YDB 066-2011 有线局域网媒体访问控制安全技术要求.pdf

1、通信标准类技术报.fr. 1=1 YDB 066-2011 线局域网媒体访问控制安全技术要求Wired local area network medium access control security requirements 2011 - 08 -05印发中国通信标准化协会发布YDB 066一一2011目欠前言. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . VII VA4i1i

2、1i1儿A吐-bphdnb民UQUQdQd1ititi-门，白ndqLqJnJ4AA吐严b严bpbnO民UbQUQOQuny1IEAT-A1止1l41IL呼IEA唱A-1-占1IL-EAT-tSAt-占1IEA1tA-1-，占1IL-EA-A唱EA式格uu果陡结素息元信义除剧果舵去息各素且即mL去Li山Mr在但他耐性irEZZr也吐出出扫射黝川明俩结引缩语略略统统统全协A012345678性与术缩策系系系安JJc1JJJiijilJJJ围范语述全nMJJJJJJJJJJJJJJJJJJi范规术JJ概安JJJ551J666666666666666666士，EqJ内JFhdD-b-hdnb严312

3、qu45民UI YDB 066-2011 900001123357789990oo-A2222550002456677899 。中nL门，中门JUqLnL门L门，白9qLqL门，臼门，中门，中qdqdquququqJququqd叮JA哇严hUFDFhuphUFhdFOmbmbpbFDFOPbFb引引哩达理组组组索索p管概分分分分识钥钥)川钥程活求应认惊密密)理叫密过激请响确较接、阳管日播商商商商商密充站分帧. TNM单协协协协协vv部如-I在议及钥钥钥钥钥i成构数也述组且主且且播协别密密密密密述组到陈索组结的据概分AL概知分单别鉴插播播播播概)阶iw附时时悦阳盯帧班制帧耀献帕且脚略一叫制胖胖胖

4、胖胖出相阳时机制刽刽睐议dL啡钳七四规规规-m搁一叫锵帷脚时时棚辑栩栩栩栩栩时时hL班时式趴黯略问叫放叫wmmm肌川山川舰时咄咄一川娜娜娜脚时班倒UE晦旧时姗姗姗姗姗畸酬酬MM酬椭012吉即nM点居居居略全全全单于号挂在主JJJJ如NJJJ11JJ节邻邻邻策安安安和基JJJi苦JJJim-晤组组UU组川11113333344A军队匕叶叫4111122222切如JIU-EK王另E12003066661J6666666邻JJJ安JJJ鉴J9999;99999组队队11队1666777888991&11 nu 叮iQUQd1AII YDB 066-2011 10.3.2 处理过程.四川站间密钥建立.

5、60 11. 1 站间密钥建立过程概述.60 11. 2 站间密钥请求. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 61 11. 2. 1 帧格式. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 61 11. 2. 2 处理过程.62 11. 3 对对端S

6、凹的站闰密钥通告.62 11. 3. 1 帧格式.62 11. 3. 2 处理过程.63 11. 4 对端S凹的站间密钥通告响应.64 11. 4. 1 帧格式.64 11. 4. 2 处理过程.65 11. 5 对发起端S凹的站问密钥通告.65 11. 5. 1 帧格式.65 11. 5. 2 处理过程.66 11. 6 发起端S凹的站间密钥通告响应. 66 11. 6. 1 帧格式.66 11. 6. 2 处理过程.67 11. 7 站间密钥建立补充说明.67 11. 8 邻居用户终端站间密钥建立.68 11. 8. 1 过程概述.68 11. 8. 2 邻居交换设备选择请求.69 11.

7、 8. 3 邻居交换设备选择响应.70 12 交换密钥建立.70 12. 1 交换密钥建立过程概述.70 12.2 交换基密钥建立. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 71 12.2.1 交换基密铝建立过程概述. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 71 12.2.2交换基密钥通告分组一.72 12.2.3 交换基密钥通告响应分组一.73 12.2.4 交换基密钥通告分组二.

8、74 12.2.5 交换基密钥通告响应分组二.75 12.3 交换密钥协商过程.77 12.3.1 交换密钥协商过程概述.77 12.3.2 交换密铝协商激活.78 12.3.3 交换密钥协商请求.79 12.3.4 交换密钥协商响应. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 81 12.3.5 交换密钥协商确认.82 13 节点间保密通信.84 13.1 节点间交换路径探寻.84 13. 1. 1 节点间交换路径定义. 84 13. 1. 2 交换路径探寻过程概述.84 III -耀蒙

9、主YDS 066-2011 56778993455778889999001223444556789902333 888888899999999999990000000000000oool-11 Ti咱t41i咱41ti-咱141ti-41tEA唱BA咱t41tA1i1tA唱Ei1ti噜ti-1it-品程过nu z京什量程常程过过和量和量变量常的常略)义、量了策定量变程信中uu变的川流通uu且机的、类分二岱理输串l态义定一不求应分划保处理护式式备)U传缸m机状定中国同响分型型略间送处保莫莫块设据片展规定)态器中-u机机寻寻划类类策点发收帧旧旧模-矢数分封却约状制机态态探探型信信信节点接据人人护U

10、u和的牢f号量机器控述态述机机状状径径类通逼迫型节点数密密保道剧制组与阿符变量态制问描量机状描态态收收蛐姗踹翩翩僻愤慨悄悄加解酬捕叫他吨据川江份慑町的L札相铺轨腋附拍脑吵吵刊协拍脑制帧懒懒交交间节节间不发接模刚伽数充cc机端更处加阳组甜要围和时全附访鉴各统者请各传接密密点点密系nmnM理控钥时AP，匀快般态钟口别求钥钥J节JJ节JJJ加JJic-管受密超11mu一状时JJ端鉴JJJ请JJ密密J21Atiq白吁中qdqdqdAT4A4Ae-H1eqdqJFO同bFO民UOOOQUS牛巾S3323333334333工12空14234456L12366456666667866-i1i-1i11-1i

11、丁A斗1TA-1i1i-A1i1iqJquqJAAA吐HhUFhUFDFbFhd卢b只U民Ub民U民UnbbbAaAFhdnhu IV YDB 066一-20114444445555566668990012333403468 1口11口口口11口口口口-uuuuuuuuuummm法报算削、-RU有UUM的z用)um象计吏系-E对值统. 制你旺管置计断话u报出景与被配统诊会.表术导场C-机阻器器器器穿臼技钥用nMMW-p市市市制对火H本密应1状器控控控控理u置计定器理理理理理理制求、闯问问问管配统象置B时管管管管管管控要访访访访血者者对配阳和如影和和计制求能述置障能全费象型问般别阳加剧烈别P述求

12、求理述统制甜甜付位时别控要功概配故性安计对类访一鉴鉴鉴鉴者概请请管概系控凹的剧时时鉴入般理管据别求统入范斗范料斗重哺一管川川川被数鉴川口口川口请UM川系JJ接规资规资资77口nJ且嘀JJ川川口JiJ口口口打口口口口J口口且嘀ABCDEM7盯刀口盯盯刀口录录录录录四附附附附附V YDB 066-2011 _._ 自IJE习为适应信息通信业发展对通信标准文件的需要，在工业和信息化部统一安排下，对于技术尚在发展中，又需要有相应的标准性文件引导其发展的领域，由中国通信标准化协会组织制定通信标准类技术报告，推荐有关方面参考采用。有关对本技术报告的建议和意见，向中国通信标准化协会反映。本技术报告由中国通信

13、标准化协会提出并归口。本技术报告主要起草单位:西安邮电学院、西安西电捷通无线网络通信股份有限公司、北京邮电大学。本技术报告主要起草人:朱志样、李琴、黄振海、铁满霞、王育昆、杨义先、赖晓龙、颜湘、龙昭华、罗旭光、葛莉、任学强、许成鹏、孙宇露、王佩、张永强、张变玲、胡亚楠、杜志强、杜慧、王朝、张国强、梁琼文、肖跃雷。VII YDB 066-一2011引_._ 仨习本技术报告针对现有局域网安全协议存在的易遭受欺骗、网络接入控制设备没有独立身份等缺陷，基于三元对等鉴别(TePA)机制，提出有线局域网安全技术要求。本技术报告也作为对GB!T15629.3-1995 J图36TAEPoL协议帧结构示意自6

14、.3. 1 TAEPoL协议各组成部分6.3. 1. 1 前导码PreambleIEEE802.3帧的前导码有7个字节(56位)交替出现的0和1，交替序列如下:预同步码=10101010101010101010101010101010101010101010101010101010 即16进制的AAAAAAAAAAAAAAAAAAAAAAAAAAAA6.3. 1. 2 帧首定界符SFDIEEE802. 3帧的SFD宇段占1个字节，其比特模式为10101011，它紧跟在前导码后，用于指示一帧的开始。前导码的作用是使接收端能根据1飞0交变的比特模式迅速实现比特同步，当检测到连续两位1(即读到帧起始

15、定界符字段SFD最末两位)时，便将后续的信息递交给MAC子层。6.3.1.3 MAC地址每个帧应包含两种地址宇段:依次为目的地址宇段和源地址宇段。每种地址宇段应包含48比特，地址字段见图37。48t匕培寺主也扛H千千王飞I/G U/L46l匕斗寺图37MAC地址字段格式6. 3. 1.3. 1 自的MAC地址目的地址宇段规定该帧应发往的目的地。目的地址字段中的第l个比特位用作地址类型指示比特，以标识目的地址是单地址还是组地址。如果该比特位为0，表示自的地址为单地址:如果该比特位为1，表示目的地址宇段中包含组地址，它标识连接到局域网上的0个、1个、多个或所有的站。第2个比特位用来区分本地管理地址

16、和全球管理地址。对于全球管理地址，该比特置为0。如果地址是要本地分配的，则给比特置为1。注意，对于广播地址，该比特也置为1。21 YDB 066一一20116.3. 1. 3. 2 源MAC地址源地址地段应标识启动发送该帧的站。在源地址宇段中，第1比特是被保留并置成0。第2比特位用法同目的地址宇段。6.3. 1. 4 完整性校验值FCS完整性校验值FCS字段，宇段长度为4个八位位组。该字段存放经CRC校验后产生的值。6.3.2 TAEPoL MPDU结构TePA-AC标准中TAEPoLMPDU在GB/T15629.3中的格式见图38。一一i一眼一一lEtherType TAEP _Length

17、 TAEPoL MPDU 图38TAEPoL MPDU结构示意图其中以太网类型(EtherType)宇段长度为2个八位位组，定义见表50表5标准以太网类型分自己分配EtherType 值Ox891b Body 6.3.2.1 TAEPoL PDU结构TAEPoL协议数据单元(TAEPoLPDU)为TAEPoLMPDU中除EtherType宇段以外的部分，其格式见图390八位位组数!1I1卡-2一i一可变一!| 阳叫i川T咀毗町A叹町尺町盯T叫yTAEPoL PDU 图39TAEPoL PDU的格式6.3.2.2 协议版本VersionVersion字段长度为l个八位位组，用一个无符号数表示。它

18、的值表示TAEPoU!庚的发送端所支持的TAEPoL协议版本。符合本技术报告的此字段值应为00000001。6.3.2.3 类型TAEP_TypeTAEP_Type字段长度为1个八位位组，用一个无符号数表示。它的值标识所发送的帧的类型，定义如下:a) TAEP-Packet:值00000000表示帧载有TAEP分组:b) TAEPoL-Start:值00000001表示帧为AEPoL一StartI帧:c) TAEPoL一Logo曰:值00000010表示帧为TAEPoL-Logoff请求帧:d) TAEPoL-Key:值为00000011表示帧为TAEPoL-KeyI惊:22 . 坦国-YDB

19、 066-一2011e) TAEPoL-Encapsulated-ASF-Alert:值为00000100。用于支持AlertStandardForum(ASF)的Alerting报文。除上述5个值以外的所有其他值都是TAEPoL为未来扩展保留的。6.3.2.4 长度TAEP_LengthTAEP一Length字段长度为2个八位位组，用一个无符号二进制数表示。该字段的值定义了内容宇段的长度:值0表示没有内容宇段。6.3.2.5 内容Body如下za) 在负载有TAEP-Packet的TAEPoL帧内，该字段包含如下定义的TAEP分组:仅仅封装一个TAEP分组。b) 在负载有TAEPoL-Sta

20、rt帧内，该字段包含如下所定义的Hello;仅仅封装一个Hello或不封装任何内容。c) 在负载有TAEPoL一Logoff帧内，该字段包含如下所定义的Logoff;仅仅封装一个Logoff或不封装任何内容。d) 在负载有TAEPoL-Key帧内，该字段包含如下所定义的KeyDescriptor;仅仅封装一个KeyDescriptor 的在负载有TAEPoL一Encapsulated-ASF-Alert的帧内，此字段包含ASF描述的ASF警告。6.3.3 TAEPoL协议下的数据帧根据TAEPoLPDU中类型宇段的不同取值，构造出不同类嚣的数据帧。分别为以下:TAEP-PacketYt， TA

21、EPoL-Key帧、TAEPoL-Start帧、TAEPoL一Logoff帧等。其中TLA协议分组使用TAEP-Packet帧、TAEPoL-Key帧进行封装。6.3.4 TAEP分组TAEP分组用于在安全策略协商阶段、身份鉴别阶段及交换路径探寻阶段，完成请求者REQ与鉴别访问控制器AAC之间的TAEP分组传递。TAEP分组支持鉴别访问控制器和请求者之间、鉴别访问控制器和鉴别服务器之间的通信功能。TAEP分组的格式见图40。Code(8位比特)I Identifier (8位比特)TB_Length (16位比特)Data 因40TAEP分组格式示意图其中:一一向Code宇段:长度为1个八位位

22、组，表示TAEP分组的类型，该字段编码分配方式如下z1 Request 0000 0001 2 Response 0000 0010 3 Success 0000 0011 4 Failure 0000 0100 一一-Identifier字段:长度为1个八位位组，用于匹配Request和Response分组。一一TB_Length字段:长度为豆个八位位组，表示整个TAEP分组的八位位组数，即指包括Code、Identifier、Length和Data所有字段的长度总和。23 YDB 066一一2011一-Data字段:长度可变，分组包含0个或多个八位位组，其格式由Code宇段的值决定。6.3

23、.4.1 Request辛口Response当Code宇段取值Request和Response时的TAEP分组格式定义见图41。Code (8位比特Identifier (8位比特)TB一Length(16位比特Type (8位比特)Type-Data (可变)图41Request和Response类型的TAEP分组格式示意图其中:Type宇段长度为l个八位位组，它表示Request和Response分组的类型，TePA-AC中己定义部分类型，根据TLSec的应用需求，经申请增加如下表6的类型:表6新增Request和Reponse分组类型定义Type值定义描述243 Neighbor SW

24、Neighbor SW Negotiation类型用于邻居用户终端间协商选择一Negotiation 个共同的邻居交换设备，用于后期站间密钥的建立过程。见11.80 244 Neighbor information类型用于节点发现邻居节点过程。见第7Neighbor inforrnation 章。245 TAEP-CAAP TAEP一CAAP是一个局域网基于证书的鉴别协议。见9.1. 30 Policy Negotiation类型用于节点之间协商安全策略，当AAC需要将自己支持的安全策略信息告知REQ时，使用Policy246 Policy Negotiation Negotiation类型R

25、equest分组:当REQ收到AAC发迭的PolicyNegotiation类型Request分组后，使用PolicyNegotiation类型Response分组进行响应，告知AAC，自己所选择用于后续通信的安全策略信息。见第8章。SW Routing Seek类型用于节点探寻交换路径信息。当一个发送源节点需要发送数据包到一个目的节点时，需要根据它们之间的交换路径信息判断此次数据通信的类型，进而选择适用的保密通247 SW Routing Seek 信策略。节点之间的交换路径信息就需要使用SWRouting Seek 类型的Request分组来发起探寻分组，目的节点收到后，就是用SW Rou

26、ting Seek类型的Response分组进行响应发送源节点。见13. 1. 6.3.4.2 Fai lure军日Success当Code宇段取值Failure;r日Success时的TAEP分组格式定义见图420Fai1ure和Success分组不包含Data字段。Code(8位比特)I Identifier (8位比特)TB一Length(16位比特)囱42Fai lure和Success类型的TAEP分组格式示意图24 YDB 066-2011 6.3.5 TAEPoL-Key主变t居串由6.3.5.1 Key Descriptor格式在完成安全策略协商阶段、身份鉴别阶段后，在密钥协商

27、阶段时使用TAEPoL-Key虫在请求者REQ与鉴别访问控制器AAC之间传递消息。每一个TAEPoL-Key帧仅仅封装一个KeyDescriptor，用来描述密钥及其相关信息。KeyDescriptor 的格式见图430Key Descriptor Structure 图43Key Descriptor的格式示意图6.3.5.2 长度字段Key_Length长度字段为2个八位位组长，是一个整数，表示包含长度宇段在内的keyDescriptor中所有字段的八位位组数。6.3.5.3 标识字段Key_FLAG标识字段为2个八位位组长，表示密钥的性质，其格式见图44。BO BI-B3 B4 B5 B

28、6 B7-B8 B9-B15 KeyType Reserv巳d图44标识Key_FLAG字段的格式其中:应答标识ACK为1个比特，当鉴别访问控制器发送的TAEPoL帧要求被响应，则在帧中被置位，否则复位。请求者响应帧中的ACK位使用和鉴别访问控制器发送帧的一样:密钥类型KeyType为3个比特，用于表示AEPoL帧的密钥交换协议的类型，见表70表7Key了ype类型KeyType取值意义000 单擂密钥001 组擂密钥010 站间密钥011 交换基密钥100 交换密铝101一111保留一一请求标识Request为1个比特，当请求者要求鉴别访问控制器开始一个密钥交换协议时，在请求者发送的11庆中

29、被置位。若鉴别访问控制器应请求者的要求开始一个密钥交换协议，25 YDB 066-2011 鉴别访问控制器发送的l隙中该位也置位，表示是请求者要求开始密钥交换协议的:一一加密标识Encryption为1个比特，如果密钥数据KeyData宇段中的Key是密文，则该位置位，否则复位:一一检验标识MIC为1个比特，如果TAEPoL帧中包含MIC值，该位置位，否则复位。一一操作类型OperationType为2个比特，用于表示交互过程的类型，见表80表8OperationType类型OperationType取值意义00 建立过程01 更新过程10 删除过程11 保留6.3.5.4 重放计数器Repl

30、yCounter重放计数器ReplyCounter字段为8个八位位组i乏，是一个整数。当其共享密钥建立以后，重放计数器初始化为0。请求者在响应一个TAEPoL-Key帧时，使用收到的帧中的重放计数器值作为重放计数器值。它是一个序列，协议用它来检查重放攻击。请求者在收到有效的TAEPoL-Key帧后，递增收到帧中的重放计数器组作为自己的重放计数器值。鉴别访问控制器在收到有效的TAEPoL-Key帧后，递增收到帧中的重放计数器值作为自己的重放计数器值。有效的帧是指帧的MIC值校验正确。6.3.5.5 算法字段Key_EncryptionAlgorithms 算法瓦eyEncryption Algo

31、ri thms宇段长度是可变的，该字段是一个OID，采用DER编码。它表示MIC宇段使用的算法，该算法的选择需符合国家密码政策的规定。6.3.5.6 保留字段Reserved保留字段为八个八位位组。6.3.5.7 MIC字段消息完整性校验MIC字段为32个八位位组，采用HMAC-SHA256算法计算。它是TAEPoL-Key$的MIC值，包含帧的全部内容，在进仔MIC计算时MIC字段屏蔽为0。6.3.5.8 协议数据字段ProtocolData26 协议数据宇段是变长宇段，包含用于密钥交换协议的附加数据，其封装格式见图450|Key Des时pt图45协议数据的格式其中:一一KeyDescri

32、ptor类型字段为1个八位位组，其中OxOO保留;OxOl-0xFF，用于分配给不同的协议。根据TLSec的应用需求，经申请增加如下表9的类型:YDB 066-2011 表9新增KeyDescriptor类型定义Type值定义描述Ox10 TLA单播密钥协商协议见9.1.4TLA基于预共享密钥的鉴别Ox11 见9.2及单擂密钥管理协议Ox12 组插密钥通告见10Ox13 LA站间密钥建立见11Ox14 TLA交换基密钥建立见12.2 Ox15 TLA交换密钥协商见12.36.4 TLSec的TLP协议当请求者成功接入网络之后，通过受控端口传递网络资源和服务，此时使用TLP协议传送数据。TLP数

33、据帧的组成部分和相对位置见图460数据传输即F怪FCS保护范围g喝一一一一-_一数据加密保护范围|一-一一一;l 叶一-MSDU 一一一譬如! i IUserDatai 1巴 -.-.-n- .,.!_ .! 一-6 一一-6 一一-?y每一11or23 年一一一一一0 16一一-JI+一-4 一一ioct出ioC恤i叫s:octe臼ioct出imte臼i|DA I SA I |m I C I FCS I 片-MAC地址MPDU TLP帧格式匮46TLP帧的组成示意图TLP协议帧由以下字段组成:a) DA , DestinationaAddress，目标MAC地址宇段，长度为6个八位位组:b)

34、 SA , SourceAddress，源MAC地址宇段，长度为6个八位位组:c) SecTAG , SecurityTAG, TLP协议顿安全标记字段，长度为11个或者23个八位位组:d) SecureData，安全数据宇段，这部分处于SegTAG之后，MIC之前;TLP帧中SecureData的最小长度为48个八位位组，最大长度不做限制;SecureData字段的长度必须为整数个八位位组:e) MIC , Message Integrity Check，消息完整性校验码宇段，长度为16个八位位组。本技术报告中，采用SMS4算法在GCM模式下对TLP协议帧的DA、挝、SecTAG和Secur

35、eData宇段进行完整性计算，将计算后得到完整性校验值填入MIC字段:仅只有需要对用户数据进行完整性校验时TLP帧中MIC宇段才-有意义:否则MIC字段无意义，接收节点不需要对该字段进行校验:f) FCS , Frame Check Sequence, 1陆校验序列字段，长度为4个八位位组。6.4.1 SecTAG TLP协议帧安全标记SecTAG宇段，长度为11或者23个八位位组，其结构及组成部分相对位置见图47027 YDB 066一-2011忏-2一!2时14;一l一斗6一一叫ioctets octets octets octets |TL山rtypeI TCI I SL I PN Se

36、cTAG 图47SecTAG字段结构SecTAG由以下宇段组成:a) LP Ethertype, TLP以太类型值，长度为2个八位位组，用于TLP协议帧的以太类型标识，通过TLPEthertype识别SecTAGoTLP以太类型值的分配如表10所示。表10TLP Ethertype以太网类型分配名称值TLP Ethertype Ox892c TLP Ethertype宇段的值为Ox892c。b) TCI , TAG Control Information，标记控制信息，长度为2或者14个八位位组:c) SL，短长度宇段，长度为1个八位位组，仅低6比特有效，若SecureData字段的长度小于4

37、8，就用SL表示SecureData宇段的长度:否则，SL取值置为0;d) PN , PacketNumber，包序号字段，长度为6个八位位组，是一个单调递增且全局唯一的正整数，用来标识一个合法的数据帧序列号，且用于重放保护。每个请求者REQ将维护一个阳，其取值为一个整数，初始值为一个定值，使用规则见15.6节所述。6.4.2 TCI 28 标记控制信息元素TCI宇段，长度为2个或者14个八位位组，其结构及组成部分相对位置见图480bits 国48TCI字段结构TCI由以下字段组成:6 octets First Address 可选)6 octets Last Address (可选a) V,

38、 Version宇段，长度为2个比特位，表示TLP协议1晓的版本号，在TLP协议1庆的后续版本中，随着V字段的值的改变，TLP协议1挠的组成及格式将会发生变化。本技术报告中V字段的值为00; b) E, Encryption宇段，长度为1个比特位，表示对用户数据是否进行加密，E宇段默认值为1，表示用户数据为密文:否则用户数据使用明文传输:c) 1, integral i ty宇段，长度为1个比特位，标识对用户数据是否进行完整性计算，1字段默认值为1，表示需要进行完整性校验;d) EP , Encrypt Policy字段，长度为2个比特位，标识对用户数据进行加密的策略;00表示三段式保密迫信;

39、01表示使用站间密钥进行端到端保密通信策略;10表示逐跳加密;11保留:e) EO , Encryption Offset字段，长度为2个比特位，表示加密起始偏移量，00表示偏移量为0;01表示偏移量为30;10表示偏移量为50;11表示128;主盔YDB 066-2011 f) MO , Encryption Offset宇段，民度为2个比特位，表示完整性校验SecureData部分起始偏移量，00表示偏移量为0:01表示偏移量为30:10表示偏移量为50:11表示128:g) Key Index，密钥标识，长度为2个比特位，表示USKID/MSKID/STAKeyID/SWKeyID:h)

40、 Reserved，保留宇段，长度为4个比特位。屏蔽值为全0。i) First Address宇段，长度为6个八位位组:该字段为可选宇段，仅EP字最为00时，TCI中包含FirstAddress字段，该字段值为交换路径中从发送源节点到目的节点经过的第一个加密交换设备的MAC地址:j) Last Address字段，长度为6个八位位组:该字段为可选字段，仅EP宇段为00时，TCI中包含LastAddress字段，该字段值为交换路径中从发送源节点到目的节点经过的最后一个加密交换设备的MAC地址:注1:EO、MO两个偏移量都是针对SecureData的，完整性校验始终包含DA、SA、SecTAG;注2:EO