WO2022104869A1

WO2022104869A1 - 基于芯片级加密的以太网和现场总线融合网关及传输方法

Info

Publication number: WO2022104869A1
Application number: PCT/CN2020/131784
Authority: WO
Inventors: 蒋华; 孙海
Original assignee: 昆高新芯微电子(江苏)有限公司
Priority date: 2020-11-20
Filing date: 2020-11-26
Publication date: 2022-05-27
Also published as: CN112422389B; CN112422389A

Abstract

本发明提供了一种基于芯片级数据加密的以太网和现场总线融合网关及其报文传输方法，包括物理层PHY芯片；所述物理层PHY芯片连接以太网和CAN总线，用于在以太网和CAN总线之间进行报文互传；所述物理层PHY芯片对所述报文进行加解密。本发明在物理层PHY芯片上实现CAN协议报文和以太网报文的互转，并且支持MacSec(IEEE802.1ae)硬件加密数据的安全工业以太网网关。本方案采用低成本、短时间、无缝隙的技术，把以太网作为CAN总线的传输载体，延长CAN总线的部署距离，扩展其部署空间，并且本方案的部署和使用，对CAN总线及其设备透明。

Description

基于芯片级加密的以太网和现场总线融合网关及传输方法

技术领域

本发明涉及工业以太网技术领域，具体涉及一种基于芯片级数据加密的以太网和现场总线融合网关及其报文传输方法、传输网络。

背景技术

工业以太网网关的应用遍及智能工厂、智能交通、环境保护、工业监测、环境监测等多个领域。工业以太网网关基本功能是把现场总线上感知层采集到的各类信息通过相关协议转换形成高速数据传递到互联网，实现一定管理功能。控制器局域网总线(CAN，Controller Area Network)是一种主流的现有工业现场总线、车载网、轨道交通等领域采用的通讯协议总线，具有：封闭性强、实时性高、可靠性高、带宽小、部署量巨大、升级困难等特点。以太网(Ether Net)具有：开放性强、实时性低、可靠性低、带宽大、部署量很大、升级容易等特点，通过工业以太网网关把CAN总线与以太网互联，升级现有的CAN总线应用技术，可方便实现对不同CAN总线上各种工业设备互联，实现远程控制、监测和诊断等功能，以达到企业提高效率和降低成本的目的。

目前现有的以太网网关使用软件方法在TCP/IP协议栈的传输层或者应用层实现CAN报文和以太网报文的互转，实现复杂，报文转发延时大，丢包率高，而且CAN报文在以太网中传输安全性很低。

因此，如何提供一种传输快、高安全性能的基于芯片级数据加密的以太网和现场总线融合网关及其报文传输方法是本领域技术人员亟需解决的问题。

发明内容

有鉴于此，本发明提出了一种在物理层PHY芯片上实现CAN协议报文和以太网报文的互转，并且支持MacSec(IEEE802.1ae)硬件加密数据的安全工业以太网网关。本方案采用低成本、短时间、无缝隙的技术，把以太网作为CAN总线的传输载体，延长CAN总线的部署距离，扩展其部署空间，并且本方案的部署和使用，对CAN总线及其设备透明。

为了实现上述目的，本发明采用如下技术方案：

本发明第一方面提出了一种基于芯片级数据加密的以太网和现场总线融合网关，包括物理层PHY芯片；所述物理层PHY芯片连接以太网和CAN总线，用于在以太网和CAN总线之间进行报文互传；所述物理层PHY芯片对所述报文进行加解密。

优选的，所述物理层PHY芯片包括依次连接的媒体依赖接口MDI模块、前端模拟模块、CAN SerDes模块、CAN控制器模块、数据缓存模块、插入删除时间戳模块、协议转换模块、加解密模块以及媒体无关接口MII模块；所述媒体依赖接口MDI模块连接至CAN总线；所述媒体无关接口MII模块连接至以太网。

优选的，所述插入删除时间戳模块用于在报文前面添加数据缓存模块接收到报文的时间戳。

优选的，所述协议转换模块用于添加或删除以太网二层头，所述二层头的数据结构为：目的MAC地址MAC DA、源MAC地址MAC SA、VLAN标签和报文类型/长度。

优选的，所述加解密模块采用MacSec的方式实现报文的加密；所述加解密模块根据所述MAC DA和所述MAC SA确定MacSec解密密钥并解密。

本发明第二方面提供了一种基于芯片级数据加密的以太网和现场总线融合网关的报文传输方法，该传输方法包括本发明第一方面中所述的基于芯片级数据加密的以太网和现场总线融合网关，报文传输方法包括以下步骤：

所述物理层PHY芯片将报文由CAN总线向以太网传输的步骤包括：

通过媒体依赖接口MDI模块接收CAN总线传输的报文；

所述报文依次经过前端模拟模块、CAN SerDes模块传输至CAN控制器模块，所述CAN控制器模块提取出报文数字信号输出至数据缓存模块；

通过插入删除时间戳模块在报文前面添加媒体依赖接口MDI模块接收到报文的时间戳；

然后通过协议转换模块给报文数字信号添加以太网二层头；

通过加解密模块采用MacSec的方式实现报文数字信号的加密，将加密后的报文数字信号进行封装；

最后，把封装后的报文输出到媒体无关接口MII模块；

所述物理层PHY芯片将报文由以太网向CAN总线传输的步骤包括：

针对加密报文，根据以太网二层头确定MacSec解密密钥并解密；

针对非加密报文和解密后的报文，根据提取以太网二层头中的信息，用于选择对应的媒体依赖接口MDI模块，再删除以太网二层头，删除时间戳，把报文数字信号转化为CAN报文发送到CAN总线上。

优选的，所述以太网二层头的数据结构为：目的MAC地址MAC DA，源MAC地址MAC SA，VLAN标签和报文类型/长度。

优选的，根据以太网二层头确定MacSec解密密钥并解密具体包括：

根据所述MAC DA，MAC SA确定MacSec解密密钥并解密。

本发明第三方面提供了一种基于芯片级数据加密的以太网和现场总线融合网关的传输网络，该传输网络包括本发明第一方面中所述的基于芯片级数据加密的以太网和现场总线融合网关，传输网络包括以太网、CAN总线，所述CAN总线通过所述工业以太网网关连接至所述以太网。

优选的，所述CAN总线包括单管道CAN总线和多管道CAN总线，多管道CAN总线的不同管道通路识别通过CAN Payload字段实现。

优选的，以太网传输部分采用时间敏感网络，以解决以太网缺乏时间敏感性问题，满足CAN总线或设备对高实时、高可靠的具体指标的要求；并通过以太网二层头的源MAC SA和目的MAC DA及VLAN标签的组合结果，确认不同的CAN总线、CAN设备或CAN报文。

经由上述的技术方案可知，与现有技术相比，本发明的有益效果包括：

通过以太网和现场总线融合网关把CAN总线与以太网互联，升级现有的CAN总线应用技术，可方便实现对不同CAN总线上各种工业设备的互联。本发明在物理层PHY芯片上实现CAN协议报文和以太网报文的互转，并且支持MacSec(IEEE802.1ae)硬件加密数据的安全以太网和现场总线融合网关。本发明采用低成本、短时间、无缝隙、高度安全的技术，把以太网作为CAN总线的传输载体，延长CAN总线的部署距离，扩展其部署空间，本发明的部署和使用，对CAN总线及其设备透明。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据提供的附图获得其他的附图；

图1为本发明实施例提供的基于芯片级数据加密的以太网和现场总线融合网关逻辑框图；

图2为本发明实施例提供的以太网单管道CAN总线传输网络拓扑图；

图3为本发明实施例提供的以太网多管道CAN总线传输网络拓扑图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

图1是根据一示例性实施例示出的一种基于芯片级数据加密的以太网和现场总线融合网关逻辑框图，如图1所示，包括物理层PHY芯片；所述物理层PHY芯片连接以太网和CAN总线，用于在以太网和CAN总线之间进行报文互传；所述物理层PHY芯片对所述报文进行加解密。

本实施例中，所述物理层PHY芯片包括依次连接的媒体依赖接口MDI模块、前端模拟模块、CAN SerDes模块、CAN控制器模块、数据缓存模块、插入删除时间戳模块、协议转换模块、加解密模块以及媒体无关接口MII模块；所述媒体依赖接口MDI模块连接至CAN总线；所述媒体无关接口MII模块连接至以太网。

其中，MDI模块通过功率/电压调整装置连接至CAN节点组，功率/电压调整装置与MDI模块之间同样通过CAN总线的物理连接线实现数据的传输。功率/电压调整装置的作用是在需要的时候驱动CAN总线，其可以内置于物理层PHY芯片中。

本实施例中，插入删除时间戳模块用于在报文前面添加媒体依赖接口MDI模块接收到报文的时间戳。

其中，插入删除时间戳模块在接收CAN总线段传入报文时插入时间戳，在发送报文至以太网时删除时间戳。

本实施例中，所述协议转换模块用于添加或删除以太网二层头，所述二层头的数据结构为：目的MAC地址MAC DA、源MAC地址MAC SA、VLAN标签和报文类型/长度，其中的目的MAC地址MAC DA，源MAC地址MAC SA和VLAN标签3个字段的内容，与接收CAN报文的接口MDI的编号(CAN端口)和CAN报文的仲裁段(即ID)的内容具有可以人工配置的对应关系。

本实施例中，所述加解密模块采用MacSec的方式实现报文的加密；所述加解密模块根据所述MAC DA或所述MAC SA或所述VLAN标签确定MacSec解密密钥并解密。

实施例一

图2是根据一示例性实施例示出的以太网单管道CAN总线传输网络拓扑图，如图2所示。包括以太网、CAN总线、以及基于芯片级数据加密的以太网和现场总线融合网关，所述CAN总线通过所述工业以太网网关连接至所述以太网。

本实施例中，CAN总线采用单管道CAN总线。图2中A、B、C、D、E为采用相同CAN协议版本和速率(波特率)的CAN设备，并且处于相同的CAN总线内(虚拟总线/逻辑配置)，均达到相关的CAN总线协议的要求。

其中，可以采用时间敏感以太网网络，每个报文在时间敏感以太网网络中实时、可靠、安全的传输，使用组播方式传输给所有的CAN设备。

本发明提出了适用于基于芯片级数据加密的以太网和现场总线融合网关的报文传输方法，包括以下步骤：

S11、通过媒体依赖接口MDI模块接收CAN总线传输的报文。

S12、所述报文依次经过前端模拟模块、CAN SerDes模块传输至CAN控制器模块，所述CAN控制器模块提取出报文数字信号输出至数据缓存模块。

在S12中，前端模拟模块把接收到的CAN报文模拟信号转换成数字信号，该数字信号为高速串行信号，CAN SerDes模块把高速串行信号转换成多路低速并行信号，CAN控制器模块根据CAN总线协议控制多路低速并行信号的数据帧的发送和接收，例如CAN帧格式检查和CRC校验。

S13、通过插入删除时间戳模块在报文前面添加媒体依赖接口MDI模块接收到报文的时间戳。

在S13中，时间戳为10个字节长度，采用48bit的秒格式和32bit的纳秒格式。

S14、然后通过协议转换模块给报文数字信号添加以太网二层头。

在S14中，协议转换模块将报文数字信号转化成CAN Payload字段，并添加以太网二层头；其中CAN Payload有两种可配置的模式：其一由CAN-Packet构成，其二由CAN-Port(CAN端口)、Length和CAN-Packet三部分构成，如表4所示，CAN-Packet为CAN总线上接收的CAN报文对应的报文数字信号。

以太网二层头包括6个字节长度的目的MAC地址MAC DA，6个字节长度的源MAC地址MAC SA，4个字节长度的VLAN标签，2个字节长度的以太网报文类型或者长度。

S15、通过加解密模块采用MacSec(IEEE802.1ae)的方式实现报文数字信号的加密，将加密后的报文数字信号封装至Secure Data(CAN Payload)字段。

在S15中，加解密模块对报文数字信号加密后生成SecTAG字段并保存在数字信号数据格式内。具体的，加解密模块采用MacSec的方式实现CAN Payload字段的加密，将加密后的报文封装至Secure Date字段，并添加SecTAG字段。

S16、最后，把封装后的报文输出到媒体无关接口MII模块。

在S16中，通过协议转换模块和加解密模块共同完成封装。媒体无关接口MII模块连接至以太网连接节点。

S21、针对加密报文，根据以太网二层头确定MacSec解密密钥并解密。

在S21中，根据以太网二层头中的MAC DA，MAC SA，VLAN ID和Type/Length信息，选择CAN端口把CAN Payload部分转化为CAN报文发送到CAN总线上。

S22、针对非加密报文和解密后的报文，根据提取以太网二层头中的信息，用于选择对应的媒体依赖接口MDI模块，接口MDI的编号与CAN端口的对应关系可以配置，再删除以太网二层头，删除时间戳，把CAN Payload部分转化为CAN报文发送到CAN总线上。

在S22中，通过解析报文是否携带加密字段SecTAG(EtherType为0x88E5)判断是否为加密报文，若携带则是加密报文，否则是非加密或者是解密后的报文。

在S22中，在删除以太网二层头之前提取出以太网二层头的信息用于选择CAN端口，以判断CAN总线管道通路。

实施例二

图3是根据一示例性实施例示出的以太网多管道CAN总线传输网络拓扑图，如图3所示。本实施例与实施例一的不同点在于，CAN总线采用多管道CAN总线。图3中A、B、C组成CAN-1总线，D、E组成CAN-2总线。CAN-2总线的报文可以采用单播报文；CAN-1总线的报文建议采用组播报文。

本实施例中，以太网和现场总线融合网关的报文传输方法适用于实施例一中给出的传输步骤，在该传输步骤的基础上，通过以太网二层头的目的MAC DA、源MAC SA(可选VLAN标签)字段标识不同管道CAN总线接口收到的CAN报文。在物理层PHY芯片将报文由CAN总线向以太网传输步骤中，进行报文封装时记录以太网二层头和CAN端口的对应关系。

本实施例中，一个物理层PHY芯片可以同时支持多个CAN端口，所有CAN端口可以单独配置不同属性，比如：CAN总线协议版本、CAN总线速率等。

在实施例一和实施例二的报文传输过程中，根据不同应用配置报文在以太网中的封装方式可以有以下四种：

第一种，基本报文封装格式，TYPE部分可以表示报文的实际长度和CAN端口号，其中的802.1Q-TPID字段是可选字段，如表1所示。

表1 基本报文封装格式

第二种，加密报文封装格式，由于在以太网上传输的报文数据与其它数据使用相同的线路，报文数据可能被监听或篡改，会导致CAN设备被干扰或劫持，设备状态数据泄露。提出采用MacSec(IEEE802.1ae)的方式实现CAN数据的加解密，其中的802.1Q-TPID字段是可选字段，如表2所示。

表2 加密报文封装格式

第三种，时间检测报文封装格式，由于常用的CAN报文最大长度为146bit，采用最小的以太网报文传输也至少有27字节的空闲容量可以再使用，提出用两段10字节字段分别表示进入方向时间戳(in-face time-stamp)和送出方向时间戳(out-face time-stamp)，其中的802.1Q-TPID字段是可选字段，如表3所示。

表3 时间检测报文封装格式

第四种，多个报文封装格式，由于同一个接入以太网的接口上，会出现同一时间点接收到多个报文，且这些报文可以或需要被以太网发送到的目标设备在同一接口上，则这些报文可以被封装在一个报文中，其中的CAN-Payload包含的CAN port(CAN端口)对应PHY中的MDI编号或CAN端口，CAN-Packet是从CAN总线上收到的信息，Length是CAN-Packet的有效长度(基于bit位计数)，如表4所示。

表4 多个报文封装格式

在示例性实施例中，本领域技术人员可以理解的是，以太网包含所有支持IEEE802.3/IEEE802.1标准的工业以太网、传统以太网及时间敏感网络(TSN)等。

在示例性实施例中，媒体无关接口MII包括MII/RMII/SMII/GMII/RGMII/SGMII等接口类型。

以上对本发明所提供的基于芯片级数据加密的以太网和现场总线融合网关及其报文传输方法、传输网络进行了详细介绍，本文中应用了具体个例对本发明的原理及实施方式进行了阐述，以上实施例的说明只是用于帮助理解本发明的方法及其核心思想；同时，对于本领域的一般技术人员，依据本发明的思想，在具体实施方式及应用范围上均会有改变之处，综上，本说明书内容不应理解为对本发明的限制。

对所公开的实施例的上述说明，使本领域专业技术人员能够实现或使用本发明。对这些实施例的多种修改对本领域的专业技术人员来说将是显而易见的，本文中所定义的一般原理可以在不脱离本发明的精神或范围的情况下，在其它实施例中实现。因此，本发明将不会被限制于本文所示的这些实施例，而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。

Claims

一种基于芯片级数据加密的以太网和现场总线融合网关，其特征在于，包括物理层PHY芯片；所述物理层PHY芯片连接以太网和CAN总线，用于在以太网和CAN总线之间进行报文互传；所述物理层PHY芯片对所述报文进行加解密。
根据权利要求1所述的基于芯片级数据加密的以太网和现场总线融合网关，其特征在于，所述物理层PHY芯片包括依次连接的媒体依赖接口MDI模块、前端模拟模块、CAN SerDes模块、CAN控制器模块、数据缓存模块、插入删除时间戳模块、协议转换模块、加解密模块以及媒体无关接口MII模块；所述媒体依赖接口MDI模块连接至CAN总线；所述媒体无关接口MII模块连接至以太网。
根据权利要求1所述的基于芯片级数据加密的以太网和现场总线融合网关，其特征在于，所述插入删除时间戳模块用于在报文前面添加数据缓存模块接收到报文的时间戳。
根据权利要求1所述的基于芯片级数据加密的以太网和现场总线融合网关，其特征在于，所述协议转换模块用于添加或删除以太网二层头，所述二层头的数据结构为：目的MAC地址MAC DA、源MAC地址MAC SA、VLAN标签和报文类型/长度。
根据权利要求4所述的基于芯片级数据加密的以太网和现场总线融合网关，其特征在于，所述加解密模块采用MacSec的方式实现报文的加密；所述加解密模块根据所述MAC DA和所述MAC SA确定MacSec解密密钥并解密。
一种根据权利要求1-5中任一项所述的基于芯片级数据加密的以太网和现场总线融合网关的报文传输方法，其特征在于，包括以下步骤：

所述物理层PHY芯片将报文由CAN总线向以太网传输的步骤包括：

通过媒体依赖接口MDI模块接收CAN总线传输的报文；

所述报文依次经过前端模拟模块、CAN SerDes模块传输至CAN控制器模块，所述CAN控制器模块提取出报文数字信号输出至数据缓存模块；

通过插入删除时间戳模块在报文前面添加媒体依赖接口MDI模块接收到报文的时间戳；

然后通过协议转换模块给报文数字信号添加以太网二层头；

通过加解密模块采用MacSec的方式实现报文数字信号的加密，将加密后的报文进行封装；

最后，把封装后的报文输出到媒体无关接口MII模块；

所述物理层PHY芯片将报文由以太网向CAN总线传输的步骤包括：

针对加密报文，根据以太网二层头确定MacSec解密密钥并解密；

针对非加密报文和解密后的报文，根据提取以太网二层头中的信息，用于选择对应的媒体依赖接口MDI模块，再删除以太网二层头，删除时间戳，把报文数字信号转化成CAN报文发送到CAN总线上。
根据权利要求6所述的基于芯片级数据加密的以太网和现场总线融合网关及其报文传输方法，其特征在于，所述以太网二层头的数据结构为：目的MAC地址MAC DA，源MAC地址MAC SA，VLAN标签和报文类型/长度。
根据权利要求7所述的基于芯片级数据加密的以太网和现场总线融合网关及其报文传输方法，其特征在于，根据以太网二层头确定MacSec解密密钥并解密具体包括：

根据所述MAC DA，MAC SA确定MacSec解密密钥并解密。
一种基于芯片级数据加密的以太网和现场总线融合网关的传输网络，其特征在于，包括以太网、CAN总线、以及如权利要求1-5中任一项所述的基于芯片级数据加密的以太网和现场总线融合网关，所述CAN总线通过所述工业以太网网关连接至所述以太网。
根据权利要求9所述的基于芯片级数据加密的以太网和现场总线融合网关的传输网络，其特征在于，所述CAN总线包括单管道CAN总线和多管道CAN总线。