CN107819685A - 一种数据处理的方法以及网络设备 - Google Patents
一种数据处理的方法以及网络设备 Download PDFInfo
- Publication number
- CN107819685A CN107819685A CN201610821565.5A CN201610821565A CN107819685A CN 107819685 A CN107819685 A CN 107819685A CN 201610821565 A CN201610821565 A CN 201610821565A CN 107819685 A CN107819685 A CN 107819685A
- Authority
- CN
- China
- Prior art keywords
- data
- network equipment
- target data
- macsec
- target
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/74—Address processing for routing
- H04L45/745—Address table lookup; Address filtering
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
- H04L63/062—Network architectures or network communication protocols for network security for supporting key management in a packet data network for key distribution, e.g. centrally by trusted party
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0838—Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Small-Scale Networks (AREA)
Abstract
本申请实施例公开了一种数据处理的方法,用于对输入数据进行预置条件的匹配,灵活的选择出需要处理的目标数据。本申请实施例方法应用于配置了媒体接入控制安全MACsec功能的第一网络设备中,MACsec功能连接第一网络设备的转发芯片,方法包括:第一网络设备获取输入数据;第一网络设备的转发芯片确定输入数据是否为目标数据,其中,目标数据为成功匹配预置条件的数据;若目标数据为加密数据,则第一网络设备利用MACsec功能对目标数据进行解密,得到当前解密数据,或者,若目标数据为未加密数据,则第一网络设备利用MACsec功能对目标数据进行加密,得到当前加密数据;第一网络设备向第二网络设备发送当前解密数据或当前加密数据。
Description
技术领域
本申请涉及通信领域,尤其涉及一种数据处理的方法以及网络设备。
背景技术
普通的以太网在长距离传输过程中,信息存在被窃听、篡改的风险,媒体接入控制安全(英文:Medium Access Control Security,简称:MACSec)协议可以提供端到端的安全传输解决方案,实现流量数据的加密解密,确保信息传递的完整性。
MACSec功能直接部署在主机,例如个人计算机或服务器上时,能够实现对数据流的灵活加密解密,但用软件方式部署MACSec功能的效率不高,而支持MACSec功能的硬件,例如服务器的网卡或专用加密引擎,价格昂贵,且不支持虚拟机迁移。在交换机或路由器上部署MACSec功能处理时,需要使用在转发芯片和物理层设备(英文:physical layer device,简称:PHY)之间部署MACsec功能或者在PHY中集成MACsec功能进行加密解密。
但是,由于每个PHY是连接到转发芯片的固定端口的,如果将MACSec功能部署在转发芯片与PHY之间或者PHY上时,MACSec功能只能对固定端口上接收或者发送的流量进行处理,而不能灵活选择需要处理的流量。
发明内容
本申请实施例提供了一种数据处理的方法以及网络设备,用于对输入数据进行预置条件的匹配,灵活的选择出需要处理的目标数据,进而对目标数据进行加/解密处理。
本发明实施例第一方面提供一种数据处理的方法,主要应用于配置了媒体接入控制安全MACsec功能的第一网络设备中,该MACsec功能连接该第一网络设备的转发芯片,也可以理解为转发芯片和MACsec功能是集成在第一网络设备上的。该方法可以包括:该第一网络设备从第三网络设备获取输入数据;该第一网络设备的转发芯片可以通过预置条件的匹配,判断输入数据是否为目标数据;其中,确定成功匹配预置条件的数据为目标数据;这里得到的目标数据存在两种情况:一种为:若该目标数据为加密数据,则该第一网络设备利用该MACsec功能对该目标数据进行解密,得到当前解密数据;另外一种为:若该目标数据为未加密数据,则该第一网络设备利用该MACsec功能对该目标数据进行加密,得到当前加密数据;得到当前解密数据或当前加密数据之后,该第一网络设备需向第二网络设备发送该当前解密数据或该当前加密数据。
在本发明实施例中,这里的第一网络设备或者第二网络设备都可以为交换机或者服务器等其他设备,即本发明技术方案可以是对交换机与交换机之间的数据进行处理,也可以是对交换机和服务器之间的数据进行处理。若是交换机与服务器之间的数据进行处理时,交换机负责数据的加密和解密,服务器收到的是解密的数据。第一网络设备可以通过预置条件的选择,选择要进行MACsec处理的目标数据,这里的预置条件是通过用户或者业务的需求而预先设定的。所以,相对于现有技术只能处理固定端口上接收或者发送的流量,本发明技术方案有很大的灵活性,通过预置条件的设定,可以选择想要处理的目标数据,进而对目标数据进行MACsec处理,再对MACsec处理后的数据进行转发,完成数据的传输。
结合本发明实施例的第一方面,在本发明实施例的第一方面的第一种实现的方式中,该第一网络设备利用该MACsec功能对该目标数据进行加密之前,该方法还可以包括:该第一网络设备向该第二网络设备发送密钥协商报文,该密钥协商报文用于获取该MACsec功能使用的密钥;
当然,这里的密钥协商还可以是,第二网络设备向第一网络设备发送密钥协商报文,第一网络设备根据该密钥协商报文生成密钥,再向第二网络设备发送该密钥。
那么,该第一网络设备利用该MACsec功能对该目标数据进行解密,就可以包括:该第一网络设备利用MACsec功能利用该密钥对该目标数据进行解密。或者;该第一网络设备利用该MACsec功能使用该密钥对该目标数据进行加密,得到当前加密数据。
在本发明实施例中,应理解,密钥协商的过程一般是优先级高的设备生成密钥并发送的,这里在第一网络设备使用该密钥之前,会有一个密钥协商的过程。所以,本发明实施例就是对密钥协商过程、也可以称呼为预配置的一个说明,当密钥协商过程完成后,才可以使用MACsec功能对目标数据进行加密和解密。不然,就相当于,例如,第一网络设备对目标数据进行加密,但是第二网络设备不知道加密的密钥,那么,就无法解密,这个数据就没什么意义了。在进行加解密之前,设备之间若先完成密钥协商,那么,第二网络设备就可以对加密数据进行解密,得到这个解密数据之后,才可以后续的通信过程。
结合本发明实施例的第一方面、本发明实施例的第一方面的第一种实现的方式,在本发明实施例的第一方面的第二种实现的方式中,主要是对输入数据通过预置条件的匹配,得到目标数据的过程,下面可以通过几种情况来进行说明:
(1)该预置条件包括该目标数据的端口信息集合,该输入数据携带第一端口信息;该第一网络设备的转发芯片确定该输入数据是否为目标数据,可以包括:当该第一端口信息属于该端口信息集合时,该第一网络设备的转发芯片确定该输入数据为该目标数据。
(2)该预置条件包括该目标数据的协议信息集合,该输入数据携带第一协议信息;该第一网络设备的转发芯片确定该输入数据是否为目标数据,可以包括:当该第一协议信息属于该协议信息集合时,该第一网络设备的转发芯片确定该输入数据为该目标数据。
(3)该预置条件包括该目标数据的子网信息集合,该输入数据携带第一子网信息;该第一网络设备的转发芯片确定该输入数据是否为目标数据,可以包括:当该第一子网信息属于该子网信息集合时,该第一网络设备的转发芯片确定该输入数据为该目标数据。
(4)该预置条件包括该目标数据的通道信息集合,该输入数据携带第一通道信息;该第一网络设备的转发芯片确定该输入数据是否为目标数据,可以包括:当该第一通道信息属于该通道信息集合时,该第一网络设备的转发芯片确定该输入数据为该目标数据。
(5)该预置条件包括该目标数据的局域网信息集合,该输入数据携带第一局域网信息;该第一网络设备的转发芯片确定该输入数据是否为目标数据,可以包括:当该第一局域网信息属于该局域网信息集合时,该第一网络设备的转发芯片确定该输入数据为该目标数据。
在本发明实施例中,预置条件包括的内容可以包括但不限于上述所提及的信息,输入数据所携带的信息也包括但不限于上述提及的信息。这里主要是对具体得到目标数据提供的几个可以实现的方案,在现有技术中,只能对固定端口的数据进行MACsec处理,而在本发明技术方案中,可以通过预置条件的设定,灵活的选择不同的数据作为目标数据进行MACsec处理。而目标数据一般是比较重要的数据,可以提高目标数据传输的安全性和可靠性。当输入数据通过预置条件的匹配,匹配不成功,那么,确定该输入数据不是目标数据,可以不用进行MACsec处理,直接传输就可以了,可以节约资源和时间。
结合本发明实施例的第一方面、本发明实施例的第一方面的第一种实现的方式,在本发明实施例的第一方面的第三种实现的方式中,该第一网络设备向第二网络设备发送该当前解密数据或该当前加密数据,包括:该第一网络设备根据该目标数据的端口信息集合,确定目标端口;该第一网络设备通过该目标端口,向该第二网络设备发送该当前解密数据或该当前加密数据。这里的端口信息集合可以是媒体接入控制(英文:Medium AccessControlSecurity,简称:MAC)MAC表或者流策略表等。
在本发明实施例中,当第一网络设备对目标数据进行解密或者加密之后,可以向第二网络设备传输得到的当前加密数据或者当前解密数据了,但是,是通过哪个端口去传输呢,那么,此时就可以通过端口信息集合去查询目标数据对应传输的目标端口,确定好目标端口,就可以通过目标端口向第二网络设备传输当前加密数据或者当前解密数据。
本发明实施例第二方面提供一种第一网络设备,该第一网络设备配置了媒体接入控制安全MACsec功能,该MACsec功能连接该第一网络设备的转发芯片,该第一网络设备具有实现对应于上述第一方面提供的实现灵活选择目标数据进行加/解密的功能。该功能可以通过硬件实现,也可以通过硬件执行相应的软件实现。该硬件或软件包括一个或多个与上述功能相对应的模块。
本发明实施例第三方面提供一种第一网络设备,该第一网络设备配置了媒体接入控制安全MACsec功能,该MACsec功能连接该第一网络设备的转发芯片,该第一网络设备可以包括:
收发器、存储器、处理器和总线,该收发器、该处理器和该存储器通过该总线连接;
该收发器,用于获取输入数据;向第二网络设备发送该当前解密数据或该当前加密数据;
该存储器,用于存储操作指令;
该处理器,用于通过调用该操作指令,确定该输入数据是否为目标数据,其中,该目标数据为成功匹配预置条件的数据;若该目标数据为加密数据,则处理器利用该MACsec功能对该目标数据进行解密,得到当前解密数据,或者,若该目标数据为未加密数据,则处理器利用该MACsec功能对该目标数据进行加密,得到当前加密数据。
本发明实施例第四方面提供一种存储介质,需要说明的是,本发的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产口的形式体现出来,该计算机软件产品存储在一个存储介质中,用于储存为上述设备所用的计算机软件指令,其包含用于执行上述第一方面、第二方面或第三方面为第一网络设备所设计的程序。
该存储介质包括:U盘、移动硬盘、只读存储器(英文:Read-Only Memory,简称:ROM)、随机存取存储器(英文:Random Access Memory,简称:RAM)、磁碟或者光盘等各种可以存储程序代码的介质。
从以上技术方案可以看出,本申请实施例具有以下优点:
在本发明实施例中,第一网络设备配置了MACsec功能和转发芯片,第一网络设备的转发芯片可以确定获取的输入数据是否为目标数据,其中,目标数据为成功匹配预置条件的数据;若目标数据为加密数据,则第一网络设备利用MACsec功能对目标数据进行解密,得到当前解密数据,或者,若目标数据为未加密数据,则第一网络设备利用MACsec功能对目标数据进行加密,得到当前加密数据;最后第一网络设备向第二网络设备发送当前解密数据或当前加密数据。所以,第一网络设备通过预置条件的匹配,可以选择出想要处理的目标数据,与现有技术相比,本发明实施例中的第一网络设备可以灵活的选择目标数据进行MACsec处理。
附图说明
为了更清楚地说明本发明实施例技术方案,下面将对实施例和现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其它的附图。
图1为本发明实施例中提供的一个系统架构示意图;
图2为本发明实施例中提供的另一个系统架构示意图;
图3为本发明实施例中提供的另一个系统架构示意图;
图4为本发明实施例中数据处理的方法的一个实施例示意图;
图5为本发明实施例中第一网络设备的一个实施例示意图;
图6为本发明实施例中第一网络设备的另一个实施例示意图。
具体实施方式
本申请实施例提供了一种数据处理的方法以及网络设备,用于对输入数据进行预置条件的匹配,灵活的选择出需要处理的目标数据,进而对目标数据进行加/解密处理。
本申请的说明书和权利要求书及上述附图中的术语“第一”、“第二”、“第三”、“第四”等(如果存在)是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的实施例能够以除了在这里图示或描述的内容以外的顺序实施。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
本发明技术方案提供一种灵活选择要处理的流量,进行MACSec处理的方法,该方法所应用的一个系统架构图如图1所示,在交换机(英文:Switch,简称:SW)设备上,图1所示的是对交换机之间传输的流量进行MACSec处理,解决基于端口、用户、虚拟局域网(英文:Virtual Local Area Network,简称:VLAN)、协议粒度等情况的灵活处理问题;该方法还可以应用在另一个系统架构图如图2所示,是对交换机与服务器之间的流量进行MACSec处理,解决虚拟机(英文:Virtual Machine,简称:VM)迁移时仍然可以支持MACSec的问题;在图2中,是交换机负责数据的加解密处理,传输到服务器的是解密的数据。
本发明实施例中所提及的网络设备可以是交换机,也可以是服务器等其他网络设备,下面以交换机为例来进行说明,如图3所示,为交换机支持MACsec灵活部署的一个结构示意图,包括交换机SW1、交换机SW2、交换机SW3。其中,在交换机SW2中,配置了媒体接入控制安全MACsec功能模块、商用转发器件(英文:LAN Switch,简称:LSW)和中央处理器(英文:Central Processing Unit,简称:CPU)。需要说明的是,LAN Switch翻译为局域网交换,在本发明实施例中,特指以太网转发芯片,也可以称呼为商用转发芯片、转发芯片。
在图3中,交换机SW1与交换机SW2互联的链路①是普通以太网链路,交换机SW3与交换机SW2互联的链路④是MACSec加密的以太网链路。在交换机SW2设备上的商用转发器件(LSW芯片)通过外挂MACSec模块对流量进行灵活加密/解密处理,即从交换机SW1收到的流量通过MACSec模块加密后向交换机SW3发送;或者,从交换机SW3收到的加密流量通过MACSec模块解密后向交换机SW1发送。
应理解,在本发明实施例中所提及的交换机或者服务器等,通常都包括MACSec功能模块、转发芯片和CPU。在图3所示的图中,MACSec模块和CPU实际上都是集成在交换机SW2上,那么图3所示的链路②③⑤⑥就是交换机SW2内部实现的链路。
下面以实施例的方式对本发明技术方案做一个具体的说明,如图4所示,为本发明实施例中数据处理的方法的一个实施例示意图,包括:
401、第一网络设备和第二网络设备进行预配置;
在本发明实施例中,要执行加密/解密的过程,首先,先要对其进行预配置。以上述图3所示的示意图为例来进行说明,那么,本发明实施例中所提及的第一网络设备就是图3中的交换机SW2,第二网络设备就是图3中交换机SW3。交换机SW2和交换机SW3使用MACSec功能和预先设置的共享密钥,当交换机SW3向交换机SW2发密钥协议报文时,交换机SW2的LSW(商用转发芯片)把密钥协议报文发送至CPU,CPU可通过媒体接入控制安全密钥协商(英文:MACsec Key Agreement,简称:MKA)协议协商生成密钥。
需要说明的是,高优先级的设备负责产生和分发密钥,即当第一网络设备的优先级高于第二网络设备的优先级,那么,第一网络设备产生密钥,并向第二网络设备发送该密钥,反之亦然,这里就以第一网络设备的优先级高于第二网络设备的优先级来进行说明。具体预配置的过程可以是:
(1)若交换机SW2的优先级高于交换机SW3的优先级,则交换机SW3向交换机SW2发送密钥协商报文;
(2)交换机SW2接收交换机SW3发送的密钥协商报文;
(3)交换机SW2根据密钥协商报文进行密钥协商,生成密钥数据,即交换机SW2的转发芯片把该密钥协商报文通过图3中所示的通道⑤发送到CPU,CPU通过MKA协议将MACSec协商成功后,通过通道⑥将密钥数据下发给MACSec模块;
(4)交换机SW2向交换机SW3发送密钥数据;
(5)交换机SW3接收交换机SW2发送的密钥数据。
402、第一网络设备获取输入数据;
在本发明实施例中,第一网络设备获取输入数据;这里的输入数据可以是流量等数据。在图3所示的示意图中,交换机SW2通过通道①接收交换机SW1发送的流量。该输入数据,即接收的流量可以携带但不限于第一端口信息、第一协议信息、第一子网信息、第一通道信息和第一局域网信息。
403、第一网络设备的转发芯片确定输入数据是否为目标数据,其中,目标数据为成功匹配预置条件的数据;
在本发明实施例中,第一网络设备的转发芯片确定输入数据是否为目标数据,其中,目标数据为成功匹配预置条件的数据。这里的预置条件是用户根据业务需求或者管理配置信息等确定的,该预置条件可以包括但不限于目标数据的端口信息集合、协议信息集合、子网信息集合、通道信息集合和局域网信息集合。
示例性的,这里的预置条件也可以称呼为匹配条件,包括端口、虚拟局域网(英文:Virtual Local Area Network,简称:VLAN)、媒体接入控制(英文:Medium AccessControl,简称:MAC)、互联网协议(英文:Internet Protocol,简称:IP)、协议类型等信息。交换机SW2的CPU可以控制LSW基于链路①上特定VLAN、子接口的流量导向给MACSec模块,只对制定子网或用户的流量进行加密和解密处理,而其它流量可以直接经过LSW从链路①转发到链路④。交换机SW2的CPU还可以控制LSW基于指定用户(源IP、目的IP)和指定协议(TCP、UDP)的流量处理。
下面介绍一下这几种可能的成功匹配预置条件的确定方式:
(1)预置条件包括目标数据的端口信息集合,输入数据携带第一端口信息;第一网络设备的转发芯片确定输入数据是否为目标数据,可以包括:当第一端口信息属于端口信息集合时,第一网络设备的转发芯片确定输入数据为目标数据。
(2)预置条件包括目标数据的协议信息集合,输入数据携带第一协议信息;第一网络设备的转发芯片确定输入数据是否为目标数据,可以包括:当第一协议信息属于协议信息集合时,第一网络设备的转发芯片确定输入数据为目标数据。
(3)预置条件包括目标数据的子网信息集合,输入数据携带第一子网信息;第一网络设备的转发芯片确定输入数据是否为目标数据,可以包括:当第一子网信息属于子网信息集合时,第一网络设备的转发芯片确定输入数据为目标数据。
(4)预置条件包括目标数据的通道信息集合,输入数据携带第一通道信息;第一网络设备的转发芯片确定输入数据是否为目标数据,可以包括:当第一通道信息属于通道信息集合时,第一网络设备的转发芯片确定输入数据为目标数据。
(5)预置条件包括目标数据的局域网信息集合,输入数据携带第一局域网信息;第一网络设备的转发芯片确定输入数据是否为目标数据,可以包括:当第一局域网信息属于局域网信息集合时,第一网络设备的转发芯片确定输入数据为目标数据。
即当输入数据携带的第一端口信息属于目标数据的端口信息集合、第一协议信息属于目标数据的协议信息集合、第一子网信息属于目标数据的子网信息集合、第一通道信息属于目标数据的通道信息集合或者第一局域网信息属于局域网信息集合等,那么,可以认为该输入数据为目标数据,即该输入数据为成功匹配预置条件的数据。
若输入数据携带了第一端口信息,而预置条件没有包括目标数据的端口信息集合,那么,可以以其他的信息(协议信息、子网信息、通道信息、局域网信息等)来进行匹配。当匹配未成功时,在图3所示的示意图中,交换机SW2通过链路①接收的输入数据,可以使用商用转发芯片通过链路④直接向交换机SW3发送。
404、若目标数据为加密数据,则第一网络设备利用MACsec功能对目标数据进行解密,得到当前解密数据,或者,若目标数据为未加密数据,则第一网络设备利用MACsec功能对目标数据进行加密,得到当前加密数据;
在本发明实施例中,若目标数据为加密数据,则第一网络设备利用MACsec功能对目标数据进行解密,得到当前解密数据,或者,若目标数据为未加密数据,则第一网络设备利用MACsec功能对目标数据进行加密,得到当前加密数据。
在实际应用中,通过步骤403,得到目标数据之后,交换机SW2的内部实现为:CPU控制商用转发芯片(LSW)通过链路②将该目标数据导向MACsec功能模块,若目标数据为加密数据,则MACsec功能模块对该目标数据进行解密,得到当前解密数据;若目标数据为未加密数据,则MACsec功能模块对该目标数据进行加密,得到当前加密数据。MACsec功能模块再通过链路③将当前解密数据或当前加密数据返至商用转发芯片。
405、第一网络设备将当前解密数据或当前加密数据发送至第二网络设备。
在本发明实施例中,该步骤可以包括步骤a和步骤b,如下所示:
步骤a、第一网络设备向第二网络设备发送当前解密数据或当前加密数据;
在本发明实施例中,第一网络设备得到当前解密数据或者当前加密数据之后,第一网络设备向第二网络设备发送当前解密数据或当前加密数据。对应在图3中,交换机SW2通过链路④向交换机SW3发送当前解密数据或当前加密数据。若交换机SW2与交换机SW3之间的链路④发生故障或变更时,交换机SW2的CPU可以控制LSW把匹配条件切换到新的链路④,继续处理输入的流量。
其中第一网络设备向第二网络设备发送当前解密数据或当前加密数据,可以包括:第一网络设备根据目标数据的端口信息集合,确定目标端口;第一网络设备通过目标端口,向第二网络设备发送当前解密数据或当前加密数据。
示例性的,在实际应用中,从MACSec返回给LSW的当前加密数据当前解密数据,LSW可以再重新查MAC表或流策略(英文:Modular QoS Command,简称:MQC)表,封装虚拟扩展局域网(英文:Virtual eXtensible Local Area Network,简称:VXLAN)隧道信息后再从链路④发送给SW3,实现只对VXLAN隧道内层的报文进行加密/解密。
在另外一种实现方式中,得到目标数据之后,交换机中的LSW先对目标数据进行VXLAN隧道封装,再通过链路②发送给MACSec模块进行加密或解密,最终实现对携带VXLAN隧道的报文的加密/解密功能。需要说明的是,这里也可以对其他的网络隧道信息进行加密/解密,例如:使用通用路由封装的网络虚拟化(英文:Network Virtualization usingGeneric Routing Encapsulation,简称:NVGRE)、无状态的交通隧道(英文:StatelessTransport Tunneling,简称:STT)或者虚拟专用局域网服务(英文:Virtual Private LANService,简称:VPLS)等网络也同样适用。上述的这两种实现方式,主要是对预置条件包括局域网信息集合的说明。
步骤b、第二网络设备接收第一网络设备发送的当前解密数据或当前加密数据。
在本发明实施例中,第一网络设备向第二网络设备发送当前解密数据或当前加密数据之后,第二网络设备接收第一网络设备发送的当前解密数据或当前加密数据;实现数据的一个完成通信的过程。
应理解,本发明实施例是以图3为参考进行说明的,在图3中,交换机SW1和交换机SW2之间的通道也可以是加密通道,处理方式与交换机SW2与交换机SW3之间MACSec协商和流量加密解密处理方式相同,此处不再赘述。还需要说明的是,反方向,从交换机SW3也可以向交换机SW2发送流量数据,SW2对其进行处理,再向SW1发送,这个过程与从SW1发送流量数据,通过SW2进行加/解密处理,再向SW3发送的过程类似,此处也不再赘述。
在本发明实施例中,第一网络设备通过CPU控制MACSec模块和以太网转发芯片实现对流量的灵活处理,接收输入数据后,通过预置条件的匹配,若匹配成功,则对其进行加/解密处理。而预置条件的匹配,就是一个灵活删选目标数据的过程。本发明实施例支持端口粒度的端到端安全传输,也支持更细粒度的子网、用户、指定协议、隧道内层或外层进行端到端安全传输。
上面对本发明实施例中的数据处理的方法进行了说明,下面对本发明实施例中的第一网络设备进行说明,如图5所示,为本发明实施例中第一网络设备的一个实施例示意图,包括:
获取模块501,用于获取输入数据;
确定模块502,用于通过转发芯片确定输入数据是否为目标数据,其中,目标数据为成功匹配预置条件的数据;
加/解密模块503,用于若目标数据为加密数据,则加/解密模块利用MACsec功能对目标数据进行解密,得到当前解密数据,或者,若目标数据为未加密数据,则加/解密模块利用MACsec功能对目标数据进行加密,得到当前加密数据;
发送模块504,用于向第二网络设备发送当前解密数据或当前加密数据。
如图6所示,为本发明实施例中第一网络设备的另一个实施例示意图,
该云控制器可因配置或性能不同而产生比较大的差异,可以包括收发器601,一个或一个以上中央处理器(central processing units,CPU)602(例如,一个或一个以上处理器)和存储器603,一个或一个以上存储应用程序6041或数据6042的存储介质604(例如一个或一个以上海量存储设备)。其中,存储器603和存储介质604可以是短暂存储或持久存储。存储在存储介质604的程序可以包括一个或一个以上模块(图6中没示出),每个模块可以包括对云控制器中的一系列指令操作。更进一步地,中央处理器602可以设置为与存储介质604通信,在云控制器上执行存储介质604中的一系列指令操作。
在本发明实施例中,收发器601,还用于获取输入数据;向第二网络设备发送当前解密数据或当前加密数据;
中央处理器602,还用于通过调用操作指令,确定输入数据是否为目标数据,其中,目标数据为成功匹配预置条件的数据;若目标数据为加密数据,则处理器利用MACsec功能对目标数据进行解密,得到当前解密数据,或者,若目标数据为未加密数据,则处理器利用MACsec功能对目标数据进行加密,得到当前加密数据。
可选的,在本发明的一些实施例中,
收发器601,还用于向第二网络设备发送密钥协商报文,密钥协商报文用于获取MACsec功能使用的密钥;
中央处理器602,具体用于利用MACsec功能使用密钥对目标数据进行解密。
可选的,在本发明的一些实施例中,预置条件包括目标数据的端口信息集合,输入数据携带第一端口信息;
中央处理器602,具体用于当第一端口信息属于端口信息集合时,确定模块确定输入数据为目标数据。
可选的,在本发明的一些实施例中,预置条件包括目标数据的协议信息集合,输入数据携带第一协议信息;
中央处理器602,具体用于当第一协议信息属于协议信息集合时,确定模块确定输入数据为目标数据。
可选的,在本发明的一些实施例中,预置条件包括目标数据的子网信息集合,输入数据携带第一子网信息;
中央处理器602,具体用于当第一子网信息属于子网信息集合时,确定模块确定输入数据为目标数据。
可选的,在本发明的一些实施例中,
收发器601,具体用于根据目标数据的端口信息集合,确定目标端口;通过目标端口,向第二网络设备发送当前解密数据或当前加密数据。
本发明实施例还提供一种存储介质,需要说明的是,本发的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产口的形式体现出来,该计算机软件产品存储在一个存储介质中,用于储存为上述第一网络设备所用的计算机软件指令,其包含用于执行上述图4为第一网络设备所设计的程序。该存储介质包括:U盘、移动硬盘、只读存储器(英文:Read-Only Memory,简称:ROM)、随机存取存储器(英文:Random Access Memory,简称:RAM)、磁碟或者光盘等各种可以存储程序代码的介质。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的系统,装置和单元的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
在本申请所提供的几个实施例中,应该理解到,所揭露的系统,装置和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本申请各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。
所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(英文:Read-OnlyMemory,简称:ROM)、随机存取存储器(英文:Random Access Memory,简称:RAM)、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述,以上实施例仅用以说明本申请的技术方案,而非对其限制;尽管参照前述实施例对本申请进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本申请各实施例技术方案的精神和范围。
Claims (13)
1.一种数据处理的方法,其特征在于,应用于配置了媒体接入控制安全MACsec功能的第一网络设备中,所述MACsec功能连接所述第一网络设备的转发芯片,所述方法包括:
所述第一网络设备获取输入数据;
所述第一网络设备的转发芯片确定所述输入数据是否为目标数据,其中,所述目标数据为成功匹配预置条件的数据;
若所述目标数据为加密数据,则所述第一网络设备利用所述MACsec功能对所述目标数据进行解密,得到当前解密数据,或者,若所述目标数据为未加密数据,则所述第一网络设备利用所述MACsec功能对所述目标数据进行加密,得到当前加密数据;
所述第一网络设备向第二网络设备发送所述当前解密数据或所述当前加密数据。
2.根据权利要求1所述的方法,其特征在于,所述第一网络设备利用所述MACsec功能对所述目标数据进行加密之前,所述方法还包括:
所述第一网络设备向所述第二网络设备发送密钥协商报文,所述密钥协商报文用于获取所述MACsec功能使用的密钥;
所述第一网络设备利用所述MACsec功能对所述目标数据进行解密,包括:
所述第一网络设备利用MACsec功能使用所述密钥对所述目标数据进行解密。
3.根据权利要求1或2所述的方法,其特征在于,所述预置条件包括所述目标数据的端口信息集合,所述输入数据携带第一端口信息;
所述第一网络设备的转发芯片确定所述输入数据是否为目标数据,包括:
当所述第一端口信息属于所述端口信息集合时,所述第一网络设备的转发芯片确定所述输入数据为所述目标数据。
4.根据权利要求1或2所述的方法,其特征在于,所述预置条件包括所述目标数据的协议信息集合,所述输入数据携带第一协议信息;
所述第一网络设备的转发芯片确定所述输入数据是否为目标数据,包括:
当所述第一协议信息属于所述协议信息集合时,所述第一网络设备的转发芯片确定所述输入数据为所述目标数据。
5.根据权利要求1或2所述的方法,其特征在于,所述预置条件包括所述目标数据的子网信息集合,所述输入数据携带第一子网信息;
所述第一网络设备的转发芯片确定所述输入数据是否为目标数据,包括:
当所述第一子网信息属于所述子网信息集合时,所述第一网络设备的转发芯片确定所述输入数据为所述目标数据。
6.根据权利要求3所述的方法,其特征在于,所述第一网络设备向第二网络设备发送所述当前解密数据或所述当前加密数据,包括:
所述第一网络设备根据所述目标数据的端口信息集合,确定目标端口;
所述第一网络设备通过所述目标端口,向所述第二网络设备发送所述当前解密数据或所述当前加密数据。
7.一种第一网络设备,其特征在于,所述第一网络设备配置了媒体接入控制安全MACsec功能,所述MACsec功能连接所述第一网络设备的转发芯片,所述第一网络设备包括:
获取模块,用于获取输入数据;
确定模块,用于通过转发芯片确定所述输入数据是否为目标数据,其中,所述目标数据为成功匹配预置条件的数据;
加/解密模块,用于若所述目标数据为加密数据,则所述加/解密模块利用所述MACsec功能对所述目标数据进行解密,得到当前解密数据,或者,若所述目标数据为未加密数据,则所述加/解密模块利用所述MACsec功能对所述目标数据进行加密,得到当前加密数据;
发送模块,用于向第二网络设备发送所述当前解密数据或所述当前加密数据。
8.根据权利要求7所述的第一网络设备,其特征在于,
所述发送模块,还用于向所述第二网络设备发送密钥协商报文,所述密钥协商报文用于获取所述MACsec功能使用的密钥;
所述加/解密模块,具体用于利用MACsec功能使用所述密钥对所述目标数据进行解密。
9.根据权利要求7或8所述的第一网络设备,其特征在于,所述预置条件包括所述目标数据的端口信息集合,所述输入数据携带第一端口信息;
所述确定模块,具体用于当所述第一端口信息属于所述端口信息集合时,所述确定模块确定所述输入数据为所述目标数据。
10.根据权利要求7或8所述的第一网络设备,其特征在于,所述预置条件包括所述目标数据的协议信息集合,所述输入数据携带第一协议信息;
所述确定模块,具体用于当所述第一协议信息属于所述协议信息集合时,所述确定模块确定所述输入数据为所述目标数据。
11.根据权利要求7或8所述的第一网络设备,其特征在于,所述预置条件包括所述目标数据的子网信息集合,所述输入数据携带第一子网信息;
所述确定模块,具体用于当所述第一子网信息属于所述子网信息集合时,所述确定模块确定所述输入数据为所述目标数据。
12.根据权利要求9所述的第一网络设备,其特征在于,
所述发送模块,具体用于根据所述目标数据的端口信息集合,确定目标端口;通过所述目标端口,向所述第二网络设备发送所述当前解密数据或所述当前加密数据。
13.一种第一网络设备,其特征在于,所述第一网络设备配置了媒体接入控制安全MACsec功能,所述MACsec功能连接所述第一网络设备的转发芯片,所述第一网络设备包括:
收发器、存储器、处理器和总线,所述收发器、所述处理器和所述存储器通过所述总线连接;
所述收发器,用于获取输入数据;向第二网络设备发送所述当前解密数据或所述当前加密数据;
所述存储器,用于存储操作指令;
所述处理器,用于通过调用所述操作指令,确定所述输入数据是否为目标数据,其中,所述目标数据为成功匹配预置条件的数据;若所述目标数据为加密数据,则处理器利用所述MACsec功能对所述目标数据进行解密,得到当前解密数据,或者,若所述目标数据为未加密数据,则处理器利用所述MACsec功能对所述目标数据进行加密,得到当前加密数据。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610821565.5A CN107819685A (zh) | 2016-09-13 | 2016-09-13 | 一种数据处理的方法以及网络设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610821565.5A CN107819685A (zh) | 2016-09-13 | 2016-09-13 | 一种数据处理的方法以及网络设备 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN107819685A true CN107819685A (zh) | 2018-03-20 |
Family
ID=61600424
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201610821565.5A Pending CN107819685A (zh) | 2016-09-13 | 2016-09-13 | 一种数据处理的方法以及网络设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN107819685A (zh) |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109040124A (zh) * | 2018-09-17 | 2018-12-18 | 盛科网络(苏州)有限公司 | 用于交换机的处理报文的方法和装置 |
| CN109361684A (zh) * | 2018-11-14 | 2019-02-19 | 盛科网络(苏州)有限公司 | 一种vxlan隧道的动态加密方法和系统 |
| CN110636078A (zh) * | 2019-10-12 | 2019-12-31 | 盛科网络(苏州)有限公司 | 实现Cloudsec的方法及装置 |
| CN110868362A (zh) * | 2019-10-22 | 2020-03-06 | 苏州盛科科技有限公司 | 一种MACsec非受控端口报文的处理方法及装置 |
| CN111953597A (zh) * | 2019-05-17 | 2020-11-17 | 瞻博网络公司 | 链路聚合组(LAG)的支持媒体访问控制安全(MACsec)的链路 |
| CN115442305A (zh) * | 2021-06-01 | 2022-12-06 | 迈络思科技有限公司 | 具有中间介质访问控制安全设备的端到端流量控制 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN203225850U (zh) * | 2013-03-14 | 2013-10-02 | 杭州华三通信技术有限公司 | 一种光模块 |
| CN104205764A (zh) * | 2012-03-26 | 2014-12-10 | 惠普发展公司,有限责任合伙企业 | 基于以太网类型的帧传送 |
| CN104935593A (zh) * | 2015-06-16 | 2015-09-23 | 杭州华三通信技术有限公司 | 数据报文的传输方法及装置 |
-
2016
- 2016-09-13 CN CN201610821565.5A patent/CN107819685A/zh active Pending
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104205764A (zh) * | 2012-03-26 | 2014-12-10 | 惠普发展公司,有限责任合伙企业 | 基于以太网类型的帧传送 |
| CN203225850U (zh) * | 2013-03-14 | 2013-10-02 | 杭州华三通信技术有限公司 | 一种光模块 |
| CN104935593A (zh) * | 2015-06-16 | 2015-09-23 | 杭州华三通信技术有限公司 | 数据报文的传输方法及装置 |
Cited By (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109040124A (zh) * | 2018-09-17 | 2018-12-18 | 盛科网络(苏州)有限公司 | 用于交换机的处理报文的方法和装置 |
| CN109361684A (zh) * | 2018-11-14 | 2019-02-19 | 盛科网络(苏州)有限公司 | 一种vxlan隧道的动态加密方法和系统 |
| CN109361684B (zh) * | 2018-11-14 | 2021-05-25 | 盛科网络(苏州)有限公司 | 一种vxlan隧道的动态加密方法和系统 |
| CN111953597A (zh) * | 2019-05-17 | 2020-11-17 | 瞻博网络公司 | 链路聚合组(LAG)的支持媒体访问控制安全(MACsec)的链路 |
| US11902256B2 (en) | 2019-05-17 | 2024-02-13 | Juniper Networks, Inc. | Media access control security (MACsec) enabled links of a link aggregation group (LAG) |
| CN110636078A (zh) * | 2019-10-12 | 2019-12-31 | 盛科网络(苏州)有限公司 | 实现Cloudsec的方法及装置 |
| CN110636078B (zh) * | 2019-10-12 | 2022-02-11 | 苏州盛科通信股份有限公司 | 实现Cloudsec的方法及装置 |
| CN110868362A (zh) * | 2019-10-22 | 2020-03-06 | 苏州盛科科技有限公司 | 一种MACsec非受控端口报文的处理方法及装置 |
| CN110868362B (zh) * | 2019-10-22 | 2022-04-08 | 苏州盛科科技有限公司 | 一种MACsec非受控端口报文的处理方法及装置 |
| CN115442305A (zh) * | 2021-06-01 | 2022-12-06 | 迈络思科技有限公司 | 具有中间介质访问控制安全设备的端到端流量控制 |
| US11956160B2 (en) | 2021-06-01 | 2024-04-09 | Mellanox Technologies, Ltd. | End-to-end flow control with intermediate media access control security devices |
| CN115442305B (zh) * | 2021-06-01 | 2024-05-28 | 迈络思科技有限公司 | 具有中间介质访问控制安全设备的端到端流量控制 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN107819685A (zh) | 一种数据处理的方法以及网络设备 | |
| CN109995513B (zh) | 一种低延迟的量子密钥移动服务方法 | |
| CN103036784B (zh) | 用于自组织二层企业网络架构的方法和装置 | |
| CN107306214B (zh) | 终端连接虚拟专用网的方法、系统及相关设备 | |
| US8713305B2 (en) | Packet transmission method, apparatus, and network system | |
| US7120791B2 (en) | Bridged cryptographic VLAN | |
| CN103188351B (zh) | IPv6环境下IPSec VPN通信业务处理方法与系统 | |
| CN112491821B (zh) | 一种IPSec报文转发的方法及装置 | |
| US10044841B2 (en) | Methods and systems for creating protocol header for embedded layer two packets | |
| WO2018098633A1 (zh) | 数据传输方法、数据传输装置、电子设备和计算机程序产品 | |
| JP2006101051A (ja) | サーバ、vpnクライアント、vpnシステム、及びソフトウェア | |
| CN101572644B (zh) | 一种数据封装方法和设备 | |
| CN110324227A (zh) | 一种vpn服务器中的数据传输方法及vpn服务器 | |
| CN108769292A (zh) | 报文数据处理方法及装置 | |
| KR101116109B1 (ko) | 디지털 오브젝트 타이틀 및 송신 정보 | |
| CN105471827A (zh) | 一种报文传输方法及装置 | |
| CN107306198A (zh) | 报文转发方法、设备和系统 | |
| CN112449751A (zh) | 一种数据传输方法、交换机及站点 | |
| CN102904792A (zh) | 业务承载的方法及路由器 | |
| CN114915451B (zh) | 一种基于企业级路由器的融合隧道加密传输方法 | |
| CN103067282B (zh) | 数据备份方法、装置及系统 | |
| CN115442121A (zh) | 一种流量传输方法、系统、装置及存储介质 | |
| KR101329968B1 (ko) | IPSec VPN 장치들 사이의 보안 정책을 결정하기 위한 방법 및 시스템 | |
| CN112636913B (zh) | 一种密钥共享的组网方法 | |
| CN109361684B (zh) | 一种vxlan隧道的动态加密方法和系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20180320 |