阅读说明：本技术 一种MACsec非受控端口报文的处理方法及装置 (Method and device for processing MACsec uncontrolled port message ) 是由 裴园 龚海东 刘庆海 于怡 于 2019-10-22 设计创作，主要内容包括：本发明揭示了一种MACsec非受控端口报文的处理方法及装置,所述方法包括：MACsec端口收到报文后,解析报文中的信息,判断是否是MACsec报文,若否,则将报文置上非受控端口报文特征,并进入L2PDU模块中进行报文匹配,若匹配到,则将报文上送CPU。本发明有效的缓解了ACL的使用资源,使资源使用更加合理。(The invention discloses a method and a device for processing a MACsec uncontrolled port message, wherein the method comprises the following steps: and after receiving the message, the MACsec port analyzes the information in the message, judges whether the message is the MACsec message, if not, the message is set with the message characteristics of the uncontrolled port, and enters the L2PDU module for message matching, and if the message is matched, the message is sent to the CPU. The invention effectively relieves the resources used by ACL and makes the resources more reasonable to use.)

一种MACsec非受控端口报文的处理方法及装置

技术领域

本发明涉及一种网络通信的数据安全技术，尤其是涉及一种MACsec非受控端口报文的处理方法及装置。

背景技术

随着网络通信技术的飞速发展，其应用领域也逐步向社会生活的各个方面渗透，并影响和改变人们的生产和生活方式。然而计算机网络在便捷人们生活的同时，也带来了一些问题，比如数据安全。

MACsec(Media Access Control Security，媒体接入控制安全，简称MAC安全)指的是网络上的各个节点组成的一系列可信任实体，每一个节点都可以接收密文和明文。MACsec通过定义基于IEEE 802(又称为LMSC，LAN/MAN Standards Committee，局域网/城域网标准委员会)局域网络的数据安全通信的方法，MACSEC可为用户提供安全的MAC层数据发送和接收服务，包括用户数据加密、数据帧完整性检查及数据源真实性校验。

MACsec可以与802.1X认证框架配合使用，工作在802.1X认证过程成功之后，通过识别出已认证设备发送的报文，并使用MKA(MACSEC Key Agreement，MACSEC密钥协商)协议，协商生成的密钥对已认证的用户数据进行加密和完整性检查，避免端口处理未认证设备的报文或者未认证设备篡改的报文。

MACsec端口通常会被划分为以下两个逻辑端口：Controlled Port(受控端口)和UnControlled Port(非受控端口)。任何到达该端口的帧，在Controlled Port和UnControlled Port上均可见。UnControlled Port：主要用来传递EAPOL(ExtensibleAuthentication Protocolover LAN，基于局域网的扩展认证协议)协议报文以及其他协议报文(链路层发现协议(LLDP)、链路汇聚控制协议(Link Aggregation Control Protocol，LACP)，这类报文通常是不需要加密的且需要上CPU，对于其他非协议报文需要丢弃；Controlled Port：用于传递业务报文，报文在传输过程中是要被加密的。

现有通过ACL(Access Control List，访问控制列表)列表中查找与上述UnControlled Port上的报文特征相匹配的ACE(Access Control Entry，访问控制表项)规则，依据ACE规则中的处理操作对报文进行处理。

具体的，针对UnControlled Port上的非协议报文：在使能了MACsec的端口上接收到报文并解析报文信息，获取报文类型，检查报文是否为MACsec报文，如果不是MACsec报文，给报文置上丢弃行为，继续进入后续报文正常处理流程，进入ACL处理流程，查找匹配的ACL表项，这里没有匹配的表项，因为报文已经置上丢弃行为，在后面报文被丢弃。

针对UnControlled Port上的协议报文：进ACL处理流程前的操作与UnControlledPort上的非协议报文类似，进入ACL处理流程，查找匹配的ACL表项，这里查找到匹配的表项，获取ACL表项的action，根据这个action去掉报文的丢弃行为，并将报文上送CPU。

但是由于上层系统使用ACL的业务非常多，导致ACL资源紧张，MACsec处理UnControlled Port上的报文时候再占用一次，使资源使用更加紧张，因此，需要提出一种对UnControlled Port上的报文进行处理的新的技术方案。

发明内容

本发明的目的在于克服现有技术的缺陷，提供一种MACsec非受控端口报文的处理方法及装置。

为实现上述目的，本发明提出如下技术方案：一种MACsec非受控端口报文的处理方法，包括：

S1，MACsec端口收到报文后，解析报文中的信息，判断是否是MACsec报文，若否，则进入S2；

S2，将报文置上非受控端口报文特征，并进入L2 PDU模块中进行报文匹配，若匹配到，则进入S3，所述L2 PDU模块为二层协议数据单元模块；

S3，将报文上送CPU。

优选地，S2中，所述L2 PDU模块中的报文匹配过程包括：

S21，L2 PDU模块使能PDU自动识别模式，读取报文中的匹配字段与L2 PDU模块中相应类型的协议报文进行一一匹配，若匹配到，则根据匹配结果进入所述S3，若未匹配到，则继续进入S22；

S22，L2 PDU模块使能PDU CAM查找模式，将报文中的匹配字段与用户配置的CAM进行比较，若匹配到，则使用CAM比较结果进入所述S3。

优选地，若PDU自动识别模式和PDU CAM查找模式都匹配到，则优先使用PDU自动识别模式出的匹配结果。

优选地，S21和S22中的，所述匹配字段为以太网类型和/或MAC目的地址。

优选地，S1中，若判断是MACsec报文，则将报文置上受控端口报文特征，并将报文送入MACsec引擎解密，进行报文正常转发。

优选地，S1中，若报文的入端口不是MACsec端口，则将报文正常转发。

优选地，S1中，所述MACsec端口解析报文中的信息，得到报文的以太网类型，通过所述以太网类型判断报文是否是MACsec报文。

优选地，判断以太网类型是否为0x88e5，若是，则为MACsec报文，若否，则不为MACsec报文。

优选地，S2中，若未匹配到，则将报文丢弃。

本发明还揭示了另外一种技术方案：一种MACsec非受控端口报文的处理装置，包括：

报文解析模块，用于在MACsec端口收到报文后，解析报文中的信息，判断是否是MACsec报文，若否，则进入报文匹配模块；

报文匹配模块，其包括L2 PDU模块，所述报文匹配模块用于将报文置上非受控端口报文特征，并进入L2 PDU模块中进行报文匹配，若匹配到，则进入报文上送模块，所述L2PDU模块为二层协议数据单元模块；

报文上送模块，用于将报文上送CPU。

本发明的有益效果是：本发明使用PDU(Protocol Data Unit，协议数据单元)查找来识别匹配UnControlled Port来的协议报文，实现可以不使用ACL来匹配协议报文，有效的缓解了ACL的使用资源，使资源使用更加合理。

附图说明

图1是本发明方法的流程示意图；

图2是本发明步骤S2的具体流程示意图。

具体实施方式

下面将结合本发明的附图，对本发明实施例的技术方案进行清楚、完整的描述。

本发明所揭示的一种MACsec非受控端口报文的处理方法及装置，可以不使用ACL来匹配协议报文，而使用PDU(Protocol Data Unit，协议数据单元)查找来识别匹配UnControlled Port来的协议报文，有效的缓解了ACL的使用资源，使资源使用更加合理。

如图1所示，本发明所揭示的一种MACsec非受控端口报文的处理方法，包括以下步骤：

S1，MACsec端口收到报文后，解析报文中的信息，判断是否是MACsec报文，若否，则进入S2。

具体地，当报文被使能了MACsec的端口(即MACsec端口)收到后，MACsec端口会去解析报文中的信息，得到所需的信息，本实施例中，得到报文的以太网类型(EtherType)，通过该以太网类型判断报文是否是MACsec报文。具体地，判断报文的以太网类型是否等于0x88e5，若是，则认为是一个MACsec报文，则将报文置上(即标记上)受控端口报文(Controlled Port Pkt)特征，即标志该报文是MACsec的受控端口报文，并将报文送入MACsec引擎解密，解密后进行报文正常转发。

反之，若判断报文的以太网类型不等于0x88e5，并进入下述步骤S2。

另外，若当报文被非MACsec端口收到后，则将报文进行正常转发。其中，MACsec引擎解密过程及报文正常转发过程不是本发明所想保护的，所以不做细述。

S2，将报文置上非受控端口报文特征，并进入L2 PDU模块中进行报文匹配，若匹配到，则进入S3。

结合图2所示，具体地，若判断报文的以太网类型不等于0x88e5，则将报文置上非受控端口报文(UnControlled Port Pkt)特征，绕过MACsec引擎解密，进入L2 PDU模块。

在L2 PDU模块中，对于一些常见的PDU，如：BPDU(Bridge Protocol Data Unit，桥接协议数据单元)、EAPOL(Extensible Authentication Protocol Over LAN，基于局域网的扩展认证协议)、ISIS(Intermediate System-to-Intermediate System,中间系统到中间系统)、LLDP(链路层发现协议)等，L2 PDU模块会使能PDU自动识别模式，且优先级最高。

具体地，L2 PDU模块会读取报文中的匹配字段与相应类型的协议报文(即上述所列的BPDU报文、EAPOL报文、ISIS报文或LLDP等)进行一一匹配，若匹配到了，则根据匹配结果将报文上送给CPU，即进入下述步骤S3。本实施例中，这里的匹配字段可以是报文的MAC目的地址(MacDa)和/或者是以太网类型(EtherType)。如：BPDU报文可以匹配MacDa(0180c2000000)，EAPOL报文可以匹配EtherType(0x888E)，LLDP报文可以匹配EtherType(0x88CC)，ISIS报文可以匹配EtherType(0x22F4)。

若没有匹配到，则L2 PDU模块可以使能PDU CAM查找模式，具体地，用户基于报文的MAC地址和/或基于报文的EtherType，预先在CAM里配置想要上送CPU报文的类型(这里的类型包括上述所列的BPDU报文、EAPOL报文、ISIS报文或LLDP等)，报文进入L2 PDU模块后，通过查找配置后的CAM表，将报文中的匹配字段与用户配置的CAM进行比较，若匹配到且该CAM表项被使能，则使用CAM比较结果将报文上送给CPU，即同样进入下述步骤S3。也就是说，不管是自动识别匹配还是通过查找CAM表查找匹配，一旦匹配到了就将该类报文上送给CPU。

另外，若上述PDU自动识别模式和PDU CAM查找模式都匹配到，则优先使用PDU自动识别模式出的匹配结果；若两种模式下都没有匹配到，说明这个报文不是协议报文，则将该报文丢弃。

S3，将报文上送CPU。

对应的，本发明所揭示的一种MACsec非受控端口报文的处理装置，包括：

报文解析模块，用于在MACsec端口收到报文后，解析报文中的信息，判断是否是MACsec报文，若否，则进入报文匹配模块。

报文匹配模块，其包括L2 PDU模块，所述报文匹配模块用于将报文置上非受控端口报文特征，并进入L2 PDU模块中进行报文匹配，若匹配到，则进入报文上送模块。

报文上送模块，用于将报文上送CPU。

其中，报文解析模块和报文匹配模块的工作原理可参照上述步骤S1和S2中的具体描述，这里不做赘述。

综上，本发明基于L2PDU匹配查找对报文的特征进行识别和动作处理，对于一些从UnControlled Port上来的常见的协议报文可以直接自动识别出转发行为；对于一些不常见的协议报文可以基于报文的MacDa和EtherType，通过查找CAM表，把报文的相关匹配字段和用户配的CAM进行比较，若匹配成功并且CAM被使能，则使用CAM出的转发行为处理报文，因不使用ACL来匹配协议报文，所以可以有效的缓解了ACL的使用资源，使资源使用更加合理。且CAM表可以基于硬件快速转发，具有存储数据和并行数据查找的功能。

本发明的技术内容及技术特征已揭示如上，然而熟悉本领域的技术人员仍可能基于本发明的教示及揭示而作种种不背离本发明精神的替换及修饰，因此，本发明保护范围应不限于实施例所揭示的内容，而应包括各种不背离本发明的替换及修饰，并为本专利申请权利要求所涵盖。