技術領域

本發明涉及一種網絡設備，尤其是涉及一種阻止硬件后門的嵌入式網絡系統。

背景技術

目前現狀：現階段的嵌入式以太網解決方案大多是由以太網控制器(Ethernet Controller)和以太網物理層收發器(Ethernet Physical Layer Transceiver)兩部分組成。隨著微處理器的高度集成化，大多數解決方案是將以太網控制器集成在微處理器中，以減少外圍電路。以太網物理層收發器通過標準化的接口(如：MII)與以太網控制器通信，以太網物理層收發器只需在上電初始化過程中配置一次，其后的所有網絡通信過程都將在以太網控制器的控制下進行。目前，嵌入式網絡設備使用的微處理器幾乎都是國外的產品，而以太網控制器又內置在微處理器內部，因此，微處理器完全有能力不通過固件軟件的控制，直接由微處理器內部控制以太網控制器秘密地向指定地址發送數據。綜上所述，當選用集成以太網控制器的微處理器作為以太網解決方案時，就會存在硬件故意后門的安全隱患。

發明內容

本發明的目的就是為了克服上述現有技術存在的缺陷而提供一種阻止硬件后門的嵌入式網絡系統，具有變換網絡控制功能，可阻斷硬件故意后門，大大提高網絡安全性。

本發明的目的可以通過以下技術方案來實現：

一種阻止硬件后門的嵌入式網絡系統包括嵌入式網絡設備和網絡控制裝置，所述嵌入式網絡設備內嵌有IP地址變換處理器，所述網絡控制裝置包括依次連接的第一通信電路、網絡中央處理器和第二通信電路，所述網絡中央處理器連接有IP地址反變換處理器，所述第二通信電路連接嵌入式網絡設備，所述第一通信電路連接網絡。

外發網絡包(即網絡數據包)時，嵌入式網絡設備利用IP地址變換處理器對所有外發的網絡包的實際IP地址進行變換得到變換IP地址，網絡中央處理器先利用第二通信電路接收外發的網絡包，再利用IP地址反變換處理器對所有外發的網絡包的變換IP地址進行反變換得到實際IP地址，最后利用第一通信電路向網絡中實際IP地址發送網絡包；

接收網絡包時，網絡中央處理器先利用第一通信電路接收網絡中發來的網絡包，再利用第二通信電路直接將網絡包轉發給嵌入式網絡設備。

所述嵌入式網絡設備還包括依次連接的微處理器、以太網控制器和以太網物理層收發器，所述以太網控制器連接IP地址變換處理器。

所述網絡為有線網絡或無線網絡。

所述第一通信電路通過無線路由器連接無線網絡。

所述網絡控制裝置還包括對外接口和對內接口，所述第二通信電路通過對內接口連接嵌入式網絡設備，所述第一通信電路通過對外接口連接網絡。

所述網絡中央處理器連接有用于緩存的數據儲存器。

所述網絡控制裝置內置在嵌入式網絡設備內部，或者所述網絡控制裝置作為獨立的設備串接在嵌入式網絡設備與網絡之間。

所述嵌入式網絡設備為多個，多個嵌入式網絡設備分別連接網絡控制裝置的第二通信電路。

所述網絡控制裝置接收網絡中目標設備的網絡包的工作方式：

11)網絡控制裝置上電，第一通信電路、網絡中央處理器和第二通信電路復位，執行步驟12)；

12)網絡中央處理器判斷目標設備是否已與網絡控制裝置建立連接，若是，執行步驟13)，若否，跳轉步驟12)；

13)網絡中央處理器緩存通過第一通信電路接收到的目標設備的網絡包，執行步驟14)；

14)網絡中央處理器判斷嵌入式網絡設備是否已與網絡控制裝置建立連接，若是，執行步驟15)，若否，執行步驟16)；

15)網絡中央處理器將緩存的網絡包發送給第二通信電路，第二通信電路將網絡包發送到嵌入式網絡設備，跳轉步驟12)；

16)網絡中央處理器丟棄緩存的網絡包，跳轉步驟12)。

所述網絡控制裝置向網絡中目標設備外發網絡包的工作方式為：

21)網絡控制裝置上電，第一通信電路、網絡中央處理器和第二通信電路復位，執行步驟22)；

22)網絡中央處理器判斷嵌入式網絡設備是否已與網絡控制裝置建立連接，若是，執行步驟23)，若否，跳轉步驟22)；

23)網絡中央處理器緩存通過第二通信電路接收的嵌入式網絡設備已經進行IP地址變換的網絡包，執行步驟24)；

24)網絡中央處理器判斷緩存的網絡包是否為IP包，若是，執行步驟25)，若否，執行步驟26)；

25)提取IP包內的變換IP地址，并對變換IP地址進行反變換得到實際IP地址，執行步驟26)；