RU2580815C2 - Method for centralised control of access of control systems to active network equipment in distributed computer systems and system therefor - Google Patents

Method for centralised control of access of control systems to active network equipment in distributed computer systems and system therefor Download PDF

Info

Publication number
RU2580815C2
RU2580815C2 RU2013158736/08A RU2013158736A RU2580815C2 RU 2580815 C2 RU2580815 C2 RU 2580815C2 RU 2013158736/08 A RU2013158736/08 A RU 2013158736/08A RU 2013158736 A RU2013158736 A RU 2013158736A RU 2580815 C2 RU2580815 C2 RU 2580815C2
Authority
RU
Russia
Prior art keywords
network equipment
active network
access
user accounts
credentials
Prior art date
Application number
RU2013158736/08A
Other languages
Russian (ru)
Other versions
RU2013158736A (en
Inventor
Артем Станиславович Коноплев
Максим Олегович Калинин
Дмитрий Петрович Зегжда
Original Assignee
Общество с ограниченной ответственностью "НеоБИТ"
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Общество с ограниченной ответственностью "НеоБИТ" filed Critical Общество с ограниченной ответственностью "НеоБИТ"
Priority to RU2013158736/08A priority Critical patent/RU2580815C2/en
Publication of RU2013158736A publication Critical patent/RU2013158736A/en
Application granted granted Critical
Publication of RU2580815C2 publication Critical patent/RU2580815C2/en

Links

Images

Abstract

FIELD: physics, computer engineering.
SUBSTANCE: invention relates to information security. A method for centralised control of access of control systems to active network equipment in distributed computer systems, the method comprising authorising user accounts; retrieving discretionary access rights of user accounts that have successfully undergone the authorisation procedure; comparing discretionary access rights requested by authorised user accounts with previously retrieved user accounts; retrieving mandatory labels of user accounts and the active network equipment; comparing the mandatory labels of user accounts and the active network equipment; authorising security manager accounts; generating an enable or disable signal for changing security parameters of the distributed computer system.
EFFECT: improved security of active network equipment.
3 cl, 2 dwg

Description

Изобретение относится к вычислительной технике, а именно к информационным вычислительным системам и сетям, и может быть использовано для обеспечения конфиденциальности данных, обрабатываемых в таких системах, в частности в распределенных вычислительных системах.The invention relates to computer technology, namely to information computer systems and networks, and can be used to ensure the confidentiality of data processed in such systems, in particular in distributed computing systems.

Актуальность централизованного контроля доступа систем управления к активному сетевому оборудованию в распределенных вычислительных системах определяется необходимостью автоматизации процесса управления активным сетевым оборудованием в распределенных вычислительных системах и обеспечения конфиденциальности данных, обрабатываемых в таких системах, путем разграничения доступа систем управления, передачу сигналов от которых инициируют учетные записи пользователей и администраторов безопасности, к активному сетевому оборудованию.The relevance of centralized control of access of control systems to active network equipment in distributed computing systems is determined by the need to automate the process of controlling active network equipment in distributed computing systems and to ensure the confidentiality of data processed in such systems by restricting access to control systems, the transmission of signals from which are initiated by user accounts and security administrators, to an active network equipped th.

Под системой управления понимается совокупность аппаратных (технических) и программных средств, предназначенных для поддержания или улучшения работы объекта управления [Воройский Ф.С. Информатика. Энциклопедический словарь-справочник: введение в современные информационные и телекоммуникационные технологии в терминах и фактах. - М.: ФИЗМАТЛИТ, 2006. - 768 с.]. Современные распределенные вычислительные системы строятся на базе большого числа активного сетевого оборудования - коммутаторов, маршрутизаторов, сетевых шлюзов и серверов. Распределенный характер крупных вычислительных систем и наличие большого количества различных сетевых устройств чрезвычайно затрудняет управление ими вручную. Поэтому система управления активным сетевым оборудованием представляет собой программно-аппаратный комплекс, выполняющий функции мониторинга, управления и обработки ошибок, возникающих в процессе такого управления.Under the control system refers to a combination of hardware (hardware) and software designed to maintain or improve the operation of the control object [F. Voroisky Informatics. Encyclopedic dictionary-reference: introduction to modern information and telecommunication technologies in terms and facts. - M .: FIZMATLIT, 2006. - 768 p.]. Modern distributed computing systems are built on the basis of a large number of active network equipment - switches, routers, network gateways and servers. The distributed nature of large computing systems and the presence of a large number of different network devices makes it extremely difficult to manage them manually. Therefore, the control system for active network equipment is a hardware-software complex that performs the functions of monitoring, control and error handling that arise during such management.

Известен способ централизованного контроля доступа, реализующий дискреционный механизм контроля доступом, заключающийся в том, что права доступа к объектам администратором назначаются субъектам доступа, и при запросе доступа субъекта к объекту, с целью анализа его санкционированности, права на доступ к объекту запрашиваются по имени субъекта, которым запрашивается доступ, разграничение доступа субъекта при формировании прав доступа к объектам задается одной из двух политик разграничения доступа субъекта - разрешительной (основная политика) и запретительной, формируемыми определенным образом [Способ задания и обработки прав доступа дискреционным механизмом управления доступом к ресурсам / Щеглов А.Ю. Заявка: 2004108526/09, 22.03.2004. Дата публикации заявки: 27.09.2005].A known method of centralized access control that implements a discretionary access control mechanism is that the administrator assigns access rights to objects to access subjects, and when a subject requests access to an object, in order to analyze its authorization, access rights to an object are requested by the subject’s name, by which access is requested, the access control of the subject in the formation of access rights to objects is set by one of the two policies of access control of the subject - permissive (the main Litika) and prohibitive, formed in a certain way [The way to set and process access rights by a discretionary mechanism for controlling access to resources / A. Scheglov. Application: 2004108526/09, 03/22/2004. Application publication date: 09/27/2005].

Недостатком данного технического решения является отсутствие контроля потоков данных между субъектами и объектами доступа, который реализуется посредством мандатного механизма контроля доступа. Это дает возможность нарушителю осуществлять атаки на защищаемую систему путем внедрения в ее состав вредоносных программ, что приводит к нарушению безопасности контролируемого активного сетевого оборудования.The disadvantage of this technical solution is the lack of control of data flows between subjects and access objects, which is implemented through a mandatory access control mechanism. This allows the attacker to carry out attacks on the protected system by introducing malware into its structure, which leads to a violation of the security of the controlled active network equipment.

Известен способ централизованного контроля доступа, реализующий мандатный механизм контроля доступом, заключающийся в том, чтоA known method of centralized access control that implements a mandatory access control mechanism, which consists in the fact that

разграничение доступа к включаемому объекту по записи и по чтению осуществляется на основании заданных разграничений для всех включающих (данный объект) объектов в уровне иерархии,differentiation of access to the included object by writing and reading is carried out on the basis of the specified differentiations for all inclusive (this object) objects in the hierarchy level,

запрашиваемый доступ к включаемому объекту разрешается только в том случае, если он разрешается включаемым (к которому запрашивается доступ) всеми включающими его объектами иерархии,the requested access to the included object is allowed only if it is allowed to be included (to which access is requested) by all objects of the hierarchy including it,

разметка объектов состоит в том, что включающему объекту присваивается метка безопасности, превышающая (имеющая меньшую категорию) метки безопасности всех включаемых в него объектов,the markup of objects consists in the fact that the enclosing object is assigned a security label that exceeds (having a smaller category) security labels of all objects included in it,

если метки включаемых объектов совпадают с метками, присвоенными пользователям, в противном случае включающему объекту присваивается метка безопасности, совпадающая (имеющая ту же категорию) с большей меткой безопасности включаемых в него объектов, при этом метки безопасности одного уровня иерархии (включаемые в один объект) могут различаться [Способ обработки и назначения меток безопасности мандатным (полномочным) механизмом разграничения прав доступа к иерархическим объектам / Щеглов А.Ю. Заявка: 2004108590/09, 22.03.2004. Дата публикации заявки: 27.09.2005].if the labels of included objects coincide with the labels assigned to users, otherwise, the inclusion object is assigned a security label that matches (having the same category) with a larger security label of objects included in it, while security labels of the same hierarchy level (included in one object) can to differ [A method for processing and assigning security labels by a mandatory (authoritative) mechanism for delimiting access rights to hierarchical objects / Shcheglov A.Yu. Application: 2004108590/09, 03/22/2004. Application publication date: 09/27/2005].

Недостатком данного технического решения является отсутствие дискреционного контроля доступа учетных записей пользователей, что не позволяет задавать правила доступа для каждого объекта и субъекта доступа и тем самым затрудняет администрирование такой системы.The disadvantage of this technical solution is the lack of discretionary access control of user accounts, which does not allow you to set access rules for each object and subject of access and thereby complicates the administration of such a system.

Наиболее близким техническим решением является способ, использующий централизованный механизм контроля доступа и заключающийся вThe closest technical solution is a method that uses a centralized access control mechanism and consists in

авторизации учетных записей пользователей путем предоставления сигналов, соответствующих учетным данных (имени и паролю) пользователей, и их сопоставления с хранящимися эталонными значениями соответствующих сигналов;authorization of user accounts by providing signals corresponding to the user credentials (name and password) of users, and their comparison with the stored reference values of the corresponding signals;

извлечении дискреционных прав доступа учетных записей пользователей, успешно прошедших процедуру авторизации;extracting discretionary access rights of user accounts that have successfully passed the authorization procedure;

сравнении дискреционных прав доступа и запрашиваемых параметров доступа для учетных записей пользователей;comparing discretionary access rights and requested access settings for user accounts;

задании администратором безопасности дискреционных прав доступа для учетных записей пользователей. Система для реализации данного способа содержит блок авторизации пользователя, блок разграничения прав доступа, блок хранения прав доступа [Хиллей В. Секреты Windows NT Server 4.0. - К. Диалектика, 1997, с.14-15].Defining discretionary access rights for user accounts by the security administrator. The system for implementing this method includes a user authorization block, a block for differentiating access rights, a block for storing access rights [Hillay V. Secrets of Windows NT Server 4.0. - K. Dialectics, 1997, p.14-15].

Недостатком известного технического решения является отсутствие механизма контроля за сигналами от учетных записей администраторов безопасности в условиях применения данного технического решения для контроля доступа к активному сетевому оборудованию в распределенной вычислительной системе. Это позволяет учетным записям администраторов безопасности получать неограниченный сетевой доступ к активному сетевому оборудованию, что приводит к нарушениям безопасности, вызванным действиями нарушителей.A disadvantage of the known technical solution is the lack of a mechanism for monitoring signals from the accounts of security administrators in the application of this technical solution to control access to active network equipment in a distributed computing system. This allows security administrator accounts to gain unlimited network access to active network equipment, which leads to security breaches caused by intruders.

Задача изобретения заключается в создании способа и системы контроля доступа систем управления к активному сетевому оборудованию в распределенных вычислительных системах, обладающих свойствами защищенности от внутреннего нарушителя.The objective of the invention is to create a method and system for controlling access of control systems to active network equipment in distributed computing systems with security features from an internal intruder.

Техническим результатом предлагаемого решения является повышение защищенности активного сетевого оборудования за счет реализации механизма контроля за сигналами, поступающими от систем управления активным сетевым оборудованием, передачу которых инициируют учетные записи администраторов безопасности, в распределенных вычислительных системах и сокращение временных и ресурсных затрат на восстановление работоспособности распределенных вычислительных систем после сбоев, вызванных сетевым доступом нарушителей безопасности, за счет использования механизмов дискреционного и мандатного контроля доступа систем управления к активному сетевому оборудованию.The technical result of the proposed solution is to increase the security of active network equipment through the implementation of a mechanism for monitoring signals from active network equipment control systems, the transmission of which is initiated by the accounts of security administrators in distributed computing systems and reducing the time and resource costs of restoring the performance of distributed computing systems after failures caused by network access of security violators, due to use of mechanisms of discretionary and mandatory access control of control systems to active network equipment.

Решение поставленной технической задачи обеспечивается тем, что в способе централизованного контроля доступа систем управления к активному сетевому оборудованию в распределенных вычислительных системахThe solution of the technical problem is provided by the fact that in the method of centralized access control of control systems to active network equipment in distributed computing systems

авторизуют учетные записи пользователей путем предоставления сигналов, соответствующих учетным данным (имени и паролю), от систем управления активным сетевым оборудованием и их сопоставления с хранящимися эталонными значениями соответствующих сигналов;authorize user accounts by providing signals corresponding to the credentials (name and password) from active network equipment control systems and comparing them with the stored reference values of the corresponding signals;

извлекают дискреционные права доступа учетных записей пользователей, успешно прошедших процедуру авторизации;extract discretionary access rights of user accounts that have successfully passed the authorization procedure;

проводят сравнение дискреционных прав доступа, запрашиваемых авторизованными учетными записями пользователей, с ранее извлеченными;compare discretionary access rights requested by authorized user accounts with previously extracted ones;

извлекают мандатные метки учетных записей пользователей и активного сетевого оборудования, доступ к которому запрашивается;retrieving credentials for user accounts and active network equipment access is requested;

проводят сравнение мандатных меток учетных записей пользователей и активного сетевого оборудования, доступ к которому запрашивается;comparing the credentials of user accounts and active network equipment, access to which is requested;

авторизуют учетные записи администраторов безопасности при поступлении сигнала от системы управления активным сетевым оборудованием, содержащего запрос на изменение дискреционных прав доступа и/или мандатных меток учетных записей пользователей и активного сетевого оборудования, путем предоставления сигналов, соответствующих учетным данным (имени и паролю), от систем управления активным сетевым оборудованием и их сопоставления с хранящимися эталонными значениями соответствующих сигналов;authorize the accounts of security administrators upon receipt of a signal from the control system of active network equipment containing a request to change discretionary access rights and / or credentials of user accounts and active network equipment by providing signals corresponding to the credentials (name and password) from systems management of active network equipment and their comparison with the stored reference values of the corresponding signals;

вырабатывают сигнал разрешения или запрета на изменение параметров безопасности распределенной вычислительной системы.generate a signal of permission or prohibition to change the security settings of a distributed computing system.

Система для реализации данного способа включает блок авторизации пользователя; блок разграничения прав доступа; блок хранения прав доступа; блок хранения мандатных меток; блок авторизации администраторов безопасности, при этом выход блока авторизации пользователя соединен с входом блока разграничения прав доступа, выход блока авторизации администраторов безопасности соединен с соответствующими входами блока хранения прав доступа и блока хранения мандатных меток, выходы которых соединены соответственно с входами дискреционных прав доступа и мандатных меток блока разграничения прав доступа.The system for implementing this method includes a user authorization block; block of access rights differentiation; access rights storage unit; storage unit credentials; security administrators authorization unit, while the output of the user authorization unit is connected to the input of the access rights delimiting unit, the output of the security administrators authorization unit is connected to the corresponding inputs of the access rights storage unit and the credential storage unit, the outputs of which are connected respectively to the inputs of discretionary access rights and credential labels block differentiation of access rights.

Новые существенные признаки системы: наличие блока хранения мандатных меток, блока авторизации администраторов безопасности.New significant features of the system: the presence of a storage unit for credentials, a security administrators authorization unit.

Новые существенные признаки способа:New significant features of the method:

извлекают мандатные метки учетных записей пользователей и активного сетевого оборудования, доступ к которому запрашивается;retrieving credentials for user accounts and active network equipment access is requested;

проводят сравнение мандатных меток учетных записей пользователей и активного сетевого оборудования, доступ к которому запрашивается;comparing the credentials of user accounts and active network equipment, access to which is requested;

авторизуют учетные записи администраторов безопасности при поступлении сигнала от системы управления активным сетевым оборудованием, содержащего запрос на изменение дискреционных прав доступа и/или мандатных меток учетных записей пользователей и активного сетевого оборудования, путем предоставления сигналов, соответствующих учетным данным (имени и паролю), от систем управления активным сетевым оборудованием и их сопоставления с хранящимися эталонными значениями соответствующих сигналов.authorize the accounts of security administrators upon receipt of a signal from the control system of active network equipment containing a request to change discretionary access rights and / or credentials of user accounts and active network equipment by providing signals corresponding to the credentials (name and password) from systems management of active network equipment and their comparison with the stored reference values of the corresponding signals.

вырабатывают сигнал разрешения или запрета на изменение параметров безопасности распределенной вычислительной системы.generate a signal of permission or prohibition to change the security settings of a distributed computing system.

Перечисленные новые существенные признаки способа и системы для его реализации в совокупности с известными позволяют получить технический результат во всех случаях, на которые распространяется испрашиваемый объем правовой охраны.The listed new essential features of the method and system for its implementation in conjunction with the known ones allow to obtain a technical result in all cases to which the requested amount of legal protection applies.

Предлагаемый способ и устройство для его осуществления образуют единый изобретательский замысел, суть которого заключается в дополнительно введенной проверке мандатных прав доступа учетных записей пользователей к контролируемому активному сетевому оборудованию, заданных мандатными метками, и раздельной авторизации учетных записей пользователей и администраторов безопасности.The proposed method and device for its implementation form a single inventive concept, the essence of which lies in the additionally introduced verification of credentials of user accounts access to controlled active network equipment specified by credentials, and separate authorization of user accounts and security administrators.

Возможность использования предлагаемого способа и системы в распределенных вычислительных системах, известность средств и методов, с помощью которых возможно осуществление изобретения в описанном виде, позволяет сделать вывод о его соответствии критерию «промышленная применимость».The possibility of using the proposed method and system in distributed computing systems, the popularity of the means and methods by which it is possible to implement the invention in the described form, allows us to conclude that it meets the criterion of "industrial applicability".

Анализ уровня техники не выявил технического решения, которому присущи все признаки изобретения, выраженного формулой, что свидетельствует о соответствии предлагаемого технического решения критерию «новизна».The analysis of the prior art did not reveal a technical solution, which is characterized by all the features of the invention, expressed by the formula, which indicates that the proposed technical solution meets the criterion of "novelty."

Централизованное совмещение дискреционного и мандатного контроля доступа известно. Однако предлагаемое техническое решение обеспечивает дополнительно контроль за действиями учетных записей пользователей, являющимися администраторами безопасности, тем самым исключая возможность осуществления атак на систему путем осуществления сетевого доступа со стороны внутренних нарушителей, имеющих учетные записи администраторов безопасности. Использование данного подхода, основанного на разделении полномочий учетных записей на уровне задач управления активным сетевым оборудованием и администрирования безопасности распределенных вычислительных систем, не известно из уровня техники. Предлагаемое изобретение соответствует условию изобретательского уровня, т.к. основано на дополнении известного технического решения блоками авторизации администраторов безопасности и хранения мандатных меток, при этом достигается заявленный технический результат, обусловленный взаимосвязью дополнительных и известных действий, производимых над материальными объектами в способе и совокупностью дополнительно введенных блоков и соответствующих функциональных связей в системе.The centralized combination of discretionary and mandatory access control is well known. However, the proposed technical solution provides additional control over the actions of user accounts that are security administrators, thereby eliminating the possibility of attacks on the system by network access from internal violators with security administrator accounts. The use of this approach, based on the separation of authority between accounts at the level of managing active network equipment and administering the security of distributed computing systems, is not known from the prior art. The present invention meets the condition of an inventive step, because based on the addition of a well-known technical solution to the security administrators authorization blocks and storage of credentials, the claimed technical result is achieved due to the relationship of additional and known actions performed on tangible objects in the method and the totality of additionally entered blocks and the corresponding functional connections in the system.

Изобретение поясняется с помощью фиг.1, 2. На фиг.1 представлена схема способа централизованного контроля доступа учетных записей пользователей к активному сетевому оборудованию в распределенных вычислительных системах. На фиг.2 показана модульная схема системы, реализующей данный способ.The invention is illustrated using figures 1, 2. Figure 1 shows a diagram of a method for centralized access control of user accounts to active network equipment in distributed computing systems. Figure 2 shows a modular diagram of a system that implements this method.

Способ реализуют следующим образом. При поступлении сигнала от системы управления, содержащего запрос доступа к контролируемому активному сетевому оборудованию, выполняют авторизацию учетной записи пользователя, инициировавшего данный запрос, путем сопоставления предоставленных пользователем учетных данных (имя и пароль) с хранящимися эталонными значениями.The method is implemented as follows. Upon receipt of a signal from the control system containing a request for access to the controlled active network equipment, the user account that initiated the request is authorized by matching the credentials provided by the user (name and password) with the stored reference values.

Если предоставленные пользователем учетные данные совпадают с хранящимися эталонными значениями, из блока хранения прав доступа, в котором хранятся дискреционные права доступа учетных записей пользователей, извлекают дискреционные права доступа данной учетной записи пользователя, успешно прошедшей процедуру авторизации, к активному сетевому оборудованию, доступ к которому был запрошен.If the credentials provided by the user coincide with the stored reference values, the discretionary access rights of the user account that successfully passed the authorization procedure to the active network equipment that was accessed are retrieved from the access rights storage unit in which the discretionary access rights of user accounts are stored requested.

Затем сравнивают запрашиваемые дискреционные права доступа и заданные для данной учетной записи пользователя дискреционные права доступа из следующего множества дискреционных прав доступа: подключение к контролируемому активному сетевому оборудованию по сетевому протоколу Telnet, SSH, FTP или SFTP, сканирование сетевых портов контролируемого активного сетевого оборудования, выполнение контроля целостности активного сетевого оборудования.Then, the requested discretionary access rights and the discretionary access rights set for this user account are compared from the following set of discretionary access rights: connection to the controlled active network equipment via the Telnet, SSH, FTP or SFTP network protocol, scanning of network ports of the controlled active network equipment, monitoring integrity of active network equipment.

Если заданные для данной учетной записи пользователя дискреционные права доступа непротиворечивы с запрашиваемыми, извлекают мандатные метки учетной записи пользователя и активного сетевого оборудования, доступ к которому запрашивается, которые состоят из уровня безопасности, представляющего собой натуральное число, и неупорядоченного множества категорий, каждый элемент которого представляет собой некоторое слово.If the discretionary access rights set for this user account are consistent with those requested, extract the credentials of the user account and the active network equipment that is being accessed, which consist of a security level representing a natural number and an unordered set of categories, each element of which represents a word.

Затем сравнивают мандатную метку активного сетевого оборудования с мандатной меткой учетной записи пользователя путем сравнения уровней безопасности активного сетевого оборудования и данной учетной записи пользователя, а также сопоставления множеств категорий активного сетевого оборудования и данной учетной записи пользователя. Сравнение уровней безопасности выполняют по привалам сравнения целых чисел. Сравнение множеств категорий выполняют по правилам сравнения множеств.Then, the credential label of the active network equipment is compared with the credential label of the user account by comparing the security levels of the active network equipment and this user account, as well as comparing the sets of categories of active network equipment and this user account. Comparison of security levels is performed on the halves of the comparison of integers. Comparison of sets of categories is performed according to the rules of comparison of sets.

Если уровень безопасности учетной записи пользователя больше или равен уровню безопасности активного сетевого оборудования, а множество категорий учетной записи пользователя включает в себя множество категорий активного сетевого оборудования, вырабатывается сигнал разрешения доступа к активному сетевому оборудованию. В противном случае вырабатывается сигнал отказа в доступе к активному сетевому оборудованию.If the security level of the user account is greater than or equal to the security level of the active network equipment, and the many categories of the user account include many categories of active network equipment, an access permission signal is generated for the active network equipment. Otherwise, a denial of access to active network equipment is generated.

При поступлении сигнала от системы управления активным сетевым оборудованием, содержащего запрос на изменение дискреционных прав доступа и/или мандатных меток учетных записей пользователей и активного сетевого оборудования, авторизуют учетную запись администратора безопасности, путем предоставления сигналов, соответствующих учетным данным (имени и паролю), от системы управления активным сетевым оборудованием и их сопоставления с хранящимися эталонными значениями соответствующих сигналов.Upon receipt of a signal from the active network equipment management system containing a request to change discretionary access rights and / or credentials of user accounts and active network equipment, the security administrator account is authorized by providing signals corresponding to the credentials (name and password) from control systems for active network equipment and their comparison with the stored reference values of the corresponding signals.

Если предоставленные учетные данные совпадают с хранящимися эталонными значениями, вырабатывается сигнал разрешения на изменение параметров безопасности, позволяющий задать или изменить существующие дискреционные права доступа для учетных записей пользователей или мандатные метки учетных записей пользователей и активного сетевого оборудования. Если предоставленные учетные данные не совпадают с хранящимися эталонными значениями, вырабатывается сигнал запрета на изменение параметров безопасности распределенной вычислительной системы.If the provided credentials match the stored reference values, a permission signal is generated to change the security settings, allowing you to set or change existing discretionary access rights for user accounts or credential labels for user accounts and active network equipment. If the provided credentials do not match the stored reference values, a prohibition signal is generated to change the security settings of the distributed computing system.

Для автоматизации способа централизованного контроля доступа систем управления к активному сетевому оборудованию в распределенных вычислительных системах применяют систему (фиг.2), которая состоит из блока авторизации пользователя (1), блока разграничения прав доступа (2), блока хранения прав доступа (3), блока хранения мандатных меток (4), блока авторизации администраторов безопасности (5).To automate the method of centralized control of access of control systems to active network equipment in distributed computing systems, a system is used (Fig. 2), which consists of a user authorization unit (1), an access rights delimitation unit (2), an access rights storage unit (3), a storage unit for credentials (4), a block for authorization of security administrators (5).

Система функционирует следующим образом. При поступлении сигнала от системы управления, содержащего запрос доступа к контролируемому активному сетевому оборудованию, выполняется авторизация учетной записи пользователя, которая осуществляется блоком авторизации пользователя, параметры авторизации - имя и пароль пользователя блок авторизации извлекает из своей локальной базы данных. Указанные в запросе учетные данные сравниваются с учетными данными, извлеченными из базы данных. В случае их совпадения запрашиваемые параметры доступа передаются в блок разграничения прав доступа. Далее вместе со сравнением дискреционных прав доступа учетных записей пользователей, задаются и сопоставляются мандатные права доступа путем сравнения мандатных меток учетных записей пользователей и активного сетевого оборудования, доступ к которому запрашивается. Мандатные метки формируются администратором безопасности с выхода блока авторизации администраторов безопасности (после авторизации администратора безопасности) и хранятся в блоке хранения мандатных меток. При запросе пользователем доступа к активному сетевому оборудованию в блок разграничения прав доступа из блока хранения прав доступа и блока хранения мандатных меток поступают параметры доступа (множество дискреционных прав доступа, мандатные метки учетной записи пользователя, запросившего ресурс (уровень безопасности и список категорий), и активного сетевого оборудования, доступ к которому запрошен, блок сравнивает запрос с параметрами доступа и вырабатывает (либо нет) сигнал разрешения доступа учетной записи пользователя. Выделяют особый класс сигналов от системы управления, которые содержат запрос на изменение параметров безопасности, которые обрабатываются блоком авторизации администраторов безопасности. В данном случае запрашивается доступ не к активному сетевому оборудованию, а к параметрам безопасности (учетные записи пользователей, дискреционные права доступа, мандатные метки учетных записей пользователей и самого активного сетевого оборудования, категории, входящие в состав мандатных меток) распределенной вычислительной системы. После прохождения процедуры авторизации администратора безопасности (аналогично процедуре авторизации учетных записей пользователей) в блок хранения прав доступа заносятся дискреционные права доступа учетных записей пользователей, в блок хранения мандатных меток заносятся мандатные метки учетных записей пользователей и самого активного сетевого оборудования.The system operates as follows. Upon receipt of a signal from the control system containing a request for access to the controlled active network equipment, the user account is authorized, which is carried out by the user authorization unit, the authorization parameters — the user name and password, the authorization unit retrieves from its local database. The credentials specified in the request are compared with the credentials retrieved from the database. If they coincide, the requested access parameters are transferred to the access rights delimitation block. Next, along with a comparison of the discretionary access rights of user accounts, credentials are set and compared by comparing credentials for user accounts and the active network equipment access to which is requested. Credential tags are generated by the security administrator from the output of the security administrators authorization block (after authorization of the security administrator) and are stored in the credential storage unit. When a user requests access to active network equipment, access parameters (a set of discretionary access rights, credentials for the account of the user who requested the resource (security level and category list) and the active list are received from the access rights block and the credential storage unit) network equipment, access to which is requested, the unit compares the request with the access parameters and generates (or not) an access permission signal for the user account. a special class of signals from the control system that contain a request for changing security settings that are processed by the security administrators authorization unit, in this case, access is requested not to active network equipment, but to security settings (user accounts, discretionary access rights, credential labels of accounts users and the most active network equipment, categories included in the credentials) of a distributed computing system. After passing the authorization procedure for the security administrator (similar to the procedure for authorizing user accounts), the discretionary access rights of user accounts are entered into the storage block of the access rights, credentials of the credentials label are entered credentials of user accounts and the most active network equipment.

Рассмотрим пример реализации предложенного технического решения при выполнении проверки прав доступа систем управления в распределенной вычислительной системе, содержащей в своем составе сетевые коммутаторы ACO1 и ACO2, составляющие множество контролируемого активного сетевого оборудования.Let us consider an example of the implementation of the proposed technical solution when performing verification of access rights of control systems in a distributed computing system that includes ACO1 and ACO2 network switches that make up a lot of controlled active network equipment.

База данных, содержащая учетные данные пользователей, содержит следующие идентификационные параметры: имя пользователя - user1, пароль - user1, имя пользователя - user2, пароль - user2. База данных, содержащая учетные данные администраторов безопасности, содержит следующие идентификационные параметры: имя пользователя - admin, пароль - admin.The database containing user credentials contains the following identification parameters: username - user1, password - user1, username - user2, password - user2. The database containing the credentials of security administrators contains the following identification parameters: username - admin, password - admin.

На момент начала функционирования системы в блоке хранения прав доступа содержатся следующие дискреционные права доступа (пересечение соответствующих строк и столбцов):At the time the system starts operating, the access discretion block contains the following discretionary access rights (intersection of the corresponding rows and columns):

ACO1ACO1 ACO2ACO2 user1user1 Сканирование сетевых портовNetwork Port Scan Выполнение контроля целостностиPerforming Integrity Control user2user2 -- Подключение по протоколу TelnetTelnet Connection

В блоке хранения мандатных меток содержится следующая информация:The credential storage unit contains the following information:

Уровень безопасностиSecurity level Список категорийCategory List user1user1 22 {коммутаторы, веб-серверы}{switches, web servers} user2user2 1one {веб-серверы}{web servers} ACO1ACO1 1one {коммутаторы}{switches} ACO2ACO2 22 {коммутаторы}{switches}

Со стороны системы управления поступает сигнал, содержащий запрос учетной записи пользователя user1 доступа к ACO1 со следующими параметрами доступа: запрашиваемые дискреционные права доступа: сканирование сетевых портов; учетные данные: имя пользователя - user1, пароль - user1. Указанные в запросе учетные данные сравниваются с учетными данными, сохраненными в локальной базе данных. Поскольку в базе данных присутствует соответствующая строка, т.е. представленные учетные данные совпадают с хранящимися в системе, запрашиваемые учетной записью пользователя параметры доступа передаются в блок разграничения прав доступа.The control system receives a signal containing a request for the user1 user account to access ACO1 with the following access parameters: requested discretionary access rights: scan network ports; credentials: username is user1, password is user1. The credentials specified in the request are compared with the credentials stored in the local database. Since there is a corresponding row in the database, i.e. the submitted credentials coincide with those stored in the system, the access parameters requested by the user account are transferred to the access rights delimitation unit.

Из блока разграничения прав доступа извлекают дискреционные права доступа учетной записи пользователя user1, успешно прошедшей процедуру авторизации, к ACO1: сканирование сетевых портов. Поскольку запрошенные дискреционные права доступа совпадают с хранящимися дискреционными правами доступа учетной записи пользователя user1, выполняется сопоставление мандатных меток.The discretionary access rights of the user1 user account that has successfully passed the authorization procedure to ACO1: network port scan are extracted from the access rights delimitation block. Since the requested discretionary access rights are the same as the discretionary access rights stored by the user1 user account, credential matching is performed.

Уровень безопасности учетной записи пользователя user1 (2) превышает уровень безопасности ACO1 (1), а множество категорий учетной записи пользователя user1 ({коммутаторы, веб-серверы}) включает множество категорий АСО1 ({коммутаторы}). Следовательно, система вырабатывает сигнал разрешения доступа к ACO1.The security level of user account user1 (2) exceeds the security level ACO1 (1), and the many categories of user account user1 ({switches, web servers}) include many categories of ACO1 ({switches}). Therefore, the system generates an access permission signal to ACO1.

Далее со стороны системы управления поступает сигнал, содержащий запрос учетной записи пользователя user2 доступа к ACO2 со следующими параметрами доступа: запрашиваемые дискреционные права доступа: выполнение контроля целостности, учетные данные: имя пользователя - user2, пароль - user2. Указанные в запросе учетные данные сравниваются с учетными данными, сохраненными в локальной базе данных. Поскольку в базе данных присутствует соответствующая строка, т.е. представленные учетные данные совпадают с хранящимися в системе, запрашиваемые учетной записью пользователя параметры доступа передаются в блок разграничения прав доступа.Then, from the control system side, a signal is received containing a request for the user2 user account to access ACO2 with the following access parameters: requested discretionary access rights: integrity control, credentials: username - user2, password - user2. The credentials specified in the request are compared with the credentials stored in the local database. Since there is a corresponding row in the database, i.e. the submitted credentials coincide with those stored in the system, the access parameters requested by the user account are transferred to the access rights delimitation unit.

Из блока разграничения прав доступа извлекают дискреционные права доступа учетной записи пользователя user2, успешно прошедшей процедуру авторизации, к ACO2: подключение по протоколу Telnet. Поскольку запрошенные дискреционные права доступа не совпадают с хранящимися дискреционными правами доступа учетной записи пользователя user2, система вырабатывает сигнал запрета на доступ к ACO2.The discretionary access rights of the user2 user account that has successfully passed the authorization procedure to ACO2: Telnet connection are extracted from the access rights delimitation block. Since the requested discretionary access rights do not match the stored discretionary access rights of the user2 user account, the system generates a signal to deny access to ACO2.

Далее со стороны системы управления поступает сигнал, содержащий запрос учетной записи пользователя user2 доступа к ACO2 со следующими параметрами доступа: дискреционные права доступа: подключение по протоколу Telnet, учетные данные: имя пользователя - user2, пароль - user2. Указанные в запросе учетные данные сравниваются с учетными данными, сохраненными в локальной базе данных. Поскольку в базе данных присутствует соответствующая строка, т.е. представленные учетные данные совпадают с хранящимися в системе, запрашиваемые учетной записью пользователя параметры доступа передаются в блок разграничения прав доступа.Next, the control system receives a signal containing a request for the user2 user account to access ACO2 with the following access parameters: discretionary access rights: Telnet connection, credentials: username - user2, password - user2. The credentials specified in the request are compared with the credentials stored in the local database. Since there is a corresponding row in the database, i.e. the submitted credentials coincide with those stored in the system, the access parameters requested by the user account are transferred to the access rights delimitation unit.

Из блока разграничения прав доступа извлекают дискреционные права доступа учетной записи пользователя user2, успешно прошедшей процедуру авторизации, к ACO2: подключение по протоколу Telnet. Поскольку запрошенные дискреционные права доступа совпадают с сохраненными дискреционными правами доступа учетной записи пользователя user2, выполняется сопоставление мандатных меток.The discretionary access rights of the user2 user account that has successfully passed the authorization procedure to ACO2: Telnet connection are extracted from the access rights delimitation block. Because the requested discretionary permissions are the same as the discretionary permissions of the user2 user account, credential matching is performed.

Уровень безопасности учетной записи пользователя user2 (1) не превышает уровень безопасности ACO2 (2), а множество категорий учетной записи пользователя user2 ({веб-серверы}) не включает множества категорий ACO2 ({коммутаторы}). Следовательно, система вырабатывает сигнал запрета на доступ к ACO2.The security level of user account user2 (1) does not exceed the security level of ACO2 (2), and many categories of user account user2 ({web servers}) do not include many categories of ACO2 ({switches}). Consequently, the system generates a signal to deny access to ACO2.

Далее со стороны системы управления поступает сигнал, содержащий запрос учетной записи администратора безопасности admin доступа на изменение дискреционных прав доступа учетной записи пользователя user2, предоставляя следующие параметры доступа: дискреционные права доступа учетной записи пользователя user2 к ACO2: контроль целостности, подключение по протоколу Telnet; учетные данные: имя пользователя - admin, пароль - admin. Указанные в запросе учетные данные сравниваются с учетными данными, сохраненными в локальной базе данных. Поскольку в базе данных присутствует соответствующая строка, т.е. представленные учетные данные совпадают с хранящимися в системе, вырабатывают сигнал разрешения на изменение параметров безопасности распределенной вычислительной системы и указанные дискреционные права доступа передаются для хранения в блок хранения прав доступа.Next, the control system receives a signal containing a request for the security admin account admin admin access to change the discretionary access rights of the user2 user account, providing the following access parameters: discretionary access rights of the user2 user account to ACO2: integrity control, Telnet connection; credentials: username is admin, password is admin. The credentials specified in the request are compared with the credentials stored in the local database. Since there is a corresponding row in the database, i.e. the presented credentials coincide with those stored in the system, generate a permission signal for changing the security settings of the distributed computing system, and these discretionary access rights are transferred for storage to the storage unit for access rights.

Применение данного изобретения в существующих реализациях распределенных вычислительных систем позволит повысить защищенность активного сетевого оборудования за счет реализации механизма контроля за сигналами, поступающими от систем управления активным сетевым оборудованием, передачу которых инициируют учетные записи администраторов безопасности, в распределенных вычислительных системах, и сократить временные и ресурсные затраты на восстановление работоспособности распределенных вычислительных систем после сбоев, вызванных действиями нарушителей безопасности, за счет использования механизмов дискреционного и мандатного контроля доступа систем управления к активному сетевому оборудованию.The use of this invention in existing implementations of distributed computing systems will increase the security of active network equipment through the implementation of a mechanism for monitoring signals from active network equipment control systems, the transmission of which is initiated by the accounts of security administrators, in distributed computing systems, and reduce time and resource costs to restore the performance of distributed computing systems after failures caused by actions of security violators, through the use of discretionary and mandatory monitoring mechanisms for access of control systems to active network equipment.

Claims (3)

1. Способ централизованного контроля доступа систем управления к активному сетевому оборудованию в распределенных вычислительных системах, заключающийся в том, что
авторизуют учетные записи пользователей путем предоставления сигналов, соответствующих учетным данным пользователей, от систем управления активным сетевым оборудованием и их сопоставления с хранящимися эталонными значениями соответствующих сигналов;
извлекают дискреционные права доступа учетных записей пользователей, успешно прошедших процедуру авторизации;
проводят сравнение дискреционных прав доступа, запрашиваемых авторизованными учетными записями пользователей, с ранее извлеченными;
отличающийся тем, что дополнительно
извлекают мандатные метки учетных записей пользователей и активного сетевого оборудования, доступ к которому запрашивается;
проводят сравнение мандатных меток учетных записей пользователей и активного сетевого оборудования, доступ к которому запрашивается;
авторизуют учетные записи администраторов безопасности при поступлении сигнала от системы управления активным сетевым оборудованием, содержащего запрос на изменение дискреционных прав доступа и/или мандатных меток учетных записей пользователей и активного сетевого оборудования, путем предоставления сигналов, соответствующих учетным данным администраторов безопасности, от систем управления активным сетевым оборудованием и их сопоставления с хранящимися эталонными значениями соответствующих сигналов.
вырабатывают сигнал разрешения или запрета на изменение параметров безопасности распределенной вычислительной системы.1. The method of centralized access control of control systems to active network equipment in distributed computing systems, which consists in the fact that
authorize user accounts by providing signals corresponding to user credentials from active network equipment control systems and comparing them with the stored reference values of the corresponding signals;
extract discretionary access rights of user accounts that have successfully passed the authorization procedure;
compare discretionary access rights requested by authorized user accounts with previously extracted ones;
characterized in that it further
retrieving credentials for user accounts and active network equipment access is requested;
comparing the credentials of user accounts and active network equipment, access to which is requested;
authorize the accounts of security administrators upon receipt of a signal from the control system of active network equipment containing a request to change discretionary access rights and / or credentials of user accounts and active network equipment by providing signals corresponding to the credentials of security administrators from active network management systems equipment and their comparison with the stored reference values of the corresponding signals.
generate a signal of permission or prohibition to change the security settings of a distributed computing system. 2. Система для реализации способа по п. 1, включающая
блок авторизации пользователя, который авторизует учетные записи пользователей путем предоставления сигналов, соответствующих учетным данным пользователя, от систем управления активным сетевым оборудованием и их сопоставления с хранящимися эталонными значениями соответствующих сигналов;
блок разграничения прав доступа, который извлекает дискреционные права доступа учетных записей пользователей, успешно прошедших процедуру авторизации, проводит сравнение дискреционных прав доступа, запрашиваемых авторизованными учетными записями пользователей, с ранее извлеченными, извлекает мандатные метки учетных записей пользователей и активного сетевого оборудования, доступ к которому запрашивается, проводит сравнение мандатных меток учетных записей пользователей и активного сетевого оборудования, доступ к которому запрашивается, вырабатывает сигнал разрешения или запрета на изменение параметров безопасности распределенной вычислительной системы;
блок хранения прав доступа, который хранит дискреционные права доступа учетных записей пользователей; отличающаяся тем, что дополнительно содержит
блок хранения мандатных меток, который хранит мандатные метки учетных записей пользователей и активного сетевого оборудования;
блок авторизации администраторов безопасности, который авторизует учетные записи администраторов безопасности при поступлении сигнала от системы управления активным сетевым оборудованием, содержащего запрос на изменение дискреционных прав доступа и/или мандатных меток учетных записей пользователей и активного сетевого оборудования, путем предоставления сигналов, соответствующих учетных данным администраторов безопасности, от системы управления активным сетевым оборудованием и их сопоставления с хранящимися эталонными значениями соответствующих сигналов;
при этом выход блока авторизации пользователя соединен с входом параметров доступа блока разграничения прав доступа; выход блока авторизации администраторов безопасности соединен с соответствующими входами блока хранения прав доступа и блока хранения мандатных меток, выходы которых соединены соответственно с входами дискреционных прав доступа и мандатных меток блока разграничения прав доступа.2. The system for implementing the method according to claim 1, including
a user authorization unit that authorizes user accounts by providing signals corresponding to user credentials from active network equipment control systems and comparing them with stored reference values of the corresponding signals;
the access control differentiation unit, which extracts the discretionary access rights of user accounts that have successfully passed the authorization procedure, compares the discretionary access rights requested by authorized user accounts with previously extracted ones, extracts the credentials of user accounts and active network equipment, access to which is requested , compares the credentials of user accounts and active network equipment, access to which is requested It generates an enable or disable signal for changing the security settings of a distributed computing system;
an access rights storage unit that stores discretionary access rights of user accounts; characterized in that it further comprises
a credential label storage unit that stores credential labels of user accounts and active network equipment;
a security administrators authorization unit that authorizes security administrators' accounts upon receipt of a signal from an active network equipment management system containing a request to change discretionary access rights and / or credential labels of user accounts and active network equipment by providing signals corresponding to the credentials of security administrators , from the control system of active network equipment and their comparison with the stored reference values mi appropriate signals;
wherein the output of the user authorization unit is connected to the input of the access parameters of the access rights delimitation unit; the output of the authorization block of the security administrators is connected to the corresponding inputs of the storage unit for access rights and the storage unit for credentials, the outputs of which are connected respectively to the inputs of discretionary access rights and credentials for the block for differentiating access rights. 3. Способ по п. 1, отличающийся тем, что мандатные метки активного сетевого оборудования, доступ к которому запрашивается, состоят из уровня безопасности и списка категорий. 3. The method according to p. 1, characterized in that the mandatory tags of the active network equipment, access to which is requested, consists of a security level and a list of categories.
RU2013158736/08A 2013-12-27 2013-12-27 Method for centralised control of access of control systems to active network equipment in distributed computer systems and system therefor RU2580815C2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
RU2013158736/08A RU2580815C2 (en) 2013-12-27 2013-12-27 Method for centralised control of access of control systems to active network equipment in distributed computer systems and system therefor

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
RU2013158736/08A RU2580815C2 (en) 2013-12-27 2013-12-27 Method for centralised control of access of control systems to active network equipment in distributed computer systems and system therefor

Publications (2)

Publication Number Publication Date
RU2013158736A RU2013158736A (en) 2015-07-10
RU2580815C2 true RU2580815C2 (en) 2016-04-10

Family

ID=53538120

Family Applications (1)

Application Number Title Priority Date Filing Date
RU2013158736/08A RU2580815C2 (en) 2013-12-27 2013-12-27 Method for centralised control of access of control systems to active network equipment in distributed computer systems and system therefor

Country Status (1)

Country Link
RU (1) RU2580815C2 (en)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
RU2790079C2 (en) * 2021-03-31 2023-02-14 Общество с ограниченной ответственностью "Дом-ИТ" System and method for access control and management

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
RU2207619C2 (en) * 2001-07-12 2003-06-27 Щеглов Андрей Юрьевич Resource access differentiation system
RU2004108590A (en) * 2004-03-22 2005-09-27 Андрей Юрьевич Щеглов (RU) METHOD FOR PROCESSING AND APPOINTING SECURITY TAGS WITH A MANDATE (AUTHORIZED) MECHANISM FOR DIVERSION OF RIGHTS OF ACCESS TO HIERARCHICAL OBJECTS

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
RU2207619C2 (en) * 2001-07-12 2003-06-27 Щеглов Андрей Юрьевич Resource access differentiation system
RU2004108590A (en) * 2004-03-22 2005-09-27 Андрей Юрьевич Щеглов (RU) METHOD FOR PROCESSING AND APPOINTING SECURITY TAGS WITH A MANDATE (AUTHORIZED) MECHANISM FOR DIVERSION OF RIGHTS OF ACCESS TO HIERARCHICAL OBJECTS

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
RU2790079C2 (en) * 2021-03-31 2023-02-14 Общество с ограниченной ответственностью "Дом-ИТ" System and method for access control and management

Also Published As

Publication number Publication date
RU2013158736A (en) 2015-07-10

Similar Documents

Publication Publication Date Title
EP3090525B1 (en) System and method for biometric protocol standards
JP2017510013A (en) Techniques for providing network security with just-in-time provisioned accounts
Yunus et al. Review of SQL injection: problems and prevention
Spivey et al. Hadoop Security: Protecting your big data platform
US11330005B2 (en) Privileged account breach detections based on behavioral access patterns
US9288199B1 (en) Network access control with compliance policy check
US10521605B1 (en) Tagging and auditing sensitive information in a database environment
DE102011077218B4 (en) Access to data stored in a cloud
Srinivas et al. Security maturity in NoSQL databases-are they secure enough to haul the modern it applications?
DE112006003105T5 (en) System and method for the secure, transparent and continuous synchronization of access credentials in any system of a third party
US11956228B2 (en) Method and apparatus for securely managing computer process access to network resources through delegated system credentials
ACHAR et al. Data security in cloud: A review
US10505939B2 (en) System account access manager
KR101404537B1 (en) A server access control system by automatically changing user passwords and the method thereof
RU2580815C2 (en) Method for centralised control of access of control systems to active network equipment in distributed computer systems and system therefor
Namane et al. Grid and cloud computing security: A comparative survey
Gupta et al. Challenges and security issues of distributed databases
Pevnev et al. Database security: threats and preventive measures
Jadeja et al. Analysis and Impact of Different Mechanisms of Defending Pass-the-Hash Attacks
Flores An authentication and auditing architecture for enhancing security on egovernment services
Tshilombo et al. Two Way Authentication for Analytics as a Service in Cloud
Shang et al. Comprehensive security management system for Hadoop platforms
Baryshev et al. Discretional model and method of distributed information resources access control.
Sotirios Windows Active Directory Security Audit
Punithavathi et al. Preserving Data by Role based Access Control and Query Auditing System