CN105490931A - 基于fpga的多功能物联网网关设备 - Google Patents
基于fpga的多功能物联网网关设备 Download PDFInfo
- Publication number
- CN105490931A CN105490931A CN201610016495.6A CN201610016495A CN105490931A CN 105490931 A CN105490931 A CN 105490931A CN 201610016495 A CN201610016495 A CN 201610016495A CN 105490931 A CN105490931 A CN 105490931A
- Authority
- CN
- China
- Prior art keywords
- module
- fpga
- network
- data processing
- ethernet interface
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/66—Arrangements for connecting between networks having differing types of switching systems, e.g. gateways
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/162—Implementing security features at a particular protocol layer at the data link layer
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/164—Implementing security features at a particular protocol layer at the network layer
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
Abstract
本发明公开了一种基于FPGA的多功能物联网网关设备,其设备包括千兆以太网接口模块、?固件存储模块、?控制模块、?网络数据处理模块、?时钟模块及电源模块。本发明为了解决大型局域物联网中,尤其是涉及大量数据传输的物联网,如视频监控网络,管理网与其他前端采集网络的安全互联问题。本发明提供千兆以太网接口处理能力、支持双向16路静态NAT、支持国标SIP穿透NAT功能、具有多种过滤功能,体积小巧,适合分布式接入安装,为涉及到高清图像的物联网连接提供了一种全新的解决方案。
Description
技术领域
本发明涉及信息技术、计算机技术及网络通信技术领域,尤其是运用于视频监控网络中的一种基于FPGA的多功能物联网网关设备。
背景技术
在物联网时代,家庭的洗衣机、电磁炉、电视、社区的监控、道路上的信号灯都将成为物联网的可控终端,这些与日常生活息息相关的物品连接到网络上,在方便生活的同时也带来了极大的潜在安全问题。
例如一个社区的网络可能包含视频监控网、烟雾报警器网、照明控制网、管理网等。这些网络都是局域网,为了方便管理,不同类型的网络通常会划分在不同的局域网网段,相互之间是独立的,但管理网络需要对其他网络进行管理,因此,管理网络跟其他网络都有连接。现在大多数楼宇局域网连接的方法是直接用三层交换机和路由器进行连接,管理网络全部暴露在其他子网下,其他局域网可以与管理网络进行无限制通信,这些通信可能是正常的信息上传,也可能是对管理局域网的网络攻击,这种连接方式存在极大的安全隐患。
为了解决这种网络结构中对管理局域网的安全威胁,设计了基于FPGA的多功能物联网网关设备。
发明内容
本发明的目的是为了解决网络结构中对管理局域网的安全威胁而提供的一种基于FPGA的多功能物联网网关设备,该设备能够很好地解决类似社区网络结构的物联网前端网络与管理网的接入问题,同时还提供了非常强的安全保障功能。
实现本发明目的的具体技术方案是:
一种基于FPGA的多功能物联网网关设备,特点是:该设备包括千兆以太网接口模块、固件存储模块、控制模块、网络数据处理模块、时钟模块及电源模块,所述网络数据处理模块分别与千兆以太网接口模块、固件存储模块、控制模块及时钟模块连接,时钟模块分别与控制模块、网络数据处理模块及千兆以太网接口模块连接,电源模块分别与千兆以太网接口模块、固件存储模块、控制模块、网络数据处理模块及时钟模块连接,为各模块供电。
所述网络数据处理模块包括FPGA芯片和DDR2芯片,实时处理网络数据,对网络数据包进行转换、过滤、分包操作。
所述千兆以太网接口模块含有两路独立的以太网接口,每一路包含RJ45插座和PHY芯片,两路以太网接口分别连接不同的局域网,
所述固件存储模块与网络数据处理模块中的FPGA芯片连接,其包括EEPROM存储芯片和SPIFlash储存芯片。
所述控制模块包括微处理器和SD存储器,其中微处理器与网络数据处理模块中的FPGA芯片连接。
与现有技术相比,本发明的有益效果是:
⑴、通过FPGA处理网络数据的方案,相对传统的通过Linux操作系统处理的方案,该方案具有并行处理、处理速度快,内部硬件模块可定义、灵活性非常大的特点。
⑵、本发明的安全措施在网络层及以下层实施,在底层应用过滤规则,对应用层等高层协议是透明的,本身不易遭受到网络攻击,大大提高了安全性。
⑶、考虑到随着物联网技术的发展,在一个大的物联网区域可能有比较多的接入点,为了管理方便,采取了网络管理的方法,即通过管理局域网连接到物联网网关设备的同一接口即可访问设备控制台。而通过前端局域网接口是无法访问的,物理上即进行了隔离,既保证了安全性,又保证了大型系统的可管理性。
附图说明
图1为本发明结构框图;
图2为本发明工作流程图;
图3为本发明应用系统连接示意图。
具体实施方式
下面结合附图对本发明作详细描述。
参阅图1,本发明包括:千兆以太网接口模块3、固件存储模块4、控制模块2、网络数据处理模块1、时钟模块5、电源模块6。时钟模块5分别与网络数据处理模块1、控制模块2及千兆以太网接口模块3连接;网络数据处理模块1分别与千兆以太网接口模块3、固件存储模块4、控制模块2连接;电源模块6分别与千兆以太网接口模块3、固件存储模块4、控制模块2、网络数据处理模块1及时钟模块5连接,为各个模块供电。
本发明的网络数据处理模块1包括FPGA芯片11和DDR2芯片12两部分。网络数据处理模块1需要实时处理两个方向的1000Mbps的网络数据,连接不同局域网,并对网络数据包进行转换、过滤、分包等操作。
本发明的控制模块2包括微处理器21和SD存储器22,其中微处理器21与网络数据处理模块1中的FPGA芯片11连接。控制模块2接收来自管理局域网的管理信息,根据不同的管理命令,进行状态反馈,更新白名单,配置FPGA等操作,使之安全、正确地连接两个网络。其次,控制模块2还要记录工作平台的状态信息,如平台工作环境、错误日志等,SD卡存储这些状态信息。
本发明的千兆以太网接口模块3含有两路独立的以太网接口,每一路包含RJ45插座32和PHY芯片31两部分。两路以太网接口分别连接不同的局域网,PHY芯片31实现网络模拟信号与数字信号间的转换。PHY芯片31提供RGMII接口与网络数据处理模块1中的FPGA芯片11连接并进行数据交换。
本发明的固件存储模块4包括EEPROM存储芯片41和SPIFlash储存芯片42,该模块与网络数据处理模块1中的FPGA芯片11连接。固件存储模块4负责存储物联网网关的初始配置文件,上电时,网络数据处理模块1从固件存储模块4中读取初始配置文件,设置内部寄存器的值。采用固件双备份的方案,采用两种存储方式—EEPROM和SPIFlash对固件进行存储,网络处理模块1优先从EEPROM中读取初始配置文件,若失败再读取SPIFLASH中的备份配置文件。
本发明的时钟模块5为控制模块2、网络数据处理模块1及千兆以太网接口模块3提供时钟驱动。
本发明的电源模块6分别为千兆以太网接口模块3、固件存储模块4、控制模块2、网络数据处理模块1及时钟模块5供电。
参阅图2,本发明是这样工作的:
上电后,进行初始化,网络数据处理模块1读取固件存储模块4中的配置信息,建立源MAC、目的MAC、协议类型、源IP、目的IP、源端口、目的端口和对应局域网IP映射表等白名单,并将白名单保存在网络数据处理模块1内的DDR2中。
控制模块2中的微处理器21进行初始化后,读取SD卡中定义的IP地址和端口号,完成对自身IP地址和端口号的设定,并通过RMII接口向管理局域网发送心跳网络数据包,同时向SD卡写入记录开机时间、系统状态等日志信息。
当以太网数据传送进设备时,千兆以太网接口模块3接收以太网TCP/IP网络数据包,将以太网上的模拟信号,编码转化为网络数据处理模块1能够处理的数字信号,并将数据转换为8位位宽的并行数据,转换后的数据以125M的速率传送给网络数据处理模块1。
网络数据处理模块1接收到千兆以太网接口模块3传送来的TCP/IP网络数据包后,收到一帧数据后,提取出数据包中的源MAC、目的MAC、协议类型、源IP、目的IP、源端口和目的端口等参数。将它们与DDR2中存储的白名单进行比较,若均在白名单中,则该帧是合法,根据参数决定将数据包传送到控制模块2还是另外的局域网上;若与白名单不符,则该帧是不合法,将其拦截并丢弃。
网络数据处理模块1接收到的数据是合法的,且数据需要传送到另外一个局域网时,根据白名单中的对应局域网IP映射表参数,将TCP/IP网络数据包中的源IP、目的IP替换为需要到达的局域网中的源IP、目的IP,如果数据属于SIP协议数据包,还需要替换SIP协议内部与IP有关的字段。将新的TCP/IP网络数据包进行重新校验,统计帧长等操作,完成后将数据包送给千兆以太网接口模块3编码输出到以太网上。
网络数据处理模块1接收到的数据是合法的,且数据需要传送到控制模块2,则网络数据处理模块将数据包通过RMII接口传送给控制模块2。微处理器21对接收到的数据进行判断,如果接收到含有配置信息的网络数据包,则提取其中的寄存器信息写入网络数据处理模块1,更新DDR2中的白名单信息。如果接收到查询命令的网络数据包,则微处理器21读取SD卡中的信息并上传给管理局域网终端。
参阅图3为本发明连接应用系统示意图,图中N为本发明,A、B、C、D为不同的局域网网络。
图中,本发明N两端分别连接不同的局域网网络。B、C、D统称为前端网络,A为管理局域网;其中B为视频监控网,C为烟雾报警器网,D为照明控制网。这些网络都是局域网,为了方便管理,不同类型的网络通常会划分在不同的局域网网段,相互之间是独立的,但管理网络需要对其他网络进行管理,因此,管理网络跟其他网络都有连接。
不同局域网通过物联网网关连接后,可以实现管理网络对不同局域网访问控制,也能够监测网关的信息,同时通过网关的过滤功能,可以有效的防止管理网络被其他局域网非法访问,有效的保护了管理网络的安全。本发明在转发网络数据过程是透明的,本发明本身不会受到攻击。
Claims (5)
1.一种基于FPGA的多功能物联网网关设备,其特征在于:该设备包括千兆以太网接口模块、固件存储模块、控制模块、网络数据处理模块、时钟模块及电源模块,所述网络数据处理模块分别与千兆以太网接口模块、固件存储模块、控制模块及时钟模块连接,时钟模块分别与控制模块、网络数据处理模块及千兆以太网接口模块连接,电源模块分别与千兆以太网接口模块、固件存储模块、控制模块、网络数据处理模块及时钟模块连接,为各模块供电。
2.根据权利要求1所述的设备,其特征在于:所述网络数据处理模块包括FPGA芯片和DDR2芯片,实时处理网络数据,对网络数据包进行转换、过滤、分包操作。
3.根据权利要求1所述的设备,其特征在于:所述千兆以太网接口模块含有两路独立的以太网接口,每一路包含RJ45插座和PHY芯片,两路以太网接口分别连接不同的局域网。
4.根据权利要求1所述的设备,其特征在于:所述固件存储模块与网络数据处理模块中的FPGA芯片连接,其包括EEPROM存储芯片和SPIFlash储存芯片。
5.根据权利要求1所述的设备,其特征在于:所述控制模块包括微处理器和SD存储器,其中微处理器与网络数据处理模块中的FPGA芯片连接。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201610016495.6A CN105490931B (zh) | 2016-01-12 | 2016-01-12 | 基于fpga的多功能物联网网关设备 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201610016495.6A CN105490931B (zh) | 2016-01-12 | 2016-01-12 | 基于fpga的多功能物联网网关设备 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN105490931A true CN105490931A (zh) | 2016-04-13 |
CN105490931B CN105490931B (zh) | 2016-11-30 |
Family
ID=55677662
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201610016495.6A Active CN105490931B (zh) | 2016-01-12 | 2016-01-12 | 基于fpga的多功能物联网网关设备 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN105490931B (zh) |
Cited By (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106027358A (zh) * | 2016-07-12 | 2016-10-12 | 上海厚泽信息技术有限公司 | 一种社会视频网接入视频专网的网络安全管控系统 |
CN106302538A (zh) * | 2016-10-12 | 2017-01-04 | 华东师范大学 | 一种网络视频监控摄像机节点及服务器间隔离设备 |
CN106448380A (zh) * | 2016-10-20 | 2017-02-22 | 华东师范大学 | 一种基于fpga的网络安全教学系统 |
CN107426229A (zh) * | 2017-08-03 | 2017-12-01 | 华东师范大学 | 一种医疗物联网中医疗设备与服务器隔离的安全网关 |
CN108540391A (zh) * | 2018-03-26 | 2018-09-14 | 上海康斐信息技术有限公司 | 用于路由器网口扩展的设计及路由器网口扩展方法 |
CN108777693A (zh) * | 2018-06-29 | 2018-11-09 | 华东师范大学 | 一种基于fpga家庭监控视频的安全管理设备 |
CN109302355A (zh) * | 2018-11-23 | 2019-02-01 | 华东师范大学 | 一种基于zynq的四路万兆以太网安全交换机 |
CN110768944A (zh) * | 2018-11-19 | 2020-02-07 | 哈尔滨安天科技集团股份有限公司 | 基于fpga技术的iot设备防护系统及方法 |
CN111884952A (zh) * | 2020-07-06 | 2020-11-03 | 华东师范大学 | 一种基于fpga的多通道计算加速设备 |
CN113377051A (zh) * | 2021-06-18 | 2021-09-10 | 华东师范大学 | 一种基于fpga的网络安全防护设备 |
Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103944858A (zh) * | 2013-01-18 | 2014-07-23 | 北京睿骊通电子技术有限公司 | 内外测网间隔离计算机 |
-
2016
- 2016-01-12 CN CN201610016495.6A patent/CN105490931B/zh active Active
Patent Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103944858A (zh) * | 2013-01-18 | 2014-07-23 | 北京睿骊通电子技术有限公司 | 内外测网间隔离计算机 |
Cited By (11)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106027358A (zh) * | 2016-07-12 | 2016-10-12 | 上海厚泽信息技术有限公司 | 一种社会视频网接入视频专网的网络安全管控系统 |
CN106302538A (zh) * | 2016-10-12 | 2017-01-04 | 华东师范大学 | 一种网络视频监控摄像机节点及服务器间隔离设备 |
CN106448380A (zh) * | 2016-10-20 | 2017-02-22 | 华东师范大学 | 一种基于fpga的网络安全教学系统 |
CN107426229A (zh) * | 2017-08-03 | 2017-12-01 | 华东师范大学 | 一种医疗物联网中医疗设备与服务器隔离的安全网关 |
CN108540391A (zh) * | 2018-03-26 | 2018-09-14 | 上海康斐信息技术有限公司 | 用于路由器网口扩展的设计及路由器网口扩展方法 |
CN108777693A (zh) * | 2018-06-29 | 2018-11-09 | 华东师范大学 | 一种基于fpga家庭监控视频的安全管理设备 |
CN110768944A (zh) * | 2018-11-19 | 2020-02-07 | 哈尔滨安天科技集团股份有限公司 | 基于fpga技术的iot设备防护系统及方法 |
CN109302355A (zh) * | 2018-11-23 | 2019-02-01 | 华东师范大学 | 一种基于zynq的四路万兆以太网安全交换机 |
CN111884952A (zh) * | 2020-07-06 | 2020-11-03 | 华东师范大学 | 一种基于fpga的多通道计算加速设备 |
CN113377051A (zh) * | 2021-06-18 | 2021-09-10 | 华东师范大学 | 一种基于fpga的网络安全防护设备 |
CN113377051B (zh) * | 2021-06-18 | 2022-04-05 | 华东师范大学 | 一种基于fpga的网络安全防护设备 |
Also Published As
Publication number | Publication date |
---|---|
CN105490931B (zh) | 2016-11-30 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN105490931A (zh) | 基于fpga的多功能物联网网关设备 | |
TWI389525B (zh) | 具有多網段存取性的資料傳輸系統及其方法 | |
CN104301321B (zh) | 一种实现分布式网络安全防护的方法及系统 | |
CN104407913B (zh) | 一种单网卡虚拟机实现双线接入的方法 | |
CN104158767B (zh) | 一种网络准入装置及方法 | |
CN105812502A (zh) | 基于OpenFlow的地址解析协议代理技术的实现方法 | |
CN102821023A (zh) | 一种vlan配置动态迁移的方法及装置 | |
CN105721476A (zh) | 一种网络安全管理系统及方法 | |
CN205283609U (zh) | 基于云端服务的数据传输模块 | |
CN103957171A (zh) | 基于智能交换机物理端口和mac地址的接入控制方法和系统 | |
CN112866018A (zh) | 物联网管理系统及方法 | |
CN107547403A (zh) | 报文转发方法、协助方法、装置、控制器及主机 | |
CN106302538A (zh) | 一种网络视频监控摄像机节点及服务器间隔离设备 | |
CN205356379U (zh) | 基于fpga的多功能物联网网关设备 | |
CN207442866U (zh) | 一种无服务器式物联终端 | |
CN107094187A (zh) | 一种自动查找mac地址的接入交换机端口的方法 | |
CN109379239A (zh) | 一种OpenStack环境中配置接入交换机的方法及装置 | |
CN201657204U (zh) | 实现互联网平台下的网络视频监控的系统 | |
CN103023793B (zh) | 一种地址解析协议表的管理装置及管理方法 | |
CN103595789B (zh) | 一种基于wifi的无线安全电力文件共享设备 | |
CN104683491B (zh) | 一种获取虚拟机的因特网协议地址的方法和系统 | |
TWI506528B (zh) | Visual network management method | |
CN105929794B (zh) | 一种即插即用的工业网络扩展方法 | |
CN103888316B (zh) | 一种多网段多vlan中计算机网络自动化监控方法 | |
CN103944738A (zh) | 一种支持功能扩展的交换机 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant |