CN116488905A - 基于在线忙间隔分析的安全感知实时任务调度方法 - Google Patents

Abstract

基于在线忙间隔分析的安全感知实时任务调度方法，属于实时系统安全领域，为了解决最大程度地减少AEW内不可信任所占的比例，进而降低攻击的成功率的问题，S1.离线计算最大保护窗口长度；S2.根据当前调度时刻是否在最大保护窗口内，选择可信任务或不可信任务作为可行性测试的测试任务；S3.根据忙间隔分析对测试任务在时刻t执行进行可行性测试；效果是在保证系统可调度性的同时，最大程度地减少AEW内不可信任所占的比例，进而降低了攻击的成功率。

Description

基于在线忙间隔分析的安全感知实时任务调度方法

技术领域

本发明属于实时系统安全领域，尤其涉及一种基于在线忙间隔分析的安全感知实时任务调度方法。

背景技术

实时系统已广泛应用于安全关键领域，包括汽车和航空电子设备、医疗设备以及工业机器人等，以提供关键功能。为了实现实时计算，实时系统的执行具备可预测和确定的特性。然而，这种可预测和确定性的执行模式却容易受到基于调度的攻击。基于调度的攻击可以利用实时系统的确定性执行模式泄露系统的某些时序特性来发动更具针对性的攻击。例如通过注入虚假数据来破坏系统稳定性，或者通过覆盖控制系统信号来破坏车辆功能。因此，在实时系统中提供一种有效的安全调度策略能够在满足实时性的前提下有效地防御基于调度的攻击是极其重要的。

基于调度的攻击的成功率通常取决于攻击者任务是否在与被攻击任务执行状态相关的攻击有效窗口(Attack effective window，简称AEW)内执行。针对基于调度的攻击，国内外的学者提出了大量基于调度随机化进行防御的方案。这些方法通过增加实时任务的时间不确定性来阻碍攻击者预测任务执行状态。然而，在许多情况下，基于随机化的方法可能无法抵御基于调度的攻击，因为它们可能会增加有效攻击窗口内执行攻击任务的概率。为了防止不可信任务在攻击有效窗口期间被执行，Chen等人提出了一种面向覆盖的调度策略，该策略通过尽可能阻止不可信任务在被攻击任务完成后立刻执行来防御基于调度的后置攻击。与RM调度策略相比，该方法被证明可以降低AEW内不可信任务的比例。但是由于该调度策略忽视了系统保护能力的限制以及离线计算最大可容忍阻塞时间的悲观性，该调度策略的防御效果仍然较差。

发明内容

为了解决根据被攻击任务的执行状态，有效地选择可信和不可信任务进行调度，最大程度地减少AEW内不可信任所占的比例，进而降低攻击的成功率的问题，在第一方面上，根据本申请一些实施例的基于在线忙间隔分析的安全感知实时任务调度方法，包括如下步骤：

S1.离线计算最大保护窗口长度；

S2.根据当前调度时刻是否在最大保护窗口内，选择可信任务或不可信任务作为可行性测试的测试任务；

S3.根据忙间隔分析对测试任务在时刻t执行进行可行性测试；

S4.若测试任务在时刻t通过了可行性测试，无论就绪队列中是否有较高优先级作业正在执行，所述测试任务对当前资源进行抢占，并且执行ω个时间单位；测试任务在时刻t未通过可行性测试，就绪队列中优先级最高的任务执行ω个时间单位，下一个调度决策在时间t＝t+ω处发起。

根据本申请一些实施例的基于在线忙间隔分析的安全感知实时任务调度方法，所述步骤S1中，对于任务集Γ和被攻击任务τ^v，被攻击任务τ^v的最大保护窗口长度由表示：

其中T^v表示被攻击任务τ^v的周期，u_i表示被攻击任务τ_i的利用率，u^v表示被攻击任务τ^v的利用率，Γ_untrust表示任务集Γ内所有不可信任务的集合。

根据本申请一些实施例的基于在线忙间隔分析的安全感知实时任务调度方法，所述步骤S2中：

如果当前调度时刻t在最大保护窗口内，其中f^v代表任务τ_v在时刻t前完成的最后一个作业的完成时间，选择就绪队列Q^t中优先级最高的可信任务进行可行性测试，即/>中优先级最高的任务，其中/>为就绪队列中可信任务的集合，如果就绪队列中没有可信任务，选择空闲任务进行可行性测试；

如果当前调度时刻t不在最大保护窗口内，选择就绪队列中优先级最高的不可信任务进行可行性测试，即/>中优先级最高的任务，其中/>为就绪队列中不可信任务的集合，如果就绪队列中没有不可信任务，判断被攻击任务是否在就绪队列中，如果被攻击任务在就绪队列中，选择被攻击任务进行可行性测试；被攻击任务不在就绪队列中，选择就绪队列中优先级最高的任务进行可行性测试。

根据本申请一些实施例的基于在线忙间隔分析的安全感知实时任务调度方法，所述步骤S3中对测试任务τ_test在时刻t执行进行可行性测试，包括以下步骤：判断测试任务τ_test是否为就绪队列中优先级最高的任务，根据测试任务τ_test是否为就绪队列中优先级最高的任务确定测试任务τ_test在时刻t执行的可行性。

根据本申请一些实施例的基于在线忙间隔分析的安全感知实时任务调度方法，其特征在于，所述步骤S3中根据测试任务τ_test是否为就绪队列中优先级最高的任务确定测试任务τ_test在时刻t执行的可行性，包括：

S3.1.当测试任务τ_test是就绪队列中优先级最高的任务时，测试任务τ_test通过可行性测试；当测试任务τ_test不是就绪队列中优先级最高的任务时，测试任务τ_test根据步骤S3.2进一步确定测试任务τ_test在时刻t执行的可行性；

S3.2.进一步确定测试任务τ_test在时刻t执行的可行性：hp(τ_test)表示优先级高于τ_test的任务集，对hp(τ_test)中的任务按优先级降序进行排列，依次计算hp(τ_test)中任务τ_k级别的忙间隔，并依据任务τ_k忙间隔确定测试任务τ_test在时刻t的可行性。

根据本申请一些实施例的基于在线忙间隔分析的安全感知实时任务调度方法，所述步骤S3.2中的计算任务τ_k级别的忙间隔包括

S3.2.1.计算任务τ_k级别的忙间隔的初值其中/>是任务τ_j的在t时刻的剩余执行时间，ω是优先级反转的长度并设置为原子长度；

任务τ_k是hp(τ_test)中的任务，hp(τ_k)表示优先级高于τ_k的任务集，任务τ_j是hp(τ_k)中的任务，是任务τ_k的在t时刻的剩余执行时间；

S3.2.2.迭代计算τ_k级别的忙间隔：对于排序为k的实时任务τ_k，最坏执行时间为C_k，周期为T_k，截止期为D_k，其中D_k＝T_k，任务τ_k的忙间隔的计算方法为：

迭代计算直至收敛所得忙间隔为所述忙间隔/>m表示迭代次数；

当τ_k在就绪队列中时，hpe(τ_k)＝hp(τ_k)，否则hpe(τ_k)＝hp(τ_k)∪{τ_k}，是时刻t到任务τ_j在时刻t后的第一个截止期的长度，通过/>计算，其中，对于排序为j的实时任务τ_j，最坏执行时间为C_j，周期为T_j，/>为任务τ_j在时刻t之前的最后一个到达时间，迭代计算的终止条件为：/>或/>当τ_k在就绪队列中时，否则/> 是有效截止时间。

根据本申请一些实施例的基于在线忙间隔分析的安全感知实时任务调度方法，所述步骤S3.2中的依据忙间隔确定测试任务τ_test可行性，包括

S3.2.3.对于当前任务τ_k∈hp(τ_test)，根据所述步骤S3.2.1和S3.2.2迭代计算当前任务τ_k的任务级别的忙间隔，在获取当前任务τ_k的忙间隔后，判断当前任务τ_k是否满足

若当前任务τ_k不满足可行性测试结束，测试任务τ_test未通过可行性测试；

若当前任务τ_k满足对hp(τ_test)中优先级低于任务τ_k的优先级最高的任务作为当前任务τ_k，执行步骤S3.2.3；

直至当前任务τ_k是hp(τ_test)中优先级最低的任务，并且当前任务τ_k满足则可行性测试结束，测试任务τ_test通过可行性测试。

本申请实施例还提供一种电子设备，所述电子设备包括：一个或多个处理器，存储器，以及，一个或多个程序；其中，所述一个或多个程序被存储在所述存储器中，所述一个或多个程序包括指令，当所述指令被所述电子设备执行时，使得所述电子设备执行本申请实施例第一方面任一可能的技术方案。

本申请实施例还提供一种计算机可读存储介质，所述计算机可读存储介质包括计算机程序，当计算机程序在电子设备上运行时，使得所述电子设备执行本申请实施例第一方面任一可能的技术方案。

本发明的有益效果：本发明的基于保护窗口和在线可行性测试的安全感知实时调度方法可以根据被攻击任务的执行状态，有效地选择可信和不可信任务进行调度，根据当前时刻是否在最大保护窗口内来选择测试任务，避免出现由于忽视系统的保护能力而引起的AEW内执行大量不可信任务的情况，此外在线的基于忙间隔的可行性测试在保证可调度性的基础上提高了测试任务通过可行性测试的可能。在保证系统可调度性的同时，最大程度地减少AEW内不可信任所占的比例，进而降低了攻击的成功率。上述效果在本发明具体实施方式的仿真实验验证部分所表明。上述各个方面可能达到的技术效果请参照上述针对第一方面可以达到的技术效果说明，这里不再重复赘述。本发明的附加方面和优点将在下面的描述中部分给出，部分将从下面的描述中变得明显，或通过本发明的实践了解到。

附图说明

图1为本发明的流程图。

图2为本发明的调度方法调度任务集合的调度图；(a)是AEW＝10，(b)是AEW＝30，(c)是AEW＝50。

图3为不同调度方法对所有任务集合执行一个周期的平均AEW内不可信任务比例的对比结果图。

图4为不同调度方法下ScheduLeak的攻击成功率。

具体实施方式

本发明针对固定优先级实时系统中基于调度的攻击，提出了基于保护窗口的安全感知实时调度。该研究的核心思想是在被攻击任务的有效攻击窗口内阻止不可信任务的执行，以降低攻击成功率。对于有效攻击窗口长度不确定的系统，为了最小化有效攻击窗口内不可信任务的比例，本发明引入了保护窗口来表征系统保护能力限制，并提出了基于忙间隔分析的在线可行性测试，增加了安全感知调度所需的优先级反转的概率。通过引入了保护窗口和基于忙间隔分析的在线可行性测试方法，本发明达到大幅度降低有效攻击窗口内不可信任务的比例并保证系统实时性需求的目标。

本发明引入保护窗口来表征系统保护能力限制，并提出了基于忙间隔分析的在线可行性测试，以达到大幅度降低AEW内不可信任务的比例并保证系统实时性需求的目标。

根据图1所示，一种基于在线忙间隔分析的安全感知实时任务调度方法，步骤如下：

步骤1：离线计算最大保护窗口长度

由于任务集中可信任务是有限的和调度性的限制，由于可调度性的限制，调度策略对被攻击任务的保护能力是有限的。因此本发明提出了最大保护窗口的概念来表征系统的保护能力。

对于任务集Γ和被攻击任务τ^v，τ^v的最大保护窗口长度的计算方法为：

其中T^v是被攻击任务τ^v的周期，u_i是被攻击任务τ_i的利用率，Γ_untrust是任务集Γ内所有不可信任务的集合。

步骤2：测试任务选择

本方法根据当前调度时刻是否在最大保护窗口内来选择可信任务或不可信任务进行可行性测试。此外，空闲任务会被纳入选择过程，空闲任务代表任务调度中的空闲时间，不限制其执行时间、周期和截止期。

如果当前调度时刻t在最大保护窗口内(即其中f^v代表任务τ_v在时刻t前完成的最后一个作业的完成时间)，该方法会选择就绪队列中优先级最高的可信任务进行可行性测试，如果就绪队列中没有可信任务，该方法会选择空闲任务进行可行性测试。如果当前调度时刻不在最大保护窗口内，该方法会选择就绪队列中优先级最高的不可信任务进行可行性测试，如果就绪队列中没有不可信任务，该方法会判断被攻击任务是否在就绪队列中，如果被攻击任务在就绪队列中，则选择被攻击任务进行可行性测试，否则选择就绪队列中优先级最高的任务进行可行性测试。

步骤3：基于忙间隔分析的可行性测试

为了保证实时系统的可调度性，该方法会对测试任务τ_test在时刻t执行进行可行性测试。τ_test的可行性测试包括以下步骤：

步骤3.1：判断测试任务τ_test是否为就绪队列中优先级最高的任务。当τ_xxxt是就绪队列中优先级最高的任务时，τ_test通过可行性测试。否则，该测试任务需要按照步骤3.2计算忙间隔来确定τ_test的可行性。

步骤3.2：通过在线忙间隔分析确定τ_test在时刻t执行的可行性。

该方法会对任务集中优先级高于τ_test的任务集合hp(τ_test)中的任务按优先级降序进行排列，并依次计算忙间隔并确定任务τ_test在时刻t执行会不会使得任务τ_k∈hp(τ_test)错过其截止期。如果存在某个任务错过截止期，可行性测试结束，任务τ_test未通过可行性测试。当hp(τ_test)中的所有任务都在截止期之前完成时，可行性测试结束，任务τ_test通过可行性测试。具体步骤如下：

步骤3.2.1：计算τ_k级别的忙间隔的初值。其中是τ_j的在t时刻的剩余执行时间，ω是优先级反转的长度并设置为原子长度。

任务τ_k是hp(τ_test)中的任务，hp(τ_k)表示优先级高于τ_k的任务集，任务τ_j是hp(τ_k)中的任务，是任务τ_k的在t时刻的剩余执行时间。

步骤3.2.2：迭代计算τ_k级别的忙间隔。

对于排序为k的实时任务τ_k，最坏执行时间为C_k，周期为T_k，截止期为D_k，其中D_k＝T_k。任务τ_k的忙间隔的计算方法为：/>迭代计算直至收敛所得忙间隔为所述忙间隔m表示迭代次数；

当τ_k在就绪队列中时，hpe(τ_k)＝hp(τ_k)，否则hpe(τ_k)＝hp(τ_k)∪{τ_k}。是时刻t到任务τ_j在时刻t后的第一个截止期的长度，可通过/>计算，其中，对于排序为j的实时任务τ_j，最坏执行时间为C_j，周期为T_j，/>为任务τ_j在时刻t之前的最后一个到达时间。该迭代计算的终止条件为：/>或/>当τ_k在就绪队列中时，τ_k的有效截止时间为/>否则/>

步骤3.2.3：判断可行性。

若对于任务τ_k满足即任务τ_k的完成时间不会超过其截止期，则τ_test在t时刻执行不会破坏τ_k的可调度性，接下来对优先级低于τ_k但高于τ_test的任务执行步骤3.2.1和3.2.2，若不存在这样的任务，若τ_k已经是hp(τ_test)中优先级最低的任务，则可行性测试结束，返回τ_test的优先级反转不会影响整个任务集的可调度性。若对于任务τ_k不满足则可行性测试结束，返回τ_test的优先级反转会影响整个任务集的可调度性，τ_test未通过可行性测试。

步骤4：在线作业执行。

若任务τ_test在时刻t通过了可行性测试，无论是否有较高优先级作业正在执行，任务τ_test都会对当前资源进行抢占，并且执行ω个时间单位。否则就绪队列中优先级最高的任务会执行ω个时间单位。下一个调度决策将会在时间t＝t+ω处发起。

在一个具体实例中，例如有一个任务集合Γ包含四个任务：任务τ^v是被攻击任务，周期为T^v＝4，最坏执行时间C^v＝1，截止期为D^v＝4；任务τ₁是不可信任务，周期为T₁＝5，最坏执行时间C₁＝1，截止期为D₁＝5；任务τ₂是可信任务，周期为T₁＝10，最坏执行时间C₂＝2，截止期为D₂＝10；任务τ₃是不可信任务，周期为T₃＝20，最坏执行时间C₃＝1，截止期为D₃＝20。该任务集合是RM可调度的。

本发明的核心在于在满足任务不错过截止期的条件下，降低AEW内不可信任务所占的比列，进而降低攻击的成功率。当被选择的任务的作业的优先级反转预算会影响系统的可调度性时，则禁止该作业的优先级反转，反之则允许该优先级反转。下面将以以上任务集合为例，根据如图1所示的流程图，展示本发明的具体实施方式，具体调度过程如图2所示。

步骤1：离线计算最大保护窗口长度

对于任务集Γ和被攻击任务τ^v(上标v代表该符号属于被攻击任务)，τ^v的最大保护窗口长度的计算方法为：

步骤2：测试任务选择

当前调度时刻t＝0在最大保护窗口外，该方法会选择就绪队列中优先级最高的不可信任务τ₁进行可行性测试。

步骤3：基于忙间隔分析的可行性测试

步骤3.1：τ₁不是就绪队列中优先级最高的任务，执行步骤3.2确定τ₁在当前时刻执行的可行性。

步骤3.2：通过在线忙间隔分析确定τ₁在时刻t执行的可行性。

步骤3.2.1：计算τ^v级别的忙间隔的初值。由于τ^v在就绪队列内，其忙间隔初值为

步骤3.2.2：迭代计算τ^v级别的忙间隔。由于该任务集内没有比τ^v优先级更高的任务，所以

步骤3.2.3：判断可行性。

对于任务τ^τv满足则τ₁在t＝0时刻执行不会破坏v^t的可调度性。由于该任务集内不存在优先级低于τ^v但高于τ₁的任务，可行性测试结束，τ₁通过了可行性测试。

步骤4：在线作业执行。

任务τ₁执行1个时间单位，下一个调度决策将会在时间t＝1处发起。后续调度过程，循环执行步骤2、3、4，最终得到的调度过程如图2所示。

通过图2展示的该任务集在本发明提出的调度策略下的具体的调度过程，可以发现所有的不可信作业都在τ^v的AEW之外执行，本发明提出的调度策略能够提供比现有的面向覆盖的调度策略更好的保护，这是因为本发明提出的调度策略根据当前时刻是否在最大保护窗口内来选择测试任务，避免出现由于忽视系统的保护能力而引起的AEW内执行大量不可信任务的情况，此外在线的基于忙间隔的可行性测试在保证可调度性的基础上提高了测试任务通过可行性测试的可能。

本发明在满足系统的可调度性的条件下，显著降低了AEW内不可信任务的比例，进而降低了攻击的成功率。

实验验证：

为验证本发明的有效性，本发明提出的方法简称为CO++，选取现有的面向覆盖的调度策略和固定优先级调度策略：CO调度和RM调度作为对比方法。

在对比试验中，本发明基于汽车基准生成了任务集，以评估不同调度策略的安全性能。对于每个任务集，任务的数量是从{5，6，…15}中随机选择的。所有任务的周期从集合{5，10，20，50，100，200，1000}中随机抽取。每个任务的最坏执行时间是根据UUniFast方法生成的周期和利用率来推导。从任务集中随机选取被攻击任务，其AEW的长度从其周期的{10％，30％，50％}中选取。随机选取任务集中所有任务的20％作为可信任务。本发明生成了利用率从0.05到0.95的任务集，步长为0.05，对于每个利用率，本发明生成了1000个任务集。

本发明的评估有两个主要目标：(1)AEW内不可信任务的比例；(2)一种典型的基于调度的攻击ScheduLeak的攻击成功率。

图3显示了对于不同AEW长度的系统，AEW内不可信任务的比例与不同调度策略以及任务集利用率的关系。本发明可以观察到，随着系统利用率的增加，所有方法的AEW内不可信任务的比例都在上升。这是因为随着系统利用率的提高，每种方法在可调度性约束下进行安全调度的灵活性降低。即便如此，本发明可以发现，对于所有的AEW长度，CO++始终优于现有的面向覆盖的调度策略CO，有效降低了AEW大小不确定的系统的AEW内不可信任务的比例。这是因为CO++通过基于保护窗口来表征系统保护能力限制，并根据当前调度时刻是否在最大保护窗口内来选择测试任务，从而避免忽视系统保护能力而导致的AEW内执行大量不可信任务的情况。此外，CO++采用基于忙间隔的在线可行性测试，在保证可调度性的基础上提高了测试任务通过可行性测试的可能性。

图4展示了对于不同利用率使用不同调度策略的ScheduLeak攻击防御效果。可以看出，CO和CO++都比RM调度策略具有更好的攻击防御性能。这是因为CO和CO++可以在受害者完成后的特定时间内阻止攻击者的任务执行，并给攻击者一种被攻击任务执行时间较长的印象，从而使得攻击者会根据这种错误的执行时间在错误的时刻发起攻击。此外，CO++的防御效果也始终优于CO。这是因为CO++通过基于忙间隔的在线可行性测试能够提高测试任务通过可行性测试的可能性，更好地阻止不可信任务在被攻击任务完成后立刻执行。

基于以上实施例，本申请实施例还提供了一种电子设备，所述电子设备包括：一个或多个处理器，存储器，以及，一个或多个程序；其中，所述一个或多个程序被存储在所述存储器中，所述一个或多个程序包括指令，当所述指令被所述电子设备执行时，使得所述电子设备执行以上实施例提供的所述方法。

基于以上实施例，本申请实施例还提供了一种计算机存储介质，该计算机存储介质中存储有计算机程序，所述计算机程序被计算机执行时，使得计算机执行以上实施例提供的所述方法。

其中，存储介质可以是计算机能够存取的任何可用介质。以此为例但不限于：计算机可读介质可以包括RAM、ROM、EEPROM、CD-ROM或其他光盘存储、磁盘存储介质或者其他磁存储设备、或者能够用于携带或存储具有指令或数据结构形式的期望的程序代码并能够由计算机存取的任何其他介质。

本领域内的技术人员应明白，本申请的实施例可提供为方法、系统、或计算机程序产品。因此，本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。

本申请是参照根据本申请的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。

这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。

这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。

显然，本领域的技术人员可以对本申请进行各种改动和变型而不脱离本申请的精神和范围。这样，倘若本申请的这些修改和变型属于本申请权利要求及其等同技术的范围之内，则本申请也意图包含这些改动和变型在内。

Claims (9)

1.一种基于在线忙间隔分析的安全感知实时任务调度方法，其特征在于，包括如下步骤：

S1.离线计算最大保护窗口长度；

S2.根据当前调度时刻是否在最大保护窗口内，选择可信任务或不可信任务作为可行性测试的测试任务；

S3.根据忙间隔分析对测试任务在时刻t执行进行可行性测试；

S4.若测试任务在时刻t通过了可行性测试，无论就绪队列中是否有较高优先级作业正在执行，所述测试任务对当前资源进行抢占，并且执行ω个时间单位；测试任务在时刻t未通过可行性测试，就绪队列中优先级最高的任务执行ω个时间单位，下一个调度决策在时间t＝t+ω处发起。

2.根据权利要求1所述的基于在线忙间隔分析的安全感知实时任务调度方法，其特征在于，所述步骤S1中，对于任务集Γ和被攻击任务τ^v，被攻击任务τ^v的最大保护窗口长度由表示：

其中T^v表示被攻击任务τ^v的周期，u_i表示被攻击任务τ_i的利用率，u^v表示被攻击任务τ^v的利用率，Γ_untrust表示任务集Γ内所有不可信任务的集合。

3.根据权利要求1所述的基于在线忙间隔分析的安全感知实时任务调度方法，其特征在于，所述步骤S2中：

如果当前调度时刻t在最大保护窗口内，其中f^v代表任务τ_v在时刻t前完成的最后一个作业的完成时间，选择就绪队列中优先级最高的可信任务进行可行性测试，如果就绪队列中没有可信任务，选择空闲任务进行可行性测试；

如果当前调度时刻t不在最大保护窗口内，选择就绪队列中优先级最高的不可信任务进行可行性测试，如果就绪队列中没有不可信任务，判断被攻击任务是否在就绪队列中，如果被攻击任务在就绪队列中，选择被攻击任务进行可行性测试；被攻击任务不在就绪队列中，选择就绪队列中优先级最高的任务进行可行性测试。

4.根据权利要求1所述的基于在线忙间隔分析的安全感知实时任务调度方法，其特征在于，所述步骤S3中对测试任务τ_test在时刻t执行进行可行性测试，包括以下步骤：判断测试任务τ_test是否为就绪队列中优先级最高的任务，根据测试任务τ_test是否为就绪队列中优先级最高的任务确定测试任务τ_test在时刻t执行的可行性。

5.根据权利要求4所述的基于在线忙间隔分析的安全感知实时任务调度方法，其特征在于，所述步骤S3中根据测试任务τ_test是否为就绪队列中优先级最高的任务确定测试任务τ_test在时刻t执行的可行性，包括：

S3.1.当测试任务τ_test是就绪队列中优先级最高的任务时，测试任务τ_test通过可行性测试；当测试任务τ_test不是就绪队列中优先级最高的任务时，测试任务τ_test根据步骤S3.2进一步确定测试任务τ_test在时刻t执行的可行性；

S3.2.进一步确定测试任务τ_test在时刻t执行的可行性：hp(τ_test)表示优先级高于τ_test的任务集，对hp(τ_test)中的任务按优先级降序进行排列，依次计算hp(τ_test)中任务τ_k级别的忙间隔，并依据任务τ_k忙间隔确定测试任务τ_test在时刻t的可行性。

6.根据权利要求5所述的基于在线忙间隔分析的安全感知实时任务调度方法，其特征在于，所述步骤S3.2中的计算任务τ_k级别的忙间隔包括

S3.2.1.计算任务τ_k级别的忙间隔的初值其中/>是任务τ_j的在t时刻的剩余执行时间，ω是优先级反转的长度并设置为原子长度；

任务τ_k是hp(τ_test)中的任务，hp(τ_k)表示优先级高于τ_k的任务集，任务τ_j是hp(τ_k)中的任务，是任务τ_k的在t时刻的剩余执行时间；

S3.2.2.迭代计算τ_k级别的忙间隔：对于排序为k的实时任务τ_k，最坏执行时间为C_k，周期为T_k，截止期为D_k，其中D_k＝T_k，任务τ_k的忙间隔的计算方法为：

迭代计算直至收敛所得忙间隔为所述忙间隔/>m表示迭代次数；

当τ_k在就绪队列中时，hpe(τ_k)＝hp(τ_k)，否则hpe(τ_k)＝hp(τ_k)∪{τ_k}，是时刻t到任务τ_j在时刻t后的第一个截止期的长度，通过/>计算，其中，对于排序为j的实时任务τ_j，最坏执行时间为C_j，周期为T_j，/>为任务τ_j在时刻t之前的最后一个到达时间，迭代计算的终止条件为：/>或/>当τ_k在就绪队列中时，否则/> 是有效截止时间。

7.根据权利要求6所述的基于在线忙间隔分析的安全感知实时任务调度方法，其特征在于，

所述步骤S3.2中的依据忙间隔确定测试任务τ_test可行性，包括

S3.2.3.对于当前任务τ_k∈hp(τ_test)，根据所述步骤S3.2.1和S3.2.2迭代计算当前任务τ_k的任务级别的忙间隔，在获取当前任务τ_k的忙间隔后，判断当前任务τ_k是否满足

若当前任务τ_k不满足可行性测试结束，测试任务τ_test未通过可行性测试；

若当前任务τ_k满足对hp(τ_test)中优先级低于任务τ_k的优先级最高的任务作为当前任务τ_k，执行步骤S3.2.3；

直至当前任务τ_k是hp(τ_test)中优先级最低的任务，并且当前任务τ_k满足则可行性测试结束，测试任务τ_test通过可行性测试。

8.一种电子设备，所述电子设备包括：一个或多个处理器，存储器，以及，一个或多个程序；其中，所述一个或多个程序被存储在所述存储器中，所述一个或多个程序包括指令，当所述指令被所述电子设备执行时，使得所述电子设备执行权利要求1～7任一所述方法。

9.一种计算机可读存储介质，所述计算机可读存储介质包括计算机程序，当计算机程序在电子设备上运行时，使得所述电子设备执行权利要求1～7任一所述方法。