نظام ﲢكم لوصول دﻳﻨاﻣﻴكﻲ وأﻣﻦ لﻠﺤوﺳﺒﺔ الﺴﺤاﺑﻴﺔ Dynamic Secure Access Control for Cloud Computing
إﻋﺪاد:
م. ﳎﺪ الﺸﻤاﱄ
إﺷﺮاف:
د.ﳏﻤﺪ ﺟﻨﻴﺪي
I
اﳌﻠﺨﺺ
II
ﰲ ظل التطور الكبﲑ اﳊاصل ﰲ ﳎال خزن البيا ت ومعاﳉتها ﻹضافة إﱃ التطور على شبكة اﻻنﱰنت، أصبح اﳊصول على اﳌعلومات ومصادرها أسرع وأرخص ومتوافر بشكل أكﱪ. هذا الوضع فتح ا ال أمام تطور جديد ﰲ عاﱂ اﳊوسبة والشبكات ونﻈﻢ التشﻐيل سلوب جديد هو اﳊوسبة الﺴﺤابية. ﰲ هذﻩ اﳌشروع نقدم حل ﳌشكلة مشاركة البيا ت بطريقة آمﻨة وديﻨاميكية على الﺴﺤابة، حيﺚ تتﻢ العملية بدون عملية إعادة تشفﲑ للمعطيات اﳌطلوب مشاركتها، كما أ ا ﻻ تتضمن عملية توزيع للمفاتيح على اﳌﺴتخدمﲔ كما ﰲ أﻏلﺐ اﳊلول اﳌطروحة حالياً. كما أن هذﻩ الرسالة تتضمن خطوة ﰲ اﲡاﻩ إﳒاز إدارة لﻨموذج التﺤكﻢ لوصول حﺴﺐ اﻻستخدام UCON. حيﺚ قمﻨا بدراسة تفويض مﺴتخدم ﳌﺴتخدم أخر ومﻨﺤه صﻼحية مشاركة بيا ته.
Abstract
With the huge development in the field of data storing and processing as well as the impending development of the internet, accessing information and resources is becoming faster, cheaper and more available. This has paved the way for a new development in the world of computing, networks and operating systems, which is “Cloud Computing”.
In this project, we present a solution for the problem of secure data sharing in a safe and dynamic way on Public Cloud. The process is done without re-encrypting the shared data or re-distributing keys as the case in most solutions so far. Also, include a step towards the completion of access control UCON, where we studied the ability for a user to delegate another user OWNER role and sharing data authorization.
III
Contents ﻗاﺋﻤﺔ ﻷﺷكال ...... VII ﻗﺎﺋﻣﺔ الجداول ...... VIII
اﻻﺧﺘﺼارات ...... IX الفصل اﻷول: ﻣقدﻣﺔ ﻋﺎﻣﺔ ﻋن الحوسبﺔ السحﺎبيﺔ ...... 1 1.1-ﻣقدﻣﺔ ...... 1 1.1.1-ﻣفﺎهيم ﻣﺗصﻠﺔ ...... 2
2.1-ﺑﻨﻴﺔ اﳊوﺳﺒﺔ الﺴﺤاﺑﻴﺔ ...... 3
1.2.1-الﻄﺒﻘات ﰲ اﳊوﺳﺒﺔ الﺴﺤاﺑﻴﺔ ...... 3
2.2.1-ﳕوذج اﻷﻋﻤال Business Module ...... 4
3.2.1-أنواع الﺴﺤاﺑﺔ ...... 5
3.1-ﺧﺼاﺋﺺ اﳊوﺳﺒﺔ الﺴﺤاﺑﻴﺔ Cloud Computing Characteristics ...... 6
4.1-ﺗﺼﻤﻴم ﻣﺮاﻛﺰ الﺒﻴا ت ...... 8
5.1-ﺗﺼور لﺪﺧول اﳌﻌﻬﺪ الﻌاﱄ ﳊوﺳﺒﺔ الﺴﺤاﺑﻴﺔ ...... 9
الﻔﺼﻞ الﺜاﱐ:ﺑﻌﺾ الﻘضا اﻷﻣﻨﻴﺔ ﰲ اﳊوﺳﺒﺔ الﺴﺤاﺑﻴﺔ ...... 13
1.2-ﻣﻘﺪﻣﺔ ...... 13
2.2-اﳌﺘﻄﻠﺒات الﻌاﻣﺔ ﰲ أﻣﻦ الﺴﺤاﺑﺔ ...... 14
3.2-الﻘضا اﻷﻣﻨﻴﺔ ﰲ ﺣالﺔ ال ﱪﳎﻴات ﻛﺨﺪﻣﺔ (Software as a Service (SaaS ...... 17
1.3.2-أمن اﳌعطيات Data Security ...... 17
2.3.2-أﻣﻦ الﺸﺒكﺔ Network Security ...... 18
3.3.2-ﲤوﺿﻊ الﺒﻴا ت Data Locality ...... 18
4.3.2-نﺰاﻫﺔ الﺒﻴا ت Data Integrity ...... 19
5.3.2-ﻓﺼﻞ الﺒﻴا ت Data segregation ...... 19
6.3.2-س ة ال عل مات Data Confidentiality ...... 20
7.3.2-ﺳﺮﻳﺔ ﺗﻄﺒﻴﻖ الوﻳﺐ Web application security ...... 20
8.3.2-نقا ال ف ﻓﻲ ال ة اﻻﻓ اض ة Vulnerability in virtualization ...... 21
9.3.2-الﺘواﻓﺮﻳﺔ Availability ...... 22
10.3.2-الوصول إﱃ الﺒﻴا ت Data Access ...... 22
IV
الﻔﺼﻞ الﺜالﺚ:ﳕاذج الﺘﺤكم لوصول ﰲ اﳊوﺳﺒﺔ الﺴﺤاﺑﻴﺔ ...... 24
1.3-ﻣﻘﺪﻣﺔ ...... 24
2.3-ﺗﻌارﻳﻒ أﺳاﺳﻴﺔ ...... 24
3.3-نظام الﺘﺤكم اﻷﻣﻨﻴﺔ اﳌضﺒوﻃﺔ While Mandatory Access Control ...... 26
4.3-الﺘﺤكم لوصول الﺘﻘﺪﻳﺮﻳﺔ Discretionary Access Control ...... 26
5.3-نظام الﺘﺤكم لوصول اﺳﺘﻨادا ً إﱃ الﺪور (Role Based Access Control (RBAC ...... 27 1.5.3-ﻣﻘﺪﻣﺔ ...... 27
2.5.3-ﺗوصﻴﻒ RBAC ...... 28
3.5.3-ﻣكﺘﺒﺔ اﻹدراك ﳌﺨاﻃﺮ لﻨظام الﺘﺤكم لوصول ﻻﻋﺘﻤاد ﻋﻠﻰ اﻷدوار Risk Awareness Framework for RBAC ...... 30
6.3-نظام الﺘﺤكم لوصول ﺣﺴﺐ اﻻﺳﺘﺨﺪام Usage Control (UCON) Access Control ...... 36
1.6.3-ﻣﻘﺪﻣﺔ ...... 36
2.6.3-ﻣكو ت ﳕوذج ABC Model Component UCON ...... 37
3.6.3-الﻨﻤاذج اﻷصﻠﻴﺔ ...... 41
الﻔﺼﻞ الﺮاﺑﻊ: ﻣﺸارﻛﺔ الﺒﻴا ت ﻋﻠﻰ الﺴﺤاﺑﺔ ...... 52
1.4-ﻣﻘﺪﻣﺔ ...... 52
2.4-الﻄﺮق الﺘﻘﻠﻴﺪﻳﺔ ...... 54
3.4-اﳊاﺟﺔ إﱃ نظام إدارة اﳌﻔاﺗﻴﺢ The need of Key Management System ...... 55
4.4-الﺘﺸﻔﲑ ﺑواﺳﻄﺔ الواصﻔات Attribute-Based Encryption ...... 55
1.4.4-ﺗﻌارﻳﻒ أولﻴﺔ ...... 56
5.4-الﺘﺸﻔﲑ ﺑواﺳﻄﺔ وﻛﻴﻞ Proxy Re-encryption: ...... 59
6.4-ﳕوذج الوصول ﺣﺴﺐ اﳋﺼوصﻴﺔ ﻣﻦ أﺟﻞ ﻣﺸارﻛﺔ الﺒﻴا ت ﰲ اﳊوﺳﺒﺔ الﺴﺤاﺑﻴﺔ Privacy Aware Access Control for Data 59 ...... Sharing in Cloud Computing Environments
الﻔﺼﻞ اﳋاﻣﺲ:ﺧﺪﻣﺔ ﻣﺸارﻛﺔ آﻣﻨﺔ دﻳﻨاﻣﻴكﻴﺔ لﻠﺒﻴا ت ﻋﻠﻰ الﺴﺤاﺑﺔ ...... 63
1.5-ﻣﻘﺪﻣﺔ ...... 63
2.5-ﻋﺮض اﳌﺸكﻠﺔ ...... 64
3.5-ﺗﺸﻔﲑ الﺒﻴا ت اﳌﻄﻠوب ﻣﺸارﻛﺘﻬا ﻋﻦ ﻃﺮﻳﻖ وﻛﻴﻞ Encoding The Sharing Data Using Proxy ...... 64
1.3.5-ﺗﺸﻔﲑ ﻣﻔﺘاح الﺘﺸﻔﲑ ...... 66
V
4.5-ﲢﻘﻴﻖ الوصول والﺪﻳﻨاﻣﻴكﻴﺔ ﺳﺘﺨﺪام ﳕوذج الوصول ﺣﺴﺐ اﻻﺳﺘﺨﺪام Achieving Authorized Dynamic Access using 68 ...... UCON
1.4.5-ﺗﻌارﻳﻒ ﻋاﻣﺔ ...... 68 69 ...... XACML -2.4.5
3.4.5- ﻣﻘﺪﻣﺔ ﻋﻦ ﳕوذج الوصول اﳌﻄﺮوح Overview Of The Proposed Access Control ...... 71
4.5.5-اﳊالﺔ اﻷوﱃ ﻃالﺐ الﺒﻴا ت Data Consumer ﻳﺮﻳﺪ اﳊﺼول ﻋﻠﻰ الﺒﻴا ت ...... 73
5.4.5-اﳊالﺔ الﺜانﻴﺔ والﺜالﺜﺔ إﺿاﻓﺔ صﻼﺣﻴﺔ إﱃ ﻣﺴﺘﺨﺪم ...... 74
6.4.5-اﳊالﺔ الﺮاﺑﻌﺔ: ﻣﺘاﺑﻌﺔ اﳌﺴﺘﺨﺪم أﺛﻨاء اﻻﺳﺘﺨﺪام ...... 76
الﻔﺼﻞ الﺴادس: الﺘﻄﺒﻴﻖ الﻌﻤﻠﻲ ...... 79
1.6-ﻣﻘﺪﻣﺔ: ...... 79
2.6-ﺑﻴﺌﺔ الﺴﺤاﺑﺔ اﳋاصﺔ Private Cloud Environment: ...... 79
1.2.6-ﺑﻨﻴﺔ الﺴﺤاﺑﺔ اﳋاصﺔ: ...... 80
2.2.6-ﺧﺪﻣات ال OpenStack ...... 81
3.2.6-ﺗوزﻳﻊ اﳋﺪﻣات ﻋﻠﻰ الﻌﻘﺪ ...... 82
3.6-ﳕوذج الﺘﺤكم لوصول اﳌﻘﱰح Proposed Access Control ...... 85
1.3.6-ﳐﻄﻂ ﻫم الﺼﻔوف ﰲ اﳋﺪﻣﺔ اﳌﻘﱰﺣﺔ ...... 86
2.3.6-ﻗواﻋﺪ اﳌﻌﻄﻴات ...... 87
اﳋاﲤﺔ ...... 90 الﻣﻠحق آ ...... 91
اﳌﻠﺤﻖ ب ...... 93
اﳌﺮاﺟﻊ ...... 94
اﳌﻠﺨﺺ ...... 96
VI
ﻗاﺋﻤﺔ ﻷﺷكال الشكل 1: مفاهيم مﺗﺻﻠﺔ بالحوسبﺔ السحابيﺔ ...... 4 الشكل 2: بنيﺔ ﺧاﺻﺔ بنموذج اﻷعمال ...... 5 الشكل 3: البنيﺔ الهرميﺔ لمركز البيانات ...... 8 الشكل 4: العﻼقﺔ بين المسﺗﺧدمين واﻷغراض واﻷدوار ...... 28 الشكل 5: مثال عن العﻼقات بين اﻷدوار ...... 30 الشكل 6: اﻹدراك بالمﺧاطر ﻓﻲ RBAC ...... 31 الشكل 7: اﻹدراك بالمﺧاطر الﺗقﻠيدي ﻓﻲ RBAC ...... 32 الشكل 8: اﻹدراك بالمﺧاطر ﻓﻲ RBAC بشكل غير مﺗكيف وﺗقديري non-Adaptive ...... 34 الشكل 9: اﻹدراك بالمﺧاطر الﺧاص ب RBAC والمﺗكيف مﻊ الزمن ...... 36 الشكل10 : مكونات النموذج الﺗحكم بالوﺻول UCON ABC...... 37 الشكل 11: النماذج اﻷﺻﻠيﺔ ﻓﻲ UCON ...... 41 الشكل 13: الوﺻول حسب الواﺻفات CP-ABE ...... 57 الشكل 14: مثال عن الوﺻول حسب الواﺻفاتCP-ABE ...... 57 الشكل 14: الوﺻول حسب الواﺻفات KP-ABE ...... 58 الشكل 15: نموذج الوﺻول حسب الﺧﺻوﺻيﺔ ...... 60 الشكل 16: الﺗشفير عن طريق الوكيل ...... 64 الشكل 17: بنيﺔ مﻠف ال XACML ...... 69 الشكل 18: بنيﺔ الﺻﻼحيات والعﻼقﺔ بين المفاهيم المﺧﺗﻠفﺔ ...... 71 الشكل 19: الحالﺔ اﻷولى طالب البيانات يريد الحﺻول عﻠى بياناﺗه ...... 72 الشكل 20: الحالﺔ الثانيﺔ والثالثﺔ ...... 75 الشكل 21: الحالﺔ الرابعﺔ المﺗابعﺔ ...... 76 الشكل 22: المﺗابعﺔ من ﺧﻼل طﻠب مزود الﺧدمﺔ لﻠﺗعديﻼت ...... 77 الشكل 23: بنيﺔ السحابﺔ الداﺧﻠيﺔ ...... 80 الشكل 24: مﺧطط الﺻفوف ...... 86 الشكل 25: مﺧطط قواعد المعطيات ل PIP ...... 87 الشكل 26: قواعد المعطيات لقسم الﺻﻼحيات ...... 88 الشكل Stream Vs. Block cipher :27 ...... 93
VII
قائمة الجداول الجدول 1: اﻻﺧﺗﻼف بين السحابﺔ العامﺔ والسحابﺔ الﺧاﺻﺔ ﻓيما يﺧص مؤسسﺔ ﺗعﻠيميﺔ ...... 10 الجدول2 : الﺧدمات المسﺗﺧدمﺔ Services In Use ...... 81 الجدول 3: الﺧدمات اﻷﺧرى ...... 82 الجدول 4: ﺧدمات نموذج الوﺻول ...... 86
VIII
اﻻﺧﺘﺼارات ال ال ص ل ال ق ي DAC: Discretionary Access Control
ن ال ال ص ل ح ال ور RBAC: Role Based Access Control
ن ال ال ص ل ح اﻻس ام UCON: Usage access CONtrol
م ود خ مة على ال ا ة CSP: Cloud Service Provider
خ مة إدارة ال اسة PMS: Policy Management Service
ال ف اع اداً على ال اصفات ABE: Attribute Based Encryption
لغة ت ص ف ال ال ص ل XACML: eXtensible Access Control Markup Language
نق ة ت ال اسة PEP: Policy Enforcement Point
نق ة معل مات ال اسة PIP: Policy Information Point
نق ة ات اذ الق ار لل اسة PDP: Policy Decision Point
معالج ال اق CH: Context Handler
IX
This Page intentionally
Left Blank
X
الفﺻل اﻷول مقدمﺔ عامﺔ عن الحوسبﺔ السحابيﺔ
الفصل اﻷول مقدمة عامة عن الحوسبة السحابية نعرض ﰲ هذا الفصل مقدمة عامة عن اﳊوسبة الﺴﺤابية والبﻨية اﳋاصة ا ﻹضافة إﱃ الوظائف واﳋدمات الﱵ تقدمها كما نع رض بعض اﻷمﺜلة اﳌوجودة حالياً.
1.1-مقدمة في ل ال ر ال ال اصل في م ال خ ن ال انات ومعال ها اﻹضافة إلى ال ر في ش ة اﻻن ن ، أص ح ال ل على ال عل مات أس ع وأرخ وم ف ل أك . ه ا ال ضع ف ح ال ال أمام ت ر ج ي في عال ال س ة وال ات ون ال غ ل أسل ب ج ي ه ال س ة ال اب ة، ح ي ف ه ت ف ال ارد م ل ال عال ات وم ات ق اع ال ع ات (CPU،Database Engine ) ع ش ة اﻹن ن .
أتاح ال س ة ال اب ة ال م الق رة على إدارة ال ارد م م ّ مات وأجه ة ش ة... الخ. ح أص ح ال عامل معها و أنها حاس وح إم انات ض ة هي ل أو أخ ت ع لل ارد ال نة لل ا ة. ه ه ال ة وغ ها جعل ش ات ص اعة ال م ات ت قل إلى ال س ة ال اب ة م ل Microsoft،Google ، Amazon، أو تع ه لة اﻷع ال ال اصة بها لل اس مع ب ة ال ا ة.
في ب ة ال ا ة ي ج ن ع م م ود ال مة Service Provider:
- م ود ال ة ال ة وه ال ق م ال ارد ح ال ع واﻻس ام. - م ود ال مة وال ق م عال ة ل ات ال م و ع ال ة وم ال عل ها Google.
الف ة اﻷساس ة و ارء ال س ة ال اب ة ان في عام 1960 وال ي ان ت ل تق ال ه ﻼت لل ائ على ش ل خ مات، م لح ال ا ة اس م على ن اق واسع صف ش ات الATM في عام 1990، ول ل عام ع د اس ام م لح ال س ة ال اب ة ل و ال مات ع اﻻن ن عام 2006، وم ذل
ال م ه ا ال لح على ن اق ت ار واسع ل ص ف أف ار م لفة، ول عّ ف ال عه ال ي
1
الفﺻل اﻷول مقدمﺔ عامﺔ عن الحوسبﺔ السحابيﺔ
اﻷم ي لل عاي وال ل ج ا (National Institute Of Standards and Technology (NIST ال س ة ال اب ة ب:
- ن ذج ل فع ل وص ل سهل وح ال ل ل ارد حاس ة (م ل ال ات، ال ّ مات، أماك ت ال قات وال مات) وال ي ح ت ف ها وت ها عة مع جه إدارة قل ل وت اسل أقل مع م ود ال مة.
1.1.1-مفاهيم مﺘﺼﻠة
ال س ة ال اب ة تقارن عادةً ال ق ات ال ال ة، ل م ها ت ه ال س ة ال اب ة ان مع ة[1]:
- ال س ة ال ة Grid Computing: وهي ن ذج م زع وال ي م ارد ال ة ﻹن از ه ف ح س ي م ك. ال س ة ال اب ة ت ه ال س ة ال ة أنها ت ف م ادر م زعة به ف إن از أغ اض مع ة على م ال قات. مع ذل فإن ال س ة ال اب ة تق م وذل اﻻس فادة م ال ق ات على م ات ع ة (ت قات وع اد) ل ق تقاس لل ارد وت ها وح ها ل دي ام ي.
- ال س ة ال م ة Utility Computing: وه ن ذج ع على ت ف ال ارد وتل ة حاجات ال ائ م ها ح ال ل . ت ق ال س ة ال اب ة ال ذج ال اب م خﻼل اع اد ت ع لل ارد ح ال ل . - اﻻف اض ة Virtualization: وهي ال ذج ال ع ل تفاص ل الع اد و ق م ب أم م ارد اف اض ة
لل قات. ه ه ال اص ة ت ل أساس ال س ة ال اب ة ح ت ل ال ارد م ت ع لل ّ مات وﻻ داعي أن لع ال ن على تفاص ل الع اد إن ا ع ف ال ارد ال م ة له. - Autonomic Computing: وهي تع ى ب اء أن ة حاس ة لها الق رة على ال ال اتي Self-management. ت ث ال س ة ال اب ة ع اً م خ ائ ه وذل م خﻼل تأم واجهات إدارة لل ائ ﻹدارة م ارده ال احة ا ت أقل ل أوت مات ي مع ز ادة ل ات ال ن على ال ارد.
2
الفﺻل اﻷول مقدمﺔ عامﺔ عن الحوسبﺔ السحابيﺔ
2.1-ﺑﻨﻴﺔ اﳊوﺳﺒﺔ الﺴﺤاﺑﻴﺔ
1.2.1-الﻄﺒﻘات ﰲ اﳊوﺳﺒﺔ الﺴﺤاﺑﻴﺔ ل عام، ب ة ال س ة ال اب ة تق إلى أر ع قات رئ ة هي[2]:
الع اد ال ل /م ال انات (Hardware\data centers) – ال قة اﻻف اض ة – ال ات – ال قات
- الع اد ال ل (Hardware\data centers):
وهي قة ال ادر الف ائ ة ال اصة ال ا ة وت م مات ف ائ ة Servers، م ﻻت routers وم ﻻت switches ون اقة وت . قة الع اد ت عادة في م اك ال انات data centers وال ي ت عادة اﻵﻻف م ال مات م ة في صف ف وم لة ف ا ب ها م خﻼل م ﻻت وم ﻻت وغ ها. إدارة ه ه ال قة ت إع ادات الع اد، إدارة ح ة ال ود، إدارة م ادر ال اقة وال .
- ال قة اﻻف اض ة
وهي ال قة ال ئ ة في ال س ة ال اب ة، وهي تغ ي الع اد ال ل وتق م إدارته وت عه، ي ج ال م اﻷدوات ل ف ه ه ال قة م ل Xen ،VMWare.
- ال ات