异构功能等价执行体归一化装置、方法、架构及存储介质.pdf

《异构功能等价执行体归一化装置、方法、架构及存储介质.pdf》由会员分享，可在线阅读，更多相关《异构功能等价执行体归一化装置、方法、架构及存储介质.pdf（11页完成版）》请在专利查询网上搜索。

1、(19)中华人民共和国国家知识产权局 (12)发明专利申请 (10)申请公布号 (43)申请公布日 (21)申请号 202010448716.3 (22)申请日 2020.05.25 (71)申请人 河南信大网御科技有限公司 地址 450000 河南省郑州市金水区杨金路 199号河南新科技市场11号楼402号 申请人 珠海高凌信息科技股份有限公司 (72)发明人 吕青松郭义伟宋帅康冯志峰 张建军冯超洪强王帅强 (74)专利代理机构 郑州德勤知识产权代理有限 公司 41128 代理人 黄红梅 (51)Int.Cl. H04L 29/06(2006.01) (54)发明名称 异构功能等价执行体归一。

2、化装置、 方法、 架 构及存储介质 (57)摘要 本发明提出一种异构功能等价执行体归一 化装置、 方法、 架构及存储介质， 该方法包括以下 步骤： 各个异构功能等价执行体接收到外部 Clinet发送的同步请求后， 主动从异构功能等价 执行体归一化模块获取归一化参数； 各个异构功 能等价执行体获取到归一化参数后， 将生成的内 容一致的同步请求应答报文返回至外部Clinet； 各个异构功能等价执行体收到外部Client收到 各个异构功能等价执行体的同步请求应答报文 后， 回复确认送达数据报文至各个异构功能等价 执行体， 即可完成异构功能等价执行体的参数归 一化。 其中， 异构功能等价执行体归一化模。

3、块包 括用于产生异构功能等价执行体所需的归一化 参数的归一化参数提供单元和通信接口单元。 权利要求书1页 说明书5页 附图4页 CN 111641625 A 2020.09.08 CN 111641625 A 1.一种异构功能等价执行体归一化模块， 其特征在于， 该模块包括： 归一化参数提供单元， 用于产生异构功能等价执行体所需的归一化参数； 通信接口单元， 用于建立该装置与异构功能等价执行体的通信连接， 用以接收所述异 构功能等价执行体的归一化请求， 及将所述归一化参数输出至所述异构功能等价执行体。 2.根据权利要求1所述的异构功能等价执行体归一化模块， 其特征在于： 所述归一化参 数提供单。

4、元包括TCP认证模块、 SSL认证模块、 加密函数模块和随机函数模块中的一种或多 种组合。 3.根据权利要求1所述的异构功能等价执行体归一化模块， 其特征在于： 所述通信接口 单元采用SPI、 I2C、 PCIE和串口中的一种或多种组合。 4.根据权利要求3所述的异构功能等价执行体归一化模块， 其特征在于： 所述通信接口 单元为单向输出接口单元。 5.根据权利要求1所述的异构功能等价执行体归一化模块， 其特征在于： 所述归一化参 数提供单元通过裸程序、 FPGA逻辑编程或者专有芯片的方式实现。 6.一种异构功能等价执行体归一化方法， 其特征在于， 该方法包括以下步骤： 各个异构 功能等价执行体。

5、接收到外部Clinet发送的同步请求后， 主动从权利要求1-5任一项所述的 异构功能等价执行体归一化模块获取归一化参数； 各个异构功能等价执行体获取到归一化参数后， 将生成的内容一致的同步请求应答报 文返回至外部Clinet； 各个异构功能等价执行体收到外部Client收到各个异构功能等价执行体的同步请求 应答报文后， 回复确认送达数据报文至各个异构功能等价执行体， 即可完成异构功能等价 执行体的参数归一化。 7.一种异构功能等价执行体归一化装置， 其特征在于： 该装置包括权利要求1-5任一项 所述的异构功能等价执行体归一化模块； 所述异构功能等价执行体归一化模块， 在收到各个待归一化的异构功。

6、能等价执行体在 接收到外部Clinet发送的同步请求后生成的归一化请求后， 生成归一化参数并输出至所述 异构功能等价执行体； 各个待归一化的异构功能等价执行体获取到归一化参数后， 将生成的内容一致的同步 请求应答报文返回至外部Clinet； 各个待归一化的异构功能等价执行体收到外部Client收到各个异构功能等价执行体 的同步请求应答报文后， 回复确认送达数据报文至各个异构功能等价执行体， 即可完成异 构功能等价执行体的参数归一化。 8.根据权利要求7所述的异构功能等价执行体归一化装置， 其特征在于： 所述归一化参 数提供单元在接到所有在线的异构功能等价执行体的获取请求后， 才会生成归一化参数。

7、。 9.一种拟态防御架构， 包括输入代理、 输出代理、 异构功能等价执行体、 反馈控制器与 裁决器， 其特征在于： 还包括权利要求7-8任一项所述的异构功能等价执行体归一化装置， 用以实现异构功能等价执行体的参数归一化。 10.一种计算机可读存储介质， 其上存储有计算机指令， 其特征在于， 该计算机指令被 处理器执行时实现权利要求6所述异构功能等价执行体归一化方法的步骤。 权利要求书 1/1 页 2 CN 111641625 A 2 异构功能等价执行体归一化装置、 方法、 架构及存储介质 技术领域 0001 本发明涉及拟态防御领域， 具体涉及一种异构功能等价执行体归一化装置、 方法、 架构及存。

8、储介质。 背景技术 0002 拟态防御的主要技术特征是其构建的动态异构冗余 （DHR） 构造， 此构造由输入代 理、 异构功能等价执行体池、 输出代理与裁决、 反馈控制器四部分组成。 其中， 异构功能等价 执行体在硬件层面通常采用不同架构的CPU进行设计， 在软件层面则往往通过构建不同类 型的操作系统来实现上层应用软件的异构环境。 异构功能等价执行体应具备功能等价条 件， 但在实际应用中由于操作系统以及应用协议某些参数的随机性， 往往会造成应用程序 在不同执行体上有不同的输出， 从而造成异构功能等价执行体失去功能等价的特性。 发明内容 0003 本发明的目的是提供一种异构功能等价执行体归一化装。

9、置、 方法、 架构及存储介 质。 0004 为了实现上述目的， 本发明第一方面提供了一种异构功能等价执行体归一化模 块， 其特征在于， 该模块包括： 归一化参数提供单元， 用于产生异构功能等价执行体所需的归一化参数； 通信接口单元， 用于建立该装置与异构功能等价执行体的通信连接， 用以接收所述异 构功能等价执行体的归一化请求， 及将所述归一化参数输出至所述异构功能等价执行体。 0005 基于上述， 所述归一化参数提供单元包括TCP认证模块、 SSL认证模块、 加密函数模 块和随机函数模块中的一种或多种组合。 0006 基于上述， 所述通信接口单元为单向输出接口单元。 0007 基于上述， 所述。

10、通信接口单元采用SPI、 I2C、 PCIE和串口中的一种或多种组合。 0008 基于上述， 所述归一化参数提供单元通过裸程序、 FPGA逻辑编程或者专有芯片的 方式实现参数归一。 0009 本发明第二方面提供了一种异构功能等价执行体归一化方法， 其特征在于， 该方 法包括以下步骤： 各个异构功能等价执行体接收到外部Clinet发送的同步请求后， 主动从 权利要求1-5任一项所述的异构功能等价执行体归一化模块获取归一化参数； 各个异构功能等价执行体获取到归一化参数后， 将生成的内容一致的同步请求应答报 文返回至外部Clinet； 各个异构功能等价执行体收到外部Client收到各个异构功能等价执。

11、行体的同步请求 应答报文后， 回复确认送达数据报文至各个异构功能等价执行体， 即可完成异构功能等价 执行体的参数归一化。 0010 本发明第三方面提供了一种异构功能等价执行体归一化装置， 该装置包括所述的 异构功能等价执行体归一化模块； 说明书 1/5 页 3 CN 111641625 A 3 所述异构功能等价执行体归一化模块， 在收到各个待归一化的异构功能等价执行体在 接收到外部Clinet发送的同步请求后生成的归一化请求后， 生成归一化参数并输出至所述 异构功能等价执行体； 各个待归一化的异构功能等价执行体获取到归一化参数后， 将生成的内容一致的同步 请求应答报文返回至外部Clinet； 。

12、各个待归一化的异构功能等价执行体收到外部Client收到各个异构功能等价执行体 的同步请求应答报文后， 回复确认送达数据报文至各个异构功能等价执行体， 即可完成异 构功能等价执行体的参数归一化。 0011 基于上述， 所述归一化参数提供单元在接到所有在线的异构功能等价执行体的获 取请求后， 才会生成归一化参数。 0012 本发明第三方面提供了一种拟态防御架构， 包括输入代理、 输出代理、 异构功能等 价执行体、 反馈控制器与裁决器， 还包括所述的异构功能等价执行体归一化装置， 用以实现 异构功能等价执行体的参数归一化。 0013 基于上述， 所述异构功能等价执行体归一化装置为独立模块或集成于所。

13、述反馈控 制器中。 0014 本发明第四方面提供了一种计算机可读存储介质， 其上存储有计算机指令， 该计 算机指令被处理器执行时实现所述异构功能等价执行体归一化方法的步骤。 0015 本发明相对现有技术具有突出的实质性特点和显著的进步， 具体地说， 本发明所 提供的异构功能等价执行体归一化装置， 通过设置归一化参数提供单元向异构功能等价执 行体提供所需的归一化参数， 解决了异构功能等价执行体因操作系统的多样性带来的功能 等价不一致问题， 保证了多个异构功能等价执行体无论是底层驱动 （协议栈） 还是上层应用 都能获取到一致的参数， 以此来实现多个异构功能等价执行体完整的功能等价。 附图说明 00。

14、16 图1本发明实施例1提供的异构功能等价执行体归一化装置的设计框图。 0017 图2本发明实施例2提供的异构功能等价执行体归一化方法流程框图。 0018 图3本发明实施例3提供的异构功能等价执行体归一化方法流程框图。 0019 图4本发明实施例4提供的拟态防御架构框图。 具体实施方式 0020 实施例1 本实施例提供了一种异构功能等价执行体归一化模块， 如图1所示， 该装置包括： 归一化参数提供单元， 用于产生异构功能等价执行体所需的归一化参数； 通信接口单元， 用于建立该装置与异构功能等价执行体的通信连接， 用以接收所述异 构功能等价执行体的归一化请求， 及将所述归一化参数输出至所述异构功。

15、能等价执行体。 0021 具体的， 所述归一化参数提供单元包括TCP认证模块、 SSL认证模块、 加密函数模块 和随机函数模块中的一种或多种组合， 特别的还有其它所需的归一化函数； 在具体实现时， 所述归一化参数提供单元还设置控制管理模块， 接收所述异构功能等价执行体的归一化请 求后， 调用相应的模块中的随机化函数、 TCP协议认证、 SSL认证、 加密函数、 时间函数等生成 说明书 2/5 页 4 CN 111641625 A 4 各个异构功能等价执行体无法保证一致的参数。 0022 为了保证异构功能等价执行体归一化模块的安全性， 异构功能等价执行体归一化 模块应尽量避免通过网络的方式与异构。

16、功能等价执行体之间通信， 可以采用SPI、 I2C、 PCIE 和串口中的一种或多种组合， 并且将所述通信接口单元设置为单向输出接口单元， 使异构 功能等价执行体只能从异构功能等价执行体归一化模块获取数据， 尽量避免异构功能等价 执行体向异构功能等价执行体归一化模块发送数据。 0023 进一步的， 异构功能等价执行体归一化模块应尽量设计简单， 可以通过裸程序、 FPGA逻辑编程或者专有芯片的方式实现参数归一， 以此来实现攻击不可达。 0024 实施例2 本实施例提供了一种异构功能等价执行体归一化方法， 如图2所示， 该方法包括以下步 骤： 各个异构功能等价执行体接收到外部Clinet发送的同步。

17、请求后， 主动从所述的异构功 能等价执行体归一化装置获取归一化参数； 各个异构功能等价执行体获取到归一化参数后， 生成内容一致的同步请求应答报文返 回至外部Clinet； 同步请求应答报文中的归一化参数是从异构功能等价执行体归一化装置 处统一获取的， 以此保证多个异构功能等价执行体发送的同步请求应答报文内容是完全一 致的； 外部Client收到各个异构功能等价执行体的同步请求应答报文后， 回复确认送达数据 报文至各个异构功能等价执行体， 即可完成异构功能等价执行体的参数归一化。 0025 特别的， 为了保证多个异构功能等价执行体获取到相同的归一化参数， 所述归一 化参数提供单元在接到所有在线的。

18、异构功能等价执行体的获取请求后， 才会生成归一化参 数。 进一步地， 当在T时间范围内， 归一化参数提供单元如果未收到某个异构功能等价执行 体的获取请求， 归一化参数提供单元向反馈控制模块进行异常信息上报， 此时， 反馈控制模 块可以将异常的异构功能等价执行体进行下线清洗； 优选地， 外部Client回复的确认送达数据报文可以经分发代理模块直接复制分发给各 个异构功能等价执行体。 0026 实施例3 本实施例提供了一种针对TCP协议的异构功能等价执行体归一化方法， 处理流程如图3 所示： （1） 异构功能等价执行体 （TCP协议栈） 接收外部Clinet发送的TCP同步请求， 其中， 分发 代。

19、理模块发送给每个异构功能等价执行体的报文内容应是相同的； （2） 异构功能等价执行体 （TCP协议栈） 接收到TCP同步请求报文后， 主动从归一化参数 提供单元处获取SEQ值； 其中， 归一化参数提供单元必须在接到所有在线的异构功能等价执 行体的SEQ值请求后， 才会发布SEQ值； 当在T时间 （根据具体应用进行制定， 一般应为协议重 传时间RT70%） 范围内， 归一化参数提供单元如果未收到某个异构功能等价执行体的SEQ 值请求， 则向反馈控制模块进行异常信息上报， 此时， 反馈控制模块将异常的异构功能等价 执行体进行下线清洗； （3） 异构功能等价执行体 （TCP协议栈） 从归一化单元处获。

20、取到SEQ值后， 向外部Clinet 发送同步请求应答报文； （4） 外部Client收到异构功能等价执行体 （TCP协议栈） 发送的同步请求应答报文后， 通 说明书 3/5 页 5 CN 111641625 A 5 过分发代理模块将ACK数据报文简单地复制分发给各个异构功能等价执行体， 即可完成异 构功能等价执行体的TCP协议参数归一化。 0027 实施例4 本发明第三方面提供了一种异构功能等价执行体归一化装置， 该装置包括所述的异构 功能等价执行体归一化模块； 所述异构功能等价执行体归一化模块， 在收到各个待归一化的异构功能等价执行体在 接收到外部Clinet发送的同步请求后生成的归一化请。

21、求后， 生成归一化参数并输出至所述 异构功能等价执行体； 各个待归一化的异构功能等价执行体获取到归一化参数后， 将生成的内容一致的同步 请求应答报文返回至外部Clinet； 各个待归一化的异构功能等价执行体收到外部Client收到各个异构功能等价执行体 的同步请求应答报文后， 回复确认送达数据报文至各个异构功能等价执行体， 即可完成异 构功能等价执行体的参数归一化。 0028 特别的， 为了保证多个异构功能等价执行体获取到相同的归一化参数， 所述归一 化参数提供单元在接到所有在线的异构功能等价执行体的获取请求后， 才会生成归一化参 数。 进一步地， 当在T时间范围内， 归一化参数提供单元如果未。

22、收到某个异构功能等价执行 体的获取请求， 归一化参数提供单元向反馈控制模块进行异常信息上报， 此时， 反馈控制模 块可以将异常的异构功能等价执行体进行下线清洗； 优选地， 外部Client回复的确认送达数据报文可以经分发代理模块直接复制分发给各 个异构功能等价执行体。 0029 实施例5 本实施例提供了一种拟态防御架构， 如图4所示， 包括输入代理、 输出代理、 异构功能等 价执行体、 反馈控制器与裁决器， 还包括所述的异构功能等价执行体归一化装置， 用以实现 异构功能等价执行体的参数归一化。 0030 进一步地， 所述异构功能等价执行体归一化装置为独立模块或集成于所述反馈控 制器中。 003。

23、1 实施例6 本实施例提供了一种计算机可读存储介质， 其上存储有计算机指令， 该计算机指令被 处理器执行时实现所述异构功能等价执行体归一化方法的步骤。 0032 本领域普通技术人员可以意识到， 结合本文中所公开的实施例描述的各示例的单 元及方法步骤， 能够以电子硬件、 或者计算机软件和电子硬件的结合来实现。 这些功能究竟 以硬件还是软件方式来执行， 取决于技术方案的特定应用和设计约束条件。 专业技术人员 可以对每个特定的应用来使用不同方法来实现所描述的功能， 但是这种实现不应认为超出 本申请的范围。 0033 在本申请各个实施例中的各功能单元可以集成在一个处理单元中， 也可以是各个 单元单独物。

24、理存在， 也可以两个或两个以上单元集成在一个单元中。 上述集成的单元既可 以采用硬件的形式实现， 也可以采用软件功能单元的形式实现。 0034 上述集成的模块如果以软件功能单元的形式实现并作为独立的产品销售或使用 时， 还可以存储在一个计算机可读取存储介质中。 基于这样的理解， 本申请实现上述实施例 说明书 4/5 页 6 CN 111641625 A 6 方法中的全部或部分流程， 也可以通过计算机程序来指令相关的硬件来完成， 上述的计算 机程序可存储于计算机可读存储介质中， 该计算机程序在被处理器执行时， 可实现上述各 个方法实施例的步骤。 其中， 上述计算机程序包括计算机程序代码， 上述计。

25、算机程序代码可 以为源代码形式、 对象代码形式、 可执行文件或某些中间形式等。 0035 以上所述， 仅为本发明的具体实施方式， 但本发明的保护范围并不局限于此， 任何 熟悉本技术领域的技术人员在本发明揭露的技术范围内， 可轻易想到变化或替换， 都应涵 盖在本发明的保护范围之内。 因此， 本发明的保护范围应以所述权利要求的保护范围为准。 说明书 5/5 页 7 CN 111641625 A 7 图1 说明书附图 1/4 页 8 CN 111641625 A 8 图2 说明书附图 2/4 页 9 CN 111641625 A 9 图3 说明书附图 3/4 页 10 CN 111641625 A 10 图4 说明书附图 4/4 页 11 CN 111641625 A 11 。