Способ прогнозирования безопасности в достижимых состояниях грид-систем

Авторы патента:

G06F21/62 - Обработка цифровых данных с помощью электрических устройств (вычислительные машины, в которых часть вычислений осуществляется гидравлическими или пневматическими устройствами G06D; оптическими средствами G06E; автономные внешние вводные и выводные устройства G06K; компьютерные системы, основанные на специфических вычислительных моделях G06N; цепи полного /активного и реактивного/ сопротивления H03H)

Владельцы патента RU 2638005:

федеральное государственное автономное образовательное учреждение высшего образования "Санкт-Петербургский политехнический университет Петра Великого" (ФГАОУ ВО "СПбПУ") (RU)

Изобретение относится к вычислительной технике. Технический результат заключается в повышении скорости обработки пользовательской задачи в грид-системе за счет уменьшения количества анализируемых состояний грид-системы. Указанный технический результат достигается за счет применения способа прогнозирования безопасности в достижимых состояниях грид-систем, включающего принятие решения о легитимности узлов на основании сопоставления прав доступа, запрашиваемых учетной записью пользователя грид-системы с уже предоставленными правами доступа на этих узлах, и распределение пользовательской задачи по легитимным узлам, при этом предварительно вычисляют возможные маршруты распределения пользовательской задачи по узлам грид-системы, затем фиксируют множество уникальных вершин дерева достижимости, после этого определяют множество легитимных узлов грид-системы путем сравнения запрашиваемых прав доступа с предоставленными правами доступа и с правилами разграничения доступа для каждой зафиксированной уникальной вершины полученного дерева достижимости. 3 ил.

Изобретение относится к области вычислительной техники и может найти применение в распределенных вычислительных сетях типа «грид» (грид-системах).

Известен способ распределения пользовательских задач по узлам грид-системы, реализованный в сервисе контроля доступа GRAM. При выполнении запроса на предоставление информационных и вычислительных ресурсов каждый узел, входящий в состав грид-системы, осуществляет авторизацию учетной записи пользователя путем отображения глобального идентификатора учетной записи в локальный идентификатор. Учетная запись пользователя грид-системы может инициировать выполнение пользовательской задачи только на тех узлах грид-системы, где она авторизована [Кирьянов А.К., Рябов Ю.Ф. Введение в технологию Грид: Учебное пособие. - Гатчина: ПИЯФ РАН, 2006. - 39 с.].

Недостатком способа является отсутствие учета таких состояний системы, при которых несколько учетных записей пользователей авторизуются на одном и том же узле грид-системы под одной локальной учетной записью. Это приводит к тому, что один пользователь может получить доступ к данным других пользователей, совместно с которыми он прошел процедуру авторизации на узле грид-системы, не имея права на такой доступ в соответствии с политикой безопасности.

Известен способ проверки прав доступа для учетных записей пользователей в грид-системах, в котором перед передачей пользовательской задачи на узел грид-системы сопоставляют права доступа, запрашиваемые учетной записью пользователя, с уже предоставленными правами доступа на выбранных узлах грид-системы. Затем, учитывая правила разграничения доступа, формируют множество узлов грид-системы, на которых допустимо выполнение пользовательской задачи (легитимных узлов). При этом при определении легитимности узла грид-системы вначале выполняется построение дерева достижимых состояний грид-системы, после чего для каждой вершины полученного дерева выполняют сравнение запрашиваемых прав доступа с предоставленными правами доступа и с правилами разграничения доступа [RU 2536678 С1 опубл. 27.12. 2014 г.]. Это техническое решение выбрано в качестве прототипа.

Недостаток известного способа заключается в том, что сравнение запрашиваемых прав доступа с предоставленными правами доступа и с правилами разграничения доступа выполняется для каждой вершины полученного дерева достижимости, при этом не учитывается наличие дублирующихся вершин, т.е. вершин с одинаковой маркировкой. Появление в дереве достижимости состояний грид-системы вершин с одинаковой маркировкой возможно ввиду того, что пользовательская задача может переместиться на заданный узел грид-системы несколькими альтернативными путями. Это приводит к снижению скорости обработки пользовательских задач.

Задача, на решение которой направлено предлагаемое изобретение, заключается в повышении скорости обработки пользовательской задачи в грид-системе за счет уменьшения количества анализируемых состояний грид-системы.

Для решения этой задачи, в отличие от известного способа проверки прав доступа для учетных записей пользователей в грид-системах, включающего принятие решения о легитимности узлов на основании сопоставления прав доступа, запрашиваемых учетной записью пользователя грид-системы с уже предоставленными правами доступа на этих узлах, и распределение пользовательской задачи по легитимным узлам,

в предлагаемом способе предварительно вычисляют возможные маршруты распределения пользовательской задачи по узлам грид-системы по алгоритму построения дерева достижимости сетей Петри (алгоритм построения дерева достижимости сетей Петри указан в источнике http://itmu.vsuet.ru/Subjects/Matmodel-pk/Seti-Petri.htm);

затем фиксируют множество уникальных (неповторяющихся) вершин дерева достижимости;

после этого определяют множество легитимных узлов грид-системы путем сравнения запрашиваемых прав доступа с предоставленными правами доступа и с правилами разграничения доступа для каждой зафиксированной уникальной вершины полученного дерева достижимости.

Предварительная фиксация множества уникальных вершин дерева достижимости состояний грид-системы позволяет сократить время, необходимое для определения множества легитимных узлов грид-системы, и увеличить скорость обработки пользовательских задач.

Изобретение поясняется чертежами, где фиг. 1 - схема реализации предложенного технического решения, фиг. 2 - схема грид-системы, фиг. 3 - пример реализации предложенного технического решения.

Грид-система содержит узлы 1, 2, 3, представляющие собой вычислительные устройства. В грид-системе реализована программная база Globus Toolkit 5.0. Цифровые сертификаты учетных записей пользователей и узлов грид-системы являются легитимными.

Узел 1 является провайдером ресурсов Т₁={'пользовательские_данные'};

узел 2 является провайдером ресурсов Т₂={'ресурсы_ПО'};

узел 3 является провайдером ресурсов Т₃={'пользовательские_данные'}.

В грид-системе заданы следующие правила разграничения доступа, которые предусматривает два типа доступа: доступ к вычислительным ресурсам и к данным учетных записей пользователей грид-системы:

Правило №1. Учетная запись пользователя U₁ может хранить данные на узле 2.

Правило №2. Учетная запись пользователя U₁ может хранить данные на узле 3.

Правило №3. Учетная запись пользователя U₃ не может исполнять приложения на узле 2.

Предлагаемый способ может быть реализован следующим образом.

Изначально в грид-системе отсутствуют пользовательские задачи. При запросе на выполнение пользовательской задачи J₁ на узле 1 учетной записью пользователя U₁ с типом метки Т={'пользовательские_данные', U₁} сначала выполняется взаимная аутентификация узла грид-системы с учетной записью пользователя грид-системы посредством проверки их цифровых сертификатов.

Поскольку цифровые сертификаты учетных записей пользователей и узлов грид-системы являются легитимными, выполняется первичная обработка пользовательской задачи, инициированной процессами от имени учетной записи пользователя, посредством определения доступных узлов грид-системы, анализа их загруженности, производительности, а также доступных типов ресурсов. Для успешного выполнения данной задачи в соответствии с типом ее метки Т провайдеры ресурсов (узлы грид-системы) должны располагать следующим множеством ресурсов: {'пользовательские_данные'}. В результате определено множество доступных узлов грид-системы, способных выполнить данную задачу: узел 2 и узел 3.

Затем выполняют шифрование данных, содержащихся в пользовательской задаче. Для этого создают пару криптографических ключей: открытый ключ шифрования, предназначенный для зашифровывания данных, и закрытый ключ шифрования, предназначенный для расшифровывания данных.

Затем вычисляют возможные маршруты распределения пользовательской задачи по узлам грид-системы. Для этого грид-систему представляют в виде сети Петри N=(RP, Т, F, М), где RP=[rp] - конечное множество вершин графа, соответствующих узлам грид-системы (провайдерам ресурсов), T={t} - конечное множество переходов между вершинами графа, - отношение смежности вершин, которое задает множество дуг, соединяющих вершины графа и переходы, М=(m₁, …, m_n) - маркировка сети, представляющая собой вектор целочисленных значений количества активных пользовательских задач (из множества J), n - число узлов грид-системы. Затем строят дерево достижимости сети Петри (алгоритм построения дерева достижимости сетей Петри указан в источнике http://itmu.vsuet.ru/Subjects/Matmodel-pk/Seti-Petri.htm). Для данного примера дерево достижимости имеет вид, представленный на фиг. 3.

Затем фиксируют множество уникальных вершин полученного дерева достижимости. В данном примере уникальными являются вершины М₁ и М₂, поскольку маркировка вершины М₃ совпадает с маркировкой вершины М₂.

После этого определяют множество легитимных узлов грид-системы. Для этого для каждой зафиксированной уникальной вершины дерева достижимости (вершины М₁ и М₂) выполняют сравнение запрашиваемых прав доступа с предоставленными правами доступа и с правилами разграничения доступа. Поскольку политика безопасности не содержит правил, запрещающих выполнение пользовательской задачи J₁ на узлах 2 и 3, данные узлы грид-системы являются конечными пунктами маршрута распределения пользовательской задачи.

Затем выполняют обмен ключами шифрования между учетной записью пользователя U₁ и полученными легитимными узлами грид-системы: 2 и 3.

После этого учетная запись пользователя U₁ выполняет зашифровывание данных пользовательской задачи на узле 1 с помощью открытого ключа шифрования.

В соответствии с определенным ранее маршрутом распределения пользовательской задачи по узлам грид-системы пользовательскую задачу передают на узлы 2 и 3.

На указанных узлах грид-системы выполняют расшифровывание данных пользовательской задачи с помощью закрытого ключа шифрования. После этого программный сервис грид-системы, расположенный на указанных узлах, запускает задачу от имени локальной учетной записи пользователя, в результате чего задействует ресурсы на узлах 2 и 3.

Применение данного изобретения в существующих реализациях грид-систем позволит сократить временные и экономические затраты на поддержание надежного функционирования грид-систем за счет повышения скорости обработки пользовательской задачи в грид-системе. Применение предлагаемой в изобретении системы позволит автоматизировать процедуру анализа безопасности, придать ей объективный характер и тем самым обеспечивать высокий уровень надежности и защищенности грид-систем.

Способ прогнозирования безопасности в достижимых состояниях грид-систем, включающий принятие решения о легитимности узлов на основании сопоставления прав доступа, запрашиваемых учетной записью пользователя грид-системы с уже предоставленными правами доступа на этих узлах, и распределение пользовательской задачи по легитимным узлам, отличающийся тем, что предварительно вычисляют возможные маршруты распределения пользовательской задачи по узлам грид-системы, затем фиксируют множество уникальных вершин дерева достижимости, после этого определяют множество легитимных узлов грид-системы путем сравнения запрашиваемых прав доступа с предоставленными правами доступа и с правилами разграничения доступа для каждой зафиксированной уникальной вершины полученного дерева достижимости.

Изобретение относится к системам и способам управления производительностью антивирусного сервера. Технический результат изобретения заключается в повышении эффективности использования резерва производительности антивирусного сервера при выполнении антивирусной проверки веб-страницы.

Способ контроля системы исполнения программируемого логического контроллера // 2638000

Изобретение относится к способам контроля исполнения системы исполнения программируемого логического контроллера (ПЛК). Технический результат заключается в обеспечении контроля над исполнением системы исполнения ПЛК.

Способ и система создания профиля пользователя и аутентификации пользователя // 2637999

Группа изобретений относится к технологиям создания профиля пользователя в различных вычислительных системах. Техническим результатом является расширение арсенала технических средств для создания профиля пользователя и аутентификации пользователя.

Система и способ обнаружения вредоносного кода в файле // 2637997

Изобретение относится к системам и способам обнаружения вредоносного кода в файле. Технический результат заключается в улучшении обнаружения вредоносного кода в файле в сравнении с существующими методами обнаружения вредоносного кода.

Способ электронной подписи // 2637991

Изобретение относится к способам защиты данных с использованием сертификатов или электронных подписей. Технический результат заключается в повышении надежности.

Биометрическое устройство верификации субъекта доступа // 2637987

Изобретение относится к вычислительной технике и может найти применение при организации санкционированного доступа к ресурсам вычислительной системы. Технический результат заключается в повышении надежности устройства и уменьшении его аппаратных ресурсов.

Аутентификация процессов и разрешения на ресурсы // 2637878

Изобретение относится к технологиям сетевой связи. Технический результат заключается в повышении безопасности передачи данных.

Система контроля целостности журналов непрерывно ведущихся записей данных // 2637486

Изобретение относится к контролю целостности данных, обрабатываемых в автоматизированных системах. Технический результат – обеспечение необходимого уровня защиты записей данных в файле на основе задания соответствующих параметров метода «однократной записи»: степени вложенности в блок данных, количество используемых внешних ключей.

Способ антипиратской авторизации доступа к компьютерной сети // 2637485

Изобретение относится к области обеспечения компьютерной безопасности. Технический результат заключается в повышении эффективности защиты от компьютерного пиратства.

Способ многоуровневого контроля целостности электронных документов // 2637482

Изобретение относится к области защиты информации в системах электронного документооборота. Технический результат заключается в обеспечении многоуровневого контроля целостности электронных документов.

Способ оценки степени влияния средств разграничения доступа на производительность автоматизированной системы // 2638636

Изобретение относится к средствам разграничения доступа, предназначенным для защиты информации, содержащейся в автоматизированной системе, от несанкционированного доступа. Технический результат заключается в возможности оценки степени влияния средств разграничения доступа на производительность защищаемой автоматизированной системы. Для этого предложен способ оценки степени влияния средств разграничения доступа на производительность автоматизированной системы, включающий в себя этап определения перечня системных функций, подлежащих оценке; этап определения коэффициентов значимости системных функций, подлежащих оценке; этап оценки снижения производительности по временным показателям путем оценки коэффициента замедления выполнения системных функций; этап определения общего (интегрального) показателя снижения производительности защищаемой автоматизированной системы. 3 ил.

Способы обнаружения вредоносных элементов веб-страниц // 2638710

Изобретение относится к способам обнаружения вредоносных элементов веб-страниц. Технический результат заключается в обеспечении обнаружения вредоносных элементов веб-страницы, возникших на стороне пользователя, без установки дополнительного программного обеспечения. Другой технический результат заключается в снижении количества ошибок первого рода при обнаружении вредоносных элементов веб-страниц. В первом способе для обнаружения вредоносных элементов веб-страницы используют кластерные статистические модели вредоносных элементов веб-страниц. Во втором способе сравнивают хеш, вычисленный по сведениям о содержимом элемента, полученным от компьютерного устройства пользователя, с хешем, вычисленным по сведениям о содержимом заведомо вредоносного элемента веб-страницы. При этом как в первом, так и во втором способах сведения о содержимом элементов, используемые для обнаружения вредоносных элементов, собираются скриптом на стороне веб-клиента, содержащимся непосредственно на веб-странице, сведения о содержимом элементов которой собираются. 2 н. и 20 з.п. ф-лы, 7 ил.

Система и способ оптимизации антивирусной проверки неактивных операционных систем // 2638735

Изобретение относится к системе и способу антивирусной проверки операционных систем (ОС), установленных на компьютере и неактивных в момент проверки. Технический результат заключается в ускорении проведения антивирусной проверки неактивной ОС и в проведении антивирусной проверки только одной неактивной ОС при наличии нескольких установленных ОС. Система содержит средство перечисления ОС, предназначенное для поиска установленных неактивных ОС, определения идентификаторов логических дисков для каждой установленной неактивной ОС; средство поиска файлов, предназначенное для определения неактивной ОС, которую необходимо проверить на наличие вредоносных файлов, и проведения антивирусной проверки файлов неактивной ОС, причем при наличии нескольких установленных неактивных ОС производится выбор неактивной ОС для антивирусной проверки, при этом сопоставляют идентификаторы логических дисков, относящиеся к неактивной ОС, с идентификаторами логических дисков, относящимися к активной ОС, где под активной ОС понимается ОС, которая запущена в момент проведения проверки; определяют файлы, которые относятся к неактивной ОС, в активной ОС согласно полному пути хранения указанных файлов в неактивной ОС через сопоставленные идентификаторы логических дисков. 2 н. и 15 з.п. ф-лы, 5 ил., 1 табл.

Верификация информации воздушного летательного аппарата в ответ на скомпрометированный цифровой сертификат // 2638736

Изобретение относится к области верифицирования подлинности и целостности информации, используемой на воздушном летательном аппарате. Техническим результатом является повышение безопасности полета. Раскрыт способ верифицирования данных для использования на воздушном летательном аппарате, согласно которому: принимают, посредством процессорного блока, множество цифровых сертификатов, связанных с упомянутыми данными; верифицируют, для каждого цифрового сертификата из указанного множества цифровых сертификатов, что сторона, выдавшая цифровой сертификат, находится в списке допустимых сертифицирующих органов в системе обработки на воздушном летательном аппарате; определяют, посредством процессорного блока, скомпрометирован ли сертификат из указанного множества цифровых сертификатов; осуществляют выбор, посредством процессорного блока, выбранного количества из указанного множества цифровых сертификатов в ответ на определение того, что упомянутый сертификат из указанного множества цифровых сертификатов скомпрометирован, причем выбранное количество определяют на основании правила кворума, выбранного из правил кворума на основании количества систем воздушного летательного аппарата, в которых будут использовать указанные данные, и местоположения воздушного летательного аппарата в момент загрузки данных; и верифицируют, посредством процессорного блока, упомянутые данные для использования на воздушном летательном аппарате с использованием указанного выбранного количества из указанного множества цифровых сертификатов; причем верифицирование данных для использования на воздушном летательном аппарате, при котором используют выбранное количество из указанного множества цифровых сертификатов, включает определение того, является ли по меньшей мере заданное количество из выбранного количества из указанного множества цифровых сертификатов валидным; а заданное количество определяют по правилу кворума, состоящему из одного или более из следующего: правила кворума для оператора воздушного летательного аппарата; правила кворума для организации, осуществляющей техническое обслуживание воздушного летательного аппарата; правила кворума для типа воздушного летательного аппарата; правила кворума для системы воздушного летательного аппарата, в которой будут использованы указанные данные; правила кворума для количества систем воздушного летательного аппарата, в которых будут использованы указанные данные; и правила кворума, используемого, когда известно или есть подозрение, что сертифицирующий орган скомпрометирован. 2 н. и 8 з.п. ф-лы, 8 ил.

Удаление следов вредоносной активности из операционной системы, которая в настоящий момент не загружена на компьютерном устройстве // 2639666

Изобретение относится к системе и способу устранения последствий удаления вредоносного файла во время проведения антивирусной проверки неактивной операционной системы (ОС), которая установлена и не запущена на компьютере. Технический результат заключается в предотвращении ошибок при запуске или работе ОС после удаления вредоносного файла из указанной ОС, когда ОС была неактивна. Система содержит: средство перечисления ОС, предназначенное для поиска установленных неактивных ОС, определения идентификаторов логических дисков для каждой установленной неактивной ОС; средство поиска файлов, предназначенное для проведения антивирусной проверки файлов неактивной ОС; средство очистки неактивной ОС, предназначенное для поиска и удаления данных, связанных с удаленным вредоносным файлом, на логических дисках проверенной неактивной ОС, на основании сопоставления идентификаторов логических дисков в активной ОС и в проверяемой неактивной ОС при указании полного пути к файлу; средство контроля критических файлов, предназначенное для проверки удаленного вредоносного файла на критичность, и когда файл является критическим для неактивной ОС, установки безопасной версии файла в месторасположение удаленного вредоносного файла. 2 н. и 4 з.п. ф-лы, 5 ил., 1 табл.

Контекстное приглашение в пробной версии приложения // 2639667

Изобретение относится к способу и системе обновления приложений на компьютерном устройстве. Технический результат заключается в обновлении программного обеспечения до улучшенной версии, которая обеспечивает полный набор возможностей программного обеспечения. Указанный технический результат достигается за счет контроля ввода от пользователя для редактирования документа. Указанный ввод принимают посредством пробной версии приложения, исполняемой на процессоре, каковой ввод предоставляется пользователем пробной версии приложения, и пробная версия приложения содержит поднабор функций полного приложения. Выясняют, основываясь на вводе от пользователя, возможность приглашения пользователя получить обновление. В качестве реакции на ввод, выполняемый пользователем в отношении документа, приглашают пользователя посредством пробной версии приложения купить обновление путем выдачи пользователю предложения о покупке обновления. Выполняют транзакцию для покупки обновления. Обеспечивают доступ к обновлению в компьютерном устройстве. 2 н. и 9 з.п. ф-лы, 6 ил.

Способ и система аутентификации // 2639674

Изобретение относится к компьютерной безопасности. Технический результат заключается в повышении безопасности во время аутентификации пользователя. Осуществляемый компьютером способ верификации включает предоставление пользователю возможности ввода идентификатора в электронное устройство, включающее экран и рабочую клавиатуру, работающую в пределах зоны клавиатуры на экране, генерируемую во время выполнения программы и включающую множество клавиш, каждая из которых имеет по меньшей мере одно связанное с ней обозначение, а при нажатии пользователем обеспечивает ввод связанного обозначения в упомянутое устройство, путем нажатия по меньшей мере одной клавиши клавиатуры через изображение по меньшей мере части скремблированной клавиатуры, которое отображается по меньшей мере частично в пределах зоны клавиатуры, и которое функционирует как накладка, расположенная поверх клавиатуры так, что, когда пользователь указывает место на изображении, он приводит в действие клавишу клавиатуры, размещенную в этом месте в зоне клавиатуры, для обеспечения закодированной версии данных, введенных пользователем. 9 н. и 45 з.п. ф-лы, 29 ил.

Способ и устройство для мониторинга файла в системном разделе // 2639898

Изобретение относится к области мониторинга программ и устройств для поддержания целостности операционных систем, а именно к мониторингу файлов в системном разделе операционной системы мобильного терминала. Техническим результатом является обеспечение возможности выполнения надлежащего обновления операционной системы при снижении вероятности возникновения ошибок в ходе соответствующей процедуры. Для этого в мобильном терминале запускают функцию мониторинга, создают следящий поток для функции мониторинга для обнаружения входного события в отношении системного раздела, причем входное событие представляет собой действие с файлом в системном разделе, записывают входное событие в файл журнала регистрации при обнаружении в следящем потоке указанного входного события в отношении целевого системного раздела и выполняют обновление версии операционной системы мобильного терминала на основе файла журнала регистрации. 3 н. и 12 з.п. ф-лы, 8 ил.

Способ и устройство для определения пригодности документа для оптического распознавания символов (ocr) на сервере // 2640296

Изобретение относится к средствам анализа цифрового изображения документа в вычислительной системе. Технический результат заключается в расширении арсенала технических средств анализа цифрового изображения документа. Вычислительная система, включающая: электронное устройство пользователя; сервер, к которому электронное устройство пользователя имеет доступ через сеть связи, этот сервер настроен на выполнение на сервере обработки OCR цифрового изображения для создания документа с распознанным текстом. В способе, исполняемом электронным устройством пользователя, выполняют этапы: получение пользовательским электронным устройством цифрового изображения документа; анализ с помощью классификатора, исполняемого электронным устройством пользователя, параметра качества OCR сжатого цифрового изображения, которое было получено из цифрового изображения путем использования алгоритма сжатия и параметра сжатия; для параметра качества OCR выше или равного заданному пороговому значению: передачу сжатого цифрового изображения на сервер для выполнения OCR на сервере. 3 н. и 26 з.п. ф-лы, 8 ил.

Движок интроспекции памяти для защиты целостности виртуальных машин // 2640300

Изобретение относится к области антивредоносных систем, использующих технологию аппаратной виртуализации. Техническим результатом является защита компьютерных систем от вредоносных программ. Раскрыта хостовая система, содержащая по меньшей мере один процессор, конфигурированный с возможностью выполнять: операционную систему, конфигурированную с возможностью выделять секцию виртуализированной физической памяти виртуальной машины целевому программному объекту, выполняемому в виртуальной машине, причем виртуальная машина открыта гипервизором, выполняемым на хостовой системе, при этом виртуализированная физическая память разделена на страницы, причем страница представляет собой наименьшую единицу памяти, индивидуально отображаемой между виртуализированной физической памятью и физической памятью хостовой системы; и модуль подготовки защиты, конфигурированный с возможностью, в ответ на определение того, удовлетворяет ли целевой программный объект критерию выбора для защиты от вредоносных программ, когда целевой программный объект удовлетворяет этому критерию выбора, изменять выделение памяти целевого объекта, при этом изменение выделения памяти включает в себя обеспечение того, что любая страница, содержащая по меньшей мере часть целевого программного объекта, зарезервирована для целевого программного объекта. 3 н. и 26 з.п. ф-лы, 10 ил.