[发明专利]一种工业防火墙固件安全动态清洗方法

权利要求书

1.一种工业防火墙固件安全动态清洗方法,其特征在于：

包括如下步骤：

(1)扩展单模块工业防火墙为多模块架构：

一般单模块工业防火墙为一块工业PC主板，内嵌基本运算与存储模组，组成工业防火墙模块硬件部分，在硬件基础之上加入防火墙专用软件形成工业防火墙；扩展单模块工业防火墙为多模块架构，将单模块硬件拷贝多份；增加多块单模块硬件拷贝作为主控模块硬件，主控模块负责管理多个单模块协同工作，负责向单模块发送拓扑变换命令、新版本防火墙固件；

(2)实现多模块架构工业防火墙动态拓扑可变：

工业防火墙多模块架构的各单模块间拓扑关系为串联、并联或串并联混合，在并联和串并联混合的拓扑结构中，单模块处于工作和闲置两种状态中，主控模块只负责管理单模块，不参与多模块架构构建；实现工业防火墙多模块的串并联动态拓扑可变的技术，每个单模块安排n个以上的网口，n为单模块的数量；每个单模块的一个网口为单模块的管理端口与主控模块连接，其余n-1个端口为数据流通过端口；用网线将各模块网口连接，连接时将每个模块的一个数据流通过端口与其余模块的一个数据流通过端口相连，该连接方法可保证每个模块在物理上两两互连；

防火墙主控模块通过向各单模块管理端口发送命令，控制数据流在模块内的流向，即n-1个数据流端口中，哪几个端口的数据流通道彼此打通；该控制过程为普通防火墙的通用操作；通过调整端口间的数据联通关系，实现多模块架构动态拓扑可变；

(3)实现工业防火墙固件安全动态清洗：

当需要对工业防火墙的某模块固件进行动态清洗时，通过防火墙主控单元向各模块管理端口发送命令，调整多模块间拓扑关系，将需要清洗的模块置闲，然后对该模块固件进行动态更新，即清洗，用新的固件覆盖旧的固件；

固件动态更新过程完成后，再次动态调整模块间拓扑关系，使更新固件后的模块进入工作状态，至此某模块固件动态清洗过程完成；多模块防火墙的所有模块按此方法逐一更新各个模块，直至所有模块更新完毕。

2.如权利要求1所述的一种工业防火墙固件安全动态清洗方法，其特征在于：所述的单模块硬件拷贝份数大于四份，小于八份。

3.如权利要求1所述的一种工业防火墙固件安全动态清洗方法，其特征在于：所述的基本运算与存储模组包括CPU、内存、FLASH固态存储。

4.如权利要求1所述的一种工业防火墙固件安全动态清洗方法，其特征在于：所述的主控模块设定为三块。

5.如权利要求1所述的一种工业防火墙固件安全动态清洗方法，其特征在于：所述的防火墙固件的制作方法参考Linux系统内核模块编写方法。

6.如权利要求1所述的一种工业防火墙固件安全动态清洗方法，其特征在于：所述的用新的固件覆盖旧的固件的覆盖过程为：先由防火墙操作系统动态的卸载旧的防火墙固件模块；然后由防火墙操作系统从主控模块处获取新的防火墙固件模块，覆盖旧的防火墙固件模块；最后重启并加载新的防火墙固件模块入防火墙操作系统内核，完成固件动态更新工作；固件由主控模块通过内部网络传输给单板模块，主控模块自身有被劫持的威胁，所以主控模块的安全性需要加以验证；另一方面，单板模块也存在被攻击的威胁，主控向单板传输固件存在被窃取和破坏的威胁，单板的安全性需要加以验证、固件传输过程的安全性需要加以保护；多块主控模块向单板模块发送同一个固件更新版本；单板模块分别接收多个主控模块发送过来的更新固件，比较固件更新是否完全一致，一致则实施后续步骤；不一致，则进行择多判断，选择有多数模块发送的固件更新一致的版本进行后续步骤；如果多个模块发送的版本均不一致，则放弃本次更新；单板模块通过择多判断对主控模块发送固件的安全性进行验证；主控模块和单板模块在设备运行前约定一份共享秘密，设备运行过程中，主控模块对发送给单板模块的新版固件进行Hash链加密，单板模块只有拥有正确的共享秘密和前期的固件版本，才能正确解密新版固件并返回正确的新版固件校验码，主控模块收到正确的新版固件校验码后完成新版固件安全更新过程。