CN111107098A - 一种内生安全的网络功能基础平台及数据处理方法 - Google Patents
一种内生安全的网络功能基础平台及数据处理方法 Download PDFInfo
- Publication number
- CN111107098A CN111107098A CN201911382789.0A CN201911382789A CN111107098A CN 111107098 A CN111107098 A CN 111107098A CN 201911382789 A CN201911382789 A CN 201911382789A CN 111107098 A CN111107098 A CN 111107098A
- Authority
- CN
- China
- Prior art keywords
- data packet
- data
- processing
- result
- pipeline
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/22—Parsing or analysis of headers
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L1/00—Arrangements for detecting or preventing errors in the information received
- H04L1/22—Arrangements for detecting or preventing errors in the information received using redundant apparatus to increase reliability
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请提供了一种内生安全的网络功能基础平台及数据处理方法,包括:内生安全的网络功能基础平台数据包分发器、裁决器和多个结构不同且功能相同的数据包处理功能体;数据包分发器,用于在接收到数据包时,将接收到的数据包复制成多个相同的数据包,并将多个相同的数据包分发给多个数据包处理功能体;数据包处理功能体,用于对数据包进行处理,得到处理结果,并输出处理结果;裁决器,用于接收多个数据包处理功能体输出的处理结果,并对多个数据包处理功能体输出的处理结果进行裁决,得到裁决结果。在本申请中,通过以上方式可以提高可编程数据平面的安全性。
Description
技术领域
本申请涉及计算机网络通信技术领域,特别涉及一种内生安全的网络功能基础平台及数据处理方法。
背景技术
编程网络中,用户可以利用可编程数据平面编写程序,实现适合自身需求的网络行为。
但是,由于缺乏安全知识,用户利用可编程数据平面编写的程序可能会存在安全漏洞,威胁可编程数据平面的安全,因此,如何提高可编程数据平面的安全性成为问题。
发明内容
为解决上述技术问题,本申请实施例提供一种内生安全的网络功能基础平台及数据处理方法,以达到提高可编程数据平面的安全性的目的,技术方案如下:
一种内生安全的网络功能基础平台,包括:数据包分发器、裁决器和多个结构不同且功能相同的数据包处理功能体;
所述数据包分发器,用于在接收到数据包时,将接收到的数据包复制成多个相同的数据包,并将多个相同的数据包分发给多个所述数据包处理功能体;
所述数据包处理功能体,用于对所述数据包进行处理,得到处理结果,并输出所述处理结果;
所述裁决器,用于接收多个所述数据包处理功能体输出的处理结果,并对多个所述数据包处理功能体输出的处理结果进行裁决,得到裁决结果。
优选的,所述内生安全的网络功能基础平台,还包括:
调度器,用于将所述裁决结果反馈给多个所述数据包处理功能体;
所述数据包处理功能体,还用于比较所述裁决结果和自身输出的处理结果是否一致,若不一致,则对自身进行清洗和修复。
优选的,所述调度器,还用于将所述裁决结果反馈给所述数据包分发器;
所述数据包分发器,还用于依据所述裁决结果,调整数据包分发策略,并在接收到下一个数据包时,依据调整后的数据包分发策略进行数据包分发。
优选的,各个所述数据包处理功能体均包括至少一个解析器、至少一个入口流水线、至少一个出口流水线和至少一个逆解析器,各个所述数据包处理功能体中解析器、入口流水线、出口流水线和逆解析器之间的编排不同;
所述解析器,用于解析并提取所述数据包的包头的各个字段;
所述入口流水线,用于依据所述解析器输出的结果,对所述数据包中的数据进行入口流水线处理,得到第一数据;
所述出口流水线,用于依据所述解析器输出的结果,对所述数据包中的数据进行出口流水线处理,得到第二数据;
所述逆解析器,用于依据所述数据包的包头的各个字段、所述第一数据和所述第二数据,重组得到数据包。
优选的,任意一个或多个所述数据包处理功能体中所述解析器、所述入口流水线、所述出口流水线和所述逆解析器中一个或多个为异构冗余结构;
在所述解析器为异构冗余结构时,所述解析器包括:第一分发模块、多个结构不同且功能相同的解析模块和第一裁决模块;
所述第一分发模块,用于在接收到数据包时,将接收到的数据包复制成多个相同的数据包,并将多个相同的数据包分发给多个所述解析模块;
所述解析模块,用于解析并提取所述数据包的包头的各个字段;
所述第一裁决模块,用于对多个所述解析模块输出的结果进行裁决,得到第一裁决结果,并输出所述第一裁决结果;
在所述入口流水线为异构冗余结构时,所述入口流水线包括:第二分发模块、多个结构不同且功能相同的入口流水线模块和第二裁决模块;
所述第二分发模块,用于对所述解析器输出的结果及所述数据包中的数据进行复制,并将复制的所述解析器输出的结果及所述数据包中的数据分发给多个所述入口流水线模块;
所述入口流水线模块,用于依据所述解析器输出的结果,对所述数据包中的数据进行入口流水线处理,得到第一处理结果;
所述第二裁决模块,用于对多个所述第一处理结果进行裁决,得到第二裁决结果,并输出所述第二裁决结果;
在所述出口流水线为异构冗余结构时,所述出口流水线包括:第三分发模块、多个结构不同且功能相同的出口流水线模块和第三裁决模块;
所述第三分发模块,用于对所述解析器输出的结果及所述数据包中的数据进行复制,并将复制的所述解析器输出的结果及所述数据包中的数据分发给多个所述出口流水线模块;
所述出口流水线模块,用于依据所述解析器输出的结果,对所述数据包中的数据进行出口流水线处理,得到第二处理结果;
所述第三裁决模块,用于对多个所述第二处理结果进行裁决,得到第三裁决结果,并输出所述第三裁决结果;
在所述逆解析器为异构冗余结构时,所述逆解析器包括:第四分发模块、多个结构不同且功能相同的逆解析模块和第四裁决模块;
所述第四分发模块,用于对所述解析器输出的结果、所述入口流水线输出的结果及所述出口流水线输出的结果进行复制,并将复制的所述解析器输出的结果、所述入口流水线输出的结果及所述出口流水线输出的结果分发给多个所述逆解析模块;
所述逆解析模块,用于依据所述解析器输出的结果、所述入口流水线输出的结果及所述出口流水线输出的结果,重组得到数据包;
所述第四裁决模块,用于对多个所述逆解析模块重组得到的数据包进行裁决,得到第四裁决结果,并输出所述第四裁决结果。
一种数据包处理方法,基于内生安全的网络功能基础平台,所述内生安全的网络功能基础平台包括:数据包分发器、裁决器和多个结构不同且功能相同的数据包处理功能体;
所述数据包分发器在接收到数据包时,将接收到的数据包复制成多个相同的数据包,并将多个相同的数据包分发给多个所述数据包处理功能体;
所述数据包处理功能体对所述数据包进行处理,得到处理结果,并输出所述处理结果;
所述裁决器接收多个所述数据包处理功能体输出的处理结果,并对多个所述数据包处理功能体输出的处理结果进行裁决,得到裁决结果。
优选的,在所述内生安全的网络功能基础平台还包括调度器的情况下,所述方法还包括:
所述调度器将所述裁决结果反馈给多个所述数据包处理功能体;
所述数据包处理功能体比较所述裁决结果和自身输出的处理结果是否一致,若不一致,则对自身进行清洗和修复。
优选的,所述方法还包括:
所述调度器将所述裁决结果反馈给所述数据包分发器;
所述数据包分发器依据所述裁决结果,调整数据包分发策略,并在接收到下一个数据包时,依据调整后的数据包分发策略进行数据包分发。
优选的,在各个所述数据包处理功能体均包括至少一个解析器、至少一个入口流水线、至少一个出口流水线和至少一个逆解析器,各个所述数据包处理功能体中解析器、入口流水线、出口流水线和逆解析器之间的编排不同的情况下,所述数据包处理功能体对所述数据包进行处理,得到处理结果,并输出所述处理结果的过程,包括:
所述解析器解析并提取所述数据包的包头的各个字段;
所述入口流水线依据所述解析器输出的结果,对所述数据包中的数据进行入口流水线处理,得到第一数据;
所述出口流水线依据所述解析器输出的结果,对所述数据包中的数据进行出口流水线处理,得到第二数据;
所述逆解析器依据所述数据包的包头的各个字段、所述第一数据和所述第二数据,重组得到数据包。
优选的,在任意一个或多个所述数据包处理功能体中所述解析器、所述入口流水线、所述出口流水线和所述逆解析器中一个或多个为异构冗余结构的情况下:
当在所述解析器为异构冗余结构时,所述解析器包括:第一分发模块、多个结构不同且功能相同的解析模块和第一裁决模块时,所述解析器解析并提取所述数据包的包头的各个字段的过程,包括:
所述第一分发模块在接收到数据包时,将接收到的数据包复制成多个相同的数据包,并将多个相同的数据包分发给多个所述解析模块;
所述解析模块解析并提取所述数据包的包头的各个字段;
所述第一裁决模块对多个所述解析模块输出的结果进行裁决,得到第一裁决结果,并输出所述第一裁决结果;
当在所述入口流水线为异构冗余结构时,所述入口流水线包括:第二分发模块、多个结构不同且功能相同的入口流水线模块和第二裁决模块时,所述入口流水线依据所述解析器输出的结果,对所述数据包中的数据进行入口流水线处理,得到第一数据的过程,包括;
所述第二分发模块,用于对所述解析器输出的结果及所述数据包中的数据进行复制,并将复制的所述解析器输出的结果及所述数据包中的数据分发给多个所述入口流水线模块;
所述入口流水线模块,用于依据所述解析器输出的结果,对所述数据包中的数据进行入口流水线处理,得到第一处理结果;
所述第二裁决模块,用于对多个所述第一处理结果进行裁决,得到第二裁决结果,并输出所述第二裁决结果;
当在所述出口流水线为异构冗余结构时,所述出口流水线包括:第三分发模块、多个结构不同且功能相同的出口流水线模块和第三裁决模块时,所述出口流水线依据所述解析器输出的结果,对所述数据包中的数据进行出口流水线处理,得到第二数据的过程,包括:
所述第三分发模块,用于对所述解析器输出的结果及所述数据包中的数据进行复制,并将复制的所述解析器输出的结果及所述数据包中的数据分发给多个所述出口流水线模块;
所述出口流水线模块,用于依据所述解析器输出的结果,对所述数据包中的数据进行出口流水线处理,得到第二处理结果;
所述第三裁决模块,用于对多个所述第二处理结果进行裁决,得到第三裁决结果,并输出所述第三裁决结果;
当在所述逆解析器为异构冗余结构时,所述逆解析器包括:第四分发模块、多个结构不同且功能相同的逆解析模块和第四裁决模块时,所述逆解析器依据所述数据包的包头的各个字段、所述第一数据和所述第二数据,重组得到数据包的过程,包括:
所述第四分发模块,用于对所述解析器输出的结果、所述入口流水线输出的结果及所述出口流水线输出的结果进行复制,并将复制的所述解析器输出的结果、所述入口流水线输出的结果及所述出口流水线输出的结果分发给多个所述逆解析模块;
所述逆解析模块,用于依据所述解析器输出的结果、所述入口流水线输出的结果及所述出口流水线输出的结果,重组得到数据包;
所述第四裁决模块,用于对多个所述逆解析模块重组得到的数据包进行裁决,得到第四裁决结果,并输出所述第四裁决结果。
与现有技术相比,本申请的有益效果为:
在本申请中,设计了多个功能相同且结构不同的数据包处理功能体,分别对数据包进行处理,并对多个处理结果进行裁决,提高处理结果的正确性,以此防范网络功能基础平台所面临的安全风险,增强可编程数据平面的抗攻击能力,提高可编程数据平面的安全性。
附图说明
为了更清楚地说明本申请实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1是本申请提供的一种内生安全的网络功能基础平台的一种逻辑结构示意图;
图2是本申请提供的另一种内生安全的网络功能基础平台的一种逻辑结构示意图;
图3是本申请提供的再一种内生安全的网络功能基础平台的一种逻辑结构示意图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
本申请实施例公开了一种内生安全的网络功能基础平台,包括:数据包分发器、裁决器和多个结构不同且功能相同的数据包处理功能体;所述数据包分发器,用于在接收到数据包时,将接收到的数据包复制成多个相同的数据包,并将多个相同的数据包分发给多个所述数据包处理功能体;所述数据包处理功能体,用于对所述数据包进行处理,得到处理结果,并输出所述处理结果;所述裁决器,用于接收多个所述异构数据包处理功能体输出的处理结果,并对多个所述异构数据包处理功能体输出的处理结果进行裁决,得到裁决结果。在本申请中,可以提高可编程数据平面的安全性。
接下来对本申请实施例公开的内生安全的网络功能基础平台的进行介绍,如图1所示的,为本申请提供的一种内生安全的网络功能基础平台的一种逻辑结构示意图,该内生安全的网络功能基础平台可以包括但不局限于:数据包分发器11、裁决器12和多个结构不同且功能相同的数据包处理功能体13。
可以理解的是,多个数据包处理功能体13的结构不同,但是功能相同。
所述数据包分发器11,用于在接收到数据包时,将接收到的数据包复制成多个相同的数据包,并将多个相同的数据包分发给多个所述数据包处理功能体13;
所述数据包处理功能体13,用于对所述数据包进行处理,得到处理结果,并输出所述处理结果;
所述裁决器12,用于接收多个所述数据包处理功能体13输出的处理结果,并对多个所述数据包处理功能体13输出的处理结果进行裁决,得到裁决结果。
本实施例中,裁决器12对多个所述数据包处理功能体13输出的处理结果进行裁决,得到裁决结果的过程,优选为:
裁决器12采用择多判决的方式对多个所述数据包处理功能体13输出的处理结果进行裁决,得到裁决结果。
采用择多判决的方式对多个所述数据包处理功能体13输出的处理结果进行裁决,得到裁决结果,可以理解为:
通过对多个所述数据包处理功能体13输出的处理结果进行比对,选择多个所述数据包处理功能体13输出的处理结果中个数最多的处理结果,作为裁决结果。如,多个数据包处理功能体13输出的处理结果分别为a1、a1、a2、a1、a3、a4,则a1为个数最多的处理结果,a1作为裁决结果。
本实施例中,对数据包处理功能体13进行动态异构冗余设计,使内生安全的网络功能基础平台中包括多个结构不同且功能相同的数据包处理功能体13,分别对数据包进行处理,并对多个处理结果进行裁决,提高处理结果的正确性,以此防范网络功能基础平台所面临的安全风险,增强可编程数据平面的抗攻击能力,提高可编程数据平面的安全性。
在本申请的另一个实施例中,介绍另外一种内生安全的网络功能基础平台,如图2所示,在图1示出的内生安全的网络功能基础平台的基础上,还可以包括:调度器14。
调度器,用于将所述裁决结果反馈给多个所述数据包处理功能体13;
所述数据包处理功能体13,还用于比较所述裁决结果和自身输出的处理结果是否一致,若不一致,则对自身进行清洗和修复。
数据包处理功能体13在裁决结果和自身输出的处理结果不一致时,对自身进行清洗和修复,可以实现对已知或未知的攻击的动态防御。
本实施例中,所述调度器,还可以用于将所述裁决结果反馈给所述数据包分发器11;
相应地,所述数据包分发器11,还可以用于依据所述裁决结果,调整数据包分发策略,并在接收到下一个数据包时,依据调整后的数据包分发策略进行数据包分发。
数据包分发器11,依据所述裁决结果,调整数据包分发策略,并在接收到下一个数据包时,依据调整后的数据包分发策略进行数据包分发,可以包括但不局限于:
数据包分发器11,依据裁决结果,调整数据包分发策略为分发给除处理结果与裁决结果不一致的数据包处理功能体13之外的数据包处理功能体13,并在接收到下一个数据包时,将数据包分发给除处理结果与裁决结果不一致的数据包处理功能体13之外的数据包处理功能体13。
数据包分发器11,依据所述裁决结果,调整数据包分发策略,并在接收到下一个数据包时,依据调整后的数据包分发策略进行数据包分发,可以避免将数据包继续分发给存在安全风险的数据包处理功能体13,以此提高内生安全的网络功能基础平台的安全性。
在本申请的另一个实施例中,对各个所述数据包处理功能体13的结构进行介绍,具体如下:
各个所述数据包处理功能体13均包括至少一个解析器、至少一个入口流水线、至少一个出口流水线和至少一个逆解析器,各个所述数据包处理功能体13中解析器、入口流水线、出口流水线和逆解析器之间的编排不同。
各个所述数据包处理功能体13均包括至少一个解析器、至少一个入口流水线、至少一个出口流水线和至少一个逆解析器,可以理解为:各个所述数据包处理功能体13中解析器的个数、入口流水线的个数、出口流水线的个数及逆解析器的个数并不限定,但至少为1。如,数据包处理功能体131中包括2个解析器、1个入口流水线、1个出口流水线和1个逆解析器;数据包处理功能体132中包括1个解析器、2个入口流水线、1个出口流水线和2个逆解析器;数据包处理功能体133中包括3个解析器、1个入口流水线、1个出口流水线和3个逆解析器。
各个所述数据包处理功能体13中解析器、入口流水线、出口流水线和逆解析器之间的编排不同,可以理解为:各个所述数据包处理功能体13中解析器、入口流水线、出口流水线和逆解析器之间的排列及输入输出关系不同。例如,假设包括3个数据包处理功能体13,分别为数据包处理功能体13A、B和C,数据包处理功能体13A和B均包括:2个解析器、1个入口流水线、1个出口流水线和2个逆解析器,数据包处理功能体13C包括:1个解析器、1个入口流水线、1个出口流水线和1个逆解析器,如图3所示,数据包处理功能体13A、B和C中解析器、入口流水线、出口流水线和逆解析器的编排各不相同。
所述解析器,用于解析并提取所述数据包的包头的各个字段;
所述入口流水线,用于依据所述解析器输出的结果,对所述数据包中的数据进行入口流水线处理,得到第一数据;
所述出口流水线,用于依据所述解析器输出的结果,对所述数据包中的数据进行出口流水线处理,得到第二数据;
所述逆解析器,用于依据所述数据包的包头的各个字段、所述第一数据和所述第二数据,重组得到数据包。
当然,也可以对上述解析器、入口流水线、出口流水线或逆解析器进行异构冗余设计,实现任意一个或多个所述数据包处理功能体13中所述解析器、所述入口流水线、所述出口流水线和所述逆解析器中一个或多个可以为异构冗余结构。
在所述解析器为异构冗余结构时,所述解析器可以包括:第一分发模块、多个结构不同且功能相同的解析模块和第一裁决模块;
所述第一分发模块,用于在接收到数据包时,将接收到的数据包复制成多个相同的数据包,并将多个相同的数据包分发给多个所述解析模块;
所述解析模块,用于解析并提取所述数据包的包头的各个字段;
所述第一裁决模块,用于对多个所述解析模块输出的结果进行裁决,得到第一裁决结果,并输出所述第一裁决结果。
在所述入口流水线为异构冗余结构时,所述入口流水线可以包括:第二分发模块、多个结构不同且功能相同的入口流水线模块和第二裁决模块;
所述第二分发模块,用于对所述解析器输出的结果及所述数据包中的数据进行复制,并将复制的所述解析器输出的结果及所述数据包中的数据分发给多个所述入口流水线模块;
所述入口流水线模块,用于依据所述解析器输出的结果,对所述数据包中的数据进行入口流水线处理,得到第一处理结果;
所述第二裁决模块,用于对多个所述第一处理结果进行裁决,得到第二裁决结果,并输出所述第二裁决结果。
在所述出口流水线为异构冗余结构时,所述出口流水线可以包括:第三分发模块、多个结构不同且功能相同的出口流水线模块和第三裁决模块;
所述第三分发模块,用于对所述解析器输出的结果及所述数据包中的数据进行复制,并将复制的所述解析器输出的结果及所述数据包中的数据分发给多个所述出口流水线模块;
所述出口流水线模块,用于依据所述解析器输出的结果,对所述数据包中的数据进行出口流水线处理,得到第二处理结果;
所述第三裁决模块,用于对多个所述第二处理结果进行裁决,得到第三裁决结果,并输出所述第三裁决结果。
在所述逆解析器为异构冗余结构时,所述逆解析器包括:第四分发模块、多个结构不同且功能相同的逆解析模块和第四裁决模块;
所述第四分发模块,用于对所述解析器输出的结果、所述入口流水线输出的结果及所述出口流水线输出的结果进行复制,并将复制的所述解析器输出的结果、所述入口流水线输出的结果及所述出口流水线输出的结果分发给多个所述逆解析模块;
所述逆解析模块,用于依据所述解析器输出的结果、所述入口流水线输出的结果及所述出口流水线输出的结果,重组得到数据包;
所述第四裁决模块,用于对多个所述逆解析模块重组得到的数据包进行裁决,得到第四裁决结果,并输出所述第四裁决结果。
上述解析器、入口流水线、出口流水线或逆解析器为异构冗余结构,可以进一步提高内生安全的网络功能基础平台的安全性。
接下来对本申请提供的数据处理方法进行介绍,下文介绍的数据处理方法基于上述内生安全的网络功能基础平台,所述内生安全的网络功能基础平台包括:数据包分发器、裁决器和多个结构不同且功能相同的数据包处理功能体,该方法可以包括:
A11、所述数据包分发器在接收到数据包时,将接收到的数据包复制成多个相同的数据包,并将多个相同的数据包分发给多个所述数据包处理功能体;
A12、所述数据包处理功能体对所述数据包进行处理,得到处理结果,并输出所述处理结果;
A13、所述裁决器接收多个所述数据包处理功能体输出的处理结果,并对多个所述数据包处理功能体输出的处理结果进行裁决,得到裁决结果。
本实施例中,在所述内生安全的网络功能基础平台还包括调度器的情况下,所述方法还可以包括:
A14、所述调度器将所述裁决结果反馈给多个所述数据包处理功能体;
A15、所述数据包处理功能体比较所述裁决结果和自身输出的处理结果是否一致,若不一致,则对自身进行清洗和修复。
本实施例中,上述方法还可以包括:
A16、所述调度器将所述裁决结果反馈给所述数据包分发器;
A17、所述数据包分发器依据所述裁决结果,调整数据包分发策略,并在接收到下一个数据包时,依据调整后的数据包分发策略进行数据包分发。
本实施例中,在各个所述数据包处理功能体均包括至少一个解析器、至少一个入口流水线、至少一个出口流水线和至少一个逆解析器,各个所述数据包处理功能体中解析器、入口流水线、出口流水线和逆解析器之间的编排不同的情况下,所述数据包处理功能体对所述数据包进行处理,得到处理结果,并输出所述处理结果的过程,可以包括:
所述解析器解析并提取所述数据包的包头的各个字段;
所述入口流水线依据所述解析器输出的结果,对所述数据包中的数据进行入口流水线处理,得到第一数据;
所述出口流水线依据所述解析器输出的结果,对所述数据包中的数据进行出口流水线处理,得到第二数据;
所述逆解析器依据所述数据包的包头的各个字段、所述第一数据和所述第二数据,重组得到数据包。
本实施例汇总,在任意一个或多个所述数据包处理功能体中所述解析器、所述入口流水线、所述出口流水线和所述逆解析器中一个或多个为异构冗余结构的情况下:
当在所述解析器为异构冗余结构时,所述解析器包括:第一分发模块、多个结构不同且功能相同的解析模块和第一裁决模块时,所述解析器解析并提取所述数据包的包头的各个字段的过程,包括:
所述第一分发模块在接收到数据包时,将接收到的数据包复制成多个相同的数据包,并将多个相同的数据包分发给多个所述解析模块;
所述解析模块解析并提取所述数据包的包头的各个字段;
所述第一裁决模块对多个所述解析模块输出的结果进行裁决,得到第一裁决结果,并输出所述第一裁决结果;
当在所述入口流水线为异构冗余结构时,所述入口流水线包括:第二分发模块、多个结构不同且功能相同的入口流水线模块和第二裁决模块时,所述入口流水线依据所述解析器输出的结果,对所述数据包中的数据进行入口流水线处理,得到第一数据的过程,包括;
所述第二分发模块,用于对所述解析器输出的结果及所述数据包中的数据进行复制,并将复制的所述解析器输出的结果及所述数据包中的数据分发给多个所述入口流水线模块;
所述入口流水线模块,用于依据所述解析器输出的结果,对所述数据包中的数据进行入口流水线处理,得到第一处理结果;
所述第二裁决模块,用于对多个所述第一处理结果进行裁决,得到第二裁决结果,并输出所述第二裁决结果;
当在所述出口流水线为异构冗余结构时,所述出口流水线包括:第三分发模块、多个结构不同且功能相同的出口流水线模块和第三裁决模块时,所述出口流水线依据所述解析器输出的结果,对所述数据包中的数据进行出口流水线处理,得到第二数据的过程,包括:
所述第三分发模块,用于对所述解析器输出的结果及所述数据包中的数据进行复制,并将复制的所述解析器输出的结果及所述数据包中的数据分发给多个所述出口流水线模块;
所述出口流水线模块,用于依据所述解析器输出的结果,对所述数据包中的数据进行出口流水线处理,得到第二处理结果;
所述第三裁决模块,用于对多个所述第二处理结果进行裁决,得到第三裁决结果,并输出所述第三裁决结果;
当在所述逆解析器为异构冗余结构时,所述逆解析器包括:第四分发模块、多个结构不同且功能相同的逆解析模块和第四裁决模块时,所述逆解析器依据所述数据包的包头的各个字段、所述第一数据和所述第二数据,重组得到数据包的过程,包括:
所述第四分发模块,用于对所述解析器输出的结果、所述入口流水线输出的结果及所述出口流水线输出的结果进行复制,并将复制的所述解析器输出的结果、所述入口流水线输出的结果及所述出口流水线输出的结果分发给多个所述逆解析模块;
所述逆解析模块,用于依据所述解析器输出的结果、所述入口流水线输出的结果及所述出口流水线输出的结果,重组得到数据包;
所述第四裁决模块,用于对多个所述逆解析模块重组得到的数据包进行裁决,得到第四裁决结果,并输出所述第四裁决结果。
需要说明的是,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间相同相似的部分互相参见即可。对于装置类实施例而言,由于其与方法实施例基本相似,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
最后,还需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
为了描述的方便,描述以上装置时以功能分为各种单元分别描述。当然,在实施本申请时可以把各单元的功能在同一个或多个软件和/或硬件中实现。
通过以上的实施方式的描述可知,本领域的技术人员可以清楚地了解到本申请可借助软件加必需的通用硬件平台的方式来实现。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在存储介质中,如ROM/RAM、磁碟、光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本申请各个实施例或者实施例的某些部分所述的方法。
以上对本申请所提供的一种内生安全的网络功能基础平台及数据处理方法进行了详细介绍,本文中应用了具体个例对本申请的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本申请的方法及其核心思想;同时,对于本领域的一般技术人员,依据本申请的思想,在具体实施方式及应用范围上均会有改变之处,综上所述,本说明书内容不应理解为对本申请的限制。
Claims (10)
1.一种内生安全的网络功能基础平台,其特征在于,包括:数据包分发器、裁决器和多个结构不同且功能相同的数据包处理功能体;
所述数据包分发器,用于在接收到数据包时,将接收到的数据包复制成多个相同的数据包,并将多个相同的数据包分发给多个所述数据包处理功能体;
所述数据包处理功能体,用于对所述数据包进行处理,得到处理结果,并输出所述处理结果;
所述裁决器,用于接收多个所述数据包处理功能体输出的处理结果,并对多个所述数据包处理功能体输出的处理结果进行裁决,得到裁决结果。
2.根据权利要求1所述的内生安全的网络功能基础平台,其特征在于,所述内生安全的网络功能基础平台,还包括:
调度器,用于将所述裁决结果反馈给多个所述数据包处理功能体;
所述数据包处理功能体,还用于比较所述裁决结果和自身输出的处理结果是否一致,若不一致,则对自身进行清洗和修复。
3.根据权利要求2所述的内生安全的网络功能基础平台,其特征在于,所述调度器,还用于将所述裁决结果反馈给所述数据包分发器;
所述数据包分发器,还用于依据所述裁决结果,调整数据包分发策略,并在接收到下一个数据包时,依据调整后的数据包分发策略进行数据包分发。
4.根据权利要求1所述的内生安全的网络功能基础平台,其特征在于,各个所述数据包处理功能体均包括至少一个解析器、至少一个入口流水线、至少一个出口流水线和至少一个逆解析器,各个所述数据包处理功能体中解析器、入口流水线、出口流水线和逆解析器之间的编排不同;
所述解析器,用于解析并提取所述数据包的包头的各个字段;
所述入口流水线,用于依据所述解析器输出的结果,对所述数据包中的数据进行入口流水线处理,得到第一数据;
所述出口流水线,用于依据所述解析器输出的结果,对所述数据包中的数据进行出口流水线处理,得到第二数据;
所述逆解析器,用于依据所述数据包的包头的各个字段、所述第一数据和所述第二数据,重组得到数据包。
5.根据权利要求4所述的内生安全的网络功能基础平台,其特征在于,任意一个或多个所述数据包处理功能体中所述解析器、所述入口流水线、所述出口流水线和所述逆解析器中一个或多个为异构冗余结构;
在所述解析器为异构冗余结构时,所述解析器包括:第一分发模块、多个结构不同且功能相同的解析模块和第一裁决模块;
所述第一分发模块,用于在接收到数据包时,将接收到的数据包复制成多个相同的数据包,并将多个相同的数据包分发给多个所述解析模块;
所述解析模块,用于解析并提取所述数据包的包头的各个字段;
所述第一裁决模块,用于对多个所述解析模块输出的结果进行裁决,得到第一裁决结果,并输出所述第一裁决结果;
在所述入口流水线为异构冗余结构时,所述入口流水线包括:第二分发模块、多个结构不同且功能相同的入口流水线模块和第二裁决模块;
所述第二分发模块,用于对所述解析器输出的结果及所述数据包中的数据进行复制,并将复制的所述解析器输出的结果及所述数据包中的数据分发给多个所述入口流水线模块;
所述入口流水线模块,用于依据所述解析器输出的结果,对所述数据包中的数据进行入口流水线处理,得到第一处理结果;
所述第二裁决模块,用于对多个所述第一处理结果进行裁决,得到第二裁决结果,并输出所述第二裁决结果;
在所述出口流水线为异构冗余结构时,所述出口流水线包括:第三分发模块、多个结构不同且功能相同的出口流水线模块和第三裁决模块;
所述第三分发模块,用于对所述解析器输出的结果及所述数据包中的数据进行复制,并将复制的所述解析器输出的结果及所述数据包中的数据分发给多个所述出口流水线模块;
所述出口流水线模块,用于依据所述解析器输出的结果,对所述数据包中的数据进行出口流水线处理,得到第二处理结果;
所述第三裁决模块,用于对多个所述第二处理结果进行裁决,得到第三裁决结果,并输出所述第三裁决结果;
在所述逆解析器为异构冗余结构时,所述逆解析器包括:第四分发模块、多个结构不同且功能相同的逆解析模块和第四裁决模块;
所述第四分发模块,用于对所述解析器输出的结果、所述入口流水线输出的结果及所述出口流水线输出的结果进行复制,并将复制的所述解析器输出的结果、所述入口流水线输出的结果及所述出口流水线输出的结果分发给多个所述逆解析模块;
所述逆解析模块,用于依据所述解析器输出的结果、所述入口流水线输出的结果及所述出口流水线输出的结果,重组得到数据包;
所述第四裁决模块,用于对多个所述逆解析模块重组得到的数据包进行裁决,得到第四裁决结果,并输出所述第四裁决结果。
6.一种数据包处理方法,其特征在于,基于内生安全的网络功能基础平台,所述内生安全的网络功能基础平台包括:数据包分发器、裁决器和多个结构不同且功能相同的数据包处理功能体;
所述数据包分发器在接收到数据包时,将接收到的数据包复制成多个相同的数据包,并将多个相同的数据包分发给多个所述数据包处理功能体;
所述数据包处理功能体对所述数据包进行处理,得到处理结果,并输出所述处理结果;
所述裁决器接收多个所述数据包处理功能体输出的处理结果,并对多个所述数据包处理功能体输出的处理结果进行裁决,得到裁决结果。
7.根据权利要求6所述的方法,其特征在于,在所述内生安全的网络功能基础平台还包括调度器的情况下,所述方法还包括:
所述调度器将所述裁决结果反馈给多个所述数据包处理功能体;
所述数据包处理功能体比较所述裁决结果和自身输出的处理结果是否一致,若不一致,则对自身进行清洗和修复。
8.根据权利要求7所述的方法,其特征在于,所述方法还包括:
所述调度器将所述裁决结果反馈给所述数据包分发器;
所述数据包分发器依据所述裁决结果,调整数据包分发策略,并在接收到下一个数据包时,依据调整后的数据包分发策略进行数据包分发。
9.根据权利要求6所述的方法,其特征在于,在各个所述数据包处理功能体均包括至少一个解析器、至少一个入口流水线、至少一个出口流水线和至少一个逆解析器,各个所述数据包处理功能体中解析器、入口流水线、出口流水线和逆解析器之间的编排不同的情况下,所述数据包处理功能体对所述数据包进行处理,得到处理结果,并输出所述处理结果的过程,包括:
所述解析器解析并提取所述数据包的包头的各个字段;
所述入口流水线依据所述解析器输出的结果,对所述数据包中的数据进行入口流水线处理,得到第一数据;
所述出口流水线依据所述解析器输出的结果,对所述数据包中的数据进行出口流水线处理,得到第二数据;
所述逆解析器依据所述数据包的包头的各个字段、所述第一数据和所述第二数据,重组得到数据包。
10.根据权利要求9所述的方法,其特征在于,在任意一个或多个所述数据包处理功能体中所述解析器、所述入口流水线、所述出口流水线和所述逆解析器中一个或多个为异构冗余结构的情况下:
当在所述解析器为异构冗余结构时,所述解析器包括:第一分发模块、多个结构不同且功能相同的解析模块和第一裁决模块时,所述解析器解析并提取所述数据包的包头的各个字段的过程,包括:
所述第一分发模块在接收到数据包时,将接收到的数据包复制成多个相同的数据包,并将多个相同的数据包分发给多个所述解析模块;
所述解析模块解析并提取所述数据包的包头的各个字段;
所述第一裁决模块对多个所述解析模块输出的结果进行裁决,得到第一裁决结果,并输出所述第一裁决结果;
当在所述入口流水线为异构冗余结构时,所述入口流水线包括:第二分发模块、多个结构不同且功能相同的入口流水线模块和第二裁决模块时,所述入口流水线依据所述解析器输出的结果,对所述数据包中的数据进行入口流水线处理,得到第一数据的过程,包括;
所述第二分发模块,用于对所述解析器输出的结果及所述数据包中的数据进行复制,并将复制的所述解析器输出的结果及所述数据包中的数据分发给多个所述入口流水线模块;
所述入口流水线模块,用于依据所述解析器输出的结果,对所述数据包中的数据进行入口流水线处理,得到第一处理结果;
所述第二裁决模块,用于对多个所述第一处理结果进行裁决,得到第二裁决结果,并输出所述第二裁决结果;
当在所述出口流水线为异构冗余结构时,所述出口流水线包括:第三分发模块、多个结构不同且功能相同的出口流水线模块和第三裁决模块时,所述出口流水线依据所述解析器输出的结果,对所述数据包中的数据进行出口流水线处理,得到第二数据的过程,包括:
所述第三分发模块,用于对所述解析器输出的结果及所述数据包中的数据进行复制,并将复制的所述解析器输出的结果及所述数据包中的数据分发给多个所述出口流水线模块;
所述出口流水线模块,用于依据所述解析器输出的结果,对所述数据包中的数据进行出口流水线处理,得到第二处理结果;
所述第三裁决模块,用于对多个所述第二处理结果进行裁决,得到第三裁决结果,并输出所述第三裁决结果;
当在所述逆解析器为异构冗余结构时,所述逆解析器包括:第四分发模块、多个结构不同且功能相同的逆解析模块和第四裁决模块时,所述逆解析器依据所述数据包的包头的各个字段、所述第一数据和所述第二数据,重组得到数据包的过程,包括:
所述第四分发模块,用于对所述解析器输出的结果、所述入口流水线输出的结果及所述出口流水线输出的结果进行复制,并将复制的所述解析器输出的结果、所述入口流水线输出的结果及所述出口流水线输出的结果分发给多个所述逆解析模块;
所述逆解析模块,用于依据所述解析器输出的结果、所述入口流水线输出的结果及所述出口流水线输出的结果,重组得到数据包;
所述第四裁决模块,用于对多个所述逆解析模块重组得到的数据包进行裁决,得到第四裁决结果,并输出所述第四裁决结果。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201911382789.0A CN111107098B (zh) | 2019-12-27 | 2019-12-27 | 一种内生安全的网络功能基础平台及数据处理方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201911382789.0A CN111107098B (zh) | 2019-12-27 | 2019-12-27 | 一种内生安全的网络功能基础平台及数据处理方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN111107098A true CN111107098A (zh) | 2020-05-05 |
CN111107098B CN111107098B (zh) | 2022-03-01 |
Family
ID=70423492
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201911382789.0A Active CN111107098B (zh) | 2019-12-27 | 2019-12-27 | 一种内生安全的网络功能基础平台及数据处理方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN111107098B (zh) |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN112134895A (zh) * | 2020-09-27 | 2020-12-25 | 中国人民解放军战略支援部队信息工程大学 | 一种内生安全的网络数据流处理方法 |
CN112417458A (zh) * | 2020-11-18 | 2021-02-26 | 中国人民解放军战略支援部队信息工程大学 | 一种内生安全的网络数据报文可编程处理装置 |
CN115955365A (zh) * | 2023-03-14 | 2023-04-11 | 之江实验室 | 一种内生安全的网络编译系统及方法 |
Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109413024A (zh) * | 2018-08-27 | 2019-03-01 | 华东计算技术研究所(中国电子科技集团公司第三十二研究所) | 异构功能等价体多模判决结果的逆向数据校验方法及系统 |
CN110177084A (zh) * | 2019-04-04 | 2019-08-27 | 上海红阵信息科技有限公司 | 用于防御网络攻击的分布式存储系统元服务结构、构建方法及系统架构 |
CN110177080A (zh) * | 2019-04-18 | 2019-08-27 | 中国人民解放军战略支援部队信息工程大学 | 拟态交换机、网络设备及系统 |
US10440048B1 (en) * | 2018-11-05 | 2019-10-08 | Peking University Shenzhen Graduate School | Anti-attacking modelling for CMD systems based on GSPN and Martingale theory |
CN110445787A (zh) * | 2019-08-09 | 2019-11-12 | 华东计算技术研究所(中国电子科技集团公司第三十二研究所) | 基于dhr架构拟态防御平台的异构性测试装置及方法 |
CN110611672A (zh) * | 2019-09-17 | 2019-12-24 | 中国人民解放军战略支援部队信息工程大学 | 网络空间安全防护方法、服务器设备、节点设备及系统 |
-
2019
- 2019-12-27 CN CN201911382789.0A patent/CN111107098B/zh active Active
Patent Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109413024A (zh) * | 2018-08-27 | 2019-03-01 | 华东计算技术研究所(中国电子科技集团公司第三十二研究所) | 异构功能等价体多模判决结果的逆向数据校验方法及系统 |
US10440048B1 (en) * | 2018-11-05 | 2019-10-08 | Peking University Shenzhen Graduate School | Anti-attacking modelling for CMD systems based on GSPN and Martingale theory |
CN110177084A (zh) * | 2019-04-04 | 2019-08-27 | 上海红阵信息科技有限公司 | 用于防御网络攻击的分布式存储系统元服务结构、构建方法及系统架构 |
CN110177080A (zh) * | 2019-04-18 | 2019-08-27 | 中国人民解放军战略支援部队信息工程大学 | 拟态交换机、网络设备及系统 |
CN110445787A (zh) * | 2019-08-09 | 2019-11-12 | 华东计算技术研究所(中国电子科技集团公司第三十二研究所) | 基于dhr架构拟态防御平台的异构性测试装置及方法 |
CN110611672A (zh) * | 2019-09-17 | 2019-12-24 | 中国人民解放军战略支援部队信息工程大学 | 网络空间安全防护方法、服务器设备、节点设备及系统 |
Non-Patent Citations (2)
Title |
---|
ZHAOQI WU1 ETAL: "《Heterogeneous Executors Scheduling Algorithm for Mimic Defense Systems》", 《2019 IEEE 2ND INTERNATIONAL CONFERENCE ON COMPUTER AND COMMUNICATION ENGINEERING TECHNOLOGY-CCET》 * |
刘福刚: "动态异构冗余拟态安全控制器模型的仿真分析", 《长春师范大学学报》 * |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN112134895A (zh) * | 2020-09-27 | 2020-12-25 | 中国人民解放军战略支援部队信息工程大学 | 一种内生安全的网络数据流处理方法 |
CN112417458A (zh) * | 2020-11-18 | 2021-02-26 | 中国人民解放军战略支援部队信息工程大学 | 一种内生安全的网络数据报文可编程处理装置 |
CN112417458B (zh) * | 2020-11-18 | 2023-03-31 | 中国人民解放军战略支援部队信息工程大学 | 一种内生安全的网络数据报文可编程处理装置 |
CN115955365A (zh) * | 2023-03-14 | 2023-04-11 | 之江实验室 | 一种内生安全的网络编译系统及方法 |
Also Published As
Publication number | Publication date |
---|---|
CN111107098B (zh) | 2022-03-01 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN111107098B (zh) | 一种内生安全的网络功能基础平台及数据处理方法 | |
CN107291538B (zh) | 面向任务的拟态云构建方法及基于拟态云的任务调度方法、装置、系统 | |
Clement et al. | On the (limited) power of non-equivocation | |
US8010846B1 (en) | Scalable self-checking processing platform including processors executing both coupled and uncoupled applications within a frame | |
Antverg et al. | On the pitfalls of analyzing individual neurons in language models | |
CN109413024B (zh) | 异构功能等价体多模判决结果的逆向数据校验方法及系统 | |
CN112289382B (zh) | 多倍体基因组同源染色体的拆分方法、装置及其应用 | |
Ashley | An algorithm for http bot detection | |
WO2021088703A1 (zh) | 区块生成方法、设备和存储介质 | |
CN110881059A (zh) | 一种应用部署系统、方法、发布引擎及计算机设备 | |
CN112019557A (zh) | 一种数据处理方法及装置 | |
Cramer et al. | Empirical cognitive study on abstract argumentation semantics | |
CN112398949A (zh) | 交易确认方法、系统、装置和计算机设备 | |
CN115955365A (zh) | 一种内生安全的网络编译系统及方法 | |
US11405374B2 (en) | System and method for automatic mitigation of leaked credentials in computer networks | |
US20220058641A1 (en) | Device and method for processing data of transactions based on block chain, and storage medium | |
Zhang et al. | Optimal fuzzy reasoning and its robustness analysis | |
US20060218382A1 (en) | Data processing disorder preventing method | |
Curtis | Construction of an Exome‐Wide Risk Score for Schizophrenia Based on a Weighted Burden Test | |
Sauber et al. | A novel hadoop security model for addressing malicious collusive workers | |
Wang et al. | Security-driven task scheduling for multiprocessor system-on-chips with performance constraints | |
CN114363037B (zh) | 基于拟态特定场景下的强裁决方法、系统、架构及介质 | |
US7461289B2 (en) | System and method for computer service security | |
CN114257519B (zh) | 多功能等价执行体系统的异构度评估方法及装置 | |
CN117527268B (zh) | 一种基于区块链的多方数字证书验证方法与系统 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |