×
29.12.2017
217.015.f0c2

Результат интеллектуальной деятельности: Способ прогнозирования безопасности в достижимых состояниях грид-систем

Вид РИД

Изобретение

Аннотация: Изобретение относится к вычислительной технике. Технический результат заключается в повышении скорости обработки пользовательской задачи в грид-системе за счет уменьшения количества анализируемых состояний грид-системы. Указанный технический результат достигается за счет применения способа прогнозирования безопасности в достижимых состояниях грид-систем, включающего принятие решения о легитимности узлов на основании сопоставления прав доступа, запрашиваемых учетной записью пользователя грид-системы с уже предоставленными правами доступа на этих узлах, и распределение пользовательской задачи по легитимным узлам, при этом предварительно вычисляют возможные маршруты распределения пользовательской задачи по узлам грид-системы, затем фиксируют множество уникальных вершин дерева достижимости, после этого определяют множество легитимных узлов грид-системы путем сравнения запрашиваемых прав доступа с предоставленными правами доступа и с правилами разграничения доступа для каждой зафиксированной уникальной вершины полученного дерева достижимости. 3 ил.

Изобретение относится к области вычислительной техники и может найти применение в распределенных вычислительных сетях типа «грид» (грид-системах).

Известен способ распределения пользовательских задач по узлам грид-системы, реализованный в сервисе контроля доступа GRAM. При выполнении запроса на предоставление информационных и вычислительных ресурсов каждый узел, входящий в состав грид-системы, осуществляет авторизацию учетной записи пользователя путем отображения глобального идентификатора учетной записи в локальный идентификатор. Учетная запись пользователя грид-системы может инициировать выполнение пользовательской задачи только на тех узлах грид-системы, где она авторизована [Кирьянов А.К., Рябов Ю.Ф. Введение в технологию Грид: Учебное пособие. - Гатчина: ПИЯФ РАН, 2006. - 39 с.].

Недостатком способа является отсутствие учета таких состояний системы, при которых несколько учетных записей пользователей авторизуются на одном и том же узле грид-системы под одной локальной учетной записью. Это приводит к тому, что один пользователь может получить доступ к данным других пользователей, совместно с которыми он прошел процедуру авторизации на узле грид-системы, не имея права на такой доступ в соответствии с политикой безопасности.

Известен способ проверки прав доступа для учетных записей пользователей в грид-системах, в котором перед передачей пользовательской задачи на узел грид-системы сопоставляют права доступа, запрашиваемые учетной записью пользователя, с уже предоставленными правами доступа на выбранных узлах грид-системы. Затем, учитывая правила разграничения доступа, формируют множество узлов грид-системы, на которых допустимо выполнение пользовательской задачи (легитимных узлов). При этом при определении легитимности узла грид-системы вначале выполняется построение дерева достижимых состояний грид-системы, после чего для каждой вершины полученного дерева выполняют сравнение запрашиваемых прав доступа с предоставленными правами доступа и с правилами разграничения доступа [RU 2536678 С1 опубл. 27.12. 2014 г.]. Это техническое решение выбрано в качестве прототипа.

Недостаток известного способа заключается в том, что сравнение запрашиваемых прав доступа с предоставленными правами доступа и с правилами разграничения доступа выполняется для каждой вершины полученного дерева достижимости, при этом не учитывается наличие дублирующихся вершин, т.е. вершин с одинаковой маркировкой. Появление в дереве достижимости состояний грид-системы вершин с одинаковой маркировкой возможно ввиду того, что пользовательская задача может переместиться на заданный узел грид-системы несколькими альтернативными путями. Это приводит к снижению скорости обработки пользовательских задач.

Задача, на решение которой направлено предлагаемое изобретение, заключается в повышении скорости обработки пользовательской задачи в грид-системе за счет уменьшения количества анализируемых состояний грид-системы.

Для решения этой задачи, в отличие от известного способа проверки прав доступа для учетных записей пользователей в грид-системах, включающего принятие решения о легитимности узлов на основании сопоставления прав доступа, запрашиваемых учетной записью пользователя грид-системы с уже предоставленными правами доступа на этих узлах, и распределение пользовательской задачи по легитимным узлам,

в предлагаемом способе предварительно вычисляют возможные маршруты распределения пользовательской задачи по узлам грид-системы по алгоритму построения дерева достижимости сетей Петри (алгоритм построения дерева достижимости сетей Петри указан в источнике http://itmu.vsuet.ru/Subjects/Matmodel-pk/Seti-Petri.htm);

затем фиксируют множество уникальных (неповторяющихся) вершин дерева достижимости;

после этого определяют множество легитимных узлов грид-системы путем сравнения запрашиваемых прав доступа с предоставленными правами доступа и с правилами разграничения доступа для каждой зафиксированной уникальной вершины полученного дерева достижимости.

Предварительная фиксация множества уникальных вершин дерева достижимости состояний грид-системы позволяет сократить время, необходимое для определения множества легитимных узлов грид-системы, и увеличить скорость обработки пользовательских задач.

Изобретение поясняется чертежами, где фиг. 1 - схема реализации предложенного технического решения, фиг. 2 - схема грид-системы, фиг. 3 - пример реализации предложенного технического решения.

Грид-система содержит узлы 1, 2, 3, представляющие собой вычислительные устройства. В грид-системе реализована программная база Globus Toolkit 5.0. Цифровые сертификаты учетных записей пользователей и узлов грид-системы являются легитимными.

Узел 1 является провайдером ресурсов Т1={'пользовательские_данные'};

узел 2 является провайдером ресурсов Т2={'ресурсы_ПО'};

узел 3 является провайдером ресурсов Т3={'пользовательские_данные'}.

В грид-системе заданы следующие правила разграничения доступа, которые предусматривает два типа доступа: доступ к вычислительным ресурсам и к данным учетных записей пользователей грид-системы:

Правило №1. Учетная запись пользователя U1 может хранить данные на узле 2.

Правило №2. Учетная запись пользователя U1 может хранить данные на узле 3.

Правило №3. Учетная запись пользователя U3 не может исполнять приложения на узле 2.

Предлагаемый способ может быть реализован следующим образом.

Изначально в грид-системе отсутствуют пользовательские задачи. При запросе на выполнение пользовательской задачи J1 на узле 1 учетной записью пользователя U1 с типом метки Т={'пользовательские_данные', U1} сначала выполняется взаимная аутентификация узла грид-системы с учетной записью пользователя грид-системы посредством проверки их цифровых сертификатов.

Поскольку цифровые сертификаты учетных записей пользователей и узлов грид-системы являются легитимными, выполняется первичная обработка пользовательской задачи, инициированной процессами от имени учетной записи пользователя, посредством определения доступных узлов грид-системы, анализа их загруженности, производительности, а также доступных типов ресурсов. Для успешного выполнения данной задачи в соответствии с типом ее метки Т провайдеры ресурсов (узлы грид-системы) должны располагать следующим множеством ресурсов: {'пользовательские_данные'}. В результате определено множество доступных узлов грид-системы, способных выполнить данную задачу: узел 2 и узел 3.

Затем выполняют шифрование данных, содержащихся в пользовательской задаче. Для этого создают пару криптографических ключей: открытый ключ шифрования, предназначенный для зашифровывания данных, и закрытый ключ шифрования, предназначенный для расшифровывания данных.

Затем вычисляют возможные маршруты распределения пользовательской задачи по узлам грид-системы. Для этого грид-систему представляют в виде сети Петри N=(RP, Т, F, М), где RP=[rp] - конечное множество вершин графа, соответствующих узлам грид-системы (провайдерам ресурсов), T={t} - конечное множество переходов между вершинами графа, - отношение смежности вершин, которое задает множество дуг, соединяющих вершины графа и переходы, М=(m1, …, mn) - маркировка сети, представляющая собой вектор целочисленных значений количества активных пользовательских задач (из множества J), n - число узлов грид-системы. Затем строят дерево достижимости сети Петри (алгоритм построения дерева достижимости сетей Петри указан в источнике http://itmu.vsuet.ru/Subjects/Matmodel-pk/Seti-Petri.htm). Для данного примера дерево достижимости имеет вид, представленный на фиг. 3.

Затем фиксируют множество уникальных вершин полученного дерева достижимости. В данном примере уникальными являются вершины М1 и М2, поскольку маркировка вершины М3 совпадает с маркировкой вершины М2.

После этого определяют множество легитимных узлов грид-системы. Для этого для каждой зафиксированной уникальной вершины дерева достижимости (вершины М1 и М2) выполняют сравнение запрашиваемых прав доступа с предоставленными правами доступа и с правилами разграничения доступа. Поскольку политика безопасности не содержит правил, запрещающих выполнение пользовательской задачи J1 на узлах 2 и 3, данные узлы грид-системы являются конечными пунктами маршрута распределения пользовательской задачи.

Затем выполняют обмен ключами шифрования между учетной записью пользователя U1 и полученными легитимными узлами грид-системы: 2 и 3.

После этого учетная запись пользователя U1 выполняет зашифровывание данных пользовательской задачи на узле 1 с помощью открытого ключа шифрования.

В соответствии с определенным ранее маршрутом распределения пользовательской задачи по узлам грид-системы пользовательскую задачу передают на узлы 2 и 3.

На указанных узлах грид-системы выполняют расшифровывание данных пользовательской задачи с помощью закрытого ключа шифрования. После этого программный сервис грид-системы, расположенный на указанных узлах, запускает задачу от имени локальной учетной записи пользователя, в результате чего задействует ресурсы на узлах 2 и 3.

Применение данного изобретения в существующих реализациях грид-систем позволит сократить временные и экономические затраты на поддержание надежного функционирования грид-систем за счет повышения скорости обработки пользовательской задачи в грид-системе. Применение предлагаемой в изобретении системы позволит автоматизировать процедуру анализа безопасности, придать ей объективный характер и тем самым обеспечивать высокий уровень надежности и защищенности грид-систем.

Способ прогнозирования безопасности в достижимых состояниях грид-систем, включающий принятие решения о легитимности узлов на основании сопоставления прав доступа, запрашиваемых учетной записью пользователя грид-системы с уже предоставленными правами доступа на этих узлах, и распределение пользовательской задачи по легитимным узлам, отличающийся тем, что предварительно вычисляют возможные маршруты распределения пользовательской задачи по узлам грид-системы, затем фиксируют множество уникальных вершин дерева достижимости, после этого определяют множество легитимных узлов грид-системы путем сравнения запрашиваемых прав доступа с предоставленными правами доступа и с правилами разграничения доступа для каждой зафиксированной уникальной вершины полученного дерева достижимости.
Способ прогнозирования безопасности в достижимых состояниях грид-систем
Способ прогнозирования безопасности в достижимых состояниях грид-систем
Способ прогнозирования безопасности в достижимых состояниях грид-систем
Источник поступления информации: Роспатент

Showing 51-60 of 130 items.
09.09.2018
№218.016.85ca

Способ управления связностью одноранговой межмашинной сети передачи данных

Изобретение относится к технологиям сетевой связи. Технический результат заключается в повышении надежности и эффективности сети. В способе управления связностью одноранговой межмашинной сети передачи данных на каждом узле сети формируют набор данных о каждом соединении, фиксируют общие...
Тип: Изобретение
Номер охранного документа: 0002666306
Дата охранного документа: 06.09.2018
28.09.2018
№218.016.8caf

Способ культивирования микроводоросли chlorella

Изобретение относится к области культивирования микроводорослей. Предложен способ культивирования микроводоросли . Способ включает культивирование суспензии микроводоросли в фотобиореакторе, в котором суспензию микроводоросли перемешивают в течение 13-17 минут с частотой вращения 500 об/мин...
Тип: Изобретение
Номер охранного документа: 0002668162
Дата охранного документа: 26.09.2018
03.10.2018
№218.016.8d56

Способ безопасной маршрутизации в одноранговых самоорганизующихся сетях

Изобретение относится к технике беспроводной связи, в частности, может использоваться при построении одноранговых самоорганизующихся сетей, и предназначено для выявления и предотвращения перехвата и уничтожения сетевого трафика сетевыми узлами-нарушителями при использовании сетевых протоколов...
Тип: Изобретение
Номер охранного документа: 0002668222
Дата охранного документа: 27.09.2018
04.10.2018
№218.016.8eb4

Интеллектуальный способ диагностики и обнаружения новообразований в легких

Изобретение относится к медицине, а именно к диагностике рака легких. Способ содержит обработку изображений легких пациента, полученных методом компьютерной томографии, в результате которой в графическом изображении маскируют воксели со значениями плотности по шкале Хаунсфилда, не...
Тип: Изобретение
Номер охранного документа: 0002668699
Дата охранного документа: 02.10.2018
17.11.2018
№218.016.9e7d

Система автоматического регулирования частоты тока в сети с участием аэс

Изобретение относится к области энергетических систем и комплексов, в состав которых входят атомные электрические станции. Система автоматического регулирования частоты тока в сети с участием АЭС, функционально связанная с парогенератором и турбиной, содержит регулятор изменения мощности...
Тип: Изобретение
Номер охранного документа: 0002672559
Дата охранного документа: 16.11.2018
13.12.2018
№218.016.a5c3

Тиазол-оксазол-модифицированные пептиды, обладающие способностью ингибировать бактериальную рибосому

Изобретение относится к области биотехнологии и медицины, конкретно к новым тиазол-оксазол модифицированным пептидам, обладающим способностью ингибировать бактериальную рибосому Е. coli, K. pneumoniae и Yersinia pseudotuberculosis за счет связывания в её выходном туннеле. Модифицированный...
Тип: Изобретение
Номер охранного документа: 0002674581
Дата охранного документа: 11.12.2018
21.12.2018
№218.016.aa15

Способ получения нанодвойникованной медной пленки, модифицированной графеном

Изобретение относится к области гальванотехники и может быть использовано для получения медных пленок с повышенными прочностными свойствами. Способ включает приготовление водного раствора сульфата меди с добавлением этилового спирта до концентрации 37,5-41,5 мл/л и последующим подкислением до...
Тип: Изобретение
Номер охранного документа: 0002675611
Дата охранного документа: 20.12.2018
27.12.2018
№218.016.ac18

Применение производных пиперазина для лечения болезни альцгеймера и деменций альцгеймеровского типа с нарушенной внутриклеточной кальциевой сигнализацией

Изобретение относится к применению гетероциклического соединения общей формулы I для получения лекарственного средства, предназначенного для предупреждения и/или лечения нейродегенеративного заболевания, представляющего собой раннюю стадию болезни Альцгеймера и деменции альцгеймеровского типа....
Тип: Изобретение
Номер охранного документа: 0002676100
Дата охранного документа: 26.12.2018
08.03.2019
№219.016.d352

Устройство для электролитно - плазменной обработки металлических изделий

Изобретение относится к области гальванотехники и может быть использовано в энергомашиностроении для обработки турбинных лопаток и в машиностроении для обработки электрод-инструментов. Устройство содержит источник питания, систему подачи электролита, цилиндрическую трубку для формирования...
Тип: Изобретение
Номер охранного документа: 0002681239
Дата охранного документа: 05.03.2019
29.03.2019
№219.016.ece3

Ионный ракетный двигатель космического аппарата

Изобретение относится к ионно-плазменному, или ионному электроракетному двигателю, используемому для управляемого перемещения летательных аппаратов в космическом вакууме, в том числе орбитальных спутников. Ионно-плазменное электродвигательное реактивное устройство в составе космического...
Тип: Изобретение
Номер охранного документа: 0002682962
Дата охранного документа: 25.03.2019
Showing 41-49 of 49 items.
01.03.2019
№219.016.cb3e

Способ централизованных автоматизированных настройки, контроля и анализа безопасности информационных систем и система для его осуществления

Изобретение относится к информационным системам и может быть использовано для управления информационной безопасностью, осуществляемого в автоматизированном режиме. Изобретение позволяет повысить эффективность обеспечения информационной безопасности и улучшить управляемость информационных...
Тип: Изобретение
Номер охранного документа: 0002390839
Дата охранного документа: 27.05.2010
01.03.2019
№219.016.cb7f

Способ прогнозирования и оценки безопасности достижимых состояний защищенных информационных систем

Изобретение относится к области защиты информационных систем. Изобретение позволяет прогнозировать и оценивать безопасность достижимых состояний защищенных информационных систем. В основе способа прогнозирования и оценки безопасности достижимых состояний защищенных информационных систем лежит...
Тип: Изобретение
Номер охранного документа: 0002394271
Дата охранного документа: 10.07.2010
10.04.2019
№219.017.02bc

Способ адаптивного параметрического управления безопасностью информационных систем и система для его осуществления

Изобретение относится к вычислительной технике, а именно к информационным системам, и может быть использовано для управления безопасностью информационных систем. Техническим результатом является автоматизирование процесса адаптации информационных систем к происходящим нарушениям безопасности....
Тип: Изобретение
Номер охранного документа: 0002399091
Дата охранного документа: 10.09.2010
06.07.2019
№219.017.a868

Способ сопоставления состояний безопасности операционных систем семейства windows

Изобретение относится к области управления безопасностью операционных систем семейства Windows (в т.ч. Microsoft Windows 2000 Professional, Microsoft Windows 2000 Server, Microsoft Windows XP Professional, Microsoft Windows Server 2003, Microsoft Windows Server 2008, Microsoft Windows Vista...
Тип: Изобретение
Номер охранного документа: 0002379752
Дата охранного документа: 20.01.2010
06.07.2019
№219.017.a869

Способ автоматической оценки защищенности информационных систем и система для его осуществления

Изобретение относится к области защиты информационных систем, а именно к оценке защищенности информационных систем путем представления системных состояний, требований безопасности и модели контроля и управления доступом с использованием логики предикатов и автоматической проверки соблюдения...
Тип: Изобретение
Номер охранного документа: 0002379754
Дата охранного документа: 20.01.2010
09.10.2019
№219.017.d3c9

Способ генерации универсального входного сигнала для нейросетевых детекторов компьютерных вторжений в межмашинных сетях

Изобретение относится к области техники связи. Технический результат заключается в повышении точности обнаружения вторжений и повышении защищенности межмашинных сетей. Технический результат достигается за счет генерации универсального входного сигнала для блока обнаружения вторжений,...
Тип: Изобретение
Номер охранного документа: 0002702274
Дата охранного документа: 07.10.2019
18.10.2019
№219.017.d7e0

Способ защиты данных в системах конференцсвязи

Изобретение относится к области связи. Технический результат заключается в повышении защищенности систем конференцсвязи от атак, направленных на получение несанкционированного доступа к данным, обрабатываемым в системах конференцсвязи. Способ содержит этапы: выполняют контроль устанавливаемых...
Тип: Изобретение
Номер охранного документа: 0002703357
Дата охранного документа: 16.10.2019
15.02.2020
№220.018.0299

Способ осуществления правил политики безопасности в одноранговых коммуникационных сетях киберфизических устройств

Изобретение относится к области вычислительной техники. Технический результат заключается в повышении киберустойчивости и информационной безопасности сети киберфизических устройств. Технический результат достигается за счёт способа осуществления правил политики безопасности в одноранговых...
Тип: Изобретение
Номер охранного документа: 0002714217
Дата охранного документа: 13.02.2020
23.02.2020
№220.018.053e

Способ контроля доступа между устройствами в межмашинных сетях передачи данных

Изобретение относится к технике связи и может использоваться при построении межмашинных сетей передачи данных с возможностью контроля доступа между устройствами. Техническим результатом является создание способа контроля доступа к информации между устройствами в межмашинных сетях передачи...
Тип: Изобретение
Номер охранного документа: 0002714853
Дата охранного документа: 19.02.2020
+ добавить свой РИД