فرمت فایل: ورد –Word و قابل ویرایش

تعداد صفحات: 220

فهرست مطالب

رديف عنوان صفحه

چكيده 1

1 فصل اول: مقدمه 3

1- 1 مقدمه 4

2 فصل دوم: ادبيات تحقيق 10

2- 1 مقدمه 11

2- 2 مباني معماري سرويس گرا 11

2- 2-1 تعاريف معماري سرويس گرا 14

2- 2-2 محصورسازي منطق راه حل 15

2- 2-3 ارتباط بين سرويس ها 18

2- 2-4 سست اتصالي سرويس 19

2- 2-5 تركيب پذيري سرويس 20

2- 2-6 قابليت استفاده مجدد 21

2- 2-7 توسعه پذيري معماري و توسعه پذيري سرويس 22

2- 2-8 خودمختاري و عدم وابستگي سرويس به چارچوب 22

2- 2-9 طراحي سرويس ها 23

2- 3 امنيت نرم افزار 26

2 3-1 مباني اساسي امنيت 26

2- 3-2 تضمين امنيت نرم افزار 27

2- 3-3 اهداف امنيت 33

2- 3-4 نيازمندي هاي امنيتي 37

2- 4 امنيت و معماري سرويس گرا 49

2- 4-1 تعيين هويت، اعتبارسنجي و اختيارسنجي 57

2- 4-2 نقطه ورود مشترك 58

2- 4-3 رازداري و جامعيت 60

2- 4-4 امنيت سطح انتقال و امنيت سطح پيام 61

2- 4-5 رمزگذاري و امضاهاي ديجيتالي 62

2- 5 استاندارد هاي امنيتي در معماري سرويس گرا 64

2- 5-1 توپولوژي استانداردهاي امنيتي 64

67 XML Encryption (Confidentiality) رازداري از طريق 2-5 -2

68 XML Signature (Integrity, Authenticity) جامعيت و اعتبارسنجي از طريق 3-5 -2

2- 5-4 امنيت وب سرويس (WS-Security) 69

70 X.509 Certificates نشانه امنيتي 5-5 -2

2- 5-6 نشانه امنيتي SAML 71

2- 5-7 نشانه امنيتي و سيستم Kerberos 74

2- 5-8 افزودن نشانه هاي امنيتي در سرآيندهاي WS-Security 74

2- 5-9 آدرس دهي وب سرويس ها (WS-Addressing) 75

2- 5-10 پروتكل پيام رساني قابل اعتماد سرويس ها (WS-ReliableMessagin or WS-RM) 76

2- 5-11 سياست وب سرويس ها (WS-Policy) 77

2 5-12 اعتماد وب سرويس ها (WS-Trust) 79

80 (WS-SecureConversation) محاوره ايمن وب سرويس ها 13-5 -2

2- 5-14 هم پيماني وب سرويس ها (WS-Federation) 82

2- 5-15 استانداردهاي رمزي كليد عام (PKCS) 82

2- 6 نتيجه گيري 85

3 فصل سوم: كنترل دسترسي، سياست ها و مدل هاي موجود 86

3- 1 مقدمه 87

3- 2 تاريخچه كنترل دسترسي 87

3- 3 مدل هاي كنترل دسترسي موجود 88

3- 3-1 مدل كنترل دسترسي بصيرتي (DAC) 89

3- 3-2 سياست كنترل دسترسي احتياطي (MAC) 94

3- 3-3 سياست كنترل دسترسي مبتني بر نقش (RBAC) 101

3- 3-4 مقايسه مدل هاي موجود 105

3- 4 كنترل دسترسي در معماري سرويس گرا 107

3- 4-1 مدل مرجع معماري امنيت IBM براي معماري سرويس گرا 108

3- 4-2 مدل تعاملي معماري سرويس گرا – گسترش يافته براي امنيت 112

3- 4-3 مدل هاي كنترل دسترسي در معماري سرويس گرا 113

3- 5 سكو ها و چارچوب هاي امنيتي كنترل دسترسي معماري سرويس گراي بين سازماني 117

3- 5-1 بسترهاي حمايت از مديريت سياست هاي امنيتي سمت فراهم كننده سرويس 119

3- 5-2 بسترهاي مديريت سياست هاي امنيتي اشتراكي بين سرويس دهنده و سرويس گيرنده 120

3- 5-3 بسترهاي حمايت از مديريت سياست هاي امنيتي سمت درخواست كننده 121

3- 5-4 معماري امنيتي دولايه براي كنترل دسترسي در معماري سرويس گرا 122

خ

3 6 نتيجه گيري 124

فصل اول

مقدمه

1-1 مقدمه

با ظهور ديدگاه محاسبات توزيع شده1، محاسبات سرويسگرا (SOC)2 و معماري سرويسگرا (SOA)3 تحول جديدي پيش روي دنياي فناوري اطلاعات قرار گرفته است. معماري سرويسگرا با تفكيك واحد هاي نرم افزاري و ايجاد مجموعه هاي عملياتي مستقل با قابليت استفاده مجدد بنام سرويس به جاي برنامههاي كاربردي تكراري و مشابه، در سازمان ها و شركت ها مورد استقبال واقع شده است. كاهش هزينه هاي توليد و نگهداري نرمافزار بدليل قابليت استفادهمجدد، امكان توسعه و ارتقاي آسانتر سيستم از دلايل اين استقبال است. اين معماري، كه بر اتصال سست4، تعامل پذيري، تركيب پذيري و قابليت استفاده مجدد آسان سرويسها بعنوان واحد هاي سازنده نرم افزار تاكيد دارد، مي تواند هزينه هاي كلي فناوري اطلاعات سازمان ها را تا حد قابل قبولي كاهش دهد[5][3][1]. از نگاه كاربر استفاده كننده نيز معماري سرويس گرا مزايايي به همراه آورده است. تقسيم وظايف در فرآيند هاي تجاري و تفكيك دقيق آنها منطبق بر اصل تفكيك دغدغه ها5 بطور غيرمستقيم براي مشتريان اين معماري به ارمغان آورده شده است. بعنوان نمونه، در بحث تجارت الكترونيك6 مشتريان سازمان ها بيشتر مايلند خريدهاي خود از فروشگاه هاي مختلف را از طريق يك حساب ثابت و متمركز كه احتمالاً به منظور همين كار ايجاد نموده اند انجام دهند. البته مطلوب به نظر نمي رسد كه هر فروشگاه الكترونيكي براي خريد و فروش محصولات خود، نيازمند يك حساب بانكي خاص همان فروشگاه باشد. بعنوان نمونه، مشتري مايل است در بانك A يك حساب افتتاح نمايد و از آن براي خريدهاي اينترنتي استفاده كند. در اين سناريو، اين فروشگاه هاي مختلف هستند كه بايد خود را با اين نياز مشتري وفق دهند. بنابراين فروشگاه ها براي انجام خدمات خود بجاي ايجاد سرويس هاي پرداخت براي بانك ها و حساب هاي مختلف، لازم است از سرويس پرداخت آن بانك ها استفاده كنند. علاوه بر تسهيل در امور پرداخت به كمك سرويس هاي بانك ها، در برخي موارد ممكن است چاره اي جز دريافت خدمات از سازمان ارائه دهنده (اينجا بانك) نباشد. بعنوان مثال در سناريوي فروشگاه اينترنتي، هيچ بانكي اجازه نمي دهد اطلاعات و مشخصات حسابهاي مشتريانش را

12 --Distributed Computing Service Oriented Computing (SOC)

34 -Service Oriented Architecture(SOA)

-Loosely coupling

56 -Separation of Concerns

-E-Commerce

براي انجام تراكنش هاي مالي در اختيار ديگر سازمان ها قرار دهد. بلكه درخواست هاي آن ها را از دامنه هاي معتبر كه قبلاً براي بانك صلاحيت آن ها تأييد شده است مي گيرد، درخواست را در دامنه ي خود انجام داده، نتيجه را بر مي گرداند [2]. اين چيزي جز استفاده از مفهوم سرويس گرايي نيست.

از سوي ديگر، بي شك با توجه به حساسيت داده ها و اطلاعات بعنوان منابع و سرمايه هاي هر سازمان، حفاظت آن ها در مقابل تهديدات، دسترسي هاي غيرمجاز و تحريف محتوا، از اولويت بالايي برخوردار است. هر چه تعداد استفاده كنندگان يك منبع يا خدمات و در معرض گذاشتن آن بيشتر شود، امكان بروز موارد مذكور نيز بيشتر خواهد شد. بنابراين طبيعي است كه در سازمان ها يكي از پارامترهاي مهم در انتخاب سبك معماري نرم افزار، در نظر گرفتن جنبه امنيتي و امكانات آن باشد. جاي شكي نيست كه شما در سناريوي خريد از يك فروشگاه اينترنتي، زماني كه اطلاعات حساب بانكي و ميزان مبلغ را به سرويس پرداخت مي دهيد، بستر براي تهديدات و حملات اينترنتي خيلي بيشتر از زماني است كه براي پرداخت ها بصورت حضوري به بانك مي رويد (از خطرات غيرمتعارف مانند سرقت از بانك چشم پوشي كنيد). پس روشن است كه استفاده از مزاياي فناوري جديد كاملاً به تضمين جنبه هاي امنيتي آن گره خورده است. فناوري ناامن در عمل، ناكارآمد و غيرعملياتي خواهد بود.

اما منظور از امنيت چيست؟ از ديدگاه عام، امنيت را وضعيت آزاد بودن از خطر و ريسك تعريف مي كنند[6]. امنيت رايانه، شاخه اي از علم رايانه است كه با ريسك ها، تهديدها و مكانيزم هاي مربوط به استفاده از سيستم هاي محاسباتي سروكار دارد [6]. براي اين مفهوم تعاريف مختلفي ارائه شده است كه اين تعريف جامع تر به نظر مي رسد: »مجموعه اي از تكنيك ها، روش ها، رويه ها و فعاليت هاي به كار گرفته شده براي نگهداري يك وضعيت ايده آلِ تعريف شده از طريق يك مجموعه از قواعد در يك سيستم محاسباتي بهم مرتبط، نامتمركز و ناهمگن را امنيت مي گويند. اين قواعد بيان مي كنند كه چه چيز مجاز و چه چيز غيرمجاز است«[6].

بنابراين ما با دو مقوله ظاهراً مجزا مواجه هستيم اما تاثير متقابل آنها بر همديگر غيرقابل انكار است. اول مزايا، امكانات و قابليت هايي كه معماري سرويس گرا پيش روي سازمان ها و مشتريان قرار داده است. دوم مشكلات و تهدايدات ناشي از مفهوم عام امنيت در سيستم هاي توزيع شده و خصوصاً در معماري سرويس گرا كه ما را در انتخاب اين معماري به تفكر وا مي دارد. با اندكي تأمل مشخص مي شود كه با وجود مزايايتجاري1 كافي براي استفاده از معماري سرويس گرا، يكي از شروط لازم(اما نه ضرورتاً كافي) براي عملياتي2 نمودن اين معماري، وجود چارچوب ها و مدل هاي امنيتي كارا مي باشد. صرف نظر از ميزان توزيع شدگي معماري ها، منابع مختلف جنبه هاي گوناگوني را براي امنيت در نظر گرفته اند كه همگي تقريباً در سه مورد رازداري3، جامعيت4 و دسترس پذيري5 مشتركند[3][5][12][13][22]. طبعاً اين جنبه ها براي معماري سرويس گرا نيز وجود دارند اما بكارگيري آنها با مشكلاتي همراه است. براي دستيابي به هريك اين موارد درمعماري متمركز (و بعضاً مشترك با معماري سرويس گرا)، مكانيزم هاي مختلفي وجود دارد. بعنوان نمونه براي تضمين جامعيت، مكانيزم هاي رمزگذاري و رمزگشايي6 [3][11] و براي تضمين رازداري و دسترس پذيري مكانيزم هاي اعتبارسنجي و اختيارسنجي7 وجود دارد [3][11]. هر يك از اين مكانيزم ها، خود داراي مدل ها و پياده سازي هاي گوناگوني هستند. براي اعتبارسنجي مي توان اعتبارسنجي به كمك شناسه كاربري/رمزعبور، نشانه امنيتي8، قفل سخت افزاري و علائم زيست سنجي9 مانند اثر انگشت و شبكيه چشم را نام برد [6][12]. براي اختيارسنجي يا كنترل دسترسي مدل هايي مانند MAC ،RBAC و DAC ارائه شده است. همانطور كه پيشتر نيز گفته شد، بيشتر اين مكانيزم ها و مدل ها در اساس براي معماري هاي متمركز طراحي شده اند كه با ظهور و توسعه معماري هاي نامتمركزي مانند SOA و Grid، نيازمند مدل هاي جديد يا اصلاح و بومي سازي مدل هاي موجود خواهيم بود.

فصل دوم

ادبيات تحقيق

2-1 مقدمه

در اين فصل ابتدا به تشريح مفاهيم بنيادي معماري سرويس گرا خواهيم پرداخت و در آن روي اصولي از اين معماري متمركز مي شويم كه در ادامه به آن ها نياز خواهيم داشت. پس از آن، مقوله امنيت نرم افزار را ابتدا مستقل از مفهوم سرويس گرايي بسط مي دهيم. اهداف و نيازمندي هاي امنيت را معرفي مي كنيم. در انتها بين مفهوم معماري سرويس گرا و امنيت ارتباط برقرار خواهيم ساخت و جايگاه امنيت را در اين معماري بررسي مي كنيم. در اين بين، اصطلاحات و مفاهيمي كه در ادامه تحقيق مورد نياز است، هرجا كه لازم باشد، در حد امكان شرح مي دهيم.

2-2 مباني معماري سرويس گرا

از آنجا كه مفهوم »سرويس گرايي« از مدتها قبل مطرح شده، در زمينه هاي مختلف و براي كاربردهاي متفاوتي به كار گرفته شده است. با ايسن وجود، تمام گونه ها و كاربردهاي آن در يك مفهوم مشخص بنام »تفكيك دغدغه ها1« مشترك هستند. اين بدان معناست كه منطق مورد نياز براي حل يك مسئله بزرگ اگر به مجموعه اي از قطعات كوچكتر و مجزا تفكيك شود نتيجه بهتري حاصل خواهد شد. هر يك از اين قطعات2 به يك دغدغه3 يا يك بخش مشخص از مسئله اشاره دارد. ديدگاه هاي ديگري نيز مانند سيستم هاي توزيع شده يا معماري مشتري/خدمتگزار، براي اين تفكيك مفاهيم وجود دارد. اما چيزي كه SOA را مجزا مي سازد، چگونگيِ4 دستيابي به اين »تفكيك« است.

براي درك بهتر مفهوم سرويس گرايي به ارائه مثالي كه آقاي Erl در [3] آورده است مي پردازيم. فعلاً براي سادگي، سرويس را با همان مفهوم عام، بمعناي »ارائه خدمت يا انجام يك فعاليت« تعريف مي كنيم.

يك شهر را در نظر بگيريد. اگر با دقت و نگاه سرويس گرايانه به اين شهر بنگريم، خواهيم ديد كه پر از كسب و كارهاي سرويس گرا است. كمپاني هاي مجزا، همه به نوعي داراي منطق سرويس گرا هستند. زيرا هريك سرويس مشخصي را فراهم مي كنند كه مي تواند توسط مشتري هاي مختلفي مورد استفاده قرار گيرد. بنابراين،