技術領域

本發明涉及網絡通信技術領域，特別涉及一種ISSU軟重啟預處理方法及設備。

背景技術

MACsec(Media?Access?Control?Security，MAC安全)定義了基于IEEE802局域網絡下安全數據通信的方法。MACsec工作在鏈路層的MAC子層之上，可為用戶提供安全的無連接MAC層數據發送和接收服務，包括用戶數據加密、數據幀完整性檢查及數據源真實性校驗。由于MACsec協議只提供了對數據進行封裝和加密的框架，它還需要其他協議來提供密鑰管理、成員認證和授權等功能，因此MACsec密鑰協商(MACsec?Key?Agreement，MKA)協議被制定出來，以滿足MACsec協議對密鑰的相關需求。通過MKA協議報文的交互來發現MACsec成員并協商MACsec密鑰。

CA(Secure?Connectivity?Association，安全連通集)是兩個或兩個以上使用相同密鑰和密鑰算法套件的成員的集合。CA成員稱為CA的參與者。CA參與者使用的密鑰稱為CAK。CAK分為兩種類型，一種是成對CAK(Pairwise?CAK)，另一種是成組CAK(Group?CAK)。由兩個成員組成CA，它們所擁有的CAK稱為成對CAK。由三個或三個以上成員組成CA，它們所擁有的CAK稱為成組CAK。目前，MACsec主要應用在點對點組網的環境中，所以主要使用成對CAK。成對CAK可以是802.1X認證過程中生成的CAK，也可以是用戶配置的預共享密鑰(PSK，Pre-Shared?Key)。如兩者同時存在，優先使用用戶配置的預共享密鑰。

SA(Secure?Association，安全集)是CA參與者之間用于建立安全通道的安全參數集合。一個安全通道中可包含多個SA，每一個SA擁有一個不同的密鑰，這個密鑰稱為SAK。SAK由CAK根據算法推導產生，用于加密安全通道間傳輸的數據。MKA對每一個SAK可加密的報文數有所限制。當使用某SAK加密的報文超過限定的數目后，該SAK會被刷新，否則存在可能被破解的隱患。在10Gbps的鏈路上，SAK最快300秒(此為理論值)刷新一次。

ISSU(In-Service?Software?Upgrade，不中斷業務升級)是一種可靠性高的軟件升級的方式。ISSU主要有三種升級策略：增量升級、軟重啟升級和重啟升級，設備會根據新舊軟件版本差異自動選擇一種升級方式。對于軟重啟升級，為了最大限度的保證用戶流量不中斷，當前MACsec響應ISSU軟重啟升級的方案，在響應了軟重啟預處理時間后，會刷新一次SAK，保證從使用最新的SAK開始軟重啟，但是，從ISSU軟重啟升級方式開始到結束的這段時間，SAK是刷新不了的。

如果ISSU軟重啟過程中，使用該刷新后的SAK加密的報文數目超過閾值，則業務就會中斷。所以，現有為保證業務流量正常，需要用戶選擇在MACsec端口流量較小時進行ISSU操作，這樣，可以延長加密報文達到閾值的時間，從而確保完成ISSU軟重啟時業務不中斷。然而，流量的大小會有突發性的特點，ISSU升級時間也不是能人為控制的，所以，如何解決MACsec響應ISSU軟重啟升級過程中，導致業務中斷的問題，成為業內尤其關注的一個問題。

發明內容

本發明的目的在于提供一種ISSU軟重啟預處理方法及設備，能夠緩解加密報文對PN值消耗增長過快的問題。

為實現上述發明目的，本發明提供了一種不中斷業務升級ISSU軟重啟預處理方法，應用于接口使能了媒體接入控制安全密鑰協商MKA協議的設備上，該設備為成對安全連通集CA中的任一成員設備，該方法包括：

與成對CA的對端設備協商，確認兩端設備都開啟密文和明文同時傳輸策略，且兩端設備所配置的加密策略相同；

將配置的加密策略下發到自身的芯片驅動中的同時，通知對端設備將配置的加密策略下發到自身的芯片驅動中，以使得兩端設備分別根據各自下發的加密策略對具有加密特征的報文進行MACsec加密處理，所述加密策略包括有預設報文特征的加密特征，用于對匹配加密特征的報文進行加密處理。

為實現上述發明目的，本發明還提供了一種成對安全連通集CA成員設備，該設備接口使能媒體接入控制安全密鑰協商MKA協議，該設備包括：

協商單元，用于與成對CA的對端設備協商，確認兩端設備都開啟密文和明文同時傳輸策略，且兩端設備所配置的加密策略相同；