CN111641625B - 异构功能等价执行体归一化装置、方法、架构及存储介质 - Google Patents
异构功能等价执行体归一化装置、方法、架构及存储介质 Download PDFInfo
- Publication number
- CN111641625B CN111641625B CN202010448716.3A CN202010448716A CN111641625B CN 111641625 B CN111641625 B CN 111641625B CN 202010448716 A CN202010448716 A CN 202010448716A CN 111641625 B CN111641625 B CN 111641625B
- Authority
- CN
- China
- Prior art keywords
- normalization
- heterogeneous
- function equivalent
- executive body
- isomeric
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1466—Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Information Transfer Between Computers (AREA)
Abstract
本发明提出一种异构功能等价执行体归一化装置、方法、架构及存储介质,该方法包括以下步骤:各个异构功能等价执行体接收到外部Client发送的同步请求后,主动从异构功能等价执行体归一化模块获取归一化参数;各个异构功能等价执行体获取到归一化参数后,将生成的内容一致的同步请求应答报文返回至外部Client;各个异构功能等价执行体收到外部Client收到各个异构功能等价执行体的同步请求应答报文后,回复确认送达数据报文至各个异构功能等价执行体,即可完成异构功能等价执行体的参数归一化。其中,异构功能等价执行体归一化模块包括用于产生异构功能等价执行体所需的归一化参数的归一化参数提供单元和通信接口单元。
Description
技术领域
本发明涉及拟态防御领域,具体涉及一种异构功能等价执行体归一化装置、方法、架构及存储介质。
背景技术
拟态防御的主要技术特征是其构建的动态异构冗余(DHR)构造,此构造由输入代理、异构功能等价执行体池、输出代理与裁决、反馈控制器四部分组成。其中,异构功能等价执行体在硬件层面通常采用不同架构的CPU进行设计,在软件层面则往往通过构建不同类型的操作系统来实现上层应用软件的异构环境。异构功能等价执行体应具备功能等价条件,但在实际应用中由于操作系统以及应用协议某些参数的随机性,往往会造成应用程序在不同执行体上有不同的输出,从而造成异构功能等价执行体失去功能等价的特性。
发明内容
本发明的目的是提供一种异构功能等价执行体归一化装置、方法、架构及存储介质。
为了实现上述目的,本发明第一方面提供了一种异构功能等价执行体归一化模块,其特征在于,该模块包括:
归一化参数提供单元,用于产生异构功能等价执行体所需的归一化参数;
通信接口单元,用于建立该异构功能等价执行体归一化模块与异构功能等价执行体的通信连接,用以接收所述异构功能等价执行体的归一化请求,及将所述归一化参数输出至所述异构功能等价执行体。
基于上述,所述归一化参数提供单元包括TCP认证模块、SSL认证模块、加密函数模块和随机函数模块中的一种或多种组合。
基于上述,所述通信接口单元为单向输出接口单元。
基于上述,所述通信接口单元采用SPI、I2C、PCIE和串口中的一种或多种组合。
基于上述,所述归一化参数提供单元通过裸程序、FPGA逻辑编程或者专有芯片的方式实现参数归一。
本发明第二方面提供了一种异构功能等价执行体归一化方法,其特征在于,该方法包括以下步骤:各个异构功能等价执行体接收到外部Client发送的同步请求后,主动从所述的异构功能等价执行体归一化模块获取归一化参数;
各个异构功能等价执行体获取到归一化参数后,将生成的内容一致的同步请求应答报文返回至外部Client;
外部Client收到各个异构功能等价执行体的同步请求应答报文后,回复确认送达数据报文至各个异构功能等价执行体,即可完成异构功能等价执行体的参数归一化。
本发明第三方面提供了一种异构功能等价执行体归一化装置,该装置包括所述的异构功能等价执行体归一化模块;
所述异构功能等价执行体归一化模块,在收到各个待归一化的异构功能等价执行体在接收到外部Client发送的同步请求后生成的归一化请求后,生成归一化参数并输出至所述异构功能等价执行体;
各个待归一化的异构功能等价执行体获取到归一化参数后,将生成的内容一致的同步请求应答报文返回至外部Client;
外部Client收到各个异构功能等价执行体的同步请求应答报文后,回复确认送达数据报文至各个异构功能等价执行体,即可完成异构功能等价执行体的参数归一化。
基于上述,所述归一化参数提供单元在接到所有在线的异构功能等价执行体的获取请求后,才会生成归一化参数。
本发明第三方面提供了一种拟态防御架构,包括输入代理、输出代理、异构功能等价执行体、反馈控制器与裁决器,还包括所述的异构功能等价执行体归一化装置,用以实现异构功能等价执行体的参数归一化。
基于上述,所述异构功能等价执行体归一化装置为独立模块或集成于所述反馈控制器中。
本发明第四方面提供了一种计算机可读存储介质,其上存储有计算机指令,该计算机指令被处理器执行时实现所述异构功能等价执行体归一化方法的步骤。
本发明相对现有技术具有突出的实质性特点和显著的进步,具体地说,本发明所提供的异构功能等价执行体归一化装置,通过设置归一化参数提供单元向异构功能等价执行体提供所需的归一化参数,解决了异构功能等价执行体因操作系统的多样性带来的功能等价不一致问题,保证了多个异构功能等价执行体无论是底层驱动(协议栈)还是上层应用都能获取到一致的参数,以此来实现多个异构功能等价执行体完整的功能等价。
附图说明
图1本发明实施例1提供的异构功能等价执行体归一化装置的设计框图。
图2本发明实施例2提供的异构功能等价执行体归一化方法流程框图。
图3本发明实施例3提供的异构功能等价执行体归一化方法流程框图。
图4本发明实施例4提供的拟态防御架构框图。
具体实施方式
实施例1
本实施例提供了一种异构功能等价执行体归一化模块,如图1所示,该模块包括:
归一化参数提供单元,用于产生异构功能等价执行体所需的归一化参数;
通信接口单元,用于建立该异构功能等价执行体归一化模块与异构功能等价执行体的通信连接,用以接收所述异构功能等价执行体的归一化请求,及将所述归一化参数输出至所述异构功能等价执行体。
具体的,所述归一化参数提供单元包括TCP认证模块、SSL认证模块、加密函数模块和随机函数模块中的一种或多种组合,特别的还有其它所需的归一化函数;在具体实现时,所述归一化参数提供单元还设置控制管理模块,接收所述异构功能等价执行体的归一化请求后,调用相应的模块中的随机化函数、TCP协议认证、SSL认证、加密函数、时间函数等生成各个异构功能等价执行体无法保证一致的参数。
为了保证异构功能等价执行体归一化模块的安全性,异构功能等价执行体归一化模块应尽量避免通过网络的方式与异构功能等价执行体之间通信,可以采用SPI、I2C、PCIE和串口中的一种或多种组合,并且将所述通信接口单元设置为单向输出接口单元,使异构功能等价执行体只能从异构功能等价执行体归一化模块获取数据,尽量避免异构功能等价执行体向异构功能等价执行体归一化模块发送数据。
进一步的,异构功能等价执行体归一化模块应尽量设计简单,可以通过裸程序、FPGA逻辑编程或者专有芯片的方式实现参数归一,以此来实现攻击不可达。
实施例2
本实施例提供了一种异构功能等价执行体归一化方法,如图2所示,该方法包括以下步骤:各个异构功能等价执行体接收到外部Client发送的同步请求后,主动从所述的异构功能等价执行体归一化装置获取归一化参数;
各个异构功能等价执行体获取到归一化参数后,生成内容一致的同步请求应答报文返回至外部Client;同步请求应答报文中的归一化参数是从异构功能等价执行体归一化装置处统一获取的,以此保证多个异构功能等价执行体发送的同步请求应答报文内容是完全一致的;
外部Client收到各个异构功能等价执行体的同步请求应答报文后,回复确认送达数据报文至各个异构功能等价执行体,即可完成异构功能等价执行体的参数归一化。
特别的,为了保证多个异构功能等价执行体获取到相同的归一化参数,所述归一化参数提供单元在接到所有在线的异构功能等价执行体的获取请求后,才会生成归一化参数。进一步地,当在T时间范围内,归一化参数提供单元如果未收到某个异构功能等价执行体的获取请求,归一化参数提供单元向反馈控制模块进行异常信息上报,此时,反馈控制模块可以将异常的异构功能等价执行体进行下线清洗;
优选地,外部Client回复的确认送达数据报文可以经分发代理模块直接复制分发给各个异构功能等价执行体。
实施例3
本实施例提供了一种针对TCP协议的异构功能等价执行体归一化方法,处理流程如图3所示:
(1)异构功能等价执行体(TCP协议栈)接收外部Client发送的TCP同步请求,其中,分发代理模块发送给每个异构功能等价执行体的报文内容应是相同的;
(2)异构功能等价执行体(TCP协议栈)接收到TCP同步请求报文后,主动从归一化参数提供单元处获取SEQ值;其中,归一化参数提供单元必须在接到所有在线的异构功能等价执行体的SEQ值请求后,才会发布SEQ值;当在T时间(根据具体应用进行制定,一般应为协议重传时间RT×70%)范围内,归一化参数提供单元如果未收到某个异构功能等价执行体的SEQ值请求,则向反馈控制模块进行异常信息上报,此时,反馈控制模块将异常的异构功能等价执行体进行下线清洗;
(3)异构功能等价执行体(TCP协议栈)从归一化单元处获取到SEQ值后,向外部Client发送同步请求应答报文;
(4)外部Client收到异构功能等价执行体(TCP协议栈)发送的同步请求应答报文后,通过分发代理模块将ACK数据报文简单地复制分发给各个异构功能等价执行体,即可完成异构功能等价执行体的TCP协议参数归一化。
实施例4
本发明第三方面提供了一种异构功能等价执行体归一化装置,该装置包括所述的异构功能等价执行体归一化模块;
所述异构功能等价执行体归一化模块,在收到各个待归一化的异构功能等价执行体在接收到外部Client发送的同步请求后生成的归一化请求后,生成归一化参数并输出至所述异构功能等价执行体;
各个待归一化的异构功能等价执行体获取到归一化参数后,将生成的内容一致的同步请求应答报文返回至外部Client;
外部Client收到各个异构功能等价执行体的同步请求应答报文后,回复确认送达数据报文至各个异构功能等价执行体,即可完成异构功能等价执行体的参数归一化。
特别的,为了保证多个异构功能等价执行体获取到相同的归一化参数,所述归一化参数提供单元在接到所有在线的异构功能等价执行体的获取请求后,才会生成归一化参数。进一步地,当在T时间范围内,归一化参数提供单元如果未收到某个异构功能等价执行体的获取请求,归一化参数提供单元向反馈控制模块进行异常信息上报,此时,反馈控制模块可以将异常的异构功能等价执行体进行下线清洗;
优选地,外部Client回复的确认送达数据报文可以经分发代理模块直接复制分发给各个异构功能等价执行体。
实施例5
本实施例提供了一种拟态防御架构,如图4所示,包括输入代理、输出代理、异构功能等价执行体、反馈控制器与裁决器,还包括所述的异构功能等价执行体归一化装置,用以实现异构功能等价执行体的参数归一化。
进一步地,所述异构功能等价执行体归一化装置为独立模块或集成于所述反馈控制器中。
实施例6
本实施例提供了一种计算机可读存储介质,其上存储有计算机指令,该计算机指令被处理器执行时实现所述异构功能等价执行体归一化方法的步骤。
本领域普通技术人员可以意识到,结合本文中所公开的实施例描述的各示例的单元及方法步骤,能够以电子硬件、或者计算机软件和电子硬件的结合来实现。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本申请的范围。
在本申请各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。
上述集成的模块如果以软件功能单元的形式实现并作为独立的产品销售或使用时,还可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请实现上述实施例方法中的全部或部分流程,也可以通过计算机程序来指令相关的硬件来完成,上述的计算机程序可存储于计算机可读存储介质中,该计算机程序在被处理器执行时,可实现上述各个方法实施例的步骤。其中,上述计算机程序包括计算机程序代码,上述计算机程序代码可以为源代码形式、对象代码形式、可执行文件或某些中间形式等。
以上所述,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应以所述权利要求的保护范围为准。
Claims (9)
1.一种异构功能等价执行体归一化模块,其特征在于,该模块包括:
归一化参数提供单元,用于产生异构功能等价执行体所需的归一化参数;
通信接口单元,用于建立该异构功能等价执行体归一化模块与异构功能等价执行体的通信连接,用以接收所述异构功能等价执行体的归一化请求,及将所述归一化参数输出至所述异构功能等价执行体;
所述归一化参数提供单元包括TCP认证模块、SSL认证模块、加密函数模块和随机函数模块。
2.根据权利要求1所述的异构功能等价执行体归一化模块,其特征在于:所述通信接口单元采用SPI、I2C、PCIE和串口。
3.根据权利要求2所述的异构功能等价执行体归一化模块,其特征在于:所述通信接口单元为单向输出接口单元。
4.根据权利要求1所述的异构功能等价执行体归一化模块,其特征在于:所述归一化参数提供单元通过裸程序、FPGA逻辑编程或者专有芯片的方式实现。
5.一种异构功能等价执行体归一化方法,其特征在于,该方法包括以下步骤:各个异构功能等价执行体接收到外部Client发送的同步请求后,主动从权利要求1-4任一项所述的异构功能等价执行体归一化模块获取归一化参数;
各个异构功能等价执行体获取到归一化参数后,将生成的内容一致的同步请求应答报文返回至外部Client;
外部Client收到各个异构功能等价执行体的同步请求应答报文后,回复确认送达数据报文至各个异构功能等价执行体,即可完成异构功能等价执行体的参数归一化。
6.一种异构功能等价执行体归一化装置,其特征在于:该装置包括权利要求1-4任一项所述的异构功能等价执行体归一化模块;
所述异构功能等价执行体归一化模块,在收到各个待归一化的异构功能等价执行体在接收到外部Client发送的同步请求后生成的归一化请求后,生成归一化参数并输出至所述异构功能等价执行体;
各个待归一化的异构功能等价执行体获取到归一化参数后,将生成的内容一致的同步请求应答报文返回至外部Client;
外部Client收到各个异构功能等价执行体的同步请求应答报文后,回复确认送达数据报文至各个异构功能等价执行体,即可完成异构功能等价执行体的参数归一化。
7.根据权利要求6所述的异构功能等价执行体归一化装置,其特征在于:所述归一化参数提供单元在接到所有在线的异构功能等价执行体的获取请求后,才会生成归一化参数。
8.一种拟态防御架构,包括输入代理、输出代理、异构功能等价执行体、反馈控制器与裁决器,其特征在于:还包括权利要求6-7任一项所述的异构功能等价执行体归一化装置,用以实现异构功能等价执行体的参数归一化。
9.一种计算机可读存储介质,其上存储有计算机指令,其特征在于,该计算机指令被处理器执行时实现权利要求5所述异构功能等价执行体归一化方法的步骤。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010448716.3A CN111641625B (zh) | 2020-05-25 | 2020-05-25 | 异构功能等价执行体归一化装置、方法、架构及存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010448716.3A CN111641625B (zh) | 2020-05-25 | 2020-05-25 | 异构功能等价执行体归一化装置、方法、架构及存储介质 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN111641625A CN111641625A (zh) | 2020-09-08 |
CN111641625B true CN111641625B (zh) | 2022-03-25 |
Family
ID=72332915
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202010448716.3A Active CN111641625B (zh) | 2020-05-25 | 2020-05-25 | 异构功能等价执行体归一化装置、方法、架构及存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN111641625B (zh) |
Families Citing this family (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN114125077B (zh) * | 2022-01-26 | 2022-05-03 | 之江实验室 | 一种实现多执行体tcp会话归一化的方法和装置 |
CN117729274A (zh) * | 2024-02-07 | 2024-03-19 | 之江实验室 | 报文处理的方法、装置、设备及可读存储介质 |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106656834A (zh) * | 2016-11-16 | 2017-05-10 | 上海红阵信息科技有限公司 | Is‑is路由协议异构功能等价体并行归一化装置及方法 |
WO2018059186A1 (zh) * | 2016-09-27 | 2018-04-05 | 上海红阵信息科技有限公司 | 一种封装异构功能等价体的装置、方法及设备 |
CN110166435A (zh) * | 2019-04-18 | 2019-08-23 | 杭州电子科技大学 | 采用负载均衡进行动态调度的拟态Web网关系统及方法 |
CN110177084A (zh) * | 2019-04-04 | 2019-08-27 | 上海红阵信息科技有限公司 | 用于防御网络攻击的分布式存储系统元服务结构、构建方法及系统架构 |
CN110187869A (zh) * | 2019-05-14 | 2019-08-30 | 上海直真君智科技有限公司 | 一种大数据异构存储计算模型间的统一互操作系统及方法 |
-
2020
- 2020-05-25 CN CN202010448716.3A patent/CN111641625B/zh active Active
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2018059186A1 (zh) * | 2016-09-27 | 2018-04-05 | 上海红阵信息科技有限公司 | 一种封装异构功能等价体的装置、方法及设备 |
CN106656834A (zh) * | 2016-11-16 | 2017-05-10 | 上海红阵信息科技有限公司 | Is‑is路由协议异构功能等价体并行归一化装置及方法 |
CN110177084A (zh) * | 2019-04-04 | 2019-08-27 | 上海红阵信息科技有限公司 | 用于防御网络攻击的分布式存储系统元服务结构、构建方法及系统架构 |
CN110166435A (zh) * | 2019-04-18 | 2019-08-23 | 杭州电子科技大学 | 采用负载均衡进行动态调度的拟态Web网关系统及方法 |
CN110187869A (zh) * | 2019-05-14 | 2019-08-30 | 上海直真君智科技有限公司 | 一种大数据异构存储计算模型间的统一互操作系统及方法 |
Non-Patent Citations (1)
Title |
---|
面向拟态安全防御的异构功能等价体调度算法;刘勤让等;《通信学报》;20180731;全文 * |
Also Published As
Publication number | Publication date |
---|---|
CN111641625A (zh) | 2020-09-08 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US20220231869A1 (en) | Cross-blockchain mutual data storage | |
CN110545260B (zh) | 一种基于拟态构造的云管理平台构建方法 | |
CN111641625B (zh) | 异构功能等价执行体归一化装置、方法、架构及存储介质 | |
CN110413424B (zh) | 可配置的第三方消息回调方法、装置、服务器和存储介质 | |
CN110503433B (zh) | 一种区块链中背书的实现方法、装置、设备和介质 | |
US7685630B2 (en) | Methods and systems for providing scalable authentication | |
US20130305049A1 (en) | Secure message transfer and storage | |
EP3554037A1 (en) | Downlink media transmission control method and related device | |
JP6977872B2 (ja) | 仮想ブロックチェーンシステム、データ管理方法及びプログラム | |
CN102404326B (zh) | 一种验证报文安全性的方法、系统以及装置 | |
US9444629B2 (en) | Dual layer transport security configuration | |
KR102196478B1 (ko) | 블록체인 기반 인공 지능 로봇 자동화 소프트웨어 실행 결과물의 신뢰성 검증 서비스 제공 방법 및 시스템 | |
CN110730224B (zh) | 一种数据报送的方法及装置 | |
CN113378151A (zh) | 基于拟态构造的统一身份认证系统及认证方法 | |
CN104537284B (zh) | 一种基于远程服务的软件保护系统和方法 | |
CN105933271B (zh) | 一种基于加密机的数据处理方法及装置 | |
US20230185901A1 (en) | Data processing method, host, and apparatus | |
CN110585717B (zh) | 一种信息处理方法及装置 | |
EP3346671B1 (en) | Service processing method and equipment | |
US20110202592A1 (en) | Use of Multiple Connections to Extend RADIUS Identifier Space | |
WO2020037607A1 (zh) | 一种传输数据的方法和装置 | |
CN111314393B (zh) | 基于区块链的数据处理方法、装置及设备 | |
CN108462681A (zh) | 一种异构网络的通信方法、设备及系统 | |
CN110808943B (zh) | 客户端连接应急管理方法、客户端及计算机可读存储介质 | |
JP6182779B1 (ja) | 転送装置、転送方法およびプログラム |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |