WO2023124880A1

WO2023124880A1 - 一种基于MACSec网络的报文处理方法和装置

Info

Publication number: WO2023124880A1
Application number: PCT/CN2022/137616
Authority: WO
Inventors: 朱涛; 龚海东; 杨八双
Original assignee: 苏州盛科通信股份有限公司
Priority date: 2021-12-31
Filing date: 2022-12-08
Publication date: 2023-07-06
Also published as: CN114244626A; CN114244626B

Abstract

本申请公开了一种基于MACSec网络的报文处理方法和装置，其中所述方法包括：解析收到的报文，并将获取的解析信息匹配预设的处理策略；根据所述预设的处理策略，选择对报文进行通过处理，丢弃处理或解密处理；对通过处理后的明文报文，或解密处理后的密文报文，执行常规的转发操作。通过所述装置和方法，可以解决现有技术中通过ACL对MACSec报文采取对应的加解密、通过、丢弃的操作时，会影响到其他管理控制功能的问题。

Description

一种基于MACSec网络的报文处理方法和装置

本申请要求于2021年12月31日提交中国专利局、申请号为202111673375.0、发明名称“一种基于MACSec网络的报文处理方法和装置”的中国专利申请的优先权，其全部内容通过引用结合在本申请中。

技术领域

本申请涉及网络通信技术，特别是涉及一种基于MACSec网络的报文处理方法和装置。

背景技术

MACsec(Media Access Control Security，MAC安全)定义了基于IEEE802(局域网/城域网标准委员会)局域网络的数据安全通信的方法。MACsec可为用户提供安全的MAC(Media Access Control，媒体介入控制层)层数据发送和接收服务，包括用户数据加密、数据帧完整性检查、数据源真实性校验及重放保护。

MACsec不是对现有端到端IPSec(Internet Protocol Security，互联网安全协议)、TLS(Transport Layer Security，传输层安全性协议)等三层安全技术的替代，而是它们的互补技术。MACsec使用二层加密技术，提供逐跳设备的数据安全传输，适用于政府、军队、金融等对数据机密性要求较高的场合，如局域网两台交换机设备之间经过光传输设备，通过MACsec加密技术可保证数据在中间传输设备上安全传输。

MACsec对原报文macDa(mac Destination address，mac目的地址)和macSa(mac Source address，mac源地址)后面的数据进行加解密。加密之后，MACsec报文会添加一个secTag(安全标签)头，用来识别是MACsec报文。

按照协议，当在端口上MACsec协商成功之后，链路中的数据报文一般会被进行加密传输，对于明文报文需要被丢弃处理。

但此时仍有一些特殊的明文被允许在链路中传输，这些特例明文可以分为3类：

1)一些协议不允许报文被加密，例如MKA(MACsec Key Agreement，MACsec密钥协议)、LLDP(Link Layer Discovery Protocol，链路层发现协议)、LACP(Link Aggregation Control Protocol，链路聚合控制协议)等，这些协议报文加密之后会影响业务。

2)MACsec协商结果仍然采用明文传输，此时数据报文不需要进行加密。

3)残留的明文，例如MACsec从使能到协商成功之前的中间状态，数据报文还都没有被加密。

对于第1类明文，永远采取明文传输的策略。对于第2类明文，根据协商结果选择加解密还是明文传输的策略。对于第3类明文，用户可以根据应用场景配置不同的策略，如：

1)流量优先策略：此时需要优先保证流量不丢包，尽力加密即可。对收到的残留明文采取通过处理策略。

2)安全优先策略：此时需要优先保证安全性，防止明文报文传输导致用户信息泄漏。端口上一旦使能MACsec功能，立即对非第1类明文的其他所有明文报文采取丢弃处理策略。

对此，现有技术中的一种做法是当端口使能MACsec功能后，所有报文都被加解密处理，收到的明文报文都会被丢弃。这种做法对LLDP、LACP等业务将会产生影响；同时在MACsec协商的中间状态，会出现丢包问题。

另一种做法是通过访问控制列表(Access Control List，ACL)模块来识别出不同流量，然后根据需要采取对应的加解密、通过、丢弃操作。例如：对收到的特殊明文流量，ACL匹配特殊明文特征，采取通过操作；对收到的密文流量，ACL匹配MACsec报文特征，采取解密操作；对收到的其他明文流量，配置一条默认ACL，采取丢弃操作。

然而按照上述方案，ACL模块必须在MACsec模块之前进行，这样对于解完密的数据报文，就无法再进行ACL相关处理，对防火墙、QoS(Quality of Service，服务质量)等业务会有影响。

发明内容

本申请实施例所要解决的技术问题是，如何解决现有技术中，通过ACL对MACsec报文采取对应的加解密、通过、丢弃的操作时，会影响到其他业务的问题。

为了解决上述的技术问题，本申请实施例提供了一种基于MACSec网络的报文处理方法，应用于ASIC(Application Specific Integrated Circuit，专用集成电路)芯片，包括：解析收到的报文，并将获取的解析信息匹配预设的处理策略；根据所述预设的处理策略，选择对报文进行通过处理，丢弃处理或解密处理；对通过处理后的明文报文，或解密处理后的密文报文，执行常规的转发操作。

上述的基于MACSec网络的报文处理方法中，所述解析收到的报文包括：解析报文的二三四层信息及端口信息。

上述的基于MACSec网络的报文处理方法中，所述将获取的解析信息匹配预设的处理策略包括：根据获取的所述解析信息，识别报文的数据流特征信息，并将数据流特征信息相同的报文识别为同一条数据流；在MACSec流表中，根据识别出的所述数据流特征信息，匹配对应的动作。

上述的基于MACSec网络的报文处理方法中，对MKA协议，或LACP协议，或LLDP协议报文下发的MACSec流表中，MKA报文的数据流特征信息所对应的动作为通过。

上述的基于MACSec网络的报文处理方法中，存在一个或多个MACSec对端时，每个对端下发的MACSec流表分别设置，端口信息和不同的SCI值作为所述数据流特征信息，以及解密和不同的解密参数作为对应的所述动作；当网络安全策略为流量优先时，设置通过为对应的所述动作；当为安全优先时，设置丢弃为对应的所述动作。

上述的基于MACSec网络的报文处理方法中，于执行常规的转发操作后，还包括：解析收到的报文，并将获取的解析信息匹配预设的处理策略；根据所述预设的处理策略，选择对报文进行通过处理，丢弃处理或加密处理；对通过处理后或加密处理后的报文，执行常规的转发操作。

为了解决上述的技术问题，本申请实施例还提供了一种基于MACSec网络的报文处理装置，应用于ASIC芯片，包括：MACSec解密引擎单元，被设置为解析收到的报文，并将获取的解析信息匹配预设的处理策略；以及，被设置为根据所述预设的处理策略，选择对报文进行通过处理，丢弃处理或解密处理；入方向处理单元，被设置为对通过处理后的明文报文，或解密处理后的密文报文，执行常规的转发操作。

上述的基于MACSec网络的报文处理装置中，所述解析单元所述解析单元解析报文的二三四层信息及端口信息。

上述的基于MACSec网络的报文处理装置中，所述MACSec解密引擎单元被设置为，根据获取的所述解析信息，识别报文的数据流特征信息，并将数据流特征信息相同的报文识别为同一条数据流；在MACSec流表中，根据识别出的所述数据流特征信息，匹配对应的动作。

上述的基于MACSec网络的报文处理装置中，对MKA协议，或LACP协议，或LLDP协议报文下发的MACSec流表中，MKA报文的数据流特征信息所对应的动作为通过。

上述的基于MACSec网络的报文处理装置中，存在一个或多个MACSec对端时，每个对端下发的MACSec流表分别设置，端口信息和不同的SCI值作为所述数据流特征信息，以及解密和不同的解密参数作为对应的所述动作；当网络安全策略为流量优先时，设置通过为对应的所述动作；当为安全优先时，设置丢弃为对应的所述动作。

上述的基于MACSec网络的报文处理装置中，还包括：MACSec加密引擎单元，被设置为解析收到的报文，并将获取的解析信息匹配预设的处理策略；以及，根据所述预设的处理策略，选择对报文进行通过处理，丢弃处理或加密处理。

本申请针对现有技术中的问题，通过在入方向对报文进行处理之前，对收到的报文按照报文信息匹配相应的预设处理策略，就能在前端非常灵活地控制各种流量在入方向的通过、丢弃、解密操作，相应的，在出方向的通过、丢弃、加密操作也可以对应实施。因此对于解密后生成的明文报文，仍然可以进行常规的业务处理，如ACL，不会受到影响。

附图说明

图1是本申请实施例中芯片处理层级的流程示意图；

图2是本申请实施例中ASIC芯片内部的处理流程示意图；

图3是本申请实施例中MACSec解密引擎内部的处理流程示意图；

图4是本申请实施例中MACSec加密引擎内部的处理流程示意图。

具体实施方式

现有技术中对MACSec明文报文的处理，一种做法是当端口使能MACsec功能后，所有报文都被加解密处理，收到的明文报文都会被丢弃。这种做法对LLDP、LACP等业务将会产生影响；同时在MACsec协商的中间状态，会出现丢包问题。另一种做法是通过访问控制列表(Access Control List，ACL)模块来识别出不同流量，然后根据需要采取对应的加解密、通过、丢弃操作。

例如：对收到的特殊明文流量，ACL匹配特殊明文特征，采取通过操作；对收到的密文流量，ACL匹配MACSec报文特征，采取解密操作；对收到的其他明文流量，配置一条默认ACL，采取丢弃操作。然而按照上述方案，ACL模块必须在MACSec模块之前进行，这样对于解完密的数据报文，就无法再进行ACL相关处理。因此，对防火墙、QoS等业务会产生很大影响。

针对现有技术中的问题，本申请实施例通过在入方向对报文进行处理之前，对收到的报文按照报文信息匹配相应的预设处理策略，就能在前端非常灵活地控制各种流量在入方向的通过、丢弃、解密操作，相应的，在出方向的通过、丢弃、加密操作也可以对应实施。因此对于解密后生成的明文报文，仍然可以进行常规的业务处理，如ACL，不会受到影响。

为使本申请的上述目的、特征和优点能够更为明显易懂，下面结合附图对本申请的可选实施例做详细的说明。

本申请实施例的一种基于MACSec网络的报文处理方法，可应用于ASIC芯片。ASIC(Application Specific Integrated Circuit)是为专门目的设计的集成电路，在本实施例中其主要功能是被设置为转发数据报文。因此如图1所示，在本方案中，关于MACSec的相关处理将会移到ASIC芯片中进行，而不是在PHY芯片(物理介质层)中。本申请实施例的一种基于MACSec网络的报文处理方法包括：

步骤S101，解析收到的报文，并将获取的解析信息匹配预设的处理策略；

如图2所示，当从入网口接收到报文后，首先通过MACSec解密引擎进行处理，然后才会转给下一步的入方向处理单元进行数据转发等动作。此时收到的报文，可能是MACSec协商成功之后，链路中已经被加密传输的数据报文，也可能是在链路中被允许传输的特殊明文。MACSec解密引擎在本实施例中的作用是，既可以对收到的MACSec报文进行解密处理，也可以对收到的明文报文可控制采取通过或者丢弃处理。

在可选实施中，首先会判断MACSec解密引擎是否使能，以及ASIC芯片支持选择是否打开MACSec解密功能。如果未使能MACSec的场景或者不支持MACSec解密功能，则等于通过处理，报文会跳过MACSec解密/加密引擎处理，此时报文只需进行入方向处理、调度、出方向处理3个步骤，这3个步骤也称为常规处理，与现有技术相同。

在可选实施中，完成了上述MACSec解密引擎是否使能的判断后，还会进一步判断报文入端口是否使能MACSec解密功能。ASIC芯片能够支持按端口控制是否打开MACSec解密功能，因此如果入端口上未使能MACSec解密功能，则同样等于通过处理，报文进行常规转发处理。

本实施例中，所述MACSec引擎主要由报文解析单元、MACSec流表、加解密引擎三部分组成。其中，报文解析单元被设置为解析进入MACSec解密引擎的报文，包括明文和密文，并利用解析后的报文信息去查找MACSec流表。

所述MACSec Flow由两部分构成：KEY和Action。KEY表示数据流特征信息，所有数据流特征信息相同的报文会被自动识别成同一条数据流Flow。对于MACSec Flow而言，一般主要解析出二三层信息，包括secTag头信息：

1、源MAC地址(macSa)

2、目的MAC地址(macDa)

3、以太类型(etherType)

4、s-tag vlan信息(svlanId)

5、c-tag vlan信息(cvlanId)

6、secTag sci信息(sci)

7、端口号(port)

8、其他

根据获取的所述解析信息，就可以识别报文的数据流特征信息，并将数据流特征信息相同的报文识别为同一条数据流，进而在MACSec流表中，即可匹配到对应的动作Action。

步骤S102，根据所述预设的处理策略，选择对报文进行通过处理，丢弃处理或解密处理；

如果在MACSec Flow中，可匹配到出Action，则优先执行该动作；如果未查找到，则可以在端口Port上匹配默认的预设动作Action执行。

在MACSec流表中，Action表示该流表的处理策略，包括通过(pass)、丢弃(discard)、加密(encrypt)、解密(decrypt)共四种。MACSec Flow可以分为解密Flow和加密Flow，如图2所示，前者位于MACSec解密引擎中，支持通过(pass)、丢弃(discard)、解密(decrypt)三种处理策略，后者位于MACSec加密引擎中，支持通过(pass)、丢弃(discard)、加密(encrypt)三种处理策略。

在本实施例中，如果Action为通过，报文直接进行常规转发处理；如果Action为丢弃，将报文丢弃；如果Action为解密，同时会出解密参数，MACSec解密引擎利用解密参数对报文进行解密处理。

在可选实施中，对于一些的典型需求，可以进行相应设置：

例如对MKA，或LACP，或LLDP等协议报文允许明文接收，可在相关协议下发的MACSec流表中，MKA报文的数据流特征信息所对应的动作为通过。具体来说，相关配置为：

1)LACP Flow：

key：etherType＝0x8809(LACP报文的以太类型为0x8809)

action：pass

2)LLDP Flow：

key：etherType＝0x88CC(LLDP报文的以太类型为0x88CC)

action：pass

3)MKA Flow：

Key：etherType＝0x888E(MKA报文的以太类型为0x888E)；

Action：pass。

再如对MACSec报文进行解密处理时，可能存在一个或多个MACsec对端，这些不同的MACsec对端会分配不同的sci值，应用不同的解密参数。此时针对每个对端下发对应的MACsec Flow来对密文进行解密处理。相关配置包括：

Key：port+sci；

Action：Decrypt+解密参数。

再有对于普通明文报文，可根据用户需求在端口上出对应策略。如果是流量优先策略，action为pass，允许明文通过；如果是安全优先策略，action为discard，丢弃明文；如果用户需求发生变化，修改策略也很方便，直接修改端口上的action即可。

步骤S103，执行常规的转发操作。

如图2所示，在MACSec解密引擎完成相应的Action动作后，除被丢弃处理的报文，入方向处理单元对收到的是MACSec解密后的明文报文或者MACSec引擎允许通过的明文报文，此时对这些明文报文进行常规的转发处理，包括ACL处理。入方向处理单元完成处理后，会转给调度单元对明文报文进行常规的调度处理。然后再有出方向处理单元对明文报文进行常规的编辑处理，包括ACL处理。

步骤S101～步骤S103的MACSec解密引擎的处理流程可以参见图3所示的流程示意图。

步骤S104，解析收到的报文，并将获取的解析信息匹配预设的处理策略；

此处与步骤S101相对的，由MACSec加密引擎中的解析单元执行相类似的报文解析动作。

在可选实施中，也可以首先判断MACSec加密引擎是否使能，ASIC芯片支持选择是否打开MACSec加密功能。如果未使能MACSec加密引擎，则等于通过处理，报文进行发送处理。判断报文出端口是否使能MACSec加密功能，ASIC芯片支持按端口控制是否打开MACSec加密功能，如果未使能，等于通过处理，报文进行发送处理。

在可选实施中，对报文进行解析处理，主要解析出二三层信息。

步骤S105，根据所述预设的处理策略，选择对报文进行通过处理，丢弃处理或加密处理；

同样的，MACSec加密引擎通过匹配MACSec流表，对收到的明文报文可控制采取加密、通过或者丢弃处理。如果Action为通过，报文直接进行发送处理；如果Action为丢弃，将报文丢弃；如果Action为加密，则同时还会给出加密参数，利用加密参数对报文完成加密处理。

在可选实施中，对于一些的典型需求，也可以进行相应设置：

例如对MKA、LACP、LLDP等协议报文允许明文发送，可针对MKA、LACP、LLDP等协议下发对应的MACsec Flow来允许特例报文明文通过。具体来说，相关配置为：

1)LACP Flow：

key：etherType＝0x8809(LACP报文的以太类型为0x8809)；

action：pass；

2)LLDP Flow：

key：etherType＝0x88CC(LLDP报文的以太类型为0x88CC)；

action：pass；

3)MKA Flow：

Key：etherType＝0x888E(MKA报文的以太类型为0x888E)；

Action：pass。

再如，在MACsec协商成功前，对于普通明文报文，可根据用户需求在端口上出对应策略

1)如果是流量优先策略，action为pass，允许明文通过；

2)如果是安全优先策略，action为discard，丢弃明文。

又如，当MACsec协商成功后，按照协议，此时只需下发一条MACsec Flow来对密文进行加密处理。

key：port；

action：encrypt+加密参数。

步骤S106，对通过处理后或加密处理后的报文，执行常规的转发操作。

加密成功后，对加密后的密文或者直接转发的明文报文进行常规的发送处理。

步骤S104～步骤S106的MACSec加密引擎的处理流程可以参见图4所示的流程示意图。

本实施例在MACSec引擎中增加了报文解析和MACSec Flow模块，可以基于Flow来灵活的控制报文的通过、丢弃、加密、解密操作。作为用户来说，可以根据自己的实际需要，通过添加、删除MACSec流表或者修改MACSec流表Action的方式，非常方便的应用各种MACSec明文策略。对于解密后的明文报文，报文的常规处理，如ACL业务处理则不会受到影响，可以正常设置。

与前述方法实施例相应的，本申请还公开了相应的基于MACSec网络的报文处理装置实施例，包括：

MACSec解密引擎单元，被设置为解析收到的报文，并将获取的解析信息匹配预设的处理策略；以及，被设置为根据所述预设的处理策略，选择对报文进行通过处理，丢弃处理或解密处理；入方向处理单元，被设置为对通过处理后的明文报文，或解密处理后的密文报文，执行常规的转发操作。

在可选实施中，所述解析单元解析报文的二三四层信息及端口信息。

在可选实施中，所述MACSec解密引擎单元被设置为，根据获取的所述解析信息，识别报文的数据流特征信息，并将数据流特征信息相同的报文识别为同一条数据流；在MACSec流表中，根据识别出的所述数据流特征信息，匹配对应的动作。

在可选实施中，对MKA协议，或LACP协议，或LLDP协议报文下发的MACSec流表中，MKA报文的数据流特征信息所对应的动作为通过。

在可选实施中，存在一个或多个MACSec对端时，每个对端下发的MACSec流表分别设置，端口信息和不同的SCI值作为所述数据流特征信息，以及解密和不同的解密参数作为对应的所述动作；当网络安全策略为流量优先时，设置通过为对应的所述动作；当为安全优先时，设置丢弃为对应的所述动作。

在可选实施中，所述基于MACSec网络的报文处理装置，还包括：MACSec加密引擎单元，被设置为解析收到的报文，并将获取的解析信息匹配预设的处理策略；以及，根据所述预设的处理策略，选择对报文进行通过处理，丢弃处理或加密处理。

本领域技术人员可以理解的是，本实施例的一种基于MACSec网络的报文处理装置与前述的基于MACSec网络的报文处理方法为基于同一发明构思，因此关于相关实施例的内容可以参照前文相应内容处，此处不再赘述。

本领域普通技术人员可以理解上述实施例的各种方法中的全部或部分步骤是可以通过程序来指令相关的硬件来完成，该程序可以存储于一计算机可读存储介质中，存储介质可以包括：ROM、RAM、磁盘或光盘等。

虽然本申请披露如上，但本申请并非限定于此。任何本领域技术人员，在不脱离本申请的精神和范围内，均可作各种更动与修改，因此本申请的保护范围应当以权利要求所限定的范围为准。

Claims

一种基于MACSec网络的报文处理方法，应用于ASIC芯片，包括：

解析收到的报文，并将获取的解析信息匹配预设的处理策略；

根据所述预设的处理策略，选择对报文进行通过处理，丢弃处理或解密处理；

对通过处理后的明文报文，或解密处理后的密文报文，执行常规的转发操作。
如权利要求1所述的基于MACSec网络的报文处理方法，其中，所述解析收到的报文包括：解析报文的二三四层信息及端口信息。
如权利要求1或2所述的基于MACSec网络的报文处理方法，其中，所述将获取的解析信息匹配预设的处理策略包括：

根据获取的所述解析信息，识别报文的数据流特征信息，并将数据流特征信息相同的报文识别为同一条数据流；

在MACSec流表中，根据识别出的所述数据流特征信息，匹配对应的动作。
如权利要求3所述的基于MACSec网络的报文处理方法，其中，对MKA协议，或LACP协议，或LLDP协议报文下发的MACSec流表中，MKA报文的数据流特征信息所对应的动作为通过。
如权利要求3所述的基于MACSec网络的报文处理方法，其中，

存在一个或多个MACSec对端时，每个对端下发的MACSec流表分别设置，端口信息和不同的SCI值作为所述数据流特征信息，以及解密和不同的解密参数作为对应的所述动作；

当网络安全策略为流量优先时，设置通过为对应的所述动作；当为安全优先时，设置丢弃为对应的所述动作。
如权利要求1所述基于MACSec网络的报文处理方法，其中，于执行常规的转发操作后，还包括：

解析收到的报文，并将获取的解析信息匹配预设的处理策略；

根据所述预设的处理策略，选择对报文进行通过处理，丢弃处理或加密处理；

对通过处理后或加密处理后的报文，执行常规的转发操作。
一种基于MACSec网络的报文处理装置，应用于ASIC芯片，包括：

MACSec解密引擎单元，被设置为解析收到的报文，并将获取的解析信息匹配预设的处理策略；以及，

被设置为根据所述预设的处理策略，选择对报文进行通过处理，丢弃处理或解密处理；

入方向处理单元，被设置为对通过处理后的明文报文，或解密处理后的密文报文，执行常规的转发操作。
如权利要求7所述的基于MACSec网络的报文处理装置，其中，所述解析单元解析报文的二三四层信息及端口信息。
如权利要求7或8所述的基于MACSec网络的报文处理装置，其中，所述MACSec解密引擎单元被设置为，

根据获取的所述解析信息，识别报文的数据流特征信息，并将数据流特征信息相同的报文识别为同一条数据流；

在MACSec流表中，根据识别出的所述数据流特征信息，匹配对应的动作。
如权利要求9所述的基于MACSec网络的报文处理装置，其中，对MKA协议，或LACP协议，或LLDP协议报文下发的MACSec流表中，MKA报文的数据流特征信息所对应的动作为通过。
如权利要求9所述的基于MACSec网络的报文处理装置，其中，

存在一个或多个MACSec对端时，每个对端下发的MACSec流表分别设置，端口信息和不同的SCI值作为所述数据流特征信息，以及解密和不同的解密参数作为对应的所述动作；

当网络安全策略为流量优先时，设置通过为对应的所述动作；当为安全优先时，设置丢弃为对应的所述动作。
如权利要求7所述基于MACSec网络的报文处理装置，其中，还包括：

MACSec加密引擎单元，被设置为解析收到的报文，并将获取的解析信息匹配预设的处理策略；以及，

根据所述预设的处理策略，选择对报文进行通过处理，丢弃处理或加密处理。