CN113612732A - 一种资源调用方法、装置和多方安全计算系统 - Google Patents
一种资源调用方法、装置和多方安全计算系统 Download PDFInfo
- Publication number
- CN113612732A CN113612732A CN202110763226.7A CN202110763226A CN113612732A CN 113612732 A CN113612732 A CN 113612732A CN 202110763226 A CN202110763226 A CN 202110763226A CN 113612732 A CN113612732 A CN 113612732A
- Authority
- CN
- China
- Prior art keywords
- control platform
- computing node
- cluster
- task management
- computing
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 48
- 238000004891 communication Methods 0.000 claims description 43
- 230000004044 response Effects 0.000 claims description 20
- 238000012795 verification Methods 0.000 claims description 10
- 238000010586 diagram Methods 0.000 description 8
- 238000004364 calculation method Methods 0.000 description 3
- 230000008569 process Effects 0.000 description 3
- 238000005516 engineering process Methods 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 230000002159 abnormal effect Effects 0.000 description 1
- 230000006978 adaptation Effects 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 230000006870 function Effects 0.000 description 1
- 230000000977 initiatory effect Effects 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 230000002452 interceptive effect Effects 0.000 description 1
- 230000002085 persistent effect Effects 0.000 description 1
- 238000012545 processing Methods 0.000 description 1
- 230000000750 progressive effect Effects 0.000 description 1
- 238000012549 training Methods 0.000 description 1
- 230000001052 transient effect Effects 0.000 description 1
- 230000001960 triggered effect Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
- H04L67/104—Peer-to-peer [P2P] networks
- H04L67/1074—Peer-to-peer [P2P] networks for supporting data block transmission mechanisms
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- Multi Processors (AREA)
- Storage Device Security (AREA)
Abstract
本发明实施例提供一种资源调用方法、装置和多方安全计算系统。其中的方法包括:接收第二任务管控平台发送的第一资源共享信息,第二任务管控平台和第一任务管控平台部署在不同的集群环境,第一资源共享信息包括第二任务管控平台共享的计算节点集群的地址信息和第二任务管控平台的地址信息;根据安全计算任务配置请求确定目标计算节点集群,目标计算节点集群包括第一任务管控平台所在集群环境中的第一计算节点集群,和/或,第二任务管控平台共享的第二计算节点集群;调用目标计算节点集群中的计算节点,以执行相应的安全计算任务。本发明实施例可以极大地发挥各集群环境拥有的计算节点资源的计算能力,进一步提高多方安全计算系统的性能。
Description
技术领域
本发明涉及通信技术领域,尤其涉及一种资源调用方法、装置和多方安全计算系统。
背景技术
MPC(Secure Muti-Party Computation,多方安全计算)系统是一种保护数据隐私安全的计算系统。多个参与方可以在不泄漏自身数据的前提下,使用多方安全计算技术进行协作计算,得到计算结果。
多方安全计算系统中可以包括多个计算节点集群(ES Cluster),每个计算节点集群中可以包括至少一个计算节点(ES)。在实际应用中,多方安全计算系统中的计算节点集群可能会跨广域网进行部署。例如,计算节点集群ES Cluster1和ES Cluster2部署在网络环境A中,计算节点集群ES Cluster3和ES Cluster4部署在网络环境B中。
目前,可以通过一个任务管控平台(TM)对多方安全计算系统中的各个计算节点ES进行统一管理。然而,任务管控平台TM只能部署在多个参与方中的某一个参与方的网络环境中,部署TM的参与方拥有下发安全计算任务的能力,未部署TM的参与方只能提供参与计算的服务,进而影响多方安全计算系统执行安全计算任务的能力。
发明内容
本发明实施例提供一种资源调用方法、装置和多方安全计算系统,可以跨集群环境调用计算节点资源,提高多方安全计算系统执行安全计算任务的能力。
为了解决上述问题,本发明实施例公开了一种资源调用方法,应用于多方安全计算系统中的第一任务管控平台,所述多方安全计算系统包括至少两个集群环境,每个集群环境中部署一个任务管控平台以及至少一个计算节点集群,所述方法包括:
接收第二任务管控平台发送的第一资源共享信息,所述第二任务管控平台和所述第一任务管控平台部署在不同的集群环境,所述第一资源共享信息包括所述第二任务管控平台共享的计算节点集群的地址信息和所述第二任务管控平台的地址信息;
根据安全计算任务配置请求确定目标计算节点集群,所述目标计算节点集群包括所述第一任务管控平台所在集群环境中的第一计算节点集群,和/或,所述第二任务管控平台共享的第二计算节点集群;
调用所述目标计算节点集群中的计算节点,以执行相应的安全计算任务。
可选地,所述调用所述目标计算节点集群中的计算节点,包括:
在所述第一计算节点集群中确定可用的第一计算节点;
基于所述第一计算节点集群的地址信息以及所述第一计算节点的注册端口,调用所述第一计算节点;
和/或,
基于所述第二任务管控平台的地址信息,向所述第二任务管控平台发送调用请求,所述调用请求携带有所述第二计算节点集群的地址信息;
接收所述第二任务管控平台响应所述调用请求返回的第二计算节点的注册端口,所述第二计算节点为所述第二计算节点集群中的可用计算节点;
基于所述第二计算节点集群的地址信息以及所述第二计算节点的注册端口,调用所述第二计算节点。
可选地,所述第一资源共享信息还包括所述第二任务管控平台的通讯密钥;所述调用请求还携带有所述通讯密钥;
所述接收所述第二任务管控平台响应所述调用请求返回的第二计算节点的注册端口,包括:
在所述第二任务管控平台确定所述调用请求携带的通讯密钥通过校验的情况下,接收所述第二任务管控平台响应所述调用请求返回的第二计算节点的注册端口。
可选地,所述调用所述目标计算节点集群中的计算节点,以执行相应的安全计算任务,包括:
向所述第一计算节点集群中的第一计算节点以及所述第二计算节点集群中的第二计算节点发送所述安全计算任务的配置信息,以使所述第一计算节点与所述第二计算节点通过协同计算执行所述安全计算任务;其中,所述第一计算节点的数目大于所述第二计算节点的数目,且参与所述安全计算任务的数据节点部署在所述第一任务管控平台所在的集群环境中。
可选地,所述方法还包括:
与所述第二任务管控平台交换各自的集群域名白名单,所述集群域名白名单中记录有允许访问各自集群环境中的目标计算节点集群的域名信息。
可选地,所述方法还包括:
向所述第二任务管控平台发送第二资源共享信息,所述第二资源共享信息包括所述第一任务管控平台共享的计算节点集群的地址信息和所述第一任务管控平台的地址信息。
另一方面,本发明实施例公开了一种多方安全计算系统,所述多方安全计算系统包括第一任务管控平台和第二任务管控平台,所述第一任务管控平台和所述第二任务管控平台部署在不同的集群环境,每个集群环境中部署一个任务管控平台以及至少一个计算节点集群;
所述第二任务管控平台,用于向所述第一任务管控平台发送第一资源共享信息,所述第一资源共享信息包括所述第二任务管控平台共享的计算节点集群的地址信息和所述第二任务管控平台的地址信息;
所述第一任务管控平台,用于接收所述第二任务管控平台发送的所述第一资源共享信息,以及根据安全计算任务配置请求确定目标计算节点集群,并调用所述目标计算节点集群中的计算节点,以执行相应的安全计算任务;所述目标计算节点集群包括所述第一任务管控平台所在集群环境中的第一计算节点集群,和/或,所述第二任务管控平台共享的第二计算节点集群。
可选地,所述第一任务管控平台,还用于在所述第一计算节点集群中确定可用的第一计算节点,并基于所述第一计算节点集群的地址信息以及所述第一计算节点的注册端口,调用所述第一计算节点;和/或,
所述第一任务管控平台,还用于基于所述第二任务管控平台的地址信息,向所述第二任务管控平台发送调用请求,所述调用请求携带有所述第二计算节点集群的地址信息;
所述第二任务管控平台,还用于响应所述第一任务管控平台发送的调用请求,在所述第二计算节点集群中确定可用的第二计算节点,以及向所述第一任务管控平台发送所述第二计算节点的注册端口;
所述第一任务管控平台,还用于基于所述第二计算节点集群的地址信息以及所述第二计算节点的注册端口,调用所述第二计算节点。
可选地,所述第一资源共享信息还包括所述第二任务管控平台的通讯密钥;所述调用请求还携带有所述通讯密钥;
所述第二任务管控平台,还用于对所述调用请求携带的通讯密钥进行校验,在确定所述通讯密钥通过校验的情况下,响应所述调用请求,向所述第一任务管控平台发送所述第二计算节点的注册端口。
可选地,所述第二任务管控平台,还用于在向所述第一任务管控平台发送所述第二计算节点的注册端口之后,设置所述第二计算节点的状态为不可用。
可选地,所述第二任务管控平台,还用于接收所述第一任务管控平台发送的第二资源共享信息,所述第二资源共享信息包括所述第一任务管控平台共享的计算节点集群的地址信息和所述第一任务管控平台的地址信息。
可选地,所述第二任务管控平台,还用于与所述第一任务管控平台交互各自的集群域名白名单,所述集群域名白名单中记录有允许访问各自集群环境中的目标计算节点集群的域名信息。
又一方面,本发明实施例公开了一种资源调用装置,应用于多方安全计算系统中的第一任务管控平台,所述多方安全计算系统包括至少两个集群环境,每个集群环境中部署一个任务管控平台以及至少一个计算节点集群,所述装置包括:
信息接收模块,用于接收第二任务管控平台发送的第一资源共享信息,所述第二任务管控平台和所述第一任务管控平台部署在不同的集群环境,所述第一资源共享信息包括所述第二任务管控平台共享的计算节点集群的地址信息和所述第二任务管控平台的地址信息;
目标确定模块,用于根据安全计算任务配置请求确定目标计算节点集群,所述目标计算节点集群包括所述第一任务管控平台所在集群环境中的第一计算节点集群,和/或,所述第二任务管控平台共享的第二计算节点集群;
节点调用模块,用于调用所述目标计算节点集群中的计算节点,以执行相应的安全计算任务。
可选地,所述节点调用模块,包括:
第一确定子模块,用于在所述第一计算节点集群中确定可用的第一计算节点;
第一调用子模块,用于基于所述第一计算节点集群的地址信息以及所述第一计算节点的注册端口,调用所述第一计算节点;
和/或,
请求发送子模块,用于基于所述第二任务管控平台的地址信息,向所述第二任务管控平台发送调用请求,所述调用请求携带有所述第二计算节点集群的地址信息;
信息接收子模块,用于接收所述第二任务管控平台响应所述调用请求返回的第二计算节点的注册端口,所述第二计算节点为所述第二计算节点集群中的可用计算节点;
第二调用子模块,用于基于所述第二计算节点集群的地址信息以及所述第二计算节点的注册端口,调用所述第二计算节点。
可选地,所述第一资源共享信息还包括所述第二任务管控平台的通讯密钥;所述调用请求还携带有所述通讯密钥;
所述信息接收子模块,具体用于在所述第二任务管控平台确定所述调用请求携带的通讯密钥通过校验的情况下,接收所述第二任务管控平台响应所述调用请求返回的第二计算节点的注册端口。
可选地,所述节点调用模块,具体用于向所述第一计算节点集群中的第一计算节点以及所述第二计算节点集群中的第二计算节点发送所述安全计算任务的配置信息,以使所述第一计算节点与所述第二计算节点通过协同计算执行所述安全计算任务;其中,所述第一计算节点的数目大于所述第二计算节点的数目,且参与所述安全计算任务的数据节点部署在所述第一任务管控平台所在的集群环境中。
可选地,所述装置还包括:
名单交换模块,用于与所述第二任务管控平台交换各自的集群域名白名单,所述集群域名白名单中记录有允许访问各自集群环境中的目标计算节点集群的域名信息。
可选地,所述装置还包括:
信息发送模块,用于向所述第二任务管控平台发送第二资源共享信息,所述第二资源共享信息包括所述第一任务管控平台共享的计算节点集群的地址信息和所述第一任务管控平台的地址信息。
再一方面,本发明实施例公开了一种机器可读介质,其上存储有指令,当所述指令由装置的一个或多个处理器执行时,使得装置执行如前述一个或多个所述的资源调用方法。
本发明实施例包括以下优点:
在本发明实施例中,每个集群环境可以独立部署任务管控平台,每个集群环境中的任务管控平台可以对其集群环境中各计算节点集群包含的计算节点进行管控,还可以向其它集群环境共享自身集群环境中的计算节点集群。对于被共享方的第一任务管控平台,可以接收共享方的第二任务管控平台发送的第一资源共享信息。基于第一资源共享信息,第一任务管控平台可以将第二任务管控平台共享的第二计算节点集群确定为目标计算节点集群,进而第一任务管控平台可以调用其自身集群环境中的第一计算节点集群的计算节点,和/或,调用所述第二任务管控平台共享的第二计算节点集群的计算节点,以协同执行相应的安全计算任务。由此可以实现跨集群环境调用计算节点资源,以提高计算节点资源的利用率。此外,对于每个集群环境,可以独立部署任务管控平台,使得每个集群环境的任务管控平台可以独立发布各自的安全计算任务,并且每个集群环境可以作为共享方,也可以作为被共享方,使得每个集群环境同时拥有下发安全计算任务的能力和提供参与计算服务的能力。不仅可以解决任务管控平台部署在哪个客户的集群环境的争议问题,还可以极大地发挥各集群环境拥有的计算节点资源的计算能力,进一步提高多方安全计算系统的性能。
附图说明
为了更清楚地说明本发明实施例的技术方案,下面将对本发明实施例的描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1是本发明的一种资源调用方法实施例的步骤流程图;
图2是本发明的一种多方安全计算系统200的结构示意图;
图3是本发明的一种多方安全计算系统300的结构示意图;
图4是本发明的一种资源调用装置实施例的结构框图;
图5是本发明的一些实施例中服务器的结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本发明的说明书和权利要求书中的术语“第一”、“第二”等是用于区别类似的对象,而不用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便本发明的实施例能够以除了在这里图示或描述的那些以外的顺序实施,且“第一”、“第二”等所区分的对象通常为一类,并不限定对象的个数,例如第一对象可以是一个,也可以是多个。此外,说明书以及权利要求中的术语“和/或”用于描述关联对象的关联关系,表示可以存在三种关系,例如,A和/或B,可以表示:单独存在A,同时存在A和B,单独存在B这三种情况。字符“/”一般表示前后关联对象是一种“或”的关系。本发明实施例中术语“多个”是指两个或两个以上,其它量词与之类似。
参照图1,示出了本发明的一种资源调用方法实施例的步骤流程图,所述方法应用于多方安全计算系统中的第一任务管控平台,所述多方安全计算系统包括至少两个集群环境,每个集群环境中部署一个任务管控平台以及至少一个计算节点集群,所述方法具体可以包括如下步骤:
步骤101、接收第二任务管控平台发送的第一资源共享信息,所述第二任务管控平台和所述第一任务管控平台部署在不同的集群环境,所述第一资源共享信息包括所述第二任务管控平台共享的计算节点集群的地址信息和所述第二任务管控平台的地址信息;
步骤102、根据安全计算任务配置请求确定目标计算节点集群,所述目标计算节点集群包括所述第一任务管控平台所在集群环境中的第一计算节点集群,和/或,所述第二任务管控平台共享的第二计算节点集群;
步骤103、调用所述目标计算节点集群中的计算节点,以执行相应的安全计算任务。
本发明提供的资源调用方法可适用于多方安全计算系统,多方安全计算系统是一种保护数据隐私安全的计算系统。本发明实施例对所述多方安全计算系统采用的安全计算协议不做限制,例如,所述多方安全计算系统可以基于多方安全计算MPC协议,在基于MPC协议的多方安全计算系统中,多个参与方可以在不泄漏自身数据的前提下,使用多方安全计算技术进行协同计算得到计算结果,参与计算的数据、中间结果、以及最终结果可以为密文。当然,所述多方安全计算系统还可以基于秘密分享、半同态、不经意传输等技术实现的多方安全计算协议。
参照图2,示出了本发明实施例的一种多方安全计算系统200的结构示意图。所述多方安全计算系统200包括第一任务管控平台TMA201和第二任务管控平台TMB202,所述第一任务管控平台TMA和所述第二任务管控平台TMB部署在不同的集群环境。如图2所示,TMA部署在集群环境A中,TMB部署在集群环境B中。集群环境指部署有计算节点集群的网络环境,每个集群环境中部署一个任务管控平台以及至少一个计算节点集群203,每个计算节点集群包括至少一个计算节点ES。
需要说明的是,本发明实施例对集群环境的数量不做限制,所述集群环境的数量可以大于1,本发明实施例以两个集群环境为例。此外,本发明实施例对一个计算节点集群中包含的计算节点的数目也不做限制。一个计算节点集群中至少包括两个计算节点。共同参与一个安全计算任务的计算节点的数目可以大于或等于2,优选地,共同参与一个安全计算任务的计算节点的数目可以为4。
所述任务管控平台,可以对其所在集群环境中各个计算节点集群包括的计算节点进行管控。例如,集群环境A中包括任务管控平台TMA、计算节点集群ES Cluster1和计算节点集群ES Cluster2。假设ES Cluster1和ES Cluster2分别包括4个计算节点。也即,集群环境A中包括8个计算节点。这8个计算节点可以分别向TMA上报各自的注册信息,以使TMA对这8个计算节点进行管控。所述注册信息可以包括但不限于计算节点所属的计算节点集群的地址信息、计算节点的注册端口等。
进一步地,所述任务管控平台还可用于发布安全计算任务,并且为安全计算任务配置任务参与节点,所述任务参与节点可以包括计算节点,进一步地,所述任务参与节点还可以包括数据节点。计算节点可以基于数据节点提供的密文数据,按照指定的计算方法进行多方协同计算,以完成任务管控平台发布的安全计算任务。所述安全计算任务包括但不限于如下任意一项或多项:基于隐私保护的计算操作、基于隐私保护的模型训练及预测、基于隐私保护的数据库查询操作等等。其中,计算操作包括但不限于:加、乘、比较等数字计算,以及与、或、非等逻辑计算等。可以理解,本发明实施例对安全计算任务的具体类型不加以限制。
任务管控平台可以向任务参与节点发送安全计算任务的配置信息,所述配置信息包括所述安全计算任务的描述信息和参与所述安全计算任务的计算节点的注册端口信息。这样,任务参与节点即可获知参与执行该安全计算任务的各计算节点的注册端口信息,进而可以通过访问计算节点的注册端口与计算节点进行交互。参与所述安全计算任务的各计算节点之间也可以通过访问对方的注册端口进行交互,以协同完成所述安全计算任务。
需要说明的是,本发明实施例对任务管控平台的类型不做限制。例如,所述任务管控平台可以是服务器。所述服务器可以是一台服务器、若干台服务器组成的服务器集群或云计算中心,对此并不进行限制。
在本发明实施例中,每个集群环境中可以独立部署任务管控平台,每个集群环境中的任务管控平台可以对其集群环境中各计算节点集群包含的计算节点进行管控,还可以向其它集群环境共享自身集群环境中的计算节点集群。为便于描述,本发明实施例将共享计算节点集群的一方称为共享方,以及将共享方的任务管控平台称为第一任务管控平台;将被共享计算节点集群的一方称为被共享方,以及将被共享方的任务管控平台称为第二任务管控平台。例如,集群环境B中的任务管控平台TMB向集群环境A中的任务管控平台TMA共享集群环境B中的计算节点集群,则称TMB所在的一方为共享方,以及称TMB为第一任务管控平台;称TMA所在的一方为被共享方,以及称TMA为第二任务管控平台。
当然,在具体实施中,第一任务管控平台和第二任务管控平台可以互相共享各自集群环境中的计算节点集群。例如,TMB可以向TMA共享TMB自身集群环境B中的计算节点集群,同时,TMA也可以向TMB共享TMA自身集群环境A中的计算节点集群。也即,共享方也可以同时作为被共享方,被共享方也可以同时作为共享方。
为便于描述,本发明实施例中主要以第一任务管控平台所在一方为被共享方,第二任务管控平台所在一方为共享方为例进行说明。
第一任务管控平台可以接收第二任务管控平台发送的第一资源共享信息,所述第一资源共享信息包括所述第二任务管控平台共享的计算节点集群的地址信息和所述第二任务管控平台的地址信息。通过第一资源共享信息,第一任务管控平台可以调用第二任务管控平台共享的计算节点集群中的计算节点。由此可以实现跨集群环境调用计算节点资源,以提高计算节点资源的利用率。
第一任务管控平台在接收到安全计算任务配置请求之后,根据安全计算任务配置请求确定目标计算节点集群,所述目标计算节点集群可以包括所述第一任务管控平台所在集群环境中的第一计算节点集群,和/或,所述第二任务管控平台共享的第二计算节点集群。
本发明实施例对所述安全计算任务配置请求的触发方式不做限制。例如,所述安全计算任务配置请求可以由客户端触发。第一任务管控平台根据安全计算任务配置请求确定目标计算节点集群。目标计算节点集群指为安全计算任务提供计算节点资源的计算节点集群。
在本发明实施例中,第一任务管控平台根据安全计算任务配置请求,可以在其自身集群环境中选择目标计算节点集群,还可以在第二任务管控平台所在集群环境中选择目标计算节点集群。第二任务管控平台的数目可以大于或等于1。例如,第二任务管控平台TMB向第一任务管控平台TMA共享了TMB自身集群环境B中的计算节点集群,第二任务管控平台TMC向第一任务管控平台TMA共享了TMC自身集群环境C中的计算节点集群。TMA可以根据安全计算任务配置请求,在TMA自身集群环境A中选择目标计算节点集群,同时也可以在TMB集群环境B共享的计算节点集群中选择目标计算节点集群,同时还可以在TMC集群环境C共享的计算节点集群中选择目标计算节点集群。
一个示例中,TMA根据安全计算任务配置请求确定目标计算节点集群,目标计算节点集群包括TMA自身集群环境A中的计算节点集群ES Cluster1和ES Cluster2,以及TMB共享的集群环境B中的计算节点集群ES Cluster3和ES Cluster4。TMA可以调用目标计算节点集群ES Cluster1、ES Cluster2、ES Cluster3、ES Cluster4中的计算节点,以执行相应的安全计算任务。例如,假设执行安全计算任务需要4个计算节点,TMA可以在上述4个目标计算节点集群中分别调用1个计算节点协同执行该安全计算任务。
通过本发明实施例,可以实现跨集群环境调用计算节点资源,可以提高计算节点资源的利用率。此外,对于每个集群环境,可以独立部署任务管控平台,使得每个集群环境的任务管控平台可以独立发布各自的安全计算任务,并且每个集群环境可以作为共享方,也可以作为被共享方,使得每个集群环境同时拥有下发安全计算任务的能力和提供参与计算服务的能力。不仅可以解决任务管控平台部署在哪个客户的集群环境的争议问题,还可以极大地发挥各集群环境拥有的计算节点资源的计算能力,进一步提高多方安全计算系统的性能。
在本发明的一种可选实施例中,所述调用所述目标计算节点集群中的计算节点,可以包括:
步骤S11、在所述第一计算节点集群中确定可用的第一计算节点;
步骤S12、基于所述第一计算节点集群的地址信息以及所述第一计算节点的注册端口,调用所述第一计算节点;
和/或,
步骤S21、基于所述第二任务管控平台的地址信息,向所述第二任务管控平台发送调用请求,所述调用请求携带有所述第二计算节点集群的地址信息;
步骤S22、接收所述第二任务管控平台响应所述调用请求返回的第二计算节点的注册端口,所述第二计算节点为所述第二计算节点集群中的可用计算节点;
步骤S23、基于所述第二计算节点集群的地址信息以及所述第二计算节点的注册端口,调用所述第二计算节点。
在本发明实施例中,将第一任务管控平台自身集群环境中的计算节点集群称为第一计算节点集群,以及将第二任务管控平台共享的其集群环境中的计算节点集群称为第二计算节点集群。
第一任务管控平台可以根据安全计算任务配置请求确定目标计算节点集群。如果确定的某个目标计算节点集群是第一计算节点集群,第一任务管控平台可以直接从该目标计算节点集群中选择可用的第一计算节点,并基于所述第一计算节点集群的地址信息以及所述第一计算节点的注册端口,调用所述第一计算节点。
如果确定的某个目标计算节点集群是第二计算节点集群,第一任务管控平台可以基于所述第二计算节点集群对应的第二任务管控平台的地址信息,向所述第二任务管控平台发送调用请求,所述调用请求携带有所述第二计算节点集群的地址信息。例如,在上述示例中,假设TMA确定的目标计算节点集群中包含TMB共享的集群环境B中的计算节点集群ESCluster3和ES Cluster4。TMA可以基于TMB的地址信息,向TMB发送调用请求,该调用请求携带有计算节点集群ES Cluster3的地址信息和计算节点集群ES Cluster4的地址信息。TMB接收到该调用请求后,在计算节点集群ES Cluster3和ES Cluster4中分别选取可用的第二计算节点,并且向TMA返回选取的第二计算节点的注册端口。TMA基于第二计算节点集群ESCluster3的地址信息以及ES Cluster3中第二计算节点的注册端口,可以调用ES Cluster3中的第二计算节点;以及基于第二计算节点集群ES Cluster4的地址信息以及ES Cluster4中第二计算节点的注册端口,可以调用ES Cluster4中的第二计算节点。
进一步地,第二任务管控平台在响应所述调用请求返回第二计算节点的注册端口之后,第二任务管控平台可以对所述第二计算节点上锁,例如可以设置所述第二计算节点的状态为不可用,表示该第二计算节点已被占用,不能再被调用。
进一步地,在第一任务管控平台发起的安全计算任务结束时,第一任务管控平台可以释放所占用的计算节点资源。当释放到第二任务管控平台共享的第二计算节点集群中的第二计算节点时,第一任务管控平台可以向第二任务管控平台发送资源释放请求,所述资源释放请求携带有所述第二计算节点的节点信息;第二任务管控平台响应所述资源释放请求,设置所述第二计算节点的状态为可用,表示该第二计算节点已被释放,可以再次被调用。
可选地,第二任务管控平台可以向第一任务管控平台返回资源释放响应消息,以告知第一任务管控平台所述第二计算节点是否释放成功。若所述第二计算节点未释放成功,或者,所述第一任务管控平台在预设时间内未接收到所述第二任务管控平台返回的资源释放响应消息,则所述第一任务管控平台可以再次向所述第二任务管控平台发送资源释放请求,以避免由于网络原因导致所述第二计算节点释放失败的情况发生。
在本发明的一种可选实施例中,所述第一资源共享信息还包括所述第二任务管控平台的通讯密钥;所述调用请求还携带有所述通讯密钥;所述接收所述第二任务管控平台响应所述调用请求返回的第二计算节点的注册端口,可以包括:在所述第二任务管控平台确定所述调用请求携带的通讯密钥通过校验的情况下,接收所述第二任务管控平台响应所述调用请求返回的第二计算节点的注册端口。
为进一步保证第二任务管控平台的信息安全,避免第二任务管控平台遭受恶意访问。第二任务管控平台向第一任务管控平台发送的第一资源共享信息中还可以包括第二任务管控平台的通讯密钥。该通讯密钥为第一任务管控平台访问第二任务管控平台接口的客户端密钥。
第一任务管控平台向第二任务管控平台发起的访问请求中需携带该通讯密钥,在第二任务管控平台确定来自第一任务管控平台的访问请求中携带的通讯密钥通过验证的情况下,才响应该访问请求,否则可以拒绝该访问请求。所述访问请求包括但不限于请求调用第二任务管控平台共享的计算节点集群中的计算节点的调用请求、请求释放第二计算节点的资源释放请求等。
在本发明的一种可选实施例中,所述方法还可以包括:与所述第二任务管控平台交换各自的集群域名白名单,所述集群域名白名单中记录有允许访问各自集群环境中的目标计算节点集群的域名信息。
在本发明实施例中,在第二任务管控平台向第一任务管控平台发送第一资源共享信息之前,可以在第二任务管控平台配置相关信息,配置的相关信息包括但不限于:第二任务管控平台共享的计算节点集群的集群信息(如集群标识等)、第一任务管控平台的地址信息、第一任务管控平台的通讯密钥、第二任务管控平台的地址信息、第二任务管控平台的通讯密钥。
例如,TMB向TMA共享计算节点集群,则在TMB可以配置如下相关信息:TMB共享的计算节点集群的集群信息、TMA的地址信息、TMA的通讯密钥(TMB访问TMA接口的客户端密钥)、TMB的地址信息、TMB的通讯密钥(TMA访问TMB接口的客户端密钥)。由此,TMB可以基于TMA的地址信息以及TMA的通讯密钥与TMA进行通信,例如向TMA发送第一资源共享信息;TMB还可以基于TMA的地址信息以及TMA的通讯密钥,向TMA发送第一资源共享信息的更新信息等。
在第二任务管控平台配置相关信息之后,第一任务管控平台和第二任务管控平台可以进行信息交换。第二任务管控平台向第一任务管控平台发送第一资源共享信息,所述第一资源共享信息包括但不限于:第二任务管控平台共享的计算节点集群的集群信息(如集群标识等)、第二任务管控平台共享的计算节点集群的地址信息、第二任务管控平台的地址信息、第二任务管控平台的通讯密钥、第二任务管控平台的集群域名白名单。
第一任务管控平台接收到第二任务管控平台发送的第一资源共享信息之后,记录并保存所述第一资源共享信息。第一任务管控平台根据接收到的第一资源共享信息,更新自身的集群域名白名单,并向第二任务管控平台返回第一任务管控平台自身的集群域名白名单。
在实际应用中,每个任务管控平台可以保存其所在集群环境的集群域名白名单,所述集群域名白名单中记录有允许访问其集群环境中的目标计算节点集群的域名信息。在具体实施中,不同计算节点集群之间可以通过代理服务器进行通信。计算节点集群之间进行通信的访问请求中会携带证书,被访问的计算节点集群的代理服务器通过查询其所在集群环境的集群域名白名单,以检查该访问请求中携带的证书中描述的域名是否在该集群域名白名单内,若是,则可以同意该访问请求,否则可以拒绝该访问请求。
不同集群环境的任务管控平台在共享各自的计算节点集群的同时,还可以共享各自的集群域名白名单,以使不同集群环境中共同参与安全计算任务的计算节点可以进行安全通信。
在本发明的一种可选实施例中,所述方法还可以包括:周期性接收所述第二任务管控平台发送的所述第一资源共享信息的更新信息。
第二任务管控平台向第一任务管控平台发送第一资源共享信息之后,可以周期性地向第一任务管控平台发送第一资源共享信息的更新信息。所述更新信息可以包括第一资源共享信息中变更的信息,如变更后的第二任务管控平台的地址信息、变更后的第二计算节点集群的地址信息等。由此可以避免因信息变更导致第一任务管控平台调用第二任务管控平台共享的计算节点资源失败的情况发生。
在本发明的一种可选实施例中,所述调用所述目标计算节点集群中的计算节点,以执行相应的安全计算任务,包括:
向所述第一计算节点集群中的第一计算节点以及所述第二计算节点集群中的第二计算节点发送所述安全计算任务的配置信息,以使所述第一计算节点与所述第二计算节点通过协同计算执行所述安全计算任务;其中,所述第一计算节点的数目大于所述第二计算节点的数目,且参与所述安全计算任务的数据节点部署在所述第一任务管控平台所在的集群环境中。
在本发明实施例中,不同集群环境中的任务管控平台通过共享计算节点集群,可以实现不同集群环境中的任务管控平台的互联。互联的多个任务管控平台中的任一任务管控平台均可以接收来自客户端的安全计算任务配置请求,并且可以跨集群环境调用共享方共享的计算节点集群中的计算节点资源。
在上述示例中,TMB和TMA完成信息交换之后,可以实现TMB向TMA共享计算节点集群。TMA和TMB可以独立发布各自的安全计算任务,以TMA发布安全计算任务为例。
一个示例中,TMA根据安全计算任务配置请求确定目标计算节点集群,假设目标计算节点集群包括TMA自身集群环境A中的第一计算节点集群ES Cluster1和ES Cluster2,以及TMB共享的集群环境B中的第二计算节点集群ES Cluster3和ES Cluster4。
在具体实施中,对于协同执行某个安全计算任务的多个计算节点(如4个计算节点),为保证安全计算任务的数据安全,应保证第一计算节点的数目大于第二计算节点的数目,且保证参与该安全计算任务的数据节点部署在第一任务管控平台所在的集群环境中。其中,第一计算节点指发布安全计算任务的一方(如第一任务管控平台TMA所在方)的集群环境中的计算节点;第二计算节点指共享方(如第二任务管控平台TMB所在方)的集群环境中的计算节点。
例如,在上述示例中,第一任务管控平台TMA为发布安全计算任务的一方,应保证从ES Cluster1和ES Cluster2选取的第一计算节点的数目大于或等于从ES Cluster3和ESCluster4中选取的第二计算节点的数目。一个示例中,可以分别从ES Cluster1、ESCluster2、ES Cluster3、ES Cluster4中各选取一个计算节点,协同执行该安全计算任务。
进一步地,对于共同参与执行某个安全计算任务的计算节点,在执行安全计算任务的过程中可以被赋予不同的角色,以实现不同的计算功能。一个示例中,将共同参与执行某个安全计算任务的4个计算节点标记为s1、s2、sa、sb。其中s1和s2为重要角色,sa和sb为普通角色。在执行该安全计算任务时,除了需保证一半以上的计算节点位于第一任务管控平台所在的集群环境中之外,还应保证重要角色的计算节点也位于第一任务管控平台所在的集群环境中,以保证安全计算任务的顺利执行以及保证计算过程中的数据安全。
进一步地,第一任务管控平台提供的发起安全计算任务的接口可以支持指定必须包含的和/或不能包含的计算节点集群。示例性地,在通过该接口向第一任务管控平台发起安全计算任务配置请求时,可以指定参与该安全计算任务的目标计算节点集群必须包含集群环境A中的计算节点集群ES Cluster1,以及指定参与执行该安全计算任务的目标计算节点集群不能包含集群环境B中的计算节点集群ES Cluster3。也即,客户端在向第一任务管控平台发起安全计算任务配置请求时,可以指定目标计算节点集群必须包含的和/或不能包含的计算节点集群,可以增加目标计算节点集群的可配置性,提高安全计算任务配置的灵活性。
第一任务管控平台(如TMA)接收到客户端的安全计算任务配置请求后,确定指定的目标计算节点集群,并且从指定的目标计算节点集群中选取参与执行该安全计算任务的计算节点。若指定的某个目标计算节点集群是己方(TMA所在方)的计算节点集群,则直接从该目标计算节点集群中选取可用的计算节点;若指定的某个目标计算节点集群是共享方(TMB所在方)的计算节点集群,则基于TMB的地址信息和TMB的通讯密钥,向TMB发送调用请求;TMB在确定该通讯密钥验证通过的情况下,响应该调用请求,从指定的计算节点集群(TMB共享的某个计算节点集群)中选取可用的计算节点,向TMA返回该计算节点的注册端口,并将该计算节点设置为不可用。
TMA获取参与安全计算任务的所有计算节点的注册端口之后,将己方的计算节点配置为重要角色,并向该安全计算任务的所有任务参与节点下发该安全计算任务的配置信息。
第一任务管控平台在向参与该安全计算任务的计算节点下发该安全计算任务的配置信息时,可以通过访问计算节点所在计算集群的地址信息以及计算节点的注册端口,向计算节点下发该安全计算任务的配置信息。
需要说明的是,在上述示例中,TMB也可以发布安全计算任务,对于TMB发布的安全计算任务,参与该安全计算任务的数据节点可以为TMB所在集群环境B中的数据节点。
进一步地,各集群环境中的计算节点可以配置有触发远程调用的端口,第一任务管控平台可以通过所述触发远程调用的端口调用计算节点,参与安全计算任务的计算节点之间可以通过所述触发远程调用的端口进行信息交互,交互的信息包括但不限于参与安全计算任务的密文数据、计算的中间结果、执行状态中的至少一种。所述执行状态可以包括如下任意一种:执行中、已完成、未完成、异常等。此外,被调用的计算节点可以周期性地向第一任务管控平台返回自身的执行状态,以使第一任务管控平台可以根据调用的计算节点返回的执行状态判断是否执行下一步的计算。
具体地,第一任务管控平台(如TMA)将安全计算任务的配置信息下发给该安全计算任务所有的任务参与节点之后,可以启动任务控制器(TC)控制执行该安全计算任务。TC启动时按照该安全计算任务的配置信息向数据控制节点(DSC)和参与该安全计算任务的计算节点发送任务心跳,同时向第一任务管控平台(如TMA)发送执行状态。在该安全计算任务执行的过程中,第一任务管控平台(如TMB)只知道其集群环境中有两个计算节点ES被锁住,并不能获取该安全计算任务的任何相关信息,可以保证安全计算任务的安全性。由于TMA和TMB共享了集群域名白名单,因此集群环境A中的任务控制器TC和计算节点ES在访问集群环境B中共享的计算节点集群中的计算节点时会被放行。
在本发明的一种可选实施例中,所述方法还可以包括:向所述第二任务管控平台发送第二资源共享信息,所述第二资源共享信息包括所述第一任务管控平台共享的计算节点集群的地址信息和所述第一任务管控平台的地址信息。
在本发明实施例中,第一任务管控平台可以作为被共享方,接收第二任务管控平台发送的第一资源共享信息,使用第二任务管控平台共享的计算节点集群中的计算节点资源;此外,第一任务管控平台还可以作为共享方,向第二任务管控平台发送第二资源共享信息,以向第二任务管控平台共享第一任务管控平台自身集群环境中的计算节点集群,以使第二任务管控平台可以使用第一任务管控平台共享的计算节点集群中的计算节点资源。
第一任务管控平台在向第二任务管控平台发送第二资源共享信息之前,可以在第一任务管控平台配置相关信息,配置的相关信息包括但不限于:第一任务管控平台共享的计算节点集群的集群信息(如集群标识等)、第二任务管控平台的地址信息、第二任务管控平台的通讯密钥、第一任务管控平台的地址信息、第一任务管控平台的通讯密钥。
在第一任务管控平台配置相关信息之后,第一任务管控平台和第二任务管控平台可以进行信息交换。第一任务管控平台向第二任务管控平台发送第二资源共享信息,所述第二资源共享信息包括但不限于:第一任务管控平台共享的计算节点集群的集群信息(如集群标识等)、第一任务管控平台共享的计算节点集群的地址信息、第一任务管控平台的地址信息、第一任务管控平台的通讯密钥、第一任务管控平台的集群域名白名单。
第二任务管控平台接收到第一任务管控平台发送的第二资源共享信息之后,记录并保存所述第二资源共享信息。第二任务管控平台根据接收到的第二资源共享信息,更新自身的集群域名白名单,并向第一任务管控平台返回第二任务管控平台自身的集群域名白名单。
信息交换之后,可以实现第一任务管控平台向第二任务管控平台共享计算节点集群。需要说明的是,本发明实施例中主要以第二任务管控平台所在的一方作为共享方,第一任务管控平台所在的一方作为被共享方为例进行说明。第一任务管控平台所在的一方作为共享方,第二任务管控平台所在的一方作为被共享方的场景类似,相互参照即可。
综上,在本发明实施例中,每个集群环境可以独立部署任务管控平台,每个集群环境中的任务管控平台可以对其集群环境中各计算节点集群包含的计算节点进行管控,还可以向其它集群环境共享自身集群环境中的计算节点集群。对于被共享方的第一任务管控平台,可以接收共享方的第二任务管控平台发送的第一资源共享信息。基于第一资源共享信息,第一任务管控平台可以将第二任务管控平台共享的第二计算节点集群确定为目标计算节点集群,进而第一任务管控平台可以调用其自身集群环境中的第一计算节点集群的计算节点,和/或,调用所述第二任务管控平台共享的第二计算节点集群的计算节点,以协同执行相应的安全计算任务。由此可以实现跨集群环境调用计算节点资源,以提高计算节点资源的利用率。此外,对于每个集群环境,可以独立部署任务管控平台,使得每个集群环境的任务管控平台可以独立发布各自的安全计算任务,并且每个集群环境可以作为共享方,也可以作为被共享方,使得每个集群环境同时拥有下发安全计算任务的能力和提供参与计算服务的能力。不仅可以解决任务管控平台部署在哪个客户的集群环境的争议问题,还可以极大地发挥各集群环境拥有的计算节点资源的计算能力,进一步提高多方安全计算系统的性能。
需要说明的是,对于方法实施例,为了简单描述,故将其都表述为一系列的动作组合,但是本领域技术人员应该知悉,本发明实施例并不受所描述的动作顺序的限制,因为依据本发明实施例,某些步骤可以采用其他顺序或者同时进行。其次,本领域技术人员也应该知悉,说明书中所描述的实施例均属于优选实施例,所涉及的动作并不一定是本发明实施例所必须的。
参照图3,示出了本发明实施例的一种多方安全计算系统300的结构示意图。所述多方安全计算系统300包括第一任务管控平台301和第二任务管控平台302,所述第一任务管控平台301和所述第二任务管控平台302部署在不同的集群环境,每个集群环境中部署一个任务管控平台以及至少一个计算节点集群303;
所述第二任务管控平台302,用于向所述第一任务管控平台发送第一资源共享信息,所述第一资源共享信息包括所述第二任务管控平台共享的计算节点集群的地址信息和所述第二任务管控平台的地址信息;
所述第一任务管控平台301,用于接收所述第二任务管控平台发送的所述第一资源共享信息,以及根据安全计算任务配置请求确定目标计算节点集群,并调用所述目标计算节点集群中的计算节点,以执行相应的安全计算任务;所述目标计算节点集群包括所述第一任务管控平台所在集群环境中的第一计算节点集群,和/或,所述第二任务管控平台共享的第二计算节点集群。
可选地,所述第一任务管控平台,还用于在所述第一计算节点集群中确定可用的第一计算节点,并基于所述第一计算节点集群的地址信息以及所述第一计算节点的注册端口,调用所述第一计算节点;和/或,
所述第一任务管控平台,还用于基于所述第二任务管控平台的地址信息,向所述第二任务管控平台发送调用请求,所述调用请求携带有所述第二计算节点集群的地址信息;
所述第二任务管控平台,还用于响应所述第一任务管控平台发送的调用请求,在所述第二计算节点集群中确定可用的第二计算节点,以及向所述第一任务管控平台发送所述第二计算节点的注册端口;
所述第一任务管控平台,还用于基于所述第二计算节点集群的地址信息以及所述第二计算节点的注册端口,调用所述第二计算节点。
可选地,所述第一资源共享信息还包括所述第二任务管控平台的通讯密钥;所述调用请求还携带有所述通讯密钥;
所述第二任务管控平台,还用于对所述调用请求携带的通讯密钥进行校验,在确定所述通讯密钥通过校验的情况下,响应所述调用请求,向所述第一任务管控平台发送所述第二计算节点的注册端口。
可选地,所述第二任务管控平台,还用于在向所述第一任务管控平台发送所述第二计算节点的注册端口之后,设置所述第二计算节点的状态为不可用。
可选地,所述第二任务管控平台,还用于接收所述第一任务管控平台发送的第二资源共享信息,所述第二资源共享信息包括所述第一任务管控平台共享的计算节点集群的地址信息和所述第一任务管控平台的地址信息。
可选地,所述第二任务管控平台,还用于与所述第一任务管控平台交互各自的集群域名白名单,所述集群域名白名单中记录有允许访问各自集群环境中的目标计算节点集群的域名信息。
在本发明实施例中,每个集群环境可以独立部署任务管控平台,每个集群环境中的任务管控平台可以对其集群环境中各计算节点集群包含的计算节点进行管控,还可以向其它集群环境共享自身集群环境中的计算节点集群。对于被共享方的第一任务管控平台,可以接收共享方的第二任务管控平台发送的第一资源共享信息。基于第一资源共享信息,第一任务管控平台可以将第二任务管控平台共享的第二计算节点集群确定为目标计算节点集群,进而第一任务管控平台可以调用其自身集群环境中的第一计算节点集群的计算节点,和/或,调用所述第二任务管控平台共享的第二计算节点集群的计算节点,以协同执行相应的安全计算任务。由此可以实现跨集群环境调用计算节点资源,以提高计算节点资源的利用率。此外,对于每个集群环境,可以独立部署任务管控平台,使得每个集群环境的任务管控平台可以独立发布各自的安全计算任务,并且每个集群环境可以作为共享方,也可以作为被共享方,使得每个集群环境同时拥有下发安全计算任务的能力和提供参与计算服务的能力。不仅可以解决任务管控平台部署在哪个客户的集群环境的争议问题,还可以极大地发挥各集群环境拥有的计算节点资源的计算能力,进一步提高多方安全计算系统的性能。
参照图4,示出了本发明的一种资源调用装置实施例的结构框图,所述装置应用于多方安全计算系统中的第一任务管控平台,所述多方安全计算系统包括至少两个集群环境,每个集群环境中部署一个任务管控平台以及至少一个计算节点集群,所述装置具体可以包括:
信息接收模块401,用于接收第二任务管控平台发送的第一资源共享信息,所述第二任务管控平台和所述第一任务管控平台部署在不同的集群环境,所述第一资源共享信息包括所述第二任务管控平台共享的计算节点集群的地址信息和所述第二任务管控平台的地址信息;
目标确定模块402,用于根据安全计算任务配置请求确定目标计算节点集群,所述目标计算节点集群包括所述第一任务管控平台所在集群环境中的第一计算节点集群,和/或,所述第二任务管控平台共享的第二计算节点集群;
节点调用模块403,用于调用所述目标计算节点集群中的计算节点,以执行相应的安全计算任务。
可选地,所述节点调用模块,包括:
第一确定子模块,用于在所述第一计算节点集群中确定可用的第一计算节点;
第一调用子模块,用于基于所述第一计算节点集群的地址信息以及所述第一计算节点的注册端口,调用所述第一计算节点;
和/或,
请求发送子模块,用于基于所述第二任务管控平台的地址信息,向所述第二任务管控平台发送调用请求,所述调用请求携带有所述第二计算节点集群的地址信息;
信息接收子模块,用于接收所述第二任务管控平台响应所述调用请求返回的第二计算节点的注册端口,所述第二计算节点为所述第二计算节点集群中的可用计算节点;
第二调用子模块,用于基于所述第二计算节点集群的地址信息以及所述第二计算节点的注册端口,调用所述第二计算节点。
可选地,所述第一资源共享信息还包括所述第二任务管控平台的通讯密钥;所述调用请求还携带有所述通讯密钥;
所述信息接收子模块,具体用于在所述第二任务管控平台确定所述调用请求携带的通讯密钥通过校验的情况下,接收所述第二任务管控平台响应所述调用请求返回的第二计算节点的注册端口。
可选地,所述节点调用模块,具体用于向所述第一计算节点集群中的第一计算节点以及所述第二计算节点集群中的第二计算节点发送所述安全计算任务的配置信息,以使所述第一计算节点与所述第二计算节点通过协同计算执行所述安全计算任务;其中,所述第一计算节点的数目大于所述第二计算节点的数目,且参与所述安全计算任务的数据节点部署在所述第一任务管控平台所在的集群环境中。
可选地,所述装置还包括:
名单交换模块,用于与所述第二任务管控平台交换各自的集群域名白名单,所述集群域名白名单中记录有允许访问各自集群环境中的目标计算节点集群的域名信息。
可选地,所述装置还包括:
信息发送模块,用于向所述第二任务管控平台发送第二资源共享信息,所述第二资源共享信息包括所述第一任务管控平台共享的计算节点集群的地址信息和所述第一任务管控平台的地址信息。
在本发明实施例中,每个集群环境可以独立部署任务管控平台,每个集群环境中的任务管控平台可以对其集群环境中各计算节点集群包含的计算节点进行管控,还可以向其它集群环境共享自身集群环境中的计算节点集群。对于被共享方的第一任务管控平台,可以接收共享方的第二任务管控平台发送的第一资源共享信息。基于第一资源共享信息,第一任务管控平台可以将第二任务管控平台共享的第二计算节点集群确定为目标计算节点集群,进而第一任务管控平台可以调用其自身集群环境中的第一计算节点集群的计算节点,和/或,调用所述第二任务管控平台共享的第二计算节点集群的计算节点,以协同执行相应的安全计算任务。由此可以实现跨集群环境调用计算节点资源,以提高计算节点资源的利用率。此外,对于每个集群环境,可以独立部署任务管控平台,使得每个集群环境的任务管控平台可以独立发布各自的安全计算任务,并且每个集群环境可以作为共享方,也可以作为被共享方,使得每个集群环境同时拥有下发安全计算任务的能力和提供参与计算服务的能力。不仅可以解决任务管控平台部署在哪个客户的集群环境的争议问题,还可以极大地发挥各集群环境拥有的计算节点资源的计算能力,进一步提高多方安全计算系统的性能。
对于装置实施例而言,由于其与方法实施例基本相似,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
本说明书中的各个实施例均采用递进的方式描述,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间相同相似的部分互相参见即可。
关于上述实施例中的装置,其中各个模块执行操作的具体方式已经在有关该方法的实施例中进行了详细描述,此处将不做详细阐述说明。
图5是本发明的一些实施例中服务器的结构示意图。该服务器1900可因配置或性能不同而产生比较大的差异,可以包括一个或一个以上中央处理器(central processingunits,CPU)1922(例如,一个或一个以上处理器)和存储器1932,一个或一个以上存储应用程序1942或数据1944的存储介质1930(例如一个或一个以上海量存储设备)。其中,存储器1932和存储介质1930可以是短暂存储或持久存储。存储在存储介质1930的程序可以包括一个或一个以上模块(图示没标出),每个模块可以包括对服务器中的一系列指令操作。更进一步地,中央处理器1922可以设置为与存储介质1930通信,在服务器1900上执行存储介质1930中的一系列指令操作。
服务器1900还可以包括一个或一个以上电源1926,一个或一个以上有线或无线网络接口1950,一个或一个以上输入输出接口1958,一个或一个以上键盘1956,和/或,一个或一个以上操作系统1941,例如Windows ServerTM,Mac OS XTM,UnixTM,LinuxTM,FreeBSDTM等等。
一种非临时性计算机可读存储介质,当所述存储介质中的指令由装置(服务器或者终端)的处理器执行时,使得装置能够执行图1所示的资源调用方法。
一种非临时性计算机可读存储介质,当所述存储介质中的指令由装置(服务器或者终端)的处理器执行时,使得装置能够执行一种资源调用方法,所述方法包括:接收第二任务管控平台发送的第一资源共享信息,所述第二任务管控平台和所述第一任务管控平台部署在不同的集群环境,所述第一资源共享信息包括所述第二任务管控平台共享的计算节点集群的地址信息和所述第二任务管控平台的地址信息;根据安全计算任务配置请求确定目标计算节点集群,所述目标计算节点集群包括所述第一任务管控平台所在集群环境中的第一计算节点集群,和/或,所述第二任务管控平台共享的第二计算节点集群;调用所述目标计算节点集群中的计算节点,以执行相应的安全计算任务。
本领域技术人员在考虑说明书及实践这里公开的发明后,将容易想到本发明的其它实施方案。本发明旨在涵盖本发明的任何变型、用途或者适应性变化,这些变型、用途或者适应性变化遵循本发明的一般性原理并包括本公开未公开的本技术领域中的公知常识或惯用技术手段。说明书和实施例仅被视为示例性的,本发明的真正范围和精神由下面的权利要求指出。
应当理解的是,本发明并不局限于上面已经描述并在附图中示出的精确结构,并且可以在不脱离其范围进行各种修改和改变。本发明的范围仅由所附的权利要求来限制。
以上所述仅为本发明的较佳实施例,并不用以限制本发明,凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
以上对本发明所提供的一种资源调用方法、一种资源调用装置和一种多方安全计算系统,进行了详细介绍,本文中应用了具体个例对本发明的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本发明的方法及其核心思想;同时,对于本领域的一般技术人员,依据本发明的思想,在具体实施方式及应用范围上均会有改变之处,综上所述,本说明书内容不应理解为对本发明的限制。
Claims (14)
1.一种资源调用方法,其特征在于,应用于多方安全计算系统中的第一任务管控平台,所述多方安全计算系统包括至少两个集群环境,每个集群环境中部署一个任务管控平台以及至少一个计算节点集群,所述方法包括:
接收第二任务管控平台发送的第一资源共享信息,所述第二任务管控平台和所述第一任务管控平台部署在不同的集群环境,所述第一资源共享信息包括所述第二任务管控平台共享的计算节点集群的地址信息和所述第二任务管控平台的地址信息;
根据安全计算任务配置请求确定目标计算节点集群,所述目标计算节点集群包括所述第一任务管控平台所在集群环境中的第一计算节点集群,和/或,所述第二任务管控平台共享的第二计算节点集群;
调用所述目标计算节点集群中的计算节点,以执行相应的安全计算任务。
2.根据权利要求1所述的方法,其特征在于,所述调用所述目标计算节点集群中的计算节点,包括:
在所述第一计算节点集群中确定可用的第一计算节点;
基于所述第一计算节点集群的地址信息以及所述第一计算节点的注册端口,调用所述第一计算节点;
和/或,
基于所述第二任务管控平台的地址信息,向所述第二任务管控平台发送调用请求,所述调用请求携带有所述第二计算节点集群的地址信息;
接收所述第二任务管控平台响应所述调用请求返回的第二计算节点的注册端口,所述第二计算节点为所述第二计算节点集群中的可用计算节点;
基于所述第二计算节点集群的地址信息以及所述第二计算节点的注册端口,调用所述第二计算节点。
3.根据权利要求2所述的方法,其特征在于,所述第一资源共享信息还包括所述第二任务管控平台的通讯密钥;所述调用请求还携带有所述通讯密钥;
所述接收所述第二任务管控平台响应所述调用请求返回的第二计算节点的注册端口,包括:
在所述第二任务管控平台确定所述调用请求携带的通讯密钥通过校验的情况下,接收所述第二任务管控平台响应所述调用请求返回的第二计算节点的注册端口。
4.根据权利要求1所述的方法,其特征在于,所述调用所述目标计算节点集群中的计算节点,以执行相应的安全计算任务,包括:
向所述第一计算节点集群中的第一计算节点以及所述第二计算节点集群中的第二计算节点发送所述安全计算任务的配置信息,以使所述第一计算节点与所述第二计算节点通过协同计算执行所述安全计算任务;其中,所述第一计算节点的数目大于所述第二计算节点的数目,且参与所述安全计算任务的数据节点部署在所述第一任务管控平台所在的集群环境中。
5.根据权利要求1所述的方法,其特征在于,所述方法还包括:
与所述第二任务管控平台交换各自的集群域名白名单,所述集群域名白名单中记录有允许访问各自集群环境中的目标计算节点集群的域名信息。
6.根据权利要求1所述的方法,其特征在于,所述方法还包括:
向所述第二任务管控平台发送第二资源共享信息,所述第二资源共享信息包括所述第一任务管控平台共享的计算节点集群的地址信息和所述第一任务管控平台的地址信息。
7.一种多方安全计算系统,其特征在于,所述多方安全计算系统包括第一任务管控平台和第二任务管控平台,所述第一任务管控平台和所述第二任务管控平台部署在不同的集群环境,每个集群环境中部署一个任务管控平台以及至少一个计算节点集群;
所述第二任务管控平台,用于向所述第一任务管控平台发送第一资源共享信息,所述第一资源共享信息包括所述第二任务管控平台共享的计算节点集群的地址信息和所述第二任务管控平台的地址信息;
所述第一任务管控平台,用于接收所述第二任务管控平台发送的所述第一资源共享信息,以及根据安全计算任务配置请求确定目标计算节点集群,并调用所述目标计算节点集群中的计算节点,以执行相应的安全计算任务;所述目标计算节点集群包括所述第一任务管控平台所在集群环境中的第一计算节点集群,和/或,所述第二任务管控平台共享的第二计算节点集群。
8.根据权利要求7所述的系统,其特征在于,
所述第一任务管控平台,还用于在所述第一计算节点集群中确定可用的第一计算节点,并基于所述第一计算节点集群的地址信息以及所述第一计算节点的注册端口,调用所述第一计算节点;和/或,
所述第一任务管控平台,还用于基于所述第二任务管控平台的地址信息,向所述第二任务管控平台发送调用请求,所述调用请求携带有所述第二计算节点集群的地址信息;
所述第二任务管控平台,还用于响应所述第一任务管控平台发送的调用请求,在所述第二计算节点集群中确定可用的第二计算节点,以及向所述第一任务管控平台发送所述第二计算节点的注册端口;
所述第一任务管控平台,还用于基于所述第二计算节点集群的地址信息以及所述第二计算节点的注册端口,调用所述第二计算节点。
9.根据权利要求8所述的系统,其特征在于,所述第一资源共享信息还包括所述第二任务管控平台的通讯密钥;所述调用请求还携带有所述通讯密钥;
所述第二任务管控平台,还用于对所述调用请求携带的通讯密钥进行校验,在确定所述通讯密钥通过校验的情况下,响应所述调用请求,向所述第一任务管控平台发送所述第二计算节点的注册端口。
10.根据权利要求8或9所述的系统,其特征在于,所述第二任务管控平台,还用于在向所述第一任务管控平台发送所述第二计算节点的注册端口之后,设置所述第二计算节点的状态为不可用。
11.根据权利要求7所述的系统,其特征在于,所述第二任务管控平台,还用于接收所述第一任务管控平台发送的第二资源共享信息,所述第二资源共享信息包括所述第一任务管控平台共享的计算节点集群的地址信息和所述第一任务管控平台的地址信息。
12.根据权利要求7所述的系统,其特征在于,所述第二任务管控平台,还用于与所述第一任务管控平台交互各自的集群域名白名单,所述集群域名白名单中记录有允许访问各自集群环境中的目标计算节点集群的域名信息。
13.一种资源调用装置,其特征在于,应用于多方安全计算系统中的第一任务管控平台,所述多方安全计算系统包括至少两个集群环境,每个集群环境中部署一个任务管控平台以及至少一个计算节点集群,所述装置包括:
信息接收模块,用于接收第二任务管控平台发送的第一资源共享信息,所述第二任务管控平台和所述第一任务管控平台部署在不同的集群环境,所述第一资源共享信息包括所述第二任务管控平台共享的计算节点集群的地址信息和所述第二任务管控平台的地址信息;
目标确定模块,用于根据安全计算任务配置请求确定目标计算节点集群,所述目标计算节点集群包括所述第一任务管控平台所在集群环境中的第一计算节点集群,和/或,所述第二任务管控平台共享的第二计算节点集群;
节点调用模块,用于调用所述目标计算节点集群中的计算节点,以执行相应的安全计算任务。
14.一种机器可读介质,其上存储有指令,当所述指令由装置的一个或多个处理器执行时,使得装置执行如权利要求1至6任一所述的资源调用方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110763226.7A CN113612732B (zh) | 2021-07-06 | 2021-07-06 | 一种资源调用方法、装置和多方安全计算系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110763226.7A CN113612732B (zh) | 2021-07-06 | 2021-07-06 | 一种资源调用方法、装置和多方安全计算系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN113612732A true CN113612732A (zh) | 2021-11-05 |
| CN113612732B CN113612732B (zh) | 2023-12-26 |
Family
ID=78337321
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202110763226.7A Active CN113612732B (zh) | 2021-07-06 | 2021-07-06 | 一种资源调用方法、装置和多方安全计算系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN113612732B (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN116233135A (zh) * | 2023-05-06 | 2023-06-06 | 华控清交信息科技(北京)有限公司 | 一种数据传输方法、系统、装置和可读存储介质 |
Citations (19)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102142105A (zh) * | 2010-01-28 | 2011-08-03 | 镇江金钛软件有限公司 | 一种企业集群分布式协同作业系统 |
| CN103036927A (zh) * | 2011-09-29 | 2013-04-10 | 中国电信股份有限公司 | 智能交通控制方法、装置与系统 |
| CN103207814A (zh) * | 2012-12-27 | 2013-07-17 | 北京仿真中心 | 一种去中心化的跨集群资源管理与任务调度系统与调度方法 |
| CN104461740A (zh) * | 2014-12-12 | 2015-03-25 | 国家电网公司 | 一种跨域集群计算资源聚合和分配的方法 |
| CN107087019A (zh) * | 2017-03-14 | 2017-08-22 | 西安电子科技大学 | 一种端云协同计算架构及任务调度装置及方法 |
| CN110022337A (zh) * | 2018-01-09 | 2019-07-16 | 阿里巴巴集团控股有限公司 | 资源调度方法、装置、设备和系统 |
| CN110225131A (zh) * | 2019-06-19 | 2019-09-10 | 广州小鹏汽车科技有限公司 | 一种服务调用方法和装置 |
| CN110727950A (zh) * | 2019-09-29 | 2020-01-24 | 无锡京和信息技术有限公司 | 一种分布式协同计算系统和协同处理方法 |
| CN110855700A (zh) * | 2019-11-20 | 2020-02-28 | 杭州端点网络科技有限公司 | 一种跨公网实现多云管控的安全认证方法 |
| CN110971702A (zh) * | 2019-12-10 | 2020-04-07 | 中国建设银行股份有限公司 | 服务调用方法、装置、计算机设备及存储介质 |
| CN111158879A (zh) * | 2019-12-31 | 2020-05-15 | 上海依图网络科技有限公司 | 一种系统资源的调度方法,装置、机器可读介质和系统 |
| CN111371753A (zh) * | 2020-02-24 | 2020-07-03 | 中国建设银行股份有限公司 | 一种资源共享方法和装置 |
| CN111404905A (zh) * | 2020-03-10 | 2020-07-10 | 南京三眼精灵信息技术有限公司 | 一种跨域数据安全计算及模型协同的方法 |
| CN111597024A (zh) * | 2020-05-14 | 2020-08-28 | 科东(广州)软件科技有限公司 | 跨域集群处理方法、装置、电子设备及存储介质 |
| CN211403427U (zh) * | 2019-09-29 | 2020-09-01 | 无锡京和信息技术有限公司 | 一种分布式协同计算系统 |
| CN111737011A (zh) * | 2020-07-31 | 2020-10-02 | 支付宝(杭州)信息技术有限公司 | 安全多方计算的实现方法和装置 |
| CN112540841A (zh) * | 2020-12-28 | 2021-03-23 | 智慧神州(北京)科技有限公司 | 任务调度的方法、装置、处理器与电子设备 |
| CN112751665A (zh) * | 2019-10-30 | 2021-05-04 | 阿里巴巴集团控股有限公司 | 一种安全多方计算方法、设备、系统及存储介质 |
| CN113014625A (zh) * | 2021-02-09 | 2021-06-22 | 华控清交信息科技(北京)有限公司 | 一种任务处理方法、装置和用于任务处理的装置 |
-
2021
- 2021-07-06 CN CN202110763226.7A patent/CN113612732B/zh active Active
Patent Citations (19)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102142105A (zh) * | 2010-01-28 | 2011-08-03 | 镇江金钛软件有限公司 | 一种企业集群分布式协同作业系统 |
| CN103036927A (zh) * | 2011-09-29 | 2013-04-10 | 中国电信股份有限公司 | 智能交通控制方法、装置与系统 |
| CN103207814A (zh) * | 2012-12-27 | 2013-07-17 | 北京仿真中心 | 一种去中心化的跨集群资源管理与任务调度系统与调度方法 |
| CN104461740A (zh) * | 2014-12-12 | 2015-03-25 | 国家电网公司 | 一种跨域集群计算资源聚合和分配的方法 |
| CN107087019A (zh) * | 2017-03-14 | 2017-08-22 | 西安电子科技大学 | 一种端云协同计算架构及任务调度装置及方法 |
| CN110022337A (zh) * | 2018-01-09 | 2019-07-16 | 阿里巴巴集团控股有限公司 | 资源调度方法、装置、设备和系统 |
| CN110225131A (zh) * | 2019-06-19 | 2019-09-10 | 广州小鹏汽车科技有限公司 | 一种服务调用方法和装置 |
| CN211403427U (zh) * | 2019-09-29 | 2020-09-01 | 无锡京和信息技术有限公司 | 一种分布式协同计算系统 |
| CN110727950A (zh) * | 2019-09-29 | 2020-01-24 | 无锡京和信息技术有限公司 | 一种分布式协同计算系统和协同处理方法 |
| CN112751665A (zh) * | 2019-10-30 | 2021-05-04 | 阿里巴巴集团控股有限公司 | 一种安全多方计算方法、设备、系统及存储介质 |
| CN110855700A (zh) * | 2019-11-20 | 2020-02-28 | 杭州端点网络科技有限公司 | 一种跨公网实现多云管控的安全认证方法 |
| CN110971702A (zh) * | 2019-12-10 | 2020-04-07 | 中国建设银行股份有限公司 | 服务调用方法、装置、计算机设备及存储介质 |
| CN111158879A (zh) * | 2019-12-31 | 2020-05-15 | 上海依图网络科技有限公司 | 一种系统资源的调度方法,装置、机器可读介质和系统 |
| CN111371753A (zh) * | 2020-02-24 | 2020-07-03 | 中国建设银行股份有限公司 | 一种资源共享方法和装置 |
| CN111404905A (zh) * | 2020-03-10 | 2020-07-10 | 南京三眼精灵信息技术有限公司 | 一种跨域数据安全计算及模型协同的方法 |
| CN111597024A (zh) * | 2020-05-14 | 2020-08-28 | 科东(广州)软件科技有限公司 | 跨域集群处理方法、装置、电子设备及存储介质 |
| CN111737011A (zh) * | 2020-07-31 | 2020-10-02 | 支付宝(杭州)信息技术有限公司 | 安全多方计算的实现方法和装置 |
| CN112540841A (zh) * | 2020-12-28 | 2021-03-23 | 智慧神州(北京)科技有限公司 | 任务调度的方法、装置、处理器与电子设备 |
| CN113014625A (zh) * | 2021-02-09 | 2021-06-22 | 华控清交信息科技(北京)有限公司 | 一种任务处理方法、装置和用于任务处理的装置 |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN116233135A (zh) * | 2023-05-06 | 2023-06-06 | 华控清交信息科技(北京)有限公司 | 一种数据传输方法、系统、装置和可读存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN113612732B (zh) | 2023-12-26 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109040312B (zh) | 一种多接入边缘计算网络系统及方法 | |
| CN108777625B (zh) | 签名的验证方法、装置和系统、存储介质、电子装置 | |
| WO2021115449A1 (zh) | 跨域访问系统、方法及装置、存储介质及电子装置 | |
| CN112671882B (zh) | 一种基于微服务的同城双活系统和方法 | |
| CA2515652C (en) | Systems and methods for collaborative communication | |
| CN101714996B (zh) | 基于对等计算网络的认证系统及方法 | |
| CN106911648B (zh) | 一种环境隔离方法及设备 | |
| CN104811371A (zh) | 一种全新的即时通信系统 | |
| CN115328645A (zh) | 计算任务调度方法、计算任务调度装置及电子设备 | |
| CN111083177B (zh) | 基于协同网关的跨域协同交互方法 | |
| CN112291298A (zh) | 异构系统的数据传输方法、装置、计算机设备和存储介质 | |
| CN113067901B (zh) | 区块链子网的创建方法 | |
| CN110971702A (zh) | 服务调用方法、装置、计算机设备及存储介质 | |
| WO2015184410A1 (en) | Domain trusted video network | |
| WO2022252996A1 (zh) | 为业务流程合约调度计算服务的方法 | |
| CN114327827A (zh) | 一种任务处理方法、装置和存储介质 | |
| WO2020042929A1 (zh) | 一种区块链系统 | |
| CN113612732B (zh) | 一种资源调用方法、装置和多方安全计算系统 | |
| CN105743922B (zh) | 域间通信的方法、装置以及系统 | |
| WO2018036521A1 (zh) | 资源调整方法、装置及系统 | |
| CN115865537B (zh) | 基于中心化系统管理的隐私计算方法、电子设备和存储介质 | |
| CN113766436B (zh) | 一种无线内部通话方法及系统 | |
| WO2022252993A1 (zh) | 基于链外计算服务的业务执行方法 | |
| CN113259119B (zh) | 区块链消息的分发方法及装置 | |
| CN115766123A (zh) | 数据跨域授权方法及装置和电子设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |