CN112953897A - 一种基于云计算设备的列控系统边缘安全节点的实现方法 - Google Patents

一种基于云计算设备的列控系统边缘安全节点的实现方法 Download PDF

Info

Publication number
CN112953897A
CN112953897A CN202110104354.0A CN202110104354A CN112953897A CN 112953897 A CN112953897 A CN 112953897A CN 202110104354 A CN202110104354 A CN 202110104354A CN 112953897 A CN112953897 A CN 112953897A
Authority
CN
China
Prior art keywords
cloud computing
control application
application area
security node
edge security
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202110104354.0A
Other languages
English (en)
Other versions
CN112953897B (zh
Inventor
唐涛
李开成
马连川
王艺伟
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing Jiaotong University
Original Assignee
Beijing Jiaotong University
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Jiaotong University filed Critical Beijing Jiaotong University
Priority to CN202110104354.0A priority Critical patent/CN112953897B/zh
Publication of CN112953897A publication Critical patent/CN112953897A/zh
Application granted granted Critical
Publication of CN112953897B publication Critical patent/CN112953897B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • H04L63/205Network architectures or network communication protocols for network security for managing network security; network security policies in general involving negotiation or determination of the one or more network security mechanisms to be used, e.g. by negotiation between the client and the server or between peers or by selection according to the capabilities of the entities involved
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/10Protocols in which an application is distributed across nodes in the network
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/12Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W4/00Services specially adapted for wireless communication networks; Facilities therefor
    • H04W4/30Services specially adapted for particular environments, situations or purposes
    • H04W4/40Services specially adapted for particular environments, situations or purposes for vehicles, e.g. vehicle-to-pedestrians [V2P]
    • H04W4/42Services specially adapted for particular environments, situations or purposes for vehicles, e.g. vehicle-to-pedestrians [V2P] for mass transport vehicles, e.g. buses, trains or aircraft
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W4/00Services specially adapted for wireless communication networks; Facilities therefor
    • H04W4/30Services specially adapted for particular environments, situations or purposes
    • H04W4/40Services specially adapted for particular environments, situations or purposes for vehicles, e.g. vehicle-to-pedestrians [V2P]
    • H04W4/44Services specially adapted for particular environments, situations or purposes for vehicles, e.g. vehicle-to-pedestrians [V2P] for communication between vehicles and infrastructures, e.g. vehicle-to-cloud [V2C] or vehicle-to-home [V2H]

Abstract

本发明提供了一种基于云计算设备的列控系统的边缘安全节点的实现方法。包括:在安全域的本地设备和非安全域的云计算设备之间设置边缘安全节点,本地设备和云计算设备之间通过边缘安全节点进行数据通信;边缘安全节点对其控制的若干个云计算设备起到输入输出、程序运行监视、表决器以及云计算设备失效后降级控制的作用。边缘安全节点位于地面或者位于列车上,位于地面的边缘安全节点通过冗余有线通信网络与云计算设备通信,位于列车上的边缘安全节点通过冗余无线移动通信网络与云计算设备通信。本发明通过边缘安全节点设计与实现,可以在强调故障安全特性的轨道交通列车运行控制系统中,应用非故障安全的、基于COTS软硬件技术的云计算技术。

Description

一种基于云计算设备的列控系统边缘安全节点的实现方法
技术领域
本发明涉及列车运行控制技术领域,尤其涉及一种基于云计算设备的列控系统边缘安全节点的实现方法。
背景技术
轨道交通作为国家经济发展的命脉,随着新一代产业变革的发展,以云计算、互联网、大数据、物联网、新能源和人工智能等为代表的新兴技术与轨道交通加速深度融合,高速化、智能化、互联互通将成为新一代轨道交通系统的发展方向。
目前我国城市化进程不断发展,人口数量急剧增加,人们对于出行的需求日益增大,轨道交通的运输能力不断增强。然而现在的CTCS(Chinese Train Control System,中国列车运行控制系统)和CBTC(Communication Based Train Control System,基于通信的列车控制系统)系统结构都是沿用传统信号设备设计的思路,对于不同运行控制功能采用不同的子系统,基于叠加式原则实现整个系统。如果新一代列控系统还是采用这种叠加式原则实现,会使得设备数量大大增加,设备数量的增加又导致计算能力需求的增加,与此同时设备的造价和能耗也会更高,然而成本增加、空间不足、能耗增加等问题又决定了轨道交通列控系统不能随意增加设备数量,由此限制了计算能力不能任意提高。在政策支持及飞速发展的社会推动下,亟需采用一种新的技术来适配当前轨道交通的急速发展现状。
随着互联网及信息技术的快速发展,衍生出一种通过网络将众多计算节点连接起来组成超级计算机的新型计算模式---云计算,云计算提供一种按需提供动态伸缩的廉价服务。它面对超大规模的分布式环境,核心是提供数据存储和网络服务。云计算具备海量存储能力,空间无限,资源灵活,能够减少设备数量,节约成本。其可扩展性强,能够根据用户的需求对规模进行动态扩展或缩小。具有强大的计算能力,能提高现有的计算使用率。除此之外云计算具有高可靠性,使用数据多副本容错以及计算节点同构可互换等方法来保证云计算服务的可靠性。
所以,将云计算技术应用于轨道交通列控系统乃至轨道交通信号系统是一种技术上的必然。基于云计算的列控系统在降低造价、节约能耗、减少设备复杂性等方面具有突出优势,但也存在以下不可避免的安全风险问题:
云计算的软硬件基础都是基于商用现货产品(Commercial Off-The-Shelf,COTS),云计算设备的计算结果并不符合相关安全标准对列控应用计算应在故障-安全环境下计算的要求,因此是典型的非故障安全计算环境。
另外,由于云计算环境中计算节点分布在广泛的物理位置或不同的虚拟机中,一些安全防御能力比较薄弱的计算节点很容易被入侵乃至劫持而可能成为恶意节点。这些恶意节点可能发送无效的或者错误的信息给系统中其它云计算设备节点,还可能联合系统中其它恶意节点欺骗系统中没有问题的云计算设备节点,而这种无效或错误的输入信息由于其很强的隐蔽性,从而产生错误的表决结果,即信息安全问题导致云计算条件下的拜占庭失效,会带来更为严重的安全性或可靠性方面的问题。
当云计算设备被恶意攻击或篡改时,可能导致的共因失效风险对使用云计算的控制系统的影响很大,可能导致多个设备的同时失效。
发明内容
本发明的实施例提供了一种基于云计算设备的列控系统边缘安全节点的实现方法,以克服现有技术的缺点。
为了实现上述目的,本发明采取了如下技术方案。
一种基于云计算设备的列控系统的边缘安全节点的实现方法,包括:
在安全域的本地设备和非安全域的云计算设备之间设置边缘安全节点,所述边缘安全节点将所述本地设备和所述云计算设备进行隔离,所述本地设备和所述云计算设备之间通过所述边缘安全节点进行数据通信;
边缘安全节点对其控制的若干个云计算设备起到输入输出、程序运行监视、表决器以及云计算设备失效后降级控制的作用。
优选地,所述边缘安全节点为符合轨道交通相关安全标准的安全设备,满足故障导向安全特性,位于地面或者位于列车上,位于地面的边缘安全节点通过冗余有线通信网络与云计算设备交互数据信息,位于列车上的边缘安全节点通过冗余无线移动通信网络与云计算设备交互数据信息。
优选地,根据权利要求1所述的方法,其特征在于,所述边缘安全节点控制的云计算设备的数量至少为2,所述云计算设备部署运行安全计算机平台相关程序及其承载的轨道交通列车运行控制应用程序,所述云计算设备的构成方式包括虚拟机方式、容器方式或裸金属服务器方式。
优选地,所述边缘安全节点控制的每一个云计算设备,依照其实现的虚拟机或容器或裸金属服务器的不同机制,按照所承载的轨道交通列车运行控制应用的不同而划分不同的列控应用区域块,每个云计算设备的列控应用区域块都是一个独立的故障区域遏制块。
优选地,所述边缘安全节点对其控制的若干个云计算设备的列控应用区域块实现输入输出、程序运行监视、表决器以及云计算设备失效后降级控制的功能。
优选地,所述边缘安全节点对其控制的云计算设备的列控应用区域块的输入输出功能包括将来自其自身或所控制的目标控制器OC的输入数据或输入数据索引发送给云计算设备的列控应用区域块,接收来自每个云计算设备的列控应用区域块的运算结果和程序运行签名数据,这些运算结果和加密程序运行动态签名数据经过边缘安全节点表决和逻辑判断正确后,供边缘安全节点自己使用或组成安全通信数据帧发送给其所控制的OC使用。
优选地,所述边缘安全节点对其控制的云计算设备的列控应用区域块的程序运行监视功能包括程序运行逻辑监视、程序运行时间监视和程序运行算力监视。
优选地,所述程序运行逻辑监视的实现原理是在程序设计阶段人工给边缘安全节点所控制的每个云计算设备上列控应用区域块运行的安全计算机平台相关程序及其承载的轨道交通列车运行控制应用程序的关键分支上打上加密程序运行签名,不同分支打上不同的加密程序运行签名,在程序运行的过程中,这些加密程序运行签名发送给边缘安全节点,边缘安全节点解密并检查这些程序运行签名是否正确,如果正确,说明云计算设备上列控应用区域块上程序运行正常;如果不正确,说明云计算设备上列控应用区域块异常,应启动相应的安全反应;
所述程序运行时间监视的实现原理在所述程序运行逻辑监视的基础上,按照时间触发机制,将周期的程序控制周期进一步划分为微周期,不同微周期执行的程序分支不同,程序运行签名也不一样,边缘安全节点在每个微周期的起点,通知其所控制的每个云计算设备上列控应用区域块运行的安全计算机平台相关程序及其承载的轨道交通列车运行控制应用程序,开始正确的微周期,并监控在本微周期结束前后一段合理的时间内这些程序能否正确应答执行完毕信息,一旦超过本微周期最大时长没有正确应答执行完毕,说明云计算设备上列控应用区域块异常,应启动相应的安全反应;
所述程序运行算力监视在所述程序运行逻辑监视、程序运行时间监视的基础上,缩短程序控制周期以及所包含的微周期的时间长度,让这些周期和微周期的时间长度达到程序正常运行的极限最小值。
优选地,所述边缘安全节点对其控制的云计算设备的表决器功能包括:边缘安全节点和其控制的云计算设备构成拜占庭容错关系,边缘安全节点起到指挥官commander的作用,每个云计算设备起到副职Lieutenant的作用,通过交互一致算法找出一般失效和拜占庭失效节点,并屏蔽一般失效和拜占庭失效节点的影响。
优选地,所述边缘安全节点对其控制的云计算设备失效后降级控制功能包括:一旦边缘安全节点判断其控制的云计算设备部分或全部失效,不足以支持正常的安全计算机平台相关程序及其承载的轨道交通列车运行控制应用程序,边缘安全节点执行降级的列车运行控制功能,保障其控制覆盖范围内的所有列车处于安全状态。
由上述本发明的实施例提供的技术方案可以看出,本发明实施例在不违反EN50129等安全相关标准规定的前提下,通过边缘安全节点设计与实现,达到了在强调故障安全特性的轨道交通列车运行控制系统中,应用非故障安全的、基于COTS软硬件技术的云计算技术的目的。
本发明附加的方面和优点将在下面的描述中部分给出,这些将从下面的描述中变得明显,或通过本发明的实践了解到。
附图说明
为了更清楚地说明本发明实施例的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例提供的一种边缘安全节点及其控制云计算设备和OC的系统整体框架结构图;
图2为本发明实施例提供的一种边缘安全节点同时控制2个云计算设备上的区域块的系统冗余结构;
图3为本发明实施例提供的一种边缘安全节点同时控制3个云计算设备上的区域块的系统冗余结构;
图4为本发明实施例提供的一种边缘安全节点同时控制4个云计算设备上的区域块的系统冗余结构;
图5为本发明实施例提供的一种边缘安全节点同时控制2个云计算设备上的云计算设备的列控应用区域块时拜占庭表决算法的实现原理;
图6为本发明实施例提供的一种边缘安全节点同时控制3个云计算设备上的云计算设备的列控应用区域块时拜占庭表决算法的实现原理;
图7为本发明实施例提供的一种边缘安全节点同时控制4个云计算设备上的云计算设备的列控应用区域块时拜占庭表决算法的实现原理。
具体实施方式
下面详细描述本发明的实施方式,所述实施方式的示例在附图中示出,其中自始至终相同或类似的标号表示相同或类似的元件或具有相同或类似功能的元件。下面通过参考附图描述的实施方式是示例性的,仅用于解释本发明,而不能解释为对本发明的限制。
本技术领域技术人员可以理解,除非特意声明,这里使用的单数形式“一”、“一个”、“所述”和“该”也可包括复数形式。应该进一步理解的是,本发明的说明书中使用的措辞“包括”是指存在所述特征、整数、步骤、操作、元件和/或组件,但是并不排除存在或添加一个或多个其他特征、整数、步骤、操作、元件、组件和/或它们的组。应该理解,当我们称元件被“连接”或“耦接”到另一元件时,它可以直接连接或耦接到其他元件,或者也可以存在中间元件。此外,这里使用的“连接”或“耦接”可以包括无线连接或耦接。这里使用的措辞“和/或”包括一个或更多个相关联的列出项的任一单元和全部组合。
本技术领域技术人员可以理解,除非另外定义,这里使用的所有术语(包括技术术语和科学术语)具有与本发明所属领域中的普通技术人员的一般理解相同的意义。还应该理解的是,诸如通用字典中定义的那些术语应该被理解为具有与现有技术的上下文中的意义一致的意义,并且除非像这里一样定义,不会用理想化或过于正式的含义来解释。
为便于对本发明实施例的理解,下面将结合附图以几个具体实施例为例做进一步的解释说明,且各个实施例并不构成对本发明实施例的限定。
故障安全的轨道交通列车运行控制系统结合非故障安全的云计算设备后,为了满足安全要求,云计算设备与本地列控设备之间需要设置物理隔离的边缘安全节点,本发明的目的在于解决根据EN50129等安全相关标准实现边缘安全节点的技术难点。
本发明总体方案如下:在本地设备和云计算设备环境之间设置边缘安全节点,上述本地设备为安全域,包括地面OC(Object Controller,目标控制器)或车载OC等,上述云计算设备环境为非安全域,包括云计算设备等。边缘安全节点起到隔离安全域和非安全域的作用。边缘安全节点为安全设备,既可位于地面,也可位于列车上,其安全完整性等级与既有列控设备一致,满足故障导向安全特性。边缘安全节点对其控制的部署运行安全计算机平台相关程序及其承载的轨道交通列车运行控制应用程序的若干云计算设备起到输入输出、程序运行监视、表决器以及云计算设备失效后降级控制的作用。
1本发明的基本原理
1.1边缘安全节点的设置
边缘安全节点为符合轨道交通相关安全标准(EN50129)的安全设备,其安全完整性等级与既有列控设备一致,满足故障导向安全特性,每个边缘安全节点控制一定数量的OC。
边缘安全节点既可位于地面,也可位于列车上。位于地面的边缘安全节点通过冗余有线通信网络与云计算设备交互数据信息,位于列车上的边缘安全节点通过冗余无线移动通信网络与云计算设备交互数据信息。
图1为本发明实施例提供的一种边缘安全节点及其控制云计算设备和OC的系统整体框架结构图,如图1所示,边缘安全节点隔离本地安全控制设备和非故障安全的云计算设备环境,为本地安全控制设备和云计算设备环境划定了明确的安全边界。也就是说,边缘安全节点在本地安全控制设备和云计算设备环境之间创建了一个物理隔断,这意味着网络数据包不能从本地安全控制网络直接流向非故障安全的云计算设备网络,本地安全控制设备和非故障安全云计算设备环境不会有实际的数据链接。
1.2边缘安全节点控制的云计算设备
一个边缘安全节点控制的部署运行安全计算机平台相关程序及其承载的轨道交通列车运行控制应用程序的云计算设备的数量至少为2,优选3。这些云计算设备相互独立以消除共因失效,云计算设备的构成方式包括虚拟机(优选KVM)方式、容器(优选Docker)方式或裸金属服务器方式。
边缘安全节点控制的每一个云计算设备,依照其实现的虚拟机或容器或裸金属服务器的不同机制,按照所承载的轨道交通列车运行控制应用的不同而划分不同的列控应用区域块,每个云计算设备的列控应用区域块都是一个独立的故障区域遏制块,如图1所示。
1.3边缘安全节点的输入输出(IO)功能实现
边缘安全节点对其控制的云计算设备的输入输出(IO)功能包括将来自其自身或所控制的OC的输入数据或输入数据索引发送给其控制的每一个云计算设备上的列控应用区域块,并接收来自每个云计算设备上列控应用区域块的轨道交通列车运行控制应用程序的运算结果和安全计算机平台相关程序的加密程序运行动态签名等数据,这些运算结果和加密程序运行动态签名数据经过边缘安全节点表决和逻辑判断正确后,供边缘安全节点自己使用或组成安全通信数据帧发送给其所控制的OC使用。
1.4边缘安全节点对云计算设备程序运行监视功能实现
边缘安全节点对其控制的云计算设备的程序运行监视功能包括程序运行逻辑监视、程序运行时间监视和程序运行算力监视。
程序运行逻辑监视的实现原理是在程序设计阶段人工给边缘安全节点所控制的每个云计算设备上列控应用区域块运行的安全计算机平台相关程序及其承载的轨道交通列车运行控制应用程序的关键分支上打上加密程序运行签名,不同分支打上不同的加密程序运行签名,在程序运行的过程中,这些加密程序运行签名发送给边缘安全节点,边缘安全节点解密并检查这些程序运行签名是否正确,如果正确,说明云计算设备上列控应用区域块上程序运行正常;如果不正确,说明云计算设备上列控应用区域块异常,应启动相应的安全反应。
程序运行时间监视的实现原理在上述程序运行逻辑监视的基础上,按照时间触发机制,将周期的程序控制周期进一步划分为微周期,优选划为输入、运算、输出等三个微周期阶段,不同微周期执行的程序分支不同,程序运行签名也不一样,边缘安全节点在每个微周期的起点,通知其所控制的每个云计算设备上列控应用区域块运行的安全计算机平台相关程序及其承载的轨道交通列车运行控制应用程序,开始正确的微周期,并监控在本微周期结束前后一段合理的时间内(优选±10%)这些程序能否正确应答执行完毕信息,一旦超过本微周期最大时长没有正确应答执行完毕,说明云计算设备上列控应用区域块异常,应启动相应的安全反应。
程序运行算力监视在上述程序运行逻辑监视、程序运行时间监视的基础上,尽量缩短程序控制周期以及所包含的微周期时间长度,让这些周期和微周期时间长度达到程序正常运行的极限最小值。这样,一旦出现云计算设备上程序被入侵、劫持、修改等耗费云计算设备算力的情况,会出现边缘安全节点所控制的每个云计算设备上列控应用区域块运行的安全计算机平台相关程序及其承载的轨道交通列车运行控制应用程序运行超时,而导致边缘安全节点判断云计算设备上列控应用区域块异常,而启动相应的安全反应。
1.5边缘安全节点对其控制的云计算设备的表决器功能实现
云计算设备存在非故障安全属性,存在入侵、劫持、修改等信息安全问题,必须考虑由于上述信息安全问题,导致每个云计算设备上列控应用区域块出现拜占庭失效的风险。
所谓拜占庭失效是指发送不同的消息给不同通信对象从而干扰一般表决机制的恶意失效,本申请称发生这样的恶意失效的节点为拜占庭失效节点。与此对应一般独立失效则是指发生失效的节点给不同通信对象发送相同的错误消息。
边缘安全节点对其控制的云计算设备的表决器功能体现在:边缘安全节点与其所控制的每个云计算设备上列控应用区域块构成拜占庭容错关系,边缘安全节点起到指挥官(commander)的作用,每个云计算设备上列控应用区域块起到副职(Lieutenant)的作用,通过交互一致算法找出一般独立失效和拜占庭失效节点(叛变节点)。
边缘安全节点由于其故障安全属性,不考虑其失效后给每个云计算设备上列控应用区域块发送不同的消息的情形,也就是说边缘安全节点不会发生拜占庭失效,边缘安全节点总是忠诚的。所以边缘安全节点内部需要安全可靠的冗余结构,比如2取2,3取2或者2乘2取2来保证输出命令的正确性。
同时,边缘安全节点及其所控制的每个云计算设备上列控应用区域块相互物理隔离,且遵守差异性设计机制,且考虑了程序运行算力监视,因此不考虑它们发生共因失效的可能,特别是由于入侵、劫持、修改等信息安全问题而导致的共因失效。
因此,边缘安全节点表决器功能只需重点考虑针对边缘安全节点所控制的每个云计算设备(本质是其上的列控应用区域块)出现拜占庭失效的交互一致表决算法,解决了云计算设备的拜占庭失效问题,一般独立失效也一并予以解决。
为了找出恶意的云计算设备,可以选用的方法有口头消息方法和签名消息方法。由于在云计算设备中不能保证其他设备发送来的签名不会被伪造篡改,也无法核实其他设备签名的真实性(例如,其中一个恶意的云计算设备将自己的签名伪造成和另一个云计算设备相同的签名,此时在表决前还需要进行签名的核实认证,这是一项比较复杂的工作,不仅增加了系统的复杂度,还延长了表决的时间);而口头消息方法的限制条件相比签名消息方法更加简便,所以优先选用口头消息的方法,让设备之间直接进行消息的通信交互。
根据所述程序运行时间监视所使用的微周期选划方法,按照云计算设备的列控应用区域块接收边缘安全节点输入命令和数据阶段、云计算设备的列控应用区域块接收边缘安全节点计算命令和完成列控应用计算阶段、云计算设备的列控应用区域块接收边缘安全节点输出命令和完成输出数据组帧阶段分别实施不同的数据交互和表决策略。
云计算设备的列控应用区域块接收边缘安全节点输入命令和数据阶段:边缘安全节点把输入命令和数据(数据可以来自于目标控制器等其它外部设备,也可以来自于边缘安全节点自身)发送给所有云计算设备的列控应用区域块,云计算设备的列控应用区域块收到输入命令和数据后,经过计算将输入数据或输入数据索引记为I,并产生加密程序运行签名SI
云计算设备的列控应用区域块接收边缘安全节点计算命令和完成列控应用计算阶段:边缘安全节点将计算命令发送给所有云计算设备的列控应用区域块,云计算设备的列控应用区域块完成轨道交通列车运行控制应用程序计算,并将计算结果记为C,并产生加密程序运行签名SC
云计算设备的列控应用区域块接收边缘安全节点输出命令和完成输出数据组帧阶段:边缘安全节点将输出命令发送给所有云计算设备的列控应用区域块,云计算设备的列控应用区域块完成输出数据组帧,并将组好的输出数据帧记为O,并产生加密程序运行签名SO
上述各阶段数据交互算法为:云计算设备的列控应用区域块将输入数据或输入数据索引I和加密程序运行签名SI(或计算结果C和加密程序运行签名SC,或输出数据帧O和加密程序运行签名SO)转发给边缘安全节点和其它区域块,收到其它区域块发送输入数据或输入数据索引I和加密程序运行签名SI(或计算结果C和加密程序运行签名SC,或输出数据帧O和加密程序运行签名SO)也要转发给边缘安全节点。
假设有N个云计算设备的列控应用区域块,每个阶段边缘安全节点和所有列控应用区域块数据交互过程如表1所示。
表1每个阶段边缘安全节点和所有列控应用区域块交互的数据
Figure BDA0002916752460000091
其中:
●命令发送轮中的◆代表行首的边缘安全节点向各列上的云计算设备的列控应用区域块1…云计算设备的列控应用区域块N发出的命令;
●云计算设备的列控应用区域块发送原始数据轮中的▲代表行上的云计算设备的列控应用区域块1…云计算设备的列控应用区域块N向各列上的云计算设备的列控应用区域块1…云计算设备的列控应用区域块N以及边缘安全节点发送的原始输入数据或输入数据索引I和加密程序运行签名SI(或计算结果C和加密程序运行签名SC,或输出数据帧O和加密程序运行签名SO);
●云计算设备的列控应用区域块向边缘安全节点转发其它云计算设备的列控应用区域块发送给它的数据轮中的●代表转发给边缘安全节点的各行上的云计算设备的列控应用区域块1…云计算设备的列控应用区域块N向各列上的云计算设备的列控应用区域块1…云计算设备的列控应用区域块N发送的原始输入数据或输入数据索引I和加密程序运行签名SI(或计算结果C和加密程序运行签名SC,或输出数据帧O和加密程序运行签名SO);
●─代表无数据交互;
●√代表边缘安全节点自身所知晓输入数据或输入数据索引I和加密程序运行签名SI(或加密程序运行签名SC,或加密程序运行签名SO),而不知晓计算结果C(或输出数据帧O)。
每个阶段三轮数据交互后边缘安全节点掌握的云计算设备的列控应用区域块数据通信状态矩阵如表2所示。
表2每个阶段三轮数据交互后边缘安全节点掌握的云区域块数据通信状态矩阵
Figure BDA0002916752460000101
Figure BDA0002916752460000111
根据表2:
●区域块发送原始数据轮中行上的云计算设备的列控应用区域块i没有在对应的微周期内给向各列上的云计算设备的列控应用区域块j以及边缘安全节点发送数据,出现超时,根据程序运行算力监视原则,可判定该云计算设备的列控应用区域块发生疑似入侵、劫持、修改等信息安全问题所导致的不明原因失效,不参与以下的表决;
●云计算设备的列控应用区域块向边缘安全节点转发其它云计算设备的列控应用区域块发送给它的数据轮中列上的云计算设备的列控应用区域块j没有在对应的微周期内向边缘安全节点转发各行上的云计算设备的列控应用区域块i发送给它的数据,出现超时,根据程序运行算力监视原则,可判定该云计算设备的列控应用区域块发生疑似入侵、劫持、修改等信息安全问题所导致的不明原因失效,不参与以下的表决;
每个阶段三轮数据交互后边缘安全节点掌握云计算设备的列控应用区域块的数据矩阵如表3所示。
表3每个阶段三轮数据交互后边缘安全节点掌握云区域块的数据矩阵
Figure BDA0002916752460000112
针对表3所示的数据矩阵,上述各阶段三轮数据交互后边缘安全节点掌握云计算设备的列控应用区域块数据的表决算法为:边缘安全节点基于大数表决原则,分别对发送回来的输入数据或输入数据索引、计算结果、输出数据帧和加密程序运行签名SI(或加密程序运行签名SC,或加密程序运行签名SO)的实施表决。具体表决时,针对表3所示的每个阶段三轮数据交互后边缘安全节点掌握云计算设备的列控应用区域块的数据矩阵,去除超时导致不明原因失效的节点后:
●首先梳理对应于行上云计算设备的列控应用区域块i发出的最多N组数据,如果发现相互矛盾,则将该云计算设备的列控应用区域块标记为可疑拜占庭失效,不参与大数表决;只有全部一致或多数一致才进行大数表决获得表决结果,并列为最多N个一列第一次表决结果。
●由于边缘安全节点自身知晓输入数据或输入数据索引I和加密程序运行签名SI(或加密程序运行签名SC,或加密程序运行签名SO),因此针对输入数据或输入数据索引I和加密程序运行签名SI(或加密程序运行签名SC,或加密程序运行签名SO)表决时,在上述最多N个一列第一次表决结果的基础上,增加一行边缘安全节点自身知晓的数值,最多N+1个一列数据参与第二次大数表决。
●由于边缘安全节点并不知晓计算结果C(或输出数据帧O),因此针对计算结果C(或输出数据帧O)表决时,使用上述最多N个一列第一次表决结果参与第二次大数表决。
●如果边缘安全节点通过第二次大数表决过程,发现所有输入数据或输入数据索引和加密程序运行签名SI(或计算结果和加密程序运行签名SC、或输出数据帧和加密程序运行签名SO)都一致,则可判定对应阶段所有区域块都正常,没有发生一般独立失效和拜占庭失效。
●如果边缘安全节点通过第二次大数表决过程,发现某一云计算设备的列控应用区域块输入数据或输入数据索引和加密程序运行签名SI(或计算结果和加密程序运行签名SC、或输出数据帧和加密程序运行签名SO)与边缘安全节点自身以及其它云计算设备的列控应用区域块不一致,但未发送相互矛盾的输入数据或输入数据索引和加密程序运行签名SI(或计算结果和加密程序运行签名SC、或输出数据帧和加密程序运行签名SO)给边缘安全节点以及其它云计算设备的列控应用区域块,可判定对应阶段该云计算设备的列控应用区域块发生一般独立失效。
●如果边缘安全节点通过第二次大数表决过程,发现某一云计算设备的列控应用区域块输入数据或输入数据索引和加密程序运行签名SI(或计算结果和加密程序运行签名SC、或输出数据帧和加密程序运行签名SO)与边缘安全节点自身以及其它云计算设备的列控应用区域块不一致,且发送相互矛盾的输入数据或输入数据索引和加密程序运行签名SI(或计算结果和加密程序运行签名SC、或输出数据帧和加密程序运行签名SO)给边缘安全节点以及其它云计算设备的列控应用区域块,则可判定对应阶段该云计算设备的列控应用区域块发生拜占庭失效。
发生上述的一般独立失效、拜占庭失效、不明原因失效后,应采取必要的安全反应以满足安全冗余原则。
出现一般独立失效和拜占庭失效时能找出失效的云计算设备的列控应用区域块,需要满足以下要求:
●云计算设备的列控应用区域块数量:
◆输入命令和数据阶段:由于边缘安全节点自身知道输入数据或输入数据索引I和加密程序运行签名SI,故在此阶段不管出现几个云计算设备的列控应用区域块失效,均能被边缘安全节点发现。
◆计算命令和完成列控应用计算阶段、输出命令和完成输出数据组帧阶段:由于边缘安全节点自身不知道正确的计算结果C或输出数据帧O(但能发现不一致导向安全侧),若存在n个恶意云计算设备的列控应用区域块,故至少需要2n+1个云计算设备的列控应用区域块才能将恶意云计算设备的列控应用区域块表决出来。
●通信次数:
◆根据每个阶段边缘安全节点和所有区域块进行数据交互过程可知,通信次数最多为2n2次。
1.6边缘安全节点对云计算设备失效后降级控制功能实现
边缘安全节点对其控制的云计算设备失效后降级控制功能体现在:一旦边缘安全节点判断其控制的云计算设备部分或全部失效,不足以支持正常的安全计算机平台相关程序及其承载的轨道交通列车运行控制应用程序,边缘安全节点执行降级的列车运行控制功能,保障其控制覆盖范围内的所有列车处于安全状态。
1.7边缘安全节点出现失效的处理
边缘安全节点为符合轨道交通相关安全标准的安全设备,一旦其失效,其导向故障安全状态,不再执行上述功能。
2本发明的具体实施举例
2.1边缘安全节点控制不同数量云计算设备的列控应用区域块举例
图2为本发明实施例提供的一种边缘安全节点同时控制2个云计算设备上的区域块的系统冗余结构,如图2所示,当每个边缘安全节点同时控制2个云计算设备上的运行相同轨道交通列车运行控制应用程序的云计算设备的列控应用区域块,可以满足二取二安全机制和虚拟二乘的可靠机制。
图3为本发明实施例提供的一种边缘安全节点同时控制3个云计算设备上的区域块的系统冗余结构。当每个边缘安全节点同时控制3个云计算设备上的运行相同轨道交通列车运行控制应用程序的云计算设备的列控应用区域块,可以满足三取二安全机制和虚拟二乘的可靠机制,1个云计算设备失效后,3个云计算设备降级为2个云计算设备,失效云计算设备修复后2个云计算设备可以升级为3个云计算设备,如图3所示。
图4为本发明实施例提供的一种边缘安全节点同时控制4个云计算设备上的区域块的系统冗余结构。当每个边缘安全节点同时控制4个云计算设备上的运行相同轨道交通列车运行控制应用程序的云计算设备的列控应用区域块,可以满足二乘二取二安全和可靠机制,1个云计算设备失效后,4个云计算设备降级为3个云计算设备,失效云计算设备修复后3个云计算设备可以升级为4个云计算设备,如图4所示。
2.2边缘安全节点控制2个云计算设备的列控应用区域块发生拜占庭失效的表决算法举例
图5为本发明实施例提供的一种边缘安全节点同时控制2个云计算设备上的云计算设备的列控应用区域块时拜占庭表决算法的实现原理。
2.2.1云计算设备的列控应用区域块接收边缘安全节点输入命令和数据阶段
边缘安全节点将输入命令和数据(数据可以来自于目标控制器等其它外部设备,也可以来自于边缘安全节点自身)发送给2个云计算设备上的运行相同轨道交通列车运行控制应用程序的云计算设备的列控应用区域块时,具体交互一致表决算法流程如下:
●如果两个云计算设备的列控应用区域块和通信链路都正常:
◆正常的运行轨道交通列车运行控制应用程序的云计算设备的列控应用区域块收到输入命令和数据后,经过计算将输入数据或输入数据索引记为I,并产生加密程序运行签名SI
◆正常的运行轨道交通列车运行控制应用程序的云计算设备的列控应用区域块接收到输入命令和数据后,再将输入数据或输入数据索引I和加密程序运行签名SI发送给边缘安全节点和另一个区域块,另一个区域块会转发该云计算设备的列控应用区域块发出的输入数据或输入数据索引I和加密程序运行签名SI给边缘安全节点。
◆边缘安全节点将收到两个区域块发送的输入数据或输入数据索引I和加密程序运行签名SI,和转发的对方区域块发出的输入数据或输入数据索引I和加密程序运行签名SI,以及边缘安全节点自身存储的输入数据或输入数据索引I和加密程序运行签名SI
◆如果另一个区域块也是正常的,则边缘安全节点通过两次表决过程,能发现三组输入数据或输入数据索引和加密程序运行签名都一致,而判定两个区域块都正常。
●如果任意一个云计算设备的列控应用区域块(含通信链路)发生一般独立失效,有可能是两种情况:
◆其一是通信超时,没有正确收到输入命令和数据的云计算设备的列控应用区域块不执行任何命令,也不发出任何数据给边缘安全节点和另一个区域块。
◆其二是云计算设备的列控应用区域块出现失效:
a)可能会发出相同的错误输入数据或输入数据索引或加密程序运行签名给边缘安全节点和另一个区域块;
b)也可能不再执行任何命令,也不发出任何数据给边缘安全节点和另一个区域块。
◆任意一个云计算设备的列控应用区域块出现一般独立失效,边缘安全节点通过收到的两个区域块发送的输入数据或输入数据索引I和加密程序运行签名SI,和转发的对方区域块发出的输入数据或输入数据索引I和加密程序运行签名SI,以及边缘安全节点自身存储的输入数据或输入数据索引I和加密程序运行签名SI,通过两次大数表决过程,边缘安全节点能发现该云计算设备的列控应用区域块输入数据或输入数据索引I和加密程序运行签名SI与边缘安全节点自身和另一个云计算设备的列控应用区域块不一致,出现一般独立失效而启动安全反应。
◆当边缘安全节点超时没有收到任意一个云计算设备的列控应用区域块发回的输入数据或输入数据索引I和加密程序运行签名SI,由于边缘安全节点对2个云计算设备上的运行相同轨道交通列车运行控制应用程序的云计算设备的列控应用区域块设置了时间监视功能,边缘安全节点也能发现该云计算设备的列控应用区域块出现通信超时而启动安全反应。
●前已述及,不考虑两个云计算设备的列控应用区域块发生共因一般独立失效。
●如果任意一个云计算设备的列控应用区域块发生拜占庭失效:
◆正常的云计算设备的列控应用区域块发送输入数据或输入数据索引I和加密程序运行签名SI给边缘安全节点和发生拜占庭失效的云计算设备的列控应用区域块;
◆发生拜占庭失效的云计算设备的列控应用区域块将发送任意输入数据或输入数据索引X(或空值)和任意加密程序运行签名XSI(或空值)给边缘安全节点和正常的云计算设备的列控应用区域块;
◆正常的云计算设备的列控应用区域块转发发生拜占庭失效的云计算设备的列控应用区域块发送的任意输入数据或输入数据索引X(或空值)和任意加密程序运行签名XSI(或空值)给边缘安全节点;
◆发生拜占庭失效的云计算设备的列控应用区域块将正常的云计算设备的列控应用区域块发送给它的输入数据或输入数据索引I和加密程序运行签名SI篡改后变成任意输入数据或输入数据索引Y(或空值)和任意加密程序运行签名YSI(或空值)发送给边缘安全节点;
◆边缘安全节点自身存储的输入数据或输入数据索引I和加密程序运行签名SI
◆通过两次大数表决过程,边缘安全节点能发现发生拜占庭失效的云计算设备的列控应用区域块输入数据或输入数据索引I和加密程序运行签名SI与边缘安全节点自身存储的和另一个云计算设备的列控应用区域块的输入数据或输入数据索引和加密程序运行签名不一致,而启动安全反应;
◆边缘安全节点且能发现发送相互矛盾的任意输入数据或输入数据索引和任意加密程序运行签名的云计算设备的列控应用区域块,从而判定出发生拜占庭失效的云计算设备的列控应用区域块。
●前已述及,不考虑两个云计算设备的列控应用区域块发生共因拜占庭失效,但考虑两个云计算设备的列控应用区域块发送相互矛盾的数据,但恰巧错成一样的情形:
◆两个云计算设备的列控应用区域块发送相互矛盾的数据,但恰巧错成一样,边缘安全节点通过收到的两个区域块发送的输入数据或输入数据索引I和加密程序运行签名SI和转发的对方区域块发出的输入数据或输入数据索引I和加密程序运行签名SI与边缘安全节点自身存储的输入数据或输入数据索引I和加密程序运行签名SI并不一致,判定出现错成一样的失效而启动安全反应。
●上述任何一种情形下一旦启动安全反应,则不再执行后续阶段。
2.2.2云计算设备的列控应用区域块接收边缘安全节点计算命令和完成列控应用计算阶段
云计算设备的列控应用区域块接收边缘安全节点输入命令和数据阶段正常,则边缘安全节点将计算命令发送给2个云计算设备上的运行相同轨道交通列车运行控制应用程序的云计算设备的列控应用区域块,云计算设备的列控应用区域块完成轨道交通列车运行控制应用程序计算,具体交互一致表决算法流程如下:
●如果两个云计算设备的列控应用区域块和通信链路都正常:
◆正常的运行轨道交通列车运行控制应用程序的云计算设备的列控应用区域块收到计算命令后,会坚决执行边缘安全节点发来的计算命令,并完成轨道交通列车运行控制应用程序计算,并将计算结果记为C,并产生加密程序运行签名SC
◆正常的运行轨道交通列车运行控制应用程序的云计算设备的列控应用区域块将计算结果C和加密程序运行签名SC发送给边缘安全节点和另一个区域块,另一个区域块会转发该云计算设备的列控应用区域块发出的计算结果C和加密程序运行签名SC
◆边缘安全节点将收到两个区域块发送的计算结果C和加密程序运行签名SC,和转发的对方区域块发出的计算结果C和加密程序运行签名SC,同时边缘安全节点自身存储加密程序运行签名SC
◆如果另一个区域块也是正常的,则边缘安全节点通过两次表决过程,能发现三组加密程序运行签名SC都一致,两组计算结果C都一致,而判定两个区域块都正常。
●如果任意一个云计算设备的列控应用区域块(含通信链路)发生一般独立失效,有可能是两种情况:
◆其一是通信超时或发生通信故障,没有正确收到计算命令的云计算设备的列控应用区域块不执行任何命令,也不发出任何数据给边缘安全节点和另一个区域块。
◆其二是云计算设备的列控应用区域块出现失效:
a)可能会发出相同的错误计算结果和加密程序运行签名给边缘安全节点和另一个区域块;
b)也可能不再执行任何命令,也不发出任何数据给边缘安全节点和另一个区域块。
◆任意一个云计算设备的列控应用区域块出现一般独立失效,边缘安全节点通过收到的两个区域块发送的计算结果C和加密程序运行签名SC,和转发的对方区域块发出的计算结果C和加密程序运行签名SC,以及边缘安全节点自身存储的加密程序运行签名SC,通过两次大数表决过程,边缘安全节点能发现该云计算设备的列控应用区域块加密程序运行签名SC与边缘安全节点自身和另一个云计算设备的列控应用区域块不一致,两个区域块的两组计算结果不一致,而判定该云计算设备的列控应用区域块出现一般独立失效而启动安全反应。
◆当边缘安全节点超时没有收到任意一个云计算设备的列控应用区域块发回的计算结果C和加密程序运行签名SC,由于边缘安全节点对2个云计算设备上的运行相同轨道交通列车运行控制应用程序的云计算设备的列控应用区域块设置了时间监视功能,边缘安全节点也能发现该云计算设备的列控应用区域块出现通信超时而启动安全反应。
●前已述及,不考虑两个云计算设备的列控应用区域块发生共因一般独立失效。
●如果任意一个云计算设备的列控应用区域块发生拜占庭失效:
◆正常的云计算设备的列控应用区域块发送计算结果C和加密程序运行签名SC给边缘安全节点和发生拜占庭失效的云计算设备的列控应用区域块;
◆发生拜占庭失效的云计算设备的列控应用区域块将发送计算结果Y(或空值)和任意加密程序运行签名YSC(或空值)给边缘安全节点和正常的云计算设备的列控应用区域块;
◆正常的云计算设备的列控应用区域块转发发生拜占庭失效的云计算设备的列控应用区域块发送的计算结果Y(或空值)和任意加密程序运行签名YSC(或空值)给边缘安全节点;
◆发生拜占庭失效的云计算设备的列控应用区域块将正常的云计算设备的列控应用区域块发送给它的计算结果C和加密程序运行签名SC篡改后变成计算结果Z(或空值)和任意加密程序运行签名ZSC(或空值)发送给边缘安全节点;
◆边缘安全节点自身存储加密程序运行签名SC
◆通过两次大数表决过程,边缘安全节点能发现发生拜占庭失效的云计算设备的列控应用区域块计算结果C和加密程序运行签名SC与边缘安全节点自身存储的和另一个云计算设备的列控应用区域块的计算结果和加密程序运行签名不一致,而启动安全反应;
◆边缘安全节点且能发现发送相互矛盾的计算结果和加密程序运行签名的云计算设备的列控应用区域块,从而判定出发生拜占庭失效的云计算设备的列控应用区域块。
●前已述及,不考虑两个云计算设备的列控应用区域块发生共因拜占庭失效,但考虑两个云计算设备的列控应用区域块发送相互矛盾的数据,但恰巧错成一样的情形:
◆两个云计算设备的列控应用区域块发送相互矛盾的数据,但恰巧错成一样,边缘安全节点通过收到的两个区域块发送的加密程序运行签名SC和转发的对方区域块发出的加密程序运行签名SC与边缘安全节点自身存储的加密程序运行签名SC并不一致,判定加密程序运行签名出现错成一样的失效,计算结果也不可信,而启动安全反应。
●上述任何一种情形下一旦启动安全反应,则不再执行后续阶段。
2.2.3云计算设备的列控应用区域块接收边缘安全节点输出命令和完成输出数据组帧阶段
云计算设备的列控应用区域块接收边缘安全节点计算命令和完成列控应用计算阶段正常,则边缘安全节点将输出命令发送给2个云计算设备上的运行相同轨道交通列车运行控制应用程序的云计算设备的列控应用区域块,云计算设备的列控应用区域块完成输出数据组帧,具体交互一致表决算法流程如下:
●如果两个云计算设备的列控应用区域块和通信链路都正常:
◆正常的运行轨道交通列车运行控制应用程序的云计算设备的列控应用区域块收到输出命令后,也会坚决执行边缘安全节点发来的输出命令,并完成输出数据组帧,并将组好的输出数据帧记为O,并产生加密程序运行签名SO
◆正常的运行轨道交通列车运行控制应用程序的云计算设备的列控应用区域块将输出数据帧O和加密程序运行签名SO发送给边缘安全节点和另一个区域块,另一个区域块会转发该云计算设备的列控应用区域块发出的输出数据帧O和加密程序运行签名SO
◆边缘安全节点将收到两个区域块发送的输出数据帧O和加密程序运行签名SO,和转发的对方区域块发出的输出数据帧O和加密程序运行签名SO,同时边缘安全节点自身存储加密程序运行签名SO
◆如果另一个区域块也是正常的,则边缘安全节点通过两次表决过程,能发现三组加密程序运行签名SO都一致,两组输出数据帧O都一致,而判定两个区域块都正常。
●如果任意一个云计算设备的列控应用区域块(含通信链路)发生一般独立失效,有可能是两种情况:
◆其一是通信超时或发生通信故障,没有正确收到计算命令的云计算设备的列控应用区域块不执行任何命令,也不发出任何数据给边缘安全节点和另一个区域块。
◆其二是云计算设备的列控应用区域块出现失效:
a)可能会发出相同的错误输出数据帧和加密程序运行签名给边缘安全节点和另一个区域块;
b)也可能不再执行任何命令,也不发出任何数据给边缘安全节点和另一个区域块。
◆任意一个云计算设备的列控应用区域块出现一般独立失效,边缘安全节点通过收到的两个区域块发送的输出数据帧O和加密程序运行签名SO,和转发的对方区域块发出的输出数据帧O和加密程序运行签名SO,以及边缘安全节点自身存储的加密程序运行签名SO,通过两次大数表决过程,边缘安全节点能发现该云计算设备的列控应用区域块加密程序运行签名SO与边缘安全节点自身和另一个云计算设备的列控应用区域块不一致,两个区域块的两组输出数据帧不一致,而判定该云计算设备的列控应用区域块出现一般独立失效而启动安全反应。
◆当边缘安全节点超时没有收到任意一个云计算设备的列控应用区域块发回的输出数据帧O和加密程序运行签名SO,由于边缘安全节点对2个云计算设备上的运行相同轨道交通列车运行控制应用程序的云计算设备的列控应用区域块设置了时间监视功能,边缘安全节点也能发现该云计算设备的列控应用区域块出现通信超时而启动安全反应。
●前已述及,不考虑两个云计算设备的列控应用区域块发生共因一般独立失效。
●如果任意一个云计算设备的列控应用区域块发生拜占庭失效:
◆正常的云计算设备的列控应用区域块发送输出数据帧O和加密程序运行签名SO给边缘安全节点和发生拜占庭失效的云计算设备的列控应用区域块;
◆发生拜占庭失效的云计算设备的列控应用区域块将发送输出数据帧Y(或空值)和任意加密程序运行签名YSO(或空值)给边缘安全节点和正常的云计算设备的列控应用区域块;
◆正常的云计算设备的列控应用区域块转发发生拜占庭失效的云计算设备的列控应用区域块发送的输出数据帧Y(或空值)和任意加密程序运行签名YSO(或空值)给边缘安全节点;
◆发生拜占庭失效的云计算设备的列控应用区域块将正常的云计算设备的列控应用区域块发送给它的输出数据帧O和加密程序运行签名SO篡改后变成输出数据帧Z(或空值)和任意加密程序运行签名ZSO(或空值)发送给边缘安全节点;
◆边缘安全节点自身存储加密程序运行签名SO
◆通过两次大数表决过程,边缘安全节点能发现发生拜占庭失效的云计算设备的列控应用区域块输出数据帧O和加密程序运行签名SO与边缘安全节点自身存储的和另一个云计算设备的列控应用区域块的输出数据帧和加密程序运行签名不一致,而启动安全反应;
◆边缘安全节点且能发现发送相互矛盾的输出数据帧和加密程序运行签名的云计算设备的列控应用区域块,从而判定出发生拜占庭失效的云计算设备的列控应用区域块。
●前已述及,不考虑两个云计算设备的列控应用区域块发生共因拜占庭失效,但考虑两个云计算设备的列控应用区域块发送相互矛盾的数据,
但恰巧错成一样的情形:
◆两个云计算设备的列控应用区域块发送相互矛盾的数据,但恰巧错成一样,边缘安全节点通过收到的两个区域块发送的加密程序运行签名SO和转发的对方区域块发出的加密程序运行签名SO与边缘安全节点自身存储的加密程序运行签名SO并不一致,判定加密程序运行签名出现错成一样的失效,输出数据帧也不可信,而启动安全反应。
●上述任何一种情形下一旦启动安全反应,则不再执行后续阶段。
2.3边缘安全节点控制3个云计算设备的列控应用区域块发生拜占庭失效的表决算法举例
图6为本发明实施例提供的一种边缘安全节点同时控制3个云计算设备上的云计算设备的列控应用区域块时拜占庭表决算法的实现原理。
2.3.1云计算设备的列控应用区域块接收边缘安全节点输入命令和数据阶段
边缘安全节点将输入命令和数据(数据可以来自于目标控制器等其它外部设备,也可以来自于边缘安全节点自身)发送给3个云计算设备上的运行相同轨道交通列车运行控制应用程序的云计算设备的列控应用区域块时,具体交互一致表决算法流程如下:
●如果三个云计算设备的列控应用区域块和通信链路都正常:
◆正常的运行轨道交通列车运行控制应用程序的云计算设备的列控应用区域块收到输入命令和数据后,经过计算将输入数据或输入数据索引记为I,并产生加密程序运行签名SI
◆正常的运行轨道交通列车运行控制应用程序的云计算设备的列控应用区域块接收到输入命令和数据后,再将输入数据或输入数据索引I和加密程序运行签名SI发送给边缘安全节点和另外两个区域块,另外两个区域块会转发该云计算设备的列控应用区域块发出的输入数据或输入数据索引I和加密程序运行签名SI给边缘安全节点。
◆边缘安全节点将收到三个区域块发送的输入数据或输入数据索引I和加密程序运行签名SI,和转发的其他两个区域块发出的输入数据或输入数据索引I和加密程序运行签名SI,以及边缘安全节点自身存储的输入数据或输入数据索引I和加密程序运行签名SI
◆如果另外两个区域块也是正常的,则边缘安全节点通过两次表决过程,能发现四组输入数据或输入数据索引和加密程序运行签名都一致,而判定三个区域块都正常。
●如果任意一个云计算设备的列控应用区域块(含通信链路)发生一般独立失效,有可能是两种情况:
◆其一是通信超时,没有正确收到输入命令和数据的云计算设备的列控应用区域块不执行任何命令,也不发出任何数据给边缘安全节点和另外两个区域块。
◆其二是云计算设备的列控应用区域块出现失效:
c)可能会发出相同的错误输入数据或输入数据索引或加密程序运行签名给边缘安全节点和另外两个区域块;
d)也可能不再执行任何命令,也不发出任何数据给边缘安全节点和另外两个区域块。
◆任意一个云计算设备的列控应用区域块出现一般独立失效,边缘安全节点通过收到的三个区域块发送的输入数据或输入数据索引I和加密程序运行签名SI,和转发的其他两个区域块发出的输入数据或输入数据索引I和加密程序运行签名SI,以及边缘安全节点自身存储的输入数据或输入数据索引I和加密程序运行签名SI,通过两次大数表决过程,边缘安全节点能发现该云计算设备的列控应用区域块输入数据或输入数据索引I和加密程序运行签名SI与边缘安全节点自身和另外两个云计算设备的列控应用区域块不一致,出现一般独立失效而启动安全反应。
◆当边缘安全节点超时没有收到任意一个云计算设备的列控应用区域块发回的输入数据或输入数据索引I和加密程序运行签名SI,由于边缘安全节点对3个云计算设备上的运行相同轨道交通列车运行控制应用程序的云计算设备的列控应用区域块设置了时间监视功能,边缘安全节点也能发现该云计算设备的列控应用区域块出现通信超时而启动安全反应。
●前已述及,不考虑三个云计算设备的列控应用区域块发生共因一般独立失效,但考虑其中两个云计算设备的列控应用区域块恰巧错成一样的情形:
◆两个云计算设备的列控应用区域块发送恰巧错成一样的数据,边缘安全节点通过收到的这两个区域块发送的输入数据或输入数据索引I和加密程序运行签名SI与边缘安全节点自身存储的输入数据或输入数据索引I和加密程序运行签名SI并不一致,判定出现错成一样的失效而启动安全反应。
●如果任意一个云计算设备的列控应用区域块发生拜占庭失效:
◆正常的云计算设备的列控应用区域块发送输入数据或输入数据索引I和加密程序运行签名SI给边缘安全节点和发生拜占庭失效的云计算设备的列控应用区域块;
◆发生拜占庭失效的云计算设备的列控应用区域块将发送任意输入数据或输入数据索引X(或空值)和任意加密程序运行签名XSI(或空值)给边缘安全节点和正常的云计算设备的列控应用区域块;
◆正常的云计算设备的列控应用区域块转发发生拜占庭失效的云计算设备的列控应用区域块发送的任意输入数据或输入数据索引X(或空值)和任意加密程序运行签名XSI(或空值)给边缘安全节点;
◆发生拜占庭失效的云计算设备的列控应用区域块将正常的云计算设备的列控应用区域块发送给它的输入数据或输入数据索引I和加密程序运行签名SI篡改后变成任意输入数据或输入数据索引Y(或空值)和任意加密程序运行签名YSI(或空值)发送给边缘安全节点;
◆边缘安全节点自身存储的输入数据或输入数据索引I和加密程序运行签名SI
◆通过两次大数表决过程,边缘安全节点能发现发生拜占庭失效的云计算设备的列控应用区域块输入数据或输入数据索引I和加密程序运行签名SI与边缘安全节点自身存储的和另外两个云计算设备的列控应用区域块的输入数据或输入数据索引和加密程序运行签名不一致,而启动安全反应;
◆边缘安全节点且能发现发送相互矛盾的任意输入数据或输入数据索引和任意加密程序运行签名的云计算设备的列控应用区域块,从而判定出发生拜占庭失效的云计算设备的列控应用区域块。
●前已述及,不考虑三个云计算设备的列控应用区域块发生共因拜占庭失效,但考虑三个云计算设备的列控应用区域块发送相互矛盾的数据,但恰巧错成一样的情形:
◆三个云计算设备的列控应用区域块发送相互矛盾的数据,但恰巧错成一样,边缘安全节点通过收到的三个区域块发送的输入数据或输入数据索引I和加密程序运行签名SI和转发的其他区域块发出的输入数据或输入数据索引I和加密程序运行签名SI与边缘安全节点自身存储的输入数据或输入数据索引I和加密程序运行签名SI并不一致,判定出现错成一样的失效而启动安全反应。
●上述任何一种情形下一旦启动安全反应,则不再执行后续阶段。
2.3.2云计算设备的列控应用区域块接收边缘安全节点计算命令和完成列控应用计算阶段
云计算设备的列控应用区域块接收边缘安全节点输入命令和数据阶段正常,则边缘安全节点将计算命令发送给3个云计算设备上的运行相同轨道交通列车运行控制应用程序的云计算设备的列控应用区域块,云计算设备的列控应用区域块完成轨道交通列车运行控制应用程序计算,具体交互一致表决算法流程如下:
●如果三个云计算设备的列控应用区域块和通信链路都正常:
◆正常的运行轨道交通列车运行控制应用程序的云计算设备的列控应用区域块收到计算命令后,会坚决执行边缘安全节点发来的计算命令,并完成轨道交通列车运行控制应用程序计算,并将计算结果记为C,并产生加密程序运行签名SC
◆正常的运行轨道交通列车运行控制应用程序的云计算设备的列控应用区域块将计算结果C和加密程序运行签名SC发送给边缘安全节点和另外两个区域块,另外两个区域块会转发该云计算设备的列控应用区域块发出的计算结果C和加密程序运行签名SC
◆边缘安全节点将收到三个区域块发送的计算结果C和加密程序运行签名SC,和转发的其他两个区域块发出的计算结果C和加密程序运行签名SC,同时边缘安全节点自身存储加密程序运行签名SC
◆如果另外两个区域块也是正常的,则边缘安全节点通过两次表决过程,能发现四组加密程序运行签名SC都一致,三组计算结果C都一致,而判定三个区域块都正常。
●如果任意一个云计算设备的列控应用区域块(含通信链路)发生一般独立失效,有可能是两种情况:
◆其一是通信超时或发生通信故障,没有正确收到计算命令的云计算设备的列控应用区域块不执行任何命令,也不发出任何数据给边缘安全节点和另外两个区域块。
◆其二是云计算设备的列控应用区域块出现失效:
c)可能会发出相同的错误计算结果和加密程序运行签名给边缘安全节点和另外两个区域块;
d)也可能不再执行任何命令,也不发出任何数据给边缘安全节点和另外两个区域块。
◆任意一个云计算设备的列控应用区域块出现一般独立失效,边缘安全节点通过收到的三个区域块发送的计算结果C和加密程序运行签名SC,和转发的其他两个区域块发出的计算结果C和加密程序运行签名SC,以及边缘安全节点自身存储的加密程序运行签名SC,通过两次大数表决过程,边缘安全节点能发现该云计算设备的列控应用区域块加密程序运行签名SC与边缘安全节点自身和另外两个云计算设备的列控应用区域块不一致,三个区域块的三组计算结果不一致,而判定该云计算设备的列控应用区域块出现一般独立失效而启动安全反应。
◆当边缘安全节点超时没有收到任意一个云计算设备的列控应用区域块发回的计算结果C和加密程序运行签名SC,由于边缘安全节点对3个云计算设备上的运行相同轨道交通列车运行控制应用程序的云计算设备的列控应用区域块设置了时间监视功能,边缘安全节点也能发现该云计算设备的列控应用区域块出现通信超时而启动安全反应。
●前已述及,不考虑三个云计算设备的列控应用区域块发生共因一般独立失效,但考虑其中两个云计算设备的列控应用区域块恰巧错成一样的情形:
◆两个云计算设备的列控应用区域块发送恰巧错成一样的数据,边缘安全节点通过收到的这两个区域块发送的加密程序运行签名SC与边缘安全节点自身存储的加密程序运行签名SC并不一致,判定加密程序运行签名出现错成一样的失效,计算结果也不可信,而启动安全反应。
●如果任意一个云计算设备的列控应用区域块发生拜占庭失效:
◆正常的云计算设备的列控应用区域块发送计算结果C和加密程序运行签名SC给边缘安全节点和发生拜占庭失效的云计算设备的列控应用区域块;
◆发生拜占庭失效的云计算设备的列控应用区域块将发送计算结果Y(或空值)和任意加密程序运行签名YSC(或空值)给边缘安全节点和正常的云计算设备的列控应用区域块;
◆正常的云计算设备的列控应用区域块转发发生拜占庭失效的云计算设备的列控应用区域块发送的计算结果Y(或空值)和任意加密程序运行签名YSC(或空值)给边缘安全节点;
◆发生拜占庭失效的云计算设备的列控应用区域块将正常的云计算设备的列控应用区域块发送给它的计算结果C和加密程序运行签名SC篡改后变成计算结果Z(或空值)和任意加密程序运行签名ZSC(或空值)发送给边缘安全节点;
◆边缘安全节点自身存储加密程序运行签名SC
◆通过两次大数表决过程,边缘安全节点能发现发生拜占庭失效的云计算设备的列控应用区域块计算结果C和加密程序运行签名SC与边缘安全节点自身存储的和另外两个云计算设备的列控应用区域块的计算结果和加密程序运行签名不一致,而启动安全反应;
◆边缘安全节点且能发现发送相互矛盾的计算结果和加密程序运行签名的云计算设备的列控应用区域块,从而判定出发生拜占庭失效的云计算设备的列控应用区域块。
●前已述及,不考虑三个云计算设备的列控应用区域块发生共因拜占庭失效,但考虑三个云计算设备的列控应用区域块发送相互矛盾的数据,但恰巧错成一样的情形:
◆三个云计算设备的列控应用区域块发送相互矛盾的数据,但恰巧错成一样,边缘安全节点通过收到的三个区域块发送的加密程序运行签名SC和转发的其他两个区域块发出的加密程序运行签名SC与边缘安全节点自身存储的加密程序运行签名SC并不一致,判定加密程序运行签名出现错成一样的失效,计算结果也不可信,而启动安全反应。
●上述任何一种情形下一旦启动安全反应,则不再执行后续阶段。
2.3.3云计算设备的列控应用区域块接收边缘安全节点输出命令和完成输出数据组帧阶段
云计算设备的列控应用区域块接收边缘安全节点计算命令和完成列控应用计算阶段正常,则边缘安全节点将输出命令发送给3个云计算设备上的运行相同轨道交通列车运行控制应用程序的云计算设备的列控应用区域块,云计算设备的列控应用区域块完成输出数据组帧,具体交互一致表决算法流程如下:
●如果两个云计算设备的列控应用区域块和通信链路都正常:
◆正常的运行轨道交通列车运行控制应用程序的云计算设备的列控应用区域块收到输出命令后,也会坚决执行边缘安全节点发来的输出命令,并完成输出数据组帧,并将组好的输出数据帧记为O,并产生加密程序运行签名SO
◆正常的运行轨道交通列车运行控制应用程序的云计算设备的列控应用区域块将输出数据帧O和加密程序运行签名SO发送给边缘安全节点和另外两个区域块,另外两个区域块会转发该云计算设备的列控应用区域块发出的输出数据帧O和加密程序运行签名SO
◆边缘安全节点将收到三个区域块发送的输出数据帧O和加密程序运行签名SO,和转发的其他两个区域块发出的输出数据帧O和加密程序运行签名SO,同时边缘安全节点自身存储加密程序运行签名SO
◆如果另外两个区域块也是正常的,则边缘安全节点通过两次表决过程,能发现四组加密程序运行签名SO都一致,三组输出数据帧O都一致,而判定三个区域块都正常。
●如果任意一个云计算设备的列控应用区域块(含通信链路)发生一般独立失效,有可能是两种情况:
◆其一是通信超时或发生通信故障,没有正确收到计算命令的云计算设备的列控应用区域块不执行任何命令,也不发出任何数据给边缘安全节点和另外两个区域块。
◆其二是云计算设备的列控应用区域块出现失效:
c)可能会发出相同的错误输出数据帧和加密程序运行签名给边缘安全节点和另外两个区域块;
d)也可能不再执行任何命令,也不发出任何数据给边缘安全节点和另外两个区域块。
◆任意一个云计算设备的列控应用区域块出现一般独立失效,边缘安全节点通过收到的三个区域块发送的输出数据帧O和加密程序运行签名SO,和转发的其他两个区域块发出的输出数据帧O和加密程序运行签名SO,以及边缘安全节点自身存储的加密程序运行签名SO,通过两次大数表决过程,边缘安全节点能发现该云计算设备的列控应用区域块加密程序运行签名SO与边缘安全节点自身和另外两个云计算设备的列控应用区域块不一致,三个区域块的三组输出数据帧不一致,而判定该云计算设备的列控应用区域块出现一般独立失效而启动安全反应。
◆当边缘安全节点超时没有收到任意一个云计算设备的列控应用区域块发回的输出数据帧O和加密程序运行签名SO,由于边缘安全节点对3个云计算设备上的运行相同轨道交通列车运行控制应用程序的云计算设备的列控应用区域块设置了时间监视功能,边缘安全节点也能发现该云计算设备的列控应用区域块出现通信超时而启动安全反应。
●前已述及,不考虑三个云计算设备的列控应用区域块发生共因一般独立失效,但考虑两个云计算设备的列控应用区域块恰巧错成一样的情形:
◆两个云计算设备的列控应用区域块发送恰巧错成一样的数据,边缘安全节点通过收到的两个区域块发送的加密程序运行签名SO与边缘安全节点自身存储的加密程序运行签名SO并不一致,判定加密程序运行签名出现错成一样的失效,输出数据帧也不可信,而启动安全反应。
●如果任意一个云计算设备的列控应用区域块发生拜占庭失效:
◆正常的云计算设备的列控应用区域块发送输出数据帧O和加密程序运行签名SO给边缘安全节点和发生拜占庭失效的云计算设备的列控应用区域块;
◆发生拜占庭失效的云计算设备的列控应用区域块将发送输出数据帧Y(或空值)和任意加密程序运行签名YSO(或空值)给边缘安全节点和正常的云计算设备的列控应用区域块;
◆正常的云计算设备的列控应用区域块转发发生拜占庭失效的云计算设备的列控应用区域块发送的输出数据帧Y(或空值)和任意加密程序运行签名YSO(或空值)给边缘安全节点;
◆发生拜占庭失效的云计算设备的列控应用区域块将正常的云计算设备的列控应用区域块发送给它的输出数据帧O和加密程序运行签名SO篡改后变成输出数据帧Z(或空值)和任意加密程序运行签名ZSO(或空值)发送给边缘安全节点;
◆边缘安全节点自身存储加密程序运行签名SO
◆通过两次大数表决过程,边缘安全节点能发现发生拜占庭失效的云计算设备的列控应用区域块输出数据帧O和加密程序运行签名SO与边缘安全节点自身存储的和另外两个云计算设备的列控应用区域块的输出数据帧和加密程序运行签名不一致,而启动安全反应;
◆边缘安全节点且能发现发送相互矛盾的输出数据帧和加密程序运行签名的云计算设备的列控应用区域块,从而判定出发生拜占庭失效的云计算设备的列控应用区域块。
●前已述及,不考虑三个云计算设备的列控应用区域块发生共因拜占庭失效,但考虑三个云计算设备的列控应用区域块发送相互矛盾的数据,但恰巧错成一样的情形:
◆三个云计算设备的列控应用区域块发送相互矛盾的数据,但恰巧错成一样,边缘安全节点通过收到的三个区域块发送的加密程序运行签名SO和转发的其他两个区域块发出的加密程序运行签名SO与边缘安全节点自身存储的加密程序运行签名SO并不一致,判定加密程序运行签名出现错成一样的失效,输出数据帧也不可信,而启动安全反应。
●上述任何一种情形下一旦启动安全反应,则不再执行后续阶段。
2.4边缘安全节点控制4个云计算设备的列控应用区域块发生拜占庭失效的表决算法举例
图7为本发明实施例提供的一种边缘安全节点同时控制4个云计算设备上的云计算设备的列控应用区域块时拜占庭表决算法的实现原理。
2.4.1云计算设备的列控应用区域块接收边缘安全节点输入命令和数据阶段
边缘安全节点将输入命令和数据(数据可以来自于目标控制器等其它外部设备,也可以来自于边缘安全节点自身)发送给4个云计算设备上的运行相同轨道交通列车运行控制应用程序的云计算设备的列控应用区域块时,具体交互一致表决算法流程如下:
●如果四个云计算设备的列控应用区域块和通信链路都正常:
◆正常的运行轨道交通列车运行控制应用程序的云计算设备的列控应用区域块收到输入命令和数据后,经过计算将输入数据或输入数据索引记为I,并产生加密程序运行签名SI
◆正常的运行轨道交通列车运行控制应用程序的云计算设备的列控应用区域块接收到输入命令和数据后,再将输入数据或输入数据索引I和加密程序运行签名SI发送给边缘安全节点和另外三个区域块,另外三个区域块会转发该云计算设备的列控应用区域块发出的输入数据或输入数据索引I和加密程序运行签名SI给边缘安全节点。
◆边缘安全节点将收到四个区域块发送的输入数据或输入数据索引I和加密程序运行签名SI,和转发的其他三个区域块发出的输入数据或输入数据索引I和加密程序运行签名SI,以及边缘安全节点自身存储的输入数据或输入数据索引I和加密程序运行签名SI
◆如果另外三个区域块也是正常的,则边缘安全节点通过两次表决过程,能发现五组输入数据或输入数据索引和加密程序运行签名都一致,而判定四个区域块都正常。
●如果任意一个云计算设备的列控应用区域块(含通信链路)发生一般独立失效,有可能是两种情况:
◆其一是通信超时,没有正确收到输入命令和数据的云计算设备的列控应用区域块不执行任何命令,也不发出任何数据给边缘安全节点和另外三个区域块。
◆其二是云计算设备的列控应用区域块出现失效:
e)可能会发出相同的错误输入数据或输入数据索引或加密程序运行签名给边缘安全节点和另外三个区域块;
f)也可能不再执行任何命令,也不发出任何数据给边缘安全节点和另外三个区域块。
◆任意一个云计算设备的列控应用区域块出现一般独立失效,边缘安全节点通过收到的四个区域块发送的输入数据或输入数据索引I和加密程序运行签名SI,和转发的其他三个区域块发出的输入数据或输入数据索引I和加密程序运行签名SI,以及边缘安全节点自身存储的输入数据或输入数据索引I和加密程序运行签名SI,通过两次大数表决过程,边缘安全节点能发现该云计算设备的列控应用区域块输入数据或输入数据索引I和加密程序运行签名SI与边缘安全节点自身和另外三个云计算设备的列控应用区域块不一致,出现一般独立失效而启动安全反应。
◆当边缘安全节点超时没有收到任意一个云计算设备的列控应用区域块发回的输入数据或输入数据索引I和加密程序运行签名SI,由于边缘安全节点对4个云计算设备上的运行相同轨道交通列车运行控制应用程序的云计算设备的列控应用区域块设置了时间监视功能,边缘安全节点也能发现该云计算设备的列控应用区域块出现通信超时而启动安全反应。
●前已述及,不考虑四个云计算设备的列控应用区域块发生共因一般独立失效,但考虑两个或三个云计算设备的列控应用区域块恰巧错成一样的情形:
◆两个或三个云计算设备的列控应用区域块发送恰巧错成一样的数据,边缘安全节点通过收到的这两个或三个区域块发送的输入数据或输入数据索引I和加密程序运行签名SI与边缘安全节点自身存储的输入数据或输入数据索引I和加密程序运行签名SI并不一致,判定出现错成一样的失效而启动安全反应。
●如果任意一个云计算设备的列控应用区域块发生拜占庭失效:
◆正常的云计算设备的列控应用区域块发送输入数据或输入数据索引I和加密程序运行签名SI给边缘安全节点和发生拜占庭失效的云计算设备的列控应用区域块;
◆发生拜占庭失效的云计算设备的列控应用区域块将发送任意输入数据或输入数据索引X(或空值)和任意加密程序运行签名XSI(或空值)给边缘安全节点和正常的云计算设备的列控应用区域块;
◆正常的云计算设备的列控应用区域块转发发生拜占庭失效的云计算设备的列控应用区域块发送的任意输入数据或输入数据索引X(或空值)和任意加密程序运行签名XSI(或空值)给边缘安全节点;
◆发生拜占庭失效的云计算设备的列控应用区域块将正常的云计算设备的列控应用区域块发送给它的输入数据或输入数据索引I和加密程序运行签名SI篡改后变成任意输入数据或输入数据索引Y(或空值)和任意加密程序运行签名YSI(或空值)发送给边缘安全节点;
◆边缘安全节点自身存储的输入数据或输入数据索引I和加密程序运行签名SI
◆通过两次大数表决过程,边缘安全节点能发现发生拜占庭失效的云计算设备的列控应用区域块输入数据或输入数据索引I和加密程序运行签名SI与边缘安全节点自身存储的和另外三个云计算设备的列控应用区域块的输入数据或输入数据索引和加密程序运行签名不一致,而启动安全反应;
◆边缘安全节点且能发现发送相互矛盾的任意输入数据或输入数据索引和任意加密程序运行签名的云计算设备的列控应用区域块,从而判定出发生拜占庭失效的云计算设备的列控应用区域块。
●前已述及,不考虑四个云计算设备的列控应用区域块发生共因拜占庭失效,但考虑四个云计算设备的列控应用区域块发送相互矛盾的数据,但恰巧错成一样的情形:
◆四个云计算设备的列控应用区域块发送相互矛盾的数据,但恰巧错成一样,边缘安全节点通过收到的四个区域块发送的输入数据或输入数据索引I和加密程序运行签名SI和转发的其他三个区域块发出的输入数据或输入数据索引I和加密程序运行签名SI与边缘安全节点自身存储的输入数据或输入数据索引I和加密程序运行签名SI并不一致,判定出现错成一样的失效而启动安全反应。
●上述任何一种情形下一旦启动安全反应,则不再执行后续阶段。
2.4.2云计算设备的列控应用区域块接收边缘安全节点计算命令和完成列控应用计算阶段
云计算设备的列控应用区域块接收边缘安全节点输入命令和数据阶段正常,则边缘安全节点将计算命令发送给4个云计算设备上的运行相同轨道交通列车运行控制应用程序的云计算设备的列控应用区域块,云计算设备的列控应用区域块完成轨道交通列车运行控制应用程序计算,具体交互一致表决算法流程如下:
●如果四个云计算设备的列控应用区域块和通信链路都正常:
◆正常的运行轨道交通列车运行控制应用程序的云计算设备的列控应用区域块收到计算命令后,会坚决执行边缘安全节点发来的计算命令,并完成轨道交通列车运行控制应用程序计算,并将计算结果记为C,并产生加密程序运行签名SC
◆正常的运行轨道交通列车运行控制应用程序的云计算设备的列控应用区域块将计算结果C和加密程序运行签名SC发送给边缘安全节点和另外三个区域块,另外三个区域块会转发该云计算设备的列控应用区域块发出的计算结果C和加密程序运行签名SC
◆边缘安全节点将收到四个区域块发送的计算结果C和加密程序运行签名SC,和转发的其他三个区域块发出的计算结果C和加密程序运行签名SC,同时边缘安全节点自身存储加密程序运行签名SC
◆如果另外三个区域块也是正常的,则边缘安全节点通过两次表决过程,能发现五组加密程序运行签名SC都一致,四组计算结果C都一致,而判定四个区域块都正常。
●如果任意一个云计算设备的列控应用区域块(含通信链路)发生一般独立失效,有可能是两种情况:
◆其一是通信超时或发生通信故障,没有正确收到计算命令的云计算设备的列控应用区域块不执行任何命令,也不发出任何数据给边缘安全节点和另外三个区域块。
◆其二是云计算设备的列控应用区域块出现失效:
e)可能会发出相同的错误计算结果和加密程序运行签名给边缘安全节点和另外三个区域块;
f)也可能不再执行任何命令,也不发出任何数据给边缘安全节点和另外三个区域块。
◆任意一个云计算设备的列控应用区域块出现一般独立失效,边缘安全节点通过收到的四个区域块发送的计算结果C和加密程序运行签名SC,和转发的其他三个区域块发出的计算结果C和加密程序运行签名SC,以及边缘安全节点自身存储的加密程序运行签名SC,通过两次大数表决过程,边缘安全节点能发现该云计算设备的列控应用区域块加密程序运行签名SC与边缘安全节点自身和另外三个云计算设备的列控应用区域块不一致,四个区域块的四组计算结果不一致,而判定该云计算设备的列控应用区域块出现一般独立失效而启动安全反应。
◆当边缘安全节点超时没有收到任意一个云计算设备的列控应用区域块发回的计算结果C和加密程序运行签名SC,由于边缘安全节点对4个云计算设备上的运行相同轨道交通列车运行控制应用程序的云计算设备的列控应用区域块设置了时间监视功能,边缘安全节点也能发现该云计算设备的列控应用区域块出现通信超时而启动安全反应。
●前已述及,不考虑四个云计算设备的列控应用区域块发生共因一般独立失效,但考虑两个或三个云计算设备的列控应用区域块恰巧错成一样的情形:
◆两个或三个云计算设备的列控应用区域块发送恰巧错成一样的数据,边缘安全节点通过收到的两个或三个区域块发送的加密程序运行签名SC与边缘安全节点自身存储的加密程序运行签名SC并不一致,判定加密程序运行签名出现错成一样的失效,计算结果也不可信,而启动安全反应。
●如果任意一个云计算设备的列控应用区域块发生拜占庭失效:
◆正常的云计算设备的列控应用区域块发送计算结果C和加密程序运行签名SC给边缘安全节点和发生拜占庭失效的云计算设备的列控应用区域块;
◆发生拜占庭失效的云计算设备的列控应用区域块将发送计算结果Y(或空值)和任意加密程序运行签名YSC(或空值)给边缘安全节点和正常的云计算设备的列控应用区域块;
◆正常的云计算设备的列控应用区域块转发发生拜占庭失效的云计算设备的列控应用区域块发送的计算结果Y(或空值)和任意加密程序运行签名YSC(或空值)给边缘安全节点;
◆发生拜占庭失效的云计算设备的列控应用区域块将正常的云计算设备的列控应用区域块发送给它的计算结果C和加密程序运行签名SC篡改后变成计算结果Z(或空值)和任意加密程序运行签名ZSC(或空值)发送给边缘安全节点;
◆边缘安全节点自身存储加密程序运行签名SC
◆通过两次大数表决过程,边缘安全节点能发现发生拜占庭失效的云计算设备的列控应用区域块计算结果C和加密程序运行签名SC与边缘安全节点自身存储的和另外三个云计算设备的列控应用区域块的计算结果和加密程序运行签名不一致,而启动安全反应;
◆边缘安全节点且能发现发送相互矛盾的计算结果和加密程序运行签名的云计算设备的列控应用区域块,从而判定出发生拜占庭失效的云计算设备的列控应用区域块。
●前已述及,不考虑四个云计算设备的列控应用区域块发生共因拜占庭失效,但考虑四个云计算设备的列控应用区域块发送相互矛盾的数据,但恰巧错成一样的情形:
◆四个云计算设备的列控应用区域块发送相互矛盾的数据,但恰巧错成一样,边缘安全节点通过收到的四个区域块发送的加密程序运行签名SC和转发的其他三个区域块发出的加密程序运行签名SC与边缘安全节点自身存储的加密程序运行签名SC并不一致,判定加密程序运行签名出现错成一样的失效,计算结果也不可信,而启动安全反应。
●上述任何一种情形下一旦启动安全反应,则不再执行后续阶段。
2.4.3云计算设备的列控应用区域块接收边缘安全节点输出命令和完成输出数据组帧阶段
云计算设备的列控应用区域块接收边缘安全节点计算命令和完成列控应用计算阶段正常,则边缘安全节点将输出命令发送给4个云计算设备上的运行相同轨道交通列车运行控制应用程序的云计算设备的列控应用区域块,云计算设备的列控应用区域块完成输出数据组帧,具体交互一致表决算法流程如下:
●如果四个云计算设备的列控应用区域块和通信链路都正常:
◆正常的运行轨道交通列车运行控制应用程序的云计算设备的列控应用区域块收到输出命令后,也会坚决执行边缘安全节点发来的输出命令,并完成输出数据组帧,并将组好的输出数据帧记为O,并产生加密程序运行签名SO
◆正常的运行轨道交通列车运行控制应用程序的云计算设备的列控应用区域块将输出数据帧O和加密程序运行签名SO发送给边缘安全节点和另外三个区域块,另外三个区域块会转发该云计算设备的列控应用区域块发出的输出数据帧O和加密程序运行签名SO
◆边缘安全节点将收到四个区域块发送的输出数据帧O和加密程序运行签名SO,和转发的其他三个区域块发出的输出数据帧O和加密程序运行签名SO,同时边缘安全节点自身存储加密程序运行签名SO
◆如果另外三个区域块也是正常的,则边缘安全节点通过两次表决过程,能发现五组加密程序运行签名SO都一致,四组输出数据帧O都一致,而判定四个区域块都正常。
●如果任意一个云计算设备的列控应用区域块(含通信链路)发生一般独立失效,有可能是两种情况:
◆其一是通信超时或发生通信故障,没有正确收到计算命令的云计算设备的列控应用区域块不执行任何命令,也不发出任何数据给边缘安全节点和另外三个区域块。
◆其二是云计算设备的列控应用区域块出现失效:
e)可能会发出相同的错误输出数据帧和加密程序运行签名给边缘安全节点和另外三个区域块;
f)也可能不再执行任何命令,也不发出任何数据给边缘安全节点和另外三个区域块。
◆任意一个云计算设备的列控应用区域块出现一般独立失效,边缘安全节点通过收到的四个区域块发送的输出数据帧O和加密程序运行签名SO,和转发的其他三个区域块发出的输出数据帧O和加密程序运行签名SO,以及边缘安全节点自身存储的加密程序运行签名SO,通过两次大数表决过程,边缘安全节点能发现该云计算设备的列控应用区域块加密程序运行签名SO与边缘安全节点自身和另外三个云计算设备的列控应用区域块不一致,四个区域块的四组输出数据帧不一致,而判定该云计算设备的列控应用区域块出现一般独立失效而启动安全反应。
◆当边缘安全节点超时没有收到任意一个云计算设备的列控应用区域块发回的输出数据帧O和加密程序运行签名SO,由于边缘安全节点对4个云计算设备上的运行相同轨道交通列车运行控制应用程序的云计算设备的列控应用区域块设置了时间监视功能,边缘安全节点也能发现该云计算设备的列控应用区域块出现通信超时而启动安全反应。
●前已述及,不考虑四个云计算设备的列控应用区域块发生共因一般独立失效,但考虑两个或三个云计算设备的列控应用区域块恰巧错成一样的情形:
◆两个或三个云计算设备的列控应用区域块发送恰巧错成一样的数据,边缘安全节点通过收到的这两个或三个云计算设备的列控应用区域块发送的加密程序运行签名SO与边缘安全节点自身存储的加密程序运行签名SO并不一致,判定加密程序运行签名出现错成一样的失效,输出数据帧也不可信,而启动安全反应。
●如果任意一个云计算设备的列控应用区域块发生拜占庭失效:
◆正常的云计算设备的列控应用区域块发送输出数据帧O和加密程序运行签名SO给边缘安全节点和发生拜占庭失效的云计算设备的列控应用区域块;
◆发生拜占庭失效的云计算设备的列控应用区域块将发送输出数据帧Y(或空值)和任意加密程序运行签名YSO(或空值)给边缘安全节点和正常的云计算设备的列控应用区域块;
◆正常的云计算设备的列控应用区域块转发发生拜占庭失效的云计算设备的列控应用区域块发送的输出数据帧Y(或空值)和任意加密程序运行签名YSO(或空值)给边缘安全节点;
◆发生拜占庭失效的云计算设备的列控应用区域块将正常的云计算设备的列控应用区域块发送给它的输出数据帧O和加密程序运行签名SO篡改后变成输出数据帧Z(或空值)和任意加密程序运行签名ZSO(或空值)发送给边缘安全节点;
◆边缘安全节点自身存储加密程序运行签名SO
◆通过两次大数表决过程,边缘安全节点能发现发生拜占庭失效的云计算设备的列控应用区域块输出数据帧O和加密程序运行签名SO与边缘安全节点自身存储的和另外三个云计算设备的列控应用区域块的输出数据帧和加密程序运行签名不一致,而启动安全反应;
◆边缘安全节点且能发现发送相互矛盾的输出数据帧和加密程序运行签名的云计算设备的列控应用区域块,从而判定出发生拜占庭失效的云计算设备的列控应用区域块。
●前已述及,不考虑四个云计算设备的列控应用区域块发生共因拜占庭失效,但考虑四个云计算设备的列控应用区域块发送相互矛盾的数据,但恰巧错成一样的情形:
◆四个云计算设备的列控应用区域块发送相互矛盾的数据,但恰巧错成一样,边缘安全节点通过收到的四个区域块发送的加密程序运行签名SO和转发的其他三个区域块发出的加密程序运行签名SO与边缘安全节点自身存储的加密程序运行签名SO并不一致,判定加密程序运行签名出现错成一样的失效,输出数据帧也不可信,而启动安全反应。
●上述任何一种情形下一旦启动安全反应,则不再执行后续阶段。
本发明的有益效果如下:本发明实施例所提出的具备故障导向安全特性的边缘安全节点,不仅承担数据输入输出的作用,在非故障安全的云计算设备和本地设备间进行有效的隔离;还具备对云计算设备执行逻辑监视、时间监视、算力监视等程序运行监视功能;最后,作为拜占庭失效表决器,和其控制的云构成拜占庭容错关系,通过交互一致算法找出一般失效和拜占庭失效节点(叛变节点),更进一步地确保了整个过程的安全性和可靠性。从而在不违反EN50129等安全相关标准规定的前提下,通过边缘安全节点设计与实现,达到了在强调故障安全特性的轨道交通列车运行控制系统中,应用非故障安全的、基于COTS软硬件技术的云计算技术的目的,大大降低安全专用软硬件所带来的高额研发投入。本发明实施例亦可用于强调故障安全特性的轨道交通列车运行控制系统或轨道交通信号系统中使用其它COTS软硬件技术的应用场景。
本领域普通技术人员可以理解:附图只是一个实施例的示意图,附图中的模块或流程并不一定是实施本发明所必须的。
通过以上的实施方式的描述可知,本领域的技术人员可以清楚地了解到本发明可借助软件加必需的通用硬件平台的方式来实现。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在存储介质中,如ROM/RAM、磁碟、光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例或者实施例的某些部分所述的方法。
本说明书中的各个实施例均采用递进的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。尤其,对于装置或系统实施例而言,由于其基本相似于方法实施例,所以描述得比较简单,相关之处参见方法实施例的部分说明即可。以上所描述的装置及系统实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性劳动的情况下,即可以理解并实施。
以上所述,仅为本发明较佳的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到的变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应该以权利要求的保护范围为准。

Claims (10)

1.一种基于云计算设备的列控系统的边缘安全节点的实现方法,其特征在于,包括:
在安全域的本地设备和非安全域的云计算设备之间设置边缘安全节点,所述边缘安全节点将所述本地设备和所述云计算设备进行隔离,所述本地设备和所述云计算设备之间通过所述边缘安全节点进行数据通信;
边缘安全节点对其控制的若干个云计算设备起到输入输出、程序运行监视、表决器以及云计算设备失效后降级控制的作用。
2.根据权利要求1所述的方法,其特征在于,包括:
所述边缘安全节点为符合轨道交通相关安全标准的安全设备,满足故障导向安全特性,位于地面或者位于列车上,位于地面的边缘安全节点通过冗余有线通信网络与云计算设备交互数据信息,位于列车上的边缘安全节点通过冗余无线移动通信网络与云计算设备交互数据信息。
3.根据权利要求1所述的方法,其特征在于,所述边缘安全节点控制的云计算设备的数量至少为2,所述云计算设备部署运行安全计算机平台相关程序及其承载的轨道交通列车运行控制应用程序,所述云计算设备的构成方式包括虚拟机方式、容器方式或裸金属服务器方式。
4.根据权利要求3所述的方法,其特征在于,所述边缘安全节点控制的每一个云计算设备,依照其实现的虚拟机或容器或裸金属服务器的不同机制,按照所承载的轨道交通列车运行控制应用的不同而划分不同的列控应用区域块,每个云计算设备的列控应用区域块都是一个独立的故障区域遏制块。
5.根据权利要求1至4任一项所述的方法,其特征在于,所述边缘安全节点对其控制的若干个云计算设备的列控应用区域块实现输入输出、程序运行监视、表决器以及云计算设备失效后降级控制的功能。
6.根据权利要求5所述的方法,其特征在于,所述边缘安全节点对其控制的云计算设备的列控应用区域块的输入输出功能包括将来自其自身或所控制的目标控制器OC的输入数据或输入数据索引发送给云计算设备的列控应用区域块,接收来自每个云计算设备的列控应用区域块的运算结果和程序运行签名数据,这些运算结果和加密程序运行动态签名数据经过边缘安全节点表决和逻辑判断正确后,供边缘安全节点自己使用或组成安全通信数据帧发送给其所控制的OC使用。
7.根据权利要求5所述的方法,其特征在于,所述边缘安全节点对其控制的云计算设备的列控应用区域块的程序运行监视功能包括程序运行逻辑监视、程序运行时间监视和程序运行算力监视。
8.根据权利要求7所述的方法,其特征在于,所述程序运行逻辑监视的实现原理是在程序设计阶段人工给边缘安全节点所控制的每个云计算设备上列控应用区域块运行的安全计算机平台相关程序及其承载的轨道交通列车运行控制应用程序的关键分支上打上加密程序运行签名,不同分支打上不同的加密程序运行签名,在程序运行的过程中,这些加密程序运行签名发送给边缘安全节点,边缘安全节点解密并检查这些程序运行签名是否正确,如果正确,说明云计算设备上列控应用区域块上程序运行正常;如果不正确,说明云计算设备上列控应用区域块异常,应启动相应的安全反应;
所述程序运行时间监视的实现原理在所述程序运行逻辑监视的基础上,按照时间触发机制,将周期的程序控制周期进一步划分为微周期,不同微周期执行的程序分支不同,程序运行签名也不一样,边缘安全节点在每个微周期的起点,通知其所控制的每个云计算设备上列控应用区域块运行的安全计算机平台相关程序及其承载的轨道交通列车运行控制应用程序,开始正确的微周期,并监控在本微周期结束前后一段合理的时间内这些程序能否正确应答执行完毕信息,一旦超过本微周期最大时长没有正确应答执行完毕,说明云计算设备上列控应用区域块异常,应启动相应的安全反应;
所述程序运行算力监视在所述程序运行逻辑监视、程序运行时间监视的基础上,缩短程序控制周期以及所包含的微周期的时间长度,让这些周期和微周期的时间长度达到程序正常运行的极限最小值。
9.根据权利要求5所述的方法,其特征在于,所述边缘安全节点对其控制的云计算设备的表决器功能包括:边缘安全节点和其控制的云计算设备构成拜占庭容错关系,边缘安全节点起到指挥官commander的作用,每个云计算设备起到副职Lieutenant的作用,通过交互一致算法找出一般失效和拜占庭失效节点,并屏蔽一般失效和拜占庭失效节点的影响。
10.根据权利要求5所述的方法,其特征在于,所述边缘安全节点对其控制的云计算设备失效后降级控制功能包括:一旦边缘安全节点判断其控制的云计算设备部分或全部失效,不足以支持正常的安全计算机平台相关程序及其承载的轨道交通列车运行控制应用程序,边缘安全节点执行降级的列车运行控制功能,保障其控制覆盖范围内的所有列车处于安全状态。
CN202110104354.0A 2021-01-26 2021-01-26 一种基于云计算设备的列控系统边缘安全节点的实现方法 Active CN112953897B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202110104354.0A CN112953897B (zh) 2021-01-26 2021-01-26 一种基于云计算设备的列控系统边缘安全节点的实现方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202110104354.0A CN112953897B (zh) 2021-01-26 2021-01-26 一种基于云计算设备的列控系统边缘安全节点的实现方法

Publications (2)

Publication Number Publication Date
CN112953897A true CN112953897A (zh) 2021-06-11
CN112953897B CN112953897B (zh) 2023-04-18

Family

ID=76237111

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202110104354.0A Active CN112953897B (zh) 2021-01-26 2021-01-26 一种基于云计算设备的列控系统边缘安全节点的实现方法

Country Status (1)

Country Link
CN (1) CN112953897B (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113259383A (zh) * 2021-06-18 2021-08-13 国家超级计算天津中心 跨域通信系统

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102821160A (zh) * 2012-08-24 2012-12-12 上海和辰信息技术有限公司 一种云计算网络环境下面向松散云节点多层次数据保护的系统与方法
CN104484626A (zh) * 2014-12-31 2015-04-01 北京交通大学 基于通用cots软硬件实现列控安全计算机的方法和系统
US20170334473A1 (en) * 2014-02-18 2017-11-23 Nabil N. Ghaly Method & apparatus for a train control system
CN110027596A (zh) * 2019-03-29 2019-07-19 北京交通大学 一种基于云计算的轨道交通列车运行控制系统
CN110920696A (zh) * 2019-12-03 2020-03-27 卡斯柯信号有限公司 一种轨道交通列车控制系统

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102821160A (zh) * 2012-08-24 2012-12-12 上海和辰信息技术有限公司 一种云计算网络环境下面向松散云节点多层次数据保护的系统与方法
US20170334473A1 (en) * 2014-02-18 2017-11-23 Nabil N. Ghaly Method & apparatus for a train control system
CN104484626A (zh) * 2014-12-31 2015-04-01 北京交通大学 基于通用cots软硬件实现列控安全计算机的方法和系统
CN110027596A (zh) * 2019-03-29 2019-07-19 北京交通大学 一种基于云计算的轨道交通列车运行控制系统
CN110920696A (zh) * 2019-12-03 2020-03-27 卡斯柯信号有限公司 一种轨道交通列车控制系统

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
QINGYANG JIANG等: "Research on Data Storage Unit for Interoperation CBTC System", 《2019 IEEE 2ND INTERNATIONAL CONFERENCE ON ELECTRONICS AND COMMUNICATION ENGINEERING (ICECE)》 *

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113259383A (zh) * 2021-06-18 2021-08-13 国家超级计算天津中心 跨域通信系统

Also Published As

Publication number Publication date
CN112953897B (zh) 2023-04-18

Similar Documents

Publication Publication Date Title
CN111681003B (zh) 资源跨链转移方法、装置、计算机设备以及存储介质
CN111543026B (zh) 分布式网络中进行主节点变更的系统
US20180285217A1 (en) Failover response using a known good state from a distributed ledger
Sousa et al. Highly available intrusion-tolerant services with proactive-reactive recovery
US7620680B1 (en) Fast byzantine paxos
US10530752B2 (en) Efficient device provision
CN110027596A (zh) 一种基于云计算的轨道交通列车运行控制系统
WO2010013092A1 (en) Systems and method for providing trusted system functionalities in a cluster based system
US7565433B1 (en) Byzantine paxos
Munir et al. Design and analysis of secure and dependable automotive CPS: A steer-by-wire case study
US11356445B2 (en) Data access interface for clustered devices
CN103346904A (zh) 一种容错的OpenFlow 多控制器系统及其控制方法
US11200123B2 (en) Consensus process recovery method and related node
US10621055B2 (en) Adaptive data recovery for clustered data devices
Ho et al. Nysiad: Practical Protocol Transformation to Tolerate Byzantine Failures.
CN113837758A (zh) 一种区块链系统的共识方法及装置
CN112953897B (zh) 一种基于云计算设备的列控系统边缘安全节点的实现方法
Singh et al. Blockchain mechanism with Byzantine fault tolerance consensus for Internet of Drones services
CN111010258B (zh) 一种基于编码的计算机联锁系统通信方法
CN113630445B (zh) 一种基于区块链网络的数据存储方法及装置
Shoker et al. Intrusion resilience systems for modern vehicles
Kopetz et al. Dependability
Meling et al. When you don't trust clients: Byzantine proposer fast paxos
KR20190078451A (ko) 블록 체인을 이용하여 서비스 서버의 재해 복구를 수행하는 서버 및 복구 서버와, 상기 서버의 제어 방법
CN114900837A (zh) 网络处理方法、装置、系统、设备及介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant