Способ проверки прав доступа для учетных записей пользователей в грид-системах и система для его осуществления

Авторы патента:

G06F21/62 - Обработка цифровых данных с помощью электрических устройств (вычислительные машины, в которых часть вычислений осуществляется гидравлическими или пневматическими устройствами G06D; оптическими средствами G06E; автономные внешние вводные и выводные устройства G06K; компьютерные системы, основанные на специфических вычислительных моделях G06N; цепи полного /активного и реактивного/ сопротивления H03H)

Владельцы патента RU 2536678:

ООО "НеоБИТ" (RU)

Изобретение относится к вычислительной технике. Технический результат заключается в защите информационных и вычислительных ресурсов грид-систем от несанкционированного доступа. Способ проверки прав доступа для учетных записей пользователей в грид-системах, заключающийся в том, что определяют доступные узлы грид-системы, формируют список узлов грид-системы, на которых допускается запустить вычислительный процесс, фиксируют множество учетных записей пользователей грид-системы, а также множество предоставленных им прав доступа в текущий момент времени, сопоставляют запрашиваемые учетной записью пользователя грид-системы права доступа с уже предоставленными правами доступа на выбранных узлах грид-системы с учетом правил разграничения доступа, формируя множество легитимных узлов грид-системы, выполняют фильтрацию запроса на доступ к ресурсам грид-системы, поступившего от учетной записи пользователя, в пределах ранее выбранных узлов грид-системы, разрешая выполнение вычислительного процесса только на легитимных узлах грид-системы. 2 н.п. ф-лы, 3 ил.

Изобретение относится к области защиты информационных систем распределенных вычислений, а именно к обеспечению защиты вычислительных и информационных ресурсов грид-систем от несанкционированного доступа на базе сопоставления множества прав доступа, фактически предоставляемых учетным записям пользователей в грид-системах, с множеством прав доступа, необходимых учетным записям пользователей грид-систем для осуществления вычислительных процессов, и определения на основе этого видов доступа к вычислительным ресурсам грид-систем, осуществляемых вычислительными процессами.

Под несанкционированным доступом понимается доступ к информационным или вычислительным ресурсам системы субъектов доступа, не имеющих прав пользования ими [Воройский Ф.С. Информатика. Энциклопедический словарь-справочник: введение в современные информационные и телекоммуникационные технологии в терминах и фактах. - М.: ФИЗМАТЛИТ, 2006. - 768 с.].

Для разграничения доступа к информационным или вычислительным ресурсам грид-систем используются специальные хранилища прав доступа, содержащие множество правил разграничения доступа, представленных в виде записей "субъект доступа - объект доступа - права доступа". Субъектом доступа в грид-системах является вычислительный процесс, действия которого регламентируются по учетным записям запускающих их пользователей правилами разграничения доступа, заданными в виде таких записей. Объектом доступа является единица информационного (файлы) или вычислительного (центральный процессор) ресурса грид-системы, доступ к которой регламентируется правилами разграничения доступа.

Выполнение данных правил разграничения доступа гарантируется реализованным в грид-системах механизмом контроля и управления доступом к ресурсам грид-систем. Особенности грид-систем, а именно свойство гетерогенности грид-систем, наличие нескольких механизмов авторизации на основе учетных записей пользователей, а также отсутствие централизованного сервера безопасности затрудняют реализацию любых классических способов контроля и управления доступом. Поскольку учетная запись пользователя грид-системы может в любой момент времени состоять сразу в нескольких учетных записях групп пользователей, авторизованных для доступа к информационным и вычислительным ресурсам грид-систем, для нейтрализации угрозы возможного несанкционированного доступа к ресурсам вычислительными процессами необходимо при осуществлении контроля доступа к ресурсам контролировать динамическое распределение запросов, инициируемых вычислительными процессами от имени учетных записей пользователей на предоставление им указанных ресурсов грид-систем.

В основу изобретения положена задача создания способа проверки прав доступа для учетных записей пользователей в грид-системах и системы для его осуществления, применение которых обеспечивает защиту информационных и вычислительных ресурсов грид-систем от несанкционированного доступа, а также сокращение временных и экономических затрат на поддержание надежного функционирования грид-систем за счет сокращения времени простоя оборудования, вызванного его отказом вследствие осуществления компьютерных атак на ресурсы грид-систем.

Известен способ проверки прав доступа для учетных записей пользователей на получение услуги, заключающийся в том, что эмитент предоставляет для каждой учетной записи пользователя, по крайней мере, одну матрицу переменного номера и одну матрицу переменной подписи. При положительном результате проверки, полученной от учетной записи пользователя переменной подписи, эмитент верифицирует права на предоставление абонированной услуги [Пат. РФ №2272321. Способ верификации прав пользователя на получение услуги. Опубл. 20.03.2006].

Недостаток данного способа заключается в том, что процедура проверки прав доступа для учетных записей пользователей выполняется однократно при попытке аутентификации в системе и не учитывает потенциальные попытки повышения прав на доступ к ресурсам системы после прохождения процедуры аутентификации, что возможно ввиду особой природы грид-систем, в основе которой лежит принцип совместного использования ресурсов системы множеством вычислительных процессов, исполняющихся с разными учетными записями пользователей, наделенных разными правами доступа к ресурсам.

Наиболее близким техническим решением является способ контроля доступа к ресурсам грид-систем, реализованный в сервисе контроля доступа GRAM. При выполнении запроса, инициируемого вычислительными процессами от имени учетной записи пользователя, на предоставление информационных и вычислительных ресурсов грид-систем каждый узел, входящий в состав грид-системы, осуществляет авторизацию учетной записи пользователя путем отображения глобального идентификатора учетной записи в локальный для данного узла. Пользователь грид-системы может инициировать свои задания на тех узлах из состава грид-системы, на которых он авторизован. Данное техническое решение включает выполнение следующих действий:

взаимная аутентификация сервиса контроля доступа с учетной записью пользователя грид-системы посредством проверки их цифровых сертификатов;

обработка запроса, инициируемого вычислительными процессами от имени учетной записи пользователя, на предоставление ресурсов грид-системы посредством определения доступных узлов грид-системы, анализа их загрузки, производительности и других параметров, указанных в запросе, а также выбор наиболее оптимальных узлов;

отображение запроса, инициируемого вычислительными процессами от имени учетной записи пользователя, на локальную учетную запись на каждом из выбранных узлов грид-системы;

последовательный выбор узлов грид-системы из списка ранее выбранных, запуск процессов от имени локальной учетной записи пользователя и передача ему множества запрошенных ресурсов.

Известная система для реализации данного способа содержит:

модуль аутентификации, выполняющий проверку цифровых сертификатов учетных записей пользователей и узлов грид-системы при попытке получения доступа к информационным и вычислительным ресурсам грид-системы;

модуль распределения запросов, выполняющий поиск подходящих узлов грид-системы для их выполнения;

модуль контроля и управления доступом, выполняющий запуск процессов от имени локальных учетных записей пользователей и передачу им множества запрошенных ресурсов

[Кирьянов А.К., Рябов Ю.Ф. Введение в технологию Грид: Учебное пособие. - Гатчина: ПИЯФ РАН, 2006. - 39 с.].

Недостатком такого технического решения является отсутствие учета таких состояний системы, при которых несколько учетных записей пользователей грид-систем авторизуются на одном и том же узле системы под одной локальной учетной записью, что позволяет некоторой учетной записи пользователя получать доступ к данным других учетных записей пользователей, совместно с которыми он прошел процедуру авторизации на данном узле грид-системы, но для которых такой доступ прямо не предоставлен и вследствие этого критичен, так как происходит утечка данных, что имеет негативные последствия в виде нарушений безопасности данных и функционирования системных процессов в грид-системах.

Техническим результатом предлагаемого решения является защита информационных и вычислительных ресурсов грид-систем от несанкционированного доступа, а также сокращение временных и экономических затрат на поддержание надежного функционирования грид-систем за счет сокращения времени простоя оборудования, вызванного его отказом вследствие осуществления компьютерных атак на ресурсы грид-систем.

Решение поставленной технической задачи обеспечивается тем, что в способе проверки прав доступа для учетных записей пользователей в грид-системах

выполняют взаимную аутентификацию узлов грид-системы с учетной записью пользователя грид-системы посредством проверки их цифровых сертификатов;

выполняют первичную обработку запроса, инициированного вычислительным процессом от имени учетной записи пользователя на предоставление ресурсов грид-системы, определяя доступные узлы грид-системы, анализируя их вычислительную загрузку, производительность, выбирая наиболее оптимальные узлы и формируя список узлов грид-системы, на которых допускается запустить на исполнение вычислительный процесс;

фиксируют множество учетных записей пользователей грид-системы, авторизованных на отобранных узлах грид-системы, а также множество предоставленных им прав доступа в текущий момент времени;

выполняют повторную обработку запроса, инициированного вычислительным процессом от имени учетной записи пользователя, и определяют запрашиваемые права доступа, фиксируя множество прав доступа, необходимое для работы вычислительного процесса, запущенного от имени данной учетной записи пользователя;

сопоставляют запрашиваемые учетной записью пользователя грид-системы права доступа с уже предоставленными правами доступа на выбранных узлах грид-системы с учетом правил разграничения доступа, тем самым формируя множество узлов грид-системы, на которых допустимо выполнение запроса (легитимных узлов грид-системы);

выполняют фильтрацию запроса на доступ к ресурсам грид-системы, поступившего от учетной записи пользователя, в пределах ранее выбранных узлов грид-системы, разрешая выполнение вычислительного процесса только на легитимных узлах грид-системы;

последовательно перебирают узлы грид-системы из сформированного списка, запускают вычислительный процесс от имени локальной учетной записи пользователя и передают ему множество запрошенных ресурсов.

Система для реализации данного способа содержит:

модуль аутентификации учетных записей пользователей, выполняющий проверку их цифровых сертификатов при попытке получения доступа к информационным и вычислительным ресурсам грид-системы;

модуль распределения запросов, выполняющий поиск подходящих узлов грид-системы для их выполнения и заполняющий базу данных, содержащую множество подходящих узлов грид-системы;

модуль фиксации предоставленных учетным записям пользователей грид-системы прав доступа на выбранных узлах грид-системы, заполняющий базу данных, содержащую множество авторизованных учетных записей пользователей грид-системы, а также множество предоставленных им прав доступа;

модуль проверки прав доступа, выполняющий сопоставление запрашиваемых учетной записью пользователя грид-системы прав доступа с уже предоставленными правами доступа на выбранных узлах грид-системы с учетом правил разграничения доступа и формирующий множество легитимных узлов;

модуль фильтрации запросов, последовательно перебирающий узлы грид-системы из сформированного списка и разрешающий выполнение запроса на легитимных узлах грид-системы.

При этом модуль аутентификации учетных записей пользователей связан с модулем распределения запросов, который связан с модулем проверки прав доступа. Модуль фиксации предоставленных учетным записям пользователей грид-системы прав доступа связан с модулем проверки прав доступа, который связан с модулем фильтрации запросов.

Новые существенные признаки способа:

сопоставляют запрашиваемые учетной запись пользователя грид-системы права доступа с уже предоставленными правами доступа на выбранных узлах грид-системы с учетом правил разграничения доступа, тем самым формируя множество узлов грид-системы, на которых допустимо выполнение запроса (легитимных узлов грид-системы);

Новые существенные признаки системы:

Перечисленные новые существенные признаки способа и устройства для его реализации в совокупности с известными позволяют оперативно выявлять факты нарушения учетными записями пользователей своих прав по доступу к информационным и вычислительным ресурсам грид-систем, в том числе возникшие в результате компрометации указанных ресурсов со стороны уже авторизованных учетных записей пользователей. Это в свою очередь позволяет повысить уровень защищенности ресурсов грид-систем, сократить затраты на обеспечение безопасности доступа к таким системам, повысить надежность функционирования грид-систем.

Изобретение поясняется с помощью фиг.1, 2 и 3. На фиг.1 представлена схема способа проверки прав доступа для учетных записей пользователей грид-систем. На фиг.2 показана модульная схема системы, реализующей данный способ. На фиг.3 показан пример реализации предложенного технического решения.

При осуществлении способа выполняется учет предоставленных учетным записям пользователей грид-системы прав доступа на узлах грид-системы, что исключает возможность превышения прав доступа авторизованными учетными записями пользователей за счет делегирования данных прав доступа приложениям, запускающимся на тех узлах грид-системы, на которых другие учетных записи пользователей авторизованы для хранения своей информации, и последующего чтения указанной информации в обход установленных правил разграничения доступа. Для достижения автоматизации процедуры проверки прав доступа для учетных записей пользователей в грид-системах система для осуществления описываемого способа организуется в виде отдельного программного модуля, интегрируемого в состав современных реализаций вычислительных платформ грид-систем.

При осуществлении способа выполняют взаимную аутентификацию узлов грид-системы с учетной записью пользователя посредством последовательных проверок корректности цифровых сертификатов учетной записи пользователя и узлов грид-системы путем извлечения из цифровых сертификатов электронной цифровой подписи и последующей проверки ее принадлежности к одному из авторизованных центров выдачи сертификатов.

В случае установления подлинности электронной цифровой подписи сертификатов далее выполняют первичную обработку запроса, инициированного вычислительными процессами от имени учетной записи пользователя, включая определение доступных узлов грид-системы путем их опроса по сети с использованием внутреннего протокола передачи данных, анализ их загруженности путем подсчета количества обрабатываемых в данным момент времени запросов, потребляемых вычислительных ресурсов, необходимых для выполнения данных запросов, объема свободной оперативной и физической памяти узлов грид-системы, и на основе собранных данных - выбор наиболее оптимальных для обработки поступившего запроса узлов грид-системы. В результате проделанных действий формируют список узлов, пригодных для обработки поступившего запроса.

Затем фиксируют множество учетных записей пользователей грид-системы, авторизованных на отобранных узлах грид-системы, а также множество предоставленных им прав доступа в текущий момент времени. В результате проделанных действий формируется база данных, содержащая информацию о предоставленных правах доступа для каждой учетной записи пользователей грид-системы на каждом из узлов грид-системы.

При этом каждая учетная запись пользователя грид-системы и узел грид-системы фиксируются и взаимооднозначно идентифицируются по своим идентификаторам, представляющим собой строку символов (в случае учетной записи пользователя грид-системы) и IP-адрес или сетевое имя, представленные в соответствии со стандартом RFC1918 (в случае узла грид-системы).

Затем выполняют повторную обработку запроса, инициированного вычислительными процессами от имени учетной записи пользователя, выделяя из него информацию о запрашиваемом типе доступа, в результате чего фиксируют множество запрашиваемых учетной записью пользователя грид-системы прав доступа.

Далее на каждом из отобранных узлов грид-системы сопоставляют зафиксированные запрашиваемые учетной записью пользователя грид-системы права доступа с записями из правил разграничения доступа путем последовательного извлечения записей правил разграничения доступа, сравнения идентификатора учетной записи пользователя, инициировавшего данный запрос, с идентификатором, содержащимся в поле "субъект доступа" в извлекаемой записи правил разграничения доступа, и идентификатора узла грид-системы с идентификатором, содержащимся в поле "объект доступа" в извлекаемой записи правил разграничения доступа. При этом сопоставление прав доступа выполняют в зависимости от результата сравнения указанных идентификаторов.

Для каждой записи правил разграничения доступа, в которой идентификатор, содержащийся в поле "объект доступа", совпадает с идентификатором отобранного узла грид-системы, если идентификатор учетной записи пользователя, инициировавшего данный запрос, совпадает с идентификатором, указанным в извлеченной записи правил разграничения доступа, то при оценке легитимности данного узла грид-системы проверяют наличие в извлеченной записи правил разграничения доступа множества прав доступа, равного или перекрывающего множество запрашиваемых учетной записью пользователя грид-системы прав доступа с множеством прав доступа, указанным в извлеченной записи правил разграничения доступа.

Далее для каждого из отобранных узлов грид-системы сопоставляют запрашиваемые учетной записью пользователя грид-системы права доступа с уже предоставленными на выбранных узлах грид-системы. Для этого выполняют последовательное извлечение элементов из базы данных, содержащей информацию о предоставленных правах доступа на данном узле грид-системы, и для каждой учетной записи пользователя грид-системы, содержащейся в извлекаемых элементах, определяют идентификатор узла грид-системы, на котором авторизована данная учетная запись, и сопоставляют запрашиваемые учетной записью пользователя грид-системы права доступа с правилами разграничения доступа, считая, что в качестве значений поля "объект доступа" правил разграничения доступа выступает полученный идентификатор узла грид-системы.

В результате проделанных действий формируют множество узлов грид-системы, на которых допустимо выполнение запроса (легитимных узлов). Все сопоставления прав при этом выполняют по правилам сравнения множеств.

Затем выполняют фильтрацию запроса, инициированного вычислительными процессами от имени учетной записи пользователя, в пределах ранее выбранных узлов грид-системы, разрешая обработку запроса и выполняя его передачу по сети только на легитимные узлы грид-системы.

Затем на каждом из легитимных узлов грид-системы запускают вычислительный процесс от имени локальной учетной записи пользователя и передают ему множество запрошенных ресурсов.

Для автоматизации способа проверки прав доступа для учетных записей пользователей в грид-системах применяют систему (фиг.2), в которую включены модуль аутентификации учетных записей пользователей, модуль распределения запросов, модуль фиксации предоставленных прав доступа, модуль проверки прав доступа и модуль фильтрации запросов.

Модуль аутентификации учетных записей пользователей выполняет взаимную аутентификацию узлов грид-системы с учетной записью пользователя посредством последовательных проверок корректности цифровых сертификатов учетной записи пользователя и узлов грид-системы путем извлечения из цифровых сертификатов электронной цифровой подписи и последующей проверки ее принадлежности к одному из авторизованных центров выдачи сертификатов.

Модуль распределения запросов выполняет первичную обработку запроса, инициированного вычислительными процессами от имени учетной записи пользователя, включая определение доступных узлов грид-системы путем их опроса по сети с использованием внутреннего протокола передачи данных, анализ их загруженности путем подсчета количества обрабатываемых в данным момент времени запросов, потребляемых вычислительных ресурсов, необходимых для выполнения данных запросов, объема свободной оперативной и физической памяти узлов, и на основе собранных данных выбор наиболее оптимальных для обработки поступившего запроса узлов грид-системы. Результатом работы модуля является база данных, содержащая список узлов, пригодных для обработки поступившего запроса.

Модуль фиксации предоставленных прав доступа фиксирует множество учетных записей пользователей грид-системы, авторизованных на данных узлах (множество авторизованных учетных записей пользователей грид-системы), а также множество предоставленных им прав доступа в текущий момент времени. Результатом работы модуля является база данных, содержащая информацию о предоставленных правах доступа для каждой учетной записи пользователя грид-системы на каждом из узлов грид-системы.

Модуль проверки прав доступа выполняет повторную обработку запроса, инициированного вычислительными процессами от имени учетной записи пользователя, выделяя из него информацию о запрашиваемом типе доступа, тем самым фиксируя множество запрашиваемых учетной записью пользователя грид-системы прав доступа, после чего на каждом из отобранных узлов грид-системы сопоставляет зафиксированные запрашиваемые учетной записью пользователя грид-системы права доступа с правилами разграничения доступа путем последовательного извлечения записей правил разграничения доступа, сравнения идентификатора учетной записи пользователя, инициировавшего данный запрос, с идентификатором, содержащимся в поле "субъект доступа" в извлекаемой записи правил разграничения доступа, и идентификатора узла грид-системы с идентификатором, содержащимся в поле "объект доступа" в извлекаемой записи правил разграничения доступа. При этом сопоставление прав доступа выполняет в зависимости от результата сравнения указанных идентификаторов.

Для каждой записи правил разграничения доступа, в которой идентификатор, содержащийся в поле "объект доступа", совпадает с идентификатором отобранного узла грид-системы, если идентификатор учетной записи пользователя, инициировавшего данный запрос, совпадает с идентификатором, указанным в извлеченной записи правил разграничения доступа, то при оценке легитимности данного узла грид-системы проверяет наличие в извлеченной записи правил разграничения доступа множества прав доступа, равного или перекрывающего множество запрашиваемых учетной записью пользователя грид-системы прав доступа с множеством прав доступа, указанным в извлеченной записи правил разграничения доступа.

Далее для каждого из отобранных узлов грид-системы сопоставляет запрашиваемые учетной записью пользователя грид-системы права доступа с уже предоставленными на выбранных узлах грид-системы. Для этого выполняет последовательное извлечение элементов из базы данных, содержащей информацию о предоставленных правах доступа на данном узле грид-системы, и для каждой учетной записи пользователя грид-системы, содержащейся в извлекаемых элементах, определяют идентификатор узла грид-системы, на котором авторизована данная учетная запись, и сопоставляет запрашиваемые учетной записью пользователя грид-системы права доступа с правилами разграничения доступа, считая, что в качестве значений поля "объект доступа" правил разграничения доступа выступает полученный идентификатор узла грид-системы.

Результатом работы модуля является база данных, содержащая множество узлов грид-системы, на которых допустимо выполнение запроса (легитимных узлов).

Модуль фильтрации запросов выполняет фильтрацию запроса, инициированного вычислительными процессами от имени учетной записи пользователя, разрешая обработку запроса и выполняя его передачу по сети только на легитимные узлы грид-системы, и на каждом из легитимных узлов грид-системы запускает процесс от имени локальной учетной записи пользователя и передает ей множество запрошенных ресурсов.

Рассмотрим пример реализации предложенного технического решения при выполнении проверки прав доступа для учетных записей пользователей в грид-системах, построенной на базе программной реализации Globus Toolkit 5.0. В описании примера цифровые сертификаты учетных записей пользователей и узлов грид-системы являются легитимными.

Система состоит из семи узлов, объединенных в вычислительную сеть, как показано на фиг.3. Атрибуты узлов грид-системы определены следующим образом:

T₁={'пользовательские_данные'};

Т₂={'ресурсы_ПО'}

Т₃={'вычислительные_ресурсы', 'пользовательские_данные'};

Т₄={'вычислительные_ресурсы'}.

Т₅={'пользовательские _данные'}.

T₆={'ресурсы_ПО'}.

Т₇={'пользовательские_данные'}

В грид-системе заданы следующие правила разграничения доступа, которые предусматривает два типа доступа: доступ к вычислительным ресурсам и к данным учетных записей пользователей грид-системы:

1. Учетная запись пользователя U₁ может хранить данные на узле M₃.

2. Учетная запись пользователя U₂ может исполнять приложения на узле M₆.

3. Учетная запись пользователя U₃ может исполнять приложения на узле M₇.

4. Учетная запись пользователя U₄ может хранить данные на узле М₁.

5. Учетная запись пользователя U₅ может исполнять приложения на узле М₃.

6. Учетная запись пользователя U₅ не может выполнять никаких действий на узле M₁.

7. Учетная запись пользователя U₆ может исполнять приложения на узле М₄.

8. Учетная запись пользователя U₇ может хранить данные на узле М₁.

9. Учетная запись пользователя U₇ может исполнять приложения на узле М₂.

Изначально в грид-системе отсутствуют запросы, инициированные вычислительными процессами от имени учетных записей пользователей. Предположим, что учетная запись пользователя U₁ на узле М₁ создала запрос J₁ со следующими атрибутами: тип метки Т={'пользовательские_данные', U₁}. Сначала выполняется взаимная аутентификация узла грид-системы с учетной записью пользователя грид-системы посредством проверки их цифровых сертификатов. Поскольку цифровые сертификаты учетных записей пользователей и узлов грид-системы являются легитимными, выполняется обработка запроса, инициированного вычислительными процессами от имени учетной записи пользователя, посредством определения доступных узлов грид-системы, анализа их загруженности, производительности и других параметров, указанных в запросе, а также выбор наиболее оптимальных узлов.

Поскольку узел M₁ не в состоянии выполнить указанный запрос, он перемещает его на узел M₂. Как только запрос J₁ появляется на узле M₂, программный сервис грид-системы, расположенный на данном узле, начинает искать наиболее подходящий узел для выполнения данного запроса. Ему известен список доступных узлов, их состояние и тип ресурсов, которые они могут предоставить. Узел M₃ находится в состоянии 'готов' и имеет необходимые для выполнения запроса J₁ ресурсы ('пользовательские данные').

На следующем этапе выполняется фиксация предоставленных прав доступа на выбранных узлах грид-системы. Узел M₂ проверяет, выполняются ли требования правил разграничения доступа. Он последовательно просматривает правила и находит правило №1 (в соответствии с набором правил, представленном выше), которое позволяет учетной записи пользователя U₁ хранить свои данные на узле М₃. Поэтому запрос J₁ перемещается на узел M₃.

Далее в грид-системе появляется запрос J₂ с типом Т={'вычислительные_ресурсы', U₂}. Это означает, что запрос J₂ инициирован учетной записью пользователя U₅ на узле M₅. Данный запрос попадает на узел M₆. Поскольку нет ни одного узла, имеющего подходящий тип предоставляемых ресурсов и непосредственно подключенного к узлу М₆, последний перемещает запрос на узел М₂.

Далее, несмотря на то что узел М₃ является наиболее подходящим узлом грид-системы для обработки указанного запроса, он не выбирается для данного вычислительного процесса. Это объясняется тем, что описываемый способ учитывает предоставленные права доступа на узле M₃, согласно которым учетная запись пользователя U₁ уже имеет доступ к узлу M₃. Выполняя сопоставление запрашиваемых учетной записью пользователя U₅ прав доступа с уже предоставленными правами доступа на узле M₃, определяется идентификатор узла грид-системы, на котором авторизована учетная запись пользователя U₁. Данный идентификатор принимает значение M₁. Затем из правил разграничения доступа последовательно извлекаются записи и значения поля "объект доступа" сравнивается с полученным идентификатором, в результате чего согласно записи №6 правил разграничения доступа множество разрешенных прав доступа для учетной записи пользователя U₅ равняется пустому множеству. Поскольку множество запрашиваемых учетной записью пользователя U₅ прав доступа отлично от пустого, узел M₃ не является легитимным.

Поэтому в результате фильтрации запроса в пределах выбранных узлов грид-системы запрос J₂ перемещается на узел М₄, который также является свободным, имеет подходящий тип и не содержит предоставленных прав доступа, препятствующих перемещению указанного запроса на данный узел грид-системы.

В результате программный сервис грид-системы, расположенный на узле М₄, запускает процесс от имени локальной учетной записи пользователя и передает ей множество запрошенных ресурсов. Перемещение запросов, инициированных вычислительными процессами от имени учетных записей пользователей, обеспечивающее защиту информационных и вычислительных ресурсов грид-системы в ходе выполнения процедуры проверки прав доступа учетных записей пользователей в грид-системе в соответствии с предлагаемым способом, показано на фиг.3 стрелками.

Применение данного изобретения в существующих реализациях грид-систем позволит обеспечить защиту информационных и вычислительных ресурсов грид-систем от несанкционированного доступа, а также сократить временные и экономические затраты на поддержание надежного функционирования грид-систем за счет сокращения времени простоя оборудования, вызванного его отказом вследствие осуществления компьютерных атак на ресурсы грид-систем. Применение предлагаемой в изобретении системы позволит автоматизировать процедуру анализа безопасности, придать ей объективный характер и тем самым обеспечивать высокий уровень надежности и защищенности грид-систем.

1. Способ проверки прав доступа для учетных записей пользователей в грид-системах, заключающийся в том, что выполняют взаимную аутентификацию узлов грид-системы с учетной записью пользователя грид-системы посредством проверки их цифровых сертификатов, выполняют первичную обработку запроса, инициированного вычислительным процессом от имени учетной записи пользователя на предоставление ресурсов грид-системы, определяя доступные узлы грид-системы, анализируя их вычислительную загрузку, производительность, выбирая наиболее оптимальные узлы и формируя список узлов грид-системы, на которых допускается запустить на исполнение вычислительный процесс, последовательно перебирают узлы грид-системы из сформированного списка, запускают вычислительный процесс от имени локальной учетной записи пользователя и передают ему множество запрошенных ресурсов, отличающийся тем, что дополнительно фиксируют множество учетных записей пользователей грид-системы, авторизованных на отобранных узлах грид-системы, а также множество предоставленных им прав доступа в текущий момент времени; выполняют повторную обработку запроса, инициированного вычислительным процессом от имени учетной записи пользователя, и определяют запрашиваемые права доступа, фиксируя множество прав доступа, необходимое для работы вычислительного процесса, запущенного от имени данной учетной записи пользователя, сопоставляют запрашиваемые учетной записью пользователя грид-системы права доступа с уже предоставленными правами доступа на выбранных узлах грид-системы с учетом правил разграничения доступа, тем самым формируя множество узлов грид-системы, на которых допустимо выполнение запроса (легитимных узлов грид-системы), выполняют фильтрацию запроса на доступ к ресурсам грид-системы, поступившего от учетной записи пользователя, в пределах ранее выбранных узлов грид-системы, разрешая выполнение вычислительного процесса только на легитимных узлах грид-системы.

2. Система для осуществления способа по п.1, содержащая модуль аутентификации учетных записей пользователей, выполняющий проверку их цифровых сертификатов при попытке получения доступа к информационным и вычислительным ресурсам грид-системы, модуль распределения запросов, выполняющий поиск подходящих узлов грид-системы для их выполнения и заполняющий базу данных, содержащую множество подходящих узлов грид-системы, отличающаяся тем, что дополнительно содержит модуль фиксации предоставленных учетным записям пользователей грид-системы прав доступа на выбранных узлах грид-системы, заполняющий базу данных, содержащую множество авторизованных учетных записей пользователей грид-системы, а также множество предоставленных им прав доступа, модуль проверки прав доступа, выполняющий сопоставление запрашиваемых учетной записью пользователя грид-системы прав доступа с уже предоставленными правами доступа на выбранных узлах грид-системы с учетом правил разграничения доступа, и формирующий множество легитимных узлов, модуль фильтрации запросов, последовательно перебирающий узлы грид-системы из сформированного списка и разрешающий выполнение запроса на легитимных узлах грид-системы, при этом модуль аутентификации учетных записей пользователей связан с модулем распределения запросов, который связан с модулем проверки прав доступа, модуль фиксации предоставленных учетным записям пользователей грид-системы прав доступа связан с модулем проверки прав доступа, который связан с модулем фильтрации запросов.

Изобретение относится к области оптимизации антивирусной проверки. Техническим результатом является увеличение скорости антивирусной проверки.

Система и способ защиты от нелегального использования облачных инфраструктур // 2536663

Изобретение относится к средствам обнаружения подложной информации. Технический результат заключается в уменьшении количества запросов, поступающих с компьютерного устройства на удаленный сервер.

Система и способ формирования сценариев модели поведения приложений // 2535506

Изобретение относится к области систем обнаружения вредоносного программного обеспечения. Техническим результатом является создание сценариев модели поведения на основании правил рейтинга опасности.

Система и способ лечения содержимого сайта // 2535504

Изобретение относится к вычислительной технике. Технический результат заключается в повышении защищенности сайта.

Система и способ обнаружения вредоносного программного обеспечения путем создания изолированной среды // 2535175

Изобретение относится к средствам обнаружения вредоносного программного обеспечения Технический результат заключается в повышении безопасности мобильных устройств.

Способ интеграции с автоматизированной системой управления данными об изделии // 2534969

Изобретение относится к способу интеграции с автоматизированной системой управления данными об изделии (АСУДИ). Техническим результатом является предотвращение возможности для пользователя вносить изменения в формируемые в автоматизированной системе и размещаемые в АСУДИ электронные документы.

Система и способ адаптивного управления и контроля действий пользователя на основе поведения пользователя // 2534935

Изобретение относится к системам контроля и ограничения действий, совершаемых пользователем на персональном компьютере. Техническим результатом является повышение эффективности контроля за доступом к сетевым ресурсам.

Система контроля доступа к ресурсам компьютерной системы с субъектом "исходный пользователь, эффективный пользователь, процесс" // 2534488

Изобретение относится к вычислительной технике. Технический результат заключается в расширение функциональных возможностей контроля доступа к ресурсам, за счет использования субъекта доступа «Исходный пользователь, Эффективный пользователь, Процесс».

Методики управления доступом к организационной информации субъекта // 2534369

Изобретение относится к способу, устройству и машиночитаемому носителю для управления доступом к организационной информации посредством организационной схемы. Технический результат заключается в повышении безопасности управления доступом к организационным схемам.

Устройство формирования изображения, способ управления для него и носитель информации // 2534007

Изобретение относится к функции повторного выполнения задания в устройстве формирования изображения, имеющем функцию аутентификации пользователя. Техническим результатом является обеспечение возможности управления сохранением обработанного и манипулирования сохраненным заданием на основе установок и информации пользователя в устройстве.

Комплексная система аудита и мониторинга информационной безопасности локальной вычислительной сети предприятия // 2537274

Изобретение относится к комплексной системе аудита и мониторинга информационной безопасности локальной вычислительной сети предприятия. Технический результат заключается в повышении точности обнаружения несанкционированного доступа к информации предприятия за счет введения дополнительных модулей аудита. Система содержит сервер с центральной базой данных, один коммутатор локальной вычислительной сети, соединенный с двумя персональными компьютерами, коммутатор с беспроводным подключением и маршрутизатор сети интернет, а также один модуль комплекса аудита, модуль комплекса аудита с беспроводным подключением и модуль комплекса аудита с подключением из внешней сети интернет. 1 ил.

Профиль средств обеспечения безопасности смарт-карт в домашнем абонентском сервере // 2537275

Изобретение относится к беспроводной связи. Технический результат - обеспечение безопасности пользовательского оборудования. Способ информирования о доступных средствах обеспечения безопасности в пользовательском оборудовании, включающий: определение в функции сетевого приложения предпочтительного упорядоченного списка желаемых для использования средств обеспечения безопасности пользовательского оборудования; отправку упомянутого предпочтительного упорядоченного списка в базу данных настроек безопасности пользователя посредством функции сервера начальной загрузки, причем база данных включает базу данных настроек безопасности пользователя общей архитектуры начальной загрузки, при этом упомянутый предпочтительный упорядоченный список отправляют в сообщении запроса о средствах обеспечения безопасности, отправляемом с использованием сообщения протокола Diameter в виде пар атрибут-значение, и упомянутый запрос о средствах обеспечения безопасности включает element name="securityFeaturesRequest" type="xsd:string" minOccurs="0"; и прием функцией сетевого приложения, посредством функции сервера начальной загрузки, ответа о средствах обеспечения безопасности, включающего ключ безопасности, извлеченный из информации, хранящейся в базе данных, и соответствующий желаемому средству обеспечения безопасности, имеющемуся в списке, что обеспечивает информирование функции сетевого приложения о доступности по меньшей мере желаемых средств обеспечения безопасности в пользовательском оборудовании. 3 н. и 17 з.п. ф-лы, 6 ил.

Аутентификация устройства и пользователя // 2538283

Изобретение относится к способу и системе для аутентификации воспринимающего устройства и пользователя. Техническим результатом является повышение надежности аутентификации воспринимающего устройства и пользователя, удостоверяющей, что данные, происходящие из устройства, происходят от конкретного устройства и от конкретного пользователя. Способ аутентификации воспринимающего устройства и пользователя содержит получение ID устройства для воспринимающего устройства, выполнение биометрического измерения пользователя, получение вспомогательных данных для пользователя и генерирование ключа из биометрического измерения и вспомогательных данных. Затем генерируется сообщение, содержащее ключ или компонент, выведенный из ключа, которое передается к удаленной службе, и в службе затем выполняется этап аутентификации устройства и пользователя с помощью сообщения. 2 н. и 12 з.п. ф-лы, 11 ил.

Способ обнаружения компьютерных атак на сетевую компьютерную систему // 2538292

Изобретение относится к вычислительной технике. Технический результат заключается в обнаружении компьютерных атак разных видов, комбинированных одновременных атак разных видов и определении видов атак. Способ обнаружения компьютерных атак на сетевую компьютерную систему, включающую, по крайней мере, один компьютер, подключенный к сети и имеющий установленную операционную систему и установленное прикладное программное обеспечение, включающее систему анализа трафика, в котором для анализа получаемых из сети пакетов выбираются определенные параметры и вычисляются их значения, которые затем сравниваются с эталонными значениями, а факт наличия одиночной или комбинированной одновременной атаки и определение видов атак определяется по сочетанию установленных условий для параметров. Для обработки получаемых из сети пакетов данных используется система анализа трафика, позволяющая вычислять параметры трафика в реальном масштабе времени. 13 ил., 3 табл.

Устройство создания доверенной среды для компьютеров информационно-вычислительных систем // 2538329

Изобретение относится к вычислительной технике. Технический результат заключается в повышении эффективности защиты компьютера от несанкционированных действий на всех этапах его работы. Устройство создания доверенной среды и защиты информации от несанкционированного доступа для компьютеров информационно-вычислительных систем, в состав которого введены накопитель на основе микросхемы флэш-памяти с интерфейсом SPI, который подключается к шине SPI чипсета материнской платы компьютера и содержит в своей защищенной от записи области BIOS компьютера с дополнительно встроенными командами, обеспечивающими взаимодействие с управляющим микроконтроллером и проверку целостности загружаемого программного обеспечения, и управляемый быстродействующий электронный ключ, установленный на шину SPI материнской платы между чипсетом компьютера и накопителем, при этом микроконтроллер снабжен каналом управления электронным ключом, соединяющим управляющий выход порта ввода-вывода микроконтроллера с управляющим входом электронного ключа, а также контроллером интерфейса SPI, обеспечивающим подключение микроконтроллера к шине SPI и работу его в режиме прямого доступа к памяти накопителя и в режиме контроля команд от чипсета к накопителю по шине SPI. 1 з.п. ф-лы, 3 ил.

Мобильное платежное устройство, способ предотвращения несанкционированного доступа к платежному приложению и элемент памяти данных // 2538330

Изобретение относится к средствам для предотвращения несанкционированного доступа к платежному приложению, установленному на мобильном платежном устройстве. Техническим результатом является предотвращение несанкционированного доступа к платежному приложению, установленному на мобильном платежном устройстве, или к данным транзакции, хранящимся в этом устройстве. Мобильное платежное устройство содержит процессор; установленное платежное приложение; память и команды, хранящиеся в ней, для определения, что пользователь пытается использовать платежное приложение; запрос пользователю на ввод данных идентификации пользователя; получение данных идентификации пользователя от устройства ввода данных, являющегося частью мобильного платежного устройства; в ответ на получение этих данных предоставление данных идентификации пользователя и данных аутентификации платежному приложению, причем данные аутентификации используются для аутентификации достоверного компонента мобильного платежного устройства, которое получает данные идентификации пользователя, данные аутентификации отличаются от данных идентификации пользователя; проверку достоверности данных аутентификации и идентификации; если данные достоверны, пользователю предоставляется доступ к платежному приложению; если данные недостоверны, то пользователю запрещен доступ к платежному приложению. 3 н. и 23 з.п. ф-лы, 5 ил.

Способ деперсонализации персональных данных // 2538913

Изобретение относится к области защиты информации, хранимой в информационных системах персональных данных (ИСПДн), от несанкционированного доступа (НСД) и может быть использовано на стадиях разработки и оптимизации ИСПДн в защищенном исполнении. Техническим результатом является повышение уровня безопасности ИСПДн. Способ деперсонализации персональных данных обеспечивает защиту ИСПДн от НСД на стадиях разработки и оптимизации, оперирует персональными данными субъектов, хранящимися и обрабатываемыми в ИСПДН, и осуществляет двухэтапное перемешивание данных, относящихся к разным субъектам, используя перестановки первого и второго уровней, при этом на первом этапе исходное множество данных D(d1, d2, …, dN), где N - число атрибутов, разбивается на непересекающиеся подмножества данных Ai, относящихся к одному атрибуту di, а на втором этапе происходит непосредственно перестановка данных сначала внутри подмножеств Ai и затем элементами перестановки являются сами подмножества. При росте количества субъектов ПДн уменьшается вероятность подбора параметров деперсонализации, соответственно повышается защищенность ИСПДн. Разбиение исходного множества данных на подмножества позволяет сократить размерность задачи и упростить ее практическую реализацию. 1 з.п. ф-лы, 2 табл.

Система переформирования объекта в запросе доступа // 2538918

Изобретение относится к вычислительной технике. Технический результат заключается в обеспечении возможности переформирования системой объекта доступа в запросе доступа при одновременной работе на компьютере нескольких пользователей. Система переформирования объекта в запросе доступа содержит блок формирования объекта доступа, блок формирования запроса доступа, причем в систему дополнительно введены блок хранения правил переформирования объекта в запросе доступа, блок выбора правила переформирования объекта в запросе доступа и блок замены объекта доступа и их связи. 2 ил., 2 табл.

Система защиты средств передачи информации узла связи от компьютерных атак // 2540810

Изобретение относится к области обеспечения безопасности передаваемой по техническим средствам информации. Техническим результатом является повышение эффективности защиты передаваемой по каналам и линиям связи информации и устойчивости работы средств передачи информации, используемых в подвижных объектах узла связи. Система защиты средств передачи информации узла связи от компьютерных атак состоит из диспетчерского пункта, содержащего автоматизированное рабочее место должностного лица (АРМ ДЛ) с интегрированным в него устройством управления средствами защиты (УСЗ) от компьютерных атак (КА), включающим в себя блок ввода данных, блок базы данных весовых коэффициентов эффективности противодействия КА, блок оценки эффективности противодействия КА, блок определения оптимальных режимов функционирования средств защиты (СЗ) от КА и блок сопряжения со средствами защиты от КА, коммутатор локальной вычислительной сети (ЛВС), блок кабельного ввода и телефонный аппарат (ТА) системы АТС; абонентской линии (АЛ) телефонной связи, первой, второй и третьей проводных линий Ethernet, волоконно-оптической линии связи (ВОЛС); подвижного объекта связи и управления, содержащего блок кабельного ввода, маршрутизатор, межсетевой экран с СЗИ №1, АРМ ДЛ с интегрированными в него средствами защиты информации (СЗИ) №2 и №4, сервер связи с интегрированными в него СЗИ №3 и №4, телефонную станцию оперативной связи, ТА системы АТС, широкодиапазонную (ШРД) радиостанцию и приемопередающую антенну ШРД радиостанции; первого и второго подвижных объектов связи (ПОС), каждый из которых содержит блок кабельного ввода, коммутатор ЛВС, первое, второе и третье АРМ ДЛ с интегрированными в них СЗИ №4, ШРД радиостанцию с приемопередающей антенной. 4 з.п. ф-лы, 2 ил.

Устройство обнаружения удаленных компьютерных атак // 2540838

Изобретение относится к области электросвязи. Техническим результатом является повышение достоверности обнаружения удаленных компьютерных атак. Устройство обнаружения удаленных компьютерных атак содержит счетчики, блоки дешифрации, блоки сравнения, блок управления, блок индикации и блоки памяти. Первый блок памяти снабжен входной шиной сообщений, а его информационный выход подключен к первым информационным входам первого, третьего, четвертого, пятого, шестого, седьмого, десятого, восьмого, девятого, одиннадцатого и двенадцатого блоков дешифрации, управляющие выходы которых подключены к соответствующим управляющим входам блока управления, управляющие выходы которого подключены к блоку индикации и первому блоку памяти. Управляющие выходы счетчиков подключены к управляющим входам соответствующих блоков дешифрации. Информационные выходы четвертого и пятого блоков дешифрации подключены к первому блоку сравнения, информационный выход которого подключен к третьему блоку памяти. Информационный выход двенадцатого блока дешифрации подключен к информационному входу второго блока сравнения, информационный выход которого подключен к пятому блоку памяти. Причем управляющие входы третьего, четвертого и пятого блоков памяти объединены и являются управляющим входом устройства, четвертый блок памяти снабжен информационным выходом подключения к ложной сети. 7 ил.