專利名稱：：Mac安全網(wǎng)絡通信方法以及網(wǎng)絡設備的制作方法
技術領域：
：本發(fā)明涉及通信領域，特別涉及一種MAC安全網(wǎng)絡通信方法以及網(wǎng)絡設備。
背景技術：
：網(wǎng)絡鏈路層的安全技術是網(wǎng)絡通信的重大研究課題，IEEE802丄ae任務組對該課題進行了研究，提出使用MAC安全(MediaAccessControlSecurity,簡稱MAC安全)來保護二層通信的安全，防范二層攻擊。該MAC安全方法具體來說就是，MAC安全實體(MACSecurityEntity,簡稱SecY)使用安全關聯(lián)密鑰(SecureAssociationKey,簡稱SAK)，來對要發(fā)送的數(shù)據(jù)進行加密，接收SecY在接收到數(shù)據(jù)后，使用相同的密鑰來解密，從而獲得數(shù)據(jù)，這樣保證了數(shù)據(jù)的機密性。同時的，接收SecY通過檢查完整性校驗值，來判斷接收到的數(shù)據(jù)和發(fā)送端SecY發(fā)出表的數(shù)據(jù)一致，保證數(shù)據(jù)的完整性，以及正確性。在IEEE802.1.ae任務組目前在協(xié)議中規(guī)定的MAC安全都是基于LAN的。各個SecY要進行通訊，就必須同屬于一個安全連接關聯(lián)(SecureConnectivityAssociation,簡稱CA),同一個CA中的各個SecY擁有相同的安全關聯(lián)主密鑰(SecureConnectivityAssociationKey,簡稱CAK)。CAK可以是手工配置，也可以在通過認證后，從認證服務器獲得。各個SecY使用CAK來協(xié)商產生一個SAK，SAK是不斷變化更新的，而CAK則是固定不變的，即使設備重啟，CAK也將保持不變。SAK的不斷變化更新，極大地提高了數(shù)據(jù)的安全性。圖1為處于同一共享介質LAN中的媒體訪問控制(MediaAccessControl，簡稱MAC)設備的通信示意圖，如圖示，MAC設備A101、MAC設備B102、MAC設備C103、MAC設備D104同處于以共享介質LAN中，各設備之間可以互相訪問通信。假設MAC設備A101、MAC設備B102、MAC設備CI03同屬于一個CA，擁有相同的CAK，而MAC設備D104則排除在該CA之夕卜，那么如圖2所示，顯然，MAC設備A101、MAC設備B102、MAC設備C103上的SecY可以進行MAC安全通信，而MAC設備D104由于沒有SAK,即使抓到了MAC設備A101、MAC設備B102或MAC設備C103發(fā)出來的MAC加密幀，也不能解密，不能獲取MAC加密幀的用戶數(shù)據(jù)或控制協(xié)議數(shù)據(jù)。目前，根據(jù)IEEE802丄ae任務組目前在協(xié)議IEEE802.lae中的規(guī)定，MAC安全技術在網(wǎng)絡中是逐段鏈路使用的，各鏈路相互獨立，各段鏈路的加解密密鑰SAK毫不相干。如圖3所示，終端A201和第一網(wǎng)橋202之間存在一個CA1，使用SAK1加解密；第一網(wǎng)橋202和第二網(wǎng)橋203之間存在CA2，使用SAK2加解密；第二網(wǎng)橋203和第三網(wǎng)橋204之間存在CA3,使用SAK3加解密；第三網(wǎng)橋204和終端B205之間存在CA4,使用SAK4加解密。在通信網(wǎng)絡中，鏈路上的所有設備(包括終端)，只知道在本LAN內與自己相鄰的網(wǎng)絡設備是否支持MAC安全，如圖4所示，假設在通信網(wǎng)絡中，終端B407、終端D409以及第三用戶網(wǎng)橋(CustomerBridge,簡稱PB)410不支持MAC安全、或MAC安全不可用，那么，其中第二用戶網(wǎng)橋405能夠獲知終端B407不支持MAC安全、或MAC安全不可用的情況；只有第二運營商網(wǎng)橋(ProviderBridged,簡稱PB)404獲知第三用戶網(wǎng)橋410不支持MAC安全、或MAC安全不可用的情況。對于上述在通信網(wǎng)絡中存在不支持MAC安全的網(wǎng)絡設備的情況，(目前的終端設備和二層、三層交換機是不支持MAC安全的，因此對于情況復雜的用戶網(wǎng)絡CN是非?？赡艽嬖诓恢С諱AC安全的網(wǎng)絡設備的。)目前通常采用的處理是，當下一條鏈路的網(wǎng)絡設備不支持MAC安全時，通常采取直接丟棄MAC加密頓。這使得終端A與終端B只能使用非加密的普通MAC幀通信，然而對于UserA來說，選擇加密MAC加密幀，還是非加密MAC幀的判斷是非常困難的，所以其可能只是終端A、終端B之間無法通信的情況。由上可見，在現(xiàn)有技術中，如果在通信網(wǎng)絡中存在不支持MAC安全的網(wǎng)絡設備，那么支持MAC安全的網(wǎng)絡設備與不支持MAC安全的網(wǎng)絡設備之間的通信受阻。
發(fā)明內容本發(fā)明要解決的技術問題是提供一種MAC安全網(wǎng)絡通信方法，以實現(xiàn)當本發(fā)明要解決的技術問題是提供一種網(wǎng)絡設備，以實現(xiàn)當網(wǎng)絡通信網(wǎng)絡中存在不支持MAC安全的網(wǎng)絡設備時的數(shù)據(jù)安全通信。為解決上述第一技術問題，本發(fā)明的目的是通過以下技術方案實現(xiàn)的一種MAC安全網(wǎng)絡通信方法，包括網(wǎng)絡設備4妄收MAC幀；如果所述MAC幀為MAC加密幀，則解密所述MAC加密幀，如杲所述MAC加密幀需轉發(fā)至的下一鏈路的網(wǎng)絡設備不支持MAC安全、或者MAC安全不可用，則進一步判定所述鏈路是否可靠，如果可靠，則采用MAC非加密幀轉發(fā)至所述《連;洛；否則丟棄所述MAC加密幀。本發(fā)明所述的方法，可選地，所述的判定所述鏈路是否可靠，具體包括根據(jù)組網(wǎng)信息，在所述不支持MAC安全，或者MAC安全不可用的網(wǎng)絡設備與所述網(wǎng)絡設備相連接的網(wǎng)絡端口預配置有所述鏈路的可靠性消息；所述網(wǎng)絡設備讀取所述可靠性信息，獲知所述鏈路是否可靠。本發(fā)明所述的方法，可選地，如果所述MAC加密幀包含機密等級信息，則進一步根據(jù)所述機密等級信息，判斷對所述MAC加密幀丟棄，或是采用非加密幀轉發(fā)至所述鏈路。本發(fā)明所述的方法，可選地，所述MAC加密幀包含機密等級信息，通過以下步驟方式實現(xiàn)在所述MAC加密幀內的安全標簽字段的第7、8比特攜帶所述機密等級信息。本發(fā)明所述的方法，可選地，如果所述MAC幀為非MAC加密幀，并且所述MAC非加密幀需轉發(fā)至MAC安全可用的網(wǎng)絡設備時，則加密所述MAC幀，并在加密后轉發(fā)所述MAC幀；否則，直接轉發(fā)所述MAC幀。本發(fā)明所述的方法，可選地，在所述網(wǎng)絡設備上進一步保存有是否需要對本網(wǎng)絡設備發(fā)送的MAC非加密幀進行加密的標志，如果所述MAC幀為非MAC加密幀，并且所述MAC非加密幀需轉發(fā)至MAC安全可用的網(wǎng)絡設備，則在加密所述MAC幀前，進一步根據(jù)所述標志，判定是否需要加密所述MAC幀，如果需要則加密。為解決上述第二技術問題，本發(fā)明的目的是通過以下技術方案實現(xiàn)的一種網(wǎng)絡設備，所述網(wǎng)絡設備與不支持MAC安全、或者MAC安全不可用的網(wǎng)絡設備相連接，所述網(wǎng)絡設備包括鏈路可靠性判定單元，用于判斷所述網(wǎng)絡設備與所述不支持MAC安全、或者MAC安全不可用的網(wǎng)絡設備的鏈路是否可靠，并配置用于標識所述鏈路是否可靠的標識；鏈路可靠標識存儲單元，與所述鏈路可靠性判定單元相連接，用于存儲所述用于標識所述鏈路是否可靠的標識；控制端口，用于接收、解密MAC加密幀；轉發(fā)單元，用于轉發(fā)所述MAC加密幀；MAC幀目的地址獲取單元，用于讀取所述MAC加密幀的目的地址，判定所述的MAC幀需轉發(fā)至的下一網(wǎng)絡設備是否為所述不支持MAC安全、或者MAC安全不可用的網(wǎng)絡設備；決策單元，用于根據(jù)所述鏈路可靠標識存儲單元存儲的用于標識所述鏈路是否可靠的標識，決定對數(shù)據(jù)進行丟棄，或是將所述MAC加密幀轉發(fā)至所述轉發(fā)單元。本發(fā)明所述的網(wǎng)絡設備，可選地，所述網(wǎng)絡設備進一步包括機密等級讀取單元，用于當所述MAC加密幀攜帶機密等級信息時，讀取所述機密等級信息；所述決策單元與所述機密等級讀取單元相連接，用于進一步根據(jù)所述機密等級信息，決定丟棄所述MAC加密幀，或者將所述MAC加密幀傳遞至所述轉發(fā)單元。本發(fā)明所述的網(wǎng)絡設備，可選地，所述網(wǎng)絡設備進一步包括非控制端口，用于接收MAC非加密幀；加密判定單元，用于判定是否需要對所述MAC非加密幀進行加密，如果所述MAC非加密幀需轉發(fā)至MAC安全可用的網(wǎng)絡設備時，則判定需要加密所述MAC非加密幀；加密單元，用于加密所述需要加密的MAC非加密幀，并將加密后的MAC幀傳遞至所述轉發(fā)單元。本發(fā)明所述的網(wǎng)絡設備，可選地，所述網(wǎng)絡設備進一步包括加密判定標志存儲單元，用于存儲用戶在本網(wǎng)絡設備上預配置的是否對本網(wǎng)絡設備發(fā)送的MAC非加密幀進行加密的標志；第二加密判定單元，用于對所述加密判定單元判定需要加密的非加密幀，進一步根據(jù)所述加密判定標志存儲單元所存儲的加密標志，判定是否需要加密。由以上第一技術方案可以看出，由于當網(wǎng)絡設備接收到需要轉發(fā)到下一不支持MAC安全、或MAC安全不可用的網(wǎng)絡設備的MAC安全加密幀時，網(wǎng)絡設備根據(jù)該下一鏈路的可靠情況，當該下一鏈路可靠時，采用非加密幀轉發(fā)至下一鏈路，否則，丟棄該MAC加密幀。而不是如現(xiàn)有技術中只要需轉發(fā)至的下一網(wǎng)絡設備不支持MAC安全、或MAC安全不可用，對MAC加密幀均作丟棄處理。本方法，實現(xiàn)了在MAC加密幀的機密性得到保護的基礎上，保證了網(wǎng)絡的正常通信。進一步的，當網(wǎng)絡設備接收到需要轉發(fā)到下一不支持MAC安全、或MAC安全不可用的網(wǎng)絡設備的MAC安全加密幀時，網(wǎng)絡設備進一步根據(jù)該MAC加密幀包含的機密等級信息，決策對所述MAC加密幀丟棄，或者采用非加密幀轉發(fā)至下一鏈路，使得MAC通信的保密性了可通信性得到了更好的協(xié)調和均衡，使得本發(fā)明方法更加合乎實際情況。進一步的，當網(wǎng)絡設備接收到MAC非加密幀時，如果該MAC非加密幀需轉發(fā)至的下一鏈路的網(wǎng)絡設備支持MAC安全，并且MAC安全可用，則對該MAC幀進行加密后轉發(fā)到鏈路上，否則，直接轉發(fā)到鏈路上?？梢姳痉椒ㄌ貏e的對于由不支持MAC安全，或者MAC安全不可用的網(wǎng)絡設備轉發(fā)的MAC非加密幀，可以在后續(xù)的鏈路使用MAC安全技術，最大程度的實現(xiàn)了MAC安全通信。進一步，本發(fā)明對于需要轉發(fā)至下一鏈路的MAC安全可用的網(wǎng)絡設備的MAC非加密幀，進一步的可以根據(jù)用戶設置，判定是否對轉發(fā)至MAC安全可用的網(wǎng)絡設備的MAC非加密幀進行加密，只有在用戶需要的時候，才加密該MAC非加密幀。本發(fā)明使得可以根據(jù)實際用戶需要，進行加密，有利于節(jié)省不必要的網(wǎng)絡資源浪費，加快MAC通信速度。由以上第二技術方案可以看出，本發(fā)明對于與不支持MAC安全、或MAC安全不可用的網(wǎng)絡設備相連接的網(wǎng)絡設備，在網(wǎng)絡設備上設置了鏈路可靠性判定單元、鏈路可靠標識存儲單元、以及決策單元，對于當網(wǎng)絡設備接收到需要轉發(fā)到下一不支持MAC安全的網(wǎng)絡設備的MAC安全加密幀時，網(wǎng)絡設備根據(jù)鏈路可靠性判定單元得到的該下一鏈路的可靠情況，將該用于標識所述鏈路是否可靠的標識存儲于鏈路可靠標識存儲單元中，決策單元根據(jù)鏈路可靠標識存儲單元的紀錄，決策丟棄所述MAC加密幀，或者是采用MAC非加密幀轉發(fā)至下一鏈路，而不是如現(xiàn)有技術中對所有轉發(fā)至下一鏈路的不支持MAC安全、或MAC安全不可用的網(wǎng)絡設備的MAC加密幀均作丟棄處理。本方法，實現(xiàn)了在MAC幀的機密性得到保護的基礎上，保證了網(wǎng)絡的正常通信。進一步的，本發(fā)明在網(wǎng)絡設備中，還設置有機密等級讀取單元，并且與決策單元相連接，當該轉發(fā)下一鏈路的不支持MAC安全、或MAC安全不可用的網(wǎng)絡設備上的MAC加密幀攜帶機密等級信息時，由機密等級讀取單元讀取該機密等級信息，獲知該MAC幀的機密等級，使得決策單元進一步的可以根據(jù)所述機密等級信息，決定對該MAC加密幀進行丟棄，或是采用MAC非加密幀方式，轉發(fā)至下一鏈路，使得MAC通信的保密性和可通信性得到了更好的協(xié)調和均衡。使得本發(fā)明方法更加合乎實際情況。進一步的，在本網(wǎng)絡設備上，還設置了加密判定單元、加密單元，當該網(wǎng)絡設備接收到需要轉發(fā)至支持MAC安全，并且MAC安全可用的網(wǎng)絡設備的MAC非加密幀時，由加密判定單元判斷是否需要加密該MAC幀，如果需要則將MAC幀轉發(fā)至加密單元進行加密，否則，直接采用非加密幀轉發(fā)到鏈路上?？梢姳痉椒ㄌ貏e的對于由不支持MAC安全，或者MAC安全不可用的網(wǎng)絡設備轉發(fā)的MAC非加密幀，可以在后續(xù)的鏈路使用MAC安全技術，最大程度的實現(xiàn)了MAC安全通信.，進一步，由于本發(fā)明設置了第二判定單元以及供用戶設置的加密判定標志存儲單元，使得可以根據(jù)用戶設置，判定是否對轉發(fā)至MAC安全可用的MAC非加密幀進行加密，使得可以根據(jù)實際用戶需要，進行加密，有利于節(jié)省不必要的網(wǎng)絡資源浪費，加快MAC通信速度。圖1為處于同一LAN中的MAC設備的通信示意圖；圖2為MAC安全通信示意圖；圖3為通信網(wǎng)絡中的MAC安全加、解密示意圖；圖4為在網(wǎng)絡中存在不支持MAC安全的網(wǎng)絡設備的通信網(wǎng)絡結構示意圖；圖5為實施例1方法流程示意圖；圖6為實施例2的方法流程示意圖；圖7為實施例3的方法流程示意圖；圖8為實施例4的網(wǎng)絡設備結構示意圖；圖9為MAC加密幀格式示意圖；圖10為實施例5的網(wǎng)絡設備結構示意圖；圖11為實施例6的網(wǎng)絡設備結構示意圖；圖12為實施7的網(wǎng)絡設備結構示意圖。具體實施方式本發(fā)明的核心思想是，與網(wǎng)絡設備相連接的下一設備不支持MAC安全、或MAC安全不可用，即與網(wǎng)絡設備相連接的下一鏈路不支持MAC安全、或MAC安全不可用時，當網(wǎng)絡設備接收到需要轉發(fā)到該下一鏈路的MAC加密幀時，根據(jù)該下一鏈路的連接情況，判斷該下一鏈路是否可靠，如果不可靠，則丟棄所述MAC加密幀，如果可靠，則采用非加密幀轉發(fā)至下一鏈路。為了使得本領域的技術人員更好的理解本
發(fā)明內容，以下結合實施例以及附圖，對本
發(fā)明內容進行詳細的說明。實施例l:本實施例針對根據(jù)鏈路的可靠情況，決策是否對轉發(fā)到不支持MAC安全、或MAC安全不可用的下一鏈路的網(wǎng)絡設備的MAC加密幀進行丟棄，或繼續(xù)采用非加密幀進行轉發(fā)，進行詳細說明。圖5為本實施例方法流程示意圖，如圖示，本方法包括以下步驟步驟S501:網(wǎng)絡設備接收到MAC加密幀，進行解密。網(wǎng)絡設備接收到上一鏈路發(fā)送至本網(wǎng)絡設備的MAC加密幀，網(wǎng)絡設備將MAC加密幀傳遞至控制端口進行解密。其中本發(fā)明所述的網(wǎng)絡設備可以是通信網(wǎng)絡中的除終端外，支持MAC安全、并且MAC.安全可用的任何網(wǎng)絡設備，比如CBN、PBN、PBBN中的各網(wǎng)橋。步驟S502:網(wǎng)絡設備查找轉發(fā)表，并根據(jù)轉發(fā)表查找結果，獲知本MAC幀需要在哪一鏈路上發(fā)送。網(wǎng)絡設備讀取MAC幀需要到達的目的地址以及VLAN信息，查找轉發(fā)表，并根據(jù)轉發(fā)表查找結果，獲知該MAC幀到達該目的地址需要經(jīng)過的下一鏈路。步驟S503:判斷該下一鏈路的網(wǎng)絡設備是否支持MAC安全、或MAC安全是否可用，如果不支持MAC安全、或MAC安全不可用，則執(zhí)行步驟S504;否則，執(zhí)行步驟S508。根據(jù)密鑰選舉協(xié)議KSP信息，或網(wǎng)絡自身的組網(wǎng)信息，或預存的其它網(wǎng)絡信息，獲知該下一鏈路的MAC安全是否可用。如果下一鏈路的MAC安全不可用，則執(zhí)行步驟S504，如果下一鏈路的MAC安全可用，則執(zhí)行步驟S508。步驟S504:網(wǎng)絡設備獲取該下一鏈路的網(wǎng)絡可靠性情況。網(wǎng)絡設備可以根據(jù)本身存儲的組網(wǎng)信息，獲知該下一鏈路的網(wǎng)絡可靠性情況。亦可以根據(jù)在該下一鏈路網(wǎng)絡設備在接入本網(wǎng)絡設備的端口所存儲的本鏈路可靠性信息獲取，比如如圖4所示的網(wǎng)絡中，假設第三用戶網(wǎng)橋410、終端D409、終端B407、終端C406均不支持MAC安全、或MAC安全不可用，那么，在第二用戶網(wǎng)橋405的端口b、第三用戶網(wǎng)橋410的端口a上，根據(jù)鏈路的實際情況，配置鏈路可靠與否標識，當用戶自己能確保鏈路安全的情況下就配置為可靠，比如網(wǎng)橋的一個端口下只有一個用戶的情況，或者多個用戶同屬一個家庭、一個部門、一個企業(yè)的情況，比如當用戶不能確保鏈路的安全，并希望得到較高的安全保護時，鏈路配置為不可靠。接收到MAC加密幀的網(wǎng)絡設備根據(jù)在網(wǎng)絡設備端口上設置的鏈路可靠性信息，獲知該鏈路是否可靠。步驟S505:如果該下一鏈路可靠，則執(zhí)行步驟S506,否則，執(zhí)行步驟S507。步驟S506:網(wǎng)絡設備采用MAC非加密幀向下一鏈路進行轉發(fā)。如果該下一鏈路的網(wǎng)絡可靠，能夠保證MAC加密幀的安全，則網(wǎng)絡設備采用非加密幀向該下一鏈路的網(wǎng)絡設備進行轉發(fā)。步驟S507:丟棄該MAC楨。如果該下一鏈路的網(wǎng)絡不可靠，不能夠保證MAC加密幀的安全，則網(wǎng)絡設備直接丟棄該MAC幀，而不向該下一鏈路的網(wǎng)絡設備轉發(fā)。步驟S508:采用MAC非加密幀向下一鏈路進行轉發(fā)。網(wǎng)絡設備對該MAC加密幀數(shù)據(jù)采用MAC非加密幀方式，向下一鏈路的網(wǎng)絡設備轉發(fā)，使得該網(wǎng)絡設備可以不需要使用MAC安全解密技術，便可以獲取該MAC幀的的數(shù)據(jù)。由上可見本實施例，使實現(xiàn)了在MAC幀的機密性得到保護的基礎上，保證了網(wǎng)絡的正常通信。實施例2:本實施例進一步針對用戶在MAC幀攜帶用戶對MAC安全機密等級要求的情況，在網(wǎng)絡設備決策是否對轉發(fā)到MAC安全不可用的下一鏈路的MAC幀進行丟棄，或繼續(xù)采用非加密幀轉發(fā)時，進一步結合用戶對MAC安全機密等級要求，以使得MAC通信的保密性和可通信性得到了更好的協(xié)調和均衡，使得本發(fā)明方法更加合乎實際情況。首先，對于用戶如何在MAC加密幀中，攜帶用戶對MAC安全機密等級要求的信息，進行說明。才艮據(jù)IEEE802.1ae規(guī)定，MAC幀的MAC安全標簽字段的構成如表一所示，其中在MAC安全標簽字段中包含8個比特的短幀長度(ShortLength,在IEEE802.1ae中稱為SL)字段，當機密數(shù)據(jù)長度小于48時，SL的值等于機密數(shù)據(jù)的長度值，而對于機密數(shù)據(jù)長度大于或等于48時，SL君取值為0。實際上，SL僅僅使用了第1比特到第6比特來表示機密數(shù)據(jù)長度，第7、8比特并沒有使用。<table>tableseeoriginaldocumentpage14</column></row><table>表一在本發(fā)明中，MAC加密幀的發(fā)送者使用SL字段中的第7、8比特來表示用戶對該幀的機密性要求，即使用第7、8比特來表示幀的機密等級，如表二所示，使得第7、8比特的取值標識對該MAC幀的機密性要求，在此使用機密等級表示，機密等級越高，表明幀內的數(shù)據(jù)越機密。比如當?shù)?、8比特的比特值為"00"時，幀的機密等級為O級，表示無論鏈路是否可靠均采用非加密的方式繼續(xù)轉發(fā)；當?shù)?、8比特的比特值為"01"時，幀的機密等級為l級，表示在鏈路可靠的情況下，采用非加密幀繼續(xù)轉發(fā)；當?shù)?、8比特的比特值為"10，，時，幀的機密等級為2級，表示無論該鏈路可靠與否，幀都不繼續(xù)轉發(fā)，而直接丟棄；而對于第7、8比特的比特值為"11"的情況暫不使用。<table>tableseeoriginaldocumentpage14</column></row><table>表二當然，除了可以在MAC安全標簽內的SL字段的第7、8比特攜帶對該MAC幀的機密性要求信息外，還可以在MAC幀的其它字段攜帶，只要在通信網(wǎng)絡中作相應的規(guī)定，使得通信網(wǎng)絡中的網(wǎng)絡設備接收到該MAC幀能夠讀取到該信息即可。以上對在MAC幀中攜帶對該MAC幀的機密性要求信息作了詳細說明后，以下針對在MAC安全通信中，當網(wǎng)絡設備接收到需要轉發(fā)到MAC安全不可用的下一鏈路的MAC加密幀時，如何結進一步根據(jù)對該MAC幀的機密性要求信息，決策對該MAC幀進行丟棄，或繼續(xù)采用非加密幀轉發(fā)進行詳細說明。如圖6所示，為本實施例方法流程示意圖，如圖示，本發(fā)明方法包括以下步驟步驟S601:網(wǎng)絡設備接收到MAC加密幀，進行解密。步驟S602:網(wǎng)絡設備查找轉發(fā)表，并根據(jù)轉發(fā)表查找結果，獲知本MAC幀需要在哪一鏈路上發(fā)送。步驟S603:判斷該下一鏈路的MAC安全是否可用，如果MAC安全不可用，則執(zhí)行步驟S604，否則，執(zhí)行步驟S613。步驟S604:網(wǎng)絡設備獲取該下一鏈路的可靠性情況。上述步驟分別與實施例1中的步驟S501至步驟S504同理，在此不作贅述。步驟S605:網(wǎng)絡設備讀取MAC加密幀攜帶的機密性要求信息。在本實施例中，假設采取在MAC安全標簽字段中的第7、8比特記錄對該MAC幀的機密性要求信息，在此假設采用表二所示的取值規(guī)則。網(wǎng)絡設備結合表二的機密性等級要求規(guī)則，以及該下一鏈路可靠性信息，得到如表三所示的決策規(guī)則，以下根據(jù)表二的規(guī)則進行決策。步驟S606:判定MAC加密幀的機密等級是否為1級，如果是，則進一步執(zhí)行步驟S608;否則，執(zhí)行步驟S607。步驟S607:判定MAC加密幀的機密等級是否為O級時，如果是，則無論鏈路是否可靠，均執(zhí)行步驟S611;否則，執(zhí)行步驟S608。步驟S608:判斷需發(fā)送至的下一鏈路是否可靠，如果可靠，則執(zhí)行步驟S611;否則，執(zhí)行步驟S612;步驟S609:判定MAC加密幀的機密等級是否為2級，如果是，則無論該鏈路可靠與否，均執(zhí)行步驟S612;否則，執(zhí)行步驟S610。步驟S610:MAC加密幀的機密等級不是O、1或2,即機密等級不在設定范圍內，則判定該機密等級信息讀取錯誤，則按照只根據(jù)鏈路可靠性進行判定，判定該下一級鏈路是否可靠，如果可靠，則執(zhí)行步驟S611;否貝'j,執(zhí)行步驟S612。<table>tableseeoriginaldocumentpage16</column></row><table>表三步驟S611:采用非加密的方式繼續(xù)轉發(fā)。網(wǎng)絡設備對該MAC加密幀數(shù)據(jù)采用MAC非加密幀方式，即普通MAC幀的方式，向下一鏈路的網(wǎng)絡設備轉發(fā)，使得該網(wǎng)絡設備可以不需要使用MAC安全解密技術，便可以獲取該MAC幀的的數(shù)據(jù)。步驟S612:不繼續(xù)轉發(fā)該幀，而直接丟棄。步驟S613:采用MAC加密幀向下一鏈路轉發(fā)。由于該下一鏈路的網(wǎng)絡設備支持MAC安全、并且MAC安全可用，則對該MAC加密幀加密，采用MAC加密幀的方式，向下一鏈路轉發(fā)其中MAC加密幀如圖9的MAC加密幀的幀4各式示意圖所示，MAC加密幀與普通MAC幀(即非加密幀)的區(qū)別是對數(shù)據(jù)進行了加密，并且在加密的數(shù)據(jù)之前插入一格MAC安全標簽，并且在加密的用戶數(shù)據(jù)之后加上了完整性校驗值。實施例3:本實施例對于該網(wǎng)絡i殳備4妻收到MAC非加密幀時，對該MAC非加密幀進行的處理，實現(xiàn)網(wǎng)絡安全通信進行具體說明。如圖7所示，為本實施例方法流程示意圖，如圖示，本發(fā)明包括以下步驟步驟S70網(wǎng)絡設備接收MAC非加密幀。該MAC非加密幀可以為支持MAC安全、并且MAC安全可用的網(wǎng)絡設備發(fā)送的MAC幀；亦可以為不支持MAC安全、或MAC安全不可用的網(wǎng)絡設備發(fā)送的MAC非加密幀，并且對于不支持MAC安全、或MAC安全不可用的網(wǎng)絡設備發(fā)送的MAC非加密幀，在后續(xù)鏈;洛實現(xiàn)MAC安全通信更有實際意義。步驟S702:如果下一鏈路網(wǎng)絡設備支持MAC安全、并且MAC安全可用，則執(zhí)行步驟S703;否則執(zhí)行步驟S705。網(wǎng)絡設備根據(jù)密鑰選舉協(xié)議KSP信息，或自身的組網(wǎng)配置，判斷下一鏈路的網(wǎng)絡設備是否支持MAC安全技術，如果是，則執(zhí)行步驟S703;否則，執(zhí)行步驟S705。步驟S703:用戶設置的加密標志是否為需要加密，如果是，則執(zhí)行步驟S704,否則，執(zhí)行步驟S705。步驟S704:加密該MAC非加密幀，并轉發(fā)該MAC加密幀。將該MAC非加密幀進行加密，并將加密后的MAC加密幀轉發(fā)到鏈路上。步驟S705:采用MAC非加密幀轉發(fā)該MAC幀。由上可見，本發(fā)明對于當網(wǎng)絡設備接收到MAC非加密幀時，如果下一鏈路MAC安全可用，則可以對該MAC幀進行加密，否則，直接轉發(fā)到鏈路上，最大程度的實現(xiàn)了MAC安全通信。由上可見，本發(fā)明進一步的根據(jù)用戶設置，判定是否對轉發(fā)至MAC安全可用的網(wǎng)絡設備的MAC非加密幀進行加密，使得可以根據(jù)實際用戶需要，進行加密，有利于節(jié)省不必要的網(wǎng)絡資源浪費，加快MAC通信速度。實施例4:本實施例對與不支持MAC安全、或MAC安全不可用的網(wǎng)絡設備相連接的網(wǎng)絡設備進行說明。如圖8示，網(wǎng)絡設備包括鏈路可靠性判定單元802，用于判斷鏈路是否可靠，并配置用于標識所述鏈路是否可靠的標識。鏈路可靠標識存儲單元804,與鏈路可靠性判定單元802相連接，用于存儲鏈路可靠性判定單元802配置的用于標識所述鏈路是否可靠的標識，在此稱為鏈路可靠標識?？刂贫丝?06，用于接收、解密MAC加密幀。網(wǎng)絡設備接收到MAC加密幀后，傳遞到控制端口806,并使用對應該MAC加密幀的SAK，對該MAC加密幀進行解密。在現(xiàn)有技術中，如果該MAC幀需要轉發(fā)到與MAC安全不可用的鏈路上時，均直接丟棄該MAC幀；如果該MAC幀需要轉發(fā)到下一MAC安全可用的鏈路上時，則網(wǎng)絡設備進一步使用另外一個SAK，對該MAC幀加密后，發(fā)送到鏈路上。MAC幀目的地址獲取單元807,用于讀取MAC加密幀的目的地址(如圖9所示為MAC加密幀格式示意圖)，根據(jù)該目的地址，獲知所述的MAC幀是否需要轉發(fā)至MAC安全不可用的鏈路上。決策單元803,與鏈路可靠標識存儲單元804、接收單元805、MAC幀目的地址獲取單元807分別相連接，用于根據(jù)鏈路可靠標識存儲單元804存儲的鏈路可靠標識，判斷決定對接收單元805所接收的，并且需要轉發(fā)至MAC安全不可用鏈路上的MAC加密幀進行丟棄，或者，將該經(jīng)解密后的MAC幀，傳遞至所述轉發(fā)單元80L轉發(fā)單元801，與決策單元803單元、控制端口806分別相連接，在決策單元803控制下，將控制端口806所接收的MAC幀，采用非加密的方式轉發(fā)至鏈路上，即轉發(fā)至該不支持MAC安全、或MAC安全不可用的網(wǎng)絡設備。由本實施例可見，本發(fā)明對于與不支持MAC安全、或MAC安全不可用的網(wǎng)絡設備相連接的網(wǎng)絡設備，在網(wǎng)絡設備上設置了鏈路可靠性判定單元802、鏈路可靠標識存儲單元804、以及決策單元803，對于當網(wǎng)絡設備80接收到需要轉發(fā)到下一不支持MAC安全、或MAC安全不可用的網(wǎng)絡設備的MAC加密幀時，網(wǎng)絡設備根據(jù)鏈路可靠性判定單元802得到的該下一鏈路的可靠情況，將該用于標識所述鏈路是否可靠的標識存儲于鏈路可靠標識存儲單元804中，決策單元803根據(jù)鏈路可靠標識存儲單元804的存儲記錄，決策對所述MAC加密幀丟棄，或者采用非加密幀轉發(fā)至下一鏈路，而不是如現(xiàn)有技術中對所有MAC幀均作丟棄處理，本方法，使實現(xiàn)了在MAC幀的機密性得到保護的基礎上，保證了網(wǎng)絡的正常通信。實施例5:如圖10所示為本實施例的網(wǎng)絡設備結構示意圖，如圖示，本網(wǎng)絡設備與實施4所示的網(wǎng)絡設備所不同的是，在設備增加了機密等級讀取單元808,與接收單元805、決策單元803分別相連接，用于在讀取接收單元805接收的MAC加密幀攜帶的機密等級信息，以供決策單元803決策參考。決策單元803與實施例4所不同的是，本實施例中，決策單元803除了根據(jù)鏈路可靠標識存儲單元804進行決策外，還進一步根據(jù)機密等級讀取單元808獲取的MAC加密幀攜帶的機密等級信息決策丟棄所述MAC加密幀，或者傳遞至轉發(fā)單元801，由轉發(fā)單元801采用非加密幀轉發(fā)至與之相連接的下一不支持MAC安全、或MAC安全不可用的網(wǎng)絡設備。由上可見，由于本實施例增加了機密等級讀取單元808,使得決策單元803進一步根據(jù)MAC加密幀包含的機密等級信息，決策丟棄所述MAC加密幀，或者是，采用非加密幀轉發(fā)至下一鏈路。使得MAC通信的保密性了可通信性得到了更好的協(xié)調和均衡。使得本發(fā)明方法更加合乎實際情況。實施例6:如圖ll所示文本實施例的網(wǎng)絡設備結構示意圖，如圖示，本網(wǎng)絡設備與實施例5中的網(wǎng)絡設備所不同的是，本網(wǎng)絡設備進一步包括非控制端口809,用于接收發(fā)送到網(wǎng)絡設備100的MAC非加密幀。加密判定單元810,與非控制端口809、加密單元811、轉發(fā)單元801分別相連接，用于判決是否需要對非控制端口809接收的MAC非加密幀進行加密。根據(jù)接收到的MAC非加密幀的目的地址，判決該MAC非加密幀需要轉發(fā)到哪一條鏈路，并判定此鏈路的MAC安全是否可用，如果可用，則可以根據(jù)MAC非加密幀中攜帶的是否需要加密的信息(如果MAC非加密幀中包含的話)，或者根據(jù)接收端口上的配置判決是否需要使用MAC加密幀進行轉發(fā)，如果需要，則將MAC幀傳遞至加密單元8U進行加密，否則將MAC幀傳遞至轉發(fā)單元801,轉發(fā)至下一鏈路。加密單元811，與加密判決單元810、SAK存儲單元812、轉發(fā)單元801分別相連接，用于根據(jù)加密判決單元810的判決，使用SAK存儲單元812存儲的SAK對MAC非加密幀進行加密，并將加密后的MAC加密幀，傳遞至轉發(fā)單元801，由轉發(fā)單元801轉發(fā)到鏈路。由上可見，由于在網(wǎng)絡設備的非控制端口連接了加密判定單元809,用于判斷是否需要對接收到的MAC非加密幀進行加密。特別的對于與該網(wǎng)絡設備相連接的不支持MAC安全，或者MAC安全不可用的網(wǎng)絡設備發(fā)送過來的MAC非加密幀，經(jīng)過該網(wǎng)絡設備使用MAC安全幀轉發(fā)后，使得數(shù)據(jù)安全在以后的鏈路上得到保證，最大程度的實現(xiàn)了網(wǎng)絡的安全通信。實施例7:如圖12所示文本實施例的網(wǎng)絡設備結構示意圖，如圖示，本網(wǎng)絡設備與實施例6中的網(wǎng)絡設備所不同的是，本網(wǎng)絡設備進一步包括加密判定標志存儲單元814,用于存儲用戶在本網(wǎng)絡設備上預配置的是否對本網(wǎng)絡設備發(fā)送的MAC非加密幀進行加密的標志。用戶可以根據(jù)MAC安全需要，在網(wǎng)絡設備上的設置是否需要對所發(fā)送出去的MAC非加密幀進行加密，如果需要，則將該標志取值為標識需要加密的值，否則，設置為不需要加密。比如設置一標志位，如果該標志位取值為"0"時，表示不需要加密，如果該標志位取值為"1"時，表示需要加密。第二加密判定單元813，連接在加密判定單元810以及加密單元811之間，并且與加密判定標志存儲單元814相連接，用于對加密判定單元810判定需要加密的非加密幀，進一步根據(jù)所述加密判定標志存儲單元814所存儲的加密標志，判定是否需要加密。如果該加密標志取值標志需要加密才將所述MAC非加密幀傳遞至加密單元811,進行加密，否則，直接將該MAC非加密幀傳遞至轉發(fā)單元801,直接轉發(fā)至下一鏈路。由上可見，本發(fā)明相對于實施例6進一步的可以根據(jù)用戶設置，判定是否對轉發(fā)至MAC安全可用的MAC非加密幀進行加密，使得可以根據(jù)實際用戶需要，進行加密，有利于節(jié)省不必要的網(wǎng)絡資源浪費，加快MAC通信速度。以上對本發(fā)明所提供的一種MAC安全網(wǎng)絡通信方法以及網(wǎng)絡設備進行了詳細介紹，本文中應用了具體個例對本發(fā)明的原理及實施方式進行了闡述，以上實施例的說明只是用于幫助理解本發(fā)明的方法及其核心思想；同時，對于本領域的一般技術人員，依據(jù)本發(fā)明的思想，在具體實施方式及應用范圍上均會有改變之處，綜上所述，本說明書內容不應理解為對本發(fā)明的限制。權利要求1、一種MAC安全網(wǎng)絡通信方法，其特征是，包括網(wǎng)絡設備接收MAC幀；如果所述MAC幀為MAC加密幀，則解密所述MAC加密幀，如果所述MAC加密幀需轉發(fā)至的下一鏈路的網(wǎng)絡設備不支持MAC安全、或者MAC安全不可用，則進一步判定所述鏈路是否可靠，如果可靠，則采用MAC非加密幀轉發(fā)至所述鏈路；否則丟棄所述MAC加密幀。2、根據(jù)權利要求1所述MAC安全通信方法，其特征是，所述的判定所述鏈路是否可靠，具體包括根據(jù)組網(wǎng)信息，在所述不支持MAC安全，或者MAC安全不可用的網(wǎng)絡設備與所述網(wǎng)絡設備相連接的網(wǎng)絡端口預配置有所述鏈路的可靠性消息；所述網(wǎng)絡設備讀取所述可靠性信息，獲知所述鏈路是否可靠。3、根據(jù)權利要求1或2所述MAC安全通信方法，其特征是，如果所述MAC加密幀包含機密等級信息，則進一步根據(jù)所述機密等級信息，判斷對所述MAC加密幀丟棄，或是采用非加密幀轉發(fā)至所述鏈路。4、根據(jù)權利要求3所述MAC安全通信方法，其特征是，所述MAC加密幀包含機密等級信息，通過以下步驟方式實現(xiàn)在所述MAC加密幀內的安全標簽字段的第7、8比特攜帶所述機密等級信息。5、根據(jù)權利要求1或2所述MAC安全通信方法，其特征是，如果所述MAC幀為非MAC加密幀，并且所述MAC非加密幀需轉發(fā)至MAC安全可用的網(wǎng)絡設備時，則加密所述MAC幀，并在加密后轉發(fā)所述MAC幀；否則，直接轉發(fā)所述MAC幀。6、根據(jù)權利要求5所述MAC安全通信方法，其特征是，在所述網(wǎng)絡設備上進一步保存有是否需要對本網(wǎng)絡設備發(fā)送的MAC非加密幀進行加密的標志，如果所述MAC幀為非MAC加密幀，并且所述MAC非加密幀需轉發(fā)至MAC安全可用的網(wǎng)絡設備，則在加密所述MAC幀前，進一步根據(jù)所述標志，判定是否需要加密所述MAC幀，如果需要則加密。7、一種網(wǎng)絡設備，所述網(wǎng)絡設備與不支持MAC安全、或者MAC安全不可用的網(wǎng)絡設備相連接，其特征是，所述網(wǎng)絡設備包括鏈路可靠性判定單元，用于判斷所述網(wǎng)絡設備與所述不支持MAC安全、或者MAC安全不可用的網(wǎng)絡設備的鏈路是否可靠，并配置用于標識所述鏈路是否可靠的標識；鏈路可靠標識存儲單元，與所述鏈路可靠性判定單元相連接，用于存儲所述用于標識所述鏈路是否可靠的標識；控制端口，用于接收、解密MAC加密幀；轉發(fā)單元，用于轉發(fā)所述MAC加密幀；MAC幀目的地址獲取單元，用于讀取所述MAC加密幀的目的地址，判定所述的MAC幀需轉發(fā)至的下一網(wǎng)絡設備是否為所述不支持MAC安全、或者MAC安全不可用的網(wǎng)絡設備；決策單元，用于根據(jù)所述鏈路可靠標識存儲單元存儲的用于標識所述鏈路是否可靠的標識，決定對數(shù)據(jù)進行丟棄，或是將所述MAC加密幀轉發(fā)至所述轉發(fā)單元。8、根據(jù)權利要求7所述的網(wǎng)絡設備，其特征是，所述網(wǎng)絡設備進一步包括機密等級讀取單元，用于當所述MAC加密幀攜帶機密等級信息時，讀取所述機密等級信息；所述決策單元與所述機密等級讀取單元相連接，用于進一步根據(jù)所述機密等級信息，決定丟棄所述MAC加密幀，或者將所述MAC加密幀傳遞至所述轉發(fā)單元。9、根據(jù)權利要求7或8所述的網(wǎng)絡設備，其特征是，所述網(wǎng)絡設備進一步包括非控制端口，用于接收MAC非加密幀；加密判定單元，用于判定是否需要對所述MAC非加密幀進行加密，如果所述MAC非加密幀需轉發(fā)至MAC安全可用的網(wǎng)絡設備時，則判定需要加密所述MAC非力。密幀；加密單元，用于加密所述需要加密的MAC非加密幀，并將加密后的MAC幀傳遞至所述轉發(fā)單元。10、根據(jù)權利要求9所述的網(wǎng)絡設備，其特征是，所述網(wǎng)絡設備進一步包括加密判定標志存儲單元，用于存儲用戶在本網(wǎng)絡設備上預配置的是否對本網(wǎng)絡設備發(fā)送的MAC非加密幀進行加密的標志；第二加密判定單元，用于對所述加密判定單元判定需要加密的非加密幀，進一步根據(jù)所述加密判定標志存儲單元所存儲的加密標志，判定是否需要加密。全文摘要本發(fā)明公開了一種MAC安全網(wǎng)絡通信方法以及通信設備，一種MAC安全網(wǎng)絡通信方法，包括網(wǎng)絡設備接收MAC幀；如果所述MAC幀為MAC加密幀，則解密所述MAC加密幀，如果所述MAC加密幀需轉發(fā)至的下一鏈路的網(wǎng)絡設備不支持MAC安全、或者MAC安全不可用，則進一步判定所述鏈路是否可靠，如果可靠，則采用MAC非加密幀轉發(fā)至所述鏈路；否則丟棄所述MAC加密幀。本發(fā)明實現(xiàn)了在MAC幀的機密性得到保護的基礎上，保證了網(wǎng)絡的正常通信。文檔編號H04L9/00GK101145899SQ200610154170公開日2008年3月19日申請日期2006年9月15日優(yōu)先權日2006年9月15日發(fā)明者管紅光申請人:華為技術有限公司