WO2012083652A1

WO2012083652A1 - 一种具有链路层加解密能力的终端设备及其数据处理方法

Info

Publication number: WO2012083652A1
Application number: PCT/CN2011/075854
Authority: WO
Inventors: 李琴; 曹军; 铁满霞
Original assignee: 西安西电捷通无线网络通信股份有限公司
Priority date: 2010-12-20
Filing date: 2011-06-17
Publication date: 2012-06-28
Also published as: CN102130768B; US20130283045A1; CN102130768A; KR101421399B1; KR20130107348A; US9009466B2

Abstract

一种具有链路层加解密能力的终端设备及其数据处理方法，该终端设备包括链路层处理模块，所述链路层处理模块包括控制模块、数据帧加密处理模块、数据帧解密处理模块、密钥管理模块、算法模块、发端口和收端口；所述控制模块通过数据帧加密处理模块接入发端口；所述收端口通过数据帧解密处理模块接入控制模块；所述控制模块和密钥管理模块相连；所述数据帧加密处理模块通过密钥管理模块和数据帧解密处理模块相连；所述数据帧加密处理模块通过算法模块和数据帧解密处理模块相连。

Description

一种具有链路层加解密能力的终端设备及其数据处理方法本申请要求于 2010 年 12 月 20 日提交中国专利局、申请号为 201010596663.6、发明名称为"一种具有链路层加解密能力的终端设备及其数据处理方法"的中国专利申请的优先权，其全部内容通过引用结合在本申请中。技术领域

本发明属于网络安全领域，涉及一种具有链路层加解密能力的终端设备及其数据处理方法。

背景技术

有线局域网一般为广播型网络，一个节点发出的数据，其它节点都能收到。网络上的各个节点共享信道，这给网络带来了极大的安全隐患。攻击者只要接入网络进行监听，就可以捕获网络上所有的数据包。域网 LAN并不提供数据保密方法，这样就使得攻击者容易窃取到关键信息。遵加解密能力，链路层数据包都是以明文形式在网络中进行传输，所传输的信息易被截获，安全隐患大。

IEEE 802.1AE为局域网 LAN提供了逐跳加密的链路层数据保密方法，这种机制限制终端设备只能使用与最近的接入交换设备之间的密钥在链路层对数据帧进行加解密处理，不得直接使用与其他终端设备或其他交换设备之间的密钥在链路层对数据包进行加解密处理。支持 IEEE 802.1AE的终端设备的这种链路层处理方式使得最近的接入交换设备的计算负担重；且因为这种方式构造的数据帧需要链路上的每一个交换设备都进行解密再加密再转发的操作才能到达目的端终端设备，数据传输延迟大；且支持 IEEE 802.1AE的终端设备不支持一般交换设备和支持 IEEE 802.1AE的交换设备的混合组网。

发明内容

为了解决背景技术中存在的上述技术问题，本发明实施例提供了一种具有链路层加解密能力的终端设备及其数据处理方法。

本发明实施例提供了一种具有链路层加解密能力的终端设备，所述终端设备包括链路层处理模块，所述链路层处理模块包括控制模块、数据帧加密处理模块、数据帧解密处理模块、密钥管理模块、算法模块、发端口和收端口；所述控制模块通过数据帧加密处理模块接入发端口；所述收端口通过数据帧解密处理模块接入控制模块；所述控制模块和密钥管理模块相连；所述数据帧加密处理模块通过密钥管理模块和数据帧解密处理模块相连；所述数据帧加密处理模块通过算法模块和数据帧解密处理模块相连；其中，

所述控制模块具有策略管理和控制能力；

所述密钥管理模块具有链路层密钥管理能力，并根据控制模块的策略需要，为终端设备与网络中的其他终端设备之间和 /或该终端设备与网络中的交换设备之间建立共享的密钥，并负责对密钥进行存储、更新或删除管理操作；所建立的共享密钥是预共享的或是在终端设备与其他终端设备或交换设备身份鉴别成功后协商建立的；

所述数据帧加密处理模块在收到需要发送出去的用户数据后，通过与密钥管理模块进行交互得到对应的密钥，再调用算法模块，实现对用户数据的加密处理，得到用户数据的密文，构造链路层加密数据帧，并通过发端口将加密数据帧发送出去；

所述数据帧解密处理模块在通过收端口接收到数据帧后，通过与密钥管理模块进行交互得到对应的密钥，再调用算法模块，实现对数据帧进行解密处理，得到用户数据的明文信息，并通过控制模块将明文信息递交给上层；

所述算法模块涉及加解密算法和 /或完整性校验算法。

本发明实施例还提供一种具有链路层加解密能力的终端设备的数据处理方法，所述方法包括：

1 )所述终端设备发送链路层加密协议数据帧时，

1.1 )所述终端设备的链路层控制模块接收上层所发送的需要链路层发送的用户数据；

1.2 ) 由控制模块根据本地策略，选择使用的链路层加密协议类型及保密处理策略；并将选择的链路层加密协议类型及保密处理策略及用户数据信息发送给数据帧加密处理模块；

1.3 )数据帧加密处理模块根据对应的链路层加密协议及保密处理策略处理用户数据，判断是否需要对用户数据进行加密操作，并构造 Frame A1 ;

1.4 )数据帧加密处理模块将构造好的 Frame A1 , 通过发端口发送出去，从而完成链路层数据帧的发送；

2 )所述终端设备接收链路层加密协议数据帧时，

2.1 )终端设备通过物理层收到发给该终端设备的数据帧 Frame A2, 通过收端口将接收到的数据帧 Frame A2交给数据帧解密处理模块；

2.2 )数据帧解密处理模块根据接收到的数据帧 Frame A2, 判断对应的链路层加密协议；

2.3 )数据帧解密处理模块根据对应的链路层加密协议判断用户数据是否是明文，并解析 Frame A2, 得到用户数据：

2.4 )数据帧解密处理模块将得到的用户数据的明文通过控制模块提交给上层，从而完成链路层数据帧的接收；

其中，所述 Frame A1是所述终端设备通过发端口发出的数据帧；所述 Frame

A2是终端设备通过收端口收到的数据帧。

本发明实施例具有链路层加解密能力的终端设备可维持和网络中其他终端设备的共享密钥、与其他交换设备之间的密钥，在发送数据帧时可以直接使用和目的端终端设备之间的密钥或者与其他交换设备之间的密钥对数据帧进行保密处理，可有效降低离终端设备最近的接入交换设备的计算负担，降低数据传输延迟。

本发明实施例具有链路层加解密能力的终端设备既可支持标准的 ISO/IEC 8802-3数据帧，也支持各种链路层加密协议数据帧，包括 IEEE 802.1AE协议数据帧。在实现前向兼容的同时，可以实现对各种链路层加密协议的支持，实现数据帧在链路层的加解密处理，提高网络的安全性。

附图说明

图 1是本发明实施例所提供的具有链路层加解密能力的终端设备示意图；图 2是本发明实施例所提供的使用站间密钥实施方式示意图；具体实施方式

参见图 1 , 本发明实施例提供的具有链路层加解密能力的终端设备其链路层处理模块包括控制模块、数据帧加密处理模块、数据帧解密处理模块、密钥管理模块、算法模块、发端口和收端口；其中，控制模块与数据帧加密处理模块、数据帧解密处理模块、密钥管理模块相连，数据帧加密处理模块与发端口相连，数据帧解密处理模块与收端口相连，密钥管理模块和算法模块均与数据帧加密处理模块、数据帧解密处理模块相连。

所述控制模块具有策略管理和控制能力；

所述密钥管理模块具有链路层密钥管理能力，根据控制模块的策略需要，为该终端设备与网络中的其他终端设备之间和 /或该终端设备与网络中的交换设备之间建立共享的密钥，并负责对这些密钥进行存储、更新、删除等管理操作；所建立的共享密钥可以是预共享的，也可以是在该终端设备与其他终端设备或交换设备身份鉴别成功后协商建立的；

所述数据帧加密处理模块在收到需要发送出去的用户数据后，通过与密钥管理模块进行交互得到对应的密钥，再调用算法模块，即可实现对用户数据的加密处理，得到用户数据的密文，构造链路层加密数据帧，并通过发端口将加密数据帧发送出去；

所述数据帧解密处理模块在通过收端口接收到数据帧后，通过与密钥管理模块进行交互得到对应的密钥，再调用算法模块，即可实现对数据帧进行解密处理，得到用户数据的明文信息，并通过控制模块将明文信息递交给上层。

所述算法模块涉及加解密算法和 /或完整性校验算法，可以是硬件实现也可以是软件实现。

本发明实施例提供的具有链路层加解密能力的终端设备支持标准的

ISO/IEC 8802-3数据帧，还支持链路层加密协议数据帧，所支持的链路层加密协议数据帧中包括 Frame Header字段和 Payload字段，如下表 1所示： Frame Header Payload

其中 Frame Header字段，表示帧头信息，如下表 2所示:

表 2:

其中：

DA字段：表示目的节点的标识，取值目的节点的 MAC地址；

SA字段：表示源节点的标识，取值源节点的 MAC地址；

Ethertype字段：表示以太类型字段，取值为链路层加密协议的以太类型字段；用于标识对应的链路层加密协议及帧结构；

isE字段：表示加密标志位，用于标识数据帧的有效负载是用户数据的明文信息还是密文信息，数据包的接收方将该字段作为是否需要解密的一个判断因素；

keylndex字段：表示对用户数据进行保护（加密和 /或计算完整性校验）的密钥的标识；所述对用户数据进行保护的密钥可以是该终端设备和交换设备之间的密钥；也可以是该终端设备和目的端终端设备之间的密钥；

Payload字段，表示数据帧有效负载，可以是用户数据的明文信息也可以是用户数据的密文信息；当 isE字段表示加密时，有效负载是用户数据的密文信息；当 isE字段表示不加密时，有效负载是用户数据的明文信息；

在本发明实施例中，对数据帧的各个字段在描述时，将使用"帧名.字段名" 的方式进行描述。比如 Frame A1的 DA字段记为 Frame Al .DA; Frame A2的 Payload字段记为 Frame A2. Payload。

本发明实施例的终端设备通过数据加密处理模块由发端口发往网络的数据帧中 SA字段取值为该终端设备的 MAC地址；本发明实施例的终端设备通过收端口送至数据解密处理模块处理的数据帧中 DA字段值是该终端设备的 MAC地址。

将本发明实施例的终端设备通过发端口发出的数据帧记为 Frame Al ;将本发明终端设备通过收端口收到的数据帧记为 Frame A2;

若本发明实施例的终端设备发送的数据帧 Frame A1中 Payload字段是用户数据的密文信息，记构造 Frame A1所使用的密钥为 KEY1 ; 若本发明终端设备接收的数据帧 Frame A2中 Payload字段是用户数据的密文信息，记解析 Frame A2所使用的密钥为 KEY2。

本发明实施例的提供的具有链路层加解密能力的终端设备在发送链路层加密协议数据帧时，操作如下：

1.1 )上层将需要链路层发送的用户数据发送给终端设备链路层控制模块；

1.3 )数据帧加密处理模块根据对应的链路层加密协议及保密处理策略处理用户数据，并构造 Frame A1 , 其中：

1.3.1 )当数据帧加密处理模块根据对应的链路层加密协议及保密处理策略判断不需要对用户数据进行加密时，按照如下说明完成构造 Frame A1的构造： Frame A1.DA字段，取值为目的节点的 MAC地址；

Frame A1.SA字段，取值为该终端设备的 MAC地址；

Frame A 1.Ethertype字段，取值为对应的链路层加密协议的以太类型字段值；

Frame Al.isE字段，取值为不加密；

Frame Al.keylndex字段，取值不限制（用户数据不加密时该字段没有意义）；

Frame Al. Payload字段，取值为用户数据；

1.3.2 )当数据帧加密处理模块根据对应的链路层加密协议及保密处理策略判断需要对用户数据进行加密时，按照如下步骤执行：

1.3.2.1 )数据帧加密处理模块调用密钥管理模块，得到对用户数据进行加密的密钥 KEY1以及密钥 KEY1的标识 keylndexl； 1.3.2.2 )数据帧加密处理模块根据得到的密钥 KEY1 , 调用算法模块对用户数据进行加密，得到用户数据的密文；

1.3.2.3 )数据帧加密处理模块按照如下说明完成 Frame A1的构造：

Frame A1.DA字段，取值为目的节点的 MAC地址；

Frame A1.SA字段，取值为该终端设备的 MAC地址；

Frame Al.isE字段，取值为加密；

Frame Al .keylndex字段，取值为密钥 KEY1的标识 keylndexl；

Frame Al. Payload字段，取值为用户数据的密文；

1.4 )数据帧加密处理模块将构造好的 Frame Al , 通过发端口发送出去，从而完成链路层数据帧的发送。

本发明实施例的提供的具有链路层加解密能力的终端设备在接收链路层加密协议数据帧时，操作如下：

2.3 )数据帧解密处理模块根据对应的链路层加密协议，解析 Frame A2, 得到用户数据，其中：

2.3.1 ) 当数据帧解密处理模块根据 Frame A2.isE字段判断 Frame A2. Payload字段是用户数据的明文时，则提取 Frame A2. Payload字段即为用户数据的明文，完成对 Frame A2的解析；

2.3.2 ) 当数据帧解密处理模块根据 Frame A2.isE字段判断 Frame A2. Payload字段是用户数据的密文时，执行如下步骤：

2.3.2.1 )数据帧解密处理模块将 Frame A2.keyIndex字段信息，提交给密钥管理模块，检索得到对 Frame A2. Payload进行解密的密钥 KEY2; 2.3.2.2 ) 数据帧解密处理模块根据得到的密钥 KEY2, 调用算法模块对 Frame A2. Payload进行解密，得到用户数据的明文，完成对 Frame A2的解析；

2.4 )数据帧解密处理模块将得到的用户数据的明文通过控制模块提交给上层，从而完成链路层数据帧的接收。

本发明实施例的的终端设备所支持的链路层加密协议数据帧中除包含帧头 Frame Header和有效负载 Payload外，还可包含完整性校验 MIC字段； MIC字段是对链路层解密协议数据帧（如 Frame Al、 Frame A2 )除 MIC字段外所有字段或部分字段计算得到的完整性校验值。

在支持的链路层加密协议数据帧包含 MIC字段的实施方式中，对数据帧进行保密处理的密钥（如 KEY1、 KEY2 )包含完整性校验密钥和加密密钥两部分；完整性校验密钥用于计算或验证 MIC字段；加密密钥部分用于加密用户数据或解密用户数据的密文。在支持的链路层加密协议数据帧包含 MIC字段的实施方式中，上述本发明实施例的终端设备在发送数据帧时，步骤 1.3 ) 的具体实施方式是：

1.3.1 )当数据帧加密处理模块根据对应的链路层加密协议及保密处理策略判断不需要对用户数据进行加密时，按照如下步骤执行：

1.3.1.1 )数据帧加密处理模块调用密钥管理模块，得到对数据帧进行保密处理的密钥 KEY1以及密钥 KEY1的标识 keylndexl；

1.3.1.2 )数据帧加密处理模块按照如下说明构造 Frame A1除 Frame A1.MIC 字段外的字段；

Frame Al .DA字段，取值为目的节点的 MAC地址；

Frame A1.SA字段，取值为该终端设备的 MAC地址；

Frame Al.Ethertype字段，取值为对应的链路层加密协议的以太类型字段值；

Frame Al.isE字段，取值为不加密；

Frame Al.keylndex字段，取值为密钥 KEY1的标识 keylndexl；

Frame Al. Payload字段，取值为用户数据； 1.3.1.3 )数据帧加密处理模块对构造好的除 Frame A 1. MIC字段外的 Frame Al , 调用对应的算法模块，利用 KEY1的完整性校验密钥计算 Frame Al.MIC字段的值；完成 Frame Al的构造；

1.3.2.1 )数据帧加密处理模块调用密钥管理模块，得到对数据帧进行保密处理的密钥 KEY1以及密钥 KEY1的标识 keylndexl；

1.3.2.2 )数据帧加密处理模块根据得到的密钥 KEY1 , 调用算法模块，利用 KEY1的加密密钥对用户数据进行加密，得到用户数据的密文；

1.3.3.3 )数据帧加密处理模块按照如下说明构造 Frame Al除 Frame Al.MIC 字段外的字段；

Frame Al .DA字段，取值为目的节点的 MAC地址；

Frame A1.SA字段，取值为该终端设备的 MAC地址；

Frame Al .isE字段，取值为加密；

Frame Al.keylndex字段，取值为密钥 KEY1的标识 keylndexl；

Frame Al. Payload字段，取值为用户数据的密文；

1.3.3.4 )数据帧加密处理模块对构造好的除 Frame Al.MIC字段外的 Frame Al , 调用对应的算法模块，利用 KEY1的完整性校验密钥计算 Frame Al.MIC字段值；完成 Frame A1的构造。

在支持的链路层加密协议数据帧包含 MIC字段的实施方式中，上述本发明终端设备在接收数据帧时，步骤 2.3 ) 的具体实施方式是：

2.3.1 ) 当数据帧解密处理模块根据 Frame A2.isE字段判断 Frame A2. Payload字段是用户数据的明文时，按照如下步骤执行：

2.3.1.1 )数据帧解密处理模块将 Frame A2.keyIndex字段信息，提交给密钥管理模块，检索得到对 Frame A2进行保密处理的密钥 KEY2; 2.3.1.2 )数据帧解密处理模块利用得到的密钥 KEY2的完整性校验密钥部分，调用算法模块，验证 Frame A2中 Frame A2.MIC字段的正确性；若 Frame A2.MIC正确，则执行步骤 2.3.1.3 ); 否则，丢弃该分组；

2.3.1.3 )数据帧解密处理模块提取 Frame A2. Payload字段作为用户数据的明文，完成对 Frame A2的解析；

2.3.2 ) 当数据帧解密处理模块根据 Frame A2.isE字段判断 Frame A2. Payload字段是用户数据的密文时，按照如下步骤执行：

2.3.2.1 )数据帧解密处理模块将 Frame A2.keyIndex字段信息，提交给密钥管理模块，检索得到对 Frame A2进行保密处理的密钥 KEY2;

2.3.2.2 )数据帧解密处理模块利用得到的密钥 KEY2的完整性校验密钥，调用算法模块，验证 Frame A2中 Frame A2.MIC字段的正确性；若 Frame A2.MIC 正确，则执行步骤 2.3.2.3 ); 否则，丢弃该分组；

2.3.2.3 )数据帧解密处理模块利用得到的密钥 KEY2的加密密钥，调用算法模块对 Frame A2. Payload进行解密，得到用户数据的明文，完成对 Frame A2 的解析。

在终端设备支持链路层加密协议数据帧包含 MIC字段的实施方式中，具体实施时，本发明终端设备对用户数据进行保护涉及的加密和完整性校验可实现为步骤 1.3 ) 中数据帧加密处理模块先对用户数据进行加密构造数据帧的有效负载 Payload字段，再对数据帧进行完整性校验，构造 MIC字段；此种实施方式下，步骤 2.3 )中数据帧解密处理模块先验证 MIC字段的正确性，只有确定 MIC 字段正确后，再解密数据帧的有效负载 Payload字段得到用户数据明文信息，提交给上层。

在终端设备支持链路层加密协议数据帧包含 MIC字段的实施方式中，具体实施时，本发明终端设备对用户数据进行保护涉及的加密和完整性校验可还可实现为步骤 1.3 ) 中数据帧加密处理模块先将用户数据明文作为有效负载 Payload字段，对数据帧计算完整性校验，构造 MIC字段，再对用户数据明文进行加密，用得到的用户数据密文更新数据帧的有效负载 Payload字段；此种实施方式下，步骤 2.3 ) 中数据帧解密处理模块先解密数据帧的有效负载 Payload 字段得到用户数据明文信息；然后再验证 MIC字段的正确性，只有确定 MIC字段正确后，之前解密得到的用户数据明文信息才有效，才可提交给上层。

记终端设备与终端设备之间的密钥为站间密钥。

上文中所提到的任意实施例在具体实施时，终端设备可使用终端设备

STA-A与终端设备 STA-B之间的站间密钥实现链路层保密传输。如图 2所示，端设备 STA-B之间的链路情况如何，只需要使用与终端设备 STA-B之间的站间密钥 KEY_AB对要发送的数据帧进行保护（加密和 /或计算完整性校验）即可；终端设备 STA-B在接收来自终端设备 STA-A的数据帧时，不管终端设备

STA-A与终端设备 STA-B之间的链路情况如何，只需要使用与终端设备 STA-A 之间的站间密钥 KEY_AB对接收到的数据帧进行解保护（解密和 /或验证完整性校验）处理即可。

在使用站间密钥的实施方式中，在终端设备 STA- A与终端设备 STA-B之间的交换设备不需要对他们之间的数据帧进行加解密处理，直接转发即可。

在使用站间密钥的实施方式中，终端设备 STA-A和终端设备 STA-B之间的交换设备可以具有链路层加解密能力，也可以不具有链路层加解密能力；也即使用站间密钥的实施方式中，支持具有链路层加解密能力的交换设备和不具有链路层加解密能力的交换设备的混合组网。

另夕卜，本发明实施例的终端设备所支持的链路层加密协议数据帧中的帧头

Frame Header中，还可包含 MAClist字段； MAClist字段用于表示特定 MAC地址列表信息，该字段所给出的特定 MAC地址列表中的交换设备需要对接收到的密文数据帧进行加解密处理；该特定 MAC地址列表外的交换设备除非为目的节点，否则都只需要对该密文数据帧直接转发。 MAClist字段的存在可以使交换设备不需要对所有要转发的数据帧都进行解密再加密再转发的操作。

如图 3所示， MAClist字段在具体实施时，可定义为从发送端终端设备到目的端终端设备的链路上的第一个具有链路层加解密能力的交换设备以及最后一个具有链路层加解密能力的交换设备的 MAC地址列表。设备 SW^交换设备 SW₂的 MAC地址，从终端设备 STA- A发往终端设备 STA-B 的数据帧，只有交换设备 SWi和交换设备 SW₂需要进行解密再加密再转发的处理，其他交换设备（如位于终端设备 STA-A到终端设备 STA-B的链路上其他交换设备 SW_M )直接转发即可；

SW₂的 MAC地址信息后，在构造数据帧时将 S 和 S W₂的 MAC地址作为 MAClist字段进行传输；发送的数据帧中加密用户数据以及计算 MIC字段使用终端设备 STA-A与交换设备 SWi之间的密钥 KEY进行处理，将 ΚΕΥ^ keylndexii^值到数据帧的 keylndex字段进行传输；

作为目的端终端设备的终端设备 STA-B在收到终端设备 STA-A发来的数据帧时，使用与交换设备 SW₂之间的密钥 KEY₂进行处理，得到用户数据明文信息。

在上述 MAClist字段实施方式中，从终端设备 STA-A到终端设备 STA-B的数据帧在传输过程中，交换设备 8\^在收到终端设备 STA-A发给终端设备 STA-B的数据帧后，利用 keylndex标识的密钥 5 解密用户数据；交换设备 S W₂在收到终端设备 STA- A发给终端设备 STA-B的数据帧后，利用与 STA-B之间的密钥 KE Y₂加密用户数据，并将 ΚΕ Υ₂的 keylndex2更新至数据帧中的 keylndex字段进行传输。其中，数据帧在交换设备 SWi与交换设备 SW₂之间可以是明文传输，也可以使用交换设备 8\^与交换设备 SW₂之间的密钥进行加密传输，本发明实施例的不予限定；

在上述 MAClist字段实施方式中，终端设备 STA-A与 SWr^间、 ^^ ₂ 之间、 SW₂与终端设备 STA-B之间可以存在一个或多个不具有链路层加解密能力的交换设备；且 8\¥₁与8\¥₂之间还可存在一个或多个具有链路层加解密能力层加解密能力的交换设备与不具有链路层加解密能力的交换设备的混合组网。

Claims

权利要求

1、一种具有链路层加解密能力的终端设备，其特征在于：所述终端设备包括链路层处理模块，所述链路层处理模块包括控制模块、数据帧加密处理模块、数据帧解密处理模块、密钥管理模块、算法模块、发端口和收端口；所述控制模块通过数据帧加密处理模块接入发端口；所述收端口通过数据帧解密处理模块接入控制模块；所述控制模块和密钥管理模块相连；所述数据帧加密处理模块通过密钥管理模块和数据帧解密处理模块相连；所述数据帧加密处理模块通过算法模块和数据帧解密处理模块相连；其中，

所述控制模块具有策略管理和控制能力；

所述算法模块涉及加解密算法和 /或完整性校验算法。

2、一种具有链路层加解密能力的终端设备的数据处理方法，其特征在于：所述方法包括：

1 )所述终端设备发送链路层加密协议数据帧时，

1.3 )数据帧加密处理模块根据对应的链路层加密协议及保密处理策略处理用户数据，判断是否需要对用户数据进行加密操作，并构造数据帧 Frame A1 ;

1.4 )数据帧加密处理模块将构造好的数据帧 Frame A1 , 通过发端口发送出去，从而完成链路层数据帧的发送；

2 )所述终端设备接收链路层加密协议数据帧时，

2.3 )数据帧解密处理模块根据对应的链路层加密协议判断用户数据是否是明文，并解析数据帧 Frame A2, 得到用户数据：

其中，所述数据帧 Frame A1是所述终端设备通过发端口发出的数据帧；所述数据帧 Frame A2是终端设备通过收端口收到的数据帧。

3、根据权利要求 2所述的具有链路层加解密能力的终端设备的数据处理方法，其特征在于：该方法支持标准的 ISO/IEC 8802-3数据帧或链路层加密协议数据帧，所支持的链路层加密协议数据帧中包括：帧头 Frame Header字段以及有效负载 Payload字段：

所述 Frame Header字段，表示帧头信息，包括 DA字段、 SA字段、 Ethertype 字段、 isE字段以 eylndex字段；

其中：

DA字段：表示目的节点的标识，取值目的节点的 MAC地址；

SA字段：表示源节点的标识，取值源节点的 MAC地址； Ethertype字段：表示以太类型字段，取值为链路层加密协议的以太类型字段；用于标识对应的链路层加密协议及帧结构；

keylndex字段：表示对用户数据进行保护的密钥的标识；所述对用户数据进行保护的方式是加密和 /或计算完整性校验的；所述对用户数据进行保护的密钥是该终端设备和交换设备之间的密钥或是该终端设备和目的端终端设备之间的密钥；

Payload字段，表示数据帧有效负载，所述 Payload字段是用户数据的明文信息或是用户数据的密文信息；当 isE字段表示加密时，有效负载是用户数据的密文信息；当 isE字段表示不加密时，有效负载是用户数据的明文信息。

4、根据权利要求 3所述的具有链路层加解密能力的终端设备的数据处理方法，其特征在于：

当数据帧加密处理模块根据对应的链路层加密协议及保密处理策略判断不需要对用户数据进行加密时，所述步骤 1.3 ) 包括：

数据帧加密处理模块构造数据帧 Frame A1 ,所述数据帧 Frame A1各字段取值如下：

Frame A1.DA字段，取值为目的节点的 MAC地址；

Frame A1.SA字段，取值为该终端设备的 MAC地址；

Frame Al .isE字段，取值为不加密；

Frame A 1. keylndex字段，取值不限制（用户数据不加密时该字段没有意义）；

Frame Al. Payload字段，取值为用户数据；

当数据帧加密处理模块根据对应的链路层加密协议及保密处理策略判断需要对用户数据进行加密时，所述步骤 1.3 ) 包括：

1.3.1.1 )数据帧加密处理模块调用密钥管理模块，得到对用户数据进行加密的密钥 KEY1以及密钥 KEY1的标识 keylndexl；

1.3.1.2 )数据帧加密处理模块根据得到的密钥 KEY1 , 调用算法模块对用户数据进行加密，得到用户数据的密文；

1.3.1.3 )数据帧加密处理模块构造数据帧 Frame A1 ; 所述数据帧 Frame A1 各字段取值如下：

Frame A1.DA字段，取值为目的节点的 MAC地址；

Frame A1.SA字段，取值为该终端设备的 MAC地址；

Frame Al.isE字段，取值为加密；

Frame A 1.keylndex字段，取值为密钥 KEY 1的标识 keylndex 1；

Frame Al. Payload字段，取值为用户数据的密文；

所述 KEY1是终端设备发送的数据帧 Frame A1中 Payload字段是用户数据的密文信息时，构造数据帧 Frame A1所使用的密钥。

5、根据权利要求 3所述的具有链路层加解密能力的终端设备的数据处理方法，其特征在于：

当数据帧解密处理模块根据 Frame A2.isE字段判断 Frame A2. Payload字段是用户数据的明文时，所述步骤 2.3 )包括：提取 Frame A2. Payload字段，完成对数据帧 Frame A2的解析，得到用户数据；

当数据帧解密处理模块根据 Frame A2.isE字段判断 Frame A2. Payload字段是用户数据的密文时，所述步骤 2.3 ) 包括：

2.3.1.1 )数据帧解密处理模块将 Frame A2.keylndex字段信息提交给密钥管理模块，检索得到对 Frame A2. Payload进行解密的密钥 KEY2;

2.3.1.2 ) 数据帧解密处理模块根据得到的密钥 KEY2 , 调用算法模块对 Frame A2. Payload进行解密，得到用户数据的明文，完成对 Frame A2的解析，得到用户数据；

所述 KEY2是终端设备接收的数据帧 Frame A2中 Payload字段是用户数据的密文信息时，解析 Frame A2所使用的密钥。

6、根据权利要求 3所述的具有链路层加解密能力的终端设备的数据处理方法，其特征在于：所述方法所支持的链路层加密协议数据帧中还包含完整性校验 MIC字段；所述 MIC字段是对链路层解密协议数据帧除 MIC字段外所有字段或部分字段计算得到的完整性校验值；所述数据帧进行保密处理的密钥包含完整性校验密钥和加密密钥两部分；所述完整性校验密钥用于计算或验证 MIC字段；所述加密密钥部分用于加密用户数据或解密用户数据的密文。

7、根据权利要求 6所述的具有链路层加解密能力的终端设备的数据处理方法，其特征在于：

1.3.2.2 )数据帧加密处理模块构造数据帧 Frame A1除 Frame A1.MIC字段外所有字段；所述数据帧 Frame Al除 Frame A 1. MIC外所有字段取值如下：

Frame Al .DA字段，取值为目的节点的 MAC地址；

Frame A1.SA字段，取值为该终端设备的 MAC地址；

Frame Al .isE字段，取值为不加密；

Frame Al.keylndex字段，取值为密钥 KEY1的标识 keylndexl；

Frame Al. Payload字段，取值为用户数据；

1.3.2.3 ) 数据帧加密处理模块对构造好的除 Frame A1.MIC字段外的帧

Frame A1 , 调用对应的算法模块，利用 KEY1的完整性校验密钥计算完整性校验 Frame A1.MIC字段值；完成帧 Frame Al的构造；当数据帧加密处理模块根据对应的链路层加密协议及保密处理策略判断需要对用户数据进行加密时，所述步骤 1.3 ) 包括：

1.3.3.1 )数据帧加密处理模块调用密钥管理模块，得到对数据帧进行保密处理的密钥 KEY1以及密钥 KEY1的标识 keylndexl；

1.3.3.2 )数据帧加密处理模块根据得到的密钥 KEY1 , 调用算法模块，利用 KEY1的加密密钥对用户数据进行加密，得到用户数据的密文；

1.3.3.3 )数据帧加密处理模块构造数据帧 Frame A1除 Frame A1.MIC字段外所有字段；所述数据帧 Frame A 1除 Frame A 1.MIC外所有字段取值如下：

Frame Al .DA字段，取值为目的节点的 MAC地址；

Frame A1.SA字段，取值为该终端设备的 MAC地址；

Frame Al .isE字段，取值为加密；

Frame Al.keylndex字段，取值为密钥 KEY1的标识 keylndexl；

Frame Al. Payload字段，取值为用户数据的密文；

1.3.3.4 )数据帧加密处理模块对构造好的除 Frame A1.MIC字段外的数据帧 Frame A1 , 调用对应的算法模块，利用 KEY1的完整性校验密钥计算完整性校验 Frame A1.MIC字段值；完成数据帧 Frame Al的构造。

8、根据权利要求 6所述的具有链路层加解密能力的终端设备的数据处理方法，其特征在于：

当数据帧解密处理模块根据 Frame A2.isE字段判断 Frame A2. Payload字段是用户数据的明文时，所述步骤 2.3 ) 包括：

2.3.2.1 )数据帧解密处理模块将 Frame A2.keyIndex字段信息，提交给密钥管理模块，检索得到对数据帧 Frame A2进行解保密处理的密钥 KEY2;

2.3.2.2 )数据帧解密处理模块利用得到的密钥 KEY2的完整性校验密钥部分，调用算法模块，验证数据帧 Frame A2中 Frame A2.MIC字段的正确性；若 Frame A2.MIC正确，则执行步骤 2.3.2.3 ); 若不正确，则丢弃该分组；

2.3.2.3 )数据帧解密处理模块提取 Frame A2. Payload字段作为用户数据的明文，完成对数据帧 Frame A2的解析；

2.3.3.1 )数据帧解密处理模块将 Frame A2.keyIndex字段信息，提交给密钥管理模块，检索得到对数据帧 Frame A2进行解保密处理的密钥 KEY2;

2.3.3.2 )数据帧解密处理模块利用得到的密钥 KEY2的完整性校验密钥，调用算法模块，验证数据帧 Frame A2中 Frame A2.MIC字段的正确性；若 Frame A2.MIC正确，则执行步骤 2.3.3.3 ); 否不正确，则丢弃该分组；

2.3.3.3 )数据帧解密处理模块利用得到的密钥 KEY2的加密密钥，调用算法模块对 Frame A2. Payload进行解密，得到用户数据的明文，完成对数据帧 Frame A2的解析。

9、根据权利要求 6所述的具有链路层加解密能力的终端设备的数据处理方法，其特征在于：当终端设备对用户数据进行保护涉及的加密和完整性校验时，若所述步骤 1.3 ) 中数据帧加密处理模块是先对用户数据进行加密构造数据帧的有效负载 Payload字段，再对数据帧进行完整性校验构造 MIC字段时，所述步骤 2.3 ) 中数据帧解密处理模块在接收到数据帧时，先验证 MIC字段的正确性，只有确定 MIC字段正确后，再解密数据帧的有效负载 Payload字段得到用户数据明文信息，提交给上层；

当终端设备对用户数据进行保护涉及的加密和完整性校验时，若所述步骤

1.3 ) 中数据帧加密处理模块是先将用户数据明文作为有效负载 Payload字段，对数据帧计算完整性校验构造 MIC字段，再对用户数据明文进行加密，用得到的用户数据密文更新数据帧的有效负载 Payload字段时，所述步骤 2.3 ) 中数据帧解密处理模块先解密数据帧的有效负载 Payload字段得到用户数据明文信息；然后再验证 MIC字段的正确性，只有确定 MIC字段正确后，之前解密得到的用户数据明文信息才有效，提交给上层。

10、根据权利要求 2-9中任意一项所述的具有链路层加解密能力的终端设备的数据处理方法，其特征在于：上述步骤 1.3 )、 2.3 ) 中 Frame Al.Keylndex 和 Frame A2.KeyIndex都指示具有链路层加解密能力的终端设备与对端终端设备的站间密钥时，具有链路层加解密能力的终端设备在发送数据帧给对端终端设备时，使用与对端终端设备之间的站间密钥对要发送的数据帧进行保护，所述保护指加密和 /或计算完整性校验；具有链路层加解密能力的终端设备在接收来自对端终端设备的数据帧时，使用与对端终端设备之间的站间密钥对接收到的数据帧进行解保护处理，所述解保护指解密和 /或验证完整性校验。

11、根据权利要求 2-9中任意一项所述的具有链路层加解密能力的终端设备的数据处理方法，其特征在于：所述方法所支持的链路层加密协议数据帧帧头 Frame Header中，还包括 MAClist字段；所述 MAClist字段用于表示特定 MAC 地址列表信息，该字段所给出的特定 MAC地址列表中的交换设备需要对接收到的密文数据帧进行解密再加密再转发的处理；该特定 MAC地址列表外的交换设备除非为目的节点，否则都只需要对该密文数据帧直接转发。

12、根据权利要求 11所述的具有链路层加解密能力的终端设备的数据处理方法，其特征在于：上述 MAClist字段用于定义从发送端终端设备到目的端终端设备的链路上的第一个具有链路层加解密能力的交换设备以及最后一个具有链路层加解密能力的交换设备的 MAC地址列表，

上述步骤 1.3 )中具有链路层加解密能力的终端设备作为发送端终端设备，对端终端设备作为目的端终端设备；具有链路层加解密能力的终端设备在获得从具有链路层加解密能力的终端设备到对端终端设备链路上的第一个具有链路层加解密能力的交换设备 sw^、及最后一个具有链路层加解密能力的交换设备 SW₂的 MAC地址信息后，在构造数据帧时 MAClist字段包含 SW^PSW₂的 MAC地址，并使用发送端终端设备和从发送端终端设备到目的端终端设备的链路上的第一个具有链路层加解密能力的交换设备之间的密钥对数据帧进行保密处理，即使用具有链路层加解密能力的终端设备与 SWi之间的密钥 KEY 对数据帧进行保密处理，将 KEY^^keylndeXi赋值到数据帧的 keylndex字段进行传输；所述对数据帧进行保密处理指加密或 /和计算完整性校验；上述步骤 2.3 )中具有链路层加解密能力的终端设备作为目的端终端设备，对端终端设备作为发送端终端设备；具有链路层加解密能力的终端设备在收到来自对端终端设备发来的数据帧时，提取 MAClist字段得到从发送端终端设备到目的端终端设备的链路上的最后一个具有链路层加解密能力的交换设备的 MAC地址信息，并使用与这个交换设备之间的密钥对数据帧进行解保密处理，即具有链路层加解密能力的终端设备提取 MAClist字段得到 SWi的 MAC地址信息，使用与 SWi之间的密钥 KEY进行解保密处理，得到用户数据明文信息；所述对数据帧进行解保密处理指解密或 /和验证完整性校验。