[发明专利]嵌入系统总线防火墙

说明书

(一)技术领域：

本发明一种嵌入系统总线防火墙，涉及一种对嵌入式计算机系统数字信息传输进行监控的总线防火墙，特别涉及一种对嵌入式计算机系统接口总线上的信息传送进行监控，实现嵌入系统安全防护的总线防火墙，属于计算机技术领域。

(二)背景技术：

伴随网络技术和无线通讯技术发展，嵌入系统应用不断拓展其广度和深度，上至卫星遥控变轨，下至数字化家庭网络的实现，嵌入系统展现出参与无线通讯和网络化变革的蓬勃活力。与此同时，嵌入系统的安全问题浮出水面，这些问题往往可能导致重大经济损失或人身伤害，例如卫星策反、自动取款机失窃、汽车自动驾驶仪失控、智能家电泄露家居信息等。

目前，嵌入系统的安全机制主要建立在针对环境干扰或软/硬件自身运行故障的防护体系上，技术措施有看门狗复位、部件冗余等。一旦嵌入系统通过无线通讯或接入网络与外界进行联系，这种封闭性、内向型的安全机制很难应对恶意入侵的威胁。由于存储空间容量有限，嵌入系统只能有限使用通用计算机领域取得的入侵检测、防火过滤等技术成果，依赖外层协议防护建立的嵌入系统安防体系存在易被击破、检测不完备、占用系统存储空间、响应时间慢等不足之处。

(三)发明内容：

本发明提供一种嵌入系统总线防火墙，其目的是：对嵌入系统接口总线信息进行监控，在系统底层架构上阻断入侵意图实现的总线防火墙，该总线防火墙的系统安防体系不易被击破、检测完备、占用系统存储空间少、响应时间快及保密性能好。

本发明一种嵌入系统总线防火墙，其技术方案是：在嵌入式处理器接口总线100与其外设接口200之间串联进一个利用FPGA{FPGA是Field Programmable Gate Array(现场可编程门阵列)的缩写}逻辑集成技术实现的总线IP核，实施对嵌入系统关键端口指令的实时监控，采用正向规则映射方法识别正常端口指令并拦截异常端口指令。

总线IP核分为三层组织架构：由总线适配接口1、设在防火层内的总线防火墙2和标准总线接口3组成；在防火层内设有总线防火墙2，该总线防火墙2的功能由嵌在总线防火墙内部的专用模块实现，由工作模式选择模块5(该工作模式选择模块包括直通模式模块11和过滤模式模块12)、规则学习模块6、总线监控模块7、信号缓冲模块8、状态编码模块9、检测状态机模块10组成；

总线防火墙2对外端口连接情况如下：

总线适配接口1实现将嵌入式处理器接口总线信号传递到总线防火墙2对应端口，该总线适配接口1是一个开放接口，可根据具体情况定义；现将本发明定义情况叙述如下：以大多数嵌入式处理器接口总线共有的总线复位信号、端口读信号、端口写信号、外设访问有效信号、地址总线、数据总线、中断信号作为总线适配接口1的传递信号。为配合总线防火墙2的工作，总线适配接口1还向总线防火墙2提供一个外部时钟信号(由外加晶振实现)和一个主机读写规则库允许信号(由外部跳线实现)。相应地，总线防火墙2包括如下和总线适配接口1的连接端口：总线适配接口复位信号连接端口31、总线适配接口外设访问有效信号连接端口32、总线适配接口读信号连接端口33、总线适配接口写信号连接端口34、总线适配接口数据总线连接端口35、总线适配接口地址总线连接端口36、总线适配接口主机读写规则库允许信号连接端口37、总线适配接口外部时钟信号连接端口38、总线适配接口系统中断信号连接端口39；其中，端口31、端口32、端口33、端口34、端口35、端口36和工作模式选择模块5、规则学习模块6连接；端口38提供时钟信号16，该时钟信号16输入信号缓冲模块8和检测状态机模块10；端口37和规则学习模块6连接。端口39接收系统中断信号13，和检测状态机模块10连接；

标准总线接口3实现将总线防火墙2处理后的总线信号传递至外设接口，和总线适配接口1类似，该外设接口也是一个开放接口，根据具体需求定义；与前述总线适配接口1端口定义类似，本发明所述的总线防火墙2包括如下和标准总线接口3的连接端口：标准总线接口复位信号连接端口40、标准总线接口外设访问有效信号连接端口41、标准总线接口读信号连接端口42、标准总线接口写信号连接端口43、标准总线接口地址总线连接端口44、标准总线接口数据总线连接端口45；上述端口分别和工作模式选择模块5、信号缓冲模块8对应端连接；