CN105592107B - 一种基于fpga的工业过程数据安全采集装置及方法 - Google Patents

一种基于fpga的工业过程数据安全采集装置及方法 Download PDF

Info

Publication number
CN105592107B
CN105592107B CN201610113714.2A CN201610113714A CN105592107B CN 105592107 B CN105592107 B CN 105592107B CN 201610113714 A CN201610113714 A CN 201610113714A CN 105592107 B CN105592107 B CN 105592107B
Authority
CN
China
Prior art keywords
data
macsec
fpga
module
modules
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201610113714.2A
Other languages
English (en)
Other versions
CN105592107A (zh
Inventor
陈夕松
方鑫
缪锐
罗凡
张良朝
崔伟
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NANJING RICHISLAND INFORMATION ENGINEERING Co Ltd
Original Assignee
NANJING RICHISLAND INFORMATION ENGINEERING Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NANJING RICHISLAND INFORMATION ENGINEERING Co Ltd filed Critical NANJING RICHISLAND INFORMATION ENGINEERING Co Ltd
Priority to CN201610113714.2A priority Critical patent/CN105592107B/zh
Publication of CN105592107A publication Critical patent/CN105592107A/zh
Application granted granted Critical
Publication of CN105592107B publication Critical patent/CN105592107B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/162Implementing security features at a particular protocol layer at the data link layer
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/602Providing cryptographic facilities or services
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/14Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using a plurality of keys or algorithms

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computing Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Storage Device Security (AREA)

Abstract

本发明公开了一种基于FPGA的工业过程数据安全采集装置及方法,以FPGA为核心,设计并开发CRC校验模块、MACsec加密、解密模块。利用FPGA支持PCI‑Express的高速数据传输特性保证了工业控制系统中实时数据的传输,使用MACsec加密从硬件上实现加密功能,不向软件提供未加密密钥。在保证实时数据采集速率的基础上提高了信息传递的安全性,使得工业控制系统免受来自管理网的安全风险。

Description

一种基于FPGA的工业过程数据安全采集装置及方法
技术领域
本发明涉及工业过程控制领域,具体涉及一种基于FPGA的工业过程数据安全采集装置及方法。
背景技术
工业化与信息化的发展实现了传统计算机网络与工业控制网络的紧密融合,越来越多的企业管理信息系统,如石油、化工等典型流程工业的生产执行系统(MES),利用多种数据交互设备从集散控制系统(DCS)采集实时数据,进而完成优化控制。特别是物联网、大数据等新技术的逐步深化应用,管理网与工控网的联系日趋紧密,扩大了工控网的访问范围,增加了安全风险。
为了将DCS的生产数据采集到MES中,目前广泛使用普通PC机完成数据采集。虽然在PC机中采用了诸如病毒防护、网卡隔离等措施,但这种以PC机为主的数据采集方式,仍然存在恶意程序在管理网络和控制网络之间肆意传播的隐患。
现有的数据采集装置一般都在应用层上对数据进行加密,属于典型的软件加密方式,这种加密方式不但会降低数据处理速率而且会增加时延。此外,目前数据加密模块一般采用固定的处理速率,这样对于工业控制现场存在的不同数据采集速率将显得不够灵活。最后,目前的数据加密装置一般对不同数据包使用相同的加密密钥,若某一数据包的加密密钥被非授权方获取,那么传输的所有数据都将会被破解,这大大增加了安全风险。
发明内容
为解决现有技术存在的问题,本发明以FPGA为核心,取代了数据采集装置中广泛使用的普通PC机,使用MACsec加密、解密技术,在保证实时数据采集速率的基础上提高了信息传递的安全性,使得工业控制系统免受来自管理网的安全风险。
通过以下技术方案实现,一种基于FPGA的工业过程数据安全采集装置及方法,以FPGA为核心,设计并开发CRC校验模块、MACsec加密、解密模块。
一种基于FPGA的工业过程数据安全采集装置,该装置包括支持PCI-Express的高速数据采集模块、数据发送模块、CRC校验模块、MACsec加密模块以及MACsec解密模块,上述各模块均为FPGA的内嵌模块,由FPGA负责整个装置的运行协调;所述高速数据采集模块采集DCS数据,并通过数据发送模块发送数据至MES;所述CRC校验模块、MACsec解密模块连接高速数据采集模块;所述MACsec加密模块连接数据发送模块;
FPGA的内核加密模块包括AES-GCM模块、MACsec控制模块、密钥和数据存储模块、MAC模块以及物理层,其中AES-GCM模块置于MACsec控制模块中,MACsec控制模块连接数据存储模块以及位于OSI模型中数据链路层的MAC模块:当信息从OSI模型的物理层传输到数据链路层时,MACsec控制模块根据发送者提供的128/256位密钥启动MACsec解密模块进行解密,解密后的数据传输到OSI模型中的网络层之上进行深度数据包检测;当信息从数据链路层传输到物理层时,MACsec控制模块根据密钥和数据存储模块中的128/256位密钥启动MACsec加密模块对传出的数据进行加密,加密完成后通过物理层传出。
优选的,MACsec加密模块、MACsec解密模块在硬件上实现安全加密、解密功能。
一种基于本发明公开的基于FPGA的工业过程数据安全采集装置的采集方法,数据采集装置开始运行后首先从文件中获得采集配置信息,加载采集配置信息成功后对高速数据采集模块进行初始化,通过PCI-Express接口与DCS建立连接;连接成功后对需要采集的标签点进行绑定,以循环的方式不断执行数据读取;对读取到的数据包进行MACsec解密和CRC校验,在确认无误的情况下将数据进一步传输到数据发送模块,数据经过MACsec加密模块处理后对外发布。
更优的,所述MACsec加密模块处理是通过对以太网链路层的数据进行加密。
更优的,所述MACsec加密模块的工作频率可以运行在1GHz、10GHz和40GHz不同档位,能够根据多种不同的数据采集速率而动态改变数据加密速率。
更优的,所述MACsec解密模块的工作频率可以运行在1GHz、10GHz和40GHz不同档位,能够根据多种不同的数据采集速率而动态改变数据解密速率。
更优的,每个数据包都有相应的编号,确保能检测并拒绝接收重复或重新发送的数据包。
更优的,MACsec加密模块对每个数据包使用不同的加密密钥,接收到消息后,接收器会在FPGA上的内容地址存储器列表中查找解密密钥。
更优的,所述CRC校验模块采用异或逻辑,基于8位输入数据和生成多项式运算得出CRC校验码。
具体的,所述CRC校验码计算步骤如下:
(1)将16位寄存器自左到右编号为R15R14…R0
(2)将16位CRC寄存器自左到右编号为C15C14…C0
(3)把CRC寄存器中每一位的初始值都设为0;
(4)计算输入一位数据后CRC寄存器中新的内容;
(5)循环执行步骤(4)直到8位数据输入结束;
(6)计算各个位的因子相互异或的结果,即为CRC校验码。
有益效果:
本发明提供了一种基于FPGA工业过程数据安全采集装置及方法,以FPGA为核心,取代了数据采集装置中广泛使用的普通PC机,使用MACsec加密技术,在保证实时数据采集速率的基础上提高了信息传递的安全性,使得工业控制系统免受来自管理网的安全风险。
附图说明
图1是本发明系统结构框图;
图2是本发明FPGA内核加密模块结构框图;
图3是本发明数据采集流程图。
具体实施方式
下面结合附图,对本发明的具体实施方式作进一步说明。本实施例以本发明技术方案为前提进行实施,但本发明的保护范围不限于下述的实施例。
如图1所示,数据采集装置主要由支持PCI-Express的高速数据采集模块、数据发送模块以及MACsec加密、解密模块组成。数据采集模块的数据源来自于DCS,DCS与FPGA通过PCI-Express进行通讯从而完成实时数据的高速采集。
上述模块均为FPGA主板上的内嵌模块,FPGA主板在DCS和MES之间起到了数据中枢的作用,负责将下层的实时数据安全的传递到上层管理网络中。
如图2所示,FPGA内核加密模块主要由AES-GCM模块、MACsec控制模块、密钥和数据存储模块、MAC(介质访问控制)模块以及物理层组成。其中MAC模块位于OSI模型中的数据链路层,在数据链路层对数据进行加密、解密处理可以提高速度并最大程度的降低时延,若在OSI模型中的数据链路层之上,如网络层、传输层对数据进行加密处理,信息必须传到协议上层进行处理,这显然会增加时延。
图2中,MACsec内核直接连接到数据链路层的MAC模块上,当信息从OSI模型的物理层传输到数据链路层时,MACsec控制模块根据发送者提供的128/256位密钥启动MACsec解密模块进行解密,解密后的数据传输到OSI模型中的网络层之上进行深度数据包检测。当信息从数据链路层传输到物理层时,MACsec控制模块根据密钥和数据存储模块中的128/256位密钥启动MACsec加密模块对传出的数据进行加密,加密完成后通过物理层传出。
MACsec加密模块使得每个数据包使用不同的加密密钥。数据采集模块接收到数据包后,MACsec解密模块上的接收器会在片上的内容地址存储器列表中进行查找,明确用以解密数据包的正确密钥。每个数据包都有相应的编号,确保能检测并拒绝接收重复或重新发送的数据包。
MACsec控制模块不仅能够检测到丢失或重复发送的数据包而且能够收集并统计相关数据包出现异常的原因。提供统计数据以支持攻击检测,能让本采集装置主动应对正在进行的攻击。
通过常用的流水线技术和提高FPGA的时钟频率使得MACsec加密模块的工作频率可以运行在1GHz、10GHz和40GHz不同档位,从而能够根据工业控制现场多种不同的数据采集速率而动态改变加密速率。
如图3所示,本发明中的数据采集装置开始运行后首先从文件中获得采集配置信息,加载采集配置信息成功后对数据采集模块进行初始化,通过PCI-Express接口与DCS建立连接。连接成功后对需要采集的标签点进行绑定,以循环的方式不断执行数据读取。对读取到的数据包进行MACsec解密和CRC校验,在确认无误的情况下将数据进一步传输到数据发送模块,数据经过MACsec加密模块处理后对外发布。
本实施例中的CRC校验码具体计算步骤如下:
(1)将16位寄存器自左到右编号为R15R14…R0
(2)将16位CRC寄存器自左到右编号为C15C14…C0
(3)把CRC寄存器中每一位的初始值都设为0;
(4)计算输入一位数据后CRC寄存器中新的内容;
(5)循环执行步骤(4)直到8位数据输入结束;
(6)计算各个位的因子相互异或的结果,即为CRC校验码。
综上所述,本发明提供了一种基于FPGA的工业过程数据安全采集装置及方法,以FPGA为核心,取代了数据采集装置中广泛使用的普通PC机,使用MACsec加密、解密技术,在保证实时数据采集速率的基础上提供了工业级的安全加密性能,完成了DCS与MES安全可靠地互联,实现了对工业控制现场大量生产数据的采集。
本发明已通过上述实施例及其附图说明清楚,以上仅为本发明的一个具体实例,不构成对本发明的任何限制。在不背离本发明精神和实质的情况下,所属领域的技术人员可根据本发明做出相应变化和修正,这些变化和修正都属于本发明权利要求的保护范围。
本发明未涉及方法均与现有技术相同或可采用现有技术加以实现。

Claims (10)

1.一种基于FPGA的工业过程数据安全采集装置,其特征在于该装置包括支持PCI-Express的高速数据采集模块、数据发送模块、CRC校验模块、FPGA的内核加密模块、MACsec加密模块以及MACsec解密模块,上述各模块均为FPGA的内嵌模块,由FPGA负责整个装置的运行协调;所述高速数据采集模块采集DCS数据,并通过数据发送模块发送数据至MES;所述CRC校验模块、MACsec解密模块连接高速数据采集模块;所述MACsec加密模块连接数据发送模块;
FPGA的内核加密模块包括AES-GCM模块、MACsec控制模块、密钥和数据存储模块、MAC模块以及物理层,其中AES-GCM模块置于MACsec控制模块中,MACsec控制模块连接数据存储模块以及位于OSI模型中数据链路层的MAC模块:当信息从OSI模型的物理层传输到数据链路层时,MACsec控制模块根据发送者提供的128/256位密钥启动MACsec解密模块进行解密,解密后的数据传输到OSI模型中的网络层之上进行深度数据包检测;当信息从数据链路层传输到物理层时,MACsec控制模块根据密钥和数据存储模块中的128/256位密钥启动MACsec加密模块对传出的数据进行加密,加密完成后通过物理层传出。
2.根据权利要求1所述的一种基于FPGA的工业过程数据安全采集装置,其特征在于MACsec加密模块、MACsec解密模块在硬件上实现安全加密、解密功能。
3.一种基于如权利要求1所述的基于FPGA的工业过程数据安全采集装置的采集方法,其特征在于数据采集装置开始运行后首先从文件中获得采集配置信息,加载采集配置信息成功后对高速数据采集模块进行初始化,通过PCI-Express接口与DCS建立连接;连接成功后对需要采集的标签点进行绑定,以循环的方式不断执行数据读取;对读取到的数据包进行MACsec解密和CRC校验,在确认无误的情况下将数据进一步传输到数据发送模块,数据经过MACsec加密模块处理后对外发布。
4.根据权利要求3所述的一种基于FPGA的工业过程数据安全采集方法,其特征在于所述MACsec加密模块处理是通过对以太网链路层的数据进行加密。
5.根据权利要求3所述的一种基于FPGA的工业过程数据安全采集方法,其特征在于所述MACsec加密模块的工作频率可以运行在1GHz、10GHz和40GHz不同档位,能够根据多种不同的数据采集速率而动态改变数据加密速率。
6.根据权利要求3所述的一种基于FPGA的工业过程数据安全采集方法,其特征在于所述MACsec解密模块的工作频率可以运行在1GHz、10GHz和40GHz不同档位,能够根据多种不同的数据采集速率而动态改变数据解密速率。
7.根据权利要求3所述的一种基于FPGA的工业过程数据安全采集方法,其特征在于每个数据包都有相应的编号,确保能检测并拒绝接收重复或重新发送的数据包。
8.根据权利要求3所述的一种基于FPGA的工业过程数据安全采集方法,其特征在于MACsec加密模块对每个数据包使用不同的加密密钥,接收到消息后,接收器会在FPGA上的内容地址存储器列表中查找解密密钥。
9.根据权利要求3所述的一种基于FPGA的工业过程数据安全采集方法,其特征在于所述CRC校验模块采用异或逻辑,基于8位输入数据和生成多项式运算得出CRC校验码。
10.根据权利要求9所述的一种基于FPGA的工业过程数据安全采集方法,其特征在于所述CRC校验码计算步骤如下:
(1)将16位寄存器自左到右编号为R15R14…R0
(2)将16位CRC寄存器自左到右编号为C15C14…C0
(3)把CRC寄存器中每一位的初始值都设为0;
(4)计算输入一位数据后CRC寄存器中新的内容;
(5)循环执行步骤(4)直到8位数据输入结束;
(6)计算各个位的因子相互异或的结果,即为CRC校验码。
CN201610113714.2A 2016-03-01 2016-03-01 一种基于fpga的工业过程数据安全采集装置及方法 Active CN105592107B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201610113714.2A CN105592107B (zh) 2016-03-01 2016-03-01 一种基于fpga的工业过程数据安全采集装置及方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201610113714.2A CN105592107B (zh) 2016-03-01 2016-03-01 一种基于fpga的工业过程数据安全采集装置及方法

Publications (2)

Publication Number Publication Date
CN105592107A CN105592107A (zh) 2016-05-18
CN105592107B true CN105592107B (zh) 2018-10-23

Family

ID=55931321

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201610113714.2A Active CN105592107B (zh) 2016-03-01 2016-03-01 一种基于fpga的工业过程数据安全采集装置及方法

Country Status (1)

Country Link
CN (1) CN105592107B (zh)

Families Citing this family (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106788894A (zh) * 2016-12-20 2017-05-31 中核控制系统工程有限公司 分段独立传输校验方法
CN108055268A (zh) * 2017-12-17 2018-05-18 天津津航计算技术研究所 一种基于PCIe链路数据透传加解密的方法
US11582042B2 (en) 2018-03-16 2023-02-14 General Electric Company Industrial data verification using secure, distributed ledger
CN109391609A (zh) * 2018-04-10 2019-02-26 江苏亨通工控安全研究院有限公司 支持工控协议的传输加密方法及系统
EP3570499B1 (de) * 2018-05-15 2021-04-07 Siemens Aktiengesellschaft Verfahren zur funktional sicheren verbindungsidentifizierung
CN109412863A (zh) * 2018-11-23 2019-03-01 广州市成格信息技术有限公司 一种新型智能ai运维感知设备
CN110166449A (zh) * 2019-05-16 2019-08-23 东莞稳控智能技术有限公司 一种缝纫设备控制器的数据加密方法
CN111552972B (zh) * 2020-06-10 2023-02-03 郑州轻工业大学 一种基于大数据的深度学习系统
US11233635B1 (en) * 2020-09-01 2022-01-25 Schweitzer Engineering Laboratories, Inc. Media access control security (MACSEC) application cryptographic fingerprinting
CN113014385B (zh) * 2021-03-25 2023-09-01 黑龙江大学 一种双网口硬件网络数据加密系统

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103941652A (zh) * 2013-01-22 2014-07-23 浙江安科网络技术有限公司 一种适用于各类dcs生产控制系统安全防护与安全审计的方法与装置
CN103984275A (zh) * 2014-06-06 2014-08-13 北京敬科海工科技有限公司 一种基于fpga的通用工业运动控制系统及基于该运动控制系统的控制方法
CN104486336A (zh) * 2014-12-12 2015-04-01 冶金自动化研究设计院 工业控制网络安全隔离交换装置
CN104539573A (zh) * 2014-10-30 2015-04-22 北京科技大学 一种基于嵌入式系统的工业安全网关的通信方法及装置
CN104618338A (zh) * 2014-12-31 2015-05-13 北京航天测控技术有限公司 一种工业以太网通信数据加密透传模块

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103941652A (zh) * 2013-01-22 2014-07-23 浙江安科网络技术有限公司 一种适用于各类dcs生产控制系统安全防护与安全审计的方法与装置
CN103984275A (zh) * 2014-06-06 2014-08-13 北京敬科海工科技有限公司 一种基于fpga的通用工业运动控制系统及基于该运动控制系统的控制方法
CN104539573A (zh) * 2014-10-30 2015-04-22 北京科技大学 一种基于嵌入式系统的工业安全网关的通信方法及装置
CN104486336A (zh) * 2014-12-12 2015-04-01 冶金自动化研究设计院 工业控制网络安全隔离交换装置
CN104618338A (zh) * 2014-12-31 2015-05-13 北京航天测控技术有限公司 一种工业以太网通信数据加密透传模块

Also Published As

Publication number Publication date
CN105592107A (zh) 2016-05-18

Similar Documents

Publication Publication Date Title
CN105592107B (zh) 一种基于fpga的工业过程数据安全采集装置及方法
CN105357218B (zh) 一种具备硬件加解密功能的路由器及其加解密方法
CN101834840B (zh) 具有业务可视性的用于端到端网络安全性的高效密钥推导系统、方法及设备
CN103248650B (zh) 一种文件下载方法及系统
CN107800713A (zh) 一种网间数据的安全交换方法及系统
CN103885830B (zh) 一种虚拟机跨数据中心动态迁移中的数据处理方法
CN106487749A (zh) 密钥生成方法及装置
CN102138300A (zh) 消息认证码预计算在安全存储器中的应用
CN104579679B (zh) 用于农配网通信设备的无线公网数据转发方法
CN106027235A (zh) 一种pci密码卡和海量密钥密码运算方法及系统
CN103716166A (zh) 一种自适应混合加密方法、装置以及加密通信系统
CN104463040A (zh) 一种密码安全输入方法及系统
CN105227298B (zh) 基于改进型gcm的智能变电站报文安全传输实现方法
CN107888381A (zh) 一种密钥导入的实现方法、装置及系统
CN101738516A (zh) 一种电子式电能表数据安全传输的方法及电能表装置
CN104468309B (zh) 一种低速smp与高速密码卡的高效适配方法
CN103441983A (zh) 基于链路层发现协议的信息保护方法和装置
CN109977685A (zh) 网页内容加密方法,加密装置及系统
CN103345453A (zh) 支持sata接口的硬盘数据加密卡及加解密方法
CN103327034A (zh) 安全登录方法、系统和装置
CN108848107A (zh) 一种安全传输网络信息的方法
CN106850517A (zh) 一种解决内外网重复登录的方法、装置及系统
CN113328853A (zh) 一种采用量子密钥提升安全性的联盟链系统
CN201051744Y (zh) 一种安全的加密网卡装置
CN113591109B (zh) 可信执行环境与云端通信的方法及系统

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant