CN105611529A

CN105611529A - Capwap dtls报文加解密的芯片实现方法

Info

Publication number: CN105611529A
Application number: CN201511019516.1A
Authority: CN
Inventors: 方沛昱; 龚海东
Original assignee: Centec Networks Suzhou Co Ltd
Current assignee: Suzhou Centec Communications Co Ltd
Priority date: 2015-12-31
Filing date: 2015-12-31
Publication date: 2016-05-25
Anticipated expiration: 2035-12-31
Also published as: CN105611529B

Abstract

本发明揭示了一种CAPWAP？DTLS报文加解密的芯片实现方法，主要包括对报文的解密解封装和加封装加密处理，解密解封装过程包括：芯片将DTLS加密的报文根据查表所得的Key对报文进行解密，将解密得到的CAPWAP报文进一步查表，根据查找得到的解封装编辑动作对CAPWAP报文进行解CAPWAP封装，最后将解封装后的CAPWAP内层报文进行报文转发；加封装加密过程包括：芯片将以太网报文根据查表得到的封装编辑动作进行报文编辑，再根据加密用的key对编辑后的中间报文进行DTLS加密，最后将加密后的含IP头报文进行报文转发。本发明从交换路由芯片层面提供CAPWAP隧道的DTLS加解密功能，使得AC设备可以基于硬件高速高效地对报文进行CAPWAP？DTLS加解密。

Description

CAPWAP DTLS报文加解密的芯片实现方法

技术领域

本发明涉及CAPWAPDTLS报文的加解密技术，尤其是涉及一种CAPWAPDTLS报文加解密的芯片实现方法。

背景技术

WLAN(WirelessLocalAreaNetworks，无线局域网)提供了一种局域网的无线连接服务，能够提供高速的无线数据接入。与传统的有线接入方式相比，无线局域网让网络的使用更加自由，彻底摆脱了线缆和端口位置的束缚，而且无线局域网具有便于携带，易于移动的优点，免去或减少了繁杂的网络布线，只需要安放一个或多个WTP(WirelessTerminationPoints，无线终端点)设备就可以建立覆盖整个建筑或地区的局域网络。其中，在无线局域网络中，AC(AccessController，无线控制器)设备用于对无线局域网中的WTP设备进行控制和管理，且WTP设备可以为AP(AccessPoint，接入点)设备。

AC设备和WTP设备之间将使用CAPWAP(ControllingandProvisioningofWirelessAccessPoint，无线接入点控制与供应)隧道，CAPWAP隧道是AC设备和WTP设备之间的通信控制协议，定义了AC设备和WTP设备间如何通信，为实现AC设备和WTP设备之间的互通性提供了一个通用的封装和传输机制。无线数据帧，原样或经过802.11到802.3格式的转换后被封入CAPWAP隧道中送往AC设备。

为保证CAPWAP隧道的安全性，可以使用DTLS(DatagramTransportLayerSecurity，数据传输层安全)协议保护CAPWAP隧道。DTLS协议是CAPWAP隧道使用的加密协议，该DTLS协议参考了TCP(TransmissionControlProtocol，传输控制协议)的TLS(TransportLayerSecurity，传输层安全)协议，通过在CAPWAP报文中添加DTLS控制字段，以对CAPWAP报文进行加密控制。

现有一般使用软件方法(如CPU)进行CAPWAP隧道的DTLS加解密操作，而隧道报文的转发和加解密性能均受限于CPU的性能。

发明内容

本发明的目的在于克服现有技术的缺陷，提供一种CAPWAPDTLS报文加解密的芯片实现方法，采用交换路由芯片实现CAPWAPDTLS报文的封装和解封装，以使得AC设备可以基于硬件高速高效地进行CAPWAPDTLS报文加解密。

为实现上述目的，本发明提出如下技术方案：一种CAPWAPDTLS报文加解密的芯片实现方法，包括：

报文解密解封装处理过程：芯片收到DTLS加密的报文后，查表得到解密用的密钥(Key)，根据所述Key对报文进行解密得到CAPWAP报文，将所述CAPWAP报文进一步查表，得到解封装编辑动作，根据所述解封装编辑动作对CAPWAP报文进行解CAPWAP封装，得到CAPWAP内层报文，最后将所述CAPWAP内层报文进行报文转发；

报文加封装加密处理过程：芯片收到以太网报文后，查表得到报文的封装编辑动作，根据所述封装编辑动作进行报文编辑，再根据加密用的key对编辑后的中间报文进行DTLS加密，最后将加密后的含IP头报文进行报文转发，所述加密用的key由所述封装编辑动作配置得到。

优选地，DTLS报文的解密过程包括：芯片收到DTLS加密的报文后，解析报文，若解析到报文为本地需解密的报文，则查找CAPWAP条目表得到解密用的KeyID，按所述KeyID再查密钥表得到解密用的Key，再采用DTLS解密算法对报文进行解密得到CAPWAP报文。

优选地，查找CAPWAP条目表所用的查询字段为：报文的目的IP地址加源IP地址加四层特征信息(L4Type)。

优选地，CAPWAP报文的解封装过程包括：将所述CAPWAP报文查表得到解封装编辑动作的ID，按照所述解封装编辑动作的ID查找编辑动作表得到所述解封装编辑动作，根据所述解封装编辑动作对CAPWAP报文进行解CAPWAP封装，得到CAPWAP内层报文。

优选地，若所述CAPWAP内层报文为802.11帧格式，则芯片将CAPWAP报文的802.11报文头和逻辑链路控制层报文头(LLC头)剥掉，再加上以太网头。

优选地，所述以太网头中的目的MAC地址和源MAC地址根据所述解封装编辑动作中的来自DS(FromDs)字段和去往DS(ToDs)字段的值，并按照802.11协议取所述802.11报文头中的目的MAC地址(DA)和源MAC地址(SA)。

优选地，所述CAPWAP内层报文的转发过程包括：对CAPWAP内层报文查找交换表或路由表，得到报文出口和转发编辑动作的ID，根据所述转发编辑动作的ID得到转发编辑动作，根据所述转发编辑动作编辑报文，最后将编辑后的报文从查找得到的出口转发出去。

优选地，若所述转发出口为以太网侧，则编辑后的报文从以太网口转发出去。

优选地，以太网报文的加封装过程包括：芯片收到以太网报文后，查转发表得到所述封装编辑动作的ID，根据所述封装编辑动作的ID查编辑动作表(T0表)得到所述封装编辑动作，并按所述封装编辑动作给报文加上CAPWAP隧道头、DTLS头、CAPWAPDTLS头、UDP头和IP头得到中间报文。

优选地，加密后的含IP头报文的转发过程包括：将所述加密后的含IP头报文进行路由表查找得到转发行为的ID和出口，根据所述转发行为的ID查表得到转发行为，按所述转发行为进行报文编辑，最后将路由编辑后的报文从查找出的所述出口转发出去。

本发明的有益效果是：本发明从交换路由芯片层面提供CAPWAP隧道的DTLS加解密功能，使得AC设备可以基于硬件高速高效地对报文进行CAPWAPDTLS加解密，无需CPU介入，因而不受限于CPU的性能。

附图说明

图1是本发明报文解密解封装方向芯片的原理结构示意图；

图2是本发明芯片对报文解密解封装的流程示意图；

图3是本发明报文加封装加密方向芯片的原理结构示意图；

图4是本发明芯片对报文加封装加密的流程示意图；

图5是本发明芯片对报文封装加密过程中报文的结构示意图。

具体实施方式

下面将结合本发明的附图，对本发明实施例的技术方案进行清楚、完整的描述。

本发明提出了一种CAPWAPDTLS报文加解密的芯片实现方法，主要是指在交换路由芯片层面实现CAPWAP隧道的DTLS加解密功能。交换机芯片内包括入方向处理引擎(IPE)、存储转发模块(BSR)、出方向处理引擎(EPE)、WLAN处理引擎(WLANEngine)。

结合图1～图4所示，本发明所揭示的一种CAPWAPDTLS报文加解密的芯片实现方法，包括：报文解密解封装处理过程和报文加封装加密处理过程。

结合图1和图2所示，下面先具体介绍报文解密解封装处理过程：

步骤1，芯片的IPE从入端口收到DTLS加密的报文①后，解析是否是本地需要解密的CAPWAPDTLS报文，若是，则查找芯片内设置的CAPWAP条目表，得到报文解密用的KeyID，若无其他操作，则报文直接进入BSR内，解密用的KeyID则跟随总线(BUS)依次向BSR、EPE和WLANEngine传递。

查找CAPWAP条目表所用的查询字段为：报文的目的IP地址(IPDA)+源IP地址(IPSA)+L4Type(CAPWAP)，L4Type＝CAPWAP由芯片内的解析模块解析得到。L4Type是四层特征信息，按照CAPWAP协议，当UDPPORT＝5246或5247时，认为是CAPWAP报文，即四层特征值为CAPWAP，也就是L4Type＝CAPWAP。

步骤2，BSR直接指定报文出口为WLAN引擎的解密通道A，即报文直接被送往WLAN引擎解密通道A的出口。

需要说明的是，当报文需要解密时，EPE则对报文不作编辑，直接将其发送出去。

步骤3，WLAN引擎解密通道A进入的报文①，按KeyID查表得到解密用的Key，根据该Key对报文进行解密算法，将解密后的明文即CAPWAP报文②再次送往IPE。

这里所用的解密算法可采用现有DTLS解密算法实现，这里便不作详述。

步骤4，IPE收到CAPWAP报文②后，继续查找转发表，得到解封装编辑动作的ID，CAPWAP报文和解封装编辑动作的ID进入存储转发模块。

步骤5，存储转发模块指定报文②出口为WLAN引擎的解密通道B，之后将报文送往EPE。

步骤6，EPE对于已经DTLS解密的CAPWAP报文，按照解封装编辑动作的ID查找通用的编辑动作表得到解封装编辑动作，根据解封装编辑动作对报文进行解CAPWAP分装，最后将编辑后得到的CAPWAP内层报文送往WLAN引擎的解密通道B的出口。

若CAPWAP内层报文为802.11帧格式，则在EPE将其802.11报文头和LLC头剥掉，再加上以太网头，此处砍头、加头操作不包含802.3报文的以太网类型字段(EtherType)和802.11报文的LLC类型字段(LLCType)，此处为芯片所具有的逻辑控制功能，不需额外配置。

解封装编辑动作中包含FromDs和ToDs字段的值，新加以太网头中的MACDA和MACSA根据FromDs和ToDs字段的值并根据802.11协议规定的顺序取802.11头中的DA和SA。DS：Distributionsystem分布式系统，FromDs即为来自DC，ToDs即是去往DS。

步骤7，WLAN引擎不编辑解封装通道B进来的报文，直接将CAPWAP内层报文③再次送往IPE。

步骤8，IPE收到CAPWAP内层报文③后，按正常转发芯片的逻辑进行查交换表或路由表处理，得到报文的出口和转发编辑动作的ID，CAPWAP内层报文③经BSR送往EPE，EPE按转发编辑动作的ID得到转发编辑动作，并按转发编辑动作编辑报文，得到报文④再送往IPE查表得到的出口转发出去。

若出口为以太网侧，则正常从以太网口发出报文④。

从上述步骤1～8可以看出，本发明芯片对报文进行了二次环回，以实现对其的解密和解封装过程。

结合图3和图4所示，下面再具体介绍报文加封装加密处理过程：

步骤1′，以太网报文①从芯片的网口进入IPE，查找转发表后得到要做CAPWAPDTLS封装编辑动作的ID和去往WLAN引擎加封装加密通道C的出口，之后将以太网报文送入BSR，再由BSR送到EPE内。

转发表支持额外可选地配置一个封装编辑表的ID。

步骤2′，结合图5所示，EPE按照封装编辑动作的ID查表得到封装编辑动作，并按该封装编辑动作对报文进行编辑，加上CAPWAP隧道头、DTLS头、CAPWAPDTLS头、UDP(用户数据报协议)头、IP头，之后将封装编辑后的中间报文送给WLAN引擎加封装加密通道C。

若AP设备侧需要的报文是802.11格式，则需要做802.3格式到802.11格式的转换，这部分由芯片逻辑控制实现。具体地，将报文剥掉原以太网头(不含EtherType字段)，新加一个802.11报文头，其中DA/SA对应从原以太网头的MACDA/MACSA得到，BSSID/FromDs/ToDs字段可在封装编辑动作中配置得到。

这里的BSSID(basicservicesetidentifier，基本服务集标识符)/RA(接收者MAC地址)/TA(发送者MAC地址)/FromDs/ToDs字段可选地在一个额外的编辑动作表的条目编辑动作中取得。具体地，以交换为例，查找MAC地址表：MAC→通用编辑ID(E3)+可选编辑ID(E5)，即BSSID/RA/TA/FromDs/ToDs字段可以配置在通用编辑中，也可以配置在可选编辑中，这样设计有利于编辑动作的表项复用，比如当报文来自同一个AP下的多个无线终端时，编辑报文时可能使用同一个通用编辑(代表同一个CAPWAP隧道)，但CAPWAP报文内层各自的BSSID/RA/TA/FromDs/ToDs可能不同，比如做路由编辑的时候。此时只需要配置一个通用编辑和多个可选编辑，无需配置多个通用编辑浪费表项。当不做路由只做交换的时候，所有的编辑动作都相同，可以使用同一个通用编辑，无需可选编辑。

步骤3′，WLAN引擎收到来自其加封装加密通道C的中间报文后，检查BUS中的信息，若需要加密，则按照BUS中传过来的加密用的Key进行DTLS加密，得到加密后的含IP头的报文③，加密详情结合图5所示，，再将加密后的含IP头的报文③再次送给IPE处理；若不需要加密，则报文③相对于报文②无变动。

其中，报文加密用的Key以及是否需要加密，是配置在封装编辑动作中的，随BUS带给WLAN引擎。

需要说明的是，EPE编辑得到的DTLS数据长度为实际的DTLS数据长度，而IP包长和UDP包长为预估的最终包长。图5中L为内层净荷长度，P为DTLS填充字段长度，L和P单位均为字节。

WLAN引擎中，HMAC(Hash-basedMessageAuthenticationCode，哈希运算消息认证码)由EPE带过来的净荷(Payload)、报文中的DTLS数据长度以及BUS上得到的加密Key计算得到的，WLAN引擎最终会按DTLS协议规定的方式进行高级加密标准(AdvancedEncryptionStandard，，AES)计算密文，并将报文中的DTLS数据长度更新成最终加密部分的长度。

这里所用的加密算法可采用现有的，这里不作详述。

步骤4′，IPE收到加密后的含IP头的报文③后，正常进行路由表查找得到转发行为的ID和出口，将报文送往BSR，BSR将报文送给EPE，EPE按转发行为的ID查表得到相应的转发行为，按转发行为编辑报文，得到路由编辑后的报文④，最后将路由编辑后的报文④从查找出的出口(如以太网口)转发出去。

从上述步骤1′～4′可以看出，本发明芯片对报文进行了一次环回，实现了对其的加封装和加密过程。

本发明的技术内容及技术特征已揭示如上，然而熟悉本领域的技术人员仍可能基于本发明的教示及揭示而作种种不背离本发明精神的替换及修饰，因此，本发明保护范围应不限于实施例所揭示的内容，而应包括各种不背离本发明的替换及修饰，并为本专利申请权利要求所涵盖。

Claims

1.一种CAPWAPDTLS报文加解密的芯片实现方法，其特征在于，包括：

报文解密解封装处理过程：芯片收到DTLS加密的报文后，查表得到解密用的Key，根据所述Key对报文进行解密得到CAPWAP报文，将所述CAPWAP报文进一步查表，得到解封装编辑动作，根据所述解封装编辑动作对CAPWAP报文进行解CAPWAP封装，得到CAPWAP内层报文，最后将所述CAPWAP内层报文进行报文转发；

2.根据权利要求1所述的芯片实现方法，其特征在于，DTLS报文的解密过程包括：芯片收到DTLS加密的报文后，解析报文，若解析到报文为本地需解密的报文，则查找CAPWAP条目表得到解密用的KeyID，按所述KeyID再查密钥表得到解密用的Key，再采用DTLS解密算法对报文进行解密得到CAPWAP报文。

3.根据权利要求2所述的芯片实现方法，其特征在于，查找CAPWAP条目表所用的查询字段为：报文的目的IP地址加源IP地址加L4Type。

4.根据权利要求1所述的芯片实现方法，其特征在于，CAPWAP报文的解封装过程包括：将所述CAPWAP报文查表得到解封装编辑动作的ID，按照所述解封装编辑动作的ID查找编辑动作表得到所述解封装编辑动作，根据所述解封装编辑动作对CAPWAP报文进行解CAPWAP封装，得到CAPWAP内层报文。

5.根据权利要求4所述的芯片实现方法，其特征在于，若所述CAPWAP内层报文为802.11帧格式，则芯片将CAPWAP报文的802.11报文头和LLC头剥掉，再加上以太网头，所述LLC头字段内不包含LLC类型字段，所述以太网头内不包含以太网类型字段。

6.根据权利要求5所述的芯片实现方法，其特征在于，所述以太网头中的目的MAC地址和源MAC地址根据所述解封装编辑动作中的FromDs字段和ToDs字段的值，并按照802.11协议取所述802.11报文头中的目的MAC地址和源MAC地址。

7.根据权利要求1所述的芯片实现方法，其特征在于，所述CAPWAP内层报文的转发过程包括：对CAPWAP内层报文查找交换表或路由表，得到报文出口和转发编辑动作的ID，根据所述转发编辑动作的ID得到转发编辑动作，根据所述转发编辑动作编辑报文，最后将编辑后的报文从查找得到的出口转发出去。

8.根据权利要求7所述的芯片实现方法，其特征在于，若所述转发出口为以太网侧，则编辑后的报文从以太网口转发出去。

9.根据权利要求1所述的芯片实现方法，其特征在于，以太网报文的加封装过程包括：芯片收到以太网报文后，查转发表得到所述封装编辑动作的ID，根据所述封装编辑动作的ID查编辑动作表得到所述封装编辑动作，并按所述封装编辑动作给报文加上CAPWAP隧道头、DTLS头、CAPWAPDTLS头、UDP头和IP头得到中间报文。

10.根据权利要求1所述的芯片实现方法，其特征在于，加密后的含IP头报文的转发过程包括：将所述加密后的含IP头报文进行路由表查找得到转发行为的ID和出口，根据所述转发行为的ID查表得到转发行为，按所述转发行为进行报文编辑，最后将路由编辑后的报文从查找出的所述出口转发出去。