发明内容
本发明所解决的技术问题在于提供一种基于私有协议的安全路由器的设备及实现方法,以解决背景技术中的问题。
本发明所解决的技术问题采用以下技术方案来实现:
一种基于私有协议的安全路由器的设备,包括:硬件部分和软件部分,所述硬件部分由网关接口模块、中央处理控制模块、加密模块和存储模块组成,所述软件部分由安全路由器专用操作系统、安全网关子系统、加密子系统、路由子系统和管理子系统组成。
在本发明的硬件部分,所述的网关接口模块根据需要可选用USB,或者是RJ45接口,或者是光纤接口等一系列网络接口。其功能为接收、发送来自网络的、属于自己的数据包;
所述的中央处理控制模块是专用集成电路或通用网络处理器,其主要功能一是负责路由器的配置管理和数据包的转发工作的管理和控制,如报头、报文的加密、减密、还原,路由寻址等工作;维护路由表格以及路由运算等。二是提供路由器信息流向的开关和通路;提供管理员利用终端与路由器进行通信,完成路由器配置;
所述的加密模块在驱动层提供地址、数据的加/减密;
所述的存储模块存放主芯片运行及初始化程序。运行期间,RAM中包含目的主机编码地址代换表、IP路由表项目、IP缓冲项目、日志项目和队列中排队等待发送的分组。除此之外,还包括运行配置文件、正在执行的代码、操作系统程序和一些临时数据信息。
在本发明的软件部分,所述的安全路由器专用操作系统是按GB/T18018—2007要求设计的安全专用操作系统;
在本发明中,所述的安全网关子系统在借助因特网组建网络时手工配置隧道、对隧道动态管理、地址代理、协议转换;
所述的加密子系统在驱动层提供地址、数据的加/减密;
所述的路由子系统在网络层提供IPV4/IPV6和私有IP协议栈,在应用层提供私有IP协议栈的RIP、OSPF协议;
所述的管理子系统的接口模块分输入及输出两部分,所述输入部分即LAN网口,当符合路由器MAC地址时进入接收包状态,并经拆包地址减密分析、安全功能模块后决定送路由子系统还是网关子系统,所述输出部分即WAN网口是将路由子系统、网关子系统包装好的包送上网络。此外路由器还设置了本地及远程配置接口。所述安全功能模块用于确保自身安全,其包括防火墙、入侵检测、访问控制、审计等。
基于私有协议安全路由器的主要特点:
(1)多种自主地址分配模式
① 借助因特网自主构成专网,其客户端仍需访问因特网,统一分配其最大专网地址约为1700万个。客户端可不作任何修改。
② 借助因特网自主构成与因特网逻辑隔离专网,其客户端不能访问因特网,统一分配其最大专网地址为2的32次方。客户端可不作任何修改,在因特网上本路由器需因特网IPV4/IPV6地址以便建动态隧道。
③ 自主构专网,和其它网物理隔离,客户端要修改,统一分配其最大专网地址为2的160到1012次方。如客户端不修改,则可采用客户端的全段报文作为数据,由安全路由器加报头以IPV4/IPV6 OVER IPVA方式传送,其最大专网地址为2的32--128次方。
(2)多种组网方式
① 借助因特网自主构成专网,其客户端仍需访问因特网,客户端可不作任何修改。
② 借助因特网自主构成与因特网逻辑隔离专网,其客户端不能访问因特网,客户端可不作任何修改。
③ 自主构专网,和其它网物理隔离,客户端视网络规模决定是否要修改。
(3)地址认证、加密安全性好
① 由于自行设计的IP专用协议,公开面小因而保密性优于通用IP协议。报头,报文加密,地址编码不易被人破译,安全性好。
② 地址加密采用一包一密。因此即使同一机器接收同一文件,其侦听截下数据包头不同,使攻击者无法整理出同一机器同一文件的密文,也就增加了破译难度。这一点是现有IPSec无法做到的。
(4)其它特点
① 自成体系的专网和因特网实现逻辑隔离,信息不会外泄。
② 在地址编码时已考虑了地域组网,因而当组建独立大网时可以省去域名解析系统,并保持了自治域或通俗的疆土。
③ 使用因特网,动态隧道使信息定向发送,确保安全。
一种基于私有协议的安全路由器的实现方法,通过制定私有TCP/IP协议,在不改变网络主机软件的条件下,用户根据自身安全需要建立专网,编码方式采用现有IPV4/IPV6地址,在路由器网关上增加扩展码,组成新的地址,传送时再将源地址及目的地址共同产生地址校验,再将地址加密,解密则反之,本方法包括以下主要步骤:
(1)基于私有协议安全路由器地址格式
私有协议地址的构成分成显式部分和隐式部分,显式部分的长度是20B-116B,隐式部分的地址长度是12B,用户只可以看到和配置显式的地址段,隐式地址段是安全网关用于地址加密验证。具体的地址格式如下:
注:CRC即循环冗余校验码(Cyclic Redundancy Check);IV即初始化向量,下同。
地址的表示方法是由英文字母和数字混合构成,地址段之间用‘|’来分隔。
0段、1段、2段、3段、4段地址使用ASCII码表示。
第5段地址兼容IPv4/IPv6地址,表示方法IPv4的点分格式或IPv6的“:”分隔格式。
第6段地址是一个int类型,是0~5段的CRC校验和,用户无法看见和配置。
第7段地址8B长度,是用于AES_CTR算法的IV,用户无法看见和配置。
如以下例子所示:
(a)以中国(CN)湖南(HN)长沙(0731)开福区(05)路由器组网的地址为:
CN|ZJ|0571|01|BBAA|20.0.0.1 中国浙江0571地区(杭州)01段中BBAA类别的20.0.0.1
CN|ZJ|0579|02|T05Y|30.0.0.1 中国浙江0579地区(金华)02段中T05Y类别的30.0.0.1
(b)以行业组成专网的地址表示方法:
中国(CN)信息产业部(XX)湖南长沙信息委(0731)开福区(KF)信息科路由器组网的地址为:
CN|XX|0731|KF|SFP|10.0.0.1
(c)以物联网编码为地址的表示方法:
中国(CN)商务部(MOFCOM)长沙某烟厂(BS)香烟类(XY)ean编码(690102819012)的2000:0:0:0:1:2345:6789:abcd为:CN|MOFCOM|BS|XY|690102819012|2000:0:0:0:1:2345:6789:abcd 。
(2)基于私有协议安全路由器网络结构
以下陈述及实施例均以IPV4协议为例,IPv6协议与IPv4协议情况类似,与客户端应用无关。
(a)基于私有协议安全路由器适合于搭建专用网络,和因特网物理隔离。(b)使用因特网搭建虚拟专用网络,传输采用 IPvPA(IP私有协议,下同) OVER IPv4方式,和因特网逻辑隔离。
(c)使用因特网搭建虚拟专用网络,传输采用 IPvPA OVER IPv4方式,专网内客户端可通过路由器协议转换和隧道方式互相通讯,同时正常访问因特网。
(3)基于私有协议安全路由器寻址方法
路由的寻址是通过内建的路由表来实现,路由表的每条信息表示了通往一个子网的数据包应该发送给所指定的路由器,路由表的信息可以静态输入或者由路由协议交换软件来生成。
静态输入就是手工输入是基于:
(a)使用因特网搭建虚拟专用网络,和因特网逻辑隔离。
(b)使用因特网搭建虚拟专用网络同时正常访问因特网。
静态输入的路由应该包括IPv4,IPvPA相关的路由信息等,并存入动态隧道数据库中,供隧道路由使用。搭建虚拟专网和正常访问因特网就是由于路由信息不同来区分的,配置路由也是实现虚拟专网的一部分。譬如我们指定一条往某个子网走虚拟专网的路由,另外一条走正常因特网的路由。
路由协议交换软件是基于:
搭建IPvPA专用网络,和其它网物理隔离。
而路由协议交换软件是指:这里的路由协议交换软件就是指RIP和OSPF,虚拟专网部分应该是由指定路由的隧道来实现的。
(4)每个数据包进行地址加密、解密、验证流程:
(a)地址加密
① 系统生成1个8B的随机数,填充到源地址中IV域中,作为128bit的IV的高64bit;系统生成1个8B的随机数,填充到目的地址中IV域中,作为128bi的IV的低64bit。
② 系统对地址前20B做CRC32的运算得出CRC校验值,填充到地址中的CRC域中。
③ 系统把源地址的IV和目的地址的IV拼装成一个128bit的IV,使用IV和userkey(userkey是系统预制的,是加密通讯所使用的对称密钥,长度为128bit)生成key流,使用key流和AES_CRT算法(高级加密标准(Advanced Encryption Standard,AES))对地址的前24B进行加密运算后,把明文替换成密文。
④ 发送密文地址信息。
(b)地址解密及验证
① 系统收到已经是密文地址的数据包。
② 系统把源地址的IV和目的地址的IV拼装成一个128bit的IV,使用IV和userkey(userkey是系统预制的,是加密通讯所使用的对称密钥,长度为128bit)生成key流,使用key流和AES_CRT算法对地址的前24B进行解密运算后,把密文替换成明文。
③ 系统读取CRC域中的CRC校验值,同时对地址前20B也进行CRC32运算,如果CRC校验值相同,则把数据包送给上层协议栈,否则丢弃。
有益效果:
本发明根据用户不同安全需求,具有不同的地址编码种组网方式;在地址编码时已考虑了层次,因而可以省去域名解析系统,并保持了自治域或通俗的疆土;它根据自身所处的物理位置,可采用地域、行政隶属等不同方式、层次,直接寻址的路由。路由器在网络层中传送的地址采用了加密和认证技术,做到“一包一密”。
具体实施方式
为了使本发明的技术手段、创作特征、工作流程、使用方法达成目的与功效易于明白了解,下面结合具体图示,进一步阐述本发明。
如图1、图2所示,一种基于私有协议的安全路由器的设备,包括:硬件部分和软件部分,所述硬件部分由网关接口模块1、中央处理控制模块2、加密模块3和存储模块4组成,所述软件部分由安全路由器专用操作系统5、安全网关子系统6、加密子系统7、路由子系统8和管理子系统9组成。
在本发明中,所述的网关接口模块1根据需要可选用USB,或者是RJ45接口,或者是光纤接口等一系列网络接口。其功能为接收、发送来自网络的、属于自己的数据包。
在本发明中,所述的中央处理控制模块2是专用集成电路或通用网络处理器,其主要功能一是负责路由器的配置管理和数据包的转发工作的转发工作的管理和控制,如报头、报文的加密、减密、还原,路由寻址等工作;维护路由表格以及路由运算等。二是提供路由器信息流向的开关和通路;提供管理员利用终端与路由器进行通信,完成路由器配置。
在本发明中,所述的加密模块3在驱动层提供地址、数据的加/减密。
在本发明中,所述的存储模块4存放主芯片运行及初始化程序。运行期间,RAM中包含目的主机编码地址代换表、IP路由表项目、IP缓冲项目、日志项目和队列中排队等待发送的分组。除此之外,还包括运行配置文件、正在执行的代码、操作系统程序和一些临时数据信息。
在本发明中,所述的安全路由器专用操作系统5是按GB/T18018—2007要求设计的安全专用操作系统。
在本发明中,所述的安全网关子系统6在借助因特网组建网络时对隧道动态管理、手工配置隧道、地址代理、协议转换。
在本发明中,所述的加密子系统7在驱动层提供地址、数据的加/减密。
在本发明中,所述的路由子系统8在网络层提供IPV4和私有IP协议栈,在应用层提供私有IP协议栈的RIP、OSPF协议。
在本发明中,所述的管理子系统9的接口模块分输入及输出两部分,所述输入部分即LAN网口,当符合路由器MAC地址时进入接收包状态,并经拆包地址减密分析、安全功能模块后决定送路由子系统8还是网关子系统7,所述输出部分即WAN网口是将路由子系统8、网关子系统7包装好的包送上网络。此外路由器还设置了本地及远程配置接口。所述安全功能模块主要确保自身安全,其包括防火墙、入侵检测、访问控制、审计等。
一种基于私有协议的安全路由器的实现方法,通过制定私有TCP/IP协议,在不改变网络主机软件的条件下,用户根据自身安全需要建立专网,编码方式采用现有IPV4/IPV6地址,在路由器网关上增加扩展码,组成新的地址,传送时再将源地址及目的地址共同产生地址校验,再将地址加密,解密则反之。
如图3、图4、图5所示,本发明在三种网络状态开启不同的软件功能模块,引导信息流:
(A)搭建IPvPA专用网络
客户端
客户端操作系统的网络协议栈要修改,和IPV6类似,要安装IPvPA协议栈,同时应用程序也要做相应的修改。如客户端不修改,则可采用客户端的全段报文作为数据,由安全路由器加报头以IPV4 OVER IPVA方式传送。
地址数量
地址数量理论上可以达到2的160次方减1个,也是天文数字。如客户端不修改,其最大专网地址为2的32--128次方。这个可以按照客户的需求来决定的。
IPVPA客户端1发送和接收IPVPA协议类型的数据报文,IPVPA客户端2通讯。
在网络上信息流向和现有IPV4没有本质区别,也执行RIP和OSPF协议。不同的是,报头中版本号,源地址、目的地址均160位显性。
模块工作流程:
① IPVPA客户端1向IPVPA路由器1发送IPVPA协议数据包;
② IPVPA路由器1输入接口接受IPVPA协议数据包;
③ IPVPA路由器1的管理子系统对该IPVPA协议数据包进行安全检测;
④ IPVPA路由器1的加密子系统对IPVPA协议数据包进行解密;
⑤ IPVPA路由器1的路由子系统对该数据包的发送方向进行选择;
⑥ IPVPA路由器1的加密子系统对该数据包进行加密;
⑦ IPVPA路由器1的输出接口将数据包发送给IPVPA边缘路由器1,报文进入IPVPA专网进行传输并传输至IPVPA边缘路由器2;
⑧ IPVPA路由器2的输入端口从IPVPA边缘路由器2接收到IPVPA客户端1发来的数据包;
⑨ IPVPA路由器2的管理子系统对该IPVPA协议数据包进行安全检测;
⑩ IPVPA路由器2的加密子系统对IPVPA协议数据包进行解密;
IPVPA路由器2的路由子系统对该数据包的发送方向进行选择;
IPVPA路由器2的加密子系统对该数据包进行加密;
IPVPA路由器2的输出接口将数据包发送给IPVPA客户端2。
(B)使用因特网搭建虚拟专用网络
地址数量
地址理论数量是2的32次方减1个。
客户端
客户端程序不要修改,但每个借助于因特网的路由器需要一个因特网的IPV4地址。
网络拓扑基本情况:
① Ipv4客户端是一个完全的IPv4协议栈设备,发送接收的数据包都是IPv4数据报文。
② IPVPA路由器1是一个IPv4/VA的多栈路由器,执行了IPv4和IPVPA数据报文的转发功能;同时具备了IPv4与IPVPA协议互相转换的功能,是一个协议转换路由器;还具有VPN功能,可以和另一个(多个)IPVPA路由器构建site to site的VPN通道。
③ IPVPA路由器具备地址、数据加解密功能。
网络通讯基本流程(反向通讯步骤一样):
① IPv4客户端1发送IPv4数据报文;
② IPVPA路由器1修改来自IPv4客户端1的IPv4报文成IPVPA报文格式,同时转换IPv4地址(目的,源)成IPVPA地址,并加密地址、数据段和报文段(软件加密、硬件加密);
③ IPVPA路由器1根据已经搭建好的VPN通道,把加密后的IPVPA报文再封装成IPv4隧道报文发送给IPV4路由器1;
④ IPV4路由器1收到了封装后的IPv4隧道报文,只是简单的转发给正确的下一跳路由器;
⑤ IPV4路由器2收到了IPv4隧道报文转发给IPVPA路由器2;
⑥ IPVPA路由器2提前对IPv4隧道报文中的IPVPA报文并解密;
⑦ IPVPA路由器2对IPVPA报文明文转换成IPv4报文发送给IPv4客户端2;
⑧ IPv4客户端2接到到正确的IPv4数据报文完成通讯步骤。
模块工作流程:
① IPVPA客户端1向IPVPA路由器1发送IPV4协议数据包;
② IPVPA路由器1输入接口接受IPV4协议数据包;
③ IPVPA路由器1的管理子系统对该IPV4协议数据包进行安全检测;
④ IPVPA路由器1的网关子系统对IPV4协议数据包进行协议转换,形成新的IPVPA协议数据包;
⑤ IPVPA路由器1的加密子系统对IPVPA协议数据包进行解密;
⑥ IPVPA路由器1的网关子系统通过动态隧道管理功能将IPVPA协议数据包封装成IPV4数据包;
⑦ IPVPA路由器1的输出接口将数据包发送给IPV4路由器1,报文进入IPV4网络进行传输并传输至IPV4路由器2;
⑧ IPVPA路由器2的输入端口从IPV4路由器2接收到IPVPA客户端1发来的数据包(IPVPA OVER IPV4方式);
⑨ IPVPA路由器2的管理子系统对该数据包进行安全检测;
⑩ IPVPA路由器2的网关子系统通过动态隧道管理功能将IPV4协议数据包解包成IPVPA数据包;
IPVPA路由器2的加密子系统对IPVPA协议数据包进行解密;
IPVPA路由器2的网关子系统对IPVPA协议数据包进行协议转换,形成IPV4数据包。
IPVPA路由器2的输出接口将数据包发送给IPVPA客户端2。
(C)使用因特网搭建虚拟专用网络同时正常访问因特网
隧道
隧道不是自动建立的,必须有网关管理员预先建立。目前的模式是网关——路由器——路由器——网关。这种情况下,只需要网关之上配置隧道,而路由器上是不需要做隧道配置。
如果确实有很多的子网需要相连,可以建立分层结构来减少隧道的数量,这个和网络的地址规划是同样的一个道理。比如最简单的星型拓扑。
地址数量
地址的个数应为IPV4的内网地址约1700万个。
网络通讯基本流程(反向通讯步骤一样):
IPv4客户端1访问因特网:
① IPv4客户端1发送IPv4数据报文;
② IPVPA路由器1根据发来目的地址判断:如果是本子网地址一定是互联的,所以内网的数据包在交换机这个层次已经交换了。主要是判断目的地址是否是已经指定的隧道对端地址,如果不是那就默认认为是IPV4地址则表明是因特网地址;
③ 启用IPV4协议栈、NAT模块,代换掉源地址,访问因特网。
IPv4客户端1访问虚拟内网:
① IPv4客户端1发送IPv4数据报文;
② IPVPA路由器1根据发来目的地址判断:如果是内网地址则表明是虚拟专用网络;
③ 修改来自IPv4客户端1的IPv4报文成IPVPA报文格式,同时转换IPv4地址(目的,源)成IPVPA地址,并加密地址数据段和报文段(软件加密、硬件加密);
④ IPVPA网关1根据已经搭建好的VPN通道,把加密后的IPVPA报文再封装成IPv4隧道报文发送给IPVPA路由器1;
⑤ IPVPA路由器1收到了封装后的IPv4隧道报文,只是简单的转发给正确的下一跳路由器;
⑥ IPVPA路由器2收到了IPv4隧道报文转发给IPVPA网关2;
⑦ IPVPA网关2提前IPv4隧道报文中的IPVPA报文并解密;
⑧ IPVPA网关2对IPVPA报文明文转换成IPv4报文发送给IPv4客户端2;
⑨ IPv4客户端2接到到正确的IPv4数据报文完成通讯步骤。
模块工作流程:
① IPVPA客户端1向IPVPA路由器1发送访问某大型网站请求数据包;
② IPVPA路由器1输入接口接受IPV4协议数据包;
③ IPVPA路由器1的管理子系统对该IPV4协议数据包进行安全检测;
④ IPVPA路由器1的管理子系统对该IPV4协议数据包进行对目的地址进行判断,如果目的地址是局域网地址,则按照模式2的模块工作流程进行运作,如果目的地址是IPV4外网地址,则网关子系统通过地址代理功能将数据包的私有地址转换为外网地址;
⑤ IPVPA路由器1的输出接口将数据包发送给IPV4路由器1,并通过IPV4外网传输至某大型网站服务器。
以上显示和描述了本发明的基本原理和主要特征和本发明的优点。本行业的技术人员应该了解,本发明不受上述实施例的限制,上述实施例和说明书中描述的只是说明本发明的原理,在不脱离本发明精神和范围的前提下,本发明还会有各种变化和改进,这些变化和改进都落入要求保护的本发明范围内。本发明要求保护范围由所附的权利要求书及其等效物界定。