一种防止MACSEC安全通道故障的方法和装置与流程

本发明涉及计算机网络通信技术，特别是涉及一种防止macsec安全通道故障的方法和装置。

背景技术

随着网络通信技术的飞速发展，其应用领域也逐步向社会生活的各个方面渗透，并影响和改变人们的生产和生活方式。然而计算机网络在便捷人们生活的同时，也带来了一些问题，比如数据安全。数据信息泄露可能发生在网络的任何地方，如数据被未经授权的嗅探链接拦截。因此需要一种方法以保证数据传输的安全性，完整性。

macsec(mediaaccesscontrolsecurity，mac安全)的理念源自于网络上的各个节点形成了一组可信实体。每一个节点可以接收密文和明文，装置协议决定前两者具体该如何处理。通过定义基于ieee802局域网络的数据安全通信的方法，macsec可为用户提供安全的mac层数据发送和接收服务，包括用户数据加密、数据帧完整性检查及数据源真实性校验。其通常与802.1x认证框架配合使用，工作在802.1x认证过程成功之后，通过识别出已认证设备发送的报文，并使用mka(macseckeyagreement，macsec密钥协商)协议协商生成的密钥对已认证的用户数据进行加密和完整性检查，避免端口处理未认证设备的报文或者未认证设备篡改的报文。

根据802.1x协议介绍，当如下外界条件发生变化，会触发macsec两端节点设备或重新协商：

1.mkalifetime超时；

2.saklifetime超时；

3.本端或者对端mn即将或已经耗尽；

4.本端或者对端pn即将或已经耗尽；

5.对端mi发生变化；

6.用户修改macsecdesire、macsecicv-mode、macsecconfidentiality-offset等配置；

7.用户修改mkapsk；

8.用户修改mkapriority；

9.用户执行reset操作。

然而在进行安全关联密钥(secureassociationkey，sak)的密钥切换或重新协商时，如果进行通信的安全通道(securechannel，sc)故障，造成的后果就是重新协商时失败，进而无法进行macsec的加解密通信。

技术实现要素：

本发明实施例所要解决的技术问题是链路故障导致macsec进行sak密钥切换或重新协商失败。

为了解决上述问题，本发明实施例提供的技术方案如下：

一种交换机堆叠装置中的报文处理方法，包括：当安全联通集中的成员在预设时间内没有收到其他成员的mka会话维持报文时，启用备用安全通道重新建立macsec连接。

可选的，上述的防止macsec安全通道故障的方法中，所述启用备用安全通道重新建立mac安全协议的连接包括：获取发生连接故障的安全通道的第一端口所对应安全联通集中的安全参数集合；将所述安全参数集合倒换到所述备用安全通道所对应的第二端口上。

可选的，上述的防止macsec安全通道故障的方法中，所述获取发生连接故障的安全通道的端口所对应安全联通集中的安全参数集合包括：通过于所述第一端口上使能macsec时所获取的sa-index索引macsec表项，获取所述安全参数集合。

可选的，上述的防止macsec安全通道故障的方法中，所述sa-index为端口号。

可选的，上述的防止macsec安全通道故障的方法中，所述mka会话维持报文为hello报文。

为了解决上述的技术问题，本发明还提供了一种防止macsec安全通道故障的装置，包括：接收单元，用于接收其他安全联通集中成员的mka会话维持报文；连接单元，用于在预设时间内没有收到所述mka会话维持报文时，启用备用安全通道重新建立macsec连接。

可选的，上述的防止macsec安全通道故障的装置中，所述连接单元包括：获取单元，用于获取发生连接故障的安全通道的第一端口所对应安全联通集中的安全参数集合；倒换单元，用于将所述安全参数集合倒换到所述备用安全通道所对应的第二端口上。

可选的，上述的防止macsec安全通道故障的装置中，所述获取单元包括：索引模块，用于通过于所述第一端口上使能macsec时所获取的sa-index索引macsec表项，获取所述安全参数集合。

可选的，上述的防止macsec安全通道故障的装置中，所述sa-index为端口号。

可选的，上述的防止macsec安全通道故障的装置中，所述mka会话维持报文为hello报文。

与现有技术相比，本发明的技术方案具有以下优点：

本发明中，通过为当前使用的安全通道备份一条备用安全通道，使得当网络链路发生故障时，即，当安全联通集中的成员在预设时间内没有收到其他成员的mka会话维持报文时，启用备用安全通道重新建立macsec连接，从而可以切换到备份sc上去，保证双方能在第一时间保持macsec进行sak密钥切换或重新协商，以及后续正常的通信。

附图说明

图1是本发明实施例中一种防止macsec安全通道故障的方法的流程示意图；

图2是本发明实施例中的密钥协商流程示意图。

具体实施方式

在现有技术中，通信双方使用macsec技术来加解密报文实现数据安全，并使用sc作为安全通道来发送数据。当sc发生故障时，如接收端长时间没有收到报文，会触发重新协商机制，但是这并没有解决sc发生链路故障的问题。如果只是在sc中进行sak密钥切换或重新协商，当进行通信的sc故障时，造成的后果就是重新协商失败，进而无法进行加解密通信。可见在现有技术中，还没有一种能够解决因链路故障导致macsec进行sak密钥切换或重新协商失败的解决方案。

本发明实施例中，通过为当前使用的安全通道备份一条备用安全通道，使得当网络链路发生故障时，即，当安全联通集中的成员在预设时间内没有收到其他成员的mka会话维持报文时，启用备用安全通道重新建立macsec连接，从而可以切换到备份sc上去，保证双方能在第一时间保持macsec进行sak密钥切换或重新协商，以及后续正常的通信。

为使本发明的上述目的、特征和优点能够更为明显易懂，下面结合附图对本发明的具体实施例做详细的说明。

本发明实施例的一种防止macsec安全通道故障的方法，可以适用于任何可以进行macsec网络配置的网络设备中。作为一种示例，本发明实施例以交换机设备作为说明。如图1所示，可以包括如下步骤：

步骤s101，在预设时间内是否收到其他成员的mka会话维持报文。

在switch2switch的模式下，使用macsec技术进行报文的加解密，首先要进行密钥的协商，密钥的协商如图2所示，进行密钥协商有如下的三个步骤：

1.选举keyserver：ca成员之间通过eapol-mka协议报文交互选举出一个keyserver，负责加密套件的选择、密钥管理及分发。安全联通集(secureconnectivityassociation，ca)中的成员可以设置keyserverpriority优先级用于keyserver角色的协商。一般keyserverpriority值越小，优先级越高。如果keyserverpriority相等，则选择安全通道标识(securechannelidentifier，sci)，即mac地址+端口id小的作为keyserver。

2.sak密钥协商：keyserver由ckn和安全连接关联密钥(secureconnectivityassociationkey，cak)计算生成安全关联密钥(secureassociationkey，sak)密钥后，先在本地转发层面安装sak，同时使能允许接收方向数据解密，然后将加密sak通过eapol-mka发布给对端supplicant；supplicant接收到sak解密之后在本地安装，同时使能数据双向收发加解密，接着supplicant再发送消息通知keyserver；keyserver收到消息后，打开发送方向的数据加密，再给supplicant应答一个确认消息；这样ca成员之间完成密钥协商能够开始正常转发数据。

3.会话hello探测：ca成员之间完成密钥协商之后，就进入正常数据转发阶段，成员互发hello报文维护会话状态；mkalifetime内如果收不到hello报文，就会导致sc的切换并且协议重新协商。

在具体实施中，如果ca中的成员未在规定时间内没有收到hello报文，即步骤s101中说明的在预设时间内没有收到其他成员的mka会话维持报文，则可判定sc存在链路故障。

步骤s102，若否，启用备用安全通道重新建立macsec连接。

在具体实施中，所述启用备用安全通道重新建立mac安全协议的连接可以通过自动保护倒换(automaticprotectionswitched，aps)实现。具体来说，所述步骤s102可以包括：

步骤s1021，获取发生连接故障的安全通道的第一端口所对应安全联通集中的安全参数集合；

步骤s1022，将所述安全参数集合倒换到所述备用安全通道所对应的第二端口上。

在具体实施中，可以通过aps实现上述倒换过程，即根据所述工作路径得到出现异常的业务出口，然后根据所述业务出口查找到对应的硬件aps表项，再修改所述硬件aps表项内容触发aps切换，即可实现出现链路故障的工作链路，快速切换至备用安全通道所在的备用链路。

在具体实施中，所述获取发生连接故障的安全通道的端口所对应安全联通集中的安全参数集合包括：通过于所述第一端口上使能macsec时所获取的sa-index索引macsec表项，通过利用该sa-index去索引macsec的相关表项得到加解密的各种参数，如aeskey，ssc，salt，ciphermode，ciphersuite，nextpn，lowestpn等等。得到所述安全参数集合中的这些加解密参数后，即可通过所述备用安全通道对报文进行加解密操作，实现macsec网络的正常通信。

在具体实施中，所述sa-index可以是端口号。

在现有技术中，如果是通过硬件切换，芯片里有一个表项nextpn专门对进来的报文做加一计数操作，即进来一个报文，nextpn就加一，当nextpn超过芯片设置的预设值threshold时，芯片就会自动切换关联编号(associationnumber，an)。而如果是通过软件切换实现的，当nextpn超过芯片设置的threshold的时候，芯片会会将消息上报cpu，则由相应软件进行切换an。然而上述方式都是针对链路正常的情况下才能实施的方案，如果是在链路出现故障的情况下，则无法实现。

而aps技术可以很好的解决这样的问题，根据aps特有的保护倒换机制，为当前sc预留一条备份sc，当当前sc发生故障，可以切换到备份sc上去，保证双方能在第一时间保持正常通信。

本发明实施例还公开了一种防止macsec安全通道故障的装置。所述防止macsec安全通道故障的装置可以包括：

接收单元，用于接收其他安全联通集中成员的mka会话维持报文；

在switch2switch的模式下，使用macsec技术进行报文的加解密，首先要进行密钥的协商，进行密钥协商有如下的三个步骤：

1.选举keyserver：ca成员之间通过eapol-mka协议报文交互选举出一个keyserver，负责加密套件的选择、密钥管理及分发。安全联通集(secureconnectivityassociation，ca)中的成员可以设置keyserverpriority优先级用于keyserver角色的协商。一般keyserverpriority值越小，优先级越高。如果keyserverpriority相等，则选择安全通道标识(securechannelidentifier，sci)，即mac地址+端口id小的作为keyserver。

2.sak密钥协商：keyserver由ckn和安全连接关联密钥(secureconnectivityassociationkey，cak)计算生成安全关联密钥(secureassociationkey，sak)密钥后，先在本地转发层面安装sak，同时使能允许接收方向数据解密，然后将加密sak通过eapol-mka发布给对端supplicant；supplicant接收到sak解密之后在本地安装，同时使能数据双向收发加解密，接着supplicant再发送消息通知keyserver；keyserver收到消息后，打开发送方向的数据加密，再给supplicant应答一个确认消息；这样ca成员之间完成密钥协商能够开始正常转发数据。

3.会话hello探测：ca成员之间完成密钥协商之后，就进入正常数据转发阶段，成员互发hello报文维护会话状态；mkalifetime内如果收不到hello报文，就会导致sc的切换并且协议重新协商。

连接单元，用于在预设时间内没有收到所述mka会话维持报文时，启用备用安全通道重新建立macsec连接。

在具体实施中，如果ca中的成员未在规定时间内没有收到hello报文，即在预设时间内没有收到其他成员的mka会话维持报文，则可判定sc存在链路故障。

在具体实施中，所述连接单元可以包括：

获取单元，用于获取发生连接故障的安全通道的第一端口所对应安全联通集中的安全参数集合；

倒换单元，用于将所述安全参数集合倒换到所述备用安全通道所对应的第二端口上。

在上述的具体实施中，所述获取单元可以包括：索引模块，用于通过于所述第一端口上使能macsec时所获取的sa-index索引macsec表项，获取所述安全参数集合。

在具体实施中，可以通过aps实现上述倒换过程，即根据所述工作路径得到出现异常的业务出口，然后根据所述业务出口查找到对应的硬件aps表项，再修改所述硬件aps表项内容触发aps切换，即可实现出现链路故障的工作链路，快速切换至备用安全通道所在的备用链路。

在具体实施中，所述获取发生连接故障的安全通道的端口所对应安全联通集中的安全参数集合包括：通过于所述第一端口上使能macsec时所获取的sa-index索引macsec表项，通过利用该sa-index去索引macsec的相关表项得到加解密的各种参数，如aeskey，ssc，salt，ciphermode，ciphersuite，nextpn，lowestpn等等。得到所述安全参数集合中的这些加解密参数后，即可通过所述备用安全通道对报文进行加解密操作，实现macsec网络的正常通信。

在上述的具体实施中，所述sa-index可以是端口号。

本发明实施例的一种防止macsec安全通道故障的装置，与本发明实施例的一种防止macsec安全通道故障的方法为基于同一发明构思。关于本实施例的具体方案，可以参照第一实施例和第二实施例的相应内容，此处不再赘述。本领域技术人员可以理解的是，第一实施例和第二实施例中所公开的技术内容均属于本实施例的保护范围之内。

本领域普通技术人员可以理解上述实施例的各种方法中的全部或部分步骤是可以通过程序来指令相关的硬件来完成，该程序可以存储于一计算机可读存储介质中，存储介质可以包括：rom、ram、磁盘或光盘等。

虽然本发明披露如上，但本发明并非限定于此。任何本领域技术人员，在不脱离本发明的精神和范围内，均可作各种更动与修改，因此本发明的保护范围应当以权利要求所限定的范围为准。