دانلود رایگان ترجمه مقاله کنترل دسترسی برای خدمات زیرساخت ابری (ساینس دایرکت – الزویر ۲۰۱۶)

مبتدی (مناسب برای درک مفهوم کلی مطلب) 

با در نظر گرفتن تمام این چالش ها و به واسطه تحلیل سناریوهای ابری و بین ابری (جینت، ۲۰۱۰؛ جیسرز،۲۰۱۰؛ ان جی او و همکاران،۲۰۱۱، ۲۰۱۲) ؛ و همچنین پژوهش های مرتبط به کنترل دسترسی برای رایانش ابری (آمازون، ۲۰۱۳؛ برنال برناب و همکاران،۲۰۱۲؛ بسنکورت و همکاران، ۲۰۰۷؛ کالرو و همکاران، ۲۰۱۰؛گویال و همکاران،۲۰۰۶؛ جین و همکاران، ۲۰۱۴؛ ساهای و واتر، ۲۰۰۵، ۲۰۰۵؛ تانگ و همکاران، ۲۰۱۳) ، ما به معرفی روش کنترل دسترسی ویژگی محور چندمستاجری (MT-ABAC) پرداخته، که به مدلسازی ABAC بکارگرفته شده برای الگوی چندمستاجری می پردازیم. هدف از آن نه تنها مدیریت منابع و مدخل ها به صورت انعطاف پذیر و مقیاس پذیر ABAC است، بلکه شامل محدودیت های روش مرتبط به منظور تسهیل همکاری و دادن مجوز میان مستاجران و کاربران در سطوح چندگانه است. این مدل تعمیم یافته برای سناریوهای بین ابری با روش تبادل نشانه گذاری برای ایجاد اعتماد پویا در سطوح پایین تر است. به منظور تسهیل ارزیابی و پیاده سازی روش ویژگی محور، مکانیسم موثری را برای تبدیل عبارات منطقی پیچیده در سیاست ها، به نمودارهای تصمیم فشرده، بکار می گیریم. نمونه اولیه ما در ارتباط با سیستم کنترل دسترسی چندمستاجری برای محاسبات بین ابری ایجاد و تست شده و در پروزه جیسرز ادغام شد. ارزیابی ها نشان داد که سیستم ما دارای عملکرد مناسبی از نقطه نظر تعداد منابع ابری، کلاینت ها و سیاست ها، است.
مابقی مقاله، به صورت زیر بخش بندی می گردد، بخش ۲، به بررسی پژوهش های مرتبط با کنترل دسترسی برای رایانش ابری، رمزنگاری براساس ویژگی (ABE) و اختیارات توزیع شده می پردازد. بخش ۳، شامل مقدماتی در ارتباط با مدل های اطلاعات ابری و ABAC پایه است. این موضوعات برای تدوین روش مورد نظر ما در بخش ۴، بکار گرفته می شوند. مدل پیشنهادی، در بخش ۵، تحلیل و ارزیابی می گردد. بخش ۶ مکانیسمی را به منظور مدیریت کارآمد شرایط در مدل ما، به بحث می گذارد. همچنین، در بخش ۷، مدل خود را برای سناریوهای بین ابری، تعمیم می دهیم. بعد از ان، بخش ۸ و ۹ حاوی طراحی، پیاده سازی و ارزیابی نمونه اولیه در پروژه جیسرز است. در نهایت، بخش ۱۰، نتیجه گیری مقاله را نشان می دهد.

۲٫ پژوهش های مرتبط
چندین رویکرد و روش در زمینه کنترل دسترسی به مدیریت خدمات ابری مطرح شده است. بر اساس مدل اطلاعاتی مشترک (CIM)، محققاتی چون برنال برناب و همکارانش (۲۰۱۲) و کالرو و همکاران (۲۰۱۰) مدل RBAC را در ترکیب با cim مطرح نمودند. در این پژوهش، دستور تایید شده ای که بر مبنای چهار جزء (صادرکننده، موضوع، مزیت، منابع) تعریف می گردد، به صورت یک قانون با استفاده از زبان قوانین وب معنایی (SWRL) نوشته شده است (هوروک و همکاران، ۲۰۰۴). این قانون سپس توسط استدلال گر DL مد نظر قرار گرفته تا به دستور RDF تبدیل گردد. برنال برنابی و همکارانش (۲۰۱۲) توضیح دادند که این امکان وجود دارد تا از مدل پیشنهادی برای پشتیبانی از خصوصیات RBAC برای کاربران منتفع، استفاده کرد. همکاری های بین مستاجری، توسط اطلاعات بافتی مشترک ارائه شده، به گونه ای که فرد متولی می تواند به تعریف دستورات تاییدی بپردازد. به هر حال، آن ها به پشتیبانی از نمایندگان سطح چندگانه در میان مستاجرها نپرداخته و همچنین تفکیک اعتماد بین مستاجرها محدود است. علاوه بر این، سیستم های ابری با در نظر گرفتن تعداد منابع و موضوعات ( مستاجران و کاربران) و پیچیدگی روش ها با توجه به تعداد دستورات تایید شده، افزایش داشته است، مکانیسم استدلال کننده DL در زمانی که تعداد دستورهای RDFافزایش یابد، می تواند یک مشکل بلقوه باشد. علاوه بر این، از طریق بکارگیری روش OWL DL (SWRL) به عنوان زبان کنترل دسترسی، انعطاف پذیری و بیانگری زبان مربوطه، در مقایسه با زبان هایی همچون XACML، محدود است.
کنترل دسترسی نقش محور چندمستاجری (MT-RBAC)(تانگ و همکارانش، ۲۰۱۳) ، به تعمیم روش RBAC پایه، با مجموعه ای از مدل ها با توجه به ویژگی های مدیریتی، پرداختند. علاوه بر مجوزهای معمول بین مستاجری و عملیات تخصیص نقش، همکاری های بین مستاجری از طریق نقش های اشتراکی به اجرا در می آید. مستاجر اعتباردهنده می تواند به تعریف تمام نقش های مرتبط با مستاجر امانت دار (MT-RBAC0)، نقش های عمومی مشابه برای تمام امانت گیرندگان (MT-RBAC1)، یا نقش های تفکیک شده برای امانت داران مختلف (MT-RBAC2)، بپردازد. در عوض، امانت دار می تواند به پیاده سازی دو فعالیت مدیریتی بپردازد: i) تعیین کاربر در بین کاربرانش و ii) زنجیره نقش در مورد نقش های مشترک. الگوی نمونه، با استفاده از زبان ویژگی محور XACML با الحاق نمایه RBAC به اجرا در آمد. حتی اگر MT-RBAC به حل مشکلات کنترل دسترسی برای فرایند چندمستاجری با استفاده از RBAC بپردازد، ولی دارای مشکلاتی در موضوعات کنونی RBAC در ارتباط با مقیاس پذیری و انعطاف پذیری است. همچنین مدل پیشنهادی شامل محدودیت های روش مورد نظر ما، برای پشتیبانی از جداسازی و جلوگیری از تضاد روش ناست.
جین و همکارانش (۲۰۱۴) ، مدل ABACجین و همکاران (۲۰۱۲) را به سناریو Iaas، تعمیم دادند. در مدل آن ها، مدخل ها؛ به کاربران اصلی خدمات ابری که می تواند به مدیریت زیرساخت مجازی (VI) و مستاجران بپردازند؛ و کاربران اصلی مستاجر که می توانند به پیکره بندی پروفایل خصوصیات و مدیریت کاربران ادمین مستاجر بپردازند؛ کاربران ادمین مستاجر که می توانند به مدیریت کاربران عادی مستاجر بپردازند و در نهایت، کاربران عادی مستاجر که می توانند بر روی منابع ابری فعالیت داشته باشند، تقسیم بندی می شود. با استفاده از زبان روش تعریف شده در نظریه جین و همکارانش (۲۰۱۲) ، نمونه اولیه در سیستم اُپن استَک ادغام شد. اگرچه این روش از ABAC برای پیاده سازی سناریوهای چندمستاجری، استفاده کرده است، مدل آن، از مشکلات تضاد روش در فرایند چندمستاجری، در زمانی که مدخل های چندگانه می توانند به تعریف روش ها بپردازند، آگاه نیست. بنابراین، آن ها شامل جداسازی نشده و محدودیت های را برای سیاست هایی که در رویکرد ما وجود دارد ایجاد کرده، که منجر به حل مشکلات روش تضاد می گردد. علاوه بر این، مدل آن ها به تعریف همکاری بین مستاجرها نمی پردازد.
به منظور حفاظت از داده در محیط برون سپاری همچون محیط های ابری، پژوهش ABE(بتنکورت و همکارانش، ۲۰۰۷؛ گویال و همکاران، ۲۰۰۶؛ ساهای و واترز، ۲۰۰۵) برای امنیت ذخیره سازی برون سپاری مطرح شد، درحالیکه رمزنگاری همریختی (براکرسکی و وایکونتانتان ۲۰۱۱؛ اسمارت و ورکاتران، ۲۰۱۰) مطرح شد تا به تامین امنیت محاسبات بر روی سیستم های متخاصم بپردازد. در روش ABE کلید سیاست (KP-ABE)(گویال و همکارانش، ۲۰۰۶) ویژگی هایی را درخواست داده اند که مرتبط با متنهای رمزگذاری شده بود، و روش ها مرتبط با کلیدهای کاربر بوده است. طرح ABE روش متن رمزگذاری شده (CP-ABE (بتنکورت و همکارانش، ۲۰۰۷) مکانیسمی را ایجاد می کند که امکان ایجاد کلیدهای کاربر را، بر مبنای ویژگی هایشان و سیاست های ویژگی- محور به منظور حفاظت از داده هایی فراهم کرده که مرتبط با متون رمزدار هستند. طرح های ABE به منظور تامین امنیت داده بر روی خدمات ذخیره سازی ابری، توسعه و بکار گرفته شدند (لی و همکاران، ۲۰۱۳؛ یو و همکاران،۲۰۱۰) . اگرچه رمزگذاری همریختی باعث ایجاد قابلیت اعتماد در محاسبات برون سپاری می گردد، کاربردهای ان در رایانش ابری، به دلیل پیچیدگی و عملیات بالاسری همچنان محدود است(نائریگ و همکاران، ۲۰۱۱) . تمام این مکانیسم های نهفته به صورت AEF در چارچوب کنترل دسترسی ISO 10181-3(ISO, 1996)، مد نظر قرار گرفته، درحالیکه پژوهش ما تمرکزش را بر روی موئلفه های تصمیم کنترل دسترسی قرار می دهد. بنابراین، ABE و رمزگذاری نهفته، منطبق با طرح پیشنهادی ما است.
هویت AWS آمازون و مدیریت دسترسی (IAM) (آمازون، ۲۰۱۳) ، ترکیبی از سیستم مدیریت و یک مکانیسم کنترل دسترسی است. به دنبال نام نویسی نسبت به هر یک از محصولات AWS آمازون، برای هر مشتری، یک حساب استیجاری AWS تخصیص داده می شود. سپس، تمام عملیات بر روی محصولات AWS ، محدود به این حساب می گردد. سیستم IAM آمازون، مکانیسمی را برای ایجاد و مدیریت چندین کاربر متصل به حساب استیجاری AWS ، ایجاد می کند. با استفاده از روش های تایید جیسون- استایل که در سمت IAM ذخیره شده، یا در سمت محصولات AWS الحاق می گردد، سیستم IAM می تواند به کنترل فعالیت های کاربری بر روی منابع AWS بپردازد. به منظور تضمین شرایط امنیتی در مورد اعتمادسازی و یکپارچگی، به کاربران، اعتبار امنیتی اختصاصی برای دسترسی به منابع AWS تخصیص داده می شود. به هر حال، زبان روش پشتیبانی در سیستم IAM آمازون، با توجه به سیاست ساده ویژگی محور با خصوصیات RBAC محدود، گویا نیست. دسترسی فراتر از حساب، از طریق ایجاد سیاست سیستم IAM حساب امانت گذار به حساب امانت دار، تعریف می گردد. سپس امانت دار می تواند، مزایای مربوطه را به کاربرانش تخصیص دهد. این روش از همکاری های فراحساب چندسطحی، پشتیبانی نمی کند.
چارچوب مجوز OAuth (دی هارد و رکوردون (۲۰۱۲) ، این امکان را به شخص ثالث می دهد تا به منابع HTTP از طریق تایید صاحب داده، به واسطه نشانه گذاری ها، دسترسی پیدا کند. این چارچوب، پروتکل گردش کار را، برای مجوز توزیع که در حال حاضر در خدمات ابری مختلف بکار گرفته می شود همانند Google APIs و Twitter APIs (رابط برنامه کاربری گوگل و رابط برنامه کاربری توییتر)، فراهم می کند. به هر حال سیستم OAuth 2.0، از هیچ مکانیسم نهفته ای استفاده نکرده بلکه امنیتش بر مبنای HTTPS قرار داده، که این مورد در سناریوهایی که کلاینت از پروکسی ها استفاده می کند یا دارای ارتباط مستقیم با منابع نیست، دارای انعطاف پذیری نیست.
در مقایسه با پژوهش های مرتبط، طرح مورد نظر ما، به حل مشکلات کنترل دسترسی برای چندمستاجری بطور کامل تر می پردازد. ما به تدوین روش ABAC در مدل چندمستاجری از طریق تفکیک و ایجاد محدودیت، به منظور اجتناب تضاد روش پرداختیم. روش ما، همچنین به پشتیبانی از همکاری های انعطاف پذیر بین مستاجرها با سطوح چندگانه اعطای مجوز می پردازد. مدل تعمیم یافته مورد نظر ما برای محاسبات بین ابری، از روش تبادل نشانه هااستفاده کرده که برای MT-ABAC طراحی شده، که به هماهنگ سازی محدودیت ها و پیاده سازی مکانیسم های نهفته به منظور حل توزیع مجوز با در نظر گرفتن موضوعات محدود اعطای مجوز پرداخته که برای روش مورد نظر ما مناسب تر از چارچوب OAuth 2.0 کنونی است.

۳٫ مقدمات
به منظور حل چالش های ذکر شده در کنترل دسترسی برای سیستم های مدیریت منابع ابری، مدل MT-ABAC مورد نظر ما، شامل ویژگی های زیر است.
• تنوع حمایتی موضوعات: نهادهای مختلف قادر به ترکیب سیاست ها برای مدیریت اهدافشان، همانند ارائه دهندگان خدمات ابری، مستاجر ثبت نامی و مستاجر مشترک است.
• کنترل دسترسی ریزدانه ای بر مبنای مدل ABAC
• همکاری های انعطاف پذیر بین مستاجری که این امکان را به مستاجر ها می دهد تا به اشتراک منابع ابری تعهد شده، در سطوح چندگانه بپردازند
• محدودیت های پویای اعمال شده به منظور مدیریت رئش برای چندین فرد ذیصلاح: ما به تعریف محدودیت های تفکیکی و اععطایی به منظور کنترل این امر می پردازیم که آیا روش های بروز شده سازگار با ویژگی های مدیریتی روش چندمستاجری است یا خیر. این تضمین، زمانی که هیچ تضادی در طی ارزیابی زمان اجرا روی نمی دهد، باعث بهبود عملکرد سیستم می گردد. پژوهش های قبلی انجام شده توسط کالرو و همکارانش،۲۰۱۰؛ برنال برناب و همکاران، ۲۰۱۲؛ تنگ و همکاران، ۲۰۱۳؛ جین و همکاران،۲۰۱۳؛ از این ویژگی را مد نظر قرار نداده است.
• سیاست گذاری بر اهداف پویا: در سیستم های ابری، منابع ابری مورد بحث، به عنوان اهداف دادن مجوز است. شناسه های ان در طی مراحل تامین، ایجاد شده، و در پایان مرحله ثبت نام به اتمام می رسدو ارائه دهندگان خدمات ابری به طور اتوماتیک نیازمند تعریف دستور مجوز برای اهداف، بر طبق به ویژگی سلف سرویس درخواستی، است.
• مدل مورد نظر ما، به منظور ادغام با مدل اطلاعاتی منابع تعریف شده که می تواند برای ایجاد سیاست ها، از الگوهای سیاست از پیش تعریف شده، در ترکیب با طرح های خدمات ابری استفاده کند.
در سناریوهای زیر، ابتدائا به تعریف مدل اطلاعاتی مورد استفاده برای مدیریت منابع ابری در سناریو مان در پروژه جیسرز (جیسرز، ۲۰۱۰) و مدل ABAC پایه می پردازیم. بر اساس مدل پایه ABAC، به تعریف مدل MT-ABAC در بخش ۴ می پردازیم.