CN106301765B - 加密和解密芯片及其实现加密和解密的方法 - Google Patents

加密和解密芯片及其实现加密和解密的方法 Download PDF

Info

Publication number
CN106301765B
CN106301765B CN201610896063.9A CN201610896063A CN106301765B CN 106301765 B CN106301765 B CN 106301765B CN 201610896063 A CN201610896063 A CN 201610896063A CN 106301765 B CN106301765 B CN 106301765B
Authority
CN
China
Prior art keywords
encryption
message
module
processing module
direction processing
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201610896063.9A
Other languages
English (en)
Other versions
CN106301765A (zh
Inventor
方沛昱
马千里
单哲
杨曙军
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Suzhou Centec Communications Co Ltd
Original Assignee
SHENGKE NETWORK (SUZHOU) CO Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by SHENGKE NETWORK (SUZHOU) CO Ltd filed Critical SHENGKE NETWORK (SUZHOU) CO Ltd
Priority to CN201610896063.9A priority Critical patent/CN106301765B/zh
Publication of CN106301765A publication Critical patent/CN106301765A/zh
Application granted granted Critical
Publication of CN106301765B publication Critical patent/CN106301765B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/06Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols the encryption apparatus using shift registers or memories for block-wise or stream coding, e.g. DES systems or RC4; Hash functions; Pseudorandom sequence generators

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Storage Device Security (AREA)

Abstract

本发明揭示了一种应用在交换机上的加密和解密芯片及其实现方法,其中加密和解密芯片包括入方向处理模块、调度模块、出方向处理模块,以及802.1ae加密和解密引擎模块,所述调度模块的一端与入方向处理模块相连接,另一端与出方向处理模块相连接,所述802.1ae加密和解密引擎模块的一端与出方向处理模块,另一端与入方向处理模块相连接,所述入方向处理模块、调度模块、出方向处理模块,以及802.1ae加密和解密引擎模块形成一环回回路对报文进行环回加密或解密处理。只需在加密和解密芯片中加入802.1ae加密和解密引擎模块,就能够对报文进行集中处理,减少加密和解密引擎带来的开销、减少成本。

Description

加密和解密芯片及其实现加密和解密的方法
技术领域
本发明涉及一种互联网安全技术领域,尤其涉及一种应用在交换机上的对交换机入口的报文进行加密或者解密的加密和解密芯片。
背景技术
以太网以其灵活、低成本等特点,已成为当今宽带接入技术的主流,以太网安全也成为人们研究的焦点。在目前较广泛使用的以太网安全技术中,数据加密技术是其基石。
2005年5月公布的IEEE802.1ae介质访问控制安全(MACsec)协议为以太网保护提供了封装和加密框架,它将安全保护集成到有线以外网中,对帧数据进行加密,通过识别局域网上的非授权站点,保护局域网不收被动接线、假冒、中间人以及某些拒绝服务等的攻击,保证了通信安全。
工作在数据链路层中的交换机,为了保证网络信息不被窃取,对进入交换机的报文进行加密和解密的处理,通常的,交换机加密是基于每个端口进行加密和机密的处理,导致交换机开销较大,增加成本。
发明内容
本发明的目的在于克服现有技术的缺陷,提供一种应用在交换机上的加密和解密芯片,只需要一个本发明所述的加密和解密芯片,就能够实现多个端口的加密和解密的处理,无需额外增加加密和解密芯片。
为实现上述目的,本发明提出如下技术方案:一种加密和解密芯片,包括入方向处理模块、调度模块、出方向处理模块,以及802.1ae加密和解密引擎模块,所述调度模块的一端与入方向处理模块相连接,另一端与出方向处理模块相连接,所述802.1ae加密和解密引擎模块的一端与出方向处理模块,另一端与入方向处理模块相连接,所述入方向处理模块、调度模块、出方向处理模块,以及802.1ae加密和解密引擎模块形成一环回回路对报文进行环回处理。
优选地,所述入方向处理模块对报文内容进行查找,获取转发行为和编辑行为。
优选地,所述调度模块对进入调度模块的报文进行队列调度、复制,以及缓冲器管理。
优选地,所述出方向处理模块主要对进入出方向处理模块的报文进行编辑,转发。
优选地,所述802.1ae加密和解密引擎模块对报文进行加密或者解密处理。
一种加密和解密芯片的实现方法,所述方法包括:
S201,待加密的报文,通过入方向处理模块到达802.1ae加密和解密引擎模块实现加密;
S202,待解密的报文,通过入方向处理模块到达802.1ae加密和解密引擎模块块实现解密。
更进一步的,所述加密包括以下步骤:
S301,入方向处理模块对报文进行查表处理,获取所述报文的转发行为和编辑行为,通过调度模块将所述报文送入至出方向处理模块;
S302,所述出方向处理模块根据编辑行为编辑报文,根据转发行为判断所述报文是需要加密,若需要加密,则执行S303~S305,否则,将报文转发出去。
S303,对需要加密的报文,送入802.1ae加密和解密引擎模块进行加密处理,加密后的报文再次送入入方向处理模块。
S304,所述入方向处理模块将加密后的报文通过调度模块再次送入出方向处理模块进行转发;
S305,所述出方向处理模块对加密后的报文直接转发出去。
更进一步的,所述解密包括以下步骤:
S401,入方向处理模块对进入的报文进行判断是否需要解密,若需要则执行S402,否则查找后转发;
S402,通过调度模块和出方向处理模块送入至802.1ae加密和解密引擎模块,进行解密;
S403,解密后的报文送入入方向处理模块,进行查表,通过调度模块,送入至出方向处理模块。
S404,出方向处理模块对报文编辑后转发出去。
优选地,所述出方向模块将报文的出端口信息送入802.1ae加密和解密引擎模块中。
本发明的有益效果是:
本发明所述的应用在交换机上的加密和解密芯片,只需在加密和解密芯片中加入802.1ae加密和解密引擎模块,就能够对报文进行集中处理,对进入加密和解密芯片中的报文进行相应的加密或者解密操作。减少加解密引擎带来的开销、减少成本。
附图说明
图1是本发明的加解密芯片内部逻辑框图示意图;
图2是本发明的加解密芯片实现方法流程图示意图;
图3是本发明的加解密芯片的加密方法流程图示意图;
图4是本发明的加解密芯片的解密方法流程图示意图。
具体实施方式
下面将结合本发明的附图,对本发明实施例的技术方案进行清楚、完整的描述。
本发明所揭示的一种交换机上使用的加密和解密芯片,主要利用802.1ae加密和解密引擎对进入交换机的报文进行加密和解密处理。在交换机上只需要一个本发明所述的加密和解密芯片,就能够支持多个端口的加密和解密的处理,无需额外增加加密和解密芯片。
如图1所示,本发明所述的加密和解密芯片,包括入方向处理模块、调度模块、出方向处理模块,以及802.1ae加密和解密引擎模块,其中,
所述入方向处理模块与调度模块相连接,入方向处理模块对进入的报文进行相应的处理,送入调度模块;
更进一步的,所述入方向处理模块对报文内容进行查找,获取转发行为和编辑行为;
所述调度模块的一端与入方向处理模块相连接,另一端与出方向处理模块相连接,所述调度模块对入方向处理模块处理后的报文做进一步的处理,调度模块处理后的报文送入至出方向处理模块,做后续处理;
更进一步的,所述调度模块对进入调度模块的报文进行队列调度、复制,以及缓冲器管理。
所述出方向处理模块的一端与调度模块相连接,另一端与802.1ae加密和解密模块相连接,所述出方向处理模块对调度模块输出的报文做后续处理,将需要加密或解密的报文送入802.1ae加密和解密模块中进行加密或解密处理,否则,直接转发出去。
更进一步的,所述出方向处理模块对进入出方向处理模块的报文进行编辑,转发。
所述802.1ae加密和解密模块的一端与出方向处理模块相连接,另一端与入方向处理模块相连接,802.1ae加密和解密模块将出方向处理模块中的需要加密或者需要解密的报文,加密或者解密之后直接送入入方向处理模块,入方向处理模块将加密或者解密后的报文进一步处理。
在上述加密和解密芯片中,其工作原理可以理解为:需要解密的报文,经过入方向处理模块后,直接被送入出方向处理模块,出方向处理模块将报文送入802.1ae加密和解密模块进行解密,解密后送入入方向处理模块,入方向处理模块再次送入出方向处理模块,进行转发;需要加密的报文,经过入方向处理模块处理后,送入出方向处理模块,出方向处理模块判断需要加密,则直接送入802.1ae加密和解密引擎模块进行加密,加密后进入入方向处理模块,入方向处理模块再次送入出方向处理模块,进行转发。所述工作原理主要采用环回机制对需要加密或者解密的报文进行处理。
本发明所述的加密和解密芯片,利用802.1ae加密和解密引擎对报文进行解密和解密处理,且只需要一个加密和解密芯片,无需因为端口的增加而增加加密和解密芯片的数量。本发明所述的加密和解密芯片能够代替以太网PHY芯片,并且能够支持光接口加解密。
本发明还提供了一种加密和解密芯片的实现方法,结合图2所示,一种加密和解密芯片加密和解密的实现方法流程图,所述方法具体包括:
S201,待加密的报文,通过入方向处理模块到达加解密模块实现加密;
S202,待解密的报文,通过入方向处理模块到达加解密模块实现解密。
具体的,待加密的报文,也就是需要加密的明文,送入入方向处理模块后,经过入方向处理模块的处理,送入到802.1ae加密和解密引擎模块中,实现对报文的加密,加密后的报文再次送入到入方向处理模块处理。
待解密的报文,送入入方向处理模块处理,处理后的报文送到802.1ae加密和解密引擎模块中进行解密,解密后的报文再次送入到入方向处理模块进行处理。
更进一步的,如图3所示,所述加解密方法中加密方法具体包括:
S301,入方向处理模块对报文进行查表处理,获取所述报文的转发行为和编辑行为,通过调度模块将所述报文送入至出方向处理模块;
S302,所述出方向处理模块根据编辑行为编辑报文,根据转发行为判断所述报文是需要加密,若需要加密,则执行S303~S305,否则,将报文转发出去。
S303,对需要加密的报文,送入802.1ae加密和解密引擎模块进行加密处理,加密后的报文再次送入入方向处理模块;
S304,所述入方向处理模块将加密后的报文通过调度模块再次送入出方向处理模块进行转发;
S305,所述出方向处理模块对加密后的报文直接转发出去。
具体的,明文进入入方向处理模块后首先进行查表,获取后续的转发行为和编辑行为,通过调度模块对报文调度后,送入出方向处理模块。在出方向模块上对报文进行编辑处理,同时判断所述报文是否需要加密处理,报文需要加密处理,此时,通过加密和解密芯片内的特殊通道将报文送入至802.1ae加密和解密引擎模块中,同时把出端口的相关信息送给802.1ae加密和解密引擎模块。在802.1ae加密和解密引擎模块中,根据出端口信息对当前报文做加密处理,加密后的报文通过环回接口再次进入至入方向处理模块,同时把第一次的出端口信息送给入方向处理模块。入方向处理模块收到加密后的报文,根据报文附带的处理信息(出端口相关信息),可知该报文已经过加密处理,并且加密后的报文无需再执行查表,只需要根据报文附带的处理信息,通过调度模块转发至出方向处理模块,所述出方向处理模块,对加密后的报文从网口正常转发出去。
如图4所示,所述加解密方法中解密方法具体包括:
S401,入方向处理模块对进入的报文进行判断是否需要解密,若需要则执行S402,否则查找后转发;
S402,通过调度模块和出方向处理模块送入至802.1ae加密和解密引擎模块,进行解密;
S403,解密后的报文送入入方向处理模块,进行查表,通过调度模块,送入至出方向处理模块。
S404,出方向处理模块对报文编辑后转发出去。
具体的,入方向处理模块收到已加密的报文,根据入端口的配置,得知此时入方向处理模块收到的是一个已经加密的报文,根据入端口的配置,得知当前报文需要被解密。所以不做任何查表动作,直接送给出方向处理模块。在出方向处理模块中,得知当前报文需要解密,因此送入802.1ae加密和解密引擎模块,相关解密信息通过处理信息一并送入。在802.1ae加密和解密引擎模块中,根据随报文带过来的入端口信息做解密处理,将解密后的明文报文再次环回送给入方向处理模块。入方向处理模块收到这个报文后,可知此报文已经解密,因此对此报文做正常的查表操作,并将其直到送给出方向处理模块。在出方向处理模块中,根据出端口的配置得知当前报文是否需要加密。如果不需要加密,则直接转发出去即可;如果需要加密,则需要重复上述加密的过程。
本发明所述的应用在交换机上的加密和解密芯片,只需在加密和解密芯片中加入802.1ae加密和解密引擎模块,就能够对报文进行集中处理。对进入加密和解密芯片中的报文进行相应的加密或者解密操作。
本发明的技术内容及技术特征已揭示如上,然而熟悉本领域的技术人员仍可能基于本发明的教示及揭示而作种种不背离本发明精神的替换及修饰,因此,本发明保护范围应不限于实施例所揭示的内容,而应包括各种不背离本发明的替换及修饰,并为本专利申请权利要求所涵盖。

Claims (8)

1.一种加密和解密芯片,其特征在于,包括入方向处理模块、调度模块、出方向处理模块,以及802.1ae加密和解密引擎模块,所述调度模块的一端与入方向处理模块相连接,另一端与出方向处理模块相连接,所述802.1ae加密和解密引擎模块的一端与出方向处理模块,另一端与入方向处理模块相连接,所述入方向处理模块对报文进行查表处理,获取所述报文的转发行为和编辑行为,通过调度模块将所述报文送入至出方向处理模块,所述出方向处理模块根据编辑行为编辑报文,根据转发行为判断所述报文是需要加密,并在需要加密时将需要加密的报文,送入802.1ae加密和解密引擎模块进行加密处理,所述802.1ae加密和解密引擎模块对报文进行加密或者解密处理,且所述802.1ae加密和解密引擎模块根据报文的出端口信息对报文进行加密处理,根据报文的入端口信息对报文进行解密处理,所述入方向处理模块、调度模块、出方向处理模块,以及802.1ae加密和解密引擎模块形成一环回回路对报文进行环回处理。
2.根据权利要求1所述的加密和解密芯片,其特征在于,所述入方向处理模块对报文内容进行查找,获取转发行为和编辑行为。
3.根据权利要求1所述的加密和解密芯片,其特征在于,所述调度模块对进入调度模块的报文进行队列调度、复制,以及缓冲器管理。
4.根据权利要求1所述的加密和解密芯片,其特征在于,所述出方向处理模块对进入出方向处理模块的报文进行编辑,转发。
5.一种基于权利要求1所述的加密和解密芯片实现加密和解密的方法,其特征在于,所述方法包括:
S201,待加密的报文,通过入方向处理模块到达802.1ae加密和解密引擎模块实现加密,所述802.1ae加密和解密引擎模块根据报文的出端口信息对报文进行加密处理;
S202,待解密的报文,通过入方向处理模块到达802.1ae加密和解密引擎模块块实现解密,所述802.1ae加密和解密引擎模块根据报文的入端口信息对报文进行解密处理。
6.根据权利要求5所述的加密和解密芯片的实现方法,其特征在于,所述加密包括以下步骤:
S301,入方向处理模块对报文进行查表处理,获取所述报文的转发行为和编辑行为,通过调度模块将所述报文送入至出方向处理模块;
S302,所述出方向处理模块根据编辑行为编辑报文,根据转发行为判断所述报文是需要加密,若需要加密,则执行S303~S305,否则,将报文转发出去;
S303,对需要加密的报文,送入802.1ae加密和解密引擎模块进行加密处理,加密后的报文再次送入入方向处理模块;
S304,所述入方向处理模块将加密后的报文通过调度模块再次送入出方向处理模块进行转发;
S305,所述出方向处理模块对加密后的报文直接转发出去。
7.根据权利要求5所述的加密和解密芯片的实现方法,其特征在于,所述解密包括以下步骤:
S401,入方向处理模块对进入的报文进行判断是否需要解密,若需要则执行S402,否则查找后转发;
S402,通过调度模块和出方向处理模块送入至802.1ae加密和解密引擎模块,进行解密;
S403,解密后的报文送入入方向处理模块,进行查表,通过调度模块,送入至出方向处理模块;
S404,出方向处理模块对报文编辑后转发出去。
8.根据权利要求6所述的加密和解密芯片的实现方法,其特征在于,所述出方向模块将报文的出端口信息送入802.1ae加密和解密引擎模块中。
CN201610896063.9A 2016-10-14 2016-10-14 加密和解密芯片及其实现加密和解密的方法 Active CN106301765B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201610896063.9A CN106301765B (zh) 2016-10-14 2016-10-14 加密和解密芯片及其实现加密和解密的方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201610896063.9A CN106301765B (zh) 2016-10-14 2016-10-14 加密和解密芯片及其实现加密和解密的方法

Publications (2)

Publication Number Publication Date
CN106301765A CN106301765A (zh) 2017-01-04
CN106301765B true CN106301765B (zh) 2020-01-14

Family

ID=57718174

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201610896063.9A Active CN106301765B (zh) 2016-10-14 2016-10-14 加密和解密芯片及其实现加密和解密的方法

Country Status (1)

Country Link
CN (1) CN106301765B (zh)

Families Citing this family (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109040124A (zh) * 2018-09-17 2018-12-18 盛科网络(苏州)有限公司 用于交换机的处理报文的方法和装置
US11283733B2 (en) 2018-10-02 2022-03-22 Arista Networks, Inc. Proxy ports for network device functionality
US11418434B2 (en) 2018-10-02 2022-08-16 Arista Networks, Inc. Securing MPLS network traffic
CN110636078B (zh) * 2019-10-12 2022-02-11 苏州盛科通信股份有限公司 实现Cloudsec的方法及装置
CN112565263A (zh) * 2020-12-04 2021-03-26 盛科网络(苏州)有限公司 一种基于硬管道的加解密方法及装置
CN114370687B (zh) * 2021-12-31 2023-09-22 老肯医疗科技股份有限公司 一种空气净化智能消毒模组及管理方法
CN114679326A (zh) * 2022-03-30 2022-06-28 晨贝(天津)技术有限公司 一种业务消息转发的方法、装置及存储介质

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101051891A (zh) * 2007-05-22 2007-10-10 网御神州科技(北京)有限公司 一种安全网关中进行安全策略统一处理的方法及装置
CN102130768A (zh) * 2010-12-20 2011-07-20 西安西电捷通无线网络通信股份有限公司 一种具有链路层加解密能力的终端设备及其数据处理方法
CN103905180A (zh) * 2014-04-21 2014-07-02 西安电子科技大学 经典应用接入量子通信网络的方法
CN105611529A (zh) * 2015-12-31 2016-05-25 盛科网络(苏州)有限公司 Capwap dtls报文加解密的芯片实现方法

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8112622B2 (en) * 2006-12-08 2012-02-07 Broadcom Corporation Chaining port scheme for network security

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101051891A (zh) * 2007-05-22 2007-10-10 网御神州科技(北京)有限公司 一种安全网关中进行安全策略统一处理的方法及装置
CN102130768A (zh) * 2010-12-20 2011-07-20 西安西电捷通无线网络通信股份有限公司 一种具有链路层加解密能力的终端设备及其数据处理方法
CN103905180A (zh) * 2014-04-21 2014-07-02 西安电子科技大学 经典应用接入量子通信网络的方法
CN105611529A (zh) * 2015-12-31 2016-05-25 盛科网络(苏州)有限公司 Capwap dtls报文加解密的芯片实现方法

Also Published As

Publication number Publication date
CN106301765A (zh) 2017-01-04

Similar Documents

Publication Publication Date Title
CN106301765B (zh) 加密和解密芯片及其实现加密和解密的方法
US8112622B2 (en) Chaining port scheme for network security
CN102882789B (zh) 一种数据报文处理方法、系统及设备
US8966257B2 (en) Method and system for secret communication between nodes
CN101309273B (zh) 一种生成安全联盟的方法和装置
EP1556990B1 (en) Bridged cryptographic vlan
JP5785346B1 (ja) リンク層セキュリティー伝送をサポートする交換設備およびデータ処理方法
CN110830393B (zh) 芯片堆叠模式下MACsec的实现方法及装置
CN106790200B (zh) Capwap控制通道dtls加解密的芯片协处理方法
CN111800436B (zh) IPSec隔离网卡设备及安全通信方法
CN102970228B (zh) 一种基于IPsec的报文传输方法和设备
CN105610790A (zh) IPSec加密卡与CPU协同的用户面数据处理方法
CN105611529A (zh) Capwap dtls报文加解密的芯片实现方法
CN106254231A (zh) 一种基于状态的工业安全加密网关及其实现方法
US9106618B2 (en) Control plane encryption in IP/MPLS networks
CN105635154A (zh) 灵活的MACSec报文加密认证的芯片实现方法及实现装置
CN106161386A (zh) 一种实现IPsec分流的方法和装置
CN110650476B (zh) 管理帧加密和解密
EP4181431A1 (en) Service transmission method and apparatus, network device, and storage medium
US11228431B2 (en) Communication systems and methods for authenticating data packets within network flow
Blåberg Kristoffersson Zero Trust in Autonomous Vehicle Networks Utilizing Automotive Ethernet
CN108924121B (zh) 多通道通信方法与系统
CN112565263A (zh) 一种基于硬管道的加解密方法及装置
WO2024181844A1 (en) Handling security for concatenated packets in telecommunication network
WO2023008940A1 (en) Method and system for securely handling re-connection of client devices to a wireless network

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant
CP03 Change of name, title or address

Address after: 215101 unit 13 / 16, 4th floor, building B, No. 5, Xinghan street, Suzhou Industrial Park, Jiangsu Province

Patentee after: Suzhou Shengke Communication Co.,Ltd.

Address before: 215021 unit 13 / 16, floor 4, building B, No. 5, Xinghan street, industrial park, Suzhou, Jiangsu Province

Patentee before: CENTEC NETWORKS (SU ZHOU) Co.,Ltd.

CP03 Change of name, title or address