CN110162983B - 在同步冗余系统中获取一致加解密结果的装置及方法 - Google Patents
在同步冗余系统中获取一致加解密结果的装置及方法 Download PDFInfo
- Publication number
- CN110162983B CN110162983B CN201910338051.8A CN201910338051A CN110162983B CN 110162983 B CN110162983 B CN 110162983B CN 201910338051 A CN201910338051 A CN 201910338051A CN 110162983 B CN110162983 B CN 110162983B
- Authority
- CN
- China
- Prior art keywords
- encryption
- decryption
- scheduler
- redundant
- random number
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/20—Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
- G06F16/27—Replication, distribution or synchronisation of data between databases or within a distributed database system; Distributed database system architectures therefor
- G06F16/273—Asynchronous replication or reconciliation
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/602—Providing cryptographic facilities or services
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Databases & Information Systems (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- Data Mining & Analysis (AREA)
- Computing Systems (AREA)
- Health & Medical Sciences (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Storage Device Security (AREA)
Abstract
本发明涉及加密防护技术领域以及采用冗余设计、需要冗余执行体比较结果的系统架构技术领域,尤其涉及一种在同步冗余系统中获取一致加解密结果的装置,包括若干个同步运行的同构或异构冗余执行体、调度器和加密运算器;冗余执行体,用于执行应用程序,并将运算结果输出至调度器;调度器,用于冗余执行体的各项管理和输入输出代理;加密运算器,用于对输入数据流进行加解密运算,并向调度器返回数据加解密结果。本发明还涉及一种在同步冗余系统中获取一致加解密结果的方法。本发明实现了冗余执行体上的一致加密行为,使加密中间结果一致,从而最终输出结果可比较判决。
Description
技术领域
本发明涉及加密防护技术领域以及采用冗余设计、需要冗余执行体比较结果的系统架构技术领域,尤其涉及一种在同步冗余系统中获取一致加解密结果的装置及方法。
背景技术
在对系统安全较高的场合,通常会采用系统冗余设计,使用多个同构或异构的任务执行体同步处理任务,并通过对比和判决执行体的输出,提高系统整体输出的正确度,以及提高系统抗攻击能力。
通常在这样的冗余系统中应用到加密技术存在以下难点:不同平台如果分别实现相同的加密算法,会因为随机数种子的来源不同导致产生的秘钥不同,从而导致加密结果不同,不同执行体输出的结果无法进行比较判决。即使是相同的平台,在同一时刻,使用系统提供的随机数接口计算出来的随机数序列也是不同的。
如何确保不同冗余执行体在使用同种加密算法的时候,输出相同的结果,使冗余执行体间的结果可比较,在实现上是一个技术难点。
发明内容
为了解决现有技术中存在的问题,本发明提出了一种在同步冗余系统中获取一致加解密结果的装置及方法,实现了冗余执行体上的一致加密行为,使加密中间结果一致,从而最终输出结果可比较判决。
为了实现上述目的,本发明采用以下的技术方案:
本发明提供了一种在同步冗余系统中获取一致加解密结果的装置,包括若干个同步运行的同构或异构冗余执行体、调度器和加密运算器;
冗余执行体,用于执行应用程序,并将运算结果输出至调度器;
调度器,用于冗余执行体的各项管理和输入输出代理;
加密运算器,用于对输入数据流进行加解密运算,并向调度器返回数据加解密结果。
进一步地,所述调度器用于接收外部输入,并将输入数据分发给各冗余执行体;以及,判断冗余执行体的加解密请求是否合法,若合法,则从加密运算器分配资源对数据流进行加解密运算,并将结果同步发送给各冗余执行体,比较冗余执行体的结果并对外输出;若非法,调度器忽略并记录。
进一步地,所述冗余执行体的加解密请求中包含标签信息以及待加解密的数据流,其中,标签信息包括发出请求的应用信息以及需要使用的加密算法,如果是非对称算法,需要指明是加密操作还是解密操作。
进一步地,所述调度器通过各冗余执行体加解密请求的同步性和一致性判断加解密请求是否合法。
进一步地,对于合法的加解密请求,调度器解析其标签信息,明确来自的应用,需要使用的加密算法,进行加密运算还是解密运算,并将这些信息告知加密运算器。
进一步地,所述加密运算器包括随机数生成模块和若干个加解密运算模块;
随机数生成模块,用于根据随机数影响因子,计算出随机数序列,并将随机数序列输出到加解密运算模块;
加解密运算模块,用于生成秘钥和数据流加解密,并向调度器返回运算结果。
进一步地,所述加密运算器根据调度器告知的信息,从若干个加解密运算模块中调用合适的资源,对输入数据流进行加解密运算。
本发明还提供了一种在同步冗余系统中获取一致加解密结果的方法,包含以下步骤:
冗余执行体上运行的应用程序调用加解密API,API向调度器发送加解密请求;
调度器收到冗余执行体的加解密请求,通过比对标签及数据信息确定请求的合法性;
合法性确定后,调度器根据标签信息,分配加密运算器中的资源对输入数据流进行加解密运算;
加密运算器返回数据加解密结果给调度器,调度器分发结果至冗余执行体。
进一步地,所述调度器分发结果至冗余执行体之后,还包括:
冗余执行体上的加解密API返回加解密后的数据流,应用程序使用数据流进行后续运算。
与现有技术相比,本发明具有以下优点:
本发明公开了一种在同步冗余系统中获取一致加解密结果的装置,采用调度器统一处理冗余执行体的加解密请求,合法性确定后,加密运算器对输入数据流进行加解密运算,可以保证不同冗余执行体上的相同应用产生的相同数据流能获得一致的加密结果,使加密中间结果一致,从而最终输出结果可比较判决,并且,采用运算前判决加解密请求合法性的方式,减少了重复的加解密运算次数,节省了运算资源,降低了系统功耗,解决了在冗余系统中进行数据源加密的技术难题。
本发明提出的一种在同步冗余系统中获取一致加解密结果的方法,其有益效果与一种在同步冗余系统中获取一致加解密结果的装置的有益效果基本类似,此处不再赘述。
附图说明
为了更清楚地说明本发明实施例的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,对于本领域普通技术人员而言,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1是本发明实施例的一种在同步冗余系统中获取一致加解密结果的装置的结构示意图;
图2是本发明实施例的一种在同步冗余系统中获取一致加解密结果的方法的流程示意图。
具体实施方式
为了使本技术领域的人员更好地理解本发明中的技术方案,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。
实施例一,如图1所示,一种在同步冗余系统中获取一致加解密结果的装置,该装置应用于对安全要求较高的信息控制系统中,包括若干个同步运行的同构或异构冗余执行体10、调度器20和加密运算器30;
冗余执行体10,与调度器相连接,用于执行应用程序,每个冗余执行体在功能上是等价的,结构上可以是同构或者异构的,其上运行一系列应用程序,根据调度器的输入,进行任务处理。
调度器20,用于冗余执行体的各项管理、输入输出代理以及其他相关操作,比如,接收外部输入,并将输入数据分发给各冗余执行体;以及,判断冗余执行体的加解密请求是否合法,若合法,则从加密运算器分配资源对数据流进行加解密运算,并将结果同步发送给各冗余执行体,比较冗余执行体的结果并对外输出;若非法,调度器忽略并记录。
加密运算器30,用于对输入数据流进行加解密运算,并向调度器返回数据加解密结果。
在一种可选的实例中,加密运算器30包括随机数生成模块301和若干个加解密运算模块302;
随机数生成模块301,用于根据随机数影响因子,计算出随机数序列,并将随机数序列输出到加解密运算模块302,随机数序列用于加密过程中的秘钥生成等操作;
加解密运算模块302,用于生成秘钥和数据流加解密,并向调度器返回运算结果,调度器向冗余执行体分发结果。
在一种可选的实例中,所述冗余执行体的加解密请求中包含标签信息以及待加解密的数据流,其中,标签信息包括发出请求的应用信息以及需要使用的加密算法,如果是非对称算法,需要指明是加密操作还是解密操作。
在一种可选的实例中,所述调度器通过各冗余执行体加解密请求的同步性和一致性判断加解密请求是否合法,当然,也可以根据应用使用其他参数进行判断,最终会产生一个合法的请求。对于合法的加解密请求,调度器解析其标签信息,明确其来自哪个应用,需要使用什么加密算法进行运算,进行加密运算还是解密运算,并将这些信息告知加密运算器。加密运算器根据调度器告知的信息,从若干个加解密运算模块中调用合适的资源,对输入数据流进行对应加解密运算操作。
本发明实施例公开了一种在同步冗余系统中获取一致加解密结果的装置,采用调度器统一处理冗余执行体的加解密请求,合法性确定后,加密运算器对数据流统一进行加解密运算,可以保证不同冗余执行体中相同的数据流(标签也相同),能获取相同的加解密运算结果,从而可以保证冗余执行体上的加解密中间结果一致,最终输出结果可比较判决,解决了在冗余系统中进行数据源加密的技术难题。
基于上述公开的一种在同步冗余系统中获取一致加解密结果的装置,如图2所示,本实施例还提供了在同步冗余系统中获取一致加解密结果的方法,具体包含以下步骤:
步骤S201,冗余执行体上运行的应用程序调用加解密API,API向调度器发送加解密请求;
步骤S202,调度器收到冗余执行体的加解密请求,通过比对标签及数据信息确定请求的合法性;
步骤S203,合法性确定后,调度器根据标签信息,分配加密运算器中的资源对输入数据流进行加解密运算;
步骤S204,加密运算器返回数据加解密结果给调度器,调度器分发结果至冗余执行体;
步骤S205,冗余执行体上的加解密API返回加解密后的数据流,应用程序使用数据流进行后续运算。
本发明实施例公开了的一种在同步冗余系统中获取一致加解密结果的方法,通过调用相同的资源对相同的待加解密序列进行运算,实现了冗余执行体上的一致加密行为,使加密中间结果一致,从而最终输出结果可比较判决。同时,采用运算前判决加解密请求合法性的方法,减少了重复的加解密运算,节省了运算资源,降低了系统功耗。
本领域的技术人员可以清楚地了解到本发明实施例中的技术可借助软件加必需的通用硬件平台的方式来实现。基于这样的理解,本发明实施例中的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在存储介质中,如ROM/RAM、磁碟、光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例或者实施例的某些部分所述的方法。
以上所示仅是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也应视为本发明的保护范围。
Claims (7)
1.一种在同步冗余系统中获取一致加解密结果的装置,其特征在于,包括若干个同步运行的同构或异构冗余执行体、调度器和加密运算器;
冗余执行体,用于执行应用程序,并将运算结果输出至调度器;
调度器,用于冗余执行体的各项管理和输入输出代理;所述调度器用于接收外部输入,并将输入数据分发给各冗余执行体;以及,判断冗余执行体的加解密请求是否合法,若合法,则从加密运算器分配资源对数据流进行加解密运算,并将结果同步发送给各冗余执行体,比较冗余执行体的结果并对外输出;若非法,调度器忽略并记录;
加密运算器,用于对输入数据流进行加解密运算,并向调度器返回数据加解密结果;所述加密运算器包括随机数生成模块和若干个加解密运算模块;
随机数生成模块,用于根据随机数影响因子,计算出随机数序列,并将随机数序列输出到加解密运算模块;
加解密运算模块,用于生成秘钥和数据流加解密,并向调度器返回运算结果。
2.根据权利要求1所述的在同步冗余系统中获取一致加解密结果的装置,其特征在于,所述冗余执行体的加解密请求中包含标签信息以及待加解密的数据流,其中,标签信息包括发出请求的应用信息以及需要使用的加密算法,如果是非对称算法,需要指明是加密操作还是解密操作。
3.根据权利要求2所述的在同步冗余系统中获取一致加解密结果的装置,其特征在于,所述调度器通过各冗余执行体加解密请求的同步性和一致性判断加解密请求是否合法。
4.根据权利要求3所述的在同步冗余系统中获取一致加解密结果的装置,其特征在于,对于合法的加解密请求,调度器解析其标签信息,明确来自的应用,需要使用的加密算法,进行加密运算还是解密运算,并将这些信息告知加密运算器。
5.根据权利要求4所述的在同步冗余系统中获取一致加解密结果的装置,其特征在于,所述加密运算器根据调度器告知的信息,从若干个加解密运算模块中调用合适的资源,对输入数据流进行加解密运算。
6.一种在同步冗余系统中获取一致加解密结果的方法,其特征在于,包含以下步骤:
冗余执行体上运行的应用程序调用加解密API,API向调度器发送加解密请求;
调度器收到冗余执行体的加解密请求,通过比对标签及数据信息确定请求的合法性;
合法性确定后,调度器根据标签信息,分配加密运算器中的资源对输入数据流进行加解密运算;所述加密运算器包括随机数生成模块和若干个加解密运算模块,随机数生成模块根据随机数影响因子,计算出随机数序列,并将随机数序列输出到加解密运算模块;加解密运算模块生成秘钥和数据流加解密,并向调度器返回运算结果,调度器分发结果至冗余执行体。
7.根据权利要求6所述的在同步冗余系统中获取一致加解密结果的方法,其特征在于,所述调度器分发结果至冗余执行体之后,还包括:
冗余执行体上的加解密API返回加解密后的数据流,应用程序使用数据流进行后续运算。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910338051.8A CN110162983B (zh) | 2019-04-25 | 2019-04-25 | 在同步冗余系统中获取一致加解密结果的装置及方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910338051.8A CN110162983B (zh) | 2019-04-25 | 2019-04-25 | 在同步冗余系统中获取一致加解密结果的装置及方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN110162983A CN110162983A (zh) | 2019-08-23 |
| CN110162983B true CN110162983B (zh) | 2020-12-15 |
Family
ID=67639962
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910338051.8A Active CN110162983B (zh) | 2019-04-25 | 2019-04-25 | 在同步冗余系统中获取一致加解密结果的装置及方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN110162983B (zh) |
Families Citing this family (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110750802B (zh) * | 2019-10-14 | 2023-01-10 | 创元网络技术股份有限公司 | 一种基于拟态防御针对关键数据进行保护的架构 |
| CN111427294B (zh) * | 2020-03-26 | 2021-09-07 | 郑州信大捷安信息技术股份有限公司 | 一种冗余的plc程序执行系统及方法 |
| CN112152799B (zh) * | 2020-08-31 | 2022-11-18 | 中国人民解放军战略支援部队信息工程大学 | 面向多模执行体加密应用的密源归一机制 |
| CN112994841B (zh) * | 2021-02-09 | 2022-05-27 | 中国人民解放军战略支援部队信息工程大学 | 基于指令编码的数据处理方法及装置、设备 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107786568A (zh) * | 2017-11-03 | 2018-03-09 | 中国人民解放军信息工程大学 | 一种拟态云主机的自动构建装置、方法及系统 |
| CN108769073A (zh) * | 2018-07-04 | 2018-11-06 | 中国人民解放军战略支援部队信息工程大学 | 一种信息处理方法及设备 |
| CN109587168A (zh) * | 2018-12-29 | 2019-04-05 | 河南信大网御科技有限公司 | 软件定义网络中基于拟态防御的网络功能部署方法 |
-
2019
- 2019-04-25 CN CN201910338051.8A patent/CN110162983B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107786568A (zh) * | 2017-11-03 | 2018-03-09 | 中国人民解放军信息工程大学 | 一种拟态云主机的自动构建装置、方法及系统 |
| CN108769073A (zh) * | 2018-07-04 | 2018-11-06 | 中国人民解放军战略支援部队信息工程大学 | 一种信息处理方法及设备 |
| CN109587168A (zh) * | 2018-12-29 | 2019-04-05 | 河南信大网御科技有限公司 | 软件定义网络中基于拟态防御的网络功能部署方法 |
Non-Patent Citations (3)
| Title |
|---|
| "拟态防御马尔可夫博弈模型及防御策略选择";张兴明 等;《通信学报》;20181031;第39卷(第10期);143-154 * |
| "面向工控领域的拟态安全处理机架构";魏帅 等;《信息安全学报》;20070131;第2卷(第1期);54-73 * |
| "面向拟态安全防御的异构功能等价体调度算法";刘勤让 等;《通信学报》;20180731;第39卷(第7期);188-198 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN110162983A (zh) | 2019-08-23 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110162983B (zh) | 在同步冗余系统中获取一致加解密结果的装置及方法 | |
| US20210377038A1 (en) | Method and apparatus for processing privacy data of block chain, device, and storage medium | |
| CN110278078B (zh) | 一种数据处理方法、装置及系统 | |
| CN109067528B (zh) | 密码运算、创建工作密钥的方法、密码服务平台及设备 | |
| US20070226505A1 (en) | Method of using signatures for measurement in a trusted computing environment | |
| CN103797489A (zh) | 用于安全地将程序执行绑定到且节点锁定到受信任的签名授权机构的系统和方法 | |
| CN109284585B (zh) | 一种脚本加密方法、脚本解密运行方法和相关装置 | |
| US10230738B2 (en) | Procedure for platform enforced secure storage in infrastructure clouds | |
| US11750403B2 (en) | Robust state synchronization for stateful hash-based signatures | |
| CN110609679A (zh) | 数据处理方法、装置、计算机可读存储介质和计算机设备 | |
| CN103051455A (zh) | 一种云计算环境下的可信密码模块密码功能授权代理的实现方法 | |
| CN113285804A (zh) | 虚拟机磁盘数据的加解密方法、装置、设备及存储介质 | |
| CN110176988B (zh) | 保证冗余执行体加密行为一致的装置及方法 | |
| CN111464297A (zh) | 基于区块链的事务处理方法、装置、电子设备和介质 | |
| CN115150821A (zh) | 离线包的传输、存储方法及装置 | |
| CN114244525B (zh) | 请求数据处理方法、装置、设备及存储介质 | |
| CN117077123A (zh) | 一种多密码卡的业务处理方法、装置及电子设备 | |
| CN114329538A (zh) | 一种单点登录方法及装置 | |
| US9699146B1 (en) | Secure access to user data | |
| CN111400743B (zh) | 基于区块链网络的事务处理方法、装置、电子设备和介质 | |
| CN112182518A (zh) | 一种软件部署方法和装置 | |
| KR101699176B1 (ko) | Hdfs 데이터 암호화 및 복호화 방법 | |
| CN113569265B (zh) | 一种数据处理方法、系统及装置 | |
| CN104901959A (zh) | 一种验证计算池可信的方法及系统 | |
| CN115001869A (zh) | 一种加密传输方法及系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |