×
29.12.2017
217.015.f0c2

Результат интеллектуальной деятельности: Способ прогнозирования безопасности в достижимых состояниях грид-систем

Вид РИД

Изобретение

Аннотация: Изобретение относится к вычислительной технике. Технический результат заключается в повышении скорости обработки пользовательской задачи в грид-системе за счет уменьшения количества анализируемых состояний грид-системы. Указанный технический результат достигается за счет применения способа прогнозирования безопасности в достижимых состояниях грид-систем, включающего принятие решения о легитимности узлов на основании сопоставления прав доступа, запрашиваемых учетной записью пользователя грид-системы с уже предоставленными правами доступа на этих узлах, и распределение пользовательской задачи по легитимным узлам, при этом предварительно вычисляют возможные маршруты распределения пользовательской задачи по узлам грид-системы, затем фиксируют множество уникальных вершин дерева достижимости, после этого определяют множество легитимных узлов грид-системы путем сравнения запрашиваемых прав доступа с предоставленными правами доступа и с правилами разграничения доступа для каждой зафиксированной уникальной вершины полученного дерева достижимости. 3 ил.

Изобретение относится к области вычислительной техники и может найти применение в распределенных вычислительных сетях типа «грид» (грид-системах).

Известен способ распределения пользовательских задач по узлам грид-системы, реализованный в сервисе контроля доступа GRAM. При выполнении запроса на предоставление информационных и вычислительных ресурсов каждый узел, входящий в состав грид-системы, осуществляет авторизацию учетной записи пользователя путем отображения глобального идентификатора учетной записи в локальный идентификатор. Учетная запись пользователя грид-системы может инициировать выполнение пользовательской задачи только на тех узлах грид-системы, где она авторизована [Кирьянов А.К., Рябов Ю.Ф. Введение в технологию Грид: Учебное пособие. - Гатчина: ПИЯФ РАН, 2006. - 39 с.].

Недостатком способа является отсутствие учета таких состояний системы, при которых несколько учетных записей пользователей авторизуются на одном и том же узле грид-системы под одной локальной учетной записью. Это приводит к тому, что один пользователь может получить доступ к данным других пользователей, совместно с которыми он прошел процедуру авторизации на узле грид-системы, не имея права на такой доступ в соответствии с политикой безопасности.

Известен способ проверки прав доступа для учетных записей пользователей в грид-системах, в котором перед передачей пользовательской задачи на узел грид-системы сопоставляют права доступа, запрашиваемые учетной записью пользователя, с уже предоставленными правами доступа на выбранных узлах грид-системы. Затем, учитывая правила разграничения доступа, формируют множество узлов грид-системы, на которых допустимо выполнение пользовательской задачи (легитимных узлов). При этом при определении легитимности узла грид-системы вначале выполняется построение дерева достижимых состояний грид-системы, после чего для каждой вершины полученного дерева выполняют сравнение запрашиваемых прав доступа с предоставленными правами доступа и с правилами разграничения доступа [RU 2536678 С1 опубл. 27.12. 2014 г.]. Это техническое решение выбрано в качестве прототипа.

Недостаток известного способа заключается в том, что сравнение запрашиваемых прав доступа с предоставленными правами доступа и с правилами разграничения доступа выполняется для каждой вершины полученного дерева достижимости, при этом не учитывается наличие дублирующихся вершин, т.е. вершин с одинаковой маркировкой. Появление в дереве достижимости состояний грид-системы вершин с одинаковой маркировкой возможно ввиду того, что пользовательская задача может переместиться на заданный узел грид-системы несколькими альтернативными путями. Это приводит к снижению скорости обработки пользовательских задач.

Задача, на решение которой направлено предлагаемое изобретение, заключается в повышении скорости обработки пользовательской задачи в грид-системе за счет уменьшения количества анализируемых состояний грид-системы.

Для решения этой задачи, в отличие от известного способа проверки прав доступа для учетных записей пользователей в грид-системах, включающего принятие решения о легитимности узлов на основании сопоставления прав доступа, запрашиваемых учетной записью пользователя грид-системы с уже предоставленными правами доступа на этих узлах, и распределение пользовательской задачи по легитимным узлам,

в предлагаемом способе предварительно вычисляют возможные маршруты распределения пользовательской задачи по узлам грид-системы по алгоритму построения дерева достижимости сетей Петри (алгоритм построения дерева достижимости сетей Петри указан в источнике http://itmu.vsuet.ru/Subjects/Matmodel-pk/Seti-Petri.htm);

затем фиксируют множество уникальных (неповторяющихся) вершин дерева достижимости;

после этого определяют множество легитимных узлов грид-системы путем сравнения запрашиваемых прав доступа с предоставленными правами доступа и с правилами разграничения доступа для каждой зафиксированной уникальной вершины полученного дерева достижимости.

Предварительная фиксация множества уникальных вершин дерева достижимости состояний грид-системы позволяет сократить время, необходимое для определения множества легитимных узлов грид-системы, и увеличить скорость обработки пользовательских задач.

Изобретение поясняется чертежами, где фиг. 1 - схема реализации предложенного технического решения, фиг. 2 - схема грид-системы, фиг. 3 - пример реализации предложенного технического решения.

Грид-система содержит узлы 1, 2, 3, представляющие собой вычислительные устройства. В грид-системе реализована программная база Globus Toolkit 5.0. Цифровые сертификаты учетных записей пользователей и узлов грид-системы являются легитимными.

Узел 1 является провайдером ресурсов Т1={'пользовательские_данные'};

узел 2 является провайдером ресурсов Т2={'ресурсы_ПО'};

узел 3 является провайдером ресурсов Т3={'пользовательские_данные'}.

В грид-системе заданы следующие правила разграничения доступа, которые предусматривает два типа доступа: доступ к вычислительным ресурсам и к данным учетных записей пользователей грид-системы:

Правило №1. Учетная запись пользователя U1 может хранить данные на узле 2.

Правило №2. Учетная запись пользователя U1 может хранить данные на узле 3.

Правило №3. Учетная запись пользователя U3 не может исполнять приложения на узле 2.

Предлагаемый способ может быть реализован следующим образом.

Изначально в грид-системе отсутствуют пользовательские задачи. При запросе на выполнение пользовательской задачи J1 на узле 1 учетной записью пользователя U1 с типом метки Т={'пользовательские_данные', U1} сначала выполняется взаимная аутентификация узла грид-системы с учетной записью пользователя грид-системы посредством проверки их цифровых сертификатов.

Поскольку цифровые сертификаты учетных записей пользователей и узлов грид-системы являются легитимными, выполняется первичная обработка пользовательской задачи, инициированной процессами от имени учетной записи пользователя, посредством определения доступных узлов грид-системы, анализа их загруженности, производительности, а также доступных типов ресурсов. Для успешного выполнения данной задачи в соответствии с типом ее метки Т провайдеры ресурсов (узлы грид-системы) должны располагать следующим множеством ресурсов: {'пользовательские_данные'}. В результате определено множество доступных узлов грид-системы, способных выполнить данную задачу: узел 2 и узел 3.

Затем выполняют шифрование данных, содержащихся в пользовательской задаче. Для этого создают пару криптографических ключей: открытый ключ шифрования, предназначенный для зашифровывания данных, и закрытый ключ шифрования, предназначенный для расшифровывания данных.

Затем вычисляют возможные маршруты распределения пользовательской задачи по узлам грид-системы. Для этого грид-систему представляют в виде сети Петри N=(RP, Т, F, М), где RP=[rp] - конечное множество вершин графа, соответствующих узлам грид-системы (провайдерам ресурсов), T={t} - конечное множество переходов между вершинами графа, - отношение смежности вершин, которое задает множество дуг, соединяющих вершины графа и переходы, М=(m1, …, mn) - маркировка сети, представляющая собой вектор целочисленных значений количества активных пользовательских задач (из множества J), n - число узлов грид-системы. Затем строят дерево достижимости сети Петри (алгоритм построения дерева достижимости сетей Петри указан в источнике http://itmu.vsuet.ru/Subjects/Matmodel-pk/Seti-Petri.htm). Для данного примера дерево достижимости имеет вид, представленный на фиг. 3.

Затем фиксируют множество уникальных вершин полученного дерева достижимости. В данном примере уникальными являются вершины М1 и М2, поскольку маркировка вершины М3 совпадает с маркировкой вершины М2.

После этого определяют множество легитимных узлов грид-системы. Для этого для каждой зафиксированной уникальной вершины дерева достижимости (вершины М1 и М2) выполняют сравнение запрашиваемых прав доступа с предоставленными правами доступа и с правилами разграничения доступа. Поскольку политика безопасности не содержит правил, запрещающих выполнение пользовательской задачи J1 на узлах 2 и 3, данные узлы грид-системы являются конечными пунктами маршрута распределения пользовательской задачи.

Затем выполняют обмен ключами шифрования между учетной записью пользователя U1 и полученными легитимными узлами грид-системы: 2 и 3.

После этого учетная запись пользователя U1 выполняет зашифровывание данных пользовательской задачи на узле 1 с помощью открытого ключа шифрования.

В соответствии с определенным ранее маршрутом распределения пользовательской задачи по узлам грид-системы пользовательскую задачу передают на узлы 2 и 3.

На указанных узлах грид-системы выполняют расшифровывание данных пользовательской задачи с помощью закрытого ключа шифрования. После этого программный сервис грид-системы, расположенный на указанных узлах, запускает задачу от имени локальной учетной записи пользователя, в результате чего задействует ресурсы на узлах 2 и 3.

Применение данного изобретения в существующих реализациях грид-систем позволит сократить временные и экономические затраты на поддержание надежного функционирования грид-систем за счет повышения скорости обработки пользовательской задачи в грид-системе. Применение предлагаемой в изобретении системы позволит автоматизировать процедуру анализа безопасности, придать ей объективный характер и тем самым обеспечивать высокий уровень надежности и защищенности грид-систем.

Способ прогнозирования безопасности в достижимых состояниях грид-систем, включающий принятие решения о легитимности узлов на основании сопоставления прав доступа, запрашиваемых учетной записью пользователя грид-системы с уже предоставленными правами доступа на этих узлах, и распределение пользовательской задачи по легитимным узлам, отличающийся тем, что предварительно вычисляют возможные маршруты распределения пользовательской задачи по узлам грид-системы, затем фиксируют множество уникальных вершин дерева достижимости, после этого определяют множество легитимных узлов грид-системы путем сравнения запрашиваемых прав доступа с предоставленными правами доступа и с правилами разграничения доступа для каждой зафиксированной уникальной вершины полученного дерева достижимости.
Способ прогнозирования безопасности в достижимых состояниях грид-систем
Способ прогнозирования безопасности в достижимых состояниях грид-систем
Способ прогнозирования безопасности в достижимых состояниях грид-систем
Источник поступления информации: Роспатент

Showing 81-90 of 130 items.
03.08.2019
№219.017.bcb7

Способ демодуляции сигнала фазового оптического датчика

Изобретение относится к области оптических способов измерения физических величин с использованием фазовых оптических датчиков (интерферометров), в том числе для измерения механических и акустических колебаний, а также линий сбора данных на их основе. Заявленный способ демодуляции сигнала...
Тип: Изобретение
Номер охранного документа: 0002696324
Дата охранного документа: 01.08.2019
03.08.2019
№219.017.bcdd

Способ обнаружения аномалий в трафике магистральных сетей интернет на основе мультифрактального эвристического анализа

Изобретение относится к способу обнаружения аномалий в трафике магистральных сетей Интернет на основе мультифрактального эвристического анализа. Технический результат заключается в увеличении точности обнаружения сетевых атак за счет параллельного вычисления мультифрактальных характеристик...
Тип: Изобретение
Номер охранного документа: 0002696296
Дата охранного документа: 01.08.2019
09.10.2019
№219.017.d3c9

Способ генерации универсального входного сигнала для нейросетевых детекторов компьютерных вторжений в межмашинных сетях

Изобретение относится к области техники связи. Технический результат заключается в повышении точности обнаружения вторжений и повышении защищенности межмашинных сетей. Технический результат достигается за счет генерации универсального входного сигнала для блока обнаружения вторжений,...
Тип: Изобретение
Номер охранного документа: 0002702274
Дата охранного документа: 07.10.2019
10.10.2019
№219.017.d42c

Способ автоматизированной технологической подготовки операционных карт мелкосерийного машиностроительного производства

Способ позволяет осуществлять технологическую подготовку операционных карт мелкосерийного производства на основе абстрактных (символьных) моделей компонент, составляющих изготовляемую деталь, в которых символьная параметризация обеспечивает инвариантность моделей относительно геометрических...
Тип: Изобретение
Номер охранного документа: 0002702387
Дата охранного документа: 08.10.2019
30.10.2019
№219.017.dbca

Способ получения объемного композиционного материала никель - диоксид циркония с повышенной устойчивостью к окислению

Изобретение относится к порошковой металлургии, в частности к получению композиционных материалов на основе никеля. Может использоваться в авиастроении, автомобильной промышленности, а также при производстве турбин. Проводят отсев фракции никелевого порошка с размерами частиц не более 40 мкм,...
Тип: Изобретение
Номер охранного документа: 0002704343
Дата охранного документа: 28.10.2019
13.11.2019
№219.017.e0fb

Способ получения порошка из металлической стружки

Изобретение относится к области порошковой металлургии, в частности к способам получения порошковых металлических материалов из металлической стружки. Предварительно осуществляют очистку исходного сырья от СОЖ, для чего заливают стружку уайт-спиритом, перемешивают и сливают уайт-спирит. Стружку...
Тип: Изобретение
Номер охранного документа: 0002705748
Дата охранного документа: 11.11.2019
08.12.2019
№219.017.eace

Способ фильтрации тока намагничивания и воспроизведения первичного тока измерительных трансформаторов тока

Изобретение относится к электротехнике, к измерительным трансформаторам тока, и может быть использовано в средствах противоаварийного управления энергосистем, релейной защиты, измерения, регистрации аварийных событий. Способ фильтрации тока намагничивания и воспроизведения первичных токов...
Тип: Изобретение
Номер охранного документа: 0002708228
Дата охранного документа: 05.12.2019
13.12.2019
№219.017.ecac

Способ обработки поверхности пластин карбида кремния в низкотемпературной индуктивно-связанной плазме

Изобретение относится к технологии микроэлектроники, в частности к способу обработки поверхности карбида кремния (SiC). Может быть использовано для создания гладких поверхностей, получаемых в ходе процесса плазмохимического травления. Структуры, созданные на таких поверхностях, широко...
Тип: Изобретение
Номер охранного документа: 0002708812
Дата охранного документа: 11.12.2019
13.12.2019
№219.017.ecfb

Способ получения сорбционных материалов

Изобретение относится к получению сорбционных материалов для очистки сточных вод, содержащих ионы тяжелых металлов, таких как цинк, кадмий, свинец, медь. Согласно способу, получают раствор хитозана в 3%-ной уксусной кислоте, затем добавляют порошки измельчённого карбонизированного остатка...
Тип: Изобретение
Номер охранного документа: 0002708860
Дата охранного документа: 11.12.2019
20.12.2019
№219.017.efaf

Мембранный ионно-плазменный ракетный двигатель космического аппарата

Изобретение относится к ионно-плазменному, или ионному электроракетному двигателю, используемому для управляемого ускорения летательных аппаратов в космическом вакууме. Заявляемое устройство содержит газопроницаемую микропористую мембрану, сквозь которую проходит поток нейтральных частиц...
Тип: Изобретение
Номер охранного документа: 0002709231
Дата охранного документа: 17.12.2019
Showing 41-49 of 49 items.
01.03.2019
№219.016.cb3e

Способ централизованных автоматизированных настройки, контроля и анализа безопасности информационных систем и система для его осуществления

Изобретение относится к информационным системам и может быть использовано для управления информационной безопасностью, осуществляемого в автоматизированном режиме. Изобретение позволяет повысить эффективность обеспечения информационной безопасности и улучшить управляемость информационных...
Тип: Изобретение
Номер охранного документа: 0002390839
Дата охранного документа: 27.05.2010
01.03.2019
№219.016.cb7f

Способ прогнозирования и оценки безопасности достижимых состояний защищенных информационных систем

Изобретение относится к области защиты информационных систем. Изобретение позволяет прогнозировать и оценивать безопасность достижимых состояний защищенных информационных систем. В основе способа прогнозирования и оценки безопасности достижимых состояний защищенных информационных систем лежит...
Тип: Изобретение
Номер охранного документа: 0002394271
Дата охранного документа: 10.07.2010
10.04.2019
№219.017.02bc

Способ адаптивного параметрического управления безопасностью информационных систем и система для его осуществления

Изобретение относится к вычислительной технике, а именно к информационным системам, и может быть использовано для управления безопасностью информационных систем. Техническим результатом является автоматизирование процесса адаптации информационных систем к происходящим нарушениям безопасности....
Тип: Изобретение
Номер охранного документа: 0002399091
Дата охранного документа: 10.09.2010
06.07.2019
№219.017.a868

Способ сопоставления состояний безопасности операционных систем семейства windows

Изобретение относится к области управления безопасностью операционных систем семейства Windows (в т.ч. Microsoft Windows 2000 Professional, Microsoft Windows 2000 Server, Microsoft Windows XP Professional, Microsoft Windows Server 2003, Microsoft Windows Server 2008, Microsoft Windows Vista...
Тип: Изобретение
Номер охранного документа: 0002379752
Дата охранного документа: 20.01.2010
06.07.2019
№219.017.a869

Способ автоматической оценки защищенности информационных систем и система для его осуществления

Изобретение относится к области защиты информационных систем, а именно к оценке защищенности информационных систем путем представления системных состояний, требований безопасности и модели контроля и управления доступом с использованием логики предикатов и автоматической проверки соблюдения...
Тип: Изобретение
Номер охранного документа: 0002379754
Дата охранного документа: 20.01.2010
09.10.2019
№219.017.d3c9

Способ генерации универсального входного сигнала для нейросетевых детекторов компьютерных вторжений в межмашинных сетях

Изобретение относится к области техники связи. Технический результат заключается в повышении точности обнаружения вторжений и повышении защищенности межмашинных сетей. Технический результат достигается за счет генерации универсального входного сигнала для блока обнаружения вторжений,...
Тип: Изобретение
Номер охранного документа: 0002702274
Дата охранного документа: 07.10.2019
18.10.2019
№219.017.d7e0

Способ защиты данных в системах конференцсвязи

Изобретение относится к области связи. Технический результат заключается в повышении защищенности систем конференцсвязи от атак, направленных на получение несанкционированного доступа к данным, обрабатываемым в системах конференцсвязи. Способ содержит этапы: выполняют контроль устанавливаемых...
Тип: Изобретение
Номер охранного документа: 0002703357
Дата охранного документа: 16.10.2019
15.02.2020
№220.018.0299

Способ осуществления правил политики безопасности в одноранговых коммуникационных сетях киберфизических устройств

Изобретение относится к области вычислительной техники. Технический результат заключается в повышении киберустойчивости и информационной безопасности сети киберфизических устройств. Технический результат достигается за счёт способа осуществления правил политики безопасности в одноранговых...
Тип: Изобретение
Номер охранного документа: 0002714217
Дата охранного документа: 13.02.2020
23.02.2020
№220.018.053e

Способ контроля доступа между устройствами в межмашинных сетях передачи данных

Изобретение относится к технике связи и может использоваться при построении межмашинных сетей передачи данных с возможностью контроля доступа между устройствами. Техническим результатом является создание способа контроля доступа к информации между устройствами в межмашинных сетях передачи...
Тип: Изобретение
Номер охранного документа: 0002714853
Дата охранного документа: 19.02.2020
+ добавить свой РИД