技術領域

本申請涉及通信領域，尤其涉及一種數據處理的方法以及網絡設備。

背景技術

普通的以太網在長距離傳輸過程中，信息存在被竊聽、篡改的風險，媒體接入控制安全(英文：Medium Access Control Security，簡稱：MACSec)協議可以提供端到端的安全傳輸解決方案，實現流量數據的加密解密，確保信息傳遞的完整性。

MACSec功能直接部署在主機，例如個人計算機或服務器上時，能夠實現對數據流的靈活加密解密，但用軟件方式部署MACSec功能的效率不高，而支持MACSec功能的硬件，例如服務器的網卡或專用加密引擎，價格昂貴，且不支持虛擬機遷移。在交換機或路由器上部署MACSec功能處理時，需要使用在轉發芯片和物理層設備(英文：physical layer device，簡稱：PHY)之間部署MACsec功能或者在PHY中集成MACsec功能進行加密解密。

但是，由于每個PHY是連接到轉發芯片的固定端口的，如果將MACSec功能部署在轉發芯片與PHY之間或者PHY上時，MACSec功能只能對固定端口上接收或者發送的流量進行處理，而不能靈活選擇需要處理的流量。

發明內容

本申請實施例提供了一種數據處理的方法以及網絡設備，用于對輸入數據進行預置條件的匹配，靈活的選擇出需要處理的目標數據，進而對目標數據進行加/解密處理。

本發明實施例第一方面提供一種數據處理的方法，主要應用于配置了媒體接入控制安全MACsec功能的第一網絡設備中，該MACsec功能連接該第一網絡設備的轉發芯片，也可以理解為轉發芯片和MACsec功能是集成在第一網絡設備上的。該方法可以包括：該第一網絡設備從第三網絡設備獲取輸入數據；該第一網絡設備的轉發芯片可以通過預置條件的匹配，判斷輸入數據是否為目標數據；其中，確定成功匹配預置條件的數據為目標數據；這里得到的目標數據存在兩種情況：一種為：若該目標數據為加密數據，則該第一網絡設備利用該MACsec功能對該目標數據進行解密，得到當前解密數據；另外一種為：若該目標數據為未加密數據，則該第一網絡設備利用該MACsec功能對該目標數據進行加密，得到當前加密數據；得到當前解密數據或當前加密數據之后，該第一網絡設備需向第二網絡設備發送該當前解密數據或該當前加密數據。

在本發明實施例中，這里的第一網絡設備或者第二網絡設備都可以為交換機或者服務器等其他設備，即本發明技術方案可以是對交換機與交換機之間的數據進行處理，也可以是對交換機和服務器之間的數據進行處理。若是交換機與服務器之間的數據進行處理時，交換機負責數據的加密和解密，服務器收到的是解密的數據。第一網絡設備可以通過預置條件的選擇，選擇要進行MACsec處理的目標數據，這里的預置條件是通過用戶或者業務的需求而預先設定的。所以，相對于現有技術只能處理固定端口上接收或者發送的流量，本發明技術方案有很大的靈活性，通過預置條件的設定，可以選擇想要處理的目標數據，進而對目標數據進行MACsec處理，再對MACsec處理后的數據進行轉發，完成數據的傳輸。

結合本發明實施例的第一方面，在本發明實施例的第一方面的第一種實現的方式中，該第一網絡設備利用該MACsec功能對該目標數據進行加密之前，該方法還可以包括：該第一網絡設備向該第二網絡設備發送密鑰協商報文，該密鑰協商報文用于獲取該MACsec功能使用的密鑰；

當然，這里的密鑰協商還可以是，第二網絡設備向第一網絡設備發送密鑰協商報文，第一網絡設備根據該密鑰協商報文生成密鑰，再向第二網絡設備發送該密鑰。

那么，該第一網絡設備利用該MACsec功能對該目標數據進行解密，就可以包括：該第一網絡設備利用MACsec功能利用該密鑰對該目標數據進行解密。或者；該第一網絡設備利用該MACsec功能使用該密鑰對該目標數據進行加密，得到當前加密數據。

在本發明實施例中，應理解，密鑰協商的過程一般是優先級高的設備生成密鑰并發送的，這里在第一網絡設備使用該密鑰之前，會有一個密鑰協商的過程。所以，本發明實施例就是對密鑰協商過程、也可以稱呼為預配置的一個說明，當密鑰協商過程完成后，才可以使用MACsec功能對目標數據進行加密和解密。不然，就相當于，例如，第一網絡設備對目標數據進行加密，但是第二網絡設備不知道加密的密鑰，那么，就無法解密，這個數據就沒什么意義了。在進行加解密之前，設備之間若先完成密鑰協商，那么，第二網絡設備就可以對加密數據進行解密，得到這個解密數據之后，才可以后續的通信過程。