一种基于FPGA的网络安全教学系统的制作方法

本实用新型涉及嵌入式系统、可编程逻辑和网络通信技术领域，特别是一种基于FPGA的网络安全教学系统。

背景技术：

计算机网络课程是大学本科面向通信工程、计算机等专业开展的一门网络教学课程。现有的计算机网络课程是以网络架构、协议、算法等理论知识为核心，培养学生的计算机网络素养以及编程能力。其网络安全教学平台包括如下特征：

首先，以计算机为教学平台的方案，面向基础的开放式系统互联参考模型（Open System Interconnection）的理论教学和计算机套接字编程。这样的教学平台能够面向计算机网络的基础教学，同时能够通过套接字编程了解网络协议的结构。但是专业性不够强，不能够对网络安全系统的开发起到引导。

其次，以一些交换机和嵌入式服务器为教学平台的方案，面向对网络安全系统的配置和维护。通过指令和脚本的编写、设备驱动的开发，使之能够实现网络数据通信的连接、拦截、过滤、转发等功能。这样的教学平台具有一定的实践性，以具体的设备为核心进行网络知识的学习，能够增强教学的实践性。但是，这样的方法偏向于上层软件的学习，不能够认识到网络安全系统的硬件设计以及底层的工作环境，这样不能够将硬件与软件方案结合，使学生更好地认识网络安全的工作本质。

因此，以硬件设备学习为主导的网络安全教学平台系统，能够对网络的物理层以及数据链路层有很好的认识，并且对网络的数据流控制、套接字编程等有深入的认识。同时，系统能够结合实际的应用场景，对网络安全的数据拦截、数据过滤、数据加密等功能的定制和开发起到引导性的作用。

技术实现要素：

本实用新型的目的是针对现有网络教学平台的不足而提供的一种基于FPGA的网络安全教学系统，建立了以可编程逻辑器件和微控制器为核心架构的网络安全教学系统，提供从物理层到应用层的全方面网络教学，填补市场上缺少基于FPGA的网络安全教学系统。

实现本实用新型目的的具体技术方案是：

一种基于FPGA的网络安全教学系统，特点是该系统包括：电源、可编程逻辑器件、第一程序下载与调试模块、发光二极管、按键、第一千兆以太网芯片、第二千兆以太网芯片、第三千兆以太网芯片、微控制器、第二程序下载与调试模块、静态随机存储器、闪存、电可擦可编程只读存储器、温度传感器及串口模块，电源与可编程逻辑器件、第一千兆以太网芯片、第二千兆以太网芯片、第三千兆以太网芯片、微控制器、静态随机存储器、闪存、电可擦可编程只读存储器、温度传感器及串口模块连接；可编程逻辑器件与第一程序下载与调试模块、发光二极管、按键、第一千兆以太网芯片、第二千兆以太网芯片、第三千兆以太网芯片及微控制器连接；第一千兆以太网芯片与第一千兆以太网网口连接，第二千兆以太网芯片与第二千兆以太网网口连接，第三千兆以太网芯片与第三千兆以太网网口连接；微控制器与第二程序下载与调试模块、静态随机存储器、闪存、电可擦可编程只读存储器、温度传感器及串口模块连接。

电源为系统供电，可编程逻辑器件过滤、拦截、加密网络数据，第一程序下载与调试模块作用是调试和仿真可编程逻辑器件的工作状态，发光二极管检测系统运行状态，按键的作用是选择10/100/1000M工作模式，第一、第二、第三千兆以太网芯片处理收发网络数据，微控制器作用是配置和调度系统，第二程序下载与调试模块调试和仿真微控制器的工作状态，静态随机存储器加载运行指令至微控制器，闪存的功能是加载已烧写的默认白名单，电可擦可编程只读存储器的功能是读取设备信息，温度传感器监控系统的芯片温度，串口模块监控系统线程。

本实用新型的有益效果

（1）以硬件为主导的网络教学系统能够从底层认识到网络安全方案。

（2）能够从网络数据的过滤、拦截、加密以及网络系统的维护和监控来进行网络安全的教学。

附图说明

图1为本实用新型结构框图；

图2为本实用新型工作流程图。

具体实施方式

以下结合附图及实施例详细描述本实用新型。

参阅图1，本实用新型包括：电源1、可编程逻辑器件2、第一程序下载与调试模块3、发光二极管4、按键5、第一千兆以太网芯片6、第二千兆以太网芯片8、第三千兆以太网芯片10、微控制器12、第二程序下载与调试模块13、静态随机存储器14、闪存15、电可擦可编程只读存储器16、温度传感器17及串口模块18，电源1与可编程逻辑器件2、第一千兆以太网芯片6、第二千兆以太网芯片8、第三千兆以太网芯片10、微控制器12、静态随机存储器14、闪存15、电可擦可编程只读存储器16、温度传感器17及串口模块18连接；可编程逻辑器件2与第一程序下载与调试模块3、发光二极管4、按键5、第一千兆以太网芯片6、第二千兆以太网芯片8、第三千兆以太网芯片10及微控制器12连接；第一千兆以太网芯片6与第一千兆以太网网口7连接，第二千兆以太网芯片8与第二千兆以太网网口9连接，第三千兆以太网芯片10与第三千兆以太网网口11连接；微控制器12与第二程序下载与调试模块13、静态随机存储器14、闪存15、电可擦可编程只读存储器16、温度传感器17及串口模块18连接。

本实用新型的可编程逻辑器件2为FPGA，具体为 EPC4E115F29C7；三个千兆以太网芯片采用88E1111；微控制器12采用MK60DN512VLQ10；静态随机存储器14为SRAM；闪存15为FLASH；电可擦可编程只读存储器16为EEPROM；温度传感器17为DS18B20。

参阅图2，本实用新型的工作流程分为：一、准备阶段；二、白名单配置阶段；三、网络信息提取阶段；四、网络信息过滤与拦截阶段；五、网络数据加密阶段。

i) 准备阶段：从静态随机存储器14中加载运行指令至微控制器12，从闪存15中加载已烧写的默认白名单，从电可擦可编程只读存储器16中读取设备信息。

ii)白名单配置：当配置的数据通过第一千兆以太网芯片6、第一千兆以太网网口7发送至可编程逻辑器件2时，可编程逻辑器件2通过百兆接口协议将数据传输至微控制器12，然后解析出从可编程逻辑器件2传输的新的配置数据，利用通用同步/异步串行传输协议对可编程逻辑器件2的寄存器进行配置。

iii) 网络信息提取：当数据通过第一千兆以太网网口7、第一千兆以太网芯片6进入可编程逻辑器件2时，首先，可编程逻辑器件2对网络数据报进行预处理，将第一千兆以太网芯片6的RGMII接口模式下8bit上下沿同时采样的网络数据转化成8bit只有上升沿采样的网络数据。然后，根据IP协议中的协议类型号，解析出地址解析协议ARP、Internet控制报文协议ICMP、传输控制协议TCP、用户数据报协议UDP等；与此同时，提取出协议中的媒体访问控制MAC地址、IP地址、端口PORT地址等，根据第一阶段的配置，设置相应的标志位。最后，对上述各个指标进行开关后将使能信息整合成一个数据包。

iv) 网络信息过滤与拦截：可编程逻辑器件2根据iii)的使能信息数据包，首先，数据信号和控制信号通过可编程逻辑器件2中的FIFO缓冲器进行缓存，调整信号的流速，以200MHz的频率分配信号的路径，再对不符合白名单的非法的数据包进行丢弃；其次，将符合白名单的合法的数据包根据上述配置进行重构，修改协议的首部信息，并且对内容按照字符串匹配的方式定位到指定的信息，进行替换。

v) 网络数据加密：可编程逻辑器件2接收来自第三阶段的数据报内容，对协议中的实际数据段提取出来后，使用三重数据加密算法3DES对8bit的网络数据进行加密，得到64bit的数据，提取其中的8bit作为新的数据写入协议的数据段。而如果想进行解密，只有对可编程逻辑器件2配置解密的使能开关，方能将64bit的加密数据还原得到原来的8bit的实际网络数据；最后将8bit的网络数据重新进行CRC校验后，整合成 8bit上下沿同时采样的网络数据，通过第二千兆以太网芯片8、第二千兆以太网网口9发送。

同时，学生可以利用第一程序下载与调试模块3对可编程逻辑器件2的功能进行时序的仿真和观察、利用发光二极管4的闪烁情况监测系统工作的心跳和时钟运行情况。利用按键5控制可编程逻辑器件2选择系统的10M/100M/1000M的以太网工作速度。利用温度传感器17监控系统工作时的芯片温度，实时地观测系统温度保证其能够在合理范围内工作。利用串口模块18对微控制器12的UDP客户端、服务器和TCP客户端、服务器的线程、数据包的日志进行观察，从中认识到网络安全设备的维护。

本实用新型具体应用场景如下：启动电源1，学生将编写好的可编程逻辑器件2和微控制器12的指令分别通过第一程序下载与调试模块3和第二程序下载与调试模块13下载至开发板。利用六类非屏蔽双绞线(CAT6)连接第一千兆以太网网口7和一台计算机A；连接第二千兆以太网网口9和一台交换机（第三千兆以太网网口11作为可拓展的备用网口），一台交换机连接多台学生计算机。将计算机A的IP地址和一台学生计算机的IP地址设置为非同网段的地址。然后利用计算机A向系统发送配置的白名单。学生可以在白名单中配置包括：媒体访问控制MAC地址过滤功能、IP地址过滤功能、端口PORT地址过滤功能、网络地址转换NAT功能、地址解析协议ARP拦截功能、Internet控制报文协议ICMP拦截功能、传输控制协议TCP拦截功能、用户数据报协议UDP拦截功能、3DES加密功能等。当计算机A和学生计算机的地址及相关配置信息在白名单中，并且启动网络地址转换NAT功能时，计算机A和学生计算机可以相互通信，传输数据。当计算机A和学生计算机的地址及相关配置信息不在白名单中或者关闭网络地址转换NAT功能时，计算机A和学生计算机不能相互通信。如果学生在配置白名单的时候，开始了传输控制协议TCP拦截功能、用户数据报协议UDP拦截功能，那么学生可以针对指定的端口号，对数据进行拦截和过滤，传输文本、图像、视频等信息。