本發(fā)明提供一種內(nèi)生安全的云任務(wù)執(zhí)行裝置及方法。該裝置包括：異構(gòu)化云數(shù)據(jù)中心、執(zhí)行體資源池和執(zhí)行體資源池管理模塊；異構(gòu)化云數(shù)據(jù)中心包括多個異構(gòu)化層次，每個異構(gòu)化層次配置有至少一個資源；執(zhí)行體資源池包括多個執(zhí)行體，每個執(zhí)行體通過將多個異構(gòu)化層次的資源以預(yù)設(shè)執(zhí)行體載體為載體進(jìn)行資源組合得到；執(zhí)行體資源池管理模塊包括執(zhí)行體資源池管理器、任務(wù)管理器和多個子任務(wù)管理器，執(zhí)行體資源池管理器與執(zhí)行體資源池連接，多個子任務(wù)管理器分別與執(zhí)行體資源池管理器和任務(wù)管理器連接。該方法包括采用動態(tài)執(zhí)行和擬態(tài)化組合機(jī)制，串聯(lián)使用多重安全機(jī)制。因此，本發(fā)明能夠提高云任務(wù)執(zhí)行的可靠性和安全性。

技術(shù)領(lǐng)域

本發(fā)明涉及網(wǎng)絡(luò)空間安全技術(shù)領(lǐng)域，尤其涉及一種內(nèi)生安全的云任務(wù)執(zhí)行裝置及方法。

背景技術(shù)

云計算是一種以虛擬化技術(shù)為基礎(chǔ)，以網(wǎng)絡(luò)為載體，整合大規(guī)模可擴(kuò)展的分布式計算資源進(jìn)行協(xié)同工作的超級計算模式。在云計算模式中，用戶不再需要硬件購買和軟件部署，只需要支付一定的費用，通過網(wǎng)絡(luò)就可以獲取所需要的計算和存儲資源。同時，服務(wù)提供商為了更好的提供服務(wù)、節(jié)省資源，后臺多以云數(shù)據(jù)中心的形式搭建。正是由于云服務(wù)成本低廉以及操作簡單等優(yōu)點，越來越多的服務(wù)在云端完成，云服務(wù)作為一種模式越來越普及。

現(xiàn)實世界中一個任務(wù)的很多環(huán)節(jié)都在云中完成，比如搜索、郵件、殺毒、數(shù)據(jù)處理、通信等服務(wù)。完成一個任務(wù)可能需要網(wǎng)絡(luò)環(huán)境中的多個環(huán)節(jié)進(jìn)行處理，這些環(huán)節(jié)便構(gòu)成了云任務(wù)鏈。比如，云化的通信過程中，為完成一次通話需要不同網(wǎng)絡(luò)功能參與，這些不同功能組件以虛擬化的形式如虛擬機(jī)、容器等在云中部署，一次通話就可以被視為一次云任務(wù)；又如，大規(guī)模的科學(xué)計算任務(wù)由成千上萬個步驟組成，在云計算分布式系統(tǒng)框架中需要對這些步驟進(jìn)行合理的編排、執(zhí)行以及追蹤。

為充分利用資源，云計算依托虛擬化技術(shù)，構(gòu)建了多租戶共享共存的運營模式，這種模式在帶來利潤的同時也引入了極大的安全隱患，比如攻擊者可以合法的租用虛擬機(jī)作為跳板，利用虛擬平臺漏洞竊取或篡改其他租戶數(shù)據(jù)或信息等。云任務(wù)作為云的主要應(yīng)用形式，成為了主要攻擊目標(biāo)，攻擊者通過攻擊云任務(wù)的執(zhí)行過程，可以竊取信息甚至進(jìn)行篡改，同時，一旦某一子任務(wù)或數(shù)據(jù)被篡改，將直接導(dǎo)致整個云任務(wù)的執(zhí)行失敗。因此，云任務(wù)鏈面臨的安全形勢極為嚴(yán)峻。

現(xiàn)有云安全防護(hù)技術(shù)尤其是云網(wǎng)絡(luò)和虛機(jī)防護(hù)技術(shù)有兩個顯著特點：一是依賴于先驗知識，比如云中大量采用的虛擬防火墻、入侵檢測系統(tǒng)等大都沿用傳統(tǒng)思路，基本遵循“威脅感知、認(rèn)知決策、問題移除”的防御模式，這和攻擊先驗知識難以準(zhǔn)確獲取本身是一對矛盾，成為制約安全防御效果的重要障礙。二是依賴于邊界。現(xiàn)有云主流安全防護(hù)技術(shù)以邊界設(shè)防為主，如在網(wǎng)絡(luò)邊界部署防火墻、入侵檢測等，以抵御來自內(nèi)外部的網(wǎng)絡(luò)威脅和風(fēng)險。由于云內(nèi)資源的共享與多租戶機(jī)制，導(dǎo)致云內(nèi)部威脅更易滋生，例如內(nèi)網(wǎng)致癱、致亂等攻擊；即使是新型防護(hù)技術(shù)思路如微分段、軟件定義邊界等也基本依賴于邊界，而在云環(huán)境下，云虛擬化導(dǎo)致邊界模糊。因此，基于邊界的安全防護(hù)思路在云環(huán)境下難以有效實施。對此，需要采取新的防護(hù)手段保障云任務(wù)的安全執(zhí)行。

發(fā)明內(nèi)容

為解決云環(huán)境中多租戶共存對云任務(wù)執(zhí)行帶來的安全問題，本發(fā)明提供一種內(nèi)生安全的云任務(wù)執(zhí)行裝置及方法，提高云任務(wù)執(zhí)行的安全性和可靠性。

一方面，本發(fā)明提供一種內(nèi)生安全的云任務(wù)執(zhí)行裝置，該裝置包括：異構(gòu)化云數(shù)據(jù)中心、執(zhí)行體資源池和執(zhí)行體資源池管理模塊；

所述異構(gòu)化云數(shù)據(jù)中心包括多個異構(gòu)化層次，每個異構(gòu)化層次配置有至少一個資源；

所述執(zhí)行體資源池包括多個執(zhí)行體，每個執(zhí)行體通過將所述多個異構(gòu)化層次的資源以預(yù)設(shè)載體為執(zhí)行體載體進(jìn)行資源組合得到；

所述執(zhí)行體資源池管理模塊包括執(zhí)行體資源池管理器、任務(wù)管理器和多個子任務(wù)管理器，所述執(zhí)行體資源池管理器與所述執(zhí)行體資源池連接，所述多個子任務(wù)管理器分別與所述執(zhí)行體資源池管理器和所述任務(wù)管理器連接。