一種工業(yè)以太網(wǎng)通信數(shù)據(jù)加密透傳模塊的制作方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明屬于工業(yè)控制信息安全技術(shù)領(lǐng)域�����,特別涉及一種工業(yè)以太網(wǎng)通信數(shù)據(jù)加密透傳模塊����。
【背景技術(shù)】
[0002]以太網(wǎng)通信由于具有良好的開放性�����,價格便宜���,效率高���,易于使用等優(yōu)點,是信息共享和交換的理想方式�����,近年來在工業(yè)控制領(lǐng)域得到蓬勃發(fā)展��。但現(xiàn)存的TCP/IP協(xié)議的一些安全缺陷:工業(yè)以太網(wǎng)通信過程通常遵循標(biāo)準(zhǔn)Ethernet協(xié)議�����,用戶的數(shù)據(jù)區(qū)在協(xié)議包中的位置和長度范圍等格式固定�,一般用戶數(shù)據(jù)不做加密處理,文件傳輸很容易被監(jiān)聽和劫持�,TCP/IP服務(wù)的脆弱、安全策略的缺乏�����。利用網(wǎng)絡(luò)協(xié)議分析工具很容易截獲用戶數(shù)據(jù)�����,破解獲取用戶的信息���,并可以實時修改數(shù)據(jù)��,破壞用戶數(shù)據(jù)信息�,造成用戶系統(tǒng)功能失常,甚至誘發(fā)事故等�。隨著伊朗“震網(wǎng)病毒”的爆發(fā)。
[0003]工業(yè)以太網(wǎng)技術(shù)正向著具有穩(wěn)定性��、安全性的智能化方向發(fā)展����。工控系統(tǒng)數(shù)據(jù)通信網(wǎng)是以計算機網(wǎng)絡(luò)為基礎(chǔ),基于TCP/IP的網(wǎng)絡(luò)本身并沒有考慮安全問題����,即使與Internet隔離,也并不能防范來自內(nèi)部的攻擊����,數(shù)據(jù)通信網(wǎng)絡(luò)的安全威脅仍然存在。同時常規(guī)的信息加密技術(shù)DES����、AES、RAS等����,往往使用復(fù)雜、效率低下,難以適應(yīng)現(xiàn)代工業(yè)控制系統(tǒng)的大數(shù)據(jù)量高速實時傳輸?shù)男枨?���。因此在今天的工業(yè)控制信息技術(shù)產(chǎn)業(yè)中,實現(xiàn)以太網(wǎng)信息安全��、高速的傳輸����,是急需解決的重要的問題之一�。
【發(fā)明內(nèi)容】
[0004]有鑒于此,本發(fā)明提供了一種工業(yè)以太網(wǎng)通信數(shù)據(jù)加密透傳模塊����,能夠在實現(xiàn)工業(yè)以太網(wǎng)信息高速傳輸?shù)幕A(chǔ)上,同時實現(xiàn)信息安全傳輸實現(xiàn)網(wǎng)絡(luò)信號安全高速傳輸��。
[0005]為了達到上述目的�,本發(fā)明的技術(shù)方案為:該加密透傳模塊,用于連接在通信節(jié)點與通信網(wǎng)絡(luò)之間����,對通信數(shù)據(jù)進行加密和解密,該加密透傳模塊包括一個ARM處理器��,一個電源管理模塊和一個加密算法存儲芯片。
[0006]電源管理模塊連接至ARM處理器的電源端���,電源管理模塊在對ARM處理器上電時����,選通加密規(guī)則����,并依據(jù)加密規(guī)則加載相應(yīng)加密算法模塊;當(dāng)ARM處理器掉電后����,電源管理模塊控制ARM處理器保存掉電前設(shè)置的加密規(guī)則;
[0007]加密算法存儲芯片連接至ARM處理器的存儲擴展端��;加密算法存儲芯片中集成多種加密算法模塊����,每種加密算法模塊均采用一種加密算法進行加密或者解密運算。
[0008]ARM處理器為ARM Cortex-MO內(nèi)核����,利用其中的資源管腳擴展出2個以太網(wǎng)接口、標(biāo)準(zhǔn)串口��、USB串口以及顯示接口;2個以太網(wǎng)接口����,其中一個作為明碼數(shù)據(jù)接口,與通信節(jié)點連接�;一個作為加密數(shù)據(jù)接口,與通信網(wǎng)絡(luò)連接����;標(biāo)準(zhǔn)串口連接配置計算機�,配置計算機用于為該加密透傳模塊配置加密規(guī)則;加密規(guī)則具體為該加密透傳模塊所選擇的加密算法模塊或加密算法模塊的組合�。
[0009]該加密透傳模塊的加密流程為:通過電源管理模塊為該ARM處理器上電,則配置計算機所配置的加密規(guī)則被選通�����,當(dāng)通信節(jié)點發(fā)出一個明碼數(shù)據(jù)包����,該明碼數(shù)據(jù)包由明碼數(shù)據(jù)接口傳遞至ARM處理器中,該ARM處理器首先設(shè)置加密頭��,然后依據(jù)已經(jīng)配置好的加密規(guī)則�,調(diào)用加密規(guī)則所選擇的加密算法模塊將明碼數(shù)據(jù)包進行加密處理,置于加密頭之后,形成密文數(shù)據(jù)包���,ARM處理器將該密文數(shù)據(jù)包通過加密數(shù)據(jù)接口輸出到通信網(wǎng)絡(luò)中����;加密頭用于指示該密文數(shù)據(jù)包的加密規(guī)則��。
[0010]該加密透傳模塊的解密流程為:當(dāng)通信節(jié)點從通信網(wǎng)絡(luò)中接收一個密文數(shù)據(jù)包�����,該密文數(shù)據(jù)包通過加密數(shù)據(jù)接口進入到ARM處理器�,ARM處理器首先讀取加密頭,判斷該密文數(shù)據(jù)包是否符合已經(jīng)配置好的加密規(guī)則���,若不符合則丟棄該密文數(shù)據(jù)包��,若符合則根據(jù)已經(jīng)配置好的加密規(guī)則將該密文數(shù)據(jù)包進行解密處理�����,形成明碼數(shù)據(jù)包���,該明碼數(shù)據(jù)包通過明碼數(shù)據(jù)接口傳輸至通信節(jié)點中��。
[0011]進一步地��,加密算法模塊包括物理真隨機數(shù)發(fā)生器HRNG模塊���、數(shù)據(jù)加密標(biāo)準(zhǔn)DES模塊、密碼協(xié)處理RSA/ECC模塊���、標(biāo)準(zhǔn)對稱算法密碼SMl模塊�、橢圓曲線公鑰密碼算法密碼SM2模塊���、雜湊算法密碼SM3模塊以及分組密碼算法SM4模塊����。
[0012]進一步地�����,加密算法模塊在接收到通信節(jié)點發(fā)來的明碼數(shù)據(jù)包之后�,將2?3個明碼數(shù)據(jù)包整合為一個總數(shù)據(jù)包����,然后對總數(shù)據(jù)包進行加密獲得密文數(shù)據(jù)包��。
[0013]進一步地����,ARM處理中還擴展出USB串口和顯示接口��,USB串口用于連接外設(shè)�,接收外設(shè)的操作輸入;顯示接口連接顯示器��,用于實現(xiàn)加密透傳模塊在配置過程中操作交互顯不O
[0014]有益效果:
[0015]1���、該加密透傳模塊充分利用了 32位ARM Cortex-MO內(nèi)核專用芯片豐富的內(nèi)部資源和外部接口��,發(fā)揮了芯片低功耗性能以及基于ARMv6-M體系結(jié)構(gòu)下高效的代碼執(zhí)行效率和代碼密度��;集成并按預(yù)定規(guī)則混合使用多種安全密碼算法模塊�,實現(xiàn)了網(wǎng)絡(luò)信號安全��、高速通信傳輸��,保障了工業(yè)以太網(wǎng)通信數(shù)據(jù)和工控系統(tǒng)運行安全�;該加密透傳模塊同時采用智能算法管理技術(shù),掉電前可在加密透傳模塊里面保存好算法���,上電選通加密模塊即可立即使用�。
[0016]2、本發(fā)明中的加密透傳模塊包括理真隨機數(shù)發(fā)生器HRNG模塊����、數(shù)據(jù)加密標(biāo)準(zhǔn)DES
模塊、密碼協(xié)處理RSA/ECC模塊�、標(biāo)準(zhǔn)對稱算法密碼SMl模塊、橢圓曲線公鑰密碼算法密碼
SM2模塊�����、雜湊算法密碼SM3模塊以及分組密碼算法SM4模塊�����,其中SM1��、SM2���、SM3和SM4均為混合算法,利用該混合算法的優(yōu)點�,采用混合數(shù)據(jù)加密算法技術(shù),實現(xiàn)了端到端的信源加tM
I_L| O
[0017]3����、本發(fā)明通過增大包數(shù)據(jù)大小的方法����,減少加解密次數(shù)�,提高數(shù)據(jù)傳輸過程中的速度,理論值33MB/s以上����。
【附圖說明】
[0018]圖1為本發(fā)明工業(yè)以太網(wǎng)通信數(shù)據(jù)加密透傳模塊原理框圖;
[0019]圖2為本發(fā)明工業(yè)以太網(wǎng)通信數(shù)據(jù)加密透傳模塊應(yīng)用示意圖����。
【具體實施方式】
[0020]下面結(jié)合附圖并舉實施例,對本發(fā)明進行詳細描述���。
[0021]實施例1�、圖1為本發(fā)明工業(yè)以太網(wǎng)通信數(shù)據(jù)加密透傳模塊原理框圖�����。模塊的核心采用了 32位ARM Cortex-MO內(nèi)核��,一方面具備極強的安全特性�����,另一方面具有業(yè)內(nèi)領(lǐng)先的低功耗性能以及基于ARMv6-M體系結(jié)構(gòu)下高效的代碼執(zhí)行效率和代碼密度;片內(nèi)集成多種安全密碼模塊����,如HRNG、DES�����、RSA/ECC��、SM1��、SM2��、SM3�、SM4等功能和算法模塊,提供了免晶振USB2.0全速接口和IS07816主從設(shè)備接口和SPI接口����,支持T = 0/T = I協(xié)議。模塊兩個以太網(wǎng)接口�,每個接口�����,都可利用轉(zhuǎn)接實現(xiàn)是RS232,RS485�,RS422,CAN����,GPRS, WIFI等接口。
[0022]本發(fā)明混合加密算法技術(shù)原理是采用國密SM2及國密SM3混合算法技術(shù)���,通過橢圓曲線共要密碼算法涉及的必要數(shù)學(xué)基礎(chǔ)與知識相關(guān)密碼技術(shù)��,以幫助實現(xiàn)其它各部分所規(guī)定的密碼機制��?����;驗樗赜虻亩獢U域的橢圓曲線公鑰密碼算法���。對數(shù)字簽名和驗證、消息認證碼的生成與驗證以及隨機數(shù)的生成����,可以滿足多種密碼應(yīng)用的安全需求�����。同時���,還可以為安全廣品生廣商提供廣品和技術(shù)的標(biāo)準(zhǔn)定位以及標(biāo)準(zhǔn)化的參考,提尚安全廣品的可信性與互操性����。
[0023]加密算法模塊將通信節(jié)點發(fā)來的2?3個明碼數(shù)據(jù)包整合為少量的大數(shù)據(jù)包,然后按約定規(guī)則加密�����,避免為單個數(shù)據(jù)包逐個加解密�,減少了加解密次數(shù),提高模塊工作效率和傳輸速度�。
[0024]圖2為本發(fā)明工業(yè)