一种智能家电摄像头的网络防火墙的制作方法

本发明属于智能家电领域，尤其涉及一种智能家电摄像头的网络防火墙。

背景技术：

随着嵌入式技术的发展，许多嵌入式系统提供了网络接口，连接网络的嵌入式设备也发展出了很多应用，如智能家电。在给人们日常生活带来方便的同时，嵌入式系统的广泛使用随之带来了在网络中的安全问题。嵌入式系统往往会使用很长时间，而一般的嵌入式设备在调试完成投入使用后很少进行更新迭代，所以嵌入式设备一旦接入网络，其安全程度很有限；

目前行业中对于网络安全的研究方向中，对于接入网络的嵌入式系统的安全并没有太多研究。因此目前大部分投入使用的嵌入式系统大多都是处于无防护状态的。本文针对嵌入式系统的特点，设计一种专门针对智能家电摄像头的防火墙以及其外部支撑结构。

技术实现要素：

发明目的：为了克服现有技术中存在的不足，本发明提供一种可阻挡网络攻击的一种智能家电摄像头的网络防火墙。

技术方案：为实现上述目的，本发明的一种智能家电摄像头的网络防火墙，包括智能家电摄像头本体，所述智能家电摄像头本体的一端设置有摄像镜头，所述智能家电摄像头本体的另一端设置有射灯；

所述智能家电摄像头本体的底端中部固定连接有柱头，还包括竖向姿态的支撑立柱，所述支撑立柱的上端与所述柱头下端通过铰接部件铰接连接；所述智能家电摄像头本体沿所述铰接部件前后摆动。

进一步的，还包括底座平台，所述底座平台上固定竖立设置有旋转电机，所述支撑立柱的下端连接在所述旋转电机的转轴上，所述旋转电机可驱动所述支撑立柱沿轴线旋转。

进一步的，还包括弹簧拉力线；所述弹簧拉力线的一端固定连接在所述支撑立柱侧壁，所述弹簧拉力线的一端固定连接智能家电摄像头本体靠近摄像镜头的一端底部；

所述支撑立柱上还转动设置有卷线圈，所述卷线圈上盘绕有尼龙牵引线，所述牵引线的引出线末端固定连接智能家电摄像头本体靠近射灯的一端底部；

还包括卷线圈驱动电机，所述卷线圈驱动电机固定安装在所述支撑立柱上的电机座上，且所述卷线圈驱动电机驱动连接所述卷线圈；卷线圈驱动电机可驱动卷线圈的收线和放线。

进一步的，在所述智能家电摄像头本体的嵌入式系统上加载一个防火墙模块，从网络中传来的数据经由数据接口模块直接发送给防火墙模块，经过安全策略验证通过后再通过数据接口发送至cpu进行处理；所述防火墙采用模块化设计，所述防火墙与智能家电摄像头本体的嵌入式系统的数据接口采用串行通信接口。

进一步的，所述防火墙的功能模块包括内存和计算模块，以及实现从安全策略到规则转换的规则模块，还有对数据包进行是否符合规则的判断的过滤模块，以及实现和嵌入式设备或者网络的数据交换的数据接口模块；

摄像头本体的电嵌入式系统在加载了本文所提出的防火墙后，首先数据包从网络传输至嵌入式系统的外部数据接口，然后通过路由表提取相应的规则，对数据包进行安全策略规则判断，也即实现防火墙的包过滤功能；其中不符合安全策略规则的数据包直接丢弃，将符合安全策略的数据包进行封装，对其进行协议转换以及数据加密与认证等一系列工作，当封装完成后，通过嵌入式系统的内部数据接口如总线，串口等将其发送至cpu进行运算。嵌入式系统在处理完网络发送进来的数据之后，若需要向外部网络发送数据，同样通过上文的流程，即先通过内部数据接口将数据从cpu发送至防火墙模块进行协议转换与包过滤，再通过外部接口将处理过的数据发送至互联网络。

进一步的，所述防火墙的硬件结构包括进行规则运算以及数据加密运算的cpu模块；和储存安全策略规则的ram存储模块；以及提供运行内存的flash闪存模块；供电模块；还有与嵌入式系统进行数据交互的数据接口模块；其中防火墙的数据接口采用串行通信接口；

防火墙和嵌入式系统的数据报文处理流程使在嵌入式系统运行内核中注册一安全机制接口，安全机制接口与实际的网络接口一一对应，然后在路由表中增加指向防火墙安全机制接口的入口，使所有输入输出的数据包直接送往安全处理机制接口，然后将分组封装处理程序放在安全处理机制里，从而使得不必修改ip的源码，防火墙安全治理机制中的模块包括：策略数据库spd的查询，规则的选择以及分组的封装处理；最后的数据包送往嵌入式系统的数据接口，实现了安全通信。

进一步的，所述防火墙的安全机制是根据分组包的源宿地址，端口号以及协议类型，标志确定是否允许报文通过。所根据的信息源来自于ip,tcp或udp包头。采用常规防火墙中的包过滤技术，只有满足过滤逻辑的数据包才被转发到相应的目的地出口端，其余不符合条件的数据包则抛弃；根据安全策略的规则，对输入输出的数据实行加密，认证，数字签名，完整性校验等安全措施，保证数据传输中的安全；

所述防火墙的访问控制安全策略是通过对输入输出数据的监控，控制其输入输出，可以阻挡一部分攻击。根据预先指定的安全规则，对输入输出数据进行监测，符合要求的数据允许通过，否则屏蔽掉该数据包，由于嵌入式设备往往提供的网络功能相对较少，对于不必要的数据就可以控制其进出；

所述防火墙的数据保密与完整性安全策略是通过对传输数据的加密，封装与认证来保证数据的保密性，使得未授权的用户无法获取信息内容。

有益效果：本发明的结构简单，智能家电摄像头本体的一端为摄像镜头，另一端设置有射灯，当用户在家时该装置可以作为射灯用于照明，增加家庭氛围；当用户不在家时，该设备可以作为摄像头对用户家里进行监视，有效防盗；而且该设备的可以通过两电机任意调整姿态，实现更加全面的照射角度和监视范围；同时在本装置上加载了一个防火墙系统，可用于防止外部网络入侵，防止家里被偷窥。

附图说明

图1为智能家电摄像头本体的整体结构示意图；

图2为智能家电摄像头本体的整体上部份第一姿态结构示意图；

图3为智能家电摄像头本体的整体上部份第二姿态结构示意图；

图4为传统智能家电摄像头的嵌入式系统接入网络示意图；

图5为本方案智能家电摄像头嵌入式系统防火墙示意图；

图6为防火墙的功能模块示意图；

图7为防火墙工作流程图；

图8为防火墙软件模块的信息交互结构图；

图9为防火墙硬件结构示意图。

具体实施方式

下面结合附图对本发明作更进一步的说明。

如附图1至3所示的一种智能家电摄像头的网络防火墙，包括智能家电摄像头本体2，所述智能家电摄像头本体2的一端设置有摄像镜头1，所述智能家电摄像头本体2的另一端设置有射灯2；所述智能家电摄像头本体2的底端中部固定连接有柱头7，还包括竖向姿态的支撑立柱5，所述支撑立柱5的上端与所述柱头7下端通过铰接部件8铰接连接；所述智能家电摄像头本体2沿所述铰接部件8前后摆动；一端为摄像镜头，另一端设置有射灯，当用户在家时该装置可以作为射灯用于照明，增加家庭氛围；当用户不在家时，该设备可以作为摄像头对用户家里进行监视，有效防盗；

还包括底座平台12，所述底座平台12上固定竖立设置有旋转电机11，本实施例的旋转电机11为断电制动式电机，也就是说断电状态时旋转电机11的转轴处于制动状态，增加其稳定性，所述支撑立柱5的下端连接在所述旋转电机11的转轴上，所述旋转电机11可驱动所述支撑立柱5沿轴线旋转，进而可以调整智能家电摄像头本体2的旋转范围。

还包括弹簧拉力线4；所述弹簧拉力线4的一端固定连接在所述支撑立柱5侧壁，所述弹簧拉力线4的一端固定连接智能家电摄像头本体2靠近摄像镜头1的一端底部；所述支撑立柱5上还转动设置有卷线圈13，所述卷线圈13上盘绕有尼龙牵引线9，所述牵引线9的引出线末端固定连接智能家电摄像头本体2靠近射灯2的一端底部；还包括卷线圈驱动电机6，所述卷线圈驱动电机6固定安装在所述支撑立柱5上的电机座10上，且所述卷线圈驱动电机6驱动连接所述卷线圈13，本实施例的卷线圈驱动电机6可控制卷线圈13的正转、反转和暂停，进而使卷线圈驱动电机6可驱动卷线圈13的收线、放线；另外本实施例的卷线圈驱动电机6也为断电制动式电机，进而实现卷线圈驱动电机6断电状态下，使卷线圈13处于制动状态，进而增加其智能家电摄像头本体2的姿态调整后为稳定性，有效防止晃动。

该装置的姿态调整方式、原理以及过程；本实施例的弹簧拉力线4的的状态处于弹性牵拉状态，而牵引线9处于绷紧状态，进而保持智能家电摄像头本体2姿态的静态平衡；

当用户在家时，该设备作为射灯照明使用，因而需要将智能家电摄像头本体2有射灯2的一端向下倾斜；此时启动卷线圈驱动电机6正转，进而使卷线圈13收线，进而使牵引线9的引出部分变短，进而驱动智能家电摄像头本体2有射灯2的一端向下倾斜，然后驱动旋转电机11，调整智能家电摄像头本体2的水平朝向；

当用户不在家时，该设备需要作为摄像头监视使用，因而需要将智能家电摄像头本体2有摄像镜头1的一端向下倾斜；此时启动卷线圈驱动电机6反转，进而使卷线圈13放线，进而使牵引线9的引出部分变长，进而在弹簧拉力线4的牵拉作用下驱动智能家电摄像头本体2有有摄像镜头1的一端向下倾斜，然后驱动旋转电机11，调整智能家电摄像头本体2的水平朝向。

目前市场中常用的智能家电摄像头的嵌入式系统在接入网络时，直接从网络服务器接收数据，没有任何安全防护手段，极易受到攻击。通用的嵌入式系统连接网络图1所示。如图4可知，信息直接从网络中传输到嵌入式系统的数据接口，然后由数据接口发送至cpu模块；

如图5所示，本方案的智能家电摄像头本体2的嵌入式系统上加载一个防火墙模块，从网络中传来的数据经由数据接口模块直接发送给防火墙模块，经过安全策略验证通过后再通过数据接口发送至cpu进行处理；所述防火墙采用模块化设计，所述防火墙与智能家电摄像头本体2的嵌入式系统的数据接口采用串行通信接口；如uart、spt、usb、jtag接口等，也可以采用并行数据接口，如spp或者epp接口；以满足不同嵌入式系统的不同需要。

由于嵌入式设备储存器较小，处理器处理数据能力较差，因此采用独立的外接模块加载在智能家电的嵌入式系统上，嵌入式系统与网络之间的数据交换全部需要通过这个外接模块的监测过滤，以此实现防火墙功能。嵌入式设备功能相对单一，所受到的攻击模式一般也比较单一。智能家电设备一般都是针对某一种特定要求开发的，因此需要的网络功能比较单一，这样就可以限制其它的访问方式，减少被攻击的机会。嵌入式系统的储存能力相对较弱，使得一些常驻存储器的病毒较难存在，同时也使得内存消耗的攻击很容易得手。

基于上文提到的嵌入式系统的特点，本文提出一种针对嵌入式系统的防火墙设计方案。这种防火墙的在网络层提供加密和认证服务。这种防火墙的安全机制主要几点如下：

1它根据分组包的源宿地址，端口号以及协议类型，标志确定是否允许报文通过。所根据的信息源来自于ip,tcp或udp包头。采用常规防火墙中的包过滤技术，只有满足过滤逻辑的数据包才被转发到相应的目的地出口端，其余不符合条件的数据包则抛弃。

2根据安全策略的规则，对输入输出的数据实行加密，认证，数字签名，完整性校验等安全措施，保证数据传输中的安全。

对于嵌入式系统来说，受限制于其单一性与针对性，在pc通信中常用到的数据加密，数据完整性认证，身份认证与数据源认证并不全部适用于嵌入式系统，针对嵌入式联网的具体防火墙应用必须建立合适的加密协议和加密措施。以此来确定路由表中进行判决的具体规则。

智能家电网络的安全策略分析：

1访问控制安全策略：通过对输入输出数据的监控，控制其输入输出，可以阻挡一部分攻击。根据预先指定的安全规则，对输入输出数据进行监测，符合要求的数据允许通过，否则屏蔽掉该数据包，由于嵌入式设备往往提供的网络功能相对较少，对于不必要的数据就可以控制其进出。

2数据保密与完整性安全策略：通过对传输数据的加密，封装与认证来保证数据的保密性，使得未授权的用户无法获取信息内容。

防火墙的功能模块如图6，其中包括必须的内存和计算模块，以及实现从安全策略到规则转换的规则模块，还有对数据包进行是否符合规则的判断的过滤模块，以及实现和嵌入式设备或者网络的数据交换的数据接口模块。其中数据接口模块可以根据不同的嵌入式系统采取不同的通信接口，可以支持串行接口、并行接口等接口。

通用的智能家电嵌入式系统在加载了本文所提出的防火墙后，其与网络之间的数据交换过程如图7所示。首先数据包从网络传输至嵌入式系统的外部数据接口(如以太网口等)，然后通过路由表提取相应的规则，对数据包进行安全策略规则判断，也即实现防火墙的包过滤功能。其中不符合安全策略规则的数据包直接丢弃，将符合安全策略的数据包进行封装，对其进行协议转换以及数据加密与认证等一系列工作，当封装完成后，通过嵌入式系统的内部数据接口如总线，串口等将其发送至cpu进行运算。嵌入式系统在处理完网络发送进来的数据之后，若需要向外部网络发送数据，同样通过上文的流程，即先通过内部数据接口将数据从cpu发送至防火墙模块进行协议转换与包过滤，再通过外部接口将处理过的数据发送至互联网络。

spd安全策略数据库的查询效率是影响防火墙性能的重要因素，在大多数嵌入式系统中，防火墙有可能需要为不止一个设备提供数据包过滤，对于每个数据包都要在spd库中查找相应的规则，因此可能会成为整个防火墙数据处理能力的瓶颈。为解决这一问题，首先考虑到数据库的存储结构，注意对于过滤规则来说，通信协议，spi，目的地址唯一确定一条规则，我们用(协议+spi+目的地址)作为查询条件，采用哈希表结构进行查询。对于策略数据库，考虑到数据包的传送是连续的，所以在内层内使用缓存技术来保存最近使用的安全策略，从而避免频繁的查询过程，以此提高系统性能。

外接的嵌入式系统防火墙硬件采用模块化设计，由以下几个模块构成：

1.处理器模块，用于实现包过滤功能与数据加密的计算，实现执行防火墙安全策略的功能。

2.存储模块，用来存储安全策略中的规则集，以及提供程序运行的内存空间。

3.数据接口模块，用于接受与发送从网络到嵌入式系统的数据包

4.调试电路模块，是开发平台和用户界面的通道，实现防火墙系统的调试

5.外围电路模块，包括电源电路，晶振电路和复位电路3部分。

智能家电防火墙的软件结构：由于嵌入式系统往往存在存储器小，运算能力相对较差的特点，因此在设计防火墙时需要考虑到这些因素。嵌入式系统防火墙的模块组成部分为4个模块，分别为bootloader,嵌入式操作系统，网络接口驱动和规则判决程序。以嵌入式操作系统为核心，bootloader负责硬件的初始化，网络接口驱动程序实现与物理传输媒介的交互，规则判决程序实现防火墙的各种功能。图8为这4个模块的信息交互结构图。

1bootloader初始化硬件设备，建立内存空间的映射图，为最终调用嵌入式系统操作内核准备正确启动的环境。

2操作系统加载驱动程序，使得防火墙能够正确的接受和发送数据包。

3由操作系统调用规则判决程序，处理接收的数据包，并返回处理结果。

4根据规则判决程序的处理结果，操作系统调用规则判决程序发送允许通过的数据包。

由于所设计的智能家电嵌入式系统防火墙具有平台无关性，我们可以选用任何一种技术平台和硬件设备作为这一防火墙的实现方式。在实际的防火墙中实现协议转换和规则的代码移植是理论转化为实际的关键步骤，这样才能在真实的设备上实现嵌入式系统的数据安全传输的能力。

除了本文所采用的cpu+ram+flash+总线的这种最小设计方案以外，也可以采用fpga、门阵列、芯片ic设计等方式设计实现防火墙。

首先确定智能家电防火墙的硬件结构，其硬件包括有进行规则运算以及数据加密运算的cpu模块；和储存安全策略规则的ram存储模块；以及提供运行内存的flash闪存模块；供电模块；还有最重要的与嵌入式系统进行数据交互的数据接口模块。其中防火墙的数据接口可以采用串行通信接口，如uart、spi、usb、jtag接口等，也可以采用并行数据接口，如spp或者epp接口。以满足不同嵌入式系统的不同需要。其硬件结构如图9。

在嵌入式系统中引入防火墙的安全机制接口的概念，其数据报文处理流程如下所示。

1.在嵌入式系统运行内核中注册一安全机制接口，安全机制接口与实际的网络接口一一对应。

2.在路由表中增加指向防火墙安全机制接口的入口，使所有输入输出的数据包直接送往安全处理机制接口。

3.将分组封装处理程序放在安全处理机制(即防火墙)里，从而使得不必修改ip的源码，防火墙安全治理机制中的模块包括：策略数据库spd的查询，规则的选择以及分组的封装处理(加密和认证)。

4.最后的数据包送往嵌入式系统的数据接口，实现了安全通信。

以上所述仅是本发明的优选实施方式，应当指出：对于本技术领域的普通技术人员来说，在不脱离本发明原理的前提下，还可以做出若干改进和润饰，这些改进和润饰也应视为本发明的保护范围。