本發(fā)明涉及一種互聯(lián)網(wǎng)安全技術領域，尤其涉及一種應用在交換機上的對交換機入口的報文進行加密或者解密的加密和解密芯片。

背景技術：

以太網(wǎng)以其靈活、低成本等特點，已成為當今寬帶接入技術的主流，以太網(wǎng)安全也成為人們研究的焦點。在目前較廣泛使用的以太網(wǎng)安全技術中，數(shù)據(jù)加密技術是其基石。

2005年5月公布的IEEE802.1ae介質訪問控制安全(MACsec)協(xié)議為以太網(wǎng)保護提供了封裝和加密框架，它將安全保護集成到有線以外網(wǎng)中，對幀數(shù)據(jù)進行加密，通過識別局域網(wǎng)上的非授權站點，保護局域網(wǎng)不收被動接線、假冒、中間人以及某些拒絕服務等的攻擊，保證了通信安全。

工作在數(shù)據(jù)鏈路層中的交換機，為了保證網(wǎng)絡信息不被竊取，對進入交換機的報文進行加密和解密的處理，通常的，交換機加密是基于每個端口進行加密和機密的處理，導致交換機開銷較大，增加成本。

技術實現(xiàn)要素：

本發(fā)明的目的在于克服現(xiàn)有技術的缺陷，提供一種應用在交換機上的加密和解密芯片，只需要一個本發(fā)明所述的加密和解密芯片，就能夠實現(xiàn)多個端口的加密和解密的處理，無需額外增加加密和解密芯片。

為實現(xiàn)上述目的，本發(fā)明提出如下技術方案：一種加密和解密芯片，包括入方向處理模塊、調度模塊、出方向處理模塊，以及802.1ae加密和解密引擎模塊，所述調度模塊的一端與入方向處理模塊相連接，另一端與出方向處理模塊相連接，所述802.1ae加密和解密引擎模塊的一端與出方向處理模塊，另一端與入方向處理模塊相連接，所述入方向處理模塊、調度模塊、出方向處理模塊，以及802.1ae加密和解密引擎模塊形成一環(huán)回回路對報文進行環(huán)回處理。

優(yōu)選地，所述入方向處理模塊對報文內容進行查找，獲取轉發(fā)行為和編輯行為。

優(yōu)選地，所述調度模塊對進入調度模塊的報文進行隊列調度、復制，以及緩沖器管理。

優(yōu)選地，所述出方向處理模塊主要對進入出方向處理模塊的報文進行編輯，轉發(fā)。

優(yōu)選地，所述802.1ae加密和解密引擎模塊對報文進行加密或者解密處理。

一種加密和解密芯片的實現(xiàn)方法，所述方法包括：

S201，待加密的報文，通過入方向處理模塊到達802.1ae加密和解密引擎模塊實現(xiàn)加密；

S202，待解密的報文，通過入方向處理模塊到達802.1ae加密和解密引擎模塊塊實現(xiàn)解密。

更進一步的，所述加密包括以下步驟：

S301，入方向處理模塊對報文進行查表處理，獲取所述報文的轉發(fā)行為和編輯行為，通過調度模塊將所述報文送入至出方向處理模塊；

S302，所述出方向處理模塊根據(jù)編輯行為編輯報文，根據(jù)轉發(fā)行為判斷所述報文是需要加密，若需要加密，則執(zhí)行S303～S305，否則，將報文轉發(fā)出去。

S303，對需要加密的報文，送入802.1ae加密和解密引擎模塊進行加密處理，加密后的報文再次送入入方向處理模塊。

S304，所述入方向處理模塊將加密后的報文通過調度模塊再次送入出方向處理模塊進行轉發(fā)；

S305，所述出方向處理模塊對加密后的報文直接轉發(fā)出去。

更進一步的，所述解密包括以下步驟：

S401，入方向處理模塊對進入的報文進行判斷是否需要解密，若需要則執(zhí)行S402，否則查找后轉發(fā)；

S402，通過調度模塊和出方向處理模塊送入至802.1ae加密和解密引擎模塊，進行解密；

S403，解密后的報文送入入方向處理模塊，進行查表，通過調度模塊，送入至出方向處理模塊。

S404，出方向處理模塊對報文編輯后轉發(fā)出去。

優(yōu)選地，所述出方向模塊將報文的出端口信息送入802.1ae加密和解密引擎模塊中。

本發(fā)明的有益效果是：

本發(fā)明所述的應用在交換機上的加密和解密芯片，只需在加密和解密芯片中加入802.1ae加密和解密引擎模塊，就能夠對報文進行集中處理，對進入加密和解密芯片中的報文進行相應的加密或者解密操作。減少加解密引擎帶來的開銷、減少成本。

附圖說明

圖1是本發(fā)明的加解密芯片內部邏輯框圖示意圖；

圖2是本發(fā)明的加解密芯片實現(xiàn)方法流程圖示意圖；

圖3是本發(fā)明的加解密芯片的加密方法流程圖示意圖；

圖4是本發(fā)明的加解密芯片的解密方法流程圖示意圖。

具體實施方式

下面將結合本發(fā)明的附圖，對本發(fā)明實施例的技術方案進行清楚、完整的描述。

本發(fā)明所揭示的一種交換機上使用的加密和解密芯片，主要利用802.1ae加密和解密引擎對進入交換機的報文進行加密和解密處理。在交換機上只需要一個本發(fā)明所述的加密和解密芯片，就能夠支持多個端口的加密和解密的處理，無需額外增加加密和解密芯片。

如圖1所示，本發(fā)明所述的加密和解密芯片，包括入方向處理模塊、調度模塊、出方向處理模塊，以及802.1ae加密和解密引擎模塊，其中，

所述入方向處理模塊與調度模塊相連接，入方向處理模塊對進入的報文進行相應的處理，送入調度模塊；

更進一步的，所述入方向處理模塊對報文內容進行查找，獲取轉發(fā)行為和編輯行為；

所述調度模塊的一端與入方向處理模塊相連接，另一端與出方向處理模塊相連接，所述調度模塊對入方向處理模塊處理后的報文做進一步的處理，調度模塊處理后的報文送入至出方向處理模塊，做后續(xù)處理；

更進一步的，所述調度模塊對進入調度模塊的報文進行隊列調度、復制，以及緩沖器管理。

所述出方向處理模塊的一端與調度模塊相連接，另一端與802.1ae加密和解密模塊相連接，所述出方向處理模塊對調度模塊輸出的報文做后續(xù)處理，將需要加密或解密的報文送入802.1ae加密和解密模塊中進行加密或解密處理，否則，直接轉發(fā)出去。

更進一步的，所述出方向處理模塊對進入出方向處理模塊的報文進行編輯，轉發(fā)。

所述802.1ae加密和解密模塊的一端與出方向處理模塊相連接，另一端與入方向處理模塊相連接，802.1ae加密和解密模塊將出方向處理模塊中的需要加密或者需要解密的報文，加密或者解密之后直接送入入方向處理模塊，入方向處理模塊將加密或者解密后的報文進一步處理。

在上述加密和解密芯片中，其工作原理可以理解為：需要解密的報文，經(jīng)過入方向處理模塊后，直接被送入出方向處理模塊，出方向處理模塊將報文送入802.1ae加密和解密模塊進行解密，解密后送入入方向處理模塊，入方向處理模塊再次送入出方向處理模塊，進行轉發(fā)；需要加密的報文，經(jīng)過入方向處理模塊處理后，送入出方向處理模塊，出方向處理模塊判斷需要加密，則直接送入802.1ae加密和解密引擎模塊進行加密，加密后進入入方向處理模塊，入方向處理模塊再次送入出方向處理模塊，進行轉發(fā)。所述工作原理主要采用環(huán)回機制對需要加密或者解密的報文進行處理。

本發(fā)明所述的加密和解密芯片，利用802.1ae加密和解密引擎對報文進行解密和解密處理，且只需要一個加密和解密芯片，無需因為端口的增加而增加加密和解密芯片的數(shù)量。本發(fā)明所述的加密和解密芯片能夠代替以太網(wǎng)PHY芯片，并且能夠支持光接口加解密。

本發(fā)明還提供了一種加密和解密芯片的實現(xiàn)方法，結合圖2所示，一種加密和解密芯片加密和解密的實現(xiàn)方法流程圖，所述方法具體包括：

S201，待加密的報文，通過入方向處理模塊到達加解密模塊實現(xiàn)加密；

S202，待解密的報文，通過入方向處理模塊到達加解密模塊實現(xiàn)解密。

具體的，待加密的報文，也就是需要加密的明文，送入入方向處理模塊后，經(jīng)過入方向處理模塊的處理，送入到802.1ae加密和解密引擎模塊中，實現(xiàn)對報文的加密，加密后的報文再次送入到入方向處理模塊處理。

待解密的報文，送入入方向處理模塊處理，處理后的報文送到802.1ae加密和解密引擎模塊中進行解密，解密后的報文再次送入到入方向處理模塊進行處理。

更進一步的，如圖3所示，所述加解密方法中加密方法具體包括：

S301，入方向處理模塊對報文進行查表處理，獲取所述報文的轉發(fā)行為和編輯行為，通過調度模塊將所述報文送入至出方向處理模塊；

S302，所述出方向處理模塊根據(jù)編輯行為編輯報文，根據(jù)轉發(fā)行為判斷所述報文是需要加密，若需要加密，則執(zhí)行S303～S305，否則，將報文轉發(fā)出去。

S303，對需要加密的報文，送入802.1ae加密和解密引擎模塊進行加密處理，加密后的報文再次送入入方向處理模塊；

S304，所述入方向處理模塊將加密后的報文通過調度模塊再次送入出方向處理模塊進行轉發(fā)；

S305，所述出方向處理模塊對加密后的報文直接轉發(fā)出去。

具體的，明文進入入方向處理模塊后首先進行查表，獲取后續(xù)的轉發(fā)行為和編輯行為，通過調度模塊對報文調度后，送入出方向處理模塊。在出方向模塊上對報文進行編輯處理，同時判斷所述報文是否需要加密處理，報文需要加密處理，此時，通過加密和解密芯片內的特殊通道將報文送入至802.1ae加密和解密引擎模塊中，同時把出端口的相關信息送給802.1ae加密和解密引擎模塊。在802.1ae加密和解密引擎模塊中，根據(jù)出端口信息對當前報文做加密處理，加密后的報文通過環(huán)回接口再次進入至入方向處理模塊，同時把第一次的出端口信息送給入方向處理模塊。入方向處理模塊收到加密后的報文，根據(jù)報文附帶的處理信息(出端口相關信息)，可知該報文已經(jīng)過加密處理，并且加密后的報文無需再執(zhí)行查表，只需要根據(jù)報文附帶的處理信息，通過調度模塊轉發(fā)至出方向處理模塊，所述出方向處理模塊，對加密后的報文從網(wǎng)口正常轉發(fā)出去。

如圖4所示，所述加解密方法中解密方法具體包括：

S401，入方向處理模塊對進入的報文進行判斷是否需要解密，若需要則執(zhí)行S402，否則查找后轉發(fā)；

S402，通過調度模塊和出方向處理模塊送入至802.1ae加密和解密引擎模塊，進行解密；

S403，解密后的報文送入入方向處理模塊，進行查表，通過調度模塊，送入至出方向處理模塊。

S404，出方向處理模塊對報文編輯后轉發(fā)出去。

具體的，入方向處理模塊收到已加密的報文，根據(jù)入端口的配置，得知此時入方向處理模塊收到的是一個已經(jīng)加密的報文，根據(jù)入端口的配置，得知當前報文需要被解密。所以不做任何查表動作，直接送給出方向處理模塊。在出方向處理模塊中，得知當前報文需要解密，因此送入802.1ae加密和解密引擎模塊，相關解密信息通過處理信息一并送入。在802.1ae加密和解密引擎模塊中，根據(jù)隨報文帶過來的入端口信息做解密處理，將解密后的明文報文再次環(huán)回送給入方向處理模塊。入方向處理模塊收到這個報文后，可知此報文已經(jīng)解密，因此對此報文做正常的查表操作，并將其直到送給出方向處理模塊。在出方向處理模塊中，根據(jù)出端口的配置得知當前報文是否需要加密。如果不需要加密，則直接轉發(fā)出去即可；如果需要加密，則需要重復上述加密的過程。

本發(fā)明所述的應用在交換機上的加密和解密芯片，只需在加密和解密芯片中加入802.1ae加密和解密引擎模塊，就能夠對報文進行集中處理。對進入加密和解密芯片中的報文進行相應的加密或者解密操作。

本發(fā)明的技術內容及技術特征已揭示如上，然而熟悉本領域的技術人員仍可能基于本發(fā)明的教示及揭示而作種種不背離本發(fā)明精神的替換及修飾，因此，本發(fā)明保護范圍應不限于實施例所揭示的內容，而應包括各種不背離本發(fā)明的替換及修飾，并為本專利申請權利要求所涵蓋。