[发明专利]使用数据平面反馈促进无损安全密钥翻转

说明书

第一网络设备可以将用于对业务进行解密的接收密钥安装在与第一网络设备的数据平面相关联的协议硬件上。第一网络设备可以从数据平面接收指示接收密钥被安装在协议硬件上的第一通知，并且可以向第二网络设备提供标识接收密钥的第一消息。第一网络设备可以从第二网络设备接收指示接收密钥被安装在第二网络设备上的确认消息，并且可以将用于对业务进行加密的传输密钥安装在协议硬件上。第一网络设备可以从数据平面接收指示传输密钥被安装在协议硬件上的第二通知，并且可以向第二网络设备提供标识传输密钥的第二消息。

相关申请的交叉引用

本申请对提交于2020年5月6日，标题为“FACILITATING HITLESS SECURITY KEYROLLOVER”的印度临时申请No.202041019240享有优先权。该申请的全部内容通过引用被明显地包含在本文中。

背景技术

媒体访问控制安全(MACsec)是电气和电子工程师协会(IEEE)802.1AE定义的一种安全标准，它规定了媒体访问独立协议的无连接数据的保密性和完整性。MACsec标准规范了一组协议，以满足保护通过以太网局域网(LANs)的数据的安全要求。MACsec定义了安全基础架构，以提供数据保密性、数据完整性和数据来源认证。

发明内容

根据一些实现，一种方法可以包括：由第一网络设备接收加密数据，该加密数据标识用于对业务进行解密的接收密钥，以及用于对业务进行加密的传输密钥；由第一网络设备将接收密钥安装在与第一网络设备的数据平面相关联的协议硬件上；从第一网络设备的数据平面上接收第一通知，该第一通知指示接收密钥被安装在协议硬件上；由第一网络设备向第二网络设备提供标识接收密钥的第一密钥协定控制消息，其中第一密钥协定控制消息基于接收到第一通知而被提供；由第一网络设备从第二网络设备接收确认消息，该确认消息指示接收密钥被安装在第二网络设备上；由第一网络设备基于接收到确认消息，将传输密钥安装在协议硬件上；从第一网络设备的数据平面上接收第二通知，该第二通知指示传输密钥被安装在协议硬件上；以及由第一网络设备向第二网络设备提供标识传输密钥的第二密钥协定控制消息，其中第二密钥协定控制消息基于接收第二通知而被提供。

根据一些实现，一种第一网络设备可以包括一个或多个存储器；以及一个或多个处理器用于：接收加密数据，该加密数据标识：用于对业务进行解密的第一密钥；以及用于对业务进行加密的第二密钥；将第一密钥安装在与第一网络设备的数据平面相关联的协议硬件上；从数据平面接收第一通知，该第一通知指示第一密钥被安装在协议硬件上；向第二网络设备提供标识第一密钥的第一密钥协定控制消息，其中第一密钥协定控制消息基于接收到第一通知而被提供；从第二网络设备接收第一确认消息，该第一确认消息指示第一密钥被安装在第二网络设备上；基于接收到第一确认消息将第二密钥安装在协议硬件上；从数据平面接收第二通知，该第二通知指示第二密钥被安装在协议硬件上；向第二网络设备提供标识第二密钥的第二密钥协定控制消息，其中第二密钥协定控制消息基于接收到第二通知而被提供；以及从第二网络设备接收第二确认消息，该第二确认消息指示第二密钥被安装在第二网络设备上。