推荐星级：

面向工控领域的拟态安全处理机架构

更新时间：2020-01-03 15:23:23 大小：6M 上传用户：xiaohei1810 查看TA发布的资源 标签：工控拟态安全处理机 下载积分：1分评价赚积分（如何评价?）打赏收藏评论(0) 举报

资料介绍

近年来,针对工控系统的攻击越来越多,工业控制系统应用大多涉及国计民生,其安全问题不容忽视.我国工控系统中现场PLC、终端、RTU等控制设备大部分使用国外的控制组件,对于未知的逻辑炸弹和后门基本没有安全防护能力.为此,本文以拟态技术为基础,提出了一种通用的拟态安全处理机架构,采用基于状态保存的两步清洗技术和高可靠判决策略,使得符合该架构规范的应用程序均能借助拟态处理架构防护操作系统、处理机和外围器件可能出现己知或未知的后门/漏洞,最后的仿真验证结果验证了该系统可以有效地抵御多种类型的攻击.

部分文件列表

文件名	大小
面向工控领域的拟态安全处理机架构.pdf	6M

立即下载

【关注公众号立即送20积分】

部分页面预览

（完整内容请下载后查看）

Vbl．2 No．1

信息安全学报

第2卷第1期

2017年1月

Joumal of

Janua啦2叭7

Cyber Security

面向工控领域的拟态安全处理机架构

魏帅，于洪，顾泽宇，张兴明

国家数字交换系统工程技术研究中心郑州中国450002

摘要近年来，针对工控系统的攻击越来越多，工业控制系统应用大多涉及国计民生，其安全问题不容忽视。我国工控系统中现

场PLc、终端、RTu等控制设备大部分使用国外的控制组件，对于未知的逻辑炸弹和后门基本没有安全防护能力。为此，本文

以拟态技术为基础，提出了一种通用的拟态安全处理机架构，采用基于状态保存的两步清洗技术和高可靠判决策略，使得符合

该架构规范的应用程序均能借助拟态处理架构防护操作系统、处理机和外围器件可能出现己知或未知的后门／漏洞，最后的仿真

验证结果验证了该系统可以有效地抵御多种类型的攻击。

关键词拟态安全；工业控制；处理机；清洗和判决方法

TP309 DOI号

中图法分类号

10．19363，j．cnkicnlO—1380／协．2017．01．005

for

Architecture ofMimic _SecurityProcessor

_IndustryControl

System

WEI_Shuai，YU

Hong，GUZeyu，ZHANGXingming

_{Engineering&Techn0109ical}R&D_{Center，Zhengzhou}

National

450002，China

Digital Switching System

Abstract 0ver the last

livelihood，are prevailing

of wtlich _1argelyconcem national welfare and the

people’s

Vears，attacks targeting ICSs，most

vital

in ICSs such as

cannot achieve

pieces，we protec．

and should not be

our

neglected．In

country，the

pieces

PLCs，ternlinals，

come from abroad．Without

or contr01 over these

RTUs and so

mostlv

independency

Mimic

bombsor backdoors．Based on

new_generalarchitec—

tion

unknown

against

109ic

securitv processo

Tbchn0109y，this paper presents

ture ofmimic

r．This

uses status-based

cleanout memodand

arbitration

hi曲一reliable

and other modules f而m

processor

two—step

architecture can

the

method．APPs that confoml

this

system，the

processor

protect

opemting

at me

known or unknown backdoors／Vulnerabilities．The simulations

end

mimic

can defend multi

security processor

prove

attacks．

types

words Mimic

andarbitration method

security：industry contr01：processor：cleanout

Kev

软件更新时，在其不知情的情况下，测试值被供应

商软件同步设置到生产系统上，结果导致反应堆自

动停机事故；2010年9月伊朗“震网”事件，致使布什

尔核电站1000多台离心机瘫痪；2014年12月，德国

一家钢铁厂遭受高级持续性威胁(APT)攻击并造成

重大物理伤害；2015年，乌克兰某变电站控制系统持

续遭到网络攻击，至少三个区域的约140万居民的

电力供应受到影响。在国内，据文献[1]显示，仅2015

年，就有多起包括电力公司、石化企业、钢厂等大型

企业在内的控制网络感染网络病毒的事件发生。另

外，国内著名网络摄像头生产制造企业海康威视遭

引言

近年来，工控安全事件频发。据美国工业控制系

统网络应急小组(ICS—CEI玎)的报告显示，工控安全

事件2009年发生9起，2010年发生41起，2011年和

2012年共发生198起，2013年发生200多起。国际

典型案例有2003年Davis．Besse核电站因Slammer

蠕虫病毒入侵导致系统计算机停机6小时以上：

2007年美国爱达荷国家实验室一台为13．8KV网格

测试台供电的柴油发电机因网络攻击而被毁；2008

年Hatch核电厂某工程师在数据采集服务器上测试

通讯作者：于洪，硕士，助理研究员，Email：yLlhong-3210@163．com。

本课题得到上海市科研计划项目工业控制拟态安全处理器原型验证(14Dzll04800)；5G大规模协作无线传输关键技术研发

(2014AA叭A704)；网络空间拟态安全异构冗余机制研究(No．61572520)；网络空间拟态防御基础理论研究(No．61521003)；国家自然科学

基金面上项目(61572520)资助。

收稿日期：2016—9．4；修改日期：2016．9—25；定稿日期：2016—12—22

万方数据

魏帅等：面向工控领域的拟态安全处理机架构

遇“黑天鹅”安全门事件，部分监控设备已被境外IP

地址控制。种种事件表明，一直以来被认为相对安全

的工业控制系统已经成为黑客攻击的目标。

和展望。

2国内外研究现状

在我国，工业控制系统的应用有超过80％为涉

及国计民生的关键基础设施(如铁路、城市轨道交通、

供水、供电等)，其安全性涉及的不再是信息泄露等

“小问题”，而是关系生产安全和和经济发展，会对现

实世界造成直接影响的“大问题”。且对工控系统的攻

击成本在不断降低，某些攻击不需要利用复杂的攻

击手段，不需要还原业务系统运行过程，就可以达

到对工控系统攻击的目的。

在传统的飞机等可靠性比较高的设备上，为了

避免单台电子控制设备出现故障，往往采取多余度

设计，但是这种设计大多是同构的【3，4’)，6J，也有部分

采用异构设计[7’8'9'1川，但通常都会采用紧耦合的设计

方式，对同步要求较高[11，12，13，14]，其目的是为了提升

系统的可靠性，而非安全性。

刘志颖【15】等针对传统的PLC三重冗余系统存

在的共因失效问题，提出了一种异构的PLC三重

冗余系统，采用OMRON的CSlD、SIEMENS的

S7．400和ROCKWELL的Controllogix三个不同

的PLC构成主处理机的三重化冗余，利用表决和表

决白适应机制对冗余数据进行处理，并设计了一套

适用于异构冗余的软硬件结合的检测机制。但是该

种异构冗余架构是紧耦合的，内部功能逻辑时序相

同，PLc之间存在着严格的同步，通用性受限。

满梦华等【16]在一种新型计算机系统结构框架的

基础上，提出了多核异构兀余模型，设计了互关总

线协议，实现了相应的容错策略。为此，设计了一种

新的总线格式，处理机之间通过总线时钟进行同步，

通过总线协议进行处理机之间的数据仲裁。这种实

现同样要求CPU采样总线的时钟进行同步，且总线

没计代价较高，处理机也受制于总线的带宽和仲裁，

使用范围受限。

越来越严峻的工控安全形势，也引发了越来越

多对工控安全的关注。在国家层面，工信部于2011

年发布了《关于加强工业控制系统信息安全管理的

通知》。在此之后，国内各行各业都对工控系统安全

的认识达到了一个新的高度，电力、石化、制造、烟

草等多个行业陆续制定了相应的指导性文件。国家

标准相关的组织TC260、TCl24等也已经启动了相

应标准的研究制定工作。在行业层面，国内的科研院

所、工控系统厂商和安全系统厂商以及一些工控安

全方向的新兴企业都积极投入到工控安全的研究及

产品研发当中[2]。2014年以前与工控安全相关的产

品主要是工业防火墙和工业隔离网关等以边界防护

为主的产品，目前主流产品包括检测类、防护类和检

测预警类产品，开始对工控系统全生命周期提供安

全保障。

但是，目前的所有工控安全产品仍然存在较大

的防护空当，只能防护传统的已知攻击，对于未知

攻击毫无办法。我国工控系统中现场PLC、终端、

RTU等控制设备大部分使用国外的控制组件，未实

现自主可控，对于未知的逻辑炸弹和后门基本没有

安全防护能力。

本文拟在避免对上层软件和底层处理架构进行

较大改动的基础上，构建一个通用的拟态安全处理

机架构。为此，将拟态边界设置在10接口(如PCIE

和CAN)处，通过对Io接口处的输出数据进行仲裁

比较，可以将拟态的防护范围扩展至处理机之外，

包括操作系统、中间件等。这种方法相比较更加通

用，防护边界更大。并且根据拟态安全思想，异构冗

余系统之问尽量避免协同，所以本文提出的拟态安

全处理机架构各处理机之间没有相互之间的同步控

制，仅有的同步通过调度器实现。而前面几种异构冗

余系统只是进行系统可靠性的考虑，普遍采用了系

统之问的同步控制。

本文以拟态技术为基础，提出了一种基于非相

似余度的拟态安全处理机架构。目标是为了构建一

个通用的拟态安全处理机架构，使得符合该架构规

范的应用程序均能借助拟态处理架构防护操作系

统、处理机和外围器件可能出现已知或未知的后门／

漏洞。仿真验证结果表明该架构能够有效抵御多种

类型的攻击，提升系统的安全性。

事实上，为了应对新时期下的网络安全威胁，

美国等发达国家在对国家安全防御进行了深入研究，

发现传统的网络防护方式根本不能抵御新的网络威

胁，传统防御已经过时，应该从最初的“积极防御”向

“重塑网络空间”的“引领型”安全观转变。移动目标防

御(Moving Target Defense：MTD)技术作为美国近年

来提出的网络空问“改变游戏规则”的革命性技术之

本文首先分析了国内外研究现状，介绍了系统

的总体架构及采用三处理机异构冗余系统的依据，

接着分析了拟态调度器的状态转移图，以及基于状

态保存的两步清洗方式，第四章介绍了高可靠调度

器判决策略，第五章对拟态安全处理机系统进行了

仿真验证，最后对拟态安全处理及架构进行了总结

万方数据

如群聊口?矽c弦Pr&c材r妙信息安伞学报，2017年1月，第2卷，第l期

性的基本属性。这与基于漏洞或后门的恶意攻击所

依赖的传统系统的静态性、相似性和确定性正好相

左，攻击链要求的稳定计算环境在拟态计算系统

中似乎表现为是随机变化的，其中的软硬件漏洞

或后门都变得很难被利用，于是防御方基于拟态

计算架构并引入其他的动态化和随机化措施，不

难构建起非对称的基于拟态安全的主动防御系统，

以应对网络空间的现实威胁，达成系统安全可控

的目的。

～，受到了美国白宫的高度重视，反映了美国网络

安全防御技术的彻底转型【J川。

移动目标防御完全不同于以往的网络安全研究

思路。它并不追求建立一种完美无瑕的系统来对抗

攻击，相反，移动目标防御的思路是：“构建、评价和

部署机制及策略是多样的、不断变化的。这种不断

变化的思路可以增加攻击者的攻击难度及代价，有

效限制脆弱性暴露及被攻击的机会，提高系统的弹

性”。其含义就是通过移动要保护的对象来达到防护

目标的技术【l8|。而拟态安全处理机架构可以通过调

度器的随机调度来实现系统的多样性和不断变化，

是移动目标防御的扩展。

3拟态处理机总体设计

3．1拟态防护边界与攻击模型

拟态安全思想来源于拟态计算。针对目前计算

机系统结构固定，难以有效处理复杂应用的问题，

信息工程大学在国家863计划“新概念高效能计算机

体系结构及系统研究开发”项目中提出了拟态计算，

核心是一种基于认知的主动重构计算机体系结构

(PRCA)[19，2 。在PRCA中，涉及到元结构和应用结

构。应用结构是一个特定应用实现高效计算处理的

结构方案，它是一种动态结构；元结构是为生成一

簇面向领域应用而提供的由所需的资源组成的基础

结构，是构成功能结构的基本单元。在PRCA中，当

元结构中的资源未被应用结构采用时，应处于休眠

或关闭状态，以降低能耗。

在本文提出的拟态系统中，拟态防护边界包括

CPU、驱动程序、操作系统以及运行在其上的中间件

(如DDS、WEB等)。拟态处理机架构主要针对拟态

防护边界内存在的漏洞与后门进行安全防护。

针对拟态处理机的攻击点主要集中CPU、驱动

程序、操作系统及中问件中存在的漏洞／后门，这些

漏洞／后门基本上采用预置方式。既可能是设计者有

意为之，也可能是由于设计的复杂性造成的缺陷。以

cPu为例，如今IBMpower系列CPu的代码量已达

到4000多万行，INTEL最新CPu的代码量也达到近

6000万行，其中存在设计缺陷在所难免，因设计分

工而引入的陷门也不可能彻底杜绝，主动隐匿复杂

的后门功能也有充分的物质基础。

PRCA的基本思想是：系统识别应用的需求和

变化，感知可利用的处理资源，针对应用既定目标，

构建出适合于应用需求的应用处理结构，并且该结

构随着应用的变化，如计算进展阶段、处理负荷等的

变化，而进行结构的主动变化，达到“应用决定结构，

结构决定效能”的目的。

此外，由于工业控制系统的特殊性，其中的信

息部件可能较当代工业水平滞后很多。比如飞机、

舰船、火炮的服役年限可能长达数十年，其中某些装

备的CPU、操作系统等还是三十多年前的80386、

DOS系统等。这些当时可能认为安全的软硬件经过

时间的推移和广泛的应用变得不那么可靠，这就给

工控系统带来了较大的安全风险。

“拟态变换”(函数化)的体系结构是获得高效能

计算的本质。实践中硬系统的结构变换受器件技术、

实现复杂性、结构变换开销和价格因素的限制不可

能做到任意变化。拟态计算通过分析高效能计算的

需求，提出并实现了基于认知的决策支持系统

PDSS、可重构互联网络iBT、高阶可重构处理机

HRPU和智能混合存储等一系列关键技术。当应用以

安全为主要目标时，拟态计算需要分析安全计算的

需求。研究通过拟态计算实现安全的机制。拟态计算

是拟态安全的基础，拟态变换是两者共同的技术要

点，但应用目的不同，前者是通过拟态变换追求高

效能的计算，而后者则是通过拟态变换实现系统的

安全可控。

攻击模型方面，由于工业控制系统通常是封闭

或半封闭系统，极少情况下与外界通信，不会像互

联网上的主机那样随时都可能遭受漏洞／后门被触发

的风险，但也存在着安全隐患，总体来说，有以下两

种攻击方式：

1)当安全等级较低的调试设备或者已被病毒感

染的上位机等设备接入工控系统时，这些调试机或

者上位机中可能存在某些恶意程序，因为有了和工

控系统连接的通道(如以太网等)，就可以实施常用的

攻击方法。常用的攻击方法包括病毒感染，植入木马

或恶意软件等。虽然攻击方式和种类千差万别，但根

相比于传统的计算或处理系统，动态变结构

计算系统具有天然的非持续性、非相似性和非确定

据攻击者与系统的交互过程，可分为扫描探测，系

统突破等。

万方数据

魏帅等：面向工控领域的拟态安全处理机架构

· 扫描探测是攻击的发起环节，攻击者通过探

测来获取能够直接反映目标位置的系统信息、目标

系统的软硬件构成等信息，判断搜寻目标可能存在

的漏洞。

拟态调度器主要功能包括：

1)用户与异构处理机之问的统一接口，调度管

理用户请求、仲裁异构处理机响应：

2)伺服受控单元与异构处理机之间的统一接口，

调度管理伺服受控单元请求，仲裁异构处理机响应：

3)拟态处理机系统清洗管理及协同。

· 系统突破是指通过代码注入或者篡改系统的

各项配置参数或敏感数据的基础上，实现对系统的

持久控制，通常是以木马、病毒或后门的形式驻留在

系统中，也可以通过隐蔽添加系统各种类别用户、修

改用户权限等方式来进行控制。

拟态调度器是拟态安全处理机的核心，可采用自主

设计的ASIC芯片实现在原理验证阶段可以采用FPGA

进行仿真模拟。拟态调度器作为统一接口，需要进行数据

处理，包括上行数据处理(用户单元／伺服受控单元至处

理机)和下行数据处理(处理机至用户单元／伺服受控单

元)。上行数据处理主要完成数据的分发；下行数据处

理主要完成数据类型判别、数据包提取和判决输出。

在异构多核处理的背景下，单个处理机可能由

于内部故障或者外部攻击输出错误结果，此时，需

要调度器对各处理机的输出结果进行比较并输出调

度器认为正确的结果。这个过程即称为判决。

数据清洗是指如果某个处理机发生故障如何消

除错误并使其恢复正常。在处理机运行过程中，单个

处理机可能由于内部故障或者外部攻击输出错误结

果。当处理机累积一定错误达到清洗条件时，对处理

机进行清洗。由清洗控制模块完成处理机清洗复位，

之后调度器会通过状态数据的交互使清洗后的处理

机实现和其他处理机同步。

2)在使用非自主可控系统如CPU、操作系统和

软件系统时，系统中可能存在可被攻击者利用的漏

洞，甚至被预埋、被植入后门程序，例如攻击者可以

在系统中预埋程序，这些程序会监听wifi或者GPS

信号，当其检测到特殊的wm或者GPS数据时，就会

触发故障，使得系统无法正常工作。

3．2总体架构

在网络空间中基于静态系统架构的攻击要比防

护容易得多，攻击者只需要发现一个可利用的漏洞

就可以轻易侵入系统实施攻击。拟态安全处理机的

核心就是通过配置冗余资源、加入随机策略来增加

了系统的动态性、不确定性和不可预测性。同时，在

硬件层次加入异构冗余设计，可以屏蔽未知硬件漏

洞和后门带来的隐藏风险，这是相对于其他防护手

段先进的地方。

3．3安全可靠性分析

对于多个异构处理机的输出结果，拟态调度器

需要进行比较输出。比较输出的过程称为“判决”。判

决的方式有很多种，包括随机判决输出、轮询判决输

出、择多判决输出等【21|。可信度最高、最可靠的判

决方式是择多判决，通过比较在相同输入下处理机

的输出，发现异常的结果。择多判决利用了“多数行

为准则”，认为占多数的输出结果具有更高可信度，

占少数的输出结果为异常结果。虽然，异常的输出结

果不一定是遭受攻击的结果，“多数行为”也不一定就

是正常状态下的行为，但采用择多判决相对于单个处

理机的情况，仍然大大降低了输出错误结果的概率。

从理论上说，采用的异构处理机越多，获得的

安全增益越大，同时系统也越复杂，成本等代价也

越高，需要在安全性和复杂性之间折衷。在本文的设

计方案中，采用的是三核异构处理机。下面通过三核

异构处理机和四核异构处理机在输出结果错误率上

的比较阐述采用三核处理机的理由。

拟态调度器

第l@l@|

l崮；||崮l崮l

图1

拟态处理机总体架构

拟态安全处理机一个完整的计算系统，包括硬

件和软件。硬件部分由三套异构冗余处理机及其外

围电路以及一个拟态调度器组成，其中异构冗余处

理机负责执行任务，调度器负责管理各处理部件并

提供统一的对外接口。软件部分包括设备驱动、中

间件以及异构操作系统。拟态安全处理机具有能同

时提高系统传统可靠性和系统抵御操作系统层面、

处理器硬件层面未知漏洞／后门能力的特点。

3．3．1

三核处理机安全增益

假设单个处理机出现正确结果的概率为p，出

现错误结果(即被成功攻击)的概率为口，其中

万方数据

如甜埘甜矿。忱r&c甜，砂信息安全学报，2017年1月，第2卷，第1期

如表1所示的几种情况：

p+g=1。以三核处理机为例，待判决的结果一共有

表1择多策略判断情况统计

待判决结果

出现概率

四。p3

判决

正确

3个结果正确

2个结果正确

正确

错误

鹰。p2。g

2个错误结果相同

a。p。92× 口

cj。p× 留2× (1一目)× 口’

1个结果正确

选中正确结果

选中错误结果

正确

错误

2个错误结果不相同

O个结果正确

cj× p× q2× (1一口)× (1一目’)

四× 矿

其中判决出现错误的概率总共为：

假设目=0．0l，臼7=O．33时，单个处理机输出错

误结果的概率g变化范围为[0，0．05]，拟态处理机输

珞误=cj× p× 92× 矽+cj× p× q2× (1一目)× (1一口’)+c；× 93

其中，口表示出现两个错误结果相同的概率；臼’表

示当三个待判决结果都不同时，选中正确结果作为

输出的概率。

出错误结果龟误的概率变化如图2所示。

图2(a)显示了在单个处理机错误率g [0，O．0l】时，

三核拟态处理机择多判决结果的错误率变化情况。

O．06

012

010

008

006

中单个处婵器

：

+单个处卿器

O．04

+拟态处理器(择多)2／

弧／”

+拟态处理器(择多)4竺；；歹r

日硪／，’

-，

／

“哆／

O．02

0．Ol

0．004

002

一jc乏：．孰堂谯竺攀

二／。鼍，攀哩登：翟蝥；掣：擘

(a)g 【O，O．01】的i核结果错误率对比

O．05]的i核结果错误率对比

图2三核结果错误率对比

图2(b)显示了在单个处理机错误率g [0，0．05]

时，使用三核拟态处理机对输出结果的错误率的

影响。

g [0，0．01]时，处理机结果错误率的降低更加明显，

甚至超过了两个数量级。

3．3．2四核处理机安全增益

可以看出，在g [0，0．05]时，择多判决策略将

处理机的结果错误率至少降低了一个数量级。而

如果采用四核异构处理机，则其待判决结果会

出现表2所示的情况。

表2择多策略判断情况统计

待判决结果

出现概率

判决

正确

4个结果正确

口。p4

3个结果正确

正确

错误

a× p3。口

选中正确结果

选中错误结果

c；。p2× 92× 口× 护7

2个

结果

正确

2个错误结果相同

四× p2× 孽2× 口× (1一护’)

2个错误结果不同

3个错误结果相同

2个错误结果相同

正确

错误

口× p2× 92× (1一口)

极小概率，暂不考虑

1个

结果

正确

c2× p× 93× 口

选中正确结果

选中错误结果

正确

错误

cj× p× 93× (1一p)× 护“

错误结果都不相同

c3× px93× (1一目)× (1一目。)

c；× 94

O个结果正确

万方数据

魏帅等：面向工控领域的拟态安全处理机架构

其中判决出现错误的概率总共为：

lOO／10000，即1％)：

图3(a)显示了在单个处理机错误率q [0，0．01]

时，三核拟态处理机和四核拟态处理机择多判决结

果的错误率比较情况。

f锫误=c；p2q2臼(1一目’)+c：p93口+cjp93(1一目)(1一目”)+c；× q4

其中，目表示出现两个错误结果相同的概率；目‘表

示从两对结果中选出正确结果的概率，口”表示四个待

判决结果都不同时，选中正确结果作为输出的概率。

假设目=0．01，口’=0．5，曰”=O．25时，单个处理

图3(b)显示了在单个处理机错误率g [0，O．05]

时，三核拟态处理机和四核拟态处理机择多判决结

果的错误率比较情况。

机输出错误结果的概率变化范围为[0，0．05]，三核及

四核拟态处理机输出错误结果的概率变化如图3所

从图3可以看出，当g [0，0．01]时，使用四核处理

机，其错误率降低幅度相比于三核处理机非常小，几

示(其中单个处理机数据标签表示的是错误概率为万

分之几，如数据标签为100，则表示错误概率为

乎可以忽略不计。在g [0．01，0．05]范围内，略有差别。

印

如

∞

如

加

∞

Z^{100· · · 一单个处理器}

—●-拟态处理器

oo．-· 一单个处理器

Z。、

∞

_，

—●-拟态处理器

(择多)

，”

∞

(择多)

尹

Z”

J，

∞

—-吐—一拟态处理器

(四核)

厂一

—· 一拟态处理器

(四核)

』

加

m_O

_一／二。二-一一．

一-艘?：二-■

4 5 6

8 9 lO

(a)q [0，O．01]的四核结果错误率对比

(b)q [0，0．05】的四核结果错误率对比

图3四核结果错误率对比

机不同状态的组合构成了拟态调度器的状态。拟态

调度器的状态主要包括启动(0)、三级安全工作模式

(3．1)、三级安全清洗模式一(3．2)、三级安全清洗模

式二(3．3)、二级安全工作模式(2—1)、二级安全清洗

模式(2—2)和一级安全工作模式(1)。

3．3．3总结

在错误率降低幅度差别不大的情况下，四核拟

态处理机的设计比三核拟态处理机的设计更为复

杂。硬件设计上，要增加控制部件，如功耗、体积、

占用物理空间等：机制设计上，判决、调度和清洗机

制也将更加复杂。使用四核设计将额外耗费显著的

资源却并没有获得显著的安全增益。

本节主要描述了拟态调度器状态机，详细分析

了每个状态出现的条件及对应的操作。

3．4．1

另外。采用二核拟态处理机设计方案，使用上

述的分析手段，可以得出二核拟态处理机中出现判

系统启动(0)

系统上电开始，拟态调度器进入系统启动状态，

如图4所示。在这个状态下，拟态调度器负责接收由处

理机发送的Ready信号(代表处理机启动成功)。如果接

收到全部三个Ready信号，则进入一级安全工作模式；

如果不是，且发生超时，则根据接收到的Ready信号个

数，分别进入二级安全工作模式，或者三级安全工作模

式；如果一个Ready信号都没有接收到，则启动失败。

3．4．2三级安全工作模式(3．1)

决错误的概率为：珞误=92+岛pg(1一p)。其中，目表

示当两个处理机结果不同时，选中正确结果的概率。

在不引入可信度的情况下，臼=0．5，则简化后有：

P矬涅=q。即二核拟态处理机相比单个处理机，错误

率相等，无有效改善。

因此，采用三核设计是一个较好的折中方案。

3．4拟态调度器状态机

在系统启动时，经过一段时间的等待(超时)，调

度器发现只收到一个Ready信号，就会进入三级安

全工作模式，如图5所示。在这个模式下，只有一

个处理机在工作，属于安全等级最低的工作模式。

另外两个处理机处于未启动或启动不成功状态，

调度器不予理会。在这个模式下工作，调度器不会

转移到更高的安全等级，只会在接收到关机信号

拟态处理机采用异构冗余设计，从启动到任务

执行完毕关机，每个异构处理机都会经历一系列的

状态转换。总的来说，一个处理机可能出现的状态有：

正常工作(A)、异常工作(B／C)、清洗中(W)、关闭中、

未启动(S)。处理机状态发生改变时，会通知拟态调度

器，拟态调度器由此感知每个处理机的状态。各处理

万方数据

全部评论(0)

暂无评论

评论赚积分>>

上传资源上传优质资源有赏金

面向工控领域的拟态安全处理机架构

资料介绍

部分文件列表

部分页面预览

相关下载

全部评论(0)

热门标签

最新上传

热门下载

推荐下载

专栏首页