CN106301574A - 一种can工业光纤加密转换器及其fpga加密算法实现方法 - Google Patents

一种can工业光纤加密转换器及其fpga加密算法实现方法 Download PDF

Info

Publication number
CN106301574A
CN106301574A CN201610721269.8A CN201610721269A CN106301574A CN 106301574 A CN106301574 A CN 106301574A CN 201610721269 A CN201610721269 A CN 201610721269A CN 106301574 A CN106301574 A CN 106301574A
Authority
CN
China
Prior art keywords
optical fiber
fpga
information
encryption
transducer
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201610721269.8A
Other languages
English (en)
Other versions
CN106301574B (zh
Inventor
晏培
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing Tianyu Technology (beijing) Co Ltd
Original Assignee
Beijing Tianyu Technology (beijing) Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Tianyu Technology (beijing) Co Ltd filed Critical Beijing Tianyu Technology (beijing) Co Ltd
Priority to CN201610721269.8A priority Critical patent/CN106301574B/zh
Publication of CN106301574A publication Critical patent/CN106301574A/zh
Application granted granted Critical
Publication of CN106301574B publication Critical patent/CN106301574B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • H04L12/40006Architecture of a communication node
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04BTRANSMISSION
    • H04B10/00Transmission systems employing electromagnetic waves other than radio-waves, e.g. infrared, visible or ultraviolet light, or employing corpuscular radiation, e.g. quantum communication
    • H04B10/25Arrangements specific to fibre transmission
    • H04B10/2589Bidirectional transmission
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/46Interconnection of networks
    • H04L12/4633Interconnection of networks using encapsulation techniques, e.g. tunneling
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • H04L9/0877Generation of secret information including derivation or calculation of cryptographic keys or passwords using additional device, e.g. trusted platform module [TPM], smartcard, USB or hardware security module [HSM]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • H04L2012/40208Bus networks characterized by the use of a particular bus standard
    • H04L2012/40215Controller Area Network CAN

Abstract

本发明公开了一种CAN工业光纤加密转换器及其FPGA加密算法实现方法,该CAN工业光纤加密转换器,包括CAN信息包过滤模块、FPGA加密模块与OPT光纤引擎模块。CAN工业光纤加密转换器接入CAN工业总线时,首先判断CAN工业总线状态,自动匹配CAN工业总线,成功连接后CAN光纤加密转换器接收来自工业CAN总线发送的数据信息;CAN工业光纤加密转换器依据数据信息内容,查找和判断是否为完整的CAN工业总线信息,如果检测成功则CAN工业光纤加密转换器按照规约在FPGA加密模块进行加密封装并发送至OPT光纤引擎模块,如果检测失败则CAN工业光纤加密转换器将数据信息阻断。本发明能保证数据的安全性和高吞吐率。

Description

一种CAN工业光纤加密转换器及其FPGA加密算法实现方法
技术领域
本发明涉及工业信息通信安全技术领域,具体是一种CAN工业光纤加密转换器及其FPGA加密算法实现方法。
背景技术
随着信息技术和网络技术在工业系统中应用的普及,工业CAN总线应用系统的安全问题是工业CAN总线系统面临的直接威胁,目前市场上的各种工控防火墙只在网络层实现了对工控协议的简单过滤,由于工控协议种类多,协议差异大,所以一般的工控防火墙都是在应用层进行协议过滤,带来的问题就是性能低并且安全性无法保证,数据包很容易被篡改,对工业信息系统的安全有很大威胁。
工业CAN总线信息安全需求已经迫在眉睫,本发明结合传统安全相关技术,针对工业CAN总线信息系统的特点,发明一种CAN工业总线与光纤通信的FPGA加密算法实现的工业通信网关,通过一个工业CAN接口设备判断CAN工业总线状态,自动匹配CAN工业总线,成功连接后将信息下发给内核FPGA,数据直接在底层设备内核进行加密传输,提升系统性能,解决工业信息系统安全问题。
发明内容
本发明的目的在于提供一种保证数据的安全性和高吞吐率的CAN工业光纤加密转换器及其FPGA加密算法实现方法,以解决上述背景技术中提出的问题。
为实现上述目的,本发明提供如下技术方案:
一种CAN工业光纤加密转换器,包括CAN信息包过滤模块、FPGA加密模块与OPT光纤引擎模块;其中,
所述CAN信息包过滤模块,用于对CAN总线数据包的过滤并建立和维护CAN总线状态表信息,CAN总线状态表信息包括正向连接信息和反向连接信息;
所述FPGA加密模块,用于标准CAN总线信息帧的加密和隧道封装;
所述OPT光纤引擎模块,用于对从内核FPGA送上来的数据包进行光纤转换并发送信息。
作为本发明进一步的方案:所述CAN信息包过滤模块具体包括:
工业CAN总线通信单元,用于接收工业CAN总线发送的数据信息,包括CAN总线状态表信息的建立和删除信息、CAN配置信息;
CAN总线状态维护单元,用于对CAN总线状态的维护,包括根据从工业CAN总线模块接收到的正向连接信息自动建立、反向连接信息和CAN总线状态表信息的超时管理;
作为本发明进一步的方案:所述FPGA加密模块具体包括:
FPGA逻辑单元,用于判断CAN信息包过滤模块采集到的CAN总线信息帧是否加密,如果加密则进入FPGA封装单元,否则将CAN总线信息帧丢弃,并通知CAN信息包过滤模块状态改变;
FPGA封装单元,用于对CAN总线信息帧数据的加密封装和解密。
作为本发明进一步的方案:所述OPT光纤引擎模块具体包括:
OPT光纤通信单元,用于判断OPT通道连接状态,如果OPT连接已经建立,将FPGA封装单元数据推送到OPT光纤转换单元,否则反馈信息到FPGA加密模块调整状态,直至工业CAN总线通信单元,停止接收工业CAN总线发送的数据信息;
OPT光纤转换单元,用于光电之间的转换和封装;
OPT光纤发送单元,用于OPT通道连接建立和封装信息的发送。
本发明另一目的是提供基于CAN工业光纤加密转换器的FPGA加密算法实现方法,包括以下步骤:
CAN工业光纤加密转换器接入CAN工业总线时,首先判断CAN工业总线状态,自动匹配CAN工业总线,成功连接后CAN光纤加密转换器接收来自工业CAN总线发送的数据信息;CAN工业光纤加密转换器依据数据信息内容,查找和判断是否为完整的CAN工业总线信息,如果检测成功则CAN工业光纤加密转换器按照规约在FPGA加密模块进行加密封装并发送至OPT光纤引擎模块,如果检测失败则CAN工业光纤加密转换器将数据信息阻断。
与现有技术相比,本发明的有益效果是:
本发明采用基于CAN工业总线与光纤通信的FPGA加密算法的安全传输,解决了CAN工业光纤转换器接收来自工业控制CAN总线数据的安全传输问题。本发明通过一个CAN工业光纤加密转换器判断CAN工业总线状态,自动匹配CAN工业总线,成功连接后将信息下发给内核FPGA。FPGA内核通过独立的数据加密和进行传输,保证数据的安全性和高吞吐率。
附图说明
图1是本发明所述安全加密转换器的部署图;
图2是本发明所述安全加密转换器的工作原理图;
图3是本发明所述安全加密转换器通信方法的流程图。
具体实施方式
下面将结合本发明实施例,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
实施例1
请参阅图1-3,本发明实施例中,一种CAN工业光纤加密转换器,包括CAN信息包过滤模块、FPGA加密模块与OPT光纤引擎模块。
所述CAN信息包过滤模块,用于对CAN总线数据包的过滤并建立和维护CAN总线状态表信息,CAN总线状态表信息包括正向连接信息和反向连接信息。
所述FPGA加密模块,用于标准CAN总线信息帧的加密和隧道封装。
所述OPT光纤引擎模块,用于对从内核FPGA送上来的数据包进行光纤转换并发送信息。
所述CAN信息包过滤模块具体包括:工业CAN总线通信单元,用于接收工业CAN总线发送的数据信息,包括CAN总线状态表信息的建立和删除信息、CAN配置信息;CAN总线状态维护单元,用于对CAN总线状态的维护,包括根据从工业CAN总线模块接收到的正向连接信息自动建立、反向连接信息和CAN总线状态表信息的超时管理。
所述FPGA加密模块具体包括:FPGA逻辑单元,用于判断CAN信息包过滤模块采集到的CAN总线信息帧是否加密,如果加密则进入FPGA封装单元,否则将CAN总线信息帧丢弃,并通知CAN信息包过滤模块状态改变;FPGA封装单元,用于对CAN总线信息帧数据的加密封装和解密。
所述OPT光纤引擎模块具体包括:OPT光纤通信单元,用于判断OPT通道连接状态,如果OPT连接已经建立,将FPGA封装单元数据推送到OPT光纤转换单元,否则反馈信息到FPGA加密模块调整状态,直至工业CAN总线通信单元,停止接收工业CAN总线发送的数据信息;OPT光纤转换单元,用于光电之间的转换和封装;OPT光纤发送单元,用于OPT通道连接建立和封装信息的发送。
对于本领域技术人员而言,显然本发明不限于上述示范性实施例的细节,而且在不背离本发明的精神或基本特征的情况下,能够以其他的具体形式实现本发明。因此,无论从哪一点来看,均应将实施例看作是示范性的,而且是非限制性的,本发明的范围由所附权利要求而不是上述说明限定,因此旨在将落在权利要求的等同要件的含义和范围内的所有变化囊括在本发明内。
此外,应当理解,虽然本说明书按照实施方式加以描述,但并非每个实施方式仅包含一个独立的技术方案,说明书的这种叙述方式仅仅是为清楚起见,本领域技术人员应当将说明书作为一个整体,各实施例中的技术方案也可以经适当组合,形成本领域技术人员可以理解的其他实施方式。

Claims (4)

1.一种CAN工业光纤加密转换器,其特征在于,包括CAN信息包过滤模块、FPGA加密模块与OPT光纤引擎模块;其中,
所述CAN信息包过滤模块,用于对CAN总线数据包的过滤并建立和维护CAN总线状态表信息,CAN总线状态表信息包括正向连接信息和反向连接信息;
所述FPGA加密模块,用于标准CAN总线信息帧的加密和隧道封装;
所述OPT光纤引擎模块,用于对从内核FPGA送上来的数据包进行光纤转换并发送信息。
2.根据权利要求1所述的CAN工业光纤加密转换器,其特征在于,所述CAN信息包过滤模块具体包括:
工业CAN总线通信单元,用于接收工业CAN总线发送的数据信息,包括CAN总线状态表信息的建立和删除信息、CAN配置信息。
CAN总线状态维护单元,用于对CAN总线状态的维护,包括根据从工业CAN总线模块接收到的正向连接信息自动建立、反向连接信息和CAN总线状态表信息的超时管理;
3.根据权利要求1所述的CAN工业光纤加密转换器,其特征在于,所述FPGA加密模块具体包括:
FPGA逻辑单元,用于判断CAN信息包过滤模块采集到的CAN总线信息帧是否加密,如果加密则进入FPGA封装单元,否则将CAN总线信息帧丢弃,并通知CAN信息包过滤模块状态改变;
FPGA封装单元,用于对CAN总线信息帧数据的加密封装和解密。
4.根据权利要求1所述的CAN工业光纤加密转换器,其特征在于,所述OPT光纤引擎模块具体包括:
OPT光纤通信单元,用于判断OPT通道连接状态,如果OPT连接已经建立,将FPGA封装单元数据推送到OPT光纤转换单元,否则反馈信息到FPGA加密模块调整状态,直至工业CAN总线通信单元,停止接收工业CAN总线发送的数据信息;
OPT光纤转换单元,用于光电之间的转换和封装;
OPT光纤发送单元,用于OPT通道连接建立和封装信息的发送。
CN201610721269.8A 2016-08-24 2016-08-24 一种can工业光纤加密转换器及其fpga加密算法实现方法 Active CN106301574B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201610721269.8A CN106301574B (zh) 2016-08-24 2016-08-24 一种can工业光纤加密转换器及其fpga加密算法实现方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201610721269.8A CN106301574B (zh) 2016-08-24 2016-08-24 一种can工业光纤加密转换器及其fpga加密算法实现方法

Publications (2)

Publication Number Publication Date
CN106301574A true CN106301574A (zh) 2017-01-04
CN106301574B CN106301574B (zh) 2018-12-14

Family

ID=57615252

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201610721269.8A Active CN106301574B (zh) 2016-08-24 2016-08-24 一种can工业光纤加密转换器及其fpga加密算法实现方法

Country Status (1)

Country Link
CN (1) CN106301574B (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107786404A (zh) * 2017-09-20 2018-03-09 北京东土科技股份有限公司 工业互联网现场层宽带总线架构的安全性实现方法及装置

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP1298850A2 (de) * 2001-09-26 2003-04-02 Robert Bosch Gmbh Verfahren und Vorrichtung zur Überwachung eines Bussystems und Bussystem
CN101901318A (zh) * 2010-07-23 2010-12-01 北京工业大学 一种可信硬件设备及其使用方法
US20110093639A1 (en) * 2009-10-19 2011-04-21 Microchip Technology Incorporated Secure Communications Between and Verification of Authorized CAN Devices
CN103281224A (zh) * 2013-04-02 2013-09-04 中船重工(武汉)凌久高科有限公司 一种智能照明控制系统中can总线安全通信方法

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP1298850A2 (de) * 2001-09-26 2003-04-02 Robert Bosch Gmbh Verfahren und Vorrichtung zur Überwachung eines Bussystems und Bussystem
US20110093639A1 (en) * 2009-10-19 2011-04-21 Microchip Technology Incorporated Secure Communications Between and Verification of Authorized CAN Devices
CN101901318A (zh) * 2010-07-23 2010-12-01 北京工业大学 一种可信硬件设备及其使用方法
CN103281224A (zh) * 2013-04-02 2013-09-04 中船重工(武汉)凌久高科有限公司 一种智能照明控制系统中can总线安全通信方法

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107786404A (zh) * 2017-09-20 2018-03-09 北京东土科技股份有限公司 工业互联网现场层宽带总线架构的安全性实现方法及装置

Also Published As

Publication number Publication date
CN106301574B (zh) 2018-12-14

Similar Documents

Publication Publication Date Title
CN105871873A (zh) 一种用于配电终端通信的安全加密认证模块及其方法
CN104811427B (zh) 一种安全的工业控制系统通信方法
CN104516334B (zh) 一种正反向隔离装置闭环控制系统及其控制方法
CN105763542A (zh) 一种用于配电终端串口通信的加密认证装置及其方法
CN202424770U (zh) 一种网络数据安全隔离器
CN109905371A (zh) 双向加密认证系统及其应用方法
CN107947925A (zh) 一种适用于纵差保护的量子密钥加密系统及控制方法
CN101945116A (zh) 一种跨域视频数据安全交换方法
CN106254231A (zh) 一种基于状态的工业安全加密网关及其实现方法
WO2011127804A1 (zh) M2m中数据加密传输的方法、设备及系统
CN103441850A (zh) 无线安全路由器、配电网数据传输系统及其工作方法
CN106134522B (zh) 一种基于无线激光的单向数据传输方法和装置
CN108011867B (zh) 一种铁路信号的安全加密方法及系统
CN109660565A (zh) 一种隔离网闸设备和实现方法
CN105187211A (zh) 一种消息安全发送接收方法及发送接收装置
CN103532236B (zh) 电力自动化系统可移动式安全应急通道装置
CN106301574A (zh) 一种can工业光纤加密转换器及其fpga加密算法实现方法
CN109753009A (zh) 一种液位监测数据在线管理系统
CN205354119U (zh) 一种知识产权交易平台
CN202050425U (zh) 一种内网设备非法外联监控系统
CN206461659U (zh) 一种基于路由器的局域网服务平台
CN110913004A (zh) 一种基于云平台数据安全交换的方法
CN103795549B (zh) 通信内容加密解密方法以及基于cs模式的加密管理方法
CN205051736U (zh) 一种安全高效卫星数据传输系统
CN205377933U (zh) 基于数字安全芯片的物联网传输系统

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant