[发明专利]一种基于国密算法的以太网数据加解密处理方法

说明书

本发明公开了一种基于国密算法的以太网数据加解密处理方法，将MACSec和/或802.1X中体系中用到的加解密算法替换为国密算法；密钥交互中保护对称密码的算法采用SM2国密或更高级的非对称算法以确保对称密码在传输过程中不被非法获取，数据传输中的加解密算法采用SM4或SM9或更高级的国密加解密算法以确保敏感数据不被非法读取。这种方法相对于采用欧美等国家主导的加解密算法，对行业安全可控，摆脱对国外技术和产品过度依赖，建设自主可控网络安全环境提出有效的解决方案。

技术领域

本发明涉及通信安全技术领域，更具体的说是涉及一种基于国密算法的以太网数据加解密处理方法。

背景技术

随着网络通信技术的飞速发展，其应用领域也逐步向社会生活的各个方面渗透，并影响和改变人们的生产和生活方式。然而计算机网络在便捷人们生活的同时，也带来了一些问题，比如数据安全。数据信息泄露可能发生在网络的任何地方，如数据被未经授权的嗅探链接拦截。

保护信息的典型方法是当数据在网络中传输的时候，对数据进行加密处理，万一数据被未经授权的嗅探链接拦截了，加密了的数据能保证数据不可读。同时，数据也必须被授权来保证完整性，消息授权机制被设计来检查数据是否被篡改，不管这个改变是人为还是由于传输错误导致。通常数据加密有三种方法：IPSec，SSL/TLS和MACSec(Media AccessControl Security，MAC安全)，其中IPSec运行在通信协议的上层，比如三层，SSL/TLS通常运行在应用层，而MACSec运行在二层。前面两种方法都对IT部分不是很友好：网络管理，内容/病毒检查，流量管理等都会变得很复杂，并且不利于整体隔离。第三种方法某种程度上易于安装管理，不影响其他网络保护技术的布置(比方网络数据深度检查，流量整形，过滤等)，并且有很强的弹性(不需要应用层修改，Key管理也相对简单)。但是，MACSec采用欧美等国家主导的加解密算法，对于行业安全把控力度不够，过分依赖国外技术和产品，不利于自主可控的网络安全环境的建立。

因此，如何提出一种采用国密算法的以太网数据加解密处理方法是本领域技术人员亟需解决的问题。

发明内容

有鉴于此，本发明提供了一种基于国密算法的以太网数据加解密处理方法，将MACSec和/或802.1X中体系中用到的加解密算法替换为国密算法；密钥交互中保护对称密码的算法采用SM2国密或更高级的非对称算法以确保对称密码在传输过程中不被非法获取，数据传输中的加解密算法采用SM4或SM9或更高级的对称国密加解密算法以确保敏感数据不被非法读取。这种方法相对于采用欧美等国家主导的加解密算法，对行业安全可控，摆脱对国外技术和产品过度依赖，建设自主可控网络安全环境提出有效的解决方案。

为了实现上述目的，本发明提供如下技术方案：

一种基于国密算法的以太网数据加密处理方法，具体步骤包括如下：

主机将以太网数据包通过RGMII/SGMII接口发送到端口物理层的上行MAC逻辑模块，通过所述上行MAC逻辑模块，发送到出口包解析模块进行解析；

解析后的以太网数据包中的关键信息发送到出口包过滤模块；

所述出口包过滤模块判断是否加密、丢弃或直接转发；若加密，则所述以太网数据包发送到加密模块；丢弃：检测到错误或非法数据包，在模块内此数据包被静默丢弃，即不被转发；直接转发：即此数据包按照原始内容转发到下一个模块。根据前面模块提取出的信息查找密钥存储模块并查找出加密模块需要的信息；加密完成后此以太网数据包发送到下行MAC逻辑模块；

所述以太网数据包发送到时间戳模块，若所述时间戳模块功能使能，通过所述时间戳模块传递到下级模块即物理编码子层模块；若所述时间戳模块功能不使能则直接发送进行解密。

优选的，在上述的一种基于国密算法的以太网数据加密处理方法中，所述上行MAC逻辑模块内进行基本的包检查即CRC校验检查，并转换成内部数据接口。