[发明专利]一种基于工业物联网的状态防火墙状态检测系统及方法

说明书

技术领域

本发明涉及网络边界保护设备技术领域，具体地，涉及一种基于工业物联网的状态防火墙状态检测系统及方法。 

背景技术

现代工业技术有四个特征，结构网络化、控制分散化、节电智能化和系统集成化，即从现场的设备层和控制层到调度管理层与商务管理层等的工业物联网。工业物联网是指在传统工业网络的基础上融合互联网、WSN和现场总线网络等异构网络，将具有环境感知能力的各类终端、云计算模式、移动通信，实时通信等不断融入到工业生产的各个环节的网络。简而言之，工业物联网就是利用统一的网络协议栈融合现有各种异构网络协议，但是它并不是简单具有网络协议转换的功能，还可以从感知层网络采集到的大量数据中剔除冗余信息，进而利用云计算对网络层的数据其进行处理。 

随着工业自动化的快速发展，工业物联网中的设备数量亦越来越多，并且工业物联网实现多网络融合，不可避免的带来了网络安全性的问题。工业物联网的安全问题在工业物联网的普及过程中为了一个迫切需要解决的问题。目前，工业物联网的网络安全防护主要靠在网络边界处安装传统的防火墙，这是一种过渡方案，其缺陷是只能防护TCPIP协议的网络，对其他异构网络没有用处。 

如表1所示，工业物联网协议栈融合工业现场总线、无线传感网、互联网、移动网络的优点于一体，具有异构网络融合的功能，可以满足嵌入式设备的可裁剪要求，实现在工业设备的统一网络架构。 

工业物联网安全应考虑以下三个技术指标： 

⑴安全性：安全性是指数据在网络传输的过程中，保证传输的明文数据不被第三方窃取和篡改；

⑵实时性：工业物联网与物联网的最大区别就是在于工业物联网的网络是实时网络。在工业物联网中实时传输，是为了工业生产变得有序和可控，一旦数据的实时性遭到破坏，那么传输的数据将变得毫无意义；

⑶可裁剪性：工业物联网所包含的设备差异性很大，不同的设备的计算和存储资源限制就使得工业物联网协议栈必须具备可裁剪性，不同类型的设备将有不同的裁剪方案。

在现有技术中，状态检测防火墙（State Inspection）技术是由Checkpoint公司首先提出来的；包过滤防火墙利用数据包的头部信息来匹配过滤规则得到数据包的处理动作，从而决定数据包是通过防火墙还是丢弃数据包，但状态检测技术是利用协议的连接特性的状态检测机制，将属于同一连接的所有数据包作为一个整体的数据流看待，构造一个连接状态检测表来存储这些连接的状态，通过防火墙的过滤规则表与状态检测表的相互配合使用，对状态检测表中的各个连接状态因素加以识别。状态检测防火墙抛弃了以往包过滤防火墙只匹配数据包的头部信息，而不在乎连接状态变化的缺点，建立状态连接表，将进出外部网络和内部网络的数据以数据流的方式对待，利用状态检测表来控制每一个数据流的状态，根据数据流的状态进行数据包的过滤。 

目前工业物联网中所使用的防火墙方案主要有以下两种： 

⑴包过滤防火墙方案，包过滤（Packet Filtering）是利用数据包的源地址、源端口、目的地址、目的端口和协议类型的部分或者全部的信息，按照预先定义的数据包过滤规则（如ACL）对通过此防火墙的数据包进行规则匹配，如果规则匹配命中，则可以获取到对该报文的审查结果，如果没有命中规则，则按照安全策略的规定，丢弃或者放行该数据包。

⑵状态检测防火墙方案，状态检测技术是利用协议的连接特性的状态检测机制，将属于同一连接的所有数据包作为一个整体的数据流看待，构造一个连接状态检测表来存储这些连接的状态，通过防火墙的过滤规则表与状态检测表的相互配合使用，对状态检测表中的各个连接状态因素加以识别。 

以上这两种方案都存在不足的地方：第一种方案缺点在于它缺乏一定的灵活性，因为它需要对每个经过它的数据包都进行规则检查，在过滤规则表的数量很多的情况下，会导致系统的性能急剧下降。第二种方案的状态检测机制只限于工业物联网底层TCPIP协议，对于其他底层的异构协议没有防护作用等。 

在实现本发明的过程中，发明人发现现有技术中至少存在对协议栈架构支持力度差、检测速度慢与灵活性差等缺陷。 

发明内容

本发明的目的在于，针对上述问题，提出一种基于工业物联网的状态防火墙状态检测系统，以实现对协议栈架构支持力度好、检测速度快与灵活性好的优点。 

本发明的另一目的在于，提出一种基于工业物联网的状态防火墙状态检测方法。