加密和解密芯片及其实现加密和加密的方法与流程

本发明涉及一种互联网安全技术领域，尤其涉及一种应用在交换机上的对交换机入口的报文进行加密或者解密的加密和解密芯片。

背景技术：

以太网以其灵活、低成本等特点，已成为当今宽带接入技术的主流，以太网安全也成为人们研究的焦点。在目前较广泛使用的以太网安全技术中，数据加密技术是其基石。

2005年5月公布的IEEE802.1ae介质访问控制安全(MACsec)协议为以太网保护提供了封装和加密框架，它将安全保护集成到有线以外网中，对帧数据进行加密，通过识别局域网上的非授权站点，保护局域网不收被动接线、假冒、中间人以及某些拒绝服务等的攻击，保证了通信安全。

工作在数据链路层中的交换机，为了保证网络信息不被窃取，对进入交换机的报文进行加密和解密的处理，通常的，交换机加密是基于每个端口进行加密和机密的处理，导致交换机开销较大，增加成本。

技术实现要素：

本发明的目的在于克服现有技术的缺陷，提供一种应用在交换机上的加密和解密芯片，只需要一个本发明所述的加密和解密芯片，就能够实现多个端口的加密和解密的处理，无需额外增加加密和解密芯片。

为实现上述目的，本发明提出如下技术方案：一种加密和解密芯片，包括入方向处理模块、调度模块、出方向处理模块，以及802.1ae加密和解密引擎模块，所述调度模块的一端与入方向处理模块相连接，另一端与出方向处理模块相连接，所述802.1ae加密和解密引擎模块的一端与出方向处理模块，另一端与入方向处理模块相连接，所述入方向处理模块、调度模块、出方向处理模块，以及802.1ae加密和解密引擎模块形成一环回回路对报文进行环回处理。

优选地，所述入方向处理模块对报文内容进行查找，获取转发行为和编辑行为。

优选地，所述调度模块对进入调度模块的报文进行队列调度、复制，以及缓冲器管理。

优选地，所述出方向处理模块主要对进入出方向处理模块的报文进行编辑，转发。

优选地，所述802.1ae加密和解密引擎模块对报文进行加密或者解密处理。

一种加密和解密芯片的实现方法，所述方法包括：

S201，待加密的报文，通过入方向处理模块到达802.1ae加密和解密引擎模块实现加密；

S202，待解密的报文，通过入方向处理模块到达802.1ae加密和解密引擎模块块实现解密。

更进一步的，所述加密包括以下步骤：

S301，入方向处理模块对报文进行查表处理，获取所述报文的转发行为和编辑行为，通过调度模块将所述报文送入至出方向处理模块；

S302，所述出方向处理模块根据编辑行为编辑报文，根据转发行为判断所述报文是需要加密，若需要加密，则执行S303～S305，否则，将报文转发出去。

S303，对需要加密的报文，送入802.1ae加密和解密引擎模块进行加密处理，加密后的报文再次送入入方向处理模块。

S304，所述入方向处理模块将加密后的报文通过调度模块再次送入出方向处理模块进行转发；

S305，所述出方向处理模块对加密后的报文直接转发出去。

更进一步的，所述解密包括以下步骤：

S401，入方向处理模块对进入的报文进行判断是否需要解密，若需要则执行S402，否则查找后转发；

S402，通过调度模块和出方向处理模块送入至802.1ae加密和解密引擎模块，进行解密；

S403，解密后的报文送入入方向处理模块，进行查表，通过调度模块，送入至出方向处理模块。

S404，出方向处理模块对报文编辑后转发出去。

优选地，所述出方向模块将报文的出端口信息送入802.1ae加密和解密引擎模块中。

本发明的有益效果是：

本发明所述的应用在交换机上的加密和解密芯片，只需在加密和解密芯片中加入802.1ae加密和解密引擎模块，就能够对报文进行集中处理，对进入加密和解密芯片中的报文进行相应的加密或者解密操作。减少加解密引擎带来的开销、减少成本。

附图说明

图1是本发明的加解密芯片内部逻辑框图示意图；

图2是本发明的加解密芯片实现方法流程图示意图；

图3是本发明的加解密芯片的加密方法流程图示意图；

图4是本发明的加解密芯片的解密方法流程图示意图。

具体实施方式

下面将结合本发明的附图，对本发明实施例的技术方案进行清楚、完整的描述。

本发明所揭示的一种交换机上使用的加密和解密芯片，主要利用802.1ae加密和解密引擎对进入交换机的报文进行加密和解密处理。在交换机上只需要一个本发明所述的加密和解密芯片，就能够支持多个端口的加密和解密的处理，无需额外增加加密和解密芯片。

如图1所示，本发明所述的加密和解密芯片，包括入方向处理模块、调度模块、出方向处理模块，以及802.1ae加密和解密引擎模块，其中，

所述入方向处理模块与调度模块相连接，入方向处理模块对进入的报文进行相应的处理，送入调度模块；

更进一步的，所述入方向处理模块对报文内容进行查找，获取转发行为和编辑行为；

所述调度模块的一端与入方向处理模块相连接，另一端与出方向处理模块相连接，所述调度模块对入方向处理模块处理后的报文做进一步的处理，调度模块处理后的报文送入至出方向处理模块，做后续处理；

更进一步的，所述调度模块对进入调度模块的报文进行队列调度、复制，以及缓冲器管理。

所述出方向处理模块的一端与调度模块相连接，另一端与802.1ae加密和解密模块相连接，所述出方向处理模块对调度模块输出的报文做后续处理，将需要加密或解密的报文送入802.1ae加密和解密模块中进行加密或解密处理，否则，直接转发出去。

更进一步的，所述出方向处理模块对进入出方向处理模块的报文进行编辑，转发。

所述802.1ae加密和解密模块的一端与出方向处理模块相连接，另一端与入方向处理模块相连接，802.1ae加密和解密模块将出方向处理模块中的需要加密或者需要解密的报文，加密或者解密之后直接送入入方向处理模块，入方向处理模块将加密或者解密后的报文进一步处理。

在上述加密和解密芯片中，其工作原理可以理解为：需要解密的报文，经过入方向处理模块后，直接被送入出方向处理模块，出方向处理模块将报文送入802.1ae加密和解密模块进行解密，解密后送入入方向处理模块，入方向处理模块再次送入出方向处理模块，进行转发；需要加密的报文，经过入方向处理模块处理后，送入出方向处理模块，出方向处理模块判断需要加密，则直接送入802.1ae加密和解密引擎模块进行加密，加密后进入入方向处理模块，入方向处理模块再次送入出方向处理模块，进行转发。所述工作原理主要采用环回机制对需要加密或者解密的报文进行处理。

本发明所述的加密和解密芯片，利用802.1ae加密和解密引擎对报文进行解密和解密处理，且只需要一个加密和解密芯片，无需因为端口的增加而增加加密和解密芯片的数量。本发明所述的加密和解密芯片能够代替以太网PHY芯片，并且能够支持光接口加解密。

本发明还提供了一种加密和解密芯片的实现方法，结合图2所示，一种加密和解密芯片加密和解密的实现方法流程图，所述方法具体包括：

S201，待加密的报文，通过入方向处理模块到达加解密模块实现加密；

S202，待解密的报文，通过入方向处理模块到达加解密模块实现解密。

具体的，待加密的报文，也就是需要加密的明文，送入入方向处理模块后，经过入方向处理模块的处理，送入到802.1ae加密和解密引擎模块中，实现对报文的加密，加密后的报文再次送入到入方向处理模块处理。

待解密的报文，送入入方向处理模块处理，处理后的报文送到802.1ae加密和解密引擎模块中进行解密，解密后的报文再次送入到入方向处理模块进行处理。

更进一步的，如图3所示，所述加解密方法中加密方法具体包括：

S301，入方向处理模块对报文进行查表处理，获取所述报文的转发行为和编辑行为，通过调度模块将所述报文送入至出方向处理模块；

S302，所述出方向处理模块根据编辑行为编辑报文，根据转发行为判断所述报文是需要加密，若需要加密，则执行S303～S305，否则，将报文转发出去。

S303，对需要加密的报文，送入802.1ae加密和解密引擎模块进行加密处理，加密后的报文再次送入入方向处理模块；

S304，所述入方向处理模块将加密后的报文通过调度模块再次送入出方向处理模块进行转发；

S305，所述出方向处理模块对加密后的报文直接转发出去。

具体的，明文进入入方向处理模块后首先进行查表，获取后续的转发行为和编辑行为，通过调度模块对报文调度后，送入出方向处理模块。在出方向模块上对报文进行编辑处理，同时判断所述报文是否需要加密处理，报文需要加密处理，此时，通过加密和解密芯片内的特殊通道将报文送入至802.1ae加密和解密引擎模块中，同时把出端口的相关信息送给802.1ae加密和解密引擎模块。在802.1ae加密和解密引擎模块中，根据出端口信息对当前报文做加密处理，加密后的报文通过环回接口再次进入至入方向处理模块，同时把第一次的出端口信息送给入方向处理模块。入方向处理模块收到加密后的报文，根据报文附带的处理信息(出端口相关信息)，可知该报文已经过加密处理，并且加密后的报文无需再执行查表，只需要根据报文附带的处理信息，通过调度模块转发至出方向处理模块，所述出方向处理模块，对加密后的报文从网口正常转发出去。

如图4所示，所述加解密方法中解密方法具体包括：

S401，入方向处理模块对进入的报文进行判断是否需要解密，若需要则执行S402，否则查找后转发；

S402，通过调度模块和出方向处理模块送入至802.1ae加密和解密引擎模块，进行解密；

S403，解密后的报文送入入方向处理模块，进行查表，通过调度模块，送入至出方向处理模块。

S404，出方向处理模块对报文编辑后转发出去。

具体的，入方向处理模块收到已加密的报文，根据入端口的配置，得知此时入方向处理模块收到的是一个已经加密的报文，根据入端口的配置，得知当前报文需要被解密。所以不做任何查表动作，直接送给出方向处理模块。在出方向处理模块中，得知当前报文需要解密，因此送入802.1ae加密和解密引擎模块，相关解密信息通过处理信息一并送入。在802.1ae加密和解密引擎模块中，根据随报文带过来的入端口信息做解密处理，将解密后的明文报文再次环回送给入方向处理模块。入方向处理模块收到这个报文后，可知此报文已经解密，因此对此报文做正常的查表操作，并将其直到送给出方向处理模块。在出方向处理模块中，根据出端口的配置得知当前报文是否需要加密。如果不需要加密，则直接转发出去即可；如果需要加密，则需要重复上述加密的过程。

本发明所述的应用在交换机上的加密和解密芯片，只需在加密和解密芯片中加入802.1ae加密和解密引擎模块，就能够对报文进行集中处理。对进入加密和解密芯片中的报文进行相应的加密或者解密操作。

本发明的技术内容及技术特征已揭示如上，然而熟悉本领域的技术人员仍可能基于本发明的教示及揭示而作种种不背离本发明精神的替换及修饰，因此，本发明保护范围应不限于实施例所揭示的内容，而应包括各种不背离本发明的替换及修饰，并为本专利申请权利要求所涵盖。