CN106657121B - 镜像802.1ae明文和密文的方法及交换芯片 - Google Patents

镜像802.1ae明文和密文的方法及交换芯片 Download PDF

Info

Publication number
CN106657121B
CN106657121B CN201611270020.6A CN201611270020A CN106657121B CN 106657121 B CN106657121 B CN 106657121B CN 201611270020 A CN201611270020 A CN 201611270020A CN 106657121 B CN106657121 B CN 106657121B
Authority
CN
China
Prior art keywords
message
mirror image
engine modules
identifier
ciphertext
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201611270020.6A
Other languages
English (en)
Other versions
CN106657121A (zh
Inventor
马千里
方沛昱
杨曙军
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Suzhou Centec Communications Co Ltd
Original Assignee
SHENGKE NETWORK (SUZHOU) CO Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by SHENGKE NETWORK (SUZHOU) CO Ltd filed Critical SHENGKE NETWORK (SUZHOU) CO Ltd
Priority to CN201611270020.6A priority Critical patent/CN106657121B/zh
Publication of CN106657121A publication Critical patent/CN106657121A/zh
Application granted granted Critical
Publication of CN106657121B publication Critical patent/CN106657121B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0485Networking architectures for enhanced packet encryption processing, e.g. offloading of IPsec packet processing or efficient security association look-up
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/08Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
    • H04L43/0876Network utilisation, e.g. volume of load or congestion level
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L49/00Packet switching elements
    • H04L49/10Packet switching elements characterised by the switching fabric construction
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/162Implementing security features at a particular protocol layer at the data link layer

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computing Systems (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Environmental & Geological Engineering (AREA)
  • Facsimile Transmission Control (AREA)

Abstract

本发明揭示了一种镜像802.1AE明文和密文的方法及交换芯片,应用于网络通信技术领域。所述方法包括启用端口镜像功能,并配置端口镜像模式;判断镜像模式与报文标识符逻辑与运算结果,若结果为非零,则当前报文满足被镜像的条件,则执行镜像操作。本发明所述的镜像802.1AE明文和密文的方法及交换芯片,功能灵活,应用于不同需求的场景,所述交换机芯片能够感知当前处理的报文是明文还是密文,结合配置的镜像模式,能够灵活的镜像802.1AE密文,或者明文,或者同时镜像密文和明文。

Description

镜像802.1AE明文和密文的方法及交换芯片
技术领域
本发明涉及一种网络通信技术领域,尤其是涉及一种灵活镜像802.1AE明文和密文的方法及交换芯片。
背景技术
MACsec是一个用以保护局域网安全的主要协议,这一协议通过识别局域网上非授信站点来阻止其通信,从而保证网络正常运行,同时还能保护信息完整性和保密信,并减少对二层协议的攻击,很好的保护局域网不受被动接线、假冒、中间人以及部分拒绝任务攻击等袭击。
MACsec可为用户提供安全的MAC层数据发送和接收服务,包括用户数据加密、数据帧完整性校验,使能了MACsec功能且启用了MACsec保护的端口发送数据帧时,需要对它进行加密;使能了MACsec功能的端口收到经过MACsec封装的数据帧时,需要对它进行解密。加解密所使用的秘钥是收发双方通过协议协商得到的。如果收发两端之间存在第三方窃听者,由于窃听得到的是被加密过的数据,所以没法窃取到报文三层及以上的内容,因此安全性得到了保证。
端口镜像是指通过配置交换机或者路由器,把一个或多个端口的数据转发到某一个端口,来实现对网络的监听,端口镜像是对网络流量监控的一个有效的安全手段,对监控流量的分析可以进行安全性的检查,同时也能及时地在网络发生故障时进行准确的定位。
现有技术方案802.1AE加解密模块是在MAC上面实现的,交换机接收到一个802.1AE密文时,在MAC层解密,然后将解密后的明文送进交换机处理芯片;交换机芯片将需要发送出去的报文发送给MAC层,然后MAC层进行加密,最终从交换机发送出去的就是802.1AE密文;
在启用MACsec功能的端口上启用端口镜像功能时,只能镜像出802.1AE密文,不能镜像出明文,或者不能同时镜像出密文和明文。
发明内容
本发明的目的在于克服现有技术的缺陷,提供一种镜像802.1AE明文和密文的方法及交换芯片,所述方法及交换芯片能够镜像出某个端口802.1AE密文或者明文,或者同时密文和明文。
为实现上述目的,本发明提出如下技术方案:一种镜像802.1AE明文和密文的方法,其特征在于,包括如下步骤:
步骤1,启用端口镜像功能,并配置端口镜像模式;
步骤2,判断镜像模式与报文标识符逻辑与运算结果,若结果为非零,则当前报文满足被镜像的条件,则执行镜像操作。
优选地,所述端口镜像模式选自不启用镜像、只镜像明文、只镜像密文,以及同时镜像明文和密文中的一种,其中,
不启用镜像的配置命令为:mirrorMode[1:0]=2′00;
只镜像明文的配置命令为:mirrorMode[1:0]=2′01;
只镜像密文的配置命令为:mirrorMode[1:0]=2′10;
同时镜像明文和密文的配置命令为:mirrorMode[1:0]=2′11。
优选地,所述报文标识符包括第一报文标识符和第二报文标识符,所述第一报文标识符表示报文是否需要解密,以及是否已完成解密,所述第二报文标识符表示报文是否需要加密,以及是否已完成加密。
优选地,所述第一报文标识符为(1,0),则报文需要解密,且未完成解密操作;
第一报文标识符为(0,1),则报文已完成解密,不需要再解密;
第一报文标识符为(0,0),则报文不需要解密;
第二报文标识符为(0,0),则报文不需要加密;
第二报文标识符为(0,1),则报文需要加密,且未完成加密;
第二报文标识符为(1,0),则报文已完成加密。
实现权镜像802.1AE明文和密文的方法的交换芯片,包括入口处理引擎模块、报文调度引擎模块、出口处理引擎模块,以及802.1AE加密和解密模块,所述报文调度引擎模块的一端与入口处理引擎模块相连接,另一端与出口处理引擎模块相连接,所述802.1AE加密和解密模块的一端与出口处理引擎模块,另一端与入口处理引擎模块相连接,所述入口处理引擎模块、报文调度引擎模块、出口处理引擎模块,以及802.1AE加密和解密模块形成一环回回路对报文进行环回处理。
优选地,所述入口处理引擎模块通过逻辑判断报文信息,用报文标识符表示报文是否需要解密,以及是否已完成解密;
所述出口处理引擎模块通过逻辑判断报文信息,用报文标识符表示报文是否需要加密,以及是否已完成加密。
优选地,所述报文标识符包括第一报文标识符和第二报文标识符,所述入口处理引擎模块通过所述第一报文标识符表示报文是否需要解密,以及是否已完成解密;所述出口处理引擎模块所述第二报文标识符表示报文是否需要加密,以及是否已完成加密。
优选地,所述入口处理引擎模块中,镜像模式和第一标识符逻辑与运算的结果为非零,则作镜像操作;所述出口处理引擎模块中,镜像模式和第二报文标识符的逻辑与运算结果为非零,则执行镜像操作。
优选地,所述第一报文标识符为(1,0),则报文需要解密,且未完成解密操作;
第一报文标识符为(0,1),则报文已完成解密,不需要再解密;
第一报文标识符为(0,0),则报文不需要解密;
第二报文标识符为(0,0),则报文不需要加密;
第二报文标识符为(0,1),则报文需要加密,且未完成加密;
第二报文标识符为(1,0),则报文已完成加密。
本发明的有益效果是:
本发明所述的镜像802.1AE明文和密文的方法及交换芯片,功能灵活,应用于不同需求的场景,所述交换机芯片能够感知当前处理的报文是明文还是密文,结合配置的镜像模式,能够灵活的镜像802.1AE密文,或者明文,或者同时镜像密文和明文。
附图说明
图1是本发明的交换芯片结构框图示意图;
图2是本发明的镜像802.1AE明文和密文的方法流程图示意图;
图3是本发明的镜像802.1AE明文和密文的报文处理流程示意图。
附图标记:1、入口处理引擎模块,2、报文调度引擎模块,3、出口处理引擎模块,4、802.1AE加密和解密模块。
具体实施方式
下面将结合本发明的附图,对本发明实施例的技术方案进行清楚、完整的描述。
结合图1所示,本发明所揭示的一种镜像802.1AE明文和密文的交换芯片,所述交换芯片包括入口处理引擎模块1、报文调度引擎模块2、出口处理引擎模块3,以及802.1AE加密和解密模块4,其中,
所述入口处理引擎模块1与报文调度引擎模块2相连接,入口处理引擎模块1对进入的报文进行相应的处理,并送入报文调度引擎模块2;
更进一步的,所述入口处理引擎模块1对报文内容进行解析,获取转发行为和编辑行为;
所述报文调度引擎模块2的一端与入口处理引擎模块1相连接,另一端与出口处理引擎模块3相连接,所述报文调度引擎模块2对入口处理引擎模块1处理后的报文做进一步的处理,报文调度引擎模块2处理后的报文送入至出口处理引擎模块3,做后续处理;
更进一步的,所述报文调度引擎模块2对进入报文调度引擎模块2的报文进行队列调度、复制,以及缓冲器管理。
所述出口处理引擎模块3的一端与报文调度引擎模块2相连接,另一端与802.1AE加密和解密模块4相连接,所述出口处理引擎模块3对报文调度引擎模块2输出的报文做后续处理,将需要加密或解密的报文送入802.1AE加密和解密模块4中进行加密或解密处理,否则,直接转发出去。
更进一步的,所述出口处理引擎模块3对进入出口处理引擎模块3的报文进行编辑,转发。
所述802.1AE加密和解密模块4的一端与出口处理引擎模块3相连接,另一端与入口处理引擎模块1相连接,802.1AE加密和解密模块4将出口处理引擎模块3中的需要加密或者需要解密的报文,加密或者解密之后直接送入入口处理引擎模块1,入口处理引擎模块1将加密或者解密后的报文进一步处理。
入口处理引擎模块1、报文调度引擎模块2、出口处理引擎模块3,以及802.1AE加密和解密模块4形成一环回回路,对报文环回处理。
在入口处理引擎模块1中,通过逻辑判断报文信息,用第一标识符(needToDecrypt,Decrypted)表示报文是否需要解密,以及是否已完成解密;在出口处理引擎模块3中,通过逻辑判断报文信息,用第二标识符(Encrypted,needToEncrypt)标识符表示报文是否需要加密,以及是否已完成加密,其中,needToDecrypt和Decrypted,Encrypted和needToEncrypt的值用二进制数0或1表示。
进一步的,若第一标识符(needToDecrypt,Decrypted)标识符为(1,0),表示报文需要解密,且未完成解密操作;若第一标识符(needToDecrypt,Decrypted)标识符为(0,1),表示报文已完成解密,不需要再解密;若第一标识符(needToDecrypt,Decrypted)标识符为(0,0),表示报文不需要解密;若第二标识符(Encrypted,needToEncrypt)标识符为(0,0),表示报文不需要加密;若第二标识符(Encrypted,needToEncrypt)标识符为(0,1),表示报文需要加密,且未完成加密;若第二标识符(Encrypted,needToEncrypt)标识符为(1,0),表示报文已完成加密。
结合图1和图3所示,来自启动了MACsec功能的端口的密文进入交换芯片后,入口处理引擎模块1对所述报文进行解析,发现所述报文是密文,记为第一密文报文,逻辑判断所述第一密文报文需要解密,相应的(needToDecrypt,Decrypted)标识符为(1,0),表示所述第一密文报文需要解密,且未完成解密操作,因此将所述第一密文报文发送至报文调度引擎模块2,进行队列调度,并送入至出口处理引擎模块3中处理,此时相应的(Encrypted,needToEncrypt)标识符为(0,0),表示所述第一密文报文不需要加密,继续将密文报文发送至802.1AE加密和解密模块4中进行解密处理。
所述第一密文报文经过802.1AE加密和解密模块4解密后,变为明文报文,记为第二明文报文,所述第二明文报文被再次送入至入口处理引擎模块1中解析处理,获得转发目的地址,相应的(needToDecrypt,Decrypted)标识符为(0,1),表示已完成解密操作,继续将第二明文报文送入至报文调度引擎模块2,所述报文调度引擎模块2根据转发目的地址查找需要转发的端口,同时,判断出口是否启用了MACsec功能,若启用了则把报文通过出口处理引擎模块3发送至802.1AE加密和解密模块4中进行加密处理,在出口处理引擎模块3中,相应的(Encrypted,needToEncrypt,)标识符为(0,1),表示需要加密,且未完成加密操作。
经过802.1AE加密和解密模块4加密后,第二明文报文变为密文报文,记为第三密文,所述第三密文报文再次送入入口处理引擎模块1中进行解析处理,获得转发目的地址,相应的(needToDecrypt,Decrypted)标识符为(0,0),表示不需要解密,所述报文调度引擎模块2查找转发目的地址获得转发的端口,并将加密报文送入至出口处理引擎模块3中,相应的(Encrypted,needToEncrypt)标识符为(1,0),表示已完成加密,加密报文从相应端口转发出去。
镜像802.1AE明文和密文需要启用端口镜像功能,并在端口上配置镜像模式,具体的,所述镜像模式包括四种,
1)mirrorMode[1:0]=2′00,表示不启用镜像功能;
2)mirrorMode[1:0]=2′01,只镜像明文;
3)mirrorMode[1:0]=2′10,只镜像密文;
4)mirrorMode[1:0]=2′11,同时镜像明文和密文,其中,mirrorMode[1:0]表示取两位二进制数值,2′00表示二进制数00,同样的,2′01、2′10,以及2′10表示二进制数01、10、11。
在入口处理引擎模块1中,判断镜像模式和第一标识符逻辑与运算的结果,若结果为非零,则当前报文满足被镜像的条件,则作镜像操作。
在出口处理引擎模块3中,判断镜像模式和第二标识符逻辑与运算的结果,若结果为非零,则当前报文满足被镜像的条件,则作镜像操作。
具体的,若端口配置镜像模式为mirrorMode[1:0]=2′01,即只镜像明文,初次进入入口处理引擎模块1中的报文为密文报文,即第一密文报文,相应的(needToDecrypt,Decrypted)标识符为(1,0),此时两者逻辑与的运算结果为零,则不执行镜像操作;
第一密文报文经过报文调度引擎模块2进入出口处理引擎模块3中,相应的(Encrypted,needToEncrypt)标识符为(0,0),此时mirrorMode[1:0]和(Encrypted,needToEncrypt)两者逻辑与运算的结果为零,则不执行镜像操作,出口处理引擎模块3将密文发送至802.1AE加密和解密模块4中进行解密;
经过802.1AE加密和解密模块4解密后,第一密文报文变为明文报文,即第二明文报文,所述第二明文报文通过环回再次进入入口处理引擎模块1,相应的(needToDecrypt,Decrypted)标识符为(0,1),此时两者逻辑与的运算结果为非零,则执行镜像操作,即执行镜像明文;
第二明文报文经过报文调度引擎模块2进入出口处理引擎模块3中,相应的(Encrypted,needToEncrypt)标识符为(0,1),此时mirrorMode[1:0]和(Encrypted,needToEncrypt)两者逻辑与运算的结果为非零,则执行镜像操作,即执行镜像明文;
经过802.1AE加密和解密模块4加密后,第二明文报文变为密文报文,即第三密文报文,所述第三密文报文通过环回再次进入入口处理引擎模块1,相应的(needToDecrypt,Decrypted)标识符为(0,0),此时两者逻辑与的运算结果为零,则不执行镜像操作;
第三密文报文经过报文调度引擎模块2进入出口处理引擎模块3中,相应的(Encrypted,needToEncrypt)标识符为(1,0),此时mirrorMode[1:0]和(Encrypted,needToEncrypt)两者逻辑与运算的结果为零,则不执行镜像操作,第三密文报文被发送出去。
端口配置镜像模式为mirrorMode[1:0]=2′10和mirrorMode[1:0]=2′11,同mirrorMode[1:0]=2′01处理过程相同,不再一一赘述。
本发明通过在交换机芯片中实现集中式的802.1AE加密和解密引擎,通过环回的方式,可以实现交换机芯片对802.1AE密文和明文不同的镜像操作。
如图2所示,一种镜像802.1AE明文和密文的方法,包括如下步骤:
步骤1,启用端口镜像功能,并配置端口镜像模式;
步骤2,判断镜像模式与报文标识符逻辑与运算结果,若结果为非零,则当前报文满足被镜像的条件,则执行镜像操作。
具体的,交换机启用端口镜像功能,并配置端口镜像模式;在入口处理引擎模块中,若所述镜像模式和第一报文标识符的逻辑与运算结果非零,则当前报文满足被镜像的条件,执行镜像操作;
在出口处理引擎模块3中,若所述镜像模式和第二报文标识符的逻辑与运算结果非零,则当前报文满足被镜像的条件,执行镜像操作。
所述报文标识符包括第一报文标识符和第二报文标识符,所述第一报文标识符表示报文是否需要解密,以及是否已完成解密,所述第二报文标识符表示报文是否需要加密,以及是否已完成加密;所述第一报文标识符用(needToDecrypt,Decrypted)表示,显示当前入口处理引擎模块1中的报文信息,如报文是否需要解密,以及是否已完成解密;所述第二报文标识符用(Encrypted,needToEncrypt)表示,显示当前出口处理引擎模块3中的报文信息,如报文是否需要加密,以及是否已完成加密。
具体的,启用端口镜像功能,配置端口镜像模式,所述端口镜像模式包括四种:
1)mirrorMode[1:0]=2′00,表示不启用镜像功能;
2)mirrorMode[1:0]=2′01,只镜像明文;
3)mirrorMode[1:0]=2′10,只镜像密文;
4)mirrorMode[1:0]=2′11,同时镜像明文和密文,其中,其中,mirrorMode[1:0]表示取两位二进制数值,2′00表示二进制数00,同样的,2′01、2′10,以及2′10表示二进制数01、10、11。
在入口处理引擎模块1中,判断镜像模式和第一标识符逻辑与运算的结果,若结果为非零,则当前结果满足被镜像的条件,则作镜像操作。
在出口处理引擎模块3中,判断镜像模式和第二标识符逻辑与运算的结果,若结果为非零,则当前满足被镜像的条件,则作镜像操作。
结合图2和图3所示,具体的,若端口配置镜像模式为mirrorMode[1:0]=2′10,即只镜像密文,初次进入如方向处理引擎模块中的报文为密文报文,相应的(needToDecrypt,Decrypted)标识符为(1,0),需要进行解密处理,此时两者逻辑与的运算结果为非零,则执行镜像密文操作;
密文报文经过报文调度引擎模块2进入出口处理引擎模块3中,相应的(Encrypted,needToEncrypt)标识符为(0,0),此时mirrorMode[1:0]和(Encrypted,needToEncrypt)两者逻辑与运算的结果为零,则不执行镜像操作,出口处理引擎模块3将密文发送至802.1AE加密和解密模块4中进行解密。
经过802.1AE加密和解密模块4解密后,密文报文变为明文报文,所述明文报文通过环回再次进入入口处理引擎模块1,相应的(needToDecrypt,Decrypted)标识符为(0,1),此时两者逻辑与的运算结果为零,则不执行镜像操作。
明文报文经过报文调度引擎模块2再次进入出口处理引擎模块3中,由于端口启用MACsec功能,明文需要经过加密后才能被转发出去,相应的(Encrypted,needToEncrypt)标识符为(0,1),此时mirrorMode[1:0]和(Encrypted,needToEncrypt)两者逻辑与运算的结果为零,则不执行镜像操作,出口处理引擎模块3将密文发送至802.1AE加密和解密模块4中进行加密。
经过802.1AE加密和解密模块4加密后,明文报文变为密文报文,所述密文报文再次进入入口处理引擎模块1,相应的(needToDecrypt,Decrypted)标识符为(0,0),此时两者逻辑与的运算结果为零,则不执行镜像操作;
密文再次进入出口处理引擎模块3中,相应的(Encrypted,needToEncrypt)标识符为(1,0),此时mirrorMode[1:0]和(Encrypted,needToEncrypt)两者逻辑与运算的结果为非零,则执行镜像操作,密文被发送出去。
端口配置镜像模式为mirrorMode[1:0]=2′10和mirrorMode[1:0]=2′11,同mirrorMode[1:0]=2′01处理过程相同,不再一一赘述。
本发明所述的镜像802.1AE明文和密文的方法及交换芯片,功能灵活,应用于不同需求的场景,所述交换机芯片能够感知当前处理的报文是明文还是密文,结合配置的镜像模式,能够灵活的镜像802.1AE密文,或者明文,或者同时镜像密文和明文。
本发明的技术内容及技术特征已揭示如上,然而熟悉本领域的技术人员仍可能基于本发明的教示及揭示而作种种不背离本发明精神的替换及修饰,因此,本发明保护范围应不限于实施例所揭示的内容,而应包括各种不背离本发明的替换及修饰,并为本专利申请权利要求所涵盖。

Claims (2)

1.一种镜像802.1AE明文和密文的方法,其特征在于,包括如下步骤:
步骤1,启用端口镜像功能,并配置端口镜像模式,所述端口镜像模式选自不启用镜像、只镜像明文、只镜像密文,以及同时镜像明文和密文中的一种,其中不启用镜像的配置命令为:mirrorMode[1:0]=2′00,只镜像明文的配置命令为:mirrorMode[1:0]=2′01,只镜像密文的配置命令为:mirrorMode[1:0]=2′10,同时镜像明文和密文的配置命令为:mirrorMode[1:0]=2′11;
步骤2,判断镜像模式与报文标识符逻辑与运算结果,若结果为非零,则当前报文满足被镜像的条件,则执行镜像操作,所述报文标识符包括第一报文标识符和第二报文标识符,所述第一报文标识符表示报文是否需要解密,以及是否已完成解密,且所述第一报文标识符为(1,0),则报文需要解密,且未完成解密操作,第一报文标识符为(0,1),则报文已完成解密,不需要再解密,第一报文标识符为(0,0),则报文不需要解密;所述第二报文标识符表示报文是否需要加密,以及是否已完成加密,第二报文标识符为(0,0),则报文不需要加密,第二报文标识符为(0,1),则报文需要加密,且未完成加密,第二报文标识符为(1,0),则报文已完成加密。
2.实现权利要求1中镜像802.1AE明文和密文的方法的交换芯片,其特征在于,包括入口处理引擎模块、报文调度引擎模块、出口处理引擎模块,以及802.1AE加密和解密模块,所述报文调度引擎模块的一端与入口处理引擎模块相连接,另一端与出口处理引擎模块相连接,所述802.1AE加密和解密模块的一端与出口处理引擎模块,另一端与入口处理引擎模块相连接,所述入口处理引擎模块、报文调度引擎模块、出口处理引擎模块,以及802.1AE加密和解密模块形成一环回回路对报文进行环回处理;
所述入口处理引擎模块通过逻辑判断报文信息,用报文标识符表示报文是否需要解密,以及是否已完成解密,所述出口处理引擎模块通过逻辑判断报文信息,用报文标识符表示报文是否需要加密,以及是否已完成加密;
所述报文标识符包括第一报文标识符和第二报文标识符,在所述入口处理引擎模块中,所述第一报文标识符表示报文是否需要解密,以及是否已完成解密,所述第一报文标识符为(1,0),则报文需要解密,且未完成解密操作,第一报文标识符为(0,1),则报文已完成解密,不需要再解密,第一报文标识符为(0,0),则报文不需要解密,所述入口处理引擎模块中,镜像模式和第一标识符逻辑与运算的结果为非零,则作镜像操作;
在所述出口处理引擎模块中,所述第二报文标识符表示报文是否需要加密,以及是否已完成加密,所述第二报文标识符为(0,0),则报文不需要加密,第二报文标识符为(0,1),则报文需要加密,且未完成加密,第二报文标识符为(1,0),则报文已完成加密,所述出口处理引擎模块中,镜像模式和第二报文标识符的逻辑与运算结果为非零,则执行镜像操作。
CN201611270020.6A 2016-12-30 2016-12-30 镜像802.1ae明文和密文的方法及交换芯片 Active CN106657121B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201611270020.6A CN106657121B (zh) 2016-12-30 2016-12-30 镜像802.1ae明文和密文的方法及交换芯片

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201611270020.6A CN106657121B (zh) 2016-12-30 2016-12-30 镜像802.1ae明文和密文的方法及交换芯片

Publications (2)

Publication Number Publication Date
CN106657121A CN106657121A (zh) 2017-05-10
CN106657121B true CN106657121B (zh) 2019-10-08

Family

ID=58838527

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201611270020.6A Active CN106657121B (zh) 2016-12-30 2016-12-30 镜像802.1ae明文和密文的方法及交换芯片

Country Status (1)

Country Link
CN (1) CN106657121B (zh)

Families Citing this family (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109040124A (zh) * 2018-09-17 2018-12-18 盛科网络(苏州)有限公司 用于交换机的处理报文的方法和装置
US11418434B2 (en) 2018-10-02 2022-08-16 Arista Networks, Inc. Securing MPLS network traffic
US11283733B2 (en) 2018-10-02 2022-03-22 Arista Networks, Inc. Proxy ports for network device functionality
CN111092829B (zh) * 2019-12-09 2022-04-01 昆高新芯微电子(江苏)有限公司 一种基于交换架构的多核交换芯片及其数据传输方法
CN111107087B (zh) * 2019-12-19 2022-03-25 杭州迪普科技股份有限公司 报文检测方法及装置
CN112565263A (zh) * 2020-12-04 2021-03-26 盛科网络(苏州)有限公司 一种基于硬管道的加解密方法及装置

Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101197775A (zh) * 2007-11-19 2008-06-11 福建星网锐捷网络有限公司 端口镜像的实现方法、装置及***
CN101355503A (zh) * 2008-09-03 2009-01-28 中兴通讯股份有限公司 一种报文自动镜像***及方法
CN103051497A (zh) * 2012-12-28 2013-04-17 华为技术有限公司 业务流镜像方法及镜像设备
CN103581034A (zh) * 2012-07-27 2014-02-12 北京宽广电信高技术发展有限公司 一种报文镜像和加密传输方法
CN105611529A (zh) * 2015-12-31 2016-05-25 盛科网络(苏州)有限公司 Capwap dtls报文加解密的芯片实现方法
CN105656655A (zh) * 2014-11-14 2016-06-08 华为技术有限公司 一种网络安全管理方法、装置,及***
CN105939230A (zh) * 2016-04-27 2016-09-14 杭州迪普科技有限公司 多点远程监控方法和装置

Patent Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101197775A (zh) * 2007-11-19 2008-06-11 福建星网锐捷网络有限公司 端口镜像的实现方法、装置及***
CN101355503A (zh) * 2008-09-03 2009-01-28 中兴通讯股份有限公司 一种报文自动镜像***及方法
CN103581034A (zh) * 2012-07-27 2014-02-12 北京宽广电信高技术发展有限公司 一种报文镜像和加密传输方法
CN103051497A (zh) * 2012-12-28 2013-04-17 华为技术有限公司 业务流镜像方法及镜像设备
CN105656655A (zh) * 2014-11-14 2016-06-08 华为技术有限公司 一种网络安全管理方法、装置,及***
CN105611529A (zh) * 2015-12-31 2016-05-25 盛科网络(苏州)有限公司 Capwap dtls报文加解密的芯片实现方法
CN105939230A (zh) * 2016-04-27 2016-09-14 杭州迪普科技有限公司 多点远程监控方法和装置

Also Published As

Publication number Publication date
CN106657121A (zh) 2017-05-10

Similar Documents

Publication Publication Date Title
CN106657121B (zh) 镜像802.1ae明文和密文的方法及交换芯片
TW439381B (en) Method of implementing connection security in a wireless network
CN104935593B (zh) 数据报文的传输方法及装置
JP4464046B2 (ja) 暗号化装置及び復号化装置及び無線通信装置
CN101309273B (zh) 一种生成安全联盟的方法和装置
CN105721317B (zh) 一种基于sdn的数据流加密方法和***
CN106301765B (zh) 加密和解密芯片及其实现加密和解密的方法
CN1859081B (zh) 一种即时消息加密传输方法和***
CN107342977A (zh) 适用于点对点即时通信的信息保密方法
CN105792190B (zh) 通信***中的数据加解密和传输方法
CN103986723B (zh) 一种保密通信控制、保密通信方法及装置
CN102035845A (zh) 支持链路层保密传输的交换设备及其数据处理方法
CN110383280A (zh) 用于为时间感知的端到端分组流网络提供网络安全性的方法和装置
CN106230793A (zh) 一种实现mplsvpn运行在加密的ipvpn之上的方法
CN103441983A (zh) 基于链路层发现协议的信息保护方法和装置
CN108848107A (zh) 一种安全传输网络信息的方法
EP3713147B1 (en) Railway signal security encryption method and system
CN103220279A (zh) 数据安全传输的方法和***
CN104239808A (zh) 数据加密传输方法及装置
CN107276884A (zh) 一种基于智能终端的社交软件自主加解密***
CN108111308A (zh) 一种基于动态随机加密的工业互联网通讯加密方法
CN109040124A (zh) 用于交换机的处理报文的方法和装置
CN107294968A (zh) 一种音视频数据的监控方法和***
CN103997405B (zh) 一种密钥生成方法及装置
CN106161386A (zh) 一种实现IPsec分流的方法和装置

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant
CP03 Change of name, title or address

Address after: 215101 unit 13 / 16, 4th floor, building B, No. 5, Xinghan street, Suzhou Industrial Park, Jiangsu Province

Patentee after: Suzhou Shengke Communication Co.,Ltd.

Address before: 215021 unit 13 / 16, floor 4, building B, No. 5, Xinghan street, industrial park, Suzhou, Jiangsu Province

Patentee before: CENTEC NETWORKS (SU ZHOU) Co.,Ltd.

CP03 Change of name, title or address