本申请涉及通信领域,尤其涉及一种数据处理的方法以及网络设备。
背景技术:
普通的以太网在长距离传输过程中,信息存在被窃听、篡改的风险,媒体接入控制安全(英文:mediumaccesscontrolsecurity,简称:macsec)协议可以提供端到端的安全传输解决方案,实现流量数据的加密解密,确保信息传递的完整性。
macsec功能直接部署在主机,例如个人计算机或服务器上时,能够实现对数据流的灵活加密解密,但用软件方式部署macsec功能的效率不高,而支持macsec功能的硬件,例如服务器的网卡或专用加密引擎,价格昂贵,且不支持虚拟机迁移。在交换机或路由器上部署macsec功能处理时,需要使用在转发芯片和物理层设备(英文:physicallayerdevice,简称:phy)之间部署macsec功能或者在phy中集成macsec功能进行加密解密。
但是,由于每个phy是连接到转发芯片的固定端口的,如果将macsec功能部署在转发芯片与phy之间或者phy上时,macsec功能只能对固定端口上接收或者发送的流量进行处理,而不能灵活选择需要处理的流量。
技术实现要素:
本申请实施例提供了一种数据处理的方法以及网络设备,用于对输入数据进行预置条件的匹配,灵活的选择出需要处理的目标数据,进而对目标数据进行加/解密处理。
本发明实施例第一方面提供一种数据处理的方法,主要应用于配置了媒体接入控制安全macsec功能的第一网络设备中,该macsec功能连接该第一网络设备的转发芯片,也可以理解为转发芯片和macsec功能是集成在第一网络设备上的。该方法可以包括:该第一网络设备从第三网络设备获取输入数据;该第一网络设备的转发芯片可以通过预置条件的匹配,判断输入数据是否为目标数据;其中,确定成功匹配预置条件的数据为目标数据;这里得到的目标数据存在两种情况:一种为:若该目标数据为加密数据,则该第一网络设备利用该macsec功能对该目标数据进行解密,得到当前解密数据;另外一种为:若该目标数据为未加密数据,则该第一网络设备利用该macsec功能对该目标数据进行加密,得到当前加密数据;得到当前解密数据或当前加密数据之后,该第一网络设备需向第二网络设备发送该当前解密数据或该当前加密数据。
在本发明实施例中,这里的第一网络设备或者第二网络设备都可以为交换机或者服务器等其他设备,即本发明技术方案可以是对交换机与交换机之间的数据进行处理,也可以是对交换机和服务器之间的数据进行处理。若是交换机与服务器之间的数据进行处理时,交换机负责数据的加密和解密,服务器收到的是解密的数据。第一网络设备可以通过预置条件的选择,选择要进行macsec处理的目标数据,这里的预置条件是通过用户或者业务的需求而预先设定的。所以,相对于现有技术只能处理固定端口上接收或者发送的流量,本发明技术方案有很大的灵活性,通过预置条件的设定,可以选择想要处理的目标数据,进而对目标数据进行macsec处理,再对macsec处理后的数据进行转发,完成数据的传输。
结合本发明实施例的第一方面,在本发明实施例的第一方面的第一种实现的方式中,该第一网络设备利用该macsec功能对该目标数据进行加密之前,该方法还可以包括:该第一网络设备向该第二网络设备发送密钥协商报文,该密钥协商报文用于获取该macsec功能使用的密钥;
当然,这里的密钥协商还可以是,第二网络设备向第一网络设备发送密钥协商报文,第一网络设备根据该密钥协商报文生成密钥,再向第二网络设备发送该密钥。
那么,该第一网络设备利用该macsec功能对该目标数据进行解密,就可以包括:该第一网络设备利用macsec功能利用该密钥对该目标数据进行解密。或者;该第一网络设备利用该macsec功能使用该密钥对该目标数据进行加密,得到当前加密数据。
在本发明实施例中,应理解,密钥协商的过程一般是优先级高的设备生成密钥并发送的,这里在第一网络设备使用该密钥之前,会有一个密钥协商的过程。所以,本发明实施例就是对密钥协商过程、也可以称呼为预配置的一个说明,当密钥协商过程完成后,才可以使用macsec功能对目标数据进行加密和解密。不然,就相当于,例如,第一网络设备对目标数据进行加密,但是第二网络设备不知道加密的密钥,那么,就无法解密,这个数据就没什么意义了。在进行加解密之前,设备之间若先完成密钥协商,那么,第二网络设备就可以对加密数据进行解密,得到这个解密数据之后,才可以后续的通信过程。
结合本发明实施例的第一方面、本发明实施例的第一方面的第一种实现的方式,在本发明实施例的第一方面的第二种实现的方式中,主要是对输入数据通过预置条件的匹配,得到目标数据的过程,下面可以通过几种情况来进行说明:
(1)该预置条件包括该目标数据的端口信息集合,该输入数据携带第一端口信息;该第一网络设备的转发芯片确定该输入数据是否为目标数据,可以包括:当该第一端口信息属于该端口信息集合时,该第一网络设备的转发芯片确定该输入数据为该目标数据。
(2)该预置条件包括该目标数据的协议信息集合,该输入数据携带第一协议信息;该第一网络设备的转发芯片确定该输入数据是否为目标数据,可以包括:当该第一协议信息属于该协议信息集合时,该第一网络设备的转发芯片确定该输入数据为该目标数据。
(3)该预置条件包括该目标数据的子网信息集合,该输入数据携带第一子网信息;该第一网络设备的转发芯片确定该输入数据是否为目标数据,可以包括:当该第一子网信息属于该子网信息集合时,该第一网络设备的转发芯片确定该输入数据为该目标数据。
(4)该预置条件包括该目标数据的通道信息集合,该输入数据携带第一通道信息;该第一网络设备的转发芯片确定该输入数据是否为目标数据,可以包括:当该第一通道信息属于该通道信息集合时,该第一网络设备的转发芯片确定该输入数据为该目标数据。
(5)该预置条件包括该目标数据的局域网信息集合,该输入数据携带第一局域网信息;该第一网络设备的转发芯片确定该输入数据是否为目标数据,可以包括:当该第一局域网信息属于该局域网信息集合时,该第一网络设备的转发芯片确定该输入数据为该目标数据。
在本发明实施例中,预置条件包括的内容可以包括但不限于上述所提及的信息,输入数据所携带的信息也包括但不限于上述提及的信息。这里主要是对具体得到目标数据提供的几个可以实现的方案,在现有技术中,只能对固定端口的数据进行macsec处理,而在本发明技术方案中,可以通过预置条件的设定,灵活的选择不同的数据作为目标数据进行macsec处理。而目标数据一般是比较重要的数据,可以提高目标数据传输的安全性和可靠性。当输入数据通过预置条件的匹配,匹配不成功,那么,确定该输入数据不是目标数据,可以不用进行macsec处理,直接传输就可以了,可以节约资源和时间。
结合本发明实施例的第一方面、本发明实施例的第一方面的第一种实现的方式,在本发明实施例的第一方面的第三种实现的方式中,该第一网络设备向第二网络设备发送该当前解密数据或该当前加密数据,包括:该第一网络设备根据该目标数据的端口信息集合,确定目标端口;该第一网络设备通过该目标端口,向该第二网络设备发送该当前解密数据或该当前加密数据。这里的端口信息集合可以是媒体接入控制(英文:mediumaccesscontrolsecurity,简称:mac)mac表或者流策略表等。
在本发明实施例中,当第一网络设备对目标数据进行解密或者加密之后,可以向第二网络设备传输得到的当前加密数据或者当前解密数据了,但是,是通过哪个端口去传输呢,那么,此时就可以通过端口信息集合去查询目标数据对应传输的目标端口,确定好目标端口,就可以通过目标端口向第二网络设备传输当前加密数据或者当前解密数据。
本发明实施例第二方面提供一种第一网络设备,该第一网络设备配置了媒体接入控制安全macsec功能,该macsec功能连接该第一网络设备的转发芯片,该第一网络设备具有实现对应于上述第一方面提供的实现灵活选择目标数据进行加/解密的功能。该功能可以通过硬件实现,也可以通过硬件执行相应的软件实现。该硬件或软件包括一个或多个与上述功能相对应的模块。
本发明实施例第三方面提供一种第一网络设备,该第一网络设备配置了媒体接入控制安全macsec功能,该macsec功能连接该第一网络设备的转发芯片,该第一网络设备可以包括:
收发器、存储器、处理器和总线,该收发器、该处理器和该存储器通过该总线连接;
该收发器,用于获取输入数据;向第二网络设备发送该当前解密数据或该当前加密数据;
该存储器,用于存储操作指令;
该处理器,用于通过调用该操作指令,确定该输入数据是否为目标数据,其中,该目标数据为成功匹配预置条件的数据;若该目标数据为加密数据,则处理器利用该macsec功能对该目标数据进行解密,得到当前解密数据,或者,若该目标数据为未加密数据,则处理器利用该macsec功能对该目标数据进行加密,得到当前加密数据。
本发明实施例第四方面提供一种存储介质,需要说明的是,本发的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产口的形式体现出来,该计算机软件产品存储在一个存储介质中,用于储存为上述设备所用的计算机软件指令,其包含用于执行上述第一方面、第二方面或第三方面为第一网络设备所设计的程序。
该存储介质包括:u盘、移动硬盘、只读存储器(英文:read-onlymemory,简称:rom)、随机存取存储器(英文:randomaccessmemory,简称:ram)、磁碟或者光盘等各种可以存储程序代码的介质。
从以上技术方案可以看出,本申请实施例具有以下优点:
在本发明实施例中,第一网络设备配置了macsec功能和转发芯片,第一网络设备的转发芯片可以确定获取的输入数据是否为目标数据,其中,目标数据为成功匹配预置条件的数据;若目标数据为加密数据,则第一网络设备利用macsec功能对目标数据进行解密,得到当前解密数据,或者,若目标数据为未加密数据,则第一网络设备利用macsec功能对目标数据进行加密,得到当前加密数据;最后第一网络设备向第二网络设备发送当前解密数据或当前加密数据。所以,第一网络设备通过预置条件的匹配,可以选择出想要处理的目标数据,与现有技术相比,本发明实施例中的第一网络设备可以灵活的选择目标数据进行macsec处理。
附图说明
为了更清楚地说明本发明实施例技术方案,下面将对实施例和现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其它的附图。
图1为本发明实施例中提供的一个系统架构示意图;
图2为本发明实施例中提供的另一个系统架构示意图;
图3为本发明实施例中提供的另一个系统架构示意图;
图4为本发明实施例中数据处理的方法的一个实施例示意图;
图5为本发明实施例中第一网络设备的一个实施例示意图;
图6为本发明实施例中第一网络设备的另一个实施例示意图。
具体实施方式
本申请实施例提供了一种数据处理的方法以及网络设备,用于对输入数据进行预置条件的匹配,灵活的选择出需要处理的目标数据,进而对目标数据进行加/解密处理。
本申请的说明书和权利要求书及上述附图中的术语“第一”、“第二”、“第三”、“第四”等(如果存在)是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的实施例能够以除了在这里图示或描述的内容以外的顺序实施。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
本发明技术方案提供一种灵活选择要处理的流量,进行macsec处理的方法,该方法所应用的一个系统架构图如图1所示,在交换机(英文:switch,简称:sw)设备上,图1所示的是对交换机之间传输的流量进行macsec处理,解决基于端口、用户、虚拟局域网(英文:virtuallocalareanetwork,简称:vlan)、协议粒度等情况的灵活处理问题;该方法还可以应用在另一个系统架构图如图2所示,是对交换机与服务器之间的流量进行macsec处理,解决虚拟机(英文:virtualmachine,简称:vm)迁移时仍然可以支持macsec的问题;在图2中,是交换机负责数据的加解密处理,传输到服务器的是解密的数据。
本发明实施例中所提及的网络设备可以是交换机,也可以是服务器等其他网络设备,下面以交换机为例来进行说明,如图3所示,为交换机支持macsec灵活部署的一个结构示意图,包括交换机sw1、交换机sw2、交换机sw3。其中,在交换机sw2中,配置了媒体接入控制安全macsec功能模块、商用转发器件(英文:lanswitch,简称:lsw)和中央处理器(英文:centralprocessingunit,简称:cpu)。需要说明的是,lanswitch翻译为局域网交换,在本发明实施例中,特指以太网转发芯片,也可以称呼为商用转发芯片、转发芯片。
在图3中,交换机sw1与交换机sw2互联的链路①是普通以太网链路,交换机sw3与交换机sw2互联的链路④是macsec加密的以太网链路。在交换机sw2设备上的商用转发器件(lsw芯片)通过外挂macsec模块对流量进行灵活加密/解密处理,即从交换机sw1收到的流量通过macsec模块加密后向交换机sw3发送;或者,从交换机sw3收到的加密流量通过macsec模块解密后向交换机sw1发送。
应理解,在本发明实施例中所提及的交换机或者服务器等,通常都包括macsec功能模块、转发芯片和cpu。在图3所示的图中,macsec模块和cpu实际上都是集成在交换机sw2上,那么图3所示的链路②③⑤⑥就是交换机sw2内部实现的链路。
下面以实施例的方式对本发明技术方案做一个具体的说明,如图4所示,为本发明实施例中数据处理的方法的一个实施例示意图,包括:
401、第一网络设备和第二网络设备进行预配置;
在本发明实施例中,要执行加密/解密的过程,首先,先要对其进行预配置。以上述图3所示的示意图为例来进行说明,那么,本发明实施例中所提及的第一网络设备就是图3中的交换机sw2,第二网络设备就是图3中交换机sw3。交换机sw2和交换机sw3使用macsec功能和预先设置的共享密钥,当交换机sw3向交换机sw2发密钥协议报文时,交换机sw2的lsw(商用转发芯片)把密钥协议报文发送至cpu,cpu可通过媒体接入控制安全密钥协商(英文:macseckeyagreement,简称:mka)协议协商生成密钥。
需要说明的是,高优先级的设备负责产生和分发密钥,即当第一网络设备的优先级高于第二网络设备的优先级,那么,第一网络设备产生密钥,并向第二网络设备发送该密钥,反之亦然,这里就以第一网络设备的优先级高于第二网络设备的优先级来进行说明。具体预配置的过程可以是:
(1)若交换机sw2的优先级高于交换机sw3的优先级,则交换机sw3向交换机sw2发送密钥协商报文;
(2)交换机sw2接收交换机sw3发送的密钥协商报文;
(3)交换机sw2根据密钥协商报文进行密钥协商,生成密钥数据,即交换机sw2的转发芯片把该密钥协商报文通过图3中所示的通道⑤发送到cpu,cpu通过mka协议将macsec协商成功后,通过通道⑥将密钥数据下发给macsec模块;
(4)交换机sw2向交换机sw3发送密钥数据;
(5)交换机sw3接收交换机sw2发送的密钥数据。
402、第一网络设备获取输入数据;
在本发明实施例中,第一网络设备获取输入数据;这里的输入数据可以是流量等数据。在图3所示的示意图中,交换机sw2通过通道①接收交换机sw1发送的流量。该输入数据,即接收的流量可以携带但不限于第一端口信息、第一协议信息、第一子网信息、第一通道信息和第一局域网信息。
403、第一网络设备的转发芯片确定输入数据是否为目标数据,其中,目标数据为成功匹配预置条件的数据;
在本发明实施例中,第一网络设备的转发芯片确定输入数据是否为目标数据,其中,目标数据为成功匹配预置条件的数据。这里的预置条件是用户根据业务需求或者管理配置信息等确定的,该预置条件可以包括但不限于目标数据的端口信息集合、协议信息集合、子网信息集合、通道信息集合和局域网信息集合。
示例性的,这里的预置条件也可以称呼为匹配条件,包括端口、虚拟局域网(英文:virtuallocalareanetwork,简称:vlan)、媒体接入控制(英文:mediumaccesscontrol,简称:mac)、互联网协议(英文:internetprotocol,简称:ip)、协议类型等信息。交换机sw2的cpu可以控制lsw基于链路①上特定vlan、子接口的流量导向给macsec模块,只对制定子网或用户的流量进行加密和解密处理,而其它流量可以直接经过lsw从链路①转发到链路④。交换机sw2的cpu还可以控制lsw基于指定用户(源ip、目的ip)和指定协议(tcp、udp)的流量处理。
下面介绍一下这几种可能的成功匹配预置条件的确定方式:
(1)预置条件包括目标数据的端口信息集合,输入数据携带第一端口信息;第一网络设备的转发芯片确定输入数据是否为目标数据,可以包括:当第一端口信息属于端口信息集合时,第一网络设备的转发芯片确定输入数据为目标数据。
(2)预置条件包括目标数据的协议信息集合,输入数据携带第一协议信息;第一网络设备的转发芯片确定输入数据是否为目标数据,可以包括:当第一协议信息属于协议信息集合时,第一网络设备的转发芯片确定输入数据为目标数据。
(3)预置条件包括目标数据的子网信息集合,输入数据携带第一子网信息;第一网络设备的转发芯片确定输入数据是否为目标数据,可以包括:当第一子网信息属于子网信息集合时,第一网络设备的转发芯片确定输入数据为目标数据。
(4)预置条件包括目标数据的通道信息集合,输入数据携带第一通道信息;第一网络设备的转发芯片确定输入数据是否为目标数据,可以包括:当第一通道信息属于通道信息集合时,第一网络设备的转发芯片确定输入数据为目标数据。
(5)预置条件包括目标数据的局域网信息集合,输入数据携带第一局域网信息;第一网络设备的转发芯片确定输入数据是否为目标数据,可以包括:当第一局域网信息属于局域网信息集合时,第一网络设备的转发芯片确定输入数据为目标数据。
即当输入数据携带的第一端口信息属于目标数据的端口信息集合、第一协议信息属于目标数据的协议信息集合、第一子网信息属于目标数据的子网信息集合、第一通道信息属于目标数据的通道信息集合或者第一局域网信息属于局域网信息集合等,那么,可以认为该输入数据为目标数据,即该输入数据为成功匹配预置条件的数据。
若输入数据携带了第一端口信息,而预置条件没有包括目标数据的端口信息集合,那么,可以以其他的信息(协议信息、子网信息、通道信息、局域网信息等)来进行匹配。当匹配未成功时,在图3所示的示意图中,交换机sw2通过链路①接收的输入数据,可以使用商用转发芯片通过链路④直接向交换机sw3发送。
404、若目标数据为加密数据,则第一网络设备利用macsec功能对目标数据进行解密,得到当前解密数据,或者,若目标数据为未加密数据,则第一网络设备利用macsec功能对目标数据进行加密,得到当前加密数据;
在本发明实施例中,若目标数据为加密数据,则第一网络设备利用macsec功能对目标数据进行解密,得到当前解密数据,或者,若目标数据为未加密数据,则第一网络设备利用macsec功能对目标数据进行加密,得到当前加密数据。
在实际应用中,通过步骤403,得到目标数据之后,交换机sw2的内部实现为:cpu控制商用转发芯片(lsw)通过链路②将该目标数据导向macsec功能模块,若目标数据为加密数据,则macsec功能模块对该目标数据进行解密,得到当前解密数据;若目标数据为未加密数据,则macsec功能模块对该目标数据进行加密,得到当前加密数据。macsec功能模块再通过链路③将当前解密数据或当前加密数据返至商用转发芯片。
405、第一网络设备将当前解密数据或当前加密数据发送至第二网络设备。
在本发明实施例中,该步骤可以包括步骤a和步骤b,如下所示:
步骤a、第一网络设备向第二网络设备发送当前解密数据或当前加密数据;
在本发明实施例中,第一网络设备得到当前解密数据或者当前加密数据之后,第一网络设备向第二网络设备发送当前解密数据或当前加密数据。对应在图3中,交换机sw2通过链路④向交换机sw3发送当前解密数据或当前加密数据。若交换机sw2与交换机sw3之间的链路④发生故障或变更时,交换机sw2的cpu可以控制lsw把匹配条件切换到新的链路④,继续处理输入的流量。
其中第一网络设备向第二网络设备发送当前解密数据或当前加密数据,可以包括:第一网络设备根据目标数据的端口信息集合,确定目标端口;第一网络设备通过目标端口,向第二网络设备发送当前解密数据或当前加密数据。
示例性的,在实际应用中,从macsec返回给lsw的当前加密数据当前解密数据,lsw可以再重新查mac表或流策略(英文:modularqoscommand,简称:mqc)表,封装虚拟扩展局域网(英文:virtualextensiblelocalareanetwork,简称:vxlan)隧道信息后再从链路④发送给sw3,实现只对vxlan隧道内层的报文进行加密/解密。
在另外一种实现方式中,得到目标数据之后,交换机中的lsw先对目标数据进行vxlan隧道封装,再通过链路②发送给macsec模块进行加密或解密,最终实现对携带vxlan隧道的报文的加密/解密功能。需要说明的是,这里也可以对其他的网络隧道信息进行加密/解密,例如:使用通用路由封装的网络虚拟化(英文:networkvirtualizationusinggenericroutingencapsulation,简称:nvgre)、无状态的交通隧道(英文:statelesstransporttunneling,简称:stt)或者虚拟专用局域网服务(英文:virtualprivatelanservice,简称:vpls)等网络也同样适用。上述的这两种实现方式,主要是对预置条件包括局域网信息集合的说明。
步骤b、第二网络设备接收第一网络设备发送的当前解密数据或当前加密数据。
在本发明实施例中,第一网络设备向第二网络设备发送当前解密数据或当前加密数据之后,第二网络设备接收第一网络设备发送的当前解密数据或当前加密数据;实现数据的一个完成通信的过程。
应理解,本发明实施例是以图3为参考进行说明的,在图3中,交换机sw1和交换机sw2之间的通道也可以是加密通道,处理方式与交换机sw2与交换机sw3之间macsec协商和流量加密解密处理方式相同,此处不再赘述。还需要说明的是,反方向,从交换机sw3也可以向交换机sw2发送流量数据,sw2对其进行处理,再向sw1发送,这个过程与从sw1发送流量数据,通过sw2进行加/解密处理,再向sw3发送的过程类似,此处也不再赘述。
在本发明实施例中,第一网络设备通过cpu控制macsec模块和以太网转发芯片实现对流量的灵活处理,接收输入数据后,通过预置条件的匹配,若匹配成功,则对其进行加/解密处理。而预置条件的匹配,就是一个灵活删选目标数据的过程。本发明实施例支持端口粒度的端到端安全传输,也支持更细粒度的子网、用户、指定协议、隧道内层或外层进行端到端安全传输。
上面对本发明实施例中的数据处理的方法进行了说明,下面对本发明实施例中的第一网络设备进行说明,如图5所示,为本发明实施例中第一网络设备的一个实施例示意图,包括:
获取模块501,用于获取输入数据;
确定模块502,用于通过转发芯片确定输入数据是否为目标数据,其中,目标数据为成功匹配预置条件的数据;
加/解密模块503,用于若目标数据为加密数据,则加/解密模块利用macsec功能对目标数据进行解密,得到当前解密数据,或者,若目标数据为未加密数据,则加/解密模块利用macsec功能对目标数据进行加密,得到当前加密数据;
发送模块504,用于向第二网络设备发送当前解密数据或当前加密数据。
如图6所示,为本发明实施例中第一网络设备的另一个实施例示意图,
该云控制器可因配置或性能不同而产生比较大的差异,可以包括收发器601,一个或一个以上中央处理器(centralprocessingunits,cpu)602(例如,一个或一个以上处理器)和存储器603,一个或一个以上存储应用程序6041或数据6042的存储介质604(例如一个或一个以上海量存储设备)。其中,存储器603和存储介质604可以是短暂存储或持久存储。存储在存储介质604的程序可以包括一个或一个以上模块(图6中没示出),每个模块可以包括对云控制器中的一系列指令操作。更进一步地,中央处理器602可以设置为与存储介质604通信,在云控制器上执行存储介质604中的一系列指令操作。
在本发明实施例中,收发器601,还用于获取输入数据;向第二网络设备发送当前解密数据或当前加密数据;
中央处理器602,还用于通过调用操作指令,确定输入数据是否为目标数据,其中,目标数据为成功匹配预置条件的数据;若目标数据为加密数据,则处理器利用macsec功能对目标数据进行解密,得到当前解密数据,或者,若目标数据为未加密数据,则处理器利用macsec功能对目标数据进行加密,得到当前加密数据。
可选的,在本发明的一些实施例中,
收发器601,还用于向第二网络设备发送密钥协商报文,密钥协商报文用于获取macsec功能使用的密钥;
中央处理器602,具体用于利用macsec功能使用密钥对目标数据进行解密。
可选的,在本发明的一些实施例中,预置条件包括目标数据的端口信息集合,输入数据携带第一端口信息;
中央处理器602,具体用于当第一端口信息属于端口信息集合时,确定模块确定输入数据为目标数据。
可选的,在本发明的一些实施例中,预置条件包括目标数据的协议信息集合,输入数据携带第一协议信息;
中央处理器602,具体用于当第一协议信息属于协议信息集合时,确定模块确定输入数据为目标数据。
可选的,在本发明的一些实施例中,预置条件包括目标数据的子网信息集合,输入数据携带第一子网信息;
中央处理器602,具体用于当第一子网信息属于子网信息集合时,确定模块确定输入数据为目标数据。
可选的,在本发明的一些实施例中,
收发器601,具体用于根据目标数据的端口信息集合,确定目标端口;通过目标端口,向第二网络设备发送当前解密数据或当前加密数据。
本发明实施例还提供一种存储介质,需要说明的是,本发的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产口的形式体现出来,该计算机软件产品存储在一个存储介质中,用于储存为上述第一网络设备所用的计算机软件指令,其包含用于执行上述图4为第一网络设备所设计的程序。该存储介质包括:u盘、移动硬盘、只读存储器(英文:read-onlymemory,简称:rom)、随机存取存储器(英文:randomaccessmemory,简称:ram)、磁碟或者光盘等各种可以存储程序代码的介质。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的系统,装置和单元的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
在本申请所提供的几个实施例中,应该理解到,所揭露的系统,装置和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本申请各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。
所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:u盘、移动硬盘、只读存储器(英文:read-onlymemory,简称:rom)、随机存取存储器(英文:randomaccessmemory,简称:ram)、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述,以上实施例仅用以说明本申请的技术方案,而非对其限制;尽管参照前述实施例对本申请进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本申请各实施例技术方案的精神和范围。