Csec控制模塊根據(jù)密鑰和數(shù)據(jù)存儲模塊中的128/256位密鑰啟動MACsec加密模塊對傳出的數(shù)據(jù)進行加密,加密完成后通過物理層傳出�����。
[0034]MACsec加密模塊使得每個數(shù)據(jù)包使用不同的加密密鑰�����。數(shù)據(jù)采集模塊接收到數(shù)據(jù)包后����,MACsec解密模塊上的接收器會在片上的內(nèi)容地址存儲器列表中進行查找�����,明確用以解密數(shù)據(jù)包的正確密鑰��。每個數(shù)據(jù)包都有相應的編號���,確保能檢測并拒絕接收重復或重新發(fā)送的數(shù)據(jù)包。
[0035]MACsec控制模塊不僅能夠檢測到丟失或重復發(fā)送的數(shù)據(jù)包而且能夠收集并統(tǒng)計相關(guān)數(shù)據(jù)包出現(xiàn)異常的原因�����。提供統(tǒng)計數(shù)據(jù)以支持攻擊檢測�����,能讓本采集裝置主動應對正在進行的攻擊��。
[0036]通過常用的流水線技術(shù)和提高FPGA的時鐘頻率使得MACsec加密模塊的工作頻率可以運行在IGHz���、10GHz和40GHz不同檔位�,從而能夠根據(jù)工業(yè)控制現(xiàn)場多種不同的數(shù)據(jù)采集速率而動態(tài)改變加密速率��。
[0037]如圖3所示,本發(fā)明中的數(shù)據(jù)采集裝置開始運行后首先從文件中獲得采集配置信息��,加載采集配置信息成功后對數(shù)據(jù)采集模塊進行初始化����,通過PC1-Express接口與DCS建立連接���。連接成功后對需要采集的標簽點進行綁定���,以循環(huán)的方式不斷執(zhí)行數(shù)據(jù)讀取。對讀取到的數(shù)據(jù)包進行MACsec解密和CRC校驗����,在確認無誤的情況下將數(shù)據(jù)進一步傳輸?shù)綌?shù)據(jù)發(fā)送模塊,數(shù)據(jù)經(jīng)過MACsec加密模塊處理后對外發(fā)布���。
[0038]本實施例中的CRC校驗碼具體計算步驟如下:
[0039](I)將16位寄存器自左到右編號為R15R14.--Ro;
[0040](2)將16位CRC寄存器自左到右編號為C15Cw --Co����;
[0041 ] (3)把CRC寄存器中每一位的初始值都設(shè)為O;
[0042](4)計算輸入一位數(shù)據(jù)后CRC寄存器中新的內(nèi)容�����;
[0043](5)循環(huán)執(zhí)行步驟(4)直到8位數(shù)據(jù)輸入結(jié)束;
[0044](6)計算各個位的因子相互異或的結(jié)果���,即為CRC校驗碼�。
[0045]綜上所述��,本發(fā)明提供了一種基于FPGA的工業(yè)過程數(shù)據(jù)安全采集裝置及方法�,以FPGA為核心,取代了數(shù)據(jù)采集裝置中廣泛使用的普通PC機����,使用MACsec加密、解密技術(shù)���,在保證實時數(shù)據(jù)采集速率的基礎(chǔ)上提供了工業(yè)級的安全加密性能,完成了DCS與MES安全可靠地互聯(lián)����,實現(xiàn)了對工業(yè)控制現(xiàn)場大量生產(chǎn)數(shù)據(jù)的采集。
[0046]本發(fā)明已通過上述實施例及其【附圖說明】清楚���,以上僅為本發(fā)明的一個具體實例�����,不構(gòu)成對本發(fā)明的任何限制���。在不背離本發(fā)明精神和實質(zhì)的情況下�����,所屬領(lǐng)域的技術(shù)人員可根據(jù)本發(fā)明做出相應變化和修正����,這些變化和修正都屬于本發(fā)明權(quán)利要求的保護范圍����。
[0047]本發(fā)明未涉及方法均與現(xiàn)有技術(shù)相同或可采用現(xiàn)有技術(shù)加以實現(xiàn)�����。
【主權(quán)項】
1.一種基于FPGA的工業(yè)過程數(shù)據(jù)安全采集裝置���,其特征在于該裝置包括支持PC1-Express 的高速數(shù)據(jù)采集模塊����、數(shù)據(jù)發(fā)送模塊�����、 CRC 校驗模塊、 MACsec 加密模塊以及 MACsec 解密模塊�,上述各模塊均為FPGA的內(nèi)嵌模塊,由FPGA負責整個裝置的運行協(xié)調(diào);所述高速數(shù)據(jù)采集模塊采集DCS數(shù)據(jù)�,并通過數(shù)據(jù)發(fā)送模塊發(fā)送數(shù)據(jù)至MES;所述CRC校驗模塊、MACsec解密模塊連接高速數(shù)據(jù)采集模塊;所述MACsec加密模塊連接數(shù)據(jù)發(fā)送模塊�����; FPGA的內(nèi)核加密模塊包括AES-GCM模塊�����、MACsec控制模塊���、密鑰和數(shù)據(jù)存儲模塊�、MAC模塊以及物理層�����,其中AES-GCM模塊置于MACsec控制模塊中����,MACsec控制模塊連接數(shù)據(jù)存儲模塊以及位于OSI模型中數(shù)據(jù)鏈路層的MAC模塊:當信息從OSI模型的物理層傳輸?shù)綌?shù)據(jù)鏈路層時,MACsec控制模塊根據(jù)發(fā)送者提供的128/256位密鑰啟動MACsec解密模塊進行解密���,解密后的數(shù)據(jù)傳輸?shù)絆SI模型中的網(wǎng)絡(luò)層之上進行深度數(shù)據(jù)包檢測;當信息從數(shù)據(jù)鏈路層傳輸?shù)轿锢韺訒r�����,MACsec控制模塊根據(jù)密鑰和數(shù)據(jù)存儲模塊中的128/256位密鑰啟動MACsec加密模塊對傳出的數(shù)據(jù)進行加密�,加密完成后通過物理層傳出。2.根據(jù)權(quán)利要求1所述的一種基于FPGA的工業(yè)過程數(shù)據(jù)安全采集裝置�,其特征在于MACsec加密模塊、MACsec解密模塊在硬件上實現(xiàn)安全加密�、解密功能。3.—種基于如權(quán)利要求1所述的基于FPGA的工業(yè)過程數(shù)據(jù)安全采集裝置的采集方法���,其特征在于數(shù)據(jù)采集裝置開始運行后首先從文件中獲得采集配置信息,加載采集配置信息成功后對高速數(shù)據(jù)采集模塊進行初始化�����,通過PC1-Express接口與DCS建立連接;連接成功后對需要采集的標簽點進行綁定�,以循環(huán)的方式不斷執(zhí)行數(shù)據(jù)讀取;對讀取到的數(shù)據(jù)包進行MACsec解密和CRC校驗,在確認無誤的情況下將數(shù)據(jù)進一步傳輸?shù)綌?shù)據(jù)發(fā)送模塊���,數(shù)據(jù)經(jīng)過MACsec加密模塊處理后對外發(fā)布���。4.根據(jù)權(quán)利要求3所述的一種基于FPGA的工業(yè)過程數(shù)據(jù)安全采集方法��,其特征在于所述MACsec加密模塊處理是通過對以太網(wǎng)鏈路層的數(shù)據(jù)進行加密����。5.根據(jù)權(quán)利要求3所述的一種基于FPGA的工業(yè)過程數(shù)據(jù)安全采集方法���,其特征在于所述MACsec加密模塊的工作頻率可以運行在IGHz���、1GHz和40GHz不同檔位�,能夠根據(jù)多種不同的數(shù)據(jù)采集速率而動態(tài)改變數(shù)據(jù)加密速率�����。6.根據(jù)權(quán)利要求3所述的一種基于FPGA的工業(yè)過程數(shù)據(jù)安全采集方法����,其特征在于所述MACsec解密模塊的工作頻率可以運行在IGHz、1GHz和40GHz不同檔位����,能夠根據(jù)多種不同的數(shù)據(jù)采集速率而動態(tài)改變數(shù)據(jù)解密速率���。7.根據(jù)權(quán)利要求3所述的一種基于FPGA的工業(yè)過程數(shù)據(jù)安全采集方法,其特征在于每個數(shù)據(jù)包都有相應的編號�,確保能檢測并拒絕接收重復或重新發(fā)送的數(shù)據(jù)包。8.根據(jù)權(quán)利要求3所述的一種基于FPGA的工業(yè)過程數(shù)據(jù)安全采集方法���,其特征在于MACsec加密模塊對每個數(shù)據(jù)包使用不同的加密密鑰���,接收到消息后,接收器會在FPGA上的內(nèi)容地址存儲器列表中查找解密密鑰���。9.根據(jù)權(quán)利要求3所述的一種基于FPGA的工業(yè)過程數(shù)據(jù)安全采集方法�,其特征在于所述CRC校驗模塊采用異或邏輯����,基于8位輸入數(shù)據(jù)和生成多項式運算得出CRC校驗碼。10.根據(jù)權(quán)利要求9所述的一種基于FPGA的工業(yè)過程數(shù)據(jù)安全采集方法�,其特征在于所述CRC校驗碼計算步驟如下: (1)將16位寄存器自左到右編號為R15Rw.-Ro ���; (2)將16位CRC寄存器自左到右編號為C15C14---Co��;(3)把CRC寄存器中每一位的初始值都設(shè)為O;(4)計算輸入一位數(shù)據(jù)后CRC寄存器中新的內(nèi)容�;(5)循環(huán)執(zhí)行步驟(4)直到8位數(shù)據(jù)輸入結(jié)束;(6)計算各個位的因子相互異或的結(jié)果�����,即為CRC校驗碼�。
【專利摘要】本發(fā)明公開了一種基于FPGA的工業(yè)過程數(shù)據(jù)安全采集裝置及方法,以FPGA為核心��,設(shè)計并開發(fā)CRC校驗模塊�、MACsec加密、解密模塊�。利用FPGA支持PCI-Express的高速數(shù)據(jù)傳輸特性保證了工業(yè)控制系統(tǒng)中實時數(shù)據(jù)的傳輸,使用MACsec加密從硬件上實現(xiàn)加密功能����,不向軟件提供未加密密鑰。在保證實時數(shù)據(jù)采集速率的基礎(chǔ)上提高了信息傳遞的安全性����,使得工業(yè)控制系統(tǒng)免受來自管理網(wǎng)的安全風險。
【IPC分類】H04L29/06, G06F21/60, H04L9/14
【公開號】CN105592107
【申請?zhí)枴緾N201610113714
【發(fā)明人】陳夕松, 方鑫, 繆銳, 羅凡, 張良朝, 崔偉
【申請人】南京富島信息工程有限公司
【公開日】2016年5月18日
【申請日】2016年3月1日