本實(shí)用新型涉及數(shù)據(jù)隔離領(lǐng)域����,特別地�,涉及一種基于FPGA數(shù)據(jù)隔離物理卡。
背景技術(shù):
近年來�����,針對電力控制系統(tǒng)的攻擊數(shù)量逐年遞增���,攻擊手段更加復(fù)雜��,由于工控系統(tǒng)較為明顯的脆弱性���,讓電力系統(tǒng)原有的重物理隔離�����、輕訪問控制過濾的信息安全防御原則遭遇重大挑戰(zhàn)�����,同時電力系統(tǒng)實(shí)時性優(yōu)先��、業(yè)務(wù)連續(xù)性有現(xiàn)實(shí)的經(jīng)濟(jì)利益也使得傳統(tǒng)信息安全手段難以在工控領(lǐng)域?qū)嵤?/p>
另外���,目前在我國網(wǎng)絡(luò)入侵防御產(chǎn)品種類較多,價格昂貴����、部署專業(yè)化程度高、對使用者的專業(yè)知識要求高����,其大部分功能又未針對電力系統(tǒng)的特點(diǎn)而研制。因此���,需要根據(jù)具體需要而研制具體的數(shù)據(jù)隔離卡�����,從而使得相應(yīng)領(lǐng)域的應(yīng)用相應(yīng)的數(shù)據(jù)隔離卡����,使隔離數(shù)據(jù)更加安全����,也使得安裝和使用更加簡單。針對上述原因�����,需要研制基于FPGA技術(shù)的融合電力以太網(wǎng)通信技術(shù)與入侵防御技術(shù)的物理卡產(chǎn)品�����。
技術(shù)實(shí)現(xiàn)要素:
本實(shí)用新型目的在于提供一種基于FPGA數(shù)據(jù)隔離物理卡�����,以解決現(xiàn)有電力控制系統(tǒng)的數(shù)量隔離性能比較脆弱的技術(shù)問題����。
為實(shí)現(xiàn)上述目的�,本實(shí)用新型提供了一種基于FPGA數(shù)據(jù)隔離物理卡��,包括數(shù)據(jù)隔離卡Ⅰ�����、數(shù)據(jù)隔離卡Ⅱ�����、仲裁卡��、存儲器Ⅱ���、存儲器Ⅰ���、主板Ⅱ和主板Ⅰ;所述存儲器Ⅱ與數(shù)據(jù)隔離卡Ⅱ連接����;所述數(shù)據(jù)隔離卡Ⅱ分別與主板Ⅱ、仲裁卡和數(shù)據(jù)隔離卡Ⅰ連接;所述存儲器Ⅰ與數(shù)據(jù)隔離卡Ⅰ連接���;所述數(shù)據(jù)隔離卡Ⅰ分別與主板Ⅰ和仲裁卡連接�����;
所述數(shù)據(jù)隔離卡Ⅰ包括雙路數(shù)據(jù)通道開關(guān)Ⅰ、仲裁申請控制邏輯電路Ⅰ���、主板接口Ⅰ和單路數(shù)據(jù)通道開關(guān)Ⅰ����;所述雙路數(shù)據(jù)通道開關(guān)Ⅰ一端與存儲器Ⅰ連接���,另一端與數(shù)據(jù)隔離卡Ⅱ連接�����;所述仲裁申請控制邏輯電路Ⅰ一端與仲裁卡連接���,另一端與主板接口Ⅰ連接;所述單路數(shù)據(jù)通道開關(guān)Ⅰ一端與存儲器Ⅰ連接�,另一端與主板接口Ⅰ連接;所述主板接口Ⅰ與主板Ⅰ連接;
所述數(shù)據(jù)隔離卡Ⅱ包括單路數(shù)據(jù)通道開關(guān)Ⅱ����、主板接口Ⅱ、仲裁申請控制邏輯電路Ⅱ和雙路數(shù)據(jù)通道開關(guān)Ⅱ���;所述單路數(shù)據(jù)通道開關(guān)Ⅱ一端與存儲器Ⅱ連接����,另一端與主板接口Ⅱ連接���;所述雙路數(shù)據(jù)通道開關(guān)Ⅱ一端與存儲器Ⅱ連接��,另一端與數(shù)據(jù)隔離卡Ⅰ中的雙路數(shù)據(jù)通道開關(guān)Ⅰ連接�;所述仲裁申請控制邏輯電路Ⅱ一端與仲裁卡連接�,另一端與主板接口Ⅱ連接;所述主板接口Ⅱ與主板Ⅱ連接�;
所述仲裁卡包括仲裁控制邏輯電路;所述仲裁控制邏輯電路通過雙導(dǎo)線分別與雙路數(shù)據(jù)通道開關(guān)Ⅰ和雙路數(shù)據(jù)通道開關(guān)Ⅱ連接��。
上述方案中�����,優(yōu)選的是主板Ⅱ和主板Ⅰ均為FPGA模塊,F(xiàn)PGA模塊主要包括FPGA芯片邊作為處理器����,F(xiàn)PGA芯片中使用數(shù)據(jù)捕獲和數(shù)據(jù)過濾方法對輸入輸出數(shù)據(jù)進(jìn)行檢測和過濾。
上述方案中��,優(yōu)選的是數(shù)據(jù)捕獲和數(shù)據(jù)過濾方法結(jié)合現(xiàn)有的電力工業(yè)以太網(wǎng)常用的工業(yè)協(xié)議進(jìn)行對輸入輸出數(shù)據(jù)級的二次過濾��。
上述方案中�����,優(yōu)選的是電力工業(yè)以太網(wǎng)常用的工業(yè)協(xié)議為電力工業(yè)以太網(wǎng)交換機(jī)技術(shù)規(guī)范DL/T 1241-2013�。
上述方案中���,優(yōu)選的是主板接口Ⅰ和主板接口Ⅱ均為PCIE接口��,所述PCIE接口用于實(shí)現(xiàn)數(shù)據(jù)雙工通信�。
上述方案中����,優(yōu)選的是存儲器Ⅱ和存儲器Ⅰ均為DDR數(shù)據(jù)存儲器。
本實(shí)用新型具有以下有益效果:
1����、本實(shí)用新型中主板Ⅱ和主板Ⅰ均為FPGA模塊��,F(xiàn)PGA模塊主要包括FPGA芯片邊作為處理器�,F(xiàn)PGA芯片中使用數(shù)據(jù)捕獲和數(shù)據(jù)過濾方法對輸入輸出數(shù)據(jù)進(jìn)行檢測和過濾�����;數(shù)據(jù)捕獲和數(shù)據(jù)過濾方法結(jié)合現(xiàn)有的電力工業(yè)以太網(wǎng)常用的工業(yè)協(xié)議進(jìn)行對輸入輸出數(shù)據(jù)級的二次過濾��,從而使得數(shù)據(jù)過濾更加安全���;
2���、本實(shí)用新型采用硬件開關(guān)進(jìn)行數(shù)據(jù)傳輸通道選擇,并且PCIE數(shù)據(jù)傳輸和光纖數(shù)據(jù)傳輸分時進(jìn)行���,并在同一時間只能有一個傳輸�,從而使得數(shù)據(jù)傳輸更安全�;
3、本實(shí)用新型中仲裁卡實(shí)現(xiàn)仲裁邏輯控制�,保證隔離卡的申請完整響應(yīng),并可處理在A卡和B卡同時申請時�����,優(yōu)先處理A卡;單個隔離卡上的光纖收發(fā)數(shù)據(jù)����,在同一時間只能接收數(shù)據(jù)或發(fā)送數(shù)據(jù)。
除了上面所描述的目的���、特征和優(yōu)點(diǎn)之外�����,本實(shí)用新型還有其它的目的�、特征和優(yōu)點(diǎn)��。下面將參照圖���,對本實(shí)用新型作進(jìn)一步詳細(xì)的說明。
附圖說明
構(gòu)成本申請的一部分的附圖用來提供對本實(shí)用新型的進(jìn)一步理解�����,本實(shí)用新型的示意性實(shí)施例及其說明用于解釋本實(shí)用新型�,并不構(gòu)成對本實(shí)用新型的不當(dāng)限定���。在附圖中:
圖1是本實(shí)用新型優(yōu)選實(shí)施例的結(jié)構(gòu)框圖。
圖例說明:
A����、數(shù)據(jù)隔離卡Ⅰ;B�����、數(shù)據(jù)隔離卡Ⅱ���;C�����、仲裁卡�;1����、存儲器Ⅱ;2��、單路數(shù)據(jù)通道開關(guān)Ⅱ���;3�����、主板接口Ⅱ�����;4�、主板Ⅱ;5�����、仲裁申請控制邏輯電路Ⅱ�;6、雙路數(shù)據(jù)通道開關(guān)Ⅱ�����;7��、仲裁控制邏輯電路�����;8�、雙路數(shù)據(jù)通道開關(guān)Ⅰ;9����、仲裁申請控制邏輯電路Ⅰ;10�����、主板Ⅰ��;11��、主板接口Ⅰ����;12、單路數(shù)據(jù)通道開關(guān)Ⅰ�;13、存儲器Ⅰ����。
具體實(shí)施方式
以下結(jié)合附圖對本實(shí)用新型的實(shí)施例進(jìn)行詳細(xì)說明,但是本實(shí)用新型可以根據(jù)權(quán)利要求限定和覆蓋的多種不同方式實(shí)施����。
一種基于FPGA數(shù)據(jù)隔離物理卡�,如圖1所示�,包括數(shù)據(jù)隔離卡ⅠA、數(shù)據(jù)隔離卡ⅡB��、仲裁卡C���、存儲器Ⅱ1���、存儲器Ⅰ13、主板Ⅱ4和主板Ⅰ10����。存儲器Ⅱ1與數(shù)據(jù)隔離卡ⅡB連接,數(shù)據(jù)隔離卡ⅡB為存儲器Ⅱ1的數(shù)據(jù)傳輸?shù)墓δ芨綦x卡�。存儲器Ⅱ1主要對外部網(wǎng)絡(luò)傳入的數(shù)據(jù)進(jìn)行零時的存儲。數(shù)據(jù)隔離卡ⅡB分別與主板Ⅱ4��、仲裁卡C和數(shù)據(jù)隔離卡ⅠA連接�����,主板Ⅱ4主要對從外部網(wǎng)傳入的數(shù)據(jù)或指令進(jìn)行檢測和過濾���,并當(dāng)檢測結(jié)果為安全時��,通知仲裁卡C進(jìn)行對傳入的數(shù)據(jù)放行�����,再進(jìn)一步傳到數(shù)據(jù)隔離卡ⅠA上����。存儲器Ⅰ13與數(shù)據(jù)隔離卡ⅠA連接���,存儲器Ⅰ13對內(nèi)網(wǎng)需要傳出的數(shù)據(jù)或指令進(jìn)行零時存儲�����,數(shù)據(jù)隔離卡ⅠA為存儲器Ⅰ13的數(shù)據(jù)傳輸?shù)墓δ芨綦x卡�。數(shù)據(jù)隔離卡ⅠA分別與主板Ⅰ10和仲裁卡C連接����,主板Ⅰ10對內(nèi)網(wǎng)需要傳出的數(shù)據(jù),進(jìn)行檢測和過濾�����。并當(dāng)檢測結(jié)果為安全時,通知仲裁卡C進(jìn)行對傳入的數(shù)據(jù)放行����,再進(jìn)一步傳到數(shù)據(jù)隔離卡ⅡB上。
存儲器Ⅱ1和存儲器Ⅰ13均為DDR數(shù)據(jù)存儲器���,DDR數(shù)據(jù)存儲器具有存儲數(shù)據(jù)速度快��,并且使用壽命長等優(yōu)點(diǎn)�����。
主板Ⅱ4和主板Ⅰ10均為FPGA模塊����,F(xiàn)PGA模塊主要包括FPGA芯片邊作為處理器����,F(xiàn)PGA芯片中使用數(shù)據(jù)捕獲和數(shù)據(jù)過濾方法對輸入輸出數(shù)據(jù)進(jìn)行檢測和過濾。數(shù)據(jù)捕獲和數(shù)據(jù)過濾方法結(jié)合現(xiàn)有的電力工業(yè)以太網(wǎng)常用的工業(yè)協(xié)議進(jìn)行對輸入輸出數(shù)據(jù)級的二次過濾����,從而使得數(shù)據(jù)隔離更加安全�。電力工業(yè)以太網(wǎng)常用的工業(yè)協(xié)議為電力工業(yè)以太網(wǎng)交換機(jī)技術(shù)規(guī)范DL/T 1241-2013���,也可以為其他的常見的電力工業(yè)以太網(wǎng)常用的工業(yè)協(xié)議,根據(jù)不同電力控制系統(tǒng)使用不同的協(xié)議��。
如圖1所示�,數(shù)據(jù)隔離卡ⅠA包括雙路數(shù)據(jù)通道開關(guān)Ⅰ8、仲裁申請控制邏輯電路Ⅰ9�����、主板接口Ⅰ11和單路數(shù)據(jù)通道開關(guān)Ⅰ12�。雙路數(shù)據(jù)通道開關(guān)Ⅰ8一端與存儲器Ⅰ13連接,雙路數(shù)據(jù)通道開關(guān)Ⅰ8主要接受從內(nèi)網(wǎng)傳輸?shù)臄?shù)據(jù)在存儲器Ⅰ13零時存儲后經(jīng)雙路數(shù)據(jù)通道開關(guān)Ⅰ8傳出到數(shù)據(jù)隔離卡ⅡB中�����。數(shù)據(jù)隔離卡ⅡB的另一端與數(shù)據(jù)隔離卡ⅡB連接�����,主要實(shí)現(xiàn)數(shù)據(jù)的傳輸��,雙路數(shù)據(jù)通道開關(guān)Ⅰ8只能實(shí)現(xiàn)數(shù)據(jù)的發(fā)送或接收�����,不能同時接收數(shù)據(jù)有發(fā)送數(shù)據(jù),主要起到關(guān)卡的作用����,受到仲裁卡C的控制。仲裁申請控制邏輯電路Ⅰ9一端與仲裁卡C連接�,仲裁申請控制邏輯電路Ⅰ9接收主板接口Ⅰ11傳入的數(shù)據(jù)檢測和過濾結(jié)果,并根據(jù)結(jié)果進(jìn)行控制雙路數(shù)據(jù)通道開關(guān)Ⅰ8開啟或關(guān)閉�����。仲裁申請控制邏輯電路Ⅰ9的另一端與主板接口Ⅰ11連接����,接收主板接口Ⅰ11傳出的結(jié)果數(shù)據(jù)。單路數(shù)據(jù)通道開關(guān)Ⅰ12一端與存儲器Ⅰ13連接�����,另一端與主板接口Ⅰ1連接�。當(dāng)存儲器Ⅰ13有內(nèi)網(wǎng)數(shù)據(jù)存儲時,單路數(shù)據(jù)通道開關(guān)Ⅰ12打開并經(jīng)過主板接口Ⅰ11傳給主板Ⅰ10檢測和過濾����。主板接口Ⅰ11與主板Ⅰ10連接���,主板接口Ⅰ11為PCIE接口,實(shí)現(xiàn)主板Ⅰ10的雙工通信�。
如圖1所示,數(shù)據(jù)隔離卡ⅡB包括單路數(shù)據(jù)通道開關(guān)Ⅱ2��、主板接口Ⅱ3�、仲裁申請控制邏輯電路Ⅱ5和雙路數(shù)據(jù)通道開關(guān)Ⅱ6�。單路數(shù)據(jù)通道開關(guān)Ⅱ2一端與存儲器Ⅱ1連接,另一端與主板接口Ⅱ3連接��。當(dāng)存儲器Ⅱ1有內(nèi)網(wǎng)數(shù)據(jù)存儲時����,單路數(shù)據(jù)通道開關(guān)Ⅱ2打開并經(jīng)過主板接口Ⅱ3傳給主板Ⅱ4檢測和過濾。雙路數(shù)據(jù)通道開關(guān)Ⅱ6一端與存儲器Ⅱ1連接�,另一端與數(shù)據(jù)隔離卡ⅠA中的雙路數(shù)據(jù)通道開關(guān)Ⅰ8連接。雙路數(shù)據(jù)通道開關(guān)Ⅱ6用于接收仲裁卡C傳入的控制指令進(jìn)行開啟或關(guān)閉����,并用于接收數(shù)據(jù)隔離卡ⅠA傳輸?shù)臄?shù)據(jù)傳給存儲器Ⅱ1,同時接收存儲器Ⅱ1傳來的數(shù)據(jù)進(jìn)一步傳給數(shù)據(jù)隔離卡ⅠA��。仲裁申請控制邏輯電路Ⅱ5一端與仲裁卡C連接��,另一端與主板接口Ⅱ3連接。仲裁申請控制邏輯電路Ⅱ5接收主板接口Ⅱ3傳入的數(shù)據(jù)檢測結(jié)果并傳給仲裁卡C���。主板接口Ⅱ3與主板Ⅱ4連接���,主板接口Ⅱ3為PCIE接口,實(shí)現(xiàn)主板Ⅰ10的雙工通信�。
所述仲裁卡C包括仲裁控制邏輯電路7。仲裁控制邏輯電路7通過雙導(dǎo)線分別與雙路數(shù)據(jù)通道開關(guān)Ⅰ8和雙路數(shù)據(jù)通道開關(guān)Ⅱ6連接���。仲裁控制邏輯電路7主要起到控制開關(guān)的作用���,用于控制雙路數(shù)據(jù)通道開關(guān)Ⅱ6和雙路數(shù)據(jù)通道開關(guān)Ⅰ8的開啟和關(guān)閉。
本實(shí)用新型的工作原理:
如圖1所示�����,當(dāng)外網(wǎng)有數(shù)據(jù)傳進(jìn)時��,外網(wǎng)數(shù)據(jù)零時存儲在存儲器Ⅱ1中��,存儲器Ⅱ1通知單路數(shù)據(jù)通道開關(guān)Ⅱ2打開并把外網(wǎng)數(shù)據(jù)經(jīng)過主板接口Ⅱ3傳給主板Ⅱ4�,主板Ⅱ4對外網(wǎng)數(shù)據(jù)進(jìn)行據(jù)捕獲和數(shù)據(jù)過濾,最后把檢測結(jié)果進(jìn)過主板接口Ⅱ3傳給仲裁申請控制邏輯電路Ⅱ5�,仲裁申請控制邏輯電路Ⅱ5再向仲裁控制邏輯電路7進(jìn)行申請���,仲裁控制邏輯電路7根據(jù)檢測的結(jié)果數(shù)據(jù)進(jìn)行控制;當(dāng)結(jié)果數(shù)據(jù)合格時���,仲裁控制邏輯電路7控制雙路數(shù)據(jù)通道開關(guān)Ⅱ6發(fā)送模式��,雙路數(shù)據(jù)通道開關(guān)Ⅰ8接收模式����,數(shù)據(jù)從存儲器Ⅱ1經(jīng)雙路數(shù)據(jù)通道開關(guān)Ⅱ6和雙路數(shù)據(jù)通道開關(guān)Ⅰ8到達(dá)存儲器Ⅰ13進(jìn)入內(nèi)網(wǎng)��,完成數(shù)據(jù)從外網(wǎng)到內(nèi)網(wǎng)的數(shù)據(jù)隔離傳輸����。
當(dāng)內(nèi)網(wǎng)有數(shù)據(jù)傳進(jìn)時�����,內(nèi)網(wǎng)數(shù)據(jù)零時存儲在存儲器Ⅰ13中��,存儲器Ⅰ13通知單路數(shù)據(jù)通道開關(guān)Ⅰ12打開并把內(nèi)網(wǎng)數(shù)據(jù)經(jīng)過主板接口Ⅰ11傳給主板Ⅰ10����,主板Ⅰ10對內(nèi)網(wǎng)數(shù)據(jù)進(jìn)行據(jù)捕獲和數(shù)據(jù)過濾�,最后把檢測結(jié)果進(jìn)過主板接口Ⅰ11傳給仲裁申請控制邏輯電路Ⅰ9���,仲裁申請控制邏輯電路Ⅰ9再向仲裁控制邏輯電路7進(jìn)行申請��,仲裁控制邏輯電路7根據(jù)檢測的結(jié)果數(shù)據(jù)進(jìn)行控制�;當(dāng)結(jié)果數(shù)據(jù)合格時��,仲裁控制邏輯電路7控制雙路數(shù)據(jù)通道開關(guān)Ⅰ8發(fā)送模式��,雙路數(shù)據(jù)通道開關(guān)Ⅱ6接收模式���,數(shù)據(jù)從存儲器Ⅰ13經(jīng)雙路數(shù)據(jù)通道開關(guān)Ⅰ8和雙路數(shù)據(jù)通道開關(guān)Ⅱ6到達(dá)存儲器Ⅱ1進(jìn)入外網(wǎng)���,完成數(shù)據(jù)從內(nèi)網(wǎng)到外網(wǎng)的數(shù)據(jù)隔離傳輸。
以上所述僅為本實(shí)用新型的優(yōu)選實(shí)施例而已���,并不用于限制本實(shí)用新型�����,對于本領(lǐng)域的技術(shù)人員來說�����,本實(shí)用新型可以有各種更改和變化��。凡在本實(shí)用新型的精神和原則之內(nèi)����,所作的任何修改、等同替換���、改進(jìn)等����,均應(yīng)包含在本實(shí)用新型的保護(hù)范圍之內(nèi)����。