RU2626664C1 - Method of access granting to distributed data and computational resources as corporate portals via protected virtual environment - Google Patents

Method of access granting to distributed data and computational resources as corporate portals via protected virtual environment Download PDF

Info

Publication number
RU2626664C1
RU2626664C1 RU2016123488A RU2016123488A RU2626664C1 RU 2626664 C1 RU2626664 C1 RU 2626664C1 RU 2016123488 A RU2016123488 A RU 2016123488A RU 2016123488 A RU2016123488 A RU 2016123488A RU 2626664 C1 RU2626664 C1 RU 2626664C1
Authority
RU
Russia
Prior art keywords
access
user
node
central node
session
Prior art date
Application number
RU2016123488A
Other languages
Russian (ru)
Inventor
Игорь Сергеевич Константинов
Сергей Александрович Лазарев
Олег Владимирович Михалев
Владимир Евгеньевич Киселев
Александр Владимирович Демидов
Original Assignee
Федеральное государственное автономное образовательное учреждение высшего образования "Белгородский государственный национальный исследовательский университет" (НИУ "БелГУ")
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Федеральное государственное автономное образовательное учреждение высшего образования "Белгородский государственный национальный исследовательский университет" (НИУ "БелГУ") filed Critical Федеральное государственное автономное образовательное учреждение высшего образования "Белгородский государственный национальный исследовательский университет" (НИУ "БелГУ")
Priority to RU2016123488A priority Critical patent/RU2626664C1/en
Application granted granted Critical
Publication of RU2626664C1 publication Critical patent/RU2626664C1/en

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F12/00Accessing, addressing or allocating within memory systems or architectures
    • G06F12/14Protection against unauthorised use of memory or access to memory
    • G06F12/1458Protection against unauthorised use of memory or access to memory by checking the subject access rights
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/52Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow
    • G06F21/53Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow by executing in a restricted environment, e.g. sandbox or secure virtual machine
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials

Landscapes

  • Storage Device Security (AREA)
  • Computer And Data Communications (AREA)

Abstract

FIELD: information technology.
SUBSTANCE: method includes identification of a portal network user by an active session and authentication of unidentified users by one of the access nodes of the protected virtual environment by the presence of user session attributes represented by the user session ID and authentication factors signed by the central node or the backup central node. And user authentication data is stored only in the central node LDAP server and the backup central node LDAP server of the protected virtual environment. The request for access to the data and computational resource is processed by one of the access nodes of the protected virtual environment that authenticates the user's session in the central node. As a result of successful authentication of the client PC user session, the central node, as a response to the request, sends the user session attributes to the access node, which the access node first saves in the access node LDAP server. The access node then checks the privilege of the user's access to the requested data of the data and computational resource and, as a result of the successful verification, provides access to them. And in the case of a user request to another data and computational resource, the user session authentication is performed by checking the session data attributes stored in the access node LDAP server.
EFFECT: increased reliability and protection of data from unauthorized access.
5 dwg

Description

Изобретение относится к области вычислительной техники и может быть использовано для предоставления защищенного доступа на основе открытых протоколов передачи данных к распределенным информационно-вычислительным ресурсам, представленным в виде корпоративных порталов, через защищенную виртуальную среду в глобальных сетях. The invention relates to the field of computer technology and can be used to provide secure access based on open data transfer protocols to distributed information and computing resources, presented in the form of corporate portals, through a secure virtual environment in global networks.

В рамках данной заявки следующие термины обозначают: In the framework of this application, the following terms mean:

Корпоративный портал – информационная система представления данных информационно-вычислительных ресурсов в виде веб-интерфейса для организации защищенного разграниченного коллективного доступа к информации.Corporate portal is an information system for presenting data of information and computing resources in the form of a web interface for organizing secure, delineated, collective access to information.

Архитектура построения виртуальной среды – принцип построения и организации работы основных компонентов виртуальной среды и протоколов коммуникаций внутри виртуальной среды. The architecture of building a virtual environment is the principle of building and organizing the operation of the main components of a virtual environment and communication protocols within a virtual environment.

Информационно-вычислительный ресурс – совокупность данных, хранимых на персональных компьютерах, объединенных в локальную сеть предприятия и представленная в виде корпоративного портала. Information and computing resource - a set of data stored on personal computers, integrated into the local network of the enterprise and presented in the form of a corporate portal.

Аутентификация – проверка подлинности предъявленного пользователем идентификатора.Authentication - verification of the identity presented by the user.

Авторизация – предоставление определенному лицу или группе лиц прав на выполнение определенных действий.Authorization - granting a certain person or group of persons the right to perform certain actions.

Открытые протоколы – общедоступные и не секретные технические спецификации коммуникации, у которой отсутствует правообладатель.Open protocols are publicly available and non-secret technical specifications for communication that does not have a copyright holder.

На момент разработки изобретения корпоративные порталы в сети Интернет стали универсальным инструментом для взаимодействия с пользователем, и всё больше коммерческих структур, государственных органов, различных ассоциаций ориентируются в области построения своих информационных систем на этот подход. Корпоративные порталы имеют различную мета-структурную организацию и реализованы на разных аппаратно-программных платформах с помощью различных, порой несовместимых, технологий. Унификация их структур, расположенных на распределенных узлах сети, и доступа к ним, как известно из уровня техники, является крайне трудоемким и дорогостоящим способом решения проблемы.At the time of the development of the invention, corporate portals on the Internet became a universal tool for interacting with the user, and more and more commercial structures, government bodies, various associations are guided in this approach by building their information systems. Corporate portals have a different meta-structural organization and are implemented on different hardware and software platforms using various, sometimes incompatible, technologies. The unification of their structures located on distributed nodes of the network, and access to them, as is known from the prior art, is an extremely laborious and expensive way to solve the problem.

Из уровня техники известно техническое решение по патенту RU 2106014 (Опубликовано: 27.02.1998), а именно информационно-вычислительная система, работа которой основана на осуществлении идентификации пользователя и предоставлении локального доступа к информационно-вычислительным ресурсам системы при помощи шифрования/дешифрования данных на основе генерируемых устройством ключей, включающая прохождение процедур аутентификации и авторизации на основе открытых ключей, шифрование и дешифрование передаваемых данных, предоставление доступа к ресурсу сети на основании прав доступа пользователя. The technical solution according to patent RU 2106014 (Published: 02/27/1998) is known from the prior art, namely, an information and computing system, the operation of which is based on realizing user identification and providing local access to the information and computing resources of the system using data encryption / decryption based keys generated by the device, including passing authentication and authorization procedures based on public keys, encryption and decryption of transmitted data, providing access to Ursu network based on user access rights.

Недостатком является то, что данное решение предназначено для предоставления локального доступа к конкретному информационно-вычислительному ресурсу системы, а не с целью получения доступа к ресурсам распределенной сети на основании централизованной авторизации пользователя. The disadvantage is that this solution is intended to provide local access to a specific information and computing resource of the system, and not with the aim of gaining access to the resources of a distributed network based on centralized user authorization.

Из уровня техники известно техническое решение по патенту RU 2169942 (Опубликовано: 27.06.2001) в виде распределенной системы защиты вычислительных сетей, обеспечивающей повышение эффективности функционирования распределенной системы защиты за счет реализации возможности идентификации сервером безопасности трех состояний объекта защиты, например рабочей станции или информационного сервера, где установлен агент распределенной системы защиты: "штатный режим функционирования", "агент системы защиты удален на защищаемом объекте - режим фиксирования несанкционированного доступа", "защищаемый объект физически отключен из сети", что позволяет обеспечить эффективную политику распределенной системы защиты в сети.The technical solution according to patent RU 2169942 (Published: 06/27/2001) is known in the form of a distributed protection system for computer networks, which improves the functioning of a distributed protection system by making it possible for the security server to identify three states of the protection object, for example, a workstation or an information server where the agent of the distributed protection system is installed: "normal operation mode", "the agent of the protection system is deleted on the protected object - fix mode unauthorized access "," the protected object is physically disconnected from the network ", which allows providing an effective policy of a distributed protection system in the network.

Недостатком является то, что данное решение позволяет только отследить и уменьшить риск атаки или несанкционированного доступа к ресурсу сети за счет состояния установленных агентов. В среде распределенных информационно-вычислительных ресурсов установка и мониторинг каждого ресурса при помощи данных мер неэффективна.The disadvantage is that this solution only allows you to track and reduce the risk of an attack or unauthorized access to a network resource due to the state of installed agents. In a distributed computing environment, installing and monitoring each resource using these measures is inefficient.

Из уровня техники известно техническое решение по патенту US7017183 System and method for administering security in a corporate portal (Опубликовано 2006-03-21). Система и способ для администрирования безопасности корпоративного портала, описанные в патенте, основаны на использовании корпоративных порталов для предоставления доступа к ресурсам порталов, включающих организацию распределенных информационно-вычислительных ресурсов на основе технологии корпоративных порталов, организацию доступа к порталам при помощи веб-интерфейсов, определение прав доступа пользователей при помощи доменных групп, шифрование и дешифрование передаваемых данных, предоставление доступа к ресурсу сети на основании прав доступа пользователя. The prior art knows the technical solution according to the patent US7017183 System and method for administering security in a corporate portal (Published 2006-03-21). The system and method for administering security of a corporate portal described in the patent is based on the use of corporate portals to provide access to portal resources, including the organization of distributed information and computing resources based on corporate portal technology, organizing access to portals using web interfaces, determining rights user access using domain groups, encryption and decryption of transmitted data, providing access to a network resource based on Research Institute of user access rights.

Недостатком является то, что данное решение подразумевает, что для доступа к каждому порталу необходимо проходить процедуры пользовательской аутентификации и авторизации. Также при прохождении процедуры аутентификации не предусмотрено использование мер защиты, кроме комбинации имени пользователя, домена и пароля. Кроме того, это решение характеризуется слабой отказоустойчивостью. The disadvantage is that this solution implies that in order to access each portal it is necessary to go through user authentication and authorization procedures. Also, during the authentication procedure, the use of security measures is not provided, except for a combination of username, domain and password. In addition, this solution is characterized by poor fault tolerance.

За прототип выбран способ, описанный в статье «Модель сеансового доступа в распределенной сети» (Single model session in the distributed network) от 22 мая 2014 г., авторы И.С. Константинов, С.А. Лазарев, О.В. Михалев, который включает реализацию механизма единого пользовательского сеанса в сети порталов, возможность создания пользовательских сеансов в случае отказа центрального узла при помощи механизмов активной репликации сеансовых данных с узлов доступа на центральный узел и последующей пассивной репликации в обратном направлении, возможность идентифицикации пользователя сети порталов по активному сеансу и требование проведения проверки подлинности для неидентифицированных пользователей.For the prototype, the method described in the article “Single model session in the distributed network” dated May 22, 2014, by I.S. Konstantinov, S.A. Lazarev, O.V. Mikhalev, which includes the implementation of a single user session mechanism in a network of portals, the possibility of creating user sessions in the event of a central node failure by using active replication of session data from access nodes to the central node and subsequent passive replication in the opposite direction, the ability to identify a user of a network of portals by active session and authentication requirement for unidentified users.

Реализация описанной в статье модели обеспечивает однократную аутентификацию пользователя и одну произвольную точку входа в сеть порталов независимо от того, к каким узлам доступа произошли первое и последующие обращения, даже при недоступности центрального узла. Способ обеспечивает надежность и отказоустойчивость сети порталов, а также минимизацию требуемых затрат.The implementation of the model described in the article provides one-time user authentication and one arbitrary entry point into the network of portals, regardless of which access nodes the first and subsequent calls occurred to, even when the central node is unavailable. The method provides reliability and fault tolerance of the portal network, as well as minimizing the required costs.

Недостатком данного способа является то, что аутентификационные данные в результате пассивной репликации хранятся не только на центральном узле, но и на узлах доступа, в связи с чем увеличивается риск несанкционированного доступа к конфиденциальной информации, т.е не обеспечивается соответствие способа мировым стандартам безопасности хранения и передачи данных в глобальных распределенных сетях.The disadvantage of this method is that authentication data as a result of passive replication is stored not only on the central node, but also on the access nodes, and therefore the risk of unauthorized access to confidential information increases, i.e., the method does not ensure compliance with international standards for storage security and data transmission in global distributed networks.

Задачей изобретения является создание способа, устраняющего указанные недостатки прототипа. The objective of the invention is to provide a method that eliminates these disadvantages of the prototype.

Технический результат: Technical result:

- повышение надежности и отказоустойчивости за счет введения в способ дублирования аутентификационных данных на резервный центральный узел защищенной виртуальной среды путем пассивной репликации их с центрального узла. При этом сохраняется возможность централизованного процесса аутентификации пользователей в защищенной виртуальной среде для доступа к распределенным информационно-вычислительным ресурсам в виде сети корпоративных порталов; - improving reliability and fault tolerance by introducing into the method of duplication of authentication data on the backup central node of a secure virtual environment by passively replicating them from the central node. At the same time, there remains the possibility of a centralized user authentication process in a secure virtual environment for access to distributed information and computing resources in the form of a network of corporate portals;

- повышение защищенности информации за счет того, что аутентификационные данные хранятся только на центральном узле и резервном центральном узле защищенной виртуальной среды, а на узлах доступа хранят только атрибуты сеансов пользователей, представленных идентификатором пользовательского сеанса и факторами прохождения аутентификации, подписанными указанным центральным узлом или резервным центральным узлом, что обеспечивает соответствие стандартам безопасности для глобальных сетей. - increasing the security of information due to the fact that authentication data is stored only on the central node and the backup central node of the secure virtual environment, and on the access nodes store only the attributes of user sessions represented by the user session identifier and authentication factors signed by the specified central node or the backup central Node that provides compliance with security standards for wide area networks.

Поставленная задача решается предложенным способом, включающим централизованный процесс аутентификации пользователей защищенной виртуальной среды с пассивной репликацией, создание сеансов в случае отказа центрального узла, реализацию механизма единого пользовательского сеанса, идентификацию пользователя защищенной виртуальной среды по активному сеансу и проведение проверки подлинности для неидентифицированных пользователей, в который внесены следующие новые и неизвестные из уровня техники признаки:The problem is solved by the proposed method, including a centralized authentication process for users of a secure virtual environment with passive replication, creating sessions in the event of a central node failure, implementing a single user session mechanism, identifying a protected virtual environment user by an active session, and performing authentication for unidentified users in which The following new and unknown from the prior art features have been introduced:

- при централизованном процессе аутентификации пользователей защищенной виртуальной среды пассивную репликацию аутентификационных данных с центрального узла, в отличие от прототипа, осуществляют на резервный центральный узел, что позволяет повысить отказоустойчивость и надежность работы защищенной виртуальной среды за счет введения в работу резервного центрального узла при выходе из строя центрального узла. Таким образом, аутентификационные данные пользователей хранятся только на центральном узле и резервном центральном узле защищенной виртуальной среды, вследствие чего достигается соответствие мировым стандартам безопасности данных в глобальных сетях;- in the centralized authentication process of users of a secure virtual environment, passive replication of authentication data from a central node, in contrast to the prototype, is carried out to a backup central node, which allows to increase the fault tolerance and reliability of a protected virtual environment due to the introduction of a backup central node in case of failure central node. Thus, user authentication data is stored only on the central node and the backup central node of a secure virtual environment, as a result of which compliance with world standards for data security in global networks is achieved;

- идентификацию пользователя защищенной виртуальной среды по активному сеансу и проверку подлинности сеанса пользователя производят на узлах доступа путем проверки атрибутов сеансовых данных, хранимых на сервере LDAP соответствующего узла доступа, при этом атрибуты сеансовых данных представлены: идентификатором пользовательского сеанса и факторами прохождения аутентификации, подписанными центральным узлом либо резервным центральным узлом. Хранение данных атрибутов позволяет узлу доступа осуществлять проверку подлинности сеанса пользователя на центральном узле либо на резервном центральном узле;- the user of the protected virtual environment is authenticated by the active session and the user session is authenticated on the access nodes by checking the attributes of the session data stored on the LDAP server of the corresponding access node, while the session data attributes are represented by the user session identifier and authentication factors signed by the central node or a backup central site. Storage of attribute data allows the access node to authenticate the user session at the central node or at the backup central node;

- предоставление пользователю доступа к совокупности данных запрашиваемого информационного ресурса в случае положительного результата проверки узлом доступа привилегированности доступа пользователя. - providing the user with access to the data set of the requested information resource in case of a positive result by the access node checking the user's access privileges.

Изобретение охарактеризовано на следующих фигурах.The invention is characterized in the following figures.

Фиг. 1 демонстрирует упрощенную схему архитектуры защищенной виртуальной среды для реализации предложенного способа.FIG. 1 shows a simplified architecture diagram of a secure virtual environment for implementing the proposed method.

Фиг. 2 демонстрирует детализированную схему защищенной архитектуры виртуальной среды, на которой отображены основные составляющие компоненты узлов защищенной виртуальной среды и приведены рекомендуемые открытые протоколы, по которым осуществляется взаимодействие между составляющими.FIG. Figure 2 shows a detailed diagram of the protected architecture of a virtual environment, which displays the main components of the nodes of a protected virtual environment and shows the recommended open protocols that communicate between the components.

Фиг. 3 демонстрирует механизм доступа пользователя к информационно-вычислительному ресурсу в рамках защищенной виртуальной среды.FIG. 3 shows a user access mechanism to an information and computing resource within a secure virtual environment.

Фиг. 4 демонстрирует порядок действий при прохождении процедуры аутентификации пользователем на центральном узле сети для получения доступа к распределенным информационно-вычислительным ресурсам в виде корпоративных порталов через защищенную виртуальную среду.FIG. 4 shows the procedure for passing the authentication procedure by the user on the central node of the network to gain access to distributed information and computing resources in the form of corporate portals through a secure virtual environment.

Фиг. 5 демонстрирует порядок действий при прохождении процедуры аутентификации пользователем на резервном центральном узле для получения доступа к распределенным информационно-вычислительным ресурсам в виде корпоративных порталов через защищенную виртуальную среду.FIG. 5 shows the procedure for passing the authentication procedure by the user on the backup central node to gain access to distributed information and computing resources in the form of corporate portals through a secure virtual environment.

Способ реализуется с помощью разработанной архитектуры защищенной виртуальной среды, упрощенный вид которой приведен на фиг. 1. Как продемонстрировано на фиг. 1, множество клиентских ПК 1, расположенных в глобальной сети, взаимодействует с защищенной виртуальной средой, включающей центральный узел 2, множество узлов 3 доступа и, по крайней мере, один резервный центральный узел 4, при этом узел 2 и узел 4 представляют собой серверные компьютеры. Защищенная виртуальная среда обеспечивает предоставление доступа пользователям клиентских ПК 1 к распределенным информационно-вычислительным ресурсам 5, каждый из которых представляет собой совокупность данных, хранимых на персональных компьютерах, объединенных в локальную сеть предприятия и представленных в виде корпоративных порталов. Количество резервных центральных узлов 4, на которые центральный узел 2 производит пассивную репликацию аутентификационных данных, определяет организатор защищенной виртуальной среды, исходя из соображений целесообразности. Наличие дополнительных резервных центральных узлов 4 увеличивает отказоустойчивость, но с другой стороны может приводить к увеличению времени для предоставления доступа.The method is implemented using the developed architecture of a secure virtual environment, a simplified view of which is shown in FIG. 1. As shown in FIG. 1, a plurality of client PCs 1 located in a global network interacts with a secure virtual environment including a central node 2, a plurality of access nodes 3 and at least one redundant central node 4, while the node 2 and the node 4 are server computers . A secure virtual environment provides access for users of client PCs 1 to distributed information and computing resources 5, each of which is a collection of data stored on personal computers, integrated into the local network of the enterprise and presented in the form of corporate portals. The number of redundant central nodes 4, to which the central node 2 makes passive replication of authentication data, is determined by the organizer of the secure virtual environment, based on reasons of expediency. The presence of additional redundant central nodes 4 increases fault tolerance, but on the other hand can lead to an increase in the time for providing access.

Доступ пользователя к информационно-вычислительным ресурсам 5 начинается с формирования запроса на доступ для клиентского ПК 1, представляющего собой персональный компьютер, содержащий модуль подключения к сети Интернет и модуль памяти, в которой хранятся программные компоненты (фиг. 2), которые позволяют осуществлять шифрование и дешифрование передаваемых данных при помощи криптографической библиотеки 6, а также предоставлять доступ пользователю к информационно-вычислительным ресурсам 5 посредством веб-браузера 7, со встроенными сценариями аутентификации 8 и сценариями доступа 9.The user’s access to information and computing resources 5 begins with the formation of an access request for client PC 1, which is a personal computer containing an Internet connection module and a memory module that stores software components (Fig. 2) that allow encryption and decryption of transmitted data using a cryptographic library 6, and also provide access to the user to information and computing resources 5 through a web browser 7, with built-in scenes 8 with hints of authentication and access scenarios 9.

Запрос на доступ с клиентского ПК 1 поступает на узел доступа 3 защищенной виртуальной среды для проверки подлинности сеанса. В случае, если атрибуты сеансовых данных, представленные идентификатором пользовательского сеанса и факторами прохождения аутентификации, подписанными центральным узлом 2 либо резервным центральным узлом 4, сохранены на узле доступа 3, и подлинность сеанса установлена, узел доступа 3 проводит проверку привилегированности доступа пользователя клиентского ПК 1 и в случае положительного результата предоставляет доступ пользователю ПК1 к совокупности данных, хранимых на персональных компьютерах запрашиваемого информационного ресурса 5. В случае, если подлинность сеанса не установлена, узел доступа 3 направляет запрос на центральный узел 2, обеспечивающий администрирование сети, в том числе процедуру аутентификации пользователя и пассивную репликацию пользовательских данных на резервный центральный узел 4. Центральный узел 2 представляет собой серверный компьютер, содержащий модуль подключения к сети Интернет и модуль памяти, включающий программные компоненты, позволяющие обеспечивать взаимодействие с пользователем ПК1 посредством веб-сервера 10, со встроенными сценариями обработки пользовательских форм 11 и сервисами аутентификации 12, обеспечивать синхронизацию времени внутри защищенной виртуальной среды при помощи сервера времени 13, осуществлять шифрование и дешифрование передаваемых данных при помощи криптографической библиотеки 14, и хранить внутрисетевые данные на сервере LDAP 15 (фиг. 2). The access request from the client PC 1 arrives at the access node 3 of the secure virtual environment to authenticate the session. If the session data attributes represented by the user session identifier and authentication factors signed by the central node 2 or the backup central node 4 are stored on the access node 3 and the session is authenticated, the access node 3 checks the access privileges of the user of client PC 1 and in the case of a positive result, provides access to the user of PC1 to the totality of data stored on the personal computers of the requested information resource 5. if the session is not authenticated, access node 3 sends a request to the central node 2 that provides network administration, including user authentication and passive replication of user data to the backup central node 4. Central node 2 is a server computer containing a connection module to the Internet and a memory module, including software components that allow for interaction with the user of PC1 through the web server 10, with built-in script the processing of user forms 11 and authentication services 12, provide time synchronization inside a secure virtual environment using a time server 13, encrypt and decrypt the transmitted data using a cryptographic library 14, and store intranet data on an LDAP server 15 (Fig. 2).

Результат проверки подлинности сеанса пользователя клиентского ПК 1 центральный узел 2 в виде ответа на запрос направляет на узел доступа 3, представляющий собой серверный компьютер, содержащий модуль подключения к сети Интернет и модуль памяти, включающий программные компоненты (фиг. 2), которые позволяют осуществлять проверку корректности пользовательских сеансов на центральном узле 2 или резервном центральном узле 4, обработку пользовательских запросов и определять привилегированность доступа пользователя к запрашиваемому информационно-вычислительному ресурсу 5 при помощи веб-сервера 16, включающего сценарии аутентификации 17 и сервисы доступа 18, хранить внутрисетевые данные, включая атрибуты состояния пользовательских сеансов на сервере LDAP 19, и шифровать и дешифровать передаваемые данные посредством криптографической библиотеки 20. The result of the authentication of the user session of the client PC 1, the central node 2 in the form of a response to the request is sent to the access node 3, which is a server computer containing an Internet connection module and a memory module including software components (Fig. 2) that allow verification the correctness of user sessions on the central node 2 or the backup central node 4, the processing of user requests and determine the privilege of user access to the requested information tionally 5-computing resource via the Web server 16 including the authentication scenarios 17 and 18 access services, intranet store data, including user session state attributes LDAP server 19 and encrypt and decrypt data transmitted through a cryptographic library 20.

В случае если подлинность сеанса установлена, узел доступа 3 сохраняет атрибуты сеанса пользователя, представленные идентификатором пользовательского сеанса и факторами прохождения аутентификации, подписанными центральным узлом 2, на сервере LDAP 19. В случае, если подлинность сеанса не установлена, узел доступа 3 отправляет запрос к ПК1 на проведение процедуры аутентификации на центральном узле 2 или на резервном центральном узле 4, обеспечивающим выполнение функций центрального узла 2 при его выходе из строя. Резервный центральный узел 4 представляет собой серверный компьютер, содержащий модуль подключения к сети Интернет и модуль памяти, включающий программные компоненты, которые позволяют осуществлять взаимодействие с пользователем посредством веб-сервера 21, со встроенными сценариями обработки пользовательских форм 22 и сервисами аутентификации 23, обеспечивать синхронизацию времени внутри защищенной виртуальной среды при помощи сервера времени 24, осуществлять шифрование и дешифрование передаваемых данных при помощи криптографической библиотеки 25, и хранить внутрисетевые данные на сервере LDAP 26 (фиг. 2).If the session is authenticated, access node 3 saves the user session attributes represented by the user session identifier and authentication factors signed by central node 2 on the LDAP server 19. If the session is not authenticated, access node 3 sends a request to PC1 to carry out the authentication procedure on the central node 2 or on the backup central node 4, providing the functions of the central node 2 when it fails. The redundant central node 4 is a server computer containing an Internet connection module and a memory module, including software components that allow interacting with a user through a web server 21, with built-in scripts for processing user forms 22 and authentication services 23, to ensure time synchronization inside a secure virtual environment using a time server 24, to encrypt and decrypt the transmitted data using cryptographic library 25, and store data on the intranet LDAP server 26 (FIG. 2).

После успешного прохождения процедуры аутентификации на центральном узле 2 или на резервном центральном узле 4, пользователь ПК1 направляет повторный запрос на доступ к информационно-вычислительным ресурсам 5 для клиентского ПК 1 на узел 3 доступа, который направляет запрос на центральный узел 2 о проверке подлинности сеанса. Подтверждение подлинности сеанса с центрального узла 2 поступает на узел 3 доступа в виде атрибутов сеансовых данных, представленных идентификатором пользовательского сеанса и факторами прохождения аутентификации, подписанными центральным узлом 2 или резервным центральным узлом 4. После этого узел доступа 3 сохраняет атрибуты сеансовых данных на сервере LDAP 19 и проводит проверку привилегированности доступа пользователя. В случае положительного результата предоставляет доступ пользователю ПК1 к совокупности данных, хранимых на персональных компьютерах запрашиваемого информационного ресурса 5, объединенных в локальную сеть предприятия в виде корпоративного портала посредством веб-сервера 27 (фиг.2). Сообщение об отказе в доступе к запрашиваемому информационно-вычислительному ресурсу 5 поступает на ПК1 в случае неуспешной аутентификации пользователя или при отрицательном результате проверки привилегированности доступа пользователя. After successfully passing the authentication procedure on the central node 2 or on the backup central node 4, the user PC1 sends a second request for access to information and computing resources 5 for the client PC 1 to the access node 3, which sends a request to the central node 2 for session authentication. Session authentication from the central node 2 arrives at the access node 3 in the form of session data attributes represented by the user session identifier and authentication factors signed by the central node 2 or the backup central node 4. After this, the access node 3 stores the session data attributes on the LDAP server 19 and checks the privileges of user access. In the case of a positive result, provides access to the user PC1 to the set of data stored on the personal computers of the requested information resource 5, integrated into the local network of the enterprise in the form of a corporate portal through the web server 27 (Fig. 2). The denial of access to the requested information and computing resource 5 is received on PC1 in case of unsuccessful authentication of the user or if the user access privilege is negative.

Предложенный способ обеспечивает реализацию единого пользовательского сеанса за счет того, что при обращении пользователя ПК1, имеющего активный сеанс, к любому другому узлу доступа 3, не требуется повторное прохождение процедуры аутентификации для доступа к другим информационно-вычислительным ресурсам 5 корпоративных порталов. The proposed method provides for the implementation of a single user session due to the fact that when a user of PC1 with an active session accesses any other access node 3, the authentication procedure is not required to access other information and computing resources of 5 corporate portals.

ПРИМЕРЫEXAMPLES

Примеры включают предоставление доступа к двум информационно-вычислительным ресурсам. Первый информационно-вычислительный ресурс представлен в виде корпоративного портала университета, включающего, например, общедоступный раздел, доступ к данным которого предоставляется всем зарегистрированным пользователям, и закрытый подраздел учебно-научной лаборатории информационно-измерительных и управляющих комплексов и систем, доступ к которому предоставляется только привилегированным пользователям. Examples include providing access to two computing resources. The first information and computing resource is presented in the form of a university corporate portal, including, for example, a public section, access to the data of which is provided to all registered users, and a closed subsection of the educational and scientific laboratory of information-measuring and control complexes and systems, access to which is provided only to privileged to users.

Второй информационно-вычислительный ресурс представлен корпоративным порталом коммерческой компании, включающим, например, общедоступный информационный раздел, доступный всем зарегистрированным пользователям, и закрытый подраздел для сотрудников компании, доступ к которому предоставляется только привилегированным пользователям. The second information and computing resource is represented by the corporate portal of a commercial company, including, for example, a public information section accessible to all registered users and a closed subsection for company employees, access to which is provided only to privileged users.

Защищенная виртуальная среда представлена центральным узлом 2, резервным центральным узлом 4, первым узлом доступа 3 и вторым узлом доступа 3. The secure virtual environment is represented by the central node 2, the backup central node 4, the first access node 3 and the second access node 3.

Доступ к информационным ресурсам предоставляется двум пользователям. Access to information resources is provided to two users.

Первый пользователь является сотрудником учебно-научной лаборатории информационно-измерительных и управляющих комплексов, и имеет доступ как к общедоступным разделам, так и привилегированный доступ к закрытому подразделу первого информационно-вычислительного ресурса. Второй пользователь имеет доступ только к общедоступным разделам информационно-вычислительных ресурсов.The first user is an employee of the educational and scientific laboratory of information-measuring and control complexes, and has access to both public sections and privileged access to the closed subsection of the first information-computing resource. The second user has access only to public sections of information and computing resources.

Пример 1. Example 1

В данном примере рассмотрен процесс осуществления первым пользователем доступа к данным закрытого подраздела учебно-научной лаборатории информационно-измерительных и управляющих комплексов и систем корпоративного портала университета.In this example, the process of the first user accessing the data of the closed subsection of the educational and scientific laboratory of information-measuring and control complexes and systems of the corporate portal of the university is considered.

Например, первый пользователь ПК 1 зарегистрирован в защищенной виртуальной среде, и имеет активный сеанс, аутентификационные данные которого хранятся на сервере LDAP 15 центрального узла 2 и на сервере LDAP 26 резервного центрального узла 4, а атрибуты сеанса, представленные идентификатором пользовательского сеанса и факторами прохождения аутентификации, подписанные центральным узлом 2, хранятся на сервере LDAP 19 первого узла доступа 3.For example, the first user of PC 1 is registered in a secure virtual environment, and has an active session, the authentication data of which is stored on the LDAP server 15 of the central node 2 and on the LDAP server 26 of the backup central node 4, and the session attributes represented by the user session identifier and authentication factors signed by the central node 2 are stored on the LDAP server 19 of the first access node 3.

Для осуществления доступа к данным первого информационно-вычислительного ресурса 15, а именно к данным закрытого подраздела учебно-научной лаборатории информационно-измерительных и управляющих комплексов и систем корпоративного портала университета, первый пользователь отправляет запрос доступа к данному ресурсу на один из узлов доступа 3. To access the data of the first information and computing resource 15, namely, the data of the closed subsection of the educational and scientific laboratory of information-measuring and control complexes and systems of the corporate portal of the university, the first user sends an access request to this resource to one of the access nodes 3.

В случае, когда запрос поступает на первый узел доступа 3, проверка подлинности сеанса первого пользователя будет успешной. In the case when the request arrives at the first access node 3, authentication of the session of the first user will be successful.

В случае, когда запрос поступает на второй узел доступа 3, подлинность сеанса первого пользователя установить не удается из-за отсутствия на втором узле доступа 3 атрибутов сеанса. В этом случае второй узел доступа 3 производит установку соединения с центральным узлом 2. В случае, когда соединение с центральным узлом 2 не установлено, второй узел доступа 3 производит соединение с резервным центральным узлом 4. В результате успешной проверки подлинности сеанса первого пользователя на центральном узле 2 либо на резервном центральном узле 4, данные атрибутов пользовательского сеанса, представленные идентификатором пользовательского сеанса и факторами прохождения аутентификации, подписанные центральным узлом 2 или резервным центральным узлом 4, записывают на второй узел доступа 3. После установки подлинности сеанса первого пользователя, второй узел доступа 3 производит проверку привилегированности доступа к данным подраздела учебно-научной лаборатории информационно-измерительных и управляющих комплексов и систем корпоративного портала университета и в результате подтверждения привилегированности первый пользователь получает доступ к запрашиваемым данным информационно-вычислительного ресурса. In the case when the request arrives at the second access node 3, the session authenticity of the first user cannot be established due to the absence of 3 session attributes on the second access node. In this case, the second access node 3 establishes a connection with the central node 2. In the case when the connection with the central node 2 is not established, the second access node 3 makes a connection with the backup central node 4. As a result of the successful authentication of the session of the first user on the central node 2 or on the backup central node 4, user session attribute data represented by the user session identifier and authentication factors signed by the central node 2 or by the central central node 4, write to the second access node 3. After the authentication of the session of the first user, the second access node 3 checks the privilege of access to the data of the subsection of the educational and scientific laboratory of information-measuring and control complexes and systems of the corporate portal of the university and as a result of confirmation of privilege the first user gains access to the requested data of the computing resource.

Таким образом, заявленный способ реализует модель единого пользовательского сеанса, при котором не требуется прохождения пользователем процедуры повторной аутентификации.Thus, the claimed method implements a model of a single user session, in which the user does not need to go through the re-authentication procedure.

Пример 2.Example 2

В данном примере рассмотрен процесс попытки осуществления вторым пользователем доступа к данным информационно-вычислительного ресурса 15, а именно к данным закрытого подраздела учебно-научной лаборатории информационно-измерительных и управляющих комплексов и систем корпоративного портала университета.In this example, we consider the process of attempts by a second user to access data from an information-computing resource 15, namely, data from a closed subsection of the educational and scientific laboratory of information-measuring and control complexes and systems of the university’s corporate portal.

Второй пользователь зарегистрирован в защищенной виртуальной среде, но не имеет активного сеанса.The second user is registered in a secure virtual environment, but does not have an active session.

Для попытки осуществления доступа к данным закрытого подраздела учебно-научной лаборатории информационно-измерительных и управляющих комплексов и систем корпоративного портала университета, второй пользователь отправляет запрос доступа к данному ресурсу на один из узлов доступа 3. To attempt to access the data of the closed subsection of the educational and scientific laboratory of information-measuring and control systems and systems of the corporate portal of the university, the second user sends an access request to this resource to one of the access nodes 3.

Так как ни на одном из узлов доступа 3 не содержится данных об активном пользовательском сеансе, то в данном случае нет разницы, на какой узел доступа поступил запрос, поэтому в примере рассмотрен вариант, когда запрос обрабатывается первым узлом доступа 3.Since none of the access nodes 3 contains data about the active user session, in this case there is no difference which access node the request came to, therefore the example considers the case when the request is processed by the first access node 3.

Из-за отсутствия данных об активном пользовательском сеансе подлинность сеанса второго пользователя первым узлом доступа 3 не может быть установлена, поэтому первый узел доступа 3 устанавливает соединение с центральным узлом 2. В случае, когда соединение с центральным узлом 2 установить не удается, первый узел доступа 3 производит соединение с резервным центральным узлом 4. Далее центральный узел 2 либо резервный центральный узел 3 производит проверку подлинности сеанса второго пользователя, в результате которой первый узел доступа 3 получает ответ об отсутствии активного сеанса второго пользователя.Due to the lack of data on the active user session, the authenticity of the second user's session by the first access node 3 cannot be established, therefore, the first access node 3 establishes a connection with the central node 2. In the case when the connection to the central node 2 cannot be established, the first access node 3 connects to the backup central node 4. Next, the central node 2 or the backup central node 3 authenticates the session of the second user, as a result of which the first access node 3 is semi gives a response about the absence of an active session of the second user.

Далее второй пользователь ПК1 выполняет порядок действий, продемонстрированный на фиг. 4. В случае, когда центральный узел 2 доступен, второй пользователь клиентского ПК1 получает запрос об аутентификации на центральном узле 2 от первого узла доступа 3. Данный запрос обрабатывает веб-браузер 7 клиентского ПК1, после чего устанавливает соединение клиентского ПК1 с центральным узлом 2 и отправляет аутентификационный запрос клиентского ПК1 на центральный узел 2. Центральный узел 2 проверяет корректность аутентификационных данных на сервере LDAP 15 и производит регистрацию нового сеанса второго пользователя, затем осуществляет пассивную репликацию сеансовых данных на резервный центральный узел 4. А если центральный узел 2 устанавливает, что аутентификационные данные некорректны, то отказ в аутентификации поступает на клиентский ПК1.Next, the second user PC1 performs the procedure shown in FIG. 4. In the case when the central node 2 is available, the second user of the client PC1 receives an authentication request on the central node 2 from the first access node 3. This request is processed by the web browser 7 of the client PC1, after which it establishes a connection between the client PC1 and the central node 2 and sends an authentication request to client PC1 to central node 2. Central node 2 checks the authentication data on the LDAP server 15 and registers a new session of the second user, then passes explicit replication of session data to the backup central node 4. And if the central node 2 determines that the authentication data is incorrect, then authentication is denied to client PC1.

В случае, когда центральный узел 2 недоступен, выполняется порядок действий, продемонстрированный на фиг. 5. Второй пользователь получает запрос аутентификации на резервном центральном узле 4 от первого узла доступа 3. Данный запрос обрабатывает веб-браузер 7 клиентского ПК1, после чего устанавливает соединение клиентского ПК1 второго пользователя с резервным центральным узлом 4 и отправляет аутентификационный запрос клиентского ПК1 на резервный центральный узел 4. Резервный центральный узел 4 проверяет корректность аутентификационных данных и производит регистрацию нового сеанса второго пользователя.In the case where the central node 2 is unavailable, the procedure shown in FIG. 5. The second user receives an authentication request on the backup central node 4 from the first access node 3. This request is processed by the web browser 7 of the client PC1, after which the client PC1 of the second user is connected to the backup central node 4 and sends the authentication request of the client PC1 to the backup central node 4. The redundant central node 4 verifies the validity of the authentication data and registers a new session of the second user.

После успешного прохождения аутентификации второй пользователь производит повторный запрос на первый узел доступа 3 для получения доступа к данным закрытого подраздела учебно-научной лаборатории информационно-измерительных и управляющих комплексов и систем корпоративного портала университета (фиг.3). Первый узел доступа 3 обрабатывает повторный запрос и производит попытку установления подлинности сеанса второго пользователя. В связи с тем, что сеансовые данные хранятся только на центральном узле 2 либо резервном центральном узле 4 , а на узле доступа 3 информация об этих данных отсутствует, узел доступа 3 не может установить подлинность сеанса и производит соединение с центральным узлом 2 либо с резервным центральным узлом 4, в случае, когда соединение с центральным узлом 2 не установлено. После успешной проверки подлинности сеанса второго пользователя на центральном узле 2 либо на резервном центральном узле 4, данные атрибутов пользовательского сеанса, представленные идентификатором пользовательского сеанса и факторами прохождения аутентификации, подписанные центральным узлом 2 или резервным центральным узлом 4, сохраняют на первом узле доступа 3, который затем устанавливает проверку привилегированности доступа второго пользователя к данным закрытого подраздела учебно-научной лаборатории информационно-измерительных и управляющих комплексов и систем корпоративного портала университета. В результате проверки привилегированности первый узел доступа 3 устанавливает отсутствие привилегированности доступа второго пользователя к закрытому подразделу и отправляет ему сообщение об отказе в доступе к запрашиваемым данным.After successful authentication, the second user makes a second request to the first access node 3 to gain access to the data of the closed subsection of the educational and scientific laboratory of information-measuring and control complexes and systems of the corporate portal of the university (Fig. 3). The first access node 3 processes the second request and attempts to authenticate the session of the second user. Due to the fact that the session data is stored only on the central node 2 or the backup central node 4, and there is no information about this data on the access node 3, the access node 3 cannot establish the authenticity of the session and connects to the central node 2 or to the backup central node 4, in the case when the connection with the Central node 2 is not established. After successful authentication of the second user's session on central node 2 or on the backup central node 4, the user session attribute data represented by the user session identifier and authentication factors signed by the central node 2 or the backup central node 4 is stored on the first access node 3, which then establishes a privilege check of the second user’s access to the data of the closed subsection of the educational research laboratory s and control complexes and systems of the corporate portal of the university. As a result of the privilege check, the first access node 3 establishes the lack of privilege for the second user to access the closed subsection and sends him a message about the denial of access to the requested data.

В случае если второй пользователь пытается получить доступ к общедоступному разделу первого информационно-вычислительного ресурса 5, он повторяет порядок действий, продемонстрированный на фиг. 3. При этом, если на первом узле доступа 3, к которому обращается второй пользователь, сохранены атрибуты пользовательского сеанса, представленные идентификатором пользовательского сеанса и факторами прохождения аутентификации, доступ к запрашиваемым данным будет ему предоставлен без проверки подлинности пользовательского сеанса на центральном узле 2 или резервном центральном узле 4, т.к. второй пользователь имеет привилегированный доступ к общедоступному разделу. If the second user tries to access the public section of the first computing resource 5, he repeats the procedure shown in FIG. 3. At the same time, if the attributes of the user session, represented by the user session identifier and authentication factors, are stored on the first access node 3, which is accessed by the second user, access to the requested data will be granted to it without authentication of the user session on the central node 2 or backup central node 4, as the second user has privileged access to the public section.

Пример 3.Example 3

В данном примере рассмотрен процесс попытки осуществления первым или вторым пользователем доступа к данным разделов второго информационно-вычислительного ресурса 5.In this example, we consider the process of attempting the first or second user to access data sections of the second information and computing resource 5.

В случае, если пользователь пытается получить доступ к общедоступному информационному разделу второго информационно-вычислительного ресурса 5, выполняется порядок действий, продемонстрированный на фиг. 3. Поскольку пользователь имеет привилегированный доступ к данному разделу, доступ к запрашиваемым данным будет ему предоставлен.In the event that the user tries to access the public information section of the second information and computing resource 5, the procedure shown in FIG. 3. Since the user has privileged access to this section, access to the requested data will be provided to him.

В случае, если пользователь пытается получить доступ к данным закрытого подраздела второго информационно-вычислительного ресурса 5, он получит сообщение об отказе в доступе к запрашиваемым данным, поскольку не имеет привилегированного доступа к закрытому подразделу второго информационно-вычислительного ресурса 5, в отличие от пользователей-сотрудников коммерческой компании, которые имеют привилегированный доступ к закрытому подразделу второго информационно-вычислительного ресурса 5.If the user tries to access the data of the private subsection of the second information and computing resource 5, he will receive a message about the denial of access to the requested data, since he does not have privileged access to the private subsection of the second information and computing resource 5, unlike the users employees of a commercial company who have privileged access to the private subsection of the second information and computing resource 5.

Реализация предложенного способа не ограничивается использованием только тех протоколов, которые приведены на фиг.2.The implementation of the proposed method is not limited to using only those protocols, which are shown in figure 2.

Приведенные примеры подтверждают осуществимость заявленного способа с достижением указанного технического результата:The above examples confirm the feasibility of the claimed method with the achievement of the specified technical result:

- повышение надежности и отказоустойчивости за счет введения в способ дублирования аутентификационных данных на резервный центральный узел защищенной виртуальной среды путем пассивной репликации их с центрального узла;  - improving reliability and fault tolerance by introducing into the method of duplication of authentication data on the backup central node of a secure virtual environment by passively replicating them from the central node;

- повышение защищенности информации за счет того, что аутентификационные данные хранятся только на центральном узле и резервном центральном узле защищенной виртуальной среды, а на узлах доступа хранят только атрибуты сеансов пользователей, представленные идентификатором пользовательского сеанса и факторами прохождения аутентификации, подписанными указанными центральным узлом или резервным центральным узлом, что обеспечивает соответствие стандартам безопасности для глобальных сетей; - increasing the security of information due to the fact that authentication data is stored only on the central node and the backup central node of the secure virtual environment, and on the access nodes only user session attributes are represented by the user session identifier and authentication factors signed by the specified central node or the backup central Node that ensures compliance with security standards for wide area networks;

- при этом сохраняется возможность централизованного процесса аутентификации пользователей в защищенной виртуальной среде для доступа к распределенным информационно-вычислительным ресурсам в виде сети корпоративных порталов.- at the same time, there remains the possibility of a centralized user authentication process in a secure virtual environment for access to distributed information and computing resources in the form of a network of corporate portals.

Claims (1)

Способ предоставления доступа к распределенным информационно-вычислительным ресурсам в виде корпоративных порталов через защищенную виртуальную среду, включающий реализацию механизма единого пользовательского сеанса в сети порталов путем централизованного процесса аутентификации пользователей распределенной сети порталов с пассивной репликацией, создание сеансов в случае отказа центрального узла, идентификацию пользователя сети порталов по активному сеансу и проведение проверки подлинности для неидентифицированных пользователей, отличающийся тем, что при централизованном процессе аутентификации пользователей распределенной сети пассивную репликацию аутентификационных данных с центрального узла сети осуществляют на резервный центральный узел, при этом аутентификационные данные пользователей хранят только на сервере LDAP центрального узла и сервере LDAP центрального резервного узла защищенной виртуальной среды, запрос для доступа к информационно-вычислительному ресурсу обрабатывает один из узлов доступа защищенной виртуальной среды, который производит проверку подлинности сеанса пользователя на центральном узле, в результате успешной проверки подлинности сеанса пользователя клиентского ПК центральный узел в виде ответа на запрос направляет на узел доступа атрибуты сеанса пользователя, представленные идентификатором пользовательского сеанса и факторами прохождения аутентификации, подписанные центральным узлом, которые узел доступа сначала сохраняет на сервере LDAP узла доступа, затем проводит проверку привилегированности доступа пользователя к запрашиваемым данным информационно-вычислительного ресурса и затем, в результате успешной проверки, предоставляет к ним доступ, а в случае запроса пользователя к другому информационно-вычислительному ресурсу проверку подлинности сеанса пользователя производят путем проверки атрибутов сеансовых данных, хранимых на сервере LDAP узла доступа. A method of providing access to distributed information and computing resources in the form of corporate portals through a secure virtual environment, including the implementation of a single user session mechanism in a network of portals through a centralized authentication process for users of a distributed network of portals with passive replication, creating sessions in the event of a central node failure, network user identification portals for an active session and authentication for unidentified users leu, characterized in that in the centralized authentication process of users of a distributed network, passive replication of authentication data from the central network node is carried out to the backup central node, while user authentication data is stored only on the LDAP server of the central node and the LDAP server of the central backup node of the protected virtual environment to access an information and computing resource, it processes one of the access nodes of a protected virtual environment, which produces verification of the authenticity of the user session on the central node, as a result of the successful authentication of the user session of the client PC user, the central node, in the form of a response to the request, sends to the access node user session attributes represented by the user session identifier and authentication factors signed by the central node, which the access node first saves on the LDAP server of the access node, then checks the privilege of user access to the requested data information -vychislitelnogo resource, and then, as a result of a successful verification, providing access to them, and in the case of a user to other information resources check the authenticity of the user session query is performed by checking the session attribute data stored in the LDAP node to access the server.
RU2016123488A 2016-06-15 2016-06-15 Method of access granting to distributed data and computational resources as corporate portals via protected virtual environment RU2626664C1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
RU2016123488A RU2626664C1 (en) 2016-06-15 2016-06-15 Method of access granting to distributed data and computational resources as corporate portals via protected virtual environment

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
RU2016123488A RU2626664C1 (en) 2016-06-15 2016-06-15 Method of access granting to distributed data and computational resources as corporate portals via protected virtual environment

Publications (1)

Publication Number Publication Date
RU2626664C1 true RU2626664C1 (en) 2017-07-31

Family

ID=59632729

Family Applications (1)

Application Number Title Priority Date Filing Date
RU2016123488A RU2626664C1 (en) 2016-06-15 2016-06-15 Method of access granting to distributed data and computational resources as corporate portals via protected virtual environment

Country Status (1)

Country Link
RU (1) RU2626664C1 (en)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111611075A (en) * 2020-05-19 2020-09-01 北京达佳互联信息技术有限公司 Virtual resource request processing method and device, electronic equipment and storage medium

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
RU2169942C1 (en) * 1999-10-25 2001-06-27 Щеглов Андрей Юрьевич Distributed system for protection of computer systems and networks
US7017183B1 (en) * 2001-06-29 2006-03-21 Plumtree Software, Inc. System and method for administering security in a corporate portal
US7844625B2 (en) * 2002-05-31 2010-11-30 Bea Systems, Inc. Managing secured resources in web resources that are accessed by multiple portals
RU2009126832A (en) * 2009-07-15 2011-01-20 Закрытое акционерное общество "Информационная внедренческая компания" (ЗАО "ИВК") (RU) METHOD FOR MANAGING IDENTIFICATION OF USERS OF INFORMATION RESOURCES OF AN INHOMOGENEOUS COMPUTER NETWORK
US8132261B1 (en) * 2003-12-12 2012-03-06 Oracle International Corporation Distributed dynamic security capabilities with access controls

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
RU2169942C1 (en) * 1999-10-25 2001-06-27 Щеглов Андрей Юрьевич Distributed system for protection of computer systems and networks
US7017183B1 (en) * 2001-06-29 2006-03-21 Plumtree Software, Inc. System and method for administering security in a corporate portal
US7844625B2 (en) * 2002-05-31 2010-11-30 Bea Systems, Inc. Managing secured resources in web resources that are accessed by multiple portals
US8132261B1 (en) * 2003-12-12 2012-03-06 Oracle International Corporation Distributed dynamic security capabilities with access controls
RU2009126832A (en) * 2009-07-15 2011-01-20 Закрытое акционерное общество "Информационная внедренческая компания" (ЗАО "ИВК") (RU) METHOD FOR MANAGING IDENTIFICATION OF USERS OF INFORMATION RESOURCES OF AN INHOMOGENEOUS COMPUTER NETWORK

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111611075A (en) * 2020-05-19 2020-09-01 北京达佳互联信息技术有限公司 Virtual resource request processing method and device, electronic equipment and storage medium
CN111611075B (en) * 2020-05-19 2024-03-05 北京达佳互联信息技术有限公司 Virtual resource request processing method and device, electronic equipment and storage medium

Similar Documents

Publication Publication Date Title
KR100920871B1 (en) Methods and systems for authentication of a user for sub-locations of a network location
US8527754B2 (en) Authorizing information flows based on a sensitivity of an information object
US7536722B1 (en) Authentication system for two-factor authentication in enrollment and pin unblock
US8997196B2 (en) Flexible end-point compliance and strong authentication for distributed hybrid enterprises
US7975295B2 (en) Associating security information with information objects
US7793100B2 (en) Reference monitor for enforcing information flow policies
D'Silva et al. Building a zero trust architecture using kubernetes
WO2017167019A1 (en) Cloud desktop-based processing method and apparatus, and computer storage medium
CN109257209A (en) A kind of data center server centralized management system and method
US11290443B2 (en) Multi-layer authentication
CN108964885A (en) Method for authenticating, device, system and storage medium
CN108111473A (en) Mixed cloud Explore of Unified Management Ideas, device and system
CN105991614A (en) Open authorization, resource access method and device, and a server
Dóczi et al. Increasing ROS 1. x communication security for medical surgery robot
KR20230027241A (en) shared resource identification
US8176533B1 (en) Complementary client and user authentication scheme
KR101510290B1 (en) Apparatus for implementing two-factor authentication into vpn and method for operating the same
Fareed et al. Privacy-preserving multi-factor authentication and role-based access control scheme for the E-healthcare system
RU2626664C1 (en) Method of access granting to distributed data and computational resources as corporate portals via protected virtual environment
KR101404537B1 (en) A server access control system by automatically changing user passwords and the method thereof
Cahill et al. Client-based authentication technology: user-centric authentication using secure containers
Thapa et al. Security analysis of user authentication and methods
Gkotsis Creating a windows active directory lab and performing simulated attacks
Hurson et al. Security issues and solutions in distributed heterogeneous mobile database systems.
CN118118227A (en) Unified identity authentication method and device

Legal Events

Date Code Title Description
QB4A Licence on use of patent

Free format text: LICENCE FORMERLY AGREED ON 20180314

Effective date: 20180314