镜像802.1AE明文和密文的方法及交换芯片与流程

本发明涉及一种网络通信技术领域，尤其是涉及一种灵活镜像802.1AE明文和密文的方法及交换芯片。

背景技术：

MACsec是一个用以保护局域网安全的主要协议，这一协议通过识别局域网上非授信站点来阻止其通信，从而保证网络正常运行，同时还能保护信息完整性和保密信，并减少对二层协议的攻击，很好的保护局域网不受被动接线、假冒、中间人以及部分拒绝任务攻击等袭击。

MACsec可为用户提供安全的MAC层数据发送和接收服务，包括用户数据加密、数据帧完整性校验，使能了MACsec功能且启用了MACsec保护的端口发送数据帧时，需要对它进行加密；使能了MACsec功能的端口收到经过MACsec封装的数据帧时，需要对它进行解密。加解密所使用的秘钥是收发双方通过协议协商得到的。如果收发两端之间存在第三方窃听者，由于窃听得到的是被加密过的数据，所以没法窃取到报文三层及以上的内容，因此安全性得到了保证。

端口镜像是指通过配置交换机或者路由器，把一个或多个端口的数据转发到某一个端口，来实现对网络的监听，端口镜像是对网络流量监控的一个有效的安全手段，对监控流量的分析可以进行安全性的检查，同时也能及时地在网络发生故障时进行准确的定位。

现有技术方案802.1AE加解密模块是在MAC上面实现的，交换机接收到一个802.1AE密文时，在MAC层解密，然后将解密后的明文送进交换机处理芯片；交换机芯片将需要发送出去的报文发送给MAC层，然后MAC层进行加密，最终从交换机发送出去的就是802.1AE密文；

在启用MACsec功能的端口上启用端口镜像功能时，只能镜像出802.1AE密文，不能镜像出明文，或者不能同时镜像出密文和明文。

技术实现要素：

本发明的目的在于克服现有技术的缺陷，提供一种镜像802.1AE明文和密文的方法及交换芯片，所述方法及交换芯片能够镜像出某个端口802.1AE密文或者明文，或者同时密文和明文。

为实现上述目的，本发明提出如下技术方案：一种镜像802.1AE明文和密文的方法，其特征在于，包括如下步骤：

步骤1，启用端口镜像功能，并配置端口镜像模式；

步骤2，判断镜像模式与报文标识符逻辑与运算结果，若结果为非零，则当前报文满足被镜像的条件，则执行镜像操作。

优选地，所述端口镜像模式选自不启用镜像、只镜像明文、只镜像密文，以及同时镜像明文和密文中的一种，其中，

不启用镜像的配置命令为：mirrorMode[1：0]＝2′00；

只镜像明文的配置命令为：mirrorMode[1：0]＝2′01；

只镜像密文的配置命令为：mirrorMode[1：0]＝2′10；

同时镜像明文和密文的配置命令为：mirrorMode[1：0]＝2′11。

优选地，所述报文标识符包括第一报文标识符和第二报文标识符，所述第一报文标识符表示报文是否需要解密，以及是否已完成解密，所述第二报文标识符表示报文是否需要加密，以及是否已完成加密。

优选地，所述第一报文标识符为(1，0)，则报文需要解密，且未完成解密操作；

第一报文标识符为(0，1)，则报文已完成解密，不需要再解密；

第一报文标识符为(0，0)，则报文不需要解密；

第二报文标识符为(0，0)，则报文不需要加密；

第二报文标识符为(0，1)，则报文需要加密，且未完成加密；

第二报文标识符为(1，0)，则报文已完成加密。

实现权镜像802.1AE明文和密文的方法的交换芯片，包括入口处理引擎模块、报文调度引擎模块、出口处理引擎模块，以及802.1AE加密和解密模块，所述报文调度引擎模块的一端与入口处理引擎模块相连接，另一端与出口处理引擎模块相连接，所述802.1AE加密和解密模块的一端与出口处理引擎模块，另一端与入口处理引擎模块相连接，所述入口处理引擎模块、报文调度引擎模块、出口处理引擎模块，以及802.1AE加密和解密模块形成一环回回路对报文进行环回处理。

优选地，所述入口处理引擎模块通过逻辑判断报文信息，用报文标识符表示报文是否需要解密，以及是否已完成解密；

所述出口处理引擎模块通过逻辑判断报文信息，用报文标识符表示报文是否需要加密，以及是否已完成加密。

优选地，所述报文标识符包括第一报文标识符和第二报文标识符，所述入口处理引擎模块通过所述第一报文标识符表示报文是否需要解密，以及是否已完成解密；所述出口处理引擎模块所述第二报文标识符表示报文是否需要加密，以及是否已完成加密。

优选地，所述入口处理引擎模块中，镜像模式和第一标识符逻辑与运算的结果为非零，则作镜像操作；所述出口处理引擎模块中，镜像模式和第二报文标识符的逻辑与运算结果为非零，则执行镜像操作。

优选地，所述第一报文标识符为(1，0)，则报文需要解密，且未完成解密操作；

第一报文标识符为(0，1)，则报文已完成解密，不需要再解密；

第一报文标识符为(0，0)，则报文不需要解密；

第二报文标识符为(0，0)，则报文不需要加密；

第二报文标识符为(0，1)，则报文需要加密，且未完成加密；

第二报文标识符为(1，0)，则报文已完成加密。

本发明的有益效果是：

本发明所述的镜像802.1AE明文和密文的方法及交换芯片，功能灵活，应用于不同需求的场景，所述交换机芯片能够感知当前处理的报文是明文还是密文，结合配置的镜像模式，能够灵活的镜像802.1AE密文，或者明文，或者同时镜像密文和明文。

附图说明

图1是本发明的交换芯片结构框图示意图；

图2是本发明的镜像802.1AE明文和密文的方法流程图示意图；

图3是本发明的镜像802.1AE明文和密文的报文处理流程示意图。

附图标记：1、入口处理引擎模块，2、报文调度引擎模块，3、出口处理引擎模块，4、802.1AE加密和解密模块。

具体实施方式

下面将结合本发明的附图，对本发明实施例的技术方案进行清楚、完整的描述。

结合图1所示，本发明所揭示的一种镜像802.1AE明文和密文的交换芯片，所述交换芯片包括入口处理引擎模块1、报文调度引擎模块2、出口处理引擎模块3，以及802.1AE加密和解密模块4，其中，

所述入口处理引擎模块1与报文调度引擎模块2相连接，入口处理引擎模块1对进入的报文进行相应的处理，并送入报文调度引擎模块2；

更进一步的，所述入口处理引擎模块1对报文内容进行解析，获取转发行为和编辑行为；

所述报文调度引擎模块2的一端与入口处理引擎模块1相连接，另一端与出口处理引擎模块3相连接，所述报文调度引擎模块2对入口处理引擎模块1处理后的报文做进一步的处理，报文调度引擎模块2处理后的报文送入至出口处理引擎模块3，做后续处理；

更进一步的，所述报文调度引擎模块2对进入报文调度引擎模块2的报文进行队列调度、复制，以及缓冲器管理。

所述出口处理引擎模块3的一端与报文调度引擎模块2相连接，另一端与802.1AE加密和解密模块4相连接，所述出口处理引擎模块3对报文调度引擎模块2输出的报文做后续处理，将需要加密或解密的报文送入802.1AE加密和解密模块4中进行加密或解密处理，否则，直接转发出去。

更进一步的，所述出口处理引擎模块3对进入出口处理引擎模块3的报文进行编辑，转发。

所述802.1AE加密和解密模块4的一端与出口处理引擎模块3相连接，另一端与入口处理引擎模块1相连接，802.1AE加密和解密模块4将出口处理引擎模块3中的需要加密或者需要解密的报文，加密或者解密之后直接送入入口处理引擎模块1，入口处理引擎模块1将加密或者解密后的报文进一步处理。

入口处理引擎模块1、报文调度引擎模块2、出口处理引擎模块3，以及802.1AE加密和解密模块4形成一环回回路，对报文环回处理。

在入口处理引擎模块1中，通过逻辑判断报文信息，用第一标识符(needToDecrypt，Decrypted)表示报文是否需要解密，以及是否已完成解密；在出口处理引擎模块3中，通过逻辑判断报文信息，用第二标识符(Encrypted，needToEncrypt)标识符表示报文是否需要加密，以及是否已完成加密，其中，needToDecrypt和Decrypted，Encrypted和needToEncrypt的值用二进制数0或1表示。

进一步的，若第一标识符(needToDecrypt，Decrypted)标识符为(1，0)，表示报文需要解密，且未完成解密操作；若第一标识符(needToDecrypt，Decrypted)标识符为(0，1)，表示报文已完成解密，不需要再解密；若第一标识符(needToDecrypt，Decrypted)标识符为(0，0)，表示报文不需要解密；若第二标识符(Encrypted，needToEncrypt)标识符为(0，0)，表示报文不需要加密；若第二标识符(Encrypted，needToEncrypt)标识符为(0，1)，表示报文需要加密，且未完成加密；若第二标识符(Encrypted，needToEncrypt)标识符为(1，0)，表示报文已完成加密。

结合图1和图3所示，来自启动了MACsec功能的端口的密文进入交换芯片后，入口处理引擎模块1对所述报文进行解析，发现所述报文是密文，记为第一密文报文，逻辑判断所述第一密文报文需要解密，相应的(needToDecrypt，Decrypted)标识符为(1，0)，表示所述第一密文报文需要解密，且未完成解密操作，因此将所述第一密文报文发送至报文调度引擎模块2，进行队列调度，并送入至出口处理引擎模块3中处理，此时相应的(Encrypted，needToEncrypt)标识符为(0，0)，表示所述第一密文报文不需要加密，继续将密文报文发送至802.1AE加密和解密模块4中进行解密处理。

所述第一密文报文经过802.1AE加密和解密模块4解密后，变为明文报文，记为第二明文报文，所述第二明文报文被再次送入至入口处理引擎模块1中解析处理，获得转发目的地址，相应的(needToDecrypt，Decrypted)标识符为(0，1)，表示已完成解密操作，继续将第二明文报文送入至报文调度引擎模块2，所述报文调度引擎模块2根据转发目的地址查找需要转发的端口，同时，判断出口是否启用了MACsec功能，若启用了则把报文通过出口处理引擎模块3发送至802.1AE加密和解密模块4中进行加密处理，在出口处理引擎模块3中，相应的(Encrypted，needToEncrypt，)标识符为(0，1)，表示需要加密，且未完成加密操作。

经过802.1AE加密和解密模块4加密后，第二明文报文变为密文报文，记为第三密文，所述第三密文报文再次送入入口处理引擎模块1中进行解析处理，获得转发目的地址，相应的(needToDecrypt，Decrypted)标识符为(0，0)，表示不需要解密，所述报文调度引擎模块2查找转发目的地址获得转发的端口，并将加密报文送入至出口处理引擎模块3中，相应的(Encrypted，needToEncrypt)标识符为(1，0)，表示已完成加密，加密报文从相应端口转发出去。

镜像802.1AE明文和密文需要启用端口镜像功能，并在端口上配置镜像模式，具体的，所述镜像模式包括四种，

1)mirrorMode[1：0]＝2′00，表示不启用镜像功能；

2)mirrorMode[1：0]＝2′01，只镜像明文；

3)mirrorMode[1：0]＝2′10，只镜像密文；

4)mirrorMode[1：0]＝2′11，同时镜像明文和密文，其中，mirrorMode[1：0]表示取两位二进制数值，2′00表示二进制数00，同样的，2′01、2′10，以及2′10表示二进制数01、10、11。

在入口处理引擎模块1中，判断镜像模式和第一标识符逻辑与运算的结果，若结果为非零，则当前报文满足被镜像的条件，则作镜像操作。

在出口处理引擎模块3中，判断镜像模式和第二标识符逻辑与运算的结果，若结果为非零，则当前报文满足被镜像的条件，则作镜像操作。

具体的，若端口配置镜像模式为mirrorMode[1：0]＝2′01，即只镜像明文，初次进入入口处理引擎模块1中的报文为密文报文，即第一密文报文，相应的(needToDecrypt，Decrypted)标识符为(1，0)，此时两者逻辑与的运算结果为零，则不执行镜像操作；

第一密文报文经过报文调度引擎模块2进入出口处理引擎模块3中，相应的(Encrypted，needToEncrypt)标识符为(0，0)，此时mirrorMode[1：0]和(Encrypted，needToEncrypt)两者逻辑与运算的结果为零，则不执行镜像操作，出口处理引擎模块3将密文发送至802.1AE加密和解密模块4中进行解密；

经过802.1AE加密和解密模块4解密后，第一密文报文变为明文报文，即第二明文报文，所述第二明文报文通过环回再次进入入口处理引擎模块1，相应的(needToDecrypt，Decrypted)标识符为(0，1)，此时两者逻辑与的运算结果为非零，则执行镜像操作，即执行镜像明文；

第二明文报文经过报文调度引擎模块2进入出口处理引擎模块3中，相应的(Encrypted，needToEncrypt)标识符为(0，1)，此时mirrorMode[1：0]和(Encrypted，needToEncrypt)两者逻辑与运算的结果为非零，则执行镜像操作，即执行镜像明文；

经过802.1AE加密和解密模块4加密后，第二明文报文变为密文报文，即第三密文报文，所述第三密文报文通过环回再次进入入口处理引擎模块1，相应的(needToDecrypt，Decrypted)标识符为(0，0)，此时两者逻辑与的运算结果为零，则不执行镜像操作；

第三密文报文经过报文调度引擎模块2进入出口处理引擎模块3中，相应的(Encrypted，needToEncrypt)标识符为(1，0)，此时mirrorMode[1：0]和(Encrypted，needToEncrypt)两者逻辑与运算的结果为零，则不执行镜像操作，第三密文报文被发送出去。

端口配置镜像模式为mirrorMode[1：0]＝2′10和mirrorMode[1：0]＝2′11，同mirrorMode[1：0]＝2′01处理过程相同，不再一一赘述。

本发明通过在交换机芯片中实现集中式的802.1AE加密和解密引擎，通过环回的方式，可以实现交换机芯片对802.1AE密文和明文不同的镜像操作。

如图2所示，一种镜像802.1AE明文和密文的方法，包括如下步骤：

步骤1，启用端口镜像功能，并配置端口镜像模式；

步骤2，判断镜像模式与报文标识符逻辑与运算结果，若结果为非零，则当前报文满足被镜像的条件，则执行镜像操作。

具体的，交换机启用端口镜像功能，并配置端口镜像模式；在入口处理引擎模块中，若所述镜像模式和第一报文标识符的逻辑与运算结果非零，则当前报文满足被镜像的条件，执行镜像操作；

在出口处理引擎模块3中，若所述镜像模式和第二报文标识符的逻辑与运算结果非零，则当前报文满足被镜像的条件，执行镜像操作。

所述报文标识符包括第一报文标识符和第二报文标识符，所述第一报文标识符表示报文是否需要解密，以及是否已完成解密，所述第二报文标识符表示报文是否需要加密，以及是否已完成加密；所述第一报文标识符用(needToDecrypt，Decrypted)表示，显示当前入口处理引擎模块1中的报文信息，如报文是否需要解密，以及是否已完成解密；所述第二报文标识符用(Encrypted，needToEncrypt)表示，显示当前出口处理引擎模块3中的报文信息，如报文是否需要加密，以及是否已完成加密。

具体的，启用端口镜像功能，配置端口镜像模式，所述端口镜像模式包括四种：

1)mirrorMode[1：0]＝2′00，表示不启用镜像功能；

2)mirrorMode[1：0]＝2′01，只镜像明文；

3)mirrorMode[1：0]＝2′10，只镜像密文；

4)mirrorMode[1：0]＝2′11，同时镜像明文和密文，其中，其中，mirrorMode[1：0]表示取两位二进制数值，2′00表示二进制数00，同样的，2′01、2′10，以及2′10表示二进制数01、10、11。

在入口处理引擎模块1中，判断镜像模式和第一标识符逻辑与运算的结果，若结果为非零，则当前结果满足被镜像的条件，则作镜像操作。

在出口处理引擎模块3中，判断镜像模式和第二标识符逻辑与运算的结果，若结果为非零，则当前满足被镜像的条件，则作镜像操作。

结合图2和图3所示，具体的，若端口配置镜像模式为mirrorMode[1：0]＝2′10，即只镜像密文，初次进入如方向处理引擎模块中的报文为密文报文，相应的(needToDecrypt，Decrypted)标识符为(1，0)，需要进行解密处理，此时两者逻辑与的运算结果为非零，则执行镜像密文操作；

密文报文经过报文调度引擎模块2进入出口处理引擎模块3中，相应的(Encrypted，needToEncrypt)标识符为(0，0)，此时mirrorMode[1：0]和(Encrypted，needToEncrypt)两者逻辑与运算的结果为零，则不执行镜像操作，出口处理引擎模块3将密文发送至802.1AE加密和解密模块4中进行解密。

经过802.1AE加密和解密模块4解密后，密文报文变为明文报文，所述明文报文通过环回再次进入入口处理引擎模块1，相应的(needToDecrypt，Decrypted)标识符为(0，1)，此时两者逻辑与的运算结果为零，则不执行镜像操作。

明文报文经过报文调度引擎模块2再次进入出口处理引擎模块3中，由于端口启用MACsec功能，明文需要经过加密后才能被转发出去，相应的(Encrypted，needToEncrypt)标识符为(0，1)，此时mirrorMode[1：0]和(Encrypted，needToEncrypt)两者逻辑与运算的结果为零，则不执行镜像操作，出口处理引擎模块3将密文发送至802.1AE加密和解密模块4中进行加密。

经过802.1AE加密和解密模块4加密后，明文报文变为密文报文，所述密文报文再次进入入口处理引擎模块1，相应的(needToDecrypt，Decrypted)标识符为(0，0)，此时两者逻辑与的运算结果为零，则不执行镜像操作；

密文再次进入出口处理引擎模块3中，相应的(Encrypted，needToEncrypt)标识符为(1，0)，此时mirrorMode[1：0]和(Encrypted，needToEncrypt)两者逻辑与运算的结果为非零，则执行镜像操作，密文被发送出去。

端口配置镜像模式为mirrorMode[1：0]＝2′10和mirrorMode[1：0]＝2′11，同mirrorMode[1：0]＝2′01处理过程相同，不再一一赘述。

本发明所述的镜像802.1AE明文和密文的方法及交换芯片，功能灵活，应用于不同需求的场景，所述交换机芯片能够感知当前处理的报文是明文还是密文，结合配置的镜像模式，能够灵活的镜像802.1AE密文，或者明文，或者同时镜像密文和明文。

本发明的技术内容及技术特征已揭示如上，然而熟悉本领域的技术人员仍可能基于本发明的教示及揭示而作种种不背离本发明精神的替换及修饰，因此，本发明保护范围应不限于实施例所揭示的内容，而应包括各种不背离本发明的替换及修饰，并为本专利申请权利要求所涵盖。