一種網(wǎng)絡(luò)數(shù)據(jù)加密器的制造方法
【專利摘要】本實(shí)用新型提供一種網(wǎng)絡(luò)數(shù)據(jù)加密器�����,包括:第一微處理器MCU、安全模塊����、2路工業(yè)以太網(wǎng)接口、SD存儲(chǔ)�、USB通信接口和電源模塊;其中��,所述第一微處理器MCU分別與所述安全模塊���、所述2路工業(yè)以太網(wǎng)接口���、所述SD存儲(chǔ)、所述USB通信接口和所述電源模塊連接�。本實(shí)用新型將國(guó)密算法引入到工業(yè)控制設(shè)備中,從數(shù)據(jù)傳輸和通訊網(wǎng)絡(luò)上進(jìn)行封裝處理���,解決工控系統(tǒng)中數(shù)據(jù)泄露和數(shù)據(jù)篡改的問題��,可以很好的保護(hù)工控系統(tǒng)的運(yùn)行安全�����,而且適用于已有工控系統(tǒng)信息安全等級(jí)保護(hù)的改造��,提升系統(tǒng)的整體安全性�。
【專利說明】
一種網(wǎng)絡(luò)數(shù)據(jù)加密器
技術(shù)領(lǐng)域
[0001]本實(shí)用新型涉及工業(yè)信息安全技術(shù)領(lǐng)域,尤其涉及一種網(wǎng)絡(luò)數(shù)據(jù)加密器����。
【背景技術(shù)】
[0002]隨著企業(yè)信息化的發(fā)展和工業(yè)綜合自動(dòng)化進(jìn)程的深入,計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)越來越多地應(yīng)用于工業(yè)信息控制系統(tǒng)���。我國(guó)的工業(yè)信息系統(tǒng)大多是在引進(jìn)成套設(shè)備的同時(shí)進(jìn)行消化吸收,關(guān)鍵基礎(chǔ)設(shè)施使用的幾乎都是德國(guó)Siemens�、美國(guó)Honeywel URockwel I和日本橫河等國(guó)外廠商的控制系統(tǒng)和軟件。我國(guó)工控領(lǐng)域的高端市場(chǎng)���、嵌入式操作系統(tǒng)�����、嵌入式軟件���、總線協(xié)議和工控軟件等核心技術(shù)均受制于國(guó)外。
[0003]在為工業(yè)生產(chǎn)帶來極大效益的同時(shí)�,也使得針對(duì)工業(yè)信息控制系統(tǒng)的攻擊行為出現(xiàn)大幅度地增長(zhǎng),因此��,對(duì)工業(yè)信息安全的需求變得更加迫切。
[0004]在工業(yè)基礎(chǔ)設(shè)施中�����,關(guān)鍵的工業(yè)控制系統(tǒng)引發(fā)的安全事件不僅會(huì)導(dǎo)致系統(tǒng)性能下降��、可用性降低�����、關(guān)鍵控制數(shù)據(jù)被篡改或喪失����、系統(tǒng)失控進(jìn)而影響生產(chǎn)安全并導(dǎo)致嚴(yán)重的經(jīng)濟(jì)損失,而且還可能會(huì)進(jìn)一步導(dǎo)致人員傷亡��、環(huán)境災(zāi)難�����、危及公眾生活甚至國(guó)家安全等��。因此���,工業(yè)控制系統(tǒng)的安全運(yùn)行是確?��;A(chǔ)設(shè)施正常運(yùn)行的重要基礎(chǔ)���,是系統(tǒng)全生命周期內(nèi)始終需要關(guān)注的重要指標(biāo)。
[0005]現(xiàn)有工控系統(tǒng)的安全防護(hù)措施更多地放在服務(wù)器和網(wǎng)絡(luò)的保護(hù)上�,并沒有從根本上解決工控系統(tǒng)的安全問題,缺乏對(duì)設(shè)備的身份鑒別和數(shù)據(jù)傳輸方面的防護(hù)措施�,主要存在以下問題:設(shè)備的非法接入、協(xié)議開放��、數(shù)據(jù)明文傳輸����、非法操作���、網(wǎng)絡(luò)脆弱性和數(shù)據(jù)篡改等��。一旦工業(yè)現(xiàn)場(chǎng)的重要控制指令被截取��,將對(duì)工控系統(tǒng)造成很大的威脅�。
【發(fā)明內(nèi)容】
[0006]因此�,為了解決上述技術(shù)問題,本實(shí)用新型提供一種網(wǎng)絡(luò)數(shù)據(jù)加密器�����,將國(guó)密算法引入到工業(yè)控制設(shè)備中,從數(shù)據(jù)傳輸和通訊網(wǎng)絡(luò)上進(jìn)行封裝處理��,解決工控系統(tǒng)中數(shù)據(jù)泄露和數(shù)據(jù)篡改的問題����,可以很好的保護(hù)工控系統(tǒng)的運(yùn)行安全,而且適用于已有工控系統(tǒng)信息安全等級(jí)保護(hù)的改造�,提升系統(tǒng)的整體安全性。
[0007]本實(shí)用新型提供一種網(wǎng)絡(luò)數(shù)據(jù)加密器�,包括:第一微處理器MCU、安全模塊�����、2路工業(yè)以太網(wǎng)接口���、SD存儲(chǔ)��、USB通信接口和電源模塊;其中�,所述第一微處理器M⑶分別與所述安全模塊���、所述2路工業(yè)以太網(wǎng)接口����、所述SD存儲(chǔ)、所述USB通信接口和所述電源模塊連接����。
[0008]上述方案中優(yōu)選的是,所述網(wǎng)絡(luò)數(shù)據(jù)加密器還包括指示燈�,所述指示燈與所述第一微處理器MCU連接,所述指示燈用于指示所述網(wǎng)絡(luò)數(shù)據(jù)加密器的運(yùn)行狀態(tài)�����。
[0009]上述方案中優(yōu)選的是���,所述SD存儲(chǔ)用于保存所述網(wǎng)絡(luò)數(shù)據(jù)加密器的配置文件和日志信息���。
[0010]上述方案中優(yōu)選的是�,所述安全模塊包括:加密單元、認(rèn)證單元�、密鑰存儲(chǔ)單元和第二微處理器MCU,
[0011 ] 其中�����,所述第二微處理器M⑶與所述第一微處理器MCU連接,
[0012]所述第二微處理器MCU分別與所述加密單元�����、所述認(rèn)證單元和所述密鑰存儲(chǔ)單元連接�����。
[0013]上述方案中優(yōu)選的是���,所述2路工業(yè)以太網(wǎng)接口用于在所述工業(yè)以太網(wǎng)中的連接����,其中�����,所述一路接口連接到交換機(jī)��,所述另外一路接口連接到工控設(shè)備��。
[0014]上述方案中優(yōu)選的是���,所述USB通信接口用于配置更新�����。
[0015]上述方案中優(yōu)選的是����,所述電源模塊用于為所述網(wǎng)絡(luò)數(shù)據(jù)加密器提供穩(wěn)定供電,并具有電源短路保護(hù)功能和過壓保護(hù)功能��。
[0016]上述方案中優(yōu)選的是��,所述安全模塊中的所述密鑰存儲(chǔ)模塊用于保存加密解密運(yùn)算中用的對(duì)稱密鑰����,非對(duì)稱密鑰以及數(shù)字證書。
[0017]本實(shí)用新型所述的網(wǎng)絡(luò)數(shù)據(jù)加密器在不需要更改原有設(shè)備的情況下��,對(duì)設(shè)備的數(shù)據(jù)出口進(jìn)行加密控制����,解決了設(shè)備的安全接入和安全訪問的問題,可以快速的建立整個(gè)安全防護(hù)體系��,為工業(yè)信息等建立強(qiáng)大的安全保護(hù)手段���,防止數(shù)據(jù)被非法竊取����,篡改與毀壞���,保證數(shù)據(jù)的秘密性���,真實(shí)性和完整性,采用的主要技術(shù)有國(guó)密算法���、對(duì)稱加密��、非對(duì)稱加密���、簽名證書、安全認(rèn)證和網(wǎng)絡(luò)通道加密����。實(shí)現(xiàn)對(duì)終端設(shè)備的注冊(cè)、認(rèn)證和管理����,實(shí)現(xiàn)“合法終端訪問合法網(wǎng)絡(luò)����,合法的平臺(tái)管理合法的設(shè)備”的目標(biāo)����,對(duì)防止信息未經(jīng)過授權(quán)使用和誤用起到支撐作用。
【附圖說明】
[0018]為了更清楚地說明本實(shí)用新型實(shí)施例或現(xiàn)有技術(shù)中的技術(shù)方案����,下面將對(duì)實(shí)施例或現(xiàn)有技術(shù)描述中所需要使用的附圖作一簡(jiǎn)單地介紹,顯而易見地��,下面描述中的附圖是本實(shí)用新型的一些實(shí)施例�,對(duì)于本領(lǐng)域普通技術(shù)人員來講,在不付出創(chuàng)造性勞動(dòng)的前提下���,還可以根據(jù)這些附圖獲得其他的附圖�。
[0019]圖1是本實(shí)用新型所述的一種網(wǎng)絡(luò)數(shù)據(jù)加密器的結(jié)構(gòu)示意圖����。
[0020]圖2是本實(shí)用新型所述的一種網(wǎng)絡(luò)數(shù)據(jù)加密器中的安全模塊的結(jié)構(gòu)示意圖。
[0021]圖3是本實(shí)用新型提供的如圖1所述的網(wǎng)絡(luò)數(shù)據(jù)加密器的使用示意圖�����。
【具體實(shí)施方式】
[0022]為使本實(shí)用新型的目的、技術(shù)方案和優(yōu)點(diǎn)更加清楚��,以下將參照本實(shí)用新型實(shí)施例中的附圖���,通過實(shí)施方式清楚、完整地描述本實(shí)用新型的技術(shù)方案����,顯然,所描述的實(shí)施例是本實(shí)用新型一部分實(shí)施例�����,而不是全部的實(shí)施例����。基于本實(shí)用新型中的實(shí)施例���,本領(lǐng)域普通技術(shù)人員在沒有作出創(chuàng)造性勞動(dòng)前提下所獲得的所有其他實(shí)施例�,都屬于本實(shí)用新型保護(hù)的范圍���。
[0023]本實(shí)用新型所述的網(wǎng)絡(luò)數(shù)據(jù)加密器以MCU微處理器為核心�,輔以強(qiáng)大功能的外圍數(shù)字電路模塊,使網(wǎng)絡(luò)數(shù)據(jù)加密器能夠與遠(yuǎn)端認(rèn)證服務(wù)器建立安全數(shù)據(jù)傳輸通道����,并同時(shí)加密或者解密傳輸?shù)臄?shù)據(jù)。
[0024]下面對(duì)本實(shí)用新型提供的技術(shù)方案做詳細(xì)公開的說明����,參考圖1所示為本實(shí)用新型提供的一種網(wǎng)絡(luò)數(shù)據(jù)加密器的結(jié)構(gòu)示意圖。包括:第一微處理器M⑶���、2路工業(yè)以太網(wǎng)接口(即以太網(wǎng)PHY和DM9000A這兩路接口)�����、安全模塊����、指示燈�、SD存儲(chǔ)、USB通信接口和電源模塊�。
[0025]其中,第一微處理器MCU采用主頻200MHZ的工業(yè)級(jí)Cortex_M4處理器���,該處理器具有豐富的外圍接口�,可以很好的支撐外圍設(shè)備的開發(fā)。
[0026]圖2是本實(shí)用新型所述的一種網(wǎng)絡(luò)數(shù)據(jù)加密器中的安全模塊的結(jié)構(gòu)示意圖�。安全模塊是該網(wǎng)絡(luò)數(shù)據(jù)加密器的核心,采用國(guó)家密碼檢測(cè)的國(guó)密芯片�。它由加密單元、認(rèn)證單元�、密鑰存儲(chǔ)單元和第二微處理器M⑶組成��。所述第二微處理器M⑶是高度集成的數(shù)據(jù)安全專用芯片和高性能的微處理器���,采用32位CPU內(nèi)核���,具有十年以上數(shù)據(jù)保持時(shí)間,配備硬件隨機(jī)數(shù)發(fā)生器����,具有硬件SMl、SM2���、SM3���、SM4等國(guó)密算法協(xié)處理器以及DES、ECC�、AES��,其工作溫度范圍為_40°C?85°C���。
[0027]所述2路工業(yè)以太網(wǎng)接口(即圖1中的以太網(wǎng)PHY和DM9000A這兩路接口)用于工業(yè)以太網(wǎng)中的連接。其中���,一路連接到交換機(jī)���,另外一路連接到工控設(shè)備,如DCS����、PLC等。使得本實(shí)用新型所述的網(wǎng)絡(luò)數(shù)據(jù)加密器可以直接串聯(lián)在工控設(shè)備與網(wǎng)絡(luò)設(shè)備之間���,實(shí)現(xiàn)無IP連接�����。
[0028]所述SD存儲(chǔ)用于保存所述網(wǎng)絡(luò)數(shù)據(jù)加密器的配置文件以及關(guān)鍵的日志信息��。
[0029]所述USB通信接口是外部的管理接口���,用于配置的更新等�����。
[0030]所述指示燈用于指示設(shè)備當(dāng)前的運(yùn)行狀態(tài)���,例如:運(yùn)行指示、狀態(tài)指示或報(bào)警指示等��。
[0031]所述電源模塊采用單電源輸入���,使用高端的電源芯片為網(wǎng)絡(luò)數(shù)據(jù)加密器提供最大3A的電流,并具有電源短路保護(hù)功能和過壓保護(hù)功能���。
[0032]本實(shí)用新型所述的網(wǎng)絡(luò)數(shù)據(jù)加密器內(nèi)嵌實(shí)時(shí)操作系統(tǒng)����,以國(guó)密算法為技術(shù)核心�����,根據(jù)TCP/IP網(wǎng)絡(luò)協(xié)議規(guī)范��,應(yīng)用于工業(yè)控制系統(tǒng)的安全防護(hù)設(shè)備。所述網(wǎng)絡(luò)數(shù)據(jù)加密器支持明文數(shù)據(jù)的加密功能���,密文數(shù)據(jù)的解密功能��,工業(yè)以太網(wǎng)協(xié)議��,例如modbus���、prof inet等。還支持國(guó)密算法SMl�����、SM2�、SM3、SM4以及國(guó)際算法AES����、ECC等。支持USB數(shù)據(jù)接口的外部管理功能����,實(shí)現(xiàn)對(duì)網(wǎng)路加密器的配置文件的更新。支持密鑰在線更新����,數(shù)字證書的在線更新�。具備數(shù)字證書功能��,能夠提供設(shè)備的身份認(rèn)證����。通過設(shè)置軟件旁路功能,實(shí)現(xiàn)加密傳輸和透明傳輸?shù)撵`活切換�����。本實(shí)用新型所述的加密器無IP設(shè)置����,支持?jǐn)?shù)據(jù)應(yīng)用層加密和數(shù)據(jù)鏈路層加密�。
[0033]圖3是本實(shí)用新型提供的如圖1所述的網(wǎng)絡(luò)數(shù)據(jù)加密器的使用示意圖。所述網(wǎng)絡(luò)數(shù)據(jù)加密器利用國(guó)密對(duì)稱算法SM1����、SM2和非對(duì)稱算法SM2,通過數(shù)字證書的方式�����,即通過所述安全模塊的認(rèn)證單元。網(wǎng)絡(luò)數(shù)據(jù)加密器在接入網(wǎng)絡(luò)時(shí)通過認(rèn)證服務(wù)器進(jìn)行統(tǒng)一管理:首先��,認(rèn)證服務(wù)器和網(wǎng)絡(luò)數(shù)據(jù)加密器進(jìn)行雙向身份鑒別��,當(dāng)設(shè)備與設(shè)備之間通信時(shí)通過數(shù)字證書進(jìn)行身份鑒別����。通過雙向認(rèn)證的方式保證數(shù)據(jù)來源的正確性。
[0034]所述網(wǎng)絡(luò)數(shù)據(jù)加密器利用安全模塊中的加密單元����,采用SMl或者SM4對(duì)稱算法,將工業(yè)以太網(wǎng)傳輸過來的數(shù)據(jù)進(jìn)行加密或者解密���,數(shù)據(jù)處理完成后MCU再通過另一個(gè)端口輸出����,保證傳輸數(shù)據(jù)機(jī)密性����。
[0035]所述網(wǎng)絡(luò)數(shù)據(jù)加密器將以太網(wǎng)接收到的明文信息經(jīng)過SM3摘要算法進(jìn)行計(jì)算,利用摘要計(jì)算的不可逆原理����,在接收端對(duì)接收的數(shù)據(jù)做完整性校驗(yàn)����,實(shí)現(xiàn)數(shù)據(jù)的完整性�。
[0036]由于所述網(wǎng)絡(luò)數(shù)據(jù)加密器是用在DCS控制器、PLC與交換機(jī)之間���,如果每臺(tái)應(yīng)用都要設(shè)置IP的話工作量非常大���,而且在每一個(gè)網(wǎng)絡(luò)環(huán)境中都會(huì)占用IP資源。為了便于現(xiàn)場(chǎng)實(shí)施�,本實(shí)用新型采用無IP連接技術(shù),通過解析TCP/IP協(xié)議包���,在數(shù)據(jù)鏈路層進(jìn)行解析�����。并將數(shù)據(jù)進(jìn)行加密��。避免了 IP層的數(shù)據(jù)驗(yàn)證。同時(shí)按照TCP/IP的數(shù)據(jù)包格式將加密后的數(shù)據(jù)進(jìn)行重新打包發(fā)送���。
[0037]在所述安全模塊中保存密鑰����,通過認(rèn)證單元,即認(rèn)證服務(wù)器����,可以設(shè)置定期的密鑰更新。所述網(wǎng)絡(luò)數(shù)據(jù)加密器在通訊協(xié)議中可以靈活設(shè)置所選用的加密算法和算法密鑰����,提高數(shù)據(jù)的保密性。并且具有密鑰存儲(chǔ)功能�,負(fù)責(zé)保存加密解密運(yùn)算中用的對(duì)稱密鑰,非對(duì)稱密鑰以及數(shù)字證書等�����。
[0038]所述網(wǎng)絡(luò)數(shù)據(jù)加密器本地就具有存儲(chǔ)功能���,能夠?qū)ε渲眯畔⒓爸匾罩拘畔⒖梢赃M(jìn)行加密保存����。
[0039]本實(shí)用新型所述的網(wǎng)絡(luò)數(shù)據(jù)加密器將國(guó)密算法這一機(jī)密性較高的加密方法應(yīng)用到網(wǎng)絡(luò)的數(shù)據(jù)傳輸中���,有效的解決目前傳統(tǒng)網(wǎng)絡(luò)加密數(shù)據(jù)容易被破解的問題���。同時(shí)易于接入已有的網(wǎng)絡(luò)設(shè)備系統(tǒng)���,便于實(shí)施,提高了工業(yè)信息系統(tǒng)的安保水平��。
[0040]以上所述僅是本實(shí)用新型的【具體實(shí)施方式】�,對(duì)于本技術(shù)領(lǐng)域的普通技術(shù)人員來說,在不脫離本實(shí)用新型原理的前提下�����,還可以做出若干改進(jìn)和潤(rùn)飾�����,這些改進(jìn)和潤(rùn)飾也應(yīng)視為本實(shí)用新型的保護(hù)范圍����。
【主權(quán)項(xiàng)】
1.一種網(wǎng)絡(luò)數(shù)據(jù)加密器,其特征在于�����,包括:第一微處理器M⑶���、安全模塊����、2路工業(yè)以太網(wǎng)接口��、SD存儲(chǔ)��、USB通信接口和電源模塊�; 其中,所述第一微處理器M⑶分別與所述安全模塊���、所述2路工業(yè)以太網(wǎng)接口��、所述SD存儲(chǔ)�、所述USB通信接口和所述電源模塊連接��。2.根據(jù)權(quán)利要求1所述的網(wǎng)絡(luò)數(shù)據(jù)加密器�,其特征在于,所述網(wǎng)絡(luò)數(shù)據(jù)加密器還包括指示燈���,所述指示燈與所述第一微處理器MCU連接���,所述指示燈用于指示所述網(wǎng)絡(luò)數(shù)據(jù)加密器的運(yùn)行狀態(tài)���。3.根據(jù)權(quán)利要求1所述的網(wǎng)絡(luò)數(shù)據(jù)加密器,其特征在于����,所述安全模塊包括:加密單元、認(rèn)證單元��、密鑰存儲(chǔ)單元和第二微處理器MCU����,其中,所述第二微處理器MCU與所述第一微處理器MCU連接���, 所述第二微處理器MCU分別與所述加密單元���、所述認(rèn)證單元和所述密鑰存儲(chǔ)單元連接; 所述密鑰存儲(chǔ)單元用于保存加密解密運(yùn)算中用的對(duì)稱密鑰���,非對(duì)稱密鑰以及數(shù)字證書����。4.根據(jù)權(quán)利要求1所述的網(wǎng)絡(luò)數(shù)據(jù)加密器,其特征在于�����,所述2路工業(yè)以太網(wǎng)接口用于在所述工業(yè)以太網(wǎng)中的連接���,其中,所述一路接口連接到交換機(jī)��,所述另外一路接口連接到工控設(shè)備�����。5.根據(jù)權(quán)利要求1所述的網(wǎng)絡(luò)數(shù)據(jù)加密器�,其特征在于,所述電源模塊用于為所述網(wǎng)絡(luò)數(shù)據(jù)加密器提供穩(wěn)定供電���,并具有電源短路保護(hù)功能和過壓保護(hù)功能��。
【文檔編號(hào)】H04L29/06GK205584238SQ201521128066
【公開日】2016年9月14日
【申請(qǐng)日】2015年12月30日
【發(fā)明人】張帆, 張一帆, 鞏金亮, 梁兵, 劉洋
【申請(qǐng)人】北京華大智寶電子系統(tǒng)有限公司