本实用新型涉及数据隔离领域,特别地,涉及一种基于FPGA数据隔离物理卡。
背景技术:
近年来,针对电力控制系统的攻击数量逐年递增,攻击手段更加复杂,由于工控系统较为明显的脆弱性,让电力系统原有的重物理隔离、轻访问控制过滤的信息安全防御原则遭遇重大挑战,同时电力系统实时性优先、业务连续性有现实的经济利益也使得传统信息安全手段难以在工控领域实施。
另外,目前在我国网络入侵防御产品种类较多,价格昂贵、部署专业化程度高、对使用者的专业知识要求高,其大部分功能又未针对电力系统的特点而研制。因此,需要根据具体需要而研制具体的数据隔离卡,从而使得相应领域的应用相应的数据隔离卡,使隔离数据更加安全,也使得安装和使用更加简单。针对上述原因,需要研制基于FPGA技术的融合电力以太网通信技术与入侵防御技术的物理卡产品。
技术实现要素:
本实用新型目的在于提供一种基于FPGA数据隔离物理卡,以解决现有电力控制系统的数量隔离性能比较脆弱的技术问题。
为实现上述目的,本实用新型提供了一种基于FPGA数据隔离物理卡,包括数据隔离卡Ⅰ、数据隔离卡Ⅱ、仲裁卡、存储器Ⅱ、存储器Ⅰ、主板Ⅱ和主板Ⅰ;所述存储器Ⅱ与数据隔离卡Ⅱ连接;所述数据隔离卡Ⅱ分别与主板Ⅱ、仲裁卡和数据隔离卡Ⅰ连接;所述存储器Ⅰ与数据隔离卡Ⅰ连接;所述数据隔离卡Ⅰ分别与主板Ⅰ和仲裁卡连接;
所述数据隔离卡Ⅰ包括双路数据通道开关Ⅰ、仲裁申请控制逻辑电路Ⅰ、主板接口Ⅰ和单路数据通道开关Ⅰ;所述双路数据通道开关Ⅰ一端与存储器Ⅰ连接,另一端与数据隔离卡Ⅱ连接;所述仲裁申请控制逻辑电路Ⅰ一端与仲裁卡连接,另一端与主板接口Ⅰ连接;所述单路数据通道开关Ⅰ一端与存储器Ⅰ连接,另一端与主板接口Ⅰ连接;所述主板接口Ⅰ与主板Ⅰ连接;
所述数据隔离卡Ⅱ包括单路数据通道开关Ⅱ、主板接口Ⅱ、仲裁申请控制逻辑电路Ⅱ和双路数据通道开关Ⅱ;所述单路数据通道开关Ⅱ一端与存储器Ⅱ连接,另一端与主板接口Ⅱ连接;所述双路数据通道开关Ⅱ一端与存储器Ⅱ连接,另一端与数据隔离卡Ⅰ中的双路数据通道开关Ⅰ连接;所述仲裁申请控制逻辑电路Ⅱ一端与仲裁卡连接,另一端与主板接口Ⅱ连接;所述主板接口Ⅱ与主板Ⅱ连接;
所述仲裁卡包括仲裁控制逻辑电路;所述仲裁控制逻辑电路通过双导线分别与双路数据通道开关Ⅰ和双路数据通道开关Ⅱ连接。
上述方案中,优选的是主板Ⅱ和主板Ⅰ均为FPGA模块,FPGA模块主要包括FPGA芯片边作为处理器,FPGA芯片中使用数据捕获和数据过滤方法对输入输出数据进行检测和过滤。
上述方案中,优选的是数据捕获和数据过滤方法结合现有的电力工业以太网常用的工业协议进行对输入输出数据级的二次过滤。
上述方案中,优选的是电力工业以太网常用的工业协议为电力工业以太网交换机技术规范DL/T 1241-2013。
上述方案中,优选的是主板接口Ⅰ和主板接口Ⅱ均为PCIE接口,所述PCIE接口用于实现数据双工通信。
上述方案中,优选的是存储器Ⅱ和存储器Ⅰ均为DDR数据存储器。
本实用新型具有以下有益效果:
1、本实用新型中主板Ⅱ和主板Ⅰ均为FPGA模块,FPGA模块主要包括FPGA芯片边作为处理器,FPGA芯片中使用数据捕获和数据过滤方法对输入输出数据进行检测和过滤;数据捕获和数据过滤方法结合现有的电力工业以太网常用的工业协议进行对输入输出数据级的二次过滤,从而使得数据过滤更加安全;
2、本实用新型采用硬件开关进行数据传输通道选择,并且PCIE数据传输和光纤数据传输分时进行,并在同一时间只能有一个传输,从而使得数据传输更安全;
3、本实用新型中仲裁卡实现仲裁逻辑控制,保证隔离卡的申请完整响应,并可处理在A卡和B卡同时申请时,优先处理A卡;单个隔离卡上的光纤收发数据,在同一时间只能接收数据或发送数据。
除了上面所描述的目的、特征和优点之外,本实用新型还有其它的目的、特征和优点。下面将参照图,对本实用新型作进一步详细的说明。
附图说明
构成本申请的一部分的附图用来提供对本实用新型的进一步理解,本实用新型的示意性实施例及其说明用于解释本实用新型,并不构成对本实用新型的不当限定。在附图中:
图1是本实用新型优选实施例的结构框图。
图例说明:
A、数据隔离卡Ⅰ;B、数据隔离卡Ⅱ;C、仲裁卡;1、存储器Ⅱ;2、单路数据通道开关Ⅱ;3、主板接口Ⅱ;4、主板Ⅱ;5、仲裁申请控制逻辑电路Ⅱ;6、双路数据通道开关Ⅱ;7、仲裁控制逻辑电路;8、双路数据通道开关Ⅰ;9、仲裁申请控制逻辑电路Ⅰ;10、主板Ⅰ;11、主板接口Ⅰ;12、单路数据通道开关Ⅰ;13、存储器Ⅰ。
具体实施方式
以下结合附图对本实用新型的实施例进行详细说明,但是本实用新型可以根据权利要求限定和覆盖的多种不同方式实施。
一种基于FPGA数据隔离物理卡,如图1所示,包括数据隔离卡ⅠA、数据隔离卡ⅡB、仲裁卡C、存储器Ⅱ1、存储器Ⅰ13、主板Ⅱ4和主板Ⅰ10。存储器Ⅱ1与数据隔离卡ⅡB连接,数据隔离卡ⅡB为存储器Ⅱ1的数据传输的功能隔离卡。存储器Ⅱ1主要对外部网络传入的数据进行零时的存储。数据隔离卡ⅡB分别与主板Ⅱ4、仲裁卡C和数据隔离卡ⅠA连接,主板Ⅱ4主要对从外部网传入的数据或指令进行检测和过滤,并当检测结果为安全时,通知仲裁卡C进行对传入的数据放行,再进一步传到数据隔离卡ⅠA上。存储器Ⅰ13与数据隔离卡ⅠA连接,存储器Ⅰ13对内网需要传出的数据或指令进行零时存储,数据隔离卡ⅠA为存储器Ⅰ13的数据传输的功能隔离卡。数据隔离卡ⅠA分别与主板Ⅰ10和仲裁卡C连接,主板Ⅰ10对内网需要传出的数据,进行检测和过滤。并当检测结果为安全时,通知仲裁卡C进行对传入的数据放行,再进一步传到数据隔离卡ⅡB上。
存储器Ⅱ1和存储器Ⅰ13均为DDR数据存储器,DDR数据存储器具有存储数据速度快,并且使用寿命长等优点。
主板Ⅱ4和主板Ⅰ10均为FPGA模块,FPGA模块主要包括FPGA芯片边作为处理器,FPGA芯片中使用数据捕获和数据过滤方法对输入输出数据进行检测和过滤。数据捕获和数据过滤方法结合现有的电力工业以太网常用的工业协议进行对输入输出数据级的二次过滤,从而使得数据隔离更加安全。电力工业以太网常用的工业协议为电力工业以太网交换机技术规范DL/T 1241-2013,也可以为其他的常见的电力工业以太网常用的工业协议,根据不同电力控制系统使用不同的协议。
如图1所示,数据隔离卡ⅠA包括双路数据通道开关Ⅰ8、仲裁申请控制逻辑电路Ⅰ9、主板接口Ⅰ11和单路数据通道开关Ⅰ12。双路数据通道开关Ⅰ8一端与存储器Ⅰ13连接,双路数据通道开关Ⅰ8主要接受从内网传输的数据在存储器Ⅰ13零时存储后经双路数据通道开关Ⅰ8传出到数据隔离卡ⅡB中。数据隔离卡ⅡB的另一端与数据隔离卡ⅡB连接,主要实现数据的传输,双路数据通道开关Ⅰ8只能实现数据的发送或接收,不能同时接收数据有发送数据,主要起到关卡的作用,受到仲裁卡C的控制。仲裁申请控制逻辑电路Ⅰ9一端与仲裁卡C连接,仲裁申请控制逻辑电路Ⅰ9接收主板接口Ⅰ11传入的数据检测和过滤结果,并根据结果进行控制双路数据通道开关Ⅰ8开启或关闭。仲裁申请控制逻辑电路Ⅰ9的另一端与主板接口Ⅰ11连接,接收主板接口Ⅰ11传出的结果数据。单路数据通道开关Ⅰ12一端与存储器Ⅰ13连接,另一端与主板接口Ⅰ1连接。当存储器Ⅰ13有内网数据存储时,单路数据通道开关Ⅰ12打开并经过主板接口Ⅰ11传给主板Ⅰ10检测和过滤。主板接口Ⅰ11与主板Ⅰ10连接,主板接口Ⅰ11为PCIE接口,实现主板Ⅰ10的双工通信。
如图1所示,数据隔离卡ⅡB包括单路数据通道开关Ⅱ2、主板接口Ⅱ3、仲裁申请控制逻辑电路Ⅱ5和双路数据通道开关Ⅱ6。单路数据通道开关Ⅱ2一端与存储器Ⅱ1连接,另一端与主板接口Ⅱ3连接。当存储器Ⅱ1有内网数据存储时,单路数据通道开关Ⅱ2打开并经过主板接口Ⅱ3传给主板Ⅱ4检测和过滤。双路数据通道开关Ⅱ6一端与存储器Ⅱ1连接,另一端与数据隔离卡ⅠA中的双路数据通道开关Ⅰ8连接。双路数据通道开关Ⅱ6用于接收仲裁卡C传入的控制指令进行开启或关闭,并用于接收数据隔离卡ⅠA传输的数据传给存储器Ⅱ1,同时接收存储器Ⅱ1传来的数据进一步传给数据隔离卡ⅠA。仲裁申请控制逻辑电路Ⅱ5一端与仲裁卡C连接,另一端与主板接口Ⅱ3连接。仲裁申请控制逻辑电路Ⅱ5接收主板接口Ⅱ3传入的数据检测结果并传给仲裁卡C。主板接口Ⅱ3与主板Ⅱ4连接,主板接口Ⅱ3为PCIE接口,实现主板Ⅰ10的双工通信。
所述仲裁卡C包括仲裁控制逻辑电路7。仲裁控制逻辑电路7通过双导线分别与双路数据通道开关Ⅰ8和双路数据通道开关Ⅱ6连接。仲裁控制逻辑电路7主要起到控制开关的作用,用于控制双路数据通道开关Ⅱ6和双路数据通道开关Ⅰ8的开启和关闭。
本实用新型的工作原理:
如图1所示,当外网有数据传进时,外网数据零时存储在存储器Ⅱ1中,存储器Ⅱ1通知单路数据通道开关Ⅱ2打开并把外网数据经过主板接口Ⅱ3传给主板Ⅱ4,主板Ⅱ4对外网数据进行据捕获和数据过滤,最后把检测结果进过主板接口Ⅱ3传给仲裁申请控制逻辑电路Ⅱ5,仲裁申请控制逻辑电路Ⅱ5再向仲裁控制逻辑电路7进行申请,仲裁控制逻辑电路7根据检测的结果数据进行控制;当结果数据合格时,仲裁控制逻辑电路7控制双路数据通道开关Ⅱ6发送模式,双路数据通道开关Ⅰ8接收模式,数据从存储器Ⅱ1经双路数据通道开关Ⅱ6和双路数据通道开关Ⅰ8到达存储器Ⅰ13进入内网,完成数据从外网到内网的数据隔离传输。
当内网有数据传进时,内网数据零时存储在存储器Ⅰ13中,存储器Ⅰ13通知单路数据通道开关Ⅰ12打开并把内网数据经过主板接口Ⅰ11传给主板Ⅰ10,主板Ⅰ10对内网数据进行据捕获和数据过滤,最后把检测结果进过主板接口Ⅰ11传给仲裁申请控制逻辑电路Ⅰ9,仲裁申请控制逻辑电路Ⅰ9再向仲裁控制逻辑电路7进行申请,仲裁控制逻辑电路7根据检测的结果数据进行控制;当结果数据合格时,仲裁控制逻辑电路7控制双路数据通道开关Ⅰ8发送模式,双路数据通道开关Ⅱ6接收模式,数据从存储器Ⅰ13经双路数据通道开关Ⅰ8和双路数据通道开关Ⅱ6到达存储器Ⅱ1进入外网,完成数据从内网到外网的数据隔离传输。
以上所述仅为本实用新型的优选实施例而已,并不用于限制本实用新型,对于本领域的技术人员来说,本实用新型可以有各种更改和变化。凡在本实用新型的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本实用新型的保护范围之内。