CN113411357A - 会话调度方法、模块和系统 - Google Patents
会话调度方法、模块和系统 Download PDFInfo
- Publication number
- CN113411357A CN113411357A CN202010180784.6A CN202010180784A CN113411357A CN 113411357 A CN113411357 A CN 113411357A CN 202010180784 A CN202010180784 A CN 202010180784A CN 113411357 A CN113411357 A CN 113411357A
- Authority
- CN
- China
- Prior art keywords
- session
- priority
- operating system
- trusted operating
- time
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 38
- 238000012545 processing Methods 0.000 claims abstract description 20
- 230000006870 function Effects 0.000 claims description 16
- 238000004590 computer program Methods 0.000 claims description 10
- 230000008569 process Effects 0.000 claims description 9
- 238000003860 storage Methods 0.000 claims description 9
- 238000005259 measurement Methods 0.000 claims description 7
- 238000005304 joining Methods 0.000 claims description 4
- 238000010586 diagram Methods 0.000 description 17
- 230000007423 decrease Effects 0.000 description 4
- 238000004422 calculation algorithm Methods 0.000 description 3
- 238000005516 engineering process Methods 0.000 description 3
- 230000004044 response Effects 0.000 description 3
- 238000013459 approach Methods 0.000 description 2
- 238000004364 calculation method Methods 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 230000014509 gene expression Effects 0.000 description 1
- 238000002955 isolation Methods 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000001737 promoting effect Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/14—Session management
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/14—Session management
- H04L67/141—Setup of application sessions
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/14—Session management
- H04L67/142—Managing session states for stateless protocols; Signalling session states; State transitions; Keeping-state mechanisms
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer And Data Communications (AREA)
Abstract
本公开公开了一种会话调度方法、模块和系统,涉及架构安全领域。该方法包括:拦截客户端应用程序向可信操作系统发送的创建会话请求;获取可信操作系统的当前会话使用情况;若可信操作系统当前不存在可用会话资源,则计算被拦截会话的优先级;将被拦截会话加入到会话等待队列;若会话等待队列中具有最高优先级的会话的优先级,大于会话执行队列中具有最小会话剩余价值的会话的剩余价值,则挂断具有最小会话剩余价值的会话,并处理具有最高优先级的会话。本公开能够解决多会话场景下,恶意客户端应用程序长时间占用会话资源引起DOS攻击的问题。
Description
技术领域
本公开涉及架构安全领域,尤其涉及一种会话调度方法、模块和系统。
背景技术
嵌入式设备以其良好的开放性、交互性、友好用户体验性和平台便捷性等特点,越来越受到人们青睐,其安全性也日益被关注。TrustZone技术作为一套嵌入式系统级安全解决方案应运而生,其硬件隔离性使其能够抵抗大多数软件攻击,得到广泛应用。
多会话的环境下TrustZone中存在一个安全问题,即当安全世界会话资源全被占用时,其他的会话请求会被拒绝,导致高优先级的会话请求无法被及时响应。而恶意CA(Client Application,客户端应用程序)通过请求建立会话,长时间占用会话资源,耗尽安全世界会话资源,会引起DOS(Denial of Service,拒绝服务)攻击,导致合法的请求无法被响应。
现有的调度算法调度策略过于单一,缺少对会话执行队列的考虑,无法抵抗由于恶意CA长时间占用会话资源引起的DOS攻击,在TrustZone架构中并不适用。
发明内容
本公开要解决的一个技术问题是,提供一种会话调度方法、模块和系统,能够解决多会话场景下,恶意客户端应用程序长时间占用会话资源引起DOS攻击的问题。
根据本公开一方面,提出一种会话调度方法,包括:拦截客户端应用程序向可信操作系统发送的创建会话请求;获取可信操作系统的当前会话使用情况;若可信操作系统当前不存在可用会话资源,则计算被拦截会话的优先级;将被拦截会话加入到会话等待队列;若会话等待队列中具有最高优先级的会话的优先级,大于会话执行队列中具有最小会话剩余价值的会话的剩余价值,则挂断具有最小会话剩余价值的会话,并处理具有最高优先级的会话。
在一些实施例中,会话的剩余价值为会话的优先级与时间衰减函数的乘积。
在一些实施例中,时间衰减函数α(t)为
其中,t为时间,a为会话紧急程度的权重,
为处理会话预计耗时。
在一些实施例中,会话的优先级根据会话的紧急程度、进入会话执行队列前的等待时间和处理该会话预计耗时确定。
在一些实施例中,会话的优先级为
其中,merg为紧急程度、wait_time为进入会话执行队列前的等待时间、p_dealtime为处理该会话预计耗时,a为紧急程度的权重、b为进入会话执行队列前的等待时间的权重、c为处理该会话预计耗的权重。
在一些实施例中,会话的剩余价值为会话的优先级与时间衰减函数以及理论参数的乘积,其中,理论参数用于保证会话能占据理论上足够长的会话时间。
在一些实施例中,若可信操作系统当前存在可用会话资源,则向可信操作系统发送创建被拦截会话的请求。
根据本公开的另一方面,还提出一种会话调度模块,包括:会话拦截单元,被配置为拦截客户端应用程序向可信操作系统发送的创建会话请求;情况获取单元,被配置为获取可信操作系统当前会话使用情况;优先级计算单元,被配置为若可信操作系统当前不存在可用会话资源,则计算被拦截会话的优先级;队列加入单元,被配置为将被拦截会话加入到等待会话队列;创建请求单元,被配置为若会话等待队列中具有最高优先级的会话的优先级,大于会话执行队列中具有最小会话剩余价值的会话的剩余价值,则挂断具有最小会话剩余价值的会话,并处理具有最高优先级的会话。
根据本公开的另一方面,还提出一种会话调度模块,包括:存储器;以及耦接至存储器的处理器,处理器被配置为基于存储在存储器的指令执行如上述的会话调度方法。
根据本公开的另一方面,还提出一种会话调度系统,包括:上述的会话调度模块;以及度量代理模块,被配置为监控可信操作系统的当前会话使用情况,以及会话等待队列和会话执行队列中会话的使用情况。
在一些实施例中,度量代理模块还被配置为监测会话调度模块的安全性,在会话调度模块安全性被破坏时,向可信操作系统进行报告。
根据本公开的另一方面,还提出一种计算机可读存储介质,其上存储有计算机程序指令,该指令被处理器执行时实现上述的会话调度方法。
本公开实施例中,若可信操作系统当前不存在可用会话资源,且会话等待队列中存在优先级高于会话执行队列中最低剩余价值的会话时,优先处理会话等待队列中,具有最高优先级的会话,从而能够解决多会话场景下,恶意客户端应用程序长时间占用会话资源引起DOS攻击的问题。
通过以下参照附图对本公开的示例性实施例的详细描述,本公开的其它特征及其优点将会变得清楚。
附图说明
构成说明书的一部分的附图描述了本公开的实施例,并且连同说明书一起用于解释本公开的原理。
参照附图,根据下面的详细描述,可以更加清楚地理解本公开,其中:
图1为本公开的会话调度方法的一些实施例的流程示意图。
图2为本公开的会话调度方法的另一些实施例的流程示意图。
图3为本公开的会话调度模块的一些实施例的结构示意图。
图4为本公开的会话调度模块的另一些实施例的结构示意图。
图5为本公开会话调度系统的一些实施例的结构示意图。
图6为本公开会话调度系统的另一些实施例的结构示意图。
具体实施方式
现在将参照附图来详细描述本公开的各种示例性实施例。应注意到:除非另外具体说明,否则在这些实施例中阐述的部件和步骤的相对布置、数字表达式和数值不限制本公开的范围。
同时,应当明白,为了便于描述,附图中所示出的各个部分的尺寸并不是按照实际的比例关系绘制的。
以下对至少一个示例性实施例的描述实际上仅仅是说明性的,决不作为对本公开及其应用或使用的任何限制。
对于相关领域普通技术人员已知的技术、方法和设备可能不作详细讨论,但在适当情况下,所述技术、方法和设备应当被视为授权说明书的一部分。
在这里示出和讨论的所有示例中,任何具体值应被解释为仅仅是示例性的,而不是作为限制。因此,示例性实施例的其它示例可以具有不同的值。
应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步讨论。
为使本公开的目的、技术方案和优点更加清楚明白,以下结合具体实施例,并参照附图,对本公开进一步详细说明。
图1为本公开的会话调度方法的一些实施例的流程示意图。该实施例由会话调度模块执行,适用于TrustZone架构。
在步骤110,拦截客户端应用程序向可信操作系统发送的创建会话请求。
在步骤120,获取可信操作系统的当前会话使用情况。
在一些实施例中,度量调度模块可以监控可信操作系统的当前会话使用情况,会话调度模块向度量调度模块发送查询请求,度量调度模块将监控的可信操作系统的当前会话使用情况返回给会话调度模块。
在步骤130,若可信操作系统当前不存在可用会话资源,则计算被拦截会话的优先级。
在一些实施例中,会话优先级根据会话的紧急程度、进入会话执行队列前的等待时间和处理该会话预计耗时确定。
在步骤140,将被拦截会话加入到会话等待队列。
在步骤150,若会话等待队列中具有最高优先级的会话的优先级,大于会话执行队列中具有最小会话剩余价值的会话的剩余价值,则挂断具有最小剩余价值的会话,并处理具有最高优先级的会话。例如,向可信操作系统发送创建具有最高优先级的会话的请求。
在一些实施例中,会话的剩余价值为会话的优先级与时间衰减函数的乘积。随着时间的推移,会话的剩余价值越来越低。
在另一些实施例中,会话的剩余价值为会话的优先级与时间衰减函数以及理论参数的乘积,其中,理论参数用于保证会话能占据理论上足够长的会话时间。
在上述实施例中,若可信操作系统当前不存在可用会话资源,且会话等待队列中存在优先级高于会话执行队列中最低剩余价值的会话时,优先处理会话等待队列中,具有最高优先级的会话,从而能够解决多会话场景下,恶意客户端应用程序长时间占用会话资源引起DOS攻击的问题。
图2为本公开的会话调度方法的另一些实施例的流程示意图。
在步骤210,客户端应用程序向可信操作系统发送创建会话请求。
在步骤220,会话调度模块拦截该会话请求。
在步骤230,会话调度模块向度量代理模块请求获取可信操作系统当前会话使用情况。
在步骤240,度量代理模块读取可信操作系统当前会话使用情况,并返回给会话调度模块。
在步骤250,会话调度模块判断当前是否存在可用会话资源,若是,则执行步骤260,否则,执行步骤270。
在步骤260,会话调度模块向可信操作系统请求创建被拦截的会话,并返回给客户端应用程序。
在步骤270,会话调度模块获取客户端应用程序的相关信息,计算该被拦截会话的优先级。
在一些实施例中,会话的优先级
其中,merg为紧急程度、wait_time为进入会话执行队列前的等待时间、p_dealtime为处理该会话预计耗时,a为紧急程度的权重、b为进入会话执行队列前的等待时间的权重、c为处理该会话预计耗的权重。在一些实施例中,参数a、b、c之和为1。参数a、b、c的配置由系统启动时设置,目的在于使该调度算法更具有通用性,能够适用于各种嵌入式系统的需求,如通过增大b的值,能够保证耗时短的会话得到优先响应。在安全世界存储了默认的a、b、c的值,通过设计一个TA(Trusted Application,安全世界的应用)提供管理员配置参数的接口。
在步骤280,会话调度模块将该会话加入到会话等待队列。
在步骤290,会话调度模块在会话等待队列中取出具有最大会话优先级的第一会话,在会话执行队列中取出具有最小会话剩余价值的第二会话。
在一些实施例中,会话的剩余价值
其中,α(t)为时间衰减函数,用来表示随时间变化剩余价值的变化情况。
在一些实施例中,
其中,t为时间,a为会话紧急程度的权重,
为处理会话预计耗时。在t<p_dealtime时,会话剩余价值随时间线性递减,当t达到p_dealtime后,会话剩余价值急剧减少,当t足够大时,其剩余价值趋近于0。k的取值要保证
对所有会话都成立。
在一些实施例中,β为理论参数,β>1,用于保证会话能占据理论上足够长的会话时间。
在一些实施例中,会话调度模块通过度量代理模块获取安全世界的各个会话使用情况,得到处理该会话预计耗时、会话执行队列前的等待时间等信息。
在步骤2100,判断第一会话的优先级是否大于第二会话的剩余价值,若是,则执行步骤2110,否则,执行步骤2120。
在步骤2110,会话调度模块挂断第二会话,并向可信操作系统请求创建第一会话,并返回给客户端应用程序。
在步骤2120,继续保持第二会话。
在上述实施例中,可信操作系统当前存在可用的会话资源时,允许创建客户端应用程序请求的会话;可信操作系统当前不存在可用的会话资源时,计算当前会话请求的优先级,并加入会话等待队列,然后比较会话等待队列中具有最高优先级的会话的优先级与会话执行队列中具有最小会话剩余价值的会话的剩余价值的大小,能够保证优先级高的会话被执行,并且,由于随着时间的推移,会话的剩余价值越来越低,防止恶意客户端应用程序长时间占用会话资源。
图3为本公开的会话调度模块的一些实施例的结构示意图。该会话调度模块包括会话拦截单元310、情况获取单元320、优先级计算单元330、队列加入单元340和创建请求单元350。这些单元可以集成为策略执行模块。
会话拦截单元310被配置为拦截客户端应用程序向可信操作系统发送的创建会话请求。
在一些实施例中,客户端应用程序向可信操作系统发送的创建会话请求时,会话拦截模块会拦截该会话请求。
情况获取单元320被配置为获取可信操作系统当前会话使用情况。
在一些实施例中,情况获取单元通过度量代理模块获取可信操作系统当前会话使用情况。
优先级计算单元330被配置为若可信操作系统当前不存在可用会话资源,则计算被拦截会话的优先级。
在一些实施例中,会话的优先级根据会话的紧急程度、进入会话执行队列前的等待时间和处理该会话预计耗时确定。
在一些实施例中,会话的优先级
其中,merg为紧急程度、wait_time为进入会话执行队列前的等待时间、p_dealtime为处理该会话预计耗时,a为紧急程度的权重、b为进入会话执行队列前的等待时间的权重、c为处理该会话预计耗的权重。参数a、b、c的配置由系统启动时设置,目的在于使该调度算法更具有通用性,能够适用于各种嵌入式系统的需求,如通过增大b的值,能够保证耗时短的会话得到优先响应。
队列加入单元340被配置为将被拦截会话加入到等待会话队列。
创建请求单元350被配置为若会话等待队列中具有最高优先级的会话的优先级,大于会话执行队列中具有最小会话剩余价值的会话的剩余价值,则挂断具有最小会话剩余价值的会话,并处理具有最高优先级的会话。
在一些实施例中,会话的剩余价值为会话的优先级与时间衰减函数的乘积。
在一些实施例中,会话的剩余价值为会话的优先级与时间衰减函数以及理论参数的乘积,其中,理论参数用于保证会话能占据理论上足够长的会话时间。例如,会话的剩余价值
其中,α(t)为时间衰减函数,用来表示随时间变化剩余价值的变化情况。
在一些实施例中,
其中,t为时间,a为会话紧急程度的权重,
为处理会话预计耗时。在t<p_dealtime时,会话剩余价值随时间线性递减,当t达到p_dealtime后,会话剩余价值急剧减少,当t足够大时,其剩余价值趋近于0。k的取值要保证
对所有会话都成立。
在上述实施例中,由于随着时间的推移,会话的剩余价值越来越低,若可信操作系统当前不存在可用会话资源,且会话等待队列中存在优先级高于会话执行队列中最低剩余价值的会话时,优先处理会话等待队列中,具有最高优先级的会话,从而能够解决多会话场景下,恶意客户端应用程序长时间占用会话资源引起DOS攻击的问题。
图4为本公开的会话调度模块的另一些实施例的结构示意图。该会话调度模块400包括存储器410和处理器420。其中:存储器410可以是磁盘、闪存或其它任何非易失性存储介质。存储器用于存储图1-2所对应实施例中的指令。处理器420耦接至存储器410,可以作为一个或多个集成电路来实施,例如微处理器或微控制器。该处理器420用于执行存储器中存储的指令。
在一些实施例中,处理器420通过BUS总线430耦合至存储器410。该会话调度模块400还可以通过存储接口440连接至外部存储系统450以便调用外部数据,还可以通过网络接口460连接至网络或者另外一台计算机系统(未标出)。此处不再进行详细介绍。
在该实施例中,通过存储器存储数据指令,再通过处理器处理上述指令,能够解决多会话场景下,恶意客户端应用程序长时间占用会话资源引起DOS攻击的问题。
图5为本公开会话调度系统的一些实施例的结构示意图。该会话调度系统包括会话调度模块510和度量代理模块520。会话调度模块510已在上述实施例中进行介绍,度量代理模块520被配置为监控可信操作系统的当前会话使用情况,以及会话等待队列和会话执行队列中会话的使用情况。
在一些实施例中,度量代理模块520还被配置为监测会话调度模块的安全性,在会话调度模块安全性被破坏时,向可信操作系统进行报告。
在本公开的另一些实施例中,如图6所示,分为用户层和实时操作系统层,用户层包括普通世界的CA 610,以及安全世界的TA 620。实时操作系统层包括SSM(SessionScheduling Module,会话调度模块)630、MAM(Measurement Agent Module,度量代理模块)640、操作系统OA 650以及TEE OS(可信操作系统)660。CA 610通过TEE Client API(Application Programming Interface,应用程序接口)670与SSM 630交互,SSM 630可以与OA 650交互,TA 620通过TEE Internal(内部)API 680与MAM 640交互。安全世界与普通世界通过SMC(Secure Monitor Call,安全监控器调用)交互。
SSM 630可以分为PEM(Policy Execution Module,策略执行模块)631和CSM(CAStorage Module,关键信息存储模块)632。MAM 640可以分为SMM(Safety MonitoringModule,安全监控模块)641和SPM(Security Presentation Module,安全报告模块)642。
PEM 631被配置为对截取的CA 610发送的会话请求进行处理,包括会话优先级计算、会话等待队列的创建、会话执行队列的创建以及会话资源可用状态查询等。CA的紧急程度代表了会话的紧急程度。
CSM 632被配置为存储CA 610的相关信息,例如,CA的紧急程度、身份信息等,用于PEM 631计算会话的优先级。例如,PEM 631从CSM 632获取客户端应用程序的紧急程度后,计算该CA对应会话的优先级。
SMM 641被配置为监控TEEOS 660当前会话使用情况,还可以被配置为监控SSM630的安全状态。
SPM 642被配置为响应资源可用状态查询请求,报告安全世界的会话使用情况。其中,SPM 642记录每一个会话的详细使用情况,例如将会话使用情况存储为一个表结构,内容包括会话使用时间、对应CA ID等。SPM 642还被配置为在SSM完整性遭到破坏后,报告给TEEOS 660。
在另一些实施例中,一种计算机可读存储介质,其上存储有计算机程序指令,该指令被处理器执行时实现图1-2所对应实施例中的方法的步骤。本领域内的技术人员应明白,本公开的实施例可提供为方法、装置、或计算机程序产品。因此,本公开可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本公开可采用在一个或多个其中包含有计算机可用程序代码的计算机可用非瞬时性存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本公开是参照根据本公开实施例的方法、设备(系统)和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
至此,已经详细描述了本公开。为了避免遮蔽本公开的构思,没有描述本领域所公知的一些细节。本领域技术人员根据上面的描述,完全可以明白如何实施这里公开的技术方案。
虽然已经通过示例对本公开的一些特定实施例进行了详细说明,但是本领域的技术人员应该理解,以上示例仅是为了进行说明,而不是为了限制本公开的范围。本领域的技术人员应该理解,可在不脱离本公开的范围和精神的情况下,对以上实施例进行修改。本公开的范围由所附权利要求来限定。
Claims (12)
1.一种会话调度方法,包括:
拦截客户端应用程序向可信操作系统发送的创建会话请求;
获取所述可信操作系统的当前会话使用情况;
若所述可信操作系统当前不存在可用会话资源,则计算所述被拦截会话的优先级;
将所述被拦截会话加入到会话等待队列;
若所述会话等待队列中具有最高优先级的会话的优先级,大于会话执行队列中具有最小会话剩余价值的会话的剩余价值,则挂断具有最小会话剩余价值的会话,并所述处理所述具有最高优先级的会话。
2.根据权利要求1所述的会话调度方法,其中,会话的剩余价值为会话的优先级与时间衰减函数的乘积。
3.根据权利要求2所述的会话调度方法,其中,
所述时间衰减函数α(t)为
其中,t为时间,a为会话紧急程度的权重,
为处理会话预计耗时。
4.根据权利要求1至3任一所述的会话调度方法,其中,会话的优先级根据会话的紧急程度、进入会话执行队列前的等待时间和处理该会话预计耗时确定。
5.根据权利要求4所述的会话调度方法,其中,会话的优先级为
其中,merg为紧急程度、wait_time为进入会话执行队列前的等待时间、p_dealtime为处理该会话预计耗时,a为紧急程度的权重、b为进入会话执行队列前的等待时间的权重、c为处理该会话预计耗的权重。
6.根据权利要求2所述的会话调度方法,其中,会话的剩余价值为会话的优先级与时间衰减函数以及理论参数的乘积,其中,所述理论参数用于保证会话能占据理论上足够长的会话时间。
7.根据权利要求1至3任一所述的会话调度方法,其中,
若所述可信操作系统当前存在可用会话资源,则向所述可信操作系统发送创建所述被拦截会话的请求。
8.一种会话调度模块,包括:
会话拦截单元,被配置为拦截客户端应用程序向可信操作系统发送的创建会话请求;
情况获取单元,被配置为获取所述可信操作系统当前会话使用情况;
优先级计算单元,被配置为若所述可信操作系统当前不存在可用会话资源,则计算所述被拦截会话的优先级;
队列加入单元,被配置为将所述被拦截会话加入到等待会话队列;
创建请求单元,被配置为若所述会话等待队列中具有最高优先级的会话的优先级,大于会话执行队列中具有最小会话剩余价值的会话的剩余价值,则挂断具有最小会话剩余价值的会话,并所述处理所述具有最高优先级的会话。
9.一种会话调度模块,包括:
存储器;以及
耦接至所述存储器的处理器,所述处理器被配置为基于存储在所述存储器的指令执行如权利要求1至7任一项所述的会话调度方法。
10.一种会话调度系统,包括:
权利要求8或9所述的会话调度模块;以及
度量代理模块,被配置为监控可信操作系统的当前会话使用情况,以及会话等待队列和会话执行队列中会话的使用情况。
11.根据权利要求10所述的会话调度系统,其中,
所述度量代理模块还被配置为监测所述会话调度模块的安全性,在所述会话调度模块安全性被破坏时,向可信操作系统进行报告。
12.一种计算机可读存储介质,其上存储有计算机程序指令,该指令被处理器执行时实现权利要求1至7任一项所述的会话调度方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010180784.6A CN113411357A (zh) | 2020-03-16 | 2020-03-16 | 会话调度方法、模块和系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010180784.6A CN113411357A (zh) | 2020-03-16 | 2020-03-16 | 会话调度方法、模块和系统 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN113411357A true CN113411357A (zh) | 2021-09-17 |
Family
ID=77676105
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010180784.6A Pending CN113411357A (zh) | 2020-03-16 | 2020-03-16 | 会话调度方法、模块和系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN113411357A (zh) |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102111383A (zh) * | 2009-12-28 | 2011-06-29 | 北京安码科技有限公司 | 一种利用优先级队列防止dos攻击的方法 |
| CN104185300A (zh) * | 2013-05-20 | 2014-12-03 | 电信科学技术研究院 | 一种邻近组通信方法及终端 |
| US9967813B1 (en) * | 2017-03-06 | 2018-05-08 | Sorenson Ip Holdings, Llc | Managing communication sessions with respect to multiple transport media |
| CN110266731A (zh) * | 2013-10-24 | 2019-09-20 | 微软技术许可有限责任公司 | 针对通信会话的服务策略的系统和方法 |
-
2020
- 2020-03-16 CN CN202010180784.6A patent/CN113411357A/zh active Pending
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102111383A (zh) * | 2009-12-28 | 2011-06-29 | 北京安码科技有限公司 | 一种利用优先级队列防止dos攻击的方法 |
| CN104185300A (zh) * | 2013-05-20 | 2014-12-03 | 电信科学技术研究院 | 一种邻近组通信方法及终端 |
| CN110266731A (zh) * | 2013-10-24 | 2019-09-20 | 微软技术许可有限责任公司 | 针对通信会话的服务策略的系统和方法 |
| US9967813B1 (en) * | 2017-03-06 | 2018-05-08 | Sorenson Ip Holdings, Llc | Managing communication sessions with respect to multiple transport media |
Non-Patent Citations (1)
| Title |
|---|
| 赵波 等: "TSSP:一种TrustZone架构中的会话调度方案", 《工程科学与技术》 * |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11875173B2 (en) | Execution of auxiliary functions in an on-demand network code execution system | |
| US10817331B2 (en) | Execution of auxiliary functions in an on-demand network code execution system | |
| JP7197612B2 (ja) | オンデマンドネットワークコード実行システム上での補助機能の実行 | |
| US10528390B2 (en) | Idempotent task execution in on-demand network code execution systems | |
| US11146569B1 (en) | Escalation-resistant secure network services using request-scoped authentication information | |
| US10776091B1 (en) | Logging endpoint in an on-demand code execution system | |
| US10884787B1 (en) | Execution guarantees in an on-demand network code execution system | |
| US10162688B2 (en) | Processing event messages for user requests to execute program code | |
| WO2019192103A1 (zh) | 并发访问控制方法、装置、终端设备及介质 | |
| US20170374177A1 (en) | Rate limiting in a decentralized control plane of a computing system | |
| US11119813B1 (en) | Mapreduce implementation using an on-demand network code execution system | |
| US9507927B2 (en) | Dynamic identity switching | |
| WO2017166136A1 (zh) | 一种vnf的资源分配方法及装置 | |
| CN109726004B (zh) | 一种数据处理方法及装置 | |
| US20210344706A1 (en) | Method and apparatus for implementing server anti-attack | |
| AU2015266790A1 (en) | Providing router information according to a programmatic interface | |
| US11144359B1 (en) | Managing sandbox reuse in an on-demand code execution system | |
| CN113238861A (zh) | 一种任务执行方法和装置 | |
| CN106375102A (zh) | 一种服务注册方法、使用方法及相关装置 | |
| WO2017152797A1 (zh) | 一种实现资源预留的方法和装置 | |
| CN115694699A (zh) | 时延参数采集方法、装置、电子设备及存储介质 | |
| US11614957B1 (en) | Native-hypervisor based on-demand code execution system | |
| CN113411357A (zh) | 会话调度方法、模块和系统 | |
| CN110275780B (zh) | 用于限制流量的方法和装置 | |
| WO2016000244A1 (zh) | 一种云计算下业务弹性的方法和装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20210917 |