100Mbps Ethernet MicroFirewall

設計目標

問題分析

網路攝像頭(IP camera)、網絡音響(Smart Speaker)等聯網設備(IOT devices)面臨的安全挑戰是:

解決思路

  1. 使用內置MAC+PHY的SOC單片機。從底層用最小代碼寫網路包處理常式。
  2. 使用兩片內置MAC+PHY的單片機,中間通過SPI通訊,傳遞TCP/IP資料包。
  3. 把不屬於傳遞到目標伺服器的包,和不來自目標伺服器的包都過濾掉。
  4. SPI中間可以使用模組式插入加密模組,只有在伺服器端才能解密,這樣沒有通過這個加密解密硬體模組的資料包無法通過。

原型機實現

  1. 尋找內置MAC和PHY的晶片:CH563晶片是蘇州沁恒公司生產的一款內置100Mbps乙太網網卡的晶片,已經在大量使用。其SPI可以達到50Mbps的速度。滿足視頻應用(用於實驗的海康威視攝像頭只有1Mbps要求)
  2. 使用CH563的開發板,拼接成為一個實驗原型機。

上圖中

  1. 最左邊是海康的監控攝像頭,其通過網口(白色)將信號輸出。一般的,這個網口直接連接到路由器,上網。
  2. 這裡,可以看到,通過一根黃色網線,連接到CH563的開發板(圖中藍色板子,上邊那一塊)網口。
  3. 處理器將網路資料包過濾後,通過SPI通訊線(圖中紅黃杜邦線),將資料包傳遞給下方的CH563開發板。CH563晶片SPI可以到50Mbps的速度。
  4. 第二個CH563在SPI匯流排接收到資料後,將資料包通過網口傳遞給互聯網。
  5. 圖中最右是一個用交換機晶片做成的網路資料包嗅探器,用來顯示資料包的過濾情況。

模塊化加密

使用模組化方式增加加密模組,使得在控制中心可以驗證確實是某個硬體發出的包。即在SPI通訊中間增加模組化的加密功能硬體,構成如下類似的結構:

市場

ToDo

  1. 研發針對4G,5G的物聯網安全模塊
  2. 針對互聯網公司推出的物聯網硬件給出應對方案。(比如:亞馬遜、谷歌的聯網音響是否有收集用戶隱私)
  3. 中心型監控系統的命令數據流確認硬件
  4. 諜報級別數據流保密通訊硬件
  5. 網絡流量導流與分析硬件

回首页