本发明专利技术公开了一种Macsec解密方法和装置,其中,所述Macsec解密方法,包括:接收到加密报文后,路过Macsec Engine不做处理;截取报文的SCI信息和Port信息,以匹配对应的解密通道;如果匹配到,则loopback到Macsec Engine,进行解密;否则,丢弃报文。通过所述Macsec解密方法和装置,可以解决Macsec在应用中存在的资源和端口浪费的问题。口浪费的问题。口浪费的问题。
【技术实现步骤摘要】
Macsec解密方法和装置
[0001]本专利技术涉及网络
,特别是涉及一种Macsec解密方法和装置。
技术介绍
[0002]MACsec(Media Access Control Security,MAC安全)定义了基于IEEE 802局域网络的数据安全通信的方法,MACsec可为用户提供安全的MAC层数据发送和接收服务,包括用户数据加密、数据帧完整性检查及数据源真实性校验。在MACsec架构中,SC(SecureChannel,安全通道)是CA(secure Connectivity Association,安全连接关联)参与者之间用于传输MAC安全数据的安全通道,每个SC可提供单向点到点或点到多点的通信,如对于点对点的两台设备A和设备B,A到B单向数据转发链路可认为一个SC(a),B到A单向数据转发链路可认为另外一个SC(b)。一个安全通道中可包含多个SA(Secure Association,安全关联),每一个SA拥有一个不同的密钥。
[0003]当前Macsec只支持P2P模式,无法满足P2MP点到多点的应用,即Macsec在解密方向上,无法支持点对多点。这将会导致对于资源和端口的浪费。
技术实现思路
[0004]本专利技术实施例所要解决的技术问题是,如何解决现有技术中,Macsec在应用中存在的资源和端口浪费的问题。
[0005]为了解决上述问题,本专利技术提供的技术方案如下:
[0006]一种Macsec解密方法,其中,包括:接收到加密报文后,路过Macsec Engine不做处理;截取报文的SCI信息和Port信息,以匹配对应的解密通道;如果匹配到,则loopback到Macsec Engine,进行解密;否则,丢弃报文。
[0007]较优的,上述的Macsec解密方法中,所述截取报文的SCI信息和Port信息包括:通过SCL匹配报文中UDF字段的SCI信息;报文通过UDF自定义偏移量,在所述UDF字段携带相应的SCI信息。
[0008]较优的,上述的Macsec解密方法中,匹配到匹配报文中UDF字段的SCI信息后还包括:将报文loop到入方向处理引擎进行报文解析。
[0009]较优的,上述的Macsec解密方法中,于将报文loop到入方向处理引擎进行报文解析后,还包括:根据匹配到的UDF字段,索引对应的SCL表,匹配对应的解密通道。
[0010]较优的,上述的Macsec解密方法中,当匹配到对应的解密通道后还包括:使能高级Macsec寄存器。
[0011]为了解决上述的技术问题,本专利技术还提供了一种Macsec解密装置,其中,包括:接收单元,用于接收到加密报文后,路过Macsec Engine不做处理;匹配单元,截取报文的SCI信息和Port信息,以匹配对应的解密通道;处理单元,用于如果匹配到,则loopback到Macsec Engine,进行解密;否则,丢弃报文。
[0012]较优的,上述的Macsec解密装置中,所述匹配单元通过SCL匹配报文中UDF字段的
SCI信息;报文通过UDF自定义偏移量,在所述UDF字段携带相应的SCI信息。
[0013]较优的,上述的Macsec解密装置中,所述匹配单元在匹配到匹配报文中UDF字段的SCI信息后,还将报文loop到入方向处理引擎进行报文解析。
[0014]较优的,上述的Macsec解密装置中,所述匹配单元在将报文loop到入方向处理引擎进行报文解析后,还用于根据匹配到的UDF字段,索引对应的SCL表,匹配对应的解密通道。
[0015]较优的,上述的Macsec解密装置中,所述匹配单元还用于当匹配到对应的解密通道后,使能高级Macsec寄存器。
[0016]与现有技术相比,本专利技术的技术方案具有以下优点:
[0017]本专利技术在接收到Macsec加密报文后,通过匹配自定义字段中的SCI信息作为不同加解密套件的索引,从而匹配到对应的解密通道。通过匹配不同的udf内容,查找匹配不同的解密通道,这样可以实现多个解密通道绑定到一个端口上,实现P2MP的功能,满足了点到多点的需求,实现单点对多点的互通解密,从而节约了端口的成本,避免了资源的浪费。
附图说明
[0018]图1是本专利技术实施例1中Macsec解密方法的流程示意图。
具体实施方式
[0019]现有技术中,Macsec只支持P2P模式,无法满足P2MP点到多点的应用,即Macsec在解密方向上,无法支持点对多点。这将会导致对于资源和端口的浪费。
[0020]本专利技术实施例在接收到Macsec加密报文后,通过匹配自定义字段中的SCI信息作为不同加解密套件的索引,从而匹配到对应的解密通道。通过匹配不同的udf内容,查找匹配不同的解密通道,这样可以实现多个解密通道绑定到一个端口上,实现P2MP的功能,满足了点到多点的需求,实现单点对多点的互通解密,从而节约了端口的成本,避免了资源的浪费。
[0021]为使本专利技术的上述目的、特征和优点能够更为明显易懂,下面结合附图对本专利技术的具体实施例做详细的说明。
[0022]实施例1
[0023]如图1所示,本实施例的一种Macsec解密方法包括:
[0024]步骤S101,接收到Macsec加密报文;
[0025]当接收到Macsec加密报文后,第一次bypass Macsec Engine不做处理。
[0026]步骤S102,通过SCL匹配报文中UDF字段的SCI信息;
[0027]本实施例通过UDF在Macsec加密报文的预设字段位置,自定义SCI信息,使得报文通过UDF自定义偏移量,在所述UDF字段携带相应的SCI信息。用户自定义字段(User Defined Field,UDF)为用户提供了一种自由度很大的Match(匹配)工具,使得可以不必拘泥于网络层/传输层(L3/L4)已经定义的协议字段,而是按照自定义的offset(偏移)和内容进行匹配。
[0028]如果没有匹配到对应的SCI信息,则丢弃该报文。
[0029]步骤S103,将报文loop到入方向处理引擎进行报文解析;
[0030]当通过步骤S102获取报文的SCI信息后,重新将报文loop到入方向处理引擎IPE进行报文解析处理。
[0031]步骤S104,匹配对应的解密通道;
[0032]根据从步骤S102获取的SCI信息,通过对应的表项,即SCL表项,可以查找到不同的解密通道,同时,使能高级macsec这个寄存器,让芯片loop回到macsec engine时候按照高级macsec的解密流程进行处理。如果没有匹配到对应的解密通道,则丢弃该报文。
[0033]步骤S105,loopback到Macsec Engine进行高级Macsec解密。
[0034]如果查到不同的解密通道,则loopback到RX,由Macsec Engine进行相应的解密操作,重新解析报文。Ma本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种Macsec解密方法,其特征在于,包括:接收到加密报文后,路过Macsec Engine不做处理;截取报文的SCI信息和Port信息,以匹配对应的解密通道;如果匹配到,则loopback到Macsec Engine,进行解密;否则,丢弃报文。2.如权利要求1所述的Macsec解密方法,其特征在于,所述截取报文的SCI信息和Port信息包括:通过SCL匹配报文中UDF字段的SCI信息;报文通过UDF自定义偏移量,在所述UDF字段携带相应的SCI信息。3.如权利要求2所述的Macsec解密方法,其特征在于,匹配到匹配报文中UDF字段的SCI信息后还包括:将报文loop到入方向处理引擎进行报文解析。4.如权利要求3所述的Macsec解密方法,其特征在于,于将报文loop到入方向处理引擎进行报文解析后,还包括:根据匹配到的UDF字段,索引对应的SCL表,匹配对应的解密通道。5.如权利要求1所述的Macsec解密方法,其特征在于,当匹配到对应的解密通道后还包括:使能高级Macsec寄存器。6.一种Macsec解密装...
【专利技术属性】
技术研发人员:周杰,尹相,王全刚,赵国梁,
申请(专利权)人:盛科网络苏州有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。