(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202210894028.9 (22)申请日 2022.07.27 (71)申请人 北京国领 科技有限公司 地址 100094 北京市海淀区丰慧中路7号 新 材料创业大厦A座313号 (72)发明人 张建国　王赛　 (51)Int.Cl. H04L 9/40(2022.01) H04L 9/08(2006.01) (54)发明名称 一种链路层透明加密系统多节点密钥自动 协商管理的方法 (57)摘要 本发明公开了一种链路层透明加密系统多 节点密钥自动协商管理的方法。 链路层透明加密 系统可提供链路层数据载荷透明加密功能， 即保 留数据包头不变的情况下仅对数据载荷进行加 密， 以实现加密后数据包仍然能够按照原网络 路 径进行流转， 无需添加或更改地址信息或路由策 略。 在本方法中， 链路加密节点之间完成相互发 现和会话密钥协商之后， 每个节 点都会在内部建 立一张“链路加密 节点ID与会话密钥的对照表 ”， 然后根据对外网透传数据包的目的MAC地址建立 “链路加密节点ID与外部MAC地址对照表 ”。 链路 加密节点即可通过网络数据包MAC地址， 判断出 该MAC地址 所属的网络设备是位于哪一个链路加 密节点保护的内网之中 （即查询到对应链路加密 节点ID） ， 进而再通过查找链路节点ID与密钥对 照表， 得到该数据包对应的正确的会话密钥， 最 后对该数据包进行加密或解密。 本方法可实现多台透明链路加密节点之间自动完成相互密钥协 商管理， 每两个节点之间使用独立的会话密钥， 并选择使用正确的会话密钥对数据进行加密和 解密。 权利要求书2页 说明书8页 附图1页 CN 115277200 A 2022.11.01 CN 115277200 A 1.一种链路层透明加密系统多节点密钥自动协商管理的方法， 其特征在于： 所述方法 至少包含2个链路加密节点， 每个链路加密节点内网口连接至少1个网络设备， 链路加密节 点维护至少两张表： “外部MAC地址与链路加密节点ID对照表 ”(T1)，“链路加密节点ID与会 话密钥对照表 ”(T2)； 所述链路加密节点之间使用网络Netw ork直接或间接连通节点的外网口； 所述链路加密节点可提供链路层数据透 明加密功能， 即保留数据包头不变的情况下仅 对数据载荷进 行加密或解密； 所述链路加密节点能够对从内网口接收到的数据进 行透明加 密， 然后将加密数据从外网口发送出去； 所述链路加密节点能够对从外网口接 收到的数据 进行透明解密， 然后将解密后的数据从内网口发送出去； 所述链路加密节点之间完成相互发现和会话密钥协商之后， 每个所述链路加密节点都 会在内部 建立所述“链路加密节 点ID与会话密钥对照表 ”(T2)。 此时每个所述 “外部MAC地址 与链路加密节点 ID对照表 ”(T1)为空； 当某个所述链路加密节点A的内网的所述网络节点A1， 首次发送数据包P到另外一个所 述链路加密节点B的内网的所述网络节点B1时： a)所述链路加密节点A查询到所述 “链路加密节点ID与会话密钥对照表 ”(TA1)内容为 空， 于是不会对 数据包P加密， 而 是复制该数据包P的包头并构建一个相同包头的伪装包PA， PA的载荷内至少包含一个特殊标识和所述链路加密节 点A的ID信息， 然后将原数据包P和伪 装包PA一同发送出去； b)所述链路加密节点B收到数据包P后， 查询到所述 “链路加密节点ID与会话密钥对照 表”(TB1)内容 为空， 于是透传数据包给 所述网络节点B1； c)所述链路加密节点B收到伪装数据包PA后， 判断出载荷中的特殊标识， 便可以从载荷 中获取到所述链路加密节点A的ID信息以及数据包PA的源MAC地址； d)所述链路加密节点B在自身所述 “外部MAC地址与链路加密节点ID对照表 ”(TB1)中添 加一条记录， 记录 至少包含数据包PA的MAC地址和所述链路加密节点A的ID信息； e)所述链路加密节点B复制数据包PA的包头并反转MAC地址， 构建一个新的伪装包PB， PB的载荷内至少 包含一个特殊标识和所述链路加密节点B的ID信息； 然后将伪装包PB发送 出去； f)所述链路加密节点A收到伪装数据包PB后， 判断出载荷中的特殊标识， 便可以从载荷 中获取到所述链路加密节点B的ID信息以及数据包PB的源MAC地址； g)所述链路加密节点A在自身所述 “外部MAC地址与链路加密节点ID对照表 ”(TA1)中添 加一条记录， 记录 至少包含数据包PB的MAC地址和所述链路加密节点B的ID信息； h)如此， 任意两个非同一内网的所述网络设备只要进行过至少一次数据通讯， 根据上 述步骤均可在所述网络设备最近的所述链路加密节点中的所述 “外部MAC地址与链路加密 节点ID对照表 ”(T1)中添加记录； 方法不重复添加相同的记录； 上述步骤完成后， 所述链路加密节点之间可选择正确的会话密钥对数据包进行加密或 解密， 流程如下： a)对于进入所述链路加密节点内网接口的数据包， 链路加密节点获取该数据包目的 MAC地址， 查询自身所述 “外部MAC地址与链路加密节点ID对照表 ”(T1)， 可得到数据包目的 地址对应的所述网络设备 所属的所述链路加密节点 ID；权　利　要　求　书 1/2 页 2 CN 115277200 A 2b)根据ID查询所述 “链路加密节点 ID与会话密钥对照表 ”(T2)， 得到会话密钥； c)使用会话密钥对数据包进行 载荷透明加密， 并将加密数据包从外网口发送出去； d)对于进入所述链路加密节点外网接口的加密数据包， 链路加密节点获取该数据包源 MAC地址， 查询自身所述 “外部MAC地址与链路加密节点ID对照表 ”(T1)， 可得到数据包源地 址对应的所述网络设备 所属的所述链路加密节点 ID； e)根据ID查询所述 “链路加密节点 ID与会话密钥对照表 ”(T2)， 得到会话密钥； f)使用会话密钥对数据包进行载荷透明解密， 并将解密后的数据包从内网口发送出 去。 2.根据权利要求1所述的链路层透明加密系统多节点密钥自动协商管理的方法， 其特 征在于， 将 “外部MAC地址与链路加密节点ID对照表 ”(T1)改为“外部MAC地址与会话密钥对 照表”(T1*)； 根据权利要求 1所述方法， 任意两个非同一内网的所述网络 设备只要进行过至 少一次数据通讯， 数据包流经 的两个所述链路加密节点均能够得到数据包外网MAC地址和 对方所述链路加密节点ID； 不同于权利要求1中直接将MAC和链路加密节点ID存入对照表， 而是先根据链路加密节点ID在 “链路加密节点ID与会话密钥对照表 ”(T2)中查询到对应的 会话密钥， 然后添加 到“外部MAC地址与会话密钥对照表 ”(T1*)； 方法不重复添加相同的记 录； 在实际网络加密工作阶段， 本权利只需要一步， 即可直接根据MAC地址在在所述 “外部 MAC地址与会话密钥对照表 ”(T1*)中查询到会话密钥， 提升数据包加密透传效率。 3.根据权利要求1或权利要求2所述的链路层透明加密系统多节点密钥自动协商管理 的方法， 其特征在于： 所述方法采用数据包的IP地址进 行判断、 记录和查询， 取代权利要求 1 和权利要求2中的MAC地址， 具体步骤和原理相似。权　利　要　求　书 2/2 页 3 CN 115277200 A 3