CN101145899A - Mac安全网络通信方法以及网络设备 - Google Patents
Mac安全网络通信方法以及网络设备 Download PDFInfo
- Publication number
- CN101145899A CN101145899A CNA2006101541700A CN200610154170A CN101145899A CN 101145899 A CN101145899 A CN 101145899A CN A2006101541700 A CNA2006101541700 A CN A2006101541700A CN 200610154170 A CN200610154170 A CN 200610154170A CN 101145899 A CN101145899 A CN 101145899A
- Authority
- CN
- China
- Prior art keywords
- mac
- frame
- network equipment
- encrypted
- safety
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Small-Scale Networks (AREA)
Abstract
本发明公开了一种MAC安全网络通信方法以及通信设备,一种MAC安全网络通信方法,包括:网络设备接收MAC帧;如果所述MAC帧为MAC加密帧,则解密所述MAC加密帧,如果所述MAC加密帧需转发至的下一链路的网络设备不支持MAC安全、或者MAC安全不可用,则进一步判定所述链路是否可靠,如果可靠,则采用MAC非加密帧转发至所述链路;否则丢弃所述MAC加密帧。本发明实现了在MAC帧的机密性得到保护的基础上,保证了网络的正常通信。
Description
技术领域
本发明涉及通信领域,特别涉及一种MAC安全网络通信方法以及网络设备。
背景技术
网络链路层的安全技术是网络通信的重大研究课题,IEEE 802.1.ae任务组对该课题进行了研究,提出使用MAC安全(Media Access Control Security,简称MAC安全)来保护二层通信的安全,防范二层攻击。该MAC安全方法具体来说就是,MAC安全实体(MAC Security Entity,简称SecY)使用安全关联密钥(Secure Association Key,简称SAK),来对要发送的数据进行加密,接收SecY在接收到数据后,使用相同的密钥来解密,从而获得数据,这样保证了数据的机密性。同时的,接收SecY通过检查完整性校验值,来判断接收到的数据和发送端SecY发出来的数据一致,保证数据的完整性,以及正确性。
在IEEE 802.1.ae任务组目前在协议中规定的MAC安全都是基于LAN的。各个SecY要进行通讯,就必须同属于一个安全连接关联(Secure ConnectivityAssociation,简称CA),同一个CA中的各个SecY拥有相同的安全关联主密钥(Secure Connectivity Association Key,简称CAK)。CAK可以是手工配置,也可以在通过认证后,从认证服务器获得。各个SecY使用CAK来协商产生一个SAK,SAK是不断变化更新的,而CAK则是固定不变的,即使设备重启,CAK也将保持不变。SAK的不断变化更新,极大地提高了数据的安全性。
图1为处于同一共享介质LAN中的媒体访问控制(Media Access Control,简称MAC)设备的通信示意图,如图示,MAC设备A101、MAC设备B102、MAC设备C103、MAC设备D104同处于以共享介质LAN中,各设备之间可以互相访问通信。假设MAC设备A101、MAC设备B102、MAC设备C103同属于一个CA,拥有相同的CAK,而MAC设备D104则排除在该CA之外,那么如图2所示,显然,MAC设备A101、MAC设备B102、MAC设备C103上的SecY可以进行MAC安全通信,而MAC设备D104由于没有SAK,即使抓到了MAC设备A101、MAC设备B102或MAC设备C103发出来的MAC加密帧,也不能解密,不能获取MAC加密帧的用户数据或控制协议数据。
目前,根据IEEE 802.1.ae任务组目前在协议IEEE 802.1ae中的规定,MAC安全技术在网络中是逐段链路使用的,各链路相互独立,各段链路的加解密密钥SAK毫不相干。如图3所示,终端A201和第一网桥202之间存在一个CA1,使用SAK1加解密;第一网桥202和第二网桥203之间存在CA2,使用SAK2加解密;第二网桥203和第三网桥204之间存在CA3,使用SAK3加解密;第三网桥204和终端B205之间存在CA4,使用SAK4加解密。
在通信网络中,链路上的所有设备(包括终端),只知道在本LAN内与自己相邻的网络设备是否支持MAC安全,如图4所示,假设在通信网络中,终端B407、终端D409以及第三用户网桥(Customer Bridge,简称PB)410不支持MAC安全、或MAC安全不可用,那么,其中第二用户网桥405能够获知终端B407不支持MAC安全、或MAC安全不可用的情况;只有第二运营商网桥(Provider Bridged,简称PB)404获知第三用户网桥410不支持MAC安全、或MAC安全不可用的情况。
对于上述在通信网络中存在不支持MAC安全的网络设备的情况,(目前的终端设备和二层、三层交换机是不支持MAC安全的,因此对于情况复杂的用户网络CN是非常可能存在不支持MAC安全的网络设备的。)目前通常采用的处理是,当下一条链路的网络设备不支持MAC安全时,通常采取直接丢弃MAC加密帧。这使得终端A与终端B只能使用非加密的普通MAC帧通信,然而对于UserA来说,选择加密MAC加密帧,还是非加密MAC帧的判断是非常困难的,所以其可能只是终端A、终端B之间无法通信的情况。
由上可见,在现有技术中,如果在通信网络中存在不支持MAC安全的网络设备,那么支持MAC安全的网络设备与不支持MAC安全的网络设备之间的通信受阻。
发明内容
本发明要解决的技术问题是提供一种MAC安全网络通信方法,以实现当网络通信网络中存在不支持MAC安全的网络设备时的数据安全通信。
本发明要解决的技术问题是提供一种网络设备,以实现当网络通信网络中存在不支持MAC安全的网络设备时的数据安全通信。
为解决上述第一技术问题,本发明的目的是通过以下技术方案实现的:
一种MAC安全网络通信方法,包括:
网络设备接收MAC帧;
如果所述MAC帧为MAC加密帧,则解密所述MAC加密帧,如果所述MAC加密帧需转发至的下一链路的网络设备不支持MAC安全、或者MAC安全不可用,则进一步判定所述链路是否可靠,如果可靠,则采用MAC非加密帧转发至所述链路;否则丢弃所述MAC加密帧。
本发明所述的方法,可选地,所述的判定所述链路是否可靠,具体包括:
根据组网信息,在所述不支持MAC安全,或者MAC安全不可用的网络设备与所述网络设备相连接的网络端口预配置有所述链路的可靠性消息;
所述网络设备读取所述可靠性信息,获知所述链路是否可靠。
本发明所述的方法,可选地,如果所述MAC加密帧包含机密等级信息,则进一步根据所述机密等级信息,判断对所述MAC加密帧丢弃,或是采用非加密帧转发至所述链路。
本发明所述的方法,可选地,所述MAC加密帧包含机密等级信息,通过以下步骤方式实现:
在所述MAC加密帧内的安全标签字段的第7、8比特携带所述机密等级信息。
本发明所述的方法,可选地,如果所述MAC帧为非MAC加密帧,并且所述MAC非加密帧需转发至MAC安全可用的网络设备时,则加密所述MAC帧,并在加密后转发所述MAC帧;否则,直接转发所述MAC帧。
本发明所述的方法,可选地,在所述网络设备上进一步保存有是否需要对本网络设备发送的MAC非加密帧进行加密的标志,
如果所述MAC帧为非MAC加密帧, 并且所述MAC非加密帧需转发至MAC安全可用的网络设备,则在加密所述MAC帧前,进一步根据所述标志,判定是否需要加密所述MAC帧,如果需要则加密。
为解决上述第二技术问题,本发明的目的是通过以下技术方案实现的:
一种网络设备,所述网络设备与不支持MAC安全、或者MAC安全不可用的网络设备相连接,所述网络设备包括:
链路可靠性判定单元,用于判断所述网络设备与所述不支持MAC安全、或者MAC安全不可用的网络设备的链路是否可靠,并配置用于标识所述链路是否可靠的标识;
链路可靠标识存储单元,与所述链路可靠性判定单元相连接,用于存储所述用于标识所述链路是否可靠的标识;
控制端口,用于接收、解密MAC加密帧;
转发单元,用于转发所述MAC加密帧;
MAC帧目的地址获取单元,用于读取所述MAC加密帧的目的地址,判定所述的MAC帧需转发至的下一网络设备是否为所述不支持MAC安全、或者MAC安全不可用的网络设备;
决策单元,用于根据所述链路可靠标识存储单元存储的用于标识所述链路是否可靠的标识,决定对数据进行丢弃,或是将所述MAC加密帧转发至所述转发单元。
本发明所述的网络设备,可选地,所述网络设备进一步包括:
机密等级读取单元,用于当所述MAC加密帧携带机密等级信息时,读取所述机密等级信息;
所述决策单元与所述机密等级读取单元相连接,用于进一步根据所述机密等级信息,决定丢弃所述MAC加密帧,或者将所述MAC加密帧传递至所述转发单元。
本发明所述的网络设备,可选地,所述网络设备进一步包括:
非控制端口,用于接收MAC非加密帧;
加密判定单元,用于判定是否需要对所述MAC非加密帧进行加密,如果所述MAC非加密帧需转发至MAC安全可用的网络设备时,则判定需要加密所述MAC非加密帧;
加密单元,用于加密所述需要加密的MAC非加密帧,并将加密后的MAC帧传递至所述转发单元。
本发明所述的网络设备,可选地,所述网络设备进一步包括:
加密判定标志存储单元,用于存储用户在本网络设备上预配置的是否对本网络设备发送的MAC非加密帧进行加密的标志;
第二加密判定单元,用于对所述加密判定单元判定需要加密的非加密帧,进一步根据所述加密判定标志存储单元所存储的加密标志,判定是否需要加密。
由以上第一技术方案可以看出,由于当网络设备接收到需要转发到下一不支持MAC安全、或MAC安全不可用的网络设备的MAC安全加密帧时,网络设备根据该下一链路的可靠情况,当该下一链路可靠时,采用非加密帧转发至下一链路,否则,丢弃该MAC加密帧。而不是如现有技术中只要需转发至的下一网络设备不支持MAC安全、或MAC安全不可用,对MAC加密帧均作丢弃处理。本方法,实现了在MAC加密帧的机密性得到保护的基础上,保证了网络的正常通信。
进一步的,当网络设备接收到需要转发到下一不支持MAC安全、或MAC安全不可用的网络设备的MAC安全加密帧时,网络设备进一步根据该MAC加密帧包含的机密等级信息,决策对所述MAC加密帧丢弃,或者采用非加密帧转发至下一链路,使得MAC通信的保密性了可通信性得到了更好的协调和均衡,使得本发明方法更加合乎实际情况。
进一步的,当网络设备接收到MAC非加密帧时,如果该MAC非加密帧需转发至的下一链路的网络设备支持MAC安全,并且MAC安全可用,则对该MAC帧进行加密后转发到链路上,否则,直接转发到链路上。可见本方法特别的对于由不支持MAC安全,或者MAC安全不可用的网络设备转发的MAC非加密帧,可以在后续的链路使用MAC安全技术,最大程度的实现了MAC安全通信。
进一步,本发明对于需要转发至下一链路的MAC安全可用的网络设备的MAC非加密帧,进一步的可以根据用户设置,判定是否对转发至MAC安全可用的网络设备的MAC非加密帧进行加密,只有在用户需要的时候,才加密该MAC非加密帧。本发明使得可以根据实际用户需要,进行加密,有利于节省不必要的网络资源浪费,加快MAC通信速度。
由以上第二技术方案可以看出,本发明对于与不支持MAC安全、或MAC安全不可用的网络设备相连接的网络设备,在网络设备上设置了链路可靠性判定单元、链路可靠标识存储单元、以及决策单元,对于当网络设备接收到需要转发到下一不支持MAC安全的网络设备的MAC安全加密帧时,网络设备根据链路可靠性判定单元得到的该下一链路的可靠情况,将该用于标识所述链路是否可靠的标识存储于链路可靠标识存储单元中,决策单元根据链路可靠标识存储单元的纪录,决策丢弃所述MAC加密帧,或者是采用MAC非加密帧转发至下一链路,而不是如现有技术中对所有转发至下一链路的不支持MAC安全、或MAC安全不可用的网络设备的MAC加密帧均作丢弃处理。本方法,实现了在MAC帧的机密性得到保护的基础上,保证了网络的正常通信。
进一步的,本发明在网络设备中,还设置有机密等级读取单元,并且与决策单元相连接,当该转发下一链路的不支持MAC安全、或MAC安全不可用的网络设备上的MAC加密帧携带机密等级信息时,由机密等级读取单元读取该机密等级信息,获知该MAC帧的机密等级,使得决策单元进一步的可以根据所述机密等级信息,决定对该MAC加密帧进行丢弃,或是采用MAC非加密帧方式,转发至下一链路,使得MAC通信的保密性和可通信性得到了更好的协调和均衡。使得本发明方法更加合乎实际情况。
进一步的,在本网络设备上,还设置了加密判定单元、加密单元,当该网络设备接收到需要转发至支持MAC安全,并且MAC安全可用的网络设备的MAC非加密帧时,由加密判定单元判断是否需要加密该MAC帧,如果需要则将MAC帧转发至加密单元进行加密,否则,直接采用非加密帧转发到链路上。可见本方法特别的对于由不支持MAC安全,或者MAC安全不可用的网络设备转发的MAC非加密帧,可以在后续的链路使用MAC安全技术,最大程度的实现了MAC安全通信。
进一步,由于本发明设置了第二判定单元以及供用户设置的加密判定标志存储单元,使得可以根据用户设置,判定是否对转发至MAC安全可用的MAC非加密帧进行加密,使得可以根据实际用户需要,进行加密,有利于节省不必要的网络资源浪费,加快MAC通信速度。
附图说明
图1为处于同一LAN中的MAC设备的通信示意图;
图2为MAC安全通信示意图;
图3为通信网络中的MAC安全加、解密示意图;
图4为在网络中存在不支持MAC安全的网络设备的通信网络结构示意图;
图5为实施例1方法流程示意图;
图6为实施例2的方法流程示意图;
图7为实施例3的方法流程示意图;
图8为实施例4的网络设备结构示意图;
图9为MAC加密帧格式示意图;
图10为实施例5的网络设备结构示意图;
图11为实施例6的网络设备结构示意图;
图12为实施7的网络设备结构示意图。
具体实施方式
本发明的核心思想是,与网络设备相连接的下一设备不支持MAC安全、或MAC安全不可用,即与网络设备相连接的下一链路不支持MAC安全、或MAC安全不可用时,当网络设备接收到需要转发到该下一链路的MAC加密帧时,根据该下一链路的连接情况,判断该下一链路是否可靠,如果不可靠,则丢弃所述MAC加密帧,如果可靠,则采用非加密帧转发至下一链路。
为了使得本领域的技术人员更好的理解本发明内容,以下结合实施例以及附图,对本发明内容进行详细的说明。
实施例1:
本实施例针对根据链路的可靠情况,决策是否对转发到不支持MAC安全、或MAC安全不可用的下一链路的网络设备的MAC加密帧进行丢弃,或继续采用非加密帧进行转发,进行详细说明。
图5为本实施例方法流程示意图,如图示,本方法包括以下步骤:
步骤S501:网络设备接收到MAC加密帧,进行解密。
网络设备接收到上一链路发送至本网络设备的MAC加密帧,网络设备将MAC加密帧传递至控制端口进行解密。其中本发明所述的网络设备可以是通信网络中的除终端外,支持MAC安全、并且MAC安全可用的任何网络设备,比如CBN、PBN、PBBN中的各网桥。
步骤S502:网络设备查找转发表,并根据转发表查找结果,获知本MAC帧需要在哪一链路上发送。
网络设备读取MAC帧需要到达的目的地址以及VLAN信息,查找转发表,并根据转发表查找结果,获知该MAC帧到达该目的地址需要经过的下一链路。
步骤S503:判断该下一链路的网络设备是否支持MAC安全、或MAC安全是否可用,如果不支持MAC安全、或MAC安全不可用,则执行步骤S504;否则,执行步骤S508。
根据密钥选举协议KSP信息,或网络自身的组网信息,或预存的其它网络信息,获知该下一链路的MAC安全是否可用。如果下一链路的MAC安全不可用,则执行步骤S504,如果下一链路的MAC安全可用,则执行步骤S508。
步骤S504:网络设备获取该下一链路的网络可靠性情况。
网络设备可以根据本身存储的组网信息,获知该下一链路的网络可靠性情况。亦可以根据在该下一链路网络设备在接入本网络设备的端口所存储的本链路可靠性信息获取,比如:如图4所示的网络中,假设第三用户网桥410、终端D409、终端B407、终端C406均不支持MAC安全、或MAC安全不可用,那么,在第二用户网桥405的端口b、第三用户网桥410的端口a上,根据链路的实际情况,配置链路可靠与否标识,当用户自己能确保链路安全的情况下就配置为可靠,比如网桥的一个端口下只有一个用户的情况,或者多个用户同属一个家庭、一个部门、一个企业的情况,比如:当用户不能确保链路的安全,并希望得到较高的安全保护时,链路配置为不可靠。
接收到MAC加密帧的网络设备根据在网络设备端口上设置的链路可靠性信息,获知该链路是否可靠。
步骤S505:如果该下一链路可靠,则执行步骤S506,否则,执行步骤S507。
步骤S506:网络设备采用MAC非加密帧向下一链路进行转发。
如果该下一链路的网络可靠,能够保证MAC加密帧的安全,则网络设备采用非加密帧向该下一链路的网络设备进行转发。
步骤S507:丢弃该MAC帧。
如果该下一链路的网络不可靠,不能够保证MAC加密帧的安全,则网络设备直接丢弃该MAC帧,而不向该下一链路的网络设备转发。
步骤S508:采用MAC非加密帧向下一链路进行转发。
网络设备对该MAC加密帧数据采用MAC非加密帧方式,向下一链路的网络设备转发,使得该网络设备可以不需要使用MAC安全解密技术,便可以获取该MAC帧的的数据。
由上可见本实施例,使实现了在MAC帧的机密性得到保护的基础上,保证了网络的正常通信。
实施例2:
本实施例进一步针对用户在MAC帧携带用户对MAC安全机密等级要求的情况,在网络设备决策是否对转发到MAC安全不可用的下一链路的MAC帧进行丢弃,或继续采用非加密帧转发时,进一步结合用户对MAC安全机密等级要求,以使得MAC通信的保密性和可通信性得到了更好的协调和均衡,使得本发明方法更加合乎实际情况。
首先,对于用户如何在MAC加密帧中,携带用户对MAC安全机密等级要求的信息,进行说明。
根据IEEE 802.1ae规定,MAC帧的MAC安全标签字段的构成如表一所示,其中在MAC安全标签字段中包含8个比特的短帧长度(Short Length,在IEEE802.1ae中称为SL)字段,当机密数据长度小于48时,SL的值等于机密数据的长度值,而对于机密数据长度大于或等于48时,SL君取值为0。实际上,SL仅仅使用了第1比特到第6比特来表示机密数据长度,第7、8比特并没有使用。
| MAC帧类型(MAC Ethertype) | 标签控制信息(TCI) | 关联号(AN) | 短帧长度(SL) | 包号(PN) | 安全信道标识(SCI) |
表一
在本发明中,MAC加密帧的发送者使用SL字段中的第7、8比特来表示用户对该帧的机密性要求,即使用第7、8比特来表示帧的机密等级,如表二所示,使得第7、8比特的取值标识对该MAC帧的机密性要求,在此使用机密等级表示,机密等级越高,表明帧内的数据越机密。
比如:当第7、8比特的比特值为“00”时,帧的机密等级为0级,表示无论链路是否可靠均采用非加密的方式继续转发;当第7、8比特的比特值为“01”时,帧的机密等级为1级,表示在链路可靠的情况下,采用非加密帧继续转发;当第7、8比特的比特值为“10”时,帧的机密等级为2级,表示无论该链路可靠与否,帧都不继续转发,而直接丢弃;而对于第7、8比特的比特值为“11”的情况暂不使用。
| Bit8 | Bit7 | 机密等级 | 含义 |
| 0 | 0 | 0级 | 无论链路是否可靠均采用非加密的方式继续转发 |
| 0 | 1 | 1级 | 在链路可靠的情况下,采用非加密帧继续转发 |
| 1 | 0 | 2级 | 无论该链路可靠与否,帧都不继续转发而直接丢弃 |
| 1 | 1 | 暂不使用 |
表二
当然,除了可以在MAC安全标签内的SL字段的第7、8比特携带对该MAC帧的机密性要求信息外,还可以在MAC帧的其它字段携带,只要在通信网络中作相应的规定,使得通信网络中的网络设备接收到该MAC帧能够读取到该信息即可。
以上对在MAC帧中携带对该MAC帧的机密性要求信息作了详细说明后,以下针对在MAC安全通信中,当网络设备接收到需要转发到MAC安全不可用的下一链路的MAC加密帧时,如何结进一步根据对该MAC帧的机密性要求信息,决策对该MAC帧进行丢弃,或继续采用非加密帧转发进行详细说明。
如图6所示,为本实施例方法流程示意图,如图示,本发明方法包括以下步骤:
步骤S601:网络设备接收到MAC加密帧,进行解密。
步骤S602:网络设备查找转发表,并根据转发表查找结果,获知本MAC帧需要在哪一链路上发送。
步骤S603:判断该下一链路的MAC安全是否可用,如果MAC安全不可用,则执行步骤S604,否则,执行步骤S613。
步骤S604:网络设备获取该下一链路的可靠性情况。
上述步骤分别与实施例1中的步骤S501至步骤S504同理,在此不作赘述。
步骤S605:网络设备读取MAC加密帧携带的机密性要求信息。
在本实施例中,假设采取在MAC安全标签字段中的第7、8比特记录对该MAC帧的机密性要求信息,在此假设采用表二所示的取值规则。
网络设备结合表二的机密性等级要求规则,以及该下一链路可靠性信息,得到如表三所示的决策规则,以下根据表二的规则进行决策。
步骤S606:判定MAC加密帧的机密等级是否为1级,如果是,则进一步执行步骤S608;否则,执行步骤S607。
步骤S607:判定MAC加密帧的机密等级是否为0级时,如果是,则无论链路是否可靠,均执行步骤S611;否则,执行步骤S608。
步骤S608:判断需发送至的下一链路是否可靠,如果可靠,则执行步骤S611;否则,执行步骤S612;
步骤S609:判定MAC加密帧的机密等级是否为2级,如果是,则无论该链路可靠与否,均执行步骤S612;否则,执行步骤S610。
步骤S610:MAC加密帧的机密等级不是0、1或2,即机密等级不在设定范围内,则判定该机密等级信息读取错误,则按照只根据链路可靠性进行判定,判定该下一级链路是否可靠,如果可靠,则执行步骤S611;否则,执行步骤S612。
| Bit8 | Bit7 | 机密等级 | 下一段链路不支持MAC安全时采用的策略 | |
| 链路可靠 | 链路不可靠 | |||
| 0 | 0 | 0级 | 采用非加密帧继续转发 | 采用非加密帧继续转发 |
| 0 | 1 | 1级 | 采用非加密帧继续转发 | 丢弃 |
| 1 | 0 | 2级 | 丢弃 | 丢弃 |
| 1 | 1 | 暂不使用 | ||
表三
步骤S611:采用非加密的方式继续转发。
网络设备对该MAC加密帧数据采用MAC非加密帧方式,即普通MAC帧的方式,向下一链路的网络设备转发,使得该网络设备可以不需要使用MAC安全解密技术,便可以获取该MAC帧的的数据。
步骤S612:不继续转发该帧,而直接丢弃。
步骤S613:采用MAC加密帧向下一链路转发。
由于该下一链路的网络设备支持MAC安全、并且MAC安全可用,则对该MAC加密帧加密,采用MAC加密帧的方式,向下一链路转发
其中MAC加密帧如图9的MAC加密帧的帧格式示意图所示,MAC加密帧与普通MAC帧(即非加密帧)的区别是对数据进行了加密,并且在加密的数据之前插入一格MAC安全标签,并且在加密的用户数据之后加上了完整性校验值。
实施例3:
本实施例对于该网络设备接收到MAC非加密帧时,对该MAC非加密帧进行的处理,实现网络安全通信进行具体说明。
如图7所示,为本实施例方法流程示意图,如图示,本发明包括以下步骤:
步骤S701:网络设备接收MAC非加密帧。
该MAC非加密帧可以为支持MAC安全、并且MAC安全可用的网络设备发送的MAC帧;亦可以为不支持MAC安全、或MAC安全不可用的网络设备发送的MAC非加密帧,并且对于不支持MAC安全、或MAC安全不可用的网络设备发送的MAC非加密帧,在后续链路实现MAC安全通信更有实际意义。
步骤S702:如果下一链路网络设备支持MAC安全、并且MAC安全可用,则执行步骤S703;否则执行步骤S705。
网络设备根据密钥选举协议KSP信息,或自身的组网配置,判断下一链路的网络设备是否支持MAC安全技术,如果是,则执行步骤S703;否则,执行步骤S705。
步骤S703:用户设置的加密标志是否为:需要加密,如果是,则执行步骤S704,否则,执行步骤S705。
步骤S704:加密该MAC非加密帧,并转发该MAC加密帧。
将该MAC非加密帧进行加密,并将加密后的MAC加密帧转发到链路上。
步骤S705:采用MAC非加密帧转发该MAC帧。
由上可见,本发明对于当网络设备接收到MAC非加密帧时,如果下一链路MAC安全可用,则可以对该MAC帧进行加密,否则,直接转发到链路上,最大程度的实现了MAC安全通信。
由上可见,本发明进一步的根据用户设置,判定是否对转发至MAC安全可用的网络设备的MAC非加密帧进行加密,使得可以根据实际用户需要,进行加密,有利于节省不必要的网络资源浪费,加快MAC通信速度。
实施例4:
本实施例对与不支持MAC安全、或MAC安全不可用的网络设备相连接的网络设备进行说明。
如图8示,网络设备包括:
链路可靠性判定单元802,用于判断链路是否可靠,并配置用于标识所述链路是否可靠的标识。
链路可靠标识存储单元804,与链路可靠性判定单元802相连接,用于存储链路可靠性判定单元802配置的用于标识所述链路是否可靠的标识,在此称为链路可靠标识。
控制端口806,用于接收、解密MAC加密帧。
网络设备接收到MAC加密帧后,传递到控制端口806,并使用对应该MAC加密帧的SAK,对该MAC加密帧进行解密。
在现有技术中,如果该MAC帧需要转发到与MAC安全不可用的链路上时,均直接丢弃该MAC帧;如果该MAC帧需要转发到下一MAC安全可用的链路上时,则网络设备进一步使用另外一个SAK,对该MAC帧加密后,发送到链路上。
MAC帧目的地址获取单元807,用于读取MAC加密帧的目的地址(如图9所示为MAC加密帧格式示意图),根据该目的地址,获知所述的MAC帧是否需要转发至MAC安全不可用的链路上。
决策单元803,与链路可靠标识存储单元804、接收单元805、MAC帧目的地址获取单元807分别相连接,用于根据链路可靠标识存储单元804存储的链路可靠标识,判断决定对接收单元805所接收的,并且需要转发至MAC安全不可用链路上的MAC加密帧进行丢弃,或者,将该经解密后的MAC帧,传递至所述转发单元801。
转发单元801,与决策单元803单元、控制端口806分别相连接,在决策单元803控制下,将控制端口806所接收的MAC帧,采用非加密的方式转发至链路上,即转发至该不支持MAC安全、或MAC安全不可用的网络设备。
由本实施例可见,本发明对于与不支持MAC安全、或MAC安全不可用的网络设备相连接的网络设备,在网络设备上设置了链路可靠性判定单元802、链路可靠标识存储单元804、以及决策单元803,对于当网络设备80接收到需要转发到下一不支持MAC安全、或MAC安全不可用的网络设备的MAC加密帧时,网络设备根据链路可靠性判定单元802得到的该下一链路的可靠情况,将该用于标识所述链路是否可靠的标识存储于链路可靠标识存储单元804中,决策单元803根据链路可靠标识存储单元804的存储记录,决策对所述MAC加密帧丢弃,或者采用非加密帧转发至下一链路,而不是如现有技术中对所有MAC帧均作丢弃处理,本方法,使实现了在MAC帧的机密性得到保护的基础上,保证了网络的正常通信。
实施例5:
如图10所示为本实施例的网络设备结构示意图,如图示,本网络设备与实施4所示的网络设备所不同的是,在设备增加了机密等级读取单元808,与接收单元805、决策单元803分别相连接,用于在读取接收单元805接收的MAC加密帧携带的机密等级信息,以供决策单元803决策参考。
决策单元803与实施例4所不同的是,本实施例中,决策单元803除了根据链路可靠标识存储单元804进行决策外,还进一步根据机密等级读取单元808获取的MAC加密帧携带的机密等级信息决策丢弃所述MAC加密帧,或者传递至转发单元801,由转发单元801采用非加密帧转发至与之相连接的下一不支持MAC安全、或MAC安全不可用的网络设备。
由上可见,由于本实施例增加了机密等级读取单元808,使得决策单元803进一步根据MAC加密帧包含的机密等级信息,决策丢弃所述MAC加密帧,或者是,采用非加密帧转发至下一链路。使得MAC通信的保密性了可通信性得到了更好的协调和均衡。使得本发明方法更加合乎实际情况。
实施例6:
如图11所示文本实施例的网络设备结构示意图,如图示,本网络设备与实施例5中的网络设备所不同的是,本网络设备进一步包括:
非控制端口809,用于接收发送到网络设备100的MAC非加密帧。
加密判定单元810,与非控制端口809、加密单元811、转发单元801分别相连接,用于判决是否需要对非控制端口809接收的MAC非加密帧进行加密。根据接收到的MAC非加密帧的目的地址,判决该MAC非加密帧需要转发到哪一条链路,并判定此链路的MAC安全是否可用,如果可用,则可以根据MAC非加密帧中携带的是否需要加密的信息(如果MAC非加密帧中包含的话),或者根据接收端口上的配置判决是否需要使用MAC加密帧进行转发,如果需要,则将MAC帧传递至加密单元811进行加密,否则将MAC帧传递至转发单元801,转发至下一链路。
加密单元811,与加密判决单元810、SAK存储单元812、转发单元801分别相连接,用于根据加密判决单元810的判决,使用SAK存储单元812存储的SAK对MAC非加密帧进行加密,并将加密后的MAC加密帧,传递至转发单元801,由转发单元801转发到链路。
由上可见,由于在网络设备的非控制端口连接了加密判定单元809,用于判断是否需要对接收到的MAC非加密帧进行加密。特别的对于与该网络设备相连接的不支持MAC安全,或者MAC安全不可用的网络设备发送过来的MAC非加密帧,经过该网络设备使用MAC安全帧转发后,使得数据安全在以后的链路上得到保证,最大程度的实现了网络的安全通信。
实施例7:
如图12所示文本实施例的网络设备结构示意图,如图示,本网络设备与实施例6中的网络设备所不同的是,本网络设备进一步包括:
加密判定标志存储单元814,用于存储用户在本网络设备上预配置的是否对本网络设备发送的MAC非加密帧进行加密的标志。用户可以根据MAC安全需要,在网络设备上的设置是否需要对所发送出去的MAC非加密帧进行加密,如果需要,则将该标志取值为标识需要加密的值,否则,设置为不需要加密。比如设置一标志位,如果该标志位取值为“0”时,表示不需要加密,如果该标志位取值为“1”时,表示需要加密。
第二加密判定单元813,连接在加密判定单元810以及加密单元811之间,并且与加密判定标志存储单元814相连接,用于对加密判定单元810判定需要加密的非加密帧,进一步根据所述加密判定标志存储单元814所存储的加密标志,判定是否需要加密。如果该加密标志取值标志需要加密才将所述MAC非加密帧传递至加密单元811,进行加密,否则,直接将该MAC非加密帧传递至转发单元801,直接转发至下一链路。
由上可见,本发明相对于实施例6进一步的可以根据用户设置,判定是否对转发至MAC安全可用的MAC非加密帧进行加密,使得可以根据实际用户需要,进行加密,有利于节省不必要的网络资源浪费,加快MAC通信速度。
以上对本发明所提供的一种MAC安全网络通信方法以及网络设备进行了详细介绍,本文中应用了具体个例对本发明的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本发明的方法及其核心思想;同时,对于本领域的一般技术人员,依据本发明的思想,在具体实施方式及应用范围上均会有改变之处,综上所述,本说明书内容不应理解为对本发明的限制。
Claims (10)
1.一种MAC安全网络通信方法,其特征是,包括:
网络设备接收MAC帧;
如果所述MAC帧为MAC加密帧,则解密所述MAC加密帧,如果所述MAC加密帧需转发至的下一链路的网络设备不支持MAC安全、或者MAC安全不可用,则进一步判定所述链路是否可靠,如果可靠,则采用MAC非加密帧转发至所述链路;否则丢弃所述MAC加密帧。
2.根据权利要求1所述MAC安全通信方法,其特征是,所述的判定所述链路是否可靠,具体包括:
根据组网信息,在所述不支持MAC安全,或者MAC安全不可用的网络设备与所述网络设备相连接的网络端口预配置有所述链路的可靠性消息;
所述网络设备读取所述可靠性信息,获知所述链路是否可靠。
3.根据权利要求1或2所述MAC安全通信方法,其特征是,如果所述MAC加密帧包含机密等级信息,则进一步根据所述机密等级信息,判断对所述MAC加密帧丢弃,或是采用非加密帧转发至所述链路。
4.根据权利要求3所述MAC安全通信方法,其特征是,所述MAC加密帧包含机密等级信息,通过以下步骤方式实现:
在所述MAC加密帧内的安全标签字段的第7、8比特携带所述机密等级信息。
5.根据权利要求1或2所述MAC安全通信方法,其特征是,如果所述MAC帧为非MAC加密帧,并且所述MAC非加密帧需转发至MAC安全可用的网络设备时,则加密所述MAC帧,并在加密后转发所述MAC帧;否则,直接转发所述MAC帧。
6.根据权利要求5所述MAC安全通信方法,其特征是,在所述网络设备上进一步保存有是否需要对本网络设备发送的MAC非加密帧进行加密的标志,
如果所述MAC帧为非MAC加密帧,并且所述MAC非加密帧需转发至MAC安全可用的网络设备,则在加密所述MAC帧前,进一步根据所述标志,判定是否需要加密所述MAC帧,如果需要则加密。
7.一种网络设备,所述网络设备与不支持MAC安全、或者MAC安全不可用的网络设备相连接,其特征是,所述网络设备包括:
链路可靠性判定单元,用于判断所述网络设备与所述不支持MAC安全、或者MAC安全不可用的网络设备的链路是否可靠,并配置用于标识所述链路是否可靠的标识;
链路可靠标识存储单元,与所述链路可靠性判定单元相连接,用于存储所述用于标识所述链路是否可靠的标识;
控制端口,用于接收、解密MAC加密帧;
转发单元,用于转发所述MAC加密帧;
MAC帧目的地址获取单元,用于读取所述MAC加密帧的目的地址,判定所述的MAC帧需转发至的下一网络设备是否为所述不支持MAC安全、或者MAC安全不可用的网络设备;
决策单元,用于根据所述链路可靠标识存储单元存储的用于标识所述链路是否可靠的标识,决定对数据进行丢弃,或是将所述MAC加密帧转发至所述转发单元。
8.根据权利要求7所述的网络设备,其特征是,所述网络设备进一步包括:
机密等级读取单元,用于当所述MAC加密帧携带机密等级信息时,读取所述机密等级信息;
所述决策单元与所述机密等级读取单元相连接,用于进一步根据所述机密等级信息,决定丢弃所述MAC加密帧,或者将所述MAC加密帧传递至所述转发单元。
9.根据权利要求7或8所述的网络设备,其特征是,所述网络设备进一步包括:
非控制端口,用于接收MAC非加密帧;
加密判定单元,用于判定是否需要对所述MAC非加密帧进行加密,如果所述MAC非加密帧需转发至MAC安全可用的网络设备时,则判定需要加密所述MAC非加密帧;
加密单元,用于加密所述需要加密的MAC非加密帧,并将加密后的MAC帧传递至所述转发单元。
10.根据权利要求9所述的网络设备,其特征是,所述网络设备进一步包括:
加密判定标志存储单元,用于存储用户在本网络设备上预配置的是否对本网络设备发送的MAC非加密帧进行加密的标志;
第二加密判定单元,用于对所述加密判定单元判定需要加密的非加密帧,进一步根据所述加密判定标志存储单元所存储的加密标志,判定是否需要加密。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN200610154170.0A CN100563148C (zh) | 2006-09-15 | 2006-09-15 | Mac安全网络通信方法以及网络设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN200610154170.0A CN100563148C (zh) | 2006-09-15 | 2006-09-15 | Mac安全网络通信方法以及网络设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101145899A true CN101145899A (zh) | 2008-03-19 |
| CN100563148C CN100563148C (zh) | 2009-11-25 |
Family
ID=39208216
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN200610154170.0A Expired - Fee Related CN100563148C (zh) | 2006-09-15 | 2006-09-15 | Mac安全网络通信方法以及网络设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN100563148C (zh) |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102281261A (zh) * | 2010-06-10 | 2011-12-14 | 杭州华三通信技术有限公司 | 一种数据传输方法、系统和装置 |
| CN108173769A (zh) * | 2017-12-28 | 2018-06-15 | 盛科网络(苏州)有限公司 | 一种报文传输方法、装置及计算机可读存储介质 |
| CN109474707A (zh) * | 2019-01-16 | 2019-03-15 | 济南浪潮高新科技投资发展有限公司 | 基于串口协议的二层协议设计及数据传输方法及系统 |
| CN110226312A (zh) * | 2017-02-03 | 2019-09-10 | 三菱电机株式会社 | 传送装置和通信网络 |
| CN110535956A (zh) * | 2019-09-02 | 2019-12-03 | 珠海格力电器股份有限公司 | 智能设备与服务器云端的双向通信方法以及系统 |
| CN111526108A (zh) * | 2019-02-01 | 2020-08-11 | 华为技术有限公司 | 防止网络攻击的方法与装置 |
-
2006
- 2006-09-15 CN CN200610154170.0A patent/CN100563148C/zh not_active Expired - Fee Related
Cited By (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102281261A (zh) * | 2010-06-10 | 2011-12-14 | 杭州华三通信技术有限公司 | 一种数据传输方法、系统和装置 |
| CN110226312A (zh) * | 2017-02-03 | 2019-09-10 | 三菱电机株式会社 | 传送装置和通信网络 |
| CN108173769A (zh) * | 2017-12-28 | 2018-06-15 | 盛科网络(苏州)有限公司 | 一种报文传输方法、装置及计算机可读存储介质 |
| CN108173769B (zh) * | 2017-12-28 | 2021-01-05 | 盛科网络(苏州)有限公司 | 一种报文传输方法、装置及计算机可读存储介质 |
| CN109474707A (zh) * | 2019-01-16 | 2019-03-15 | 济南浪潮高新科技投资发展有限公司 | 基于串口协议的二层协议设计及数据传输方法及系统 |
| CN109474707B (zh) * | 2019-01-16 | 2021-02-02 | 浪潮集团有限公司 | 基于串口协议的二层协议设计及数据传输方法及系统 |
| CN111526108A (zh) * | 2019-02-01 | 2020-08-11 | 华为技术有限公司 | 防止网络攻击的方法与装置 |
| CN111526108B (zh) * | 2019-02-01 | 2021-08-20 | 华为技术有限公司 | 防止网络攻击的方法与装置 |
| CN110535956A (zh) * | 2019-09-02 | 2019-12-03 | 珠海格力电器股份有限公司 | 智能设备与服务器云端的双向通信方法以及系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN100563148C (zh) | 2009-11-25 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101141241B (zh) | 实现mac安全的方法以及网络设备 | |
| JP4447463B2 (ja) | ブリッジ暗号vlan | |
| US8112622B2 (en) | Chaining port scheme for network security | |
| EP3254418B1 (en) | Packet obfuscation and packet forwarding | |
| US7703132B2 (en) | Bridged cryptographic VLAN | |
| US7979693B2 (en) | Relay apparatus for encrypting and relaying a frame | |
| US7774594B2 (en) | Method and system for providing strong security in insecure networks | |
| CN101309273B (zh) | 一种生成安全联盟的方法和装置 | |
| US20140331050A1 (en) | Qkd key management system | |
| JP5785346B1 (ja) | リンク層セキュリティー伝送をサポートする交換設備およびデータ処理方法 | |
| CN100563148C (zh) | Mac安全网络通信方法以及网络设备 | |
| TW200307423A (en) | Password device and method, password system | |
| CN106301765B (zh) | 加密和解密芯片及其实现加密和解密的方法 | |
| CN101299665A (zh) | 报文处理方法、系统及装置 | |
| CN116112202A (zh) | 采用自学习自组织方式实现以太数据加解密的方法 | |
| CN116016529A (zh) | IPSec VPN设备负载均衡管理方法和装置 | |
| CN115733683A (zh) | 采用量子密钥分发的以太链路自组织加密隧道实现方法 | |
| Lee et al. | Design of secure arp on MACsec (802.1 Ae) | |
| US20240015009A1 (en) | AUTOMATIC IN-BAND MEDIA ACCESS CONTROL SECURITY (MACsec) KEY UPDATE FOR RETIMER DEVICE | |
| JP3828867B2 (ja) | 情報転送方式 | |
| Wahid | Maximizing Ethernet security by switch-based single secure domain | |
| CN117834212A (zh) | 一种安全网关及通信系统 | |
| JPH11331151A (ja) | 暗号通信システム及び暗号通信方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20091125 Termination date: 20180915 |
|
| CF01 | Termination of patent right due to non-payment of annual fee |