RU2638005C1 - Способ прогнозирования безопасности в достижимых состояниях грид-систем - Google Patents
Способ прогнозирования безопасности в достижимых состояниях грид-систем Download PDFInfo
- Publication number
- RU2638005C1 RU2638005C1 RU2016126738A RU2016126738A RU2638005C1 RU 2638005 C1 RU2638005 C1 RU 2638005C1 RU 2016126738 A RU2016126738 A RU 2016126738A RU 2016126738 A RU2016126738 A RU 2016126738A RU 2638005 C1 RU2638005 C1 RU 2638005C1
- Authority
- RU
- Russia
- Prior art keywords
- nodes
- grid system
- access rights
- user
- grid
- Prior art date
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/07—Responding to the occurrence of a fault, e.g. fault tolerance
- G06F11/16—Error detection or correction of the data by redundancy in hardware
- G06F11/20—Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements
- G06F11/202—Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements where processing functionality is redundant
- G06F11/2038—Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements where processing functionality is redundant with a single idle spare processing component
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/604—Tools and structures for managing or administering access control systems
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/46—Multiprogramming arrangements
- G06F9/50—Allocation of resources, e.g. of the central processing unit [CPU]
- G06F9/5005—Allocation of resources, e.g. of the central processing unit [CPU] to service a request
- G06F9/5027—Allocation of resources, e.g. of the central processing unit [CPU] to service a request the resource being a machine, e.g. CPUs, Servers, Terminals
Abstract
Изобретение относится к вычислительной технике. Технический результат заключается в повышении скорости обработки пользовательской задачи в грид-системе за счет уменьшения количества анализируемых состояний грид-системы. Указанный технический результат достигается за счет применения способа прогнозирования безопасности в достижимых состояниях грид-систем, включающего принятие решения о легитимности узлов на основании сопоставления прав доступа, запрашиваемых учетной записью пользователя грид-системы с уже предоставленными правами доступа на этих узлах, и распределение пользовательской задачи по легитимным узлам, при этом предварительно вычисляют возможные маршруты распределения пользовательской задачи по узлам грид-системы, затем фиксируют множество уникальных вершин дерева достижимости, после этого определяют множество легитимных узлов грид-системы путем сравнения запрашиваемых прав доступа с предоставленными правами доступа и с правилами разграничения доступа для каждой зафиксированной уникальной вершины полученного дерева достижимости. 3 ил.
Description
Изобретение относится к области вычислительной техники и может найти применение в распределенных вычислительных сетях типа «грид» (грид-системах).
Известен способ распределения пользовательских задач по узлам грид-системы, реализованный в сервисе контроля доступа GRAM. При выполнении запроса на предоставление информационных и вычислительных ресурсов каждый узел, входящий в состав грид-системы, осуществляет авторизацию учетной записи пользователя путем отображения глобального идентификатора учетной записи в локальный идентификатор. Учетная запись пользователя грид-системы может инициировать выполнение пользовательской задачи только на тех узлах грид-системы, где она авторизована [Кирьянов А.К., Рябов Ю.Ф. Введение в технологию Грид: Учебное пособие. - Гатчина: ПИЯФ РАН, 2006. - 39 с.].
Недостатком способа является отсутствие учета таких состояний системы, при которых несколько учетных записей пользователей авторизуются на одном и том же узле грид-системы под одной локальной учетной записью. Это приводит к тому, что один пользователь может получить доступ к данным других пользователей, совместно с которыми он прошел процедуру авторизации на узле грид-системы, не имея права на такой доступ в соответствии с политикой безопасности.
Известен способ проверки прав доступа для учетных записей пользователей в грид-системах, в котором перед передачей пользовательской задачи на узел грид-системы сопоставляют права доступа, запрашиваемые учетной записью пользователя, с уже предоставленными правами доступа на выбранных узлах грид-системы. Затем, учитывая правила разграничения доступа, формируют множество узлов грид-системы, на которых допустимо выполнение пользовательской задачи (легитимных узлов). При этом при определении легитимности узла грид-системы вначале выполняется построение дерева достижимых состояний грид-системы, после чего для каждой вершины полученного дерева выполняют сравнение запрашиваемых прав доступа с предоставленными правами доступа и с правилами разграничения доступа [RU 2536678 С1 опубл. 27.12. 2014 г.]. Это техническое решение выбрано в качестве прототипа.
Недостаток известного способа заключается в том, что сравнение запрашиваемых прав доступа с предоставленными правами доступа и с правилами разграничения доступа выполняется для каждой вершины полученного дерева достижимости, при этом не учитывается наличие дублирующихся вершин, т.е. вершин с одинаковой маркировкой. Появление в дереве достижимости состояний грид-системы вершин с одинаковой маркировкой возможно ввиду того, что пользовательская задача может переместиться на заданный узел грид-системы несколькими альтернативными путями. Это приводит к снижению скорости обработки пользовательских задач.
Задача, на решение которой направлено предлагаемое изобретение, заключается в повышении скорости обработки пользовательской задачи в грид-системе за счет уменьшения количества анализируемых состояний грид-системы.
Для решения этой задачи, в отличие от известного способа проверки прав доступа для учетных записей пользователей в грид-системах, включающего принятие решения о легитимности узлов на основании сопоставления прав доступа, запрашиваемых учетной записью пользователя грид-системы с уже предоставленными правами доступа на этих узлах, и распределение пользовательской задачи по легитимным узлам,
в предлагаемом способе предварительно вычисляют возможные маршруты распределения пользовательской задачи по узлам грид-системы по алгоритму построения дерева достижимости сетей Петри (алгоритм построения дерева достижимости сетей Петри указан в источнике http://itmu.vsuet.ru/Subjects/Matmodel-pk/Seti-Petri.htm);
затем фиксируют множество уникальных (неповторяющихся) вершин дерева достижимости;
после этого определяют множество легитимных узлов грид-системы путем сравнения запрашиваемых прав доступа с предоставленными правами доступа и с правилами разграничения доступа для каждой зафиксированной уникальной вершины полученного дерева достижимости.
Предварительная фиксация множества уникальных вершин дерева достижимости состояний грид-системы позволяет сократить время, необходимое для определения множества легитимных узлов грид-системы, и увеличить скорость обработки пользовательских задач.
Изобретение поясняется чертежами, где фиг. 1 - схема реализации предложенного технического решения, фиг. 2 - схема грид-системы, фиг. 3 - пример реализации предложенного технического решения.
Грид-система содержит узлы 1, 2, 3, представляющие собой вычислительные устройства. В грид-системе реализована программная база Globus Toolkit 5.0. Цифровые сертификаты учетных записей пользователей и узлов грид-системы являются легитимными.
Узел 1 является провайдером ресурсов Т1={'пользовательские_данные'};
узел 2 является провайдером ресурсов Т2={'ресурсы_ПО'};
узел 3 является провайдером ресурсов Т3={'пользовательские_данные'}.
В грид-системе заданы следующие правила разграничения доступа, которые предусматривает два типа доступа: доступ к вычислительным ресурсам и к данным учетных записей пользователей грид-системы:
Правило №1. Учетная запись пользователя U1 может хранить данные на узле 2.
Правило №2. Учетная запись пользователя U1 может хранить данные на узле 3.
Правило №3. Учетная запись пользователя U3 не может исполнять приложения на узле 2.
Предлагаемый способ может быть реализован следующим образом.
Изначально в грид-системе отсутствуют пользовательские задачи. При запросе на выполнение пользовательской задачи J1 на узле 1 учетной записью пользователя U1 с типом метки Т={'пользовательские_данные', U1} сначала выполняется взаимная аутентификация узла грид-системы с учетной записью пользователя грид-системы посредством проверки их цифровых сертификатов.
Поскольку цифровые сертификаты учетных записей пользователей и узлов грид-системы являются легитимными, выполняется первичная обработка пользовательской задачи, инициированной процессами от имени учетной записи пользователя, посредством определения доступных узлов грид-системы, анализа их загруженности, производительности, а также доступных типов ресурсов. Для успешного выполнения данной задачи в соответствии с типом ее метки Т провайдеры ресурсов (узлы грид-системы) должны располагать следующим множеством ресурсов: {'пользовательские_данные'}. В результате определено множество доступных узлов грид-системы, способных выполнить данную задачу: узел 2 и узел 3.
Затем выполняют шифрование данных, содержащихся в пользовательской задаче. Для этого создают пару криптографических ключей: открытый ключ шифрования, предназначенный для зашифровывания данных, и закрытый ключ шифрования, предназначенный для расшифровывания данных.
Затем вычисляют возможные маршруты распределения пользовательской задачи по узлам грид-системы. Для этого грид-систему представляют в виде сети Петри N=(RP, Т, F, М), где RP=[rp] - конечное множество вершин графа, соответствующих узлам грид-системы (провайдерам ресурсов), T={t} - конечное множество переходов между вершинами графа, - отношение смежности вершин, которое задает множество дуг, соединяющих вершины графа и переходы, М=(m1, …, mn) - маркировка сети, представляющая собой вектор целочисленных значений количества активных пользовательских задач (из множества J), n - число узлов грид-системы. Затем строят дерево достижимости сети Петри (алгоритм построения дерева достижимости сетей Петри указан в источнике http://itmu.vsuet.ru/Subjects/Matmodel-pk/Seti-Petri.htm). Для данного примера дерево достижимости имеет вид, представленный на фиг. 3.
Затем фиксируют множество уникальных вершин полученного дерева достижимости. В данном примере уникальными являются вершины М1 и М2, поскольку маркировка вершины М3 совпадает с маркировкой вершины М2.
После этого определяют множество легитимных узлов грид-системы. Для этого для каждой зафиксированной уникальной вершины дерева достижимости (вершины М1 и М2) выполняют сравнение запрашиваемых прав доступа с предоставленными правами доступа и с правилами разграничения доступа. Поскольку политика безопасности не содержит правил, запрещающих выполнение пользовательской задачи J1 на узлах 2 и 3, данные узлы грид-системы являются конечными пунктами маршрута распределения пользовательской задачи.
Затем выполняют обмен ключами шифрования между учетной записью пользователя U1 и полученными легитимными узлами грид-системы: 2 и 3.
После этого учетная запись пользователя U1 выполняет зашифровывание данных пользовательской задачи на узле 1 с помощью открытого ключа шифрования.
В соответствии с определенным ранее маршрутом распределения пользовательской задачи по узлам грид-системы пользовательскую задачу передают на узлы 2 и 3.
На указанных узлах грид-системы выполняют расшифровывание данных пользовательской задачи с помощью закрытого ключа шифрования. После этого программный сервис грид-системы, расположенный на указанных узлах, запускает задачу от имени локальной учетной записи пользователя, в результате чего задействует ресурсы на узлах 2 и 3.
Применение данного изобретения в существующих реализациях грид-систем позволит сократить временные и экономические затраты на поддержание надежного функционирования грид-систем за счет повышения скорости обработки пользовательской задачи в грид-системе. Применение предлагаемой в изобретении системы позволит автоматизировать процедуру анализа безопасности, придать ей объективный характер и тем самым обеспечивать высокий уровень надежности и защищенности грид-систем.
Claims (1)
- Способ прогнозирования безопасности в достижимых состояниях грид-систем, включающий принятие решения о легитимности узлов на основании сопоставления прав доступа, запрашиваемых учетной записью пользователя грид-системы с уже предоставленными правами доступа на этих узлах, и распределение пользовательской задачи по легитимным узлам, отличающийся тем, что предварительно вычисляют возможные маршруты распределения пользовательской задачи по узлам грид-системы, затем фиксируют множество уникальных вершин дерева достижимости, после этого определяют множество легитимных узлов грид-системы путем сравнения запрашиваемых прав доступа с предоставленными правами доступа и с правилами разграничения доступа для каждой зафиксированной уникальной вершины полученного дерева достижимости.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
RU2016126738A RU2638005C1 (ru) | 2016-07-04 | 2016-07-04 | Способ прогнозирования безопасности в достижимых состояниях грид-систем |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
RU2016126738A RU2638005C1 (ru) | 2016-07-04 | 2016-07-04 | Способ прогнозирования безопасности в достижимых состояниях грид-систем |
Publications (1)
Publication Number | Publication Date |
---|---|
RU2638005C1 true RU2638005C1 (ru) | 2017-12-08 |
Family
ID=60581739
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
RU2016126738A RU2638005C1 (ru) | 2016-07-04 | 2016-07-04 | Способ прогнозирования безопасности в достижимых состояниях грид-систем |
Country Status (1)
Country | Link |
---|---|
RU (1) | RU2638005C1 (ru) |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2006112980A2 (en) * | 2005-03-16 | 2006-10-26 | Cluster Resources, Inc. | Reserving resources in an on-demand compute environment from a local compute environment |
EP1906618A1 (en) * | 2006-09-29 | 2008-04-02 | Sap Ag | A comprehensive security architecture for dynamic, web service based virtual organizations |
US20110231900A1 (en) * | 2010-03-18 | 2011-09-22 | Fujitsu Limited | Apparatus, method, and computer-readable medium for distributing access control information |
RU2536678C1 (ru) * | 2013-07-30 | 2014-12-27 | ООО "НеоБИТ" | Способ проверки прав доступа для учетных записей пользователей в грид-системах и система для его осуществления |
-
2016
- 2016-07-04 RU RU2016126738A patent/RU2638005C1/ru active
Patent Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2006112980A2 (en) * | 2005-03-16 | 2006-10-26 | Cluster Resources, Inc. | Reserving resources in an on-demand compute environment from a local compute environment |
WO2008036058A2 (en) * | 2005-03-16 | 2008-03-27 | Cluster Resources, Inc. | On-demand computing environment |
US7698430B2 (en) * | 2005-03-16 | 2010-04-13 | Adaptive Computing Enterprises, Inc. | On-demand compute environment |
EP1906618A1 (en) * | 2006-09-29 | 2008-04-02 | Sap Ag | A comprehensive security architecture for dynamic, web service based virtual organizations |
US20080104708A1 (en) * | 2006-09-29 | 2008-05-01 | Florian Kerschbaum | Comprehensive security architecture for dynamic, web service based virtual organizations |
US20110231900A1 (en) * | 2010-03-18 | 2011-09-22 | Fujitsu Limited | Apparatus, method, and computer-readable medium for distributing access control information |
RU2536678C1 (ru) * | 2013-07-30 | 2014-12-27 | ООО "НеоБИТ" | Способ проверки прав доступа для учетных записей пользователей в грид-системах и система для его осуществления |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US8977857B1 (en) | System and method for granting access to protected information on a remote server | |
Al-Jaberi et al. | Data integrity and privacy model in cloud computing | |
CA3083722C (en) | Re-encrypting data on a hash chain | |
Selvamani et al. | A review on cloud data security and its mitigation techniques | |
Khan et al. | A comparative study and workload distribution model for re‐encryption schemes in a mobile cloud computing environment | |
CN114398623A (zh) | 一种安全策略的确定方法 | |
Pavan Kumar et al. | Server security in cloud computing using block-chaining technique | |
RU2638005C1 (ru) | Способ прогнозирования безопасности в достижимых состояниях грид-систем | |
Huang et al. | A method for trusted usage control over digital contents based on cloud computing | |
Ghori et al. | Review of access control mechanisms in cloud computing | |
Arki et al. | A multi-agent security framework for cloud data storage | |
Piechotta et al. | A secure dynamic collaboration environment in a cloud context | |
Idrissi et al. | Security of mobile agent platforms using access control and cryptography | |
Bobde et al. | An approach for securing data on Cloud using data slicing and cryptography | |
Itani et al. | SNUAGE: an efficient platform-as-a-service security framework for the cloud | |
Ranjith et al. | Intelligence based authentication-authorization and auditing for secured data storage | |
Tomar et al. | Enhanced image based authentication with secure key exchange mechanism using ECC in cloud | |
RU2634184C2 (ru) | Способ верификации безопасного распределения пользовательских задач по узлам грид-системы | |
Goswami et al. | Investigation on storage level data integrity strategies in cloud computing: classification, security obstructions, challenges and vulnerability | |
Raja et al. | An enhanced study on cloud data services using security technologies | |
Sruthi et al. | Protected entry design for data encryption and decryption using big data in cloud | |
Tyagi et al. | A framework for data storage security in cloud | |
Sagar et al. | Survey on Various Cloud Security Approaches | |
Cooper | Analysis of security in cloud platforms using OpenStack as case study | |
Ranjan et al. | Improved technique for data confidentiality in cloud environment |