CP状态机运行模式”定时器超时后仍未反馈其CP状态机运行模式的情况，则密钥服务器认为所有成员均已完成了CP状态机运行模式的设置，仍然继续按MKA协议的密钥协议处理运行后续的CP状态机处理流程。

图6是本申请实施例提供的一种密钥更新装置的结构示意图，可执行本申请任意实施例提供的密钥更新方法，具体执行方法相应的功能模块和有益效果。该装置可以由软件和/或硬件实现，一般集成在主节点中，例如，连接联盟中的密钥服务器,具体包括：模式确定模块501、模式同步模块502和密钥更新模块503。

模式确定模块501，被设置成根据预设规则选择状态机运行模式。

模式同步模块502，被设置成将所述状态机运行模式通知给从节点以使所述从节点根据所述状态机运行模式配置状态机。

密钥更新模块503，被设置成根据所述状态机运行模式进行密钥更新。

本申请实施例，通过模式确定模块择状态机运行模式并发送到从节点，模式同步模块使得从节点根据该状态机运行模式进行配置，密钥更新模块根据选择的状态机运行模式密钥更新，实现主节点和从节点之间的加密通信，统一不同节点间的状态机运行模式，防止设备对接失败，提高了主从节点间通信的稳定性。

在一些示例中，在上述申请实施例的基础上，所述模式确定模块501具体被设置成：获取本地预先存储的状态机配置参数作为状态机运行模式参数。

在一些示例中，在上述申请实施例的基础上，所述模式同步模块502包括：

通信报文单元，被设置成将状态机运行模式按照预设格式封装为通信报文，其中，通信报文至少包括当前状态机运行模式字段、状态机运行模式字段。

报文发送单元，被设置成发送所述通信报文到从节点以使从节点根据所述通信报文内的状态机运行模式配置状态机。

在一些示例中，在上述申请实施例的基础上，所述模式同步模块502中的状态机运行模式参数字段根据新增状态机运行模式拓展取值。

在一些示例中，在上述申请实施例的基础上，还包括：异常处理模块，被设置成不对预设时间内未反馈配置完成信息的从节点进行密钥更新。

在一些示例中，在上述申请实施例的基础上，所述密钥更新模块503包括：

信息提取单元，被设置成在所述从节点反馈的通信报文中提取当前状态机运行模式。

更新执行单元，被设置成确定所述当前状态机运行模式与所述状态机运行模式相同，则按照所述状态机运行模式进行密钥更新。

图7是本申请实施例提供的一种密钥更新装置的结构示意图，，可执行本申请任意实施例提供的密钥更新方法，具体执行方法相应的功能模块和有益效果。该装置可以由软件和/或硬件实现，一般集成在从节点中，例如，连接联盟中的MAC实体,具体包括：模式获取模块601、信息反馈模块602和密钥更新模块603。

模式获取模块601，被设置成获取主节点通知的状态机运行模式。

信息反馈模块602，被设置成根据所述状态机运行模式配置状态机，并向所述主节点反馈配置完成信息。

密钥更新模块603，被设置成根据所述状态机运行模式进行密钥更新。

本申请实施例，通过模式获取模块获取主节点通知的状态机运行模式，信息反馈模块按照该状态机运行模式进行配置，配置完成后向主节点反馈配置完成信息，密钥更新模块基于状态机运行模式对应的流程实现密钥更新，实现了主从节点的密钥更新，通过统一主节点和从节点的状态机运行模式，防止设备间对接失败，提高了设备间信息交互的安全性和稳定性。

在一些示例中，在上述申请实施例的基础上，模式获取模块601具体被设置成：判断状态机已配置的运行模式是否与所述状态机运行模式相同，若不是，则将所述状态机的运行模式，若是，则不更改所述状态机的运行模式。

在一些示例中，在上述申请实施例的基础上，信息反馈模块602包括：

反馈单元，被设置成将所述配置完成信息通过通信报文反馈至所述主节点；其中，所述通信报文至少包括当前状态机运行模式字段、状态机运行模式参数字段。

在一些示例中，在上述申请实施例的基础上，密钥更新模块603具体被设置成：接收所述主节点的新密钥，并根据所述状态机运行模式处理本地的旧密钥。

图8是本申请实施例提供的一种电子设备的结构示意图，如图8所示，该设备包括处理器70、存储器71、输入装置72和输出装置73；设备中处理器70的数量可以是一个或多个，图8中以一个处理器70为例；设备处理器70、存储器71、输入装置72和输出装置73可以通过总线或其他方式连接，图8中以通过总线连接为例。

存储器71作为一种计算机可读存储介质，可用于存储软件程序、计算机可执行程序以及模块，如本申请实施例中的密钥更新装置对应的模块(模式确定模块501、模式同步模块502和密钥更新模块503，或者，模式获取模块601、信息反馈模块602和密钥更新模块603)。处理器70通过运行存储在存储器71中的软件程序、指令以及模块，从而执行设备的各种功能应用以及数据处理，即实现上述的密钥更新方法。

存储器71可主要包括存储程序区和存储数据区，其中，存储程序区可存储操作***、至少一个功能所需的应用程序；存储数据区可存储根据终端的使用所创建的数据等。此外，存储器71可以包括高速随机存取存储器，还可以包括非易失性存储器，例如至少一个磁盘存储器件、闪存器件、或其他非易失性固态存储器件。在一些实例中，存储器71可进一步包括相对于处理器70远程设置的存储器，这些远程存储器可以通过网络连接至设备。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。

输入装置72可用于接收输入的数字或字符信息，以及产生与设备的用户设置以及功能控制有关的键信号输入。输出装置73可包括显示屏等显示设备。

本申请实施例还提供了一种计算机可读存储介质，其上存储有计算机程序，所述计算机程序被处理器执行时实现如本申请任意实施例提供的密钥更新方法，该方法包括：

根据预设规则选择状态机运行模式；将所述状态机运行模式通知给从节点以使所述从节点根据所述状态机运行模式配置状态机；根据所述状态机运行模式进行密钥更新。

或者，

获取主节点通知的状态机运行模式；根据所述状态机运行模式配置状态机，并向所述主节点反馈配置完成信息；根据所述状态机运行模式进行密钥更新。

当然,本申请实施例所提供的一种包含计算机可执行指令的存储介质,其计算机可执行指令不限于如上所述的方法操作，还可以执行本申请任意实施例所提供的密钥更新方法中的相关操作。

通过以上关于实施方式的描述，所属领域的技术人员可以清楚地了解到，本申请可借助软件及必需的通用硬件来实现，当然也可以通过硬件实现，但很多情况下前者是更佳的实施方式。基于这样的理解，本申请的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品可以存储在计算机可读存储介质中，如计算机的软盘、只读存储器(Read-Only Memory,ROM)、随机存取存储器(Random Access Memory,RAM)、闪存(FLASH)、硬盘或光盘等，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本申请各个实施例所述的方法。

值得注意的是，上述密钥更新装置的实施例中，所包括的各个单元和模块只是按照功能逻辑进行划分的，但并不局限于上述的划分，只要能够实现相应的功能即可；另外，各功能单元的具体名称也只是为了便于相互区分，并不用于限制本申请的保护范围。

本申请实施例，通过选择状态机运行模式并发送到从节点，使得从节点根据该状态机运行模式进行配置，根据选择的状态机运行模式密钥更新，实现主节点和从节点之间的加密通信，统一不同节点间的状态机运行模式，防止设备对接失败，提高了主从节点间通信的稳定性。

本领域普通技术人员可以理解，上文中所公开方法中的全部或某些步骤、***、设备中的功能模块/单元可以被实施为软件、固件、硬件及其适当的组合。

在硬件实施方式中，在以上描述中提及的功能模块/单元之间的划分不一定对应于物理组件的划分；例如，一个物理组件可以具有多个功能，或者一个功能或步骤可以由若干物理组件合作执行。某些物理组件或所有物理组件可以被实施为由处理器，如中央处理器、数字信号处理器或微处理器执行的软件，或者被实施为硬件，或者被实施为集成电路，如专用集成电路。这样的软件可以分布在计算机可读介质上，计算机可读介质可以包括计算机存储介质(或非暂时性介质)和通信介质(或暂时性介质)。如本领域普通技术人员公知的，术语计算机存储介质包括在用于存储信息(诸如计算机可读指令、数据结构、程序模块或其他数据)的任何方法或技术中实施的易失性和非易失性、可移除和不可移除介质。计算机存储介质包括但不限于RAM、ROM、EEPROM、闪存或其他存储器技术、CD-ROM、数字多功能盘(DVD)或其他光盘存储、磁盒、磁带、磁盘存储或其他磁存储装置、或者可以用于存储期望的信息并且可以被计算机访问的任何其他的介质。此外，本领域普通技术人员公知的是，通信介质通常包含计算机可读指令、数据结构、程序模块或者诸如载波或其他传输机制之类的调制数据信号中的其他数据，并且可包括任何信息递送介质。

以上参照附图说明了本申请的一些实施例，并非因此局限本申请的权利范围。本领域技术人员不脱离本申请的范围和实质内所作的任何修改、等同替换和改进，均应在本申请的权利范围之内。

Claims

一种密钥更新方法，应用于主节点，该方法包括：

根据预设规则选择状态机运行模式；

将所述状态机运行模式通知给从节点以使所述从节点根据所述状态机运行模式配置状态机；

根据所述状态机运行模式进行密钥更新。
根据权利要求1所述的方法，其中，所述根据预设规则选择状态机运行模式，包括：

获取本地预先存储的状态机配置参数作为状态机运行模式参数。
根据权利要求1所述的方法，其中，所述将所述状态机运行模式通知给从节点，包括：

将状态机运行模式按照预设格式封装为通信报文，其中，通信报文至少包括当前状态机运行模式字段、状态机运行模式字段；

发送所述通信报文到从节点以使从节点根据所述通信报文内的状态机运行模式配置状态机。
根据权利要求3所述的方法，其中，所述状态机运行模式参数字段根据新增状态机运行模式拓展取值。
根据权利要求1所述的方法，还包括：

不对预设时间内未反馈配置完成信息的从节点进行密钥更新。
根据权利要求1所述的方法，其中，所述根据所述状态机运行模式进行密钥更新，包括：

在所述从节点反馈的通信报文中提取当前状态机运行模式；

确定所述当前状态机运行模式与所述状态机运行模式相同，则按照所述状态机运行模式进行密钥更新。
一种密钥更新方法，应用于从节点，该方法包括：

获取主节点通知的状态机运行模式；

根据所述状态机运行模式配置状态机，并向所述主节点反馈配置完成信息；

根据所述状态机运行模式进行密钥更新。
根据权利要求7所述的方法，其中，所述根据所述状态机运行模式配置状态机，包括：

判断状态机已配置的运行模式是否与所述状态机运行模式相同，若不是，则将所述状态机的运行模式，若是，则不更改所述状态机的运行模式。
根据权利要求7所述的方法，其中，所述向所述主节点反馈配置完成信息，包括：

将所述配置完成信息通过通信报文反馈至所述主节点；

其中，所述通信报文至少包括当前状态机运行模式字段、状态机运行模式参数字段。
根据权利要求7所述的方法，其中，所述根据所述状态机运行模式进行密钥更新，包括：

接收所述主节点的新密钥，并根据所述状态机运行模式处理本地的旧密钥。
一种密钥更新装置，应用于主节点，该装置包括：

模式确定模块，被设置成根据预设规则选择状态机运行模式；

模式同步模块，被设置成将所述状态机运行模式通知给从节点以使所述从节点根据所述状态机运行模式配置状态机；

密钥更新模块，被设置成根据所述状态机运行模式进行密钥更新。
一种密钥更新装置，应用于从节点，该装置包括：

模式获取模块，被设置成获取主节点通知的状态机运行模式；

信息反馈模块，被设置成根据所述状态机运行模式配置状态机，并向所述主节点反馈配置完成信息；

密钥更新模块，被设置成根据所述状态机运行模式进行密钥更新。
一种电子设备，包括：

一个或多个处理器；

存储器，用于存储一个或多个程序，其中，

当所述一个或多个程序被所述一个或多个处理器执行，使得所述一个或多个处理器实现如权利要求1-6或7-10中任一所述的密钥更新方法。
一种计算机可读存储介质，其上存储有计算机程序，其中，所述计算机程序被处理器执行时实现如权利要求1-6或者7-10中任一所述的密钥更新方法。