靈活的MACSec報文加密認證的芯片實現方法及實現裝置制造方法及圖紙

本發明專利技術揭示了一種靈活的MACSec報文加密認證的芯片實現方法及實現裝置，通過在標準MACSec報文格式的基礎上，將MACSec幀頭字段添加到報文的VLAN?Tag字段后，從而實現中間設備不支持MACSec功能的情況下，報文在二層網絡的轉發；另外，再將MACSec幀頭字段添加到IP/MPLS?Tunnel幀頭字段后，進一步實現報文在三層或MPLS網絡的轉發。本發明專利技術在芯片實現MACSec的標準功能外，增加了更多的靈活性，加密和認證的數據段，報文的編輯方式可以根據應用需要進行用戶配置，以適應在WAN的應用中使用數據加密，并支持多種隧道報文封裝格式。

【技術實現步驟摘要】

本專利技術涉及一種MACSec加密認證技術，尤其是涉及一種靈活的MACSec報文加密認證的芯片實現方法及實現裝置。
技術介紹
以太網技術是當今局域網普遍使用的通信協議標準，是一種二層媒質訪問控制技術，并與其他接入媒質結合后形成多種寬帶接入技術，包括EPON\\WLAN等。在以太網技術應用中，所以計算機由同軸電纜相連，采用競爭機制共享媒體，既是應用最廣泛的局域網技術，也是寬帶接入網中的主流技術。雖然隨著技術和標準的不斷完善，以太網技術應用得到了巨大的發展，但以太網技術起源于企業風部網，是建立在所有網絡用戶都是互相信任的前提之上的，在安全方面的考慮較弱，應用于互不信任的公共網絡中存在大量安全漏洞，造成信息泄露、信息破壞、非法信息傳播、網絡資源錯誤使用等安全問題，這種廣播式的通信協議必須采取強力的安全措施構建出安全的環境。2005年，IEEE802.1ae媒體訪問控制安全(MACsec)協議的提出有效的提高了以太網的安全水平，這一協議將安全保護集成到有線以太網中，能使局域網避免受到被動接線、假冒、中間人、拒絕服務攻擊等安全影響，減少2層協議所受到的攻擊。標準的MACSec，僅針對局域網(LocalAreaNetwork，LAN)的應用，加密和認證的數據段，及報文的編輯方式是固定的，不適應在廣域網(WideAreaNetwork，WAN)的應用中使用數據加密，且不支持多種隧道報文封裝格式，靈活性偏低。
技術實現思路
本專利技術的目的在于克服現有技術的缺陷，提供一種靈活的MACSec報文加密認證的芯片實現方法及實現裝置，通過改進MACSec報文的封裝方法，以提高報文加密和認證的靈活性。為實現上述目的，本專利技術提出如下技術方案：一種靈活的MACSec報文加密認證的芯片實現方法，所述MACSec報文格式包括MAC幀頭字段、VLANTag字段、MACSec幀頭字段、數據字段、ICV字段和CRC字段，所述MACSec報文加密認證的芯片實現方法包括：芯片接收并解析報文，判斷報文中是否有MACSec幀頭字段且芯片入端口是否使能了MACSec功能，若均符合，則繼續判斷是否為WAN模式，若是，則設置報文認證的Offset，再進行報文解密，并使用所述報文認證的Offset進行所述ICV字段的計算和校驗，之后進行報文轉發；當報文到達芯片出端口發送時，先判斷出端口是否使能MACSec功能，若是，則繼續判斷是否為WAN模式，若是，則設置報文認證的Offset并設置MACSec幀頭Offset，再進行報文加密，根據所述報文認證的Offset進行所述ICV字段的計算和報文編輯，同時根據所述MACSec幀頭Offset將所述MACSec幀頭字段添加到報文的VLANTag字段后，最后將加密后的報文發送出去。優選地，所述VLANTag字段包括VLANID字段、CoS字段和CFI字段。優選地，所述MACSec報文格式包括IPTunnel幀頭字段、MAC幀頭字段、VLANTag字段、MACSec幀頭字段、數據字段、ICV字段和CRC字段，在出端口時，將MACSec幀頭字段添加到IPTunnel幀頭字段后，且在對報文進行解密時，也進行IPTunnel幀頭的解封裝。優選地，所述MACSec報文格式包括MPLSTunnel幀頭字段、MAC幀頭字段、VLANTag字段、MACSec幀頭字段、數據字段、ICV字段和CRC字段，在出端口時，將MACSec幀頭字段添加到MPLSTunnel幀頭字段后，且在對報文進行解密時，也進行MPLSTunnel幀頭的解封裝。本專利技術還揭示了另外一種技術方案，一種靈活的MACSec報文加密認證的芯片實現裝置，包括入端口報文處理模塊和出端口報文處理模塊，所述MACSec報文格式包括MAC幀頭字段、VLANTag字段、MACSec幀頭字段、數據字段、ICV字段和CRC字段，所述入端口報文處理模塊用于接收并解析報文，判斷報文中是否有MACSec幀頭字段且芯片入端口是否使能了MACSec功能，若均符合，則繼續判斷是否為WAN模式，若是，則設置報文認證的Offset，再進行報文解密，并使用所述報文認證的Offset進行所述ICV字段的計算和校驗，之后進行報文轉發；所述出端口報文處理模塊用于當報文到達芯片出端口發送時，先判斷出端口是否使能MACSec功能，若是，則繼續判斷是否為WAN模式，若是，則設置報文認證的Offset并設置MACSec幀頭Offset，再進行報文加密，根據所述報文認證的Offset進行所述ICV字段的計算和報文編輯，同時根據所述MACSec幀頭Offset將所述MACSec幀頭字段添加到報文的VLANTag字段后，最后將加密后的報文發送出去。優選地，所述入端口報文處理模塊包括報文接收模塊，報文解析模塊，MACSec幀頭及MACSec使能判斷模塊，第一WAN模式判斷模塊、報文認證Offset設置模塊、解密模塊和轉發模塊，所述報文接收模塊用于接收報文并將報文送給報文解析模塊進行解析；所述MACSec幀頭及MACSec使能判斷模塊用于判斷報文中是否有MACSec幀頭字段且芯片入端口是否使能了MACSec功能，若均符合，則將報文送給第一WAN模式判斷模塊；所述第一WAN模式判斷模塊用于判斷芯片是否使能了WAN模式，若是，則將報文送給報文認證Offset設置模塊；所述報文認證Offset設置模塊用于設置報文認證的Offset并將報文送給解密模塊進行解密；所述解密模塊根據使用所述報文認證的Offset進行所述ICV字段的計算和校驗，之后將報文發送給轉發模塊進行轉發；所述出端口報文處理模塊包括MACSec使能判斷模塊、第二WAN模式判斷模塊、報文認證Offset及MACSec幀頭Offset設置模塊、加密模塊、報文發送模塊，所述MACSec使能判斷模塊用于當報文到達芯片出端口發送時，判斷出端口是否使能MACSec功能，若是，則將報文送給第二WAN模式判斷模塊；所述第二WAN模式判斷模塊用于判斷是否為WAN模式，若是，則將報文送給報文認證Offset及MACSec幀頭Offset設置模塊設置報文認證的Offset并設置MACSec幀頭Offset；所述加密模塊用于進行報文加密，根據所述報文認證的Offset進行所述ICV字段的計算和報文編輯，同時根據所述MACSec幀頭Offset將所述MACSec幀頭字段添加到報文的VLANTag字段后；所述報文發本文檔來自技高網...

【技術保護點】
一種靈活的MACSec報文加密認證的芯片實現方法，其特征在于：所述MACSec報文格式包括MAC幀頭字段、VLAN?Tag字段、MACSec幀頭字段、數據字段、ICV字段和CRC字段，所述MACSec報文加密認證的芯片實現方法包括：芯片接收并解析報文，判斷報文中是否有MACSec幀頭字段且芯片入端口是否使能了MACSec功能，若均符合，則繼續判斷是否為WAN模式，若是，則設置報文認證的Offset，再進行報文解密，并使用所述報文認證的Offset進行所述ICV字段的計算和校驗，之后進行報文轉發；當報文到達芯片出端口發送時，先判斷出端口是否使能MACSec功能，若是，則繼續判斷是否為WAN模式，若是，則設置報文認證的Offset并設置MACSec幀頭Offset，再進行報文加密，根據所述報文認證的Offset進行所述ICV字段的計算和報文編輯，同時根據所述MACSec幀頭Offset將所述MACSec幀頭字段添加到報文的VLAN?Tag字段后，最后將加密后的報文發送出去。

【技術特征摘要】
1.一種靈活的MACSec報文加密認證的芯片實現方法，其特征在于：所
述MACSec報文格式包括MAC幀頭字段、VLANTag字段、MACSec幀頭
字段、數據字段、ICV字段和CRC字段，所述MACSec報文加密認證的芯
片實現方法包括：
芯片接收并解析報文，判斷報文中是否有MACSec幀頭字段且芯片入
端口是否使能了MACSec功能，若均符合，則繼續判斷是否為WAN模式，
若是，則設置報文認證的Offset，再進行報文解密，并使用所述報文認證的
Offset進行所述ICV字段的計算和校驗，之后進行報文轉發；
當報文到達芯片出端口發送時，先判斷出端口是否使能MACSec功能，
若是，則繼續判斷是否為WAN模式，若是，則設置報文認證的Offset并設
置MACSec幀頭Offset，再進行報文加密，根據所述報文認證的Offset進
行所述ICV字段的計算和報文編輯，同時根據所述MACSec幀頭Offset將
所述MACSec幀頭字段添加到報文的VLANTag字段后，最后將加密后的
報文發送出去。
2.根據權利要求1所述的芯片實現方法，其特征在于，所述VLANTag
字段包括VLANID字段、CoS字段和CFI字段。
3.根據權利要求1所述的芯片實現方法，其特征在于，所述MACSec報
文格式包括IPTunnel幀頭字段、MAC幀頭字段、VLANTag字段、MACSec
幀頭字段、數據字段、ICV字段和CRC字段。
4.根據權利要求3所述的芯片實現方法，其特征在于，在出端口時，將
MACSec幀頭字段添加到IPTunnel幀頭字段后，且在對報文進行解密時，
也進行IPTunnel幀頭的解封裝。
5.根據權利要求1所述的芯片實現方法，其特征在于，所述MACSec報
文格式包括MPLSTunnel幀頭字段、MAC幀頭字段、VLANTag字段、

\tMACSec幀頭字段、數據字段、ICV字段和CRC字段。
6.根據權利要求5所述的芯片實現方法，其特征在于，在出端口時，將
MACSec幀頭字段添加到MPLSTunnel幀頭字段后，且在對報文進行解密
時，也進行MPLSTunnel幀頭的解封裝。
7.一種靈活的MACSec報文加密認證的芯片實現裝置，其特征在于，包
括入端口報文處理模塊和出端口報文處理模塊，所述MACSec報文格式包
括MAC幀頭字段、VLANTag字段、MACSec幀頭字段、數據字段、ICV
字段和CRC字段，
所述入端口報文處理模塊用于接收并解析報文，判斷報文中是否有
MACSec幀頭字段且芯片入端口是否使能了MACSec功能，若均符合，則
繼續判斷是否為WAN模式，若是，則設置報文認證的Offset，再進行報文
解密，并使用所述報文認證的Offset進行所述ICV字段的計算和校驗，之
后進行報文轉發；
所述出端口報文處理模塊用于當報文到達芯片出端口發送時，先判斷
出端口是否使能MACSec功能，若是，則繼續判斷是否為WAN模式，若
是，則設...

【專利技術屬性】
技術研發人員：單哲，馬千里，
申請(專利權)人：盛科網絡蘇州有限公司，
類型：發明
國別省市：江蘇;32