用于媒体访问控制安全的随机连通性关联密钥协商的系统和方法与流程

用于媒体访问控制安全的随机连通性关联密钥协商的系统和方法


背景技术：

1.媒体访问控制安全(macsec)是可以用于保护在两个设备之间传输的数据的安全协议。每个设备可以配置有相同的连接性关联密钥(cak)，并且可以利用cak来生成密钥集。然后，该密钥集可以用于在两个设备之间建立安全通信会话。


技术实现要素：

2.本文中所描述的一些实现涉及一种方法。该方法可以包括由网络设备基于由该网络设备生成的第一密钥集来在该网络设备与另一网络设备之间建立安全连接，其中第一密钥集是基于第一连通性关联密钥(cak)而被生成的且安全连接是基于ieee标准802.1ae媒体访问控制安全(macsec)协议而被建立的。该方法可以包括由该网络设备向该另一网络设备传输消息，其中该消息包括第二cak的指示。该方法可以包括由该网络设备基于第二密钥集来经由安全连接传送数据，其中第二密钥集是基于第二cak而被生成的。
3.本文中所描述的一些实现涉及一种网络设备。该网络设备可以包括一个或多个存储器和一个或多个处理器。该网络设备可以被配置为基于由该网络设备生成的第一密钥集在该该网络设备与另一网络设备之间建立安全连接，其中第一密钥集是基于第一cak而被生成的且安全连接是基于macsec协议而被建立的。该网络设备可以被配置为向该另一网络设备传输消息，其中该消息包括第二cak的指示。该网络设备可以被配置为基于第二密钥集来经由安全连接传送数据，其中第二密钥集是基于第二cak而被生成的。
4.本文中所描述的一些实现涉及一种存储针对网络设备的指令集的非暂态计算机可读介质。该指令集在由该网络设备的一个或多个处理器执行时可以使该网络设备基于由该网络设备生成的第一密钥集来在该网络设备与另一网络设备之间建立安全连接，其中第一密钥集是基于第一cak而被生成的且安全连接是基于macsec协议而被建立的。该指令集在由该网络设备的一个或多个处理器执行时可以使该网络设备向该另一网络设备传输消息，其中该消息包括第二cak的指示。该指令集在由该网络设备的一个或多个处理器执行时可以使改网络设备基于第二密钥集来经由安全连接传送数据，其中第二密钥集是基于第二cak而被生成的。
附图说明
5.图1和图2是本文中所描述的示例实现的示图；
6.图3是可以在其中实现本文中所描述的系统和/或方法的示例环境的示图；
7.图4是图3的一个或多个设备的示例组件的示图；以及
8.图5是与媒体访问控制安全的随机连通性关联密钥协商有关的示例过程的流程图。
具体实施方式
9.以下示例实现的具体实施方式参考附图。不同附图中的相同附图标记可以标识相同或相似的元素。
10.ieee标准802.1ae媒体访问控制安全(macsec)是可以被部署以保护经由建立在两个设备之间的网络连接传输的数据的安全协议。例如，macsec可以被配置在被物理连接(例如，经由以太网电缆)到第二设备的端口的第一设备的端口上。第一设备和第二设备可以各自配置有相同的静态密钥(例如，连通性关联密钥(cak)，并且可以利用该静态密钥来生成完整性检查密钥(ick)和密钥交换密钥(kek)。第一设备(或者，第二设备)可以基于ick和kek来生成安全关联密钥(sak)。第一设备可以基于kek对sak进行加密，并且可以将经加密的sak提供给第二设备。第二设备可以利用由第二设备生成的kek来对经加密的sak进行解密。然后，sak可以用于对在第一设备与第二设备之间传送的数据进行加密和解密。
11.为了提供增加的安全级别，macsec协议允许在所建立的通信会话期间改变sak。然而，macsec协议不提供对cak的改变。因此，知道正在使用的cak可以允许攻击者生成ick和kek，拦截包括经加密的sak的通信，并且利用kek来对经加密的sak进行解密。然后，攻击者可以拦截在第一设备与第二设备之间传输的经加密的数据并对其进行解密。
12.在一些情况下，可以使用密钥链来改变cak。密钥链可以指示与每个cak相关联的cak集和有效时段(例如，起始时间和结束时间)。第一设备和第二设备可以标识包括当前时间的有效时段，并且可以基于与所标识的有效时段相关联的cak来生成ick和kek。
13.然而，密钥链的使用可能需要第一设备和第二设备时间同步并配置有相同的密钥链。此外，在每个密钥链中指示的有效时段需要考虑在第一设备与第二设备之间可能存在的时区差异。保持时间同步以及基于与每个设备相关联的时区来适当地配置密钥链可能是麻烦的和/或使用相对大量的计算资源(例如，处理资源、存储器资源和/或通信资源)。另外，可以被包括在密钥链上的cak的数目可能受到限制，从而需要在针对cak指示的有效时段到期时周期性地针对第一设备和第二设备配置新密钥链。
14.本文中所描述的一些实现使得设备能够在基于macsec协议而建立的安全通信会话期间协商新cak。该设备可以与包括多个cak的密钥数据库相关联。每个cak可以与密钥名称、密钥标识符和机密(例如，数据字符串)相关联。与密钥链相比，cak可能不与有效时段相关联，这可能会降低使用新cak集来配置密钥数据库的频率。在一些实现中，该设备可以从密钥数据库选择第一cak，生成第一密钥集(例如，ick、kek和sak)，并且基于第一密钥集与另一设备建立安全通信会话。
15.在安全通信会话期间，为了防止通信会话被终止，该设备可以周期性地(例如，每两秒)交换macsec密钥协商协议数据单元(mkpdu)。mkpdu可以包括基于用于建立正在建立的安全通信会话的第一密钥集的第一cak的指示。
16.在一些实现中，该设备可以确定密钥改变事件的发生，诸如时间段的到期、该设备正在传输的mkpdu的数量、和/或从该另一设备接收到的mkpdu的数量，等等。该设备可以基于密钥改变事件的发生从密钥数据库选择新cak。该设备可以随机选择新cak，或者可以基于一个或多个选择标准(例如，基于多个cak被包括在密钥数据库中的顺序来顺序地)来选择新cak。
17.为了将第一cak改变为新cak，该设备可以传输包括新cak标识符的mkpdu(例如，包
括一个或多个字符或符号的特定数据串，诸如“123”、“abcd”、井号(#)、和号(&)或星号(*)等)，后跟与新cak相关联的标识符。该另一设备可以接收mkpdu，并且可以基于包括新cak标识符的mkpdu来确定cak要被改变。该另一设备可以基于在新cak标识符之后的标识符来从密钥数据库取回新cak。该设备和该另一设备可以基于新cak生成新密钥集，并且可以利用该组新密钥经由安全通信会话进行通信。
18.图1是与macsec的随机cak协商相关联的示例实现100的示图。如图1中所示，示例实现100包括第一设备105-1和第二设备105-2。第一设备105-1和第二设备105-2可以经由点对点连接进行连接。例如，第一设备105-1的端口可以通过物理连接(例如，以太网电缆)、经由另一设备、或者通过共享电子介质连接到第二设备105-2的端口。在下面结合图3和图4更详细地描述第一设备105-1和第二设备105-2。
19.第一设备105-1可以与包括多个cak的cak数据库110相关联。例如，如图1中所示，cak数据库110可以包括第一cak(例如，cak1，如所示出的)、第二cak(例如，cak2，如所示出的)和第三cak(例如，cak3，如所示出的)。在一些实现中，包括在cak数据库110中的cak可以与一个或多个标识符相关联。例如，如图1中所示，包括在cak数据库110中的每个cak与密钥id(例如，id：1，如针对cak1所示出的)和密钥名称(例如，密钥：1111，如针对cak1所示出的)相关联。
20.类似地，第二设备105-2可以与cak数据库115相关联。如图1中所示，cak数据库115可以包括与包括在cak数据库110中的多个cak相对应的多个cak。在一些实现中，包括在cak数据库110中的每个cak可以被包括在cak数据库115中。在一些实现中，cak数据库110可以包括不被包括在cak数据库115中的一个或多个cak。在一些实现中，包括在cak数据库115中的一个或多个cak可以不被包括在cak数据库110中。
21.如附图标记120所示，第一设备105-1和第二设备105-2可以基于包括在cak数据库110和cak数据库115中的cak来建立安全通信链路。包括在cak数据库110中的每个cak可以与cak名称(例如，cak1、cak2和cak3，如图1中所示)和/或密钥标识符(例如，1、2和3，如图1中所示)相关联。每个cak名称和/或密钥标识符可以标识密钥与机密的唯一组合。例如，如图1中所示，cak1标识密钥1111和机密abc1。
22.为了建立安全连接，第一设备105-1和第二设备105-2应使用相同的cak名称和/或相同的密钥标识符以及由cak名称标识的密钥和机密。在一些实现中，第一设备105-1和第二设备105-2可以基于macsec密钥协商(mka)协议来建立安全通信链路。mka协议可以定义用于协商cak和交换密钥的程序，该密钥是基于cak而生成的且用于建立安全通信会话。
23.在一些实现中，第一设备105-1和第二设备105-2可以执行密钥服务器选举过程以标识将充当通信会话的密钥服务器的设备(例如，第一设备105-1或第二设备105-2)。如本文中的其他地方更详细描述的，密钥服务器可以生成并分发sak。
24.在一些实现中，密钥服务器可以基于与第一设备105-1相关联的优先级以及与第二设备105-2相关联的优先级进行确定。例如，第一设备105-1可以与第一优先级相关联，并且第二设备105-2可以与第二优先级相关联。第一优先级可以是相对于第二优先级更高的优先级。基于第一设备105-1相对于第二设备105-2与更高优先级相关联，第一设备105-1可以用作密钥服务器。
25.另外地或备选地，密钥服务器可以基于一个或多个标准进行确定。例如，密钥服务
器可以基于以下项进行确定：mac地址(例如，具有最低mac地址的设备或具有最高mac地址的设备)、每个设备连接到网络的时间(例如，在其他设备连接之前连接的设备或在其他设备连接之后连接的设备)、和/或发送与建立通信会话相关联的初始消息的设备，等等。
26.在一些实现中，第一设备105-1可以基于被指定为密钥服务器而从cak数据库110选择第一cak(例如，cak1)。第一设备105-1可以利用预先配置的算法(例如，由标准定义的算法或者由管理员配置的算法等)来基于第一cak生成密钥集。在一些实现中，该密钥集可以包括ick、kek、以及基于ick和kek而生成的sak。
27.在一些实现中，第一设备105-1可以基于从cak数据库110选择第一cak和/或生成该密钥集来向第二设备105-2提供密钥信息消息。在一些实现中，密钥信息消息可以包括mkpdu。密钥信息可以包括所选择的cak(例如，与第一cak相关联的密钥标识符或密钥名称)和sak的指示。sak可以基于kek进行加密。
28.第二设备105-2可以从第一设备105-1接收密钥信息消息。第二设备105-2可以基于包括在密钥信息消息中的所选择的cak的指示来确定第一cak对应于由第一设备105-1选择的cak。第二设备105-2可以基于与所选择的cak相对应的第一cak来从cak数据库115取回第一cak。
29.在一些实现中，第二设备105-2可以配置有与第一设备105-1用于生成该密钥集的相同的预配置算法。第二设备105-2可以利用预先配置的算法来基于第一cak生成密钥集。由第二设备105-2生成的该密钥集可以包括对应于由第一设备105-1生成的ick和kek的ick和kek。第二设备105-2可以利用kek来对包括在密钥信息消息中的sak进行解密。第二设备105-2可以利用经解密的sak来对传输给第一设备105-1的数据进行加密并对从第一设备105-1接收到的数据进行解密。
30.在一些实现中，第二设备105-2可以基于成功地对经加密的sak进行解密来向第一设备105-1提供消息。例如，第二设备105-2可以向第一设备105-1传输mkpdu。mkpdu可以包括与第一cak相关联的指示(例如，密钥标识符或密钥名称)。在一些实现中，可以基于第一设备105-1接收到mkpdu和/或基于mkpdu包括与第一cak相关联的指示来建立安全通信。
31.如附图标记125所示，第一设备105-1可以向第二设备105-2传输mkpdu。作为保活机制，第一设备105-1可以周期性地(例如，每1秒或每2秒等)向第二设备105-2传输mkpdu。例如，第一设备105-1可以周期性地向第二设备105-2传输mkpdu并作为响应而确定是否从第二设备105-2接收到mkpdu。如果在配置的时间段内没有从第二设备105-2接收到mkpdu，则第一设备105-1可以终止通信会话。另外地或备选地，如果第二设备105-2在该时间段内没有从第一设备105-1接收到mkpdu，则第二设备105-2可以终止通信会话。
32.在一些实现中，mkpdu可以包括密钥名称参数。密钥名称参数可以指示当前cak(例如，第一cak)。该指示可以包括与第一cak相关联的密钥名称。密钥名称参数可以包括对应于与当前cak关联的密钥名称的数据串(例如，十六进制字符串)。在一些实现中，密钥名称参数的长度可以是整数个八位字节(例如，四个八位字节的倍数)。在一些实现中，当与密钥名称相对应的数据串的长度小于整数个八位字节时，密钥名称参数可以包括附加到数据串的端部的一定数量的填充，以使数据串的长度是整数个八位字节。
33.第二设备105-2可以从第一设备105-1接收mkpdu。第二设备105-2可以标识包括在mkpdu中的密钥名称参数，并且可以确定密钥名称参数是否包括新cak指示符。如附图标记
130所示，第二设备105-2可以确定新cak指示符不被包括在密钥名称参数中。第二设备105-2可以基于新cak指示符不被包括在密钥名称参数中来确定不需要改变cak(例如，第二设备105-2可以继续使用基于安全通信会话的当前cak而生成的该密钥集)。
34.如附图标记135所示，第二设备105-2可以向第一设备105-1传输包括当前cak的指示的mkpdu。第二设备105-2可以基于从第一设备105-1接收到mkpdu来向第一设备105-1传输mkpdu。基于第二设备105-2确定不需要改变cak，mkpdu可以包括当前cak的指示。
35.在一些实现中，第一设备105-1可以确定改变cak事件的发生。在一些实现中，改变cak事件的发生可以对应于时间段的到期。例如，第一设备105-1可以基于成功地协商cak和/或建立安全通信会话来发起定时器。定时器可以被设置为初始值。在一些实现中，初始值可以是预先配置的值。在一些实现中，初始值可以由第一设备105-1随机选择。
36.第一设备105-1可以周期性地(例如，每秒)使定时器的值递减。第一设备105-1可以基于定时器的值等于0来确定改变cak事件的发生。第一设备105-1可以基于改变cak事件的发生来确定需要使当前cak改变为新cak。
37.第一设备105-1可以从cak数据库110选择新cak(例如，cak3，如图1中所示)。在一些实现中，第一设备105-1可以从cak数据库110随机选择新cak。在一些实现中，第一设备105-1可以基于一个或多个选择标准来选择新cak。例如，相对于与多个cak中的其他cak相关联的密钥标识符，第一设备105-1可以确定多个cak中的与这样的密钥标识符相关联的cak，该密钥标识符对应于最高值、最低值、或者与对应于与当前cak相关联的密钥标识符的值最接近的值等。
38.如附图标记140所示，第一设备105-1可以向第二设备105-2传输mkpdu。mkpdu可以是由第一设备105-1传输到第二设备105-2的周期性mkpdu中的下一mkpdu。mkpdu可以包括当前cak(例如，第一cak)的指示、新cak指示符和新cak(例如，cak3，如图1中所示)的指示。
39.在一些实现中，mkpdu可以包括密钥名称参数，该密钥名称参数包括当前cak的指示、新cak指示符和/或新cak的指示。新cak指示符可以包括特定数据串。例如，新cak指示符可以包括一个或多个预定字母、字符和/或数字的字符串。在一些实现中，新cak指示符可以包括预定字符，诸如井号(#)、美元符号($)、星号(*)或和号(@)等。
40.在一些实现中，新cak的指示可以紧跟新cak指示符。新cak的指示可以包括与新cak相关联的密钥标识符(例如，id：3，如图1中所示)、与新cak相关联的密钥名称(例如，key：3333，如图1中所示)、和/或唯一地标识新cak的其他数据。
41.在一些实现中，新cak指示符和新cak的指示可以附加到当前cak的指示的端部处。例如，当前cak的指示可以包括与当前cak相关联的密钥名称和一定数量的填充。新cak指示符和新cak的指示可以替换该一定数量的填充的部分或全部。
42.在一些实现中，该一定数量的填充可能不够。例如，新cak指示符的长度和新cak的指示可能大于该一定数量的填充，或者密钥名称参数可能不包括填充。在这些实现中，新cak指示符和新cak的指示可以替换当前cak的指示的部分(或者，全部)。
43.第二设备105-2可以从第一设备105-1接收mkpdu。如附图标记145所示，第二设备105-2可以确定新cak指示符被包括在mkpdu中。第二设备105-2可以标识紧跟新cak指示符的数据串。第二设备105-2可以基于数据串跟随新cak指示符来确定所标识的数据串对应于与新cak相关联的指示符(例如，与新cak相关联的密钥标识符和/或密钥名称)。
44.第二设备105-2可以基于与新cak相关联的指示符来确定新cak是否被包括在cak数据库115中。在一些实现中，第二设备105-2可以确定新cak不被包括在cak数据库115中，并且第二设备105-2可以执行一个或多个动作，如下面关于图2描述的。
45.在一些实现中，如附图标记150所示，第二设备105-2可以确定新cak被包括在cak数据库115中。第一设备105-1可以生成包括新cak的指示(而不是先前cak(例如，cak1)的指示)的mkpdu。如附图标记155所示，第二设备105-2可以向第一设备105-1传输mkpdu，该mkpdu包括新cak(例如，cak3，如所示出的)的指示。
46.如附图标记160所示，第一设备105-1和第二设备105-2可以使用基于新cak而生成的密钥集来执行通信。在一些实现中，第一设备105-1和第二设备105-2可以生成该密钥集，并且以类似于上面关于先前cak描述的方式基于新cak来执行通信。
47.如上面所描述的，提供图1作为示例。其他示例可以与关于图1所描述的不同。提供图1中所示的设备的数目和布置作为示例。在实践中，与图1中所示的相比，可以存在更多的设备、更少的设备、不同的设备或不同地布置的设备。此外，图1中所示的两个或更多个设备可以在单个设备内实现，或者图1中所示的单个设备可以被实现为多个分布式设备。另外地或备选地，图1中所示的设备集(例如，一个或多个设备)可以执行被描述为由图1中所示的另一设备集执行的一个或多个功能。
48.图2是与macsec的随机cak协商相关联的示例实现200的示图。如图2中所示，示例实现200包括第一设备105-1和第二设备105-2。第一设备105-1和第二设备105-2可以经由点对点连接进行连接。例如，第一设备105-1的端口可以通过物理连接(例如，以太网电缆)连接到第二设备105-2的端口。在下面结合图3和图4更详细地描述第一设备105-1和第二设备105-2。
49.第一设备105-1可以与包括多个cak的cak数据库210相关联。例如，如图2中所示，cak数据库210可以包括第一cak(例如，cak1，如示出的)、第二cak(例如，cak2，如示出的)、第三cak(例如，cak3，如示出的)和第四cak(例如，cak4，如示出的)。在一些实现中，包括在cak数据库210中的cak可以与一个或多个标识符相关联。例如，如图2中所示，包括在cak数据库210中的每个cak与密钥id(例如，id：1，如针对cak1所示出的)和密钥名称(例如，密钥：1111，如针对cak1所示出的)相关联。
50.类似地，第二设备105-2可以与cak数据库215相关联。在一些实现中，包括在cak数据库210中的每个cak可以被包括在cak数据库215中。在一些实现中，cak数据库210可以包括不被包括在cak数据库215中的一个或多个cak。在一些实现中，包括在cak数据库215中的一个或多个cak可以不被包括在cak数据库210中。如图2中所示，cak数据库215可以包括与包括在cak数据库210中的多个cak的一部分相对应的多个cak(例如，cak数据库215不包括第四cak)。
51.如附图标记220所示，第一设备105-1和第二设备105-2可以基于包括在cak数据库210和cak数据库215中的cak来建立安全通信链路。在一些实现中，第一设备105-1和第二设备105-2可以基于macsec密钥协商(mka)协议来建立安全通信链路。mka协议可以定义用于协商并交换用于建立安全通信会话的密钥的程序。
52.在一些实现中，第一设备105-1和第二设备105-2可以执行密钥服务器选举过程以标识将充当通信会话的密钥服务器的设备(例如，第一设备105-1或第二设备105-2)。如本
文中的其他地方更详细描述的，密钥服务器可以生成并分发sak。在一些实现中，第一设备105-1和第二设备105-2可以执行密钥服务器选举过程，以便以类似于上面关于图1描述的方式将第一设备105-1标识为密钥服务器。
53.在一些实现中，第一设备105-1可以基于被指定为密钥服务器而从cak数据库210选择第一cak(例如，cak1)。第一设备105-1可以利用预先配置的算法(例如，由标准定义的算法或由管理员配置的算法等)来基于第一cak生成密钥集。在一些实现中，该密钥集可以包括ick、kek、以及基于ick和kek而生成的sak。
54.在一些实现中，第一设备105-1可以基于从cak数据库110选择第一cak和/或生成该密钥集来向第二设备105-2提供密钥信息消息。在一些实现中，密钥信息消息可以包括mkpdu。密钥信息可以包括所选择的cak(例如，与第一cak相关联的密钥标识符或密钥名称)和sak的指示。sak可以基于kek进行加密。
55.第二设备105-2可以从第一设备105-1接收密钥信息消息。第二设备105-2可以基于包括在密钥信息消息中的所选择的cak的指示来确定第一cak对应于由第一设备105-1选择的cak。第二设备105-2可以基于与所选择的cak相对应的第一cak来从cak数据库215取回第一cak。
56.在一些实现中，第二设备105-2可以配置有与第一设备105-1用于生成该密钥集的相同的预配置算法。第二设备105-2可以利用预先配置的算法来基于第一cak生成密钥集。由第二设备105-2生成的该密钥集可以包括对应于由第一设备105-1生成的ick和kek的ick和kek。第二设备105-2可以利用kek来对包括在密钥信息消息中的sak进行解密。第二设备105-2可以利用经解密的sak来对传输给第一设备105-1的数据进行加密并对从第一设备105-1接收到的数据进行解密。
57.在一些实现中，第二设备105-2可以基于成功地对经加密的sak进行解密来向第一设备105-1提供消息。例如，第二设备105-2可以向第一设备105-1传输mkpdu。mkpdu可以包括与第一cak相关联的指示(例如，密钥标识符或密钥名称)。在一些实现中，可以基于第一设备105-1接收到mkpdu和/或基于mkpdu包括与第一cak相关联的指示来建立安全通信。
58.如附图标记225所示，第一设备105-1可以向第二设备105-2传输mkpdu。作为保活机制，第一设备105-1可以周期性地(例如，每1秒或每2秒等)向第二设备105-2传输mkpdu。例如，第一设备105-1可以周期性地向第二设备105-2传输mkpdu并作为响应而确定是否从第二设备105-2接收到mkpdu。如果在一段时间内没有从第二设备105-2接收到mkpdu，则第一设备105-1可以终止通信会话。另外地或备选地，如果第二设备105-2在该时间段内没有从第一设备105-1接收到mkpdu，则第二设备105-2可以终止通信会话。
59.在一些实现中，mkpdu可以包括密钥名称参数。密钥名称参数可以指示当前cak(例如，第一cak)。该指示可以包括与第一cak相关联的密钥名称。密钥名称参数可以包括对应于与当前cak关联的密钥名称的数据串(例如，十六进制字符串)。在一些实现中，密钥名称参数的长度可以是整数个八位字节(例如，四个八位字节的倍数)。在一些实现中，当与密钥名称相对应的数据串的长度小于整数个八位字节时，密钥名称参数可以包括附加到数据串的端部的一定数量的填充，以使长度为数据串是整数个八位字节。
60.第二设备105-2可以从第一设备105-1接收mkpdu。第二设备105-2可以标识包括在mkpdu中的密钥名称参数，并且可以确定密钥名称参数是否包括新cak指示符。如附图标记
230所示，第二设备105-2可以确定新cak指示符不被包括在密钥名称参数中。第二设备105-2可以基于新cak指示符不被包括在密钥名称参数中来确定不需要改变cak(例如，第二设备105-2可以继续使用基于安全通信会话的当前cak而生成的该密钥集)。
61.如附图标记235所示，第二设备105-2可以向第一设备105-1传输包括当前cak的指示的mkpdu。第二设备105-2可以基于从第一设备105-1接收到mkpdu来向第一设备105-1传输mkpdu。基于第二设备105-2确定不需要改变cak，mkpdu可以包括当前cak的指示。
62.在一些实现中，第二设备105-2可以确定需要改变cak。在一些实现中，第二设备105-2可以基于改变cak事件的发生来确定需要改变cak，如下面更详细描述的。在这些实现中，第二设备105-2可以从cak数据库215选择新cak，并且由第二设备105-2传输给第一设备105-1的mkpdu可以包括当前cak的指示、新cak指示符、以及由第二设备105-2选择的新cak的指示，如本文中的其他地方更详细描述的。
63.在一些实现中，第一设备105-1可以确定改变cak事件的发生。在一些实现中，改变cak事件的发生可以对应于时间段的到期。例如，第一设备105-1可以基于成功地协商cak和/或建立安全通信会话来发起定时器。定时器可以被设置为初始值。在一些实现中，初始值可以是预先配置的值。在一些实现中，初始值可以由第一设备105-1随机选择。
64.第一设备105-1可以周期性地(例如，每秒)使定时器的值递减。第一设备105-1可以基于定时器的值等于0来确定改变cak事件的发生。第一设备105-1可以基于改变cak事件的发生来确定需要使当前cak改变为新cak。
65.第一设备105-1可以从cak数据库210选择新cak(例如，cak4，如图2中所示)。在一些实现中，第一设备105-1可以从cak数据库210随机选择新cak。在一些实现中，第一设备105-1可以基于一个或多个选择标准来选择新cak。例如，相对于与多个cak中的其他cak相关联的密钥标识符，第一设备105-1可以确定多个cak中的与这样的密钥标识符相关联的cak，该密钥标识符对应于最高值、最低值、或者与对应于与当前cak相关联的密钥标识符的值最接近的值等。
66.如附图标记240所示，第一设备105-1可以向第二设备105-2传输mkpdu。mkpdu可以是由第一设备105-1传输到第二设备105-2的周期性mkpdu中的下一mkpdu。mkpdu可以包括当前cak(例如，第一cak)的指示、新cak指示符和新cak(例如，cak4，如图2中所示)的指示。
67.在一些实现中，mkpdu可以包括密钥名称参数，该密钥名称参数包括当前cak的指示、新cak指示符和/或新cak的指示。新cak指示符可以包括特定数据串。例如，新cak指示符可以包括一个或多个预定字母、字符和/或数字的字符串。在一些实现中，新cak指示符可以包括预定字符，诸如井号(#)、美元符号($)、星号(*)或和号(@)等。
68.在一些实现中，新cak的指示可以紧跟新cak指示符。新cak的指示可以包括与新cak相关联的密钥标识符(例如，id：4，如图2中所示)、与新cak相关联的密钥名称(例如，key：4444，如图2中所示)、和/或唯一地标识新cak的其他数据。
69.在一些实现中，新cak指示符和新cak的指示可以附加到当前cak的指示的端部处。例如，当前cak的指示可以包括与当前cak相关联的密钥名称和一定数量的填充。新cak指示符和新cak的指示可以替换该一定数量的填充的部分或全部。
70.在一些实现中，该一定数量的填充可能不够。例如，新cak指示符的长度和新cak的指示可能大于该一定数量的填充，或者密钥名称参数可能不包括填充。在这些实现中，新
cak指示符和新cak的指示可以替换当前cak的指示的部分(或者，全部)。
71.第二设备105-2可以从第一设备105-1接收mkpdu。如附图标记245所示，第二设备105-2可以确定新cak指示符被包括在mkpdu中。第二设备105-2可以标识紧跟新cak指示符的数据串。第二设备105-2可以基于数据串跟随新cak指示符来确定所标识的数据串对应于与新cak相关联的指示符(例如，与新cak相关联的密钥标识符和/或密钥名称)。
72.第二设备105-2可以基于与新cak相关联的指示符来确定新cak是否被包括在cak数据库215中。在一些实现中，第二设备105-2可以确定新cak被包括在cak数据库215中，并且第二设备105-2可以执行一个或多个动作，如上面关于图1描述的。
73.在一些实现中，如附图标记250所示，第二设备105-2可以确定新cak不被包括在cak数据库215中。第一设备105-1可以生成包括当前cak的指示(而不是新cak(例如，cak4)的指示)的mkpdu。以这种方式，第二设备105-2可以向第一设备105-1指示第二设备105-2不能使用由第一设备105-1选择的新cak。如附图标记255所示，第二设备105-2可以向第一设备105-1传输mkpdu，该mkpdu包括当前cak(例如，cak1，如示出的)的指示。
74.在一些实现中，第二设备105-2可以基于由第一设备105-1选择的新cak不被包括在cak数据库215中而从cak数据库215选择新cak。在这些实现中，由第二设备105-2传输给第一设备105-1的mkpdu可以包括当前cak的指示、新cak指示、以及由第二设备105-2选择的新cak的指示，如本文中的其他地方更详细描述的。
75.在一些实现中，第一设备105-1可以接收mkpdu，并且可以确定mkpdu不包括由第一设备105-1选择的新cak的指示和/或区段mkpdu包括当前cak(例如，cak1)的指示。在一些实现中，第一设备105-1可以尝试将cak改变为新cak一定次数(例如，两次、三次或四次等)。例如，第一设备105-1可以基于从第二设备105-2接收到的mkpdu来传输另一mkpdu，该另一mkpdu包括当前cak的指示、新cak指示符和新cak的指示。
76.在一些实现中，第一设备105-1可以继续传输包括当前cak的指示、新cak指示符和新cak的指示的mkpdu，直到第一设备105-1从第二设备105-2接收到包括新cak的指示的mkpdu为止。在一些实现中，第一设备105-1可以继续传输包括当前cak的指示、新cak指示符和新cak的指示的mkpdu，直到特定数量的mkpdu已被传输到第二设备105-2为止。
77.在一些实现中，第一设备105-1可以基于确定从第二设备105-2接收到的mkpdu不包括新cak的指示和/或确定mkpdu包括当前cak(例如，cak1)的指示来从cak数据库210选择另一新cak。第一设备105-1可以向第二设备105-2传输包括当前cak的指示、新cak指示符和新选择的cak的指示的mkpdu，以尝试将当前cak改变为新选择的cak。
78.在一些实现中，从第二设备105-2接收到的mkpdu可以包括新cak指示符和由第二设备105-2选择的新cak的指示。第一设备105-1可以确定由第二设备105-2选择的新cak是否被包括在cak数据库210中。当由第二设备105-2选择的新cak被包括在cak数据库210中时，第一设备105-1可以传输包括由第二设备105-2选择的新cak的指示的mkpdu，并且可以以类似于本文中的其他地方描述的方式将由第二设备105-2选择的新cak用于通信会话。
79.在一些实现中，第一设备105-1可以基于确定从第二设备105-2接收到的mkpdu不包括新cak的指示和/或确定mkpdu包括当前cak(例如，cak1)的指示来确定继续使用基于当前cak(例如，cak1)而生成的该密钥集。如附图标记260所示，第一设备105-1和第二设备105-2可以使用基于当前cak(例如，cak1)而生成的该密钥集继续执行通信。
80.如上面所描述的，提供图2作为示例。其他示例可以与关于图2描述的不同。提供图2中所示的设备的数目和布置作为示例。在实践中，与图2中所示的相比，可以存在更多的设备、更少的设备、不同的设备或不同地布置的设备。此外，图2中所示的两个或更多个设备可以在单个设备内实现，或者图2中所示的单个设备可以被实现为多个分布式设备。另外地或备选地，图2中所示的设备集(例如，一个或多个设备)可以执行被描述为由图2中所示的另一设备集执行的一个或多个功能。
81.图3是可以在其中实现本文中所描述的系统和/或方法的示例环境300的示图。如图3中所示，环境300可以包括一对设备105(例如，设备105-1和设备105-2，如所示出的)和网络310。环境300的设备可以经由有线连接、无线连接、或者有线与无线连接的组合来互连。
82.在一些实现中，设备105可以包括用户设备105。用户设备可以包括能够接收、生成、存储、处理和/或提供与macsec的随机cak协商相关联的信息的一个或多个设备，如本文中的其他地方所描述的。用户设备可以包括通信设备和/或计算设备。例如，用户设备可以包括无线通信设备、移动电话、用户设备、膝上型计算机、平板计算机、台式计算机、游戏控制台、机顶盒、可穿戴通信设备(例如，智能手表、智能眼镜、头戴式显示器或虚拟现实耳机)或类似类型的设备。
83.在一些实现中，设备105可以包括服务器设备。服务器设备可以包括能够接收、生成、存储、处理、提供和/或路由与macsec的随机cak协商相关联的信息的一个或多个设备，如本文中的其他地方所描述的。服务器设备可以包括通信设备和/或计算设备。例如，服务器设备105可以包括服务器，诸如应用服务器、客户端服务器、网络服务器、数据库服务器、主机服务器、代理服务器、虚拟服务器(例如，在计算硬件上执行)、或者云计算系统中的服务器。在一些实现中，服务器设备105包括在云计算环境中使用的计算硬件。
84.在一些实现中，设备105可以包括网络设备。网络设备可以包括能够以本文中所描述的方式接收、处理、存储、路由和/或提供业务(例如，分组和/或其他信息或元数据)的一个或多个设备。例如，网络设备可以包括路由器，诸如标签交换路由器(lsr)、标签边缘路由器(ler)、入口路由器、出口路由器、提供商路由器(例如，提供商边缘路由器或提供商核心路由器)、虚拟路由器等。另外地或备选地，网络设备可以包括网关、交换机、防火墙、集线器、网桥、反向代理、服务器(例如，代理服务器、云服务器或数据中心服务器)、负载平衡器等。在一些实现中，网络设备可以是在外壳(诸如，机箱)内实现的物理设备。在一些实现中，网络设备可以是由云计算环境或数据中心的一个或多个计算设备实现的虚拟设备。在一些实现中，一组网络设备可以是用于路由业务流通过网络的一组数据中心节点。
85.网络310可以包括一个或多个有线和/或无线网络。例如，网络310可以包括无线广域网(例如，蜂窝网络或公共陆地移动网络)、局域网(例如，有线局域网或无线局域网(wlan)，诸如wi-fi网络)、个域网(例如，bluetooth网络)、近场通信网络、电话网络、专用网络、互联网、和/或这些或其他类型网络的组合。网络310实现环境300的设备之间的通信。
86.提供图3中所示的设备和网络的数目和布置作为示例。在实践中，与图3中所示的相比，可以存在更多的设备和/或网络、更少的设备和/或网络、不同的设备和/或网络、或者不同地布置的设备和/或网络。此外，图3中所示的两个或更多个设备可以在单个设备内实现，或者图3中所示的单个设备可以被实现为多个分布式设备。另外地或备选地，环境300的
设备集(例如，一个或多个设备)可以执行被描述为由环境300的另一设备集执行的一个或多个功能。
87.图4是可以对应于设备105的设备400的示例组件的示图。在一些实现中，设备105包括一个或多个设备400和/或设备400的一个或多个组件。如图4中所示，设备400可以包括总线410、处理器420、存储器430、输入组件440、输出组件450和通信组件460。
88.总线410包括启用设备400的组件之间的有线和/或无线通信的一个或多个组件。总线410可以将图4的两个或更多个组件耦接在一起，诸如经由操作耦接、通信耦接、电子耦接和/或电耦接。处理器420包括中央处理单元、图形处理单元、微处理器、控制器、微控制器、数字信号处理器、现场可编程门阵列、专用集成电路和/或其他类型的处理组件。处理器420以硬件、固件、或者硬件与软件的组合实现。在一些实现中，处理器420包括一个或多个处理器，能够被编程以执行本文中的其他地方描述的一个或多个操作或过程。
89.存储器430包括易失性和/或非易失性存储器。例如，存储器430可以包括随机存取存储器(ram)、只读存储器(rom)、硬盘驱动器和/或另一类型的存储器(例如，闪存、磁存储器和/或光学存储器)。存储器430可以包括内部存储器(例如，ram、rom或硬盘驱动器)和/或可移动存储器(例如，经由通用串行总线连接可移动)。存储器430可以是非暂态计算机可读介质。存储器430存储与设备400的操作有关的信息、指令和/或软件(例如，一个或多个软件应用)。在一些实现中，存储器430包括诸如经由总线410耦接到一个或多个处理器(例如，处理器420)的一个或多个存储器。
90.输入组件440使得设备400能够接收输入，诸如用户输入和/或感测输入。例如，输入组件440可以包括触摸屏、键盘、小键盘、鼠标、按钮、麦克风、开关、传感器、全球定位系统传感器、加速度计、陀螺仪和/或致动器。输出组件450使得设备400能够提供输出，诸如经由显示器、扬声器和/或发光二极管。通信组件460使得设备400能够经由有线连接和/或无线连接与其他设备通信。例如，通信组件460可以包括接收器、发射器、收发器、调制解调器、网络接口卡和/或天线。
91.设备400可以执行本文中所描述的一个或多个操作或过程。例如，非暂态计算机可读介质(例如，存储器430)可以存储供处理器420执行的指令集(例如，一个或多个指令或代码)。处理器420可以执行该指令集以执行本文中所描述的一个或多个操作或过程。在一些实现中，由一个或多个处理器420对该指令集的执行引起一个或多个处理器420和/或设备400执行本文中所描述的一个或多个操作或过程。在一些实现中，使用硬连线电路系统代替指令或与指令结合来执行本文中所描述的一个或多个操作或过程。另外地或备选地，处理器420可以被配置为执行本文中所描述的一个或多个操作或过程。因此，本文中所描述的实现不限于硬件电路系统和软件的任何特定组合。
92.提供图4中所示的组件的数目和布置作为示例。与图4中所示的相比，设备400可以包括更多的组件、更少的组件、不同的组件或不同地布置的组件。另外地或备选地，设备400的组件集(例如，一个或多个组件)可以执行被描述为由设备400的另一组件集执行的一个或多个功能。
93.图5是与用于macsec的随机cak协商的系统和方法相关联的示例过程500的流程图。在一些实现中，图5的一个或多个过程框由网络设备(例如，第一设备105-1)执行。在一些实现中，图5的一个或多个过程框由与网络设备分离或包括网络设备的另一设备或一组
设备执行，诸如另一网络设备(例如，第二设备105-2)。另外地或备选地，图5的一个或多个过程框可以由设备400的一个或多个组件执行，诸如处理器420、存储器430、输入组件440、输出组件450和/或通信组件460。
94.如图5中所示，过程500可以包括基于由网络设备生成的第一密钥集来在网络设备与另一网络设备之间建立安全连接，其中第一密钥集是基于第一cak而生成的且安全连接是基于macsec协议而建立的(框510)。例如，网络设备可以基于由网络设备生成的第一密钥集来在网络设备与另一网络设备之间建立安全连接，其中第一密钥集是基于第一cak而生成的且安全连接是基于macsec协议而建立的，如上面所描述的。
95.如图5中进一步所示，过程500可以包括向另一网络设备传输消息，其中该消息包括第二cak的指示(框520)。例如，网络设备可以向另一网络设备传输消息，其中该消息包括第二cak的指示，如上面所描述的。
96.如图5中进一步所示，过程500可以包括基于第二密钥集来经由安全连接传送数据，其中第二密钥集是基于第二cak人生成的(框530)。例如，网络设备可以基于第二密钥集来经由安全连接传送数据，其中第二密钥集是基于第二cak而生成的，如上面所描述的。
97.过程500可以包括附加实现，诸如下面所描述的和/或结合本文中的其他地方描述的一个或多个其他过程描述的任何单个实现或任何实现组合。
98.在第一实现中，该指示包括后跟与第二cak相关联的标识符的数据模式。
99.在第二实现中，单独地或与第一实现结合，与第二cak相关联的标识符包括以下一项或多项：密钥标识符或密钥名称。
100.在第三实现中，单独地或与第一实现和第二实现中的一个或多个实现结合，该指示还包括与第一cak相关联的标识符。
101.在第四实现中，单独地或与第一实现至第三实现中的一个或多个实现结合，后跟与第二cak相关联的标识符的数据模式位于与第一cak相关联的标识符的端部处。
102.在第五实现中，单独地或与第一实现至第四实现中的一个或多个实现结合，过程500包括接收另一消息，该另一消息包括指示第三cak的信息，从存储多个cak的数据库获得第三cak，基于第三cak来生成第三密钥集，并且基于第三密钥集来经由安全连接传送附加数据。
103.在第六实现中，单独地或与第一实现至第五实现中的一个或多个实现结合，该消息包括第一消息，该方法还包括传输第二消息，所述第二消息包括指示第三cak的信息，基于传输第二消息，接收第三消息，第三消息包括指示第二cak的信息，并且基于包括指示第二cak的信息的第三消息，继续基于第二密钥集来经由安全连接进行通信。
104.尽管图5示出了过程500的示例框，但是在一些实现中，与图5中所示的相比，过程500包括更多的框、更少的框、不同的框或不同地布置的框。另外地或备选地，过程500的两个或更多个框可以并行执行。
105.前述公开提供了说明和描述，但是不旨在穷举或将实现限制为所公开的精确形式。可以根据上述公开进行修改和变化，或者可以从实现的实践获得修改和变化。
106.如本文中所使用的，术语“组件”旨在广义地解释为硬件、固件、或者硬件与软件的组合。显然，本文中所描述的系统和/或方法可以以不同形式的硬件、固件、和/或硬件与软件的组合实现。用于实现这些系统和/或方法的实际专用控制硬件或软件代码不限制实现。
因此，本文中所描述了系统和/或方法的操作和行为而不参考特定软件代码——应当理解，软件和硬件可以用于基于本文中的描述来实现该系统和/或方法。
107.尽管特征的特定组合在权利要求中记载和/或在说明书中公开，但是这些组合并不旨在限制各种实现的公开。事实上，这些特征中的很多特征可以以未在权利要求中具体记载和/或在说明书中公开的方式组合。尽管下面所列出的每个从属权利要求可以直接从属于一个权利要求，但是各种实现的公开包括每个从属权利要求与权利要求集中的每个其他权利要求的组合。如本文中所使用的，提及项目列表中的“至少一个”的短语是指这些项目的任何组合，包括单个成员。例如，“a、b或c中的至少一个”旨在涵盖a、b、c、a-b、a-c、b-c和a-b-c、以及具有多个相同项目的任何组合。
108.本文中所使用的任何元素、动作或指令均不应被解释为关键或必要的，除非明确地如此描述。此外，如本文中所使用的，冠词“一个(a)”和“一个(an)”旨在包括一个或多个项目，并且可以与“一个或多个”互换使用。此外，如本文中所使用的，冠词“该(the)”旨在包括结合冠词“该(the)”引用的一个或多个项目，并且可以与“一个或多个”互换使用。此外，如本文中所使用的，术语“集合(set)”旨在包括一个或多个项目(例如，相关项目、不相关项目、或者相关与不相关项目的组合)，并且可以与“一个或多个”互换使用。如果仅打算使用一项，则使用短语“仅一项(only one)”或类似的语言。此外，如本文中所使用的，术语“具有(has)”、“具有(have)”、“具有(having)”等旨在为开放式术语。此外，除非另有明确说明，否则短语“基于”旨在表示“至少部分基于”。此外，如本文中所使用的，术语“或”在以一系列形式使用时旨在包括在内，并且可以与“和/或”互换使用，除非另有明确说明(例如，如果与“任何一个”或“只有一个”结合使用)。

技术特征：
1.一种方法，包括：由网络设备基于由所述网络设备生成的第一密钥集来在所述网络设备与另一网络设备之间建立安全连接，其中所述第一密钥集是基于第一连通性关联密钥cak而被生成的且所述安全连接是基于媒体访问控制安全macsec协议而被建立的；由所述网络设备向所述另一网络设备传输消息，其中所述消息包括第二cak的指示；以及由所述网络设备基于第二密钥集来经由所述安全连接传送数据，其中所述第二密钥集是基于所述第二cak而被生成的。2.根据权利要求1所述的方法，其中所述指示包括后跟与所述第二cak相关联的标识符的数据模式。3.根据权利要求2所述的方法，其中与所述第二cak相关联的所述标识符包括以下一项或多项：密钥标识符或密钥名称。4.根据权利要求2所述的方法，其中所述指示还包括与所述第一cak相关联的标识符。5.根据权利要求4所述的方法，其中后跟与所述第二cak相关联的所述标识符的所述数据模式位于与所述第一cak相关联的所述标识符的端部处。6.根据权利要求1所述的方法，还包括：接收另一消息，所述另一消息包括指示第三cak的信息；从存储多个cak的数据库获得所述第三cak；基于所述第三cak来生成第三密钥集；以及基于所述第三密钥集来经由所述安全连接传送附加数据。7.根据权利要求1所述的方法，其中所述消息包括第一消息，所述方法还包括：传输第二消息，所述第二消息包括指示第三cak的信息；基于传输所述第二消息，接收第三消息，所述第三消息包括指示所述第二cak的信息；以及基于包括指示所述第二cak的所述信息的所述第三消息，继续基于所述第二密钥集来经由所述安全连接进行传送。8.一种网络设备，包括：一个或多个存储器；以及一个或多个处理器，用以：基于由所述网络设备生成的第一密钥集来在所述网络设备与另一网络设备之间建立安全连接，其中所述第一密钥集是基于第一连通性关联密钥cak而被生成的且所述安全连接是基于媒体访问控制安全macsec协议而被建立的；向所述另一网络设备传输消息，其中所述消息包括第二cak的指示；以及基于第二密钥集来经由所述安全连接传送数据，其中所述第二密钥集是基于所述第二cak而被生成的。9.根据权利要求8所述的网络设备，其中所述指示包括后跟与所述第二cak相关联的标识符的数据模式。10.根据权利要求9所述的网络设备，其中与所述第二cak相关联的所述标识符包括以下一项或多项：密钥标识符或密钥名称。
11.根据权利要求8所述的网络设备，其中所述指示包括与所述第一cak相关联的标识符以及后跟与所述第二cak相关联的标识符的数据模式。12.根据权利要求11所述的网络设备，其中后跟与所述第二cak相关联的所述标识符的所述数据模式位于与所述第一cak相关联的所述标识符的端部处。13.根据权利要求8所述的网络设备，其中所述一个或多个处理器还用以：接收另一消息，所述另一消息包括指示第三cak的信息；从存储多个cak的数据库获得所述第三cak；基于所述第三cak来生成第三密钥集；以及基于所述第三密钥集来经由所述安全连接传送附加数据。14.根据权利要求8所述的网络设备，其中所述消息包括第一消息，并且其中所述一个或多个处理器还用以：传输第二消息，所述第二消息包括指示第三cak的信息；基于传输所述第二消息，接收第三消息，所述第三消息包括指示所述第二cak的信息；以及基于包括指示所述第二cak的所述信息的所述第三消息，继续基于所述第二密钥集来经由所述安全连接进行传送。15.一种存储指令集的非暂态计算机可读介质，所述指令集包括：一个或多个指令，所述一个或多个指令在由网络设备的一个或多个处理器执行时使所述网络设备：基于由所述网络设备生成的第一密钥集来在所述网络设备与另一网络设备之间建立安全连接，其中所述第一密钥集是基于第一连通性关联密钥cak而被生成的并且所述安全连接是基于媒体访问控制安全macsec协议而被建立的；向所述另一网络设备传输消息，其中所述消息包括第二cak的指示；以及基于第二密钥集来经由所述安全连接传送数据，其中所述第二密钥集是基于所述第二cak而被生成的。16.根据权利要求15所述的非暂态计算机可读介质，其中所述指示包括后跟与所述第二cak相关联的标识符的数据模式。17.根据权利要求15所述的非暂态计算机可读介质，其中所述指示包括与所述第一cak相关联的标识符以及后跟与所述第二cak相关联的标识符的数据模式。18.根据权利要求17所述的非暂态计算机可读介质，其中后跟与所述第二cak相关联的所述标识符的所述数据模式位于与所述第一cak相关联的所述标识符的端部处。19.根据权利要求15所述的非暂态计算机可读介质，其中所述一个或多个指令还使所述网络设备：接收另一消息，所述另一消息包括指示第三cak的信息；从存储多个cak的数据库获得所述第三cak；基于所述第三cak来生成第三密钥集；以及基于所述第三密钥集来经由所述安全连接传送附加数据。20.根据权利要求15所述的非暂态计算机可读介质，其中所述消息包括第一消息，并且其中所述一个或多个指令还使所述网络设备：
传输第二消息，所述第二消息包括指示第三cak的信息；基于传输所述第二消息，接收第三消息，所述第三消息包括指示所述第二cak的信息；以及基于包括指示所述第二cak的所述信息的所述第三消息，继续基于所述第二密钥集来经由所述安全连接进行通信。

技术总结
本公开的实施例涉及用于媒体访问控制安全的随机连通性关联密钥协商的系统和方法。在一些实现中，一种网络设备可以基于由该网络设备生成的第一密钥集来在该网络设备与另一网络设备之间建立安全连接，其中第一密钥集是基于第一连通性关联密钥(CAK)而被生成的且安全连接是基于媒体访问控制安全(MACsec)协议而被建立的。该网络设备可以向该另一网络设备传输消息，其中该消息包括第二CAK的指示。该网络设备可以基于第二密钥集来经由安全连接传送数据，其中第二密钥集是基于第二CAK而被生成的。的。的。


技术研发人员：N
受保护的技术使用者：瞻博网络公司
技术研发日：2022.04.28
技术公布日：2023/9/22