專利名稱:用于計(jì)算機(jī)聯(lián)網(wǎng)的系統(tǒng)和方法
技術(shù)領(lǐng)域:
本發(fā)明涉及計(jì)算機(jī)聯(lián)網(wǎng)�����,更具體地說���,涉及一種用于通過非MACSec(媒 體訪問控制安全)節(jié)點(diǎn)隧道傳輸MACSec數(shù)據(jù)包的方法和系統(tǒng)��。
背景技術(shù):
計(jì)算機(jī)網(wǎng)絡(luò)是通過傳輸介質(zhì)通信連接的用于傳送信息的兩個(gè)或更多處 理節(jié)點(diǎn)的集合��。大多數(shù)網(wǎng)絡(luò)遵循開放式系統(tǒng)互聯(lián)(OSI)參考模型提供的分 層結(jié)構(gòu)��。OSI參考提供7層結(jié)構(gòu),其包括應(yīng)用層(層7)�����、表示層(層6)����、會 話層(層5)、傳輸層(層4)�����、網(wǎng)絡(luò)層(層3)、數(shù)據(jù)鏈路層(層2)和物理層 (層1)����。其涵蓋的層7到層5可包括上層協(xié)議,而層4到層1可包括下層協(xié) 議�����。某些網(wǎng)絡(luò)可使用7個(gè)層中的一部分�����。例如����,TCP/IP模型或以太網(wǎng)參考模 型一般使用5層模型,其包括應(yīng)用層(層7)����、傳輸層(層4)、網(wǎng)絡(luò)層(層3)�、 數(shù)據(jù)鏈路層(層2)和物理層(層l)?�?蓪⑦@5層分為相當(dāng)明確的任務(wù)組或 服務(wù)組。
層7���,應(yīng)用層�, 一般用于支持網(wǎng)絡(luò)應(yīng)用��,如網(wǎng)絡(luò)瀏覽器和電郵客戶端程 序�。并且其一般在終端系統(tǒng)的軟件中運(yùn)行,如個(gè)人計(jì)算機(jī)和服務(wù)器��。典型的 層5協(xié)議包括HTTP以支持環(huán)球網(wǎng)���,且包括SMTP以支持電子郵件��。
層6���,表示層, 一般用于標(biāo)記可能在部分不同或完全不同的系統(tǒng)之間發(fā) 生的任何數(shù)據(jù)格式差異�。表示層定義體系結(jié)構(gòu)無關(guān)的數(shù)據(jù)傳輸格式�����,并可實(shí) 現(xiàn)數(shù)據(jù)的編碼����、解碼����、加密���、解密��、壓縮和/或解壓縮��。
層5�,會話層�����, 一般用于管理用戶會話����。在這一點(diǎn)上,會話層可用于控 制用戶之間邏輯鏈路的建立和終止���。會話層也可用于提供上層錯(cuò)誤的處理和 報(bào)告���。
層4�,傳輸層����, 一般用于在應(yīng)用程序的客戶機(jī)和服務(wù)器側(cè)之間傳送應(yīng)用
層信息。在這一點(diǎn)上���,傳輸層可用于管理網(wǎng)絡(luò)中消息的端到端傳輸��。傳輸層 可包括各種錯(cuò)誤恢復(fù)和/或流程控制機(jī)制�,用于提供可靠的信息傳輸�����。到目前 為止�,在以太網(wǎng)中兩種最常用的層4協(xié)議是用于互聯(lián)網(wǎng)中的傳輸控制協(xié)議
(TCP)和用戶數(shù)據(jù)報(bào)協(xié)議(UDP)。
層3�����,網(wǎng)絡(luò)層���, 一般用于確定怎樣在網(wǎng)絡(luò)設(shè)備之間傳輸數(shù)據(jù)?��?筛鶕?jù)唯 一的網(wǎng)絡(luò)地址傳送數(shù)據(jù)����。在這一點(diǎn)上,網(wǎng)絡(luò)層可在終端系統(tǒng)之間傳送如數(shù)據(jù) 報(bào)��。如因特網(wǎng)協(xié)議��,定義了數(shù)據(jù)報(bào)的格式和內(nèi)容�����,且可在結(jié)合任意數(shù)量的路 由協(xié)議的層3中執(zhí)行�����,所述路由協(xié)議可在沿著從一個(gè)終端系統(tǒng)到另一個(gè)終端 系統(tǒng)的數(shù)據(jù)報(bào)的路徑上的不同節(jié)點(diǎn)(如路由器和橋接器等設(shè)備)中執(zhí)行�。
層2,數(shù)據(jù)鏈路層�����, 一般用于將數(shù)據(jù)包從一個(gè)節(jié)點(diǎn)轉(zhuǎn)移到另一個(gè)節(jié)點(diǎn)�。 數(shù)據(jù)鏈路層定義了用于運(yùn)行通信鏈路的各種步驟和機(jī)制,且可實(shí)現(xiàn)如網(wǎng)絡(luò)內(nèi) 部數(shù)據(jù)包的組幀�。數(shù)據(jù)鏈路層可用于數(shù)據(jù)包錯(cuò)誤的檢測和/或校正��。以太網(wǎng) (IEEE 802.3)協(xié)議是現(xiàn)代計(jì)算機(jī)網(wǎng)絡(luò)中常用的鏈路層協(xié)議��。
層l�,物理層���, 一般用于定義物理構(gòu)件�����,所述構(gòu)件包括使用網(wǎng)絡(luò)設(shè)備在 通信媒介上通過網(wǎng)絡(luò)設(shè)備傳輸數(shù)據(jù)的光學(xué)�、電學(xué)和/或機(jī)械構(gòu)件�����。將來自層2 的比特流轉(zhuǎn)換為用于在介質(zhì)上傳輸?shù)囊幌盗形锢硇盘?�。例如���,?技術(shù)(如 以太網(wǎng))可根據(jù)信號是在雙絞線或是在空氣中傳送����,執(zhí)行多個(gè)層l協(xié)議。
在層2���,現(xiàn)今的企業(yè)網(wǎng)主要基于正EE 802.3以太網(wǎng)技術(shù)。雖然以太網(wǎng)為 企業(yè)提供無處不在的和成本較低的網(wǎng)絡(luò)連接����,但是在對所述網(wǎng)絡(luò)的接入控制 卻不是很有效。盡管IEEE試圖改進(jìn)使用IEEE 802.1x標(biāo)準(zhǔn)的有線以太網(wǎng)的接 入控制���,但是由于種種原因這個(gè)標(biāo)準(zhǔn)并沒有受到普遍的認(rèn)同�����。其中的一個(gè)負(fù) 面原因涉及僅僅當(dāng)用戶開始使用網(wǎng)絡(luò)時(shí)��,IEEE 802.1x布線才實(shí)際有效且其遵 循每個(gè)端口一個(gè)設(shè)備的模式�。當(dāng)支持每個(gè)端口模式多于一個(gè)設(shè)備時(shí)����,沒有對 每個(gè)數(shù)據(jù)包的確認(rèn),也沒有任何執(zhí)行接入控制的標(biāo)準(zhǔn)方法��。賣方僅為后者提 供非標(biāo)準(zhǔn)構(gòu)件�����,前者仍然不能實(shí)現(xiàn)。
IEEE標(biāo)準(zhǔn)802.1ae�����、 802.1af和802.1ar構(gòu)成了用于以太網(wǎng)網(wǎng)絡(luò)接入控制 的新構(gòu)架����。這三個(gè)標(biāo)準(zhǔn)構(gòu)成了基于現(xiàn)有IEEE S02.1x的接入控制機(jī)制的替代。 正EE 802.1ae (MACSec)標(biāo)準(zhǔn)定義了數(shù)據(jù)鏈路層加密和鑒定機(jī)制��。802.1af
(當(dāng)前正在開發(fā)中)定義了用于802.1ae的控制面板和鍵控協(xié)議���。IEEE 802.1ar (當(dāng)前正在開發(fā)中)定義了網(wǎng)絡(luò)和與網(wǎng)絡(luò)連接的設(shè)備如何鑒別和驗(yàn)證彼此的 身份���。
MACSec通過如下方式在有線以太網(wǎng)中集成安全性識別與LAN連接 的設(shè)備并將所述設(shè)備分類為授權(quán)設(shè)備和未授權(quán)設(shè)備。典型的可識別和分類的 網(wǎng)絡(luò)設(shè)備包括計(jì)算機(jī)�、無線接入點(diǎn)、服務(wù)器��、VOIP電話����、路由器�、交換 器���、橋接器和網(wǎng)絡(luò)集線器����。
雖然MACSec可提供更好的網(wǎng)絡(luò)安全性和可靠性�,但將現(xiàn)有的網(wǎng)絡(luò)升級 成MACSec兼容的卻會出現(xiàn)問題���。在這一點(diǎn)上�,MACSec這樣在數(shù)據(jù)鏈路層 提供網(wǎng)絡(luò)保護(hù)加密以太網(wǎng)幀的數(shù)據(jù)��,在源MAC地址和加密的數(shù)據(jù)之間插 入報(bào)頭(SecTAG)�����,以及在加密數(shù)據(jù)后添加完整性校驗(yàn)值(ICV)����。因此,由 于MACSec幀的SecTAG占據(jù)了在傳統(tǒng)以太網(wǎng)幀中一般用于一個(gè)或多個(gè)虛擬 局域網(wǎng)(VLAN)標(biāo)記的比特位置�,因?yàn)閷ecTAG當(dāng)作VLAN標(biāo)記不恰當(dāng) 的解析,所以非MACSec可用的網(wǎng)絡(luò)節(jié)點(diǎn)將不能處理MACSec幀�����。
比較本發(fā)明后續(xù)將要結(jié)合附圖介紹的系統(tǒng)的各個(gè)特征,現(xiàn)有和傳統(tǒng)技術(shù) 的其它局限性和弊端對于本領(lǐng)域的普通技術(shù)人員來說是顯而易見的��。
發(fā)明內(nèi)容
本發(fā)明提供了 一種用于通過非MACSec節(jié)點(diǎn)隧道傳輸MACSec數(shù)據(jù)包的 系統(tǒng)和/或方法����,結(jié)合至少一幅附圖進(jìn)行了充分的展現(xiàn)和描述,并在權(quán)利要求 中得到了更完整的闡述���。
根據(jù)本發(fā)明的一個(gè)方面��,提供了一種用于計(jì)算機(jī)聯(lián)網(wǎng)的方法����,包括 判定MACSec數(shù)據(jù)包的目的地是否需要經(jīng)過一個(gè)或多個(gè)非MACSec可用
網(wǎng)絡(luò)節(jié)點(diǎn)(MACSec enabled network nodes);以及
基于所述判定����,在所述MACSec數(shù)據(jù)包中插入附加報(bào)頭信息,用于允許 在所述MACSec數(shù)據(jù)包經(jīng)過所述一個(gè)或多個(gè)非MACSec可用節(jié)點(diǎn)時(shí)可以被識 別����。
優(yōu)選地,所述方法進(jìn)一步包括在所述MACSec數(shù)據(jù)包的源MAC地址字段和SecTAG之間插入所述附加報(bào)頭信息�����。
優(yōu)選地,所述附加報(bào)頭信息包括一個(gè)或多個(gè)VLAN標(biāo)記�。
優(yōu)選地,所述附加報(bào)頭信息包括用于識別所述MACSec數(shù)據(jù)包的以太類
型字段���。
優(yōu)選地�,所述方法進(jìn)一步包括解析插入到所述MACSec數(shù)據(jù)包中的附加 報(bào)頭信息���。
優(yōu)選地,所述方法進(jìn)一步包括識別與經(jīng)解析的插入到所述MACSec數(shù)據(jù) 包中的附加報(bào)頭信息相關(guān)的以太類型����。
優(yōu)選地,所述方法進(jìn)一步包括基于所述以太類型���,從所述MACSec數(shù)據(jù) 包的源MAC地址字段和SecTAG字段之間移除所述插入的附加報(bào)頭信息���。
優(yōu)選地,所述方法進(jìn)一步包括基于所述移除的附加報(bào)頭信息生成一個(gè)或 多個(gè)控制比特����。
優(yōu)選地�,所述方法進(jìn)一步包括基于所述生成的一個(gè)或多個(gè)控制比特處理 所逸MACSec數(shù)據(jù)包�。
優(yōu)選地,所述方法進(jìn)一步包括基于一個(gè)或多個(gè)控制比特生成插入到所述 MACSec數(shù)據(jù)包的所述附加報(bào)頭信息�。
優(yōu)選地,包括所述插入的附加報(bào)頭信息的所述MACSec數(shù)據(jù)包可由 MACSec可用節(jié)點(diǎn)識別�。
根據(jù)本發(fā)明的一個(gè)方面,提供了一種機(jī)器可讀儲存��,其內(nèi)存儲的計(jì)算機(jī) 程序包括至少一個(gè)用于計(jì)算機(jī)聯(lián)網(wǎng)的代碼段��,所示至少一個(gè)代碼段由機(jī)器執(zhí) 行而使得所述機(jī)器執(zhí)行如下步驟
判定MACSec數(shù)據(jù)包的目的地是否需要經(jīng)過一個(gè)或多個(gè)非MACSec可用
網(wǎng)絡(luò)節(jié)點(diǎn)��;以及
基于所述判定�����,在所述MACSec數(shù)據(jù)包中插入附加報(bào)頭信息����,用于允許 在所述MACSec數(shù)據(jù)包經(jīng)過所述一個(gè)或多個(gè)非MACSec可用節(jié)點(diǎn)時(shí)可以被識 別。
優(yōu)選地�����,所述的至少一個(gè)代碼段����,用于在所述MACSec數(shù)據(jù)包的源MAC 地址字段和SecTAG之間插入所述附加報(bào)頭信息��。
優(yōu)選地�����,所述附加報(bào)頭信息包括一個(gè)或多個(gè)VLAN標(biāo)記�。 優(yōu)選地���,所述附加報(bào)頭信息包括用于識別所述MACSec數(shù)據(jù)包的以太類 型字段����。
優(yōu)選地�,所述的至少一個(gè)代碼段���,用于解析插入到所述MACSec數(shù)據(jù)包 中的附加報(bào)頭信息����。
優(yōu)選地���,所述的至少一個(gè)代碼段�����,用于識別與經(jīng)解析的插入到所述 MACSec數(shù)據(jù)包中的附加報(bào)頭信息相關(guān)的以太類型�����。
優(yōu)選地����,所述的至少一個(gè)代碼段,用于基于所述以太類型����,從所述 MACSec數(shù)據(jù)包的源MAC地址字段和SecTAG字段之間移除所述插入的附 加報(bào)頭信息。
優(yōu)選地�,所述的至少一個(gè)代碼段,用于基于所述移除的附加報(bào)頭信息生 成一個(gè)或多個(gè)控制比特���。
優(yōu)選地�,所述的至少一個(gè)代碼段���,用于基于所述生成的一個(gè)或多個(gè)控制 比特處理所述MACSec數(shù)據(jù)包��。
優(yōu)選地��,所述的至少一個(gè)代碼段���,用于基于一個(gè)或多個(gè)控制比特生成插 入到所述MACSec數(shù)據(jù)包的所述附加報(bào)頭信息����。
優(yōu)選地�,包括所述插入的附加報(bào)頭信息的所述MACSec數(shù)據(jù)包可由 MACSec可用節(jié)點(diǎn)識別。
根據(jù)本發(fā)明的一個(gè)方面��,提供了一種用于計(jì)算機(jī)聯(lián)網(wǎng)的系統(tǒng)�����,所述系統(tǒng)
包括
至少一個(gè)處理器���,用于判定MACSec數(shù)據(jù)包的目的地是否需要經(jīng)過一個(gè) 或多個(gè)非MACSec可用網(wǎng)絡(luò)節(jié)點(diǎn)��;以及
所述至少一個(gè)處理器��,用于基于所述判定,在所述MACSec數(shù)據(jù)包中插 入附加報(bào)頭信息���,用于允許在所述MACSec數(shù)據(jù)包經(jīng)過所述一個(gè)或多個(gè)非 MACSec可用節(jié)點(diǎn)時(shí)可以被識別�����。
優(yōu)選地����,所述至少一個(gè)處理器,用于在所述MACSec數(shù)據(jù)包的源MAC 地址字段和SecTAG之間插入所述附加報(bào)頭信息�����。
優(yōu)選地�,所述附加報(bào)頭信息包括一個(gè)或多個(gè)VLAN標(biāo)記。
優(yōu)選地����,所述附加報(bào)頭信息包括用于識別所述MACSec數(shù)據(jù)包的以太類 型字段。
優(yōu)選地����,所述的至少一個(gè)處理器,用于解析插入到所述MACSec數(shù)據(jù)包 中的附加報(bào)頭信息���。
優(yōu)選地���,所述的至少一個(gè)處理器�����,用于識別與經(jīng)解析的插入到所述 MACSec數(shù)據(jù)包中的附加報(bào)頭信息相關(guān)的以太類型�����。
優(yōu)選地�����,所述的至少一個(gè)處理器���,用于基于所述以太類型,從所述 MACSec數(shù)據(jù)包的源MAC地址字段和SecTAG之間移除所述插入的附加報(bào)
頭f曰息o
優(yōu)選地�,所述的至少一個(gè)處理器,用于基于所述移除的附加報(bào)頭信息生 成一個(gè)或多個(gè)控制比特��。
優(yōu)選地���,所述的至少一個(gè)處理器���,用于基于所述生成的一個(gè)或多個(gè)控制 比特處理所述MACSec數(shù)據(jù)包。
優(yōu)選地�����,所述的至少一個(gè)處理器����,用于基于一個(gè)或多個(gè)控制比特生成插 入到所述MACSec數(shù)據(jù)包的所述附加報(bào)頭信息。
優(yōu)選地�,包括所述插入的附加報(bào)頭信息的所述MACSec數(shù)據(jù)包可由 MACSec可用節(jié)點(diǎn)識別。
本發(fā)明的各種優(yōu)點(diǎn)����、各個(gè)方面和創(chuàng)新特征,以及其中所示例的實(shí)施例的 細(xì)節(jié)�,將在以下的描述和附圖中進(jìn)行詳細(xì)介紹。
圖1A是根據(jù)本發(fā)明實(shí)施例的以太網(wǎng)數(shù)據(jù)包的典型示意圖1B是根據(jù)本發(fā)明實(shí)施例的VLAN標(biāo)記的以太網(wǎng)數(shù)據(jù)包的典型示意圖
圖1C是根據(jù)本發(fā)明實(shí)施例的MACSec數(shù)據(jù)包的典型示意����; 圖ID是根據(jù)本發(fā)明實(shí)施例的經(jīng)修改的、可以通過MACSec和非MACSec 可用的節(jié)點(diǎn)的MACSec數(shù)據(jù)包的典型示意����;
圖2A是根據(jù)本發(fā)明實(shí)施例的可用于通過MACSec和非MACSec可用的
節(jié)點(diǎn)傳送和接收MACSec數(shù)據(jù)包的網(wǎng)絡(luò)的典型示意;
圖2B是根據(jù)本發(fā)明實(shí)施例的與網(wǎng)絡(luò)200相似的����,包括節(jié)點(diǎn)250的網(wǎng)絡(luò) 的典型示意����,所述節(jié)點(diǎn)可用于通過MACSec和非MACSec可用的節(jié)點(diǎn)傳 送和接收MACSec數(shù)據(jù)包����;
圖3是根據(jù)本發(fā)明實(shí)施例的將MACSec數(shù)據(jù)包傳送到包括MACSec節(jié) 點(diǎn)和非MACSec可用的節(jié)點(diǎn)的網(wǎng)絡(luò)中的典型步驟流程圖4是根據(jù)本發(fā)明實(shí)施例的從包括MACSec節(jié)點(diǎn)和非MACSec可用的 節(jié)點(diǎn)的網(wǎng)絡(luò)中接收MACSec數(shù)據(jù)包的典型步驟流程圖。
具體實(shí)施例方式
本發(fā)明的具體實(shí)施例可涉及一種用于通過非MACSec網(wǎng)絡(luò)節(jié)點(diǎn)隧道傳 輸MACSec數(shù)據(jù)包的方法和系統(tǒng)�����。在這一點(diǎn)上��,本發(fā)明的各個(gè)方面可用于通 過非MACSec可用節(jié)點(diǎn)和MACSec節(jié)點(diǎn)傳送MACSec以太網(wǎng)數(shù)據(jù)包�����。在本 發(fā)明的一個(gè)實(shí)施例中��,在向非MACSec可用節(jié)點(diǎn)傳送MACSec數(shù)據(jù)包之前�, 在MACSec數(shù)據(jù)包中插入附加報(bào)頭信息。因此���,本發(fā)明的各個(gè)方面可用于從 非MACSec可用節(jié)點(diǎn)接收到的數(shù)據(jù)包上移除附加報(bào)頭信息�。為了區(qū)別包括插 入附加報(bào)頭信息的數(shù)據(jù)包,這個(gè)標(biāo)記可包括區(qū)別性以太類型���。
圖1A是根據(jù)本發(fā)明實(shí)施例的以太網(wǎng)數(shù)據(jù)包100a的典型示意圖�。參照圖 1A�,以太網(wǎng)數(shù)據(jù)包包括目的MAC地址字段102��、源MAC地址字段104�、以 太類型字段106、數(shù)據(jù)字段108和幀校驗(yàn)序列(FCS) 110�����。
目的MAC地址字段102可包括用于識別數(shù)據(jù)包送達(dá)的節(jié)點(diǎn)的信息�����。源 MAC地址字段104可包括用于識別生成所述數(shù)據(jù)包的節(jié)點(diǎn)的信息���。以太類 型字段106可包括用于識別數(shù)據(jù)包中傳送的協(xié)議(舉例來說�,IPv4或IPv6) 的信息��。數(shù)據(jù)字段108可包括傳送的數(shù)據(jù)�。FCS IIO可包括可用于為數(shù)據(jù)包 提供錯(cuò)誤檢測的信息����。
在運(yùn)行中��,當(dāng)數(shù)據(jù)包(如100a)到達(dá)網(wǎng)絡(luò)節(jié)點(diǎn)時(shí)�����,該節(jié)點(diǎn)可解析所述數(shù) 據(jù)包的一個(gè)或多個(gè)字段����,以確定將對所述數(shù)據(jù)包采取的行動。在這一點(diǎn)上����, 這個(gè)節(jié)點(diǎn)可以是網(wǎng)絡(luò)交換器,并且所述網(wǎng)絡(luò)交換器可解析目的MAC地址字
段102和源MAC地址字段104以確定向的哪一個(gè)接口轉(zhuǎn)發(fā)所述數(shù)據(jù)包�。選 擇性地,這個(gè)節(jié)點(diǎn)可以是終端系統(tǒng)且可解析以太類型字段106以確定用于上 傳所述數(shù)據(jù)包的網(wǎng)絡(luò)層協(xié)議�����。典型的以太類型包括用于因特網(wǎng)協(xié)議版本4 (IPv4)的0x0800�、用于地址分辨協(xié)議(ARP)的0x0806和用于IPv6的 0x86DD。
圖IB是根據(jù)本發(fā)明實(shí)施例的VLAN標(biāo)記的以太網(wǎng)數(shù)據(jù)包100b的典型 框圖��。參照圖1B, VLAN標(biāo)記的以太網(wǎng)數(shù)據(jù)包可包括插入到源MAC地址之 后和以太類型字段之前的VLAN標(biāo)記112�����。
VLAN標(biāo)記112可包括VLAN以太類型114和標(biāo)記控制信息(TCI)字 段116��。以太類型114可包括數(shù)字標(biāo)志符����,所述數(shù)字標(biāo)志符可用于識別已由 VLAN進(jìn)行標(biāo)記并因此被解析的數(shù)據(jù)包�。典型的數(shù)字標(biāo)志符可包括0x8100。 TCI字段116可包括兩字節(jié)信息����。所述信息可用于確定數(shù)據(jù)包的優(yōu)先級、所 述數(shù)據(jù)包對于以太網(wǎng)和令牌環(huán)網(wǎng)絡(luò)的兼容性����;所述信息還可包括指示所述數(shù) 據(jù)包所屬的VLAN的數(shù)字標(biāo)志符。
在這一點(diǎn)上����,VLAN標(biāo)記的以太網(wǎng)數(shù)據(jù)包100b具有相對于100a有所改
變的結(jié)構(gòu),這樣網(wǎng)絡(luò)節(jié)點(diǎn)需要一種識別接收到的數(shù)據(jù)包格式以適當(dāng)?shù)亟馕鏊?述數(shù)據(jù)包的方法��。因此VLAN以太類型114可用于識別數(shù)據(jù)包的網(wǎng)絡(luò)節(jié)點(diǎn),該 數(shù)據(jù)包可以為VLAN標(biāo)記的數(shù)據(jù)包��。
圖lC是根據(jù)本發(fā)明實(shí)施例的MACSec數(shù)據(jù)包100c的典型示意圖���。參照 圖1C����, MACSec數(shù)據(jù)包100c可包括安全標(biāo)記(SecTAG) 118�、安全數(shù)據(jù)字 段130和完整性校驗(yàn)值(ICV) 140。
可在源MAC地址字段后插入安全標(biāo)記(SecTAG)��,其可包括MACSec 以太類型120�����、 TCI/AN字段122����、 SL字段124、數(shù)據(jù)包數(shù)量字段126和安全 信道標(biāo)識符(SCI)字段128�。 MACSec以太類型120可包括數(shù)字標(biāo)志符, 0x88E5 ���,其可指示數(shù)據(jù)包是MACSec數(shù)據(jù)包���,可相應(yīng)地對其進(jìn)行解析�。TCI/AN 字段122可包括可用于確定數(shù)據(jù)包中使用的MACSec協(xié)議的版本��,還可包括 用于在安全信道上發(fā)送數(shù)據(jù)包的信息���。SL字段124可包括用于確定SecTAG 的最后字節(jié)和ICV140的第一字節(jié)之間的字節(jié)數(shù)量的信息���。數(shù)據(jù)包數(shù)量字段
126可包括單調(diào)遞增值以防止"回放"進(jìn)攻。SCI字段128可包括可用于識 別發(fā)送數(shù)據(jù)包的源地址和端口的信息���。
源數(shù)據(jù)字段130可包括VLAN標(biāo)記132、以太網(wǎng)類型134和數(shù)據(jù)字段136�����。 VLAN標(biāo)記132可包括與圖1A中的VLAN標(biāo)記104類似的信息����,其區(qū)別在 于VLAN標(biāo)記132可加密。以太類型134可包括與圖1A中的以太類型106 類似的信息����,其區(qū)別在于以太類型134可加密�。數(shù)據(jù)字段136可包括與圖1A 中的數(shù)據(jù)字段類108似的信息���,其區(qū)別在于數(shù)據(jù)字段136可加密���。
完整性校驗(yàn)值(ICV) 140可包括可用于校驗(yàn)數(shù)據(jù)包100c完整性的信息。 FCS 138可包括圖1A中的FCS 110類似的信息����。
MACSec數(shù)據(jù)包100c可具有相對于數(shù)據(jù)包100a和100b有所改變的結(jié) 構(gòu),這樣網(wǎng)絡(luò)節(jié)點(diǎn)需要一種識別接收到的數(shù)據(jù)包格式以適當(dāng)?shù)亟馕鏊鰯?shù)據(jù) 包的方法�����。因此����,MACSec以太類型120可向網(wǎng)絡(luò)節(jié)點(diǎn)指示數(shù)據(jù)包是MACSec 數(shù)據(jù)包。但是���,因?yàn)镸ACSec協(xié)議是最近才標(biāo)準(zhǔn)化的����,現(xiàn)有的網(wǎng)絡(luò)中布設(shè)的 大部分網(wǎng)絡(luò)硬件都是與MACSec不兼容的。在這一點(diǎn)上��,硬件可能不承認(rèn) MACSec以太類型120�����,例如08x88E5�,作為有效以太類型,不能適當(dāng)?shù)亟?析MACSec數(shù)據(jù)包(如MACSec數(shù)據(jù)包lOOc)���。
圖ID是根據(jù)本發(fā)明實(shí)施例的經(jīng)修改的�、可以通過MACSec和非MACSec 可用的節(jié)點(diǎn)的MACSec數(shù)據(jù)包100d的典型示意圖����。參照圖1D,所述數(shù)據(jù)包 可包括在源MAC地址字段后插入的附加報(bào)頭信息142�����。
在本發(fā)明的一個(gè)實(shí)施例中��,例如插入的附加報(bào)頭信息142可包括具有 0x8100以太類型的一個(gè)和更多的VLAN標(biāo)記(如VLAN標(biāo)記112)����。照這樣, 當(dāng)數(shù)據(jù)包100d到達(dá)非MACSec可用網(wǎng)絡(luò)節(jié)點(diǎn)時(shí)�,所述節(jié)點(diǎn)可解析0x8100以 太類型并把這個(gè)數(shù)據(jù)包看作VLAN標(biāo)記的以太網(wǎng)數(shù)據(jù)包并可由此轉(zhuǎn)發(fā)這個(gè) 數(shù)據(jù)包。當(dāng)數(shù)據(jù)包到達(dá)MACSec可用網(wǎng)絡(luò)節(jié)點(diǎn)時(shí)���,這個(gè)節(jié)點(diǎn)可解析0x8100 以太類型并把其看作經(jīng)修改以經(jīng)過非MACSec可用網(wǎng)絡(luò)節(jié)點(diǎn)的數(shù)據(jù)包����。因此���, MACSec可用網(wǎng)絡(luò)節(jié)點(diǎn)可在進(jìn)一步解析和處理這個(gè)MACSec數(shù)據(jù)包之前剔除 附加報(bào)頭信息142��。
圖2A是根據(jù)本發(fā)明實(shí)施例的可用于通過MACSec和非MACSec可用的節(jié)點(diǎn)傳送和接收MACSec數(shù)據(jù)包的網(wǎng)絡(luò)的典型示意圖�。參照圖2A�����,典型網(wǎng) 絡(luò)200可包括多個(gè)MACAec可用網(wǎng)絡(luò)202和非MACAec可用網(wǎng)絡(luò)204���。圖2 A的每個(gè)典型網(wǎng)絡(luò)202����、 204可包括計(jì)算機(jī)210�、服務(wù)器212和交換器214��。 圖2示出了傳輸路徑220�、 222和224�。傳輸路徑220可通過交換器214a和 214c將網(wǎng)絡(luò)202a通信連接到網(wǎng)絡(luò)202c�。傳輸路徑222可通過交換器214a和 214b將網(wǎng)絡(luò)202a通信連接到網(wǎng)絡(luò)204����。傳輸路徑224可通過交換器214b和 214c將網(wǎng)絡(luò)204通信連接到網(wǎng)絡(luò)202c。盡管僅描述三個(gè)典型組��,該網(wǎng)絡(luò)可包 括任何數(shù)量和組合的網(wǎng)絡(luò)。因此每個(gè)網(wǎng)絡(luò)可包括任何數(shù)量的計(jì)算機(jī)�、服務(wù)器����、 交換器�、路由器、網(wǎng)絡(luò)集線器和任何其他的網(wǎng)絡(luò)節(jié)點(diǎn)��。
計(jì)算機(jī)210和服務(wù)器212可包括合適的邏輯、電路和/或代碼�����,可用于在 網(wǎng)絡(luò)上生成和交換消息����。在這一點(diǎn)上�����,計(jì)算機(jī)210和服務(wù)器212可生成應(yīng)用 層消息���,所述消息可下傳到網(wǎng)絡(luò)提取層(Network Abstraction Layer)以經(jīng)過 網(wǎng)絡(luò)傳送����。類似地�,計(jì)算機(jī)210和服務(wù)器212可用于從網(wǎng)絡(luò)接收數(shù)據(jù)��,解析 所述數(shù)據(jù)并將其上傳到網(wǎng)絡(luò)提取層���。
交換器214可包括合適的邏輯、電路和/或代碼�����,可用于從網(wǎng)絡(luò)接收以太 網(wǎng)數(shù)據(jù)包�����,解析所述數(shù)據(jù)包以確定所述數(shù)據(jù)包的一個(gè)或多個(gè)目的節(jié)點(diǎn)�,并轉(zhuǎn) 發(fā)所述數(shù)據(jù)包到網(wǎng)絡(luò)中的一個(gè)或多個(gè)節(jié)點(diǎn)�����。在這一點(diǎn)上����,交換器214可執(zhí)行 層2的功能用于解析和壓縮以太網(wǎng)數(shù)據(jù),也可執(zhí)行層1的功能用于在物理媒 介上接收和發(fā)送這些數(shù)據(jù)包的比特�。
在運(yùn)行中,典型的網(wǎng)絡(luò)通信可包括計(jì)算機(jī)210a生成消息并以去向服務(wù) 器212c的一個(gè)或多個(gè)MACSec數(shù)據(jù)包的格式將其發(fā)送到網(wǎng)絡(luò)上�。在這個(gè)典 型通信中,向上到達(dá)交換器214a的MACSec數(shù)據(jù)包����,可選擇兩個(gè)路線中的 一個(gè)以到達(dá)服務(wù)器212c。第一路線(路徑220)包括直接從MACSec可用交 換器214a傳送MACSec數(shù)據(jù)包到MACSec可用交換器214c����。第二路線(路 徑222和224)包括將MACSec數(shù)據(jù)包從MACSec可用交換器214a傳送到 非MACSec可用交換器214b再到MACSec可用交換器214c。
在通過路徑220在交換器214a和214c之間傳送一個(gè)或多個(gè)MACSec數(shù) 據(jù)包的過程中�����,本發(fā)明的各個(gè)方面可使交換器214a確定交換器214c為
MACSec可用節(jié)點(diǎn)�,并使交換器214a傳送MACSec數(shù)據(jù)包而無需在數(shù)據(jù)包 中插入任何附加報(bào)頭信息�。在這一點(diǎn)上����,在路徑220上傳送的數(shù)據(jù)包可是以 數(shù)據(jù)包100c的格式���。因此�,本發(fā)明的各個(gè)方面可使用交換器214c以確定從 交換器214a接收到的數(shù)據(jù)包可是以數(shù)據(jù)包100c的格式,因此交換器214c可 解析所述數(shù)據(jù)包����。
通過路徑222和224在交換器214a和214c間傳送一個(gè)或多個(gè)MACSec 數(shù)據(jù)包的過程中����,本發(fā)明的各個(gè)方面可使用交換器214a以確定交換器214b 是非MACSec可用交換器��,并可在向交換器214b傳送所述數(shù)據(jù)包之前,使 交換器214a在所述數(shù)據(jù)包中插入附加報(bào)頭信息(如圖1D中公開的報(bào)頭信息 142)�����。在這一點(diǎn)上,通過路徑222和224從交換器214a向交換器214c傳送 的數(shù)據(jù)包是以數(shù)據(jù)包100d的格式����。因此,本發(fā)明的各個(gè)方面可使交換器214c 確定從交換器214b接收到的數(shù)據(jù)包是以數(shù)據(jù)包100d的格式�����。在這一點(diǎn)上���, 本發(fā)明的各個(gè)方面可在進(jìn)一步解析和處理所述數(shù)據(jù)包之前���,使用交換器214c 剔除從交換器214b接收到的數(shù)據(jù)包的附加報(bào)頭信息��。在本發(fā)明的一個(gè)典型實(shí) 施例中,所述附加報(bào)頭信息可包括一個(gè)或多個(gè)VLAN標(biāo)記�����。
圖2B是根據(jù)本發(fā)明實(shí)施例的與網(wǎng)絡(luò)200相似的,包括節(jié)點(diǎn)250的網(wǎng)絡(luò) 的典型示意圖���,所述節(jié)點(diǎn)250可用于傳送和接收MACSec數(shù)據(jù)包�。在這一點(diǎn) 上�����,節(jié)點(diǎn)250可看作交換器(如圖2A中公開的交換器214)����。參照圖2B,典 型節(jié)點(diǎn)250可包括存儲器252���、網(wǎng)絡(luò)接口硬件驅(qū)動254和處理器256�。
存儲器252可包括合適的邏輯��、電路和/或代碼,可用于存儲用于處理數(shù) 據(jù)包的信息�����。在這一點(diǎn)上�����,存儲器252可包括用于判定網(wǎng)絡(luò)節(jié)點(diǎn)是否與 MACSec兼容的一個(gè)或多個(gè)査找表/數(shù)據(jù)庫�����;用于確定在MACSec數(shù)據(jù)包中插 入附加報(bào)頭信息的一個(gè)或多個(gè)查找表/數(shù)據(jù)庫���;以及用于生成供處理器256使 用以處理和轉(zhuǎn)發(fā)所述數(shù)據(jù)包的一個(gè)或多個(gè)控制比特����。
NIHW設(shè)備254可包括合適的邏輯��、電路和/或代碼�����,可用于接收和/或 傳送網(wǎng)絡(luò)中的數(shù)據(jù)包����。在這一點(diǎn)上,NIHW設(shè)備254可用于在物理媒介上接 收和傳送比特且可用于向處理器256和/或存儲器252傳輸接收到的比特�。
處理器256可包括合適的邏輯、電路和/或代碼��,可用于使處理器256與
存儲器252交互�,并使NIHW設(shè)備254接收、處理和上傳數(shù)據(jù)包�����。在這一點(diǎn) 上�,所述處理器可向存儲器252和NIHW設(shè)備254提供控制信號和/或指令, 用于使得節(jié)點(diǎn)250接收和發(fā)送格式為圖1中公開的數(shù)據(jù)包100b�、100c和100d
的格式的數(shù)據(jù)包。
在運(yùn)行中�,數(shù)據(jù)包可以物理介質(zhì)上的比特流的格式到達(dá)節(jié)點(diǎn)250。 NIHW 設(shè)備254可接收這些比特并將其傳送到處理器256和/或存儲器252����。處理器 256可解析接收到的數(shù)據(jù)包的以太類型字段,并確定所述數(shù)據(jù)包是否包括 MACSec數(shù)據(jù)包(如數(shù)據(jù)包100c)�����,或包括修改的MACSec數(shù)據(jù)包(如數(shù)據(jù) 包100d)。如果這個(gè)數(shù)據(jù)包的源是MACSec可用��,其以太類型字段可指示這 個(gè)數(shù)據(jù)包為數(shù)據(jù)包100c的格式���。因此處理器可進(jìn)一步解析和處理這個(gè)數(shù)據(jù) 包��。如果該數(shù)據(jù)包的源是非MACSec可用����,這個(gè)以太類型字段可指示這個(gè)數(shù) 據(jù)包為數(shù)據(jù)包100d的格式�。因此,在進(jìn)一步解析和處理該數(shù)據(jù)包之前�,處理 器從該數(shù)據(jù)包中剔除標(biāo)記。因此��,處理器可將從數(shù)據(jù)包上移除的附加報(bào)頭信 息轉(zhuǎn)換為一個(gè)或多個(gè)控制比特�,所述控制比特可用于進(jìn)一步解析和處理該數(shù) 據(jù)包。
當(dāng)將要轉(zhuǎn)發(fā)數(shù)據(jù)包時(shí)�����,處理器可搜索存儲器252��,并判定要到達(dá)目的地 是否需要經(jīng)過網(wǎng)絡(luò)中的非MACSec可用節(jié)點(diǎn)。在這一點(diǎn)上�,例如,處理器可 搜索存儲器252�,查找數(shù)據(jù)包和/或用于傳輸所述數(shù)據(jù)包的外出端口 (egress port)的目的MAC地址����。如果目的數(shù)據(jù)包不需要經(jīng)過非MACSec可用節(jié)點(diǎn), 那么處理器可格式化類似于數(shù)據(jù)包100c的所述數(shù)據(jù)包�,且NIHW設(shè)備254 可發(fā)送該數(shù)據(jù)包到網(wǎng)絡(luò)。如果這個(gè)目的地需要經(jīng)過非MACSec可用節(jié)點(diǎn)��,處 理器將插入附加報(bào)頭信息(如數(shù)據(jù)包100d中的報(bào)頭信息142)�����,且NIHW設(shè) 備254可向網(wǎng)絡(luò)發(fā)送該數(shù)據(jù)包�。在這一點(diǎn)上,處理器可能需要使用一個(gè)或多 個(gè)控制比特或利用存儲器252來確定要插入的附加報(bào)頭信息���,所述控制比特 是在接收的數(shù)據(jù)包時(shí)生成的��。在本發(fā)明的一個(gè)典型實(shí)施例中�,附加報(bào)頭信息 可包括一個(gè)或多個(gè)VLAN標(biāo)記���。
圖3是根據(jù)本發(fā)明實(shí)施例的在包括MACSec節(jié)點(diǎn)和非MACSec可用的 節(jié)點(diǎn)的網(wǎng)絡(luò)(如圖2A中公開的網(wǎng)絡(luò)200)中傳送MACSec數(shù)據(jù)包的過程的
典型步驟流程圖��。參照圖3�,所述過程始于步驟304,在此數(shù)據(jù)包已經(jīng)準(zhǔn)備好 由網(wǎng)絡(luò)節(jié)點(diǎn)(如圖2中的計(jì)算機(jī)210a)傳送�����,這個(gè)過程接著前進(jìn)到步驟306�。 在步驟306中,將判定到達(dá)目的地是否需經(jīng)過網(wǎng)絡(luò)中的非MACSec可用節(jié)點(diǎn) (如交換器2Mb)�����。在確定到達(dá)目的地不需經(jīng)過非MACSec可用節(jié)點(diǎn)的情況 下��,接著處理器將前進(jìn)到步驟310���,在此數(shù)據(jù)包以圖1B中的數(shù)據(jù)包的格式傳 送到網(wǎng)絡(luò)中���。
回到步驟306,在確定到達(dá)目的地需要經(jīng)過非MACSec可用節(jié)點(diǎn)(如交 換器214b)的情況下��,接著這個(gè)過程將前進(jìn)到步驟308�,在步驟308中�����,可 在源MAC地址字段后插入附加報(bào)頭信息(如一個(gè)或多個(gè)VLAN標(biāo)記)�,如 圖1D中的附加報(bào)頭信息所示����。接著步驟308����,整個(gè)過程可前進(jìn)到步驟310。
圖4是根據(jù)本發(fā)明實(shí)施例的在包括MACSec節(jié)點(diǎn)和非MACSec可用的 節(jié)點(diǎn)的網(wǎng)絡(luò)(如圖2A中的網(wǎng)絡(luò)200)中接收MACSec數(shù)據(jù)包的過程的典型 步驟流程圖�����。參照圖4���,這個(gè)過程始于步驟404���,在此在網(wǎng)絡(luò)節(jié)點(diǎn)(如圖2A 中的交換器214c)接收數(shù)據(jù)包,且這個(gè)過程接著將前進(jìn)到步驟406�����。在步驟 406中可基于數(shù)據(jù)包的以太類型判定數(shù)據(jù)包是否來自MACSec可用節(jié)點(diǎn)(如 交換器214a)。在確定數(shù)據(jù)包來自MACSec可用節(jié)點(diǎn)且可為圖1C中公開的 數(shù)據(jù)包格式的情況下�����,這個(gè)過程接著可前進(jìn)到步驟412�,在此可處理該 MACSec數(shù)據(jù)包。在這一點(diǎn)上����,數(shù)據(jù)包的處理可包括解析、解密�����、鑒別���、確 認(rèn)和/或處理所述數(shù)據(jù)包���,用于上傳。
返回步驟406�,在確定數(shù)據(jù)包來自非MACSec可用節(jié)點(diǎn)(如交換器214c) 且可為圖ID中公開的數(shù)據(jù)包格式的情況下,接著這個(gè)過程將前進(jìn)到步驟 408�。在步驟408中,可從數(shù)據(jù)包中移除附加報(bào)頭信息且這個(gè)過程前進(jìn)到步驟 410�。在步驟410中�����,可將移除的附加報(bào)頭信道轉(zhuǎn)換成一個(gè)或多個(gè)控制比特�。 所述比特可用于保護(hù)包括移除的附加報(bào)頭信息的信息�,且這個(gè)過程前進(jìn)到步 驟412。
本發(fā)明的各個(gè)方面可在這樣的方法和系統(tǒng)中找到�,這些方法和系統(tǒng)可用 于判定到達(dá)MACSec數(shù)據(jù)包(如數(shù)據(jù)包100c)的目的地是否需要經(jīng)過一個(gè)或 多個(gè)MACSec可用網(wǎng)絡(luò)節(jié)點(diǎn)(如交換器214b),以及基于上述判定在MACSec數(shù)據(jù)包中插入附加報(bào)頭信息(如數(shù)據(jù)包100d中的報(bào)頭142)����?��?苫趶囊粋€(gè) 或多個(gè)接收到的數(shù)據(jù)包生成的一個(gè)或多個(gè)控制比特��,生成用于插入的附加報(bào) 頭信息142���。插入的附加報(bào)頭信息可允許MACSec可用網(wǎng)絡(luò)節(jié)點(diǎn)和非MACSec 可用網(wǎng)絡(luò)節(jié)點(diǎn)識別MACSec數(shù)據(jù)包。在這一點(diǎn)上����,在本發(fā)明的典型實(shí)施例中, 附加報(bào)頭信息可包括與圖1B中公開的VLAN標(biāo)記112類似的一個(gè)或多個(gè) VLAN標(biāo)記和/或與圖1中公開的以太類型字段104���、 114禾n 134類似的以太 類型字段����,用于識別MACSec數(shù)據(jù)包。
在本發(fā)明的各個(gè)實(shí)施例中���,可如數(shù)據(jù)包100d中所示���,在MACSec數(shù)據(jù) 包中的源MAC地址字段104和SecTAG字段118之間插入附加報(bào)頭信息。 網(wǎng)絡(luò)可解析MACSec數(shù)據(jù)包中插入的附加報(bào)頭信息�,且所述附加報(bào)頭信息可 包括識別插入的報(bào)頭信息的以太類型。照這樣���,本發(fā)明的各種實(shí)施例可基于 識別比特類型移除插入的報(bào)頭142���。可將移除的報(bào)頭信息轉(zhuǎn)換成一個(gè)或多個(gè) 控制比特���,可基于所述控制比特處理MACSec數(shù)據(jù)包����。
因此,本發(fā)明可以通過硬件���、軟件��,或者軟���、硬件結(jié)合來實(shí)現(xiàn)。本發(fā)明 可以在至少一個(gè)計(jì)算機(jī)系統(tǒng)中以集中方式實(shí)現(xiàn)��,或者由分布在幾個(gè)互連的計(jì) 算機(jī)系統(tǒng)中的不同部分以分散方式實(shí)現(xiàn)���。任何可以實(shí)現(xiàn)方法的計(jì)算機(jī)系統(tǒng)或 其它設(shè)備都是可適用的��。常用軟硬件的結(jié)合可以是安裝有計(jì)算機(jī)程序的通用 計(jì)算機(jī)系統(tǒng)���,通過安裝和執(zhí)行程序控制計(jì)算機(jī)系統(tǒng)����,使其按方法運(yùn)行。
本發(fā)明還可以通過計(jì)算機(jī)程序產(chǎn)品進(jìn)行實(shí)施�,程序包含能夠?qū)崿F(xiàn)本發(fā)明方 法的全部特征,當(dāng)其安裝到計(jì)算機(jī)系統(tǒng)中時(shí)���,可以實(shí)現(xiàn)本發(fā)明的方法�。本文 件中的計(jì)算機(jī)程序所指的是可以采用任何程序語言、代碼或符號編寫的一 組指令的任何表達(dá)式����,該指令組使系統(tǒng)具有信息處理能力,以直接實(shí)現(xiàn)特定 功能���,或在進(jìn)行下述一個(gè)或兩個(gè)步驟之后實(shí)現(xiàn)特定功能a)轉(zhuǎn)換成其它語言�、 編碼或符號�����;b)以不同的格式再現(xiàn)��。
雖然本發(fā)明是通過具體實(shí)施例進(jìn)行說明的�����,本領(lǐng)域技術(shù)人員應(yīng)當(dāng)明白��, 在不脫離本發(fā)明范圍的情況下���,還可以對本發(fā)明進(jìn)行各種變換及等同替代��。 另外�����,針對特定情形或材料����,可以對本發(fā)明做各種修改,而不脫離本發(fā)明的 范圍��。因此����,本發(fā)明不局限于所公開的具體實(shí)施例,而應(yīng)當(dāng)包括落入本發(fā)明
權(quán)利要求范圍內(nèi)的全部實(shí)施方式,
權(quán)利要求
1���、一種用于計(jì)算機(jī)聯(lián)網(wǎng)的方法�����,其特征在于�����,包括判定MACSec數(shù)據(jù)包的目的地是否需要經(jīng)過一個(gè)或多個(gè)非MACSec可用網(wǎng)絡(luò)節(jié)點(diǎn);以及基于所述判定,在所述MACSec數(shù)據(jù)包中插入附加報(bào)頭信息����,用于允許在所述MACSec數(shù)據(jù)包在經(jīng)過所述一個(gè)或多個(gè)非MACSec可用節(jié)點(diǎn)時(shí)可以被識別。
2�����、 根據(jù)權(quán)利要求1所述的方法����,其特征在于,包括在所述MACSec數(shù) 據(jù)包的源MAC地址字段和SecTAG之間插入所述附加報(bào)頭信息��。
3���、 根據(jù)權(quán)利要求1所述的方法�����,其特征在于�,所述附加報(bào)頭信息包括 一個(gè)或多個(gè)VLAN標(biāo)記���。
4����、 根據(jù)權(quán)利要求1所述的方法,其特征在于�����,所述附加報(bào)頭信息包括 用于識別所述MACSec數(shù)據(jù)包的以太類型字段�。
5、 根據(jù)權(quán)利要求1所述的方法��,其特征在于��,包括解析插入到所述 MACSec數(shù)據(jù)包中的附加報(bào)頭信息�。
6、 一種機(jī)器可讀儲存����,其內(nèi)存儲的計(jì)算機(jī)程序包括至少一個(gè)用于計(jì)算 機(jī)聯(lián)網(wǎng)的代碼段,其特征在于�����,所示至少一個(gè)代碼段由機(jī)器執(zhí)行而使得所述 機(jī)器執(zhí)行如下步驟判定MACSec數(shù)據(jù)包的目的地是否需要經(jīng)過一個(gè)或多個(gè)非MACSec可用 節(jié)點(diǎn)�����;以及基于所述判定��,在所述MACSec數(shù)據(jù)包中插入附加報(bào)頭信息��,用于允許 在所述MACSec數(shù)據(jù)包經(jīng)過所述一個(gè)或多個(gè)非MACSec可用節(jié)點(diǎn)時(shí)可以被識 別���。
7����、 一種用于計(jì)算機(jī)聯(lián)網(wǎng)的系統(tǒng)�����,其特征在于����,所述系統(tǒng)包括 至少一個(gè)處理器,用于判定MACSec數(shù)據(jù)包的目的地是否需要經(jīng)過一個(gè)或多個(gè)非MACSec可用網(wǎng)絡(luò)節(jié)點(diǎn)���;以及所述至少一個(gè)處理器�����,用于基于所述判定�����,在所述MACSec數(shù)據(jù)包中插入附加報(bào)頭信息����,用于允許在所述MACSec數(shù)據(jù)包經(jīng)過所述一個(gè)或多個(gè)非 MACSec可用節(jié)點(diǎn)時(shí)可以被識別。
8�����、 根據(jù)權(quán)利要求7所述的系統(tǒng)��,其特征在于�����,所述至少一個(gè)處理器�, 用于在所述MACSec數(shù)據(jù)包的源MAC地址字段和SecTAG之間插入所述附 加報(bào)頭信息。
9����、 根據(jù)權(quán)利要求7所述的系統(tǒng),其特征在于���,所述附加報(bào)頭信息包括 一個(gè)或多個(gè)VLAN標(biāo)記��。
10�、 根據(jù)權(quán)利要求7所述的系統(tǒng),其特征在于��,所述附加報(bào)頭信息包括 用于識別所述MACSec數(shù)據(jù)包的以太類型字段�。
全文摘要
本發(fā)明提供了一種用于計(jì)算機(jī)聯(lián)網(wǎng)的方法和系統(tǒng)�����,更具體地���,涉及用于通過非MACSec可用節(jié)點(diǎn)隧道傳輸MACSec數(shù)據(jù)包的方法和系統(tǒng)的各個(gè)方面�。在這一點(diǎn)上���,本發(fā)明的各個(gè)方面可用于在MACSec可用和非MACSec可用網(wǎng)絡(luò)節(jié)點(diǎn)上傳送MACSec以太網(wǎng)數(shù)據(jù)包�����。在本發(fā)明的一個(gè)實(shí)施例中�,可在向非MACSec可用節(jié)點(diǎn)發(fā)送MACSec數(shù)據(jù)包之前��,在所述MACSec數(shù)據(jù)包中插入附加報(bào)頭信息����。因此�,本發(fā)明的各個(gè)方面可移除從非MACSec可用節(jié)點(diǎn)接收到MACSec數(shù)據(jù)包的附加報(bào)頭信息�,并辨別包括插入附加報(bào)頭信息的數(shù)據(jù)包,所述附加報(bào)頭信息可包括區(qū)別性以太類型����。
文檔編號H04L12/56GK101193064SQ20071019388
公開日2008年6月4日 申請日期2007年11月29日 優(yōu)先權(quán)日2006年11月29日
發(fā)明者博拉·阿克約爾 申請人:美國博通公司