武器装备控制内生安全计算机设计系统及方法与流程

本发明涉及计算机网络安全领域，具体地，涉及一种武器装备控制内生安全计算机设计系统及方法。

背景技术：

国内武器装备安全最初以保护武器装备指令安全为主要目标，武器装备安全指令接收机接收地面安控设备发出的安全指令,经解码、识别后将指令送到安全控制器,由控制器输出执行指令,完成地面信息指令任务。信息指令一般为二进制数字编码指令,以增加抗干扰能力,而且信息系统具有较强的变换指令功能,通常备有数百种指令,在武器临射前进行选择。指令选定后装订入信息指令接收机,然后和信息发射机对接,进行指令产生、传输和检出的检验。武器装备信息数据保护手段主要包括：(1)加密业务，使任何非授权方不能解释来自授权源的信息内容。加密业务使用数据加密算法将明文数据变换为密文数据,以防数据内容泄露；(2)完整性业务，保证授权源的信息在发送、传输和接收过程中没有任何非法的修改；(3)认证业务，可防止非法者的伪造数据攻击,其中包括抄袭攻击、认证业务通过检查经过加密业务或完整性业务保护的数据源地址、数据发送序列计数等实现。

但是上述方式均是基于数据保护的层面提高装备安全。而拟态防御技术是我国科学家提出的新型主动防御技术，其核心是从架构层面实现动态、异构、冗余的内生安全设计，从而保证系统在收到后门、漏洞威胁攻击时能够正常运行，不受影响。

目前现有的防黑客攻击计算机设计包括进行硬件隔离的分区设计，基于加密算法重构的网络防御方法。

公开号为cn110337651a”的专利文献“防黑客计算机设计”公开了一种计算机结构被公开用于实现防黑客计算装置，该发明主要是从黑客攻击的角度提出的防黑客攻击方法。它是基于黑客访问、窃取相关操作的被动防御，而本文所提发明是面向武器装备控制的新型主动防御方式，技术领域不同。

公开号为“107065750a”的专利文献“内生安全的工业控制网络动态防御方法”公开了一种内生安全的工业控制网络动态防御方法，其核心在于对加密算法的动态可重构，而本文所提发明则从拟态防御的角度，对控制执行体进行异构设计，通过分发、裁决模块和反馈控制模块的协同作用实现即便出现异常情况下依然不影响武器装备控制指令的收发。

技术实现要素：

针对现有技术中的缺陷，本发明的目的是提供一种武器装备控制内生安全计算机设计系统及方法。

根据本发明的一个方面，提供了一种武器装备控制内生安全计算机设计系统，包括如下模块：分发代理模块、异构执行体模块、裁决服务模块和反馈控制模块；

一个或多个所述异构执行体模块通过交换机分别与所述分发代理模块、所述裁决服务模块和反馈控制模块连接。

优选地，所述分发代理模块包括：网络数据收发模块、帧数据签名模块、数据缓冲模块和帧数据转发模块；网络数据收发模块将接收来自上游的数据报，提交至数据缓冲模块的数据缓冲队列进行缓冲，通过帧数据签名模块的帧数据签名进行统一编码和签名后，通过帧数据转发模块复制为三份分别提交给各控制执行体。

优选地，所述异构执行体模块提供组成异构的控制执行体，将分发代理模块提供的来自分发设备、外接设备的战争计划、武器装备控制数据与指令以一转多的形式传递给多个武器装备控制执行体，经过数据加解密、数据解析过程后，异构的控制执行体将数据响应、指令响应状态和上下文状态转发至裁决服务模块，裁决服务模块基于多数表决机制输出正确的结果。

优选地，所述裁决服务模块包括网络数据收发模块、帧队列管理模块、策略管理模块、结果裁决模块和结果反馈模块；网络数据收发模块将接收到来自控制执行体的数据并提交至帧队列管理模块的帧队列进行缓冲，分析签名，得到统一签名的三个数据报后，依据策略管理模块的裁决策略进行在结果裁决模块中进行结果比对并输出正确结果，同时将裁决记录上报给反馈控制模块，若裁决服务发现系统存在多个执行体响应数据不一致情况，将依据裁决设备预设策略，调用反馈控制模块进行异步清洗恢复处理。

优选地，所述反馈控制模块包括网络数据收发模块、裁决结果记录模块、日志分析模块和执行体清洗控制模块；反馈控制模块通过网络数据收发模块接收由裁决服务模块上报的结果，通过裁决结果记录模块进行记录，通过日志分析模块中的日志比对和分析判断应用执行体是否为异常，并针对异常应用执行体通过执行体清晰控制模块发起清洗控制指令，为内生安全应用系统提供自愈反馈能力。

根据本发明的另一个方面，提供了一种武器装备控制内生安全计算机设计方法，根据上述的一种武器装备控制内生安全计算机设计系统，包括如下步骤：分发代理步骤、异构执行体步骤、裁决服务步骤和反馈控制步骤。

优选地，所述分发代理步骤包括：

子步骤1：维护系统内所有设备的编码、域名、地址、转发通道、转发端口等信息，形成系统的整体路由表单；

子步骤2：在接收到来自端口的数据报文或文件后，分析报文头检索出目的用户编码，同时查询路由表检查目的用户地址、转发通道和转发端口，并按照要求转发出；

子步骤3：针对转发报文的内生安全防护，通过应用软件的异构化设计形成多副本，在接收到需要转发的报文时独立执行数据解析，完成路由表查询。

优选地，所述异构执行体步骤包括：

子步骤1：裁决服务软件接收到来自应用执行体的数据并提交至帧队列进行缓冲，分析签名，得到统一签名的三个数据报；

子步骤2：对于分析签名后得到的三个数据报，依据裁决策略进行结果比对并输出正确结果，同时将裁决记录上报给反馈控制服务软件；

子步骤3：若裁决服务发现系统存在多个执行体响应数据不一致情况，将依据裁决设备预设策略，调用反馈控制软件进行异步清洗恢复处理。

优选地，所述反馈控制步骤包括：

子步骤1：记录在运行过程中由裁决服务软件上报的结果，并记录为日志；

子步骤2：通过日志比对和分析判断应用执行体是否为异常，并针对异常应用执行体发起清洗控制指令，为内生安全应用系统提供自愈反馈能力。

优选地，所述异构执行体步骤包括：将所述分发代理步骤提供的来自分发设备、外接设备的战争计划、武器装备控制数据与指令以一转多的形式传递给多个武器装备控制执行体，经过数据加解密、数据解析过程后，异构的控制执行体将数据响应、指令响应状态和上下文状态转发至裁决服务步骤，裁决服务步骤基于多数表决机制输出正确的结果。

与现有技术相比，本发明具有如下的有益效果：

1.本发明基于拟态防御的dhr架构，在不改变系统操作流程的情况下，基于c/s架构实现tcp数据收发，并通过嵌入式异构执行体的不同配置实现计算机的内生安全设计。

2.本发明通过研究面向武器装备地面系统功能和信息安全的需求背景，将计算机的显控、业务模块进行分离，通过裁决服务进行输出控制，实时切换异常信息的显示，提高系统清洗恢复的效率。

3.对于内生安全计算机的分发代理、裁决服务和反馈控制模块均采用嵌入式实时处理方式，很好的保证计算机服务处理的实时性和时间确定性。

4.本发明以武器装备地面系统功能和信息安全为需求背景，以传统武器装备安全方法为基础，将内生安全的思想融入到计算机架构设计中，研制面向武器装备的内生安全操控计算机，从架构层面解决了面向武器装备控制计算机的内生安全问题，为武器装备系统提供强有力的保障。

5.本发明通过将显控、业务等不同模块分离，大大提高系统的安全性。

附图说明

通过阅读参照以下附图对非限制性实施例所作的详细描述，本发明的其它特征、目的和优点将会变得更明显：

图1为武器装备控制内生安全计算机系统框图；

图2为武器装备控制内生安全计算机系统架构图；

图3为武器装备控制内生安全计算机信息流图。

具体实施方式

下面结合具体实施例对本发明进行详细说明。以下实施例将有助于本领域的技术人员进一步理解本发明，但不以任何形式限制本发明。应当指出的是，对本领域的普通技术人员来说，在不脱离本发明构思的前提下，还可以做出若干变化和改进。这些都属于本发明的保护范围。

实施例1

本发明提供了一种武器装备控制内生安全计算机设计系统，如图1所示，分发代理模块、异构执行体模块、裁决服务模块和反馈控制模块；一个或多个所述异构执行体模块通过交换机分别与所述分发代理模块、所述裁决服务模块和反馈控制模块连接。

如图2所述，分发代理模块包括：网络数据收发模块、帧数据签名模块、数据缓冲模块和帧数据转发模块；网络数据收发模块将接收来自上游的数据报，提交至数据缓冲模块的数据缓冲队列进行缓冲，通过帧数据签名模块的帧数据签名进行统一编码和签名后，通过帧数据转发模块复制为三份分别提交给各控制执行体。

异构执行体模块提供组成异构的控制执行体，将分发代理模块提供的来自分发设备、外接设备的战争计划、武器装备控制数据与指令以一转多的形式传递给多个武器装备控制执行体，经过数据加解密、数据解析过程后，异构的控制执行体将数据响应、指令响应状态和上下文状态转发至裁决服务模块，裁决服务模块基于多数表决机制输出正确的结果。

裁决服务模块包括网络数据收发模块、帧队列管理模块、策略管理模块、结果裁决模块和结果反馈模块；网络数据收发模块将接收到来自控制执行体的数据并提交至帧队列管理模块的帧队列进行缓冲，分析签名，得到统一签名的三个数据报后，依据策略管理模块的裁决策略进行在结果裁决模块中进行结果比对并输出正确结果，同时将裁决记录上报给反馈控制模块，若裁决服务发现系统存在多个执行体响应数据不一致情况，将依据裁决设备预设策略，调用反馈控制模块进行异步清洗恢复处理。

反馈控制模块包括网络数据收发模块、裁决结果记录模块、日志分析模块、执行体清洗控制模块；反馈控制模块通过网络数据收发模块接收由裁决服务模块上报的结果，通过裁决结果记录模块进行记录，通过日志分析模块中的日志比对和分析判断应用执行体是否为异常，并针对异常应用执行体通过执行体清晰控制模块发起清洗控制指令，为内生安全应用系统提供自愈反馈能力。

在本实施例中，首先以x86、国产arm等为基础平台，操作系统层以windows、锐华、vxworks等为基础进行异构执行体构建，应用层相应实现windows、锐华、vxworks等目标应用版本的软硬件基础设施。同时采用c/s架构，在不改变系统操作流程的情况下，使用tcp监听模式收发服务请求。针对嵌入式处理平台高实时的要求，按照本发明所提设计在分发代理模块中添加数据缓冲模块和帧数据签名模块，然后将来自分发设备、外接设备的战争计划、武器装备控制数据与指令以一转多的形式传递给多个武器装备控制执行体，经过数据加解密、数据解析等过程后，异构执行体将数据响应、指令响应状态、上下文状态转发至裁决服务，裁决服务基于多数表决机制输出正确的结果。另外，通过设计轻量化的反馈控制机制，系统可保存执行体上下文，若裁决服务发现异常执行体，可在执行清洗恢复后通过上下文同步快速同步执行体运行状态，避免系统陷入等待执行体服务的阻塞状态，并通过反馈控制模块输出异常控制执行体的信息，进而为系统清洗恢复提供支撑。实现系统的高可靠稳定运行。

本发明针对武器装备控制计算机多路显示与控制的情况，设计显示切换功能，提供多路屏幕显示到单路显示的控制，输出控制有裁决服务根据判决结果选择。用户针对屏幕的操控输入由显示切换发送至分发代理，并提交至目前正在运行的执行体，以保证所有执行体在运行过程中的状态一致性；如遇到目前在显示的执行体存在输出结果异常情况，则自动执行显示切换工作，保证武器装备控制计算机在执行过程中正确的显示与操控。

实施例2

本发明还提供了一种武器装备控制内生安全计算机设计方法，包括如下步骤：分发代理步骤、异构执行体步骤、裁决服务步骤和反馈控制步骤。

分发代理步骤包括：子步骤1：维护系统内所有设备的编码、域名、地址、转发通道、转发端口等信息，形成系统的整体路由表单；子步骤2：在接收到来自端口的数据报文或文件后，分析报文头检索出目的用户编码，同时查询路由表检查目的用户地址、转发通道和转发端口，并按照要求转发出；子步骤3：针对转发报文的内生安全防护，通过应用软件的异构化设计形成多副本，在接收到需要转发的报文时独立执行数据解析，完成路由表查询。

异构执行体步骤包括：子步骤1：裁决服务软件接收到来自应用执行体的数据并提交至帧队列进行缓冲，分析签名，得到统一签名的三个数据报；子步骤2：对于分析签名后得到的三个数据报，依据裁决策略进行结果比对并输出正确结果，同时将裁决记录上报给反馈控制服务软件；子步骤3：若裁决服务发现系统存在多个执行体响应数据不一致情况，将依据裁决设备预设策略，调用反馈控制软件进行异步清洗恢复处理。

反馈控制步骤包括：子步骤1：记录在运行过程中由裁决服务软件上报的结果，并记录为日志；子步骤2：通过日志比对和分析判断应用执行体是否为异常，并针对异常应用执行体发起清洗控制指令，为内生安全应用系统提供自愈反馈能力。

异构执行体步骤包括：将所述分发代理步骤提供的来自分发设备、外接设备的战争计划、武器装备控制数据与指令以一转多的形式传递给多个武器装备控制执行体，经过数据加解密、数据解析过程后，异构的控制执行体将数据响应、指令响应状态和上下文状态转发至裁决服务步骤，裁决服务步骤基于多数表决机制输出正确的结果。

在本实施例中，计算机信息流如图3所示，经过如下步骤传递信息流：

步骤一：通过显示器、键盘、鼠标等输入发送控制命令给分发代理模块；

步骤二：分发代理接收到相应的武器装备控制命令请求后对系统的路由表单进行更新维护，准备数据指令的计划操控工作；

步骤三：在接收到来自端口的数据报文/文件后，分析报文头检索出目的用户编码，并查询路由表检查目的用户地址、转发通道和转发端口，并按照要求转发出去；

步骤四：针对转发报文的内生安全防护，通过应用软件的异构化设计形成多副本；

步骤五：各执行体在接收到需要转发的报文时独立执行数据解析，按照各自的执行逻辑进行武器装备控制和数据记录及监控管理；

步骤六：各武器装备控制执行体经过数据加解密、数据解析等过程后，第一时间将数据响应、指令响应状态、上下文状态转发至裁决服务；

步骤七：裁决服务软件接收到来自应用执行体的数据并提交至帧队列进行缓冲，分析签名，得到统一签名的三个数据报；

步骤八：对于分析签名后得到的三个相同格式的数据报，依据裁决策略进行结果比对并输出正确结果，同时将裁决记录上报给反馈控制服务软件；

步骤九：若裁决服务裁决一致，则系统正常输出武器装备控制命令；显示器显示正常情况下的各执行体状态及武器装备控制信息。若裁决服务发现系统存在多个执行体响应数据不一致情况，则转入步骤十；

步骤十：若裁决服务发现系统存在多个执行体响应数据不一致情况，将依据裁决设备预设策略，调用反馈控制软件进行异步清洗恢复处理。此时将异常执行体情况输出显示于显示器；并针对其实行实时的清洗恢复。

本领域技术人员知道，除了以纯计算机可读程序代码方式实现本发明提供的系统及其各个装置、模块、单元以外，完全可以通过将方法步骤进行逻辑编程来使得本发明提供的系统及其各个装置、模块、单元以逻辑门、开关、专用集成电路、可编程逻辑控制器以及嵌入式微控制器等的形式来实现相同功能。所以，本发明提供的系统及其各项装置、模块、单元可以被认为是一种硬件部件，而对其内包括的用于实现各种功能的装置、模块、单元也可以视为硬件部件内的结构；也可以将用于实现各种功能的装置、模块、单元视为既可以是实现方法的软件模块又可以是硬件部件内的结构。

在本申请的描述中，需要理解的是，术语“上”、“下”、“前”、“后”、“左”、“右”、“竖直”、“水平”、“顶”、“底”、“内”、“外”等指示的方位或位置关系为基于附图所示的方位或位置关系，仅是为了便于描述本申请和简化描述，而不是指示或暗示所指的装置或元件必须具有特定的方位、以特定的方位构造和操作，因此不能理解为对本申请的限制。

以上对本发明的具体实施例进行了描述。需要理解的是，本发明并不局限于上述特定实施方式，本领域技术人员可以在权利要求的范围内做出各种变化或修改，这并不影响本发明的实质内容。在不冲突的情况下，本申请的实施例和实施例中的特征可以任意相互组合。