CN106301574B - 一种can工业光纤加密转换器及其fpga加密算法实现方法 - Google Patents
一种can工业光纤加密转换器及其fpga加密算法实现方法 Download PDFInfo
- Publication number
- CN106301574B CN106301574B CN201610721269.8A CN201610721269A CN106301574B CN 106301574 B CN106301574 B CN 106301574B CN 201610721269 A CN201610721269 A CN 201610721269A CN 106301574 B CN106301574 B CN 106301574B
- Authority
- CN
- China
- Prior art keywords
- information
- optical fiber
- industrial
- bus
- fpga
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 239000013307 optical fiber Substances 0.000 title claims abstract description 49
- 238000000034 method Methods 0.000 title abstract description 7
- 238000001914 filtration Methods 0.000 claims abstract description 21
- 238000005538 encapsulation Methods 0.000 claims abstract description 4
- 238000004806 packaging method and process Methods 0.000 claims description 18
- 238000004891 communication Methods 0.000 claims description 14
- 238000006243 chemical reaction Methods 0.000 claims description 12
- 239000000835 fiber Substances 0.000 claims description 4
- 238000012423 maintenance Methods 0.000 claims description 3
- 238000005516 engineering process Methods 0.000 description 4
- 230000005540 biological transmission Effects 0.000 description 3
- 238000001514 detection method Methods 0.000 description 2
- 238000010586 diagram Methods 0.000 description 2
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/40—Bus networks
- H04L12/40006—Architecture of a communication node
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04B—TRANSMISSION
- H04B10/00—Transmission systems employing electromagnetic waves other than radio-waves, e.g. infrared, visible or ultraviolet light, or employing corpuscular radiation, e.g. quantum communication
- H04B10/25—Arrangements specific to fibre transmission
- H04B10/2589—Bidirectional transmission
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4633—Interconnection of networks using encapsulation techniques, e.g. tunneling
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
- H04L9/0877—Generation of secret information including derivation or calculation of cryptographic keys or passwords using additional device, e.g. trusted platform module [TPM], smartcard, USB or hardware security module [HSM]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/40—Bus networks
- H04L2012/40208—Bus networks characterized by the use of a particular bus standard
- H04L2012/40215—Controller Area Network CAN
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- Electromagnetism (AREA)
- Small-Scale Networks (AREA)
Abstract
本发明公开了一种CAN工业光纤加密转换器及其FPGA加密算法实现方法,该CAN工业光纤加密转换器,包括CAN信息包过滤模块、FPGA加密模块与OPT光纤引擎模块。CAN工业光纤加密转换器接入CAN工业总线时,首先判断CAN工业总线状态,自动匹配CAN工业总线,成功连接后CAN光纤加密转换器接收来自工业CAN总线发送的数据信息;CAN工业光纤加密转换器依据数据信息内容,查找和判断是否为完整的CAN工业总线信息,如果检测成功则CAN工业光纤加密转换器按照规约在FPGA加密模块进行加密封装并发送至OPT光纤引擎模块,如果检测失败则CAN工业光纤加密转换器将数据信息阻断。本发明能保证数据的安全性和高吞吐率。
Description
技术领域
本发明涉及工业信息通信安全技术领域,具体是一种CAN工业光纤加密转换器及其FPGA加密算法实现方法。
背景技术
随着信息技术和网络技术在工业系统中应用的普及,工业CAN总线应用系统的安全问题是工业CAN总线系统面临的直接威胁,目前市场上的各种工控防火墙只在网络层实现了对工控协议的简单过滤,由于工控协议种类多,协议差异大,所以一般的工控防火墙都是在应用层进行协议过滤,带来的问题就是性能低并且安全性无法保证,数据包很容易被篡改,对工业信息系统的安全有很大威胁。
工业CAN总线信息安全需求已经迫在眉睫,本发明结合传统安全相关技术,针对工业CAN总线信息系统的特点,发明一种CAN工业总线与光纤通信的FPGA加密算法实现的工业通信网关,通过一个工业CAN接口设备判断CAN工业总线状态,自动匹配CAN工业总线,成功连接后将信息下发给内核FPGA,数据直接在底层设备内核进行加密传输,提升系统性能,解决工业信息系统安全问题。
发明内容
本发明的目的在于提供一种保证数据的安全性和高吞吐率的CAN工业光纤加密转换器及其FPGA加密算法实现方法,以解决上述背景技术中提出的问题。
为实现上述目的,本发明提供如下技术方案:
一种CAN工业光纤加密转换器,包括CAN信息包过滤模块、FPGA加密模块与OPT光纤引擎模块;其中,
所述CAN信息包过滤模块,用于对CAN总线数据包的过滤并建立和维护CAN总线状态表信息,CAN总线状态表信息包括正向连接信息和反向连接信息;
所述FPGA加密模块,用于标准CAN总线信息帧的加密和隧道封装;
所述OPT光纤引擎模块,用于对从内核FPGA送上来的数据包进行光纤转换并发送信息。
作为本发明进一步的方案:所述CAN信息包过滤模块具体包括:
工业CAN总线通信单元,用于接收工业CAN总线发送的数据信息,包括CAN总线状态表信息的建立和删除信息、CAN配置信息;
CAN总线状态维护单元,用于对CAN总线状态的维护,包括根据从工业CAN总线模块接收到的正向连接信息自动建立、反向连接信息和CAN总线状态表信息的超时管理;
作为本发明进一步的方案:所述FPGA加密模块具体包括:
FPGA逻辑单元,用于判断CAN信息包过滤模块采集到的CAN总线信息帧是否加密,如果加密则进入FPGA封装单元,否则将CAN总线信息帧丢弃,并通知CAN信息包过滤模块状态改变;
FPGA封装单元,用于对CAN总线信息帧数据的加密封装和解密。
作为本发明进一步的方案:所述OPT光纤引擎模块具体包括:
OPT光纤通信单元,用于判断OPT通道连接状态,如果OPT连接已经建立,将FPGA封装单元数据推送到OPT光纤转换单元,否则反馈信息到FPGA加密模块调整状态,直至工业CAN总线通信单元,停止接收工业CAN总线发送的数据信息;
OPT光纤转换单元,用于光电之间的转换和封装;
OPT光纤发送单元,用于OPT通道连接建立和封装信息的发送。
本发明另一目的是提供基于CAN工业光纤加密转换器的FPGA加密算法实现方法,包括以下步骤:
CAN工业光纤加密转换器接入CAN工业总线时,首先判断CAN工业总线状态,自动匹配CAN工业总线,成功连接后CAN光纤加密转换器接收来自工业CAN总线发送的数据信息;CAN工业光纤加密转换器依据数据信息内容,查找和判断是否为完整的CAN工业总线信息,如果检测成功则CAN工业光纤加密转换器按照规约在FPGA加密模块进行加密封装并发送至OPT光纤引擎模块,如果检测失败则CAN工业光纤加密转换器将数据信息阻断。
与现有技术相比,本发明的有益效果是:
本发明采用基于CAN工业总线与光纤通信的FPGA加密算法的安全传输,解决了CAN工业光纤转换器接收来自工业控制CAN总线数据的安全传输问题。本发明通过一个CAN工业光纤加密转换器判断CAN工业总线状态,自动匹配CAN工业总线,成功连接后将信息下发给内核FPGA。FPGA内核通过独立的数据加密和进行传输,保证数据的安全性和高吞吐率。
附图说明
图1是本发明所述安全加密转换器的部署图;
图2是本发明所述安全加密转换器的工作原理图;
图3是本发明所述安全加密转换器通信方法的流程图。
具体实施方式
下面将结合本发明实施例,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
实施例1
请参阅图1-3,本发明实施例中,一种CAN工业光纤加密转换器,包括CAN信息包过滤模块、FPGA加密模块与OPT光纤引擎模块。
所述CAN信息包过滤模块,用于对CAN总线数据包的过滤并建立和维护CAN总线状态表信息,CAN总线状态表信息包括正向连接信息和反向连接信息。
所述FPGA加密模块,用于标准CAN总线信息帧的加密和隧道封装。
所述OPT光纤引擎模块,用于对从内核FPGA送上来的数据包进行光纤转换并发送信息。
所述CAN信息包过滤模块具体包括:工业CAN总线通信单元,用于接收工业CAN总线发送的数据信息,包括CAN总线状态表信息的建立和删除信息、CAN配置信息;CAN总线状态维护单元,用于对CAN总线状态的维护,包括根据从工业CAN总线模块接收到的正向连接信息自动建立、反向连接信息和CAN总线状态表信息的超时管理。
所述FPGA加密模块具体包括:FPGA逻辑单元,用于判断CAN信息包过滤模块采集到的CAN总线信息帧是否加密,如果加密则进入FPGA封装单元,否则将CAN总线信息帧丢弃,并通知CAN信息包过滤模块状态改变;FPGA封装单元,用于对CAN总线信息帧数据的加密封装和解密。
所述OPT光纤引擎模块具体包括:OPT光纤通信单元,用于判断OPT通道连接状态,如果OPT连接已经建立,将FPGA封装单元数据推送到OPT光纤转换单元,否则反馈信息到FPGA加密模块调整状态,直至工业CAN总线通信单元,停止接收工业CAN总线发送的数据信息;OPT光纤转换单元,用于光电之间的转换和封装;OPT光纤发送单元,用于OPT通道连接建立和封装信息的发送。
对于本领域技术人员而言,显然本发明不限于上述示范性实施例的细节,而且在不背离本发明的精神或基本特征的情况下,能够以其他的具体形式实现本发明。因此,无论从哪一点来看,均应将实施例看作是示范性的,而且是非限制性的,本发明的范围由所附权利要求而不是上述说明限定,因此旨在将落在权利要求的等同要件的含义和范围内的所有变化囊括在本发明内。
此外,应当理解,虽然本说明书按照实施方式加以描述,但并非每个实施方式仅包含一个独立的技术方案,说明书的这种叙述方式仅仅是为清楚起见,本领域技术人员应当将说明书作为一个整体,各实施例中的技术方案也可以经适当组合,形成本领域技术人员可以理解的其他实施方式。
Claims (3)
1.一种CAN工业光纤加密转换器,其特征在于,包括CAN信息包过滤模块、FPGA加密模块与OPT光纤引擎模块;其中,
所述CAN信息包过滤模块,用于对CAN总线数据包的过滤并建立和维护CAN总线状态表信息,CAN总线状态表信息包括正向连接信息和反向连接信息;
所述FPGA加密模块包括:
FPGA逻辑单元,用于判断CAN信息包过滤模块采集到的CAN总线信息帧是否加密,如果加密则进入FPGA封装单元,否则将CAN总线信息帧丢弃,并通知CAN信息包过滤模块状态改变;
FPGA封装单元,用于对CAN总线信息帧数据的加密封装和解密;
所述OPT光纤引擎模块,用于对从内核FPGA送上来的数据包进行光纤转换并发送信息。
2.根据权利要求1所述的CAN工业光纤加密转换器,其特征在于,所述CAN信息包过滤模块具体包括:
工业CAN总线通信单元,用于接收工业CAN总线发送的数据信息,包括CAN总线状态表信息的建立和删除信息、CAN配置信息;
CAN总线状态维护单元,用于对CAN总线状态的维护,包括根据从工业CAN总线模块接收到的正向连接信息自动建立、反向连接信息和CAN总线状态表信息的超时管理。
3.根据权利要求1所述的CAN工业光纤加密转换器,其特征在于,所述OPT光纤引擎模块具体包括:
OPT光纤通信单元,用于判断OPT通道连接状态,如果OPT连接已经建立,将FPGA封装单元数据推送到OPT光纤转换单元,否则反馈信息到FPGA加密模块调整状态,直至工业CAN总线通信单元,停止接收工业CAN总线发送的数据信息;
OPT光纤转换单元,用于光电之间的转换和封装;
OPT光纤发送单元,用于OPT通道连接建立和封装信息的发送。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201610721269.8A CN106301574B (zh) | 2016-08-24 | 2016-08-24 | 一种can工业光纤加密转换器及其fpga加密算法实现方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201610721269.8A CN106301574B (zh) | 2016-08-24 | 2016-08-24 | 一种can工业光纤加密转换器及其fpga加密算法实现方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN106301574A CN106301574A (zh) | 2017-01-04 |
CN106301574B true CN106301574B (zh) | 2018-12-14 |
Family
ID=57615252
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201610721269.8A Active CN106301574B (zh) | 2016-08-24 | 2016-08-24 | 一种can工业光纤加密转换器及其fpga加密算法实现方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN106301574B (zh) |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN107786404B (zh) * | 2017-09-20 | 2020-08-07 | 北京东土科技股份有限公司 | 工业互联网现场层宽带总线架构的安全性实现方法及装置 |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
EP1298850A2 (de) * | 2001-09-26 | 2003-04-02 | Robert Bosch Gmbh | Verfahren und Vorrichtung zur Überwachung eines Bussystems und Bussystem |
CN101901318A (zh) * | 2010-07-23 | 2010-12-01 | 北京工业大学 | 一种可信硬件设备及其使用方法 |
CN103281224A (zh) * | 2013-04-02 | 2013-09-04 | 中船重工(武汉)凌久高科有限公司 | 一种智能照明控制系统中can总线安全通信方法 |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20110093639A1 (en) * | 2009-10-19 | 2011-04-21 | Microchip Technology Incorporated | Secure Communications Between and Verification of Authorized CAN Devices |
-
2016
- 2016-08-24 CN CN201610721269.8A patent/CN106301574B/zh active Active
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
EP1298850A2 (de) * | 2001-09-26 | 2003-04-02 | Robert Bosch Gmbh | Verfahren und Vorrichtung zur Überwachung eines Bussystems und Bussystem |
CN101901318A (zh) * | 2010-07-23 | 2010-12-01 | 北京工业大学 | 一种可信硬件设备及其使用方法 |
CN103281224A (zh) * | 2013-04-02 | 2013-09-04 | 中船重工(武汉)凌久高科有限公司 | 一种智能照明控制系统中can总线安全通信方法 |
Also Published As
Publication number | Publication date |
---|---|
CN106301574A (zh) | 2017-01-04 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN101309273B (zh) | 一种生成安全联盟的方法和装置 | |
CN106254231A (zh) | 一种基于状态的工业安全加密网关及其实现方法 | |
CN101753553B (zh) | 安全隔离与信息交换系统及方法 | |
CN105656883A (zh) | 一种适用于工控网络的单向传输内外网安全隔离网闸 | |
CN112104604B (zh) | 基于电力物联管理平台的安全接入服务实现系统及方法 | |
CN112422389B (zh) | 基于芯片级加密的以太网和现场总线融合网关及传输方法 | |
CN101202624B (zh) | 一种文件传输的方法及系统 | |
CN103200201A (zh) | 一种公安内网与视频专网的隔离系统及隔离方法 | |
RU2010114660A (ru) | Двунаправленный шлюз с улучшенным уровнем защиты | |
CN202906969U (zh) | 一种基于单向光技术的边界安全传输设备及通信系统 | |
CN106134522B (zh) | 一种基于无线激光的单向数据传输方法和装置 | |
CN102208982A (zh) | 一种隔离网闸 | |
CN104283854A (zh) | 一种基于IPSec的VPN中大数据量传输方法 | |
CN105187211A (zh) | 一种消息安全发送接收方法及发送接收装置 | |
CN102891850A (zh) | IPSec隧道更新防重放参数的方法 | |
CN106301574B (zh) | 一种can工业光纤加密转换器及其fpga加密算法实现方法 | |
CN106161386A (zh) | 一种实现IPsec分流的方法和装置 | |
CN102064967B (zh) | 一种bypass实现方法、设备和系统 | |
CN104104573A (zh) | 用于网络设备的IPsec隧道的控制方法和系统 | |
CN102868523A (zh) | 一种ike协商方法 | |
CN104333546A (zh) | 一种基于sdi总线进行数据传输的隔离方法及装置 | |
CN107819597B (zh) | 网络数据传输方法和前置机 | |
CN114338116B (zh) | 加密传输方法、装置及sd-wan网络系统 | |
CN205051736U (zh) | 一种安全高效卫星数据传输系统 | |
CN204539191U (zh) | 一种加密型的移动路由器 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |