一種基于工業(yè)物聯(lián)網(wǎng)的狀態(tài)防火墻狀態(tài)檢測系統(tǒng)及方法
【專利摘要】本發(fā)明公開了一種基于工業(yè)物聯(lián)網(wǎng)的狀態(tài)防火墻狀態(tài)檢測系統(tǒng)及方法,其中,該系統(tǒng)包括用于驅(qū)動用戶側(cè)各應(yīng)用層程序和/或文件的應(yīng)用層驅(qū)動單元,用于驅(qū)動各信息交互端口的感知層驅(qū)動單元,用于對工業(yè)物聯(lián)網(wǎng)的網(wǎng)絡(luò)狀態(tài)進(jìn)行檢測與處理的網(wǎng)絡(luò)狀態(tài)檢測單元,以及用于為網(wǎng)絡(luò)狀態(tài)檢測單元服務(wù)、且與所述網(wǎng)絡(luò)狀態(tài)檢測單元相匹配的網(wǎng)絡(luò)管理數(shù)據(jù)庫及網(wǎng)絡(luò)層驅(qū)動單元;所述應(yīng)用層驅(qū)動單元、網(wǎng)絡(luò)狀態(tài)檢測單元與感知層驅(qū)動單元,依次通信連接。本發(fā)明所述基于工業(yè)物聯(lián)網(wǎng)的狀態(tài)防火墻狀態(tài)檢測系統(tǒng)及方法,可以克服現(xiàn)有技術(shù)中對協(xié)議棧架構(gòu)支持力度差、檢測速度慢與靈活性差等缺陷,以實(shí)現(xiàn)對協(xié)議棧架構(gòu)支持力度好、檢測速度快與靈活性好的優(yōu)點(diǎn)。
【專利說明】一種基于工業(yè)物聯(lián)網(wǎng)的狀態(tài)防火墻狀態(tài)檢測系統(tǒng)及方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及網(wǎng)絡(luò)邊界保護(hù)設(shè)備【技術(shù)領(lǐng)域】,具體地,涉及一種基于工業(yè)物聯(lián)網(wǎng)的狀態(tài)防火墻狀態(tài)檢測系統(tǒng)及方法。
【背景技術(shù)】
[0002]現(xiàn)代工業(yè)技術(shù)有四個(gè)特征,結(jié)構(gòu)網(wǎng)絡(luò)化、控制分散化、節(jié)電智能化和系統(tǒng)集成化,即從現(xiàn)場的設(shè)備層和控制層到調(diào)度管理層與商務(wù)管理層等的工業(yè)物聯(lián)網(wǎng)。工業(yè)物聯(lián)網(wǎng)是指在傳統(tǒng)工業(yè)網(wǎng)絡(luò)的基礎(chǔ)上融合互聯(lián)網(wǎng)、WSN和現(xiàn)場總線網(wǎng)絡(luò)等異構(gòu)網(wǎng)絡(luò),將具有環(huán)境感知能力的各類終端、云計(jì)算模式、移動通信,實(shí)時(shí)通信等不斷融入到工業(yè)生產(chǎn)的各個(gè)環(huán)節(jié)的網(wǎng)絡(luò)。簡而言之,工業(yè)物聯(lián)網(wǎng)就是利用統(tǒng)一的網(wǎng)絡(luò)協(xié)議棧融合現(xiàn)有各種異構(gòu)網(wǎng)絡(luò)協(xié)議,但是它并不是簡單具有網(wǎng)絡(luò)協(xié)議轉(zhuǎn)換的功能,還可以從感知層網(wǎng)絡(luò)采集到的大量數(shù)據(jù)中剔除冗余信息,進(jìn)而利用云計(jì)算對網(wǎng)絡(luò)層的數(shù)據(jù)其進(jìn)行處理。
[0003]隨著工業(yè)自動化的快速發(fā)展,工業(yè)物聯(lián)網(wǎng)中的設(shè)備數(shù)量亦越來越多,并且工業(yè)物聯(lián)網(wǎng)實(shí)現(xiàn)多網(wǎng)絡(luò)融合,不可避免的帶來了網(wǎng)絡(luò)安全性的問題。工業(yè)物聯(lián)網(wǎng)的安全問題在工業(yè)物聯(lián)網(wǎng)的普及過程中為了一個(gè)迫切需要解決的問題。目前,工業(yè)物聯(lián)網(wǎng)的網(wǎng)絡(luò)安全防護(hù)主要靠在網(wǎng)絡(luò)邊界處安裝傳統(tǒng)的防火墻,這是一種過渡方案,其缺陷是只能防護(hù)TCPIP協(xié)議的網(wǎng)絡(luò),對其他異構(gòu)網(wǎng)絡(luò)沒有用處。
[0004]如表1所示,工業(yè)物聯(lián)網(wǎng)協(xié)議棧融合工業(yè)現(xiàn)場總線、無線傳感網(wǎng)、互聯(lián)網(wǎng)、移動網(wǎng)絡(luò)的優(yōu)點(diǎn)于一體,具有異構(gòu)網(wǎng)絡(luò)融合的功能,可以滿足嵌入式設(shè)備的可裁剪要求,實(shí)現(xiàn)在工業(yè)設(shè)備的統(tǒng)一網(wǎng)絡(luò)架構(gòu)。
【權(quán)利要求】
1.一種基于工業(yè)物聯(lián)網(wǎng)的狀態(tài)防火墻狀態(tài)檢測系統(tǒng),其特征在于,包括用于驅(qū)動用戶側(cè)各應(yīng)用層程序和/或文件的應(yīng)用層驅(qū)動單元,用于驅(qū)動各信息交互端口的感知層驅(qū)動單元,用于對工業(yè)物聯(lián)網(wǎng)的網(wǎng)絡(luò)狀態(tài)進(jìn)行檢測與處理的網(wǎng)絡(luò)狀態(tài)檢測單元,以及用于為網(wǎng)絡(luò)狀態(tài)檢測單元服務(wù)、且與所述網(wǎng)絡(luò)狀態(tài)檢測單元相匹配的網(wǎng)絡(luò)管理數(shù)據(jù)庫及網(wǎng)絡(luò)層驅(qū)動單元;所述應(yīng)用層驅(qū)動單元、網(wǎng)絡(luò)狀態(tài)檢測單元與感知層驅(qū)動單元,依次通信連接。
2.根據(jù)權(quán)利要求1所述的基于工業(yè)物聯(lián)網(wǎng)的狀態(tài)防火墻狀態(tài)檢測系統(tǒng),其特征在于,所述網(wǎng)絡(luò)狀態(tài)檢測單元,包括分別與應(yīng)用層驅(qū)動單元通信連接的報(bào)文過濾模塊與地址轉(zhuǎn)換模塊,分別與感知層驅(qū)動單元通信連接的網(wǎng)關(guān)模塊與TCP/IP模塊,以及與網(wǎng)絡(luò)管理數(shù)據(jù)庫通信連接的狀態(tài)檢測模塊; 所述報(bào)文過濾模塊與網(wǎng)絡(luò)管理數(shù)據(jù)庫連接,并依次與報(bào)文過濾模塊、狀態(tài)檢測模塊、地址轉(zhuǎn)換模塊、網(wǎng)關(guān)模塊及TCP/IP模塊通信連接;所述TCP/IP模塊,與網(wǎng)絡(luò)層驅(qū)動單元連接。
3.根據(jù)權(quán)利要求1或2所述的基于工業(yè)物聯(lián)網(wǎng)的狀態(tài)防火墻狀態(tài)檢測系統(tǒng),其特征在于,所述信息交互端口至少包括令牌網(wǎng)、以太網(wǎng)、USB、Blue Tooth與WSN中的一種或多種。
4.一種基于工業(yè)物聯(lián)網(wǎng)的狀態(tài)防火墻狀態(tài)檢測方法,其特征在于,包括: a、網(wǎng)關(guān)模炔基于預(yù)設(shè)的連接協(xié)議,接收來自感知層的網(wǎng)絡(luò)報(bào)文,提取報(bào)文過濾模塊所需的報(bào)文摘要; b、狀態(tài)檢測模炔基于所述報(bào)文摘要,確定相應(yīng)網(wǎng)絡(luò)報(bào)文的協(xié)議類型; bl、當(dāng)相應(yīng)網(wǎng)絡(luò)報(bào)文的協(xié)議類型是連接請求SYN報(bào)文時(shí): 報(bào)文過濾模塊獲取所述報(bào) 文摘要,基于預(yù)設(shè)的匹配規(guī)則進(jìn)行過濾處理;并根據(jù)相應(yīng)的過濾處理結(jié)果,選擇將相應(yīng)的網(wǎng)絡(luò)報(bào)文傳輸至應(yīng)用層或丟棄。
5.根據(jù)權(quán)利要求4所述的基于工業(yè)物聯(lián)網(wǎng)的狀態(tài)防火墻狀態(tài)檢測方法,其特征在于,在步驟b中,還包括: b2、當(dāng)相應(yīng)報(bào)文的協(xié)議類型不是連接請求SYN報(bào)文時(shí):狀態(tài)檢測模炔基于預(yù)建的哈希查找表,生成哈希鍵值,并基于所述哈希鍵值,在預(yù)存在網(wǎng)絡(luò)管理數(shù)據(jù)庫內(nèi)部的狀態(tài)檢測表中查詢; b3、當(dāng)查詢到相應(yīng)的狀態(tài)表項(xiàng)時(shí),根據(jù)所述狀態(tài)表項(xiàng)的狀態(tài)域記錄,對相應(yīng)的網(wǎng)絡(luò)報(bào)文進(jìn)行放行或丟棄處理;同時(shí),采用動態(tài)管理的方式來處理超時(shí)狀態(tài)表項(xiàng),并更新所述狀態(tài)表項(xiàng)的超時(shí)值和報(bào)文數(shù)量總數(shù)。
6.根據(jù)權(quán)利要求5所述的基于工業(yè)物聯(lián)網(wǎng)的狀態(tài)防火墻狀態(tài)檢測方法,其特征在于,在步驟b中,還包括: b4、當(dāng)沒有查詢到相應(yīng)的狀態(tài)表項(xiàng)時(shí),報(bào)文過濾模塊獲取所述報(bào)文摘要,基于預(yù)設(shè)的匹配規(guī)則進(jìn)行過濾處理; 當(dāng)相應(yīng)的過濾處理結(jié)果為報(bào)文通過匹配規(guī)則的過濾處理時(shí),網(wǎng)絡(luò)層驅(qū)動單元根據(jù)相應(yīng)網(wǎng)絡(luò)報(bào)文的網(wǎng)絡(luò)報(bào)文類型,對相應(yīng)的狀態(tài)檢測表進(jìn)行更新處理。
7.根據(jù)權(quán)利要求6所述的基于工業(yè)物聯(lián)網(wǎng)的狀態(tài)防火墻狀態(tài)檢測方法,其特征在于,在步驟b4中,還包括: 當(dāng)相應(yīng)的網(wǎng)絡(luò)報(bào)文類型為SYN報(bào)文,則根據(jù)所述網(wǎng)絡(luò)報(bào)文的相應(yīng)連接關(guān)系,在所述狀態(tài)檢測表中創(chuàng)建狀態(tài)表項(xiàng),并設(shè)置新狀態(tài)表項(xiàng)的超時(shí)值和報(bào)文數(shù)量總數(shù)的初始值。
8.根據(jù)權(quán)利要求4所述的基于工業(yè)物聯(lián)網(wǎng)的狀態(tài)防火墻狀態(tài)檢測方法,其特征在于,在步驟a中,所述提取報(bào)文過濾模塊所需的報(bào)文摘要的操作具體包括: al、網(wǎng)關(guān)模塊的網(wǎng)關(guān)協(xié)議,將攔截到的網(wǎng)絡(luò)報(bào)文中的源地址、源網(wǎng)絡(luò)號、目的地址、目的網(wǎng)絡(luò)號與協(xié)議記錄緩存在報(bào)文摘要中; a2、當(dāng)所述網(wǎng)絡(luò)報(bào)文的源地址和目的地址均是內(nèi)部網(wǎng)絡(luò)地址時(shí),則允許將所述網(wǎng)絡(luò)報(bào)文直接轉(zhuǎn)發(fā),同時(shí)將所述網(wǎng)絡(luò)報(bào)文的報(bào)文摘要從緩存中刪除; a3、當(dāng)所述網(wǎng)絡(luò)報(bào)文的源地址和目的地址均不是內(nèi)部網(wǎng)絡(luò)地址時(shí),網(wǎng)關(guān)協(xié)議進(jìn)一步提取所述網(wǎng)絡(luò)報(bào)文的源設(shè)備的訪問授權(quán)號; a4、當(dāng)提取所得訪問授權(quán)號不屬于本網(wǎng)段時(shí),則直接拋棄所述網(wǎng)絡(luò)報(bào)文;否則,當(dāng)提取所得訪問授權(quán)號屬于本網(wǎng)段時(shí),網(wǎng)關(guān)協(xié)議將相應(yīng)的報(bào)文摘要提交至網(wǎng)絡(luò)層驅(qū)動單元;同時(shí),銷毀相應(yīng)的報(bào)文摘要的緩存信息。
9.根據(jù)權(quán)利要求4所述的基于工業(yè)物聯(lián)網(wǎng)的狀態(tài)防火墻狀態(tài)檢測方法,其特征在于,在步驟b3中,所述采用動態(tài)管理的方式來處理超時(shí)狀態(tài)表項(xiàng)的操作具體包括: b31、當(dāng)接收到的網(wǎng)絡(luò)報(bào)文類型為斷開連接請求FIN報(bào)文時(shí),將狀態(tài)表項(xiàng)的超時(shí)值減少為此刻超時(shí)值的1/2 ; b32、如果接收到客戶端響應(yīng)服務(wù)端的FIN報(bào)文應(yīng)答,則刪除與該FIN報(bào)文應(yīng)答相應(yīng)的狀態(tài)表項(xiàng); 如果接收到客戶端發(fā) 送來的有效數(shù)據(jù)報(bào)文而非FIN報(bào)文應(yīng)答,則恢復(fù)狀態(tài)表項(xiàng)的超時(shí)值為最大值,并且判定防火墻收到了攻擊; 如果客戶端響應(yīng)服務(wù)端未能在超時(shí)時(shí)間內(nèi)收到客戶端的任何報(bào)文響應(yīng),則刪除相應(yīng)的狀態(tài)表項(xiàng)。
10.根據(jù)權(quán)利要求5所述的基于工業(yè)物聯(lián)網(wǎng)的狀態(tài)防火墻狀態(tài)檢測方法,其特征在于,在步驟b2中,所述狀態(tài)檢測模炔基于預(yù)建的哈希查找表生成哈希鍵值的操作具體包括: b21、在狀態(tài)檢測模塊啟動階段,狀態(tài)檢測模塊向系統(tǒng)申請一塊0x300大小的內(nèi)存;進(jìn)行初始化設(shè)置,即預(yù)設(shè)初始化種子I為0x00100001,種子2為0x2AAAAB,循環(huán)次數(shù)為0x300 ; b22、種子I乘以125再加上3,其結(jié)果與種子2取模運(yùn)算,取此次運(yùn)算結(jié)果的低16位,保存在臨時(shí)變量I的高16位中,種子I的值修改為此次運(yùn)算的結(jié)果; 種子I乘以125再加上3,其結(jié)果與種子2取模運(yùn)算,取此次運(yùn)算結(jié)果的低16為保存在臨時(shí)變量2中; 第一個(gè)哈希鍵值即為臨時(shí)變量I與臨時(shí)變量2進(jìn)行或運(yùn)算的結(jié)果; b23、循環(huán)處理,計(jì)算完所有的哈希鍵值。
【文檔編號】H04L29/06GK103607316SQ201210069358
【公開日】2014年2月26日 申請日期:2012年3月15日 優(yōu)先權(quán)日:2012年3月15日
【發(fā)明者】李新, 鄒駿宇, 季杰, 吉峰 申請人:無錫信捷電氣股份有限公司