CN2402065Y - 路由器的安全加密模件 - Google Patents
路由器的安全加密模件 Download PDFInfo
- Publication number
- CN2402065Y CN2402065Y CN 00200437 CN00200437U CN2402065Y CN 2402065 Y CN2402065 Y CN 2402065Y CN 00200437 CN00200437 CN 00200437 CN 00200437 U CN00200437 U CN 00200437U CN 2402065 Y CN2402065 Y CN 2402065Y
- Authority
- CN
- China
- Prior art keywords
- router
- safety encipher
- module
- encipher module
- safety
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本实用新型涉及一种路由器的安全加密模件,包括单片微处理器和与之连接的存储、接口控制和运行密钥并生成乱数的加密算法处理单元,接口控制单元通过AT/PCI或专用总线与路由器连接。安全加密模件是一硬件卡,可外挂或内嵌在路由器里,内嵌式的安全加密模件与路由器集成为一体,在内部进行交互加密。模件与路由器间有机集成为带有加密功能的安全路由器,可有效阻止普通路由器非法侵入、对IP数据报作智能加密及灵活构建VPN等。
Description
本实用新型涉及一种计算机网络通讯设备,更确切地说是涉及一种路由器的安全加密模件。
随着Internet技术的迅猛发展,网络规模不断扩大,网络结构也更加复杂。而在Internet最初的设计中,其基本着眼点是解决各种异种结构系统的互连与操作,在安全性方面没有给予过多的考虑。相反,随着Internet技术的飞速发展,出于各种目的的盗用信息资源、窃取机密信息和攻击破坏网络的肇事者也越来越多,使Internet这个开放式系统的安全问题变得越来越严重,轻者信息泄漏、数据被毁,重者整个系统崩溃。因此在推广与应用Internet信息资源的同时,必须增强网络的安全性,减少由此而产生的安全问题。
目前,组建大型计算机网络的关键技术是TCP/IP网络互连和路由器技术,特别是在Internet中,路由器则起着重要的作用。路由器是网络的转接设备,它不断地接收和发送路由信息及IP数据报,因此路由信息和敏感的IP数据报的安全保护就成为一个极其重要的问题。
当前,国内市场上所流通的种种路由器几乎都是“普通路由器”和不具有加密功能的安全路由器,只有路由功能而没有安全加密功能,有的也只增加了包过滤功能,而带有身份鉴别和路由信息、IP数据包加密功能的安全路由器还不可见。由此可见,由于网络互连和路由技术是组建大型计算机信息网络的关键,研究一种具有加密模件的路由器,不仅是必要的而且是刻不容缓的。
本实用新型的目的是设计一种路由器的安全加密模件,通过该加密模件与普通路由器的有机集成,而构成带有加密功能的安全路由器,以有效阻止普通路由器的非法侵入,和对IP数据报进行智能加密,起到节点加密机的作用,并能灵活地构建VPN。
本实用新型的目的是这样实现的:一种路由器的安全加密模件,其特征在于:包括单片微处理器和与单片微处理器连接的存储单元、接口控制单元和运行密钥并生成乱数的加密算法处理单元;所述的安全加密模件由接口控制单元通过总线与路由器连接。
所述的安全加密模件是硬件卡,外挂在路由器外,在路由器外部进行加密。
所述的安全加密模件是硬件卡,内嵌在路由器里,与路由器集成为一体后在路由器内部进行交互加密。
所述的接口控制单元包括缓冲存储器和接口控制电路。
所述的存储单元包括运行程序、存储密文数据的静态随机存取存储器(SRAM)和存储程序的非易失性只读存取存储器(EEPROM),所述的密文由明文信息与乱数结合生成。
所述的总线是AT/PCI总线或专用总线。
还包括有可产生随机噪音、用作密钥种子的噪音源,由集电极悬空的晶体三极管输入级、晶体三极管放大级和由运算放大器、电阻分压器连接构成的电压比较器顺序连接构成,电压比较器输出端连接所述的单片微处理器。
本实用新型的路由器的安全加密模件,由于对路由器具有鉴别功能,可辨认虚假路由信息,阻止“自制路由器”接入网络之中,并可防止虚假路由信息的接收和路由器的非法接入;可防范非授权人员从路由器的操作系统入手侵入路由器,来更改路由表或窃取有用信息;由于安全加密模件涉及加密算法、密钥、数据完整性验证和数字签名问题,因而对路由信息和敏感的数据报具有加密保护功能。
本实用新型的路由器的安全加密模件,选择由我国有关部门批准的加密算法,并以一次一密进行加密作业,即每次加密所用的密钥互不相同,其中的密钥包括密钥种子、密钥的随机性、密钥的种类和层次、密钥长度、密钥生成算法的复杂度、密钥保护及密钥的存储、传输、更换、废除及其管理方式等;可对IP数据报进行完整性验证和对传送的密钥作完整性验证;采用加密技术作数字签名,以对发报者作确认。
下面结合实施例及附图进一步说明本实用新型的技术。
图1是本实用新型的路由器安全加密模件原理性结构框图
图2是图1中单片微处理器的实施电路图
图3、图4是图1中存储单元的实施电路图,其中图3所示是静态随机存取存储器SRAM的实施电路,图4是非易失性只读存取存储器EEPROM的实施电路
图5、图6是图1中接口控制单元的实施电路图,其中图5是缓冲存储器FIFO的实施电路,图6是接口控制电路EPLD的实施电路
图7是加密算法处理单元的实施电路
图8是噪音源实施电路
参见图1,本实用新型的路由器安全加密模件,由加密卡和相应的软件及驱动程序构成。加密卡主要包括单片微处理器(CPU)11和与单片微处理器11连接的存储单元12、包括输入输出及控制的接口控制单元13和完成加脱密处理的加密算法处理单元14,安全加密模件由接口控制单元13通过AT/PCI总线14与路由器连接。路由器安全加密模件,可提供对路由信息的加密功能,实现OSPF协议认证、身份鉴别、路由信息和IP数据报加密、数字签名及数据完整性验证;可提供三级密钥设置和完善灵活的密钥生成、存储、分配、传递的分布式管理功能,无需专设密钥管理中心;提供分组密码、序列密码和公开密钥密码三种经“国密办”认定的加密算法,其中的分组密码,密钥长度128bit,处理速度2Mbps;序列密码的密钥长度128bit,处理速度10Mbps;公开密钥密码的密钥长度512bit,处理速度1Kbps。本实用新型的路由器安全加密模件,和路由器防火墙等安全系统有机集成,可使路由器的功能大大增强,使信息网络更加安全。本实用新型的路由器安全加密模件,采用函数连接即软连接和标准总线即硬连接的机制,且与非标准总线路由器的连接也十分灵活。
本实用新型的路由器安全加密模件,在实施时可采用外挂式体系结构,即安全加密模件外挂在路由器外,加密在路由器外部进行;但最好采用内嵌式的体系结构,即安全加密模件与路由器间通过有机集成,而形成内嵌式的安全加密路由器。该内嵌式的安全加密路由器,是将加密模件内嵌在路由器里,加密模件与路由器集成为一体进行内部交互,加密在路由器内部进行。
通过保密性、灵活性、经济性和效率诸方面的比较分析,内嵌式的安全加密路由器均好于外挂式的安全加密路由器,因为:路由器大都设有多个广域口,在解决多个广域口的保密问题时,内嵌式的相对外挂式的简单且易于实现一次一密;内嵌式的可由用户自行设置要加密的客户机和(或)服务器,而外挂式的则需对经过路由器的所有客户机和服务器的IP数据报都要加密,且在分布式密钥管理机制下,内嵌式的密钥管理可不必专设密钥管理中心;由于不必制作成一台独立的装置且不必加设密钥管理中心,因而内嵌式的模件成本较低;内嵌式的加密模件在路由器内进行内部交互、连接且不必与密钥管理中心进行交互,因此加密速度及效率均优于外挂式。
本路由器安全加密模件,通过设计8个函数实现安全加密模件与路由器间的连接,包括KeyModify、TestModule、TransKey、CreateMK、CreateSK、Encry、Decry和MD5。
本路由器安全加密模件的工作流程是:加入系统前的准备,包括密钥的生成、存储、传送和模件的初始化等;系统自动完成路由信息加密;选用多任务实时操作系统加密模件,选用PCI总线或专用总线,并通过标准总线插槽与路由器连接。
所述的专用总线,是路由器与加密模件间的连接接口,路由器主板通过该连接接口与加密模件以多种方式进行交互,交互方式一般有单端口读写、单端口先进先出缓冲器(FIFO)及双端口存储器操作等,数据宽度八位、十六位可选,而路由器主板可根据加密模件不同的操作方式灵活地选择相应的模式进行配合。路由器与加密模件间的连接采用64针插针式连接件,含有电源、地及交互信号。其中电源是+5V Vcc和+12V,地是电源及交互信号地线,交互信号包括/CS、R/W非、D0-D15、A0-A15、/RESET、IRQA和IRQB非。其中,/CS为连接端口使能信号,信号周期可在60ns-80ns间进行调节,以适应不同加密模件运行速度的要求,/CS信号由路由器送往加密模件,低电平有效;R/W非为连接端口读写信号,信号周期配合/CS信号作相应调整,该信号由路由器送往加密模件,低电平为写有效,高电平为读有效;D0-D15为连接接口双向三态数据总线,信号周期配合/CS信号作相应调整;A0-A15为连接接口的单向地址总线,信号周期配合/CS信号作相应调整;/RESET为连接接口的系统复位信号,该信号由路由器送往加密模件,低电平有效,信号宽度大于100us;IRQA为路由器送往加密模件中断请求信号,该信号为正脉冲,脉宽大于60ns;IRQB非为加密模件进往路由器的中断请求信号,该信号为负脉冲,脉宽大于60ns。
本路由器安全加密模件的软件包括:实时操作系统下的驱动程序;用单片机编制的算法软件,包括一级与二级密钥的生成算法、双密钥加密算法、对话密钥即工作密钥(SK)生成算法;单片机的控制程序和与路由器连接的接口控制程序。路由器可通过检测函数检测加密模件是否正常,并由路由器在控制面板上显示报警以供处理。本路由器安全加密模件的密钥管理不必通过专设管理中心进行,而是采用分布式密钥管理机制。
参见图2,图中示出本实用新型的路由器安全加密模件结构中单片微处理器的实施电路,采用32位(U1)并行运行的CPU(TMS320C32),图中地址总线AB及数据总线DB与其余图中的地址总线AB、数据总线DB连接。
参见图3、图4,图中示出本实用新型的路由器安全加密模件结构中存储单元的实施电路,静态随机存取存储器SRAM由四块(U2至U5)IDT71256组成,存放工作程序的非易失性只读存取存储器EEPROM,包括二块29EE010(U6、U7),所存储的数据在掉电时也不会丢失。
参见图5、图6,图中示出本实用新型的路由器安全加密模件结构中接口控制单元的实施电路,包括2组一进一出的缓冲存储器(IDT7204,16位),一组由U9、U10组成,另一组由U11、U12组成,图5中SL1为选通信号,RESET为复位信号,FIFO R为读缓冲存储器控制信号,FIFO W为写缓冲存储器控制信号,FIFO R/W为读/写缓冲存储器控制信号,FIFO W/R为写/读缓冲存储器控制信号,CD00至CD15为“入”数据信号,D00至D15为“出”数据信号;还包括接口控制EPLD电路,由U8(EPM7160S)构成,该接口控制电路在单片微处理器U1的控制下用于生成所有的控制信号,包括时序信号等,带保密位,并且在一旦烧毁时就不可再读出。
参见图7,图中示出本实用新型的路由器安全加密模件结构中加密算法处理单元的实施电路,由一片84脚的U13商密加密算法专用集成芯片(ABX1)组成,其加密算法处理包括算法、译码、控制及时序处理。
参见图8,图中示出本实用新型的路由器安全加密模件,在生成密钥时所采用的噪音源电路,用作密钥种子,其晶体三极管T1的集电极悬空,而可产生随机噪音,经放大、电压比较整合后的信号由NOISE端输出,送图2中单片微处理器的DR0端(1脚),在系统编程时送存储器的某一地址中作运算,供生成密钥。
将图2至图8电路联系起来作如下说明:路由器通过专用总线或AT/PCI总线送控制命令至安全加密模件硬件卡的缓冲存储器(FIFO)U9至U12,并给出相应的控制信号及中断请求信号IRQA,安全加密模件硬件卡一旦查询到路由器发来的中断请求信号IRQA则转中断服务程序;同时安全加密模件硬件卡的接口控制电路U8(EPLD)接收到由路由器给出的控制信号;中断服务程序将控制命令从缓冲存储器(FIFO)U9至U12中取出并送随机存取存储器(SRAM)U2至U5中;由单片微处理器U1取控制命令,将控制命令译码并转相应处理程序;处理结束后,单片微处理器U1将处理结果送到缓冲存储器(FIFO)U9至U12输出,并发中断请求信号IRQB给路由器,路由器接收中断请求信号IRQB,取走处理结果,并清中断。
以“信息加密”控制命令为例作进一步说明:
第一个字,0000标志控制命令开始;
第二个字,0001商密,由单片微处理器U1控制加密算法处理单元U13(ABX1)选定商密加密算法;
第三个字,0460信息加密,由单片微处理器U1控制转信息加密处理程序;
第四个字,0004序列密码,由单片微处理器U1控制加密算法处理单元U13(ABX1)选序列密码加密算法,对信息进行加密操作。
单片微处理器U1运行主控程序,产生加密算法处理单元U13(ABX1)所需要的密钥,并控制将密钥送到加密算法处理单元U13(ABX1),加密算法处理单元U13(ABX1)运行密钥并生成乱数,再由主控程序将明文信息与该乱数进行结合而形成密文并存放在SRAM(U2至U5)中,主控程序将密文从存储器中取出送到缓冲存储器(FIFO)U9至U12输出,并发中断请求信号IRQB给路由器,路由器接收到中断请求信号IRQB后,将安全加密模件的处理结果即密文从缓冲存储器(FIFO)U9至U12中取走,并清除安全加密模件的中断请求信号IRQB。
综上所述,本实用新型带有加密模件的安全路由器与普通路由器的重要区别是实现了路由器的身份鉴别和对路由信息的加密以及对IP数据报的智能加密,因而可有效阻止路由器的非法接入,并从根本上防止了信息的泄漏,使非法截获者难以解读报文的真意。由于安全加密模件提供了对信息的加密功能,将使OSPF协议认证、身份鉴别、路由信息和IP数据报加密、数字签名以及数据完整性验证等有了实现的技术基础,不仅能使路由器自身得到保护,而且由于能对IP数据报进行智能加密,从而使安全路由器具有节点加密机的功能,并能灵活构建VPN。将安全加密模件与路由器的安全系统(主要指防火墙功能)有机地集成,将大大增强安全路由器的功能,使信息网络更加安全。
Claims (7)
1.一种路由器的安全加密模件,其特征在于:包括单片微处理器和与单片微处理器连接的存储单元、接口控制单元和运行密钥并生成乱数的加密算法处理单元;所述的安全加密模件由接口控制单元通过总线与路由器连接。
2.根据权利要求1所述的一种路由器的安全加密模件,其特征在于:所述的安全加密模件是硬件卡,外挂在路由器外,在路由器外部进行加密。
3.根据权利要求1所述的一种路由器的安全加密模件,其特征在于:所述的安全加密模件是硬件卡,内嵌在路由器里,与路由器集成为一体后在路由器内部进行交互加密。
4.根据权利要求1所述的一种路由器的安全加密模件,其特征在于:所述的接口控制单元包括缓冲存储器和接口控制电路。
5.根据权利要求1所述的一种路由器的安全加密模件,其特征在于:所述的存储单元包括运行程序、存储密文数据的静态随机存取存储器(SRAM)和存储程序的非易失性只读存取存储器(EEPROM),所述的密文由明文信息与乱数结合生成。
6.根据权利要求1所述的一种路由器的安全加密模件,其特征在于:所述的总线是AT/PCI总线或专用总线。
7.根据权利要求1或2或3或4或5或6所述的一种路由器的安全加密模件,其特征在于:还包括有可产生随机噪音、用作密钥种子的噪音源,由集电极悬空的晶体三极管输入级、晶体三极管放大级和由运算放大器、电阻分压器连接构成的电压比较器顺序连接构成,电压比较器输出端连接所述的单片微处理器。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN 00200437 CN2402065Y (zh) | 2000-01-11 | 2000-01-11 | 路由器的安全加密模件 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN 00200437 CN2402065Y (zh) | 2000-01-11 | 2000-01-11 | 路由器的安全加密模件 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN2402065Y true CN2402065Y (zh) | 2000-10-18 |
Family
ID=33569921
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN 00200437 Expired - Fee Related CN2402065Y (zh) | 2000-01-11 | 2000-01-11 | 路由器的安全加密模件 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN2402065Y (zh) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105357218A (zh) * | 2015-12-03 | 2016-02-24 | 上海斐讯数据通信技术有限公司 | 一种具备硬件加解密功能的路由器及其加解密方法 |
CN105991350A (zh) * | 2015-06-29 | 2016-10-05 | 杭州迪普科技有限公司 | 业务处理方法、装置以及网络设备 |
-
2000
- 2000-01-11 CN CN 00200437 patent/CN2402065Y/zh not_active Expired - Fee Related
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105991350A (zh) * | 2015-06-29 | 2016-10-05 | 杭州迪普科技有限公司 | 业务处理方法、装置以及网络设备 |
CN105357218A (zh) * | 2015-12-03 | 2016-02-24 | 上海斐讯数据通信技术有限公司 | 一种具备硬件加解密功能的路由器及其加解密方法 |
WO2017092504A1 (zh) * | 2015-12-03 | 2017-06-08 | 上海斐讯数据通信技术有限公司 | 一种具备硬件加解密功能的路由器及其加解密方法 |
CN105357218B (zh) * | 2015-12-03 | 2018-07-24 | 上海斐讯数据通信技术有限公司 | 一种具备硬件加解密功能的路由器及其加解密方法 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN1926837B (zh) | 在网络域中与网络端点上的嵌入式代理共享密钥的方法、装置 | |
CN102118271B (zh) | 发现非法接入设备的方法 | |
CN105959111B (zh) | 基于云计算和可信计算的信息安全大数据资源访问控制系统 | |
CN103490895A (zh) | 一种应用国密算法的工业控制身份认证方法及装置 | |
Denning | Secure personal computing in an insecure network | |
Landwehr et al. | Privacy and cybersecurity: The next 100 years | |
Mueller et al. | Plug-and-secure communication for CAN | |
CN109756329A (zh) | 基于私钥池的抗量子计算共享密钥协商方法和系统 | |
JP2003526836A (ja) | 通信ネットワークを安全化するための方法、システム、サーバ、および装置 | |
Alkalbani et al. | Comparison between RSA hardware and software implementation for WSNs security schemes | |
CN102170424A (zh) | 基于三级安全体系架构的移动介质安全防护系统 | |
JP2003527035A (ja) | 遠隔の第三者監視を有する自動識別保護システム | |
CN109104433A (zh) | 一种分布式加密存储系统 | |
CN110430178A (zh) | 一种用于网络安全系统防护的安全芯片及使用该芯片的网络安全系统 | |
US8788817B1 (en) | Methods and apparatus for secure and reliable transmission of messages over a silent alarm channel | |
CN108737078A (zh) | 一种数据密码运算方法及数据密码服务器 | |
CN103379103A (zh) | 线性与加密解密的硬件实现方法 | |
CN2402065Y (zh) | 路由器的安全加密模件 | |
Johnson et al. | A secure distributed capability based system | |
Hu | Study of file encryption and decryption system using security key | |
CN111541663A (zh) | 一种基于国家密码标准的链路交换加密系统 | |
CN102355375B (zh) | 具有隐私保护功能的分布式异常流量检测方法与系统 | |
CN108900307A (zh) | Pgp密钥管理认证密码恢复算法的fpga实现方法 | |
CN102868748A (zh) | 一种文件安全共享系统及文件安全共享服务器、客户端 | |
CN202268896U (zh) | 基于iButton的分离式密钥安全存储装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C14 | Grant of patent or utility model | ||
GR01 | Patent grant | ||
C19 | Lapse of patent right due to non-payment of the annual fee | ||
CF01 | Termination of patent right due to non-payment of annual fee |