CN115189917A - 一种使用fpga+mcu实现的隔离装置 - Google Patents

一种使用fpga+mcu实现的隔离装置 Download PDF

Info

Publication number
CN115189917A
CN115189917A CN202210661993.1A CN202210661993A CN115189917A CN 115189917 A CN115189917 A CN 115189917A CN 202210661993 A CN202210661993 A CN 202210661993A CN 115189917 A CN115189917 A CN 115189917A
Authority
CN
China
Prior art keywords
fpga
module
mcu
fpga module
data
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202210661993.1A
Other languages
English (en)
Inventor
唐俊
田海涛
武松
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Shanghai Huarui Zhongxin Technology Co ltd
Original Assignee
Shanghai Huarui Zhongxin Technology Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Shanghai Huarui Zhongxin Technology Co ltd filed Critical Shanghai Huarui Zhongxin Technology Co ltd
Priority to CN202210661993.1A priority Critical patent/CN115189917A/zh
Publication of CN115189917A publication Critical patent/CN115189917A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明公开了一种使用FPGA+MCU实现的隔离装置,包括FPGA模块、PHY模块和MCU模块;FPGA模块完成内外网之间的数据摆渡、校验、协议转换,形成物理隔离;PHY模块包括两个PHY芯片,两个PHY芯片分布在FPGA模块的两侧,内外网分别与PHY芯片的一侧电连接,接入应用系统的网,PHY芯片的另一侧与FPGA模块电连接;MCU模块与FPGA模块电连接,用于检测当前FPGA模块的健康状态进行可以展示在装置的人机接口上,以及对FPGA模块代码更新、硬件复位的操作,作为FPGA模块的外部看门狗装置,可以确保FPGA模块能够故障自复位。本发明提供实时报警功能可以及时反馈故障,解决了FPGA程序出现问题必须要使用专用硬件才能刷写的问题,精简了维护方,提高了效率。

Description

一种使用FPGA+MCU实现的隔离装置
技术领域
本发明涉及网络安全的技术领域,尤其是涉及一种使用FPGA+MCU实现的隔离装置。
背景技术
在传统工业自动化应用领域各个分布式控制系统都是分散独立运行,没有实现从控制领域到企业应用信息化系统数打通,在当前企业信息化、能源互联网业务需求下需要从控制系统到ERP信息化系统的数据打通,因此在2套系统之间的耦合点需要实现物理隔离,确保控制系统的网络安全。针对网络隔离的需求,目前有以下常规方案:
1、路由器
将2套系统部署在2个局域网内,在耦合点通过路由装置进行隔离。只是做到TCP/IP协议层面的隔离,当存在IP层面的伪造报文路由隔离将起不到效果。
2、防火墙
在耦合点通过防火墙隔离,可以实现路由功能同时增加端口和应用协议的黑名单限制方式,但是依然无法做到物理隔离,当有TCP/IP层面的伪造报文不在黑名单范围内时,依然将会有从ERP信息网络到DCS分布式控制系统的网络攻击。
3、SATA隔离卡
在耦合点需要2台服务器上安装隔离卡,数据提供方向硬盘内进行写文件操作,数据获取方从硬盘内进行读文件操作,隔离卡从数据源硬盘向目标盘进行数据同步。此方式需要增加2台额外的服务器并且需要应用软件配合,需要同步的数据都需要写入到文件中,灵活性和效率都低;并且对物理位置有要求,不是所有现场都具备此类条件。
4、PCIE隔离卡装置
在耦合点安装一台单向隔离装装置,内部使用2块FPGA+PICE接口方式实现高速数据同步,同时可以起到物理的作用。此方式可以实现高速单向传输,主要应用在数据中心提供大量数据高速同步,但是在工业自动化领域并不适用。在工业自动化领域存在大量分布式系统,每个系统内需要同步到ERP信息化系统的点位数据很少,需要一种安全可靠同时成本可控方案。将数据中心级别设备使用在工业现场不合适。
基于上述问题,我们设计出了一种使用FPGA+MCU实现的隔离装置来解决以上问题。
发明内容
针对现有技术存在的不足,本发明旨在提供一种使用FPGA+MCU实现的隔离装置。
本发明的上述目的是通过以下技术方案得以实现:
一种使用FPGA+MCU实现的隔离装置,包括:
FPGA模块,所述FPGA模块完成内外网之间的数据摆渡、校验、协议转换,形成物理隔离;
PHY模块,所述PHY模块包括两个PHY芯片,两个所述PHY芯片分布在所述FPGA模块的两侧,内外网分别与所述PHY芯片的一侧电连接,接入应用系统的网,所述PHY芯片的另一侧与所述FPGA模块电连接;
MCU模块,所述MCU模块与所述FPGA模块电连接,用于检测当前所述FPGA模块的健康状态进行可以展示在装置的人机接口上,以及对所述FPGA模块代码更新、硬件复位的操作,作为所述FPGA模块的外部看门狗装置,可以确保所述FPGA模块能够故障自复位。
本发明进一步技术方案设置为,所述PHY芯片的一侧提供以太网接口与内外网连接,接入应用系统的网。
本发明进一步技术方案设置为,所述PHY芯片的另一侧通过IO总线与所述FPGA模块连接。
本发明进一步技术方案设置为,所述MCU模块通过I2C总线和GPIO连接到所述FPGA模块。
本发明进一步技术方案设置为,所述FPGA模块中的程序实现摆渡逻辑控制,完成内外网侧数据交互和数据校验,实现物理隔离。
本发明进一步技术方案设置为,所述MCU模块中程序用来检测所述FPGA模块工作状态和数据流量的监视,将数据输出到液晶屏幕上。
本发明进一步技术方案设置为,内外网的系统应用系统在使用SDK中的API进行发送和接收数据,在发送过程中会有签名加密,数据到FPGA中后会进行校验,通过的数据才会发送到另一端,另一端的接收客户端在收到后API会再次进行校验,校验通过的数据应用系统才会收到。
综上所述,本发明包括以下至少一种有益技术效果:
1、本发明通过使用FPGA模块和PHY模块就实现了摆渡的核心硬件单元,此外还有MCU模块的状态监测提供了系统的稳定性,最后通过使用SDK提高整个隔离系统的安全性;
2、本发明通过对比路由、防火墙类软件隔离产品实现了物理隔离提高了安全性;对比SATA类方案提高了易用性;对比PCIE类方案,减少了FPGA模块数量的使用,减少系统块,减少生产和使用过程中会产生的故障点位;从经济角度也降低了使用成本;
3、本发明通过MCU模块实时监测了系统健康状态,可以反馈到装置面板上,提供实时报警功能可以及时反馈故障;此外通过MCU模块的上位机可以实现对FPGA模块程序文件进行更新,解决了FPGA模块程序出现问题必须要使用专用硬件才能刷写的问题,精简了维护方,提高了效率。
附图说明
图1为本发明的系统框图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。
本发明公开了一种使用FPGA+MCU实现的隔离装置。
如图1所示,使用FPGA+MCU实现的隔离装置,包括FPGA模块、PHY模块和MCU模块。
具体的,FPGA模块完成内外网之间的数据摆渡、校验、协议转换,形成物理隔离。
PHY模块包括两个PHY芯片,两个PHY芯片分布在FPGA模块的两侧,内外网分别与PHY芯片的一侧电连接,接入应用系统的网,PHY芯片的另一侧与FPGA模块电连接;
MCU模块与FPGA模块电连接,用于检测当前FPGA模块的健康状态进行可以展示在装置的人机接口上,以及对FPGA模块代码更新、硬件复位的操作,作为FPGA模块的外部看门狗装置,可以确保FPGA模块能够故障自复位。
在本发明中,PHY芯片的一侧提供以太网接口与内外网连接,接入应用系统的网;PHY芯片的另一侧通过IO总线与FPGA模块连接;MCU模块通过I2C总线和GPIO连接到FPGA模块。
FPGA模块中的程序实现摆渡逻辑控制,完成内外网侧数据交互和数据校验,实现物理隔离。
MCU模块中程序用来检测FPGA模块工作状态和数据流量的监视,将数据输出到液晶屏幕上。
内外网的系统应用系统在使用SDK中的API进行发送和接收数据,在发送过程中会有签名加密,数据到FPGA中后会进行校验,通过的数据才会发送到另一端,另一端的接收客户端在收到后API会再次进行校验,校验通过的数据应用系统才会收到。
在本发明中,内外网的数据都是通过TCP/IP协议形式进入隔离装置,在从一端达到另一端的过程中要做到分时互斥可控、非TCP/IP协议格式经过装置,通过摆渡的形式完成数据的传递。所以本装置的核心是摆渡单元,由一块FPGA芯片来完成。
常规使用FPGA的PICE接口和应用系统对接,而FPGA只有一路PICE资源,所以需要2块FPGA来完成。
本发明使用FPGA模块的2路RGMII接口连接2路PHY芯片对接对接应用系统PHY,软件层面通过TCP/IP协议交互,可以和业务系统应用软件直接对接,方便使用。
在数据交互过程中采用互斥方式,在数据的传输的任何时刻只有一侧RGMII和摆渡单元式连接状态。
FPGA模块核心摆渡单元与两侧的PHY接口单元RGMII默认是断开状态。
当有内到外的数据时,内网侧PHY接口发起请求,和摆渡单元RGMII连通,数据到摆渡单元后断开和内网PHY的RGMI接口。
数据摆渡单元发和外网PHY的RGMII接口请求,和外网PHY连通,数据到外网侧PHY后,断开外网PHY和摆渡单元的RGMII接口。
MCU模块通过I2C接口可以查询FPGA模块计数器中的工作状态数据,当监测到状态数据在超过阈值时间未更新后可以按照策略进行复位操作。
结合MCU模块的上位机软件可以使用RS232串口对FPGA模块进行代码更新,提高维护效率。
本发明的实施原理为:
本发明通过使用FPGA模块和PHY模块就实现了摆渡的核心硬件单元,此外还有MCU模块的状态监测提供了系统的稳定性,最后通过使用SDK提高整个隔离系统的安全性;
本发明通过对比路由、防火墙类软件隔离产品实现了物理隔离提高了安全性;对比SATA类方案提高了易用性;对比PCIE类方案,减少了FPGA模块数量的使用,减少系统块,减少生产和使用过程中会产生的故障点位;从经济角度也降低了使用成本;
本发明通过MCU模块实时监测了系统健康状态,可以反馈到装置面板上,提供实时报警功能可以及时反馈故障;此外通过MCU模块的上位机可以实现对FPGA模块程序文件进行更新,解决了FPGA模块程序出现问题必须要使用专用硬件才能刷写的问题,精简了维护方,提高了效率。
此外,术语“第一”、“第二”仅用于描述目的,而不能理解为指示或暗示相对重要性或者隐含指明所指示的技术特征的数量。由此,限定有“第一”、“第二”的特征可以明示或者隐含地包括一个或者更多个该特征。在本发明的描述中,“多个”的含义是两个或两个以上,除非另有明确具体的限定。
以上所述,仅为本发明较佳的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,根据本发明的技术方案及其发明构思加以等同替换或改变,都应涵盖在本发明的保护范围之内。

Claims (7)

1.一种使用FPGA+MCU实现的隔离装置,其特征在于,包括:
FPGA模块,所述FPGA模块完成内外网之间的数据摆渡、校验、协议转换,形成物理隔离;
PHY模块,所述PHY模块包括两个PHY芯片,两个所述PHY芯片分布在所述FPGA模块的两侧,内外网分别与所述PHY芯片的一侧电连接,接入应用系统的网,所述PHY芯片的另一侧与所述FPGA模块电连接;
MCU模块,所述MCU模块与所述FPGA模块电连接,用于检测当前所述FPGA模块的健康状态进行可以展示在装置的人机接口上,以及对所述FPGA模块代码更新、硬件复位的操作,作为所述FPGA模块的外部看门狗装置,可以确保所述FPGA模块能够故障自复位。
2.根据权利要求1所述的一种使用FPGA+MCU实现的隔离装置,其特征在于,所述PHY芯片的一侧提供以太网接口与内外网连接,接入应用系统的网。
3.根据权利要求2所述的一种使用FPGA+MCU实现的隔离装置,其特征在于,所述PHY芯片的另一侧通过IO总线与所述FPGA模块连接。
4.根据权利要求1所述的一种使用FPGA+MCU实现的隔离装置,其特征在于,所述MCU模块通过I2C总线和GPIO连接到所述FPGA模块。
5.根据权利要求1所述的一种使用FPGA+MCU实现的隔离装置,其特征在于,所述FPGA模块中的程序实现摆渡逻辑控制,完成内外网侧数据交互和数据校验,实现物理隔离。
6.根据权利要求1所述的一种使用FPGA+MCU实现的隔离装置,其特征在于,所述MCU模块中程序用来检测所述FPGA模块工作状态和数据流量的监视,将数据输出到液晶屏幕上。
7.根据权利要求1所述的一种使用FPGA+MCU实现的隔离装置,其特征在于,内外网的系统应用系统在使用SDK中的API进行发送和接收数据,在发送过程中会有签名加密,数据到FPGA中后会进行校验,通过的数据才会发送到另一端,另一端的接收客户端在收到后API会再次进行校验,校验通过的数据应用系统才会收到。
CN202210661993.1A 2022-06-13 2022-06-13 一种使用fpga+mcu实现的隔离装置 Pending CN115189917A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202210661993.1A CN115189917A (zh) 2022-06-13 2022-06-13 一种使用fpga+mcu实现的隔离装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202210661993.1A CN115189917A (zh) 2022-06-13 2022-06-13 一种使用fpga+mcu实现的隔离装置

Publications (1)

Publication Number Publication Date
CN115189917A true CN115189917A (zh) 2022-10-14

Family

ID=83512775

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202210661993.1A Pending CN115189917A (zh) 2022-06-13 2022-06-13 一种使用fpga+mcu实现的隔离装置

Country Status (1)

Country Link
CN (1) CN115189917A (zh)

Citations (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6631487B1 (en) * 1999-09-27 2003-10-07 Lattice Semiconductor Corp. On-line testing of field programmable gate array resources
CN103123596A (zh) * 2013-03-14 2013-05-29 厦门亿联网络技术股份有限公司 一种利用mcu对主芯片进行复位的方法
CN103618735A (zh) * 2013-12-10 2014-03-05 机械工业仪器仪表综合技术经济研究所 一种关于现场级控制网络的安全性的监视方法
CN203851161U (zh) * 2014-05-23 2014-09-24 科大智能(合肥)科技有限公司 一种基于fpga的具有汇聚功能的协议转换器
CN104331341A (zh) * 2014-11-24 2015-02-04 中国航空工业集团公司洛阳电光设备研究所 一种基于fpga的故障恢复方法
CN105676676A (zh) * 2015-12-03 2016-06-15 广西理工职业技术学院 一种物理隔离网阀管理系统控制器
CN106657051A (zh) * 2016-12-16 2017-05-10 湖南大唐先科技有限公司 一种基于fpga数据隔离物理卡
CN106933690A (zh) * 2017-02-27 2017-07-07 北京博纳电气股份有限公司 一种基于mcu的硬件看门狗实现方法
CN107743117A (zh) * 2017-08-22 2018-02-27 北京华电众信技术股份有限公司 网闸及控制数据传输的方法和装置
CN110191107A (zh) * 2019-05-16 2019-08-30 南瑞集团有限公司 一种核电专用安全网闸系统及数据处理方法
CN110620791A (zh) * 2019-10-10 2019-12-27 江苏亨通工控安全研究院有限公司 一种带有预警功能的工业安全数据摆渡系统
US11074207B1 (en) * 2020-01-29 2021-07-27 Samsung Electronics Co., Ltd. System-on-chips and methods of controlling reset of system-on-chips

Patent Citations (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6631487B1 (en) * 1999-09-27 2003-10-07 Lattice Semiconductor Corp. On-line testing of field programmable gate array resources
CN103123596A (zh) * 2013-03-14 2013-05-29 厦门亿联网络技术股份有限公司 一种利用mcu对主芯片进行复位的方法
CN103618735A (zh) * 2013-12-10 2014-03-05 机械工业仪器仪表综合技术经济研究所 一种关于现场级控制网络的安全性的监视方法
CN203851161U (zh) * 2014-05-23 2014-09-24 科大智能(合肥)科技有限公司 一种基于fpga的具有汇聚功能的协议转换器
CN104331341A (zh) * 2014-11-24 2015-02-04 中国航空工业集团公司洛阳电光设备研究所 一种基于fpga的故障恢复方法
CN105676676A (zh) * 2015-12-03 2016-06-15 广西理工职业技术学院 一种物理隔离网阀管理系统控制器
CN106657051A (zh) * 2016-12-16 2017-05-10 湖南大唐先科技有限公司 一种基于fpga数据隔离物理卡
CN106933690A (zh) * 2017-02-27 2017-07-07 北京博纳电气股份有限公司 一种基于mcu的硬件看门狗实现方法
CN107743117A (zh) * 2017-08-22 2018-02-27 北京华电众信技术股份有限公司 网闸及控制数据传输的方法和装置
CN110191107A (zh) * 2019-05-16 2019-08-30 南瑞集团有限公司 一种核电专用安全网闸系统及数据处理方法
CN110620791A (zh) * 2019-10-10 2019-12-27 江苏亨通工控安全研究院有限公司 一种带有预警功能的工业安全数据摆渡系统
US11074207B1 (en) * 2020-01-29 2021-07-27 Samsung Electronics Co., Ltd. System-on-chips and methods of controlling reset of system-on-chips

Non-Patent Citations (8)

* Cited by examiner, † Cited by third party
Title
WEIXIN_39892842: "altera fpga 型号说明_通过MCU对FPGA程序进行在线升级", Retrieved from the Internet <URL:https://blog.csdn.net/weixin_39892842/article/details/111635425> *
严萍, 史旦旦, 钱能: "基于实时入侵检测技术的"网闸"安全系统的设计", 计算机工程, no. 24, pages 108 - 109 *
企鹅号 - 嵌入式随笔: "通过MCU对FPGA程序进行在线升级", Retrieved from the Internet <URL:https://kuaibao.qq.com/s/20200312A0AO2E00?refer=cp_1026> *
怯肇乾: "FPGA-SoPC技术应用设计", 31 August 2008, 北京航空航天大学出版社, pages: 568 *
毕盛、张齐: "嵌入式系统原理及设计", 31 January 2018, 华南理工大学, pages: 1 *
袁玉卓: "FPGA自学笔记—设计与验证", 31 August 2017, 北京航空航天大学出版社, pages: 317 - 318 *
赵万良,王有波,张晓慧: "宇航高可靠FPGA设计技巧", 31 December 2021, 中国宇航出版社, pages: 96 - 98 *
香雨亭榭: "通过MCU实现Altera FPGA在线升级", Retrieved from the Internet <URL:https://blog.csdn.net/hpu11/article/details/70854941> *

Similar Documents

Publication Publication Date Title
US8997202B2 (en) System for secure transfer of information from an industrial control system network
US20170366620A1 (en) Long connection method between a plurality of smart devices and a server, and smart device thereof
CN101729543B (zh) 利用异地Socks5技术改善移动SSL VPN性能的方法
CA2441512A1 (en) Location system and methods
CN101291343B (zh) 一种基于透明代理设备的远程控制方法及其系统
CN105323080B (zh) 一种链路备份、电源备份方法、装置及系统
US20230087311A1 (en) System and method for detection and prevention of cyber attacks at in-vehicle networks
US9280426B2 (en) System and method for server redundancy
CN103676922B (zh) 一种远程诊断的方法
CN112422348A (zh) 一种电力信息数据采集通信系统及方法
CN1980232A (zh) 远程登录会话维护方法、远程登录代理和计算机网络系统
CN111901197A (zh) 一种以太网接口模式检测装置及检测方法
CN103067216A (zh) 跨安全区的反向通信方法、装置及系统
CN104580346A (zh) 数据传输方法及装置
CN104270452A (zh) 一种远程医疗数据管理系统及其无线网络通信方法
CN104536853B (zh) 一种保障双控制器存储设备资源连续可用性的装置
CN206100062U (zh) 一种基于车联网系统实时数据不间断通讯装置
CN115189917A (zh) 一种使用fpga+mcu实现的隔离装置
CN109871325B (zh) 一种knx远程调试方法及系统
CN108270593A (zh) 一种双机热备份方法和系统
CN102811153A (zh) Vlan状态的协商方法及边缘设备
CN105306582A (zh) 一种远程更换gyk运行控制程序的系统及方法
US20210359876A1 (en) Managed Switch With Physically Distributed Ports
CN212009372U (zh) 工控数据融合采集系统
CN103973485A (zh) 基于固定端口的运维管理系统及方法

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination