[发明专利]一种ISSU过程中MACsec密钥更新方法和装置

权利要求书

1.一种不中断业务升级ISSU过程中媒体接入控制安全MACsec密钥更新方法，应用于包括两个以上成员设备的连接集CA中的任一成员设备上，其特征在于，该成员设备保持实际使用的安全集SA的个数，以及指定编号的各SA对应的安全密钥SAK的内容，与所述CA中的其他成员设备一致，并且若进行SAK切换，将切换前的SAK对应的下一个报文编号nextPN的值设置为初始有效值，所述方法包括：

该成员设备作为密钥服务器，获知该CA中任一成员设备在进行软重启ISSU时，暂停新的SAK的生成；

并且在软重启ISSU过程中，若报文编号PN出现翻转，直接切换到下一个SAK。

2.根据权利要求1所述的方法，其特征在于，该成员设备获知该CA中其他成员设备在进行软件重启ISSU的方法，包括：

该成员设备作为密钥服务器，接收到作为非密钥服务器的成员设备发送的其即将进行软重启ISSU的消息，获知该作为非密钥服务器的成员设备在进行软重启ISSU。

3.根据权利要求1或2所述的方法，其特征在于，所述方法进一步包括：

该成员设备作为密钥服务器，接收作为非密钥服务器的成员设备发送的其完成软重启ISSU的消息时，确定该作为非密钥服务器的成员设备完成软重启ISSU；并新生成SAK，查询当前使用的SA的编号，根据查询到的SA的编号确定新生成的SAK所属的SA的编号，并将该新生成的SAK，以及确定的该新生成的SAK所属的SA的编号分发给该CA中的成员设备。

4.根据权利要求1或2所述的方法，其特征在于，所述方法进一步包括：

该成员设备作为密钥服务器，接收作为非密钥服务器的成员设备发送的其完成软重启ISSU的消息时，确定该作为非密钥服务器的成员设备完成软重启ISSU；并查询当前使用的SA的编号，在查询到的SA的编号对应的PN达到临界值时，新生成SAK，根据查询到的SA的编号确定新生成的SAK所属的SA的编号，并将该新生成的SAK，以及确定的该新生成的SAK所属的SA的编号分发给该CA中的成员设备。

5.根据权利要求1或2所述的方法，其特征在于，所述方法进一步包括：

该成员设备作为非密钥服务器的成员设备，在即将进行软重启ISSU时，向密钥服务器发送本成员设备即将进行软重启ISSU的消息；

在完成软重启ISSU时，向密钥服务器发送本成员设备完成软重启ISSU的消息；

在进行软重启ISSU过程中，若PN出现翻转，直接切换到下一个SAK。

6.根据权利要求1或2所述的方法，其特征在于，所述保持实际使用的SA的个数，以及指定编号的各SA中的SAK的内容，与所述CA中的其他成员设备一致，包括：

当切换到新的SAK时，使用新分发的SAK的内容更新所有实际使用的SA中的SAK的内容。

7.根据权利要求1或2所述的方法，其特征在于，所述保持实际使用的SA的个数，以及指定编号的各SA中的SAK的内容，与所述CA中的其他成员设备一致，包括：

当有新成员设备加入时，使用新分发的SAK的内容更新所有实际使用的SA中的SAK的内容；

当未有新成员设备加入，且切换到新的SAK时，使用新分发的SAK的内容更新对应的SA中的SAK的内容。

8.一种不中断业务升级ISSU过程中媒体接入控制安全MACsec密钥更新的装置，可应用于包括两个以上成员设备的连接集CA中的任一成员设备上，其特征在于，该设备包括：记录单元和处理单元；

所述记录单元，用于保持实际使用的安全集SA的个数，以及指定编号的各SA中的SAK的内容，与所述CA中的其他成员设备一致，并且若所述处理单元进行SAK切换，将切换前的SAK对应的下一个报文编号nextPN的值设置为初始有效值；

所述处理单元，用于本设备作为密钥服务器，获知该CA中任一成员设备在进行软重启ISSU时，暂停新的SAK的生成；并且在软重启ISSU过程中，若报文编号PN出现翻转，直接切换到下一个SAK。

9.根据权利要求8所述的装置，其特征在于，

所述处理单元，用于接收到作为非密钥服务器的成员设备发送的其即将进行软重启ISSU的消息，获知该作为非密钥服务器的成员设备在进行软重启ISSU。