一种issu软重启预处理方法及设备的制作方法
【专利摘要】本发明公开了一种ISSU软重启预处理方法,应用于接口使能了MKA协议的设备上,该设备为成对CA中的任一成员设备,该方法包括:与成对CA的对端设备协商,确认两端设备都开启密文和明文同时传输策略,且两端设备所配置的加密策略相同;将配置的加密策略下发到自身的芯片驱动中的同时,通知对端设备将配置的加密策略下发到自身的芯片驱动中,以使得两端设备分别根据各自下发的加密策略对具有加密特征的报文进行MACsec加密处理,所述加密策略包括有预设报文特征的加密特征,用于对匹配加密特征的报文进行加密处理。本发明还公开了一种成对CA成员设备。能够缓解加密报文对PN值消耗增长过快的问题。
【专利说明】—种ISSU软重启预处理方法及设备
【技术领域】
[0001]本发明涉及网络通信【技术领域】,特别涉及一种ISSU软重启预处理方法及设备。
【背景技术】
[0002]MACsec (Media Access Control Security, MAC 安全)定义了基于 IEEE802 局域网络下安全数据通信的方法。MACsec工作在链路层的MAC子层之上,可为用户提供安全的无连接MAC层数据发送和接收服务,包括用户数据加密、数据帧完整性检查及数据源真实性校验。由于MACsec协议只提供了对数据进行封装和加密的框架,它还需要其他协议来提供密钥管理、成员认证和授权等功能,因此MACsec密钥协商(MACsecKeyAgreement, MKA)协议被制定出来,以满足MACsec协议对密钥的相关需求。通过MKA协议报文的交互来发现MACsec成员并协商MACsec密钥。
[0003]CA (Secure Connectivity Association,安全连通集)是两个或两个以上使用相同密钥和密钥算法套件的成员的集合。CA成员称为CA的参与者。CA参与者使用的密钥称为CAK。CAK分为两种类型,一种是成对CAK (Pairwise CAK),另一种是成组CAK (Group CAK)。由两个成员组成CA,它们所拥有的CAK称为成对CAK。由三个或三个以上成员组成CA,它们所拥有的CAK称为成组CAK。目前,MACsec主要应用在点对点组网的环境中,所以主要使用成对CAK。成对CAK可以是802.1X认证过程中生成的CAK,也可以是用户配置的预共享密钥(PSK,Pre-Shared Key)。如两者同时存在,优先使用用户配置的预共享密钥。
[0004]SA (Secure Association,安全集)是CA参与者之间用于建立安全通道的安全参数集合。一个安全通道中可包含多个SA,每一个SA拥有一个不同的密钥,这个密钥称为SAK。SAK由CAK根据算法推导产生,用于加密安全通道间传输的数据。MKA对每一个SAK可加密的报文数有所限制。当使用某SAK加密的报文超过限定的数目后,该SAK会被刷新,否则存在可能被破解的隐患。在IOGbps的链路上,SAK最快300秒(此为理论值)刷新一次。
[0005]ISSU (In-Service Software Upgrade,不中断业务升级)是一种可靠性高的软件升级的方式。ISSU主要有三种升级策略:增量升级、软重启升级和重启升级,设备会根据新旧软件版本差异自动选择一种升级方式。对于软重启升级,为了最大限度的保证用户流量不中断,当前MACsec响应ISSU软重启升级的方案,在响应了软重启预处理时间后,会刷新一次SAK,保证从使用最新的SAK开始软重启,但是,从ISSU软重启升级方式开始到结束的这段时间,SAK是刷新不了的。
[0006]如果ISSU软重启过程中,使用该刷新后的SAK加密的报文数目超过阈值,则业务就会中断。所以,现有为保证业务流量正常,需要用户选择在MACsec端口流量较小时进行ISSU操作,这样,可以延长加密报文达到阈值的时间,从而确保完成ISSU软重启时业务不中断。然而,流量的大小会有突发性的特点,ISSU升级时间也不是能人为控制的,所以,如何解决MACsec响应ISSU软重启升级过程中,导致业务中断的问题,成为业内尤其关注的一个问题。
【发明内容】
[0007]本发明的目的在于提供一种ISSU软重启预处理方法及设备,能够缓解加密报文对PN值消耗增长过快的问题。
[0008]为实现上述发明目的,本发明提供了一种不中断业务升级ISSU软重启预处理方法,应用于接口使能了媒体接入控制安全密钥协商MKA协议的设备上,该设备为成对安全连通集CA中的任一成员设备,该方法包括:
[0009]与成对CA的对端设备协商,确认两端设备都开启密文和明文同时传输策略,且两端设备所配置的加密策略相同;
[0010]将配置的加密策略下发到自身的芯片驱动中的同时,通知对端设备将配置的加密策略下发到自身的芯片驱动中,以使得两端设备分别根据各自下发的加密策略对具有加密特征的报文进行MACsec加密处理,所述加密策略包括有预设报文特征的加密特征,用于对匹配加密特征的报文进行加密处理。
[0011]为实现上述发明目的,本发明还提供了一种成对安全连通集CA成员设备,该设备接口使能媒体接入控制安全密钥协商MKA协议,该设备包括:
[0012]协商单元,用于与成对CA的对端设备协商,确认两端设备都开启密文和明文同时传输策略,且两端设备所配置的加密策略相同;
[0013]处理单元,用于将配置的加密策略下发到自身的芯片驱动中的同时,通知对端设备将配置的加密策略下发到自身的芯片驱动中,以使得两端设备分别根据各自下发的加密策略对具有加密特征的报文进行MACsec加密处理,所述加密策略包括有预设报文特征的加密特征,用于对匹配加密特征的报文进行加密处理。
[0014]从上述方案可以看出,本发明的成对CA的成员设备在ISSU软重启前,进行ISSU软重启预处理,为两端设备下发配置的加密策略,所述加密策略为报文匹配加密特征,进行MACsec加密转发。这样,不匹配加密特征的报文就不会加密转发,PN值就不会增长,从而缓解加密报文PN编号的增长,最大程度上保证ISSU软重启过程中业务不会因为PN值达到阈值而中断。
【专利附图】
【附图说明】
[0015]图1为本发明实施例提供的ISSU软重启预处理方法的流程示意图。
[0016]图2为本发明实施例成对CA之间进行通信的组网示意图。
[0017]图3为本发明实施例提供的成对CA成员设备的结构示意图。
【具体实施方式】
[0018]为使本发明的目的、技术方案及优点更加清楚明白,以下参照附图并举实施例,对本发明方案作进一步地详细说明。
[0019]本发明对于成对CA的某一成员设备,通过对报文特征进行分类设置,分成需要加密的报文和非加密报文,当该成员设备ISSU软重启开始后,让其MACsec端口只对符合特征的报文加密,不符合特征的报文不加密,每发出一个加密报文,其PN(Packet Number,报文编号)值就加一,当PN值达到阈值时,就说明使用某个SAK加密的报文超过限定的数目,就会新生成一个SAK,但是ISSU软重启过程中,SAK是无法刷新的,所以本发明通过将部分相对不重要的报文不加密转发,来缓解加密报文PN编号的增长,从而尽可能满足ISSU期间无需刷新SAK的限制,最大程度上保证期间业务不中断。
[0020]本发明提出一种ISSU软重启预处理方法,在ISSU软重启预处理之后刷新SAK,开始ISSU软重启。该方法应用于接口使能了 MKA (MACsec Key Agreement,MACsec密钥协商)协议的设备上,该设备为成对CA中的任一成员设备,具体地,如图1所示,本发明实施例提供的ISSU软重启预处理方法的流程示意图包括以下步骤:
[0021]步骤101,与成对CA的对端设备协商,确认两端设备都开启密文和明文同时传输策略,且两端设备所配置的加密策略相同;
[0022]步骤102、将配置的加密策略下发到自身的芯片驱动中的同时,通知对端设备将配置的加密策略下发到自身的芯片驱动中,以使得两端设备分别根据各自下发的加密策略对具有加密特征的报文进行MACsec加密处理。
[0023]其中,加密策略包括有预设报文特征的加密特征,用于对匹配加密特征的报文进行加密处理。具体地,报文的特征可包括:单播、组播、广播、源MAC、目的MAC、协议类型等;将些特征中的一个或者几个的组合作为加密特征;所述加密策略为报文匹配加密特征,进行MACsec加密转发。
[0024]优选地,如果在ISSU软重启预处理前,用户没有自行设置校验模式,两端设备的端口还未处于一致的关闭模式或者检查模式,则在ISSU软重启预处理过程中,将配置的加密策略下发到自身的芯片驱动之前,与对端设备协商MACsec校验模式;
[0025]具体为:在自身端口关闭MACsec校验模式的同时,通知对端设备端口关闭MACsec校验模式;或者,在自身端口开启MACsec检查模式的同时,通知对端设备端口开启MACsec检查模式。
[0026]为清楚说明本发明,下面列举具体场景进行详细说明。图2为本发明实施例成对CA之间进行通信的组网示意图。交换机(Switch) A和交换机B为成对CA,两者之间通过端口 al和端口 bl之间进行报文转发。
[0027]实施例一
[0028]第一步,成对CA设备上都使能了 MKA协议,指的是al和bl端口上配置MACsec加密,说明成对CA设备之间进行通信时,加密转发的报文需要进行MACsec加密,即进行MACsec封装处理后转发到对端。MACsec使用的SAK通过MKA协议进行协商生成。在MACsec封装的安全标识(SecTag)中含有PN值,每发出一个加密报文,其PN值加一,当PN值等于或者大于设定的阈值时,就会新生成一个SAK,但是ISSU软重启过程中,需要保证SAK不刷新,避免造成业务中断,因此本发明的关键在于,抑制PN值消耗增长过快,防止其达到阈值。
[0029]第二步,在交换机A上根据用户需求自行设置加密策略。将该加密策略存储在内存中。例如加密策略为,网络协议类的报文,或者单播报文进行加密转发;不是网络协议类的报文,或者不是单播报文进行明文转发。同时,将交换机B上也设置有与交换机A相同的加密策略。
[0030]当某个业务需要版本更新,或者在不重启设备的情况下快速修复缺陷,交换机需要进行ISSU软重启。当交换机A需要ISSU软重启时,开始进行第三步,ISSU软重启预处理。
[0031]端口 al发送消息通知bl,两端开始协商,若两端都确认开启密文和明文同时传输策略,且加密策略相同,则,
[0032]al关闭MACsec校验模式,同时通知bl关闭MACsec校验模式。目的是为了不对接收的数据帧进行校验,保证明文和密文能同时接收。
[0033]这里,简单介绍一下MACsec校验模式分为三种方式:
[0034]检查模式(check),表示只作校验,但不丢弃非法数据帧;
[0035]关闭模式(disabled),不对接收数据帧进行校验;
[0036]严格校验模式(strict),表示校验接收数据帧,并丢弃非法数据帧。
[0037]本发明为缓解加密报文对PN值消耗增长过快的问题,根据报文的特征设置加密策略,部分报文进行MACsec加密转发,部分报文进行明文转发,所以为了保证明文和密文能同时正确接收,需要在ISSU软重启前,协商MACsec校验模式,确保明文不会被丢弃。根据描述,关闭模式和检查模式,都不会对明文进行丢弃,所以两端设备可以选择关闭模式或者检查模式进行协商,达到MACsec校验模式一致,且明文不会被丢弃的目的。由于关闭模式不会对报文进行校验,全部接收,所以本发明实施例优选为协商MACsec校验模式为关闭模式。因此,自身关闭MACsec校验模式,同时通知对端关闭MACsec校验模式,S卩:不对接收的数据帧进行校验。如果链路之前配置的就是disabled模式则无需改变。因此,需要ISSU软重启的设备,需要在其预处理阶段通知对端先关闭MACsec校验模式,同时本端也关闭。通知方法可以在MKA协议报文交互中携带一个专用通知的类型长度值(TLV)或标志位。可以理解的是,也可以是在升级前,由用户自行设置校验模式,这样在软启动预处理过程中,可不需要在进行校验模式的协商。
[0038]紧接着,端口 al通知对端bl下发之前预设的加密策略到硬件芯片驱动中。同时端口 al也下发相同的加密策略到自身的芯片驱动中。下发在芯片驱动中的加密策略可以通过ACL功能实现。这样,就完成了 ISSU软重启预处理。
[0039]在完成ISSU软重启预处理,ISSU软重启正式开始前,刷新一次SAK,然后正式开始ISSU软重启。在ISSU软重启过程中,就可以根据协商的加密策略与对端进行通信。如果交换机A接收到一个单播报文,则,根据加密策略判断需要进行MACsec加密,则将该单播报文在端口 al进行MACsec封装,其PN值加一,从端口 al转发到对端端口 bl。如果交换机A接收到一个组播报文,则,根据加密策略判断需要进行明文转发,则将该组播报文直接从端口al转发到对端端口 bl。实际上,在加密策略中,携带有需要进行加密的报文的特征,即具有加密特征的报文均需要进行加密处理,而除此之外的报文,则都可以默认为明文处理,即不需要进行加密处理。
[0040]从上述方法可以看出,通过下发加密策略,根据用户需求对报文进行选择性加密,加密报文的PN编号增长会得到一定的抑制,从而保证软重启过程中,PN编号不会达到SAK要刷新的阈值。
[0041]进一步地,在ISSU软重启结束后,该方法进一步包括:交换机A删除自身下发的加密策略,恢复自身端口 al的MACsec校验模式;同时通过端口 al通知对端设备删除自身下发的加密策略,恢复端口 bl的MACsec校验模式。
[0042]实施例二
[0043]为进一步避免加密特征报文流量太大会很快消耗PN的潜在风险,本发明的优选实施例为,对符合加密特征的报文设置流量限速策略,具体实现方案为:[0044]第一步,在成对CA设备交换机A和交换机B上使能MKA协议。
[0045]第二步,在交换机A上设置加密策略和流量限速策略。同时交换机B上也设置有与交换机A相同的加密策略和流量限速策略。
[0046]加密策略仍然沿用实施例一中的加密策略,例如加密策略为,网络协议类的报文,或者单播报文进行加密转发;不是网络协议类的报文,或者不是单播报文进行明文转发。这里,所设置的流量限速策略是针对加密特征报文的,也就是说本实施例中针对网络协议类报文,或者单播报文。具体策略为:根据加密报文的优先级匹配队列,不同队列对应不同的流量限速。例如,单播报文根据报文中所带的VLAN tag确定报文优先级为1,匹配进入O?7队列中的队列1,队列I的流量限速为2000Kbps。这样就会控制整个ISSU期间MACsec端口流量发送限制在一定范围内,超过设置的部分则丢弃。
[0047]当交换机A需要ISSU软重启时,开始进行第三步,ISSU软重启预处理。
[0048]端口 al发送消息通知bl,两端开始协商,若两端都确认开启密文和明文同时传输策略和流量限速策略,且加密策略和流量限速策略相同,则,
[0049]al关闭MACsec校验模式,同时通知bl关闭MACsec校验模式。目的是为了不对接收的数据帧进行校验,保证明文和密文能同时接收。
[0050]紧接着,端口 al通知对端bl下发之前预设的加密策略和流量限速策略到硬件芯片驱动中。同时端口 al也下发相同的加密策略和流量限速策略到自身的芯片驱动中。下发在芯片驱动中的加密策略可以通过ACL功能实现。下发在芯片驱动中的流量限速策略可以通过QoS功能实现。这样,就完成了 ISSU软重启预处理。
[0051 ] 在完成ISSU软重启预处理,ISSU软重启正式开始前,刷新一次SAK,然后正式开始ISSU软重启。在ISSU软重启过程中,就可以根据协商的加密策略和流量限速策略与对端进行通信。如果交换机A接收到一个单播报文,则,根据加密策略判断需要进行MACsec加密,则给该单播报文追加一个加密标识;再根据流量限速策略判断该单播报文VLAN tag优先级为I进入队列1,队列I对应的流量限速为2000Kbps,则将该加密的单播报文以流量限速2000Kbps,然后根据加密标识将该单播报文在端口 al进行MACsec封装,其PN值加一,从端口 al转发到对端端口 bl。如果交换机A接收到一个组播报文,则,根据加密策略判断需要进行明文转发,则将该组播报文直接从端口 al转发到对端端口 bl。
[0052]从上述方法可以看出,通过下发加密策略,根据用户需求对报文进行选择性加密,符合特征的报文按照密文通信,否则按照明文通信,这样加密报文的PN编号增长会得到一定的抑制,从而保证软重启过程中,PN编号不会达到SAK要刷新的阈值。同理,通过下发流量限速策略,就会控制整个ISSU期间MACsec端口流量发送限制在一定范围内,超过设置的部分则丢弃,进一步抑制PN编号的增长。
[0053]进一步地,在ISSU软重启结束后,该方法进一步包括:交换机A删除自身下发的加密策略和流量限速策略,恢复自身端口 al的MACsec校验模式;同时通过端口 al通知对端设备删除自身下发的加密策略和流量限速策略,恢复端口 bl的MACsec校验模式。
[0054]如图3所示,本发明实施例提供的成对CA成员设备,其接口使能了 MKA协议,该设备包括:
[0055]协商单元301,用于与成对CA的对端设备协商,确认两端设备都开启密文和明文同时传输策略,且两端设备所配置的加密策略相同;[0056]处理单元302,用于将配置的加密策略下发到自身的芯片驱动中的同时,通知对端设备将配置的加密策略下发到自身的芯片驱动中,以使得两端设备分别根据各自下发的加密策略对具有加密特征的报文进行MACsec加密处理,所述加密策略包括有预设报文特征的加密特征,用于对匹配加密特征的报文进行加密处理。
[0057]本实施例提供的设备可执行上述方法实施例中的各步骤,来实现ISSU升级的预处理,从而可在升级过程中,不会对业务造成中断,其具体实现过程可参见上述方法实施例的说明,在此不再赘述。
[0058]上述图3所示实施例中,所述协商单元301,还用于将配置的加密策略下发到自身的芯片驱动之前,与对端设备协商MACsec校验模式。
[0059]所述协商单元301在与对端设备协商MACsec校验模式时,具体用于,
[0060]在自身端口关闭MACsec校验模式的同时,通知对端设备端口关闭MACsec校验模式;
[0061]或者,
[0062]在自身端口开启MACsec检查模式的同时,通知对端设备端口开启MACsec检查模式。
[0063]优选地,该设备进一步包括:策略配置单元303,用于对符合加密特征的报文配置流量限速策略;
[0064]所述协商单元301还用于,确认两端设备都开启流量限速策略,且两端设备所配置的流量限速策略相同;
[0065]所述处理单元302还用于,下发加密策略时,还将流量限速策略下发到自身的芯片驱动中,用于根据流量限速策略对符合加密特征的报文进行限速处理。
[0066]在ISSU软重启结束后,所述处理单元302还用于,删除自身下发的加密策略和流量限速策略,恢复自身端口的MACsec校验模式;同时通知对端设备删除自身下发的加密策略和流量限速策略,恢复自身端口的MACsec校验模式。
[0067]以上,仅为本发明的较佳实施例而已,并非用于限定本发明的保护范围。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
【权利要求】
1.一种不中断业务升级ISSU软重启预处理方法,应用于接口使能了媒体接入控制安全密钥协商MKA协议的设备上,该设备为成对安全连通集CA中的任一成员设备,其特征在于,该方法包括: 与成对CA的对端设备协商,确认两端设备都开启密文和明文同时传输策略,且两端设备所配置的加密策略相同; 将配置的加密策略下发到自身的芯片驱动中的同时,通知对端设备将配置的加密策略下发到自身的芯片驱动中,以使得两端设备分别根据各自下发的加密策略对具有加密特征的报文进行MACsec加密处理,所述加密策略包括有预设报文特征的加密特征,用于对匹配加密特征的报文进行加密处理。
2.如权利要求1所述的方法,其特征在于,将配置的加密策略下发到自身的芯片驱动之前,该方法进一步包括:与对端设备协商MACsec校验模式。
3.如权利要求2所述的方法,其特征在于,所述与对端设备协商MACsec校验模式的方法具体为: 在自身端口关闭MACsec校验模式的同时,通知对端设备端口关闭MACsec校验模式; 或者, 在自身端口开启MACsec检查模式的同时,通知对端设备端口开启MACsec检查模式。
4.如权利要求1、2或3所述的方法,其特征在于,该方法进一步包括:对符合加密特征的报文配置流量限速策略; 所述与成对CA的对端设备协商还包括:确认两端设备都开启流量限速策略,且两端设备所配置的流量限速策略相同; 下发加密策略时,还将流量限速策略下发到自身的芯片驱动中,用于根据流量限速策略对符合加密特征的报文进行限速处理。
5.如权利要求4所述的方法,其特征在于,所配置的流量限速策略为:根据加密报文的优先级匹配队列,不同队列对应不同的流量限速。
6.如权利要求5所述的方法,其特征在于,在ISSU软重启结束后,该方法进一步包括:删除自身下发的加密策略和流量限速策略,恢复自身端口的MACsec校验模式;同时通知对端设备删除自身下发的加密策略和流量限速策略,恢复自身端口的MACsec校验模式。
7.一种成对安全连通集CA成员设备,该设备接口使能媒体接入控制安全密钥协商MKA协议,其特征在于,该设备包括: 协商单元,用于与成对CA的对端设备协商,确认两端设备都开启密文和明文同时传输策略,且两端设备所配置的加密策略相同; 处理单元,用于将配置的加密策略下发到自身的芯片驱动中的同时,通知对端设备将配置的加密策略下发到自身的芯片驱动中,以使得两端设备分别根据各自下发的加密策略对具有加密特征的报文进行MACsec加密处理,所述加密策略包括有预设报文特征的加密特征,用于对匹配加密特征的报文进行加密处理。
8.如权利要求7所述的设备,其特征在于,所述协商单元,还用于将配置的加密策略下发到自身的芯片驱动之前,与对端设备协商MACsec校验模式。
9.如权利要求8所述的设备,其特征在于,所述协商单元在与对端设备协商MACsec校验模式时,具体用于,在自身端口关闭MACsec校验模式的同时,通知对端设备端口关闭MACsec校验模式; 或者, 在自身端口开启MACsec检查模式的同时,通知对端设备端口开启MACsec检查模式。
10.如权利要求7、8或9所述的设备,其特征在于,该设备进一步包括:策略配置单元,用于对符合加密特征的报文配置流量限速策略; 所述协商单元还用于,确认两端设备都开启流量限速策略,且两端设备所配置的流量限速策略相同; 所述处理单元还用于,下发加密策略时,还将流量限速策略下发到自身的芯片驱动中,用于根据流量限速策略对符合加密特征的报文进行限速处理。
11.如权利要求10所述的设备,其特征在于,在ISSU软重启结束后,所述处理单元还用于,删除自身下发的加密策略和流量限速策略,恢复自身端口的MACsec校验模式;同时通知对端设备删除自身下发 的加密策略和流量限速策略,恢复自身端口的MACsec校验模式。
【文档编号】H04L9/06GK104022867SQ201410256449
【公开日】2014年9月3日 申请日期:2014年6月10日 优先权日:2014年6月10日
【发明者】王佳炳, 熊志鑫, 戎衍博 申请人:杭州华三通信技术有限公司