面向软件定义晶上系统的多模裁决与协同调度方法

李沛杰; 沈剑良; 郭威

doi:10.3969/j.issn.1671-0673.2025.03.011

信息工程大学学报 ›› 2025, Vol. 26 ›› Issue (03) : 330 -337. DOI: 10.3969/j.issn.1671-0673.2025.03.011

网络空间安全

面向软件定义晶上系统的多模裁决与协同调度方法

作者信息 +

Multimode Decision and Collaborative Scheduling Method for the Software Defined System on Wafer

Author information +

文章历史 +

PDF (3683K)

摘要

针对软件定义晶上系统内生安全构造中裁决芯粒的安全问题和协同调度问题，提出一种多级分布式动态异构冗余（DHR）架构。首先，通过软件定义晶上互连网络将多区域异构裁决芯粒互连，形成动态多模裁决模型；其次，设计一种基于信任度和延迟最优的裁决动态切换算法，解决裁决调度模块动态切换的最优化问题；最后，设计一种基于交通博弈的裁决协同调度算法，解决异构裁决芯粒裁决信息的协同调度。构建测试系统，实现一种同时支持多异构属性和裁决调度功能的晶上安全互连芯粒。测试结果表明，相比传统单一裁决和多裁决结构，所提架构和模型可以防御针对任何裁决芯粒的差模攻击，延迟开销在5.11%~47.40%的可控范围内。

Abstract

To address the security and the collaborative scheduling issues of multiple decision scheduling dielets (DSDs) in the endogenous security structure of software-defined system on wafer (SDSoW), a multi-level distributed dynamic heterogeneous redundancy (DHR) architecture (MD2HR) is proposed. Firstly, by interconnecting multiple local heterogeneous DSDs through a software-defined network on wafer, a dynamic multimode decision model (DMDM) is formed. Secondly, a dynamic decision switching algorithm based on trust and optimal delay is proposed to solve the optimization problem of dynamic switching among DSDs. Finally, a traffic game-based collaborative scheduling algorithm is designed to achieve collaboration of the output decision information from heterogeneous DSDs. A test system is constructed, and an on-chip secure interconnect dielets that simultaneously support multiple heterogeneous attributes and decision scheduling functions is realized. Experimental analysis shows that, compared to traditional single and multiple decision structures, the proposed architecture and model can defend against the differential mode attack targeting any DSDs with a controllable delay overhead of 5.11% to 47.40%.

Graphical abstract

关键词

软件定义晶上系统 / 动态异构冗余 / 多模裁决 / 交通博弈 / 内生安全

Key words

software defined system on wafer / dynamic heterogeneous redundancy / multimode decision / traffic game / endogenous security

引用本文

引用格式 ▾

[Author(id=1210245468379263704, tenantId=1045748351789510663, journalId=1155139928303341809, articleId=1160183216872284167, orderNo=0, firstName=null, middleName=null, lastName=null, nameCn=null, orcid=null, stid=null, country=null, authorPic=null, dead=0, email=lipeijie@csivo.com, emailSecond=null, emailThird=null, correspondingAuthor=0, authorType=1, ext={EN=AuthorExt(id=1210245469041963749, tenantId=1045748351789510663, journalId=1155139928303341809, articleId=1160183216872284167, authorId=1210245468379263704, language=EN, stringName=Peijie LI, firstName=Peijie, middleName=null, lastName=LI, prefix=null, suffix=null, authorComment=null, nameInitials=null, affiliation=null, department=null, xref=null, address=Information Engineering University, Zhengzhou 450001, China, bio=null, bioImg=null, bioContent=null, aboutCorrespAuthor=null), CN=AuthorExt(id=1210245470279283469, tenantId=1045748351789510663, journalId=1155139928303341809, articleId=1160183216872284167, authorId=1210245468379263704, language=CN, stringName=李沛杰, firstName=null, middleName=null, lastName=null, prefix=null, suffix=null, authorComment=null, nameInitials=null, affiliation=null, department=null, xref=null, address=信息工程大学，河南郑州 450001, bio={"content":"

李沛杰（1990—），男，助理研究员，博士生，主要研究方向为软件定义晶上系统、内生安全。E-mail：lipeijie@csivo.com

"}, bioImg=null, bioContent=

李沛杰（1990—），男，助理研究员，博士生，主要研究方向为软件定义晶上系统、内生安全。E-mail：lipeijie@csivo.com

, aboutCorrespAuthor=null)}, companyList=[AuthorCompany(id=1210245467808838326, tenantId=1045748351789510663, journalId=1155139928303341809, articleId=1160183216872284167, xref=null, ext=[AuthorCompanyExt(id=1210245467821421239, tenantId=1045748351789510663, journalId=1155139928303341809, articleId=1160183216872284167, companyId=1210245467808838326, language=EN, country=null, province=null, city=null, postcode=null, companyName=null, departmentName=null, remark=Information Engineering University, Zhengzhou 450001, China), AuthorCompanyExt(id=1210245467834004154, tenantId=1045748351789510663, journalId=1155139928303341809, articleId=1160183216872284167, companyId=1210245467808838326, language=CN, country=null, province=null, city=null, postcode=null, companyName=null, departmentName=null, remark=信息工程大学，河南郑州 450001)])]), Author(id=1210245470828737338, tenantId=1045748351789510663, journalId=1155139928303341809, articleId=1160183216872284167, orderNo=1, firstName=null, middleName=null, lastName=null, nameCn=null, orcid=null, stid=null, country=null, authorPic=null, dead=0, email=null, emailSecond=null, emailThird=null, correspondingAuthor=0, authorType=1, ext={EN=AuthorExt(id=1210245471801815894, tenantId=1045748351789510663, journalId=1155139928303341809, articleId=1160183216872284167, authorId=1210245470828737338, language=EN, stringName=Jianliang SHEN, firstName=Jianliang, middleName=null, lastName=SHEN, prefix=null, suffix=null, authorComment=null, nameInitials=null, affiliation=null, department=null, xref=null, address=Information Engineering University, Zhengzhou 450001, China, bio=null, bioImg=null, bioContent=null, aboutCorrespAuthor=null), CN=AuthorExt(id=1210245472711979896, tenantId=1045748351789510663, journalId=1155139928303341809, articleId=1160183216872284167, authorId=1210245470828737338, language=CN, stringName=沈剑良, firstName=null, middleName=null, lastName=null, prefix=null, suffix=null, authorComment=null, nameInitials=null, affiliation=null, department=null, xref=null, address=信息工程大学，河南郑州 450001, bio=null, bioImg=null, bioContent=null, aboutCorrespAuthor=null)}, companyList=[AuthorCompany(id=1210245467808838326, tenantId=1045748351789510663, journalId=1155139928303341809, articleId=1160183216872284167, xref=null, ext=[AuthorCompanyExt(id=1210245467821421239, tenantId=1045748351789510663, journalId=1155139928303341809, articleId=1160183216872284167, companyId=1210245467808838326, language=EN, country=null, province=null, city=null, postcode=null, companyName=null, departmentName=null, remark=Information Engineering University, Zhengzhou 450001, China), AuthorCompanyExt(id=1210245467834004154, tenantId=1045748351789510663, journalId=1155139928303341809, articleId=1160183216872284167, companyId=1210245467808838326, language=CN, country=null, province=null, city=null, postcode=null, companyName=null, departmentName=null, remark=信息工程大学，河南郑州 450001)])]), Author(id=1210245473253045149, tenantId=1045748351789510663, journalId=1155139928303341809, articleId=1160183216872284167, orderNo=2, firstName=null, middleName=null, lastName=null, nameCn=null, orcid=null, stid=null, country=null, authorPic=null, dead=0, email=null, emailSecond=null, emailThird=null, correspondingAuthor=0, authorType=1, ext={EN=AuthorExt(id=1210245475077567452, tenantId=1045748351789510663, journalId=1155139928303341809, articleId=1160183216872284167, authorId=1210245473253045149, language=EN, stringName=Wei GUO, firstName=Wei, middleName=null, lastName=GUO, prefix=null, suffix=null, authorComment=null, nameInitials=null, affiliation=null, department=null, xref=null, address=Information Engineering University, Zhengzhou 450001, China, bio=null, bioImg=null, bioContent=null, aboutCorrespAuthor=null), CN=AuthorExt(id=1210245478533672991, tenantId=1045748351789510663, journalId=1155139928303341809, articleId=1160183216872284167, authorId=1210245473253045149, language=CN, stringName=郭威, firstName=null, middleName=null, lastName=null, prefix=null, suffix=null, authorComment=null, nameInitials=null, affiliation=null, department=null, xref=null, address=信息工程大学，河南郑州 450001, bio=null, bioImg=null, bioContent=null, aboutCorrespAuthor=null)}, companyList=[AuthorCompany(id=1210245467808838326, tenantId=1045748351789510663, journalId=1155139928303341809, articleId=1160183216872284167, xref=null, ext=[AuthorCompanyExt(id=1210245467821421239, tenantId=1045748351789510663, journalId=1155139928303341809, articleId=1160183216872284167, companyId=1210245467808838326, language=EN, country=null, province=null, city=null, postcode=null, companyName=null, departmentName=null, remark=Information Engineering University, Zhengzhou 450001, China), AuthorCompanyExt(id=1210245467834004154, tenantId=1045748351789510663, journalId=1155139928303341809, articleId=1160183216872284167, companyId=1210245467808838326, language=CN, country=null, province=null, city=null, postcode=null, companyName=null, departmentName=null, remark=信息工程大学，河南郑州 450001)])])] 李沛杰,沈剑良,郭威. 面向软件定义晶上系统的多模裁决与协同调度方法[J]. 信息工程大学学报, 2025, 26(03): 330-337 DOI:10.3969/j.issn.1671-0673.2025.03.011

登录浏览全文

4963

注册一个新账户忘记密码

软件定义晶上系统（Software Defined System on Wafer, SDSoW）^[1]通过高密度集成技术，将异构异质功能芯粒在晶圆上互连，是一种典型的信息物理系统（Cyber-Physical Systems, CPS）。由于集成过程不可避免的不确定物理失效、不可信第三方芯粒、不可控分离设计制造以及高动态的应用特征，SDSoW面临复杂的广义功能安全威胁。基于动态异构冗余（Dynamic Heterogeneous Redundancy, DHR）的内生安全防御^[2-3]是解决CPS安全问题的新范式技术，其中裁决调度模块作为DHR的核心，其安全性至关重要。受限于SDSoW的超大集成规模，其DHR构造需划分为分布式多区域，多区域裁决调度的协同成为难点。因此，如何确保DHR构造中裁决调度模块的安全并确保分布式裁决调度的协同成为必须要解决的问题。

近年来，围绕DHR裁决调度的研究主要假设裁决模块的安全前提，在物联网^[4-5]、云服务^[6]、Web服务^[7-8]等应用中，通过分布式动态调度^[9]、深度学习^[10]、共识机制^[11]、高阶异构度计算^[12]、拟态判决^[13]等调度算法的改进提升裁决的高效性和可信性^[14]，但实际上裁决调度模块与异构执行体存在同样的被攻击概率，裁决调度模块一旦被攻破，攻击者将获得所有的裁决和调度信息，导致DHR架构彻底失效。鉴于此，文献[15]通过容器迁移与蜜罐部署增加裁决动态性，从而提升系统抗攻击能力。文献[16]通过分离业务数据和控制数据构建异构的访问环境，隐藏裁决调度模块。文献[17]通过多个冗余子裁决器相互间的多次迭代收敛增强安全性。文献[18]引入比较转发模块将多异构控制器连接成树型结构，通过多异构控制器的动态选择与比对进行控制信息检测与裁决。这些研究不同程度地将动态、异构或冗余引入到裁决模块，通过欺骗、隐藏或协同等方式提升裁决调度逻辑的抗攻击能力，但这也带来了裁决调度的协同和高效性问题。由于SDSoW分布式多区域特征，其系统级的安全构造可采用多级分布式架构，各业务区域的异构性、裁决调度逻辑的冗余性以及全局调度的动态性，为构建动态异构冗余裁决带来可能。

首先，基于SDSoW业务部署的物理结构特征，提出一种多级分布式DHR架构（Multi-level Distributed DHR, MD2HR），并给出对应的逻辑结构——动态多模裁决模型（Dynamic Multimode Decision Model, DMDM）的数学表达。其次，提出一种基于信任度和延迟最优的裁决动态切换算法和基于交通博弈的裁决协同调度算法，通过求解各裁决芯粒在有限约束下的社会最优，实现裁决动态切换的快速收敛和多裁决芯粒的协同。最后，对所提出的架构和方法进行安全性和性能测试。

1 SDSoW裁决结构安全性分析

由于天然的异构冗余特性，SDSoW很容易构建如图1所示的基于DHR架构的内生安全构造，其中多个功能等价的异构芯粒与对应裁决芯粒互连。裁决芯粒作为SDSoW的一种特殊芯粒，其面临的安全威胁与其他芯粒一致，攻击者可通过内嵌在芯粒的漏洞后门或硬件木马、晶圆上互连的路由节点或互连接口等对裁决调度逻辑发起攻击。此外，作为DHR架构的核心，裁决芯粒一旦被攻破，SDSoW多级DHR架构将不再有效，攻击者可直接接管裁决逻辑，使整个防御体系失效。

SDSoW的互连接口呈现出物理位置异构的冗余特性，业务处理区域内及区域间的内生安全构造具有对称性，理论上，SDSoW任何芯粒的核心处理逻辑都可执行拟态括号的裁决调度处理功能。为解决芯粒灵活互连问题，SDSoW构建了多维灵活互连的软件定义晶上互连网络（Software Defined Network on Wafer, SDNoW）。裁决芯粒均互连互通，可实现同一维度的动态变换。由于集成芯粒的异构性，裁决芯粒形成实际意义上的异构，这使得系统级的DHR构造中，各异构业务处理区域的裁决芯粒可构成异构的裁决调度执行体，形成DHR构造的多模裁决结构。

2 模型描述与算法设计

SDSoW可构建如图2所示的MD2HR。系统级异构业务处理区域的裁决芯粒通过SDNoW互连形成新的DHR架构；区域级采用图1的典型结构在各个异构业务处理区域内部构建DHR构造。基于SDNoW的互连结构，不同业务处理区域的异构裁决芯粒相互连接且动态可变，逻辑上形成DMDM。

2.1 DMDM

DMDM结构如图3所示。其中，SDSoW在系统级构建

N

个异构业务处理区域，所有区域裁决芯粒构成了系统级DHR构造的异构执行体集合

D = D 1,

D 2, ⋯, D N

，而每个区域由

M n

个异构芯粒构成了区域级DHR构造的异构执行体集合

P n = P n 1, P n 2, ⋯,

P n M n

。

DMDM相关参数及符号定义如表1所示。

对于每个区域内

f Δ t

，

f k

在源芯粒处复制分发构成区域级复制分发流

F i f k = f k, i, 1, f k, i, 2, ⋯, f k, i, M i

，

F i f k

在区域级的裁决芯粒完成裁决并输出裁决信息

f k, i

，不同区域的裁决信息

F G f k = f k, 1, f k, 2, ⋯, f k, N

在时刻

t

到达系统级

D S G t

并进行系统裁决，裁决输出作为高安全业务的最终输出。

高安全业务处理的各延迟满足如下关系：

L h s i = L c f i + L t i + L d s i

（1）

L t i = L l t i + L g t i

（2）

L d s i = L d c i + L d s y n i

（3）

式中，

L c f i

与区域内的异构执行体数量成正比，可表示为

L c f i = α i ⋅ M i

（4）

假设业务到达服从参数为

λ

的泊松分布，业务在区域

i

内的传输时间服从参数为

μ i = μ i, 1, μ i, 2, ⋯,

μ i, M i

的指数分布，业务在区域间传输时延服从参数为

μ 0

的指数分布，由于区域间的裁决芯粒采用全互连方式，可认为

μ 0 ≫ ∀ μ i, m ∈ μ i

，

L g t i

可忽略。

高安全业务在每个区域的每一个执行体的传输时延均可等效为彼此独立的M/M/1模型，模型的平均等待时间可表示为

L t i, m = λ μ i, m μ i, m - λ

（5）

由于系统级DHR架构的输入为区域级DHR架构的输出，因此对于每一个异构业务处理区域，裁决调度的输出同样服从参数为

λ

的泊松分布，可以认为

D i

同时接收到了其他芯粒的裁决输出信息。假设

D i

的平均比对速率为

μ

，则业务的平均等待时间可表示为

L d c i = N λ μ μ - N λ

（6）

因此，对于异构业务处理区域

i

，单个高安全业务处理的延迟为

L h s i = α i ⋅ M i + m a x 1 ≤ m ≤ M i λ μ i, m μ i, m - λ + β i ⋅ M i + N λ μ μ - N λ

（7）

由于时间

Δ t

内，

D i

可处理的业务数量服从参数为（

N ⋅ μ ⋅ Δ t

）的泊松分布。在时间

Δ t

内，

D S G t

统计各芯粒处理高安全业务流

f Δ t

集合的信任度。当

D i

对周期

Δ t

内的高安全业务

f k, i

裁决输出时，

D i

从其他芯粒

D j (j ≠ i)

获得其裁决输出信息并比较记录状态，然后根据该状态更新信任度信息，将信任度最高的芯粒作为

D S G t

。

为实现上述过程，

D i

首先计算裁决比较状态

s i f k, i t = e i, 1 f k, i t, e i, 2 f k, i t, ⋯, e i, N f k, i t

，其中

e i, j f k, i t = - 1,0, 1

。-1表示裁决比较输出不一致；

e i, i f k, i t = 0

；1表示裁决比较输出一致。

设执行体

i

对执行体

j

在时刻

t

的高安全业务

f k, i

的信任度迭代函数为

g i, j f k, i t

，假设

g i, j f k, i t

服从参数为

γ

的指数迭代，其迭代过程可表示为

g i, j f k, i t + Δ t = g i, j f k, i t ⋅ e e i, j f k, i t ⋅ γ Δ t

（8）

执行体

j

在

Δ t

时间内的信任度可计算为

T j t = ∑ f k, i ∈ f Δ t ∑ i = 1 N g i, j f k, i t

（9）

系统级DHR构造选择最大信任度的裁决芯粒作为

D S G t

。攻击者只有在

Δ t

时间内同时攻击成功

[(N + 1) / 2]

个异构裁决芯粒或攻击成功

D S G t

，才会攻击成功。后者会在

D S G t

裁决输出反馈到各异构执行芯粒时，比较发现异常而启动

D S G t

的切换。

假设执行裁决芯粒动态变换的成本为

φ i Δ t

，显然

φ i Δ t

与

Δ t

内处理的高安全业务数量成正比，可表示为

φ i Δ t = ε i ⋅ X k, X k ∼ P o i s s o n N ⋅ μ ⋅ Δ t

（10）

DMDM的目标是通过迭代选择

D S G t

的过程，使各业务处理区域的处理时延和成本达到最优，即：

ψ 1 = m i n i ω ∑ i = 1 N L h s i + 1 - ω ∑ i = 1 N φ i Δ t; ψ 2 = m a x 1 ≤ j ≤ N T j t, m i n Δ t . s . t . λ ≤ m i n 1 ≤ i ≤ N, 1 ≤ m ≤ M i μ i, m, N λ ≤ μ .

DMDM是一个多目标优化模型，试图在最短时间

Δ t

内，在

D S G t

动态切换过程中以最小迭代次数获得最准确的信任度矩阵，并花费最小时延。本文设计了裁决动态切换算法和裁决协同调度算法以降低DMDM求解难度。

2.2 裁决动态切换算法

裁决动态切换算法如算法1所示，其主要含义如下。步骤3~步骤4表示

t

时刻

D S G t

计算流

f k

在各个业务处理区域裁决芯粒的裁决比较状态；步骤5~步骤10表示

D S G t

统计未被攻击或疑似被共模攻击的区域裁决芯粒数量；步骤11~步骤16正反向检查确认

D S G t

是否被攻击，一旦确认被攻击，立即执行系统级裁决芯粒的动态切换（步骤12~步骤13），并对下一个业务流进行处理；步骤17~步骤22对流

f k

处理后判断是否进行动态切换，尽管步骤5~步骤10计算的结果无法100%判别

D i

未被攻击，但攻击者首先仅有极小的概率同时攻破一半以上的异构执行区域，另一方面即使在流

f k

处存在共模逃逸，攻击者很难保障在下一个业务流到来时同样实现共模逃逸，步骤17~步骤22在监测到有一半以上异构执行区域存在共模逃逸时，立即执行裁决动态切换，并对异常裁决芯粒进行清洗和重构，否则系统不切换

D S G t

，继续对下一业务流进行处理，从而减小裁决芯粒的切换成本。

算法1 裁决动态切换算法

输入：MD2HR架构和DMDM参数

输出：

Δ t

，

D S G t

D i

初始化

s i f k, i t

，

g i, j f k, i t

，

C c o u n t = 0

2. for

f k ∈ f Δ t

begin

3. 计算

s f k t = s 1 f k, 1 t, s 2 f k, 2 t, ⋯, s N f k, N t T

并发送给

D S G t

D S G t

计算

D i

的

s i f k, i t G = ∑ j = 1 N e i, j f k, i t

5. for

1 ≤ i ≤ N

begin

D i

本地计算

s i f k, i t L

D S G t

发送

s i f k, i t G

到

D i

8. if

s i f k, i t G ≥ 2

then

C c o u n t + +

10. end if

11. if

s i f k, i t L ≠ s i f k, i t G

then

12. 更新

g i, j f k, i t

13. 计算

T j t = ∑ i = 1 N g i, j f k, i t

并选取

D S G t

14. break

15. end if

16. end

17. if

C c o u n t ≤ (N - 1) / 2

then

18.

Δ t

为执行一次

f k

时间，更新

g i, j f k, i t

19. 计算

T j t = ∑ i = 1 N g i, j f k, i t

并选取

D S G t

20. else

21. 更新

f k

，重新执行步骤3~步骤21

22. end if

23. end

2.3 裁决协同调度算法

SDSoW需实现各区域裁决芯粒到系统裁决芯粒的同步传输，以确保

L h s i

最小。不失一般性的，本文采用如图4所示的2D-Mesh结构进行分析。受限于互连接口的数量，裁决芯粒间传输可以通过路径传输协议、互连模式（电路交换和分组交换）、报文结构等属性的不同实现最大程度的异构。

假定芯粒间每个边在电路交换模式的传输延迟等效为一个固定值

σ

，在分组交换模式下等效为参数为

λ

和

μ

的M/M/1过程。其余异构属性下每个边的传输延迟假设为

κ

。DMDM可等效为一个交通博弈模型，其中参与者为所有

D i

，每个参与者可以选择的策略为其与

D S G t

之间的路径数。

为便于分析，通过X-Y、Y-X和混合路由将初始互连结构配置为延迟最大。每个

D i

每次选择更换一条边的传输模式，若由电路交换更改为分组交换，其收益为

- σ + λ μ μ - λ

，而反之的收益为

σ - λ μ μ - λ

，变换其余异构属性收益为

± κ

。设定最大延迟与最小延迟的最大差值约束为

ξ

，每个

D i

更换传输模式或路径的动力有两个：异构性和系统最大延迟差超过

ξ

。DMDM的裁决协同调度如算法2所示。

算法2 裁决协同调度算法

输入：异构业务处理区域

D = D 1, D 2, ⋯, D N

，

D S G t

，裁决芯粒的初始互连结构。

输出：传输时延一致的稳定互连结构和模式。

1. for

1 ≤ i ≤ N

begin

2. 计算

D i

传输延迟

L t i

3. if

D i → D S G t

有重叠边 then

4. if 同一重叠边路径数量≥3 then

5. if 存在新路径减小重叠边 then

6. 更新

D i

传输路径

7. else

8. 更新重叠边的异构属性

9. 计算收益，并更新

L t i

和互连结构

10. else

11. 更新重叠边的传输模式

12. 计算收益，并更新

L t i

和互连结构

13. end if

14. else

15. 更新

i

16. end if

17. 计算整体收益及最大延迟差

L t i, j

18. if

L t i, j > ξ

&& 有未重叠边 begin

19. 更新未重叠边的传输模式

20. 更新

L t i

21. else if 无未重叠边 begin

22. 重新执行步骤3~步骤13

23. end if

24. end

算法2的主要含义是：依次对每个

D i

的传输延迟进行计算，首先对重叠边大于等于3的路径进行修改，从传输路径上尽量保障异构性（步骤4~步骤6），对于重叠边大于等于3的路径，修改其重叠边上的异构属性，目的仍是尽量保障异构性（步骤7~步骤9），对于重叠边可控的路径，直接修改传输模式（步骤10~步骤12），步骤17~步骤22表示迭代收敛过程，对于延迟差大于限定值的，对每个

D i

的非重叠边进行调整，直至异构性和延迟要求均满足。

3 测试与分析

3.1 安全性分析

DMDM与现有裁决调度模型的对比如表2所示。相比于单一裁决，DMDM和多裁决器模型一样，通过多个异构裁决器的信息比较对抗针对裁决器的攻击。相比现有多裁决器模型，DMDM通过对称互连和动态可变结构，将异构业务处理区域的裁决芯粒组建成新的DHR，攻击者一方面难以成功发现目标业务处理区域，导致攻击不可达。另一方面，即使攻击者定位了业务处理区域，只有同时定位并攻破一半以上的业务处理区域，才能导致系统安全防御失效，可同时规避针对固定互连结构^[17]的攻击和针对比较转发模块^[18]的攻击。进一步的，即使攻击者定位了DMDM的裁决芯粒，由于系统级裁决芯粒的对称性，DMDM动态可变，一旦完成切换，攻击者不得不重新组织新的攻击链条。

3.2 安全性测试

在40 nm CMOS工艺上设计并流片了包含动态异构冗余接口和裁决调度功能的晶上安全互连芯粒，版图如图5左图所示。将192个芯粒集成到无源硅基板上，构成如图5右图所示晶圆级互连芯片。全芯粒有8个动态异构冗余的互连接口，每个接口支持8个独立的互连通道，每个通道支持3种异构协议，以及电路交换和分组交换两种传输模式。

芯粒内嵌有包生成与检测（Packet Generate and Check, PGC）模块用于生成报文和比对检查，裁决调度逻辑负责相同流ID数据的比较和裁决输出，路由负责数据的转发。基于键合后的晶圆级互连网络芯片，构建形成如图6的晶上互连网络系统测试环境。

3.2.1 测试环境设置

基于图5右图所示的晶上布局，系统划分为16个异构业务处理区域（红色虚线框），每个区域包含9个互连芯粒，并设置1个区域裁决芯粒。全系统选择其中1个裁决芯粒作为系统级裁决芯粒（深绿色芯粒）。单一裁决、多控制器协同、DMDM的测试环境相同，模拟被攻击区域为2，6，芯粒传输模式为分组交换，每次发送报文组数为100，每组报文数量为10，报文长度为64 B，异常报文分布为固定，异常报文比例为1%~20%。通过后门控制源芯粒的PGC产生异常报文模拟安全攻击。受限于系统模拟攻击的方式，单一裁决及多控制器协同、DMDM基于测试系统的等效逻辑结构分别如图7（a）和图7（b）所示。

3.2.2 安全防御测试

图8给出了模拟攻击不同区域裁决芯粒下的安全防御效果。可以看出，在单一裁决模式下，所有异常报文都会当作正常报文接收，这表明攻击者一旦攻破裁决芯粒，原始拟态括号的策略裁决机制将完全失效且难以自知。从图8（a）可以看出，对于多裁决芯粒的结构，其安全防御能力显著提升，其中由于多控制器协同模式只对首包进行多模裁决，因此在针对区域裁决芯粒的攻击（模拟针对非比较裁决模块的攻击）中，裁决芯粒都会将非首包攻击的异常报文当作正常报文。而从图8（b）可以看出，针对系统裁决芯粒的攻击（模拟针对比较裁决模块的攻击）中，多异构裁决芯粒无法判别共模攻击，防御策略完全失效。DMDM由于裁决芯粒的对称性，即使系统裁决芯粒被攻破，只要攻击者没有同时攻破一半以上裁决芯粒，安全防御就不会出现共模逃逸。

3.2.3 延迟开销测试

相比单一裁决，DMDM增加的延迟主要包括裁决协同调度延迟和裁决动态切换延迟。受测试限制，本文并未测试到裁决动态切换延迟，裁决协同调度延迟则包括区域裁决芯粒与相邻区域裁决输出信息的比对延迟、系统裁决芯粒的比对延迟和系统裁决芯粒反馈到区域裁决芯粒后的反馈比较延迟。实际上攻击者会直接攻击裁决芯粒，因此DMDM相比单一裁决的相对延迟可以认为是DMDM受攻击后发现攻击的时间。如图9所示，DMDM模型裁决器在受到攻击后，分组交换模式下，平均220ns检测到异常，相比等效的多协议控制器模式，平均延迟最大增加47.40%，这些延迟主要来源于网状结构下的区域裁决芯粒比对延迟；由于芯粒可配置为电路交换模式，切换至电路交换模式后，平均123ns检测到异常，平均延迟最小增加5.11%，因此DMDM可通过切换裁决芯粒间的传输模式控制系统延迟开销，兼顾实现安全性与高效性。

5 结束语

针对SDSoW内生安全构造中裁决调度器的安全问题进行研究，基于多业务区域处理和SDNoW的结构特征，将业务处理区域的裁决芯粒连接，构建了一种多级分布式DHR架构MD2HR，并提出一种基于信任度和延迟最优的裁决动态切换算法和一种基于交通博弈的裁决协同调度算法，以解决裁决调度模块动态切换的最优化问题和传输信息的协同调度问题。构建晶上互连网络系统进行安全性测试，测试结果表明，所提出的架构和模型能够以有限可调的延迟开销有效防御针对任何裁决芯粒的安全攻击。

参考文献

原文顺序 | 出版日期 | 本文引用

[1]	邬江兴，刘勤让，沈剑良，从SoC到SDSoW：微电子发展的新范式［J］.中国科学：信息科学，2024，54（6）：1350-1368.

[2]	邬江兴.工业控制网络广义功能安全问题与解决之道［J］.信息安全研究，2022，8（6）：524-527.

[3]	邬江兴.网络空间内生安全：拟态防御与广义鲁棒控制（下册）［M］.北京：科学出版社，2020：251-270.

[4]	WANG Z H， JIANG D D， LYU Z H. AI-assisted trustworthy architecture for industrial IoT based on dynamic heterogeneous redundancy［J］. IEEE Transactions on Industrial Informatics， 2023，19（2）：2019-2027.

[5]	YING F， ZHAO S J， DENG H. Microservice security framework for IoT by mimic defense mechanism［J］. Sensors， 2022，22（6）：No.2418.

[6]	FENG F， ZHOU X B， LI B， et al. Modelling the mimic defence technology for multimedia cloud servers［J］. Security and Communication Networks， 2020，2020（1）：No.8819958.

[7]	SENJIE L， QINRANG L， YITENG W， et al. A self-adaptive timeout mechanism in Mimic Defense System［C］∥Proceedings of the 2017 8th IEEE International Conference on Software Engineering and Service Science. Piscataway， USA： IEEE， 2017：588-591.

[8]	WEI D， XIAO L， SHI L， et al. Mimic web application security technology based on dhr architecture［C］∥Proceedings of the 2022 International Conference on Artificial Intelligence and Intelligent Information Processing. Washington， USA： SPIE， 2022：118-124.

[9]	ZHANG H， WANG Y， LIU H， et al. Intelligent dynamic heterogeneous redundancy architecture for IoT systems［J］. China Communications， 2024，21（7）：291-306.

[10]	杨晓晗，程国振，刘文彦，基于深度学习的拟态裁决方法研究［J］.通信学报，2024，45（2）：79-89.

[11]	LI Y F， LIU Q， ZHUANG W H， et al. Dynamic heterogeneous redundancy-based joint safety and security for connected automated vehicles： preliminary simulation and field test results［J］. IEEE Vehicular Technology Magazine， 2023，18（2）：89-97.

[12]	贾洪勇，潘云飞，刘文贺，基于高阶异构度的执行体动态调度算法［J］.通信学报，2022，43（3）：233-245.

[13]	OUYANG L， SONG K， LU X Y， et al. Analysis of mimic defense and defense capabilities based on four-executor［C］∥Proceedings of the 2018 International Conference on Advanced Mechatronic Systems. Piscataway， USA： IEEE， 2018：137-142.

[14]	朱正彬，刘勤让，刘冬培，拟态多执行体调度算法研究进展［J］.通信学报，2021，42（5）：179-190.

[15]	李凌书，邬江兴，曾威，容器云中基于信号博弈的容器迁移与蜜罐部署策略［J］.网络与信息安全学报，2022，8（3）：87-96.

[16]	欧阳玲，宋克，兰巨龙.基于动态异构冗余架构的微控制器设计与实现［J/OL］.电子学报，2024-04-18.

[17]	宋歌，杨哲明，周豪睿，拟态主动防御中的多模裁决攻击与防御策略［J］.电子技术，2022，51（6）：38-41.

[18]	REN Q， GUO Z H， WU J X， et al. SDN-ESRC： a secure and resilient control plane for software-defined networks［J］. IEEE Transactions on Network and Service Management， 2022，19（3）：2366-2381.