Способ проверки прав доступа для учетных записей пользователей в грид-системах и система для его осуществления

Изобретение относится к вычислительной технике. Технический результат заключается в защите информационных и вычислительных ресурсов грид-систем от несанкционированного доступа. Способ проверки прав доступа для учетных записей пользователей в грид-системах, заключающийся в том, что определяют доступные узлы грид-системы, формируют список узлов грид-системы, на которых допускается запустить вычислительный процесс, фиксируют множество учетных записей пользователей грид-системы, а также множество предоставленных им прав доступа в текущий момент времени, сопоставляют запрашиваемые учетной записью пользователя грид-системы права доступа с уже предоставленными правами доступа на выбранных узлах грид-системы с учетом правил разграничения доступа, формируя множество легитимных узлов грид-системы, выполняют фильтрацию запроса на доступ к ресурсам грид-системы, поступившего от учетной записи пользователя, в пределах ранее выбранных узлов грид-системы, разрешая выполнение вычислительного процесса только на легитимных узлах грид-системы. 2 н.п. ф-лы, 3 ил.

 

Изобретение относится к области защиты информационных систем распределенных вычислений, а именно к обеспечению защиты вычислительных и информационных ресурсов грид-систем от несанкционированного доступа на базе сопоставления множества прав доступа, фактически предоставляемых учетным записям пользователей в грид-системах, с множеством прав доступа, необходимых учетным записям пользователей грид-систем для осуществления вычислительных процессов, и определения на основе этого видов доступа к вычислительным ресурсам грид-систем, осуществляемых вычислительными процессами.

Под несанкционированным доступом понимается доступ к информационным или вычислительным ресурсам системы субъектов доступа, не имеющих прав пользования ими [Воройский Ф.С. Информатика. Энциклопедический словарь-справочник: введение в современные информационные и телекоммуникационные технологии в терминах и фактах. - М.: ФИЗМАТЛИТ, 2006. - 768 с.].

Для разграничения доступа к информационным или вычислительным ресурсам грид-систем используются специальные хранилища прав доступа, содержащие множество правил разграничения доступа, представленных в виде записей "субъект доступа - объект доступа - права доступа". Субъектом доступа в грид-системах является вычислительный процесс, действия которого регламентируются по учетным записям запускающих их пользователей правилами разграничения доступа, заданными в виде таких записей. Объектом доступа является единица информационного (файлы) или вычислительного (центральный процессор) ресурса грид-системы, доступ к которой регламентируется правилами разграничения доступа.

Выполнение данных правил разграничения доступа гарантируется реализованным в грид-системах механизмом контроля и управления доступом к ресурсам грид-систем. Особенности грид-систем, а именно свойство гетерогенности грид-систем, наличие нескольких механизмов авторизации на основе учетных записей пользователей, а также отсутствие централизованного сервера безопасности затрудняют реализацию любых классических способов контроля и управления доступом. Поскольку учетная запись пользователя грид-системы может в любой момент времени состоять сразу в нескольких учетных записях групп пользователей, авторизованных для доступа к информационным и вычислительным ресурсам грид-систем, для нейтрализации угрозы возможного несанкционированного доступа к ресурсам вычислительными процессами необходимо при осуществлении контроля доступа к ресурсам контролировать динамическое распределение запросов, инициируемых вычислительными процессами от имени учетных записей пользователей на предоставление им указанных ресурсов грид-систем.

В основу изобретения положена задача создания способа проверки прав доступа для учетных записей пользователей в грид-системах и системы для его осуществления, применение которых обеспечивает защиту информационных и вычислительных ресурсов грид-систем от несанкционированного доступа, а также сокращение временных и экономических затрат на поддержание надежного функционирования грид-систем за счет сокращения времени простоя оборудования, вызванного его отказом вследствие осуществления компьютерных атак на ресурсы грид-систем.

Известен способ проверки прав доступа для учетных записей пользователей на получение услуги, заключающийся в том, что эмитент предоставляет для каждой учетной записи пользователя, по крайней мере, одну матрицу переменного номера и одну матрицу переменной подписи. При положительном результате проверки, полученной от учетной записи пользователя переменной подписи, эмитент верифицирует права на предоставление абонированной услуги [Пат. РФ №2272321. Способ верификации прав пользователя на получение услуги. Опубл. 20.03.2006].

Недостаток данного способа заключается в том, что процедура проверки прав доступа для учетных записей пользователей выполняется однократно при попытке аутентификации в системе и не учитывает потенциальные попытки повышения прав на доступ к ресурсам системы после прохождения процедуры аутентификации, что возможно ввиду особой природы грид-систем, в основе которой лежит принцип совместного использования ресурсов системы множеством вычислительных процессов, исполняющихся с разными учетными записями пользователей, наделенных разными правами доступа к ресурсам.

Наиболее близким техническим решением является способ контроля доступа к ресурсам грид-систем, реализованный в сервисе контроля доступа GRAM. При выполнении запроса, инициируемого вычислительными процессами от имени учетной записи пользователя, на предоставление информационных и вычислительных ресурсов грид-систем каждый узел, входящий в состав грид-системы, осуществляет авторизацию учетной записи пользователя путем отображения глобального идентификатора учетной записи в локальный для данного узла. Пользователь грид-системы может инициировать свои задания на тех узлах из состава грид-системы, на которых он авторизован. Данное техническое решение включает выполнение следующих действий:

взаимная аутентификация сервиса контроля доступа с учетной записью пользователя грид-системы посредством проверки их цифровых сертификатов;

обработка запроса, инициируемого вычислительными процессами от имени учетной записи пользователя, на предоставление ресурсов грид-системы посредством определения доступных узлов грид-системы, анализа их загрузки, производительности и других параметров, указанных в запросе, а также выбор наиболее оптимальных узлов;

отображение запроса, инициируемого вычислительными процессами от имени учетной записи пользователя, на локальную учетную запись на каждом из выбранных узлов грид-системы;

последовательный выбор узлов грид-системы из списка ранее выбранных, запуск процессов от имени локальной учетной записи пользователя и передача ему множества запрошенных ресурсов.

Известная система для реализации данного способа содержит:

модуль аутентификации, выполняющий проверку цифровых сертификатов учетных записей пользователей и узлов грид-системы при попытке получения доступа к информационным и вычислительным ресурсам грид-системы;

модуль распределения запросов, выполняющий поиск подходящих узлов грид-системы для их выполнения;

модуль контроля и управления доступом, выполняющий запуск процессов от имени локальных учетных записей пользователей и передачу им множества запрошенных ресурсов

[Кирьянов А.К., Рябов Ю.Ф. Введение в технологию Грид: Учебное пособие. - Гатчина: ПИЯФ РАН, 2006. - 39 с.].

Недостатком такого технического решения является отсутствие учета таких состояний системы, при которых несколько учетных записей пользователей грид-систем авторизуются на одном и том же узле системы под одной локальной учетной записью, что позволяет некоторой учетной записи пользователя получать доступ к данным других учетных записей пользователей, совместно с которыми он прошел процедуру авторизации на данном узле грид-системы, но для которых такой доступ прямо не предоставлен и вследствие этого критичен, так как происходит утечка данных, что имеет негативные последствия в виде нарушений безопасности данных и функционирования системных процессов в грид-системах.

Техническим результатом предлагаемого решения является защита информационных и вычислительных ресурсов грид-систем от несанкционированного доступа, а также сокращение временных и экономических затрат на поддержание надежного функционирования грид-систем за счет сокращения времени простоя оборудования, вызванного его отказом вследствие осуществления компьютерных атак на ресурсы грид-систем.

Решение поставленной технической задачи обеспечивается тем, что в способе проверки прав доступа для учетных записей пользователей в грид-системах

выполняют взаимную аутентификацию узлов грид-системы с учетной записью пользователя грид-системы посредством проверки их цифровых сертификатов;

выполняют первичную обработку запроса, инициированного вычислительным процессом от имени учетной записи пользователя на предоставление ресурсов грид-системы, определяя доступные узлы грид-системы, анализируя их вычислительную загрузку, производительность, выбирая наиболее оптимальные узлы и формируя список узлов грид-системы, на которых допускается запустить на исполнение вычислительный процесс;

фиксируют множество учетных записей пользователей грид-системы, авторизованных на отобранных узлах грид-системы, а также множество предоставленных им прав доступа в текущий момент времени;

выполняют повторную обработку запроса, инициированного вычислительным процессом от имени учетной записи пользователя, и определяют запрашиваемые права доступа, фиксируя множество прав доступа, необходимое для работы вычислительного процесса, запущенного от имени данной учетной записи пользователя;

сопоставляют запрашиваемые учетной записью пользователя грид-системы права доступа с уже предоставленными правами доступа на выбранных узлах грид-системы с учетом правил разграничения доступа, тем самым формируя множество узлов грид-системы, на которых допустимо выполнение запроса (легитимных узлов грид-системы);

выполняют фильтрацию запроса на доступ к ресурсам грид-системы, поступившего от учетной записи пользователя, в пределах ранее выбранных узлов грид-системы, разрешая выполнение вычислительного процесса только на легитимных узлах грид-системы;

последовательно перебирают узлы грид-системы из сформированного списка, запускают вычислительный процесс от имени локальной учетной записи пользователя и передают ему множество запрошенных ресурсов.

Система для реализации данного способа содержит:

модуль аутентификации учетных записей пользователей, выполняющий проверку их цифровых сертификатов при попытке получения доступа к информационным и вычислительным ресурсам грид-системы;

модуль распределения запросов, выполняющий поиск подходящих узлов грид-системы для их выполнения и заполняющий базу данных, содержащую множество подходящих узлов грид-системы;

модуль фиксации предоставленных учетным записям пользователей грид-системы прав доступа на выбранных узлах грид-системы, заполняющий базу данных, содержащую множество авторизованных учетных записей пользователей грид-системы, а также множество предоставленных им прав доступа;

модуль проверки прав доступа, выполняющий сопоставление запрашиваемых учетной записью пользователя грид-системы прав доступа с уже предоставленными правами доступа на выбранных узлах грид-системы с учетом правил разграничения доступа и формирующий множество легитимных узлов;

модуль фильтрации запросов, последовательно перебирающий узлы грид-системы из сформированного списка и разрешающий выполнение запроса на легитимных узлах грид-системы.

При этом модуль аутентификации учетных записей пользователей связан с модулем распределения запросов, который связан с модулем проверки прав доступа. Модуль фиксации предоставленных учетным записям пользователей грид-системы прав доступа связан с модулем проверки прав доступа, который связан с модулем фильтрации запросов.

Новые существенные признаки способа:

фиксируют множество учетных записей пользователей грид-системы, авторизованных на отобранных узлах грид-системы, а также множество предоставленных им прав доступа в текущий момент времени;

выполняют повторную обработку запроса, инициированного вычислительным процессом от имени учетной записи пользователя, и определяют запрашиваемые права доступа, фиксируя множество прав доступа, необходимое для работы вычислительного процесса, запущенного от имени данной учетной записи пользователя;

сопоставляют запрашиваемые учетной запись пользователя грид-системы права доступа с уже предоставленными правами доступа на выбранных узлах грид-системы с учетом правил разграничения доступа, тем самым формируя множество узлов грид-системы, на которых допустимо выполнение запроса (легитимных узлов грид-системы);

выполняют фильтрацию запроса на доступ к ресурсам грид-системы, поступившего от учетной записи пользователя, в пределах ранее выбранных узлов грид-системы, разрешая выполнение вычислительного процесса только на легитимных узлах грид-системы.

Новые существенные признаки системы:

модуль фиксации предоставленных учетным записям пользователей грид-системы прав доступа на выбранных узлах грид-системы, заполняющий базу данных, содержащую множество авторизованных учетных записей пользователей грид-системы, а также множество предоставленных им прав доступа;

модуль проверки прав доступа, выполняющий сопоставление запрашиваемых учетной записью пользователя грид-системы прав доступа с уже предоставленными правами доступа на выбранных узлах грид-системы с учетом правил разграничения доступа и формирующий множество легитимных узлов;

модуль фильтрации запросов, последовательно перебирающий узлы грид-системы из сформированного списка и разрешающий выполнение запроса на легитимных узлах грид-системы.

При этом модуль аутентификации учетных записей пользователей связан с модулем распределения запросов, который связан с модулем проверки прав доступа. Модуль фиксации предоставленных учетным записям пользователей грид-системы прав доступа связан с модулем проверки прав доступа, который связан с модулем фильтрации запросов.

Перечисленные новые существенные признаки способа и устройства для его реализации в совокупности с известными позволяют оперативно выявлять факты нарушения учетными записями пользователей своих прав по доступу к информационным и вычислительным ресурсам грид-систем, в том числе возникшие в результате компрометации указанных ресурсов со стороны уже авторизованных учетных записей пользователей. Это в свою очередь позволяет повысить уровень защищенности ресурсов грид-систем, сократить затраты на обеспечение безопасности доступа к таким системам, повысить надежность функционирования грид-систем.

Изобретение поясняется с помощью фиг.1, 2 и 3. На фиг.1 представлена схема способа проверки прав доступа для учетных записей пользователей грид-систем. На фиг.2 показана модульная схема системы, реализующей данный способ. На фиг.3 показан пример реализации предложенного технического решения.

При осуществлении способа выполняется учет предоставленных учетным записям пользователей грид-системы прав доступа на узлах грид-системы, что исключает возможность превышения прав доступа авторизованными учетными записями пользователей за счет делегирования данных прав доступа приложениям, запускающимся на тех узлах грид-системы, на которых другие учетных записи пользователей авторизованы для хранения своей информации, и последующего чтения указанной информации в обход установленных правил разграничения доступа. Для достижения автоматизации процедуры проверки прав доступа для учетных записей пользователей в грид-системах система для осуществления описываемого способа организуется в виде отдельного программного модуля, интегрируемого в состав современных реализаций вычислительных платформ грид-систем.

При осуществлении способа выполняют взаимную аутентификацию узлов грид-системы с учетной записью пользователя посредством последовательных проверок корректности цифровых сертификатов учетной записи пользователя и узлов грид-системы путем извлечения из цифровых сертификатов электронной цифровой подписи и последующей проверки ее принадлежности к одному из авторизованных центров выдачи сертификатов.

В случае установления подлинности электронной цифровой подписи сертификатов далее выполняют первичную обработку запроса, инициированного вычислительными процессами от имени учетной записи пользователя, включая определение доступных узлов грид-системы путем их опроса по сети с использованием внутреннего протокола передачи данных, анализ их загруженности путем подсчета количества обрабатываемых в данным момент времени запросов, потребляемых вычислительных ресурсов, необходимых для выполнения данных запросов, объема свободной оперативной и физической памяти узлов грид-системы, и на основе собранных данных - выбор наиболее оптимальных для обработки поступившего запроса узлов грид-системы. В результате проделанных действий формируют список узлов, пригодных для обработки поступившего запроса.

Затем фиксируют множество учетных записей пользователей грид-системы, авторизованных на отобранных узлах грид-системы, а также множество предоставленных им прав доступа в текущий момент времени. В результате проделанных действий формируется база данных, содержащая информацию о предоставленных правах доступа для каждой учетной записи пользователей грид-системы на каждом из узлов грид-системы.

При этом каждая учетная запись пользователя грид-системы и узел грид-системы фиксируются и взаимооднозначно идентифицируются по своим идентификаторам, представляющим собой строку символов (в случае учетной записи пользователя грид-системы) и IP-адрес или сетевое имя, представленные в соответствии со стандартом RFC1918 (в случае узла грид-системы).

Затем выполняют повторную обработку запроса, инициированного вычислительными процессами от имени учетной записи пользователя, выделяя из него информацию о запрашиваемом типе доступа, в результате чего фиксируют множество запрашиваемых учетной записью пользователя грид-системы прав доступа.

Далее на каждом из отобранных узлов грид-системы сопоставляют зафиксированные запрашиваемые учетной записью пользователя грид-системы права доступа с записями из правил разграничения доступа путем последовательного извлечения записей правил разграничения доступа, сравнения идентификатора учетной записи пользователя, инициировавшего данный запрос, с идентификатором, содержащимся в поле "субъект доступа" в извлекаемой записи правил разграничения доступа, и идентификатора узла грид-системы с идентификатором, содержащимся в поле "объект доступа" в извлекаемой записи правил разграничения доступа. При этом сопоставление прав доступа выполняют в зависимости от результата сравнения указанных идентификаторов.

Для каждой записи правил разграничения доступа, в которой идентификатор, содержащийся в поле "объект доступа", совпадает с идентификатором отобранного узла грид-системы, если идентификатор учетной записи пользователя, инициировавшего данный запрос, совпадает с идентификатором, указанным в извлеченной записи правил разграничения доступа, то при оценке легитимности данного узла грид-системы проверяют наличие в извлеченной записи правил разграничения доступа множества прав доступа, равного или перекрывающего множество запрашиваемых учетной записью пользователя грид-системы прав доступа с множеством прав доступа, указанным в извлеченной записи правил разграничения доступа.

Для каждой записи правил разграничения доступа, в которой идентификатор, содержащийся в поле "объект доступа", совпадает с идентификатором отобранного узла грид-системы, если идентификатор учетной записи пользователя, инициировавшего данный запрос, не совпал ни с одним из идентификаторов, указанных в извлеченных записях правил разграничения доступа, то данный узел грид-системы считают легитимным.

Далее для каждого из отобранных узлов грид-системы сопоставляют запрашиваемые учетной записью пользователя грид-системы права доступа с уже предоставленными на выбранных узлах грид-системы. Для этого выполняют последовательное извлечение элементов из базы данных, содержащей информацию о предоставленных правах доступа на данном узле грид-системы, и для каждой учетной записи пользователя грид-системы, содержащейся в извлекаемых элементах, определяют идентификатор узла грид-системы, на котором авторизована данная учетная запись, и сопоставляют запрашиваемые учетной записью пользователя грид-системы права доступа с правилами разграничения доступа, считая, что в качестве значений поля "объект доступа" правил разграничения доступа выступает полученный идентификатор узла грид-системы.

В результате проделанных действий формируют множество узлов грид-системы, на которых допустимо выполнение запроса (легитимных узлов). Все сопоставления прав при этом выполняют по правилам сравнения множеств.

Затем выполняют фильтрацию запроса, инициированного вычислительными процессами от имени учетной записи пользователя, в пределах ранее выбранных узлов грид-системы, разрешая обработку запроса и выполняя его передачу по сети только на легитимные узлы грид-системы.

Затем на каждом из легитимных узлов грид-системы запускают вычислительный процесс от имени локальной учетной записи пользователя и передают ему множество запрошенных ресурсов.

Для автоматизации способа проверки прав доступа для учетных записей пользователей в грид-системах применяют систему (фиг.2), в которую включены модуль аутентификации учетных записей пользователей, модуль распределения запросов, модуль фиксации предоставленных прав доступа, модуль проверки прав доступа и модуль фильтрации запросов.

Модуль аутентификации учетных записей пользователей выполняет взаимную аутентификацию узлов грид-системы с учетной записью пользователя посредством последовательных проверок корректности цифровых сертификатов учетной записи пользователя и узлов грид-системы путем извлечения из цифровых сертификатов электронной цифровой подписи и последующей проверки ее принадлежности к одному из авторизованных центров выдачи сертификатов.

Модуль распределения запросов выполняет первичную обработку запроса, инициированного вычислительными процессами от имени учетной записи пользователя, включая определение доступных узлов грид-системы путем их опроса по сети с использованием внутреннего протокола передачи данных, анализ их загруженности путем подсчета количества обрабатываемых в данным момент времени запросов, потребляемых вычислительных ресурсов, необходимых для выполнения данных запросов, объема свободной оперативной и физической памяти узлов, и на основе собранных данных выбор наиболее оптимальных для обработки поступившего запроса узлов грид-системы. Результатом работы модуля является база данных, содержащая список узлов, пригодных для обработки поступившего запроса.

Модуль фиксации предоставленных прав доступа фиксирует множество учетных записей пользователей грид-системы, авторизованных на данных узлах (множество авторизованных учетных записей пользователей грид-системы), а также множество предоставленных им прав доступа в текущий момент времени. Результатом работы модуля является база данных, содержащая информацию о предоставленных правах доступа для каждой учетной записи пользователя грид-системы на каждом из узлов грид-системы.

Модуль проверки прав доступа выполняет повторную обработку запроса, инициированного вычислительными процессами от имени учетной записи пользователя, выделяя из него информацию о запрашиваемом типе доступа, тем самым фиксируя множество запрашиваемых учетной записью пользователя грид-системы прав доступа, после чего на каждом из отобранных узлов грид-системы сопоставляет зафиксированные запрашиваемые учетной записью пользователя грид-системы права доступа с правилами разграничения доступа путем последовательного извлечения записей правил разграничения доступа, сравнения идентификатора учетной записи пользователя, инициировавшего данный запрос, с идентификатором, содержащимся в поле "субъект доступа" в извлекаемой записи правил разграничения доступа, и идентификатора узла грид-системы с идентификатором, содержащимся в поле "объект доступа" в извлекаемой записи правил разграничения доступа. При этом сопоставление прав доступа выполняет в зависимости от результата сравнения указанных идентификаторов.

Для каждой записи правил разграничения доступа, в которой идентификатор, содержащийся в поле "объект доступа", совпадает с идентификатором отобранного узла грид-системы, если идентификатор учетной записи пользователя, инициировавшего данный запрос, совпадает с идентификатором, указанным в извлеченной записи правил разграничения доступа, то при оценке легитимности данного узла грид-системы проверяет наличие в извлеченной записи правил разграничения доступа множества прав доступа, равного или перекрывающего множество запрашиваемых учетной записью пользователя грид-системы прав доступа с множеством прав доступа, указанным в извлеченной записи правил разграничения доступа.

Для каждой записи правил разграничения доступа, в которой идентификатор, содержащийся в поле "объект доступа", совпадает с идентификатором отобранного узла грид-системы, если идентификатор учетной записи пользователя, инициировавшего данный запрос, не совпал ни с одним из идентификаторов, указанных в извлеченных записях правил разграничения доступа, то данный узел грид-системы считает легитимным.

Далее для каждого из отобранных узлов грид-системы сопоставляет запрашиваемые учетной записью пользователя грид-системы права доступа с уже предоставленными на выбранных узлах грид-системы. Для этого выполняет последовательное извлечение элементов из базы данных, содержащей информацию о предоставленных правах доступа на данном узле грид-системы, и для каждой учетной записи пользователя грид-системы, содержащейся в извлекаемых элементах, определяют идентификатор узла грид-системы, на котором авторизована данная учетная запись, и сопоставляет запрашиваемые учетной записью пользователя грид-системы права доступа с правилами разграничения доступа, считая, что в качестве значений поля "объект доступа" правил разграничения доступа выступает полученный идентификатор узла грид-системы.

Результатом работы модуля является база данных, содержащая множество узлов грид-системы, на которых допустимо выполнение запроса (легитимных узлов).

Модуль фильтрации запросов выполняет фильтрацию запроса, инициированного вычислительными процессами от имени учетной записи пользователя, разрешая обработку запроса и выполняя его передачу по сети только на легитимные узлы грид-системы, и на каждом из легитимных узлов грид-системы запускает процесс от имени локальной учетной записи пользователя и передает ей множество запрошенных ресурсов.

Рассмотрим пример реализации предложенного технического решения при выполнении проверки прав доступа для учетных записей пользователей в грид-системах, построенной на базе программной реализации Globus Toolkit 5.0. В описании примера цифровые сертификаты учетных записей пользователей и узлов грид-системы являются легитимными.

Система состоит из семи узлов, объединенных в вычислительную сеть, как показано на фиг.3. Атрибуты узлов грид-системы определены следующим образом:

T1={'пользовательские_данные'};

Т2={'ресурсы_ПО'}

Т3={'вычислительные_ресурсы', 'пользовательские_данные'};

Т4={'вычислительные_ресурсы'}.

Т5={'пользовательские _данные'}.

T6={'ресурсы_ПО'}.

Т7={'пользовательские_данные'}

В грид-системе заданы следующие правила разграничения доступа, которые предусматривает два типа доступа: доступ к вычислительным ресурсам и к данным учетных записей пользователей грид-системы:

1. Учетная запись пользователя U1 может хранить данные на узле M3.

2. Учетная запись пользователя U2 может исполнять приложения на узле M6.

3. Учетная запись пользователя U3 может исполнять приложения на узле M7.

4. Учетная запись пользователя U4 может хранить данные на узле М1.

5. Учетная запись пользователя U5 может исполнять приложения на узле М3.

6. Учетная запись пользователя U5 не может выполнять никаких действий на узле M1.

7. Учетная запись пользователя U6 может исполнять приложения на узле М4.

8. Учетная запись пользователя U7 может хранить данные на узле М1.

9. Учетная запись пользователя U7 может исполнять приложения на узле М2.

Изначально в грид-системе отсутствуют запросы, инициированные вычислительными процессами от имени учетных записей пользователей. Предположим, что учетная запись пользователя U1 на узле М1 создала запрос J1 со следующими атрибутами: тип метки Т={'пользовательские_данные', U1}. Сначала выполняется взаимная аутентификация узла грид-системы с учетной записью пользователя грид-системы посредством проверки их цифровых сертификатов. Поскольку цифровые сертификаты учетных записей пользователей и узлов грид-системы являются легитимными, выполняется обработка запроса, инициированного вычислительными процессами от имени учетной записи пользователя, посредством определения доступных узлов грид-системы, анализа их загруженности, производительности и других параметров, указанных в запросе, а также выбор наиболее оптимальных узлов.

Поскольку узел M1 не в состоянии выполнить указанный запрос, он перемещает его на узел M2. Как только запрос J1 появляется на узле M2, программный сервис грид-системы, расположенный на данном узле, начинает искать наиболее подходящий узел для выполнения данного запроса. Ему известен список доступных узлов, их состояние и тип ресурсов, которые они могут предоставить. Узел M3 находится в состоянии 'готов' и имеет необходимые для выполнения запроса J1 ресурсы ('пользовательские данные').

На следующем этапе выполняется фиксация предоставленных прав доступа на выбранных узлах грид-системы. Узел M2 проверяет, выполняются ли требования правил разграничения доступа. Он последовательно просматривает правила и находит правило №1 (в соответствии с набором правил, представленном выше), которое позволяет учетной записи пользователя U1 хранить свои данные на узле М3. Поэтому запрос J1 перемещается на узел M3.

Далее в грид-системе появляется запрос J2 с типом Т={'вычислительные_ресурсы', U2}. Это означает, что запрос J2 инициирован учетной записью пользователя U5 на узле M5. Данный запрос попадает на узел M6. Поскольку нет ни одного узла, имеющего подходящий тип предоставляемых ресурсов и непосредственно подключенного к узлу М6, последний перемещает запрос на узел М2.

Далее, несмотря на то что узел М3 является наиболее подходящим узлом грид-системы для обработки указанного запроса, он не выбирается для данного вычислительного процесса. Это объясняется тем, что описываемый способ учитывает предоставленные права доступа на узле M3, согласно которым учетная запись пользователя U1 уже имеет доступ к узлу M3. Выполняя сопоставление запрашиваемых учетной записью пользователя U5 прав доступа с уже предоставленными правами доступа на узле M3, определяется идентификатор узла грид-системы, на котором авторизована учетная запись пользователя U1. Данный идентификатор принимает значение M1. Затем из правил разграничения доступа последовательно извлекаются записи и значения поля "объект доступа" сравнивается с полученным идентификатором, в результате чего согласно записи №6 правил разграничения доступа множество разрешенных прав доступа для учетной записи пользователя U5 равняется пустому множеству. Поскольку множество запрашиваемых учетной записью пользователя U5 прав доступа отлично от пустого, узел M3 не является легитимным.

Поэтому в результате фильтрации запроса в пределах выбранных узлов грид-системы запрос J2 перемещается на узел М4, который также является свободным, имеет подходящий тип и не содержит предоставленных прав доступа, препятствующих перемещению указанного запроса на данный узел грид-системы.

В результате программный сервис грид-системы, расположенный на узле М4, запускает процесс от имени локальной учетной записи пользователя и передает ей множество запрошенных ресурсов. Перемещение запросов, инициированных вычислительными процессами от имени учетных записей пользователей, обеспечивающее защиту информационных и вычислительных ресурсов грид-системы в ходе выполнения процедуры проверки прав доступа учетных записей пользователей в грид-системе в соответствии с предлагаемым способом, показано на фиг.3 стрелками.

Применение данного изобретения в существующих реализациях грид-систем позволит обеспечить защиту информационных и вычислительных ресурсов грид-систем от несанкционированного доступа, а также сократить временные и экономические затраты на поддержание надежного функционирования грид-систем за счет сокращения времени простоя оборудования, вызванного его отказом вследствие осуществления компьютерных атак на ресурсы грид-систем. Применение предлагаемой в изобретении системы позволит автоматизировать процедуру анализа безопасности, придать ей объективный характер и тем самым обеспечивать высокий уровень надежности и защищенности грид-систем.

1. Способ проверки прав доступа для учетных записей пользователей в грид-системах, заключающийся в том, что выполняют взаимную аутентификацию узлов грид-системы с учетной записью пользователя грид-системы посредством проверки их цифровых сертификатов, выполняют первичную обработку запроса, инициированного вычислительным процессом от имени учетной записи пользователя на предоставление ресурсов грид-системы, определяя доступные узлы грид-системы, анализируя их вычислительную загрузку, производительность, выбирая наиболее оптимальные узлы и формируя список узлов грид-системы, на которых допускается запустить на исполнение вычислительный процесс, последовательно перебирают узлы грид-системы из сформированного списка, запускают вычислительный процесс от имени локальной учетной записи пользователя и передают ему множество запрошенных ресурсов, отличающийся тем, что дополнительно фиксируют множество учетных записей пользователей грид-системы, авторизованных на отобранных узлах грид-системы, а также множество предоставленных им прав доступа в текущий момент времени; выполняют повторную обработку запроса, инициированного вычислительным процессом от имени учетной записи пользователя, и определяют запрашиваемые права доступа, фиксируя множество прав доступа, необходимое для работы вычислительного процесса, запущенного от имени данной учетной записи пользователя, сопоставляют запрашиваемые учетной записью пользователя грид-системы права доступа с уже предоставленными правами доступа на выбранных узлах грид-системы с учетом правил разграничения доступа, тем самым формируя множество узлов грид-системы, на которых допустимо выполнение запроса (легитимных узлов грид-системы), выполняют фильтрацию запроса на доступ к ресурсам грид-системы, поступившего от учетной записи пользователя, в пределах ранее выбранных узлов грид-системы, разрешая выполнение вычислительного процесса только на легитимных узлах грид-системы.

2. Система для осуществления способа по п.1, содержащая модуль аутентификации учетных записей пользователей, выполняющий проверку их цифровых сертификатов при попытке получения доступа к информационным и вычислительным ресурсам грид-системы, модуль распределения запросов, выполняющий поиск подходящих узлов грид-системы для их выполнения и заполняющий базу данных, содержащую множество подходящих узлов грид-системы, отличающаяся тем, что дополнительно содержит модуль фиксации предоставленных учетным записям пользователей грид-системы прав доступа на выбранных узлах грид-системы, заполняющий базу данных, содержащую множество авторизованных учетных записей пользователей грид-системы, а также множество предоставленных им прав доступа, модуль проверки прав доступа, выполняющий сопоставление запрашиваемых учетной записью пользователя грид-системы прав доступа с уже предоставленными правами доступа на выбранных узлах грид-системы с учетом правил разграничения доступа, и формирующий множество легитимных узлов, модуль фильтрации запросов, последовательно перебирающий узлы грид-системы из сформированного списка и разрешающий выполнение запроса на легитимных узлах грид-системы, при этом модуль аутентификации учетных записей пользователей связан с модулем распределения запросов, который связан с модулем проверки прав доступа, модуль фиксации предоставленных учетным записям пользователей грид-системы прав доступа связан с модулем проверки прав доступа, который связан с модулем фильтрации запросов.



 

Похожие патенты:

Изобретение относится к области оптимизации антивирусной проверки. Техническим результатом является увеличение скорости антивирусной проверки.

Изобретение относится к средствам обнаружения подложной информации. Технический результат заключается в уменьшении количества запросов, поступающих с компьютерного устройства на удаленный сервер.

Изобретение относится к области систем обнаружения вредоносного программного обеспечения. Техническим результатом является создание сценариев модели поведения на основании правил рейтинга опасности.

Изобретение относится к вычислительной технике. Технический результат заключается в повышении защищенности сайта.

Изобретение относится к средствам обнаружения вредоносного программного обеспечения Технический результат заключается в повышении безопасности мобильных устройств.

Изобретение относится к способу интеграции с автоматизированной системой управления данными об изделии (АСУДИ). Техническим результатом является предотвращение возможности для пользователя вносить изменения в формируемые в автоматизированной системе и размещаемые в АСУДИ электронные документы.

Изобретение относится к системам контроля и ограничения действий, совершаемых пользователем на персональном компьютере. Техническим результатом является повышение эффективности контроля за доступом к сетевым ресурсам.

Изобретение относится к вычислительной технике. Технический результат заключается в расширение функциональных возможностей контроля доступа к ресурсам, за счет использования субъекта доступа «Исходный пользователь, Эффективный пользователь, Процесс».

Изобретение относится к способу, устройству и машиночитаемому носителю для управления доступом к организационной информации посредством организационной схемы. Технический результат заключается в повышении безопасности управления доступом к организационным схемам.

Изобретение относится к функции повторного выполнения задания в устройстве формирования изображения, имеющем функцию аутентификации пользователя. Техническим результатом является обеспечение возможности управления сохранением обработанного и манипулирования сохраненным заданием на основе установок и информации пользователя в устройстве.

Изобретение относится к комплексной системе аудита и мониторинга информационной безопасности локальной вычислительной сети предприятия. Технический результат заключается в повышении точности обнаружения несанкционированного доступа к информации предприятия за счет введения дополнительных модулей аудита. Система содержит сервер с центральной базой данных, один коммутатор локальной вычислительной сети, соединенный с двумя персональными компьютерами, коммутатор с беспроводным подключением и маршрутизатор сети интернет, а также один модуль комплекса аудита, модуль комплекса аудита с беспроводным подключением и модуль комплекса аудита с подключением из внешней сети интернет. 1 ил.

Изобретение относится к беспроводной связи. Технический результат - обеспечение безопасности пользовательского оборудования. Способ информирования о доступных средствах обеспечения безопасности в пользовательском оборудовании, включающий: определение в функции сетевого приложения предпочтительного упорядоченного списка желаемых для использования средств обеспечения безопасности пользовательского оборудования; отправку упомянутого предпочтительного упорядоченного списка в базу данных настроек безопасности пользователя посредством функции сервера начальной загрузки, причем база данных включает базу данных настроек безопасности пользователя общей архитектуры начальной загрузки, при этом упомянутый предпочтительный упорядоченный список отправляют в сообщении запроса о средствах обеспечения безопасности, отправляемом с использованием сообщения протокола Diameter в виде пар атрибут-значение, и упомянутый запрос о средствах обеспечения безопасности включает element name="securityFeaturesRequest" type="xsd:string" minOccurs="0"; и прием функцией сетевого приложения, посредством функции сервера начальной загрузки, ответа о средствах обеспечения безопасности, включающего ключ безопасности, извлеченный из информации, хранящейся в базе данных, и соответствующий желаемому средству обеспечения безопасности, имеющемуся в списке, что обеспечивает информирование функции сетевого приложения о доступности по меньшей мере желаемых средств обеспечения безопасности в пользовательском оборудовании. 3 н. и 17 з.п. ф-лы, 6 ил.

Изобретение относится к способу и системе для аутентификации воспринимающего устройства и пользователя. Техническим результатом является повышение надежности аутентификации воспринимающего устройства и пользователя, удостоверяющей, что данные, происходящие из устройства, происходят от конкретного устройства и от конкретного пользователя. Способ аутентификации воспринимающего устройства и пользователя содержит получение ID устройства для воспринимающего устройства, выполнение биометрического измерения пользователя, получение вспомогательных данных для пользователя и генерирование ключа из биометрического измерения и вспомогательных данных. Затем генерируется сообщение, содержащее ключ или компонент, выведенный из ключа, которое передается к удаленной службе, и в службе затем выполняется этап аутентификации устройства и пользователя с помощью сообщения. 2 н. и 12 з.п. ф-лы, 11 ил.

Изобретение относится к вычислительной технике. Технический результат заключается в обнаружении компьютерных атак разных видов, комбинированных одновременных атак разных видов и определении видов атак. Способ обнаружения компьютерных атак на сетевую компьютерную систему, включающую, по крайней мере, один компьютер, подключенный к сети и имеющий установленную операционную систему и установленное прикладное программное обеспечение, включающее систему анализа трафика, в котором для анализа получаемых из сети пакетов выбираются определенные параметры и вычисляются их значения, которые затем сравниваются с эталонными значениями, а факт наличия одиночной или комбинированной одновременной атаки и определение видов атак определяется по сочетанию установленных условий для параметров. Для обработки получаемых из сети пакетов данных используется система анализа трафика, позволяющая вычислять параметры трафика в реальном масштабе времени. 13 ил., 3 табл.

Изобретение относится к вычислительной технике. Технический результат заключается в повышении эффективности защиты компьютера от несанкционированных действий на всех этапах его работы. Устройство создания доверенной среды и защиты информации от несанкционированного доступа для компьютеров информационно-вычислительных систем, в состав которого введены накопитель на основе микросхемы флэш-памяти с интерфейсом SPI, который подключается к шине SPI чипсета материнской платы компьютера и содержит в своей защищенной от записи области BIOS компьютера с дополнительно встроенными командами, обеспечивающими взаимодействие с управляющим микроконтроллером и проверку целостности загружаемого программного обеспечения, и управляемый быстродействующий электронный ключ, установленный на шину SPI материнской платы между чипсетом компьютера и накопителем, при этом микроконтроллер снабжен каналом управления электронным ключом, соединяющим управляющий выход порта ввода-вывода микроконтроллера с управляющим входом электронного ключа, а также контроллером интерфейса SPI, обеспечивающим подключение микроконтроллера к шине SPI и работу его в режиме прямого доступа к памяти накопителя и в режиме контроля команд от чипсета к накопителю по шине SPI. 1 з.п. ф-лы, 3 ил.

Изобретение относится к средствам для предотвращения несанкционированного доступа к платежному приложению, установленному на мобильном платежном устройстве. Техническим результатом является предотвращение несанкционированного доступа к платежному приложению, установленному на мобильном платежном устройстве, или к данным транзакции, хранящимся в этом устройстве. Мобильное платежное устройство содержит процессор; установленное платежное приложение; память и команды, хранящиеся в ней, для определения, что пользователь пытается использовать платежное приложение; запрос пользователю на ввод данных идентификации пользователя; получение данных идентификации пользователя от устройства ввода данных, являющегося частью мобильного платежного устройства; в ответ на получение этих данных предоставление данных идентификации пользователя и данных аутентификации платежному приложению, причем данные аутентификации используются для аутентификации достоверного компонента мобильного платежного устройства, которое получает данные идентификации пользователя, данные аутентификации отличаются от данных идентификации пользователя; проверку достоверности данных аутентификации и идентификации; если данные достоверны, пользователю предоставляется доступ к платежному приложению; если данные недостоверны, то пользователю запрещен доступ к платежному приложению. 3 н. и 23 з.п. ф-лы, 5 ил.

Изобретение относится к области защиты информации, хранимой в информационных системах персональных данных (ИСПДн), от несанкционированного доступа (НСД) и может быть использовано на стадиях разработки и оптимизации ИСПДн в защищенном исполнении. Техническим результатом является повышение уровня безопасности ИСПДн. Способ деперсонализации персональных данных обеспечивает защиту ИСПДн от НСД на стадиях разработки и оптимизации, оперирует персональными данными субъектов, хранящимися и обрабатываемыми в ИСПДН, и осуществляет двухэтапное перемешивание данных, относящихся к разным субъектам, используя перестановки первого и второго уровней, при этом на первом этапе исходное множество данных D(d1, d2, …, dN), где N - число атрибутов, разбивается на непересекающиеся подмножества данных Ai, относящихся к одному атрибуту di, а на втором этапе происходит непосредственно перестановка данных сначала внутри подмножеств Ai и затем элементами перестановки являются сами подмножества. При росте количества субъектов ПДн уменьшается вероятность подбора параметров деперсонализации, соответственно повышается защищенность ИСПДн. Разбиение исходного множества данных на подмножества позволяет сократить размерность задачи и упростить ее практическую реализацию. 1 з.п. ф-лы, 2 табл.

Изобретение относится к вычислительной технике. Технический результат заключается в обеспечении возможности переформирования системой объекта доступа в запросе доступа при одновременной работе на компьютере нескольких пользователей. Система переформирования объекта в запросе доступа содержит блок формирования объекта доступа, блок формирования запроса доступа, причем в систему дополнительно введены блок хранения правил переформирования объекта в запросе доступа, блок выбора правила переформирования объекта в запросе доступа и блок замены объекта доступа и их связи. 2 ил., 2 табл.

Изобретение относится к области обеспечения безопасности передаваемой по техническим средствам информации. Техническим результатом является повышение эффективности защиты передаваемой по каналам и линиям связи информации и устойчивости работы средств передачи информации, используемых в подвижных объектах узла связи. Система защиты средств передачи информации узла связи от компьютерных атак состоит из диспетчерского пункта, содержащего автоматизированное рабочее место должностного лица (АРМ ДЛ) с интегрированным в него устройством управления средствами защиты (УСЗ) от компьютерных атак (КА), включающим в себя блок ввода данных, блок базы данных весовых коэффициентов эффективности противодействия КА, блок оценки эффективности противодействия КА, блок определения оптимальных режимов функционирования средств защиты (СЗ) от КА и блок сопряжения со средствами защиты от КА, коммутатор локальной вычислительной сети (ЛВС), блок кабельного ввода и телефонный аппарат (ТА) системы АТС; абонентской линии (АЛ) телефонной связи, первой, второй и третьей проводных линий Ethernet, волоконно-оптической линии связи (ВОЛС); подвижного объекта связи и управления, содержащего блок кабельного ввода, маршрутизатор, межсетевой экран с СЗИ №1, АРМ ДЛ с интегрированными в него средствами защиты информации (СЗИ) №2 и №4, сервер связи с интегрированными в него СЗИ №3 и №4, телефонную станцию оперативной связи, ТА системы АТС, широкодиапазонную (ШРД) радиостанцию и приемопередающую антенну ШРД радиостанции; первого и второго подвижных объектов связи (ПОС), каждый из которых содержит блок кабельного ввода, коммутатор ЛВС, первое, второе и третье АРМ ДЛ с интегрированными в них СЗИ №4, ШРД радиостанцию с приемопередающей антенной. 4 з.п. ф-лы, 2 ил.

Изобретение относится к области электросвязи. Техническим результатом является повышение достоверности обнаружения удаленных компьютерных атак. Устройство обнаружения удаленных компьютерных атак содержит счетчики, блоки дешифрации, блоки сравнения, блок управления, блок индикации и блоки памяти. Первый блок памяти снабжен входной шиной сообщений, а его информационный выход подключен к первым информационным входам первого, третьего, четвертого, пятого, шестого, седьмого, десятого, восьмого, девятого, одиннадцатого и двенадцатого блоков дешифрации, управляющие выходы которых подключены к соответствующим управляющим входам блока управления, управляющие выходы которого подключены к блоку индикации и первому блоку памяти. Управляющие выходы счетчиков подключены к управляющим входам соответствующих блоков дешифрации. Информационные выходы четвертого и пятого блоков дешифрации подключены к первому блоку сравнения, информационный выход которого подключен к третьему блоку памяти. Информационный выход двенадцатого блока дешифрации подключен к информационному входу второго блока сравнения, информационный выход которого подключен к пятому блоку памяти. Причем управляющие входы третьего, четвертого и пятого блоков памяти объединены и являются управляющим входом устройства, четвертый блок памяти снабжен информационным выходом подключения к ложной сети. 7 ил.

Изобретение относится к вычислительной технике. Технический результат заключается в защите информационных и вычислительных ресурсов грид-систем от несанкционированного доступа. Способ проверки прав доступа для учетных записей пользователей в грид-системах, заключающийся в том, что определяют доступные узлы грид-системы, формируют список узлов грид-системы, на которых допускается запустить вычислительный процесс, фиксируют множество учетных записей пользователей грид-системы, а также множество предоставленных им прав доступа в текущий момент времени, сопоставляют запрашиваемые учетной записью пользователя грид-системы права доступа с уже предоставленными правами доступа на выбранных узлах грид-системы с учетом правил разграничения доступа, формируя множество легитимных узлов грид-системы, выполняют фильтрацию запроса на доступ к ресурсам грид-системы, поступившего от учетной записи пользователя, в пределах ранее выбранных узлов грид-системы, разрешая выполнение вычислительного процесса только на легитимных узлах грид-системы. 2 н.п. ф-лы, 3 ил.

Наверх