WO2012083653A1

WO2012083653A1 - 支持链路层保密传输的交换设备及其数据处理方法

Info

Publication number: WO2012083653A1
Application number: PCT/CN2011/075856
Authority: WO
Inventors: 铁满霞; 李琴; 杜志强
Original assignee: 西安西电捷通无线网络通信股份有限公司
Priority date: 2010-12-20
Filing date: 2011-06-17
Publication date: 2012-06-28
Also published as: US20130283044A1; JP2015181233A; US9264405B2; KR20130096320A; JP5785346B1; KR101485279B1; CN102035845A; JP2014505402A; CN102035845B

Abstract

一种支持链路层保密传输的交换设备及其数据处理方法，该支持链路层保密传输的交换设备包括交换模块以及多个端口模块，各端口模块分别与交换模块电性相连；所述端口模块支持链路层密钥管理能力，用于为所述交换设备与其他网络节点之间建立用于对数据帧的加解密的共享密钥。

Description

支持链路层保密传输的交换设备及其数据处理方法

本申请要求于 2010 年 12 月 20 日提交中国专利局、申请号为 201010596665.5、发明名称为"支持链路层保密传输的交换设备及其数据处理方法"的中国专利申请的优先权，其全部内容通过引用结合在本申请中。

技术领域

本发明属于网络安全领域，涉及一种支持链路层保密传输的交换设备及其数据处理方法。

背景技术

有线局域网一般为广播型网络，一个节点发出的数据，其它节点都能收到。网络上的各个节点共享信道，这给网络带来了极大的安全隐患。攻击者只要接入网络进行监听，就可以捕获网络上所有的数据包。域网 LAN并不提供数据保密方法，这样就使得攻击者容易窃取到关键信息。在国际研究领域里， IEEE所制定的 IEEE 802.1AE标准为保护以太网提供数据加密协议，并采用逐跳加密的安全措施来实现网络节点之间数据的安全传达。

支持 GB/T 15629.3的交换设备对所有的数据包均直接转发，不具备链路层保密传输能力，所传输的数据包信息易被截获；支持 IEEE 802.1 AE的交换设备只支持逐跳加密，需要对所有转发的加密数据包都进行解密再加密操作，交换设备计算负担重，且网络数据传输延迟大。

发明内容

为了解决背景技术中存在的上述技术问题，本发明实施例提供了一种可降低交换设备的计算负担以及网络升级代价小的支持链路层保密传输的交换设备及其数据处理方法。

本发明实施例提供了一种支持链路层保密传输的交换设备，所述交换设备包括交换模块以及多个端口模块，各端口模块分别与交换模块电性相连；所述端口模块支持链路层密钥管理能力，用于为所述交换设备与其他网络节点之间建立用于对数据帧的加解密的共享密钥。

本发明实施例还提供一种支持链路层保密传输的交换设备的数据处理方法，所述方法包括：

1 )交换设备端口 Port X的接口模块接收数据帧 Frame Al ,并将其提交给端口 Port X的保密处理模块；所述数据帧 Frame A1包括第一帧头以及第一有效负载；

2 ) 交换设备端口 Port X的保密处理模块根据 Frame Al的第一帧头的信息，结合端口 Port X的密钥管理模块和算法模块处理 Frame A1 , 构造 Frame A2, 提交给交换设备的交换模块；所述数据帧 Frame A2包括第二帧头以及第二有效负载；

3 ) 交换设备的交换模块提取 Frame A2的第二帧头的信息，若第二帧头中 DA字段与交换设备 MAC地址一致，则交换设备将 Frame A2第二有效负载递交给链路层的上层（譬如网络层、应用层等）处理；若不一致，则交换设备将根据本地的 MAC地址学习信息，正确地将 Frame A2交换至端口 Port Y的保密处理模块；

4 ) 交换设备端口 Port Y的保密处理模块，根据第二帧头的信息结合端口 Port Y的密钥管理模块和算法模块处理 Frame A2 ,构造 Frame A3 ,通过端口 Port Y的接口模块将 Frame A3输出；所述数据帧 Frame A3包括第三帧头以及第三有效负载；

其中：

Port X: 交换设备的第一端口模块，该 Port X作为数据帧 Frame A的输入端口；

Port Y: 交换设备的第二端口模块，该 Port Y作为数据帧 Frame A的输出端口；

Frame A 1：表示端口 Port X的接口模块收到的数据帧；

Frame A2: 表示端口 Port X的保密处理模块提交给交换模块的数据帧； Frame A3：表示端口 Port Y的接口模块最终输出的数据帧；

若交换设备收到的 Frame Al是加密数据帧，交换设备需要对该数据帧解密再加密处理后转发，则记对数据帧 Frame A1解密处理构造 Frame A2使用的密钥为 KEY1; 记对数据帧 Frame A2加密处理构造 Frame A3使用的密钥为 KEY2; 则交换设备 Port X用 KEY1对 Frame A 1进行解密处理构造 Frame A2; Port Y利用 ΚΕΥ2对 Frame A2进行加密处理构造 Frame A3。

本发明实施例所提供的支持链路层保密传输的交换设备既可以支持标准的 ISO/IEC 8802-3数据帧，也支持各种链路层加密协议数据帧，包括 IEEE 802.1AE协议数据帧。在实现前向兼容的同时，可以实现对各种链路层加密协议的支持，实现数据帧在链路层的保密传输，提高网络的安全性。本发明实施例所提供的支持链路层保密传输的交换设备，相对于 IEEE 802.1 AE交换设备，除支持链路层保密传输外，因为具有处理含 MAClist字段的链路层加密协议数据帧的能力，不需要对所有要转发的数据帧都进行解密再加密再转发的操作，从而可降低交换设备的计算负担。另外，本发明实施例的交换设备支持多种数据帧，因此具备与其他交换设备的混合组网的能力，网络升级代价更小。

附图说明

图 1为本发明实施例所提供的支持链路层保密传输的交换设备的示意图；图 2为本发明实施例所提供的支持链路层保密传输的交换设备数据处理流程图。

具体实施方式

参见图 1 , 本发明实施例提供的支持链路层保密传输的交换设备，包括交换模块以及多个端口模块；其中所有的端口模块与交换模块之间分别电性相连；每一端口模块包含算法模块、接口模块、保密处理模块以及密钥管理模块，其中保密处理模块分别与接口模块、算法模块、密钥管理模块之间电性相连。

每一端口模块支持链路层密钥管理能力，可以为该交换设备与其他网络节点之间建立共享密钥，用于对数据帧的加解密；所建立的共享密钥可以是预共享的，也可以是在节点身份鉴别成功后协商的，均由端口模块的密钥管理模块进行管理存储。

算法模块涉及加解密算法和 /或完整性校验算法，可以是硬件实现也可以是软件实现。

本发明实施例提供的支持链路层保密传输的交换设备支持标准的 ISO/IEC 8802-3数据帧，还支持链路层加密协议数据帧，所支持的链路层加密协议数据帧中包括帧头和有效负载，如下表 1所示：

表 1

其中帧头如下表 2所示:

表 2:

其中：

DA字段：表示目的节点的标识，取值目的节点的 MAC地址；

SA字段：表示源节点的标识，取值源节点的 MAC地址；

Ethertype字段：表示以太类型字段，取值为链路层加密协议的以太类型字段；用于标识对应的链路层加密协议及帧结构；

isE字段：表示加密标志位，用于标识数据帧的有效负载是用户数据的明文信息还是密文信息，数据包的接收方将该字段作为是否需要解密的一个判断因素；

keylndex字段：表示对有效负载进行保护的密钥的标识；

MAClist字段：表示特定 MAC地址列表信息，该字段是可选字段；有效负载字段：表示用户数据信息，可以是用户数据的明文信息也可以是用户数据的密文信息；

上述 MAClist字段存在时，所述 MAClist字段所给出的特定 MAC地址列表中的交换设备若为目的节点，则需要对接收到的数据帧进行解密接收；若不为目的节点，则需要对接收到的数据帧进行解密再加密再转发；所述 MAClist字段所给出的特定 MAC地址列表外的交换设备若为目的节点，则需要对接收到的数据帧进行解密接收；若不为目的节点，则只需要对接收到的密文数据包直接转发；

上述 MAClist字段不存在时，接收到该数据帧的交换设备若为目的节点，则需要对接收到的数据帧进行解密接收；若不为目的节点，则需对接收到的数据帧进行解密再加密再转发。

上述 MAClist存在时，该字段所给出的特定 MAC地址列表中的交换设备对密文数据包解密所使用的密钥的检索信息包含 MAClist、 SA、 keylndex; 加密所使用的密钥的检索信息包含 MAClist、 DA。

上述 MAClist不存在时，交换设备需要对所有要转发的密文数据包解密再加密再转发，对密文数据包进行解密所使用的密钥的检索信息包含 S A、 keylndex; 加密所使用的密钥的检索信息包含 DA。

密钥检索信息的具体判断方法本发明实施例不予限定，依据交换设备具体支持的由 Ethertype标识链路层加密协议限定。解密时，根据密钥检索信息只会检索得到唯一的密钥；加密时，根据密钥检索信息可能检索得到多个密钥，交换设备根据本地策略从上述多个密钥中选择一个，并将所选密钥的 keylndex填写到数据帧的帧头中。

参见图 2, 支持链路层保密传输的交换设备的端口模块可以是交换设备的入口，也可以是交换设备的出口。

以数据帧 Frame A为例进行说明， Frame A从交换设备的端口 Port X输入，从端口 Port Y输出；为了区分不同模块之间传输的 Frame A的不同，分别用 Frame A 1 - A3进行标识，其中：

Frame A1：表示端口 Port X接口模块收到的数据帧；

Frame A2: 表示端口 Port X保密处理模块提交给交换模块的数据帧；

Frame A3：表示端口 Port Y接口模块最终输出的数据帧。

若交换设备收到的 Frame A1是加密数据帧，交换设备需要对该数据帧解密再加密处理后转发，则将对数据帧 Frame A1解密处理构造 Frame A2使用的密钥记为 KEY1 ; 将对数据帧 Frame A2加密处理构造 Frame A3使用的密钥记为 KEY2;则交换设备 Port X用 KEY1对 Frame A 1进行解密处理构造 Frame A2; Port Y利用 ΚΕΥ2对 Frame A2进行加密处理构造 Frame A3。

本发明实施例支持链路层保密传输的交换设备数据处理流程的实施方式如下： 1 )交换设备端口 Port X的接口模块接收数据帧 Frame Al ,并将其提交给端口 Port X的保密处理模块；

2 ) 交换设备端口 Port X的保密处理模块根据 Frame Al的帧头 1的信息，结合端口 Port X的密钥管理模块和算法模块处理 Frame A1 , 构造 Frame A2, 提交给交换设备的交换模块；

3 )交换设备的交换模块提取 Frame A2的帧头 2信息，若帧头 2中 DA字段与交换设备 MAC地址一致，则交换设备将 Frame A2有效负载 2递交给链路层的上层（譬如网络层、应用层等）处理；否则交换设备将根据本地的 MAC地址学习信息，正确地将 Frame A2交换至端口 Port Y的保密处理模块；

4 )交换设备端口 Port Y的保密处理模块，根据帧头 2的信息结合端口 Port Y 的密钥管理模块和算法模块处理 Frame A2, 构造 Frame A3 , 通过端口 Port Y的接口模块将 Frame A3输出；

其中，上述步骤 2 ) 的具体流程是：

2.1 )端口 Port X保密处理模块根据数据帧 Frame Al中的 Ethertype字段确定数据封装所使用的链路层加密协议，并根据 isE字段判断有效负载 1是否加密，若有加密，则执行步骤 2.2 ); 否则，直接将 Frame A1作为 Frame A2, 即帧头 2 与帧头 1相同，有效负载 2与有效负载 1相同，执行步骤 2.6 );

2.2 )若数据帧 Frame Al中存在 MAClist字段，则判断交换设备的 MAC地址是否在 MAClist字段所给出的特定 MAC地址列表中，若不在该列表中，则直接将 Frame A 1作为 Frame A2 ,即帧头 2与帧头 1相同，有效负载 2与有效负载 1相同，执行步骤 2.6 ), 若交换设备的 MAC地址在该列表中则执行步骤 2.3 ); 若数据帧 Frame Al中没有 MAClist字段，则直接执行步骤 2.3 );

2.3 )端口 Port X保密处理模块根据数据帧 Frame Al的 keylndex字段及 S A字段或根据数据帧 Frame Al的 keylndex字段、 S A字段及 MAClist字段判断对 Frame Al进行保密处理的密钥 KEY1的检索信息，将密钥 KEY1的检索信息发送给端口 Port X的密钥管理模块；

2.4 )端口 Port X的密钥管理模块根据密钥 KEY1的检索信息，查找对应的密钥 KEY1 , 并将密钥 KEY1反馈给端口 Port X的保密处理模块；

2.5 )端口 Port X的保密处理模块调用算法模块，输入密钥 KEY1和 Frame A1 的有效负载 1 , 解密得到 Frame A1有效负载 1的明文信息，并构造 FrameA2: 将 Frame A1有效负载 1的明文信息作为 Frame A2的有效负载 2, Frame A1的帧头 1 信息直接作为 Frame A2的帧头 2信息，即帧头 2与帧头 1相同，有效负载 2是有效负载 1的明文信息；

2.6 )端口 Port X的保密处理模块将 Frame A2提交给交换模块。

其中上述步骤 4 ) 的具体流程是：

4.1 )端口 Port Y的保密处理模块根据 Frame A2的中的 Ethertype字段确定数据封装所使用的链路层加密协议，并根据 isE字段判断有效负载 2是否需要进行加密以密文形式在网络中传输，若需要加密，则执行步骤 4.2 ); 否则，直接将 Frame A2作为 Frame A3, 即帧头 3与帧头 2相同，有效负载 3与有效负载 2相同，执行步骤 4.6 );

4.2 )若数据帧 Frame A2中存在 MAClist字段，则判断交换设备的 MAC地址是否在 MAClist字段所给出的特定 MAC地址列表中，若不在该列表中，则直接将 Frame A2作为 Frame A3 ,即帧头 3与帧头 2相同，有效负载 3与有效负载 2相同，直接执行步骤 4.6 ), 若交换设备的 MAC地址在该列表中则执行步骤 4.3 ); 若数据帧 Frame A2中没有 MAClist字段，则执行步骤 4.3 );

4.3 )端口 PortY的保密处理模块根据数据帧 Frame A2的 DA字段或根据数据帧 Frame A2的 DA字段及 MAClist字段判断对 Frame A2进行保密处理的密钥 KEY2的检索信息，将密钥 KEY2的检索信息发送给端口 Port Y的密钥管理模块，执行 4.4 );

4.4 )端口 Port Y的密钥管理模块，根据密钥 KEY2的检索信息查找可使用的密钥，结合本地策略选择一个密钥 KEY2, 将该密钥 KEY2及密钥 KEY2的标识 keylndex反馈给端口 Port Y的保密处理模块；

4.5 )端口 Port Y的保密处理模块调用算法模块，输入密钥 KEY2和 Frame A2 的有效负载 2, 加密得到 Frame A2的有效负载 2的密文信息，并构造 FrameA3: 将 Frame A2有效负载 2的密文信息作为 Frame A3的有效负载 3 ,并根据所使用的密钥 KEY2, 用 KEY2的 keylndex更新 Frame A2的帧头 2中的 keylndex字段作为 Frame A3的帧头 3信息，即帧头 3是用 KEY2的 keylndex更新 keylndex字段后的帧头 2, 有效负载 3是有效负载 2的密文信息；

4.6 )端口 Port Y的保密处理模块将 Frame A3通过接口模块输出。

在其他实施方式中，本发明实施例支持链路层保密传输的交换设备所支持的链路层加密协议数据帧还可包括 MIC字段（如图 2中的 MIC1、 MIC2、 MIC3 ), 所述 MIC字段表示完整性校验码，是对数据帧 Frame (如图 2中的 Frame Al、 Frame A2、 Frame A3 )计算得到的完整性校验值；所述完整性校验 MIC计算覆盖的字段范围根据交换设备支持的 Ethertype对应的链路层加密协议确定；在支持 MIC字段的实施方式中，对数据帧进行保密处理的密钥包含两部分，一部分是完整性校验密钥，另一部分是会话加密密钥；完整性校验密钥用于对数据帧计算完整性校验码 MIC; 会话加密密钥用于对数据帧有效负载进行加密。

支持链路层保密传输的交换设备对数据帧的保密处理可以是先对数据帧计算完整性校验码构造 MIC字段，后对数据帧用户数据进行加密处理构造有效负载字段；也可以是先对数据帧用户数据进行加密处理构造有效负载字段，后计算完整性校验码构造 MIC字段。

由于进行的加密处理存在加密和不加密两种策略，则先计算完整性校验码构造 MIC字段的方式，在接收时，需要先考虑是否需要解密，后确认 MIC字段的正确性；

后计算完整性校验码构造 MIC字段的方式，在接收时，是要先确认 MIC字段的正确性，后考虑是否需要解密。其中：

一、当对数据帧先计算完整性校验码构造 MIC字段，后考虑对数据帧用户数据加密构造有效负载字段处理时，上述步骤 2 ) 的具体流程是：

2.1 )端口 Port X保密处理模块根据数据帧 Frame A1中的 Ethertype字段确定数据封装所使用的链路层加密协议；

2.2 )若数据帧 Frame Al中存在 MAClist字段，则判断交换设备的 MAC地址是否在 MAClist字段所给出的特定 MAC地址列表中，若不在该列表中，则直接将 Frame A1作为 Frame A2,即帧头 2与帧头 1相同，有效负载 2与有效负载 1相同， MIC2与 MIC1相同，执行步骤 2.9 ); 若交换设备的 MAC地址在该列表中则执行步骤 2.3 ); 若数据帧 Frame A1中没有 MAClist字段，则直接执行步骤 2.3 );

2.3 )端口 Port X保密处理模块根据数据帧 Frame A1的 keylndex字段及 SA字段或根据数据帧 Frame A1的 keylndex字段、 S A字段及 MAClist字段判断对 Frame A1的进行保密处理所需要的密钥 KEY1的检索信息，将密钥 KEY1的检索信息发送给端口 Port X的密钥管理模块；

2.5 )端口 Port X的保密处理模块根据 isE字段判断有效负载 1是否加密，若有加密，则执行步骤 2.6 ); 否则， Frame A1的有效负载 1就是有效负载 1的明文信息，直接执行步骤 2.7 );

2.6 )端口 Port X的保密处理模块调用算法模块，输入密钥 KEY1的会话加密密钥和 Frame A1的有效负载 1 , 解密得到 Frame A1有效负载 1的明文信息；

2.7 )端口 Port X的保密处理模块调用算法模块，输入密钥 KEY1的完整性校验密钥和 Frame A1的有效负载 1的明文信息，验证 MIC1字段的正确性；若正确，则执行 2.8 ); 否则，丢弃该分组；

2.8 )端口 Port X的保密处理模块构造 FrameA2: 将 Frame A1有效负载 1的明文信息作为 Frame A2的有效负载 2, Frame A1的帧头 1信息直接作为 Frame A2 的帧头 2信息，即帧头 2与帧头 1相同，有效负载 2是有效负载 1的明文；

2.9 )端口 Port X的保密处理模块将 Frame A2提交给交换模块。

上述步骤 4 ) 的具体流程是：

4.1 )端口 Port Y的保密处理模块根据 Frame A2的中的 Ethertype字段确定数据封装所使用的链路层加密协议；

4.2 )若数据帧 Frame A2中存在 MAClist字段，则判断交换设备的 MAC地址是否在 MAClist字段所给出的特定 MAC地址列表中，若不在该列表中，则直接将 Frame A2作为 Frame A3 ,即帧头 3与帧头 2相同，有效负载 3与有效负载 2相同， MIC3与 MIC2相同，直接执行步骤 4.9 ); 若交换设备的 MAC地址在该列表中则执行步骤 4.3 ); 若数据帧 Frame A2中没有 MAClist字段，则执行步骤 4.3 );

4.3 )端口 Port Y的保密处理模块根据数据帧 Frame A2的 DA字段或根据数据帧 Frame A2的 DA字段及 MAClist字段判断对 Frame A2进行保密处理所需要的密钥 KEY2的检索信息，将密钥 KEY2的检索信息发送给端口 Port Y的密钥管理模块，执行 4.4 );

4.5 )端口 Port Y的保密处理模块调用算法模块，输入密钥 KEY2的完整性校验密钥和 Frame A2的有效负载，计算得到完整性校验码 MIC3字段；

4.6 )端口 Port X保密处理模块根据数据帧 Frame A2的 isE字段判断有效负载 2是否需要进行加密以密文形式在网络中传输，若需要加密，则执行步骤 4.7 ); 否则，执行步骤 4.8 );

4.7 )端口 Port Y的保密处理模块调用算法模块，输入密钥 KEY2的会话加密密钥和 Frame A2的有效负载 2, 加密得到 Frame A2的有效负载 2的密文信息，并构造 FrameA3：将 Frame A2有效负载 2的密文信息作为 Frame A3的有效负载 3 , 并根据所使用的密钥 KEY2的 keylndex信息更新 Frame A2的帧头 2中的 keylndex字段作为 Frame A3的帧头 3信息，用步骤 4.5 )计算得到的 MIC3作为 Frame A3的 MIC3字段，即帧头 3是用 KEY2的 keylndex更新 keylndex字段后的帧头 2, 有效负载 3是有效负载 2的密文信息， MIC3是步骤 4.5 )计算得到的 MIC3 , 执行步骤 4.9 );

4.8 )端口 Port Y的保密处理模块构造 FrameA3: 将 Frame A2有效负载 2直接作为 Frame A3的有效负载 3 , 并根据所使用的密钥 KEY2的 keylndex信息更新 Frame A2的帧头 2中的 keylndex字段作为 Frame A3的帧头 3信息，用步骤 4.5 )计算得到的 MIC3作为 Frame A3的 MIC3字段，即帧头 3是用 KEY2的 keylndex更新 keylndex字段后的帧头 2, 有效负载 3与有效负载 2相同， MIC3是步骤 4.5 )计算得到的 MIC3; 执行步骤 4.9 );

4.9 )端口 Port Y的保密处理模块将 Frame A3通过接口模块输出。

二、当对数据帧用户数据先考虑加密处理构造有效负载字段，后计算完整性校验码构造 MIC字段时，上述步骤 2 ) 的具体流程是：

2.2 )若数据帧 Frame A1中存在 MAClist字段，则判断交换设备的 MAC地址是否在 MAClist字段所给出的特定 MAC地址列表中，若不在该列表中，则直接将 Frame A1作为 Frame A2,即帧头 2与帧头 1相同，有效负载 2与有效负载 1相同， MIC2与 MIC1相同，执行步骤 2.9 ); 若交换设备的 MAC地址在该列表中则执行步骤 2.3 ); 若数据帧 Frame A1中没有 MAClist字段，则直接执行步骤 2.3 );

2.5 )端口 Port X的保密处理模块调用算法模块，输入密钥 KEY1的完整性校验密钥和 Frame A1的有效负载 1 , 验证 MIC1字段的正确性；若正确，则执行 2.6 ); 否则，丢弃该分组；

2.6 )端口 Port X的保密处理模块根据 isE字段判断有效负载 1是否加密，若有加密，则执行步骤 2.7 ); 否则， Frame A1的有效负载 1就是有效负载 1的明文信息，直接执行步骤 2.8 );

2.7 )端口 Port X的保密处理模块调用算法模块，输入密钥 KEY1的会话加密密钥和 Frame A1的有效负载 1 , 解密得到 Frame A1有效负载 1的明文信息；

2.8 )端口 Port X的保密处理模块构造 FrameA2: 将 Frame A1有效负载的明文信息作为 Frame A2的有效负载， Frame A 1的帧头 1信息直接作为 Frame A2的帧头 2信息，即帧头 2与帧头 1相同，有效负载 2是有效负载 1的明文信息；

2.9 )端口 Port X的保密处理模块将 Frame A2提交给交换模块。

上述步骤 4 ) 的具体流程是：

4.5 )端口 Port X保密处理模块根据数据帧 Frame A2的 isE字段判断有效负载 2是否需要进行加密以密文形式在网络中传输，若需要加密，则执行步骤 4.6 ); 否则，执行步骤 4.8 );

4.6 )端口 Port Y的保密处理模块调用算法模块，输入密钥 KEY2的会话加密密钥和 Frame A2的有效负载 2, 加密得到 Frame A2的有效负载 2的密文信息；

4.7 )端口 Port Y的保密处理模块调用算法模块，输入密钥 KEY2的完整性校验密钥和 Frame A2的有效负载 2的密文信息，计算得到完整性校验码 MIC3字段；并构造 FrameA3: 将 Frame A2有效负载 2的密文信息作为 Frame A3的有效负载 3 , 并根据所使用的密钥 KEY2的 keylndex信息更新 Frame A2的帧头 2中的 keylndex字段作为 Frame A3的帧头 3信息，用计算得到的 MIC3作为 Frame A3的 MIC3字段，即帧头 3是用 KEY2的 keylndex更新 keylndex字段后的帧头 2 , 有效负载 3是有效负载 2的密文信息， MIC3是步骤 4.7 )计算得到的 MIC3 , 执行步骤 4.9 );

4.8 )端口 Port Y的保密处理模块调用算法模块，输入密钥 KEY2的完整性校验密钥和 Frame A2的有效负载 2, 计算得到完整性校验码 MIC3字段；构造 FrameA3 : 将 Frame A2有效负载 2直接作为 Frame A3的有效负载 3 , 并根据所使用的密钥 KEY2的 keylndex信息更新 Frame A2的帧头 2中的 keylndex字段作为 Frame A3的帧头 3信息，用计算得到的 MIC3作为 Frame A3的 MIC3 , 即帧头 3是用 KEY2的 keylndex更新 keylndex字段后的帧头 2,有效负载 3与有效负载 2相同， MIC3是步骤 4.8 )计算得到的 MIC3; 执行步骤 4.9 );

4.9 )端口 Port Y的保密处理模块将 Frame A3通过接口模块输出。

Claims

权利要求

1、一种支持链路层保密传输的交换设备，其特征在于：所述支持链路层保密传输的交换设备包括交换模块以及多个端口模块，各端口模块分别与交换模块电性相连；所述端口模块支持链路层密钥管理能力，用于为所述交换设备与其他网络节点之间建立用于对数据帧的加解密的共享密钥。

2、根据权利要求 1所述的支持链路层保密传输的交换设备，其特征在于：所述共享密钥是预共享的或是在节点身份鉴别成功后协商建立的；所述端口模块包括：算法模块、接口模块、保密处理模块以及密钥管理模块，所述保密处理模块分别与接口模块、算法模块以及密钥管理模块电性相连；所述密钥管理模块用于管理并存储所述共享密钥；

所述算法模块涉及加解密算法和 /或完整性校验算法，是由硬件实现或软件实现。

3、一种支持链路层保密传输的交换设备的数据处理方法，其特征在于：所述方法包括：

1 )交换设备端口 Port X的接口模块接收数据帧 Frame A1 ,并将其提交给端口 Port X的保密处理模块；所述数据帧 Frame A1包括第一帧头以及第一有效负载；

2 ) 交换设备端口 Port X的保密处理模块根据 Frame A1的第一帧头的信息，结合端口 Port X的密钥管理模块和算法模块处理 Frame A1 , 构造 Frame A2, 提交给交换设备的交换模块；所述数据帧 Frame A2包括第二帧头以及第二有效负载；

3 ) 交换设备的交换模块提取 Frame A2的第二帧头的信息，若第二帧头中 DA字段与交换设备 MAC地址一致，则交换设备将 Frame A2第二有效负载递交给链路层的上层处理；若不一致，则交换设备将根据本地的 MAC地址学习信息，正确地将 Frame A2交换至端口 Port Y的保密处理模块；

4 ) 交换设备端口 Port Y的保密处理模块，根据第二帧头的信息结合端口 Port Y的密钥管理模块和算法模块处理 Frame A2,构造 Frame A3 ,通过端口 Port Y的接口模块将 Frame A3输出；所述数据帧 Frame A3包括第三帧头以及第三有效负载；

其中：

Frame A1: 表示端口 Port X的接口模块收到的数据帧；

Frame A2: 表示端口 Port X的保密处理模块提交给交换模块的数据帧；

Frame A3：表示端口 Port Y的接口模块最终输出的数据帧；

若交换设备收到的 Frame A1是加密数据帧，交换设备需要对该数据帧解密再加密处理后转发，则将对数据帧 Frame A1解密处理构造 Frame A2使用的密钥记为 KEY1; 将对数据帧 Frame A2加密处理构造 Frame A3使用的密钥为 KEY2; 则交换设备 Port X用 KEY1对 Frame A 1进行解密处理构造 Frame A2; Port Y利用

ΚΕΥ2对 Frame A2进行加密处理构造 Frame A3。

4、根据权利要求 3所述的支持链路层保密传输的交换设备的数据处理方法，其特征在于：所述交换设备支持标准的 ISO/IEC 8802-3数据帧或支持链路层加密协议数据帧。

5、根据权利要求 4所述的支持链路层保密传输的交换设备的数据处理方法，其特征在于：所述交换设备支持链路层加密协议数据帧时，所述链路层加密协议数据帧中包括帧头字段和有效负载字段；

帧头字段包括： DA字段、 SA字段、 Ethertype字段、 isE字段、 keylndex字段以及 MAClist字段；

其中：

DA字段：表示目的节点的标识，取值目的节点的 MAC地址；

SA字段：表示源节点的标识，取值源节点的 MAC地址；

keylndex字段：表示对有效负载进行保护的密钥的标识；

MAClist字段：表示特定 MAC地址列表信息，该字段是可选字段；有效负载字段：表示用户数据信息，所述用户数据信息是用户数据的明文信息或者是用户数据的密文信息。

6、根据权利要求 5所述的支持链路层保密传输的交换设备的数据处理方法，其特征在于：当所述 MAClist字段存在时，所述 MAClist字段所给出的特定 MAC地址列表中的交换设备若为目的节点，则需要对接收到的数据帧进行解密接收；若不为目的节点，则需要对接收到的数据帧进行解密再加密再转发；需要对接收到的数据帧进行解密接收；若不为目的节点，则只需要对接收到的密文数据包直接转发；

当所述 MAClist字段不存在时，接收到该数据帧的交换设备若为目的节点，则需要对接收到的数据帧进行解密接收；若不为目的节点，则需对接收到的数据帧进行解密再加密再转发；

当所述 MAClist字段存在时，所述 MAClist字段所给出的特定 MAC地址列表中的交换设备对密文数据包解密所使用的密钥的检索信息包含 MAClist、 SA、 keylndex; 加密所使用的密钥的检索信息包含 MAClist、 DA;

当所述 MAClist字段不存在时，交换设备需要对所有要转发的密文数据包解密再加密再转发，对密文数据包进行解密所使用的密钥的检索信息包含 SA、 keylndex; 加密所使用的密钥的检索信息包含 DA。

7、根据权利要求 6所述的支持链路层保密传输的交换设备的数据处理方法，其特征在于：所述步骤 2 ) 包括：

2.1.1 )端口 Port X保密处理模块根据数据帧 Frame A1中的 Ethertype字段确定数据封装所使用的链路层加密协议，并根据 isE字段判断第一有效负载是否加密，若有加密，则执行步骤 2.1.2 );若没有加密，则将 Frame Al作为 Frame A2, 执行步骤 2.1.6 );

2.1.2 )若数据帧 Frame Al中存在 MAClist字段，则判断交换设备的 MAC地

Frame A1作为 Frame A2 ,执行步骤 2.1.6 );若交换设备的 MAC地址在该列表中，则执行步骤 2.1.3 ); 若数据帧 Frame Al中没有 MAClist字段，则执行步骤 2.1.3 );

2.1.3 )端口 Port X保密处理模块根据数据帧 Frame A1的 keylndex字段及 SA 字段或根据数据帧 Frame A1的 keylndex字段、 SA字段及 MAClist字段判断对 Frame Al进行保密处理的密钥 KEY1的检索信息，将密钥 KEY1的检索信息发送给端口 Port X的密钥管理模块；

2.1.4 )端口 Port X的密钥管理模块根据密钥 KEYl的检索信息，查找对应的密钥 KEY1 , 并将密钥 KEY1反馈给端口 Port X的保密处理模块；

2.1.5 )端口 Port X的保密处理模块调用算法模块，输入密钥 KEY1和 Frame A1的第一有效负载，解密得到 Frame A1第一有效负载的明文信息，并构造 Frame A2: 将 Frame A1第一有效负载的明文信息作为 Frame A2的第二有效负载， Frame Al的第一帧头信息作为 Frame A2的第二帧头信息；

2.1.6 )端口 Port X的保密处理模块将 Frame A2提交给交换模块；

所述步骤 4 ) 包括：

4.1.1 )端口 Port Y的保密处理模块根据 Frame A2的中的 Ethertype字段确定数据封装所使用的链路层加密协议，并根据 isE字段判断第二有效负载是否需要进行加密以密文形式在网络中传输，若需要加密，则执行步骤 4丄 2 ); 若不需要加密，则将 Frame A2作为 Frame A3 , 执行步骤 4.1.6 );

4.1.2 )若数据帧 Frame A2中存在 MAClist字段，则判断交换设备的 MAC地

Frame A2作为 Frame A3 , 执行步骤 4.1.6 ); 若交换设备的 MAC地址在该列表中则执行步骤 4.1.3 ); 若数据帧 Frame A2中没有 MAClist字段，则执行步骤 4.1.3 );

4.1.3 )端口 PortY的保密处理模块根据数据帧 Frame A2的 DA字段或根据数据帧 Frame A2的 DA字段及 MAClist字段判断对 Frame A2进行保密处理的密钥 KEY2的检索信息，将密钥 KEY2的检索信息发送给端口 Port Y的密钥管理模块；

4.1.4 )端口 Port Y的密钥管理模块，根据密钥 KEY2的检索信息查找可使用的密钥，结合本地策略选择一个密钥 KEY2, 将密钥 KEY2及密钥 KEY2的标识 keylndex反馈给端口 Port Y的保密处理模块；

4.1.5 )端口 Port Y的保密处理模块调用算法模块，输入密钥 KEY2和 Frame A2的第二有效负载，加密得到 Frame A2的第二有效负载的密文信息，并构造 FrameA3: 将 Frame A2第二有效负载的密文信息作为 Frame A3的第三有效负载，并根据所使用的密钥 KEY2, 用 KEY2的 keylndex更新 Frame A2的第二帧头中的 keylndex字段作为 Frame A3的第三帧头信息；

4.1.6 )端口 Port Y的保密处理模块将 Frame A3通过接口模块输出。

8、根据权利要求 5所述的支持链路层保密传输的交换设备的数据处理方法，其特征在于：所述支持链路层保密传输的交换设备支持链路层加密协议数据帧时，所述支持的链路层加密协议数据帧中的帧头还包括 MIC字段，所述 MIC字段表示完整性校验码，是对数据帧 Frame计算得到的完整性校验值；所述完整性校验 MIC计算覆盖的字段范围根据交换设备支持的 Ethertype对应的链路层加密协议确定；所述对数据帧进行保密处理时，所述数据帧进行保密处理的密钥包含两部分，一部分是完整性校验密钥，另一部分是会话加密密钥；完整性校验密钥用于对数据帧计算完整性校验码 MIC;会话加密密钥用于对数据帧有效负载进行加密；

MIC1是数据帧 Frame A1计算得到的完整性校验值；

MIC2是数据帧 Frame A2计算得到的完整性校验值；

MIC3是数据帧 Frame A3计算得到的完整性校验值。

9、根据权利要求 8所述的支持链路层保密传输的交换设备的数据处理方法，其特征在于：所述保密处理，先对数据帧计算完整性校验码构造 MIC字段，后对数据帧用户数据进行加密处理构造有效负载字段时，

所述步骤 2 ) 包括：

2.2.1 )端口 Port X保密处理模块根据数据帧 Frame Al中的 Ethertype字段确定数据封装所使用的链路层加密协议；

2.2.2 )若数据帧 Frame A1中存在 MAClist字段，则判断交换设备的 MAC地

Frame Al作为 Frame A2 ,执行步骤 2.2.9 );若交换设备的 MAC地址在该列表中，则执行步骤 2.2.3 ); 若数据帧 Frame A1中没有 MAClist字段，则执行步骤 2.2.3 );

2.2.3 )端口 Port X保密处理模块根据数据帧 Frame Al的 keylndex字段及 S A 字段或根据数据帧 Frame Al的 keylndex字段、 SA字段及 MAClist字段判断对 Frame Al的进行保密处理所需要的密钥 KEY1的检索信息，将密钥 KEY1的检索信息发送给端口 Port X的密钥管理模块；

2.2.4 )端口 Port X的密钥管理模块根据密钥 KEY1的检索信息，查找对应的密钥 KEY1 , 并将密钥 KEY1反馈给端口 Port X的保密处理模块；

2.2.5 )端口 Port X的保密处理模块根据 isE字段判断第一有效负载是否加密，若有加密，则执行步骤 2.2.6 ); 否则， Frame A1的第一有效负载就是第一有效负载的明文信息，执行步骤 2.2.7 );

2.2.6 )端口 Port X的保密处理模块调用算法模块，输入密钥 KEY1的会话加密密钥和 Frame Al的第一有效负载，解密得到 Frame Al第一有效负载的明文信息；

2.2.7 )端口 Port X的保密处理模块调用算法模块，输入密钥 KEY1的完整性校验密钥和 Frame A1的第一有效负载的明文信息，验证 MIC1字段的正确性；若正确，则执行 2.2.8 ); 否则，丢弃该分组；

2.2.8 )端口 Port X的保密处理模块构造 FrameA2: 将 Frame Al第一有效负载的明文信息作为 Frame A2的第二有效负载， Frame Al的第一帧头信息作为 Frame A2的第二帧头信息；

2.2.9 )端口 Port X的保密处理模块将 Frame A2提交给交换模块；所述步骤 4 ) 包括：

4.2.1 )端口 Port Y的保密处理模块根据 Frame A2的中的 Ethertype字段确定数据封装所使用的链路层加密协议；

4.2.2 )若数据帧 Frame A2中存在 MAClist字段，则判断交换设备的 MAC地址是否在 MAClist字段所给出的特定 MAC地址列表中，若不在该列表中，则将 Frame A2作为 Frame A3 , 执行步骤 4.2.9 ); 若交换设备的 MAC地址在该列表中则执行步骤 4.2.3 ); 若数据帧 Frame A2中没有 MAClist字段，则执行步骤 4.2.3 );

4.2.3 )端口 Port Y的保密处理模块根据数据帧 Frame A2的 DA字段或根据数据帧 Frame A2的 DA字段及 MAClist字段判断对 Frame A2进行保密处理所需要的密钥 KEY2的检索信息，将密钥 KEY2的检索信息发送给端口 Port Y的密钥管理模块；

4.2.4 )端口 Port Y的密钥管理模块，根据密钥 KEY2的检索信息查找可使用的密钥，结合本地策略选择一个密钥 KEY2, 将该密钥 KEY2及密钥 KEY2的标识 keylndex反馈给端口 Port Y的保密处理模块；

4.2.5 )端口 Port Y的保密处理模块调用算法模块，输入密钥 KEY2的完整性校验密钥和 Frame A2的有效负载，计算得到完整性校验码 MIC3字段；

4.2.6 )端口 Port X保密处理模块根据数据帧 Frame A2的 isE字段判断第二有效负载是否需要进行加密以密文形式在网络中传输，若需要加密，则执行步骤 4.2.7 ); 否则，执行步骤 4.2.8 );

4.2.7 )端口 Port Y的保密处理模块调用算法模块，输入密钥 KEY2的会话加密密钥和 Frame A2的第二有效负载，加密得到 Frame A2的第二有效负载的密文信息，并构造 FrameA3：将 Frame A2第二有效负载的密文信息作为 Frame A3 的第三有效负载，并根据所使用的密钥 KEY2的 keylndex信息更新 Frame A2的第二帧头中的 keylndex字段作为 Frame A3的第三帧头信息，用步骤 4.2.5 )计算得到的 MIC3作为 Frame A3的 MIC3 , 即第三帧头是用 KEY2的 keylndex更新 keylndex字段后的第二帧头，第三有效负载是第二有效负载的密文信息， MIC3 是步骤 4.2.5 )计算得到的 MIC3, 执行步骤 4.2.9 );

4.2.8 )端口 Port Y的保密处理模块构造 FrameA3 , 包括：将 Frame A2的第二有效负载作为 Frame A3的第三有效负载，并根据所使用的密钥 KEY2的 keylndex信息更新 Frame A2的第二帧头中的 keylndex字段作为 Frame A3的第二帧头信息，用步骤 4.2.5 )计算得到的 MIC3作为 Frame A3中的MIC3字段；

4.2.9 )端口 Port Y的保密处理模块将 Frame A3通过接口模块输出。

10、根据权利要求 8所述的支持链路层保密传输的交换设备的数据处理方法，其特征在于：所述保密处理，先对数据帧用户数据进行加密处理构造有效负载字段，后计算完整性校验码构造 MIC字段时，

所述步骤 2 ) 包括：

2.3.1 )端口 Port X保密处理模块根据数据帧 Frame A1中的 Ethertype字段确定数据封装所使用的链路层加密协议；

2.3.2 )若数据帧 Frame A1中存在 MAClist字段，则判断交换设备的 MAC地址是否在 MAClist字段所给出的特定 MAC地址列表中，若不在该列表中，则将 Frame A1作为 Frame A2, 执行步骤 2.3.9 ); 若交换设备的 MAC地址在该列表中贝' J执行步骤 2.3.3 ); 若数据帧 Frame A1中没有 MAClist字段，则执行步骤 2.3.3 );

2.3.3 )端口 Port X保密处理模块根据数据帧 Frame A1的 keylndex字段及 S A 字段或根据数据帧 Frame A1的 keylndex字段、 SA字段及 MAClist字段判断对 Frame A1的进行保密处理所需要的密钥 KEY1的检索信息，将密钥 KEY1的检索信息发送给端口 Port X的密钥管理模块；

2.3.4 )端口 Port X的密钥管理模块根据密钥 KEY1的检索信息，查找对应的密钥 KEY1 , 并将密钥 KEY1反馈给端口 Port X的保密处理模块；

2.3.5 )端口 Port X的保密处理模块调用算法模块，输入密钥 KEY1的完整性校验密钥和 Frame A1的第一有效负载，验证 MIC1字段的正确性；若正确，则执行 2.3.6 ); 否则，丢弃该分组；

2.3.6 )端口 Port X的保密处理模块根据 isE字段判断第一有效负载是否加密，若有加密，则执行步骤 2.3.7 ); 否则， Frame A1的第一有效负载就是第一有效负载的明文信息，执行步骤 2.3.8 );

2.3.7 )端口 Port X的保密处理模块调用算法模块，输入密钥 KEY1的会话加密密钥和 Frame A1的第一有效负载 1 , 解密得到 Frame A1第一有效负载的明文信息；

2.3.8 )端口 Port X的保密处理模块构造 FrameA2: 将 Frame A1的第一有效负载的明文信息作为 Frame A2的第二有效负载， Frame A1的第一帧头信息作为 Frame A2的第二帧头信息；

2.3.9 )端口 Port X的保密处理模块将 Frame A2提交给交换模块；

所述步骤 4 ) 包括：

4.3.1 )端口 Port Y的保密处理模块根据 Frame A2的中的 Ethertype字段确定数据封装所使用的链路层加密协议；

4.3.2 )若数据帧 Frame A2中存在 MAClist字段，则判断交换设备的 MAC地

Frame A2作为 Frame A3, 执行步骤 4.3.9 ); 若交换设备的 MAC地址在该列表中贝' J执行步骤 4.3.3 ); 若数据帧 Frame A2中没有 MAClist字段，则执行步骤 4.3.3 );

4.3.3 )端口 Port Y的保密处理模块根据数据帧 Frame A2的 DA字段或根据数据帧 Frame A2的 DA字段及 MAClist字段判断对 Frame A2进行保密处理所需要的密钥 KEY2的检索信息，将密钥 KEY2的检索信息发送给端口 Port Y的密钥管理模块，执行 4.3.4 );

4.3.4 )端口 Port Y的密钥管理模块，根据密钥 KEY2的检索信息查找可使用的密钥，结合本地策略选择一个密钥 KEY2, 将该密钥 KEY2及密钥 KEY2的标识 keylndex反馈给端口 Port Y的保密处理模块；

4.3.5 )端口 Port X保密处理模块根据数据帧 Frame A2的 isE字段判断有效负载 2是否需要进行加密以密文形式在网络中传输，若需要加密，则执行步骤 4.3.6 ); 若不需要加密，则执行步骤 4.3.8 );

4.3.6 )端口 Port Y的保密处理模块调用算法模块，输入密钥 KEY2的会话加密密钥和 Frame A2的第二有效负载，加密得到 Frame A2的第二有效负载的密文信息；

4.3.7 )端口 Port Y的保密处理模块调用算法模块，输入密钥 ΚΕΥ2的完整性校验密钥和 Frame A2的第二有效负载的密文信息，计算得到完整性校验码 MIC3字段；并构造 FrameA3 : 将 Frame A2的第二有效负载的密文信息作为 Frame A3的第三有效负载，并根据所使用的密钥 KEY2的 keylndex信息更新 Frame A2的第二帧头中的 keylndex字段作为 Frame A3的第三帧头信息，用计算得到的 MIC3作为 Frame A3中的 MIC3字段，执行步骤 4.3.9 );

4.

3.8 )端口 Port Y的保密处理模块调用算法模块，输入密钥 KEY2的完整性校验密钥和 Frame A2的第二有效负载，计算得到完整性校验码 MIC3字段；构造 FrameA3：将 Frame A2第二有效负载作为 Frame A3的第三有效负载，并根据所使用的密钥 KEY2的 keylndex信息更新 Frame A2的第二帧头中的 keylndex 字段作为 Frame A3的第三帧头信息，计算得到的 MIC3作为 Frame A3中的 MIC3 字段；

4.3.9 )端口 Port Y的保密处理模块将 Frame A3通过接口模块输出。