一種ISSU過程中MACsec密鑰更新方法和設(shè)備的制作方法
【專利摘要】本申請公開了一種不中斷業(yè)務(wù)升級(ISSU)過程中媒體接入控制安全(MACsec)密鑰更新方法�����,該方法包括:密鑰服務(wù)器在即將進行軟重啟ISSU時���,若未安裝新的SAK�����,則主動觸發(fā)新的SAK的生成并下發(fā)�����,在所有成員設(shè)備都安裝新的SAK后����,再進行軟重啟ISSU����。基于同樣的發(fā)明構(gòu)思���,本申請還提出一種設(shè)備���,在進行軟重啟ISSU過程中,可以使用新下發(fā)的SAK進行加密��,能夠延長不需要軟件干預(yù)的時間���,進而保證流量不中斷����。
【專利說明】—種ISSU過程中MACsec密鑰更新方法和設(shè)備
【技術(shù)領(lǐng)域】
[0001]本申請涉及通信【技術(shù)領(lǐng)域】�����,特別涉及一種ISSU過程中MACsec密鑰更新方法和設(shè)備�。
【背景技術(shù)】
[0002]媒體接入控制安全(MACsec)定義了 一個協(xié)議集,用于滿足在以太網(wǎng)上傳輸數(shù)據(jù)的安全需求�����。MACsec工作在鏈路層的媒體接入控制(MAC)子層之上���,為邏輯鏈路控制(Logical Link Control, LLC)子層以及LLC子層之上的協(xié)議提供安全的無連接MAC層發(fā)送和接收服務(wù)��,包括用戶數(shù)據(jù)加密����、數(shù)據(jù)幀完整檢查及數(shù)據(jù)源真實性較檢。
[0003]MACsec可以識別出授權(quán)設(shè)備發(fā)送的報文���,并保證數(shù)據(jù)的機密性�����,避免處理非授權(quán)設(shè)備的報文或者非授權(quán)設(shè)備篡改發(fā)送的報文�。MACsec使用的安全密鑰(SAK)通過MKA協(xié)議進行協(xié)商生成�。在有新成員加入密鑰服務(wù)器所在的連接集(Connectivity Association,CA)中的任一成員的報文編號(Packet Number, PN)的值等于或大于臨界值,或者密鑰服務(wù)器選擇一個新的加密套件時,都會新生成一個SAK�����,并分發(fā)給各成員����。
[0004]當(dāng)密鑰服務(wù)器監(jiān)測到CA中的所有成員均已經(jīng)可以使用新的SAK進行接收時,密鑰服務(wù)器可以發(fā)起SAK的切換�。在老的SAK對應(yīng)的PN翻轉(zhuǎn)時,進行SAK切換��。SAK切換,即各成員設(shè)備實際使用的所有編號的SA中的SAK進行輪轉(zhuǎn)切換����。
[0005]不中斷業(yè)務(wù)升級(In-Service Software Upgrade, ISSU)是一種可靠性高的升級設(shè)備啟動軟件的方式���。它通過一系列的方法確保在升級過程中業(yè)務(wù)不中斷或者中斷時間較短�。其中�����,軟重啟ISSU�,是在CPU重啟前將系統(tǒng)運行數(shù)據(jù)、配置數(shù)據(jù)�����、硬件數(shù)據(jù)和狀態(tài)數(shù)據(jù)等全部保存在內(nèi)存中�,再使用新軟件重啟CPU,重啟期間由轉(zhuǎn)發(fā)層面的硬件繼續(xù)提供轉(zhuǎn)發(fā)能力�����,保持業(yè)務(wù)不中斷�����。CPU重啟后使用上次保存的數(shù)據(jù)和狀態(tài)繼續(xù)運行。對于需要實時和對端交互協(xié)議報文來保持連接的會話���,則可以通過協(xié)議代理進程來確保在軟重啟升級過程中連接和協(xié)議狀態(tài)不受影響����。
[0006]軟重啟ISSU—般是以接口板為單位進行的��,軟重啟過程中由于接口板芯片狀態(tài)凍結(jié)在軟重啟前的狀態(tài)�����,軟件重啟�,無法響應(yīng)外部變化。也無法響應(yīng)軟件層面的SAK下發(fā)��,因此一旦PN用盡并且新的SAK未下發(fā)時����,在密鑰服務(wù)器切換到新的SAK的情況下,無法正常加解密����,導(dǎo)致出現(xiàn)業(yè)務(wù)轉(zhuǎn)發(fā)故障����。
【發(fā)明內(nèi)容】
[0007]有鑒于此�����,本申請?zhí)峁┮环NISSU過程中MACsec密鑰更新方法�����,在進行軟重啟ISSU過程中��,可以使用新下發(fā)的SAK進行加密�,能夠延長不需要軟件干預(yù)的時間�����,進而保證流量不中斷����。
[0008]為解決上述技術(shù)問題,本發(fā)明的技術(shù)方案是這樣實現(xiàn)的:
[0009]一種不中斷業(yè)務(wù)升級ISSU過程中媒體接入控制安全MACsec密鑰更新方法����,應(yīng)用于包括兩個以上成員設(shè)備的連接集CA中的任一成員設(shè)備上,所述方法包括:[0010]該成員設(shè)備作為密鑰服務(wù)器,即將進行軟重啟ISSU時���,確定當(dāng)前是否已安裝新的SAK ;將當(dāng)前使用的安全密鑰SAK對應(yīng)的報文編號PN值與臨界值進行比較���;
[0011]若確定當(dāng)前未安裝新的SAK,生成新的SAK并下發(fā)給各成員設(shè)備進行安裝�;
[0012]接收到CA中所有成員設(shè)備在安裝新下發(fā)的SAK成功時發(fā)送的SAK USE參數(shù)集時,進行軟重啟ISSU ����;
[0013]若確定當(dāng)前已安裝新的SAK,直接進行軟重啟ISSU�。
[0014]一種設(shè)備,可應(yīng)用于包括兩個以上成員設(shè)備的連接集CA中的任一成員設(shè)備����,所述設(shè)備包括:確定單元和處理單元;
[0015]所述確定單元��,用于本設(shè)備作為密鑰服務(wù)器�,即將進行軟重啟不中斷業(yè)務(wù)升級ISSU時,確定當(dāng)前是否已安裝新的SAK ����;
[0016]所述處理單元�����,用于所述確定單元若確定當(dāng)前未安裝新的SAK�����,生成新的SAK并下發(fā)給各成員設(shè)備進行安裝�����;接收到CA中所有成員設(shè)備在安裝新下發(fā)的SAK成功時發(fā)送的SAK使用USE參數(shù)集時�,進行軟重啟ISSU ;若確定當(dāng)前已安裝新的SAK�,直接進行軟重啟ISSU0
[0017]綜上所述���,本申請通過密鑰服務(wù)器���,在即將進行軟重啟ISSU時,若確定當(dāng)前未安裝新的SAK��,主動觸發(fā)新的SAK的生成��,并在所有成員設(shè)備都安裝新的SAK后��,進行軟重啟ISSU0在進行軟重啟ISSU過程中,可以使用新下發(fā)的SAK進行加密���,能夠延長不需要軟件干預(yù)的時間���,進而保證流量不中斷。
【專利附圖】
【附圖說明】
[0018]圖1為實施例一中在ISSU過程中MACsec密鑰更新方法流程示意圖��;
[0019]圖2為實施例二中在ISSU過程中MACsec密鑰更新方法流程示意圖
[0020]圖3為本發(fā)明具體實施例中應(yīng)用于上述技術(shù)的設(shè)備的結(jié)構(gòu)示意圖���。
【具體實施方式】
[0021]為使本發(fā)明的目的�����、技術(shù)方案及優(yōu)點更加清楚明白����,以下參照附圖并舉實施例�����,對本發(fā)明所述方案作進一步地詳細說明�。
[0022]本發(fā)明實施例中提出一種ISSU過程中MACsec密鑰更新方法,應(yīng)用于包括兩個以上成員設(shè)備的CA中的任一成員設(shè)備上�。該成員設(shè)備作為密鑰服務(wù)器����,在即將進行軟重啟ISSU時���,若確定當(dāng)前未安裝新的SAK�����,主動觸發(fā)新的SAK的生成����,并在所有成員設(shè)備都安裝新的SAK后�,進行軟重啟ISSU。在進行軟重啟ISSU過程中��,可以使用新下發(fā)的SAK進行加密�����,能夠延長不需要軟件干預(yù)的時間��,進而保證流量不中斷����。
[0023]CA由兩個或兩個以上成員設(shè)備組成,其中一個成員設(shè)備作為密鑰服務(wù)器�,其他成員設(shè)備作為非密鑰服務(wù)器的成員設(shè)備,即普通的成員設(shè)備�。CA中由密鑰服務(wù)器為各成員設(shè)備分發(fā)SAK。現(xiàn)有實現(xiàn)中�,當(dāng)當(dāng)前CA中各成員設(shè)備之間發(fā)送報文使用的SAK對應(yīng)的PN值達到臨界值時,密鑰服務(wù)器開始生成新的SAK并下發(fā)給成員設(shè)備�����?����;蛘?�,有新的成員設(shè)備加入到該CA中��,密鑰服務(wù)器會主動生成新的SAK���,并下發(fā)給各成員設(shè)備����。
[0024]實施例一
[0025]參見圖1,圖1為實施例一中在ISSU過程中MACsec密鑰更新方法流程示意圖����。具體步驟為:
[0026]本步驟101,密鑰服務(wù)器即將進行軟重啟ISSU時��,確定當(dāng)前是否已安裝新的SAK��。
[0027]本步驟中確定當(dāng)前是否已安裝新的SAK��,可以有多種實現(xiàn)方法�。下面例舉出兩種實現(xiàn)方式:
[0028]第一種��,密鑰服務(wù)器確定當(dāng)前使用的SAK對應(yīng)的PN值是否小于PN的臨界值�����,如果是�,確定當(dāng)前未安裝新的SAK ;否則,確定當(dāng)前已安裝新的SAK�����。
[0029]其中�,PN的臨界值可以與現(xiàn)有協(xié)議中規(guī)定的臨界值相同,如OxCOOOOOOO�,也可以自行進行定義。本實施例中��,在PN達到臨界值時����,將觸發(fā)密鑰服務(wù)器安裝新的SAK。
[0030]第二種����,密鑰服務(wù)器讀取當(dāng)前使用的SAK所屬的SA的下一個SA����,根據(jù)下一個SA的PN確定是否更新過該下一個SA的SAK�。如果更新過�。對應(yīng)的PN為初始有效值;否則����,對應(yīng)的PN為無效值。
[0031]步驟102�����,該密鑰服務(wù)器若確定當(dāng)前未安裝新的SAK���,生成新的SAK并下發(fā)給各成員設(shè)備進行安裝�。
[0032]如果當(dāng)前未安裝新的SAK��,說明密鑰服務(wù)器還未下發(fā)新的�����,這時,本發(fā)明具體實現(xiàn)中���,密鑰服務(wù)器會主動生成一個新的SAK并下發(fā)給CA中的各成員設(shè)備��,也包括作為密鑰服務(wù)器的自身����。
[0033]CA中的各成員獲得新下發(fā)的SAK時�����,將該新下發(fā)的SAK安裝����,并且在安裝成功時,并向密鑰服務(wù)器發(fā)送SAK USE參數(shù)集��,描述更新后的新老SAK使用情況��。各成員設(shè)備安裝新的SAK成功��,即可以使用該密鑰進行報文收發(fā)���。
[0034]各成員設(shè)備接收到新的SAK后����,進行安裝,以及安裝成功后向密鑰服務(wù)器響應(yīng)安裝成功的實現(xiàn)�,均同現(xiàn)有實現(xiàn),這里不再詳細描述��。
[0035]各成員設(shè)備安裝成功新的SAK時�,立即啟用新的SAK進行報文加密���,還是待前一SAK對應(yīng)的PN值達到最大值時�,再自動翻轉(zhuǎn)到新安裝的SAK使用��,根據(jù)具體使用的硬件實現(xiàn)確定����。
[0036]密鑰服務(wù)器將新生成的SAK攜帶在SAK分發(fā)參數(shù)及中下發(fā)給各成員設(shè)備,同現(xiàn)有實現(xiàn)�。
[0037]步驟103,該密鑰服務(wù)器接收到CA中所有成員設(shè)備在安裝新下發(fā)的SAK成功時發(fā)送的SAK USE參數(shù)集時�����,進行軟重啟ISSU����,結(jié)束本流程�����。
[0038]步驟103中�,保證CA中所有成員設(shè)備都安裝成功新下發(fā)的SAK后��,進行軟重啟ISSU0在軟重啟ISSU過程中����,如果當(dāng)前SAK對應(yīng)的PN值已達最大值,通過硬件自動切換為下一個SAK進行使用����。
[0039]在實際應(yīng)用中如果一直接收不到某些成員設(shè)備安裝成功新下發(fā)的SAK時,也不應(yīng)該一直等下去�,不進行軟重啟ISSU。在具體實現(xiàn)時�����,可以預(yù)設(shè)一段時間����,如果已過這段預(yù)設(shè)時間�,還是存在某一個或幾個成員設(shè)備未響應(yīng)成功安裝新下發(fā)的SAK時�����,直接進行軟重啟ISSU0具體處理過程如下:
[0040]在步驟102中密鑰服務(wù)器生成新的SAK并下發(fā)給各成員設(shè)備時��,啟動第一定時器���。
[0041]如果在該第一定時器定時超時時����,未接收到至少一個成員設(shè)備在安裝新下發(fā)的SAK成功時發(fā)送的SAK USE參數(shù)集時��,直接進行軟重啟ISSU�����。
[0042]如果由于第一定時器定時時間到時����,未接收到某個或幾個成員設(shè)備在安裝新下發(fā)的SAK成功時發(fā)送的SAK USE參數(shù)集�����,而直接進行軟重啟ISSU時,生成日志���,記錄新下發(fā)SAK失敗等內(nèi)容����。
[0043]步驟104����,該密鑰服務(wù)器若確定當(dāng)前已安裝新的SAK,直接進行軟重啟ISSU����。
[0044]如果當(dāng)前已安裝新的SAK,說明密鑰服務(wù)器已下發(fā)過新的SAK�,這時直接進行軟重啟ISSU即可。在軟重啟ISSU過程中����,如果當(dāng)前SAK對應(yīng)的PN值已達最大值,通過硬件自動切換為下一個SAK進行使用���。
[0045]通過實施例一可見���,本發(fā)明在不需要增加協(xié)議報文�����,完全利用現(xiàn)有協(xié)議的機制���,密鑰服務(wù)器即將進行軟重啟ISSU時,通過主動觸發(fā)新的SAK的生成�����,延長不需要軟件干預(yù)的時間�����,從而保證最大可能的軟重啟業(yè)務(wù)不中斷升級���。
[0046]實施例二
[0047]參見圖2,圖2為實施例二中在ISSU過程中MACsec密鑰更新方法流程示意圖��。具體步驟為:
[0048]步驟201��,成員設(shè)備作為非密鑰服務(wù)器的成員設(shè)備��,即將進行軟重啟ISSU時,確定當(dāng)前是否已安裝新的SAK�。
[0049]本步驟中確定當(dāng)前是否已安裝新的SAK,可以有多種實現(xiàn)方法�����。下面例舉出兩種實現(xiàn)方式:
[0050]第一種�����,成員設(shè)備確定當(dāng)前使用的SAK對應(yīng)的PN值是否小于PN的臨界值����,如果是,確定當(dāng)前未安裝新的SAK ;否則�,確定當(dāng)前已安裝新的SAK。
[0051]其中���,PN的臨界值同現(xiàn)有協(xié)議中規(guī)定的臨界值�,具體為OxCOOOOOOO���。
[0052]第二種����,成員設(shè)備讀取當(dāng)前使用的SAK所屬的SA的下一個SA,根據(jù)下一個SA的PN確定是否更新過該下一個SA的SAK。如果更新過�。對應(yīng)的PN為初始有效值;否則�����,對應(yīng)的PN為無效值���。
[0053]步驟202�����,該成員設(shè)備若確定當(dāng)前未安裝新的SAK����,向CA中各成員設(shè)備發(fā)送觸發(fā)密鑰服務(wù)器更新SAK的報文����。
[0054]本步驟中,所述觸發(fā)密鑰服務(wù)器更新SAK的報文為�,構(gòu)造的PN為臨界值的隨機報文;或���,使用該CA中的成員設(shè)備的ID之外的成員設(shè)備ID發(fā)送的報文�����。
[0055]若觸發(fā)密鑰服務(wù)器更新SAK的報文為�,構(gòu)造的PN為臨界值的隨機報文����,該報文有兩個作用,其一����,觸發(fā)密鑰服務(wù)器主動生成新的SAK并下發(fā);其二����,使各成員設(shè)備在隨后發(fā)送的報文在該臨界值的基礎(chǔ)上發(fā)送。
[0056]對于第二個作用��,不影響現(xiàn)有實現(xiàn)?,F(xiàn)有實現(xiàn)中在成員設(shè)備中接收到比本地使用的PN值大的報文時,也會在接收到的報文的PN值的基礎(chǔ)上發(fā)送報文��。
[0057]若觸發(fā)密鑰服務(wù)器更新SAK的報文為�����,使用該CA中的成員設(shè)備的ID之外的成員設(shè)備ID發(fā)送的報文。則偽裝為一個新的成員設(shè)備加入該CA中�����,密鑰服務(wù)器會新生成SAK并下發(fā)����,其他成員設(shè)備安裝該SAK后,也會使用該新下發(fā)的SAK進行后續(xù)的報文收發(fā)�����。
[0058]步驟203�,該成員設(shè)備接收到密鑰服務(wù)器下發(fā)的新的SAK時,安裝該新下發(fā)的SAK �;當(dāng)該新下發(fā)的SAK安裝成功時,向密鑰服務(wù)器發(fā)送SAK USE參數(shù)集����,并進行軟重啟ISSU,結(jié)束本流程����。
[0059]作為非密鑰服務(wù)器的成員設(shè)備,只要自身成功安裝密鑰服務(wù)器�����,并向密鑰服務(wù)器發(fā)送SAK USE參數(shù)集�����,描述安裝新下發(fā)的SAK后新老SAK的使用情況��,之后��,就可以直接進入軟重啟ISSU�����。
[0060]在實際應(yīng)用中如果一直接收不到密鑰服務(wù)器新下發(fā)的SAK時�����,也不應(yīng)該一直等下去��,不進行軟重啟ISSU�����。在具體實現(xiàn)時�,可以預(yù)設(shè)一段時間����,如果已過這段預(yù)設(shè)時間��,還是未接收到新下發(fā)的SAK時�����,直接進行軟重啟ISSU��。具體處理過程如下:
[0061]步驟202中向CA中各成員設(shè)備發(fā)送觸發(fā)密鑰服務(wù)器更新SAK的報文時����,啟動第二定時器。
[0062]如果在該第二定時器超時時�,還未接收到密鑰服務(wù)器下發(fā)的新的SAK時,直接進行軟重啟ISSU�。
[0063]如果是這種情況進行軟重啟ISSU���,生成日志�,記錄失敗觸發(fā)新生成SAK失敗等內(nèi)容�。
[0064]本實施例中的第二定時器與實施例中的第一定時器可以相同,也可以不同,根據(jù)使用者具體使用情況進行配置�����。
[0065]步驟204��,該成員設(shè)備若確定當(dāng)前已安裝新的SAK��,直接進行軟重啟ISSU���。
[0066]通過本發(fā)明實施例二可見,本發(fā)明在不需要增加協(xié)議報文��,完全利用現(xiàn)有協(xié)議的機制�����,作為非密鑰服務(wù)器的成員設(shè)備在即將進行軟重啟ISSU時,通過構(gòu)造PN為臨界值的報文�,主動觸發(fā)密鑰服務(wù)器生成新的SAK���,延長不需要軟件干預(yù)的時間,從而保證最大可能的軟重啟業(yè)務(wù)不中斷升級���。
[0067]本發(fā)明具體實施例中基于同樣的發(fā)明構(gòu)思����,還提出一種設(shè)備��,可應(yīng)用為包括兩個以上成員設(shè)備的CA中的任一成員設(shè)備���。參見圖3�,圖3為本發(fā)明具體實施例中應(yīng)用于上述技術(shù)的設(shè)備的結(jié)構(gòu)示意圖��。該設(shè)備包括:確定單元301和處理單元302�����。
[0068]確定單元301��,用于本設(shè)備作為密鑰服務(wù)器��,即將進行軟重啟ISSU時����,確定當(dāng)前是否已安裝新的SAK。
[0069]處理單元302����,用于確定單元301若確定當(dāng)前未安裝新的SAK,生成新的SAK并下發(fā)給各成員設(shè)備進行安裝�;接收到CA中所有成員設(shè)備在安裝新下發(fā)的SAK成功時發(fā)送的SAK USE參數(shù)集時,進行軟重啟ISSU ;若確定當(dāng)前已安裝新的SAK����,直接進行軟重啟ISSU。
[0070]較佳地�����,
[0071]處理單元302����,進一步用于在生成新的SAK并下發(fā)給各成員設(shè)備時���,啟動第一定時器��;如果在該第一定時器定時超時時���,未接收到至少一個成員設(shè)備在安裝新下發(fā)的SAK成功時發(fā)送的SAK USE參數(shù)集時,直接進行軟重啟ISSU。
[0072]較佳地��,
[0073]確定單元301��,進一步用于本成員設(shè)備作為非密鑰服務(wù)器的成員設(shè)備����,即將進行軟重啟ISSU時,確定當(dāng)前是否已安裝新的SAK��。
[0074]處理單元302��,進一步用于確定單元301若確定當(dāng)前未安裝新的SAK����,向CA中各成員設(shè)備發(fā)送觸發(fā)密鑰服務(wù)器更新SAK的報文;接收到密鑰服務(wù)器下發(fā)的新的SAK時�,安裝該新下發(fā)的SAK ;當(dāng)該新下發(fā)的SAK安裝成功時,向密鑰服務(wù)器發(fā)送SAK USE參數(shù)集�����,并進行軟重啟ISSU ;若確定當(dāng)前已安裝新的SAK���,直接進行軟重啟ISSU��。
[0075]較佳地�����,
[0076]確定單元301�����,具體用于確定當(dāng)前使用的SAK對應(yīng)的PN值是否小于PN的臨界值�,如果是,確定當(dāng)前未安裝新的SAK ;否則����,確定當(dāng)前已安裝新的SAK。[0077]較佳地���,
[0078]所述觸發(fā)密鑰服務(wù)器更新SAK的報文為,構(gòu)造的PN為臨界值的隨機報文��;或�,使用該CA中的成員設(shè)備的ID之外的成員設(shè)備ID發(fā)送的報文。較佳地����,
[0079]處理單元302��,進一步用于在向CA中各成員設(shè)備發(fā)送觸發(fā)密鑰服務(wù)器更新SAK的報文時�,啟動第二定時器���;如果在該第二定時器超時時��,還未接收到密鑰服務(wù)器下發(fā)的新的SAK時��,直接進行軟重啟ISSU�。
[0080]上述實施例的單元可以集成于一體�,也可以分離部署;可以合并為一個單元����,也可以進一步拆分成多個子單兀。
[0081]綜上所述�����,本發(fā)明具體實施例中在即將進行軟重啟ISSU時����,若確定當(dāng)前未安裝新的SAK,主動觸發(fā)新的SAK的生成��,并在所有成員設(shè)備都安裝新的SAK后,進行軟重啟ISSU����。在進行軟重啟ISSU過程中,可以使用新下發(fā)的SAK進行加密�����,能夠延長不需要軟件干預(yù)的時間�,進而保證流量不中斷。
[0082]以上所述��,僅為本發(fā)明的較佳實施例而已�����,并非用于限定本發(fā)明的保護范圍�。凡在本發(fā)明的精神和原則之內(nèi),所作的任何修改����、等同替換�、改進等,均應(yīng)包含在本發(fā)明的保護范圍之內(nèi)��。
【權(quán)利要求】
1.一種不中斷業(yè)務(wù)升級ISSU過程中媒體接入控制安全MACsec密鑰更新方法,應(yīng)用于包括兩個以上成員設(shè)備的連接集CA中的任一成員設(shè)備上���,其特征在于���,所述方法包括: 該成員設(shè)備作為密鑰服務(wù)器,即將進行軟重啟ISSU時�,確定當(dāng)前是否已安裝新的SAK ; 若確定當(dāng)前未安裝新的SAK���,生成新的SAK并下發(fā)給各成員設(shè)備進行安裝��; 接收到CA中所有成員設(shè)備在安裝新下發(fā)的SAK成功時發(fā)送的SAK USE參數(shù)集時�����,進行軟重啟ISSU ����; 若確定當(dāng)前已安裝新的SAK��,直接進行軟重啟ISSU����。
2.根據(jù)權(quán)利要求1所述的方法�����,其特征在于��,所述生成新的SAK并下發(fā)給各成員設(shè)備時�����,所述方法進一步包括:啟動第一定時器��; 如果在該第一定時器定時超時時��,未接收到至少一個成員設(shè)備在安裝新下發(fā)的SAK成功時發(fā)送的SAK使用USE參數(shù)集時�,直接進行軟重啟ISSU�。
3.根據(jù)權(quán)利要求1或2所述的方法,其特征在于����, 該成員設(shè)備作為非密鑰服務(wù)器的成員設(shè)備,即將進行軟重啟ISSU時�,確定當(dāng)前是否已安裝新的SAK ; 若確定當(dāng)前未安裝新的SAK���,向CA中各成員設(shè)備發(fā)送觸發(fā)密鑰服務(wù)器更新SAK的報文�����; 接收到密鑰服務(wù)器下發(fā)的新的SAK時�,安裝該新下發(fā)的SAK ;當(dāng)該新下發(fā)的SAK安裝成功時���,向密鑰服務(wù)器發(fā)送.SAK USE參數(shù)集����,并進行軟重啟ISSU �; 若確定當(dāng)前已安裝新的SAK,直接進行軟重啟ISSU�。
4.根據(jù)權(quán)利要求3所述的方法,其特征在于�����,所述確定當(dāng)前是否已安裝新的SAK�,包括: 確定當(dāng)前使用的SAK對應(yīng)的PN值是否小于PN的臨界值,如果是����,確定當(dāng)前未安裝新的SAK ;否則,確定當(dāng)前已安裝新的SAK。
5.根據(jù)權(quán)利要求3所述的方法����,其特征在于,所述觸發(fā)密鑰服務(wù)器更新SAK的報文為��,構(gòu)造的PN為臨界值的隨機報文���;或�����,使用該CA中的成員設(shè)備的ID之外的成員設(shè)備ID發(fā)送的報文�。
6.根據(jù)權(quán)利要求3所述的方法���,其特征在于���,所述向CA中各成員設(shè)備發(fā)送觸發(fā)密鑰服務(wù)器更新SAK的報文時,所述方法進一步包括:啟動第二定時器�; 如果在該第二定時器超時時,還未接收到密鑰服務(wù)器下發(fā)的新的SAK時�,直接進行軟重啟ISSU。
7.一種設(shè)備���,可應(yīng)用于包括兩個以上成員設(shè)備的連接集CA中的任一成員設(shè)備��,其特征在于�,所述設(shè)備包括:確定單元和處理單元�����; 所述確定單元��,用于本設(shè)備作為密鑰服務(wù)器�,即將進行軟重啟不中斷業(yè)務(wù)升級ISSU時,確定當(dāng)前是否已安裝新的SAK �; 所述處理單元,用于所述確定單元若確定當(dāng)前未安裝新的SAK�����,生成新的SAK并下發(fā)給各成員設(shè)備進行安裝��;接收到CA中所有成員設(shè)備在安裝新下發(fā)的SAK成功時發(fā)送的SAK使用USE參數(shù)集時���,進行軟重啟ISSU ;若確定當(dāng)前已安裝新的SAK�,直接進行軟重啟ISSU��。
8.根據(jù)權(quán)利要求7所述的設(shè)備,其特征在于����, 所述處理單元,進一步用于在生成新的SAK并下發(fā)給各成員設(shè)備時�,啟動第一定時器;如果在該第一定時器定時超時時�����,未接收到至少一個成員設(shè)備在安裝新下發(fā)的SAK成功時發(fā)送的SAK USE參數(shù)集時�����,直接進行軟重啟ISSU��。
9.根據(jù)權(quán)利要求7或8所述的設(shè)備�,其特征在于, 所述確定單元�,進一步用于本成員設(shè)備作為非密鑰服務(wù)器的成員設(shè)備,即將進行軟重啟ISSU時�����,確定當(dāng)前是否已安裝新的SAK ��;; 所述處理單元�,進一步用于所述確定單元若確定當(dāng)前未安裝新的SAK,向CA中各成員設(shè)備發(fā)送觸發(fā)密鑰服務(wù)器更新SAK的報文;接收到密鑰服務(wù)器下發(fā)的新的SAK時�,安裝該新下發(fā)的SAK ;當(dāng)該新下發(fā)的SAK安裝成功時,向密鑰服務(wù)器發(fā)送SAKUSE參數(shù)集�����,并進行軟重啟ISSU ;若確定當(dāng)前已安裝新的SAK��,直接進行軟重啟ISSU�。
10.根據(jù)權(quán)利要求9所述的設(shè)備�����,其特征在于��, 所述確定單元��,具體用于確定當(dāng)前使用的SAK對應(yīng)的PN值是否小于PN的臨界值��,如果是�,確定當(dāng)前未安裝新的SAK ;否則,確定當(dāng)前已安裝新的SAK�。
11.根據(jù)權(quán)利要求9所述的設(shè)備��,其特征在于���,所述觸發(fā)密鑰服務(wù)器更新SAK的報文為,構(gòu)造的PN為臨界值的隨機報文�����;或���,使用該CA中的成員設(shè)備的ID之外的成員設(shè)備ID發(fā)送的報文�。
12.根據(jù)權(quán)利要求9所述的設(shè)備�����,其特征在于��, 所述處理單元�,進一步用于在向CA中各成員設(shè)備發(fā)送觸發(fā)密鑰服務(wù)器更新SAK的報文時,啟動第二定時器���;如果在該第二定時器超時時�����,還未接收到密鑰服務(wù)器下發(fā)的新的SAK時���,直接進行軟重啟ISSU��。
【文檔編號】H04L9/16GK103475465SQ201310409022
【公開日】2013年12月25日 申請日期:2013年9月10日 優(yōu)先權(quán)日:2013年9月10日
【發(fā)明者】徐鵬飛 申請人:杭州華三通信技術(shù)有限公司