Csec控制模塊根據(jù)密鑰和數(shù)據(jù)存儲(chǔ)模塊中的128/256位密鑰啟動(dòng)MACsec加密模塊對(duì)傳出的數(shù)據(jù)進(jìn)行加密����,加密完成后通過物理層傳出��。
[0034]MACsec加密模塊使得每個(gè)數(shù)據(jù)包使用不同的加密密鑰��。數(shù)據(jù)采集模塊接收到數(shù)據(jù)包后����,MACsec解密模塊上的接收器會(huì)在片上的內(nèi)容地址存儲(chǔ)器列表中進(jìn)行查找,明確用以解密數(shù)據(jù)包的正確密鑰���。每個(gè)數(shù)據(jù)包都有相應(yīng)的編號(hào)����,確保能檢測(cè)并拒絕接收重復(fù)或重新發(fā)送的數(shù)據(jù)包�。
[0035]MACsec控制模塊不僅能夠檢測(cè)到丟失或重復(fù)發(fā)送的數(shù)據(jù)包而且能夠收集并統(tǒng)計(jì)相關(guān)數(shù)據(jù)包出現(xiàn)異常的原因。提供統(tǒng)計(jì)數(shù)據(jù)以支持攻擊檢測(cè)���,能讓本采集裝置主動(dòng)應(yīng)對(duì)正在進(jìn)行的攻擊��。
[0036]通過常用的流水線技術(shù)和提高FPGA的時(shí)鐘頻率使得MACsec加密模塊的工作頻率可以運(yùn)行在IGHz�、10GHz和40GHz不同檔位,從而能夠根據(jù)工業(yè)控制現(xiàn)場(chǎng)多種不同的數(shù)據(jù)采集速率而動(dòng)態(tài)改變加密速率�。
[0037]如圖3所示,本發(fā)明中的數(shù)據(jù)采集裝置開始運(yùn)行后首先從文件中獲得采集配置信息����,加載采集配置信息成功后對(duì)數(shù)據(jù)采集模塊進(jìn)行初始化,通過PC1-Express接口與DCS建立連接�����。連接成功后對(duì)需要采集的標(biāo)簽點(diǎn)進(jìn)行綁定����,以循環(huán)的方式不斷執(zhí)行數(shù)據(jù)讀取�����。對(duì)讀取到的數(shù)據(jù)包進(jìn)行MACsec解密和CRC校驗(yàn)��,在確認(rèn)無誤的情況下將數(shù)據(jù)進(jìn)一步傳輸?shù)綌?shù)據(jù)發(fā)送模塊���,數(shù)據(jù)經(jīng)過MACsec加密模塊處理后對(duì)外發(fā)布�����。
[0038]本實(shí)施例中的CRC校驗(yàn)碼具體計(jì)算步驟如下:
[0039](I)將16位寄存器自左到右編號(hào)為R15R14.--Ro;
[0040](2)將16位CRC寄存器自左到右編號(hào)為C15Cw --Co����;
[0041 ] (3)把CRC寄存器中每一位的初始值都設(shè)為O;
[0042](4)計(jì)算輸入一位數(shù)據(jù)后CRC寄存器中新的內(nèi)容;
[0043](5)循環(huán)執(zhí)行步驟(4)直到8位數(shù)據(jù)輸入結(jié)束�����;
[0044](6)計(jì)算各個(gè)位的因子相互異或的結(jié)果�����,即為CRC校驗(yàn)碼�。
[0045]綜上所述,本發(fā)明提供了一種基于FPGA的工業(yè)過程數(shù)據(jù)安全采集裝置及方法��,以FPGA為核心���,取代了數(shù)據(jù)采集裝置中廣泛使用的普通PC機(jī)��,使用MACsec加密�、解密技術(shù),在保證實(shí)時(shí)數(shù)據(jù)采集速率的基礎(chǔ)上提供了工業(yè)級(jí)的安全加密性能�,完成了DCS與MES安全可靠地互聯(lián),實(shí)現(xiàn)了對(duì)工業(yè)控制現(xiàn)場(chǎng)大量生產(chǎn)數(shù)據(jù)的采集���。
[0046]本發(fā)明已通過上述實(shí)施例及其【附圖說明】清楚����,以上僅為本發(fā)明的一個(gè)具體實(shí)例���,不構(gòu)成對(duì)本發(fā)明的任何限制��。在不背離本發(fā)明精神和實(shí)質(zhì)的情況下���,所屬領(lǐng)域的技術(shù)人員可根據(jù)本發(fā)明做出相應(yīng)變化和修正,這些變化和修正都屬于本發(fā)明權(quán)利要求的保護(hù)范圍�����。
[0047]本發(fā)明未涉及方法均與現(xiàn)有技術(shù)相同或可采用現(xiàn)有技術(shù)加以實(shí)現(xiàn)�。
【主權(quán)項(xiàng)】
1.一種基于FPGA的工業(yè)過程數(shù)據(jù)安全采集裝置���,其特征在于該裝置包括支持PC1-Express 的高速數(shù)據(jù)采集模塊�、數(shù)據(jù)發(fā)送模塊、 CRC 校驗(yàn)?zāi)K�、 MACsec 加密模塊以及 MACsec 解密模塊,上述各模塊均為FPGA的內(nèi)嵌模塊��,由FPGA負(fù)責(zé)整個(gè)裝置的運(yùn)行協(xié)調(diào);所述高速數(shù)據(jù)采集模塊采集DCS數(shù)據(jù)����,并通過數(shù)據(jù)發(fā)送模塊發(fā)送數(shù)據(jù)至MES;所述CRC校驗(yàn)?zāi)K、MACsec解密模塊連接高速數(shù)據(jù)采集模塊;所述MACsec加密模塊連接數(shù)據(jù)發(fā)送模塊����; FPGA的內(nèi)核加密模塊包括AES-GCM模塊、MACsec控制模塊�����、密鑰和數(shù)據(jù)存儲(chǔ)模塊����、MAC模塊以及物理層,其中AES-GCM模塊置于MACsec控制模塊中�����,MACsec控制模塊連接數(shù)據(jù)存儲(chǔ)模塊以及位于OSI模型中數(shù)據(jù)鏈路層的MAC模塊:當(dāng)信息從OSI模型的物理層傳輸?shù)綌?shù)據(jù)鏈路層時(shí),MACsec控制模塊根據(jù)發(fā)送者提供的128/256位密鑰啟動(dòng)MACsec解密模塊進(jìn)行解密�,解密后的數(shù)據(jù)傳輸?shù)絆SI模型中的網(wǎng)絡(luò)層之上進(jìn)行深度數(shù)據(jù)包檢測(cè)����;當(dāng)信息從數(shù)據(jù)鏈路層傳輸?shù)轿锢韺訒r(shí)���,MACsec控制模塊根據(jù)密鑰和數(shù)據(jù)存儲(chǔ)模塊中的128/256位密鑰啟動(dòng)MACsec加密模塊對(duì)傳出的數(shù)據(jù)進(jìn)行加密����,加密完成后通過物理層傳出�。2.根據(jù)權(quán)利要求1所述的一種基于FPGA的工業(yè)過程數(shù)據(jù)安全采集裝置,其特征在于MACsec加密模塊����、MACsec解密模塊在硬件上實(shí)現(xiàn)安全加密、解密功能��。3.—種基于如權(quán)利要求1所述的基于FPGA的工業(yè)過程數(shù)據(jù)安全采集裝置的采集方法����,其特征在于數(shù)據(jù)采集裝置開始運(yùn)行后首先從文件中獲得采集配置信息,加載采集配置信息成功后對(duì)高速數(shù)據(jù)采集模塊進(jìn)行初始化����,通過PC1-Express接口與DCS建立連接;連接成功后對(duì)需要采集的標(biāo)簽點(diǎn)進(jìn)行綁定����,以循環(huán)的方式不斷執(zhí)行數(shù)據(jù)讀取;對(duì)讀取到的數(shù)據(jù)包進(jìn)行MACsec解密和CRC校驗(yàn)����,在確認(rèn)無誤的情況下將數(shù)據(jù)進(jìn)一步傳輸?shù)綌?shù)據(jù)發(fā)送模塊��,數(shù)據(jù)經(jīng)過MACsec加密模塊處理后對(duì)外發(fā)布���。4.根據(jù)權(quán)利要求3所述的一種基于FPGA的工業(yè)過程數(shù)據(jù)安全采集方法���,其特征在于所述MACsec加密模塊處理是通過對(duì)以太網(wǎng)鏈路層的數(shù)據(jù)進(jìn)行加密。5.根據(jù)權(quán)利要求3所述的一種基于FPGA的工業(yè)過程數(shù)據(jù)安全采集方法�,其特征在于所述MACsec加密模塊的工作頻率可以運(yùn)行在IGHz、1GHz和40GHz不同檔位����,能夠根據(jù)多種不同的數(shù)據(jù)采集速率而動(dòng)態(tài)改變數(shù)據(jù)加密速率。6.根據(jù)權(quán)利要求3所述的一種基于FPGA的工業(yè)過程數(shù)據(jù)安全采集方法�,其特征在于所述MACsec解密模塊的工作頻率可以運(yùn)行在IGHz、1GHz和40GHz不同檔位���,能夠根據(jù)多種不同的數(shù)據(jù)采集速率而動(dòng)態(tài)改變數(shù)據(jù)解密速率�。7.根據(jù)權(quán)利要求3所述的一種基于FPGA的工業(yè)過程數(shù)據(jù)安全采集方法��,其特征在于每個(gè)數(shù)據(jù)包都有相應(yīng)的編號(hào),確保能檢測(cè)并拒絕接收重復(fù)或重新發(fā)送的數(shù)據(jù)包�。8.根據(jù)權(quán)利要求3所述的一種基于FPGA的工業(yè)過程數(shù)據(jù)安全采集方法,其特征在于MACsec加密模塊對(duì)每個(gè)數(shù)據(jù)包使用不同的加密密鑰����,接收到消息后,接收器會(huì)在FPGA上的內(nèi)容地址存儲(chǔ)器列表中查找解密密鑰���。9.根據(jù)權(quán)利要求3所述的一種基于FPGA的工業(yè)過程數(shù)據(jù)安全采集方法����,其特征在于所述CRC校驗(yàn)?zāi)K采用異或邏輯���,基于8位輸入數(shù)據(jù)和生成多項(xiàng)式運(yùn)算得出CRC校驗(yàn)碼����。10.根據(jù)權(quán)利要求9所述的一種基于FPGA的工業(yè)過程數(shù)據(jù)安全采集方法�,其特征在于所述CRC校驗(yàn)碼計(jì)算步驟如下: (1)將16位寄存器自左到右編號(hào)為R15Rw.-Ro ; (2)將16位CRC寄存器自左到右編號(hào)為C15C14---Co�����;(3)把CRC寄存器中每一位的初始值都設(shè)為O;(4)計(jì)算輸入一位數(shù)據(jù)后CRC寄存器中新的內(nèi)容;(5)循環(huán)執(zhí)行步驟(4)直到8位數(shù)據(jù)輸入結(jié)束�;(6)計(jì)算各個(gè)位的因子相互異或的結(jié)果,即為CRC校驗(yàn)碼�����。
【專利摘要】本發(fā)明公開了一種基于FPGA的工業(yè)過程數(shù)據(jù)安全采集裝置及方法���,以FPGA為核心,設(shè)計(jì)并開發(fā)CRC校驗(yàn)?zāi)K�、MACsec加密、解密模塊�。利用FPGA支持PCI-Express的高速數(shù)據(jù)傳輸特性保證了工業(yè)控制系統(tǒng)中實(shí)時(shí)數(shù)據(jù)的傳輸,使用MACsec加密從硬件上實(shí)現(xiàn)加密功能����,不向軟件提供未加密密鑰。在保證實(shí)時(shí)數(shù)據(jù)采集速率的基礎(chǔ)上提高了信息傳遞的安全性��,使得工業(yè)控制系統(tǒng)免受來自管理網(wǎng)的安全風(fēng)險(xiǎn)���。
【IPC分類】H04L29/06, G06F21/60, H04L9/14
【公開號(hào)】CN105592107
【申請(qǐng)?zhí)枴緾N201610113714
【發(fā)明人】陳夕松, 方鑫, 繆銳, 羅凡, 張良朝, 崔偉
【申請(qǐng)人】南京富島信息工程有限公司
【公開日】2016年5月18日
【申請(qǐng)日】2016年3月1日