一种具备独立物理链路的拟态架构

摘要

本实用新型提供一种具备独立物理链路的拟态架构，包括左括号、三个异构执行体、右括号和调度器、11个网络开关和一个网络开关控制器；所述左括号设置独立的以太网端口，通过网络开关分别与异构执行体和调度器互联；所述异构执行体设置独立的以太网端口，通过以太网开关分别与左括号、右括号、调度器互联；所述右括号设置独立的以太网端口，通过网络开关分别与异构执行体和调度器互联；所述调度器设置独立的以太网端口和串口；每个网络开关具备两个网络端口和一个使能端口，用于控制网络传输信号的通断；网络开关控制器，通过串口与所述调度器互联，通过IO管脚与每个网络开关的使能端口互联。

说明书

技术领域

本实用新型属于拟态防御技术领域，具体的说，涉及了一种具备独立物理链路的拟态架构。

背景技术

拟态防御型系统一般包括左括号（输入代理+裁决）、异构执行体、右括号（输出代理+裁决）和调度器构成；每个模块往往依赖于单独CPU或者服务器运行，各个模块之间一般通过交换芯片或者交换机的方式进行互联。拟态系统内部要求的网络通信单线的实现往往依赖于交换芯片或者交换机，通过在交换芯或者交换机上借助于VLAN或者端口隔离的方式实现网络通信单线，由于所有的通信都集中在交换芯片或者交换机身上，此种实现方式在逻辑上实现了网络隔离，并未在物理层面进行网络隔离。当交换芯片或者交换机的逻辑隔离出现问题时，拟态系统内部网络的单线性也随之消失。如何在物理层面做到拟态系统内部网络的单线性，对于提高拟态系统的安全性具有重要意义。

发明内容

本实用新型的目的是针对现有技术的不足，从而提供一种具备独立物理链路的拟态架构。

为了实现上述目的，本实用新型所采用的技术方案是：

本实用新型提供一种具备独立物理链路的拟态架构，包括左括号、三个异构执行体N1-N3、右括号和调度器，还包括11个网络开关和一个网络开关控制器；其中，

所述左括号，设置四个独立的以太网端口P-ETH1、P-ETH2、P-ETH3、P-ETH4；

所述异构执行体N1设置三个独立的以太网端口N1-ETH1、N1-ETH2、N1-ETH3，所述异构执行体N2设置三个独立的以太网端口N2-ETH1、N2-ETH2、N2-ETH3，所述异构执行体N3设置三个独立的以太网端口N3-ETH1、N3-ETH2、N3-ETH3；

所述右括号，设置四个独立的以太网端口R-ETH1、R-ETH2、R-ETH3、R-ETH4；

所述调度器，设置五个独立的以太网端口C-ETH1、C-ETH2、C-ETH3、C-ETH4、C-ETH5，还设置1路串口COM1；

每个网络开关具备两个网络端口和一个使能端口，用于控制网络传输信号的通断；每个网络开关的使能端口与所述网络开关控制器的IO管脚互联；

网络开关控制器，设置有1路用于与所述调度器串口COM1互联的串口COM1’及11路用于与网络开关的使能端口互联的IO接口；

其中，以太网端口P-ETH1通过网络开关K1与异构执行体N1的以太网端口N1-ETH1互联，以太网端口P-ETH2通过网络开关K2与异构执行体N2的以太网端口N2-ETH1互联，以太网端口P-ETH3通过网络开关K3与异构执行体N3的以太网端口N3-ETH1互联，以太网端口P-ETH4通过网络开关K10与调度器的以太网端口C-ETH4互联；

以太网端口R-ETH1通过网络开关K4与异构执行体N1的以太网端口N1-ETH2互联，以太网端口R-ETH2通过网络开关K5与异构执行体N2的以太网端口N2-ETH2互联，以太网端口R-ETH3通过网络开关K6与异构执行体N3的以太网端口N3-ETH2互联，以太网端口R-ETH4通过网络开关K11与调度器的以太网端口C-ETH5互联；

异构执行体N1的以太网端口N1-ETH3通过网络开关K7与调度器的以太网端口C-ETH1互联，异构执行体N2的以太网端口N2-ETH3通过网络开关K8与调度器的以太网端口C-ETH2互联，异构执行体N3的以太网端口N3-ETH3通过网络开关K9与调度器的以太网端口C-ETH3互联。

本实用新型相对现有技术具有实质性特点和进步，具体的说，本实用新型通过在左括号、异构执行体、右括号、调度器之间采用独立的物理链路进行通信，并在通信链路中引入网络开关，在物理层面借助网络开关控制器实现对各链路通信的通断控制，确保各链路的之间互相独立，提高了拟态系统内部通信的安全性。

附图说明

图1为本实用新型实施例1中的拟态架构的原理框图。

具体实施方式

下面通过具体实施方式，对本实用新型的技术方案做进一步的详细描述。

实施例1

如图1所示，本实施例提供一种具备独立物理链路的拟态架构，包括左括号、三个异构执行体N1-N3、右括号和调度器、11个网络开关和一个网络开关控制器；其中，

所述左括号，设置四个独立的以太网端口P-ETH1、P-ETH2、P-ETH3、P-ETH4；

所述异构执行体N1设置三个独立的以太网端口N1-ETH1、N1-ETH2、N1-ETH3，所述异构执行体N2设置三个独立的以太网端口N2-ETH1、N2-ETH2、N2-ETH3，所述异构执行体N3设置三个独立的以太网端口N3-ETH1、N3-ETH2、N3-ETH3；

所述右括号，设置四个独立的以太网端口R-ETH1、R-ETH2、R-ETH3、R-ETH4；

所述调度器，设置五个独立的以太网端口C-ETH1、C-ETH2、C-ETH3、C-ETH4、C-ETH5，还设置1路串口COM1；

每个网络开关具备两个网络端口和一个使能端口，用于控制网络传输信号的通断；每个网络开关的使能端口与所述网络开关控制器的IO管脚互联；

网络开关控制器，设置有1路用于与所述调度器串口COM1互联的串口COM1’及11路用于与网络开关的使能端口互联的IO接口；

其中，以太网端口P-ETH1通过网络开关K1与异构执行体N1的以太网端口N1-ETH1互联，以太网端口P-ETH2通过网络开关K2与异构执行体N2的以太网端口N2-ETH1互联，以太网端口P-ETH3通过网络开关K3与异构执行体N3的以太网端口N3-ETH1互联，以太网端口P-ETH4通过网络开关K10与调度器的以太网端口C-ETH4互联；

以太网端口R-ETH1通过网络开关K4与异构执行体N1的以太网端口N1-ETH2互联，以太网端口R-ETH2通过网络开关K5与异构执行体N2的以太网端口N2-ETH2互联，以太网端口R-ETH3通过网络开关K6与异构执行体N3的以太网端口N3-ETH2互联，以太网端口R-ETH4通过网络开关K11与调度器的以太网端口C-ETH5互联；

异构执行体N1的以太网端口N1-ETH3通过网络开关K7与调度器的以太网端口C-ETH1互联，异构执行体N2的以太网端口N2-ETH3通过网络开关K8与调度器的以太网端口C-ETH2互联，异构执行体N3的以太网端口N3-ETH3通过网络开关K9与调度器的以太网端口C-ETH3互联。

本实施例拟态架构的系统的具体工作流程如下：

系统初始状态下，调度器通过串口告知网络控制器将所有网络开关处于闭合状态；

当左括号或者右括号中的裁决器发现某个异构执行体出现异常时，裁决器通知调度器对异常异构执行体进行清洗；

调度器收到清洗指令后，首先通知网络控制器将异常异构执行体与调度器、左括号、右括号所在的链路进行断开，然后再通知该异常异构执行体进行清洗操作，待该异常异构执行体清洗完毕后，再将链路恢复。

以此，避免了异常异构执行体遭受的攻击扩散至左括号、右括号或者调度器。

实施例2

本实施例提供一种具体的具备独立物理链路的拟态架构，其中，网络开关采用SN74LVC1G08DBVR与门器件实现开关功能；网络开关控制以太网端口的PHY是否工作，实现链路的通断；网络开关与PHY的reset管脚相连，当需要网口相连时，则给予PHY正常的复位信号，若需要网口断开，则给予PHY异常的复位信号。网络开关控制器采用STM32系列单片机实现。

最后应当说明的是：以上实施例仅用以说明本实用新型的技术方案而非对其限制；尽管参照较佳实施例对本实用新型进行了详细的说明，所属领域的普通技术人员应当理解：依然可以对本实用新型的具体实施方式进行修改或者对部分技术特征进行等同替换；而不脱离本实用新型技术方案的精神，其均应涵盖在本实用新型请求保护的技术方案范围当中。