RU2634184C2 - Verification method of the user tasks safe distribution according to the grid system units - Google Patents
Verification method of the user tasks safe distribution according to the grid system units Download PDFInfo
- Publication number
- RU2634184C2 RU2634184C2 RU2016111524A RU2016111524A RU2634184C2 RU 2634184 C2 RU2634184 C2 RU 2634184C2 RU 2016111524 A RU2016111524 A RU 2016111524A RU 2016111524 A RU2016111524 A RU 2016111524A RU 2634184 C2 RU2634184 C2 RU 2634184C2
- Authority
- RU
- Russia
- Prior art keywords
- grid system
- nodes
- user
- node
- legitimate
- Prior art date
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6209—Protecting access to data via a platform, e.g. using keys or access control rules to a single file or object, e.g. in a secure envelope, encrypted and accessed using a key, or with access control rules appended to the object itself
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/46—Multiprogramming arrangements
- G06F9/50—Allocation of resources, e.g. of the central processing unit [CPU]
- G06F9/5061—Partitioning or combining of resources
- G06F9/5072—Grid computing
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
Abstract
Description
Изобретение относится к области вычислительной техники и может найти применение в распределенных вычислительных сетях типа «грид» (грид-системах).The invention relates to the field of computer technology and can find application in distributed computing networks of the “grid” type (grid systems).
Известен способ распределения пользовательских задач по узлам грид-системы, реализованный в сервисе контроля доступа GRAM. При выполнении запроса на предоставление информационных и вычислительных ресурсов каждый узел, входящий в состав грид-системы, осуществляет авторизацию учетной записи пользователя путем отображения глобального идентификатора учетной записи в локальный идентификатор. Учетная запись пользователя грид-системы может инициировать выполнение пользовательской задачи только на тех узлах грид-системы, где она авторизована. [Кирьянов А.К., Рябов Ю.Ф. Введение в технологию Грид: Учебное пособие. - Гатчина: ПИЯФ РАН, 2006. - 39 с.].A known method of distributing user tasks on the nodes of the grid system, implemented in the access control service GRAM. When executing a request for the provision of information and computing resources, each node that is part of the grid system authorizes the user account by mapping the global account identifier to a local identifier. The user account of the grid system can initiate the execution of the user task only on those nodes of the grid system where it is authorized. [Kiryanov A.K., Ryabov Yu.F. Introduction to Grid Technology: A Training Manual. - Gatchina: PNPI RAS, 2006. - 39 p.].
Недостатком способа является отсутствие учета таких состояний системы, при которых несколько учетных записей пользователей авторизуются на одном и том же узле грид-системы под одной локальной учетной записью. Это приводит к тому, что один пользователь может получить доступ к данным других пользователей, совместно с которыми он прошел процедуру авторизации на узле грид-системы, не имея права на такой доступ в соответствии с политикой безопасности.The disadvantage of this method is the lack of accounting for such system states in which several user accounts are authorized on the same node of the grid system under one local account. This leads to the fact that one user can access the data of other users, with whom he went through the authorization procedure on the node of the grid system, not having the right to such access in accordance with the security policy.
Известен способ распределения пользовательских задач по узлам грид-системы, в котором перед передачей пользовательской задачи на узел грид-системы сопоставляют права доступа, запрашиваемые учетной записью пользователя, с уже предоставленными правами доступа на выбранных узлах грид-системы. Затем, учитывая правила разграничения доступа, формируют множество узлов грид-системы, на которых допустимо выполнение пользовательской задачи (легитимных узлов) [RU 2536678 С1, опубл. 27.12. 2014 г.]. Это техническое решение выбрано в качестве прототипа.A known method of distributing user tasks on the nodes of the grid system, in which before transferring the user task to the node of the grid system, the access rights requested by the user account are compared with the already granted access rights on the selected nodes of the grid system. Then, given the rules of access control, form a set of nodes of the grid system on which it is permissible to perform a user task (legitimate nodes) [RU 2536678 C1, publ. 12/27. 2014]. This technical solution is selected as a prototype.
Недостаток известного способа заключается в том, что при определении легитимности узла грид-системы выполняется верификация учетной записи пользователя, запрашивающего ресурсы грид-системы, и не выполняется верификация учетной записи пользователя, обладающей административными полномочиями на данном узле грид-системы. Это приводит к тому, что учетная запись пользователя, обладающая административными полномочиями на узле грид-системы, предоставляющем свои вычислительные ресурсы, получает доступ к данным других учетных записей пользователей грид-системы. В результате происходит утечка данных, что имеет негативные последствия в виде нарушений безопасности данных и функционирования системных процессов в грид-системах.The disadvantage of this method is that when determining the legitimacy of the node of the grid system, the verification of the user account requesting the resources of the grid system is performed, and the verification of the user account that has administrative authority on this node of the grid system is not performed. This leads to the fact that a user account that has administrative authority on the node of the grid system that provides its computing resources gains access to the data of other user accounts of the grid system. As a result, a data leak occurs, which has negative consequences in the form of data security violations and the functioning of system processes in grid systems.
Задача, на решение которой направлено предлагаемое изобретение, заключается в создании способа верификации безопасного распределения пользовательских задач по узлам грид-системы, обладающего свойствами защищенности от учетных записей пользователей, наделенными административными полномочиями на узлах грид-системы, предоставляющих свои вычислительные ресурсы, и сокращении временных и экономических затрат на поддержание надежного функционирования грид-систем за счет сокращения времени простоя оборудования, вызванного его отказом вследствие осуществления компьютерных атак на ресурсы грид-систем.The problem to which the invention is directed, is to create a method for verifying the safe distribution of user tasks on the nodes of the grid system, which has the properties of security from user accounts, endowed with administrative authority on the nodes of the grid system that provide their computing resources, and reduce time and economic costs of maintaining the reliable functioning of grid systems by reducing equipment downtime caused by its failure to consequence of computer attacks on the resources of grid systems.
Для решения этой задачи, в отличие от известного способа распределения пользовательской задачи по узлам грид-системы, включающего принятие решения о легитимности узлов на основании сопоставления прав доступа, запрашиваемых учетной записью пользователя грид-системы, с уже предоставленными правами доступа на этих узлах и распределение пользовательской задачи по легитимным узлам после принятия решения об их легитимностиTo solve this problem, in contrast to the known method of distributing a user task among nodes of a grid system, including deciding on the legitimacy of nodes based on a comparison of access rights requested by a user account of a grid system with the already granted access rights on these nodes and distribution of user tasks on legitimate nodes after deciding on their legitimacy
в предлагаемом способе вначале создают пару криптографических ключей шифрования: открытый и закрытый ключи шифрования;in the proposed method, first create a pair of cryptographic encryption keys: public and private encryption keys;
затем принимают решение о легитимности узлов грид-системы и выполняют обмен ключами шифрования;then decide on the legitimacy of the nodes of the grid system and exchange encryption keys;
после этого шифруют данные, содержащиеся в пользовательской задаче, открытым ключом шифрования и распределяют пользовательскую задачу по легитимным узлам грид-системы;after that, the data contained in the user task is encrypted with the public encryption key and the user task is distributed among the legitimate nodes of the grid system;
легитимные узлы грид-системы расшифровывают полученные данные и выполняют пользовательскую задачу.the legitimate nodes of the grid system decrypt the received data and perform the user task.
Предварительное шифрование данных учетной записью пользователя, инициирующей запрос на предоставление ресурсов грид-системы, исключает возможность получения несанкционированного доступа к этим данным со стороны учетных записей пользователей, наделенных административными полномочиями на узлах грид-системы.Pre-encryption of data by the user account initiating the request for the provision of grid system resources eliminates the possibility of unauthorized access to this data from user accounts endowed with administrative authority on the nodes of the grid system.
Изобретение поясняется чертежами, где фиг. 1 - схема грид-системы, фиг. 2 - схема реализации предложенного технического решения.The invention is illustrated by drawings, where FIG. 1 is a diagram of a grid system, FIG. 2 is a diagram of the implementation of the proposed technical solution.
Грид-система содержит узлы 1, 2, 3, 4, 5, 6, 7, представляющие собой вычислительные устройства. В грид-системе реализована программная база Globus Toolkit 5.0. Цифровые сертификаты учетных записей пользователей и узлов грид-системы являются легитимными.The grid system contains
Узел 1 является провайдером ресурсов Т1={'пользовательские_данные'};
узел 2 является провайдером ресурсов T2={'ресурсы_ПО'}
узел 3 является провайдером ресурсов Т3={'пользовательские_данные'};
узел 4 является провайдером ресурсов Т4={'вычислительные_ресурсы'};node 4 is a resource provider T 4 = {'computing_resources'};
узел 5 является провайдером ресурсов T5=['пользовательские_данные'};
узел 6 является провайдером ресурсов T6={'ресурсы_ПО'};
узел 7 является провайдером ресурсов T7={'пользовательские_данные'}.
В грид-системе заданы следующие правила разграничения доступа, которые предусматривают два типа доступа: доступ к вычислительным ресурсам и к данным учетных записей пользователей грид-системы:The following access control rules are defined in the grid system, which provide for two types of access: access to computing resources and user account data of the grid system:
Правило №1. Учетная запись пользователя U1 может хранить данные на узле 1.
Правило №2. Учетная запись пользователя U1 не может хранить данные на узле 6.
Правило №3. Учетная запись пользователя U3 может исполнять приложения на узле 7.
Правило №4. Учетная запись пользователя U4 может хранить данные на узле 1.Rule number 4. The user account U 4 can store data on
Правило №5. Учетная запись пользователя U5 может исполнять приложения на узле 3.
Правило №6. Учетная запись пользователя U5 не может выполнять никаких действий на узле 1.
Правило №7. Учетная запись пользователя U1 может исполнять приложения на узле 4.
Правило №8. Учетная запись пользователя U7 может хранить данные на узле 1.Rule number 8. The user account U 7 can store data on
Правило №9. Учетная запись пользователя U1 может исполнять приложения на узле 2.Rule number 9. User account U 1 can execute applications on
Предлагаемый способ может быть реализован следующим образом.The proposed method can be implemented as follows.
Изначально в грид-системе отсутствуют пользовательские задачи. При запросе на выполнение пользовательской задачи на узле 1 с учетной записью пользователя U1 с типом метки Т={'пользовательские_данные', 'вычислительные_ресурсы', U1} сначала выполняется взаимная аутентификация узла грид-системы с учетной записью пользователя грид-системы посредством проверки их цифровых сертификатов.Initially, there are no user tasks in the grid system. When requesting to perform a user task on
Поскольку цифровые сертификаты учетных записей пользователей и узлов грид-системы являются легитимными, выполняется первичная обработка пользовательской задачи, инициированной процессами от имени учетной записи пользователя, посредством определения доступных узлов грид-системы, анализа их загруженности, производительности, а также доступных типов ресурсов. Для успешного выполнения данной задачи в соответствии с типом ее метки Т провайдеры ресурсов (узлы грид-системы) должны располагать следующим множеством ресурсов: {'пользовательские_данные', 'вычислительные_ресурсы'}. В результате определено множество доступных узлов грид-системы, суммарно способных выполнить данную задачу: узел 3 и узел 4. Остальные узлы либо чрезмерно загружены выполнением других задач, либо не обладают нужным типом ресурсов.Since the digital certificates of user accounts and nodes of the grid system are legitimate, initial processing of the user task initiated by the processes on behalf of the user account is performed by determining the available nodes of the grid system, analyzing their workload, performance, and available types of resources. To successfully complete this task in accordance with the type of its label T, resource providers (nodes of the grid system) must have the following set of resources: {'user_data', 'computational_resources'}. As a result, the set of available nodes of the grid system that are capable of performing this task in total has been determined:
Затем выполняют шифрование данных, содержащихся в пользовательской задаче. Для этого создают пару криптографических ключей: открытый ключ шифрования, предназначенный для зашифровывания данных, и закрытый ключ шифрования, предназначенный для расшифровывания данных.Then, the data contained in the user task is encrypted. To do this, create a pair of cryptographic keys: a public encryption key, designed to encrypt data, and a private encryption key, designed to decrypt data.
Затем определяют множество легитимных узлов грид-системы (например, посредством построения дерева достижимости сети Петри, моделирующей данную грид-систему). Для каждой вершины полученного дерева выполняют сравнение запрашиваемых прав доступа с предоставленными правами доступа и с правилами разграничения доступа. Сначала проверяют узел 6 путем последовательного просмотра правил доступа, в результате чего находят правило №2 (в соответствии с набором правил, представленным выше), которое не позволяет учетной записи пользователя U1 хранить свои данные на узле 6. Затем проверяют узел 2, в результате чего находят правило №9, которое разрешает учетной записи пользователя U1 исполнять приложения на узле 2. Переход от узла 1 до узла 2 образует первую часть маршрута распределения пользовательских задач по узлам грид-системы. Затем аналогично строится оставшаяся часть маршрута. Таким образом, узел 3 и узел 4 являются конечными пунктами маршрута распределения пользовательской задачи.Then, many legitimate nodes of the grid system are determined (for example, by constructing the reachability tree of the Petri net modeling this grid system). For each vertex of the resulting tree, the requested access rights are compared with the granted access rights and with access control rules. First, check
Затем выполняют обмен ключами шифрования между учетной записью пользователя U1 и полученными легитимными узлами грид-системы: 3 и 4.Then, the encryption keys are exchanged between the user account U 1 and the received legitimate nodes of the grid system: 3 and 4.
После этого учетная запись пользователя U1 выполняет зашифровывание данных пользовательской задачи на узле 1 с помощью открытого ключа шифрования.After that, the user account U 1 encrypts the user task data on the
В соответствии с определенным ранее маршрутом распределения пользовательской задачи по узлам грид-системы пользовательскую задачу передают на узлы 3 и 4.In accordance with the previously defined route for distributing the user task among the nodes of the grid system, the user task is passed to
На указанных узлах грид-системы выполняют расшифровывание данных пользовательской задачи с помощью закрытого ключа шифрования. После этого программный сервис грид-системы, расположенный на указанных узлах, запускает задачу от имени локальной учетной записи пользователя, в результате чего задействует ресурсы на узлах 3 и 4.On the indicated nodes of the grid system, the data of the user task is decrypted using the private encryption key. After that, the software service of the grid system located on the indicated nodes starts the task on behalf of the local user account, as a result of which it uses resources on
Применение данного изобретения в существующих реализациях грид-систем позволит улучшить защиту информационных и вычислительных ресурсов грид-систем от несанкционированного доступа, а также сократить временные и экономические затраты на поддержание надежного функционирования грид-систем за счет сокращения времени простоя оборудования, вызванного его отказом вследствие осуществления компьютерных атак на ресурсы грид-систем. Применение предлагаемой в изобретении системы позволит автоматизировать процедуру анализа безопасности, придать ей объективный характер и тем самым обеспечить высокий уровень надежности и защищенности грид-систем.The use of this invention in existing implementations of grid systems will improve the protection of information and computing resources of grid systems from unauthorized access, as well as reduce the time and economic costs of maintaining the reliable functioning of grid systems by reducing equipment downtime caused by equipment failure due to computer attacks on the resources of grid systems. The use of the system proposed in the invention will automate the security analysis procedure, give it an objective character and thereby ensure a high level of reliability and security of grid systems.
Claims (1)
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
RU2016111524A RU2634184C2 (en) | 2016-03-28 | 2016-03-28 | Verification method of the user tasks safe distribution according to the grid system units |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
RU2016111524A RU2634184C2 (en) | 2016-03-28 | 2016-03-28 | Verification method of the user tasks safe distribution according to the grid system units |
Publications (2)
Publication Number | Publication Date |
---|---|
RU2016111524A RU2016111524A (en) | 2017-09-29 |
RU2634184C2 true RU2634184C2 (en) | 2017-10-24 |
Family
ID=60047547
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
RU2016111524A RU2634184C2 (en) | 2016-03-28 | 2016-03-28 | Verification method of the user tasks safe distribution according to the grid system units |
Country Status (1)
Country | Link |
---|---|
RU (1) | RU2634184C2 (en) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
RU2787851C1 (en) * | 2018-12-26 | 2023-01-13 | Сюньтэн (Гуандун) Текнолоджи Ко., Лтд. | Method for personal identification based on dynamic rasterization and device and server for its implementation |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7644153B2 (en) * | 2003-07-31 | 2010-01-05 | Hewlett-Packard Development Company, L.P. | Resource allocation management in interactive grid computing systems |
US7765552B2 (en) * | 2004-09-17 | 2010-07-27 | Hewlett-Packard Development Company, L.P. | System and method for allocating computing resources for a grid virtual system |
US8261277B2 (en) * | 2006-04-10 | 2012-09-04 | General Electric Company | System and method for dynamic allocation of resources in a computing grid |
RU2494453C2 (en) * | 2011-11-24 | 2013-09-27 | Закрытое акционерное общество "Лаборатория Касперского" | Method for distributed performance of computer security tasks |
RU2536678C1 (en) * | 2013-07-30 | 2014-12-27 | ООО "НеоБИТ" | Method of authentication of user accounts in grid systems and system for its implementation |
-
2016
- 2016-03-28 RU RU2016111524A patent/RU2634184C2/en active
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7644153B2 (en) * | 2003-07-31 | 2010-01-05 | Hewlett-Packard Development Company, L.P. | Resource allocation management in interactive grid computing systems |
US7765552B2 (en) * | 2004-09-17 | 2010-07-27 | Hewlett-Packard Development Company, L.P. | System and method for allocating computing resources for a grid virtual system |
US8261277B2 (en) * | 2006-04-10 | 2012-09-04 | General Electric Company | System and method for dynamic allocation of resources in a computing grid |
RU2494453C2 (en) * | 2011-11-24 | 2013-09-27 | Закрытое акционерное общество "Лаборатория Касперского" | Method for distributed performance of computer security tasks |
RU2536678C1 (en) * | 2013-07-30 | 2014-12-27 | ООО "НеоБИТ" | Method of authentication of user accounts in grid systems and system for its implementation |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
RU2787851C1 (en) * | 2018-12-26 | 2023-01-13 | Сюньтэн (Гуандун) Текнолоджи Ко., Лтд. | Method for personal identification based on dynamic rasterization and device and server for its implementation |
Also Published As
Publication number | Publication date |
---|---|
RU2016111524A (en) | 2017-09-29 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
WO2021114923A1 (en) | Data storage method and apparatus and data reading method and apparatus for private data | |
Patwary et al. | FogAuthChain: A secure location-based authentication scheme in fog computing environments using Blockchain | |
US9846778B1 (en) | Encrypted boot volume access in resource-on-demand environments | |
US20210344482A1 (en) | Method of data transfer, a method of controlling use of data and cryptographic device | |
EP4318286A1 (en) | Secure multi-party computation | |
WO2022073264A1 (en) | Systems and methods for secure and fast machine learning inference in trusted execution environment | |
CN104980477A (en) | Data access control method and system in cloud storage environment | |
CN110771091A (en) | System and method for security of network connected devices | |
Selvamani et al. | A review on cloud data security and its mitigation techniques | |
CN113572791B (en) | Video Internet of things big data encryption service method, system and device | |
CN111541542A (en) | Request sending and verifying method, device and equipment | |
US10516655B1 (en) | Encrypted boot volume access in resource-on-demand environments | |
CN108521424A (en) | Distributed data processing method towards heterogeneous terminals equipment | |
Balusamy et al. | Collective advancements on access control scheme for multi-authority cloud storage system | |
RU2634184C2 (en) | Verification method of the user tasks safe distribution according to the grid system units | |
Srisakthi et al. | Towards the design of a secure and fault tolerant cloud storage in a multi-cloud environment | |
CN108616517A (en) | highly reliable cloud platform service providing method | |
Bobde et al. | An approach for securing data on Cloud using data slicing and cryptography | |
Ranjith et al. | Intelligence based authentication-authorization and auditing for secured data storage | |
Konoplev et al. | Access control method in distributed grid computing networks | |
RU2638005C1 (en) | Method for predicting safety in achievable states of grid systems | |
Arya et al. | An authentication approach for data sharing in cloud environment for dynamic group | |
CN108449358A (en) | The safe computational methods of low delay based on cloud | |
Subha et al. | Data Integrity Verification in hybrid cloud using TTPA | |
Kaushik et al. | Cloud computing security: attacks, threats, risk and solutions |