一种ISSU过程中MACsec密钥更新方法和装置制造方法

一种ISSU过程中MACsec密钥更新方法和装置制造方法
【专利摘要】本申请公开了一种不中断业务升级（ISSU）过程中媒体接入控制安全（MACsec）密钥更新方法，该方法包括：密钥服务器获知该CA中任一成员设备在进行软重启ISSU时，暂停新的SAK的生成；并且在软重启ISSU过程中，若PN出现翻转，直接切换到下一个SAK。基于同样的发明构思，本申请还提出一种装置，能够在进行软重启ISSU时循环使用SAK进行加密，保证流量不中断。
【专利说明】—种ISSU过程中MACsec密钥更新方法和装置
【技术领域】
[0001]本申请涉及通信【技术领域】，特别涉及一种ISSU过程中MACsec密钥更新方法和装置。
【背景技术】
[0002]媒体访问控制安全(MACsec)定义了 一个协议集，用于满足在以太网上传输数据的安全需求。MACsec工作在链路层的媒体访问控制(MAC)子层之上，为逻辑链路控制(Logical Link Control, LLC)子层以及LLC子层之上的协议提供安全的无连接MAC层发送和接收服务，包括用户数据加密、数据帧完整检查及数据源真实性较检。
[0003]MACsec可以识别出授权设备发送的报文，并保证数据的机密性，避免处理非授权设备的报文或者非授权设备篡改发送的报文。MACsec使用的安全密钥(SAK)通过MKA协议进行协商生成。在有新成员加入密钥服务器所在的连接集(Connectivity Association,CA)中时,或CA中任一成员的报文编号(Packet Number, PN)的值等于或大于临界值,或者密钥服务器选择一个新的加密套件时，都会新生成一个SAK，并分发给各成员。
[0004]当密钥服务器监测到CA中的所有成员均已经可以使用新的SAK进行接收时，密钥服务器可以发起SAK的切换。在老的SAK对应的PN翻转时，进行SAK切换。SAK切换，即各成员设备实际使用的所有编号的SA中的SAK进行轮转切换。
[0005]不中断业务升级(In-Service Software Upgrade, ISSU)是一种可靠性高的升级设备启动软件的方式。它通过一系列的方法确保在升级过程中业务不中断或者中断时间较短。其中，软重启ISSU，是在CPU重启前将系统运行数据、配置数据、硬件数据和状态数据等全部保存在内存中，再使用新软件重启CPU，重启期间由转发层面的硬件继续提供转发能力，保持业务不中断。CPU重启后使用上次保存的数据和状态继续运行。对于需要实时和对端交互协议报文来保持连接的会话，则可以通过协议代理进程来确保在软重启升级过程中连接和协议状态不受影响。
[0006]软重启ISSU—般是以接口板为单位进行的，软重启过程中由于接口板芯片状态冻结在软重启前的状态，软件重启，无法响应外部变化。也无法响应软件层面的SAK下发，因此一旦PN用尽并且新的SAK未下发时，在密钥服务器切换到新的SAK的情况下，无法正常加解密，导致出现业务转发故障。

【发明内容】

[0007]有鉴于此，本申请提供一种ISSU过程中MACsec密钥更新方法和装置，能够在进行软重启ISSU时循环使用SAK进行加密，保证流量不中断。
[0008]为解决上述技术问题，本发明的技术方案是这样实现的:
[0009]一种不中断业务升级ISSU过程中媒体接入控制安全MACsec密钥更新方法，应用于包括两个以上成员设备的连接集CA中的任一成员设备上，该成员设备保持实际使用的安全集SA的个数，以及指定编号的各SA对应的安全密钥SAK的内容，与所述CA中的其他成员设备一致，并且若进行SAK切换，将切换前的SAK对应的下一个报文编号nextPN的值设置为初始有效值，所述方法包括:
[0010]该成员设备作为密钥服务器，获知该CA中任一成员设备在进行软重启ISSU时，暂停新的SAK的生成；
[0011]并且在软重启ISSU过程中，若报文编号PN出现翻转，直接切换到下一个SAK。
[0012]一种不中断业务升级ISSU过程中媒体接入控制安全MACsec密钥更新的装置，可应用于包括两个以上成员设备的连接集CA中的任一成员设备上，其特征在于，该设备包括:记录单元和处理单元；
[0013]所述记录单元，用于保持实际使用的安全集SA的个数，以及指定编号的各SA中的SAK的内容，与所述CA中的其他成员设备一致，并且若所述处理单元进行SAK切换，将切换前的SAK对应的下一个报文编号nextPN的值设置为初始有效值；
[0014]所述处理单元，用于本设备作为密钥服务器，获知该CA中任一成员设备在进行软重启ISSU时，暂停新的SAK的生成；并且在软重启ISSU过程中，若报文编号PN出现翻转，直接切换到下一个SAK。
[0015]综上所述，本申请通过密钥服务器在获知CA中任一成员设备在进行软重启ISSU时，暂停新的SAK的生成；并且若PN出现翻转，直接切换到下一个SAK。通过该方法，能够在进行软重启ISSU时循环使用SAK进行加密，保证流量不中断。
【专利附图】

【附图说明】
[0016]图1为本发明实施例中ISSU过程中MACsec密钥更新方法流程示意图；
[0017]图2为本发明具体实施例中应用于上述技术的装置的结构示意图。
【具体实施方式】
[0018]为使本发明的目的、技术方案及优点更加清楚明白，以下参照附图并举实施例，对本发明所述方案作进一步地详细说明。
[0019]本发明实施例中提出一种ISSU过程中MACsec密钥更新方法，应用于包括两个以上成员设备的CA中的任一成员设备上。该成员设备作为密钥服务器，获知该CA中任一成员设备在进行软重启ISSU时，暂停新的SAK的生成；若PN出现翻转，直接切换到下一个SAK。通过该方法，能够在进行软重启ISSU时循环使用SAK进行加密，保证流量不中断。
[0020]CA由两个或两个以上成员设备组成，其中一个成员设备作为密钥服务器，其他成员设备作为非密钥服务器的成员设备，即普通的成员设备。CA中由密钥服务器为各成员设备分发SAK，在分发新的SAK时，同时通知各成员设备该新分发的SAK所属的SA的编号。各成员设备获得新的SAK，以及该SAK所属的SA的编号时，使用该SAK的内容更新对应的SA中的SAK的内容。
[0021]在本发明的具体实现中，需要各成员设备保持实际使用的SA的个数，以及指定编号的各SA中的SAK的内容一致。具体如下:
[0022]目前不同的MACsec硬件支持不同数量的SAjB 2个、4个等。各硬件之间如果想要正常通信，要保持使用的SA的个数相同。如都支持2个，或都支持4个。
[0023]假设该CA中包括两个成员设备，分别为成员设备A和成员设备B，都设置实际使用的SA个数为2个。成员设备A的编号O的SA与成员设备B的编号O的SA中的SAK的内容相同，并且成员设备A的编号I的SA与成员设备B的编号I的SA中SAK对应的内容相同。
[0024]各成员设备保持实际使用的SA中的SAK的一致性的方法可以有以下两种。具体为:
[0025]第一种，当有新成员设备加入时，使用新分发的SAK的内容更新所有实际使用的SA中的SAK的内容；当未有新成员设备加入，且切换到新的SAK时，使用新分发的SAK的内容更新对应的SA中的SAK的内容。
[0026]在有新的成员设备加入CA时，新成员设备会收到密钥服务器分发的SAK，此时，新成员设备将其所有实际使用的SA中的SAK的内容全部设置为新分发的SAK的内容。
[0027]CA中的所有老成员设备，包括密钥服务器本身会感知到PeerList发生变化，即有新的成员设备加入时，同时也会收到密钥服务器新下发的SAK，对于密钥服务器而言，是自己重新生成并下发的SAK，在切换到新的SAK时，将其实际使用的SA中的SAK的内容设置为新分发的SAK的内容。
[0028]该CA中未有新成员设备加入，且在SAK切换时，各成员设备不需要更新其他实际使用的SA中的SAK的内容。
[0029]如当前CA中只有成员设备A和成员设备B，且成员设备A为密钥服务器。实际使用的SA有两个编号O和1，如果各成员设备未感知到有新成员设备加入，且成员设备A分发新的SAK的内容为10，且该SAK所属的SA的编号为1，成员设备A和成员设备B仅更新本地编号为I的SA中的SAK的内容为10。
[0030]如果各成员设备感知到有新的成员设备，如成员设备C加入该CA，作为密钥服务器的成员设备A生成新的SAK，并分发新的SAK的内容，假设成员设备C加入之前的SA的编号为0，则成员设备C分发的SAK所属的SA的编号为1，假设新的SAK的内容为11，成员设备A、成员设备B和成员设备C将编号为O和I的SA中的SAK的内容均更新为11。
[0031]第二种，当切换到新的SAK时，各成员设备使用新分发的SAK的内容更新所有实际使用的SA中的SAK的内容。即不论是否有新的成员设备加入，每次SAK切换时，均更新所有实际使用的SA中的SAK的内容。
[0032]第一种方法，可以避免每次更新所有实际使用的SA中的SAK的内容，第二种方法处理逻辑简单，但都能够使得CA中各成员设备实际使用的SA中的SAK的内容始终一致。在具体实现时，可以选择其中一种实现，也可以使用其他可保证SAK内容一致的实现方法。
[0033]在本发明的具体实现中，若进行SAK切换，无论是正常情况下，还是在软重启ISSU过程中，将切换前的SAK的nextPN的值设置为初始有效值。
[0034]由于必须先将切换前的SAK对应的nextPN的值设置为无效值，才能进行SAK的切换，因此，在需要进行SAK切换前，先将切换前的SAK对应的nextPN的值设置为无效值后，进行SAK的切换，切换SAK后，切换前的SAK的nextPN的值为无效值。而本发明为了在软重启ISSU过程中，直接切换SAK，需要循环使用各SAK，在进行SAK切换后，需要将切换前的SAK的nextPN的值设置为初始有效值。
[0035]假设设备实际支持4个SA，对应4个SAK，分别为SAK0、SAK1、SAK2和SAK3。当需要由SAKl切换到SAK2时，将SAKl对应的nextPN的值设置为无效值后，切换到SAK2，这时，将SAKl对应的nextPN的值设置为初始有效值。
[0036]在软重启ISSU中，自动切换SAK，当再次由SAKO切换到SAKl时，由于SAKl对应的nextPN的值为初始有效值，各成员设备可以继续使用SAKl进行通信。
[0037]对于各SAK对应的nextPN的值进行同样的处理，这样，无论软重启ISSU进行多长时间，本发明的具体实现方式，都能够保使用相同的SAK进行加密通信，保证链路不断流。
[0038]下面结合附图，详细描述本发明如何实现不中断业务升级过程中MACsec密钥更新方法。
[0039]参见图1，图1为本发明实施例中ISSU过程中MACsec密钥更新方法流程示意图。具体步骤为:
[0040]步骤101，CA中的密钥服务器，获知该CA中任一成员设备在进行软重启ISSU时，暂停新的SAK的生成。
[0041]该密钥服务器获知该CA中其他作为非密钥服务器的成员设备在进行软件重启ISSU的方法，包括:
[0042]该成员设备作为密钥服务器，接收到作为非密钥服务器的成员设备发送的其即将进行软重启ISSU的消息时，获知该作为非密钥服务器的成员设备在进行软重启ISSU。
[0043]该成员设备作为密钥服务器，接收到作为非密钥服务器的成员设备发送的其完成软重启ISSU的消息时，确定该作为非密钥服务器的成员设备完成软重启ISSU。
[0044]通常软重启ISSU是以接口板为单位进行的，如果生成新的SAK的功能在密钥服务器的未进行软重启的接口板上进行，若不禁止密钥服务器生成新的SAK，密钥服务器还是会生成新的SAK。因此，在本发明的具体实施例中，在密钥服务器进行软重启ISSU时，禁止生成新的SAK。
[0045]本步骤中，即使某个成员设备当前SAK的PN达到临界值，密钥服务器也不生成或分发新的SAK。
[0046]步骤102，在软重启ISSU过程中，若PN出现翻转，该密钥服务器直接切换到下一个SAK。
[0047]由于本发明实施例的前提是保证了各成员设备上实际使用的SA的个数和SA中的SAK的内容完全一致，因此，自动切换到下一个SAK时，各成员设备之间还是可以使用相同密钥进行加密，进而进行通信。
[0048]并且在切换SAK后，将切换前的SAK的nextPN的值置为初始有效值，这样保证所有SAK的nextPN的值置为初始有效值。在软重启ISSU过程中，循环使用各SAK时，保证能够使用切换后的SAK进行加密并发送报文。
[0049]该密钥服务器，在本设备或其他成员设备完成软重启ISSU时，具体可以通过如下两种方式进行处理:
[0050]第一种，该成员设备作为密钥服务器，在获知进行软重启ISSU的成员设备完成软重启ISSU时，新生成SAK，查询当前使用的SA的编号，根据查询到的SA的编号确定新生成的SAK所属的SA的编号，并将该新生成的SAK，以及确定的该新生成的SAK所属的SA的编号分发给该CA中的成员设备。
[0051 ] 具体实现时，查询当前使用的SA的编号，如果当前使用的SA的编号是I，则确定新生成的SAK所属的SA的编号为2 ;如果当前使用的SA的编号是3，则确定新生成的SAK所属的SA的编号为O。
[0052]第二种，该成员设备作为密钥服务器，在获知进行软重启ISSU的成员设备完成软重启ISSU时，查询当前使用的SA的编号，确定查询到的SA的编号对应的PN是否达到临界值，如果是，新生成SAK，根据查询到的SA的编号确定新生成的SAK所属的SA的编号，并将该新生成的SAK，以及确定的该新生成的SAK所属的SA的编号分发给该CA中的成员设备；否则，等到查询到的SA的编号对应的PN到达临界值时，新生成SAK，根据查询到的SA的编号确定新生成的SAK所属的SA的编号，并将该新生成的SAK，以及确定的该新生成的SAK所属的SA的编号分发给该CA中的成员设备。
[0053]第一种实现方式是软重启ISSU完成时，立即新生成SAK ;第二种实现方式是在当前使用的SA的编号对应的PN达到临界值时，才新生成SAK。
[0054]作为非密钥服务器的成员设备，在即将进行软重启ISSU时，向密钥服务器发送本成员设备即将进行软重启ISSU的消息；在完成软重启ISSU时，向密钥服务器发送本成员设备完成软重启ISSU的消息。
[0055]作为非密钥服务器的成员设备，在进行软重启ISSU过程中，若PN出现翻转，直接切换到下一个SAK。
[0056]当CA中的软重启ISSU完成时，密钥服务器分生成新的SAK时，各成员设备根据本发明具体实施例中保持各SA中的SAK的内容一致的原则，更新SA中的SAK的内容，其他处理过程同现有实现，这里不再详细描述。
[0057]在本发明具体实施例中，CA中任一成员设备在进行软重启ISSU过程中，若PN出现翻转时，通过底层硬件(转发芯片)直接切换到下一个SAK，即通过芯片进行SAK的切换。
[0058]在软重启ISSU重启完成时，读取SA对应的PN时，也在硬件上读取，即在底层的转发芯片上读取，因为，在软重启ISSU完成重启后，软件缓冲中不存在SA的PN。
[0059]本发明具体实施例中基于同样的发明构思，还提出一种不中断业务升级ISSU过程中媒体接入控制安全MACsec密钥更新的装置，可应用于包括两个以上成员设备的CA中的任一成员设备上。参见图2，图2为本发明具体实施例中应用于上述技术的装置的结构示意图。该装置包括:记录单元201和处理单元202。
[0060]记录单元201，用于保持实际使用的安全集SA的个数，以及指定编号的各SA中的SAK的内容，与所述CA中的其他成员设备一致，并且若处理单元202进行SAK切换，将切换前的SAK对应的下一个报文编号nextPN的值设置为初始有效值。
[0061]处理单元202，用于本设备作为密钥服务器，获知该CA中任一成员设备在进行软重启ISSU时，暂停新的SAK的生成；并且在软重启ISSU过程中，若报文编号PN出现翻转，直接切换到下一个SAK。这里，所述的本设备是指该装置所在的成员设备。
[0062]较佳地，
[0063]处理单元202，用于接收到作为非密钥服务器的成员设备发送的其即将进行软重启ISSU的消息，获知该作为非密钥服务器的成员设备在进行软重启ISSU。
[0064]较佳地，
[0065]处理单元202，进一步用于本设备作为密钥服务器，接收到作为非密钥服务器的成员设备发送的其完成软重启ISSU的消息时，确定该作为非密钥服务器的成员设备完成软重启ISSU，并新生成SAK，查询当前使用的SA的编号，根据查询到的SA的编号确定新生成的SAK所属的SA的编号，并将该新生成的SAK，以及确定的该新生成的SAK所属的SA的编号分发给该CA中的成员设备。
[0066]较佳地，
[0067]处理单元202，进一步用于本设备作为密钥服务器，接收到作为非密钥服务器的成员设备发送的其完成软重启ISSU的消息时，确定该作为非密钥服务器的成员设备完成软重启ISSU，并查询当前使用的SA的编号，在查询到的SA的编号对应的PN达到临界值时，新生成SAK，根据查询到的SA的编号确定新生成的SAK所属的SA的编号，并将该新生成的SAK,以及确定的该新生成的SAK所属的SA的编号分发给该CA中的成员设备。
[0068]较佳地，
[0069]处理单元202，进一步用于本设备作为非密钥服务器的成员设备时，在即将进行软重启ISSU时，向密钥服务器发送本成员设备即将进行软重启ISSU的消息；在完成软重启ISSU时，向密钥服务器发送本成员设备完成软重启ISSU的消息；在进行软重启ISSU过程中，若PN出现翻转，通过底层硬件(转发芯片)直接切换到下一个SAK。
[0070]较佳地，
[0071]记录单元201,进一步用于当处理单元202切换到新的SAK时,使用新分发的SAK的内容更新所有实际使用的SA中SAK的内容。
[0072]较佳地，
[0073]记录单元201,进一步用于当感知到有新成员设备加入时,使用新分发的SAK的内容更新所有实际使用的SA中的SAK的内容；当未有新成员设备加入，且切换到新的SAK时，使用新分发的SAK的内容更新对应的SA中的SAK的内容。
[0074]上述实施例的单元可以集成于一体，也可以分离部署；可以合并为一个单元，也可以进一步拆分成多个子单兀。
[0075]综上所述，本发明具体实施例中成员设备作为密钥服务器，在自身进行软重启ISSU过程，或其他成员设备进行软件重启过程中，暂停新的SAK的生成；gPN出现翻转，直接切换到下一个SAK。通过该方法，能够在进行软重启ISSU时循环使用SAK进行加密，保证流量不中断。
[0076]以上所述，仅为本发明的较佳实施例而已，并非用于限定本发明的保护范围。凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。
【权利要求】
1.一种不中断业务升级ISSU过程中媒体接入控制安全MACsec密钥更新方法，应用于包括两个以上成员设备的连接集CA中的任一成员设备上，其特征在于，该成员设备保持实际使用的安全集SA的个数，以及指定编号的各SA对应的安全密钥SAK的内容，与所述CA中的其他成员设备一致，并且若进行SAK切换，将切换前的SAK对应的下一个报文编号nextPN的值设置为初始有效值，所述方法包括:该成员设备作为密钥服务器，获知该CA中任一成员设备在进行软重启ISSU时，暂停新的SAK的生成；并且在软重启ISSU过程中，若报文编号PN出现翻转，直接切换到下一个SAK。
2.根据权利要求1所述的方法，其特征在于，该成员设备获知该CA中其他成员设备在进行软件重启ISSU的方法，包括:该成员设备作为密钥服务器，接收到作为非密钥服务器的成员设备发送的其即将进行软重启ISSU的消息，获知该作为非密钥服务器的成员设备在进行软重启ISSU。
3.根据权利要求1或2所述的方法，其特征在于，所述方法进一步包括:该成员设备作为密钥服务器，接收作为非密钥服务器的成员设备发送的其完成软重启ISSU的消息时，确定该作为非密钥服务器的成员设备完成软重启ISSU ;并新生成SAK，查询当前使用的SA的编号，根据查询到的SA的编号确定新生成的SAK所属的SA的编号，并将该新生成的SAK，以及确定的该新生成的SAK所属的SA的编号分发给该CA中的成员设备。
4.根据权利要求1或2所述的方法，其特征在于，所述方法进一步包括:该成员设备作为密钥服务器，接收作为非密钥服务器的成员设备发送的其完成软重启ISSU的消息时，确定该作为非密钥服务器的成员设备完成软重启ISSU ;并查询当前使用的SA的编号，在查询到的 SA的编号对应的PN达到临界值时，新生成SAK，根据查询到的SA的编号确定新生成的SAK所属的SA的编号，并将该新生成的SAK，以及确定的该新生成的SAK所属的SA的编号分发给该CA中的成员设备。
5.根据权利要求1或2所述的方法，其特征在于，所述方法进一步包括:该成员设备作为非密钥服务器的成员设备，在即将进行软重启ISSU时，向密钥服务器发送本成员设备即将进行软重启ISSU的消息；在完成软重启ISSU时，向密钥服务器发送本成员设备完成软重启ISSU的消息；在进行软重启ISSU过程中，若PN出现翻转，直接切换到下一个SAK。
6.根据权利要求1或2所述的方法，其特征在于，所述保持实际使用的SA的个数，以及指定编号的各SA中的SAK的内容，与所述CA中的其他成员设备一致，包括:当切换到新的SAK时，使用新分发的SAK的内容更新所有实际使用的SA中的SAK的内容。
7.根据权利要求1或2所述的方法，其特征在于，所述保持实际使用的SA的个数，以及指定编号的各SA中的SAK的内容，与所述CA中的其他成员设备一致，包括:当有新成员设备加入时，使用新分发的SAK的内容更新所有实际使用的SA中的SAK的内容；当未有新成员设备加入，且切换到新的SAK时，使用新分发的SAK的内容更新对应的SA中的SAK的内容。
8.一种不中断业务升级ISSU过程中媒体接入控制安全MACsec密钥更新的装置，可应用于包括两个以上成员设备的连接集CA中的任一成员设备上，其特征在于，该设备包括:记录单元和处理单元；所述记录单元，用于保持实际使用的安全集SA的个数，以及指定编号的各SA中的SAK的内容，与所述CA中的其他成员设备一致，并且若所述处理单元进行SAK切换，将切换前的SAK对应的下一个报文编号nextPN的值设置为初始有效值；所述处理单元，用于本设备作为密钥服务器，获知该CA中任一成员设备在进行软重启ISSU时，暂停新的SAK的生成；并且在软重启ISSU过程中，若报文编号PN出现翻转，直接切换到下一个SAK。
9.根据权利要求8所述的装置，其特征在于，所述处理单元，用于接收到作为非密钥服务器的成员设备发送的其即将进行软重启ISSU的消息，获知该作为非密钥服务器的成员设备在进行软重启ISSU。
10.根据权利要求8或9所述的设备，其特征在于，所述处理单元，进一步用于本设备作为密钥服务器，接收到作为非密钥服务器的成员设备发送的其完成软重启ISSU的消息时，确定该作为非密钥服务器的成员设备完成软重启ISSU，并新生成SAK，查询当前使用的SA的编号，根据查询到的SA的编号确定新生成的SAK所属的SA的编号，并将该新生成的SAK，以及确定的该新生成的SAK所属的SA的编号分发给该CA中的成员设·备。
11.根据权利要求8或9所述的装置，其特征在于，所述处理单元，进一步用于本设备作为密钥服务器，接收到作为非密钥服务器的成员设备发送的其完成软重启ISSU的消息时，确定该作为非密钥服务器的成员设备完成软重启ISSU，并查询当前使用的SA的编号，，在查询到的SA的编号对应的PN达到临界值时，新生成SAK，根据查询到的SA的编号确定新生成的SAK所属的SA的编号，并将该新生成的SAK,以及确定的该新生成的SAK所属的SA的编号分发给该CA中的成员设备。
12.根据权利要求8或9所述的装置，其特征在于，所述处理单元，进一步用于本设备作为非密钥服务器的成员设备时，在即将进行软重启ISSU时，向密钥服务器发送本成员设备即将进行软重启ISSU的消息；在完成软重启ISSU时，向密钥服务器发送本成员设备完成软重启ISSU的消息；在进行软重启ISSU过程中，若PN出现翻转，直接切换到下一个SAK。
13.根据权利要求8或9所述的设备，其特征在于，所述记录单元，进一步用于当所述处理单元切换到新的SAK时，使用新分发的SAK的内容更新所有实际使用的SA中SAK的内容。
14.根据权利要求8或9所述的装置，其特征在于，所述记录单元，进一步用于当感知到有新成员设备加入时，使用新分发的SAK的内容更新所有实际使用的SA中的SAK的内容；当未有新成员设备加入，且切换到新的SAK时，使用新分发的SAK的内容更新对应的SA中的SAK的内容。
【文档编号】H04L9/08GK103441840SQ201310366094
【公开日】2013年12月11日 申请日期:2013年8月21日 优先权日:2013年8月21日
【发明者】徐鹏飞 申请人:杭州华三通信技术有限公司