一種阻止硬件后門的嵌入式網(wǎng)絡系統(tǒng)的制作方法
【專利摘要】本實用新型涉及一種阻止硬件后門的嵌入式網(wǎng)絡系統(tǒng)�����,包括嵌入式網(wǎng)絡設備和網(wǎng)絡控制裝置�����,所述嵌入式網(wǎng)絡設備內(nèi)嵌有IP地址變換處理器�����,所述網(wǎng)絡控制裝置包括依次連接的第一通信電路�����、網(wǎng)絡中央處理器和第二通信電路��,所述網(wǎng)絡中央處理器連接有IP地址反變換處理器���,所述第二通信電路連接嵌入式網(wǎng)絡設備�����,所述第一通信電路連接網(wǎng)絡�����。與現(xiàn)有技術相比�,本實用新型具有變換網(wǎng)絡控制功能����,可阻斷硬件故意后門,大大提高網(wǎng)絡安全性�����。
【專利說明】
一種阻止硬件后門的嵌入式網(wǎng)絡系統(tǒng)
技術領域
[0001]本實用新型涉及一種網(wǎng)絡設備�����,尤其是涉及一種阻止硬件后門的嵌入式網(wǎng)絡系統(tǒng)���。
【背景技術】
[0002]目前現(xiàn)狀:現(xiàn)階段的嵌入式以太網(wǎng)解決方案大多是由以太網(wǎng)控制器(EthernetController)和以太網(wǎng)物理層收發(fā)器(Ethernet Physical Layer Transceiver)兩部分組成�。隨著微處理器的高度集成化,大多數(shù)解決方案是將以太網(wǎng)控制器集成在微處理器中�,以減少外圍電路。以太網(wǎng)物理層收發(fā)器通過標準化的接口(如:MII)與以太網(wǎng)控制器通信����,以太網(wǎng)物理層收發(fā)器只需在上電初始化過程中配置一次,其后的所有網(wǎng)絡通信過程都將在以太網(wǎng)控制器的控制下進行��。目前��,嵌入式網(wǎng)絡設備使用的微處理器幾乎都是國外的產(chǎn)品����,而以太網(wǎng)控制器又內(nèi)置在微處理器內(nèi)部,因此����,微處理器完全有能力不通過固件軟件的控制,直接由微處理器內(nèi)部控制以太網(wǎng)控制器秘密地向指定地址發(fā)送數(shù)據(jù)��。綜上所述�,當選用集成以太網(wǎng)控制器的微處理器作為以太網(wǎng)解決方案時�,就會存在硬件故意后門的安全隱患����。
【實用新型內(nèi)容】
[0003]本實用新型的目的就是為了克服上述現(xiàn)有技術存在的缺陷而提供一種阻止硬件后門的嵌入式網(wǎng)絡系統(tǒng)�����,具有變換網(wǎng)絡控制功能���,可阻斷硬件故意后門����,大大提高網(wǎng)絡安全性��。
[0004]本實用新型的目的可以通過以下技術方案來實現(xiàn):
[0005]—種阻止硬件后門的嵌入式網(wǎng)絡系統(tǒng)包括嵌入式網(wǎng)絡設備和網(wǎng)絡控制裝置����,所述嵌入式網(wǎng)絡設備內(nèi)嵌有IP地址變換處理器,所述網(wǎng)絡控制裝置包括依次連接的第一通信電路���、網(wǎng)絡中央處理器和第二通信電路��,所述網(wǎng)絡中央處理器連接有IP地址反變換處理器��,所述第二通信電路連接嵌入式網(wǎng)絡設備����,所述第一通信電路連接網(wǎng)絡。
[0006]所述嵌入式網(wǎng)絡設備還包括依次連接的微處理器�、以太網(wǎng)控制器和以太網(wǎng)物理層收發(fā)器,所述以太網(wǎng)控制器連接IP地址變換處理器�����。
[0007]所述網(wǎng)絡為有線網(wǎng)絡或無線網(wǎng)絡��。
[0008]所述第一通信電路通過無線路由器連接無線網(wǎng)絡��。
[0009]所述網(wǎng)絡控制裝置還包括對外接口和對內(nèi)接口��,所述第二通信電路通過對內(nèi)接口連接嵌入式網(wǎng)絡設備���,所述第一通信電路通過對外接口連接網(wǎng)絡���。
[0010]所述網(wǎng)絡中央處理器連接有用于緩存的數(shù)據(jù)儲存器。
[0011]所述網(wǎng)絡控制裝置內(nèi)置在嵌入式網(wǎng)絡設備內(nèi)部����,或者所述網(wǎng)絡控制裝置作為獨立的設備串接在嵌入式網(wǎng)絡設備與網(wǎng)絡之間。
[0012]所述嵌入式網(wǎng)絡設備為多個��,多個嵌入式網(wǎng)絡設備分別連接網(wǎng)絡控制裝置的第二通信電路���。
[0013]與現(xiàn)有技術相比�,本實用新型具有以下優(yōu)點:
[0014]I)本實用新型在現(xiàn)有嵌入式網(wǎng)絡設備的網(wǎng)絡接口上增加網(wǎng)絡控制裝置�,由IP地址變換處理器和IP地址反變換處理器實現(xiàn)變換網(wǎng)絡的控制功能,保證正常發(fā)送的IP包在網(wǎng)絡上不受影響����,且現(xiàn)有嵌入式網(wǎng)絡設備的微處理器生廠商無法獲知,若無網(wǎng)絡控制裝置����,嵌入式網(wǎng)絡設備的硬件后門所發(fā)送的IP包只經(jīng)過IP地址反變換處理器,發(fā)送的IP包的目的地址已不是要求到達的目的地址�,從而令硬件后門發(fā)送的數(shù)據(jù)不可達,大大提高網(wǎng)絡的安全性���。
[0015]2)制作成本低���,無需對嵌入式網(wǎng)絡設備的微處理器進行再制作,僅需要在現(xiàn)有的嵌入式網(wǎng)絡設備的基礎上增加IP地址變換處理器和網(wǎng)絡控制裝置��,即可阻斷硬件故意后門���,適于對現(xiàn)有各種類型的嵌入式網(wǎng)絡設備進行批量改造����。
[0016]3)實用性強,網(wǎng)絡控制裝置除了有內(nèi)置在嵌入式網(wǎng)絡設備內(nèi)部的安裝方式���,還可以作為獨立的設備串接在嵌入式網(wǎng)絡設備與網(wǎng)絡之間����,便于安裝和維修����,推廣應用度高。
【附圖說明】
[0017]圖1為本實用新型系統(tǒng)結構示意圖����。
[0018]圖中:1、嵌入式網(wǎng)絡設備��,11�����、IP地址變換處理器,12��、微處理器��,13��、以太網(wǎng)控制器�,14���、以太網(wǎng)物理層收發(fā)器����,2����、網(wǎng)絡控制裝置,21���、第一通信電路�����,22�、網(wǎng)絡中央處理器,23����、第二通信電路,24����、IP地址反變換處理器,25��、對外接口�,26、對內(nèi)接口�����,3�����、目標設備�。
【具體實施方式】
[0019]下面結合附圖和具體實施例對本實用新型進行詳細說明。本實施例以本實用新型技術方案為前提進行實施����,給出了詳細的實施方式和具體的操作過程,但本實用新型的保護范圍不限于下述的實施例。
[0020]如圖1所示��,一種阻止硬件后門的嵌入式網(wǎng)絡系統(tǒng)包括嵌入式網(wǎng)絡設備I和網(wǎng)絡控制裝置2����,嵌入式網(wǎng)絡設備I包括IP地址變換處理器11、微處理器12����、以太網(wǎng)控制器13和以太網(wǎng)物理層收發(fā)器14��,微處理器12����、以太網(wǎng)控制器13和以太網(wǎng)物理層收發(fā)器14依次連接,以太網(wǎng)控制器13連接IP地址變換處理器11�����,網(wǎng)絡控制裝置2包括依次連接的第一通信電路21��、網(wǎng)絡中央處理器22���、第二通信電路23�、對外接口 25和對內(nèi)接口 26,網(wǎng)絡中央處理器22連接有IP地址反變換處理器24�����,第二通信電路23通過對內(nèi)接口 26連接嵌入式網(wǎng)絡設備1����,第一通信電路21通過對外接口 25連接網(wǎng)絡,第一通信電路21和第二通信電路23主要實現(xiàn)網(wǎng)絡接口功能���,網(wǎng)絡為有線網(wǎng)絡或無線網(wǎng)絡���,兩種網(wǎng)絡方式下均可實現(xiàn)阻斷硬件后門,其中��,第一通信電路21通過無線路由器連接無線網(wǎng)絡����。
[0021]實現(xiàn)過程中,網(wǎng)絡控制裝置2可以內(nèi)置在嵌入式網(wǎng)絡設備I內(nèi)部���,也可以作為獨立的設備串接在嵌入式網(wǎng)絡設備I與網(wǎng)絡之間�。嵌入式網(wǎng)絡設備I可以根據(jù)需求設置多個�,多個嵌入式網(wǎng)絡設備I分別連接網(wǎng)絡控制裝置2的第二通信電路23��。微處理器12�、以太網(wǎng)控制器13和以太網(wǎng)物理層收發(fā)器14為現(xiàn)有的嵌入式網(wǎng)絡設備I結構���,IP地址變換處理器11和IP地址反變換處理器24可采用內(nèi)嵌有IP地址算法的數(shù)據(jù)處理芯片����,例如ARM處理器����、單片機等等,網(wǎng)絡中央處理器22為能夠進行邏輯運算處理的控制器����,例如ARM處理器���、DSP處理器���、FPGA等等。
[0022]網(wǎng)絡中央處理器22連接有用于緩存的數(shù)據(jù)儲存器�,例如FLASH存儲卡,可以增加網(wǎng)絡控制裝置2緩存網(wǎng)絡包的容量����,特別適用于多個嵌入式網(wǎng)絡設備I分別連接網(wǎng)絡控制裝置2的情況�。
[0023]嵌入式網(wǎng)絡設備I外發(fā)網(wǎng)絡包時�����,嵌入式網(wǎng)絡設備I利用IP地址變換處理器11對所有外發(fā)的網(wǎng)絡包的實際IP地址進行變換得到變換IP地址����,網(wǎng)絡中央處理器22先利用第二通信電路23接收外發(fā)的網(wǎng)絡包,再利用IP地址反變換處理器24對所有外發(fā)的網(wǎng)絡包的變換IP地址進行反變換得到實際IP地址�����,最后利用第一通信電路21向網(wǎng)絡中實際IP地址發(fā)送網(wǎng)絡包����。
[0024]嵌入式網(wǎng)絡設備I接收網(wǎng)絡包時,網(wǎng)絡中央處理器22先利用第一通信電路21接收網(wǎng)絡中發(fā)來的網(wǎng)絡包�����,再利用第二通信電路23直接將網(wǎng)絡包轉發(fā)給嵌入式網(wǎng)絡設備I�,此過程,網(wǎng)絡控制裝置2對網(wǎng)絡中發(fā)來的網(wǎng)絡包的IP地址不作任何處理��。
[0025]這樣,通過硬件后門發(fā)送的IP包由于沒有通過固件的地址變換過程��,只通過了網(wǎng)絡控制裝置2的地址反變換過程����,發(fā)送到網(wǎng)絡上IP包目的地址自然是不正確的,因此�,硬件后門發(fā)送的IP包自然就到達不了預想的目的地,達到了阻斷硬件后門的目的�。
【主權項】
1.阻止硬件后門的嵌入式網(wǎng)絡系統(tǒng),包括嵌入式網(wǎng)絡設備(I)��,其特征在于���,還包括網(wǎng)絡控制裝置(2)�����,所述嵌入式網(wǎng)絡設備(I)內(nèi)嵌有IP地址變換處理器(11),所述網(wǎng)絡控制裝置(2)包括依次連接的第一通信電路(21)�����、網(wǎng)絡中央處理器(22)和第二通信電路(23)��,所述網(wǎng)絡中央處理器(22)連接有IP地址反變換處理器(24),所述第二通信電路(23)連接嵌入式網(wǎng)絡設備(I)��,所述第一通信電路(21)連接網(wǎng)絡��。2.根據(jù)權利要求1所述的阻止硬件后門的嵌入式網(wǎng)絡系統(tǒng)��,其特征在于�����,所述嵌入式網(wǎng)絡設備(I)還包括依次連接的微處理器(12)��、以太網(wǎng)控制器(13)和以太網(wǎng)物理層收發(fā)器(14)���,所述以太網(wǎng)控制器(13)連接IP地址變換處理器(11)���。3.根據(jù)權利要求1所述的阻止硬件后門的嵌入式網(wǎng)絡系統(tǒng),其特征在于�����,所述網(wǎng)絡為有線網(wǎng)絡或無線網(wǎng)絡�。4.根據(jù)權利要求3所述的阻止硬件后門的嵌入式網(wǎng)絡系統(tǒng),其特征在于�����,所述第一通信電路(21)通過無線路由器連接無線網(wǎng)絡。5.根據(jù)權利要求1所述的阻止硬件后門的嵌入式網(wǎng)絡系統(tǒng)�,其特征在于,所述網(wǎng)絡控制裝置(2)還包括對外接口(25)和對內(nèi)接口(26)����,所述第二通信電路(23)通過對內(nèi)接口(26)連接嵌入式網(wǎng)絡設備(I),所述第一通信電路(21)通過對外接口(25)連接網(wǎng)絡��。6.根據(jù)權利要求1所述的阻止硬件后門的嵌入式網(wǎng)絡系統(tǒng)����,其特征在于,所述網(wǎng)絡中央處理器(22)連接有用于緩存的數(shù)據(jù)儲存器�����。7.根據(jù)權利要求1所述的阻止硬件后門的嵌入式網(wǎng)絡系統(tǒng)����,其特征在于,所述網(wǎng)絡控制裝置(2)內(nèi)置在嵌入式網(wǎng)絡設備(I)內(nèi)部����,或者所述網(wǎng)絡控制裝置(2)作為獨立的設備串接在嵌入式網(wǎng)絡設備(I)與網(wǎng)絡之間。8.根據(jù)權利要求1所述的阻止硬件后門的嵌入式網(wǎng)絡系統(tǒng)�,其特征在于,所述嵌入式網(wǎng)絡設備(I)為多個���,多個嵌入式網(wǎng)絡設備(I)分別連接網(wǎng)絡控制裝置(2)的第二通信電路(23)���。
【文檔編號】H04L29/12GK205510105SQ201620142363
【公開日】2016年8月24日
【申請日】2016年2月25日
【發(fā)明人】許小青, 廖超, 李向坤
【申請人】上海傳真通信設備技術研究所有限公司