CN102917015A - 一种基于云计算的虚拟化容忍入侵的方法及装置 - Google Patents
一种基于云计算的虚拟化容忍入侵的方法及装置 Download PDFInfo
- Publication number
- CN102917015A CN102917015A CN2012103335027A CN201210333502A CN102917015A CN 102917015 A CN102917015 A CN 102917015A CN 2012103335027 A CN2012103335027 A CN 2012103335027A CN 201210333502 A CN201210333502 A CN 201210333502A CN 102917015 A CN102917015 A CN 102917015A
- Authority
- CN
- China
- Prior art keywords
- copy
- active
- state
- management device
- copies
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Hardware Redundancy (AREA)
Abstract
本发明公开了一种基于云计算的虚拟化容忍入侵的方法及装置,物理节点中的副本管理器在系统错误容忍副本能力为F个时,创建2F+1个副本,设置其中F+1个副本为活动状态,其余F个副本为挂起状态,活动状态的副本称为活动副本,挂起状态的副本称为被动副本,副本管理器收到服务请求,由所述F+1个活动副本执行所述服务请求,副本管理器执行多数表决算法在F+1个执行结果中确定一正确结果。本发明可以在N=2F+1个副本中容忍F个副本的错误,相比于传统的Byzantine容错算法容忍F个错误副本则需要N=3F+1个副本。本发明在无入侵时只有F+1个活动副本在执行,其余副本置于被动模式,这样大量减少了云平台资源的消耗。
Description
技术领域
本发明涉及计算机信息安全和虚拟化云计算领域,尤其涉及一种基于云计算的虚拟化容忍入侵的方法及装置。
背景技术
云计算将计算任务分布在大量计算机构成的虚拟资源池上,使各种应用系统能够根据需要获取计算能力、存储空间和各种软件服务。云计算带来的服务整合与按需供给能够显著提高计算资源的利用率,降低每服务的能耗量,并且有效屏蔽计算资源的出错问题。云计算具有超大规模、虚拟化、高可靠性、通用性、高可扩展性、按需服务、极其廉价等优点。但云计算依然面临着以下问题:
(1)数据的容忍入侵性:云计算最重要的两个问题是保密性和安全性。企业把企业信息、客户信息等敏感的商业数据存放到云计算服务提供商的手中,通过减少对某些数据的控制来节约经济成本,因此企业必然会担心数据放在云端是否安全以及是否会被泄密和窃取。
(2)云计算平台的容忍入侵性:云计算模式下,所有的业务处理都将在服务器端完成,因此云计算平台就成为入侵者攻击的核心;另外云计算平台自身也面临着各式各样无法预料的错误,比如2010年上半年,Amazon云计算服务就因为人为失误和意外停电事故出现故障,致使美国东部的少量用户失去服务并导致极少数数据丢失。因此如果服务器一旦出现问题,就将导致所有的服务无法正常运行,数据无法访问。
对于云计算面临的保密性、完整性、可用性和可靠性等问题,传统的安全技术如入侵检测、防火墙、加解密等都无法完全保证,但是一种可生存技术即容忍入侵技术可以很好的弥补。
容忍入侵主要思想就是利用分布式系统中的硬件或者软件容错技术屏蔽任何入侵或者攻击对系统功能的影响,保证系统关键功能的安全性和连续性。国内外许多研究机构和组织对容忍入侵的研究大多是在真实硬件平台上采用门限密码学、秘密共享以及分布式冗余复制等技术;都要求系统具有高计算能力和高存储能力,并且这些资源一般不能分割,是针对特定应用而设计,因此资源利用率低,难以管理,通用性差;另外系统对冗余组件的数目与质量也有较高要求,并且冗余组件恢复时严重影响服务的可用性。因此这样高昂代价的容忍入侵对于云计算服务提供商和用户来说是很难接受的,并且不适用于云计算的虚拟化。
虚拟化技术自1960年诞生以来发展已经相当成熟了,但其应用大多仍是关于资源的高效管理,实际上虚拟化技术也可以用来构建安全系统。随着云计算的提出,研究虚拟化技术上云计算的安全性变得至关重要。
发明内容
本发明要解决的技术问题是提供一种基于云计算的虚拟化容忍入侵的方法及装置,为提高云计算的可用性、安全性提供解决方案。
为了解决上述技术问题,本发明提供了一种基于云计算的虚拟化容忍入侵的方法,包括:物理节点中的副本管理器在系统错误容忍副本能力为F个时,创建2F+1个副本,设置其中F+1个副本为活动状态,其余F个副本为挂起状态,活动状态的副本称为活动副本,挂起状态的副本称为被动副本,所述副本管理器收到服务请求,由所述F+1个活动副本执行所述服务请求,所述副本管理器执行多数表决算法在F+1个执行结果中确定一正确结果。
进一步地,上述方法还可以具有以下特点:
所述副本管理器定期更新被动副本的执行进程状态,一活动副本发生错误或返回执行结果超时后,激活一被动副本并以此被动副本的最新执行进程状态为起点更新执行进程状态。
进一步地,上述方法还可以具有以下特点:
所述副本管理器监测到F+1个活动副本中错误副本的个数与F的差距小于预设值时,从标准副本复制一影子副本,将活动副本中正确副本的执行进程状态同步到所述影子副本,激活此影子副本作为新的活动副本,并关闭一错误副本。
进一步地,上述方法还可以具有以下特点:
将正确副本的执行进程状态同步到所述影子副本的方法包括:
所述副本管理器控制活动副本即高级副本捕获其执行进程状态并转换为抽象状态发送到所述影子副本,接收所述影子副本返回的所述抽象状态的校验和并发送给其它副本管理器,判断收到F+1个校验和生成的校验和相等时,判断此活动副本的执行进程状态正确,将此活动副本的执行进程状态同步到所述影子副本。
进一步地,上述方法还可以具有以下特点:
所述副本管理器监测到活动副本个数小于F+1时,将一个或多个被动副本转换为活动副本,不存在被动副本时新创建一个或多个副本并设置为活动状态;
所述副本管理器监测到活动状态的副本个数大于F+1并且小于2F+1时,将多余的活动副本设置为挂起状态。
进一步地,上述方法还可以具有以下特点:
所述副本管理器在单一物理节点中维护所述2F+1个副本,或者多个物理节点上维护所述2F+1个副本,不同物理节点中的副本管理器通过组通信装置进行信息交互。
为了解决上述技术问题,本发明还提供了一种基于云计算的虚拟化容忍入侵的装置,所述装置包括副本管理器,所述副本管理器包括副本维护模块和执行控制模块;
所述副本维护模块,用于在系统错误容忍副本能力为F个时,创建2F+1个副本,设置其中F+1个副本为活动状态,其余F个副本为挂起状态,活动状态的副本称为活动副本,挂起状态的副本称为被动副本;
所述执行控制模块,用于收到服务请求后,由所述F+1个活动副本执行所述服务请求,执行多数表决算法在F+1个执行结果中确定一正确结果。
进一步地,上述装置还可以具有以下特点:
所述副本维护模块,还用于定期更新被动副本的执行进程状态,一活动副本发生错误或返回执行结果超时后,激活一被动副本并以此被动副本的最新执行进程状态为起点更新执行进程状态。
进一步地,上述装置还可以具有以下特点:
所述副本维护模块,还用于监测到F+1个活动副本中错误副本的个数与F的差距小于预设值时,从标准副本复制一影子副本,将活动副本中正确副本的执行进程状态同步到所述影子副本,激活此影子副本作为新的活动副本,并关闭一错误副本。
进一步地,上述装置还可以具有以下特点:
所述副本维护模块,还用于控制活动副本即高级副本捕获其执行进程状态并转换为抽象状态发送到所述影子副本,接收所述影子副本返回的所述抽象状态的校验和并发送给其它副本管理器,判断收到F+1个校验和生成的校验和相等时,判断此活动副本的执行进程状态正确,将此活动副本的执行进程状态同步到所述影子副本。
本发明可以在N=2F+1个副本中容忍F个副本的错误,相比于传统的Byzantine容错算法容忍F个错误副本则需要N=3F+1个副本。本发明在无入侵时只有F+1个活动副本在执行,其余副本置于被动模式,这样大量减少了云平台资源的消耗。本发明提高云计算平台安全性、可靠性和可用性。
附图说明
图1是基于云计算的虚拟化容忍入侵的方法流程图;
图2是基于云计算的虚拟化容忍入侵的系统框架示意图;
图3是基于云计算的虚拟化容忍入侵的装置结构图。
具体实施方式
如图1所示,基于云计算的虚拟化容忍入侵的方法包括:物理节点中的副本管理器在系统错误容忍副本能力为F个时,创建2F+1个副本,设置其中F+1个副本为活动状态,其余F个副本为挂起状态,活动状态的副本称为活动副本,挂起状态的副本称为被动副本,所述副本管理器收到服务请求,由所述F+1个活动副本执行所述服务请求,所述副本管理器执行多数表决算法在F+1个执行结果中确定一正确结果。
副本管理器确定的正确结果返回给用户,整个过程的实现对于用户来说是透明的。
Hypervisor是运行于硬件之上的一个极小软件层,也就是虚拟机监控器;在Hypervisor之上划分出不同域,其中服务实例在客户域(Guest Domains)DomU中运行,客户域包括被动模式和活动模式;特权域Dom0控制着客户域的创建、执行与销毁。
副本管理器包括以下部分:
(1)接受客户请求的基础组件;
(2)为所有副本连续转发请求的组通信(Group Communication)组件;
(3)实现积极恢复功能的复制逻辑(Replication Logic);
(4)实现按需激活被动副本的表决(Voter)组件;
(5)实现状态更新的相关机制;
(6)实现副本域克隆(Clone)的组件。
本发明系统通过Hypervisor来提供通信,复制逻辑运行于特权域Dom0中,负责服务实例的具体工作;而具体的服务副本则运行于隔离的客户域中。客户和服务的交互是通过运行于系统域Dom0中的副本管理器来实现。
本发明系统的合理性设计基于以下假设:
(1)客户与远程服务的交互是基于Request/Reply网络层消息,并在网络层被截取。
(2)远程的服务实例能被模拟为确定状态机。
(3)服务副本包括操作系统和执行环境,可能会因为Byzantine错误而失败;在单个恢复周期内允许
个副本失败。
(4)系统的其他部分,包括Hypervisor和信任的系统域仅仅因为主机的突然宕机而失败。
本方案支持异构混合容错模型
相互隔离的执行环境允许实施异构的容错容侵模型,也就是说可以在应用域中容忍对应用实例的恶意攻击,如Byzantine错误;在系统域和Hypervisor中可以容忍物理节点本身的突然宕机。在这个异构模型中,运行于隔离的应用域中的服务副本,包括操作系统、中间件结构以及服务的实施可以完全的异构。
单一主机冗余执行RESH(Redundant Execution on a Single Host)是CC-VIT模型的一种应用,它允许在单一物理机上冗余执行服务的多个副本,这种冗余执行需要虚拟机监控器创建多应用域来实现隔离运行副本实例。RESH能够容忍副本中非良性的随机错误,比如无法检测的内存位错误;以及能够容忍N版本编程所产生的软件错误。
多主机冗余执行REMH(Redundant Execution on Multiple Hosts)是CC-VIT模型的另一种应用,它允许相同核心架构的副本可以在多个物理机上冗余执行。与RESH不同的是,在REMH系统域的复制逻辑中集成了一个组通信模块,组通信模块负责一组物理机上副本之间的通信与协调。REMH能够容忍部分运行副本的物理主机突然的宕机。
所以,本方案中副本管理器可以在单一物理节点中维护所述2F+1个副本。副本管理器还可以在多个物理节点上维护所述2F+1个副本,不同物理节点中的副本管理器通过组通信装置进行信息交互。如图2所示,2F+1个副本可以分布在不同的物理节点上。系统通过组播可以发现局域网中运行Xen平台的物理机,并可以发现Xen平台中运行的VM客户机,这样便于维护一个跨宿主机情况下的副本列表2F+1和F+1列表。
本方案支持活动副本和被动副本的概念
传统的BFT复制方案需要在每一个副本中执行客户请求。为了减少资源的消耗,本方案中向CC-VIT系统中引入被动副本(passive replicas)的概念。在业务正常运行时至少需要F+1个活动副本(active replicas)才能检测错误,其余的副本都被置于被动模式,如果一个活动副本发生错误或返回超时,另一个被动副本就将接替。要使这样的方法可行,系统架构必须能够允许快速激活被动副本,不然服务对于客户来说将不可用。在本系统中,驻有被动副本的虚拟机被置于挂起状态,它们仅仅分配了内存、磁盘,并不分配CPU和带宽。当激活被动副本时,副本管理器只需激活相应的虚拟机就行,这个过程仅需要几百毫秒。一般情况下,本系统容忍F个副本的错误仅需要2F+1个副本。
本方案支持副本的执行进程状态的更新
本方法中,副本管理器定期更新被动副本的执行进程状态,一活动副本发生错误或返回执行结果超时后,激活一被动副本并以此被动副本的最新执行进程状态为起点更新执行进程状态。
激活被动副本后,为了处理挂起的请求,被动副本也必须具有最近的可用应用执行进程状态。本方案采用定期状态更新的方法来更新被动副本。通常情况下,副本管理器执行完一个修改请求后,会检索到副本的执行进程状态。副本管理器默许这些状态更新,并在本地日志列表中存储每一个状态更新的校验版本。为了保证校验版本的正确性,可以在副本中设置分布式校验点,并且采用检查本地状态校验和的方法来判断状态的有效性。当此日志列表的大小达到一定的限制后,副本管理器暂时激活本地被动副本以执行累积的执行进程状态更新。当执行完更新后再将此副本置于挂起状态,副本管理器同时裁剪掉相应的日志信息。可以看出,这种定期更新被动副本的方法减少了发生错误时突然更新大量状态的负载,因为当激活被动副本来容忍错误时,只有在最近一次状态更新之后的状态才需要更新执行。
例如,随着时间的推移,一被动副本的各应用的执行进程不断延续,副本管理器已对此被动副本的执行进程状态进行了N次更新,一活动副本发生错误或返回执行结果超时后,激活此被动副本后,就可以直接以第N次更新的执行进程状态为起点更新执行进程状态,相比于以从第1次更新之前执行进程状态为起点,可以节省处理时间和副本管理器的处理能力,提高数据处理效率。
本方案支持积极恢复策略
传统的容忍入侵系统一般采用Byzantine错误容忍复制算法来实现在N个副本中容忍有限的F个副本的错误。这种方法存在一个潜在的问题,就是只要给定了足够的时间,攻击者就能够攻破F个副本,从而突破系统能够容忍的门限值F,最终使容忍入侵系统失效。解决这个问题的办法就是使副本周期性的从一个安全的代码库(称为标准副本)重新初始化,也就是一种积极恢复的策略。积极恢复策略能够移除一些潜在的攻击。如果采用积极恢复策略,只要在恢复周期内错误的副本不会突破门限值F,系统就能够在整个系统生命周期中容忍无限的副本的错误。
在传统的积极恢复策略中只允许部分副本的同时重启以避免服务的不可用性;如果采用虚拟化技术,可以实现所有副本同时的恢复而对服务的执行几乎不产生什么的影响。由于任何虚拟化技术都提供了一种创建和销毁域的核心功能,因此通过这种机制可以实现一种高效的积极恢复策略。周期性恢复策略可以在隔离的系统域中通过恢复服务来触发。为了减少系统服务的不可用时间,可以采用一种并行的恢复策略,也就是在创建新域的同时,允许另外一个先前的域继续执行。
在采用虚拟化技术时,复制逻辑运行于一个隔离、无入侵的系统域里,因此可以将复制逻辑当成一个可信实体来重新初始化应用域,而不需要任何特殊硬件的支持。恢复策略将一个完整副本初始化到一种“干净”状态,然后通过错误容忍状态转移协议(Fault-Tolerant State Transfer Protocol)安全的获得其他副本的服务状态,随后转移到相应的服务状态执行系统分配的任务。Hypervisor能够关闭和启动运行于虚拟机中的副本,在实现恢复策略时,新的副本实例可以并行于当前执行的副本启动,采用的方法是在另外一个虚拟机中启动。在积极恢复时这种方法可以大量的降低服务不可用时间,因为重启进程不会影响到副本的可用性。当初始化完一个新的副本后,副本管理器就可以关闭先前运行的副本,并同时激活刚初始化完毕的新的副本。
然而基于虚拟化的积极恢复也具有以下不足之处:积极恢复通常对服务有一定的负面影响,因为本地硬件资源有限,但是这些有限的资源被所有的副本域共享。在进行积极恢复时难免会涉及到新域的创建和旧域的销毁,因此对资源的消耗是难免的。但在另一方面来说,这种积极恢复策略显著降低了副本在新旧状态间转移时服务的不可用时间。
本方案中,随着错误副本的增多,可以不断将被动副本激活转换为活动副本,但当被动副本均转换为活动副本后,则需要创建新的副本。所以,副本管理器监测到F+1个活动副本中错误副本的个数与F的差距小于预设值时,从标准副本复制一影子副本,将活动副本中正确副本的执行进程状态同步到所述影子副本,激活此影子副本作为新的活动副本,并关闭一错误副本。其中标准副本是不参与数据处理的副本,将此标准副本作为复制源副本可保证安全性。这样,“干净”的副本就能高效而连续的接替错误副本的运行,并能有效降低积极恢复对系统平台的突发负面影响。
本方案支持执行进程状态的转移策略
当创建好一个新的操作系统、中间件以及服务的实例后,新的副本需要根据服务状态进行初始化,这个过程需要状态转移的支持。状态转移增加了副本在积极恢复过程中的服务不可用时间,因为在创建状态校验点时服务的执行会短暂的中断;另一方面状态转移也会对网络通信资源和CPU资源造成一定的影响。虚拟化技术可以通过虚拟机监控器来实现磁盘的存储管理。在虚拟化磁盘管理中,虚拟化的永久状态存储可以用来实现高效的多个域之间的状态的重映射机制,这种机制可以实现低成本低开销的状态转移策略。状态转移必须处理不同副本之间的异构性,异构性一般是通过多样性引入的。状态转移时将副本初始状态转移到本地特定副本形式状态需要副本具体实施的支持。
本方案中,将正确副本的执行进程状态同步到所述影子副本的方法包括:所述副本管理器控制活动副本即高级副本捕获其执行进程状态并转换为抽象状态发送到所述影子副本,接收所述影子副本返回的所述抽象状态的校验和并发送给其它副本管理器,判断收到F+1个校验和生成的校验和相等时,判断此活动副本的执行进程状态正确,将此活动副本的执行进程状态同步到所述影子副本。
具体的执行进程状态转移包括以下步骤:
步骤一,副本管理器控制高级副本(即活动副本)捕获其执行进程状态,并且生成所有和应用相关的可变状态和永久状态快照。在创建快照之前,副本必须处理完所有正在执行的请求。
步骤二,高级副本将一种特殊应用格式(Application-Specific Format)的快照转化为一种抽象格式,这种抽象格式可以让所有副本都能解析。
步骤三,在副本管理器的协调下,抽象状态被直接从高级副本传送到了影子副本。
步骤四,在新状态被用来初始化影子副本之前,必须保证这些状态没有被毁坏,验证方法是看这个抽象状态是不是和其它正确副本的抽象状态相等。因此,影子副本会计算出关于抽象状态数据所有部分的校验和,并且将它们发送给副本管理器,副本管理器收到这些校验和后就把它们直接广播到其它的副本管理器。当收到F+1个相等的校验和后,副本管理对比这F+1个校验和是不是和本地生成的校验和相等。如果相等,副本管理器就会将这个正确的校验点通知给影子副本。
步骤五,如果校验和错误,副本管理器就会向其它副本管理器询问关于正确校验和相关的正确状态数据。此时,正确的状态数据将会传递给这个影子副本。
步骤六,影子副本收到正确的数据后,将各部分验证后的抽象状态转化为特殊实施的状态形式。
步骤七,影子副本就能够在这些收到的执行进程状态基础之上开始执行原高级副本的工作,原高级副本可以被安全关闭,新旧副本间完成了工作交接。
本方案支持多样性策略
虚拟化技术简化了系统多样性的引入,因为在系统域里运行着一个完全控制着应用域里操作系统和服务实例的复制逻辑。副本的多样化是容忍入侵系统必不可少的关键技术,多样性能够避免攻击者在很短的时间内多次探测出系统相同的漏洞,而基于虚拟化的恢复机制能够方便的引入时间和空间上的多样性。
基于虚拟机监控器的复制架构能够独立于操作系统、中间件以及服务的实施来透明的截取Client/Service的交互。只要不违背状态确定的假设,就能够允许服务副本完全的异构性。虚拟化的积极恢复机制能够实现时间上的多样性,比如操作系统可以更新版本,或者系统内部的一些配置信息在恢复重启时重新进行修改;另外也可以通过地址空间随机化向容忍入侵系统中引入多样性。
本方案对2F+1副本的维护
副本管理器监测到活动副本个数小于F+1时,将一个或多个被动副本转换为活动副本,不存在被动副本时新创建一个或多个副本并设置为活动状态以满足具有F+1个活动副本的条件。
所述副本管理器监测到活动状态的副本个数大于F+1并且小于2F+1时,将多余的活动副本设置为挂起状态。
如图3所示,基于云计算的虚拟化容忍入侵的装置包括副本管理器,所述副本管理器包括副本维护模块和执行控制模块。
所述副本维护模块,用于在系统错误容忍副本能力为F个时,创建2F+1个副本,设置其中F+1个副本为活动状态,其余F个副本为挂起状态,活动状态的副本称为活动副本,挂起状态的副本称为被动副本;
所述执行控制模块,用于收到服务请求后,由所述F+1个活动副本执行所述服务请求,执行多数表决算法在F+1个执行结果中确定一正确结果。
所述副本维护模块,还用于定期更新被动副本的执行进程状态,一活动副本发生错误或返回执行结果超时后,激活一被动副本并以此被动副本的最新执行进程状态为起点更新执行进程状态。
所述副本维护模块,还用于监测到F+1个活动副本中错误副本的个数与F的差距小于预设值时,从标准副本复制一影子副本,将活动副本中正确副本的执行进程状态同步到所述影子副本,激活此影子副本作为新的活动副本,并关闭一错误副本。
所述副本维护模块,还用于控制活动副本即高级副本捕获其执行进程状态并转换为抽象状态发送到所述影子副本,接收所述影子副本返回的所述抽象状态的校验和并发送给其它副本管理器,判断收到F+1个校验和生成的校验和相等时,判断此活动副本的执行进程状态正确,将此活动副本的执行进程状态同步到所述影子副本。
需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互任意组合。
当然,本发明还可有其他多种实施例,在不背离本发明精神及其实质的情况下,熟悉本领域的技术人员可根据本发明作出各种相应的改变和变形,但这些相应的改变和变形都应属于本发明所附的权利要求的保护范围。
本领域普通技术人员可以理解上述方法中的全部或部分步骤可通过程序来指令相关硬件完成,所述程序可以存储于计算机可读存储介质中,如只读存储器、磁盘或光盘等。可选地,上述实施例的全部或部分步骤也可以使用一个或多个集成电路来实现。相应地,上述实施例中的各模块/单元可以采用硬件的形式实现,也可以采用软件功能模块的形式实现。本发明不限制于任何特定形式的硬件和软件的结合。
Claims (10)
1.一种基于云计算的虚拟化容忍入侵的方法,其特征在于,
物理节点中的副本管理器在系统错误容忍副本能力为F个时,创建2F+1个副本,设置其中F+1个副本为活动状态,其余F个副本为挂起状态,活动状态的副本称为活动副本,挂起状态的副本称为被动副本,所述副本管理器收到服务请求,由所述F+1个活动副本执行所述服务请求,所述副本管理器执行多数表决算法在F+1个执行结果中确定一正确结果。
2.如权利要求1所述的方法,其特征在于,
所述副本管理器定期更新被动副本的执行进程状态,一活动副本发生错误或返回执行结果超时后,激活一被动副本并以此被动副本的最新执行进程状态为起点更新执行进程状态。
3.如权利要求2所述的方法,其特征在于,
所述副本管理器监测到F+1个活动副本中错误副本的个数与F的差距小于预设值时,从标准副本复制一影子副本,将活动副本中正确副本的执行进程状态同步到所述影子副本,激活此影子副本作为新的活动副本,并关闭一错误副本。
4.如权利要求3所述的方法,其特征在于,
将正确副本的执行进程状态同步到所述影子副本的方法包括:
所述副本管理器控制活动副本即高级副本捕获其执行进程状态并转换为抽象状态发送到所述影子副本,接收所述影子副本返回的所述抽象状态的校验和并发送给其它副本管理器,判断收到F+1个校验和生成的校验和相等时,判断此活动副本的执行进程状态正确,将此活动副本的执行进程状态同步到所述影子副本。
5.如权利要求4所述的方法,其特征在于,
所述副本管理器监测到活动副本个数小于F+1时,将一个或多个被动副本转换为活动副本,不存在被动副本时新创建一个或多个副本并设置为活动状态;
所述副本管理器监测到活动状态的副本个数大于F+1并且小于2F+1时,将多余的活动副本设置为挂起状态。
6.如权利要求5所述的方法,其特征在于,
所述副本管理器在单一物理节点中维护所述2F+1个副本,或者多个物理节点上维护所述2F+1个副本,不同物理节点中的副本管理器通过组通信装置进行信息交互。
7.一种基于云计算的虚拟化容忍入侵的装置,其特征在于,
所述装置包括副本管理器,所述副本管理器包括副本维护模块和执行控制模块;
所述副本维护模块,用于在系统错误容忍副本能力为F个时,创建2F+1个副本,设置其中F+1个副本为活动状态,其余F个副本为挂起状态,活动状态的副本称为活动副本,挂起状态的副本称为被动副本;
所述执行控制模块,用于收到服务请求后,由所述F+1个活动副本执行所述服务请求,执行多数表决算法在F+1个执行结果中确定一正确结果。
8.如权利要求7所述的装置,其特征在于,
所述副本维护模块,还用于定期更新被动副本的执行进程状态,一活动副本发生错误或返回执行结果超时后,激活一被动副本并以此被动副本的最新执行进程状态为起点更新执行进程状态。
9.如权利要求8所述的装置,其特征在于,
所述副本维护模块,还用于监测到F+1个活动副本中错误副本的个数与F的差距小于预设值时,从标准副本复制一影子副本,将活动副本中正确副本的执行进程状态同步到所述影子副本,激活此影子副本作为新的活动副本,并关闭一错误副本。
10.如权利要求9所述的装置,其特征在于,
所述副本维护模块,还用于控制活动副本即高级副本捕获其执行进程状态并转换为抽象状态发送到所述影子副本,接收所述影子副本返回的所述抽象状态的校验和并发送给其它副本管理器,判断收到F+1个校验和生成的校验和相等时,判断此活动副本的执行进程状态正确,将此活动副本的执行进程状态同步到所述影子副本。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2012103335027A CN102917015A (zh) | 2012-09-10 | 2012-09-10 | 一种基于云计算的虚拟化容忍入侵的方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2012103335027A CN102917015A (zh) | 2012-09-10 | 2012-09-10 | 一种基于云计算的虚拟化容忍入侵的方法及装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN102917015A true CN102917015A (zh) | 2013-02-06 |
Family
ID=47615245
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2012103335027A Pending CN102917015A (zh) | 2012-09-10 | 2012-09-10 | 一种基于云计算的虚拟化容忍入侵的方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN102917015A (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20160321093A1 (en) * | 2015-04-28 | 2016-11-03 | United States Government As Represented By The Secretary Of The Navy | CYBERNAUT: A Cloud-Oriented Energy-Efficient Intrusion-Tolerant Hypervisor |
| CN106462455A (zh) * | 2015-06-16 | 2017-02-22 | 华为技术有限公司 | 进程接替的方法和装置 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1819530A (zh) * | 2006-03-10 | 2006-08-16 | 四川大学 | 一种网络信息系统容忍入侵的方法 |
| CN101159539A (zh) * | 2007-11-20 | 2008-04-09 | 中国人民解放军信息工程大学 | 基于j2ee中间件规范的容忍入侵应用服务器及容忍入侵方法 |
-
2012
- 2012-09-10 CN CN2012103335027A patent/CN102917015A/zh active Pending
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1819530A (zh) * | 2006-03-10 | 2006-08-16 | 四川大学 | 一种网络信息系统容忍入侵的方法 |
| CN101159539A (zh) * | 2007-11-20 | 2008-04-09 | 中国人民解放军信息工程大学 | 基于j2ee中间件规范的容忍入侵应用服务器及容忍入侵方法 |
Non-Patent Citations (2)
| Title |
|---|
| 王静宇等: ""CC-VIT: Virtualization Intrusion Tolerance Based on Cloud Computing"", 《INFORMATION ENGINEERING AND COMPUTER SCIENCE (ICIECS), 2010 2ND INTERNATIONAL CONFERENCE ON》 * |
| 罗登亮: ""基于云计算的虚拟化容忍入侵系统研究"", 《中国优秀硕士学位论文全文数据库 信息科技辑》 * |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20160321093A1 (en) * | 2015-04-28 | 2016-11-03 | United States Government As Represented By The Secretary Of The Navy | CYBERNAUT: A Cloud-Oriented Energy-Efficient Intrusion-Tolerant Hypervisor |
| US9645842B2 (en) * | 2015-04-28 | 2017-05-09 | United States Of America As Represented By Secretary Of The Navy | Cybernaut: a cloud-oriented energy-efficient intrusion-tolerant hypervisor |
| CN106462455A (zh) * | 2015-06-16 | 2017-02-22 | 华为技术有限公司 | 进程接替的方法和装置 |
| CN106462455B (zh) * | 2015-06-16 | 2019-11-01 | 华为技术有限公司 | 进程接替的方法和装置 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| El Kafhali et al. | Security threats, defense mechanisms, challenges, and future directions in cloud computing | |
| Kumari et al. | A survey of fault tolerance in cloud computing | |
| Jhawar et al. | Fault tolerance and resilience in cloud computing environments | |
| US11050765B2 (en) | Security system for managed computer system | |
| Sousa et al. | Highly available intrusion-tolerant services with proactive-reactive recovery | |
| US9473526B2 (en) | Fight-through nodes for survivable computer network | |
| US8572735B2 (en) | Attack resistant continuous network service trustworthiness controller | |
| Distler | Byzantine fault-tolerant state-machine replication from a systems perspective | |
| Roeder et al. | Proactive obfuscation | |
| Sousa et al. | Resilient intrusion tolerance through proactive and reactive recovery | |
| Distler et al. | SPARE: Replicas on Hold. | |
| Tan et al. | Cc-vit: Virtualization intrusion tolerance based on cloud computing | |
| Diouf et al. | On Byzantine fault tolerance in multi-master Kubernetes clusters | |
| Ahmed et al. | From byzantine fault-tolerance to fault-avoidance: An architectural transformation to attack and failure resiliency | |
| Bessani | From byzantine fault tolerance to intrusion tolerance (a position paper) | |
| Binun et al. | Self-stabilizing Byzantine-tolerant distributed replicated state machine | |
| Júnior et al. | Intrusion tolerant services through virtualization: A shared memory approach | |
| Silva et al. | Threat adaptive byzantine fault tolerant state-machine replication | |
| Cinque et al. | Cloud reliability: Possible sources of security and legal issues? | |
| Reiser et al. | VM-FIT: Supporting intrusion tolerance with virtualisation technology | |
| Sousa et al. | The FOREVER service for fault/intrusion removal | |
| CN102917015A (zh) | 一种基于云计算的虚拟化容忍入侵的方法及装置 | |
| Qiang et al. | CDMCR: multi‐level fault‐tolerant system for distributed applications in cloud | |
| Lau et al. | An infrastructure based in virtualization for intrusion tolerant services | |
| Raj et al. | Analysis of intrusion-tolerant architectures for Web Servers |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C05 | Deemed withdrawal (patent law before 1993) | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20130206 |