بخشی از مقاله
چكيده
امروزه كاربران بسياري در دنيا از ابزارهاي همراه مانند تلفن همراه و تبلت استفاده ميكنند. سرويسها و خدمات زيادي كه اين ابزارها ارائه ميدهند باعث همهگير شدن اين ابزارها در ميان كاربران در سراسر دنيا شده است. به همين خاطر نيز اين دسته از ابزارها در معرض حملات مختلف اينترنتي ميباشند. بحث امنيت در اين گونه از ابزارها بسيار مهم است و راهكارهاي مختلفي هم براي تامين آن ارائه شده است. اين راهكارها شامل نصب برنامههاي ضد ويروس و فايروال برروي اين ابزارها ميباشد.
اما به دليل كمبود منابع سختافزاري و نرمافزاري در اين ابزارها، و همچنين عدم توجه كاربران به موضوع بهروزرساني اين برنامهها اين راهكار دچار مشكل شده است. راهكار پيشنهادي در اين مقاله براساس معماري SeCloud ميباشد. در اين روش علاوه بر ايجاد امنيت در گوشيها با اجراي چندين راهحل امنيتي قدرتمند و با بكارگيري روشهاي رمزنگاري، تسهيم راز و كدهاي تشخيص خطا، محرمانگي و صحت اطلاعات نيز حفظ شده و آن را در مقابل حملات فرد مياني، شنود و جعل، مصون نگه ميدارد.
پيادهسازي اين معماري در سطح تجاري نيازمند به ابر كامپيوترها با استفاده از پردازشهاي سنگين محاسباتي ميباشد. با اين وجود ميتوان اين روش را در سازمانهاي متوسط نيز براي حفظ امنيت اطلاعات استفاده كرد. مقايسه و بررسي روش پيشنهادي با روشهاي ديگر و همچنين پيادهسازي اين روش، نشان ميدهد كه اين روش داراي عملكرد خوبي در تشخيص حملات و ميزان پردازنده مصرفي ميباشد.
١- مقدمه
باتوجه به پيشرفت روزافزون فناوري در رايانهها و گوشيهاي تلفن همراه، نياز به امنيت و تسريع در انجام كارها بيشتر احساس ميشود. درگذشته از تلفن همراه فقط براي برقراري تماس يا ارسال پيامك استفاده ميشد، اما با پيشرفتهاي صورت گرفته، اكنون از تلفنهاي همراه به جز موارد مذكور، براي اتصال به اينترنت، خريدهاي اينترنتي، دريافت فايل با استفاده از بلوتوث، مكانيابي و غيره نيز استفاده ميشود. با توجه به اين نكته كه گوشيهاي هوشمند از يك ساختار نرمافزاري شبيه به رايانههاي شخصي استفاده ميكنند، آنها نيز مانند رايانهها دربرابر خطرات امنيتي آسيبپذير هستند. از اين رو پيوسته بايد هوشيار بود تا تلفن همراه در برابر حملات بدافزارها و مهاجمان سايبري در امان بماند. بدافزارهاي گوشيها را ميتوان به دو دسته عمده تقسيمبندي كرد:
١ - بدافزارهايي كه متناسب با قابليتهاي سختافزاري و نرمافزاري گوشيها طراحي ميشوند.
٢ - بدافزارهايي كه عمومي و مشترك با بدافزارهاي رايانهاي هستند. نكته مهم و قابلتوجه اين است كه اين بدافزارها ميتوانند علاوه بر حمله به حريم خصوصي و امنيت گوشيهاي كاربران، حملات هماهنگ در مقياس بزرگ بر روي زيرساختهاي ارتباطي انجام دهند]١.[ ابتداييترين و سادهترين كارهاي صورت گرفته جهت شناسايي و مقابله با بدافزارها، طراحي آنتيويروسها - يا در حالت كلي برنامههاي كاربردي امنيتي - و نصب و اجراي آنها بر روي گوشيها است.
اما اجراي آنتيويروسها - حتي آنتيويروسهايي كه مخصوص گوشي طراحي شدهاند - با وجود منابع محدود گوشيها كارآمد نيست. به عنوان مثال آنتيويروس موبايل گارد، كه آنتيويروسي براي گوشيهاي آندرويدي است براي اسكن يك پوشه ٢٠٠ مگابايتي روي يك گوشي اندرويد ١٠% از شارژ باتري و ٤٠ دقيقه زمان نياز دارد ]١.[ در اينجا توجه به نتايج يك آزمايش كه در سال ٢٠١٢ توسط Symantec صورت گرفته نيز بسيار تاملبرانگيز است.
در اين آزمايش براي تشخيص يك بدافزار بر روي گوشي هوشمند از نه آنتيويروس مختلف استفاده كردند و در اين ميان فقط يكي از آنها توانست آن بدافزار را تشخيص دهد ]٢.[ حال اين سوال مطرح ميشود كه آيا با ظرفيتهاي متعارف يك گوشي هوشمند در حال حاضر، داشتن هر ٩ آنتيويروس بر روي آن امكانپذير است؟ با توجه به دادههاي زياد، برنامههاي كاربردي متعدد، محدوديتهاي پردازشي، حافظه، ذخيرهسازي و باتري كه در گوشيهاي يك چالش كليدي در اجراي راهحلهاي مؤثر امنيتي است، نياز به محيط خارج از محدوده گوشيها - محيطي مانند ابر - ، جهت پيادهسازي راهحلهاي امنيتي بيشتر احساس ميشود ]٣. [ در اين مقاله و در بخش دو به مرور مختصر سابقه تحقيق پرداخته شده و در بخش سوم راهكار پيشنهادي معرفي و مورد بررسي قرار ميگيرد. در بخش چهارم نيز نتايج شبيهسازي آمده است و در نهايت در بخش پنجم نتيجهگيري و پيشنهادات ارائه شده است.
٢- سابقه تحقيق
Hsueh و همكاران ذخيرهسازي دادهها در محيط ابري را به گونهاي طراحي كردهاند كه كاربران بتوانند از تلفنهاي همراه به عنوان پلتفرمي جهت بارگذاري، بارگيري، اشتراكگذاري و همگامسازي اطلاعات از طريق محاسبات ابري در هر نقطه و هر لحظه بهره برند. امنيت، تركيبي از تراشههاي TPM در گوشيهاي همراه براي محافظت از هويت كاربران آنها و همچنين فناوري هاي امنيتي جهت محافظت از انتقال دادهها در برابر حملات مخرب مورد استفاده قرار ميدهد ]٤.[ يك مركز صدور گواهينامه، منبع يك امضا را تاييد ميكند. معماري سيستم متشكل از كاربران تلفن همراه، يك مركز احراز هويت، ارتباطات راه دور و محيط ابري است. وظايف به فرآيندهاي ثبتنام، بارگذاري، بارگيري، به اشتراكگذاري و هماهنگسازي، تقسيم ميگردد.
كاربران تلفن همراه از تلفن همراه جهت دسترسي به اينترنت و سپس ارسال اطلاعات مربوط به ثبتنام به مركز احراز هويت و متعاقب آن ارائه امضاء ارتباطات از راه دور، استفاده ميكنند. ارتباطات از راه دور نيز گذرواژه ابري را براي كاربر تلفن همراه جهت تكميل عمليات ثبتنام ارسال مينمايد. كاربران تلفن همراه ميتوانند از اين گذرواژه براي بارگذاري و بارگيري ابري استفاده نمايند. همچنين ذخيرهسازي دادههاي ابري ميتواند با ديگر تلفنهاي همراه، هماهنگ شده و با ساير دوستان به اشتراك گذاشته شود. براي كاربران تلفن همراهي كه از محيط ابري استفاده ميكنند اين فرآيند ميتواند به مراحل ثبتنام، بارگذاري، بارگيري، همگامسازي و به اشتراكگذاري تقسيم گردد. اين روند به صورت بعدي مشخص شده است ]٤:[ كاربران تلفن همراه اطلاعات هويتي خود را به مركز احراز هويت ارسال مينمايند.
مركز صدور گواهينامه، اطلاعات دريافتي را به ارتباطات از راه دور ارسال مينمايد. ارتباطات از راه دور، اطلاعات مربوط به ثبتنام را براي ايجاد يك CPW دريافت ميكند. مركز احراز هويت براي ارائه به كاربر تلفن همراه سوئيچ ميشود. اقدام جهت تكميل ثبتنام كاربري كه پيامي را شامل MU، NO و CPW دريافت ميكند. ذخيره آن در حافظه گوشي انجام ميشود. Zhou و همكاران يك چهارچوب حفظ حريم خصوصي ارائه دادهاند. شماي مطرح شده، پردازش و ذخيرهسازي عملياتهاي رمزگذاري و رمزگشايي را بدون افشاي هيچگونه اطلاعاتي درباره محتواي داده و كليدهاي امنيتي، بر روي ابر منتقل ميكند ]٥.[
Park و همكارانش يك پروتكل سرويس امنيتي براي گوشيهاي هوشمند با استفاده از مفهوم رايانش ابري سيار ارائه نمودند. در اين روش از احراز هويت استفاده شده و به وضعيت دستگاه سيار و شبكه توجه ميشود. همچنين همواره ليست دادهها جهت عاري بودن از دادههاي مخرب بررسي ميشود. روش كار به اين صورت است كه وضعيت گوشي هوشمند به سرور تاييد كننده فرستاده ميشود تا استفاده از سرويسهاي رايانش ابري كنترل شود، يعني براي سرويسدهي به وضعيت دستگاه سيار نيز توجه ميشود.
سرور تاييدكننده نيز برحسب شرايط و سياستهاي از پيش تعريف شده، پاسخ تاييد يا رد را ارسال ميكند. به عنوان يك سناريو، اگر كاربر دستگاه سيار درخواست داده، داشته باشد، اين درخواست به سرور تاييدكننده ارسال ميشود و در اينجا بررسي ميشود كه ليست داده، فاقد دادههاي مخرب باشد. بررسي ليست دادهها جهت عاري بودن آنها از دادههاي مخرب به صورت موثري در اين روش انجام ميشود كه موجب تامين امنيت در سطح مناسبي ميشود ]٦.[
Al-Hasan و همكارانش نيز روشي ارائه نمودند كه از رمزنگاري نامتقارن براي تامين محرمانگي و جلوگيري از هك شدن دادهها استفاده مي-كرد. البته استفاده از رمزنگاري نامتقارن معايبي به همراه دارد كه از آن جمله ميتوان به مصرف توان و پهناي باند بالا اشاره كرد. همچنين به اين روش، حمله جعل سرور نيز قابل انجام است ]٧.[ Zonouz و همكارانش هم به منظور شناسايي بدافزارهاي موبايل از محيط ابر استفاده كردند، در اين روش عامل سرويس گيرنده تمام دادههاي ورودي و خروجي را ضبط كرده و براي ابر ارسال ميكند. اين دادهها در محيط شبيهسازي شده در ابر پردازش شده و درصورت وجود خطا يا مشكلي به عامل سرويس گيرنده، اطلاع داده ميشود و به اين دليل كه دادهها در محيط ابر و توسط چندين برنامه امنيتي تحليل ميشوند، امكان تشخيص دادههاي مخرب افزايش مييابد ]١.[
Wang و همكارانش نيز روشي را ارائه دادهاند كه ازSecret Sharing براي امنيت دادهها استفاده ميكند. به اين صورت كه دادهها بجاي اينكه بر روي فقط يك ابر ذخيره شوند، به n قسمت تقسيم شده و بر روي چندين ابر مختلف قرار ميگيرند. با اينكار حتي اگر متخاصم بتواند به يك ابر دسترسي داشته باشد، نميتواند به داده دست يابد. البته با توجه به اين نكته كه نياز به چندين ابر مختلف داريم، هزينه كاربر افزايش مييابد ]٨.[
Isalm و همكارانش نيز يك طرح احراز هويت مبتني بر رمز عبور ارائه دادهاند كه به صورت مناسبي از ويژگي سيستم رمزنگاري منحني بيضوي استفاده كرده است. طرح فوق علاوه بر تامين امنيت داراي سربار پردازشي و ارتباطي بسيار پاييني نيز ميباشد كه باعث شده اين طرح براي دستگاههاي سيار سودمند باشد ]٩.[ هوشمند ميشوند، يك عامل سرويسگيرنده بر روي گوشي نصب ميشود تا تمام وروديها را ثبت كرده و به شبيهساز در ابر جهت تحليل ارسال كند.
در روش پيشنهادي، محرمانگي و صحت دادهها مورد توجه قرار مي-گيرد. در رمزنگاري از توابع درهمساز و فشردهسازي نيز استفاده ميشود كه باعث برقراري امنيت ارتباط، بين گوشي و ابر ميشود. همچنين با توجه به ذخيرهسازي و شناسايي بدافزارها بر روي ابر، مشكل حافظه و قدرت پردازش محدود گوشيهاي هوشمند نيز برطرف ميشود. معماري روش پيشنهادي در شكل - ١ - نشان داده شده است.
٣- روش پيشنهادي
روش پيشنهادي، شامل مولفههاي گوشي هوشمندي كه يك نرمافزار به نام عامل سرويسگيرنده بر روي آن نصب و در حال اجر است، يك سرور نماينده و يك شبيهساز در محيط ابر هست. نخستين بار كه گوشي در ابر ثبتنام مي-شود، نرمافزار عامل سرويسگيرنده بر روي آن نصب ميشود. اين عامل همه اطلاعات مورد نياز كپي شبيهسازي شده دستگاه ثبتنام شده - ماكت - در محيط شبيهسازي، از جمله وروديهاي كاربر و حسگرها از رابطهاي دستگاه را ثبت ميكند كه جهت كاهش مصرف پهناي باند، بهتر است عامل مشتري فقط وروديهاي دستگاه را ثبت كرده و آنها را به شبيهساز ارسال كند.
در آن سوي ارتباط، يك شبيهساز در محيط ابر قرار دارد كه يك كپي شبيهسازي شده - ماكت - از هر دستگاه ثبتنام شده را اجرا ميكند. اين ماكت شامل سيستم فايل و سيستمعامل مربوط به گوشي هوشمند اصلي هست. ماكت بطور مدام خودش را از طريق دريافت وروديهاي كاربر توسط عامل سرويسگيرنده متناظر با گوشي اصلي، همگام نگه ميدارد. البته مهمترين كاري كه در شبيهساز اتفاق ميافتد، اجراي موازي راه-حلهاي امنيتي مختلف مانند آنتيويروسها و تشخيص دهندههاي نفوذ براي محافظت از گوشي هوشمند در برابر تهديدات امنيتي هست درحالي كه به علت محدود بودن منابع گوشي، نميتوان از راهحلهاي امنيتي يا آنتي-ويروسهاي مختلف بر روي گوشي استفاده كرد.
شبيهساز هنگام شناسايي ويروس يا عوامل مخرب ديگر، يك هشدار را به عامل سرويسگيرنده مربوطه جهت اجراي اقدامات مورد نياز ميفرستد. در اين ساختار، سرور نماينده ترافيكهاي ورودي يك دستگاه را براي ماكت مربوطه در داخل ابر تكرار ميكند. همچنين ترافيك خروجي ماكت را براي اجتناب از تكرار درخواست - مثلا براي جلوگيري از خريد مجدد يك آيتم از يك وبسايت فروشگاه آنلاين - بلاك ميكند. پس از آشنايي با مولفههاي معماري، اكنون به بررسي مكانيزم شناسايي بدافزارها در گوشيهاي هوشمند در محيط ابر پرداخته ميشود. ميتوان اطلاعات ورودي و خروجي گوشيها را به دو دسته كلي تقسيمبندي كرد:
١ - اطلاعات انتقالي از طريق اينترنت.
٢ - اطلاعات انتقالي از طريق بلوتوث، usb و غيره.
معماري روش پيشنهادي
پس از ثبتنام و ايجاد ماكت دستگاه گوشي در ابر و نصب نرمافزار عامل سرويسگيرنده بر روي گوشي هوشمند، ابتدا عامل سرويسگيرنده و ماكت دستگاه يك كليد خصوصي براي خود انتخاب كرده و پس از محاسبه كليد عمومي، آن را ثبت ميكنند. حال با استفاده از روش توافق كليد ديفي-هلمن ]١٠[، يك كليد مشترك اصلي بين عامل سرويسگيرنده و ماكت توافق ميشود. پس از جمعآوري دادههاي ورودي و خروجي گوشي، عامل سرويس-گيرنده جهت حصول اطمينان از صحت آنها در حين ارسال، ابتدا با استفاده از توابع درهمسازي، مقدار درهم آن محاسبه شده و سپس فايلها را فشرده مي-كند. حال مقدار درهم را به اطلاعات فشرده شده الحاق كرده و سپس با كليد رمز كرده و ارسال ميكند.
در اينجا از بهترين الگوريتم درهمسازي SHA-512، بهترين روش رمزنگاري، استاندارد رمزگذاري پيشرفته و بهترين روش فشردهسازي RLE، استفاده ميشود. شبيهساز از آنتيويروسهاي مختلف براي مانيتور كردن تمامي فايلهاي روي دستگاه به منظور پيدا كردن بدافزارهاي شناختهشده، استفاده ميكند. شبيهسازي مبتني بر ابر، بررسي عميق بستههاي ترافيك ورودي و خروجي شبكه را نيز ميسر ميكند و به نظارت بر دستگاه براي شناسايي محتواهاي ناقص و رفتارهاي مخرب كمك ميكند.
