一种基于私有协议的安全路由器的设备及实现方法

摘要

本发明公开了一种基于私有协议的安全路由器的设备及实现方法，其设备包括：硬件部分和软件部分，所述硬件部分由网关接口模块、处理控制模块、加密模块和存储模块组成，所述软件部分由安全路由器专用操作系统、安全网关子系统、加密子系统、路由子系统和管理子系统组成；其实现方法为通过制定私有TCP/IP协议，在不改变网络主机软件的条件下，用户根据自身安全需要建立专网，编码方式采用现有IPV4/IPV6地址，在路由器网关上增加扩展码，组成新的地址，传送时再将源地址及目的地址共同产生地址校验，再将地址加密，解密则反之。本发明通过扩展地址编码、地址加密认证、隧道配置，解决了现有网络地址紧张、信息安全问题。

主权项

一种基于私有协议的安全路由器的实现方法，其特征在于，通过制定私有TCP/IP协议，在不改变网络主机软件的条件下，用户根据自身安全需要建立专网，编码方式采用现有IPv4/IPv6地址，在路由器网关上增加扩展码，组成新的地址，传送时再将源地址及目的地址共同产生地址校验，再将地址加密，解密则反之，本方法包括以下步骤：（1）基于私有协议安全路由器地址格式：私有协议地址的构成分成显式地址段和隐式地址段，显式地址段的地址自主分段，包括地址扩展码和低位地址，地址扩展码是国家码、地区码、行业码、子类、物联网标识码或电子标签码，低位地址为IPv4或IPv6地址，每段地址都是以字节为单位，显式地址段的长度是20B‑116B，隐式地址段的地址长度是12B，用户只能看到和配置显式地址段，隐式地址段是安全网关用于地址加密验证的；（2）基于私有协议安全路由器网络结构：基于私有协议安全路由器适合于搭建专用网络，和因特网物理隔离；使用因特网搭建虚拟专用网络，传输采用 IPvPA OVER IPv4方式，和因特网逻辑隔离；专网内客户端通过路由器协议转换和隧道方式互相通讯，同时正常访问因特网；（3）基于私有协议安全路由器寻址方法：路由器的寻址是通过内建的路由表来实现，路由表的每条信息表示了通往一个子网的数据包应该发送给所指定的路由器，路由表的信息采用静态输入或者由路由协议交换软件来生成；（4）每个数据包进行地址加密、解密、验证流程：系统生成1个8B的随机数，填充到源地址中IV域中，作为128bit的IV的高64bit；系统生成1个8B的随机数，填充到目的地址中IV域中，作为128bit的IV的低64bit；系统对地址前20B做CRC32的运算得出CRC校验值，填充到地址中的CRC域中；系统把源地址的IV和目的地址的IV拼装成一个128bit的IV，使用128bit的IV和userkey生成key流，使用key流和AES_CRT算法对地址的前24B进行加密运算后，把明文替换成密文；发送密文地址信息；系统收到已经是密文地址的数据包；系统把源地址的IV和目的地址的IV拼装成一个128bit的IV，使用128bit的IV和userkey生成key流，使用key流和AES_CRT算法对地址的前24B进行解密运算后，把密文替换成明文；系统读取CRC域中的CRC校验值，同时对地址前20B也进行CRC32运算，如果CRC校验值相同，则把数据包送给上层协议栈，否则丢弃；所述的userkey是系统预制的，是加密通讯所使用的对称密钥，长度为128bit；IPvPA是IP私有协议；IV是初始化向量；key是密钥；AES是高级加密标准；CRT是C语言运行时库；CRC是循环冗余校验码；CRC32是32位循环冗余校验码。