[发明专利]实现Cloudsec的方法及装置

说明书

本发明提供一种实现Cloudsec的方法和装置，所述方法包括：加密流程和解密流程；所述加密流程包括：基于UDP协议将报文封装为VXLAN报文，且在封装过程中，将UDP协议中的dest port修改为预设标识，所述预设标识用于标识封装后的报文为VXLAN加密报文；将VXLAN报文发送至Macsec Engine进行内层加密；所述解密流程包括：预解析报文，判断该报文是否携带所述预设标识，若是，则将报文发送至Macsec Engine进行正常解密后，再进行转发，若否，直接转发。本发明的实现Cloudsec的方法和装置，在对报文加密解密过程中，无需芯片做loopback处理，本发明通过更改UDP dest port值来标识报文是否需要解密，如此，在解密过程中，不会降低带宽，可满足大数据下cloudsec的功能。

技术领域

本发明属于集成电路设计领域，主要涉及一种实现Cloudsec的方法和装置。

背景技术

Cloudsec表示VXLAN隧道加密解密，当前vxlan隧道主流加密解密方案是采用MACsec进行安全加密解密，该方式是在内层报文里面增加额外的MACsec头，为了采用MACsec方式，传统的芯片解密方案都需要进行loopback，即先基于流匹配来确定需要解密，然后再loopback进入Macsec Engine进行解密，解密完之后再进行正常的解封装并正常转发；其中，VXLAN:表示虚拟扩展局域网，Macsec Engine表示MAC层数据加密解密机制。

如图1所示，现有技术中一种实现Cloudsec的方法的架构示意图，芯片首先对报文进行解析，如果是vxlan报文，则根据ipda进行查找，如果具有匹配结果，则loopback到Macsec Engine进行解密，并且重新解析报文，然后解封装转发；如果匹配不到结果，则进行透传；现有技术主要的核心方案为需要loopback，然而，该种方式虽然可以对报文进行加密解密，但是极大的浪费芯片带宽，具体的，该种方式会导致芯片带宽减少一半，如此，现有技术不能满足大数据中心的应用场景。

发明内容

为解决上述技术问题，本发明的目的在于提供一种实现Cloudsec的方法和装置。

为了实现上述发明目的之一，本发明一实施方式提供一种实现Cloudsec的方法，所述方法包括：加密流程和解密流程；

所述加密流程包括：

基于UDP协议将报文封装为VXLAN报文，且在封装过程中，将UDP协议中的destport修改为预设标识，所述预设标识用于标识封装后的报文为VXLAN加密报文；

将VXLAN报文发送至Macsec Engine进行内层加密；

所述解密流程包括：

预解析报文，判断该报文是否携带所述预设标识，若是，则将报文发送至MacsecEngine进行正常解密后，再进行转发，若否，直接转发。

作为本发明一实施方式的进一步改进，加密流程中，所述方法还包括：基于IPsec加密方式对发送至Macsec Engine的VXLAN报文进行内层加密。

作为本发明一实施方式的进一步改进，解密流程中，预解析报文具体包括：解析报文，仅获取报文携带的IP信息和UDP信息。

作为本发明一实施方式的进一步改进，解密流程中，“预解析报文，判断该报文是否携带所述预设标识”具体包括：

通过芯片接收并预解析报文，判断接收到的报文是否为UDP报文，若是，则继续判断当前报文是否携带所述预设标识。

作为本发明一实施方式的进一步改进，解密流程中，若确认当前报文携带所述预设标识，则获取报文携带的ipda进行TCAM查找，若存在匹配结果，则将报文发送至MacsecEngine进行正常解密后，再进行转发。