CN102404220B - 一种基于私有协议的安全路由器的设备及实现方法 - Google Patents

一种基于私有协议的安全路由器的设备及实现方法 Download PDF

Info

Publication number
CN102404220B
CN102404220B CN201110380996.XA CN201110380996A CN102404220B CN 102404220 B CN102404220 B CN 102404220B CN 201110380996 A CN201110380996 A CN 201110380996A CN 102404220 B CN102404220 B CN 102404220B
Authority
CN
China
Prior art keywords
address
router
ipvpa
ipv4
protocol
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
CN201110380996.XA
Other languages
English (en)
Other versions
CN102404220A (zh
Inventor
周明云
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Zhou Mingyun
Original Assignee
Individual
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Individual filed Critical Individual
Priority to CN201110380996.XA priority Critical patent/CN102404220B/zh
Publication of CN102404220A publication Critical patent/CN102404220A/zh
Application granted granted Critical
Publication of CN102404220B publication Critical patent/CN102404220B/zh
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明公开了一种基于私有协议的安全路由器的设备及实现方法,其设备包括:硬件部分和软件部分,所述硬件部分由网关接口模块、中央处理控制模块、加密模块和存储模块组成,所述软件部分由安全路由器专用操作系统、安全网关子系统、加密子系统、路由子系统和管理子系统组成;其实现方法为通过制定私有TCP/IP协议,在不改变网络主机软件的条件下,用户根据自身安全需要建立专网,编码方式采用现有IPV4/IPV6地址,在路由器网关上增加扩展码,组成新的地址,传送时再将源地址及目的地址共同产生地址校验,再将地址加密,解密则反之。本发明通过扩展地址编码、地址加密认证、隧道配置,解决了现有网络地址紧张、信息安全问题。

Description

一种基于私有协议的安全路由器的设备及实现方法
技术领域
本发明涉及一种基于私有协议的安全路由器的设备及其实现方法,具体为一种通过制定私有TCP/IP协议,在不改变网络主机软件的条件下,根据用户自身安全需要建立专网的安全路由器的设备及实现方法。
背景技术
众所周知,现有IPV4地址已经耗尽,而从IPV4向IPV6过渡需更换众多硬件及软件,它成为向新一代网络迈进的阻碍因素。
现有网络上每一台主机都赋予唯一的定长的地址。以TCP/IP协议第四版为例,地址长度为二进制32位。而一旦主机地址确定后网络上传送的地址也就确定。路由器的任务就是选择路径将数据打包发送至目的地,用户再将包拼成报文。全部过程中源地址、目的地址明传不变,虽然可以采用IPSec进行地址验证,但地址无法加密,因为一旦加密后通过路由器时无法识别和传送。 
发明内容
本发明所解决的技术问题在于提供一种基于私有协议的安全路由器的设备及实现方法,以解决背景技术中的问题。
本发明所解决的技术问题采用以下技术方案来实现:
一种基于私有协议的安全路由器的设备,包括:硬件部分和软件部分,所述硬件部分由网关接口模块、中央处理控制模块、加密模块和存储模块组成,所述软件部分由安全路由器专用操作系统、安全网关子系统、加密子系统、路由子系统和管理子系统组成。
在本发明的硬件部分,所述的网关接口模块根据需要可选用USB,或者是RJ45接口,或者是光纤接口等一系列网络接口。其功能为接收、发送来自网络的、属于自己的数据包;
所述的中央处理控制模块是专用集成电路或通用网络处理器,其主要功能一是负责路由器的配置管理和数据包的转发工作的管理和控制,如报头、报文的加密、减密、还原,路由寻址等工作;维护路由表格以及路由运算等。二是提供路由器信息流向的开关和通路;提供管理员利用终端与路由器进行通信,完成路由器配置;
所述的加密模块在驱动层提供地址、数据的加/减密; 
所述的存储模块存放主芯片运行及初始化程序。运行期间,RAM中包含目的主机编码地址代换表、IP路由表项目、IP缓冲项目、日志项目和队列中排队等待发送的分组。除此之外,还包括运行配置文件、正在执行的代码、操作系统程序和一些临时数据信息。 
在本发明的软件部分,所述的安全路由器专用操作系统是按GB/T18018—2007要求设计的安全专用操作系统;
在本发明中,所述的安全网关子系统在借助因特网组建网络时手工配置隧道、对隧道动态管理、地址代理、协议转换;  
所述的加密子系统在驱动层提供地址、数据的加/减密;
所述的路由子系统在网络层提供IPV4/IPV6和私有IP协议栈,在应用层提供私有IP协议栈的RIP、OSPF协议;
所述的管理子系统的接口模块分输入及输出两部分,所述输入部分即LAN网口,当符合路由器MAC地址时进入接收包状态,并经拆包地址减密分析、安全功能模块后决定送路由子系统还是网关子系统,所述输出部分即WAN网口是将路由子系统、网关子系统包装好的包送上网络。此外路由器还设置了本地及远程配置接口。所述安全功能模块用于确保自身安全,其包括防火墙、入侵检测、访问控制、审计等。
基于私有协议安全路由器的主要特点:
(1)多种自主地址分配模式
① 借助因特网自主构成专网,其客户端仍需访问因特网,统一分配其最大专网地址约为1700万个。客户端可不作任何修改。
② 借助因特网自主构成与因特网逻辑隔离专网,其客户端不能访问因特网,统一分配其最大专网地址为2的32次方。客户端可不作任何修改,在因特网上本路由器需因特网IPV4/IPV6地址以便建动态隧道。
③ 自主构专网,和其它网物理隔离,客户端要修改,统一分配其最大专网地址为2的160到1012次方。如客户端不修改,则可采用客户端的全段报文作为数据,由安全路由器加报头以IPV4/IPV6  OVER  IPVA方式传送,其最大专网地址为2的32--128次方。
   (2)多种组网方式
① 借助因特网自主构成专网,其客户端仍需访问因特网,客户端可不作任何修改。
② 借助因特网自主构成与因特网逻辑隔离专网,其客户端不能访问因特网,客户端可不作任何修改。
③ 自主构专网,和其它网物理隔离,客户端视网络规模决定是否要修改。
(3)地址认证、加密安全性好
① 由于自行设计的IP专用协议,公开面小因而保密性优于通用IP协议。报头,报文加密,地址编码不易被人破译,安全性好。
② 地址加密采用一包一密。因此即使同一机器接收同一文件,其侦听截下数据包头不同,使攻击者无法整理出同一机器同一文件的密文,也就增加了破译难度。这一点是现有IPSec无法做到的。
(4)其它特点
① 自成体系的专网和因特网实现逻辑隔离,信息不会外泄。
② 在地址编码时已考虑了地域组网,因而当组建独立大网时可以省去域名解析系统,并保持了自治域或通俗的疆土。
③ 使用因特网,动态隧道使信息定向发送,确保安全。
一种基于私有协议的安全路由器的实现方法,通过制定私有TCP/IP协议,在不改变网络主机软件的条件下,用户根据自身安全需要建立专网,编码方式采用现有IPV4/IPV6地址,在路由器网关上增加扩展码,组成新的地址,传送时再将源地址及目的地址共同产生地址校验,再将地址加密,解密则反之,本方法包括以下主要步骤:
 (1)基于私有协议安全路由器地址格式
私有协议地址的构成分成显式部分和隐式部分,显式部分的长度是20B-116B,隐式部分的地址长度是12B,用户只可以看到和配置显式的地址段,隐式地址段是安全网关用于地址加密验证。具体的地址格式如下:
注:CRC即循环冗余校验码(Cyclic Redundancy Check);IV即初始化向量,下同。
地址的表示方法是由英文字母和数字混合构成,地址段之间用‘|’来分隔。
    0段、1段、2段、3段、4段地址使用ASCII码表示。
第5段地址兼容IPv4/IPv6地址,表示方法IPv4的点分格式或IPv6的“:”分隔格式。
第6段地址是一个int类型,是0~5段的CRC校验和,用户无法看见和配置。
第7段地址8B长度,是用于AES_CTR算法的IV,用户无法看见和配置。
如以下例子所示:
(a)以中国(CN)湖南(HN)长沙(0731)开福区(05)路由器组网的地址为:
CN|ZJ|0571|01|BBAA|20.0.0.1 中国浙江0571地区(杭州)01段中BBAA类别的20.0.0.1
CN|ZJ|0579|02|T05Y|30.0.0.1 中国浙江0579地区(金华)02段中T05Y类别的30.0.0.1
(b)以行业组成专网的地址表示方法:
中国(CN)信息产业部(XX)湖南长沙信息委(0731)开福区(KF)信息科路由器组网的地址为:
CN|XX|0731|KF|SFP|10.0.0.1
 (c)以物联网编码为地址的表示方法:
中国(CN)商务部(MOFCOM)长沙某烟厂(BS)香烟类(XY)ean编码(690102819012)的2000:0:0:0:1:2345:6789:abcd为:CN|MOFCOM|BS|XY|690102819012|2000:0:0:0:1:2345:6789:abcd 。
(2)基于私有协议安全路由器网络结构
    以下陈述及实施例均以IPV4协议为例,IPv6协议与IPv4协议情况类似,与客户端应用无关。
(a)基于私有协议安全路由器适合于搭建专用网络,和因特网物理隔离。(b)使用因特网搭建虚拟专用网络,传输采用 IPvPA(IP私有协议,下同) OVER IPv4方式,和因特网逻辑隔离。
(c)使用因特网搭建虚拟专用网络,传输采用 IPvPA OVER IPv4方式,专网内客户端可通过路由器协议转换和隧道方式互相通讯,同时正常访问因特网。
     (3)基于私有协议安全路由器寻址方法
路由的寻址是通过内建的路由表来实现,路由表的每条信息表示了通往一个子网的数据包应该发送给所指定的路由器,路由表的信息可以静态输入或者由路由协议交换软件来生成。
静态输入就是手工输入是基于:
   (a)使用因特网搭建虚拟专用网络,和因特网逻辑隔离。
   (b)使用因特网搭建虚拟专用网络同时正常访问因特网。
静态输入的路由应该包括IPv4,IPvPA相关的路由信息等,并存入动态隧道数据库中,供隧道路由使用。搭建虚拟专网和正常访问因特网就是由于路由信息不同来区分的,配置路由也是实现虚拟专网的一部分。譬如我们指定一条往某个子网走虚拟专网的路由,另外一条走正常因特网的路由。
路由协议交换软件是基于:
搭建IPvPA专用网络,和其它网物理隔离。
而路由协议交换软件是指:这里的路由协议交换软件就是指RIP和OSPF,虚拟专网部分应该是由指定路由的隧道来实现的。
 (4)每个数据包进行地址加密、解密、验证流程:
 (a)地址加密
① 系统生成1个8B的随机数,填充到源地址中IV域中,作为128bit的IV的高64bit;系统生成1个8B的随机数,填充到目的地址中IV域中,作为128bi的IV的低64bit。
② 系统对地址前20B做CRC32的运算得出CRC校验值,填充到地址中的CRC域中。
③ 系统把源地址的IV和目的地址的IV拼装成一个128bit的IV,使用IV和userkey(userkey是系统预制的,是加密通讯所使用的对称密钥,长度为128bit)生成key流,使用key流和AES_CRT算法(高级加密标准(Advanced Encryption Standard,AES))对地址的前24B进行加密运算后,把明文替换成密文。
④ 发送密文地址信息。
(b)地址解密及验证
① 系统收到已经是密文地址的数据包。
② 系统把源地址的IV和目的地址的IV拼装成一个128bit的IV,使用IV和userkey(userkey是系统预制的,是加密通讯所使用的对称密钥,长度为128bit)生成key流,使用key流和AES_CRT算法对地址的前24B进行解密运算后,把密文替换成明文。
③ 系统读取CRC域中的CRC校验值,同时对地址前20B也进行CRC32运算,如果CRC校验值相同,则把数据包送给上层协议栈,否则丢弃。
有益效果:
本发明根据用户不同安全需求,具有不同的地址编码种组网方式;在地址编码时已考虑了层次,因而可以省去域名解析系统,并保持了自治域或通俗的疆土;它根据自身所处的物理位置,可采用地域、行政隶属等不同方式、层次,直接寻址的路由。路由器在网络层中传送的地址采用了加密和认证技术,做到“一包一密”。
附图说明
图1为本发明的一种基于私有协议安全路由器的硬件部分示意图。
图2为本发明的一种基于私有协议安全路由器的软件部分示意图。
图3为本发明自主建立专网网络拓扑和信息流向图。
图4为本发明使用因特网搭建虚拟专用网络拓扑和信息流向图。
图5为本发明使用因特网搭建虚拟专用网络同时正常访问因特网网络拓扑和信息流向图。
具体实施方式
为了使本发明的技术手段、创作特征、工作流程、使用方法达成目的与功效易于明白了解,下面结合具体图示,进一步阐述本发明。
如图1、图2所示,一种基于私有协议的安全路由器的设备,包括:硬件部分和软件部分,所述硬件部分由网关接口模块1、中央处理控制模块2、加密模块3和存储模块4组成,所述软件部分由安全路由器专用操作系统5、安全网关子系统6、加密子系统7、路由子系统8和管理子系统9组成。
在本发明中,所述的网关接口模块1根据需要可选用USB,或者是RJ45接口,或者是光纤接口等一系列网络接口。其功能为接收、发送来自网络的、属于自己的数据包。
在本发明中,所述的中央处理控制模块2是专用集成电路或通用网络处理器,其主要功能一是负责路由器的配置管理和数据包的转发工作的转发工作的管理和控制,如报头、报文的加密、减密、还原,路由寻址等工作;维护路由表格以及路由运算等。二是提供路由器信息流向的开关和通路;提供管理员利用终端与路由器进行通信,完成路由器配置。
在本发明中,所述的加密模块3在驱动层提供地址、数据的加/减密。
在本发明中,所述的存储模块4存放主芯片运行及初始化程序。运行期间,RAM中包含目的主机编码地址代换表、IP路由表项目、IP缓冲项目、日志项目和队列中排队等待发送的分组。除此之外,还包括运行配置文件、正在执行的代码、操作系统程序和一些临时数据信息。 
在本发明中,所述的安全路由器专用操作系统5是按GB/T18018—2007要求设计的安全专用操作系统。
在本发明中,所述的安全网关子系统6在借助因特网组建网络时对隧道动态管理、手工配置隧道、地址代理、协议转换。  
在本发明中,所述的加密子系统7在驱动层提供地址、数据的加/减密。
在本发明中,所述的路由子系统8在网络层提供IPV4和私有IP协议栈,在应用层提供私有IP协议栈的RIP、OSPF协议。
在本发明中,所述的管理子系统9的接口模块分输入及输出两部分,所述输入部分即LAN网口,当符合路由器MAC地址时进入接收包状态,并经拆包地址减密分析、安全功能模块后决定送路由子系统8还是网关子系统7,所述输出部分即WAN网口是将路由子系统8、网关子系统7包装好的包送上网络。此外路由器还设置了本地及远程配置接口。所述安全功能模块主要确保自身安全,其包括防火墙、入侵检测、访问控制、审计等。
一种基于私有协议的安全路由器的实现方法,通过制定私有TCP/IP协议,在不改变网络主机软件的条件下,用户根据自身安全需要建立专网,编码方式采用现有IPV4/IPV6地址,在路由器网关上增加扩展码,组成新的地址,传送时再将源地址及目的地址共同产生地址校验,再将地址加密,解密则反之。
    如图3、图4、图5所示,本发明在三种网络状态开启不同的软件功能模块,引导信息流:
 (A)搭建IPvPA专用网络
 客户端
 客户端操作系统的网络协议栈要修改,和IPV6类似,要安装IPvPA协议栈,同时应用程序也要做相应的修改。如客户端不修改,则可采用客户端的全段报文作为数据,由安全路由器加报头以IPV4  OVER  IPVA方式传送。
 地址数量
地址数量理论上可以达到2的160次方减1个,也是天文数字。如客户端不修改,其最大专网地址为2的32--128次方。这个可以按照客户的需求来决定的。
IPVPA客户端1发送和接收IPVPA协议类型的数据报文,IPVPA客户端2通讯。
在网络上信息流向和现有IPV4没有本质区别,也执行RIP和OSPF协议。不同的是,报头中版本号,源地址、目的地址均160位显性。
 模块工作流程:
① IPVPA客户端1向IPVPA路由器1发送IPVPA协议数据包;
② IPVPA路由器1输入接口接受IPVPA协议数据包;
③ IPVPA路由器1的管理子系统对该IPVPA协议数据包进行安全检测;
④ IPVPA路由器1的加密子系统对IPVPA协议数据包进行解密;
⑤ IPVPA路由器1的路由子系统对该数据包的发送方向进行选择;
⑥ IPVPA路由器1的加密子系统对该数据包进行加密;
⑦ IPVPA路由器1的输出接口将数据包发送给IPVPA边缘路由器1,报文进入IPVPA专网进行传输并传输至IPVPA边缘路由器2;
⑧ IPVPA路由器2的输入端口从IPVPA边缘路由器2接收到IPVPA客户端1发来的数据包;
⑨ IPVPA路由器2的管理子系统对该IPVPA协议数据包进行安全检测;
⑩ IPVPA路由器2的加密子系统对IPVPA协议数据包进行解密;
  IPVPA路由器2的路由子系统对该数据包的发送方向进行选择;
  IPVPA路由器2的加密子系统对该数据包进行加密;
  IPVPA路由器2的输出接口将数据包发送给IPVPA客户端2。
 (B)使用因特网搭建虚拟专用网络
 地址数量
 地址理论数量是2的32次方减1个。
 客户端
 客户端程序不要修改,但每个借助于因特网的路由器需要一个因特网的IPV4地址。
    网络拓扑基本情况:
① Ipv4客户端是一个完全的IPv4协议栈设备,发送接收的数据包都是IPv4数据报文。
② IPVPA路由器1是一个IPv4/VA的多栈路由器,执行了IPv4和IPVPA数据报文的转发功能;同时具备了IPv4与IPVPA协议互相转换的功能,是一个协议转换路由器;还具有VPN功能,可以和另一个(多个)IPVPA路由器构建site to site的VPN通道。
③ IPVPA路由器具备地址、数据加解密功能。
网络通讯基本流程(反向通讯步骤一样):
① IPv4客户端1发送IPv4数据报文;
② IPVPA路由器1修改来自IPv4客户端1的IPv4报文成IPVPA报文格式,同时转换IPv4地址(目的,源)成IPVPA地址,并加密地址、数据段和报文段(软件加密、硬件加密);
③ IPVPA路由器1根据已经搭建好的VPN通道,把加密后的IPVPA报文再封装成IPv4隧道报文发送给IPV4路由器1;
④ IPV4路由器1收到了封装后的IPv4隧道报文,只是简单的转发给正确的下一跳路由器;
⑤ IPV4路由器2收到了IPv4隧道报文转发给IPVPA路由器2;
⑥ IPVPA路由器2提前对IPv4隧道报文中的IPVPA报文并解密;
⑦ IPVPA路由器2对IPVPA报文明文转换成IPv4报文发送给IPv4客户端2;
⑧ IPv4客户端2接到到正确的IPv4数据报文完成通讯步骤。
模块工作流程:
① IPVPA客户端1向IPVPA路由器1发送IPV4协议数据包;
② IPVPA路由器1输入接口接受IPV4协议数据包;
③ IPVPA路由器1的管理子系统对该IPV4协议数据包进行安全检测;
④ IPVPA路由器1的网关子系统对IPV4协议数据包进行协议转换,形成新的IPVPA协议数据包;
⑤ IPVPA路由器1的加密子系统对IPVPA协议数据包进行解密;
⑥ IPVPA路由器1的网关子系统通过动态隧道管理功能将IPVPA协议数据包封装成IPV4数据包;
⑦ IPVPA路由器1的输出接口将数据包发送给IPV4路由器1,报文进入IPV4网络进行传输并传输至IPV4路由器2;
⑧ IPVPA路由器2的输入端口从IPV4路由器2接收到IPVPA客户端1发来的数据包(IPVPA OVER IPV4方式);
⑨ IPVPA路由器2的管理子系统对该数据包进行安全检测;
⑩ IPVPA路由器2的网关子系统通过动态隧道管理功能将IPV4协议数据包解包成IPVPA数据包;
  IPVPA路由器2的加密子系统对IPVPA协议数据包进行解密;
  IPVPA路由器2的网关子系统对IPVPA协议数据包进行协议转换,形成IPV4数据包。
  IPVPA路由器2的输出接口将数据包发送给IPVPA客户端2。
(C)使用因特网搭建虚拟专用网络同时正常访问因特网
隧道
隧道不是自动建立的,必须有网关管理员预先建立。目前的模式是网关——路由器——路由器——网关。这种情况下,只需要网关之上配置隧道,而路由器上是不需要做隧道配置。
如果确实有很多的子网需要相连,可以建立分层结构来减少隧道的数量,这个和网络的地址规划是同样的一个道理。比如最简单的星型拓扑。
地址数量
地址的个数应为IPV4的内网地址约1700万个。
网络通讯基本流程(反向通讯步骤一样):
IPv4客户端1访问因特网:
① IPv4客户端1发送IPv4数据报文;
② IPVPA路由器1根据发来目的地址判断:如果是本子网地址一定是互联的,所以内网的数据包在交换机这个层次已经交换了。主要是判断目的地址是否是已经指定的隧道对端地址,如果不是那就默认认为是IPV4地址则表明是因特网地址;
③ 启用IPV4协议栈、NAT模块,代换掉源地址,访问因特网。
IPv4客户端1访问虚拟内网:
① IPv4客户端1发送IPv4数据报文;
② IPVPA路由器1根据发来目的地址判断:如果是内网地址则表明是虚拟专用网络;
③ 修改来自IPv4客户端1的IPv4报文成IPVPA报文格式,同时转换IPv4地址(目的,源)成IPVPA地址,并加密地址数据段和报文段(软件加密、硬件加密);
④ IPVPA网关1根据已经搭建好的VPN通道,把加密后的IPVPA报文再封装成IPv4隧道报文发送给IPVPA路由器1;
⑤ IPVPA路由器1收到了封装后的IPv4隧道报文,只是简单的转发给正确的下一跳路由器;
⑥ IPVPA路由器2收到了IPv4隧道报文转发给IPVPA网关2;
⑦ IPVPA网关2提前IPv4隧道报文中的IPVPA报文并解密;
⑧ IPVPA网关2对IPVPA报文明文转换成IPv4报文发送给IPv4客户端2;
⑨ IPv4客户端2接到到正确的IPv4数据报文完成通讯步骤。
模块工作流程:
① IPVPA客户端1向IPVPA路由器1发送访问某大型网站请求数据包;
② IPVPA路由器1输入接口接受IPV4协议数据包;
③ IPVPA路由器1的管理子系统对该IPV4协议数据包进行安全检测;
④ IPVPA路由器1的管理子系统对该IPV4协议数据包进行对目的地址进行判断,如果目的地址是局域网地址,则按照模式2的模块工作流程进行运作,如果目的地址是IPV4外网地址,则网关子系统通过地址代理功能将数据包的私有地址转换为外网地址;
⑤ IPVPA路由器1的输出接口将数据包发送给IPV4路由器1,并通过IPV4外网传输至某大型网站服务器。
以上显示和描述了本发明的基本原理和主要特征和本发明的优点。本行业的技术人员应该了解,本发明不受上述实施例的限制,上述实施例和说明书中描述的只是说明本发明的原理,在不脱离本发明精神和范围的前提下,本发明还会有各种变化和改进,这些变化和改进都落入要求保护的本发明范围内。本发明要求保护范围由所附的权利要求书及其等效物界定。

Claims (1)

1.一种基于私有协议的安全路由器的实现方法,其特征在于,通过制定私有TCP/IP协议,在不改变网络主机软件的条件下,用户根据自身安全需要建立专网,编码方式采用现有IPv4/IPv6地址,在路由器网关上增加扩展码,组成新的地址,传送时再将源地址及目的地址共同产生地址校验,再将地址加密,解密则反之,本方法包括以下步骤:
(1)基于私有协议安全路由器地址格式:私有协议地址的构成分成显式地址段和隐式地址段,显式地址段的地址自主分段,包括地址扩展码和低位地址,地址扩展码是国家码、地区码、行业码、子类、物联网标识码或电子标签码,低位地址为IPv4或IPv6地址,每段地址都是以字节为单位,显式地址段的长度是20B-116B,隐式地址段的地址长度是12B,用户只能看到和配置显式地址段,隐式地址段是安全网关用于地址加密验证的;
(2)基于私有协议安全路由器网络结构:基于私有协议安全路由器适合于搭建专用网络,和因特网物理隔离;使用因特网搭建虚拟专用网络,传输采用 IPvPA OVER IPv4方式,和因特网逻辑隔离;专网内客户端通过路由器协议转换和隧道方式互相通讯,同时正常访问因特网;
(3)基于私有协议安全路由器寻址方法:路由器的寻址是通过内建的路由表来实现,路由表的每条信息表示了通往一个子网的数据包应该发送给所指定的路由器,路由表的信息采用静态输入或者由路由协议交换软件来生成;
(4)每个数据包进行地址加密、解密、验证流程:
系统生成1个8B的随机数,填充到源地址中IV域中,作为128bit的IV的高64bit;系统生成1个8B的随机数,填充到目的地址中IV域中,作为128bit的IV的低64bit;
系统对地址前20B做CRC32的运算得出CRC校验值,填充到地址中的CRC域中;
系统把源地址的IV和目的地址的IV拼装成一个128bit的IV,使用128bit的IV和userkey生成key流,使用key流和AES_CRT算法对地址的前24B进行加密运算后,把明文替换成密文;
发送密文地址信息;
系统收到已经是密文地址的数据包;
系统把源地址的IV和目的地址的IV拼装成一个128bit的IV,使用128bit的IV和userkey生成key流,使用key流和AES_CRT算法对地址的前24B进行解密运算后,把密文替换成明文;
系统读取CRC域中的CRC校验值,同时对地址前20B也进行CRC32运算,如果CRC校验值相同,则把数据包送给上层协议栈,否则丢弃;
所述的userkey是系统预制的,是加密通讯所使用的对称密钥,长度为128bit;IPvPA是IP私有协议;IV是初始化向量;key是密钥;AES是高级加密标准;CRT是C语言运行时库;CRC是循环冗余校验码;CRC32是32位循环冗余校验码。
CN201110380996.XA 2011-11-25 2011-11-25 一种基于私有协议的安全路由器的设备及实现方法 Expired - Fee Related CN102404220B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201110380996.XA CN102404220B (zh) 2011-11-25 2011-11-25 一种基于私有协议的安全路由器的设备及实现方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201110380996.XA CN102404220B (zh) 2011-11-25 2011-11-25 一种基于私有协议的安全路由器的设备及实现方法

Publications (2)

Publication Number Publication Date
CN102404220A CN102404220A (zh) 2012-04-04
CN102404220B true CN102404220B (zh) 2014-10-01

Family

ID=45886023

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201110380996.XA Expired - Fee Related CN102404220B (zh) 2011-11-25 2011-11-25 一种基于私有协议的安全路由器的设备及实现方法

Country Status (1)

Country Link
CN (1) CN102404220B (zh)

Families Citing this family (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107222504B (zh) * 2017-07-11 2020-06-12 深圳市斑点猫信息技术有限公司 一种p2p通信方法以及系统
CN109246142A (zh) * 2018-10-26 2019-01-18 深圳市通用互联科技有限责任公司 数据封装方法、路由器物联网网关及存储介质
CN109547978B (zh) * 2018-12-06 2021-05-18 西安电子科技大学 基于无线流量填充的IoT隐私保护系统及方法
CN113055336A (zh) * 2019-12-26 2021-06-29 东软集团(上海)有限公司 安全的消息路由方法、安全消息提醒方法、安全信息系统
WO2022147792A1 (zh) * 2021-01-08 2022-07-14 华为技术有限公司 一种交换系统、交换网络和交换节点
CN112953833B (zh) * 2021-03-25 2022-04-15 全讯汇聚网络科技(北京)有限公司 基于网桥实现三层路由转发的方法、系统及网关设备
CN114697186B (zh) * 2022-03-03 2023-08-15 中国电子科技集团公司第二十八研究所 一种基于对偶路由的即插式网络管理系统

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1833412A (zh) * 2003-08-06 2006-09-13 摩托罗拉公司 验证通信方法
CN1921488A (zh) * 2006-09-19 2007-02-28 清华大学 IPv6子网内基于签名认证的防止源地址伪造的方法
US7779461B1 (en) * 2004-11-16 2010-08-17 Juniper Networks, Inc. Point-to-multi-point/non-broadcasting multi-access VPN tunnels

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1833412A (zh) * 2003-08-06 2006-09-13 摩托罗拉公司 验证通信方法
US7779461B1 (en) * 2004-11-16 2010-08-17 Juniper Networks, Inc. Point-to-multi-point/non-broadcasting multi-access VPN tunnels
CN1921488A (zh) * 2006-09-19 2007-02-28 清华大学 IPv6子网内基于签名认证的防止源地址伪造的方法

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
《高性能安全路由器BW700O的设计与实现》;徐伟明等;《中国工程科学》;20020330;第4卷(第3期);第54页-第62页 *
徐伟明等.《高性能安全路由器BW700O的设计与实现》.《中国工程科学》.2002,第4卷(第3期),第54页-第62页.

Also Published As

Publication number Publication date
CN102404220A (zh) 2012-04-04

Similar Documents

Publication Publication Date Title
CN102404220B (zh) 一种基于私有协议的安全路由器的设备及实现方法
CN107294711B (zh) 一种基于vxlan技术的电力信息内网报文加密发布方法
CN104272674B (zh) 多隧道虚拟专用网络
CN103685467B (zh) 一种物联网互联互通平台及其通信方法
JP5060081B2 (ja) フレームを暗号化して中継する中継装置
CN107682284A (zh) 发送报文的方法和网络设备
CN108075890A (zh) 数据发送端、数据接收端、数据传输方法及系统
CN104660603A (zh) IPSec VPN中扩展使用量子密钥的方法及系统
CN104283701A (zh) 配置信息的下发方法、系统及装置
CN104702479A (zh) Sdn网络中建立隧道的方法和装置
CN107078898A (zh) 一种在多路径网络上建立安全私人互连的方法
KR101386809B1 (ko) 다중 mtu를 설정하는 모바일 디바이스 및 이를 이용한 데이터 전송 방법
CN110383280A (zh) 用于为时间感知的端到端分组流网络提供网络安全性的方法和装置
CN111010274A (zh) 一种安全低开销的SRv6实现方法
CN102438017B (zh) 基于路由功能的Modbus和BACnet Ethernet协议转化装置及转化方法
CN103227742B (zh) 一种IPSec隧道快速处理报文的方法
CN103795630A (zh) 一种标签交换网络的报文传输方法和装置
CN106209401B (zh) 一种传输方法及装置
Ilchev et al. Internet-of-Things communication protocol for low-cost devices in heterogeneous wireless networks
US10951520B2 (en) SDN, method for forwarding packet by SDN, and apparatus
Kouachi et al. Per packet flow anonymization in 6lowpan iot networks
CN103327020A (zh) 一种基于区域划分的安全接入方法和系统
Lackorzynski et al. Enabling and optimizing MACsec for industrial environments
CN103813312A (zh) 一种传感器网络中提高通信安全的方法
Rajkumar et al. Secure light weight encryption protocol for MANET

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
ASS Succession or assignment of patent right

Owner name: ZHOU MINGYUN

Free format text: FORMER OWNER: HU'NAN JUNTONG INFORMATION TECHNOLOGY CO., LTD.

Effective date: 20140814

C41 Transfer of patent application or patent right or utility model
TA01 Transfer of patent application right

Effective date of registration: 20140814

Address after: It's Mansion Property Management Center No. 303 Hunan province 410000 Changsha Kaifu District, the 31 Avenue

Applicant after: Zhou Mingyun

Address before: 410000 Hunan province Changsha Kaifu District, the 31 Avenue No. 303 wing garden building A room 410

Applicant before: Hunan Juntong Information Technology Co.,Ltd.

C14 Grant of patent or utility model
GR01 Patent grant
CF01 Termination of patent right due to non-payment of annual fee

Granted publication date: 20141001

Termination date: 20201125

CF01 Termination of patent right due to non-payment of annual fee