本申请实施例提供了一种密钥更新方法、装置、电子设备和存储介质,其中,该方法包括:根据预设规则选择状态机运行模式;将所述状态机运行模式通知给从节点以使所述从节点根据所述状态机运行模式配置状态机;根据所述状态机运行模式进行密钥更新。本申请实施例通过通知从节点的状态机运行模式,防止设备对接失败,提高密钥更新的稳定性,提高设备间通信的安全性。性。性。
【技术实现步骤摘要】
密钥更新方法、装置、电子设备和存储介质
[0001]本专利技术涉及数据通信领域,尤其涉及一种密钥更新方法、装置、电子设备和存储介质。
技术介绍
[0002]媒体接入控制安全(Media Access Control security,MACsec)是IEEE802.1AE中定义的安全标准,该标准定义了一个安全基础架构,该架构提供了数据的机密性和完整性,通过应用MACsec协议标准,可以满足二层通信数据安全的需求,由于MACsec协议只提供了对数据进行封装和加密的框架,该标准所需的密钥(SAK)则是由IEEE 802.1X
‑
2010标准协议中的MKA协议来协商生成。由于MACsecx协议只提供了对数据进行封装和加密的框架,该标准所需的密钥(SAK)则是由IEEE 802.1X
‑
2010标准协议中的MACsec密钥协商协议(MACsec Key Agreement protocol,MKA)来协商生成。连接联盟(Connectivity Association,CA)由多个实现MACsec功能的MAC安全实体(Security Entity,SecY)构成,MKA负责SecY的发现、认证和授权,拥有用一个CA密码的CA成员根据规则选举其中一个作为密钥服务器,由密钥服务器生成密钥并分发至CA内所有成员,各CA成员则可使用相同密钥完成彼此之间的安全通信。
[0003]在MKA协议中,CP状态机在系统中起着至关重要的作用,该状态机定义了MKA协议在系统运行过长中的所处的不同状态及相应处理方法,包括保护通信前INIT、CHANGE、ALLOWED、AUTHENTICATED、SECURED状态和进入通信保护后的RECEIVE、RECEIVING、READY、TRANSMIT、ABANDON、TRANSMITTING和RETIRE状态。按照MKA协议说明,当密钥服务器准备协商一个新密钥时,密钥服务器进入RECEIVE状态,生成一个最新密钥标识符(Latest Key Identifier,LKI)的新密钥,并分发至CA内的其他成员。当CA内所有成员都安装了新密钥后,CA内所有的成员包括密钥服务器都进入RETIRE状态,并将LKI标识的新密钥赋给老密钥标识符(Old Key Identifier,OKI)的旧密钥,同时LKI被清除,整个CA内均使用OKI标识的密钥对通信数据进学校加解密,以实现数据的保护。
[0004]现有的对MKA的CP状态实现的方案中,由于对该状态机的RETIRE状态理解不同,因此导致各方案在处理RETIRE状态时采用的操作并不完全一致,有些方案采用保留LKI而清除OKI的方式来处理准备使用的密钥,由于MKA协议报文分发使用密钥的协议参数集3中携带并处理了LKI和OKI这两个状态机参数,因而这对于不同设备间或终端与设备间的对接造成了一定的影响,有很大可能导致设备对接失败。
技术实现思路
[0005]本申请实施例的主要目的是在于提出一种密钥更新方法、装置、电子设备和存储介质,旨在实现同步主从节点之间的状态机运行模式,防止密钥更新过程中设备对接失败,提高主从节点间通信的安全性。
[0006]为了实现上述目的,本申请实施例提供了一种密钥更新方法,应用于主节点,该方
法包括:
[0007]根据预设规则选择状态机运行模式;将所述状态机运行模式通知给从节点以使所述从节点根据所述状态机运行模式配置状态机;根据所述状态机运行模式进行密钥更新。
[0008]为了实现上述目的,本申请实施例还提供了一种密钥更新方法,应用于从节点,该方法包括:
[0009]获取主节点通知的状态机运行模式;根据所述状态机运行模式配置状态机,并向所述主节点反馈配置完成信息;根据所述状态机运行模式进行密钥更新。
[0010]为了实现上述目的,本申请实施例还提供了一种密钥更新装置,该装置应用于主节点,该装置包括:
[0011]模式确定模块,用于根据预设规则选择状态机运行模式;
[0012]模式同步模块,用于将所述状态机运行模式通知给从节点以使所述从节点根据所述状态机运行模式配置状态机;
[0013]密钥更新模块,用于根据所述状态机运行模式进行密钥更新。
[0014]为了实现上述目的,本申请实施例还提供了一种密钥更新装置,该装置应用于从节点,该装置包括:
[0015]模式获取模块,用于获取主节点通知的状态机运行模式;
[0016]信息反馈模块,用于根据所述状态机运行模式配置状态机,并向所述主节点反馈配置完成信息;
[0017]密钥更新模块,用于根据所述状态机运行模式进行密钥更新。
[0018]为了实现上述目的,本申请实施例还提供了一种电子设备,该电子设备包括:
[0019]一个或多个处理器;
[0020]存储器,用于存储一个或多个程序,
[0021]当所述一个或多个程序被所述一个或多个处理器执行,使得所述一个或多个处理器实现如本申请实施例中任一所述的密钥更新方法。
[0022]为了实现上述目的,本申请实施例还提供了一种计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现如本申请实施例中任一所述的密钥更新方法。
[0023]本申请实施例,通过选择状态机运行模式并发送到从节点,使得从节点根据该状态机运行模式进行配置,根据选择的状态机运行模式密钥更新,实现主节点和从节点之间的加密通信,统一不同节点间的状态机运行模式,防止设备对接失败,提高了主从节点间通信的稳定性。
附图说明
[0024]图1是本申请实施例提供的一种密钥更新方法的流程图;
[0025]图2是本申请实施例提供的另一种密钥更新方法的流程图;
[0026]图3是本申请实施例提供的一种通信报文的结构示意图;
[0027]图4是本申请实施例提供的一种密钥更新方法的流程图;
[0028]图5是本申请实施例提供的一种密钥更新方法的示例图;
[0029]图6是本申请实施例提供的一种密钥更新装置的结构示意图;
[0030]图7是本申请实施例提供的一种密钥更新装置的结构示意图;
[0031]图8是本申请实施例提供的一种电子设备的结构示意图。
具体实施方式
[0032]应当理解,此处所描述的具体实施例仅仅用以解释本专利技术,并不用于限定本专利技术。
[0033]在后续的描述中,使用用于表示元件的诸如“模块”、“部件”或“单元”的后缀仅为了有利于本专利技术的说明,其本身没有特有的意义。因此,“模块”、“部件”或“单元”可以混合地使用。
[0034]图1是本申请实施例提供的一种密钥更新方法的流程图,本申请实施例可适用于主从节点之间进行密钥更新的情况,例如,连接联盟中密钥服务器和MAC实体之间的密钥更新,该方法可以由密钥更新装置来执行,该装置可以由软件和/或硬件的方式来实现,一般可以集成在主节点中,例如,连接联盟中的密钥服务器,参见图1本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种密钥更新方法,其特征在于,应用于主节点,该方法包括:根据预设规则选择状态机运行模式;将所述状态机运行模式通知给从节点以使所述从节点根据所述状态机运行模式配置状态机;根据所述状态机运行模式进行密钥更新。2.根据权利要求1所述的方法,其特征在于,所述根据预设规则选择状态机运行模式,包括:获取本地预先存储的状态机配置参数作为状态机运行模式参数。3.根据权利要求1所述的方法,其特征在于,所述将所述状态机运行模式通知给从节点,包括:将状态机运行模式按照预设格式封装为通信报文,其中,通信报文至少包括当前状态机运行模式字段、状态机运行模式字段;发送所述通信报文到从节点以使从节点根据所述通信报文内的状态机运行模式配置状态机。4.根据权利要求3所述的方法,其特征在于,所述状态机运行模式参数字段根据新增状态机运行模式拓展取值。5.根据权利要求1所述的方法,其特征在于,还包括:不对预设时间内未反馈配置完成信息的从节点进行密钥更新。6.根据权利要求1所述的方法,其特征在于,所述根据所述状态机运行模式进行密钥更新,包括:在所述从节点反馈的通信报文中提取当前状态机运行模式;确定所述当前状态机运行模式与所述状态机运行模式相同,则按照所述状态机运行模式进行密钥更新。7.一种密钥更新方法,其特征在于,应用于从节点,该方法包括:获取主节点通知的状态机运行模式;根据所述状态机运行模式配置状态机,并向所述主节点反馈配置完成信息;根据所述状态机运行模式进行密钥更新。8.根据权利要求7所述的方法,其特征在于,所述根据所述状态机运行模式配置状态机,包括:判断状态机已配置的运行模式是否与所述状态机运行模式相同,若不是,则将所述状态机的运行模式,...
【专利技术属性】
技术研发人员:王月明,
申请(专利权)人:中兴通讯股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。