本發(fā)明涉及嵌入式系統(tǒng)、可編程邏輯和網(wǎng)絡(luò)通信技術(shù)領(lǐng)域，特別是一種基于FPGA的網(wǎng)絡(luò)安全教學(xué)系統(tǒng)。

背景技術(shù)：

計(jì)算機(jī)網(wǎng)絡(luò)課程是大學(xué)本科面向通信工程、計(jì)算機(jī)等專業(yè)開展的一門網(wǎng)絡(luò)教學(xué)課程?，F(xiàn)有的計(jì)算機(jī)網(wǎng)絡(luò)課程是以網(wǎng)絡(luò)架構(gòu)、協(xié)議、算法等理論知識(shí)為核心，培養(yǎng)學(xué)生的計(jì)算機(jī)網(wǎng)絡(luò)素養(yǎng)以及編程能力。其網(wǎng)絡(luò)安全教學(xué)平臺(tái)包括如下特征：

首先，以計(jì)算機(jī)為教學(xué)平臺(tái)的方案，面向基礎(chǔ)的開放式系統(tǒng)互聯(lián)參考模型（Open System Interconnection）的理論教學(xué)和計(jì)算機(jī)套接字編程。這樣的教學(xué)平臺(tái)能夠面向計(jì)算機(jī)網(wǎng)絡(luò)的基礎(chǔ)教學(xué)，同時(shí)能夠通過套接字編程了解網(wǎng)絡(luò)協(xié)議的結(jié)構(gòu)。但是專業(yè)性不夠強(qiáng)，不能夠?qū)W(wǎng)絡(luò)安全系統(tǒng)的開發(fā)起到引導(dǎo)。

其次，以一些交換機(jī)和嵌入式服務(wù)器為教學(xué)平臺(tái)的方案，面向?qū)W(wǎng)絡(luò)安全系統(tǒng)的配置和維護(hù)。通過指令和腳本的編寫、設(shè)備驅(qū)動(dòng)的開發(fā)，使之能夠?qū)崿F(xiàn)網(wǎng)絡(luò)數(shù)據(jù)通信的連接、攔截、過濾、轉(zhuǎn)發(fā)等功能。這樣的教學(xué)平臺(tái)具有一定的實(shí)踐性，以具體的設(shè)備為核心進(jìn)行網(wǎng)絡(luò)知識(shí)的學(xué)習(xí)，能夠增強(qiáng)教學(xué)的實(shí)踐性。但是，這樣的方法偏向于上層軟件的學(xué)習(xí)，不能夠認(rèn)識(shí)到網(wǎng)絡(luò)安全系統(tǒng)的硬件設(shè)計(jì)以及底層的工作環(huán)境，這樣不能夠?qū)⒂布c軟件方案結(jié)合，使學(xué)生更好地認(rèn)識(shí)網(wǎng)絡(luò)安全的工作本質(zhì)。

因此，以硬件設(shè)備學(xué)習(xí)為主導(dǎo)的網(wǎng)絡(luò)安全教學(xué)平臺(tái)系統(tǒng)，能夠?qū)W(wǎng)絡(luò)的物理層以及數(shù)據(jù)鏈路層有很好的認(rèn)識(shí)，并且對(duì)網(wǎng)絡(luò)的數(shù)據(jù)流控制、套接字編程等有深入的認(rèn)識(shí)。同時(shí)，系統(tǒng)能夠結(jié)合實(shí)際的應(yīng)用場景，對(duì)網(wǎng)絡(luò)安全的數(shù)據(jù)攔截、數(shù)據(jù)過濾、數(shù)據(jù)加密等功能的定制和開發(fā)起到引導(dǎo)性的作用。

技術(shù)實(shí)現(xiàn)要素：

本發(fā)明的目的是針對(duì)現(xiàn)有網(wǎng)絡(luò)教學(xué)平臺(tái)的不足而提供的一種基于FPGA的網(wǎng)絡(luò)安全教學(xué)系統(tǒng)，建立了以可編程邏輯器件和微控制器為核心架構(gòu)的網(wǎng)絡(luò)安全教學(xué)系統(tǒng)，提供從物理層到應(yīng)用層的全方面網(wǎng)絡(luò)教學(xué)，填補(bǔ)市場上缺少基于FPGA的網(wǎng)絡(luò)安全教學(xué)系統(tǒng)。

實(shí)現(xiàn)本發(fā)明目的的具體技術(shù)方案是：

一種基于FPGA的網(wǎng)絡(luò)安全教學(xué)系統(tǒng)，特點(diǎn)是該系統(tǒng)包括：電源、可編程邏輯器件、第一程序下載與調(diào)試模塊、發(fā)光二極管、按鍵、第一千兆以太網(wǎng)芯片、第二千兆以太網(wǎng)芯片、第三千兆以太網(wǎng)芯片、微控制器、第二程序下載與調(diào)試模塊、靜態(tài)隨機(jī)存儲(chǔ)器、閃存、電可擦可編程只讀存儲(chǔ)器、溫度傳感器及串口模塊，電源與可編程邏輯器件、第一千兆以太網(wǎng)芯片、第二千兆以太網(wǎng)芯片、第三千兆以太網(wǎng)芯片、微控制器、靜態(tài)隨機(jī)存儲(chǔ)器、閃存、電可擦可編程只讀存儲(chǔ)器、溫度傳感器及串口模塊連接；可編程邏輯器件與第一程序下載與調(diào)試模塊、發(fā)光二極管、按鍵、第一千兆以太網(wǎng)芯片、第二千兆以太網(wǎng)芯片、第三千兆以太網(wǎng)芯片及微控制器連接；第一千兆以太網(wǎng)芯片與第一千兆以太網(wǎng)網(wǎng)口連接，第二千兆以太網(wǎng)芯片與第二千兆以太網(wǎng)網(wǎng)口連接，第三千兆以太網(wǎng)芯片與第三千兆以太網(wǎng)網(wǎng)口連接；微控制器與第二程序下載與調(diào)試模塊、靜態(tài)隨機(jī)存儲(chǔ)器、閃存、電可擦可編程只讀存儲(chǔ)器、溫度傳感器及串口模塊連接。

電源為系統(tǒng)供電，可編程邏輯器件過濾、攔截、加密網(wǎng)絡(luò)數(shù)據(jù)，第一程序下載與調(diào)試模塊作用是調(diào)試和仿真可編程邏輯器件的工作狀態(tài)，發(fā)光二極管檢測系統(tǒng)運(yùn)行狀態(tài)，按鍵的作用是選擇10/100/1000M工作模式，第一、第二、第三千兆以太網(wǎng)芯片處理收發(fā)網(wǎng)絡(luò)數(shù)據(jù)，微控制器作用是配置和調(diào)度系統(tǒng)，第二程序下載與調(diào)試模塊調(diào)試和仿真微控制器的工作狀態(tài)，靜態(tài)隨機(jī)存儲(chǔ)器加載運(yùn)行指令至微控制器，閃存的功能是加載已燒寫的默認(rèn)白名單，電可擦可編程只讀存儲(chǔ)器的功能是讀取設(shè)備信息，溫度傳感器監(jiān)控系統(tǒng)的芯片溫度，串口模塊監(jiān)控系統(tǒng)線程。

本發(fā)明的有益效果

（1）以硬件為主導(dǎo)的網(wǎng)絡(luò)教學(xué)系統(tǒng)能夠從底層認(rèn)識(shí)到網(wǎng)絡(luò)安全方案。

（2）能夠從網(wǎng)絡(luò)數(shù)據(jù)的過濾、攔截、加密以及網(wǎng)絡(luò)系統(tǒng)的維護(hù)和監(jiān)控來進(jìn)行網(wǎng)絡(luò)安全的教學(xué)。

附圖說明

圖1為本發(fā)明結(jié)構(gòu)框圖；

圖2為本發(fā)明工作流程圖。

具體實(shí)施方式

以下結(jié)合附圖及實(shí)施例詳細(xì)描述本發(fā)明。

參閱圖1，本發(fā)明包括：電源1、可編程邏輯器件2、第一程序下載與調(diào)試模塊3、發(fā)光二極管4、按鍵5、第一千兆以太網(wǎng)芯片6、第二千兆以太網(wǎng)芯片8、第三千兆以太網(wǎng)芯片10、微控制器12、第二程序下載與調(diào)試模塊13、靜態(tài)隨機(jī)存儲(chǔ)器14、閃存15、電可擦可編程只讀存儲(chǔ)器16、溫度傳感器17及串口模塊18，電源1與可編程邏輯器件2、第一千兆以太網(wǎng)芯片6、第二千兆以太網(wǎng)芯片8、第三千兆以太網(wǎng)芯片10、微控制器12、靜態(tài)隨機(jī)存儲(chǔ)器14、閃存15、電可擦可編程只讀存儲(chǔ)器16、溫度傳感器17及串口模塊18連接；可編程邏輯器件2與第一程序下載與調(diào)試模塊3、發(fā)光二極管4、按鍵5、第一千兆以太網(wǎng)芯片6、第二千兆以太網(wǎng)芯片8、第三千兆以太網(wǎng)芯片10及微控制器12連接；第一千兆以太網(wǎng)芯片6與第一千兆以太網(wǎng)網(wǎng)口7連接，第二千兆以太網(wǎng)芯片8與第二千兆以太網(wǎng)網(wǎng)口9連接，第三千兆以太網(wǎng)芯片10與第三千兆以太網(wǎng)網(wǎng)口11連接；微控制器12與第二程序下載與調(diào)試模塊13、靜態(tài)隨機(jī)存儲(chǔ)器14、閃存15、電可擦可編程只讀存儲(chǔ)器16、溫度傳感器17及串口模塊18連接。

本發(fā)明的可編程邏輯器件2為FPGA，具體為 EPC4E115F29C7；三個(gè)千兆以太網(wǎng)芯片采用88E1111；微控制器12采用MK60DN512VLQ10；靜態(tài)隨機(jī)存儲(chǔ)器14為SRAM；閃存15為FLASH；電可擦可編程只讀存儲(chǔ)器16為EEPROM；溫度傳感器17為DS18B20。

參閱圖2，本發(fā)明的工作流程分為：一、準(zhǔn)備階段；二、白名單配置階段；三、網(wǎng)絡(luò)信息提取階段；四、網(wǎng)絡(luò)信息過濾與攔截階段；五、網(wǎng)絡(luò)數(shù)據(jù)加密階段。

i) 準(zhǔn)備階段：從靜態(tài)隨機(jī)存儲(chǔ)器14中加載運(yùn)行指令至微控制器12，從閃存15中加載已燒寫的默認(rèn)白名單，從電可擦可編程只讀存儲(chǔ)器16中讀取設(shè)備信息。

ii) 白名單配置：當(dāng)配置的數(shù)據(jù)通過第一千兆以太網(wǎng)芯片6、第一千兆以太網(wǎng)網(wǎng)口7發(fā)送至可編程邏輯器件2時(shí)，可編程邏輯器件2通過百兆接口協(xié)議將數(shù)據(jù)傳輸至微控制器12，然后解析出從可編程邏輯器件2傳輸?shù)男碌呐渲脭?shù)據(jù)，利用通用同步/異步串行傳輸協(xié)議對(duì)可編程邏輯器件2的寄存器進(jìn)行配置。

iii) 網(wǎng)絡(luò)信息提取：當(dāng)數(shù)據(jù)通過第一千兆以太網(wǎng)網(wǎng)口7、第一千兆以太網(wǎng)芯片6進(jìn)入可編程邏輯器件2時(shí)，首先，可編程邏輯器件2對(duì)網(wǎng)絡(luò)數(shù)據(jù)報(bào)進(jìn)行預(yù)處理，將第一千兆以太網(wǎng)芯片6的RGMII接口模式下8bit上下沿同時(shí)采樣的網(wǎng)絡(luò)數(shù)據(jù)轉(zhuǎn)化成8bit只有上升沿采樣的網(wǎng)絡(luò)數(shù)據(jù)。然后，根據(jù)IP協(xié)議中的協(xié)議類型號(hào)，解析出地址解析協(xié)議ARP、Internet控制報(bào)文協(xié)議ICMP、傳輸控制協(xié)議TCP、用戶數(shù)據(jù)報(bào)協(xié)議UDP等；與此同時(shí)，提取出協(xié)議中的媒體訪問控制MAC地址、IP地址、端口PORT地址等，根據(jù)第一階段的配置，設(shè)置相應(yīng)的標(biāo)志位。最后，對(duì)上述各個(gè)指標(biāo)進(jìn)行開關(guān)后將使能信息整合成一個(gè)數(shù)據(jù)包。

iv) 網(wǎng)絡(luò)信息過濾與攔截：可編程邏輯器件2根據(jù)iii)的使能信息數(shù)據(jù)包，首先，數(shù)據(jù)信號(hào)和控制信號(hào)通過可編程邏輯器件2中的FIFO緩沖器進(jìn)行緩存，調(diào)整信號(hào)的流速，以200MHz的頻率分配信號(hào)的路徑，再對(duì)不符合白名單的非法的數(shù)據(jù)包進(jìn)行丟棄；其次，將符合白名單的合法的數(shù)據(jù)包根據(jù)上述配置進(jìn)行重構(gòu)，修改協(xié)議的首部信息，并且對(duì)內(nèi)容按照字符串匹配的方式定位到指定的信息，進(jìn)行替換。

v) 網(wǎng)絡(luò)數(shù)據(jù)加密：可編程邏輯器件2接收來自第三階段的數(shù)據(jù)報(bào)內(nèi)容，對(duì)協(xié)議中的實(shí)際數(shù)據(jù)段提取出來后，使用三重?cái)?shù)據(jù)加密算法3DES對(duì)8bit的網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行加密，得到64bit的數(shù)據(jù)，提取其中的8bit作為新的數(shù)據(jù)寫入?yún)f(xié)議的數(shù)據(jù)段。而如果想進(jìn)行解密，只有對(duì)可編程邏輯器件2配置解密的使能開關(guān)，方能將64bit的加密數(shù)據(jù)還原得到原來的8bit的實(shí)際網(wǎng)絡(luò)數(shù)據(jù)；最后將8bit的網(wǎng)絡(luò)數(shù)據(jù)重新進(jìn)行CRC校驗(yàn)后，整合成 8bit上下沿同時(shí)采樣的網(wǎng)絡(luò)數(shù)據(jù)，通過第二千兆以太網(wǎng)芯片8、第二千兆以太網(wǎng)網(wǎng)口9發(fā)送。

同時(shí)，學(xué)生可以利用第一程序下載與調(diào)試模塊3對(duì)可編程邏輯器件2的功能進(jìn)行時(shí)序的仿真和觀察、利用發(fā)光二極管4的閃爍情況監(jiān)測系統(tǒng)工作的心跳和時(shí)鐘運(yùn)行情況。利用按鍵5控制可編程邏輯器件2選擇系統(tǒng)的10M/100M/1000M的以太網(wǎng)工作速度。利用溫度傳感器17監(jiān)控系統(tǒng)工作時(shí)的芯片溫度，實(shí)時(shí)地觀測系統(tǒng)溫度保證其能夠在合理范圍內(nèi)工作。利用串口模塊18對(duì)微控制器12的UDP客戶端、服務(wù)器和TCP客戶端、服務(wù)器的線程、數(shù)據(jù)包的日志進(jìn)行觀察，從中認(rèn)識(shí)到網(wǎng)絡(luò)安全設(shè)備的維護(hù)。

本發(fā)明具體應(yīng)用場景如下：啟動(dòng)電源1，學(xué)生將編寫好的可編程邏輯器件2和微控制器12的指令分別通過第一程序下載與調(diào)試模塊3和第二程序下載與調(diào)試模塊13下載至開發(fā)板。利用六類非屏蔽雙絞線(CAT6)連接第一千兆以太網(wǎng)網(wǎng)口7和一臺(tái)計(jì)算機(jī)A；連接第二千兆以太網(wǎng)網(wǎng)口9和一臺(tái)交換機(jī)（第三千兆以太網(wǎng)網(wǎng)口11作為可拓展的備用網(wǎng)口），一臺(tái)交換機(jī)連接多臺(tái)學(xué)生計(jì)算機(jī)。將計(jì)算機(jī)A的IP地址和一臺(tái)學(xué)生計(jì)算機(jī)的IP地址設(shè)置為非同網(wǎng)段的地址。然后利用計(jì)算機(jī)A向系統(tǒng)發(fā)送配置的白名單。學(xué)生可以在白名單中配置包括：媒體訪問控制MAC地址過濾功能、IP地址過濾功能、端口PORT地址過濾功能、網(wǎng)絡(luò)地址轉(zhuǎn)換NAT功能、地址解析協(xié)議ARP攔截功能、Internet控制報(bào)文協(xié)議ICMP攔截功能、傳輸控制協(xié)議TCP攔截功能、用戶數(shù)據(jù)報(bào)協(xié)議UDP攔截功能、3DES加密功能等。當(dāng)計(jì)算機(jī)A和學(xué)生計(jì)算機(jī)的地址及相關(guān)配置信息在白名單中，并且啟動(dòng)網(wǎng)絡(luò)地址轉(zhuǎn)換NAT功能時(shí)，計(jì)算機(jī)A和學(xué)生計(jì)算機(jī)可以相互通信，傳輸數(shù)據(jù)。當(dāng)計(jì)算機(jī)A和學(xué)生計(jì)算機(jī)的地址及相關(guān)配置信息不在白名單中或者關(guān)閉網(wǎng)絡(luò)地址轉(zhuǎn)換NAT功能時(shí)，計(jì)算機(jī)A和學(xué)生計(jì)算機(jī)不能相互通信。如果學(xué)生在配置白名單的時(shí)候，開始了傳輸控制協(xié)議TCP攔截功能、用戶數(shù)據(jù)報(bào)協(xié)議UDP攔截功能，那么學(xué)生可以針對(duì)指定的端口號(hào)，對(duì)數(shù)據(jù)進(jìn)行攔截和過濾，傳輸文本、圖像、視頻等信息。