CN110955886B - 基于沙箱的数据安全融合服务装置及其方法 - Google Patents
基于沙箱的数据安全融合服务装置及其方法 Download PDFInfo
- Publication number
- CN110955886B CN110955886B CN201911087717.3A CN201911087717A CN110955886B CN 110955886 B CN110955886 B CN 110955886B CN 201911087717 A CN201911087717 A CN 201911087717A CN 110955886 B CN110955886 B CN 110955886B
- Authority
- CN
- China
- Prior art keywords
- sandbox
- module
- resources
- preset
- resource
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 244000035744 Hura crepitans Species 0.000 title claims abstract description 218
- 230000004927 fusion Effects 0.000 title claims abstract description 78
- 238000000034 method Methods 0.000 title claims description 31
- 238000002955 isolation Methods 0.000 claims abstract description 134
- 238000005516 engineering process Methods 0.000 claims description 38
- 230000015654 memory Effects 0.000 claims description 20
- 238000004590 computer program Methods 0.000 claims description 14
- 238000011176 pooling Methods 0.000 claims description 6
- 238000012544 monitoring process Methods 0.000 claims description 5
- 238000012545 processing Methods 0.000 claims description 2
- 238000007726 management method Methods 0.000 description 35
- 238000007499 fusion processing Methods 0.000 description 12
- 238000009434 installation Methods 0.000 description 6
- 230000008569 process Effects 0.000 description 5
- 238000010586 diagram Methods 0.000 description 4
- 238000013468 resource allocation Methods 0.000 description 3
- 230000006870 function Effects 0.000 description 2
- 230000007246 mechanism Effects 0.000 description 2
- 208000024891 symptom Diseases 0.000 description 2
- 230000001360 synchronised effect Effects 0.000 description 2
- 230000006399 behavior Effects 0.000 description 1
- 238000004891 communication Methods 0.000 description 1
- 230000001939 inductive effect Effects 0.000 description 1
- 238000012423 maintenance Methods 0.000 description 1
- 238000013507 mapping Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000013439 planning Methods 0.000 description 1
- 238000003672 processing method Methods 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/52—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow
- G06F21/53—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow by executing in a restricted environment, e.g. sandbox or secure virtual machine
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Information Transfer Between Computers (AREA)
Abstract
本发明涉及一种基于沙箱的数据安全融合服务装置,运行于物理服务器,包括沙箱运行模块和包括计算资源隔离模块、磁盘资源隔离模块和网络资源隔离模块的沙箱管理模块。沙箱运行模块用于对外部应用软件中的数据进行安全融合。计算资源隔离模块用于为沙箱运行模块分配预设计算资源;预设计算资源与物理服务器的计算资源隔离。磁盘资源隔离模块用于为沙箱运行模块分配预设存储资源;预设存储资源与物理服务器的存储资源隔离。网络资源隔离模块用于为沙箱运行模块分配预设网络资源;预设网络资源与物理服务器的网络资源隔离。如此,外部应用软件在该装置上运行时,不仅实现数据安全融合,还实现计算资源、磁盘资源和网络资源的安全隔离,安全隔离性高。
Description
技术领域
本发明涉及数据融合技术领域,特别是涉及一种基于沙箱的数据安全融合服务装置、基于沙箱的数据安全融合服务方法、计算机设备和计算机可读存储介质。
背景技术
数据安全融合技术为针对多个信息源(传感器)开展的数据处理方法,其实施原则是:首先对来自多个信息源(传感器)的信息进行整合,并提取出征兆信息,其次将事故征兆与数据库中的数据进行比对匹配,进行原因诊断,并反馈给用户,最后是进行处理数据的归纳存储,完成系统的自我学习,形成新的知识经验。
然而,传统的数据安全融合技术的针对性较强,安全要求也较高,安全隔离能力非常有限,容易受到恶意攻击。因此,有必要提供一种隔离能力强的数据安全融合技术,以确保数据进行安全融合。
发明内容
基于此,有必要针对传统的数据安全融合技术安全隔离能力非常有限,容易受到恶意攻击的问题,提供一种基于沙箱的数据安全融合服务装置、基于沙箱的数据安全融合服务方法、计算机设备和计算机可读存储介质。
一种基于沙箱的数据安全融合服务装置,运行于物理服务器,所述数据安全融合服务装置包括沙箱运行模块和沙箱管理模块。沙箱运行模块用于对外部应用软件中的数据进行安全融合。沙箱管理模块包括计算资源隔离模块、磁盘资源隔离模块和网络资源隔离模块。
所述计算资源隔离模块用于为所述沙箱运行模块分配预设计算资源;所述预设计算资源与所述物理服务器的计算资源隔离。所述磁盘资源隔离模块用于为所述沙箱运行模块分配预设存储资源;所述预设存储资源与所述物理服务器的存储资源隔离。所述网络资源隔离模块用于为所述沙箱运行模块分配预设网络资源;所述预设网络资源与所述物理服务器的网络资源隔离。
上述基于沙箱的数据安全融合服务装置,配置沙箱运行模块和沙箱管理模块,沙箱管理模块包括三个基础服务模块,依次为计算资源隔离模块、磁盘资源隔离模块和网络资源隔离模块,计算资源隔离模块为沙箱运行模块分配预设计算资源,磁盘资源隔离模块为沙箱运行模块分配预设存储资源,网络资源隔离模块为数据安全融合服务装置分配预设网络资源。如此,外部应用软件在数据安全融合服务装置上运行时,不仅能够实现数据的安全融合,还能够实现数据融合过程中的计算资源、磁盘资源和网络资源的安全隔离,安全隔离性高,性能良好,资源利用率高,保障了在数据融合过程中的数据安全。
一种基于沙箱的数据安全融合服务方法,应用于上述实施例中所述的基于沙箱的数据安全融合服务装置;所述基于沙箱的数据安全融合服务方法包括:
为所述沙箱运行模块分配预设计算资源;所述预设计算资源与所述物理服务器的计算资源隔离;
为所述沙箱运行模块分配预设存储资源;所述预设存储资源与所述物理服务器的存储资源隔离;
为所述沙箱运行模块分配预设网络资源;所述预设网络资源与所述物理服务器的网络资源隔离;
根据所述预设计算资源、所述预设存储资源和所述预设网络资源运行所述沙箱运行模块。
上述基于沙箱的数据安全融合服务方法中,通过为数据安全融合服务装置的沙箱运行模块分配预设计算资源、预设存储资源和预设网络资源,如此,数据安全融合服务装置能够根据预设计算资源、预设存储资源和预设网络资源正常运行沙箱运行模块,从而对外部应用软件中的数据进行安全融合。如此,外部应用软件在数据安全融合服务装置上运行时,不仅能够实现数据的安全融合,还能够实现数据融合过程中的计算资源、磁盘资源和网络资源的安全隔离,安全隔离性高,性能良好,资源利用率高,保障了在数据融合过程中的数据安全。
一种计算机设备,包括存储器和处理器,所述存储器存储有计算机程序,所述处理器执行所述计算机程序时实现上述实施例中所述方法的步骤。
一种计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现上述实施例中所述方法的步骤。
附图说明
图1为本发明一个实施例中基于沙箱的数据安全融合服务装置的架构示意图;
图2为本发明一个实施例中基于沙箱的数据安全融合服务装置的架构示意图;
图3为本发明一个实施例中基于沙箱的数据安全融合服务装置的架构示意图;
图4为本发明一个实施例中基于沙箱的数据安全融合服务方法的流程示意图。
具体实施方式
为了使本发明的目的、技术方案和优点更加清楚明白,以下通过实施例,并结合附图,对本发明进行进一步详细说明。
请参阅图1,本发明提供一种基于沙箱的数据安全融合服务装置100,该装置100运行于物理服务器200,包括沙箱运行模块10和沙箱管理模块20。
沙箱运行模块10用于对外部应用软件中的数据进行安全融合。沙箱管理模块20包括计算资源隔离模块22、磁盘资源隔离模块24和网络资源隔离模块26。
计算资源隔离模块22用于为沙箱运行模块10分配预设计算资源;预设计算资源与物理服务器200的计算资源隔离。磁盘资源隔离模块24用于为沙箱运行模块10分配预设存储资源;预设存储资源与物理服务器200的存储资源隔离。网络资源隔离模块26用于为沙箱运行模块10分配预设网络资源;预设网络资源与物理服务器200的网络资源隔离。
本实施例中,沙箱运行模块10与沙箱管理模块20相互支撑,形成一个或多个沙箱。其中,沙箱是一种按照安全策略限制程序行为的独立的虚拟执行环境,运行于物理服务器200,前者为虚拟机,后者为宿主机。沙箱的运行和运行结果不会对承载沙箱的物理服务器200产生任何影响,即沙箱与承载沙箱的物理服务器200是逻辑隔离的。目前沙箱软件技术被广泛应用于操作系统安全管理软件系统等安全防护系统,但是数据安全融合方面的沙箱软件技术使用较少且成熟度低。而本实施例正是基于数据环境,利用沙箱共享物理服务器200分离出的资源,实现了数据的安全融合,同时实现数据融合过程中对物理服务器200当前资源的有效隔离。
沙箱运行模块10作为支撑形成安全沙箱的沙箱基础配置模块,用于供沙箱内部的外部应用软件运行,以对外部应用软件中的数据进行安全融合。
沙箱管理模块20为由计算资源隔离模块22、磁盘资源隔离模块24和网络资源隔离模块26形成的一个隔离模块,是用于支撑形成安全沙箱的基础服务模块,用于为沙箱运行模块10提供基础服务。本实施例中,沙箱管理模块20为沙箱运行模块10提供预设计算资源的分配和隔离服务、预设存储资源的分配和隔离服务以及预设网络资源的分配和隔离服务。
预设计算资源的分配和隔离服务由计算资源隔离模块22执行。计算资源隔离模块22预先为沙箱运行模块10分配预设的计算资源,例如CPU、内存等,该计算资源与物理服务器200当前的计算资源隔离。如此,在外部应用软件运行时,其所利用的计算资源与物理服务器200当前的计算资源隔离,从而确保数据融合过程中计算资源的安全性。
预设存储资源的分配和隔离服务由磁盘资源隔离模块24执行。磁盘资源隔离模块24预先为沙箱运行模块10分配预设的存储资源,该存储资源与物理服务器200当前的存储资源隔离。如此,在外部应用软件运行时,其所利用的磁盘资源与物理服务器200当前的计算存储隔离,从而确保数据融合过程中存储资源的安全性。
预设网络资源的分配和隔离服务由网络资源隔离模块26执行。网络资源隔离模块26预先为沙箱运行模块10分配预设的网络资源,即网络IP地址,该网络IP地址与物理服务器200当前的网络IP地址隔离。如此,在外部应用软件运行时,其所利用的网络资源与物理服务器200当前的网络资源隔离,从而确保数据融合过程中网络资源的安全性。
上述基于沙箱的数据安全融合服务装置100,配置沙箱运行模块10和沙箱管理模块20,沙箱管理模块20包括三个基础服务模块,依次为计算资源隔离模块22、磁盘资源隔离模块24和网络资源隔离模块26,计算资源隔离模块22为沙箱运行模块10分配预设计算资源,磁盘资源隔离模块24为沙箱运行模块10分配预设存储资源,网络资源隔离模块26为数据安全融合服务装置分配预设网络资源。如此,外部应用软件在数据安全融合服务装置100上运行时,不仅能够实现数据的安全融合,还能够实现数据融合过程中的计算资源、磁盘资源和网络资源的安全隔离,安全隔离性高,性能良好,资源利用率高,保障了在数据融合过程中的数据安全。
请参阅图2,在其中一个实施例中,沙箱运行模块10包括应用软件安装部署模块12、应用软件运行管理模块14和数据安全融合模块16。应用软件安装部署模块12用于安装部署外部应用软件。应用软件运行管理模块14用于对外部应用软件的运行进行管理。数据安全融合模块16用于对外部应用软件中的数据进行安全融合。
外部应用软件为普通的应用软件,例如为传感器采集和管控APP。本实施例中,一个沙箱内部存在一个或多个外部应用软件,沙箱可对一个或多个外部应用软件的多种数据进行融合,例如对多个传感器采集到的数据进行融合。沙箱运行模块10中的应用软件安装部署模块12实现外部应用软件的安装部署操作,例如提供配置信息,以使外部应用软件安装在沙箱运行模块10中。沙箱运行模块10中的应用软件运行管理模块14实现外部应用软件运行时的管理操作。数据安全融合模块16对外部应用软件中的不同来源的数据进行安全融合操作。如此,沙箱运行模块10可在沙箱内进行应用软件安装部署、应用软件运行管理及数据安全融合三个模块的功能操作,也即是说,外部应用软件的安装部署、运行管理、数据融合的功能均由沙箱运行模块10的各个子模块实现,而且,当前的外部应用软件实现与物理服务器200上的其他外部应用软件隔离,从而切实保障数据的安全。
在其中一个实施例中,计算资源隔离模块22还用于监控沙箱运行模块10的计算资源。磁盘资源隔离模块24还用于监控沙箱运行模块10的磁盘资源。网络资源隔离模块26还用于监控沙箱运行模块10的网络资源。
计算资源隔离模块22、磁盘资源隔离模块24和网络资源隔离模块26分别为沙箱运行模块10分配预设计算资源、预设存储资源和预设网络资源。此外,沙箱管理模块20还用于监控沙箱运行模块10。
当计算资源隔离模块22监控到当前的沙箱运行模块10所需的计算资源超过预设计算资源时,阻止当前的沙箱运行模块10继续运行,以使在沙箱内运行的沙箱运行模块10处于计算资源隔离模块22的管控范围内。例如,计算资源隔离模块22分配的预设计算资源为CPU的一个线程,而当前的沙箱运行模块10所需的计算资源为CPU的两个线程,超过预设计算资源,此时,计算资源隔离模块22停止运行当前的沙箱运行模块10中一个或多个外部应用软件,从而将当前的沙箱运行模块10的计算资源控制在CPU的一个线程内。
当磁盘资源隔离模块24监控到当前的沙箱运行模块10所需的存储资源超过预设存储资源时,阻止当前的沙箱运行模块10继续运行,以使在沙箱内运行的沙箱运行模块10处于磁盘资源隔离模块24的管控范围内。例如,磁盘资源隔离模块24分配的预设存储资源为10G,而当前的沙箱运行模块10所需的存储资源为20G,超过预设存储资源,此时,磁盘资源隔离模块24停止运行当前的沙箱运行模块10中一个或多个外部应用软件,从而将当前的沙箱运行模块10的存储资源控制在10G内。
当网络资源隔离模块26监控到当前的沙箱运行模块10所需的网络资源超过预设网络资源时,阻止当前的沙箱运行模块10继续运行,以使在沙箱内运行的沙箱运行模块10处于网络资源隔离模块26的管控范围内。
如此,计算资源隔离模块22、磁盘资源隔离模块24和网络资源隔离模块26通过监控当前的沙箱运行模块10的各个资源,使得单个沙箱内的沙箱运行模块10处于有效的隔离状态。
在其中一个实施例中,计算资源隔离模块22还用于在沙箱运行模块10所需的计算资源超出预设计算资源时,为沙箱运行模块10动态分配超出预设计算资源的计算资源。磁盘资源隔离模块24还用于在沙箱运行模块10所需的磁盘资源超出预设磁盘资源时,为沙箱运行模块10动态分配超出预设磁盘资源的存储资源。网络资源隔离模块26还用于在沙箱运行模块10所需的网络资源超出预设网络资源时,为沙箱运行模块10动态分配超出预设网络资源的网络资源。
当沙箱管理模块20监控到当前的沙箱运行模块10所需的计算资源、存储资源或网络资源超出预设计算资源、预设存储资源或预设网络资源时,沙箱管理模块20根据运行情况被动扩展超过预设资源的资源。以磁盘资源隔离模块24为例,在监控到当前的沙箱运行模块10所需的存储资源为50G,超过预设存储资源的10G时,由于当前的沙箱运行模块10已经运行一段时间,而且产生的数据很重要,为确保当前的沙箱运行模块10的正常运行和已有数据不丢失,磁盘资源隔离模块24发出扩展容量请求,并通过应用软件安装部署模块12调整配置信息,从而为当前的沙箱运行模块10分配更多的存储资源。同理,计算资源隔离模块22和网络资源隔离模块26也可以根据实际的运行情况被动扩展超过预设资源的资源。如此,沙箱管理模块20的动态扩展功能能够提高沙箱的利用率。
在其中一个实施例中,计算资源隔离模块22通过计算资源隔离技术分配预设计算资源。磁盘资源隔离模块24通过磁盘资源隔离技术分配预设存储资源。网络资源隔离模块26通过网络隔离技术分配预设网络资源。
其中,计算资源隔离技术是根据操作系统的CPU、内存管理技术,对计算资源进行隔离的技术。在一个具体的实施例中,计算资源隔离技术是基于Linux Cgroups技术实现进程组的隔离,控制各个进程组使用的资源(例如CPU、memory、I/O等)的数量,进而控制进程组对资源使用的优先级,从而为沙箱运行模块10分配预设计算资源。
磁盘资源隔离技术是根据对磁盘资源提供统一的池化技术,实现存储资源的安全隔离的技术。具体的,磁盘资源隔离技术先通过磁盘资源池化技术对多个物理存储设备的存储资源进行池化,再通过存储管理技术实现池化存储资源的隔离及服务质量级别管理,从而为沙箱运行模块10分配预设存储资源。在一个具体的实施例中,磁盘资源隔离技术先通过磁盘资源池化技术对存储资源进行池化,再通过kubernetes的存储管理技术(例如pv/pvc/StorageClass)实现池化存储资源的隔离及服务质量级别管理。其中,磁盘资源池化技术是基于Linux的Device Mapper实现从逻辑设备到物理设备的映射框架机制,同时使用Devicermapper作为创建存储池的驱动程序,进而实现对多个物理存储设备的存储资源池化的技术。而kubernetes,简称K8s,是一个开源的、用于管理云平台中多个主机上的容器化的应用,Kubernetes的目标是让部署容器化的应用简单并且高效(powerful),Kubernetes提供了应用部署、规划、更新、维护的一种机制。
网络隔离技术是为每个服务装置提供独立的网络,各个沙箱之间的网络不通,以实现网络安全隔离的技术。在一个具体的实施例中,网络隔离技术基于kubernetes的flannel插件实现在每一个物理服务器200(即宿主机)上运行一个网络代理,每个网络代理负责为物理服务器200预先分配一个子网,并为物理服务器200上的沙箱分配IP地址,同时通过Linux的路由管理工具实现子网ip与外部的通信管控(例如隔离或连接),从而为沙箱运行模块10分配预设网络资源。
在其中一个实施例中,沙箱运行模块10为多个,沙箱管理模块20为一个,沙箱管理模块20分别为每个沙箱运行模块10分配相互隔离的预设计算资源、相互隔离的预设存储资源隔离和相互隔离的预设网络资源。
本实施例中,多个表示两个或两个以上。沙箱管理模块20与多个沙箱运行模块10组成多个沙箱,每个沙箱可以运行不同的外部应用软件和实现对多个外部应用软件中的数据进行安全融合。
其中,沙箱管理模块20监控所有的沙箱运行模块10,并为每个沙箱运行模块10分配预设的资源,且分配到的预设的资源是相互隔离的。以图3为例,物理服务器200内有三个沙箱,分别为A沙箱、B沙箱和C沙箱,沙箱管理模块20分别监控A沙箱、B沙箱和C沙箱中的沙箱运行模块10。A沙箱分配到的预设计算资源分别与B沙箱和C沙箱分配到的预设计算资源是相互隔离的,如此,B沙箱和C沙箱中的沙箱运行模块10在运行时所利用的计算资源不共享A沙箱中的沙箱运行模块10运行时所利用的计算资源,有利于对A沙箱中数据融合的隔离保护。同理,B沙箱和C沙箱的预设计算资源、预设存储资源隔离和预设网络资源也相互隔离。在实际的应用中,企业的单个物理服务器200最高可运行上千个基于沙箱的数据安全融合服务装置100,从而切实保障企业数据的安全。
请参阅图4,本发明还提供一种基于沙箱的数据安全融合服务方法,该方法应用于上述任一实施例的基于沙箱的数据安全融合服务装置100。基于沙箱的数据安全融合服务方法包括以下步骤:
步骤S102,为沙箱运行模块10分配预设计算资源;预设计算资源与物理服务器200的计算资源隔离;
步骤S104,为沙箱运行模块10分配预设存储资源;预设存储资源与物理服务器200的存储资源隔离;
步骤S106,为沙箱运行模块10分配预设网络资源;预设网络资源与物理服务器200的网络资源隔离;
步骤S108,根据预设计算资源、预设存储资源和预设网络资源运行沙箱运行模块10;沙箱运行模块10用于对外部应用软件中的数据进行安全融合。
本实施例中,通过为基于沙箱的数据安全融合服务装置100的沙箱运行模块10分配预设计算资源、预设存储资源和预设网络资源,如此,基于沙箱的数据安全融合服务装置100能够根据预设计算资源、预设存储资源和预设网络资源正常运行沙箱运行模块10,从而对外部应用软件中的数据进行安全融合。如此,外部应用软件在数据安全融合服务装置100上运行时,不仅能够实现数据的安全融合,还能够实现数据融合过程中的计算资源、磁盘资源和网络资源的安全隔离,安全隔离性高,性能良好,资源利用率高,保障了在数据融合过程中的数据安全。
当然,在其他实施例中,步骤S102-步骤S106的执行顺序根据物理服务器200具体的情况有所调整。
在其中一个实施例中,该方法还包括以下步骤:
步骤S101,安装部署外部应用软件;
步骤S103,对外部应用软件的运行进行管理;
步骤S105,对外部应用软件中的数据进行安全融合。
本实施例中,关于步骤S101至步骤S105的具体限定可以参见上文中对于应用软件安装部署模块12、应用软件运行管理模块14和数据安全融合模块16的限定,在此不再赘述。
当然,在其他实施例中,步骤S101-步骤S105的执行顺序根据物理服务器200具体的情况有所调整,在此不做限定。
在其中一个实施例中,步骤S102至步骤S106中,通过以下步骤实现预设计算资源、预设存储资源和预设网络资源的分配:
步骤S1022,通过计算资源隔离技术分配预设计算资源;
步骤S1042,通过磁盘资源隔离技术分配预设存储资源;
步骤S1062,通过网络隔离技术分配预设网络资源。
本实施例中,关于步骤S1022至步骤S1062的具体限定可以参见上文中对于应用软件安装部署模块12、应用软件运行管理模块14和数据安全融合模块16的限定,在此不再赘述。
当然,在其他实施例中,步骤S1022-步骤S1062的执行顺序根据物理服务器200具体的情况有所调整,在此不做限定。
本发明还提供了一种计算机设备,包括存储器和处理器,存储器中存储有计算机程序,该处理器执行计算机程序时实现以下步骤:
步骤S102,为沙箱运行模块10分配预设计算资源;预设计算资源与物理服务器200的计算资源隔离;
步骤S104,为沙箱运行模块10分配预设存储资源;预设存储资源与物理服务器200的存储资源隔离;
步骤S106,为沙箱运行模块10分配预设网络资源;预设网络资源与物理服务器200的网络资源隔离;
步骤S108,根据预设计算资源、预设存储资源和预设网络资源运行沙箱运行模块10。
具体的,该计算机设备可以是服务器,其内部结构图可以如图1所示。该计算机设备的处理器用于提供计算和控制能力。该计算机设备的存储器包括非易失性存储介质、内存储器。该非易失性存储介质存储有操作系统、计算机程序和数据库。该内存储器为非易失性存储介质中的操作系统和计算机程序的运行提供环境。该计算机程序被处理器执行时以实现一种上述任一实施例中基于沙箱的数据安全融合服务方法,例如,执行步骤S102-步骤S108。
本发明还提供了一种计算机可读存储介质,其上存储有计算机程序,计算机程序被处理器执行时实现以下步骤:
步骤S102,为沙箱运行模块10分配预设计算资源;预设计算资源与物理服务器200的计算资源隔离;
步骤S104,为沙箱运行模块10分配预设存储资源;预设存储资源与物理服务器200的存储资源隔离;
步骤S106,为沙箱运行模块10分配预设网络资源;预设网络资源与物理服务器200的网络资源隔离;
步骤S108,根据预设计算资源、预设存储资源和预设网络资源运行沙箱运行模块10。
在其中一个实施例中,计算机程序被处理器执行时还实现上述其他所有所述实施例中调节方法的步骤。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,所述的计算机程序可存储于一非易失性计算机可读取存储介质中,该计算机程序在执行时,可包括如上述各方法的实施例的流程。其中,本申请所提供的各实施例中所使用的对存储器、存储、数据库或其它介质的任何引用,均可包括非易失性和/或易失性存储器。非易失性存储器可包括只读存储器(ROM)、可编程ROM(PROM)、电可编程ROM(EPROM)、电可擦除可编程ROM(EEPROM)或闪存。易失性存储器可包括随机存取存储器(RAM)或者外部高速缓冲存储器。作为说明而非局限,RAM以多种形式可得,诸如静态RAM(SRAM)、动态RAM(DRAM)、同步DRAM(SDRAM)、双数据率SDRAM(DDRSDRAM)、增强型SDRAM(ESDRAM)、同步链路(Synchlink)DRAM(SLDRAM)、存储器总线(Rambus)直接RAM(RDRAM)、直接存储器总线动态RAM(DRDRAM)、以及存储器总线动态RAM(RDRAM)等。
以上实施例的各技术特征可以进行任意的组合,为使描述简洁,未对上述实施例中的各个技术特征所有可能的组合都进行描述,然而,只要这些技术特征的组合不存在矛盾,都应当认为是本说明书记载的范围。
以上所述实施例仅表达了本申请的几种实施方式,其描述较为具体和详细,但并不能因此而理解为对发明专利范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本申请构思的前提下,还可以做出若干变形和改进,这些都属于本申请的保护范围。因此,本申请专利的保护范围应以所附权利要求为准。
Claims (9)
1.一种基于沙箱的数据安全融合服务装置,其特征在于,运行于物理服务器,所述数据安全融合服务装置包括:
沙箱运行模块,用于对外部应用软件中的数据进行安全融合;
沙箱管理模块,包括计算资源隔离模块、磁盘资源隔离模块和网络资源隔离模块;
所述计算资源隔离模块用于为所述沙箱运行模块分配预设计算资源;所述预设计算资源与所述物理服务器的计算资源隔离;
所述磁盘资源隔离模块用于为所述沙箱运行模块分配预设存储资源;所述预设存储资源与所述物理服务器的存储资源隔离;
所述网络资源隔离模块用于为所述沙箱运行模块分配预设网络资源;所述预设网络资源与所述物理服务器的网络资源隔离;
所述计算资源隔离模块通过计算资源隔离技术分配所述预设计算资源,所述计算资源隔离技术是根据操作系统的CPU、内存管理技术对计算资源进行隔离;
所述磁盘资源隔离模块通过磁盘资源隔离技术分配所述预设存储资源,所述磁盘资源隔离技术是对磁盘资源提供统一的池化技术,再通过存储管理技术实现池化存储资源的隔离及服务质量级别管理;
所述网络资源隔离模块通过网络隔离技术分配所述预设网络资源,所述网络隔离技术是为每个服务装置提供独立的网络。
2.根据权利要求1所述的基于沙箱的数据安全融合服务装置,其特征在于,所述沙箱运行模块包括:
应用软件安装部署模块,用于安装部署所述外部应用软件;
应用软件运行管理模块,用于对所述外部应用软件的运行进行管理;和
数据安全融合模块,用于对所述外部应用软件中的数据进行安全融合。
3.根据权利要求1所述的基于沙箱的数据安全融合服务装置,其特征在于,
所述计算资源隔离模块还用于监控所述沙箱运行模块的计算资源;
所述磁盘资源隔离模块还用于监控所述沙箱运行模块的磁盘资源;
所述网络资源隔离模块还用于监控所述沙箱运行模块的网络资源。
4.根据权利要求1所述的基于沙箱的数据安全融合服务装置,其特征在于,
所述计算资源隔离模块还用于在所述沙箱运行模块所需的计算资源超出所述预设计算资源时,为所述沙箱运行模块动态分配超出所述预设计算资源的计算资源;
所述磁盘资源隔离模块还用于在所述沙箱运行模块所需的磁盘资源超出预设磁盘资源时,为所述沙箱运行模块动态分配超出所述预设磁盘资源的存储资源;
所述网络资源隔离模块还用于在所述沙箱运行模块所需的网络资源超出所述预设网络资源时,为所述沙箱运行模块动态分配超出所述预设网络资源的网络资源。
5.根据权利要求1所述的基于沙箱的数据安全融合服务装置,其特征在于,所述沙箱运行模块为多个,所述沙箱管理模块为一个,所述沙箱管理模块分别为每个所述沙箱运行模块分配相互隔离的预设计算资源、相互隔离的预设存储资源隔离和相互隔离的预设网络资源。
6.一种基于沙箱的数据安全融合服务方法,其特征在于,应用于上述权利要求1-5中任一项所述的基于沙箱的数据安全融合服务装置;所述基于沙箱的数据安全融合服务方法包括:
通过计算资源隔离技术为所述沙箱运行模块分配预设计算资源;所述预设计算资源与所述物理服务器的计算资源隔离;
通过磁盘资源隔离技术为所述沙箱运行模块分配预设存储资源;所述预设存储资源与所述物理服务器的存储资源隔离;
通过网络隔离技术为所述沙箱运行模块分配预设网络资源;所述预设网络资源与所述物理服务器的网络资源隔离;
根据所述预设计算资源、所述预设存储资源和所述预设网络资源运行所述沙箱运行模块;所述沙箱运行模块用于对外部应用软件中的数据进行安全融合。
7.根据权利要求6所述的基于沙箱的数据安全融合服务方法,其特征在于,还包括:
安装部署所述外部应用软件;
对所述外部应用软件的运行进行管理;
对所述外部应用软件中的数据进行安全融合。
8.一种计算机设备,包括存储器和处理器,所述存储器存储有计算机程序,其特征在于,所述处理器执行所述计算机程序时实现权利要求6至7中任一项所述方法的步骤。
9.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现权利要求6至7中任一项所述方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201911087717.3A CN110955886B (zh) | 2019-11-08 | 2019-11-08 | 基于沙箱的数据安全融合服务装置及其方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201911087717.3A CN110955886B (zh) | 2019-11-08 | 2019-11-08 | 基于沙箱的数据安全融合服务装置及其方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN110955886A CN110955886A (zh) | 2020-04-03 |
| CN110955886B true CN110955886B (zh) | 2022-06-21 |
Family
ID=69977187
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201911087717.3A Active CN110955886B (zh) | 2019-11-08 | 2019-11-08 | 基于沙箱的数据安全融合服务装置及其方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN110955886B (zh) |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102857363A (zh) * | 2012-05-04 | 2013-01-02 | 运软网络科技(上海)有限公司 | 一种虚拟网络的自主管理系统和方法 |
| CN106603696A (zh) * | 2016-12-28 | 2017-04-26 | 华南理工大学 | 一种基于超融合基础框架的高可用系统 |
| CN108133153A (zh) * | 2017-11-29 | 2018-06-08 | 北京京航计算通讯研究所 | 基于沙箱技术的云存储安全访问方法 |
| CN108594819A (zh) * | 2018-05-03 | 2018-09-28 | 济南浪潮高新科技投资发展有限公司 | 自动驾驶车载计算资源管理系统和方法 |
| CN109873834A (zh) * | 2019-03-22 | 2019-06-11 | 云南电网有限责任公司 | 一种基于云计算的企业级云化移动应用一体化平台及系统 |
Family Cites Families (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10019570B2 (en) * | 2007-06-14 | 2018-07-10 | Microsoft Technology Licensing, Llc | Protection and communication abstractions for web browsers |
| CN102571746B (zh) * | 2011-11-23 | 2014-11-05 | 西安交通大学 | 一种面向云计算环境侧通道攻击防御的虚拟机部署方法 |
| CN105657057A (zh) * | 2012-12-31 | 2016-06-08 | 华为技术有限公司 | 一种计算存储融合的集群系统 |
| CN106339257B (zh) * | 2015-07-10 | 2020-03-24 | 中标软件有限公司 | 使客户机操作系统轻量化的方法及系统和虚拟化操作系统 |
| CN105138905A (zh) * | 2015-08-25 | 2015-12-09 | 中国科学院信息工程研究所 | Linux应用程序的隔离运行方法 |
| US10855725B2 (en) * | 2016-06-02 | 2020-12-01 | Microsoft Technology Licensing, Llc | Hardware-based virtualized security isolation |
| US10742522B2 (en) * | 2016-11-14 | 2020-08-11 | Huawei Technologies Co., Ltd. | Creation and modification of shareable slice instances |
| CN107741832B (zh) * | 2017-10-18 | 2021-01-08 | 成都索贝数码科技股份有限公司 | 一种基于池化隔离存储目录的方法 |
-
2019
- 2019-11-08 CN CN201911087717.3A patent/CN110955886B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102857363A (zh) * | 2012-05-04 | 2013-01-02 | 运软网络科技(上海)有限公司 | 一种虚拟网络的自主管理系统和方法 |
| CN106603696A (zh) * | 2016-12-28 | 2017-04-26 | 华南理工大学 | 一种基于超融合基础框架的高可用系统 |
| CN108133153A (zh) * | 2017-11-29 | 2018-06-08 | 北京京航计算通讯研究所 | 基于沙箱技术的云存储安全访问方法 |
| CN108594819A (zh) * | 2018-05-03 | 2018-09-28 | 济南浪潮高新科技投资发展有限公司 | 自动驾驶车载计算资源管理系统和方法 |
| CN109873834A (zh) * | 2019-03-22 | 2019-06-11 | 云南电网有限责任公司 | 一种基于云计算的企业级云化移动应用一体化平台及系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN110955886A (zh) | 2020-04-03 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10728135B2 (en) | Location based test agent deployment in virtual processing environments | |
| CN110249311B (zh) | 云计算系统中针对虚拟机的资源管理 | |
| US8429276B1 (en) | Dynamic resource allocation in virtual environments | |
| EP2867772B1 (en) | Dynamic resource allocation for virtual machines | |
| US11614958B2 (en) | Cost-efficient high-availability multi-single-tenant services | |
| EP3481007B1 (en) | Method, apparatus and management server for processing resource pool | |
| CN107222531B (zh) | 一种容器云资源调度方法 | |
| US11106503B2 (en) | Assignment of resources to database connection processes based on application information | |
| US9444764B2 (en) | Scalable and secure interconnectivity in server cluster environments | |
| US11023128B2 (en) | On-demand elastic storage infrastructure | |
| JP2013218687A (ja) | サーバー監視システム及びその方法 | |
| KR101585160B1 (ko) | 독립실행환경을 제공하는 분산 컴퓨팅 시스템 및 분산 컴퓨팅 시스템의 제어방법 | |
| US20170308408A1 (en) | Method and apparatus for dynamic virtual system on chip | |
| CN111104208A (zh) | 进程调度管理方法、装置、计算机设备及存储介质 | |
| CN104158841A (zh) | 计算资源分配方法 | |
| KR102045039B1 (ko) | 통합 서버의 자원 분배 관리장치 및 방법 | |
| US20200272526A1 (en) | Methods and systems for automated scaling of computing clusters | |
| CN107766146B (zh) | 用于资源重配置的方法以及相应的设备 | |
| US9548906B2 (en) | High availability multi-partition networking device with reserve partition and method for operating | |
| US9521134B2 (en) | Control apparatus in software defined network and method for operating the same | |
| CN111124593A (zh) | 信息处理方法及装置、网元及存储介质 | |
| CN110955886B (zh) | 基于沙箱的数据安全融合服务装置及其方法 | |
| US11977911B2 (en) | Method and system for automatically scaling multi-container-based computational session on cluster | |
| US11467880B2 (en) | Method for accessing shared resources of a computer platform, associated computer program and computer platform | |
| US11025594B2 (en) | Secret information distribution method and device |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| CP03 | Change of name, title or address | ||
| CP03 | Change of name, title or address |
Address after: 510620, No. two, No. 2, Tianhe South Road, Guangzhou, Guangdong, Tianhe District Patentee after: GUANGZHOU POWER SUPPLY Co.,Ltd. Country or region after: China Patentee after: China Southern Power Grid Big Data Service Co.,Ltd. Address before: 510620, No. two, No. 2, Tianhe South Road, Guangzhou, Guangdong, Tianhe District Patentee before: GUANGZHOU POWER SUPPLY Co.,Ltd. Country or region before: China Patentee before: Guangzhou suinengtong Energy Technology Co.,Ltd. |
|
| TR01 | Transfer of patent right | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20240418 Address after: 510802 5-1, Hongzhu Road, Xinhua Street, Huadu District, Guangzhou City, Guangdong Province Patentee after: China Southern Power Grid Big Data Service Co.,Ltd. Country or region after: China Address before: 510620, No. two, No. 2, Tianhe South Road, Guangzhou, Guangdong, Tianhe District Patentee before: GUANGZHOU POWER SUPPLY Co.,Ltd. Country or region before: China Patentee before: China Southern Power Grid Big Data Service Co.,Ltd. |