مقاله روش اﻣﻨﯿﺖ دادهی ﮐﺎرا ﺑﺮای دادهﻫﺎی ﮐﻨﺘﺮﻟﯽ در ﺳﯿﺴﺘﻢ ذﺧﯿﺮهﺳﺎزی اﺑﺮ ، ﺑﺎ اﺳﺘﻔﺎده از ﺗﮑﻨﯿﮏﻫﺎی ﭘﻨﻬﺎنﻧﮕﺎری

بخشی از مقاله

چکیده:

الگوی رایانش ابری کاربران را قادر می سازد به دادههای برون سپاری شده در سرور ابر بدون هیچ گونه مدیریت سخت افزاری یا نرم افزاری دسترسی پیدا کنند. برای بهرهوری کارا از دادههای حساس در CSP، صاحب دادهها آنها را قبل از برون سپاری به سرور ابر رمزگزاری میکند. برای حفاظت از دادههای ابر، حریم خصوصی دادهها یک مساله چالش برانگیز است. جهت حل این مساله، ما یک رهیافت امنیت داده کارا با استفاده از تکنیکهای پنهان نگاری ارائه دادهایم. لذا، روش پیشنهادی نه تنها دادههای حساس را رمزگزاری میکند، بلکه با استفاده از توابع درهم ترکیبی بخش غیرقابل اعتماد برای دسترسی به دادهها را نیز پیدا میکند. ما روش پیشنهادی را از نظر سربارهای منبع ذخیره سازی، ارتباطی و محاسباتی تحلیل نمودهایم. نتایج نشان میدهند که روش امنیت پیشنهادی از سیستمهای امنیتی موجود بسیار بهتر عمل میکند.

واژگان کلیدی: تابع درهم، ذخیرهسازی داده، کنترل داده، تایید اعتبار، رمزگزاری، حریم خصوصی داده.

. 1 مقدمه

در رایانش ابری، دادهها در مراکز داده مقیاس پذیر و البته بسیار دور ذخیره میشوند که منابع محاسباتی ممکن است به صورت پویا به اشتراک گذاشته شوند تا صرفه جویی اقتصادی عمدهای از نظر مقیاس دستیابی شود. ظرفیت ذخیرهسازی باید جهت مدیریت کارا و دستیابی به بیشترین مزایای ابر با منابع محاسباتی هم مقیاس شود. آرمبروست و همکاران [8] ابر را به عنوان یک سخت افزار و نرم افزار مرکز داده تعریف کردهاند که سرویسهای به صورتِ برحسب تقاضا برای دسترسی به یک استخر از منابع محاسباتی مصرف شدنی ارائه میدهد. مزایای آن به عبارت زیر هستند: - 1 - پرداخت برحسب استفاده، - 2 - ظرفیت ارتجاعی، - 3 - رابط خود-سرویس و - 4 - منابعی که مجازی سازی شدهاند. برای سازمانهای داخل در رایانش ابری، مدیریت ذخیرهسازی به شدت حائز اهمیت است. جهت پرهیز از اتلاف داده، سیستم ابر باید حفاظت از داده و قابلیت ارتجاعی را فراهم سازد. اگر اتلاف رخ دهد، محیط باید قادر به بازیابی سریع دادهها جهت امکان مجدد دسترسی به ابر باشد.

مدیریت ذخیرهسازی و حفاظت از اطلاعات در محیط ابر به ارائه یک رهیافت با حجم کاری بهینه شده کمک کند. بسته به نوع ابر استفاده شده، مسئولیتهای سرویس دهنده ابر ممکن است شامل ارائه زیرساخت، امنیت فیزیکی، سیستم عامل و امنیت شبکه باشد. اشتراک منابع ابر نظیر ارائه زیرساخت، سیستم عامل، برنامه کاربردی و امنیت شبکه بسته به مدل توسعه ابر توسط سرویس دهنده کنترل می شود. از طرف دیگر، پردازش فعالانه ی دادههای ابر بسته به مدل سرویس استفاده شده در برنامه کاربران توسط آنها - کاربر - کنترل می شود. یک سازمان اطلاعات را براساس حساسیت به اتلاف و افشاء دسته بندی میکند. دسته بندی سطح حساسیت اطلاعات توسط مالک دادهها براساس کنترل امنیت توسط مالک داده تعریف می شود. مولفههای عملکردی معماری امنیتی رایانش ابری در شکل 1 نشان داده شدهاند، که براساس سه مدل سرویس رایانش ابری؛ یعنی زیرساخت به عنوان سرویس، پلتفرم به عنوان سرویس، و نرم افزار به عنوان سرویس هستند. آن شامل کاربران مجاز، فراهم کننده داده، نقطه دسترسی - CAP - ، نقطه دسترسی امنیتی - SAP - ، نقطه دسترسی برنامه - AAP - ، و سرورهای برنامه کاربردی است.

در مدل نرم افزار به عنوان سرویس، نرم افزار توسط سرورهای کاربردی مختلف با انواع یکسان یا متفاوت ارائه می شوند. مشخصههای اصلی مدل رایانش ابری فراهم کننده داده و کاربران ابر هستند که مستقیما به سرورها دسترسی ندارند. برای دسترسی به سرویسهای مختلف ابر براساس درخواست کاربر و پارامترهای پردازشی دیگر، سرویس نقطه دسترسی برنامه درخواست سرویس را در بین سرورهای برنامه توزیع میکند. کاربران میتوانند برحسب تقاضا به کمک نقطه دسترسی ارتباطی به سرویسهای ابر دسترسی پیدا کنند.سرور SAP سرویس امنیت سمت کلاینت را قبل از دسترسی به منابع ابر فراهم میکند. وقتی کاربر احراز هویت شد، SAP بررسی میکند که آیا درخواستهای کاربر مجوز دسترسی به منابع ابر را دارند یا خیر. بعد از احراز هویت، اعمال سرویس امنیتی نهایی توسط سرور SAP ارائه می شود. وقتی یک کاربر برخی سرویسهای برنامه کاربردی را با CAP از ابر درخواست میکند،

این درخواست ابتدا به سرور SAP می رسد. سرور آن را به سرور نقطه سیاست گذاری - PDP - میدهد که تصمیمات احراز هویت و اعتبارسنجی گرفته شود. اگر هردو تایید شد، درخواست کاربر به سرور برنامه کاربردی مناسب داده میشود، که به آن رسیدگی شده و پاسخ به کاربر داده می شود. بعد همه فعالیتهای امنیتی گفته شده، سپس سرورSAP آن را به سرورPDP میدهد،که پاسخ را مجددا از سرورSAP دریافت میکند، و نهایتا دسترسی به سرور برنامه برای سرویس مورد نظر فورا و به صورت شفاف فراهم می شود.[11][2] بنابراین،کاربراز هیچ کدام از این اعمال آگاه نیست، مگر اینکه اعمال غیرمجازی انجام شود. ادامه مقاله به این صورت سازماندهی شده است. در بخش 2 و 3، کارهای مربوطه و پیشینه برای سیستم امنیتی پیشنهادی ارائه می شود. الگوریتمهای امنیتی پیشنهادی و تحلیل کارایی به ترتیب در بخشهای 4 و 5 شرح داده شده است. نهایتا بخش 6 به نتیجه گیری تخصیص یافته است.

.2 کارهای مربوطه

برای تضمین یکپارچگی یک فایل که شامل مجموعه متناهی از بلاکهای داده در سرور ابر است راهکارهای متعددی توسط کوین وانگ و همکاران ارائه شده است.[3] اولین وقویترین راه کار برای تضمین یکپارچگی دادهها آن است که مالک داده MAC ها را با یک مجموعه از کلیدهای امنیتی قبل از برون سپاری دادهها به سرور پیش محاسبه میکند. در طول فرایند حسابرسی، به ازای هر بار مالک دادهها کلید مخفی را به سرور ابر ارائه میدهد و برای تاییدیه یک MAC جدید را درخواست میکند. در این روش تعدادی از تاییدیهها محدود به تعداد کلیدهای مخفی است. وقتی تاریخ کلیدها انقضا شد، مالک دادهها باید کل فایل را جهت محاسبه MACهای جدید برای بلاکهای باقیمانده، از سرور ابر بازیابی کنند. این روش سربار ارتباطی بسیار زیادی برای اعتبارسنجی کل فایل دارد، که برروی کارایی سیستم نیز تاثیر خواهد گذاشت. راهکار دیگر برای غلبه بر مشکلات روش قبلی، تولید امضاهایی برای هر بلاک است به طوری که قابلیت حسابرسی عمومی بدست آید. این راهکار میتواند تضمین احتمالی صحت دادهها و قابلیت حسابرسیی عمومی را فراهم سازد، که مجددا موجب سربار ارتباطی بزرگ شده و برروی کارایی سیستم تاثیر میگذارد. راهکارهای بالا تنها از دادههای ایستا پشتیبانی میکنند و هیچ کدام از آنها راهکار خوبی برای دادههای پویایی که بروزرسانی میشوند، نمیباشند.

کوین، وانگ و همکاران [4] یک راهکار موثر برای پشتیبانی از قابلیت حسابرسی عمومی بدون بازیابی بلاکهای داده از سرور ارائه دادهاند. طراحی عملیاتهای داده پویا یک وظیفه چالش برانگیز در سیستم ذخیرهسازی ابر محسوب می شود. آنها یک اعتبارسنجِ امضای RSAبرای بررسی اعتبارِ با پشتیبانی از دادههای پویا ارائه دادهاند. برای پشتیبانی از مدیریت کارا جهت وظایف حسابرسی چندگانه، آنها تکنیک امضای تجمیع دوخطی را توسعه داده و سپس یک حسابرس بخش ثالث جهت انجام چند وظیفه حسابرسی به طور همزمان معرفی نمودهاند. در الگوریتم اشتراک منبع اخیر در سیستمهای توزیعی نظیر رایانش ابری، چالش برانگیزترین وظیفه در سیستم اشتراک داده تعریف سیاستهای دسترسی و بروزرسانی دادههای پویا است. در [5] جان بومهار راه کار مبتنی بر پنهان نگاری را برای اشتراک دادهها با استفاده از رمزگزاری مبتنی بر ویژگی با سیاست متن سایفر - CP-ABF - جهت بهبود امنیت دادهها ارائه دادهاند. در این روش مالکین داده سیاستهای دسترسی برروی دادهها را تعریف میکنند. مشکل اصلی این روش کاربران غیرمجازی هستند که میتوانند جهت بازگشایی دادههای رمزشده به کلید دسترسی پیدا کنند.

در رایانش ابری، هم برنامههای کاربردی و هم دادهها توسط مالک داده و سرویس دهنده ابر کنترل می شوند. جهت دسترسی به دادهها و برنامههای کاربردی به صورت یک سرویس ابر امن تر، یک مدل امنیت داده توسط mohamad E.M در [6] ارائه شده است. در این مدل امنیتی، یک درگاه پیش فرض به عنوان پلتفرم جهت امن کردن دادهها در برنامههای ابر عمومی ارائه شده است. درگاه پیش فرض تنها دادههای حساس را با استفاده از الگوریتم رمزگزاری قبل از ارسال آنها به سرور ابر، رمز میکند. در این روش دادهها تنها توسط کاربران مجاز امکان پذیر است، اما سرویس دهنده میتواند به کاربران غیرمجاز دسترسی دهد و در نتیجه از مالک دادهها سرقت شود. بنابراین، این روش امنیت را کاهش داده است، چرا که مدیریت کلید مناسبی در سیستم پیاده سازی نشده است. جهت افزایش درجه اتصال پذیری از مدل رایانش ابری، و در عین حال دسترسی و بروزرسانی دادهها از مرکز داده، دوبی و همکاران [7] سیستمی را با استفاده از الگوریتمهای RSA و MD5 جهت پرهیز از دسترسی کاربران غیرمجاز به دادههای ابر ارائه دادهاند. مشکل اصلی این روش آن است که سرویس دهنده نیز کنترل یکسانی برروی دادهها دارد - دقیقا بهاندازه مالک داده ها - و سطح بارگزاری محاسباتی برای سرویس دهنده متناسب با درجه اتصال پذیری است، به طوری که کارایی سیستم ممکن است کاهش یابد.