一种内生安全的云任务执行装置及方法制造方法及图纸

本发明专利技术提供一种内生安全的云任务执行装置及方法。该装置包括：异构化云数据中心、执行体资源池和执行体资源池管理模块；异构化云数据中心包括多个异构化层次，每个异构化层次配置有至少一个资源；执行体资源池包括多个执行体，每个执行体通过将多个异构化层次的资源以预设执行体载体为载体进行资源组合得到；执行体资源池管理模块包括执行体资源池管理器、任务管理器和多个子任务管理器，执行体资源池管理器与执行体资源池连接，多个子任务管理器分别与执行体资源池管理器和任务管理器连接。该方法包括采用动态执行和拟态化组合机制，串联使用多重安全机制。因此，本发明专利技术能够提高云任务执行的可靠性和安全性。

An Endogenous Safe Cloud Task Execution Device and Method

The invention provides an endogenous safe cloud task execution device and method. The device includes: heterogeneous cloud data center, execution resource pool and execution resource pool management module; heterogeneous cloud data center includes multiple heterogeneous levels, each heterogeneous level has at least one resource allocated; execution resource pool includes multiple execution entities, each execution carries out resource group by preset execution carrier of resources of multiple heterogeneous levels. The execution resource pool management module includes the execution resource pool manager, task manager and multiple sub-task managers. The execution resource pool manager is connected to the execution resource pool, and multiple sub-task managers are connected to the execution resource pool manager and task manager respectively. This method includes dynamic execution and mimetic combination mechanism, and multiple security mechanisms in series. Therefore, the invention can improve the reliability and security of cloud task execution.

【技术实现步骤摘要】
一种内生安全的云任务执行装置及方法
本专利技术涉及网络空间安全
，尤其涉及一种内生安全的云任务执行装置及方法。
技术介绍
云计算是一种以虚拟化技术为基础，以网络为载体，整合大规模可扩展的分布式计算资源进行协同工作的超级计算模式。在云计算模式中，用户不再需要硬件购买和软件部署，只需要支付一定的费用，通过网络就可以获取所需要的计算和存储资源。同时，服务提供商为了更好的提供服务、节省资源，后台多以云数据中心的形式搭建。正是由于云服务成本低廉以及操作简单等优点，越来越多的服务在云端完成，云服务作为一种模式越来越普及。现实世界中一个任务的很多环节都在云中完成，比如搜索、邮件、杀毒、数据处理、通信等服务。完成一个任务可能需要网络环境中的多个环节进行处理，这些环节便构成了云任务链。比如，云化的通信过程中，为完成一次通话需要不同网络功能参与，这些不同功能组件以虚拟化的形式如虚拟机、容器等在云中部署，一次通话就可以被视为一次云任务；又如，大规模的科学计算任务由成千上万个步骤组成，在云计算分布式系统框架中需要对这些步骤进行合理的编排、执行以及追踪。为充分利用资源，云计算依托虚拟化技术，构建了多租户共享共存的运营模式，这种模式在带来利润的同时也引入了极大的安全隐患，比如攻击者可以合法的租用虚拟机作为跳板，利用虚拟平台漏洞窃取或篡改其他租户数据或信息等。云任务作为云的主要应用形式，成为了主要攻击目标，攻击者通过攻击云任务的执行过程，可以窃取信息甚至进行篡改，同时，一旦某一子任务或数据被篡改，将直接导致整个云任务的执行失败。因此，云任务链面临的安全形势极为严峻。现有云安全防护技术尤其是云网络和虚机防护技术有两个显著特点：一是依赖于先验知识，比如云中大量采用的虚拟防火墙、入侵检测系统等大都沿用传统思路，基本遵循“威胁感知、认知决策、问题移除”的防御模式，这和攻击先验知识难以准确获取本身是一对矛盾，成为制约安全防御效果的重要障碍。二是依赖于边界。现有云主流安全防护技术以边界设防为主，如在网络边界部署防火墙、入侵检测等，以抵御来自内外部的网络威胁和风险。由于云内资源的共享与多租户机制，导致云内部威胁更易滋生，例如内网致瘫、致乱等攻击；即使是新型防护技术思路如微分段、软件定义边界等也基本依赖于边界，而在云环境下，云虚拟化导致边界模糊。因此，基于边界的安全防护思路在云环境下难以有效实施。对此，需要采取新的防护手段保障云任务的安全执行。
技术实现思路
为解决云环境中多租户共存对云任务执行带来的安全问题，本专利技术提供一种内生安全的云任务执行装置及方法，提高云任务执行的安全性和可靠性。一方面，本专利技术提供一种内生安全的云任务执行装置，该装置包括：异构化云数据中心、执行体资源池和执行体资源池管理模块；所述异构化云数据中心包括多个异构化层次，每个异构化层次配置有至少一个资源；所述执行体资源池包括多个执行体，每个执行体通过将所述多个异构化层次的资源以预设载体为执行体载体进行资源组合得到；所述执行体资源池管理模块包括执行体资源池管理器、任务管理器和多个子任务管理器，所述执行体资源池管理器与所述执行体资源池连接，所述多个子任务管理器分别与所述执行体资源池管理器和所述任务管理器连接。进一步地，所述异构化层次包括物理机操作系统、虚拟化软件、虚拟机操作系统、应用软件、网络配置和数据存储。另一方面，本专利技术提供一种基于上述内生安全的云任务执行装置执行云任务的方法，该方法包括：步骤11.任务管理器将接收到的任务划分成多个子任务，为每个子任务配置一子任务管理器；并设置所述任务的安全等级，根据所述安全等级，制定所述多个子任务的执行策略；步骤12.每个子任务管理器根据各自负责的子任务的执行策略通过执行体资源池管理器向执行体资源池申请执行体，管理子任务的执行过程，并向任务管理器报告子任务执行状态信息；步骤13.任务管理器接收各子任务管理器发送的子任务执行状态信息，定时记录当前时刻的任务执行阶段和任务执行状态；并在所有子任务结束后，输出任务执行信息。进一步地，所述步骤11中的根据所述安全等级，制定所述多个子任务的执行策略具体包括：若所述任务的安全等级为A级，则每个子任务的执行策略均为拟态化执行策略；若所述任务的安全等级为B级，则预设关键子任务的执行策略为拟态化执行策略，其余子任务的执行策略为动态化执行策略；若所述任务的安全等级为C级，则每个子任务的执行策略均为动态化执行策略；若所述任务的安全等级为D级，则预设关键子任务的执行策略为动态化执行策略，其余子任务的执行策略为单一执行体静态执行策略；其中，所述A级、B级、C级和D级的安全等级依次降低。进一步地，所述拟态化执行策略具体包括：步骤21.确定子任务所需的执行体数量，通过执行体资源池管理器向执行体资源池申请相应数量的执行体，并指定代理执行体、裁决执行体和多个处理执行体，所述相应数量的执行体之间互为异构；步骤22.所述代理执行体接收输入的子任务，将所述子任务复制转发至所述多个处理执行体；步骤23.所述多个处理执行体接收到代理执行体发送的子任务后，各自并行处理所述子任务得到多个处理结果，并将所述多个处理结果发送至裁决执行体；步骤24.所述裁决执行体根据预设裁决规则对所述多个处理结果进行裁决得到一致性结果，并将所述一致性结果输出至下一子任务的代理执行体；步骤25.将所述一致性结果输出后，释放已占用的执行体，并发送执行体状态信息至执行体资源池管理器。进一步地，所述拟态化执行策略具体还包括：若所述裁决执行体在裁决过程中发现不一致结果，则将产生不一致结果的处理执行体进行标记，发送异常消息至执行体资源池管理器；若所述裁决执行体在裁决过程结束后未能得到一致性结果，则判定裁决失败，将所有的处理执行体进行标记，发送异常信息至执行体资源池管理器，并保存子任务执行断点及现场，在释放所有的原处理执行体并申请新的处理执行体后，从子任务断点继续执行，或者重启子任务进入步骤23。进一步地，所述拟态化执行策略具体还包括：若监测到代理执行体出现异常，则发送异常信息至执行体资源池管理器，并保存子任务执行断点及现场，在释放原代理执行体并申请新的代理执行体后，从子任务断点继续执行，或者重启子任务进入步骤22；若监测到裁决执行体出现异常，则发送异常信息至执行体资源池管理器，并保存子任务执行断点及现场，在释放原裁决执行体并申请新的裁决执行体后，从子任务断点继续执行，或者重启子任务进入步骤24。进一步地，所述动态化执行策略具体包括：步骤31.确定子任务所需的动态化层次，通过执行体资源池管理器向执行体资源池申请相应动态化层次的执行体；步骤32.所述执行体接收输入的子任务并处理所述子任务；步骤33.在所述子任务执行结束后，释放已占用的执行体，并发送执行体状态信息至执行体资源池管理器。进一步地，所述动态化执行策略具体还包括：估计子任务的工作时间，若所述工作时间大于预设时长，则根据预设执行体选择方法通过执行体资源池管理器向执行体资源池动态申请相应动态化层次的执行体。进一步地，所述动态化执行策略具体还包括：若监测到执行体出现异常，则发送异常信息至执行体资源池管理器，并保存子任务执行断点及现场，在释放原执行体并申请新的执行体后，从子任务断点继续执行，或者重启子任务进入步骤32本文档来自技高网...

【技术保护点】
1.一种内生安全的云任务执行装置，其特征在于，包括：异构化云数据中心、执行体资源池和执行体资源池管理模块；所述异构化云数据中心包括多个异构化层次，每个异构化层次配置有至少一个资源；所述执行体资源池包括多个执行体，每个执行体通过将所述多个异构化层次的资源以预设载体为执行体载体进行资源组合得到；所述执行体资源池管理模块包括执行体资源池管理器、任务管理器和多个子任务管理器，所述执行体资源池管理器与所述执行体资源池连接，所述多个子任务管理器分别与所述执行体资源池管理器和所述任务管理器连接。

【技术特征摘要】
1.一种内生安全的云任务执行装置，其特征在于，包括：异构化云数据中心、执行体资源池和执行体资源池管理模块；所述异构化云数据中心包括多个异构化层次，每个异构化层次配置有至少一个资源；所述执行体资源池包括多个执行体，每个执行体通过将所述多个异构化层次的资源以预设载体为执行体载体进行资源组合得到；所述执行体资源池管理模块包括执行体资源池管理器、任务管理器和多个子任务管理器，所述执行体资源池管理器与所述执行体资源池连接，所述多个子任务管理器分别与所述执行体资源池管理器和所述任务管理器连接。2.根据权利要求1所述的装置，其特征在于，所述异构化层次包括物理机操作系统、虚拟化软件、虚拟机操作系统、应用软件、网络配置和数据存储。3.一种基于权利要求1或2所述的内生安全的云任务执行装置执行云任务的方法，其特征在于，包括：步骤11.任务管理器将接收到的任务划分成多个子任务，为每个子任务配置一子任务管理器；并设置所述任务的安全等级，根据所述安全等级，制定所述多个子任务的执行策略；步骤12.每个子任务管理器根据各自负责的子任务的执行策略通过执行体资源池管理器向执行体资源池申请执行体，管理子任务的执行过程，并向任务管理器报告子任务执行状态信息；步骤13.任务管理器接收各子任务管理器发送的子任务执行状态信息，定时记录当前时刻的任务执行阶段和任务执行状态；并在所有子任务结束后，输出任务执行信息。4.根据权利要求3所述的方法，其特征在于，所述步骤11中的根据所述安全等级，制定所述多个子任务的执行策略具体包括：若所述任务的安全等级为A级，则每个子任务的执行策略均为拟态化执行策略；若所述任务的安全等级为B级，则预设关键子任务的执行策略为拟态化执行策略，其余子任务的执行策略为动态化执行策略；若所述任务的安全等级为C级，则每个子任务的执行策略均为动态化执行策略；若所述任务的安全等级为D级，则预设关键子任务的执行策略为动态化执行策略，其余子任务的执行策略为单一执行体静态执行策略；其中，所述A级、B级、C级和D级的安全等级依次降低。5.根据权利要求4所述的方法，其特征在于，所述拟态化执行策略具体包括：步骤21.确定子任务所需的执行体数量，通过执行体资源池管理器向执行体资源池申请相应数量的执行体，并指定代理执行体、裁决执行体和多个处理执行体，所述相应数量的执行体之间互为异构；步骤22.所述代理执行体接收输入的子任务，将所述子任务复制转发至所述多个处理执行...

【专利技术属性】
技术研发人员：刘文彦，扈红超，仝青，程国振，霍树民，李凌书，王亚文，陈扬，徐水灵，
申请(专利权)人：中国人民解放军战略支援部队信息工程大学，
类型：发明
国别省市：河南,41