一种异构三模冗余处理器的输出判决装置及方法与流程

本发明属于工业控制系统安全防护技术以及其他对系统安全性、可靠性要求高的技术领域，具体的涉及一种异构三模冗余处理器的输出判决装置及方法。

背景技术：

随着计算机网络技术在工业控制系统普及和发展，工业控制系统包括(dcs、plc、tcs、scada)系统网络已经普及到工业产业的所有领域。工业控制系统的原始设计以高可靠性、高实时性、高控制性为目标，但工业控制系统的信息化放大了系统内部隐患和外部干扰，致使近年来工控安全事件频发，造成的危害隐蔽性高、影响面广，甚至涉及国家安全。

由于历史的原因，具有计算机网络特征的工业控制系统在设计时并未将整体系统的信息安全防护进行重点设计，而主要使用部署工业防火墙和工业隔离网关等边界防护设备的手段提高工控安全。边界防护设备只能防护已知攻击，对工业控制系统本身漏洞和后门引起的未知攻击无法防护。

现有工控系统大多采用同构冗余设计提高系统可靠性，但同构冗余部件的内在结构及其设计逻辑是相同的，存在的漏洞和后门也相同，攻击者只要掌握了一个冗余体的缺陷，也就掌握了其他冗余体的缺陷，针对此缺陷进行攻击，系统信息安全方面的可靠性得不到保障。

技术实现要素：

本发明针对现有工控系统大多采用同构冗余设计，存在同构冗余部件的内在结构及其设计逻辑是相同的，存在的漏洞和后门也相同，攻击者只要掌握了一个冗余体的缺陷，也就掌握了其他冗余体的缺陷，针对此缺陷进行攻击，系统信息安全方面的可靠性得不到保障等问题，提出一种异构三模冗余处理器的输出判决装置及方法

本发明的技术方案是：一种异构三模冗余处理器的输出判决装置，包括三个向外部提供服务的异构处理器，还包括同步器、输出判决器和清洗器，异构处理器与输出判决器相连、同步器和清洗器相连；

同步器，用于向异构处理器发送同步信号和接收异构处理器发送的同步反馈信息，以及向输出判决器发送异构处理器同步状态；

输出判决器，用于接收外部配置参数，接收同步器给出的同步信号，根据配置参数选择对应的比较判决策略，以及，接收异构处理器发来的结果，并对这些结果进行比较判决，选择其中一个作为判决输出，并将判决为错误的异构处理器告知清洗器；

清洗器，用于保存各异构处理器的出错次数，如果一个异构处理器的出错次数达到预设阈值，则向该异构处理器发出清洗信号。

所述的异构三模冗余处理器的输出判决装置，所述异构处理器的输出结果累计多次在比较判决中被认定为错误结果时，清洗器向异构处理器发送清洗信号，同时告知所述输出判决器暂停向异构处理器发送计算请求。

所述的异构三模冗余处理器的输出判决装置，其特征在于：所述异构处理器完成清洗，向输出判决器告知清洗完毕，输出判决器重新向所述异构处理器发送计算请求。

一种异构三模冗余处理器的输出判决方法，包括以下步骤：

输出判决器接收外部配置参数，根据配置参数的指示，调整到相应比较判决策略和策略模式；

异构处理器接收同步器发送的同步信号，同步执行程序，并将结果发送至输出判决器；

同步器定时向异构处理器发送同步信号，接收异构处理器返回的同步信息，并将异构处理器同步状态信息发送至输出判决器；

输出判决器接收来自异构处冗余理器和同步器的信息，根据比较判决策略和策略模式，选择一个异构处理器的结果作为判决输出。

所述的异构三模冗余处理器的输出判决方法，其特征在于：所述配置参数包括选择对异构处理器输出结果的比较判决策略和选择比较判决的策略模式。

所述的异构三模冗余处理器的输出判决方法，其特征在于：所述根据配置参数选择比较判决策略包括：

当配置参数为10时，按照第一预设策略的第一预设模式选择一个异构处理器的输出；

当配置参数为11时，按照第一预设策略的第二预设模式选择一个异构处理器的输出；

当配置参数为20时，按照第二预设策略的第一预设模式选择一个异构处理器的输出；

当配置参数为21时，按照第二预设策略的第二预设模式选择一个异构处理器的输出；

当配置参数为22时，按照第二预设策略的第三预设模式选择一个异构处理器的输出。

所述的异构三模冗余处理器的输出判决方法，所述第一预设策略为基于可信度的择多判决策略，包括历史经验可信度模式和权值模式。

所述的异构三模冗余处理器的输出判决方法，所述第二预设策略为基于抽样择多的复合单选判决策略，包括随机模式、基于时间片轮换模式和基于程序分段轮换模式。

本发明的有益效果是：本发明提供了一种异构三模冗余处理器的输出判决装置和方法，由于输出判决器能根据外部的配置参数改变判决策略及其模式，因此，一方面通过高可靠的判决策略，可以将异构三模冗余处理器输出错误结果的概率降低至少一个数量级，提高了处理器的可靠性。另一方面，异构三模冗余处理器的结构特征被输出判决器屏蔽，结合其异构冗余特性，很好地掩饰了其真实的结构信息，为攻击嗅探和实施增加了难度。此外，通过清洗器将发生异常的异构处理器清洗后再重新工作，提高了处理器的容错能力和可用性。

附图说明

图1为本发明的一种异构三模冗余处理器输出判决装置的结构示意图；

图2为本发明的一种异构三模冗余处理器输出判决方法的流程图；

图3为输出判决器根据配置参数选择判决策略的流程示意图。

具体实施方式

实施例1：结合图1-图2，一种异构三模冗余处理器输出判决装置的，该装置应用于工业控制系统领域中。

如图1所示，该异构三模冗余处理器输出判决装置包括三个异构处理器，同步器，输出判决器和清洗器，其中，

三个异构处理器，接收同步器发出的同步信号，对自身程序进行同步，向同步器返回同步信息，并将程序运行结果发送给输出判决器，以及，接收来自清洗器的清洗信号，完成自身清洗过程，并向输出判决器发送清洗完成信号。

同步器，用于向异构处理器发送同步信号和接收异构处理器发送的同步反馈信息，以及，向输出判决器发送异构处理器同步状态。

输出判决器，用于接收外部配置参数，接收同步器给出的同步信号，根据配置参数选择对应的比较判决策略，以及，接收异构处理器发来的结果，并对这些结果进行比较判决，选择其中一个作为判决输出，并将判决为错误的异构处理器告知清洗器。

清洗器中保存各异构处理器的出错次数，如果一个异构处理器的出错次数达到预设阈值，则向该异构处理器发出清洗信号。

三个异冗余构处理器，分别与同步器、清洗器和输出判决器相连接，用于处理外部服务，并且每个异构处理器都能提供相同的服务。每个异构处理器的上层驱动、操作系统和应用程序也是异构功能等价的。

三个异构处理器，在接收到清洗信号的情况下，对自身进行清洗操作。由于应用程序有有记忆和无记忆之分，清洗操作也分为有记忆情况下的清洗操作和无记忆情况下的清洗操作，有记忆下的清洗操作包括清理缓存、清理配置文件，以及与其他异构处理器同步等，无记忆下的清洗操作包括对异构处理器进行初始化的配置等类似于复位的操作。

本公开的一种异构三模冗余处理器的输出判决装置，会根据外部输入的配置参数不同，选择不同的判决策略和策略模式，对三个异构处理器的输出结果进行判决，因此，增加了整个装置对外结构表征的复杂度，使基于漏洞和后门扫描的攻击操作更难实施。

另一方面，对异构处理上可能存在多个未知陷门或漏洞，只要这些未知的陷门或漏洞不是在所有异构处理器的同一位置上，并且不是同时被攻击者攻破，那么该装置对网络系统中可能存在多个未知安全漏洞（缺陷），就具有防御能力。

此外，通过对异构处理器的清洗操作，使一个异构处理器在出现异常情况后，还能通过清洗恢复到正常的状态，提高了整个装置的可用性和持续性。

在一个实施例中，进一步地，上述输出判决器根据配置参数选择判决策略的步骤包括：

步骤s1：当配置参数为10时，按照第一预设策略的第一预设模式选择一个异构处理器的输出；

该模式下的策略为基于历史经验可信度的择多判决策略。

步骤s2：当配置参数为11时，按照第一预设策略的第二预设模式选择一个异构处理器的输出；

该模式下的策略为基于权值的择多判决策略。

步骤s3：当配置参数为20时，按照第二预设策略的第一预设模式选择一个异构处理器的输出；

该策略为基于抽样择多的复合单选判决策略，模式为随机模式。

步骤s4：当配置参数为21时，按照第二预设策略的第二预设模式选择一个异构处理器的输出；

该策略为基于抽样择多的复合单选判决策略，模式为基于时间片轮换模式。

步骤s5：当配置参数为22时，按照第二预设策略的第三预设模式选择一个异构处理器的输出。

该策略为基于抽样择多的复合单选判决策略，模式为基于程序分段轮换模式。

基于可信度的择多判决策略是指，对于三个异构处理器的输出结果，假如三个结果一致，则判决一致的结果为正确结果；假如其中两个异构处理器的结果一致，另外一个结果不一致，则判决一致的结果为正确结果；假如三个结果都不一致，则判决可信度高的处理器的结果为正确结果；假如其中一个异构处理器正在清洗，另外两个异构处理器的结果一致，则判决一致的结果为正确结果；假如其中一个异构处理器正在清洗，另外两个异构处理器的结果不一致，则判决可信度高的处理器的结果为正确结果；假如其中两个异构处理器正在清洗，则始终判决另外一个处理器的结果为正确结果。

基于历史经验可信度的择多判决策略是指，上述可信度为历史经验可信度。每个异构处理器的历史经验可信度初始值为0，每当该处理器结果被判决为正确一次，则历史经验可信度加1；反之则减1。每当该处理器发生清洗一次，则历史经验可信度减少为清洗前的1/2。

基于权值的择多判决策略是指，上述可信度为权值。每个异构处理器的权值初始值由管理员配置，在处理器正常工作过程中，权值不发生改变。每当该处理器发生清洗一次，则权值减少为清洗前的一半。

基于抽样择多的复合单选判决策略是指，三个异构处理器分别为主处理器、从处理器和备用处理器，输出判决器将主处理器的输出判决为正确结果。同时，每隔一段时间将主从处理器的输出结果进行比较，如果主从处理器的结果相同，则认为二者状态都正常；如果主从处理器的结果不一致，将备用处理器的结果也进行比较，判别出现异常的处理器。在一定情况下，需要改变异构处理器的主从备状态，以此增加系统的动态性和随机性。

上述一定情况包括：主处理器的结果出现错误（从处理器和备用处理器结果相同，与主处理器结果不同）；从处理器的结果出现错误（主处理器和备用处理器结果相同，但与从处理器结果不同）；三个处理器的状态都正常，但当前的主从备状态已经持续了一段时间（系统已经处于稳定状态一段时间，增加了被攻击者嗅探和攻击的风险，需要动态变化）。

在上述基础上，按照基于抽样择多的复合单选判决策略对异构处理器的结果进行判决的步骤包括：

步骤s21：当主处理器出现错误时，将从处理器切换为主处理器，将备用处理器切换为从处理器，将主处理器切换为备用处理器。清洗器向切换后的备用处理器发出清洗信号。输出判决器在下一次切换前输出本次切换后的主处理的结果作为判决结果。

步骤s22：当从处理器出现错误时，主处理器不变，将从处理器切换为备用处理器，将备用处理器切换为从处理器。清洗器向切换后的备用处理器发出清洗信号。输出判决器在下一次切换前输出本次切换后的主处理的结果作为判决结果。

步骤s23：当三个处理器都正常工作，但当前的主从备状态已经持续一段时间时，切换处理器有三种模式：

第一种模式为随机切换模式，将三个处理器分别编号为0、1、2。生成一个随机数n，编号为n%3的处理器切换为主处理器，编号为(n+1)%3的处理器切换为从处理器，编号为(n+2)%3的处理器切换为备用处理器。其中n可以采用程序生成的伪随机数，也可以是系统时间、中间运算结果、系统实时状态参数等真随机数。

第二种模式为基于时间片的轮换模式，指在0-t1时间段内采用主处理器的结果，在t1-t2时间段内采用从处理器的结果，在t2-t3时间段内采用备用处理器的结果，在t3-t4时间段内采用主处理器的结果，并以此类推。

第三种模式为基于程序分段的轮换模式，指在第一程序段内采用主处理器的结果，在第二程序段内采用从处理器的结果，在第三程序段内采用备用处理器的结果，在第四程序段内采用主处理器的结果，并以此类推。

结合上述公开的一种异构三模冗余处理器的输出判决装置，本发明还提供一种异构三模冗余处理器的输出判决方法，方法包括：

步骤101：输出判决器接收外部配置参数，根据所述配置参数的指示，调整到相应比较判决策略和策略模式；

步骤102：同步器向异冗余构处理器发送同步信号；

步骤103：异构处理器接收同步器发出的同步信号，同步执行程序，向同步器返回同步信息，并将程序运行结果发送至输出判决器；

步骤104：同步器接收异构处理器返回的同步信息，并生成同步状态信息发送给输出判决器；

步骤105：输出判决器接收到上述同步器发来的同步状态信息和异构处理器发来的程序运行结果后，根据之前选定的比较判决策略和策略模式，选择一个异构处理器的运行结果作为判决输出。

此外，在判决的过程中，若存在某个异构处理器的结果被判决为错误的情况，清洗器记录该异构处理器的错误次数，在错误次数达到阈值时，向该异构处理器发出清洗信号。异构处理器在接收到清洗信号后，暂停程序运行，开始进行自我清洗，在清洗完成后向输出判决器发出清洗完成信号，并重新向其输出运行结果。

在上述一种异构三模冗余处理器的输出判决方法中的输出判决器、同步器、异构处理器和清洗器与上述输出判决装置相同，在此不做详细说明。

本发明实施例提供的一种异构三模冗余处理器的输出判决方法，输出判决器根据配置参数配置相应的判决策略和策略模式，依据判决策略和策略模式选择三个异构处理器中的一个运行结果作为判决输出。判决策略的变化使得对外部提供服务的异构处理器也在不停变化，增加了系统的动态性。同时，各判决策略及其策略模式中都涉及到了比较、择多等判决方式，提高了判决输出结果的可靠性和正确率。

另一方面，对异构处理上可能存在多个未知陷门或漏洞，只要这些未知的陷门或漏洞不是在所有异构处理器的同一位置上，并且不是同时被攻击者攻破，那么该装置对网络系统中可能存在多个未知安全漏洞（缺陷），就具有防御能力。

此外，通过对出现异常处理结果的异构处理器进行清洗操作，即使有异构处理器发生异常，本装置依然能正常为外部提供服务，且经过一个清洗周期，还有望恢复到正常的工作状态，使本装置的可用性得到了大幅提高。

本领域的技术人员可以清楚地了解到本发明实施例中的技术可借助软件加必需的通用硬件平台的方式来实现。基于这样的理解，本发明实施例中的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品可以存储在存储介质中，如rom/ram、磁碟、光盘等，包括若干指令用以使得一台计算机设备（可以是个人计算机，服务器，或者网络设备等）执行本发明各个实施例或者实施例的某些部分所述的方法。

以上所述仅是本发明的具体实施方式，应当指出，对于本技术领域的普通技术人员来说，在不脱离本发明原理的前提下，还可以做出若干改进和润饰，这些改进和润饰也应视为本发明的保护范围。