深度包檢測(cè)技術(shù)(deep packet inspection,DPI)是一種基于應(yīng)用層的流量檢測(cè)和控制技術(shù),當(dāng)IP數(shù)據(jù)包�����、TCP或UDP數(shù)據(jù)流通過基于DPI技術(shù)的帶寬管理系統(tǒng)時(shí),該系統(tǒng)通過深入讀取IP包載荷的內(nèi)容來對(duì)OSI七層協(xié)議中的應(yīng)用層信息進(jìn)行重組�����,從而得到整個(gè)應(yīng)用程序的內(nèi)容��,然后按照系統(tǒng)定義的管理策略對(duì)流量進(jìn)行整形操作�。思科和羅克韋爾[3]自動(dòng)化聯(lián)手開發(fā)了一項(xiàng)符合工業(yè)安全應(yīng)用規(guī)范的深度數(shù)據(jù)包檢測(cè) (DPI) 技術(shù)。采用 DPI 技術(shù)的工業(yè)防火墻有效擴(kuò)展了車間網(wǎng)絡(luò)情況的可見性�。它支持通信模式的記錄��,可在一系列安全策略的保護(hù)之下提供決策制定所需的重要信息�。用戶可以記錄任意網(wǎng)絡(luò)連接或協(xié)議(比如 EtherNet/IP)中的數(shù)據(jù)���,包括通信數(shù)據(jù)的來源、目標(biāo)以及相關(guān)應(yīng)用程序���。在全廠融合以太網(wǎng) (CPwE) 架構(gòu)中的工業(yè)區(qū)域和單元區(qū)域之間,采用 DPI 技術(shù)的車間應(yīng)用程序能夠指示防火墻拒絕某個(gè)控制器的固件下載。這樣可防止濫用固件����,有助于保護(hù)運(yùn)營(yíng)的完整性��。只有授權(quán)用戶才能執(zhí)行下載操作����。防火墻對(duì)應(yīng)的物聯(lián)網(wǎng)安全需求:攻擊檢測(cè)和防御���。物聯(lián)網(wǎng)環(huán)境中�����,存在很小并且通常很關(guān)鍵的設(shè)備接入網(wǎng)絡(luò),這些設(shè)備由8位的MCU控制�。由于資源受限,對(duì)于這些設(shè)備的安全實(shí)現(xiàn)非常有挑戰(zhàn)����。這些設(shè)備通常會(huì)實(shí)現(xiàn)TCP/IP協(xié)議棧,使用Internet來進(jìn)行報(bào)告�、配置和控制功能�。由于資源和成本方面的考慮�,除密碼認(rèn)證外,許多使用8位MCU的設(shè)備并不支持其他的安全功能。Zilog[4]和Icon Labs[5]聯(lián)合推出了使用8位MCU的設(shè)備的安全解決方案���。Zilog提供MCU,Icon Labs將Floodgate防火墻[6]集成到MCU中����,提供基于規(guī)則的過濾,SPI(Stateful Packet Inspection)和基于門限的過濾(threshold-based filtering)�。防火墻控制嵌入式系統(tǒng)處理的數(shù)據(jù)包���,鎖定非法登錄嘗試、拒絕服務(wù)攻擊�、packet floods�����、端口掃描和其他常見的網(wǎng)絡(luò)威脅����。[1] http://www.leiphone.com/news/201605/yi85tcbQlReaA0cy.html[2] http://china.safenet-inc.com/webback/UploadFile/DownloadDoc/46825c79-0829-46d1-acdd-03cf7de742 8d.pdf[3] http://www.automation.com/automation-news/industry/rockwell-and-cisco-developing-dpi-technology-for- enhanced-security[4] http://www.zilog.com/[5] http://www.iconlabs.com/[6] http://www.iconlabs.com/prod/products/device-protection/floodgate-firewall3、新技術(shù)的探索區(qū)塊鏈對(duì)應(yīng)的物聯(lián)網(wǎng)安全需求:認(rèn)證區(qū)塊鏈(Blockchain �����,BC)[1]是指通過去中心化和去信任的方式集體維護(hù)一個(gè)可靠數(shù)據(jù)庫(kù)的技術(shù)方案�����。該技術(shù)方案主要讓參與系統(tǒng)中的任意多個(gè)節(jié)點(diǎn),通過一串使用密碼學(xué)方法相關(guān)聯(lián)產(chǎn)生的數(shù)據(jù)塊(block),每個(gè)數(shù)據(jù)塊中包含了一定時(shí)間內(nèi)的系統(tǒng)全部信息交流數(shù)據(jù)�,并且生成數(shù)據(jù)指紋用于驗(yàn)證其信息的有效性和鏈接(chain)下一個(gè)數(shù)據(jù)庫(kù)塊�。結(jié)合區(qū)塊鏈的定義���,需要有這幾個(gè)特征:去中心化(Decentralized)、去信任(Trustless)����、集體維護(hù)(Collectively maintain)��、可靠數(shù)據(jù)庫(kù)(Reliable Database)����、開源性�����、匿名性�����。區(qū)塊鏈解決的核心問題不是“數(shù)字貨幣”�����,而是在信息不對(duì)稱��、不確定的環(huán)境下�,如何建立滿足經(jīng)濟(jì)活動(dòng)賴以發(fā)生����、發(fā)展的“信任”生態(tài)體系。這在物聯(lián)網(wǎng)上是一個(gè)道理�����,所有日常家居物件都能自發(fā)�����、自動(dòng)地與其它物件、或外界世界進(jìn)行互動(dòng)��,但是必須解決物聯(lián)網(wǎng)設(shè)備之間的信任問題����。 8/12 首頁(yè) 上一頁(yè) 6 7 8 9 10 11 下一頁(yè) 尾頁(yè)
