CN114244626B - 一种基于MACSec网络的报文处理方法和装置 - Google Patents
一种基于MACSec网络的报文处理方法和装置 Download PDFInfo
- Publication number
- CN114244626B CN114244626B CN202111673375.0A CN202111673375A CN114244626B CN 114244626 B CN114244626 B CN 114244626B CN 202111673375 A CN202111673375 A CN 202111673375A CN 114244626 B CN114244626 B CN 114244626B
- Authority
- CN
- China
- Prior art keywords
- message
- macsec
- processing
- decryption
- network
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000003672 processing method Methods 0.000 title claims abstract description 17
- 238000012545 processing Methods 0.000 claims abstract description 104
- 238000004458 analytical method Methods 0.000 claims abstract description 19
- 238000000034 method Methods 0.000 claims abstract description 18
- 230000000875 corresponding effect Effects 0.000 claims description 45
- 230000009471 action Effects 0.000 claims description 38
- 238000011282 treatment Methods 0.000 claims description 6
- 238000011269 treatment regimen Methods 0.000 claims description 2
- 230000005540 biological transmission Effects 0.000 description 11
- 230000008569 process Effects 0.000 description 7
- 238000010586 diagram Methods 0.000 description 4
- 238000013459 approach Methods 0.000 description 3
- 238000005516 engineering process Methods 0.000 description 3
- RTZKZFJDLAIYFH-UHFFFAOYSA-N Diethyl ether Chemical compound CCOCC RTZKZFJDLAIYFH-UHFFFAOYSA-N 0.000 description 2
- 238000004891 communication Methods 0.000 description 2
- 230000003287 optical effect Effects 0.000 description 2
- 230000002776 aggregation Effects 0.000 description 1
- 238000004220 aggregation Methods 0.000 description 1
- 230000000295 complement effect Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012795 verification Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/18—Multiprotocol handlers, e.g. single devices capable of handling multiple protocols
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D30/00—Reducing energy consumption in communication networks
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Small-Scale Networks (AREA)
Abstract
本发明公开了一种基于MACSec网络的报文处理方法和装置,其中所述方法包括:解析收到的报文,并将获取的解析信息匹配预设的处理策略;根据所述预设的处理策略,选择对报文进行通过处理,丢弃处理或解密处理;对通过处理后的明文报文,或解密处理后的密文报文,执行常规的转发操作。通过所述装置和方法,可以解决现有技术中通过ACL对MACSec报文采取对应的加解密、通过、丢弃的操作时,会影响到其他管理控制功能的问题。
Description
技术领域
本发明涉及网络通信技术,特别是涉及一种基于MACSec网络的报文处理方法和装置。
背景技术
MACsec定义了基于IEEE 802局域网络的数据安全通信的方法。MACsec可为用户提供安全的MAC层数据发送和接收服务,包括用户数据加密、数据帧完整性检查、数据源真实性校验及重放保护。
MACsec不是对现有端到端IPSec、TLS等三层安全技术的替代,而是它们的互补技术。MACsec使用二层加密技术,提供逐跳设备的数据安全传输,适用于政府、军队、金融等对数据机密性要求较高的场合,如局域网两台交换机设备之间经过光传输设备,通过MACsec加密技术可保证数据在中间传输设备上安全传输。
MACsec对原报文macDa和macSa后面的数据进行加解密。加密之后,MACsec报文会添加一个secTag头,用来识别是MACsec报文。
按照协议,当在端口上MACsec协商成功之后,链路中的数据报文一般会被进行加密传输,对于明文报文需要被丢弃处理。
但此时仍有一些特殊的明文被允许在链路中传输,这些特例明文可以分为3类:
1)一些协议不允许报文被加密,例如mka、lldp、lacp等,这些协议报文加密之后会影响业务。
2)MACsec协商结果仍然采用明文传输,此时数据报文不需要进行加密。
3)残留的明文,例如MACsec从使能到协商成功之前的中间状态,数据报文还都没有被加密。
对于第1类明文,永远采取明文传输的策略。对于第2类明文,根据协商结果选择加解密还是明文传输的策略。对于第3类明文,用户可以根据应用场景配置不同的策略,如:
1)流量优先策略:此时需要优先保证流量不丢包,尽力加密即可。对收到的残留明文采取通过处理策略。
2)安全优先策略:此时需要优先保证安全性,防止明文报文传输导致用户信息泄漏。端口上一旦使能MACsec功能,立即对非第1类明文的其他所有明文报文采取丢弃处理策略。
对此,现有技术中的一种做法是当端口使能MACsec功能后,所有报文都被加解密处理,收到的明文报文都会被丢弃。这种做法对LLDP、LACP等业务将会产生影响;同时在MACsec协商的中间状态,会出现丢包问题。
另一种做法是通过访问控制列表(Access Control List,ACL)模块来识别出不同流量,然后根据需要采取对应的加解密、通过、丢弃操作。例如:对收到的特殊明文流量,ACL匹配特殊明文特征,采取通过操作;对收到的密文流量,ACL匹配MACsec报文特征,采取解密操作;对收到的其他明文流量,配置一条默认ACL,采取丢弃操作。
然而按照上述方案,ACL模块必须在MACsec模块之前进行,这样对于解完密的数据报文,就无法再进行ACL相关处理,对防火墙、QoS等业务会有影响。
发明内容
本发明实施例所要解决的技术问题是,如何解决现有技术中,通过ACL对MACsec报文采取对应的加解密、通过、丢弃的操作时,会影响到其他业务的问题。
为了解决上述的技术问题,本发明实施例提供了一种基于MACSec网络的报文处理方法,应用于ASIC芯片,包括:解析收到的报文,并将获取的解析信息匹配预设的处理策略;根据所述预设的处理策略,选择对报文进行通过处理,丢弃处理或解密处理;对通过处理后的明文报文,或解密处理后的密文报文,执行常规的转发操作。
上述的基于MACSec网络的报文处理方法中,所述解析收到的报文包括:解析报文的二三四层信息及端口信息。
上述的基于MACSec网络的报文处理方法中,所述将获取的解析信息匹配预设的处理策略包括:根据获取的所述解析信息,识别报文的数据流特征信息,并将数据流特征信息相同的报文识别为同一条数据流;在MACSec流表中,根据识别出的所述数据流特征信息,匹配对应的动作。
上述的基于MACSec网络的报文处理方法中,对MKA协议,或LACP协议,或LLDP协议报文下发的MACSec流表中,MKA报文的数据流特征信息所对应的动作为通过。
上述的基于MACSec网络的报文处理方法中,存在一个或多个MACSec对端时,每个对端下发的MACSec流表分别设置,端口信息和不同的SCI值作为所述数据流特征信息,以及解密和不同的解密参数作为对应的所述动作;当网络安全策略为流量优先时,设置通过为对应的所述动作;当为安全优先时,设置丢弃为对应的所述动作。
上述的基于MACSec网络的报文处理方法中,于执行常规的转发操作后,还包括:解析收到的报文,并将获取的解析信息匹配预设的处理策略;根据所述预设的处理策略,选择对报文进行通过处理,丢弃处理或加密处理;对通过处理后或加密处理后的报文,执行常规的转发操作。
为了解决上述的技术问题,本发明实施例还提供了一种基于MACSec网络的报文处理装置,应用于ASIC芯片,包括:MACSec解密引擎单元,用于解析收到的报文,并将获取的解析信息匹配预设的处理策略;以及,用于根据所述预设的处理策略,选择对报文进行通过处理,丢弃处理或解密处理;入方向处理单元,用于对通过处理后的明文报文,或解密处理后的密文报文,执行常规的转发操作。
上述的基于MACSec网络的报文处理装置中,所述MACSec解密引擎单元解析报文的二三四层信息及端口信息。
上述的基于MACSec网络的报文处理装置中,所述MACSec解密引擎单元用于,根据获取的所述解析信息,识别报文的数据流特征信息,并将数据流特征信息相同的报文识别为同一条数据流;在MACSec流表中,根据识别出的所述数据流特征信息,匹配对应的动作。
上述的基于MACSec网络的报文处理装置中,对MKA协议,或LACP协议,或LLDP协议报文下发的MACSec流表中,MKA报文的数据流特征信息所对应的动作为通过。
上述的基于MACSec网络的报文处理装置中,存在一个或多个MACSec对端时,每个对端下发的MACSec流表分别设置,端口信息和不同的SCI值作为所述数据流特征信息,以及解密和不同的解密参数作为对应的所述动作;当网络安全策略为流量优先时,设置通过为对应的所述动作;当为安全优先时,设置丢弃为对应的所述动作。
上述的基于MACSec网络的报文处理装置中,还包括:MACSec加密引擎单元,用于解析收到的报文,并将获取的解析信息匹配预设的处理策略;以及,根据所述预设的处理策略,选择对报文进行通过处理,丢弃处理或加密处理。
本发明针对现有技术中的问题,通过在入方向对报文进行处理之前,对收到的报文按照报文信息匹配相应的预设处理策略,就能在前端非常灵活地控制各种流量在入方向的通过、丢弃、解密操作,相应的,在出方向的通过、丢弃、加密操作也可以对应实施。因此对于解密后生成的明文报文,仍然可以进行常规的业务处理,如ACL,不会受到影响。
附图说明
图1是本发明实施例中芯片处理层级的流程示意图;
图2是本发明实施例中ASIC芯片内部的处理流程示意图;
图3是本发明实施例中MACSec解密引擎内部的处理流程示意图;
图4是本发明实施例中MACSec加密引擎内部的处理流程示意图。
具体实施方式
为了方便理解本申请的技术方案,下面首先对本发明中可能出现的技术术语进行详细解释。
MACSec(Media Access Control Security):指代MAC安全协议。
MKA(MACsec Key Agreementprotocol):指代MACsec密钥协商协议。
LACP(Link Aggregation Control Protocol):指代链路控制汇聚协议。
LLDP(Link Layer Discovery Protocol):指代链路层发现协议。
SCI(Secure Channel Identifier):是一种安全通道标识。
现有技术中对MACSec明文报文的处理,一种做法是当端口使能MACsec功能后,所有报文都被加解密处理,收到的明文报文都会被丢弃。这种做法对LLDP、LACP等业务将会产生影响;同时在MACsec协商的中间状态,会出现丢包问题。另一种做法是通过访问控制列表(Access Control List,ACL)模块来识别出不同流量,然后根据需要采取对应的加解密、通过、丢弃操作。
例如:对收到的特殊明文流量,ACL匹配特殊明文特征,采取通过操作;对收到的密文流量,ACL匹配MACSec报文特征,采取解密操作;对收到的其他明文流量,配置一条默认ACL,采取丢弃操作。然而按照上述方案,ACL模块必须在MACSec模块之前进行,这样对于解完密的数据报文,就无法再进行ACL相关处理。因此,对防火墙、QoS等业务会产生很大影响。
针对现有技术中的问题,本发明实施例通过在入方向对报文进行处理之前,对收到的报文按照报文信息匹配相应的预设处理策略,就能在前端非常灵活地控制各种流量在入方向的通过、丢弃、解密操作,相应的,在出方向的通过、丢弃、加密操作也可以对应实施。因此对于解密后生成的明文报文,仍然可以进行常规的业务处理,如ACL,不会受到影响。
为使本发明的上述目的、特征和优点能够更为明显易懂,下面结合附图对本发明的具体实施例做详细的说明。
本发明实施例的一种基于MACSec网络的报文处理方法,可应用于ASIC芯片。ASIC(Application Specific Integrated Circuit)是为专门目的设计的集成电路,在本实施例中其主要功能是用于转发数据报文。因此如图1所示,在本方案中,关于MACSec的相关处理将会移到ASIC芯片中进行,而不是在PHY芯片(物理介质层)中。具体来说,本发明实施例的一种基于MACSec网络的报文处理方法包括:
步骤S101,解析收到的报文,并将获取的解析信息匹配预设的处理策略;
如图2所示,当从入网口接收到报文后,首先通过MACSec解密引擎进行处理,然后才会转给下一步的入方向处理单元进行数据转发等动作。此时收到的报文,可能是MACSec协商成功之后,链路中已经被加密传输的数据报文,也可能是在链路中被允许传输的特殊明文。MACSec解密引擎在本实施例中的作用是,既可以对收到的MACSec报文进行解密处理,也可以对收到的明文报文可控制采取通过或者丢弃处理。
在具体实施中,首先会判断MACSec解密引擎是否使能,以及ASIC芯片支持选择是否打开MACSec解密功能。如果未使能MACSec的场景或者不支持MACSec解密功能,则等于通过处理,报文会跳过MACSec解密/加密引擎处理,此时报文只需进行入方向处理、调度、出方向处理3个步骤,这3个步骤也称为常规处理,与现有技术相同。
在具体实施中,完成了上述MACSec解密引擎是否使能的判断后,还会进一步判断报文入端口是否使能MACSec解密功能。ASIC芯片能够支持按端口控制是否打开MACSec解密功能,因此如果入端口上未使能MACSec解密功能,则同样等于通过处理,报文进行常规转发处理。
本实施例中,所述MACSec引擎主要由报文解析单元、MACSec流表、加解密引擎三部分组成。其中,报文解析单元用于解析进入MACSec解密引擎的报文,包括明文和密文,并利用解析后的报文信息去查找MACSec流表。
所述MACSec Flow由两部分构成:KEY和Action。KEY表示数据流特征信息,所有数据流特征信息相同的报文会被自动识别成同一条数据流Flow。对于MACSec Flow而言,一般主要解析出二三层信息,包括secTag头信息:
1、源MAC地址(macSa)
2、目的MAC地址(macDa)
3、以太类型(etherType)
4、s-tag vlan信息(svlanId)
5、c-tag vlan信息(cvlanId)
6、secTag sci信息(sci)
7、端口号(port)
8、其他
根据获取的所述解析信息,就可以识别报文的数据流特征信息,并将数据流特征信息相同的报文识别为同一条数据流,进而在MACSec流表中,即可匹配到对应的动作Action。
步骤S102,根据所述预设的处理策略,选择对报文进行通过处理,丢弃处理或解密处理;
如果在MACSec Flow中,可匹配到出Action,则优先执行该动作;如果未查找到,则可以在端口Port上匹配默认的预设动作Action执行。
在MACSec流表中,Action表示该流表的处理策略,包括通过(pass)、丢弃(discard)、加密(encrypt)、解密(decrypt)共四种。MACSec Flow可以分为解密Flow和加密Flow,如图2所示,前者位于MACSec解密引擎中,支持通过(pass)、丢弃(discard)、解密(decrypt)三种处理策略,后者位于MACSec加密引擎中,支持通过(pass)、丢弃(discard)、加密(encrypt)三种处理策略。
在本实施例中,如果Action为通过,报文直接进行常规转发处理;如果Action为丢弃,将报文丢弃;如果Action为解密,同时会出解密参数,MACSec解密引擎利用解密参数对报文进行解密处理。
在具体实施中,对于一些的典型需求,可以进行相应设置:
例如对MKA,或LACP,或LLDP等协议报文允许明文接收,可在相关协议下发的MACSec流表中,MKA报文的数据流特征信息所对应的动作为通过。具体来说,相关配置为:
1)LACP Flow:
key:etherType=0x8809(LACP报文的以太类型为0x8809)
action:pass
2)LLDP Flow:
key:etherType=0x88CC(LLDP报文的以太类型为0x88CC)
action:pass
3)MKAFlow:
Key:etherType=0x888E(MKA报文的以太类型为0x888E);
Action:pass。
再如对MACSec报文进行解密处理时,可能存在一个或多个MACsec对端,这些不同的MACsec对端会分配不同的sci值,应用不同的解密参数。此时针对每个对端下发对应的MACsec Flow来对密文进行解密处理。相关配置包括:
Key:port+sci;
Action:Decrypt+解密参数。
再有对于普通明文报文,可根据用户需求在端口上出对应策略。如果是流量优先策略,action为pass,允许明文通过;如果是安全优先策略,action为discard,丢弃明文;如果用户需求发生变化,修改策略也很方便,直接修改端口上的action即可。
步骤S103,执行常规的转发操作。
如图2所示,在MACSec解密引擎完成相应的Action动作后,除被丢弃处理的报文,入方向处理单元对收到的是MACSec解密后的明文报文或者MACSec引擎允许通过的明文报文,此时对这些明文报文进行常规的转发处理,包括ACL处理。入方向处理单元完成处理后,会转给调度单元对明文报文进行常规的调度处理。然后再有出方向处理单元对明文报文进行常规的编辑处理,包括ACL处理。
步骤S101~步骤S103的MACSec解密引擎的处理流程可以参见图3所示的流程示意图。
步骤S104,解析收到的报文,并将获取的解析信息匹配预设的处理策略;
此处与步骤S101相对的,由MACSec加密引擎中的解析单元执行相类似的报文解析动作。
在具体实施中,也可以首先判断MACSec加密引擎是否使能,ASIC芯片支持选择是否打开MACSec加密功能。如果未使能MACSec加密引擎,则等于通过处理,报文进行发送处理。判断报文出端口是否使能MACSec加密功能,ASIC芯片支持按端口控制是否打开MACSec加密功能,如果未使能,等于通过处理,报文进行发送处理。
在具体实施中,对报文进行解析处理,主要解析出二三层信息。
步骤S105,根据所述预设的处理策略,选择对报文进行通过处理,丢弃处理或加密处理;
同样的,MACSec加密引擎通过匹配MACSec流表,对收到的明文报文可控制采取加密、通过或者丢弃处理。如果Action为通过,报文直接进行发送处理;如果Action为丢弃,将报文丢弃;如果Action为加密,则同时还会给出加密参数,利用加密参数对报文完成加密处理。
在具体实施中,对于一些的典型需求,也可以进行相应设置:
例如对MKA、LACP、LLDP等协议报文允许明文发送,可针对MKA、LACP、LLDP等协议下发对应的MACsec Flow来允许特例报文明文通过。具体来说,相关配置为:
1)LACP Flow:
key:etherType=0x8809(LACP报文的以太类型为0x8809);
action:pass;
2)LLDP Flow:
key:etherType=0x88CC(LLDP报文的以太类型为0x88CC);
action:pass;
3)MKAFlow:
Key:etherType=0x888E(MKA报文的以太类型为0x888E);
Action:pass。
再如,在MACsec协商成功前,对于普通明文报文,可根据用户需求在端口上出对应策略
1)如果是流量优先策略,action为pass,允许明文通过;
2)如果是安全优先策略,action为discard,丢弃明文。
又如,当MACsec协商成功后,按照协议,此时只需下发一条MACsec Flow来对密文进行加密处理。
key:port;
action:encrypt+加密参数。
步骤S106,对通过处理后或加密处理后的报文,执行常规的转发操作。
加密成功后,对加密后的密文或者直接转发的明文报文进行常规的发送处理。
步骤S104~步骤S106的MACSec加密引擎的处理流程可以参见图4所示的流程示意图。
本实施例在MACSec引擎中增加了报文解析和MACSec Flow模块,可以基于Flow来灵活的控制报文的通过、丢弃、加密、解密操作。作为用户来说,可以根据自己的实际需要,通过添加、删除MACSec流表或者修改MACSec流表Action的方式,非常方便的应用各种MACSec明文策略。对于解密后的明文报文,报文的常规处理,如ACL业务处理则不会受到影响,可以正常设置。
与前述方法实施例相应的,本发明还公开了相应的基于MACSec网络的报文处理装置实施例,包括:
MACSec解密引擎单元,用于解析收到的报文,并将获取的解析信息匹配预设的处理策略;以及,用于根据所述预设的处理策略,选择对报文进行通过处理,丢弃处理或解密处理;入方向处理单元,用于对通过处理后的明文报文,或解密处理后的密文报文,执行常规的转发操作。
在具体实施中,所述MACSec解密引擎单元解析报文的二三四层信息及端口信息。
在具体实施中,所述MACSec解密引擎单元用于,根据获取的所述解析信息,识别报文的数据流特征信息,并将数据流特征信息相同的报文识别为同一条数据流;在MACSec流表中,根据识别出的所述数据流特征信息,匹配对应的动作。
在具体实施中,对MKA协议,或LACP协议,或LLDP协议报文下发的MACSec流表中,MKA报文的数据流特征信息所对应的动作为通过。
在具体实施中,存在一个或多个MACSec对端时,每个对端下发的MACSec流表分别设置,端口信息和不同的SCI值作为所述数据流特征信息,以及解密和不同的解密参数作为对应的所述动作;当网络安全策略为流量优先时,设置通过为对应的所述动作;当为安全优先时,设置丢弃为对应的所述动作。
在具体实施中,所述基于MACSec网络的报文处理装置,还包括:MACSec加密引擎单元,用于解析收到的报文,并将获取的解析信息匹配预设的处理策略;以及,根据所述预设的处理策略,选择对报文进行通过处理,丢弃处理或加密处理。
本领域技术人员可以理解的是,本实施例的一种基于MACSec网络的报文处理装置与前述的基于MACSec网络的报文处理方法为基于同一发明构思,因此关于相关实施例的内容可以参照前文相应内容处,此处不再赘述。
本领域普通技术人员可以理解上述实施例的各种方法中的全部或部分步骤是可以通过程序来指令相关的硬件来完成,该程序可以存储于一计算机可读存储介质中,存储介质可以包括:ROM、RAM、磁盘或光盘等。
虽然本发明披露如上,但本发明并非限定于此。任何本领域技术人员,在不脱离本发明的精神和范围内,均可作各种更动与修改,因此本发明的保护范围应当以权利要求所限定的范围为准。
Claims (10)
1.一种基于MACSec网络的报文处理方法,其特征在于,应用于ASIC芯片,包括:
解析收到的报文,并将获取的解析信息匹配预设的处理策略;
根据所述预设的处理策略,选择对报文进行通过处理,丢弃处理或解密处理,具体包括:对MKA协议,或LACP协议,或LLDP协议报文下发的MACSec流表中,MKA报文的数据流特征信息所对应的动作为通过;存在一个或多个MACSec对端时,每个对端下发的MACSec流表分别设置,端口信息和不同的SCI值作为所述数据流特征信息,以及解密和不同的解密参数作为对应的所述动作;当网络安全策略为流量优先时,设置通过为对应的所述动作;当为安全优先时,设置丢弃为对应的所述动作;
对通过处理后的明文报文,或解密处理后的密文报文,执行常规的转发操作。
2.如权利要求1所述的基于MACSec网络的报文处理方法,其特征在于,所述解析收到的报文包括:解析报文的二三四层信息及端口信息。
3.如权利要求1或2所述的基于MACSec网络的报文处理方法,其特征在于,所述将获取的解析信息匹配预设的处理策略包括:
根据获取的所述解析信息,识别报文的数据流特征信息,并将数据流特征信息相同的报文识别为同一条数据流;
在MACSec流表中,根据识别出的所述数据流特征信息,匹配对应的动作。
4.如权利要求1所述基于MACSec网络的报文处理方法,其特征在于,于执行常规的转发操作后,还包括:
解析收到的报文,并将获取的解析信息匹配预设的处理策略;
根据所述预设的处理策略,选择对报文进行通过处理,丢弃处理或加密处理;
对通过处理后或加密处理后的报文,执行常规的转发操作。
5.一种基于MACSec网络的报文处理装置,其特征在于,应用于ASIC芯片,包括:
MACSec解密引擎单元,用于解析收到的报文,并将获取的解析信息匹配预设的处理策略;以及,
用于根据所述预设的处理策略,选择对报文进行通过处理,丢弃处理或解密处理,具体包括:对MKA协议,或LACP协议,或LLDP协议报文下发的MACSec流表中,MKA报文的数据流特征信息所对应的动作为通过;存在一个或多个MACSec对端时,每个对端下发的MACSec流表分别设置,端口信息和不同的SCI值作为所述数据流特征信息,以及解密和不同的解密参数作为对应的所述动作;当网络安全策略为流量优先时,设置通过为对应的所述动作;当为安全优先时,设置丢弃为对应的所述动作;
入方向处理单元,用于对通过处理后的明文报文,或解密处理后的密文报文,执行常规的转发操作。
6.如权利要求5所述的基于MACSec网络的报文处理装置,其特征在于,所述MACSec解密引擎单元解析报文的二三四层信息及端口信息。
7.如权利要求5或6所述的基于MACSec网络的报文处理装置,其特征在于,所述MACSec解密引擎单元用于,
根据获取的所述解析信息,识别报文的数据流特征信息,并将数据流特征信息相同的报文识别为同一条数据流;
在MACSec流表中,根据识别出的所述数据流特征信息,匹配对应的动作。
8.如权利要求7所述的基于MACSec网络的报文处理装置,其特征在于,对MKA协议,或LACP协议,或LLDP协议报文下发的MACSec流表中,MKA报文的数据流特征信息所对应的动作为通过。
9.如权利要求7所述的基于MACSec网络的报文处理装置,其特征在于,
存在一个或多个MACSec对端时,每个对端下发的MACSec流表分别设置,端口信息和不同的SCI值作为所述数据流特征信息,以及解密和不同的解密参数作为对应的所述动作;
当网络安全策略为流量优先时,设置通过为对应的所述动作;当为安全优先时,设置丢弃为对应的所述动作。
10.如权利要求5所述基于MACSec网络的报文处理装置,其特征在于,还包括:
MACSec加密引擎单元,用于解析收到的报文,并将获取的解析信息匹配预设的处理策略;以及,
根据所述预设的处理策略,选择对报文进行通过处理,丢弃处理或加密处理。
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111673375.0A CN114244626B (zh) | 2021-12-31 | 2021-12-31 | 一种基于MACSec网络的报文处理方法和装置 |
| PCT/CN2022/137616 WO2023124880A1 (zh) | 2021-12-31 | 2022-12-08 | 一种基于MACSec网络的报文处理方法和装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111673375.0A CN114244626B (zh) | 2021-12-31 | 2021-12-31 | 一种基于MACSec网络的报文处理方法和装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN114244626A CN114244626A (zh) | 2022-03-25 |
| CN114244626B true CN114244626B (zh) | 2024-03-15 |
Family
ID=80745420
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202111673375.0A Active CN114244626B (zh) | 2021-12-31 | 2021-12-31 | 一种基于MACSec网络的报文处理方法和装置 |
Country Status (2)
| Country | Link |
|---|---|
| CN (1) | CN114244626B (zh) |
| WO (1) | WO2023124880A1 (zh) |
Families Citing this family (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114244626B (zh) * | 2021-12-31 | 2024-03-15 | 苏州盛科通信股份有限公司 | 一种基于MACSec网络的报文处理方法和装置 |
| WO2024198902A1 (zh) * | 2023-03-31 | 2024-10-03 | 深圳市中兴微电子技术有限公司 | 通讯芯片及其运行方法、通信设备以及非暂时性计算机存储介质 |
| CN117749480B (zh) * | 2023-12-19 | 2024-07-23 | 无锡众星微系统技术有限公司 | 一种基于MACSec的多通道数据安全传输方法和装置 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105635154A (zh) * | 2016-01-05 | 2016-06-01 | 盛科网络(苏州)有限公司 | 灵活的MACSec报文加密认证的芯片实现方法及实现装置 |
| CN109040124A (zh) * | 2018-09-17 | 2018-12-18 | 盛科网络(苏州)有限公司 | 用于交换机的处理报文的方法和装置 |
| CN110636078A (zh) * | 2019-10-12 | 2019-12-31 | 盛科网络(苏州)有限公司 | 实现Cloudsec的方法及装置 |
| CN110868362A (zh) * | 2019-10-22 | 2020-03-06 | 苏州盛科科技有限公司 | 一种MACsec非受控端口报文的处理方法及装置 |
| WO2021004536A1 (zh) * | 2019-07-10 | 2021-01-14 | 深圳市中兴微电子技术有限公司 | 报文解析方法和装置 |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8966240B2 (en) * | 2011-10-05 | 2015-02-24 | Cisco Technology, Inc. | Enabling packet handling information in the clear for MACSEC protected frames |
| CN114244626B (zh) * | 2021-12-31 | 2024-03-15 | 苏州盛科通信股份有限公司 | 一种基于MACSec网络的报文处理方法和装置 |
-
2021
- 2021-12-31 CN CN202111673375.0A patent/CN114244626B/zh active Active
-
2022
- 2022-12-08 WO PCT/CN2022/137616 patent/WO2023124880A1/zh unknown
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105635154A (zh) * | 2016-01-05 | 2016-06-01 | 盛科网络(苏州)有限公司 | 灵活的MACSec报文加密认证的芯片实现方法及实现装置 |
| CN109040124A (zh) * | 2018-09-17 | 2018-12-18 | 盛科网络(苏州)有限公司 | 用于交换机的处理报文的方法和装置 |
| WO2021004536A1 (zh) * | 2019-07-10 | 2021-01-14 | 深圳市中兴微电子技术有限公司 | 报文解析方法和装置 |
| CN110636078A (zh) * | 2019-10-12 | 2019-12-31 | 盛科网络(苏州)有限公司 | 实现Cloudsec的方法及装置 |
| CN110868362A (zh) * | 2019-10-22 | 2020-03-06 | 苏州盛科科技有限公司 | 一种MACsec非受控端口报文的处理方法及装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN114244626A (zh) | 2022-03-25 |
| WO2023124880A1 (zh) | 2023-07-06 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN114244626B (zh) | 一种基于MACSec网络的报文处理方法和装置 | |
| US9461975B2 (en) | Method and system for traffic engineering in secured networks | |
| US8775790B2 (en) | System and method for providing secure network communications | |
| US8112622B2 (en) | Chaining port scheme for network security | |
| US7596806B2 (en) | VPN and firewall integrated system | |
| EP2916492B1 (en) | Methods and apparatuses for sending and receiving data across virtual firewalls | |
| US8386772B2 (en) | Method for generating SAK, method for realizing MAC security, and network device | |
| CN104022867B (zh) | 一种issu软重启预处理方法及设备 | |
| US20100138909A1 (en) | Vpn and firewall integrated system | |
| JP6529694B2 (ja) | 転送装置および通信ネットワーク | |
| CN110691074B (zh) | 一种IPv6数据加密方法、IPv6数据解密方法 | |
| CN110868362B (zh) | 一种MACsec非受控端口报文的处理方法及装置 | |
| EP3907964B1 (en) | Method device and system for policy based packet processing | |
| CN110768958B (zh) | 一种IPv4数据加密方法、IPv4数据解密方法 | |
| WO2021208644A1 (zh) | 一种节点间保密通信方法及网络节点 | |
| US11595367B2 (en) | Selectively disclosing content of data center interconnect encrypted links | |
| Cisco | Configuring IPSec Network Security | |
| Cisco | Intranet and Extranet VPN Business Scenarios | |
| CN116527285A (zh) | 一种基于CloudSec网络的报文处理方法和装置 | |
| JP2001313663A (ja) | 排他的論理ネットワークアクセス制御方法及び装置 | |
| Boyd et al. | Secure channels and termination: The last word on TLS | |
| Kundu | Mitigation of Storage Covert Channels in IPSec for QoS Aware Applications | |
| CN112332982B (zh) | Macsec解密方法和装置 | |
| CN115277190B (zh) | 一种链路层透明加密系统在网络上实现邻居发现的方法 | |
| Burande et al. | Wireless network security by SSH tunneling |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |