一种基于工业物联网的状态防火墙状态检测系统及方法
【专利摘要】本发明公开了一种基于工业物联网的状态防火墙状态检测系统及方法,其中,该系统包括用于驱动用户侧各应用层程序和/或文件的应用层驱动单元,用于驱动各信息交互端口的感知层驱动单元,用于对工业物联网的网络状态进行检测与处理的网络状态检测单元,以及用于为网络状态检测单元服务、且与所述网络状态检测单元相匹配的网络管理数据库及网络层驱动单元;所述应用层驱动单元、网络状态检测单元与感知层驱动单元,依次通信连接。本发明所述基于工业物联网的状态防火墙状态检测系统及方法,可以克服现有技术中对协议栈架构支持力度差、检测速度慢与灵活性差等缺陷,以实现对协议栈架构支持力度好、检测速度快与灵活性好的优点。
【专利说明】一种基于工业物联网的状态防火墙状态检测系统及方法
【技术领域】
[0001]本发明涉及网络边界保护设备【技术领域】,具体地,涉及一种基于工业物联网的状态防火墙状态检测系统及方法。
【背景技术】
[0002]现代工业技术有四个特征,结构网络化、控制分散化、节电智能化和系统集成化,即从现场的设备层和控制层到调度管理层与商务管理层等的工业物联网。工业物联网是指在传统工业网络的基础上融合互联网、WSN和现场总线网络等异构网络,将具有环境感知能力的各类终端、云计算模式、移动通信,实时通信等不断融入到工业生产的各个环节的网络。简而言之,工业物联网就是利用统一的网络协议栈融合现有各种异构网络协议,但是它并不是简单具有网络协议转换的功能,还可以从感知层网络采集到的大量数据中剔除冗余信息,进而利用云计算对网络层的数据其进行处理。
[0003]随着工业自动化的快速发展,工业物联网中的设备数量亦越来越多,并且工业物联网实现多网络融合,不可避免的带来了网络安全性的问题。工业物联网的安全问题在工业物联网的普及过程中为了一个迫切需要解决的问题。目前,工业物联网的网络安全防护主要靠在网络边界处安装传统的防火墙,这是一种过渡方案,其缺陷是只能防护TCPIP协议的网络,对其他异构网络没有用处。
[0004]如表1所示,工业物联网协议栈融合工业现场总线、无线传感网、互联网、移动网络的优点于一体,具有异构网络融合的功能,可以满足嵌入式设备的可裁剪要求,实现在工业设备的统一网络架构。
【权利要求】
1.一种基于工业物联网的状态防火墙状态检测系统,其特征在于,包括用于驱动用户侧各应用层程序和/或文件的应用层驱动单元,用于驱动各信息交互端口的感知层驱动单元,用于对工业物联网的网络状态进行检测与处理的网络状态检测单元,以及用于为网络状态检测单元服务、且与所述网络状态检测单元相匹配的网络管理数据库及网络层驱动单元;所述应用层驱动单元、网络状态检测单元与感知层驱动单元,依次通信连接。
2.根据权利要求1所述的基于工业物联网的状态防火墙状态检测系统,其特征在于,所述网络状态检测单元,包括分别与应用层驱动单元通信连接的报文过滤模块与地址转换模块,分别与感知层驱动单元通信连接的网关模块与TCP/IP模块,以及与网络管理数据库通信连接的状态检测模块; 所述报文过滤模块与网络管理数据库连接,并依次与报文过滤模块、状态检测模块、地址转换模块、网关模块及TCP/IP模块通信连接;所述TCP/IP模块,与网络层驱动单元连接。
3.根据权利要求1或2所述的基于工业物联网的状态防火墙状态检测系统,其特征在于,所述信息交互端口至少包括令牌网、以太网、USB、Blue Tooth与WSN中的一种或多种。
4.一种基于工业物联网的状态防火墙状态检测方法,其特征在于,包括: a、网关模炔基于预设的连接协议,接收来自感知层的网络报文,提取报文过滤模块所需的报文摘要; b、状态检测模炔基于所述报文摘要,确定相应网络报文的协议类型; bl、当相应网络报文的协议类型是连接请求SYN报文时: 报文过滤模块获取所述报 文摘要,基于预设的匹配规则进行过滤处理;并根据相应的过滤处理结果,选择将相应的网络报文传输至应用层或丢弃。
5.根据权利要求4所述的基于工业物联网的状态防火墙状态检测方法,其特征在于,在步骤b中,还包括: b2、当相应报文的协议类型不是连接请求SYN报文时:状态检测模炔基于预建的哈希查找表,生成哈希键值,并基于所述哈希键值,在预存在网络管理数据库内部的状态检测表中查询; b3、当查询到相应的状态表项时,根据所述状态表项的状态域记录,对相应的网络报文进行放行或丢弃处理;同时,采用动态管理的方式来处理超时状态表项,并更新所述状态表项的超时值和报文数量总数。
6.根据权利要求5所述的基于工业物联网的状态防火墙状态检测方法,其特征在于,在步骤b中,还包括: b4、当没有查询到相应的状态表项时,报文过滤模块获取所述报文摘要,基于预设的匹配规则进行过滤处理; 当相应的过滤处理结果为报文通过匹配规则的过滤处理时,网络层驱动单元根据相应网络报文的网络报文类型,对相应的状态检测表进行更新处理。
7.根据权利要求6所述的基于工业物联网的状态防火墙状态检测方法,其特征在于,在步骤b4中,还包括: 当相应的网络报文类型为SYN报文,则根据所述网络报文的相应连接关系,在所述状态检测表中创建状态表项,并设置新状态表项的超时值和报文数量总数的初始值。
8.根据权利要求4所述的基于工业物联网的状态防火墙状态检测方法,其特征在于,在步骤a中,所述提取报文过滤模块所需的报文摘要的操作具体包括: al、网关模块的网关协议,将拦截到的网络报文中的源地址、源网络号、目的地址、目的网络号与协议记录缓存在报文摘要中; a2、当所述网络报文的源地址和目的地址均是内部网络地址时,则允许将所述网络报文直接转发,同时将所述网络报文的报文摘要从缓存中删除; a3、当所述网络报文的源地址和目的地址均不是内部网络地址时,网关协议进一步提取所述网络报文的源设备的访问授权号; a4、当提取所得访问授权号不属于本网段时,则直接抛弃所述网络报文;否则,当提取所得访问授权号属于本网段时,网关协议将相应的报文摘要提交至网络层驱动单元;同时,销毁相应的报文摘要的缓存信息。
9.根据权利要求4所述的基于工业物联网的状态防火墙状态检测方法,其特征在于,在步骤b3中,所述采用动态管理的方式来处理超时状态表项的操作具体包括: b31、当接收到的网络报文类型为断开连接请求FIN报文时,将状态表项的超时值减少为此刻超时值的1/2 ; b32、如果接收到客户端响应服务端的FIN报文应答,则删除与该FIN报文应答相应的状态表项; 如果接收到客户端发 送来的有效数据报文而非FIN报文应答,则恢复状态表项的超时值为最大值,并且判定防火墙收到了攻击; 如果客户端响应服务端未能在超时时间内收到客户端的任何报文响应,则删除相应的状态表项。
10.根据权利要求5所述的基于工业物联网的状态防火墙状态检测方法,其特征在于,在步骤b2中,所述状态检测模炔基于预建的哈希查找表生成哈希键值的操作具体包括: b21、在状态检测模块启动阶段,状态检测模块向系统申请一块0x300大小的内存;进行初始化设置,即预设初始化种子I为0x00100001,种子2为0x2AAAAB,循环次数为0x300 ; b22、种子I乘以125再加上3,其结果与种子2取模运算,取此次运算结果的低16位,保存在临时变量I的高16位中,种子I的值修改为此次运算的结果; 种子I乘以125再加上3,其结果与种子2取模运算,取此次运算结果的低16为保存在临时变量2中; 第一个哈希键值即为临时变量I与临时变量2进行或运算的结果; b23、循环处理,计算完所有的哈希键值。
【文档编号】H04L29/06GK103607316SQ201210069358
【公开日】2014年2月26日 申请日期:2012年3月15日 优先权日:2012年3月15日
【发明者】李新, 邹骏宇, 季杰, 吉峰 申请人:无锡信捷电气股份有限公司