Macsec解密方法和装置与流程

macsec解密方法和装置
技术领域
[0001]
本发明涉及网络技术领域，特别是涉及一种macsec解密方法和装置。


背景技术：

[0002]
macsec(media access control security，mac安全)定义了基于ieee 802局域网络的数据安全通信的方法，macsec可为用户提供安全的mac层数据发送和接收服务，包括用户数据加密、数据帧完整性检查及数据源真实性校验。在macsec架构中，sc(securechannel，安全通道)是ca(secure connectivity association，安全连接关联)参与者之间用于传输mac安全数据的安全通道，每个sc可提供单向点到点或点到多点的通信，如对于点对点的两台设备a和设备b，a到b单向数据转发链路可认为一个sc(a)，b到a单向数据转发链路可认为另外一个sc(b)。一个安全通道中可包含多个sa(secure association，安全关联)，每一个sa拥有一个不同的密钥。
[0003]
当前macsec只支持p2p模式，无法满足p2mp点到多点的应用，即macsec在解密方向上，无法支持点对多点。这将会导致对于资源和端口的浪费。


技术实现要素：

[0004]
本发明实施例所要解决的技术问题是，如何解决现有技术中，macsec在应用中存在的资源和端口浪费的问题。
[0005]
为了解决上述问题，本发明提供的技术方案如下：
[0006]
一种macsec解密方法，其中，包括：接收到加密报文后，路过macsec engine不做处理；截取报文的sci信息和port信息，以匹配对应的解密通道；如果匹配到，则loopback到macsec engine，进行解密；否则，丢弃报文。
[0007]
较优的，上述的macsec解密方法中，所述截取报文的sci信息和port信息包括：通过scl匹配报文中udf字段的sci信息；报文通过udf自定义偏移量，在所述udf字段携带相应的sci信息。
[0008]
较优的，上述的macsec解密方法中，匹配到匹配报文中udf字段的sci信息后还包括：将报文loop到入方向处理引擎进行报文解析。
[0009]
较优的，上述的macsec解密方法中，于将报文loop到入方向处理引擎进行报文解析后，还包括：根据匹配到的udf字段，索引对应的scl表，匹配对应的解密通道。
[0010]
较优的，上述的macsec解密方法中，当匹配到对应的解密通道后还包括：使能高级macsec寄存器。
[0011]
为了解决上述的技术问题，本发明还提供了一种macsec解密装置，其中，包括：接收单元，用于接收到加密报文后，路过macsec engine不做处理；匹配单元，截取报文的sci信息和port信息，以匹配对应的解密通道；处理单元，用于如果匹配到，则loopback到macsec engine，进行解密；否则，丢弃报文。
[0012]
较优的，上述的macsec解密装置中，所述匹配单元通过scl匹配报文中udf字段的
sci信息；报文通过udf自定义偏移量，在所述udf字段携带相应的sci信息。
[0013]
较优的，上述的macsec解密装置中，所述匹配单元在匹配到匹配报文中udf字段的sci信息后，还将报文loop到入方向处理引擎进行报文解析。
[0014]
较优的，上述的macsec解密装置中，所述匹配单元在将报文loop到入方向处理引擎进行报文解析后，还用于根据匹配到的udf字段，索引对应的scl表，匹配对应的解密通道。
[0015]
较优的，上述的macsec解密装置中，所述匹配单元还用于当匹配到对应的解密通道后，使能高级macsec寄存器。
[0016]
与现有技术相比，本发明的技术方案具有以下优点：
[0017]
本发明在接收到macsec加密报文后，通过匹配自定义字段中的sci信息作为不同加解密套件的索引，从而匹配到对应的解密通道。通过匹配不同的udf内容，查找匹配不同的解密通道，这样可以实现多个解密通道绑定到一个端口上，实现p2mp的功能，满足了点到多点的需求，实现单点对多点的互通解密，从而节约了端口的成本，避免了资源的浪费。
附图说明
[0018]
图1是本发明实施例1中macsec解密方法的流程示意图。
具体实施方式
[0019]
现有技术中，macsec只支持p2p模式，无法满足p2mp点到多点的应用，即macsec在解密方向上，无法支持点对多点。这将会导致对于资源和端口的浪费。
[0020]
本发明实施例在接收到macsec加密报文后，通过匹配自定义字段中的sci信息作为不同加解密套件的索引，从而匹配到对应的解密通道。通过匹配不同的udf内容，查找匹配不同的解密通道，这样可以实现多个解密通道绑定到一个端口上，实现p2mp的功能，满足了点到多点的需求，实现单点对多点的互通解密，从而节约了端口的成本，避免了资源的浪费。
[0021]
为使本发明的上述目的、特征和优点能够更为明显易懂，下面结合附图对本发明的具体实施例做详细的说明。
[0022]
实施例1
[0023]
如图1所示，本实施例的一种macsec解密方法包括：
[0024]
步骤s101，接收到macsec加密报文；
[0025]
当接收到macsec加密报文后，第一次bypass macsec engine不做处理。
[0026]
步骤s102，通过scl匹配报文中udf字段的sci信息；
[0027]
本实施例通过udf在macsec加密报文的预设字段位置，自定义sci信息，使得报文通过udf自定义偏移量，在所述udf字段携带相应的sci信息。用户自定义字段(user defined field，udf)为用户提供了一种自由度很大的match(匹配)工具，使得可以不必拘泥于网络层/传输层(l3/l4)已经定义的协议字段，而是按照自定义的offset(偏移)和内容进行匹配。
[0028]
如果没有匹配到对应的sci信息，则丢弃该报文。
[0029]
步骤s103，将报文loop到入方向处理引擎进行报文解析；
[0030]
当通过步骤s102获取报文的sci信息后，重新将报文loop到入方向处理引擎ipe进行报文解析处理。
[0031]
步骤s104，匹配对应的解密通道；
[0032]
根据从步骤s102获取的sci信息，通过对应的表项，即scl表项，可以查找到不同的解密通道，同时，使能高级macsec这个寄存器，让芯片loop回到macsec engine时候按照高级macsec的解密流程进行处理。如果没有匹配到对应的解密通道，则丢弃该报文。
[0033]
步骤s105，loopback到macsec engine进行高级macsec解密。
[0034]
如果查到不同的解密通道，则loopback到rx，由macsec engine进行相应的解密操作，重新解析报文。macsec engine在对报文解封装完成后，会再进行对应的解密操作和转发操作，完成点到多点的解密操作，实现单点对多点的互通解密。
[0035]
本实施例通过scl匹配报文udf字段，然后通过索引对应的scl表，就可以找到对应的解密通道。相对于现有技术中，不支持使用芯片匹配udf，用于实现不同报文的解密切换不同的解密通道芯片，本实施例使用udf数据承载sci信息，作为不同加解密套件的索引。对loopback回来的报文，进行解密，同一个端口允许添加多个解密通道。在报文loopback回到芯片一开始的时候进行预解析，识别出相对应的解密套件，查找到了表示要进入macsec engine进行解密，没查找到则跳过macsec engine，直接丢弃。从而完成单点对多点的互通解密，保证端口资源的不浪费。
[0036]
实施例2
[0037]
本实施例公开了一种macsec解密装置，其中，包括：接收单元，用于接收到加密报文后，路过macsec engine不做处理；匹配单元，截取报文的sci信息和port信息，以匹配对应的解密通道；处理单元，用于如果匹配到，则loopback到macsec engine，进行解密；否则，丢弃报文。
[0038]
在具体实施中，所述匹配单元通过scl匹配报文中udf字段的sci信息；报文通过udf自定义偏移量，在所述udf字段携带相应的sci信息。
[0039]
在具体实施中，所述匹配单元在匹配到匹配报文中udf字段的sci信息后，还将报文loop到入方向处理引擎进行报文解析。
[0040]
在具体实施中，所述匹配单元在将报文loop到入方向处理引擎进行报文解析后，还用于根据匹配到的udf字段，索引对应的scl表，匹配对应的解密通道。
[0041]
在具体实施中，所述匹配单元还用于当匹配到对应的解密通道后，使能高级macsec寄存器。
[0042]
本领域技术人员可以理解的是，本实施例的一种macsec解密装置和实施例1的一种macsec解密方法为基于同一发明构思。本领域技术人员可以理解的是，本实施例的相应实施可以参照实施例1的相应内容，此处不再赘述。
[0043]
以上是对本发明的实现方式的具体说明，但是本领域的技术人员将理解的是，前面实施方案是示例性的并且是出于清晰和理解的目地，而不限于本发明的范围，所意图的是，本领域的的技术人员在阅读了数码说并研究了附图之后，会明了其所有置换形式，增强形式，等同形式，组合形式，改进形式都被包括在本发明的实质范围内。
[0044]
本领域普通技术人员可以理解上述实施例的各种方法中的全部或部分步骤是可以通过程序来指令相关的硬件来完成，该程序可以存储于一计算机可读存储介质中，存储
介质可以包括：rom、ram、磁盘或光盘等。
[0045]
虽然本发明披露如上，但本发明并非限定于此。任何本领域技术人员，在不脱离本发明的精神和范围内，均可作各种更动与修改，因此本发明的保护范围应当以权利要求所限定的范围为准。