[go: up one dir, main page]

RU2536678C1 - Method of authentication of user accounts in grid systems and system for its implementation - Google Patents

Method of authentication of user accounts in grid systems and system for its implementation Download PDF

Info

Publication number
RU2536678C1
RU2536678C1 RU2013135959/08A RU2013135959A RU2536678C1 RU 2536678 C1 RU2536678 C1 RU 2536678C1 RU 2013135959/08 A RU2013135959/08 A RU 2013135959/08A RU 2013135959 A RU2013135959 A RU 2013135959A RU 2536678 C1 RU2536678 C1 RU 2536678C1
Authority
RU
Russia
Prior art keywords
grid system
nodes
user account
access
grid
Prior art date
Application number
RU2013135959/08A
Other languages
Russian (ru)
Inventor
Артем Станиславович Коноплев
Максим Олегович Калинин
Original Assignee
ООО "НеоБИТ"
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by ООО "НеоБИТ" filed Critical ООО "НеоБИТ"
Priority to RU2013135959/08A priority Critical patent/RU2536678C1/en
Application granted granted Critical
Publication of RU2536678C1 publication Critical patent/RU2536678C1/en

Links

Images

Landscapes

  • Storage Device Security (AREA)

Abstract

FIELD: physics, computer technology.
SUBSTANCE: invention relates to computer technology. The method of authentication for the user accounts in grid systems consisting in that the accessible units of grid system are identified, the list of grid system units, which allow to start the computing process, is generated, a set of user accounts of the grid system, and also a set of access rights, permitted for them at the current moment are fixed, the access rights requested by the grid system user account are compared with already given access rights at the selected grid system units in view of rules of access isolation, forming a set of permitted grid system units, the request for access to grid system resources, made from the user account, within earlier selected grid system units is filtered, allowing execution of computing process only on allowed grid system units.
EFFECT: security protection of information and computer resources of grid systems from unauthorised access.
2 cl, 3 dwg

Description

Изобретение относится к области защиты информационных систем распределенных вычислений, а именно к обеспечению защиты вычислительных и информационных ресурсов грид-систем от несанкционированного доступа на базе сопоставления множества прав доступа, фактически предоставляемых учетным записям пользователей в грид-системах, с множеством прав доступа, необходимых учетным записям пользователей грид-систем для осуществления вычислительных процессов, и определения на основе этого видов доступа к вычислительным ресурсам грид-систем, осуществляемых вычислительными процессами.The invention relates to the field of protection of distributed computing information systems, namely, to protecting the computing and information resources of grid systems from unauthorized access by comparing the set of access rights actually granted to user accounts in grid systems with the set of access rights required by accounts users of grid systems for the implementation of computing processes, and determining, on the basis of this, types of access to the computing resources of grid systems, OS estvlyaemyh computational processes.

Под несанкционированным доступом понимается доступ к информационным или вычислительным ресурсам системы субъектов доступа, не имеющих прав пользования ими [Воройский Ф.С. Информатика. Энциклопедический словарь-справочник: введение в современные информационные и телекоммуникационные технологии в терминах и фактах. - М.: ФИЗМАТЛИТ, 2006. - 768 с.].Unauthorized access refers to access to information or computing resources of the system of access subjects that do not have the right to use them [Voroisky F.S. Informatics. Encyclopedic dictionary-reference: introduction to modern information and telecommunication technologies in terms and facts. - M .: FIZMATLIT, 2006. - 768 p.].

Для разграничения доступа к информационным или вычислительным ресурсам грид-систем используются специальные хранилища прав доступа, содержащие множество правил разграничения доступа, представленных в виде записей "субъект доступа - объект доступа - права доступа". Субъектом доступа в грид-системах является вычислительный процесс, действия которого регламентируются по учетным записям запускающих их пользователей правилами разграничения доступа, заданными в виде таких записей. Объектом доступа является единица информационного (файлы) или вычислительного (центральный процессор) ресурса грид-системы, доступ к которой регламентируется правилами разграничения доступа.To distinguish access to the information or computing resources of grid systems, special storage of access rights is used, containing many access control rules, presented in the form of entries "access subject - access object - access rights". The subject of access in grid systems is a computational process, the actions of which are regulated by the accounts of users launching them by the rules of access control specified in the form of such records. The access object is a unit of information (files) or computing (central processor) resource of the grid system, access to which is regulated by the rules of access control.

Выполнение данных правил разграничения доступа гарантируется реализованным в грид-системах механизмом контроля и управления доступом к ресурсам грид-систем. Особенности грид-систем, а именно свойство гетерогенности грид-систем, наличие нескольких механизмов авторизации на основе учетных записей пользователей, а также отсутствие централизованного сервера безопасности затрудняют реализацию любых классических способов контроля и управления доступом. Поскольку учетная запись пользователя грид-системы может в любой момент времени состоять сразу в нескольких учетных записях групп пользователей, авторизованных для доступа к информационным и вычислительным ресурсам грид-систем, для нейтрализации угрозы возможного несанкционированного доступа к ресурсам вычислительными процессами необходимо при осуществлении контроля доступа к ресурсам контролировать динамическое распределение запросов, инициируемых вычислительными процессами от имени учетных записей пользователей на предоставление им указанных ресурсов грид-систем.Compliance with these access control rules is guaranteed by a mechanism for controlling and managing access to the resources of grid systems implemented in grid systems. Features of grid systems, namely the heterogeneity of grid systems, the presence of several authorization mechanisms based on user accounts, as well as the lack of a centralized security server make it difficult to implement any classical methods of access control and management. Since the user account of the grid system can at any time consist of several user group accounts that are authorized to access the information and computing resources of grid systems, it is necessary to neutralize the threat of possible unauthorized access to resources by computing processes when controlling access to resources control the dynamic distribution of requests initiated by computing processes on behalf of user accounts to provide granting them the indicated resources of grid systems.

В основу изобретения положена задача создания способа проверки прав доступа для учетных записей пользователей в грид-системах и системы для его осуществления, применение которых обеспечивает защиту информационных и вычислительных ресурсов грид-систем от несанкционированного доступа, а также сокращение временных и экономических затрат на поддержание надежного функционирования грид-систем за счет сокращения времени простоя оборудования, вызванного его отказом вследствие осуществления компьютерных атак на ресурсы грид-систем.The basis of the invention is the creation of a method of checking access rights for user accounts in grid systems and systems for its implementation, the use of which protects the information and computing resources of grid systems from unauthorized access, as well as reducing the time and economic costs of maintaining reliable operation grid systems due to reduced equipment downtime caused by its failure due to computer attacks on grid systems resources.

Известен способ проверки прав доступа для учетных записей пользователей на получение услуги, заключающийся в том, что эмитент предоставляет для каждой учетной записи пользователя, по крайней мере, одну матрицу переменного номера и одну матрицу переменной подписи. При положительном результате проверки, полученной от учетной записи пользователя переменной подписи, эмитент верифицирует права на предоставление абонированной услуги [Пат. РФ №2272321. Способ верификации прав пользователя на получение услуги. Опубл. 20.03.2006].A known method for checking access rights for user accounts to receive services is that the issuer provides for each user account at least one variable number matrix and one variable signature matrix. If the verification result received from the user account of the variable signature is positive, the issuer verifies the rights to provide the subscribed service [Pat. RF №2272321. A method of verifying user rights to receive a service. Publ. 03/20/2006].

Недостаток данного способа заключается в том, что процедура проверки прав доступа для учетных записей пользователей выполняется однократно при попытке аутентификации в системе и не учитывает потенциальные попытки повышения прав на доступ к ресурсам системы после прохождения процедуры аутентификации, что возможно ввиду особой природы грид-систем, в основе которой лежит принцип совместного использования ресурсов системы множеством вычислительных процессов, исполняющихся с разными учетными записями пользователей, наделенных разными правами доступа к ресурсам.The disadvantage of this method is that the procedure for checking access rights for user accounts is performed once during an authentication attempt in the system and does not take into account potential attempts to increase access rights to system resources after passing the authentication procedure, which is possible due to the special nature of grid systems in which is based on the principle of sharing system resources with a multitude of computing processes that run with different user accounts endowed with different access rights to resources.

Наиболее близким техническим решением является способ контроля доступа к ресурсам грид-систем, реализованный в сервисе контроля доступа GRAM. При выполнении запроса, инициируемого вычислительными процессами от имени учетной записи пользователя, на предоставление информационных и вычислительных ресурсов грид-систем каждый узел, входящий в состав грид-системы, осуществляет авторизацию учетной записи пользователя путем отображения глобального идентификатора учетной записи в локальный для данного узла. Пользователь грид-системы может инициировать свои задания на тех узлах из состава грид-системы, на которых он авторизован. Данное техническое решение включает выполнение следующих действий:The closest technical solution is the method of access control to the resources of grid systems, implemented in the access control service GRAM. When executing a request, initiated by computing processes on behalf of a user account, for the provision of information and computing resources of grid systems, each node that is part of a grid system authorizes a user account by mapping the global account identifier to a local one for this node. The user of the grid system can initiate his tasks on those nodes from the grid system on which he is authorized. This technical solution includes the following steps:

взаимная аутентификация сервиса контроля доступа с учетной записью пользователя грид-системы посредством проверки их цифровых сертификатов;mutual authentication of the access control service with the user account of the grid system by checking their digital certificates;

обработка запроса, инициируемого вычислительными процессами от имени учетной записи пользователя, на предоставление ресурсов грид-системы посредством определения доступных узлов грид-системы, анализа их загрузки, производительности и других параметров, указанных в запросе, а также выбор наиболее оптимальных узлов;processing a request initiated by computational processes on behalf of a user account to provide grid system resources by determining the available nodes of the grid system, analyzing their load, performance and other parameters specified in the request, as well as selecting the most optimal nodes;

отображение запроса, инициируемого вычислительными процессами от имени учетной записи пользователя, на локальную учетную запись на каждом из выбранных узлов грид-системы;mapping a request initiated by computational processes on behalf of a user account to a local account on each of the selected nodes of the grid system;

последовательный выбор узлов грид-системы из списка ранее выбранных, запуск процессов от имени локальной учетной записи пользователя и передача ему множества запрошенных ресурсов.sequential selection of nodes of the grid system from the list of previously selected ones, starting processes on behalf of the local user account and transferring many requested resources to it.

Известная система для реализации данного способа содержит:A known system for implementing this method contains:

модуль аутентификации, выполняющий проверку цифровых сертификатов учетных записей пользователей и узлов грид-системы при попытке получения доступа к информационным и вычислительным ресурсам грид-системы;an authentication module that verifies the digital certificates of user accounts and nodes of the grid system when trying to gain access to the information and computing resources of the grid system;

модуль распределения запросов, выполняющий поиск подходящих узлов грид-системы для их выполнения;a query distribution module that searches for suitable nodes in the grid system to execute them;

модуль контроля и управления доступом, выполняющий запуск процессов от имени локальных учетных записей пользователей и передачу им множества запрошенных ресурсовaccess control and management module that runs processes on behalf of local user accounts and transfers to them many requested resources

[Кирьянов А.К., Рябов Ю.Ф. Введение в технологию Грид: Учебное пособие. - Гатчина: ПИЯФ РАН, 2006. - 39 с.].[Kiryanov A.K., Ryabov Yu.F. Introduction to Grid Technology: A Training Manual. - Gatchina: PNPI RAS, 2006. - 39 p.].

Недостатком такого технического решения является отсутствие учета таких состояний системы, при которых несколько учетных записей пользователей грид-систем авторизуются на одном и том же узле системы под одной локальной учетной записью, что позволяет некоторой учетной записи пользователя получать доступ к данным других учетных записей пользователей, совместно с которыми он прошел процедуру авторизации на данном узле грид-системы, но для которых такой доступ прямо не предоставлен и вследствие этого критичен, так как происходит утечка данных, что имеет негативные последствия в виде нарушений безопасности данных и функционирования системных процессов в грид-системах.The disadvantage of this technical solution is the lack of accounting for such system states in which several user accounts of grid systems are authorized on the same system node under one local account, which allows some user account to access the data of other user accounts jointly with whom he went through the authorization procedure on this node of the grid system, but for which such access is not directly granted and therefore critical, since there is a leak data, which has negative consequences in the form of data security violations and the functioning of system processes in grid systems.

Техническим результатом предлагаемого решения является защита информационных и вычислительных ресурсов грид-систем от несанкционированного доступа, а также сокращение временных и экономических затрат на поддержание надежного функционирования грид-систем за счет сокращения времени простоя оборудования, вызванного его отказом вследствие осуществления компьютерных атак на ресурсы грид-систем.The technical result of the proposed solution is to protect the information and computing resources of grid systems from unauthorized access, as well as reducing the time and economic costs of maintaining the reliable operation of grid systems by reducing equipment downtime caused by equipment failure due to computer attacks on grid system resources .

Решение поставленной технической задачи обеспечивается тем, что в способе проверки прав доступа для учетных записей пользователей в грид-системахThe solution of the technical problem is provided by the fact that in the method of checking access rights for user accounts in grid systems

выполняют взаимную аутентификацию узлов грид-системы с учетной записью пользователя грид-системы посредством проверки их цифровых сертификатов;mutual authentication of the nodes of the grid system with the user account of the grid system by checking their digital certificates;

выполняют первичную обработку запроса, инициированного вычислительным процессом от имени учетной записи пользователя на предоставление ресурсов грид-системы, определяя доступные узлы грид-системы, анализируя их вычислительную загрузку, производительность, выбирая наиболее оптимальные узлы и формируя список узлов грид-системы, на которых допускается запустить на исполнение вычислительный процесс;perform initial processing of a request initiated by a computing process on behalf of a user account for the provision of grid system resources, determining available grid system nodes, analyzing their computational load, performance, selecting the most optimal nodes and forming a list of grid system nodes on which it is allowed to run execution computer process;

фиксируют множество учетных записей пользователей грид-системы, авторизованных на отобранных узлах грид-системы, а также множество предоставленных им прав доступа в текущий момент времени;fix the set of user accounts of the grid system authorized on the selected nodes of the grid system, as well as the set of access rights granted to them at the current time;

выполняют повторную обработку запроса, инициированного вычислительным процессом от имени учетной записи пользователя, и определяют запрашиваемые права доступа, фиксируя множество прав доступа, необходимое для работы вычислительного процесса, запущенного от имени данной учетной записи пользователя;re-processing the request initiated by the computing process on behalf of the user account, and determining the requested access rights, fixing the set of access rights necessary for the computing process running on behalf of this user account;

сопоставляют запрашиваемые учетной записью пользователя грид-системы права доступа с уже предоставленными правами доступа на выбранных узлах грид-системы с учетом правил разграничения доступа, тем самым формируя множество узлов грид-системы, на которых допустимо выполнение запроса (легитимных узлов грид-системы);match the access rights requested by the user account of the grid system with the already granted access rights on the selected nodes of the grid system, taking into account the rules of access control, thereby forming many nodes of the grid system on which the request is allowed (legitimate nodes of the grid system);

выполняют фильтрацию запроса на доступ к ресурсам грид-системы, поступившего от учетной записи пользователя, в пределах ранее выбранных узлов грид-системы, разрешая выполнение вычислительного процесса только на легитимных узлах грид-системы;filtering the request for access to the resources of the grid system received from the user account within the previously selected nodes of the grid system, allowing the computational process to be performed only on the legitimate nodes of the grid system;

последовательно перебирают узлы грид-системы из сформированного списка, запускают вычислительный процесс от имени локальной учетной записи пользователя и передают ему множество запрошенных ресурсов.sequentially sort the nodes of the grid system from the generated list, start the computational process on behalf of the local user account and transfer to it many requested resources.

Система для реализации данного способа содержит:The system for implementing this method contains:

модуль аутентификации учетных записей пользователей, выполняющий проверку их цифровых сертификатов при попытке получения доступа к информационным и вычислительным ресурсам грид-системы;a user account authentication module that verifies their digital certificates when trying to access information and computing resources of a grid system;

модуль распределения запросов, выполняющий поиск подходящих узлов грид-системы для их выполнения и заполняющий базу данных, содержащую множество подходящих узлов грид-системы;a query distribution module that searches for suitable nodes of the grid system to execute them and populates a database containing many suitable nodes of the grid system;

модуль фиксации предоставленных учетным записям пользователей грид-системы прав доступа на выбранных узлах грид-системы, заполняющий базу данных, содержащую множество авторизованных учетных записей пользователей грид-системы, а также множество предоставленных им прав доступа;a module for fixing permissions granted to user accounts of the grid system on selected nodes of the grid system, filling in a database containing many authorized user accounts of the grid system, as well as many access rights granted to them;

модуль проверки прав доступа, выполняющий сопоставление запрашиваемых учетной записью пользователя грид-системы прав доступа с уже предоставленными правами доступа на выбранных узлах грид-системы с учетом правил разграничения доступа и формирующий множество легитимных узлов;an access rights check module that compares the access rights requested by the user account of the grid system with the already granted access rights on the selected nodes of the grid system, taking into account the rules of access control and generates many legitimate nodes;

модуль фильтрации запросов, последовательно перебирающий узлы грид-системы из сформированного списка и разрешающий выполнение запроса на легитимных узлах грид-системы.a query filtering module, sequentially sorting the nodes of the grid system from the generated list and allowing the query to be executed on the legitimate nodes of the grid system.

При этом модуль аутентификации учетных записей пользователей связан с модулем распределения запросов, который связан с модулем проверки прав доступа. Модуль фиксации предоставленных учетным записям пользователей грид-системы прав доступа связан с модулем проверки прав доступа, который связан с модулем фильтрации запросов.At the same time, the user account authentication module is associated with the request distribution module, which is associated with the access control module. The module for fixing permissions granted to user accounts of the grid system is associated with the module for checking access rights, which is associated with the request filtering module.

Новые существенные признаки способа:New significant features of the method:

фиксируют множество учетных записей пользователей грид-системы, авторизованных на отобранных узлах грид-системы, а также множество предоставленных им прав доступа в текущий момент времени;fix the set of user accounts of the grid system authorized on the selected nodes of the grid system, as well as the set of access rights granted to them at the current time;

выполняют повторную обработку запроса, инициированного вычислительным процессом от имени учетной записи пользователя, и определяют запрашиваемые права доступа, фиксируя множество прав доступа, необходимое для работы вычислительного процесса, запущенного от имени данной учетной записи пользователя;re-processing the request initiated by the computing process on behalf of the user account, and determining the requested access rights, fixing the set of access rights necessary for the computing process running on behalf of this user account;

сопоставляют запрашиваемые учетной запись пользователя грид-системы права доступа с уже предоставленными правами доступа на выбранных узлах грид-системы с учетом правил разграничения доступа, тем самым формируя множество узлов грид-системы, на которых допустимо выполнение запроса (легитимных узлов грид-системы);match the access rights requested by the user account of the grid system with the already granted access rights on the selected nodes of the grid system, taking into account the rules of access control, thereby forming a multitude of nodes of the grid system on which the request is allowed (legitimate nodes of the grid system);

выполняют фильтрацию запроса на доступ к ресурсам грид-системы, поступившего от учетной записи пользователя, в пределах ранее выбранных узлов грид-системы, разрешая выполнение вычислительного процесса только на легитимных узлах грид-системы.filtering the request for access to the resources of the grid system received from the user account within the previously selected nodes of the grid system, allowing the computational process to be performed only on the legitimate nodes of the grid system.

Новые существенные признаки системы:New significant features of the system:

модуль фиксации предоставленных учетным записям пользователей грид-системы прав доступа на выбранных узлах грид-системы, заполняющий базу данных, содержащую множество авторизованных учетных записей пользователей грид-системы, а также множество предоставленных им прав доступа;a module for fixing permissions granted to user accounts of the grid system on selected nodes of the grid system, filling in a database containing many authorized user accounts of the grid system, as well as many access rights granted to them;

модуль проверки прав доступа, выполняющий сопоставление запрашиваемых учетной записью пользователя грид-системы прав доступа с уже предоставленными правами доступа на выбранных узлах грид-системы с учетом правил разграничения доступа и формирующий множество легитимных узлов;an access rights check module that compares the access rights requested by the user account of the grid system with the already granted access rights on the selected nodes of the grid system, taking into account the rules of access control and generates many legitimate nodes;

модуль фильтрации запросов, последовательно перебирающий узлы грид-системы из сформированного списка и разрешающий выполнение запроса на легитимных узлах грид-системы.a query filtering module, sequentially sorting the nodes of the grid system from the generated list and allowing the query to be executed on the legitimate nodes of the grid system.

При этом модуль аутентификации учетных записей пользователей связан с модулем распределения запросов, который связан с модулем проверки прав доступа. Модуль фиксации предоставленных учетным записям пользователей грид-системы прав доступа связан с модулем проверки прав доступа, который связан с модулем фильтрации запросов.At the same time, the user account authentication module is associated with the request distribution module, which is associated with the access control module. The module for fixing permissions granted to user accounts of the grid system is associated with the module for checking access rights, which is associated with the request filtering module.

Перечисленные новые существенные признаки способа и устройства для его реализации в совокупности с известными позволяют оперативно выявлять факты нарушения учетными записями пользователей своих прав по доступу к информационным и вычислительным ресурсам грид-систем, в том числе возникшие в результате компрометации указанных ресурсов со стороны уже авторизованных учетных записей пользователей. Это в свою очередь позволяет повысить уровень защищенности ресурсов грид-систем, сократить затраты на обеспечение безопасности доступа к таким системам, повысить надежность функционирования грид-систем.These new significant features of the method and device for its implementation, together with the known ones, allow you to quickly identify facts of user accounts violating their rights to access the information and computing resources of grid systems, including those resulting from the compromise of these resources by already authorized accounts users. This, in turn, makes it possible to increase the level of security of the resources of grid systems, reduce the cost of securing access to such systems, and increase the reliability of the operation of grid systems.

Изобретение поясняется с помощью фиг.1, 2 и 3. На фиг.1 представлена схема способа проверки прав доступа для учетных записей пользователей грид-систем. На фиг.2 показана модульная схема системы, реализующей данный способ. На фиг.3 показан пример реализации предложенного технического решения.The invention is illustrated using figures 1, 2 and 3. Figure 1 shows a diagram of a method of checking access rights for user accounts of grid systems. Figure 2 shows a modular diagram of a system that implements this method. Figure 3 shows an example implementation of the proposed technical solution.

При осуществлении способа выполняется учет предоставленных учетным записям пользователей грид-системы прав доступа на узлах грид-системы, что исключает возможность превышения прав доступа авторизованными учетными записями пользователей за счет делегирования данных прав доступа приложениям, запускающимся на тех узлах грид-системы, на которых другие учетных записи пользователей авторизованы для хранения своей информации, и последующего чтения указанной информации в обход установленных правил разграничения доступа. Для достижения автоматизации процедуры проверки прав доступа для учетных записей пользователей в грид-системах система для осуществления описываемого способа организуется в виде отдельного программного модуля, интегрируемого в состав современных реализаций вычислительных платформ грид-систем.When the method is implemented, the access rights granted to user accounts of the grid system on the nodes of the grid system are accounted for, which eliminates the possibility of exceeding access rights by authorized user accounts by delegating these access rights to applications running on those nodes of the grid system on which other accounts user records are authorized to store their information, and then read the specified information, bypassing the established access control rules. To achieve automation of the procedure for checking access rights for user accounts in grid systems, the system for implementing the described method is organized as a separate software module that is integrated into modern implementations of computing platforms of grid systems.

При осуществлении способа выполняют взаимную аутентификацию узлов грид-системы с учетной записью пользователя посредством последовательных проверок корректности цифровых сертификатов учетной записи пользователя и узлов грид-системы путем извлечения из цифровых сертификатов электронной цифровой подписи и последующей проверки ее принадлежности к одному из авторизованных центров выдачи сертификатов.When implementing the method, mutual authentication of the nodes of the grid system with the user account is performed by sequentially checking the correctness of digital certificates of the user account and nodes of the grid system by extracting electronic digital signature from digital certificates and then checking its belonging to one of the authorized certificate issuing centers.

В случае установления подлинности электронной цифровой подписи сертификатов далее выполняют первичную обработку запроса, инициированного вычислительными процессами от имени учетной записи пользователя, включая определение доступных узлов грид-системы путем их опроса по сети с использованием внутреннего протокола передачи данных, анализ их загруженности путем подсчета количества обрабатываемых в данным момент времени запросов, потребляемых вычислительных ресурсов, необходимых для выполнения данных запросов, объема свободной оперативной и физической памяти узлов грид-системы, и на основе собранных данных - выбор наиболее оптимальных для обработки поступившего запроса узлов грид-системы. В результате проделанных действий формируют список узлов, пригодных для обработки поступившего запроса.In the case of establishing the authenticity of the electronic digital signature of the certificates, the initial processing of the request is further performed, initiated by the computing processes on behalf of the user account, including determining the available nodes of the grid system by polling them over the network using the internal data transfer protocol, analyzing their workload by counting the number of processed given point in time of queries consumed by computing resources needed to fulfill these queries, the amount of free opera active and physical memory of the nodes of the grid system, and based on the data collected - the choice of the most optimal nodes for processing the received request grid nodes. As a result of the steps taken, a list of nodes suitable for processing the incoming request is formed.

Затем фиксируют множество учетных записей пользователей грид-системы, авторизованных на отобранных узлах грид-системы, а также множество предоставленных им прав доступа в текущий момент времени. В результате проделанных действий формируется база данных, содержащая информацию о предоставленных правах доступа для каждой учетной записи пользователей грид-системы на каждом из узлов грид-системы.Then, many user accounts of the grid system are authorized that are authorized on the selected nodes of the grid system, as well as many access rights granted to them at the current time. As a result of the actions taken, a database is formed containing information on the granted access rights for each user account of the grid system on each of the nodes of the grid system.

При этом каждая учетная запись пользователя грид-системы и узел грид-системы фиксируются и взаимооднозначно идентифицируются по своим идентификаторам, представляющим собой строку символов (в случае учетной записи пользователя грид-системы) и IP-адрес или сетевое имя, представленные в соответствии со стандартом RFC1918 (в случае узла грид-системы).At the same time, each user account of the grid system and the node of the grid system are fixed and identifiably identified by their identifiers, which are a string of characters (in the case of a user account of the grid system) and the IP address or network name, presented in accordance with the RFC1918 standard (in the case of a node of the grid system).

Затем выполняют повторную обработку запроса, инициированного вычислительными процессами от имени учетной записи пользователя, выделяя из него информацию о запрашиваемом типе доступа, в результате чего фиксируют множество запрашиваемых учетной записью пользователя грид-системы прав доступа.Then, reprocessing the request initiated by the computing processes on behalf of the user account is performed, extracting information about the requested access type from it, as a result of which the set of access rights requested by the user account is fixed.

Далее на каждом из отобранных узлов грид-системы сопоставляют зафиксированные запрашиваемые учетной записью пользователя грид-системы права доступа с записями из правил разграничения доступа путем последовательного извлечения записей правил разграничения доступа, сравнения идентификатора учетной записи пользователя, инициировавшего данный запрос, с идентификатором, содержащимся в поле "субъект доступа" в извлекаемой записи правил разграничения доступа, и идентификатора узла грид-системы с идентификатором, содержащимся в поле "объект доступа" в извлекаемой записи правил разграничения доступа. При этом сопоставление прав доступа выполняют в зависимости от результата сравнения указанных идентификаторов.Next, on each of the selected nodes of the grid system, the registered access rights requested by the user account of the grid system are compared with the entries from the access control rules by sequentially extracting the access control rules records, comparing the account ID of the user who initiated this request with the identifier contained in the field "access subject" in the extracted record of access control rules, and the identifier of the node of the grid system with the identifier contained in the "field CT Access "in the retrieval record access control rules. Moreover, the comparison of access rights is performed depending on the result of the comparison of the indicated identifiers.

Для каждой записи правил разграничения доступа, в которой идентификатор, содержащийся в поле "объект доступа", совпадает с идентификатором отобранного узла грид-системы, если идентификатор учетной записи пользователя, инициировавшего данный запрос, совпадает с идентификатором, указанным в извлеченной записи правил разграничения доступа, то при оценке легитимности данного узла грид-системы проверяют наличие в извлеченной записи правил разграничения доступа множества прав доступа, равного или перекрывающего множество запрашиваемых учетной записью пользователя грид-системы прав доступа с множеством прав доступа, указанным в извлеченной записи правил разграничения доступа.For each entry of access control rules, in which the identifier contained in the field "access object" matches the identifier of the selected node of the grid system, if the identifier of the user account that initiated this request matches the identifier specified in the extracted entry of access control rules, then, when assessing the legitimacy of a given node of the grid system, they check for the presence of a set of access rights in the extracted record of access control rules equal to or overlapping the set of requested accounts user account of the Grid system of access rights with the set of access rights specified in the extracted record of access control rules.

Для каждой записи правил разграничения доступа, в которой идентификатор, содержащийся в поле "объект доступа", совпадает с идентификатором отобранного узла грид-системы, если идентификатор учетной записи пользователя, инициировавшего данный запрос, не совпал ни с одним из идентификаторов, указанных в извлеченных записях правил разграничения доступа, то данный узел грид-системы считают легитимным.For each entry of access control rules, in which the identifier contained in the "access object" field coincides with the identifier of the selected node of the grid system, if the identifier of the user account that initiated this request does not match any of the identifiers specified in the extracted records rules for access control, then this node of the grid system is considered legitimate.

Далее для каждого из отобранных узлов грид-системы сопоставляют запрашиваемые учетной записью пользователя грид-системы права доступа с уже предоставленными на выбранных узлах грид-системы. Для этого выполняют последовательное извлечение элементов из базы данных, содержащей информацию о предоставленных правах доступа на данном узле грид-системы, и для каждой учетной записи пользователя грид-системы, содержащейся в извлекаемых элементах, определяют идентификатор узла грид-системы, на котором авторизована данная учетная запись, и сопоставляют запрашиваемые учетной записью пользователя грид-системы права доступа с правилами разграничения доступа, считая, что в качестве значений поля "объект доступа" правил разграничения доступа выступает полученный идентификатор узла грид-системы.Next, for each of the selected nodes of the grid system, the access rights requested by the user account of the grid system are compared with those already granted on the selected nodes of the grid system. To do this, sequentially extract the elements from the database containing information about the granted access rights on this node of the grid system, and for each user account of the grid system contained in the extracted elements, determine the identifier of the node of the grid system on which this account is authorized record, and compare the access rights requested by the user’s user account with the access control rules, assuming that the values of the "access object" field of the access control rules are mortar acts obtained node ID grid system.

В результате проделанных действий формируют множество узлов грид-системы, на которых допустимо выполнение запроса (легитимных узлов). Все сопоставления прав при этом выполняют по правилам сравнения множеств.As a result of the actions taken, many nodes of the grid system are formed on which the execution of the request (legitimate nodes) is permissible. In this case, all comparisons of rights are performed according to the rules of comparison of sets.

Затем выполняют фильтрацию запроса, инициированного вычислительными процессами от имени учетной записи пользователя, в пределах ранее выбранных узлов грид-системы, разрешая обработку запроса и выполняя его передачу по сети только на легитимные узлы грид-системы.Then filter the request, initiated by the computing processes on behalf of the user account, within the previously selected nodes of the grid system, allowing the processing of the request and transmitting it over the network only to the legitimate nodes of the grid system.

Затем на каждом из легитимных узлов грид-системы запускают вычислительный процесс от имени локальной учетной записи пользователя и передают ему множество запрошенных ресурсов.Then, on each of the legitimate nodes of the grid system, the computational process is launched on behalf of the local user account and the set of requested resources is transferred to it.

Для автоматизации способа проверки прав доступа для учетных записей пользователей в грид-системах применяют систему (фиг.2), в которую включены модуль аутентификации учетных записей пользователей, модуль распределения запросов, модуль фиксации предоставленных прав доступа, модуль проверки прав доступа и модуль фильтрации запросов.To automate the method of checking access rights for user accounts in grid systems, a system is used (Fig. 2), which includes a user account authentication module, a request distribution module, a granted access rights fixing module, an access rights verification module and a request filtering module.

Модуль аутентификации учетных записей пользователей выполняет взаимную аутентификацию узлов грид-системы с учетной записью пользователя посредством последовательных проверок корректности цифровых сертификатов учетной записи пользователя и узлов грид-системы путем извлечения из цифровых сертификатов электронной цифровой подписи и последующей проверки ее принадлежности к одному из авторизованных центров выдачи сертификатов.The user account authentication module performs mutual authentication of the nodes of the grid system with the user account by sequentially checking the validity of digital certificates of the user account and nodes of the grid system by extracting electronic digital signature from digital certificates and then checking its belonging to one of the authorized certificate issuing centers .

Модуль распределения запросов выполняет первичную обработку запроса, инициированного вычислительными процессами от имени учетной записи пользователя, включая определение доступных узлов грид-системы путем их опроса по сети с использованием внутреннего протокола передачи данных, анализ их загруженности путем подсчета количества обрабатываемых в данным момент времени запросов, потребляемых вычислительных ресурсов, необходимых для выполнения данных запросов, объема свободной оперативной и физической памяти узлов, и на основе собранных данных выбор наиболее оптимальных для обработки поступившего запроса узлов грид-системы. Результатом работы модуля является база данных, содержащая список узлов, пригодных для обработки поступившего запроса.The request distribution module performs the initial processing of the request initiated by computing processes on behalf of the user account, including determining the available nodes of the grid system by polling them over the network using the internal data transfer protocol, analyzing their workload by counting the number of requests processed at a given time computing resources necessary to fulfill these requests, the amount of free RAM and physical memory of nodes, and based on assembled s selection of the most optimum data for processing incoming query grid nodes. The result of the module is a database containing a list of nodes suitable for processing an incoming request.

Модуль фиксации предоставленных прав доступа фиксирует множество учетных записей пользователей грид-системы, авторизованных на данных узлах (множество авторизованных учетных записей пользователей грид-системы), а также множество предоставленных им прав доступа в текущий момент времени. Результатом работы модуля является база данных, содержащая информацию о предоставленных правах доступа для каждой учетной записи пользователя грид-системы на каждом из узлов грид-системы.The module for fixing the granted access rights captures many user accounts of the grid system authorized on these nodes (many authorized user accounts of the grid system), as well as the set of access rights granted to them at the current time. The result of the module is a database containing information about the granted access rights for each user account of the grid system on each of the nodes of the grid system.

Модуль проверки прав доступа выполняет повторную обработку запроса, инициированного вычислительными процессами от имени учетной записи пользователя, выделяя из него информацию о запрашиваемом типе доступа, тем самым фиксируя множество запрашиваемых учетной записью пользователя грид-системы прав доступа, после чего на каждом из отобранных узлов грид-системы сопоставляет зафиксированные запрашиваемые учетной записью пользователя грид-системы права доступа с правилами разграничения доступа путем последовательного извлечения записей правил разграничения доступа, сравнения идентификатора учетной записи пользователя, инициировавшего данный запрос, с идентификатором, содержащимся в поле "субъект доступа" в извлекаемой записи правил разграничения доступа, и идентификатора узла грид-системы с идентификатором, содержащимся в поле "объект доступа" в извлекаемой записи правил разграничения доступа. При этом сопоставление прав доступа выполняет в зависимости от результата сравнения указанных идентификаторов.The access control module performs reprocessing of the request initiated by the computing processes on behalf of the user account, extracting information about the requested access type from it, thereby fixing the set of access rights requested by the user account, and then on each of the selected nodes of the grid the system compares the access rights that are requested by the user account of the grid system with the access control rules by sequentially retrieving the record access control rules, comparing the identifier of the user account that initiated the request with the identifier contained in the "subject of access" field in the extracted record of access control rules, and the node identifier of the grid system with the identifier contained in the field "access object" in the extracted records of access control rules. Moreover, the comparison of access rights is performed depending on the result of the comparison of the indicated identifiers.

Для каждой записи правил разграничения доступа, в которой идентификатор, содержащийся в поле "объект доступа", совпадает с идентификатором отобранного узла грид-системы, если идентификатор учетной записи пользователя, инициировавшего данный запрос, совпадает с идентификатором, указанным в извлеченной записи правил разграничения доступа, то при оценке легитимности данного узла грид-системы проверяет наличие в извлеченной записи правил разграничения доступа множества прав доступа, равного или перекрывающего множество запрашиваемых учетной записью пользователя грид-системы прав доступа с множеством прав доступа, указанным в извлеченной записи правил разграничения доступа.For each entry of access control rules, in which the identifier contained in the field "access object" matches the identifier of the selected node of the grid system, if the identifier of the user account that initiated this request matches the identifier specified in the extracted entry of access control rules, then, when assessing the legitimacy of a given node of the grid system, it checks for the presence of a set of access rights in the extracted record of access control rules equal to or overlapping the set of requested accounts user account of the Grid system of access rights with the set of access rights specified in the extracted record of access control rules.

Для каждой записи правил разграничения доступа, в которой идентификатор, содержащийся в поле "объект доступа", совпадает с идентификатором отобранного узла грид-системы, если идентификатор учетной записи пользователя, инициировавшего данный запрос, не совпал ни с одним из идентификаторов, указанных в извлеченных записях правил разграничения доступа, то данный узел грид-системы считает легитимным.For each entry of access control rules, in which the identifier contained in the "access object" field coincides with the identifier of the selected node of the grid system, if the identifier of the user account that initiated this request does not match any of the identifiers specified in the extracted records rules for access control, then this node of the grid system is considered legitimate.

Далее для каждого из отобранных узлов грид-системы сопоставляет запрашиваемые учетной записью пользователя грид-системы права доступа с уже предоставленными на выбранных узлах грид-системы. Для этого выполняет последовательное извлечение элементов из базы данных, содержащей информацию о предоставленных правах доступа на данном узле грид-системы, и для каждой учетной записи пользователя грид-системы, содержащейся в извлекаемых элементах, определяют идентификатор узла грид-системы, на котором авторизована данная учетная запись, и сопоставляет запрашиваемые учетной записью пользователя грид-системы права доступа с правилами разграничения доступа, считая, что в качестве значений поля "объект доступа" правил разграничения доступа выступает полученный идентификатор узла грид-системы.Further, for each of the selected nodes of the grid system, it compares the access rights requested by the user account of the grid system with those already granted on the selected nodes of the grid system. To do this, it sequentially extracts elements from the database containing information on the granted access rights on this node of the grid system, and for each user account of the grid system contained in the extracted elements, the identifier of the node of the grid system on which this account is authorized record, and compares the access rights requested by the user account of the grid system with the access control rules, assuming that the values of the "access object" field of the access control rules are mortar acts obtained node ID grid system.

Результатом работы модуля является база данных, содержащая множество узлов грид-системы, на которых допустимо выполнение запроса (легитимных узлов).The result of the module is a database containing many nodes of the grid system on which the query (legitimate nodes) can be executed.

Модуль фильтрации запросов выполняет фильтрацию запроса, инициированного вычислительными процессами от имени учетной записи пользователя, разрешая обработку запроса и выполняя его передачу по сети только на легитимные узлы грид-системы, и на каждом из легитимных узлов грид-системы запускает процесс от имени локальной учетной записи пользователя и передает ей множество запрошенных ресурсов.The request filtering module filters the request initiated by computing processes on behalf of the user account, allowing request processing and transmitting it over the network only to the legitimate nodes of the grid system, and on each of the legitimate nodes of the grid system starts the process on behalf of the local user account and passes her many requested resources.

Рассмотрим пример реализации предложенного технического решения при выполнении проверки прав доступа для учетных записей пользователей в грид-системах, построенной на базе программной реализации Globus Toolkit 5.0. В описании примера цифровые сертификаты учетных записей пользователей и узлов грид-системы являются легитимными.Let us consider an example of the implementation of the proposed technical solution when performing verification of access rights for user accounts in grid systems, built on the basis of the software implementation of the Globus Toolkit 5.0. In the example description, digital certificates of user accounts and nodes of the grid system are legitimate.

Система состоит из семи узлов, объединенных в вычислительную сеть, как показано на фиг.3. Атрибуты узлов грид-системы определены следующим образом:The system consists of seven nodes connected to a computer network, as shown in Fig.3. Attributes of grid system nodes are defined as follows:

T1={'пользовательские_данные'};T 1 = {'user_data'};

Т2={'ресурсы_ПО'}T 2 = {'PO_resources'}

Т3={'вычислительные_ресурсы', 'пользовательские_данные'};T 3 = {'computational resources', 'user_data'};

Т4={'вычислительные_ресурсы'}.T 4 = {'computational resources'}.

Т5={'пользовательские _данные'}.T 5 = {'user _data'}.

T6={'ресурсы_ПО'}.T 6 = {'PO_resources'}.

Т7={'пользовательские_данные'}T 7 = {'user_data'}

В грид-системе заданы следующие правила разграничения доступа, которые предусматривает два типа доступа: доступ к вычислительным ресурсам и к данным учетных записей пользователей грид-системы:The following access control rules are defined in the grid system, which provides for two types of access: access to computing resources and user account data of the grid system:

1. Учетная запись пользователя U1 может хранить данные на узле M3.1. The user account U 1 can store data on the node M 3 .

2. Учетная запись пользователя U2 может исполнять приложения на узле M6.2. The user account U 2 can execute applications on the node M 6 .

3. Учетная запись пользователя U3 может исполнять приложения на узле M7.3. The user account U 3 can execute applications on the node M 7 .

4. Учетная запись пользователя U4 может хранить данные на узле М1.4. The user account U 4 can store data on the node M 1 .

5. Учетная запись пользователя U5 может исполнять приложения на узле М3.5. The user account U 5 can execute applications on the node M 3 .

6. Учетная запись пользователя U5 не может выполнять никаких действий на узле M1.6. The user account U 5 cannot perform any actions on the node M 1 .

7. Учетная запись пользователя U6 может исполнять приложения на узле М4.7. The user account U 6 can execute applications on the node M 4 .

8. Учетная запись пользователя U7 может хранить данные на узле М1.8. The user account U 7 can store data on the node M 1 .

9. Учетная запись пользователя U7 может исполнять приложения на узле М2.9. The user account U 7 can execute applications on the node M 2 .

Изначально в грид-системе отсутствуют запросы, инициированные вычислительными процессами от имени учетных записей пользователей. Предположим, что учетная запись пользователя U1 на узле М1 создала запрос J1 со следующими атрибутами: тип метки Т={'пользовательские_данные', U1}. Сначала выполняется взаимная аутентификация узла грид-системы с учетной записью пользователя грид-системы посредством проверки их цифровых сертификатов. Поскольку цифровые сертификаты учетных записей пользователей и узлов грид-системы являются легитимными, выполняется обработка запроса, инициированного вычислительными процессами от имени учетной записи пользователя, посредством определения доступных узлов грид-системы, анализа их загруженности, производительности и других параметров, указанных в запросе, а также выбор наиболее оптимальных узлов.Initially, there are no queries in the grid system initiated by computing processes on behalf of user accounts. Suppose that user account U 1 on node M 1 created a request J 1 with the following attributes: label type T = {'user_data', U 1 }. First, mutual authentication of the node of the grid system is performed with the user account of the grid system by checking their digital certificates. Since the digital certificates of user accounts and nodes of the grid system are legitimate, the processing of the request initiated by the computing processes on behalf of the user account is performed by determining the available nodes of the grid system, analyzing their workload, performance and other parameters specified in the request, as well as selection of the most optimal nodes.

Поскольку узел M1 не в состоянии выполнить указанный запрос, он перемещает его на узел M2. Как только запрос J1 появляется на узле M2, программный сервис грид-системы, расположенный на данном узле, начинает искать наиболее подходящий узел для выполнения данного запроса. Ему известен список доступных узлов, их состояние и тип ресурсов, которые они могут предоставить. Узел M3 находится в состоянии 'готов' и имеет необходимые для выполнения запроса J1 ресурсы ('пользовательские данные').Since the node M 1 is not able to fulfill the specified request, it moves it to the node M 2 . As soon as the request J 1 appears on the node M 2 , the software service of the grid system located on this node begins to search for the most suitable node to fulfill this request. He knows the list of available nodes, their status, and the type of resources that they can provide. Node M 3 is in the ready state and has the resources ('user data') necessary to execute request J 1 .

На следующем этапе выполняется фиксация предоставленных прав доступа на выбранных узлах грид-системы. Узел M2 проверяет, выполняются ли требования правил разграничения доступа. Он последовательно просматривает правила и находит правило №1 (в соответствии с набором правил, представленном выше), которое позволяет учетной записи пользователя U1 хранить свои данные на узле М3. Поэтому запрос J1 перемещается на узел M3.At the next stage, the granted access rights are fixed on the selected nodes of the grid system. The node M 2 checks whether the requirements of the rules of access control are met. He sequentially looks through the rules and finds rule No. 1 (in accordance with the set of rules presented above), which allows the user account U 1 to store his data on the node M 3 . Therefore, the query J 1 moves to the node M 3 .

Далее в грид-системе появляется запрос J2 с типом Т={'вычислительные_ресурсы', U2}. Это означает, что запрос J2 инициирован учетной записью пользователя U5 на узле M5. Данный запрос попадает на узел M6. Поскольку нет ни одного узла, имеющего подходящий тип предоставляемых ресурсов и непосредственно подключенного к узлу М6, последний перемещает запрос на узел М2.Then in the grid-system the query J 2 appears with the type T = {'computational resources', U 2 }. This means that the request J 2 is initiated by the user account U 5 on the node M 5 . This request goes to node M 6 . Since there is no node that has the appropriate type of resources provided and is directly connected to node M 6 , the latter moves the request to node M 2 .

Далее, несмотря на то что узел М3 является наиболее подходящим узлом грид-системы для обработки указанного запроса, он не выбирается для данного вычислительного процесса. Это объясняется тем, что описываемый способ учитывает предоставленные права доступа на узле M3, согласно которым учетная запись пользователя U1 уже имеет доступ к узлу M3. Выполняя сопоставление запрашиваемых учетной записью пользователя U5 прав доступа с уже предоставленными правами доступа на узле M3, определяется идентификатор узла грид-системы, на котором авторизована учетная запись пользователя U1. Данный идентификатор принимает значение M1. Затем из правил разграничения доступа последовательно извлекаются записи и значения поля "объект доступа" сравнивается с полученным идентификатором, в результате чего согласно записи №6 правил разграничения доступа множество разрешенных прав доступа для учетной записи пользователя U5 равняется пустому множеству. Поскольку множество запрашиваемых учетной записью пользователя U5 прав доступа отлично от пустого, узел M3 не является легитимным.Further, despite the fact that the node M 3 is the most suitable node of the grid system for processing the specified request, it is not selected for this computational process. This is because the described method takes into account the granted access rights on the node M 3 , according to which the user account U 1 already has access to the node M 3 . By comparing the access rights requested by the U 5 user account with the already granted access rights on the M 3 node, the identifier of the grid system node on which the U 1 user account is authorized is determined. This identifier takes the value M 1 . Then, the entries are sequentially extracted from the access control rules and the values of the “access object” field are compared with the identifier obtained, as a result of which, according to entry No. 6 of the access control rules, the set of allowed access rights for user account U 5 is equal to the empty set. Since the set of access rights requested by the U 5 user account is different from the empty one, the M 3 node is not legitimate.

Поэтому в результате фильтрации запроса в пределах выбранных узлов грид-системы запрос J2 перемещается на узел М4, который также является свободным, имеет подходящий тип и не содержит предоставленных прав доступа, препятствующих перемещению указанного запроса на данный узел грид-системы.Therefore, as a result of filtering the request within the selected nodes of the grid system, the request J 2 moves to the node M 4 , which is also free, has a suitable type and does not contain the granted access rights that impede the movement of the specified request to this node of the grid system.

В результате программный сервис грид-системы, расположенный на узле М4, запускает процесс от имени локальной учетной записи пользователя и передает ей множество запрошенных ресурсов. Перемещение запросов, инициированных вычислительными процессами от имени учетных записей пользователей, обеспечивающее защиту информационных и вычислительных ресурсов грид-системы в ходе выполнения процедуры проверки прав доступа учетных записей пользователей в грид-системе в соответствии с предлагаемым способом, показано на фиг.3 стрелками.As a result, the grid system software service located on node M 4 starts the process on behalf of the local user account and transfers many requested resources to it. The movement of requests initiated by computing processes on behalf of user accounts, which ensures the protection of information and computing resources of the grid system during the procedure for checking the access rights of user accounts in the grid system in accordance with the proposed method, is shown in Fig. 3 by arrows.

Применение данного изобретения в существующих реализациях грид-систем позволит обеспечить защиту информационных и вычислительных ресурсов грид-систем от несанкционированного доступа, а также сократить временные и экономические затраты на поддержание надежного функционирования грид-систем за счет сокращения времени простоя оборудования, вызванного его отказом вследствие осуществления компьютерных атак на ресурсы грид-систем. Применение предлагаемой в изобретении системы позволит автоматизировать процедуру анализа безопасности, придать ей объективный характер и тем самым обеспечивать высокий уровень надежности и защищенности грид-систем.The application of this invention in existing implementations of grid systems will protect the information and computing resources of grid systems from unauthorized access, as well as reduce the time and economic costs of maintaining the reliable operation of grid systems by reducing the downtime of equipment caused by its failure due to computer attacks on the resources of grid systems. The use of the system proposed in the invention will automate the security analysis procedure, give it an objective character and thereby provide a high level of reliability and security of grid systems.

Claims (2)

1. Способ проверки прав доступа для учетных записей пользователей в грид-системах, заключающийся в том, что выполняют взаимную аутентификацию узлов грид-системы с учетной записью пользователя грид-системы посредством проверки их цифровых сертификатов, выполняют первичную обработку запроса, инициированного вычислительным процессом от имени учетной записи пользователя на предоставление ресурсов грид-системы, определяя доступные узлы грид-системы, анализируя их вычислительную загрузку, производительность, выбирая наиболее оптимальные узлы и формируя список узлов грид-системы, на которых допускается запустить на исполнение вычислительный процесс, последовательно перебирают узлы грид-системы из сформированного списка, запускают вычислительный процесс от имени локальной учетной записи пользователя и передают ему множество запрошенных ресурсов, отличающийся тем, что дополнительно фиксируют множество учетных записей пользователей грид-системы, авторизованных на отобранных узлах грид-системы, а также множество предоставленных им прав доступа в текущий момент времени; выполняют повторную обработку запроса, инициированного вычислительным процессом от имени учетной записи пользователя, и определяют запрашиваемые права доступа, фиксируя множество прав доступа, необходимое для работы вычислительного процесса, запущенного от имени данной учетной записи пользователя, сопоставляют запрашиваемые учетной записью пользователя грид-системы права доступа с уже предоставленными правами доступа на выбранных узлах грид-системы с учетом правил разграничения доступа, тем самым формируя множество узлов грид-системы, на которых допустимо выполнение запроса (легитимных узлов грид-системы), выполняют фильтрацию запроса на доступ к ресурсам грид-системы, поступившего от учетной записи пользователя, в пределах ранее выбранных узлов грид-системы, разрешая выполнение вычислительного процесса только на легитимных узлах грид-системы.1. A method of checking access rights for user accounts in grid systems, which consists in mutually authenticating the nodes of the grid system with the user account of the grid system by checking their digital certificates, performing initial processing of the request initiated by the computing process on behalf of user account to provide the resources of the grid system, determining the available nodes of the grid system, analyzing their computing load, performance, choosing the most optimal nodes and forming a list of nodes of the grid system on which it is allowed to run the computational process, sequentially sort the nodes of the grid system from the generated list, start the computational process on behalf of the local user account and pass him a lot of requested resources, characterized in that they additionally fix many user accounts of the grid system authorized at the selected nodes of the grid system, as well as many access rights granted to them at the current time ; re-processing the request initiated by the computing process on behalf of the user account, and determining the requested access rights, fixing the set of access rights necessary for the computing process running on behalf of this user account, matching the access rights requested by the user account of the grid system with already granted access rights on the selected nodes of the grid system, taking into account the rules of access control, thereby forming many nodes of the grid system topics on which the query is allowed (legitimate nodes of the grid system) filter the request for access to the resources of the grid system received from the user account within the previously selected nodes of the grid system, allowing the computational process to be performed only on legitimate nodes of the grid -systems. 2. Система для осуществления способа по п.1, содержащая модуль аутентификации учетных записей пользователей, выполняющий проверку их цифровых сертификатов при попытке получения доступа к информационным и вычислительным ресурсам грид-системы, модуль распределения запросов, выполняющий поиск подходящих узлов грид-системы для их выполнения и заполняющий базу данных, содержащую множество подходящих узлов грид-системы, отличающаяся тем, что дополнительно содержит модуль фиксации предоставленных учетным записям пользователей грид-системы прав доступа на выбранных узлах грид-системы, заполняющий базу данных, содержащую множество авторизованных учетных записей пользователей грид-системы, а также множество предоставленных им прав доступа, модуль проверки прав доступа, выполняющий сопоставление запрашиваемых учетной записью пользователя грид-системы прав доступа с уже предоставленными правами доступа на выбранных узлах грид-системы с учетом правил разграничения доступа, и формирующий множество легитимных узлов, модуль фильтрации запросов, последовательно перебирающий узлы грид-системы из сформированного списка и разрешающий выполнение запроса на легитимных узлах грид-системы, при этом модуль аутентификации учетных записей пользователей связан с модулем распределения запросов, который связан с модулем проверки прав доступа, модуль фиксации предоставленных учетным записям пользователей грид-системы прав доступа связан с модулем проверки прав доступа, который связан с модулем фильтрации запросов. 2. The system for implementing the method according to claim 1, comprising a user account authentication module that verifies their digital certificates when trying to access information and computing resources of the grid system, a request distribution module that searches for suitable nodes of the grid system for their implementation and filling in a database containing many suitable nodes of the grid system, characterized in that it further comprises a module for fixing provided to user accounts of the grid system access rights on the selected nodes of the grid system, filling in a database containing many authorized user accounts of the grid system, as well as many access rights granted to them, an access control module that compares the permissions requested by the user account of the grid system with those already granted access rights on the selected nodes of the grid system, taking into account the rules of access control, and forming a set of legitimate nodes, the query filtering module, sequentially sorting nodes of the grid system from the generated list and allowing the request to be executed on the legitimate nodes of the grid system, while the user account authentication module is connected to the request distribution module, which is associated with the access control module, the fixation module of the access rights granted to user accounts of the grid system associated with the access control module, which is associated with the request filtering module.
RU2013135959/08A 2013-07-30 2013-07-30 Method of authentication of user accounts in grid systems and system for its implementation RU2536678C1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
RU2013135959/08A RU2536678C1 (en) 2013-07-30 2013-07-30 Method of authentication of user accounts in grid systems and system for its implementation

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
RU2013135959/08A RU2536678C1 (en) 2013-07-30 2013-07-30 Method of authentication of user accounts in grid systems and system for its implementation

Publications (1)

Publication Number Publication Date
RU2536678C1 true RU2536678C1 (en) 2014-12-27

Family

ID=53287417

Family Applications (1)

Application Number Title Priority Date Filing Date
RU2013135959/08A RU2536678C1 (en) 2013-07-30 2013-07-30 Method of authentication of user accounts in grid systems and system for its implementation

Country Status (1)

Country Link
RU (1) RU2536678C1 (en)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
RU2634184C2 (en) * 2016-03-28 2017-10-24 федеральное государственное автономное образовательное учреждение высшего образования "Санкт-Петербургский политехнический университет Петра Великого" (ФГАОУ ВО "СПбПУ") Verification method of the user tasks safe distribution according to the grid system units
RU2638005C1 (en) * 2016-07-04 2017-12-08 федеральное государственное автономное образовательное учреждение высшего образования "Санкт-Петербургский политехнический университет Петра Великого" (ФГАОУ ВО "СПбПУ") Method for predicting safety in achievable states of grid systems
RU2787851C1 (en) * 2018-12-26 2023-01-13 Сюньтэн (Гуандун) Текнолоджи Ко., Лтд. Method for personal identification based on dynamic rasterization and device and server for its implementation

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
RU2360368C2 (en) * 2003-08-28 2009-06-27 Майкрософт Корпорейшн Delegated management of distributed resources
RU128367U1 (en) * 2012-08-21 2013-05-20 Российская Федерация, от имени которой выступает Министерство связи и массовых коммуникаций Российской Федерации GRID NETWORK INFORMATION SECURITY SYSTEM WHEN DISTRIBUTING ITS RESOURCES BETWEEN DIFFERENT USERS

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
RU2360368C2 (en) * 2003-08-28 2009-06-27 Майкрософт Корпорейшн Delegated management of distributed resources
RU128367U1 (en) * 2012-08-21 2013-05-20 Российская Федерация, от имени которой выступает Министерство связи и массовых коммуникаций Российской Федерации GRID NETWORK INFORMATION SECURITY SYSTEM WHEN DISTRIBUTING ITS RESOURCES BETWEEN DIFFERENT USERS

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
RU2634184C2 (en) * 2016-03-28 2017-10-24 федеральное государственное автономное образовательное учреждение высшего образования "Санкт-Петербургский политехнический университет Петра Великого" (ФГАОУ ВО "СПбПУ") Verification method of the user tasks safe distribution according to the grid system units
RU2638005C1 (en) * 2016-07-04 2017-12-08 федеральное государственное автономное образовательное учреждение высшего образования "Санкт-Петербургский политехнический университет Петра Великого" (ФГАОУ ВО "СПбПУ") Method for predicting safety in achievable states of grid systems
RU2787851C1 (en) * 2018-12-26 2023-01-13 Сюньтэн (Гуандун) Текнолоджи Ко., Лтд. Method for personal identification based on dynamic rasterization and device and server for its implementation

Similar Documents

Publication Publication Date Title
CN111698228B (en) System access authority granting method, device, server and storage medium
AU2018374912B2 (en) Model training system and method, and storage medium
US10055561B2 (en) Identity risk score generation and implementation
KR102236341B1 (en) System and method for blockchain-based data management
US8590030B1 (en) Credential seed provisioning system
JP4548758B2 (en) Portable information processing device with shared access management function
JP6438534B2 (en) System and method for performing secure online banking transactions
CN111274046A (en) Service call validity detection method and device, computer equipment and computer storage medium
CN114297708A (en) Access control method, apparatus, device and storage medium
US11956228B2 (en) Method and apparatus for securely managing computer process access to network resources through delegated system credentials
CN110659418A (en) Content searching method and device, storage medium and computing equipment
CN116415217A (en) Instant authorization system based on zero trust architecture
WO2015156788A1 (en) Identifying suspicious activity in a load test
CN120257250A (en) Distributed access control method, system and device based on multi-factor authentication
RU2536678C1 (en) Method of authentication of user accounts in grid systems and system for its implementation
CN113194088B (en) Access interception method, device, log server and computer readable storage medium
CN116506206B (en) Big data behavior analysis method and system based on zero trust network user
CN117499122A (en) Data access method, system, electronic device, storage medium and program product
CN112733165B (en) File access control method, device and medium
CN112153130B (en) A method and device for accessing business resources
CN116975805A (en) Data processing method, device, equipment, storage medium and product
CN110717153B (en) Authority verification method and device
JP3594075B2 (en) User authentication method and device
CN116346488B (en) Unauthorized access detection method and device
RU2565529C2 (en) Method of providing access to objects in operating system

Legal Events

Date Code Title Description
MM4A The patent is invalid due to non-payment of fees

Effective date: 20160731

NF4A Reinstatement of patent

Effective date: 20170503

MM4A The patent is invalid due to non-payment of fees

Effective date: 20210731

NF4A Reinstatement of patent

Effective date: 20220425