Программные продукты и системы, 2024, том 37, № 4

Научно-исследовательский институт 
«Центрпрограммсистем» 
 
 
 
Программные 
продукты и системы 
 
 
НАУЧНЫЙ ЖУРНАЛ 
 
 
 
2024, том 37, № 4  
(год издания тридцать седьмой) 
 
 
 
 
Главный редактор 
Г.И. САВИН, академик РАН 
 
 
 
 
 
 
 
 
 
 
 
 
SOFTWARE & SYSTEMS 
 
 
 
 
 
Research Journal 
 
 
 
 
2024, vol. 37, no. 4 
 
 
 
 
 
Editor-in-Chief  
G.I. SAVIN, Academician of the Russian Academy of Sciences 
 
 
 
 
 
 
Research Institute CENTERPROGRAMSYSTEM 
 
 

Издатель НИИ «Центрпрограммсистем»  
(г. Тверь, Россия) 
Учредитель В.П. Куприянов 
Журнал зарегистрирован в Роскомнадзоре  
3 марта 2020 г. 
Регистрационное свидетельство ПИ № ФС 77-77843 
 
Подписной индекс в каталоге 
Урал-Пресс 70799  
ISSN 0236-235X (печатн.) 
© ПРОГРАММНЫЕ ПРОДУКТЫ И СИСТЕМЫ 
Научный журнал  
 
2024. Т. 37. № 4  
DOI: 10.15827/0236-235X.148 
 
Главный редактор  
 
Г.И. САВИН, академик РАН 
 
Научный редактор номера: 
 
А.Н. СОТНИКОВ, д.ф.-м.н., профессор 
ISSN 2311-2735 (онлайн) 
 
РЕДАКЦИОННАЯ КОЛЛЕГИЯ 
 
Семенов Н.А. – заместитель главного редактора, д.т.н., профессор Тверского государственного технического  
университета (г. Тверь, Россия) 
Сотников А.Н. – заместитель главного редактора, д.ф.-м.н., профессор, заместитель директора  
Межведомственного суперкомпьютерного центра РАН (г. Москва, Россия) 
Афанасьев А.П. – д.ф.-м.н., профессор Московского физико-технического института (технического университета),  
заведующий Центром распределенных вычислений Института проблем передачи информации РАН (г. Москва, Россия) 
Баламетов А.Б. – д.т.н., профессор Азербайджанского научно-исследовательского и проектно-изыскательского института  
энергетики (г. Баку, Азербайджан) 
Борисов В.В. – д.т.н., профессор филиала Национального исследовательского университета «МЭИ»  
в г. Смоленске (г. Смоленск, Россия) 
Голенков В.В. – д.т.н., профессор Белорусского государственного университета информатики и радиоэлектроники  
(г. Минск, Беларусь) 
Елизаров А.М. – д.ф.-м.н., профессор Института математики и механики им. Н.И. Лобачевского Казанского федерального  
университета (г. Казань, Россия) 
Еремеев А.П. – д.т.н., профессор Национального исследовательского университета «МЭИ» (г. Москва, Россия) 
Кузнецов О.П. – д.т.н., профессор Института проблем управления РАН (г. Москва, Россия) 
Мамросенко К.А. – к.т.н., доцент Московского авиационного института (Национального исследовательского университета),  
руководитель Центра визуализации и спутниковых информационных технологий НИИСИ РАН (г. Москва, Россия) 
Палюх Б.В. – д.т.н., профессор Тверского государственного технического университета (г. Тверь, Россия) 
Сулейманов Д.Ш. – академик АН Республики Татарстан, д.т.н., профессор Казанского государственного технического  
университета (г. Казань, Россия) 
Татарникова Т.М. – д.т.н., доцент, профессор Санкт-Петербургского государственного  
электротехнического университета «ЛЭТИ» им. В.И. Ульянова (Ленина) (г. Санкт-Петербург, Россия) 
Ульянов С.В. – д.ф.-м.н., профессор, ведущий научный сотрудник Объединенного института ядерных исследований  
(г. Дубна, Россия) 
Хорошевский В.Ф. – д.т.н., профессор Московского физико-технического института (технического университета)  
(г. Москва, Россия) 
Шабанов Б.М. – д.т.н., чл.-корр. РАН, директор Межведомственного суперкомпьютерного центра РАН (г. Москва, Россия) 
Язенин А.В. – д.ф.-м.н., профессор Тверского государственного университета (г. Тверь, Россия) 
 
АССОЦИИРОВАННЫЕ ЧЛЕНЫ РЕДАКЦИИ 
 
Дата выхода в свет 16.12.2024 г. 
Отпечатано ИПП «Фактор и К» 
г. Тверь, ул. Крылова, д. 26, 170100, Россия  
Выпускается один раз в квартал   
Год издания тридцать седьмой  
Формат 6084 1/8. Объем 184 стр. 
Заказ № 12. Тираж 1000 экз. Цена 550,00 руб. 
Национальный исследовательский университет «МЭИ», г. Москва, Россия 
Технологический институт Южного федерального университета, г. Таганрог, Россия 
Тверской государственный технический университет, г. Тверь, Россия 
 
АДРЕС ИЗДАТЕЛЯ И РЕДАКЦИИ  
г. Тверь, просп. Николая Корыткова, д. 3а,  
170024, Россия 
 
Телефон: (482-2) 39-91-49 
Факс: (482-2) 39-91-00 
E-mail: red@cps.tver.ru 
Сайт: www.swsys.ru 
 
 

Publisher Research Institute  
CENTERPROGRAMSYSTEM (Tver, Russian Federation)  
 
Founder V.P. Kupriyanov 
 
The journal is registered with the Federal Service  
for Supervision of Communications, Information Technology  
and Mass Communications (Roskomnadzor)  
March 3rd, 2020 
 
 
Registration certificate ПИ № ФС 77-77843 
ISSN 0236-235X (print) 
 
ISSN 2311-2735 (online) 
© SOFTWARE & SYSTEMS  
Research Journal  
 
2024, vol. 37, no. 4 
DOI: 10.15827/0236-235X.148 
 
Editor-in-chief  
 
G.I. SAVIN, Academician of RAS 
 
Science editor of the issue: 
 
A.N. SOTNIKOV, Dr.Sci. (Physics and Mathematics), Professor 
 
EDITORIAL BOARD 
 
Semenov N.A. – Deputy Editor-in-Chief, Dr.Sci. (Engineering), Professor of the Tver State Technical University  
(Tver, Russian Federation) 
Sotnikov A.N. – Deputy Editor-in-Chief, Dr.Sci. (Physics and Mathematics), Professor, Deputy Director  
of the Joint Supercomputer Center of the Russian Academy of Sciences (Moscow, Russian Federation) 
Afanasiev A.P. – Dr.Sci. (Physics and Mathematics), Professor of the Moscow Institute of Physics and Technology,  
Head of Centre for Distributed Computing of Institute for Information Transmission Problems  
(Moscow, Russian Federation) 
Balametov A.B. – Dr.Sci. (Engineering), Professor of the Azerbaijan Scientific-Research & Design-Prospecting  
Power Engineering Institute (Baku, Azerbaijan) 
Borisov V.V. – Dr.Sci. (Engineering), Professor of the MPEI Branch in Smolensk (Smolensk, Russian Federation) 
Golenkov V.V. – Dr.Sci. (Engineering), Professor of the Belarusian State University of Informatics and Radioelectronics  
(Minsk, Republic of Belarus) 
Elizarov A.M. – Dr.Sci. (Physics and Mathematics), Professor of the N.I. Lobachevsky Institute of Mathematics  
and Mechanics of the Kazan Federal University (Kazan, Russian Federation) 
Eremeev A.P. – Dr.Sci. (Engineering), Professor of the National Research University Moscow Power Engineering  
Institute (Moscow, Russian Federation) 
Kuznetsov O.P. – Dr.Sci. (Engineering), Professor of the Institute of Control Sciences of the Russian Academy  
of Sciences (Moscow, Russian Federation) 
Mamrosenko K.A. – Ph.D. (Engineering), Associate Professor of the Moscow Aviation Institute (National Research  
University), Head of the Center of Visualization and Satellite Information Technologies SRISA RAS  
(Moscow, Russian Federation) 
Palyukh B.V. – Dr.Sci. (Engineering), Professor of the Tver State Technical University (Tver, Russian Federation) 
Suleimanov D.Sh. – Academician of TAS, Dr.Sci. (Engineering), Professor of the Kazan State Technical University  
(Kazan, Russian Federation) 
Tatarnikova T.M. – Dr.Sci. (Engineering), Associate Professor, Professor of the St. Petersburg Electrotechnical  
University LETI (St. Petersburg, Russian Federation) 
Ulyanov S.V. – Dr.Sci. (Physics and Mathematics), Professor of the Dubna International University for Nature,  
Society and Man (Dubna, Russian Federation) 
Khoroshevsky V.F. – Dr.Sci. (Engineering), Professor of the Moscow Institute of Physics and Technology  
(Moscow, Russian Federation) 
Shabanov B.M. – Dr.Sci. (Engineering), Corresponding Member of the RAS, Director of the Joint Supercomputer Center  
of the Russian Academy of Sciences (Moscow, Russian Federation) 
Yazenin A.V. – Dr.Sci. (Physics and Mathematics), Professor of the Tver State University (Tver, Russian Federation) 
 
ASSOCIATED EDITORIAL BOARD MEMBERS 
 
National Research University Moscow Power Engineering Institute, Moscow, Russian Federation 
Technology Institute at Southern Federal University, Taganrog, Russian Federation 
Tver State Technical University, Tver, Russian Federation 
 
Release date 16.12.2024 
Printed in printing-office Faktor i K 
Krylova St. 26, Tver, 170100, Russian Federation 
Published quarterly. 37th year of publication 
Format 6084 1/8. Wordage 184 pages  
EDITORIAL BOARD AND PUBLISHER OFFICE ADDRESS  
Nikolay Korytkov Ave, 3а, Tver, 170024, Russian Federation 
Phone: (482-2) 39-91-49  Fax: (482-2) 39-91-00 
E-mail: red@cps.tver.ru 
Website: www.swsys.ru 
Prod. order № 12. Circulation 1000 copies. Price 550,00 rub.  

Вниманию авторов 
 
Журнал «Программные продукты и системы» публикует материалы научного и научно-практического 
характера по новым информационным технологиям, результаты академических и отраслевых исследований 
в области использования средств вычислительной техники. Практикуются выпуски тематических номеров 
по искусственному интеллекту, системам автоматизированного проектирования, по технологиям разработки 
программных средств и системам защиты, а также специализированные выпуски, посвященные научным 
исследованиям и разработкам отдельных вузов, НИИ, научных организаций.  
Журнал «Программные продукты и системы» внесен в Перечень ведущих рецензируемых научных журналов и изданий, в которых должны быть опубликованы основные научные результаты диссертаций на соискание ученых степеней кандидата и доктора наук. 
Информация об опубликованных статьях по установленной форме регулярно предоставляется в систему 
РИНЦ, в CrossRef и в другие базы и электронные библиотеки. 
Журнал «Программные продукты и системы» включен в ядро коллекции РИНЦ, размещенное на платформе Web of Science в виде базы данных RSCI. 
Автор статьи отвечает за подбор, оригинальность и точность приводимого фактического материала.  
При перепечатке ссылка на журнал обязательна. Статьи публикуются бесплатно. 
 
Условия публикации 
 
К рассмотрению принимаются оригинальные материалы, отвечающие редакционным требованиям и соответствующие тематике журнала. Группы научных специальностей:  
1.2. Компьютерные науки и информатика  
1.2.1. Искусственный интеллект и машинное обучение (физико-математические науки).  
1.2.2. Математическое моделирование, численные методы и комплексы программ (физико-математические науки, технические науки). 
2.3. Информационные технологии и телекоммуникации 
2.3.1. Системный анализ, управление и обработка информации, статистика (технические науки, физикоматематические науки).  
2.3.2. Вычислительные системы и их элементы (технические науки). 
2.3.3. Автоматизация и управление технологическими процессами и производствами (технические 
науки).  
2.3.5. Математическое и программное обеспечение вычислительных систем, комплексов и компьютерных сетей (технические науки, физико-математические науки). 
2.3.6. Методы и системы защиты информации (технические науки, физико-математические науки). 
2.3.7. Компьютерное моделирование и автоматизация (технические науки, физико-математические науки). 
2.3.8. Информатика и информационные процессы (технические науки). 
Работа представляется в электронном виде в формате Word. Объем статьи вместе с иллюстрациями – не 
менее 10 000 знаков. Диаграммы, схемы, графики должны быть доступными для редактирования (Word, 
Visio, Excel). Заголовок должен быть информативным; сокращения, а также терминологию узкой тематики 
желательно в нем не использовать. Количество авторов на одну статью – не более четырех, количество статей одного автора в номере, включая соавторство, – не более двух. Список литературы, наличие которого 
обязательно, должен включать не менее 10 пунктов. 
Необходимы также содержательная структурированная аннотация (не менее 200 слов), ключевые слова 
(7–10) и индекс УДК. Название статьи, аннотация и ключевые слова должны быть переведены на английский 
язык (машинный перевод недопустим), а фамилии авторов, названия и юридические адреса организаций 
(если нет официального перевода) – транслитерированы по стандарту BGN/PCGN.  
Вместе со статьей следует прислать экспертное заключение о возможности открытого опубликования 
материала и авторскую справку. Обзательно соблюдение автором договора (публичной оферты). 
 
Порядок рецензирования 
 
Все статьи, поступающие в редакцию (соответствующие тематике и оформленные согласно требованиям 
к публикации), подлежат двойному слепому рецензированию в течение месяца с момента поступления, рецензия отправляется авторам.  
В редакции сформирован устоявшийся коллектив рецензентов, среди которых члены редколлегии журнала, эксперты из числа крупных специалистов в области информатики и вычислительной техники ведущих 
вузов страны, а также ученые и специалисты НИИСИ РАН, МСЦ РАН (г. Москва) и НИИ «Центрпрограммсистем» (г. Тверь). 
Редакция журнала «Программные продукты и системы» в своей работе руководствуется сводом правил 
Кодекса этики научных публикаций, разработанным и утвержденным Комитетом по этике научных публикаций (Committee on Publication Ethics – COPE). 
 
 

Программные продукты и системы / Software & Systems  
 
 
 
 
 
 
 
 
 
 
 
 
 
  37(4), 2024 
УДК 004.056  
 
 
 
 
doi: 10.15827/0236-235X.148.461-471 
 
 
 
 
  2024. Т. 37. № 4. С. 461–471 
 
Управление пользовательскими заданиями в сети  
суперкомпьютерных центров с применением федеративной аутентификации 
 
А.В. Баранов 1, 2, Е.Е. Кузнецов 2 
 
1 Межведомственный суперкомпьютерный центр РАН, г. Москва, 119334, Россия 
2 Национальный исследовательский центр «Курчатовский институт», г. Москва, 123182, Россия 
 
Ссылка для цитирования 
Баранов А.В., Кузнецов Е.Е. Управление пользовательскими заданиями в сети суперкомпьютерных центров с применением федеративной аутентификации // Программные продукты и системы. 2024. Т. 37. № 4. С. 461–471.  
doi: 10.15827/0236-235X.148.461-471  
Информация о статье 
Группа специальностей ВАК: 2.3.6 
Поступила в редакцию: 20.07.2024 
 
    После доработки: 22.08.2024  
    Принята к публикации: 30.08.2024 
 
 
Аннотация. Предметом представленного в статье исследования является управление пользовательскими заданиями в распределенной сети научных суперкомпьютерных центров (СКЦ) коллективного пользования. Сеть СКЦ 
объединяет высокопроизводительные вычислительные системы разной архитектуры, принадлежащие различным 
СКЦ. Каждый центр самостоятельно определяет политику безопасности и поддерживает собственную базу учетных записей пользователей, что осложняет управление пользовательскими заданиями, в частности, затрудняет 
оперативное перераспределение заданий между вычислительными системами разных СКЦ. Методология исследования базируется на совмещении двухуровневой иерархической системы управления заданиями и федеративного 
управления идентификацией, в частности, федеративной аутентификации. В работе предложен новый метод 
управления пользовательскими заданиями в распределенной сети СКЦ, основанный на федеративной аутентификации. Верхний уровень иерархии управления представлен глобальной очередью, из которой задания распределяются по вычислительным системам распределенной сети СКЦ. Локальные очереди этих вычислительных систем 
образуют нижний уровень иерархии управления заданиями. Аутентификация и авторизация для каждого задания 
должны производиться дважды: при постановке в глобальную очередь и при распределении в одну из локальных 
очередей. Предлагаемый метод учитывает, что за время нахождения в глобальной очереди задание с точки зрения 
информационной безопасности превращается из объекта в субъект, который заново должен быть авторизован  
в локальной очереди. Как показано в статье, применение федеративной аутентификации при авторизации пользователей и их заданий позволяет построить простую и безопасную схему управления заданиями в сети СКЦ. Практическую значимость исследования составляют представленный в статье порядок функционирования системы 
управления заданиями в распределенной сети СКЦ и анализ безопасности такой системы. 
Ключевые слова: сеть суперкомпьютерных центров, управление заданиями, очередь заданий, федеративная 
аутентификация, поставщик услуг, поставщик идентификационных данных 
Благодарности. Работа выполнена в МСЦ РАН и НИЦ «Курчатовский институт» в рамках госзадания по теме  
FNEF-2024-0014 
 
Введение. Формированию единого научновычислительная система (ВС). Для управления 
отдельной ВС используется локальная система 
управления ресурсами (ЛСУР), действия всех 
ВС в сети координирует глобальная система 
управления ресурсами (ГСУР). В качестве 
ЛСУР может выступать любая система управления заданиями (СУППЗ, SLURM, PBS), поступающие в ЛСУР задания могут выполняться только на вычислительных ресурсах локальной ВС. Задания могут быть направлены  
в ГСУР, которая ведет глобальную очередь.  
Задания из глобальной очереди допускают обработку на вычислительных ресурсах любой 
ВС сети. Для распределения заданий из глобальной очереди в очереди ЛСУР могут быть 
применены различные алгоритмы, в том числе 
основанные на экономических (аукционных) 
методах. 
Вне зависимости от способа распределения 
образовательного пространства информационных технологий в стране придается большое 
значение. Так, в Межведомственном суперкомпьютерном центре РАН ведутся работы по созданию прикладной цифровой платформы, 
объединяющей в единую сеть вычислительные 
ресурсы территориально распределенных суперкомпьютерных центров (СКЦ) коллективного пользования в интересах организаций 
науки, высшего образования и промышленности Российской Федерации [1]. Представленный в [2] метод управления заданиями пользователей в распределенной сети СКЦ основан на 
двухуровневой организации системы управления. Единицей вычислительной работы в такой 
системе является задание, включающее параллельную программу для прикладных расчетов, 
требования к ресурсам и входные данные. Единицей оборудования в составе распределенной 
сети СКЦ является высокопроизводительная 
заданий глобальной очереди пользователь 
(субъект) оставляет после себя объекты – зада- 
 
461 

Программные продукты и системы / Software & Systems  
 
 
 
 
 
 
 
 
 
 
 
 
 
  37(4), 2024 
у поставщика идентификационных данных получает утверждение (билет) SAML (Security 
Assertion Markup Language – стандарт управления федеративными идентификационными 
данными), и этот IdP-билет позволяет ему авторизоваться на стороне поставщика услуг. 
В [3] рассмотрен подход к организации авния, которые продолжительное время (от нескольких минут до нескольких суток) проводят 
в глобальной очереди. Прошедшее глобальную 
очередь задание будет претендовать на вычислительные ресурсы назначенной ему локальной 
ВС. Однако на момент распределения задания 
из глобальной очереди в локальную пользователь может потерять право доступа к ресурсам 
назначенной ВС или исчерпать квоту. Фактически за время нахождения в глобальной очереди задание из информационного объекта 
превращается в субъект, который в том числе 
должен быть авторизован в СКЦ на уровне планирования локальных ресурсов. 
В работе [2] была предложена децентралиторизации пользователей в распределенной сети 
СКЦ, который дает возможность сочетать механизм федеративной аутентификации с традиционными методами доступа к суперкомпьютерам, основанными на протоколе ssh. В работе [4] 
авторы уточнили процедуру информационного 
обмена и состава информации (метаданных), 
предоставляемых организацией-клиентом (IdP) 
СКЦ при постановке заданий в очередь и пе- 
редаваемых при перераспределении задания 
внутри сети СКЦ. Однако в исследованиях [3, 4] 
не учитывается двухуровневая организация уп- 
равления заданиями пользователей. Рассмотрен 
только процесс взаимодействия пользователя  
с организацией, которая в рамках федерации 
сети СКЦ не является домашней. 
В настоящей работе предложен метод уп- 
равления заданиям пользователей на основе 
федеративного подхода организации сети СКЦ. 
Авторы рассматривают ГСУР как SP в федеративной сети СКЦ. 
 
Актуальные исследования в области  
федеративной организации  
зованная автоматизированная система управления заданиями и ресурсами в распределенной сети СКЦ. Авторы решили проблему повторной проверки прав доступа путем ввода 
дополнительных сущностей – диспетчера СКЦ 
и диспетчера ВС. В предложенной схеме диспетчер СКЦ служит точкой доступа к ГСУР,  
а коллектив равноправных диспетчеров ВС 
предназначен для распределения заданий из 
глобальной очереди в локальные. Недостаток 
такого подхода в том, что диспетчеры являются узлами отдельной защищенной распределенной сети. Масштабируемость подобного решения ограничена, так как при росте числа 
СКЦ и ВС в сети увеличиваются технические и 
организационные сложности поддержки функционирования защищенной сети. 
сети СКЦ 
Другим важным направлением исследова 
Для реализации федеративного управления 
идентификацией используются стандартные 
протоколы аутентификации и авторизации, такие как OAuth 2.0 (https://datatracker.ietf.org/ 
doc/html/rfc6749), OIDC (https://openid.net/specs/ 
openid-connect-core-1_0.html) или SAML (https:// 
www.oasis-open.org/committees/download.php/ 
13525/sstc-saml-exec-overview-2.0-cd-01-2col. 
pdf). Существует достаточно много исследований, посвященных изучению и сравнению этих 
протоколов, например, работа [5], в которой 
определен ряд критериев сравнения и дана 
оценка каждому протоколу по каждому из критериев. 
Рассмотрим основные направления исследований в области безопасности федеративного управления идентификацией. 
1. Поиск уязвимостей в различных реализациях протоколов. В работах [6, 7] проводится 
сравнение различных реализаций протоколов 
федеративного управления идентификацией, 
таких как OAuth/OIDC и SAML. Анализиру- 
ний в области построения распределенной сети 
СКЦ является упрощение доступа пользователей к вычислительным ресурсам сети. С этой 
целью была предложена федеративная схема 
аутентификации и авторизации, позволяющая 
пользователям использовать одну учетную запись для доступа ко всем суперкомпьютерным 
ресурсам сети [3]. Распространенным решением для реализации механизмов аутентифи- 
кации и использования идентификационной  
информации в нескольких организациях является федеративное управление идентификацией (Federated Identity Management – FIM).  
В федерации формируются трехсторонние отношения между поставщиком услуг (Service 
Provider – SP), поставщиком идентификационных данных (Identification Provider – IdP)  
и пользователем, которые позволяют пользователям получать доступ к SP с помощью одного 
набора учетных данных, таких как подписанные доверенным IdP токены и утверждения. 
Например, пользователь после аутентификации 
 
462 

Программные продукты и системы / Software & Systems  
 
 
 
 
 
 
 
 
 
 
 
 
 
  37(4), 2024 
с системой FIM не так полно раскрывает пользовательские данные. Исследование проводилось на теоретических моделях FIM и SSI, а не 
на конкретных реализациях этих подходов. 
5. Аутентификация пользователей СКЦ.  
ются их сильные и слабые стороны, уязвимости 
и общая безопасность. Например, в [7] исследуется практическая реализация OAuth/OIDC в 
платформозависимых приложениях из Google 
Play Store, выявлены типовые нарушения общепринятых рекомендаций. 
2. Моделирование работы протоколов для 
В работе [15] представлен набор программных 
компонентов, интегрированных для создания 
масштабируемого, готового к внедрению решения многофакторной аутентификации для 
систем высокопроизводительных вычислений 
с большим числом пользователей. Предлагаемое решение протестировано на системе, поддерживающей более 10 000 учетных записей 
пользователей. 
Используемые инструменты и процесс инобнаружения уязвимостей. В таких исследованиях моделируются различные сценарии использования протоколов для выявления потенциальных уязвимостей. В [8] моделируются 
потоки авторизации OAuth 2.0 и представляются решения для ослабления известных уязвимостей. В работе [9] авторы предлагают 
улучшение протокола OAuth 2.0 путем добавления криптографических схем для сохранения 
конфиденциальности данных пользователя. 
3. Улучшение подотчетности и прозрачности в системах федеративного управления 
идентификацией. В работе [10] представлена 
система TicketT, в [11] – система T-FIM. Оба 
подхода используют общедоступные журналы 
для хранения информации о выданных билетах, что позволяет внешним участникам проверять их подлинность, обеспечивая при этом 
анонимность пользователей. 
4. Внедрение решений по управлению идентеграции портала MIT SuperCloud Portal для 
федеративной аутентификации с федерацией 
InCommon и инфраструктурой открытых ключей (PKI) правительства США обсуждаются  
в работе [16]. Авторы рассматривают ПО и методы, необходимые для настройки их системы 
на прием учетных данных, полученных от этих 
двух поставщиков идентификационных данных. В работе рассмотрены улучшения в области безопасности и удобства использования, 
наиболее заметным из которых является возможность использовать надежные системы 
многофакторной аутентификации, развернутые 
домашними организациями пользователей.  
В статье уделено внимание различным методам веб-доступа к суперкомпьютерным мощностям и процессу самостоятельной регистрации и проверки ключей протокола SSH. 
Работы по интеграции с системами федеративной аутентификации научных организаций 
проводились в рамках инфраструктуры XSEDE 
(США) [17]. В ходе проекта AARC [18] разрабатывались проекты федеративной аутентификации для европейской инфраструктуры суперкомпьютерных приложений PRACE [19]. 
Актуальные публикации демонстрируют 
тификацией на основе блокчейна, позволяющие 
пользователю взять на себя контроль над 
своей собственной идентификацией (самосуверенной идентификацией, Self-Sovereign Iden- 
tity – SSI). Самосуверенная идентификация – возможность пользователя контролировать свою 
цифровую идентичность. В работе [12] представлен наиболее полный обзор публикаций  
и предложений на рынке, касающихся применимости решений SSI на базе технологии блокчейн, а также обсуждаются основные компонен- 
ты архитектуры, анализируется безопасность, 
приводится сравнение систем идентификации 
на основе SSI с FIM и традиционными централизованными системами управления идентификацией. 
В [13] авторы предлагают подход к оценке 
активность исследовательских работ в области 
создания федераций и протоколов федеративной аутентификации. Однако авторы данной 
статьи не обнаружили решений, связывающих 
иерархическое управление заданиями и вычислительными ресурсами в распределенной сети 
СКЦ с ее федеративной организацией. 
 
Метод управления пользовательскими  
заданиями и вычислительными ресурсами 
на основе федеративной организации  
распределенной сети СКЦ  
коллективного пользования 
 
Для управления заданиями в иерархически 
потенциальных атак на систему SSI и рисков 
безопасности, используя комбинацию модели 
дерева атак и матрицы рисков для оценки потенциальных атак и рисков безопасности.  
В работе [14] сравниваются SSI и FIM с точки 
зрения внешних угроз. Дана классификация  
23 общих угроз для систем FIM по семи основным целям. Кроме этого, 20 общих угроз SSI 
классифицированы аналогично угрозам FIM 
для облегчения сравнения. Авторы делают вывод, что в целом система SSI менее подвержена 
атакам, несет меньше рисков и по сравнению  
организованной распределенной сети СКЦ пред- 
 
463 

Программные продукты и системы / Software & Systems  
 
 
 
 
 
 
 
 
 
 
 
 
 
  37(4), 2024 
5. Введем понятие глобального проксилагается метод, основанный на федеративной 
аутентификации. Рассмотрим базовые положения метода. 
1. В основе метода лежит двухуровневая 
IdP, который выступает в качестве брокера федерации, функционируя и как IdP, и как SP. 
Прокси-IdP позволяет упростить дальнейшую 
интеграцию новых ВС в сеть СКЦ и предоставляет общий интерфейс для аутентификации на 
глобальной очереди (рис. 1). 
6. Примем следующий общий порядок распределения заданий глобальной очереди. 
6.1. Пользователь проходит идентификацию, аутентификацию и авторизацию в одном 
из СКЦ распределенной сети. 
6.2. Авторизованный пользователь направорганизация управления в сети СКЦ [1, 2], при 
которой выделяются глобальный (на уровне 
сети СКЦ) и локальный (на уровне отдельной 
ВС из состава сети СКЦ) уровни управления. 
Для каждой ВС из состава сети выделяется  
локальная система управления ресурсами,  
в которой ведется локальная очередь заданий.  
На уровне распределенной сети глобальной системой управления ресурсами ведется глобальная очередь заданий. 
2. Сеть СКЦ объединяет вычислительные 
ляет задание в глобальную очередь SP0 как информационный объект. 
6.3. Задание, прошедшее глобальную очередь и распределенное в некую локальную  
очередь SPi, преобразуется из объекта в субъект и авторизуется в i-й ВС. 
Рассмотрим положения предлагаемого метода более подробно. Отметим, что в контексте 
организации сети СКЦ каждая ВС имеет уникальное имя в рамках СКЦ и собственную локальную очередь пользовательских заданий. 
Каждый СКЦ включает одну или несколько ВС 
с различными именами и характеризуется 
– уникальным именем; 
– организационной принадлежностью и территориальным расположением; 
системы нескольких СКЦ, связанных коммуникационными каналами. Она характеризуется 
списком ВС, входящих в ее состав, и общей 
глобальной очередью заданий. Важно отметить, что сеть имеет децентрализованный характер, поскольку все СКЦ коллективного 
пользования являются независимыми. Ими 
владеют и управляют различные научные организации в разных ведомствах. Каждый СКЦ 
обрабатывает персональные данные тех пользователей, для которых он является домашней 
организацией, и, таким образом, выступает как 
провайдер вычислительных ресурсов и одновременно является поставщиком идентификационных данных. 
3. Планирование заданий глобальной оче– списком ВС, входящих в его состав; 
– отдельной системой хранения данных, содержащей проектные каталоги, исходные данные и результаты расчетов всех пользователей; 
– отдельной системой авторизации пользователей, хранящей учетные записи всех пользователей СКЦ. 
Попытаемся сохранить иерархическую арреди заключается в их распределении по локальным очередям. Алгоритм распределения 
может быть произвольным: например, очередное задание может направляться в наименее  
загруженную локальную очередь. Алгоритм рас- 
пределения в предлагаемом методе рассматривается в качестве специализированного сервиса, определяющего для каждого задания глобальной очереди ВС, в которой это задание будет выполнено. 
4. Представим каждую ЛСУР и соответхитектуру сети, однако глобальную очередь 
рассматриваем как поставщика услуг в рамках 
федерации. СКЦ будут рассмотрены как поставщики вычислительных ресурсов (поставщики услуг) и поставщики идентификационных данных пользователей, для которых они 
являются домашними организациями. Другими словами, каждый СКЦ должен предоставлять идентификационные данные пользователей через собственный IdP, поддерживающий 
стандартный протокол идентификации SAML, 
 
 
Рис. 1. Прокси-IdP 
 
Fig. 1. IdP proxy  
ствующую ей локальную очередь в виде поставщика услуг (SP), глобальную очередь и 
ГСУР – в качестве отдельного SP. При наличии 
в составе сети СКЦ N ВС можно ввести следующие обозначения: SP0 – глобальная очередь 
заданий, SP1, SP2, …, SPN – локальные очереди. 
Пользователь имеет возможность обратиться к 
любому поставщику услуг из множества { SP0, 
SP1, …, SPN}. Задание, поступившее в локальную очередь SPi, может быть выполнено 
только на ресурсах i-й ВС. Задание, поступившее в глобальную очередь SP0, может быть вы- 
полнено на любой ВС из состава сети СКЦ или 
на их заданном подмножестве. 
 
464 

Программные продукты и системы / Software & Systems  
 
 
 
 
 
 
 
 
 
 
 
 
 
  37(4), 2024 
соответствующий определенному набору атрибутов (рис. 2). 
Следует отметить, что можно обойтись  
Глобальный
прокси-IdP
IdPN
...
SPN
 
 
Рис. 4. Организация федерации c прокси-IdP 
 
и без прокси-IdP, однако тогда осложняется интеграция СКЦ в федерацию. Каждый СКЦ будет обязан синхронизировать свои метаданные 
с другим СКЦ и договариваться о формате передачи данных (рис. 3). Поскольку в данном 
случае федерация статическая, то есть создана 
на уровне администратора и связана юридическим договором с использованием определенного набора административных процедур, процесс интеграции нового СКЦ в федерацию  
будет занимать продолжительное время. 
Fig. 4. Federation with IdP proxy 
Использование прокси-IdP позволяет СКЦ 
 
Порядок функционирования  
глобальной системы управления  
заданиями и вычислительными ресурсами 
распределенной сети СКЦ 
 
Управление заданиями и вычислительными 
синхронизировать метаданные только с гло- 
бальным прокси-IdP. Введение прокси-IdP дает 
возможность определить набор необходимых 
атрибутов, который должны передавать провайдеры каждого СКЦ. Прокси-IdP может сам 
приводить атрибуты к общему формату или дополнять их (например, для авторизации) и передавать поставщику вычислительных ресурсов. Подобная организация федерации значительно упрощает процесс интеграции в нее 
новых СКЦ (рис. 4). Однако у такого решения 
есть очевидный минус – появляется точка централизации. 
Глобальная 
Глобальный
очередь 
заданий
прокси-IdP
ресурсами основано на обращении пользо- 
вателя для постановки задания в глобальную  
очередь и последующей авторизации задания  
в ЛСУР (рис. 5). Сама организация глобальной 
очереди инвариантна и рассматривается авторами как специализированный сервис в виде 
некоторого черного ящика. Пример одной из 
возможных схем организации глобальной очереди приведен в работе [2]. 
SP0
Глобальная очередь должна также предоставлять пользователю удобный интерфейс для 
управления и мониторинга заданий в очереди, 
то есть позволять  
СКЦ-N
СКЦ-1
СКЦ-2
– добавлять новые глобальные задания; 
– отслеживать состояния глобальных задаSPN + IdPN
SP1 + IdP1
...
SP2 + IdP2
ний; 
 
– получать результаты выполнения глобаль 
ных заданий; 
Рис. 2. Общая схема федерации СКЦ 
 
Fig. 2. General scheme of SCC federation 
– просматривать конфигурацию сети СКЦ; 
– проверять конфигурацию пользователь 
ских настроек. 
Добавление СКЦ (ВС) в состав сети СКЦ и 
ldPN
удаление СКЦ (ВС) из состава сети осуществляются администраторами СКЦ и администраторами глобальной очереди путем синхронизации метаданных. 
Задание может иметь один из статусов: 
– «в глобальной очереди» – задание нахоSP2
SPN
...
 
дится в глобальной очереди, ожидает распределения в ВС какого-либо СКЦ сети; 
 
– «в локальной очереди СКЦ X» – задание 
Рис. 3. Организация федерации без прокси-IdP 
 
Fig. 3. Federation without IdP proxy 
ожидает в локальной очереди освобождения 
ресурсов ВС; 
 
465 

Программные продукты и системы / Software & Systems  
 
 
 
 
 
 
 
 
 
 
 
 
 
  37(4), 2024 
Глобальный
прокси-IdP
СКЦ-N
СКЦ-2
СКЦ-1
SP2 + IdP2
SP1 + IdP1
SPN + IdPN
 
 
Рис. 5. Порядок обращения пользователя в глобальную очередь 
 
Fig. 5. User access to the global queue 
– «выполняется» – задание выполняется на 
11. Передача задания в ЛСУР одного из СКЦ 
вычислительных ресурсах; 
и утверждения от IdP0 глобальной очереди. 
12. Проверка уровня доверия к процессу 
– «завершено» – задание выполнилось и осво- 
бодило ресурсы; 
аутентификации утверждения SPx СКЦ X. 
– «ошибка выполнения» – произошла ошиб- 
12.1. Если уровень доверия к процессу аутен- 
ка на любом из этапов обработки задания. 
Рассмотрим порядок обращения пользователя к глобальной очереди (рис. 5). 
1. Пользователь СКЦ-1 пытается получить 
тификации соответствует политике СКЦ X, то 
авторизация задания и предоставление доступа 
к ЛСУР, уведомление пользователя о постановке задания в локальной очереди СКЦ X. 
12.2. Если уровень доверия к процессу 
доступ к глобальной очереди заданий.  
2. Пользователь выбирает глобальный прок- 
си-IdP в качестве поставщика идентификационных данных. 
3. Перенаправление на глобальный проксиIdP. 
аутентификации не соответствует политике 
СКЦ X, то отказ в доступе к ЛСУР, уведомление пользователя с требованием повторного 
прохождения процедуры аутентификации с соответствующим уровнем доверия, например,  
с помощью двухфакторной аутентификации. 
Присоединение СКЦ к сети не должно ска4. Пользователь выбирает СКЦ-1 как IdP1. 
5. Перенаправление на IdP1. 
6. Аутентификация. 
7. Передача атрибутов глобальному проксиIdP. 
8. Пользователь дает разрешение на передачу атрибутов глобальному прокси-IdP.  
9.1. Передача утверждения от прокси-IdP 
SP0 глобальной очереди. 
9.2. Передача ссылки на утверждение пользователю. 
зываться на его локальных пользователях. Соответственно, при распределении нового задания 
из глобальной очереди должны соблюдаться 
ограничения, установленные администратором 
СКЦ, например, по числу глобальных заданий 
в локальной очереди или требуемых ресурсов 
для глобального задания. Администратор СКЦ 
также может выделить отдельный раздел ВС 
для обработки заданий из ГСУР. 
Присоединение СКЦ к сети СКЦ не сказы10. Получение доступа к глобальной очере- 
ди, постановка задания в глобальную очередь. 
вается на процессе получения доступа пользо- 
 
466