嵌入系统总线防火墙技术方案

本发明专利技术一种嵌入系统总线防火墙，该防火墙是在嵌入式处理器接口总线与其外设接口之间串联进一个利用ＦＰＧＡ逻辑集成技术实现的总线ＩＰ核，实施对嵌入系统关键端口指令的实时监控，采用正向规则映射方法识别正常端口指令并拦截异常端口指令；该总线ＩＰ核分为三层组织架构；由总线适配接口、设在防火层内的总线防火墙和标准总线接口组成；该总线防火墙的功能是由嵌在ＩＰ核防火层内的总线防火墙中的专用功能模块实现，该专用功能模块包括有：工作模式选择模块、直通模式模块、过滤模式模块、规则学习模块、总线监控模块、信号缓冲模块、状态编码模块、检测状态机模块；总线防火墙内部和总线信息相关的信号相互连接。

【技术实现步骤摘要】

本专利技术一种嵌入系统总线防火墙，涉及一种对嵌入式计算机系统数字信息传输进行监控 的总线防火墙，特别涉及一种对嵌入式计算机系统接口总线上的信息传送进行监控，实现嵌 入系统安全防护的总线防火墙，属于计算机
(二) 背彔技术伴随网络技术和无线通讯技术发展，嵌入系统应用不断拓展其广度和深度，上至卫星遥 控变轨，下至数字化家庭网络的实现，嵌入系统展现出参与无线通讯和网络化变革的蓬勃活 力。与此同时，嵌入系统的安全问题浮出水面，这些问题往往可能导致重大经济损失或人身 伤害，例如卫星策反、自动取款机失窃、汽车自动驾驶仪失控、智能家电泄露家居信息等。目前，嵌入系统的安全机制主要建立在针对环境干扰或软/硬件自身运行故障的防护体系 上，技术措施有看门狗复位、部件冗余等。 一旦嵌入系统通过无线通讯或接入网络与外界进 行联系，这种封闭性、内向型的安全机制很难应对恶意入侵的威胁。由于存储空间容量有限， 嵌入系统只能有限使用通用计算机领域取得的入侵检测、防火过滤等技术成果，依赖外层协 议防护建立的嵌入系统安防体系存在易被击破、检测不完备、占用系统存储空间、响应时间 慢等不足之处。(三)
技术实现思路
本专利技术提供一种嵌入系统总线防火墙，其目的是对嵌入系统接口总线信息进行监控， 在系统底层架构上阻断入侵意图实现的总线防火墙，该总线防火墙的系统安防体系不易被击 破、检测完备、占用系统存储空间少、响应时间快及保密性能好。本专利技术一种嵌入系统总线防火墙，其技术方案是在嵌入式处理器接口总线100与其外设 接口 200之间串联进一个利用FPGA(FPGA是Field Programmable Gate Array (现场可编程 门阵列)的縮写1逻辑集成技术实现的总线IP核，实施对嵌入系统关键端口指令的实时监控， 采用正向规则映射方法识别正常端口指令并拦截异常端口指令。总线IP核分为三层组织架构由总线适配接口 1、设在防火层内的总线防火墙2和标 准总线接口3组成；在防火层内设有总线防火墙2，该总线防火墙2的功能由嵌在总线防火 墙内部的专用模块实现，由工作模式选择模块5 (该工作模式选择模块包括直通模式模块11 和过滤模式模块12)、规则学习模块6、总线监控模块7、信号缓冲模块8、状态编码模块9、检测状态机模块10组成；总线防火墙2对外端口连接情况如下-总线适配接口 1实现将嵌入式处理器接口总线信号传递到总线防火墙2对应端口，该总 线适配接口 l是一个开放接口，可根据具体情况定义；现将本专利技术定义情况叙述如下以大 多数嵌入式处理器接口总线共有的总线复位信号、端口读信号、端口写信号、外设访问有效 信号、地址总线、数据总线、中断信号作为总线适配接口 1的传递信号。为配合总线防火墙 2的工作，总线适配接口 1还向总线防火墙2提供一个外部时钟信号(由外加晶振实现)和 一个主机读写规则库允许信号(由外部跳线实现)。相应地，总线防火墙2包括如下和总线适 配接口l的连接端口总线适配接口复位信号连接端口31、总线适配接口外设访问有效信号 连接端口 32、总线适配接口读信号连接端口 33、总线适配接口写信号连接端口 34、总线适 配接口数据总线连接端口 35、总线适配接口地址总线连接端口 36、总线适配接口主机读写规 则库允许信号连接端口 37、总线适配接口外部时钟信号连接端口 38、总线适配接口系统中断 信号连接端口 39;其中，端口 31、端口 32、端口 33、端口 34、端口 35、端口 36和工作模 式选择模块5、规则学习模块6连接；端口 38提供时钟信号16,该时钟信号16输入信号缓 冲模块8和检测状态机模块10;端口37和规则学习模块6连接。端口39接收系统中断信号 13,和检测状态机模块IO连接；标准总线接口 3实现将总线防火墙2处理后的总线信号传递至外设接口，和总线适配接 口l类似，该外设接口也是一个开放接口，根据具体需求定义；与前述总线适配接口l端口 定义类似，本专利技术所述的总线防火墙2包括如下和标准总线接口3的连接端口标准总线接 口复位信号连接端口 40、标准总线接口外设访问有效信号连接端口 41、标准总线接口读信号 连接端口 42、标准总线接口写信号连接端口 43、标准总线接口地址总线连接端口 44、标准 总线接口数据总线连接端口 45;上述端口分别和工作模式选择模块5、信号缓冲模块8对应 端连接；规则库4用以存储总线防火墙2的规则，由外扩存储器实现；总线防火墙2包括如下和 规则库4的连接端口规则库存储器写信号连接端口 46、规则库存储器读信号连接端口47、 规则库存储器1片选信号连接端口 48、规则库存储器片选信号连接端口 49、规则库存储器地 址总线连接端口50、规则库存储器数据总线连接端口51,上述端口和规则学习模块6连接；总线防火墙2内部和总线信息相关的信号连接情况如下-受监控复位信号52、受监控外设访问有效信号53、受监控读信号54、受监控写信号55、 受监控地址总线信号56、受监控数据总线信号57:由工作模式选择模块5输出到总线监控模 块7;缓冲复位信号58、缓冲外设访问有效信号59、缓冲读信号60、缓冲写信号61、缓冲地址总线信号62、缓冲数据总线信号63:由总线监控模块7输出到信号缓冲模块8;编码复位信号64、编码外设访问有效信号65、编码读信号66、编码写信号67、编码地 址总线信号68、编码数据总线信号69:由信号缓冲模块8输出到状态编码模块9;指令类别状态编码28、端口地址状态编码29、操作数状态编码30:由状态编码模块9 输出到检测状态机模块10;规则特征码23、指令类别规则24、端口地址规则25、操作数上限规则26、操作数下限 规则27:由规则学习模块6输出到检测状态机模块10;总线防火墙2内部各模块握手信号连接情况如下工作模式选择信号15 (1表示过滤模式，0表示直通模式)由总线监控模块7输出， 输入到工作模式选择模块5;信号缓冲开始读标志21 (为1时FIFO读指针复位)由检测状态机模块10输出到信号缓冲模块8;信号缓冲写信号17 (0表示写有效)由总线监控模块7输出到规则学习模块6; 信号缓冲读信号18 (0表示读有效)由检测状态机模块10输出到状态编码模块9和规则学习模块6，同时和信号缓冲模块8连接；缓冲区空标志信号19 (1表示缓冲区空、0表示缓冲区非空)由信号缓冲模块8输出 到检测状态机模块10;隔离/释放标志信号14 (1表示释放信号，0表示阻断信号)由检测状态机模块10输 出到信号缓冲模块8;检测完毕信号20 (l表示检测完毕，0表示正在检测)由检测状态机模块10输出到信 号缓冲模块8;防火墙系统复位信号22 (l表示复位)由复位模块71输出，连接到总线监控模块7、信号缓冲模块8和检测状态机模块10;规则库位置指针70:由检测状态机模块10输出到规则学习模块6。 其中，正向规则映射方法是通过总线监控模块7对嵌入系统关键端口指令进行实时监 控，经信号缓冲模块8进行缓冲处理，输出到状态编码模块9进行编码；总线状态机模块IO 从状态编码模块9中读出总线编码信号，同时调度规则学习模块6从正常指令信号规则库4中读出规则映射码，两者比较，符合时允许指令执行，不符合则阻断指令执行。其中，总线防火本文档来自技高网...

【技术保护点】
一种嵌入系统总线防火墙，其特征在于：在嵌入式处理器接口总线（１００）与其外设接口（２００）之间串联进一个利用ＦＰＧＡ逻辑集成技术实现的总线ＩＰ核，实施对嵌入系统关键端口指令的实时监控，采用正向规则映射方法识别正常端口指令并拦截异常端口指令；该总线ＩＰ核分为三层组织架构：由总线适配接口（１）、设在防火层内的总线防火墙（２）和标准总线接口（３）组成；该总线防火墙（２）的功能是由嵌在ＩＰ核防火层内的总线防火墙（２）中的专用功能模块实现，该专用功能模块包括有：工作模式 选择模块（５），该工作模式选择模块（５）中包括有直通模式模块（１１）和过滤模式模块（１２）、规则学习模块（６）、总线监控模块（７）、信号缓冲模块（８）、状态编码模块（９）、检测状态机模块（１０）；模块之间的连接关系如下：总线防火墙（ ２）包括如下和总线适配接口（１）的连接端口：总线适配接口复位信号连接端口（３１）、总线适配接口外设访问有效信号连接端口（３２）、总线适配接口读信号连接端口（３３）、总线适配接口写信号连接端口（３４）、总线适配接口数据总线连接端口（３５）、总线适配接口地址总线连接端口（３６）、总线适配接口主机读写规则库允许信号连接端口（３７）、总线适配接口外部时钟信号连接端口（３８）、总线适配接口系统中断信号连接端口（３９）；该端口（３１）、端口（３２）、端口（３３）、端口（３４）、端口（３５）、端口（３６）和工作模式选择模块（５）、规则学习模块（６）连接；端口（３８）提供时钟信号（１６），该时钟信号输入信号缓冲模块（８）和检测状态机模块（１０）；端口（３７）和规则学习模块（６）连接；端口（３９）接收系统中断信号（１３），和检测状态机模块（１０）连接；总线防火墙（２）包括如下和标准总线接口（３）的连接端口；标准总线接口复位信号连接端口（４０）、标准总线接口外设访问有效信号连接端口（４１）、标准总线接口读信号连接端口（４２）、标准总线接口写信号连接端口（４３ ）、标准总线接口地址总线连接端口（４４）、标准总线接口数据总线连接端口（４５）；上述端口分别和工作模式选择模块（５）、信号缓冲模块（８）对应端连接；总线防火墙（２）包括如下和规则库（４）的连接端口：规则库存储器写信号连接端口（４６） 、规则库存储器读信号连接端口（４７）、规则库存储器１片选信号连接端口（４８）、规则库存储器片选信号连接端口（４９）、规则库存储...

【技术特征摘要】
1.一种嵌入系统总线防火墙，其特征在于在嵌入式处理器接口总线(100)与其外设接口(200)之间串联进一个利用FPGA逻辑集成技术实现的总线IP核，实施对嵌入系统关键端口指令的实时监控，采用正向规则映射方法识别正常端口指令并拦截异常端口指令；该总线IP核分为三层组织架构由总线适配接口(1)、设在防火层内的总线防火墙(2)和标准总线接口(3)组成；该总线防火墙(2)的功能是由嵌在IP核防火层内的总线防火墙(2)中的专用功能模块实现，该专用功能模块包括有工作模式选择模块(5)，该工作模式选择模块(5)中包括有直通模式模块(11)和过滤模式模块(12)、规则学习模块(6)、总线监控模块(7)、信号缓冲模块(8)、状态编码模块(9)、检测状态机模块(10)；模块之间的连接关系如下总线防火墙(2)包括如下和总线适配接口(1)的连接端口总线适配接口复位信号连接端口(31)、总线适配接口外设访问有效信号连接端口(32)、总线适配接口读信号连接端口(33)、总线适配接口写信号连接端口(34)、总线适配接口数据总线连接端口(35)、总线适配接口地址总线连接端口(36)、总线适配接口主机读写规则库允许信号连接端口(37)、总线适配接口外部时钟信号连接端口(38)、总线适配接口系统中断信号连接端口(39)；该端口(31)、端口(32)、端口(33)、端口(34)、端口(35)、端口(36)和工作模式选择模块(5)、规则学习模块(6)连接；端口(38)提供时钟信号(16)，该时钟信号输入信号缓冲模块(8)和检测状态机模块(10)；端口(37)和规则学习模块(6)连接；端口(39)接收系统中断信号(13)，和检测状态机模块(10)连接；总线防火墙(2)包括如下和标准总线接口(3)的连接端口标准总线接口复位信号连接端口(40)、标准总线接口外设访问有效信号连接端口(41)、标准总线接口读信号连接端口(42)、标准总线接口写信号连接端口(43)、标准总线接口地址总线连接端口(44)、标准总线接口数据总线连接端口(45)；上述端口分别和工作模式选择模块(5)、信号缓冲模块(8)对应端连接；总线防火墙(2)包括如下和规则库(4)的连接端口规则库存储器写信号连接端口(46)、规则库存储器读信号连接端口(47)、规则库存储器1片选信号连接端口(48)、规则库存储器片选信号连接端口(49)、规则库存储器地址总线连接端口(50)、规则库存储器数据总线连接端口(51)；上述端口和规则学习模块(6)连接；总线防火墙(2)内部和总线信息相关的信号连接情况如下；受监控复位信号(52)、受监控外设访问有效信号(53)、受监控读信号(54)、受监控写信号(55)、受监控地址总线信号(56)、受监控数据总线信号(57)由工作模式选择模块(5)输出到总线监控模块(7)；缓冲复位信号(58)、缓冲外设访问有效信号(59)、缓冲读信号(60)、缓冲写信号(61)、缓冲地址总线信号(62)、缓冲数据总线信号(63)由总线监控模块(7)输出到信号缓冲模块(8)；编码复位信号(64)、编码外设访问有效信号(65)、编码读信号(66)、编码写信号(67)、编码地址总线信号(68)、编码数据总线信号(69)由信号缓冲模块(8)输出到状态编码模块(9)；指令类别状态编码(28)、端口地址状态编码(29)...

【专利技术属性】
技术研发人员：孟晓风，郑伟，
申请(专利权)人：北京航空航天大学，
类型：发明
国别省市：11[中国|北京]