کنترل دسترسی مبتنی بر ویژگی چند مستاجر (مقاله ترجمه شده)

چکیده

رایانش ابری، به عنوان موج جدیدی از فناوری های ICT (فناوری اطلاعات و ارتباطات) بوده، که رویکرد مشترکی را در ارتباط با تامین شرایط محاسبات درخواستی، ذخیره سازی، و منابع شبکه معرفی کرده، که معمولا تحت عنوان خدمات زیرساختی نامیده می شوند. اکثر خدمات ابری تجاری قابل دسترس کنونی، ایجاد و سازماندهی شده تا به بازتاب روابط بین ارائه دهنده خدمات و مشتریان، توسط مدل اطمینان و امنیت ساده،بپردازد.مدل های طراحی شده جدید،باید به ارائه بستر خدمات ابری ناهمگن از طرف چند ارائه کننده خدمات، به مشتریان سازمانی پرداخته که نماینده گروه های کاربری چندگانه هستند.این مدل ها باید توسط عملکرد خدمات امنیتی پایدار، در بستر ابری ارائه دهند گان خدمات چندگانه در محیط مجازی اجرا گردند. این مدل ها باید به ادغام مکانیسم کنترل دسترسی پیچیده و رابطه اعتماد در میان فعالان خدمات ابری بپردازند. . در این مقاله، به تحلیل مجموعه ای از رویدادهای ارائه خدمات ابری پرداخته، و به ارائه مدل کنترل دسترسی، برای خدمات ابری چند مستاجری، با استفاده از مدل کنترل دسترسی ویژگی- محورمی‌پردازیم. همچنین این مدل را در حوزه سناریوهای بین ابری، توسط رویکرد تبادل نشانه ها، تعمیم می دهیم. به منظور تسهیل ارزیابی و پیاده سازی روش ویژگی-محور مدل پیشنهادی، مکانیسم کارآمدی را در این شیوه برای تبدیل عبارات منطقی پیچیده، به یک نمودار تصمیم گیری فشرده، بکار می گیریم. نمونه اولیه مورد نظر ما،برای سیستم کنترل دسترسی ویژگی-محور چند مستاجری در مورد خدمات بین ابری، ایجاد،و آزمایش شده و در پروژه جیسرز  ادغام شد. ارزیابی ها نشان می دهد که روش ما دارای عملکرد مناسبی از نظر تعداد منابع ابری و تعداد مشتریان (کلاینت ها) است.

مقدمه

رایانش ابری، مشخصا به منظور بهبود مقیاس پذیری، قابلیت دسترسی، انعطاف پذیری و امنیت مدیران IT  در بسیاری از حوزه های کاربردی مورد استفاده قرار می گیرد. این فرایند، دارای مزیت های فناوری زیادی از جمله مجازی سازی، معماری سرویس گرا، و محاسبات کاربردپذیر بوده، که این امکان را برای مشتریان و ارائه دهندگان خدمات به منظور کاهش هزینه ها در زمینه بکارگیری و عملیات سیستم، ایجاد می کند. بسیاری از مطالعات و اسناد معتبر مرتبط با بکارگیری رایانش ابری، طراحی، توسعه، عملیات و مدیریت، در ادغام با فناوری های بالا مطرح شده اند (دیلون و همکاران، 2010؛ فاستر و همکاران، 2008؛ فاکس و همکاران، 2009؛ هوگان و همکاران، 2011؛ هافر و کاراگیانیس،2011؛ مل و گرانس، 2011). رایانش ابری در چنین رویکردی، این امکان را برای کاربران داده ایجاد می کند تا بر روی زیرساخت های ابری مجازی مشترک، به ذخیره سازی اطلاعات پرداخته، که در تاسیسات ارائه دهنده خدمات، بر حسب تقاضا، در دسترس افراد قرار می گیرد. ارائه دهندگان خدمات ابری،سیستم شان را بر مبنای طرح های چندمستاجری ایجاد می کنند (چانگ و همکاران، 2006؛ گارسیا- اسپین و همکاران، 2012؛ ژو و همکاران، 2007؛ مل و گرانس، 2011)  . بنابراین در زمینه امنیت و همچنین کنترل دسترسی، مدیران خدمات ابری باید از الگوهای چندمستاجری در این طرح، آگاهی داشته باشند.

در مدیریت منابع ابری، منابع در محیط ابری به صورت مجازی بوده و در حوضچه منابع مشترک مدیریت شوند (چانگ و همکاران، 2006؛ گارسیا- اسپین و همکاران، 2012؛ قیجسن و همکاران، 2013؛ هوگان و همکاران، 2011؛ مل و گرانس، 2011).  این منابع، بسته به چرخه عمرش، می تواند توسط یک یا چندین نهاد در الگوی چندمستاجری، مدیریت شود:

• در مرحله ابتدایی، منابع توسط ارائه دهندگان، به عنوان صاحبان مدیریتی و اقتصادی منابع موجود، مدیریت می-شود.

• زمانیکه یک مستاجر (منتفع)، در مجموعه ای از منابع ابری ثبت نام می کند، مالکیت اجرایی و اقتصادی آن ها، منحصرا به این افراد در طی دوره ثبت نام منتقل می شود.

• فرد منتفع (مستاجر) ممکن است بخواهد اجازه دسترسی را به کاربرانش بدهد، یا بر حسب شرایط همکاری، به اشتراک بخشی از منابع خود با  فرد معتمد دیگربا شرایط خاصی همچون فعالیت ها، زمان و مکان مجاز، بپردازد.

• در عوض این فرد معتمد می تواند به مدیریت منابع اشتراکی از طریق تعریف سیاست های کنترل دسترسی به کاربرانش یا اشتراک با فرد دیگر، بپردازد.

پژوهش های مرتبط

چندین رویکرد و روش در زمینه کنترل دسترسی به مدیریت خدمات ابری مطرح شده است. بر اساس مدل اطلاعاتی مشترک (CIM)، محققاتی چون برنال برناب و همکارانش (2012) و کالرو و همکاران (2010) مدل RBAC را در ترکیب با cim مطرح نمودند. در این پژوهش، دستور تایید شده ای که بر مبنای چهار جزء (صادرکننده، موضوع، مزیت، منابع) تعریف می گردد، به صورت یک قانون با استفاده از زبان قوانین وب معنایی (SWRL) نوشته شده است (هوروک و همکاران، 2004). این قانون سپس توسط استدلال گر DL مد نظر قرار گرفته تا به دستور RDF تبدیل گردد. برنال برنابی و همکارانش (2012) توضیح دادند که این امکان وجود دارد تا از مدل پیشنهادی برای پشتیبانی از خصوصیات RBAC برای کاربران منتفع، استفاده کرد. همکاری های بین مستاجری، توسط اطلاعات بافتی مشترک ارائه شده، به گونه ای که فرد متولی می تواند به تعریف دستورات تاییدی بپردازد. به هر حال، آن ها به پشتیبانی از نمایندگان سطح چندگانه در میان مستاجرها نپرداخته و همچنین تفکیک اعتماد بین مستاجرها محدود است. علاوه بر این، سیستم های ابری با در نظر گرفتن تعداد منابع و موضوعات ( مستاجران و کاربران) و پیچیدگی روش ها با توجه به تعداد دستورات تایید شده، افزایش داشته است، مکانیسم استدلال کننده DL در زمانی که تعداد دستورهای RDFافزایش یابد، می تواند یک مشکل بلقوه باشد. علاوه بر این، از طریق بکارگیری روش OWL DL (SWRL) به عنوان زبان کنترل دسترسی، انعطاف پذیری و بیانگری زبان مربوطه، در مقایسه با زبان هایی همچون XACML، محدود است

مقدمات

به منظور حل چالش های ذکر شده در کنترل دسترسی برای سیستم های مدیریت منابع ابری، مدل MT-ABAC مورد نظر ما، شامل ویژگی های زیر است.

• تنوع حمایتی موضوعات: نهادهای مختلف قادر به ترکیب سیاست ها برای مدیریت اهدافشان، همانند ارائه دهندگان خدمات ابری، مستاجر ثبت نامی و مستاجر مشترک است.

• کنترل دسترسی ریزدانه ای بر مبنای مدل ABAC

• همکاری های انعطاف پذیر بین مستاجری که این امکان را به مستاجر ها می دهد تا به اشتراک منابع ابری تعهد شده، در سطوح چندگانه بپردازند

• محدودیت های پویای اعمال شده به منظور مدیریت رئش برای چندین فرد ذیصلاح: ما به تعریف محدودیت های تفکیکی و اععطایی به منظور کنترل این امر می پردازیم که آیا روش های بروز شده سازگار با ویژگی های مدیریتی روش چندمستاجری است یا خیر. این تضمین، زمانی که هیچ تضادی در طی ارزیابی زمان اجرا روی نمی دهد، باعث بهبود عملکرد سیستم می گردد. پژوهش های قبلی انجام شده توسط کالرو و همکارانش،2010؛ برنال برناب و همکاران، 2012؛ تنگ و همکاران، 2013؛ جین و همکاران،2013؛ از این ویژگی را مد نظر قرار نداده است.

سیاست گذاری بر اهداف پویا: در سیستم های ابری، منابع ابری مورد بحث، به عنوان اهداف دادن مجوز است. شناسه های ان در طی مراحل تامین، ایجاد شده، و در پایان مرحله ثبت نام به اتمام می رسدو ارائه دهندگان خدمات ابری به طور اتوماتیک نیازمند تعریف دستور مجوز برای اهداف، بر طبق به ویژگی سلف سرویس درخواستی، است.

• مدل مورد نظر ما، به منظور ادغام با مدل اطلاعاتی منابع تعریف شده که می تواند برای ایجاد سیاست ها، از الگوهای سیاست از پیش تعریف شده، در ترکیب با طرح های خدمات ابری استفاده کند.

در سناریوهای زیر، ابتدائا به تعریف مدل اطلاعاتی مورد استفاده برای مدیریت منابع ابری در سناریو مان در پروژه جیسرز (جیسرز، 2010) و مدل ABAC پایه می پردازیم. بر اساس مدل پایه ABAC، به تعریف مدل MT-ABAC در بخش 4 می پردازیم.

مدل اطلاعاتی برای زیرساخت ابری مجازی

مدیریت منابع ابری برای جنبه های فیزیکی و مجازی، نیازمند توضیحات دقیقی در ارتباط با مدلسازی، اکتشاف، ساخت، نظارت، و هماهنگ سازی است. بر اساس چنین اهدافی، نا از زیرساخت و زبان توصیف شبکه (INDL) (قیجسن و همکاران،2013) برای مدلسازی منابع ابری می پردازیم. انتولوژی لایه ابری IaaS مختصرا در شکل 1 توضیح داده شده است. INDL می تواند به مدلسازی منابع مجازی (VRs) که بر روی تجهیزات فیزیکی در مراحل مختلف پیاده سازی می شود (همانند، مختصرسازی، حفظ و آماده سازی) ، بپردازد.VI، ترکیبی است که از انواع مختلف VRs ساخته می شود. این مورد باعث فعالسازی مجوزهای درخواستی و مقیاس پذیری انعطاف پذیر قابلیت های منابع می گردد.

تحلیل

در این بخش، اثبات می کنیم که سیستم ما پایدار است. با مد نظر قرار دادن وضعیت سیستم ، و بعد از هر عملیات مدیریتی، وضعیت سیستم جدید همیشه این ویژگی را در خود دارد که تمام شرایط در مورد اطمینان هستند.

مکانیسمی برای مدیریت شرایط در مدل MT-ABAC

در سیستم های ابری با منابع و مستاجر در مقیاس بالا، روش هایی که از سیاست ویژگی-محور همچون XACML(اوسیس 2005،2013) استفاده می کنند، دارای مزیت بیانگری بالا، در ترکیب سیاست، هستند. به هر حال، هیچ مکانیسم کارآمدی از نظر عملکرد برای ارزیابی و مدیریت این سیاست ها وجود ندارد. تانگ و همکارانش (2013) از روش XACML سنتی در پروژه SunXACML (2015) با نتایج محدود استفاده نمودند. کالرو و همکارانش (2010) و برنال برناب و همکاران (2012) از زبان قواعد شبکه معنایی (SWRL) ، و موتور استدلال گر DL برای ارزیابی سیاست هایی استفاده کردند که اساسا به عنوان PolicyEngine مجوز نبوده است. جین و همکاران (2014) از روش ارزیابیPolicyEngine تعریف شده توسط جین و همکاران (2012)، استفاده کردند. به هر حال ان ها توضیح ندادند که چگونه این موتور پیاده سازی می گردد. بررسی های ان توضیح نداده است که سیاست ها یا درخواست های تصادفی چقدر پیچیده هستند، که این موارد می تواند به طور قابل توجهی عملکرد ارزیابی را تحت تاثیر قرار دهد.

نمودارهای تصمیم

بر طبق به معادله بول شنانون ، تابع منطقی چندمتغیره می تواند توابع جزئی تفکیک گردد جدا که از متغیرx است.

روش MT-ABAC تعمیم یافته برای ارائه دهندگان خدمات چندگانه

بیان مسئله

مدل MT-ABAC به حل مشکلات کنترل دسترسی چندمستاجری در حوزه امنیتی مجزا به ارائه دهندگان خدمات ابری می پردازد. در مورد سناریوهای بین ابری، یک ارائه دهنده خدمات می تواند به عنوان نقش یک مستاجر برای برای ارائه دهنده دیگر ایفا کرده تا از منابع ابری اش استفاده نماید. این الگو را می توان در برنامه جیسرز (2010) و انجو و همکاران (2012) توضیح داد، به صورتی که ارائه دهندگان زیرساخت های مجازی(VIP) می توانندVRارائه دهندگان زیرساخت های مجازی می توانندVR را از مجموعه ای از ارائه دهندگان زیرساخت های فیزیکی (PIPs) به منظور ایجاد VI تشکیل دهند. در این بخش، مدل ما به منظور پشتیبانی از سناریوهای بین ابری از طریق ترتیب زنجیره ایبه صورت زیر تعمیم یابند:

طرح سیستم

یکپارچه سازی و طراحی DACI

ما به طراحی زیرساخت کنترل دسترسی دینامیک (DACI) ، همان طور که در شکل 7 آمده است با مشارکت طرح بین ابری در پروژه (جیسرز ،2002) می‌پردازیم. در این طرح، هرPIP نمونه ای از اُپن نبولا (2013) را به اجرا در می‌آورد. VIP نقش ارائه دهنده خدمات بین ابری را بازی می‌کندکه محاسبات، ذخیره سازی و منابع شبکه را از مجموعه PIP برای ایجاد سرویس های VIبرای مستاجران گرداوری و بکار می‌گیرد. به منظور مدیریت اطلاعات منابع ابری بین رائه دهندگان خدمات، INDL برای مدلسازی و اشتراک تعاریفVRs مورد استفاده قرار می‌گیرد.

پیاده سازی و ارزیابی

مرور پیاده سازی

ما به توسعه اجزا DACI، همانند دستگاه های جانبی OSGi بر روی جاوا 1.7 پرداختیم. رابط های عمومی DACI خدمات .وب REST بر مبنای API های (رابط برنامه کاربردی)Apache CXFاست. در بستر آزمایشی، موئلفه ها در نمونه DACI در محیط ترکیب خدمات آپاچی (سر، 2013) بکار گرفته می‌شوند. سیاست ها برای مستاجران و ارائه دهندگان خدمات در سیستم بانک اطلاعاتی کلید ارزش ردیس (رد، 2013) با شناسه کلید مجزا برای هر مستاجر ذخیره می‌گردند. این فرایند به تضمین تفکیک مدیریت سیاست در میان مستاجران می‌پردازد.

نتیجه گیری

در این مقاله، به معرفی مدل کنترل دسترسی ویژگی محور چندمستاجری برای خدمات ابری پرداختیم که مدل کنترل دسترسی، با مد توصیف اطلاعات زیرساخت ابری یکپارچه می‌گردد. روش ما، نه تنها می‌تواند به طور خودکار به ایجاد سیاست واگذاری ارائه دهنده خدمات از موارد توصیفی خدمات ابری بپردازد، بلکه همچنین می‌تواتد به پشتیبانی از سطوح چندگانه واگذاری با توجه به انعطاف پذیری برای همکاری های بین مستاجری، بپردازد. محدودیت هایی به منظور تضمین مدیریت سیاست معنایی صحیح و سازگار، معرفی شد. ما از مکانیسم نمودار تصمیم برای ارزیابی سیاست ویژگی محور استفاده نمودیم، که باعث تسهیل پیاده سازی شرایط مورد نظر در مدل مان می‌گردد. نمونه اولیه ایجاد، تست و در پروژه جیسرز ، ادغام شد. نتایج ارزیابی شده به اثبات این مورد پرداخت که مدل نمونه ما دارای عملکرد خوبی از نقطه نظر تعداد منابع ابری، مشتریان و سیاست های بوده است.

همچنین به تعمیم روش MT-ABAC برای ارائه دهندگان خدمات توزیعی، با اشتراک چندگانه به صورت یک زنجیره پرداختیم تا به پشتیبانی از سناریوهایی با رویکرد تبادل نشانه بپردازیم. در پژوهش های آینده، به بهبود مدل مدیریتی کلیدی برای خدمات بین ابری با استفاده از کلید عمومی ترکیبی و رمزنویسی متقارن پرداخته، که می‌تواند در نهایت منجر به بهبود عملکرد سیستم در ارتباطلات بین ابری با استفاده از نشانه های بپردازد. هدف ما اینست تا به توسعه لایه های تطبیقی بین سیستم DACI مورد نظر با سیستم های مدیریتی رایج همانند اُپن استک، کلود استک، و اوکالیپتوس پرداخته، که بتوانیم به ادغامDACI با این سیستم ها بپردازیم. با در نظر گرفتن زبان سیاست مجوز، برای مثال XACML در پروفایل (نمایه) XML، هدف ما اینست تا به پشتیبانی از روش های دیگر و همچنین پشتیبانی از روش DACI مورد نظرمان با سیستم های مجوز پیش فرض بپردازیم.

این مقاله ISI در سال 2016 در نشریه الزویر و در مجله امنیت اطلاعات و برنامه های کاربردی، توسط موسسه انفورماتیک منتشر شده و در سایت ای ترجمه جهت دانلود ارائه شده است. در صورت نیاز به دانلود رایگان اصل مقاله انگلیسی و ترجمه آن می توانید به پست دانلود ترجمه مقاله کنترل دسترسی مبتنی بر ویژگی چند مستاجر در سایت ای ترجمه مراجعه نمایید.