CN111314214A - 一种拟态工业边缘网关及拟态处理方法 - Google Patents
一种拟态工业边缘网关及拟态处理方法 Download PDFInfo
- Publication number
- CN111314214A CN111314214A CN202010389778.1A CN202010389778A CN111314214A CN 111314214 A CN111314214 A CN 111314214A CN 202010389778 A CN202010389778 A CN 202010389778A CN 111314214 A CN111314214 A CN 111314214A
- Authority
- CN
- China
- Prior art keywords
- cpu core
- fpga chip
- data
- core boards
- heterogeneous
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/66—Arrangements for connecting between networks having differing types of switching systems, e.g. gateways
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/02—Details
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Multi Processors (AREA)
Abstract
本发明提出一种拟态工业边缘网关及拟态处理方法,其包括焊接在母板上的两块CPU核心板和一块FPGA芯片,两块CPU核心板采用不同架构的CPU芯片,每一块CPU核心板都具备独立的存储系统、数据接口、调试接口以及电源管理模块,独立地承载工业边缘网关的业务功能,两块CPU核心板之间没有硬件数据通道,相互之间不直接通信;两块CPU核心板的数据接口均通过所述的母板与所述的FPGA芯片直接相连,在工作模式下完成数据的快速传输与交换,在调试模式下完成CPU核心板内部功能和状态的显示与调试。本发明通过芯片层面、操作系统层面的异构化,采用FPGA作为输入输出代理,执行裁决和负反馈操作,保证严格的单向联系机制,同时避免了采用复杂CPU和操作系统带来的安全风险。
Description
技术领域
本发明涉及计算机通信技术领域,本发明涉及一种拟态工业边缘网关及拟态处理方法。
背景技术
工业互联网作为新一代信息技术与制造业深度融合的产物,日益成为新工业革命的关键支撑和深化“互联网+先进制造业”的重要基石,对未来工业发展产生全方位、深层次、革命性影响。网络是工业互联网的基础,安全是工业互联网的保障,在新的工业互联网场景和安全形势下,基于先验知识的传统防御手段难以应对各种攻击,需要转变防御思路,定义新的防御边界,巩固防线纵深,从被动迈向内生安全的主动防御。
目前市场上的国内外主流厂家(包括思科CISCO、西门子SIEMENS、航天云网、华为和新华三H3C等)都有自己的工业边缘网关产品,不难看出,各大厂家边缘网关产品形态各异,包括工业路由器、物联网网关、工业交换机等。但主要功能基本可以概括为“协议转换”和“数据转发”,并且都缺少具有内生安全的主动防御功能,在基于未知漏洞、未知后门的攻击面前形同“裸奔”,无法满足工业互联网中工业数据的高安全防护需求。
发明内容
本发明的目的在于针对现有技术的不足,提供一种拟态工业边缘网关及拟态处理方法,拟态安全防御技术能从主动性、变化性和随机性中获得有利的内生防御态势,通过芯片架构、操作系统、应用软件、编译选项、数据结构、逻辑算法等要素的主动跳变或快速迁移来实现拟态环境,以防御者可控的方式进行动态变化,对攻击者则表现为难以观察和预测目标变化,从而大幅度增加包括未知的可利用的漏洞和后门在内的攻击难度和成本。拟态工业边缘网关实现工业各环节的泛在深度互联,包括网络联接、标识解析、边缘计算等关键技术,构建涵盖全系统的拟态安全防御体系,在应用软件、操作系统和芯片层进行异构,使用拟态多模裁决和动态调度机制,建立内生安全防御机制,识别和抵御安全威胁,有效阻断攻击路径,极大提高应对网络攻击的抗压能力,保障工业智能化的实现。
本发明的目的通过以下技术方案来实现的:
一种拟态工业边缘网关,该网关包括焊接在母板上的两块CPU核心板和一块FPGA芯片,所述的两块CPU核心板采用不同架构的CPU芯片,每一块CPU核心板都具备独立的存储系统、数据接口、调试接口以及电源管理模块,独立地承载工业边缘网关的业务功能,两块CPU核心板之间没有硬件数据通道,相互之间不直接通信;两块CPU核心板的数据接口均通过所述的母板与所述的FPGA芯片直接相连,在工作模式下完成数据的快速传输与交换,在调试模式下完成CPU核心板内部功能和状态的显示与调试;
两块CPU核心板与FPGA芯片之间的数据接口包括:
1路PCIE接口,用于实现FPGA芯片和CPU核心板间的数据信息交互;
5路串口,其中1路用于裁决数据的交互同步,其余4路用于FPGA芯片与CPU核心板间的数据信息交互;
若干路GPIO接口,用于FPGA芯片与CPU核心板间的控制信息的交互;
2路USB接口,用于实现FPGA芯片和CPU核心板间的数据信息交互;
所述的母板包含如下两类连接:
FPGA芯片与两块CPU核心板连接的数据通道,实现数据从外设端口经FPGA芯片到CPU核心板透传与隔离;
FPGA芯片与两块CPU核心板间的电源管理、启动复位配置连接,通过FPGA芯片实现CPU核心板的底层控制功能。
进一步地,所述的母板上还包含FPGA芯片与各种外设设备的连接接口、FPGA芯片内部逻辑的配置与调试接口以及各种电气连接接口。
进一步地,所述的两块CPU核心板,一块为ARM芯片,另一块为X86芯片。
一种拟态工业边缘网关的拟态处理方法,所述的拟态的输入代理、多模裁决、反馈控制和输出代理功能运行在FPGA芯片上;所述的ARM芯片上运行一个异构执行体,所述的X86芯片上运行不少于两个虚机,构建不少于两个异构执行体;
所述的拟态处理方法具体为:
所述的FPGA芯片周期性地同时向各个异构执行体发送裁决信息收集指令,当各个异构执行体收到裁决信息收集指令后,判断自身系统当前是否为稳态,如果是稳态,则将裁决信息反馈给FPGA芯片;所述的FPGA芯片在每次发送裁决信息收集指令后一定时间开始对多个异构执行体之间的裁决表项进行比较,如果某个异构执行体和其他异构执行体之间差异数量最多,则判断该异构执行体错误,如果连续N次比较均判断该异构执行体错误,则判定该异构执行体异常,需要下线清洗;如果被判定下线清洗的异构执行体为当前数据选择输出的异构执行体,则在其他异构执行体中选择新的数据输出的异构执行体,完成裁决结果发送;其中,N≥2。
本发明的有益效果如下:
(1)本发明的拟态工业边缘网关为多CPU、多操作系统的异构化网关,通过芯片层面、操作系统层面的异构化,创新性实现了内生安全的功能。
(2)本发明的拟态工业边缘网关采用FPGA作为输入输出代理,执行裁决和负反馈操作,保证了严格的单向联系机制,同时避免了采用复杂CPU和操作系统带来的安全风险。
(3)实现了拟态异构体候选池,根据裁决结果随时替换上线新的异构执行体,充分保证了执行体的异构效果。
附图说明
图1是拟态工业边缘网关硬件总体设计架构;
图2是CPU核心板卡功能接口图;
图3是拟态工业边缘网关拟态消息系统。
具体实施方式
下面根据附图和优选实施例详细描述本发明,本发明的目的和效果将变得更加明白。应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
如图1所示,本发明的拟态工业边缘网关,包括焊接在母板上的两块CPU核心板和一块FPGA芯片,两块CPU核心板采用不同架构的CPU芯片。为了保证执行体之间有良好的物理隔离特性,每一块CPU核心板都具备独立的存储系统、数据接口、调试接口以及电源管理模块,独立地承载工业边缘网关的数据转发、协议转换、数据处理、边缘计算等业务功能,并且支撑各种不同的传统防御手段;两块CPU核心板相互之间不设硬件数据通道,相互之间不直接通信。同时每一块CPU核心板的功能接口包括数据接口与调试接口两大类。数据接口通过母板与FPGA芯片直接相连,在工作模式下完成数据的快速传输与交换;在调试模式下完成CPU核心板内部功能和状态的显示与调试。
如图2所示,两块CPU核心板与FPGA芯片之间的数据接口包括:
1路PCIE接口,优选x16,用于实现FPGA芯片和CPU核心板间的数据信息交互;
5路串口,其中1路用于裁决数据的交互同步,其余4路用于FPGA芯片与CPU核心板间的数据信息交互;
若干路GPIO接口,用于FPGA芯片与CPU核心板间的控制信息的交互;
2路USB接口,用于实现FPGA芯片和CPU核心板间的数据信息交互;
其它辅助接口,COM口和网口用于调试,DP显示接口。
母板上包含五类连接:
(1)FPGA芯片与两块CPU核心板连接的数据通道,实现数据从外设端口经FPGA芯片到CPU核心板的透传与隔离;
(2)FPGA芯片与两块CPU核心板卡间的电源管理、启动复位配置连接,通过FPGA芯片实现CPU核心板的硬启动、配置、重启和复位等底层控制功能;
(3)FPGA芯片与各种外设设备的连接接口包括:
1)4路千兆网口,支持TCP/IP协议;
2)4路RS-232串行接口,支持Modbus等工控协议;
3)2路USB2.0 HOST接口,支撑WIFI、LTE等无线模块的扩展;
(4)FPGA内部逻辑的配置与调试接口,包括Jtag调试通道与QSPI Flash存储接口等;
(5)供电网络、接地点和电源状态信号指示灯等电气连接,用于诊断母板上的各类模块的运行状态,例如,网络PHY芯片RTL8211E-VL、USB收发器芯片USB3320C-ZEK等。
拟态处理方法处理流程为,拟态的输入代理、多模裁决、反馈控制和输出代理功能运行在FPGA芯片上,拟态的三个异构执行体分别运行在ARM芯片和X86芯片上,其中ARM上运行一个异构执行体,X86上运行不少于两个虚机,构建不少于两个异构执行体。
如图3所示,FPGA芯片周期性地同时向各个异构执行体发送裁决信息收集指令(本实施例中设定周期为5秒),当各个异构执行体收到裁决信息收集指令后,判断自身系统当前是否为稳态,如果是稳态,则将裁决信息反馈给FPGA芯片(这个信息反馈时间一般会在2秒以内完成)。FPGA芯片在每次发送裁决信息收集指令后一定时间开始对收集到的多个异构执行体的裁决表项进行比较,如果某个异构执行体和其他异构执行体之间差异数量最多,则判断该异构执行体错误,如果连续N个周期,即N次比较,均判断该异构执行体错误,则判定该异构执行体异常,需要下线清洗,如果被判定下线清洗的异构执行体为当前数据选择输出的异构执行体,则还要在其他异构执行体中选择新的数据输出的异构执行体,完成裁决结果发送。其中,N≥2。
本领域普通技术人员可以理解,以上所述仅为发明的优选实例而已,并不用于限制发明,尽管参照前述实例对发明进行了详细的说明,对于本领域的技术人员来说,其依然可以对前述各实例记载的技术方案进行修改,或者对其中部分技术特征进行等同替换。凡在发明的精神和原则之内,所做的修改、等同替换等均应包含在发明的保护范围之内。
Claims (4)
1.一种拟态工业边缘网关,其特征在于,该网关包括焊接在母板上的两块CPU核心板和一块FPGA芯片,所述的两块CPU核心板采用不同架构的CPU芯片,每一块CPU核心板都具备独立的存储系统、数据接口、调试接口以及电源管理模块,独立地承载工业边缘网关的业务功能,两块CPU核心板之间没有硬件数据通道,相互之间不直接通信;两块CPU核心板的数据接口均通过所述的母板与所述的FPGA芯片直接相连,在工作模式下完成数据的快速传输与交换,在调试模式下完成CPU核心板内部功能和状态的显示与调试;
两块CPU核心板与FPGA芯片之间的数据接口包括:
1路PCIE接口,用于实现FPGA芯片和CPU核心板间的数据信息交互;
5路串口,其中1路用于裁决数据的交互同步,其余4路用于FPGA芯片与CPU核心板间的数据信息交互;
若干路GPIO接口,用于FPGA芯片与CPU核心板间的控制信息的交互;
2路USB接口,用于实现FPGA芯片和CPU核心板间的数据信息交互;
所述的母板包含如下两类连接:
FPGA芯片与两块CPU核心板连接的数据通道,实现数据从外设端口经FPGA芯片到CPU核心板透传与隔离;
FPGA芯片与两块CPU核心板间的电源管理、启动复位配置连接,通过FPGA芯片实现CPU核心板的底层控制功能。
2.根据权利要求1所述的拟态工业边缘网关,其特征在于,所述的母板上还包含FPGA芯片与各种外设设备的连接接口、FPGA芯片内部逻辑的配置与调试接口以及各种电气连接接口。
3.根据权利要求1所述的拟态工业边缘网关,其特征在于,所述的两块CPU核心板,一块为ARM芯片,另一块为X86芯片。
4.一种如权利要求3所述的拟态工业边缘网关的拟态处理方法,其特征在于,所述的拟态的输入代理、多模裁决、反馈控制和输出代理功能运行在FPGA芯片上;所述的ARM芯片上运行一个异构执行体,所述的X86芯片上运行不少于两个虚机,构建不少于两个异构执行体;
所述的拟态处理方法具体为:
所述的FPGA芯片周期性地同时向各个异构执行体发送裁决信息收集指令,当各个异构执行体收到裁决信息收集指令后,判断自身系统当前是否为稳态,如果是稳态,则将裁决信息反馈给FPGA芯片;所述的FPGA芯片在每次发送裁决信息收集指令后一定时间开始对多个异构执行体之间的裁决表项进行比较,如果某个异构执行体和其他异构执行体之间差异数量最多,则判断该异构执行体错误,如果连续N次比较均判断该异构执行体错误,则判定该异构执行体异常,需要下线清洗;如果被判定下线清洗的异构执行体为当前数据选择输出的异构执行体,则在其他异构执行体中选择新的数据输出的异构执行体,完成裁决结果发送;其中,N≥2。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010389778.1A CN111314214B (zh) | 2020-05-11 | 2020-05-11 | 一种拟态工业边缘网关及拟态处理方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010389778.1A CN111314214B (zh) | 2020-05-11 | 2020-05-11 | 一种拟态工业边缘网关及拟态处理方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN111314214A true CN111314214A (zh) | 2020-06-19 |
CN111314214B CN111314214B (zh) | 2020-08-18 |
Family
ID=71152223
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202010389778.1A Active CN111314214B (zh) | 2020-05-11 | 2020-05-11 | 一种拟态工业边缘网关及拟态处理方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN111314214B (zh) |
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111866030A (zh) * | 2020-09-21 | 2020-10-30 | 之江实验室 | 一种拟态边缘网关的工业协议识别装置及方法 |
CN113422721A (zh) * | 2021-08-24 | 2021-09-21 | 之江实验室 | 一种拟态工业边缘计算网关的实现方法 |
CN113884756A (zh) * | 2021-08-25 | 2022-01-04 | 中国电力科学研究院有限公司 | 一种电能计量边缘采集装置及方法 |
CN116016040A (zh) * | 2022-12-28 | 2023-04-25 | 国网智能电网研究院有限公司 | 面向电力物联网终端接入的拟态边缘网关及拟态处理方法 |
WO2023082537A1 (zh) * | 2021-11-26 | 2023-05-19 | 之江实验室 | 一种基于拟态数据库的网络操作系统设计方法 |
Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105468098A (zh) * | 2015-12-11 | 2016-04-06 | 航天恒星科技有限公司 | 一种工控机主板 |
US9338072B2 (en) * | 2014-01-15 | 2016-05-10 | International Business Machines Corporation | Optimizing the quality of audio within a teleconferencing session via an adaptive codec switching |
CN105630723A (zh) * | 2015-12-22 | 2016-06-01 | 中国电子科技集团公司第三十二研究所 | 基于异构处理器平台的管理架构及其管理方法 |
CN108052839A (zh) * | 2018-01-25 | 2018-05-18 | 知新思明科技(北京)有限公司 | 拟态任务处理机 |
CN108306854A (zh) * | 2017-12-14 | 2018-07-20 | 兆辉易安(北京)网络安全技术有限公司 | 双模异构冗余的工控安全网关系统及其入侵感知方法 |
CN208508138U (zh) * | 2018-01-19 | 2019-02-15 | 深圳市吉方工控有限公司 | 模块化核心板及电子设备 |
CN111049677A (zh) * | 2019-11-27 | 2020-04-21 | 网络通信与安全紫金山实验室 | 拟态交换机异构执行体的清洗恢复方法和装置 |
-
2020
- 2020-05-11 CN CN202010389778.1A patent/CN111314214B/zh active Active
Patent Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US9338072B2 (en) * | 2014-01-15 | 2016-05-10 | International Business Machines Corporation | Optimizing the quality of audio within a teleconferencing session via an adaptive codec switching |
CN105468098A (zh) * | 2015-12-11 | 2016-04-06 | 航天恒星科技有限公司 | 一种工控机主板 |
CN105630723A (zh) * | 2015-12-22 | 2016-06-01 | 中国电子科技集团公司第三十二研究所 | 基于异构处理器平台的管理架构及其管理方法 |
CN108306854A (zh) * | 2017-12-14 | 2018-07-20 | 兆辉易安(北京)网络安全技术有限公司 | 双模异构冗余的工控安全网关系统及其入侵感知方法 |
CN208508138U (zh) * | 2018-01-19 | 2019-02-15 | 深圳市吉方工控有限公司 | 模块化核心板及电子设备 |
CN108052839A (zh) * | 2018-01-25 | 2018-05-18 | 知新思明科技(北京)有限公司 | 拟态任务处理机 |
CN111049677A (zh) * | 2019-11-27 | 2020-04-21 | 网络通信与安全紫金山实验室 | 拟态交换机异构执行体的清洗恢复方法和装置 |
Non-Patent Citations (2)
Title |
---|
崔冰萌 等: ""基于FPGA的拟态服务器设计"", 《计算机系统应用》 * |
浙江省电力学会: ""拟态安全主动防御技术简介"", 《HTTP://WWW.ZJSEE.ORG/DETAIL/ID-783-TYPEID-13.HTML》 * |
Cited By (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111866030A (zh) * | 2020-09-21 | 2020-10-30 | 之江实验室 | 一种拟态边缘网关的工业协议识别装置及方法 |
CN113422721A (zh) * | 2021-08-24 | 2021-09-21 | 之江实验室 | 一种拟态工业边缘计算网关的实现方法 |
CN113884756A (zh) * | 2021-08-25 | 2022-01-04 | 中国电力科学研究院有限公司 | 一种电能计量边缘采集装置及方法 |
CN113884756B (zh) * | 2021-08-25 | 2023-11-24 | 中国电力科学研究院有限公司 | 一种电能计量边缘采集装置及方法 |
WO2023082537A1 (zh) * | 2021-11-26 | 2023-05-19 | 之江实验室 | 一种基于拟态数据库的网络操作系统设计方法 |
US11934383B2 (en) | 2021-11-26 | 2024-03-19 | Zhejiang Lab | Mimetic database-based network operating system design method |
CN116016040A (zh) * | 2022-12-28 | 2023-04-25 | 国网智能电网研究院有限公司 | 面向电力物联网终端接入的拟态边缘网关及拟态处理方法 |
Also Published As
Publication number | Publication date |
---|---|
CN111314214B (zh) | 2020-08-18 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN111314214B (zh) | 一种拟态工业边缘网关及拟态处理方法 | |
US9678842B2 (en) | PCIE switch-based server system, switching method and device | |
US9300574B2 (en) | Link aggregation emulation for virtual NICs in a cluster server | |
US9264346B2 (en) | Resilient duplicate link aggregation emulation | |
US20190034367A1 (en) | Unified address space for multiple links | |
US11775464B2 (en) | Computer system and a computer device | |
CN102132252A (zh) | 用于虚拟基础设施的集中式控制平面器具 | |
CN105450588A (zh) | 一种基于rdma的数据传输方法及rdma网卡 | |
JP6491741B2 (ja) | セルオートマトンを用いたクラスタサーバの構成 | |
CN111488308B (zh) | 一种支持不同架构多处理器扩展的系统和方法 | |
Liu et al. | Fattreesim: Modeling large-scale fat-tree networks for hpc systems and data centers using parallel and discrete event simulation | |
CN105472291A (zh) | 多处理器集群的数字硬盘录像机及其实现方法 | |
CA2985215A1 (en) | Distributed fpga solution for high-performance computing in the cloud | |
CN105553886A (zh) | 一种可灵活扩展端口数量的pcie交换机 | |
KR101039185B1 (ko) | 대용량 병렬 컴퓨터 시스템의 연산 노드의 패스트 백업 | |
JP2013084266A (ja) | サーバー及びそのシリアルインタフェース切換回路 | |
CN110851337A (zh) | 适用于vpx架构的高带宽多通道的多dsp计算刀片装置 | |
CN102474440A (zh) | 网络集线装置及其控制方法 | |
CN112069106B (zh) | 一种基于fpga的多路服务器peci链路控制系统 | |
CN105589821B (zh) | 一种防止总线死锁的装置及方法 | |
CN102880583B (zh) | 一种多路服务器动态链路配置装置和方法 | |
CN112199324A (zh) | 一种针对多种加解密计算的可重构加速核心系统及其加速方法 | |
CN110401939A (zh) | 一种低功耗蓝牙控制器链路层装置 | |
CN104407714A (zh) | 一种实现远程多电脑切换的主板及其使用方法 | |
CN214042304U (zh) | 一种基于服务器的bios芯片远程在线更新的主板线路 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |