本發明揭示了一種CAPWAP控制通道DTLS加解密的芯片協處理方法，其中，解密過程主要查芯片內配置的CAPWAP表，根據條目中的解密用的Key ID和isEncryptedPkt字段，對報文進行解密，最后將解密后的報文送往CPU進行進一步處理。加密過程主要索引芯片內配置的Nexthop表，根據條目中的isCapwapControl字段狀態和加密用的Key ID對報文進行DTLS加密，并將加密后報文環回到芯片內進行正常的報文轉發處理。本發明將CAPWAP控制通道報文的軟件處理方案中最占用CPU資源的加解密操作搬移到芯片進行協處理，大大降低了CPU的壓力，提高網絡性能。

技術領域

本發明涉及一種CAPWAP控制通道的DTLS加解密技術，尤其是涉及一種CAPWAP控制通道的DTLS加解密的芯片協處理方法。

背景技術

AC(Access Controller，無線控制器)設備和AP(Access Point，無線接入點)設備之間將使用CAPWAP(Controlling and Provisioning of Wireless Access Point，無線接入點控制與供應)隧道，CAPWAP隧道是AC設備和AP設備之間的通信控制協議，定義了AC設備和AP設備間如何通信，為實現AC設備和AP設備之間的互通性提供了一個通用的封裝和傳輸機制。無線數據幀，原樣或經過802.11到802.3格式的轉換后被封入CAPWAP隧道中送往AC設備。

為保證CAPWAP隧道的安全性，可以使用DTLS(Datagram Transport LayerSecurity，數據傳輸層安全)協議保護CAPWAP隧道。DTLS協議是CAPWAP隧道使用的加密協議，該DTLS協議參考了TCP(Transmission Control Protocol，傳輸控制協議)的TLS(Transport Layer Security，傳輸層安全)協議，通過在CAPWAP報文中添加DTLS控制字段，以對CAPWAP報文進行加密控制。

現有一般通過使用軟件方法(如CPU)進行CAPWAP控制通道的DTLS加解密。如圖1所示，在加CAPWAP頭封裝完成后，軟件會調用openssl(Open Secure Sockets Layer，開放式安全套接層協議)進行DTLS加密。此過程需要將Buffer(緩沖區)中的數據拷貝出來，完成軟件加密，并寫回到Buffer。這個過程會大量占用CPU資源，在高帶寬場景下，隧道報文的轉發和加解密性能受限于CPU性能。

鑒于此，我們在申請號為201511019516.1的中國專利申請中，提出了一種CAPWAPDTLS報文加解密的芯片實現方法，采用交換路由芯片實現了CAPWAP DTLS報文的封裝和解封裝，但是該方案僅僅實現了CAPWAP數據通道的芯片級加解密，未支持CAPWAP控制通道報文的芯片級加解密。

發明內容

本發明的目的在于克服現有技術的缺陷，提供一種CAPWAP控制通道的DTLS加解密的芯片協處理方法，以將CAPWAP控制通道報文的軟件處理方案中最占用CPU資源的加解密操作搬移到芯片進行協處理。

為實現上述目的，本發明提出如下技術方案：一種CAPWAP控制通道的DTLS加解密的芯片協處理方法，包括：

芯片內報文解密處理過程：芯片收到DTLS加密的報文后，查芯片內配置的CAPWAP表得到解密用的Key ID和用于判斷是否是加密數據包的isEncryptedPkt字段，若所述isEncryptedPkt字段狀態檢查無誤，則根據由所述解密用的Key ID查找到的對應key對報文進行解密得到明文CAPWAP報文，并將所述CAPWAP報文再次環回到芯片內繼續查CAPWAP表，最后送往CPU；