一种面向MNSS的安全动态资源管理系统的制作方法

一种面向mnss的安全动态资源管理系统
技术领域
1.本发明涉及安全通信与网络资源配置领域，具体为一种面向mnss的安全动态资源管理系统。


背景技术：

2.当前以mnss为代表的大数据与虚拟实验仿真平台的数据资源管理较为粗放，一方面资源访问与管理安全性不足，用户登陆过程和资源获取过程缺乏安全性支持；另一方面大部分虚拟资源平台未对资源进行针对用户的个性化分配，使得云端平台的资源占有率持续处于负载峰值，无法满足用户对数据资源的访问速率和应用需求，进而影响用户在网络资源平台的使用体验，增大资源管理难度。因此，设计针对mnss 虚拟仿真平台的用户安全登陆方案，实现中心调度服务器对资源的动态管理和最大化策略分配成为亟待解决的问题。
3.因此，一种面向mnss的安全动态资源管理系统成为整个社会亟待解决的问题。


技术实现要素：

4.为解决上述技术问题，本发明采用以下技术方案。
5.包括资源调度管理单元，包括一台中心调度服务器，中心调度服务器通过客户端服务器收集用户资源需求，并根据资源状态判断服务器提供的资源列表进行判断，合理选择磁盘，为本轮用户匹配或生成满足需求的服务器，向客户端服务器发送加密资源信息及密钥，并对生成的虚拟机资源进行管理，同时，针对处于异常状态和休眠状态的虚拟机向用户反馈，若收到重启反馈则恢复运行程序；否则，使对应虚拟机进入休眠状态，并在一定设置时间后释放对应资源；
6.资源判断标记单元，包括一台资源状态判断服务器，用于判断与所述资源特征相对应的资源量是否不低于既往访问申请生成的资源量，是则将与所述信息特征对应的资源分配给当前访问申请，实时查找当前虚拟机更新后的资源信息，所述的资源信息包括资源类型、资源量以及其他设备需求，对当前编号为 [1,2,..k]的虚拟机实例状态进行判断，向中心调度服务器发送根据有限状态机生成的包括编号、资源状态及cpu内存信息的格式包；
[0007]
权限认证单元，主要包括客户端服务器的信息认证环节与中心调度服务器的资源动态加密分配环节，客户端服务器对身份权限进行认证，并将包含目标用户身份信息、注册信息及上网终端扩展标识的数据格式包发送至中心调度服务器；中心调度服务器在获取资源需求格式包后，向满足条件的用户分配经过非对称加密处理的加密资源信息与密钥，认证用户使用密钥解密资源信息并登陆虚拟机资源进行相关操作；同时，本轮资源使用结束后，中心调度服务器对空闲虚拟机和密钥信息进行实时删除。
[0008]
进一步地，包括以下步骤，
[0009]
(1)用户向客户端系统服务器发送身份认证信息和资源需求，客户端服务器将其身份信息和需求整理成安全认证数据包格式并发送给中心调度服务器；
[0010]
(2)资源状态判断服务器监控物理机与镜像虚拟机状态，形成包含虚拟机状态与物理机可用资源量的列表，并将列表发送给中心调度服务器；
[0011]
(3)中心调度服务器参考资源状态列表对总资源进行管理，主要包括：向当前处于空闲和异常虚拟机对应的客户端发送反馈，根据反馈重启或关闭虚拟机，并调整资源可用信息；
[0012]
(4)中心调度服务器根据调整后的资源可用信息与用户资源列表，遵循资源最大化分配策略，在自动生成的资源分配方案中优先选择满足较多用户需求的方案，并在此基础上向对应用户匹配满足需求的虚拟机实例；
[0013]
(5)中心服务器为本轮用户生成满足条件的虚拟机实例后，同时通过非对称加密手段将包含虚拟机 ip、cpu\内存资源量、显存及硬盘信息等的数据格式包加密，将加密后的数据格式包及随机密钥列表向客户端服务器发送；
[0014]
(6)客户端服务器将本轮用户需求列表与加密资源数据格式包进行对比匹配，向对应用户分配资源信息和解密信息；
[0015]
(7)用户利用密钥将资源数据格式包解密，若解密成功则获得对应资源，并开启对应的虚拟机实例进行相应操作；
[0016]
(8)客户端服务器与资源状态判断服务器实时收集用户对虚拟机操作状态，并将异常与休眠状态信息反馈给中心调度服务器；
[0017]
(9)中心调度服务器向用户发送异常信息，若用户继续操作，则恢复虚拟机运行状态；若在设置的时间等条件达到后仍无操作，则使对应虚拟机进入停止状态，最终释放所属资源回到待分配状态；
[0018]
(10)本轮用户对虚拟机使用结束后，中心服务器删除用户密钥与资源关联信息，并释放剩余占用资源。
[0019]
进一步地，所述资源调度管理单元与安全登陆过程各服务器协调机制主要包括：
[0020]
客户端服务器主要对用户身份信息进行认证激活，通过其连接的读写器进行用户信息的输入，所述用户信息包括使用者的身份信息、访问权限等，该服务器同时负责将加密资源信息和异常反馈信息传输给客户端服务器；
[0021]
资源判断标记服务器，用于对虚拟机进行管理，根据所述资源管理单元接收到的资源需求请求，查找当前服务器的资源配置信息，确定网络中是否有符合条件虚拟设备及可用资源，并将实时更新信息提供给资源中心调度服务器；
[0022]
资源中心调度服务器主要维护服务器资源信息以及资源关系、协议信息，为权限认证模块和资源判断标记单元提供技术协调支撑；具体地，用于获取客户端服务器的资源需求、通信协议信息。
[0023]
进一步地，所述加密解密过程中的数据包格式具体包括：
[0024]
(1)资源请求阶段数据包格式：包类型、客户编号、请求编号、客户端地址、资源需求、认证信息和时间戳；
[0025]
(2)调度管理阶段数据包格式：包类型、虚拟机实例编号、虚拟机地址、客户端编号、客户端地址、运行状态、资源使用量和时间戳；
[0026]
(3)授权阶段数据包格式：包类型、校验信息、请求编号、方案编号、资源信息列表、密钥和时间戳；
[0027]
(4)解密阶段数据包格式：包类型、所有者编号、数据编号、密钥、虚拟机地址、资源解密结果和时间戳。
[0028]
进一步地，所述虚拟机的有限状态转换的具体过程包括：
[0029]
(1)中心调度服务器根据用户需求分配虚拟机实例后，虚拟机进入待启动状态；用户通过密钥解密虚拟机后，虚拟机进入启动中状态，待用户在虚拟机进行操作时进入运行状态，此时用户可以连接实例管理操作系统设置，在实例上搭建拓扑通过浏览器访问等；
[0030]
(2)用户超过设定时间未进行任何操作时进入休眠状态，此时虚拟机将内存中应用程序和运行数据保存到虚拟机系统盘，待用户重启虚拟机时恢复应用程序和运行状态；
[0031]
(3)有限状态机与资源状态判断服务器相联系，可对控制接口发出对应资源的控制和配置信息；虚拟机因系统内故障等出现异常时，进入异常状态，此时虚拟机实例暂停运行并向中心调度服务器发送异常信号；
[0032]
(4)中心调度服务器在一轮分配结束后定时对本轮列表中虚拟机进行监测，向处于休眠状态和异常状态两种情况虚拟机的对应用户进行信息反馈；
[0033]
(5)中心调度服务器对处于异常状态的虚拟机进行信息反馈后使其进入停止状态，并释放资源，对于休眠状态的虚拟机进行信息反馈后进行设定时间等待，若无操作则使其进入停止状态，释放资源。
[0034]
进一步地，所述安全认证包括：
[0035]
(1)用户在登陆系统时向客户端服务器发送身份认证信息，包括用户id及密码，经过客户端服务器授权认证后，用户可进行资源需求发送和访问等操作；
[0036]
(2)资源调度服务器为认证用户匹配虚拟机后，对虚拟机的数据格式包和ip地址进行非对称加密，并将密钥单独向认证用户发送，保证传输过程安全性；
[0037]
(3)用户接收加密资源格式包，并用密钥解密，通过虚拟机ip地址进行相关操作。
[0038]
进一步地，所述资源状态判断包括：
[0039]
(1)中心调度服务器判断本轮资源需求相对应的资源量是否不大于既往访问申请中处理的资源量，是则将当前与所述资源特征相对应的虚拟机匹配到当前访问申请用户，否则查找当前可用资源情况；
[0040]
(2)中心调度服务器根据接收到的资源服务器设备发送的虚拟机与待分配资源列表，查找释放异常虚拟机后的更新资源配置信息，根据尚未匹配资源的用户需求，生成满足配置的虚拟机；
[0041]
(3)资源服务器所述资源配置信息包括当前物理和虚拟设备上报的资源注册信息，所述的资源注册信息包括资源类型、资源可用度以及包含虚拟设备的状态标识，编号地址，配置信息；
[0042]
(4)资源服务器依次对编号为k的服务器状态进行判断，根据有限状态机生成包括编号、资源状态 cpu、内存信息的格式包，并向中心调度服务器实时更新列表。
[0043]
进一步地，所述中心调度服务器的管理机制包括
[0044]
(1)在每轮资源需求管理过程中，根据客户端服务器资源需求参数生成与所述专属虚拟服务器资源对应的个性化虚拟机，所述自定义镜像用于根据所述专属服务器资源拓展新的专属服务器资源；
[0045]
(2)对于本轮生成的虚拟机进行监测，当虚拟机处于异常或休眠状态时，中心调度
服务器针对该状态对用户进行反馈，若用户重新启用资源，则虚拟机重新进入运行状态；若达到设置条件后无操作，则中心调度服务器将其转换为停止状态，随后释放所属资源；
[0046]
(3)在新一轮的资源管理配置中，如在当前空闲资源中匹配到满足要求虚拟机，则安排该虚拟机为请求方客户端提供资源；如未找到合适虚拟机，则中心调度服务器重新生成新的虚拟机资源，发送新的列表给新一轮客户端。
[0047]
进一步地，所述资源的过期处理机制包括：
[0048]
(1)客户端服务器接收用户发来的用户id和认证信息，识别并匹配从服务器和用户代理得到的权限信息，若匹配成功，建立起用户id和扩展唯一标识的映射关系；
[0049]
(2)中心调度服务器在为认证用户匹配虚拟机实例后，为对应用户生成临时密钥，用于访问该虚拟机和所属资源，用户通过ip地址和密钥进行解密和资源使用；
[0050]
(3)当该虚拟机结束本轮任务进入停止状态或被释放后，中心调度服务器同时删除第(1)步中用户 id和扩展唯一标识的映射关系，并对密钥进行过期处理，用户再次访问时需要重新认证获取新的密钥。
[0051]
发明与现有技术相比的优点在于：本发明采用上述结构，具备以下优点：
[0052]
本发明设计了一种面向mnss的安全动态资源管理系统，本方法全程采用策略最大化资源动态调整策略与非对称加密机制，在资源请求与解密环节，采用权限认证与非对称加密机制保证用户的安全访问与资源调用；在资源管理与负载调度环节，通过虚拟机的有限状态监测和无效资源释放机制，实现可用资源最大化利用和设备均衡负载。
附图说明
[0053]
下面结合附图对本发明作进一步说明。
[0054]
图1为本发明的一种实施例的系统结构框图；
[0055]
图2为本发明的一种实施例的模块管理与功能示意图；
[0056]
图3为本发明的一种实施例的通信格式包加密解密过程图；
[0057]
图4为本发明的一种实施例的策略最大化资源分配流程图；
[0058]
图5为本发明的一种实施例的虚拟机状态转换示意图；
[0059]
图6为本发明的一种实施例的系统运行管理流程示意图。
具体实施方式
[0060]
本发明的一种面向mnss的基于策略最优选择的安全动态资源管理系统与方法，包括：数据所有者通过数据发布模块进行发布权限请求；请求成功后，通过加密权限管理模块为其随机生成鉴定者列表和本地密钥；密钥生成后，依照密钥方案生成组合密钥反馈数据所有者，通过存储模块对本地数据加密存储，并向发布模块传输安全发布格式。数据获取者通过向数据发布服务器和存储服务器发送数据获取请求；请求成功后，数据发布服务器从可信权限发布机构获取组合密钥，数据获取者接收组合密钥并解密下载的安全数据。
[0061]
下面结合附图对本发明作进一步说明。
[0062]
图1为本发明的一种实施例的系统结构框图。如图1所示本发明系统实施例包括：
[0063]
资源调度管理单元，包括一台中心调度服务器，中心调度服务器通过客户端服务器收集用户资源需求，并根据资源状态判断服务器提供的资源列表进行判断，合理选择磁
盘，为本轮用户匹配或生成满足需求的服务器，向客户端服务器发送加密资源信息及密钥，并对生成的虚拟机资源进行管理。同时，针对处于异常状态和休眠状态的虚拟机向用户反馈，若收到重启反馈则恢复运行程序；否则，使对应虚拟机进入休眠状态，并在一定设置时间后释放对应资源。
[0064]
资源判断标记单元。包括一台资源状态判断服务器，用于判断与所述资源特征相对应的资源量是否不低于既往访问申请生成的资源量，是则将与所述信息特征对应的资源分配给当前访问申请。实时查找当前虚拟机更新后的资源信息，所述的资源信息包括资源类型、资源量以及其他设备需求。对当前编号为 [1,2,..k]的虚拟机实例状态进行判断，向中心调度服务器发送根据有限状态机生成的包括编号、资源状态(运行、空闲等)及cpu\内存信息的格式包。
[0065]
权限认证单元。主要包括客户端服务器的信息认证环节与中心调度服务器的资源动态加密分配环节。客户端服务器对身份权限进行认证，并将包含目标用户身份信息、注册信息及上网终端扩展标识的数据格式包发送至中心调度服务器；中心调度服务器在获取资源需求格式包后，向满足条件的用户分配经过非对称加密处理的加密资源信息与密钥，认证用户使用密钥解密资源信息并登陆虚拟机资源进行相关操作；同时，本轮资源使用结束后，中心调度服务器对空闲虚拟机和密钥信息进行实时删除。
[0066]
图2为本发明的一种实施例的模块管理与功能示意图。如图2所示，本发明实施例的资源管理调度流程如下：
[0067]
(1)用户向客户端系统服务器发送身份认证信息和资源需求，客户端服务器将其身份信息和需求整理成安全认证数据包格式并发送给中心调度服务器；
[0068]
(2)资源状态判断服务器监控物理机与镜像虚拟机状态，形成包含虚拟机状态与物理机可用资源量的列表，并将列表发送给中心调度服务器；
[0069]
(3)中心调度服务器参考资源状态列表对总资源进行管理，主要包括：向当前处于空闲和异常虚拟机对应的客户端发送反馈，根据反馈重启或关闭虚拟机，并调整资源可用信息；
[0070]
(4)中心调度服务器根据调整后的资源可用信息与用户资源列表，遵循资源最大化分配策略，在自动生成的资源分配方案中优先选择满足较多用户需求的方案，并在此基础上向对应用户匹配满足需求的虚拟机实例；
[0071]
(5)中心服务器为本轮用户生成满足条件的虚拟机实例后，同时通过非对称加密手段将包含虚拟机 ip、cpu\内存资源量、显存及硬盘信息等的数据格式包加密，将加密后的数据格式包及随机密钥列表向客户端服务器发送；
[0072]
(6)客户端服务器将本轮用户需求列表与加密资源数据格式包进行对比匹配，向对应用户分配资源信息和解密信息；
[0073]
(7)用户利用密钥将资源数据格式包解密，若解密成功则获得对应资源，并开启对应的虚拟机实例进行相应操作；
[0074]
(8)客户端服务器与资源状态判断服务器实时收集用户对虚拟机操作状态，并将异常与休眠状态信息反馈给中心调度服务器；
[0075]
(9)中心调度服务器向用户发送异常信息，若用户继续操作，则恢复虚拟机运行状态；若在设置的时间等条件达到后仍无操作，则使对应虚拟机进入停止状态，最终释放所属
资源回到待分配状态；
[0076]
(10)本轮用户对虚拟机使用结束后，中心服务器删除用户密钥与资源关联信息，并释放剩余占用资源。
[0077]
图3为本发明的一种资源格式包加密解密过程图。如图3所示，本发明中用户身份权限认证机制如下：
[0078]
(1)用户在登陆系统时向客户端服务器发送身份认证信息，包括用户id及密码，经过客户端服务器授权认证后，用户可进行资源需求发送和访问等操作；
[0079]
(2)资源调度服务器为认证用户匹配虚拟机后，对虚拟机的数据格式包和ip地址进行非对称加密，并将密钥单独向认证用户发送，保证传输过程安全性；
[0080]
(3)用户接收加密资源格式包，并用密钥解密，通过虚拟机ip地址进行相关操作。
[0081]
图3为本发明的一种资源格式包加密解密过程图。如图3所示，本发明中资源数据格式包转换机制如下：
[0082]
(1)资源请求阶段数据包格式：包类型、客户编号、请求编号、客户端地址、资源需求(cpu、内存、显存、硬盘空间)、时间戳；
[0083]
(2)调度管理阶段数据包格式：包类型、虚拟机实例编号、虚拟机地址、客户端编号、客户端地址、运行状态、资源使用量、时间戳；
[0084]
(3)授权阶段数据包格式：包类型、校验信息、请求编号、方案编号、资源信息列表、密钥(key)、时间戳；
[0085]
(4)解密阶段数据包格式：包类型、所有者编号、数据编号、密钥、虚拟机地址、资源解密数据、时间戳。
[0086]
图4为本发明的一种实施例的策略最大化资源分配流程图。如图4所示，本发明中资源最大化分配策略流程如下：
[0087]
(1)中心调度服务器判断本轮资源需求相对应的资源量是否不大于既往访问申请中处理的资源量，是则将当前与所述资源特征相对应的虚拟机匹配到当前访问申请用户，否则查找当前可用资源情况；
[0088]
(2)中心调度服务器根据接收到的资源服务器设备发送的虚拟机与待分配资源列表，查找释放异常虚拟机后的更新资源配置信息，根据尚未匹配资源的用户需求，生成满足配置的虚拟机；
[0089]
(3)资源服务器所述资源配置信息包括当前物理和虚拟设备上报的资源注册信息，所述的资源注册信息包括资源类型、资源可用度以及包含虚拟设备的状态标识，编号地址，配置信息；
[0090]
(4)资源服务器依次对编号为k的服务器状态进行判断，根据有限状态机生成包括编号、资源状态 (运行、空闲等)cpu、内存信息的格式包，并向中心调度服务器实时更新列表。
[0091]
图5为虚拟机状态转换示意图。如图5所示，资源调度管理过程中有限状态转换流程如下：
[0092]
(1)中心调度服务器根据用户需求分配虚拟机实例后，虚拟机进入待启动状态；用户通过密钥解密虚拟机后，虚拟机进入启动中状态，待用户在虚拟机进行操作时进入运行状态，此时用户可以连接实例管理操作系统设置，在实例上搭建拓扑通过浏览器访问等；
[0093]
(2)用户超过设定时间未进行任何操作时进入休眠状态，此时虚拟机将内存中应用程序和运行数据保存到虚拟机系统盘，待用户重启虚拟机时恢复应用程序和运行状态；
[0094]
(3)有限状态机与资源状态判断服务器相联系，可对控制接口发出对应资源的控制和配置信息；虚拟机因系统内故障等出现异常时，进入异常状态，此时虚拟机实例暂停运行并向中心调度服务器发送异常信号；
[0095]
(4)中心调度服务器在一轮分配结束后定时对本轮列表中虚拟机进行监测，向处于休眠状态和异常状态两种情况虚拟机的对应用户进行信息反馈；
[0096]
(5)中心调度服务器对处于异常状态的虚拟机进行信息反馈后使其进入停止状态，并释放资源，对于休眠状态的虚拟机进行信息反馈后进行设定时间等待，若无操作则使其进入停止状态，释放资源。
[0097]
图6为系统运行管理流程示意图。如图6所示，资源分配过程中不同服务器间运行状态转换流程如下：
[0098]
(1)客户端服务器主要对用户身份信息进行认证激活，通过其连接的读写器进行用户信息的输入，所述用户信息包括使用者的身份信息、访问权限等，该服务器同时负责将加密资源信息和异常反馈信息传输给客户端服务器；
[0099]
(2)资源判断标记服务器，用于对虚拟机进行管理，根据所述资源管理单元接收到的资源需求请求，查找当前服务器的资源配置信息，确定网络中是否有符合条件虚拟设备及可用资源，并将实时更新信息提供给资源中心调度服务器；
[0100]
(3)资源中心调度服务器主要维护服务器资源信息以及资源关系、协议信息，为权限认证模块和资源判断标记单元提供技术协调支撑；具体地，用于获取客户端服务器的资源需求、通信协议信息。
[0101]
以上对本发明及其实施方式进行了描述，这种描述没有限制性，附图中所示的也只是本发明的实施方式之一，实际的结构并不局限于此。总而言之如果本领域的普通技术人员受其启示，在不脱离本发明创造宗旨的情况下，不经创造性的设计出与该技术方案相似的结构方式及实施例，均应属于本发明的保护范围。