技術(shù)特征：

1.一種鏈路層通信加密方法，其特征在于，基于業(yè)務(wù)終端依次經(jīng)終端側(cè)鏈路加密網(wǎng)關(guān)、業(yè)務(wù)側(cè)鏈路加密網(wǎng)關(guān)、至業(yè)務(wù)系統(tǒng)所創(chuàng)建的數(shù)據(jù)鏈路，針對業(yè)務(wù)終端上傳至終端側(cè)鏈路加密網(wǎng)關(guān)的數(shù)據(jù)幀，執(zhí)行如下步驟：

2.根據(jù)權(quán)利要求1所述一種鏈路層通信加密方法，其特征在于：所述步驟a中，終端側(cè)鏈路加密網(wǎng)關(guān)依據(jù)預(yù)設(shè)各合法mac，執(zhí)行設(shè)備認(rèn)證判斷其所接收數(shù)據(jù)幀對應(yīng)的源mac是否合法，是則設(shè)備認(rèn)證當(dāng)前通過，聯(lián)系終端側(cè)鏈路加密網(wǎng)關(guān)，執(zhí)行數(shù)據(jù)幀所對應(yīng)業(yè)務(wù)終端的身份認(rèn)證；否則設(shè)備認(rèn)證當(dāng)前不通過，丟棄數(shù)據(jù)幀。

3.根據(jù)權(quán)利要求1或2所述一種鏈路層通信加密方法，其特征在于：所述步驟a中，基于設(shè)備認(rèn)證當(dāng)前通過，終端側(cè)鏈路加密網(wǎng)關(guān)判斷若數(shù)據(jù)幀所對應(yīng)業(yè)務(wù)終端成功過身份認(rèn)證，則進(jìn)一步判斷當(dāng)前時間是否位于業(yè)務(wù)終端最近一次身份認(rèn)證成功時刻起的預(yù)設(shè)認(rèn)證有效期內(nèi)，是則身份認(rèn)證當(dāng)前通過，并進(jìn)入步驟b；否則身份認(rèn)證當(dāng)前不通過，聯(lián)系業(yè)務(wù)側(cè)鏈路加密網(wǎng)關(guān)，執(zhí)行數(shù)據(jù)幀所對應(yīng)業(yè)務(wù)終端的身份認(rèn)證，身份認(rèn)證成功，即身份認(rèn)證當(dāng)前通過，則進(jìn)入步驟b，身份認(rèn)證失敗，則丟棄數(shù)據(jù)幀；終端側(cè)鏈路加密網(wǎng)關(guān)判斷若數(shù)據(jù)幀所對應(yīng)業(yè)務(wù)終端未成功過身份認(rèn)證，則身份認(rèn)證當(dāng)前不通過，聯(lián)系業(yè)務(wù)側(cè)鏈路加密網(wǎng)關(guān)，執(zhí)行數(shù)據(jù)幀所對應(yīng)業(yè)務(wù)終端的身份認(rèn)證，身份認(rèn)證成功，即身份認(rèn)證當(dāng)前通過，則進(jìn)入步驟b，身份認(rèn)證失敗，則丟棄數(shù)據(jù)幀。

4.根據(jù)權(quán)利要求3所述一種鏈路層通信加密方法，其特征在于：所述步驟a中，終端側(cè)鏈路加密網(wǎng)關(guān)按如下步驟，聯(lián)系業(yè)務(wù)側(cè)鏈路加密網(wǎng)關(guān)，執(zhí)行數(shù)據(jù)幀所對應(yīng)業(yè)務(wù)終端的身份認(rèn)證；

5.根據(jù)權(quán)利要求1所述一種鏈路層通信加密方法，其特征在于：所述步驟b中，業(yè)務(wù)側(cè)鏈路加密網(wǎng)關(guān)針對來自終端側(cè)鏈路加密網(wǎng)關(guān)的加密報文解析，依據(jù)預(yù)設(shè)各合法mac，執(zhí)行設(shè)備認(rèn)證判斷其中源mac是否合法，若源mac合法，則進(jìn)一步判斷其所對應(yīng)業(yè)務(wù)終端的身份認(rèn)證當(dāng)前是否成功過身份認(rèn)證，是則業(yè)務(wù)側(cè)鏈路加密網(wǎng)關(guān)進(jìn)一步調(diào)用其對應(yīng)最近一次身份認(rèn)證成功狀態(tài)下的會話密鑰進(jìn)行解密；否則丟棄加密報文；若源mac不合法，則丟棄加密報文。

6.根據(jù)權(quán)利要求1所述一種鏈路層通信加密方法，其特征在于：所述步驟b中，終端側(cè)鏈路加密網(wǎng)關(guān)首先調(diào)用其對應(yīng)最近一次身份認(rèn)證成功狀態(tài)下的會話密鑰，針對數(shù)據(jù)幀中的ip頭部、目標(biāo)網(wǎng)絡(luò)傳輸協(xié)議頭部、以及應(yīng)用數(shù)據(jù)進(jìn)行加密，構(gòu)成加密應(yīng)用數(shù)據(jù)；然后基于以太網(wǎng)首部，添加以業(yè)務(wù)終端的為源ip、業(yè)務(wù)終端的為源mac、業(yè)務(wù)側(cè)鏈路加密網(wǎng)關(guān)所提供虛擬ip地址為目的ip、業(yè)務(wù)系統(tǒng)的mac為目的mac，構(gòu)成報文頭；最后生成關(guān)于報文頭與加密應(yīng)用數(shù)據(jù)的校驗碼，封裝報文頭、加密應(yīng)用數(shù)據(jù)、以及校驗碼，構(gòu)成加密報文，發(fā)送至業(yè)務(wù)側(cè)鏈路加密網(wǎng)關(guān)；業(yè)務(wù)側(cè)鏈路加密網(wǎng)關(guān)針對所接收加密報文進(jìn)行解析，獲得其中加密應(yīng)用數(shù)據(jù)，再調(diào)用其對應(yīng)最近一次身份認(rèn)證成功狀態(tài)下的會話密鑰針對加密應(yīng)用數(shù)據(jù)進(jìn)行解密，獲得其中數(shù)據(jù)幀，并封裝轉(zhuǎn)發(fā)相應(yīng)業(yè)務(wù)系統(tǒng)進(jìn)行查詢；

7.實現(xiàn)權(quán)利要求6所述一種鏈路層通信加密方法的系統(tǒng)，其特征在于：基于業(yè)務(wù)終端依次經(jīng)終端側(cè)鏈路加密網(wǎng)關(guān)、業(yè)務(wù)側(cè)鏈路加密網(wǎng)關(guān)、至業(yè)務(wù)系統(tǒng)所創(chuàng)建的數(shù)據(jù)鏈路，終端側(cè)鏈路加密網(wǎng)關(guān)的結(jié)構(gòu)與業(yè)務(wù)側(cè)鏈路加密網(wǎng)關(guān)的結(jié)構(gòu)相同，終端側(cè)鏈路加密網(wǎng)關(guān)與業(yè)務(wù)側(cè)鏈路加密網(wǎng)關(guān)分別均包括數(shù)據(jù)捕獲模塊、數(shù)據(jù)解析模塊、設(shè)備認(rèn)證模塊、身份認(rèn)證模塊、數(shù)據(jù)加解密模塊、設(shè)備認(rèn)證庫、硬件密碼模塊、數(shù)據(jù)發(fā)送模塊；

技術(shù)總結(jié)
本發(fā)明涉及一種鏈路層通信加密方法及系統(tǒng)，針對業(yè)務(wù)終端與業(yè)務(wù)系統(tǒng)之間，以終端側(cè)鏈路加密網(wǎng)關(guān)與業(yè)務(wù)側(cè)鏈路加密網(wǎng)關(guān)進(jìn)行設(shè)計，基于設(shè)備認(rèn)證的基礎(chǔ)上，將身份認(rèn)證與會話密鑰協(xié)商與一體進(jìn)行設(shè)計應(yīng)用，實現(xiàn)安全認(rèn)證的同時，獲得終端側(cè)鏈路加密網(wǎng)關(guān)與業(yè)務(wù)側(cè)鏈路加密網(wǎng)關(guān)之間應(yīng)用下會話密鑰，即實現(xiàn)輕量級安全認(rèn)證機(jī)制，為接入的每個業(yè)務(wù)終端生成一個動態(tài)的會話密鑰，增強(qiáng)了數(shù)據(jù)通信及傳輸?shù)陌踩?，設(shè)計方案在鏈路層針對業(yè)務(wù)終端通信數(shù)據(jù)進(jìn)行加密，確保內(nèi)網(wǎng)網(wǎng)絡(luò)信息隱藏，實現(xiàn)內(nèi)網(wǎng)業(yè)務(wù)系統(tǒng)及設(shè)備不受攻擊；并且網(wǎng)關(guān)本身不配置實際IP和MAC，保證惡意用戶無法對其進(jìn)行定向攻擊。

技術(shù)研發(fā)人員：程瑞,陳飛,楊籍,何霄
受保護(hù)的技術(shù)使用者：信聯(lián)科技（南京）有限公司
技術(shù)研發(fā)日：
技術(shù)公布日：2024/12/19