一种基于硬管道的加解密方法及装置与流程

1.本发明涉及网络技术领域，尤其是涉及一种基于硬管道的加解密方法及装置。


背景技术：

2.边缘计算网络与基站的接入网络对安全加密存在需求，对于不同的用户，安全加密的需求也存在差异化，在数据安全加密过程中，一些高优先级流量需要加密，还有一些低优先级流量也需要加密，而高优先级流量需要比低优先级流量更低的时延。
3.目前所采用的加密方案是基于端口的macsec加密方案，该加密方案中需要端口使能macsec加密功能，并且需要mac芯片支持macsec加密功能，该方案仅能实现加解密能力，无法保障高优先级流量在加解密处理的全流水线获得优先处理，存在被低优先级流量抢占资源的风险，影响高优先业务的时延和性能。同时，该方案导致加解密能力局限在mac层面，而在网络交换芯片内部的资源是混用的，尤其是高、低优先级流量在加密引擎共享资源，导致高优先级流量在加密处理无法被确保一定是最优先处理，可能存在部分低优先级加密流量对资源的抢占的风险。


技术实现要素：

4.本发明的目的在于克服现有技术的缺陷，提供一种基于硬管道的加解密方法及装置，能够保证高优先级报文在全流水线获得优先处理，保障高优先级报文在解密处理不会被低优先级抢占资源。
5.为实现上述目的，本发明提出如下技术方案：一种基于硬管道的加解密方法，所述加解密方法包括
6.接收报文并根据报文携带的信息标识报文是否需要加解密处理，并划分至不同优先级的硬管道中，进一步将不同硬管道中的报文送入入方向处理模块中对应的硬管道中；
7.入方向处理模块对不同硬管道中的报文进行查表处理，并通过队列调度模块进行队列调度，队列调度模块根据优先级及硬管道的编号将不同硬管道中的报文送入出方向处理模块中对应的硬管道中；
8.出方向处理模块根据硬管道的编号将相应硬管道中的需要加解密的报文送入加解密模块中对应的硬管道中；
9.加解密模块根据优先级对不同硬管道中的报文进行加解密处理，并根据硬管道的编号将不同硬管道中的报文转发至入方向处理模块中对应的硬管道中；
10.入方向处理模块进一步将加解密后的报文通过队列调度模块调度至出方向处理模块中对应硬管道中，出方向处理模块对不同硬管道中的报文进行转发。
11.优选地，根据报文的ip地址和/或udp端口号标识报文是否需要进行加解密处理，并根据报文的优先级将报文划分至不同优先级的硬管道中。
12.优选地，所述队列调度模块采用sp队列调度算法对不同优先级的硬管道进行队列调度处理。
13.优选地，所述加解密模块采用sp队列调度算法度对不同优先级的硬管道中的报文进行转发和加解密处理。
14.优选地，所述入方向处理模块根据报文的ip信息及udp信息对加解密后的报文进行转发。
15.本发明还揭示了一种基于硬管道的加解密装置，包括
16.报文接收模块，用于接收报文并根据报文携带的信息标识报文是否需要加解密处理，并划分至不同优先级的硬管道中，进一步将不同硬管道中的报文送入入方向处理模块中对应的硬管道中；
17.入方向处理模块，用于对不同硬管道中的报文进行查表转发处理；
18.队列调度模块，用于根据优先级及硬管道的编号将入方向处理模块中不同硬管道中的报文送入出方向处理模块中对应的硬管道中；
19.出方向处理模块，用于根据硬管道的编号将相应硬管道中的需要加解密的报文送入加解密模块中对应的硬管道中并对加解密后的报文进行转发处理；
20.加解密模块，用于根据优先级对不同硬管道中的报文进行加解密处理，并依据硬管道的编号将不同硬管道中的报文转发至入方向处理模块中对应的硬管道中。
21.优选地，所述报文接收模块根据报文的ip地址和/或udp端口号标识报文是否需要进行加解密处理，并根据报文的优先级将报文划分至不同优先级硬管道中。
22.优选地，所述队列调度模块采用sp队列调度算法对不同优先级的硬管道进行队列调度处理。
23.优选地，所述加解密模块采用sp队列调度算法度对不同优先级的硬管道中的报文进行转发和加解密处理。
24.优选地，所述入方向处理模块根据报文的ip信息及udp信息对加解密后的报文进行转发。
25.本发明的有益效果是：
26.本发明通过在加解密模块中设置多个硬管道，以与入方向处理模块、出方向处理模块中的硬管道对接，一方面保障了高优先级流量在加解密模块中的低时延，另一方面确保高优先级流量在全流水线获得优先处理，而不会被低优先级流量抢占资源，满足边缘计算安全的确定性低时延需求，为大规模的边缘安全网络部署打下了技术基础。
附图说明
27.图1是本发明的加解密方法流程图示意图；
28.图2是本发明的报文加解密处理示意图；
29.图3是本发明的高优先级报文的加密处理示意图
30.图4是本发明的低优先级报文的加密处理示意图；
31.图5是本发明的加解密装置结构框图示意图。
具体实施方式
32.下面将结合本发明的附图，对本发明实施例的技术方案进行清楚、完整的描述。
33.本发明所揭示的一种基于硬管道的加解密方法，通过采用硬管道技术将高优先级
流量与低优先级流量进行硬管道隔离，确保高优先级流量在全流水线获得优先处理，而不会被低优先级流量抢占资源，满足边缘计算安全的确定性低时延需求。
34.如图1所示，为本发明所揭示的一种基于硬管道的加解密方法，包括如下步骤：
35.s100，接收报文并根据报文携带的信息标识报文是否需要加解密处理，并划分至不同优先级的硬管道中，进一步将不同硬管道中的报文送入入方向处理模块中对应的硬管道中；
36.具体地，边缘网络交换设备通常包括用于对报文进行转发处理的入方向处理模块、队列调度模块、出方向处理模块及用于对报文进行加解密处理的加解密模块。为确保高优先级的流量能够被优先处理并且不会被低优先级的流量抢占资源，入方向处理模块、队列调度模块、出方向处理模块和加解密模块中均设有多个不同优先级的硬管道，通过硬管道将不同优先级的流量进行硬管道隔离处理，从而保障了高优先级流量确定性低时延。
37.边缘网络交换设备在接收到报文后，通过对报文进行解析，可获得报文携带的一些信息，如ip地址、udp端口号、优先级(priority)等等。当获得上述信息后，可根据报文携带的ip地址、udp端口号等标识报文是否需要加解密处理，并根据报文的优先级将报文划分至不同优先级的硬管道中，如图2所示，网络交换设备采用两个硬管道，一个是供高优先级报文使用的硬管道pipe1，一个是供低优先级报文使用的硬管道pipe0，其中，硬管道pipe1对应高优先级的mac转发，硬管道pipe0对应低优先级的mac转发，也即对于高优先级的报文则转发至硬管道pipe1中，对于低优先级的报文则转发至硬管道pipe0中。
38.当将报文划分至不同优先级的硬管道中并完成所接收报文的数据缓存和组装后，进一步根据硬管道的编号(channel id)将相应硬管道中的报文送入入方向处理模块中对应的硬管道中，如划分至硬管道pipe1中的高优先级报文，通过其对应的硬管道的编号1可以确定其需送入入方向处理模块中硬管道pipe1中，进一步将报文送入如入方向处理模块中硬管道pipe1。
39.本实施例中，无论是需要加解密的报文还是普通报文，都会将报文所占用的硬管道的编号送入各个模块中，以使各个模块可依据硬管道的编号将报文送入对应的硬管道中。
40.s200，入方向处理模块对不同硬管道中的报文进行查表处理，并通过队列调度模块进行队列调度，队列调度模块根据优先级及硬管道的编号将不同硬管道中的报文送入出方向处理模块中对应的硬管道中。
41.具体地，入方向处理模块针对不同硬管道中的报文进行转发表项的查找和处理，可获得报文的编辑行为和转发行为，如针对硬管道pipe1和pipe0中的报文分别进行转发表项的查找和处理，获得报文的编辑行为和转发行为。
42.当进行转发表项的查找和处理后，调度模块进一步进行报文入队列和出队列处理，队列调度模块根据优先级及硬管道的编号将不同硬管道中的报文送入出方向处理模块中对应的硬管道中，也即根据优先级由高到低的顺序将相应硬管道中的报文转发至出方向处理模块中对应的硬管道中，如对于高优先级流量所使用的硬管道pipe1和低优先级流量所使用的硬管道pipe0，先将硬管道pipe1中的报文优先依据硬管道的编号转发至出方向处理模块的硬管道pipe1中，最后将硬管道pipe0中的报文依据硬管道的编号转发至出方向处理模块的硬管道pipe0中。
43.在队列调度模块中，不同的硬管道采用独立的调度机制，能够避免传统qos(quality of service，服务质量)机制在边缘低时延业务中无法实现确定性低时延的问题。本发明通过采用独立的调度机制，根据硬管道的编号和优先级进行报文入队列处理和出队列处理，在不同优先级的硬管道之间采用sp(strict priority，严格优先级)调度算法，保证高优先级的硬管道中报文的优先转发，满足边缘数据转发的低时延需求。
44.s300，出方向处理模块依据硬管道的编号将相应硬管道中的需要加解密的报文送入加解密模块中对应的硬管道中；
45.具体地，出方向处理模块可依据转发行为确定报文是否需要进行加解密处理，并依据报文编辑行为对报文进行编辑处理。对于需要加解密的报文，则根据报文所在硬管道的编号将该报文转发至加解密模块中对应的硬管道中，等待加解密处理。而对于无需加解密的报文，则进行转发处理。
46.s400，加解密模块依据优先级对不同硬管道中的报文进行加解密处理，并依据硬管道的编号将不同硬管道中的报文转发至入方向处理模块中对应的硬管道中。
47.具体地，结合图3和图4所示，加解密模块中设置了多个不同优先级的硬管道，与入方向处理模块、出方向处理模块中的硬管道相对应连接，保证高优先级流量与低优先级流量进行隔离处理，确保高优先级流量不会被低优先级流量抢占资源，实现高优先级流量在全流水线获得优先处理，而满足边缘计算安全的确定性低时延需求。
48.进一步地，在加解密模块中，优先级相对较高的报文指定优先级相对较高的硬管道进行转发和加解密处理，优先级相对较低的报文指定优先级相对较低的硬管道进行转发和加解密处理，也即报文依据优先级进入相应的硬管道中进行转发和加解密处理，同时不同优先级的硬管道采用sp(strict priority，严格优先级)调度算法进行队列调度，最终确保高优先级硬管道中的报文能够被优先处理。
49.在加解密模块中，对于加密后的报文则依据报文所在硬管道的编号将报文送入入方向处理模块中对应硬管道中。同时，考虑到后续设备对加密的识别和解密需求，需要预留特定的udp目的端口号(udp dest port)来标识加密报文。在解密时，可依据特定的udp目的端口号识别该报文为加密报文，需进行解密处理。
50.对于解密后的报文则依据报文所在硬管道的编号将报文送入入方向处理模块中对应硬管道中。
51.s500，入方向处理模块进一步将加解密后的报文通过队列调度模块环回至出方向处理模块中对应硬管道中，出方向处理模块对不同硬管道中的报文进行转发。
52.具体地，当报文在加解密模块中完成加密后，加解密模块进一步依据报文所在硬管道的编号将报文送入入方向处理模块中对应硬管道，入方向处理模块根据外层ip和udp进行转发处理，并通过调度模块送入出方向处理模块对应的硬管道中，出方向处理模块进一步根据下一跳转发信息完成报文编辑处理后，根据硬管道的不同，分别转发报文，如图所示，将高优先级的加密报文从mac转发模块1(tx mac
‑
1)发送出去，将低优先级的加密报文从mac转发模块0(tx mac
‑
0)发送出去。
53.当报文在加解密模块中完成解密后，加解密模块进一步依据报文所在硬管道的编号将报文送入入方向处理模块中对应硬管道，入方向处理模块根据外层ip和udp进行转发处理，并通过调度模块送入出方向处理模块对应的硬管道中，出方向处理模块进一步根据
下一跳转发信息完成报文编辑处理后，根据硬管道的不同，分别转发报文，如图所示，将高优先级的加密报文从mac转发模块1(tx mac
‑
1)发送出去，将低优先级的加密报文从mac转发模块0(tx mac
‑
0)发送出去。
54.如图5所示，本发明还揭示了一种基于硬管道的加解密装置，包括报文接收模块、入方向处理模块、队列调度模块、出方向处理模块和加解密模块，其中，报文接收模块用于接收报文并根据报文携带的信息标识报文是否需要加解密处理，并划分至不同优先级的硬管道中，进一步将不同硬管道中的报文送入入方向处理模块中对应的硬管道中；入方向处理模块用于对不同硬管道中的报文进行查表处理；出方向处理模块依据硬管道的编号将相应硬管道中的需要加解密的报文送入加解密模块中对应的硬管道中，还用于对加解密后的报文转发处理；加解密模块依据优先级对不同硬管道中的报文进行加解密处理，并依据硬管道的编号将不同硬管道中的报文转发至入方向处理模块中对应的硬管道中。
55.具体地，报文接收模块在接收到报文后，通过对报文进行解析，可获得报文携带的一些信息，如ip地址、udp端口号、优先级(priority)等等。当获得上述信息后，可根据报文携带的ip地址、udp端口号等标识报文是否需要加解密处理，并根据报文的优先级将报文划分至不同优先级的硬管道中，进一步根据硬管道的编号(channel id)将相应硬管道中的报文送入入方向处理模块中对应的硬管道中。
56.入方向处理模块针对不同硬管道中的报文进行转发表项的查找和处理，可获得报文的编辑行为和转发行为。当进行转发表项的查找和处理后，调度模块进一步进行报文入队列和出队列处理，队列调度模块根据优先级及硬管道的编号将不同硬管道中的报文送入出方向处理模块中对应的硬管道中，也即根据优先级由高到低的顺序将相应硬管道中的报文转发至出方向处理模块中对应的硬管道中。在队列调度模块中，在不同优先级的硬管道之间采用sp(strict priority，严格优先级)调度算法，保证高优先级的硬管道中报文的优先转发，满足边缘数据转发的低时延需求。
57.出方向处理模块可依据转发行为确定报文是否需要进行加解密处理，并依据报文编辑行为对报文进行编辑处理。对于需要加解密的报文，则根据报文所在硬管道的编号将该报文转发至加解密模块中对应的硬管道中，等待加解密处理。而对于无需加解密的报文，则进行转发处理。
58.在加解密模块中，优先级相对较高的报文指定优先级相对较高的硬管道进行转发和加解密处理，优先级相对较低的报文指定优先级相对较低的硬管道进行转发和加解密处理，也即报文依据优先级进入相应的硬管道中进行转发和加解密处理，同时不同优先级的硬管道采用sp(strict priority，严格优先级)调度算法进行队列调度，最终确保高优先级硬管道中的报文能够被优先处理。
59.在加解密模块中，对于加密后的报文则依据报文所在硬管道的编号将报文送入入方向处理模块中对应硬管道中。同时，考虑到后续设备对加密的识别和解密需求，需要预留特定的udp目的端口号(udp dest port)来标识加密报文。在解密时，可依据特定的udp目的端口号识别该报文为加密报文，需进行解密处理。对于解密后的报文则依据报文所在硬管道的编号将报文送入入方向处理模块中对应硬管道中。
60.当报文在加解密模块中完成加解密后，加解密模块进一步依据报文所在硬管道的编号将报文送入入方向处理模块中对应硬管道，入方向处理模块根据外层ip和udp进行转
发处理，并通过调度模块送入出方向处理模块对应的硬管道中，出方向处理模块进一步根据下一跳转发信息完成报文编辑
61.本发明通过在加解密模块中设置多个硬管道，以与入方向处理模块、出方向处理模块中的硬管道对接，一方面保障了高优先级流量在加解密模块中的低时延，另一方面确保高优先级流量在全流水线获得优先处理，而不会被低优先级流量抢占资源，满足边缘计算安全的确定性低时延需求，为大规模的边缘安全网络部署打下了技术基础。
62.本发明的技术内容及技术特征已揭示如上，然而熟悉本领域的技术人员仍可能基于本发明的教示及揭示而作种种不背离本发明精神的替换及修饰，因此，本发明保护范围应不限于实施例所揭示的内容，而应包括各种不背离本发明的替换及修饰，并为本专利申请权利要求所涵盖。