автореферат диссертации по информатике, вычислительной технике и управлению, 05.13.19, диссертация на тему:Метод контроля и управления доступом в распределенных вычислительных сетях

кандидата технических наук
Коноплев, Артем Станиславович
город
Санкт-Петербург
год
2013
специальность ВАК РФ
05.13.19
Диссертация по информатике, вычислительной технике и управлению на тему «Метод контроля и управления доступом в распределенных вычислительных сетях»

Автореферат диссертации по теме "Метод контроля и управления доступом в распределенных вычислительных сетях"

На правах рукописи

Коноплев Артем Станиславович

МЕТОД КОНТРОЛЯ И УПРАВЛЕНИЯ ДОСТУПОМ В РАСПРЕДЕЛЕННЫХ ВЫЧИСЛИТЕЛЬНЫХ СЕТЯХ

Специальность 05.13.19 - Методы и системы защиты информации, информационная безопасность

Автореферат диссертации на соискание ученой степени кандидата технических наук

2 и ПАР 2014

Санкт-Петербург - 2014

005546143

Работа выполнена в Федеральном государственном бюджетном образовательном учреждении высшего профессионального образования "Санкт-Петербургский государственный политехнический университет"

Научный руководитель:

Официальные оппоненты:

Калинин Максим Олегович, доктор технических наук, профессор

Присяжнюк Сергей Прокофьевич, доктор технических наук, профессор, заведующий кафедрой И6 Оптогеоинформатики ФГБОУ ВПО "БГТУ "ВОЕНМЕХ" им. Д.Ф. Устинова"

Томилин Василий Николаевич, кандидат технических наук, системный инженер ООО "Сиско Системе"

Ведущая организация:

ФГБОУ ВПО "Петербургский государственный университет путей сообщения"

Защита состоится апреля 2014 г. в часов на заседании

диссертационного совета Д212.229.27 при ФГБОУ ВПО "Санкт-Петербургский государственный политехнический университет" по адресу 195251, Санкт-Петербург, ул. Политехническая, 29, Главное здание, а. 175.

С диссертационной работой можно ознакомиться в Фундаментальной библиотеке ФГБОУ ВПО "Санкт-Петербургский государственный политехнический университет".

Автореферат разослан

ЪГ

февраля 2014 г.

Ученый секретарь диссертационного совета

Общая характеристика работы

Актуальность. Внедрение функций защиты в распределенные вычислительные сети (РВС) обусловлено ростом числа нарушений безопасности в таких системах (например, инциденты CVE-2009-0046 в Sun GridEngine, CVE-2013-4039 в IBM WebSphere Extended Deployment Compute Grid, связанные с повышением полномочий пользователей). Применение РВС для высокопроизводительной обработки информации ограниченного доступа сопровождается снижением функциональности, в том числе возможности масштабируемости и распараллеливания, вследствие ограничений безопасности, накладываемых на совместное использование ресурсов, связность узлов и перераспределение пользовательских задач. Необходимость в обеспечении защиты информации при минимальных потерях в функциональности РВС -проблема, актуальная для РВС, к которым предъявляются требования функциональной надежности и безопасности: для систем моделирования и обработки операционных данных объектов энергетики, анализа финансовых рисков, проведения ядерных, гсоинформационных и крупномасштабных научных экспериментов и исследований, информационно-аналитических систем.

Известными отечественными и зарубежными учеными (В.Ю. Скиба, В.Е. Козюра, В.А. Курбатов, Ю.М. Зыбарев, В.Г. Криволапое, А. Чакрабарти, Ф. Мартинслли, Д. Хоанг, Л. Рамакришнан, Д. Йенсен) проводятся исследования в области моделирования РВС и обеспечения их защиты от внешнего нарушителя, в том числе от угроз распространения вредоносного программного обеспечения. В прикладных продуктах, например, в подсистемах GRAM в РВС Globus Toolkit, CAS в РВС gLite, реализованы механизмы авторизации пользователей для доступа к вычислительным мощностям РВС. В существующих решениях описание и исполнение политик безопасности (ПБ) производятся на множестве виртуальных организаций и фиксированных состояний РВС, что не учитывает распределения прав на уровне вычислительных процессов и высокой интенсивности миграции задач между вычислительными узлами РВС, что приводит к возможности несанкционированного доступа (НСД) к

обрабатываемым данным. Данная работа опирается на результаты указанных исследований и развивает их в следующих направлениях:

— моделирование распределения пользовательских задач по вычислительным узлам РВС в соответствии с требованиями ПБ;

- разработка метода контроля и управления доступом, обеспечивающего в РВС защиту информации от угроз превышения полномочий пользователей.

Разработанная модель распределения пользовательских задач в РВС с соблюдением требований ПБ, а также построенные на се основе методы и средства позволяют сохранять эксплуатационные характеристики РВС при повышении уровня безопасности информации, в том числе ограниченного доступа, обеспечивают создание защищенных РВС в критически важных отраслях и имеют существенное значение для развития страны.

Цель работы - обеспечение защиты данных, обрабатываемых в распределенных вычислительных сетях, от угроз превышения полномочий пользователей путем разработки метода контроля и управления доступом на основе моделирования распределения пользовательских задач с сохранением функциональных свойств сетей.

Для достижения данной цели в работе решались следующие задачи:

1. Анализ угроз безопасности и механизмов защиты РВС.

2. Построение модели распределения пользовательских задач в РВС, позволяющей описать их параллельное выполнение с учетом отличительных функциональных свойств РВС и задаваемых ограничений доступа к ресурсам.

3. Разработка метода построения карты состояний РВС, позволяющей определять допустимые распределения пользовательских задач в условиях высокой динамики их миграции между узлами РВС.

4. Разработка метода контроля и управления доступом, обеспечивающего защиту информации, обрабатываемой в РВС, от угроз превышения полномочий пользователей и разграничивающего права доступа на уровне пользовательских задач.

5. Разработка архитектуры и реализация системы контроля и управления доступом пользовательских задач к ресурсам РВС.

Научная новизна диссертационной работы состоит в следующем:

— впервые введено понятие ветвящейся раскрашенной функциональной сети Петри, что позволило обеспечить требуемую степень полноты при моделировании безопасного распределения пользовательских задач в РВС с учетом принципов организации распределенных вычислений и предъявляемых требований ПБ;

— разработан метод определения допустимых распределений пользовательских задач в условиях высокой динамики их миграции между вычислительными узлами с использованием деревьев достижимости ветвящихся сетей Петри;

— сформулирована и доказана теорема о безопасности доступа в РВС и на ее основе разработан метод контроля и управления доступом в РВС, обеспечивающий разграничение прав доступа на уровне пользовательских задач.

Практическая ценность работы определяется возможностью использования полученных результатов для автоматизации процедур анализа безопасности научных и коммерческих РВС, для управления и контроля доступа в критически важных РВС, а также для оперативного реагирования на инциденты безопасности в таких системах. Теоретические и экспериментальные результаты работы использованы для подготовки специалистов по защите информации по дисциплине "Безопасность современных высокопроизводительных систем" в ФГБОУ ВПО "СПбГПУ", в НИР "Создание информационно-телекоммуникационных систем высокой доступности и защищенности" (ФЦП "Научные и научно-педагогические кадры инновационной России", 2010-12гг.), при анализе безопасности распределенных вычислительных сетей в СПБГУТ им. М.А. Бонч-Бруевича, создании системы верификации безопасности вычислительных систем в ФГБОУ ВПО "ГУМРФ им. адмирала С.О. Макарова", что подтверждается соответствующими актами об использовании.

Методы исследования. Для решения поставленных задач применены методы системного анализа, теории сетей Петри, теории алгоритмов, теории графов, теории множеств, математического моделирования, математической статистики и математической логики.

Положения, выносимые на защиту:

1. Модель распределения пользовательских задач в РВС на основе ветвящихся сетей Петри.

2. Метод построения карты состояний РВС на основе деревьев достижимости ветвящихся сетей Петри.

3. Теорема о безопасности доступа в РВС, определяющая условия, при которых обеспечивается защита данных, обрабатываемых в РВС, от угроз превышения полномочий пользователей.

4. Метод контроля и управления доступом, обеспечивающий защиту обрабатываемой в РВС информации от угроз превышения полномочий пользователей.

5. Архитектура и система контроля и управления доступом в РВС.

Апробация результатов работы. Основные теоретические и

практические результаты работы представлены и обсуждены на межрегиональной конференции "Информационная безопасность регионов России" (Институт информатики и автоматизации РАН, СПб, 2011г.), на научно-технической конференции "Методы и технические средства обеспечения безопасности информации" (СПб, 2012-2013гг.), на Всероссийской научно-методической конференции "Фундаментальные исследования и инновации в национальных исследовательских университетах" (Москва, 2012г.), на международной конференции "РусКрипто'2012" (Москва, 2012г.), на международной конференции Mathematical Methods, Models, and Architectures for Computer Networks Security (MMM-ACNS) (СПб, 2012г.).

Публикации. По теме диссертации опубликовано 16 научных работ, в том числе 2 заявки на выдачу патента РФ на изобретение.

Объем и структура. Диссертация состоит из введения, четырех глав, заключения и списка литературы из 80 наименований.

Содержание работы

Во введении сформулирована и обоснована задача обеспечения защиты информации, обрабатываемой в РВС.

В первой главе представлены результаты исследований угроз безопасности и механизмов защиты РВС. Анализ показал, что функции безопасности РВС не обеспечивают в полной мере защиту обрабатываемой

информации, в том числе от угроз превышения полномочий пользователей.

Специфичные для РВС угрозы безопасности систематизированы по характеру воздействия на РВС, типу последствий и объекту угрозы (рис. I). Отдельно выделен класс угроз превышения полномочий пользователей, в том числе за счет взаимного влияния пользовательских задач на вычислительных узлах, приводящих к НСД пользователей к данным, обрабатываемым в РВС. Анализ механизмов безопасности в современных РВС (табл. 1) показал, что защита от присоединения к РВС неавторизованных компонентов обеспечивается с помощью механизмов взаимной аутентификации пользователей и провайдеров ресурсов с использованием цифровых сертификатов Х.509, шифрования и цифровой подписи информации, передаваемой между узлами РВС.

Компрометация сертификатов i

ТТОЛЬ?.ОЕЭТ<?Лей ÍI V: то в РВС

Распространен!!!? вредоносного | програмшогообеспечеши

Превышение полномочий

пользователе"! за счет взаимного влшння чйзйч на узлах РВС

Присоелинеште к РВС неавторизовашьа компонентов

НСЛ к обрабатываешь.! даюЕын

Отказ в обслуживании

—| Провайлеры pecvpcoE

] Компьютеры пользователей j

Транспорты

i

Рисунок 1 - Систематизация угроз безопасности РВС Таблица 1 - Механизмы безопасности РВС

Характеристика ( ¿lobas Toolkit UNICORE BOINC gLite

Взаимная аутентификация Х.509 Х.509 Пет Х.509

Применение шифрования транзакций Да Да Пет Да

Применение цифровой подписи транзакций Да Да Да (в одну сторону) Да

Авторизация пользователей в РВС ACL, VOMS. CAS, gridmap gridmap gridmap gridmap, VOMS

Контроль и управление доступом на узлах РВС Нет Пет Нет Нет

Доступ пользователей к вычислительным мощностям РВС реализуется посредством механизма авторизации пользователей, который включает отображение глобальных идентификаторов пользователей в локальные (например, в подсистеме GRAM в РВС Globus Toolkit версий 1 и 2) и определение пользователей, объединенных в виртуальные организации (ВО) для решения одной вычислительной задачи (например, в подсистеме CAS в РВС gLite).

В существующих системах в процессе предоставления доступа к ресурсам РВС не учитываются отношения доступа, заданные на провайдерах ресурсов, и фактическое распределение прав на уровне пользовательских задач. Это обуславливает возможность влияния пользовательских задач на данные и на задачи других пользователей, исполняющихся на тех же узлах РВС, что приводит к возможности НСД к данным со стороны пользователей РВС. Вследствие этого актуальна задача разработки методов и средств контроля и управления доступом пользовательских задач к обрабатываемой в РВС информации.

Для РВС использование подходов, основанных на представлении системы в виде множества состояний с последующим анализом их безопасности, затруднено в условиях частой миграции параллельно выполняющихся пользовательских задач и "взрыва" числа состояний, количество которых возрастает экспоненциально с ростом числа узлов РВС. Необходима разработка модели, применение которой позволит учесть указанные особенности РВС при обработке информации ограниченного доступа.

Во второй главе представлена модель распределения пользовательских задач в РВС. Модель построена на базе математического аппарата ветвящихся раскрашенных функциональных сетей Петри.

РВС представляется в виде сети Петри N = (RP, Т, F,M), где RP = [гр] - конечное множество вершин графа, соответствующих узлам РВС (провайдерам ресурсов), Т = {t} - конечное множество переходов между вершинами графа, F = (RP X Г) U (Т X RP) - отношение смежности вершин, которое задает множество дуг, соединяющих вершины графа и переходы, M = (mi,...,mn) - маркировка сети, представляющая собой вектор целочисленных значений, п — число узлов РВС (рис. 2).

Пользовательские задачи, исполняемые на узлах РВС, представлены маркерами т, е М, 1 < / < п. Множество типов маркеров ЯТ = < С, и >, где С - класс запрашиваемых пользователем РВС ресурсов (вычислительные ресурсы, пользовательские данные и т.д.), и — множество пользователей РВС. Внд переходов между вершинами графа определяется входной и выходной функциями перехода: I ■ ЯРп -> Т и О :Т ЯРП.

Модель распределения пользовательских задач в РВС определяется кортежем X = (Л', и,, '1', J, ЯТ, 5Р, Л), где и, - начальное состояние РВС из множества состояний системы У={у)\ ./- множество активных задач, каждая из которых сопоставлена с пользователем РВС, который инициировал ее выполнение; БР- требования ПБ; Л — текущие отношения доступа на провайдерах ресурсов; ЛЧ/^Л'/'хЛУ-'^Л' —> V - функция перехода РВС из состояния в состояние.

Рисунок 2 - Пример представления РВС с помощью раскрашенной функциональной сети Петри

Комплекс задач по обеспечению защиты данных, обрабатываемых в РВС, от угроз превышения полномочий пользователей включает:

- управление доступом пользователей к обрабатываемым данным -определение множества узлов РВС для выполнения на них пользовательских задач с учетом требований ПБ (известны J, ЯТ, БР, Л; требуется найти ЯР);

— верификацию требований ПБ - выявление отношений доступа, приводящих к отклонениям от требований ПБ (известны У, ЯТ, ЯР, 5Р; требуется найти Я).

(62--

Множество субъектов, образовано пользователями РВС (U). Множеством объектов являются информационные и вычислительные ресурсы РВС. Для У ResProv s RP определен список существующих на нем локальных учетных записей LocalUIDList. Также определена функция GetLocalUIDList, позволяющая получить данный список для определенного провайдера ресурсов. Для \/ResProv е RP определена функция MapUserToUID: <RP, U> -> LocalUIDList, отображающая множество пользователей РВС в локальные учетные записи ResProv.

Пользователю User разрешается доступ к вычислительным ресурсам провайдера ресурсов ResProv, если успешно пройдена процедура взаимной аутентификации, для ResProv определена локальная учетная запись, в которую отображаются пользователи РВС, и данный тип доступа разрешен требованиями ПБ:

HasCompAccessRight(User, ResProv, SP) (1)

= (IsTrustedByU (User, ResProv) а IsTrustedByRP(ResProv, User)a (MapUserToUID(ResProv, User) Ф 0)) л lsAccessAllowedBySP(User, ResProv, SP). Применительно к информационным ресурсам РВС, локальная учетная запись на узле, в которую отображаются пользователи РВС, должна дополнительно иметь право доступа Right к объекту файловой системы Object:

HasFSOAccessRight(User, ResProv, SP, Object, Right) (2)

= IsTrustedByU (User, ResProv) a lsTrustedByRP(ResProv, User)A (LUser = MapUserToU lD(ResProv,U ser)A(LU ser ф 0)л ¡sAccessAllowedBySP(User, ResProv,5Р)л HasLocalAccessRight(LUser, ResProv, Object, Right). Начальная маркировка сети Петрн, описывающей любую РВС -М0 = (m-L,... ,тп). Каждый маркер данной маркировки принимает значение в интервале от 0 до пл, где пА - количество активных узлов РВС, с которых пользователи РВС могут инициировать создание задачи при условии, что сделать это, не получив результата исполнения предыдущей задачи, нельзя (пА < п). Общее число состояний, описывающих такую

РВС, - пАп (например, при п = 1000 мощность множества состояний составляет Ю3000). Для уменьшения пространства состояний построенной модели в работе применяется метод частичного порядка.

Определение 1. Ветвящаяся сеть Петри - функциональная раскрашенная неограниченная сеть Петри, в которой существуют только простые (Т-) переходы и разветвления (Р-переходы).

Ветвящиеся сети Петри - подкласс Е-сетей, которые представляют собой расширение математического аппарата раскрашенных сетей Петри. В работе показано, что любая РВС моделируется ветвящейся сетью Петри.

Теорема 1 (теорема об эквивалентности маркировок). Любая маркировка ветвящейся сети Петри N = (ЛР,Т, М), достижимая из маркировки А/, также достижима из маркировки М'= ..., т'„), /и/= ¡0, 1|, полученной в результате применения к N частичного порядка, равного единице.

Доказательство теоремы определяется отсутствием циклических блокировок в ветвящейся сети Петри, и тем, что количество маркеров в каждой позиции не влияет на условие срабатывания переходов. Эквивалентность маркировок позволяет сократить мощность пространства состояний модели, описывающей произвольную РВС, до 2П состояний.

В третьей главе предложен метод построения карты состояний РВС на основе деревьев достижимости ветвящихся сетей Петри и разработан метод контроля и управления доступом в РВС.

Метод построения карты состояний РВС основан на решении задачи достижимости ветвящейся сети Петри, моделирующей РВС. Для заданной ПБ ЯР и ветвящейся сети Петри N = {ЯР, Т, Р, М) с начальной маркировкой М0 = (гп!,... ,тп) строится дерево достижимости, где в качестве вершин выступают маркировки с минимальным частичным порядком. Такое дерево является конечным и согласно теореме 1 эквивалентно дереву достижимости исходной сети Петри, моделирующей РВС. Вершины полученного дерева образуют множество состояний, в которые может перейти РВС.

Определение 2. Безопасным по доступу состоянием РВС называется состояние V е V, в котором для ветвящейся сети Петри N = (ЯР, Т, Р, М~), описывающей данную РВС, и для заданных множеством БР

требований ПБ \/т е М, \ZJob е ,/ и \ZResProv е ЯР, одновременно выполняются условия:

1. СеУоЬТуреЦоЬ) е ИТк,к Е {1,...,/},/ = |Й7|,

2. Аио^/еаБРтдкгз^Р^оЬТои^оЬ^.КезРгоу) Е ИТ,

где функция СеиоЬТуре : J —>■ ЯТ возвращает тип пользовательской задачи, а функция ЗоЪТо1! : J —» и — идентификатор пользователя, инициировавшего данную задачу.

В безопасном состоянии на каждом узле РВС существуют только те отношения доступа, тип которых разрешен требованиями ПБ.

Теорема 2 (теорема о безопасности доступа в РВС). РВС в данном состоянии безопасна по доступу тогда и только тогда, когда безопасны по доступу данное состояние и все достижимые состояния, являющиеся узлами дерева достижимости ветвящейся сети Петри, моделирующей данную РВС.

Метод контроля и управления доступом в РВС состоит в сопоставлении прав доступа, запрашиваемых пользовательской задачей, с требованиями ПБ и фиксировании узлов РВС, на которых данный тип доступа разрешен. Для каждого зафиксированного узла РВС запрашиваемые права доступа сопоставляются с текущими правами доступа, заданными для всех пользователей на данном узле. В результате формируется множество узлов РВС, на которых допустимо выполнение пользовательской задачи с учетом требований ПБ. На узлы РВС передаются правила нового распределения задач, тем самым корректируется вид выходной функции перехода (рис. 3).

(56

Рисунок 3 — Схема распределения пользовательских задач в соответствии с требованиями ПБ

Предложенный метод контроля и управления доступом в РВС позволяет верифицировать требования ПБ путем применения к каждому состоянию функций проверки (1) и (2).

В четвертой главе представлена архитектура системы контроля и управления доступом пользовательских задач к вычислительным ресурсам РВС, и представлены результаты оценки эффективности ее работы.

Система контроля и управления доступом в РВС имеет централизованную архитектуру (рис. 4) и включает агенты сбора параметров, формирующие описание текущего состояния РВС, и подсистему анализа безопасности РВС, которая реализует управление доступом пользовательских задач к узлам РВС и верификацию требований ПБ. Архитектура системы обеспечивает совместимость со сторонними автоматизированными системами управления и мониторинга РВС (заявка №20131 18953 на выдачу патента РФ на изобретение).

Программные агенты выполняют сбор параметров системы (множества активных пользовательских задач, текущих отношений доступа на узлах РВС, сертификатов пользователей и узлов РВС, типов и параметров авторизации). Информация о состоянии узлов РВС передается в подсистему анализа безопасности. Модуль построения карты состояний

формирует дерево достижимости ветвящейся сети Петри, моделирующей РВС, и рассчитывает последовательность смены состояний РВС. В соответствии с предложенным в работе методом модуль контроля доступа применяет к каждому состоянию функцию проверки выполнения требований ПБ (заявка №2013135959 на выдачу патента РФ на изобретение). Модуль генерации правил управления доступом определяет вид выходной функции перехода для каждого узла РВС и формирует правила управления доступом пользовательских задач. Посредством модулей управления доступом указанные правила применяются на провайдерах ресурсов.

В работе проведена оценка эффективности предложенного метода для обеспечения защиты информации ограниченного доступа, обрабатываемой в РВС, в условиях сохранения их функциональных свойств. В качестве показателя эффективности выступает снижение временных затрат на обработку информации по сравнению с применением организационных мер, заключающихся в разделении РВС на множество слабосвязанных сегментов.

Испытания проведены на лабораторном стенде из 300 вычислительных узлов, представляющих собой виртуальные машины многопроцессорной ЭВМ под управлением Xen Cloud Platform. По результатам 10000 проведенных испытаний с переменным числом узлов для РВС, в состав которой интегрирована разработанная система контроля и управления доступом, успешных реализаций угроз превышения полномочий пользователей не зафиксировано. Число реализованных угроз, до и после применения разработанной системы, представлено на рис. 5.

Общее время Т, необходимое для выполнения пользовательской задачи в РВС, рассчитывается по формуле Т = t0 + t„ + t6, где t0 - время обработки задачи п узлами РВС, t„ — время передачи всей необходимой для расчетов информации на п узлов РВС, t6 — время, затрачиваемое на определение допустимых распределений пользовательских задач в соответствии с предложенным в работе методом.

Время обработки задачи п узлами РВС (в соответствии с законом Амдала) t0 = к1 * (к2 + ~~~)> гДе ~~ общее время выполнения задачи одним узлом, к2 - доля нераспараллеливаемого кода задачи.

СЭ 05ПК£ чагло реаакз&взанътузрйз' 12 Угрс:аы щя ььян;; пш полйомсчи й

Рисунок 5 - Оценка безопасности РВС

Время передачи информации на п узлов РВС £п = п — и время

определения допустимых распределений пользовательских задач Сб =

на каждый узел РВС, к4 - скорость передачи данных между узлами РВС, к5 - число операций, необходимых для верификации безопасности состояния РВС, являющегося узлом дерева достижимости ветвящейся сети Петри, к6 - пиковая вычислительная мощность узла РВС.

Относительное снижение временных затрат на обработку информации ограниченного доступа в РВС при использовании предложенного метода:

где и Т/ - общее время, необходимое для выполнения задачи в РВС, с применением предложенного в работе метода и без, соответственно; с — число категорий информации ограниченного доступа, обрабатываемой в РВС, с1 - число итераций по выполнению пользовательской задачи в РВС.

Типовые решаемые задачи в РВС, на базе которых строятся современные системы моделирования и обработки операционных данных объектов энергетики и ядерных исследований, имеют следующие характеристики: кг « 1 час, к2 ~ 20%, к3 ~ 512 Кб, к4 ~ 100 Мб/с, к5 ~ 102 опер, к6 и 4 * Ю10 опер/с, ?г 500, с = 5. Полученные экспериментальные результаты для РВС с указанными характеристиками представлены на рис. 6.

——, где /с3 - объем необходимых для вычислений данных, передаваемых

(3)

Внедрение системы контроля и управления доступом в РВС обеспечивает защиту обрабатываемых данных от угроз превышения полномочий пользователей, одновременно позволяет сократить временные затраты, связанные с оценкой безопасности, и тем самым увеличить относительную производительность РВС, обрабатывающих информацию ограниченного доступа.

I \

V

¡о.....¡¿о ¿за.....йо зио 393 йда 50<.; ж- ш

а) Общее время выполнения задачи б) Относительное снижение временных затрат

-РВС с использованием предложенного метода

--РВС с разделением на сегменты

Рисунок 6 - Экспериментальные результаты оценки эффективности предложенного метода

Разработанный метод и его реализация в совокупности с применяемыми в современных РВС механизмами безопасности обеспечивают защиту обрабатываемой информации при условии сохранения функциональных свойств РВС.

В заключении приведены результаты и выводы, полученные в ходе выполнения работы.

В работе получены следующие основные результаты:

1. Систематизированы специфичные для РВС угрозы безопасности, выделен класс угроз превышения полномочий пользователей, приводящих к НСД пользователей к данным, обрабатываемым в РВС.

2. Введено понятие "ветвящиеся раскрашенные функциональные сети", дополняющее математический аппарат сетей Петри, что позволило разработать модель распределения пользовательских задач в РВС и сократить мощность пространства состояний данной модели.

3. Разработан метод построения карты состояний РВС на основе деревьев достижимости ветвящихся сетей Петри, что позволило выполнять оценку безопасности состояний РВС и определять допустимые распределения пользовательских задач с учетом их миграций между вычислительными узлами РВС.

4. Сформулирована и доказана теорема безопасности доступа в РВС, определяющая условия, при которых обеспечивается защита данных, обрабатываемых в РВС, от угроз превышения полномочий пользователей, и на ее основе разработан метод контроля и управления доступом в РВС, позволяющий верифицировать требования ПБ и корректировать вид выходной функции перехода путем передачи на узлы РВС правил распределения пользовательских задач.

5. Построена архитектура и разработана система контроля и управления доступом в РВС, обеспечивающая защиту данных, обрабатываемых в РВС, от угроз превышения полномочий пользователей.

Основные результаты диссертационной работы изложены в 16 печатных трудах. Ниже приведены основные из них:

1.Коноплев, A.C. Верификация требований политик информационной безопасности в системах распределенных вычислений / A.C. Коноплев, М.О. Калинин // Системы высокой доступности. - 2012. - №2. - т. 8. - С. 63-67.

2. Коноплев, A.C. Формализация комплекса задач по обеспечению защиты ресурсов грид-систем от несанкционированного доступа / М.О. Калинин, A.C. Коноплев // Проблемы информационной безопасности. Компьютерные системы. - 2012. - №2. - С. 7-13.

3. Konoplev, A.S. Security Modeling of Grid Systems using Petri Nets I Peter D. Zegzhda, Dmitry P. Zegzhda, Maxim O. Kalinin, Artem S. Konoplev // Lecture Notes in Computer Science. - Springer-Verlag Berlin Heidelberg, 2012. - P. 299-308.

4. Способ проверки прав доступа для учетных записей пользователей в грид-системах и система для его осуществления : заявка №2013135959 Рос. Федерация : МПК G06F7/00 / A.C. Коноплев, М.О. Калинин - заявл. 30.07.2013 - 1 с.

5. Способ доверенной интеграции систем управления активным сетевым оборудованием в распределенные вычислительные системы и система для его осуществления : заявка №2013118953 Рос. Федерация :

МПК G06F7/00 / A.C. Коноплев, М.О. Калинин, Д.П. Зегжда - заявл. 23.04.2013- 1 с.

6. Коноплев, A.C. Защита высокопроизводительных вычислительных сетей на основе автоматического управления доступом заданий к вычислительным узлам / А. С. Коноплев // Межрегион, конф. «Информационная безопасность регионов России (ИБРР-2013)» : мат-лы конф. - Спб.: СПОИСУ, 2013. - С. 103-103.

7. Коноплев, A.C. Противодействие кибератакам на информационные ресурсы грид-систем / A.C. Коноплев // Науч.-техн. конф. "Методы и технические средства обеспечения безопасности информации" : мат. конф. — СПб.: Изд-во Политехи, ун-та. 2013. — С. 97-99.

8. Коноплев, A.C. Анализ механизмов обеспечения информационной безопасности в грид-системах / A.C. Коноплев // Науч.-техн. конф. "Методы и технические средства обеспечения безопасности информации" : мат-лы конф. - СПб.: Изд-во Политехи, ун-та. 2012. - С. 105-107.

9. Коноплев, A.C. Способ модельного представления механизмов защиты грид-систем / М.О. Калинин, A.C. Коноплев // Межд. науч.-практич. конф. "Информационная безопасность-2012" : мат-лы конф. Ч. 1. -Таганрог: Изд-во ТТИ ЮФУС. 2012.-С. 51-57.

10. Коноплев, A.C. Поддержание защищенности информационных и вычислительных ресурсов в грид-системах / A.C. Коноплев, М.О. Калинин // Науч.-техн. конф. "Методы и технические средства обеспечения безопасности информации" : мат-лы конф. - СПб.: Изд-во Политехи, ун-та. 2012. - С. 107-110.

11. Коноплев, A.C. Обеспечение высокой защищенности информационно-телекоммуникационных систем распределенных вычислений / A.C. Коноплев // Всерос. научн.-методич. конф. "Фундаментальные исследования и инновации в национальных исследовательских университетах" : мат-лы конф. - СПб.: Изд-во Политехи, ун-та. 2012. - С. 83-84.

12. Коноплев, A.C. Верификация безопасности в грид-системах / М. О. Калинин, А. С. Коноплев // Наука и общество. Наука и прогресс человечества» : тез. секц. докл. СПб науч. форума ; VII Петербургская встреча лауреатов Нобелевской премии ; СПб акад. ун-т - науч.-обр. центр нанотехнологий РАН. - СПб. : Изд-во Политехи, ун-та, 2012. - С. 153-154.

13. Коноплев, A.C. Анализ выполнения политик информационной безопасности в Grid-системах / М. О. Калинин, А. С. Коноплев, Я. А. Марков // Науч.-техн. конф. "Методы и технические средства обеспечения безопасности информации" : мат-лы конф. - СПб. : Изд-во Политехи, унта. 2011.-С. 143-146.

Подписано в печать 26.02.2014. Формат 60x84/16. Печать цифровая. Усл. печ. л. 1,0. Тираж 100. Заказ 11625Ь.

Отпечатано с готового оригинал-макета, предоставленного автором, в типографии Издательства Политехнического университета. 195251, Санкт-Петербург, Политехническая ул., 29. Тел.: (812)550-40-14 Тел./факс: (812)297-57-76

Текст работы Коноплев, Артем Станиславович, диссертация по теме Методы и системы защиты информации, информационная безопасность

Федеральное государственное бюджетное образовательное учреждение

высшего профессионального образования "Санкт-Петербургский государственный политехнический университет"

МЕТОД КОНТРОЛЯ И УПРАВЛЕНИЯ ДОСТУПОМ В РАСПРЕДЕЛЕННЫХ ВЫЧИСЛИТЕЛЬНЫХ СЕТЯХ

Специальность:

05.13.19 - Методы и системы защиты информации, информационная безопасность

На правах рукописи

04201457006

Коноплев Артем Станиславович

Диссертация на соискание ученой степени кандидата технических наук

Научный руководитель: доктор технических наук, профессор Калинин Максим Олегович

Санкт-Петербург — 2013

ОГЛАВЛЕНИЕ

ВВЕДЕНИЕ.............................................................................................................4

1 ИССЛЕДОВАНИЕ УГРОЗ БЕЗОПАСНОСТИ И МЕХАНИЗМОВ ЗАЩИТЫ В РВС....................................................................................................9

1.1 Архитектура современных реализаций РВС.............................................9

1.1.1 Виртуальные организации....................................................................10

1.1.2 Уровни взаимодействия компонентов РВС........................................13

1.1.3 Анализ механизмов безопасности ПО, реализующего РВС..............16

1.1.4 Сравнение механизмов безопасности рассмотренного ПО...............32

1.2 Угрозы безопасности РВС и средства защиты........................................35

1.2.1 Подходы к обеспечению безопасности РВС.......................................38

1.2.2 Подходы к обеспечению безопасности инфраструктуры..................43

1.3 Выводы............................................................................................................45

2 МОДЕЛЬ РАСПРЕДЕЛЕНИЯ ПОЛЬЗОВАТЕЛЬСКИХ ЗАДАЧ В РВС.........................................................................................................................48

2.1 Представление РВС с помощью сетей Петри..........................................49

2.2 Комплекс задач по обеспечению защиты данных, обрабатываемых в РВС, от угроз превышения полномочий пользователей.............................53

2.2.1 Управление доступом пользователей к обрабатываемым данным... 54

2.2.2 Верификация требований ПБ................................................................76

2.3 Уменьшение пространства состояний модели РВС...............................79

2.3.1 Проблема «взрыва» числа состояний...................................................79

2.3.2 Ветвящиеся сети Петри.........................................................................80

2.3.3 Частичный порядок ветвящейся сети Петри.......................................82

2.3.4 Эквивалентность маркировок ветвящейся сети Петри......................83

2.4 Выводы............................................................................................................87

3 МЕТОД КОНТРОЛЯ И УПРАВЛЕНИЯ ДОСТУПОМ В РВС............89

3.1 Метод построения карты состояний РВС................................................89

3.1.1 Построение дерева достижимости.......................................................89

3.1.2 Теорема безопасности доступа в РВС.................................................93

3.2 Метод контроля и управления доступом в РВС.....................................94

3.2.1 Параметры РВС, формирующие начальное состояние системы......96

3.2.2 Верификация безопасности состояний РВС.....................................101

3.3 Распределение пользовательских задач в соответствии с требованиями ПБ...............................................................................................105

3.4 Выводы..........................................................................................................108

4 СИСТЕМА КОНТРОЛЯ И УПРАВЛЕНИЯ ДОСТУПОМ ПОЛЬЗОВАТЕЛЬСКИХ ЗАДАЧ К РЕСУРСАМ РВС..............................110

4.1 Архитектура системы.................................................................................110

4.2 Оценка эффективности работы системы...............................................113

4.2.1 Фиксация состояний РВС....................................................................115

4.2.2 Проверка безопасности состояний РВС............................................117

4.2.3 Оценка снижения временных затрат..................................................117

4.3 Выводы..........................................................................................................119

ЗАКЛЮЧЕНИЕ.................................................................................................121

СПИСОК ИСПОЛЬЗОВАННОЙ ЛИТЕРАТУРЫ.....................................123

ВВЕДЕНИЕ

Внедрение функций защиты в распределенные вычислительные сети (РВС) обусловлено ростом числа нарушений безопасности в таких системах (например, инциденты CVE-2009-0046 в Sun GridEngine, CVE-2013-4039 в IBM WebSphere Extended Deployment Compute Grid, связанные с повышением полномочий пользователей). Применение РВС для высокопроизводительной обработки информации ограниченного доступа сопровождается снижением функциональности, в том числе в масштабируемости и распараллеливаемости, вследствие ограничений безопасности, накладываемых на совместное использование ресурсов, связность узлов и перераспределение пользовательских задач. Необходимость в обеспечении защиты информации при минимальных потерях в функциональности РВС - проблема, актуальная для РВС, к которым предъявляются требования функциональной надежности и безопасности: для систем моделирования и обработки операционных данных объектов энергетики, анализа финансовых рисков, проведения ядерных, геоинформационных и крупномасштабных научных экспериментов и исследований, информационно-аналитических систем.

Известными отечественными и зарубежными учеными (В.Ю. Скиба, В.Е. Козюра, В.А. Курбатов, Ю.М. Зыбарев, В.Г. Криволапов, А. Чакрабарти, Ф. Мартинелли, Д. Хоанг, JT. Рамакришнан, Д. Йенсен) проводятся исследования в области моделирования РВС и обеспечения их защиты от внешнего нарушителя, в том числе от угроз распространения вредоносного программного обеспечения. В прикладных продуктах, например, в подсистемах GRAM в РВС Globus Toolkit, CAS в РВС gLite, реализованы механизмы авторизации пользователей для доступа к вычислительным мощностям РВС. В существующих решениях описание и исполнение политик безопасности (ПБ) производятся на множестве виртуальных организаций и фиксированных состояний РВС, что не учитывает

распределения прав на уровне вычислительных процессов и высокой интенсивности миграции задач между вычислительными узлами РВС, что приводит к возможности несанкционированного доступа (НСД) к обрабатываемым данным. Данная работа опирается на результаты указанных исследований и развивает их в следующих направлениях:

- моделирование распределения пользовательских задач по вычислительным узлам РВС в соответствии с требованиями ПБ;

- разработка метода контроля и управления доступом, обеспечивающего в РВС защиту информации от угроз превышения полномочий пользователей.

Разработанная модель распределения пользовательских задач в РВС с соблюдением требований ПБ, а также построенные на ее основе методы и средства позволяют сохранять эксплуатационные характеристики РВС при повышении уровня безопасности информации, в том числе ограниченного доступа, обеспечивают создание защищенных РВС в критически важных отраслях и имеют существенное значение для развития страны.

Цель работы - обеспечение защиты данных, обрабатываемых в распределенных вычислительных сетях, от угроз превышения полномочий пользователей путем разработки метода контроля и управления доступом на основе моделирования распределения пользовательских задач с сохранением функциональных свойств сетей.

Для достижения данной цели в работе решались следующие задачи:

1. Анализ угроз безопасности и механизмов защиты РВС.

2. Построение модели распределения пользовательских задач в РВС, позволяющей описать их параллельное выполнение с учетом отличительных функциональных свойств РВС и задаваемых ограничений доступа к ресурсам.

3. Разработка метода построения карты состояний РВС, позволяющей определять допустимые распределения пользовательских задач в условиях высокой динамики их миграции между узлами РВС.

4. Разработка метода контроля и управления доступом, обеспечивающего защиту информации, обрабатываемой в РВС, от угроз превышения полномочий пользователей и разграничивающего права доступа на уровне пользовательских задач.

5. Разработка архитектуры и реализация системы контроля и управления доступом пользовательских задач к ресурсам РВС.

Научная новизна диссертационной работы состоит в следующем:

- впервые введено понятие ветвящейся раскрашенной функциональной сети Петри, что позволило обеспечить требуемую степень полноты при моделировании безопасного распределения пользовательских задач в РВС с учетом принципов организации распределенных вычислений и предъявляемых требований ПБ;

- разработан метод определения допустимых распределений пользовательских задач в условиях высокой динамики их миграции между вычислительными узлами с использованием деревьев достижимости ветвящихся сетей Петри;

- сформулирована и доказана теорема о безопасности доступа в РВС и на ее основе разработан метод контроля и управления доступом в РВС, обеспечивающий разграничение прав доступа на уровне пользовательских задач.

Практическая ценность работы определяется возможностью использования полученных результатов для автоматизации процедур анализа безопасности научных и коммерческих РВС, для управления и контроля доступа в критически важных РВС, а также для оперативного реагирования на инциденты безопасности в таких системах. Теоретические и экспериментальные результаты работы использованы для подготовки специалистов по защите информации по дисциплине "Безопасность современных высокопроизводительных систем" в ФГБОУ ВПО "СПбГПУ", в НИР "Создание информационно-телекоммуникационных систем высокой доступности и защищенности" (ФЦП "Научные и научно-педагогические

кадры инновационной России", 2010-12гг.), при анализе безопасности распределенных вычислительных сетей в СПБГУТ им. М.А. Бонч-Бруевича, создании системы верификации безопасности вычислительных систем в ФГБОУ ВПО 'ТУМРФ им. адмирала С.О. Макарова", что подтверждается соответствующими актами об использовании.

Методы исследования. Для решения поставленных задач применены методы системного анализа, теории алгоритмов, теории графов, теории множеств, математического моделирования, математической статистики, математической логики и теории сетей Петри.

Положения, выносимые на защиту:

1. Модель распределения пользовательских задач в РВС на основе ветвящихся сетей Петри.

2. Метод построения карты состояний РВС на основе деревьев достижимости ветвящихся сетей Петри.

3. Теорема о безопасности доступа в РВС, определяющая условия, при которых обеспечивается защита данных, обрабатываемых в РВС, от угроз превышения полномочий пользователей.

4. Метод контроля и управления доступом, обеспечивающий защиту обрабатываемой в РВС информации от угроз превышения полномочий пользователей.

5. Архитектура и система контроля и управления доступом в РВС.

Апробация результатов работы. Основные теоретические и

практические результаты работы представлены и обсуждены на СПб межрегиональной конференции "Информационная безопасность регионов России" (Институт информатики и автоматизации РАН, 2011г.), на научно-технической конференции "Методы и технические средства обеспечения безопасности информации" (СПбГПУ, 2012-2013гг.), на XVI Всероссийской научно-методической конференции "Фундаментальные исследования и инновации в национальных исследовательских университетах" (СПбГПУ, 2012г.), на международной конференции "РусКрипто'2012" (Ассоциация

РусКрипто, 2012г.), на международной конференции Mathematical Methods, Models, and Architectures for Computer Networks Security (MMM-ACNS) (СПб, 2012г.).

Публикации. По теме диссертации опубликовано 16 научных работ, в том числе 2 заявки на выдачу патента РФ на изобретение.

Объем и структура. Диссертация состоит из введения, четырех глав, заключения и списка литературы из 80 наименований.

Во введении сформулирована и обоснована задача обеспечения защиты информации, обрабатываемой в РВС.

В первой главе представлены результаты исследований угроз безопасности и механизмов защиты в РВС, анализ которых показал, что функции безопасности РВС не обеспечивают защиту обрабатываемой информации, в том числе от угроз превышения полномочий пользователей.

Во второй главе представлена модель распределения пользовательских задач в РВС на базе математического аппарата ветвящихся раскрашенных функциональных сетей Петри.

В третьей главе предложен метод построения карты состояний РВС на основе деревьев достижимости ветвящихся сетей Петри и разработан метод контроля и управления доступом в РВС.

В четвертой главе представлена архитектура системы контроля и управления доступом пользовательских задач к вычислительным ресурсам РВС, и представлены результаты оценки эффективности ее работы.

В заключении приведены результаты и выводы, полученные автором в ходе выполнения работы.

1 ИССЛЕДОВАНИЕ УГРОЗ БЕЗОПАСНОСТИ И МЕХАНИЗМОВ ЗАЩИТЫ В РВС

В настоящее время системы распределенных вычислений, построенные на базе РВС, широко применяются для решения трудоемких и ресурсоемких вычислительных задач в научной и коммерческой сферах.

Совместное использование ресурсов реализуется посредством механизма виртуальных организаций — динамического сообщества пользователей ресурсов РВС, образуемого в соответствии с решаемой задачей [1]. Также для РВС характерны свойства децентрализованное™, гетерогенности и высокой динамики состояний, что усложняет задачу обеспечения безопасности вычислительных и информационных ресурсов и затрудняет применение классических методов моделирования их безопасности.

\Л Архитектура современных реализаций РВС

РВС представляет собой гетерогенную среду, состоящую из разнообразных аппаратно-программных платформ: персональных компьютеров, рабочих станций, серверов, супер-ЭВМ и т.д. Архитектура РВС отражает иерархическую организацию стека протоколов (см. рисунок 1), основу которого составляет набор базовых протоколов (протоколы ресурсов и протоколы связи), необходимых для работы с различными типами вычислительных ресурсов, а верхний уровень образован приложениями, которые используют протоколы ресурсов и связи для кооперации пользователей РВС [2].

Реализация любой РВС включает следующие компоненты:

— компьютеры с установленным интерфейсом пользователя;

— провайдеры ресурсов;

— базовые службы и сервисы, которые работают на отдельных серверах.

Прикладной

Коллективный

г

Ресурсный

Связывающий

Базовый

Прикладной

Транспортный

Сетевой

Канальный

Q-

о

о с; о

Рисунок 1 — Уровни протоколов РВС

Ресурсы РВС можно разделить на несколько типов в соответствии с типами задач, которые решают пользователи РВС:

1. Вычислительные ресурсы — эксплуатируются пользователями для решения трудоемких задач, требующих выделения значительного объема процессорного времени или оперативной памяти.

2. Пользовательские данные — информация, необходимая для работы пользователей РВС, которая хранится на удаленных хостовых системах.

3. Ресурсы программного обеспечения (ПО) — применяются пользователями для обработки данных средствами приложений, которые являются недоступными в рамках их собственной программной среды.

4. Сетевые ресурсы — используются для связи между остальными типами ресурсов.

1.1.1 Виртуальные организации

Впервые термин "Grid", от которого позднее перешли к общепринятому названию "распределенные вычислительные сети", стал использоваться с середины 90-х годов для обозначения некой инфраструктуры распределённых вычислений, предлагаемой для

обслуживания научных и инженерных проектов. В это же время была описана основная проблема, которую должны решать РВС — согласованное разделение ресурсов и решение задач в динамичных, многопрофильных виртуальных организациях (ВО) [1]. Под ВО понимается сообщество пользователей, объединенных для решения некоторой задачи. В практических реализациях РВС виртуальная организация определяется как множество пользователей, которые обладают общим идентификатором.

Разделение ресурсов контролируется провайдерами ресурсов, которые определяют, какие ресурсы разделяются между участниками вычислительного процесса, кто является данными участниками и условия, на которых выполняется данное разделение.

Рассмотрим следующие примеры ВО:

— провайдеры прикладных услуг, провайдеры услуг хранения, провайдеры квантов вычислений, консультанты, приглашаемые производителем автомобилей для разработки сценария развития событий при проектировании нового производства;

— участники промышленного объединения, совместно моделирующие аэродинамику нового самолёта;

— участники, крупных международных объединений в области физики.

Каждый из этих примеров иллюстрирует подход к организации вычислений, основанный на совместном использовании большого количества вычислительных ресурсов и данных.

На рисунке 2 продемонстрированы примеры ВО и ограничений, которые устанавливаются на ресурсы РВС. Фактически организация может одновременно состоять в одной или нескольких ВО, предоставляя для разделения некоторые или все свои ресурсы. На рисунке показаны две ВО (в кругах): Р, которая объединяет участников объединения, разрабатывающих новый самолет, и (), которая предназначена для поиска лекарства. Компьютеры, показанные вне ВО, являются провайдерами ресурсов, которые

предоставляют