CN113901435B - 面向容器的可信软件授权验证方法 - Google Patents
面向容器的可信软件授权验证方法 Download PDFInfo
- Publication number
- CN113901435B CN113901435B CN202111513542.5A CN202111513542A CN113901435B CN 113901435 B CN113901435 B CN 113901435B CN 202111513542 A CN202111513542 A CN 202111513542A CN 113901435 B CN113901435 B CN 113901435B
- Authority
- CN
- China
- Prior art keywords
- container
- software
- network
- authorized
- standard
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/44—Program or device authentication
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/455—Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
- G06F9/45533—Hypervisors; Virtual machine monitors
- G06F9/45558—Hypervisor-specific management and integration aspects
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W36/00—Hand-off or reselection arrangements
- H04W36/0005—Control or signalling for completing the hand-off
- H04W36/0083—Determination of parameters used for hand-off, e.g. generation or modification of neighbour cell lists
- H04W36/0085—Hand-off measurements
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W36/00—Hand-off or reselection arrangements
- H04W36/14—Reselecting a network or an air interface
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W36/00—Hand-off or reselection arrangements
- H04W36/24—Reselection being triggered by specific parameters
- H04W36/30—Reselection being triggered by specific parameters by measured or perceived connection quality data
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/455—Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
- G06F9/45533—Hypervisors; Virtual machine monitors
- G06F9/45558—Hypervisor-specific management and integration aspects
- G06F2009/45587—Isolation or security of virtual machine instances
Landscapes
- Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Storage Device Security (AREA)
Abstract
本发明涉及一种面向容器的可信软件授权验证方法,该方法包括检测运行容器内的软件运行状态,设置接入准备时间,接入准备时间设置在接入时间前;设置即时标准运行安全值,确定待授权软件的运行安全值,若待授权软件的运行安全值<标准运行安全值,则在接入准备时间内实时监测运行容器所在的若干网络的传输速度,形成传输速度序列表;将运行容器所在的网络切换至传输速度序列表中的首个网络内,在切换后的网络内接入待授权软件。提高接入待授权软件后的运行容器和镜像容器的安全性,大大提高了验证的安全性,提高对待授权软件的运行过程中出现的安全问题处理得及时性,提高待授权软件在运行容器内的运行效率。
Description
技术领域
本发明涉及信息安全技术领域,尤其涉及一种面向容器的可信软件授权验证方法。
背景技术
当前信息系统安全形势日益严峻,安全事件不断发生,可信计算技术从终端底层采取安全措施,采用密码学、网络安全等关键技术确保终端安全和可信,为信息系统安全提供了一个主动防御、源头控制的有力工具。随着可信计算技术研究的日渐深入,网络系统的可信性问题也逐渐被人们重视。相比传统的网络安全概念,可信性的内涵更广,强调的是行为的可信可控,是通过对行为过程进行度量和分析得到的一种属性,而安全是一种外在表现的断言。因此,网络安全正向着增加了行为可信的可信网络方向发展,主要包括网络数据传输的可信和网络资源共享的可信。对于网络数据传输的安全问题,可以通过密码学等手段较好地解决。但是如何保证资源共享的安全可靠,尤其是资源的合理授权及控制,仍是一个需要研究的问题。
随着容器平台的广泛流行,避免不可信的程序在容器中运行至关重要。对于容器来说,容器镜像可能被篡改,包含不可信甚至是恶意的软件;运行中的容器可能访问恶意网站,下载恶意程序运行。因此,面向容器平台的可信软件包含两部分,其一是容器运行所基于的容器镜像,其二是在容器中运行的软件。
现有的容器中的运行的软件增加了容器运行风险,经过授权验证后的可信软件也可能是恶意软件,使得容器受到恶意软件的攻击。
发明内容
为此,本发明提供一种面向容器的可信软件授权验证方法,可以解决容器运行的风险高,易被恶意软件攻击的技术问题。
为实现上述目的,本发明提供一种面向容器的可信软件授权验证方法,包括:
设置镜像容器,所述镜像容器与运行容器的运行状态相同;
检测运行容器内的软件运行状态,确定所述软件在运行过程中需要接入待授权软件的接入时间,设置接入准备时间,所述接入准备时间设置在接入时间前;
设置即时标准运行安全值,确定所述待授权软件的运行安全值,在接入准备时间内,比较所述待授权软件的运行安全值与标准运行安全值的关系;
根据比较结果确定在接入时间节点处是否接入,若待授权软件的运行安全值≥标准运行安全值,则在接入时间节点处即时接入运行的容器;若待授权软件的运行安全值<标准运行安全值,则在接入准备时间内实时监测运行容器所在的若干网络的传输速度,并在所述运行容器内对其所在的网络的传输速度进行排序,形成传输速度序列表;
在接入时间节点处,确定运行容器当前所在的网络的传输速度,并将运行容器所在的网络切换至传输速度序列表中的首个网络内,在切换后的网络内接入待授权软件。
进一步地,在运行容器需要进行网络切换时,运行容器和镜像容器所在的网络根据传输速度进行分类,分为第一层次的网络、第二层次的网络、第三层次的网络和第四层次的网络,所述运行容器和所述镜像容器在任意时刻,在第一层次的网络、第二层次的网络、第三层次的网络或第四层次的网络中运行,且第一层次的网络的传输速度均大于第二层次的网络的传输速度均大于第三层次的网络的传输速度均大于第四层侧的网络的传输速度;
当需要进行网络切换时,若当前时刻的运行容器和所述镜像容器处于第四层级的网络内,则将其切换至第三层级的网络内;
若当前时刻的运行容器和所述镜像容器处于第三层级的网络内,则将其切换至第二层级的网络内;
若当前时刻的运行容器和所述镜像容器处于第二层级的网络内,则将其切换至第一层级的网络内;
若当前时刻的运行容器和所述镜像容器处于第一层级的网络内但非首个,则将其切换至第一层级的网络列表中的首个网络。
进一步地,所述确定所述待授权软件的运行安全值包括:
预先设置有若干风险关键词,
获取待授权软件中的运行指令信息,所述待授权软件包含若干条运行指令信息,所述运行指令信息的数量为N;
逐一比较运行指令信息中是否包含所述风险关键词对应的字符串,确定在N条运行指令信息中包含风险关键词对应的字符串的占比;
若在N条运行指令信息中包含风险关键词对应的字符串的占比≥0.9,则表示该待授权软件不安全;否则表示该授权软件安全。
进一步地,预先设置有标准接入准备时间T0和标准数量N0,根据待授权软件的内的运行指令信息的实际数量调整标准接入准备时间,以在接入准备时间内完成待授权软件的接入准备;
若运行指令信息的实际数量≥标准数量,则延长待授权软件的标准接入准备时间;
若运行指令信息的实际数量<标准数量,则缩短待授权软件的标准接入准备时间。
进一步地,当需要延长待授权软件的标准接入准备时间时,根据运行指令信息与标准数量差值的大小选择标准接入准备时间的延长参数;
预先设置有第一参数k1和第二参数k2,且k1<k2;
预先设置有标准差值ΔN0,若运行指令信息的实际数量与标准数量差值≤标准差值ΔN0,则采用第一参数k1对标准接入准备时间来延长;
若运行指令信息的实际数量与标准数量差值>标准差值ΔN0,则采用第二参数k2对标准接入准备时间来延长。
进一步地,采用第一参数k1对标准接入准备时间来延长,延长后的接入准备时间为T1′= T0×(1+k1);
采用第二参数k2对标准接入准备时间来延长,延长后的接入准备时间为T2′= T0×(1+k2)。
进一步地,所述第一参数k1的计算方式为:
k1=|N-N0|/N;
所述第二参数k2的计算方式为:
K2=|N-N0|/N0。
进一步地,当缩短待授权软件的标准接入准备时间时,根据运行指令信息的实际数量所处的数量区间选择缩短系数;
所述指令信息的数量设置有第一数量区间、第二数量区间和第三数量区间,所述第一数量区间大于第二数量区间大于第三数量区间;
若运行指令信息的实际数量属于第一数量区间则选择第一参数p1作为缩短系数;
若运行指令信息的实际数量属于第二数量区间则选择第二参数p2作为缩短系数;
若运行指令信息的实际数量属于第三数量区间则选择第三参数p3作为缩短系数。
进一步地,所述第一数量区间采用的定义方式为:0.9×N0≤所述第一数量区间<N0;
所述第二数量区间采用的定义方式为:0.5×N0≤所述第二数量区间<0.9×N0;
所述第三数量区间采用的定义方式为:0<所述第三数量区间<0.5×N0。
进一步地,所述运行容器和所述镜像容器所在的网络为4G网络、5G网络或无线网络。
与现有技术相比,本发明的有益效果在于,通过对待授权软件的安全性进行评估,确定待授权软件的安全值,并根据控制单元内的预先设定的即时标准运行安全值,若符合该运行安全值,则即时接入到运行的网络内,否则需要对接入的网络进行切换后再接入待授权软件,本发明实施例对安全值不高的待授权软件采用的接入网络的传输速度较高,使得在待授权软件接入后,在运行过程中发生的异常可以通过网络及时进行上传处理,使得待授权软件在运行过程中经过网络处理净化后的安全性更好,提高接入待授权软件后的运行容器和镜像容器的安全性,大大提高了验证的安全性,提高对待授权软件的运行过程中出现的安全问题处理得及时性,提高待授权软件在运行容器内的运行效率。
尤其,通过对运行容器和镜像容器可接入的网络的传输速度进行排序,在实际应用中若是网络传输速度较高,则对于待授权软件的危险因素则会进行处理,且处理的速度更快,通过杀毒或是其他方式提高待授权软件的安全性,待授权软件的安全值越低,则表示待授权软件内的危险因素更多,需要进行安全处理的时间就更多,因此本发明实施例根据安全值的大小,选择不同传输速度的网络进行处理,本发明实施例通过对网络的切换,使得运行容器在运行过程中接入待授权软件的安全性大大提高,保证运行容器和镜像容器运行的安全性。
尤其,通过对待授权软件内的运行指令信息中的是否包含风险关键字对应的字符串,若是每条运行指令信息中均包括风险关键字对应的字符串,则表示在待授权软件在执行每条运行指令信息都会给运行容器或镜像容器带来灾害,该待授权软件的安全性极低,在接入该授权软件时需要保证网络状态极好,以对接入后的状况进行及时处理,保证顺利接入待授权软件接入至运行容器。
尤其,通过待授权软件内的运行指令信息的实际数量与标准数量的关系确定对待授权软件的标准接入准备时间进行调整,若是待授权软件内的运行指令信息较多,多于标准数量,则延长待授权软件的标准接入准备时间,使得在待授权软件在接入时具备充足的准备时间,以在接入节点顺利接入到运行容器内,当待授权软件接入后,则完成对待授权软件的授权,成为运行容器或镜像容器的合法软件,保证待授权软件的顺利接入,且待授权软件内的运行指令信息数量的多少,则影响接入的准备时间,实现针对待授权软件的不同情况进行进准调节,保证各种不同量级的待授权软件均可接入至运行容器内,保证运行容器和镜像容器的顺利运行。
尤其,通过设置标准差值ΔN0,根据待授权软件中的运行指令信息的实际数量与标准数量的差值与标准差值ΔN0的关系,确定对标准接入准备时间的延长参数,使得对待授权软件的接入准备时间的确定更为精细化,实现对待授权软件的智能接入,提高待授权软件接入运行容器的接入效率。
尤其,通过在原有标准接入准备时间的基础上进行时间的延长,使得待授权软件的接入准备时间更长,符合待授权软件的实际需要,另外,采用不同的参数与标准接入准备时间的乘积作为实际延长的时间长度,使得延长后的接入准备时间更为精准,符合实际待授权软件的接入需要,进一步提高待授权软件接入运行容器或镜像容器的接入效率。
尤其,通过对第一参数k1和第二参数k2进行了具体地限定,且第一参数小于第二参数,通过对第一参数和第二参数根据待授权软件的运行指令信息的实际数量来限定,对于第一参数和第二参数的确定更为符合实际待授权软件的接入需求,有效提高待授权软件的接入效率。
尤其,通过在对标准接入准备时间进行缩短时,根据运行指令信息所处的数量区间,选择不同的缩短系数,使得对于待授权软件的接入准备时间更为充分,在接入准备时间范围内完成对待授权软件接入的风险控制,以及对接入后运行容器和镜像容易的工作性能和工作效率的有效评估,保证待授权软件在接入之后能够保证运行容器和镜像容器的高效运行,提高运行容器以及待授权软件运行的稳定性。
尤其,通过对第一数量区间、第二数量区间和第三数量区间进行有效的定义,使得运行指令信息所处的数量区间的确定更为精准,由于在进行运行指令信息的数量的判定时,是在待授权软件的运行指令信息的实际数量小于标准数量N0时,由于此时待授权软件内的运行指令信息的实际信息数量较少,因此需要对待授权软件的接入准备时间少,因此采用不同的实际信息的数量采用不同的缩短参数,大大提高了待授权软件接入的时间的利用效率,缩短准备时间,提高接入效率。
尤其,通过对运行容器和镜像容器所在的网络进行限定,在实际应用中,运行容器和镜像容器所在的网络可以是无线网络还可以是有限网络,无线网络的连接方式可以有多种,如无线路由连接,还可以采用其他的有线方式连接,使得本发明实施例的应用场景更为广泛,有效提高应用推广的范围。
附图说明
图1为本发明实施例提供的面向容器的可信软件授权验证方法的流程示意图。
具体实施方式
为了使本发明的目的和优点更加清楚明白,下面结合实施例对本发明作进一步描述;应当理解,此处所描述的具体实施例仅仅用于解释本发明,并不用于限定本发明。
下面参照附图来描述本发明的优选实施方式。本领域技术人员应当理解的是,这些实施方式仅仅用于解释本发明的技术原理,并非在限制本发明的保护范围。
需要说明的是,在本发明的描述中,术语“上”、“下”、“左”、“右”、“内”、“外”等指示的方向或位置关系的术语是基于附图所示的方向或位置关系,这仅仅是为了便于描述,而不是指示或暗示所述装置或元件必须具有特定的方位、以特定的方位构造和操作,因此不能理解为对本发明的限制。
此外,还需要说明的是,在本发明的描述中,除非另有明确的规定和限定,术语“安装”、“相连”、“连接”应做广义理解,例如,可以是固定连接,也可以是可拆卸连接,或一体地连接;可以是机械连接,也可以是电连接;可以是直接相连,也可以通过中间媒介间接相连,可以是两个元件内部的连通。对于本领域技术人员而言,可根据具体情况理解上述术语在本发明中的具体含义。
请参阅图1所示,本发明实施例提供的面向容器的可信软件授权验证方法包括:
步骤S100:设置镜像容器,所述镜像容器与运行容器的运行状态相同;
步骤S200:检测运行容器内的软件运行状态,确定所述软件在运行过程中需要接入待授权软件的接入时间,设置接入准备时间,所述接入准备时间设置在接入时间前;
步骤S300:设置即时标准运行安全值,确定所述待授权软件的运行安全值,在接入准备时间内,比较所述待授权软件的运行安全值与标准运行安全值的关系;
步骤S400:根据比较结果确定在接入时间节点处是否接入,若待授权软件的运行安全值≥标准运行安全值,则在接入时间节点处即时接入运行的容器;若待授权软件的运行安全值<标准运行安全值,则在接入准备时间内实时监测运行容器所在的若干网络的传输速度,并在所述运行容器内对其所在的网络的传输速度进行排序,形成传输速度序列表;
步骤S500:在接入时间节点处,确定运行容器当前所在的网络的传输速度,并将运行容器所在的网络切换至传输速度序列表中的首个网络内,在切换后的网络内接入待授权软件。
具体而言,本发明实施例通过对待授权软件的安全性进行评估,确定待授权软件的安全值,并根据控制单元内的预先设定的即时标准运行安全值,若符合该运行安全值,则即时接入到运行的网络内,否则需要对接入的网络进行切换后再接入待授权软件,本发明实施例对安全值不高的待授权软件采用的接入网络的传输速度较高,使得在待授权软件接入后,在运行过程中发生的异常可以通过网络及时进行上传处理,使得待授权软件在运行过程中经过网络处理净化后的安全性更好,提高接入待授权软件后的运行容器和镜像容器的安全性,大大提高了验证的安全性,提高对待授权软件的运行过程中出现的安全问题处理得及时性,提高待授权软件在运行容器内的运行效率。
具体而言,在运行容器需要进行网络切换时,运行容器和镜像容器所在的网络根据传输速度进行分类,分为第一层次的网络、第二层次的网络、第三层次的网络和第四层次的网络,所述运行容器和所述镜像容器在任意时刻,在第一层次的网络、第二层次的网络、第三层次的网络或第四层次的网络中运行,且第一层次的网络的传输速度均大于第二层次的网络的传输速度均大于第三层次的网络的传输速度均大于第四层侧的网络的传输速度;
当需要进行网络切换时,若当前时刻的运行容器和所述镜像容器处于第四层级的网络内,则将其切换至第三层级的网络内;
若当前时刻的运行容器和所述镜像容器处于第三层级的网络内,则将其切换至第二层级的网络内;
若当前时刻的运行容器和所述镜像容器处于第二层级的网络内,则将其切换至第一层级的网络内;
若当前时刻的运行容器和所述镜像容器处于第一层级的网络内但非首个,则将其切换至第一层级的网络列表中的首个网络。
具体而言,本发明实施例通过对运行容器和镜像容器可接入的网络的传输速度进行排序,在实际应用中若是网络传输速度较高,则对于待授权软件的危险因素则会进行处理,且处理的速度更快,通过杀毒或是其他方式提高待授权软件的安全性,待授权软件的安全值越低,则表示待授权软件内的危险因素更多,需要进行安全处理的时间就更多,因此本发明实施例根据安全值的大小,选择不同传输速度的网络进行处理,本发明实施例通过对网络的切换,使得运行容器在运行过程中接入待授权软件的安全性大大提高,保证运行容器和镜像容器运行的安全性。
具体而言,所述确定所述待授权软件的运行安全值包括:
预先设置有若干风险关键词,
获取待授权软件中的运行指令信息,所述待授权软件包含若干条运行指令信息,所述运行指令信息的数量为N;
逐一比较运行指令信息中是否包含所述风险关键词对应的字符串,确定在N条运行指令信息中包含风险关键词对应的字符串的占比;
若在N条运行指令信息中包含风险关键词对应的字符串的占比≥0.9,则表示该待授权软件不安全;否则表示该授权软件安全。
具体而言,本发明实施例通过对待授权软件内的运行指令信息中的是否包含风险关键字对应的字符串,若是每条运行指令信息中均包括风险关键字对应的字符串,则表示在待授权软件在执行每条运行指令信息都会给运行容器或镜像容器带来灾害,该待授权软件的安全性极低,在接入该授权软件时需要保证网络状态极好,以对接入后的状况进行及时处理,保证顺利接入待授权软件接入至运行容器。
具体而言,预先设置有标准接入准备时间T0和标准数量N0,根据待授权软件的内的运行指令信息的实际数量调整标准接入准备时间,以在接入准备时间内完成待授权软件的接入准备;
若运行指令信息的实际数量≥标准数量,则延长待授权软件的标准接入准备时间;
若运行指令信息的实际数量<标准数量,则缩短待授权软件的标准接入准备时间。
具体而言,本发明实施例通过待授权软件内的运行指令信息的实际数量与标准数量的关系确定对待授权软件的标准接入准备时间进行调整,若是待授权软件内的运行指令信息较多,多于标准数量,则延长待授权软件的标准接入准备时间,使得在待授权软件在接入时具备充足的准备时间,以在接入节点顺利接入到运行容器内,当待授权软件接入后,则完成对待授权软件的授权,成为运行容器或镜像容器的合法软件,保证待授权软件的顺利接入,且待授权软件内的运行指令信息数量的多少,则影响接入的准备时间,实现针对待授权软件的不同情况进行进准调节,保证各种不同量级的待授权软件均可接入至运行容器内,保证运行容器和镜像容器的顺利运行。
具体而言,当需要延长待授权软件的标准接入准备时间时,根据运行指令信息与标准数量差值的大小选择标准接入准备时间的延长参数;
预先设置有第一参数k1和第二参数k2,且k1<k2;
预先设置有标准差值ΔN0,若运行指令信息的实际数量与标准数量的差值≤标准差值ΔN0,则采用第一参数k1对标准接入准备时间来延长;
若运行指令信息的实际数量与标准数量的差值>标准差值ΔN0,则采用第二参数k2对标准接入准备时间来延长。
具体而言,本发明实施例通过设置标准差值ΔN0,根据待授权软件中的运行指令信息的实际数量与标准数量的差值与标准差值ΔN0的关系,确定对标准接入准备时间的延长参数,使得对待授权软件的接入准备时间的确定更为精细化,实现对待授权软件的智能接入,提高待授权软件接入运行容器的接入效率。
具体而言,采用第一参数k1对标准接入准备时间来延长,延长后的接入准备时间为T1′= T0×(1+k1);
采用第二参数k2对标准接入准备时间来延长,延长后的接入准备时间为T2′= T0×(1+k2)。
具体而言,本发明实施例通过在原有标准接入准备时间的基础上进行时间的延长,使得待授权软件的接入准备时间更长,符合待授权软件的实际需要,另外,采用不同的参数与标准接入准备时间的乘积作为实际延长的时间长度,使得延长后的接入准备时间更为精准,符合实际待授权软件的接入需要,进一步提高待授权软件接入运行容器或镜像容器的接入效率。
具体而言,所述第一参数k1的计算方式为:
k1=|N-N0|/N;
所述第二参数k2的计算方式为:
K2=|N-N0|/N0。
具体而言,本发明实施例通过对第一参数k1和第二参数k2进行了具体地限定,且第一参数小于第二参数,通过对第一参数和第二参数根据待授权软件的运行指令信息的实际数量来限定,对于第一参数和第二参数的确定更为符合实际待授权软件的接入需求,有效提高待授权软件的接入效率。
具体而言,当缩短待授权软件的标准接入准备时间时,根据运行指令信息的实际数量所处的数量区间选择缩短系数;
所述指令信息的数量设置有第一数量区间、第二数量区间和第三数量区间,所述第一数量区间大于第二数量区间大于第三数量区间;
若运行指令信息的实际数量属于第一数量区间则选择第一参数p1作为缩短系数;
若运行指令信息的实际数量属于第二数量区间则选择第二参数p2作为缩短系数;
若运行指令信息的实际数量属于第三数量区间则选择第三参数p3作为缩短系数。
具体而言,本发明实施例通过在对标准接入准备时间进行缩短时,根据运行指令信息所处的数量区间,选择不同的缩短系数,使得对于待授权软件的接入准备时间更为充分,在接入准备时间范围内完成对待授权软件接入的风险控制,以及对接入后运行容器和镜像容易的工作性能和工作效率的有效评估,保证待授权软件在接入之后能够保证运行容器和镜像容器的高效运行,提高运行容器以及待授权软件运行的稳定性。
具体而言,所述第一数量区间采用的定义方式为:0.9×N0≤所述第一数量区间<N0;
所述第二数量区间采用的定义方式为:0.5×N0≤所述第二数量区间<0.9×N0;
所述第三数量区间采用的定义方式为:0<所述第三数量区间<0.5×N0。
具体而言,本发明实施例通过对第一数量区间、第二数量区间和第三数量区间进行有效的定义,使得运行指令信息所处的数量区间的确定更为精准,由于在进行运行指令信息的数量的判定时,是在待授权软件的运行指令信息的实际数量小于标准数量N0时,由于此时待授权软件内的运行指令信息的实际信息数量较少,因此需要对待授权软件的接入准备时间少,因此采用不同的实际信息的数量采用不同的缩短参数,大大提高了待授权软件接入的时间的利用效率,缩短准备时间,提高接入效率。
具体而言,所述运行容器和所述镜像容器所在的网络为4G网络、5G网络或无线网络。
具体而言,本发明实施例通过对运行容器和镜像容器所在的网络进行限定,在实际应用中,运行容器和镜像容器所在的网络可以是无线网络还可以是有限网络,无线网络的连接方式可以有多种,如无线路由连接,还可以采用其他的有线方式连接,使得本发明实施例的应用场景更为广泛,有效提高应用推广的范围。
至此,已经结合附图所示的优选实施方式描述了本发明的技术方案,但是,本领域技术人员容易理解的是,本发明的保护范围显然不局限于这些具体实施方式。在不偏离本发明的原理的前提下,本领域技术人员可以对相关技术特征做出等同的更改或替换,这些更改或替换之后的技术方案都将落入本发明的保护范围之内。
以上所述仅为本发明的优选实施例,并不用于限制本发明;对于本领域的技术人员来说,本发明可以有各种更改和变化。 凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (8)
1.一种面向容器的可信软件授权验证方法,其特征在于,包括:
设置镜像容器,所述镜像容器与运行容器的运行状态相同;
检测运行容器内的软件运行状态,确定所述软件在运行过程中需要接入待授权软件的接入时间,设置接入准备时间,所述接入准备时间设置在接入时间前;
设置即时标准运行安全值,确定所述待授权软件的运行安全值,在接入准备时间内,比较所述待授权软件的运行安全值与标准运行安全值的关系;
根据比较结果确定在接入时间节点处是否接入,若待授权软件的运行安全值≥标准运行安全值,则在接入时间节点处即时接入运行的容器;若待授权软件的运行安全值<标准运行安全值,则在接入准备时间内实时监测运行容器所在的若干网络的传输速度,并在所述运行容器内对其所在的网络的传输速度从高到低进行排序,形成传输速度序列表;
在接入时间节点处,确定运行容器当前所在的网络的传输速度,并将运行容器所在的网络切换至传输速度序列表中的首个网络内,在切换后的网络内接入待授权软件。
2.根据权利要求1所述的面向容器的可信软件授权验证方法,其特征在于,
在运行容器需要进行网络切换时,运行容器和镜像容器所在的网络根据传输速度进行分类,分为第一层级的网络、第二层级的网络、第三层级的网络和第四层级的网络,所述运行容器和所述镜像容器在任意时刻,在第一层级的网络、第二层级的网络、第三层级的网络或第四层级的网络中运行,且第一层级的网络的传输速度均大于第二层级的网络的传输速度均大于第三层级的网络的传输速度均大于第四层侧的网络的传输速度;
当需要进行网络切换时,若当前时刻的运行容器和所述镜像容器处于第四层级的网络内,则将其切换至第三层级的网络内;
若当前时刻的运行容器和所述镜像容器处于第三层级的网络内,则将其切换至第二层级的网络内;
若当前时刻的运行容器和所述镜像容器处于第二层级的网络内,则将其切换至第一层级的网络内;
若当前时刻的运行容器和所述镜像容器处于第一层级的网络内但非首个,则将其切换至第一层级的网络列表中的首个网络。
3.根据权利要求2所述的面向容器的可信软件授权验证方法,其特征在于,
所述确定所述待授权软件的运行安全值包括:
预先设置有若干风险关键词,
获取待授权软件中的运行指令信息,所述待授权软件包含若干条运行指令信息,所述运行指令信息的数量为N;
逐一比较运行指令信息中是否包含所述风险关键词对应的字符串,确定在N条运行指令信息中包含风险关键词对应的字符串的占比;
若在N条运行指令信息中包含风险关键词对应的字符串的占比≥0.9,则表示该待授权软件不安全;否则表示该待授权软件安全。
4.根据权利要求3所述的面向容器的可信软件授权验证方法,其特征在于,
预先设置有标准接入准备时间T0和标准数量N0,根据待授权软件的内的运行指令信息的实际数量调整标准接入准备时间,以在接入准备时间内完成待授权软件的接入准备;
若运行指令信息的实际数量≥标准数量,则延长待授权软件的标准接入准备时间;
若运行指令信息的实际数量<标准数量,则缩短待授权软件的标准接入准备时间。
5.根据权利要求2所述的面向容器的可信软件授权验证方法,其特征在于,
当需要延长待授权软件的标准接入准备时间时,根据运行指令信息与标准数量差值的大小选择标准接入准备时间的延长参数;
预先设置有第一参数k1和第二参数k2,且k1<k2;
预先设置有标准差值ΔN0,若运行指令信息的实际数量与标准数量差值≤标准差值ΔN0,则采用第一参数k1对标准接入准备时间来延长;
若运行指令信息的实际数量与标准数量差值>标准差值ΔN0,则采用第二参数k2对标准接入准备时间来延长;
所述第一参数k1的计算方式为:
k1=|N-N0|/N;
所述第二参数k2的计算方式为:
k2=|N-N0|/N0。
6.根据权利要求3所述的面向容器的可信软件授权验证方法,其特征在于,
采用第一参数k1对标准接入准备时间来延长,延长后的接入准备时间为T1′= T0×(1+k1);
采用第二参数k2对标准接入准备时间来延长,延长后的接入准备时间为T2′= T0×(1+k2)。
7.根据权利要求5所述的面向容器的可信软件授权验证方法,其特征在于,
当缩短待授权软件的标准接入准备时间时,根据运行指令信息的实际数量所处的数量区间选择缩短系数;
所述指令信息的数量设置有第一数量区间、第二数量区间和第三数量区间,所述第一数量区间大于第二数量区间大于第三数量区间;
若运行指令信息的实际数量属于第一数量区间则选择第一调整参数p1作为缩短系数;
若运行指令信息的实际数量属于第二数量区间则选择第二调整参数p2作为缩短系数;
若运行指令信息的实际数量属于第三数量区间则选择第三调整参数p3作为缩短系数;
所述第一数量区间采用的定义方式为:0.9×N0≤所述第一数量区间<N0;
所述第二数量区间采用的定义方式为:0.5×N0≤所述第二数量区间<0.9×N0;
所述第三数量区间采用的定义方式为:0<所述第三数量区间<0.5×N0。
8.根据权利要求7所述的面向容器的可信软件授权验证方法,其特征在于,所述运行容器和所述镜像容器所在的网络为4G网络、5G网络或无线网络。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111513542.5A CN113901435B (zh) | 2021-12-13 | 2021-12-13 | 面向容器的可信软件授权验证方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111513542.5A CN113901435B (zh) | 2021-12-13 | 2021-12-13 | 面向容器的可信软件授权验证方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN113901435A CN113901435A (zh) | 2022-01-07 |
CN113901435B true CN113901435B (zh) | 2022-03-01 |
Family
ID=79026146
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202111513542.5A Active CN113901435B (zh) | 2021-12-13 | 2021-12-13 | 面向容器的可信软件授权验证方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN113901435B (zh) |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110308966A (zh) * | 2019-06-05 | 2019-10-08 | 广东电网有限责任公司电力调度控制中心 | 一种基于容器技术的静态安全分析方法 |
CN113132318A (zh) * | 2019-12-31 | 2021-07-16 | 中国电力科学研究院有限公司 | 面向配电自动化系统主站信息安全的主动防御方法及系统 |
Family Cites Families (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US10885200B2 (en) * | 2018-11-15 | 2021-01-05 | International Business Machines Corporation | Detecting security risks related to a software component |
CN110069921B (zh) * | 2019-04-12 | 2021-01-01 | 中国科学院信息工程研究所 | 一种面向容器平台的可信软件授权验证系统及方法 |
-
2021
- 2021-12-13 CN CN202111513542.5A patent/CN113901435B/zh active Active
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110308966A (zh) * | 2019-06-05 | 2019-10-08 | 广东电网有限责任公司电力调度控制中心 | 一种基于容器技术的静态安全分析方法 |
CN113132318A (zh) * | 2019-12-31 | 2021-07-16 | 中国电力科学研究院有限公司 | 面向配电自动化系统主站信息安全的主动防御方法及系统 |
Non-Patent Citations (1)
Title |
---|
基于行为声明的可信性测试方法与可信度计算研究;于学军等;《计算机系统应用》;20181114(第11期);第17-26页 * |
Also Published As
Publication number | Publication date |
---|---|
CN113901435A (zh) | 2022-01-07 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
EP2515252A2 (en) | System and method for reducing security risk in computer network | |
EP3308320B1 (en) | System, apparatus and method for stateful application of control data in a device | |
EP3515035B1 (en) | Computer system and method for controlling access to digital data of a device | |
CN111536067B (zh) | 一种风扇转速控制方法、装置、电子设备和存储介质 | |
JP5979132B2 (ja) | 情報監視装置及び情報監視方法 | |
CN113901435B (zh) | 面向容器的可信软件授权验证方法 | |
US20090187969A1 (en) | System and method for synchronizing security settings of control systems | |
CN105764094A (zh) | 混合负载均衡方法及装置 | |
RU2747514C2 (ru) | Система и способ категоризации приложения на вычислительном устройстве | |
CN107528861A (zh) | 一种确定ip用户访问权限的方法及装置 | |
Zhang et al. | Application-oriented remote verification trust model in cloud computing | |
CN115314257A (zh) | 文件系统的鉴权方法、装置、电子设备及计算机存储介质 | |
Zhang et al. | Atomic predicates-based data plane properties verification in software defined networking using spark | |
CN113507463A (zh) | 一种零信任网络的构建方法 | |
CN111083118B (zh) | 一种电力系统云服务的网络安全防护系统、装置及方法 | |
WO2023144905A1 (ja) | 情報処理装置、情報処理方法及び非一時的なコンピュータ可読媒体 | |
CN112637847B (zh) | 一种面向感知层的物联网可信连接方法和系统 | |
CN116132198B (zh) | 基于轻量化上下文语义的物联网隐私行为感知方法及装置 | |
CN111953637A (zh) | 一种应用服务方法与装置 | |
WO2023181219A1 (ja) | 分析装置、分析方法及び非一時的なコンピュータ可読媒体 | |
Qi et al. | A combined prediction method of industrial internet security situation based on time series | |
KR101943900B1 (ko) | 하나 이상의 발전사를 관리하며, 발전사의 이상 여부를 판단하는 발전사 통합 관리 시스템 및 그 방법 | |
RU2739833C1 (ru) | Система и способ снижения нагрузки на сервис обнаружения вредоносных приложений | |
CN111582673B (zh) | 一种配电自动化系统主站的攻击风险评估方法及装置 | |
JP2023172405A (ja) | リスクベース認証システム及びリスクベース認証方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |