一种基于安全评价的云数据中心资源分配方法
【技术领域】
[0001] 本发明涉及一种基于安全评价的云数据中心资源分配方法,属于计算机网络技术 领域。
【背景技术】
[0002] 随着互联网的迅猛发展和信息数据规模的爆发式增长,工业界和学术界对大规模 计算和海量数据处理的需求也日益增多。云计算作为一种新型的商业计算模型和服务模式 应运而生,它将计算任务分配在由大量计算节点构成的大型数据中心上,使得各种应用能 够按需获取计算能力、存储空间和?目息服务。
[0003] 资源分配问题是云数据中心能够提供高效服务的关键问题之一。由于云数据中心 资源规模的巨大、虚拟化技术的运用以及应用请求的实时多变性,现有的云数据中心资源 分配技术通常倾向于从网络感知的角度进行算法设计,以最大限度的提高云数据中心使用 效率,及时响应用户的需求,从而提高云数据中心的综合效益。然而,上述这种云数据中心 资源分配机制在安全方面考虑欠缺,一些自身安全状况较好的虚拟机往往会被分配在一些 安全状况较差的虚拟机周边,使得这些安全状况较好的虚拟机面临安全隐患,导致近年来 云数据中心安全事件频发。
[0004] 基于上述问题,本发明提供了一种新型云数据中心资源分配方法,该方法首先对 云数据中心已有虚拟机和物理机进行安全评价,在此基础上实现基于安全感知的云数据中 心资源分配过程。
【发明内容】
[0005] 针对现有技术中存在的技术问题,本发明的目的在于提供一种基于安全评价的云 数据中心资源分配方法,本发明可以有效降低云数据中心中虚拟资源的安全风险,提高云 数据中心的整体安全性。
[0006] 当待分配的新虚拟机(VM)到来时,本发明的分配过程可以分为以下几个步骤:
[0007] a)根据新VM自身的安全分值,以及它和云数据中心现有VM之间的关联状况(如 是否存在通信需求),对云数据中心现有VM的安全分值进行更新;
[0008] b)根据更新后的VM安全分值,对云数据中心运行这些VM的物理机(PM)安全分值 进行更新;
[0009] c)根据更新后的PM安全分值,对PM进行重新分组;
[0010] d)结合新VM自身的安全分值,选择所对应的PM分组中的某个PM完成分配过程。 [0011] 本发明的技术方案为:
[0012] -种基于安全评价的云数据中心资源分配方法,其步骤为:
[0013] 1)云数据中心计算每一待分配资源的新虚拟机VM的原始安全分值;
[0014] 2)根据该新虚拟机VM与云数据中心现有虚拟机VM之间的关联关系,计算云数据 中心中每个现有虚拟机VM的安全分值;
[0015] 3)根据计算得到的现有虚拟机VM的安全分值,计算云数据中心中每个物理机的 安全分值;
[0016] 4)根据计算得到的物理机的安全分值,对云数据中心中的所有物理机进行分组;
[0017] 5)根据该新虚拟机VM的原始安全分值,将该新虚拟机VM分配到对应的一物理机 分组的物理机上。
[0018] 进一步的,计算所述新虚拟机VM的原始安全分值的方法为:利用安全扫描工具对 待分配资源的新虚拟机VM进行安全扫描,将扫描到的漏洞中安全分值最高的分值作为该 新虚拟机VM的原始安全分值。
[0019] 进一步的,所述现有虚拟机VM的安全分值的方法为:对于任一与该新虚拟机VM有 关联关系的现有虚拟机VMa,其安全分值
其中,Va是该虚拟机VMa的原始安 全分值,Vi是与该虚拟机VMa存在关联关系的现有虚拟机VM的原始安全分值,i = 1,2··· m,m为与该虚拟机VMa有关联关系的虚拟机总数。
[0020] 进一步的,利用公式
计算云数据中心中每一物理机PMa的安 全分值;其中,VM1是该物理机PMa上面已分配的第i个虚拟机,:??是虚拟机¥111对应 的安全分值,i = 1,2…η,η是该物理机PMa上面已分配的虚拟机总数。
[0021] 进一步的,将云数据中心中的所有物理机划分成三组:安全分值低、安全分值中、 安全分值高。
[0022] 进一步的,将该新虚拟机VM分配到对应的一物理机分组中安全分值最低的物理 机上。
[0023] 与现有技术相比,本发明的积极效果为:
[0024] 本发明综合考虑了云数据中心物理机的安全状况、物理机中的虚拟机的安全状 况、虚拟机之间的关联关系,能够显著提高云数据中心中的虚拟机、物理机以及整个数据中 心的安全状况,本发明具有以下优点:
[0025] (1)本发明所提供的基于安全评价的云数据中心资源分配方法能够结合虚拟机和 物理机各自的安全状况,合理进行资源分配;
[0026] (2)本发明所提供的基于安全评价的云数据中心资源分配方法能够满足用户资源 的安全需求,提升用户资源的抗风险能力;
[0027] (3)本发明所提供的基于安全评价的云数据中心资源分配方法能够提升云数据中 心的整体安全水平。
【附图说明】
[0028] 图1为本发明基于安全评价的云数据中心资源分配过程图。
【具体实施方式】
[0029] 如附图1所示,整个基于安全评价的云数据中心资源分配过程具体如下:
[0030] a)待分配的新虚拟机(VM)到来时,首先利用安全扫描工具对该新VM进行安全扫 描,并根据扫描到的漏洞情况按照一定的规则计算该新VM的原始安全分值(每个漏洞都有 自己的一个安全分值,可以将扫描到的漏洞中安全分值最高那个分值作为该VM的原始安 全分值);
[0031] b)根据新VM自身的原始安全分值,以及它和云数据中心现有VM之间的关联状况 (用户在向云数据中心提交新VM请求时,已明确了这个新VM需要和哪些现有VM进行通信; 若两个VM间存在通信需求,则该两个VM间存在关联,即根据虚拟机之间的通信关系确定 虚拟机之间的关联关系),计算云数据中心中每个现有VM的安全分值,例如对于与该新VM 有关联关系的虚拟机VMa,它的安全分值
其中Va是该VMa的原始安全分值, Vi (i = 1,2…m)是与VMa存在关联关系的其余VM的原始安全分值,m为与该虚拟机VMa有 关联关系的虚拟机总数;
[0032] c)根据计算得到的现有VM安全分值,计算云数据中心中每个物理机(PM)的安全 分值,例如对于物理机PMa,它的安全分值
其中VM1是该物理机PMa上 面已分配的第i个虚拟机,是虚拟机VM1对应的安全分值,i = 1,2…η,η是该物理机 PMa上面已分配的虚拟机总数;
[0033] d)根据计算得到的物理机PM安全分值,对云数据中心中的所有物理机PM进行重 新分组,比如可以划分成三组,即安全分值低、安全分值中、安全分值高;
[0034] e)结合待分配的新VM自身的原始安全分值(例如原始安全分值高),将该新VM 分配到其所对应的PM分组(例如安全分值高)中安全分值最低的那个PM中去。
[0035] 以上所述的【具体实施方式】,对本发明的目的、技术方案和有益效果进行了进一步 详细说明,所应理解的是,以上所述仅为本发明的【具体实施方式】而已,并不用于限定本发明 的保护范围,凡在本发明的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含 在本发明的保护范围之内。
【主权项】
1. 一种基于安全评价的云数据中屯、资源分配方法,其步骤为: 1) 云数据中屯、计算每一待分配资源的新虚拟机VM的原始安全分值; 2) 根据该新虚拟机VM与云数据中屯、现有虚拟机VM之间的关联关系,计算云数据中屯、 中每个现有虚拟机VM的安全分值; 3) 根据计算得到的现有虚拟机VM的安全分值,计算云数据中屯、中每个物理机的安全 分值; 4) 根据计算得到的物理机的安全分值,对云数据中屯、中的所有物理机进行分组; 5) 根据该新虚拟机VM的原始安全分值,将该新虚拟机VM分配到对应的一物理机分组 的物理机上。2. 如权利要求1所述的方法,其特征在于,计算所述新虚拟机VM的原始安全分值的方 法为:利用安全扫描工具对待分配资源的新虚拟机VM进行安全扫描,将扫描到的漏桐中安 全分值最高的分值作为该新虚拟机VM的原始安全分值。3. 如权利要求1或2所述的方法,其特征在于,所述现有虚拟机VM的安全分值的方法 为:对于任一与该新虚拟机VM有关联关系的现有虚拟机VMa,其安全分值庚 中,Va是该虚拟机VMa的原始安全分值,Vi是与该虚拟机VMa存在关联关系的现有虚拟机VM的原始安全分值,i= 1,2…m,m为与该虚拟机VMa有关联关系的虚拟机总数。4. 如权利要求3所述的方法,其特征在于,利用公式计算云数据 中屯、中每一物理机PMa的安全分值;其中,VMi是该物理机PMa上面已分配的第i个虚 拟机,%%是虚拟机VMi对应的安全分值,i= 1,2…n,η是该物理机PMa上面已分配的虚 拟机总数。5. 如权利要求3所述的方法,其特征在于,将云数据中屯、中的所有物理机划分成Ξ组: 安全分值低、安全分值中、安全分值高。6. 如权利要求5所述的方法,其特征在于,将该新虚拟机VM分配到对应的一物理机分 组中安全分值最低的物理机上。
【专利摘要】本发明公开了一种基于安全评价的云数据中心资源分配方法。本方法为:1)云数据中心计算每一待分配资源的新虚拟机VM的原始安全分值;2)根据该新虚拟机VM与云数据中心现有虚拟机VM之间的关联关系,计算云数据中心中每个现有虚拟机VM的安全分值;3)根据计算得到的现有虚拟机VM的安全分值,计算云数据中心中每个物理机的安全分值;4)根据计算得到的物理机的安全分值,对云数据中心中的所有物理机进行分组;5)根据该新虚拟机VM的原始安全分值,将该新虚拟机VM分配到对应的一物理机分组的物理机上。本发明可以有效降低云数据中心中虚拟资源的安全风险,提高云数据中心的整体安全性。
【IPC分类】H04L29/08, H04L12/24, H04L29/06
【公开号】CN105245536
【申请号】CN201510702464
【发明人】尉迟学彪, 李晓东
【申请人】中国互联网络信息中心
【公开日】2016年1月13日
【申请日】2015年10月26日