CN109525476B - 一种基于fpga的网络数据保护方法 - Google Patents

一种基于fpga的网络数据保护方法 Download PDF

Info

Publication number
CN109525476B
CN109525476B CN201811623676.0A CN201811623676A CN109525476B CN 109525476 B CN109525476 B CN 109525476B CN 201811623676 A CN201811623676 A CN 201811623676A CN 109525476 B CN109525476 B CN 109525476B
Authority
CN
China
Prior art keywords
node
data
network
nodes
ring
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201811623676.0A
Other languages
English (en)
Other versions
CN109525476A (zh
Inventor
吴兵伟
刘志凯
王冬
胡义武
郭震
梁成华
魏涛涛
赵爽
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
China Nuclear Control System Engineering Co ltd
Original Assignee
China Nuclear Control System Engineering Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by China Nuclear Control System Engineering Co ltd filed Critical China Nuclear Control System Engineering Co ltd
Priority to CN201811623676.0A priority Critical patent/CN109525476B/zh
Publication of CN109525476A publication Critical patent/CN109525476A/zh
Application granted granted Critical
Publication of CN109525476B publication Critical patent/CN109525476B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/42Loop networks
    • H04L12/437Ring fault isolation or reconfiguration
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/42Loop networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Small-Scale Networks (AREA)

Abstract

本发明涉及系统控制技术领域,具体公开了一种基于FPGA的网络数据保护方法,包括以下步骤:(1)物理层接收;(2)链路层接收;(3)获取环形网络节点属性信息;(4)数据包过滤及流量控制;(5)节点剔除;(6)数据存储;(7)数据发送。本发明方法能够有效防止网络攻击,实现流量控制和节点剔除等功能。

Description

一种基于FPGA的网络数据保护方法
技术领域
本发明属于系统控制技术领域,具体涉及一种基于FPGA的网络数据保护方法。
背景技术
在核电厂安全级DCS的反应堆保护系统中,设备间数据通信会采用节点形式组成环形多节点通信网络。所有节点之间的通信数据包均遵循自定义数据格式协议。目前主流的网络安全架构为IPS(IntrusionPreventionSystem,入侵防御系统)和IDS(IntrusionDetectionSystem,入侵检测系统)。前者位于防火墙和网络设备之间,通过数据库中的规则匹配来判断是否遭受攻击,并在这种攻击扩散到网络的其他地方之前阻止这个恶意的通信;后者是一个监听设备,一般挂接在所有关注流量都必须流经的链路上,对于异常网络行为起到报警而不是防御的作用。
多节点通信网络组成如图1所示,核电厂安全级分布式控制系统(DCS)的控制站、安显站(S-VDU)、传输站和网关站设备均有一块多节点通信模块和转接模块,这两个模块组合实现一个节点的功能,多个节点通过两对光纤依次连接组成多节点通信网络。如果一个节点出现故障则会造成整个环形网络瘫痪。而核电厂运行安全事关人民生命财产和国家信息安全,环形网络要加强数据包信息安全保障,以免遭受外部网络攻击。
发明内容
本发明的目的在于提供一种基于FPGA的网络数据保护方法,实现核电厂安全级DCS设备间数据通信的网络数据保护。
本发明的技术方案如下:
一种基于FPGA的网络数据保护方法,所述的网络为多节点通信网络,其中核电厂安全级DCS的控制站、安显站S-VDU、传输站和网关站设备均有至少一块多节点通信模块和转接模块,这两个模块组合实现一个节点的功能,多个节点通过两对光纤依次连接组成环形多节点通信网络;
方法包括以下步骤:
(1)物理层接收;
(2)链路层接收;
(3)获取环形网络节点属性信息;
(4)数据包过滤及流量控制;
(5)节点剔除;
(6)数据存储;
(7)数据发送。
步骤(1)中,PHY1和PHY2两个PHY芯片是本节点所属环形网络的物理层;其他节点发送的数据经环形网络的内环和外环传递至本节点的物理层。
步骤(2)中,其他节点的数据包经物理层到达链路层,链路层解析接收到数据包,获取发送该数据包节点的网络号、节点号和发送数据包大小。
步骤(3)中,配置信息存储EEPROM中存储环形网络以下属性数据:环形网络编号,环形网络中的所有节点号,环形网络中每一个节点发送数据量大小和接收其他节点数据信息。
步骤(4)中,对比链路层获得发送该数据包节点的网络编号、节点号和发送数据包大小与配置信息存储EEPROM中存储的对应节点的网络编号、节点号和发送数据包大小是否一致;
如果网络编号和节点号有一个不一致或者两个均不一致,则认为该数据包不是有效的数据包,删除该数据包;如果网络编号和节点号均一致,接收到发送数据包量大于EEPROM中存储该节点发送数据量的两倍以上,对于大于两倍之后的数据包不予接收,实现流量控制功能。
步骤(5)中,链路层计算接收到其他节点的数据的校验值与该节点数据包包尾的校验值对比,累计错三次则启动节点剔除机制,关闭转接模块控制开关,使多节点通信网络的内外环数据在转接模块内部分别环回,实现节点故障多节点通信网络构成,其他节点间继续组成环形多节点通信网络。
步骤(6)中,数据包经链路层解析后传输给应用层,应用层解析后,将应用数据存储至节点数据存储SRAM中的节点对应的数据存储区域。
步骤(7)中,节点自身要发送的数据和其他节点的过环数据经过应用层、链路层、PHY1和PHY2的物理层,传递至转接模块,转接模块将数据分别送至多节点通信网络的内外环上继续传输至下一个节点。
本发明的显著效果在于:
(1)防止网络攻击:任一环网节点依据自定义数据包协议在链路层解析数据包,解析数据包节点信息与EEPROM存储的节点信息不符,则丢弃数据包,实现数据包的过滤功能,防止网络攻击;
(2)流量控制功能:任一环网节点接收到某一节点的数据量大于配置信息存储EEPROM存储的节点发送数据数量的两倍以上,则对于两倍以后的数据包予以丢弃处理;
(3)节点剔除:链路层计算接收到其他节点的数据的校验值与该节点数据包包尾的校验值对比,累计错三次则启动节点剔除机制,关闭转接模块控制开关,使多节点通信网络的内外环数据在转接模块内部分别环回,实现节点故障多节点通信网络构成,其他节点间继续组成环形多节点通信网络。
附图说明
图1为多节点通信网络组成图;
图2为节点故障时多节点通信网络组成图;
图3为转接模块内部构成图;
图4为多节点通信模块内部构成图。
具体实施方式
下面结合附图及具体实施例对本发明作进一步详细说明。
一种基于FPGA的网络数据保护方法,所述的网络为多节点通信网络。
所述的多节点通信网络组成如图1所示,核电厂安全级DCS的控制站、安显站S-VDU、传输站和网关站设备均有至少一块多节点通信模块和转接模块,这两个模块组合实现一个节点的功能,多个节点通过两对光纤依次连接组成环形多节点通信网络。
方法包括以下步骤:
(1)物理层接收
PHY1和PHY2两个PHY芯片是本节点所属环形网络的物理层;其他节点发送的数据经环形网络的内环和外环传递至本节点的物理层;
(2)链路层接收
其他节点的数据包经物理层到达链路层,链路层解析接收到数据包,获取发送该数据包节点的网络号、节点号和发送数据包大小;
(3)获取环形网络节点属性信息
配置信息存储EEPROM中存储环形网络以下属性数据:环形网络编号,环形网络中的所有节点号,环形网络中每一个节点发送数据量大小和接收其他节点数据信息;
(4)数据包过滤及流量控制
对比链路层获得发送该数据包节点的网络编号、节点号和发送数据包大小与配置信息存储EEPROM中存储的对应节点的网络编号、节点号和发送数据包大小是否一致;
如果网络编号和节点号有一个不一致或者两个均不一致,则认为该数据包不是有效的数据包,删除该数据包;如果网络编号和节点号均一致,接收到发送数据包量大于EEPROM中存储该节点发送数据量的两倍以上,对于大于两倍之后的数据包不予接收,实现流量控制功能;
(5)节点剔除
链路层计算接收到其他节点的数据的校验值与该节点数据包包尾的校验值对比,累计错三次则启动节点剔除机制,关闭转接模块控制开关,使多节点通信网络的内外环数据在转接模块内部分别环回,实现节点故障多节点通信网络构成,其他节点间继续组成环形多节点通信网络,如图2、3所示。
(6)数据存储
如图4所示,数据包经链路层解析后传输给应用层,应用层解析后,将应用数据存储至节点数据存储SRAM中的节点对应的数据存储区域。
(7)数据发送
节点自身要发送的数据和其他节点的过环数据经过应用层、链路层、PHY1和PHY2的物理层,传递至转接模块,转接模块将数据分别送至多节点通信网络的内外环上继续传输至下一个节点。

Claims (5)

1.一种基于FPGA的网络数据保护方法,其特征在于:所述的网络为多节点通信网络,其中核电厂安全级DCS的控制站、安显站S-VDU、传输站和网关站设备均有至少一块多节点通信模块和转接模块,这两个模块组合实现一个节点的功能,多个节点通过两对光纤依次连接组成环形多节点通信网络;
方法包括以下步骤:
(1)物理层接收;
(2)链路层接收;
(3)获取环形网络节点属性信息;
配置信息存储EEPROM中存储环形网络以下属性数据:环形网络编号,环形网络中的所有节点号,环形网络中每一个节点发送数据量大小和接收其他节点数据信息;
(4)数据包过滤及流量控制;
对比链路层获得发送该数据包节点的网络编号、节点号和发送数据包大小与配置信息存储EEPROM中存储的对应节点的网络编号、节点号和发送数据包大小是否一致;
如果网络编号和节点号有一个不一致或者两个均不一致,则认为该数据包不是有效的数据包,删除该数据包;如果网络编号和节点号均一致,接收到发送数据包量大于EEPROM中存储该节点发送数据量的两倍以上,对于大于两倍之后的数据包不予接收,实现流量控制功能;
(5)节点剔除;
链路层计算接收到其他节点的数据的校验值与该节点数据包包尾的校验值对比,累计错三次则启动节点剔除机制,关闭转接模块控制开关,使多节点通信网络的内外环数据在转接模块内部分别环回,实现节点故障多节点通信网络构成,其他节点间继续组成环形多节点通信网络;
(6)数据存储;
(7)数据发送。
2.如权利要求1所述的一种基于FPGA的网络数据保护方法,其特征在于:步骤(1)中,PHY1和PHY2两个PHY芯片是本节点所属环形网络的物理层;其他节点发送的数据经环形网络的内环和外环传递至本节点的物理层。
3.如权利要求2所述的一种基于FPGA的网络数据保护方法,其特征在于:步骤(2)中,其他节点的数据包经物理层到达链路层,链路层解析接收到数据包,获取发送该数据包节点的网络号、节点号和发送数据包大小。
4.如权利要求3所述的一种基于FPGA的网络数据保护方法,其特征在于:步骤(6)中,数据包经链路层解析后传输给应用层,应用层解析后,将应用数据存储至节点数据存储SRAM中的节点对应的数据存储区域。
5.如权利要求4所述的一种基于FPGA的网络数据保护方法,其特征在于:步骤(7)中,节点自身要发送的数据和其他节点的过环数据经过应用层、链路层、PHY1和PHY2的物理层,传递至转接模块,转接模块将数据分别送至多节点通信网络的内外环上继续传输至下一个节点。
CN201811623676.0A 2018-12-28 2018-12-28 一种基于fpga的网络数据保护方法 Active CN109525476B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201811623676.0A CN109525476B (zh) 2018-12-28 2018-12-28 一种基于fpga的网络数据保护方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201811623676.0A CN109525476B (zh) 2018-12-28 2018-12-28 一种基于fpga的网络数据保护方法

Publications (2)

Publication Number Publication Date
CN109525476A CN109525476A (zh) 2019-03-26
CN109525476B true CN109525476B (zh) 2021-09-17

Family

ID=65798448

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201811623676.0A Active CN109525476B (zh) 2018-12-28 2018-12-28 一种基于fpga的网络数据保护方法

Country Status (1)

Country Link
CN (1) CN109525476B (zh)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112087330B (zh) * 2020-08-28 2022-09-16 蜂巢能源科技股份有限公司 菊花链路通信系统、诊断方法、存储介质以及电子设备

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103838871A (zh) * 2014-03-21 2014-06-04 北京广利核系统工程有限公司 一种核电站安全级dcs s-vdu过程文件的校验方法
CN106487610A (zh) * 2016-09-14 2017-03-08 北京广利核系统工程有限公司 双环网络误码率测试方法和装置

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106789520B (zh) * 2016-12-26 2019-11-22 中核控制系统工程有限公司 一种高速故障安全多节点通信网络
CN108173730A (zh) * 2017-11-24 2018-06-15 中核控制系统工程有限公司 一种安全级dcs故障安全通信架构
CN108155933A (zh) * 2017-11-24 2018-06-12 中核控制系统工程有限公司 一种实现安全级dcs通信隔离的方法

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103838871A (zh) * 2014-03-21 2014-06-04 北京广利核系统工程有限公司 一种核电站安全级dcs s-vdu过程文件的校验方法
CN106487610A (zh) * 2016-09-14 2017-03-08 北京广利核系统工程有限公司 双环网络误码率测试方法和装置

Non-Patent Citations (4)

* Cited by examiner, † Cited by third party
Title
基于FPGA的算法组态技术在安全级数字化I&C中的应用;刘志凯;《仪器仪表用户》;20171108;全文 *
基于RPR的核电数字化保护系统安全通信网络的研究;于帅帅;《中国优秀硕士学位论文全文数据库 工程科技Ⅱ辑》;20110715;第5.2节 *
核电厂安全级DCS平台信息安全脆弱性分析;张谊;《仪器仪表用户》;20171228;第83页 *
核电数字化保护系统的网络弹性组网技术研究与实现;李长礼;《中国优秀硕士学位论文全文数据库 工程科技Ⅱ辑》;20110715;第2-3章及4.1节 *

Also Published As

Publication number Publication date
CN109525476A (zh) 2019-03-26

Similar Documents

Publication Publication Date Title
US10015176B2 (en) Network protection
CN103378980B (zh) 一种层网络告警与业务相关性分析方法和装置
CN101728869B (zh) 电站自动化系统数据网络安全监控方法
ES2655651T3 (es) Separador de protocolo y método de comunicación correspondiente
CN106168757A (zh) 工厂安全系统中的可配置鲁棒性代理
CN101197715B (zh) 一种移动数据业务状态的安全集中采集方法
CN101136797B (zh) 内外网物理连通的检测、通断控制方法
CN105656902A (zh) 一种基于光传输的单向可靠传输及控制系统
CN103019866A (zh) 基于消息队列的分布式方法和系统
CN104486153B (zh) 一种基于fpga的智能变电站过程层网络传输性能监测方法
CN105515998B (zh) 一种sptn域三层域和二层域互通的方法与系统
CN109525476B (zh) 一种基于fpga的网络数据保护方法
CN104104558A (zh) 一种智能变电站过程层通信中网络风暴抑制的方法
CN102035711B (zh) 一种以太环网保护中防止地址表重复刷新的方法及系统
CN103686737B (zh) 基于树形拓扑的无线传感网入侵容忍方法和系统
CN107634949A (zh) 电力网络架构安全防御模块及其物理节点、网络防御方法
KR101402532B1 (ko) 이더넷 링 네트워크 노드 주소 테이블이 반복 리프레시 되는 것을 방지하는 방법 및 장치
Ciancamerla et al. Modeling cyber attacks on a critical infrastructure scenario
CN105898229A (zh) 一种小区智能视频监控系统
CN100421397C (zh) 一种光突发交换网络性能及故障监测方法
CN104991530A (zh) 基于can总线的通信方法及配电终端
CN104270264B (zh) Ptn设备中stm‑1接入链路的保护系统及方法
CN104238501B (zh) 一种炼化系统的告警数据处理方法及装置
US7843838B1 (en) Communication network route tracing
CN104283692B (zh) Ptn环断电保护系统和方法

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant