CN102035845B - 支持链路层保密传输的交换设备及其数据处理方法 - Google Patents
支持链路层保密传输的交换设备及其数据处理方法 Download PDFInfo
- Publication number
- CN102035845B CN102035845B CN2010105966655A CN201010596665A CN102035845B CN 102035845 B CN102035845 B CN 102035845B CN 2010105966655 A CN2010105966655 A CN 2010105966655A CN 201010596665 A CN201010596665 A CN 201010596665A CN 102035845 B CN102035845 B CN 102035845B
- Authority
- CN
- China
- Prior art keywords
- frame
- port
- field
- key
- module
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/162—Implementing security features at a particular protocol layer at the data link layer
Abstract
本发明涉及一种支持链路层保密传输的交换设备及其数据处理方法,该支持链路层保密传输的交换设备包括交换模块以及多个端口模块,所有的端口模块与交换模块之间分别电性相连;端口模块包含算法模块、接口模块、保密处理模块以及密钥管理模块,保密处理模块分别与接口模块、算法模块以及密钥管理模块电性相连。本发明提供了一种可降低交换设备的计算负担以及网络升级代价小的支持链路层保密传输的交换设备及其数据处理方法。
Description
技术领域
本发明属于网络安全领域,涉及一种支持链路层保密传输的交换设备及其数据处理方法。
背景技术
有线局域网一般为广播型网络,一个节点发出的数据,其它节点都能收到。网络上的各个节点共享信道,这给网络带来了极大的安全隐患。攻击者只要接入网络进行监听,就可以捕获网络上所有的数据包。
现有国家标准GB/T 15629.3(对应IEEE 802.3或ISO/IEC 8802-3)定义的局域网LAN并不提供数据保密方法,这样就使得攻击者容易窃取到关键信息。在国际研究领域里,IEEE所制定的IEEE 802.1AE标准为保护以太网提供数据加密协议,并采用逐跳加密的安全措施来实现网络节点之间数据的安全传达。
支持GB/T 15629.3的交换设备对所有的数据包均直接转发,不具备链路层保密传输能力,所传输的数据包信息易被截获;支持IEEE 802.1AE的交换设备只支持逐跳加密,需要对所有转发的加密数据包都进行解密再加密操作,交换设备计算负担重,且网络数据传输延迟大。
发明内容
为了解决背景技术中存在的上述技术问题,本发明提供了一种可降低交换设备的计算负担以及网络升级代价小的支持链路层保密传输的交换设备及其数据处理方法。
本发明的技术解决方案是:本发明提供了一种支持链路层保密传输的交换设备,其特殊之处在于:所述支持链路层保密传输的交换设备包括交换模块以及多个端口模块,所述所有的端口模块与交换模块之间分别电性相连;所述端口模块包含算法模块、接口模块、保密处理模块以及密钥管理模块,所述保密处理模块分别与接口模块、算法模块以及密钥管理模块电性相连。
上述端口模块支持链路层密钥管理能力,所述端口模块为该交换设备与其他网络节点之间建立用于对数据帧的加解密的共享密钥;所建立的共享密钥是预共享的或是在节点身份鉴别成功后协商的;所述共享密钥均由端口模块的密钥管理模块进行管理存储;
所述算法模块涉及加解密算法和/或完整性校验算法,可以是硬件实现或软件实现。
一种支持链路层保密传输的交换设备的数据处理方法,其特殊之处在于:所述方法包括以下步骤:
1)交换设备端口Port X的接口模块接收数据帧Frame A1,并将其提交给端口Port X的保密处理模块;所述数据帧Frame A1包括第一帧头以及第一有效负载;
2)交换设备端口Port X的保密处理模块根据Frame A1的第一帧头的信息,结合端口Port X的密钥管理模块和算法模块处理Frame A1,构造Frame A2,提交给交换设备的交换模块;所述数据帧Frame A2包括第二帧头以及第二有效负载;
3)交换设备的交换模块提取Frame A2的第二帧头的信息,若第二帧头中DA字段与交换设备MAC地址一致,则交换设备将Frame A2第二有效负载递交给链路层的上层(譬如网络层、应用层等)处理;若不一致,则交换设备将根据本地的MAC地址学习信息,正确地将Frame A2交换至端口Port Y的保密处理模块;
4)交换设备端口Port Y的保密处理模块,根据第二帧头的信息结合端口PortY的密钥管理模块和算法模块处理Frame A2,构造Frame A3,通过端口Port Y的接口模块将Frame A3输出;所述数据帧Frame A3包括第三帧头以及第三有效负载;
其中:
Port X:交换设备的第一端口模块,该Port X作为数据帧Frame A的输入端;
Port Y:交换设备的第二端口模块,该Port Y作为数据帧Frame A的输出端;
Frame A1:表示端口Port X的接口模块收到的数据帧;
Frame A2:表示端口Port X的保密处理模块提交给交换模块的数据帧;
Frame A3:表示端口Port Y的接口模块最终输出的数据帧;
若交换设备收到的Frame A1是加密数据帧,交换设备需要对该数据帧解密再加密处理后转发,则记对数据帧Frame A1解密处理构造Frame A2使用的密钥为KEY1;记对数据帧Frame A2加密处理构造Frame A3使用的密钥为KEY2;则交换设备Port X用KEY1对Frame A1进行解密处理构造Frame A2;Port Y利用KEY2对Frame A2进行加密处理构造Frame A3。
上述支持链路层保密传输的交换设备支持标准的ISO/IEC 8802-3数据帧或支持链路层加密协议数据帧。
上述支持链路层保密传输的交换设备支持链路层加密协议数据帧时,所述支持的链路层加密协议数据帧中包括帧头字段和有效负载字段;
帧头包括:DA字段、SA字段、Ethertype字段、isE字段、keyIndex字段以及MAClist字段;
其中:
DA字段:表示目的节点的标识,取值目的节点的MAC地址;
SA字段:表示源节点的标识,取值源节点的MAC地址;
Ethertype字段:表示以太类型字段,取值为链路层加密协议的以太类型字段;用于标识对应的链路层加密协议及帧结构;
isE字段:表示加密标志位,用于标识数据帧的有效负载是用户数据的明文信息还是密文信息,数据包的接收方将该字段作为是否需要解密的一个判断因素;
keyIndex字段:表示对有效负载进行保护的密钥的标识;
MAClist字段:表示特定MAC地址列表信息,该字段是可选字段;
有效负载字段:表示用户数据信息,可以是用户数据的明文信息也可以是用户数据的密文信息。
当所述MAClist字段存在时,所述MAClist字段所给出的特定MAC地址列表中的交换设备,若为目的节点,则需要对接收到的数据帧进行解密接收;若不为目的节点,则需要对接收到的数据帧进行解密再加密再转发;所述MAClist字段所给出的特定MAC地址列表外的交换设备,若为目的节点,则需要对接收到的数据帧进行解密接收;若不为目的节点,则只需要对接收到的密文数据包直接转发;
当所述MAClist字段不存在时,接收到该数据帧的交换设备,若为目的节点,则需要对接收到的数据帧进行解密接收;若不为目的节点,则需对接收到的数据帧进行解密再加密再转发。
当所述MAClist字段存在时,所述MAClist字段所给出的特定MAC地址列表中的交换设备对密文数据包解密所使用的密钥的检索信息包含MAClist、SA、keyIndex;加密所使用的密钥的检索信息包含MAClist、DA;
当所述MAClist字段不存在时,交换设备需要对所有要转发的密文数据包解密再加密再转发,对密文数据包进行解密所使用的密钥的检索信息包含SA、keyIndex;加密所使用的密钥的检索信息包含DA。
上述步骤2)的具体实现方式是:
2.1.1)端口Port X保密处理模块根据数据帧Frame A1中的Ethertype字段确定数据封装所使用的链路层加密协议,并根据isE字段判断第一有效负载是否加密,若有加密,则执行步骤2.1.2);否没有加密,则将Frame A1作为Frame A2,执行步骤2.1.6);
2.1.2)若数据帧Frame A1中存在MAClist字段,则判断交换设备的MAC地址是否在MAClist字段所给出的特定MAC地址列表中,若不在该列表中,则将FrameA1作为Frame A2,执行步骤2.1.6);若交换设备的MAC地址在该列表中,则执行步骤2.1.3);若数据帧Frame A1中没有MAClist字段,则执行步骤2.1.3);
2.1.3)端口Port X保密处理模块根据数据帧Frame A1的keyIndex字段及SA字段或根据数据帧Frame A1的keyIndex字段、SA字段及MAClist字段判断对FrameA1进行保密处理的密钥KEY1的检索信息,将密钥KEY1的检索信息发送给端口Port X的密钥管理模块;
2.1.4)端口Port X的密钥管理模块根据密钥KEY1的检索信息,查找对应的密钥KEY1,并将密钥KEY1反馈给端口Port X的保密处理模块;
2.1.5)端口Port X的保密处理模块调用算法模块,输入密钥KEY1和Frame A1的第一有效负载,解密得到Frame A1第一有效负载的明文信息,并构造FrameA2:将Frame A1第一有效负载的明文信息作为Frame A2的第二有效负载,Frame A1的第一帧头信息作为Frame A2的第二帧头信息;
2.1.6)端口Port X的保密处理模块将Frame A2提交给交换模块。
上述步骤4)的具体实现方式是:
4.1.1)端口Port Y的保密处理模块根据Frame A2的中的Ethertype字段确定数据封装所使用的链路层加密协议,并根据isE字段判断第二有效负载是否需要进行加密以密文形式在网络中传输,若需要加密,则执行步骤4.1.2);若不需要加密,则将Frame A2作为Frame A3,执行步骤4.1.6);
4.1.2)若数据帧Frame A2中存在MAClist字段,则判断交换设备的MAC地址是否在MAClist字段所给出的特定MAC地址列表中,若不在该列表中,则将FrameA2作为Frame A3,执行步骤4.1.6);若交换设备的MAC地址在该列表中则执行步骤4.1.3);若数据帧Frame A2中没有MAClist字段,则执行步骤4.1.3);
4.1.3)端口PortY的保密处理模块根据数据帧Frame A2的DA字段或根据数据帧Frame A2的DA字段及MAClist字段判断对Frame A2进行保密处理的密钥KEY2的检索信息,将密钥KEY2的检索信息发送给端口Port Y的密钥管理模块;
4.1.4)端口Port Y的密钥管理模块,根据密钥KEY2的检索信息查找可使用的密钥,结合本地策略选择一个密钥KEY2,将密钥KEY2及密钥KEY2的标识keyIndex反馈给端口Port Y的保密处理模块;
4.1.5)端口Port Y的保密处理模块调用算法模块,输入密钥KEY2和Frame A2的第二有效负载,加密得到Frame A2的第二有效负载的密文信息,并构造FrameA3:将Frame A2第二有效负载的密文信息作为Frame A3的第三有效负载,并根据所使用的密钥KEY2,用KEY2的keyIndex更新Frame A2的第二帧头中的keyIndex字段作为Frame A3的第三帧头信息;
4.1.6)端口Port Y的保密处理模块将Frame A3通过接口模块输出。
上述支持链路层保密传输的交换设备支持链路层加密协议数据帧时,所述支持的链路层加密协议数据帧中的帧头还包括MIC字段,所述MIC字段表示完整性校验码,是对数据帧Frame计算得到的完整性校验值;所述完整性校验MIC计算覆盖的字段范围根据交换设备支持的Ethertype对应的链路层加密协议确定;所述对数据帧进行保密处理时,所述数据帧进行保密处理的密钥包含两部分,一部分是完整性校验密钥,另一部分是会话加密密钥;完整性校验密钥用于对数据帧计算完整性校验码MIC;会话加密密钥用于对数据帧有效负载进行加密;
MIC1是对数据帧Frame A1计算得到的完整性校验值;
MIC2是对数据帧Frame A2计算得到的完整性校验值;
MIC3是对数据帧Frame A3计算得到的完整性校验值。
上述支持链路层保密传输的交换设备对数据帧的保密处理先对数据帧计算完整性校验码构造MIC字段,后对数据帧用户数据进行加密处理构造有效负载字段;或,先对数据帧用户数据进行加密处理构造有效负载字段,后计算完整性校验码构造MIC字段。
上述保密处理,先对数据帧计算完整性校验码构造MIC字段,后对数据帧用户数据进行加密处理构造有效负载字段时,所述步骤2)的具体实现方式是:
2.2.1)端口Port X保密处理模块根据数据帧Frame A1中的Ethertype字段确定数据封装所使用的链路层加密协议;
2.2.2)若数据帧Frame A1中存在MAClist字段,则判断交换设备的MAC地址是否在MAClist字段所给出的特定MAC地址列表中,若不在该列表中,则将FrameA1作为Frame A2,执行步骤2.2.9);若交换设备的MAC地址在该列表中,则执行步骤2.2.3);若数据帧Frame A1中没有MAClist字段,则执行步骤2.2.3);
2.2.3)端口Port X保密处理模块根据数据帧Frame A1的keyIndex字段及SA字段或根据数据帧Frame A1的keyIndex字段、SA字段及MAClist字段判断对FrameA1的进行保密处理所需要的密钥KEY1的检索信息,将密钥KEY1的检索信息发送给端口Port X的密钥管理模块;
2.2.4)端口Port X的密钥管理模块根据密钥KEY1的检索信息,查找对应的密钥KEY1,并将密钥KEY1反馈给端口Port X的保密处理模块;
2.2.5)端口Port X的保密处理模块根据isE字段判断第一有效负载是否加密,若有加密,则执行步骤2.2.6);否则,Frame A1的第一有效负载就是第一有效负载的明文信息,执行步骤2.2.7);
2.2.6)端口Port X的保密处理模块调用算法模块,输入密钥KEY1的会话加密密钥和Frame A1的第一有效负载,解密得到Frame A1第一有效负载的明文信息;
2.2.7)端口Port X的保密处理模块调用算法模块,输入密钥KEY1的完整性校验密钥和Frame A1的第一有效负载的明文信息,验证MIC1字段的正确性;若正确,则执行2.2.8);否则,丢弃该分组;
2.2.8)端口Port X的保密处理模块构造FrameA2:将Frame A1第一有效负载的明文信息作为Frame A2的第二有效负载,Frame A1的第一帧头信息作为FrameA2的第二帧头信息;
2.2.9)端口Port X的保密处理模块将Frame A2提交给交换模块。
所述步骤4)的具体实现方式是:
4.2.1)端口Port Y的保密处理模块根据Frame A2的中的Ethertype字段确定数据封装所使用的链路层加密协议;
4.2.2)若数据帧Frame A2中存在MAClist字段,则判断交换设备的MAC地址是否在MAClist字段所给出的特定MAC地址列表中,若不在该列表中,则将FrameA2作为Frame A3,执行步骤4.2.9);若交换设备的MAC地址在该列表中则执行步骤4.2.3);若数据帧Frame A2中没有MAClist字段,则执行步骤4.2.3);
4.2.3)端口Port Y的保密处理模块根据数据帧Frame A2的DA字段或根据数据帧Frame A2的DA字段及MAClist字段判断对Frame A2进行保密处理所需要的密钥KEY2的检索信息,将密钥KEY2的检索信息发送给端口Port Y的密钥管理模块;
4.2.4)端口Port Y的密钥管理模块,根据密钥KEY2的检索信息查找可使用的密钥,结合本地策略选择一个密钥KEY2,将该密钥KEY2及密钥KEY2的标识keyIndex反馈给端口Port Y的保密处理模块;
4.2.5)端口Port Y的保密处理模块调用算法模块,输入密钥KEY2的完整性校验密钥和Frame A2的有效负载,计算得到完整性校验码MIC3字段;
4.2.6)端口Port X保密处理模块根据数据帧Frame A2的isE字段判断第二有效负载是否需要进行加密以密文形式在网络中传输,若需要加密,则执行步骤4.2.7);否则,执行步骤4.2.8);
4.2.7)端口Port Y的保密处理模块调用算法模块,输入密钥KEY2的会话加密密钥和Frame A2的第二有效负载,加密得到Frame A2的第二有效负载的密文信息,并构造FrameA3:将Frame A2第二有效负载的密文信息作为Frame A3的第三有效负载,并根据所使用的密钥KEY2的keyIndex信息更新Frame A2的第二帧头中的keyIndex字段作为Frame A3的第三帧头信息,用步骤4.2.5)计算得到的MIC3作为Frame A3的MIC3,即第三帧头是用KEY2的keyIndex更新keyIndex字段后的第二帧头,第三有效负载是第二有效负载的密文信息,MIC3是步骤4.2.5)计算得到的MIC3,执行步骤4.2.9);
4.2.8)端口Port Y的保密处理模块构造FrameA3:将Frame A2的第二有效负载作为Frame A3的第三有效负载,并根据所使用的密钥KEY2的keyIndex信息更新Frame A2的第二帧头中的keyIndex字段作为Frame A3的第二帧头信息,用步骤4.2.5)计算得到的MIC3作为Frame A3中的MIC3字段;
4.2.9)端口Port Y的保密处理模块将Frame A3通过接口模块输出。
上述保密处理,先对数据帧用户数据进行加密处理构造有效负载字段,后计算完整性校验码构造MIC字段时,
所述步骤2)的具体实现方式是:
2.3.1)端口Port X保密处理模块根据数据帧Frame A1中的Ethertype字段确定数据封装所使用的链路层加密协议;
2.3.2)若数据帧Frame A1中存在MAClist字段,则判断交换设备的MAC地址是否在MAClist字段所给出的特定MAC地址列表中,若不在该列表中,则将FrameA1作为Frame A2,执行步骤2.3.9);若交换设备的MAC地址在该列表中则执行步骤2.3.3);若数据帧Frame A1中没有MAClist字段,则执行步骤2.3.3);
2.3.3)端口Port X保密处理模块根据数据帧Frame A1的keyIndex字段及SA字段或根据数据帧Frame A1的keyIndex字段、SA字段及MAClist字段判断对FrameA1的进行保密处理所需要的密钥KEY1的检索信息,将密钥KEY1的检索信息发送给端口Port X的密钥管理模块;
2.3.4)端口Port X的密钥管理模块根据密钥KEY1的检索信息,查找对应的密钥KEY1,并将密钥KEY1反馈给端口Port X的保密处理模块;
2.3.5)端口Port X的保密处理模块调用算法模块,输入密钥KEY1的完整性校验密钥和Frame A1的第一有效负载,验证MIC1字段的正确性;若正确,则执行2.3.6);否则,丢弃该分组;
2.3.6)端口Port X的保密处理模块根据isE字段判断第一有效负载是否加密,若有加密,则执行步骤2.3.7);否则,Frame A1的第一有效负载就是第一有效负载的明文信息,执行步骤2.3.8);
2.3.7)端口Port X的保密处理模块调用算法模块,输入密钥KEY1的会话加密密钥和Frame A1的第一有效负载1,解密得到Frame A1第一有效负载的明文信息;
2.3.8)端口Port X的保密处理模块构造FrameA2:将Frame A1的第一有效负载的明文信息作为Frame A2的第二有效负载,Frame A1的第一帧头信息作为Frame A2的第二帧头信息;
2.3.9)端口Port X的保密处理模块将Frame A2提交给交换模块。
所述步骤4)的具体实现方式是:
4.3.1)端口Port Y的保密处理模块根据Frame A2的中的Ethertype字段确定数据封装所使用的链路层加密协议;
4.3.2)若数据帧Frame A2中存在MAClist字段,则判断交换设备的MAC地址是否在MAClist字段所给出的特定MAC地址列表中,若不在该列表中,则将FrameA2作为Frame A3,执行步骤4.3.9);若交换设备的MAC地址在该列表中则执行步骤4.3.3);若数据帧Frame A2中没有MAClist字段,则执行步骤4.3.3);
4.3.3)端口Port Y的保密处理模块根据数据帧Frame A2的DA字段或根据数据帧Frame A2的DA字段及MAClist字段判断对Frame A2进行保密处理所需要的密钥KEY2的检索信息,将密钥KEY2的检索信息发送给端口Port Y的密钥管理模块,执行4.3.4);
4.3.4)端口Port Y的密钥管理模块,根据密钥KEY2的检索信息查找可使用的密钥,结合本地策略选择一个密钥KEY2,将该密钥KEY2及密钥KEY2的标识keyIndex反馈给端口Port Y的保密处理模块;
4.3.5)端口Port X保密处理模块根据数据帧Frame A2的isE字段判断有效负载2是否需要进行加密以密文形式在网络中传输,若需要加密,则执行步骤4.3.6);若不需要加密,则执行步骤4.3.8);
4.3.6)端口Port Y的保密处理模块调用算法模块,输入密钥KEY2的会话加密密钥和Frame A2的第二有效负载,加密得到Frame A2的第二有效负载的密文信息;
4.3.7)端口Port Y的保密处理模块调用算法模块,输入密钥KEY2的完整性校验密钥和Frame A2的第二有效负载的密文信息,计算得到完整性校验码MIC3字段;并构造FrameA3:将Frame A2的第二有效负载的密文信息作为Frame A3的第三有效负载,并根据所使用的密钥KEY2的keyIndex信息更新Frame A2的第二帧头中的keyIndex字段作为Frame A3的第三帧头信息,用计算得到的MIC3作为Frame A3中的MIC3字段,执行步骤4.3.9);
4.3.8)端口Port Y的保密处理模块调用算法模块,输入密钥KEY2的完整性校验密钥和Frame A2的第二有效负载,计算得到完整性校验码MIC3字段;构造FrameA3:将Frame A2第二有效负载作为Frame A3的第三有效负载,并根据所使用的密钥KEY2的keyIndex信息更新Frame A2的第二帧头中的keyIndex字段作为Frame A3的第三帧头信息,用计算得到的MIC3作为Frame A3中的MIC3字段;
4.3.9)端口Port Y的保密处理模块将Frame A3通过接口模块输出。
本发明的优点是:
本发明所提供的支持链路层保密传输的交换设备既可以支持标准的ISO/IEC 8802-3数据帧,也支持各种链路层加密协议数据帧,包括IEEE802.1AE和国内自主知识产权的TLSec数据帧。在实现前向兼容的同时,可以实现对各种链路层加密协议的支持,实现数据帧在链路层的保密传输,提高网络的安全性。本发明所提供的支持链路层保密传输的交换设备,相对于IEEE 802.1AE交换设备,除支持链路层保密传输外,因为具有处理含MAClist字段的链路层加密协议数据帧的能力,不需要对所有要转发的数据帧都进行解密再加密再转发的操作,从而可降低交换设备的计算负担。另外,本发明交换设备支持多种数据帧,因此具备与其他交换设备的混合组网的能力,网络升级代价更小。
附图说明
图1为本发明所提供的支持链路层保密传输的交换设备的示意图;
图2为本发明所提供的支持链路层保密传输的交换设备数据处理流程图;
具体实施方式
参见图1,本发明提供的支持链路层保密传输的交换设备包括交换模块以及多个端口模块;其中所有的端口模块与交换模块之间分别电性相连;每一端口模块包含算法模块、接口模块、保密处理模块以及密钥管理模块,其中保密处理模块分别与接口模块、算法模块、密钥管理模块之间电性相连。
每一端口模块支持链路层密钥管理能力,可以为该交换设备与其他网络节点之间建立共享密钥,用于对数据帧的加解密;所建立的共享密钥可以是预共享的,也可以是在节点身份鉴别成功后协商的,均由端口模块的密钥管理模块进行管理存储;
算法模块涉及加解密算法和/或完整性校验算法,可以是硬件实现也可以是软件实现。
本发明提供的支持链路层保密传输的交换设备支持标准的ISO/IEC 8802-3数据帧,还支持链路层加密协议数据帧,所支持的链路层加密协议数据帧中包括:
| 帧头 | 有效负载 |
其中帧头包括:
| DA | SA | Ethertype | isE | keyIndex | MAClist |
其中:
DA字段:表示目的节点的标识,取值目的节点的MAC地址;
SA字段:表示源节点的标识,取值源节点的MAC地址;
Ethertype字段:表示以太类型字段,取值为链路层加密协议的以太类型字段;用于标识对应的链路层加密协议及帧结构;
isE字段:表示加密标志位,用于标识数据帧的有效负载是用户数据的明文信息还是密文信息,数据包的接收方将该字段作为是否需要解密的一个判断因素;
keyIndex字段:表示对有效负载进行保护的密钥的标识;
MAClist字段:表示特定MAC地址列表信息,该字段是可选字段;
有效负载字段:表示用户数据信息,可以是用户数据的明文信息也可以是用户数据的密文信息;
上述MAClist字段存在时,所述MAClist字段所给出的特定MAC地址列表中的交换设备,若为目的节点,则需要对接收到的数据帧进行解密接收;若不为目的节点,则需要对接收到的数据帧进行解密再加密再转发;所述MAClist字段所给出的特定MAC地址列表外的交换设备,若为目的节点,则需要对接收到的数据帧进行解密接收;若不为目的节点,则只需要对接收到的密文数据包直接转发;
上述MAClist字段不存在时,接收到该数据帧的交换设备,若为目的节点,则需要对接收到的数据帧进行解密接收;若不为目的节点,则需对接收到的数据帧进行解密再加密再转发。
上述MAClist存在时,该字段所给出的特定MAC地址列表中的交换设备对密文数据包解密所使用的密钥的检索信息包含MAClist、SA、keyIndex;加密所使用的密钥的检索信息包含MAClist、DA。
上述MAClist不存在时,交换设备需要对所有要转发的密文数据包解密再加密再转发,对密文数据包进行解密所使用的密钥的检索信息包含SA、keyIndex;加密所使用的密钥的检索信息包含DA。
密钥检索信息的具体判断方法本发明不予限定,依据交换设备具体支持的由Ethertype标识链路层加密协议限定。解密时,根据密钥检索信息只会检索得到唯一的密钥;加密时,根据密钥检索信息可能检索得到多个密钥,交换设备根据本地策略选择一个,并将所选密钥的keyIndex填写到数据帧的帧头中。
参见图2,支持链路层保密传输的交换设备的端口模块可以是交换设备的入口,也可以是交换设备的出口。
以数据帧Frame A为例进行说明,Frame A从交换设备的端口Port X输入,从端口Port Y输出;为了区分不同模块之间传输的Frame A的不同,分别用FrameA1-A3进行标识,其中:
Frame A1:表示端口Port X接口模块收到的数据帧;
Frame A2:表示端口Port X保密处理模块提交给交换模块的数据帧;
Frame A3:表示端口Port Y接口模块最终输出的数据帧。
若交换设备收到的Frame A1是加密数据帧,交换设备需要对该数据帧解密再加密处理后转发,则记对数据帧Frame A1解密处理构造Frame A2使用的密钥为KEY1;记对数据帧Frame A2加密处理构造Frame A3使用的密钥为KEY2;则交换设备Port X用KEY1对Frame A1进行解密处理构造Frame A2;Port Y利用KEY2对Frame A2进行加密处理构造Frame A3。
本发明支持链路层保密传输的交换设备数据处理流程的实施方式如下:
1)交换设备端口Port X的接口模块接收数据帧Frame A1,并将其提交给端口Port X的保密处理模块;
2)交换设备端口Port X的保密处理模块根据Frame A1的帧头1的信息,结合端口Port X的密钥管理模块和算法模块处理Frame A1,构造Frame A2,提交给交换设备的交换模块;
3)交换设备的交换模块提取Frame A2的帧头2信息,若帧头2中DA字段与交换设备MAC地址一致,则交换设备将Frame A2有效负载2递交给链路层的上层(譬如网络层、应用层等)处理;否则交换设备将根据本地的MAC地址学习信息,正确地将Frame A2交换至端口Port Y的保密处理模块;
4)交换设备端口Port Y的保密处理模块,根据帧头2的信息结合端口Port Y的密钥管理模块和算法模块处理Frame A2,构造Frame A3,通过端口Port Y的接口模块将Frame A3输出;
其中,上述步骤2)的具体流程是:
2.1)端口Port X保密处理模块根据数据帧Frame A1中的Ethertype字段确定数据封装所使用的链路层加密协议,并根据isE字段判断有效负载1是否加密,若有加密,则执行步骤2.2);否则,直接将Frame A1作为Frame A2,即帧头2与帧头1相同,有效负载2与有效负载1相同,执行步骤2.6);
2.2)若数据帧Frame A1中存在MAClist字段,则判断交换设备的MAC地址是否在MAClist字段所给出的特定MAC地址列表中,若不在该列表中,则直接将Frame A1作为Frame A2,即帧头2与帧头1相同,有效负载2与有效负载1相同,执行步骤2.6),若交换设备的MAC地址在该列表中则执行步骤2.3);若数据帧Frame A1中没有MAClist字段,则直接执行步骤2.3);
2.3)端口Port X保密处理模块根据数据帧Frame A1的keyIndex字段及SA字段或根据数据帧Frame A1的keyIndex字段、SA字段及MAClist字段判断对Frame A1进行保密处理的密钥KEY1的检索信息,将密钥KEY1的检索信息发送给端口PortX的密钥管理模块;
2.4)端口Port X的密钥管理模块根据密钥KEY1的检索信息,查找对应的密钥KEY1,并将密钥KEY1反馈给端口Port X的保密处理模块;
2.5)端口Port X的保密处理模块调用算法模块,输入密钥KEY1和Frame A1的有效负载1,解密得到Frame A1有效负载1的明文信息,并构造FrameA2:将Frame A1有效负载1的明文信息作为Frame A2的有效负载2,Frame A1的帧头1信息直接作为Frame A2的帧头2信息,即帧头2与帧头1相同,有效负载2是有效负载1的明文信息;
2.6)端口Port X的保密处理模块将Frame A2提交给交换模块。
其中上述步骤4)的具体流程是:
4.1)端口Port Y的保密处理模块根据Frame A2的中的Ethertype字段确定数据封装所使用的链路层加密协议,并根据isE字段判断有效负载2是否需要进行加密以密文形式在网络中传输,若需要加密,则执行步骤4.2);否则,直接将Frame A2作为Frame A3,即帧头3与帧头2相同,有效负载3与有效负载2相同,执行步骤4.6);
4.2)若数据帧Frame A2中存在MAClist字段,则判断交换设备的MAC地址是否在MAClist字段所给出的特定MAC地址列表中,若不在该列表中,则直接将Frame A2作为Frame A3,即帧头3与帧头2相同,有效负载3与有效负载2相同,直接执行步骤4.6),若交换设备的MAC地址在该列表中则执行步骤4.3);若数据帧Frame A2中没有MAClist字段,则执行步骤4.3);
4.3)端口PortY的保密处理模块根据数据帧Frame A2的DA字段或根据数据帧Frame A2的DA字段及MAClist字段判断对Frame A2进行保密处理的密钥KEY2的检索信息,将密钥KEY2的检索信息发送给端口Port Y的密钥管理模块,执行4.4);
4.4)端口Port Y的密钥管理模块,根据密钥KEY2的检索信息查找可使用的密钥,结合本地策略选择一个密钥KEY2,将该密钥KEY2及密钥KEY2的标识keyIndex反馈给端口Port Y的保密处理模块;
4.5)端口Port Y的保密处理模块调用算法模块,输入密钥KEY2和Frame A2的有效负载2,加密得到Frame A2的有效负载2的密文信息,并构造FrameA3:将Frame A2有效负载2的密文信息作为Frame A3的有效负载3,并根据所使用的密钥KEY2,用KEY2的keyIndex更新Frame A2的帧头2中的keyIndex字段作为FrameA3的帧头3信息,即帧头3是用KEY2的keyIndex更新keyIndex字段后的帧头2,有效负载3是有效负载2的密文信息;
4.6)端口Port Y的保密处理模块将Frame A3通过接口模块输出。
在其他实施方式中,本发明支持链路层保密传输的交换设备所支持的链路层加密协议数据帧还可包括MIC字段(如图2中的MIC1、MIC2、MIC3),所述MIC字段表示完整性校验码,是对数据帧Frame(如图2中的Frame A1、Frame A2、Frame A3)计算得到的完整性校验值;所述完整性校验MIC计算覆盖的字段范围根据交换设备支持的Ethertype对应的链路层加密协议确定;在支持MIC字段的实施方式中,对数据帧进行保密处理的密钥包含两部分,一部分是完整性校验密钥,另一部分是会话加密密钥;完整性校验密钥用于对数据帧计算完整性校验码MIC;会话加密密钥用于对数据帧有效负载进行加密。
支持链路层保密传输的交换设备对数据帧的保密处理可以是先对数据帧计算完整性校验码构造MIC字段,后对数据帧用户数据进行加密处理构造有效负载字段;也可以是先对数据帧用户数据进行加密处理构造有效负载字段,后计算完整性校验码构造MIC字段。
由于进行的加密处理存在加密和不加密两种策略,则先计算完整性校验码构造MIC字段的方式,在接收时,需要先考虑是否需要解密,后确认MIC字段的正确性;
后计算完整性校验码构造MIC字段的方式,在接收时,是要先确认MIC字段的正确性,后考虑是否需要解密。其中:
一、当对数据帧先计算完整性校验码构造MIC字段,后考虑对数据帧用户数据加密构造有效负载字段处理时,上述步骤2)的具体流程是:
2.1)端口Port X保密处理模块根据数据帧Frame A1中的Ethertype字段确定数据封装所使用的链路层加密协议;
2.2)若数据帧Frame A1中存在MAClist字段,则判断交换设备的MAC地址是否在MAClist字段所给出的特定MAC地址列表中,若不在该列表中,则直接将Frame A1作为Frame A2,即帧头2与帧头1相同,有效负载2与有效负载1相同,MIC2与MIC1相同,执行步骤2.9);若交换设备的MAC地址在该列表中则执行步骤2.3);若数据帧Frame A1中没有MAClist字段,则直接执行步骤2.3);
2.3)端口Port X保密处理模块根据数据帧Frame A1的keyIndex字段及SA字段或根据数据帧Frame A1的keyIndex字段、SA字段及MAClist字段判断对Frame A1的进行保密处理所需要的密钥KEY1的检索信息,将密钥KEY1的检索信息发送给端口Port X的密钥管理模块;
2.4)端口Port X的密钥管理模块根据密钥KEY1的检索信息,查找对应的密钥KEY1,并将密钥KEY1反馈给端口Port X的保密处理模块;
2.5)端口Port X的保密处理模块根据isE字段判断有效负载1是否加密,若有加密,则执行步骤2.6);否则,Frame A1的有效负载1就是有效负载1的明文信息,直接执行步骤2.7);
2.6)端口Port X的保密处理模块调用算法模块,输入密钥KEY1的会话加密密钥和Frame A1的有效负载1,解密得到Frame A1有效负载1的明文信息;
2.7)端口Port X的保密处理模块调用算法模块,输入密钥KEY1的完整性校验密钥和Frame A1的有效负载1的明文信息,验证MIC1字段的正确性;若正确,则执行2.8);否则,丢弃该分组;
2.8)端口Port X的保密处理模块构造FrameA2:将Frame A1有效负载1的明文信息作为Frame A2的有效负载2,Frame A1的帧头1信息直接作为Frame A2的帧头2信息,即帧头2与帧头1相同,有效负载2是有效负载1的明文;
2.9)端口Port X的保密处理模块将Frame A2提交给交换模块。
上述步骤4)的具体流程是:
4.1)端口Port Y的保密处理模块根据Frame A2的中的Ethertype字段确定数据封装所使用的链路层加密协议;
4.2)若数据帧Frame A2中存在MAClist字段,则判断交换设备的MAC地址是否在MAClist字段所给出的特定MAC地址列表中,若不在该列表中,则直接将Frame A2作为Frame A3,即帧头3与帧头2相同,有效负载3与有效负载2相同,MIC3与MIC2相同,直接执行步骤4.9);若交换设备的MAC地址在该列表中则执行步骤4.3);若数据帧Frame A2中没有MAClist字段,则执行步骤4.3);
4.3)端口Port Y的保密处理模块根据数据帧Frame A2的DA字段或根据数据帧Frame A2的DA字段及MAClist字段判断对Frame A2进行保密处理所需要的密钥KEY2的检索信息,将密钥KEY2的检索信息发送给端口Port Y的密钥管理模块,执行4.4);
4.4)端口Port Y的密钥管理模块,根据密钥KEY2的检索信息查找可使用的密钥,结合本地策略选择一个密钥KEY2,将该密钥KEY2及密钥KEY2的标识keyIndex反馈给端口Port Y的保密处理模块;
4.5)端口Port Y的保密处理模块调用算法模块,输入密钥KEY2的完整性校验密钥和Frame A2的有效负载,计算得到完整性校验码MIC3字段;
4.6)端口Port X保密处理模块根据数据帧Frame A2的isE字段判断有效负载2是否需要进行加密以密文形式在网络中传输,若需要加密,则执行步骤4.7);否则,执行步骤4.8);
4.7)端口Port Y的保密处理模块调用算法模块,输入密钥KEY2的会话加密密钥和Frame A2的有效负载2,加密得到Frame A2的有效负载2的密文信息,并构造FrameA3:将Frame A2有效负载2的密文信息作为Frame A3的有效负载3,并根据所使用的密钥KEY2的keyIndex信息更新Frame A2的帧头2中的keyIndex字段作为Frame A3的帧头3信息,用步骤4.5)计算得到的MIC3作为Frame A3的MIC3字段,即帧头3是用KEY2的keyIndex更新keyIndex字段后的帧头2,有效负载3是有效负载2的密文信息,MIC3是步骤4.5)计算得到的MIC3,执行步骤4.9);
4.8)端口Port Y的保密处理模块构造FrameA3:将Frame A2有效负载2直接作为Frame A3的有效负载3,并根据所使用的密钥KEY2的keyIndex信息更新Frame A2的帧头2中的keyIndex字段作为Frame A3的帧头3信息,用步骤4.5)计算得到的MIC3作为Frame A3的MIC3字段,即帧头3是用KEY2的keyIndex更新keyIndex字段后的帧头2,有效负载3与有效负载2相同,MIC3是步骤4.5)计算得到的MIC3;执行步骤4.9);
4.9)端口Port Y的保密处理模块将Frame A3通过接口模块输出。
二、当对数据帧用户数据先考虑加密处理构造有效负载字段,后计算完整性校验码构造MIC字段时,上述步骤2)的具体流程是:
2.1)端口Port X保密处理模块根据数据帧Frame A1中的Ethertype字段确定数据封装所使用的链路层加密协议;
2.2)若数据帧Frame A1中存在MAClist字段,则判断交换设备的MAC地址是否在MAClist字段所给出的特定MAC地址列表中,若不在该列表中,则直接将Frame A1作为Frame A2,即帧头2与帧头1相同,有效负载2与有效负载1相同,MIC2与MIC1相同,执行步骤2.9);若交换设备的MAC地址在该列表中则执行步骤2.3);若数据帧Frame A1中没有MAClist字段,则直接执行步骤2.3);
2.3)端口Port X保密处理模块根据数据帧Frame A1的keyIndex字段及SA字段或根据数据帧Frame A1的keyIndex字段、SA字段及MAClist字段判断对Frame A1的进行保密处理所需要的密钥KEY1的检索信息,将密钥KEY1的检索信息发送给端口Port X的密钥管理模块;
2.4)端口Port X的密钥管理模块根据密钥KEY1的检索信息,查找对应的密钥KEY1,并将密钥KEY1反馈给端口Port X的保密处理模块;
2.5)端口Port X的保密处理模块调用算法模块,输入密钥KEY1的完整性校验密钥和Frame A1的有效负载1,验证MIC1字段的正确性;若正确,则执行2.6);否则,丢弃该分组;
2.6)端口Port X的保密处理模块根据isE字段判断有效负载1是否加密,若有加密,则执行步骤2.7);否则,Frame A1的有效负载1就是有效负载1的明文信息,直接执行步骤2.8);
2.7)端口Port X的保密处理模块调用算法模块,输入密钥KEY1的会话加密密钥和Frame A1的有效负载1,解密得到Frame A1有效负载1的明文信息;
2.8)端口Port X的保密处理模块构造FrameA2:将Frame A1有效负载的明文信息作为Frame A2的有效负载,Frame A1的帧头1信息直接作为Frame A2的帧头2信息,即帧头2与帧头1相同,有效负载2是有效负载1的明文信息;
2.9)端口Port X的保密处理模块将Frame A2提交给交换模块。
上述步骤4)的具体流程是:
4.1)端口Port Y的保密处理模块根据Frame A2的中的Ethertype字段确定数据封装所使用的链路层加密协议;
4.2)若数据帧Frame A2中存在MAClist字段,则判断交换设备的MAC地址是否在MAClist字段所给出的特定MAC地址列表中,若不在该列表中,则直接将Frame A2作为Frame A3,即帧头3与帧头2相同,有效负载3与有效负载2相同,MIC3与MIC2相同,直接执行步骤4.9);若交换设备的MAC地址在该列表中则执行步骤4.3);若数据帧Frame A2中没有MAClist字段,则执行步骤4.3);
4.3)端口Port Y的保密处理模块根据数据帧Frame A2的DA字段或根据数据帧Frame A2的DA字段及MAClist字段判断对Frame A2进行保密处理所需要的密钥KEY2的检索信息,将密钥KEY2的检索信息发送给端口Port Y的密钥管理模块,执行4.4);
4.4)端口Port Y的密钥管理模块,根据密钥KEY2的检索信息查找可使用的密钥,结合本地策略选择一个密钥KEY2,将该密钥KEY2及密钥KEY2的标识keyIndex反馈给端口Port Y的保密处理模块;
4.5)端口Port X保密处理模块根据数据帧Frame A2的isE字段判断有效负载2是否需要进行加密以密文形式在网络中传输,若需要加密,则执行步骤4.6);否则,执行步骤4.8);
4.6)端口Port Y的保密处理模块调用算法模块,输入密钥KEY2的会话加密密钥和Frame A2的有效负载2,加密得到Frame A2的有效负载2的密文信息;
4.7)端口Port Y的保密处理模块调用算法模块,输入密钥KEY2的完整性校验密钥和Frame A2的有效负载2的密文信息,计算得到完整性校验码MIC3字段;并构造FrameA3:将Frame A2有效负载2的密文信息作为Frame A3的有效负载3,并根据所使用的密钥KEY2的keyIndex信息更新Frame A2的帧头2中的keyIndex字段作为Frame A3的帧头3信息,用计算得到的MIC3作为Frame A3的MIC3字段,即帧头3是用KEY2的keyIndex更新keyIndex字段后的帧头2,有效负载3是有效负载2的密文信息,MIC3是步骤4.7)计算得到的MIC3,执行步骤4.9);
4.8)端口Port Y的保密处理模块调用算法模块,输入密钥KEY2的完整性校验密钥和Frame A2的有效负载2,计算得到完整性校验码MIC3字段;构造FrameA3:将Frame A2有效负载2直接作为Frame A3的有效负载3,并根据所使用的密钥KEY2的keyIndex信息更新Frame A2的帧头2中的keyIndex字段作为FrameA3的帧头3信息,用计算得到的MIC3作为Frame A3的MIC3,即帧头3是用KEY2的keyIndex更新keyIndex字段后的帧头2,有效负载3与有效负载2相同,MIC3是步骤4.8)计算得到的MIC3;执行步骤4.9);
4.9)端口Port Y的保密处理模块将Frame A3通过接口模块输出。
Claims (10)
1.一种支持链路层保密传输的交换设备,其特征在于:所述支持链路层保密传输的交换设备包括交换模块以及多个端口模块,所述所有的端口模块与交换模块之间分别电性相连;所述端口模块包含算法模块、接口模块、保密处理模块以及密钥管理模块,所述保密处理模块分别与接口模块、算法模块以及密钥管理模块电性相连;
所述多个端口模块包括第一端口模块及第二端口模块,所述第一端口模块在接收到数据帧Frame A1时,将所述数据帧Frame A1提交给所述第一端口模块的保密处理模块,所述数据帧Frame A1包括第一帧头以及第一有效负载;
所述第一端口模块的保密处理模块根据数据帧Frame A1的第一帧头的信息,结合所述第一端口模块中的密钥管理模块和算法模块处理数据帧Frame A1,构造Frame A2,提交给所述交换模块;所述数据帧Frame A2包括第二帧头以及第二有效负载;
所述交换模块提取所述数据帧Frame A2的第二帧头的信息,若第二帧头中DA字段与交换设备MAC地址一致,则所述交换设备将所述数据帧Frame A2第二有效负载递交给链路层的上层处理;若不一致,则所述交换设备将根据本地的MAC地址学习信息,正确地将所述数据帧Frame A2交换至所述第二端口模块的保密处理模块,所述第二端口模块的保密处理模块,根据所述第二帧头的信息,结合所述第二端口模块的密钥管理模块和算法模块处理Frame A2,构造数据帧Frame A3,通过所述第二端口模块的接口模块将所述数据帧Frame A3输出;所述数据帧Frame A3包括第三帧头以及第三有效负载;
其中,当所述数据帧Frame A1是加密数据帧时,所述数据帧Frame A2是由所述第一端口模块对所述数据帧Frame A1进行解密处理而构造的,所述数据帧Frame A3是所述第二端口模块对所述数据帧Frame A2进行加密处理而构造的。
2.根据权利要求1所述的支持链路层保密传输的交换设备,其特征在于:所述端口模块支持链路层密钥管理能力,所述端口模块为该交换设备与其他网络节点之间建立用于对数据帧的加解密的共享密钥;所建立的共享密钥是预共享的或是在节点身份鉴别成功后协商的;所述共享密钥均由端口模块的密钥管理模块进行管理存储;
所述算法模块涉及加解密算法和/或完整性校验算法,是由硬件实现或软件实现。
3.一种支持链路层保密传输的交换设备的数据处理方法,其特征在于:所述方法包括以下步骤:
1)交换设备端口Port X的接口模块接收数据帧Frame A1,并将其提交给端口Port X的保密处理模块;所述数据帧Frame A1包括第一帧头以及第一有效负载;
2)交换设备端口Port X的保密处理模块根据Frame A1的第一帧头的信息,结合端口Port X的密钥管理模块和算法模块处理Frame A1,构造Frame A2,提交给交换设备的交换模块;所述数据帧Frame A2包括第二帧头以及第二有效负载;
3)交换设备的交换模块提取Frame A2的第二帧头的信息,若第二帧头中DA字段与交换设备MAC地址一致,则交换设备将Frame A2第二有效负载递交给链路层的上层处理;若不一致,则交换设备将根据本地的MAC地址学习信息,正确地将Frame A2交换至端口Port Y的保密处理模块;
4)交换设备端口Port Y的保密处理模块,根据第二帧头的信息结合端口PortY的密钥管理模块和算法模块处理Frame A2,构造Frame A3,通过端口Port Y的接口模块将Frame A3输出;所述数据帧Frame A3包括第三帧头以及第三有效负载;
其中:
Port X:交换设备的第一端口模块,该Port X作为数据帧Frame A的输入端;
Port Y:交换设备的第二端口模块,该Port Y作为数据帧Frame A的输出端;
Frame A1:表示端口Port X的接口模块收到的数据帧;
Frame A2:表示端口Port X的保密处理模块提交给交换模块的数据帧;
Frame A3:表示端口Port Y的接口模块最终输出的数据帧;
若交换设备收到的Frame A1是加密数据帧,交换设备需要对该数据帧解密再加密处理后转发,则记对数据帧Frame A1解密处理构造Frame A2使用的密钥为KEY1;记对数据帧Frame A2加密处理构造Frame A3使用的密钥为KEY2;则交换设备Port X用KEY1对Frame A1进行解密处理构造Frame A2;Port Y利用KEY2对Frame A2进行加密处理构造Frame A3。
4.根据权利要求3所述的支持链路层保密传输的交换设备的数据处理方法,其特征在于:所述支持链路层保密传输的交换设备支持标准的ISO/IEC 8802-3数据帧或支持链路层加密协议数据帧。
5.根据权利要求4所述的支持链路层保密传输的交换设备的数据处理方法,其特征在于:所述支持链路层保密传输的交换设备支持链路层加密协议数据帧时,所述支持的链路层加密协议数据帧中包括帧头字段和有效负载字段;
帧头包括:DA字段、SA字段、Ethertype字段、isE字段、keyIndex字段以及MAClist字段;
其中:
DA字段:表示目的节点的标识,取值目的节点的MAC地址;
SA字段:表示源节点的标识,取值源节点的MAC地址;
Ethertype字段:表示以太类型字段,取值为链路层加密协议的以太类型字段;用于标识对应的链路层加密协议及帧结构;
isE字段:表示加密标志位,用于标识数据帧的有效负载是用户数据的明文信息还是密文信息,数据包的接收方将该字段作为是否需要解密的一个判断因素;
keyIndex字段:表示对有效负载进行保护的密钥的标识;
MAClist字段:表示特定MAC地址列表信息,该字段是可选字段;
有效负载字段:表示用户数据信息,可以是用户数据的明文信息也可以是用户数据的密文信息。
6.根据权利要求5所述的支持链路层保密传输的交换设备的数据处理方法,其特征在于:当所述MAClist字段存在时,所述MAClist字段所给出的特定MAC地址列表中的交换设备,若为目的节点,则需要对接收到的数据帧进行解密接收;若不为目的节点,则需要对接收到的数据帧进行解密再加密再转发;所述MAClist字段所给出的特定MAC地址列表外的交换设备,若为目的节点,则需要对接收到的数据帧进行解密接收;若不为目的节点,则只需要对接收到的密文数据包直接转发;
当所述MAClist字段不存在时,接收到该数据帧的交换设备,若为目的节点,则需要对接收到的数据帧进行解密接收;若不为目的节点,则需对接收到的数据帧进行解密再加密再转发;
当所述MAClist字段存在时,所述MAClist字段所给出的特定MAC地址列表中的交换设备对密文数据包解密所使用的密钥的检索信息包含MAClist、SA、keyIndex;加密所使用的密钥的检索信息包含MAClist、DA;
当所述MAClist字段不存在时,交换设备需要对所有要转发的密文数据包解密再加密再转发,对密文数据包进行解密所使用的密钥的检索信息包含SA、keyIndex;加密所使用的密钥的检索信息包含DA。
7.根据权利要求6所述的支持链路层保密传输的交换设备的数据处理方法,其特征在于:所述步骤2)的具体实现方式是:
2.1.1)端口Port X保密处理模块根据数据帧Frame A1中的Ethertype字段确定数据封装所使用的链路层加密协议,并根据isE字段判断第一有效负载是否加密,若有加密,则执行步骤2.1.2);否没有加密,则将Frame A1作为Frame A2,执行步骤2.1.6);
2.1.2)若数据帧Frame A1中存在MAClist字段,则判断交换设备的MAC地址是否在MAClist字段所给出的特定MAC地址列表中,若不在该列表中,则将FrameA1作为Frame A2,执行步骤2.1.6);若交换设备的MAC地址在该列表中,则执行步骤2.1.3);若数据帧Frame A1中没有MAClist字段,则执行步骤2.1.3);
2.1.3)端口Port X保密处理模块根据数据帧Frame A1的keyIndex字段及SA字段或根据数据帧Frame A1的keyIndex字段、SA字段及MAClist字段判断对FrameA1进行保密处理的密钥KEY1的检索信息,将密钥KEY1的检索信息发送给端口Port X的密钥管理模块;
2.1.4)端口Port X的密钥管理模块根据密钥KEY1的检索信息,查找对应的密钥KEY1,并将密钥KEY1反馈给端口Port X的保密处理模块;
2.1.5)端口Port X的保密处理模块调用算法模块,输入密钥KEY1和Frame A1的第一有效负载,解密得到Frame A1第一有效负载的明文信息,并构造FrameA2:将Frame A1第一有效负载的明文信息作为Frame A2的第二有效负载,Frame A1的第一帧头信息作为Frame A2的第二帧头信息;
2.1.6)端口Port X的保密处理模块将Frame A2提交给交换模块;
所述步骤4)的具体实现方式是:
4.1.1)端口Port Y的保密处理模块根据Frame A2的中的Ethertype字段确定数据封装所使用的链路层加密协议,并根据isE字段判断第二有效负载是否需要进行加密以密文形式在网络中传输,若需要加密,则执行步骤4.1.2);若不需要加密,则将Frame A2作为Frame A3,执行步骤4.1.6);
4.1.2)若数据帧Frame A2中存在MAClist字段,则判断交换设备的MAC地址是否在MAClist字段所给出的特定MAC地址列表中,若不在该列表中,则将FrameA2作为Frame A3,执行步骤4.1.6);若交换设备的MAC地址在该列表中则执行步骤4.1.3);若数据帧Frame A2中没有MAClist字段,则执行步骤4.1.3);
4.1.3)端口PortY的保密处理模块根据数据帧Frame A2的DA字段或根据数据帧Frame A2的DA字段及MAClist字段判断对Frame A2进行保密处理的密钥KEY2的检索信息,将密钥KEY2的检索信息发送给端口Port Y的密钥管理模块;
4.1.4)端口Port Y的密钥管理模块,根据密钥KEY2的检索信息查找可使用的密钥,结合本地策略选择一个密钥KEY2,将密钥KEY2及密钥KEY2的标识keyIndex反馈给端口Port Y的保密处理模块;
4.1.5)端口Port Y的保密处理模块调用算法模块,输入密钥KEY2和Frame A2的第二有效负载,加密得到Frame A2的第二有效负载的密文信息,并构造FrameA3:将Frame A2第二有效负载的密文信息作为Frame A3的第三有效负载,并根据所使用的密钥KEY2,用KEY2的keyIndex更新Frame A2的第二帧头中的keyIndex字段作为Frame A3的第三帧头信息;
4.1.6)端口Port Y的保密处理模块将Frame A3通过接口模块输出。
8.根据权利要求5所述的支持链路层保密传输的交换设备的数据处理方法,其特征在于:所述支持链路层保密传输的交换设备支持链路层加密协议数据帧时,所述支持的链路层加密协议数据帧中的帧头还包括MIC字段,所述MIC字段表示完整性校验码,是对数据帧Frame计算得到的完整性校验值;所述完整性校验MIC计算覆盖的字段范围根据交换设备支持的Ethertype对应的链路层加密协议确定;所述对数据帧进行保密处理时,所述数据帧进行保密处理的密钥包含两部分,一部分是完整性校验密钥,另一部分是会话加密密钥;完整性校验密钥用于对数据帧计算完整性校验码MIC;会话加密密钥用于对数据帧有效负载进行加密;
MIC1是数据帧Frame A1计算得到的完整性校验值;
MIC2是数据帧Frame A2计算得到的完整性校验值;
MIC3是数据帧Frame A3计算得到的完整性校验值。
9.根据权利要求8所述的支持链路层保密传输的交换设备的数据处理方法,其特征在于:所述保密处理,先对数据帧计算完整性校验码构造MIC字段,后对数据帧用户数据进行加密处理构造有效负载字段时,
所述步骤2)的具体实现方式是:
2.2.1)端口Port X保密处理模块根据数据帧Frame A1中的Ethertype字段确定数据封装所使用的链路层加密协议;
2.2.2)若数据帧Frame A1中存在MAClist字段,则判断交换设备的MAC地址是否在MAClist字段所给出的特定MAC地址列表中,若不在该列表中,则将FrameA1作为Frame A2,执行步骤2.2.9);若交换设备的MAC地址在该列表中,则执行步骤2.2.3);若数据帧Frame A1中没有MAClist字段,则执行步骤2.2.3);
2.2.3)端口Port X保密处理模块根据数据帧Frame A1的keyIndex字段及SA字段或根据数据帧Frame A1的keyIndex字段、SA字段及MAClist字段判断对FrameA1的进行保密处理所需要的密钥KEY1的检索信息,将密钥KEY1的检索信息发送给端口Port X的密钥管理模块;
2.2.4)端口Port X的密钥管理模块根据密钥KEY1的检索信息,查找对应的密钥KEY1,并将密钥KEY1反馈给端口Port X的保密处理模块;
2.2.5)端口Port X的保密处理模块根据isE字段判断第一有效负载是否加密,若有加密,则执行步骤2.2.6);否则,Frame A1的第一有效负载就是第一有效负载的明文信息,执行步骤2.2.7);
2.2.6)端口Port X的保密处理模块调用算法模块,输入密钥KEY1的会话加密密钥和Frame A1的第一有效负载,解密得到Frame A1第一有效负载的明文信息;
2.2.7)端口Port X的保密处理模块调用算法模块,输入密钥KEY1的完整性校验密钥和Frame A1的第一有效负载的明文信息,验证MIC1字段的正确性;若正确,则执行2.2.8);否则,丢弃该分组;
2.2.8)端口Port X的保密处理模块构造FrameA2:将Frame A1第一有效负载的明文信息作为Frame A2的第二有效负载,Frame A1的第一帧头信息作为FrameA2的第二帧头信息;
2.2.9)端口Port X的保密处理模块将Frame A2提交给交换模块;
所述步骤4)的具体实现方式是:
4.2.1)端口Port Y的保密处理模块根据Frame A2的中的Ethertype字段确定数据封装所使用的链路层加密协议;
4.2.2)若数据帧Frame A2中存在MAClist字段,则判断交换设备的MAC地址是否在MAClist字段所给出的特定MAC地址列表中,若不在该列表中,则将FrameA2作为Frame A3,执行步骤4.2.9);若交换设备的MAC地址在该列表中则执行步骤4.2.3);若数据帧Frame A2中没有MAClist字段,则执行步骤4.2.3);
4.2.3)端口Port Y的保密处理模块根据数据帧Frame A2的DA字段或根据数据帧Frame A2的DA字段及MAClist字段判断对Frame A2进行保密处理所需要的密钥KEY2的检索信息,将密钥KEY2的检索信息发送给端口Port Y的密钥管理模块;
4.2.4)端口Port Y的密钥管理模块,根据密钥KEY2的检索信息查找可使用的密钥,结合本地策略选择一个密钥KEY2,将该密钥KEY2及密钥KEY2的标识keyIndex反馈给端口Port Y的保密处理模块;
4.2.5)端口Port Y的保密处理模块调用算法模块,输入密钥KEY2的完整性校验密钥和Frame A2的有效负载,计算得到完整性校验码MIC3字段;
4.2.6)端口Port X保密处理模块根据数据帧Frame A2的isE字段判断第二有效负载是否需要进行加密以密文形式在网络中传输,若需要加密,则执行步骤4.2.7);否则,执行步骤4.2.8);
4.2.7)端口Port Y的保密处理模块调用算法模块,输入密钥KEY2的会话加密密钥和Frame A2的第二有效负载,加密得到Frame A2的第二有效负载的密文信息,并构造FrameA3:将Frame A2第二有效负载的密文信息作为Frame A3的第三有效负载,并根据所使用的密钥KEY2的keyIndex信息更新Frame A2的第二帧头中的keyIndex字段作为Frame A3的第三帧头信息,用步骤4.2.5)计算得到的MIC3作为Frame A3的MIC3,即第三帧头是用KEY2的keyIndex更新keyIndex字段后的第二帧头,第三有效负载是第二有效负载的密文信息,MIC3是步骤4.2.5)计算得到的MIC3,执行步骤4.2.9);
4.2.8)端口Port Y的保密处理模块构造FrameA3:将Frame A2的第二有效负载作为Frame A3的第三有效负载,并根据所使用的密钥KEY2的keyIndex信息更新Frame A2的第二帧头中的keyIndex字段作为Frame A3的第二帧头信息,用步骤4.2.5)计算得到的MIC3作为Frame A3中的MIC3字段;
4.2.9)端口Port Y的保密处理模块将Frame A3通过接口模块输出。
10.根据权利要求8所述的支持链路层保密传输的交换设备的数据处理方法,其特征在于:所述保密处理,先对数据帧用户数据进行加密处理构造有效负载字段,后计算完整性校验码构造MIC字段时,
所述步骤2)的具体实现方式是:
2.3.1)端口Port X保密处理模块根据数据帧Frame A1中的Ethertype字段确定数据封装所使用的链路层加密协议;
2.3.2)若数据帧Frame A1中存在MAClist字段,则判断交换设备的MAC地址是否在MAClist字段所给出的特定MAC地址列表中,若不在该列表中,则将FrameA1作为Frame A2,执行步骤2.3.9);若交换设备的MAC地址在该列表中则执行步骤2.3.3);若数据帧Frame A1中没有MAClist字段,则执行步骤2.3.3);
2.3.3)端口Port X保密处理模块根据数据帧Frame A1的keyIndex字段及SA字段或根据数据帧Frame A1的keyIndex字段、SA字段及MAClist字段判断对FrameA1的进行保密处理所需要的密钥KEY1的检索信息,将密钥KEY1的检索信息发送给端口Port X的密钥管理模块;
2.3.4)端口Port X的密钥管理模块根据密钥KEY1的检索信息,查找对应的密钥KEY1,并将密钥KEY1反馈给端口Port X的保密处理模块;
2.3.5)端口Port X的保密处理模块调用算法模块,输入密钥KEY1的完整性校验密钥和Frame A1的第一有效负载,验证MIC1字段的正确性;若正确,则执行2.3.6);否则,丢弃该分组;
2.3.6)端口Port X的保密处理模块根据isE字段判断第一有效负载是否加密,若有加密,则执行步骤2.3.7);否则,Frame A1的第一有效负载就是第一有效负载的明文信息,执行步骤2.3.8);
2.3.7)端口Port X的保密处理模块调用算法模块,输入密钥KEY1的会话加密密钥和Frame A1的第一有效负载1,解密得到Frame A1第一有效负载的明文信息;
2.3.8)端口Port X的保密处理模块构造FrameA2:将Frame A1的第一有效负载的明文信息作为Frame A2的第二有效负载,Frame A1的第一帧头信息作为Frame A2的第二帧头信息;
2.3.9)端口Port X的保密处理模块将Frame A2提交给交换模块;
所述步骤4)的具体实现方式是:
4.3.1)端口Port Y的保密处理模块根据Frame A2的中的Ethertype字段确定数据封装所使用的链路层加密协议;
4.3.2)若数据帧Frame A2中存在MAClist字段,则判断交换设备的MAC地址是否在MAClist字段所给出的特定MAC地址列表中,若不在该列表中,则将FrameA2作为Frame A3,执行步骤4.3.9);若交换设备的MAC地址在该列表中则执行步骤4.3.3);若数据帧Frame A2中没有MAClist字段,则执行步骤4.3.3);
4.3.3)端口Port Y的保密处理模块根据数据帧Frame A2的DA字段或根据数据帧Frame A2的DA字段及MAClist字段判断对Frame A2进行保密处理所需要的密钥KEY2的检索信息,将密钥KEY2的检索信息发送给端口Port Y的密钥管理模块,执行4.3.4);
4.3.4)端口Port Y的密钥管理模块,根据密钥KEY2的检索信息查找可使用的密钥,结合本地策略选择一个密钥KEY2,将该密钥KEY2及密钥KEY2的标识keyIndex反馈给端口Port Y的保密处理模块;
4.3.5)端口Port X保密处理模块根据数据帧Frame A2的isE字段判断有效负载2是否需要进行加密以密文形式在网络中传输,若需要加密,则执行步骤4.3.6);若不需要加密,则执行步骤4.3.8);
4.3.6)端口Port Y的保密处理模块调用算法模块,输入密钥KEY2的会话加密密钥和Frame A2的第二有效负载,加密得到Frame A2的第二有效负载的密文信息;
4.3.7)端口Port Y的保密处理模块调用算法模块,输入密钥KEY2的完整性校验密钥和Frame A2的第二有效负载的密文信息,计算得到完整性校验码MIC3字段;并构造FrameA3:将Frame A2的第二有效负载的密文信息作为Frame A3的第三有效负载,并根据所使用的密钥KEY2的keyIndex信息更新Frame A2的第二帧头中的keyIndex字段作为Frame A3的第三帧头信息,用计算得到的MIC3作为Frame A3中的MIC3字段,执行步骤4.3.9);
4.3.8)端口Port Y的保密处理模块调用算法模块,输入密钥KEY2的完整性校验密钥和Frame A2的第二有效负载,计算得到完整性校验码MIC3字段;构造FrameA3:将Frame A2第二有效负载作为Frame A3的第三有效负载,并根据所使用的密钥KEY2的keyIndex信息更新Frame A2的第二帧头中的keyIndex字段作为Frame A3的第三帧头信息,计算得到的MIC3作为Frame A3中的MIC3字段;
4.3.9)端口Port Y的保密处理模块将Frame A3通过接口模块输出。
Priority Applications (6)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2010105966655A CN102035845B (zh) | 2010-12-20 | 2010-12-20 | 支持链路层保密传输的交换设备及其数据处理方法 |
| JP2013545016A JP2014505402A (ja) | 2010-12-20 | 2011-06-17 | リンク層セキュリティー伝送を支援する交換設備およびデータ処理方法本出願は、2010年12月20日に中国特許局に提出し、出願番号が201010596665.5であり、発明名称が「リンク層セキュリティー伝送を支援する交換設備およびデータ処理方法」である中国特許出願を基礎とする優先権を主張し、その開示の総てをここに取り込む。 |
| US13/995,593 US9264405B2 (en) | 2010-12-20 | 2011-06-17 | Switch equipment and data processing method for supporting link layer security transmission |
| KR1020137019230A KR101485279B1 (ko) | 2010-12-20 | 2011-06-17 | 링크 계층 보안 전송을 지원하는 스위칭 장치 및 그의 데이터 처리 방법 |
| PCT/CN2011/075856 WO2012083653A1 (zh) | 2010-12-20 | 2011-06-17 | 支持链路层保密传输的交换设备及其数据处理方法 |
| JP2015067586A JP5785346B1 (ja) | 2010-12-20 | 2015-03-27 | リンク層セキュリティー伝送をサポートする交換設備およびデータ処理方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2010105966655A CN102035845B (zh) | 2010-12-20 | 2010-12-20 | 支持链路层保密传输的交换设备及其数据处理方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN102035845A CN102035845A (zh) | 2011-04-27 |
| CN102035845B true CN102035845B (zh) | 2012-07-18 |
Family
ID=43888168
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2010105966655A Active CN102035845B (zh) | 2010-12-20 | 2010-12-20 | 支持链路层保密传输的交换设备及其数据处理方法 |
Country Status (5)
| Country | Link |
|---|---|
| US (1) | US9264405B2 (zh) |
| JP (2) | JP2014505402A (zh) |
| KR (1) | KR101485279B1 (zh) |
| CN (1) | CN102035845B (zh) |
| WO (1) | WO2012083653A1 (zh) |
Families Citing this family (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102035845B (zh) * | 2010-12-20 | 2012-07-18 | 西安西电捷通无线网络通信股份有限公司 | 支持链路层保密传输的交换设备及其数据处理方法 |
| WO2015116768A2 (en) * | 2014-01-29 | 2015-08-06 | Sipn, Llc | Systems and methods for protecting communications |
| JP6062229B2 (ja) * | 2012-11-30 | 2017-01-18 | 株式会社東芝 | 通信装置、通信方法およびコンピュータプログラム |
| CN103441983A (zh) * | 2013-07-11 | 2013-12-11 | 盛科网络(苏州)有限公司 | 基于链路层发现协议的信息保护方法和装置 |
| CN103685247A (zh) * | 2013-12-04 | 2014-03-26 | 冯丽娟 | 安全通信方法、装置、系统以及安全主板 |
| US10080185B2 (en) * | 2015-04-10 | 2018-09-18 | Qualcomm Incorporated | Method and apparatus for securing structured proximity service codes for restricted discovery |
| CN105897669A (zh) * | 2015-11-11 | 2016-08-24 | 乐卡汽车智能科技(北京)有限公司 | 数据发送、接收方法、发送端、接收端和can总线网络 |
| US10708245B2 (en) * | 2017-12-06 | 2020-07-07 | Hewlett Packard Enterprise Development Lp | MACsec for encrypting tunnel data packets |
| DE102019004790A1 (de) * | 2019-07-11 | 2021-01-14 | Infineon Technologies Ag | Authentizität und Sicherheit auf der Sicherungsschicht für Fahrzeugkommunikationssystem |
| CN114389884B (zh) * | 2022-01-14 | 2023-11-24 | 北京光润通科技发展有限公司 | 一种单端口以太网隔离卡及其隔离方法 |
| CN114666047A (zh) * | 2022-03-23 | 2022-06-24 | 北京从云科技有限公司 | 一种网络数据加密解密的装置和方法 |
| CN115277200B (zh) * | 2022-07-27 | 2023-08-15 | 北京国领科技有限公司 | 一种链路层透明加密系统多节点密钥自动协商管理的方法 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1667999A (zh) * | 2005-01-18 | 2005-09-14 | 中国电子科技集团公司第三十研究所 | 一种移动自组网络中移动节点间的保密通信方法 |
| CN101741548A (zh) * | 2009-12-18 | 2010-06-16 | 西安西电捷通无线网络通信有限公司 | 交换设备间安全连接的建立方法及系统 |
| CN101834722A (zh) * | 2010-04-23 | 2010-09-15 | 西安西电捷通无线网络通信股份有限公司 | 一种加密设备和非加密设备混合组网的通信方法 |
Family Cites Families (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR100675836B1 (ko) | 2004-12-10 | 2007-01-29 | 한국전자통신연구원 | Epon 구간내에서의 링크 보안을 위한 인증 방법 |
| US7917944B2 (en) * | 2004-12-13 | 2011-03-29 | Alcatel Lucent | Secure authentication advertisement protocol |
| CN101056456A (zh) * | 2006-04-10 | 2007-10-17 | 华为技术有限公司 | 无线演进网络实现认证的方法及安全系统 |
| KR100787128B1 (ko) | 2006-04-20 | 2007-12-21 | 한국정보통신주식회사 | 통신 프로토콜 스택의 스위칭 기능을 이용한 이종의 무선 통신망에 대한 종단간 보안 통신 방법 |
| US7729276B2 (en) * | 2006-11-29 | 2010-06-01 | Broadcom Corporation | Method and system for tunneling MACSec packets through non-MACSec nodes |
| JP5060081B2 (ja) | 2006-08-09 | 2012-10-31 | 富士通株式会社 | フレームを暗号化して中継する中継装置 |
| JP2008104040A (ja) | 2006-10-20 | 2008-05-01 | Fujitsu Ltd | 共通鍵生成装置および共通鍵生成方法 |
| CN101588345A (zh) * | 2008-05-23 | 2009-11-25 | 深圳华为通信技术有限公司 | 站与站之间信息发送、转发和接收方法、装置和通信系统 |
| CN101394270B (zh) * | 2008-09-27 | 2011-01-19 | 上海交通大学 | 基于模块化路由的无线网状网络链路层加密方法 |
| CN101729249B (zh) * | 2009-12-21 | 2011-11-30 | 西安西电捷通无线网络通信股份有限公司 | 用户终端之间安全连接的建立方法及系统 |
| CN102035845B (zh) * | 2010-12-20 | 2012-07-18 | 西安西电捷通无线网络通信股份有限公司 | 支持链路层保密传输的交换设备及其数据处理方法 |
-
2010
- 2010-12-20 CN CN2010105966655A patent/CN102035845B/zh active Active
-
2011
- 2011-06-17 WO PCT/CN2011/075856 patent/WO2012083653A1/zh active Application Filing
- 2011-06-17 US US13/995,593 patent/US9264405B2/en active Active
- 2011-06-17 JP JP2013545016A patent/JP2014505402A/ja active Pending
- 2011-06-17 KR KR1020137019230A patent/KR101485279B1/ko active IP Right Grant
-
2015
- 2015-03-27 JP JP2015067586A patent/JP5785346B1/ja active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1667999A (zh) * | 2005-01-18 | 2005-09-14 | 中国电子科技集团公司第三十研究所 | 一种移动自组网络中移动节点间的保密通信方法 |
| CN101741548A (zh) * | 2009-12-18 | 2010-06-16 | 西安西电捷通无线网络通信有限公司 | 交换设备间安全连接的建立方法及系统 |
| CN101834722A (zh) * | 2010-04-23 | 2010-09-15 | 西安西电捷通无线网络通信股份有限公司 | 一种加密设备和非加密设备混合组网的通信方法 |
Non-Patent Citations (1)
| Title |
|---|
| 田建新,蔡开裕.全字段加密交换机密钥管理方案设计与实现.《计算机工程与设计》.2007,第28卷(第22期),5393-5395. * |
Also Published As
| Publication number | Publication date |
|---|---|
| KR101485279B1 (ko) | 2015-01-21 |
| US20130283044A1 (en) | 2013-10-24 |
| WO2012083653A1 (zh) | 2012-06-28 |
| CN102035845A (zh) | 2011-04-27 |
| JP5785346B1 (ja) | 2015-09-30 |
| US9264405B2 (en) | 2016-02-16 |
| JP2015181233A (ja) | 2015-10-15 |
| JP2014505402A (ja) | 2014-02-27 |
| KR20130096320A (ko) | 2013-08-29 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN102035845B (zh) | 支持链路层保密传输的交换设备及其数据处理方法 | |
| CN102130768B (zh) | 一种具有链路层加解密能力的终端设备及其数据处理方法 | |
| WO2019128753A1 (zh) | 一种低延迟的量子密钥移动服务方法 | |
| CN107113287B (zh) | 在用户装备之间执行设备到设备通信的方法 | |
| EP1679852A2 (en) | Data security in wireless network system | |
| CN104994112A (zh) | 一种无人机与地面站通信数据链加密的方法 | |
| CN102088441B (zh) | 消息中间件的数据加密传输方法和系统 | |
| CN101512537A (zh) | 在自组无线网络中安全处理认证密钥资料的方法和系统 | |
| CN103765848A (zh) | 用于媒体访问控制替换的装置和方法 | |
| CN105262772A (zh) | 一种数据传输方法、系统及相关装置 | |
| CN101707767B (zh) | 一种数据传输方法及设备 | |
| CN101917272A (zh) | 一种邻居用户终端间保密通信方法及系统 | |
| CN103430478A (zh) | 用于在无线通信系统中加密短数据的方法和设备 | |
| US7039190B1 (en) | Wireless LAN WEP initialization vector partitioning scheme | |
| CN101741548B (zh) | 交换设备间安全连接的建立方法及系统 | |
| CN103905389B (zh) | 基于中继设备的安全关联、数据传输方法及装置、系统 | |
| CN101635922B (zh) | 无线网状网络安全通信方法 | |
| CN102170434A (zh) | 一种基于多核处理器实现ipsec的方法及其装置 | |
| CN101834722B (zh) | 一种加密设备和非加密设备混合组网的通信方法 | |
| JPH11239184A (ja) | スイッチングハブ | |
| CN110650476B (zh) | 管理帧加密和解密 | |
| CN110650016B (zh) | 一种实现交直流控制保护系统网络数据安全的方法 | |
| CN113709184B (zh) | 一种应用于铁路物联网的数据加密方法及其加密系统 | |
| CN114040366B (zh) | 一种网络通信安全性高的蓝牙连接加密方法 | |
| Wang et al. | Resource-Constrained Unmanned Aerial Vehicle Cluster Autonomous Wireless Communication Security Scheme |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant |