專(zhuān)利名稱(chēng)：路由器的安全加密模件的制作方法
技術(shù)領(lǐng)域：
本實(shí)用新型涉及一種計(jì)算機(jī)網(wǎng)絡(luò)通訊設(shè)備，更確切地說(shuō)是涉及一種路由器的安全加密模件。
隨著Internet技術(shù)的迅猛發(fā)展，網(wǎng)絡(luò)規(guī)模不斷擴(kuò)大，網(wǎng)絡(luò)結(jié)構(gòu)也更加復(fù)雜。而在Internet最初的設(shè)計(jì)中，其基本著眼點(diǎn)是解決各種異種結(jié)構(gòu)系統(tǒng)的互連與操作，在安全性方面沒(méi)有給予過(guò)多的考慮。相反，隨著Internet技術(shù)的飛速發(fā)展，出于各種目的的盜用信息資源、竊取機(jī)密信息和攻擊破壞網(wǎng)絡(luò)的肇事者也越來(lái)越多，使Internet這個(gè)開(kāi)放式系統(tǒng)的安全問(wèn)題變得越來(lái)越嚴(yán)重，輕者信息泄漏、數(shù)據(jù)被毀，重者整個(gè)系統(tǒng)崩潰。因此在推廣與應(yīng)用Internet信息資源的同時(shí)，必須增強(qiáng)網(wǎng)絡(luò)的安全性，減少由此而產(chǎn)生的安全問(wèn)題。
目前，組建大型計(jì)算機(jī)網(wǎng)絡(luò)的關(guān)鍵技術(shù)是TCP/IP網(wǎng)絡(luò)互連和路由器技術(shù)，特別是在Internet中，路由器則起著重要的作用。路由器是網(wǎng)絡(luò)的轉(zhuǎn)接設(shè)備，它不斷地接收和發(fā)送路由信息及IP數(shù)據(jù)報(bào)，因此路由信息和敏感的IP數(shù)據(jù)報(bào)的安全保護(hù)就成為一個(gè)極其重要的問(wèn)題。
當(dāng)前，國(guó)內(nèi)市場(chǎng)上所流通的種種路由器幾乎都是“普通路由器”和不具有加密功能的安全路由器，只有路由功能而沒(méi)有安全加密功能，有的也只增加了包過(guò)濾功能，而帶有身份鑒別和路由信息、IP數(shù)據(jù)包加密功能的安全路由器還不可見(jiàn)。由此可見(jiàn)，由于網(wǎng)絡(luò)互連和路由技術(shù)是組建大型計(jì)算機(jī)信息網(wǎng)絡(luò)的關(guān)鍵，研究一種具有加密模件的路由器，不僅是必要的而且是刻不容緩的。
本實(shí)用新型的目的是設(shè)計(jì)一種路由器的安全加密模件，通過(guò)該加密模件與普通路由器的有機(jī)集成，而構(gòu)成帶有加密功能的安全路由器，以有效阻止普通路由器的非法侵入，和對(duì)IP數(shù)據(jù)報(bào)進(jìn)行智能加密，起到節(jié)點(diǎn)加密機(jī)的作用，并能靈活地構(gòu)建VPN。
本實(shí)用新型的目的是這樣實(shí)現(xiàn)的一種路由器的安全加密模件，其特征在于包括單片微處理器和與單片微處理器連接的存儲(chǔ)單元、接口控制單元和運(yùn)行密鑰并生成亂數(shù)的加密算法處理單元；所述的安全加密模件由接口控制單元通過(guò)總線(xiàn)與路由器連接。
所述的安全加密模件是硬件卡，外掛在路由器外，在路由器外部進(jìn)行加密。
所述的安全加密模件是硬件卡，內(nèi)嵌在路由器里，與路由器集成為一體后在路由器內(nèi)部進(jìn)行交互加密。
所述的接口控制單元包括緩沖存儲(chǔ)器和接口控制電路。
所述的存儲(chǔ)單元包括運(yùn)行程序、存儲(chǔ)密文數(shù)據(jù)的靜態(tài)隨機(jī)存取存儲(chǔ)器(SRAM)和存儲(chǔ)程序的非易失性只讀存取存儲(chǔ)器(EEPROM)，所述的密文由明文信息與亂數(shù)結(jié)合生成。
所述的總線(xiàn)是AT/PCI總線(xiàn)或?qū)Ｓ每偩€(xiàn)。
還包括有可產(chǎn)生隨機(jī)噪音、用作密鑰種子的噪音源，由集電極懸空的晶體三極管輸入級(jí)、晶體三極管放大級(jí)和由運(yùn)算放大器、電阻分壓器連接構(gòu)成的電壓比較器順序連接構(gòu)成，電壓比較器輸出端連接所述的單片微處理器。
本實(shí)用新型的路由器的安全加密模件，由于對(duì)路由器具有鑒別功能，可辨認(rèn)虛假路由信息，阻止“自制路由器”接入網(wǎng)絡(luò)之中，并可防止虛假路由信息的接收和路由器的非法接入；可防范非授權(quán)人員從路由器的操作系統(tǒng)入手侵入路由器，來(lái)更改路由表或竊取有用信息；由于安全加密模件涉及加密算法、密鑰、數(shù)據(jù)完整性驗(yàn)證和數(shù)字簽名問(wèn)題，因而對(duì)路由信息和敏感的數(shù)據(jù)報(bào)具有加密保護(hù)功能。
本實(shí)用新型的路由器的安全加密模件，選擇由我國(guó)有關(guān)部門(mén)批準(zhǔn)的加密算法，并以一次一密進(jìn)行加密作業(yè)，即每次加密所用的密鑰互不相同，其中的密鑰包括密鑰種子、密鑰的隨機(jī)性、密鑰的種類(lèi)和層次、密鑰長(zhǎng)度、密鑰生成算法的復(fù)雜度、密鑰保護(hù)及密鑰的存儲(chǔ)、傳輸、更換、廢除及其管理方式等；可對(duì)IP數(shù)據(jù)報(bào)進(jìn)行完整性驗(yàn)證和對(duì)傳送的密鑰作完整性驗(yàn)證；采用加密技術(shù)作數(shù)字簽名，以對(duì)發(fā)報(bào)者作確認(rèn)。
下面結(jié)合實(shí)施例及附圖進(jìn)一步說(shuō)明本實(shí)用新型的技術(shù)。


圖1是本實(shí)用新型的路由器安全加密模件原理性結(jié)構(gòu)框圖圖2是圖1中單片微處理器的實(shí)施電路圖圖3、圖4是圖1中存儲(chǔ)單元的實(shí)施電路圖，其中圖3所示是靜態(tài)隨機(jī)存取存儲(chǔ)器SRAM的實(shí)施電路，圖4是非易失性只讀存取存儲(chǔ)器EEPROM的實(shí)施電路圖5、圖6是圖1中接口控制單元的實(shí)施電路圖，其中圖5是緩沖存儲(chǔ)器FIFO的實(shí)施電路，圖6是接口控制電路EPLD的實(shí)施電路圖7是加密算法處理單元的實(shí)施電路圖8是噪音源實(shí)施電路參見(jiàn)圖1，本實(shí)用新型的路由器安全加密模件，由加密卡和相應(yīng)的軟件及驅(qū)動(dòng)程序構(gòu)成。加密卡主要包括單片微處理器(CPU)11和與單片微處理器11連接的存儲(chǔ)單元12、包括輸入輸出及控制的接口控制單元13和完成加脫密處理的加密算法處理單元14，安全加密模件由接口控制單元13通過(guò)AT/PCI總線(xiàn)14與路由器連接。路由器安全加密模件，可提供對(duì)路由信息的加密功能，實(shí)現(xiàn)OSPF協(xié)議認(rèn)證、身份鑒別、路由信息和IP數(shù)據(jù)報(bào)加密、數(shù)字簽名及數(shù)據(jù)完整性驗(yàn)證；可提供三級(jí)密鑰設(shè)置和完善靈活的密鑰生成、存儲(chǔ)、分配、傳遞的分布式管理功能，無(wú)需專(zhuān)設(shè)密鑰管理中心；提供分組密碼、序列密碼和公開(kāi)密鑰密碼三種經(jīng)“國(guó)密辦”認(rèn)定的加密算法，其中的分組密碼，密鑰長(zhǎng)度128bit，處理速度2Mbps；序列密碼的密鑰長(zhǎng)度128bit，處理速度10Mbps；公開(kāi)密鑰密碼的密鑰長(zhǎng)度512bit，處理速度1Kbps。本實(shí)用新型的路由器安全加密模件，和路由器防火墻等安全系統(tǒng)有機(jī)集成，可使路由器的功能大大增強(qiáng)，使信息網(wǎng)絡(luò)更加安全。本實(shí)用新型的路由器安全加密模件，采用函數(shù)連接即軟連接和標(biāo)準(zhǔn)總線(xiàn)即硬連接的機(jī)制，且與非標(biāo)準(zhǔn)總線(xiàn)路由器的連接也十分靈活。
本實(shí)用新型的路由器安全加密模件，在實(shí)施時(shí)可采用外掛式體系結(jié)構(gòu)，即安全加密模件外掛在路由器外，加密在路由器外部進(jìn)行；但最好采用內(nèi)嵌式的體系結(jié)構(gòu)，即安全加密模件與路由器間通過(guò)有機(jī)集成，而形成內(nèi)嵌式的安全加密路由器。該內(nèi)嵌式的安全加密路由器，是將加密模件內(nèi)嵌在路由器里，加密模件與路由器集成為一體進(jìn)行內(nèi)部交互，加密在路由器內(nèi)部進(jìn)行。
通過(guò)保密性、靈活性、經(jīng)濟(jì)性和效率諸方面的比較分析，內(nèi)嵌式的安全加密路由器均好于外掛式的安全加密路由器，因?yàn)槁酚善鞔蠖荚O(shè)有多個(gè)廣域口，在解決多個(gè)廣域口的保密問(wèn)題時(shí)，內(nèi)嵌式的相對(duì)外掛式的簡(jiǎn)單且易于實(shí)現(xiàn)一次一密；內(nèi)嵌式的可由用戶(hù)自行設(shè)置要加密的客戶(hù)機(jī)和(或)服務(wù)器，而外掛式的則需對(duì)經(jīng)過(guò)路由器的所有客戶(hù)機(jī)和服務(wù)器的IP數(shù)據(jù)報(bào)都要加密，且在分布式密鑰管理機(jī)制下，內(nèi)嵌式的密鑰管理可不必專(zhuān)設(shè)密鑰管理中心；由于不必制作成一臺(tái)獨(dú)立的裝置且不必加設(shè)密鑰管理中心，因而內(nèi)嵌式的模件成本較低；內(nèi)嵌式的加密模件在路由器內(nèi)進(jìn)行內(nèi)部交互、連接且不必與密鑰管理中心進(jìn)行交互，因此加密速度及效率均優(yōu)于外掛式。
本路由器安全加密模件，通過(guò)設(shè)計(jì)8個(gè)函數(shù)實(shí)現(xiàn)安全加密模件與路由器間的連接，包括KeyModify、TestModule、TransKey、CreateMK、CreateSK、Encry、Decry和MD5。
本路由器安全加密模件的工作流程是加入系統(tǒng)前的準(zhǔn)備，包括密鑰的生成、存儲(chǔ)、傳送和模件的初始化等；系統(tǒng)自動(dòng)完成路由信息加密；選用多任務(wù)實(shí)時(shí)操作系統(tǒng)加密模件，選用PCI總線(xiàn)或?qū)Ｓ每偩€(xiàn)，并通過(guò)標(biāo)準(zhǔn)總線(xiàn)插槽與路由器連接。
所述的專(zhuān)用總線(xiàn)，是路由器與加密模件間的連接接口，路由器主板通過(guò)該連接接口與加密模件以多種方式進(jìn)行交互，交互方式一般有單端口讀寫(xiě)、單端口先進(jìn)先出緩沖器(FIFO)及雙端口存儲(chǔ)器操作等，數(shù)據(jù)寬度八位、十六位可選，而路由器主板可根據(jù)加密模件不同的操作方式靈活地選擇相應(yīng)的模式進(jìn)行配合。路由器與加密模件間的連接采用64針插針式連接件，含有電源、地及交互信號(hào)。其中電源是+5V Vcc和+12V，地是電源及交互信號(hào)地線(xiàn)，交互信號(hào)包括/CS、R/W非、D0-D15、A0-A15、/RESET、IRQA和IRQB非。其中，/CS為連接端口使能信號(hào)，信號(hào)周期可在60ns-80ns間進(jìn)行調(diào)節(jié)，以適應(yīng)不同加密模件運(yùn)行速度的要求，/CS信號(hào)由路由器送往加密模件，低電平有效；R/W非為連接端口讀寫(xiě)信號(hào)，信號(hào)周期配合/CS信號(hào)作相應(yīng)調(diào)整，該信號(hào)由路由器送往加密模件，低電平為寫(xiě)有效，高電平為讀有效；D0-D15為連接接口雙向三態(tài)數(shù)據(jù)總線(xiàn)，信號(hào)周期配合/CS信號(hào)作相應(yīng)調(diào)整；A0-A15為連接接口的單向地址總線(xiàn)，信號(hào)周期配合/CS信號(hào)作相應(yīng)調(diào)整；/RESET為連接接口的系統(tǒng)復(fù)位信號(hào)，該信號(hào)由路由器送往加密模件，低電平有效，信號(hào)寬度大于100us；IRQA為路由器送往加密模件中斷請(qǐng)求信號(hào)，該信號(hào)為正脈沖，脈寬大于60ns；IRQB非為加密模件進(jìn)往路由器的中斷請(qǐng)求信號(hào)，該信號(hào)為負(fù)脈沖，脈寬大于60ns。
本路由器安全加密模件的軟件包括實(shí)時(shí)操作系統(tǒng)下的驅(qū)動(dòng)程序；用單片機(jī)編制的算法軟件，包括一級(jí)與二級(jí)密鑰的生成算法、雙密鑰加密算法、對(duì)話(huà)密鑰即工作密鑰(SK)生成算法；單片機(jī)的控制程序和與路由器連接的接口控制程序。路由器可通過(guò)檢測(cè)函數(shù)檢測(cè)加密模件是否正常，并由路由器在控制面板上顯示報(bào)警以供處理。本路由器安全加密模件的密鑰管理不必通過(guò)專(zhuān)設(shè)管理中心進(jìn)行，而是采用分布式密鑰管理機(jī)制。
參見(jiàn)圖2，圖中示出本實(shí)用新型的路由器安全加密模件結(jié)構(gòu)中單片微處理器的實(shí)施電路，采用32位(U1)并行運(yùn)行的CPU(TMS320C32)，圖中地址總線(xiàn)AB及數(shù)據(jù)總線(xiàn)DB與其余圖中的地址總線(xiàn)AB、數(shù)據(jù)總線(xiàn)DB連接。
參見(jiàn)圖3、圖4，圖中示出本實(shí)用新型的路由器安全加密模件結(jié)構(gòu)中存儲(chǔ)單元的實(shí)施電路，靜態(tài)隨機(jī)存取存儲(chǔ)器SRAM由四塊(U2至U5)IDT71256組成，存放工作程序的非易失性只讀存取存儲(chǔ)器EEPROM，包括二塊29EE010(U6、U7)，所存儲(chǔ)的數(shù)據(jù)在掉電時(shí)也不會(huì)丟失。
參見(jiàn)圖5、圖6，圖中示出本實(shí)用新型的路由器安全加密模件結(jié)構(gòu)中接口控制單元的實(shí)施電路，包括2組一進(jìn)一出的緩沖存儲(chǔ)器(IDT7204，16位)，一組由U9、U10組成，另一組由U11、U12組成，圖5中SL1為選通信號(hào)，RESET為復(fù)位信號(hào)，F(xiàn)IFO R為讀緩沖存儲(chǔ)器控制信號(hào)，F(xiàn)IFO W為寫(xiě)緩沖存儲(chǔ)器控制信號(hào)，F(xiàn)IFO R/W為讀/寫(xiě)緩沖存儲(chǔ)器控制信號(hào)，F(xiàn)IFO W/R為寫(xiě)/讀緩沖存儲(chǔ)器控制信號(hào)，CD00至CD15為“入”數(shù)據(jù)信號(hào)，D00至D15為“出”數(shù)據(jù)信號(hào)；還包括接口控制EPLD電路，由U8(EPM7160S)構(gòu)成，該接口控制電路在單片微處理器U1的控制下用于生成所有的控制信號(hào)，包括時(shí)序信號(hào)等，帶保密位，并且在一旦燒毀時(shí)就不可再讀出。
參見(jiàn)圖7，圖中示出本實(shí)用新型的路由器安全加密模件結(jié)構(gòu)中加密算法處理單元的實(shí)施電路，由一片84腳的U13商密加密算法專(zhuān)用集成芯片(ABX1)組成，其加密算法處理包括算法、譯碼、控制及時(shí)序處理。
參見(jiàn)圖8，圖中示出本實(shí)用新型的路由器安全加密模件，在生成密鑰時(shí)所采用的噪音源電路，用作密鑰種子，其晶體三極管T1的集電極懸空，而可產(chǎn)生隨機(jī)噪音，經(jīng)放大、電壓比較整合后的信號(hào)由NOISE端輸出，送圖2中單片微處理器的DR0端(1腳)，在系統(tǒng)編程時(shí)送存儲(chǔ)器的某一地址中作運(yùn)算，供生成密鑰。
將圖2至圖8電路聯(lián)系起來(lái)作如下說(shuō)明路由器通過(guò)專(zhuān)用總線(xiàn)或AT/PCI總線(xiàn)送控制命令至安全加密模件硬件卡的緩沖存儲(chǔ)器(FIFO)U9至U12，并給出相應(yīng)的控制信號(hào)及中斷請(qǐng)求信號(hào)IRQA，安全加密模件硬件卡一旦查詢(xún)到路由器發(fā)來(lái)的中斷請(qǐng)求信號(hào)IRQA則轉(zhuǎn)中斷服務(wù)程序；同時(shí)安全加密模件硬件卡的接口控制電路U8(EPLD)接收到由路由器給出的控制信號(hào)；中斷服務(wù)程序?qū)⒖刂泼顝木彌_存儲(chǔ)器(FIFO)U9至U12中取出并送隨機(jī)存取存儲(chǔ)器(SRAM)U2至U5中；由單片微處理器U1取控制命令，將控制命令譯碼并轉(zhuǎn)相應(yīng)處理程序；處理結(jié)束后，單片微處理器U1將處理結(jié)果送到緩沖存儲(chǔ)器(FIFO)U9至U12輸出，并發(fā)中斷請(qǐng)求信號(hào)IRQB給路由器，路由器接收中斷請(qǐng)求信號(hào)IRQB，取走處理結(jié)果，并清中斷。
以“信息加密”控制命令為例作進(jìn)一步說(shuō)明第一個(gè)字，0000標(biāo)志控制命令開(kāi)始；第二個(gè)字，0001商密，由單片微處理器U1控制加密算法處理單元U13(ABX1)選定商密加密算法；第三個(gè)字，0460信息加密，由單片微處理器U1控制轉(zhuǎn)信息加密處理程序；第四個(gè)字，0004序列密碼，由單片微處理器U1控制加密算法處理單元U13(ABX1)選序列密碼加密算法，對(duì)信息進(jìn)行加密操作。
單片微處理器U1運(yùn)行主控程序，產(chǎn)生加密算法處理單元U13(ABX1)所需要的密鑰，并控制將密鑰送到加密算法處理單元U13(ABX1)，加密算法處理單元U13(ABX1)運(yùn)行密鑰并生成亂數(shù)，再由主控程序?qū)⒚魑男畔⑴c該亂數(shù)進(jìn)行結(jié)合而形成密文并存放在SRAM(U2至U5)中，主控程序?qū)⒚芪膹拇鎯?chǔ)器中取出送到緩沖存儲(chǔ)器(FIFO)U9至U12輸出，并發(fā)中斷請(qǐng)求信號(hào)IRQB給路由器，路由器接收到中斷請(qǐng)求信號(hào)IRQB后，將安全加密模件的處理結(jié)果即密文從緩沖存儲(chǔ)器(FIFO)U9至U12中取走，并清除安全加密模件的中斷請(qǐng)求信號(hào)IRQB。
綜上所述，本實(shí)用新型帶有加密模件的安全路由器與普通路由器的重要區(qū)別是實(shí)現(xiàn)了路由器的身份鑒別和對(duì)路由信息的加密以及對(duì)IP數(shù)據(jù)報(bào)的智能加密，因而可有效阻止路由器的非法接入，并從根本上防止了信息的泄漏，使非法截獲者難以解讀報(bào)文的真意。由于安全加密模件提供了對(duì)信息的加密功能，將使OSPF協(xié)議認(rèn)證、身份鑒別、路由信息和IP數(shù)據(jù)報(bào)加密、數(shù)字簽名以及數(shù)據(jù)完整性驗(yàn)證等有了實(shí)現(xiàn)的技術(shù)基礎(chǔ)，不僅能使路由器自身得到保護(hù)，而且由于能對(duì)IP數(shù)據(jù)報(bào)進(jìn)行智能加密，從而使安全路由器具有節(jié)點(diǎn)加密機(jī)的功能，并能靈活構(gòu)建VPN。將安全加密模件與路由器的安全系統(tǒng)(主要指防火墻功能)有機(jī)地集成，將大大增強(qiáng)安全路由器的功能，使信息網(wǎng)絡(luò)更加安全。
權(quán)利要求1.一種路由器的安全加密模件，其特征在于包括單片微處理器和與單片微處理器連接的存儲(chǔ)單元、接口控制單元和運(yùn)行密鑰并生成亂數(shù)的加密算法處理單元；所述的安全加密模件由接口控制單元通過(guò)總線(xiàn)與路由器連接。
2.根據(jù)權(quán)利要求1所述的一種路由器的安全加密模件，其特征在于所述的安全加密模件是硬件卡，外掛在路由器外，在路由器外部進(jìn)行加密。
3.根據(jù)權(quán)利要求1所述的一種路由器的安全加密模件，其特征在于所述的安全加密模件是硬件卡，內(nèi)嵌在路由器里，與路由器集成為一體后在路由器內(nèi)部進(jìn)行交互加密。
4.根據(jù)權(quán)利要求1所述的一種路由器的安全加密模件，其特征在于所述的接口控制單元包括緩沖存儲(chǔ)器和接口控制電路。
5.根據(jù)權(quán)利要求1所述的一種路由器的安全加密模件，其特征在于所述的存儲(chǔ)單元包括運(yùn)行程序、存儲(chǔ)密文數(shù)據(jù)的靜態(tài)隨機(jī)存取存儲(chǔ)器(SRAM)和存儲(chǔ)程序的非易失性只讀存取存儲(chǔ)器(EEPROM)，所述的密文由明文信息與亂數(shù)結(jié)合生成。
6.根據(jù)權(quán)利要求1所述的一種路由器的安全加密模件，其特征在于所述的總線(xiàn)是AT/PCI總線(xiàn)或?qū)Ｓ每偩€(xiàn)。
7.根據(jù)權(quán)利要求1或2或3或4或5或6所述的一種路由器的安全加密模件，其特征在于還包括有可產(chǎn)生隨機(jī)噪音、用作密鑰種子的噪音源，由集電極懸空的晶體三極管輸入級(jí)、晶體三極管放大級(jí)和由運(yùn)算放大器、電阻分壓器連接構(gòu)成的電壓比較器順序連接構(gòu)成，電壓比較器輸出端連接所述的單片微處理器。
專(zhuān)利摘要本實(shí)用新型涉及一種路由器的安全加密模件,包括單片微處理器和與之連接的存儲(chǔ)、接口控制和運(yùn)行密鑰并生成亂數(shù)的加密算法處理單元,接口控制單元通過(guò)AT/PCI或?qū)Ｓ每偩€(xiàn)與路由器連接。安全加密模件是一硬件卡,可外掛或內(nèi)嵌在路由器里,內(nèi)嵌式的安全加密模件與路由器集成為一體,在內(nèi)部進(jìn)行交互加密。模件與路由器間有機(jī)集成為帶有加密功能的安全路由器,可有效阻止普通路由器非法侵入、對(duì)IP數(shù)據(jù)報(bào)作智能加密及靈活構(gòu)建VPN等。
文檔編號(hào)H04L12/00GK2402065SQ0020043
公開(kāi)日2000年10月18日 申請(qǐng)日期2000年1月11日 優(yōu)先權(quán)日2000年1月11日
發(fā)明者毛奇?zhèn)b 申請(qǐng)人:北京華正天網(wǎng)信息安全技術(shù)有限公司