本发明涉及物联网通信安全的技术领域,特别涉及一种基于数据包过滤的物联网设备通信安全芯片。
【背景技术】
随着信息技术的发展,越来越多的智能设备接入网络,使得物联网设备在实现自身功能的同时,也成为了网络攻击的目标。当这些物联网设备被黑客、病毒等入侵之后,就成为了大量受控的网络攻击工具,给网络安全埋下了巨大的隐患。
在物联网设备的通信端串联一安全模组,安全模组内置有基于tcp/ip协议的包括源/目标的ip地址、端口号、服务类型、mac地址等在内的通信白名单。安全模组对物联网设备与网络层的通信数据包包头信息进行解析并与通信白名单进行匹配过滤,与通信白名单相匹配的数据包才能通行,能有效提高物联网设备网络通信的安全性。
但是上述安全模组在安全和应用上依然存在以下问题:一是设备功能的实现可能基于各厂商的定型产品,有的甚至可能是国外厂商的定型产品,这些产品的固有漏洞和安全风险难以评估;二是能耗大;三是设备体积大、生产成本高、不易于安装。这些问题限制了其应用的广泛性及普及性。为了解决以上问题,有必要提出一种基于数据包过滤的物联网设备通信安全芯片,以物联网设备通信安全芯片的形式实现安全模组的国产化、智能化、小型化、集成化,容易与物联网设备结合为一体,从而能保障所连物联网设备的网络安全性。
技术实现要素:
本发明的目的在于克服上述现有技术的不足,提供一种基于数据包过滤的物联网设备通信安全芯片,其旨在解决现有技术中安全防护设备底层安全性未知、设备体积大、生产成本高、不易于安装等技术问题。
为实现上述目的,本发明提出了一种基于数据包过滤的物联网设备通信安全芯片,该安全芯片与物联网设备通信连接,所述的安全芯片包括芯片本体,所述的芯片本体上集成有数据包收发电路a、数据包处理电路、数据包收发电路b和内置有数据包通信白名单的数据库,所述的数据包处理电路通过数据包收发电路a与物联网设备的核心系统通信连接,所述的数据包处理电路通过数据包收发电路b与网络层通信连接,所述的数据包处理电路与数据库通信连接,并能够调用数据库中的数据包通信白名单对物联网设备与网络层之间通信的数据包进行匹配处理。
作为优选,该物联网设备通信安全芯片的安全防护方法步骤具体如下:
s1、数据包收发电路a接收由物联网设备的核心系统发出的数据包,并传输至数据包处理电路;数据包收发电路b接收来自网络层发送往物联网设备的数据包,并传输至数据包处理电路;
s2、数据包处理电路对由数据包收发电路a和数据包收发电路b传输来的数据包进行解析并提取数据包信息;
s3、数据包处理电路调用数据库中的数据包通信白名单,并将数据包信息与数据包通信白名单进行匹配,如果数据包信息包含在数据包通信白名单上,则数据包处理电路对数据包放行,从数据包收发电路a传输来的数据包通过数据包收发电路b发送至网络层,由数据包收发电路b传输来的数据包通过数据包收发电路a发送至物联网设备的核心系统,转至s1;如果数据包信息不包含在数据包通信白名单上,则数据包处理电路不对数据包放行,转至s1。
作为优选,所述的芯片本体上还集成管理控制电路,所述的管理控制电路与数据包处理电路和数据库通信连接,所述的管理控制电路上还设置有功能拓展端口,所述的管理控制电路通过数据包收发电路b与网络层通信,并通过网络层与物联网设备运维服务器通信连接,所述的物联网设备运维服务器能够通过管理控制电路对芯片本体的工作模式、数据库中的数据包通信白名单进行设置。
作为优选,所述的芯片本体的工作模式包括但不限于数据包匹配过滤通路模式、数据包阻断模式、数据包全通路模式、数据包单向通路模式、数据包通信白名单设置模式。
作为优选,所述的物联网设备运维服务器通过管理控制电路对数据库中的数据包通信白名单进行设置的方式包括以下几种:
一、所述的物联网设备运维服务器通过网络层及数据包收发电路b将数据包通信白名单下发给管理控制电路,由管理控制电路控制清空数据库中原有的数据包通信白名单,并将新下发的数据包通信白名单存储至数据库中;
二、所述的物联网设备运维服务器通过网络层及数据包收发电路b将通信白名单补充数据下发给管理控制电路,由管理控制电路将通信白名单补充数据添加至数据库中原有的数据包通信白名单中并更新;
三、所述的管理控制电路能通过对数据包处理电路中通过的数据包进行自动学习生成数据包通信白名单。
作为优选,所述的数据包处理电路能够对与数据包通信白名单不匹配的数据包进行拦截、记录、统计并发送给管理控制电路,由管理控制电路上报给物联网设备运维服务器。
作为优选,所述的管理控制电路具有复用物联网设备核心系统的ip地址的功能,对经过统计的与数据包通信白名单不匹配的数据包,连同物联网设备核心系统的ip地址上报给物联网设备运维服务器。
作为优选,能够基于所述的安全芯片封装成独立的网络安全产品,与物联网设备的通信接口连接。
作为优选,所述的安全芯片还包括设置在芯片本体上的管脚,所述的芯片本体通过管脚能够安装在物联网设备的主板所预留的插槽内,与物联网设备的核心系统通信端连接。
本发明的有益效果:与现有技术相比,本发明提供的一种基于数据包过滤的物联网设备通信安全芯片,将原来串联在物联网设备通信端具有较大体积的安全模组微型化、小型化,能直接通过管脚与物联网设备的控制系统进行连接,实现对物联网设备的通信输入输出安全控制,保证了流入、流出物联网设备的通信数据包的网络安全性,避免了物联网设备遭受网络的攻击,并且降低了成本,易于安装,能用于不同大小的物联网设备,达到了物联网设备网络安全防护的广泛性。
本发明的特征及优点将通过实施例结合附图进行详细说明。
【附图说明】
图1是本发明实施例一的一种基于数据包过滤的物联网设备通信安全芯片的模块图;
图2是本发明实施例一的安全芯片的安全防护方法流程图;
图3是本发明实施例二的一种基于数据包过滤的物联网设备通信安全芯片的模块图;
图4是本发明实施例的安全芯片带管脚形式的结构图。
【具体实施方式】
为使本发明的目的、技术方案和优点更加清楚明了,下面通过附图及实施例,对本发明进行进一步详细说明。但是应该理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限制本发明的范围。此外,在以下说明中,省略了对公知结构和技术的描述,以避免不必要地混淆本发明的概念。
实施例一、
参阅图1,本发明实施例提出了一种基于数据包过滤的物联网设备通信安全芯片,该安全芯片与物联网设备通信连接,所述的安全芯片包括芯片本体1,所述的芯片本体1上集成有数据包收发电路a11、数据包处理电路12、数据包收发电路b13和内置有数据包通信白名单的数据库14,所述的数据包处理电路12通过数据包收发电路a11与物联网设备的核心系统通信连接,所述的数据包处理电路12通过数据包收发电路b13与网络层通信连接,所述的数据包处理电路12与数据库14通信连接,并能够调用数据库14中的数据包通信白名单对物联网设备与网络层之间通信的数据包进行匹配处理。
参阅图2,该物联网设备通信安全芯片的安全防护方法步骤具体如下:
s1、数据包收发电路a11接收由物联网设备的核心系统发出的数据包,并传输至数据包处理电路12;数据包收发电路b13接收来自网络层发送往物联网设备的数据包,并传输至数据包处理电路12。
s2、数据包处理电路12对由数据包收发电路a11和数据包收发电路b13传输来的数据包进行解析并提取数据包信息。
s3、数据包处理电路12调用数据库14中的数据包通信白名单,并将数据包信息与数据包通信白名单进行匹配,如果数据包信息包含在数据包通信白名单上,则数据包处理电路12对数据包放行,从数据包收发电路a11传输来的数据包通过数据包收发电路b13发送至网络层,由数据包收发电路b13传输来的数据包通过数据包收发电路a11发送至物联网设备的核心系统,转至s1;如果数据包信息不包含在数据包通信白名单上,则数据包处理电路12不对数据包放行,转至s1。
实施例二、
参阅图3,本发明实施例提出了一种基于数据包过滤的物联网设备通信安全芯片,在实施例一的基础上,所述的芯片本体1上还集成管理控制电路15,所述的管理控制电路15与数据包处理电路12和数据库14通信连接,所述的管理控制电路15上还设置有功能拓展端口,所述的管理控制电路15通过数据包收发电路b13与网络层通信,并通过网络层与物联网设备运维服务器3通信连接,所述的物联网设备运维服务器3能够通过管理控制电路15对芯片本体1的工作模式、数据库14中的数据包通信白名单进行设置。
进一步地,所述的芯片本体1的工作模式包括但不限于数据包匹配过滤通路模式、数据包阻断模式、数据包全通路模式、数据包单向通路模式、数据包通信白名单设置模式;所述的物联网设备运维服务器3通过管理控制电路15对数据库14中的数据包通信白名单进行设置的方式包括以下几种:
一、所述的物联网设备运维服务器3通过网络层及数据包收发电路b13将数据包通信白名单下发给管理控制电路15,由管理控制电路15控制清空数据库14中原有的数据包通信白名单,并将新下发的数据包通信白名单存储至数据库14中;
二、所述的物联网设备运维服务器3通过网络层及数据包收发电路b13将通信白名单补充数据下发给管理控制电路15,由管理控制电路15将通信白名单补充数据添加至数据库14中原有的数据包通信白名单中并更新;
三、所述的管理控制电路15能通过对数据包处理电路12中通过的数据包进行自动学习生成数据包通信白名单。
更进一步地,所述的数据包处理电路12能够对与数据包通信白名单不匹配的数据包进行拦截、记录、统计并发送给管理控制电路15,由管理控制电路15上报给物联网设备运维服务器3;所述的管理控制电路15还具有复用物联网设备核心系统的ip地址的功能,对经过统计的与数据包通信白名单不匹配的数据包,连同物联网设备核心系统的ip地址上报给物联网设备运维服务器3。
本发明实施例一和实施例二中,作为一种实施方式,所述的安全芯片能够封装成独立的网络安全产品,类似于u盘的小型通信转接件。
作为另一种实施方式,所述的安全芯片还包括设置在芯片本体1上的管脚2,参阅图4,所述的芯片本体1通过管脚2能够安装在物联网设备的主板所预留的插槽内,与物联网设备的核心系统通信端连接。
为保证安全芯片的安全性,避免由国外厂商生产的产品存在安全漏洞和安全风险,可选用由国内设计力量进行设计和生产的内核。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内所作的任何修改、等同替换或改进等,均应包含在本发明的保护范围之内。