×
29.12.2017
217.015.f0c2

Способ прогнозирования безопасности в достижимых состояниях грид-систем

Вид РИД

Изобретение

Юридическая информация Свернуть Развернуть
Краткое описание РИД Свернуть Развернуть
Аннотация: Изобретение относится к вычислительной технике. Технический результат заключается в повышении скорости обработки пользовательской задачи в грид-системе за счет уменьшения количества анализируемых состояний грид-системы. Указанный технический результат достигается за счет применения способа прогнозирования безопасности в достижимых состояниях грид-систем, включающего принятие решения о легитимности узлов на основании сопоставления прав доступа, запрашиваемых учетной записью пользователя грид-системы с уже предоставленными правами доступа на этих узлах, и распределение пользовательской задачи по легитимным узлам, при этом предварительно вычисляют возможные маршруты распределения пользовательской задачи по узлам грид-системы, затем фиксируют множество уникальных вершин дерева достижимости, после этого определяют множество легитимных узлов грид-системы путем сравнения запрашиваемых прав доступа с предоставленными правами доступа и с правилами разграничения доступа для каждой зафиксированной уникальной вершины полученного дерева достижимости. 3 ил.
Реферат Свернуть Развернуть

Изобретение относится к области вычислительной техники и может найти применение в распределенных вычислительных сетях типа «грид» (грид-системах).

Известен способ распределения пользовательских задач по узлам грид-системы, реализованный в сервисе контроля доступа GRAM. При выполнении запроса на предоставление информационных и вычислительных ресурсов каждый узел, входящий в состав грид-системы, осуществляет авторизацию учетной записи пользователя путем отображения глобального идентификатора учетной записи в локальный идентификатор. Учетная запись пользователя грид-системы может инициировать выполнение пользовательской задачи только на тех узлах грид-системы, где она авторизована [Кирьянов А.К., Рябов Ю.Ф. Введение в технологию Грид: Учебное пособие. - Гатчина: ПИЯФ РАН, 2006. - 39 с.].

Недостатком способа является отсутствие учета таких состояний системы, при которых несколько учетных записей пользователей авторизуются на одном и том же узле грид-системы под одной локальной учетной записью. Это приводит к тому, что один пользователь может получить доступ к данным других пользователей, совместно с которыми он прошел процедуру авторизации на узле грид-системы, не имея права на такой доступ в соответствии с политикой безопасности.

Известен способ проверки прав доступа для учетных записей пользователей в грид-системах, в котором перед передачей пользовательской задачи на узел грид-системы сопоставляют права доступа, запрашиваемые учетной записью пользователя, с уже предоставленными правами доступа на выбранных узлах грид-системы. Затем, учитывая правила разграничения доступа, формируют множество узлов грид-системы, на которых допустимо выполнение пользовательской задачи (легитимных узлов). При этом при определении легитимности узла грид-системы вначале выполняется построение дерева достижимых состояний грид-системы, после чего для каждой вершины полученного дерева выполняют сравнение запрашиваемых прав доступа с предоставленными правами доступа и с правилами разграничения доступа [RU 2536678 С1 опубл. 27.12. 2014 г.]. Это техническое решение выбрано в качестве прототипа.

Недостаток известного способа заключается в том, что сравнение запрашиваемых прав доступа с предоставленными правами доступа и с правилами разграничения доступа выполняется для каждой вершины полученного дерева достижимости, при этом не учитывается наличие дублирующихся вершин, т.е. вершин с одинаковой маркировкой. Появление в дереве достижимости состояний грид-системы вершин с одинаковой маркировкой возможно ввиду того, что пользовательская задача может переместиться на заданный узел грид-системы несколькими альтернативными путями. Это приводит к снижению скорости обработки пользовательских задач.

Задача, на решение которой направлено предлагаемое изобретение, заключается в повышении скорости обработки пользовательской задачи в грид-системе за счет уменьшения количества анализируемых состояний грид-системы.

Для решения этой задачи, в отличие от известного способа проверки прав доступа для учетных записей пользователей в грид-системах, включающего принятие решения о легитимности узлов на основании сопоставления прав доступа, запрашиваемых учетной записью пользователя грид-системы с уже предоставленными правами доступа на этих узлах, и распределение пользовательской задачи по легитимным узлам,

в предлагаемом способе предварительно вычисляют возможные маршруты распределения пользовательской задачи по узлам грид-системы по алгоритму построения дерева достижимости сетей Петри (алгоритм построения дерева достижимости сетей Петри указан в источнике http://itmu.vsuet.ru/Subjects/Matmodel-pk/Seti-Petri.htm);

затем фиксируют множество уникальных (неповторяющихся) вершин дерева достижимости;

после этого определяют множество легитимных узлов грид-системы путем сравнения запрашиваемых прав доступа с предоставленными правами доступа и с правилами разграничения доступа для каждой зафиксированной уникальной вершины полученного дерева достижимости.

Предварительная фиксация множества уникальных вершин дерева достижимости состояний грид-системы позволяет сократить время, необходимое для определения множества легитимных узлов грид-системы, и увеличить скорость обработки пользовательских задач.

Изобретение поясняется чертежами, где фиг. 1 - схема реализации предложенного технического решения, фиг. 2 - схема грид-системы, фиг. 3 - пример реализации предложенного технического решения.

Грид-система содержит узлы 1, 2, 3, представляющие собой вычислительные устройства. В грид-системе реализована программная база Globus Toolkit 5.0. Цифровые сертификаты учетных записей пользователей и узлов грид-системы являются легитимными.

Узел 1 является провайдером ресурсов Т1={'пользовательские_данные'};

узел 2 является провайдером ресурсов Т2={'ресурсы_ПО'};

узел 3 является провайдером ресурсов Т3={'пользовательские_данные'}.

В грид-системе заданы следующие правила разграничения доступа, которые предусматривает два типа доступа: доступ к вычислительным ресурсам и к данным учетных записей пользователей грид-системы:

Правило №1. Учетная запись пользователя U1 может хранить данные на узле 2.

Правило №2. Учетная запись пользователя U1 может хранить данные на узле 3.

Правило №3. Учетная запись пользователя U3 не может исполнять приложения на узле 2.

Предлагаемый способ может быть реализован следующим образом.

Изначально в грид-системе отсутствуют пользовательские задачи. При запросе на выполнение пользовательской задачи J1 на узле 1 учетной записью пользователя U1 с типом метки Т={'пользовательские_данные', U1} сначала выполняется взаимная аутентификация узла грид-системы с учетной записью пользователя грид-системы посредством проверки их цифровых сертификатов.

Поскольку цифровые сертификаты учетных записей пользователей и узлов грид-системы являются легитимными, выполняется первичная обработка пользовательской задачи, инициированной процессами от имени учетной записи пользователя, посредством определения доступных узлов грид-системы, анализа их загруженности, производительности, а также доступных типов ресурсов. Для успешного выполнения данной задачи в соответствии с типом ее метки Т провайдеры ресурсов (узлы грид-системы) должны располагать следующим множеством ресурсов: {'пользовательские_данные'}. В результате определено множество доступных узлов грид-системы, способных выполнить данную задачу: узел 2 и узел 3.

Затем выполняют шифрование данных, содержащихся в пользовательской задаче. Для этого создают пару криптографических ключей: открытый ключ шифрования, предназначенный для зашифровывания данных, и закрытый ключ шифрования, предназначенный для расшифровывания данных.

Затем вычисляют возможные маршруты распределения пользовательской задачи по узлам грид-системы. Для этого грид-систему представляют в виде сети Петри N=(RP, Т, F, М), где RP=[rp] - конечное множество вершин графа, соответствующих узлам грид-системы (провайдерам ресурсов), T={t} - конечное множество переходов между вершинами графа, - отношение смежности вершин, которое задает множество дуг, соединяющих вершины графа и переходы, М=(m1, …, mn) - маркировка сети, представляющая собой вектор целочисленных значений количества активных пользовательских задач (из множества J), n - число узлов грид-системы. Затем строят дерево достижимости сети Петри (алгоритм построения дерева достижимости сетей Петри указан в источнике http://itmu.vsuet.ru/Subjects/Matmodel-pk/Seti-Petri.htm). Для данного примера дерево достижимости имеет вид, представленный на фиг. 3.

Затем фиксируют множество уникальных вершин полученного дерева достижимости. В данном примере уникальными являются вершины М1 и М2, поскольку маркировка вершины М3 совпадает с маркировкой вершины М2.

После этого определяют множество легитимных узлов грид-системы. Для этого для каждой зафиксированной уникальной вершины дерева достижимости (вершины М1 и М2) выполняют сравнение запрашиваемых прав доступа с предоставленными правами доступа и с правилами разграничения доступа. Поскольку политика безопасности не содержит правил, запрещающих выполнение пользовательской задачи J1 на узлах 2 и 3, данные узлы грид-системы являются конечными пунктами маршрута распределения пользовательской задачи.

Затем выполняют обмен ключами шифрования между учетной записью пользователя U1 и полученными легитимными узлами грид-системы: 2 и 3.

После этого учетная запись пользователя U1 выполняет зашифровывание данных пользовательской задачи на узле 1 с помощью открытого ключа шифрования.

В соответствии с определенным ранее маршрутом распределения пользовательской задачи по узлам грид-системы пользовательскую задачу передают на узлы 2 и 3.

На указанных узлах грид-системы выполняют расшифровывание данных пользовательской задачи с помощью закрытого ключа шифрования. После этого программный сервис грид-системы, расположенный на указанных узлах, запускает задачу от имени локальной учетной записи пользователя, в результате чего задействует ресурсы на узлах 2 и 3.

Применение данного изобретения в существующих реализациях грид-систем позволит сократить временные и экономические затраты на поддержание надежного функционирования грид-систем за счет повышения скорости обработки пользовательской задачи в грид-системе. Применение предлагаемой в изобретении системы позволит автоматизировать процедуру анализа безопасности, придать ей объективный характер и тем самым обеспечивать высокий уровень надежности и защищенности грид-систем.

Способ прогнозирования безопасности в достижимых состояниях грид-систем, включающий принятие решения о легитимности узлов на основании сопоставления прав доступа, запрашиваемых учетной записью пользователя грид-системы с уже предоставленными правами доступа на этих узлах, и распределение пользовательской задачи по легитимным узлам, отличающийся тем, что предварительно вычисляют возможные маршруты распределения пользовательской задачи по узлам грид-системы, затем фиксируют множество уникальных вершин дерева достижимости, после этого определяют множество легитимных узлов грид-системы путем сравнения запрашиваемых прав доступа с предоставленными правами доступа и с правилами разграничения доступа для каждой зафиксированной уникальной вершины полученного дерева достижимости.
Способ прогнозирования безопасности в достижимых состояниях грид-систем
Способ прогнозирования безопасности в достижимых состояниях грид-систем
Способ прогнозирования безопасности в достижимых состояниях грид-систем
Источник поступления информации: Роспатент

Показаны записи 1-10 из 130.
10.10.2014
№216.012.fbb1

Способ автоматического адаптивного управления сетевыми потоками в программно-конфигурируемых сетях

Изобретение относится к области автоматизации управления сетевыми коммутаторами и маршрутизаторами в программно-конфигурируемых сетях. Техническим результатом является повышение быстродействия и пропускной способности OpenFlow-коммутаторов и OpenFlow-маршрутизаторов. Способ автоматического...
Тип: Изобретение
Номер охранного документа: 0002530279
Дата охранного документа: 10.10.2014
27.12.2014
№216.013.1486

Способ проверки прав доступа для учетных записей пользователей в грид-системах и система для его осуществления

Изобретение относится к вычислительной технике. Технический результат заключается в защите информационных и вычислительных ресурсов грид-систем от несанкционированного доступа. Способ проверки прав доступа для учетных записей пользователей в грид-системах, заключающийся в том, что определяют...
Тип: Изобретение
Номер охранного документа: 0002536678
Дата охранного документа: 27.12.2014
20.07.2015
№216.013.654f

Способ доверенной интеграции систем управления активным сетевым оборудованием в распределенные вычислительные системы и система для его осуществления

Изобретение относится к средствам защиты информационных систем. Технический результат заключается в повышении защищенности активного сетевого оборудования. Предварительно фиксируют эталонное техническое состояние активного сетевого оборудования: перечень открытых сетевых портов, контрольные...
Тип: Изобретение
Номер охранного документа: 0002557482
Дата охранного документа: 20.07.2015
10.08.2015
№216.013.69b2

Способ обработки бинарных сигналов данных, принимаемых на фоне шумов

Изобретение относится к технике электрической связи и может быть использовано в любых информационных системах. Технический результат состоит в повышении помехоустойчивости, пропускной способности и качества информационной продукции. Для этого способ обработки бинарных сигналов данных,...
Тип: Изобретение
Номер охранного документа: 0002558611
Дата охранного документа: 10.08.2015
10.09.2015
№216.013.78c4

Способ повышения эффективности сгорания углеводородного топлива

Изобретение относится к способам и устройствам для обработки различных видов жидкого углеводородного топлива перед его сжиганием и может найти применение в системах питания турбореактивных, газотурбинных двигателей, двигателей внутреннего сгорания, в двигателях Стирлинга, а также в иных...
Тип: Изобретение
Номер охранного документа: 0002562505
Дата охранного документа: 10.09.2015
10.09.2015
№216.013.78f3

Способ получения электрода для производства порошковых жаропрочных сплавов на основе алюминида титана

Изобретение относится к порошковой металлургии и может быть использовано при послойном нанесении материала по аддитивной технологии. Проводят предварительное механическое легирование исходной порошковой смеси из порошков титана и элементов, способных образовывать с ним твердые растворы...
Тип: Изобретение
Номер охранного документа: 0002562552
Дата охранного документа: 10.09.2015
27.10.2015
№216.013.8a8c

Способ комбинированной раскатки осесимметричных деталей

Изобретение относится к области обработки материалов давлением и может быть использовано при изготовлении осесимметричных деталей из малопластичных материалов, преимущественно спеченных. Заготовку устанавливают в матрицу с выставлением части для локального деформирования и фиксируют в осевом...
Тип: Изобретение
Номер охранного документа: 0002567071
Дата охранного документа: 27.10.2015
27.12.2015
№216.013.9da8

Способ повышения эффективности сгорания топлива в двигателе самолета

Изобретение относится к авиастроению, в частности к способам и устройствам для обработки различных видов жидкого углеводородного топлива. Для повышения эффективности сгорания углеводородного топлива в двигателе самолета топливо из заправочной емкости перекачивают в переменном однородном...
Тип: Изобретение
Номер охранного документа: 0002571990
Дата охранного документа: 27.12.2015
10.04.2016
№216.015.321c

Способ централизованного контроля доступа систем управления к активному сетевому оборудованию в распределенных вычислительных системах и система для его осуществления

Изобретение относится к информационной безопасности. Технический результат заключается в повышении защищенности активного сетевого оборудования. Способ централизованного контроля доступа систем управления к активному сетевому оборудованию в распределенных вычислительных системах, в котором...
Тип: Изобретение
Номер охранного документа: 0002580815
Дата охранного документа: 10.04.2016
10.06.2016
№216.015.4508

Способ фильтрации тока намагничивания и воспроизведения вторичного тока силовых и измерительных трансформаторов напряжения

Изобретение относится к электротехнике и может быть использовано в различных средствах релейной защиты, противоаварийного управления энергосистем, измерения, регистрации аварийных событий и диагностики состояния оборудования. Технический результат состоит в снижении погрешности фильтрации тока...
Тип: Изобретение
Номер охранного документа: 0002586115
Дата охранного документа: 10.06.2016
Показаны записи 1-10 из 49.
10.10.2014
№216.012.fbb1

Способ автоматического адаптивного управления сетевыми потоками в программно-конфигурируемых сетях

Изобретение относится к области автоматизации управления сетевыми коммутаторами и маршрутизаторами в программно-конфигурируемых сетях. Техническим результатом является повышение быстродействия и пропускной способности OpenFlow-коммутаторов и OpenFlow-маршрутизаторов. Способ автоматического...
Тип: Изобретение
Номер охранного документа: 0002530279
Дата охранного документа: 10.10.2014
27.12.2014
№216.013.1486

Способ проверки прав доступа для учетных записей пользователей в грид-системах и система для его осуществления

Изобретение относится к вычислительной технике. Технический результат заключается в защите информационных и вычислительных ресурсов грид-систем от несанкционированного доступа. Способ проверки прав доступа для учетных записей пользователей в грид-системах, заключающийся в том, что определяют...
Тип: Изобретение
Номер охранного документа: 0002536678
Дата охранного документа: 27.12.2014
20.07.2015
№216.013.654f

Способ доверенной интеграции систем управления активным сетевым оборудованием в распределенные вычислительные системы и система для его осуществления

Изобретение относится к средствам защиты информационных систем. Технический результат заключается в повышении защищенности активного сетевого оборудования. Предварительно фиксируют эталонное техническое состояние активного сетевого оборудования: перечень открытых сетевых портов, контрольные...
Тип: Изобретение
Номер охранного документа: 0002557482
Дата охранного документа: 20.07.2015
10.08.2015
№216.013.69b2

Способ обработки бинарных сигналов данных, принимаемых на фоне шумов

Изобретение относится к технике электрической связи и может быть использовано в любых информационных системах. Технический результат состоит в повышении помехоустойчивости, пропускной способности и качества информационной продукции. Для этого способ обработки бинарных сигналов данных,...
Тип: Изобретение
Номер охранного документа: 0002558611
Дата охранного документа: 10.08.2015
10.09.2015
№216.013.78c4

Способ повышения эффективности сгорания углеводородного топлива

Изобретение относится к способам и устройствам для обработки различных видов жидкого углеводородного топлива перед его сжиганием и может найти применение в системах питания турбореактивных, газотурбинных двигателей, двигателей внутреннего сгорания, в двигателях Стирлинга, а также в иных...
Тип: Изобретение
Номер охранного документа: 0002562505
Дата охранного документа: 10.09.2015
10.09.2015
№216.013.78f3

Способ получения электрода для производства порошковых жаропрочных сплавов на основе алюминида титана

Изобретение относится к порошковой металлургии и может быть использовано при послойном нанесении материала по аддитивной технологии. Проводят предварительное механическое легирование исходной порошковой смеси из порошков титана и элементов, способных образовывать с ним твердые растворы...
Тип: Изобретение
Номер охранного документа: 0002562552
Дата охранного документа: 10.09.2015
27.10.2015
№216.013.8a8c

Способ комбинированной раскатки осесимметричных деталей

Изобретение относится к области обработки материалов давлением и может быть использовано при изготовлении осесимметричных деталей из малопластичных материалов, преимущественно спеченных. Заготовку устанавливают в матрицу с выставлением части для локального деформирования и фиксируют в осевом...
Тип: Изобретение
Номер охранного документа: 0002567071
Дата охранного документа: 27.10.2015
27.12.2015
№216.013.9da8

Способ повышения эффективности сгорания топлива в двигателе самолета

Изобретение относится к авиастроению, в частности к способам и устройствам для обработки различных видов жидкого углеводородного топлива. Для повышения эффективности сгорания углеводородного топлива в двигателе самолета топливо из заправочной емкости перекачивают в переменном однородном...
Тип: Изобретение
Номер охранного документа: 0002571990
Дата охранного документа: 27.12.2015
10.04.2016
№216.015.321c

Способ централизованного контроля доступа систем управления к активному сетевому оборудованию в распределенных вычислительных системах и система для его осуществления

Изобретение относится к информационной безопасности. Технический результат заключается в повышении защищенности активного сетевого оборудования. Способ централизованного контроля доступа систем управления к активному сетевому оборудованию в распределенных вычислительных системах, в котором...
Тип: Изобретение
Номер охранного документа: 0002580815
Дата охранного документа: 10.04.2016
10.06.2016
№216.015.4508

Способ фильтрации тока намагничивания и воспроизведения вторичного тока силовых и измерительных трансформаторов напряжения

Изобретение относится к электротехнике и может быть использовано в различных средствах релейной защиты, противоаварийного управления энергосистем, измерения, регистрации аварийных событий и диагностики состояния оборудования. Технический результат состоит в снижении погрешности фильтрации тока...
Тип: Изобретение
Номер охранного документа: 0002586115
Дата охранного документа: 10.06.2016
+ добавить свой РИД