بخشی از مقاله
*** این فایل شامل تعدادی فرمول می باشد و در سایت قابل نمایش نیست ***
رمزنگاري اثر انگشت براي احراز هويت ايمن در رايانش ابري
چکيده
واضح است که سرويس دهنده ابر از روش هاي مختلف احرازهويت ، اعتبارسنجي و کنترل دسترسي استفاده کند، اما اين که چه فرآيند و رويه امن و قابل اطميناني را انتخاب کند، اهميت بيشتري دارد. از آنجايي که اطلاعات بيومتريک هميشه همراه فرد است ، از روش هاي ديگر احراز هويت که ممکن است فراموش شده ، دزديده شده و يا از دست برود، کارآمدتر است . يکي از قديميترين و رايج ترين مشخصه ها، جهت کنترل دسترسي و احراز هويت ، اثرانگشت ميباشد. از اثر انگشت در کاربردهاي مختلف براي احراز هويت و کنترل دسترسي استفاده شده است ، ولي در رايانش ابري تا کنون کار زيادي در اين زمينه نشده است . در اين پژوهش يک روش براي احراز هويت ايمن در رايانش ابري ارائه شده است . براي تطبيق و استخراج اثر انگشت از نقاط مينوشيا به همراه ويژگيهاي محلي و سراسري و نقاط برآمدگي استفاده شده است . تمام داده ها در آزمايشگاه FVC onGoing توليد شده است و نتايج نشان ميدهد که سرعت ، دقت و امنيت بالاتري نسبت به رمزنگاري مبتني بر ويژگي دارد.
واژه هاي کليدي: بيومتريک ، مينوشيا، کنترل دسترسي، رمزنگاري مبتني بر ويژگي، رايانش ابري
١-مقدمه
يکي از رايج ترين راه هاي حفظ امنيت اطلاعات در دنياي مجازي و سرويس هاي الکترونيکي، استفاده از رمزهاي عبور است . رمزنگاري براي کنترل دسترسي باعث اين ميشود که فقط کاربراني که کليد رمزگشايي را دارند بتوانند به داده ها دسترسي پيدا کنند. بسياري از کاربران و سازمان ها امروزه از رمزنگاري براي حفظ محرمانگي داده هاي خود استفاده ميکنند.
در جامعه امروز تشخيص هويت به صورت خودکار نقش مهمي را بازي مي کند. بيومتريک که به شناسايي يک فرد بر اساس ويژگيهاي فيزيولوژيکي و يا رفتاري ميپردازد، نسبت به روش هاي سنتي تعيين هويت مانند رمز عبور، بسيار قابل اعتمادتر مي باشد.
امروزه روش هاي متفاوتي براي تشخيص ١ و تصديق ٢ هويت اشخاص وجود دارد که قديميترين و در عين حال
پرکاربردترين و عمليترين آنها روش شناسايي اشخاص بر
اساس اثر انگشت ميباشد. که به دليل يکتايي، عدم تغيير در طول عمر و پردازش کم هزينه و سريع ، در حدود يک قرن است که توجه دانشمندان و نيروهاي امنيتي را به خود جلب کرده است . بيومتريک هاي مبتني بر دست نه فقط به دليل عملکرد ممتازشان که الزام برنامه هاي با امنيت بالا هستند بيشترين تصديق براي احراز هويت هاي شخصي بودند. شناسايي با اثر انگشت يکي از روش هاي بيومتريک شناسايي افراد است و نسبت به ويژگيهاي ديگر تحت تاثير حوادث فيزيکي و يا حالات روحي شخص تغيير نميکند. در روش هاي سنتي جهت تعيين هويت افراد از اطلاعاتي که فرد در اختيار داشت مانند رمز عبور و يا شماره شناسايي استفاده ميشد. اما با وجود اهميت بسيار رمز عبور هنوز هم بسياري از کاربران از رمز عبورهايي مانند مجموعه اعداد يک تا ٩، نام و نام خانوادگي، نام مکان هاي مهم ، تاريخ تولد، شماره تلفن همراه ، کدملي و بسياري از اعداد و عبارات استفاده ميکنند. در صورتيکه اين نوع رمزهاي عبور
براحتي قابل حدس زدن است و افراد خرابکار با استفاده از روش هاي نرم افزاري خيلي راحت ميتوانند اين رمزها را کشف کنند. يک چالش بزرگ براي امنيت و حفظ حريم خصوصي است . اطلاعات بيومتريک نميتواند لغو شود، پس براي داده - هايي که داراي اهميت بالايي هستند، بيومتريک يک راه امن در نظر گرفته است . آناليز آسيب پذيريهاي مربوط به بيومتريک را شکست دروني و حملات دروني از سوي دشمنان ، ميدانند.
علاوه بر اين ، يک چالش جديد از حريم خصوصي و امنيت سرور از راه دور مطرح ميشود، يک کاربر قبل از احراز هويت به ديگران اعتماد ندارد. بنابراين الگو و حفاظت از حريم خصوصي، چالش کليدي براي هر سيستم بيومتريک مستقر بر روي شبکه باز هستند که بايد به درستي به آن ها پرداخت . هنگامي که اطلاعات حساس باشند، حفظ نيازمندي هاي امنيتي اطلاعات ، به يک چالش اساسي تبديل ميشود. کنترل دسترسي به عنوان يک راه حل امنيتي سنتي و البته مهم و اساسي، بنا به دلايلي همچون دور زدن مکانيزم هاي کنترل دسترسي و عدم اعتماد به اعمال کننده ي خط مشيهاي کنترل دسترسي، به تنهايي ضمانتي براي حفظ نيازمنديهاي امنيتي اطلاعات نيست .
مهاجمان و بدخواهان نيز در هر سناريويي ميتوانند به عنوان تهديداتي مهم ، امنيت اطلاعات را با چالش روبرو کنند. بنابراين نياز است تا با استفاده از مکانيزم هايي همچون رمزنگاري به مقابله با اين چالش ها پرداخت .
سوالاتي که براي کنترل دسترسي در رايانش ابري مطرح ميشود: آيا رمزنگاري اثر انگشت مي تواند به افزايش ضريب حفظ حريم خصوصي کاربر در رايانش ابري کمک کند؟ آيا رمزنگاري اثر انگشت ميتواند امنيت احراز هويت را افزايش دهد؟
براي پاسخ به اين سوالات فرضيه هايي که بيان مي شود به شرح زير است : با رمزنگاري اثر انگشت مي توان کنترل ايمني دسترسي در رايانش ابري را با سرعت و دقت بالاتري نسبت به رمزنگاري هاي مبتني بر ويژگي داشت . رمزنگاري اثر انگشت قابليت اطمينان بالاتري براي کنترل دسترسي ايجاد مي کند.
امروزه ، سيستم هاي توزيع شده باز، به سرعت در حال توسعه هستند. اين سرويس ها عبارتند از محاسبات گريد و رايانش ابري. اين سيستم ها مانند سازمان هاي مجازي با دامنه - هاي مستقل مختلف هستند. رابطه بين کاربران و منابع پويا است و بيشتر ad-hoc(موقت ) در ابر و سيستم هاي درون ابر است . در اين سيستم ها، کاربران و ارائه دهندگان منابع در حوزه امنيتي يکسان نيستند. شاخص اصلي آن هويت کاربر است و اجازه ميدهد تا کاربران از سيستم و منابع آن استفاده کنند.
اين روش تعيين هويت براساس کنترل دسترسي (IBAC١)
ناميده ميشود. با اين حال ، با رشد شبکه ها و تعداد کاربران ،IBAC براي مبناي دفاع از چنين رشد زيادي ضعيف عمل کرده است . مفاهيم پيشرفته در کنترل دسترسي شامل مالک .گروه .عمومي، معرفي شده است . که IBAC نشان داد که براي سيستم هاي توزيع شده مشکل ساز است . مديريت دسترسي به سيستم ومنابع ، سخت و آسيب پذير در مقابل خطا شده است . يک روش جديد شناخته شده به عنوان کنترل دسترسي مبتني بر نقش (RBAC) معرفي شده است [١]. کنترل دسترسي مبتني بر نقش ، دسترسي کاربر به سيستم را بر اساس نقش کاري آن تعيين ميکند. نقش با حداقل مجوز و يا ويژگي - هاي لازم براي انجام کار تعريف ميشود و سپس اين مجوزها ميتواند کم و يا اضافه شود. با اين حال ، مشکلات RBAC
زماني آشکار شد که در سراسر دامنه هاي اجرايي گسترش يافت .
و نشان داد که براي رسيدن به توافق سطح دسترسي در ارتباط با نقش دشوار است . بر اين اساس ، کنترل دسترسي مبتني برسياست که به عنوان کنترل دسترسي مبتني بر ويژگي
ABAC شناخته شده ، به وجود آمد[٢و٣]. در ABAC دسترسي بر روي ويژگي واگذار شده که ميتواند اثبات شود، مانند تاريخ تولد يا شماره ملي .
در اين مقاله ابتدا يک تاريخچه از کارهاي انجام شده گفته شده است و سپس در بخش ٣ در مورد روش تحقيق و بخش
٤و٥ بحث و نتيجه گيري از کار انجام شده ارائه شده است .
٢-تاريخچه
٢-١-رمزگذاري مبتني بر ويژگي
مفهوم ABE براي اولين بار توسط [٤] Sahai و Waters ، به عنوان يک روش جديد براي رمزگذاري مبتني بر هويت فازي معرفي شد. کاربر تنها در صورتي که کليد رمزگشايي کاربر با متن رمز منطبق باشد، قادر به رمزگشايي است . در يک سيستم رمزنگاري مبتني بر ويژگي کليدهاي کاربران و متن هاي رمز شده با مجموعه اي از ويژگيهاي توصيفي برچسب گذاري شده - اند. در اين سيستم يک کليد خاص ميتواند يک متن رمز شده - ي خاص را باز کند، اگر و تنها اگر بين ويژگيهاي متن رمز نشده و کليد کاربر مطابقت وجود داشته باشد. در کنترل
دسترسي مبتني بر ويژگي، تصميم گيري کنترل دسترسي بر اساس ويژگيهاي گرفته شده درخواست کننده ، سرويس ها، منابع و محيط آن است . کنترل دسترسي مبتني بر ويژگي گسترش يافته ي کنترل دسترسي مبتني بر نقش است ، با
مشخصات زير:
- مجوز اختيارات ويژگي
- تمرکز زدايي از ويژگيها
- تداخل ويژگيها
کنترل دسترسي مبتني بر ويژگي از چهار نهاد زير تشکيل
شده است :
درخواست کننده (Req1): درخواست را به ابر ميفرستد و اقدام به فراخواني سرويس ها ميکند.
سرويس (Serv2): نرم افزار و سخت افزار با شبکه مبتني بر واسط و عمليات از پيش تعريف شده است .
منابع (Res3): براي يک يا چند عمل سرويس هاي ابر، با يک مجموعه خاص از حالت داده ها در سندXML است ..
محيط (Env4): حاوي اطلاعاتي است که امکان دارد، در گرفتن تصميم دسترسي مفيد باشد، مانند تاريخ و زمان .
هر يک داراي ويژگيهاي تعريف هويت و خصوصيات نهاد مربوطه است . ويژگيهاي هويت در[٥] به شرح زير تعريف
ميشود:
Attr(Req) = {ReqAttri |i∈ [1, I ]}
Attr(Serv) {ServAttr |j ∈ [1, J ]}
j
Attr(Res) {ResAttr k |k∈ [1,K]}
Attr(Env) {EnvAttrl|l ∈ [1, L]}
که در آن I،J ،K و L اعداد صحيح هستند و نشان دهنده حداکثر تعداد ويژگي براي هر يک از موجوديت ها است .
٢-٢-درخت دسترسي
براي تعريف کنترل دسترسي در سيستم هاي رمزنگاري مبتني بر ويژگي، از يک درخت کنترل دسترسي استفاده مي -
شود. درخت دسترسي Ƭ به صورت زير تعريف ميشود:
تعريف : فرض کنيد Ƭ يک درخت باشد که يک ساختار دسترسي را نمايش ميدهد. هر گره غير برگ از اين درخت يک گيت آستانه اي است . اين گره با بچه هايش و يک مقدار Kx
توصيف ميشود. اگرnumx تعداد بچه هاي گره x بوده و Kx
مقدار آستانه اي اين گره باشد آنگاه Kx≥numx≥٠. واضح است که اگر١=Kx آنگاه گيت آستانه اي يک OR است و وقتي =Kx
numx باشد گيت آستانه اي يک AND خواهد بود. همچنين هر گره x که برگ اين درخت است ، با يک ويژگي توصيف ميشود و مقدار آستانه اي آن ١=Kx ميباشد. در اين صورت به درخت Ƭ
يک درخت دسترسي ميگوييم . صدق کردن در درخت
دسترسي نيز به صورت زير تعريف ميشود:
فرض کنيد Ƭ يک درخت دسترسي با ريشه ي r باشد.
زيردرختي از اين درخت با گره ريشه ي x با Ƭx نمايش داده ميشود. در واقع Ƭ با Ƭr يکي است . عبارت ١=(Υ)Ƭ x يعني مجموعه ويژگيهاي Υ در درخت Ƭx صدق ميکنند.(Υ)Ƭx به صورت بازگشتي محاسبه ميشود. يعني اگر x يک گره غير برگ باشد، ابتدا مقدار (Υ)Ƭx' را براي هر فرزند 'x از گره x
حساب ميشود. (Υ)Ƭx برابر ١ است اگر و تنها اگر حداقل kx
فرزند مقدار ١ برگردانند. اگر x يک گره برگ باشد، آنگاه x
(Ƭ)Υ مقدار ١ برميگرداند اگر و تنها اگرatt)x( Υ.
درطرح [٦] با استفاده از رمزنگاري مبتني بر ويژگي روشي براي اعمال کنترل دسترسي توسط سرويس دهنده غير قابل اعتماد ارائه داده است . که در اين روش قابليت پويايي در تغيير کنترل دسترسي در کنار راهبري خط مشيهاي دسترسي ديده شده است . به اين معني است که مالک داده ضمن امکان تغيير در خط مشيهاي دسترسي ميتواند حق اعطا و ابطال را نيز به کاربران بدهد. نتايج مقايسه و تحليل نشان ميدهد اين روش براي تعيين حقوق دسترسي کاربران انعطاف پذيري بيشتري داشته و امکان اعطاي حقوق مختلف دسترسي به مجموعه اي از کاربران در اين روش ساده تر است . همچنين اين روش محافظ حريم خصوصي کاربران است و سرويس دهنده غير قابل اعتماد از الگوي دسترسي کاربران مطلع نميشود.
هدف [٧]، کمک به صاحب داده براي دستيابي به کنترل دسترسي ريزدانه و انعطاف پذير در برون سپاري داده ها در ابر
است . همچنين براي جلوگيري از يادگيري محتواي داده ها و اطلاعات کاربر توسط ارائه دهنده ابر است ، و صاحب داده مجوز تعريف دسترسي کاربران به فايل داده ها را خواهد داشت .
در[٨]، يک راه براي پياده سازي مقياس پذير و سيستم کنترل دسترسي ريز دانه بر اساس رمزنگاري مبتني بر ويژگي بيان کرده اند. براي کنترل دسترسي ايمن در رايانش ابري، از توطئه به اشتراکگذاري کليد در ميان کاربران جلوگيري کرده اند. که با توجه به آزمايشات انجام شده اين طرح کارآمد و عملي و بدون محدوديت است .
٢-٣-رمزنگاري مبتني بر ويژگي با سياست کليد
رمز گذاري کليد عمومي ابتدايي براي ارتباطات يک به چند است [٩]. در KP-ABE1، داده ها همراه با ويژگي که هر يک از آنها يک جزء کليد عمومي هستند، تعريف شده است .
رمزگذار، مجموعه اي از ويژگيهاي مرتبط با پيام را، با تطابق اجزاي کليد عمومي رمزنگاري ميکند. در اين سيستم کليد هر کاربر وابسته به يک ساختار درخت دسترسي است که در آن برگ ها همان ويژگيها هستند. يک کاربر ميتواند متني را رمزگشايي کند اگر ويژگيهاي مربوط به متن رمز شده در درخت دسترسي موجود در کليدش صدق کند. طرح -KP
ABE از چهار الگوريتم تشکيل شده است :
راه اندازي .در اين الگوريتم پارامتري را به عنوان ورودي ميگيريم ، که اين پارامتر امنيتي k نام دارد. و يک مجموعه ويژگيU داريم {N,...,1,2}=U با درجه ي N. يک گروه G1 دو خطي، سفارش اوليه P با تعريف مولد g، يک نگاشت دوخطي
G٢ G١ e: G١ است که خواص دوخطي، محاسبات و عدم انحطاط را دارد. يک سيستم کليد عمومي PK و کليد اصلي
MK را در بر ميگيرد، که به شرح زير است :
PK=(Y,T1,T2,…,TN) (1)
MK=(y,t1,t2,…,tN) (2)
که در آن T G1و ZP ti و براي ويژگي i، ١ و
Y G2 يکي ديگر از اجزاي کليد عمومي است . که ,Ti=gti
. Y=e(g,g)y,y
در حالي که PK به طور عمومي در سيستم شناخته شده ، کليد مخفي MK فقط در اختيار صاحب داده است .
1 Key Policy Attribute-Based Encryption
رمزگذاري. اين الگوريتم يک پيام M،کليد عمومي PK و
مجموعه اي از ويژگي I را به عنوان ورودي ميگيرد. خروجي
متن رمز E با فرمت زير است :
E=(I, ,{Ei} i ) (3)
Ê=MYs , Ei=Tsi (4)
و S به طور تصادفي از Zp انتخاب ميشود.
ايجاد کليد. ورودي اين الگوريتم يک درخت دسترسيT، کليد اصلي MK و کليد عمومي PK است .خروجي کليد مخفي
کاربر SK است ، که به شرح زير است :
اول آن را با چند جمله اي تصادفي (Pi)x، براي هر گره i
از T از روش بالا به پايين با شروع از گره ريشه r تعريف مي - کند. براي هر گره غير ريشه j،(idx)j()Pparent)j( =(٠)Pj که در آن (parent)j نشان دهنده والدين j و (idx)j شاخص منحصر به فرد داده شده توسط والدين j است .براي هر گره ريشه
y،r=(٠)Pr آنگاه خروجي ski{i L: SK}SK= ،که در آن L
نشان دهنده مجموعه اي از ويژگي متصل به گره برگ از T
و ti.(٠)SKi=gpi است .
رمز گشايي .اين الگوريتم ورودي متن رمز E در مجموعه ويژگي I، کليد مخفي کاربر SK براي درخت دسترسي T و کليد عموميPK است . اولين محاسبات s(٠) e)g,g(p =e)E,sk(
i i i
براي گره برگ است .
سپس نتايج جفت شدن به صورت پايين به بالا با استفاده از چندجمله اي درون ياب است .در نهايت ، چند فاکتور ناپيدا بازيابي مي شود.
Ys=e(g,g)ys (5)
خروجي پيام M اگر و تنها اگر I اجراي T باشد.
٢-٤-رمزنگاري مبتني بر ويژگي با سياست متن رمز شده
در شماي CP-ABE٢، کليد خصوصي کاربر با تعداد دلخواهي از ويژگيهاي توصيفي مرتبط است . از طرف ديگر وقتي کاربري يک متن را رمزنگاري ميکند، يک ساختار دسترسي از روي ويژگيها براي آن مشخص ميکند. رمزگشا فقط وقتي ميتواند يک متن رمز شده را باز کند که ويژگيهاي او در درخت دسترسي متن رمز شده صدق کند. در واقع شماي رمز با سياست متن رمز شده کاملا شبيه شماي رمز با
سياست کليد است با اين تفاوت که در آن درخت دسترسي در متن رمز شده و ويژگيها در کليد هر کاربر قرار دارد. يک شماي رمزنگاري مبتني بر ويژگي با سياست متن رمز شده شامل چهار الگوريتم اصلي زير است .
راه اندازي. اين الگوريتم به عنوان ورودي پارامتر امنيتي دريافت مي کند. در خروجي پارامترهاي عمومي PK و کليد اصلي MK را توليد ميکند. الگوريتم setup يک گروه دو سويه
G0 از مرتبه ي اول ρ با مولد g توليد ميکند و دو عدد تصادفي
α,β Zp را انتخاب ميکند. سپس کليد عمومي و کليد اصلي به صورت زير محاسبه ميشوند.
PK = (G0,g,h = gβ,f = g1.β, e(g,g)α) (6)
MK = (β.gα) (7)
رمزگذاري(PK,M,Ƭ). الگوريتم رمزنگاري به عنوان ورودي پارامتر عمومي PK، يک پيغام M، و يک درخت دسترسي Ƭ دريافت ميکند. الگوريتم رمزنگاري پيغام را دريافت و رمز ميکند و پيغام رمز شده ،CT، را به عنوان خروجي برميگرداند. اين پيغام رمز شده را فقط کاربراني که صاحب مجموعه ي ويژگيهايي هستند که در درخت دسترسي
Ƭ صدق ميکند ميتوانند رمزگشايي کنند. الگوريتم رمز ابتدا يک چندجمله اي qx يا هر نود x در درخت دسترسي Ƭ انتخاب ميکند. اين چند جمله ايها از ريشه ي درخت به سمت پايين انتخاب ميشوند. براي هر نود x از درخت درجه ي dx
چندجمله اي qx يکي کمتر از مقدار آستانه اي kx آن نود است ، يعني ١ – kx =dx .
با شروع از نود ريشه R الگوريتم يک عدد تصادفي s Zq
را انتخاب کرده و s = (٠)qx قرار ميدهد. سپس بقيه ي dR
نقطه ي چندجمله اي qR را به صورت تصادفي انتخاب ميکند تا اين چندجمله اي به طور کامل تعريف شود. براي هر نود x
(qparent)x = (0)qx قرار ميدهد و باز بقيه ي
غير ريشه ((index)x)
dx نقطه به صورت تصادفي انتخاب ميشود.
حال اگر Y مجموعه ي نودهاي برگ در درخت Ƭ باشد.
متن رمز شده به صورت زير محاسبه ميشود.
توليد کليد(MK,S). الگوريتم توليد کليد در ورودي کليد اصلي و يک مجموعه از ويژگيها را دريافت ميکند. اين الگوريتم يک کليد خصوصي،SK، برميگرداند. الگوريتم توليد کليد ابتدا يک عدد تصادفي r Z را انتخاب و سپس براي هر
p
j عدد تصادفي rj Zp را انتخاب ميکند. سپس الگوريتم
کليد خصوصي را به صورت زير محاسبه ميکند.
SK=(D=g(α+r).β, j S : Dj = gr.H(j)rj,D'j =grj). (9)
رمزگشايي(PK,CT,SK). الگوريتم رمزگشايي در ورودي کليد عمومي PK، يک متن رمز شده CT، که حاوي يک درخت دسترسي Ƭ نيز هست ، و يک کليد خصوصي SK، براي مجموعه ي S از ويژگيها را دريافت ميکند. اگر مجموعه ي S
از ويژگيها در ساختار درخت دسترسي Ƭ صدق کند، الگوريتم پيغام رمز شده CT را رمزگشايي کرده و پيغام اصلي M را برميگرداند.
