报文传输的方法、装置和系统与流程

本申请是向中国知识产权局提交的申请日为2015年07月17日、申请号为201580001609.3、发明名称为“报文传输的方法、装置和系统”的申请的分案申请。

本发明涉及通信领域，尤其涉及报文传输的方法、装置和系统。

背景技术：

自组织网络支持自管理，可以减少管理员的干预，提升网络的自动化程度，从而减轻网络管理的工作，方便新业务的部署，减少配置失误概率，降低运营费用(operatingexpense，简称“opex”)。

自组织网络的一个重要的方面是设备可以“即插即用”，支持自举，自配置，其中的一个关键技术是自动控制平面(autonomiccontrolplane，简称“acp”)的建立，它的特点是无需管理员参与，这个控制平面自动产生，自动生长(新设备自动加入)；端到端的连接建立完全“零接触(zero-touch)”，而且acp不受管理员的错误配置的影响，实现信息安全交互。

现有方案中acp的建立依赖于ipv6，而现网中大部分设备支持ipv4，开发基于ipv4的acp将拥有更好的现网兼容性，可以减少部署障碍。如果考虑采用类似于ipv6的链路本地地址(link-local-ip)(169.254.0.0/16)来建立安全隧道，基于ipv4建立具有ipsec通道的acp时，需要使用ipv4链路本地地址，但是与ipv6不同的是，请求注解rfc(requestforcomments)3927建议仅在没有可路由的ipv4接口地址时才使用ipv4链路本地地址，因此通常此时没有对应于ipv6中的link-local-ip的三层隧道可用，无法建立基于ipv4的具有ipsec通道的acp。

技术实现要素：

本发明提供了一种报文传输的方法、装置和系统，能够提高效率。

第一方面，提供了一种报文传输的方法，应用在自组织网络中，该方法包括：第一网络设备根据介质访问控制安全macsec协议，与第二网络设备建立macsec通道；该第一网络设备通过该macsec通道，向该第二网络设备发送自组织控制平面acp报文，该acp报文承载在macsec帧中，该macsec帧的帧头中携带了用于标识该acp报文的识别信息。

结合第一方面，在第一方面的一种实现方式中，该识别信息携带在该macsec帧的帧头中的以太网类型字段中，该以太网类型字段用于指示该macsec帧用于承载该acp报文。

结合第一方面及其上述实现方式，在第一方面的另一种实现方式中，该识别信息携带在该macsec帧的帧头中的标志位字段中，该标识位字段为新增字段或版本字段。

结合第一方面及其上述实现方式，在第一方面的另一种实现方式中，该识别信息携带在该macsec帧的帧头中的mac地址字段中。

第二方面，提供了一种报文传输的方法，应用在自组织网络中，该方法包括：第二网络设备根据介质访问控制安全macsec协议，与第一网络设备建立macsec通道；该第二网络设备通过该macsec通道，接收该第一网络设备发送的macsec帧；该第二网络设备根据该macsec帧的帧头中携带的用于标识自组织控制平面acp报文的识别信息，确定该acp报文。

结合第二方面，在第二方面的一种实现方式中，该识别信息携带在该macsec帧的帧头中的以太网类型字段中，该以太网类型字段用于指示该macsec帧用于承载该acp报文。

结合第二方面及其上述实现方式，在第二方面的另一种实现方式中，该识别信息携带在该macsec帧的帧头中的标志位字段中，该标识位字段为新增字段或版本字段。

结合第二方面及其上述实现方式，在第二方面的另一种实现方式中，该识别信息携带在该macsec帧的帧头中的mac地址字段中。

第三方面，提供了一种用于报文传输的第一网络设备，应用在自组织网络中，该第一网络设备包括：建立模块，用于该第一网络设备根据介质访问控制安全macsec协议，与第二网络设备建立macsec通道；发送模块，用于该第一网络设备通过该建立模块建立的该macsec通道，向该第二网络设备发送自组织控制平面acp报文，该acp报文承载在macsec帧中，该macsec帧的帧头中携带了用于标识该acp报文的识别信息。

结合第三方面，在第三方面的一种实现方式中，该识别信息携带在该macsec帧的帧头中的以太网类型字段中，该以太网类型字段用于指示该macsec帧用于承载该acp报文。

结合第三方面及其上述实现方式，在第三方面的另一种实现方式中，该识别信息携带在该macsec帧的帧头中的标志位字段中，该标识位字段为新增字段或版本字段。

结合第三方面及其上述实现方式，在第三方面的另一种实现方式中，该识别信息携带在该macsec帧的帧头中的mac地址字段中。

第四方面，提供了一种用于报文传输的第二网络设备，应用在自组织网络中，该第二网络设备包括：建立模块，用于该第二网络设备根据介质访问控制安全macsec协议，与第一网络设备建立macsec通道；接收模块，用于该第二网络设备通过该建立模块建立的该macsec通道，接收该第一网络设备发送的macsec帧；确定模块，用于该第二网络设备根据该接收模块接收的该macsec帧的帧头中携带的用于标识自组织控制平面acp报文的识别信息，确定该acp报文。

结合第四方面，在第四方面的一种实现方式中，该识别信息携带在该macsec帧的帧头中的以太网类型字段中，该以太网类型字段用于指示该macsec帧用于承载该acp报文。

结合第四方面及其上述实现方式，在第四方面的另一种实现方式中，该识别信息携带在该macsec帧的帧头中的标志位字段中，该标识位字段为新增字段或版本字段。

结合第四方面及其上述实现方式，在第四方面的另一种实现方式中，该识别信息携带在该macsec帧的帧头中的mac地址字段中。

第五方面，提供了一种用于报文传输的系统，应用在自组织网络中，该系统包括：上述的第一网络设备和第二网络设备，该第一网络设备根据介质访问控制安全macsec协议，与该第二网络设备建立macsec通道；通过该macsec通道，该第一网络设备向该第二网络设备发送自组织控制平面acp报文，该acp报文承载在macsec帧中，该macsec帧的帧头中携带了用于标识该acp报文的识别信息；该第二网络设备接收该macsec帧；该第二网络设备根据该macsec帧的帧头中携带的用于标识自组织控制平面acp报文的识别信息，确定该acp报文。

基于上述技术方案，本发明实施例的报文传输的方法、装置和系统，根据macsec协议，自组织网络中的第一网络设备和第二网络设备之间建立macsec通道，通过该macsec通道，第一网络设备与第二网络设备之间可以传输macsec帧，该macsec帧的帧头中携带了识别信息，可以根据该识别信息表示acp报文，从而不需要在接口上同时配置可路由的接口地址和用于建立ipsec的链路本地地址，而是根据macsec协议，为acp提供macsec安全机制，不需要使用l3隧道，进而提高了效率。并且，可以通过识别信息区分macsec帧中的acp报文，从而使得自组织网络中的第一网络设备和第二网络设备之间可以传输acp报文。

附图说明

为了更清楚地说明本发明实施例的技术方案，下面将对本发明实施例中所需要使用的附图作简单地介绍，显而易见地，下面所描述的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1是根据本发明实施例的报文传输的方法的示意性流程图。

图2是根据本发明实施例的报文传输的方法中macsec帧结构的示意图。

图3是根据本发明实施例的报文传输的方法中另一macsec帧结构的示意图。

图4是根据本发明实施例的报文传输的方法中再一macsec帧结构的示意图。

图5是根据本发明另一实施例的报文传输的方法的示意性流程图。

图6是根据本发明实施例的用于报文传输的第一网络设备的示意性框图。

图7是根据本发明实施例的用于报文传输的第二网络设备的示意性框图。

图8是根据本发明实施例的用于报文传输的系统的示意性框图。

图9是根据本发明另一实施例的用于报文传输的第一网络设备的示意性框图。

图10是根据本发明另一实施例的自用于报文传输的第二网络设备的示意性框图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明的一部分实施例，而不是全部实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例，都应属于本发明保护的范围。

图1示出了根据本发明实施例的报文传输的方法100的示意性流程图，该方法100可以应用于自组织网络中，由自组织网络中的第一网络设备执行，该第一网络设备可以为发送节点。如图1所示，该方法100包括：

s110，第一网络设备根据介质访问控制安全macsec协议，与第二网络设备建立macsec通道；

s120，该第一网络设备通过该macsec通道，向该第二网络设备发送自组织控制平面acp报文，该acp报文承载在macsec帧中，该macsec帧的帧头中携带了用于标识该acp报文的识别信息。

具体地，在自组织网络中，可以将一个节点设置为认证(registrar)节点，该registrar节点配置了自组织节点的唯一设备标识(uniquedeviceidentification，简称“udi”)白名单，该udi白名单内的节点可以加入该自组织域，并且registrar节点本身连接到domainca(自组织域数字证书认证机构)，支持分配域证书(domaincertificate)。网络中各个节点发起邻居发现(ad)消息，通过该ad消息寻找邻居节点，该ad消息中包括udi或域证书。根据该ad消息，各个节点可以创建邻居列表；registrar节点收到该ad消息后，对比udi白名单，向属于udi白名单的该邻居节点发送域证书。基于该域证书，邻居节点与registrar节点相互认证，并在认证成功后基于认证过程中生成的密钥协商出报文加密密钥，根据介质访问控制安全(mediaaccesscontrolsecurity，简称“macsec”)协议，建立registrar节点与邻居节点之间的macsec通道。同样地，针对registrar节点的邻居节点的邻居节点，需要registrar节点的邻居节点作为代理服务器(proxy)以及认证点，其它步骤一致，从而建立自组织网络中相邻节点之间的macsec通道，使得属于同一域的多个节点构成一个acp。在该acp内，各个节点之间可以通过macsec通道，互相传输根据macsec协议封装的acp报文。

因此，本发明实施例的报文传输的方法，根据macsec协议，自组织网络中的第一网络设备与第二网络设备之间建立macsec通道，通过该macsec通道，第一网络设备向第二网络设备发送acp报文，该acp报文承载在macsec帧中，该macsec帧的帧头中携带了用于标识该acp报文的识别信息，从而不需要在接口上同时配置可路由的接口地址和用于建立ipsec的链路本地地址，为传输acp报文提供的macsec安全机制，不需要使用l3隧道，进而提高了效率。并且，可以通过macsec帧的帧头中的识别信息区分acp报文和其他报文，从而使得自组织网络中的第一网络设备和第二网络设备之间可以传输acp报文。

在本发明实施例中，自组织网络中各个节点支持自组织特性，每个节点都有自己的udi或者设备id证书(idevidcertificate)，可选地，这里以各个节点通过udi获取域证书为例进行说明，但本发明并不限于此。在该网络中，设置其中一个节点为认证(registrar)节点，该registrar节点支持分配域证书，并且配置了自组织节点的udi白名单，该udi白名单内的节点属于同一个自组织域。可选地，可以预配置该registrar节点，registrar节点能够支持分配域证书的节点，即该registrar节点与数字证书认证管理机构有连接，可以进行通信，换句话说，该registrar节点能够通过数字证书认证管理结构为其他节点分配域证书。

在本发明实施例中，自组织特性使能后，自组织节点可以向邻居节点发送ad消息，从而寻找自己的邻居节点。可选地，各个节点可以每隔一段时间，例如10s，发起一次ad消息。该ad消息可以包括udi或者域证书，例如，对于registrar节点发送的ad消息，registrar节点支持分配域证书，它会先给自己配置一个域证书，registrar节点发送的该ad消息中可以包括域证书；而对于没有域证书的节点发送的ad消息，该ad消息中可以包括udi。

在本发明实施例中，由于自组织节点发送的ad消息只能发送一跳的距离，即只有邻居节点可以收到该ad消息，因此当节点收到邻居节点发送的ad消息后，可以建立一个邻居列表，用于记录属于该节点的邻居节点。可选地，该邻居列表可以包括邻居节点的udi，该udi通过邻居节点发送的ad消息获得，邻居列表还可以包括地址信息，该地址信息可以为ipv6地址，或ipv4地址，或介质访问控制(mediaaccesscontrol，简称“mac”)地址，该地址信息可以通过发送的ad消息的报文确定，但本发明并不限于此。根据节点确定的邻居节点列表，可以确定各个节点的邻居节点的udi以及地址信息。

在本发明实施例中，当registrar节点收到邻居节点发送的ad消息后，将ad消息中的udi对比registrar节点中的udi白名单，如果邻居节点的udi匹配udi白名单，则registrar节点根据该udi生成一个域证书，将该域证书发送给该邻居节点，后续ad广播中将使用该域证书。此时，具有域证书的该registrar节点和邻居节点属于同一个acp。

在本发明实施例中，对于registrar节点接收到的邻居节点发送的ad消息，可以为该邻居节点的ad消息，也可以为该邻居节点转发自己的邻居节点的ad消息，并比照udi白名单，对于属于同一个域的节点，registrar节点均发送域证书，可选地，可以通过邻居节点互相转发，具有该域证书的节点均属于同一个域，该自组织网络中的这些节点属于同一个acp。

在本发明实施例中，当自组织网络中每个节点有自己的idevidcertificate时，则节点向邻居节点发送的ad消息包括域证书或sudi，其中，registrar节点的ad消息可以包括域证书，而没有域证书的节点的ad消息中包括sudi。邻居节点将自己的802.1ar证书发给registrar节点，可选地，可以经过一个proxy。收到该消息的registrar节点使用公钥验证该证书，并且连接到验证服务器验证该设备是否可以接入域。如果验证成功，registrar节点根据该sudi生成一个域证书，发给对应的邻居节点，该邻居节点接收到域证书，后续ad广播中将使用域证书。同样地，registrar节点的邻居节点的邻居节点同样可以通过该方法获得域证书，具有域证书的该registrar节点和邻居节点属于同一个acp。

在s110中，根据介质访问控制安全macsec协议，自组织网络中的第一网络设备和第二网络设备可以建立macsec通道，其中，该第一网络设备和第二网络设备可以为该自组织网络中的任意两个节点，可选地，该第一网络设备和第二网络设备可以为相邻的两个节点。具体地，基于域证书，获得域证书的邻居节点可以与registrar节点相互认证，并在认证成功后基于认证过程中生成的密钥协商出报文加密密钥，根据macsec协议，建立registrar节点与邻居节点之间的macsec通道。同样地，对于registrar节点的邻居节点的邻居节点，可以将registrar节点的邻居节点作为代理服务器(proxy)以及认证点，其它步骤一致，从而建立属于同一个域的各个节点中相邻节点之间的macsec通道。这样，对于该acp中的任意两个节点，即第一网络设备和第二网络设备之间可以通过该macsec通道进行报文传输。

具体地，获得registrar节点发送的域证书的邻居节点，可以向registrar节点发起认证，例如可以发起基于802.1x的认证，registrar节点可以作为认证者(authenticator)和认证服务器，实现registrar节点和邻居节点之间的相互认证，例如，可以选择eap-tls(extensibleauthenticationprotocol，扩展的认证协议)(transportlayersecurityprotocol，安全传输层协议)的认证方式，遵守802.1af的标准。

在本发明实施例中，registrar节点与邻居节点认证成功后，基于认证过程中生成的密钥协商出报文加密密钥，建立起acp专用的安全macsec通道。具体地，按照macsec密钥协议(macseckeyagreement，简称“mka”)，将之前的registrar节点与邻居节点认证中生成的成对主密钥(pairwisemasterkey，简称“pmk”)作为连通性关联密钥(connectivityassociationkey，简称“cak”)。registrar节点作为authenticator，默认被选择为mka协议中的密钥服务器(keyserver)，可以按照802.1x协议，根据cak，随机数等产生一个安全关联密钥(secureassociationkey，简称“sak”)，加密后发给邻居节点，以便于在后续的通信中，启用这个sak作以太帧的加密和签名。

在本发明实施例中，registrar节点与邻居节点通过上述方法建立macsec通道后，对于registrar节点的邻居节点的邻居节点加入该acp时，registrar节点的邻居节点可以作为代理服务器(proxy)以及认证点，同样通过上述方法获得域证书，进而加入该acp，并通过验证，建立与邻居节点之间的macsec通道。

在s120中，在自组织网络中的acp内，第一网络设备可以通过建立的macsec通道向第二网络设备发送acp报文，具体地，自组织网络中任意一个节点可以通过macsec通道向邻居节点发送acp报文，经过至少一次转发，自组织网络中的任意两个节点，第一网络设备和第二网络设备之间可以传输acp报文。由于在mac层，还可以通过macsec通道传输其它报文，因此，具体地，可以在macsec帧的帧头中携带识别信息，可以通过该识别信息区分该macsec帧是否承载acp报文，可选地，可以通过下面几种方法确定根据macsec协议封装的报文中的acp报文以及其它报文。

可选地，作为一个实施例，以邻居节点之间传输报文为例，当节点向邻居节点发送macsec协议封装的macsec帧时，该macsec帧的帧头中可以携带识别信息，该识别信息用于指示该帧结构用于承载acp报文。具体地，若整个自组织网络不启用数据面的macsec时，则根据macsec协议封装的报文即为acp报文，而其它报文可以通过mac封装，该报文解封装后，由global路由处理。例如，整个自组织网络不启用数据面的macsec时，节点向邻居节点发送的802.1ae格式封装的报文即为根据macsec协议封装的报文，该报文即可被理解为acp报文。具体地，如图2所示，802.1ae格式封装的macsec帧，该macsec帧的帧头可以包括如图2所示的几种字段，其中，该802.1ae头(802.1aeheader)字段可以为识别信息，表示该帧结构为根据macsec协议封装的报文，则该macsec帧用于承载acp报文，相反的，如果不包括该802.1aeheader字段，则可以确定该帧结构为其它的普通报文。

可选地，作为一个实施例，以邻居节点之间传输报文为例，当节点向邻居节点发送macsec协议封装的macsec帧，该macsec帧的帧头中可以携带识别信息，该识别信息用于指示该帧结构用于承载acp报文，例如该识别信息可以被携带在传输的macsec帧的帧头中的以太网类型字段中。具体地，传输的报文中可以包括以太网类型(ethertype)字段，例如，如图2所示，该以太网类型字段可以位于802.1aeheader字段中，具体地，如图3所示，该802.1aeheader字段可以包括macsecethertype字段、tci(tagcontrolinformation，标签控制信息)字段、an(associationnumber)字段、sl(shortlength)字段、pn(packetnumber)字段以及sci(securechannelidentifier，安全通道标识)字段，其中，macsecethertype字段可以包括两个八位位组，一个八位位组可以包括8比特，tci字段和an字段一共可以包括一个八位位组，sl字段可以包括一个八位位组，pn字段可以包括4个八位位组，sci字段可以包括8个八位位组，但发明并不限于此。在该802.1aeheader字段中，该macsecethertype字段，即携带识别信息的以太网类型字段，可选的，该macsecethertype字段中可以包括识别信息，也可以直接将该字段作为识别信息。可选地，如果将该字段作为识别信息，可以设置为当该macsecethertype值字段为预设值时，则该报文为acp报文；当该macsecethertype值不是该预设值时，则该报文为其它报文。例如，对于802.1ae格式封装的报文中，可以用88e5表示macsecethertype值，则该报文为普通报文；设置一个新的macsecethertype值为预设值，例如88e6，则该报文即为acp报文。

可选地，作为一个实施例，以邻居节点之间传输报文为例，当节点向邻居节点发送macsec协议封装的macsec帧，该macsec帧的帧头中可以包括用于区别acp报文的识别信息，例如该识别信息可以被携带在传输的macsec帧的帧头中的标志位字段中，该标志位字段可以为新增字段，也可以为现有的某个字段。具体地，该标识位字段可以为该报文中原有的有一个指示位，例如，在802.1ae格式封装的报文中，如图3所示的tci字段和an字段占用一个八位位组，即这两个字段一共占用8比特，可以展开如图4所示，其中第8位的v＝0表示版本(version)位，该版本位原本用于指示macsec的版本，目前为0，在本发明实施例中，可以将该版本位用于指示acp报文，当该位的比特为“1”时，指示该报文为acp报文；当该位的比特为“0”时，指示该报文为其它报文。可选地，也可以在传输报文中增加一个新的标志位，该标志位包括acp报文的识别信息，例如，当该标志位为“0”时，指示该报文为acp报文；当该标志位为“1”时，指示该报文为其它报文。

可选地，作为一个实施例，以邻居节点之间传输报文为例，当节点向邻居节点发送macsec协议封装的macsec帧，该macsec帧的帧头中可以包括acp报文的识别信息，用于指示该报文为acp报文，例如该识别信息可以被携带在该传输报文中的mac地址字段中，根据该mac地址字段确定该传输报文是否为acp报文。例如，现有的mac地址的最高位的8比特，其中第二比特b2用于区分该mac地址为本地管理mac地址，还是全球(global)mac地址，由于现有mac地址大多为global，因此，可以将b2位作为识别信息，用于指示该报文是否为acp报文。这时，设备接口上同时使用本地管理mac地址(虚拟mac)和全球mac地址，当使用本地管理mac地址传输报文时，即b2的值为1时，该传输报文为acp报文；当使用全球mac地址传输报文时，即b2的值为0时，该传输报文为其它报文，但本发明并不限于此。可选地，也可以在mac地址字段中的其他位置携带acp报文的识别信息，也可以在mac地址字段中新增加一个或多个比特用于携带识别信息。

在本发明实施例中，acp各个节点可以通过上述方法，生成并向邻居节点发送macsec协议封装的acp报文。

因此，本发明实施例的报文传输的方法，根据macsec协议，自组织网络中的第一网络设备与第二网络设备之间建立macsec通道，通过该macsec通道，第一网络设备向第二网络设备发送acp报文，该acp报文承载在macsec帧中，该macsec帧的帧头中携带了用于标识该acp报文的识别信息，从而不需要在接口上同时配置可路由的接口地址和用于建立ipsec的链路本地地址，为传输acp报文提供的macsec安全机制，不需要使用l3隧道，进而提高了效率。并且，可以通过macsec帧的帧头中的识别信息区分acp报文和其他报文，从而使得自组织网络中的第一网络设备和第二网络设备之间可以传输acp报文。

上文中结合图1至图4，从发送端即第一网络设备的角度详细描述了根据本发明实施例的报文传输的方法，下面将结合图5，从接收端即第二网络设备的角度描述根据本发明实施例的报文传输的方法。

图5示出了根据本发明另一实施例的报文传输的方法200的示意性流程图，该方法200可以应用于自组织网络中，由自组织网络中的第一网络设备执行，该第一网络设备可以为接收节点。如图5所示，该方法200包括：

s210，第二网络设备根据介质访问控制安全macsec协议，与第一网络设备建立macsec通道；

s220，该第二网络设备通过该macsec通道，接收该第一网络设备发送的macsec帧；

s230，该第二网络设备根据该macsec帧的帧头中携带的用于标识自组织控制平面acp报文的识别信息，确定该acp报文。

具体地，在自组织网络中，可以将一个节点设置为认证(registrar)节点，该registrar节点配置了自组织节点的udi白名单，该udi白名单内的节点可以加入该自组织域，并且registrar节点本身连接到domainca(自组织域数字证书认证机构)，支持分配域证书(domaincertificate)。网络中各个节点发起邻居发现(ad)消息，通过该ad消息寻找邻居节点，该ad消息中包括udi或域证书。根据该ad消息，各个节点可以创建邻居列表；registrar节点收到该ad消息后，对比udi白名单，向属于udi白名单的该邻居节点发送域证书。基于该域证书，邻居节点与registrar节点相互认证，并在认证成功后基于认证过程中生成的密钥协商出报文加密密钥，根据macsec协议，建立registrar节点与邻居节点之间的macsec通道。同样地，针对registrar节点的邻居节点的邻居节点，需要registrar节点的邻居节点作为代理服务器(proxy)以及认证点，其它步骤一致，从而建立自组织网络中相邻节点之间的macsec通道，使得属于同一域的多个节点构成一个acp。在该acp内，各个节点之间可以通过macsec通道，互相传输根据macsec协议封装的acp报文。

因此，本发明实施例的报文传输的方法，根据macsec协议，自组织网络中的第二网络设备与第一网络设备之间建立macsec通道，通过该macsec通道，第二网络设备接收第一网络设备发送的macsec帧，根据该macsec帧的帧头中的识别信息，确定acp报文，从而不需要在接口上同时配置可路由的接口地址和用于建立ipsec的链路本地地址，为传输acp报文提供的macsec安全机制，不需要使用l3隧道，进而提高了效率。并且，可以通过macsec帧的帧头中的识别信息区分acp报文和其他报文，从而使得自组织网络中的第一网络设备和第二网络设备之间可以传输acp报文。

在本发明实施例中，自组织网络中各个节点支持自组织特性，每个节点都有自己的udi或者设备id证书(idevidcertificate)，可选地，这里以各个节点通过udi获取域证书为例进行说明，但本发明并不限于此。在该网络中，设置其中一个节点为认证(registrar)节点，该registrar节点支持分配域证书，并且配置了自组织节点的udi白名单，该udi白名单内的节点属于同一个自组织域。可选地，可以预配置该registrar节点，registrar节点能够支持分配域证书的节点，即该registrar节点与数字证书认证管理机构有连接，可以进行通信，换句话说，该registrar节点能够通过数字证书认证管理结构为其他节点分配域证书。

在本发明实施例中，自组织特性使能后，自组织节点可以向邻居节点发送ad消息，从而寻找自己的邻居节点。可选地，各个节点可以每隔一段时间，例如10s，发起一次ad消息。该ad消息可以包括udi或者域证书，例如，对于registrar节点发送的ad消息，registrar节点支持分配域证书，它会先给自己配置一个域证书，registrar节点发送的该ad消息中可以包括域证书；而对于没有域证书的节点发送的ad消息，该ad消息中可以包括udi。

在本发明实施例中，由于自组织节点发送的ad消息只能发送一跳的距离，即只有邻居节点可以收到该ad消息，因此当节点收到邻居节点发送的ad消息后，可以建立一个邻居列表，用于记录属于该节点的邻居节点。可选地，该邻居列表可以包括邻居节点的udi，该udi通过邻居节点发送的ad消息获得，邻居列表还可以包括地址信息，该地址信息可以为ipv6地址，或ipv4地址，或mac地址，该地址信息可以通过发送的ad消息的报文确定，但本发明并不限于此。根据节点确定的邻居节点列表，可以确定各个节点的邻居节点的udi以及地址信息。

在本发明实施例中，当registrar节点收到邻居节点发送的ad消息后，将ad消息中的udi对比registrar节点中的udi白名单，如果邻居节点的udi匹配udi白名单，则registrar节点根据该udi生成一个域证书，将该域证书发送给该邻居节点，后续ad广播中将使用该域证书。此时，具有域证书的该registrar节点和邻居节点属于同一个acp。

在本发明实施例中，对于registrar节点接收到的邻居节点发送的ad消息，可以为该邻居节点的ad消息，也可以为该邻居节点转发自己的邻居节点的ad消息，并比照udi白名单，对于属于同一个域的节点，registrar节点均发送域证书，可选地，可以通过邻居节点互相转发，具有该域证书的节点均属于同一个域，该自组织网络中的这些节点属于同一个acp。

在本发明实施例中，当自组织网络中每个节点有自己的idevidcertificate时，则节点向邻居节点发送的ad消息包括域证书或sudi，其中，registrar节点的ad消息可以包括域证书，而没有域证书的节点的ad消息中包括sudi。邻居节点将自己的802.1ar证书发给registrar节点，可选地，可以经过一个proxy。收到该消息的registrar节点使用公钥验证该证书，并且连接到验证服务器验证该设备是否可以接入域。如果验证成功，registrar节点根据该sudi生成一个域证书，发给对应的邻居节点，该邻居节点接收到域证书，后续ad广播中将使用域证书。同样地，registrar节点的邻居节点的邻居节点同样可以通过该方法获得域证书，具有域证书的该registrar节点和邻居节点属于同一个acp。

在s210中，根据介质访问控制安全macsec协议，自组织网络中的第一网络设备和第二网络设备可以建立macsec通道，其中，该第一网络设备和第二网络设备可以为该自组织网络中的任意两个节点，可选地，该第一网络设备和第二网络设备可以为相邻的两个节点。具体地，基于域证书，获得域证书的邻居节点可以与registrar节点相互认证，并在认证成功后基于认证过程中生成的密钥协商出报文加密密钥，根据macsec协议，建立registrar节点与邻居节点之间的macsec通道。同样地，对于registrar节点的邻居节点的邻居节点，可以将registrar节点的邻居节点作为代理服务器(proxy)以及认证点，其它步骤一致，从而建立属于同一个域的各个节点中相邻节点之间的macsec通道。这样，对于该acp中的任意两个节点，即第一网络设备和第二网络设备之间可以通过该macsec通道进行报文传输。

具体地，获得registrar节点发送的域证书的邻居节点，可以向registrar节点发起认证，例如可以发起基于802.1x的认证，registrar节点可以作为认证者(authenticator)和认证服务器，实现registrar节点和邻居节点之间的相互认证，例如，可以选择eap-tls的认证方式，遵守802.1af的标准。

在本发明实施例中，registrar节点与邻居节点认证成功后，基于认证过程中生成的密钥协商出报文加密密钥，建立起acp专用的安全macsec通道。具体地，按照mka协议，将之前的registrar节点与邻居节点认证中生成的pmk作为cak。registrar节点作为authenticator，默认被选择为mka协议中的密钥服务器(keyserver)，可以按照802.1x协议，根据cak，随机数等产生一个sak，加密后发给邻居节点，以便于在后续的通信中，启用这个sak作以太帧的加密和签名。

在本发明实施例中，registrar节点与邻居节点通过上述方法建立macsec通道后，对于registrar节点的邻居节点的邻居节点加入该acp时，registrar节点的邻居节点可以作为代理服务器(proxy)以及认证点，同样通过上述方法获得域证书，进而加入该acp，并通过验证，建立与邻居节点之间的macsec通道。

在s220中，在自组织网络中的acp内，第二网络设备可以通过macsec通道接收第一网络设备发送的macsec帧。具体地，自组织网络中任意一个节点可以通过macsec通道向邻居节点发送acp报文，经过至少一次转发，自组织网络中的任意两个节点，第一网络设备和第二网络设备之间可以传输macsec帧。

在本发明实施例中，由于第二网络设备接收的该macsec帧的帧头中可以包括识别信息，该识别信息用于区别该macsec帧是否为acp报文。因此，在s230中，第二网络设备可以根据macsec帧的帧头中的识别信息，确定该macsec帧为acp报文。由于在mac层，还可以通过macsec通道传输其它报文，因此，具体地，可以根据在macsec帧的帧头中携带的识别信息，区分该macsec帧是否承载acp报文，可选地，可以通过下面几种方法确定接收到的根据macsec协议封装的报文中的acp报文以及其它报文。

可选地，作为一个实施例，以邻居节点之间传输报文为例，当节点接收邻居节点发送的macsec协议封装的macsec帧，该macsec帧的帧头中可以携带识别信息，该识别信息用于指示该帧结构用于承载acp报文。具体地，若整个自组织网络不启用数据面的macsec时，则根据macsec协议封装的报文即为acp报文，而其它报文可以通过mac封装，该报文解封装后，由global路由处理。例如，整个自组织网络不启用数据面的macsec时，节点接收邻居节点发送的802.1ae格式封装的报文即为根据macsec协议封装的报文，该报文即可被理解为acp报文。具体地，如图2所示，802.1ae格式封装的macsec帧，该macsec帧的帧头可以包括如图2所示的几种字段，其中，该802.1ae头(802.1aeheader)字段可以为识别信息，表示该帧结构为根据macsec协议封装的报文，则该macsec帧用于承载acp报文，相反的，如果不包括该802.1aeheader字段，则可以确定该帧结构为其它的普通报文。

可选地，作为一个实施例，以邻居节点之间传输报文为例，当节点接收邻居节点发送的macsec协议封装的macsec帧，该macsec帧中包括acp报文的识别信息，用于指示该报文为acp报文，例如该识别信息可以被携带在传输的macsec帧的帧头中的以太网类型字段中。具体地，传输的报文中可以包括以太网类型(ethertype)字段，例如，如图2所示，该以太网类型字段可以位于802.1aeheader字段中，具体地，如图3所示，该802.1aeheader字段可以包括macsecethertype字段、tci字段、an字段、sl字段、pn字段以及sci字段。在该802.1aeheader字段中，该macsecethertype字段，即携带识别信息的以太网类型字段，可选的，该macsecethertype字段中可以包括识别信息，也可以直接将该字段作为识别信息。可选地，如果将该字段作为识别信息，可以设置为当该macsecethertype值字段为预设值时，则该报文为acp报文；当该macsecethertype值不是该预设值时，则该报文为其它报文。例如，对于802.1ae格式封装的报文中，可以用88e5表示macsecethertype值，则该报文为普通报文；设置一个新的macsecethertype值为预设值，例如88e6，则该报文即为acp报文。

可选地，作为一个实施例，以邻居节点之间传输报文为例，当节点接收邻居节点发送的macsec协议封装的macsec帧，该macsec帧的帧头中包括acp报文的识别信息，用于指示该报文为acp报文，例如该识别信息可以被携带在传输的macsec帧的帧头中的标志位字段中，该标志位字段可以为新增字段，也可以为现有的某个字段。具体地，该标识位字段可以为该报文中原有的有一个指示位，例如，在802.1ae格式封装的报文中，如图3所示的tci字段和an字段可以展开如图4所示，其中v＝0表示版本(version)位，该版本位原本用于指示macsec的版本，目前为0，在本发明实施例中，可以将该版本位用于指示acp报文，当该位的比特为“1”时，指示该报文为acp报文；当该位的比特为“0”时，指示该报文为其它报文。可选地，也可以在传输报文中增加一个新的标志位，该标志位包括acp报文的识别信息，例如，当该标志位为“0”时，指示该报文为acp报文；当该标志位为“1”时，指示该报文为其它报文。

可选地，作为一个实施例，以邻居节点之间传输报文为例，当节点接收邻居节点发送的macsec协议封装的macsec帧，该macsec帧的帧头中包括acp报文的识别信息，用于指示该报文为acp报文，例如该识别信息可以被携带在该传输报文中的mac地址字段中，根据该mac地址字段确定该传输报文是否为acp报文。例如，现有的mac地址的最高位的8比特，其中第二比特b2用于区分该mac地址为本地管理mac地址，还是全球(global)mac地址，由于现有mac地址大多为global，因此，可以将b2位作为识别信息，用于指示该报文是否为acp报文。这时，设备接口上同时使用本地管理mac地址(虚拟mac)和全球mac地址，当使用本地管理mac地址传输报文时，即b2的值为1时，该传输报文为acp报文；当使用全球mac地址传输报文时，即b2的值为0时，该传输报文为其它报文，但本发明并不限于此。可选地，也可以在mac地址字段中的其他位置携带acp报文的识别信息，也可以在mac地址字段中新增加一个或多个比特用于携带识别信息。

在本发明实施例中，自组织网络中的节点接收邻居节点发送的macsec协议封装macsec帧，根据该macsec帧的帧头中包括的识别信息，确定acp报文，具体地，可以通过上述方法确定哪些为acp报文。

应理解，在本发明的各种实施例中，上述各过程的序号的大小并不意味着执行顺序的先后，各过程的执行顺序应以其功能和内在逻辑确定，而不应对本发明实施例的实施过程构成任何限定。

因此，本发明实施例的报文传输的方法，根据macsec协议，自组织网络中的第二网络设备与第一网络设备之间建立macsec通道，通过该macsec通道，第二网络设备接收第一网络设备发送的macsec帧，根据该macsec帧的帧头中的识别信息，确定acp报文，从而不需要在接口上同时配置可路由的接口地址和用于建立ipsec的链路本地地址，为传输acp报文提供的macsec安全机制，不需要使用l3隧道，进而提高了效率。并且，可以通过macsec帧的帧头中的识别信息区分acp报文和其他报文，从而使得自组织网络中的第一网络设备和第二网络设备之间可以传输acp报文。

上文中结合图1至图5，详细描述了根据本发明实施例的报文传输的方法，下面将结合图6和图7，描述根据本发明实施例的用于报文传输的装置。

图6示出了根据本发明实施例的用于报文传输的第一网络设备300的示意性流程图，该第一网络设备300可以为自组织网络中的发送节点。如图6所示，该第一网络设备300包括：

建立模块310，用于该第一网络设备根据介质访问控制安全macsec协议，与第二网络设备建立macsec通道；

发送模块320，用于该第一网络设备通过该建立模块建立的该macsec通道，向该第二网络设备发送自组织控制平面acp报文，该acp报文承载在macsec帧中，该macsec帧的帧头中携带了用于标识该acp报文的识别信息。

具体地，可以将自组织网络中的一个节点设置为认证(registrar)节点，该registrar节点配置了自组织节点的udi白名单，该udi白名单内的节点可以加入该自组织域，并且registrar节点本身连接到domainca(自组织域数字证书认证机构)，支持分配域证书(domaincertificate)。网络中各个节点发起邻居发现(ad)消息，通过该ad消息寻找邻居节点，该ad消息中包括udi或域证书。根据该ad消息，各个节点可以创建邻居列表；registrar节点收到该ad消息后，对比udi白名单，向属于udi白名单的该邻居节点发送域证书。基于该域证书，邻居节点与registrar节点相互认证，并在认证成功后基于认证过程中生成的密钥协商出报文加密密钥，根据macsec协议，建立registrar节点与邻居节点之间的macsec通道。同样地，针对registrar节点的邻居节点的邻居节点，需要registrar节点的邻居节点作为代理服务器(proxy)以及认证点，其它步骤一致，从而建立自组织网络中相邻节点之间的macsec通道，使得属于同一域的多个节点构成一个acp。在该acp内，各个节点之间可以通过macsec通道，互相传输根据macsec协议封装的acp报文。

因此，本发明实施例的用于报文传输的第一网络设备，根据macsec协议，自组织网络中的第一网络设备的建立模块与第二网络设备之间建立macsec通道，通过该macsec通道，第一网络设备的发送模块向第二网络设备发送acp报文，该acp报文承载在macsec帧中，该macsec帧的帧头中携带了用于标识该acp报文的识别信息，从而不需要在接口上同时配置可路由的接口地址和用于建立ipsec的链路本地地址，为传输acp报文提供的macsec安全机制，不需要使用l3隧道，进而提高了效率。并且，可以通过macsec帧的帧头中的识别信息区分acp报文和其他报文，从而使得自组织网络中的第一网络设备和第二网络设备之间可以传输acp报文。

在本发明实施例中，自组织网络中各个节点支持自组织特性，每个节点都有自己的udi或者设备id证书(idevidcertificate)，可选地，这里以各个节点通过udi获取域证书为例进行说明，但本发明并不限于此。在该网络中，设置其中一个节点为认证(registrar)节点，该registrar节点支持分配域证书，并且配置了自组织节点的udi白名单，该udi白名单内的节点属于同一个自组织域。可选地，可以预配置该registrar节点，registrar节点能够支持分配域证书的节点，即该registrar节点与数字证书认证管理机构有连接，可以进行通信，换句话说，该registrar节点能够通过数字证书认证管理结构为其他节点分配域证书。

在本发明实施例中，自组织特性使能后，自组织节点可以向邻居节点发送ad消息，从而寻找自己的邻居节点。可选地，各个节点可以每隔一段时间，例如10s，发起一次ad消息。该ad消息可以包括udi或者域证书，例如，对于registrar节点发送的ad消息，registrar节点支持分配域证书，它会先给自己配置一个域证书，registrar节点发送的该ad消息中可以包括域证书；而对于没有域证书的节点发送的ad消息，该ad消息中可以包括udi。

在本发明实施例中，由于自组织节点发送的ad消息只能发送一跳的距离，即只有邻居节点可以收到该ad消息，因此当节点收到邻居节点发送的ad消息后，可以建立一个邻居列表，用于记录属于该节点的邻居节点。可选地，该邻居列表可以包括邻居节点的udi，该udi通过邻居节点发送的ad消息获得，邻居列表还可以包括地址信息，该地址信息可以为ipv6地址，或ipv4地址，或mac地址，该地址信息可以通过发送的ad消息的报文确定，但本发明并不限于此。根据节点确定的邻居节点列表，可以确定各个节点的邻居节点的udi以及地址信息。

在本发明实施例中，当registrar节点收到邻居节点发送的ad消息后，将ad消息中的udi对比registrar节点中的udi白名单，如果邻居节点的udi匹配udi白名单，则registrar节点根据该udi生成一个域证书，将该域证书发送给该邻居节点，后续ad广播中将使用该域证书。此时，具有域证书的该registrar节点和邻居节点属于同一个acp。

在本发明实施例中，对于registrar节点接收到的邻居节点发送的ad消息，可以为该邻居节点的ad消息，也可以为该邻居节点转发自己的邻居节点的ad消息，并比照udi白名单，对于属于同一个域的节点，registrar节点均发送域证书，可选地，可以通过邻居节点互相转发，具有该域证书的节点均属于同一个域，该自组织网络中的这些节点属于同一个acp。

在本发明实施例中，当自组织网络中每个节点有自己的idevidcertificate时，则节点向邻居节点发送的ad消息包括域证书或sudi，其中，registrar节点的ad消息可以包括域证书，而没有域证书的节点的ad消息中包括sudi。邻居节点将自己的802.1ar证书发给registrar节点，可选地，可以经过一个proxy。收到该消息的registrar节点使用公钥验证该证书，并且连接到验证服务器验证该设备是否可以接入域。如果验证成功，registrar节点根据该sudi生成一个域证书，发给对应的邻居节点，该邻居节点接收到域证书，后续ad广播中将使用域证书。同样地，registrar节点的邻居节点的邻居节点同样可以通过该方法获得域证书，具有域证书的该registrar节点和邻居节点属于同一个acp。

在本发明实施例中，根据macsec协议，自组织网络中的第一网络设备的建立模块310建立与第二网络设备之间的macsec通道，其中，该第一网络设备和第二网络设备可以为该自组织网络中的任意两个节点，可选地，该第一网络设备和第二网络设备可以为相邻的两个节点。具体地，基于该域证书，获得域证书的邻居节点可以与registrar节点相互认证，并在认证成功后基于认证过程中生成的密钥协商出报文加密密钥，根据macsec协议，建立registrar节点与邻居节点之间的macsec通道。同样地，对于registrar节点的邻居节点的邻居节点，可以将registrar节点的邻居节点作为代理服务器(proxy)以及认证点，其它步骤一致，从而建立属于同一个域的各个节点中相邻节点之间的macsec通道。这样，对于该acp中的任意两个节点，即第一网络设备和第二网络设备之间可以通过该macsec通道进行报文传输。

具体地，获得registrar节点发送的域证书的邻居节点，可以向registrar节点发起认证，例如可以发起基于802.1x的认证，registrar节点可以作为认证者(authenticator)和认证服务器，实现registrar节点和邻居节点之间的相互认证，例如，可以选择eap-tls的认证方式，遵守802.1af的标准。

在本发明实施例中，registrar节点与邻居节点认证成功后，基于认证过程中生成的密钥协商出报文加密密钥，建立起acp专用的安全macsec通道。具体地，按照mka协议，将之前的registrar节点与邻居节点认证中生成的pmk作为cak。registrar节点作为authenticator，默认被选择为mka协议中的密钥服务器(keyserver)，可以按照802.1x协议，根据cak，随机数等产生一个sak，加密后发给邻居节点，以便于在后续的通信中，启用这个sak作以太帧的加密和签名。

在本发明实施例中，registrar节点与邻居节点通过上述方法建立macsec通道后，对于registrar节点的邻居节点的邻居节点加入该acp时，registrar节点的邻居节点可以作为代理服务器(proxy)以及认证点，同样通过上述方法获得域证书，进而加入该acp，并通过验证，建立与邻居节点之间的macsec通道。

在本发明实施例中，在自组织网络中的acp内，第一网络设备的发送模块320可以通过建立模块310建立的macsec通道向第二网络设备发送acp报文，具体地，自组织网络中任意一个节点的发送模块320可以通过macsec通道向邻居节点发送acp报文，经过至少一次转发，自组织网络中的任意两个节点，第一网络设备和第二网络设备之间可以传输acp报文。由于在mac层，还可以通过macsec通道传输其它报文，因此，具体地，可以在macsec帧的帧头中携带识别信息，可以通过该识别信息区分该macsec帧是否承载acp报文，可选地，可以通过下面几种方法确定根据macsec协议封装的报文中的acp报文以及其它报文。

可选地，作为一个实施例，以邻居节点之间传输报文为例，节点的发送模块320向邻居节点发送macsec协议封装的macsec帧，该macsec帧的帧头中可以携带识别信息，该识别信息用于指示该帧结构用于承载acp报文。具体地，若整个自组织网络不启用数据面的macsec时，则根据macsec协议封装的报文即为acp报文，而其它报文可以通过mac封装，该报文解封装后，由global路由处理。例如，整个自组织网络不启用数据面的macsec时，节点向邻居节点发送的802.1ae格式封装的报文即为根据macsec协议封装的报文，该报文即可被理解为acp报文。具体地，如图2所示，802.1ae格式封装的macsec帧，该macsec帧的帧头可以包括如图2所示的几种字段，其中，该802.1ae头(802.1aeheader)字段可以为识别信息，表示该帧结构为根据macsec协议封装的报文，则该macsec帧用于承载acp报文，相反的，如果不包括该802.1aeheader字段，则可以确定该帧结构为其它的普通报文。

可选地，作为一个实施例，以邻居节点之间传输报文为例，节点的发送模块320向邻居节点发送macsec协议封装的macsec帧，该macsec帧的帧头中可以携带识别信息，该识别信息用于指示该帧结构用于承载acp报文，例如该识别信息可以被携带在传输的报文中的以太网类型字段中。具体地，传输的报文中可以包括以太网类型(ethertype)字段，例如，如图2所示，该以太网类型字段可以位于802.1aeheader字段中，具体地，如图3所示，该802.1aeheader字段可以包括macsecethertype字段、tci字段、an字段、sl字段、pn字段以及sci字段。在该802.1aeheader字段中，该macsecethertype字段，即携带识别信息的以太网类型字段，可选的，该macsecethertype字段中可以包括识别信息，也可以直接将该字段作为识别信息。可选地，如果将该字段作为识别信息，可以设置为当该macsecethertype值字段为预设值时，则该报文为acp报文；当该macsecethertype值不是该预设值时，则该报文为其它报文。例如，对于802.1ae格式封装的报文中，可以用88e5表示macsecethertype值，则该报文为普通报文；设置一个新的macsecethertype值为预设值，例如88e6，则该报文即为acp报文。

可选地，作为一个实施例，以邻居节点之间传输报文为例，节点的发送模块320向邻居节点发送macsec协议封装的macsec帧，该macsec帧的帧头中可以包括用于区别acp报文的识别信息，例如该识别信息可以被携带在传输的macsec帧的帧头中的标志位字段中，该标志位字段可以为新增字段，也可以为现有的某个字段。具体地，该标识位字段可以为该报文中原有的有一个指示位，例如，在802.1ae格式封装的报文中，如图3所示的tci字段和an字段可以展开如图4所示，其中v＝0表示版本(version)位，该版本位原本用于指示macsec的版本，目前为0，在本发明实施例中，可以将该版本位用于指示acp报文，当该位的比特为“1”时，指示该报文为acp报文；当该位的比特为“0”时，指示该报文为其它报文。可选地，也可以在传输报文中增加一个新的标志位，该标志位包括acp报文的识别信息，例如，当该标志位为“0”时，指示该报文为acp报文；当该标志位为“1”时，指示该报文为其它报文。

可选地，作为一个实施例，以邻居节点之间传输报文为例，节点的发送模块320向邻居节点发送macsec协议封装的macsec帧，该macsec帧的帧头中可以包括acp报文的识别信息，用于指示该报文为acp报文，例如该识别信息可以被携带在该传输报文中的mac地址字段中，根据该mac地址字段确定该传输报文是否为acp报文。例如，现有的mac地址的最高位的8比特，其中第二比特b2用于区分该mac地址为本地管理mac地址，还是全球(global)mac地址，由于现有mac地址大多为global，因此，可以将b2位作为识别信息，用于指示该报文是否为acp报文。这时，设备接口上同时使用本地管理mac地址(虚拟mac)和全球mac地址，当使用本地管理mac地址传输报文时，即b2的值为1时，该传输报文为acp报文；当使用全球mac地址传输报文时，即b2的值为0时，该传输报文为其它报文，但本发明并不限于此。可选地，也可以在mac地址字段中的其他位置携带acp报文的识别信息，也可以在mac地址字段中新增加一个或多个比特用于携带识别信息。

在本发明实施例中，acp各个节点可以通过上述方法，由发送模块320向邻居节点发送macsec协议封装的acp报文。

应理解，根据本发明实施例的用于报文传输的第一网络设备300可对应于执行本发明实施例中的方法100，并且用于报文传输的第一网络设备300中的各个模块的上述和其它操作和/或功能分别为了实现图1中的各个方法的相应流程，为了简洁，在此不再赘述。

因此，本发明实施例的用于报文传输的第一网络设备，根据macsec协议，自组织网络中的第一网络设备的建立模块与第二网络设备之间建立macsec通道，通过该macsec通道，第一网络设备的发送模块向第二网络设备发送acp报文，该acp报文承载在macsec帧中，该macsec帧的帧头中携带了用于标识该acp报文的识别信息，从而不需要在接口上同时配置可路由的接口地址和用于建立ipsec的链路本地地址，为传输acp报文提供的macsec安全机制，不需要使用l3隧道，进而提高了效率。并且，可以通过macsec帧的帧头中的识别信息区分acp报文和其他报文，从而使得自组织网络中的第一网络设备和第二网络设备之间可以传输acp报文。

图7示出了根据本发明另一实施例的报文传输的第二网络设备400的示意性流程图，该第二网络设备400可以自组织网络中的接收节点。如图7所示，该第二网络设备400包括：

建立模块410，用于该第二网络设备根据介质访问控制安全macsec协议，与第一网络设备建立macsec通道；

接收模块420，用于该第二网络设备通过该建立模块建立的该macsec通道，接收该第一网络设备发送的macsec帧；

确定模块430，用于该第二网络设备根据该接收模块接收的该macsec帧的帧头中携带的用于标识自组织控制平面acp报文的识别信息，确定该acp报文。

具体地，可以将自组织网络中的一个节点设置为认证(registrar)节点，该registrar节点配置了自组织节点的udi白名单，该udi白名单内的节点可以加入该自组织域，并且registrar节点本身连接到domainca，支持分配域证书(domaincertificate)。网络中各个节点发起邻居发现(ad)消息，通过该ad消息寻找邻居节点，该ad消息中包括udi或域证书。根据该ad消息，各个节点可以创建邻居列表；registrar节点收到该ad消息后，对比udi白名单，向属于udi白名单的该邻居节点发送域证书。基于该域证书，邻居节点与registrar节点相互认证，并在认证成功后基于认证过程中生成的密钥协商出报文加密密钥，根据macsec协议，建立registrar节点与邻居节点之间的macsec通道。同样地，针对registrar节点的邻居节点的邻居节点，需要registrar节点的邻居节点作为代理服务器(proxy)以及认证点，其它步骤一致，从而建立自组织网络中相邻节点之间的macsec通道，使得属于同一域的多个节点构成一个acp。在该acp内，各个节点之间可以通过macsec通道，互相传输根据macsec协议封装的acp报文。

因此，本发明实施例的用于报文传输的第二网络设备，根据macsec协议，该第二网络设备与第一网络设备之间建立macsec通道，通过该macsec通道，该第二网络设备接收第一网络设备发送的macsec帧，根据该macsec帧中的识别信息确定acp报文，从而不需要在接口上同时配置可路由的接口地址和用于建立ipsec的链路本地地址，为传输acp报文提供的macsec安全机制，不需要使用l3隧道，进而提高了效率。并且，可以通过macsec帧的帧头中的识别信息区分acp报文和其他报文，从而使得自组织网络中的第一网络设备和第二网络设备之间可以通过macsec通道传输acp报文。

在本发明实施例中，自组织网络中各个节点支持自组织特性，每个节点都有自己的udi或者设备id证书(idevidcertificate)，可选地，这里以各个节点通过udi获取域证书为例进行说明，但本发明并不限于此。在该网络中，设置其中一个节点为认证(registrar)节点，该registrar节点支持分配域证书，并且配置了自组织节点的udi白名单，该udi白名单内的节点属于同一个自组织域。可选地，可以预配置该registrar节点，registrar节点能够支持分配域证书的节点，即该registrar节点与数字证书认证管理机构有连接，可以进行通信，换句话说，该registrar节点能够通过数字证书认证管理结构为其他节点分配域证书。

在本发明实施例中，自组织特性使能后，自组织节点可以向邻居节点发送ad消息，从而寻找自己的邻居节点。可选地，各个节点可以每隔一段时间，例如10s，发起一次ad消息。该ad消息可以包括udi或者域证书，例如，对于registrar节点发送的ad消息，registrar节点支持分配域证书，它会先给自己配置一个域证书，registrar节点发送的该ad消息中可以包括域证书；而对于没有域证书的节点发送的ad消息，该ad消息中可以包括udi。

在本发明实施例中，由于自组织节点发送的ad消息只能发送一跳的距离，即只有邻居节点可以收到该ad消息，因此当节点收到邻居节点发送的ad消息后，可以建立一个邻居列表，用于记录属于该节点的邻居节点。可选地，该邻居列表可以包括邻居节点的udi，该udi通过邻居节点发送的ad消息获得，邻居列表还可以包括地址信息，该地址信息可以为ipv6地址，或ipv4地址，或mac地址，该地址信息可以通过发送的ad消息的报文确定，但本发明并不限于此。根据节点确定的邻居节点列表，可以确定各个节点的邻居节点的udi以及地址信息。

在本发明实施例中，当registrar节点收到邻居节点发送的ad消息后，将ad消息中的udi对比registrar节点中的udi白名单，如果邻居节点的udi匹配udi白名单，则registrar节点根据该udi生成一个域证书，将该域证书发送给该邻居节点，后续ad广播中将使用该域证书。此时，具有域证书的该registrar节点和邻居节点属于同一个acp。

在本发明实施例中，对于registrar节点接收到的邻居节点发送的ad消息，可以为该邻居节点的ad消息，也可以为该邻居节点转发自己的邻居节点的ad消息，并比照udi白名单，对于属于同一个域的节点，registrar节点均发送域证书，可选地，可以通过邻居节点互相转发，具有该域证书的节点均属于同一个域，该自组织网络中的这些节点属于同一个acp。

在本发明实施例中，当自组织网络中每个节点有自己的idevidcertificate时，则节点向邻居节点发送的ad消息包括域证书或sudi，其中，registrar节点的ad消息可以包括域证书，而没有域证书的节点的ad消息中包括sudi。邻居节点将自己的802.1ar证书发给registrar节点，可选地，可以经过一个proxy。收到该消息的registrar节点使用公钥验证该证书，并且连接到验证服务器验证该设备是否可以接入域。如果验证成功，registrar节点根据该sudi生成一个域证书，发给对应的邻居节点，该邻居节点接收到域证书，后续ad广播中将使用域证书。同样地，registrar节点的邻居节点的邻居节点同样可以通过该方法获得域证书，具有域证书的该registrar节点和邻居节点属于同一个acp。

在本发明实施例中，根据macsec协议，自组织网络中的第一网络设备的建立模块410建立与第一网络设备之间的macsec通道，其中，该第一网络设备和第二网络设备可以为该自组织网络中的任意两个节点，可选地，该第一网络设备和第二网络设备可以为相邻的两个节点。具体地，基于域证书，获得域证书的邻居节点可以与registrar节点相互认证，并在认证成功后基于认证过程中生成的密钥协商出报文加密密钥，根据macsec协议，建立registrar节点与邻居节点之间的macsec通道。同样地，对于registrar节点的邻居节点的邻居节点，可以将registrar节点的邻居节点作为代理服务器(proxy)以及认证点，其它步骤一致，从而建立属于同一个域的各个节点中相邻节点之间的macsec通道。这样，对于该acp中的任意两个节点，即第一网络设备和第二网络设备之间可以通过该macsec通道进行报文传输。

具体地，获得registrar节点发送的域证书的邻居节点，可以向registrar节点发起认证，例如可以发起基于802.1x的认证，registrar节点可以作为认证者(authenticator)和认证服务器，实现registrar节点和邻居节点之间的相互认证，例如，可以选择eap-tls的认证方式，遵守802.1af的标准。

在本发明实施例中，registrar节点与邻居节点认证成功后，基于认证过程中生成的密钥协商出报文加密密钥，建立起acp专用的安全macsec通道。具体地，按照mka协议，将之前的registrar节点与邻居节点认证中生成的pmk作为cak。registrar节点作为authenticator，默认被选择为mka协议中的密钥服务器(keyserver)，可以按照802.1x协议，根据cak，随机数等产生一个sak，加密后发给邻居节点，以便于在后续的通信中，启用这个sak作以太帧的加密和签名。

在本发明实施例中，registrar节点与邻居节点通过上述方法建立macsec通道后，对于registrar节点的邻居节点的邻居节点加入该acp时，registrar节点的邻居节点可以作为代理服务器(proxy)以及认证点，同样通过上述方法获得域证书，进而加入该acp，并通过验证，建立与邻居节点之间的macsec通道。

在本发明实施例中，在自组织网络中的acp内，第二网络设备的接收模块420可以通过macsec通道接收第一网络设备发送的macsec帧。具体地，自组织网络中任意一个节点可以通过macsec通道向邻居节点发送acp报文，经过至少一次转发，自组织网络中的任意两个节点，第一网络设备和第二网络设备之间可以传输macsec帧。

在本发明实施例中，由于第二网络设备的接收模块420接收的该macsec帧的帧头中可以包括识别信息，该识别信息用于区别该macsec帧是否为acp报文。因此，第二网络设备的确定模块430可以根据macsec帧的帧头中的识别信息，确定该macsec帧为acp报文。由于在mac层，还可以通过macsec通道传输其它报文，因此，具体地，可以根据在macsec帧的帧头中携带的识别信息，区分该macsec帧是否承载acp报文，可选地，可以通过下面几种方法确定接收到的根据macsec协议封装的报文中的acp报文以及其它报文。

可选地，作为一个实施例，以邻居节点之间传输报文为例，当节点的接收模块420接收邻居节点发送的macsec协议封装的macsec帧，确定模块430可以根据该macsec帧的帧头中携带的识别信息确定acp报文。具体地，若整个自组织网络不启用数据面的macsec时，则根据macsec协议封装的报文即为acp报文，而其它报文可以通过mac封装，该报文解封装后，由global路由处理。例如，整个自组织网络不启用数据面的macsec时，节点接收邻居节点发送的802.1ae格式封装的报文即为根据macsec协议封装的报文，该报文即可被理解为acp报文。具体地，如图2所示，802.1ae格式封装的macsec帧，该macsec帧的帧头可以包括如图2所示的几种字段，其中，该802.1ae头(802.1aeheader)字段可以为识别信息，表示该帧结构为根据macsec协议封装的报文，则该macsec帧用于承载acp报文，相反的，如果不包括该802.1aeheader字段，则可以确定该帧结构为其它的普通报文。

可选地，作为一个实施例，以邻居节点之间传输报文为例，当节点的接收模块420接收邻居节点发送的macsec协议封装的macsec帧，确定模块430可以根据该macsec帧中包括的acp报文的识别信息，确定该报文为acp报文，例如该识别信息可以被携带在传输的macsec帧的帧头中的以太网类型字段中。具体地，传输的报文中可以包括以太网类型(ethertype)字段，例如，如图2所示，该以太网类型字段可以位于802.1aeheader字段中，具体地，如图3所示，该802.1aeheader字段可以包括macsecethertype字段、tci字段、an字段、sl字段、pn字段以及sci字段。在该802.1aeheader字段中，该macsecethertype字段，即携带识别信息的以太网类型字段，可选的，该macsecethertype字段中可以包括识别信息，也可以直接将该字段作为识别信息。可选地，如果将该字段作为识别信息，可以设置为当该macsecethertype值字段为预设值时，则该报文为acp报文；当该macsecethertype值不是该预设值时，则该报文为其它报文。例如，对于802.1ae格式封装的报文中，可以用88e5表示macsecethertype值，则该报文为普通报文；设置一个新的macsecethertype值为预设值，例如88e6，则该报文即为acp报文。

可选地，作为一个实施例，以邻居节点之间传输报文为例，当节点的接收模块420接收邻居节点发送的macsec协议封装的macsec帧，确定模块430可以根据该macsec帧的帧头中包括的acp报文的识别信息，确定该报文为acp报文，例如该识别信息可以被携带在传输的macsec帧的帧头中的标志位字段中，该标志位字段可以为新增字段，也可以为现有的某个字段。具体地，该标识位字段可以为该报文中原有的有一个指示位，例如，在802.1ae格式封装的报文中，如图3所示的tci字段和an字段可以展开如图4所示，其中v＝0表示版本(version)位，该版本位原本用于指示macsec的版本，目前为0，在本发明实施例中，可以将该版本位用于指示acp报文，当该位的比特为“1”时，指示该报文为acp报文；当该位的比特为“0”时，指示该报文为其它报文。可选地，也可以在传输报文中增加一个新的标志位，该标志位包括acp报文的识别信息，例如，当该标志位为“0”时，指示该报文为acp报文；当该标志位为“1”时，指示该报文为其它报文。

可选地，作为一个实施例，以邻居节点之间传输报文为例，当节点的接收模块420接收邻居节点发送的macsec协议封装的macsec帧，确定模块430可以根据该macsec帧的帧头中包括的acp报文的识别信息，确定该报文为acp报文，例如该识别信息可以被携带在该传输报文中的mac地址字段中，根据该mac地址字段确定该传输报文是否为acp报文。例如，现有的mac地址的最高位的8比特，其中第二比特b2用于区分该mac地址为本地管理mac地址，还是全球(global)mac地址，由于现有mac地址大多为global，因此，可以将b2位作为识别信息，用于指示该报文是否为acp报文。这时，设备接口上同时使用本地管理mac地址(虚拟mac)和全球mac地址，当使用本地管理mac地址传输报文时，即b2的值为1时，该传输报文为acp报文；当使用全球mac地址传输报文时，即b2的值为0时，该传输报文为其它报文，但本发明并不限于此。可选地，也可以在mac地址字段中的其他位置携带acp报文的识别信息，也可以在mac地址字段中新增加一个或多个比特用于携带识别信息。

在本发明实施例中，自组织网络中的节点的接收模块420接收邻居节点发送的macsec协议封装的macsec帧，确定模块430根据该macsec帧的帧头中包括的识别信息，确定acp报文，具体地，可以通过上述方法确定哪些为acp报文。

应理解，根据本发明实施例的用于报文传输的第二网络设备400可对应于执行本发明实施例中的方法200，并且用于报文传输的第二网络设备400中的各个模块的上述和其它操作和/或功能分别为了实现图5中的各个方法的相应流程，为了简洁，在此不再赘述。

因此，本发明实施例的用于报文传输的第二网络设备，根据macsec协议，该第二网络设备与第一网络设备之间建立macsec通道，通过该macsec通道，该第二网络设备接收第一网络设备发送的macsec帧，根据该macsec帧中的识别信息确定acp报文，从而不需要在接口上同时配置可路由的接口地址和用于建立ipsec的链路本地地址，为传输acp报文提供的macsec安全机制，不需要使用l3隧道，进而提高了效率。并且，可以通过macsec帧的帧头中的识别信息区分acp报文和其他报文，从而使得自组织网络中的第一网络设备和第二网络设备之间可以通过macsec通道传输acp报文。

如图8所示，本发明实施例还提供了一种用于报文传输的系统500，该系统500可以包括第一网络设备510和第二网络设备520。该第一网络设备510根据macsec协议，与该第二网络设备520建立macsec通道；通过该macsec通道，该第一网络设备510向该第二网络设备520发送acp报文，该acp报文承载在macsec帧中，该macsec帧的帧头中携带了用于标识该acp报文的识别信息；该第二网络设备520接收该macsec帧；该第二网络设备520根据该macsec帧的帧头中携带的用于标识acp报文的识别信息，确定该acp报文。

该第一网络设备510可以是如图6所示的所示的第一网络设备300，第二网络设备520可以是如图7所示的第二网络设备400。

该第一网络设备510还可以包括如图6所示的建立模块310和发送模块320；该第二网络设备520还可以包括如图7所示的建立模块410，接收模块420和确定模块430。

因此，本发明实施例的用于报文传输的系统，包括自组织网络中的第一网络设备和第二网络设备，根据macsec协议，该第一网络设备和第二网络设备之间建立macsec通道，通过该macsec通道，第一网络设备与第二网络设备之间可以传输macsec帧，该macsec帧的帧头中携带了识别信息，可以根据该识别信息表示acp报文，从而不需要在接口上同时配置可路由的接口地址和用于建立ipsec的链路本地地址，而是根据macsec协议，为acp提供macsec安全机制，不需要使用l3隧道，进而提高了效率。并且，可以通过识别信息区分macsec帧中的acp报文，从而使得自组织网络中的第一网络设备和第二网络设备之间可以传输acp报文。

如图9所示，本发明实施例还提供了一种用于报文传输的第一网络设备600，该第一网络设备600包括处理器610、存储器620、发送器630和总线系统640。其中，处理器610、存储器620和发送器630通过总线系统640相连，该存储器620用于存储指令，该处理器610用于执行该存储器620存储的指令，以控制发送器630发送信号。其中，该处理器610用于第一网络设备根据介质访问控制安全macsec协议，与第二网络设备建立macsec通道；发送器630用于该第一网络设备通过该macsec通道，向该第二网络设备发送自组织控制平面acp报文，该acp报文承载在macsec帧中，该macsec帧的帧头中携带了用于标识该acp报文的识别信息。

因此，本发明实施例的用于报文传输的第一网络设备，根据macsec协议，自组织网络中的第一网络设备的建立模块与第二网络设备之间建立macsec通道，通过该macsec通道，第一网络设备的发送模块向第二网络设备发送acp报文，该acp报文承载在macsec帧中，该macsec帧的帧头中携带了用于标识该acp报文的识别信息，从而不需要在接口上同时配置可路由的接口地址和用于建立ipsec的链路本地地址，为传输acp报文提供的macsec安全机制，不需要使用l3隧道，进而提高了效率。并且，可以通过macsec帧的帧头中的识别信息区分acp报文和其他报文，从而使得自组织网络中的第一网络设备和第二网络设备之间可以传输acp报文。

应理解，在本发明实施例中，该处理器610可以是中央处理单元(centralprocessingunit，简称为“cpu”)，该处理器610还可以是其他通用处理器、数字信号处理器(dsp)、专用集成电路(asic)、现成可编程门阵列(fpga)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。

该存储器620可以包括只读存储器和随机存取存储器，并向处理器610提供指令和数据。存储器620的一部分还可以包括非易失性随机存取存储器。例如，存储器620还可以存储设备类型的信息。

该总线系统640除包括数据总线之外，还可以包括电源总线、控制总线和状态信号总线等。但是为了清楚说明起见，在图中将各种总线都标为总线系统640。

在实现过程中，上述方法的各步骤可以通过处理器610中的硬件的集成逻辑电路或者软件形式的指令完成。结合本发明实施例所公开的方法的步骤可以直接体现为硬件处理器执行完成，或者用处理器中的硬件及软件模块组合执行完成。软件模块可以位于随机存储器，闪存、只读存储器，可编程只读存储器或者电可擦写可编程存储器、寄存器等本领域成熟的存储介质中。该存储介质位于存储器620，处理器610读取存储器620中的信息，结合其硬件完成上述方法的步骤。为避免重复，这里不再详细描述。

可选地，作为一个实施例，该识别信息携带在该macsec帧的帧头中的以太网类型字段中，该以太网类型字段用于指示该macsec帧用于承载该acp报文。

可选地，作为一个实施例，该识别信息携带在该macsec帧的帧头中的标志位字段中，该标识位字段为新增字段或版本字段。

可选地，作为一个实施例，该识别信息携带在该macsec帧的帧头中的mac地址字段中。

应理解，根据本发明实施例的用于报文传输的第一网络设备600可对应于本发明实施例中的用于报文传输的第一网络设备300，并可以对应于执行根据本发明实施例的方法100中的相应主体，并且第一网络设备600中的各个模块的上述和其它操作和/或功能分别为了实现图1中的各个方法的相应流程，为了简洁，在此不再赘述。

因此，本发明实施例的用于报文传输的第一网络设备，根据macsec协议，自组织网络中的第一网络设备的建立模块与第二网络设备之间建立macsec通道，通过该macsec通道，第一网络设备的发送模块向第二网络设备发送acp报文，该acp报文承载在macsec帧中，该macsec帧的帧头中携带了用于标识该acp报文的识别信息，从而不需要在接口上同时配置可路由的接口地址和用于建立ipsec的链路本地地址，为传输acp报文提供的macsec安全机制，不需要使用l3隧道，进而提高了效率。并且，可以通过macsec帧的帧头中的识别信息区分acp报文和其他报文，从而使得自组织网络中的第一网络设备和第二网络设备之间可以传输acp报文。

如图10所示，本发明实施例还提供了一种用于报文传输的第二网络设备700，该第二网络设备700包括处理器710、存储器720、接收器730和总线系统740。其中，处理器710、存储器720和接收器730通过总线系统740相连，该存储器720用于存储指令，该处理器710用于执行该存储器720存储的指令，以控制接收器730接收信号。其中，该处理器710用于第二网络设备根据介质访问控制安全macsec协议，与第一网络设备建立macsec通道；接收器730用于该第二网络设备通过该macsec通道，接收该第一网络设备发送的macsec帧该处理器710还用于该第二网络设备根据该macsec帧的帧头中携带的用于标识自组织控制平面acp报文的识别信息，确定该acp报文。

因此，本发明实施例的用于报文传输的第二网络设备，根据macsec协议，该第二网络设备与第一网络设备之间建立macsec通道，通过该macsec通道，该第二网络设备接收第一网络设备发送的macsec帧，根据该macsec帧中的识别信息确定acp报文，从而不需要在接口上同时配置可路由的接口地址和用于建立ipsec的链路本地地址，为传输acp报文提供的macsec安全机制，不需要使用l3隧道，进而提高了效率。并且，可以通过macsec帧的帧头中的识别信息区分acp报文和其他报文，从而使得自组织网络中的第一网络设备和第二网络设备之间可以通过macsec通道传输acp报文。

应理解，在本发明实施例中，该处理器710可以是中央处理单元(centralprocessingunit，简称为“cpu”)，该处理器710还可以是其他通用处理器、数字信号处理器(dsp)、专用集成电路(asic)、现成可编程门阵列(fpga)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。

该存储器720可以包括只读存储器和随机存取存储器，并向处理器710提供指令和数据。存储器720的一部分还可以包括非易失性随机存取存储器。例如，存储器720还可以存储设备类型的信息。

该总线系统740除包括数据总线之外，还可以包括电源总线、控制总线和状态信号总线等。但是为了清楚说明起见，在图中将各种总线都标为总线系统740。

在实现过程中，上述方法的各步骤可以通过处理器710中的硬件的集成逻辑电路或者软件形式的指令完成。结合本发明实施例所公开的方法的步骤可以直接体现为硬件处理器执行完成，或者用处理器中的硬件及软件模块组合执行完成。软件模块可以位于随机存储器，闪存、只读存储器，可编程只读存储器或者电可擦写可编程存储器、寄存器等本领域成熟的存储介质中。该存储介质位于存储器720，处理器710读取存储器720中的信息，结合其硬件完成上述方法的步骤。为避免重复，这里不再详细描述。

可选地，作为一个实施例，该识别信息携带在该macsec帧的帧头中的以太网类型字段中，该以太网类型字段用于指示该macsec帧用于承载该acp报文。

可选地，作为一个实施例，该识别信息携带在该macsec帧的帧头中的标志位字段中，该标识位字段为新增字段或版本字段。

可选地，作为一个实施例，该识别信息携带在该macsec帧的帧头中的mac地址字段中。

应理解，根据本发明实施例的用于报文传输的第二网络设备700可对应于本发明实施例中的用于报文传输的第二网络设备400，并可以对应于执行根据本发明实施例的方法200中的相应主体，并且第二网络设备700中的各个模块的上述和其它操作和/或功能分别为了实现图5中的各个方法的相应流程，为了简洁，在此不再赘述。

因此，本发明实施例的用于报文传输的第二网络设备，根据macsec协议，该第二网络设备与第一网络设备之间建立macsec通道，通过该macsec通道，该第二网络设备接收第一网络设备发送的macsec帧，根据该macsec帧中的识别信息确定acp报文，从而不需要在接口上同时配置可路由的接口地址和用于建立ipsec的链路本地地址，为传输acp报文提供的macsec安全机制，不需要使用l3隧道，进而提高了效率。并且，可以通过macsec帧的帧头中的识别信息区分acp报文和其他报文，从而使得自组织网络中的第一网络设备和第二网络设备之间可以通过macsec通道传输acp报文。

本领域普通技术人员可以意识到，结合本文中所公开的实施例描述的各示例的单元及算法步骤，能够以电子硬件、或者计算机软件和电子硬件的结合来实现。这些功能究竟以硬件还是软件方式来执行，取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能，但是这种实现不应认为超出本发明的范围。

所属领域的技术人员可以清楚地了解到，为描述的方便和简洁，上述描述的系统、装置和单元的具体工作过程，可以参考前述方法实施例中的对应过程，在此不再赘述。

在本申请所提供的几个实施例中，应该理解到，所揭露的系统、装置和方法，可以通过其它的方式实现。例如，以上所描述的装置实施例仅仅是示意性的，例如，所述单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口，装置或单元的间接耦合或通信连接，可以是电性，机械或其它的形式。

所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。

另外，在本发明各个实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。

所述功能如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：u盘、移动硬盘、只读存储器(rom，read-onlymemory)、随机存取存储器(ram，randomaccessmemory)、磁碟或者光盘等各种可以存储程序代码的介质。

以上所述，仅为本发明的具体实施方式，但本发明的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本发明揭露的技术范围内，可轻易想到变化或替换，都应涵盖在本发明的保护范围之内。因此，本发明的保护范围应所述以权利要求的保护范围为准。