نظام ﲢكم لوصول دﻳﻨاﻣﻴكﻲ وأﻣﻦ لﻠﺤوﺳﺒﺔ الﺴﺤاﺑﻴﺔ Dynamic Secure Access Control for Cloud Computing

إﻋﺪاد:

م. ﳎﺪ الﺸﻤاﱄ

إﺷﺮاف:

د.ﳏﻤﺪ ﺟﻨﻴﺪي

I

اﳌﻠﺨﺺ

II

ﰲ ظل التطور الكبﲑ اﳊاصل ﰲ ﳎال خزن البيات ومعاﳉتها ﻹضافة إﱃ التطور على شبكة اﻻنﱰنت، أصبح اﳊصول على اﳌعلومات ومصادرها أسرع وأرخص ومتوافر بشكل أكﱪ. هذا الوضع فتح اال أمام تطور جديد ﰲ عاﱂ اﳊوسبة والشبكات ونﻈﻢ التشﻐيل سلوب جديد هو اﳊوسبة الﺴﺤابية. ﰲ هذﻩ اﳌشروع نقدم حل ﳌشكلة مشاركة البيات بطريقة آمﻨة وديﻨاميكية على الﺴﺤابة، حيﺚ تتﻢ العملية بدون عملية إعادة تشفﲑ للمعطيات اﳌطلوب مشاركتها، كما أا ﻻ تتضمن عملية توزيع للمفاتيح على اﳌﺴتخدمﲔ كما ﰲ أﻏلﺐ اﳊلول اﳌطروحة حالياً. كما أن هذﻩ الرسالة تتضمن خطوة ﰲ اﲡاﻩ إﳒاز إدارة لﻨموذج التﺤكﻢ لوصول حﺴﺐ اﻻستخدام UCON. حيﺚ قمﻨا بدراسة تفويض مﺴتخدم ﳌﺴتخدم أخر ومﻨﺤه صﻼحية مشاركة بياته.

Abstract

With the huge development in the field of data storing and processing as well as the impending development of the internet, accessing information and resources is becoming faster, cheaper and more available. This has paved the way for a new development in the world of computing, networks and operating systems, which is “Cloud Computing”.

In this project, we present a solution for the problem of secure data sharing in a safe and dynamic way on Public Cloud. The process is done without re-encrypting the shared data or re-distributing keys as the case in most solutions so far. Also, include a step towards the completion of access control UCON, where we studied the ability for a user to delegate another user OWNER role and sharing data authorization.

III

Contents ﻗاﺋﻤﺔ ﻷﺷكال ...... VII ﻗﺎﺋﻣﺔ الجداول ...... VIII

اﻻﺧﺘﺼارات ...... IX الفصل اﻷول: ﻣقدﻣﺔ ﻋﺎﻣﺔ ﻋن الحوسبﺔ السحﺎبيﺔ ...... 1 1.1-ﻣقدﻣﺔ ...... 1 1.1.1-ﻣفﺎهيم ﻣﺗصﻠﺔ ...... 2

2.1-ﺑﻨﻴﺔ اﳊوﺳﺒﺔ الﺴﺤاﺑﻴﺔ ...... 3

1.2.1-الﻄﺒﻘات ﰲ اﳊوﺳﺒﺔ الﺴﺤاﺑﻴﺔ ...... 3

2.2.1-ﳕوذج اﻷﻋﻤال Business Module ...... 4

3.2.1-أنواع الﺴﺤاﺑﺔ ...... 5

3.1-ﺧﺼاﺋﺺ اﳊوﺳﺒﺔ الﺴﺤاﺑﻴﺔ Cloud Computing Characteristics ...... 6

4.1-ﺗﺼﻤﻴم ﻣﺮاﻛﺰ الﺒﻴات ...... 8

5.1-ﺗﺼور لﺪﺧول اﳌﻌﻬﺪ الﻌاﱄ ﳊوﺳﺒﺔ الﺴﺤاﺑﻴﺔ ...... 9

الﻔﺼﻞ الﺜاﱐ:ﺑﻌﺾ الﻘضا اﻷﻣﻨﻴﺔ ﰲ اﳊوﺳﺒﺔ الﺴﺤاﺑﻴﺔ ...... 13

1.2-ﻣﻘﺪﻣﺔ ...... 13

2.2-اﳌﺘﻄﻠﺒات الﻌاﻣﺔ ﰲ أﻣﻦ الﺴﺤاﺑﺔ ...... 14

3.2-الﻘضا اﻷﻣﻨﻴﺔ ﰲ ﺣالﺔ ال ﱪﳎﻴات ﻛﺨﺪﻣﺔ (Software as a Service (SaaS ...... 17

1.3.2-أمن اﳌعطيات Data Security ...... 17

2.3.2-أﻣﻦ الﺸﺒكﺔ Network Security ...... 18

3.3.2-ﲤوﺿﻊ الﺒﻴات Data Locality ...... 18

4.3.2-نﺰاﻫﺔ الﺒﻴات Data Integrity ...... 19

5.3.2-ﻓﺼﻞ الﺒﻴات Data segregation ...... 19

6.3.2-سة العلمات Data Confidentiality ...... 20

7.3.2-ﺳﺮﻳﺔ ﺗﻄﺒﻴﻖ الوﻳﺐ Web application security ...... 20

8.3.2-نقا الف ﻓﻲ الة اﻻﻓاضة Vulnerability in virtualization ...... 21

9.3.2-الﺘواﻓﺮﻳﺔ Availability ...... 22

10.3.2-الوصول إﱃ الﺒﻴات Data Access ...... 22

IV

الﻔﺼﻞ الﺜالﺚ:ﳕاذج الﺘﺤكم لوصول ﰲ اﳊوﺳﺒﺔ الﺴﺤاﺑﻴﺔ ...... 24

1.3-ﻣﻘﺪﻣﺔ ...... 24

2.3-ﺗﻌارﻳﻒ أﺳاﺳﻴﺔ ...... 24

3.3-نظام الﺘﺤكم اﻷﻣﻨﻴﺔ اﳌضﺒوﻃﺔ While Mandatory Access Control ...... 26

4.3-الﺘﺤكم لوصول الﺘﻘﺪﻳﺮﻳﺔ Discretionary Access Control ...... 26

5.3-نظام الﺘﺤكم لوصول اﺳﺘﻨادا ً إﱃ الﺪور (Role Based Access Control (RBAC ...... 27 1.5.3-ﻣﻘﺪﻣﺔ ...... 27

2.5.3-ﺗوصﻴﻒ RBAC ...... 28

3.5.3-ﻣكﺘﺒﺔ اﻹدراك ﳌﺨاﻃﺮ لﻨظام الﺘﺤكم لوصول ﻻﻋﺘﻤاد ﻋﻠﻰ اﻷدوار Risk Awareness Framework for RBAC ...... 30

6.3-نظام الﺘﺤكم لوصول ﺣﺴﺐ اﻻﺳﺘﺨﺪام Usage Control (UCON) Access Control ...... 36

1.6.3-ﻣﻘﺪﻣﺔ ...... 36

2.6.3-ﻣكوت ﳕوذج ABC Model Component UCON ...... 37

3.6.3-الﻨﻤاذج اﻷصﻠﻴﺔ ...... 41

الﻔﺼﻞ الﺮاﺑﻊ: ﻣﺸارﻛﺔ الﺒﻴات ﻋﻠﻰ الﺴﺤاﺑﺔ ...... 52

1.4-ﻣﻘﺪﻣﺔ ...... 52

2.4-الﻄﺮق الﺘﻘﻠﻴﺪﻳﺔ ...... 54

3.4-اﳊاﺟﺔ إﱃ نظام إدارة اﳌﻔاﺗﻴﺢ The need of Key Management System ...... 55

4.4-الﺘﺸﻔﲑ ﺑواﺳﻄﺔ الواصﻔات Attribute-Based Encryption ...... 55

1.4.4-ﺗﻌارﻳﻒ أولﻴﺔ ...... 56

5.4-الﺘﺸﻔﲑ ﺑواﺳﻄﺔ وﻛﻴﻞ Proxy Re-encryption: ...... 59

6.4-ﳕوذج الوصول ﺣﺴﺐ اﳋﺼوصﻴﺔ ﻣﻦ أﺟﻞ ﻣﺸارﻛﺔ الﺒﻴات ﰲ اﳊوﺳﺒﺔ الﺴﺤاﺑﻴﺔ Privacy Aware Access Control for Data 59 ...... Sharing in Cloud Computing Environments

الﻔﺼﻞ اﳋاﻣﺲ:ﺧﺪﻣﺔ ﻣﺸارﻛﺔ آﻣﻨﺔ دﻳﻨاﻣﻴكﻴﺔ لﻠﺒﻴات ﻋﻠﻰ الﺴﺤاﺑﺔ ...... 63

1.5-ﻣﻘﺪﻣﺔ ...... 63

2.5-ﻋﺮض اﳌﺸكﻠﺔ ...... 64

3.5-ﺗﺸﻔﲑ الﺒﻴات اﳌﻄﻠوب ﻣﺸارﻛﺘﻬا ﻋﻦ ﻃﺮﻳﻖ وﻛﻴﻞ Encoding The Sharing Data Using Proxy ...... 64

1.3.5-ﺗﺸﻔﲑ ﻣﻔﺘاح الﺘﺸﻔﲑ ...... 66

V

4.5-ﲢﻘﻴﻖ الوصول والﺪﻳﻨاﻣﻴكﻴﺔ ﺳﺘﺨﺪام ﳕوذج الوصول ﺣﺴﺐ اﻻﺳﺘﺨﺪام Achieving Authorized Dynamic Access using 68 ...... UCON

1.4.5-ﺗﻌارﻳﻒ ﻋاﻣﺔ ...... 68 69 ...... XACML -2.4.5

3.4.5- ﻣﻘﺪﻣﺔ ﻋﻦ ﳕوذج الوصول اﳌﻄﺮوح Overview Of The Proposed Access Control ...... 71

4.5.5-اﳊالﺔ اﻷوﱃ ﻃالﺐ الﺒﻴات Data Consumer ﻳﺮﻳﺪ اﳊﺼول ﻋﻠﻰ الﺒﻴات ...... 73

5.4.5-اﳊالﺔ الﺜانﻴﺔ والﺜالﺜﺔ إﺿاﻓﺔ صﻼﺣﻴﺔ إﱃ ﻣﺴﺘﺨﺪم ...... 74

6.4.5-اﳊالﺔ الﺮاﺑﻌﺔ: ﻣﺘاﺑﻌﺔ اﳌﺴﺘﺨﺪم أﺛﻨاء اﻻﺳﺘﺨﺪام ...... 76

الﻔﺼﻞ الﺴادس: الﺘﻄﺒﻴﻖ الﻌﻤﻠﻲ ...... 79

1.6-ﻣﻘﺪﻣﺔ: ...... 79

2.6-ﺑﻴﺌﺔ الﺴﺤاﺑﺔ اﳋاصﺔ Private Cloud Environment: ...... 79

1.2.6-ﺑﻨﻴﺔ الﺴﺤاﺑﺔ اﳋاصﺔ: ...... 80

2.2.6-ﺧﺪﻣات ال OpenStack ...... 81

3.2.6-ﺗوزﻳﻊ اﳋﺪﻣات ﻋﻠﻰ الﻌﻘﺪ ...... 82

3.6-ﳕوذج الﺘﺤكم لوصول اﳌﻘﱰح Proposed Access Control ...... 85

1.3.6-ﳐﻄﻂ ﻫم الﺼﻔوف ﰲ اﳋﺪﻣﺔ اﳌﻘﱰﺣﺔ ...... 86

2.3.6-ﻗواﻋﺪ اﳌﻌﻄﻴات ...... 87

اﳋاﲤﺔ ...... 90 الﻣﻠحق آ ...... 91

اﳌﻠﺤﻖ ب ...... 93

اﳌﺮاﺟﻊ ...... 94

اﳌﻠﺨﺺ ...... 96

VI

ﻗاﺋﻤﺔ ﻷﺷكال الشكل 1: مفاهيم مﺗﺻﻠﺔ بالحوسبﺔ السحابيﺔ ...... 4 الشكل 2: بنيﺔ ﺧاﺻﺔ بنموذج اﻷعمال ...... 5 الشكل 3: البنيﺔ الهرميﺔ لمركز البيانات ...... 8 الشكل 4: العﻼقﺔ بين المسﺗﺧدمين واﻷغراض واﻷدوار ...... 28 الشكل 5: مثال عن العﻼقات بين اﻷدوار ...... 30 الشكل 6: اﻹدراك بالمﺧاطر ﻓﻲ RBAC ...... 31 الشكل 7: اﻹدراك بالمﺧاطر الﺗقﻠيدي ﻓﻲ RBAC ...... 32 الشكل 8: اﻹدراك بالمﺧاطر ﻓﻲ RBAC بشكل غير مﺗكيف وﺗقديري non-Adaptive ...... 34 الشكل 9: اﻹدراك بالمﺧاطر الﺧاص ب RBAC والمﺗكيف مﻊ الزمن ...... 36 الشكل10 : مكونات النموذج الﺗحكم بالوﺻول UCON ABC...... 37 الشكل 11: النماذج اﻷﺻﻠيﺔ ﻓﻲ UCON ...... 41 الشكل 13: الوﺻول حسب الواﺻفات CP-ABE ...... 57 الشكل 14: مثال عن الوﺻول حسب الواﺻفاتCP-ABE ...... 57 الشكل 14: الوﺻول حسب الواﺻفات KP-ABE ...... 58 الشكل 15: نموذج الوﺻول حسب الﺧﺻوﺻيﺔ ...... 60 الشكل 16: الﺗشفير عن طريق الوكيل ...... 64 الشكل 17: بنيﺔ مﻠف ال XACML ...... 69 الشكل 18: بنيﺔ الﺻﻼحيات والعﻼقﺔ بين المفاهيم المﺧﺗﻠفﺔ ...... 71 الشكل 19: الحالﺔ اﻷولى طالب البيانات يريد الحﺻول عﻠى بياناﺗه ...... 72 الشكل 20: الحالﺔ الثانيﺔ والثالثﺔ ...... 75 الشكل 21: الحالﺔ الرابعﺔ المﺗابعﺔ ...... 76 الشكل 22: المﺗابعﺔ من ﺧﻼل طﻠب مزود الﺧدمﺔ لﻠﺗعديﻼت ...... 77 الشكل 23: بنيﺔ السحابﺔ الداﺧﻠيﺔ ...... 80 الشكل 24: مﺧطط الﺻفوف ...... 86 الشكل 25: مﺧطط قواعد المعطيات ل PIP ...... 87 الشكل 26: قواعد المعطيات لقسم الﺻﻼحيات ...... 88 الشكل Stream Vs. Block cipher :27 ...... 93

VII

قائمة الجداول الجدول 1: اﻻﺧﺗﻼف بين السحابﺔ العامﺔ والسحابﺔ الﺧاﺻﺔ ﻓيما يﺧص مؤسسﺔ ﺗعﻠيميﺔ ...... 10 الجدول2 : الﺧدمات المسﺗﺧدمﺔ Services In Use ...... 81 الجدول 3: الﺧدمات اﻷﺧرى ...... 82 الجدول 4: ﺧدمات نموذج الوﺻول ...... 86

VIII

اﻻﺧﺘﺼارات ال الصل القي DAC: Discretionary Access Control

ن ال الصل ح الور RBAC: Role Based Access Control

ن ال الصل ح اﻻسام UCON: Usage access CONtrol

مود خمة على الاة CSP: Cloud Service Provider

خمة إدارة الاسة PMS: Policy Management Service

الف اعاداً على الاصفات ABE: Attribute Based Encryption

لغة تصف ال الصل XACML: eXtensible Access Control Markup Language

نقة ت الاسة PEP: Policy Enforcement Point

نقة معلمات الاسة PIP: Policy Information Point

نقة اتاذ القار للاسة PDP: Policy Decision Point

معالج الاق CH: Context Handler

IX

This Page intentionally

Left Blank

X

الفﺻل اﻷول مقدمﺔ عامﺔ عن الحوسبﺔ السحابيﺔ

الفصل اﻷول مقدمة عامة عن الحوسبة السحابية نعرض ﰲ هذا الفصل مقدمة عامة عن اﳊوسبة الﺴﺤابية والبﻨية اﳋاصة ا ﻹضافة إﱃ الوظائف واﳋدمات الﱵ تقدمها كما نع رض بعض اﻷمﺜلة اﳌوجودة حالياً.

1.1-مقدمة في ل الر ال الاصل في مال خن الانات ومعالها اﻹضافة إلى الر في شة اﻻنن، أصح الل على العلمات أسع وأرخ وم ف ل أك. ها الضع فح الال أمام تر جي في عال السة والات ون الغل أسلب جي ه السة الابة، ح ي فه تف الارد مل العالات ومات قاع العات (CPU،Database Engine ) ع شة اﻹنن.

أتاح السة الابة ال م القرة على إدارة الارد م م ّمات وأجهة شة... الخ. ح أصح العامل معها وأنها حاس وح إمانات ضة هي ل أو أخ تع للارد النة للاة. هه الة وغها جعل شات صاعة المات تقل إلى السة الابة مل Microsoft،Google ، Amazon، أو تع هلة اﻷعال الاصة بها للاس مع بة الاة.

في بة الاة يج نع م مود المة Service Provider:

- مود الة الة وه ال قم الارد ح الع واﻻسام. - مود المة وال قم عالة لات الم وع الة ومال علها Google.

الفة اﻷساسة و ارء السة الابة ان في عام 1960 والي ان تل تق الهﻼت للائ على شل خمات، ملح الاة اسم على ناق واسع صف شات الATM في عام 1990، ول ل عام عد اسام ملح السة الابة لو المات ع اﻻنن عام 2006، وم ذل

ال م ها اللح على ناق تار واسع لصف أفار ملفة، ول عّف العه الي

1

الفﺻل اﻷول مقدمﺔ عامﺔ عن الحوسبﺔ السحابيﺔ

اﻷمي للعاي واللجا (National Institute Of Standards and Technology (NIST السة الابة ب:

- نذج لفعل وصل سهل وح الل لارد حاسة (مل الات، ال ّمات، أماك ت القات والمات) وال يح تفها وتها عة مع جه إدارة قلل وتاسل أقل مع مود المة.

1.1.1-مفاهيم مﺘﺼﻠة

السة الابة تقارن عادةً القات الالة، ل مها ته السة الابة ان معة[1]:

- السة الة Grid Computing: وهي نذج مزع وال ي مارد الة ﻹناز هف حسي مك. السة الابة ته السة الة أنها تف مادر مزعة بهف إناز أغاض معة على م القات. مع ذل فإن السة الابة تقم وذل اﻻسفادة م القات على مات عة (تقات وعاد) لق تقاس للارد وتها وحها ل ديامي.

- السة المة Utility Computing: وه نذج ع على تف الارد وتلة حاجات الائ مها ح الل. تق السة الابة الذج الاب م خﻼل اعاد تع للارد ح الل. - اﻻفاضة Virtualization: وهي الذج ال عل تفاصل العاد وقم بأم مارد افاضة

للقات. هه الاصة تل أساس السة الابة ح تل الارد م تع لل ّمات وﻻ داعي أن لع الن على تفاصل العاد إنا عف الارد المة له. - Autonomic Computing: وهي تعى باء أنة حاس ة لها القرة على ال الاتي Self-management. تث السة الابة عاً م خائه وذل م خﻼل تأم واجهات إدارة للائ ﻹدارة مارده الاحة ا تأقل ل أوتماتي مع زادة لات الن على الارد.

2

الفﺻل اﻷول مقدمﺔ عامﺔ عن الحوسبﺔ السحابيﺔ

2.1-ﺑﻨﻴﺔ اﳊوﺳﺒﺔ الﺴﺤاﺑﻴﺔ

1.2.1-الﻄﺒﻘات ﰲ اﳊوﺳﺒﺔ الﺴﺤاﺑﻴﺔ ل عام، بة السة الابة تق إلى أرع قات رئة هي[2]:

العاد الل/م الانات (Hardware\data centers) – القة اﻻفاضة – الات – القات

- العاد الل (Hardware\data centers):

وهي قة الادر الفائة الاصة الاة وت ممات فائة Servers، مﻻت routers ومﻻت switches ون اقة وت. قة العاد ت عادة في ماك الانات data centers والي ت عادة اﻵﻻف م المات مة في صفف وملة فا بها م خﻼل مﻻت ومﻻت وغها. إدارة هه القة ت إعادات العاد، إدارة حة الود، إدارة مادر الاقة وال.

- القة اﻻفاضة

وهي القة الئة في السة الابة، وهي تغي العاد الل وتقم إدارته وتعه، يج ال م اﻷدوات لف هه القة مل Xen ،VMWare.

- الات

قة الات تى فق القات الاقة وت على أنة الغل ومات القات applications Framework. الهف م هه القة ه تقلل العء في ت القات. مك ال Google قام ب مة مهها ت تقات ال الاصة الم End user مل تي الان على الة.

- القات

وهي أعلى قة في الهمة، ت على القات الي تُم الم فعلاً.

3

الفﺻل اﻷول مقدمﺔ عامﺔ عن الحوسبﺔ السحابيﺔ

الل الالي يضح الفاه اللة السة الابة.

الشكل 1: مفاهيم مﺗﺻﻠﺔ بالحوسبﺔ السحابيﺔ

2.2.1-ﳕوذج اﻷﻋﻤال Business Module في بة الاة، ل قة هي زن للقة الي تها، فقم ل قة بق ماردها على شل خمات أن تن مأجرة، وها ل أاً العاد الل. وعله تق المات الي تقمها الاة إلى ثﻼث أقام رئة:

بنامج مة (Software as a Service(SaaS، مة مة (Platform as a Service(PaaS، بة تة مة (Infrastructure as a Service (IaaS.

- بة تة مة (Infrastructure as a Service (IaaS:

وهي خمة ح العاد ح الل أملة علها Amazone EC2,GoGrid,Flexiscale.

- مة مة (Platform as a Service (PaaS:

وهي تقم مادر قة الات على شل خمة، ا ها أن تقم أجهة افاضة Virtual Machines ومات ت تقات ال أملة (مك Windows Azure-Google- .(Force.com

4

الفﺻل اﻷول مقدمﺔ عامﺔ عن الحوسبﺔ السحابيﺔ

- بامج مة Software as a Service:

وهي تقم القات على شل خمات ح الل ع شة اﻻنن أملة (Racksapce -SalesForce.com- .(SAP Business By Design

يضح الل (2) بة خاصة بذج اﻷعال، أن تعل ل مها ل مفل ول أغل الات تقمها

معة، ملSalesforce، Google وتعى هه الات الشكل 2: بنيﺔ ﺧاﺻﺔ بنموذج اﻷعمال ب مود الة الة أو مود الاة Infrastructure provider أو Cloud Provider.

3.2.1-أنواع الﺴﺤاﺑﺔ للاة ثﻼث اناع ل مها لها إابات وسلات:

- ساة عامة Public Cloud:

تقم ماردها وخماتها لعامة الم، لها العي م الات الة للم مها عم اسار أرس الال اﻷولي على الة الة. ل الا اﻷمة واﻹجاءات العة لل مها هي إح القاا اللة، اﻹضافة إلى ملات الة على سلك الم داخل الاة؛ وه ما قلل م الفعالة في ع اﻷحان.

- الاة الاصة Private Cloud:

وت ُعف أاً الاة الاخلة، وهي ت م أجل شة أو مة مدة، وم أه ماتها الة الامة على اﻷداء والثقة واﻷم، ومع ذل تق لنها ت ال ّمات. أما اﻹابات فهي ة كنها مغلقة ومثقة م ل الم، ف أن تلع دور جهة ثالة وسة ب الاة العامة والم End users.

5

الفﺻل اﻷول مقدمﺔ عامﺔ عن الحوسبﺔ السحابيﺔ

- الاة الهة Hybrid Cloud:

هي مج م الذج الاق في ماولة لعالة القر بها، ح إن جءاً م الة الة عل في ال الاصة، با عل الء القي في ال العامة، وهي تف رقاة وأماً أش على بانات القات مقارنة ال العامة، ا أنها تف ماً م الونة م لها. في الان اللي، ما ازل الل م اً على تهل تزع المة، ا أن ت الاة الهة يل تياً دققاً ﻷفل تزع للارد ب الاب.

- الاة الاصة اﻻفاضة Virtual Private Cloud:

وهي أح اللل اليلة لفل الاة العامة ع الاصة، وتن في أعلى الاة العامة الي تح

لل ّر إناء قاعه الاصة مل الار الار Firewall، ح قم ال ّرون بي ساساته اﻷمة. وهي تل انقاﻻً سلاً للات م بة تة خاصة إلى بة تة عامة م خﻼل إناء قة وسة افاضة. 3.1-ﺧﺼاﺋﺺ اﳊوﺳﺒﺔ الﺴﺤاﺑﻴﺔ Cloud Computing Characteristics السة الابة تف العي م الات الارزة والي نلها فا يلي[2]:

- معدة اﻹار Multi-tenancy:

في بة الاة، تن المات ملة م قل عة مودي ومجدة في م بانات واح، مﻼت اﻹدارة واﻷداء تن مة ب ل م مود المة والة الة. يم الزع القي الاب تي الولات ح ي مول ل قة على وائف قه. مع ذل يج صعة في فه الفاعﻼت والاسل ب أصاب العﻼقة.

- تع الادر الة Shared resource pooling:

ي م مودو الة الة العي م الادر والي ي حها ل ديامي والالي تم م ونة أك.

6

الفﺻل اﻷول مقدمﺔ عامﺔ عن الحوسبﺔ السحابيﺔ

- الصل إلى الة م ل مان وح الزع الغافي Geo-distribution and :ubiquitous network access

ﻷ جهاز مل ة اﻻنن أن ف م خمات الاة ساء ان حاس مل، IPAD، هاتف ذي...الخ. اﻹضافة إلى ذل فإن مع الاات الجدة حالاً تألف م معة م ماك الانات الجدة في العي م الاقع في جع أناء العال.

- المة الجهة Service oriented:

تقم الاة خماتها ح اتفاقة م المة (Service Level Agreement (SLA وتفاوض مع الن على أساسها، لل تع ضانة ال SLA م اﻷهاف الهة الي تعى الاة للل علها.

- تف الارد ل ديامي Dynamic resource provisioning:

ح للم ح الادر ح الل ع اﻷسلب القل وال ان يل ح الادر الاجة العى اللة.

- ت ذاتي Self-organizing:

اعار أن الادر تُ وتُر ح الل، فإن إدارة الادر تن ل أتماتي تف عة مع زادة الل ونقان الاجة.

- الع على اساس الفعة Utility-based pricing:

تقم السة الابة على نذج دفع ح اﻻسام، وم أن يغ الع م خمة إلى أخ. على سل الال ان أج مود SaaS م IaaS آلة افاضة virtual machine معة ح الة المة. تقم ع الات ك VKernel بمات لاع الات على تقل لفة اﻻسام للارد تغلها وهي ل ضورة.

7

الفﺻل اﻷول مقدمﺔ عامﺔ عن الحوسبﺔ السحابيﺔ

4.1-ﺗﺼﻤﻴم ﻣﺮاﻛﺰ الﺒﻴات م الانات ه الء ال في ت الاة وال على ماك الاقة وال، وعادةً يألف

م اﻵﻻف م اﻷجهة مل الﻻت وال ّ ﻻت وال ّ مات. ال الل لهه الة أم الغ اﻷهة ﻷنه سف يث ل على أداء القات واﻹناجة في بة الاة.

في الل (3) يضح مال ع الة الهمة ل الانات.

الشكل 3: البنيﺔ الهرميﺔ لمركز البيانات

يألف م ثﻼث قات القل والع والصل.

Access Layer - قة الصل ت على ال ّمات الي ت ضع على شل صفف ملة مع عها ة، عادةً يضع في الف 20 إلى 40 مم، ل صف مصل على مل عة Gbps 1. ل مل يصل إلى مل في قة الع بصلة عة Gbps 10. Aggregation Layer - قة الع تم عادةً وائف مهة مل خمة القع، وتازن الل، الن اﻻحاي، حاﻻت الفل...الخ. - قة القل Core Layer تقم الاصل مع مﻻت قة الع وتم اﻻتال بل مع م الانات وتقم اﻹضافة إلى ذل إدارة حة الود م ولى م الانات.

8

الفﺻل اﻷول مقدمﺔ عامﺔ عن الحوسبﺔ السحابيﺔ

5.1-ﺗﺼور لﺪﺧول اﳌﻌﻬﺪ الﻌاﱄ ﳊوﺳﺒﺔ الﺴﺤاﺑﻴﺔ مسة تعلة العه العالي لها اﻻسفادة م السة الابة ء م اساتة تلجا العلمات. وفي ها الاق فإن فائ السة الابة في العل فة عامة تل في الالي:

- الاح للال أو ع هة الر للعل م خﻼل حااته الة م الل، العل، الة... الخ، لل ع ملفاته وتها م خﻼل الاة. - في اﻹمان اسام الاة في علات الر والعل. - وضع القات الاصة السة العلة (أداة مل Drop Box). - تح للم إناء الات الاصة به. - القام علة تث الخل واحة Single sign in ت الم م الصل إلى جع المات الح له الصل إلها (وها على سل الال ﻻ ناج لعلة تث دخل للصل في ل مة نل بها أح المات الجدة في العه العالي). - انفاح الﻼب على ال م اللجا الية.

إن الف وال والعل في الاة يل م السات العلة الغل على تات بة الاة فا يعل الفاه، الصة، القاا الاصة العاق الاكل اﻷمة سء اﻻسام، والارد الة الاحة ود اركاته وعادة الهلة والي ت الاسات اﻷمة العة في السة، والمات الية الي سف ت السة إضافها وتاملها مع المات الجدة.

يضح الول (1) اﻻخﻼف ب الاة العامة والاة الاصة فا مسة تعلة:

الﺴﺤاﺑﺔ الﻌاﻣﺔ الﺴﺤاﺑﺔ اﳋاصﺔ اﻹدارة مقدم اﳋدمة اﳌﺆسﺴة التعليمية. الوصول اﻻشﱰاك ﳏدودة ومتاحة فقﻂ للطﻼب وأعضاء هيﺌة التدريﺲ والعاملﲔ اﻹداريﲔ فقﻂ.

9

الفﺻل اﻷول مقدمﺔ عامﺔ عن الحوسبﺔ السحابيﺔ

الرقابة ﻻ يوجد ضرورة الرقابة وفقاً ﳌتطلبات اﳌﺆسﺴة التعليمية وﳕاذج الوصول. الجدول 1: اﻻﺧﺗﻼف بين السحابﺔ العامﺔ والسحابﺔ الﺧاﺻﺔ ﻓيما يﺧص مؤسسﺔ ﺗعﻠيميﺔ بهف نقل الة الة في العه العالي إلى بة الاة الارة يج ثﻼث خات رئة:

اﻷهاف الدة

 الء علة اكاف ف للسة الابة أن تف العه العالي فا يعل اسفادة المات الالة م بة الاة، ساء ان مات ملسة الال واله أو م اا غ ملسة تت الفعالة والفاءة والرج والونة في العالة وال...الخ.  ت واجهات الا مع الم ع اﻻنن له م اﻻسفادة م المات فعالة أك.

إعاد مانة الاة

 إن علة إضافة ع خمات العه على الاة سف تد إلى ت ع الات، وذل سف ح علة ت خمات إضافة للﻼب والهة الرة واﻹدارة في العه العالي وحى ﻷولاء اﻷمر.  إن تق الاة لع المات يل تلفة ازئة، على سل الال في حالة تق العه العالي الة مة(PaaS) ت فعالة العاد الم. تت هه المات اب تلفة، الق ال مه الن لها.

تامل خمات الاة

- تي الق اللفة لق الامل ب القات وقاع الانات والمات الجدة (إن أم) في العه العالي مع تلجا الاة لق خمات أك وأسع. وتأم الانات أثاء تها ض القات والمات الجدة.

اه الانات الة ع الة هي:

10

الفﺻل اﻷول مقدمﺔ عامﺔ عن الحوسبﺔ السحابيﺔ

1- سﻼت الﻼب (شون الﻼب). 2- ماد الر م خﻼل مقع Eclass ال ب Moodle. 3- معلمات الالة. 4- معلمات الدعات. 5- الاتة.

اه القات الجدة على الة هي:

1- بنامج الدعات. 2- الاتة والالة. 3- ال. .Eclass -4 5- الع. .Email -6 .(File Sharing) Samba -7 .Intranet WebSite -8 .Virtual Hosting -9 - تلل اللل الابة القحة

ح حل السة الابة للم الئ الصل إلى الانات الة وال اﻹلوني وملفاته ومارها والعام والع .... الخ م أ مان، ا ح له الصل إلى خمة اﻻنن في حال ان اﻻتال م داخل العه. اﻹضافة إلى تفف لفة العاد الهل. أغل المات في العه سف ي تلها ع الاة الاصة اﻻفاضة.

11

الفﺻل اﻷول مقدمﺔ عامﺔ عن الحوسبﺔ السحابيﺔ

This Page intentionally

Left Blank

12

الفﺻل الثانﻲ بعض القضايا اﻷمنيﺔ ﻓﻲ الحوسبﺔ السحابيﺔ

الفصل الﺜاﱐ

ﺑﻌﺾ الﻘضا اﻷﻣﻨﻴﺔ ﰲ اﳊوﺳﺒﺔ الﺴﺤاﺑﻴﺔ نقدم ﰲ هذا الفصل عرض ﻷهﻢ اﳌشاكل واﳌتطلبات اﻷمﻨية ﰲ اﳊوسبة الﺴﺤابية مع بعض اﳊلول اﳌقﱰحة ﲤهيداً للدخول ﰲ اﳌشكلة اﻷمﻨية موضوع البﺤﺚ.

1.2-ﻣﻘﺪﻣﺔ قل نقل الات أو الم اﻷعال اتاه الاة عله الأك ما يلي:

- "هل أسع الصل إلى الانات في الق ال أحاجها؟". - "هــــل أســــع حاــــة بانــــات الــــة مــــ الــــق ومــــ الــــم غــــ الــــح لهــــ ومــــ مود المة نفه؟".

كاــــة ــــ علــــى الــــة تيــــ وفهــــ اﻷجــــاء الــــي تــــاج للاــــة ومــــا هــــي الــــائج فــــي حــــال عــــم الصـــــل إلهـــــا عـــــ ـــــ اﻻننـــــ فـــــة مـــــ الـــــم. ـــــا ـــــ علـــــى الـــــات أخـــــ القـــــ الـــــافي لقي الا الي الازفة على اساسها.

ولـــــ ـــــل عـــــام علـــــى الـــــات ســـــال مـــــود الـــــمات علـــــى الـــــاة اﻷســـــلة الالـــــة قـــــل العاقـــــ معه:

1 - كف ي حاة م الانات الفائي؟ 2 - أي ي ت الانات؟ 3 - ماهي تقات الف المة؟ 4 - كف ي الق م هة الم؟ 5 - مــــــ هــــــ الفــــــن الجــــــدون لــــــ مــــــود المــــــة والــــــي لهــــــ صــــــﻼحة الصــــــل إلــــــى بانات الة؟

13

الفﺻل الثانﻲ بعض القضايا اﻷمنيﺔ ﻓﻲ الحوسبﺔ السحابيﺔ

6 - هل تع القان والعاي العالة؟ 7 - م عي الﻼحات للصل إلى الانات؟ 8 - هل حل أ خق أمي ساقاُ؟ 9 - ماهي إجائات القار الي ل؟ 10 - ماهي إجاءات اﻻسعادة الي ل؟ 11 - ماذا ث في حال إنهاء العاق؟

فـــــي حـــــال قـــــرت شـــــة مـــــا إنهـــــاء العاقـــــ مـــــع مـــــود المـــــة، فعلـــــى اﻷخـــــ توـــــ الـــــة اﻹجائـــــات العة لل وت الة م س باناتها هلة وسﻼسة. 2.2-اﳌﺘﻄﻠﺒات الﻌاﻣﺔ ﰲ أﻣﻦ الﺴﺤاﺑﺔ ـــــــل عـــــــام مـــــــلح اﻻمـــــــ يـــــــ ثﻼثـــــــة مفـــــــاه أساســـــــة هـــــــي[4]: الـــــــة Confidentiality، الاهة Integrity، الافة Availability.

- الة (Confidentiality (C:

الـــــة تـــــل علـــــى أنـــــه وحـــــه الـــــمن أو الـــــ الـــــح لهـــــ ووحـــــه فقـــــ، القـــــاد ر ون علـــــى الصــــل إلــــى الانــــات الــــة. وهــــي تعــــي عــــم مقــــرة جهــــة ثالــــة غــــ مــــح لهــــا مــــ الصــــل إلــــى بانات الم النة في الاة.

ـــــ أن تــــــن بانــــــات الـــــم علــــــى مــــــّمات معـــــدة، أو حــــــى ــــــ أن تـــــن مزعــــــة بــــــ عــــة مــــود خمــــة. هــــا اﻷمــــ يــــد إلــــى زــــادة علــــات الصــــل إلــــى الانــــات مــــا يــــد إلــــى زــــادة نة حل ت في هه الانات.

فــــــي عــــــ الــــــاﻻت، الــــــن ﻻ يــــــ ــــــود المــــــة نفــــــه وهــــــي الالــــــة اﻷســــــأ علــــــا وــــــ داد تعقــــــ

العلــــــة عــــــما ــــــن تــــــ الانــــــات مــــــزع بــــــ أكــــــ مــــــ مــــــود أو مــــــّم وفــــــي أكــــــ مــــــ مقــــــع جغافي.

الــــــل اﻷنــــــ لــــــا ســــــ هــــــ الــــــف، عــــــ اﻷخــــــ اﻻعــــــار نــــــع الــــــف (ماثــــــل symmetric أو غــــــ ماثــــــل asymmetric ... الــــــخ) اﻹضــــــافة إلــــــى ــــــل الفــــــاح الــــــم وعلــــــة إدارة الفــــــاتح

14

الفﺻل الثانﻲ بعض القضايا اﻷمنيﺔ ﻓﻲ الحوسبﺔ السحابيﺔ

فـــــي حـــــال الـــــف الاثـــــل. إن ذلـــــ عـــــ علـــــى مـــــود المـــــة اﻹضـــــافة إلـــــى الـــــم نفـــــه، فقـــــ قـــــم علـــــة تـــــف للانـــــات قـــــل تلهـــــا عـــــ الـــــة وهـــــي الالـــــة الـــــي ﻻ يـــــ بهـــــا الـــــم مـــــ مود المة.

فـــــي حالـــــة اﻹجـــــار العـــــد للـــــارد ـــــ إدارة قاعـــــ العـــــات والعـــــاد الـــــل، ـــــ الـــــل علـــــى العلمـــــات النـــــة علـــــى اﻷجهـــــة الـــــ الـــــل مـــــ خـــــﻼل الانـــــات الغـــــة ـــــ ضـــــعف فـــــي ن علـــــــة اﻹدارة ســـــــاًء عـــــــ الـــــــي أو اﻹ ازلـــــــة، وفـــــــي عـــــــ الـــــــاﻻت الـــــــي تـــــــ الانـــــــات النـــــــة حاســـــــة ـــــــ للـــــــم الـــــــي لـــــــيه نـــــــة اﻻخـــــــاق أن قمـــــــا اســـــــار مـــــــاحات ـــــــة غـــــــة ماولة اسجاع لهه الانات م العاد الل النة علها ساقاً.

ســـــة العلمـــــات فـــــي الـــــاة متـــــة إلـــــى حـــــ ـــــ علـــــة الثـــــ مـــــ الـــــم. علـــــة القـــــ مـــــ الـــــم فـــــ الـــــال أمـــــا مـــــﻼت ـــــة تعلـــــ الصـــــل إلـــــى اﻷغـــــاض والـــــي تـــــ الــــــواك، اﻷجهــــــة، المــــــات ... الـــــــخ. الــــــعف فــــــي علــــــة القـــــــ مــــــ هــــــة الــــــم فـــــــح الـــــــال علـــــــى ضـــــــعف فـــــــي علـــــــات الـــــــح مـــــــا يـــــــد إلـــــــى مـــــــاكل فـــــــي الصـــــــة وتـــــــ للانات.

- الاهة (Integrity (I:

الاهــــة تعــــي أن اﻷغــــاض ــــ تعــــيلها فقــــ مــــ قــــل الهــــات الــــح لهــــا أو الــــق الــــح لهــــا. م ان تن هه العلة متة الانات، المات او العاد الل.

مـــــمي الـــــاة ـــــ أن نـــــا علــــى د ارـــــة علـــــة الاهـــــة فـــــي الـــــاة، فالـــــف يـــــم الـــــة، ول ﻻ يج ضانات على عم حوث تغات في باناته النة في الاة.

فـــــــي بـــــــة الـــــــاة ـــــــ أن لـــــــ مـــــــود المـــــــة العلمـــــــات الافـــــــة عـــــــ الـــــــم الـــــــ لـــــــ الصـــــل إلـــــى بانـــــات معـــــة، مـــــ أجـــــل تقـــــ تقـــــار واضـــــة لـــــي المـــــة عـــــ علـــــات العـــــيل الاصــــلة علــــى الانــــات ومــــ أجــــل علــــة ـــــف أ علــــة وصــــل أو تعــــيل غــــ مــــح لهــــا علـــــى الانات.

15

الفﺻل الثانﻲ بعض القضايا اﻷمنيﺔ ﻓﻲ الحوسبﺔ السحابيﺔ

تـــــــ علـــــــة ســـــــاحة الـــــــأ وعلـــــــة اﻻســـــــجاع تـــــــ شـــــــ الاهـــــــة Integrity مـــــــ اﻷخـــــــاء الارئـــــة هـــــي انقـــــاع المـــــة نـــــة فـــــل فـــــي أحـــــ نـــــ الـــــغل علـــــى الـــــاة. ـــــ علـــــى مـــــود المــــة الأكــــ مــــ الزــــع الــــاص المــــة والعـــــل الــــام لﻸجــــاء اللفــــة لفــــاد الفــــل الامــــل بهـــــا وماولــــة اســــعادة المــــة الــــعة الــــة. ــــال عــــ الزــــع هــــ وجــــد مــــك قاعــــ الانــــات فــــي أماك تلف ع أماك تاج الانات نفها.

ــــــ أن تــــــاف ســــــار لارثــــــة Disaster Recovery: حــــــى فــــــي حالــــــة عــــــم معفــــــة الــــــم أمــــاك تاجــــ باناتــــه، ــــ أن قــــم مــــود المــــة للــــم اﻹجائــــات الــــي ســــف يعهــــا فــــي حالــــة الـــــارث. ـــــ الأكـــــ مـــــ أن مـــــود المـــــة قـــــم علـــــة تـــــار للانـــــات ـــــ ـــــ للـــــم اسعادة باناته في مة يف علها مقاً.

الافة Availability:

الافــــة تعــــي أنــــه ــــ الصــــل إلــــى جــــع مــــارد الــــة واســــامها فــــي أ وقــــ ــــان. ــــ أن تــــن الافــــة مقــــة أو دائــــة، ــــا أن عــــم تققهــــا ــــ أن ــــن مقــــ أو دائــــ. تعــــ DOS Attacks هــــــات انقــــــاع المــــــة، فــــــل الهــــــات أو الــــــارث العــــــة هــــــي مــــــ أهــــــ الهيــــــات الي تهف هه الة.

الهـــــــف الئـــــــي مـــــــ الافـــــــة فـــــــي نـــــــ الـــــــاة، هـــــــ الأكـــــــ مـــــــ ان الـــــــم يـــــــن مـــــــ اسامها ل الق وم أ مان.

تافــــة الــــ تــــ اســــارة الــــ علهــــا ولــــ حــــل خــــق أمــــي مــــا. ــــا أن هــــا الفهــــم ــــل

أــــا العــــاد الــــل والــــ ــــ ان يقــــى جــــاه لﻼســــام بــــاًء علــــى لــــ الــــم. علــــى مــــود المة أن الافة في العلمات ومعالها للن ح الل.

مــــــ الــــــع علــــــة تيــــــ الهــــــات الــــــي تــــــهف الافــــــة ولــــــ أغلهــــــا ذو ــــــاع شــــــي مــــــل .DDOS (Distributed Denial Of Service)

الافــــــة علــــــى مــــــ القــــــات فــــــي حالــــــة المــــــات مــــــة SaaS تــــــ قــــــاء المــــــة مــــــفة علـــــى مـــــار الـــــاعة، وـــــ ذلـــــ حـــــاﻻت تغـــــ بـــــة هـــــه القـــــات لـــــل ـــــ اعـــــاد القـــــات

16

الفﺻل الثانﻲ بعض القضايا اﻷمنيﺔ ﻓﻲ الحوسبﺔ السحابيﺔ

العـــــدة عـــــ بـــــاء هـــــه القـــــات وتزعـــــه علـــــى عـــــة مـــــّمات واعـــــاد تـــــازن الـــــل فـــــا بهـــــا، كا اعاد ساسات ع الفل في أح ال ّمات. 3.2-الﻘضا اﻷﻣﻨﻴﺔ ﰲ ﺣالﺔ الﱪﳎﻴات ﻛﺨﺪﻣﺔ Software as a Service (SaaS) ــــع علــــى الـــــم الأكــــ مــــ أن باناتـــــه مفــــلة عــــ بانـــــات اﻷخــــ، ــــا أنـــــه يجــــ صـــــعة فــــــي الــــــل علــــــى الــــــانات اللــــــة. ــــــا فــــــي عــــــ اﻷحــــــان قــــــم الــــــم علــــــة تــــــي لماته على الاة لل القام إجائات أمة ت علة ته الانات الﻼزمة.

ل عام اﻷخ ع اﻻعار القاا الالة ع علة ت لنامج مة[3]: 1.3.2-أمن اﳌعطيات Data Security

فــــــي مــــــود الSaaS، ُفــــــ بانــــــات الــــــم فــــــي مــــــ الانــــــات الجــــــدة فــــــي الــــــاة، لــــــل ــــــ علــــــى مــــــود المــــــة ان يــــــ إجائــــــات آمــــــان إضــــــافة لاــــــة بانــــــات ــــــاقي الــــــم مــــــ خوقــــــات نــــــة نقــــــا الــــــعف الجــــــدة فــــــي الــــــ الــــــاص الــــــم، ــــــ أن يــــــ ذلــــــ أا علات تف معقة للانات.

ـــــ أن ـــــغل عــــــ الـــــم نقـــــا ضــــــعف فـــــي نــــــذج بـــــة مـــــ الانــــــات وـــــلا علــــــى تــــ ح غــــ مــــوع إلهــــا لــــل ــــ القــــام عــــة اخــــا ارت للقــــ مــــ أمــــ العــــات النــــة فــــي م بانات الود:

.Cross-site scripting [XSS] - .Access Control Weaknesses - .OS an SQL injection flaws - Cross-site request forgery [CSRF] - Cookie manipulation - Hidden field manipulation - Insecure storage - Insecure configuration -

17

الفﺻل الثانﻲ بعض القضايا اﻷمنيﺔ ﻓﻲ الحوسبﺔ السحابيﺔ

أ نقـــــــا ضـــــــعف تــــــــج خـــــــﻼل اﻻخـــــــا ارت الــــــــاقة ـــــــ اســـــــغﻼلها للــــــــل علـــــــى صــــــــﻼحة للصل إلى بانات حاسة وذل أن يد إلى خائ مالة ة.

2.3.2-أﻣﻦ الﺸﺒكﺔ Network Security ــــ ضــــان ــــل الانــــات الــــي تــــف عــــ الــــة، مــــ أجــــل تفــــاد أ تــــ لانــــات حاســــة. هــــا يـــ إجــــاء العيــــ مـــ تقــــات الــــف علــــى الانـــات الفقــــة فــــي الــــة مـــل SSL Secure Socket Layer وTransport Layer Security TLS.

علـــــى ســـــل الـــــال فـــــي خـــــمات مقـــــع أمـــــازون Amazon Web Service تـــــم قـــــة الـــــة Network Layer الاـــة لهـــات تقلـــة مـــل (IP ،MITM (Man In The Middle Packet sniffing، Port scanning،Spoofing ، ... الـــخ. ـــا انـــه يـــ الصـــل إلـــى القـــع م خﻼل تف SSL encryption.

علــــى الــــغ مــــ ذلــــ ــــ للــــم اكــــاف نقــــا ضــــعف فــــي الــــة والقــــام علــــة تــــ علــــى اﻹــــــا ارت علــــــى الــــــة، لــــــل ــــــ القــــــام اﻻخــــــا ارت الالــــــة لقــــــ مــــــ أمــــــ الــــــة فــــــي حالــــــة :SaaS

- تلل اﻹا ارت. - إدارة نقا العف في اللة Session management weakness. - إعادات قة ال SSL.

أ نقـــــا ضـــــعف تجـــــ فـــــي اﻻخـــــا ارت الـــــاقة ـــــ أن تُـــــغل للـــــل علـــــى جلـــــات Session، م خﻼلها الل على ع العلمات الاصة الم.

3.3.2-ﲤوﺿﻊ الﺒﻴات Data Locality ـــــــ أن ـــــــن للـــــــم عـــــــ الفـــــــات علـــــــى أمـــــــاك تاجـــــــ الانـــــــات الاصـــــــة بهـــــــ، حـــــــ تاجـــــ الانـــــات فـــــي حالـــــة نـــــذج ال SaaS فـــــي أمـــــاك ﻻ عفهـــــا الـــــم. علـــــى ســـــل الـــــال مع دول أما الالة تانع خوج باناتها خارج دولها حاسة هه الانات.

18

الفﺻل الثانﻲ بعض القضايا اﻷمنيﺔ ﻓﻲ الحوسبﺔ السحابيﺔ

مــــــ الاحــــــة القاننــــــة، تجــــــ مــــــلة الهــــــة الــــــي تعــــــد إلهــــــا مــــــولة القــــــ الانــــــات فــــــي حالــــــة الاجـــــــة إلـــــــى ذلـــــــ. فـــــــي الـــــــاذج اﻵمـــــــة مـــــــ SaaS تـــــــح للـــــــم إمانـــــــة اخـــــــار مـــــــان تـــــــ الانات الاصة ه.

4.3.2-نﺰاﻫﺔ الﺒﻴات Data Integrity ناهة الانات م القا الاسة في ال، وهي سهلة اﻹناز في حالة قاعة معات وحة، ح إنـــــازهـــــا باســـــــــــــــــــة قد قاعـــــ العـــــات والﻼت الي تع خـــــــــــــــــــائ ACID (Atomicity، (Consistency, Isolation and Durability ل قاع العات الي تع خـــائ ال ACID تف ناهة الانات.

فـــــي حالـــــة الـــــ الزعـــــة يجـــــ عـــــة قاعـــــ معـــــات وعـــــة تقـــــات، وللفـــــا علـــــى الاهـــــة ـــــ أن تعــــــالج الــــــﻼت الــــــي تــــــأتي مــــــ عــــــة مــــــادر بانــــــات ــــــل صــــــح وذلــــــ يــــــ حالــــــة فــــــل الل. إناز ذل بجد مي خاص الﻼت.

5.3.2-ﻓﺼﻞ الﺒﻴات Data segregation فـــــــي بـــــــة الســـــــة الـــــــابة، ـــــــ للـــــــم تـــــــ بانـــــــاته مـــــــ خـــــــﻼل تقـــــــات قـــــــمها ال SaaS والـــــ نهـــــا فـــــي مضـــــع مـــــد. ـــــ لـــــم اســـــغﻼل نقـــــا ضـــــعف فـــــي النـــــامج أو وضــــع ــــد معــــ فــــي الــــام والــــل علــــى صــــﻼحة وصــــل إلــــى بانــــات مــــم أخــــ. علــــى مـــــــود المـــــــة فـــــــي الســـــــة الـــــــابة إجـــــــاء علـــــــة فـــــــل لانـــــــات الـــــــم لـــــــ فقـــــــ علـــــــى ال الفائي ول على م ال أاً.

اﻹجاءات الالة أن تق م فل الانات لود المة في السة الابة وهي:

- حق SQL. - الق م الانات. - ال اﻷم.

ــــــ اســــــغﻼل أ نقــــــة ضــــــعف فــــــي اﻻخــــــا ارت الــــــاقة للــــــل علــــــى صــــــﻼحة والصــــــل إلــــــى بانات حاسة.

19

الفﺻل الثانﻲ بعض القضايا اﻷمنيﺔ ﻓﻲ الحوسبﺔ السحابيﺔ

6.3.2-سة العلمات Data Confidentiality - للســــــة الــــــابة انعاســــــات مهــــــة علــــــى ســــــة العلمــــــات الــــــة اﻹضــــــافة إلــــــى معلمـــــــات اﻷعال والعلمات المة.

- تغ عة سة ع العلمات ع ف الم لعلمات معة لود المة.

- عــــــ تــــــ أ معلمــــــات شــــــة أو ســــــة، فــــــإن تضــــــع الانــــــات وقــــــة تهــــــا وتــــــفها تن مضع تاؤل م الاحة القاننة.

- ت الانات وتضعها له دور في سة العلمات وخصها.

-يجــــــ العــــــادة ساســــــات يعهــــــا مــــــود المــــــة فــــــي حالــــــة الــــــائ والققــــــات الف ارلــــــة أو القاننــــــة، ف له أن فح ع معلمات شة للم ح ساسة دها الود.

7.3.2-ﺳﺮﻳﺔ ﺗﻄﺒﻴﻖ الوﻳﺐ Web application security SaaS أحــــ أهــــ اللــــات فــــي تقــــات ال هــــ أن تعــــل علــــى مــــفح وــــ، ُقــــم النــــامج مــــة عــــ ــــ تــــ وــــ. لــــل ا خــــق أمــــي فــــي هــــا الــــ ــــ أن ُيــــث علــــى النــــامج، وهــــا اﻷسلب أن يث ذل على ل الم لها النامج على الاة.

ﻻ لــــــف اﻷمــــــ فــــــي تــــــ الــــــ SaaS عــــــ غــــــه مــــــ القــــــات العادــــــة ولــــــ تقــــــى مــــــلة الوقـــــــــات علـــــــــى مـــــــــ الـــــــــة والســـــــــائل القلـــــــــة لعالهـــــــــا مـــــــــل الـــــــــائ الـــــــــار Firewall، وأنـــــة ـــــف الوقـــــات IDS. ُحـــــ عـــــة تقـــــات جيـــــة فـــــي مـــــال أمـــــ تقـــــات الـــــ ولهـــــا غ فعالة على م الة.

تــــــل الهــــــات علــــــى القــــــات والــــــامج والــــــمات 39% مــــــ الهــــــات الــــــي تــــــد إلــــــى فقــــــان معلمـــــــات والـــــــل علـــــــى معلمـــــــات مـــــــخ بهـــــــا. ـــــــال علـــــــى اﻻخاقـــــــات عـــــــ ـــــــ تقـــــــات الــــــ لــــــيا SQLIntrusion. القــــــات العضــــــة لــــــل هــــــه الهــــــات تــــــل خــــــ ــــــ علــــــى الانات الجدة خلف القات وعلى بانات الاة ل عام.

20

الفﺻل الثانﻲ بعض القضايا اﻷمنيﺔ ﻓﻲ الحوسبﺔ السحابيﺔ

نعض فا يلي أول ع تهيات تل خ على تقات ال:

- حق الد مل حق SQL,OS,LDAP. .Cross-site scripting - - ك الﻼحات واللات Broken authentication and session management. - مشات على عاص غ أمة insecure direct object references. .Cross-site forgery - - إعادات أم خاة Security misconfiguration. .Insecure cryptographic storage - - الفل في ض الصل ع Failure to restrict URL access URL. - حاة غ افة لقة القل insufficient transport layer protection. - تل غ صح invalidated redirects an forwards.

8.3.2-نقا الف ﻓﻲ الة اﻻﻓاضة Vulnerability in

virtualization الـــــة اﻻفاضـــــة أحـــــ اهـــــ النـــــات فـــــي بـــــة الـــــاة. ولـــــا انـــــ عـــــة أغـــــاض تعـــــل علـــــى نفـــــ الــــة الفائــــة فــــ تقــــ العــــل بهــــا، هــــا اﻷمــــ لــــ يــــ حــــى اﻷن ــــل امــــل مــــا فــــح عــــة قاا أمة.

اﻷمـــــ اﻷخـــــ هـــــ أنـــــه وجـــــ العيـــــ مـــــ الوقـــــات فـــــي بـــــامج الـــــة اﻻفاضـــــة الائـــــة VMM (Virtual Machine Monitors)، مــــ أن يــــد ذلــــ إلــــى مــــ تــــ عــــ الــــم مــــ تاوز حاج أمة معة أو اكاب صﻼحات معة على حاس مم أخ.

علــــى ســــل الــــال: فــــي بنــــامج Microsoft Virtual PC ــــ خــــق ــــ أن ــــح لــــم ضف أن غل شفة خاصة ه على الاس الف أو على حاس مم ضف أخ.

21

الفﺻل الثانﻲ بعض القضايا اﻷمنيﺔ ﻓﻲ الحوسبﺔ السحابيﺔ

9.3.2-الﺘواﻓﺮﻳﺔ Availability ت ال SaaS أن يم المة على مار الـــــــــــــاعة، ها يل أن تن الة قابلة للر على م ال والة الة ح اللات.

هات (DDoS(Distrusted Denial of Services أح الهات الي تــهف الافة في الــاة، هاك ع القات لعها مل synchronous cookies و connection limiting.

10.3.2-الوصول إﱃ الﺒﻴات Data Access وهي اللة اﻷمة مضع ال، سف نعض في الفل القادم علة الصل م قل الم إلى الارد في الاة.

22

الفﺻل الثانﻲ بعض القضايا اﻷمنيﺔ ﻓﻲ الحوسبﺔ السحابيﺔ

This Page intentionally

Left Blank

23

الفﺻل الثالث نماذج الﺗحكم بالوﺻول ﻓﻲ الحوسبﺔ السحابيﺔ

الفصل الﺜالﺚ

ﳕاذج الﺘﺤكم لوصول ﰲ اﳊوﺳﺒﺔ الﺴﺤاﺑﻴﺔ نقدم ﰲ هذا الفصل عرض ﻷهﻢ ﳕاذج التﺤكﻢ لوصول ﰲ اﳊوسبة الﺴﺤابية ﰲ حالة SaaS والﱵ أتت كﺤل ﳌشكلة الوصول ﻏﲑ اﻷمن إﱃ الﺴﺤابة وذلﻚ ﲤهيداً لعرض اﳌشكلة قيد البﺤﺚ واﳊل اﳌقﱰح ﰲ الفصول القادمة.

1.3-ﻣﻘﺪﻣﺔ اح اه القاا اﻷمة في بة الاة، هي علة الصل إلى الانات م أصاب الﻼحات فق. فض ان تن الاة مودة بذج ت الصل ق ساسة امة معة تاف احاجات مود المة وت مع علات الصل الغ مح بها وتع الم م الصل إلى أغاض ﻻ ل ن صﻼحة الصل إلها. أن نذج ال الصل ماعة الم وتققه لو الﻼحة والو الي تفضها الة. نعض فا يلي اه الاذج المة حالاً ع فقة العار اﻷساسة.

الهف الئي م ناذج ال الصل، ه تأم نام حاة وتق م الﻼحات لود المة ومال الانات وذل م أجل حاة العلمات م أ خوقات أمة غ ال ع علات الم. 2.3-ﺗﻌارﻳﻒ أﺳاﺳﻴﺔ العاص اﻷساسة:

Subject - الفاعل : وه الع ال ُل الم أو الامج الي تارس نا مع مل الا مع الفاعل اﻷخ أو العاص اﻷخ (على سل الال: الم ن، العالات، الامج processes، processors،users ). - اﻷغاض Objects: وهي العاص الي ي ت الاات علها (اللفات، اﻷجهة، الامج processes، devices،files ).

24

الفﺻل الثالث نماذج الﺗحكم بالوﺻول ﻓﻲ الحوسبﺔ السحابيﺔ

- القق Rights: وهي الاحة او معة م الاحات الي لها الفاعل ل نا على اﻷغاض مل (القاءة والاة واﻹناء والف execute، write، read،create ).

الهف م نذج الصل Access Control ه:

-الع Prevention: مع اﻻنهاكات في الاسات اﻷمة.

- الف Detection: و الف ع اﻻخاقات على م الاسة اﻷمة، والف ع نقا العف الي تد إلى هه اﻻخاقات، والأك م أن ساسات الع فعالة.

- اﻹصﻼح Recovery: و وقف الهم على الة، وتقي وصﻼح اﻷضار، وتأم اسار المات أثاء الهم، إصﻼح نقا العف والهم الاد.

ناذج اﻷم

اﻷم معد الات

- تضع اﻷغاض والفاعل Objects،Subjects ات معة مل: فائ الة، س جاً، س، مفح Open، Confidential، Secret،Top Secret .

- كل فاعل ُعى حقق م اﻷم الاص ه. اﻷم معد اﻷاف

- كل اﻷغاض الصل إلها م قل الفاعل. - أخ الفاعل Subject صﻼحات ح قاع داخلة في اﻷغاض.

الادقة Authentication

وه الق م هة اﻷشاص أو النامج. مال:

Challenge/Response - Biometrics - Public Key Infrastructure (PKI)/digital certification - User ID/Password pairs -

25

الفﺻل الثالث نماذج الﺗحكم بالوﺻول ﻓﻲ الحوسبﺔ السحابيﺔ

الا

- نقا العف Vulnerability: العف القابل للف و أضار. - الهي Threat: قة ﻻكاف نقا العف. - الهم Attack: وه اسغﻼل نقة ضعف م قل خ مع. 3.3-نظام الﺘﺤكم اﻷﻣﻨﻴﺔ اﳌضﺒوﻃﺔ While Mandatory Access Control قم ها الذج علة ض للاسات اﻷمة[5] وت ها الذج بذج Bell-LaPudula 1973. وه قم على اساد عﻼمات أمة لل م اﻷغاض والفاعل Objects،Subjects متة ل تللي ح الة Top Secret، Secret، Confidential،Unclassified . م خاص ها simple property،security property-* ، ومها م أجل ض اﻹجاءات اﻷمة العة، ح تم اﻷولى م أجل مع أ إجائة م الصل إلى معلمات مفة ل أعلى. والانة ع اﻹجائات م الاة على أغاض ذات تف أقل.

ي اسام الاص الاق م أجل تي ساسات للصل إلى اﻷغاض ح ق ا ارت الاة الي يها مال الانات. اساء اﻷغاض العة فأن ها الذج ﻻ ع م الاذج واسعة اﻻنار وذل لعة تصف مع ساسات الصل. 4.3-الﺘﺤكم لوصول الﺘﻘﺪﻳﺮﻳﺔ Discretionary Access Control [5] ع الذج الاب ح ها الذج للفاعل بقي الاحات الاد مها للفاعل اﻷخ لﻸغاض الي لنها. ي ذل م خﻼل اسام مففة الصل Access Matrix والي تن الر فها عارة ع الفاعل با الاول هي عارة ع اﻷغاض. نقا القاع بها هي عارة ع الاحات الي لها الفاعل م أجل الغض.

ول رغ ذل فإن ح هه الففة ه م متة ( )Ο، وفي الققة أن مع الفاعل ل له ساحة على مع اﻷغاض ها اذا ل هاك ملة في ح ال والالي فإن ال في الففة

26

الفﺻل الثالث نماذج الﺗحكم بالوﺻول ﻓﻲ الحوسبﺔ السحابيﺔ

الاقة ه ملف وأخ ال م الق، لل ت اسالها للة م ساحات الصل خاصة ل غض على شل ملف.

- سﻼسل ال الصل Access Control Lists

وهي عارة ع جول مت ل غض ع في أسه على الفاعل مع الاحة القابلة له م أجل ها الغض فق. هه الﻼسل هي العة ل رسي في Unix. اعار ل عد م مففة الصل الاقة ع سللة ت الصل مقلة. يل ما س م نام الغل قل الاح للم الصل إلى غض م ال ض اللة الاصة ه (الغض) للق م الاحات.

رغ ما س فإن زادة عد اﻷغاض والفاعل ان ل ماكل على صع اﻷداء.

5.3-نظام الﺘﺤكم لوصول اﺳﺘﻨاداً إﱃ الﺪور Role Based Access Control (RBAC) 1.5.3-ﻣﻘﺪﻣﺔ الــــور هــــ عــــارة عــــ معــــة مــــ الــــاحات، غالــــاً مــــا تــــ قــــ ا ارت الصــــل حــــ اﻷدوار الــــي تــــــــ للــــــــم حــــــــ مــــــــقعه فــــــــي الســــــــة. وهــــــــي تــــــــ تفــــــــﻼت العــــــــل والــــــــولات والـــــهﻼت. علـــــى ســـــل الـــــال فـــــي الـــــفى ـــــ تقـــــ اﻷدوار بـــــ الضـــــ واﻷـــــاء واﻹدارـــــ ونف اﻷم الة إلى ب.

Transactions ـــــــــ تصـــــــــف الـــــــــور إجائـــــــــات علـــــــــى أغـــــــــ اض تُـــــــــ إلـــــــــى مـــــــــم أو عـــــــــة مـــــــم، ـــــــال ـــــــ إلـــــــى الـــــــ ســـــــاحة "إجـــــــاء زـــــــارة لـــــــ" (إجائـــــــة Transaction)، بــــا دور الـــــﻻني هــــ "علـــــة بــــع الـــــواء للــــ" ولـــــ مــــ ســـــاحاته "وصــــف دواء" لـــــه. مـــــي الام ه ال قم علة إدارة العﻼقات ب اﻷدوار وحفها واسادها.

Transactions ي الور إجائة أو عة إجائات ، ا ُي الور مم أو عة مم، الل(4) يضح العﻼقة ب اﻷدوار واﻷغاض والم.

27

الفﺻل الثالث نماذج الﺗحكم بالوﺻول ﻓﻲ الحوسبﺔ السحابيﺔ

الشكل 4: العﻼقﺔ بين المسﺗﺧدمين واﻷغراض واﻷدوار

تت اﻹجائات أغاض وع الم الصل إلى اﻷغاض م خﻼل هه اﻹجائات. تع اﻷدوار اللفة م أجل إعاء ساحات مة لها مع صﻼحات مة أخ لل مها.

2.5.3-ﺗوصﻴﻒ RBAC [6] م أجل الفاعل (الم) Subject، الور ال ه الور ال مه الم حالاُ:

AR(s:subject)={the active role for subject s}

أن أك م دور لم مع:

RA(s:subject)={authorized roles for subjects}

كل دور ح إجاء مع أو عة إجائات:

TA(r:role)={transactions authorized for role r}

ع الم أن ُفعل إجائة ما ونم لها الاع (exec(s,t وال أخ قة true اذا اساع الفاعل تف اﻹجائة.

(: , : ) = 1.2.5.3-الﻘواﻋﺪ الﺮﺋﻴﺴﻴﺔ ﰲ RBAC 1-اساد اﻷدوار

للم أن قم بفعل إجائة إذا وفق إذا ت اساد إله أدوار

∀: , : ,((, )⇒ ()≠∅)

28

الفﺻل الثالث نماذج الﺗحكم بالوﺻول ﻓﻲ الحوسبﺔ السحابيﺔ

علة تل الخل ﻻ تع إجائة transaction، أما غها م ناات الم داخل الام تع إجائات تاج إلى ساحات م خﻼل اﻷدوار.

2-تخ الور

الور ال الالي للم أن ن م له ا يلي:

∀: , () ⊆ ()

ت هه القاعة مع القاعة اﻷولى، عم ت الم م الل على أدوار غ مخ له بها.

3-تخ اﻹجائات

ع الم أن ُفعل إجائة ما إذا ان الور ال حالاً للم. ∀: , : ,((, )⇒ ∈ (())

نام ال الصل RBAC ﻻ قم الق م ساحة الم الصل إلى عاص الانات، ح ل إلها الم م خﻼل إجائة Transaction ت له الصل لﻸغاض الي ت الانات له على أدوار معة.

4- إعادة تع اﻹجاء Transaction لل د ارسة ساحة الم الصل إلى اﻷغاض ا يلي:

∀: , : , : , (, ) ⇒ ((), , , )

ال (access(AR(s),s,t,x إلى ساحة وصل الم Subject إلى الغض o م خﻼل العاملة t في ال x وال أخ أخ الق (read,write,append).

كال على اسام القاعة ال اعة لل في الفى أن ُيود احات قاءة واة على ملف وصفات مع، با اللي ﻻ ل س ساحة قاءة على ها اللف.

2.2.5.3-اﻹدارة اﻷﻣﻨﻴﺔ اﳌﺮﻛﺰﻳﺔ ﻻﻋﺘﻤاد ﻋﻠﻰ RBAC RBAC منة ح أنها تأخ همة السة ة وساسة أمة، وأح أه ماق ها الذج ه اﻹدارة النة فها. ل عام عما ت اﻹجائات Transactions إلى اﻷدوار فإنها تقى ثابة خﻼل زم ل

29

الفﺻل الثالث نماذج الﺗحكم بالوﺻول ﻓﻲ الحوسبﺔ السحابيﺔ

ناً وتقى مهة اﻹدارة هي علة إعاء وس اﻷدوار م الم. عما اف مم جي نقم إضافه إلى دور مع وعما يقل إلى عل ما نقم اﻷدوار مه وعائه أدوار جية تاس مع عله الي.

أن يث الور صﻼحات دور أخ وأن اف إله صﻼحات أخ. الل الالي مال ع العﻼقات معدة اﻷدوار.

الشكل : مثال عن العﻼقات بين اﻷدوار 5

لل الل على اﻷدوار الاصة ل م الرب والعالج. بف الق ﻻ ع العالج أو الرب الل على صﻼحات لﻺجائات الاصة ال.

3.5.3-ﻣكﺘﺒﺔ اﻹدراك ﳌﺨاﻃﺮ لﻨظام الﺘﺤكم لوصول ﻻﻋﺘﻤاد ﻋﻠﻰ اﻷدوار

Risk Awareness Framework for RBAC [7] ت ت نام ال الصل اﻻعاد على اﻷدوار لقم علة إدارة ﻹساد اﻷدوار إلى الم باء على مقار ال الاج م امﻼكه لﻸدوار، فقم اﻷدوار م الم ع تاوز ال عة مع.

30

الفﺻل الثالث نماذج الﺗحكم بالوﺻول ﻓﻲ الحوسبﺔ السحابيﺔ

1.3.5.3-ﻣكوت اﻹدراك ﳌﺨاﻃﺮ ل RBAC

الشكل 6: اﻹدراك بالمﺧاطر ﻓﻲ RBAC

ه الل(6) النات الاصة اﻹد ارك الا الاص ب RBAC اعاداً على اﻹسادات اللفة.

 اساد دور-مم (User-Role Assignment (URA

كا م معا ساقاً الور ه عارة ع معة م الاحات، المن اللفن يون مهام ملفة في السة، لل ت الاحات اللفة لﻸدوار اللفة. ال في ب، ساحات الي تلف ع ساحات الاس. أن ن اﻻساد دور-مم ل واعي للا م أجل تقلل خ اساد الم ﻷدوار غ مح له بها.

 اساد ساحة-دور (Permission-Role Assignment(PRA

الاحات ت لﻸدوار اللفة واﻷدوار ت للم. أن ل تع ساحات معة في دور وح خ على الام، ا أن ل اساد دور مع على ساحات معة لم ل دور أخ له ساحات أخ معة خ على الام. لل أن ن علات اساد الاحات لﻸدوار ض دائة العي الا.

 اللات Sessions

31

الفﺻل الثالث نماذج الﺗحكم بالوﺻول ﻓﻲ الحوسبﺔ السحابيﺔ

قم الم إناء جلة أو عة جلات وتفعل دور أو عة اﻻدوار. الان ال قم الم مه إناء اللات قم بل اﻷخار فعلى سل الال تلف الا في حال فح اللة م الل أو م ال. أن تج اللات ما ح الان والمان أاً. إضافة إلى ذل اﻷدوار الفعالة خﻼل جلة معة أن تن مع عها مر خ على الام. ولل أن تن اللات مضع د ارسة لاحة الا.

اﻹضافة إلى هه النات الاقة فإن الة الهمة لﻸدوار أن تن خة تاك معة الاحات م اﻷدوار الفعة.

2.3.5.2-أنواع اﻹدراك ﳌﺨاﻃﺮ 1-اﻹد ارك القل

الشكل 7: اﻹدراك بالمﺧاطر الﺗقﻠيدي ﻓﻲ RBAC

يضح الل(7) بة إد ارك الا القل. ح يج قد معة لل جء، مهة ال Risk-Engine فها هي علة تفعل القد الاسة م أجل ل جء URA (User Role Assignment) -PRA Permission Role Assignment) -Sessions) ح ال الجد.

يج نع م الاسات العة هي:

32

الفﺻل الثالث نماذج الﺗحكم بالوﺻول ﻓﻲ الحوسبﺔ السحابيﺔ

- SSOD static separation of duty وهي ساسة معة م أجل مع أدوار معة ماقة أن ت إلى مم ما. - DSOD Dynamic Separation of Duty وهي ساسة معة م أجل مع أدوار معة ماقة م أن تف خﻼل جلة معة.

لل قد ال SSOD تُ مع ال URA با قد ال DSOD تُ مع الSession وهي م شل (role activation/deactivation)

اﻹضافة إلى القد الاب وجت د ارسات على قد ت عم إساد ساحات ماقة لور مع، أ ي رها مع ال PRA.

2-قاس اﻹد ارك الا Quantified Risk-awareness

ُ ل ال قة ن ال ذو قة اﻷعلى ه اﻷخ أماً. تاع علة تقي قة ال الام على اتاذ العلات الورة. يضح الل (8) الة الﻼزمة لعلة ال اعاداً على قة اﻷخار.

م أجل ل جلة للم تقي قة لعة ال risk_theshold، ُ لل ساحة قة لل وا ًء على هه الق قة لل للور الت بهه الاحات اسام علات تع وتقي معة، ث م خﻼل مقارنة قة ال الاتة مع قة ال القرة لللة قم الام اتاذ قار تفعل-عم تفعل الور.

33

الفﺻل الثالث نماذج الﺗحكم بالوﺻول ﻓﻲ الحوسبﺔ السحابيﺔ

الشكل 8: اﻹدراك بالمﺧاطر ﻓﻲ RBAC بشكل غير مﺗكيف وﺗقديري non-Adaptive

ت ح عة مقارات م أجل حاب قة ال لل م الور والاحات. عض الل(8) عة معامﻼت م أجل تقي قة عة ال الاص اللة الاصة الم.

م أجل اللات، فإن حاب عة ال الاص الم ع لعة عامل.

تق علة القارب ﻹد ارك ال إلى نع non-adaptive, adaptive.

- Non-adaptive approach ال غ الف مع الم:

ه في الل (8) عاص نذج إد ارك ال ال non-adaptive الاص اللات. عة ال risk_threshold تُ ل ديامي م أجل ل جلة للم خﻼل إنائها. ها الاب م أن يأث عة عامل م أن تغ قه م مم ﻷخ.

في الل الاب نام إدارة اﻹد ارك ال risk-engine على تاع ه risk_threshold_estimation ال قم بقي قة عة ال risk-threhold لل جلة عما ي إنائها م قل الم. ا على تاع risk_threshold_assignment وال قم إساد قة عة ال م أجل ل جلة لم.

34

الفﺻل الثالث نماذج الﺗحكم بالوﺻول ﻓﻲ الحوسبﺔ السحابيﺔ

يج تاع أخ ها permission_risk_estimation وpermission_risk_assignment م أجل تقي وساد قة ال الاص الاحة. تاع role_risk_calculation وال قم اب قة ال م أجل ل دور اعاداً على الاحات الة لها الور.

خﻼل اللة في RBAC، ل الم تفعل دور أو عة أدوار لﻼسفادة م ساحة أو عة ساحات، قم الام بفعل دور مع م خﻼل القارنة ب قة ال لل دور مع قة عة ال الاصة اللة.

خﻼل اللة أن تن قة ال لل دور أقل م عة ال الاصة اللة. ر ال أن

قة عة ال الاص اللة تُقر ع إنائها وﻻ تغ خﻼلها.

ول ماه الة لURA، يج للور عة خ risk-threshold ي تقيها م خﻼل عة معاي

مل عد الم الي سف ُ إله ها ال ور والق م الم ال عل ه،.. الخ، وا ًء علها ي إساد الاحات للور ﻻ تاوز قة خ الاحة قة العة القرة للور.

- Adaptive Approach ال الف مع الم:

في ها الذج تن جع الق القرة للأ قابلة للغ، يج عة تاع وامج لعلة ماقة وف أ نا غ أو مفاجئ في الام.

ع الاح في ف اخاق مع قم الام ل أتماتي علة خف لقة العة القرة م أجل إقافه. في ع الاﻻت قم الام علة رفع للعة م أجل ع الاحات اﻹضافة عما ن ال مف. ه الل الاب عاص نذج adaptive وال يل وجد بنامج لاقة ناات الم في اللة وآلة ف ناات غ اعادة.

35

الفﺻل الثالث نماذج الﺗحكم بالوﺻول ﻓﻲ الحوسبﺔ السحابيﺔ

الشكل 9: اﻹدراك بالمﺧاطر الﺧاص ب RBAC والمﺗكيف مﻊ الزمن

إذا اكف الام أ خوقات غ اعادة فإنه قم ل أتماتي علة خف لقة عة ال -risk threshold م أجل إقاف أ نا غ عي ولل يج في مك ال الاع risk_threshold_re_estimation وال قم بقي قة جية للعة، ا الك تاع risk_role_deactivation م أجل إقاف نا أ مم. يج في الق الالي تصفات للاع الاقة.

أن الام على تاع automated_role_revocation و automated_permission_revocation م أجل س الور و الاحة م الم والور الت. 6.3-نظام الﺘﺤكم لوصول ﺣﺴﺐ اﻻﺳﺘﺨﺪام Usage Control (UCON) Access Control 1.6.3-ﻣﻘﺪﻣﺔ م خﻼل ها الذج ال بصل الم م خﻼل لاته على اﻷغاض واسامه لها، ح ي فض صﻼحات على الصل. ها الذج يم ماقة نا الم وه الء ال يق

36

الفﺻل الثالث نماذج الﺗحكم بالوﺻول ﻓﻲ الحوسبﺔ السحابيﺔ

اقي ناذج ال الصل الاقة. نذج UCON نذج مفاهي حى تاره وﻻ يج ت علي حالي، ا أنه ﻻ يج إدارة للذج حالاً. ل على الذج اﻷساسي ب ، وال سحه ﻻحقاً الفل. 2.6.3-ﻣكوت ﳕوذج ABC Model Component UCON [9]ين الذج م ثان مات أساسة هي:

الفاعل subject-واصفات الفاعل attributes of Subject – اﻷغاض – واصفات اﻷغاض attributes of Object – القق rights -الﻼحات Authorizations – اﻻلامات oBligations – الو Conditions.

الفاعل واﻷغاض هي مفاه ق س شحها في ناذج ال الصل RBAC وهي ممة حالا في Subject Rights ها الذج قلها م ناذج ال الصل. القق ُّفعل الصل م قل الفاعل إلى الغض Object ب خاص مل القاءة أو الاة. مفهم القق rights ه تقاً ماه للجد في ناذج الصل الاقة.

الشكل10 : مكونات النموذج الﺗحكم بالوﺻول UCON ABC

ه الل الاب أن اتاذ قار اﻻسام Usage Decision ي اتاذه باء على معامﻼت الفاعل ومعامﻼت اﻷغاض والﻼحات والو واﻻلامات Conditions، oBligations،Authorization في وق ل اﻻسام.

37

الفﺻل الثالث نماذج الﺗحكم بالوﺻول ﻓﻲ الحوسبﺔ السحابيﺔ

1.2.6.3-الﻔاﻋﻞ وواصﻔاﺗﻪ Subject and Subject Attributes وه ان (مم، بنامج، خمة ... الخ) يت باصفات وارس على اﻷغاض ناات معة (قاءة UCON أو اة) ﻼحة معة. م أجل ال في ، تل الفاعل م. ُ عف الفاعل باصفات وهي تل ق ارته وخائه الي تخل في علة اتاذ القار الصل. أن ن للفاعل user name معف وح. اسام اس مم خﻼل الح. أملة ع الاصفات: ُمعّف، اساء معة، أدوار memberships ،roles، ساحات أمة ...الخ.

العة: هي عة مم له صﻼحات مة، الور ه ساحة معة أو عة ساحات ت إلى مم أو معة م الم، أن ن للعات أو اﻷدوار بة همة.

كال في تقات الارة اﻹلونة، الاب اﻹلوني ه أح اﻷغاض أن أح الاصفات أن ن سعه 10$ في حالة القاءة فق أو 15$ في حال الخ.

تن ع الاصفات غ قابلة للغ immutable إﻻ م قل مي ل الﻼحة لل، با لع الاصفات أن تن قابلة للغ mutable ح نا الم على اﻷغاض.

في UCON أن ن الفاعل ا يلي:

- مهل (consumer subject (CS: وارس الم فها حقه في اسام الغض (مال: قار اب إلوني، مع إلى ملف صتي mp3، الخ). - مودي (Provider Subject (PS: وه الم ال يم غض مع ول حقق عله rights (مال: ات إلوني، مزع إلونة، الخ). :Indentifee subjects - وه الفاعل ال قم نفه على أنه غض أن على معلمات سة (مال: م في

عادة صة)، أن ي UCON على ها الفهم با ًء على ملات الام.

38

الفﺻل الثالث نماذج الﺗحكم بالوﺻول ﻓﻲ الحوسبﺔ السحابيﺔ

2.2.6.3-اﻷغﺮاض وﻣواصﻔاا Object and Object Attributes اﻷغاض هي نات ل إلها أو مها الفاعل الي لن حقق rights معة. لﻸغاض واصفات مقلة خاصة اﻷغاض أو متة القق rights والي ي اسامها في علة اتاذ قار الصل access (أو اﻻسام).

الاصفات التة اﻷغاض هي الق، ساحات اﻷدوار role Permissions، عﻼمات أمة security Object classes classes Labels ، الفف ، الخ. صفف الغض ت ُم لف اﻷغاض م أجل ت الﻼحات authorization على صف مع أو أك ح ملات الام.

اﻷغاض في UCON هي إما حاسة أو غ حاسة أماً، وفي اﻷولى ت اﻷغ اض ُمعّفات خاصة أن يج عها ماكل أمة في حال اسامها ل خائ. أن تن اﻷغاض مقة أو أصلة، القة هي ناتة ع الصل أو مارسة أح الﻼحات على الغض اﻷصل، مال تغل ملف مسقى mp3 قم إناء ملف تل Log، ها اﻷخ ه الغض ال وعامل معاملة الغض العاد وملف ال mp3 ه اللف اﻷصلي.

3.2.6.3-اﳊﻘوق Rights القق هي اﻻما ازت الي تح للفاعل Subject الصل إلى الغض، وألف م معة م الاع (Indenifiee، Provider(PR)،Consumer(CR تُ الفاعل م ذل. القق تق إلى عة أقام (Rights(IR. في UCON هه القق ﻻ تع على مففة معة.

الاحات، اﻻلامات، الو (Conditions(C)، oBligations(B)،Authorization(A هي

معامﻼت القار والي تخل في تاع اتاذ قار اﻻسام (أو الصل) والي با ًء علها ل الفاعل إلى الغض ل مع مل read أو write.

4.2.6.3-الﺼﻼﺣﻴات Authorization م خﻼلها ي تقي فا إذا الفاعل (الال request) ح له بف ال اللب right على الغض م خﻼل تاع تقية. م خﻼل تق واصفات الفاعل وواصفات اﻷغاض وال اللب requested right والقارنة مع قاع معة للﻼحات.

39

الفﺻل الثالث نماذج الﺗحكم بالوﺻول ﻓﻲ الحوسبﺔ السحابيﺔ

الﻼحات فض أن تن مجدة قل تفعل الpreA) requested right) وخﻼل اﻻسام (onA). preA وهي الاع الي تف قل اتاذ قار اﻻسام، onA وهي الاع الي ي تفها خﻼل علة اﻻسام وذل ل م أو ل مقع في فات زمة مدة.

ع الﻼحات تل تعيل واصفات اﻷغاض objects أو الفاعل subjects قل وخﻼل وع اﻻسام، مال على ذل ع المات الأجرة تل تعيل قة الاب اﻻئاني لان عم اﻻسام الائ ع القة الصدة لل.

5.2.6.3-اﻹلﺰاﻣﻴات oBlications وهي تاع تقم الق م ملات على الم ملها قل وخﻼل اﻻسام. اﻹلامات أن تن قل اﻻسام (preB) أو خﻼل اﻻسام (preB .(onB وه الاع الي تأك م ملء الم لع العلمات اللة وع قة true أو false قل اتاذ قار الصل واسام الغض، ال

أن ُل م الم الافقة على تل نااته قل اﻻسام أو الافقة على ع اﻻتفاقات. onB وهي تاع تم اسار اسفاء الم لع الو خﻼل اﻻسام ل م أو مقع خﻼل فات زمة معة، مال ق فض على الم ماهة إعﻼن مع خﻼل اﻻسام.

أن تم تاع اﻹلامات واصفات ل م الفاعل والغض لي ع الو اﻹجارة، و تعيل هه الاصفات والي أن تث على ق ا ارت اﻻسام القلة.

الي الﻼحة: أنه تُم الاصفات م أجل تي الو اﻹجارة، في حالة pre نقم بي الافقة أو عمها على ل الصل أما في حالة on فه د اﻻسار أو وقف اﻻسام.

6.2.6.3-الﺸﺮوط (Conditions (C وهي الاع الي تقم بقي الة الجدة والام ومقارنها مع واصفات الفاعل أو الغض وع قة true في حال الاف أو false في حال عم الاف. وعلى ع ما س ﻻ تقم هه ال اع بعيل ق واصفات الفاعل أو الغض.

ع الو الاج ماعاتها هي الق اللي، الان، الالة اﻷمة لام الغل (high ،normal under attack،alert ...).

40

الفﺻل الثالث نماذج الﺗحكم بالوﺻول ﻓﻲ الحوسبﺔ السحابيﺔ

تلف الو ع اﻹلامات والﻼحات ح في اﻷولى ت على شو الة والام وﻻ تت ل ماش باصفات الفاعل أو الغض ع الﻼحات واﻹلامات الي تقم بقي ق الاصفات للفاعل الال أو الغض اللب وتعيلها في ع الاﻻت.

3.6.3-الﻨﻤاذج اﻷصﻠﻴﺔ Authorization,Conditions,oBiligations,Attributes of [8]باًء على النات الان الاقة ( Subjects, Attribute of Objects , Subjects, Objects)

اﻹضافة إلى الاحل المة الي ي خﻼلها تف اﻻسام Pre، Ongoing،Post تصف مة framework تع ع العلات القة الاصلة.

الشكل 11: النماذج اﻷﺻﻠيﺔ ﻓﻲ UCON

الل الاب ل اﻷنا اللفة لUCON في حال وجد اﻷنا C، B،A ﻼً على حا ومعة، في ال اﻷول ن ليا فق ن واح م اﻷناABC في ال الاني ن ال UCON اجاع ن معاً، أما في ال اﻷخ ن اجاع اﻷنا الﻼثة.

فا يلي سعض الفاصل لصف الة في حالة ل ن على حا لج ليا الة اللة م تع اﻷنا ا ذنا ساقاً.

-1.3.6.3 ناق اﻷن الة م خﻼل ماحل تف اﻻسام

41

الفﺻل الثالث نماذج الﺗحكم بالوﺻول ﻓﻲ الحوسبﺔ السحابيﺔ

pre-Authorization Mode -1.1.3.6.3 هه الحلة هي الالة الي ت قار الصل Access. الﻼحات تع ال اﻷساسي في ناذج

الصل القلة والي ُع علها في اتاذ القار الاص الصل.

في نذج ق إلى ثﻼث أجاء:

 في حالة ان معامﻼت الفاعل والغض غ قابل للعيل.

 في حالة تعيل العامﻼت قل اتاذ قار الصل.

 في حالة تعيل العامﻼت ع اتاذ قار الصل.

ﻻ يج ح ﻻ ي أ تعيل خﻼل اتاذ قار الصل إلى اﻷغاض.

ل نخل في الفاصل القة لعلة تعيل العامﻼت

تع 1: نذج النات الالة:

S,O,R,ATT(s),ATT(o)(Subjects, Objects,Rights,subject Attributes,object - Attributes) (, , )⇒ ((), (), ) - - pre-authorization preA وه تـــاع قم ـــاســـــــــــــــــام معـــامﻼت الفـــاعـــل subject والغض object والقق rights في علة اتاذ قار الصل إلى الغض. - الاع ( , ,) فا اذا ان الفاعل ح له ارسة ال على الغض. - علة preA غ افة للصــــــــل وهي شــــــــ ﻻزم وغ اف، وذل لجد عامل ثانة تخل في علة اتاذ القار الصل.

تع 2: نذج النات الالة:

- ه ماب للذج الاب ول ُاف تاع العيل الالة: preUpdate(ATT(s)),preUpdate(ATT(o)) o وهي تاع اخــارــة تقم ــالعــيــل على معامﻼت ل م الفاعل والغض قل الصل.

تع 3: نذج ماب للذج و على تاع العيل الالة:

42

الفﺻل الثالث نماذج الﺗحكم بالوﺻول ﻓﻲ الحوسبﺔ السحابيﺔ

- ((postUpdate(ATT(s)),postUpdate(ATT(o وهي تاع اخــــــارــــــة تقم ــــــالعــــــيــــــل على معامﻼت الفاعل والغض ع الصل.

نعض ع اﻷملة ع ت ناذج الخل القلة م خﻼل

مال DAC :1

وAccess ) ACL في هه الالة تن معامﻼت الفاعل واﻷغاض هي معّفات (أو معة م العّفات) (Control List . ACL هي قائة م العّفات والقق القابلة لها. الاع preA قم الق فا إذا كان العّف الاص الفاعل وال اللب مجدان في ACL الاص الغض. DRM pay-per-use with a prepaid credit ﻣﺜال 2: خمة م الفع اسام

ح اﻻتال عما تن قة اﻻئان الجدة في الفاعل أقل م القة في الغض، عها تقل قة اﻻئان في الفاعل ح تلفة المة في الغض.

43

الفﺻل الثالث نماذج الﺗحكم بالوﺻول ﻓﻲ الحوسبﺔ السحابيﺔ

ﻣﺜال 3: دفع اﻻشاكات ح اﻻسام، اسام

إذا ان الفاعل ع فإنه ح له اﻻتال، اللفة اللة ت في نهاة اﻻتال ح مة اﻻسام وأجرها.

Ongoing Authorizations Models -2.1.3.6.3 ناد اًر ما ت د ارسة الاحات أثاء اﻻسام في أدبات ن ال الصل، اسام الذج UCON ضان ماقة الاات، ح ي ضان وجد ع اللات أثاء اﻻسام، وفي حال عم تافها ي س ل اﻻسام، وها الع م الاذج يج في حالة اﻻسام الل.

ت ت أرع ناذج تاف أرع حاﻻت هي:

 في حالة العامﻼت غ قابلة للعيل في الفاعل subject والغض object.

 قل اتاذ القار اﻻسام في حال معامﻼت قابلة للعيل اسام pre-updates.

 , اثاء وع اﻻسام في حالة العامﻼت قابلة للعيل اسام ongoing-updates و post-updates.

ﺗﻌﺮﻳﻒ 4: على النات الالة:

S,O,R (Subject,Object,Right),ATT(s),ATT(o) o ح (ATT(sو (ATT(o هي معامﻼت

الفاعل والغض الي ل تغ في . .onA(ongoing-authorizations) o .(, , )⇒ o (, , )⇐¬((), (), ) o

44

الفﺻل الثالث نماذج الﺗحكم بالوﺻول ﻓﻲ الحوسبﺔ السحابيﺔ

ها ت اسام الاع onA بل م الاع preA ن قار الصل ق ت اتاذه. في حالة ال -ongoing authorizations تن الاحات مققة ل فة اﻻسام لل right ال ت اتاذ قار الصل أنه على الغض. الق م اللات ل م أو خﻼل فات زمة مدة.

الاع (stopped(s,o,r ت إنازه م أجل س ال r م الفاعل s على الغضo .

ﺗﻌﺮﻳﻒ 5: وه ماب ل ل على الاع اﻻخارة ((preUpdate(ATT(s و ((preUpdate(ATT(o وال قم علة تعيل العامﻼت الاصة الفاعل s والغض o القابلة للعيل قل الء اﻻسام.

ﺗﻌﺮﻳﻒ 6: وه ماب ل على تاع العيل اﻻخارة أثاء اﻻسام ((onUpdate(ATT(o))،onUpdate(ATT(s على معامﻼت ل م الفاعل subject والغض object.

ﺗﻌﺮﻳﻒ 7: وه ماب ل على تاع العيل اﻻخارة ع اﻻنهاء م اﻻسام وهي ((postUpdate(ATT(o)) ،postUpdate(ATT(s على معامﻼت ل م الفاعل subject والغض object.

ﻣﺜال 1: عد مد م الم لغض، وس ل الصل م فاعل على غض مع ح وق اﻻسام.

45

الفﺻل الثالث نماذج الﺗحكم بالوﺻول ﻓﻲ الحوسبﺔ السحابيﺔ

نفض في الال الاب أنه ﻻ الصل إلى غض مع إلى م قل 10 اشاص في وق واح. في حال مم رق 11 ل الصل إلى الغض قم فل الم اﻷقم وقم الم الي بف ل اﻻسام دون الاجة لعلة ل صﻼحة لﻼتال. في الاع onA قم اقة عد الم والل على الم اﻷقم وفله، وق اﻻسام اف في الاة وف في الهاة، كا ي عد الم مع ل اتال. في ها الال ت اعاد

-2.3.6.3

1.2.3.6.3-اﻹلزاميات قبل الوصول pre-oBligations اﻹلامات قل الصل pre-oBligations هي العلمات الاج مﻸها قل اتاذ القار الصل، والي ت تاع معة تق م هه العلمات. على سل الال مم ما عله ملء اسه وعانه اﻻلوني قل تل مقال ما، أو أن غ على زر الافقة على شهادة تخ license.

في الذج ضان محل اﻷولى هي اخار العامﻼت الي أن تع م اﻹلامات وها اسام معامﻼت ل م الم subject والغض object، وال حلة الالة هي الأك م صة العلمات الخلة م خﻼل إجاءات تق ت اﻹلامات الد (على سل الال e-mail validation) وذل قل اتاذ القار الصل. ع على تاع preFulled للق م ملء العامﻼت اﻹلامة وع ق true أو false.

ﺗﻌﺮﻳﻒ 8:

46

الفﺻل الثالث نماذج الﺗحكم بالوﺻول ﻓﻲ الحوسبﺔ السحابيﺔ

نع اﻹلامات اللة تد الاع getPreOBL وهي علة معقة أن يخل بها معامﻼت الم أو الغض، في حال ل يخل في العلة أ معامﻼت فإن الم قم إدخال نف العلمات ع ل علة وصل، فﻼ بون اسام معامﻼت الم ﻻ معفة الم ال قام إدخال اسه وعانه اﻻلوني، ول يخله في ل مة ل بها اﻻتال.

مال على ذل: في حالة خمات ال في ع اﻷحان الم أن ﻸ اس مم وعان اﻻلوني في حالة الم ي القاءة، أما في حالة اة تعل أو الارة عله أن لئ مفاح للم .ID

الحة obs أن ن الم subject ال قم الل أو غه، على سل الال إذا أ ارد فل الخل إلى أح الات أن اج إلى مافقة الالي (obs) الغ م إلى ها ال. obo ه الحة الي ي ملها ون ثاب أو تاع على (معامﻼت الم subject الغض object أو القق rights)، مل اس الم أو العان اﻻلوني وهي م الع الاب. في حالة ان ملئ العاص اﻹلامة لف م مم ﻷخ ففي هه الالة ن obo تاع ح معامﻼت الم. ob ه الفعل ال ي للء العاص اﻹلامة فﻼ عما ق أ Alice اتفاقة و على زر الاف فإن الث الف ه ه ob.

ﻣﺜال: الافقة على اتفاقة ل مة ل بها اتال (بون معامﻼت الم)

ﺗﻌﺮﻳﻒ 9: وه ماب ل مع وجد تاع اخارة لعيل معامﻼت الم أو معامﻼت الغض قل اﻻتال وهي ((preUpdate(ATT(s و((preUpdate(ATT(o.

ﺗﻌﺮﻳﻒ 10: وه ماب ل مع وجد تاع اخارة لعيل معامﻼت الم أو معامﻼت الغض ع اﻻتال وهي ((postUpdate(ATT(s و ((postUpdate(ATT(o.

47

الفﺻل الثالث نماذج الﺗحكم بالوﺻول ﻓﻲ الحوسبﺔ السحابيﺔ

ﻣﺜال : اتفاقة تخ للم الل ﻷول مة

نم في هه الالة ُمعامل للم ه registered قل اﻻتال نقم بضع قة yes في ها العامل، وفي الاع getPreOBL وهي ت حال ح قة registered في الم.

2.2.3.6.3-اﻹلزاميات خﻼل اﻻستخدام Ongoing oBligations هي مابهة للاذج الاقة ح قم لء اﻹلامات ع اتاذ القار الصل. م ملها ل دور أو م.

ﺗﻌﺮﻳﻒ 11:

48

الفﺻل الثالث نماذج الﺗحكم بالوﺻول ﻓﻲ الحوسبﺔ السحابيﺔ

وها الذج ن قل اﻻسام وع اتاذ القار الصل.T ه عارة ع فة زمة مد بق أو حث مع. الاع onB أن ن True ل وق اﻻسام وقم الق مه ل دور أو م. الحات OB، OBO،OBS تن مدة خﻼل فات مدة م الم، ي تيه م خﻼل الم T.

مال: عما ن الم ارس ح مع r و أن اه أح اﻹعﻼنات خﻼل ذل

ها فض على الم ان اه اﻹعﻼن ال فة اﻻسام ﻻن T مة على always. وﻻ ع على معامﻼت الم أو الغض.

تع 12: ماب ل ول تاع العيل اﻻخارة قل اﻻسام وهي ((preUpdate(ATT(sو((preUpdate(ATT(o.

تع 13: ماب ل ول تاع العيل اﻻخارة خﻼل اﻻسام وهي ((onUpdate(ATT(sو((onUpdate(ATT(o.

تع 14: ماب ل ول تاع العيل اﻻخارة ع اﻻسام وهي ((postUpdate(ATT(sو((postUpdate(ATT(o.

-3.3.6.3

Ongoing-Conditions -1.3.3.6.3 في ها الذج نقم ان اسار تاف الو خﻼل اﻻسام. ﻻ قم بعيل أ معامﻼت وانا دوره فق الق م الو خﻼل اﻻسام ع الافقة على الصل إلى الغض.

49

الفﺻل الثالث نماذج الﺗحكم بالوﺻول ﻓﻲ الحوسبﺔ السحابيﺔ

ﺗﻌﺮﻳﻒ 15:

onCON هي الو الاج الق مها خﻼل اﻻسام. getONCON وه تاع قم اخار م الو ح معامﻼت الم أو الغض أو القق أو له. onC قم الق م ان الو مققة. Stopped قم الم في حال فل اح الو.

مﻼحة: ﻻ أ تعيل على أ معامﻼت.

50

الفﺻل الثالث نماذج الﺗحكم بالوﺻول ﻓﻲ الحوسبﺔ السحابيﺔ

This Page intentionally

Left Blank

51

الفﺻل الرابﻊ مشاركﺔ البيانات عﻠى السحابﺔ

الفصل الرابع

ﻣﺸارﻛﺔ الﺒﻴات ﻋﻠﻰ الﺴﺤاﺑﺔ نعرض ﰲ هذا الفصل اهﻢ الطرق اﳌقﱰحة حاليا لتﺤقيق تشاركية البيات على سﺤابة عامة مع العوائق اﳌوجودة ﰲ كل ﻃريقة، ﲤهيدا للدخول ﰲ اﳌشكلة موضوع البﺤﺚ واﳊل اﳌقﱰح

1.4-ﻣﻘﺪﻣﺔ تاي أهة مارة الانات حياً ل م الم والات، ح بأ المن لها في اﻷجهة الة والاس حى في الاشات الية Smart TVs. المن ل عام ن مارة معلماته ساء ب اﻷصقاء، المﻼء. الخ، وال م الات حل العال بأت بأمها مة لل أ راح مها واﻷملة ة (CloudI، Google Drive،Drop Box ..الخ).

فائ مارة الانات

1- زادة اﻹناجة Higher productivity: ل عام اﻻعال ت عة وأداء أفل مع مارة للانات ب اﻷاف اللفة الة في العل. على سل الال فإن الﻼب فون أك في حالة العل الاعي م خﻼل مارة الارب اللفة والعلمات به، كا الاح عن العف على أخ الات الة ما يج ع ذل تف الق واله. 2- معة أك More enjoyment: الم ن عن اﻻتال أصقائه، عائﻼته، زمﻼئه وماره اته ساء في الاة أو العل واﻻﻼع على أخاره مل شات الاصل اﻻجاعي ك Facebook. أن ارك المن الفيهات فا به ع مقع .YouTube 3- إال اﻵ ارء To voice opinions: ع الم اجن مارة العلمات م أجل إال أصاته حل العال ا في ماقع الاصل اﻻجاعي، للف ن العال إلى قة ما. مع تاي اسام السة الابة حل العال، ياي ال حل ت خمة مارة الانات

52

الفﺻل الرابﻊ مشاركﺔ البيانات عﻠى السحابﺔ

على الاة، وفي القابل تداد فائ المة مع اﻻسفادة م م اا السة الابة (ﻻ قل م فقان العلمات بجدها على الاة). على الغ م ذل، فإن اللة ال في مارة الانات على الاة هي الصة والقاا اﻷمة، فالاة مفحة على ال م اﻹشالات اﻷمة والهات اﻹلونة، والي تعل الم حر ع اسام تقات الاة لارة الانات. ت معالة ال م القاا اﻷمة فا الاة ول تقى معالها م أجل مارة الانات والي حى تاره ق ال، فا يلي نح ملات خمة "مارة الانات قة أمة على الاة". ملات مارة أمة وديامة على الاة

لفعل علة مارة الانات على الاة، أن ن الم مح له الخل إلى الاة ك أساسي ومأ، ث تق اللات الالة:

1- مال الانات له ال بي معة م الم له الصل إلى الانات. 2- ﻷ مم م العة أن ل إلى الانات في أ وق دون العدة إلى مال الانات. 3- ﻻ ﻷ مم خارج العة مع مال الانات أن ل إلى الانات حى مود المة .(Cloud Service Provider CSP) 4- لال الانات أن صﻼحة الصل م أ مم ض العة. 5- لال الانات إضافة مم إلى العة. 6- ﻻ ﻷ مم ض العة أن عي صﻼحة الصل أو ها م مم أخ. 7- لال الانات أن عي ساحات القاءة والاة لم مدي ض العة. 8- لال الانات أن عي مم مع صﻼحة "مال" وﻻ أن ن ع في العة.

ع تي ملات المة، ن اﻷن إلى القاا اﻷمة الاصة بها، فق اللات فح الاب على ال م اﻹشالات الة وهي:

53

الفﺻل الرابﻊ مشاركﺔ البيانات عﻠى السحابﺔ

- سة العلمات Data Confidentiality: ﻻ للم غ الح له الصل (اﻹضافة إلى مود المة نفه) الصل إلى الانات، ما فض اسام تقات الف اللفة. - س الﻼحة م مم User Revocation: ع س الﻼحات م أح الم أﻻ ل إلى الانات حال س الﻼحة، ول مالي أﻻ تث هه العلة على صﻼحات الم اﻷخ. - الونة والفاءة Scalable and Efficient: تع ة الم م م اا الاة، للم أن يا وغادروا ل م، على خمة مارة الانات ل أم أن تأقل مع ذل وتاف على الفعالة الجة مها.

فا يلي نعض أه القات القحة لارة الانات 2.4-الﻄﺮق الﺘﻘﻠﻴﺪﻳﺔ [10] القة اليهة لارة الانات على الاة هي تف مال الانات لعاته وتزع مفاتح ف الف للم الي ي مارة باناته معه. ل مم مح له الصل إلى الانات ه الل الانات الفة وف تفها اسام الفاح الاب. في حال ت مم ما غ مح له م الل على الانات ﻻ ه ف تفها لعم امﻼكه الفاح لل.

ها الل غ فعال فعما قر مال الانات س الﻼحة م أح الم عله إعادة تف الانات م جي وعادة تزع الفاتح على الم، تح العلة شه ملة عما ح عد الم م رتة الﻼي وعما ير س وعاء الﻼحات للم ل دائ.

ت ت العلة الاقة م قل Zhao [11]، ح قم مال الانات ول Alice ب باناتها في الاة مفة فاحها الاص Private key، قم مم أخ ول Bob ل الانات م Alice م خﻼل ارسال مفاحه العام لها. تقم Alice إرسال ل لود المة م اجل إعادة تف الانات عامﻼت جية وف الق تقم إرسال هه العامﻼت ل BOB. سلات هه القة هي انها تل تاج online Alice وتاج الانات مفة الفاح الاص ب Alice ل م اﻷشاء الة.

54

الفﺻل الرابﻊ مشاركﺔ البيانات عﻠى السحابﺔ

3.4-اﳊاﺟﺔ إﱃ نظام إدارة اﳌﻔاﺗﻴﺢ The need of Key Management System [10] إدارة الفاتح هي تقا ل ما يعل الفاتح اساء تفها وف تف، وهي تغي إناء/حف الفاتح، ت، تحل، تفعل ولغاء تفعل الفاتح.

ناق ثﻼث نقا فا يلي:

1- ت أم للفاتح Secure key stores: الفاتح ذاتها أن تن منة ل أم ومة م مم مق، ﻷن له على الفاتح ف تف الانات الة. 2- الصل إلى ماضع ت الفاتح Access to key stores: أن ن الصل إلى ماضع ت الفاتح أن ن مود عد مد م الم له صﻼحات معة لل. 3- ت احاي واسجاع للفاتح Keys backup and recovery: أن يج خة واضة لف الانات في ماضع ت احاة سهلة اﻻسجاع ﻻن فقان هه الفاتح يد إلى فل في الصل إلى الانات. 4.4-الﺘﺸﻔﲑ ﺑواﺳﻄﺔ الواصﻔات Attribute-Based Encryption [12] تع هه القة على تع ساسات وصل والاح للم الصل إلى العلمات في حال تاف الاسة التة ه. ل عام تف الانات ع على واصفات الم الح له الصل إلى هه العلمات، ووحه الم الح له الصل إلى هه الانات لن مفاتح ف تف.

ت ﻻحقا ت القة العة، وذل م خﻼل تع ساسات الصل م خﻼل ال واء مفاتح ف الف اعاداً على واصفات الم وتزعها له.

55

الفﺻل الرابﻊ مشاركﺔ البيانات عﻠى السحابﺔ

1.4.4-ﺗﻌارﻳﻒ أولﻴﺔ ﳎﻤوﻋات اﳌﺴﺘﺨﺪﻣﲔ

في تقا العي م الم، لم مع أن يي إلى معة أو أك. ل عارة ع معة الم في الاة، نقم بع عاصها م خﻼل اعاد عة فن ≥0,}= { ≥ ح n ه عد الم اللي في الاة. م أجل عد مد م العات l تع معة معات مم ∋ ا يلي :

ℬ() = { ∈ {1,…, }| ∈ } ⊂{1,…, }

خارزمة الف اعادا على الاصفات Attribute-based Broadcast Encryption Algorithm

الارزمة هي عارة ع ت ثﻼث خارزمات جئة مع معامل سة ه وه ايلي:

(, , ℬ() ) - : وتأخ دخل معامل الة ، وعد الم n ومعات الم. ج لهه الارزمة يل مفاح الف EK وn مفاح لف الف (). ℛ - ( ℬ ,ℬ,): وتأخ خل مفاح الف الاب EK ومع م الم ℛ ℬ و ℬ. خج الارزمة الاب مفاح تف السالة ∋ ، وتوة hdr ح معة مهة م الفاتح.

- (ℎ,): تأخ خل مفاح ف الف الاص الم u، مع الوة hdr. ℛ اذا ان الم u مجد في العة ℬ وغ مجد في ℬ. فاتج اﻹجائة ه مفاح تف السالة K، وﻻ Φ.

في محلة الف، ي تف السالة M باسة الفاح K و ارسال السالة الفة C وتسل الى الم مع الوة hdr. ل الم الجدي ض العة (ℬ (needed Group ℛ وغ ال إلى العة Revoke Group) ℬ) عن الل على مفاح الف K اسام الوة hdr.

مﻼحة: إن الوة ومفاح الف الاص الم ها العامل الحي الل لاب K.

56

الفﺻل الرابﻊ مشاركﺔ البيانات عﻠى السحابﺔ

ي تأم وصل الم إلى باناته م خﻼل واصفاته وواصفات الانات الي ي الصل إلها، ول ي تع ساسة الصل Access Policy ق

اﻷولى :(Ciphertext-Policy ABE (CP-ABE: ا في الل (13)، تن ساسة الصل Access Policy منة مع الانات والاصفات منة ع الم. تن الاسة على شل شة ت في اﻷورق على الاصفات Attributes وهي تع في هه الالة ع وجد الاصفة، في العق الاخلة تع ع العﻼقات ب الاصفات او عات معة على شل (OR،And ).

الشكل 12: الوﺻول حسب الواﺻفات CP-ABE

كما ﰲ اﳌﺜال التاﱄ:

الشكل 13: مثال عن الوﺻول حسب الواﺻفات CP-ABE

57

الفﺻل الرابﻊ مشاركﺔ البيانات عﻠى السحابﺔ

فالم ال ل الاصفات Computer Science و Male ه ق الة الاقة والالي له الصل إلى العل مات وف تفها. أن تن العق الاخلة هي عارة ع عات فق الم ال Male عما ياوز ال 40 سة مﻼً.

الانة (Key-Policy ABE (KP-ABE: تن الاسة منة مع الفاتح الة للم، أما الانات الفة ف معة م الاصفات Attributes اللة. الم ال تاف الاسة النة مع الاصفات في الانات الفة ه وحه ه ف الف والل على الانات. ا في الل(14):

الشكل 14: الوﺻول حسب الواﺻفات KP-ABE

أح الاكل في القة الاقة هي اليامة ح يل اعاء أو س صﻼحة أح الم إعادة تف الانات وعادة تزع الفاتح مة أخ وهه العلة تح ملة عما ح عد الم .

58

الفﺻل الرابﻊ مشاركﺔ البيانات عﻠى السحابﺔ

5.4-الﺘﺸﻔﲑ ﺑواﺳﻄﺔ وﻛﻴﻞ Proxy Re-encryption: الف ع ول م القات الية في مارة الانات ل أم على الاة. ح تسل Alice باناتها مفة الفاح العام الاص بها وقم الل بل الانات إلى Bobمفة الفاح العام الاص ه.

ال م اﻷفار لارة الانات اسام الل انلق عها مل .Tran et al []، ح ن ل مال الانات مفاح تف خاص مق إلى ق، ق ن ل مال الانات Data Owner والق اﻷخ من في الاة السة Cloud Proxy، قم مال الانات بف الانات حلة أولى اسام الق الاص ه وتقم الاة السة الحلة الانة بف الانات الق الاص ه. مهل الانات Data Consumer ل نف الفاح ق، الق اﻷول من ل مهل الانات والاني مجد الل. عما ل الهل الﻼحات للصل إلى الانات، قم الل ف تف الانات الق الاص ه ث قم الهل الل على الانات ف تف الانات الق اﻷخ م الفاح القي معه.

اللة في اﻷسلب الاب هي في حال س الﻼحة م أح الم، ﻻ س الق الاص ه م الفاح، ف له ف تف الانات في حال ت م الل علها أثاء إرسالها م الل إلى مم أخ. 6.4-ﳕوذج الوصول ﺣﺴﺐ اﳋﺼوصﻴﺔ ﻣﻦ أﺟﻞ ﻣﺸارﻛﺔ الﺒﻴات ﰲ اﳊوﺳﺒﺔ الﺴﺤاﺑﻴﺔ Privacy Aware Access Control for Data Sharing in Cloud Computing Environments [13] في ها الذج ال ب الفاه الالة:

- مال الانات Data owner: وه الم ال قم إناء الانات وقم بها في مود المة Cloud Service Provider ل مف وقر م ه الصل إلها.

59

الفﺻل الرابﻊ مشاركﺔ البيانات عﻠى السحابﺔ

- مهل الانات Data Consumer: ه الم القادر إلى الصل إلى الانات الة وف ساسة الصل الي عفها مال الانات. - مود المة (Cloud Service Provider (CSP: الي تن الانات الفة وت للات مهلي الانات. - (Policy Management System (PMS نام إدارة الاسة: وهي م إدارة للفاتح وتاع علة الف وف الف للم.

أن ن مهل الانات مال للانات.

فضات ها الذج هي:

1- المن مثقن م الام م خﻼل نذج وصل ماس. 2- المن ﻻ يقن ود المة وﻻ بام إدارة الاسة. 3- لود المة نذج وصل عم وصل الم غ الح له الصل إلى الانات. 4- مود المة مثق م ناحة عم تود أ مم غ مح له الصل إلى الانات.

في الل (Alice (15 وهي مال الانات ت مارة باناتها مع Bob مهل الانات.

الشكل 15: نموذج الوﺻول حسب الﺧﺻوﺻيﺔ

60

الفﺻل الرابﻊ مشاركﺔ البيانات عﻠى السحابﺔ

1- تقم Alice بف باناتها تف تاثلي م خﻼل الفاح k، وتن الانات في مود المة .CSP 2- تقم Alice بف الفاح م خﻼل إضافة قة تف تادلي عله commutative encryption ورسال الفاح إلى مود المة. 3- قم مود المة إضافة قة أخ خاصة ه للفاح الف الاب وقم إعادته إلى Alice. 4- تقم Alice إ ازلة قة الف الاصة بها وتسل الفاح الف قة تف خاصة الود إلى نام إدارة الاسة.

عما ي Bob الل على الانات قم ا يلي ع الأك م الﻼحات.

5- قم PMS إرسال الفاح إلى Bob ون مود قة تف خاصة الود. 6- ف Bob قة تف خاصة ه وسل الفاح إلى مود المة. 7- قم مود المة قه وسل الفاح إلى Bob ون عها مف قة وحة تعد ل Bob.

ول ي Bob م الل على الفاح k ازلة قه، وه اﻷن ف تف الانات الفة الفاح k. ا ه واضح م الاسل الاب ﻻ لود المة أو نام إدارة الاسة الل على الانات ل واضح.

قات الف الافة أن ت م الانات غ ال ع تتها، على سل الال اذا كان الانات مودة ق CL1,CL2 س CL2 دون الاجة إلى س CL1 أوﻻً وت هه العلة م خﻼل الف الادلي commutative encryption.

اللات في هه القة ه في حالة س الﻼحة م مهل الانات فﻼ تج قة ا س الفاح مه والالي له في حال ال على مم أخ ي نف الانات أو بانات أخ مفة بف الفاح م الل علها وف الف. وعلى ل اﻻحل وجد مفاتح ف الف الاثلي ل مهلي الانات ه ام غ م.

61

الفﺻل الرابﻊ مشاركﺔ البيانات عﻠى السحابﺔ

This Page intentionally

Left Blank

62

الفﺻل الﺧامس ﺧدمﺔ مشاركﺔ آمنﺔ ديناميكيﺔ لﻠبيانات عﻠى السحابﺔ

الفصل اﳋامﺲ Secure Dynamic Data sharing Service in the Cloud

ﺧﺪﻣﺔ ﻣﺸارﻛﺔ آﻣﻨﺔ دﻳﻨاﻣﻴكﻴﺔ لﻠﺒﻴات ﻋﻠﻰ الﺴﺤاﺑﺔ نعرض ﰲ هذﻩ الفصل اﳌشكلة موضوع البﺤﺚ واﳊل اﳌقﱰح ﳍا 1.5-ﻣﻘﺪﻣﺔ كقمة لها الفل نعض أه ملات خمة مارة بانات في مود خمة كGoogle ، Drop Box drive... الخ. على الم أن نا مثق م قل مود المة أساسي ومأ، ث تق اللات الالة:

1- مال الانات له ال بي معة م الم له الصل إلى الانات. 2- ﻷ مم م العة أن ل إلى الانات في أ وق دون العدة إلى مال الانات. 3- ﻻ ﻷ مم خارج العة مع مال الانات أن ف الانات حى مود المة .(Cloud Service Provider CSP) 4- لال الانات أن صﻼحة الصل م أ مم ض العة. 5- لال الانات إضافة مم إلى العة. 6- ﻻ ﻷ مم ض العة أن عي صﻼحة الصل أو ها م مم أخ. 7- لال الانات أن عي ساحات القاءة والاة لم مدي ض العة. 8- لال الانات أن عي مم مع صﻼحة "مال" وﻻ أن ن ع في العة.

63

الفﺻل الﺧامس ﺧدمﺔ مشاركﺔ آمنﺔ ديناميكيﺔ لﻠبيانات عﻠى السحابﺔ

2.5-ﻋﺮض اﳌﺸكﻠﺔ ما س يو ليا اللة الالة وهي عم وجد مارة للانات ل آم في الانات الاد مارها ع الم الغ مح له الخل، ا ع فها ع مود المة ذاته، واللل الوحة في ها الال تد إلى ملة ثانة هي اليامة في الارة. الل القح ع على وس مثق ب الم والاة مل ول proxy ه في حالا عارة ع Private Cloud وتق العالة إلى ق ها حل ملة اليامة والﻼحات ع UCON، وحل مارة الانات الفة ع الل. 3.5-ﺗﺸﻔﲑ الﺒﻴات اﳌﻄﻠوب ﻣﺸارﻛﺘﻬا ﻋﻦ ﻃﺮﻳﻖ وﻛﻴﻞ Encoding The Sharing Data Using Proxy

الشكل 16: الﺗشفير عن طريق الوكيل

64

الفﺻل الﺧامس ﺧدمﺔ مشاركﺔ آمنﺔ ديناميكيﺔ لﻠبيانات عﻠى السحابﺔ

[13] في الل (16) تاول Alice مارة باناتها مع Bob ل آم وون ف باناتها لل م (الم غ م ح له ومود المة) وذل اسام ول مثق في حالا هي private Cloud مهها القام علة الف وف الف. ا في الات الالة:

1- تقم Alice إرسال باناتها إلى الل Proxy مفة الفاح العام الاص الل. 2- قم الل علة ف تف الانات اسام الفاح الاص ه، ث قم إرسال هه الانات إلى مود المة Cloud Service Provider) CSP) مفة تاثلاً فاح K. 3- قم الل Proxy علة إضافة قة تف تادلي للفاح K وتسلها الى مود المة .CSP 4- قم مود المة إضافة قة تف تادلي ثانة فق القة الاقة الي فها الل وقم إرسال الفاح إلى خمة إدارة الاسة (PMS (Policy Management System. 5- ل BOB الانات الاد مارها م الل Proxy، وال قم الأك م الﻼحات (ع نذج ال الصل القح ﻻحقاً). 6- قم الل ل الانات م مود المة. 7- قم مود المة ل الفاح الاص الانات والل م قل خمة إدارة الاسة PMS. 8- قم ال PMS إرسال الفاح الود قي تف تادل خاص ل م الود والل. 9- قم مود المة إرسال الانات الفة الفاح K إلى الل. 10- قم مود المة إرسال الفاح إلى الل ع إ ازلة قة الف الادلي الاص ه وقى الفاح مود قة تف تادلي واحة خاصة الل. 11- قم الل إ ازلة قة الف الاصة ه م على الفاح وقم ف تف الانات الي سها باسة الفاح K، وقم إرسالها إلى BOB مفة الفاح العام الاص بBOB .

الذج الاب فض ما يلي:

- الفضة اﻷولى: المن مثقن م قل الل. - الفضة الانة: المن يقن الل وﻻ يقن ود المة وخمة إدارة الاسة.

65

الفﺻل الﺧامس ﺧدمﺔ مشاركﺔ آمنﺔ ديناميكيﺔ لﻠبيانات عﻠى السحابﺔ

- الفضة الالة: الل مود بذج وصل مهه إدارة الﻼحات، ومع الصل م قل الم غ الح له م الل على الانات وماعة الﻼحات أثاء اﻻسام وتق اليامة (الء الاني م الل). - الفضة ال اعة: ﻻ يج تأم (تا) على الم م قل مود المة CSP وخمة إدارة الاسة PMS.

كا ذنا ساقاً ناج إلى نع م علات الف ها الف الاثلي اسام الفاح K ال ت ه علة الف الاثلي Symmetric cryptography على الانات قل تها في مود المة، وقات معدة م الف الادلي commutative encryption ت إضافها على الفاح K.

فا يلي سف نقم ح اﻹجاءات العة لق ذل:

ﺗﺸﻔﲑ الﺒﻴات

قل نقل الانات إلى مود المة قم الل علة تف تاثلي لهه الانات اسام مفاح K وقم مال الانات بي الم ذو الﻼحة والي ه الصل إلى هه الانات م خﻼل نذج الصل ال زود ه الل (سحه ﻻحقاً).

1.3.5-ﺗﺸﻔﲑ ﻣﻔﺘاح الﺘﺸﻔﲑ اعار ل م مود المة وخمة إدارة الاسة غ مثق ناج لف الفاح K قل ارساله إلى خمة إدارة الاسة ( ت الفاح في الل ول قا بهه العلة ﻻن الل ل م مهاته إدارة تزع الفاتح وتها). ت تل العلة اسام عة قات تف تادلي وذل اسام عة إجائات ض الارزمة الالة:

1.1.3.5-ﺧوارزﻣﻴﺔ ﺗﺸﻔﲑ اﳌﻔﺘاح Key Encryption Algorithm - إﺟ ﺮاﺋﻴﺔ إﺿاﻓﺔ ﻃﺒﻘﺔ ﺗﺸﻔﲑ ﺗﺒادﱄ لﻠوﻛﻴﻞ Add-Proxy-CELayer: [13] ت هه اﻹجائة ع الل وذل قل مارة الفاح مع مود المة وخمة إدارة الاسة ∗ PMS. أخ خل الفاح ل صح {0,1} ∋ ونع الات الالة: o تل شعاع الاة ل عائي ∋ .

66

الفﺻل الﺧامس ﺧدمﺔ مشاركﺔ آمنﺔ ديناميكيﺔ لﻠبيانات عﻠى السحابﺔ o تل مفاح تف تاثلي عائي خاص ∋ . o نقم اب () = message digest. o اسام مفاح وشعاع الاة نقم بل مفاح القاة. ( ,) = . o الفاح ماف إله قة الف الاصة الل ا يلي: ℎ = ⊕ o ن ناتج اﻹجائة ل م الفاح الف وال ℎ, > digest > - إﺟﺮاﺋﻴﺔ إﺿاﻓﺔ ﻃﺒﻘﺔ ﺗﺸﻔﲑ ﺗﺒادﱄ ﳌ ﺰود اﳋﺪﻣﺔ Add-CSP-CELayer ع إضافة قة الف الادلي الاصة الل، قم مود المة اسعاء هه اﻹجائة م أجل إضافة قة تف أخ. تأخ هه اﻹجائة خل خج اﻹجائة الاقة وتقم بف الات الالة: o قم اب مفاح تف تاثلي س . o تل شعاع باة عائي ∋ . o مفاح قاة الف ( ,) = م أجل إضافة قة الف. o ت إضافة قة الف الادلة العلة الالة : ℎ = ℎ ⊕ o ن ناتج اﻹجائة ل م شعاع الاة < ,ℎ , >. بجد قي الف الاص ود المة CSP، والل ع الل على الفاح. ع معفة قة إضافة الق معفة فة ف الف الاص ل قة. - إزالﺔ ﻃﺒﻘﺔ الﺘﺸﻔﲑ الﺘﺒادﱄ اﳋاصﺔ ﲟﺰود اﳋﺪﻣﺔ Remove-CSP-CELayer: [13] أخ خل الفاح الود قي تف الادل الاصة ل م مود المة والل

ℎ، وشعاع الاة ث قم مود المة إتاع الات الالة: o قم بل الفاح ال للف الاثلي . o ع تل مفاح القاة ( ,) = . o ن ناتج ف الف الالي: ℎ = ℎ ⊕

67

الفﺻل الﺧامس ﺧدمﺔ مشاركﺔ آمنﺔ ديناميكيﺔ لﻠبيانات عﻠى السحابﺔ

يسل ناتج الج إلى الل.

- إزالﺔ ﻃﺒﻘﺔ الﺘﺸﻔﲑ الﺘﺒادﱄ اﳋاصﺔ لوﻛﻴﻞ Remove-Proxy-CELayer: نع اللل الاب، تأخ اﻹجائة الفاح الود قة تف تادلي ه ناتج خ ج اﻹجائة الاقة ون الاتج ه ال الح للفاح = ℎ ⊕ للأك م صة السالة ع الل القام اب message digestومقارنها مع اﻷصلي الجد. 4.5-ﲢﻘﻴﻖ الوصول والﺪﻳﻨاﻣﻴكﻴﺔ ﺳﺘﺨﺪام ﳕوذج الوصول ﺣﺴﺐ اﻻﺳﺘﺨﺪام Achieving Authorized Dynamic Access using UCON قا اخار نذج الصل UCON ع الاذج الاقة لﻸساب الالة:

1- الق الفاهي لذج الصل UCON، ح ُ ف القد على الصل في ثﻼث أصاف: a. الﻼحات: وهي الي تها في حالة مارة الانات. b. الاحات: وهي الي ت علة تث دخل الم في الاة. c. الو: وهي الي تفض قد الة على دخل الم. 2- إمانة ماعة الم ع علة تث وصله إلى المة وأ علة اﻻسام، وهه الة غ مجدة في الاذج اﻷخ مل RBAC. تم هه الة تق اليامة ح تق علة س ومح الﻼحات اثاء اﻻسام revoke/invoke.

1.4.5-ﺗﻌارﻳﻒ ﻋاﻣﺔ - Domain الال: وهي مع الانات الي ي العامل معها م قل الم و مارها مل اللفات النة ع اح خمات الاة. - (Domain Owner (DO مال الال: وه الم ال تعد له الانات في الال.

68

الفﺻل الﺧامس ﺧدمﺔ مشاركﺔ آمنﺔ ديناميكيﺔ لﻠبيانات عﻠى السحابﺔ

- (Domain Controller (DC ال الار: وه الف ال الال أو عة ماﻻت وقم ادرة الﻼحات عله. مود المة CSP ه مال ع ال DC تقع على موله ضان الة والافة والامل الاصة الانات النة. - Data Consumer ال الانات: وه الم ال ل الصل إلى الانات.

ما ازل UCON نذج مفاهي ﻻ يج ت علي وه ق ال وال، إح العقات الي تاجهه ه عم وجد إدارة للذج وه ما قا العل.

XACML -2.4.5 (XACML (eXtensible Access Control Markup Language وهي لغة تع على لغة XML وتقم ب الصل ع الاصفات وت الاسات والﻼحات على اﻷغاض، ع نذج الصل UCON على هه اللغة ل رئي. يضح الل (17) الة الاصة ب XACML

الشكل 17: بنيﺔ إدارة ال XACML

ُقم الل في الل (17) إلى نقة ت الاسة(Policy Enforcement Point (PEP (وهي الق الول ع حاة الادر وت الﻼحات الاتة ع الل القم) وال قم بله إلى معالج الاق Context Handler (قم بل اللات والق ا ارت الة على شل ملفات XACML) وال قم الق م صاغة الل م قل ال، ث قم بل ل وله إلى م اتاذ القار PDP. قم م اتاذ القار باء على م إدارة الاسة Policy Administration Pointل الاصفات م

69

الفﺻل الﺧامس ﺧدمﺔ مشاركﺔ آمنﺔ ديناميكيﺔ لﻠبيانات عﻠى السحابﺔ

معالج الاق وال لها بوره م م معلمات الاسة Policy Information Point وعها إلى م اتاذ القار.

تم الة الاقة علة اتاذ القار أن الصل إلى مود المة با ال يم الاعة ه نذج الصل UCON.

اخ ناذج الصل العة في مارة الانات هي eXtensible Authorization Framework) As a Service)SAFAX وتقم الصل اﻷم مة Security as a Service وهي عارة ع مة معة على XACML تقم بصف مارة الانات ب مال الانات ومهل الانات وتزع الﻼحات اعاداً على XACML وع على اﻷقام الئة (PEP,CH ,PIP). ول ﻻ يج ق خاص إدارة نذج الصل[15].

مال ع ملف XACML ل ل مقم م معة م الم الصل إلى ملف ﻼحة قاءة فق ا يلي:

ول ل قاءة Read(في ال 21) لللف (في ال 15) م قل العة developers (في ال 9). ا واضح في اللف الاب الل مق إلى ثﻼث أجاء رئة هي Subject والي ند فها الم ساء أفاد أو معات، الادر Resources وهي تن غالا على شل ملفات او

70

الفﺻل الﺧامس ﺧدمﺔ مشاركﺔ آمنﺔ ديناميكيﺔ لﻠبيانات عﻠى السحابﺔ

خمات ( جع أك م مر) وأخ اً Action وفه ن ال right اللب على الادر الاقة.

3.4.5- ﻣﻘﺪﻣﺔ ﻋﻦ ﳕوذج الوصول اﳌﻄﺮوح Overview Of The Proposed Access Control الذج القح ه عارة ع مة تع على XACML وتم وائف نذج الصل UCON م ح ماعة الم وضافة إدارة الم لاناته. بة الﻼحات والعﻼقة ب الفاه مضة في الل(18).

الشكل 18: بنيﺔ الﺻﻼحيات والعﻼقﺔ بين المفاهيم المﺧﺗﻠفﺔ

ي ت الا ارت URLs الاصة اللفات ومعلمات الم مع القق Rights والي هي قاءة، كاة ومالowner ، write، read. ي ار اللف مم مع ال ال ح له ع الصل إلى اللف.

سف نقم عض الاسل ب اﻷقام اللفة في الاﻻت الالة

71

الفﺻل الﺧامس ﺧدمﺔ مشاركﺔ آمنﺔ ديناميكيﺔ لﻠبيانات عﻠى السحابﺔ

- الالة اﻷولى: مهل الانات ي الصل إلى الانات الارة. - الالة الانة: مال بانات ي مح صﻼحة وصل إلى مم أخ. - الالة الالة: مال بانات ي مح صﻼحة "مال" إلى مم أخ. - الالة ال اعة: الاعة لالة الم أثاء اﻻسام.

[15] الاﻻت الاقة تم وائف نذج الصل UCON اﻻعاد على XACML وخماتها XACML .Service

الشكل 19: الحالﺔ اﻷولى طالب البيانات يريد الحﺻول عﻠى بياناﺗه

72

الفﺻل الﺧامس ﺧدمﺔ مشاركﺔ آمنﺔ ديناميكيﺔ لﻠبيانات عﻠى السحابﺔ

4.5.5-اﳊالﺔ اﻷوﱃ ﻃالﺐ الﺒﻴات Data Consumer ﻳﺮﻳﺪ اﳊﺼول ﻋﻠﻰ الﺒﻴات الل(19)

1- تقم Aliceل الانات م نقة ت الاسة (PEP (Policy Enforcement Point الل على اس الم ولة س في حال لها للانات ﻷول مة م م المة ع انهاء اللة الاقة. 2- تقم ال PEP ب الل إلى معالج الاق Context Handleوال يلى ل رئي علة الاسل ب اﻷقام اﻷخ. 3- قم معالج الاق ب الل إلى نقة اتاذ القار PDP وال م وائفه اتاذ قار الصل واﻻسام. 4- قم PDP ل الاسة العة في حالة ل الانات م نقة إدارة الاسة PAP. 5- قم PAP إعادة الاسة إلى نقة اتاذ القار PDP. 6- قم PAP ل خاصات الم م معالج الاق CH. 7- قم ال CH ل الاصات م نقة معلمات الاسة Policy Information Point .(PIP) 8- تع ال PIP الاصات إلى CH. 9- قم PDP ل معلمات الﻼحات م ق الﻼحات Authorization section. 10- ع ق الﻼحات العلمات اللة إلى PDP. 11- قم معالج الاق إناء ملف ال XACML الاف للل. 12- يسل ال CH اللف إلى PDP للي والافقة أو رف الصل ح معلمات الﻼحات والقاع الاكة ﻹناء ملف XACML.

13- الافقة او الف تُعاد إلى CH. 14- ع الث إلى نقة ت الاسة PEP. 15- تل نقة ت الاسة PEP ود المة ع علة الث والأك م الﻼحات.

73

الفﺻل الﺧامس ﺧدمﺔ مشاركﺔ آمنﺔ ديناميكيﺔ لﻠبيانات عﻠى السحابﺔ

5.4.5-اﳊالﺔ الﺜانﻴﺔ والﺜالﺜﺔ إﺿاﻓﺔ صﻼﺣﻴﺔ إﱃ ﻣﺴﺘﺨﺪم ت جع الال الاق م خﻼل إضافة خاصة ownerعلى الﻼحات في ق الﻼحات Authorization Section مع ل م ال read و write. يل ذل إضافة صﻼحة Owner في حقل Action في ملف ال XACML ال يسل إلى مود المة.

يضح الل (20) الاسل ب اﻷقام اللفة لق الاﻻت الانة والالة:

1- إعاء ح م قل مال الانات إلى مم أخ و الل على لة مم ولة س في حال ان اللة الاقة مهة، ا على الم الح Delegatee user وال الح وه Read, Write , Owner. ون الل مجه إلى PEP (Policy .Enforcement Point) 2- قم PEP بجه الل إلى معالج الاق. 3- قم معالج الاق CH بله إلى نقة اتاذ القار Policy Decision Point. 4- تقم ال PDP ل الاسة م نقة إدارة الاسة PAP. 5- تقم ال PDP إعادة الاسة وذل باء على الل وال ه في هه الالة giveRight. 6- تقم PDP ل الاصفات الاصة ل م الم الانح والح م معالج الاق .Context Handler CH 7- ل معالج الاق الاصفات م نقة معلمات الاسة Policy Information Point PIP. 8- ع ال PIP الاصفات إلى معالج الاق. 9- ل ال PDP الﻼحات م ق الﻼحات Authorization Section. 10- ع الق الﻼحات إلى PDP. 11- قم معالج الاق باء ملف XACML وال على واصفات ل م الانح والح مع الارد الي ي مح الﻼحات علها. 12- ع معالج الاق اللف إلى PDP.

74

الفﺻل الﺧامس ﺧدمﺔ مشاركﺔ آمنﺔ ديناميكيﺔ لﻠبيانات عﻠى السحابﺔ

13- قم ال PDP الافقة في حال تاف الاصفات مع الﻼحات، ومها حالة قام الانح إعاء الح صﻼحة (owner)، ف ان ل الانح نفه هه الﻼحة(owner). في حالة إعاء صﻼحة (read) أو (write) ان ن الانح مال (owner). 14- يسل PDP الافقة أو ال ف إلى معالج الاق CH. 15- قم معالج الاق CH بل الاب إلى PEP. 16- قم ال PEP العيل على الﻼحات في ق الﻼحات في حال الافقة وذل إضافة ال إلى الم الح. 17- يسل ق الﻼحات الأك إلى PEP. 18- إعﻼم الم الح.

الشكل 20: الحالﺔ الثانيﺔ والثالثﺔ

75

الفﺻل الﺧامس ﺧدمﺔ مشاركﺔ آمنﺔ ديناميكيﺔ لﻠبيانات عﻠى السحابﺔ

6.4.5-اﳊالﺔ الﺮاﺑﻌﺔ: ﻣﺘاﺑﻌﺔ اﳌﺴﺘﺨﺪم أﺛﻨاء اﻻﺳﺘﺨﺪام تق الاعة ق، إما إعﻼم مود المة ع ل تعيل على الﻼحات م خﻼل ال في الل (21) ح ن مود المة الة اساع Listening انار أ تعيﻼت على الﻼحات، أو م خﻼل ل request م مود المة خﻼل لات زمة معة للﻼحات ا يلي:

الشكل 21: الحالﺔ الرابعﺔ المﺗابعﺔ

76

الفﺻل الﺧامس ﺧدمﺔ مشاركﺔ آمنﺔ ديناميكيﺔ لﻠبيانات عﻠى السحابﺔ

ل مود المة العيﻼت الارة م نقة ت الاسة PEP وال ياسل اقي اﻷاف لل على العيﻼت اللة. ل العيﻼت م اجل مم وح، عة مم أو جع الم. هي أئ م القة الاقة ولها تق الاعة. ا في الل (22)

الشكل 22: المﺗابعﺔ من ﺧﻼل طﻠب مزود الﺧدمﺔ لﻠﺗعديﻼت

77

الفﺻل الﺧامس ﺧدمﺔ مشاركﺔ آمنﺔ ديناميكيﺔ لﻠبيانات عﻠى السحابﺔ

This Page intentionally

Left Blank

78

الفﺻل السادس الﺗطبيق العمﻠﻲ

الفصل الﺴادس Practical Implementation

الﺘﻄﺒﻴﻖ الﻌﻤﻠﻲ نعرض ﰲ هذا الفصل التطبيق العملﻲ للﺤل اﳌقﱰح ﰲ الفصل الﺴابق

1.6-ﻣﻘﺪﻣﺔ: يألف ال العلي للل الاب م ثﻼث أجاء رئة هي:

- بة الاة الاصة Private Cloud Environment: ت تأمها م خﻼل بة OpenStack الفحة الر. - نذج الصل UCON: م خﻼل بة java مع قاع معات MySQL. - تف الانات ب الاة الاصة والاة العامة. 2.6-ﺑﻴﺌﺔ الﺴﺤاﺑﺔ اﳋاصﺔ Private Cloud Environment: [17] تــــــ تققهــــــا مــــــ خــــــﻼل اســــــام بــــــة OpenStack وهــــــ مــــــة للســــــة الــــــابة مفحــــــة الــــر، وتعــــل علــــى نــــام الــــغل ubuntu, Cento7) Linux). وهــــي تهــــف إلــــى تــــأم تــــ ــــــ وتســــــعة عالــــــة مــــــع مــــــات ــــــة لــــــاة خاصــــــة. تــــــم ال OpenStack حــــــل بــــــة تــــــة كمـــة Infrastructure as a Service) IaaS) ـــل مهـــا لـــه واجهـــة API تـــه مـــ الامـــل مع المات الجدة وخمات أخ إضافها.

79

الفﺻل السادس الﺗطبيق العمﻠﻲ

1.2.6-ﺑﻨﻴﺔ الﺴﺤاﺑﺔ اﳋاصﺔ: الل(23) يضح بة الاة العة ا يلي:

الشكل 23: بنيﺔ السحابﺔ الداﺧﻠيﺔ

وتألف م العق الالة:

1- عقة ال Controller Node:

وت على م الث Authentication والاعة الاصة المات اﻷخ، ح يج لل خمة مم ولة س، ا على لحة ال Dashboard وقاع العات والاسل والام.

2- عقة السة Compute Node:

وهي الولة ع تغل اﻷجهة اﻻفاضة VMS Virtual Machines وأجهة ال اﻷخ الجدة على الة.

3- عقة الة Network Node:

وهي الولة ع العلات الة (تزع شة اﻷنن على العق اﻷخ وعاء عان وانن لﻸجهة اﻻفاضة الجدة).

80

الفﺻل السادس الﺗطبيق العمﻠﻲ

2.2.6-ﺧﺪﻣات ال OpenStack ﰲ اﳉدول (2) تﻈهر اﳋدمات اﳌﺴتخدمة

اﳋﺪﻣﺔ اﺳم اﳌﺸﺮوع الوصﻒ لوحة التﺤكﻢ Horizon وهﻲ تﺆمن واجهة ويﺐ لتﺄمﲔ إدارة للموارد اﳌتاحة وتشﻐيل اﻷجهزة Dashboard اﻻفﱰاضية وإدارة الشبكة مﺜل إعطاء عﻨاوين للشبكة، إنشاء شبكة، انشاء موجه،... اﱁ. اﳊوسبة Nova يدير اﻷجهزة اﻻفﱰاضية من جدولة وإنشاء وﲢرير. Compute التشبيﻚ Neutron وهو يﺆمن الشبكة كخدمة حيﺚ يقوم بتقدﱘ اﻻنﱰنت لﻸجهزة Networking اﻻفﱰاضية من خﻼل تقدﱘ واجهة API تﺴمح بتعريف شبكة ما مع موجهات لتﺤديد مﺴار الطرود ﳍا. التوﺛيق Keystone يﺆمن التوﺛيق والصﻼحيات للخدمات اﻷخرى. Identity Service الﻨﺴﺦ Glance تقوم بتخزين نﺴﺦ اﻷجهزة اﻻفﱰاضية والﱵ تقوم ستخدامها ال Nova عﻨد إنشاء اﻷجهزة ﰲ بيﺌة ال OpenStack. الجدول2 : الﺧدمات المسﺗﺧدمﺔ Services In Use

يوجد خدمات أخرى ﳝكن إضافتها -ولكن اكتفيﻨا ﳋدمات الﺴابقة الضرورية - مﺜل:

اﳋﺪﻣﺔ اﺳم اﳌﺸﺮوع الوصﻒ التلميﱰي Ceilometer ويﺴتخدم من أجل قياس والدفع حﺴﺐ اﳋدمات الﱵ تقدمها الﺴﺤابة. ﲣزين أﻏراض Swift وهﻲ تﺴتخدم ﰲ حالة توقف اﳋدمات اﻷصلية حيﺚ يقوم بعملية إعادة Object نﺴﺦ البيات واﳋدمات ضمن البﻨية التﺤتية اﳌوجودة على عدة أقراص Storage ﲣزين. ﲣزين كقطع Cinder وهﻲ تﺆمن أماكن ﲣزين على ﳐدمات أخرى فتﺆمن التخزين كخدمة ﳏددة اﳊﺠﻢ ضمن البﻨية التﺤتية.

81

الفﺻل السادس الﺗطبيق العمﻠﻲ

Block Storage خدمة قواعد Trove وهﻲ تقدم قواعد البيات كخدمة وﳝكن أن تعمل من أجل ﲨيع قواعد البيات البيات العﻼقاتية وﻏﲑ العﻼقاتية SQL,Non SQL. Database Service الجدول 3: الﺧدمات اﻷﺧرى 3.2.6-ﺗوزﻳﻊ اﳋﺪﻣات ﻋﻠﻰ الﻌﻘﺪ 1.3.2.6-ﻋﻘﺪة اﳌﺘﺤكم 1.1.3.2.6- قواعد المعطيات Database اسما قاع معات MySQL وهي م القاع الهرة والمة عالاً. أن تن قاع العات على شل عقد لﻼحا في حاﻻت الفل. علة اعاد قاع العات ت خارج ناق إعاد ال OpenStack.

2.1.3.2.6- الرسائل المتبادلة Message Queue ت اسام RabbitMQ م اجل الاسل ب المات افة. على سل الال، السة Compute

مها للاصل مع خمات ال والة. أح مات RabbitMQ ﻷنه يُى ل عقد ما ل حالة مالة في حالة الفل والي أن تد إلى تقف الة.

3.1.3.2.6- خدمات الناقلية Conductor Service تاج خمات السة على عقة السة Compute Node للصل إلى قاع العات ما فح الاب أمام العي م اﻹشالات اﻷمة. لل هه القة ت باء ول nova-conductor على عقة ال قم الصل إلى قاع العات الاة ع خمات السة الجدة في عقة السة Compute Node. ي الاسل ب الل والمات الاقة م خﻼل السائل في خمة RabbitMQ.

82

الفﺻل السادس الﺗطبيق العمﻠﻲ

4.1.3.2.6-النسخ Images تألف خمة الخ OpenStack Image Service م جأي ها واجهة تا glance-api وهي الولة ع تل الخ م اﻻنن أو م مر بانات أخ وتها في عقة ال أو عقة السة، فا جء تل glance-registery ن موﻻ ً ع ت العلمات اﻹضافة الافقة للخ في قاع العات.

5.1.3.2.6-لوحة التحكم Dashboard وهي ت و مي بلغة python وه ح للم إدارة اﻷجهة اﻻفاضة، ا ح بأم إدارة لارد وة ال OpenStack. تاج لحة ال إلى مم و httpd Apache.

6.1.3.2.6-التوثيق والصﻼحيات Authentication and Authorization ل المن واصفات منة في قاع العات، م خﻼلها ي الث م هة الم وتزع الﻼحات ا ياسه. تع الم في معات لها صﻼحات مة على سل الال ع المن الي لن صﻼحة إدارة، اﻻﻼع على اﻷجهة اﻻفاضة الجدة با الم ال ﻻ لها ع اﻻﻼع على اﻷجهة اﻻفاضة الاصة عه فق.

تق تامل ب نام الث الجد في ال OpenStack مع اﻷنة الجدة حالاً مل LDAP (Lightweight Directory Access Protocol) مل OpenLDAP و Microsoft’s Active Directory وه م اﻷنة الهرة المة في الث وتع على ق اع العات MySQL ومم و Apache httpd.

2.3.2.6-ﻋﻘﺪة اﳊوﺳﺒﺔ Compute Node اخار ال CPU في هه الحلة مه، أن يع اﻻفاضة وذل م خﻼل تفعل الار VT-x لعالات ال Intel الي اسم في حالا.

1.2.3.2.6-اختيار اﻻفتراضية Choosing a Hypervisor اﻻفاضة تم بمات للعامل مع العاد الجد في القات النا، قم إناء، إدارة وﻼع على اﻷجهة اﻻفاضة. ت اخار المات KVM في حالا وذل اعادها م قل العي م الم على شة اﻻنن والر الالي ع مﻼتها (LXC,QEMU,Hyper-V).

83

الفﺻل السادس الﺗطبيق العمﻠﻲ

2.2.3.2.6-خدمات الحوسبة Compute Service ت بمات السة والي تقم العامل مع اﻷجهة اﻻفاضة ول ي ا س اﻻناء، اﻹدارة واﻻهار. ا في اﻹعادات على تعلات اﻻتال مع عقة ال وتياً مع ول السة في عقة ال وذل م خﻼل الاسل ع خمة RabbitMQ.

3.3.2.6-ﻋﻘﺪة الﺸﺒكﺔ Network Node تل العق مع عها باسة شة اﻹدارة Management Network وهي الولة ل رئي ع اﻹدارة وماقة المات وهي مفلة ع الات اﻷخ في الة ولها اقات شة مقلة وذل م أجل عم ال علها السائل والود الاصة مات الائ واﻷجهة اﻻفاضة. شة Tunnel Networkوهي مولة ل رئي ع تزع اﻻنن على اﻷجهة اﻻفاضة في الة.

84

الفﺻل السادس الﺗطبيق العمﻠﻲ

3.6-ﳕوذج الﺘﺤكم لوصول اﳌﻘﱰح Proposed Access Control [19] في حالا نقم نذج ال الصل القح آم مة Security as a Service وهي في حالة الاة بامج مة (SaaS (Software as a Service. قا إناء جهاز افاضي Virtual Machine مودة بام تغل Centos 7 وه سن مول ع وصل الم إلى خمة مارة الانات ﻼحات معة ع الث Authentication.

قا ب خ خمات Services بلغة Java تعل على apache اﻹضافة إلى معة م قاع العات مة على MySQL ا يلي:

اﺳم اﳋﺪﻣﺔ اﳌﻘاﺑﻞ الوصﻒ PEP PEPService وهﻲ تقوم بتلقﻲ الطلبات من اﳌﺴتخدمﲔ وﲢويلها ﳌعاﰿ الﺴياق. تتصل بقواعد معطيات تقوم بتﺴﺠيل ﻃلبات اﳌﺴتخدمﲔ ومﻨها ﻃلبات التوﺛيق، وتعد الواجهة الرئيﺴية معهﻢ. Context Header CHService بشكل عام هﻲ نقطة الوصل بﲔ اﳋدمات اﻷخرى اﳌختلفة، ﻻ تتضمن قواعد معطيات ﰲ حال ﱂ نكن نريد تﺴﺠيل الﱰاسل بﲔ اﳋدمات LOG file. PIP PIPService وهو اﳋدمة الﱵ تزود اﳋدمات اﻷخرى بواصفات اﳌﺴتخدمﲔ مﺜل اسﻢ اﳌﺴتخدم، اﳝيل، كلمات سر...اﱁ. تتضمن قواعد معطيات مهمتها ﲣزين هذﻩ اﳌعلومات. PAP PAPService وهﻲ اﳋدمة اﳌﺴﺆولة عن إدارة ﳕوذج الوصول، حيﺚ ﲢدد اﻹجراءات والﺴياسات اﳌتبعة ﰲ كل ﻃلﺐ من الطلبات الﱵ يقدمها اﳌﺴتخدمﲔ. PDP PDPService وهﻲ اﳋدمة الﱵ تتﺤقق من توافق خرج اﳋدمات الﺴابقة مع الﺴياسات اﳌتبعة. على سبيل اﳌﺜال تتﺤقق من صﺤة بﻨية ملف ال XACML قبل نقله إﱃ مزود خدمة

85

الفﺻل السادس الﺗطبيق العمﻠﻲ

مشاركة البيات، كما تتﺤقق من صﻼحيات اﳌﺴتخدم عﻨد تقدﳝه لطلﺐ معﲔ. Authorization AuthService وهﻲ اﳋدمة الﱵ تزود مركز اﲣاذ القرار PDP Section لصﻼحيات اﳋاصة ﳌﺴتخدمﲔ. تتضمن قواعد معيطات ﲣزن صﻼحيات الوصول اﳋاصة ﳌﺴتخدمﲔ على اﳌلفات. الجدول 4: ﺧدمات نموذج الوﺻول

1.3.6-ﳐﻄﻂ ﻫم الﺼﻔوف ﰲ اﳋﺪﻣﺔ اﳌﻘﱰﺣﺔ

الشكل 24: مﺧطط الﺻفوف

الفف الاقة تل اسقا ل قاع العات، الف User وه مول ع الل على العلمات الاصة الم م قاع العات، ع لها م قل خمة PIP (Policy Information (Point. الف File وه الف الاص العامل مع قاع العات الء الاص اللفات. الف Authorization ه الء الاص ب الﻼحات في المة ح ي اللفات مع الم

86

الفﺻل السادس الﺗطبيق العمﻠﻲ

والفعل القابل للم على اللفات وهي ل عام تقابل بة قاع العات الجدة، ي العيل على الﻼحات م خﻼل ها الف ح ي ض هه العلة م خﻼل الأك م صﻼحات الم على م هه القة. الف PDP قم علة الا مع الف Authorization وقم الأك م صﻼحة الم ا قم علة الث م ملف XACML القادم م الف CH (Context (Handler ع الف PDP مع الف CH عق الصل ب اﻷقام اللفة.

مﻼحة الفف الاقة مزعة على المات الة الي تلف المة. 2.3.6-ﻗواﻋﺪ اﳌﻌﻄﻴات كل خمة م المات لها قاع العات الاصة بها ن فا يلي قاع العات الاصة مة معلمات الاسة (PIP (Policy Information Point وSection Authorization.

قاع العات الاصة ب PIP:

الشكل 25: مﺧطط قواعد المعطيات ل PIP

87

الفﺻل السادس الﺗطبيق العمﻠﻲ

الول Groupو Group_User مول ع ت الم في معات ملفة ﻻ تار الم بف العة. الول Attribute و Attribute_Value ان علة إضافة ديامة لاصفات الم ح إضافة واصفات ملفة للم وسها م عها اﻷخ.

قاع العات الاصة ق الﻼحات Authorization Section:

الشكل 26: قواعد المعطيات لقسم الﺻﻼحيات

في الول File نقم ب ماقع اللفات ومالها. الول Authorization نقم ب الاات اللفة على اللفات قاءة، اة... الخ. الول Group_File قم ب الﻼحات الاصة عات الم على ملف مع. الول User_File قم ب صﻼحات مم ما على ملف.

الي ال أن ق العد Owner في الول File و ق العد User في الول User_File هي ق مردة م الول User في قاع العات الل رق (). اما ق العد Group في الول Group_File هي ق مردة م الول Group في قاع العات ذاتها الل رق().

88

الفﺻل السادس الﺗطبيق العمﻠﻲ

ت اﻹدارة على نذج ال الصل ال ب المات الاقة ا ت الأك م الاصل ب قاع العات الاقة. ا ت اﻹدارة على نذج ال الصل الق م الات العة ع كل نا لم ما، وعلة إضافة واصفات جية للم.

89

اﳋاﲤﺔ قــــــما فــــــي هــــــا العــــــل د ارســــــة مجعــــــة لــــــاذج الــــــ الصــــــل الجــــــدة حالــــــا ً علــــــى الـــــــــاة وأههـــــــــا RBAC وUCON، وناقـــــــــا مـــــــــلة مـــــــــارة الانـــــــــات ـــــــــل آمـــــــــ علـــــــــى الـــــــــاة، وعضـــــــــا أحـــــــــث وأهـــــــــ اللـــــــــل الالـــــــــة الجـــــــــدة ومـــــــــاكلها وأههـــــــــا ARBE وAware Privacy. انقلا عها إلى اقاح نذج لل هه اللة.

يـــــ الـــــل الجـــــد مـــــ جـــــأي علـــــى مـــــ: تـــــف الانـــــات لـــــان الـــــة وهـــــي بمـــــة مـــــة (SaaS (Software as a Service والصـــــل إلـــــى الانـــــات ــــﻼحة اللــــة والاجــــة وهــــي (SaaS (Security as a Service. وــــ علـــــي نفـــــنا الـــــل فـــــي بـــــة OpenStack والـــــي شـــــغل مـــــ الـــــل الثـــــق الســـــ ب الم الهائي و الاة العامة.

كآفـــــاق مـــــقلة، ـــــ الـــــ علـــــى الـــــذج الـــــاب للعـــــل علـــــى وـــــل نـــــف مثـــــق حــــــــــ ﻻ يلــــــــــع الــــــــــل علــــــــــى معلمــــــــــات الــــــــــم، ذلــــــــــ ــــــــــ أن يلــــــــــ مــــــــــ الــــــــم علــــــــات تـــــــــف وفــــــــ تـــــــــف إضــــــــافة. ــــــــ تـــــــــ نــــــــذج الصـــــــــل ﻹضـــــافة خـــــمات أخـــــ اﻹضـــــافة إلـــــى مـــــارة الانـــــات ـــــا ـــــ تـــــ العـــــل علـــــى الذج للصل إلى إدارة املة للذج الصل UCON.

90

المﻠحق آ الﺘﺸﻔﲑ الﺘﺒادﱄ Commutative Encryption

ﺗﻌﺮﻳﻒ:

[14] ل ℳ فاء السائل ، فاء الفاتح. نقل ع الاع ℳ ⟶ℳ: تاع تف تادلي

مقابل اذا حق ما يلي:() = () :ℳ ∋ ∀, ∋ ,∀

 م أجل P عد أولي: ( ) ≝ () ه تاع تادلي مقابل: o تقابل: يج b .() = ∈ℤ هلة اسام خارزمة إقلس ن (1 − ) 1 = وة ن:

() () = ( ) = ( ) = () وذل اسام نة فمات ( ) ℤ , = 1∋

o تادلي: وذل ا يلي () = ( ) =

ﻣﺜال ﻣﻘﱰح ﻋﻦ الﺘﺸﻔﲑ الﺘﺒادﱄ:

تقم Alice إرسال السالة s إلى Bob ل مف، وﻻ ع Bob الل على ها ال

دون مافقة اﻷاف اﻷخ الثقة {1 − ,…,1,2} ∋ :.

- إعاد Setup: ل p عد أولي ومعوف، s ه ال الاد ماره وتفه وه ملك م

قل . ل جهة ,…,0,1 = , لها مفاحها الاص ( ,) ح , ∈ℤ,gcd(, −1) = 1, = 1 ( −1)

- الف Encryption: في هه الحلة ي تف السالة ل ماع ا يلي:

o قم مال الانات بف السالة s حلة أولى ( ) = وقم إرسال

إلى .

91

o م أجل ,…,1,2 = ، ل جهة قم بف السالة القادمة م الهة الالي ( ) = وسلها إلى الهة . o تقم الهة الف ( ) = وتسلها إلى الال. o قم الال علة س لقة الف، و ( ) = الي أضافها ث

يسلها إلى وه الف اﻷخ الي ي مارة ال معه. - ف الف Decryption: في هه الحلة تقم الهات اللفة إ ازلة قة الف الاصة ه،

واخ محلة قم إ ازلة قة الف الاصة ه والل على ال s. o قم بضع = ورسالها إلى الف ح { ,…,1,2} ∋ . o تقم ل جهة {1 − ,…,1,2} ∋ : قة الف الاصة ه ا يلي ( ) ورسالها إلى الهة الالة. الهة اﻷخة في هه العلة تقم إرسال الة

إلى . o قم Bob قة الف الاصة ه في الهاة للل على ال ا يلي . = ( )

92

اﳌﻠﺤﻖ ب الﺘﺸﻔﲑ ﻛﻘﻨاة Stream Encryption

ﺗﻌﺮﻳﻒ:

ق الف الاثل إلى ق الف اللي والف قاة ا ه في الل(27):

الشكل Stream Vs. Block cipher :27

في الف قاة ي الف على م ال bit با في الف اللي ن الف على م لة م ال الح حها العاد 64،128،256 ب وتعي ن مف بف ال.

:XOR Operation

تم علات ال XOR في مع تقات الف الجدة حالا، إذا ما ننا إلى جول الققة الالي:

فاذا افضا انا ن تف 0= سف ن ان الة الفة ح الول الاب ه اما 0 أو 1

م ال اﻷول والاني فق وذل ح ال الاص الفاح s. اذا ان ال عائة املة

أ ان احال نه 0 أو 1 ه 50% فإن اﻷم سف يع على الة الفة لن احال تقع الاتج الف ااً It’s All About the key .%50

93

اﳌﺮاﺟﻊ [1] Dan C. Marinescu , Cloud Computing Theory and Practice, 2013. [2] Qi Zhang · Lu Cheng · Raouf Boutaba , Cloud computing: state-of-the-art and research challenges,2010. [3] Muhammad Rehan Faheem1, Security Issues In Cloud Computing, 2014. [4] Huaglory Tianfield, Security Issues In Cloud Computing, 2012.

[5] Ryan AusankaCrues, Methods for Access Control:Advances and Limitations,2013.

[6] David F. Ferraiolo and D. Richard Kuhn, Role-Based Access Controls, 1992.

[7] Khalid Zaman Bijon, Ram Krishnan, Ravi Sandhu, A Framework for Risk- Aware Role Based Access Control, 2013.

[8] JAEHONG PARK, RAVI SANDHU, The UCON ABC Usage Control Model, 2004.

[9] Chen Danwei, Huang Xiuli, and Ren Xunyi, Access Control of Cloud Service Based on UCON, 2009.

[10] Danan Thilakanathan, Shiping Chen, Surya Nepal and Rafael A. Calvo, Secure Data Sharing in the Cloud, 2014.

[11] Encryption and Key Management (2012) Cloud security alliance wiki. Source: https://wiki.cloudsecurityalliance.org/guidance/index.php/Encryption_and_Key_M anagement. Accessed on Nov 2012.

[12] David Lubicz, Thomas Sirvent, Attribute-Based Broadcast Encryption Scheme Made Efficient, 2008.

[13] Hassan Takabi Privacy Aware Access Control for Data Sharing in Cloud Computing Environments.2014.

[14] Saied Hosseini Khayat, Using Commutative Encryption to Share a Secret,2008.

94

[15] Samuel Paul Kaluvuri, Nicola Zannone SAFAX - An Extensible Authorization Service for Cloud Environments.2015.

[16] Xiao Liang Hu, Sylvia L. Osborn. A New Approach for Delegation in Usage Control.2013.

[17] OpenStack installation Guide.2014.

[18] OpenStack Operations Guide, 2014.

[19] Andr_e van Schoubroeck , UconXACML: An implementation of UCON in XACML.2014.

95

اﳌﻠﺨﺺ ﰲ ظل التطور الكبﲑ اﳊاصل ﰲ ﳎال خزن البيات ومعاﳉتها ﻹضافة إﱃ التطور على شبكة اﻻنﱰنت، أصبح اﳊصول على اﳌعلومات ومصادرها أسرع وأرخص ومتوافر بشكل أكﱪ. هذا الوضع فتح اال أمام تطور جديد ﰲ عاﱂ اﳊوسبة والشبكات ونﻈﻢ التشﻐيل سلوب جديد هو اﳊوسبة الﺴﺤابية. ﰲ هذا العمل نقدم حل ﳌشكلة مشاركة البيات بطريقة آمﻨة وديﻨاميكية على الﺴﺤابة، حيﺚ تتﻢ العملية بدون عملية إعادة تشفﲑ للمعطيات اﳌطلوب مشاركتها، كما أا ﻻ تتضمن عملية توزيع للمفاتيح على اﳌﺴتخدمﲔ كما ﰲ أﻏلﺐ اﳊلول اﳌط روحة حالياً. كما أن هذﻩ الرسالة تتضمن خطوة ﰲ اﲡاﻩ إﳒاز إدارة لﻨموذج التﺤكﻢ لوصول حﺴﺐ اﻻستخدام UCON. حيﺚ قمﻨا بدراسة تفويض مﺴتخدم ﳌﺴتخدم أخر ومﻨﺤه صﻼحية مشاركة بياته.

Abstract

With the huge development in the field of data storing and processing as well as the impending development of the internet, accessing information and resources is becoming faster, cheaper and more available. This has paved the way for a new development in the world of computing, networks and operating systems, which is “Cloud Computing”.

In this project, we present a solution for the problem of secure data sharing in a safe and dynamic way on Public Cloud. The process is done without re-encrypting the shared data or re-distributing keys as the case in most solutions so far. Also, include a step towards the completion of access control UCON, where we studied the ability for a user to delegate another user OWNER role and sharing data authorization.

96