[发明专利]支持链路层保密传输的交换设备及其数据处理方法

说明书

技术领域

本发明属于网络安全领域，涉及一种支持链路层保密传输的交换设备及其数据处理方法。

背景技术

有线局域网一般为广播型网络，一个节点发出的数据，其它节点都能收到。网络上的各个节点共享信道，这给网络带来了极大的安全隐患。攻击者只要接入网络进行监听，就可以捕获网络上所有的数据包。

现有国家标准GB/T 15629.3(对应IEEE 802.3或ISO/IEC 8802-3)定义的局域网LAN并不提供数据保密方法，这样就使得攻击者容易窃取到关键信息。在国际研究领域里，IEEE所制定的IEEE 802.1AE标准为保护以太网提供数据加密协议，并采用逐跳加密的安全措施来实现网络节点之间数据的安全传达。

支持GB/T 15629.3的交换设备对所有的数据包均直接转发，不具备链路层保密传输能力，所传输的数据包信息易被截获；支持IEEE 802.1AE的交换设备只支持逐跳加密，需要对所有转发的加密数据包都进行解密再加密操作，交换设备计算负担重，且网络数据传输延迟大。

发明内容

为了解决背景技术中存在的上述技术问题，本发明提供了一种可降低交换设备的计算负担以及网络升级代价小的支持链路层保密传输的交换设备及其数据处理方法。

本发明的技术解决方案是：本发明提供了一种支持链路层保密传输的交换设备，其特殊之处在于：所述支持链路层保密传输的交换设备包括交换模块以及多个端口模块，所述所有的端口模块与交换模块之间分别电性相连；所述端口模块包含算法模块、接口模块、保密处理模块以及密钥管理模块，所述保密处理模块分别与接口模块、算法模块以及密钥管理模块电性相连。

上述端口模块支持链路层密钥管理能力，所述端口模块为该交换设备与其他网络节点之间建立用于对数据帧的加解密的共享密钥；所建立的共享密钥是预共享的或是在节点身份鉴别成功后协商的；所述共享密钥均由端口模块的密钥管理模块进行管理存储；

所述算法模块涉及加解密算法和/或完整性校验算法，可以是硬件实现或软件实现。

一种支持链路层保密传输的交换设备的数据处理方法，其特殊之处在于：所述方法包括以下步骤：

1)交换设备端口Port X的接口模块接收数据帧Frame A1，并将其提交给端口Port X的保密处理模块；所述数据帧Frame A1包括第一帧头以及第一有效负载；

2)交换设备端口Port X的保密处理模块根据Frame A1的第一帧头的信息，结合端口Port X的密钥管理模块和算法模块处理Frame A1，构造Frame A2，提交给交换设备的交换模块；所述数据帧Frame A2包括第二帧头以及第二有效负载；

3)交换设备的交换模块提取Frame A2的第二帧头的信息，若第二帧头中DA字段与交换设备MAC地址一致，则交换设备将Frame A2第二有效负载递交给链路层的上层(譬如网络层、应用层等)处理；若不一致，则交换设备将根据本地的MAC地址学习信息，正确地将Frame A2交换至端口Port Y的保密处理模块；

4)交换设备端口Port Y的保密处理模块，根据第二帧头的信息结合端口PortY的密钥管理模块和算法模块处理Frame A2，构造Frame A3，通过端口Port Y的接口模块将Frame A3输出；所述数据帧Frame A3包括第三帧头以及第三有效负载；

其中：

Port X：交换设备的第一端口模块，该Port X作为数据帧Frame A的输入端；

Port Y：交换设备的第二端口模块，该Port Y作为数据帧Frame A的输出端；

Frame A1：表示端口Port X的接口模块收到的数据帧；

Frame A2：表示端口Port X的保密处理模块提交给交换模块的数据帧；

Frame A3：表示端口Port Y的接口模块最终输出的数据帧；

若交换设备收到的Frame A1是加密数据帧，交换设备需要对该数据帧解密再加密处理后转发，则记对数据帧Frame A1解密处理构造Frame A2使用的密钥为KEY1；记对数据帧Frame A2加密处理构造Frame A3使用的密钥为KEY2；则交换设备Port X用KEY1对Frame A1进行解密处理构造Frame A2；Port Y利用KEY2对Frame A2进行加密处理构造Frame A3。

上述支持链路层保密传输的交换设备支持标准的ISO/IEC 8802-3数据帧或支持链路层加密协议数据帧。