CN103607316A - 一种基于工业物联网的状态防火墙状态检测***及方法 - Google Patents
一种基于工业物联网的状态防火墙状态检测***及方法 Download PDFInfo
- Publication number
- CN103607316A CN103607316A CN201210069358.0A CN201210069358A CN103607316A CN 103607316 A CN103607316 A CN 103607316A CN 201210069358 A CN201210069358 A CN 201210069358A CN 103607316 A CN103607316 A CN 103607316A
- Authority
- CN
- China
- Prior art keywords
- network
- message
- state
- module
- things
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种基于工业物联网的状态防火墙状态检测***及方法,其中,该***包括用于驱动用户侧各应用层程序和/或文件的应用层驱动单元,用于驱动各信息交互端口的感知层驱动单元,用于对工业物联网的网络状态进行检测与处理的网络状态检测单元,以及用于为网络状态检测单元服务、且与所述网络状态检测单元相匹配的网络管理数据库及网络层驱动单元;所述应用层驱动单元、网络状态检测单元与感知层驱动单元,依次通信连接。本发明所述基于工业物联网的状态防火墙状态检测***及方法,可以克服现有技术中对协议栈架构支持力度差、检测速度慢与灵活性差等缺陷,以实现对协议栈架构支持力度好、检测速度快与灵活性好的优点。
Description
技术领域
本发明涉及网络边界保护设备技术领域,具体地,涉及一种基于工业物联网的状态防火墙状态检测***及方法。
背景技术
现代工业技术有四个特征,结构网络化、控制分散化、节电智能化和***集成化,即从现场的设备层和控制层到调度管理层与商务管理层等的工业物联网。工业物联网是指在传统工业网络的基础上融合互联网、WSN和现场总线网络等异构网络,将具有环境感知能力的各类终端、云计算模式、移动通信,实时通信等不断融入到工业生产的各个环节的网络。简而言之,工业物联网就是利用统一的网络协议栈融合现有各种异构网络协议,但是它并不是简单具有网络协议转换的功能,还可以从感知层网络采集到的大量数据中剔除冗余信息,进而利用云计算对网络层的数据其进行处理。
随着工业自动化的快速发展,工业物联网中的设备数量亦越来越多,并且工业物联网实现多网络融合,不可避免的带来了网络安全性的问题。工业物联网的安全问题在工业物联网的普及过程中为了一个迫切需要解决的问题。目前,工业物联网的网络安全防护主要靠在网络边界处安装传统的防火墙,这是一种过渡方案,其缺陷是只能防护TCPIP协议的网络,对其他异构网络没有用处。
如表1所示,工业物联网协议栈融合工业现场总线、无线传感网、互联网、移动网络的优点于一体,具有异构网络融合的功能,可以满足嵌入式设备的可裁剪要求,实现在工业设备的统一网络架构。
工业物联网安全应考虑以下三个技术指标:
⑴安全性:安全性是指数据在网络传输的过程中,保证传输的明文数据不被第三方窃取和篡改;
⑵实时性:工业物联网与物联网的最大区别就是在于工业物联网的网络是实时网络。在工业物联网中实时传输,是为了工业生产变得有序和可控,一旦数据的实时性遭到破坏,那么传输的数据将变得毫无意义;
⑶可裁剪性:工业物联网所包含的设备差异性很大,不同的设备的计算和存储资源限制就使得工业物联网协议栈必须具备可裁剪性,不同类型的设备将有不同的裁剪方案。
在现有技术中,状态检测防火墙(State Inspection)技术是由Checkpoint公司首先提出来的;包过滤防火墙利用数据包的头部信息来匹配过滤规则得到数据包的处理动作,从而决定数据包是通过防火墙还是丢弃数据包,但状态检测技术是利用协议的连接特性的状态检测机制,将属于同一连接的所有数据包作为一个整体的数据流看待,构造一个连接状态检测表来存储这些连接的状态,通过防火墙的过滤规则表与状态检测表的相互配合使用,对状态检测表中的各个连接状态因素加以识别。状态检测防火墙抛弃了以往包过滤防火墙只匹配数据包的头部信息,而不在乎连接状态变化的缺点,建立状态连接表,将进出外部网络和内部网络的数据以数据流的方式对待,利用状态检测表来控制每一个数据流的状态,根据数据流的状态进行数据包的过滤。
目前工业物联网中所使用的防火墙方案主要有以下两种:
⑴包过滤防火墙方案,包过滤(Packet Filtering)是利用数据包的源地址、源端口、目的地址、目的端口和协议类型的部分或者全部的信息,按照预先定义的数据包过滤规则(如ACL)对通过此防火墙的数据包进行规则匹配,如果规则匹配命中,则可以获取到对该报文的审查结果,如果没有命中规则,则按照安全策略的规定,丢弃或者放行该数据包。
⑵状态检测防火墙方案,状态检测技术是利用协议的连接特性的状态检测机制,将属于同一连接的所有数据包作为一个整体的数据流看待,构造一个连接状态检测表来存储这些连接的状态,通过防火墙的过滤规则表与状态检测表的相互配合使用,对状态检测表中的各个连接状态因素加以识别。
以上这两种方案都存在不足的地方:第一种方案缺点在于它缺乏一定的灵活性,因为它需要对每个经过它的数据包都进行规则检查,在过滤规则表的数量很多的情况下,会导致***的性能急剧下降。第二种方案的状态检测机制只限于工业物联网底层TCPIP协议,对于其他底层的异构协议没有防护作用等。
在实现本发明的过程中,发明人发现现有技术中至少存在对协议栈架构支持力度差、检测速度慢与灵活性差等缺陷。
发明内容
本发明的目的在于,针对上述问题,提出一种基于工业物联网的状态防火墙状态检测***,以实现对协议栈架构支持力度好、检测速度快与灵活性好的优点。
本发明的另一目的在于,提出一种基于工业物联网的状态防火墙状态检测方法。
为实现上述目的,本发明采用的技术方案是:一种基于工业物联网的状态防火墙状态检测***,包括用于驱动用户侧各应用层程序和/或文件的应用层驱动单元,用于驱动各信息交互端口的感知层驱动单元,用于对工业物联网的网络状态进行检测与处理的网络状态检测单元,以及用于为网络状态检测单元服务、且与所述网络状态检测单元相匹配的网络管理数据库及网络层驱动单元;所述应用层驱动单元、网络状态检测单元与感知层驱动单元,依次通信连接。
进一步地,所述网络状态检测单元,包括分别与应用层驱动单元通信连接的报文过滤模块与地址转换模块,分别与感知层驱动单元通信连接的网关模块与TCP/IP模块,以及与网络管理数据库通信连接的状态检测模块;
所述报文过滤模块与网络管理数据库连接,并依次与报文过滤模块、状态检测模块、地址转换模块、网关模块及TCP/IP模块通信连接;所述TCP/IP模块,与网络层驱动单元连接。
进一步地,所述信息交互端口至少包括令牌网、以太网、USB、Blue Tooth与WSN中的一种或多种。
同时,本发明采用的另一技术方案是:一种基于以上所述的基于工业物联网的状态防火墙状态检测方法,包括:
a、网关模块基于预设的连接协议,接收来自感知层的网络报文,提取报文过滤模块所需的报文摘要;
b、状态检测模块基于所述报文摘要,确定相应网络报文的协议类型;
b1、当相应网络报文的协议类型是连接请求SYN报文时:
报文过滤模块获取所述报文摘要,基于预设的匹配规则进行过滤处理;并根据相应的过滤处理结果,选择将相应的网络报文传输至应用层或丢弃。
进一步地,以上所述的基于工业物联网的状态防火墙状态检测方法,在步骤b中,还包括:
b2、当相应报文的协议类型不是连接请求SYN报文时:状态检测模块基于预建的哈希查找表,生成哈希键值,并基于所述哈希键值,在预存在网络管理数据库内部的状态检测表中查询;
b3、当查询到相应的状态表项时,根据所述状态表项的状态域记录,对相应的网络报文进行放行或丢弃处理;同时,采用动态管理的方式来处理超时状态表项,并更新所述状态表项的超时值和报文数量总数。
进一步地,以上所述的基于工业物联网的状态防火墙状态检测方法,在步骤b中,还包括:
b4、当没有查询到相应的状态表项时,报文过滤模块获取所述报文摘要,基于预设的匹配规则进行过滤处理;
当相应的过滤处理结果为报文通过匹配规则的过滤处理时,网络层驱动单元根据相应网络报文的网络报文类型,对相应的状态检测表进行更新处理。
进一步地,以上所述的基于工业物联网的状态防火墙状态检测方法,在步骤b4中,还包括:
当相应的网络报文类型为SYN报文,则根据所述网络报文的相应连接关系,在所述状态检测表中创建状态表项,并设置新状态表项的超时值和报文数量总数的初始值。
进一步地,在步骤a中,所述提取报文过滤模块所需的报文摘要的操作具体包括:
a1、网关模块的网关协议,将拦截到的网络报文中的源地址、源网络号、目的地址、目的网络号与协议记录缓存在报文摘要中;
a2、当所述网络报文的源地址和目的地址均是内部网络地址时,则允许将所述网络报文直接转发,同时将所述网络报文的报文摘要从缓存中删除;
a3、当所述网络报文的源地址和目的地址均不是内部网络地址时,网关协议进一步提取所述网络报文的源设备的访问授权号;
a4、当提取所得访问授权号不属于本网段时,则直接抛弃所述网络报文;否则,当提取所得访问授权号属于本网段时,网关协议将相应的报文摘要提交至网络层驱动单元;同时,销毁相应的报文摘要的缓存信息。
进一步地,在步骤b3中,所述采用动态管理的方式来处理超时状态表项的操作具体包括:
b31、当接收到的网络报文类型为断开连接请求FIN报文时,将状态表项的超时值减少为此刻超时值的1/2;
b32、如果接收到客户端响应服务端的FIN报文应答,则删除与该FIN报文应答相应的状态表项;
如果接收到客户端发送来的有效数据报文而非FIN报文应答,则恢复状态表项的超时值为最大值,并且判定防火墙收到了攻击;
如果客户端响应服务端未能在超时时间内收到客户端的任何报文响应,则删除相应的状态表项。
进一步地,在步骤b2中,所述状态检测模块基于预建的哈希查找表生成哈希键值的操作具体包括:
b21、在状态检测模块启动阶段,状态检测模块向***申请一块0x300大小的内存;
进行初始化设置,即预设初始化种子1为0x00100001,种子2为0x2AAAAB,循环次数为0x300;
b22、种子1乘以125再加上3,其结果与种子2取模运算,取此次运算结果的低16位,保存在临时变量1的高16位中,种子1的值修改为此次运算的结果;
种子1乘以125再加上3,其结果与种子2取模运算,取此次运算结果的低16为保存在临时变量2中;
第一个哈希键值即为临时变量1与临时变量2进行或运算的结果;
b23、循环处理,计算完所有的哈希键值。
本发明各实施例的基于工业物联网的状态防火墙状态检测***及方法,由于该***包括用于驱动用户侧各应用层程序和/或文件的应用层驱动单元,用于驱动各信息交互端口的感知层驱动单元,用于对工业物联网的网络状态进行检测与处理的网络状态检测单元,以及用于为网络状态检测单元服务、且与网络状态检测单元相匹配的网络管理数据库及网络层驱动单元;应用层驱动单元、网络状态检测单元与感知层驱动单元,依次通信连接;够处理工业物联网中的所有网络报文,不再针对底层的异构网络的网络报文进行过滤,摒弃底层网络差异,实现全新架构的工业物联网状态防火墙;从而可以克服现有技术中对协议栈架构支持力度差、检测速度慢与灵活性差的缺陷,以实现对协议栈架构支持力度好、检测速度快与灵活性好的优点。
本发明的其它特征和优点将在随后的说明书中阐述,并且,部分地从说明书中变得显而易见,或者通过实施本发明而了解。本发明的目的和其他优点可通过在所写的说明书、权利要求书、以及附图中所特别指出的结构来实现和获得。
下面通过附图和实施例,对本发明的技术方案做进一步的详细描述。
附图说明
附图用来提供对本发明的进一步理解,并且构成说明书的一部分,与本发明的实施例一起用于解释本发明,并不构成对本发明的限制。在附图中:
图1为根据本发明基于工业物联网的状态防火墙状态检测方法的协议栈示意图;
图2为根据本发明基于工业物联网的状态防火墙状态检测方法的驱动调用关系示意图;
图3为根据本发明基于工业物联网的状态防火墙状态检测***的工作原理图;
图4为根据本发明工业物联网的状态检测防火墙的方法的过滤规则图;
图5为根据本发明工业物联网的状态检测防火墙的方法的过滤规则匹配流程图;
图6为根据本发明工业物联网的状态检测防火墙的方法的建立连接状态变换图;
图7为根据本发明工业物联网的状态检测防火墙的方法的断开连接状态变换图;
图8为根据本发明工业物联网的状态检测防火墙的方法的无连接协议状态变换图。
具体实施方式
以下结合附图对本发明的优选实施例进行说明,应当理解,此处所描述的优选实施例仅用于说明和解释本发明,并不用于限定本发明。
***实施例
根据本发明实施例,如图3所示,提供了一种基于工业物联网的状态防火墙状态检测***,包括用于驱动用户侧各应用层程序和/或文件的应用层驱动单元,用于驱动各信息交互端口的感知层驱动单元,用于对工业物联网的网络状态进行检测与处理的网络状态检测单元,以及用于为网络状态检测单元服务、且与网络状态检测单元相匹配的网络管理数据库及网络层驱动单元;应用层驱动单元、网络状态检测单元与感知层驱动单元,依次通信连接。这里,信息交互端口至少包括令牌网、以太网、USB、Blue Tooth与WSN中的一种或多种。
其中,在上述实施例中,网络状态检测单元,包括分别与应用层驱动单元通信连接的报文过滤模块与地址转换模块,分别与感知层驱动单元通信连接的网关模块与TCP/IP模块,以及与网络管理数据库通信连接的状态检测模块;
上述报文过滤模块与网络管理数据库连接,并依次与报文过滤模块、状态检测模块、地址转换模块、网关模块及TCP/IP模块通信连接;TCP/IP模块,与网络层驱动单元连接。
在上述实施例中,基于工业物联网的状态防火墙状态检测***的工作过程具体说明如下:
首先,状态防火墙在启动初始化的时候,利用预先建立的静态哈希查找表,缩短哈希计算的计算时间,哈希计算不可避免的会出现重复情况,因此静态哈希查找表中的每个表项有3个域,其中一个是哈希键值,另外两个域中存储的是此哈希键值的校验值,采用此方法可以有效避免哈希计算重复的情况;
并且处于内核中的状态防火墙驱动创建三个功能设备:报文过滤模块、状态检测模块和控制处理功能设备(即网络层驱动单元);
第二步,运行过程中,网关在处理网络报文的时候,然后检查状态防火墙是否存在,如果状态防火墙存在,那么网关协议就会构造一个网络报文的报文摘要传递给状态防火墙;然后等待防火墙处理结果;
第三步,状态检测防火墙的状态检测模块收到报文摘要后,依据报文摘要,判断此报文的协议类型,如果是连接请求SYN报文,则进入第四步;否则生成哈希键值,依据哈希键值,在状态检测表中查询;
如果查询到状态表项,则根据状态表项的状态域记录,对报文做出放行或者丢弃处理,同时更新状态表项的超时值和报文数量总数;
第四步,如果没查询到状态表项或此报文为连接请求SYN报文,则依据报文摘要进行过滤规则处理;
如果此报文通过规则过滤处理,则进入第五步;否则直接丢弃此网络报文。
第五步,控制处理功能设备根据网络报文的类型,对状态检测表进行更新。若此网络报文类型为SYN报文,则为此连接在状态检测表中创建状态表项,设置新状态表项的超时值为5s和报文数量总数为0;若此报文类型为断开连接请求FIN报文,则设置此连接状态表项的超时值。
方法实施例
根据本发明实施例,如图1、图2、以及图4-图8所示,提供了一种基于工业物联网的状态防火墙状态检测方法。
本实施例的基于工业物联网的状态防火墙状态检测方法,包括:
a、网关模块基于预设的连接协议,接收来自感知层的网络报文,提取报文过滤模块所需的报文摘要;
b、状态检测模块基于报文摘要,确定相应网络报文的协议类型;
b1、当相应网络报文的协议类型是连接请求SYN报文时:
报文过滤模块获取报文摘要,基于预设的匹配规则(具体参见图5)进行过滤处理(具体参见图4);并根据相应的过滤处理结果,选择将相应的网络报文传输至应用层或丢弃(具体参见图6与图7);
b2、当相应报文的协议类型不是连接请求SYN报文时:状态检测模块基于预建的哈希查找表,生成哈希键值,并基于哈希键值,在预存在网络管理数据库内部的状态检测表中查询; b3、当查询到相应的状态表项时,根据状态表项的状态域记录,对相应的网络报文进行放行或丢弃处理;同时,采用动态管理的方式来处理超时状态表项,并更新状态表项的超时值和报文数量总数;
b4、当没有查询到相应的状态表项时,报文过滤模块获取报文摘要,基于预设的匹配规则进行过滤处理;
当相应的过滤处理结果为报文通过匹配规则的过滤处理时,网络层驱动单元根据相应网络报文的网络报文类型,对相应的状态检测表进行更新处理;
当相应的网络报文类型为SYN报文,则根据网络报文的相应连接关系(具体参见图2),在状态检测表中创建状态表项,并设置新状态表项的超时值和报文数量总数的初始值;例如,可以设置新状态表项的超时值为5s和报文数量总数为0。
在上述步骤a中,提取报文过滤模块所需的报文摘要的操作具体包括:
a1、网关模块的网关协议,将拦截到的网络报文中的源地址、源网络号、目的地址、目的网络号与协议记录缓存在报文摘要中;
a2、当网络报文的源地址和目的地址均是内部网络地址时,则允许将网络报文直接转发,同时将网络报文的报文摘要从缓存中删除;
a3、当网络报文的源地址和目的地址均不是内部网络地址时,网关协议进一步提取网络报文的源设备的访问授权号;
a4、当提取所得访问授权号不属于本网段时,则直接抛弃网络报文;否则,当提取所得访问授权号属于本网段时,网关协议将相应的报文摘要提交至网络层驱动单元;同时,销毁相应的报文摘要的缓存信息。
在上述步骤b3中,采用动态管理的方式来处理超时状态表项的操作具体包括:
b31、当接收到的网络报文类型为断开连接请求FIN报文时,将状态表项的超时值减少为此刻超时值的1/2;
b32、如果接收到客户端响应服务端的FIN报文应答,则删除与该FIN报文应答相应的状态表项;
如果接收到客户端发送来的有效数据报文而非FIN报文应答,则恢复状态表项的超时值为最大值,并且判定防火墙收到了攻击;
如果客户端响应服务端未能在超时时间内收到客户端的任何报文响应,则删除相应的状态表项。
在上述步骤b2中,状态检测模块基于预建的哈希查找表生成哈希键值的操作具体包括:
b21、在状态检测模块启动阶段,状态检测模块向***申请一块0x300大小的内存;
进行初始化设置,即预设初始化种子1为0x00100001,种子2为0x2AAAAB,循环次数为0x300;
b22、种子1乘以125再加上3,其结果与种子2取模运算,取此次运算结果的低16位,保存在临时变量1的高16位中,种子1的值修改为此次运算的结果;
种子1乘以125再加上3,其结果与种子2取模运算,取此次运算结果的低16为保存在临时变量2中;
第一个哈希键值即为临时变量1与临时变量2进行或运算的结果;
b23、循环处理,计算完所有的哈希键值。
在上述实施例的基于工业物联网的状态防火墙状态检测方法中,通过提取防火墙报文过滤模块所需的报文摘要、采用动态管理的方式来处理超时状态表项、以及采用预建哈希查找表的方式来加速哈希计算等关键操作,实现基于工业物联网的状态防火墙状态检测方法。
如图1所示,上述实施例的基于工业物联网的状态防火墙状态检测***及方法,具体实施时,对于有连接协议,可以设置工业物联网状态防火墙检测连接的状态机,具体的工作过程参见图6与图7;对于无连接协议,可以采用虚连接的方式,实现无连接协议的检测状态机,具体的工作过程参见图8。
上述实施例的基于工业物联网的状态防火墙状态检测***及方法,针对目前工业物联网中使用的防火墙方案对协议栈架构支持力度差、检测速度慢、灵活性差等多方面缺点,设计了在工业物联网环境下工作的状态检测防火墙,够处理工业物联网中的所有网络报文,不再针对底层的异构网络的网络报文进行过滤,摒弃了底层网络差异,实现了全新架构的工业物联网状态防火墙;可以应用于对工业物联网中的网络设备的网络安全防护。
在工业物联网中,为了有效保护现场设备的网络层安全通信,设计并开发了网络边界保护设备(即工业物联网状态防火墙)。在上述各实施例的基于工业物联网的状态防火墙状态检测***及方法中,报文过滤模块通过网关协议提供的报文摘要决定该报文能否通过。针对状态表项规模管理问题,采用动态管理的方式来处理超时状态表项,加快了删除无效连接表项的速度;针对状态检测表的匹配速度问题,采用了预建哈希查找表的方式来加速哈希计算。状态防火墙的核心模块是状态检测模块,状态检测模块依据状态检测表中的连接状态记录,将同一个连接的报文当做数据流,状态检测表中的表项是由网络地址、网络号、连接状态和报文计数等信息组成的,在状态表项建立之后,属于该连接的报文将不需要进行过滤规则匹配,只需进行状态匹配,就可以决定能够通过状态防火墙,避免了费时的过滤规则匹配过程,从而提高了***的效率。
最后应说明的是:以上所述仅为本发明的优选实施例而已,并不用于限制本发明,尽管参照前述实施例对本发明进行了详细的说明,对于本领域的技术人员来说,其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (10)
1.一种基于工业物联网的状态防火墙状态检测***,其特征在于,包括用于驱动用户侧各应用层程序和/或文件的应用层驱动单元,用于驱动各信息交互端口的感知层驱动单元,用于对工业物联网的网络状态进行检测与处理的网络状态检测单元,以及用于为网络状态检测单元服务、且与所述网络状态检测单元相匹配的网络管理数据库及网络层驱动单元;所述应用层驱动单元、网络状态检测单元与感知层驱动单元,依次通信连接。
2.根据权利要求1所述的基于工业物联网的状态防火墙状态检测***,其特征在于,所述网络状态检测单元,包括分别与应用层驱动单元通信连接的报文过滤模块与地址转换模块,分别与感知层驱动单元通信连接的网关模块与TCP/IP模块,以及与网络管理数据库通信连接的状态检测模块;
所述报文过滤模块与网络管理数据库连接,并依次与报文过滤模块、状态检测模块、地址转换模块、网关模块及TCP/IP模块通信连接;所述TCP/IP模块,与网络层驱动单元连接。
3.根据权利要求1或2所述的基于工业物联网的状态防火墙状态检测***,其特征在于,所述信息交互端口至少包括令牌网、以太网、USB、Blue Tooth与WSN中的一种或多种。
4.一种基于工业物联网的状态防火墙状态检测方法,其特征在于,包括:
a、网关模块基于预设的连接协议,接收来自感知层的网络报文,提取报文过滤模块所需的报文摘要;
b、状态检测模块基于所述报文摘要,确定相应网络报文的协议类型;
b1、当相应网络报文的协议类型是连接请求SYN报文时:
报文过滤模块获取所述报文摘要,基于预设的匹配规则进行过滤处理;并根据相应的过滤处理结果,选择将相应的网络报文传输至应用层或丢弃。
5.根据权利要求4所述的基于工业物联网的状态防火墙状态检测方法,其特征在于,在步骤b中,还包括:
b2、当相应报文的协议类型不是连接请求SYN报文时:状态检测模块基于预建的哈希查找表,生成哈希键值,并基于所述哈希键值,在预存在网络管理数据库内部的状态检测表中查询;
b3、当查询到相应的状态表项时,根据所述状态表项的状态域记录,对相应的网络报文进行放行或丢弃处理;同时,采用动态管理的方式来处理超时状态表项,并更新所述状态表项的超时值和报文数量总数。
6.根据权利要求5所述的基于工业物联网的状态防火墙状态检测方法,其特征在于,在步骤b中,还包括:
b4、当没有查询到相应的状态表项时,报文过滤模块获取所述报文摘要,基于预设的匹配规则进行过滤处理;
当相应的过滤处理结果为报文通过匹配规则的过滤处理时,网络层驱动单元根据相应网络报文的网络报文类型,对相应的状态检测表进行更新处理。
7.根据权利要求6所述的基于工业物联网的状态防火墙状态检测方法,其特征在于,在步骤b4中,还包括:
当相应的网络报文类型为SYN报文,则根据所述网络报文的相应连接关系,在所述状态检测表中创建状态表项,并设置新状态表项的超时值和报文数量总数的初始值。
8.根据权利要求4所述的基于工业物联网的状态防火墙状态检测方法,其特征在于,在步骤a中,所述提取报文过滤模块所需的报文摘要的操作具体包括:
a1、网关模块的网关协议,将拦截到的网络报文中的源地址、源网络号、目的地址、目的网络号与协议记录缓存在报文摘要中;
a2、当所述网络报文的源地址和目的地址均是内部网络地址时,则允许将所述网络报文直接转发,同时将所述网络报文的报文摘要从缓存中删除;
a3、当所述网络报文的源地址和目的地址均不是内部网络地址时,网关协议进一步提取所述网络报文的源设备的访问授权号;
a4、当提取所得访问授权号不属于本网段时,则直接抛弃所述网络报文;否则,当提取所得访问授权号属于本网段时,网关协议将相应的报文摘要提交至网络层驱动单元;同时,销毁相应的报文摘要的缓存信息。
9.根据权利要求4所述的基于工业物联网的状态防火墙状态检测方法,其特征在于,在步骤b3中,所述采用动态管理的方式来处理超时状态表项的操作具体包括:
b31、当接收到的网络报文类型为断开连接请求FIN报文时,将状态表项的超时值减少为此刻超时值的1/2;
b32、如果接收到客户端响应服务端的FIN报文应答,则删除与该FIN报文应答相应的状态表项;
如果接收到客户端发送来的有效数据报文而非FIN报文应答,则恢复状态表项的超时值为最大值,并且判定防火墙收到了攻击;
如果客户端响应服务端未能在超时时间内收到客户端的任何报文响应,则删除相应的状态表项。
10.根据权利要求5所述的基于工业物联网的状态防火墙状态检测方法,其特征在于,在步骤b2中,所述状态检测模块基于预建的哈希查找表生成哈希键值的操作具体包括:
b21、在状态检测模块启动阶段,状态检测模块向***申请一块0x300大小的内存;
进行初始化设置,即预设初始化种子1为0x00100001,种子2为0x2AAAAB,循环次数为0x300;
b22、种子1乘以125再加上3,其结果与种子2取模运算,取此次运算结果的低16位,保存在临时变量1的高16位中,种子1的值修改为此次运算的结果;
种子1乘以125再加上3,其结果与种子2取模运算,取此次运算结果的低16为保存在临时变量2中;
第一个哈希键值即为临时变量1与临时变量2进行或运算的结果;
b23、循环处理,计算完所有的哈希键值。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201210069358.0A CN103607316A (zh) | 2012-03-15 | 2012-03-15 | 一种基于工业物联网的状态防火墙状态检测***及方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201210069358.0A CN103607316A (zh) | 2012-03-15 | 2012-03-15 | 一种基于工业物联网的状态防火墙状态检测***及方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN103607316A true CN103607316A (zh) | 2014-02-26 |
Family
ID=50125517
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201210069358.0A Pending CN103607316A (zh) | 2012-03-15 | 2012-03-15 | 一种基于工业物联网的状态防火墙状态检测***及方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN103607316A (zh) |
Cited By (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104270243A (zh) * | 2014-10-10 | 2015-01-07 | 重庆邮电大学 | 工业物联网芯片的安全功能实现方法 |
| CN104539573A (zh) * | 2014-10-30 | 2015-04-22 | 北京科技大学 | 一种基于嵌入式***的工业安全网关的通信方法及装置 |
| CN106657087A (zh) * | 2016-12-28 | 2017-05-10 | 青岛海天炜业过程控制技术股份有限公司 | 一种实现Ethernet/Ip协议动态跟踪的工业防火墙的方法 |
| CN109327469A (zh) * | 2018-11-26 | 2019-02-12 | 杨凌汇方农业有限公司 | 用于管理物联网的方法及智能网关 |
| CN111224996A (zh) * | 2020-01-17 | 2020-06-02 | 国网福建省电力有限公司 | 一种防火墙集中辅助维护*** |
| CN113452511A (zh) * | 2020-03-24 | 2021-09-28 | 国科量子通信网络有限公司 | 一种基于sdn的量子密钥分发物联网的发布订阅***及方法 |
| CN113923138A (zh) * | 2020-07-07 | 2022-01-11 | 瑞昱半导体股份有限公司 | 通信装置以及网络管理方法 |
| CN114070596A (zh) * | 2021-11-10 | 2022-02-18 | 上海钧正网络科技有限公司 | Web应用防护***的性能优化方法、***、终端及介质 |
| CN116743500A (zh) * | 2023-08-10 | 2023-09-12 | 北京天融信网络安全技术有限公司 | 工业防火墙***、报文处理方法和工控*** |
Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101707617A (zh) * | 2009-12-04 | 2010-05-12 | 福建星网锐捷网络有限公司 | 报文过滤方法、装置及网络设备 |
-
2012
- 2012-03-15 CN CN201210069358.0A patent/CN103607316A/zh active Pending
Patent Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101707617A (zh) * | 2009-12-04 | 2010-05-12 | 福建星网锐捷网络有限公司 | 报文过滤方法、装置及网络设备 |
Non-Patent Citations (3)
| Title |
|---|
| 刘件 侯毅: "物联网时代的信息安全防护研究", 《微计算机应用》 * |
| 李伟: "基于状态检测的防火墙技术研究与实现", 《中国优秀硕士学位论文全文数据库》 * |
| 肖毅: "物联网安全管理技术研究", 《通信技术》 * |
Cited By (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104270243A (zh) * | 2014-10-10 | 2015-01-07 | 重庆邮电大学 | 工业物联网芯片的安全功能实现方法 |
| CN104270243B (zh) * | 2014-10-10 | 2017-05-24 | 重庆邮电大学 | 工业物联网芯片的安全功能实现方法 |
| CN104539573B (zh) * | 2014-10-30 | 2018-07-27 | 北京科技大学 | 一种基于嵌入式***的工业安全网关的通信方法及装置 |
| CN104539573A (zh) * | 2014-10-30 | 2015-04-22 | 北京科技大学 | 一种基于嵌入式***的工业安全网关的通信方法及装置 |
| CN106657087B (zh) * | 2016-12-28 | 2019-12-10 | 青岛海天炜业过程控制技术股份有限公司 | 一种实现Ethernet/Ip协议动态跟踪的工业防火墙的方法 |
| CN106657087A (zh) * | 2016-12-28 | 2017-05-10 | 青岛海天炜业过程控制技术股份有限公司 | 一种实现Ethernet/Ip协议动态跟踪的工业防火墙的方法 |
| CN109327469A (zh) * | 2018-11-26 | 2019-02-12 | 杨凌汇方农业有限公司 | 用于管理物联网的方法及智能网关 |
| CN109327469B (zh) * | 2018-11-26 | 2021-04-13 | 四川秦岭科技有限公司 | 用于管理物联网的方法及智能网关 |
| CN111224996A (zh) * | 2020-01-17 | 2020-06-02 | 国网福建省电力有限公司 | 一种防火墙集中辅助维护*** |
| CN113452511A (zh) * | 2020-03-24 | 2021-09-28 | 国科量子通信网络有限公司 | 一种基于sdn的量子密钥分发物联网的发布订阅***及方法 |
| CN113923138A (zh) * | 2020-07-07 | 2022-01-11 | 瑞昱半导体股份有限公司 | 通信装置以及网络管理方法 |
| CN113923138B (zh) * | 2020-07-07 | 2023-03-31 | 瑞昱半导体股份有限公司 | 通信装置以及网络管理方法 |
| CN114070596A (zh) * | 2021-11-10 | 2022-02-18 | 上海钧正网络科技有限公司 | Web应用防护***的性能优化方法、***、终端及介质 |
| CN116743500A (zh) * | 2023-08-10 | 2023-09-12 | 北京天融信网络安全技术有限公司 | 工业防火墙***、报文处理方法和工控*** |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN103607316A (zh) | 一种基于工业物联网的状态防火墙状态检测***及方法 | |
| CN102223365B (zh) | 基于ssl vpn网关集群的用户接入方法及其装置 | |
| CN101582900B (zh) | 防火墙安全策略配置方法及管理装置 | |
| CN104301321B (zh) | 一种实现分布式网络安全防护的方法及*** | |
| US9413652B2 (en) | Systems and methods for path maximum transmission unit discovery | |
| CN102316160B (zh) | 网站***及其通信方法 | |
| US7555774B2 (en) | Inline intrusion detection using a single physical port | |
| CN103607399A (zh) | 基于暗网的专用ip网络安全监测***及方法 | |
| US20070098010A1 (en) | Offloading processing tasks to a peripheral device | |
| CN103201982A (zh) | 利用安全端口组来管理mac移动 | |
| CN103220287B (zh) | 利用acl对报文进行业务匹配的方法 | |
| CN1384639A (zh) | 分布式网络动态安全保护*** | |
| CN106385365B (zh) | 基于开放流Openflow表实现云平台安全的方法和装置 | |
| CN101958883A (zh) | 一种基于Bloom Filter和开源内核防御SYN Flood攻击的方法 | |
| CN103491053A (zh) | Udp负载均衡方法、***及装置 | |
| CN104168257A (zh) | 基于非网络方式的数据隔离装置及其方法与*** | |
| CN107872368B (zh) | 一种网络节点集群中网关可达性的检测方法、装置及终端 | |
| CN102546658A (zh) | 一种防止网关arp欺骗的方法和*** | |
| CN103858382A (zh) | 防火墙群集中的应用状态共享 | |
| CN102281295A (zh) | 一种缓解分布式拒绝服务攻击的方法 | |
| CN105337789A (zh) | 一种监控虚拟网络流量的方法和装置 | |
| JP5134141B2 (ja) | 不正アクセス遮断制御方法 | |
| CN103441932A (zh) | 一种主机路由表项生成方法及设备 | |
| CN105490995A (zh) | 一种在nvo3网络中nve转发报文的方法和设备 | |
| CN101795187A (zh) | 提高中心服务器拓扑组网可靠性的方法、***及设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20140226 |
|
| RJ01 | Rejection of invention patent application after publication |