本發(fā)明涉及一種網(wǎng)絡(luò)設(shè)備，尤其是涉及一種阻止硬件后門的嵌入式網(wǎng)絡(luò)系統(tǒng)。

背景技術(shù)：

目前現(xiàn)狀：現(xiàn)階段的嵌入式以太網(wǎng)解決方案大多是由以太網(wǎng)控制器(ethernetcontroller)和以太網(wǎng)物理層收發(fā)器(ethernetphysicallayertransceiver)兩部分組成。隨著微處理器的高度集成化，大多數(shù)解決方案是將以太網(wǎng)控制器集成在微處理器中，以減少外圍電路。以太網(wǎng)物理層收發(fā)器通過標(biāo)準(zhǔn)化的接口(如：mii)與以太網(wǎng)控制器通信，以太網(wǎng)物理層收發(fā)器只需在上電初始化過程中配置一次，其后的所有網(wǎng)絡(luò)通信過程都將在以太網(wǎng)控制器的控制下進行。目前，嵌入式網(wǎng)絡(luò)設(shè)備使用的微處理器幾乎都是國外的產(chǎn)品，而以太網(wǎng)控制器又內(nèi)置在微處理器內(nèi)部，因此，微處理器完全有能力不通過固件軟件的控制，直接由微處理器內(nèi)部控制以太網(wǎng)控制器秘密地向指定地址發(fā)送數(shù)據(jù)。綜上所述，當(dāng)選用集成以太網(wǎng)控制器的微處理器作為以太網(wǎng)解決方案時，就會存在硬件故意后門的安全隱患。

技術(shù)實現(xiàn)要素：

本發(fā)明的目的就是為了克服上述現(xiàn)有技術(shù)存在的缺陷而提供一種阻止硬件后門的嵌入式網(wǎng)絡(luò)系統(tǒng)，具有變換網(wǎng)絡(luò)控制功能，可阻斷硬件故意后門，大大提高網(wǎng)絡(luò)安全性。

本發(fā)明的目的可以通過以下技術(shù)方案來實現(xiàn)：

一種阻止硬件后門的嵌入式網(wǎng)絡(luò)系統(tǒng)包括嵌入式網(wǎng)絡(luò)設(shè)備和網(wǎng)絡(luò)控制裝置，所述嵌入式網(wǎng)絡(luò)設(shè)備內(nèi)嵌有ip地址變換處理器，所述網(wǎng)絡(luò)控制裝置包括依次連接的第一通信電路、網(wǎng)絡(luò)中央處理器和第二通信電路，所述網(wǎng)絡(luò)中央處理器連接有ip地址反變換處理器，所述第二通信電路連接嵌入式網(wǎng)絡(luò)設(shè)備，所述第一通信電路連接網(wǎng)絡(luò)。

外發(fā)網(wǎng)絡(luò)包(即網(wǎng)絡(luò)數(shù)據(jù)包)時，嵌入式網(wǎng)絡(luò)設(shè)備利用ip地址變換處理器對所有外發(fā)的網(wǎng)絡(luò)包的實際ip地址進行變換得到變換ip地址，網(wǎng)絡(luò)中央處理器先利用第二通信電路接收外發(fā)的網(wǎng)絡(luò)包，再利用ip地址反變換處理器對所有外發(fā)的網(wǎng)絡(luò)包的變換ip地址進行反變換得到實際ip地址，最后利用第一通信電路向網(wǎng)絡(luò)中實際ip地址發(fā)送網(wǎng)絡(luò)包；

接收網(wǎng)絡(luò)包時，網(wǎng)絡(luò)中央處理器先利用第一通信電路接收網(wǎng)絡(luò)中發(fā)來的網(wǎng)絡(luò)包，再利用第二通信電路直接將網(wǎng)絡(luò)包轉(zhuǎn)發(fā)給嵌入式網(wǎng)絡(luò)設(shè)備。

所述嵌入式網(wǎng)絡(luò)設(shè)備還包括依次連接的微處理器、以太網(wǎng)控制器和以太網(wǎng)物理層收發(fā)器，所述以太網(wǎng)控制器連接ip地址變換處理器。

所述網(wǎng)絡(luò)為有線網(wǎng)絡(luò)或無線網(wǎng)絡(luò)。

所述第一通信電路通過無線路由器連接無線網(wǎng)絡(luò)。

所述網(wǎng)絡(luò)控制裝置還包括對外接口和對內(nèi)接口，所述第二通信電路通過對內(nèi)接口連接嵌入式網(wǎng)絡(luò)設(shè)備，所述第一通信電路通過對外接口連接網(wǎng)絡(luò)。

所述網(wǎng)絡(luò)中央處理器連接有用于緩存的數(shù)據(jù)儲存器。

所述網(wǎng)絡(luò)控制裝置內(nèi)置在嵌入式網(wǎng)絡(luò)設(shè)備內(nèi)部，或者所述網(wǎng)絡(luò)控制裝置作為獨立的設(shè)備串接在嵌入式網(wǎng)絡(luò)設(shè)備與網(wǎng)絡(luò)之間。

所述嵌入式網(wǎng)絡(luò)設(shè)備為多個，多個嵌入式網(wǎng)絡(luò)設(shè)備分別連接網(wǎng)絡(luò)控制裝置的第二通信電路。

所述網(wǎng)絡(luò)控制裝置接收網(wǎng)絡(luò)中目標(biāo)設(shè)備的網(wǎng)絡(luò)包的工作方式：

11)網(wǎng)絡(luò)控制裝置上電，第一通信電路、網(wǎng)絡(luò)中央處理器和第二通信電路復(fù)位，執(zhí)行步驟12)；

12)網(wǎng)絡(luò)中央處理器判斷目標(biāo)設(shè)備是否已與網(wǎng)絡(luò)控制裝置建立連接，若是，執(zhí)行步驟13)，若否，跳轉(zhuǎn)步驟12)；

13)網(wǎng)絡(luò)中央處理器緩存通過第一通信電路接收到的目標(biāo)設(shè)備的網(wǎng)絡(luò)包，執(zhí)行步驟14)；

14)網(wǎng)絡(luò)中央處理器判斷嵌入式網(wǎng)絡(luò)設(shè)備是否已與網(wǎng)絡(luò)控制裝置建立連接，若是，執(zhí)行步驟15)，若否，執(zhí)行步驟16)；

15)網(wǎng)絡(luò)中央處理器將緩存的網(wǎng)絡(luò)包發(fā)送給第二通信電路，第二通信電路將網(wǎng)絡(luò)包發(fā)送到嵌入式網(wǎng)絡(luò)設(shè)備，跳轉(zhuǎn)步驟12)；

16)網(wǎng)絡(luò)中央處理器丟棄緩存的網(wǎng)絡(luò)包，跳轉(zhuǎn)步驟12)。

所述網(wǎng)絡(luò)控制裝置向網(wǎng)絡(luò)中目標(biāo)設(shè)備外發(fā)網(wǎng)絡(luò)包的工作方式為：

21)網(wǎng)絡(luò)控制裝置上電，第一通信電路、網(wǎng)絡(luò)中央處理器和第二通信電路復(fù)位，執(zhí)行步驟22)；

22)網(wǎng)絡(luò)中央處理器判斷嵌入式網(wǎng)絡(luò)設(shè)備是否已與網(wǎng)絡(luò)控制裝置建立連接，若是，執(zhí)行步驟23)，若否，跳轉(zhuǎn)步驟22)；

23)網(wǎng)絡(luò)中央處理器緩存通過第二通信電路接收的嵌入式網(wǎng)絡(luò)設(shè)備已經(jīng)進行ip地址變換的網(wǎng)絡(luò)包，執(zhí)行步驟24)；

24)網(wǎng)絡(luò)中央處理器判斷緩存的網(wǎng)絡(luò)包是否為ip包，若是，執(zhí)行步驟25)，若否，執(zhí)行步驟26)；

25)提取ip包內(nèi)的變換ip地址，并對變換ip地址進行反變換得到實際ip地址，執(zhí)行步驟26)；

26)網(wǎng)絡(luò)中央處理器判斷目標(biāo)設(shè)備是否已與網(wǎng)絡(luò)控制裝置建立連接，若是，執(zhí)行步驟27)，若否，執(zhí)行步驟28)；

27)網(wǎng)絡(luò)中央處理器將網(wǎng)絡(luò)包發(fā)送給第一通信電路，第一通信電路根據(jù)實際ip地址將網(wǎng)絡(luò)包發(fā)送到目標(biāo)設(shè)備，跳轉(zhuǎn)步驟22)；

28)網(wǎng)絡(luò)中央處理器丟棄緩存的網(wǎng)絡(luò)包，跳轉(zhuǎn)步驟22)。

與現(xiàn)有技術(shù)相比，本發(fā)明具有以下優(yōu)點：

1)本發(fā)明在現(xiàn)有嵌入式網(wǎng)絡(luò)設(shè)備的網(wǎng)絡(luò)接口上增加網(wǎng)絡(luò)控制裝置，由ip地址變換處理器和ip地址反變換處理器實現(xiàn)變換網(wǎng)絡(luò)的控制功能，利用成對的ip包目的地址專用算法變換/反變換方法，保證正常發(fā)送的ip包在網(wǎng)絡(luò)上不受影響，并且，ip包目的地址變換算法是專有的、私密的，現(xiàn)有嵌入式網(wǎng)絡(luò)設(shè)備的微處理器生廠商是無法獲知的，若無網(wǎng)絡(luò)控制裝置，嵌入式網(wǎng)絡(luò)設(shè)備的硬件后門所發(fā)送的ip包只經(jīng)過了反變換過程，發(fā)送的ip包的目的地址已不是要求到達的目的地址，從而令硬件后門發(fā)送的數(shù)據(jù)不可達，大大提高網(wǎng)絡(luò)的安全性。

2)制作成本低，無需對嵌入式網(wǎng)絡(luò)設(shè)備的微處理器進行再制作，僅需要在現(xiàn)有的嵌入式網(wǎng)絡(luò)設(shè)備的基礎(chǔ)上增加ip地址變換處理器和網(wǎng)絡(luò)控制裝置，即可阻斷硬件故意后門，適于對現(xiàn)有各種類型的嵌入式網(wǎng)絡(luò)設(shè)備進行批量改造。

3)實用性強，網(wǎng)絡(luò)控制裝置除了有內(nèi)置在嵌入式網(wǎng)絡(luò)設(shè)備內(nèi)部的安裝方式，還可以作為獨立的設(shè)備串接在嵌入式網(wǎng)絡(luò)設(shè)備與網(wǎng)絡(luò)之間，便于安裝和維修，推廣應(yīng)用度高。

附圖說明

圖1為本發(fā)明系統(tǒng)結(jié)構(gòu)示意圖；

圖2為本發(fā)明中網(wǎng)絡(luò)控制裝置的內(nèi)部數(shù)據(jù)傳輸示意圖；

圖3為本發(fā)明系統(tǒng)的內(nèi)部數(shù)據(jù)傳輸示意圖；

圖4為本發(fā)明中網(wǎng)絡(luò)控制裝置接收網(wǎng)絡(luò)中目標(biāo)設(shè)備的網(wǎng)絡(luò)包的流程圖；

圖5為本發(fā)明中網(wǎng)絡(luò)控制裝置向網(wǎng)絡(luò)中目標(biāo)設(shè)備外發(fā)網(wǎng)絡(luò)包的流程圖。

圖中：1、嵌入式網(wǎng)絡(luò)設(shè)備，11、ip地址變換處理器，12、微處理器，13、以太網(wǎng)控制器，14、以太網(wǎng)物理層收發(fā)器，2、網(wǎng)絡(luò)控制裝置，21、第一通信電路，22、網(wǎng)絡(luò)中央處理器，23、第二通信電路，24、ip地址反變換處理器，25、對外接口，26、對內(nèi)接口，3、目標(biāo)設(shè)備。

具體實施方式

下面結(jié)合附圖和具體實施例對本發(fā)明進行詳細說明。本實施例以本發(fā)明技術(shù)方案為前提進行實施，給出了詳細的實施方式和具體的操作過程，但本發(fā)明的保護范圍不限于下述的實施例。

如圖1所示，一種阻止硬件后門的嵌入式網(wǎng)絡(luò)系統(tǒng)包括嵌入式網(wǎng)絡(luò)設(shè)備1和網(wǎng)絡(luò)控制裝置2，嵌入式網(wǎng)絡(luò)設(shè)備1包括ip地址變換處理器11、微處理器12、以太網(wǎng)控制器13和以太網(wǎng)物理層收發(fā)器14，微處理器12、以太網(wǎng)控制器13和以太網(wǎng)物理層收發(fā)器14依次連接，以太網(wǎng)控制器13連接ip地址變換處理器11，網(wǎng)絡(luò)控制裝置2包括依次連接的第一通信電路21、網(wǎng)絡(luò)中央處理器22、第二通信電路23、對外接口25和對內(nèi)接口26，網(wǎng)絡(luò)中央處理器22連接有ip地址反變換處理器24，第二通信電路23通過對內(nèi)接口26連接嵌入式網(wǎng)絡(luò)設(shè)備1，第一通信電路21通過對外接口25連接網(wǎng)絡(luò)，第一通信電路21和第二通信電路23主要實現(xiàn)網(wǎng)絡(luò)接口功能，網(wǎng)絡(luò)為有線網(wǎng)絡(luò)或無線網(wǎng)絡(luò)，兩種網(wǎng)絡(luò)方式下均可實現(xiàn)阻斷硬件后門，其中，第一通信電路21通過無線路由器連接無線網(wǎng)絡(luò)。

實現(xiàn)過程中，網(wǎng)絡(luò)控制裝置2可以內(nèi)置在嵌入式網(wǎng)絡(luò)設(shè)備1內(nèi)部，也可以作為獨立的設(shè)備串接在嵌入式網(wǎng)絡(luò)設(shè)備1與網(wǎng)絡(luò)之間。嵌入式網(wǎng)絡(luò)設(shè)備1可以根據(jù)需求設(shè)置多個，多個嵌入式網(wǎng)絡(luò)設(shè)備1分別連接網(wǎng)絡(luò)控制裝置2的第二通信電路23。微處理器12、以太網(wǎng)控制器13和以太網(wǎng)物理層收發(fā)器14為現(xiàn)有的嵌入式網(wǎng)絡(luò)設(shè) 備1結(jié)構(gòu)，ip地址變換處理器11和ip地址反變換處理器24可采用內(nèi)嵌有ip地址算法的數(shù)據(jù)處理芯片，例如arm處理器、單片機等等，網(wǎng)絡(luò)中央處理器22為能夠進行邏輯運算處理的控制器，例如arm處理器、dsp處理器、fpga等等。

網(wǎng)絡(luò)中央處理器22連接有用于緩存的數(shù)據(jù)儲存器，例如flash存儲卡，可以增加網(wǎng)絡(luò)控制裝置2緩存網(wǎng)絡(luò)包的容量，特別適用于多個嵌入式網(wǎng)絡(luò)設(shè)備1分別連接網(wǎng)絡(luò)控制裝置2的情況。

如圖2和圖3所示，嵌入式網(wǎng)絡(luò)設(shè)備1外發(fā)網(wǎng)絡(luò)包時，嵌入式網(wǎng)絡(luò)設(shè)備1利用ip地址變換處理器11對所有外發(fā)的網(wǎng)絡(luò)包的實際ip地址進行變換得到變換ip地址，網(wǎng)絡(luò)中央處理器22先利用第二通信電路23接收外發(fā)的網(wǎng)絡(luò)包，再利用ip地址反變換處理器24對所有外發(fā)的網(wǎng)絡(luò)包的變換ip地址進行反變換得到實際ip地址，最后利用第一通信電路21向網(wǎng)絡(luò)中實際ip地址發(fā)送網(wǎng)絡(luò)包，對應(yīng)的數(shù)據(jù)傳輸方向如圖2和圖3中虛線的箭頭所示；

嵌入式網(wǎng)絡(luò)設(shè)備1接收網(wǎng)絡(luò)包時，網(wǎng)絡(luò)中央處理器22先利用第一通信電路21接收網(wǎng)絡(luò)中發(fā)來的網(wǎng)絡(luò)包，再利用第二通信電路23直接將網(wǎng)絡(luò)包轉(zhuǎn)發(fā)給嵌入式網(wǎng)絡(luò)設(shè)備1，此過程，網(wǎng)絡(luò)控制裝置2對網(wǎng)絡(luò)中發(fā)來的網(wǎng)絡(luò)包的ip地址不作任何處理，對應(yīng)的數(shù)據(jù)傳輸方向如圖2和圖3中實線的箭頭所示。

目標(biāo)設(shè)備3接入網(wǎng)絡(luò)，下面以網(wǎng)絡(luò)包的兩個流向過程為例，具體說明：

流向過程?。壕W(wǎng)絡(luò)控制裝置2接收網(wǎng)絡(luò)中目標(biāo)設(shè)備3的網(wǎng)絡(luò)包，如圖4所示，包括：

11)網(wǎng)絡(luò)控制裝置2上電，第一通信電路21、網(wǎng)絡(luò)中央處理器22和第二通信電路23復(fù)位，執(zhí)行步驟12)；

12)網(wǎng)絡(luò)中央處理器22判斷目標(biāo)設(shè)備3是否已與網(wǎng)絡(luò)控制裝置2建立連接，若是，執(zhí)行步驟13)，若否，跳轉(zhuǎn)步驟12)；

13)網(wǎng)絡(luò)中央處理器22緩存通過第一通信電路21接收到的目標(biāo)設(shè)備3的網(wǎng)絡(luò)包，執(zhí)行步驟14)；

14)網(wǎng)絡(luò)中央處理器22判斷嵌入式網(wǎng)絡(luò)設(shè)備1是否已與網(wǎng)絡(luò)控制裝置2建立連接，若是，執(zhí)行步驟15)，若否，執(zhí)行步驟16)；

15)網(wǎng)絡(luò)中央處理器22對緩存的網(wǎng)絡(luò)包不進行網(wǎng)絡(luò)地址變換，直接轉(zhuǎn)發(fā)給第二通信電路23，第二通信電路23將網(wǎng)絡(luò)包發(fā)送到嵌入式網(wǎng)絡(luò)設(shè)備1，跳轉(zhuǎn)步驟12)；

16)網(wǎng)絡(luò)中央處理器22丟棄緩存的網(wǎng)絡(luò)包，跳轉(zhuǎn)步驟12)。

流向過程ⅱ：網(wǎng)絡(luò)控制裝置2向網(wǎng)絡(luò)中目標(biāo)設(shè)備3外發(fā)網(wǎng)絡(luò)包，如圖5所示，包括：

21)網(wǎng)絡(luò)控制裝置2上電，第一通信電路21、網(wǎng)絡(luò)中央處理器22和第二通信電路23復(fù)位，執(zhí)行步驟22)；

22)網(wǎng)絡(luò)中央處理器22判斷嵌入式網(wǎng)絡(luò)設(shè)備1是否已與網(wǎng)絡(luò)控制裝置2建立連接，若是，執(zhí)行步驟23)，若否，跳轉(zhuǎn)步驟22)；

23)網(wǎng)絡(luò)中央處理器22緩存通過第二通信電路23接收的嵌入式網(wǎng)絡(luò)設(shè)備1已經(jīng)進行ip地址變換的網(wǎng)絡(luò)包，執(zhí)行步驟24)；

24)網(wǎng)絡(luò)中央處理器22判斷緩存的網(wǎng)絡(luò)包是否為ip包，若是，執(zhí)行步驟25)，若否，執(zhí)行步驟26)；

25)提取ip包內(nèi)的變換ip地址，并對變換ip地址進行反變換得到實際ip地址，執(zhí)行步驟26)；

26)網(wǎng)絡(luò)中央處理器22判斷目標(biāo)設(shè)備3是否已與網(wǎng)絡(luò)控制裝置2建立連接，若是，執(zhí)行步驟27)，若否，執(zhí)行步驟28)；

27)網(wǎng)絡(luò)中央處理器22將網(wǎng)絡(luò)包發(fā)送給第一通信電路21，第一通信電路21根據(jù)實際ip地址將網(wǎng)絡(luò)包發(fā)送到目標(biāo)設(shè)備3，跳轉(zhuǎn)步驟22)；

28)網(wǎng)絡(luò)中央處理器22丟棄緩存的網(wǎng)絡(luò)包，跳轉(zhuǎn)步驟22)。

綜上，本發(fā)明工作原理：嵌入式網(wǎng)絡(luò)設(shè)備1利用ip地址變換處理器11對所有外發(fā)的ip包的目的地址域?qū)嵤Ｓ玫乃惴ㄗ儞Q，網(wǎng)絡(luò)控制裝置2利用ip地址反變換處理器24對所有外發(fā)的ip包的目的地址域?qū)嵤┫嗤惴ǖ姆醋儞Q，只有通過這種成對的變換/反變換，發(fā)送到網(wǎng)絡(luò)上的ip包才是實際需要的ip包，否則，任何只實施了單一的變換或反變換的ip包，其目的地址都不是實際要發(fā)送的目的地址，導(dǎo)致數(shù)據(jù)發(fā)送不到要求的目的地址上。這樣，通過硬件后門發(fā)送的ip包由于沒有通過固件的地址變換過程，只通過了網(wǎng)絡(luò)控制裝置2的地址反變換過程，發(fā)送到網(wǎng)絡(luò)上ip包目的地址自然是不正確的，因此，硬件后門發(fā)送的ip包自然就到達不了預(yù)想的目的地，達到了阻斷硬件后門的目的。