[发明专利]物联网感知层终端ARP中间人攻击防护设计

说明书

本发明涉及计算机终端准入安全领域，尤其是物联网感知层终端ARP中间人攻击防护设计，包括以下两大部分：1、让由物联网终端发出的同网段网络数据和ARP数据报文走Linux内核网络子系统Net filter模块，实现捕获同IP网段的ARP通信报文数据；2、在Net filter中执行ARP中间人攻击行为判定函数，并检测ARP中间人攻击行为，本发明通过使用基于MIPS架构的MTK SOC方案，通过修改Linux网络子系统内核模块，实现同网段ARP数据的内核层的检测和安全隔离，实现ARP中间人攻击防护，同时使用的MTK7621系、MTK7628系、MKT7620系SOC芯片价格便宜，能够大量部署在物联网边缘层。

技术领域

本发明涉及计算机终端准入安全领域，尤其涉及物联网感知层终端ARP中间人攻击防护设计。

背景技术

随着计算机网络发展，工业互联网和物联网的壮大，网络环境安全对网络内的设备提出更高的安全要求；物联网感知层：特指物联网网络环境中，那些位于网络最边缘层，进行信息采集、指令执行的终端设备，是整个网络环境的最末端，本身不会再连接下游网络设备，往往部署在无人坚守的环境中，如智能摄像头、公路监控、智能路灯、小区电子宣传屏等设备。

目前市场上的实现方式：

1.通过三层交换机实现，将不同网络类别、网络熟悉的设备划分到不同IP 网段中，在IP地址攻击例子中，假如A的IP地址是192.168.40.a，B的IP地址是192.168.1.b，中间通过路由或NAT转发，使得AB间网络发现是通过路由协议，进而让ARP中间人攻击没有发挥的场景。这类实现的问题：因为感知终端的数量多、部署和规划时间久，是一个长期的过程，该方案给每个终端一个独立IP段的方式，增加了网络拓扑复杂度和实施成本，且不可持续(每次新增部署终端，都要重新划分、设计IP网段，工程量巨大，基本不可行)，因此主要是用在汇聚层，在物联网感知层基本不可行。

2.通过具有横向隔离功能的网关实现，这类设备绝大部分是在Intel的 X86架构芯片上实现，极少数是在自研芯片(比如华为)上实现，价格昂贵(4000 元以上)，难以大量部署在每个物联网感知层终端的上游。也多用于汇聚层。有些物联网感知层终端都是部署在偏远地区，使用太阳能板和蓄电池的方案供电，

无法支撑大功率的网关供电。

物联网边缘层大量部署的普通网关，数量多，但都不具备ARP中间人攻击的安全防御功能，因此需要提出一种感知层终端ARP中间人攻击并进行相应防护管控的方法。

发明内容

本发明的目的是为了解决现有技术中存在的缺点，而提出的物联网感知层终端ARP中间人攻击防护设计。

为达到以上目的，本发明采用的技术方案为：物联网感知层终端ARP中间人攻击防护设计，包括以下两大部分：

(1)让由物联网终端发出的同网段网络数据和ARP数据报文走Linux内核网络子系统Net filter模块，实现捕获同IP网段的ARP通信报文数据，具体实施步骤如下；

(i)取用一个支持多个网口的SOC芯片，所述SOC芯片具体为MTK7621 系、MTK7628系、MKT7620系SOC芯片中的一个，将SOC芯片的每个网口单独划分一个虚拟局域网；

(ii)将每个虚拟局域网都挂载到同一个网桥中；

(iii)将同网段网络数据和ARP数据报文向Linux内核网络子系统Net filter模块中发送；

(iv)Net filter将处理后同网段网络数据和ARP数据报文送入网桥，并经由网桥将处理后的通信流量送往除发送网口以外的其它网口；

(2)在Net filter中执行ARP中间人攻击行为判定函数，并检测ARP中间人攻击行为,具体实施步骤如下：