[发明专利]一种防止MACSEC安全通道故障的方法和装置

说明书

一种防止MACSEC安全通道故障的方法和装置，其中，所述方法包括，当安全联通集中的成员在预设时间内没有收到其他成员的MKA会话维持报文时，启用备用安全通道重新建立MACSEC连接。通过所述防止MACSEC安全通道故障的方法和装置可以避免链路故障时导致MACSEC进行SAK密钥切换或重新协商失败。

技术领域

本发明涉及计算机网络通信技术，特别是涉及一种防止MACSEC安全通道故障的方法和装置。

背景技术

随着网络通信技术的飞速发展，其应用领域也逐步向社会生活的各个方面渗透，并影响和改变人们的生产和生活方式。然而计算机网络在便捷人们生活的同时，也带来了一些问题，比如数据安全。数据信息泄露可能发生在网络的任何地方，如数据被未经授权的嗅探链接拦截。因此需要一种方法以保证数据传输的安全性，完整性。

MACSEC(Media Access Control Security，MAC安全)的理念源自于网络上的各个节点形成了一组可信实体。每一个节点可以接收密文和明文，装置协议决定前两者具体该如何处理。通过定义基于IEEE 802局域网络的数据安全通信的方法，MACSEC可为用户提供安全的MAC层数据发送和接收服务，包括用户数据加密、数据帧完整性检查及数据源真实性校验。其通常与802.1X认证框架配合使用，工作在802.1X认证过程成功之后，通过识别出已认证设备发送的报文，并使用MKA(MACSEC Key Agreement，MACSEC密钥协商)协议协商生成的密钥对已认证的用户数据进行加密和完整性检查，避免端口处理未认证设备的报文或者未认证设备篡改的报文。

根据802.1X协议介绍，当如下外界条件发生变化，会触发MACSEC两端节点设备或重新协商：

1.MKA Life Time超时；

2.SAK Life Time超时；

3.本端或者对端MN即将或已经耗尽；

4.本端或者对端PN即将或已经耗尽；

5.对端MI发生变化；

6.用户修改MACSEC desire、MACSEC icv-mode、MACSEC confidentiality-offset等配置；

7.用户修改mka psk；

8.用户修改mka priority；

9.用户执行reset操作。

然而在进行安全关联密钥(Secure Association Key，SAK)的密钥切换或重新协商时，如果进行通信的安全通道(Secure Channel，SC)故障，造成的后果就是重新协商时失败，进而无法进行MACSEC的加解密通信。

发明内容

本发明实施例所要解决的技术问题是链路故障导致MACSEC进行SAK密钥切换或重新协商失败。

为了解决上述问题，本发明实施例提供的技术方案如下：

一种交换机堆叠装置中的报文处理方法，包括：当安全联通集中的成员在预设时间内没有收到其他成员的MKA会话维持报文时，启用备用安全通道重新建立MACSEC连接。

可选的，上述的防止MACSEC安全通道故障的方法中，所述启用备用安全通道重新建立MAC安全协议的连接包括：获取发生连接故障的安全通道的第一端口所对应安全联通集中的安全参数集合；将所述安全参数集合倒换到所述备用安全通道所对应的第二端口上。

可选的，上述的防止MACSEC安全通道故障的方法中，所述获取发生连接故障的安全通道的端口所对应安全联通集中的安全参数集合包括：通过于所述第一端口上使能MACSEC时所获取的SA-index索引MACSEC表项，获取所述安全参数集合。