بخشی از مقاله
رایانش ابری امن: مدلی برای اعتماد کاربران به سرویس های ابری
چکیده
با رشد سریع و گسترده نرم افزارهاو سرویس های ابری، رایانش ابری محبوبیت فزایندهای یافته است، اما کاربران این فناوری محبوب با موانع و مشکلاتی روبه رو هستند که بعضی از آنها برای این فناوری ذاتی می باشد. یکی از مهمترین موانع عقب نشینی سازمان ها از ابر مسئله امنیت این فناوری میباشد و با توجه به افزایش پذیرش و استفاده از رایانش ابری در صنعت، مدیریت اعتماد هنوز بهعنوان یکی از چالشهای کلیدی در پذیرش رایانش ابری محسوب میشود و مواردی همچون پویایی زیاد ابر، توزیع شده بودن آن و طبیعت غیر شفاف سرویسهای ابری مدیریت اعتماد را حتی بیشتر چالشبرانگیز کرده است و باعث شده تا محققان در سالهای اخیر بیشتر به این موضوع بپردازند. در این مقاله یک مدل با تاکید بر حل مسئله مربوط به شهرت سرویس دهنده جهت برای برقرای امنیت و اعتماد کاربران به سرویس های ابری پیشنهاد شده که نتایج حاصل از آزمایش ها بر روی مجموعه دادهی معروف Advogtao نشان میدهند که مدل پیشنهادی نسبت به مدل های قبلی دارای دقت و کارایی بالایی می باشد.
کلمات کلیدی: رایانش ابری، اعتماد، امنیت، مدیریت اعتماد
مقدمه
قبل از آمدن رایانهها، اگر می خواستیم اطلاعاتی را بیابیم به ناچار می بایست بهصورت فیزیکی به مراجع خاصی مراجعه میکردیم و زمان و هزینه بسیار زیادی را صرف یافتن و بهره گیری از آنها می نمودیم. با فراگیر شدن رایانهها و دیجیتال شدن اطلاعات، فرآیند یافتن و بهرهگیری از اطلاعات آسانتر شد؛ اما با ظهور اینترنت و سرویسهای مبتنی بر وب، تحولی بسیار ارزشمند درزمینهی فناوری اطلاعات پدیدار شد. با پیشرفت فناوری اطلاعات، نیاز به انجام کارهای محاسباتی در همهجا و همه زمان به وجود آمده است. همچنین نیاز به این هست که افراد بتوانند کارهای محاسباتی سنگین خود را بدون داشتن سخت افزارها و نرمافزارهای گران انجام دهند. رایانش ابری آخرین پاسخ فناوری به این نیازها بوده است. اصطلاح ابر در اوایل سال 1990 در کاربرد تجاری برای اشاره به شبکههای بزرگ ATM (حالت انتقال ناهمگام)1 وارد شد. بهنوبهی خود از قرن 21، اصطلاح رایانش ابری پدیدار شده است، اگرچه تمرکز عمدهی آن در این زمان بر روی نرمافزار بهعنوان سرویس (SaaS) بوده است(. (Diakaiakos, et al., 2009
قبل از اینکه کاربر میخواهد از سرویس های ابری استفاده کند، باید اعتماد لازم را جهت استفاده از سرویسهای موردنیاز کسب کند. برای کاربر مهم است تا اطلاعاتی که در ابر ذخیره کرده، از دسترس مهاجمان در امان باشد و یا در اثر خرابی سیستم از بین نرود. همچنین سرویسدهندهی خدمات ابری نیز از این اطلاعات سوءاستفاده نکند. واضح است که این خطرات امنیتی پیامدهای وخیمی را در پیدارند.
کارهای گذشته
جوشی و همکارانش اهمیت امنیت و اعتماد در ابر را موردبررسی قراردادند. آنها همچنین چندین موضوع در مورد اینکه چگونه اعتماد در ابر با توجه به طبیعت پویای آن میتواند برقرار شود را موردبررسی قراردادند و استفاده از »اصول واگذاری2« را پیشنهاد دادند(. (Joshi, Takabi, & Ahn, 2010
بهمنظور بهبود روشهای مدیریت اعتماد در محیطهای ابری نور و همکارانش ساختاری تحت عنوان »اعتماد بهعنوان خدمات3« را پیشنهاد دادند. به دلیل اینکه مدلهای اعتماد که به صورت معماری متمرکز مورداستفاده قرار میگیرند امنیت پایینتری دارند، آنها سرویسهای مدیریت اعتماد بهصورت مدیریت توزیعشده را پیشنهاد دادند(. (Noor & Sheng, 2011
عماد و همکارانش به تشریح برخی از خصوصیات برای ارزیابی اعتماد در ابر پرداختند .(Martin, 2011 Abbadi) آنها ویژگیهایی همچون سازگاری، انعطافپذیری، مقیاسپذیری، در دسترس بودن، قابلیت اطمینان و حریم خصوصی در اعتماد را موردبررسی قراردادند. مزیت کار آنها بررسی اکثر جنبههای ارزیابی اعتماد در ابر بود اما عدم ارائه یک مدل اعتماد ازجمله معایب کار آنها به حساب میآید.
تاکنون مطالعات و پژوهشهای زیادی در زمینهی مدیریت اعتماد در فضای رایانش ابری صورت گرفته است. علاوه بر این، بر اساس گزارش پژوهشگران دانشگاه برکلی (Armbrust, et al., 2010) ، مدیریت اعتماد و امنیت بهعنوان یکی از 10 مانع پذیرش رایانش ابری محسوب میشود. در ادامه به برخی کارهای تحقیقاتی مرتبط با مدل پیشنهادی پرداخته میشود.
جو و همکارانش یک روش ارزیابی برای محاسبه اعتماد توصیهای و یک روش ارزیابی برای بیان اعتماد مستقیم ارائه کردند. مزیت کار آنها این بود که از ترکیب دو روش اعتماد توصیهای و مستقیم استفاده کردند اما مشکل کار آنها این بود که از تابع مبتنی بر زمان برای اعتماد مستقیم استفاده کردند که این تابع برای بررسی اعتماد کافی نیست زیرا فاکتورهای دیگری مثل شهرت بر روی اعتماد مستقیم تأثیر میگذارد (Guo, Sun, Chang, & Wang, .2011)
خان و همکارانش فاکتورهایی که بر روی اعتماد مشتریان در ابر تأثیر میگذارند و نیز بعضی فناوریهای نوظهور مثل امکان بررسی دادههای کاربران از طریق کنترل دسترسی از راه دور، شفافیت در قابلیتهای امنیتی ارائه شده توسط ارائهدهندگان، استقلال گواهی سرویسهای ابر برای ویژگیهای امنیتی که میتوانند برای برقراری اعتماد در ابر بکار روند را موردبررسی قرار داده اند. مشکل این روش این است که هیچکدام از تکنیکهای مدیریت اعتماد مثل تکنیک مبتنی بر توصیه، تکنیک مبتنی بر شهرت و... موردبررسی قرار نگرفته است(. (Khan & Mulluhi, 2010
موضوع بررسی دادههای کاربران از طریق کنترل دسترسی از راه دور، توسط هی و همکارانش که علاوه بر این مکانیسم شامل کانال ارتباطی امن و محاسبات بر رویدادههای رمز شده بهعنوان راهی برای بهبود بعضی چالشهای اعتماد میشد، در سال 2011 موردبررسی قرارگرفته است (Hay, Nance, & .Bishop, 2011)
بعضی از پژوهشگران استفاده از 4TPM برای برقراری اعتماد در ابر و گواهی راه دور را پیشنهاد دادند((Ruan & (Schiffman, et al., 2012 . (Santos, Gummadi, & Rodrigues, 2009)Martin, 2011 ) کار انجامشده در((Santos, Gummadi, & Rodrigues, 2009 اعتماد بین کاربران ابر را بر پایه رفتارشان برقرار میکند. برای مثال موجودیتها در لایه فیزیکی تشکیل یک دامنه همکاری را میدهند که اغلب باهم بیارتباط اند و گاهی اوقات هرگز ارتباط مستقیم با یکدیگر ندارند. مشکل این روش این است که اگر یک دامنه فیزیکی از کار بیفتد درنتیجه همهی منابع میزبان آن باید
سریعاً دوباره در دامنه فیزیکی دیگری شروع به کار کنند.
سومش و همکارانش یک مدل اعتماد مبتنی بر اعتماد توصیه ای ارائه دادند. مزیت کار آنها استفاده از اعتماد مستقیم و غیرمستقیم بود اما مشکل کار آنها این بود که فقط از تکنیک مدیریت اعتماد مبتنی بر توصیه استفاده کرده بودند. مشکل کار آنها مسئله مربوط به شهرت سرویس دهنده می باشد که اگر یک سرویس تازه وارد هیچگونه شهرتی نداشته باشد چه نوع ساز و کاری برای اعتماد با آن باید در نظر گرفته شود که در این مقاله به ارائه راه حلی برای این مشکل خواهیم پرداخت. .(Somesh, Prajapati, & Sarkar, 2013)
رایانش ابری
عنصر ابر از یک استعاره که برای اینترنت استفاده می شود مشتق شده است و اغلب در نمودارهای شبکههای کامپیوتری به تصویر درآمده است. ابر واژهای است که تاریخچه استفاده از آن به سال 1960 برمیگردد. جان مک کارتی در آن سال بیان کرد که "ممکن است روزی محاسبات به عنوان یک ابزار عمومی مطرح گردد." در اوایل دهه 1990 واژه ابر برای اشاره به شبکههای ATM (حالت انتقال ناهمگام)5 مطرح شد. اصطلاح رایانش ابری به شکل کنونی مربوط به قرن بیستویکم میباشد. IBM در سال 2001 به نحو مطلوبی مفهوم رایانش ابری را توسعه داد، در بیانیه محاسبات خودمختار بیان شده است که روشهای اتوماسیون پیشرفته مانند خودترمیمی، نظارت بر خود، خود پیکربندی و خود بهینهسازی در مدیریت سیستمهای فناوری اطلاعات با سرورها، برنامههای کاربردی، شبکهها، مکانیسمهای امنیتی و عناصر سیستمهای دیگر که میتوانند در یک شرکت مجازیسازی شوند به دست میآید. اما باید اذعان کرد که بهترین توسعه با استفاده از مفهوم فناوری رایانش ابری توسط شرکت آمازون صورت پذیرفته است. مدرنسازی مراکز داده این شرکت با استفاده از مفهوم رایانش ابری نشان داد که معماری جدید بهکار گرفته شده به صورت محسوسی کارایی داخلی را افزایش داده و موجب سودآوری قابل توجهی برای این شرکت شده است. در سال 2005 بود که آمازون امکان دسترسی به سیستمهای خود را از طریق خدمات وب سایت آمازون براساس یک ابزار محاسباتی فراهم کرد. در سال 2007 نیز فعالیت شرکتهای بزرگ بهخصوص Google و IBM در این زمینه شدت گرفت، همچنین تعدادی از دانشگاهها پروژههای
تحقیقاتی خود را در این زمینه کلید زدند. در سال 2008 نیز تحقیقات گارتنر نشان داد که سازمانها در حال گذر از داراییهای سخت افزاری و نرم افزاری به سوی مدلهای مبتنی بر استفاده از هر سرویس می باشند که این گذر موجب توسعه صنعت فناوری اطلاعات شده است. شاخصترین تعریف از رایانش ابری توسط موسسه ملی فناوری و استانداردها 6(NIST) به شرح زیر ارائه شده است.
· رایانش ابری مدلی است برای فراهم کردن دسترسی آسان از طریق شبکه به مجموعه ای از منابع رایانشی قابل تغییر و پیکربندی (مثل: شبکهها، سرورها، فضای ذخیره سازی، برنامهها و خدمات) براساس تقاضای کاربر که این دسترسی بتواند با کمترین نیاز به مدیریت منابع یا دخالت مستقیم فراهمکننده خدمات به سرعت فراهم شده یا آزاد گردد . (Overby, Eric, Bharadwaj, & Anandhi, 2006 )
اهمیت اعتماد در رایانش ابری
با توجه به افزایش پذیرش و استفاده از رایانش ابری در صنعت، مدیریت اعتماد هنوز بهعنوان یکی از چالشهای کلیدی در پذیرش رایانش ابری محسوب میشود.
لری پترسن، یکی از متخصصین علوم کامپیوتر در دانشگاه پرینستون که وظیفه اداره یک پلتفرم آزمون اینترنت موسوم به PlanetLab Consortium را بر عهده دارد معتقد است باوجوداینکه در حال حاضرابرها امنیت نسبتاً مناسبی دارند، تأمینکنندگان خدمات ابری باید قابلیت اعتماد به خود را در درازمدت ثابت کنند. او دراین باره میگوید: »ممکن است ارائهدهنده خدمات ابری مکانیسمهای امنیتی مناسب را در اختیار داشته باشد، اما آیا میتوان به آن برای محافظت از اطلاعات در برابر افراد متفرقه اعتماد کرد و مطمئن بود که اطلاعات خصوصی و حساس را فاش نمیکند و درعینحال میتوان از فعال بودن آن مؤسسه در طول پنج یا ده سال آینده اطمینان حاصل کرد؟ «
بهعنوان نمونه ملموسی از عدم اعتماد موردنظر پترسون میتوان به یک مرکز داده مستقر در منطقه Somerville از ایالت ماساچوست و در حاشیه شهر بوستون اشاره کرد. این مرکز داده متعلق به یک شرکت کوچک به نام 2N+1 است که فضای مجهز به سیستم خنککننده، امنیت، توان الکتریکی و امکانات اتصال به شبکه را در اختیار سایرین میگذارد. در طبقه نخست این مرکز داده مجموعهای از دوازده قفسه سیاهرنگ حاوی سرورها به چشم میخورد. وینستون بونو، یکی از بنیانگذاران شرکت 2N+1 تشریح میکند که این سرورها متعلق به نخستین مشتری شرکت وی هستند که یک بانک ملی است. این بانک ترجیح میدهد، به جای استفاده از خدمات ابری، از سرورهای اختصاصی بهره بگیرد. بانک مذکور برای تأمینامنیت سرورهای خود روشی کاملاً محسوس را در پیشگرفته است: یک حصار سیمی فولادی!
علاوه بر این، بر اساس گزارش پژوهشگران دانشگاه برکلی (Armbrust, et al., 2010) ، مدیریت اعتماد و امنیت بهعنوان یکی از 10 مانع پذیرش رایانش ابری محسوب میشود. این به دلیل موضوعات چالشبرانگیز در ابر مثل حریم خصوصی((Cavoukian, 2008 (درز اطلاعات مشترکان آی پد)، امنیت )(Li, 2010)قطع سرویسهای تحت وب آمازون که خیلی از سایتهای تجاری وب را با مشکل مواجه کرد) و اعتماد (Hwang & Hu, 2009) در رایانش ابری می باشد.
همچنین، پویایی زیاد ابر، توزیعشده بودن آن و طبیعت غیر شفاف سرویسهای ابری مدیریت اعتماد را حتی بیشتر چالشبرانگیز کرده است و باعث شده تا محققان در سالهای اخیر بیشتر به این موضوع بپردازند((Gambetta, (Noor & Sheng, 2011 ) (Li, 2010) (Armbrust, et al., 2010 Trust: Making and Breaking Cooperative Relation, 2000)
مفهوم اعتماد
اعتماد را می توان از دو دیدگاه مختلف تعریف کرد:
-1 از دیدگاه ارزیابی، منظور از اعتماد »میزان اعتماد داشتن« است. در این راستا تعاریف مختلفی ارائه شده است که بهعنوان نمونه به دو مورد زیر اشاره میکنیم:
· اعتماد عبارت است از احتمال ذهنی که یک فرد A به آن میزان انتظار دارد که فرد دیگری مانند B عمل مشخصی را که موردعلاقه A است، انجام دهد.(. (Gambetta, Can we trust ? Trust: Making and braking cooperative relations, 1988
· اعتماد A به B در مورد یک سرویس X عبارت است از میزان باور A به این که B در یک دوره زمانی مشخص در یک زمینه خاص مرتبط با سرویس X بهصورت قابلاتکا رفتار کند(. (Olmedia, Rana, Mattew, & Nejdl, 2005
-2 از دیدگاه تصمیمگیری، اعتماد به معنی »میزان تمایل به اعتماد کردن« در نظر گرفته میشود. از این دیدگاه میتوان اعتماد را به صورت زیر تعریف کرد.: