一种工业以太网通信数据加密透传模块

摘要

本发明公开了一种工业以太网通信数据加密透传模块，用于连接在通信节点与通信网络之间，对通信数据进行加密和解密，该加密透传模块包括一个ARM处理器，一个电源管理模块和一个加密算法存储芯片；电源管理模块连接至ARM处理器的电源端，上电时，ARM处理器选通加密规则；ARM处理器掉电后，保存掉电前设置的加密规则；加密算法存储芯片连接至ARM处理器的存储扩展端；加密算法存储芯片中集成多种加密算法模块；ARM处理器上的接口有：2个以太网接口，其中一个作为明码数据接口，与通信节点连接；一个作为加密数据接口，与通信网络连接；标准串口连接配置计算机，配置计算机用于为该加密透传模块配置加密规则。本发明能够实现网络信号安全高速传输。

说明书

技术领域

本发明属于工业控制信息安全技术领域，特别涉及一种工业以太网通信数 据加密透传模块。

背景技术

以太网通信由于具有良好的开放性，价格便宜，效率高，易于使用等优点， 是信息共享和交换的理想方式，近年来在工业控制领域得到蓬勃发展。但现存 的TCP/IP协议的一些安全缺陷：工业以太网通信过程通常遵循标准Ethernet协 议，用户的数据区在协议包中的位置和长度范围等格式固定，一般用户数据不 做加密处理，文件传输很容易被监听和劫持，TCP/IP服务的脆弱、安全策略的 缺乏。利用网络协议分析工具很容易截获用户数据，破解获取用户的信息，并 可以实时修改数据，破坏用户数据信息，造成用户系统功能失常，甚至诱发事 故等。随着伊朗“震网病毒”的爆发。

工业以太网技术正向着具有稳定性、安全性的智能化方向发展。工控系统 数据通信网是以计算机网络为基础，基于TCP/IP的网络本身并没有考虑安全问 题，即使与Internet隔离，也并不能防范来自内部的攻击，数据通信网络的安全 威胁仍然存在。同时常规的信息加密技术DES、AES、RAS等，往往使用复杂、 效率低下，难以适应现代工业控制系统的大数据量高速实时传输的需求。因此 在今天的工业控制信息技术产业中，实现以太网信息安全、高速的传输，是急 需解决的重要的问题之一。

发明内容

有鉴于此，本发明提供了一种工业以太网通信数据加密透传模块，能够在 实现工业以太网信息高速传输的基础上，同时实现信息安全传输实现网络信号 安全高速传输。

为了达到上述目的，本发明的技术方案为：该加密透传模块，用于连接在 通信节点与通信网络之间，对通信数据进行加密和解密，该加密透传模块包括 一个ARM处理器，一个电源管理模块和一个加密算法存储芯片。

电源管理模块连接至ARM处理器的电源端，电源管理模块在对ARM处理 器上电时，选通加密规则，并依据加密规则加载相应加密算法模块；当ARM处 理器掉电后，电源管理模块控制ARM处理器保存掉电前设置的加密规则；

加密算法存储芯片连接至ARM处理器的存储扩展端；加密算法存储芯片中 集成多种加密算法模块，每种加密算法模块均采用一种加密算法进行加密或者 解密运算。

ARM处理器为ARM Cortex-M0内核，利用其中的资源管脚扩展出2个以 太网接口、标准串口、USB串口以及显示接口；2个以太网接口，其中一个作 为明码数据接口，与通信节点连接；一个作为加密数据接口，与通信网络连接； 标准串口连接配置计算机，配置计算机用于为该加密透传模块配置加密规则； 加密规则具体为该加密透传模块所选择的加密算法模块或加密算法模块的组 合。

该加密透传模块的加密流程为：通过电源管理模块为该ARM处理器上电， 则配置计算机所配置的加密规则被选通，当通信节点发出一个明码数据包，该 明码数据包由明码数据接口传递至ARM处理器中，该ARM处理器首先设置加 密头，然后依据已经配置好的加密规则，调用加密规则所选择的加密算法模块 将明码数据包进行加密处理，置于加密头之后，形成密文数据包，ARM处理器 将该密文数据包通过加密数据接口输出到通信网络中；加密头用于指示该密文 数据包的加密规则。

该加密透传模块的解密流程为：当通信节点从通信网络中接收一个密文数 据包，该密文数据包通过加密数据接口进入到ARM处理器，ARM处理器首先 读取加密头，判断该密文数据包是否符合已经配置好的加密规则，若不符合则 丢弃该密文数据包，若符合则根据已经配置好的加密规则将该密文数据包进行 解密处理，形成明码数据包，该明码数据包通过明码数据接口传输至通信节点 中。

进一步地，加密算法模块包括物理真随机数发生器HRNG模块、数据加密 标准DES模块、密码协处理RSA/ECC模块、标准对称算法密码SM1模块、椭 圆曲线公钥密码算法密码SM2模块、杂凑算法密码SM3模块以及分组密码算法 SM4模块。

进一步地，加密算法模块在接收到通信节点发来的明码数据包之后，将2～3 个明码数据包整合为一个总数据包，然后对总数据包进行加密获得密文数据包。

进一步地，ARM处理中还扩展出USB串口和显示接口，USB串口用于连 接外设，接收外设的操作输入；显示接口连接显示器，用于实现加密透传模块 在配置过程中操作交互显示。

有益效果：

1、该加密透传模块充分利用了32位ARM Cortex-M0内核专用芯片丰富 的内部资源和外部接口，发挥了芯片低功耗性能以及基于ARMv6-M体系结构 下高效的代码执行效率和代码密度；集成并按预定规则混合使用多种安全密码 算法模块，实现了网络信号安全、高速通信传输，保障了工业以太网通信数据 和工控系统运行安全；该加密透传模块同时采用智能算法管理技术，掉电前可 在加密透传模块里面保存好算法，上电选通加密模块即可立即使用。

2、本发明中的加密透传模块包括理真随机数发生器HRNG模块、数据加 密标准DES模块、密码协处理RSA/ECC模块、标准对称算法密码SM1模块、 椭圆曲线公钥密码算法密码SM2模块、杂凑算法密码SM3模块以及分组密码算 法SM4模块，其中SM1、SM2、SM3和SM4均为混合算法，利用该混合算法 的优点，采用混合数据加密算法技术，实现了端到端的信源加密。

3、本发明通过增大包数据大小的方法，减少加解密次数，提高数据传输 过程中的速度，理论值33MB/s以上。

附图说明

图1为本发明工业以太网通信数据加密透传模块原理框图；

图2为本发明工业以太网通信数据加密透传模块应用示意图。

具体实施方式

下面结合附图并举实施例，对本发明进行详细描述。

实施例1、图1为本发明工业以太网通信数据加密透传模块原理框图。模块 的核心采用了32位ARM Cortex-M0内核，一方面具备极强的安全特性，另一 方面具有业内领先的低功耗性能以及基于ARMv6-M体系结构下高效的代码执 行效率和代码密度；片内集成多种安全密码模块，如HRNG、DES、RSA/ECC、 SM1、SM2、SM3、SM4等功能和算法模块，提供了免晶振USB2.0全速接口和 ISO7816主从设备接口和SPI接口，支持T＝0/T＝1协议。模块两个以太网接口， 每个接口，都可利用转接实现是RS232，RS485，RS422，CAN，GPRS，WIFI 等接口。

本发明混合加密算法技术原理是采用国密SM2及国密SM3混合算法技术， 通过椭圆曲线共要密码算法涉及的必要数学基础与知识相关密码技术，以帮助 实现其它各部分所规定的密码机制。基域为素域的二元扩域的椭圆曲线公钥密 码算法。对数字签名和验证、消息认证码的生成与验证以及随机数的生成，可 以满足多种密码应用的安全需求。同时，还可以为安全产品生产商提供产品和 技术的标准定位以及标准化的参考，提高安全产品的可信性与互操性。

加密算法模块将通信节点发来的2～3个明码数据包整合为少量的大数据包， 然后按约定规则加密，避免为单个数据包逐个加解密，减少了加解密次数，提 高模块工作效率和传输速度。

图2为本发明工业以太网通信数据加密透传模块应用示意图。采用国密算 法，SM1、SM2，SM3，SM4的组合算法实现点对点的加密通讯。加密口，收 到信息，添加加密头，再用临时密钥加密信息，放在加密头后面，临时密钥， 再用硬件KEY采用非对称加密算法加密。加密信息，再用SM3算出HASH值， 防止在通讯中更改。所以，每一段信息，加密后，都要变长，增加了加密头的 长度。混合加完密后，再通过解密口发出去。解密口收到信息后，查看是否是 加密信息，再看公钥是否一致，加密信息是否完整，如一切都正常，则解密。

加密算法模块内含SM1\SM2\SM3\SM4加密算法及其组合算法规则，使用 前用户首先规划模块内节点间采用何种加密规则，然后对加密算法模块进行相 应规则配置，模块能够在掉电后保存之前设置加密规则，在重新上电后自动选 通既定规则。

加密算法模块设计两个以太网接口，一个作为明码数据接口即加密口，与 通信节点连接，一个作为加密数据接口即解密口，与通信网络连接。两个以太 网接口工作模式可以设定，可以互换。设计两个接口避免单个接口在两种模式 间轮询切换，利于网络加密数据的高速传输。

加密算法模块中的以太网接口、标准串口、USB串口及显示接口等资源， 均由ARM处理器的自有资源管脚扩展而来，无需额外增加硬件。其中两个以太 网接口分别用于连接明码通信节点和加密数据传输网络；标准串口连接配置计 算机，用于模块工作模式和参数设置；USB串口用于连接鼠标、键盘等外设； 显示接口连接显示器，用于模块在参数设置和调试过程中操作交互显示。

图2所示，由系统A、B，加密透传模块组成的系统，其中系统A和B均 为通信网络中的通信节点，在设计初期要首先规划并确定模块中使用的加密规 则，并在分别在系统A、B对应的加密算法模块中，选择配置好相应的加密、解 密算法规则。由系统A发出的明码数据包，该明码数据包由明码数据接口传递 至ARM处理器中，该ARM处理器首先设置加密头，然后依据已经配置好的加 密规则，调用加密规则所选择的加密算法模块将明码数据包进行加密处理，置 于加密头之后，形成密文数据包，ARM处理器将该密文数据包通过加密数据接 口输出到通信网络中，传输至系统B；加密头用于指示该密文数据包的加密规则。

系统B的加密透传模块接收到密文数据包，ARM处理器读取加密头，判断 该密文数据包是否符合已经配置好的加密规则，若不符合则丢弃该密文数据包， 若符合则根据已经配置好的加密规则将该密文数据包进行解密处理，形成明码 数据包，该明码数据包通过明码数据接口传输至系统B中。

本发明采用基于航天专用芯片SM1\SM2\SM3\SM4算法优点，采用混合数 据加密算法技术，实现了端到端的信源加密，通过增大包数据大小的方法，减 少加解密次数，提高数据传输过程中的速度，理论值33MB/s以上；采用智能 算法管理技术，掉电前可在模块里面保存好算法，上电选通模块即可立即使用。 模块具有数字证书身份认证，支持国家密码局的数据加密规定算法。实现了网 络信号安全、高速通信传输，保障了工业以太网通信数据和工控系统运行安全。

综上，以上仅为本发明的较佳实施例而已，并非用于限定本发明的保护范 围。凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均 应包含在本发明的保护范围之内。