一種ISSU過程中MACsec密鑰更新方法和設備的製作方法

2023-09-14 05:49:50 1

一種ISSU過程中MACsec密鑰更新方法和設備的製作方法
【專利摘要】本申請公開了一種不中斷業務升級（ISSU）過程中媒體接入控制安全（MACsec）密鑰更新方法，該方法包括：密鑰伺服器在即將進行軟重啟ISSU時，若未安裝新的SAK，則主動觸發新的SAK的生成並下發，在所有成員設備都安裝新的SAK後，再進行軟重啟ISSU。基於同樣的發明構思，本申請還提出一種設備，在進行軟重啟ISSU過程中，可以使用新下發的SAK進行加密，能夠延長不需要軟體幹預的時間，進而保證流量不中斷。
【專利說明】—種ISSU過程中MACsec密鑰更新方法和設備
【技術領域】
[0001]本申請涉及通信【技術領域】，特別涉及一種ISSU過程中MACsec密鑰更新方法和設備。
【背景技術】
[0002]媒體接入控制安全(MACsec)定義了 一個協議集，用於滿足在乙太網上傳輸數據的安全需求。MACsec工作在鏈路層的媒體接入控制(MAC)子層之上，為邏輯鏈路控制(Logical Link Control, LLC)子層以及LLC子層之上的協議提供安全的無連接MAC層發送和接收服務，包括用戶數據加密、數據幀完整檢查及數據源真實性較檢。
[0003]MACsec可以識別出授權設備發送的報文，並保證數據的機密性，避免處理非授權設備的報文或者非授權設備篡改發送的報文。MACsec使用的安全密鑰(SAK)通過MKA協議進行協商生成。在有新成員加入密鑰伺服器所在的連接集(Connectivity Association,CA)中的任一成員的報文編號(Packet Number, PN)的值等於或大於臨界值,或者密鑰伺服器選擇一個新的加密套件時，都會新生成一個SAK，並分發給各成員。
[0004]當密鑰伺服器監測到CA中的所有成員均已經可以使用新的SAK進行接收時，密鑰伺服器可以發起SAK的切換。在老的SAK對應的PN翻轉時，進行SAK切換。SAK切換，即各成員設備實際使用的所有編號的SA中的SAK進行輪轉切換。
[0005]不中斷業務升級(In-Service Software Upgrade, ISSU)是一種可靠性高的升級設備啟動軟體的方式。它通過一系列的方法確保在升級過程中業務不中斷或者中斷時間較短。其中，軟重啟ISSU，是在CPU重啟前將系統運行數據、配置數據、硬體數據和狀態數據等全部保存在內存中，再使用新軟體重啟CPU，重啟期間由轉發層面的硬體繼續提供轉發能力，保持業務不中斷。CPU重啟後使用上次保存的數據和狀態繼續運行。對於需要實時和對端交互協議報文來保持連接的會話，則可以通過協議代理進程來確保在軟重啟升級過程中連接和協議狀態不受影響。
[0006]軟重啟ISSU—般是以接口板為單位進行的，軟重啟過程中由於接口板晶片狀態凍結在軟重啟前的狀態，軟體重啟，無法響應外部變化。也無法響應軟體層面的SAK下發，因此一旦PN用盡並且新的SAK未下發時，在密鑰伺服器切換到新的SAK的情況下，無法正常加解密，導致出現業務轉發故障。

【發明內容】

[0007]有鑑於此，本申請提供一種ISSU過程中MACsec密鑰更新方法，在進行軟重啟ISSU過程中，可以使用新下發的SAK進行加密，能夠延長不需要軟體幹預的時間，進而保證流量不中斷。
[0008]為解決上述技術問題，本發明的技術方案是這樣實現的:
[0009]一種不中斷業務升級ISSU過程中媒體接入控制安全MACsec密鑰更新方法，應用於包括兩個以上成員設備的連接集CA中的任一成員設備上，所述方法包括:[0010]該成員設備作為密鑰伺服器，即將進行軟重啟ISSU時，確定當前是否已安裝新的SAK ;將當前使用的安全密鑰SAK對應的報文編號PN值與臨界值進行比較；
[0011]若確定當前未安裝新的SAK，生成新的SAK並下發給各成員設備進行安裝；
[0012]接收到CA中所有成員設備在安裝新下發的SAK成功時發送的SAK USE參數集時，進行軟重啟ISSU ；
[0013]若確定當前已安裝新的SAK，直接進行軟重啟ISSU。
[0014]一種設備，可應用於包括兩個以上成員設備的連接集CA中的任一成員設備，所述設備包括:確定單元和處理單元；
[0015]所述確定單元，用於本設備作為密鑰伺服器，即將進行軟重啟不中斷業務升級ISSU時，確定當前是否已安裝新的SAK ；
[0016]所述處理單元，用於所述確定單元若確定當前未安裝新的SAK，生成新的SAK並下發給各成員設備進行安裝；接收到CA中所有成員設備在安裝新下發的SAK成功時發送的SAK使用USE參數集時，進行軟重啟ISSU ;若確定當前已安裝新的SAK，直接進行軟重啟ISSU0
[0017]綜上所述，本申請通過密鑰伺服器，在即將進行軟重啟ISSU時，若確定當前未安裝新的SAK，主動觸發新的SAK的生成，並在所有成員設備都安裝新的SAK後，進行軟重啟ISSU0在進行軟重啟ISSU過程中，可以使用新下發的SAK進行加密，能夠延長不需要軟體幹預的時間，進而保證流量不中斷。
【專利附圖】

【附圖說明】
[0018]圖1為實施例一中在ISSU過程中MACsec密鑰更新方法流程示意圖；
[0019]圖2為實施例二中在ISSU過程中MACsec密鑰更新方法流程示意圖
[0020]圖3為本發明具體實施例中應用於上述技術的設備的結構示意圖。
【具體實施方式】
[0021]為使本發明的目的、技術方案及優點更加清楚明白，以下參照附圖並舉實施例，對本發明所述方案作進一步地詳細說明。
[0022]本發明實施例中提出一種ISSU過程中MACsec密鑰更新方法，應用於包括兩個以上成員設備的CA中的任一成員設備上。該成員設備作為密鑰伺服器，在即將進行軟重啟ISSU時，若確定當前未安裝新的SAK，主動觸發新的SAK的生成，並在所有成員設備都安裝新的SAK後，進行軟重啟ISSU。在進行軟重啟ISSU過程中，可以使用新下發的SAK進行加密，能夠延長不需要軟體幹預的時間，進而保證流量不中斷。
[0023]CA由兩個或兩個以上成員設備組成，其中一個成員設備作為密鑰伺服器，其他成員設備作為非密鑰伺服器的成員設備，即普通的成員設備。CA中由密鑰伺服器為各成員設備分發SAK。現有實現中，噹噹前CA中各成員設備之間發送報文使用的SAK對應的PN值達到臨界值時，密鑰伺服器開始生成新的SAK並下發給成員設備。或者，有新的成員設備加入到該CA中，密鑰伺服器會主動生成新的SAK，並下發給各成員設備。
[0024]實施例一
[0025]參見圖1，圖1為實施例一中在ISSU過程中MACsec密鑰更新方法流程示意圖。具體步驟為:
[0026]本步驟101，密鑰伺服器即將進行軟重啟ISSU時，確定當前是否已安裝新的SAK。
[0027]本步驟中確定當前是否已安裝新的SAK，可以有多種實現方法。下面例舉出兩種實現方式:
[0028]第一種，密鑰伺服器確定當前使用的SAK對應的PN值是否小於PN的臨界值，如果是，確定當前未安裝新的SAK ;否則，確定當前已安裝新的SAK。
[0029]其中，PN的臨界值可以與現有協議中規定的臨界值相同，如OxCOOOOOOO，也可以自行進行定義。本實施例中，在PN達到臨界值時，將觸發密鑰伺服器安裝新的SAK。
[0030]第二種，密鑰伺服器讀取當前使用的SAK所屬的SA的下一個SA，根據下一個SA的PN確定是否更新過該下一個SA的SAK。如果更新過。對應的PN為初始有效值；否則，對應的PN為無效值。
[0031]步驟102，該密鑰伺服器若確定當前未安裝新的SAK，生成新的SAK並下發給各成員設備進行安裝。
[0032]如果當前未安裝新的SAK，說明密鑰伺服器還未下發新的，這時，本發明具體實現中，密鑰伺服器會主動生成一個新的SAK並下發給CA中的各成員設備，也包括作為密鑰伺服器的自身。
[0033]CA中的各成員獲得新下發的SAK時，將該新下發的SAK安裝，並且在安裝成功時，並向密鑰伺服器發送SAK USE參數集，描述更新後的新老SAK使用情況。各成員設備安裝新的SAK成功，即可以使用該密鑰進行報文收發。
[0034]各成員設備接收到新的SAK後，進行安裝，以及安裝成功後向密鑰伺服器響應安裝成功的實現，均同現有實現，這裡不再詳細描述。
[0035]各成員設備安裝成功新的SAK時，立即啟用新的SAK進行報文加密，還是待前一SAK對應的PN值達到最大值時，再自動翻轉到新安裝的SAK使用，根據具體使用的硬體實現確定。
[0036]密鑰伺服器將新生成的SAK攜帶在SAK分發參數及中下發給各成員設備，同現有實現。
[0037]步驟103，該密鑰伺服器接收到CA中所有成員設備在安裝新下發的SAK成功時發送的SAK USE參數集時，進行軟重啟ISSU，結束本流程。
[0038]步驟103中，保證CA中所有成員設備都安裝成功新下發的SAK後，進行軟重啟ISSU0在軟重啟ISSU過程中，如果當前SAK對應的PN值已達最大值，通過硬體自動切換為下一個SAK進行使用。
[0039]在實際應用中如果一直接收不到某些成員設備安裝成功新下發的SAK時，也不應該一直等下去，不進行軟重啟ISSU。在具體實現時，可以預設一段時間，如果已過這段預設時間，還是存在某一個或幾個成員設備未響應成功安裝新下發的SAK時，直接進行軟重啟ISSU0具體處理過程如下:
[0040]在步驟102中密鑰伺服器生成新的SAK並下發給各成員設備時，啟動第一定時器。
[0041]如果在該第一定時器定時超時時，未接收到至少一個成員設備在安裝新下發的SAK成功時發送的SAK USE參數集時，直接進行軟重啟ISSU。
[0042]如果由於第一定時器定時時間到時，未接收到某個或幾個成員設備在安裝新下發的SAK成功時發送的SAK USE參數集，而直接進行軟重啟ISSU時，生成日誌，記錄新下發SAK失敗等內容。
[0043]步驟104，該密鑰伺服器若確定當前已安裝新的SAK，直接進行軟重啟ISSU。
[0044]如果當前已安裝新的SAK，說明密鑰伺服器已下發過新的SAK，這時直接進行軟重啟ISSU即可。在軟重啟ISSU過程中，如果當前SAK對應的PN值已達最大值，通過硬體自動切換為下一個SAK進行使用。
[0045]通過實施例一可見，本發明在不需要增加協議報文，完全利用現有協議的機制，密鑰伺服器即將進行軟重啟ISSU時，通過主動觸發新的SAK的生成，延長不需要軟體幹預的時間，從而保證最大可能的軟重啟業務不中斷升級。
[0046]實施例二
[0047]參見圖2，圖2為實施例二中在ISSU過程中MACsec密鑰更新方法流程示意圖。具體步驟為:
[0048]步驟201，成員設備作為非密鑰伺服器的成員設備，即將進行軟重啟ISSU時，確定當前是否已安裝新的SAK。
[0049]本步驟中確定當前是否已安裝新的SAK，可以有多種實現方法。下面例舉出兩種實現方式:
[0050]第一種，成員設備確定當前使用的SAK對應的PN值是否小於PN的臨界值，如果是，確定當前未安裝新的SAK ;否則，確定當前已安裝新的SAK。
[0051]其中，PN的臨界值同現有協議中規定的臨界值，具體為OxCOOOOOOO。
[0052]第二種，成員設備讀取當前使用的SAK所屬的SA的下一個SA,根據下一個SA的PN確定是否更新過該下一個SA的SAK。如果更新過。對應的PN為初始有效值；否則，對應的PN為無效值。
[0053]步驟202，該成員設備若確定當前未安裝新的SAK，向CA中各成員設備發送觸發密鑰伺服器更新SAK的報文。
[0054]本步驟中，所述觸發密鑰伺服器更新SAK的報文為，構造的PN為臨界值的隨機報文；或，使用該CA中的成員設備的ID之外的成員設備ID發送的報文。
[0055]若觸發密鑰伺服器更新SAK的報文為，構造的PN為臨界值的隨機報文，該報文有兩個作用，其一，觸發密鑰伺服器主動生成新的SAK並下發；其二，使各成員設備在隨後發送的報文在該臨界值的基礎上發送。
[0056]對於第二個作用，不影響現有實現。現有實現中在成員設備中接收到比本地使用的PN值大的報文時，也會在接收到的報文的PN值的基礎上發送報文。
[0057]若觸發密鑰伺服器更新SAK的報文為，使用該CA中的成員設備的ID之外的成員設備ID發送的報文。則偽裝為一個新的成員設備加入該CA中，密鑰伺服器會新生成SAK並下發，其他成員設備安裝該SAK後，也會使用該新下發的SAK進行後續的報文收發。
[0058]步驟203，該成員設備接收到密鑰伺服器下發的新的SAK時，安裝該新下發的SAK ；當該新下發的SAK安裝成功時，向密鑰伺服器發送SAK USE參數集，並進行軟重啟ISSU，結束本流程。
[0059]作為非密鑰伺服器的成員設備，只要自身成功安裝密鑰伺服器，並向密鑰伺服器發送SAK USE參數集，描述安裝新下發的SAK後新老SAK的使用情況，之後，就可以直接進入軟重啟ISSU。
[0060]在實際應用中如果一直接收不到密鑰伺服器新下發的SAK時，也不應該一直等下去，不進行軟重啟ISSU。在具體實現時，可以預設一段時間，如果已過這段預設時間，還是未接收到新下發的SAK時，直接進行軟重啟ISSU。具體處理過程如下:
[0061]步驟202中向CA中各成員設備發送觸發密鑰伺服器更新SAK的報文時，啟動第二定時器。
[0062]如果在該第二定時器超時時，還未接收到密鑰伺服器下發的新的SAK時，直接進行軟重啟ISSU。
[0063]如果是這種情況進行軟重啟ISSU，生成日誌，記錄失敗觸發新生成SAK失敗等內容。
[0064]本實施例中的第二定時器與實施例中的第一定時器可以相同，也可以不同，根據使用者具體使用情況進行配置。
[0065]步驟204，該成員設備若確定當前已安裝新的SAK，直接進行軟重啟ISSU。
[0066]通過本發明實施例二可見，本發明在不需要增加協議報文，完全利用現有協議的機制，作為非密鑰伺服器的成員設備在即將進行軟重啟ISSU時，通過構造PN為臨界值的報文，主動觸發密鑰伺服器生成新的SAK，延長不需要軟體幹預的時間，從而保證最大可能的軟重啟業務不中斷升級。
[0067]本發明具體實施例中基於同樣的發明構思，還提出一種設備，可應用為包括兩個以上成員設備的CA中的任一成員設備。參見圖3，圖3為本發明具體實施例中應用於上述技術的設備的結構示意圖。該設備包括:確定單元301和處理單元302。
[0068]確定單元301，用於本設備作為密鑰伺服器，即將進行軟重啟ISSU時，確定當前是否已安裝新的SAK。
[0069]處理單元302，用於確定單元301若確定當前未安裝新的SAK，生成新的SAK並下發給各成員設備進行安裝；接收到CA中所有成員設備在安裝新下發的SAK成功時發送的SAK USE參數集時，進行軟重啟ISSU ;若確定當前已安裝新的SAK，直接進行軟重啟ISSU。
[0070]較佳地，
[0071]處理單元302，進一步用於在生成新的SAK並下發給各成員設備時，啟動第一定時器；如果在該第一定時器定時超時時，未接收到至少一個成員設備在安裝新下發的SAK成功時發送的SAK USE參數集時，直接進行軟重啟ISSU。
[0072]較佳地，
[0073]確定單元301，進一步用於本成員設備作為非密鑰伺服器的成員設備，即將進行軟重啟ISSU時，確定當前是否已安裝新的SAK。
[0074]處理單元302，進一步用於確定單元301若確定當前未安裝新的SAK，向CA中各成員設備發送觸發密鑰伺服器更新SAK的報文；接收到密鑰伺服器下發的新的SAK時，安裝該新下發的SAK ;當該新下發的SAK安裝成功時，向密鑰伺服器發送SAK USE參數集，並進行軟重啟ISSU ;若確定當前已安裝新的SAK，直接進行軟重啟ISSU。
[0075]較佳地，
[0076]確定單元301，具體用於確定當前使用的SAK對應的PN值是否小於PN的臨界值，如果是，確定當前未安裝新的SAK ;否則，確定當前已安裝新的SAK。[0077]較佳地，
[0078]所述觸發密鑰伺服器更新SAK的報文為，構造的PN為臨界值的隨機報文；或，使用該CA中的成員設備的ID之外的成員設備ID發送的報文。較佳地，
[0079]處理單元302，進一步用於在向CA中各成員設備發送觸發密鑰伺服器更新SAK的報文時，啟動第二定時器；如果在該第二定時器超時時，還未接收到密鑰伺服器下發的新的SAK時，直接進行軟重啟ISSU。
[0080]上述實施例的單元可以集成於一體，也可以分離部署；可以合併為一個單元，也可以進一步拆分成多個子單兀。
[0081]綜上所述，本發明具體實施例中在即將進行軟重啟ISSU時，若確定當前未安裝新的SAK，主動觸發新的SAK的生成，並在所有成員設備都安裝新的SAK後，進行軟重啟ISSU。在進行軟重啟ISSU過程中，可以使用新下發的SAK進行加密，能夠延長不需要軟體幹預的時間，進而保證流量不中斷。
[0082]以上所述，僅為本發明的較佳實施例而已，並非用於限定本發明的保護範圍。凡在本發明的精神和原則之內，所作的任何修改、等同替換、改進等，均應包含在本發明的保護範圍之內。
【權利要求】
1.一種不中斷業務升級ISSU過程中媒體接入控制安全MACsec密鑰更新方法，應用於包括兩個以上成員設備的連接集CA中的任一成員設備上，其特徵在於，所述方法包括: 該成員設備作為密鑰伺服器，即將進行軟重啟ISSU時，確定當前是否已安裝新的SAK ； 若確定當前未安裝新的SAK，生成新的SAK並下發給各成員設備進行安裝； 接收到CA中所有成員設備在安裝新下發的SAK成功時發送的SAK USE參數集時，進行軟重啟ISSU ； 若確定當前已安裝新的SAK，直接進行軟重啟ISSU。
2.根據權利要求1所述的方法，其特徵在於，所述生成新的SAK並下發給各成員設備時，所述方法進一步包括:啟動第一定時器； 如果在該第一定時器定時超時時，未接收到至少一個成員設備在安裝新下發的SAK成功時發送的SAK使用USE參數集時，直接進行軟重啟ISSU。
3.根據權利要求1或2所述的方法，其特徵在於， 該成員設備作為非密鑰伺服器的成員設備，即將進行軟重啟ISSU時，確定當前是否已安裝新的SAK ； 若確定當前未安裝新的SAK，向CA中各成員設備發送觸發密鑰伺服器更新SAK的報文； 接收到密鑰伺服器下發的新的SAK時，安裝該新下發的SAK ;當該新下發的SAK安裝成功時，向密鑰伺服器發送.SAK USE參數集，並進行軟重啟ISSU ； 若確定當前已安裝新的SAK，直接進行軟重啟ISSU。
4.根據權利要求3所述的方法，其特徵在於，所述確定當前是否已安裝新的SAK，包括: 確定當前使用的SAK對應的PN值是否小於PN的臨界值，如果是，確定當前未安裝新的SAK ;否則，確定當前已安裝新的SAK。
5.根據權利要求3所述的方法，其特徵在於，所述觸發密鑰伺服器更新SAK的報文為，構造的PN為臨界值的隨機報文；或，使用該CA中的成員設備的ID之外的成員設備ID發送的報文。
6.根據權利要求3所述的方法，其特徵在於，所述向CA中各成員設備發送觸發密鑰伺服器更新SAK的報文時，所述方法進一步包括:啟動第二定時器； 如果在該第二定時器超時時，還未接收到密鑰伺服器下發的新的SAK時，直接進行軟重啟ISSU。
7.一種設備，可應用於包括兩個以上成員設備的連接集CA中的任一成員設備，其特徵在於，所述設備包括:確定單元和處理單元； 所述確定單元，用於本設備作為密鑰伺服器，即將進行軟重啟不中斷業務升級ISSU時，確定當前是否已安裝新的SAK ； 所述處理單元，用於所述確定單元若確定當前未安裝新的SAK，生成新的SAK並下發給各成員設備進行安裝；接收到CA中所有成員設備在安裝新下發的SAK成功時發送的SAK使用USE參數集時，進行軟重啟ISSU ;若確定當前已安裝新的SAK，直接進行軟重啟ISSU。
8.根據權利要求7所述的設備，其特徵在於， 所述處理單元，進一步用於在生成新的SAK並下發給各成員設備時，啟動第一定時器；如果在該第一定時器定時超時時，未接收到至少一個成員設備在安裝新下發的SAK成功時發送的SAK USE參數集時，直接進行軟重啟ISSU。
9.根據權利要求7或8所述的設備，其特徵在於， 所述確定單元，進一步用於本成員設備作為非密鑰伺服器的成員設備，即將進行軟重啟ISSU時，確定當前是否已安裝新的SAK ；； 所述處理單元，進一步用於所述確定單元若確定當前未安裝新的SAK,向CA中各成員設備發送觸發密鑰伺服器更新SAK的報文；接收到密鑰伺服器下發的新的SAK時，安裝該新下發的SAK ;當該新下發的SAK安裝成功時，向密鑰伺服器發送SAKUSE參數集，並進行軟重啟ISSU ;若確定當前已安裝新的SAK，直接進行軟重啟ISSU。
10.根據權利要求9所述的設備，其特徵在於， 所述確定單元，具體用於確定當前使用的SAK對應的PN值是否小於PN的臨界值，如果是，確定當前未安裝新的SAK ;否則，確定當前已安裝新的SAK。
11.根據權利要求9所述的設備，其特徵在於，所述觸發密鑰伺服器更新SAK的報文為，構造的PN為臨界值的隨機報文；或，使用該CA中的成員設備的ID之外的成員設備ID發送的報文。
12.根據權利要求9所述的設備，其特徵在於， 所述處理單元，進一步用於在向CA中各成員設備發送觸發密鑰伺服器更新SAK的報文時，啟動第二定時器；如果在該第二定時器超時時，還未接收到密鑰伺服器下發的新的SAK時，直接進行軟重啟ISSU。
【文檔編號】H04L9/16GK103475465SQ201310409022
【公開日】2013年12月25日 申請日期:2013年9月10日 優先權日:2013年9月10日
【發明者】徐鵬飛 申請人:杭州華三通信技術有限公司