一种CAN工业光纤加密转换器及其FPGA加密算法实现方法与流程

本发明涉及工业信息通信安全技术领域，具体是一种CAN工业光纤加密转换器及其FPGA加密算法实现方法。

背景技术：

随着信息技术和网络技术在工业系统中应用的普及，工业CAN总线应用系统的安全问题是工业CAN总线系统面临的直接威胁，目前市场上的各种工控防火墙只在网络层实现了对工控协议的简单过滤，由于工控协议种类多，协议差异大，所以一般的工控防火墙都是在应用层进行协议过滤，带来的问题就是性能低并且安全性无法保证，数据包很容易被篡改，对工业信息系统的安全有很大威胁。

工业CAN总线信息安全需求已经迫在眉睫，本发明结合传统安全相关技术，针对工业CAN总线信息系统的特点，发明一种CAN工业总线与光纤通信的FPGA加密算法实现的工业通信网关，通过一个工业CAN接口设备判断CAN工业总线状态，自动匹配CAN工业总线，成功连接后将信息下发给内核FPGA，数据直接在底层设备内核进行加密传输，提升系统性能，解决工业信息系统安全问题。

技术实现要素：

本发明的目的在于提供一种保证数据的安全性和高吞吐率的CAN工业光纤加密转换器及其FPGA加密算法实现方法，以解决上述背景技术中提出的问题。

为实现上述目的，本发明提供如下技术方案：

一种CAN工业光纤加密转换器，包括CAN信息包过滤模块、FPGA加密模块与OPT光纤引擎模块；其中，

所述CAN信息包过滤模块，用于对CAN总线数据包的过滤并建立和维护CAN总线状态表信息，CAN总线状态表信息包括正向连接信息和反向连接信息；

所述FPGA加密模块，用于标准CAN总线信息帧的加密和隧道封装；

所述OPT光纤引擎模块，用于对从内核FPGA送上来的数据包进行光纤转换并发送信息。

作为本发明进一步的方案：所述CAN信息包过滤模块具体包括：

工业CAN总线通信单元，用于接收工业CAN总线发送的数据信息，包括CAN总线状态表信息的建立和删除信息、CAN配置信息；

CAN总线状态维护单元，用于对CAN总线状态的维护，包括根据从工业CAN总线模块接收到的正向连接信息自动建立、反向连接信息和CAN总线状态表信息的超时管理；

作为本发明进一步的方案：所述FPGA加密模块具体包括：

FPGA逻辑单元，用于判断CAN信息包过滤模块采集到的CAN总线信息帧是否加密，如果加密则进入FPGA封装单元，否则将CAN总线信息帧丢弃，并通知CAN信息包过滤模块状态改变；

FPGA封装单元，用于对CAN总线信息帧数据的加密封装和解密。

作为本发明进一步的方案：所述OPT光纤引擎模块具体包括：

OPT光纤通信单元，用于判断OPT通道连接状态，如果OPT连接已经建立，将FPGA封装单元数据推送到OPT光纤转换单元，否则反馈信息到FPGA加密模块调整状态，直至工业CAN总线通信单元，停止接收工业CAN总线发送的数据信息；

OPT光纤转换单元，用于光电之间的转换和封装；

OPT光纤发送单元，用于OPT通道连接建立和封装信息的发送。

本发明另一目的是提供基于CAN工业光纤加密转换器的FPGA加密算法实现方法，包括以下步骤：

CAN工业光纤加密转换器接入CAN工业总线时，首先判断CAN工业总线状态，自动匹配CAN工业总线，成功连接后CAN光纤加密转换器接收来自工业CAN总线发送的数据信息；CAN工业光纤加密转换器依据数据信息内容，查找和判断是否为完整的CAN工业总线信息，如果检测成功则CAN工业光纤加密转换器按照规约在FPGA加密模块进行加密封装并发送至OPT光纤引擎模块，如果检测失败则CAN工业光纤加密转换器将数据信息阻断。

与现有技术相比，本发明的有益效果是：

本发明采用基于CAN工业总线与光纤通信的FPGA加密算法的安全传输，解决了CAN工业光纤转换器接收来自工业控制CAN总线数据的安全传输问题。本发明通过一个CAN工业光纤加密转换器判断CAN工业总线状态，自动匹配CAN工业总线，成功连接后将信息下发给内核FPGA。FPGA内核通过独立的数据加密和进行传输，保证数据的安全性和高吞吐率。

附图说明

图1是本发明所述安全加密转换器的部署图；

图2是本发明所述安全加密转换器的工作原理图；

图3是本发明所述安全加密转换器通信方法的流程图。

具体实施方式

下面将结合本发明实施例，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

实施例1

请参阅图1-3，本发明实施例中，一种CAN工业光纤加密转换器，包括CAN信息包过滤模块、FPGA加密模块与OPT光纤引擎模块。

所述CAN信息包过滤模块，用于对CAN总线数据包的过滤并建立和维护CAN总线状态表信息，CAN总线状态表信息包括正向连接信息和反向连接信息。

所述FPGA加密模块，用于标准CAN总线信息帧的加密和隧道封装。

所述OPT光纤引擎模块，用于对从内核FPGA送上来的数据包进行光纤转换并发送信息。

所述CAN信息包过滤模块具体包括：工业CAN总线通信单元，用于接收工业CAN总线发送的数据信息，包括CAN总线状态表信息的建立和删除信息、CAN配置信息；CAN总线状态维护单元，用于对CAN总线状态的维护，包括根据从工业CAN总线模块接收到的正向连接信息自动建立、反向连接信息和CAN总线状态表信息的超时管理。

所述FPGA加密模块具体包括：FPGA逻辑单元，用于判断CAN信息包过滤模块采集到的CAN总线信息帧是否加密，如果加密则进入FPGA封装单元，否则将CAN总线信息帧丢弃，并通知CAN信息包过滤模块状态改变；FPGA封装单元，用于对CAN总线信息帧数据的加密封装和解密。

所述OPT光纤引擎模块具体包括：OPT光纤通信单元，用于判断OPT通道连接状态，如果OPT连接已经建立，将FPGA封装单元数据推送到OPT光纤转换单元，否则反馈信息到FPGA加密模块调整状态，直至工业CAN总线通信单元，停止接收工业CAN总线发送的数据信息；OPT光纤转换单元，用于光电之间的转换和封装；OPT光纤发送单元，用于OPT通道连接建立和封装信息的发送。

对于本领域技术人员而言，显然本发明不限于上述示范性实施例的细节，而且在不背离本发明的精神或基本特征的情况下，能够以其他的具体形式实现本发明。因此，无论从哪一点来看，均应将实施例看作是示范性的，而且是非限制性的，本发明的范围由所附权利要求而不是上述说明限定，因此旨在将落在权利要求的等同要件的含义和范围内的所有变化囊括在本发明内。

此外，应当理解，虽然本说明书按照实施方式加以描述，但并非每个实施方式仅包含一个独立的技术方案，说明书的这种叙述方式仅仅是为清楚起见，本领域技术人员应当将说明书作为一个整体，各实施例中的技术方案也可以经适当组合，形成本领域技术人员可以理解的其他实施方式。