本發(fā)明涉及一種鏈路層通信加密方法及系統(tǒng)，屬于數(shù)據(jù)加密。

背景技術(shù)：

1、網(wǎng)絡(luò)通信加密方法是數(shù)據(jù)在網(wǎng)絡(luò)傳輸過(guò)程中對(duì)數(shù)據(jù)進(jìn)行加密的機(jī)制，主要在通信的兩個(gè)節(jié)點(diǎn)之間進(jìn)行加密和解密，確保數(shù)據(jù)在傳輸過(guò)程中的安全性。而tcp/ip網(wǎng)絡(luò)模型描述了網(wǎng)絡(luò)中數(shù)據(jù)傳輸?shù)膶哟谓Y(jié)構(gòu)，當(dāng)數(shù)據(jù)從發(fā)送方傳輸?shù)浇邮辗綍r(shí)，會(huì)經(jīng)歷多個(gè)層次的封裝和解封裝過(guò)程，因此針對(duì)tcp/ip網(wǎng)絡(luò)模型，人們提出了不少通信加密方法，主流的包括ssl協(xié)議和ipsec協(xié)議，針對(duì)應(yīng)用層、傳輸層和網(wǎng)絡(luò)層實(shí)現(xiàn)了終端與業(yè)務(wù)系統(tǒng)以及子網(wǎng)與子網(wǎng)間通信加密及安全防護(hù)，已經(jīng)在各行業(yè)得到了全面和廣泛的應(yīng)用。但是，隨著業(yè)務(wù)場(chǎng)景的延伸和安全需求的提升，亟需突破市面上傳統(tǒng)通信加密機(jī)制，實(shí)現(xiàn)一種基于鏈路層的通信加密方法，實(shí)現(xiàn)上層協(xié)議透明加密，支持多種網(wǎng)絡(luò)環(huán)境，兼容已有網(wǎng)絡(luò)設(shè)備及拓?fù)?，進(jìn)一步提升業(yè)務(wù)數(shù)據(jù)在網(wǎng)絡(luò)傳輸過(guò)程中的安全防護(hù)水平。

2、現(xiàn)有網(wǎng)絡(luò)通信加密構(gòu)建過(guò)程涉及終端、安全網(wǎng)關(guān)和業(yè)務(wù)系統(tǒng)三類(lèi)實(shí)體，通道構(gòu)建過(guò)程如圖2所示，

3、以sslvpn為例，具體通信加密流程為：①終端的sslvpn模塊與sslvpn網(wǎng)關(guān)進(jìn)行身份認(rèn)證、密碼套件及會(huì)話(huà)密鑰協(xié)商，認(rèn)證成功后，sslvpn網(wǎng)關(guān)下發(fā)虛擬地址及業(yè)務(wù)系統(tǒng)路由配置；②終端sslvpn模塊為終端添加虛擬網(wǎng)卡并修改目標(biāo)ip為業(yè)務(wù)系統(tǒng)的下一跳網(wǎng)關(guān)為虛擬地址，方便sslvpn模塊從虛擬網(wǎng)卡讀取數(shù)據(jù)實(shí)現(xiàn)加密；③當(dāng)數(shù)據(jù)上行時(shí)，業(yè)務(wù)app將目標(biāo)ip為業(yè)務(wù)系統(tǒng)的數(shù)據(jù)發(fā)送給操作系統(tǒng)，操作系統(tǒng)根據(jù)路由將數(shù)據(jù)發(fā)送至虛擬網(wǎng)卡；④sslvpn模塊輪詢(xún)虛擬網(wǎng)卡獲取業(yè)務(wù)明文數(shù)據(jù)，并將原始網(wǎng)絡(luò)層數(shù)據(jù)進(jìn)行加密并添加新的ip頭部發(fā)送至操作系統(tǒng)，由操作系統(tǒng)根據(jù)路由發(fā)送至物理網(wǎng)卡，其中新的目的ip為sslvpn網(wǎng)關(guān)地址；⑤sslvpn網(wǎng)關(guān)接收到數(shù)據(jù)進(jìn)行解密獲取到原始ip數(shù)據(jù)，根據(jù)原始目的ip地址發(fā)送至指定的業(yè)務(wù)系統(tǒng)。

4、現(xiàn)有的通信加密技術(shù)和方法在一定程序上提升了終端及業(yè)務(wù)通信的安全性，但是存在以下不足：

5、（1）都只能實(shí)現(xiàn)網(wǎng)絡(luò)層數(shù)據(jù)安全防護(hù)，即業(yè)務(wù)通信過(guò)程中的ip報(bào)文頭仍然對(duì)外可見(jiàn)，無(wú)法完全隱藏內(nèi)網(wǎng)業(yè)務(wù)系統(tǒng)網(wǎng)絡(luò)信息，存在被嗅探后進(jìn)行攻擊的風(fēng)險(xiǎn)；另外vpn網(wǎng)關(guān)作為一種網(wǎng)絡(luò)邊界安全防護(hù)設(shè)備，其自身網(wǎng)絡(luò)信息暴露后也極易成為網(wǎng)絡(luò)攻擊的目標(biāo)；

6、（2）對(duì)業(yè)務(wù)系統(tǒng)、業(yè)務(wù)終端及網(wǎng)絡(luò)拓?fù)涓膭?dòng)較大，例如sslvpn為實(shí)現(xiàn)網(wǎng)絡(luò)層安全防護(hù)，需要在終端上安裝客戶(hù)端，并且通信過(guò)程中會(huì)修改終端的網(wǎng)絡(luò)配置；ipsecvpn需要子網(wǎng)內(nèi)的設(shè)備重新修改路由網(wǎng)關(guān)配置實(shí)現(xiàn)數(shù)據(jù)轉(zhuǎn)發(fā)，對(duì)用戶(hù)網(wǎng)絡(luò)配置能力較高。

技術(shù)實(shí)現(xiàn)思路

1、本發(fā)明所要解決的技術(shù)問(wèn)題是提供一種鏈路層通信加密方法，以鏈路層加密進(jìn)行設(shè)計(jì)，確保了內(nèi)網(wǎng)網(wǎng)絡(luò)信息隱藏，實(shí)現(xiàn)內(nèi)網(wǎng)業(yè)務(wù)系統(tǒng)及設(shè)備不受攻擊。

2、本發(fā)明為了解決上述技術(shù)問(wèn)題采用以下技術(shù)方案：本發(fā)明設(shè)計(jì)了一種鏈路層通信加密方法，基于業(yè)務(wù)終端依次經(jīng)終端側(cè)鏈路加密網(wǎng)關(guān)、業(yè)務(wù)側(cè)鏈路加密網(wǎng)關(guān)、至業(yè)務(wù)系統(tǒng)所創(chuàng)建的數(shù)據(jù)鏈路，針對(duì)業(yè)務(wù)終端上傳至終端側(cè)鏈路加密網(wǎng)關(guān)的數(shù)據(jù)幀，執(zhí)行如下步驟：

3、步驟a.?終端側(cè)鏈路加密網(wǎng)關(guān)接收來(lái)自業(yè)務(wù)終端的數(shù)據(jù)幀，執(zhí)行關(guān)于數(shù)據(jù)幀所對(duì)應(yīng)業(yè)務(wù)終端的設(shè)備認(rèn)證，以及聯(lián)系業(yè)務(wù)側(cè)鏈路加密網(wǎng)關(guān)，執(zhí)行數(shù)據(jù)幀所對(duì)應(yīng)業(yè)務(wù)終端的身份認(rèn)證，并在設(shè)備認(rèn)證與身份認(rèn)證當(dāng)前均通過(guò)的狀態(tài)下，進(jìn)入步驟b；

4、步驟b.?終端側(cè)鏈路加密網(wǎng)關(guān)調(diào)用其對(duì)應(yīng)最近一次身份認(rèn)證成功狀態(tài)下的會(huì)話(huà)密鑰，針對(duì)數(shù)據(jù)幀進(jìn)行加密、封裝，發(fā)送至業(yè)務(wù)側(cè)鏈路加密網(wǎng)關(guān)，由業(yè)務(wù)側(cè)鏈路加密網(wǎng)關(guān)調(diào)用其對(duì)應(yīng)最近一次身份認(rèn)證成功狀態(tài)下的會(huì)話(huà)密鑰進(jìn)行解析、解密，并轉(zhuǎn)發(fā)相應(yīng)業(yè)務(wù)系統(tǒng)進(jìn)行查詢(xún)，獲得反饋結(jié)果數(shù)據(jù)幀，并轉(zhuǎn)發(fā)業(yè)務(wù)側(cè)鏈路加密網(wǎng)關(guān)，然后進(jìn)入步驟c；

5、步驟c.?由業(yè)務(wù)側(cè)鏈路加密網(wǎng)關(guān)調(diào)用其對(duì)應(yīng)最近一次身份認(rèn)證成功狀態(tài)下的會(huì)話(huà)密鑰，針對(duì)所接收反饋結(jié)果數(shù)據(jù)幀進(jìn)行加密、封裝，發(fā)送至終端側(cè)鏈路加密網(wǎng)關(guān)，由終端側(cè)鏈路加密網(wǎng)關(guān)調(diào)用其對(duì)應(yīng)最近一次身份認(rèn)證成功狀態(tài)下的會(huì)話(huà)密鑰進(jìn)行解析、解密，并轉(zhuǎn)發(fā)業(yè)務(wù)終端。

6、作為本發(fā)明的一種優(yōu)選技術(shù)方案：所述步驟a中，終端側(cè)鏈路加密網(wǎng)關(guān)依據(jù)預(yù)設(shè)各合法mac，執(zhí)行設(shè)備認(rèn)證判斷其所接收數(shù)據(jù)幀對(duì)應(yīng)的源mac是否合法，是則設(shè)備認(rèn)證當(dāng)前通過(guò)，聯(lián)系終端側(cè)鏈路加密網(wǎng)關(guān)，執(zhí)行數(shù)據(jù)幀所對(duì)應(yīng)業(yè)務(wù)終端的身份認(rèn)證；否則設(shè)備認(rèn)證當(dāng)前不通過(guò)，丟棄數(shù)據(jù)幀。

7、作為本發(fā)明的一種優(yōu)選技術(shù)方案：所述步驟a中，基于設(shè)備認(rèn)證當(dāng)前通過(guò)，終端側(cè)鏈路加密網(wǎng)關(guān)判斷若數(shù)據(jù)幀所對(duì)應(yīng)業(yè)務(wù)終端成功過(guò)身份認(rèn)證，則進(jìn)一步判斷當(dāng)前時(shí)間是否位于業(yè)務(wù)終端最近一次身份認(rèn)證成功時(shí)刻起的預(yù)設(shè)認(rèn)證有效期內(nèi)，是則身份認(rèn)證當(dāng)前通過(guò)，并進(jìn)入步驟b；否則身份認(rèn)證當(dāng)前不通過(guò)，聯(lián)系業(yè)務(wù)側(cè)鏈路加密網(wǎng)關(guān)，執(zhí)行數(shù)據(jù)幀所對(duì)應(yīng)業(yè)務(wù)終端的身份認(rèn)證，身份認(rèn)證成功，即身份認(rèn)證當(dāng)前通過(guò)，則進(jìn)入步驟b，身份認(rèn)證失敗，則丟棄數(shù)據(jù)幀；終端側(cè)鏈路加密網(wǎng)關(guān)判斷若數(shù)據(jù)幀所對(duì)應(yīng)業(yè)務(wù)終端未成功過(guò)身份認(rèn)證，則身份認(rèn)證當(dāng)前不通過(guò)，聯(lián)系業(yè)務(wù)側(cè)鏈路加密網(wǎng)關(guān)，執(zhí)行數(shù)據(jù)幀所對(duì)應(yīng)業(yè)務(wù)終端的身份認(rèn)證，身份認(rèn)證成功，即身份認(rèn)證當(dāng)前通過(guò)，則進(jìn)入步驟b，身份認(rèn)證失敗，則丟棄數(shù)據(jù)幀。

8、作為本發(fā)明的一種優(yōu)選技術(shù)方案：所述步驟a中，終端側(cè)鏈路加密網(wǎng)關(guān)按如下步驟，聯(lián)系業(yè)務(wù)側(cè)鏈路加密網(wǎng)關(guān)，執(zhí)行數(shù)據(jù)幀所對(duì)應(yīng)業(yè)務(wù)終端的身份認(rèn)證；

9、步驟a1.?終端側(cè)鏈路加密網(wǎng)關(guān)根據(jù)其、以及其對(duì)應(yīng)的根密鑰，結(jié)合當(dāng)前時(shí)間戳、以及數(shù)據(jù)幀中業(yè)務(wù)終端的、，應(yīng)用標(biāo)準(zhǔn)國(guó)密sm1的ecb密鑰派生函數(shù)，按如下公式：

10、

11、獲得業(yè)務(wù)終端對(duì)應(yīng)終端側(cè)鏈路加密網(wǎng)關(guān)的基礎(chǔ)會(huì)話(huà)密鑰，然后進(jìn)入步驟a2；

12、步驟a2.?終端側(cè)鏈路加密網(wǎng)關(guān)生成預(yù)設(shè)字節(jié)隨機(jī)數(shù)，并結(jié)合基礎(chǔ)會(huì)話(huà)密鑰，分別應(yīng)用標(biāo)準(zhǔn)國(guó)密sm1的密鑰派生函數(shù)、以及標(biāo)準(zhǔn)國(guó)密sm3的hmac函數(shù)，按如下公式：

13、

14、

15、獲得終端側(cè)鏈路加密網(wǎng)關(guān)對(duì)應(yīng)的認(rèn)證素材、以及會(huì)話(huà)密鑰素材認(rèn)證碼，然后進(jìn)入步驟a3；

16、步驟a3.?終端側(cè)鏈路加密網(wǎng)關(guān)根據(jù)其、基礎(chǔ)會(huì)話(huà)密鑰、隨機(jī)數(shù)、以及數(shù)據(jù)幀中業(yè)務(wù)終端的，應(yīng)用標(biāo)準(zhǔn)國(guó)密sm1的ecb密鑰派生函數(shù)，按如下公式：

17、

18、獲得終端側(cè)鏈路加密網(wǎng)關(guān)的會(huì)話(huà)密鑰，然后進(jìn)入步驟a4；

19、步驟a4.?終端側(cè)鏈路加密網(wǎng)關(guān)以其、終端側(cè)鏈路加密網(wǎng)關(guān)對(duì)應(yīng)的認(rèn)證素材、會(huì)話(huà)密鑰素材認(rèn)證碼，以及數(shù)據(jù)幀中業(yè)務(wù)終端的，構(gòu)建身份認(rèn)證請(qǐng)求數(shù)據(jù)，并添加以業(yè)務(wù)終端的為源ip、業(yè)務(wù)終端的為源mac、業(yè)務(wù)側(cè)鏈路加密網(wǎng)關(guān)所提供虛擬ip地址為目的ip、業(yè)務(wù)系統(tǒng)的mac為目的mac，更新報(bào)文頭，構(gòu)建身份認(rèn)證請(qǐng)求報(bào)文，沿終端側(cè)鏈路加密網(wǎng)關(guān)與業(yè)務(wù)側(cè)鏈路加密網(wǎng)關(guān)之間的數(shù)據(jù)鏈路，發(fā)送至業(yè)務(wù)側(cè)鏈路加密網(wǎng)關(guān)，然后進(jìn)入步驟a5；

20、步驟a5.?業(yè)務(wù)側(cè)鏈路加密網(wǎng)關(guān)接收身份認(rèn)證請(qǐng)求報(bào)文進(jìn)行解析，獲得終端側(cè)鏈路加密網(wǎng)關(guān)的、業(yè)務(wù)終端的、，并結(jié)合當(dāng)前時(shí)間戳，應(yīng)用標(biāo)準(zhǔn)國(guó)密sm1的ecb密鑰派生函數(shù)，按如下公式：

21、

22、獲得業(yè)務(wù)終端對(duì)應(yīng)業(yè)務(wù)側(cè)鏈路加密網(wǎng)關(guān)的基礎(chǔ)會(huì)話(huà)密鑰，其中，表示業(yè)務(wù)側(cè)鏈路加密網(wǎng)關(guān)所獲知終端側(cè)鏈路加密網(wǎng)關(guān)對(duì)應(yīng)的根密鑰，并應(yīng)用基礎(chǔ)會(huì)話(huà)密鑰對(duì)認(rèn)證素材進(jìn)行解密，獲得隨機(jī)數(shù)、終端側(cè)鏈路加密網(wǎng)關(guān)時(shí)間戳、終端側(cè)鏈路加密網(wǎng)關(guān)、業(yè)務(wù)終端、業(yè)務(wù)終端，判斷當(dāng)前時(shí)間戳是否位于自起的預(yù)設(shè)認(rèn)證過(guò)程有效期內(nèi)，是則進(jìn)入步驟a6；否則身份認(rèn)證不成功，丟棄數(shù)據(jù)幀；

23、步驟a6.?業(yè)務(wù)側(cè)鏈路加密網(wǎng)關(guān)針對(duì)基礎(chǔ)會(huì)話(huà)密鑰、隨機(jī)數(shù)、當(dāng)前時(shí)間戳、終端側(cè)鏈路加密網(wǎng)關(guān)、業(yè)務(wù)終端、業(yè)務(wù)終端，應(yīng)用標(biāo)準(zhǔn)國(guó)密sm3的hmac函數(shù)，按如下公式：

24、

25、獲得業(yè)務(wù)側(cè)鏈路加密網(wǎng)關(guān)對(duì)應(yīng)的會(huì)話(huà)密鑰素材認(rèn)證碼，并判斷與是否一致，是則業(yè)務(wù)側(cè)鏈路加密網(wǎng)關(guān)應(yīng)用標(biāo)準(zhǔn)國(guó)密sm1的ecb密鑰派生函數(shù)，按如下公式：

26、

27、獲得業(yè)務(wù)側(cè)鏈路加密網(wǎng)關(guān)的會(huì)話(huà)密鑰，然后進(jìn)入步驟a7；否則即身份認(rèn)證失敗；

28、步驟a7.?業(yè)務(wù)側(cè)鏈路加密網(wǎng)關(guān)應(yīng)用會(huì)話(huà)密鑰，針對(duì)身份認(rèn)證成功消息、以及身份認(rèn)證成功時(shí)刻進(jìn)行加密，構(gòu)建身份認(rèn)證成功數(shù)據(jù)，并添加以業(yè)務(wù)側(cè)網(wǎng)關(guān)虛擬ip為源ip、業(yè)務(wù)系統(tǒng)的mac為源mac、業(yè)務(wù)終端的為目的ip、業(yè)務(wù)終端的為源為目的mac，更新報(bào)文頭，構(gòu)建身份認(rèn)證成功報(bào)文，沿業(yè)務(wù)側(cè)鏈路加密網(wǎng)關(guān)與終端側(cè)鏈路加密網(wǎng)關(guān)之間的數(shù)據(jù)鏈路，發(fā)送至終端側(cè)鏈路加密網(wǎng)關(guān)，然后進(jìn)入步驟a8；

29、步驟a8.?終端側(cè)鏈路加密網(wǎng)關(guān)應(yīng)用會(huì)話(huà)密鑰，針對(duì)身份認(rèn)證成功報(bào)文進(jìn)行解密，獲得身份認(rèn)證成功消息、以及身份認(rèn)證成功時(shí)刻，即身份認(rèn)證成功。

30、作為本發(fā)明的一種優(yōu)選技術(shù)方案：所述步驟b中，業(yè)務(wù)側(cè)鏈路加密網(wǎng)關(guān)針對(duì)來(lái)自終端側(cè)鏈路加密網(wǎng)關(guān)的加密報(bào)文解析，依據(jù)預(yù)設(shè)各合法mac，執(zhí)行設(shè)備認(rèn)證判斷其中源mac是否合法，若源mac合法，則進(jìn)一步判斷其所對(duì)應(yīng)業(yè)務(wù)終端的身份認(rèn)證當(dāng)前是否成功過(guò)身份認(rèn)證，是則業(yè)務(wù)側(cè)鏈路加密網(wǎng)關(guān)進(jìn)一步調(diào)用其對(duì)應(yīng)最近一次身份認(rèn)證成功狀態(tài)下的會(huì)話(huà)密鑰進(jìn)行解密；否則丟棄加密報(bào)文；若源mac不合法，則丟棄加密報(bào)文。

31、作為本發(fā)明的一種優(yōu)選技術(shù)方案：所述步驟b中，終端側(cè)鏈路加密網(wǎng)關(guān)首先調(diào)用其對(duì)應(yīng)最近一次身份認(rèn)證成功狀態(tài)下的會(huì)話(huà)密鑰，針對(duì)數(shù)據(jù)幀中的ip頭部、目標(biāo)網(wǎng)絡(luò)傳輸協(xié)議頭部、以及應(yīng)用數(shù)據(jù)進(jìn)行加密，構(gòu)成加密應(yīng)用數(shù)據(jù)；然后基于以太網(wǎng)首部，添加以業(yè)務(wù)終端的為源ip、業(yè)務(wù)終端的為源mac、業(yè)務(wù)側(cè)鏈路加密網(wǎng)關(guān)所提供虛擬ip地址為目的ip、業(yè)務(wù)系統(tǒng)的mac為目的mac，構(gòu)成報(bào)文頭；最后生成關(guān)于報(bào)文頭與加密應(yīng)用數(shù)據(jù)的校驗(yàn)碼，封裝報(bào)文頭、加密應(yīng)用數(shù)據(jù)、以及校驗(yàn)碼，構(gòu)成加密報(bào)文，發(fā)送至業(yè)務(wù)側(cè)鏈路加密網(wǎng)關(guān)；業(yè)務(wù)側(cè)鏈路加密網(wǎng)關(guān)針對(duì)所接收加密報(bào)文進(jìn)行解析，獲得其中加密應(yīng)用數(shù)據(jù)，再調(diào)用其對(duì)應(yīng)最近一次身份認(rèn)證成功狀態(tài)下的會(huì)話(huà)密鑰針對(duì)加密應(yīng)用數(shù)據(jù)進(jìn)行解密，獲得其中數(shù)據(jù)幀，并封裝轉(zhuǎn)發(fā)相應(yīng)業(yè)務(wù)系統(tǒng)進(jìn)行查詢(xún)；

32、所述步驟c中，由業(yè)務(wù)側(cè)鏈路加密網(wǎng)關(guān)調(diào)用其對(duì)應(yīng)最近一次身份認(rèn)證成功狀態(tài)下的會(huì)話(huà)密鑰，針對(duì)所接收反饋結(jié)果數(shù)據(jù)幀進(jìn)行加密，構(gòu)成加密反饋數(shù)據(jù)；然后基于以太網(wǎng)首部，添加以業(yè)務(wù)側(cè)網(wǎng)關(guān)虛擬ip為源ip、業(yè)務(wù)系統(tǒng)的mac為源mac、業(yè)務(wù)終端的為目的ip、業(yè)務(wù)終端的為源為目的mac，構(gòu)成報(bào)文頭；最后生成關(guān)于報(bào)文頭與加密反饋數(shù)據(jù)的校驗(yàn)碼，封裝報(bào)文頭、加密反饋數(shù)據(jù)、以及校驗(yàn)碼，構(gòu)成加密反饋報(bào)文，發(fā)送至終端側(cè)鏈路加密網(wǎng)關(guān)，由終端側(cè)鏈路加密網(wǎng)關(guān)針對(duì)所接收加密反饋報(bào)文進(jìn)行解析，獲得其中加密反饋數(shù)據(jù)，再調(diào)用其對(duì)應(yīng)最近一次身份認(rèn)證成功狀態(tài)下的會(huì)話(huà)密鑰針對(duì)加密反饋數(shù)據(jù)進(jìn)行解密，獲得其中反饋結(jié)果數(shù)據(jù)幀，并封裝轉(zhuǎn)發(fā)業(yè)務(wù)終端。

33、與上述相對(duì)應(yīng)，本發(fā)明還要解決的技術(shù)問(wèn)題是提供一種鏈路層通信加密方法的系統(tǒng)，模塊化設(shè)計(jì)鏈路層加密下的網(wǎng)關(guān)，高效實(shí)現(xiàn)設(shè)計(jì)方法，保證數(shù)據(jù)的安全性與效率。

34、本發(fā)明為了解決上述技術(shù)問(wèn)題采用以下技術(shù)方案：本發(fā)明設(shè)計(jì)了一種鏈路層通信加密方法的系統(tǒng)，基于業(yè)務(wù)終端依次經(jīng)終端側(cè)鏈路加密網(wǎng)關(guān)、業(yè)務(wù)側(cè)鏈路加密網(wǎng)關(guān)、至業(yè)務(wù)系統(tǒng)所創(chuàng)建的數(shù)據(jù)鏈路，終端側(cè)鏈路加密網(wǎng)關(guān)的結(jié)構(gòu)與業(yè)務(wù)側(cè)鏈路加密網(wǎng)關(guān)的結(jié)構(gòu)相同，終端側(cè)鏈路加密網(wǎng)關(guān)與業(yè)務(wù)側(cè)鏈路加密網(wǎng)關(guān)分別均包括數(shù)據(jù)捕獲模塊、數(shù)據(jù)解析模塊、設(shè)備認(rèn)證模塊、身份認(rèn)證模塊、數(shù)據(jù)加解密模塊、設(shè)備認(rèn)證庫(kù)、硬件密碼模塊、數(shù)據(jù)發(fā)送模塊；

35、終端側(cè)鏈路加密網(wǎng)關(guān)中，數(shù)據(jù)捕獲模塊用于輪詢(xún)網(wǎng)卡接收緩沖隊(duì)列上的數(shù)據(jù)幀、加密反饋報(bào)文；數(shù)據(jù)解析模塊用于針對(duì)數(shù)據(jù)捕獲模塊所接收數(shù)據(jù)幀、加密反饋報(bào)文進(jìn)行解析；設(shè)備認(rèn)證庫(kù)由預(yù)設(shè)各合法mac所構(gòu)成，設(shè)備認(rèn)證模塊用于依據(jù)設(shè)備認(rèn)證庫(kù)中的預(yù)設(shè)各合法mac，針對(duì)來(lái)自業(yè)務(wù)終端的數(shù)據(jù)幀進(jìn)行源mac進(jìn)行認(rèn)證；身份認(rèn)證模塊用于依據(jù)硬件密碼模塊，通過(guò)數(shù)據(jù)發(fā)送模塊與數(shù)據(jù)捕獲模塊，聯(lián)系業(yè)務(wù)側(cè)鏈路加密網(wǎng)關(guān)中身份認(rèn)證模塊，對(duì)業(yè)務(wù)終端實(shí)現(xiàn)身份認(rèn)證；數(shù)據(jù)加解密模塊用于依據(jù)硬件密碼模塊，針對(duì)數(shù)據(jù)幀進(jìn)行加密、以及針對(duì)加密反饋報(bào)文進(jìn)行解密；數(shù)據(jù)發(fā)送模塊用于對(duì)加密報(bào)文、反饋結(jié)果數(shù)據(jù)幀進(jìn)行發(fā)送；

36、業(yè)務(wù)側(cè)鏈路加密網(wǎng)關(guān)中，數(shù)據(jù)捕獲模塊用于輪詢(xún)網(wǎng)卡接收緩沖隊(duì)列上的反饋結(jié)果數(shù)據(jù)幀、加密報(bào)文；數(shù)據(jù)解析模塊用于針對(duì)數(shù)據(jù)捕獲模塊所接收反饋結(jié)果數(shù)據(jù)幀、加密報(bào)文進(jìn)行解析；設(shè)備認(rèn)證庫(kù)由預(yù)設(shè)各合法mac所構(gòu)成，設(shè)備認(rèn)證模塊用于依據(jù)設(shè)備認(rèn)證庫(kù)中的預(yù)設(shè)各合法mac，針對(duì)來(lái)自終端側(cè)鏈路加密網(wǎng)關(guān)的加密報(bào)文進(jìn)行源mac進(jìn)行認(rèn)證；身份認(rèn)證模塊用于依據(jù)硬件密碼模塊，判斷業(yè)務(wù)終端的身份認(rèn)證當(dāng)前是否成功過(guò)身份認(rèn)證；數(shù)據(jù)加解密模塊用于依據(jù)硬件密碼模塊，針對(duì)反饋結(jié)果數(shù)據(jù)幀進(jìn)行加密、以及針對(duì)加密報(bào)文進(jìn)行解密；數(shù)據(jù)發(fā)送模塊用于對(duì)加密反饋報(bào)文、數(shù)據(jù)幀進(jìn)行發(fā)送。

37、本發(fā)明所述一種鏈路層通信加密方法及系統(tǒng)，采用以上技術(shù)方案與現(xiàn)有技術(shù)相比，具有以下技術(shù)效果：

38、本發(fā)明所設(shè)計(jì)一種鏈路層通信加密方法及系統(tǒng)，針對(duì)業(yè)務(wù)終端與業(yè)務(wù)系統(tǒng)之間，以終端側(cè)鏈路加密網(wǎng)關(guān)與業(yè)務(wù)側(cè)鏈路加密網(wǎng)關(guān)進(jìn)行設(shè)計(jì)，基于設(shè)備認(rèn)證的基礎(chǔ)上，將身份認(rèn)證與會(huì)話(huà)密鑰協(xié)商與一體進(jìn)行設(shè)計(jì)應(yīng)用，實(shí)現(xiàn)安全認(rèn)證的同時(shí)，獲得終端側(cè)鏈路加密網(wǎng)關(guān)與業(yè)務(wù)側(cè)鏈路加密網(wǎng)關(guān)之間應(yīng)用下會(huì)話(huà)密鑰，即實(shí)現(xiàn)輕量級(jí)安全認(rèn)證機(jī)制，為接入的每個(gè)業(yè)務(wù)終端生成一個(gè)動(dòng)態(tài)的會(huì)話(huà)密鑰，增強(qiáng)了數(shù)據(jù)通信及傳輸?shù)陌踩?，設(shè)計(jì)方案在鏈路層針對(duì)業(yè)務(wù)終端通信數(shù)據(jù)進(jìn)行加密，確保內(nèi)網(wǎng)網(wǎng)絡(luò)信息隱藏，實(shí)現(xiàn)內(nèi)網(wǎng)業(yè)務(wù)系統(tǒng)及設(shè)備不受攻擊；并且網(wǎng)關(guān)本身不配置實(shí)際ip和mac，保證惡意用戶(hù)無(wú)法對(duì)其進(jìn)行定向攻擊。