[发明专利]节点路由安全管控系统

说明书

节点路由安全管控系统，包括路由和通过路由互联的终端；终端包括交互终端和无交互终端，其特征是，交互终端包括受控终端和非控终端；路由和受控终端中均设有一个密码模组，所述密码模组中灌入本设备的公私钥对，密码模组对在出厂前灌入本设备的程序进行hash和用本设备的私钥签名，并将hash值和签名后的程序使用密码模组中的加密密钥进行对称加密保护；所述路由中设有访问控制配置表，控制配置表中的终端对象绑定IP地址、MAC地址和端口，控制配置表根据终端的配置设定其属性。本发明通过对可信身份识别、认证和加密操控，实现网络路由及网内终端的安全管控，从而解决物联网、智慧城市、智能家居的安全管控和安全应用。

技术领域

本发明涉及路由器领域，具体涉及一种在节点路由中通过密码技术实现安全管控下的局域网可信网关和互信互联服务系统。

背景技术

路由是连接因特网中各局域网、广域网的设备，它会根据源地址、目标地址及信道的情况自动选择和设定路由，以最佳路径，按前后顺序发送信号。路由发生在第三层，即网络层。经过路由的数据类型多种多样，数据的特点为均包含目标地址、数据信息或指令，目前的路由常规实现目标就是根据发送来的信息所需要寻找的目标地址，来将数据予以转发至目标地址。

作为安全网关型路由，在安全配置上缺少了对发起目标数据的数据源的身份识别、认证，也没有对自身发出的操控行为、数据等采取保密措施。更多的是在信道上采用数据加密的形式，这只是解决了信道安全的问题，但无法解决信源对象身份及信源本身的安全问题。

发明内容

本发明是为克服现有技术的缺陷，基于物联网、智慧城市、智能家居的网络路由管理，通过密码技术的应用，采用密码技术的可信身份识别、认证、操控行为跟踪与确认、防篡改伪造、数据加解密等的方式，实现网络路由及网内终端的安全管控，从而解决物联网、智慧城市、智能家居的安全管控和安全应用。

实现本发明的技术目的的技术方案是：

节点路由安全管控系统，系统设备包括路由和通过路由互联的终端；所述终端包括交互终端和无交互终端，所述交互终端包括受控终端和非控终端；所述路由和受控终端中均设有一个密码模组，所述密码模组中灌入本设备的公私钥对，所述密码模组对在出厂前灌入本设备的程序进行hash和用本设备的私钥签名，并将hash值和签名后的程序使用密码模组中的加密密钥进行对称加密保护；所述路由中设有访问控制配置表，控制配置表中的终端对象绑定IP地址、MAC地址和端口，控制配置表根据终端的配置设定其属性：

交互终端：属性为允许在网内互相验证后通信或单向通信，包括受控终端：带有密码模组，属性为通信时需要安全身份识别与认证；和，非控终端：不带密码模组，属性为通信时无须安全身份识别与认证、禁止对受控终端进行访问；

无交互终端：属性为禁止在网内终端间通信。

作为本发明的进一步改进，所述公私钥对以本设备中的一个或一个以上的唯一标识特征为参数，通过标识密码算法进行计算获得。

作为本发明的进一步改进，所述路由连接一个新的路由时，执行下列步骤：

新路由发起连接路由请求后，所述路由主动发送自己的公钥和一个公钥请求命令给新路由，新路由收到后存储在本地公钥列表中，并返回自身的公钥给所述路由，路由把新路由的公钥信息存储在公钥列表中。

作为本发明的进一步改进，所述路由加入一个新的终端时，执行下列步骤：

终端发起连接路由请求后，由路由主动发送自己的公钥和一个公钥请求命令，终端收到后存储路由的公钥，并发送自身的公钥给路由，路由把终端的公钥信息存储在访问控制配置表对应的对象上；如果终端公钥信息为空，则该终端的属性为非控终端。

作为本发明的进一步改进，所述路由在启动时执行下列步骤：