CN107426152B - 云平台虚实互联环境下多任务安全隔离系统及方法 - Google Patents

Abstract

本发明提出了一种云平台虚实互联环境下多任务安全隔离系统及方法，用于解决现有技术中存在的无法同时实现对多种虚拟和实体资源的统一管理和任务安全隔离的技术问题，系统包括：任务流量标识模块，对不同任务进行标识，访问控制模块根据任务标识，创建任务的资源，任务隔离模块对任务间和资源间进行安全隔离，资源管理模块统一管理安全隔离的资源，实现步骤为：任务流量标签模块对任务及其所需资源添加安全标签；访问控制模块验证用户身份权限信息，并申请任务所需的虚拟和实体资源；访问控制模块对任务申请的资源进行网络隔离和虚拟资源隔离；资源管理模块统一管理云平台中安全隔离过的虚拟和实体资源，并将任务所需的资源分配给任务使用。

Description

云平台虚实互联环境下多任务安全隔离系统及方法

技术领域

本发明属于信息技术领域，涉及一种云平台虚实互联环境下多任务安全隔离系统及方法，可用于云计算平台中，用户使用的私有资源之间的隔离。

背景技术

云计算是分布式计算技术的一种，其最基本的概念，是透过网络将庞大的计算处理程序自动分拆成无数个较小的子程序，再交由多部服务器所组成的庞大系统经搜寻、计算分析之后将处理结果回传给用户。透过这项技术，网络服务提供者可以在数秒之内，达成处理数以千万计甚至亿计的信息，达到和超级计算机同样强大效能的网络服务，因此云计算服务平台为应用的开发，运行，管理和监控提供了良好的环境。近年来云服务发展十分迅速，越来越多的公司开始选择使用或者开发自己的云计算管理平台。

在目前的云计算环境当中，云计算给用户提供相应服务的过程当中，用户之间的资源服务的隔离是不完全可靠的，这将会给云计算平台带以及用户带来很大的安全威胁，所以云计算平台对一种多任务安全隔离机制有着很大的需求。

当今云平台环境当中，用户任务之间的安全隔离是通过网络将任务所使用的虚拟资源划分到不同的子网当中，不同子网的资源不可相互访问，以此来实现用户任务之间虚拟资源的隔离，目前不存在能够同时统一管理并且安全隔离虚拟和实体资源的系统，并且在虚拟资源隔离方面，隔离机制过于简单，没有结合多种虚拟资源的隔离方法，容易产生安全风险，并且隔离效果不佳。例如，授权公告号为CN104268484B，名称为“一种基于虚拟隔离机制的云环境下数据防泄漏方法”的中国专利，公开了一种云计算环境下通过进程的管控来防止数据泄露的方法，将用户进程分为可信进程和非可信进程，并且对可信进程进行内存隔离，外部设备隔离等方式的隔离从而保证数据的安全，但是存在的缺陷是不能解决任务隔离和资源之间的隔离问题。

综上所述，目前的云平台只能够统一管理和隔离虚拟资源，存在无法同时实现对多种虚拟和实体资源的统一管理和任务安全隔离的技术问题，且目前的虚拟资源隔离方案过于简单，存在着隔离效果不佳，安全性不高的缺点。

发明内容

本发明的目的在于克服上述现有技术存在的不足，提出了一种云平台虚实互联环境下多任务安全隔离系统及方法，用于解决现有技术中存在的无法同时实现对多种虚拟和实体资源的统一管理和任务安全隔离的技术问题，以及解决虚拟资源隔离效果不佳的问题。

本发明的技术思路是：通过对用户申请的任务添加安全标签，实现任务流量的管控；通过将各类实体资源统一接入到云平台网络中，实现云平台对多种异构虚拟资源和实体资源的统一管理和安全隔离；通过对云平台中的虚拟资源进行进程隔离和共享内存隔离，实现虚拟资源间的隔离；通过I/O设备的访问进行控制，实现虚拟输入输出进行隔离；

根据上述技术思路，实现本发明目的采取的技术方案为：

一种云平台虚实互联环境下多任务安全隔离系统，任务流量标识模块、访问控制模块、任务隔离模块和资源管理模块，其中：

任务流量标识模块，用于给用户申请任务以及用户申请任务所需的资源增添唯一的安全标签；

访问控制模块，用于根据任务的安全标签，实现对用户的身份认证、信息管理和授权，同时通过网络访问虚拟资源和实体资源；

任务隔离模块，用于根据用户的身份认证和授权结果以及任务安全标签，隔离不同任务之间的虚拟和实体资源，同时对云平台中的各类异构虚拟资源之间进行隔离；

资源管理模块，用于对云平台中成功隔离的虚拟和实体资源进行统一管理。

上述的云平台虚实互联环境下多任务安全隔离系统，所述任务隔离模块，包括任务虚拟资源隔离子模块和网络隔离子模块，其中：

网络隔离子模块，用于根据任务安全标签，从网络数据层隔离不同任务之间的虚拟和实体资源；

虚拟资源隔离子模块，用于根据任务安全标签，对云平台中的各类异构虚拟资源进行隔离。

所述的云平台虚实互联环境下多任务安全隔离系统，所述虚拟资源隔离子模块，包括内存隔离子模块、进程隔离子模块和I/O隔离子模块，其中：

内存隔离子模块，用于根据任务安全标签，增添共享内存组标签和虚拟资源组标签，根据该两个组标签对虚拟进程访问共享内存区的权限进行分析，并根据分析结果，对云平台中所有虚拟资源共享内存进行隔离；

进程隔离子模块，用于根据任务安全标签，对虚拟进程贴上该任务的安全标签，并根据安全标签进行访问权限的分配，实现对虚拟进程之间的隔离；

I/O隔离子模块，用于根据任务安全标签，对虚拟输入输出进行隔离。一种云平台虚实互联环境下多任务安全隔离方法，包括如下步骤：

(1)流量标签模块获取用户申请任务的信息和任务所需资源的信息，为用户申请任务增添唯一安全标签，得到了具有唯一安全标签的用户申请任务信息，并将带有唯一安全标签的用户申请任务信息、任务所需的资源信息存入云平台系统数据库当中；

(2)访问控制模块对用户身份信息进行确认，并从云平台申请用户申请任务所需的资源，实现步骤为：

(2a)访问控制模块根据申请用户的资源使用权限，判断申请用户的任务资源申请是否合法，若是，执行步骤(2b)，否则拒绝任务资源申请；

(2b)访问控制模块从云平台数据库中获取用户申请任务所需资源的信息，根据这些信息尝试创建用户申请任务所需的虚拟资源，同时尝试调度用户申请任务所需的实体资源，并将尝试创建和尝试调度的资源申请返回信息存入云平台数据库当中，根据云平台数据库中的资源申请返回信息判断资源申请是否成功，并将资源申请是否成功的信息存入云平台数据库中，若资源申请成功，执行步骤(2c)，否则，给申请用户提示任务资源申请的错误信息；

(2c)访问控制模块给用户申请任务所需的实体资源和用户申请任务所需的虚拟资源增添该用户申请任务的唯一安全标签，并将这些带有用户申请任务标签的资源信息存入云平台数据库当中，同时将用户申请任务所需的实体资源和用户申请任务所需的虚拟资源上传至云平台资源池；

(3)网络隔离模块根据云平台数据库当中用户申请任务所需的资源申请结果，对成功申请的虚拟和实体资源进行安全隔离，并将隔离结果传递至资源管理模块，实现步骤为：

(3a)对云平台中部分交换机进行分类，得到多个接入层交换机和多个汇聚层交换机；

(3b)将所有具有相同安全标签的虚拟和实体资源连接到多个接入层交换机，对这多个接入层交换机增添与这些虚拟和实体资源相同的安全标签，并根据虚拟和实体资源的种类将这些资源分配到不同虚拟局域网VLAN中，再创建混合型虚拟局域网MUX-VLAN，并将不同的虚拟局域网VLAN作为混合型虚拟局域网MUX-VLAN的子网；

(3c)将多个接入层交换机连接至同一个汇聚层交换机，通过汇聚层交换机设置每个虚拟局域网VLAN各自的虚拟局域网接口VLANIF；

(3d)为每一个实体设备和虚拟机分配IP地址，并将每一个实体设备和虚拟机的网关连接到各自虚拟局域网VLAN的虚拟局域网接口VLANIF上；

(3e)在多个接入层交换机连接的同一个汇聚层交换机上设置访问控制列表ACL策略，并将该访问控制列表ACL策略中的默认策略设置为拒绝所有任务流量；

(3f)对云平台同类虚拟和实体资源之间和非同类虚拟和实体之间分别进行配置：对于同类资源，在VLANIF上开启代理地址解析协议ARP功能，通过三层网关实现在二层隔离的环境下三层互通，并且通过访问控制列表ACL放行同类设备之间的流量；对于非同类虚拟和实体资源，获取这些设备的IP地址，通过ACL放行这些设备IP之间的流量，使具有相同安全标签的虚拟资源和实体资源能够相互访问；

(3g)对云平台同类资源之间和非同类资源之间分别进行配置：对于同类资源，在VLANIF上开启代理地址解析协议ARP功能，通过三层网关实现在二层隔离的环境下三层互通，并且通过访问控制列表ACL放行同类设备之间的流量；对于非同类资源，获取这些资源的IP地址，通过ACL放行这些设备IP之间的流量，使具有相同安全标签的资源能够相互访问；

(3h)用户申请新任务；

(3i)网络模块对用户任务所需的资源的隔离：网络隔离模块为用户申请的新任务创建一个虚拟机作为虚拟专用网络VPN服务器，并将所有实体资源拨入虚拟专用网络VPN服务器，再通过汇聚层交换机放行所有虚拟和实体资源的流量，最后将虚拟和实体资源隔离信息存入云平台数据库；

(4)虚拟资源隔离模块根据任务安全标签，对虚拟资源进行进程隔离，并将进程隔离结果存入云平台数据库中，实现步骤为：

(4a)进程隔离模块在云平台未知进程通过虚拟文件系统访问任何文件时，判断访问文件是否为IMG文件，若是，则拒绝访问，否则允许访问，并执行步骤(4b)；

(4b)进程隔离模块根据任务安全标签，创建包括虚拟机镜像位置和安全标签的配置文件，判断云平台未知进程是否为第一次访问IMG文件，若是，将配置文件中的IMG文件信息和IMG文件安全标签信息读入内存，并写入内存链表，否则执行步骤(4c)；

(4c)进程隔离模块根据云平台内核中的进程描述符task_struct结构体，获取云平台未知进程的可执行源文件，并找出该可执行源文件的全路径；

(4d)进程隔离模块在云平台未知进程可执行文件的扩展属性中增添了安全标签，并根据添加的安全标签判断云平台未知进程是否为虚拟进程，若是，执行步骤(4e)，否则拒绝访问；

(4e)进程隔离模块根据内核中的进程描述符task_struct结构体中的信息，判断虚拟进程是否存在安全域，若是，执行步骤(4f)，否则，进程隔离模块根据虚拟进程访问的IMG文件的安全标签，添加虚拟进程的安全域，实现虚拟进程和虚拟进程访问的IMG文件之间的绑定，并执行步骤(4f)；

(4f)进程隔离模块比较虚拟进程安全域与云平台内存链表中虚拟进程对应IMG文件的安全域是否相同，若是，则虚拟进程访问的是合法IMG文件，否则，拒绝访问IMG文件，实现对虚拟资源的进程隔离；

(5)虚拟资源隔离模块根据任务安全标签，对共享内存隔离，并将共享内存隔离结果存入云平台数据库中，实现步骤为：

(5a)共享内存隔离模块在云平台创建虚拟机时，指定外部设备互连总线PCI的设备文件名和共享内存区的大小；

(5b)共享内存隔离模块在虚拟进程启动时，根据云平台系统中的共享内存文件判断虚拟进程是否已经存在指定的共享内存区，若是，执行步骤(5c)，否则虚拟进程隔离模块根据任务安全标签，为虚拟进程创建共享内存区，并设置共享内存区的相关数据结构，然后执行步骤(5c)；

(5c)共享内存隔离模块根据云平台虚拟机所在的组分类GID和组内虚拟机自身的ID1、共享内存的组分类MID和组内该虚拟机自身的ID2，得出虚拟进程对共享内存区访问权限信息，并执行步骤(5d)；

(5d)将虚拟资源的进程隔离和共享内存的隔离信息存入云平台数据库当中，实现虚拟资源共享内存的隔离；

(6)虚拟资源隔离模块对I/O隔离，并将I/O隔离结果存入云平台数据库中，实现步骤为：

(6a)I/O隔离模块为每个实体设备分配一个包含I/O页转译保护域，并且配置每个I/O页的读取权限；

(6b)I/O隔离模块将页转译存如一个翻译后备缓冲器TLB中，并且在翻译后备缓冲器TLB中配置读写权限标记和虚拟资源地址；

(6c)用户申请任务所需的虚拟资源需要访问部分实体设备时，I/O隔离模块根据虚拟资源所需的实体设备决定每个实体设备所属保护域，然后使用这个保护域和设备请求地址查看翻译后备缓冲器TLB；

(6d)I/O隔离模块根据翻译后备缓冲器TLB中的读写权限标志，判断实体设备是否有内存访问权限，若有权限则允许虚拟资源访问该实体设备，否则拒绝虚拟资源访问该实体设备，将I/O隔离信息存入云平台数据库中，实现了虚拟输入输出的隔离。

(7)虚拟资源隔离模块根据虚拟资源的进程隔离、共享内存隔离和I/O隔离的结果，将成功隔离的虚拟资源存入资源管理模块进行统一管理。

(8)资源管理模块将用户申请任务所需的资源统一分配给用户使用。

本发明与现有技术相比，具有如下优点：

1.本发明通过将异构虚拟资源和实体资源部署在系统网络中，并根据任务安全标签对任务间的资源进行隔离，保证不同任务所使用的资源之间不可以相互访问，实现了云平台环境中同时统一管理和安全隔离异构虚拟资源和实体资源。

2.本发明在云平台环境下的对虚拟资源进行隔离时，通过对虚拟资源进行进程隔离和共享内存隔离，实现了虚拟资源之间的安全隔离，通过I/O隔离，实现虚拟资源不可访问其他虚拟资源使用的实体设备，总体上更好的保证了虚拟资源的隔离安全性。

3.本发明的安全隔离系统中，对于有线实体设备，采用两层VLAN的接入方式，对于无线实体设备，云平台网络第三层采用ACL和VPN的方式连接进入系统进行隔离，实现了不同实体设备采用不同接入方式和隔离方法。

附图说明

图1为本发明系统的结构示意图；

图2为本发明方法的实现流程图。

具体实施方式

以下结合附图和具体实施例，对本发明作进一步详细说明。

参照图1：一种云平台虚实互联环境下多任务安全隔离系统，包括任务流量标识模块、访问控制模块、任务隔离模块和资源管理模块，其中：

任务流量标识模块，用于给用户申请任务以及用户申请任务所需的资源增添唯一的安全标签，拥有相同安全标签的资源属于同一个任务；每个安全标签用于区别不同的任务，为对任务进行隔离做好准备。

访问控制模块，用于根据任务的安全标签，实现对用户的身份认证、信息管理和授权，同时通过网络访问虚拟资源和实体资源；

任务隔离模块，用于根据用户的身份认证和授权结果以及任务安全标签，隔离不同任务之间的虚拟和实体资源，同时对云平台中的各类异构虚拟资源之间进行隔离；一个任务将会使用多种虚拟和实体资源，为保证各个任务之间的安全性，必须保证各个任务之间的资源不可相互影响，同时为了防止虚拟资源发生逃逸漏洞等问题，对各类异构虚拟资源之间进行安全隔离。

资源管理模块，用于对云平台中成功隔离的虚拟和实体资源进行统一管理。

所述任务隔离模块，包括虚拟资源隔离子模块和网络隔离子模块，其中：

网络隔离子模块，用于根据任务安全标签，从网络数据层隔离不同任务之间的虚拟和实体资源；通过自定义的网络架构，将任务所使用的虚拟和实体资源放入通过一个网络中，各个资源可以相互访问，不同任务分别在不同的网络当中，不同任务之间的资源可以相互访问。

虚拟资源隔离子模块，用于根据任务安全标签，对云平台中的各类异构虚拟资源进行隔离。

所述的云平台虚实互联环境下多任务安全隔离系统，所述虚拟资源隔离子模块，包括内存隔离子模块、进程隔离子模块和I/O隔离子模块，其中：

内存隔离子模块，用于根据任务安全标签，增添共享内存组标签和虚拟资源组标签，根据该两个组标签对虚拟进程访问共享内存区的权限进行分析，并根据分析结果，对云平台中所有虚拟资源共享内存进行隔离；

进程隔离子模块，用于根据任务安全标签，对虚拟进程贴上该任务的安全标签，并根据安全标签进行访问权限的分配，实现对虚拟进程之间的隔离；

I/O隔离子模块，用于根据任务安全标签，对虚拟输入输出进行隔离。一个任务中的虚拟资源需要访问相同任务中的实体资源时，对实体设备进行访问控制，保证一个虚拟资源不可访问另一个虚拟资源所使用的实体资源。

参照图2：一种云平台虚实互联环境下多任务安全隔离方法，包括如下步骤：

步骤1：流量标签模块获取用户申请任务的信息和任务所需资源的信息，为用户申请任务增添唯一安全标签，得到了具有唯一安全标签的用户申请任务信息，并将带有唯一安全标签的用户申请任务信息、任务所需的资源信息存入云平台系统数据库当中；

一个用户通常可以申请多个任务，一个任务通常需要多种虚拟和实体资源，流量标签模块将会对同一个用户申请的多个任务添加多个唯一的安全标签用于区别不同的任务，一个任务所使用的虚拟和实体资源将会增添和这个任务相同的安全标签，表示这些资源的所属任务。

步骤2：访问控制模块对用户身份信息进行确认，并从云平台申请用户申请任务所需的资源，实现步骤为：

步骤2a)访问控制模块根据申请用户的资源使用权限，判断申请用户的任务资源申请是否合法，若是，执行步骤(2b)，否则拒绝任务资源申请；

在云平台当中，每个用户拥有的权限不一样，因此每个用户对于不同资源的申请过程必须判断是否合法，以此来保证每个任务只能使用其用户权限范围内的各种虚拟和实体资源。

步骤2b)访问控制模块从云平台数据库中获取用户申请任务所需资源的信息，根据这些信息尝试创建用户申请任务所需的虚拟资源，同时尝试调度用户申请任务所需的实体资源，并将尝试创建和尝试调度的资源申请返回信息存入云平台数据库当中，根据云平台数据库中的资源申请返回信息判断资源申请是否成功，并将资源申请是否成功的信息存入云平台数据库中，若资源申请成功，执行步骤(2c)，否则，给申请用户提示任务资源申请的错误信息；

云平台资源有限，所以系统获取用户申请任务所需资源的信息后，对于虚拟资源而言，可能受平台中储存空间，计算能力，内容容量等资源的影响，创建结果并不一定是成功的，因此访问控制模块只能尝试创建相应的虚拟资源，并将结果存入云平台数据库当中。在实体资源方面，可能存在实体资源已经全部用尽的情况，因此对于访问控制模块只能尝试调度任务所需的实体资源，并且将结果保存在云平台数据库中。

步骤2c)访问控制模块给用户申请任务所需的实体资源和用户申请任务所需的虚拟资源增添该用户申请任务的唯一安全标签，并将这些带有用户申请任务标签的资源信息存入云平台数据库当中，同时将用户申请任务所需的实体资源和用户申请任务所需的虚拟资源上传至云平台资源池；

步骤3：网络隔离模块根据云平台数据库当中用户申请任务所需的资源申请结果，对成功申请的虚拟和实体资源进行安全隔离，并将隔离结果传递至资源管理模块，实现步骤为：

步骤3a)对云平台中部分交换机进行分类，得到多个接入层交换机和多个汇聚层交换机；

步骤3b)将所有具有相同安全标签的虚拟和实体资源连接到多个接入层交换机，对这多个接入层交换机增添与这些虚拟和实体资源相同的安全标签，并根据虚拟和实体资源的种类将这些资源分配到不同虚拟局域网VLAN中，再创建混合型虚拟局域网MUX-VLAN，并将不同的虚拟局域网VLAN作为混合型虚拟局域网MUX-VLAN的子网；

步骤3c)将多个接入层交换机连接至同一个汇聚层交换机，通过汇聚层交换机设置每个虚拟局域网VLAN各自的虚拟局域网接口VLANIF；

步骤3d)为每一个实体设备和虚拟机分配IP地址，并将每一个实体设备和虚拟机的网关连接到各自虚拟局域网VLAN的虚拟局域网接口VLANIF上；

步骤3e)在多个接入层交换机连接的同一个汇聚层交换机上设置访问控制列表ACL策略，并将该访问控制列表ACL策略中的默认策略设置为拒绝所有任务流量；

步骤3f)对云平台同类虚拟和实体资源之间和非同类虚拟和实体之间分别进行配置：对于同类资源，在VLANIF上开启代理地址解析协议ARP功能，通过三层网关实现在二层隔离的环境下三层互通，并且通过访问控制列表ACL放行同类设备之间的流量；对于非同类虚拟和实体资源，获取这些设备的IP地址，通过ACL放行这些设备IP之间的流量，使具有相同安全标签的虚拟资源和实体资源能够相互访问；

步骤3g)对云平台同类资源之间和非同类资源之间分别进行配置：对于同类资源，在VLANIF上开启代理地址解析协议ARP功能，通过三层网关实现在二层隔离的环境下三层互通，并且通过访问控制列表ACL放行同类设备之间的流量；对于非同类资源，获取这些资源的IP地址，通过ACL放行这些设备IP之间的流量，使具有相同安全标签的资源能够相互访问；

步骤3h)用户申请新任务；

步骤3i)网络模块对用户任务所需的资源的隔离：网络隔离模块为用户申请的新任务创建一个虚拟机作为虚拟专用网络VPN服务器，并将所有实体资源拨入虚拟专用网络VPN服务器，再通过汇聚层交换机放行所有虚拟和实体资源的流量，最后将虚拟和实体资源隔离信息存入云平台数据库；

步骤4：虚拟资源隔离模块根据任务安全标签，对虚拟资源进行进程隔离，并将进程隔离结果存入云平台数据库中，实现步骤为：

步骤4a)进程隔离模块在云平台未知进程通过虚拟文件系统访问任何文件时，判断访问文件是否为IMG文件，若是，则拒绝访问，否则允许访问，并执行步骤(4b)；

步骤4b)进程隔离模块根据任务安全标签，创建包括虚拟机镜像位置和安全标签的配置文件，判断云平台未知进程是否为第一次访问IMG文件，若是，将配置文件中的IMG文件信息和IMG文件安全标签信息读入内存，并写入内存链表，否则执行步骤(4c)；

步骤4c)进程隔离模块根据云平台内核中的进程描述符task_struct结构体，获取云平台未知进程的可执行源文件，并找出该可执行源文件的全路径；

步骤4d)进程隔离模块在云平台未知进程可执行文件的扩展属性中增添了安全标签，并根据添加的安全标签判断云平台未知进程是否为虚拟进程，若是，执行步骤(4e)，否则拒绝访问；

步骤4e)进程隔离模块根据内核中的进程描述符task_struct结构体中的信息，判断虚拟进程是否存在安全域，若是，执行步骤(4f)，否则，进程隔离模块根据虚拟进程访问的IMG文件的安全标签，添加虚拟进程的安全域，实现虚拟进程和虚拟进程访问的IMG文件之间的绑定，并执行步骤(4f)；

步骤4f)进程隔离模块比较虚拟进程安全域与云平台内存链表中虚拟进程对应IMG文件的安全域是否相同，若是，则虚拟进程访问的是合法IMG文件，否则，拒绝访问IMG文件，实现对虚拟资源的进程隔离；

步骤5：虚拟资源隔离模块根据任务安全标签，对共享内存隔离，并将共享内存隔离结果存入云平台数据库中，实现步骤为：

步骤5a)共享内存隔离模块在云平台创建虚拟机时，指定外部设备互连总线PCI的设备文件名和共享内存区的大小；

步骤5b)共享内存隔离模块在虚拟进程启动时，根据云平台系统中的共享内存文件判断虚拟进程是否已经存在指定的共享内存区，若是，执行步骤(5c)，否则虚拟进程隔离模块根据任务安全标签，为虚拟进程创建共享内存区，并设置共享内存区的相关数据结构，然后执行步骤(5c)；

步骤5c)共享内存隔离模块根据云平台虚拟机所在的组分类GID和组内虚拟机自身的ID1、共享内存的组分类MID和组内该虚拟机自身的ID2，得出虚拟进程对共享内存区访问权限信息，并执行步骤(5d)；

步骤5d)将虚拟资源的进程隔离和共享内存的隔离信息存入云平台数据库当中，实现虚拟资源共享内存的隔离；

步骤6：虚拟资源隔离模块对I/O隔离，并将I/O隔离结果存入云平台数据库中，实现步骤为：

步骤6a)I/O隔离模块为每个实体设备分配一个包含I/O页转译保护域，并且配置每个I/O页的读取权限；

步骤6b)I/O隔离模块将页转译存入一个翻译后备缓冲器TLB中，并且在翻译后备缓冲器TLB中配置读写权限标记和虚拟资源地址；

步骤6c)用户申请任务所需的虚拟资源需要访问部分实体设备时，I/O隔离模块根据虚拟资源所需的实体设备决定每个实体设备所属保护域，然后使用这个保护域和设备请求地址查看翻译后备缓冲器TLB；

步骤6d)I/O隔离模块根据翻译后备缓冲器TLB中的读写权限标志，判断实体设备是否有内存访问权限，若有权限则允许虚拟资源访问该实体设备，否则拒绝虚拟资源访问该实体设备，将I/O隔离信息存入云平台数据库中，实现虚拟输入输出的隔离。

步骤7：虚拟资源隔离模块根据虚拟资源的进程隔离、共享内存隔离和I/O隔离的结果，将成功隔离的虚拟资源存入资源管理模块进行统一管理。

步骤8：资源管理模块将用户申请任务所需的资源统一分配给用户使用。

以上描述仅是本发明的一个具体事例，不构成对本发明的任何限制。显然对于本领域的专业人员来说，在了解了本发明内容和原理后，都可能在不背离本发明原理、结构的情况下，进行形式和细节上的任何修正和改变，但是这些基于本发明思想的修正和改变仍在本发明的权利要求保护范围之内。

Claims (1)

1.一种云平台虚实互联环境下多任务安全隔离方法，其特征在于，是通过云平台虚实互联环境下多任务安全隔离系统实现的，该系统包括任务流量标识模块、访问控制模块、任务隔离模块和资源管理模块，具体包括如下步骤：

(1)流量标签模块获取用户申请任务的信息和任务所需资源的信息，为用户申请任务增添唯一安全标签，得到了具有唯一安全标签的用户申请任务信息，并将带有唯一安全标签的用户申请任务信息、任务所需的资源信息存入云平台系统数据库当中；

(2)访问控制模块对用户身份信息进行确认，并从云平台申请用户申请任务所需的资源，实现步骤为：

(2a)访问控制模块根据申请用户的资源使用权限，判断申请用户的任务资源申请是否合法，若是，执行步骤(2b)，否则拒绝任务资源申请；

(2b)访问控制模块从云平台数据库中获取用户申请任务所需资源的信息，根据这些信息尝试创建用户申请任务所需的虚拟资源，同时尝试调度用户申请任务所需的实体资源，并将尝试创建和尝试调度的资源申请返回信息存入云平台数据库当中，根据云平台数据库中的资源申请返回信息判断资源申请是否成功，并将资源申请是否成功的信息存入云平台数据库中，若资源申请成功，执行步骤(2c)，否则，给申请用户提示任务资源申请的错误信息；

(2c)访问控制模块给用户申请任务所需的实体资源和用户申请任务所需的虚拟资源增添该用户申请任务的唯一安全标签，并将这些带有用户申请任务标签的资源信息存入云平台数据库当中，同时将用户申请任务所需的实体资源和用户申请任务所需的虚拟资源上传至云平台资源池；

(3)网络隔离模块根据云平台数据库当中用户申请任务所需的资源申请结果，对成功申请的虚拟和实体资源进行安全隔离，并将隔离结果传递至资源管理模块，实现步骤为：

(3a)对云平台中部分交换机进行分类，得到多个接入层交换机和多个汇聚层交换机；

(3b)将所有具有相同唯一安全标签的虚拟和实体资源连接到多个接入层交换机，对这多个接入层交换机增添与这些虚拟和实体资源相同的唯一安全标签，并根据虚拟和实体资源的种类将这些资源分配到不同虚拟局域网VLAN中，再创建混合型虚拟局域网MUX-VLAN，并将不同的虚拟局域网VLAN作为混合型虚拟局域网MUX-VLAN的子网；

(3c)将多个接入层交换机连接至同一个汇聚层交换机，通过汇聚层交换机设置每个虚拟局域网VLAN各自的虚拟局域网接口VLANIF；

(3d)为每一个实体设备和虚拟机分配IP地址，并将每一个实体设备和虚拟机的网关连接到各自虚拟局域网VLAN的虚拟局域网接口VLANIF上；

(3e)在多个接入层交换机连接的同一个汇聚层交换机上设置访问控制列表ACL策略，并将该访问控制列表ACL策略中的默认策略设置为拒绝所有任务流量；

(3f)对云平台同类虚拟和实体资源之间和非同类虚拟和实体之间分别进行配置：对于同类资源，在VLANIF上开启代理地址解析协议ARP功能，通过三层网关实现在二层隔离的环境下三层互通，并且通过访问控制列表ACL放行同类设备之间的流量；对于非同类虚拟和实体资源，获取这些设备的IP地址，通过ACL放行这些设备IP之间的流量，使具有相同唯一安全标签的虚拟资源和实体资源能够相互访问；

(3g)对云平台同类资源之间和非同类资源之间分别进行配置：对于同类资源，在VLANIF上开启代理地址解析协议ARP功能，通过三层网关实现在二层隔离的环境下三层互通，并且通过访问控制列表ACL放行同类设备之间的流量；对于非同类资源，获取这些资源的IP地址，通过ACL放行这些设备IP之间的流量，使具有相同唯一安全标签的资源能够相互访问；

(3h)用户申请新任务；

(3i)网络模块对用户任务所需的资源的隔离：网络隔离模块为用户申请的新任务创建一个虚拟机作为虚拟专用网络VPN服务器，并将所有实体资源拨入虚拟专用网络VPN服务器，再通过汇聚层交换机放行所有虚拟和实体资源的流量，最后将虚拟和实体资源隔离信息存入云平台数据库；

(4)虚拟资源隔离模块根据任务安全标签，对虚拟资源进行进程隔离，并将进程隔离结果存入云平台数据库中，实现步骤为：

(4a)进程隔离模块在云平台未知进程通过虚拟文件系统访问任何文件时，判断访问文件是否为IMG文件，若是，则拒绝访问，否则允许访问，并执行步骤(4b)；

(4b)进程隔离模块根据任务安全标签，创建包括虚拟机镜像位置和安全标签的配置文件，判断云平台未知进程是否为第一次访问IMG文件，若是，将配置文件中的IMG文件信息和IMG文件安全标签信息读入内存，并写入内存链表，否则执行步骤(4c)；

(4c)进程隔离模块根据云平台内核中的进程描述符task_struct结构体，获取云平台未知进程的可执行源文件，并找出该可执行源文件的全路径；

(4d)进程隔离模块在云平台未知进程可执行文件的扩展属性中增添了安全标签，并根据添加的安全标签判断云平台未知进程是否为虚拟进程，若是，执行步骤(4e)，否则拒绝访问；

(4e)进程隔离模块根据内核中的进程描述符task_struct结构体中的信息，判断虚拟进程是否存在安全域，若是，执行步骤(4f)，否则，进程隔离模块根据虚拟进程访问的IMG文件的安全标签，添加虚拟进程的安全域，实现虚拟进程和虚拟进程访问的IMG文件之间的绑定，并执行步骤(4f)；

(4f)进程隔离模块比较虚拟进程安全域与云平台内存链表中虚拟进程对应IMG文件的安全域是否相同，若是，则虚拟进程访问的是合法IMG文件，否则，拒绝访问IMG文件，实现对虚拟资源的进程隔离；

(5)虚拟资源隔离模块根据任务安全标签，对共享内存隔离，并将共享内存隔离结果存入云平台数据库中，实现步骤为：

(5a)共享内存隔离模块在云平台创建虚拟机时，指定外部设备互连总线PCI的设备文件名和共享内存区的大小；

(5b)共享内存隔离模块在虚拟进程启动时，根据云平台系统中的共享内存文件判断虚拟进程是否已经存在指定的共享内存区，若是，执行步骤(5c)，否则虚拟进程隔离模块根据任务安全标签，为虚拟进程创建共享内存区，并设置共享内存区的相关数据结构，然后执行步骤(5c)；

(5c)共享内存隔离模块根据云平台虚拟机所在的组分类GID和组内虚拟机自身的ID1、共享内存的组分类MID和组内该虚拟机自身的ID2，得出虚拟进程对共享内存区访问权限信息，并执行步骤(5d)；

(5d)将虚拟资源的进程隔离和共享内存的隔离信息存入云平台数据库当中，实现虚拟资源共享内存的隔离；

(6)虚拟资源隔离模块对I/O隔离，并将I/O隔离结果存入云平台数据库中，实现步骤为：

(6a)I/O隔离模块为每个实体设备分配一个包含I/O页转译保护域，并且配置每个I/O页的读取权限；

(6b)I/O隔离模块将页转译存入一个翻译后备缓冲器TLB中，并且在翻译后备缓冲器TLB中配置读写权限标记和虚拟资源地址；

(6c)用户申请任务所需的虚拟资源需要访问部分实体设备时，I/O隔离模块根据虚拟资源所需的实体设备决定每个实体设备所属保护域，然后使用这个保护域和设备请求地址查看翻译后备缓冲器TLB；

(6d)I/O隔离模块根据翻译后备缓冲器TLB中的读写权限标志，判断实体设备是否有内存访问权限，若有权限则允许虚拟资源访问该实体设备，否则拒绝虚拟资源访问该实体设备，将I/O隔离信息存入云平台数据库中，实现了虚拟输入输出的隔离；

(7)虚拟资源隔离模块根据虚拟资源的进程隔离、共享内存隔离和I/O隔离的结果，将成功隔离的虚拟资源存入资源管理模块进行统一管理；

(8)资源管理模块将用户申请任务所需的资源统一分配给用户使用。