Csec控制模塊根據密鑰和數據存儲模塊中的128/256位密鑰啟動MACsec加密模塊對傳出的數據進行加密，加密完成后通過物理層傳出。
[0034]MACsec加密模塊使得每個數據包使用不同的加密密鑰。數據采集模塊接收到數據包后，MACsec解密模塊上的接收器會在片上的內容地址存儲器列表中進行查找，明確用以解密數據包的正確密鑰。每個數據包都有相應的編號，確保能檢測并拒絕接收重復或重新發送的數據包。
[0035]MACsec控制模塊不僅能夠檢測到丟失或重復發送的數據包而且能夠收集并統計相關數據包出現異常的原因。提供統計數據以支持攻擊檢測，能讓本采集裝置主動應對正在進行的攻擊。
[0036]通過常用的流水線技術和提高FPGA的時鐘頻率使得MACsec加密模塊的工作頻率可以運行在IGHz、10GHz和40GHz不同檔位，從而能夠根據工業控制現場多種不同的數據采集速率而動態改變加密速率。
[0037]如圖3所示，本發明中的數據采集裝置開始運行后首先從文件中獲得采集配置信息，加載采集配置信息成功后對數據采集模塊進行初始化，通過PC1-Express接口與DCS建立連接。連接成功后對需要采集的標簽點進行綁定，以循環的方式不斷執行數據讀取。對讀取到的數據包進行MACsec解密和CRC校驗，在確認無誤的情況下將數據進一步傳輸到數據發送模塊，數據經過MACsec加密模塊處理后對外發布。
[0038]本實施例中的CRC校驗碼具體計算步驟如下:
[0039](I)將16位寄存器自左到右編號為R15R14.--Ro;
[0040](2)將16位CRC寄存器自左到右編號為C15Cw --Co；
[0041 ] (3)把CRC寄存器中每一位的初始值都設為O;
[0042](4)計算輸入一位數據后CRC寄存器中新的內容；
[0043](5)循環執行步驟(4)直到8位數據輸入結束；
[0044](6)計算各個位的因子相互異或的結果，即為CRC校驗碼。
[0045]綜上所述，本發明提供了一種基于FPGA的工業過程數據安全采集裝置及方法，以FPGA為核心，取代了數據采集裝置中廣泛使用的普通PC機，使用MACsec加密、解密技術，在保證實時數據采集速率的基礎上提供了工業級的安全加密性能，完成了DCS與MES安全可靠地互聯，實現了對工業控制現場大量生產數據的采集。
[0046]本發明已通過上述實施例及其【附圖說明】清楚，以上僅為本發明的一個具體實例，不構成對本發明的任何限制。在不背離本發明精神和實質的情況下，所屬領域的技術人員可根據本發明做出相應變化和修正，這些變化和修正都屬于本發明權利要求的保護范圍。
[0047]本發明未涉及方法均與現有技術相同或可采用現有技術加以實現。
【主權項】
1.一種基于FPGA的工業過程數據安全采集裝置，其特征在于該裝置包括支持PC1-Express 的高速數據采集模塊、數據發送模塊、 CRC 校驗模塊、 MACsec 加密模塊以及 MACsec 解密模塊，上述各模塊均為FPGA的內嵌模塊，由FPGA負責整個裝置的運行協調;所述高速數據采集模塊采集DCS數據，并通過數據發送模塊發送數據至MES;所述CRC校驗模塊、MACsec解密模塊連接高速數據采集模塊;所述MACsec加密模塊連接數據發送模塊； FPGA的內核加密模塊包括AES-GCM模塊、MACsec控制模塊、密鑰和數據存儲模塊、MAC模塊以及物理層，其中AES-GCM模塊置于MACsec控制模塊中，MACsec控制模塊連接數據存儲模塊以及位于OSI模型中數據鏈路層的MAC模塊:當信息從OSI模型的物理層傳輸到數據鏈路層時,MACsec控制模塊根據發送者提供的128/256位密鑰啟動MACsec解密模塊進行解密，解密后的數據傳輸到OSI模型中的網絡層之上進行深度數據包檢測；當信息從數據鏈路層傳輸到物理層時，MACsec控制模塊根據密鑰和數據存儲模塊中的128/256位密鑰啟動MACsec加密模塊對傳出的數據進行加密，加密完成后通過物理層傳出。2.根據權利要求1所述的一種基于FPGA的工業過程數據安全采集裝置，其特征在于MACsec加密模塊、MACsec解密模塊在硬件上實現安全加密、解密功能。3.—種基于如權利要求1所述的基于FPGA的工業過程數據安全采集裝置的采集方法，其特征在于數據采集裝置開始運行后首先從文件中獲得采集配置信息，加載采集配置信息成功后對高速數據采集模塊進行初始化，通過PC1-Express接口與DCS建立連接;連接成功后對需要采集的標簽點進行綁定，以循環的方式不斷執行數據讀取;對讀取到的數據包進行MACsec解密和CRC校驗，在確認無誤的情況下將數據進一步傳輸到數據發送模塊，數據經過MACsec加密模塊處理后對外發布。4.根據權利要求3所述的一種基于FPGA的工業過程數據安全采集方法，其特征在于所述MACsec加密模塊處理是通過對以太網鏈路層的數據進行加密。5.根據權利要求3所述的一種基于FPGA的工業過程數據安全采集方法，其特征在于所述MACsec加密模塊的工作頻率可以運行在IGHz、1GHz和40GHz不同檔位，能夠根據多種不同的數據采集速率而動態改變數據加密速率。6.根據權利要求3所述的一種基于FPGA的工業過程數據安全采集方法，其特征在于所述MACsec解密模塊的工作頻率可以運行在IGHz、1GHz和40GHz不同檔位，能夠根據多種不同的數據采集速率而動態改變數據解密速率。7.根據權利要求3所述的一種基于FPGA的工業過程數據安全采集方法，其特征在于每個數據包都有相應的編號，確保能檢測并拒絕接收重復或重新發送的數據包。8.根據權利要求3所述的一種基于FPGA的工業過程數據安全采集方法，其特征在于MACsec加密模塊對每個數據包使用不同的加密密鑰，接收到消息后，接收器會在FPGA上的內容地址存儲器列表中查找解密密鑰。9.根據權利要求3所述的一種基于FPGA的工業過程數據安全采集方法，其特征在于所述CRC校驗模塊采用異或邏輯，基于8位輸入數據和生成多項式運算得出CRC校驗碼。10.根據權利要求9所述的一種基于FPGA的工業過程數據安全采集方法，其特征在于所述CRC校驗碼計算步驟如下: (1)將16位寄存器自左到右編號為R15Rw.-Ro ； (2)將16位CRC寄存器自左到右編號為C15C14---Co；(3)把CRC寄存器中每一位的初始值都設為O;(4)計算輸入一位數據后CRC寄存器中新的內容；(5)循環執行步驟(4)直到8位數據輸入結束；(6)計算各個位的因子相互異或的結果，即為CRC校驗碼。
【專利摘要】本發明公開了一種基于FPGA的工業過程數據安全采集裝置及方法，以FPGA為核心，設計并開發CRC校驗模塊、MACsec加密、解密模塊。利用FPGA支持PCI-Express的高速數據傳輸特性保證了工業控制系統中實時數據的傳輸，使用MACsec加密從硬件上實現加密功能，不向軟件提供未加密密鑰。在保證實時數據采集速率的基礎上提高了信息傳遞的安全性，使得工業控制系統免受來自管理網的安全風險。
【IPC分類】H04L29/06, G06F21/60, H04L9/14
【公開號】CN105592107
【申請號】CN201610113714
【發明人】陳夕松, 方鑫, 繆銳, 羅凡, 張良朝, 崔偉
【申請人】南京富島信息工程有限公司
【公開日】2016年5月18日
【申請日】2016年3月1日