一种阻止硬件后门的嵌入式网络系统的制作方法

本发明涉及一种网络设备，尤其是涉及一种阻止硬件后门的嵌入式网络系统。

背景技术：

目前现状：现阶段的嵌入式以太网解决方案大多是由以太网控制器(ethernetcontroller)和以太网物理层收发器(ethernetphysicallayertransceiver)两部分组成。随着微处理器的高度集成化，大多数解决方案是将以太网控制器集成在微处理器中，以减少外围电路。以太网物理层收发器通过标准化的接口(如：mii)与以太网控制器通信，以太网物理层收发器只需在上电初始化过程中配置一次，其后的所有网络通信过程都将在以太网控制器的控制下进行。目前，嵌入式网络设备使用的微处理器几乎都是国外的产品，而以太网控制器又内置在微处理器内部，因此，微处理器完全有能力不通过固件软件的控制，直接由微处理器内部控制以太网控制器秘密地向指定地址发送数据。综上所述，当选用集成以太网控制器的微处理器作为以太网解决方案时，就会存在硬件故意后门的安全隐患。

技术实现要素：

本发明的目的就是为了克服上述现有技术存在的缺陷而提供一种阻止硬件后门的嵌入式网络系统，具有变换网络控制功能，可阻断硬件故意后门，大大提高网络安全性。

本发明的目的可以通过以下技术方案来实现：

一种阻止硬件后门的嵌入式网络系统包括嵌入式网络设备和网络控制装置，所述嵌入式网络设备内嵌有ip地址变换处理器，所述网络控制装置包括依次连接的第一通信电路、网络中央处理器和第二通信电路，所述网络中央处理器连接有ip地址反变换处理器，所述第二通信电路连接嵌入式网络设备，所述第一通信电路连接网络。

外发网络包(即网络数据包)时，嵌入式网络设备利用ip地址变换处理器对所有外发的网络包的实际ip地址进行变换得到变换ip地址，网络中央处理器先利用第二通信电路接收外发的网络包，再利用ip地址反变换处理器对所有外发的网络包的变换ip地址进行反变换得到实际ip地址，最后利用第一通信电路向网络中实际ip地址发送网络包；

接收网络包时，网络中央处理器先利用第一通信电路接收网络中发来的网络包，再利用第二通信电路直接将网络包转发给嵌入式网络设备。

所述嵌入式网络设备还包括依次连接的微处理器、以太网控制器和以太网物理层收发器，所述以太网控制器连接ip地址变换处理器。

所述网络为有线网络或无线网络。

所述第一通信电路通过无线路由器连接无线网络。

所述网络控制装置还包括对外接口和对内接口，所述第二通信电路通过对内接口连接嵌入式网络设备，所述第一通信电路通过对外接口连接网络。

所述网络中央处理器连接有用于缓存的数据储存器。

所述网络控制装置内置在嵌入式网络设备内部，或者所述网络控制装置作为独立的设备串接在嵌入式网络设备与网络之间。

所述嵌入式网络设备为多个，多个嵌入式网络设备分别连接网络控制装置的第二通信电路。

所述网络控制装置接收网络中目标设备的网络包的工作方式：

11)网络控制装置上电，第一通信电路、网络中央处理器和第二通信电路复位，执行步骤12)；

12)网络中央处理器判断目标设备是否已与网络控制装置建立连接，若是，执行步骤13)，若否，跳转步骤12)；

13)网络中央处理器缓存通过第一通信电路接收到的目标设备的网络包，执行步骤14)；

14)网络中央处理器判断嵌入式网络设备是否已与网络控制装置建立连接，若是，执行步骤15)，若否，执行步骤16)；

15)网络中央处理器将缓存的网络包发送给第二通信电路，第二通信电路将网络包发送到嵌入式网络设备，跳转步骤12)；

16)网络中央处理器丢弃缓存的网络包，跳转步骤12)。

所述网络控制装置向网络中目标设备外发网络包的工作方式为：

21)网络控制装置上电，第一通信电路、网络中央处理器和第二通信电路复位，执行步骤22)；

22)网络中央处理器判断嵌入式网络设备是否已与网络控制装置建立连接，若是，执行步骤23)，若否，跳转步骤22)；

23)网络中央处理器缓存通过第二通信电路接收的嵌入式网络设备已经进行ip地址变换的网络包，执行步骤24)；

24)网络中央处理器判断缓存的网络包是否为ip包，若是，执行步骤25)，若否，执行步骤26)；

25)提取ip包内的变换ip地址，并对变换ip地址进行反变换得到实际ip地址，执行步骤26)；

26)网络中央处理器判断目标设备是否已与网络控制装置建立连接，若是，执行步骤27)，若否，执行步骤28)；

27)网络中央处理器将网络包发送给第一通信电路，第一通信电路根据实际ip地址将网络包发送到目标设备，跳转步骤22)；

28)网络中央处理器丢弃缓存的网络包，跳转步骤22)。

与现有技术相比，本发明具有以下优点：

1)本发明在现有嵌入式网络设备的网络接口上增加网络控制装置，由ip地址变换处理器和ip地址反变换处理器实现变换网络的控制功能，利用成对的ip包目的地址专用算法变换/反变换方法，保证正常发送的ip包在网络上不受影响，并且，ip包目的地址变换算法是专有的、私密的，现有嵌入式网络设备的微处理器生厂商是无法获知的，若无网络控制装置，嵌入式网络设备的硬件后门所发送的ip包只经过了反变换过程，发送的ip包的目的地址已不是要求到达的目的地址，从而令硬件后门发送的数据不可达，大大提高网络的安全性。

2)制作成本低，无需对嵌入式网络设备的微处理器进行再制作，仅需要在现有的嵌入式网络设备的基础上增加ip地址变换处理器和网络控制装置，即可阻断硬件故意后门，适于对现有各种类型的嵌入式网络设备进行批量改造。

3)实用性强，网络控制装置除了有内置在嵌入式网络设备内部的安装方式，还可以作为独立的设备串接在嵌入式网络设备与网络之间，便于安装和维修，推广应用度高。

附图说明

图1为本发明系统结构示意图；

图2为本发明中网络控制装置的内部数据传输示意图；

图3为本发明系统的内部数据传输示意图；

图4为本发明中网络控制装置接收网络中目标设备的网络包的流程图；

图5为本发明中网络控制装置向网络中目标设备外发网络包的流程图。

图中：1、嵌入式网络设备，11、ip地址变换处理器，12、微处理器，13、以太网控制器，14、以太网物理层收发器，2、网络控制装置，21、第一通信电路，22、网络中央处理器，23、第二通信电路，24、ip地址反变换处理器，25、对外接口，26、对内接口，3、目标设备。

具体实施方式

下面结合附图和具体实施例对本发明进行详细说明。本实施例以本发明技术方案为前提进行实施，给出了详细的实施方式和具体的操作过程，但本发明的保护范围不限于下述的实施例。

如图1所示，一种阻止硬件后门的嵌入式网络系统包括嵌入式网络设备1和网络控制装置2，嵌入式网络设备1包括ip地址变换处理器11、微处理器12、以太网控制器13和以太网物理层收发器14，微处理器12、以太网控制器13和以太网物理层收发器14依次连接，以太网控制器13连接ip地址变换处理器11，网络控制装置2包括依次连接的第一通信电路21、网络中央处理器22、第二通信电路23、对外接口25和对内接口26，网络中央处理器22连接有ip地址反变换处理器24，第二通信电路23通过对内接口26连接嵌入式网络设备1，第一通信电路21通过对外接口25连接网络，第一通信电路21和第二通信电路23主要实现网络接口功能，网络为有线网络或无线网络，两种网络方式下均可实现阻断硬件后门，其中，第一通信电路21通过无线路由器连接无线网络。

实现过程中，网络控制装置2可以内置在嵌入式网络设备1内部，也可以作为独立的设备串接在嵌入式网络设备1与网络之间。嵌入式网络设备1可以根据需求设置多个，多个嵌入式网络设备1分别连接网络控制装置2的第二通信电路23。微处理器12、以太网控制器13和以太网物理层收发器14为现有的嵌入式网络设 备1结构，ip地址变换处理器11和ip地址反变换处理器24可采用内嵌有ip地址算法的数据处理芯片，例如arm处理器、单片机等等，网络中央处理器22为能够进行逻辑运算处理的控制器，例如arm处理器、dsp处理器、fpga等等。

网络中央处理器22连接有用于缓存的数据储存器，例如flash存储卡，可以增加网络控制装置2缓存网络包的容量，特别适用于多个嵌入式网络设备1分别连接网络控制装置2的情况。

如图2和图3所示，嵌入式网络设备1外发网络包时，嵌入式网络设备1利用ip地址变换处理器11对所有外发的网络包的实际ip地址进行变换得到变换ip地址，网络中央处理器22先利用第二通信电路23接收外发的网络包，再利用ip地址反变换处理器24对所有外发的网络包的变换ip地址进行反变换得到实际ip地址，最后利用第一通信电路21向网络中实际ip地址发送网络包，对应的数据传输方向如图2和图3中虚线的箭头所示；

嵌入式网络设备1接收网络包时，网络中央处理器22先利用第一通信电路21接收网络中发来的网络包，再利用第二通信电路23直接将网络包转发给嵌入式网络设备1，此过程，网络控制装置2对网络中发来的网络包的ip地址不作任何处理，对应的数据传输方向如图2和图3中实线的箭头所示。

目标设备3接入网络，下面以网络包的两个流向过程为例，具体说明：

流向过程ⅰ：网络控制装置2接收网络中目标设备3的网络包，如图4所示，包括：

11)网络控制装置2上电，第一通信电路21、网络中央处理器22和第二通信电路23复位，执行步骤12)；

12)网络中央处理器22判断目标设备3是否已与网络控制装置2建立连接，若是，执行步骤13)，若否，跳转步骤12)；

13)网络中央处理器22缓存通过第一通信电路21接收到的目标设备3的网络包，执行步骤14)；

14)网络中央处理器22判断嵌入式网络设备1是否已与网络控制装置2建立连接，若是，执行步骤15)，若否，执行步骤16)；

15)网络中央处理器22对缓存的网络包不进行网络地址变换，直接转发给第二通信电路23，第二通信电路23将网络包发送到嵌入式网络设备1，跳转步骤12)；

16)网络中央处理器22丢弃缓存的网络包，跳转步骤12)。

流向过程ⅱ：网络控制装置2向网络中目标设备3外发网络包，如图5所示，包括：

21)网络控制装置2上电，第一通信电路21、网络中央处理器22和第二通信电路23复位，执行步骤22)；

22)网络中央处理器22判断嵌入式网络设备1是否已与网络控制装置2建立连接，若是，执行步骤23)，若否，跳转步骤22)；

23)网络中央处理器22缓存通过第二通信电路23接收的嵌入式网络设备1已经进行ip地址变换的网络包，执行步骤24)；

24)网络中央处理器22判断缓存的网络包是否为ip包，若是，执行步骤25)，若否，执行步骤26)；

25)提取ip包内的变换ip地址，并对变换ip地址进行反变换得到实际ip地址，执行步骤26)；

26)网络中央处理器22判断目标设备3是否已与网络控制装置2建立连接，若是，执行步骤27)，若否，执行步骤28)；

27)网络中央处理器22将网络包发送给第一通信电路21，第一通信电路21根据实际ip地址将网络包发送到目标设备3，跳转步骤22)；

28)网络中央处理器22丢弃缓存的网络包，跳转步骤22)。

综上，本发明工作原理：嵌入式网络设备1利用ip地址变换处理器11对所有外发的ip包的目的地址域实施专用的算法变换，网络控制装置2利用ip地址反变换处理器24对所有外发的ip包的目的地址域实施相同算法的反变换，只有通过这种成对的变换/反变换，发送到网络上的ip包才是实际需要的ip包，否则，任何只实施了单一的变换或反变换的ip包，其目的地址都不是实际要发送的目的地址，导致数据发送不到要求的目的地址上。这样，通过硬件后门发送的ip包由于没有通过固件的地址变换过程，只通过了网络控制装置2的地址反变换过程，发送到网络上ip包目的地址自然是不正确的，因此，硬件后门发送的ip包自然就到达不了预想的目的地，达到了阻断硬件后门的目的。