技術領域

本發明涉及一種MACSec加密認證技術，尤其是涉及一種靈活的 MACSec報文加密認證的芯片實現方法及實現裝置。

背景技術

以太網技術是當今局域網普遍使用的通信協議標準，是一種二層媒質 訪問控制技術，并與其他接入媒質結合后形成多種寬帶接入技術，包括 EPON/WLAN等。在以太網技術應用中，所以計算機由同軸電纜相連，采 用競爭機制共享媒體，既是應用最廣泛的局域網技術，也是寬帶接入網中 的主流技術。雖然隨著技術和標準的不斷完善，以太網技術應用得到了巨 大的發展，但以太網技術起源于企業風部網，是建立在所有網絡用戶都是 互相信任的前提之上的，在安全方面的考慮較弱，應用于互不信任的公共 網絡中存在大量安全漏洞，造成信息泄露、信息破壞、非法信息傳播、網 絡資源錯誤使用等安全問題，這種廣播式的通信協議必須采取強力的安全 措施構建出安全的環境。

2005年，IEEE802.1ae媒體訪問控制安全(MACsec)協議的提出有效 的提高了以太網的安全水平，這一協議將安全保護集成到有線以太網中， 能使局域網避免受到被動接線、假冒、中間人、拒絕服務攻擊等安全影響， 減少2層協議所受到的攻擊。

標準的MACSec，僅針對局域網(LocalAreaNetwork，LAN)的應用， 加密和認證的數據段，及報文的編輯方式是固定的，不適應在廣域網(Wide AreaNetwork，WAN)的應用中使用數據加密，且不支持多種隧道報文封 裝格式，靈活性偏低。

發明內容

本發明的目的在于克服現有技術的缺陷，提供一種靈活的MACSec報 文加密認證的芯片實現方法及實現裝置，通過改進MACSec報文的封裝方 法，以提高報文加密和認證的靈活性。

為實現上述目的，本發明提出如下技術方案：一種靈活的MACSec報 文加密認證的芯片實現方法，所述MACSec報文格式包括MAC幀頭字段、 VLANTag字段、MACSec幀頭字段、數據字段、ICV字段和CRC字段， 所述MACSec報文加密認證的芯片實現方法包括：

芯片接收并解析報文，判斷報文中是否有MACSec幀頭字段且芯片入 端口是否使能了MACSec功能，若均符合，則繼續判斷是否為WAN模式， 若是，則設置報文認證的Offset，再進行報文解密，并使用所述報文認證的 Offset進行所述ICV字段的計算和校驗，之后進行報文轉發；

當報文到達芯片出端口發送時，先判斷出端口是否使能MACSec功能， 若是，則繼續判斷是否為WAN模式，若是，則設置報文認證的Offset并 設置MACSec幀頭Offset，再進行報文加密，根據所述報文認證的Offset 進行所述ICV字段的計算和報文編輯，同時根據所述MACSec幀頭Offset 將所述MACSec幀頭字段添加到報文的VLANTag字段后，最后將加密后 的報文發送出去。

優選地，所述VLANTag字段包括VLANID字段、CoS字段和CFI字 段。

優選地，所述MACSec報文格式包括IPTunnel幀頭字段、MAC幀頭 字段、VLANTag字段、MACSec幀頭字段、數據字段、ICV字段和CRC 字段，在出端口時，將MACSec幀頭字段添加到IPTunnel幀頭字段后，且 在對報文進行解密時，也進行IPTunnel幀頭的解封裝。

優選地，所述MACSec報文格式包括MPLSTunnel幀頭字段、MAC 幀頭字段、VLANTag字段、MACSec幀頭字段、數據字段、ICV字段和 CRC字段，在出端口時，將MACSec幀頭字段添加到MPLSTunnel幀頭字 段后，且在對報文進行解密時，也進行MPLSTunnel幀頭的解封裝。

本發明還揭示了另外一種技術方案，一種靈活的MACSec報文加密認 證的芯片實現裝置，包括入端口報文處理模塊和出端口報文處理模塊，所 述MACSec報文格式包括MAC幀頭字段、VLANTag字段、MACSec幀頭 字段、數據字段、ICV字段和CRC字段，

所述入端口報文處理模塊用于接收并解析報文，判斷報文中是否有 MACSec幀頭字段且芯片入端口是否使能了MACSec功能，若均符合，則 繼續判斷是否為WAN模式，若是，則設置報文認證的Offset，再進行報文 解密，并使用所述報文認證的Offset進行所述ICV字段的計算和校驗，之 后進行報文轉發；