一种阻止硬件后门的嵌入式网络系统技术方案

本发明专利技术涉及一种阻止硬件后门的嵌入式网络系统，包括嵌入式网络设备和网络控制装置，所述嵌入式网络设备内嵌有IP地址变换处理器，所述网络控制装置包括依次连接的第一通信电路、网络中央处理器和第二通信电路，所述网络中央处理器连接有IP地址反变换处理器，所述第二通信电路连接嵌入式网络设备，所述第一通信电路连接网络。与现有技术相比，本发明专利技术具有变换网络控制功能，可阻断硬件故意后门，大大提高网络安全性。

【技术实现步骤摘要】
一种阻止硬件后门的嵌入式网络系统
本专利技术涉及一种网络设备，尤其是涉及一种阻止硬件后门的嵌入式网络系统。
技术介绍
目前现状：现阶段的嵌入式以太网解决方案大多是由以太网控制器(EthernetController)和以太网物理层收发器(EthernetPhysicalLayerTransceiver)两部分组成。随着微处理器的高度集成化，大多数解决方案是将以太网控制器集成在微处理器中，以减少外围电路。以太网物理层收发器通过标准化的接口(如：MII)与以太网控制器通信，以太网物理层收发器只需在上电初始化过程中配置一次，其后的所有网络通信过程都将在以太网控制器的控制下进行。目前，嵌入式网络设备使用的微处理器几乎都是国外的产品，而以太网控制器又内置在微处理器内部，因此，微处理器完全有能力不通过固件软件的控制，直接由微处理器内部控制以太网控制器秘密地向指定地址发送数据。综上所述，当选用集成以太网控制器的微处理器作为以太网解决方案时，就会存在硬件故意后门的安全隐患。
技术实现思路
本专利技术的目的就是为了克服上述现有技术存在的缺陷而提供一种阻止硬件后门的嵌入式网络系统，具有变换网络控制功能，可阻断硬件故意后门，大大提高网络安全性。本专利技术的目的可以通过以下技术方案来实现：一种阻止硬件后门的嵌入式网络系统包括嵌入式网络设备和网络控制装置，所述嵌入式网络设备内嵌有IP地址变换处理器，所述网络控制装置包括依次连接的第一通信电路、网络中央处理器和第二通信电路，所述网络中央处理器连接有IP地址反变换处理器，所述第二通信电路连接嵌入式网络设备，所述第一通信电路连接网络。外发网络包(即网络数据包)时，嵌入式网络设备利用IP地址变换处理器对所有外发的网络包的实际IP地址进行变换得到变换IP地址，网络中央处理器先利用第二通信电路接收外发的网络包，再利用IP地址反变换处理器对所有外发的网络包的变换IP地址进行反变换得到实际IP地址，最后利用第一通信电路向网络中实际IP地址发送网络包；接收网络包时，网络中央处理器先利用第一通信电路接收网络中发来的网络包，再利用第二通信电路直接将网络包转发给嵌入式网络设备。所述嵌入式网络设备还包括依次连接的微处理器、以太网控制器和以太网物理层收发器，所述以太网控制器连接IP地址变换处理器。所述网络为有线网络或无线网络。所述第一通信电路通过无线路由器连接无线网络。所述网络控制装置还包括对外接口和对内接口，所述第二通信电路通过对内接口连接嵌入式网络设备，所述第一通信电路通过对外接口连接网络。所述网络中央处理器连接有用于缓存的数据储存器。所述网络控制装置内置在嵌入式网络设备内部，或者所述网络控制装置作为独立的设备串接在嵌入式网络设备与网络之间。所述嵌入式网络设备为多个，多个嵌入式网络设备分别连接网络控制装置的第二通信电路。所述网络控制装置接收网络中目标设备的网络包的工作方式：11)网络控制装置上电，第一通信电路、网络中央处理器和第二通信电路复位，执行步骤12)；12)网络中央处理器判断目标设备是否已与网络控制装置建立连接，若是，执行步骤13)，若否，跳转步骤12)；13)网络中央处理器缓存通过第一通信电路接收到的目标设备的网络包，执行步骤14)；14)网络中央处理器判断嵌入式网络设备是否已与网络控制装置建立连接，若是，执行步骤15)，若否，执行步骤16)；15)网络中央处理器将缓存的网络包发送给第二通信电路，第二通信电路将网络包发送到嵌入式网络设备，跳转步骤12)；16)网络中央处理器丢弃缓存的网络包，跳转步骤12)。所述网络控制装置向网络中目标设备外发网络包的工作方式为：21)网络控制装置上电，第一通信电路、网络中央处理器和第二通信电路复位，执行步骤22)；22)网络中央处理器判断嵌入式网络设备是否已与网络控制装置建立连接，若是，执行步骤23)，若否，跳转步骤22)；23)网络中央处理器缓存通过第二通信电路接收的嵌入式网络设备已经进行IP地址变换的网络包，执行步骤24)；24)网络中央处理器判断缓存的网络包是否为IP包，若是，执行步骤25)，若否，执行步骤26)；25)提取IP包内的变换IP地址，并对变换IP地址进行反变换得到实际IP地址，执行步骤26)；26)网络中央处理器判断目标设备是否已与网络控制装置建立连接，若是，执行步骤27)，若否，执行步骤28)；27)网络中央处理器将网络包发送给第一通信电路，第一通信电路根据实际IP地址将网络包发送到目标设备，跳转步骤22)；28)网络中央处理器丢弃缓存的网络包，跳转步骤22)。与现有技术相比，本专利技术具有以下优点：1)本专利技术在现有嵌入式网络设备的网络接口上增加网络控制装置，由IP地址变换处理器和IP地址反变换处理器实现变换网络的控制功能，利用成对的IP包目的地址专用算法变换/反变换方法，保证正常发送的IP包在网络上不受影响，并且，IP包目的地址变换算法是专有的、私密的，现有嵌入式网络设备的微处理器生厂商是无法获知的，若无网络控制装置，嵌入式网络设备的硬件后门所发送的IP包只经过了反变换过程，发送的IP包的目的地址已不是要求到达的目的地址，从而令硬件后门发送的数据不可达，大大提高网络的安全性。2)制作成本低，无需对嵌入式网络设备的微处理器进行再制作，仅需要在现有的嵌入式网络设备的基础上增加IP地址变换处理器和网络控制装置，即可阻断硬件故意后门，适于对现有各种类型的嵌入式网络设备进行批量改造。3)实用性强，网络控制装置除了有内置在嵌入式网络设备内部的安装方式，还可以作为独立的设备串接在嵌入式网络设备与网络之间，便于安装和维修，推广应用度高。附图说明图1为本专利技术系统结构示意图；图2为本专利技术中网络控制装置的内部数据传输示意图；图3为本专利技术系统的内部数据传输示意图；图4为本专利技术中网络控制装置接收网络中目标设备的网络包的流程图；图5为本专利技术中网络控制装置向网络中目标设备外发网络包的流程图。图中：1、嵌入式网络设备，11、IP地址变换处理器，12、微处理器，13、以太网控制器，14、以太网物理层收发器，2、网络控制装置，21、第一通信电路，22、网络中央处理器，23、第二通信电路，24、IP地址反变换处理器，25、对外接口，26、对内接口，3、目标设备。具体实施方式下面结合附图和具体实施例对本专利技术进行详细说明。本实施例以本专利技术技术方案为前提进行实施，给出了详细的实施方式和具体的操作过程，但本专利技术的保护范围不限于下述的实施例。如图1所示，一种阻止硬件后门的嵌入式网络系统包括嵌入式网络设备1和网络控制装置2，嵌入式网络设备1包括IP地址变换处理器11、微处理器12、以太网控制器13和以太网物理层收发器14，微处理器12、以太网控制器13和以太网物理层收发器14依次连接，以太网控制器13连接IP地址变换处理器11，网络控制装置2包括依次连接的第一通信电路21、网络中央处理器22、第二通信电路23、对外接口25和对内接口26，网络中央处理器22连接有IP地址反变换处理器24，第二通信电路23通过对内接口26连接嵌入式网络设备1，第一通信电路21通过对外接口25连接网络，第一通信电路21和第二通信电路23主要实现网络接口功能，网络为有线网络或无线网络，两种网络方式下均可实现阻断硬本文档来自技高网...

【技术保护点】
一种阻止硬件后门的嵌入式网络系统，包括嵌入式网络设备(1)，其特征在于，还包括网络控制装置(2)，所述嵌入式网络设备(1)内嵌有IP地址变换处理器(11)，所述网络控制装置(2)包括依次连接的第一通信电路(21)、网络中央处理器(22)和第二通信电路(23)，所述网络中央处理器(22)连接有IP地址反变换处理器(24)，所述第二通信电路(23)连接嵌入式网络设备(1)，所述第一通信电路(21)连接网络；外发网络包时，嵌入式网络设备(1)利用IP地址变换处理器(11)对所有外发的网络包的实际IP地址进行变换得到变换IP地址，网络中央处理器(22)先利用第二通信电路(23)接收外发的网络包，再利用IP地址反变换处理器(24)对所有外发的网络包的变换IP地址进行反变换得到实际IP地址，最后利用第一通信电路(21)向网络中实际IP地址发送网络包；接收网络包时，网络中央处理器(22)先利用第一通信电路(21)接收网络中发来的网络包，再利用第二通信电路(23)直接将网络包转发给嵌入式网络设备(1)。

【技术特征摘要】
1.一种阻止硬件后门的嵌入式网络系统，包括嵌入式网络设备(1)，其特征在于，还包括网络控制装置(2)，所述嵌入式网络设备(1)内嵌有IP地址变换处理器(11)，所述网络控制装置(2)包括依次连接的第一通信电路(21)、网络中央处理器(22)和第二通信电路(23)，所述网络中央处理器(22)连接有IP地址反变换处理器(24)，所述第二通信电路(23)连接嵌入式网络设备(1)，所述第一通信电路(21)连接网络；外发网络包时，嵌入式网络设备(1)利用IP地址变换处理器(11)对所有外发的网络包的实际IP地址进行变换得到变换IP地址，网络中央处理器(22)先利用第二通信电路(23)接收外发的网络包，再利用IP地址反变换处理器(24)对所有外发的网络包的变换IP地址进行反变换得到实际IP地址，最后利用第一通信电路(21)向网络中实际IP地址发送网络包；接收网络包时，网络中央处理器(22)先利用第一通信电路(21)接收网络中发来的网络包，再利用第二通信电路(23)直接将网络包转发给嵌入式网络设备(1)。2.根据权利要求1所述的一种阻止硬件后门的嵌入式网络系统，其特征在于，所述嵌入式网络设备(1)还包括依次连接的微处理器(12)、以太网控制器(13)和以太网物理层收发器(14)，所述以太网控制器(13)连接IP地址变换处理器(11)。3.根据权利要求1所述的一种阻止硬件后门的嵌入式网络系统，其特征在于，所述网络为有线网络或无线网络。4.根据权利要求3所述的一种阻止硬件后门的嵌入式网络系统，其特征在于，所述第一通信电路(21)通过无线路由器连接无线网络。5.根据权利要求1所述的一种阻止硬件后门的嵌入式网络系统，其特征在于，所述网络控制装置(2)还包括对外接口(25)和对内接口(26)，所述第二通信电路(23)通过对内接口(26)连接嵌入式网络设备(1)，所述第一通信电路(21)通过对外接口(25)连接网络。6.根据权利要求1所述的一种阻止硬件后门的嵌入式网络系统，其特征在于，所述网络中央处理器(22)连接有用于缓存的数据储存器。7.根据权利要求1所述的一种阻止硬件后门的嵌入式网络系统，其特征在于，所述网络控制装置(2)内置在嵌入式网络设备(1)内部，或者所述网络控制装置(2)作为独立的设备串接在嵌入式网络设备(1)与网络之间。8.根据权利要求1所述的一种阻止硬件后门的嵌入...

【专利技术属性】
技术研发人员：许小青，廖超，李向坤，
申请(专利权)人：上海传真通信设备技术研究所有限公司，
类型：发明
国别省市：上海,31