控制流校验方法、装置、设备及存储介质与流程

1.本公开涉及工业控制领域，尤其涉及控制流校验技术领域。


背景技术：

2.对于长期运行的高可靠性系统，验证程序代码是否按照正确的控制流顺序执行，是十分重要的，通常将程序划分成若干个代码模块，这样程序的执行可以看作在这些代码模块之间的不断跳转，目前算法普遍采用基于异或运算随机碰撞的控制流校验，但对于高可靠性系统、安全苛求系统，如轨道交通信号系统设备，现有的控制流校验算法无法满足要求。


技术实现要素：

3.本公开提供了一种控制流校验的方法、装置、设备以及存储介质。
4.根据本公开的第一方面，本公开实施例提供了一种控制流校验方法，该方法包括：
5.当程序跳转到当前代码块；获取前一代码块的静态签名及监督码；
6.根据当前代码块的调整码与前一代码块的监督码，执行校验运算，并根据校验运算结果判断是否发生控制流错误；
7.若校验通过，则根据校验运算生成的当前代码块的监督码与当前代码块的静态签名，判断是否发生控制流错误；其中，代码块的静态签名为互不相同的素数；代码块的调整码为代码块的静态签名与代码块在目标顺序中的前一代码块的静态签名的乘积，目标顺序为代码块的序号标识由小到大首尾排列顺序。
8.如上所述的方面和任一可能的实现方式，进一步提供一种实现方式，根据校验运算生成当前代码块的监督码，包括：
9.将当前代码块的调整码与前一代码块的监督码的商作为当前代码块的监督码。
10.如上所述的方面和任一可能的实现方式，进一步提供一种实现方式，根据校验运算结果判断是否发生控制流错误，包括：
11.当当前代码块的调整码可以被前一代码块的监督码整除时，校验通过；
12.当当前代码块的调整码不能被前一代码块的监督码整除时，控制流跳转错误。
13.如上所述的方面和任一可能的实现方式，进一步提供一种实现方式，根据校验运算生成的当前代码块的监督码与当前代码块的静态签名，判断是否发生控制流错误，包括：
14.当生成的当前代码块的监督码与当前代码块的静态签名相等时，控制流跳转正确；
15.当生成的当前代码块的监督码与当前代码块的静态签名不相等时，控制流跳转错误。
16.如上所述的方面和任一可能的实现方式，进一步提供一种实现方式，所述方法还包括：
17.将程序划分成多个顺序执行的代码模块，为每个代码模块设置静态签名及调整
码。
18.根据本公开的第二方面，本公开实施例提供了一种控制流校验装置，该装置包括：
19.获取模块，用于当程序跳转到当前代码块时，获取前一代码块的静态签名及监督码。
20.判断模块，用于根据当前代码块的调整码与前一代码块的监督码，执行校验运算，并根据校验运算结果判断是否发生控制流错误。
21.判断模块，还用于校验通过后，根据校验运算生成的当前代码块的监督码与当前代码块的静态签名，判断是否发生控制流错误，其中，代码块的静态签名为互不相同的素数；代码块的调整码为代码块的静态签名与代码块在目标顺序中的前一代码块的静态签名的乘积，目标顺序为代码块的序号标识由小到大首尾排列顺序。
22.根据本公开的第三方面，提供了一种电子设备。该电子设备包括：存储器和处理器，所述存储器上存储有计算机程序，所述处理器执行所述程序时实现如以上所述的方法。
23.根据本公开的第四方面，提供了一种计算机可读存储介质，其上存储有计算机程序，所述程序被处理器执行时实现如根据本公开的第一方面和/或第二发面的方法。
24.本公开使用互不相同的素数作为静态签名，调整码为目标执行顺序中相邻两代码块的静态签名的乘积，根据素数的运算特性，调整码只能被目标执行顺序中相邻两代码块的静态签名整除，而无法被其他任何模块的静态签名整除，因此程序控制流从所有其他非预期代码块跳转到当前代码块时，校验运算中调整码一定无法被整除，从而可以准确检测出控制流跳转错误。
25.应当理解，发明内容部分中所描述的内容并非旨在限定本公开的实施例的关键或重要特征，亦非用于限制本公开的范围。本公开的其它特征将通过以下的描述变得容易理解。
附图说明
26.结合附图并参考以下详细说明，本公开各实施例的上述和其他特征、优点及方面将变得更加明显。附图用于更好地理解本方案，不构成对本公开的限定在附图中，相同或相似的附图标记表示相同或相似的元素，其中：
27.图1示出了能够在其中实现本公开的实施例的控制流校验的流程图；
28.图2示出了根据本公开的实施例的控制流校验方法的示意图；
29.图3示出了根据本公开的实施例的控制流校验装置的框图；
30.图4示出了能够实施本公开的实施例的示例性电子设备的方框图。
具体实施方式
31.为使本公开实施例的目的、技术方案和优点更加清楚，下面将结合本公开实施例中的附图，对本公开实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本公开一部分实施例，而不是全部的实施例。基于本公开中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的全部其他实施例，都属于本公开保护的范围。
32.另外，本文中术语“和/或”，仅仅是一种描述关联对象的关联关系，表示可以存在三种关系，例如，a和/或b，可以表示：单独存在a，同时存在a和b，单独存在b这三种情况。另
外，本文中字符“/”，一般表示前后关联对象是一种“或”的关系。
33.现有算法普遍采用基于异或运算随机碰撞的控制流校验，是否能够检测到控制流跳转错误往往取决于异或运算的随机碰撞，但对于高可靠性系统、安全苛求系统，现有控制流校验算法的检错覆盖率无法满足要求。
34.针对上述问题，本公开提供了一种控制流校验方法、装置、设备以及存储介质，具体地，当程序跳转到当前代码块时，获取前一代码块的静态签名及监督码；根据当前代码块的调整码与前一代码块的监督码，执行校验运算，并根据校验运算结果判断是否发生控制流错误；若校验通过，则根据校验运算生成的当前代码块的监督码与当前代码块的静态签名，判断是否发生控制流错误；其中，代码块的静态签名为互不相同的素数；代码块的调整码为代码块的静态签名与代码块在目标顺序中的前一代码块的静态签名的乘积，目标顺序为代码块的序号标识由小到大首尾排列顺序。根据素数的运算特性，当程序控制流从所有其他非预期模块跳转到本模块时，校验运算中调整码一定无法被整除，从而可以准确检测出控制流跳转错误，提高了检错率。
35.下面结合附图，通过具体的实施例对本公开实施例提供的控制流校验的方法、装置、设备和存储介质进行详细地说明。
36.如图1所示，本发明实施例提供的一种控制流校验的方法，包括以下步骤：
37.s110，当程序跳转到当前代码块时，获取前一代码块的静态签名及监督码。
38.在一些实施例中，可以将程序划分成多个顺序执行的代码模块，为每个代码模块设置静态签名及调整码，具体地，对于顺序执行的基本代码块，将程序按代码执行顺序划分成代码模块v1，v2，v3
……
vn，并为每个基本代码块设置静态签名s1，s2，s3
……
sn，其中，上述代码块的静态签名s1，s2，s3
……
sn为互不相同的素数。
39.在一些实施例中，可以根据代码块的静态签名计算每个代码块对应的调整码d1，d2，d3
……
dn，计算方法可以为，代码块的调整码等于代码块的静态签名与代码块在目标顺序中的前一代码块的静态签名的乘积，例如：d1＝s4*s1，d2＝s1*s2，d3＝s2*s3，d4＝s3*s4。
40.s120，根据当前代码块的调整码与前一代码块的监督码，执行校验运算，并基于校验运算结果判断是否发生控制流错误。
41.在一些实施例中，校验运算可以为：
42.g
new
＝d
local
/g
old
；
43.其中，d
local
为当前代码块的调整码，g
old
为前一代码块的监督码，g
new
为根据校验运算生成的当前代码块的监督码。
44.在一些实施例中，若当前代码块的调整码d
local
可以被前一代码块的监督码g
old
整除，则校验通过；若当前代码块的调整码不能被前一代码块的监督码整除，则判断控制流跳转错误，以此方式，如果程序控制流发生了非预期的跳转，基于素数的运算性质，校验运算中调整码一定无法被前一代码块的监督码整除，因此可以准确的检测到控制流错误。
45.s130，若校验通过，则根据校验运算生成的当前代码块的监督码与当前代码块的静态签名，判断是否发生控制流错误。
46.在一些实施例中，可以将当前代码块的调整码d
local
与前一代码块的监督码g
old
的商作为当前代码块的监督码g
new
。
47.在一些实施例中，若所生成的当前代码块的监督码g
new
与当前代码块的静态签名s
local
相等，则控制流为正确跳转，若所生成的当前代码块的监督码g
new
与当前代码块的静态签名s
local
不相等，则控制流为错误跳转。
48.其中，g
new
为根据校验运算生成的当前代码块的监督码，g
old
为前一代码块的监督码，s
local
为当前代码块的静态签名。
49.以此方式，对控制流是否发生错误进行了进一步准确的判断，提高了检测的准确率。
50.根据本公开的实施例，实现了以下技术效果：使用互不相同的素数作为静态签名，调整码为目标执行顺序中相邻两代码块的静态签名的乘积，根据素数的运算特性，调整码只能被目标执行顺序中相邻两代码块的静态签名整除，无法被其他任何模块的静态签名整除，从而导致程序控制流从所有其他非预期代码块跳转到当前代码块时，校验运算中调整码一定无法被整除，从而可以准确检测出控制流跳转错误。
51.下面结合图2，对本公开实施例提供的一种控制流校验的方法进行具体说明。
52.如图2所示，可以将程序划分成顺序执行的代码模块v1，v2，v3，v4，并为每个代码模块设置静态签名s1，s2，s3，s4，其中，将上述静态签名设置为互不相同的素数，例如：s1＝3、s2＝5、s3＝7、s4＝11。
53.进一步地，根据代码块的静态签名计算每个代码块对应的调整码d1、d2、d3、d4，其中，
54.d1＝s4*s1＝33，d2＝s1*s2＝15，d3＝s2*s3＝35，d4＝s3*s4＝77；
55.进一步地，当程序从v1代码块跳转到v2代码块时，获取v1代码块的静态签名s1及监督码g1，具体地，当程序从v1代码块离开时，v1代码块的静态签名s1及监督码g1应相等，即：
56.g1＝s1＝3；
57.进一步地，当程序进入v2代码块后，开始执行校验运算，该校验运算可以为用当前代码块的调整码除以当前监督码，具体地，用v2代码块的调整码d2除以当前监督码g1：
58.g2＝d2/g1＝15/3＝5；
59.进一步地，根据校验结果判断是否发生控制流错误，具体地，若d2可以被g1整除，则通过校验，若不能整除，就可以判断发生了控制流错误；
60.进一步地，将执行校验运算生成的监督码g2更新为当前代码块v2的监督码；
61.进一步地，根据更新后的监督码g2与当前代码块v2的静态签名s2，判断是否发生控制流错误，具体地，若g2与s2相等，则控制流为正确跳转，若g2与s2不相等，则控制流为错误跳转。
62.需要说明的是，对于前述的各方法实施例，为了简单描述，故将其都表述为一系列的动作组合，但是本领域技术人员应该知悉，本公开并不受所描述的动作顺序的限制，因为依据本公开，某些步骤可以采用其他顺序或者同时进行。其次，本领域技术人员也应该知悉，说明书中所描述的实施例均属于可选实施例，所涉及的动作和模块并不一定是本公开所必须的。
63.以上是关于方法实施例的介绍，以下通过装置实施例，对本公开所述方案进行进一步说明。
64.图3示出了根据本公开的实施例的控制流校验装置的框图，如图3所示，装置300包括：获取模块310、判断模块320，其中：
65.获取模块310，用于当程序跳转到当前代码块时，获取前一代码块的静态签名及监督码。
66.判断模块320，用于根据当前代码块的调整码与前一代码块的监督码，执行校验运算，并根据校验运算结果判断是否发生控制流错误。
67.判断模块320，还用于根据校验运算生成的当前代码块的监督码与当前代码块的静态签名，判断是否发生控制流错误，其中，代码块的静态签名为互不相同的素数；代码块的调整码为每一代码块的静态签名与每一代码块在目标顺序中的前一代码块的静态签名的乘积，目标顺序为代码块的序号标识由小到大首尾排列顺序。
68.在一些实施例中，判断模块320具体用于：若当前代码块的调整码可以被前一代码块的监督码整除，则校验通过；若当前代码块的调整码不能被前一代码块的监督码整除时，则判断控制流跳转错误。
69.在一些实施例中，判断模块320还具体用于：若根据校验运算生成的当前代码块的监督码与当前代码块的静态签名相等，则判断控制流跳转正确，若根据校验运算生成的当前代码块的监督码与当前代码块的静态签名不相等，则判断控制流跳转错误。
70.可以理解的是，图3所示控制流校验装置300中的各个模块/单元具有实现本公开实施例提供的控制流校验方法100中的各个步骤的功能，并能达到其相应的技术效果，为了简洁，在此不再赘述。
71.根据本公开的实施例，本公开还提供了一种电子设备、一种可读存储介质和一种计算机程序产品。
72.图4示出了可以用来实施本公开的实施例的电子设备400的示意性框图。电子设备旨在表示各种形式的数字计算机，诸如，膝上型计算机、台式计算机、工作台、个人数字助理、服务器、刀片式服务器、大型计算机、和其它适合的计算机。电子设备还可以表示各种形式的移动装置，诸如，个人数字处理、蜂窝电话、智能电话、可穿戴设备和其它类似的计算装置。本文所示的部件、它们的连接和关系、以及它们的功能仅仅作为示例，并且不意在限制本文中描述的和/或者要求的本公开的实现。
73.设备400包括计算单元401，其可以根据存储在只读存储器(rom)402中的计算机程序或者从存储单元408加载到随机访问存储器(ram)403中的计算机程序，来执行各种适当的动作和处理。在ram403中，还可存储设备400操作所需的各种程序和数据。计算单元401、rom 402以及ram 403通过总线404彼此相连。输入/输出(i/o)接口405也连接至总线404。
74.设备400中的多个部件连接至i/o接口405，包括：输入单元406，例如键盘、鼠标等；输出单元407，例如各种类型的显示器、扬声器等；存储单元408，例如磁盘、光盘等；以及通信单元409，例如网卡、调制解调器、无线通信收发机等。通信单元409允许设备400通过诸如因特网的计算机网络和/或各种电信网络与其他设备交换信息/数据。
75.计算单元401可以是各种具有处理和计算能力的通用和/或专用处理组件。计算单元401的一些示例包括但不限于中央处理单元(cpu)、图形处理单元(gpu)、各种专用的人工智能(ai)计算芯片、各种运行机器学习模型算法的计算单元、数字信号处理器(dsp)、以及任何适当的处理器、控制器、微控制器等。计算单元401执行上文所描述的各个方法和处理，
例如方法100。例如，在一些实施例中，方法100可被实现为计算机软件程序，其被有形地包含于机器可读介质，例如存储单元408。在一些实施例中，计算机程序的部分或者全部可以经由rom 402和/或通信单元409而被载入和/或安装到设备400上。当计算机程序加载到ram 403并由计算单元401执行时，可以执行上文描述的方法100的一个或多个步骤。备选地，在其他实施例中，计算单元401可以通过其他任何适当的方式(例如，借助于固件)而被配置为执行方法100。
76.本文中以上描述的系统和技术的各种实施方式可以在数字电子电路系统、集成电路系统、场可编程门阵列(fpga)、专用集成电路(asic)、专用标准产品(assp)、芯片上系统的系统(soc)、负载可编程逻辑设备(cpld)、计算机硬件、固件、软件、和/或它们的组合中实现。这些各种实施方式可以包括：实施在一个或者多个计算机程序中，该一个或者多个计算机程序可以在包括至少一个可编程处理器的可编程系统上执行和/或解释，该可编程处理器可以是专用或者通用可编程处理器，可以从存储系统、至少一个输入装置、和至少一个输出装置接收数据和指令，并且将数据和指令传输至该存储系统、该至少一个输入装置、和该至少一个输出装置。
77.用于实施本公开的方法的程序代码可以采用一个或多个编程语言的任何组合来编写。这些程序代码可以提供给通用计算机、专用计算机或其他可编程数据处理装置的处理器或控制器，使得程序代码当由处理器或控制器执行时使流程图和/或框图中所规定的功能/操作被实施。程序代码可以完全在机器上执行、部分地在机器上执行，作为独立软件包部分地在机器上执行且部分地在远程机器上执行或完全在远程机器或服务器上执行。
78.在本公开的上下文中，机器可读介质可以是有形的介质，其可以包含或存储以供指令执行系统、装置或设备使用或与指令执行系统、装置或设备结合地使用的程序。机器可读介质可以是机器可读信号介质或机器可读储存介质。机器可读介质可以包括但不限于电子的、磁性的、光学的、电磁的、红外的或半导体系统、装置或设备，或者上述内容的任何合适组合。机器可读存储介质的更具体示例会包括基于一个或多个线的电气连接、便携式计算机盘、硬盘、随机存取存储器(ram)、只读存储器(rom)、可擦除可编程只读存储器(eprom或快闪存储器)、光纤、便捷式紧凑盘只读存储器(cd-rom)、光学储存设备、磁储存设备或上述内容的任何合适组合。
79.为了提供与用户的交互，可以在计算机上实施此处描述的系统和技术，该计算机具有：用于向用户显示信息的显示装置(例如，crt(阴极射线管)或者lcd(液晶显示器)监视器)；以及键盘和指向装置(例如，鼠标或者轨迹球)，用户可以通过该键盘和该指向装置来将输入提供给计算机。其它种类的装置还可以用于提供与用户的交互；例如，提供给用户的反馈可以是任何形式的传感反馈(例如，视觉反馈、听觉反馈、或者触觉反馈)；并且可以用任何形式(包括声输入、语音输入或者、触觉输入)来接收来自用户的输入。
80.可以将此处描述的系统和技术实施在包括后台部件的计算系统(例如，作为数据服务器)、或者包括中间件部件的计算系统(例如，应用服务器)、或者包括前端部件的计算系统(例如，具有图形用户界面或者网络浏览器的用户计算机，用户可以通过该图形用户界面或者该网络浏览器来与此处描述的系统和技术的实施方式交互)、或者包括这种后台部件、中间件部件、或者前端部件的任何组合的计算系统中。可以通过任何形式或者介质的数字数据通信(例如，通信网络)来将系统的部件相互连接。通信网络的示例包括：局域网
(lan)、广域网(wan)和互联网。
81.计算机系统可以包括客户端和服务器。客户端和服务器一般远离彼此并且通常通过通信网络进行交互。通过在相应的计算机上运行并且彼此具有客户端-服务器关系的计算机程序来产生客户端和服务器的关系。服务器可以是云服务器，也可以为分布式系统的服务器，或者是结合了区块链的服务器。
82.应该理解，可以使用上面所示的各种形式的流程，重新排序、增加或删除步骤。例如，本发公开中记载的各步骤可以并行的执行也可以顺序地执行也可以不同的次序执行，只要能够实现本公开的技术方案所期望的结果，本文在此不进行限制。
83.上述具体实施方式，并不构成对本公开保护范围的限制。本领域技术人员应该明白的是，根据设计要求和其他因素，可以进行各种修改、组合、子组合和替代。任何在本公开的精神和原则之内所作的修改、等同替换和改进等，均应包含在本公开保护范围之内。