CN101193064A - 用于计算机联网的系统和方法 - Google Patents

用于计算机联网的系统和方法 Download PDF

Info

Publication number
CN101193064A
CN101193064A CNA2007101938832A CN200710193883A CN101193064A CN 101193064 A CN101193064 A CN 101193064A CN A2007101938832 A CNA2007101938832 A CN A2007101938832A CN 200710193883 A CN200710193883 A CN 200710193883A CN 101193064 A CN101193064 A CN 101193064A
Authority
CN
China
Prior art keywords
macsec
packet
header information
additional header
network
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CNA2007101938832A
Other languages
English (en)
Other versions
CN101193064B (zh
Inventor
博拉·阿克约尔
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Avago Technologies General IP Singapore Pte Ltd
Original Assignee
Zyray Wireless Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Zyray Wireless Inc filed Critical Zyray Wireless Inc
Publication of CN101193064A publication Critical patent/CN101193064A/zh
Application granted granted Critical
Publication of CN101193064B publication Critical patent/CN101193064B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/46Interconnection of networks
    • H04L12/4633Interconnection of networks using encapsulation techniques, e.g. tunneling
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L65/00Network arrangements, protocols or services for supporting real-time applications in data packet communication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/46Interconnection of networks
    • H04L12/4641Virtual LANs, VLANs, e.g. virtual private networks [VPN]
    • H04L12/4645Details on frame tagging
    • H04L12/465Details on frame tagging wherein a single frame includes a plurality of VLAN tags
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/22Parsing or analysis of headers

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Multimedia (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Small-Scale Networks (AREA)

Abstract

本发明提供了一种用于计算机联网的方法和系统,更具体地,涉及用于通过非MACSec可用节点隧道传输MACSec数据包的方法和系统的各个方面。在这一点上,本发明的各个方面可用于在MACSec可用和非MACSec可用网络节点上传送MACSec以太网数据包。在本发明的一个实施例中,可在向非MACSec可用节点发送MACSec数据包之前,在所述MACSec数据包中插入附加报头信息。因此,本发明的各个方面可移除从非MACSec可用节点接收到MACSec数据包的附加报头信息,并辨别包括插入附加报头信息的数据包,所述附加报头信息可包括区别性以太类型。

Description

用于计算机联网的系统和方法
技术领域
本发明涉及计算机联网,更具体地说,涉及一种用于通过非MACSec(媒体访问控制安全)节点隧道传输MACSec数据包的方法和系统。
背景技术
计算机网络是通过传输介质通信连接的用于传送信息的两个或更多处理节点的集合。大多数网络遵循开放式系统互联(OSI)参考模型提供的分层结构。OSI参考提供7层结构,其包括应用层(层7)、表示层(层6)、会话层(层5)、传输层(层4)、网络层(层3)、数据链路层(层2)和物理层(层1)。其涵盖的层7到层5可包括上层协议,而层4到层1可包括下层协议。某些网络可使用7个层中的一部分。例如,TCP/IP模型或以太网参考模型一般使用5层模型,其包括应用层(层7)、传输层(层4)、网络层(层3)、数据链路层(层2)和物理层(层1)。可将这5层分为相当明确的任务组或服务组。
层7,应用层,一般用于支持网络应用,如网络浏览器和电邮客户端程序。并且其一般在终端系统的软件中运行,如个人计算机和服务器。典型的层5协议包括HTTP以支持环球网,且包括SMTP以支持电子邮件。
层6,表示层,一般用于标记可能在部分不同或完全不同的系统之间发生的任何数据格式差异。表示层定义体系结构无关的数据传输格式,并可实现数据的编码、解码、加密、解密、压缩和/或解压缩。
层5,会话层,一般用于管理用户会话。在这一点上,会话层可用于控制用户之间逻辑链路的建立和终止。会话层也可用于提供上层错误的处理和报告。
层4,传输层,一般用于在应用程序的客户机和服务器侧之间传送应用层信息。在这一点上,传输层可用于管理网络中消息的端到端传输。传输层可包括各种错误恢复和/或流程控制机制,用于提供可靠的信息传输。到目前为止,在以太网中两种最常用的层4协议是用于互联网中的传输控制协议(TCP)和用户数据报协议(UDP)。
层3,网络层,一般用于确定怎样在网络设备之间传输数据。可根据唯一的网络地址传送数据。在这一点上,网络层可在终端系统之间传送如数据报。如因特网协议,定义了数据报的格式和内容,且可在结合任意数量的路由协议的层3中执行,所述路由协议可在沿着从一个终端系统到另一个终端系统的数据报的路径上的不同节点(如路由器和桥接器等设备)中执行。
层2,数据链路层,一般用于将数据包从一个节点转移到另一个节点。数据链路层定义了用于运行通信链路的各种步骤和机制,且可实现如网络内部数据包的组帧。数据链路层可用于数据包错误的检测和/或校正。以太网(IEEE 802.3)协议是现代计算机网络中常用的链路层协议。
层1,物理层,一般用于定义物理构件,所述构件包括使用网络设备在通信媒介上通过网络设备传输数据的光学、电学和/或机械构件。将来自层2的比特流转换为用于在介质上传输的一系列物理信号。例如,层2技术(如以太网)可根据信号是在双绞线或是在空气中传送,执行多个层1协议。
在层2,现今的企业网主要基于IEEE 802.3以太网技术。虽然以太网为企业提供无处不在的和成本较低的网络连接,但是在对所述网络的接入控制却不是很有效。尽管IEEE试图改进使用IEEE 802.1x标准的有线以太网的接入控制,但是由于种种原因这个标准并没有受到普遍的认同。其中的一个负面原因涉及仅仅当用户开始使用网络时,IEEE 802.1x布线才实际有效且其遵循每个端口一个设备的模式。当支持每个端口模式多于一个设备时,没有对每个数据包的确认,也没有任何执行接入控制的标准方法。卖方仅为后者提供非标准构件,前者仍然不能实现。
IEEE标准802.1ae、802.1af和802.1ar构成了用于以太网网络接入控制的新构架。这三个标准构成了基于现有IEEE 802.1x的接入控制机制的替代。IEEE 802.1ae(MACSec)标准定义了数据链路层加密和鉴定机制。802.1af(当前正在开发中)定义了用于802.1ae的控制面板和键控协议。IEEE 802.1ar(当前正在开发中)定义了网络和与网络连接的设备如何鉴别和验证彼此的身份。
MACSec通过如下方式在有线以太网中集成安全性:识别与LAN连接的设备并将所述设备分类为授权设备和未授权设备。典型的可识别和分类的网络设备包括:计算机、无线接入点、服务器、VOIP电话、路由器、交换器、桥接器和网络集线器。
虽然MACSec可提供更好的网络安全性和可靠性,但将现有的网络升级成MACSec兼容的却会出现问题。在这一点上,MACSec这样在数据链路层提供网络保护:加密以太网帧的数据,在源MAC地址和加密的数据之间插入报头(SecTAG),以及在加密数据后添加完整性校验值(ICV)。因此,由于MACSec帧的SecTAG占据了在传统以太网帧中一般用于一个或多个虚拟局域网(VLAN)标记的比特位置,因为将SecTAG当作VLAN标记不恰当的解析,所以非MACSec可用的网络节点将不能处理MACSec帧。
比较本发明后续将要结合附图介绍的系统的各个特征,现有和传统技术的其它局限性和弊端对于本领域的普通技术人员来说是显而易见的。
发明内容
本发明提供了一种用于通过非MACSec节点隧道传输MACSec数据包的系统和/或方法,结合至少一幅附图进行了充分的展现和描述,并在权利要求中得到了更完整的阐述。
根据本发明的一个方面,提供了一种用于计算机联网的方法,包括:
判定MACSec数据包的目的地是否需要经过一个或多个非MACSec可用网络节点(MACSec enabled network nodes);以及
基于所述判定,在所述MACSec数据包中插入附加报头信息,用于允许在所述MACSec数据包经过所述一个或多个非MACSec可用节点时可以被识别。
优选地,所述方法进一步包括在所述MACSec数据包的源MAC地址字段和SecTAG之间插入所述附加报头信息。
优选地,所述附加报头信息包括一个或多个VLAN标记。
优选地,所述附加报头信息包括用于识别所述MACSec数据包的以太类型字段。
优选地,所述方法进一步包括解析插入到所述MACSec数据包中的附加报头信息。
优选地,所述方法进一步包括识别与经解析的插入到所述MACSec数据包中的附加报头信息相关的以太类型。
优选地,所述方法进一步包括基于所述以太类型,从所述MACSec数据包的源MAC地址字段和SecTAG字段之间移除所述插入的附加报头信息。
优选地,所述方法进一步包括基于所述移除的附加报头信息生成一个或多个控制比特。
优选地,所述方法进一步包括基于所述生成的一个或多个控制比特处理所述MACSec数据包。
优选地,所述方法进一步包括基于一个或多个控制比特生成插入到所述MACSec数据包的所述附加报头信息。
优选地,包括所述插入的附加报头信息的所述MACSec数据包可由MACSec可用节点识别。
根据本发明的一个方面,提供了一种机器可读储存,其内存储的计算机程序包括至少一个用于计算机联网的代码段,所示至少一个代码段由机器执行而使得所述机器执行如下步骤:
判定MACSec数据包的目的地是否需要经过一个或多个非MACSec可用网络节点;以及
基于所述判定,在所述MACSec数据包中插入附加报头信息,用于允许在所述MACSec数据包经过所述一个或多个非MACSec可用节点时可以被识别。
优选地,所述的至少一个代码段,用于在所述MACSec数据包的源MAC地址字段和SecTAG之间插入所述附加报头信息。
优选地,所述附加报头信息包括一个或多个VLAN标记。
优选地,所述附加报头信息包括用于识别所述MACSec数据包的以太类型字段。
优选地,所述的至少一个代码段,用于解析插入到所述MACSec数据包中的附加报头信息。
优选地,所述的至少一个代码段,用于识别与经解析的插入到所述MACSec数据包中的附加报头信息相关的以太类型。
优选地,所述的至少一个代码段,用于基于所述以太类型,从所述MACSec数据包的源MAC地址字段和SecTAG字段之间移除所述插入的附加报头信息。
优选地,所述的至少一个代码段,用于基于所述移除的附加报头信息生成一个或多个控制比特。
优选地,所述的至少一个代码段,用于基于所述生成的一个或多个控制比特处理所述MACSec数据包。
优选地,所述的至少一个代码段,用于基于一个或多个控制比特生成插入到所述MACSec数据包的所述附加报头信息。
优选地,包括所述插入的附加报头信息的所述MACSec数据包可由MACSec可用节点识别。
根据本发明的一个方面,提供了一种用于计算机联网的系统,所述系统包括:
至少一个处理器,用于判定MACSec数据包的目的地是否需要经过一个或多个非MACSec可用网络节点;以及
所述至少一个处理器,用于基于所述判定,在所述MACSec数据包中插入附加报头信息,用于允许在所述MACSec数据包经过所述一个或多个非MACSec可用节点时可以被识别。
优选地,所述至少一个处理器,用于在所述MACSec数据包的源MAC地址字段和SecTAG之间插入所述附加报头信息。
优选地,所述附加报头信息包括一个或多个VLAN标记。
优选地,所述附加报头信息包括用于识别所述MACSec数据包的以太类型字段。
优选地,所述的至少一个处理器,用于解析插入到所述MACSec数据包中的附加报头信息。
优选地,所述的至少一个处理器,用于识别与经解析的插入到所述MACSec数据包中的附加报头信息相关的以太类型。
优选地,所述的至少一个处理器,用于基于所述以太类型,从所述MACSec数据包的源MAC地址字段和SecTAG之间移除所述插入的附加报头信息。
优选地,所述的至少一个处理器,用于基于所述移除的附加报头信息生成一个或多个控制比特。
优选地,所述的至少一个处理器,用于基于所述生成的一个或多个控制比特处理所述MACSec数据包。
优选地,所述的至少一个处理器,用于基于一个或多个控制比特生成插入到所述MACSec数据包的所述附加报头信息。
优选地,包括所述插入的附加报头信息的所述MACSec数据包可由MACSec可用节点识别。
本发明的各种优点、各个方面和创新特征,以及其中所示例的实施例的细节,将在以下的描述和附图中进行详细介绍。
附图说明
图1A是根据本发明实施例的以太网数据包的典型示意图;
图1B是根据本发明实施例的VLAN标记的以太网数据包的典型示意图图;
图1C是根据本发明实施例的MACSec数据包的典型示意图图;
图1D是根据本发明实施例的经修改的、可以通过MACSec和非MACSec可用的节点的MACSec数据包的典型示意图图;
图2A是根据本发明实施例的可用于通过MACSec和非MACSec可用的节点传送和接收MACSec数据包的网络的典型示意图图;
图2B是根据本发明实施例的与网络200相似的,包括节点250的网络的典型示意图图,所述节点可用于通过MACSec和非MACSec可用的节点传送和接收MACSec数据包;
图3是根据本发明实施例的将MACSec数据包传送到包括MACSec节点和非MACSec可用的节点的网络中的典型步骤流程图;
图4是根据本发明实施例的从包括MACSec节点和非MACSec可用的节点的网络中接收MACSec数据包的典型步骤流程图。
具体实施方式
本发明的具体实施例可涉及一种用于通过非MACSec网络节点隧道传输MACSec数据包的方法和系统。在这一点上,本发明的各个方面可用于通过非MACSec可用节点和MACSec节点传送MACSec以太网数据包。在本发明的一个实施例中,在向非MACSec可用节点传送MACSec数据包之前,在MACSec数据包中插入附加报头信息。因此,本发明的各个方面可用于从非MACSec可用节点接收到的数据包上移除附加报头信息。为了区别包括插入附加报头信息的数据包,这个标记可包括区别性以太类型。
图1A是根据本发明实施例的以太网数据包100a的典型示意图。参照图1A,以太网数据包包括目的MAC地址字段102、源MAC地址字段104、以太类型字段106、数据字段108和帧校验序列(FCS)110。
目的MAC地址字段102可包括用于识别数据包送达的节点的信息。源MAC地址字段104可包括用于识别生成所述数据包的节点的信息。以太类型字段106可包括用于识别数据包中传送的协议(举例来说,IPv4或IPv6)的信息。数据字段108可包括传送的数据。FCS 110可包括可用于为数据包提供错误检测的信息。
在运行中,当数据包(如100a)到达网络节点时,该节点可解析所述数据包的一个或多个字段,以确定将对所述数据包采取的行动。在这一点上,这个节点可以是网络交换器,并且所述网络交换器可解析目的MAC地址字段102和源MAC地址字段104以确定向的哪一个接口转发所述数据包。选择性地,这个节点可以是终端系统且可解析以太类型字段106以确定用于上传所述数据包的网络层协议。典型的以太类型包括用于因特网协议版本4(IPv4)的0x0800、用于地址分辨协议(ARP)的0x0806和用于IPv6的0x86DD。
图1B是根据本发明实施例的VLAN标记的以太网数据包100b的典型框图。参照图1B,VLAN标记的以太网数据包可包括插入到源MAC地址之后和以太类型字段之前的VLAN标记112。
VLAN标记112可包括VLAN以太类型114和标记控制信息(TCI)字段116。以太类型114可包括数字标志符,所述数字标志符可用于识别已由VLAN进行标记并因此被解析的数据包。典型的数字标志符可包括0x8100。TCI字段116可包括两字节信息。所述信息可用于确定数据包的优先级、所述数据包对于以太网和令牌环网络的兼容性;所述信息还可包括指示所述数据包所属的VLAN的数字标志符。
在这一点上,VLAN标记的以太网数据包100b具有相对于100a有所改变的结构,这样网络节点需要一种识别接收到的数据包格式以适当地解析所述数据包的方法。因此VLAN以太类型114可用于识别数据包的网络节点,该数据包可以为VLAN标记的数据包。
图1C是根据本发明实施例的MACSec数据包100c的典型示意图。参照图1C,MACSec数据包100c可包括安全标记(SecTAG)118、安全数据字段130和完整性校验值(ICV)140。
可在源MAC地址字段后插入安全标记(SecTAG),其可包括MACSec以太类型120、TCI/AN字段122、SL字段124、数据包数量字段126和安全信道标识符(SCI)字段128。MACSec以太类型120可包括数字标志符,0x88E5,其可指示数据包是MACSec数据包,可相应地对其进行解析。TCI/AN字段122可包括可用于确定数据包中使用的MACSec协议的版本,还可包括用于在安全信道上发送数据包的信息。SL字段124可包括用于确定SecTAG的最后字节和ICV140的第一字节之间的字节数量的信息。数据包数量字段126可包括单调递增值以防止“回放”进攻。SCI字段128可包括可用于识别发送数据包的源地址和端口的信息。
源数据字段130可包括VLAN标记132、以太网类型134和数据字段136。VLAN标记132可包括与图1A中的VLAN标记104类似的信息,其区别在于VLAN标记132可加密。以太类型134可包括与图1A中的以太类型106类似的信息,其区别在于以太类型134可加密。数据字段136可包括与图1A中的数据字段类108似的信息,其区别在于数据字段136可加密。
完整性校验值(ICV)140可包括可用于校验数据包100c完整性的信息。FCS 138可包括图1A中的FCS 110类似的信息。
MACSec数据包100c可具有相对于数据包100a和100b有所改变的结构,这样网络节点需要一种识别接收到的数据包格式以适当地解析所述数据包的方法。因此,MACSec以太类型120可向网络节点指示数据包是MACSec数据包。但是,因为MACSec协议是最近才标准化的,现有的网络中布设的大部分网络硬件都是与MACSec不兼容的。在这一点上,硬件可能不承认MACSec以太类型120,例如08x88E5,作为有效以太类型,不能适当地解析MACSec数据包(如MACSec数据包100c)。
图1D是根据本发明实施例的经修改的、可以通过MACSec和非MACSec可用的节点的MACSec数据包100d的典型示意图。参照图1D,所述数据包可包括在源MAC地址字段后插入的附加报头信息142。
在本发明的一个实施例中,例如插入的附加报头信息142可包括具有0x8100以太类型的一个和更多的VLAN标记(如VLAN标记112)。照这样,当数据包100d到达非MACSec可用网络节点时,所述节点可解析0x8100以太类型并把这个数据包看作VLAN标记的以太网数据包并可由此转发这个数据包。当数据包到达MACSec可用网络节点时,这个节点可解析0x8100以太类型并把其看作经修改以经过非MACSec可用网络节点的数据包。因此,MACSec可用网络节点可在进一步解析和处理这个MACSec数据包之前剔除附加报头信息142。
图2A是根据本发明实施例的可用于通过MACSec和非MACSec可用的节点传送和接收MACSec数据包的网络的典型示意图。参照图2A,典型网络200可包括多个MACAec可用网络202和非MACAec可用网络204。图2A的每个典型网络202、204可包括计算机210、服务器212和交换器214。图2示出了传输路径220、222和224。传输路径220可通过交换器214a和214c将网络202a通信连接到网络202c。传输路径222可通过交换器214a和214b将网络202a通信连接到网络204。传输路径224可通过交换器214b和214c将网络204通信连接到网络202c。尽管仅描述三个典型组,该网络可包括任何数量和组合的网络。因此每个网络可包括任何数量的计算机、服务器、交换器、路由器、网络集线器和任何其他的网络节点。
计算机210和服务器212可包括合适的逻辑、电路和/或代码,可用于在网络上生成和交换消息。在这一点上,计算机210和服务器212可生成应用层消息,所述消息可下传到网络提取层(Network Abstraction Layer)以经过网络传送。类似地,计算机210和服务器212可用于从网络接收数据,解析所述数据并将其上传到网络提取层。
交换器214可包括合适的逻辑、电路和/或代码,可用于从网络接收以太网数据包,解析所述数据包以确定所述数据包的一个或多个目的节点,并转发所述数据包到网络中的一个或多个节点。在这一点上,交换器214可执行层2的功能用于解析和压缩以太网数据,也可执行层1的功能用于在物理媒介上接收和发送这些数据包的比特。
在运行中,典型的网络通信可包括计算机210a生成消息并以去向服务器212c的一个或多个MACSec数据包的格式将其发送到网络上。在这个典型通信中,向上到达交换器214a的MACSec数据包,可选择两个路线中的一个以到达服务器212c。第一路线(路径220)包括直接从MACSec可用交换器214a传送MACSec数据包到MACSec可用交换器214c。第二路线(路径222和224)包括将MACSec数据包从MACSec可用交换器214a传送到非MACSec可用交换器214b再到MACSec可用交换器214c。
在通过路径220在交换器214a和214c之间传送一个或多个MACSec数据包的过程中,本发明的各个方面可使交换器214a确定交换器214c为MACSec可用节点,并使交换器214a传送MACSec数据包而无需在数据包中插入任何附加报头信息。在这一点上,在路径220上传送的数据包可是以数据包100c的格式。因此,本发明的各个方面可使用交换器214c以确定从交换器214a接收到的数据包可是以数据包100c的格式,因此交换器214c可解析所述数据包。
通过路径222和224在交换器214a和214c间传送一个或多个MACSec数据包的过程中,本发明的各个方面可使用交换器214a以确定交换器214b是非MACSec可用交换器,并可在向交换器214b传送所述数据包之前,使交换器214a在所述数据包中插入附加报头信息(如图1D中公开的报头信息142)。在这一点上,通过路径222和224从交换器214a向交换器214c传送的数据包是以数据包100d的格式。因此,本发明的各个方面可使交换器214c确定从交换器214b接收到的数据包是以数据包100d的格式。在这一点上,本发明的各个方面可在进一步解析和处理所述数据包之前,使用交换器214c剔除从交换器214b接收到的数据包的附加报头信息。在本发明的一个典型实施例中,所述附加报头信息可包括一个或多个VLAN标记。
图2B是根据本发明实施例的与网络200相似的,包括节点250的网络的典型示意图,所述节点250可用于传送和接收MACSec数据包。在这一点上,节点250可看作交换器(如图2A中公开的交换器214)。参照图2B,典型节点250可包括存储器252、网络接口硬件驱动254和处理器256。
存储器252可包括合适的逻辑、电路和/或代码,可用于存储用于处理数据包的信息。在这一点上,存储器252可包括用于判定网络节点是否与MACSec兼容的一个或多个查找表/数据库;用于确定在MACSec数据包中插入附加报头信息的一个或多个查找表/数据库;以及用于生成供处理器256使用以处理和转发所述数据包的一个或多个控制比特。
NIHW设备254可包括合适的逻辑、电路和/或代码,可用于接收和/或传送网络中的数据包。在这一点上,NIHW设备254可用于在物理媒介上接收和传送比特且可用于向处理器256和/或存储器252传输接收到的比特。
处理器256可包括合适的逻辑、电路和/或代码,可用于使处理器256与存储器252交互,并使NIHW设备254接收、处理和上传数据包。在这一点上,所述处理器可向存储器252和NIHW设备254提供控制信号和/或指令,用于使得节点250接收和发送格式为图1中公开的数据包100b、100c和100d的格式的数据包。
在运行中,数据包可以物理介质上的比特流的格式到达节点250。NIHW设备254可接收这些比特并将其传送到处理器256和/或存储器252。处理器256可解析接收到的数据包的以太类型字段,并确定所述数据包是否包括MACSec数据包(如数据包100c),或包括修改的MACSec数据包(如数据包100d)。如果这个数据包的源是MACSec可用,其以太类型字段可指示这个数据包为数据包100c的格式。因此处理器可进一步解析和处理这个数据包。如果该数据包的源是非MACSec可用,这个以太类型字段可指示这个数据包为数据包100d的格式。因此,在进一步解析和处理该数据包之前,处理器从该数据包中剔除标记。因此,处理器可将从数据包上移除的附加报头信息转换为一个或多个控制比特,所述控制比特可用于进一步解析和处理该数据包。
当将要转发数据包时,处理器可搜索存储器252,并判定要到达目的地是否需要经过网络中的非MACSec可用节点。在这一点上,例如,处理器可搜索存储器252,查找数据包和/或用于传输所述数据包的外出端口(egressport)的目的MAC地址。如果目的数据包不需要经过非MACSec可用节点,那么处理器可格式化类似于数据包100c的所述数据包,且NIHW设备254可发送该数据包到网络。如果这个目的地需要经过非MACSec可用节点,处理器将插入附加报头信息(如数据包100d中的报头信息142),且NIHW设备254可向网络发送该数据包。在这一点上,处理器可能需要使用一个或多个控制比特或利用存储器252来确定要插入的附加报头信息,所述控制比特是在接收的数据包时生成的。在本发明的一个典型实施例中,附加报头信息可包括一个或多个VLAN标记。
图3是根据本发明实施例的在包括MACSec节点和非MACSec可用的节点的网络(如图2A中公开的网络200)中传送MACSec数据包的过程的典型步骤流程图。参照图3,所述过程始于步骤304,在此数据包已经准备好由网络节点(如图2中的计算机210a)传送,这个过程接着前进到步骤306。在步骤306中,将判定到达目的地是否需经过网络中的非MACSec可用节点(如交换器214b)。在确定到达目的地不需经过非MACSec可用节点的情况下,接着处理器将前进到步骤310,在此数据包以图1B中的数据包的格式传送到网络中。
回到步骤306,在确定到达目的地需要经过非MACSec可用节点(如交换器214b)的情况下,接着这个过程将前进到步骤308,在步骤308中,可在源MAC地址字段后插入附加报头信息(如一个或多个VLAN标记),如图1D中的附加报头信息所示。接着步骤308,整个过程可前进到步骤310。
图4是根据本发明实施例的在包括MACSec节点和非MACSec可用的节点的网络(如图2A中的网络200)中接收MACSec数据包的过程的典型步骤流程图。参照图4,这个过程始于步骤404,在此在网络节点(如图2A中的交换器214c)接收数据包,且这个过程接着将前进到步骤406。在步骤406中可基于数据包的以太类型判定数据包是否来自MACSec可用节点(如交换器214a)。在确定数据包来自MACSec可用节点且可为图1C中公开的数据包格式的情况下,这个过程接着可前进到步骤412,在此可处理该MACSec数据包。在这一点上,数据包的处理可包括解析、解密、鉴别、确认和/或处理所述数据包,用于上传。
返回步骤406,在确定数据包来自非MACSec可用节点(如交换器214c)且可为图1D中公开的数据包格式的情况下,接着这个过程将前进到步骤408。在步骤408中,可从数据包中移除附加报头信息且这个过程前进到步骤410。在步骤410中,可将移除的附加报头信道转换成一个或多个控制比特。所述比特可用于保护包括移除的附加报头信息的信息,且这个过程前进到步骤412。
本发明的各个方面可在这样的方法和系统中找到,这些方法和系统可用于判定到达MACSec数据包(如数据包100c)的目的地是否需要经过一个或多个MACSec可用网络节点(如交换器214b),以及基于上述判定在MACSec数据包中插入附加报头信息(如数据包100d中的报头142)。可基于从一个或多个接收到的数据包生成的一个或多个控制比特,生成用于插入的附加报头信息142。插入的附加报头信息可允许MACSec可用网络节点和非MACSec可用网络节点识别MACSec数据包。在这一点上,在本发明的典型实施例中,附加报头信息可包括与图1B中公开的VLAN标记112类似的一个或多个VLAN标记和/或与图1中公开的以太类型字段104、114和134类似的以太类型字段,用于识别MACSec数据包。
在本发明的各个实施例中,可如数据包100d中所示,在MACSec数据包中的源MAC地址字段104和SecTAG字段118之间插入附加报头信息。网络可解析MACSec数据包中插入的附加报头信息,且所述附加报头信息可包括识别插入的报头信息的以太类型。照这样,本发明的各种实施例可基于识别比特类型移除插入的报头142。可将移除的报头信息转换成一个或多个控制比特,可基于所述控制比特处理MACSec数据包。
因此,本发明可以通过硬件、软件,或者软、硬件结合来实现。本发明可以在至少一个计算机系统中以集中方式实现,或者由分布在几个互连的计算机系统中的不同部分以分散方式实现。任何可以实现方法的计算机系统或其它设备都是可适用的。常用软硬件的结合可以是安装有计算机程序的通用计算机系统,通过安装和执行程序控制计算机系统,使其按方法运行。
本发明还可以通过计算机程序产品进行实施,程序包含能够实现本发明方法的全部特征,当其安装到计算机系统中时,可以实现本发明的方法。本文件中的计算机程序所指的是:可以采用任何程序语言、代码或符号编写的一组指令的任何表达式,该指令组使系统具有信息处理能力,以直接实现特定功能,或在进行下述一个或两个步骤之后实现特定功能:a)转换成其它语言、编码或符号;b)以不同的格式再现。
虽然本发明是通过具体实施例进行说明的,本领域技术人员应当明白,在不脱离本发明范围的情况下,还可以对本发明进行各种变换及等同替代。另外,针对特定情形或材料,可以对本发明做各种修改,而不脱离本发明的范围。因此,本发明不局限于所公开的具体实施例,而应当包括落入本发明权利要求范围内的全部实施方式。

Claims (10)

1.一种用于计算机联网的方法,其特征在于,包括:
判定MACSec数据包的目的地是否需要经过一个或多个非MACSec可用网络节点;以及
基于所述判定,在所述MACSec数据包中插入附加报头信息,用于允许在所述MACSec数据包在经过所述一个或多个非MACSec可用节点时可以被识别。
2.根据权利要求1所述的方法,其特征在于,包括在所述MACSec数据包的源MAC地址字段和SecTAG之间插入所述附加报头信息。
3.根据权利要求1所述的方法,其特征在于,所述附加报头信息包括一个或多个VLAN标记。
4.根据权利要求1所述的方法,其特征在于,所述附加报头信息包括用于识别所述MACSec数据包的以太类型字段。
5.根据权利要求1所述的方法,其特征在于,包括解析插入到所述MACSec数据包中的附加报头信息。
6.一种机器可读储存,其内存储的计算机程序包括至少一个用于计算机联网的代码段,其特征在于,所示至少一个代码段由机器执行而使得所述机器执行如下步骤:
判定MACSec数据包的目的地是否需要经过一个或多个非MACSec可用节点;以及
基于所述判定,在所述MACSec数据包中插入附加报头信息,用于允许在所述MACSec数据包经过所述一个或多个非MACSec可用节点时可以被识别。
7.一种用于计算机联网的系统,其特征在于,所述系统包括:
至少一个处理器,用于判定MACSec数据包的目的地是否需要经过一个或多个非MACSec可用网络节点;以及
所述至少一个处理器,用于基于所述判定,在所述MACSec数据包中插入附加报头信息,用于允许在所述MACSec数据包经过所述一个或多个非MACSec可用节点时可以被识别。
8.根据权利要求7所述的系统,其特征在于,所述至少一个处理器,用于在所述MACSec数据包的源MAC地址字段和SecTAG之间插入所述附加报头信息。
9.根据权利要求7所述的系统,其特征在于,所述附加报头信息包括一个或多个VLAN标记。
10.根据权利要求7所述的系统,其特征在于,所述附加报头信息包括用于识别所述MACSec数据包的以太类型字段。
CN2007101938832A 2006-11-29 2007-11-29 用于计算机联网的系统和方法 Active CN101193064B (zh)

Applications Claiming Priority (4)

Application Number Priority Date Filing Date Title
US86776506P 2006-11-29 2006-11-29
US60/867,765 2006-11-29
US11/685,554 US7729276B2 (en) 2006-11-29 2007-03-13 Method and system for tunneling MACSec packets through non-MACSec nodes
US11/685,554 2007-03-13

Publications (2)

Publication Number Publication Date
CN101193064A true CN101193064A (zh) 2008-06-04
CN101193064B CN101193064B (zh) 2012-10-03

Family

ID=38626738

Family Applications (1)

Application Number Title Priority Date Filing Date
CN2007101938832A Active CN101193064B (zh) 2006-11-29 2007-11-29 用于计算机联网的系统和方法

Country Status (6)

Country Link
US (1) US7729276B2 (zh)
EP (1) EP1928127B1 (zh)
KR (1) KR100910818B1 (zh)
CN (1) CN101193064B (zh)
HK (1) HK1121883A1 (zh)
TW (1) TWI410088B (zh)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2017011948A1 (zh) * 2015-07-17 2017-01-26 华为技术有限公司 报文传输的方法、装置和系统
CN108173769A (zh) * 2017-12-28 2018-06-15 盛科网络(苏州)有限公司 一种报文传输方法、装置及计算机可读存储介质

Families Citing this family (49)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7729276B2 (en) * 2006-11-29 2010-06-01 Broadcom Corporation Method and system for tunneling MACSec packets through non-MACSec nodes
US8752131B2 (en) * 2008-04-30 2014-06-10 Fujitsu Limited Facilitating protection of a maintenance entity group
US8700891B2 (en) * 2008-05-09 2014-04-15 Broadcom Corporation Preserving security association in MACsec protected network through VLAN mapping
US8918631B1 (en) * 2009-03-31 2014-12-23 Juniper Networks, Inc. Methods and apparatus for dynamic automated configuration within a control plane of a switch fabric
US8707020B1 (en) * 2010-05-13 2014-04-22 ClearCrypt, Inc. Selective exposure of feature tags in a MACSec packet
US8880869B1 (en) 2010-11-22 2014-11-04 Juniper Networks, Inc. Secure wireless local area network (WLAN) for data and control traffic
CN102035845B (zh) 2010-12-20 2012-07-18 西安西电捷通无线网络通信股份有限公司 支持链路层保密传输的交换设备及其数据处理方法
WO2012107074A1 (en) * 2011-02-07 2012-08-16 Abb Research Ltd Device and method for securing ethernet communication
US8966240B2 (en) * 2011-10-05 2015-02-24 Cisco Technology, Inc. Enabling packet handling information in the clear for MACSEC protected frames
WO2013068505A1 (en) * 2011-11-09 2013-05-16 Nec Europe Ltd. Method and system for supporting transport of data packets in a network
WO2013147731A1 (en) 2012-03-26 2013-10-03 Hewlett-Packard Development Company, L.P. Frame passing based on ethertype
US20150207793A1 (en) * 2012-07-31 2015-07-23 Parvez Syed Mohamed Feature Enablement or Disablement Based on Discovery Message
US8635392B1 (en) * 2012-10-12 2014-01-21 Broadcom Corporation Media access control security (MACsec) management with a layer management interface (LMI) configured to communication over management data input/output (MDIO) protocol
US10397221B2 (en) * 2013-01-31 2019-08-27 Hewlett Packard Enterprise Development Lp Network controller provisioned MACsec keys
WO2014137351A1 (en) 2013-03-08 2014-09-12 Hewlett-Packard Development Company, L.P. Routing a data packet to a shared security engine
WO2014143025A1 (en) 2013-03-15 2014-09-18 Hewlett-Packard Development Company, L.P. Secure path determination between devices
US10924470B2 (en) * 2013-03-27 2021-02-16 Nokia Solutions And Networks Oy Secured network architecture
KR101621717B1 (ko) 2015-01-30 2016-05-17 아토리서치(주) 소프트웨어 정의 데이터 센터의 네트워크 자원을 가상화 하는 방법, 장치 및 컴퓨터 프로그램
US9992310B2 (en) 2015-10-13 2018-06-05 Cisco Technology, Inc. Multi-hop Wan MACsec over IP
CN105635154A (zh) * 2016-01-05 2016-06-01 盛科网络(苏州)有限公司 灵活的MACSec报文加密认证的芯片实现方法及实现装置
US10454928B2 (en) * 2016-10-25 2019-10-22 Cisco Technology, Inc. Apparatus and method for inssec packet generation
US10476910B2 (en) 2017-06-21 2019-11-12 Mastercard International Incorporated Systems and methods for secure network communication
US20190007302A1 (en) * 2017-06-29 2019-01-03 Cisco Technology, Inc. Mechanism for Dual Active Detection Link Monitoring in Virtual Switching System with Hardware Accelerated Fast Hello
KR102464126B1 (ko) 2018-09-12 2022-11-07 삼성전자주식회사 인쇄회로기판 체결 장치
US20210092103A1 (en) * 2018-10-02 2021-03-25 Arista Networks, Inc. In-line encryption of network data
US11316869B2 (en) * 2019-12-10 2022-04-26 Cisco Technology, Inc. Systems and methods for providing attestation of data integrity
US11233635B1 (en) 2020-09-01 2022-01-25 Schweitzer Engineering Laboratories, Inc. Media access control security (MACSEC) application cryptographic fingerprinting
US11677268B2 (en) 2020-09-01 2023-06-13 Schweitzer Engineering Laboratories, Inc. Media access control security (MACsec) application cryptographic fingerprinting
US11777931B2 (en) 2020-10-08 2023-10-03 Schweitzer Engineering Laboratories, Inc. Systems and methods for authorizing access to a component in an electric power distribution system
US11470059B2 (en) 2020-10-14 2022-10-11 Schweitzer Engineering Laboratories, Inc. Systems and methods for establishing secure communication in an electric power distribution system
US11489554B2 (en) 2020-10-30 2022-11-01 Schweitzer Engineering Laboratories, Inc. Systems and methods for establishing secure communication in an electric power distribution system with software defined network
US11502825B2 (en) * 2020-11-17 2022-11-15 Schweitzer Engineering Laboratories, Inc. Systems and methods for using entropy data in an electric power distribution system
US11764969B2 (en) 2020-12-01 2023-09-19 Schweitzer Engineering Laboratories, Inc. Media access control security (MACsec) sandboxing for suspect devices
US11283835B1 (en) 2020-12-18 2022-03-22 Schweitzer Engineering Laboratories, Inc. Systems and methods for establishing a secure communication link in an electric power distribution system
US11843583B2 (en) 2021-01-05 2023-12-12 Schweitzer Engineering Laboratories, Inc. Systems and methods for adjusting a secure communication link in an electric power distribution system
US11637444B2 (en) 2021-01-13 2023-04-25 Schweitzer Engineering Laboratories, Inc. Systems and methods for configuring a secure communication link in an electric power distribution system
US11570179B2 (en) 2021-01-18 2023-01-31 Schweitzer Engineering Laboratories, Inc. Secure transfer using media access control security (MACsec) key agreement (MKA)
US11677494B2 (en) * 2021-01-19 2023-06-13 Avago Technologies International Sales Pte. Limited Enhanced error protection of payload using double CRC
US11425167B1 (en) 2021-03-15 2022-08-23 Schweitzer Engineering Laboratories, Inc. Systems and methods for establishing a secure communication link in an electric power distribution system
US11722501B2 (en) 2021-03-17 2023-08-08 Schweitzer Engineering Laboratories. Inc. Device management in power systems using media access control security (MACsec)
US11843479B2 (en) 2021-03-23 2023-12-12 Schweitzer Engineering Laboratories, Inc. Systems and methods for establishing a secure communication link in an electric power distribution system
US11552822B2 (en) 2021-03-24 2023-01-10 Schweitzer Engineering Laboratories, Inc. Systems and methods for establishing a backup secure communication link in an electric power distribution system
US11601278B2 (en) 2021-03-25 2023-03-07 Schweitzer Engineering Laboratories, Inc. Authentication of intelligent electronic devices (IEDs) using secure association keys (SAKs)
US11550285B1 (en) 2021-06-30 2023-01-10 Schweitzer Engineering Laboratories, Inc. Systems and methods for enabling a maintenance mode of protection devices in digital secondary systems
US11895152B2 (en) 2021-08-12 2024-02-06 Schweitzer Engineering Laboratories, Inc. Systems and methods for establishing a secure communication link in an electric power delivery system
US11811947B2 (en) 2021-08-31 2023-11-07 Schweitzer Engineering Laboratories, Inc. Systems and methods for communicating data securely for an electric power delivery system
US11436109B1 (en) 2021-08-31 2022-09-06 Schweitzer Engineering Laboratories, Inc. Systems and methods for communicating data securely for an electric power delivery system
US11831529B2 (en) 2022-02-04 2023-11-28 Schweitzer Engineering Laboratories, Inc. Redundant generic object oriented substation event (GOOSE) messages
EP4231610A1 (en) * 2022-02-16 2023-08-23 Nxp B.V. An apparatus including a transceiver

Family Cites Families (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6708218B1 (en) * 2000-06-05 2004-03-16 International Business Machines Corporation IpSec performance enhancement using a hardware-based parallel process
US7215667B1 (en) * 2001-11-30 2007-05-08 Corrent Corporation System and method for communicating IPSec tunnel packets with compressed inner headers
US7706302B2 (en) * 2004-09-14 2010-04-27 Alcatel Lucent Optimization of routing forwarding database in a network processor
US7721323B2 (en) * 2004-11-23 2010-05-18 Cisco Technology, Inc. Method and system for including network security information in a frame
US7797745B2 (en) * 2004-12-22 2010-09-14 Electronics And Telecommunications Research Institute MAC security entity for link security entity and transmitting and receiving method therefor
US8732856B2 (en) * 2004-12-30 2014-05-20 Oracle International Corporation Cross-domain security for data vault
US20060259759A1 (en) * 2005-05-16 2006-11-16 Fabio Maino Method and apparatus for securely extending a protected network through secure intermediation of AAA information
US7729276B2 (en) * 2006-11-29 2010-06-01 Broadcom Corporation Method and system for tunneling MACSec packets through non-MACSec nodes
CN101141241B (zh) * 2006-09-06 2010-08-18 华为技术有限公司 实现mac安全的方法以及网络设备
US8379638B2 (en) * 2006-09-25 2013-02-19 Certes Networks, Inc. Security encapsulation of ethernet frames
US7853691B2 (en) * 2006-11-29 2010-12-14 Broadcom Corporation Method and system for securing a network utilizing IPsec and MACsec protocols
US7886143B2 (en) * 2006-11-30 2011-02-08 Broadcom Corporation Multi-data rate cryptography architecture for network security
US8112622B2 (en) * 2006-12-08 2012-02-07 Broadcom Corporation Chaining port scheme for network security
US8700891B2 (en) * 2008-05-09 2014-04-15 Broadcom Corporation Preserving security association in MACsec protected network through VLAN mapping

Cited By (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2017011948A1 (zh) * 2015-07-17 2017-01-26 华为技术有限公司 报文传输的方法、装置和系统
CN107580768A (zh) * 2015-07-17 2018-01-12 华为技术有限公司 报文传输的方法、装置和系统
CN107580768B (zh) * 2015-07-17 2020-06-26 华为技术有限公司 报文传输的方法、装置和系统
US10979428B2 (en) 2015-07-17 2021-04-13 Huawei Technologies Co., Ltd. Autonomic control plane packet transmission method, apparatus, and system
US11716332B2 (en) 2015-07-17 2023-08-01 Huawei Technologies Co., Ltd. Autonomic control plane packet transmission method, apparatus, and system
CN108173769A (zh) * 2017-12-28 2018-06-15 盛科网络(苏州)有限公司 一种报文传输方法、装置及计算机可读存储介质
CN108173769B (zh) * 2017-12-28 2021-01-05 盛科网络(苏州)有限公司 一种报文传输方法、装置及计算机可读存储介质

Also Published As

Publication number Publication date
CN101193064B (zh) 2012-10-03
KR100910818B1 (ko) 2009-08-04
EP1928127A1 (en) 2008-06-04
TWI410088B (zh) 2013-09-21
TW200840279A (en) 2008-10-01
US20080123652A1 (en) 2008-05-29
KR20080048972A (ko) 2008-06-03
EP1928127B1 (en) 2012-08-15
US7729276B2 (en) 2010-06-01
HK1121883A1 (en) 2009-04-30

Similar Documents

Publication Publication Date Title
CN101193064B (zh) 用于计算机联网的系统和方法
US10587492B2 (en) Method and apparatus for tracing paths in service function chains
US7853691B2 (en) Method and system for securing a network utilizing IPsec and MACsec protocols
Stallings IPv6: the new Internet protocol
EP2100406B1 (en) Method and apparatus for implementing multicast routing
US8705549B2 (en) Structure and implementation of universal virtual private networks
CN1938982B (zh) 通过认证因特网控制消息协议分组来防止网络攻击的方法和装置
CN104869065A (zh) 数据报文处理方法及装置
CN104040966A (zh) 处理报文的方法、转发面装置及网络设备
CN105024985A (zh) 一种报文处理方法及装置
US20050271066A1 (en) Method, device and system for transmitting Ethernet packets
CN100486241C (zh) 获取隧道网关环境中路径最大传输长度的方法及系统
Loshin IPv6 clearly explained
Wilkins Designing for Cisco Internetwork Solutions (DESIGN) Foundation Learing Guide
CN100484101C (zh) 一种以太网传输IPv6报文方法、系统与装置
JP2008502244A (ja) フロー処理
CN107454022A (zh) 一种异构网络及其数据流导引方法和交换机
Cisco Router Products Configuration Guide Internetwork Operating System Release 10 Chapters 18 to 25
KR20080035129A (ko) 통신시스템에서 서비스 플로우별 패킷 데이터 분류 방법 및장치
CN106059846B (zh) 应用于vxlan中的故障分析方法和装置
CN113904958B (zh) 一种基于动态数据包采样的网络流量识别系统和方法
US11924095B1 (en) Utilizing network routing to communicate covert message
CN101350693B (zh) 一种传送协议信息的方法和装置
CN102299851A (zh) 通过对ip数据包“免疫封装”进行标识核验的方法
US7283464B2 (en) Method and apparatus for a switch fabric in a data transport system

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
REG Reference to a national code

Ref country code: HK

Ref legal event code: DE

Ref document number: 1121883

Country of ref document: HK

C14 Grant of patent or utility model
GR01 Patent grant
REG Reference to a national code

Ref country code: HK

Ref legal event code: GR

Ref document number: 1121883

Country of ref document: HK

TR01 Transfer of patent right

Effective date of registration: 20180504

Address after: Singapore Singapore

Patentee after: Avago Technologies Fiber IP Singapore Pte. Ltd.

Address before: Alton Park Road, Irvine, California, 16215, 92618-7013

Patentee before: Zyray Wireless Inc.

TR01 Transfer of patent right
TR01 Transfer of patent right

Effective date of registration: 20190918

Address after: Singapore City

Patentee after: Annwa high tech Limited by Share Ltd

Address before: Singapore City

Patentee before: ANHUA HIGH TECHNOLOGY GENERAL IP (SINGAPORE) COMPANY

TR01 Transfer of patent right