在當(dāng)今信息時(shí)代，各行各業(yè)正積極將信息服務(wù)遷至云計(jì)算平臺(tái)，此過程中云原生相關(guān)技術(shù)及架構(gòu)得到了廣泛關(guān)注。此類技術(shù)可極大提升各企業(yè)服務(wù)的效率，降低云計(jì)算平臺(tái)算力的損耗率，并提高云計(jì)算平臺(tái)的能源利用率，但安全性的缺陷阻礙了其進(jìn)一步應(yīng)用。

云原生技術(shù)的基石是操作系統(tǒng)級虛擬化技術(shù)，而以容器為代表的系統(tǒng)級虛擬化技術(shù)在資源隔離方面較為薄弱，無法為云原生服務(wù)提供安全可保障的隔離環(huán)境。一方面，現(xiàn)有系統(tǒng)級虛擬化技術(shù)需基于Linux內(nèi)核機(jī)制實(shí)施隔離，但其隔離粒度過大，無法有效隔離所有系統(tǒng)資源；另一方面，工業(yè)界與學(xué)術(shù)界均在尋求增強(qiáng)容器資源隔離的方法，例如亞馬遜提出深度優(yōu)化的輕量級虛擬機(jī)Firecracker技術(shù)、螞蟻集團(tuán)提出融合硬件虛擬化的Kata容器技術(shù)、谷歌基于庫操作系統(tǒng)實(shí)現(xiàn)容器間系統(tǒng)調(diào)用隔離增強(qiáng)的進(jìn)程級沙箱gVisor。相關(guān)方法雖然可有效增強(qiáng)虛擬化環(huán)境的隔離強(qiáng)度，但對虛擬化環(huán)境的性能、可移植性及兼容性均造成了較大的損失，且無法針對不同云原生應(yīng)用的需求對操作系統(tǒng)服務(wù)進(jìn)行靈活調(diào)整和定制。為此，我們開發(fā)了面向容器環(huán)境的云原生安全操作系統(tǒng)內(nèi)核，可兼顧云原生服務(wù)在性能與安全方面的需求。

云原生安全操作系統(tǒng)：該系統(tǒng)基于獨(dú)創(chuàng)的內(nèi)核虛擬化技術(shù)，為容器環(huán)境提供安全高效的虛擬內(nèi)核，為云租戶提供可信、可靠的運(yùn)行環(huán)境。該系統(tǒng)的構(gòu)建主要基于面向云原生服務(wù)的虛擬內(nèi)核框架、系統(tǒng)資源安全隔離原語、系統(tǒng)資源調(diào)度機(jī)制定制與優(yōu)化框架，各項(xiàng)技術(shù)和系統(tǒng)組件的安全性均由形式化驗(yàn)證等理論方法進(jìn)行證明，同時(shí)也將集成并入現(xiàn)有主流開源國產(chǎn)操作系統(tǒng)。云原生安全操作系統(tǒng)的應(yīng)用可完全抑制現(xiàn)有云計(jì)算平臺(tái)中攻擊者惡意行為造成的破壞，同時(shí)極大提升了云計(jì)算平臺(tái)的算力利用率及云服務(wù)的性能，有助于進(jìn)一步釋放云計(jì)算模式的能效。

圖1 云原生安全操作系統(tǒng)架構(gòu)圖

云原生安全操作系統(tǒng)實(shí)現(xiàn)了更加安全、高效的操作系統(tǒng)級虛擬化技術(shù)，與市場中現(xiàn)有虛擬化技術(shù)相比，可同時(shí)滿足市場對虛擬化技術(shù)安全、性能與可移植性等多方面需求。與Firecracker、gVisor、Kata等輕量虛擬化技術(shù)相比，云原生操作系統(tǒng)具有更優(yōu)的性能、兼容性、可移植性，并可實(shí)現(xiàn)同等級、可證明的隔離強(qiáng)度，保障云服務(wù)的安全高效。

已具備可演示的系統(tǒng)原型。

本系統(tǒng)主要應(yīng)用于各類云計(jì)算平臺(tái)、邊緣計(jì)算平臺(tái)，適用于公有云、私有云、混合云等各類云計(jì)算模式。

市場前景：

具體運(yùn)用場景包括：

1）行業(yè)頭部商用云計(jì)算平臺(tái)（阿里云、華為云、百度云、騰訊云等）及中小型商用云計(jì)算平臺(tái)；

2）各類企業(yè)、機(jī)構(gòu)的私有云平臺(tái)（或計(jì)算集群）；

3）科研機(jī)構(gòu)、院校的私有云計(jì)算平臺(tái)（或計(jì)算集群）。

近年來，市場對云原生技術(shù)需求穩(wěn)定增長并尚未飽和，云原生安全操作系統(tǒng)將進(jìn)一步加速云原生技術(shù)的應(yīng)用，增強(qiáng)市場的信心，因此該系統(tǒng)有很廣闊的應(yīng)用前景。

發(fā)展規(guī)劃：

1. 云原生安全操作系統(tǒng)原型將在在2-3家云計(jì)算企業(yè)或科研機(jī)構(gòu)試應(yīng)用；

2. 云原生安全操作系統(tǒng)中核心技術(shù)將申請專利，并合并到主流公有云（阿里云、騰訊云、華為云等）所維護(hù)的開源操作系統(tǒng)社區(qū)中，最終在國內(nèi)主流公有云平臺(tái)中使用；

3. 云原生安全操作系統(tǒng)中核心技術(shù)將集成到中關(guān)村國家實(shí)驗(yàn)室開發(fā)的安全操作系統(tǒng)中使用。

知識產(chǎn)權(quán)：

該成果已申請/授權(quán)多項(xiàng)中國發(fā)明專利。

合作方式：