[发明专利]一种阻止硬件后门的嵌入式网络系统

说明书

技术领域

本发明涉及一种网络设备，尤其是涉及一种阻止硬件后门的嵌入式网络系统。

背景技术

目前现状：现阶段的嵌入式以太网解决方案大多是由以太网控制器(Ethernet Controller)和以太网物理层收发器(Ethernet Physical Layer Transceiver)两部分组成。随着微处理器的高度集成化，大多数解决方案是将以太网控制器集成在微处理器中，以减少外围电路。以太网物理层收发器通过标准化的接口(如：MII)与以太网控制器通信，以太网物理层收发器只需在上电初始化过程中配置一次，其后的所有网络通信过程都将在以太网控制器的控制下进行。目前，嵌入式网络设备使用的微处理器几乎都是国外的产品，而以太网控制器又内置在微处理器内部，因此，微处理器完全有能力不通过固件软件的控制，直接由微处理器内部控制以太网控制器秘密地向指定地址发送数据。综上所述，当选用集成以太网控制器的微处理器作为以太网解决方案时，就会存在硬件故意后门的安全隐患。

发明内容

本发明的目的就是为了克服上述现有技术存在的缺陷而提供一种阻止硬件后门的嵌入式网络系统，具有变换网络控制功能，可阻断硬件故意后门，大大提高网络安全性。

本发明的目的可以通过以下技术方案来实现：

一种阻止硬件后门的嵌入式网络系统包括嵌入式网络设备和网络控制装置，所述嵌入式网络设备内嵌有IP地址变换处理器，所述网络控制装置包括依次连接的第一通信电路、网络中央处理器和第二通信电路，所述网络中央处理器连接有IP地址反变换处理器，所述第二通信电路连接嵌入式网络设备，所述第一通信电路连接网络。

外发网络包(即网络数据包)时，嵌入式网络设备利用IP地址变换处理器对所有外发的网络包的实际IP地址进行变换得到变换IP地址，网络中央处理器先利用第二通信电路接收外发的网络包，再利用IP地址反变换处理器对所有外发的网络包的变换IP地址进行反变换得到实际IP地址，最后利用第一通信电路向网络中实际IP地址发送网络包；

接收网络包时，网络中央处理器先利用第一通信电路接收网络中发来的网络包，再利用第二通信电路直接将网络包转发给嵌入式网络设备。

所述嵌入式网络设备还包括依次连接的微处理器、以太网控制器和以太网物理层收发器，所述以太网控制器连接IP地址变换处理器。

所述网络为有线网络或无线网络。

所述第一通信电路通过无线路由器连接无线网络。

所述网络控制装置还包括对外接口和对内接口，所述第二通信电路通过对内接口连接嵌入式网络设备，所述第一通信电路通过对外接口连接网络。

所述网络中央处理器连接有用于缓存的数据储存器。

所述网络控制装置内置在嵌入式网络设备内部，或者所述网络控制装置作为独立的设备串接在嵌入式网络设备与网络之间。

所述嵌入式网络设备为多个，多个嵌入式网络设备分别连接网络控制装置的第二通信电路。

所述网络控制装置接收网络中目标设备的网络包的工作方式：

11)网络控制装置上电，第一通信电路、网络中央处理器和第二通信电路复位，执行步骤12)；

12)网络中央处理器判断目标设备是否已与网络控制装置建立连接，若是，执行步骤13)，若否，跳转步骤12)；

13)网络中央处理器缓存通过第一通信电路接收到的目标设备的网络包，执行步骤14)；

14)网络中央处理器判断嵌入式网络设备是否已与网络控制装置建立连接，若是，执行步骤15)，若否，执行步骤16)；

15)网络中央处理器将缓存的网络包发送给第二通信电路，第二通信电路将网络包发送到嵌入式网络设备，跳转步骤12)；

16)网络中央处理器丢弃缓存的网络包，跳转步骤12)。

所述网络控制装置向网络中目标设备外发网络包的工作方式为：

21)网络控制装置上电，第一通信电路、网络中央处理器和第二通信电路复位，执行步骤22)；

22)网络中央处理器判断嵌入式网络设备是否已与网络控制装置建立连接，若是，执行步骤23)，若否，跳转步骤22)；

23)网络中央处理器缓存通过第二通信电路接收的嵌入式网络设备已经进行IP地址变换的网络包，执行步骤24)；

24)网络中央处理器判断缓存的网络包是否为IP包，若是，执行步骤25)，若否，执行步骤26)；

25)提取IP包内的变换IP地址，并对变换IP地址进行反变换得到实际IP地址，执行步骤26)；