(19)中华 人民共和国 国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111341345.X (22)申请日 2021.11.12 (71)申请人 山东方寸微电子科技有限公司 地址 250000 山东省济南市高新区舜华路 2000号舜泰广场9号北楼80 3-1室 申请人 青岛方寸 微电子科技有限公司 (72)发明人 王振友　 (74)专利代理 机构 济南竹森知识产权代理事务 所(普通合伙) 37270 代理人 吕利敏 (51)Int.Cl. H04L 9/40(2022.01) H04L 9/30(2006.01) H04L 9/06(2006.01) H04L 9/32(2006.01) (54)发明名称 一种基于国产操作系统的网络安全终端装 置及工作方法 (57)摘要 一种基于国产操作系统的网络安全终端装 置， 包括： 外设接口、 数据接收处理模块、 mbedtl s 模块和LwIP模块。 本发明针对传统的sslvpn终端 只能在Linux或Window s系统下实现,对处理器的 性能要求较高， 普通MCU下目前没有实现方案的 技术问题， 推出基于国产 操作系统RT ‑thrad实现 了VPN终端接入功能， 有效的降低了VPN功能对 Linux或者Window s的依赖。 本发明有效的解决了 Rtos上无法实现 sslvpn功能的难题。 权利要求书1页 说明书5页 附图4页 CN 114070606 A 2022.02.18 CN 114070606 A 1.一种基于国产操作系统的网络安全终端装置， 其特征在于， 包括： 外设接口、 数据接 收处理模块、 mbedtls模块和L wIP模块； 所述外设接口是 连接外围设备的数据交换接口； 所述数据接收处理模块用于解析用户数据及命令， 通过外设接口对接收的数据解析后 对应发起VPN连接、 断开命令或者将需要加密的明文数据发送给VPN 服务单元； 所述mebdtls模块用于实现对网络数据的加解密处理； 所述mbedtls模块包括VPN服务 单元和数据加解密单元； 所述VPN服务单元用于管理链接建立或断开及链接目的地址的管 理服务和数据处 理策略服 务； 所述数据加解密单 元通过ssl对数据进行加解密； 所述LwIP模块包括TAP模块和网卡模块， 通过menuconfig配置后以更新使用； 所述TAP 模块为虚拟的网卡设备。 2.如权利要求1所述网络安全终端装置的工作方法， 其特 征在于， 包括： 1)所述VPN 服务单元发起连接 到VPN服务器端， 目的IP为VPN网关IP； 2)所述VPN服务单元与VPN服务器端的VPN服务互相进行身份验证， 凭证是第三方证书 管理中心颁发的服 务端证书和第三方证书管理中心颁发给客户端的终端装置证书； 3)身份验证成功后， 再 次通过ssl协商密钥并应用于后续ssl连接， 所述VPN服务器端推 送IP和路由表到网络安全终端装置， 再由网络安全终端装置配置此IP到TAP模块中， 并添加 路由信息到网络协议栈的路由信息存储区域； 所述网络安全终端装置与VPN服务器端的业 务服务器通过建立的ssl连接： 使所述TAP模块和所述业务服务器处于同一个虚拟局域网 中。 3.如权利要求2所述网络安全终端装置的工作方法， 其特征在于， 所述工作方法还包 括： 4)用户数据经外设接口接收到外设数据， 经数据接收处理模块转换成要发送的报文， 报文通过socket接口发送到LwIP 模块， 被所述TAP模块和VPN服务单元封装成密文后发送到 达所述VPN 服务器端的网关； 解密后即是 经过TAP封装的网络帧数据， 再发送到业 务服务器； 5)所述业务服务器发送回复数据时， 所述VPN服务器端 的网关接收到服务器的回复数 据后， 通过建立好的ssl连接将数据发送到网络安全终端装置； 终端装置外网口INCe0接收 经过LwIP模块的网络层、 传输层处理卸载掉第一层头部信息， 通过VPN单元调用mbedtls模 块相关函数解密后写到TAP模块， TAP模块继续向上一层传输， 依次经过网络层、 传输层、 应 用层,最后由数据接收处 理模块将数据发到 外设接口。权　利　要　求　书 1/1 页 2 CN 114070606 A 2一种基于国产操作系统的网 络安全终端装 置及工作方法 技术领域 [0001]本发明公开一种基于国产操作系统的网络安全 终端装置及工作方法， 属于网络安 全终端的技 术领域。 背景技术 [0002]随着Internet技术 的飞速发展， 人们已逐渐把技术的焦点从网络的可用性、 信息 的获取性转移到网络的安全性与应用的简易性上来。 对于工业安全升级改造控制终端 数据 的安全传输尤为重要， 终端设备能融合现有比较成熟的VPN接入技术， 当前建立在IP技术基 础上的虚拟专用网VPN正快速成为新一代网络服务的基础， VPN是一项非常实用的技术在公 网上提供安全数据传输隧道， 即方便部署又保 障了数据传输的安全性。 特别是对于在轻量 级的Rtos下实现VPN终端接入VPN 服务器的功能是亟 待解决的问题。 [0003]Rtos下没有实现VPN功能主要原因是需要对轻量级网络协议栈的改造， 主要突破 的技术点是构 造虚拟网络TAP\TUN设备， 使 得数据在网络协议栈中二次流转， 实现对用户数 据的二次封装， 主 要是增加MAC帧头和IP头 。 [0004]VPN功能基于Linux或者Windows下实现， 从技术角度来说开发难度小， 但 是对于运 行以上两种系统的CPU会有比较高的要求， 对于物联网终端类型的应用场景来说小的MCU运 行Rtos就能满足其要求。 [0005]Rots下实现VPN功能需要依赖mbedtls提供数据的加解密功能， 但 是软加解密的性 能比较低， 本装置结合国产安全加 解密芯片使用硬件加 解密替换软加 解密算法， 可以大大 提高VPN性能。 [0006]综上， 怎样使用安全加密芯片对加密算法使用硬件加解密是本领域关注的技术方 向， 同时关注怎样改造现有的mbedtl的软算法， 以提高了加解密的性能。 发明内容 [0007]针对现有技 术的不足， 本发明公开 一种基于国产操作系统的网络安全终端装置 。 [0008]本发明还公开上述网络安全终端装置的工作方法。 [0009]技术术语解释： [0010]1、 Rtos： 是Real  Time Operating  System的简称， 实时操作系统(RTOS)是指当外 界事件或数据产生时， 能够接受并以足够快 的速度予以处理， 其处理的结果又能在规定的 时间之内来控制生产过程或对处理系统做出快速响应， 调 度一切可利用的资源完成实时任 务， 并控制所有实时任务协调一 致运行的操作系统。 [0011]2、 mbedtls： ARM  mbedtls使开发人员可以非常轻松地在嵌入式产品中加入加密和 SSL/TLS功能。 它提供了具有直观的API和可读源代码的SSL库。 该工具即开即用， 可以在大 部分系统上直接构建它， 也可以手动选择和配置各项功能。 [0012]3、 LwIP： 是瑞典计算机科学院(SICS)的Adam  Dunkels开 发的一个小 型开源的TCP/ IP协议栈。 在保持TCP协议主 要功能的基础上减少对RAM的占用。说　明　书 1/5 页 3 CN 114070606 A 3