一种工业以太网通信数据加密透传模块的制作方法
【技术领域】
[0001]本发明属于工业控制信息安全技术领域,特别涉及一种工业以太网通信数据加密透传模块。
【背景技术】
[0002]以太网通信由于具有良好的开放性,价格便宜,效率高,易于使用等优点,是信息共享和交换的理想方式,近年来在工业控制领域得到蓬勃发展。但现存的TCP/IP协议的一些安全缺陷:工业以太网通信过程通常遵循标准Ethernet协议,用户的数据区在协议包中的位置和长度范围等格式固定,一般用户数据不做加密处理,文件传输很容易被监听和劫持,TCP/IP服务的脆弱、安全策略的缺乏。利用网络协议分析工具很容易截获用户数据,破解获取用户的信息,并可以实时修改数据,破坏用户数据信息,造成用户系统功能失常,甚至诱发事故等。随着伊朗“震网病毒”的爆发。
[0003]工业以太网技术正向着具有稳定性、安全性的智能化方向发展。工控系统数据通信网是以计算机网络为基础,基于TCP/IP的网络本身并没有考虑安全问题,即使与Internet隔离,也并不能防范来自内部的攻击,数据通信网络的安全威胁仍然存在。同时常规的信息加密技术DES、AES、RAS等,往往使用复杂、效率低下,难以适应现代工业控制系统的大数据量高速实时传输的需求。因此在今天的工业控制信息技术产业中,实现以太网信息安全、高速的传输,是急需解决的重要的问题之一。
【发明内容】
[0004]有鉴于此,本发明提供了一种工业以太网通信数据加密透传模块,能够在实现工业以太网信息高速传输的基础上,同时实现信息安全传输实现网络信号安全高速传输。
[0005]为了达到上述目的,本发明的技术方案为:该加密透传模块,用于连接在通信节点与通信网络之间,对通信数据进行加密和解密,该加密透传模块包括一个ARM处理器,一个电源管理模块和一个加密算法存储芯片。
[0006]电源管理模块连接至ARM处理器的电源端,电源管理模块在对ARM处理器上电时,选通加密规则,并依据加密规则加载相应加密算法模块;当ARM处理器掉电后,电源管理模块控制ARM处理器保存掉电前设置的加密规则;
[0007]加密算法存储芯片连接至ARM处理器的存储扩展端;加密算法存储芯片中集成多种加密算法模块,每种加密算法模块均采用一种加密算法进行加密或者解密运算。
[0008]ARM处理器为ARM Cortex-MO内核,利用其中的资源管脚扩展出2个以太网接口、标准串口、USB串口以及显示接口;2个以太网接口,其中一个作为明码数据接口,与通信节点连接;一个作为加密数据接口,与通信网络连接;标准串口连接配置计算机,配置计算机用于为该加密透传模块配置加密规则;加密规则具体为该加密透传模块所选择的加密算法模块或加密算法模块的组合。
[0009]该加密透传模块的加密流程为:通过电源管理模块为该ARM处理器上电,则配置计算机所配置的加密规则被选通,当通信节点发出一个明码数据包,该明码数据包由明码数据接口传递至ARM处理器中,该ARM处理器首先设置加密头,然后依据已经配置好的加密规则,调用加密规则所选择的加密算法模块将明码数据包进行加密处理,置于加密头之后,形成密文数据包,ARM处理器将该密文数据包通过加密数据接口输出到通信网络中;加密头用于指示该密文数据包的加密规则。
[0010]该加密透传模块的解密流程为:当通信节点从通信网络中接收一个密文数据包,该密文数据包通过加密数据接口进入到ARM处理器,ARM处理器首先读取加密头,判断该密文数据包是否符合已经配置好的加密规则,若不符合则丢弃该密文数据包,若符合则根据已经配置好的加密规则将该密文数据包进行解密处理,形成明码数据包,该明码数据包通过明码数据接口传输至通信节点中。
[0011]进一步地,加密算法模块包括物理真随机数发生器HRNG模块、数据加密标准DES模块、密码协处理RSA/ECC模块、标准对称算法密码SMl模块、椭圆曲线公钥密码算法密码SM2模块、杂凑算法密码SM3模块以及分组密码算法SM4模块。
[0012]进一步地,加密算法模块在接收到通信节点发来的明码数据包之后,将2?3个明码数据包整合为一个总数据包,然后对总数据包进行加密获得密文数据包。
[0013]进一步地,ARM处理中还扩展出USB串口和显示接口,USB串口用于连接外设,接收外设的操作输入;显示接口连接显示器,用于实现加密透传模块在配置过程中操作交互显不O
[0014]有益效果:
[0015]1、该加密透传模块充分利用了 32位ARM Cortex-MO内核专用芯片丰富的内部资源和外部接口,发挥了芯片低功耗性能以及基于ARMv6-M体系结构下高效的代码执行效率和代码密度;集成并按预定规则混合使用多种安全密码算法模块,实现了网络信号安全、高速通信传输,保障了工业以太网通信数据和工控系统运行安全;该加密透传模块同时采用智能算法管理技术,掉电前可在加密透传模块里面保存好算法,上电选通加密模块即可立即使用。
[0016]2、本发明中的加密透传模块包括理真随机数发生器HRNG模块、数据加密标准DES
模块、密码协处理RSA/ECC模块、标准对称算法密码SMl模块、椭圆曲线公钥密码算法密码
SM2模块、杂凑算法密码SM3模块以及分组密码算法SM4模块,其中SM1、SM2、SM3和SM4均为混合算法,利用该混合算法的优点,采用混合数据加密算法技术,实现了端到端的信源加tM
I_L| O
[0017]3、本发明通过增大包数据大小的方法,减少加解密次数,提高数据传输过程中的速度,理论值33MB/s以上。
【附图说明】
[0018]图1为本发明工业以太网通信数据加密透传模块原理框图;
[0019]图2为本发明工业以太网通信数据加密透传模块应用示意图。
【具体实施方式】
[0020]下面结合附图并举实施例,对本发明进行详细描述。
[0021]实施例1、图1为本发明工业以太网通信数据加密透传模块原理框图。模块的核心采用了 32位ARM Cortex-MO内核,一方面具备极强的安全特性,另一方面具有业内领先的低功耗性能以及基于ARMv6-M体系结构下高效的代码执行效率和代码密度;片内集成多种安全密码模块,如HRNG、DES、RSA/ECC、SM1、SM2、SM3、SM4等功能和算法模块,提供了免晶振USB2.0全速接口和IS07816主从设备接口和SPI接口,支持T = 0/T = I协议。模块两个以太网接口,每个接口,都可利用转接实现是RS232,RS485,RS422,CAN,GPRS, WIFI等接口。
[0022]本发明混合加密算法技术原理是采用国密SM2及国密SM3混合算法技术,通过椭圆曲线共要密码算法涉及的必要数学基础与知识相关密码技术,以帮助实现其它各部分所规定的密码机制。基域为素域的二元扩域的椭圆曲线公钥密码算法。对数字签名和验证、消息认证码的生成与验证以及随机数的生成,可以满足多种密码应用的安全需求。同时,还可以为安全广品生广商提供广品和技术的标准定位以及标准化的参考,提尚安全广品的可信性与互操性。
[0023]加密算法模块将通信节点发来的2?3个明码数据包整合为少量的大数据包,然后按约定规则加密,避免为单个数据包逐个加解密,减少了加解密次数,提高模块工作效率和传输速度。
[0024]图2为本发明工业