Способ верификации безопасного распределения пользовательских задач по узлам грид-системы

Авторы патента:

G06F21/62 - Обработка цифровых данных с помощью электрических устройств (вычислительные машины, в которых часть вычислений осуществляется гидравлическими или пневматическими устройствами G06D; оптическими средствами G06E; автономные внешние вводные и выводные устройства G06K; компьютерные системы, основанные на специфических вычислительных моделях G06N; цепи полного /активного и реактивного/ сопротивления H03H)

G06F15/173 - с использованием сети связи, например, соединение по схеме матрицы, смешанное соединение, соединение по схеме пирамиды, звезды, снежинки (схемы переключения интерфейсов G06F 13/40)

Владельцы патента RU 2634184:

федеральное государственное автономное образовательное учреждение высшего образования "Санкт-Петербургский политехнический университет Петра Великого" (ФГАОУ ВО "СПбПУ") (RU)

Изобретение относится к вычислительной технике и может быть использовано в распределенных вычислительных сетях. Техническим результатом является повышение защищенности грид-системы и сокращение временных затрат на поддержание надежного функционирования грид-систем за счет сокращения времени простоя оборудования, вызванного его отказом вследствие осуществления компьютерных атак на ресурсы грид-систем. Способ содержит этапы, на которых: создают пару криптографических ключей шифрования: открытый и закрытый ключи шифрования; принимают решение о легитимности узлов грид-системы и выполняют обмен ключами шифрования; после этого шифруют данные, содержащиеся в пользовательской задаче, открытым ключом шифрования и распределяют пользовательскую задачу по легитимным узлам грид-системы; затем легитимные узлы грид-системы расшифровывают полученные данные и выполняют пользовательскую задачу. 2 ил.

Изобретение относится к области вычислительной техники и может найти применение в распределенных вычислительных сетях типа «грид» (грид-системах).

Известен способ распределения пользовательских задач по узлам грид-системы, реализованный в сервисе контроля доступа GRAM. При выполнении запроса на предоставление информационных и вычислительных ресурсов каждый узел, входящий в состав грид-системы, осуществляет авторизацию учетной записи пользователя путем отображения глобального идентификатора учетной записи в локальный идентификатор. Учетная запись пользователя грид-системы может инициировать выполнение пользовательской задачи только на тех узлах грид-системы, где она авторизована. [Кирьянов А.К., Рябов Ю.Ф. Введение в технологию Грид: Учебное пособие. - Гатчина: ПИЯФ РАН, 2006. - 39 с.].

Недостатком способа является отсутствие учета таких состояний системы, при которых несколько учетных записей пользователей авторизуются на одном и том же узле грид-системы под одной локальной учетной записью. Это приводит к тому, что один пользователь может получить доступ к данным других пользователей, совместно с которыми он прошел процедуру авторизации на узле грид-системы, не имея права на такой доступ в соответствии с политикой безопасности.

Известен способ распределения пользовательских задач по узлам грид-системы, в котором перед передачей пользовательской задачи на узел грид-системы сопоставляют права доступа, запрашиваемые учетной записью пользователя, с уже предоставленными правами доступа на выбранных узлах грид-системы. Затем, учитывая правила разграничения доступа, формируют множество узлов грид-системы, на которых допустимо выполнение пользовательской задачи (легитимных узлов) [RU 2536678 С1, опубл. 27.12. 2014 г.]. Это техническое решение выбрано в качестве прототипа.

Недостаток известного способа заключается в том, что при определении легитимности узла грид-системы выполняется верификация учетной записи пользователя, запрашивающего ресурсы грид-системы, и не выполняется верификация учетной записи пользователя, обладающей административными полномочиями на данном узле грид-системы. Это приводит к тому, что учетная запись пользователя, обладающая административными полномочиями на узле грид-системы, предоставляющем свои вычислительные ресурсы, получает доступ к данным других учетных записей пользователей грид-системы. В результате происходит утечка данных, что имеет негативные последствия в виде нарушений безопасности данных и функционирования системных процессов в грид-системах.

Задача, на решение которой направлено предлагаемое изобретение, заключается в создании способа верификации безопасного распределения пользовательских задач по узлам грид-системы, обладающего свойствами защищенности от учетных записей пользователей, наделенными административными полномочиями на узлах грид-системы, предоставляющих свои вычислительные ресурсы, и сокращении временных и экономических затрат на поддержание надежного функционирования грид-систем за счет сокращения времени простоя оборудования, вызванного его отказом вследствие осуществления компьютерных атак на ресурсы грид-систем.

Для решения этой задачи, в отличие от известного способа распределения пользовательской задачи по узлам грид-системы, включающего принятие решения о легитимности узлов на основании сопоставления прав доступа, запрашиваемых учетной записью пользователя грид-системы, с уже предоставленными правами доступа на этих узлах и распределение пользовательской задачи по легитимным узлам после принятия решения об их легитимности

в предлагаемом способе вначале создают пару криптографических ключей шифрования: открытый и закрытый ключи шифрования;

затем принимают решение о легитимности узлов грид-системы и выполняют обмен ключами шифрования;

после этого шифруют данные, содержащиеся в пользовательской задаче, открытым ключом шифрования и распределяют пользовательскую задачу по легитимным узлам грид-системы;

легитимные узлы грид-системы расшифровывают полученные данные и выполняют пользовательскую задачу.

Предварительное шифрование данных учетной записью пользователя, инициирующей запрос на предоставление ресурсов грид-системы, исключает возможность получения несанкционированного доступа к этим данным со стороны учетных записей пользователей, наделенных административными полномочиями на узлах грид-системы.

Изобретение поясняется чертежами, где фиг. 1 - схема грид-системы, фиг. 2 - схема реализации предложенного технического решения.

Грид-система содержит узлы 1, 2, 3, 4, 5, 6, 7, представляющие собой вычислительные устройства. В грид-системе реализована программная база Globus Toolkit 5.0. Цифровые сертификаты учетных записей пользователей и узлов грид-системы являются легитимными.

Узел 1 является провайдером ресурсов Т₁={'пользовательские_данные'};

узел 2 является провайдером ресурсов T₂={'ресурсы_ПО'}

узел 3 является провайдером ресурсов Т₃={'пользовательские_данные'};

узел 4 является провайдером ресурсов Т₄={'вычислительные_ресурсы'};

узел 5 является провайдером ресурсов T₅=['пользовательские_данные'};

узел 6 является провайдером ресурсов T₆={'ресурсы_ПО'};

узел 7 является провайдером ресурсов T₇={'пользовательские_данные'}.

В грид-системе заданы следующие правила разграничения доступа, которые предусматривают два типа доступа: доступ к вычислительным ресурсам и к данным учетных записей пользователей грид-системы:

Правило №1. Учетная запись пользователя U₁ может хранить данные на узле 1.

Правило №2. Учетная запись пользователя U₁ не может хранить данные на узле 6.

Правило №3. Учетная запись пользователя U₃ может исполнять приложения на узле 7.

Правило №4. Учетная запись пользователя U₄ может хранить данные на узле 1.

Правило №5. Учетная запись пользователя U₅ может исполнять приложения на узле 3.

Правило №6. Учетная запись пользователя U₅ не может выполнять никаких действий на узле 1.

Правило №7. Учетная запись пользователя U₁ может исполнять приложения на узле 4.

Правило №8. Учетная запись пользователя U₇ может хранить данные на узле 1.

Правило №9. Учетная запись пользователя U₁ может исполнять приложения на узле 2.

Предлагаемый способ может быть реализован следующим образом.

Изначально в грид-системе отсутствуют пользовательские задачи. При запросе на выполнение пользовательской задачи на узле 1 с учетной записью пользователя U₁ с типом метки Т={'пользовательские_данные', 'вычислительные_ресурсы', U₁} сначала выполняется взаимная аутентификация узла грид-системы с учетной записью пользователя грид-системы посредством проверки их цифровых сертификатов.

Поскольку цифровые сертификаты учетных записей пользователей и узлов грид-системы являются легитимными, выполняется первичная обработка пользовательской задачи, инициированной процессами от имени учетной записи пользователя, посредством определения доступных узлов грид-системы, анализа их загруженности, производительности, а также доступных типов ресурсов. Для успешного выполнения данной задачи в соответствии с типом ее метки Т провайдеры ресурсов (узлы грид-системы) должны располагать следующим множеством ресурсов: {'пользовательские_данные', 'вычислительные_ресурсы'}. В результате определено множество доступных узлов грид-системы, суммарно способных выполнить данную задачу: узел 3 и узел 4. Остальные узлы либо чрезмерно загружены выполнением других задач, либо не обладают нужным типом ресурсов.

Затем выполняют шифрование данных, содержащихся в пользовательской задаче. Для этого создают пару криптографических ключей: открытый ключ шифрования, предназначенный для зашифровывания данных, и закрытый ключ шифрования, предназначенный для расшифровывания данных.

Затем определяют множество легитимных узлов грид-системы (например, посредством построения дерева достижимости сети Петри, моделирующей данную грид-систему). Для каждой вершины полученного дерева выполняют сравнение запрашиваемых прав доступа с предоставленными правами доступа и с правилами разграничения доступа. Сначала проверяют узел 6 путем последовательного просмотра правил доступа, в результате чего находят правило №2 (в соответствии с набором правил, представленным выше), которое не позволяет учетной записи пользователя U₁ хранить свои данные на узле 6. Затем проверяют узел 2, в результате чего находят правило №9, которое разрешает учетной записи пользователя U₁ исполнять приложения на узле 2. Переход от узла 1 до узла 2 образует первую часть маршрута распределения пользовательских задач по узлам грид-системы. Затем аналогично строится оставшаяся часть маршрута. Таким образом, узел 3 и узел 4 являются конечными пунктами маршрута распределения пользовательской задачи.

Затем выполняют обмен ключами шифрования между учетной записью пользователя U₁ и полученными легитимными узлами грид-системы: 3 и 4.

После этого учетная запись пользователя U₁ выполняет зашифровывание данных пользовательской задачи на узле 1 с помощью открытого ключа шифрования.

В соответствии с определенным ранее маршрутом распределения пользовательской задачи по узлам грид-системы пользовательскую задачу передают на узлы 3 и 4.

На указанных узлах грид-системы выполняют расшифровывание данных пользовательской задачи с помощью закрытого ключа шифрования. После этого программный сервис грид-системы, расположенный на указанных узлах, запускает задачу от имени локальной учетной записи пользователя, в результате чего задействует ресурсы на узлах 3 и 4.

Применение данного изобретения в существующих реализациях грид-систем позволит улучшить защиту информационных и вычислительных ресурсов грид-систем от несанкционированного доступа, а также сократить временные и экономические затраты на поддержание надежного функционирования грид-систем за счет сокращения времени простоя оборудования, вызванного его отказом вследствие осуществления компьютерных атак на ресурсы грид-систем. Применение предлагаемой в изобретении системы позволит автоматизировать процедуру анализа безопасности, придать ей объективный характер и тем самым обеспечить высокий уровень надежности и защищенности грид-систем.

Способ верификации распределения пользовательских задач по узлам грид-системы, включающий принятие решения о легитимности узлов на основании сопоставления прав доступа, запрашиваемых учетной записью пользователя грид-системы с уже предоставленными правами доступа на этих узлах, и распределение пользовательской задачи по легитимным узлам, отличающийся тем, что вначале создают пару криптографических ключей шифрования: открытый и закрытый ключи шифрования, затем принимают решение о легитимности узлов грид-системы и выполняют обмен ключами шифрования, после этого шифруют данные, содержащиеся в пользовательской задаче, открытым ключом шифрования и распределяют пользовательскую задачу по легитимным узлам грид-системы, затем легитимные узлы грид-системы расшифровывают полученные данные и выполняют пользовательскую задачу.

Изобретение относится к области контроля выставления оценок приложений, а именно к способам противодействия несправедливым оценкам приложений. Техническим результатом является обеспечение защиты от неавторизированной оценки приложения в магазине приложений при помощи вычислительного устройства, которое достигается путем предоставления доступа к элементам интерфейса на странице приложения в магазине приложений, если данные для авторизации удовлетворяют условию разблокирования.

Система и способ обнаружения вредоносных компьютерных систем // 2634181

Изобретение относится к области обнаружения вредоносных компьютерных систем. Техническим результатом является выявление вредоносных компьютерных систем за счет использования системы признания компьютерной системы вредоносной, при этом вредоносной компьютерной системой является компьютерная система, на которой работают вредоносные приложения.

Способ и система для доверенного доведения информации до пользователя // 2634179

Изобретение относится к средствам защиты от подмены электронных документов на вычислительных устройствах. Технический результат – уменьшение возможности подмены информации, отображаемой на экране компьютера, за счет корреляции указанной информации с информацией, фиксируемой на внешнем портативном устройстве в реальном времени.

Способ обнаружения вредоносных составных файлов // 2634178

Изобретение относится к области защиты вычислительных устройств, а именно к способам обнаружения вредоносных составных файлов. Технический результат заключается в обеспечении защиты вычислительного устройства от вредоносных программ за счет обнаружения составного вредоносного файла.

Система и способ обнаружения вредоносного приложения путем перехвата доступа к отображаемой пользователю информации // 2634176

Изобретение относится к области защиты данных приложений, а именно к системам и способам обнаружения вредоносного приложения путем перехвата доступа к отображаемой пользователю информации.

Способ выполнения антивирусных проверок // 2634175

Изобретение относится к защите от вредоносного программного обеспечения, а именно к выполнению антивирусных проверок. Технический результат – уменьшение количества антивирусных проверок файлов во время записи упомянутых файлов на диск.

Система и способ выполнения банковской транзакции // 2634174

Изобретение относится к системе и способу выполнения банковской транзакции. Технический результат заключается в повышении безопасности выполнения банковских транзакций.

Система и способ обнаружения приложения удалённого администрирования // 2634173

Группа изобретений относится к технологиям антивирусной защиты компьютерных систем. Техническим результатом является обеспечение противодействия несанкционированному администрированию компьютерной системы за счет обнаружения приложений удаленного администрирования.

Способ передачи управления между адресными пространствами // 2634172

Изобретение относится к способу передачи выполнения инструкций из одного адресного пространства другому. Технический результат заключается в управлении выполнением инструкций кода.

Система и способ блокирования доступа к защищаемым приложениям // 2634168

Изобретение относится к области защиты данных приложений, а именно к системам и способам блокирования доступа к отображаемой пользователю информации. Техническим результатом является повышение безопасности вычислительного устройства пользователя, которое достигается путем блокирования доступа процесса, к отображаемой пользователю информации.

Способ рассылки обновлений // 2634183

Изобретение относится к способам распространения обновлений. Техническим результатом является распространение обновлений программного обеспечения в сети, которое достигается путем назначения активных и пассивных агентов обновлений внутри широковещательных доменов с учетом критериев, характеризующих конечные узлы сети.

Способ передачи антивирусных записей, используемых для обнаружения вредоносных файлов // 2614929

Изобретение относится к области компьютерной безопасности. Технический результат заключается в снижении потребляемых антивирусным приложением ресурсов компьютера пользователя, а именно памяти на жестком диске для хранения антивирусных записей.

Способ и система для управления турборежимом // 2608881

Изобретение относится к управлению турборежимом первого электронного устройства. Технический результат – повышение скорости обнаружения первым электронным устройством того, что скорость соединения через сеть передачи данных уменьшается, причем такое повышение скорости обнаружения достигается за счет того, что такое обнаружение определяется именно на основании работы второго электронного устройства.

Серверная вычислительная система // 2604673

Изобретение относится к области компьютерной техники, обеспечивающей возможность определения финансовых трендов и выполнения системного анализа. Технический результат заключается в снижении нагрузки на вычислительные мощности для выполнения финансовых трендов и системного анализа данных.

Устройство jbod, содержащее модуль bmc, и способ управления им // 2602376

Изобретение относится к устройству простого массива независимых дисков (JBOD) и, в частности, к устройству JBOD, содержащему модуль BMC (контроллер управления системной платой).

Способ использования выделенного сервиса компьютерной безопасности // 2601162

Изобретение относится к средствам обеспечения компьютерной безопасности. Технический результат заключается в предотвращении передачи конфиденциальных данных компании-клиента, использующей облачные сервисы безопасности компании-поставщика услуг компьютерной безопасности.

Устройство передачи, способ передачи, устройство приема, способ приема, программа и система распределения содержания // 2598596

Изобретение относится к устройству передачи, способу передачи, устройству приема, способу приема, носителю записи программы и системе распространения содержания, выполненным с возможностью стабильной подачи содержания на множество оконечных устройств.

Управляющая информация, связанная с сетевыми ресурсами // 2595761

Изобретение относится к области управления информацией доступа к контенту. Технический результат - обеспечение удаления информации о доступе к последней посещенной веб-странице по приему единой команды ввода, не утрачивая при этом функциональной возможности навигации в обратном направлении.

Способ работы сети управления и сеть управления // 2589390

Группа изобретений относится к работе сети управления. Технический результат - повышение безопасности и эксплуатационной надежности сети управления.

Способ и система для создания контрольных точек во время моделирования // 2573269

Изобретение относится к средствам создания контрольных точек во время моделирования. Технический результат заключается в снижении вычислительных затрат компьютерного моделирования.

Способ и аппарат для соотнесения с группой интеллектуального устройства в системе интеллектуального дома // 2638778

Изобретение касается способа и аппарата для соотнесения с группой интеллектуального устройства в системе интеллектуального дома. Технический результат заключается в обеспечении того, что интеллектуальное устройство автоматически соотносится с соответствующей группой в соответствии с характером использования пользователем. Способ включает в себя этапы, на которых: определяют предварительно установленную целевую группу, соответствующую интеллектуальному устройству, в соответствии с записанной исторической информацией об эксплуатации интеллектуального устройства; и соотносят с группой интеллектуальное устройство в соответствии с предварительно установленной целевой группой, которая определяется в соответствии с исторической информацией об эксплуатации интеллектуального устройства. Т.е. предварительно установленная целевая группа интеллектуального устройства определяется автоматически, и интеллектуальное устройство соотносится с группой в соответствии с предварительно установленной группой. 3 н. и 8 з.п. ф-лы, 13 ил.