[发明专利]用于地理热冗余的方法和系统

权利要求书

1.一种用于第一安全计算机(11)与第二安全计算机(12)之间的地理热冗余的方法(100)，所述第一安全计算机和所述第二安全计算机远离彼此，以避免故障共模，所述第一安全计算机和所述第二安全计算机通过通用通信网络(8)彼此连接，而没有允许所述第一安全计算机与所述第二安全计算机之间的严格同步的同步链路，所述第一安全计算机循环执行应用程序的第一副本(13)，为所述第一安全计算机提供冗余的所述第二安全计算机循环执行所述应用程序的第二副本(14)，在正常运行中，在所述第一安全计算机作为主计算机运行而所述第二安全计算机作为从计算机运行时，所述方法的特征在于，包括以下步骤：

a)由所述第一安全计算机(11)向所述第二安全计算机(12)传输(120)包括用于第n个周期的第一输入数据项(17)以及用于在所述第n个周期内执行所述应用程序的全部或部分第一执行上下文(15)的消息(M_N)；

b)在所述第n个周期期间，在所述第一安全计算机(11)上执行(130)所述应用程序的所述第一副本(13)，并且在所述第n个周期结束时更新所述应用程序的所述第一执行上下文(15)；

c)在所述第n个周期结束时，由所述第一安全计算机(11)向所述第二安全计算机(12)传输(140)对应于全部或部分所述第一执行上下文(15)的第一输出量(S_N)；

d)由所述第二安全计算机(12)接收(220)所述消息(M_N)，并且在所述第二安全计算机(12)上恢复在所述消息中包含的、用于所述第n个周期的所述第一输入数据项和用于所述第n个周期的全部或部分所述第一执行上下文，作为用于所述第n个周期的第二输入数据项(18)和第二执行上下文(16)；

e)在所述第n个周期期间，在所述第二安全计算机(12)上，在用于所述第n个周期的所述第二执行上下文(16)中，对所述第n个周期的所述第二输入数据项(18)执行(230)所述应用程序的所述第二副本(14)，并且在所述第n个周期结束时更新所述第二执行上下文；

f)通过将所述第二安全计算机(12)上在所述第n个周期结束时对应于全部或部分所述第二执行上下文(16)的第二输出量(S’_N)与从所述第一安全计算机(11)接收的所述第n个周期结束时的第一输出量(S_N)进行比较，来优选地通过所述第二安全计算机检查和验证(250)所述第一安全计算机与所述第二安全计算机之间的一致性。

2.根据权利要求1所述的方法，在所述第一输出量与所述第二输出量之间存在差异的情况下，包括训练步骤(400)，以便恢复所述第二安全计算机(12)与所述第一安全计算机(11)之间的一致性，所述训练步骤包括：在所述第一安全计算机(11)上、在所述第n个周期结束时产生(420)所述第一执行上下文(15)的图像(I_N)；将所述图像传输(430)到所述第二安全计算机(12)；用所接收的所述图像在所述第二安全计算机(12)上初始化第二执行上下文(16)；以及在所述第n个周期之后的周期期间，在所述第二安全计算机(12)上执行所述应用程序的所述第二副本(14)。

3.根据权利要求2所述的方法，其中，在所述训练步骤(400)期间，将所述第二安全计算机(12)在预定周期数内维持在检验步骤(460)中，以便通过在所述检验步骤的各个周期内有效地实施所述步骤a)至f)，来检查和验证所述第一安全计算机与所述第二安全计算机之间的一致性，并且在肯定验证的情况下，恢复所述第一安全计算机与所述第二安全计算机之间的冗余(470)。

4.根据权利要求1所述的方法，其中，在所述第n个周期结束时的所述第一输出量和第二输出量(S_N,S’_N)对应于在所述第n个周期结束时的所述执行上下文的签名，签名算法根据所需的运行安全等级来选择。

5.根据权利要求1所述的方法，其中，当所述第二安全计算机在预定的时间段内不再从所述第一安全计算机(11)接收到消息时，所述第二安全计算机(12)执行由从机到主机切换的切换步骤(300)。