JP2017527140A - コンピュータシステムの間のタスク命令を転送するルーティング方法、コンピュータネットワーク基盤、及びコンピュータプログラム - Google Patents
コンピュータシステムの間のタスク命令を転送するルーティング方法、コンピュータネットワーク基盤、及びコンピュータプログラム Download PDFInfo
- Publication number
- JP2017527140A JP2017527140A JP2016571034A JP2016571034A JP2017527140A JP 2017527140 A JP2017527140 A JP 2017527140A JP 2016571034 A JP2016571034 A JP 2016571034A JP 2016571034 A JP2016571034 A JP 2016571034A JP 2017527140 A JP2017527140 A JP 2017527140A
- Authority
- JP
- Japan
- Prior art keywords
- computer system
- task
- file
- broker
- target
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
- H04L63/123—Applying verification of the received information received data contents, e.g. message integrity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/34—Source routing
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/42—Centralised routing
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/74—Address processing for routing
- H04L45/745—Address table lookup; Address filtering
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/06—Protocols specially adapted for file transfer, e.g. file transfer protocol [FTP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/06—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols the encryption apparatus using shift registers or memories for block-wise or stream coding, e.g. DES systems or RC4; Hash functions; Pseudorandom sequence generators
- H04L9/0643—Hash functions, e.g. MD5, SHA, HMAC or f9 MAC
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/14—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using a plurality of keys or algorithms
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/30—Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computing Systems (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Power Engineering (AREA)
- Theoretical Computer Science (AREA)
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
Description
主コンピュータシステムに格納されているルーティング情報を呼び出すステップであって、前記ルーティング情報は、前記コンピュータネットワーク基盤の中の前記主コンピュータシステム、1又は複数のブローカコンピュータシステムのグループ、及び目標コンピュータシステムの間の通信経路に沿って強制的に(compulsory)含まれるべき1又は複数のコンピュータシステムへの少なくとも1つのルーティングを定める、ステップと、
前記主コンピュータシステムにおいてタスクファイルを生成するステップであって、前記タスクファイルは、前記ルーティング情報と、前記目標コンピュータシステムの少なくとも1つのタスクのタスク記述を有する、ステップと、
前記ルーティング情報に基づき、前記定められた通信経路に沿って、前記ブローカコンピュータシステムの前記グループを用いて、前記主コンピュータシステムから前記目標コンピュータシステムへ前記タスクファイルを送信するステップと、
前記目標コンピュータシステムを用いて、前記タスクファイルの有効性を検証するステップと、
前記タスクファイルの有効性の検証が成功した場合に、前記タスクファイルを用いて前記目標コンピュータシステムにおいて少なくとも1つのタスクを実行するステップであって、前記主コンピュータシステム及び前記目標コンピュータシステムの両方は、当該方法に使用される特定のネットワークポートを閉に保ち、前記主コンピュータシステムへの又は前記目標コンピュータシステムへの接続を外部から確立することが許されないように、したがって前記ネットワークポートを用いるネットワークを経由するアクセスが防がれるようにし、しかし、前記主コンピュータシステム及び前記目標コンピュータシステムがそれぞれ、前記ブローカコンピュータシステムにタスクファイルを格納するため又は前記ブローカコンピュータシステムからタスクファイルをフェッチするために、ブロ―カコンピュータシステムへの接続を確立できる、ステップと、
を有する。
目標コンピュータシステムにおけるプログラムの再起動、
目標コンピュータシステムへの物理的アクセスの命令、
バックアップデータの復旧、又は
目標コンピュータシステムへのSSHアクセス。
1又は複数の処理コンピュータシステムのグループの中の1つの処理コンピュータシステムから、前記ブローカコンピュータシステムの前記グループの中の1つのブローカコンピュータシステムへ、要求ファイルを送信するステップであって、前記要求ファイルは、前記目標コンピュータシステムでタスクを実行するための特定の情報を含む、ステップと、
前記ブローカコンピュータシステムから前記主コンピュータシステムへ、前記要求ファイルを送信するステップであって、前記主コンピュータシステムは、前記ブローカコンピュータシステムから前記要求ファイルをフェッチするために、前記ブローカコンピュータシステムへの接続を確立する、ステップと、
前記主コンピュータシステムにより前記タスク記述をコンパイルするステップであって、前記要求ファイルの前記特定の情報に基づき、タスクの特定の基本機能が、前記主コンピュータシステムにより選択され、場合によっては、前記目標コンピュータシステムにおいて前記タスクを実行するための性能パラメータは、前記主コンピュータシステムにより設定される、ステップと、
有する。
前記ブローカコンピュータシステムの前記グループの中の少なくとも1つのブローカコンピュータシステムから、処理コンピュータシステムの前記グループの中の少なくとも1つの処理コンピュータシステムへ、前記タスクファイルを送信するステップと、
前記処理コンピュータシステムにおいて少なくとも1つの動作を実行するステップと、
前記処理コンピュータシステムから前記ブローカコンピュータシステムへ、前記タスクファイルを返送するステップと、
を更に有する。
→task.rar
→task.tar.asc.
ここで、「id.taskid.tar」は、.tar archiveとしての実際のタスクファイルを記述する。内部アーカイブ「task.rar」は、上記のアーカイブの中にあり、前のサイクルの再帰的に格納されたデータを含む。さらに、署名「task.tar.asc」が設定される。この署名を用いて、内部アーカイブ「task.tar」は、前のサイクルで、処理コンピュータシステム又は主コンピュータシステムにより署名されている。
→pullupFiles
→task.tar
→task.tar.asc.
ここで、1又は複数の作業ファイルは、別個に、タスクファイル「id.taskid.tar」の中の内部アーカイブファイル「task.tar」に含まれる。作業ファイルは、タスクファイル「id.taskid.tar」の中の内部アーカイブファイル「task.tar」と別個に、特定のディレクトリ「pullupFiles」に埋め込まれる。さらに、上記の第2のコンステレーションでは、タスクファイル「id.taskid.tar」は、第1のコンステレーションと同様に先行するサイクルからの第1の処理コンピュータシステムの又は主コンピュータシステムの署名「task.tar.asc」を含む。
1又は複数のパック解除された作業ファイルを処理するステップ、
少なくとも内部アーカイブファイル及び前のサイクルの署名を第2の内部アーカイブファイルにパックするステップ、
本サイクルに含まれる、処理コンピュータシステムの新たな署名を生成するステップ、及び
第2の内部アーカイブファイル、処理された1又は複数の作業ファイル、及び生成された新たな署名を、アーカイブファイルとして設定された新たなタスクファイルにパックするステップ。
次の処理又は目標コンピュータシステムへ転送するステップ。
送信されたシーケンスの検証が肯定的である場合に、目標コンピュータシステム又は処理コンピュータシステムによるタスクファイルの送信を生じるステップ。ここで、目標コンピュータシステム又は処理コンピュータシステムは、それぞれ、ブローカコンピュータシステムへの接続を確立し、タスクファイルをフェッチする。
主コンピュータシステム、
目標コンピュータシステム、
ブローカコンピュータシステム。
(付記1) コンピュータネットワーク基盤の中のセキュアコンピュータシステムの間でタスク命令を転送するルーティング方法であって、
主コンピュータシステムに格納されているルーティング情報を呼び出すステップであって、前記ルーティング情報は、前記コンピュータネットワーク基盤の中の前記主コンピュータシステム、1又は複数のブローカコンピュータシステムのグループ、及び目標コンピュータシステムの間の通信経路に沿って強制的に含まれるべき1又は複数のコンピュータシステムへの少なくとも1つのルーティングを定める、ステップと、
前記主コンピュータシステムにおいてタスクファイルを生成するステップであって、前記タスクファイルは、少なくとも、前記ルーティング情報、及び前記目標コンピュータシステムの少なくとも1つのタスクのタスク記述を有する、ステップと、
前記ルーティング情報に基づき、前記通信経路に沿って、前記ブローカコンピュータシステムの前記グループを用いて、前記主コンピュータシステムから前記目標コンピュータシステムへ前記タスクファイルを送信するステップと、
前記目標コンピュータシステムを用いて、前記タスクファイルの有効性を検証するステップと、
前記タスクファイルの有効性の検証が成功した場合に、前記タスクファイルを用いて前記目標コンピュータシステムにおいて少なくとも1つのタスクを実行するステップであって、前記主コンピュータシステム及び前記目標コンピュータシステムの両方は、当該方法に使用される特定のネットワークポートを閉に保ち、前記主コンピュータシステムへの又は前記目標コンピュータシステムへの接続を外部から確立することが許されないように、したがって前記ネットワークポートを用いるネットワークを経由するアクセスが防がれるようにし、しかし、前記主コンピュータシステム及び前記目標コンピュータシステムがそれぞれ、ブローカコンピュータシステムにタスクファイルを格納するため又は前記ブローカコンピュータシステムから前記タスクファイルをフェッチするために、前記ブローカコンピュータシステムへの接続を確立できる、ステップと、
を有する方法。
(付記2) 1又は複数の処理コンピュータシステムのグループの中の1つの処理コンピュータシステムから、前記ブローカコンピュータシステムの前記グループの中の1つのブローカコンピュータシステムへ、要求ファイルを送信するステップであって、前記要求ファイルは、前記目標コンピュータシステムでタスクを実行するための特定の情報を含む、ステップと、
前記ブローカコンピュータシステムから前記主コンピュータシステムへ、前記要求ファイルを送信するステップであって、前記主コンピュータシステムは、前記ブローカコンピュータシステムから前記要求ファイルをフェッチするために、前記ブローカコンピュータシステムへの接続を確立する、ステップと、
前記主コンピュータシステムにより前記タスク記述をコンパイルするステップであって、前記要求ファイルの前記特定の情報に基づき、タスクの特定の基本機能が、前記主コンピュータシステムにより選択され、場合によっては、前記目標コンピュータシステムにおいて前記タスクを実行するための性能パラメータは、前記主コンピュータシステムにより設定される、ステップと、
を更に有する付記1に記載の方法。
(付記3) 前記要求ファイルの前記特定の情報は、少なくとも、
命令を与える側としての、前記処理コンピュータシステムの前記グループの中の少なくとも1つの処理コンピュータシステムのもの、及び/又は
命令を受ける側としての、前記目標コンピュータシステムのもの、及び/又は
デジタル署名、及び/又は
タスクを実行するための命令、及び/又は
機密データ、
を有する、付記2に記載の方法。
(付記4) 前記処理コンピュータシステムの前記グループの中の各々の処理コンピュータシステムは、当該方法のために使用される特定のネットワークポートを閉に保ち、前記個々の処理コンピュータシステムへの接続を外部から確立することが許されないように、したがって、前記ネットワークポートを用いてネットワークを経由するアクセスが防がれるようにし、しかし、前記処理コンピュータシステムの前記グループの中の各々の処理コンピュータシステムは、ブローカコンピュータシステムにタスクファイル若しくは要求ファイルを格納するために、又はブローカコンピュータシステムからタスクファイル若しくは要求ファイルをフェッチするために、前記ブローカコンピュータシステムへの接続を確立できる、付記2又は3に記載の方法。
(付記5) 前記ルーティング情報は、前記コンピュータネットワーク基盤の中の前記処理コンピュータシステムの前記グループの中の少なくとも1つの処理コンピュータシステムを、強制的に含まれるべきコンピュータシステムとして定め、
前記方法は、
前記ブローカコンピュータシステムの前記グループの中の少なくとも1つのブローカコンピュータシステムから、処理コンピュータシステムの前記グループの中の少なくとも1つの処理コンピュータシステムへ、前記タスクファイルを送信するステップと、
前記処理コンピュータシステムにおいて少なくとも1つの動作を実行するステップと、
前記処理コンピュータシステムから前記ブローカコンピュータシステムへ、前記タスクファイルを返送するステップと、
を更に有する付記2乃至4のいずれか一項に記載の方法。
(付記6) 前記少なくとも1つの動作は、少なくとも、
前記タスクファイルに更なるデータを挿入すること、及び/又は
少なくとも1つの秘密鍵により前記タスクファイルを署名すること、及び/又は
前記目標コンピュータシステムの公開鍵で前記タスクファイルを暗号化すること、
を含む、付記5に記載の方法。
(付記7) 前記方法は、前記ブローカコンピュータシステムの前記グループと前記処理コンピュータシステムの前記グループとの間で幾つかのサイクルで再帰的に実行され、前記タスクファイルは、再帰的設定アーカイブファイルとして設計され、少なくとも、
1又は複数の作業ファイル、
内部アーカイブファイル、及び
前のサイクルからの処理コンピュータシステムの又は前記主コンピュータシステムの署名、
を含み、個々の処理コンピュータシステムにおいて各々のサイクルで、
アーカイブファイルとして設定された前記タスクファイルをパッキング解除するサブステップと、
前記1又は複数のパッキング解除された作業ファイルを処理するサブステップと、
少なくとも前記内部アーカイブファイル及び前のサイクルの前記署名を、第2の内部アーカイブファイルにパッキングするサブステップと、
本サイクルに含まれる前記処理コンピュータシステムの新しい署名を生成するサブステップと、
前記第2の内部アーカイブファイル、前記処理された1又は複数の作業ファイル、及び前記生成された新しい署名を、アーカイブファイルとして設定された新しいタスクファイルにパッキングするサブステップと、
が実行される、付記6に記載の方法。
(付記8) 複数のセキュリティエンティティが、前記処理コンピュータシステムの中に設定され、少なくとも、前記ブローカコンピュータシステムからの前記タスクファイルの前記受信、前記タスクファイルを用いた少なくとも1つの動作の実行、及び前記処理コンピュータシステムから前記ブローカコンピュータシステムへの前記タスクファイルの返送は、異なるセキュリティエンティティにより別個のプロセスで実行され、
プロセスのセキュリティエンティティは、別のプロセスのセキュリティエンティティへの接続を確立できず、したがって、他のプロセスの前記セキュリティエンティティへのアクセスは防がれ、しかし、後続のプロセスはイベントメカニズムによりトリガされ、したがって、前記後続のプロセスのセキュリティエンティティは、前記タスクファイル又は前記タスクファイルのデータを更に処理できる、
付記5乃至7のいずれか一項に記載の方法。
(付記9) 前記ブローカコンピュータシステムの前記グループの中の1つのブローカコンピュータシステムから前記目標コンピュータシステムへ又は前記処理コンピュータシステムの前記グループの中の1つの処理コンピュータシステムへ、前記タスクファイルを送信するステップは、
前記ブローカコンピュータシステムから前記目標コンピュータシステムへ又は前記処理コンピュータシステムへ、特定のパッケージデータシーケンスを送信するステップであって、前記目標コンピュータシステムの又は前記処理コンピュータシステムの前記特定のネットワークポートは、閉じられ、前記シーケンスは、前記目標コンピュータシステム又は前記処理コンピュータシステムの1又は複数のネットワークポートを特定の順序でアドレスするステップと、
前記目標コンピュータシステムの中の又は前記処理コンピュータシステムの中の所定のシーケンスとの一致について、前記送信されたシーケンスを検証するステップと、
前記送信されたシーケンスの前記検証が肯定的である場合、前記目標コンピュータシステム又は前記処理コンピュータシステムを用いて前記タスクファイルの前記送信を生じさせるステップであって、前記目標コンピュータシステム又は前記処理コンピュータシステムは、それぞれ、前記ブローカコンピュータシステムへの接続を確立し、前記タスクファイルをフェッチする、ステップと、
を有する、付記1乃至8のいずれか一項に記載の方法。
(付記10) 前記通信経路は、複数のサブ経路を有し、前記タスクファイルは、ブローカコンピュータシステムから前記複数のサブ経路に沿って前記通信経路の中の複数のコンピュータシステムへ続いて送信される、付記1乃至9のいずれか一項に記載の方法。
(付記11) 前記タスクファイルは、前記通信経路に沿って含まれる少なくとも1つのコンピュータシステムにおいて、前記コンピュータネットワーク基盤の中でユニークな識別情報を与えられ、又は前記タスクファイルの既存の識別情報が補完される、付記1乃至10のいずれか一項に記載の方法。
(付記12) コンピュータネットワーク基盤であって、少なくとも、
主コンピュータシステムと、
目標コンピュータシステムと、
ブローカコンピュータシステムと、
を有し、
前記主コンピュータシステムは、強制的に含まれるべき1又は複数のコンピュータシステムへのルーティングのために、前記主コンピュータシステムに格納された所定のルーティング情報からタスクファイルを生成するよう、及び前記タスクファイルを前記ブローカコンピュータシステムを用いて前記目標コンピュータシステムへ続けて送信するよう、設定され、前記目標コンピュータシステムは、前記ブローカコンピュータシステムにより前記目標コンピュータシステムへ送信されたタスクファイルの有効性を検証するよう、及び必要に応じて、前記タスクファイルに基づき前記目標コンピュータシステムの中の少なくとも1つのタスクを実行するよう、設定され、前記目標コンピュータシステム及び前記主コンピュータシステムは、それぞれ、アクセス制御ユニットを有し、前記アクセス制御ユニットは、当該方法のために使用される特定のネットワークポートを閉に保つよう設定され、前記主コンピュータシステムへの又は前記目標コンピュータシステムへの接続を外部から確立することが許されないように、したがって、前記ネットワークポートを用いてネットワークを経由するアクセスが防がれるようにし、しかし、ブローカコンピュータシステムにタスクファイルを格納するため又はブローカコンピュータシステムからタスクファイルをフェッチするために、前記主コンピュータシステム又は前記目標コンピュータシステムから前記ブローカコンピュータシステムへの接続を確立することが許される、
コンピュータネットワーク基盤。
(付記13) 処理コンピュータシステムを更に有し、
前記処理コンピュータシステムは、前記ブローカコンピュータシステムを用いて前記目標コンピュータシステムにおいてタスクを実行するために、前記主コンピュータシステムへ要求ファイルを送信するよう設定され、
前記主コンピュータシステムは、前記目標コンピュータシステムにおいて前記タスクを実行するために、前記タスクファイルに前記要求ファイルの特定の情報を格納するよう設定され、
前記処理コンピュータシステムは、アクセス制御ユニットを有し、前記アクセス制御ユニットは、当該方法のために使用される特定のネットワークポートを閉に保つよう設定され、前記処理コンピュータシステムへの接続を外部から確立することが許されないように、したがって、前記ネットワークポートを用いてネットワークを経由するアクセスが防がれるようにし、
しかし、タスクファイル又は要求ファイルをブローカコンピュータシステムに格納するために、又はタスクファイル又は要求ファイルをブローカコンピュータシステムからフェッチするために、前記処理コンピュータシステムから前記ブローカコンピュータシステムへの接続を確立することは、許される、
付記12に記載のコンピュータネットワーク基盤。
(付記14) 付記1乃至11のいずれか一項に記載の方法を実行するよう設定される、付記12又は13に記載のコンピュータネットワーク基盤。
(付記15) 1又は複数のコンピュータシステムにおいて実行されるよう設定され、実行されると、付記1乃至11のいずれか一項に記載の方法を実行する、コンピュータプログラム。
タスクサーバ ブローカコンピュータシステム、
管理クライアント 処理コンピュータシステム
目標サーバ 目標コンピュータシステム、
コンピュータ コンピュータシステム
1−28 方法のステップ
Claims (15)
- コンピュータネットワーク基盤の中のセキュアコンピュータシステムの間でタスク命令を転送するルーティング方法であって、
主コンピュータシステムに格納されているルーティング情報を呼び出すステップであって、前記ルーティング情報は、前記コンピュータネットワーク基盤の中の前記主コンピュータシステム、1又は複数のブローカコンピュータシステムのグループ、及び目標コンピュータシステムの間の通信経路に沿って強制的に含まれるべき1又は複数のコンピュータシステムへの少なくとも1つのルーティングを定める、ステップと、
前記主コンピュータシステムにおいてタスクファイルを生成するステップであって、前記タスクファイルは、少なくとも、前記ルーティング情報、及び前記目標コンピュータシステムの少なくとも1つのタスクのタスク記述を有する、ステップと、
前記ルーティング情報に基づき、前記通信経路に沿って、前記ブローカコンピュータシステムの前記グループを用いて、前記主コンピュータシステムから前記目標コンピュータシステムへ前記タスクファイルを送信するステップと、
前記目標コンピュータシステムを用いて、前記タスクファイルの有効性を検証するステップと、
前記タスクファイルの有効性の検証が成功した場合に、前記タスクファイルを用いて前記目標コンピュータシステムにおいて少なくとも1つのタスクを実行するステップであって、前記主コンピュータシステム及び前記目標コンピュータシステムの両方は、当該方法に使用される特定のネットワークポートを閉に保ち、前記主コンピュータシステムへの又は前記目標コンピュータシステムへの接続を外部から確立することが許されないように、したがって前記ネットワークポートを用いるネットワークを経由するアクセスが防がれるようにし、しかし、前記主コンピュータシステム及び前記目標コンピュータシステムがそれぞれ、ブローカコンピュータシステムにタスクファイルを格納するため又は前記ブローカコンピュータシステムから前記タスクファイルをフェッチするために、前記ブローカコンピュータシステムへの接続を確立できる、ステップと、
を有する方法。 - 1又は複数の処理コンピュータシステムのグループの中の1つの処理コンピュータシステムから、前記ブローカコンピュータシステムの前記グループの中の1つのブローカコンピュータシステムへ、要求ファイルを送信するステップであって、前記要求ファイルは、前記目標コンピュータシステムでタスクを実行するための特定の情報を含む、ステップと、
前記ブローカコンピュータシステムから前記主コンピュータシステムへ、前記要求ファイルを送信するステップであって、前記主コンピュータシステムは、前記ブローカコンピュータシステムから前記要求ファイルをフェッチするために、前記ブローカコンピュータシステムへの接続を確立する、ステップと、
前記主コンピュータシステムにより前記タスク記述をコンパイルするステップであって、前記要求ファイルの前記特定の情報に基づき、タスクの特定の基本機能が、前記主コンピュータシステムにより選択され、場合によっては、前記目標コンピュータシステムにおいて前記タスクを実行するための性能パラメータは、前記主コンピュータシステムにより設定される、ステップと、
を更に有する請求項1に記載の方法。 - 前記要求ファイルの前記特定の情報は、少なくとも、
命令を与える側としての、前記処理コンピュータシステムの前記グループの中の少なくとも1つの処理コンピュータシステムのもの、及び/又は
命令を受ける側としての、前記目標コンピュータシステムのもの、及び/又は
デジタル署名、及び/又は
タスクを実行するための命令、及び/又は
機密データ、
を有する、請求項2に記載の方法。 - 前記処理コンピュータシステムの前記グループの中の各々の処理コンピュータシステムは、当該方法のために使用される特定のネットワークポートを閉に保ち、前記個々の処理コンピュータシステムへの接続を外部から確立することが許されないように、したがって、前記ネットワークポートを用いてネットワークを経由するアクセスが防がれるようにし、しかし、前記処理コンピュータシステムの前記グループの中の各々の処理コンピュータシステムは、ブローカコンピュータシステムにタスクファイル若しくは要求ファイルを格納するために、又はブローカコンピュータシステムからタスクファイル若しくは要求ファイルをフェッチするために、前記ブローカコンピュータシステムへの接続を確立できる、請求項2又は3に記載の方法。
- 前記ルーティング情報は、前記コンピュータネットワーク基盤の中の前記処理コンピュータシステムの前記グループの中の少なくとも1つの処理コンピュータシステムを、強制的に含まれるべきコンピュータシステムとして定め、
前記方法は、
前記ブローカコンピュータシステムの前記グループの中の少なくとも1つのブローカコンピュータシステムから、処理コンピュータシステムの前記グループの中の少なくとも1つの処理コンピュータシステムへ、前記タスクファイルを送信するステップと、
前記処理コンピュータシステムにおいて少なくとも1つの動作を実行するステップと、
前記処理コンピュータシステムから前記ブローカコンピュータシステムへ、前記タスクファイルを返送するステップと、
を更に有する請求項2乃至4のいずれか一項に記載の方法。 - 前記少なくとも1つの動作は、少なくとも、
前記タスクファイルに更なるデータを挿入すること、及び/又は
少なくとも1つの秘密鍵により前記タスクファイルを署名すること、及び/又は
前記目標コンピュータシステムの公開鍵で前記タスクファイルを暗号化すること、
を含む、請求項5に記載の方法。 - 前記方法は、前記ブローカコンピュータシステムの前記グループと前記処理コンピュータシステムの前記グループとの間で幾つかのサイクルで再帰的に実行され、前記タスクファイルは、再帰的設定アーカイブファイルとして設計され、少なくとも、
1又は複数の作業ファイル、
内部アーカイブファイル、及び
前のサイクルからの処理コンピュータシステムの又は前記主コンピュータシステムの署名、
を含み、個々の処理コンピュータシステムにおいて各々のサイクルで、
アーカイブファイルとして設定された前記タスクファイルをパッキング解除するサブステップと、
前記1又は複数のパッキング解除された作業ファイルを処理するサブステップと、
少なくとも前記内部アーカイブファイル及び前のサイクルの前記署名を、第2の内部アーカイブファイルにパッキングするサブステップと、
本サイクルに含まれる前記処理コンピュータシステムの新しい署名を生成するサブステップと、
前記第2の内部アーカイブファイル、前記処理された1又は複数の作業ファイル、及び前記生成された新しい署名を、アーカイブファイルとして設定された新しいタスクファイルにパッキングするサブステップと、
が実行される、請求項6に記載の方法。 - 複数のセキュリティエンティティが、前記処理コンピュータシステムの中に設定され、少なくとも、前記ブローカコンピュータシステムからの前記タスクファイルの前記受信、前記タスクファイルを用いた少なくとも1つの動作の実行、及び前記処理コンピュータシステムから前記ブローカコンピュータシステムへの前記タスクファイルの返送は、異なるセキュリティエンティティにより別個のプロセスで実行され、
プロセスのセキュリティエンティティは、別のプロセスのセキュリティエンティティへの接続を確立できず、したがって、他のプロセスの前記セキュリティエンティティへのアクセスは防がれ、しかし、後続のプロセスはイベントメカニズムによりトリガされ、したがって、前記後続のプロセスのセキュリティエンティティは、前記タスクファイル又は前記タスクファイルのデータを更に処理できる、
請求項5乃至7のいずれか一項に記載の方法。 - 前記ブローカコンピュータシステムの前記グループの中の1つのブローカコンピュータシステムから前記目標コンピュータシステムへ又は前記処理コンピュータシステムの前記グループの中の1つの処理コンピュータシステムへ、前記タスクファイルを送信するステップは、
前記ブローカコンピュータシステムから前記目標コンピュータシステムへ又は前記処理コンピュータシステムへ、特定のパッケージデータシーケンスを送信するステップであって、前記目標コンピュータシステムの又は前記処理コンピュータシステムの前記特定のネットワークポートは、閉じられ、前記シーケンスは、前記目標コンピュータシステム又は前記処理コンピュータシステムの1又は複数のネットワークポートを特定の順序でアドレスするステップと、
前記目標コンピュータシステムの中の又は前記処理コンピュータシステムの中の所定のシーケンスとの一致について、前記送信されたシーケンスを検証するステップと、
前記送信されたシーケンスの前記検証が肯定的である場合、前記目標コンピュータシステム又は前記処理コンピュータシステムを用いて前記タスクファイルの前記送信を生じさせるステップであって、前記目標コンピュータシステム又は前記処理コンピュータシステムは、それぞれ、前記ブローカコンピュータシステムへの接続を確立し、前記タスクファイルをフェッチする、ステップと、
を有する、請求項1乃至8のいずれか一項に記載の方法。 - 前記通信経路は、複数のサブ経路を有し、前記タスクファイルは、ブローカコンピュータシステムから前記複数のサブ経路に沿って前記通信経路の中の複数のコンピュータシステムへ続いて送信される、請求項1乃至9のいずれか一項に記載の方法。
- 前記タスクファイルは、前記通信経路に沿って含まれる少なくとも1つのコンピュータシステムにおいて、前記コンピュータネットワーク基盤の中でユニークな識別情報を与えられ、又は前記タスクファイルの既存の識別情報が補完される、請求項1乃至10のいずれか一項に記載の方法。
- コンピュータネットワーク基盤であって、少なくとも、
主コンピュータシステムと、
目標コンピュータシステムと、
ブローカコンピュータシステムと、
を有し、
前記主コンピュータシステムは、強制的に含まれるべき1又は複数のコンピュータシステムへのルーティングのために、前記主コンピュータシステムに格納された所定のルーティング情報からタスクファイルを生成するよう、及び前記タスクファイルを前記ブローカコンピュータシステムを用いて前記目標コンピュータシステムへ続けて送信するよう、設定され、前記目標コンピュータシステムは、前記ブローカコンピュータシステムにより前記目標コンピュータシステムへ送信されたタスクファイルの有効性を検証するよう、及び必要に応じて、前記タスクファイルに基づき前記目標コンピュータシステムの中の少なくとも1つのタスクを実行するよう、設定され、前記目標コンピュータシステム及び前記主コンピュータシステムは、それぞれ、アクセス制御ユニットを有し、前記アクセス制御ユニットは、当該方法のために使用される特定のネットワークポートを閉に保つよう設定され、前記主コンピュータシステムへの又は前記目標コンピュータシステムへの接続を外部から確立することが許されないように、したがって、前記ネットワークポートを用いてネットワークを経由するアクセスが防がれるようにし、しかし、ブローカコンピュータシステムにタスクファイルを格納するため又はブローカコンピュータシステムからタスクファイルをフェッチするために、前記主コンピュータシステム又は前記目標コンピュータシステムから前記ブローカコンピュータシステムへの接続を確立することが許される、
コンピュータネットワーク基盤。 - 処理コンピュータシステムを更に有し、
前記処理コンピュータシステムは、前記ブローカコンピュータシステムを用いて前記目標コンピュータシステムにおいてタスクを実行するために、前記主コンピュータシステムへ要求ファイルを送信するよう設定され、
前記主コンピュータシステムは、前記目標コンピュータシステムにおいて前記タスクを実行するために、前記タスクファイルに前記要求ファイルの特定の情報を格納するよう設定され、
前記処理コンピュータシステムは、アクセス制御ユニットを有し、前記アクセス制御ユニットは、当該方法のために使用される特定のネットワークポートを閉に保つよう設定され、前記処理コンピュータシステムへの接続を外部から確立することが許されないように、したがって、前記ネットワークポートを用いてネットワークを経由するアクセスが防がれるようにし、
しかし、タスクファイル又は要求ファイルをブローカコンピュータシステムに格納するために、又はタスクファイル又は要求ファイルをブローカコンピュータシステムからフェッチするために、前記処理コンピュータシステムから前記ブローカコンピュータシステムへの接続を確立することは、許される、
請求項12に記載のコンピュータネットワーク基盤。 - 請求項1乃至11のいずれか一項に記載の方法を実行するよう設定される、請求項12又は13に記載のコンピュータネットワーク基盤。
- 1又は複数のコンピュータシステムにおいて実行されるよう設定され、実行されると、請求項1乃至11のいずれか一項に記載の方法を実行する、コンピュータプログラム。
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
DE102014107783.0 | 2014-06-03 | ||
DE102014107783.0A DE102014107783B4 (de) | 2014-06-03 | 2014-06-03 | Routing-Verfahren zur Weiterleitung von Task-Anweisungen zwischen Computersystemen, Computernetz-Infrastruktur sowie Computerprogramm-Produkt |
PCT/EP2015/062157 WO2015185508A1 (de) | 2014-06-03 | 2015-06-01 | Routing-verfahren zur weiterleitung von task-anweisungen zwischen computersystemen, computernetz-infrastruktur sowie computerporgamm-produkt |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2017527140A true JP2017527140A (ja) | 2017-09-14 |
JP6403803B2 JP6403803B2 (ja) | 2018-10-10 |
Family
ID=53488291
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2016571034A Expired - Fee Related JP6403803B2 (ja) | 2014-06-03 | 2015-06-01 | コンピュータシステムの間のタスク命令を転送するルーティング方法、コンピュータネットワーク基盤、及びコンピュータプログラム |
Country Status (5)
Country | Link |
---|---|
US (1) | US10326600B2 (ja) |
EP (1) | EP3152874B1 (ja) |
JP (1) | JP6403803B2 (ja) |
DE (1) | DE102014107783B4 (ja) |
WO (1) | WO2015185508A1 (ja) |
Families Citing this family (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
DE102014107793B9 (de) * | 2014-06-03 | 2018-05-09 | Fujitsu Technology Solutions Intellectual Property Gmbh | Verfahren zur Weiterleitung von Daten zwischen Computersystemen, Computernetz-Infrastruktur sowie Computerprogramm-Produkt |
CN105245336B (zh) * | 2015-11-12 | 2019-01-18 | 南威软件股份有限公司 | 一种文档加密管理*** |
US10599483B1 (en) * | 2017-03-01 | 2020-03-24 | Amazon Technologies, Inc. | Decentralized task execution bypassing an execution service |
US11658995B1 (en) | 2018-03-20 | 2023-05-23 | F5, Inc. | Methods for dynamically mitigating network attacks and devices thereof |
US11032311B2 (en) * | 2018-12-11 | 2021-06-08 | F5 Networks, Inc. | Methods for detecting and mitigating malicious network activity based on dynamic application context and devices thereof |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2006352476A (ja) * | 2005-06-15 | 2006-12-28 | Fuji Xerox Co Ltd | 情報処理装置および情報処理システム |
JP2008542892A (ja) * | 2005-06-03 | 2008-11-27 | ノキア コーポレイション | 動的ipアドレスがファイヤウォールの背後に存在する装置上のウェブ・サーバにアクセスするためのシステム及び方法 |
US20100031019A1 (en) * | 2008-07-29 | 2010-02-04 | Manning Robert S | Secure application routing |
US20110145910A1 (en) * | 2009-12-11 | 2011-06-16 | International Business Machiness Corporation | Port tapping for secure access |
Family Cites Families (12)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7945469B2 (en) * | 2004-11-16 | 2011-05-17 | Amazon Technologies, Inc. | Providing an electronic marketplace to facilitate human performance of programmatically submitted tasks |
JP4680068B2 (ja) | 2006-01-05 | 2011-05-11 | 富士通株式会社 | 通信制御方法、ネットワーク及びネットワーク機器 |
EP1879323B1 (en) | 2006-07-11 | 2015-09-09 | Sap Se | A method and system for protecting path and data of a mobile agent within a network system |
US8266688B2 (en) * | 2007-10-19 | 2012-09-11 | Citrix Systems, Inc. | Systems and methods for enhancing security by selectively opening a listening port when an incoming connection is expected |
US20110066851A1 (en) * | 2009-09-14 | 2011-03-17 | International Business Machines Corporation | Secure Route Discovery Node and Policing Mechanism |
WO2011081588A1 (en) | 2010-01-04 | 2011-07-07 | Telefonaktiebolaget L M Ericsson (Publ) | Method and apparatus for secure routing of data packets |
US8402516B2 (en) * | 2010-05-06 | 2013-03-19 | Jonathan Weizman | Apparatus and method for establishing a peer-to-peer communication session with a host device |
EP2823619B1 (en) | 2012-03-07 | 2019-12-25 | Google Technology Holdings LLC | Policy for secure packet transmission using required node paths and cryptographic signatures |
US20140164645A1 (en) * | 2012-12-06 | 2014-06-12 | Microsoft Corporation | Routing table maintenance |
DE102013102229A1 (de) * | 2013-02-27 | 2014-08-28 | Fujitsu Technology Solutions Intellectual Property Gmbh | Verfahren zum Ausführen von Tasks auf einem Produktions-Computersystem sowie Datenverarbeitungssystem |
US9294587B1 (en) * | 2013-03-11 | 2016-03-22 | Amazon Technologies, Inc. | Enhanced routing and content delivery |
US8977728B1 (en) * | 2014-05-16 | 2015-03-10 | Iboss, Inc. | Maintaining IP tables |
-
2014
- 2014-06-03 DE DE102014107783.0A patent/DE102014107783B4/de not_active Expired - Fee Related
-
2015
- 2015-06-01 WO PCT/EP2015/062157 patent/WO2015185508A1/de active Application Filing
- 2015-06-01 EP EP15731522.7A patent/EP3152874B1/de active Active
- 2015-06-01 US US15/315,577 patent/US10326600B2/en not_active Expired - Fee Related
- 2015-06-01 JP JP2016571034A patent/JP6403803B2/ja not_active Expired - Fee Related
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2008542892A (ja) * | 2005-06-03 | 2008-11-27 | ノキア コーポレイション | 動的ipアドレスがファイヤウォールの背後に存在する装置上のウェブ・サーバにアクセスするためのシステム及び方法 |
JP2006352476A (ja) * | 2005-06-15 | 2006-12-28 | Fuji Xerox Co Ltd | 情報処理装置および情報処理システム |
US20100031019A1 (en) * | 2008-07-29 | 2010-02-04 | Manning Robert S | Secure application routing |
US20110145910A1 (en) * | 2009-12-11 | 2011-06-16 | International Business Machiness Corporation | Port tapping for secure access |
Also Published As
Publication number | Publication date |
---|---|
WO2015185508A1 (de) | 2015-12-10 |
EP3152874A1 (de) | 2017-04-12 |
DE102014107783A1 (de) | 2015-12-03 |
DE102014107783B4 (de) | 2018-02-22 |
US20170222811A1 (en) | 2017-08-03 |
JP6403803B2 (ja) | 2018-10-10 |
US10326600B2 (en) | 2019-06-18 |
EP3152874B1 (de) | 2021-04-14 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10454916B2 (en) | Systems and methods for implementing security | |
US10153906B2 (en) | Systems and methods for implementing computer security | |
US10367834B2 (en) | Systems and methods for implementing intrusion prevention | |
US8875240B2 (en) | Tenant data center for establishing a virtual machine in a cloud environment | |
Aguiar et al. | An overview of issues and recent developments in cloud computing and storage security | |
US9124640B2 (en) | Systems and methods for implementing computer security | |
JP6403803B2 (ja) | コンピュータシステムの間のタスク命令を転送するルーティング方法、コンピュータネットワーク基盤、及びコンピュータプログラム | |
WO2022193513A1 (zh) | 一种基于容器引擎的数据处理方法以及相关设备 | |
KR102134491B1 (ko) | 보호된 데이터 세트의 네트워크 기반 관리 기법 | |
US20190036713A1 (en) | Methods for facilitating secure cloud compute environments and devices thereof | |
US11501005B2 (en) | Security system for using shared computational facilities | |
Galibus et al. | Elements of cloud storage security: concepts, designs and optimized practices | |
US20220300656A1 (en) | Elastic enclaves for security object management | |
US20190268317A1 (en) | Cyber Security System | |
JP6289656B2 (ja) | セキュアなコンピュータシステム間の通信のための方法及びコンピュータネットワーク・インフラストラクチャ | |
CN104092733B (zh) | 一种基于hdfs的可信分布式文件*** | |
Mavuş | Secure model for efficient live migration of containers | |
Janjua et al. | Enhanced secure mechanism for virtual machine migration in clouds | |
Benzidane et al. | Secured architecture for inter-VM traffic in a Cloud environment | |
Benzidane et al. | Application-based authentication on an inter-VM traffic in a cloud environment | |
Dyer et al. | Security issues relating to inadequate authentication in MapReduce applications | |
JP2017521954A (ja) | コンピュータ・ネットワーク・インフラストラクチャにおける外部コンピュータシステムのブロック解除方法、そのようなコンピュータ・ネットワーク・インフラストラクチャを有する分散コンピュータネットワーク、およびコンピュータプログラム製品 | |
CA3214064A1 (en) | Elastic enclaves for security object management | |
Ramachandran et al. | On Dynamic & Subjective Trust for Privacy Policy Enforcement in Cloud Computing | |
de Freitas | Tatiana Galibus Viktor V. Krasnoproshin Robson de Oliveira Albuquerque |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20180223 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20180313 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20180611 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20180814 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20180911 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 6403803 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
LAPS | Cancellation because of no payment of annual fees |