[发明专利]MAC安全网络通信方法以及网络设备

权利要求书

1.一种MAC安全网络通信方法，其特征是，包括：

网络设备接收MAC帧；

如果所述MAC帧为MAC加密帧，则解密所述MAC加密帧，如果所述MAC加密帧需转发至的下一链路的网络设备不支持MAC安全、或者MAC安全不可用，则进一步判定所述链路是否可靠，如果可靠，则采用MAC非加密帧转发至所述链路；否则丢弃所述MAC加密帧。

2.根据权利要求1所述MAC安全通信方法，其特征是，所述的判定所述链路是否可靠，具体包括：

根据组网信息，在所述不支持MAC安全，或者MAC安全不可用的网络设备与所述网络设备相连接的网络端口预配置有所述链路的可靠性消息；

所述网络设备读取所述可靠性信息，获知所述链路是否可靠。

3.根据权利要求1或2所述MAC安全通信方法，其特征是，如果所述MAC加密帧包含机密等级信息，则进一步根据所述机密等级信息，判断对所述MAC加密帧丢弃，或是采用非加密帧转发至所述链路。

4.根据权利要求3所述MAC安全通信方法，其特征是，所述MAC加密帧包含机密等级信息，通过以下步骤方式实现：

在所述MAC加密帧内的安全标签字段的第7、8比特携带所述机密等级信息。

5.根据权利要求1或2所述MAC安全通信方法，其特征是，如果所述MAC帧为非MAC加密帧，并且所述MAC非加密帧需转发至MAC安全可用的网络设备时，则加密所述MAC帧，并在加密后转发所述MAC帧；否则，直接转发所述MAC帧。

6.根据权利要求5所述MAC安全通信方法，其特征是，在所述网络设备上进一步保存有是否需要对本网络设备发送的MAC非加密帧进行加密的标志，

如果所述MAC帧为非MAC加密帧，并且所述MAC非加密帧需转发至MAC安全可用的网络设备，则在加密所述MAC帧前，进一步根据所述标志，判定是否需要加密所述MAC帧，如果需要则加密。

7.一种网络设备，所述网络设备与不支持MAC安全、或者MAC安全不可用的网络设备相连接，其特征是，所述网络设备包括：

链路可靠性判定单元，用于判断所述网络设备与所述不支持MAC安全、或者MAC安全不可用的网络设备的链路是否可靠，并配置用于标识所述链路是否可靠的标识；

链路可靠标识存储单元，与所述链路可靠性判定单元相连接，用于存储所述用于标识所述链路是否可靠的标识；

控制端口，用于接收、解密MAC加密帧；

转发单元，用于转发所述MAC加密帧；

MAC帧目的地址获取单元，用于读取所述MAC加密帧的目的地址，判定所述的MAC帧需转发至的下一网络设备是否为所述不支持MAC安全、或者MAC安全不可用的网络设备；

决策单元，用于根据所述链路可靠标识存储单元存储的用于标识所述链路是否可靠的标识，决定对数据进行丢弃，或是将所述MAC加密帧转发至所述转发单元。

8.根据权利要求7所述的网络设备，其特征是，所述网络设备进一步包括：

机密等级读取单元，用于当所述MAC加密帧携带机密等级信息时，读取所述机密等级信息；

所述决策单元与所述机密等级读取单元相连接，用于进一步根据所述机密等级信息，决定丢弃所述MAC加密帧，或者将所述MAC加密帧传递至所述转发单元。

9.根据权利要求7或8所述的网络设备，其特征是，所述网络设备进一步包括：

非控制端口，用于接收MAC非加密帧；

加密判定单元，用于判定是否需要对所述MAC非加密帧进行加密，如果所述MAC非加密帧需转发至MAC安全可用的网络设备时，则判定需要加密所述MAC非加密帧；

加密单元，用于加密所述需要加密的MAC非加密帧，并将加密后的MAC帧传递至所述转发单元。

10.根据权利要求9所述的网络设备，其特征是，所述网络设备进一步包括：

加密判定标志存储单元，用于存储用户在本网络设备上预配置的是否对本网络设备发送的MAC非加密帧进行加密的标志；

第二加密判定单元，用于对所述加密判定单元判定需要加密的非加密帧，进一步根据所述加密判定标志存储单元所存储的加密标志，判定是否需要加密。