[发明专利]芯片堆叠模式下MACsec的实现方法及装置

说明书

本发明揭示了一种芯片堆叠模式下MACsec的实现方法及装置，方法包括：每个交换芯片的入堆叠端口解析接收到的报文，获得堆叠头的长度并确定MACsec帧头字段的插入位置，并在报文存在MACsec帧头字段且入堆叠端口使能MACsec功能时对报文进行解密处理并转发报文；每个交换芯片的出堆叠端口在使能MACsec功能时，获取报文的堆叠头长度并计算MACsec帧头字段的插入位置，并在报文加密处理时根据插入位置将MACsec帧头字段添加至报文中，并通过出堆叠端口转发报文。本发明能够使报文经过每个交换芯片的入堆叠端口和出堆叠端口时均为密文，避免信息泄露，提高堆叠系统的安全性。

技术领域

本发明涉及网络技术领域，尤其是涉及一种芯片堆叠模式下MACsec的实现方法及装置。

背景技术

为了使交换机满足较大型网络对端口的数量要求，一般在较大型网络中采用交换机堆叠技术，它将多台交换机整合为一个统一的设备以实现端口密度的扩展。交换机堆叠后从逻辑上来说，他们属于同一个设备，并且堆叠是扩展端口最快捷、最便利的方式，它主要是通过专用连接电缆，从一台交换机的出(UP)堆叠端口直接连接到另一台交换机的入(DOWN)堆叠端口，通常情况下，堆叠后的带宽是单一交换机端口速率的几十倍。

MACsec(Media Access Control Security，MAC安全)定义了基于IEEE802局域网络的数据安全通信方法，MACsec可为用户提供安全的MAC层数据发送和接收服务，包括用户数据加密、数据帧完整性检查及数据源真实性校验。

现有技术中，通常将MACsec部署在堆叠系统的入端口和出端口，也即加密报文进入第一个交换机时进行解密处理，从最后一个交换机转发时进行加密处理。然而，当报文经过位于第一个交换机和最后一个交换机之间的堆叠端口时，其是没有经过加密的，也即是说报文处于明文状态，此时存在被盗取信息的危险，容易通过嗅探器获取源报文的真实信息，造成财产的损失。

发明内容

本发明的目的在于克服现有技术的缺陷，提供一种芯片堆叠模式下的MACsec的实现方法及装置，使报文经过堆叠系统中的堆叠端口时为密文，保证了信息的安全性。

为实现上述目的，本发明提出如下技术方案：芯片堆叠模式下MACsec的实现方法，包括

每个交换芯片的入堆叠端口均对接收到的报文进行解析，获得堆叠头的长度，根据堆叠头的长度确定MACsec帧头字段的插入位置，进一步判断是否存在MACsec帧头字段且入堆叠端口是否使能MACsec功能，若均符合，则对报文进行解密处理并转发报文；

每个交换芯片的出堆叠端口均判断出堆叠端口是否使能MACsec功能，若使能了MACsec功能，则获取报文的堆叠头长度并根据堆叠头的长度计算MACsec帧头字段的插入位置，并在报文加密处理时根据插入位置将MACsec帧头字段添加至报文中，进一步通过出堆叠端口转发报文。

优选地，所述MACsec头字段插入的位置为堆叠头长度、目的MAC地址的长度和源MAC地址的长度之和。

优选地，所述报文加密处理包括根据加密秘钥对报文进行加密，并根据报文认证的Offset进行ICV字段的计算和报文编辑，并根据MACsec帧头字段的插入位置将MACsec帧头字段添加至报文中。

优选地，通过如下步骤判断是否存在MACsec帧头字段：从MACsec帧头字段的插入位置开始取两个字节判断是否为0x88E5，若是，则报文中存在MACsec帧头字段。

优选地，报文解密处理包括根据报文中SecTAG字段信息和ICV字段信息对报文进行解密认证。

本发明还揭示了一种芯片堆叠模式下MACsec的实现装置，包括每个交换芯片中设置的入堆叠端口处理模块和出堆叠端口处理模块，包括每个交换芯片中设置的入堆叠端口处理模块和出堆叠端口处理模块，其中，