پایان نامه ارائه یک مدل تلفیقی برای تضمین امنیت معماری سرویس گرا

تعداد صفحات: 268 فرمت فایل: word کد فایل: 10001940
سال: 1389 مقطع: مشخص نشده دسته بندی: پایان نامه مهندسی کامپیوتر
قیمت قدیم:۳۳,۴۰۰ تومان
قیمت: ۳۱,۳۰۰ تومان
دانلود فایل
  • خلاصه
  • فهرست و منابع
  • خلاصه پایان نامه ارائه یک مدل تلفیقی برای تضمین امنیت معماری سرویس گرا

    پایان نامه کارشناسی ارشد (M.Sc) رشته مهندسی کامپیوتر – گرایش نرم افزار  

    چکیده 

    شکی نیست که امروزه امنیت یک نیاز اساسی برای هر معماری به شمار میآید. حداقل سه اصل اساسی برای تضمین امنیت معماری متصور است: رازداری، جامعیت و دسترس پذیری. یکی از مکانیزم های لازم برای تضمین این اصول، کنترل دسترسی یا اختیارسنجی است. برای کنترل دسترسی نیز سه مدل کلی وجود دارد: بصیرتی، مبتنی بر نقش و الزامی. هیچ یک از این مدل ها به تنهایی نمی توانند نیازمندی های امنیتی SOA را برطرف سازند. هرچند نسخه های تکاملی و تغییریافته ای از این مدل ها نیز ارائه شده است. 

     این تحقیق ضمن بررسی مدل های کنترل دسترسی موجود، تمرکز خود را روی ارائه یک مدل کنترل دسترسی مبتنی بر زبان (LBAC)[1] برای معماری سرویسگرا (SOA) قرار داده است که از مفاهیم نظریه زبان ها و مجموعه ها بعنوان مبنای  خود بهرهگرفته است. مدل LBAC از دیدگاه کنترل دسترسی مبتنی بر اختیار (ZBAC)2 استفاده می کند و چارچوب معماری امنیتی دو لایه کنترل دسترسی (2LAC)3 را برای ارتباط بین سازمانی انتخاب کرده است. در این مدل منابع سازمان که سرویس ها و توابع هستند بر اساس معیارهای امنیتی مانند محرمانگی و جامعیت، دسته بندی می شوند. برای هر منبع یک زبان  دسترسی تعریف می شود و به هر کاربر نیز یک زبان دسترسی منسوب می شود. سپس مدل به کمک قاعده طلایی تعیین دسترسی خود، تنها کاربرانی  که یک رشته متعلق به زبان منبع درخواستی را دارند مجاز به استفاده از منبع می کند. نشان داده می شود که این مدل ضمن انجام تصمیم گیری صحیح در مورد صدور مجوز درخواستها، به کمک ایده بدیع استفاده از تئوری زبانها، با اصول اساسی معماری سرویسگرا مانند ترکیبپذیری، تعاملپذیری، محصورسازیِ منطق دورنی، واگذاری و اعطای نقش و مدیریت زنجیره های وکالت، تطابق بیشتر و ایمنتری نسبت به مدل های موجود دارد.  

    کلمات کلیدی 

    معماری سرویس گرا، امنیت، مدل های رسمی، کنترل دسترسی،  اختیارسنجی، وکالت نقش، زنجیره وکالت[2]، ترکیب پذیری سرویس، تعامل پذیری، محصورسازی                                      

    فصل اول 

    طرح مسئله و محدوده تحقیق          

    1-1 مقدمه 

    با ظهور دیدگاه محاسبات توزیع شده1، محاسبات سرویسگرا (SOC)2 و معماری سرویسگرا (SOA)3 تحول جدیدی پیش روی دنیای فناوری اطلاعات قرار گرفته است. معماری سرویسگرا با تفکیک واحد های نرم افزاری و ایجاد مجموعه های عملیاتی مستقل با قابلیت استفاده مجدد بنام سرویس به جای برنامههای کاربردی تکراری و مشابه، در سازمان ها و شرکت ها مورد استقبال واقع شده است. کاهش هزینه های تولید و نگهداری نرمافزار بدلیل قابلیت استفادهمجدد، امکان توسعه و ارتقای آسانتر سیستم از دلایل این استقبال است. این معماری، که بر اتصال سست4، تعامل پذیری، ترکیب پذیری و قابلیت استفاده مجدد آسان سرویسها بعنوان واحد های سازنده نرم افزار تاکید دارد، می تواند هزینه های کلی فناوری اطلاعات سازمان ها را تا حد قابل قبولی کاهش دهد[5][3][1]. از نگاه کاربر استفاده کننده نیز معماری سرویس گرا مزایایی به همراه آورده است. تقسیم وظایف در فرآیند های تجاری و تفکیک دقیق آنها منطبق بر اصل تفکیک دغدغه ها5 بطور غیرمستقیم برای مشتریان این معماری به ارمغان آورده شده است. بعنوان نمونه، در بحث تجارت الکترونیک6 مشتریان سازمان ها بیشتر مایلند خریدهای خود از فروشگاه های مختلف را از طریق یک حساب ثابت و متمرکز که احتمالاً به منظور همین کار ایجاد نموده اند انجام دهند. البته مطلوب به نظر نمی رسد که هر فروشگاه الکترونیکی برای خرید و فروش محصولات خود، نیازمند یک حساب بانکی خاص همان فروشگاه باشد. بعنوان نمونه، مشتری مایل است در بانک A یک حساب افتتاح نماید و از آن برای خریدهای اینترنتی استفاده کند. در این سناریو، این فروشگاه های مختلف هستند که باید خود را با این نیاز مشتری وفق دهند. بنابراین فروشگاه ها برای انجام خدمات خود بجای ایجاد سرویس های پرداخت برای بانک ها و حساب های مختلف، لازم است از سرویس پرداخت آن بانک ها استفاده کنند. علاوه بر تسهیل در امور پرداخت به کمک سرویس های بانک ها، در برخی موارد ممکن است چاره ای جز دریافت خدمات از سازمان ارائه دهنده (اینجا بانک) نباشد. بعنوان مثال در سناریوی فروشگاه اینترنتی، هیچ بانکی اجازه نمی دهد اطلاعات و مشخصات حسابهای مشتریانش را                                        

    برای انجام تراکنش های مالی در اختیار دیگر سازمان ها قرار دهد. بلکه درخواست های آن ها را از دامنه های معتبر[3] که قبلاً برای بانک صلاحیت آن ها تأیید شده است می گیرد، درخواست را در دامنه ی خود انجام داده، نتیجه را بر می گرداند [2]. این چیزی جز استفاده از مفهوم سرویس گرایی نیست. 

    از سوی دیگر، بی شک با توجه به حساسیت داده ها و اطلاعات بعنوان منابع و سرمایه های هر سازمان، حفاظت آن ها در مقابل تهدیدات، دسترسی های غیرمجاز و تحریف محتوا، از اولویت بالایی برخوردار است. هر چه تعداد استفاده کنندگان یک منبع یا خدمات و در معرض گذاشتن آن بیشتر شود، امکان بروز موارد مذکور نیز بیشتر خواهد شد. بنابراین طبیعی است که در سازمان ها یکی از پارامترهای مهم در انتخاب سبک معماری نرم افزار، در نظر گرفتن جنبه امنیتی و امکانات آن باشد. جای شکی نیست که شما در سناریوی خرید از یک فروشگاه اینترنتی، زمانی که اطلاعات حساب بانکی و میزان مبلغ را به سرویس پرداخت می دهید، بستر برای تهدیدات و حملات اینترنتی خیلی بیشتر از زمانی است که برای پرداخت ها بصورت حضوری به بانک می روید (از خطرات غیرمتعارف مانند سرقت از بانک چشم پوشی کنید). پس روشن است که استفاده از مزایای فناوری جدید کاملاً به تضمین جنبه های امنیتی آن گره خورده است. فناوری ناامن در عمل، ناکارآمد و غیرعملیاتی خواهد بود. 

    اما منظور از امنیت چیست؟ از دیدگاه عام، امنیت  را وضعیت آزاد بودن از خطر و ریسک  تعریف می کنند[6]. امنیت رایانه، شاخه ای از علم رایانه است که با ریسک ها، تهدیدها و مکانیزم های مربوط به استفاده از سیستم های محاسباتی سروکار دارد [6]. برای این مفهوم تعاریف مختلفی ارائه شده است که این تعریف جامع تر به نظر می رسد: »مجموعه ای از تکنیک ها، روش ها، رویه ها و فعالیت های به کار گرفته شده برای نگهداری یک وضعیت ایده آلِ تعریف شده از طریق یک مجموعه از قواعد در یک سیستم محاسباتی بهم مرتبط، نامتمرکز و ناهمگن را امنیت می گویند. این قواعد بیان می کنند که چه چیز مجاز و چه چیز غیرمجاز است«[6]. 

     بنابراین ما با دو مقوله ظاهراً مجزا مواجه هستیم اما تاثیر متقابل آنها بر همدیگر غیرقابل انکار است. اول مزایا، امکانات و قابلیت هایی که معماری سرویس گرا پیش روی سازمان ها و مشتریان قرار داده است. دوم مشکلات و تهدایدات ناشی از مفهوم عام امنیت در سیستم های توزیع شده و خصوصاً در معماری سرویس گرا که ما را در انتخاب این معماری به تفکر وا می دارد. با اندکی تأمل مشخص می شود که با وجود مزایایتجاری1 کافی برای استفاده از معماری سرویس گرا، یکی از شروط لازم(اما نه ضرورتاً کافی) برای عملیاتی2 نمودن این معماری، وجود چارچوب ها و مدل های امنیتی کارا می باشد. صرف نظر از میزان توزیع شدگی معماری ها، منابع مختلف جنبه های گوناگونی را برای امنیت در نظر گرفته اند که همگی تقریباً در سه مورد رازداری3، جامعیت4 و دسترس پذیری5 مشترکند[3][5][12][13][22]. طبعاً این جنبه ها برای معماری سرویس گرا نیز وجود دارند اما بکارگیری آنها با مشکلاتی همراه است. برای دستیابی به هریک این موارد درمعماری متمرکز (و بعضاً مشترک با معماری سرویس گرا)، مکانیزم های مختلفی وجود دارد. بعنوان نمونه برای تضمین جامعیت، مکانیزم های رمزگذاری و رمزگشایی6 [3][11] و برای تضمین رازداری و دسترس پذیری مکانیزم های اعتبارسنجی و اختیارسنجی7 وجود دارد [3][11].  هر یک از این مکانیزم ها، خود دارای مدل ها و پیاده سازی های گوناگونی هستند. برای اعتبارسنجی می توان اعتبارسنجی به کمک شناسه کاربری/رمزعبور، نشانه امنیتی8، قفل سخت افزاری و علائم زیست سنجی9 مانند اثر انگشت و شبکیه چشم را نام برد [6][12]. برای اختیارسنجی یا کنترل دسترسی مدل هایی مانند MAC ،RBAC و DAC ارائه شده است. همانطور که پیشتر نیز گفته شد، بیشتر این مکانیزم ها و مدل ها در اساس برای معماری های متمرکز طراحی شده اند که با ظهور و توسعه معماری های نامتمرکزی مانند SOA و Grid، نیازمند مدل های جدید یا اصلاح و بومی سازی مدل های موجود خواهیم بود.                                            

    1-2 تعریف مسئله 

    برای تضمین اصول امنیتی در معماری سرویس گرا به مدل ها و چارچوب های امنیتی منطبق با اصول سرویس گرایی نیاز است. مدل های موجود بیشتر بر مبنای معماری متمرکز ابداع شده اند. معماری سرویس گرا بدون داشتن یک مدل امنیتی، بیشتر به یک معماری فانتزی و رویایی شباهت خواهد داشت تا یک گونه عملیاتی و قابل اجرا. بر این اساس برای پوشش دادن به خلاء های امنیتی آن، محققان راه حل هایی برای جنبه های امنیتی آن ارائه داده اند[3][6][12][20][21][22][23][24][25][26][31]. برخی از این راه حل ها با دیگر معماری های توزیع شده مشترک است. اختیارسنجی بعنوان یک جنبه امنیتی اساسی تاثیر مهمی بر کارکرد معماری سرویس گرا دارد. استفاده از مدل های موجود اختیارسنجی برای معماری سرویس گرا حداقل در زمینه های زیر دارای معایب و محدودیت هایی هستند: 

    قابلیت استفاده مجدد[23][24]

    ترکیب پذیری سرویس[24]

    تعامل پذیری بین سازمانی سرویس ها[24] 

    محصورسازی

    اتصال سست سرویس 

    از طرف دیگر وکالت دسترسی بعنوان یک نیاز امنیتی در معماری سرویس گرا در مدل های موجود به درستی پوشش داده نمی شود[23][25]. بنابراین پرسش هایی که پیش روی این تحقیق خواهد بود عبارتند از: » 

    سیاست های کنترل دسترسی در معماری سرویس گرا به چه صورتی باشند تا این معماری را در زمینه های تعامل پذیری بین سازمانی، اتصال سست سرویس ها، ترکیب پذیری و قابلیت استفاده مجدد محدود نکند؟ 

    چگونه می توان اختیارسنجی بین سازمانی را برای معماری سرویس گرا انجام داد بطوریکه اصول این معماری محفوظ بمانند؟ 

    چگونه می توان مشکلات مربوط به شناسه ها در بحث اختیارسنجی در معماری سرویس گرا رابرطرف نمود تا اتصال سفتی1 که دراثر این شناسه ها ایجاد شده است را برطرف ساخت؟ 

    1-3 محدوده تحقیق 

    همانگونه که بطور ضمنی نیز بیان شد، در این تحقیق با دو مقوله سروکار داریم که عبارتند از: اصول معماری سرویس گرا و امنیت در  این معماری. بنابراین، در ابتدا ما به تشریح مبانی معماری سرویس گرا خواهیم پرداخت تا در بررسی و ارائه مدل های امنیتی مراقب حفظ این اصول باشیم. اصول امنیت در سیستم های متمرکز و توزیع شده را مورد بررسی قرار خواهیم داد. سپس روی کنترل دسترسی یا اختیارسنجی بعنوان یکی از مکانیزم های اعمال سیاست های امنیتی تمرکز خواهیم کرد و تحقیق را به مطالعه در این شاخه محدود می کنیم. معرفی مدل های مختلف کنترل دسترسی موجود و بررسی ناکارآمدی آنها در پاسخ به برخی نیازهای وظیفه مندی امنیت در SOA مانند وکالت اعتبار2 و کنترل دسترسی بین سازمانی[4] نیز بخش مهمی از کار خواهد خواهد بود. تمرکز اصلی ما روی ارائه یک مدل کنترل دسترسی برای معماری سرویس گرا خواهد بود. با مطالعه مدل های موجود از یک سو و بررسی نیارمندی های امنیتی SOA از سوی دیگر به یک نقطه شروع برای معرفی مدل پیشنهادی خواهیم رسید. با استفاده از مبانی مجموعه ها و تئوری زبان ها، یک مدل جدید و کاربردی برای SOA ارائه خواهیم داد که همخوانی بیشتر و ایمن تری با اصول اساسی این معماری داشته باشد و نیازمندی های امنیتی آن در زمینه اختیارسنجی  را بهتر  برطرف نماید.                                        

    12 -- tightly coupled   authority delegation 

    1-4 ساختار پایان نامه 

    این پایان نامه در 6 فصل مجزا تنظیم شده است. پس از این فصل (محدودهی تحقیق)، فصل دوم آن به ادبیات موضوع تحقیق اختصاص دارد که در آن ابتدا به تشریح اصول معماری سرویسگرا پرداخته می شود.

    اهداف، نیازمندی ها، اصطلاحات مهم تر این معماری بیان خواهند شد. سپس مبانی اساسی امنیت و تضمین نرمافزار شرح داده می شوند. نیازمندی های اساسی امنیتی بخصوص اختیارسنجی معرفی خواهند شد. امنیت در معماری سرویسگرا با تمرکز بر جنبه اختیارسنجیِ آن مطالعه می شود و در نهایت استاندارد های امنیتی موجود برای معماری سرویسگرا معرفی می گردند.  

    فصل سوم به به طور اختصاصی به کنترل دسترسی بعنوان یک جنبه از امنیت که مورد بحث این تحقیق است خواهد پرداخت. در این فصل ابتدا این جنبه را مستقل از معماری سرویسگرا مورد مطالعه قرار خواهیم داد و سه مدل اساسی موجود را شرح می دهیم. سپس کنترل دسترسی در معماری سرویس گرا بررسی می شود و مدل های موجود و نیازمندی های آن را خواهیم دید. در انتهای این فصل با بررسی دیدگاه های موجود برای کنترل دسترسی بین سازمانی، زمینه برای ارائه مدل پیشنهادی این تحقیق در فصل چهارم مهیا خواهد شد. 

    در فصل چهارم این پایاننامه، مدل پیشنهادی ارائه می شود. قواعد، الزامات و تعاریف این مدل بطور رسمی و نیمه رسمی بیان می شوند. قابلیت ها، مزایا و الگوریتم های آن تشریح خواهد شد. 

    پیاده سازی مدل پیشنهادی و مطالعه موردی آن جهت بررسی صحت عملکرد، در فصل پنجم ارائه خواهد شد. درنتیجه قابلیت ها و توانمندی های مدل بطور واقعی دیده می شوند. در این پیاده سازی از استاندارد SOAP [5] شده است. 

    فصل ششم به ارزیابی و مقایسه مدل پیشنهادی با وضع موجود اختصاص دارد. اثبات رسمی قواعد و قضایای مربوط به مدل در این فصل خواهد بود. با توجه به گستردگی ابعاد مدل، تنها اثبات قضایا و فرمول های مهم تر انجام شده است و بقیه بعنوان کار آتی در نظر گرفته شده اند. 

                                               

    در این فصل، ارزیابی کارایی مدل بر اساس برخی شاخص های سرویس گرایی انجام خواهد گرفت. کارهایآتی مشخص می شوند، و پس از جمع بندی و مرور کلی، نتایج حاصله از تحقیق نیز در انتهای این فصل صورت مشخص می شوند. 

    فصل دوم 

    ادبیات تحقیق        

    2-1 مقدمه 

    در این فصل ابتدا به تشریح مفاهیم بنیادی معماری سرویس گرا خواهیم پرداخت و در آن روی اصولی از این معماری متمرکز می شویم که در ادامه به آن ها نیاز خواهیم داشت. پس از آن، مقوله امنیت نرم افزار را ابتدا مستقل از مفهوم سرویس گرایی بسط می دهیم. اهداف و نیازمندی های امنیت را معرفی می کنیم. در انتها بین مفهوم معماری سرویس گرا و امنیت ارتباط برقرار خواهیم ساخت و جایگاه امنیت را در این معماری بررسی می کنیم. در این بین، اصطلاحات و مفاهیمی که در ادامه تحقیق مورد نیاز است، هرجا که لازم باشد، در حد امکان شرح می دهیم. 

    2-2 مبانی معماری سرویس گرا 

    از آنجا که مفهوم »سرویس گرایی« از مدتها قبل مطرح شده، در زمینه های مختلف و برای کاربردهای متفاوتی به کار گرفته شده است. با ایسن وجود، تمام گونه ها و کاربردهای آن در یک مفهوم مشخص بنام »تفکیک دغدغه ها1« مشترک هستند. این بدان معناست که منطق مورد نیاز برای حل یک مسئله بزرگ اگر به مجموعه ای از قطعات کوچکتر و مجزا تفکیک شود نتیجه بهتری حاصل خواهد شد. هر یک از این قطعات2 به یک دغدغه3 یا یک بخش مشخص از مسئله اشاره دارد. دیدگاه های دیگری نیز مانند سیستم های توزیع شده یا معماری مشتری/خدمتگزار، برای این تفکیک مفاهیم وجود دارد. اما چیزی که SOA را مجزا می سازد، چگونگیِ4 دستیابی به این »تفکیک« است. 

     برای درک بهتر مفهوم سرویس گرایی به ارائه مثالی که آقای Erl در [3] آورده است می پردازیم. فعلاً برای سادگی، سرویس را با همان مفهوم عام، بمعنای »ارائه خدمت یا انجام یک فعالیت« تعریف می کنیم. 

    Abstract

    While the concept of service-oriented architecture (SOA) by many companies and organizations around the world have been accepted, but its resources security assurance problems and requirements, remains one of the challenges that are facing this architecture. However, the concept of resource sharing and distributed computing in network environments (NCE), such as SOA to be more, its requirements and security aspects be more complex and in the absence of an appropriate management, architecture will be vulnerable and inefficient. These problems will increase when we want to use all potential resources of SOA, for example in cross-organization communication. In other words, without a comprehensive security solution and not a good forecast, the fundamental goals of this architecture on the ability to reuse, loosely connection, autonomy and communication between services in some cases are impossible.

    At least there are three basic principles for ensuring the security of architectures: confidentiality, integrity and availability. These three principles are called CIA security triangle and are necessary for SOA too. One of the mechanisms to ensure these triangle principles is Authorization. Generally, there are three Authorization models: discretionary, mandatory and role based. Because these traditional models have been designed for centralized environments, they are not appropriate for distributed systems like serviceoriented architecture. Although evolutionary and modified versions of these models have been presented, no one alone can solve the security requirements SOA.

    In this study after reviewing the existing access control models with their advantages and drawbacks, will focus on providing a language-based access control model (LBAC) for service-oriented architecture that use the concepts of language theory and sets as a basis for its formal model. LBAC model from the perspective of providing access control is based on authorization viewpoint (ZBAC) and uses two-layer security architecture for access control (2LAC) in cross-organization communication. In this model, services and functions that are called resource will be classified based on security factors like privacy and integrity. For each resource a language will be defined and an access language will be assigned to each user. The model's golden rule allows access to only those users whom their access language belonging to the resource languages. This model further than performing basic access control requirements that is decisions about licensing the right to request a resource, by its novel ideas in using language theory, has better compatibility with basic principles of service-oriented architecture such as the service composition, interoperability, encapsulation of business logic of services, delegation chain management and authority delegation.

    Keywords

    Service Oriented Architecture, Security, Formal Models, Access Control, Authorization, Role delegation, Delegation chain, Service composeability, Service interoperability, encapsulation 

  • فهرست و منابع پایان نامه ارائه یک مدل تلفیقی برای تضمین امنیت معماری سرویس گرا

    فهرست:

                        چکیده                                                                                                1 

         1            فصل اول: طرح مسئله و محدوده تحقیق                                                        3 

         1- 1         مقدمه                                                                                                 4 

         1- 2         تعریف مسئله                                                                                        6 

         1- 3        محدوده تحقیق                                                                                       7 

         1- 4         ساختار پایان نامه                                                                                    8 

         2            فصل دوم: ادبیات تحقیق                                                                        10 

         2- 1         مقدمه                                                                                                11 

         2- 2        مبانی معماری سرویس گرا                                                                        11 

         2- 2-1     تعاریف معماری سرویس گرا                                                                     14 

         2- 2-2     محصورسازی منطق راه حل                                                                       15 

         2- 2-3     ارتباط بین سرویس ها                                                                             18 

         2- 2-4     سست اتصالی سرویس                                                                            19 

         2- 2-5     ترکیب پذیری سرویس                                                                            20 

         2- 2-6     قابلیت استفاده مجدد                                                                              21 

         2- 2-7     توسعه پذیری معماری و توسعه پذیری سرویس                                                22 

         2- 2-8     خودمختاری و عدم وابستگی سرویس به چارچوب                                            22 

         2- 2-9     طراحی سرویس ها                                                                                23 

         2- 3        امنیت نرم افزار                                                                                     26 

    ج

     

           2 3-1      مبانی اساسی امنیت                                                                                26

         2- 3-2     تضمین امنیت نرم افزار                                                                            27 

         2- 3-3     اهداف امنیت                                                                                       33 

         2- 3-4     نیازمندی های امنیتی                                                                               37 

         2- 4        امنیت و معماری سرویس گرا                                                                     49 

         2- 4-1     تعیین هویت، اعتبارسنجی و اختیارسنجی                                                        57 

         2- 4-2     نقطه ورود مشترک                                                                                 58 

          2- 4-3    رازداری و جامعیت                                                                                 60 

          2- 4-4    امنیت سطح انتقال و امنیت سطح پیام                                                             61 

         2- 4-5     رمزگذاری و امضاهای دیجیتالی                                                                  62 

         2- 5        استاندارد های امنیتی در معماری سرویس گرا                                                   64 

         2- 5-1     توپولوژی استانداردهای امنیتی                                                                    64 

    67                                                                                                XML Encryption (Confidentiality)          رازداری از طریق  2-5 -2

    68                                                                                                XML Signature (Integrity, Authenticity) جامعیت و اعتبارسنجی از طریق  3-5 -2

          2- 5-4    امنیت وب سرویس (WS-Security)                                                             69 

      70                                                                        X.509 Certificates    نشانه امنیتی  5-5 -2

           2- 5-6    نشانه امنیتی SAML                                                                               71 

         2- 5-7     نشانه امنیتی و سیستم Kerberos                                                                 74 

         2- 5-8     افزودن نشانه های امنیتی در سرآیندهای WS-Security                                        74 

         2- 5-9     آدرس دهی وب سرویس ها (WS-Addressing)                                              75 

          2- 5-10  پروتکل پیام رسانی قابل اعتماد سرویس ها (WS-ReliableMessagin or WS-RM)       76 

           2- 5-11 سیاست وب سرویس ها (WS-Policy)                                                          77 

    ح

            2 5-12  اعتماد وب سرویس ها (WS-Trust)                                                              79 

      80                                   (WS-SecureConversation) محاوره ایمن وب سرویس ها  13-5 -2

          2- 5-14  هم پیمانی وب سرویس ها (WS-Federation)                                                  82 

           2- 5-15  استانداردهای رمزی کلید عام (PKCS)                                                           82 

         2- 6         نتیجه گیری                                                                                         85 

          3           فصل سوم: کنترل دسترسی، سیاست ها و مدل های موجود                                86 

         3- 1         مقدمه                                                                                                87 

         3- 2        تاریخچه کنترل دسترسی                                                                          87 

         3- 3         مدل های کنترل دسترسی موجود                                                                 88 

         3- 3-1     مدل کنترل دسترسی بصیرتی (DAC)                                                            89 

         3- 3-2     سیاست کنترل دسترسی احتیاطی (MAC)                                                       94 

         3- 3-3     سیاست کنترل دسترسی مبتنی بر نقش (RBAC)                                              101 

         3- 3-4     مقایسه مدل های موجود                                                                         105 

         3- 4        کنترل دسترسی در معماری سرویس گرا                                                       107 

         3- 4-1     مدل مرجع معماری امنیت IBM برای معماری سرویس گرا                                 108 

         3- 4-2     مدل تعاملی معماری سرویس گرا – گسترش یافته برای امنیت                              112 

         3- 4-3     مدل های کنترل دسترسی در معماری سرویس گرا                                            113 

         3- 5        سکو ها و چارچوب های امنیتی کنترل دسترسی معماری سرویس گرای بین سازمانی     117 

         3- 5-1     بسترهای حمایت از مدیریت سیاست های امنیتی سمت فراهم کننده سرویس              119 

         3- 5-2     بسترهای مدیریت سیاست های امنیتی اشتراکی بین سرویس دهنده و سرویس گیرنده   120 

         3- 5-3     بسترهای حمایت از مدیریت سیاست های امنیتی سمت درخواست کننده                  121 

         3- 5-4     معماری امنیتی دولایه برای کنترل دسترسی در معماری سرویس گرا                        122 

    خ

    6    نتیجه گیری      124

    فصل چهارم:          مدل پیشنهادی           126 

         4- 1         مقدمه                                                                                              127 

         4- 2        فرض ها و پیش شرط ها و معرفی ساختار کلی                                               127 

         4- 3        تعاریف، الزامات و قواعد مدل LBAC                                                         132 

         4- 3-1     تعاریف                                                                                            132 

         4- 3-2     الزام ها                                                                                            137 

         4- 3-3     قواعد                                                                                              139 

         4- 4        عملیات اساسی اختیارسنجی در مدل LBAC                                                 140 

         4- 4-1     اعطای دسترسی                                                                                   140 

         4- 4-2      لغو دسترسی                                                                                      141 

         4- 4-3     وکالت دسترسی                                                                                  141 

         4- 5        مدل LBAC و سرویس های مرکب                                                            144 

         4- 6        مدل LBAC و ارتباط بین سازمانی سرویس ها                                               148 

         4- 7        مدل LBAC و ارتباط آن با مدل های کنترل دسترسی سنتی                                 151 

         4- 8        راه حل های پیاده سازی های پیشنهادی                                                        152 

         4- 9         نتیجه گیری                                                                                       153 

          5            فصل پنجم: پیاده سازی مدل پیشنهادی                                                      154 

         5- 1         مقدمه                                                                                              155 

         5- 2        انتخاب معیارهای ارزیابی و دامنه برای مطالعه موردی                                        155 

         5- 2-1     بانک                                                                                               156 

    د

           5 2-2      شرکت ارتباطات سیار                                                                            161

         5- 2-3     سازمان ثبت احوال                                                                               162 

         5- 2-4     ارتباط بین دامنه ها                                                                               163 

         5- 3        سرویس های امنیتی                                                                              164 

         5- 4        انتخاب دیدگاه پیاده سازی سرویس های امنیتی                                                          165

         5- 5         پیاده سازی مدل                                                                                  167 

         5- 5-1     پیاده سازی مخزن سیاست های دسترسی                                                      167 

         5- 5-2     پیاده سازی سرویس های امنیتی                                                                 169 

         5- 5-3     اختیارسنجی و مدیریت اختیارها                                                                170

         5- 5-4     مفهوم نقش در مدیریت اختیارات                                                               172 

         5- 5-5     توسعه سیستم                                                                                     173 

         5- 5-6     سطح بندی سرویس ها                                                                          175 

         5- 5-7     مکانیزم اختیارسنجی                                                                             175 

         5- 5-8     عملکرد مدل در مواجهه با تعامل بین سرویس ها                                             180 

         5- 5-9     وکالت دسترسی                                                                                  183 

          5- 5-10  قابلیت های پیاده سازی شده                                                                     184 

         5- 6         نتیجه گیری                                                                                       185 

          6           فصل ششم: ارزیابی مدل پیشنهادی، نتیجه گیری و کارهای آتی                         186 

         6- 1         مقدمه                                                                                              187 

         6- 2        اثبات صحت قاعده اساسی و جنبه های مهم مدل پیشنهادی                                 187 

         6- 3        مقایسه مدل پیشنهادی با مدل های موجود بر اساس شاخص های سرویس گرایی         190 

         6- 3-1     ترکیب پذیری                                                                                     190 

    ذ

           6 3-2      محصورسازی                                                                                     195

         6- 3-2     تعامل پذیری                                                                                      196

         6- 4        مقایسه مدل پیشنهادی با مدل های موجود از نظر قابلیت های امنیتی                        199

         6- 4-1     وکالت دسترسی                                                                                  200

         6- 4-2     محدودیت بر زنجیره بازوکالت                                                                 205 

         6- 4-3     پشتیبانی از مدل های موجود                                                                    205 

         6- 6        مقایسه کارایی مدل پیشنهادی با وضع موجود                                                 206 

         6- 6-1     بازیابی دسترسی های ماهیت ها                                                                 206 

         6- 7        کارهای آتی                                                                                       208 

         6- 8        جمع بندی و نتیجه گیری                                                                        210 

          7            منابع 

    213  

     

    منبع:

    [1] دارا، عمار، 1388، معماری سرویس گرا با بررسی دیدگاه های امنیتی آن، گزارش سمینار کارشناسی ارشد، دانشگاه آزاد اسلامی واحد علوم و تحقیقات تهران

    [2] دروازه پرداخت الکترونیکی بانک پارسیان، 1389، راهنمای متقاضیان استفاده از سیستم پرداخت اینترنتی پارسیان: http://www.pec.ir/Forms/EShops/EPaymentRequest.pdf

    [9] جورج سادوسکای...[و دیگران]،1384، گروه مترجمین: مهدی میردامادی، زهرا شجاعی، محمدجواد صمدی، راهنمای امنیت فناوری اطلاعات، دبیرخانه شورای عالی اطلاع رسانی، تهران

    [35]سامانه بانکداری الکترونیکی بانک سپه، 1389،محاسبه شناسه ملی حساب بانکی ایران (شبا):https://www.ebanksepah.ir/members/sheba.jsp

      منابع لاتین 

    .5 [3]Erl, Thomas ,2005, Service-Oriented Architecture: Concepts, Technology and Design, Prentice Hall PTR 

    .6 [4] OASIS,2008, Reference Architecture for Service Oriented Architecture Version 1.0 

    .7 [5]Srinivasan ,Latha, Treadwell,Jem , 2005, An Overview of Service-oriented Architecture  Web Services and Grid Computing,HP Software Global Business Unit 

    .8 [6]Hafner,M.; Breu,R, 2009,  Security Engineering for Service-Oriented Architectures, Book Chapter, Springer

    .9 [10]Goertzel, Mercedese, K., [and others],2007, Software Security Assurance:State-Of-TheArt-Report (SOAR)

    .01 [11]Ramachandaran, J., 2002, Designing Security Architecture Solutions, John Wiley & Sons Inc 

    .11 [12]Kanneganti, R. , Chodavarapu, P., 2007,  SOA Security, Manning Publication

    .21 [13] Ajay Tipnis, Ivan Llomelli, 2008,, Security – A major imperative for service-oriented architecture,White Paper, ESD Company, Hewlett-Packard (HP) 

    .31 [14]MacVittie, L., 2007, SOA- Challenges and Solutions, White Paper, F5 Networks 

    .41 [15]Indrakanti, S., Varadharajan, V., 2005, An Authorization Architecture for Web Services, Data and Applications Security XIX , Volume 3654/2005, 222-236 ,Spinger 

    .51 [16]Ravi S. S. , Samarati P.,1992, Access Control: Principles and Practices, IEEE Communication Magazine

    .61 [18]David F. Ferraiolo and D. Richard Kuhn,1992, Role-Based Access Control, IEEE 

    .71 [19]Elliott Bell, David, 2005, Looking Back at the Bell-La Padula Model, Proceedings of the

    21st Annual Computer Security Applications Conference,337 - 351, IEEE Computer Society  Washington, DC, USA

    .81 [20]Buecker,A., Ashley,P. ,Borrett, M. , Lu, M. ,Muppidi, S., Readshaw, N.,2007, Understanding SOA Security, Red Book, IBM 

    .91 [21]Pajevski,M. , 2004, A Security Model for Service Oriented Architectures, DSTG Jet Propulsion Labratoy 

    .02 [22]Chanliau,M.,2008, Web Services Security- What’s Required To Secure A ServiceOriented Architecture, White Paper ,Oracle 

    .12 [23]Karp,A. H., 2006, Authorization-Based Access Control for the Services Oriented Architecture, Fourth International Conference on Creating, Connecting, and Collaborating through Computing, Berkeley

    .22 [24]Menzel,M., Wolter,C., Meinel,C., 2007, Access Control for Cross-Organizational Web Service Composition,Journal of Information Assurance and Security ,pp. 155–160 

    .32 [25]Krap,A., H., Haury, H., Davis, M. , 2009, From ABAC to ZBAC-The Evolution of Access Control Models, White Paper, HP

    .42 [26]Yuan, E., Tong, J., 2005, Attribute Based Access Control-A New Access Control Approach for Service Oriented Architectures (SOA),New Challenges for Access Control Workshop, Ottawa, ON, Canada 

    .52 [27]M. H. Kang, J. S. Park, J. N. Froscher,2001, Access Control Mechanisms for InterOrganizational Workflow, Proceedings of the 6zh ACM Symposium on Access Control Models and Technologies (SACMAT ’01), pp. 66-74(2001)

    .62 [28]Hopcroft, J. E.,  Motwani, R., Ullman, J. D., 2000,  Introduction to Automata Theory, Languages, and Computation (2nd ed.). Addison-Wesley

    .72 [29]Cirio,L.,  Cruz,I.,Tamassia,R., 2007, A Role and Attribute Based Access Control System Using Semantic Web Technologies, OTM Confederated international conference on the move to meaningful internet systems 

    .82 [30]Crampton, J., Khambhammettu, H., 2007, Delegation in Role-Based Access Control, International Journal of Information Security. vol. 7, pp. 123--136, Springer, Berlin

    .92 [31]Wang, H., Han, R., Jing, X., Yang, H., 2009, Delegation Management in Service Oriented Decentralized Access Control Model. In: Proceedings of the Second Symposium International Computer Science and Computational Technology(ISCSCT ’09).Huangshan, P. R. pp. 316--320. China 

    .03 [32]Brown,P., C., 2008,  Implementing SOA- Total Architecture in Practice, Addison Wesley Professional 

    .13 [33]Arsanjani, A. , 2004,  Service-oriented modeling and architecture, IBM Article

    .23 [34]Osborbn,S., Sanndhu,S. , Munawer,Q. , 2000, Configuring Role-Based Access Control to Enforce Mandatory and Discretionary Access Control Policies,ACM Transactions on

    Information and System Security, Vol. 3, No. 2, Pages 85--106

ثبت سفارش
عنوان محصول
قیمت