一种数据传输的无损切换方法及装置制造方法及图纸

本公开涉及通信技术领域，尤其涉及一种数据传输的无损切换方法及装置。用于解决面向设备点对点模式中，当任一个设备的管理板发生异常时，导致数据报文丢失的问题，该方法为：若第一设备的第一主控管理板发生异常，则启动第一备用管理板进行针对第一主控管理板的替换操作，以及继续基于第一SAK集合通过第一交换板卡，与第二设备进行数据报文的加密传输；在完成替换操作后，与第二设备进行SAK更新协商，得到第二SAK集合，并在确定满足预设条件时，基于第二SAK集合，通过第一交换板卡与第二设备进行数据报文的加密传输；这样，不仅增加了第一设备的容错恢复时间，也实现了在第一设备和第二设备之间的数据报文的无损切换、平滑切换传输。输。输。

【技术实现步骤摘要】
一种数据传输的无损切换方法及装置


[0001]本公开涉及通信
，尤其涉及一种数据传输的无损切换方法及装置。

技术介绍

[0002]媒体访问控制安全(Media Access Control Security，MACsec)是基于IEEE802.1AE和802.1X协议的局域网上的数据安全通信的方法。其中，IEEE802.1AE
‑
2006定义了数据封装、加密和认证的帧格式；802.1X
‑
2010中的MACsec密钥管理(MACsec Key Agreement，MKA)定义了密钥管理协议，提供了点对点(Peer
‑
to
‑
peer)方式的密钥建立机制，以及群组(Group)方式的密钥建立机制。通过使用MKA协商生成的密钥(安全关联密钥(Secure Association Key，SAK))，对已认证的用户数据进行加密和完整性检查，可以避免进行加密数据层传输的设备的端口处理未认证设备的报文，或者，可以避免进行加密数据层传输的设备的端口处理未认证设备篡改的报文。
[0003]已有技术下，为了保证加密数据传输的有效性，通常采用保活机制来确定对端设备是否在线，确定进行数据传输的两个设备之间的安全链接是否通畅。具体的，保活机制是基于一个保活计时器实现的；当计时器被激发，建立有安全链接的两个设备会在预设时间内，各自向对端设备发送一个保活机制报文，当对端设备接收到该保活机制报文时，会发送一个响应消息，用以告知发送端设备间的安全链接正常。/>[0004]然而，假设第一设备和第二设备之间建立有安全链接，当第一设备和第二设备中任一方的管理板出现异常时，会导致通过控制面发送的保活机制报文不能被正常发送或接收，从而导致传输的加密数据报文的丢失。
[0005]例如，第一设备的管理板出现异常，第一设备无法发送保活机制报文，则第二设备接收不到第一设备发送的保活机制报文，若在6秒内第二设备均未接收到第一设备发送的保活机制报文，则第二设备将断开与第一设备的安全链接，并下发指令给交换板卡，以及通过交换板卡删除芯片驱动中的原SAK；但第一设备通过交换板卡对待传输数据报文进行加密和发送，当第一设备的管理板异常，而交换板卡不出现异常时，第一设备仍然可以通过交换板卡基于原SAK，与第二设备进行数据报文的加密传输；由于第二设备已下发指令通过交换板卡删除了原SAK，因此，当第二设备通过交换板卡接收到第一设备发送的数据报文时，由于没有原SAK，无法识别接收到的第一设备发送的数据报文，即将上述加密数据报文判断为未认证设备发送的数据报文，并对上述数据报文进行丢弃处理，从而导致数据报文的丢失。
[0006]综上，需要设计一种新的方法，以解决上述问题。

技术实现思路

[0007]本公开的目的是提供一种数据传输的无损切换方法及装置，用于解决面向设备点到点模式中，当任一个设备的管理板发生异常时，导致数据报文丢失的问题。
[0008]本公开实施例提供的具体技术方案如下：
[0009]第一方面，一种数据传输的无损切换方法，应用于第一设备中，所述第一设备包括：第一交换板卡、第一主控管理板和第一备用管理板，所述方法包括：
[0010]基于第一安全关联密钥SAK集合，通过第一交换板卡与第二设备进行数据报文的加密传输，其中，所述第一SAK集合包含至少一个第一SAK，以及每个第一SAK是通过所述第一主控管理板下发给所述第一交换板卡；
[0011]在与所述第二设备进行数据报文的加密传输过程中，若所述第一主控管理板发生异常，则启动所述第一备用管理板进行针对所述第一主控管理板的替换操作，以及继续基于所述第一SAK集合通过所述第一交换板卡，与所述第二设备进行数据报文的加密传输；
[0012]在完成所述替换操作后，与所述第二设备进行SAK更新协商，得到第二SAK集合，并在确定满足预设条件时，基于所述第二SAK集合，通过所述第一交换板卡与所述第二设备进行数据报文的加密传输，其中，所述第二SAK集合包含至少一个第二SAK，以及每个第二SAK是通过所述第一备用管理板下发给所述第一交换板卡。
[0013]上述方法，由于第一SAK集合包含至少一个第一SAK，因此，在第一备用管理板替换第一主控管理板的过程中，仍基于第一SAK集合，与第二设备进行数据报文的加密传输，可以增加第一设备的容错恢复时间，从而保证了在第一设备和第二设备之间的加密业务的顺畅进行；然后，在完成替换操作后，在确定满足预设条件后，再基于与第二设备进行SAK更新协商得到的第二SAK集合，与第二设备进行数据报文的加密传输，进而实现了在第一设备和第二设备之间通过交换板卡的数据报文的无损切换传输、平滑切换传输。
[0014]可选的，所述基于第一安全关联密钥SAK集合，通过所述第一交换板卡与第二设备进行数据报文的加密传输，包括：
[0015]从密钥认证链表中选择所述第一SAK集合中的一个第一SAK；
[0016]基于选择的所述一个第一SAK，通过所述第一交换板卡与所述第二设备的第二交换板卡进行数据报文的加密传输；
[0017]所述基于所述第二SAK集合，通过所述第一交换板卡与所述第二设备进行数据报文的加密传输，包括：
[0018]从所述密钥认证链表中选择所述第二SAK集合中的一个第二SAK；
[0019]基于选择的所述一个第二SAK，通过所述第一交换板卡与所述第二设备的第二交换板卡进行数据报文的加密传输。
[0020]上述方法，引入密钥认证链表的概念，采用从密钥认证链表中选择第一SAK集合中的一个第一SAK的方案，以实现基于第一SAK集合与第二设备的数据报文的加密传输；或者，采用从密钥认证链表中选择第二SAK集合中的一个第二SAK的方案，以实现基于第二SAK集合与第二设备的数据报文的加密传输。
[0021]可选的，在基于第一安全关联密钥SAK集合，通过所述第一交换板卡与第二设备进行数据报文的加密传输之前，还包括：
[0022]通过所述第一主控管理板，将所述第一SAK集合下发给所述第一交换板卡，并通过所述第一交换板卡存储在所述密钥认证链表中；
[0023]在与所述第二设备进行SAK更新协商，得到第二SAK集合之后，还包括：
[0024]通过所述第一备用管理板，将所述第二SAK集合下发给所述第一交换板卡，并通过所述第一交换板卡存储在所述密钥认证链表中的各个第一SAK之后。
[0025]上述方法，第一设备的密钥认证链表包含的各个第一SAK是通过第一主控管理板下发给第一交换板卡，并通过第一交换板卡存储的，因此，在通过第一交换板卡与第二设备进行数据报文的加密传输时，可以从密钥认证链表中选择第一SAK集合中的一个第一SAK，从而实现基于第一SAK集合与第二设备的加密数据报文的传输。
[0026]相应的，在第一设备通过第一备用管理板得到相应的第二SAK集合之后，也将第二SAK集合下发给第一交换板卡，并通过第一交换板卡存储在密钥认本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种数据传输的无损切换方法，其特征在于，应用于第一设备中，所述第一设备包括：第一交换板卡、第一主控管理板和第一备用管理板，所述方法包括：基于第一安全关联密钥SAK集合，通过所述第一交换板卡与第二设备进行数据报文的加密传输，其中，所述第一SAK集合包含至少一个第一SAK，以及每个第一SAK是通过所述第一主控管理板下发给所述第一交换板卡；在与所述第二设备进行数据报文的加密传输过程中，若所述第一主控管理板发生异常，则启动所述第一备用管理板进行针对所述第一主控管理板的替换操作，以及继续基于所述第一SAK集合通过所述第一交换板卡，与所述第二设备进行数据报文的加密传输；在完成所述替换操作后，与所述第二设备进行SAK更新协商，得到第二SAK集合，并在确定满足预设条件时，基于所述第二SAK集合，通过所述第一交换板卡与所述第二设备进行数据报文的加密传输，其中，所述第二SAK集合包含至少一个第二SAK，以及每个第二SAK是通过所述第一备用管理板下发给所述第一交换板卡。2.如权利要求1所述的方法，其特征在于，所述基于第一安全关联密钥SAK集合，通过所述第一交换板卡与第二设备进行数据报文的加密传输，包括：从密钥认证链表中选择所述第一SAK集合中的一个第一SAK；基于选择的所述一个第一SAK，通过所述第一交换板卡与所述第二设备的第二交换板卡进行数据报文的加密传输；所述基于所述第二SAK集合，通过所述第一交换板卡与所述第二设备进行数据报文的加密传输，包括：从所述密钥认证链表中选择所述第二SAK集合中的一个第二SAK；基于选择的所述一个第二SAK，通过所述第一交换板卡与所述第二设备的第二交换板卡进行数据报文的加密传输。3.如权利要求2所述的方法，其特征在于，在基于第一安全关联密钥SAK集合，通过所述第一交换板卡与第二设备进行数据报文的加密传输之前，还包括：通过所述第一主控管理板，将所述第一SAK集合下发给所述第一交换板卡，并通过所述第一交换板卡存储在所述密钥认证链表中；在与所述第二设备进行SAK更新协商，得到第二SAK集合之后，还包括：通过所述第一备用管理板，将所述第二SAK集合下发给所述第一交换板卡，并通过所述第一交换板卡存储在所述密钥认证链表中的各个第一SAK之后。4.如权利要求2所述的方法，其特征在于，所述从密钥认证链表中选择所述第一SAK集合中的一个第一SAK，包括：若所述第一SAK集合包含多个所述第一SAK，则从所述密钥认证链表中，选择所述第一SAK集合中当前有效的一个第一SAK；所述基于第一SAK集合，通过所述第一交换板卡与第二设备进行数据报文的加密传输，还包括：在确定所述当前有效的一个第一SAK失效时，从所述密钥认证链表中，选择所述第一SAK集合中其他当前有效的一个第一SAK，并基于所述其他当前有效的一个第一SAK，通过所述第一交换板卡与第二设备进行数据报文的加密传输；所述从密钥认证链表中选择所述第二SAK集合中的一个第二SAK，包括：
若所述第二SAK集合包含多个所述第二SAK，则从所述密钥认证链表中，选择所述第二SAK集合中当前有效的一个第二SAK；所述基于第二SAK集合，通过所述第一交换板卡与第二设备进行数据报文的加密传输，还包括：在确定所述当前有效的一个第二SAK失效时，从所述密钥认证链表中，选择所述第二SAK集合中其他当前有效的一个第二SAK，并基于所述其他当前有效的一个第二SAK，通过所述第一交换板卡与所述第二设备进行数据报文的加密传输。5.如权利要求1
‑
4任一项所述的方法，其特征在于，通过以下方式得到所述第一SAK集合：基于连接关联密钥信息，通过所述第一主控管理板得到相应的所述第一SAK集合；所述与所述第二设备进行SAK更新协商，得到第二SAK集合，包括：基于所述连接关联密钥信息，通过所述第一备用管理板得到相应的所述第二SAK集合；其中，所述连接关联密钥信息是用户或加密业务管理服务器为所述第一设备和所述第二设备预先配置的；所述连接关联密钥信息包括安全连接关联密钥CAK和/或安全连接关联密钥名称CAN。6.如权利要求5所述的方法，其特征在于，所述预设条件包括下列中的部分或全部：在完成所述替换操作后，达到第一预设时长；基于所述第一SAK集合，发送的数据报文总量达到预设阈值。7.一种数据传输的无损切换方法，其特征在于，应用于第二设备中，所述第二设备包括第二交换板卡、第二主控管理板和第二备用管理板，所述方法包括：基于第一安全关联密钥SAK集合，通过所述第二交换板卡与第一设备进行数据报文的加密传输，其...

【专利技术属性】
技术研发人员：林晓峰，
申请(专利权)人：锐捷网络股份有限公司，
类型：发明
国别省市：