×
29.12.2017
217.015.f0c2

Результат интеллектуальной деятельности: Способ прогнозирования безопасности в достижимых состояниях грид-систем

Вид РИД

Изобретение

Аннотация: Изобретение относится к вычислительной технике. Технический результат заключается в повышении скорости обработки пользовательской задачи в грид-системе за счет уменьшения количества анализируемых состояний грид-системы. Указанный технический результат достигается за счет применения способа прогнозирования безопасности в достижимых состояниях грид-систем, включающего принятие решения о легитимности узлов на основании сопоставления прав доступа, запрашиваемых учетной записью пользователя грид-системы с уже предоставленными правами доступа на этих узлах, и распределение пользовательской задачи по легитимным узлам, при этом предварительно вычисляют возможные маршруты распределения пользовательской задачи по узлам грид-системы, затем фиксируют множество уникальных вершин дерева достижимости, после этого определяют множество легитимных узлов грид-системы путем сравнения запрашиваемых прав доступа с предоставленными правами доступа и с правилами разграничения доступа для каждой зафиксированной уникальной вершины полученного дерева достижимости. 3 ил.

Изобретение относится к области вычислительной техники и может найти применение в распределенных вычислительных сетях типа «грид» (грид-системах).

Известен способ распределения пользовательских задач по узлам грид-системы, реализованный в сервисе контроля доступа GRAM. При выполнении запроса на предоставление информационных и вычислительных ресурсов каждый узел, входящий в состав грид-системы, осуществляет авторизацию учетной записи пользователя путем отображения глобального идентификатора учетной записи в локальный идентификатор. Учетная запись пользователя грид-системы может инициировать выполнение пользовательской задачи только на тех узлах грид-системы, где она авторизована [Кирьянов А.К., Рябов Ю.Ф. Введение в технологию Грид: Учебное пособие. - Гатчина: ПИЯФ РАН, 2006. - 39 с.].

Недостатком способа является отсутствие учета таких состояний системы, при которых несколько учетных записей пользователей авторизуются на одном и том же узле грид-системы под одной локальной учетной записью. Это приводит к тому, что один пользователь может получить доступ к данным других пользователей, совместно с которыми он прошел процедуру авторизации на узле грид-системы, не имея права на такой доступ в соответствии с политикой безопасности.

Известен способ проверки прав доступа для учетных записей пользователей в грид-системах, в котором перед передачей пользовательской задачи на узел грид-системы сопоставляют права доступа, запрашиваемые учетной записью пользователя, с уже предоставленными правами доступа на выбранных узлах грид-системы. Затем, учитывая правила разграничения доступа, формируют множество узлов грид-системы, на которых допустимо выполнение пользовательской задачи (легитимных узлов). При этом при определении легитимности узла грид-системы вначале выполняется построение дерева достижимых состояний грид-системы, после чего для каждой вершины полученного дерева выполняют сравнение запрашиваемых прав доступа с предоставленными правами доступа и с правилами разграничения доступа [RU 2536678 С1 опубл. 27.12. 2014 г.]. Это техническое решение выбрано в качестве прототипа.

Недостаток известного способа заключается в том, что сравнение запрашиваемых прав доступа с предоставленными правами доступа и с правилами разграничения доступа выполняется для каждой вершины полученного дерева достижимости, при этом не учитывается наличие дублирующихся вершин, т.е. вершин с одинаковой маркировкой. Появление в дереве достижимости состояний грид-системы вершин с одинаковой маркировкой возможно ввиду того, что пользовательская задача может переместиться на заданный узел грид-системы несколькими альтернативными путями. Это приводит к снижению скорости обработки пользовательских задач.

Задача, на решение которой направлено предлагаемое изобретение, заключается в повышении скорости обработки пользовательской задачи в грид-системе за счет уменьшения количества анализируемых состояний грид-системы.

Для решения этой задачи, в отличие от известного способа проверки прав доступа для учетных записей пользователей в грид-системах, включающего принятие решения о легитимности узлов на основании сопоставления прав доступа, запрашиваемых учетной записью пользователя грид-системы с уже предоставленными правами доступа на этих узлах, и распределение пользовательской задачи по легитимным узлам,

в предлагаемом способе предварительно вычисляют возможные маршруты распределения пользовательской задачи по узлам грид-системы по алгоритму построения дерева достижимости сетей Петри (алгоритм построения дерева достижимости сетей Петри указан в источнике http://itmu.vsuet.ru/Subjects/Matmodel-pk/Seti-Petri.htm);

затем фиксируют множество уникальных (неповторяющихся) вершин дерева достижимости;

после этого определяют множество легитимных узлов грид-системы путем сравнения запрашиваемых прав доступа с предоставленными правами доступа и с правилами разграничения доступа для каждой зафиксированной уникальной вершины полученного дерева достижимости.

Предварительная фиксация множества уникальных вершин дерева достижимости состояний грид-системы позволяет сократить время, необходимое для определения множества легитимных узлов грид-системы, и увеличить скорость обработки пользовательских задач.

Изобретение поясняется чертежами, где фиг. 1 - схема реализации предложенного технического решения, фиг. 2 - схема грид-системы, фиг. 3 - пример реализации предложенного технического решения.

Грид-система содержит узлы 1, 2, 3, представляющие собой вычислительные устройства. В грид-системе реализована программная база Globus Toolkit 5.0. Цифровые сертификаты учетных записей пользователей и узлов грид-системы являются легитимными.

Узел 1 является провайдером ресурсов Т1={'пользовательские_данные'};

узел 2 является провайдером ресурсов Т2={'ресурсы_ПО'};

узел 3 является провайдером ресурсов Т3={'пользовательские_данные'}.

В грид-системе заданы следующие правила разграничения доступа, которые предусматривает два типа доступа: доступ к вычислительным ресурсам и к данным учетных записей пользователей грид-системы:

Правило №1. Учетная запись пользователя U1 может хранить данные на узле 2.

Правило №2. Учетная запись пользователя U1 может хранить данные на узле 3.

Правило №3. Учетная запись пользователя U3 не может исполнять приложения на узле 2.

Предлагаемый способ может быть реализован следующим образом.

Изначально в грид-системе отсутствуют пользовательские задачи. При запросе на выполнение пользовательской задачи J1 на узле 1 учетной записью пользователя U1 с типом метки Т={'пользовательские_данные', U1} сначала выполняется взаимная аутентификация узла грид-системы с учетной записью пользователя грид-системы посредством проверки их цифровых сертификатов.

Поскольку цифровые сертификаты учетных записей пользователей и узлов грид-системы являются легитимными, выполняется первичная обработка пользовательской задачи, инициированной процессами от имени учетной записи пользователя, посредством определения доступных узлов грид-системы, анализа их загруженности, производительности, а также доступных типов ресурсов. Для успешного выполнения данной задачи в соответствии с типом ее метки Т провайдеры ресурсов (узлы грид-системы) должны располагать следующим множеством ресурсов: {'пользовательские_данные'}. В результате определено множество доступных узлов грид-системы, способных выполнить данную задачу: узел 2 и узел 3.

Затем выполняют шифрование данных, содержащихся в пользовательской задаче. Для этого создают пару криптографических ключей: открытый ключ шифрования, предназначенный для зашифровывания данных, и закрытый ключ шифрования, предназначенный для расшифровывания данных.

Затем вычисляют возможные маршруты распределения пользовательской задачи по узлам грид-системы. Для этого грид-систему представляют в виде сети Петри N=(RP, Т, F, М), где RP=[rp] - конечное множество вершин графа, соответствующих узлам грид-системы (провайдерам ресурсов), T={t} - конечное множество переходов между вершинами графа, - отношение смежности вершин, которое задает множество дуг, соединяющих вершины графа и переходы, М=(m1, …, mn) - маркировка сети, представляющая собой вектор целочисленных значений количества активных пользовательских задач (из множества J), n - число узлов грид-системы. Затем строят дерево достижимости сети Петри (алгоритм построения дерева достижимости сетей Петри указан в источнике http://itmu.vsuet.ru/Subjects/Matmodel-pk/Seti-Petri.htm). Для данного примера дерево достижимости имеет вид, представленный на фиг. 3.

Затем фиксируют множество уникальных вершин полученного дерева достижимости. В данном примере уникальными являются вершины М1 и М2, поскольку маркировка вершины М3 совпадает с маркировкой вершины М2.

После этого определяют множество легитимных узлов грид-системы. Для этого для каждой зафиксированной уникальной вершины дерева достижимости (вершины М1 и М2) выполняют сравнение запрашиваемых прав доступа с предоставленными правами доступа и с правилами разграничения доступа. Поскольку политика безопасности не содержит правил, запрещающих выполнение пользовательской задачи J1 на узлах 2 и 3, данные узлы грид-системы являются конечными пунктами маршрута распределения пользовательской задачи.

Затем выполняют обмен ключами шифрования между учетной записью пользователя U1 и полученными легитимными узлами грид-системы: 2 и 3.

После этого учетная запись пользователя U1 выполняет зашифровывание данных пользовательской задачи на узле 1 с помощью открытого ключа шифрования.

В соответствии с определенным ранее маршрутом распределения пользовательской задачи по узлам грид-системы пользовательскую задачу передают на узлы 2 и 3.

На указанных узлах грид-системы выполняют расшифровывание данных пользовательской задачи с помощью закрытого ключа шифрования. После этого программный сервис грид-системы, расположенный на указанных узлах, запускает задачу от имени локальной учетной записи пользователя, в результате чего задействует ресурсы на узлах 2 и 3.

Применение данного изобретения в существующих реализациях грид-систем позволит сократить временные и экономические затраты на поддержание надежного функционирования грид-систем за счет повышения скорости обработки пользовательской задачи в грид-системе. Применение предлагаемой в изобретении системы позволит автоматизировать процедуру анализа безопасности, придать ей объективный характер и тем самым обеспечивать высокий уровень надежности и защищенности грид-систем.

Способ прогнозирования безопасности в достижимых состояниях грид-систем, включающий принятие решения о легитимности узлов на основании сопоставления прав доступа, запрашиваемых учетной записью пользователя грид-системы с уже предоставленными правами доступа на этих узлах, и распределение пользовательской задачи по легитимным узлам, отличающийся тем, что предварительно вычисляют возможные маршруты распределения пользовательской задачи по узлам грид-системы, затем фиксируют множество уникальных вершин дерева достижимости, после этого определяют множество легитимных узлов грид-системы путем сравнения запрашиваемых прав доступа с предоставленными правами доступа и с правилами разграничения доступа для каждой зафиксированной уникальной вершины полученного дерева достижимости.
Способ прогнозирования безопасности в достижимых состояниях грид-систем
Способ прогнозирования безопасности в достижимых состояниях грид-систем
Способ прогнозирования безопасности в достижимых состояниях грид-систем
Источник поступления информации: Роспатент

Showing 41-50 of 130 items.
10.05.2018
№218.016.3ae4

Способ экспериментальной оценки терапевтического воздействия фокусированного ультразвука на сосуды животных

Изобретение относится к экспериментальной медицине, в частности к изучению терапевтического воздействия фокусированного ультразвука на сосуды. Способ экспериментальной оценки эффективности воздействия ультразвука включает использование каудальной вены кролика. Для этого, при выполнении...
Тип: Изобретение
Номер охранного документа: 0002647481
Дата охранного документа: 15.03.2018
10.05.2018
№218.016.3e26

Способ получения магнитотвердого материала

Изобретение относится к порошковой металлургии и может быть использовано при получении магнитов с полимерной связкой и спеченных магнитов. Для получения магнитотвердого материала на основе нитридов интерметаллических соединений самария с железом и переходными металлами, выбранными из группы Ti,...
Тип: Изобретение
Номер охранного документа: 0002648335
Дата охранного документа: 23.03.2018
29.05.2018
№218.016.54d2

Способ обнаружения скрытых взаимосвязей в интернете вещей

Изобретение относится к области компьютерных систем, а именно к Интернету Вещей. Техническим результатом является обнаружение скрытых взаимосвязей в Интернете Вещей. Раскрыт способ обнаружения скрытых взаимосвязей в Интернете Вещей, включающий сбор данных с устройств, подключенных к сети...
Тип: Изобретение
Номер охранного документа: 0002654167
Дата охранного документа: 16.05.2018
29.05.2018
№218.016.573b

Цифровой способ измерения фазы гармонического сигнала

Цифровой способ измерения фазы гармонического сигнала позволяет упростить реализацию определения фазы гармонического сигнала и повысить точность определения фазы при зашумленности исходного сигнала. Способ основан на приеме первичного сигнала x(t) с последующим аналого-цифровым преобразованием...
Тип: Изобретение
Номер охранного документа: 0002654945
Дата охранного документа: 23.05.2018
09.06.2018
№218.016.5e37

Магнетронная распылительная головка

Изобретение относится к магнетронной распылительной головке. Охлаждаемая магнитная система магнетронной распылительной головки состоит из магнитов и магнитопровода и оснащена каналами охлаждения. Магнитная система зафиксирована в корпусе криволинейной формы. Верхняя часть магнитопровода...
Тип: Изобретение
Номер охранного документа: 0002656318
Дата охранного документа: 04.06.2018
09.06.2018
№218.016.5ff0

Бортовая насосная станция систем смазки и гидравлического управления наземного транспортного средства

Изобретение относится к автономной гидросистеме смазки и управления транспортного средства (ТС). Бортовая насосная станция содержит по меньшей мере один масляный насос (МН) (5) высокого давления и механическую связь насосной станции от выходного вала теплового двигателя непосредственно или...
Тип: Изобретение
Номер охранного документа: 0002656938
Дата охранного документа: 07.06.2018
09.06.2018
№218.016.601e

Привод электрического генератора в составе самоходного наземного транспортного средства

Изобретение относится к наземным транспортным средствам, главным образом быстроходным. Привод электрического генератора в составе самоходного наземного транспортного средства содержит механическую связь электрического генератора с выходным валом теплового двигателя транспортного средства....
Тип: Изобретение
Номер охранного документа: 0002656940
Дата охранного документа: 07.06.2018
16.06.2018
№218.016.62fe

18-скоростная механическая вальная коробка передач, преимущественно для трактора

Изобретение относится к механическим вальным коробкам передач с несколькими промежуточными параллельными валами и зубчатыми колесами. 18-скоростная коробка передач содержит параллельно установленные в картере ведущий (0), промежуточные (A, B и C) и грузовой (X) валы с установленными на них...
Тип: Изобретение
Номер охранного документа: 0002657483
Дата охранного документа: 14.06.2018
25.06.2018
№218.016.66ab

Многовальная коробка передач "ромашка"

Изобретение относится к механическим коробкам передач с параллельным симметричным расположением валов. Многовальная коробка передач (КП) содержит входной ведущий, ведомые, промежуточные (1-6) и выходной валы. Они установлены преимущественно параллельно друг другу в картере на подшипниках. На...
Тип: Изобретение
Номер охранного документа: 0002658474
Дата охранного документа: 21.06.2018
25.06.2018
№218.016.66c3

Гибридный механизм распределения мощности в трансмиссии транспортной машины

Изобретение относится к наземным транспортным средствам. Гибридный механизм распределения мощности в трансмиссии транспортной машины содержит бортовые суммирующие планетарные трехзвенные механизмы, первые входные звенья которых через коробку передач связаны с основным двигателем, вторые входные...
Тип: Изобретение
Номер охранного документа: 0002658486
Дата охранного документа: 21.06.2018
Showing 41-49 of 49 items.
01.03.2019
№219.016.cb3e

Способ централизованных автоматизированных настройки, контроля и анализа безопасности информационных систем и система для его осуществления

Изобретение относится к информационным системам и может быть использовано для управления информационной безопасностью, осуществляемого в автоматизированном режиме. Изобретение позволяет повысить эффективность обеспечения информационной безопасности и улучшить управляемость информационных...
Тип: Изобретение
Номер охранного документа: 0002390839
Дата охранного документа: 27.05.2010
01.03.2019
№219.016.cb7f

Способ прогнозирования и оценки безопасности достижимых состояний защищенных информационных систем

Изобретение относится к области защиты информационных систем. Изобретение позволяет прогнозировать и оценивать безопасность достижимых состояний защищенных информационных систем. В основе способа прогнозирования и оценки безопасности достижимых состояний защищенных информационных систем лежит...
Тип: Изобретение
Номер охранного документа: 0002394271
Дата охранного документа: 10.07.2010
10.04.2019
№219.017.02bc

Способ адаптивного параметрического управления безопасностью информационных систем и система для его осуществления

Изобретение относится к вычислительной технике, а именно к информационным системам, и может быть использовано для управления безопасностью информационных систем. Техническим результатом является автоматизирование процесса адаптации информационных систем к происходящим нарушениям безопасности....
Тип: Изобретение
Номер охранного документа: 0002399091
Дата охранного документа: 10.09.2010
06.07.2019
№219.017.a868

Способ сопоставления состояний безопасности операционных систем семейства windows

Изобретение относится к области управления безопасностью операционных систем семейства Windows (в т.ч. Microsoft Windows 2000 Professional, Microsoft Windows 2000 Server, Microsoft Windows XP Professional, Microsoft Windows Server 2003, Microsoft Windows Server 2008, Microsoft Windows Vista...
Тип: Изобретение
Номер охранного документа: 0002379752
Дата охранного документа: 20.01.2010
06.07.2019
№219.017.a869

Способ автоматической оценки защищенности информационных систем и система для его осуществления

Изобретение относится к области защиты информационных систем, а именно к оценке защищенности информационных систем путем представления системных состояний, требований безопасности и модели контроля и управления доступом с использованием логики предикатов и автоматической проверки соблюдения...
Тип: Изобретение
Номер охранного документа: 0002379754
Дата охранного документа: 20.01.2010
09.10.2019
№219.017.d3c9

Способ генерации универсального входного сигнала для нейросетевых детекторов компьютерных вторжений в межмашинных сетях

Изобретение относится к области техники связи. Технический результат заключается в повышении точности обнаружения вторжений и повышении защищенности межмашинных сетей. Технический результат достигается за счет генерации универсального входного сигнала для блока обнаружения вторжений,...
Тип: Изобретение
Номер охранного документа: 0002702274
Дата охранного документа: 07.10.2019
18.10.2019
№219.017.d7e0

Способ защиты данных в системах конференцсвязи

Изобретение относится к области связи. Технический результат заключается в повышении защищенности систем конференцсвязи от атак, направленных на получение несанкционированного доступа к данным, обрабатываемым в системах конференцсвязи. Способ содержит этапы: выполняют контроль устанавливаемых...
Тип: Изобретение
Номер охранного документа: 0002703357
Дата охранного документа: 16.10.2019
15.02.2020
№220.018.0299

Способ осуществления правил политики безопасности в одноранговых коммуникационных сетях киберфизических устройств

Изобретение относится к области вычислительной техники. Технический результат заключается в повышении киберустойчивости и информационной безопасности сети киберфизических устройств. Технический результат достигается за счёт способа осуществления правил политики безопасности в одноранговых...
Тип: Изобретение
Номер охранного документа: 0002714217
Дата охранного документа: 13.02.2020
23.02.2020
№220.018.053e

Способ контроля доступа между устройствами в межмашинных сетях передачи данных

Изобретение относится к технике связи и может использоваться при построении межмашинных сетей передачи данных с возможностью контроля доступа между устройствами. Техническим результатом является создание способа контроля доступа к информации между устройствами в межмашинных сетях передачи...
Тип: Изобретение
Номер охранного документа: 0002714853
Дата охранного документа: 19.02.2020
+ добавить свой РИД