×
29.12.2017
217.015.f0c2

Результат интеллектуальной деятельности: Способ прогнозирования безопасности в достижимых состояниях грид-систем

Вид РИД

Изобретение

Аннотация: Изобретение относится к вычислительной технике. Технический результат заключается в повышении скорости обработки пользовательской задачи в грид-системе за счет уменьшения количества анализируемых состояний грид-системы. Указанный технический результат достигается за счет применения способа прогнозирования безопасности в достижимых состояниях грид-систем, включающего принятие решения о легитимности узлов на основании сопоставления прав доступа, запрашиваемых учетной записью пользователя грид-системы с уже предоставленными правами доступа на этих узлах, и распределение пользовательской задачи по легитимным узлам, при этом предварительно вычисляют возможные маршруты распределения пользовательской задачи по узлам грид-системы, затем фиксируют множество уникальных вершин дерева достижимости, после этого определяют множество легитимных узлов грид-системы путем сравнения запрашиваемых прав доступа с предоставленными правами доступа и с правилами разграничения доступа для каждой зафиксированной уникальной вершины полученного дерева достижимости. 3 ил.

Изобретение относится к области вычислительной техники и может найти применение в распределенных вычислительных сетях типа «грид» (грид-системах).

Известен способ распределения пользовательских задач по узлам грид-системы, реализованный в сервисе контроля доступа GRAM. При выполнении запроса на предоставление информационных и вычислительных ресурсов каждый узел, входящий в состав грид-системы, осуществляет авторизацию учетной записи пользователя путем отображения глобального идентификатора учетной записи в локальный идентификатор. Учетная запись пользователя грид-системы может инициировать выполнение пользовательской задачи только на тех узлах грид-системы, где она авторизована [Кирьянов А.К., Рябов Ю.Ф. Введение в технологию Грид: Учебное пособие. - Гатчина: ПИЯФ РАН, 2006. - 39 с.].

Недостатком способа является отсутствие учета таких состояний системы, при которых несколько учетных записей пользователей авторизуются на одном и том же узле грид-системы под одной локальной учетной записью. Это приводит к тому, что один пользователь может получить доступ к данным других пользователей, совместно с которыми он прошел процедуру авторизации на узле грид-системы, не имея права на такой доступ в соответствии с политикой безопасности.

Известен способ проверки прав доступа для учетных записей пользователей в грид-системах, в котором перед передачей пользовательской задачи на узел грид-системы сопоставляют права доступа, запрашиваемые учетной записью пользователя, с уже предоставленными правами доступа на выбранных узлах грид-системы. Затем, учитывая правила разграничения доступа, формируют множество узлов грид-системы, на которых допустимо выполнение пользовательской задачи (легитимных узлов). При этом при определении легитимности узла грид-системы вначале выполняется построение дерева достижимых состояний грид-системы, после чего для каждой вершины полученного дерева выполняют сравнение запрашиваемых прав доступа с предоставленными правами доступа и с правилами разграничения доступа [RU 2536678 С1 опубл. 27.12. 2014 г.]. Это техническое решение выбрано в качестве прототипа.

Недостаток известного способа заключается в том, что сравнение запрашиваемых прав доступа с предоставленными правами доступа и с правилами разграничения доступа выполняется для каждой вершины полученного дерева достижимости, при этом не учитывается наличие дублирующихся вершин, т.е. вершин с одинаковой маркировкой. Появление в дереве достижимости состояний грид-системы вершин с одинаковой маркировкой возможно ввиду того, что пользовательская задача может переместиться на заданный узел грид-системы несколькими альтернативными путями. Это приводит к снижению скорости обработки пользовательских задач.

Задача, на решение которой направлено предлагаемое изобретение, заключается в повышении скорости обработки пользовательской задачи в грид-системе за счет уменьшения количества анализируемых состояний грид-системы.

Для решения этой задачи, в отличие от известного способа проверки прав доступа для учетных записей пользователей в грид-системах, включающего принятие решения о легитимности узлов на основании сопоставления прав доступа, запрашиваемых учетной записью пользователя грид-системы с уже предоставленными правами доступа на этих узлах, и распределение пользовательской задачи по легитимным узлам,

в предлагаемом способе предварительно вычисляют возможные маршруты распределения пользовательской задачи по узлам грид-системы по алгоритму построения дерева достижимости сетей Петри (алгоритм построения дерева достижимости сетей Петри указан в источнике http://itmu.vsuet.ru/Subjects/Matmodel-pk/Seti-Petri.htm);

затем фиксируют множество уникальных (неповторяющихся) вершин дерева достижимости;

после этого определяют множество легитимных узлов грид-системы путем сравнения запрашиваемых прав доступа с предоставленными правами доступа и с правилами разграничения доступа для каждой зафиксированной уникальной вершины полученного дерева достижимости.

Предварительная фиксация множества уникальных вершин дерева достижимости состояний грид-системы позволяет сократить время, необходимое для определения множества легитимных узлов грид-системы, и увеличить скорость обработки пользовательских задач.

Изобретение поясняется чертежами, где фиг. 1 - схема реализации предложенного технического решения, фиг. 2 - схема грид-системы, фиг. 3 - пример реализации предложенного технического решения.

Грид-система содержит узлы 1, 2, 3, представляющие собой вычислительные устройства. В грид-системе реализована программная база Globus Toolkit 5.0. Цифровые сертификаты учетных записей пользователей и узлов грид-системы являются легитимными.

Узел 1 является провайдером ресурсов Т1={'пользовательские_данные'};

узел 2 является провайдером ресурсов Т2={'ресурсы_ПО'};

узел 3 является провайдером ресурсов Т3={'пользовательские_данные'}.

В грид-системе заданы следующие правила разграничения доступа, которые предусматривает два типа доступа: доступ к вычислительным ресурсам и к данным учетных записей пользователей грид-системы:

Правило №1. Учетная запись пользователя U1 может хранить данные на узле 2.

Правило №2. Учетная запись пользователя U1 может хранить данные на узле 3.

Правило №3. Учетная запись пользователя U3 не может исполнять приложения на узле 2.

Предлагаемый способ может быть реализован следующим образом.

Изначально в грид-системе отсутствуют пользовательские задачи. При запросе на выполнение пользовательской задачи J1 на узле 1 учетной записью пользователя U1 с типом метки Т={'пользовательские_данные', U1} сначала выполняется взаимная аутентификация узла грид-системы с учетной записью пользователя грид-системы посредством проверки их цифровых сертификатов.

Поскольку цифровые сертификаты учетных записей пользователей и узлов грид-системы являются легитимными, выполняется первичная обработка пользовательской задачи, инициированной процессами от имени учетной записи пользователя, посредством определения доступных узлов грид-системы, анализа их загруженности, производительности, а также доступных типов ресурсов. Для успешного выполнения данной задачи в соответствии с типом ее метки Т провайдеры ресурсов (узлы грид-системы) должны располагать следующим множеством ресурсов: {'пользовательские_данные'}. В результате определено множество доступных узлов грид-системы, способных выполнить данную задачу: узел 2 и узел 3.

Затем выполняют шифрование данных, содержащихся в пользовательской задаче. Для этого создают пару криптографических ключей: открытый ключ шифрования, предназначенный для зашифровывания данных, и закрытый ключ шифрования, предназначенный для расшифровывания данных.

Затем вычисляют возможные маршруты распределения пользовательской задачи по узлам грид-системы. Для этого грид-систему представляют в виде сети Петри N=(RP, Т, F, М), где RP=[rp] - конечное множество вершин графа, соответствующих узлам грид-системы (провайдерам ресурсов), T={t} - конечное множество переходов между вершинами графа, - отношение смежности вершин, которое задает множество дуг, соединяющих вершины графа и переходы, М=(m1, …, mn) - маркировка сети, представляющая собой вектор целочисленных значений количества активных пользовательских задач (из множества J), n - число узлов грид-системы. Затем строят дерево достижимости сети Петри (алгоритм построения дерева достижимости сетей Петри указан в источнике http://itmu.vsuet.ru/Subjects/Matmodel-pk/Seti-Petri.htm). Для данного примера дерево достижимости имеет вид, представленный на фиг. 3.

Затем фиксируют множество уникальных вершин полученного дерева достижимости. В данном примере уникальными являются вершины М1 и М2, поскольку маркировка вершины М3 совпадает с маркировкой вершины М2.

После этого определяют множество легитимных узлов грид-системы. Для этого для каждой зафиксированной уникальной вершины дерева достижимости (вершины М1 и М2) выполняют сравнение запрашиваемых прав доступа с предоставленными правами доступа и с правилами разграничения доступа. Поскольку политика безопасности не содержит правил, запрещающих выполнение пользовательской задачи J1 на узлах 2 и 3, данные узлы грид-системы являются конечными пунктами маршрута распределения пользовательской задачи.

Затем выполняют обмен ключами шифрования между учетной записью пользователя U1 и полученными легитимными узлами грид-системы: 2 и 3.

После этого учетная запись пользователя U1 выполняет зашифровывание данных пользовательской задачи на узле 1 с помощью открытого ключа шифрования.

В соответствии с определенным ранее маршрутом распределения пользовательской задачи по узлам грид-системы пользовательскую задачу передают на узлы 2 и 3.

На указанных узлах грид-системы выполняют расшифровывание данных пользовательской задачи с помощью закрытого ключа шифрования. После этого программный сервис грид-системы, расположенный на указанных узлах, запускает задачу от имени локальной учетной записи пользователя, в результате чего задействует ресурсы на узлах 2 и 3.

Применение данного изобретения в существующих реализациях грид-систем позволит сократить временные и экономические затраты на поддержание надежного функционирования грид-систем за счет повышения скорости обработки пользовательской задачи в грид-системе. Применение предлагаемой в изобретении системы позволит автоматизировать процедуру анализа безопасности, придать ей объективный характер и тем самым обеспечивать высокий уровень надежности и защищенности грид-систем.

Способ прогнозирования безопасности в достижимых состояниях грид-систем, включающий принятие решения о легитимности узлов на основании сопоставления прав доступа, запрашиваемых учетной записью пользователя грид-системы с уже предоставленными правами доступа на этих узлах, и распределение пользовательской задачи по легитимным узлам, отличающийся тем, что предварительно вычисляют возможные маршруты распределения пользовательской задачи по узлам грид-системы, затем фиксируют множество уникальных вершин дерева достижимости, после этого определяют множество легитимных узлов грид-системы путем сравнения запрашиваемых прав доступа с предоставленными правами доступа и с правилами разграничения доступа для каждой зафиксированной уникальной вершины полученного дерева достижимости.
Способ прогнозирования безопасности в достижимых состояниях грид-систем
Способ прогнозирования безопасности в достижимых состояниях грид-систем
Способ прогнозирования безопасности в достижимых состояниях грид-систем
Источник поступления информации: Роспатент

Showing 61-70 of 130 items.
29.03.2019
№219.016.ecf4

Способ демодуляции сигнала волоконно-оптического датчика тока

Изобретение относится к области оптических способов измерения физических величин с использованием фазовых волоконно-оптических датчиков, в том числе волоконно-оптических интерферометров, применяемых для измерения электромагнитных полей. Техническим результатом является повышение точности...
Тип: Изобретение
Номер охранного документа: 0002682981
Дата охранного документа: 25.03.2019
29.03.2019
№219.016.ee27

Операционный транскондуктивный усилитель с дифференциальным выходом

Изобретение относится к области радиотехники и связи и может быть использовано при разработке электронных интегральных схем с переключаемыми конденсаторами. Технический результат заключается в уменьшении площади, занимаемой полной схемой ОТУ на кристалле. Операционный транскондуктивный...
Тип: Изобретение
Номер охранного документа: 0002683185
Дата охранного документа: 26.03.2019
31.05.2019
№219.017.716c

Способ приготовления диетического заварного полуфабриката

Изобретение относится к пищевой промышленности, в частности к кондитерскому производству и общественному питанию. Способ приготовления диетического заварного полуфабриката включает заварку овсяной муки в кипящей смеси воды, масла, соли при перемешивании в течение 1-2 минут до образования...
Тип: Изобретение
Номер охранного документа: 0002689715
Дата охранного документа: 28.05.2019
04.06.2019
№219.017.72d7

Способ получения нанокомпозиционного покрытия из диоксида кремния с наночастицами дисульфида молибдена

Изобретение относится к способам получения покрытий из нанокомпозиционных материалов химическим осаждением из газовой фазы, в частности к способу формирования на подложке нанокомпозиционного покрытия, состоящего из матрицы диоксида кремния с равномерно распределенными в ней наночастицами...
Тип: Изобретение
Номер охранного документа: 0002690259
Дата охранного документа: 31.05.2019
07.06.2019
№219.017.755a

Способ автоматической классификации сетевого трафика на основе эвристического анализа

Изобретение относится к вычислительной технике. Технический результат заключается в повышении эффективности и скорости обнаружения сетевых атак в магистральных сетях. Способ содержит: классификацию сетевого трафика, при этом для классификации используются эвристические правила, описывающие...
Тип: Изобретение
Номер охранного документа: 0002690758
Дата охранного документа: 05.06.2019
09.06.2019
№219.017.7625

Способ обработки биопрепаратом сырых овощных полуфабрикатов для предотвращения роста нежелательной микрофлоры

Изобретение относится к биотехнологии и может быть использовано при обработке сырых овощных полуфабрикатов дозревающих культур для увеличения продолжительности их холодильного хранения. Способ предусматривает первичную обработку и нарезку овощей, приготовление защитного препарата, при котором...
Тип: Изобретение
Номер охранного документа: 0002691028
Дата охранного документа: 07.06.2019
15.06.2019
№219.017.8347

24-режимная однопоточная вальная коробка передач "конфигурация-24"

Изобретение относится к коробкам передач с промежуточными параллельными валами и зубчатыми колесами. 24-режимная коробка передач (КП) содержит ведущий 0, промежуточные А, B, C и выходной X валы, расположенные параллельно друг другу. Валы А и B являются смежными с валом 0. На валах установлены...
Тип: Изобретение
Номер охранного документа: 0002691506
Дата охранного документа: 14.06.2019
20.06.2019
№219.017.8cc4

20-режимная однопоточная вальная коробка передач "конфигурация-20"

Изобретение относится к коробкам передач с промежуточными параллельными валами и зубчатыми колесами. 20-режимная коробка передач (КП) содержит ведущий 0, промежуточные А, B, C и выходной X валы, расположенные параллельно друг другу в картере на подшипниках. Валы А и B являются супротивно...
Тип: Изобретение
Номер охранного документа: 0002691678
Дата охранного документа: 17.06.2019
03.07.2019
№219.017.a474

Способ микропрофилирования поверхности многокомпонентных стёкол

Изобретение относится к способам получения наноструктурированных материалов, в частности к способу нанесения на поверхность стекол заданного рельефа с характерным латеральным разрешением порядка сотен нанометров. Способ микропрофилирования поверхности многокомпонентных стёкол включает...
Тип: Изобретение
Номер охранного документа: 0002693097
Дата охранного документа: 01.07.2019
11.07.2019
№219.017.b266

Генетическая конструкция на основе двух индуцибельных экспрессионных векторов для экспрессии тиазол/оксазол модифицированного пептида в клетках бактерий e. coli; способ получения рекомбинантного штамма бактерий e. coli и способ получения модифицированного пептида на его основе

Изобретение относится к области биотехнологии и молекулярной генетики. Представлена генетическая конструкция для гетерологической экспрессии тиазол-оксазол модифицированного пептида клебсазолицина в клетках бактерий Е. coli на основе двух индуцибельных экспрессионных векторных плазмид - pBAD...
Тип: Изобретение
Номер охранного документа: 0002694044
Дата охранного документа: 08.07.2019
Showing 41-49 of 49 items.
01.03.2019
№219.016.cb3e

Способ централизованных автоматизированных настройки, контроля и анализа безопасности информационных систем и система для его осуществления

Изобретение относится к информационным системам и может быть использовано для управления информационной безопасностью, осуществляемого в автоматизированном режиме. Изобретение позволяет повысить эффективность обеспечения информационной безопасности и улучшить управляемость информационных...
Тип: Изобретение
Номер охранного документа: 0002390839
Дата охранного документа: 27.05.2010
01.03.2019
№219.016.cb7f

Способ прогнозирования и оценки безопасности достижимых состояний защищенных информационных систем

Изобретение относится к области защиты информационных систем. Изобретение позволяет прогнозировать и оценивать безопасность достижимых состояний защищенных информационных систем. В основе способа прогнозирования и оценки безопасности достижимых состояний защищенных информационных систем лежит...
Тип: Изобретение
Номер охранного документа: 0002394271
Дата охранного документа: 10.07.2010
10.04.2019
№219.017.02bc

Способ адаптивного параметрического управления безопасностью информационных систем и система для его осуществления

Изобретение относится к вычислительной технике, а именно к информационным системам, и может быть использовано для управления безопасностью информационных систем. Техническим результатом является автоматизирование процесса адаптации информационных систем к происходящим нарушениям безопасности....
Тип: Изобретение
Номер охранного документа: 0002399091
Дата охранного документа: 10.09.2010
06.07.2019
№219.017.a868

Способ сопоставления состояний безопасности операционных систем семейства windows

Изобретение относится к области управления безопасностью операционных систем семейства Windows (в т.ч. Microsoft Windows 2000 Professional, Microsoft Windows 2000 Server, Microsoft Windows XP Professional, Microsoft Windows Server 2003, Microsoft Windows Server 2008, Microsoft Windows Vista...
Тип: Изобретение
Номер охранного документа: 0002379752
Дата охранного документа: 20.01.2010
06.07.2019
№219.017.a869

Способ автоматической оценки защищенности информационных систем и система для его осуществления

Изобретение относится к области защиты информационных систем, а именно к оценке защищенности информационных систем путем представления системных состояний, требований безопасности и модели контроля и управления доступом с использованием логики предикатов и автоматической проверки соблюдения...
Тип: Изобретение
Номер охранного документа: 0002379754
Дата охранного документа: 20.01.2010
09.10.2019
№219.017.d3c9

Способ генерации универсального входного сигнала для нейросетевых детекторов компьютерных вторжений в межмашинных сетях

Изобретение относится к области техники связи. Технический результат заключается в повышении точности обнаружения вторжений и повышении защищенности межмашинных сетей. Технический результат достигается за счет генерации универсального входного сигнала для блока обнаружения вторжений,...
Тип: Изобретение
Номер охранного документа: 0002702274
Дата охранного документа: 07.10.2019
18.10.2019
№219.017.d7e0

Способ защиты данных в системах конференцсвязи

Изобретение относится к области связи. Технический результат заключается в повышении защищенности систем конференцсвязи от атак, направленных на получение несанкционированного доступа к данным, обрабатываемым в системах конференцсвязи. Способ содержит этапы: выполняют контроль устанавливаемых...
Тип: Изобретение
Номер охранного документа: 0002703357
Дата охранного документа: 16.10.2019
15.02.2020
№220.018.0299

Способ осуществления правил политики безопасности в одноранговых коммуникационных сетях киберфизических устройств

Изобретение относится к области вычислительной техники. Технический результат заключается в повышении киберустойчивости и информационной безопасности сети киберфизических устройств. Технический результат достигается за счёт способа осуществления правил политики безопасности в одноранговых...
Тип: Изобретение
Номер охранного документа: 0002714217
Дата охранного документа: 13.02.2020
23.02.2020
№220.018.053e

Способ контроля доступа между устройствами в межмашинных сетях передачи данных

Изобретение относится к технике связи и может использоваться при построении межмашинных сетей передачи данных с возможностью контроля доступа между устройствами. Техническим результатом является создание способа контроля доступа к информации между устройствами в межмашинных сетях передачи...
Тип: Изобретение
Номер охранного документа: 0002714853
Дата охранного документа: 19.02.2020
+ добавить свой РИД