[发明专利]一种ISSU过程中MACsec密钥更新方法和装置

说明书

技术领域

本申请涉及通信技术领域，特别涉及一种ISSU过程中MACsec密钥更新方法和装置。

背景技术

媒体访问控制安全（MACsec）定义了一个协议集，用于满足在以太网上传输数据的安全需求。MACsec工作在链路层的媒体访问控制（MAC）子层之上，为逻辑链路控制（Logical Link Control，LLC）子层以及LLC子层之上的协议提供安全的无连接MAC层发送和接收服务，包括用户数据加密、数据帧完整检查及数据源真实性较检。

MACsec可以识别出授权设备发送的报文，并保证数据的机密性，避免处理非授权设备的报文或者非授权设备篡改发送的报文。MACsec使用的安全密钥（SAK）通过MKA协议进行协商生成。在有新成员加入密钥服务器所在的连接集（Connectivity Association，CA）中时，或CA中任一成员的报文编号（Packet Number，PN）的值等于或大于临界值，或者密钥服务器选择一个新的加密套件时，都会新生成一个SAK，并分发给各成员。

当密钥服务器监测到CA中的所有成员均已经可以使用新的SAK进行接收时，密钥服务器可以发起SAK的切换。在老的SAK对应的PN翻转时，进行SAK切换。SAK切换，即各成员设备实际使用的所有编号的SA中的SAK进行轮转切换。

不中断业务升级（In-Service Software Upgrade，ISSU）是一种可靠性高的升级设备启动软件的方式。它通过一系列的方法确保在升级过程中业务不中断或者中断时间较短。其中，软重启ISSU，是在CPU重启前将系统运行数据、配置数据、硬件数据和状态数据等全部保存在内存中，再使用新软件重启CPU，重启期间由转发层面的硬件继续提供转发能力，保持业务不中断。CPU重启后使用上次保存的数据和状态继续运行。对于需要实时和对端交互协议报文来保持连接的会话，则可以通过协议代理进程来确保在软重启升级过程中连接和协议状态不受影响。

软重启ISSU一般是以接口板为单位进行的，软重启过程中由于接口板芯片状态冻结在软重启前的状态，软件重启，无法响应外部变化。也无法响应软件层面的SAK下发，因此一旦PN用尽并且新的SAK未下发时，在密钥服务器切换到新的SAK的情况下，无法正常加解密，导致出现业务转发故障。

发明内容

有鉴于此，本申请提供一种ISSU过程中MACsec密钥更新方法和装置，能够在进行软重启ISSU时循环使用SAK进行加密，保证流量不中断。

为解决上述技术问题，本发明的技术方案是这样实现的：

一种不中断业务升级ISSU过程中媒体接入控制安全MACsec密钥更新方法，应用于包括两个以上成员设备的连接集CA中的任一成员设备上，该成员设备保持实际使用的安全集SA的个数，以及指定编号的各SA对应的安全密钥SAK的内容，与所述CA中的其他成员设备一致，并且若进行SAK切换，将切换前的SAK对应的下一个报文编号nextPN的值设置为初始有效值，所述方法包括：

该成员设备作为密钥服务器，获知该CA中任一成员设备在进行软重启ISSU时，暂停新的SAK的生成；

并且在软重启ISSU过程中，若报文编号PN出现翻转，直接切换到下一个SAK。

一种不中断业务升级ISSU过程中媒体接入控制安全MACsec密钥更新的装置，可应用于包括两个以上成员设备的连接集CA中的任一成员设备上，其特征在于，该设备包括：记录单元和处理单元；

所述记录单元，用于保持实际使用的安全集SA的个数，以及指定编号的各SA中的SAK的内容，与所述CA中的其他成员设备一致，并且若所述处理单元进行SAK切换，将切换前的SAK对应的下一个报文编号nextPN的值设置为初始有效值；

所述处理单元，用于本设备作为密钥服务器，获知该CA中任一成员设备在进行软重启ISSU时，暂停新的SAK的生成；并且在软重启ISSU过程中，若报文编号PN出现翻转，直接切换到下一个SAK。

综上所述，本申请通过密钥服务器在获知CA中任一成员设备在进行软重启ISSU时，暂停新的SAK的生成；并且若PN出现翻转，直接切换到下一个SAK。通过该方法，能够在进行软重启ISSU时循环使用SAK进行加密，保证流量不中断。

附图说明

图1为本发明实施例中ISSU过程中MACsec密钥更新方法流程示意图；

图2为本发明具体实施例中应用于上述技术的装置的结构示意图。

具体实施方式