本發(fā)明涉及一種鏈路層通信加密方法及系統(tǒng),屬于數(shù)據(jù)加密。
背景技術(shù):
1、網(wǎng)絡(luò)通信加密方法是數(shù)據(jù)在網(wǎng)絡(luò)傳輸過程中對數(shù)據(jù)進行加密的機制,主要在通信的兩個節(jié)點之間進行加密和解密,確保數(shù)據(jù)在傳輸過程中的安全性。而tcp/ip網(wǎng)絡(luò)模型描述了網(wǎng)絡(luò)中數(shù)據(jù)傳輸?shù)膶哟谓Y(jié)構(gòu),當數(shù)據(jù)從發(fā)送方傳輸?shù)浇邮辗綍r,會經(jīng)歷多個層次的封裝和解封裝過程,因此針對tcp/ip網(wǎng)絡(luò)模型,人們提出了不少通信加密方法,主流的包括ssl協(xié)議和ipsec協(xié)議,針對應(yīng)用層、傳輸層和網(wǎng)絡(luò)層實現(xiàn)了終端與業(yè)務(wù)系統(tǒng)以及子網(wǎng)與子網(wǎng)間通信加密及安全防護,已經(jīng)在各行業(yè)得到了全面和廣泛的應(yīng)用。但是,隨著業(yè)務(wù)場景的延伸和安全需求的提升,亟需突破市面上傳統(tǒng)通信加密機制,實現(xiàn)一種基于鏈路層的通信加密方法,實現(xiàn)上層協(xié)議透明加密,支持多種網(wǎng)絡(luò)環(huán)境,兼容已有網(wǎng)絡(luò)設(shè)備及拓撲,進一步提升業(yè)務(wù)數(shù)據(jù)在網(wǎng)絡(luò)傳輸過程中的安全防護水平。
2、現(xiàn)有網(wǎng)絡(luò)通信加密構(gòu)建過程涉及終端、安全網(wǎng)關(guān)和業(yè)務(wù)系統(tǒng)三類實體,通道構(gòu)建過程如圖2所示,
3、以sslvpn為例,具體通信加密流程為:①終端的sslvpn模塊與sslvpn網(wǎng)關(guān)進行身份認證、密碼套件及會話密鑰協(xié)商,認證成功后,sslvpn網(wǎng)關(guān)下發(fā)虛擬地址及業(yè)務(wù)系統(tǒng)路由配置;②終端sslvpn模塊為終端添加虛擬網(wǎng)卡并修改目標ip為業(yè)務(wù)系統(tǒng)的下一跳網(wǎng)關(guān)為虛擬地址,方便sslvpn模塊從虛擬網(wǎng)卡讀取數(shù)據(jù)實現(xiàn)加密;③當數(shù)據(jù)上行時,業(yè)務(wù)app將目標ip為業(yè)務(wù)系統(tǒng)的數(shù)據(jù)發(fā)送給操作系統(tǒng),操作系統(tǒng)根據(jù)路由將數(shù)據(jù)發(fā)送至虛擬網(wǎng)卡;④sslvpn模塊輪詢虛擬網(wǎng)卡獲取業(yè)務(wù)明文數(shù)據(jù),并將原始網(wǎng)絡(luò)層數(shù)據(jù)進行加密并添加新的ip頭部發(fā)送至操作系統(tǒng),由操作系統(tǒng)根據(jù)路由發(fā)送至物理網(wǎng)卡,其中新的目的ip為sslvpn網(wǎng)關(guān)地址;⑤sslvpn網(wǎng)關(guān)接收到數(shù)據(jù)進行解密獲取到原始ip數(shù)據(jù),根據(jù)原始目的ip地址發(fā)送至指定的業(yè)務(wù)系統(tǒng)。
4、現(xiàn)有的通信加密技術(shù)和方法在一定程序上提升了終端及業(yè)務(wù)通信的安全性,但是存在以下不足:
5、(1)都只能實現(xiàn)網(wǎng)絡(luò)層數(shù)據(jù)安全防護,即業(yè)務(wù)通信過程中的ip報文頭仍然對外可見,無法完全隱藏內(nèi)網(wǎng)業(yè)務(wù)系統(tǒng)網(wǎng)絡(luò)信息,存在被嗅探后進行攻擊的風險;另外vpn網(wǎng)關(guān)作為一種網(wǎng)絡(luò)邊界安全防護設(shè)備,其自身網(wǎng)絡(luò)信息暴露后也極易成為網(wǎng)絡(luò)攻擊的目標;
6、(2)對業(yè)務(wù)系統(tǒng)、業(yè)務(wù)終端及網(wǎng)絡(luò)拓撲改動較大,例如sslvpn為實現(xiàn)網(wǎng)絡(luò)層安全防護,需要在終端上安裝客戶端,并且通信過程中會修改終端的網(wǎng)絡(luò)配置;ipsecvpn需要子網(wǎng)內(nèi)的設(shè)備重新修改路由網(wǎng)關(guān)配置實現(xiàn)數(shù)據(jù)轉(zhuǎn)發(fā),對用戶網(wǎng)絡(luò)配置能力較高。
技術(shù)實現(xiàn)思路
1、本發(fā)明所要解決的技術(shù)問題是提供一種鏈路層通信加密方法,以鏈路層加密進行設(shè)計,確保了內(nèi)網(wǎng)網(wǎng)絡(luò)信息隱藏,實現(xiàn)內(nèi)網(wǎng)業(yè)務(wù)系統(tǒng)及設(shè)備不受攻擊。
2、本發(fā)明為了解決上述技術(shù)問題采用以下技術(shù)方案:本發(fā)明設(shè)計了一種鏈路層通信加密方法,基于業(yè)務(wù)終端依次經(jīng)終端側(cè)鏈路加密網(wǎng)關(guān)、業(yè)務(wù)側(cè)鏈路加密網(wǎng)關(guān)、至業(yè)務(wù)系統(tǒng)所創(chuàng)建的數(shù)據(jù)鏈路,針對業(yè)務(wù)終端上傳至終端側(cè)鏈路加密網(wǎng)關(guān)的數(shù)據(jù)幀,執(zhí)行如下步驟:
3、步驟a.?終端側(cè)鏈路加密網(wǎng)關(guān)接收來自業(yè)務(wù)終端的數(shù)據(jù)幀,執(zhí)行關(guān)于數(shù)據(jù)幀所對應(yīng)業(yè)務(wù)終端的設(shè)備認證,以及聯(lián)系業(yè)務(wù)側(cè)鏈路加密網(wǎng)關(guān),執(zhí)行數(shù)據(jù)幀所對應(yīng)業(yè)務(wù)終端的身份認證,并在設(shè)備認證與身份認證當前均通過的狀態(tài)下,進入步驟b;
4、步驟b.?終端側(cè)鏈路加密網(wǎng)關(guān)調(diào)用其對應(yīng)最近一次身份認證成功狀態(tài)下的會話密鑰,針對數(shù)據(jù)幀進行加密、封裝,發(fā)送至業(yè)務(wù)側(cè)鏈路加密網(wǎng)關(guān),由業(yè)務(wù)側(cè)鏈路加密網(wǎng)關(guān)調(diào)用其對應(yīng)最近一次身份認證成功狀態(tài)下的會話密鑰進行解析、解密,并轉(zhuǎn)發(fā)相應(yīng)業(yè)務(wù)系統(tǒng)進行查詢,獲得反饋結(jié)果數(shù)據(jù)幀,并轉(zhuǎn)發(fā)業(yè)務(wù)側(cè)鏈路加密網(wǎng)關(guān),然后進入步驟c;
5、步驟c.?由業(yè)務(wù)側(cè)鏈路加密網(wǎng)關(guān)調(diào)用其對應(yīng)最近一次身份認證成功狀態(tài)下的會話密鑰,針對所接收反饋結(jié)果數(shù)據(jù)幀進行加密、封裝,發(fā)送至終端側(cè)鏈路加密網(wǎng)關(guān),由終端側(cè)鏈路加密網(wǎng)關(guān)調(diào)用其對應(yīng)最近一次身份認證成功狀態(tài)下的會話密鑰進行解析、解密,并轉(zhuǎn)發(fā)業(yè)務(wù)終端。
6、作為本發(fā)明的一種優(yōu)選技術(shù)方案:所述步驟a中,終端側(cè)鏈路加密網(wǎng)關(guān)依據(jù)預設(shè)各合法mac,執(zhí)行設(shè)備認證判斷其所接收數(shù)據(jù)幀對應(yīng)的源mac是否合法,是則設(shè)備認證當前通過,聯(lián)系終端側(cè)鏈路加密網(wǎng)關(guān),執(zhí)行數(shù)據(jù)幀所對應(yīng)業(yè)務(wù)終端的身份認證;否則設(shè)備認證當前不通過,丟棄數(shù)據(jù)幀。
7、作為本發(fā)明的一種優(yōu)選技術(shù)方案:所述步驟a中,基于設(shè)備認證當前通過,終端側(cè)鏈路加密網(wǎng)關(guān)判斷若數(shù)據(jù)幀所對應(yīng)業(yè)務(wù)終端成功過身份認證,則進一步判斷當前時間是否位于業(yè)務(wù)終端最近一次身份認證成功時刻起的預設(shè)認證有效期內(nèi),是則身份認證當前通過,并進入步驟b;否則身份認證當前不通過,聯(lián)系業(yè)務(wù)側(cè)鏈路加密網(wǎng)關(guān),執(zhí)行數(shù)據(jù)幀所對應(yīng)業(yè)務(wù)終端的身份認證,身份認證成功,即身份認證當前通過,則進入步驟b,身份認證失敗,則丟棄數(shù)據(jù)幀;終端側(cè)鏈路加密網(wǎng)關(guān)判斷若數(shù)據(jù)幀所對應(yīng)業(yè)務(wù)終端未成功過身份認證,則身份認證當前不通過,聯(lián)系業(yè)務(wù)側(cè)鏈路加密網(wǎng)關(guān),執(zhí)行數(shù)據(jù)幀所對應(yīng)業(yè)務(wù)終端的身份認證,身份認證成功,即身份認證當前通過,則進入步驟b,身份認證失敗,則丟棄數(shù)據(jù)幀。
8、作為本發(fā)明的一種優(yōu)選技術(shù)方案:所述步驟a中,終端側(cè)鏈路加密網(wǎng)關(guān)按如下步驟,聯(lián)系業(yè)務(wù)側(cè)鏈路加密網(wǎng)關(guān),執(zhí)行數(shù)據(jù)幀所對應(yīng)業(yè)務(wù)終端的身份認證;
9、步驟a1.?終端側(cè)鏈路加密網(wǎng)關(guān)根據(jù)其、以及其對應(yīng)的根密鑰,結(jié)合當前時間戳、以及數(shù)據(jù)幀中業(yè)務(wù)終端的、,應(yīng)用標準國密sm1的ecb密鑰派生函數(shù),按如下公式:
10、
11、獲得業(yè)務(wù)終端對應(yīng)終端側(cè)鏈路加密網(wǎng)關(guān)的基礎(chǔ)會話密鑰,然后進入步驟a2;
12、步驟a2.?終端側(cè)鏈路加密網(wǎng)關(guān)生成預設(shè)字節(jié)隨機數(shù),并結(jié)合基礎(chǔ)會話密鑰,分別應(yīng)用標準國密sm1的密鑰派生函數(shù)、以及標準國密sm3的hmac函數(shù),按如下公式:
13、
14、
15、獲得終端側(cè)鏈路加密網(wǎng)關(guān)對應(yīng)的認證素材、以及會話密鑰素材認證碼,然后進入步驟a3;
16、步驟a3.?終端側(cè)鏈路加密網(wǎng)關(guān)根據(jù)其、基礎(chǔ)會話密鑰、隨機數(shù)、以及數(shù)據(jù)幀中業(yè)務(wù)終端的,應(yīng)用標準國密sm1的ecb密鑰派生函數(shù),按如下公式:
17、
18、獲得終端側(cè)鏈路加密網(wǎng)關(guān)的會話密鑰,然后進入步驟a4;
19、步驟a4.?終端側(cè)鏈路加密網(wǎng)關(guān)以其、終端側(cè)鏈路加密網(wǎng)關(guān)對應(yīng)的認證素材、會話密鑰素材認證碼,以及數(shù)據(jù)幀中業(yè)務(wù)終端的,構(gòu)建身份認證請求數(shù)據(jù),并添加以業(yè)務(wù)終端的為源ip、業(yè)務(wù)終端的為源mac、業(yè)務(wù)側(cè)鏈路加密網(wǎng)關(guān)所提供虛擬ip地址為目的ip、業(yè)務(wù)系統(tǒng)的mac為目的mac,更新報文頭,構(gòu)建身份認證請求報文,沿終端側(cè)鏈路加密網(wǎng)關(guān)與業(yè)務(wù)側(cè)鏈路加密網(wǎng)關(guān)之間的數(shù)據(jù)鏈路,發(fā)送至業(yè)務(wù)側(cè)鏈路加密網(wǎng)關(guān),然后進入步驟a5;
20、步驟a5.?業(yè)務(wù)側(cè)鏈路加密網(wǎng)關(guān)接收身份認證請求報文進行解析,獲得終端側(cè)鏈路加密網(wǎng)關(guān)的、業(yè)務(wù)終端的、,并結(jié)合當前時間戳,應(yīng)用標準國密sm1的ecb密鑰派生函數(shù),按如下公式:
21、
22、獲得業(yè)務(wù)終端對應(yīng)業(yè)務(wù)側(cè)鏈路加密網(wǎng)關(guān)的基礎(chǔ)會話密鑰,其中,表示業(yè)務(wù)側(cè)鏈路加密網(wǎng)關(guān)所獲知終端側(cè)鏈路加密網(wǎng)關(guān)對應(yīng)的根密鑰,并應(yīng)用基礎(chǔ)會話密鑰對認證素材進行解密,獲得隨機數(shù)、終端側(cè)鏈路加密網(wǎng)關(guān)時間戳、終端側(cè)鏈路加密網(wǎng)關(guān)、業(yè)務(wù)終端、業(yè)務(wù)終端,判斷當前時間戳是否位于自起的預設(shè)認證過程有效期內(nèi),是則進入步驟a6;否則身份認證不成功,丟棄數(shù)據(jù)幀;
23、步驟a6.?業(yè)務(wù)側(cè)鏈路加密網(wǎng)關(guān)針對基礎(chǔ)會話密鑰、隨機數(shù)、當前時間戳、終端側(cè)鏈路加密網(wǎng)關(guān)、業(yè)務(wù)終端、業(yè)務(wù)終端,應(yīng)用標準國密sm3的hmac函數(shù),按如下公式:
24、
25、獲得業(yè)務(wù)側(cè)鏈路加密網(wǎng)關(guān)對應(yīng)的會話密鑰素材認證碼,并判斷與是否一致,是則業(yè)務(wù)側(cè)鏈路加密網(wǎng)關(guān)應(yīng)用標準國密sm1的ecb密鑰派生函數(shù),按如下公式:
26、
27、獲得業(yè)務(wù)側(cè)鏈路加密網(wǎng)關(guān)的會話密鑰,然后進入步驟a7;否則即身份認證失敗;
28、步驟a7.?業(yè)務(wù)側(cè)鏈路加密網(wǎng)關(guān)應(yīng)用會話密鑰,針對身份認證成功消息、以及身份認證成功時刻進行加密,構(gòu)建身份認證成功數(shù)據(jù),并添加以業(yè)務(wù)側(cè)網(wǎng)關(guān)虛擬ip為源ip、業(yè)務(wù)系統(tǒng)的mac為源mac、業(yè)務(wù)終端的為目的ip、業(yè)務(wù)終端的為源為目的mac,更新報文頭,構(gòu)建身份認證成功報文,沿業(yè)務(wù)側(cè)鏈路加密網(wǎng)關(guān)與終端側(cè)鏈路加密網(wǎng)關(guān)之間的數(shù)據(jù)鏈路,發(fā)送至終端側(cè)鏈路加密網(wǎng)關(guān),然后進入步驟a8;
29、步驟a8.?終端側(cè)鏈路加密網(wǎng)關(guān)應(yīng)用會話密鑰,針對身份認證成功報文進行解密,獲得身份認證成功消息、以及身份認證成功時刻,即身份認證成功。
30、作為本發(fā)明的一種優(yōu)選技術(shù)方案:所述步驟b中,業(yè)務(wù)側(cè)鏈路加密網(wǎng)關(guān)針對來自終端側(cè)鏈路加密網(wǎng)關(guān)的加密報文解析,依據(jù)預設(shè)各合法mac,執(zhí)行設(shè)備認證判斷其中源mac是否合法,若源mac合法,則進一步判斷其所對應(yīng)業(yè)務(wù)終端的身份認證當前是否成功過身份認證,是則業(yè)務(wù)側(cè)鏈路加密網(wǎng)關(guān)進一步調(diào)用其對應(yīng)最近一次身份認證成功狀態(tài)下的會話密鑰進行解密;否則丟棄加密報文;若源mac不合法,則丟棄加密報文。
31、作為本發(fā)明的一種優(yōu)選技術(shù)方案:所述步驟b中,終端側(cè)鏈路加密網(wǎng)關(guān)首先調(diào)用其對應(yīng)最近一次身份認證成功狀態(tài)下的會話密鑰,針對數(shù)據(jù)幀中的ip頭部、目標網(wǎng)絡(luò)傳輸協(xié)議頭部、以及應(yīng)用數(shù)據(jù)進行加密,構(gòu)成加密應(yīng)用數(shù)據(jù);然后基于以太網(wǎng)首部,添加以業(yè)務(wù)終端的為源ip、業(yè)務(wù)終端的為源mac、業(yè)務(wù)側(cè)鏈路加密網(wǎng)關(guān)所提供虛擬ip地址為目的ip、業(yè)務(wù)系統(tǒng)的mac為目的mac,構(gòu)成報文頭;最后生成關(guān)于報文頭與加密應(yīng)用數(shù)據(jù)的校驗碼,封裝報文頭、加密應(yīng)用數(shù)據(jù)、以及校驗碼,構(gòu)成加密報文,發(fā)送至業(yè)務(wù)側(cè)鏈路加密網(wǎng)關(guān);業(yè)務(wù)側(cè)鏈路加密網(wǎng)關(guān)針對所接收加密報文進行解析,獲得其中加密應(yīng)用數(shù)據(jù),再調(diào)用其對應(yīng)最近一次身份認證成功狀態(tài)下的會話密鑰針對加密應(yīng)用數(shù)據(jù)進行解密,獲得其中數(shù)據(jù)幀,并封裝轉(zhuǎn)發(fā)相應(yīng)業(yè)務(wù)系統(tǒng)進行查詢;
32、所述步驟c中,由業(yè)務(wù)側(cè)鏈路加密網(wǎng)關(guān)調(diào)用其對應(yīng)最近一次身份認證成功狀態(tài)下的會話密鑰,針對所接收反饋結(jié)果數(shù)據(jù)幀進行加密,構(gòu)成加密反饋數(shù)據(jù);然后基于以太網(wǎng)首部,添加以業(yè)務(wù)側(cè)網(wǎng)關(guān)虛擬ip為源ip、業(yè)務(wù)系統(tǒng)的mac為源mac、業(yè)務(wù)終端的為目的ip、業(yè)務(wù)終端的為源為目的mac,構(gòu)成報文頭;最后生成關(guān)于報文頭與加密反饋數(shù)據(jù)的校驗碼,封裝報文頭、加密反饋數(shù)據(jù)、以及校驗碼,構(gòu)成加密反饋報文,發(fā)送至終端側(cè)鏈路加密網(wǎng)關(guān),由終端側(cè)鏈路加密網(wǎng)關(guān)針對所接收加密反饋報文進行解析,獲得其中加密反饋數(shù)據(jù),再調(diào)用其對應(yīng)最近一次身份認證成功狀態(tài)下的會話密鑰針對加密反饋數(shù)據(jù)進行解密,獲得其中反饋結(jié)果數(shù)據(jù)幀,并封裝轉(zhuǎn)發(fā)業(yè)務(wù)終端。
33、與上述相對應(yīng),本發(fā)明還要解決的技術(shù)問題是提供一種鏈路層通信加密方法的系統(tǒng),模塊化設(shè)計鏈路層加密下的網(wǎng)關(guān),高效實現(xiàn)設(shè)計方法,保證數(shù)據(jù)的安全性與效率。
34、本發(fā)明為了解決上述技術(shù)問題采用以下技術(shù)方案:本發(fā)明設(shè)計了一種鏈路層通信加密方法的系統(tǒng),基于業(yè)務(wù)終端依次經(jīng)終端側(cè)鏈路加密網(wǎng)關(guān)、業(yè)務(wù)側(cè)鏈路加密網(wǎng)關(guān)、至業(yè)務(wù)系統(tǒng)所創(chuàng)建的數(shù)據(jù)鏈路,終端側(cè)鏈路加密網(wǎng)關(guān)的結(jié)構(gòu)與業(yè)務(wù)側(cè)鏈路加密網(wǎng)關(guān)的結(jié)構(gòu)相同,終端側(cè)鏈路加密網(wǎng)關(guān)與業(yè)務(wù)側(cè)鏈路加密網(wǎng)關(guān)分別均包括數(shù)據(jù)捕獲模塊、數(shù)據(jù)解析模塊、設(shè)備認證模塊、身份認證模塊、數(shù)據(jù)加解密模塊、設(shè)備認證庫、硬件密碼模塊、數(shù)據(jù)發(fā)送模塊;
35、終端側(cè)鏈路加密網(wǎng)關(guān)中,數(shù)據(jù)捕獲模塊用于輪詢網(wǎng)卡接收緩沖隊列上的數(shù)據(jù)幀、加密反饋報文;數(shù)據(jù)解析模塊用于針對數(shù)據(jù)捕獲模塊所接收數(shù)據(jù)幀、加密反饋報文進行解析;設(shè)備認證庫由預設(shè)各合法mac所構(gòu)成,設(shè)備認證模塊用于依據(jù)設(shè)備認證庫中的預設(shè)各合法mac,針對來自業(yè)務(wù)終端的數(shù)據(jù)幀進行源mac進行認證;身份認證模塊用于依據(jù)硬件密碼模塊,通過數(shù)據(jù)發(fā)送模塊與數(shù)據(jù)捕獲模塊,聯(lián)系業(yè)務(wù)側(cè)鏈路加密網(wǎng)關(guān)中身份認證模塊,對業(yè)務(wù)終端實現(xiàn)身份認證;數(shù)據(jù)加解密模塊用于依據(jù)硬件密碼模塊,針對數(shù)據(jù)幀進行加密、以及針對加密反饋報文進行解密;數(shù)據(jù)發(fā)送模塊用于對加密報文、反饋結(jié)果數(shù)據(jù)幀進行發(fā)送;
36、業(yè)務(wù)側(cè)鏈路加密網(wǎng)關(guān)中,數(shù)據(jù)捕獲模塊用于輪詢網(wǎng)卡接收緩沖隊列上的反饋結(jié)果數(shù)據(jù)幀、加密報文;數(shù)據(jù)解析模塊用于針對數(shù)據(jù)捕獲模塊所接收反饋結(jié)果數(shù)據(jù)幀、加密報文進行解析;設(shè)備認證庫由預設(shè)各合法mac所構(gòu)成,設(shè)備認證模塊用于依據(jù)設(shè)備認證庫中的預設(shè)各合法mac,針對來自終端側(cè)鏈路加密網(wǎng)關(guān)的加密報文進行源mac進行認證;身份認證模塊用于依據(jù)硬件密碼模塊,判斷業(yè)務(wù)終端的身份認證當前是否成功過身份認證;數(shù)據(jù)加解密模塊用于依據(jù)硬件密碼模塊,針對反饋結(jié)果數(shù)據(jù)幀進行加密、以及針對加密報文進行解密;數(shù)據(jù)發(fā)送模塊用于對加密反饋報文、數(shù)據(jù)幀進行發(fā)送。
37、本發(fā)明所述一種鏈路層通信加密方法及系統(tǒng),采用以上技術(shù)方案與現(xiàn)有技術(shù)相比,具有以下技術(shù)效果:
38、本發(fā)明所設(shè)計一種鏈路層通信加密方法及系統(tǒng),針對業(yè)務(wù)終端與業(yè)務(wù)系統(tǒng)之間,以終端側(cè)鏈路加密網(wǎng)關(guān)與業(yè)務(wù)側(cè)鏈路加密網(wǎng)關(guān)進行設(shè)計,基于設(shè)備認證的基礎(chǔ)上,將身份認證與會話密鑰協(xié)商與一體進行設(shè)計應(yīng)用,實現(xiàn)安全認證的同時,獲得終端側(cè)鏈路加密網(wǎng)關(guān)與業(yè)務(wù)側(cè)鏈路加密網(wǎng)關(guān)之間應(yīng)用下會話密鑰,即實現(xiàn)輕量級安全認證機制,為接入的每個業(yè)務(wù)終端生成一個動態(tài)的會話密鑰,增強了數(shù)據(jù)通信及傳輸?shù)陌踩?,設(shè)計方案在鏈路層針對業(yè)務(wù)終端通信數(shù)據(jù)進行加密,確保內(nèi)網(wǎng)網(wǎng)絡(luò)信息隱藏,實現(xiàn)內(nèi)網(wǎng)業(yè)務(wù)系統(tǒng)及設(shè)備不受攻擊;并且網(wǎng)關(guān)本身不配置實際ip和mac,保證惡意用戶無法對其進行定向攻擊。