深度包检测技术(deep packet inspection,DPI)是一种基于应用层的流量检测和控制技术,当IP数据包、TCP或UDP数据流通过基于DPI技术的带宽管理系统时,该系统通过深入读取IP包载荷的内容来对OSI七层协议中的应用层信息进行重组,从而得到整个应用程序的内容,然后按照系统定义的管理策略对流量进行整形操作。思科和罗克韦尔[3]自动化联手开发了一项符合工业安全应用规范的深度数据包检测 (DPI) 技术。采用 DPI 技术的工业防火墙有效扩展了车间网络情况的可见性。它支持通信模式的记录,可在一系列安全策略的保护之下提供决策制定所需的重要信息。用户可以记录任意网络连接或协议(比如 EtherNet/IP)中的数据,包括通信数据的来源、目标以及相关应用程序。在全厂融合以太网 (CPwE) 架构中的工业区域和单元区域之间,采用 DPI 技术的车间应用程序能够指示防火墙拒绝某个控制器的固件下载。这样可防止滥用固件,有助于保护运营的完整性。只有授权用户才能执行下载操作。防火墙对应的物联网安全需求:攻击检测和防御。物联网环境中,存在很小并且通常很关键的设备接入网络,这些设备由8位的MCU控制。由于资源受限,对于这些设备的安全实现非常有挑战。这些设备通常会实现TCP/IP协议栈,使用Internet来进行报告、配置和控制功能。由于资源和成本方面的考虑,除密码认证外,许多使用8位MCU的设备并不支持其他的安全功能。Zilog[4]和Icon Labs[5]联合推出了使用8位MCU的设备的安全解决方案。Zilog提供MCU,Icon Labs将Floodgate防火墙[6]集成到MCU中,提供基于规则的过滤,SPI(Stateful Packet Inspection)和基于门限的过滤(threshold-based filtering)。防火墙控制嵌入式系统处理的数据包,锁定非法登录尝试、拒绝服务攻击、packet floods、端口扫描和其他常见的网络威胁。[1] http://www.leiphone.com/news/201605/yi85tcbQlReaA0cy.html[2] http://china.safenet-inc.com/webback/UploadFile/DownloadDoc/46825c79-0829-46d1-acdd-03cf7de742 8d.pdf[3] http://www.automation.com/automation-news/industry/rockwell-and-cisco-developing-dpi-technology-for- enhanced-security[4] http://www.zilog.com/[5] http://www.iconlabs.com/[6] http://www.iconlabs.com/prod/products/device-protection/floodgate-firewall3、新技术的探索区块链对应的物联网安全需求:认证区块链(Blockchain ,BC)[1]是指通过去中心化和去信任的方式集体维护一个可靠数据库的技术方案。该技术方案主要让参与系统中的任意多个节点,通过一串使用密码学方法相关联产生的数据块(block),每个数据块中包含了一定时间内的系统全部信息交流数据,并且生成数据指纹用于验证其信息的有效性和链接(chain)下一个数据库块。结合区块链的定义,需要有这几个特征:去中心化(Decentralized)、去信任(Trustless)、集体维护(Collectively maintain)、可靠数据库(Reliable Database)、开源性、匿名性。区块链解决的核心问题不是“数字货币”,而是在信息不对称、不确定的环境下,如何建立满足经济活动赖以发生、发展的“信任”生态体系。这在物联网上是一个道理,所有日常家居物件都能自发、自动地与其它物件、或外界世界进行互动,但是必须解决物联网设备之间的信任问题。 8/12 首页 上一页 6 7 8 9 10 11 下一页 尾页
