[发明专利]一种加密设备和非加密设备混合组网的通信方法

说明书

技术领域

本发明涉及加密设备和非加密设备混合组网的局域网通信方法。

背景技术

有线局域网一般为广播型网络，一个节点发出的数据，其他节点都能收到。网络上的各个节点共享信道，这给网络带来了极大的安全隐患。802.1AE是IEEE为保护以太网研究的数据链路层数据加密协议，该协议采用逐跳加密的安全措施来实现网络节点之间数据的安全传达，该协议中的交换设备具备加密解密的能力，用于对以太网数据链路层的加密数据包进行解密后再加密再转发，以保证数据链路层的数据包都以密文形式在网络中传输。

该协议主要存在两个问题：

1、该协议中要求交换设备具有加密解密能力，而当前诸多局域网中大量部署的交换设备均不具备加密解密能力，这就要求当前局域网在升级使用802.1AE协议时，需要升级所有的交换设备，升级代价非常大；

2、逐跳加密的安全措施要求交换设备对需要转发的每一个数据包都进行解密后再加密再转发的处理过程，无疑给局域网中的交换设备带来了巨大的计算负担，容易引发攻击者对交换设备的攻击；且数据包从发送源节点传递到目的节点的延时增大，降低了网络传输效率。

伴随IEEE 802.1AE的研究，还有一些研究学者提出一些新的数据链路层保密传输协议，这些协议大都以局域网的所有的交换设备都支持加密解密为基础展开研究的，均存在上述的问题一。

发明内容

本发明目的是提供一种加密设备和非加密设备混合组网的通信方法，以克服现有通信方法安全隐患大、升级代价大、传输效率低的技术问题。

本发明的技术方案为：

一种加密设备和非加密设备混合组网的通信方法，包括以下步骤：

步骤1]当新节点N₁接入当前局域网时，若新节点N₁是非加密交换设备CSW或者是非加密用户终端CSTA，则进行步骤5]；若新节点N₁是加密交换设备ESW或加密用户终端ESTA，则进行步骤2]；

步骤2]父加密交换设备探寻过程：

步骤2.1]父加密交换设备探寻请求分组：

新节点N₁构造父加密交换设备探寻请求分组，并发送给局域网网关；该分组内容为空；

步骤2.2]父加密交换设备探寻响应分组：

父加密交换设备ESW-P₁收到父加密交换设备探寻请求分组后，不再转发，将新节点N₁信息保存，并根据自己的标识信息，构造父加密交换设备探寻响应分组，发送给新节点N₁；该分组内容主要包含：

  ID_ESW-P1

所述ID_ESW-P1字段表示新节点N₁的父加密交换设备的标识，其字段值为加密交换设备ESW-P₁的标识值；

其中：加密节点通往核心交换设备ESW-Center的数据包经过的除发送节点外的第一个加密交换设备是该加密节点的父加密交换设备，核心交换设备ESW-Center的父加密交换设备就是核心交换设备ESW-Center本身；局域网的核心交换设备ESW-Center是加密交换设备，局域网中所有的三层交换设备是加密交换设备；

步骤2.3]确定父加密设备：

新节点N₁收到父加密交换设备探寻响应分组后，记录ID_ESW-P1字段值，该字段值所标识的加密交换设备就是新节点N₁的父加密交换设备；

步骤3]鉴别与单播密钥建立过程：

若新节点N₁是加密用户终端，记为ESTA₁，则加密用户终端ESTA₁通过其它安全机制与其父加密交换设备ESW-P₁进行鉴别，并协商出单播密钥USK_1-P1；