JP7082673B2 - セキュリティ保護方法および装置 - Google Patents

セキュリティ保護方法および装置 Download PDF

Info

Publication number
JP7082673B2
JP7082673B2 JP2020542841A JP2020542841A JP7082673B2 JP 7082673 B2 JP7082673 B2 JP 7082673B2 JP 2020542841 A JP2020542841 A JP 2020542841A JP 2020542841 A JP2020542841 A JP 2020542841A JP 7082673 B2 JP7082673 B2 JP 7082673B2
Authority
JP
Japan
Prior art keywords
software version
software
version
network element
pool
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2020542841A
Other languages
English (en)
Other versions
JP2021513706A (ja
Inventor
ウー,チアン
ウー,チュンミン
マー,スーアン
ジャオ,ホンシュン
チン,イーフェイ
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
ZTE Corp
Original Assignee
ZTE Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by ZTE Corp filed Critical ZTE Corp
Publication of JP2021513706A publication Critical patent/JP2021513706A/ja
Application granted granted Critical
Publication of JP7082673B2 publication Critical patent/JP7082673B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • G06F21/577Assessing vulnerabilities and evaluating computer system security
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F8/00Arrangements for software engineering
    • G06F8/60Software deployment
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/10Protecting distributed programs or content, e.g. vending or licensing of copyrighted material ; Digital rights management [DRM]
    • G06F21/12Protecting executable software
    • G06F21/121Restricting unauthorised execution of programs
    • G06F21/125Restricting unauthorised execution of programs by manipulating the program code, e.g. source code, compiled code, interpreted code, machine code
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • G06F21/572Secure firmware programming, e.g. of basic input output system [BIOS]
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F8/00Arrangements for software engineering
    • G06F8/70Software maintenance or management
    • G06F8/71Version control; Configuration management
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F8/00Arrangements for software engineering
    • G06F8/70Software maintenance or management
    • G06F8/76Adapting program code to run in a different environment; Porting
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/455Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
    • G06F9/45533Hypervisors; Virtual machine monitors
    • G06F9/45558Hypervisor-specific management and integration aspects
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/455Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
    • G06F9/45533Hypervisors; Virtual machine monitors
    • G06F9/45558Hypervisor-specific management and integration aspects
    • G06F2009/45587Isolation or security of virtual machine instances
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/03Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
    • G06F2221/033Test or assess software

Description

本発明は、コンピューター通信技術分野に関し、特に、セキュリティ保護方法および装置に関する。
通信分野や仮想化クラウドコンピューティング分野において、各ネットワークエレメントは、ソフトウェアバージョン+ハードウェアプラットフォームからなる。ここで、ハードウェアプラットフォームは、主に、専用のハードウェアプラットフォームと汎用のサーバーハードウェアプラットフォームとを含む。クラウドサービスシステムは、ソフトウェアとハードウェアから構成される場合が多く、未知のバグとバックドアの不確実性脅威を回避できないだけではなく、クラウド環境でのハードウェアおよびソフトウェアコンポーネントの均質化によって、同じバグおよびバックドアによる被害がより広い範囲に及ぼしてしまう。
既存技術において、クラウドサービスシステムの同機能エンティティの場合、安定的な作動中はそのソフトウェアバージョンが同じものである。ソフトウェアバージョンの交換は、通常、機能の拡張、性能の拡張を考慮して行うか、または、システム安定性要素に基づいてトリガーされる。
ネットワーク侵入技術の発展に伴って、ソフトウェアバージョンの交換が常にネットワークの攻撃行為より遅くなってしまうので、クラウドサービスシステムのアクティブ防御能力を強化するために、新しいソフトウェアバージョン管理方法が必要である。
本開示が解決しようとする課題は、多様性コンパイルによって生成されたソフトウェアバージョンを異種機能同等物として、ネットワークエレメントのソフトウェアバージョンを動的に配置し、スケジューリングし管理して、システム内で攻撃特徴に依存しないアクティブ保護を実現することのできるセキュリティ保護方法および装置を提供することである。
本開示の実施例によると、
多様性コンパイルに基づいてソフトウェアバージョンを生成して、前記ソフトウェアバージョンを異種機能同等物としたソフトウェアバージョンプールを構築するステップと、
前記ソフトウェアバージョンプールに基づいて、ネットワークエレメントにソフトウェアバージョンを動的に配置するステップと、を含むセキュリティ保護方法を提供する。
本開示の実施例によると、
多様性コンパイルに基づいてソフトウェアバージョンを生成して、前記ソフトウェアバージョンを異種機能同等物としたソフトウェアバージョンプールを構築するように構成されるソフトウェアバージョンプール構築手段と、
前記ソフトウェアバージョンプールに基づいて、ネットワークエレメントにソフトウェアバージョンを動的に配置するように構成されるソフトウェアバージョン配置手段と、を含むセキュリティ保護装置を提供する。
本開示の実施例によると、
メモリと、プロセッサと、前記メモリに記憶されて前記プロセッサにて実行可能なセキュリティ保護プログラムと、を含み、前記セキュリティ保護プログラムが前記プロセッサによって実行されると上記セキュリティ保護方法のステップを実現するセキュリティ保護装置を提供する。
本開示の実施例によると、プロセッサによって実行されると上記セキュリティ保護方法のステップを実現するセキュリティ保護プログラムが記憶されたコンピューター読み取り可能な記憶媒体を提供する。
本開示によるセキュリティ保護方法および装置によると、既存技術に比べ、多様性コンパイルによって生成されたソフトウェアバージョンを異種機能同等物として、ネットワークエレメントのソフトウェアバージョンを動的に配置し、スケジューリングし管理して、システム内で攻撃特徴に依存しないアクティブ保護を実現することができる。
本開示の実施例1のセキュリティ保護方法を示すフローチャートである。 本開示の実施例2のセキュリティ保護装置を示す図である。 本開示の実例1の通信システムの構成を示す図である。 本開示の実例2における仮想化クラウドサービスシステムの構成を示す図である。 本開示の実例2における異種機能同等物の柔軟な伸縮スケジューリング装置を示す図である。 実例2における柔軟な容量拡張を行う場合のセキュリティ保護方法を示すフローチャートである。
以下、本開示の目的、態様、およびメリットがさらに明確になるように、図面を結合して本開示の実施例を詳しく説明する。なお、矛盾しない限り、本願の実施例および実施例における特徴を互いに任意に組み合わせることができる。
異種冗長のミミックセキュリティ防御原理(mimic security defense principle)に応じて、単一空間での未知のセキュリティ脅威を多次元異種空間での結合確率問題に変換することができる。すなわち、単一空間での未知のセキュリティ脅威(未知のバグ、未知のバックドア等)を未知で不確実な特徴として表すことができる。単一空間での未知のセキュリティ脅威を多次元の異種空間に置くと、過半数判決または一貫性判決によって、複数の独立した未知のイベントをそれらの結合確率問題に変換する。異種冗長のミミックセキュリティ防御原理において、ランダム性、多様性、動的特徴を有する複数の実行体が同一の攻撃通路において異なる結果を示し、複数の結果の一括投票によってシステムの出力が決定されることが提示された。よって、システムのセキュリティ性は単一の個体ではなく、複数の異なる異種体によって共同で決定される。
コンパイラは、「一種の言語(通常は、高水準言語)」を「他の一種の言語(通常は低水準言語)」に翻訳するプログラムである。コンパイラは、各層の実行体の主な生成工具として、多様性実行体を生成する有効な工具である。多様性コンパイル技術によると、機能の異なるソフトウェア多層プロトコルスタック特徴について、多様化されたコード生成戦略、データ配列形式を実現することができる。実行時の分析技術、命令や制御フロー混合技術、コード最適化技術、実行体異種度評価技術等を用いて、アドレス空間、命名空間、命令システム、カーネルデータ、実行可能なファイル構造等の異なる階層、異なる異種度の実行体を効率的に構築する。
クラウド管理、制御、サービス等の重要な部品、並びに、基礎ソフトウェアおよびオペレーティング・システム(OS)における未知のバグやバックドアによる不確実性脅威について、本開示の実施例は、ミミックセキュリティ防御構成の内生性セキュリティ技術に基づいて、多様性コンパイルによる異種機能同等物の生成を開示し、これに基づいて、情報サービスとセキュリティ保護とを一体化し、ネットワークエレメントのソフトウェアバージョンに対して、セキュリティ戦略に基づく動的配置、スケジューリング、および管理を行うことで、時間や空間次元でのミミックの変換を実現し、クラウドアプリケーションやインフラが攻撃された場合にも、継続して機能することができ、攻撃特徴に依存しないアクティブ保護を実現することができる。
実施例1
図1に示すように、本開示の実施例は、セキュリティ保護方法を提供し、以下のステップS110、S120を含む。
ステップS110において、多様性コンパイルに基づいてソフトウェアバージョンを生成して、前記ソフトウェアバージョンを異種機能同等物としたソフトウェアバージョンプールを構築する。
ステップS120において、前記ソフトウェアバージョンプールに基づいて、ネットワークエレメントにソフトウェアバージョンを動的に配置する。
本実施例において、前記異種機能同等物とは、機能は同じであるものの、実現される構造が異なる機能部品集合を意味する。機能を実現する思想、方法、工具、条件等の差異によって、機能を実現する構成、アルゴリズムの選択または方法の創造性、および、機能要求を満たす構造の設計が、具体的な実現方法で差異を示して、同じ機能によって通常複種類の構造が実現されることになり、グローバルシンボル(グローバル変数、関数等)のレイアウト差異、重要なデータ構造のレイアウト差異、プログラムのアドレス空間(コードセグメント、データセグメント、BSS(Block Started by Symbol:シンボルで開始するブロック))の様々な変化等の面を含む。
ここで、異種機能同等物としては、同種コード(homology code)で多様性コンパイルに基づいて生成された複数のソフトウェアバージョン、および/または、異種コード(heterologous code)で多様性コンパイルに基づいて生成された複数のソフトウェアバージョンを含むことができる。
ここで、多様性コンパイルは、既存のオペレーティング・システムを改善することで、セキュリティ特性(動的、ランダム性、多様性)を導入して、攻撃中に依存するシステム規則を変更し、コンパイラによってランダムで多様性の特徴を有する多変体を生成して、可能性のある攻撃通路にもランダムで多様性の特徴を具備させることである。機能が異なるソフトウェア多層プロトコルスタック特徴について、多様化されたコード生成戦略、データ配列形式を実現する。実行時の分析技術、命令や制御フロー混合技術、コード最適化技術、実行体異種度評価技術等を用いて、アドレス空間、命名空間、命令システム、カーネルデータ、実行可能なファイル構造等の異なる階層、異なる異種度のソフトウェア実行体を効率的に構築する。攻撃手段が環境に依存するので、同種または異種コードは、多様性コンパイルされると、構造が異なることになるので、バグやトロイの木馬等の攻撃手段に対してある程度のセキュリティゲインを実現することができる。
一実施形態において、前記ソフトウェアバージョンプールにおけるソフトウェアバージョンは、ソフトウェア機能バージョンの管理属性と異種機能同等物バージョンの管理属性とを含む。
前記ソフトウェア機能バージョンの管理属性は、ソフトウェアバージョン同士の論理機能の差異を標記するためのソフトウェア機能バージョン番号を含む。
前記異種機能同等物バージョンの管理属性は、ソフトウェアバージョンの多様性コンパイルの結果の差異を標記するための多様性コンパイルバージョン番号を含み、異種機能同等物バージョンの管理属性の差異を有するソフトウェアバージョンは、異なるバージョン番号に標記される。
一実施形態において、前記方法は、さらに、
ソフトウェアバージョンマッピングテーブルを確立するステップをさらに含み、前記ソフトウェアバージョンマッピングテーブルには、異種機能同等物としての多様性コンパイルバージョン番号とネットワークエレメント識別子との対応関係が記録されている。
ここで、ネットワークエレメント識別子は、ネットワークエレメントのIPアドレス、ネットワークエレメントのホスト識別子、ネットワークエレメントの論理識別子のうちの少なくとも1つを含む。
一実施形態において、前記ソフトウェアバージョンプールに基づいて、ネットワークエレメントにソフトウェアバージョンを動的に配置するステップは、
ネットワークエレメントを最初に生成する際、前記ソフトウェアバージョンプールからランダムにまたはセキュリティ戦略に応じて1つのソフトウェアバージョンを選択してネットワークエレメントの物理リソースに配置するステップ、および/または、
ネットワークエレメントが柔軟な容量拡張を行う際、前記ソフトウェアバージョンプールからランダムにまたはセキュリティ戦略に応じて、1つのソフトウェアバージョンを選択してネットワークエレメントの容量拡張後の物理リソースに配置するステップ、および/または、
システムの実行期間において、セキュリティ戦略に応じて、業務を第1ネットワークエレメントから第2ネットワークエレメントへ遷移し、前記第1ネットワークエレメントに前記ソフトウェアバージョンプールにおける第1ソフトウェアバージョンを配置し、前記第2ネットワークエレメントに前記ソフトウェアバージョンプールにおける第2ソフトウェアバージョンを配置するステップであって、前記第1ソフトウェアバージョンと前記第2ソフトウェアバージョンは、同一のソフトウェア機能および異なるコンパイルバージョンに対応するステップ、および/または、
システムの実行期間において、定時的にまたはセキュリティ戦略に応じて、ネットワークエレメント上のソフトウェアバージョンを交換するステップであって、交換後のソフトウェアバージョンは前記ソフトウェアバージョンプールからランダムにまたはセキュリティ戦略に応じて選択され、前記交換前のソフトウェアバージョンと前記交換後のソフトウェアバージョンは同一のソフトウェア機能および異なるコンパイルバージョンに対応するステップ
を含む。
多様性コンパイル技術に基づいて生成されたソフトウェアバージョン(V1、V2、V3、…Vn)を異種機能同等物として、ソフトウェアバージョンプールを構成する。ランダムな多様性コンパイル後のソフトウェアバージョンは、その攻撃通路もランダムで多様な特徴を有することになる。例えば、異なるネットワークエレメントに異なるコンパイルバージョンのソフトウェアバージョンを展開する場合、セキュリティ戦略に基づく動的配置、スケジューリング、および管理を行うことで、時間や空間次元でのミミックの変換を実現し、単一の空間での未知のセキュリティ問題、バックドアまたはバグによる確実的な攻撃結果を多次元空間での確率問題に変換して、攻撃される確率をさらに低下させる。
前記ソフトウェアバージョンプールにおけるソフトウェアバージョンは、機能、性能、安定性等の特徴に基づく基本管理属性を有するだけではなく、異種機能同等物バージョンの管理属性も追加された。異種機能同等物バージョンの管理属性の差異があるソフトウェアバージョンの場合、異なるバージョン番号に標記される。ソフトウェアバージョンにソフトウェア機能バージョン番号および多様性コンパイルバージョン番号を割り当て、前記ソフトウェア機能バージョン番号はソフトウェアバージョン同士の論理機能の差異を標記し、前記多様性コンパイルバージョン番号はソフトウェアバージョン多様性コンパイルの結果の差異を標記する。同一のソフトウェア機能バージョン番号は、1つまたは複数の多様性コンパイルバージョン番号に対応することができ、同一の多様性コンパイルバージョン番号は、1つのソフトウェア機能バージョン番号に唯一に対応する。
ソフトウェアバージョン管理装置は、ソフトウェアバージョンプールを集中管理し、ソフトウェアバージョンマッピングテーブルを保守する。前記ソフトウェアバージョンマッピングテーブルには、異種機能同等物としての各ソフトウェアバージョンのソフトウェアバージョン番号とネットワークエレメント識別子との間の対応関係が記録されている。ここで、ネットワークエレメント識別子は、ネットワークエレメントのIPアドレス、ネットワークエレメントのホスト識別子、ネットワークエレメントの論理識別子等のうちの少なくとも1つを含む。
システムが初期化される時、ソフトウェアバージョン管理装置に必要なソフトウェアバージョンを予めインストールし、ソフトウェアバージョンにソフトウェア機能バージョン番号Fmと多様性コンパイルバージョン番号Vmとを割り当てる。業務プロセスにおいて、業務ネットワークエレメントがソフトウェアバージョン管理装置へバージョン配置要求を提出し、ソフトウェアバージョン管理装置がセキュリティ戦略に応じて当該業務ネットワークエレメントに多様性コンパイルバージョン番号を割り当てる。バージョンのインストールに成功した後、ソフトウェアバージョン管理装置は多様性コンパイルバージョン番号とネットワークエレメント識別子との対応関係を記録し、使用状態を使用済と標記する。以下の表1に示すように、ソフトウェアバージョン管理装置がソフトウェア機能バージョン番号と、多様性コンパイルバージョン番号と、ネットワークエレメント識別子との間の対応関係を記録し、ネットワークエレメントでのソフトウェアバージョンの使用状態を記録する。例えば、ネットワークエレメントでソフトウェアバージョンのインストールに成功すると、使用状態が「Y」であり、例えば、ネットワークエレメントでソフトウェアバージョンがインストールされていないか、または、インストールに失敗すると、使用状態は「N」である。
Figure 0007082673000001
セキュリティ戦略に応じて、ソフトウェアバージョンを動的に配置し、スケジューリングし管理して、時間や空間次元でのミミックの変換を実現することができる。一方、仮想化クラウドサービスシステムにおいて、セキュリティ戦略に応じて、同一の仮想ネットワーク機能(Virtualized Network Function、VNFと略称)を、異なる仮想マシンで異なる多様性コンパイルバージョンを実行することで実現することが可能である。
業務(service)を遷移することで、業務プロセスを異なる多様性コンパイルバージョンにて実行させて、空間次元のミミック変換を実現する。例えば、仮想プライベートネットワーク(Virtual Private Network、VPNと略称)は業務ストリームService1に接続し、業務処理は、多様性コンパイルバージョンVmにより最初に行われる。仮想化ネットワーク機能管理装置(Virtualised Network Function Manager、VNFMと略称)は、セキュリティ戦略に応じて、VPNに接続された業務ストリームService1を、他の多様性コンパイルバージョンVjに遷移して業務処理を実行することができる。
多様性コンパイルバージョンVmとVjに差異があるので、バックドアとバグとの攻撃通路も一致せず、バックドアおよびバグが依存する実行条件が変化し、その攻撃効果も異なり、空間次元でのミミックの変換およびアクティブ遷移を実現することができる。一方、仮想化クラウドサービスシステムにおいて、セキュリティ戦略に応じて、VNFMは、VNFに対して定時的にソフトウェアバージョンの交換プロセスを開始することができる。当該ソフトウェアバージョンの配置は、ソフトウェアバージョン管理装置と具体的なネットワークエレメントによって完了する。
同一のVNFについて、時間次元で、機能は同様であるものの、異なる時間区間で異なる多様性コンパイルバージョンを実行するので、バックドアとバグとの攻撃通路も一致せず、バックドアとバグが依存する実行条件が変化し、その攻撃効果も異なり、時間次元でのミミックの変換とアクティブ遷移を実現することができる。
実施例2
図2に示すように、本開示の実施例においてセキュリティ保護装置を提供し、
多様性コンパイルに基づいてソフトウェアバージョンを生成して、前記ソフトウェアバージョンを異種機能同等物としたソフトウェアバージョンプールを構築するためのソフトウェアバージョンプール構築手段201と、
前記ソフトウェアバージョンプールに基づいて、ネットワークエレメントにソフトウェアバージョンを動的に配置するためのソフトウェアバージョン配置手段202と、を含む。
一実施形態において、前記ソフトウェアバージョンプールにおけるソフトウェアバージョンは、ソフトウェア機能バージョン属性と多様性コンパイルバージョン属性とを含む。ここで、前記ソフトウェア機能バージョン属性はソフトウェアバージョン同士の論理機能の差異を標記し、前記多様性コンパイルバージョン属性は多様性コンパイルの結果の差異を標記する。
本実施例において、異種機能同等物としては、同種コードで多様性コンパイルに基づいて生成された複数のソフトウェアバージョン、および/または、異種コードで多様性コンパイルに基づいて生成された複数のソフトウェアバージョンを含むことができる。
一実施形態において、ソフトウェアバージョンプール構築手段は、さらに、ソフトウェアバージョンマッピングテーブルを確立し、前記ソフトウェアバージョンマッピングテーブルには、異種機能同等物としての各ソフトウェアバージョンのバージョン属性と前記ソフトウェアバージョンが配置されたネットワークエレメントとの間の対応関係が記録されている。
一実施形態において、ソフトウェアバージョン配置手段は、ネットワークエレメントを最初に生成する際、前記ソフトウェアバージョンプールからランダムにまたはセキュリティ戦略に応じて1つのソフトウェアバージョンを選択してネットワークエレメントの物理リソースに配置する方式で、前記ソフトウェアバージョンプールに基づいてネットワークエレメントにソフトウェアバージョンを動的に配置する。
一実施形態において、ソフトウェアバージョン配置手段は、さらに、ネットワークエレメントが柔軟な容量拡張を行う際、前記ソフトウェアバージョンプールからランダムにまたはセキュリティ戦略に応じて1つのソフトウェアバージョンを選択してネットワークエレメントの容量拡張後の物理リソースに配置する方式、および/または、システムの実行期間において、セキュリティ戦略に応じて、業務を第1ネットワークエレメントから第2ネットワークエレメントへ遷移し、前記第1ネットワークエレメントに前記ソフトウェアバージョンプールにおける第1ソフトウェアバージョンを配置し、前記第2ネットワークエレメントに前記ソフトウェアバージョンプールにおける第2ソフトウェアバージョンを配置する方式であって、前記第1ソフトウェアバージョンと前記第2ソフトウェアバージョンは、同一のソフトウェア機能および異なるコンパイルバージョンに対応する方式、および/または、システムの実行期間において、定時的にまたはセキュリティ戦略に応じて、ネットワークエレメント上のソフトウェアバージョンを交換する方式であって、交換後のソフトウェアバージョンは前記ソフトウェアバージョンプールからランダムにまたはセキュリティ戦略に応じて選択され、前記交換前のソフトウェアバージョンと前記交換後のソフトウェアバージョンは同一のソフトウェア機能および異なるコンパイルバージョンに対応する方式で、前記ソフトウェアバージョンプールに基づいてネットワークエレメントにソフトウェアバージョンを動的に配置する。
本実施例において、多様性コンパイル技術に基づいてソフトウェアバージョン(V1、V2、V3、…Vn)を生成し、これらのソフトウェアバージョンは、同一の機能を有するものの、実現される構造は異なり、異種機能同等物としてソフトウェアバージョンプールを構成する。ランダムな多様性コンパイル後に生成された各ソフトウェアバージョンは、その攻撃通路もランダムで多様な特徴を有する。例えば、異なるネットワークエレメントに異なるコンパイルバージョンのソフトウェアバージョンを展開した場合、セキュリティ戦略に基づく動的配置、スケジューリング、および管理を行うことで、単一空間での未知のセキュリティ問題、バックドアまたはバグによる確実的な攻撃結果を、多次元空間での確率問題に変換して、攻撃される確率をより低下させることができる。
実施例3
本開示の実施例においてセキュリティ保護装置を提供し、
メモリと、プロセッサと、前記メモリに記憶されて前記プロセッサにて実行可能なセキュリティ保護プログラムと、を含み、前記セキュリティ保護プログラムが前記プロセッサによって実行されると上記実施例1に記載のセキュリティ保護方法のステップを実現する。
実施例4
本開示の実施例においてコンピューター読み取り可能な記憶媒体を提供し、前記コンピューター読み取り可能な記憶媒体には、前記プロセッサによって実行されると上記実施例1に記載のセキュリティ保護方法のステップを実現するセキュリティ保護プログラムが記憶されている。
以下、一部の実例によって本開示の実施例によるセキュリティ保護方法をさらに説明する。
実例1
図3に示すように、典型的な通信システムは、バックエンドサーバーと、主制御盤と、サービスボードとを含むことができる。バックエンドサーバーに各サービスボードのソフトウェアバージョンを格納することができる。主制御盤は、主に、バックエンドサーバーからソフトウェアバージョンを抽出して、サービスボードのスロット番号に応じて、各サービスボードへソフトウェアバージョンを配分する。通信システムのサービスボードは、通常、アクティブ/スタンバイモードに設置されることができる。本実例において、通信システムのバックエンドサーバーにソフトウェアバージョン管理装置を追加した。システムが初期化される時、ソフトウェアバージョン管理装置にソフトウェアバージョンプールが予めインストールされる。
ソフトウェアバージョンプールには、複数のソフトウェアバージョンが含まれており、これらのソフトウェアバージョンは、多様性コンパイル技術に基づいて生成され、同種コードで多様性コンパイルによって生成された異なるソフトウェアバージョンを含むことができれば、異種コードで多様性コンパイルによって生成された異なるソフトウェアバージョンを含むこともできる。これらの異なるソフトウェアバージョン(V1、V2、V3、…Vn)によって、ミミックセキュリティ防御原理に要求される異種機能同等物を構成する。ソフトウェアバージョンプールにおけるソフトウェアバージョンに異種機能同等物バージョンの管理属性が追加され、前記異種機能同等物バージョンの管理属性は、ソフトウェア機能バージョン属性と多様性コンパイルバージョン属性とを含み、異種機能同等物バージョンの管理属性の差異があるソフトウェアバージョンは、異なるバージョン番号に標記される。
本実例においてセキュリティ保護方法を提供し、以下のステップS101、S102、S103を含むことができる。
S101において、システムが初期化される際、バックエンドサーバーのソフトウェアバージョン管理装置にソフトウェアバージョンプールを予めインストールする。
ソフトウェアバージョンプールにおける各ソフトウェアバージョンは、同種または異種コードで多様性コンパイルによって生成された異なるソフトウェアバージョンである。
S102において、ネットワークエレメントを最初に生成する際、主制御盤が、ソフトウェアバージョン管理装置からソフトウェアバージョンをダウンロードして対応するサービスボードに配分する。
ソフトウェアバージョン管理装置は、ソフトウェアバージョンプール(V1、V2、V3、…Vn)からランダムにまたはセキュリティ戦略に応じて1つのバージョンVmを選択し、サービスボード(ネットワークエレメント)がバージョンを展開して実行する。ソフトウェアバージョン管理装置には、Vmバージョン番号とネットワークエレメント識別子との対応関係が記録されている。ネットワークエレメント識別子は、ネットワークエレメントのIPアドレス、ネットワークエレメントのホスト識別子、またはネットワークエレメントの論理識別子等であることができる。
S103において、システムが安定的に稼働されている期間において、時間に従って、自動的に、またはセキュリティ戦略に応じて、ネットワークエレメントのソフトウェアバージョンを交換する。
ここで、ソフトウェアバージョンプールから、ランダムに、またはセキュリティ戦略に応じてソフトウェアバージョンを選択する。ソフトウェアバージョン管理装置には、交換後のバージョン番号とネットワークエレメント識別子との対応関係が記録されている。
ここで、メインマシンとスタンバイマシンがある場合、ソフトウェアバージョンの交換プロセスは、メインマシンがソフトウェアバージョンVjを実行し、スタンバイマシンがソフトウェアバージョン管理装置からバージョンViをダウンロードする。バージョンViはメインマシンで実行中のバージョンVjと異なるものである。スタンバイマシンがバージョンViを展開して実行し、メインマシンから状態データの同期を実現する。異種機能同等物Vi、Vjバージョンの状態データに差異がある場合、異なるソフトウェアバージョンVi、Vj間で状態データのフォーマットおよび意味(semantic)の変換を完了するように、Viバージョンに状態データ変換手段が含まれていなければならない。スタンバイマシンは、メイン・スタンバイ切替命令を受信すると、スタンバイマシンの状態をメインマシンに変換し、ソフトウェアバージョンViによって業務処理を行う。元のメインマシンはスタンバイマシンに変換され、切り替えされたスタンバイマシンは、ソフトウェアバージョン管理装置からバージョンViをダウンロードし、切り替えされたメインマシンから状態データを同期し、スタンバイマシンの実行状態を維持する。
実例2
図4に示すように、本実例に記載の仮想化クラウドサービスシステムは、主に、NFVO(Network Functions Virtualisation Orchestrator、ネットワーク機能仮想化オーケストレーター)と、VNFM(Virtualised Network Function Manager、仮想化ネットワーク機能マネージャ)と、VIM(Virtualised Infrastructure Manager、仮想インフラストラクチャマネージャ)と、複数のNFV(Network Functions Virtualisation、ネットワーク機能仮想化)と、仮想化プラットフォームと、ソフトウェアバージョン管理装置とを含む。業務の需要に応じて、NFVOは主にNFVのオーケストレーションを行い、VNFMは主にNFVの管理と自動化配置を行い、ソフトウェア形態のNFVは仮想化プラットフォームで実行される。
図5は、仮想化クラウドサービスシステムにおける異種機能同等物の柔軟な伸縮スケジューリング装置を示す図である。前記スケジューリング装置は、ソフトウェアバージョン管理装置と、VNFM(セキュリティ戦略管理装置を含む)と、OMU(Operating Maintenance Unit、操作保守ユニット)と、SPU(Service Processing Unit、業務処理ユニット)と、を含む。ここで、OMUとSPUはNFVにより実行されるハードウェアプラットフォームリソースであり、OMUは仮想化ネットワーク機能のシステム管理を行い、SPUは仮想化ネットワーク機能の業務処理を行う。
仮想化クラウドサービスシステムにおいて、柔軟な伸縮は重要なシステム機能であり、柔軟な伸縮機能は、仮想化業務ネットワークエレメントの占用するリソースが業務量の大きさに応じて伸縮調整可能であることを要求する。本実例において、仮想化業務ネットワークエレメントを粒度として柔軟な伸縮を行う。柔軟な伸縮の評価基準は、現在の業務量および業務戦略である。柔軟な自動伸長戦略は、OMUに記録された負荷が所定の閾値に達し且つ他の業務処理ユニットの各SPUの負荷がいずれも所定の閾値に達すると、仮想ネットワーク機能管理装置VNFMに新しい仮想マシンを要求することであってもよい。
図6に示すように、柔軟な容量拡張を行う場合、セキュリティ保護方法は以下のステップS10、S102、S103、S104、S105を含むことができる。
S101において、OMUは、稼働されると、SPU1、SPU2、…、SPUnの処理負荷等の情報を収集する。業務量、処理負荷等の条件に応じて、OMUにより柔軟な容量拡張の条件を満たすと判断されると、柔軟な容量拡張プロセスを開始する。
S102において、VNFMは、新しい仮想マシンのメインマシンおよびスタンバイマシンのリソース(SPUm)を構築して、オペレーティング・システムおよびシステム管理ソフトウェアをインストールする。VNFMは、OMUおよびSPUmに柔軟な容量拡張の前処理を行う旨を通知する。OMUおよびSPUmは、システムのハードウェアリソース割り当て、メインマシンおよびスタンバイマシンの設置、データ領域の初期化等の操作を含む柔軟な容量拡張の前処理を行う。仮想マシンは、リソースの要求に成功すると、SPUm、OMU、VNFM間で通信関係を確立し、業務を実行するメインマシンとしてのSPUmは、ソフトウェアバージョンのインストールを待つ状態にある。
S103において、メインマシンSPUmおよびソフトウェアバージョン管理装置は、バージョン配置プロセスを開始する。ソフトウェアバージョン管理装置は、ソフトウェアバージョンプール(V1、V2、V3、…Vn)からランダムにある1つのバージョンVmを選択するか、または、ソフトウェアバージョンプール(V1、V2、V3、…Vn)からセキュリティ戦略に応じてある1つのバージョンVmを選択する。
OMUは、ソフトウェアバージョン管理装置からソフトウェアバージョンVmをメインマシンSPUmにダウンロードし、展開して実行する。メインマシンSPUmは、メインとスタンバイとの切り替えの禁止を設定し、スタンバイマシンSPUmに柔軟な容量拡張を行う旨を通知する。メインマシンSPUmは、稼働に成功すると、OMUにバージョンの配置を完了した旨を通知し、OMUは、記憶領域に記録されたSPUmの状態を更新する。OMUは、VNFMにバージョンの配置を完了した旨を通知し、VNFMは、記憶領域に記録されたVNF(SPUmに対応する)の状態を更新する。
ソフトウェアバージョン管理装置にソフトウェアバージョンマッピングテーブルを保存し、前記ソフトウェアバージョンマッピングテーブルには、ソフトウェアバージョン番号とネットワークエレメント識別子との対応関係が記録されている。ネットワークエレメント識別子は、ネットワークエレメントのIPアドレス、ネットワークエレメントのホスト識別子、またはネットワークエレメントの論理識別子等であることができる。
S104において、スタンバイマシンSPUmは、ソフトウェアバージョン管理装置を介してソフトウェアバージョンマッピングテーブルをクエリして、Vmのバージョン番号情報を得る。スタンバイマシンSPUmは、ソフトウェアバージョン管理装置からソフトウェアバージョンVmをダウンロードし、展開して実行する。スタンバイマシンSPUmは、稼働に成功した。スタンバイマシンSPUmは、メインマシンSPUmに柔軟な容量拡張に成功した旨を通知する。メインマシンSPUmは、スタンバイマシンSPUmからの「柔軟な容量拡張に成功した」メッセージを受信すると、スタンバイマシンSPUmにメインとスタンバイとの切り替えの禁止を解除する旨を通知する。スタンバイマシンSPUmは、メインとスタンバイとの切り替えの禁止解除命令を受信すると、メインマシンSPUmに応答する。メインマシンSPUmが通知を受信すると、今回の柔軟な容量拡張を終了する。
S105において、VNFMは、VNF(SPUmに対応する)の柔軟な容量拡張成功メッセージを受信し、ローカルの記憶領域に、例えば、業務タイプ、性能、負荷等のVNF情報を保留する。OMUに配置を完了した旨を通知し、例えば、ネットワーク帯域幅等のリソース情報を送信する。OMUは、メッセージを受信すると、オンライン通知をSPUmに送信して、リソースの変更処理を完了する。OMUは、他のSPUに新しいVNF(SPUmに対応する)がオンラインされた旨を通知し、他のSPUは、予め設定された戦略に応じて対応する処理を完了する。
柔軟な縮小を行う場合、セキュリティ保護方法は以下のステップS201、S202、S203、S204、S205を含むことができる。
S201において、OMUは、稼働中にSPU1、SPU2、…、SPUnの処理負荷等の情報を収集する。業務量、処理負荷等の条件に応じて、OMUにより柔軟な縮小の条件を満たすと判断されると、柔軟な縮小プロセスを開始する。
S202において、OMUは、メインマシンSPUmに柔軟な縮小プロセスを開始する旨を通知する。メインマシンSPUmは、メインとスタンバイとの切り替えを禁止し、予め設定された戦略に応じて、実行中の業務の他のSPUへの接続に対して、遷移を開始する。
S203において、メインマシンSPUmにおける業務接続の遷移が完了すると、メインマシンSPUmは、VNFMへ仮想マシンの削除を要求し、ソフトウェアバージョン管理装置へ使用したバージョン番号Vmの取り消しを要求する。ソフトウェアバージョン管理装置は、ソフトウェアバージョンマッピングテーブルからVm項目を削除して、OMUに応答すると、SPUmによる柔軟な縮小が終了する。OMUは、応答メッセージを受信すると、SPUm関連情報を削除し、SPUmリソースをリリースし、前記SPUmリソースは、SPUmメインマシンリソースとスタンバイマシンリソースとを含む。
S204において、OMUは、VNFMに対応するVNF情報を削除する旨を通知する。
S205において、VNFMは、OMUからの通知メッセージを受信すると、対応するVNF情報を削除する。
なお、本開示は他のさまざまな実施例を有することもでき、当業者は本開示の思想と実質を離脱せずに本開示に各種の対応する改善と変形を行うことが可能であり、これらの対応する改善と変形はいずれも本開示の特許請求の範囲の保護範囲に含まれる。
本開示は、コンピューター通信技術分野に適用され、多様性コンパイルによって生成されたソフトウェアバージョンを異種機能同等物として、ネットワークエレメントのソフトウェアバージョンを動的に配置し、スケジューリングし管理して、システム内で攻撃特徴に依存しないアクティブ保護を実現する。

Claims (12)

  1. 多様性コンパイルに基づいてソフトウェアバージョンを生成して、前記ソフトウェアバージョンを異種機能同等物としたソフトウェアバージョンプールを構築するステップと、
    前記ソフトウェアバージョンプールに基づいて、ネットワークエレメントにソフトウェアバージョンを動的に配置するステップと、を含み、
    前記ソフトウェアバージョンプールに基づいて、ネットワークエレメントにソフトウェアバージョンを動的に配置するステップは、
    柔軟な容量拡張を行う際に、前記ソフトウェアバージョンプールから、ランダムにまたはセキュリティ戦略に応じて、1つのソフトウェアバージョンを選択して、メインマシンに配置し、展開して実行し、且つ、ソフトウェアバージョンマッピングテーブルに前記ソフトウェアバージョンの多様性コンパイルバージョン属性と、前記メインマシンのネットワークエレメント識別子との間の対応関係を保存して、前記メインマシンは、スタンバイマシンに柔軟な容量拡張を行う旨を通知し、前記スタンバイマシンは、ソフトウェアバージョンマッピングテーブルをクエリして、前記メインマシンが配置した前記ソフトウェアバージョンの前記多様性コンパイルバージョン属性を得て、前記多様性コンパイルバージョン属性に基づき、前記ソフトウェアバージョンをダウンロードし、展開して実行するステップ、及び/又は、
    メインマシンとスタンバイマシンがある場合、メインマシンが第1ソフトウェアバージョンを実行し、スタンバイマシンが第2ソフトウェアバージョンをダウンロードして実行し、前記メインマシンから状態データを同期し、前記第1ソフトウェアバージョンと前記第2ソフトウェアバージョンとの状態データに差異がある場合、異なるソフトウェアバージョン間で状態データのフォーマットおよび意味の変換を完了するように、第2ソフトウェアバージョンに状態データ変換手段が含まれており、前記スタンバイマシンは、メイン・スタンバイ切替命令を受信すると、前記スタンバイマシンをメインマシンに変換し、前記第2ソフトウェアバージョンによって業務処理を行い、前記メインマシンをスタンバイマシンに変換し、前記第2ソフトウェアバージョンをダウンロードし、切り替えされたメインマシンから状態データを同期するステップであって、前記第1ソフトウェアバージョンと前記第2ソフトウェアバージョンは、同一のソフトウェア機能及び異なるコンパイルバージョンに対応するステップを、含むセキュリティ保護方法。
  2. 前記ソフトウェアバージョンプールにおけるソフトウェアバージョンは、ソフトウェアバージョン同士の論理機能の差異を標記するためのソフトウェア機能バージョン属性と、多様性コンパイルの結果の差異を標記するための多様性コンパイルバージョン属性とを含む請求項1に記載の方法。
  3. 異種機能同等物としての各ソフトウェアバージョンのバージョン属性と、前記ソフトウェアバージョンが配置されたネットワークエレメントとの間の対応関係が記録されたソフトウェアバージョンマッピングテーブルを確立するステップを、さらに含む請求項2に記載の方法。
  4. 前記ソフトウェアバージョンプールに基づいて、ネットワークエレメントにソフトウェアバージョンを動的に配置するステップは、
    ネットワークエレメントを最初に生成する際、前記ソフトウェアバージョンプールから、ランダムにまたはセキュリティ戦略に応じて、1つのソフトウェアバージョンを選択してネットワークエレメントの物理リソースに配置するステップをさらに含む請求項1乃至3のうちのいずれか1項に記載の方法。
  5. 前記ソフトウェアバージョンプールに基づいて、ネットワークエレメントにソフトウェアバージョンを動的に配置するステップは、
    ネットワークエレメントが柔軟な容量拡張を行う際、前記ソフトウェアバージョンプールから、ランダムにまたはセキュリティ戦略に応じて、1つのソフトウェアバージョンを選択してネットワークエレメントの容量拡張後の物理リソースに配置するステップ、及び/又は、
    システムの実行期間において、セキュリティ戦略に応じて、業務を第1ネットワークエレメントから第2ネットワークエレメントへ遷移し、前記第1ネットワークエレメントに前記ソフトウェアバージョンプールにおける第1ソフトウェアバージョンを配置し、前記第2ネットワークエレメントに前記ソフトウェアバージョンプールにおける第2ソフトウェアバージョンを配置するステップであって、前記第1ソフトウェアバージョンと前記第2ソフトウェアバージョンは、同一のソフトウェア機能及び異なるコンパイルバージョンに対応するステップ、及び/又は、
    システムの実行期間において、定時的にまたはセキュリティ戦略に応じて、ネットワークエレメント上のソフトウェアバージョンを、前記ソフトウェアバージョンプールからランダムにまたはセキュリティ戦略に応じて選択されたソフトウェアバージョンに交換するステップであって、前記交換前のソフトウェアバージョンと前記交換後のソフトウェアバージョンは、同一のソフトウェア機能及び異なるコンパイルバージョンに対応するステップ、を含む請求項4に記載の方法。
  6. 多様性コンパイルに基づいてソフトウェアバージョンを生成して、前記ソフトウェアバージョンを異種機能同等物としたソフトウェアバージョンプールを構築するように構成されるソフトウェアバージョンプール構築手段と、
    前記ソフトウェアバージョンプールに基づいて、ネットワークエレメントにソフトウェアバージョンを動的に配置するように構成されるソフトウェアバージョン配置手段と、を含み、
    前記ソフトウェアバージョン配置手段は、以下のように、前記ソフトウェアバージョンプールに基づいて、ネットワークエレメントにソフトウェアバージョンを動的に配置するように構成され、
    柔軟な容量拡張を行う際に、前記ソフトウェアバージョンプールから、ランダムにまたはセキュリティ戦略に応じて、1つのソフトウェアバージョンを選択して、メインマシンに配置し、展開して実行し、且つ、ソフトウェアバージョンマッピングテーブルに前記ソフトウェアバージョンの多様性コンパイルバージョン属性と、前記メインマシンのネットワークエレメント識別子との間の対応関係を保存して、前記メインマシンは、スタンバイマシンに柔軟な容量拡張を行う旨を通知し、前記スタンバイマシンは、ソフトウェアバージョンマッピングテーブルをクエリして、前記メインマシンが配置した前記ソフトウェアバージョンの前記多様性コンパイルバージョン属性を得て、前記多様性コンパイルバージョン属性に基づき、前記ソフトウェアバージョンをダウンロードし、展開して実行し、及び/又は、
    メインマシンとスタンバイマシンがある場合、メインマシンが第1ソフトウェアバージョンを実行し、スタンバイマシンが第2ソフトウェアバージョンをダウンロードして実行し、前記メインマシンから状態データを同期し、前記第1ソフトウェアバージョンと前記第2ソフトウェアバージョンとの状態データに差異がある場合、異なるソフトウェアバージョン間で状態データのフォーマットおよび意味の変換を完了するように、第2ソフトウェアバージョンに状態データ変換手段が含まれており、前記スタンバイマシンは、メイン・スタンバイ切替命令を受信すると、前記スタンバイマシンをメインマシンに変換し、前記第2ソフトウェアバージョンによって業務処理を行い、前記メインマシンをスタンバイマシンに変換し、前記第2ソフトウェアバージョンをダウンロードし、切り替えされたメインマシンから状態データを同期するステップであって、前記第1ソフトウェアバージョンと前記第2ソフトウェアバージョンは、同一のソフトウェア機能及び異なるコンパイルバージョンに対応する、セキュリティ保護装置。
  7. 前記ソフトウェアバージョンプールにおけるソフトウェアバージョンは、ソフトウェアバージョン同士の論理機能の差異を標記するためのソフトウェア機能バージョン属性と、多様性コンパイルの結果の差異を標記するための多様性コンパイルバージョン属性とを含む請求項6に記載の装置。
  8. ソフトウェアバージョンプール構築手段は、さらに、
    異種機能同等物としての各ソフトウェアバージョンのバージョン属性と、前記ソフトウェアバージョンが配置されたネットワークエレメントとの間の対応関係が記録されたソフトウェアバージョンマッピングテーブルを確立するように構成される請求項7に記載の装置。
  9. ソフトウェアバージョン配置手段は、さらに、
    ネットワークエレメントを最初に生成する際、前記ソフトウェアバージョンプールから、ランダムにまたはセキュリティ戦略に応じて、1つのソフトウェアバージョンを選択してネットワークエレメントの物理リソースに配置する方式で、
    前記ソフトウェアバージョンプールに基づいて、ネットワークエレメントにソフトウェアバージョンを動的に配置するように構成される請求項6乃至8のうちのいずれか1項に記載の装置。
  10. ソフトウェアバージョン配置手段は、さらに、
    ネットワークエレメントが柔軟な容量拡張を行う際、前記ソフトウェアバージョンプールから、ランダムにまたはセキュリティ戦略に応じて、1つのソフトウェアバージョンを選択してネットワークエレメントの容量拡張後の物理リソースに配置する方式、及び/又は、
    システムの実行期間において、セキュリティ戦略に応じて、業務を第1ネットワークエレメントから第2ネットワークエレメントへ遷移し、前記第1ネットワークエレメントに前記ソフトウェアバージョンプールにおける第1ソフトウェアバージョンを配置し、前記第2ネットワークエレメントに前記ソフトウェアバージョンプールにおける第2ソフトウェアバージョンを配置する方式であって、前記第1ソフトウェアバージョンと前記第2ソフトウェアバージョンは、同一のソフトウェア機能及び異なるコンパイルバージョンに対応する方式、及び/又は、
    システムの実行期間において、定時的にまたはセキュリティ戦略に応じて、ネットワークエレメント上のソフトウェアバージョンを、前記ソフトウェアバージョンプールからランダムにまたはセキュリティ戦略に応じて選択されたソフトウェアバージョンに交換する方式であって、前記交換前のソフトウェアバージョンと前記交換後のソフトウェアバージョンは、同一のソフトウェア機能及び異なるコンパイルバージョンに対応する方式で、
    前記ソフトウェアバージョンプールに基づいて、ネットワークエレメントにソフトウェアバージョンを動的に配置するように構成される請求項9に記載の装置。
  11. メモリと、プロセッサと、前記メモリに記憶されて前記プロセッサにて実行可能なセキュリティ保護プログラムと、を含み、前記セキュリティ保護プログラムが前記プロセッサによって実行されると請求項1乃至5のうちのいずれか1項に記載のセキュリティ保護方法のステップを行うセキュリティ保護装置。
  12. プロセッサによって実行されると請求項1乃至5のうちのいずれか1項に記載のセキュリティ保護方法のステップを行うセキュリティ保護プログラムが記憶されたコンピューター読み取り可能な記憶媒体。
JP2020542841A 2018-02-09 2019-01-30 セキュリティ保護方法および装置 Active JP7082673B2 (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
CN201810135941.4 2018-02-09
CN201810135941.4A CN110134428B (zh) 2018-02-09 2018-02-09 一种安全防护方法及装置
PCT/CN2019/073841 WO2019154202A1 (zh) 2018-02-09 2019-01-30 一种安全防护方法及装置

Publications (2)

Publication Number Publication Date
JP2021513706A JP2021513706A (ja) 2021-05-27
JP7082673B2 true JP7082673B2 (ja) 2022-06-08

Family

ID=67549263

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2020542841A Active JP7082673B2 (ja) 2018-02-09 2019-01-30 セキュリティ保護方法および装置

Country Status (6)

Country Link
US (1) US11934530B2 (ja)
EP (1) EP3751416B1 (ja)
JP (1) JP7082673B2 (ja)
KR (1) KR102419704B1 (ja)
CN (1) CN110134428B (ja)
WO (1) WO2019154202A1 (ja)

Families Citing this family (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106549935A (zh) * 2016-09-27 2017-03-29 上海红阵信息科技有限公司 一种异构功能等价体生成装置及方法
CN110610068B (zh) * 2019-09-16 2021-11-23 郑州昂视信息科技有限公司 一种应用异构化的方法及装置
CN111338942B (zh) * 2020-02-21 2022-09-09 郑州昂视信息科技有限公司 一种软件多样性的评估方法及系统
CN112612999B (zh) * 2020-12-30 2022-11-15 中国人民解放军战略支援部队信息工程大学 基于树结构的多样化变体生成方法及系统
CN112839036B (zh) * 2020-12-30 2022-09-30 中国人民解放军战略支援部队信息工程大学 基于拟态防御理论的软件运行环境生成方法及系统
CN112632530B (zh) * 2020-12-30 2022-11-08 中国人民解放军战略支援部队信息工程大学 拟态架构下多样化变体生成方法及系统
CN113973018B (zh) * 2021-12-22 2022-03-25 南京微滋德科技有限公司 一种基于内生安全的物联网终端数据处理方法及系统

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20130125090A1 (en) 2010-07-29 2013-05-16 Irdeto Canada Corporation System and Method for Efficiently Deploying Massively Diverse Program Instances to Resist Differential Attacks
JP2013524321A (ja) 2010-03-31 2013-06-17 イルデト カナダ コーポレーション アプリケーションを保護するためのリンキングおよびローディング方法
CN107196803A (zh) 2017-05-31 2017-09-22 中国人民解放军信息工程大学 异构云主机的动态生成与维护方法

Family Cites Families (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7363618B2 (en) 2001-02-14 2008-04-22 International Business Machines Corporation Software testing
US7539985B2 (en) * 2003-02-26 2009-05-26 Bea Systems, Inc. Systems and methods for dynamic component versioning
FR2872653B1 (fr) * 2004-06-30 2006-12-29 Skyrecon Systems Sa Systeme et procedes de securisation de postes informatiques et/ou de reseaux de communications
US7512936B2 (en) * 2004-12-17 2009-03-31 Sap Aktiengesellschaft Code diversification
WO2006066446A1 (fr) * 2004-12-21 2006-06-29 Zte Corporation Methode de compatibilisation des logiciels de materiels dans des systemes de gestion repartis
US7991866B2 (en) * 2006-08-18 2011-08-02 Control4 Corporation Systems and methods for updating a site
CN101938765B (zh) * 2009-06-29 2015-12-16 中兴通讯股份有限公司 一种网管和网元自动适配的方法和系统
US8595715B2 (en) 2010-12-31 2013-11-26 International Business Machines Corporation Dynamic software version selection
CN104572202B (zh) * 2015-01-08 2018-05-04 浪潮电子信息产业股份有限公司 一种云计算下企业级应用软件部署的方法
CN106657173B (zh) * 2015-10-29 2020-01-17 华为技术有限公司 一种nfv架构下软件升级中的业务迁移方法、装置及服务器
CN107145376B (zh) 2016-03-01 2021-04-06 中兴通讯股份有限公司 一种主动防御方法和装置

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2013524321A (ja) 2010-03-31 2013-06-17 イルデト カナダ コーポレーション アプリケーションを保護するためのリンキングおよびローディング方法
US20130125090A1 (en) 2010-07-29 2013-05-16 Irdeto Canada Corporation System and Method for Efficiently Deploying Massively Diverse Program Instances to Resist Differential Attacks
CN107196803A (zh) 2017-05-31 2017-09-22 中国人民解放军信息工程大学 异构云主机的动态生成与维护方法

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
E unibus plural: Massive-Scale Software Diversity as a Defense Mechanism,NSPW’10,米国,Association for Computing Machinery,2010年09月23日,[検索日 2021.10.20], インターネット<URL https://dl.acm.org/doi/10.1145/1900546.1900550>

Also Published As

Publication number Publication date
KR20200119849A (ko) 2020-10-20
KR102419704B1 (ko) 2022-07-12
US20200394315A1 (en) 2020-12-17
EP3751416A1 (en) 2020-12-16
CN110134428A (zh) 2019-08-16
WO2019154202A1 (zh) 2019-08-15
JP2021513706A (ja) 2021-05-27
CN110134428B (zh) 2024-02-06
EP3751416A4 (en) 2021-04-07
EP3751416B1 (en) 2023-09-06
US11934530B2 (en) 2024-03-19

Similar Documents

Publication Publication Date Title
JP7082673B2 (ja) セキュリティ保護方法および装置
CN109104467B (zh) 开发环境构建方法、装置以及平台系统和存储介质
US11294699B2 (en) Dynamically scaled hyperconverged system establishing minimum supported interoperable communication protocol between clusters in a cluster group
US10838747B2 (en) Virtual appliances
CN108089913B (zh) 一种超融合系统的虚拟机部署方法
CN109075986B (zh) 一种网络功能实例的管理方法及相关设备
CN113296792B (zh) 存储方法、装置、设备、存储介质和系统
CN105354076A (zh) 一种应用部署方法及装置
WO2019060228A1 (en) SYSTEMS AND METHODS FOR SERVICE INSTANCATION ON SERVICES
KR20110030447A (ko) 가상 머신 및 애플리케이션 수명들의 동기화
KR102524540B1 (ko) 멀티 클라우드 서비스 플랫폼 장치 및 방법
Gogouvitis et al. Seamless computing in industrial systems using container orchestration
JP6003590B2 (ja) データセンタ,仮想システムの複写サービスの提供方法,データセンタの管理サーバ及び仮想システムの複写プログラム
KR20150108230A (ko) 클러스터 시스템 구축 방법 및 장치
US8027817B2 (en) Simulation management within a grid infrastructure
CN111836261B (zh) 数据管理方法、lepm和mepm
WO2022140945A1 (zh) 容器集群的管理方法和装置
CN113438295A (zh) 容器组地址分配方法、装置、设备及存储介质
CN114816665B (zh) 混合编排系统及超融合架构下虚拟机容器资源混合编排方法
CN115618409A (zh) 数据库云服务生成方法、装置、设备及可读存储介质
CN115202820A (zh) Pod单元的创建方法、装置、设备及存储介质
Nielsen et al. Private cloud configuration with metaconfig
KR102582777B1 (ko) 에지 컴퓨팅 환경을 위한 경량 큐브에지 구성 방법 및 장치
US20240129294A1 (en) Automatically generating task-based and limited-privilege user security credentials
Dreher et al. Toward Implementation of a Software Defined Cloud on a Supercomputer

Legal Events

Date Code Title Description
A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20200811

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20201120

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20211020

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20211026

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20220125

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20220524

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20220527

R150 Certificate of patent or registration of utility model

Ref document number: 7082673

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150