一种小型化分组路由器及其单点接入信息加密保护方法与流程

1.本发明涉及小型化分组接入设备技术领域，特别涉及一种小型化分组路由器及其单点接入信息加密保护方法。


背景技术：

2.小型化分组接入设备是一种用于网络接入的设备，通常用于连接个人电脑、智能手机、平板电脑等终端设备到互联网；通常具有以下特点：1、尺寸小：小型化分组接入设备的尺寸相对较小，便于携带和安装；2、网络接口：它通常具有多个网络接口，以支持多种网络连接方式，如以太网、wi-fi、4g/5g等；3、路由功能：具备路由功能，能够将从终端设备接收到的数据包进行分组、转发和路由，可以实现多个终端设备之间的互联，并与外部网络(如互联网)连接；4、安全性：小型化分组接入设备通常具备安全防护功能，如防火墙、入侵检测和防止ddos攻击等。它可以提供安全的接入和通信环境，保护终端设备和网络免受恶意攻击和非法访问；5、管理与配置：小型化分组接入设备通常具备可管理和配置的功能，可以通过图形界面或命令行界面进行配置和管理。管理员可以根据需要设置网络参数、安全策略和qos等；6、扩展性：小型化分组接入设备通常具备一定的扩展性，可以根据需要连接到其他网络设备，如交换机、服务器等，以满足更复杂的网络需求；小型化分组接入设备广泛应用于家庭、小型办公室、移动办公和远程办公等场景，提供便捷的网络接入和安全保护。
3.现有技术一，申请号：cn200580026754.3因特网高速分组接入，该系统包括hspa用户设备、用于从hspa用户设备接收信号的基站节点和集成于基站节点中的适配器，其中适配器使得hspa用户设备能够联通到因特网节点；虽然实现了用户设备可以同时与数个基站通信，但是缺少对接入信息的加密，导致信息容易泄露，影响设备之间的通信安全系数。
4.现有技术二，申请号：cn200610084932.4公开了一种高速下行分组接入的数据收发方法及设备，使得复用的多个不同优先级队列的mac-hs pdu能被有效传输。用户设备在成功收到复用pdu时，根据其传输期间各重排序队列的接收窗口的移动情况，以及传输前后时刻各重排序队列的接收窗口的位置，判断该复用pdu中各mac-hs pdu的有效性；此外，对网络侧停止复用pdu重传的时机作了规定，在复用pdu中所包含的符合预定条件的mac-hs pdu被要求停止重传时，停止该复用pdu的重传；虽然停止复用pdu的重传，一方面减少了资源的浪费，因为重传的复用pdu中至少有一个mac-hspdu是有效的，另一方面保证了传输性能，不会因为一个mac-hspdu无效就连累复用pdu中多个有效mac-hspdu一起停止重传；但是没有对接入信息进行保护，使得设备之间的通信安全性较差。
5.现有技术三，申请号：cn200910150681.9公开了一种高速分组接入系统的调度方法及设备，方法包括：基站确定出小区内待调度的ue优先级队列后，根据各ue在优先级队列中的位置，各ue前一个子帧被调度的情况以及各ue的能力级为各ue分别选择hsscch并更新该小区当前可用的hsdsch个数；基站根据为各ue选择的hsscch码道、该小区可用的hsdsch码道个数、该小区hsdsch可用功率大小，以及各ue的能力级为各ue分别选择传输块大小、
hsdsch码道功率、hsdsch码道个数以及hsdsch的起始码道号。虽然达到了较为理想的hspa+吞吐量，但是没有对设备之间的通信进行加密处理，安全性较差。
6.目前现有技术一、现有技术二级现有技术三存在没有对点单接入信息进行加密，导致设备之间通信信息容易泄露，使得安全系数较低的问题，因而，本发明提供一种小型化分组路由器及其单点接入信息加密保护方法，实现设备之间安全交互，提高设备的可靠性和健壮性。


技术实现要素：

7.为了解决上述技术问题，本发明提供了一种小型化分组路由器的单点接入信息加密保护方法，包含以下步骤：
8.在控制器的控制下，建立不同用户设备或不同网络之间的连接，包含用户网络接口建立与用户设备的通信，网络到网络接口建立不同千兆以太网或快速以太网接口之间的连接；
9.根据用户设备确定保护的单点接入信息，采用对称加密算法对单点加入信息采用加密密钥进行加密，得到加密后的单点接入信息，将与加密密钥对应的解密密钥发送至另一用户设备；同时对访问加密后的单点接入信息的权限进行限制；单点接入信息包含用户名、密码、ip地址及设备的唯一标识符；
10.控制器将加密后的单点接入信息，采用安全传输协议传输至另一用户设备，另一用户设备采用解密密钥对加密后的单点接入信息进行解密，得到单点接入信息。
11.可选的，控制器的控制过程，还包含以下步骤：
12.控制业务转发模块负责通过数据链路层的转发机制将数据包从接入设备转发到目标设备；控制端口保护模块通过配置主端口和备用端口实现端口保护功能，实现在主端口故障时的自动切换，实现业务的无感倒换；
13.控制地址生成模块支持设备上电自动生成网络管理系统或网络管理软件所使用的ip地址，通过本地接入和远端业务网络接入实现网管自动发现设备；控制网关接入模块支持snmp v1/v2协议与网络管理系统或网络管理软件对通，并开放管理信息库接口mib和命令行界面接口cli，接入运营商第三方网络管理系统或网络管理软件网络管理系统或网络管理软件；
14.控制设备代管模块作为远端设备，支持私有协议实现与接入汇聚型设备的对通，实现接入汇聚型设备对本设备代理管理；控制冲击限制模块支持通过访问控制列表或限速等方式限制网络报文冲击，支持对上送中央处理器cpu报文特征的自动学习，生成黑白名单。
15.可选的，得到加密后的单点接入信息的过程，包含以下步骤：
16.获得用户设备发送的单点接入信息，记录单点接入信息的发送时间和单点接入信息内容；
17.采用对称加密算法将发送时间、单点接入信息内容及一个随机数加密成加密密钥，再生成与加密密钥对应的解密密钥；
18.将解密密钥发送至控制器，包含加密密钥的单点接入信息存储至控制器的存储部。
19.可选的，生成加密密钥和解密密钥的过程，包含以下步骤：
20.用户设备向控制器发送预设加密密钥的请求指令，并生成一个随机数，加密密钥带有单点接入信息发送时间戳、内容及随机数；
21.获取控制器根据请求指令发送的加密密钥，将单点接入信息发送时间戳及内容与加密密钥关联，并根据单点接入信息发送时间戳的不同，控制器设置不同的加密密钥；
22.根据加密密钥生成对应的解密密钥，将关联的单点接入信息发送时间戳、内容及加密密钥一起发送至控制器的存储部。
23.可选的，控制器设置不同的加密密钥的过程，包含以下步骤：
24.获取用户设备的时间戳申请请求，根据单点接入信息的发送时间生成至少一时间戳，并将时间戳与单点接入信息内容关联并封包；
25.生成动态的加密密钥，并使用动态的加密密钥对封包进行加密，生成关联标识，将动态的加密密钥与封包进行关联，将加密后的封包及随机数发送至控制器；
26.当时间戳在有效期内时，发送与时间戳关联的加密密钥至另一用户设备，另一用户设备再根据与加密密钥对应的解密密钥进行解密，得到包含有时间戳的单点接入信息。
27.可选的，对访问加密后的单点接入信息的权限进行限制的过程，包含以下步骤：
28.在控制器中预设权限程序，权限程序与单点接入信息的内容相关联，根据要求实现权限程序与内容的某一项或某几项相关联；
29.权限程序启动后，当监控到用户设备建立与控制器的合法通信后，创建一个运行用户设备与控制器对话的服务程序，包含：对用户设备性能的鉴定，根据鉴定结果确认用户设备的权限等级；
30.当权限等级低的用户设备需要进行操作时，将需要进行的操作交由服务程序代理完成。
31.本发明提供的一种小型化分组路由器，包含：外壳、用户网络接口、网络到网络接口、指示灯、控制面板及散热格栅；
32.外壳的前端自右至左依次嵌装有用户网络接口、网络到网络接口、指示灯及控制面板；用户网络接口、网络到网络接口、指示灯及控制面板通过导线与外壳内的控制器连接。
33.可选的，用户网络接口包含4个快速以太网/千兆以太网电接口，连接最多4个以太网设备；网络到网络接口提供2个可配置千兆以太网/快速以太网接口用作业务上联。
34.可选的，指示灯用于显示户网络接口、网络到网络接口及控制面板的工作状态；控制面板上包含电源接口、开关电源及控制按钮，实现小型化分组路由器的控制开关。
35.可选的，控制器，包含：
36.业务转发模块，负责通过数据链路层的转发机制将数据包从接入设备转发到目标设备；
37.端口保护模块，负责通过配置主端口和备用端口实现端口保护功能，实现在主端口故障时的自动切换，实现业务的无感倒换；
38.地址生成模块，负责支持设备上电自动生成网络管理系统或网络管理软件所使用的ip地址，通过本地接入和远端业务网络接入实现网管自动发现设备；
39.网关接入模块，负责支持snmp v1/v2协议与网络管理系统或网络管理软件对通，
并开放管理信息库接口和命令行界面接口，接入运营商第三方网络管理系统或网络管理软件网络管理系统或网络管理软件；
40.设备代管模块，负责作为远端设备，支持私有协议实现与接入汇聚型设备的对通，实现接入汇聚型设备对本设备代理管理；
41.冲击限制模块，负责支持通过访问控制列表或限速方式限制网络报文冲击，支持对上送中央处理器报文特征的自动学习，生成黑白名单。
42.本发明首先在控制器的控制下，建立不同用户设备或不同网络之间的连接，包含用户网络接口建立与用户设备的通信，网络到网络接口建立不同千兆以太网或快速以太网接口之间的连接；其次根据用户设备确定保护的单点接入信息，采用对称加密算法对单点加入信息采用加密密钥进行加密，得到加密后的单点接入信息，将与加密密钥对应的解密密钥发送至另一用户设备；同时对访问加密后的单点接入信息的权限进行限制；单点接入信息包含用户名、密码、ip地址及设备的唯一标识符等；最后控制器将加密后的单点接入信息，采用安全传输协议传输至另一用户设备，另一用户设备采用解密密钥对加密后的单点接入信息进行解密，得到单点接入信息；上述方案建立了安全连接，通过建立不同用户设备或网络之间的连接，可以确保通信的安全性和可靠性，可以防止未经授权的设备接入网络，减少网络风险；保护了单点接入信息，采用对称加密算法对单点接入信息进行加密，确保信息在传输过程中不被窃取或篡改；同时，将解密密钥发送至另一用户设备，保证只有持有解密密钥的设备才能解密接入信息；限制了访问权限，对访问加密后的单点接入信息的权限进行限制，确保只有授权的用户能够访问和使用接入信息，可以防止未经授权的用户获取敏感信息，提高安全性；保护了用户身份和设备唯一标识符：单点接入信息包含用户名、密码、ip地址和设备的唯一标识符等关键信息，通过加密和限制访问权限，可以保护用户的身份和设备的唯一标识符，防止身份盗窃和未经授权访问；实现了安全传输和解密，通过采用安全传输协议传输加密后的单点接入信息，并在另一用户设备上使用解密密钥进行解密，确保信息在传输和解密过程中的安全性，可以防止信息被窃取或篡改，确保信息的完整性和机密性。
43.本发明的其它特征和优点将在随后的说明书中阐述，并且，部分地从说明书中变得显而易见，或者通过实施本发明而了解。本发明的目的和其他优点可通过在所写的说明书、权利要求书、以及附图中所特别指出的结构来实现和获得。
44.下面通过附图和实施例，对本发明的技术方案做进一步的详细描述。
附图说明
45.附图用来提供对本发明的进一步理解，并且构成说明书的一部分，与本发明的实施例一起用于解释本发明，并不构成对本发明的限制。在附图中：
46.图1为本发明实施例1中小型化分组路由器的单点接入信息加密保护方法流程图；
47.图2为本发明实施例2中控制器的控制过程图；
48.图3为本发明实施例3中得到加密后的单点接入信息的过程图；
49.图4为本发明实施例4中生成加密密钥和解密密钥的过程图；
50.图5为本发明实施例5中控制器设置不同的加密密钥的过程图；
51.图6为本发明实施例6中对访问加密后的单点接入信息的权限进行限制的过程图；
52.图7为本发明实施例7中小型化分组路由器的框图；
53.图8为本发明实施例8中控制器的框图；
54.图9为本发明实施例9中单点接入的组网场景示意图；
55.图10为本发明实施例9中星型组网的组网场景示意图。
具体实施方式
56.以下结合附图对本发明的优选实施例进行说明，应当理解，此处所描述的优选实施例仅用于说明和解释本发明，并不用于限定本发明。
57.在本技术实施例使用的术语是仅仅出于描述特定实施例的目的，而非旨在限制本技术实施例。在本技术实施例和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包含多数形式，除非上下文清楚地表示其他含义。还应当理解，本文中使用的术语“和/或”是指并包含一个或多个相关联的列出项目的任何或所有可能组合。
58.下面的描述涉及附图时，除非另有表示，不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本技术相一致的所有实施方式。相反，它们仅是如所附权利要求书中所详述的、本技术的一些方面相一致的装置和方法的例子。在本技术的描述中，需要理解的是，术语“第一”、“第二”、“第三”等仅用于区别类似的对象，而不必用于描述特定的顺序或先后次序，也不能理解为指示或暗示相对重要性。对于本领域的普通技术人员而言，可以根据具体情况理解上述术语在本技术中的具体含义。
59.实施例1：如图1所示，本发明实施例提供了一种小型化分组路由器的单点接入信息加密保护方法，包含以下步骤：
60.s100：在控制器的控制下，建立不同用户设备或不同网络之间的连接，包含用户网络接口建立与用户设备的通信，网络到网络接口建立不同千兆以太网或快速以太网接口之间的连接；
61.s200：根据用户设备确定保护的单点接入信息，采用对称加密算法对单点加入信息采用加密密钥进行加密，得到加密后的单点接入信息，将与加密密钥对应的解密密钥发送至另一用户设备；同时对访问加密后的单点接入信息的权限进行限制；单点接入信息包含用户名、密码、ip地址及设备的唯一标识符等；
62.s300：控制器将加密后的单点接入信息，采用安全传输协议传输至另一用户设备，另一用户设备采用解密密钥对加密后的单点接入信息进行解密，得到单点接入信息；
63.上述技术方案的工作原理和有益效果为：本实施例首先在控制器的控制下，建立不同用户设备或不同网络之间的连接，包含用户网络接口建立与用户设备的通信，网络到网络接口建立不同千兆以太网或快速以太网接口之间的连接；其次根据用户设备确定保护的单点接入信息，采用对称加密算法对单点加入信息采用加密密钥进行加密，得到加密后的单点接入信息，将与加密密钥对应的解密密钥发送至另一用户设备；同时对访问加密后的单点接入信息的权限进行限制；单点接入信息包含用户名、密码、ip地址及设备的唯一标识符等；最后控制器将加密后的单点接入信息，采用安全传输协议传输至另一用户设备，另一用户设备采用解密密钥对加密后的单点接入信息进行解密，得到单点接入信息；上述方案建立了安全连接，通过建立不同用户设备或网络之间的连接，可以确保通信的安全性和可靠性，可以防止未经授权的设备接入网络，减少网络风险；保护了单点接入信息，采用对
称加密算法对单点接入信息进行加密，确保信息在传输过程中不被窃取或篡改；同时，将解密密钥发送至另一用户设备，保证只有持有解密密钥的设备才能解密接入信息；限制了访问权限，对访问加密后的单点接入信息的权限进行限制，确保只有授权的用户能够访问和使用接入信息，可以防止未经授权的用户获取敏感信息，提高安全性；保护了用户身份和设备唯一标识符：单点接入信息包含用户名、密码、ip地址和设备的唯一标识符等关键信息，通过加密和限制访问权限，可以保护用户的身份和设备的唯一标识符，防止身份盗窃和未经授权访问；实现了安全传输和解密，通过采用安全传输协议传输加密后的单点接入信息，并在另一用户设备上使用解密密钥进行解密，确保信息在传输和解密过程中的安全性，可以防止信息被窃取或篡改，确保信息的完整性和机密性。
64.综上所述，本实施例保护用户设备和网络之间的通信安全，确保只有经过授权的用户设备能够接入网络，并保护接入信息的机密性和完整性，可以提高网络的安全性，并防止未经授权的访问和攻击。
65.实施例2：如图2所示，在实施例1的基础上，本发明实施例提供的控制器的控制过程，还包含以下步骤：
66.s101：控制业务转发模块负责通过数据链路层的转发机制将数据包从接入设备转发到目标设备；控制端口保护模块通过配置主端口和备用端口实现端口保护功能，实现在主端口故障时的自动切换，实现业务的无感倒换；
67.s102：控制地址生成模块支持设备上电自动生成网络管理系统或网络管理软件所使用的ip地址，通过本地接入和远端业务网络接入实现网管自动发现设备；控制网关接入模块支持snmp v1/v2协议与网络管理系统或网络管理软件对通，并开放管理信息库接口mib和命令行界面接口cli，接入运营商第三方网络管理系统或网络管理软件网络管理系统或网络管理软件；
68.s103：控制设备代管模块作为远端设备，支持私有协议实现与接入汇聚型设备的对通，实现接入汇聚型设备对本设备代理管理；控制冲击限制模块支持通过访问控制列表或限速等方式限制网络报文冲击，支持对上送中央处理器cpu报文特征的自动学习，生成黑白名单；
69.上述技术方案的工作原理和有益效果为：本实施例控制业务转发模块负责通过数据链路层的转发机制将数据包从接入设备转发到目标设备；控制端口保护模块通过配置主端口和备用端口实现端口保护功能，实现在主端口故障时的自动切换，实现业务的无感倒换；控制地址生成模块支持设备上电自动生成网络管理系统或网络管理软件所使用的ip地址，通过本地接入和远端业务网络接入实现网管自动发现设备；控制网关接入模块支持snmp v1/v2协议与网络管理系统或网络管理软件对通，并开放管理信息库接口mib和命令行界面接口cli，接入运营商第三方网络管理系统或网络管理软件网络管理系统或网络管理软件；控制设备代管模块作为远端设备，支持私有协议实现与接入汇聚型设备的对通，实现接入汇聚型设备对本设备代理管理；控制冲击限制模块支持通过访问控制列表或限速等方式限制网络报文冲击，支持对上送中央处理器cpu报文特征的自动学习，生成黑白名单；上述方案支持端口保护功能，实现业务的冗余保护，提升业务转发的可靠性，业务倒换时间低于50ms，可以实现业务的无感倒换；支持设备上电自动生成网管ip，通过本地接入和远端业务网络接入实现网管自动发现设备，满足运营商即插即用需求，避免用户多次下站点进
行配置安装，大大提升设备开通和维护效率；支持snmp v1/v2协议与网管对通，并可以开放mib接口和cli接口，接入运营商第三方网管，降低运营商对自产的网管的依赖，便于运营商实现网络设备的统一管理；生成黑白名单，防止短时间内大量报文对cpu冲击，减低cpu负担，避免因为网络冲击造成的设备异常，提升设备的可靠性和健壮性。
70.实施例3：如图3所示，在实施例1的基础上，本发明实施例提供的得到加密后的单点接入信息的过程，包含以下步骤：
71.s201：获得用户设备发送的单点接入信息，记录单点接入信息的发送时间和单点接入信息内容；
72.s202：采用对称加密算法将发送时间、单点接入信息内容及一个随机数加密成加密密钥，再生成与加密密钥对应的解密密钥；
73.s203：将解密密钥发送至控制器，包含加密密钥的单点接入信息存储至控制器的存储部；
74.上述技术方案的工作原理和有益效果为：本实施例首先获得用户设备发送的单点接入信息，记录单点接入信息的发送时间和单点接入信息内容；其次采用对称加密算法将发送时间、单点接入信息内容及一个随机数加密成加密密钥，再生成与加密密钥对应的解密密钥；最后将解密密钥发送至控制器，包含加密密钥的单点接入信息存储至控制器的存储部；上述方案通过对单点接入信息进行加密，可以防止黑客或未授权人员获取用户设备的具体接入信息，保护用户隐私和安全；通过记录单点接入信息的发送时间，可以验证接收到的信息是否被篡改，如果接收到的信息的发送时间与记录的发送时间不一致，可能意味着信息被修改过；对称加密算法可以提供较高的安全性，保护加密密钥不被破解；同时，生成与加密密钥对应的解密密钥，确保只有控制器拥有解密密钥可以解密加密的单点接入信息；将解密密钥发送至控制器，并将加密的单点接入信息存储在控制器的存储部，可以方便地进行集中管理和控制。控制器可以根据需要使用解密密钥解密单点接入信息，进行必要的操作和管理。本发明实施例确保用户设备的单点接入信息的安全性和隐私性，并提供便捷的管理和控制方式。
75.实施例4：如图4所示，在实施例3的基础上，本发明实施例提供的生成加密密钥和解密密钥的过程，包含以下步骤：
76.s2021：用户设备向控制器发送预设加密密钥的请求指令，并生成一个随机数，加密密钥带有单点接入信息发送时间戳、内容及随机数；
77.s2022：获取控制器根据请求指令发送的加密密钥，将单点接入信息发送时间戳及内容与加密密钥关联，并根据单点接入信息发送时间戳的不同，控制器设置不同的加密密钥；
78.s2023：根据加密密钥生成对应的解密密钥，将关联的单点接入信息发送时间戳、内容及加密密钥一起发送至控制器的存储部；
79.上述技术方案的工作原理和有益效果为：本实施例首先用户设备向控制器发送预设加密密钥的请求指令，并生成一个随机数，加密密钥带有单点接入信息发送时间戳、内容及随机数；其次获取控制器根据请求指令发送的加密密钥，将单点接入信息发送时间戳及内容与加密密钥关联，并根据单点接入信息发送时间戳的不同，控制器设置不同的加密密钥；最后根据加密密钥生成对应的解密密钥，将关联的单点接入信息发送时间戳、内容及加
密密钥一起发送至控制器的存储部；上述方案用户设备向控制器发送预设加密密钥的请求指令，可以确保只有经过授权的用户才能获取加密密钥，可以限制未经授权的访问，提高系统的安全性；生成随机数和记录单点接入信息的发送时间，可以增加加密密钥的复杂度和时效性，随机数的引入可以防止密钥的重用攻击，而时间戳可以用于验证信息的时效性和完整性；控制器根据请求指令发送的加密密钥，将单点接入信息发送时间及内容与加密密钥关联，可以确保每个单点接入信息都有唯一的加密密钥，增加了解密的难度，提高了信息的安全性；根据单点接入信息发送时间的不同，控制器可以设置不同的加密密钥，可以进一步增加密钥的复杂度，提高系统的安全性；根据加密密钥生成对应的解密密钥，并将关联的单点接入信息发送时间、内容及加密密钥一起发送至控制器的存储部，可以方便地进行解密和管理，确保信息的安全性和可用性。本发明实施例通过预设加密密钥、随机数及时间戳和不同加密密钥的设置，进一步增强了单点接入信息的安全性和隐私性，并提供了方便的解密和管理方式。
80.实施例5：如图5所示，在实施例4的基础上，本发明实施例提供的控制器设置不同的加密密钥的过程，包含以下步骤：
81.s202201：获取用户设备的时间戳申请请求，根据单点接入信息的发送时间生成至少一时间戳，并将时间戳与单点接入信息内容关联并封包；
82.s202202：生成动态的加密密钥，并使用动态的加密密钥对封包进行加密，生成关联标识，将动态的加密密钥与封包进行关联，将加密后的封包及随机数发送至控制器；
83.s202203：当时间戳在有效期内时，发送与时间戳关联的加密密钥至另一用户设备，另一用户设备再根据与加密密钥对应的解密密钥进行解密，得到包含有时间戳的单点接入信息；
84.上述技术方案的工作原理和有益效果为：本实施例首先获取用户设备的时间戳申请请求，根据单点接入信息的发送时间生成至少一时间戳，并将时间戳与单点接入信息内容关联并封包；其次生成动态的加密密钥，并使用动态的加密密钥对封包进行加密，生成关联标识，将动态的加密密钥与封包进行关联，将加密后的封包及随机数发送至控制器；最后当时间戳在有效期内时，发送与时间戳关联的加密密钥至另一用户设备，另一用户设备再根据与加密密钥对应的解密密钥进行解密，得到包含有时间戳的单点接入信息；上述方案生成动态的加密密钥，并使用该密钥对封包进行加密，相比于固定的加密密钥，动态的加密密钥可以增加信息的安全性，因为每次加密所使用的密钥都不同，难以被破解；根据单点接入信息的发送时间生成至少一个时间戳，并将时间戳与单点接入信息内容关联并封包，时间戳的引入可以用于验证信息的时效性和完整性，确保信息在有效期内可信；将动态的加密密钥与封包进行关联，生成关联标识，可以确保每个封包都有唯一的加密密钥，并且能够方便地进行解密操作；将加密后的封包及随机数发送至控制器，通过加密封包，可以保护封包中的信息不被未经授权的访问者获取，提高了信息的安全性；当时间戳在有效期内时，发送与时间戳关联的加密密钥至另一用户设备，另一用户设备再根据与加密密钥对应的解密密钥进行解密，得到包含有时间戳的单点接入信息，可以确保信息的完整性和可信度。本实施例通过动态的加密密钥、时间戳和关联标识等方式，进一步增强了单点接入信息的安全性和可信度，并提供了方便的解密和验证方式。
85.实施例6：如图6所示，在实施例1的基础上，本发明实施例提供的对访问加密后的
单点接入信息的权限进行限制的过程，包含以下步骤：
86.s204：在控制器中预设权限程序，权限程序与单点接入信息的内容相关联，根据要求实现权限程序与内容的某一项或某几项相关联；
87.s205：权限程序启动后，当监控到用户设备建立与控制器的合法通信后，创建一个运行用户设备与控制器对话的服务程序，包含：对用户设备性能的鉴定，根据鉴定结果确认用户设备的权限等级；
88.s206：当权限等级低的用户设备需要进行操作时，将需要进行的操作交由服务程序代理完成；
89.上述技术方案的工作原理和有益效果为：本实施例首先在控制器中预设权限程序，权限程序与单点接入信息的内容相关联，根据要求实现权限程序与内容的某一项或某几项相关联；其次权限程序启动后，当监控到用户设备建立与控制器的合法通信后，创建一个运行用户设备与控制器对话的服务程序，包含：对用户设备性能的鉴定，根据鉴定结果确认用户设备的权限等级；最后当权限等级低的用户设备需要进行操作时，将需要进行的操作交由服务程序代理完成；上述方案在控制器中预设权限程序，并与单点接入信息的内容相关联，通过预设权限程序，可以对用户设备的权限进行控制和管理，确保只有具备相应权限的设备能够进行操作；当监控到用户设备建立与控制器的合法通信后，创建一个运行用户设备与控制器对话的服务程序，服务程序可以对用户设备的性能进行鉴定，并根据鉴定结果确认用户设备的权限等级。；根据鉴定结果确定用户设备的权限等级，当权限等级低的用户设备需要进行操作时，将需要进行的操作交由服务程序代理完成，可以确保只有具备足够权限的设备才能执行相应的操作，避免了权限滥用的风险；本实施例通过预设权限程序和服务程序的方式，有效实现了对用户设备的权限管理和操作代理，增强了系统的安全性和可控性；同时，通过鉴定用户设备的性能和确认权限等级，可以确保只有合法的设备才能进行操作，提高了系统的可信度。
90.实施例7：如图7所示，在实施例1～实施例6的基础上，本发明实施例提供的小型化分组路由器，包含：外壳1、用户网络接口2、网络到网络接口3、指示灯4、控制面板5及散热格栅6；
91.外壳1的前端自右至左依次嵌装有用户网络接口2、网络到网络接口3、指示灯4及控制面板5；用户网络接口2、网络到网络接口3、指示灯4及控制面板5通过导线与外壳1内的控制器连接，用户网络接口2包含4个快速以太网/千兆以太网(fe/ge)电接口，可以连接最多4个以太网设备，如电脑、路由器等；网络到网络接口3提供2个可配置千兆以太网/快速以太网(ge/fe)接口用作业务上联；指示灯4用于显示户网络接口2、网络到网络接口3及控制面板5的工作状态；控制面板5上包含电源接口、开关电源及控制按钮等结构，实现小型化分组路由器的控制开关；
92.上述技术方案的工作原理和有益效果为：本实施例的外壳1的前端自右至左依次嵌装有用户网络接口2、网络到网络接口3、指示灯4及控制面板5；用户网络接口2、网络到网络接口3、指示灯4及控制面板5通过导线与外壳1内的控制器连接，用户网络接口(uni)2包含4个快速以太网/千兆以太网(fe/ge)电接口，可以连接最多4个以太网设备，如电脑、路由器等；网络到网络接口(nni)3提供2个可配置千兆以太网/快速以太网(ge/fe)接口用作业务上联；指示灯4用于显示户网络接口2、网络到网络接口3及控制面板5的工作状态；控制面
板5上包含电源接口、开关电源及控制按钮等结构，实现小型化分组路由器的控制开关；上述方案的用户网络接口的多个fe/ge电接口可以连接多个以太网设备，如电脑、路由器等。这样用户可以同时连接多个设备，实现网络共享和通信；网络到网络接口提供了可配置的ge/fe接口，用于业务上联，分组路由器可以与其他网络设备进行连接，实现网络扩展和互联互通；指示灯用于显示用户网络接口、网络到网络接口和控制面板的工作状态，帮助用户了解设备的运行情况和故障排查；控制面板上的电源接口、开关电源和控制按钮等结构，使得用户可以方便地控制和管理分组路由器的开关和运行；通过上述方案，用户可以搭建一个小型化的网络环境，实现多个设备的连接和通信，并具备了扩展和管理的功能，对于个人用户或小型办公室等场景来说，具有很大的意义和实用性。
93.本实施例的小型化分组接入设备，符合以太网标准ieee802.3z的以太网传输媒体转换器，其主要功能是利用光纤介质(1000base-fx)固有的优异传输性能实现以太网信号(10base-tx、100base-tx及1000base-tx)的远距离传输，完成4路千兆电口和光口之间的交换和汇聚，设备满足分组网络接入终端建设的接入需求；在uni侧提供了4个fe/ge电接口；在nni侧提供2个可配置ge/fe接口用作业务上联；可以接入以太网业务，具有很高的业务稳定性和较小的业务时延，能够满足包括基站回传在内的电信级综合业务接入需求。
94.实施例8：如图8所示，在实施例7的基础上，本发明实施例提供的控制器，包含：
95.业务转发模块，负责通过数据链路层(二层)的转发机制将数据包从接入设备转发到目标设备，业务转发流量可以达到6g；
96.端口保护模块，负责通过配置主端口和备用端口实现端口保护功能，实现在主端口故障时的自动切换，实现业务的无感倒换；
97.地址生成模块，负责支持设备上电自动生成网络管理系统或网络管理软件所使用的ip地址，通过本地接入和远端业务网络接入实现网管自动发现设备；
98.网关接入模块，负责支持snmp v1/v2协议与网络管理系统或网络管理软件对通，并开放管理信息库接口mib和命令行界面接口cli，接入运营商第三方网络管理系统或网络管理软件网络管理系统或网络管理软件；
99.设备代管模块，负责作为远端设备，支持私有协议实现与接入汇聚型设备的对通，实现接入汇聚型设备对本设备代理管理；
100.冲击限制模块，负责支持通过访问控制列表或限速等方式限制网络报文冲击，支持对上送中央处理器cpu报文特征的自动学习，生成黑白名单；
101.上述技术方案的工作原理和有益效果为：本实施例的业务转发模块通过数据链路层(二层)的转发机制将数据包从接入设备转发到目标设备，业务转发流量可以达到6g；端口保护模块通过配置主端口和备用端口实现端口保护功能，实现在主端口故障时的自动切换，实现业务的无感倒换；地址生成模块支持设备上电自动生成网络管理系统或网络管理软件所使用的ip地址，通过本地接入和远端业务网络接入实现网管自动发现设备；网关接入模块支持snmp v1/v2协议与网络管理系统或网络管理软件对通，并开放管理信息库接口mib和命令行界面接口cli，接入运营商第三方网络管理系统或网络管理软件网络管理系统或网络管理软件；设备代管模块作为远端设备，支持私有协议实现与接入汇聚型设备的对通，实现接入汇聚型设备对本设备代理管理；冲击限制模块支持通过访问控制列表或限速等方式限制网络报文冲击，支持对上送中央处理器cpu报文特征的自动学习，生成黑白名
单；上述方案支持端口保护功能，实现业务的冗余保护，提升业务转发的可靠性，业务倒换时间低于50ms，可以实现业务的无感倒换；支持设备上电自动生成网管ip，通过本地接入和远端业务网络接入实现网管自动发现设备，满足运营商即插即用需求，避免用户多次下站点进行配置安装，大大提升设备开通和维护效率；支持snmp v1/v2协议与网管对通，并可以开放mib接口和cli接口，接入运营商第三方网管，降低运营商对自产的网管的依赖，便于运营商实现网络设备的统一管理；生成黑白名单，防止短时间内大量报文对cpu冲击，减低cpu负担，避免因为网络冲击造成的设备异常，提升设备的可靠性和健壮性。
102.同时本实施例的设备交换能力可达6g，保证业务质量和网管能力的基础上降低建网成本，低成本实现高带宽接入；支持二层业务承载、处理和转发功能，用于电信及联通ipran政企网络及ip城域网接入；提供网管系统统一管理，具备性能管理、故障管理、配置管理和安全管理等四大功能，并且采用图形化用户界面，操作灵活，功能完善；支持设备的即插即用，网管自动发现、配置网络中新上线的设备，实现远程集中调测设备，一次进站，集中调试，实现高效开局；作为室外型设备支持室外抱杆和挂墙安装，有效防水防尘，并具有广泛的温、湿度适应性及防雷击功能。
103.实施例9：在实施例7的基础上，本实施例的小型化接入分组路由器具备多层次的组网能力。在业务量较小的区域，小型化接入分组路由器可采用单点接入的方式；对于业务量较大的区域，为节约城域端口资源和机房空间，可采用小型化接入分组设备组建星形或环形网络的方式进行端口拓展；
104.如图9所示，单点接入的组网场景，直接单点接入到城域分组网络，通过单链路或者多链路接入到运营商的城域网/ipran传输网络；在这种场景下，直接单点接入到运营商的城域网/ipran传输网络，通过单链路或者多链路接入到城域网/ipran传输网络节点，实现业务的互通；分组交换终端7连接城域网ip ran 8上的城域ip ran 9；
105.如图10所示，星型组网的组网场景，在这种场景下，分组交换终端通过小型汇聚收敛后，接入运营商的城域网/ipran传输网络，与城域ip ran之间进行业务的互通外；分组交换设备7连接小型汇聚设备10，小型汇聚设备10连接城域网ip ran 8上的城域ip ran 9；
106.上述技术方案的工作原理和有益效果为：本实施例的小型化接入分组路由器具备多层次的组网能力。在业务量较小的区域，小型化接入分组路由器可采用单点接入的方式；对于业务量较大的区域，为节约城域端口资源和机房空间，可采用小型化接入分组设备组建星形或环形网络的方式进行端口拓展；上述方案小型化接入分组路由器具备多层次的组网能力，可以根据业务量的大小和需求的变化选择不同的组网方式，对于业务量较小的区域，采用单点接入的方式可以简化网络结构，减少设备和端口的使用，提高灵活性和可管理性；而对于业务量较大的区域，采用星形或环形网络的方式可以更好地满足对端口和机房资源的需求，提供更高的扩展性；通过采用小型化接入分组设备组建星形或环形网络，可以节约城域端口资源和机房空间，传统的大型路由器或交换机在处理大规模业务时需要较多的端口和机房空间，而小型化接入分组设备则可以通过端口的聚合和组网方式的优化，减少资源的占用，从而实现资源的有效利用和节约；通过采用小型化接入分组设备组建星形或环形网络，可以提供更好的网络性能和可靠性，星形或环形网络可以提供多条路径和冗余连接，增强了网络的容错能力和负载均衡能力；同时，小型化接入分组设备通常具备较高的转发性能和处理能力，可以支持更高的带宽需求和业务处理能力，提供更好的网络性能
和用户体验。
107.显然，本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样，倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内，则本发明也意图包含这些改动和变型在内。

技术特征：
1.一种小型化分组路由器的单点接入信息加密保护方法，其特征在于，包含以下步骤：在控制器的控制下，建立不同用户设备或不同网络之间的连接，包含用户网络接口建立与用户设备的通信，网络到网络接口建立不同千兆以太网或快速以太网接口之间的连接；根据用户设备确定保护的单点接入信息，采用对称加密算法对单点加入信息采用加密密钥进行加密，得到加密后的单点接入信息，将与加密密钥对应的解密密钥发送至另一用户设备；同时对访问加密后的单点接入信息的权限进行限制；单点接入信息包含用户名、密码、ip地址及设备的唯一标识符；控制器将加密后的单点接入信息，采用安全传输协议传输至另一用户设备，另一用户设备采用解密密钥对加密后的单点接入信息进行解密，得到单点接入信息。2.如权利要求1所述的小型化分组路由器的单点接入信息加密保护方法，其特征在于，控制器的控制过程，还包含以下步骤：控制业务转发模块负责通过数据链路层的转发机制将数据包从接入设备转发到目标设备；控制端口保护模块通过配置主端口和备用端口实现端口保护功能，实现在主端口故障时的自动切换，实现业务的无感倒换；控制地址生成模块支持设备上电自动生成网络管理系统或网络管理软件所使用的ip地址，通过本地接入和远端业务网络接入实现网管自动发现设备；控制网关接入模块支持snmp v1/v2协议与网络管理系统或网络管理软件对通，并开放管理信息库接口mib和命令行界面接口cli，接入运营商第三方网络管理系统或网络管理软件网络管理系统或网络管理软件；控制设备代管模块作为远端设备，支持私有协议实现与接入汇聚型设备的对通，实现接入汇聚型设备对本设备代理管理；控制冲击限制模块支持通过访问控制列表或限速等方式限制网络报文冲击，支持对上送中央处理器cpu报文特征的自动学习，生成黑白名单。3.如权利要求1所述的小型化分组路由器的单点接入信息加密保护方法，其特征在于，得到加密后的单点接入信息的过程，包含以下步骤：获得用户设备发送的单点接入信息，记录单点接入信息的发送时间和单点接入信息内容；采用对称加密算法将发送时间、单点接入信息内容及一个随机数加密成加密密钥，再生成与加密密钥对应的解密密钥；将解密密钥发送至控制器，包含加密密钥的单点接入信息存储至控制器的存储部。4.如权利要求3所述的小型化分组路由器的单点接入信息加密保护方法，其特征在于，生成加密密钥和解密密钥的过程，包含以下步骤：用户设备向控制器发送预设加密密钥的请求指令，并生成一个随机数，加密密钥带有单点接入信息发送时间戳、内容及随机数；获取控制器根据请求指令发送的加密密钥，将单点接入信息发送时间戳及内容与加密密钥关联，并根据单点接入信息发送时间戳的不同，控制器设置不同的加密密钥；根据加密密钥生成对应的解密密钥，将关联的单点接入信息发送时间戳、内容及加密密钥一起发送至控制器的存储部。5.如权利要求4所述的小型化分组路由器的单点接入信息加密保护方法，其特征在于，
控制器设置不同的加密密钥的过程，包含以下步骤：获取用户设备的时间戳申请请求，根据单点接入信息的发送时间生成至少一时间戳，并将时间戳与单点接入信息内容关联并封包；生成动态的加密密钥，并使用动态的加密密钥对封包进行加密，生成关联标识，将动态的加密密钥与封包进行关联，将加密后的封包及随机数发送至控制器；当时间戳在有效期内时，发送与时间戳关联的加密密钥至另一用户设备，另一用户设备再根据与加密密钥对应的解密密钥进行解密，得到包含有时间戳的单点接入信息。6.如权利要求1所述的小型化分组路由器的单点接入信息加密保护方法，其特征在于，对访问加密后的单点接入信息的权限进行限制的过程，包含以下步骤：在控制器中预设权限程序，权限程序与单点接入信息的内容相关联，根据要求实现权限程序与内容的某一项或某几项相关联；权限程序启动后，当监控到用户设备建立与控制器的合法通信后，创建一个运行用户设备与控制器对话的服务程序，包含：对用户设备性能的鉴定，根据鉴定结果确认用户设备的权限等级；当权限等级低的用户设备需要进行操作时，将需要进行的操作交由服务程序代理完成。7.一种小型化分组路由器，其特征在于，包含：外壳、用户网络接口、网络到网络接口、指示灯、控制面板及散热格栅；外壳的前端自右至左依次嵌装有用户网络接口、网络到网络接口、指示灯及控制面板；用户网络接口、网络到网络接口、指示灯及控制面板通过导线与外壳内的控制器连接。8.如权利要求7所述的小型化分组路由器，其特征在于，用户网络接口包含4个快速以太网/千兆以太网电接口，连接最多4个以太网设备；网络到网络接口提供2个配置千兆以太网/快速以太网接口用作业务上联。9.如权利要求7所述的小型化分组路由器，其特征在于，指示灯用于显示户网络接口、网络到网络接口及控制面板的工作状态；控制面板上包含电源接口、开关电源及控制按钮，实现小型化分组路由器的控制开关。10.如权利要求7所述的小型化分组路由器，其特征在于，控制器，包含：业务转发模块，负责通过数据链路层的转发机制将数据包从接入设备转发到目标设备；端口保护模块，负责通过配置主端口和备用端口实现端口保护功能，实现在主端口故障时的自动切换，实现业务的无感倒换；地址生成模块，负责支持设备上电自动生成网络管理系统或网络管理软件所使用的ip地址，通过本地接入和远端业务网络接入实现网管自动发现设备；网关接入模块，负责支持snmp v1/v2协议与网络管理系统或网络管理软件对通，并开放管理信息库接口和命令行界面接口，接入运营商第三方网络管理系统或网络管理软件网络管理系统或网络管理软件；设备代管模块，负责作为远端设备，支持私有协议实现与接入汇聚型设备的对通，实现接入汇聚型设备对本设备代理管理；冲击限制模块，负责支持通过访问控制列表或限速方式限制网络报文冲击，支持对上
送中央处理器报文特征的自动学习，生成黑白名单。

技术总结
本发明提供了一种小型化分组路由器及其单点接入信息加密保护方法，方法包含：在控制器的控制下，建立不同用户设备或不同网络之间连接；根据用户设备确定保护的单点接入信息，采用对称加密算法对单点加入信息采用加密密钥进行加密，得到加密后的单点接入信息，将与加密密钥对应的解密密钥发送至另一用户设备；同时对访问加密后的单点接入信息的权限进行限制；控制器将加密后的单点接入信息，采用安全传输协议传输至另一用户设备，另一用户设备采用解密密钥对加密后的单点接入信息进行解密，得到单点接入信息；小型化分组路由器，包含：外壳、用户网络接口、网络到网络接口、指示灯、控制面板及散热格栅。本发明保护接入信息的机密性和完整性。的机密性和完整性。的机密性和完整性。


技术研发人员：郑向东 赵良 姚明
受保护的技术使用者：广东九博科技股份有限公司
技术研发日：2023.08.03
技术公布日：2023/10/15