一种加密工业以太网交换机的制作方法

本实用新型涉及通信领域中的工业以太网技术，特别涉及一种加密工业以太网交换机。

背景技术：

工业以太网交换机，即应用于工业控制领域的以太网交换机设备，由于所采用的网络标准其开发性好及应用广泛，能适应低温高温，抗电磁干扰强，防盐雾及抗震性强。工业以太网交换机使用的是透明而统一的传输控制协议/因特网互联协议(TCP/IP)，以太网已经成为工业控制领域的主要通信标准。工业以太网交换机主要应用于工业控制自动化，道路交通控制自动化，楼宇自动控制系统，矿井自动控制系统，油田控制自动化，水电站控制自动化，电力系统控制自动化以及机房监控系统中。

加密工业以太网交换机，即对传输的数据进行加密处理的工业以太网交换机设备，由于应用领域的特殊性及所承载数据的关键性及私密性，加密工业以太网交换机已逐渐成为各行业传输系统基础设施的主要组成部分。

目前，有两种类型的加密工业以太网交换机，分别如图1和图2所示。

图1为现有技术提供的加密工业以太网交换机的装置一结构示意图，如图所示，包括：第一交换芯片101、集成MACsec加解密算法的物理层模块(PHY)102、第一光模块103及第二光模块104，集成MACsec加解密算法的PHY102和第一交换芯片101之间通过以太网接口协议(QSGMII)接口连接，集成MACsec加解密算法的PHY102分别与第一光模块103及第二光模块104之间通过光纤吉比特以太网标准(1000Base-x)接口连接，第一光模块103及第二光模块104分别为1.25Gbps光模块，第一交换芯片101接受第一网管中央处理器(CPU)的控制。其中，第一交换芯片101将从快速以太网双线绞对(100Base-T)接收的上行数据发送给集成MACsec加解密算法的PHY102加密处理，通过第一光模块103或第二光模块104发送加密的上行数据到对端；或者第二光模块104或第一光模块103将加密的下行数据发送给集成MACsec加解密算法的PHY102解密处理，将下行数据由第一交换芯片101通过100Base-T发送到快速以太网中。

在该结构中，上联接口或下联接口都采用全双工模式，既可以发送加密的上行数据，也可以接收下行数据，这里不限定，以下所述的上联接口或下联接口的功能相同。

从图1可以看出，这种加密工业以太网交换机是采用集成MACsec加解密算法的PHY102实现数据的加解密功能，该交换机的加解密吞吐量接近1000兆的通信速率。

图2为现有技术提供的加密工业以太网交换机的装置二结构示意图，包括：第二交换芯片201、第三光模块202及第四光模块203，第二交换芯片201分别与第三光模块202及第四光模块203之间通过1000Base-x接口连接，第三光模块202及第四光模块203分别为1.25Gbps光模块。第二交换芯片201与加密网管CPU通信，由加密网管CPU实现经过第二交换芯片201数据的加解密处理。其中，第二交换芯片201将从100Base-T接收的上行数据加密处理后，通过第三光模块202或第四光模块203发送加密的上行数据到对端；或者第四光模块203或第三光模块202将加密的下行数据发送给第二交换芯片201解密处理后，将下行数据通过100Base-T发送到快速以太网中。

图2中的加密工业以太网交换机采用高性能的CPU实现数据的加解密，从而采用模块化软件结构，可以支持多种加解密算法，保障了所述交换机加解密算法选择的灵活性。

但是，图1和图2所示的加密工业以太网交换机也还存在缺陷：

图1所示的加密工业以太网交换机加解密算法模块，只支持MACsec加解密算法，通用性差，无法应用于行业强制要求支持某几种加解密算法，诸如SM1或SM4等加解密算法的场合；

图2所示的加密工业以太网交换机虽然可以支持多种加解密算法，但是其吞吐量低，无法满足高带宽需求的应用场景，比如越来越多的视频传输业务，对传输设备的吞吐量要求很高，特别是当加密工业以太网交换机处于网络拓扑的汇聚层或核心层时，无法胜任。

综上，目前还没有一种类型的加密工业以太网交换机，不仅可以解决数据加解密速率与数据吞吐量速率相适应，而且还可以支持多种加解密算法以实现灵活性。为了保证加解密算法灵活性的同时提升加密工业以太网交换机的加解密数据吞吐量，图2所示的加密工业以太网交换机不断地增加加密网管CPU的处理能力，从32位增加到64位，从单核处理器增加到多核处理器，但是不仅没有满足性能要求，而且成本增加且存在散热等问题。

技术实现要素：

有鉴于此，本实用新型实施例提供一种加密工业以太网交换机，不仅能够解决数据加解密速率与数据吞吐量速率相适应，而且还可以支持多种加解密算法以实现灵活性。

根据上述目的，本实用新型是这样实现的：

一种加密工业以太网交换机，包括：第三交换芯片(301)、现场可编程阵列FPGA单元(302)、第五光模块(303)及第六光模块(304)，FPGA单元(302)和第三交换芯片(301)之间通过以太网接口协议QSGMII接口连接，FPGA单元(302)分别与第五光模块(303)及第六光模块(304)之间通过1000Base-x接口连接，FPGA单元)(302)设置多种加解密算法，其中，

第三交换芯片(301)将从快速以太网双绞线100Base-T接收的上行数据发送给FPGA单元(302)进行对应加解密算法的加密处理，通过第五光模块(303)或第六光模块(304)发送加密上行数据给对端；或者第六光模块(304)或第五光模块(303)将加密的下行数据发送给FPGA单元(302)进行对应加解密算法的解密处理，将下行数据由第三交换芯片(301)通过100Base-T发送到快速以太网中。

较佳地，所述第五光模块(303)及第六光模块(304)分别为1.25Gbps光模块。

较佳地，所述第三交换芯片(301)接受第二网管中央处理器CPU的控制。

较佳地，所述FPGA单元(302)包括加解密算法拨码开关，用于控制FPGA单元(302)加载对应的加解密算法。

较佳地，还包括存储器，通过外围接口与FPGA单元(302)连接，存储各种加解密算法，当FPGA单元(302)的加解密算法拨码开关设置后，将对应的加解密算法传输给FPGA单元(302)进行加载。

较佳地，所述FPGA单元(302)包括：QSGMII收发模块(3021)、多个不同的加解密算法模块(3022)、第一1000Base-x MAC模块(3023)、第二1000Base-x MAC模块(3024)及加解密算法选择模块(3025)，其中，

较佳地，QSGMII收发模块(3021)接收上行数据后，发送给对应的加解密算法模块(3022)进行加密处理，通过第一1000Base-x MAC模块(3023)发送加密的上行数据；或者第二1000Base-x MAC模块(3024)接收加密的下行数据，发送给对应的加解密算法模块(3022)进行解密处理，通过QSGMII收发模块(3021)发送下行数据，加解密算法选择模块(3025)在进行对应的加解密算法的加载。

由上述方案可以看出，本实用新型提供了一种加密工业以太网交换机，其中，采用现场可编程门阵列(FPGA)单元实现数据加解密处理，由于FPGA单元中可以设置多种加解密算法，所以支持多种加解密算法以实现灵活性；采用FPGA单元进行数据加解密的速率比较快，且能够与数据吞吐量速率相适应。这样，集成了FPGA单元的加密工业以太网交换机就可以在低成本的前提下，集加解密算法灵活性与高吞吐量、低传输延时于一体。

附图说明

图1为现有技术提供的加密工业以太网交换机的装置一结构示意图；

图2为现有技术提供的加密工业以太网交换机的装置二结构示意图；

图3为本实用新型提供的加密工业以太网交换机的装置结构示意图；

图4为本实用新型提供的FPGA单元的结构示意图。

附图标记

101-交换芯片

102-集成MACsec加解密算法的PHY

103-第一光模块

104-第二光模块

201-第二交换芯片

202-第三光模块

203-第四光模块

301-第三交换芯片

302-FPGA单元

303-第五光模块

304-第六光模块

3021-QSGMII收发模块

3022-加解密算法模块

3023-第一1000Base-x MAC模块

3024-第二1000Base-x MAC模块

3025-加解密算法选择模块

具体实施方式

为使本实用新型的目的、技术方案及优点更加清楚明白，以下参照附图并举实施例，对本实用新型作进一步详细说明。

图3为本实用新型提供的加密工业以太网交换机的装置结构示意图，包括：第三交换芯片301、FPGA单元302、第五光模块303及第六光模块304，FPGA单元302和第三交换芯片301之间通过QSGMII接口连接，FPGA单元302分别与第五光模块303及第六光模块304之间通过1000Base-x接口连接，第五光模块303及第六光模块304分别为1.25Gbps光模块，第三交换芯片301接受第二网管CPU的控制，FPGA单元302设置多种加解密算法。其中，

第三交换芯片301将从100Base-T接收的上行数据发送给FPGA单元302进行对应加解密算法的加密处理，通过第五光模块303或第六光模块304发送加密上行数据给对端；或者第六光模块304或第五光模块303将加密的下行数据发送给FPGA单元302进行对应加解密算法的解密处理，将下行数据由第三交换芯片301通过100Base-T发送到快速以太网中。

在该实用新型中，FPGA单元302主要实现QSGMII接口的数据收发功能，各种加解密算法的加解密功能，各种加解密算法包括诸如AES128/256加解密算法、DES加解密算法、3DES加解密算法、SM1加解密算法或SM4加解密算法等，加解密算法的选择功能，以及1000Base-x MAC功能。

在该实用新型中，FPGA单元302具有加解密算法拨码开关，用于控制FPGA单元加载对应的加解密算法。

在该实用新型中，加密工业以太网交换机还具有存储器，比如闪存(FLASH)，通过外围接口，比如串行外围接口(SPI)与FPGA单元302连接，用于存储各种加解密算法，当FPGA单元302的加解密算法拨码开关设置后，将对应的加解密算法传输给FPGA单元302进行加载。

图4为本实用新型提供的FPGA单元的结构示意图，包括：QSGMII收发模块3021、多个不同的加解密算法模块3022、第一1000Base-x MAC模块3023、第二1000Base-x MAC模块3024及加解密算法选择模块3025，其中，

QSGMII收发模块3021接收上行数据后，发送给对应的加解密算法模块3022进行加密处理，通过第一1000Base-x MAC模块3023发送加密的上行数据；或者第二1000Base-x MAC模块3024接收加密的下行数据，发送给对应的加解密算法模块3022进行解密处理，通过QSGMII收发模块3021发送下行数据，加解密算法选择模块3025在加解密算法拨码开关的控制下进行对应的加解密算法的加载。

在该FPGA单元中，具体地说：

QSGMII收发模块3021实现QSGMII PHY的功能，与交换芯片301的QSGMII MAC互联，负责导入加密工业以太网交换机上行未加密数据到FPGA单元中进行加密处理，或者导出解密后的加密下行数据到交换芯片301中。

第一1000Base-x MAC模块3023及第二1000Base-x MAC模块3024。实现1000Base-x MAC的功能，负责发送加密工业以太网交换机加密的上行数据及接收对端加密的下行数据到加密工业以太网交换机进行下一步的解密处理。

加解密算法拨码开关根据不同的状态，选择加载对应的加解密算法到FPGA单元运行，在保证多种加加解密算法支持的前提下降低FPGA资源的需求，进而降低加密工业以太网交换机的设备成本，增强市场竞争力。

多个不同的加解密算法模块3022包括AES128/256加解密算法模块、DES/3DES加解密算法模块、SM1加解密算法模块和/或SM4加解密算法模块等，其中，

AES128/256加解密算法模块，实现AES128及AES256加解密算法，对加密工业以太网交换机上行未加密数据进行加密处理及对端下行加密数据进行解密处理；

DES/3DES加解密算法模块，实现DES/3DES加解密算法，对加密工业以太网交换机上行未加密数据进行加密处理及对端下行加密数据进行解密处理；

SM1加解密算法模块，实现国密SM1加解密算法，对上行未加密数据进行加密处理及对端下行加密数据进行解密处理；

SM2加解密算法模块，实现国密SM4加解密算法，上行未加密数据进行加密处理及对端下行加密数据进行解密处理；

其他加解密算法模块，随着研发的深入及行业需求的进一步细化，实现其他加解密算法，对加密工业以太网交换机上行未加密数据进行加密处理及对端下行加密数据进行解密处理。

从上述方案可以看出，本实用新型提供的加密工业以太网交换机集高吞吐量与多加解密算法于一体，有效地解决了背景技术中提供的加密工业以太网交换机吞吐量和加解密算法灵活性不可兼得的矛盾；本实用新型提供的传输延时小，解决背景技术中的加密工业以太网交换机采用软件进行各种加解密算法的加解密，随着加解密算法的复杂度不同，因加解密引入的传输延时也不固定，复杂的加解密算法会给设备带来无法接受的传输延时问题；本实用新型提供的加密工业以太网交换机的性价比高，解决背景技术中的加密工业以太网交换机为了集高吞吐量与多加解密算法于一体，采用昂贵的高性能CPU，且这种CPU配套的散热系统及结构复杂，成本高昂的问题。

以上举较佳实施例，对本实用新型的目的、技术方案和优点进行了进一步详细说明，所应理解的是，以上所述仅为本实用新型的较佳实施例而已，并不用以限制本实用新型，凡在本实用新型的精神和原则之内，所作的任何修改、等同替换和改进等，均应包含在本实用新型的保护范围之内。