本實用新型涉及通信領域中的工業(yè)以太網(wǎng)技術(shù)，特別涉及一種加密工業(yè)以太網(wǎng)交換機。

背景技術(shù)：

工業(yè)以太網(wǎng)交換機，即應用于工業(yè)控制領域的以太網(wǎng)交換機設備，由于所采用的網(wǎng)絡標準其開發(fā)性好及應用廣泛，能適應低溫高溫，抗電磁干擾強，防鹽霧及抗震性強。工業(yè)以太網(wǎng)交換機使用的是透明而統(tǒng)一的傳輸控制協(xié)議/因特網(wǎng)互聯(lián)協(xié)議(TCP/IP)，以太網(wǎng)已經(jīng)成為工業(yè)控制領域的主要通信標準。工業(yè)以太網(wǎng)交換機主要應用于工業(yè)控制自動化，道路交通控制自動化，樓宇自動控制系統(tǒng)，礦井自動控制系統(tǒng)，油田控制自動化，水電站控制自動化，電力系統(tǒng)控制自動化以及機房監(jiān)控系統(tǒng)中。

加密工業(yè)以太網(wǎng)交換機，即對傳輸?shù)臄?shù)據(jù)進行加密處理的工業(yè)以太網(wǎng)交換機設備，由于應用領域的特殊性及所承載數(shù)據(jù)的關(guān)鍵性及私密性，加密工業(yè)以太網(wǎng)交換機已逐漸成為各行業(yè)傳輸系統(tǒng)基礎設施的主要組成部分。

目前，有兩種類型的加密工業(yè)以太網(wǎng)交換機，分別如圖1和圖2所示。

圖1為現(xiàn)有技術(shù)提供的加密工業(yè)以太網(wǎng)交換機的裝置一結(jié)構(gòu)示意圖，如圖所示，包括：第一交換芯片101、集成MACsec加解密算法的物理層模塊(PHY)102、第一光模塊103及第二光模塊104，集成MACsec加解密算法的PHY102和第一交換芯片101之間通過以太網(wǎng)接口協(xié)議(QSGMII)接口連接，集成MACsec加解密算法的PHY102分別與第一光模塊103及第二光模塊104之間通過光纖吉比特以太網(wǎng)標準(1000Base-x)接口連接，第一光模塊103及第二光模塊104分別為1.25Gbps光模塊，第一交換芯片101接受第一網(wǎng)管中央處理器(CPU)的控制。其中，第一交換芯片101將從快速以太網(wǎng)雙線絞對(100Base-T)接收的上行數(shù)據(jù)發(fā)送給集成MACsec加解密算法的PHY102加密處理，通過第一光模塊103或第二光模塊104發(fā)送加密的上行數(shù)據(jù)到對端；或者第二光模塊104或第一光模塊103將加密的下行數(shù)據(jù)發(fā)送給集成MACsec加解密算法的PHY102解密處理，將下行數(shù)據(jù)由第一交換芯片101通過100Base-T發(fā)送到快速以太網(wǎng)中。

在該結(jié)構(gòu)中，上聯(lián)接口或下聯(lián)接口都采用全雙工模式，既可以發(fā)送加密的上行數(shù)據(jù)，也可以接收下行數(shù)據(jù)，這里不限定，以下所述的上聯(lián)接口或下聯(lián)接口的功能相同。

從圖1可以看出，這種加密工業(yè)以太網(wǎng)交換機是采用集成MACsec加解密算法的PHY102實現(xiàn)數(shù)據(jù)的加解密功能，該交換機的加解密吞吐量接近1000兆的通信速率。

圖2為現(xiàn)有技術(shù)提供的加密工業(yè)以太網(wǎng)交換機的裝置二結(jié)構(gòu)示意圖，包括：第二交換芯片201、第三光模塊202及第四光模塊203，第二交換芯片201分別與第三光模塊202及第四光模塊203之間通過1000Base-x接口連接，第三光模塊202及第四光模塊203分別為1.25Gbps光模塊。第二交換芯片201與加密網(wǎng)管CPU通信，由加密網(wǎng)管CPU實現(xiàn)經(jīng)過第二交換芯片201數(shù)據(jù)的加解密處理。其中，第二交換芯片201將從100Base-T接收的上行數(shù)據(jù)加密處理后，通過第三光模塊202或第四光模塊203發(fā)送加密的上行數(shù)據(jù)到對端；或者第四光模塊203或第三光模塊202將加密的下行數(shù)據(jù)發(fā)送給第二交換芯片201解密處理后，將下行數(shù)據(jù)通過100Base-T發(fā)送到快速以太網(wǎng)中。

圖2中的加密工業(yè)以太網(wǎng)交換機采用高性能的CPU實現(xiàn)數(shù)據(jù)的加解密，從而采用模塊化軟件結(jié)構(gòu)，可以支持多種加解密算法，保障了所述交換機加解密算法選擇的靈活性。

但是，圖1和圖2所示的加密工業(yè)以太網(wǎng)交換機也還存在缺陷：

圖1所示的加密工業(yè)以太網(wǎng)交換機加解密算法模塊，只支持MACsec加解密算法，通用性差，無法應用于行業(yè)強制要求支持某幾種加解密算法，諸如SM1或SM4等加解密算法的場合；

圖2所示的加密工業(yè)以太網(wǎng)交換機雖然可以支持多種加解密算法，但是其吞吐量低，無法滿足高帶寬需求的應用場景，比如越來越多的視頻傳輸業(yè)務，對傳輸設備的吞吐量要求很高，特別是當加密工業(yè)以太網(wǎng)交換機處于網(wǎng)絡拓撲的匯聚層或核心層時，無法勝任。

綜上，目前還沒有一種類型的加密工業(yè)以太網(wǎng)交換機，不僅可以解決數(shù)據(jù)加解密速率與數(shù)據(jù)吞吐量速率相適應，而且還可以支持多種加解密算法以實現(xiàn)靈活性。為了保證加解密算法靈活性的同時提升加密工業(yè)以太網(wǎng)交換機的加解密數(shù)據(jù)吞吐量，圖2所示的加密工業(yè)以太網(wǎng)交換機不斷地增加加密網(wǎng)管CPU的處理能力，從32位增加到64位，從單核處理器增加到多核處理器，但是不僅沒有滿足性能要求，而且成本增加且存在散熱等問題。

技術(shù)實現(xiàn)要素：

有鑒于此，本實用新型實施例提供一種加密工業(yè)以太網(wǎng)交換機，不僅能夠解決數(shù)據(jù)加解密速率與數(shù)據(jù)吞吐量速率相適應，而且還可以支持多種加解密算法以實現(xiàn)靈活性。

根據(jù)上述目的，本實用新型是這樣實現(xiàn)的：

一種加密工業(yè)以太網(wǎng)交換機，包括：第三交換芯片(301)、現(xiàn)場可編程陣列FPGA單元(302)、第五光模塊(303)及第六光模塊(304)，F(xiàn)PGA單元(302)和第三交換芯片(301)之間通過以太網(wǎng)接口協(xié)議QSGMII接口連接，F(xiàn)PGA單元(302)分別與第五光模塊(303)及第六光模塊(304)之間通過1000Base-x接口連接，F(xiàn)PGA單元)(302)設置多種加解密算法，其中，

第三交換芯片(301)將從快速以太網(wǎng)雙絞線100Base-T接收的上行數(shù)據(jù)發(fā)送給FPGA單元(302)進行對應加解密算法的加密處理，通過第五光模塊(303)或第六光模塊(304)發(fā)送加密上行數(shù)據(jù)給對端；或者第六光模塊(304)或第五光模塊(303)將加密的下行數(shù)據(jù)發(fā)送給FPGA單元(302)進行對應加解密算法的解密處理，將下行數(shù)據(jù)由第三交換芯片(301)通過100Base-T發(fā)送到快速以太網(wǎng)中。

較佳地，所述第五光模塊(303)及第六光模塊(304)分別為1.25Gbps光模塊。

較佳地，所述第三交換芯片(301)接受第二網(wǎng)管中央處理器CPU的控制。

較佳地，所述FPGA單元(302)包括加解密算法撥碼開關(guān)，用于控制FPGA單元(302)加載對應的加解密算法。

較佳地，還包括存儲器，通過外圍接口與FPGA單元(302)連接，存儲各種加解密算法，當FPGA單元(302)的加解密算法撥碼開關(guān)設置后，將對應的加解密算法傳輸給FPGA單元(302)進行加載。

較佳地，所述FPGA單元(302)包括：QSGMII收發(fā)模塊(3021)、多個不同的加解密算法模塊(3022)、第一1000Base-x MAC模塊(3023)、第二1000Base-x MAC模塊(3024)及加解密算法選擇模塊(3025)，其中，

較佳地，QSGMII收發(fā)模塊(3021)接收上行數(shù)據(jù)后，發(fā)送給對應的加解密算法模塊(3022)進行加密處理，通過第一1000Base-x MAC模塊(3023)發(fā)送加密的上行數(shù)據(jù)；或者第二1000Base-x MAC模塊(3024)接收加密的下行數(shù)據(jù)，發(fā)送給對應的加解密算法模塊(3022)進行解密處理，通過QSGMII收發(fā)模塊(3021)發(fā)送下行數(shù)據(jù)，加解密算法選擇模塊(3025)在進行對應的加解密算法的加載。

由上述方案可以看出，本實用新型提供了一種加密工業(yè)以太網(wǎng)交換機，其中，采用現(xiàn)場可編程門陣列(FPGA)單元實現(xiàn)數(shù)據(jù)加解密處理，由于FPGA單元中可以設置多種加解密算法，所以支持多種加解密算法以實現(xiàn)靈活性；采用FPGA單元進行數(shù)據(jù)加解密的速率比較快，且能夠與數(shù)據(jù)吞吐量速率相適應。這樣，集成了FPGA單元的加密工業(yè)以太網(wǎng)交換機就可以在低成本的前提下，集加解密算法靈活性與高吞吐量、低傳輸延時于一體。

附圖說明

圖1為現(xiàn)有技術(shù)提供的加密工業(yè)以太網(wǎng)交換機的裝置一結(jié)構(gòu)示意圖；

圖2為現(xiàn)有技術(shù)提供的加密工業(yè)以太網(wǎng)交換機的裝置二結(jié)構(gòu)示意圖；

圖3為本實用新型提供的加密工業(yè)以太網(wǎng)交換機的裝置結(jié)構(gòu)示意圖；

圖4為本實用新型提供的FPGA單元的結(jié)構(gòu)示意圖。

附圖標記

101-交換芯片

102-集成MACsec加解密算法的PHY

103-第一光模塊

104-第二光模塊

201-第二交換芯片

202-第三光模塊

203-第四光模塊

301-第三交換芯片

302-FPGA單元

303-第五光模塊

304-第六光模塊

3021-QSGMII收發(fā)模塊

3022-加解密算法模塊

3023-第一1000Base-x MAC模塊

3024-第二1000Base-x MAC模塊

3025-加解密算法選擇模塊

具體實施方式

為使本實用新型的目的、技術(shù)方案及優(yōu)點更加清楚明白，以下參照附圖并舉實施例，對本實用新型作進一步詳細說明。

圖3為本實用新型提供的加密工業(yè)以太網(wǎng)交換機的裝置結(jié)構(gòu)示意圖，包括：第三交換芯片301、FPGA單元302、第五光模塊303及第六光模塊304，F(xiàn)PGA單元302和第三交換芯片301之間通過QSGMII接口連接，F(xiàn)PGA單元302分別與第五光模塊303及第六光模塊304之間通過1000Base-x接口連接，第五光模塊303及第六光模塊304分別為1.25Gbps光模塊，第三交換芯片301接受第二網(wǎng)管CPU的控制，F(xiàn)PGA單元302設置多種加解密算法。其中，

第三交換芯片301將從100Base-T接收的上行數(shù)據(jù)發(fā)送給FPGA單元302進行對應加解密算法的加密處理，通過第五光模塊303或第六光模塊304發(fā)送加密上行數(shù)據(jù)給對端；或者第六光模塊304或第五光模塊303將加密的下行數(shù)據(jù)發(fā)送給FPGA單元302進行對應加解密算法的解密處理，將下行數(shù)據(jù)由第三交換芯片301通過100Base-T發(fā)送到快速以太網(wǎng)中。

在該實用新型中，F(xiàn)PGA單元302主要實現(xiàn)QSGMII接口的數(shù)據(jù)收發(fā)功能，各種加解密算法的加解密功能，各種加解密算法包括諸如AES128/256加解密算法、DES加解密算法、3DES加解密算法、SM1加解密算法或SM4加解密算法等，加解密算法的選擇功能，以及1000Base-x MAC功能。

在該實用新型中，F(xiàn)PGA單元302具有加解密算法撥碼開關(guān)，用于控制FPGA單元加載對應的加解密算法。

在該實用新型中，加密工業(yè)以太網(wǎng)交換機還具有存儲器，比如閃存(FLASH)，通過外圍接口，比如串行外圍接口(SPI)與FPGA單元302連接，用于存儲各種加解密算法，當FPGA單元302的加解密算法撥碼開關(guān)設置后，將對應的加解密算法傳輸給FPGA單元302進行加載。

圖4為本實用新型提供的FPGA單元的結(jié)構(gòu)示意圖，包括：QSGMII收發(fā)模塊3021、多個不同的加解密算法模塊3022、第一1000Base-x MAC模塊3023、第二1000Base-x MAC模塊3024及加解密算法選擇模塊3025，其中，

QSGMII收發(fā)模塊3021接收上行數(shù)據(jù)后，發(fā)送給對應的加解密算法模塊3022進行加密處理，通過第一1000Base-x MAC模塊3023發(fā)送加密的上行數(shù)據(jù)；或者第二1000Base-x MAC模塊3024接收加密的下行數(shù)據(jù)，發(fā)送給對應的加解密算法模塊3022進行解密處理，通過QSGMII收發(fā)模塊3021發(fā)送下行數(shù)據(jù)，加解密算法選擇模塊3025在加解密算法撥碼開關(guān)的控制下進行對應的加解密算法的加載。

在該FPGA單元中，具體地說：

QSGMII收發(fā)模塊3021實現(xiàn)QSGMII PHY的功能，與交換芯片301的QSGMII MAC互聯(lián)，負責導入加密工業(yè)以太網(wǎng)交換機上行未加密數(shù)據(jù)到FPGA單元中進行加密處理，或者導出解密后的加密下行數(shù)據(jù)到交換芯片301中。

第一1000Base-x MAC模塊3023及第二1000Base-x MAC模塊3024。實現(xiàn)1000Base-x MAC的功能，負責發(fā)送加密工業(yè)以太網(wǎng)交換機加密的上行數(shù)據(jù)及接收對端加密的下行數(shù)據(jù)到加密工業(yè)以太網(wǎng)交換機進行下一步的解密處理。

加解密算法撥碼開關(guān)根據(jù)不同的狀態(tài)，選擇加載對應的加解密算法到FPGA單元運行，在保證多種加加解密算法支持的前提下降低FPGA資源的需求，進而降低加密工業(yè)以太網(wǎng)交換機的設備成本，增強市場競爭力。

多個不同的加解密算法模塊3022包括AES128/256加解密算法模塊、DES/3DES加解密算法模塊、SM1加解密算法模塊和/或SM4加解密算法模塊等，其中，

AES128/256加解密算法模塊，實現(xiàn)AES128及AES256加解密算法，對加密工業(yè)以太網(wǎng)交換機上行未加密數(shù)據(jù)進行加密處理及對端下行加密數(shù)據(jù)進行解密處理；

DES/3DES加解密算法模塊，實現(xiàn)DES/3DES加解密算法，對加密工業(yè)以太網(wǎng)交換機上行未加密數(shù)據(jù)進行加密處理及對端下行加密數(shù)據(jù)進行解密處理；

SM1加解密算法模塊，實現(xiàn)國密SM1加解密算法，對上行未加密數(shù)據(jù)進行加密處理及對端下行加密數(shù)據(jù)進行解密處理；

SM2加解密算法模塊，實現(xiàn)國密SM4加解密算法，上行未加密數(shù)據(jù)進行加密處理及對端下行加密數(shù)據(jù)進行解密處理；

其他加解密算法模塊，隨著研發(fā)的深入及行業(yè)需求的進一步細化，實現(xiàn)其他加解密算法，對加密工業(yè)以太網(wǎng)交換機上行未加密數(shù)據(jù)進行加密處理及對端下行加密數(shù)據(jù)進行解密處理。

從上述方案可以看出，本實用新型提供的加密工業(yè)以太網(wǎng)交換機集高吞吐量與多加解密算法于一體，有效地解決了背景技術(shù)中提供的加密工業(yè)以太網(wǎng)交換機吞吐量和加解密算法靈活性不可兼得的矛盾；本實用新型提供的傳輸延時小，解決背景技術(shù)中的加密工業(yè)以太網(wǎng)交換機采用軟件進行各種加解密算法的加解密，隨著加解密算法的復雜度不同，因加解密引入的傳輸延時也不固定，復雜的加解密算法會給設備帶來無法接受的傳輸延時問題；本實用新型提供的加密工業(yè)以太網(wǎng)交換機的性價比高，解決背景技術(shù)中的加密工業(yè)以太網(wǎng)交換機為了集高吞吐量與多加解密算法于一體，采用昂貴的高性能CPU，且這種CPU配套的散熱系統(tǒng)及結(jié)構(gòu)復雜，成本高昂的問題。

以上舉較佳實施例，對本實用新型的目的、技術(shù)方案和優(yōu)點進行了進一步詳細說明，所應理解的是，以上所述僅為本實用新型的較佳實施例而已，并不用以限制本實用新型，凡在本實用新型的精神和原則之內(nèi)，所作的任何修改、等同替換和改進等，均應包含在本實用新型的保護范圍之內(nèi)。