صفحه محصول - بهبود برقراری امنیت اطلاعات در رایانش ابری با استفاده از استاندارد saml

بهبود برقراری امنیت اطلاعات در رایانش ابری با استفاده از استاندارد saml (docx) 203 صفحه

دسته بندی : تحقیق

نوع فایل : Word (.docx) ( قابل ویرایش و آماده پرینت )

تعداد صفحات: 203 صفحه

قسمتی از متن Word (.docx) :

به نام خداوند بخشنده مهربان مؤسسه آموزش عالی صنعتی فولاد دانشکده مهندسی کامپیوتر و فناوری اطلاعات بهبود برقراری امنیت اطلاعات در رایانش ابری با استفاده از استاندارد SAML پایان‌نامه کارشناسی ارشد مهندسی فناوری اطلاعات گرایش مدیریت سیستمهای اطلاعاتی رسول دانشمند استاد راهنما دکتر شهره آجودانیان تابستان 1393 2633345723221سه0سه موسسه آموزش عالی صنعتی فولاد دانشکده مهندسی کامپیوتر و فناوری اطلاعات پایان نامه کارشناسی ارشد مهندسی فناوری اطلاعات گرایش مدیریت سیستم‌های اطلاعاتی رسول دانشمند با عنوان بهبود برقراری امنیت اطلاعات در رایانش ابری با استفاده از استاندارد SAML در تاریخ توسط کمیته تخصصی زیر مورد بررسی و تصویب نهایی قرار گرفت. 1- استاد راهنمای پایان نامه دکتر شهره آجودانیان مرتبه علمی: استادیار امضاء........... 2- استاد مشاور پایان نامه دکتر محمد داورپناه جزی مرتبه علمی: استادیار امضاء........... 3- استاد داور دکترمحمدعلی منتظری مرتبه علمی: استادیار امضاء........... 4- رئیس تحصیلات تکمیلی مؤسسه دکتر ابراهیم شیرانی مرتبه علمی: استاد امضاء.......... 2633345716753چهار0چهار تشکر و قدردانی از سرکار خانم دکتر شهره آجودانیان که با راهنمایی های خود من را در تمام مراحل این پژوهش یاری نمودند تشکر و قدردانی می‌کنم، چرا که بدون راهنمایی‎ها و همکاری‎های ایشان تهیه این پایان‎نامه بسیار مشکل می‎بود. همچنین از جناب آقای دکتر محمد داورپناه جزی که دلسوزانه با اینجانب همکار ی لازم را داشتند تقدیر و تشکر می‎نمایم. همچنین از همکاری، راهنمایی و مساعدت جناب آقای دکتر محمد علی منتظری، در طول مدت تهیه این پایان نامه تشکر ویژه دارم. 2480945665007پنج0پنج اظهار نامــه اینجانب رسول دانشمند به شماره دانشجویی 9006354 دانشجوی رشته مهندسی فناوری اطلاعات گرایش مدیریت سیستم‎های اطلاعاتی دانشکده مهندسی کامپیوتر و فناوری اطلاعات، اظهار می‎کنم که این پایان‎نامه حاصل پژوهش خودم بوده و در جاهایی که از منابع دیگری استفاده کرده‌ام، نشانی دقیق و مشخصات کامل آن را نوشته‎ام. همچنین اظهار می‎کنم که تحقیق و موضوع پایان‎نامه‎ام تکراری نیست و تعهد می‎نمایم که بدون مجوز موسسه دستاوردهای آن را منتشر ننموده و یا در اختیار غیر قرار ندهم. کلیه حقوق این اثر مطابق با آیین‎نامه مالکیت فکری و معنوی متعلق به موسسه آموزش عالی صنعتی فولاد است. نام و نام خانوادگی: رسول دانشمند تاریخ: امضاء: 2785745576418شش0ششتقدیم اثر این اثر را به پدر و مادر بزرگوار و مهربانم که در تمام دوره تحصیل کارشناسی ارشد، سختی‎ها را به جان خریدند و همیشه یار و یاور من بودند و دعای خیر آنها قوت قلبی برای من بود، تقدیم می‎کنم. 2760345694262هفت0هفت فهرست مطالب عنوان صفحه چکیده ................................................................................................................................................. 1 فصل اول: مقدمه 1-1مقدمه ...................................................................................................................................................................... 3 1-2 تعريف مسئله .......................................................................................................................................................... 4 1-3 تبیین صورت مسئله ................................................................................................................................................. 5 1-4 ساختار پایان‎نامه ...................................................................................................................................................... 5 فصل دوم: محاسبات ابری، چالش‎ها و راهکارها 2-1 مقدمه ..................................................................................................................................................................... 7 2-2 تاریخچه‌ی رایانش ابری .......................................................................................................................................... 7 2-3 چند نمونه ............................................................................................................................................................... 8 2-3-1 مالتیکس ........................................................................................................................................................ 8 2-3-2 ناظران ماشین‌های مجازی اولیه ....................................................................................................................... 8 2-3-3 شرکت CSS ملی .......................................................................................................................................... 9 2-4 مفاهیم ..................................................................................................................................................................... 9 2-4-1 تعریف محاسبات ابری .................................................................................................................................... 9 2-4-2 مشخصات اصلی محاسبات ابری .................................................................................................................... 11 2-5 معماری و مولفه‎های ابر .......................................................................................................................................... 12 2-5-1 دیدگاه کلی از ایده‎های موجود برای ساختارهای ابری و مولفه‎های آن .......................................................... 12 2-5-2 مدل‎های سرویس ‏محاسبات ابری .................................................................................................................. 12 2-6 دسته‎بندی ابرها ...................................................................................................................................................... 15 2-7 چند اجاره‌ای ......................................................................................................................................................... 16 2-8 مجازی‌سازی ............................................. ........................................................................................................... 16 2-9 شکل‌های ابر .......................................................................................................................................................... 17 2515870495935هشت0هشت2-9-1 بعد یک: داخلی/خارجی ............................................................................................................................... 17 2-9-2 بعد دو: اختصاصی/باز ................................................................................................................................... 17 2-9-3 بعد سه: محیطی/غیرمحیطی ........................................................................................................................... 18 2-9-4 بعد چهار: برون سپاری/درون سپاری ............................................................................................................. 18 2-10 فرصت‎ها و چالش‎های محاسبات ابری .................................................................................................................. 18 2-11 چالش‌های امنیتی محاسبات ابری .......................................................................................................................... 19 2-12 چالش‌های حفظ حريم خصوصی محاسبات ابری ................................................................................................. 19 2-13 محافظت از داده‎ها ............................................................................................................................................... 20 2-14 راهکارهای حفاظت از داده‌ها .............................................................................................................................. 20 2-15 خطرات مشترک امنیت اطلاعات در ابر ............................................................................................................... 20 2-15-1 فیشینگ ..................................................................................................................................................... 20 2-15-2 حق دسترسی پرسنل ارائه دهنده .................................................................................................................. 21 2-16 برنامه‌های‌کاربردی و محدودیت‌های رمزنگاری ‏داده‌ها ......................................................................................... 21 2-17 احراز هویت داده‎ها ‏و شناسایی کاربران ................................................................................................................ 21 2-18 ذخیره‌سازی داده‌ها در ابر ..................................................................................................................................... 22 2-19 احراز‎هویت ......................................................................................................................................................... 22 2-20 زبان نشانه‎گذاری اثبات امنیت .............................................................................................................................. 23 2-20-1 تعریف ....................................................................................................................................................... 23 2-20-2 ویژگی‌ها .................................................................................................................................................... 24 2-20-3 اجزا ........................................................................................................................................................... 25 2-21 زبان نشانه‎گذاری اثبات امنیت در امنیت سرویس‌های وب .................................................................................... 29 2-22 انتشار توکن زبان نشانه‌گذاری اثبات امنیت در سرویس‌های وب .......................................................................... 34 2-23 نتیجه‎گیری .......................................................................................................................................................... 35 فصل سوم: بررسی و تجزیه تحلیل کارهای انجام شده 3-1 مقدمه ............................................. ..................................................................................................................... 37 3-2 سیستم‎های ورود‎تکی ............................................................................................................................................ 37 2633345519903نه0نه3-2-1 سازمانی ....................................................................................................................................................... 37 3-2-2 مجتمع (فدرالی شده) ................................................................................................................................... 38 3-3 روش‎های ورود‎تکی ............................................................................................................................................. 38 3-4 روش کربروس ..................................................................................................................................................... 46 3-4-1 پروتکل کربروس ........................................................................................................................................ 46 3-4-2 مزایای کربروس .......................................................................................................................................... 48 3-4-3 معایب کربروس .......................................................................................................................................... 48 3-5 احراز هویت ورود تکی به وب با استفاده از زبان نشانه‎گذاری اثبات امنیت ............................................................ 49 3-6 سرویس‌های وب امنیتی ........................................................................................................................................ 53 3-7 احرازهویت مجتمع .............................................................................................................................................. 53 3-8 سرویس‎های وب مجتمع ...................................................................................................................................... 54 3-9 زبان نشانه‎گذاری اثبات امنیت و سرویس‎های وب مجتمع ..................................................................................... 55 3-10 نسخه دوم زبان نشانه‎گذاری اثبات امنیت (SAML 2) ....................................................................................... 56 3-11 احراز‌هویت مجتمع ............................................................................................................................................ 56 3-12 مزایای احراز‎هویت ورود‎تکی ............................................................................................................................ 56 3-13 مزایای زبان نشانه‎گذاری اثبات امنیت ................................................................................................................. 57 3-14 خطاهای رایج در زبان نشانه‎گذاری اثبات امنیت ................................................................................................. 57 3-15 زبان نشانه‎گذاری اثبات امنیت به عنوان یک استاندارد ابری امن ........................................................................... 57 3-16 نتیجه‎گیری ......................................................................................................................................................... 61 فصل چهارم: ورود‎تکی با استفاده از زبان نشانه‎گذاری اثبات امنیت 4-1 مقدمه .................................................................................................................................................................. 63 4-2 مدل پیشنهادی برای احراز‎هویت زبان نشانه‎گذاری اثبات امنیت در ورود‎تکی وب ................................................. 63 4-3 مراحل انجام کار مدل پیشنهادی ..... ..................................................................................................................... 64 4-4 شبیه‏سازی مدل پیشنهادی ..................................................................................................................................... 68 4-5 مدل امنیت داده‌ها در محاسابات ابر ....................................................................................................................... 68 4-5 نتیجه‎گیری ........................................................................................................................................................... 72 2633345586740ده0ده فصل پنجم: بررسی مدل پیشنهادی و نتیجه‎گیری 5-1 مقدمه .................................................................................................................................................................. 73 5-2 بررسی مدل پیشنهادی از نظر امنیت ...................................................................................................................... 73 5-3 بررسی و ارزیابی مدل پیشنهادی ........................................................................................................................... 74 5-3-1 روش ارزیابی مدل ...................................................................................................................................... 74 5-3-2 تعیین پایایی و روایی پرسشنامه .................................................................................................................... 76 5-3-3 تعیین پایایی پرسشنامه طراحی‎شده برای ارزیابی مدل پیشنهادی .................................................................... 76 5-3-4 تعیین روایی پرسشنامه طراحی‎شده برای ارزیابی مدل پیشنهادی .................................................................... 77 5-3-5 استخراج عامل‎ها ......................................................................................................................................... 78 5-4-6 ارزیابی مدل پیشنهادی ................................................................................................................................ 81 5-4-7 آزمون فریدمن برای مقایسه میانگین روش‌ها ................................................................................................ 81 5-4-8 آزمون کلموگروف-اسمیرونوف ................................................................................................................ 82 5-4-9 تحلیل واریانس ........................................................................................................................................... 82 5-5 مزایای و نتایج بدست‎آمده از مدل پیشنهادی ......................................................................................................... 83 5-6 مشکلات احتمالی و راه‎حل‎های پیشنهادی ............................................................................................................ 84 منابع و مآخذ ..................................................................................................................................... 85 پیوست‎ها .......................................................................................................................................... 87 2633345742536یازده0یازده فهرست شکل‌ها عنوان صفحه شکل 2- 1. لایه‎های محاسبات ابری ...................................................................................................................................13 شکل 2- 2. معماری ابری مربوط به سرویس‎های ابری ....................................................................................................... 14 شکل 2-3. چند‌اجاره‌ای .................................................................................................................................................... 16 شکل 2-4. مجازی‌سازی مدیریت ماشین مجازی نوع یک و دو .......................................................................................... 17 شکل 2-5. ساختار اثبات زبان نشانه‎گذاری اثبات امنیت ..................................................................................................... 26 شکل 2-6. اثبات زبان نشانه‌گذاری اثبات امنیت ................................................................................................................ 26 شکل 2-7. اجزای زبان نشانه‎گذاری اثبات امنیت .............................................................................................................. 30 شکل 2-8. استفاده‎ی عمومی از سرویس‎های امن وب و زبان نشانه‎گذاری اثبات امنیت ...................................................... 31 شکل 2-9. روش تأیید موضوع حامل ............................................................................................................................... 32 شکل 2-10. روش تأیید موضوع دارنده کلید .................................................................................................................... 33 شکل 2-11. روش تأیید موضوع ضمانت‌های فرستنده ....................................................................................................... 33 شکل 2-12. توزیع توکن زبان نشانه‌گذاری اثبات امنیت با استفاده ورود‎تکی ..................................................................... 34 شکل 2-13. توکن زبان نشانه‌گذاری اثبات امنیت یکسان برای ارائه‌دهنده‎سرویس توزیع و منقضی شده ............................. 35 شکل 2-14. زمان انقضای توکن زبان نشانه‌گذاری اثبات امنیت ......................................................................................... 36 شکل 3-1. حالت ورود‎تکی ساده ..................................................................................................................................... 39 شکل 3-2. ورود‎تکی مبتنی بر درخواست ......................................................................................................................... 41 شکل 3-3. مکانیزم تشخیص بیومتریک ............................................................................................................................. 42 شکل 3-4. یک معماری توسعه‎یافته ورود‎تکی بین چند‎دامنه ساده و معمولی ...................................................................... 45 شکل 3-5. احراز‎هویت ورود‎تکی به وب با زبان نشانه‎گذاری اثبات امنیت ......................................................................... 51 شکل 3-6. فلوچارت اثبات زبان نشانه‎گذاری اثبات امنیت آغاز شده توسط ارائه‎دهنده‎هویت ............................................. 52 شکل 3-7. فلوچارت اثبات زبان نشانه‎گذاری اثبات امنیت آغاز شده توسط ارائه‎دهنده‎سرویس .......................................... 53 شکل 3-8. نرم افزار احراز‎هویت مجتمع ............................................................................................................................ 54 شکل 4-1. احراز‎هویت ورود‎تکی به وب با زبان نشانه‎گذاری اثبات امنیت ......................................................................... 65 2633345594198دوازده0دوازدهشکل 4-2. مراحل انجام فرایند احراز‌هویت ورود‎تکی به وب با استفاده از زبان نشانه‎گذاری اثبات امنیت ............................ 66 شکل 4-3. ثبت‎نام کاربر در محیط ابر ............................................................................................................................... 67 شکل 4-4. ورود‎تکی کاربر به ابر ..................................................................................................................................... 69 شکل 4-5. یک نمای کلی از پلت‎فرم نرم افزار کلود سیم ................................................................................................. 70 شکل 4-6. محل تنظیم پارامترهای شبیه ساز کلود ............................................................................................................. 70 شکل 4-7. نمای اولیه شبیه ساز کلود ................................................................................................................................ 71 شکل 4-8: مدل امنیت داده در محاسبات ابری .................................................................................................................. 71 شکل 5-1 . میزان تحصیلات و حوزه کاری افراد شرکت کننده در ارزیابی مدل پیشنهادی ................................................. 75 شکل 5-2. تغییرات مقادیر ویژه در ارتباط با عامل‌ها .......................................................................................................... 80 شکل 5. 3. مقایسه امتیازات سه روش ورود‎تکی ................................................................................................................ 81 2680970648808سیزده0سیزده فهرست جداول عنوان صفحه جدول 2-1. تعاريف محاسبات ابري توسط شركت‌هاي تحليلگر منتخب .............................................................................. 9 جدول 3-1. مقایسه تعدادی از روش‎های ورود‎تکی ........................................................................................................... 61 جدول 3-1. مدل احراز‎هویت ارائه‌دهنده‎هویت SAML ................................................................................................... 64 جدول 5- 1. مقایسه امتیازات دو روش انتخاب شده بر‎اساس معیارهای تعیین‎شده ............................................................... 75 جدول 5-2. محاسبه ضریب آلفای کرونباخ برای پرسشنامه طراحی‎شده ............................................................................. 76 جدول 5-3. میانگین و انحراف معیار استاندارد برای هر یک از معیارهای موجود در پرسشنامه ............................................ 77 جدول 5-4. همبستگی بین متغیرها و ضریب آلفای کرونباخ پس از حذف هر سئوال .......................................................... 77 جدول 5-5. نتایج حاصل از آزمون KMO و بارتلت ........................................................................................................ 78 جدول 5-6. میزان اشتراک متغیرها قبل و بعد از استخراج عامل‎ها ...................................................................................... 79 جدول 5-7. مقدار ویژه و واریانس متناظر با عامل‎ها .......................................................................................................... 79 جدول 5-8. ماتریس چرخیده‌شده مولفه‌ها ........................................................................................................................ 80 جدول 5-9. تجزیه معیارها به پنج گروه عاملی ................................................................................................................... 80 جدول 5-10. نتیجه آزمون فریدمن برای امتیازات سه روش ورود‎تکی ............................................................................... 81 جدول5-11. نتیجه آزمون کلموگروف- اسمیرونوف برای امتیازات سه روش ورود‎تکی ................................................... 82 جدول 5-12. نتایج تحلیل واریانس برای ارزیابی امتیازات سه روش ورود‎تکی ................................................................... 83 26142953461547چهارده0چهاردهجدول 5-13. مزایای استفاده از مدل پیشنهادی .................................................................................................................. 84 چکیده دنیای اینترنت و کامپیوتر هر روز در حال پیچیده‏تر شدن و تکامل است. یکی از محصولات این تکامل، رایانش ابری است. با توجه به این موضوع، حساسیت داده‌ها و حفظ حریم خصوصی اطلاعات به طور جدی به عنوان یک نگرانی مهم برای سازمان‌ها تبدیل می‌شود. شرکت‌ها برای ارائه خدمات تخصصی مبتنی بر وب، توجه ویژه‌ای به ارائه دهندگان خدمات نرم افزار (ASP‌ها) یا فروشندگان نرم افزار به عنوان سرویس (SaaS) دارند که باعث کاهش هزینه‌ها و ارائه برنامه‌های کاربردی خاص و متمرکز به کاربران می‌شود. این روش پیچیدگی طراحی، نصب، پیکربندی، گسترش و پشتیبانی از سیستم توسط منابع داخلی را حذف می‎کند که منافع زیادی به سازمان‌ها ارائه‎می‌دهد. سازمان‌ها اخیراً از منابع احراز هویت مرکزی برای برنامه‌های کاربردی داخلی و پورتال‌های مبتنی بر وب برای بیشتر قسمت‌های خود استفاده می‌کنند. احراز هویت ورود تکی، هنگامی‌که به درستی پیکربندی شده‎باشد باعث ایجاد یک امنیت قوی می‌شود به این معنا که کاربران، نیاز به یادداشت و به‎خاطر سپردن کلمات عبور سیستم‌های مختلف ندارند. همچنین باعث سهولت مدیریت و حسابرسی کاربران می‌شود. با استفاده از یک استاندارد برای احراز هویت اطلاعات برای مبادله روی اینترنت می‌توان این مشکل را حل کرد. زبان نشانه‎گذاری اثبات امنیت، یک راه حل مبتنی بر XML و امن برای تبادل اطلاعات کاربر بین ارائه‌دهنده شناسه (سازمان) و ارائه‌دهنده سرویس (ASP‌ها یا SaaS‎ها) فراهم می‌کند. استاندارد زبان نشانه‎گذاری اثبات امنیت، قوانین و دستورات نحوی را برای تبادل اطلاعات تعریف می‌کند، در عین حال انعطاف پذیر است و اجازه انتقال داده‌های سفارشی به ارائه‌دهنده سرویس خارجی را می‎دهد. در این پایان‎نامه سعی گردیده است که از مزایای رایانش ابری و ورود تکی بهترین استفاده برده شود و از آن برای ارتقا سیستم‎های ورود تکی و به طور خاص برای ورود تکی با استفاده از استاندارد زبان نشانه‎گذاری اثبات امنیت استفاده‎شود. برای این منظور ابتدا مفاهیم و تعاریف اولیه مرتبط از جمله رایانش ابری، زبان نشانه‎گذاری اثبات امنیت، احراز هویت و ورود تکی مورد مطالعه قرار‎گرفته‎اند. سپس بررسی کوتاهی در مورد روش‎های احراز هویت انجام گردیده‎است تا با استفاده از آن مدلی بهتر، کامل‎تر و متناسب با آنچه مورد نیاز است، ارائه گردد. همچنین تعدادی از مدل‎های ارائه شده برای هر یک از مباحث بالا و ترکیب این مباحث مورد بررسی قرار‎گرفته است. با ترکیب و جمع‎بندی روش‎ها و اطلاعات بدست‎آمده، مدلی برای ورود تکی مبتنی بر رایانش ابری با استفاده از زبان نشانه‎گذاری اثبات امنیت به منظور کمک به فرایند ورود تکی در احراز هویت کاربران، پیشنهاد و شبیه‎سازی گردیده است. در نهایت پس از بیان مزایای مدل پیشنهادی، مشکلات احتمالی بررسی شده و برای رفع این مشکلات و همچنین مطالعات آینده پیشنهاداتی ارائه گردیده است. کلید واژه‎ها: به فارسی: امنیت اطلاعات در رایانش ابری، زبان نشانه‎گذاری اثبات امنیت در رایانش ابری به لاتین: Information security in cloud computing, SAML in cloud computing -528290-5594795534876-557674 -157480-1798320فصل اول مقدمه مقدمه دنیای فناوری اطلاعات روز به روز در حال گسترش است. از زمانی که رایانه‎ها وارد زندگی بشر شدند، حدود 72 سال می‎گذرد. در طول این سال‎ها عطش پیشرفت باعث به وجود آمدن فناوری‎های جدید شده‌است. همچنین از زمانی که اینترنت در اختیار کاربران قرار گرفته‎است، مدت زیادی نمی‎گذرد. اینترنت تحولی شگرف در تبادل اطلاعات به وجود آورده است. البته در آن زمان کسی به این فکر نمی‎کرد که روزی از اینترنت علاوه بر تبادل اطلاعات بتوان به عنوان یک سیستم پردازشی قوی استفاده کرد. اما امروزه بسیاری از پردازش‎ها توسط سرورها انجام‏می‎شود. مفاهیم ابتدایی محاسبات ابری از دهه‌ی 1162 میلادی گسترش یافت. اما محاسبات ابری به صورتی که در حال حاضر آنرا می‎شناسیم و در اختیار همگان قرار‎گرفته از سال 2226 توسط سایت آمازون بکار گرفته شده‌است. محاسبات ابری یک ایده‌ی قدیمی از منابع محاسباتی است که به عنوان یک ابزار استفاده‎شده‌است. محاسبات ابری یک محاسبه‌ی مبتنی بر اینترنت است که منابع مشترک، نرم‎افزار و اطلاعات، برای کامپیوترها و وسایل مورد تقاضا ارائه‎می‌دهد. محاسبات ابری به افراد اجازه می‌دهد که منابع و خدمات توزیع‎شده را به اشتراک بگذارند. بنابراین محاسبات ابری از منابع توزیع‌شده در محیط باز استفاده می‌کند. در نتیجه برای اشتراک داده در توسعه‌ی برنامه‌های محاسبات ابری، امنیت و اطمینان فراهم می‌کند. حساسیت داده‌ها و حفظ حریم خصوصی اطلاعات به‎طور افزایشی به یک ناحیه نگرانی برای سازمان‌ها تبدیل می‌شود. جنبه‌های احراز هویت و اثبات هویت شامل استفاده، نگهداری و حفاظت از اطلاعات جمع‎آوری‎شده برای کاربران می‎باشد. جلوگیری از دسترسی غیر‌مجاز به منابع اطلاعات در ابر نیز یک عامل مهم است. همان‎طور که خدمات وب شایع‎تر می‌شوند، کسب‎و‎کار به دنبال ارائه خدمات ترکیبی به مشتریانی که آنها را به اشتراک می‌گذارند می‎باشد. این فرایند برای مشتریانی که باید نام‌های کاربری و کلمه‌های عبور مختلف را به‎خاطر داشته‎باشند و رزروهای مختلف روی بخش‌های مرورگرهای وب مختلف را با واسط‌های کاربری غیرواحد نشان‌دهنده‌ی وضعیت‌های رزرو مختلف نگهداری کنند مسئولیت دشواری است ]1، 2 و 3[. زبان نشانه‎گذاری اثبات امنیت، استانداری برای ورود تکی کاربران به وب به صورت امن است که اولین بار در ژانویه سال 2001 توسط سازمان گسترش استانداردهای اطلاعات ساختاریافته معرفی شد و یک چارچوب مبتنی بر زبان نشانه‎گذاری توسعه‌پذیر برای تبادل اطلاعات احراز هویت و تصدیق و امنیت تبادل اطلاعات بکار گرفته شده‎بود. آخرین به‌روزرسانی آن در سال 2005 بوده‌است. زبان نشانه‎گذاری اثبات امنیت در چند نسخه وارد بازار جهانی اینترنت شد. اولین نسخه زبان نشانه‎گذاری اثبات امنیت تحت عنوان SAML1 عرضه شد. سپس نسخه SAML1.1 آن ارائه شد که از نظر کارایی مگر جز تفاوت های کوچک، کاملاً مشابه SAML1 بود. در نهایت آخرین نسخه زبان نشانه‎گذاری اثبات امنیت که SAML2 نام گرفت در سال 2005 عرضه گردید تفاوت های اساسی با نسخه‎های قبلی این استاندارد داشت ]4[. اگرچه هر دو نسخه‎ی این استاندارد بر موارد استفاده یکسانی نظارت می‎کردند، SAML2 با نسخه‎های قبلی خود ناسازگار است. نسخه‎های اولیه زبان نشانه‎گذاری اثبات امنیت هیچ پروتکل خاص دیگری را در پرس‎و‎جوهای خود پشتیبانی نمی‎کند در حالی که نسخه نهایی زبان نشانه‎گذاری اثبات امنیت (SAML2) از پروتکل‎های زیادی پشتیبانی می‎کند که اکثر پروتکل‎ها کاملاً جدید هستند. هم SAML1 و هم SAML2 از امضاهای دیجیتال (مبتنی بر استاندارد امضای XML) برای احراز هویت و یکپارچگی پیام‎ها استفاده‎می‎کنند. با استفاده از رمزگذاری XML، SAML2 عناصری برای تعیین‎کنندگان هویتِ‎نام رمزگذاری شده، ویژگی‎های رمزگذاری شده و اثبات‎های رمزگذاری شده (SAML1 قابلیت رمزگذاری ندارد) فراهم‌می‌کند ]5[. مهمترین چیزی که آدرس‎های زبان نشانه‎گذاری اثبات امنیت نیاز دارند، ورود تکی مرورگر وب است. راه حل‎های ورود تکی معمولاً در سطح اینترانت (برای مثال با استفاده از کوکی‎ها) است اما توسعه این راه حل‎ها ورای اینترانت مشکل‎زا می‎شود و منجر به گسترش تکنولوژی‎های اختصاصی غیرقابل همکاری می‎شود. زبان نشانه‎گذاری اثبات امنیت قصد حل این نواقصی را دارد که توسط سازمان گسترش استانداردهای اطلاعات ساختاریافته توسعه یافته است. زبان نشانه‎گذاری اثبات امنیت با ارائه یک چارچوب مبتنی بر زبان نشانه‎گذاری توسعه‌یافته قصد حل مشکل تبادل اطلاعات امن را دارد. مهمترین مزیت زبان نشانه‎گذاری اثبات امنیت، گسترش آن و رشد اختیاری آن در صنعت است. این معمولاً بین سازمان‎ها و مشتریان آنها، شریکان کسب‎و‎کار و ارائه‎دهندگان ابر استفاده می‏شود. زبان نشانه‎گذاری اثبات امنیت از امنیت سطح اثبات، مقیاس‎پذیری و قابلیت اطمینان در هزاران محصول توسعه‎یافته جهانی برخوردار است. اثبات‌های زبان نشانه‎گذاری اثبات امنیت در امنیت سرویس‌های وب برای امنیت پیام‌های سرویس‌های وب نیز مورد استفاده قرار می‎گیرند. امنیت سرویس‌های وب با استفاده از اثبات‌های زبان نشانه‎گذاری اثبات امنیت در قالب یک توکن امنیتی با پروفایل توکن زبان نشانه‎گذاری اثبات امنیت امنیت سرویس‌های وب را تعریف می‌کند. سرویس‌های وب امنیتی مجموعه‎ای از مشخصات است که ابزارهایی برای تامین حفاظت از امنیت پیام‌ها تعریف می‌کند. زبان نشانه‎گذاری اثبات امنیت از تعدادی اجزای بلوک ساختمان تشکیل شده‌است که هنگامی‌که به هم متصل می‌شوند، اجازه پشتیبانی تعدادی از موارد استفاده می‌دهد. مشخصات زبان نشانه‎گذاری اثبات امنیت، ساختار و محتوای اثبات‌ها که توضیحاتی در مورد یک اصل اثبات شده توسط یک بخش اثبات می‌دهد را تعریف می‌کند ]4 و 6[. 1-2 تعريف مسئله محاسبات ابری از این ایده استفاده‎می‎کند که کار انجام‎شده در سمت سرویس‎گیرنده می‎تواند به برخی از خوشه‎های نامرئی منابع در اینترنت حرکت کند [1]. محاسبات ابری، بسترهای مجازی‎سازی با منابع ارتجاعی همراه با ارائه‎ی مبتنی بر تقاضای سخت‎افزار، نرم‎افزار و مجموعه داده را به صورت پویا بکار می‌گیرد [2، 3]. محاسبات ابر به هزینه کم آن و سادگی، هم برای ارائه‎دهندگان و هم برای کاربران متکی است [7، 8[. اما اینترنت مکانی نیست که ارائه‎دهندگان کنترل کاملی روی آن داشته‎باشند. به دلیل نگرانی‎های امنیتی، محاسبات ابر به برخی از کاربران مربوط نمی‎باشد. به عنوان یک محیط مجازی، محاسبات ابری تهدیدات امنیتی خاص خود را دارد و این تهدیدات کاملا متفاوت از تهدیدات در سیستم‎های فیزیکی است. در این مقاله برخی از نگرانی‎های امنیتی در محاسبات ابری خصوصاً در امنیت داده‎ها بررسی می‎شوند. بخش بازنگری شده به شرح زیر است: در بخش 2، مدل‎های سرویس ابر و نگرانی‎های امنیتی آن بررسی می‎شود. بخش 3 به بررسی مدل‎های امنیت اطلاعات می‎پردازد. سپس در بخش 4، مدل امنیتی اطلاعات جدیدی برای محاسبات ابر ارائه‎شده است و در نهایت در بخش 5، کارهای آینده و نتایج مورد بحث قرار گرفته‎است. امروزه محاسبات ابري توجه زيادي را به خود جلب كرده‌است. رسانه و همچنين تحليلگران در مورد فرصت‎هايي كه محاسبات ابري پيشنهاد مي‎دهد بسيار مثبت هستند. در ماه مي سال 2008، مريل لينچ مزاياي هزينه‎اي محاسبات ابري را 3 تا 5 برابر برنامه‎هاي‎كاربردي تجاري و بيش از 5 برابر برنامه‎هاي‌كاربردي مصرف‎كننده تخمين زده‎است. طبق انتشارات گارتنر2 در ماه جون سال 2008، قدرت و نفوذ محاسبات ابری کمتر از تجارت الكترونيكي نيست. گرايش مثبت به سمت اهميت و تاثير محاسبات ابري كه نتيجه پيش‌بيني‌هاي مرتبط به بازار ابري است، خوش‌بين مي‎باشد. در اكتبر سال 2008، IDC، پيش‌بيني كرد تا سال 2012 زمان صرف‎شده روي سرويس‌هاي ابري رشدي تقريبا سه برابر خواهد داشت كه نتيجه آن رسيدن به 42 ميليارد دلار مي‎باشد. همين شركت تحليلگر گزارش داد كه سود هزينه مربوط به مدل ابري حتي در ركود اقتصادي جذاب‌تر خواهد‎شد. چشم‌انداز مثبت بازار نيز با انتظار اينكه محاسبات ابري ممكن‌است رويكرد اساسي‌اي به سوي فناوري‎اطلاعات سبز شود، رانده شده است. با وجود پوشش گسترده محاسبات ابري در مطبوعات تجاري، هنوز هيچ توافق عمومي‌اي در مورد اينكه محاسبات ابري واقعاً چيست و چگونه به محاسبات گريد مربوط مي‎گردد وجود ندارد. براي بدست‎آوردن درك درستي از آنچه كه محاسبات ابري است، در ابتدا نگاهي به چند تعريف موجود از اين اصطلاحات پرداخته‎مي‎شود. بر‎اساس اين تعاريف، مشخصات كليدي محاسبات ابري شناسايي مي‎شود ]9[. سپس معماري رايج و مولفه‌هاي ابرها به‎طور مفصل بررسي می‎شوند، در مورد فرصت‎ها و چالش‎هاي محاسبات ابري بحث و يك دسته بندي از ابرها ارائه می‎شود. 1-3 تبیین صورت مسئله با توجه به مطالب ذکر شده در مقدمه، در این پایان‎نامه مباحث مرتبط با محاسبات ابری و انواع آن، چالش‎ها و فرصت‎های محاسبات ابری، امنیت محاسبات ابری، روش‎ها و استانداردهای ورود تکی، زبان نشانه‎گذاری اثبات امنیت و کاربردهای آن در سرویس‎های وب مورد مطالعه قرار‎گرفته و مزایا و معایب آن مشخص شده‌است. همچنین مدل‎های مختلف مربوط به ورود تکی بررسی شده و از ایده‎های داده‎شده در آنها به منظور بهبود زبان نشانه‎گذاری اثبات امنیت برای ورود تکی امن‎تر استفاده گردید. با توجه به اینکه روش‌های ورود تکی سنتی معایب و مشکلات زیادی از جمله هزینه‎های زیاد، مشکل به‎خاطر سپردن نام‏های‌کاربری و رمز عبور، استفاده از این نام‏های‌کاربری و رمز عبورهای متعدد در هر بار استفاده از خدمات وب و هدر رفتن زمان را به همراه دارد، در این پایان‎نامه تلاش شده‌است مدلی برای بهبود استفاده کاربر از خدمات و سرویس‎های وب مبتنی بر اینترنت با استفاده از زبان نشانه‌گذاری اثبات امنیت در محاسبات ابری ارائه گردد. 1-4 ساختار پایان‎نامه در فصل اول این پایان‎نامه پس از بیان مقدمه‌ای بر موضوع، مسئله‎ای که قرار است روی آن کار شود بیان شده‌است. در فصل دوم به مفاهیم و تعاریف اولیه، مزایا و معایب هر یک از مباحث مرتبط، از جمله محاسبات ابری، انواع آن، مدل‎های آن، چالش‏ها و فرصت‎ها، سطوح دسترسی و میزان اختیارات و عوامل مربوط به احراز هویت و تصدیق پرداخته شده‌است. همچنین استاندارد زبان نشانه‎گذاری اثبات امنیت و اجزای آن، زبان نشانه‎گذاری اثبات امنیت در امنیت سرویس‌های وب و حالت‎های استفاده از آن، استفاده از توکن زبان نشانه‌گذاری اثبات امنیت در سرویس‌های وب به صورت مفصل بیان شده‎اند. همچنین بررسی مختصری در مورد احراز هویت ورود تکی به وب با استفاده از زبان نشانه‎گذاری اثبات امنیت ارائه داد. در فصل سوم چند سیستم ورود کی به‎طور مختصر بیان شده است. همچنین تعدادی از مدل‎های ارائه‎شده برای ورود تکی به همراه مزایا و معایب هر کدام به‎طور اجمالی ارائه گردیده است. در نهایت پروتکل کربروس و فرایند احراز هویت ورود تکی به وب با استفاده از زبان نشانه‎گذاری اثبات امنیت و مزایا و معایب هر کدام به تفصیل آورده شده است تا بتوان با ترکیب و جمع‎بندی روش‎ها و اطلاعات بدست‎آمده از این مدل‎ها، مدلی برای کمک به ورود تکی کاربران و سرویس‎دهی بهتر به آنها ارائه داد. در فصل چهارم با استفاده از تمام اطلاعات و مطالعات انجام‎شده مدلی برای بهبود ارائه خدمات و سرویس‎های وب مبتنی بر اینترنت با استفاده از زبان نشانه‌گذاری اثبات امنیت در محاسبات ابری به کاربر پیشنهاد و سعی در مدل‎سازی آن شده‌است. در نهایت در فصل پنجم مدل مورد بررسی قرار گرفته‎است. برای ارزیابی و بررسی مدل از پرسشنامه استفاده‎شده‌است که نتایج این پرسشنامه با تحلیل‎های آماری در این فصل آورده شده‌است. همچنین مزایای مدل پیشنهادی بیان و مشکلات احتمالی بررسی شده‎اند و برای آنها و همچنین مطالعات آینده پیشنهاداتی ارائه گردیده و نتیجه‎گیری کلی انجام شده‌است. -227570-1797961فصل دوم محاسبات ابری، چالش‎ها و راهکارها 2-1 مقدمه محاسبات ابری از ایده‌ی منابع محاسباتی به عنوان یک ابزار استفاده کرده است که هزینه‎های زیاد توسعه را کاهش و سرویس ‏ جدیدی در اینترنت گسترش می‌دهد. به‎طور کلی، ابر از مجموعه‌ای از سرویس‌ها، برنامه‌های‌کاربردی، اطلاعات و زیرساخت تشکیل شده است که منابع محاسباتی، شبکه، اطلاعات و منابع ذخیره‌سازی را توصیف می‌کند ]1 و 2[. محاسبات ابری محاسبات مبتنی بر اینترنت است که منابع مشترک، نرم‎افزار و اطلاعات، برای کامپیوترها و وسایل مورد تقاضا ارائه‎می‌دهد. محاسبات ابری به افراد اجازه می‌دهد که منابع و سرویس‏ توزیع‎شده را به اشتراک بگذارند. بنابراین محاسبات‌ابری از منابع توزیع‌شده در محیط باز استفاده می‌کند. در نتیجه برای اشتراک داده در توسعه‌ی برنامه‌های محاسبات ابری، امنیت و اطمینان فراهم می‌کند. محاسبات ابری باعث افزایش نگرانی‌های امنیت، حفظ حریم خصوصی و اطمینان می‌شود که این نگرانی‎ها عبارتند از:‏ چگونه داده‌های صحیح توسط ارائه‎دهندگان ابر ذخیره و بکار گرفته می‌شود؟ چگونه حفظ حریم خصوصی داده‌ها به‎طور مناسبی مدیریت می‌شود؟ آیا ارائه‎دهندگان ابر با قوانین و دستورالعمل‌ها موافقت می‌کنند؟ آیا ارائه‎دهندگان ابر در مقابل حملات به‎طور مناسبی محافظت می‌شوند ]3[؟ کنترل‌های امنیتی در محاسبات ابری، در اکثر موارد، هیچ تفاوتی با کنترل‌های امنیتی محیط IT ندارد. ‏به دلیل اینکه مدل‎های سرویس‏ ابری بکارگرفته شده، از مدل‎های عملیاتی و فناوری‌هایی برای فعال کردن سرویس ابر ‏استفاده می‌کنند، محاسبات ابری ممکن‌است خطرات مختلفی برای یک سازمان نسبت به راه حل‌های سنتی ‏IT‏ ارائه دهد ]1[. ‏با افزایش توسعه‌ی محاسبات ابری، حوادث امنیتی متعددی بوجود می‌آید. کاربران ابر می‎توانند از تمرکز تخصص‌های امنیتی در ارائه‌دهندگان ابر بزرگ بهره‌مند شوند، که بهترین روش امنیتی برای کل اکوسیستم را تضمین می‌کند. از سوی دیگر، یک خرابکار می‎تواند بسیاری از کاربران را مختل کند. برای مثال، فرستندگان اسپم، محاسبات ابر ارتجاعی را خراب می‌کنند و باعث اختلالات یک بخش بزرگی از آدرس‌های IP محاسبات ابر می‌شوند ]10[. وضعیت قرارگیری امنیت سازمان با بلوغ، اثربخشی و کامل‌بودن کنترل‌های امنیتیِ تعدیلِ خطر پیاده‎سازی شده مشخص‌ می‌شود. ‏این کنترل‌ها در یک یا چند لایه در محدوده‌ای از امکانات (امنیت فیزیکی)، زیرساخت‌های شبکه (امنیت شبکه)، سیستم‌های ‏فناوری اطلاعات (سیستم‌های امنیتی)، رویکرد‌های اطلاعات و برنامه‌های‌کاربردی (امنیتی نرم‎افزار) پیاده‎سازی شده است ]1[. 2-2 تاریخچه‌ی محاسبات ابری مفاهیم ابتدایی محاسبات ابری به دههی ۱۹۶۰ میلادی بر‌میگردد. این مفهوم که توسط جان مک کارتی از بنیان‌گذاران هوش مصنوعی ارائه شد، بعدها مورد بررسی بیشتری قرار گرفت. محاسبات ابری به صورتی که در حال حاضر آن را می‌شناسیم و در اختیار همگان قرار‎گرفته، از سال ۲۰۰۶ توسط سایت آمازون انجام‎شده است. این سایت در سال ۲۰۰۶ امکان دسترسی به سیستم خود را از طریق وب سرویس‌های آمازون بر پایهی محاسبات ابری ارائه کرد. وب سرویس‌های آمازون، زیرساخت‌های فناوری اطلاعات را به صورت سرویس‌های انعطاف پذیر به مشتریان ارائه‎می‌دهد که شامل سرویس‌های پردازشی، ذخیره‏سازی، تحویل محتوا، پایگاه‎داده، تجارت الکترونیک، پرداخت و صورتحساب می‎باشد. یک سال بعد در سال ۲۰۰۷، گوگل و آی‎بی‎ام پروژه‎هایی در مقیاس بزرگ در زمینهی محاسبات ابری آغاز کردند ]11[. 2-3 چند نمونه در این بخش سه سیستم محاسباتی اولیه ارائه می‌شود که ویژگی‌های مشابهی با آنچه امروزه محاسبات ابری نامیده می‌شوند دارند: 2-3-1 مالتیکس یک جنبه قابل توجه آن اصول طراحی امنیت آن بود. مالتیکس ابتدا بیشتر از مکانیزم‌های محافظت مبتنی بر دستور نسبت به مبتنی بر اجرا استفاده می‌کرد. در هر دسترسی به شی، اختیارات فعلی بررسی می‌شد. دوم، مالتیکس یک شکل از رهنمودهای کرخوفسک با نگهداری طراحی باز برای مکانیزم‌ها و رمزهای کلیدی آن را شامل می‌شد. سوم، سیستم همیشه در حداقل امتیاز فعالیت می‌کرد. درنهایت، طراحی، به صراحت اهمیت قابلیت استفاده انسان با ازدیاد حملات مهندسی اجتماعی را به رسمیت می‌شناخت. طراحی امنیتی مالتیکس، اهمیت مدیریت سیستم جلوگیری از تنگناهای تصمیم‌گیری را بیان می‌کند. در غیر این صورت، کاربران خواستار گذشتن از مدیریت از طریق عادت و مکانیزم‌های محافظت از سازش هستند. مالتیکس، برای انجام امنیت، یک حالت مطلق ندارد، بلکه اجازه می‌دهد کاربران زیرسیستم‌های محافظت‎شده بسازند. به‎طور مشابه، کاربران مختلف محاسبات ابر، خواستار نیازهای ایمنی مختلفی هستند که یک طراحی خوب می‌تواند سطوح ایمنی و مکانیزم‌های امنیتی را ارائه دهد. ارائه‎دهندگان ابر اولین گام‌ها را با ارائه‌ی نمونه‌ی ابرهای خصوصی مجازی، با منابع اختصاصی و شبکه‌های خصوصی مجازی که جداسازی را تضمین می‌کند آغاز کرده‌اند ]8 و 10[. 2-3-2 ناظران ماشین‌های مجازی اولیه2 کار ناظران ماشین‌های مجازی اولیه زیاد است. استدلالی برای امن‌تر بودن ناظران ماشین مجازی از سیستم‌های کامپیوتری معمولی ارائه‎شده است: اول، سطوح پایین‌تر عملکرد چند برنامه‌ای (مثلاً اجرای همزمان) منجر به سطوح پایین‌تر ریسک‌های شکست‌های امنیتی می‌شود. یک سیستم‏عامل‌ تک برنامه‌ای ریسک امنیتی کمتری از یک سیستم‏عامل‌ که چندین برنامه‌ی همزمان را اجرا می‌کند دارد. در نتیجه، ناظران ماشین‌های مجازی با سطوح عملکرد چند برنامه‌ای پایین، امنیت بیشتری از سیستم‏عامل‌‌های با سطوح عملکرد چند‎برنامه‌ای بالا خواهند داشت. دوم، حتی اگر سطح عملکرد چند‎برنامه‌ای یکسان باشد، ناظران ماشین‌های مجازی امن‌تر هستند، زیرا برای اشکال‌زدایی ساده‌تر و راحت‌تر هستند. سوم، یک سیستم‏عامل‌ مهمان که روی یک ناظر ماشین مجازی و در چرخه‌ی اجرا روی فلز سخت اجرا می‌شود، تنها زمانی که هر دو سیستم‏عامل‌ مهمان و ناظر ماشین مجازی به‎طور همزمان شکست بخورد نقض امنیتی رخ می‌دهد. در نتیجه یک ناظر ماشین مجازی که در حال اجرای k سیستم‏عامل‌ مهمان و هر سیستم‏عامل‌ در حال اجرای n برنامه است نسبت به یک سیستم‏عامل‌ که n×k برنامه را اجرا می‌کند، به راحتی شکست می‌خورد. چهارم، شکست هر برنامه مستقل است و از این‎رو احتمال شکست به صورت ضرب است. به‎طور کلی هر برنامه‌ی روی یک ناظر ماشین مجازی در حال اجرای k سیستم‏عامل‌ مهمان، که هریک از سیستم‏عامل‌‌ها در حال اجرای n برنامه است بسیار کمتر از برنامه‌ی مشابه روی یک سیستم‏عامل‌ با n×k برنامه شکست می‌خورد. این استدلال، سه فرض مهم ایجاد می‌کند. اول، ناظران ماشین‌های مجازی ساده هستند. دوم، سیستم‏عامل‌‌های مهمان یک سطح عملکرد چند برنامه‌ای پایین‌تری دارند. سوم، ناظران ماشین‌های‌مجازی و سیستم‌عامل‌های مهمان، شکست‌های مستقل دارند. ناظران ماشین‌های مجازی مدرن همه‌ی این سه فرض را زیر سوال می‌برند. امروزه یک سیستم‎عامل مهمان معمولاً سطح مشابهی از عملکرد چند‎برنامه‌ای را به عنوان سیستم‏عامل‌ محلی دارد. کاربران با سیستم‏عامل‌‌های مهمان به روش مشابهی که می‌توانند با یک سیستم‏عامل‌ محلی رفتار کنند، عمل می‌کنند. که فرض اینکه سیستم‏عامل‌‌های مهمان سطوح عملکرد پایین‌تری دارند را تضعیف می‌کند ]12 و 13[. 2-3-3 شرکت CSS ملی بنیانگذاران شرکت، حرکت روبه جلوی هزینه‎ها به هزینه‎های متغیر را پیش‌بینی کردند و شرکت به دلیل انعطاف‌پذیری افزایش‌یافته موفق شد که قابلیت محاسباتی جدا شده‌ی آماده‌ی خود را ارائه‌دهد ]14[. 2-4 مفاهیم 2-4-1 تعریف محاسبات ابری اصطلاح محاسبات ابري به روش‎هاي مختلفي توسط شركت‌هاي تحليلگر، دانشگاهيان، شاغلان صنعت و شركت‌هاي فناوري‎اطلاعات تعريف شده است. جدول 2- 1 توصيف تعدادي از شركت‌هاي تحليلگر محاسبات ابري را نشان مي‎دهد. جدول 2-1: تعاريف محاسبات ابري توسط شركت‌هاي تحليلگر منتخب. منبعتعریفGartner"سبكي از محاسبات كه در آن انبوه قابليت‎هاي مرتبط با فناوري‎اطلاعات "به عنوان يك سرويس" با استفاده از فناوري‎هاي اينترنت به چندين مشتري خارجي ارائه مي‎گردد. ". IDC"ظهوري از توسعه فناوري‎اطلاعات، مدل استقرار و تحويل، امكان ارائه تحويل محصول به صورت بي‎درنگ، سرويس‎ها و راه حل‎هايي روي اينترنت (به عنوان مثال، امكان ارائه خدمات ابري)". NIST"یک مدل برای دسترسی مناسب شبکه‌ی مورد تقاضا به یک مخزن مشترک از منابع محاسباتی پیکربندی‌شده مانند شبکه‌ها، سرورها، حافظه، برنامه‌های‌کاربردی و سرویس‏ می‎باشدکه می‎تواند به سرعت با حداقل تلاش‌های مدیریت یا تعامل ارائه‌دهنده‌ی سرویس‏، ارائه و منتشر شود ]2 و 15[."Merrill Lynch"ايده تحويل شخصي (مانند پست الكترونيكي، پردازشگر كلمه، ارائه‌ها) و برنامه‎هاي‌كاربردي توليد تجارت (مانند اتوماسيون قسمت فروش، مشتري، سرويس، جواب‌گويي) از سرورهاي متمركز". گروه 451"مدل سرويسي است كه يك اصل سازماندهي كلي را براي تحويل مولفه‌هاي زيرساخت فناوري‎اطلاعات، يك رويكرد معماري و يك مدل اقتصادي را تركيب مي‌كند. اساساً تلاقي محاسبات گريد، مجازي‎سازي، محاسبات ابزاري، ميزباني و نرم‎افزار به عنوان سرويس "(SaaS) . تمامي اين تعاريف مشخصه مشتركي دارند: تمامي آنها تلاش در توصيف و تعريف محاسبات ابري از ديدگاه و نقطه نظر كاربر نهايي را دارند و تمركز آنها روي اين مسئله است كه كاربر نهايي ممكن‌است چگونه آن را تجربه كند. طبق اين تعاريف، مشخصه‌ي هسته‎اي محاسبات ابري فراهم‌كردن زيرساخت فناوري‎اطلاعات و برنامه‎هاي‌كاربردي به عنوان سرويس به صورت مقياس‎پذير است. تعريف محاسبات ابري حتي در جامعه علمي هم موضوع بحث شده است. همانند مطبوعات تجاري، نظرات مختلف در مورد اينكه محاسبات ابري چيست و چه مشخصه‏هاي ويژه‌اي دارد، وجود دارد. در مقايسه با تعاريف مطبوعات تجاري، تعاريف در ادبيات علمي نه تنها شامل ديدگاه كاربر نهايي بلكه به جنبه‌هاي معماري نيز مي‌پردازد. به عنوان مثال، آزمايشگاه بركلي راد محاسبات ابري را اينگونه تعريف مي‌کند: "محاسبات ابري هم به برنامه‎هاي‌كاربردي تحويل داده‌شده تحت اينترنت به عنوان سرويس اشاره دارد و هم به سخت‎افزار و نرم‎افزار سيستم‌ها در مراكز داده كه اين سرويس‌ها را فراهم مي‌كنند. مدتهاست كه به خود سرويس‌ها به عنوان، نرم‎افزار به عنوان سرويس (SaaS)اشاره مي‎شود. سخت‎افزار و نرم‎افزار مركز داده همان چيزي است كه آن را يك ابر مي‌ناميم. وقتي كه اين ابر به روش پرداخت هزينه و استفاده در اختيار عموم قرار گيرد، به آن ابر عمومي گويند. سرويس فروخته‎شده محاسبات ابزاري است. واژه ابر خصوصي به مراكز داده دروني يك تجارت يا ديگر سازمان‎ها اشاره دارد كه در اختيار عموم نيست. بنابراين، محاسبات ابري مجموع SaaS و محاسبات ابزاري است اما شامل ابرهاي خصوصي نيست. افراد مي‎توانند كابران و فراهم‎كنندگان SaaS و يا كاربران و فراهم‌كنندگان محاسبات ابزاري باشند." اين تعريف ديدگاه‎هاي متفاوت روي كليد را با هم آورده‎است: از ديدگاه فراهم‎كننده، مولفه اصلي ابر، مركز داده‎است. مركز داده شامل منابع سخت‎افزاري خام براي محاسبات و ذخيره‏سازي است، كه به همراه نرم‎افزار به "صورت پرداخت هزينه و استفاده" ارائه مي‎شوند. از ديدگاه هدفشان، ابرها به دو دسته خصوصي و عمومي تقسيم مي‎شوند. مستقل از هدف ابرها، مهمترين هدف ابرها يكپارچه‎سازي سخت‎افزار و نرم‎افزارهاي سيستم با برنامه‎هاي‌كاربردي مي‎باشد، يعني يكپارچه‎سازي محاسبات ابزاري وSaaS . همچنين Reese بيان مي‎دارد كه يك ابر مي‎تواند هم نرم‎افزار و هم زيرساخت باشد و چگونگي مصرف سرويس‌هاي ابري را خاطر نشان كرده‌است: "سرويس وب از طريق مرورگر وب (به‎طور غير اختصاصي) و يا API‎های وب سرويس‌ها قابل دسترسي است. براي شروع نياز به هزينه‎اي نيست. در واقع افراد تنها براي آنچه استفاده‎مي‎كنند هزينه مي‎پردازند." Foster و همكارانش محاسبات ابري را اين‎گونه تعريف مي‌كنند: "يك نمونه محاسباتي توزيع‎شده در مقياس بزرگ كه از صرفه‎جويي‎هاي مقياس نشات گرفته‎است، استخري است از انتزاع، مجازي‎سازي، به صورت پويا مقياس‎پذير، نيروي محاسباتي قابل مديريت، حافظه‎هاي ذخيره‏سازي، پلت‎فرم‎ها و سرويس‌هايي كه از طريق اينترنت بر‎اساس تقاضاي مشتريان خارجي در اختيار آنها گذاشته مي‎شود." دو ايده مهم كه در تعريف Foster و همكارانش اضافه شده است: مجازي‎سازي و مقياس‎پذيري است. مجردسازي محاسبات ابري از طريق مجازي‎سازي سخت‎افزار و نرم‎افزار سيستم زيرين انجام مي‎شود. منابع مجازي از طريق يك واسط مجرد از قبل تعريف‌شده (يك واسط برنامه‌كاربردي (API يا يك سرويس فراهم مي‎شوند. بنابراين، در سطح سخت‎افزار خام، منابع مي‎توانند طبق درخواست فرستاده‌شده به واسط اضافه و يا خارج گردند، در حالي كه واسط كاربر هيچ تغييري نكند. اين معماري روي لايه فيزيكي ابر، بدون تاثير روي واسط به كاربر مقياس‎پذير و منعطف است. سرانجام Vaquero و همكارانش، حدود 22 تعريف از محاسبات ابري كه همه در سال 2008 ارائه‎شده بودند را تحليل كردند. بر‎اساس آن تحليل، Vaquero و همكارانش تعريف زير را ارائه دادند كه هدف آن بازتاب درك كنوني از محاسبات ابري است: "ابرها استخر بزرگي از منابعي هستند كه قابل استفاده و دسترسي به صورت مجازي و به سادگی (مانند سخت‎افزار، پلت‎فرم‎هاي توسعه‎يافته و/يا سرويس‌ها) مي‎باشند. اين منابع مي‏توانند به‎طور پويا پيكربندي مجدد شوند تا در مورد يك بار (مقياس) متغير و همچنين استفاده بهينه از يك منبع متعادل گردند. اين استخر از منابع نوعاً بر‎اساس مدل پرداخت به ازاي استفاده كه در آن تضمين‎ها توسط فراهم‎كننده زيرساخت و توسط SLA‎ها تنظيم‎شده پيشنهاد شده است، ارائه مي‎گردد." به علاوه Vaquero و همکارانش مقياس‎پذيري، مدل استفاده بر‎اساس پرداخت و مجازي‎سازي را به عنوان مجموعه مشخصه‎اي كه، مينيمم تعريف ابرها دارند، خلاصه مي‌كنند. به هر حال، در حالي كه تعريف Vaquero و همكارانش ديگر تعريفات را با توجه به لايه فيزيكي خيلي خوب خلاصه كرده‌است اما به يكپارچه‎سازي سخت‎افزار با نرم‎افزار به عنوان يك سرويس به ميزان كافي اشاره نكرده‌است. تمامي تعريفات بيان‎مي‎دارند كه محاسبات ابري محيطي است كه شامل تعدادي جنبه است و مربوط به نمونه‏اي جديد از فناوري‎اطلاعات (تحويل و توسعه سخت‎افزار و برنامه‎هاي‎كاربردی) مي‎باشد. به‎طور كلي، محاسبات ابري در رابطه با تحويل قابليت‎هاي فناوري‎اطلاعات به مشتريان خارجي است و يا از ديدگاه كاربر، شامل تحويل قابليت‎هاي فناوري‎اطلاعات از يك فراهم‎كننده خارجي، به عنوان يك سرويس به صورت پرداخت به ازاي استفاده و از طريق اينترنت مي‎باشد. به علاوه، مقياس‎پذيري و مجازي‎سازي به عنوان مشخصه‏هاي كليدي محاسبات ابري ديده شده‎اند، مقیاس‎پذيري به تعديل منابع فناوري‎اطلاعات فراهم‎شده به نسبت بار متغير اشاره دارد. به عنوان نمونه، افزايش و يا كاهش تعداد كاربران، ظرفيت ذخيره‏سازي مورد نياز يا قدرت پردازش. مجازي‎سازي، كه به عنوان اساسي در تمامي معماري‎هاي محاسبات ابري است، اصولا براي تجريد و كپسوله‎سازی استفاده مي‎شود. تجريد اجازه مي‎دهد تا محاسبه خام، فضاي ذخيره‏سازي و منابع شبكه به عنوان استخري از منابع متحد شوند و پوشش و جاي‎گيري منبعي مانند سرويس‌هاي ذخيره‏سازي داده را روي آنها امكان مي‎سازد. سرانجام اينكه كپسوله‎سازي برنامه‎هاي‌كاربردي امنيت، قابليت مديريت و ايزوله‌سازي را بهبود داده‎است. مشخصه مهم ديگر ابرها يكپارچه‎سازي سخت‎افزار و نرم‎افزار سيستم با برنامه‎هاي‌كاربردي است. هم سخت‎افزار و هم نرم‎افزار سيستم، يا زيرساخت و برنامه‎هاي‌كاربردي به عنوان سرويس در يك محيط يكپارچه ارائه مي‎شوند ]9[. 2-4-2 مشخصات اصلی محاسبات ابری محاسبات ابری چند ویژگی اصلی دارد که ارتباط و تفاوت آنها را از روش‎های محاسبات سنتی نشان می‌دهد: خدمات سلف سرویس مورد تقاضا: ارائه‎دهنده محاسبات ابری باید توانایی ارائه منابع محاسباتی در هر زمانی که مشتری به آنها نیاز دارد را داشته‎باشد. در واقع مصرف‌کننده می‎تواند به‎طور یک جانبه قابلیت‌های محاسباتی مانند زمان سرور و حافظه‌ی شبکه مورد نیاز را به صورت خودکار، بدون نیاز به تعامل انسان با یک ارائه‎دهنده سرویس ‏فراهم کند. از نقطه نظر مشتری، منابع محاسباتی، تقریباً در دسترسی نامحدود هستند. دسترسی به شبکه گسترده: محاسبات ابری از فناوری‌های شبکه‌ی موجود برای ارائه سرویس به مشتریان استفاده و میان سهام‎داران اتصال برقرار می‌کند. همچنین سرویس‏ نرم‎افزاری مبتنی بر ابر را ترویج می‌دهد. ادغام منابع: هر ارائه‎دهنده‌ی ابر، مشتریان متعددی دارد. مشتریان، منابع محاسباتی را به صورت پویا از یک مخزن منابع گرفته و آنها را به مخازنی که هیچ تقاضایی وجود ندارد منتشر می‌کنند. میزانی از استقلال وجود دارد که مشتری به‎طور کلی هیچ کنترل و یا دانشی از محل دقیق منابع ارائه‎شده ندارد، اما ممکن‌است قادر به تعیین محل در سطح بالاتری از انتزاع (به عنوان مثال کشور، ایالت و یا مرکز داده) باشد. نمونه‌هایی از منابع شامل ذخیره‌سازی، پردازش، حافظه، پهنای باند شبکه و ماشین‌های‌مجازی است. قابلیت ارتجاعی سریع: براساس توافق‌نامه سطح سرویس خاص، ارائه‌دهنده ابر، منابع ارائه‌شده برای پاسخگویی به نیازهای در حال تغییر مشتری را برآورده می‎سازد که تخصیص منابع را با توجه به خواسته‌های فعلی جمع‌آوری‌شده از کاربران خود برآورده می‌کند و در غیر این صورت احتمالاً غرامت مشخصی برای عدم برآورده‌کردن توافق‌نامه سطح سرویس ‏مربوطه به هر یک از مشتریان پرداخت می‌کند. قابلیت‌ها می‎تواند به سرعت و به صورت ارتجاعی و در برخی موارد به‎طور خودکار با سرعت خارج از مقیاس تأمین و به سرعت در مقیاس داخل منتشر شود. برای مشتری، قابلیت‌های موجود برای تأمین اغلب نامحدود است و می‎تواند در هر مقدار و در هر زمان خریداری شود. تأمین منابع می‎تواند به سرعت رخ دهد، همچنین تقاضا برای منابع ممکن‌است به صورت پویا متفاوت باشد. پرداخت نسبت به استفاده: یک جنبه‌ی جدید دیگر محاسبات ابر، مدل حسابداری مبتنی بر استفاده از برنامه‌های‌کاربردی است. سیستم‌های ابر به‎طور خودکار استفاده از منابع را با بکارگیری قابلیت اندازه‌گیری در برخی سطوح انتزاع مناسب و بسته به نوع سرویس (به عنوان مثال ذخیره‌سازی، پردازش، پهنای باند یا حساب‌های کاربری فعال) کنترل و بهینه‌سازی می‌کنند. استفاده از منابع برای انواع مختلف سرویس ‏بر‎اساس معیار نوع سرویس ‏اندازه‌گیری می‌شود و مشتری تنها برای استفاده کوتاه مدت از پردازنده‌ها و ذخیره‌سازی هزینه می‎پردازد. به عنوان مثال استفاده می‎تواند در افزایش ساعت یا روز بکار رود، آنچه می‎تواند هزینه‎های سرمایه‌گذاری را به هزینه‎های عملیاتی تبدیل کند ]1، 2، 9، 15 و 16[. 2-5 معماری و مولفه‎های ابر در این بخش ابتدا یک دیدگاه کلی از ایده‎ها با توجه به ساختار و مولفه‎های ابر ارائه می‎شود. سپس معماری سه لایه ابرها بین خواهد‎شد. 2-5-1 دیدگاه کلی از ایده‎های موجود برای ساختارهای ابری و مولفه‎های آن در منابع موجود ساختارهای ابری زیادی را می‎توان یافت که این دسته‎بندی‎ها در نگاه اول متفاوتند اما در نهایت طبقه‎بندی و توصیف پدیده‎ی مشابهی را به اشتراک می‎گذارند. ساختاری با جزئیات کامل با هفت مولفه محاسبات ابری ارائه می‎دهد که شامل برنامه‎کاربردی، کلاینت، زیرساخت، پلت‎فرم، سرویس، فضای ذخیره‎سازی و قدرت محاسباتی می‎شود. به روش‎های متفاوتی که یک شرکت می‎تواند از محاسبات ابری برای توسعه برنامه‎های‎کاربردی تجاری‎اش استفاده کند نگاه می‎اندازد و چهار نوع متفاوت از توسعه سرویس ابری شامل نرم‎افزار به عنوان سرویس، پلت‎فرم به عنوان سرویس، سرویس‎های وب و محاسبات بر مبنای تقاضا را برمی‎شمرد. محاسبات بر مبنای تقاضا آن‎طور که بیان داشته‎است، همان محاسبات ابزاری است. Youseff و همکارانش برای محاسبات ابری پنج لایه قائل شده‎اند: برنامه‎کاربردی ابری، محیط نرم‎افزاری ابری، زیرساخت نرم‎افزاری ابری، کرنل نرم‎افزاری و سخت‎افزار/میان‎افزار. مرکز تحقیقات Forrester مولفه‎های ابرها را به بازارها مربوط کرده است و پنج بازار سرویس ابری را مشخص کرده است. دو مورد از این بازارها، یعنی سرویس‎های مبتنی بر وب و راهنماهای SaaS، به عنوان بازارهایی که از ابر تحویل داده‎می‎شوند، شناخته می‎شوند در حالی که سه زیرساخت بازاری ابری که به عنوان سرویس جدیدی هستند عبارتند از: مولفه‎های برنامه‎های‎کاربردی به عنوان سرویس، پلت‎فرم نرم‎افزار به عنوان سرویس و زیرساخت مجازی به عنوان سرویس. سرانجام Reese، SaaS را به عنوان نرم‎افزاری در ابر مورد ملاحظه قرار داده‎است و چهار مدل زیرساخت ابری به نام‎های پلت‎فرم به عنوان سرویس، زیرساخت به عنوان سرویس، ابرهای خصوصی و مدل چهارم که تمامی جنبه‎های مدل‎های زیرساخت ابری قبلی را ارائه می‎دهد، قائل شده است. ایده‎های بالا توصیف کاملی از یک زیرساخت ابری و مولفه‎هایش ارائه نمی‎کند. ایده‎ای که اغلب برای توصیف یک ساختار نوعی از ابرها و مولفه‎هایش استفاده‎می‎شود ایده‎ی سه لایه‎ای است که در بخش بعدی توضیح داده‎می‎شود ]9 و 17[. 2-5-2 مدل‎های سرویس ‏محاسبات ابری تعاریفی که در بخش (تعاریف ابر) ارائه شد، نشان داد که محاسبات ابری شامل قابلیت‎های متفاوت فناوری اطلاعات شامل زیرساخت، پلت‎فرم‎ها و نرم‎افزار است. می‎توان گفت اشکال، بخش‎ها، قسمت‎ها، استایل‎ها، انواع، سطوح یا لایه‎های متفاوت محاسبات ابری بدون توجه به اصطلاحات بکار‏رفته، این دسته‎بندی سه لایه برای محاسبات ابری بیشتر رایج است. از آنجایی که تحویل منابع فناوری اطلاعات یا قابلیت‎ها به عنوان سرویس مشخصه مهمی از محاسبات ابری است، سه لایه معماری محاسبات ابری عبارتند از (شکل 2-1): 1) زیرساخت به عنوان سرویس (IaaS) 2)پلت‎فرم به عنوان سرویس (PaaS) 3)نرم‎افزار به عنوان سرویس (SaaS) در ادامه سه لایه محاسبات ابری و ارتباط آنها با یکدیگر بیان می‎شود. 756920-175260زیرساخت به عنوان سرویس (IaaS)پلت‎فرم به عنوان سرویس (PaaS)یکپارچگی عمودیپلت‎فرم به عنوان سرویسنرم افزار به عنوان سرویس (SaaS)نرم افزار به عنوان سرویسGoogle AppsSalesforce.comGoogle Apps EngineForce.comیکپارچگی افقیزیرساخت به عنوان سرویسSun Cloud Storage ServiceAmazon EC2JoyentAmazon S3Sun Cloud Compute Serviceزیرساخت به عنوان سرویس (IaaS)پلت‎فرم به عنوان سرویس (PaaS)یکپارچگی عمودیپلت‎فرم به عنوان سرویسنرم افزار به عنوان سرویس (SaaS)نرم افزار به عنوان سرویسGoogle AppsSalesforce.comGoogle Apps EngineForce.comیکپارچگی افقیزیرساخت به عنوان سرویسSun Cloud Storage ServiceAmazon EC2JoyentAmazon S3Sun Cloud Compute Service شکل 2-1: سه لایه محاسبات ابری: IaaS، PaaS و SaaS ]9[. زیرساخت به عنوان سرویس قابلیت‌هایی برای ارائه‌ی پردازش، ذخیره‌سازی، شبکه‌ها و سایر منابع محاسباتی اساسی به مشتری ارائه می‎دهد که در آن مشتری می‎تواند یک سیستم‎عامل، برنامه‌ی‌کاربردی یا هر نرم‎افزار منتخب را اجرا و عملیاتی کند. مشتری، زیرساخت‌های اساسی ابر را مدیریت یا کنترل نمی‌کند اما بر سیستم‎عامل، ذخیره‌سازی و گسترش برنامه‌های‌کاربردی‌کنترل دارد و احتمالا کنترل محدودی روی اجزای شبکه انتخابی دارد (به عنوان مثال میزبان فایروال). در واقع چیزی که IaaS ارائه می‎دهد منابع محاسباتی مانند پردازشگر یا فضای ذخیره‎سازی است که می‎تواند به عنوان سرویس استفاده گردد. مثال‎هایی از سرویس‎های وب Amazon با محاسبات قابل ارتجاع ابری (EC2) برای پردازش و سرویس ذخیره‎سازی ساده (S3) برای ذخیره‎سازی و Joyent که زیرساخت مبتنی بر تقاضای مقیاس‎پذیر برای اجرای وب سایت‎ها و برنامه‎های‎کاربردی وب غنی می‎باشد. فراهم‎کنندگان PaaS و SaaS می‎توانند سرویس‎های خود را بر مبنای واسط‎های استاندارد شده روی IaaS قرار دارند. به جای فروش زیرساخت سخت‎افزاری خام، فراهم‎کنندگان IaaS نوعاً زیرساخت مجازی‎شده‌ای به عنوان سرویس ارائه می‎دهند. Foster و همکارانش به سطح منابع سخت‎افزاری خام مانند نیروی محاسباتی، فضای ذخیره‎سازی و منابع شبکه لایه fabric می‎گویند. نوعاً با استفاده از مجازی‎سازی، منابع سطح سخت‎افزار مجردسازی و کپسوله می‎شوند و بنابراین می‎توانند در معرض لایه بالاتر و کاربران نهایی از طریق واسط‎های استاندارد شده به عنوان منابع یکپارچه‎شده به فرم IaaS قرار می‎گیرند (شکل 2- 2). قبل از ظهور محاسبات ابری، زیرساخت به عنوان سرویس برای مدتی موجود بود که به آن محاسبات ابزاری می گفتند که حتی توسط بعضی از نویسندگان به عنوان لایه زیرساخت محاسبات ابری یاد می‎شود. در مقایسه با چیزی که محاسبات ابزاری ارائه می داد، IaaS سیر تکاملش به سمت حمایت از یکپارچه‎سازی برای تمام سه لایه (IaaS، PaaS و SaaS) در یک ابر است. از ابتدای ارائه محاسبات ابری واضح بود که برای محاسبات ابری فراهم‎کنندگان موفق اند، آنها می‎بایست واسطی آماده می‎کردند که دسترسی، درک، برنامه‎نویسی و استفاده از آن ساده باشد یعنی یک API که یکپاچه‎سازی با زیرساخت برنامه‎های‎کاربردی SaaS مشتریان و فراهم‎کنندگان بالقوه را فراهم می‎سازد. مراکز داده فراهم‎کنندگان محاسبات ابزاری به میزان کافی استفاده می‎شد اگر تنها توسط توده مهمی از مشتریان و فراهم‎کنندگان SaaS استفاده شوند. به عنوان نتیجه‎ای از شرایط لازم برای دسترسی آسان و مجرد شده به لایه فیزیکی یک ابر، مجازی‎سازی لایه فیزیکی و پلت‎فرم‎های برنامه‎نویسی برای توسعه‎دهندگان به عنوان مشخصه اصلی ابرها محسوب می‎گردد. شکل 2- 2: معماری ابری مربوط به سرویس‎های ابری ]15[. پلت‌فرم به عنوان سرویس پلت‎فرم‎ها لایه‎ای مجرد بین برنامه‎های‎کاربردی نرم‎افزار (SaaS) و زیرساخت مجازی‎شده (IaaS) هستند. ارائه‎دهنده‌ی ابر، سخت‎افزار و قابلیت‌ ایجاد یا خریداری برنامه‌های‌کاربردی مشتری برای گسترش بر روی زیرساخت‌های ابر، با استفاده از زبان‌های برنامه‌نویسی و ابزار پشتیبانی را ارائه‎می‌دهد. مشتری، زیرساخت‌های اساسی ابر مانند شبکه، سرورها، سیستم‌های‌عامل و ذخیره‌سازی را مدیریت یا کنترل نمی‌کند، اما برنامه‌های‌کاربردی گسترش‌یافته و احتمالاً پیکربندی محیط میزبان برنامه‌های‌کاربردی را کنترل می‌کند. ارائه‎دهندگان PaaS، توسعه‎دهندگان نرم‎افزار را هدف قرار داده‎اند. توسعه‎دهندگان کد، برنامه‎کاربردیشان را روی پلت‎فرم بارگذاری می‎کنند که نوعاً وقتی رشد استفاده از برنامه‎های‎کاربردی بالا می‌رود این مساله را به‎طور اتوماتیک مدیریت می‎کنند. ارائه‎دهندگان PaaS می‎توانند تمامی فازهای توسعه نرم‎افزار را پوشش دهند یا ممکن است روی ناحیه مشخص و معینی مثل مدیریت محتوا خاص شده‎باشند. مثال‎ها عبارتند از Google App Engine که اجازه‎ی اجرای برنامه‎های‎کاربردی روی زیرساخت Google را می‎دهد و پلت‎فرم Salesforce.com. لایه PaaS یک ابر بر واسط استاندارد شده لایه IaaS تکیه دارد که دسترسی به منابع موجود را مجازی می سازد و واسط‎های استاندارد شده و یک پلت‎فرم برای لایه SaaS فراهم می‎کند. نرم‎افزار به عنوان سرویس قابلیت‌های ارائه‎شده به مشتری برای استفاده از برنامه‌های‌کاربردی ارائه‎دهنده‌ی در حال اجرا بر روی زیرساخت‌های ابر می‎باشد. برنامه‌های‌کاربردی برای دستگاه‌های مختلف مشتریان از طریق یک رابط مشتری نازک مثلاً یک مرورگر وب (به عنوان مثال، ایمیل مبتنی بر شبکه) در دسترس هستند. مشتریان، زیرساخت‌های اساسی ابر از جمله شبکه، سرورها، سیستم‌عامل، ذخیره‌سازی یا حتی قابلیت‌های نرم‎افزاری شخصی را به استثنای پارامترهای برنامه‌کاربردی (مثل تنظیمات پیکربندی برنامه خاص کاربر محدود) مدیریت یا کنترل می‌کنند. همان‎طور که قبلا بیان شد، SaaS نرم‎افزاری است که تحت مالکیت و مدیریت از راه دور یک یا چند فراهم‎کننده است و بر‎اساس استفاده بر مبنای پرداخت هزینه ارائه می‎شود. SaaS مشهودترین لایه محاسبات ابری برای کاربران نهایی است چرا که در ارتباط با برنامه‎های‎کاربردی نرم‎افزاری واقعی است که مورد دسترسی و استفاده واقع می‎گردد. از نقطه نظر کاربر، داشتن نرم‎افزار به عنوان سرویس اساساً به‎خاطر مدل پرداخت بر‎اساس استفاده و به علت مزایای هزینه به آنها انگیزه می‎دهد. مثال‎هایی معروف از ارائه‎دهندگان SaaS، Salesforce.com و Google Apps مانند Google Mail، Google Docs و Spreadsheets هستند. کاربر نوعی یک ارائه‎دهنده SaaS معمولاً نه دانش و نه کنترلی روی زیرساختِ پلت‎فرم نرم‎افزاری که ارائه‎دهنده SaaS بر مبنای آن است (PaaS) و یا زیرساخت سخت‎افزاری واقعی (IaaS) ارائه‎شده به او دارد. به‎طور کلی لایه‎ها خیلی به فراهم‎کننده SaaS مربوط هستند چرا که لازم می‎باشند و می‎توانند به عنوان منبع خارجی باشند. برای مثال، یک برنامه‎کاربردی SaaS می‎تواند روی یک پلت‎فرم موجود توسعه داده‎شود و روی زیرساخت شخص ثالثی اجرا گردد ]1، 2، 9 و 15[. 2-6 دسته‎بندی ابرها ابرها معمولاً مي‎توانند طبق اينكه مالك داده مراكز ابر كيست، دسته بندي شوند. يك محيط ابري هم مي‎تواند شامل يك ابر و هم شامل چند ابر باشد. بنابراين بين محيط‎هاي تك ابري يا چند ابري بايد تمايز قائل شد. زيربخش‏هاي زير دسته بندي‎اي از محيط‎هاي تك ابري بر مبناي مالك مركز داده ابر و دسته بندي بر مبناي محيط‎هاي چندابري بر مبناي مالك مراكز داده ابري است. صرف نظر از مدل سرویس‏ مورد استفاده، چهار مدل برای گسترش سرویس‏ ابر وجود دارد: ابرهای عمومی: زیرساخت‌های ابر ساخته‎شده که در دسترس عموم افراد یا گروه‌های صنعتی بزرگ قرار دارد و متعلق به سازمان فروشنده‌ی سرویس ابر است. سازمان مسئول ممکن‌است انواع مختلفی از سرویس‌های ابر را با استفاده از مدل ابرهای عمومی ارائه دهد. ابرهای خصوصی2: برای استفاده‌ی انحصاری یکی از مشتریان (یک سازمان واحد) ساخته‎شده، که مالک آن است و به‎طور کامل ابر را کنترل می‌کند، که منابع ممکن‌است در داخل یا خارج از سازمان باشند و به صورت محلی از طریق سازمان یا شخص ثالث اداره شود. این واقعیت که ابر توسط یک مشتری خاص استفاده می‌شود ویژگی متمایز هر ابر خصوصی است. ابرهای متحد‎شده3: هنگامی که چندین مشتری (سازمان‎های مختلف) نیازهای مشابه دارند، می‎توانند یک زیرساخت، پیکربندی و مدیریت ابر را به اشتراک بگذارند. این مدیریت ممکن‌است به صورت محلی توسط مشتری (سازمان) یا توسط اشخاص ثالث انجام شود. ابرهای ترکیبی4: زیرساخت‌های ابر مرکب ابرهاي عمومي و خصوصي را به عنوان یک موجودیت واحد و همراه با فناوری‌های استاندارد یا اختصاصی محدود تركيب مي‌كنند و به يك سازمان اجازه مي دهند كه تعدادي برنامه‌كاربردي را هم روي زيرساخت يك ابر داخلي و هم روي ابرهاي عمومي اجرا كند که داده‌ها و قابلیت حمل برنامه‌های‌کاربردی (به عنوان مثال، انفجار ابر برای تعادل بار بین ابرها) را پشتیبانی می‌کنند ]1، 2، 15 و 16[. به اين ترتيب، شركت ها مي‎توانند از منابع مقياس‎پذير فناوري‎اطلاعات ارائه‎شده توسط فراهم‌كنندگان خارجي سود برند، در حالي كه برنامه‎هاي‌كاربردي خاص و يا داده را دورن ديواره آتش نگه مي‎دارند. يك محيط ابري تركيبي، پيچيدگي را با وجود توزيع برنامه‎هاي‌كاربردي در محيط‎هاي متفاوت، نظارت زيرساخت داخلي و خارجي درگير، امنيت را افزايش دهد و ممكن‌است در مورد برنامه‎هاي‌كاربردي اي كه نياز به پايگاه‎هاي داده پيچيده و يا همگام‎سازي دارند مناسب نباشند. ابرهاي متحد‎شده مجموعه‎اي از ابرهاي تكي هستند كه مي‎توانند با يكديگر كار كنند به عنوان نمونه تبادل داده و منابع محاسباتي از طريق واسط‎هاي از قبل تعريف شده. طبق اصول كليدي اتحاد، در اتحاد ابرها تك تك ابرها مستقل مي‎مانند اما مي‎توانند با ديگر ابرها در اتحاديه از طريق واسط‎هاي استاندارد شده با يكديگر كار كنند. اصطلاح ابرهاي اتحادي يا اتحاديه ابرها به همكاري و اتحاد ابرهاي عمومي و يا حتي ابرهاي خصوصي درگير اشاره دارد. فراهم‌كنندگان زيرساخت ابري لازم است منابع محاسباتي مقياس‎پذير زيادي را فراهم‎كنند. اين مسئله به كاربران و فراهم‌كنندگان SaaS ابري اجازه می‎دهد كه در مورد زيرساخت محاسباتي مورد نياز براي اجراي سرويس‎هايشان نگران نباشند. فراهم‌كنندگان زيرساخت ابري ممكن‌است خودشان با مشكل مقياس‎پذيري رو به رو شوند. يك شركت ميزبان تكي ممكن‌است قادر به فراهم‎كردن زيرساخت محاسباتي ناحدودي كه بتواند به تعداد افزايشي‌اي از برنامه‎هاي‌كاربردي با تعداد زيادي كاربر و دسترسي در هر زمان و در هر كجا سرويس دهد، نباشد. در نتيجه، فراهم‌كنندگان زيرساخت ابري ممكن‌است براي اينكه قادر به خدمت‎رساني نيازهاي فراهم‌كنندگان سرويس ابري باشند، شريك شوند، به عنوان نمونه فراهم‎كردن ابزار محاسباتي نامحدود. بنابراين، ابر ممكن‌است يك اتحاديه از فراهم‌كنندگان زيرساخت يا يك اتحاديه از ابرها باشد. 2-7 چند اجاره‌ای چنداجاره‌ای در مدل‎های سرویس ابر، نیازهای مربوط به پیاده‎سازی سیاست محور، تقسیم‌بندی، جداسازی، هماهنگی، سطوح سرویس ‏و مدل‎های بازگشت سرمایه/حسابداری برای حوزه‌های مختلف مشتری را نشان می‌دهد. مشتریان ممکن‌است از سرویس ‏ارائه‎شده توسط ارائه‌دهندگان ابرهای عمومی یا سازمان‎های مشابه استفاده‎کنند. از دیدگاه ارائه‌دهنده، چند‌اجاره‌ای روش معماری و طراحی برای صرفه به مقیاس فعال، دردسترس بودن، مدیریت، تقسیم‌بندی، جداسازی و بازدهی عملیاتی زیرساخت‌های مشترک نفوذی، داده‌ها، فرا‌داده، سرویس‏ و برنامه‌های‌کاربردی در میان مشتریان مختلف را نشان می‌دهد. شکل 2-3 مدل چند اجاره‌ای را نشان می‌دهد. شکل 2-3: چند‌اجاره‌ای ]1[. 2-8 مجازی‌سازی2 در مدل ابر، آنچه مشتریان واقعاً برای آن پول می‎پردازند و آنچه که آنها به صورت پویا اجاره می‌کنند، ماشین‌های مجازی است. این توانایی به ارائه‌دهنده‌ی سرویس ابر اجازه می‌دهد زیرساخت‌های ابر واقع در مراکز داده را بین مشتریان مختلف به اشتراک بگذارند. مجازی‌سازی به انتزاع منابع کامپیوتر با استفاده از ماشین‌های مجازی اشاره دارد. مجازی‌سازی اجازه می‌دهد تا سیستم‌عامل‌های چندگانه به‎طور همزمان در یک دستگاه فیزیکی مشابه اجرا شوند. مجازی‌سازی و مهاجرت پویای ماشین‌های مجازی در محاسبات ابری باعث استفاده‌ی کارآمدتر از منابع فیزیکی در دسترس موجود می‌شود. مجازی‌سازی با افزودن یک لایه زیرِ سیستم‎عامل (بین سیستم‎عامل و سخت‎افزار) بدست‎آمده‌است. دو گزینه‌ی متفاوت برای این لایه مجازی‌ساز وجود دارد: نوع یک: این نوع از لایه‌ی مجازی‌سازی، مجازی‌سازی محلی نام دارد و توسط مدیریت ماشین مجازی اجرا می‌شود. به‎طور مستقیم بر روی سیستم نصب‎شده و دسترسی مستقیم به سخت‎افزار دارد. سیستم‎عامل در بالاترین سطح قرار می‎گیرد. به همین دلیل سریع‌ترین، مقیاس‌پذیرترین و قوی‌ترین گزینه است. 5509895-21082635نوع دو: مجازی‌سازی میزبان. مدیریت ماشین مجازی به عنوان یک برنامه‌ی‎کاربردی بر روی سیستم‎عامل میزبان قرار می‎گیرد و ماشین‌های مجازی روی مدیریت ماشین مجازی اجرا می‌شوند. در هر دو صورت لایه‌ی مجازی‌ساز تمام ماشین‌های مجازی را مدیریت می‌کند. ناظر ماشین مجازی، برای هر یک راه‌اندازی می‌شود. امروزه روش مدیریت ماشین مجازی‏‏ در همه‌ی مراکز محاسبات ابری استفاده می‌شود و به عنوان کارآمدترین گزینه در شرایط استفاده ‏از سخت‎افزار است (شکل 2-4). شکل 2-4: مجازی‌سازی مدیریت ماشین مجازی نوع یک و دو ]16 و 18[. 2-9 شکل‌های ابر انجمن جریکو به‎طور خلاصه چهار معیار برای شکل‌های مختلف ابر از یکدیگر شناسایی کرده که به مدل مکعب ابر معروف است. این چهار بعد در ادامه توضیح داده شده‌اند:‏ 2-9-1 بعد یک: داخلی/خارجی این بعد موقعیت فیزیکی داده‌ها را تعریف می‌کند. شکل‌های ابری که می‌خواهید استفاده کنید کجا هستند. داخل یا خارج از محدوده‌های سازمان هستند. اگر درون محدوده‌ی فیزیکی سازمان قرار دارند پس داخلی هستند. اگر درون محدوده‌ی فیزیکی سازمان قرار ندارند پس خارجی هستند. برای مثال، دیسک‌های سخت مجازی در یک مرکز داده‌ی سازمان می‌تواند داخلی باشد، در حالی که آمازن در برخی ‏از موقعیت‌های خارج از سازمان، خارجی است. ‏ این فرض که بعد داخلی از بعد خارجی امن‌تر است یک فرض غلط است. استفاده‌ی موثر از هر دو مدل بهترین استفاده‌ی امن را به‎طور احتمالی فراهم می‌کند. 2-9-2 بعد دو: اختصاصی/باز این بعد حالت مالکیت فناوری، سرویس، ‏واسط‌های ابر و ... را تعریف می‌کند. این بعد درجه‌ای از قابلیت‌های همکاری و نیز محل برنامه و داده‌ها بین سیستم‌ها و شکل‌های ابر دیگر را نشان می‌دهد و توانایی صرف‎نظر کردن ‏داده‌ها از یک شکل ابر یا حرکت آنها به شکل‌های بدون محدودیت دیگر را فراهم می‌کند. همچنین ‏محدودیت‌های روی توانایی اشتراک برنامه‌ها را نشان می‌دهد. اختصاصی به این معنی است که سازمان سرویسی فراهم می‌کند که متوسطی از مفاهیم را تحت مالکیتش ‏نگه دارد. به عنوان یک نتیجه، هنگام عملیات در ابرهایی که اختصاصی هستند، بدون تلاش‌های معنی‌دار یا ‏سرمایه، توانایی حرکت به تأمین‌کننده‌ی ابر دیگر ممکن نیست. اغلب، بیشتر پیشرفت‌های فناوری‌های ‏ابداعی در حوزه‌ی اختصاصی رخ می‌دهد. ‏ ابرهای باز در فناوری‌هایی که اختصاصی نیستند استفاده می‌شود، به این معنی که احتمالا تأمین‌کنندگان ‏بیشتری وجود دارند و شما محدودیتی در توانایی اشتراک داده‌ها و همکاری با بخش‌های انتخاب‌شده برای ‏استفاده از فناوری‌های مشابه ندارید. سرویس ‏باز تمایل به گسترش و مصرف شدن دارند و بیشتر به ‏عنوان یک استاندارد باز منتشر می‌گردند. 2-9-3 بعد سه: محیطی/غیرمحیطی بعد سوم طرز معماری را ارائه‎می‌دهد–آیا درون محیط IT یا خارج آن عملیات می‌کند؟ غیرمحیطی معمولاً با ‏شکست تدریجی/از بین رفتن/کاهش/فروپاشی محیط IT مبتنی بر انبار ارتباط دارد. محیطی به‎طور پیوسته برای عملیاتی کردن داخل محیط IT سازمان بکار می‌رود، اغلب توسط ‏دیوارهای آتش شبکه علامت‌دهی می‌شود. هنگام اجرا در نواحی محیطی، ممکن است به سادگی ‏محیط سازمان در خارج از دامنه‌ی محاسبات ابر با استفاده از یک شبکه خصوصی مجازی یا سرور مجازی عملیاتی در ‏دامنه‌ی پروتکل اینترنت آن، به دلیل استفاده از سرویس ‏دایرکتوری خودتان برای کنترل دسترسی، گسترش داده‎شود. ‏ غیرمحیطی فرض می‌کند که محیط سیستم از جریان طراحی‎شده‌ی اصول هر فرمان انجمن جریکو و ‏چارچوب معماری همکاری‌گرا ساخته‎شده است. نواحی غیرمحیطی در مدل مکعب ابر هم در دامنه‌ی داخلی و هم خارجی استفاده می‌شود. همکاری یا ‏اشتراک داده‌ها نباید به عنوان داخلی یا خارجی دیده شود، بلکه باید توسط آن کنترل و محدود به طرفین شود ‏که سازمان‌ها با استفاده از آن انتخاب می‌کنند. 2-9-4 بعد چهار: برون‎سپاری/درون‎سپاری این بعد به سوال "چه کسی ابر شما را اجرا خواهد کرد؟" پاسخ می‌دهد:‏ برون‎سپاری: سرویس توسط یک طرف سومی فراهم شده است. ‏ درون‎سپاری: سرویس توسط کارمندان شما و تحت کنترل شما فراهم شده است ]19[. 2-10 فرصت‎ها و چالش‎های محاسبات ابری به‎طور كلي، براي تمامي انواع مختلف مشتريان ابري، يك ابر فرصت‎هاي اصلي را به صورت X به عنوان سرویس ارائه می‎دهد. از دیدگاه کاربر، مدل پرداخت بر مبناي ابزار به عنوان يكي از مزاياي اصلي محاسبات ابري در نظر گرفته مي‎شود. نيازي به سرمايه‎گذاري در زيرساخت نيست: سرمايه‎گذاري در مجوزهاي نرم‎افزار و ريسك پرداخت هزينه مجوز نرم‎افزار و استفاده نكردن از آن و سرمايه‎گذاري در زيرساخت‎هاي سخت‎افزاري و نگهداري آن و كاركنان. بنابراين، هزينه‎هاي سرمايه‎گذاري به هزينه‎هاي عملياتي تبديل شده است. كاربران يك سرويس ابري تنها از ميزاني از منابع فناوري‎اطلاعات كه واقعاً نياز دارند استفاده مي‌كنند و تنها به ميزاني كه از منابع فناوري‎اطلاعات واقعاً استفاده كرده‎اند هزينه پرداخت مي‌كنند. در عين حال، آنها امكان استفاده از مقياس‎پذيري و انعطاف پذيري ابر را هم دارند. با اين حال، محاسبات ابري معايبي نيز دارد: ابرها به مشتريان متفاوتي سرويس ارائه مي دهند. بنابراين، كاربران يك سرويس ابر از اينكه كار چه شخص ديگري روي همان سروري است كه كار آنها مي‎باشد، اطلاعي ندارند. يك ابر نوعي در خارج از شركت و يا فايروال سازمان است. در حالي كه اين مساله ممكن‌است نقش عمده‎اي براي مصرف‌كنندگان بازي نكند، اما مي‎تواند تاثير قابل توجهي در تصميم‎گيری‎هاي شركت در استفاده از خدمات ابر داشته‎باشد. خطرات عمده‎ي محاسبات ابري عبارتند از: در دسترس بودن، امنيت، کارایی، اطلاعات در قفل، محرمانه بودن و قابلیت بررسی اطلاعات، گلوگاه‏هاي انتقال داده، سختي يكپارچه‎شدن با فناوري‎اطلاعات محلي و كمبود تطبيق‎پذيري. كاربر بايد به قول فراهم‎كننده ابر با تكيه بر قابليت اطمينان، كارايي و كيفيت سرويس زيرساخت اعتماد داشته‎باشد. استفاده از ابرها به امنيت بالاتر و ريسك‎هاي پنهاني مربوط به ذخيره‏سازي و مديريت داده به دو روش مربوط مي‎گردد: اولاً به علت نياز به انتقال داده به ابر به‎طوري كه داده در ابر پردازش شود. ثانياً چون داده روي يك زيرساخت خارجي ذخيره‌مي‎شود و مالك داده به بيمه فراهم‎كننده داده اعتماد دارند مبني بر اينكه هيچ دسترسي غيرمجازي صورت نمي‎گيرد. به علاوه، استفاده از ابرها نياز به سرمايه‎گذاري در يكپارچه‎سازي زيرساخت و برنامه‌كاربردي با ابر دارد. در حال حاضر، استانداردي براي واسط‎هاي IaaS، PaaS و SaaS وجود ندارد. كه اين مساله انتخاب يك فراهم‎كننده ابري و سرمايه‎گذاري در يكپارچه‎سازي با ابرها را پر ريسك مي‎سازد. با داشتن يك log in قوي مي‎توان به نتيجه رسيد كه اين براي فراهم‎كننده ابر مزيت است اما براي كاربران يك عيب مي‎باشد. با وجود ريسك استفاده از ابرها، در هر حالت يك ارزيابي با دقت و مقايسه مزاياي بالقوه و ريسك‎ها لازم است. همچنين، اين مساله بايد مورد ملاحظه قرار گيرد كه چه داده و پروسسي براي منابع ابري مناسب است و چه داده و پروسسي را نبايد در خارج از ديوارهاي آتش سازمان استفاده كرد. 2-11 چالش‌های امنیتی محاسبات ابری محاسبات ابری به‎طور ذاتی امن نیستد. امنیت در ابر اغلب نامحسوس و کمتر قابل مشاهده است. چالش‌های مربوط به امنیت اطلاعات، مدیریت هویت و دسترسی برخی از چالش‌های امنیتی محاسبات ابری می‎باشند. کاربران ابر معمولاً هیچ کنترلی روی منابع ابر استفاده‎شده ندارند و یک ریسک افشای داده‌ی ذاتی برای کاربر یا ارائه‎دهنده‌ی ابر وجود دارد. معماری محاسبات ابری نیازمند انطباق معیارهای مدیریت دسترسی و شناسایی است. هنگامی که بررسی یا ذخیره‌سازی داده‌ها درون یک محیط عمومی برای شخص خاصی تایید شده‎باشد، باید پیش‌بینی‌های مناسب برای اطمینان از کنترل‌ کامل و بدون وقفه در سرتاسر داده‌های آنها توسط مالکان داده انجام شود ]3[. 2-12 چالش‌های حفظ حريم خصوصی محاسبات ابری در محیط محاسبات ابر، ارائه‎دهندگان ابر توسط مشتری تعریف می‌شوند که می‎تواند میزبان یا انبار داده‌های مهم، فایل‌ها و رکورد‌های کاربران ابر باشند. حفظ کنترل اطلاعات برای صاحب اطلاعات یک موضوع مهم است. با توجه به حجم یا مکان ارائه‎دهندگان محاسبات ابر، نگهداری و کنترل اطلاعات یا داده‌ها در همه‌ی زمان‌ها برای شرکت‌ها و کاربران خصوصی مشکل است و به همین دلیل آنرا به تامین کنندگان ابر واگذار می‌کنند. حفظ حریم خصوصی برای جلب اعتماد کاربر و نیازهای مراحل طراحی، یک موضوع مهم در محاسبات ابری است. حساسیت محرمانگی اطلاعات، نحوه دسترسی به داده‌ها و شرایط انتقال داده‌ها از جمله چالش‌های حفظ حریم خصوصی هستند. شرکت‌های در حال رکورد درک کرده‌اند که می‎توانند به سادگی با بهره‎برداری از ابر درون خود، دسترسی سریعی به بهترین برنامه‌های کسب‌و‌کار به دست آورند. اطلاعات زیادی از افراد و شرکت‌ها در ابر قرار داده‎شده است که ممکن‌است همه یا برخی از اطلاعات حساس (مثلاً سوابق بانکی) یا از نظر قانونی حساس (مثلاً پرونده‌های سلامت)، دارای محرمانگی یا ارزشمندی زیادی به عنوان دارایی شرکت باشند (مثلاً اسرار کسب‌و‌کار) که نشان‌دهنده‌ی اهمیت محرمانگی اطلاعات است. کاربران یک ابر مشابه، مفاهیم و اساس مشترک پردازش و ذخیره‌ی داده‌ها را به اشتراک می‎گذارند. آنها به‎طور طبیعی در معرض خطر نشت، افشای تصادفی یا عمدی اطلاعات هستند. در انتقال داده‌ها اگر داده مورد استفاده یا در دامنه‌ای قرار داده‎شود، ممکن‌است ابر به‎طور منظم موقعیت را تغییر دهد یا روی مکان‌های چندگانه همزمان مستقر شود ]7[. 2-13 محافظت از داده‎ها داده‌های ذخیره‎شده در یک ابر عمومی، معمولاً در یک محیط مشترک مرتب‎شده با داده‎ها برای مصرف‌کنندگان دیگر مستقر شده‎اند. سازمان‎ها، داده‌های حساس و منظم را درون یک ابر عمومی مستقر می‌کنند، بنابراین باید ابزارهایی برای کنترل دسترسی و نگهداری امن از داده‎ها در نظر گرفته شود. داده‌های در حال استراحت، در حال انتقال و در حال استفاده باید امن باشند و دسترسی به داده‎ها باید کنترل شود. استانداردهایی برای پروتکل‌های انتقال و مجوز‌های کلید عمومی اجازه‌ی انتقال داده‎ها برای محافظت با استفاده از رمزنگاری را می‌دهد و می‎تواند معمولاً با کارهای مشابه در محیط‌های زیرساخت به عنوان سرویس، پلت‌فرم به عنوان سرویس و نرم‎افزار به عنوان سرویس پیاده‎سازی شود. امنیت یک سیستم با بکارگیری رمزنگاری به کنترل مناسب کلیدهای مرکزی و اجزای مدیریت کلید وابسته است. اخیراً، مسئولیت مدیریت کلید رمزنگاری به‎طور کلی روی مصرف‎کننده ابر رخ می‌دهد. تولید و ذخیره کلید معمولاً بیرون از ابر با استفاده از ماژول‌های امنیت سخت‎افزار انجام می‎گیرد. 2-14 راهکارهای حفاظت از داده‌ها ‏برای حفاظت از داده‌ها راهکارهایی ارائه‎شده است که برخی از آنها به شرح زیرند: انتخاب مدل گسترش ابر: کدام مدل گسترش ابر انتخاب ‏شود. داده‌های حساس: نحوه‌ی طبقه‌بندی داده‌های ذخیره یا پردازش‎شده در ابر چگونه باشد. فناوری‌های رمزگذاری داده‌ها: انتخاب الگوریتم‌های هش، رمزگذاری و کلیدهای طولانی مناسب برای محافظت از داده‎ها هنگام عبور از شبکه. مالکیت داده و دسترسی کاربران مجاز: مالکیت حقوقی داده‌های مشتری حفظ و سیستم‌های مدیریت دسترسی برای ورود کاربران به سیستم استفاده‎شود. مدیریت کلید رمزگذاری داده‌ها: مدیریت رمزگذاری و رمزگشایی داده‌ها و کلیدهای استفاده‎شده توسط فروشنده و مشتری انجام شود. تهیه‌ی سخت‌افزار و نرم‎افزار: سخت‌افزار و نرم‎افزار مورد نیاز برای زیرساخت ابر توسط یک ‏منبع عرضه‌ی مشروع مورد استفاده قرار گیرد ]3[. 2-15 خطرات مشترک امنیت اطلاعات در ابر خطرات متعددی برای امنیت داده‌های محاسبات ابری وجود دارد که باید هنگام پرداختن به امنیت داده‌ها در نظر گرفته شود. این خطرات شامل فیشینگ، امتیاز دسترسی ارائه‎دهنده‌ی‎سرویس ابر و منبع یا منشأ خود داده‌ها می‌باشد. 2-15-1 فیشینگ یکی از خطرات غیر مستقیم برای داده‌های در حال حرکت، فیشینگ است. هر چند امروزه به‎طور کلی شکستن زیرساخت کلید عمومی بعید است، فریب کاربران نهایی در ارائه اعتبار برای دسترسی به ابرها امکان‎پذیر است. فیشینگ تلاش برای به دست آوردن اطلاعاتی (گاهی اوقات به‎طور غیر مستقیم، پول) از قبیل نام‌کاربری، کلمه عبور و ‏جزئیات کارت اعتباری با قیافه مبدل به عنوان یک نهاد قابل اعتماد در ارتباطات الکترونیکی است ]20[. فیشینگ از تکنیک‌های مهندسی اجتماعی برای فریب کاربران و سوء استفاده از قابلیت‌های ضعیف از فناوری‌های امنیت وب موجود استفاده می‌کند ]18[. 2-15-2 حق دسترسی پرسنل ارائه‎دهنده خطر دیگر در امنیت داده‌های ابر، دسترسی نامناسب به داده‌های حساس مشتری توسط پرسنل ابر است. سرویس برون‌سپاری ‎شده‌ی مبتنی بر ابر یا غیر ابر می‌تواند کنترل‌های سازمان‎های IT که از طریق کنترل‌های فیزیکی و منطقی اعمال شده‎اند را دور بزند. این خطر یک تابع با دو عامل اصلی است: اول، تا حد زیادی داده‌های رمزگذاری‎نشده در معرض افشا شدن قرار دارد و دوم، پرسنل ارائه‎دهنده ابر به آن داده دسترسی دارند. ارزیابی این خطر مستلزم شیوه‌های ارائه‎دهنده‌ی‎سرویس ‏ابر و تضمین این است که پرسنل ارائه‎دهنده‌ی‎سرویس ابر با حق دسترسی، به داده‌های مشتری دسترسی نخواهند داشت ]21[. 2-16 برنامه‌های‌کاربردی و محدودیت‌های رمزنگاری ‏داده‌ها بروس اشنایر، در مقاله خود ]22[ در مورد چگونگی رمزنگاری داده‌های در حال استراحت توضیح می‌دهد. یکی از نکات کلیدی اشنایر برای داده‌های در حال حرکت، کلیدهای رمزنگاری بی‌دوام است. اظهارات اشنایر به این صورت است: "کل مدل بر روی اینترنت قرار می‌گیرد. بخش عمده‌ای از داده‌های ذخیره‌شده بر روی اینترنت به‎طور جانبی توسط افراد استفاده می‌شود، که برای استفاده‌ی کامپیوترهای دیگر در نظر گرفته شده است و مشکل در آن نهفته است. کلید‌ها نمی‌توانند مانند قبل در ذهن افراد ذخیره شوند و به ذخیره بر روی کامپیوترهای مشابه در شبکه، که داده‌ها در آن مستقر است نیاز دارند و این بسیار خطرناک‌تر است." 2-17 احراز هویت داده‎ها ‏و شناسایی کاربران حفظ محرمانگی، یکپارچگی و در‌دسترس بودن برای امنیت داده‌ها، یک برنامه‌ی‌کاربردی صحیح و پیکربندی‌شده از شبکه‌ها، سیستم‌ها و مکانیزم‌های امنیتی کاربردی در سطوح مختلف زیرساخت ابر است. احراز هویت کاربران و حتی سیستم‌های برقراری ارتباط از طریق وسایل مختلف انجام می‌شود، اما مبنای هر یک از این موارد رمزنگاری است. احراز هویت کاربران اشکال مختلفی دارد، اما همه‌ی آنها بر‎اساس ترکیبی از عوامل احراز هویت است: چیزی که یک فرد می‌داند (مانند رمز عبور)، چیزی که آنها دارند (مانند یک توکن امنیتی)، برخی کیفیت‌های قابل اندازه‌گیری که برای آنها اصلی است (مانند اثر انگشت). به‎طور کلی کنترل دسترسی به صورت اختیاری یا اجباری انجام می‌شود، که رایج‌ترین مدل‎های آن عبارتند از: کنترل دسترسی اختیاری: در یک سیستم، هر شی دارای یک مالک است. کنترل دسترسی توسط مالک شی برای تصمیم‌گیری اینکه چه کسی دسترسی و چه امتیازاتی خواهد داشت تعیین می‌شود. کنترل دسترسی بر‎اساس نقش2: سیاست‌های دسترسی توسط سیستم تعیین می‌شود. کنترل دسترسی اجباری، براساس اعتماد یا اجازه موضوع است، اما کنترل دسترسی بر‎اساس نقش‏، ‏براساس نقش موضوع می‎باشد. یک موضوع می‎تواند به یک شی دسترسی داشته‎باشد یا یک تابع را در صورتی اجرا کند که مجموعه مجوزهای آنها- یا نقش- به آن اجازه می‌دهد. کنترل دسترسی اجباری3: سیاست‌های دسترسی توسط سیستم تعیین و توسط برچسب حساسیت پیاده‎سازی شده است، که به هر شی و موضوع اختصاص داده‏‎شده است. برچسب موضوع، سطح اطمینان آن و برچسب شی، سطح اطمینانی که برای دسترسی نیاز است را مشخص می‌کند. اگر موضوع به دست‌آوردن دسترسی به یک شی است، برچسب موضوع باید حداقل به اندازه برچسب شی غالب باشد. 2-18 ذخیره‌سازی داده‌ها در ابر از جمله پیشرفت‌های محاسبات ابری ذخیره‌سازی آنلاین است. امنیت داده‌ها برای چنین سرویس ابری شامل جنبه‌های مختلفی از جمله کانال‌های امن، کنترل‌های دسترسی و رمزگذاری می‌شود. در مدل ذخیره‌سازی ابر، داده‌ها بر روی سرورهای مجازی متعددی ذخیره می‌شوند. مزیت دیگر، کاهش هزینه کلی مربوط به وظایف نگهداری ذخیره‌سازی مانند تهیه پشتیبان، تکثیر و بازیابی حادثه است، که توسط ارائه‎دهنده‌ی‎سرویس ‏ابر اجرا می‌شود. یکی از روندهای اخیر در ذخیره‌سازی مبتنی بر ابر آنلاین، دروازه ذخیره‌سازی ابر است. این دستگاه‌ها می‎توانند ویژگی‌های متعددی، از جمله موارد زیر را ارائه‎دهند: ترجمه‌ی برنامه‌های‌کاربردی و پروتکل‌های مورد استفاده مشتری برای کسانی که از سرویس ‏ذخیره‌سازی مبتنی بر ابر استفاده می‌کنند که هدف آن یکپارچه‌سازی با برنامه‌های‌کاربردی موجود روی پروتکل‌های استاندارد شبکه است. قابلیت‌های پشتیبانی و بازیابی که با ذخیره‌سازی در ابر کار می‌کنند. رمزگذاری داده‌ها در محل، که کلید‌ها را برای دستگاه، محلی نگه می دارد ]23[. ارائه‎دهندگان ابر نیازمند حفاظت از حریم خصوصی و امنیت داده‌های اشخاص می‎باشند که آنها به نمایندگی از سازمان و کاربران نگهداری می‌کنند. مسئولیت مدیریت داده‌های شخصی یک بخش مرکزی از ایجاد اعتماد است که زیربنای پیروی از سرویس ‏مبتنی بر ابر می‎باشد که بدون وجود این اعتماد، مشتریان برای استفاده از سرویس ‏مبتنی بر ابر بی‎میل می‌شوند. برای تواناسازی سازمان برای تمرکز روی هسته‌ی کسب‎و‎کارش، خریداری و نگهداری کارمندان متخصص IT، نرم‎افزار و سخت‎افزار محاسباتی برای ذخیره و پردازش داده می‎تواند به یک فروشنده برون‎سپاری شود، که در این صورت هنوز سازمان در نهایت مسئول حفاظت از داده‌هایش می‎باشد. نگرانی‌های امنیتی پیرامون ذخیره‌سازی داده‌ها در ابر در مقایسه با داده‌هایی که در محل سازمان ذخیره‎شده‎اند ذاتا منحصر‎به‌فرد نیستند. این به این معنی نیست که خطرات داده‌ها در محیط‌های بسیار متفاوت مشابه هستند. بزرگترین خطرات برای داده‌ها ممکن‌است با دسترسی پرسنل ارائه‎دهنده‌ی‎سرویس ‏به اطلاعات یا عدم بررسی اطلاعات در شکل‌های مختلف به خوبی مطابق باشد ]3[. 2-19 احراز هویت احراز هویت، فرایند بدست‎آوردن اطمینان در هویت کاربران است. سطوح اطمینان احراز هویت باید بسته به حساسیت منابع برنامه و اطلاعات و ریسک‌های موجود متناسب باشد. تعداد زیادی از ارائه‌دهندگان ابر از استاندارد زبان نشانه‎گذاری اثبات امنیت پشتییبانی و آنرا برای اداره‌ی کاربران استفاده می‌کنند و آنها را قبل از ارائه دسترسی به برنامه‌ها و داده‌ها تصدیق می‌کنند. زبان نشانه‎گذاری اثبات امنیت ابزارهایی برای تغییر اطلاعات بین دامنه‌های مشترک ارائه‎می‌دهد. برای مثال، زبان نشانه‎گذاری اثبات امنیت ثابت می‌کند که یک کاربر توسط یک ارائه‌دهنده‌ی مجوز، تصدیق شده و شامل اطلاعاتی در مورد امتیاز و اعتبارات کاربر می‌شود. به محض دریافت تراکنش، ارائه‌دهنده سرویس پس از استفاده از اطلاعات برای بدست‎آوردن سطح دسترسی مناسب، مجوزها و اعتبارات تامین شده برای کاربر را به‎طور موفقیت‌آمیز بررسی می‌کند. درخواست زبان نشانه‎گذاری اثبات امنیت و پیام‌های پاسخ به‎طور معمول روی پروتکل دسترسی به شی ساده نگاشت شده‎اند، که متکی بر زبان نشانه‌گذاری توسعه‌پذیر برای فرمت‌های آن است. در یک ابر عمومی، برای مثال، یک کاربر یک کلید عمومی خاص با سرویس ایجاد می‌کند، کلید خصوصی می‎تواند برای علامت‎گذاری درخواست‌های پروتکل دسترسی به شی ساده استفاده‎شود ]21[. 2-20 زبان نشانه‎گذاری اثبات امنیت همان‎طور که خدمات وب شایع‎تر می‌شوند و کسب‌و‌کار به دنبال ارائه خدمات ترکیبی به مشتریانی است که آنها را به اشتراک می‎گذارند، نیاز گروهی کسب‌و‌کارها برای ارائه یک نقطه ورود به مشتریان خود بسیار مهم است. این فرایند می‎تواند مسئولیت سنگینی برای مشتریان باشد که باید نام‌های کاربری و کلمه‌های عبور مختلف را به‎خاطر داشته‎باشند و فعالیت‌های مختلف روی بخش‌های مرورگرهای وب مختلف را با واسط‌های کاربری غیرواحد مختلف نگهداری کنند. همچنین می‎تواند یک بار سنگین برای کسب‌و‌کارهای مختلف باشد. در جهان خدمات وب، یک برنامه‎کاربردی کلاینت ممکن است نیاز به ارسال یک پیام2 برای پردازش با یک سرویس را داشته‎باشد. یک روش احتمالی این است که مشتری را برای سرویس، احراز هویت کند و اعتبارات امنیتی را برای شناسایی مشتری نگه دارد. این سرویس ممکن است نیاز به ارسال این پیام برای پردازش بیشتر به یک یا چند سرویس را داشته‎باشد که در این صورت هر سرویس نیاز به شناسایی جداگانه مشتری و نگهداری سابقه‌ای از اعتبار مشتری برای یک سرویس منحصر به فرد دارد. تأیید اعتبار چندباره برای دریافت یک سرویس کاملاً منحصر به فرد، برای مشتری مسئولیت دارد، همچنین نیاز به نگهداری راه حل‌های احراز هویت و سوابق اعتبار خدمات منحصر به فرد وجود دارد. یک روش مقیاس‎پذیر می‌تواند مشتری را یکبار احراز هویت کند و در صورت موفقیت، نتایج احراز هویت و شناسایی و اعتبارات مشتری به تمام سرویس‌های مرتبطِ مبتنی بر یک رابطه معتبر (مطمئن) منتشر شود. بنابراین مشتری تنها یک بار احراز هویت می‌شود و هر سرویس منحصر به فرد، از مسئولیت احراز هویت مشتری و حفظ اطلاعات اعتبارات امنیت که برای هر کاربر ثبت شده است رهایی می‌یابد. هدف اصلی راه حل‌های ورود تکی3، حل این نوع مشکلات است. هر شخص یا سرویس تنها یکبار احراز هویت شود و دسترسی به طیف گسترده‎ای از خدمات آنلاین بدون نیاز به اعتبارسنجی و احراز هویت مجدد برای هر فرد امکان‎پذیر شود. حساسیت داده‌ها و حفظ حریم خصوصی اطلاعات به‎طور افزایشی به یک ناحیه نگرانی برای سازمان‌ها تبدیل می‌شود. جنبه‌های احراز هویت و اثبات هویت شامل استفاده، نگهداری و حفاظت از اطلاعات جمع‎آوری‎شده برای کاربران می‎باشد. جلوگیری از دسترسی غیر‎مجاز به منابع اطلاعات در ابر نیز یک عامل مهم است ]4 و 24[. 2-20-1 تعریف دو تعریف در زیر برای زبان نشانه‎گذاری اثبات امنیت ارائه‎شده است: تعریف یک: زبان نشانه‎گذاری اثبات امنیت یک استاندارد مبتنی بر زبان نشانه‌گذاری توسعه‌پذیر برای ورود تکی مرورگر وب است و توسط کمیته فنی سرویس‌های امنیت سازمان گسترش استانداردهای اطلاعات ساختاریافته4 تعریف شده است. زبان نشانه‎گذاری اثبات امنیت پیچیده است و تنها شرکت‌های بزرگ می‌توانند هزینه سنگین استفاده و پیاده‎سازی زبان نشانه‎گذاری اثبات امنیت را توجیه کنند. تعریف دو: زبان نشانه‎گذاری اثبات امنیت یک چارچوب مبتنی بر زبان نشانه‌گذاری توسعه‌پذیر توسعه‌یافته توسط سازمان گسترش استانداردهای اطلاعات ساختاریافته برای تبادل اطلاعات ایمن بین بخش‌های مختلف استفاده می‌شود. این یک استاندارد باز است که برای تبادل اطلاعات ایمن بین محصولات مختلف مورد استفاده قرار می‎گیرد. همه این موارد با ظهور محاسبات ابری و ارائه‌دهندگان مدیریت هویت مبتنی بر ابر مانند OneLogin در حال تغییر است. در حال حاضر هر کسی که استطاعت داشته‎باشد می‎تواند از زبان نشانه‎گذاری اثبات امنیت استفاده و در عرض چند دقیقه آنرا بارگذاری و اجرا کند. زبان نشانه‎گذاری اثبات امنیت توسط سازمان گسترش استانداردهای اطلاعات ساختاریافته توسعه‌یافته و یک چارچوب مبتنی بر زبان نشانه‎گذاری توسعه‌پذیر ارائه‎می‌دهد که هدف آن، امنیت تبادل اطلاعات است. با استفاده از اثبات‌های زبان نشانه‎گذاری اثبات امنیت، امنیت اطلاعات مربوط به یک موضوع در میان ارائه‌دهندگان سرویس در روش پلت‌فرم آگنوستیک به اشتراک گذاشته می‌شود. در خدمات وب، با استفاده از امنیت خدمات وب برای تامین امنیت پیام‌ها، زبان نشانه‎گذاری اثبات امنیت برای امنیت تبادل پیام میان سرویس‌های مختلف مورد استفاده قرار می‎گیرد. در زبان نشانه‎گذاری اثبات امنیت، مدل اطمینان مبتنی بر زیرساخت کلید عمومی برای ایجاد اطمینان استفاده می‌شود. به عنوان مثال، با امضای یک پیام با کلید خصوصی فرستنده، ثابت می‌شود که این پیام واقعاً توسط فرستنده فرستاده‎شده است. علاوه بر این، زیرساخت کلید عمومی برای توزیع کلید متقارن حفاظت‎شده توسط کلید عمومی‎‌گیرنده برای حل مشکل توزیع کلیدها با یک راه حل مقیاس‎پذیر استفاده می‌شود ]4[. زبان نشانه‌گذاری اثبات امنیت یک روش احراز هویت واقعی نیست بلکه ابزاری برای تبدیل واقعیت‎های موجود در مورد یک رویداد احراز هویت شده است. زبان نشانه‌گذاری اثبات امنیت می‎تواند در یک محیط ورود تکی مبتنی بر اینترنت به عنوان ابزاری برای انتقال اثبات‎های احراز هویت بین ارائه‌دهنده هویت و ارائه‌دهنده سرویس استفاده‎شود. زبان نشانه‌گذاری اثبات امنیت متکی بر مفهوم سرویس انتقال داخلی در ارائه‌دهنده هویت است. این سرویس، مسیریابی را از ارائه‌دهنده سرویس دریافت می‎کند، اطلاعات مورد نیاز برای ساخت اثبات‎های احراز هویت را نگاشت و کاربر را به ارائه‌دهنده سرویس جهت‎دهی می‎کند ]17[. زبان نشانه‎گذاری اثبات امنیت متشکل از تعدادی اجزای بلوک ساختمان است که هنگامی‌که به هم متصل می‌شوند، امکان پشتیبانی از تعدادی موارد استفاده را می‌دهد. مشخصات زبان نشانه‎گذاری اثبات امنیت، ساختار و محتوای اثبات‌ها، توضیحاتی در مورد یک اصل اثبات‌شده توسط یک بخش اثبات ارائه‎می‌دهد. این موارد توسط شمای زبان نشانه‎گذاری توسعه‌یافته تعریف شده است. اثبات‌ها یا درخواست‎شده هستند یا تنها برای ارائه‌دهنده سرویس بیان شده‎اند. پروتکل‌های زبان نشانه‎گذاری اثبات امنیت می‌توانند روی ارتباطات سطح پایین یا پروتکل‌های پیام (مانند پروتکل انتقال ابرمتن2 یا پروتکل دسترسی به شی ساده)، که توسط اتصالات تعریف شده‎اند، منتقل گردند. پروتکل‌ها و اتصالات زبان نشانه‎گذاری اثبات امنیت، همراه با ساختار اثبات‌ها برای ایجاد یک پروفایل با یکدیگر ترکیب می‎شوند. همچنین پروفایل‌های ویژگی نیز وجود دارد (برای مثال، پروفایل‌های LDAP و DCE)، که چگونگی تفسیر اطلاعات ویژگی که داخل یک اثبات انجام می‌شود را با استفاده از فناوری‌های ویژگی/دایرکتوری عمومی تعریف می‌کند. دو مولفه دیگر زبان نشانه‎گذاری اثبات امنیت در ساخت یک سیستم استفاده می‌شود: فراداده: فراداده که چگونگی بیان و اشتراک‎گذاری اطلاعات مربوط به پیکربندی بین دو نهاد مرتبط را تعریف می‌کند. فراداده توسط شمای زبان نشانه‎گذاری توسعه‌یافته تعریف شده است. محل فراداده با استفاده از رکوردهای سرور نام دامنه2 تعریف شده است. مفهوم احراز هویت: در بعضی موقعیت‌ها ارائه‎دهنده سرویس ممکن‌است تمایل به داشتن اطلاعات تکمیلی در تعیین صحت و محرمانگی اطلاعات درون یک اثبات داشته‎باشد. مفهوم احراز هویت اجازه تقویت اثبات‌ها با اطلاعات اضافی مربوط به اعتبار مدیر در ارائه‎دهنده‎ی شناسه مانند جزئیات احراز هویت چند عاملی را می‌دهد ]5 و 25[. 2-20-2 ویژگی‌ها زبان نشانه‎گذاری اثبات امنیت ویژگی‎های متعددی دارد که در ادامه تعدادی از آنها آمده است. مبتنی بر استانداردها: زبان نشانه‎گذاری اثبات امنیت مبتنی بر استاندارد است که قابلیت همکاری میان ارائه‌دهندگان هویت را تضمین می‌کند و شرکت‌ها برای انتخاب فروشنده آزادی عمل دارند. قابلیت استفاده: دسترسی با یک کلیک از طریق پورتال یا اینترانت، ارتباط عمیق، حذف رمز عبور و تکرار جلسات خودکار باعث اجرای ساده‎تر برای کاربر می‌شود. امنیت: مبتنی بر امضای دیجیتالی قوی برای احراز هویت و یکپارچگی است. زبان نشانه‎گذاری اثبات امنیت یک پروتکل ورود منحصر‎به‌فرد امن است که بزرگترین و اکثر شرکت‌های امنیتی در جهان به آن تکیه کرده‎اند. سرعت: زبان نشانه‎گذاری اثبات امنیت سریع است. تغییر مسیر یک مرورگر، امنیت ورود یک کاربر به یک برنامه‎کاربردی را فراهم می‌کند. پیشگیری از فیشینگ: اگر یک رمز عبور برای برنامه‎کاربردی وجود نداشته‎باشد، نمی‌توان با آن در یک صفحه ورود جعلی فریب زد. موافق IT: زبان نشانه‎گذاری اثبات امنیت زندگی را برای IT آسان می‌کند، زیرا احراز هویت را متمرکز و وضوح بیشتری را فراهم می‌کند و یکپارچه‎سازی دایرکتوری را آسان‎تر می‌سازد ]26[. 2-20-3 اجزا اجزای زبان نشانه‎گذاری اثبات امنیت و بخش‌های منحصر‎به‌فرد آن برای پشتیبانی از تبادل اطلاعات امن شامل اثبات‎ها، پروتکل‎ها، اتصالات و پروفایل‎ها می‎باشد که هر یک از آنها در ادامه توضیح داده شده‎اند: اثبات‌ها در هسته زبان نشانه‎گذاری اثبات امنیت، اثبات‌ها با یک بخش اثبات برای ارتباط احراز هویت، ویژگی‌ها و اطلاعات استحقاقی برای یک موضوع مشخص مورد استفاده قرار می‌گیرد. زبان نشانه‎گذاری اثبات امنیت یک چارچوب مستقل از پلت‎فرم و اساسی در پلت‎فرم مستقل از خصوصیات زبان نشانه‌گذاری توسعه‌پذیر می‎باشد. اثبات‌های زبان نشانه‎گذاری اثبات امنیت در میان سرویس‌های مختلفی که بر روی پلت‎فرم‌های مختلف در حال اجرا هستند مبادله می‌شود. به عبارت دیگر اثبات‌ها به زبان نشانه‎گذاری اثبات امنیت اجازه می‌دهد تا یک بخش، خصوصیات و ویژگی‌های یک نهاد را اثبات کند. برای مثال، یک اثبات زبان نشانه‎گذاری اثبات امنیت می‌تواند بیان کند که کاربر "John Doe" است، کاربر وضعیت "طلا" دارد، آدرس ایمیل کاربر john.doe@example.com است و کاربر عضو گروه "مهندسی" است. اثبات‌های زبان نشانه‎گذاری اثبات امنیت در شمای زبان نشانه‌گذاری توسعه‌پذیر کد گذاری شده است ]6[. زبان نشانه‎گذاری اثبات امنیت سه نوع جمله تعریف می‌کند که می‎تواند در اثبات انجام شود: جملات احراز هویت: این جملات توسط بخش سوم انجام‎شده که با موفقیت کاربر را احراز هویت می‌کند. اینکه چه کسی اثبات را منتشر کرده، موضوع احراز هویت شده، مدت اعتبارسنجی و همچنین اطلاعات مربوط به احراز هویت دیگر را تعریف می‌کند. جملات احراز هویت برای ارائه‎دهنده سرویس اثبات می‎کند که مدیر، احراز هویت را با ارائه‎دهنده هویت در یک زمان خاص با استفاده از یک روش خاص احراز هویت انجام دهد. جملات ویژگی: این جملات شامل اطلاعات خاصی در مورد کاربر (به عنوان مثال، که آنها وضعیت "طلا" دارد) می‌شود. یک جمله ویژگی ثابت می‎کند که یک موضوع با ویژگی‎های مشخص جمع‎آوری‎شده است. جملات تصمیم مجوز: این جملات آنچه را که کاربر حق انجام آنها را دارد شناسایی می‌کند (برای مثال، آیا او مجاز به خرید یک آیتم مشخص شده می‎باشد). یک جمله تصمیم مجوز اثبات می‎کند که یک موضوع برای انجام فعالیت A روی منبع R با گواهی مشخص E مجاز است. جملات تصمیم احراز هویت پر معنی در زبان نشانه‎گذاری اثبات امنیت محدود هستند ]26[. اثبات متشکل از یک یا چند جمله است. برای ورود منحصر‎به‌فرد، معمولاً اثبات زبان نشانه‎گذاری اثبات امنیت شامل یک جمله احراز هویت منحصر‎به‌فرد و احتمالاً جمله ویژگی منحصر‎به‌فرد خواهد‎شد. شکل 2-5 یک اثبات زبان نشانه‎گذاری اثبات امنیت که در یک پاسخ زبان نشانه‎گذاری اثبات امنیت انجام‎شده و خود آن درون یک بدنه پروتکل دسترسی به شی ساده است را نشان می‌دهد. 162369438100بدنه پیام پروتکل دسترسی به شی سادهپاسخ زبان نشانه‎گذاری اثبات امنیتسرآیندپاسخ زبان نشانه‎گذاری اثبات امنیتجملات احراز‎هویتجملات دیگر00بدنه پیام پروتکل دسترسی به شی سادهپاسخ زبان نشانه‎گذاری اثبات امنیتسرآیندپاسخ زبان نشانه‎گذاری اثبات امنیتجملات احراز‎هویتجملات دیگر شکل 2-5: ساختار اثبات زبان نشانه‎گذاری اثبات امنیت ]27[. شکل 2-6 یک نمونه اثبات با یک جمله احراز هویت تکی را نشان می‌دهد که جملات احراز هویت به صورت پررنگ نشان‎داده‌شده‎اند. www. acompany. com j. doe@company. com urn:oasis:names:tc:SAML:2. 0:ac:classes:PasswordProtectedTransport شکل 2-6: اثبات زبان نشانه‌گذاری اثبات امنیت ]24[. عنصر می‌تواند از جملات امنیت و اطلاعات اضافی محافظت کند. علاوه بر این زبان نشانه‎گذاری اثبات امنیت می‌تواند برای استفاده رسانه‎ها و وسایل انتقال اساسی توسط برخی از پروتکل‎های مفید پیش‎تعریف‎شده مانند پیاده‎سازی پروتکل ورود تکی محدود شود. پروتکل‎های پیش‎تعریف‎شده‌ی زبان نشانه‎گذاری اثبات امنیت، فایل‎های XSD ارائه‎می‌دهد که دقیقا ساختار پیام را تعریف می‌کنند. یکپارچگی و اعتبار پیام با استفاده از امضاهای دیجیتال اختیاری از طریق استاندارد امضای زبان نشانه‌گذاری توسعه‌پذیر به دست می‏آید، در حالیکه محرمانگی می‌تواند با استفاده از رمزگذاری اختیاری، با توجه به استاندارد رمزگذاری زبان نشانه‌گذاری توسعه‌پذیر ایجاد شود ]28[. پروتکل‌ها پروتکل‎های زبان نشانه‎گذاری اثبات امنیت تعیین می‎کنند که چگونه عناصر زبان نشانه‎گذاری اثبات امنیت (مانند اثبات‎ها)، داخل عناصر درخواست و پاسخ زبان نشانه‎گذاری اثبات امنیت بسته‏بندی شوند و قوانین پردازش بیان می‎کند که موجودیت‎های زبان نشانه‎گذاری اثبات امنیت باید هنگام استخراج و مصرف از این عناصر دنبال شوند. زبان نشانه‎گذاری اثبات امنیت تعدادی از پروتکل‌های درخواست/پاسخ را تعریف می‌کند که در شمای زبان نشانه‌گذاری توسعه‌پذیر به عنوان مجموعه‎ای از جفت‌های درخواست/پاسخ کدگذاری شده است. مهمترین نوع درخواست پروتکل زبان نشانه‎گذاری اثبات امنیت، پرس‏و جو نامیده می‎شود. متناظر با سه نوع جملات، سه نوع پرس‎و‎جوی زبان نشانه‎گذاری اثبات امنیت وجود دارد: پرس‎و‎جوی احراز هویت پرس‎و‎جوی ویژگی پرس‎و‎جوی تصمیم مجوز تعدادی از پروتکل‌های تعریف شده توسط زبان نشانه‎گذاری اثبات امنیت در زیر آمده‎اند: پروتکل پرس‎و‎جو و درخواست اثبات: مجموعه‎ای از پرس‎و‎جوهایی که از طریق اثبات‌های زبان نشانه‎گذاری اثبات امنیت موجود به‏دست می‌آید را تعریف می‌کند. پرس‎و‎جو می‎تواند بر‎اساس یک مرجع، موضوع یا نوعی از جملات باشد. پروتکل درخواست احراز هویت: پروتکلی تعریف می‌کند که توسط آن ارائه‌دهنده سرویس اثبات‌ها را از یک ارائه‌دهنده هویت، متناسب با نیازهای یک پروفایل زبان نشانه‎گذاری اثبات امنیت خاص مانند پروفایل ورود منحصر به فرد مرورگر وب درخواست می‌کند. پروتکل تحلیل آرتیفکت: مکانیزمی ارائه‎می‌دهد که بوسیله آن پیام‌های پروتکل ممکن‌است توسط مرجع با استفاده از یک مقدار کوچک، با طول ثابت به نام آرتیفکت موافقت شود. دریافت‎کننده آرتیفکت از پروتکل آرتیفکت (ArtifactProtocol) برای تسلیم پیام پروتکل واقعی استفاده می‌کند. پروتکل مدیریت شناسه نام: مکانیزم‌هایی برای تغییر مقدار و یا فرمت نام یک اصل فراهم می‌کند. صادر‎کننده درخواست می‎تواند ارائه‎دهنده سرویس یا ارائه‎دهنده هویت باشد. این پروتکل همچنین مکانیزمی برای پایان دادن به ارتباط بین نام یک ارائه‎دهنده هویت و ارائه‎دهنده سرویس فراهم می‌کند. پروتکل خروج منحصر‎به‌فرد2: یک درخواست تعریف می‌کند که اجازه خروج تقریباً همزمان همه‌ی جلسه‌های مرتبط با مدیر را می‌دهد. خروج از سیستم می‎تواند به‎طور مستقیم با مدیر یا به دلیل پایان زمان جلسه یا به دلیل اینکه حقوق دسترسی کاربر لغو شده است آغاز شود. خروج می‎تواند توسط سایت ارائه‎دهنده آغاز شود. پروتکل نگاشت شناسه نام: ارائه مکانیزمی برای نگاشتِ برنامهِ شناسهِ نامِ زبان نشانه‎گذاری اثبات امنیت به دیگری برای کنترل‌های سیاسی مناسب ]6[. اتصالات اتصالات زبان نشانه‎گذاری اثبات امنیت یک نگاشت از یک پیام پروتکل زبان نشانه‎گذاری اثبات امنیت روی فرمت‎های پیام استاندارد و/یا پروتکل‎های ارتباطی می‌باشد. پروتکل‌های نگاشت زبان نشانه‎گذاری اثبات امنیت برای تبادل درخواست/پاسخ به لایه‌های پایین‎تر انتقال استفاده می‌شوند. برای نمونه، اتصالات پروتکل دسترسی به شی ساده بیان می‎کند که چگونه پیام‌های درخواست و پاسخ زبان نشانه‎گذاری اثباتِ امنیتِ شرح داده‎شده در پروتکل‌های زبان نشانه‎گذاری اثبات امنیت می‌تواند با استفاده از تبادل پیام پروتکل دسترسی به شی ساده اجرا شود. به عبارت دیگر اتصالات دقیقاً چگونگی نگاشت‌های پروتکل زبان نشانه‎گذاری اثبات امنیت بر روی پروتکل‌های انتقال را شرح می‌دهد. برای مثال، مشخصات زبان نشانه‎گذاری اثبات امنیت، چگونگی انجام اتصال درخواست/پاسخ زبان نشانه‎گذاری اثبات امنیت با پیام‌های تبادل پروتکل دسترسی به شی ساده را فراهم می‌کند. اتصالات تعریف شده عبارتند از: اتصال پروتکل دسترسی به شی ساده زبان نشانه‎گذاری اثبات امنیت: تعریف می‌کند که چگونه پیام‌های پروتکل زبان نشانه‎گذاری اثبات امنیت با پیام‌های پروتکل دسترسی به شی ساده منتقل شده است. همچنین تعریف می‌کند که چگونه پیام‌های پروتکل دسترسی به شی ساده روی پروتکل انتقال ابرمتن منتقل شده‎اند. اتصال پروتکل دسترسی به شی ساده معکوس (PAOS): تبادل پیام پروتکل دسترسی به شی ساده/پروتکل انتقال ابرمتن چند مرحله‎ای را تعریف می‌کند که اجازه می‌دهد سرویس‎گیرنده‌ی پروتکل انتقال ابرمتن، پاسخگوی پروتکل دسترسی به شی ساده باشد. این اتصالات در پروفایل مشتری و پروکسی افزایش یافته مورد استفاده قرار می‎گیرد و به ویژه برای حمایت از دروازه‌های پروتکل برنامه‌های‌کاربردی بی‎سیم طراحی شده است. اتصال مسیر مجدد پروتکل انتقال ابرمتن: تعریف می‌کند که چگونه پیام‌های پروتکل زبان نشانه‎گذاری اثبات امنیت می‎تواند با استفاده از پیام‌های مسیریابی مجدد پروتکل انتقال ابرمتن منتقل شود. اتصال POST در پروتکل انتقال ابرمتن: تعریف می‌کند که چگونه پیام‌های پروتکل زبان نشانه‎گذاری اثبات امنیت می‎تواند درون محتوای کد‎گذاری‎شده‌ی مبنای ۶۴ کنترل فرم HTML منتقل شود. اتصال آرتیفکت پروتکل انتقال ابرمتن: تعریف می‌کند چگونه یک رجوع به یک درخواست یا پاسخ زبان نشانه‎گذاری اثبات امنیت (مانند آرتیفکت) توسط پروتکل انتقال ابرمتن منتقل می‌شود. دو مکانیزم یا کنترل فرم HTML، یا یک رشته پرس‎و‎جو در URL را تعریف می‌کند. اتصال شناسه منابع یکنواخت2 زبان نشانه‎گذاری اثبات امنیت: ابزاری برای بازیابی یک اثبات زبان نشانه‎گذاری اثبات امنیت با حل شناسه منابع یکنواخت تعریف می‌کند ]5، 27، 29 و 30[. پروفایل‌ها ترکیبی از اثبات‌ها، پروتکل‌ها و اتصالات را تعریف می‌کند که برای موارد استفاده خاص استفاده می‌شود. به عنوان مثال، یک پروفایل توکن زبان نشانه‎گذاری اثبات امنیت برای امنیت خدمات وب وجود دارد که چگونگی استفاده از اثبات‌های زبان نشانه‎گذاری اثبات امنیت با امنیت سرویس‌های وب را تعریف می‌کند. به عبارت دیگر، پروفایل، هسته خصوصیات زبان نشانه‎گذاری اثبات امنیت را تعریف می‌کند که چگونه درخواست و پاسخ زبان نشانه‎گذاری اثبات امنیت منتقل می‌شود. نوعی پروفایل زبان نشانه‎گذاری اثبات امنیت، مجموعه‏ای از قواعد توصیف را تشریح می‌کند. همچنین پروفایل توصیف می‌کند چگونه اثبات‌های زبان نشانه‎گذاری اثبات امنیت همراه با اشیاء دیگر توسط یک بخش اصلی گنجانده شود و از بخش اصلی به یک بخش دریافت متصل‎شده و سپس در مقصد پردازش شود. نوع دیگری از پروفایل زبان نشانه‎گذاری اثبات امنیت مجموعه‏ای از محدودیت‎ها برای استفاده از پروتکل یا قابلیت اثبات زبان نشانه‎گذاری اثبات امنیت برای یک محیط خاص یا زمینه استفاده را تعریف می‌کند. بنابراین پروفایل‎ها ممکن‌است انتخاب را محدود سازند. برخی از آنها به‏طور خلاصه عبارتند از: پروفایل ورود تکی‎ مرورگر وب: مکانیزمی برای ورود ‎تکی با مرورگرهای وب تغییر‎نیافته به ارائه‎دهندگان خدمات چندگانه با استفاده از پروتکل درخواست احراز هویت در ترکیب با مسیریابی مجدد پروتکل انتقال ابرمتن، پروتکل انتقال ابرمتن POST و اتصالات آرتیفکت تعریف می‌کند. پروفایل مشتری و پروکسی افزایش‎یافته: یک پروفایل پروتکل درخواست احراز هویت در رابطه با پروتکل دسترسی به شی ساده معکوس و اتصالات پروتکل دسترسی به شی ساده متناسب شده با مشتریان یا دستگاه‌های دروازه با دانش یک یا چند ارائه‎دهنده‌ی شناسه تعریف می‌کند. پروفایل بازیابی ارائه‎دهنده هویت: یک مکانیزم احتمالی برای مجموعه‌ای از ارائه‎دهندگان هویت و سرویسِ مرتبط، برای به‏دست آوردن ارائه‎دهندگان هویت مورد استفاده توسط مدیر تعریف می‌کند. پروفایل خروج منحصر‎به‌فرد: پروفایلی از پروتکل خروج منحصر‎به‌فرد زبان نشانه‎گذاری اثبات امنیت تعریف می‎کند. تعریف می‌کند چگونه اتصالات پروتکل دسترسی به شی ساده، مسیریابی مجدد پروتکل انتقال ابرمتن، پروتکل انتقال ابرمتن POST و اتصالات آرتیفکت پروتکل انتقال ابرمتن مورد استفاده قرار گیرد. پروفایل مدیریت شناسه نام: تعریف می‌کند چگونه پروتکل مدیریت شناسه نام ممکن‌است با پروتکل دسترسی به شی ساده، مسیریابی مجدد پروتکل انتقال ابرمتن، پروتکل انتقال ابرمتن POST و اتصالات آرتیفکت پروتکل انتقال ابرمتن استفاده‎شود. پروفایل حل آرتیفکت: تعریف می‌کند چگونه پروتکل حل آرتیفکت از اتصال همزمان، مثل اتصال پروتکل دسترسی به شی ساده استفاده کند. پروفایل پرس‎و‎جو/درخواست اثبات: تعریف می‌کند چگونه پروتکل‌های پرس‎و‎جوی زبان نشانه‎گذاری اثبات امنیت (مورد استفاده برای به‏دست آوردن اثبات‌های زبان نشانه‎گذاری اثبات امنیت) از یک اتصال همزمان مانند اتصال پروتکل دسترسی به شی ساده استفاده کند. پروفایل نگاشت شناسه نام: تعریف می‌کند چگونه پروتکل نگاشت شناسه نام از یک اتصال همزمان مانند اتصال پروتکل دسترسی به شی ساده استفاده می‌کند. باید به یاد داشت که زبان نشانه‎گذاری اثبات امنیت، پایان کار با مجموعه‎ی اثبات‌ها، پروتکل‌ها، اتصالات و پروفایل‌ها نیست. بلکه برای انعطاف‏پذیری بیشتر طراحی شده است و بنابراین با نقاط توسعه‎پذیر در شمای زبان نشانه‌گذاری توسعه‌پذیر و همچنین دستورالعمل‌هایی برای طراحی سفارشی اتصالات و پروفایل‌های جدید در روشی برای تضمین حداکثر همکاری می‌آید. شکل 2-7 ارتباط بین اجزا را نشان می‌دهد. 2-21 زبان نشانه‎گذاری اثبات امنیت در امنیت سرویس‌های وب اثبات‌های زبان نشانه‎گذاری اثبات امنیت می‎تواند در سرویس‌های وب امن برای امنیت پیام‌های سرویس‌های وب مورد استفاده قرار گیرد که برای اتصال اطلاعات سرآیند امنیتی به درخواست‎های پروتکل دسترسی به شی ساده سرویس‌های وب بکار می‌رود. سرویس‌های وب امن، مجموعه‏ای از مشخصات است که ابزارهایی برای تامین حفاظت از امنیت پیام‌های پروتکل دسترسی به شی ساده تعریف می‌کند. امنیت پیام‎های پروتکل دسترسی به شی ساده سه جزء دارد: نشانه‌های احراز هویت، امضاهای دیجیتال و محرمانگی. سرویس‌های وب امن یک چارچوب انعطاف‎پذیر برای تبادل انواع مختلف نشانه‎های امنیتی شامل نشانه‎های نام‎کاربری/رمز عبور زبان نشانه‌گذاری توسعه‌پذیر و بلیط‎های کربروس ارائه می‎دهند ]21[. در ]17[ خدمات اولیه‎ی ارائه‎شده‌ی سرویس‌های وب امن، احراز هویت، یکپارچگی و محرمانگی داده‎ها است. استاندارد سرویس‌های وب، استفاده از اثبات‌های زبان نشانه‎گذاری اثبات امنیت در قالب یک توکن امنیتی با پروفایل توکن زبان نشانه‎گذاری اثبات امنیت، سرویس‌های وب امن را تعریف می‌کند. پروفایل‌ها(چه پروتکل‌ها، اتصالات و اثبات‌هایی برای پشتیبانی از یک اثبات ترکیب شوند)اتصالات(چگونه پروتکل‌ها به پیام‌های استاندارد یا پروتکل‌های ارتباطی نگاشت شوند)پروتکل(جفت درخواست/پاسخ برای بدست آوردن اثبات‌ها و مدیریت فدرالی)اثبات‌ها(اطلاعات احراز‎هویت، ویژگی و شناسایی)پروفایل‌ها(چه پروتکل‌ها، اتصالات و اثبات‌هایی برای پشتیبانی از یک اثبات ترکیب شوند)اتصالات(چگونه پروتکل‌ها به پیام‌های استاندارد یا پروتکل‌های ارتباطی نگاشت شوند)پروتکل(جفت درخواست/پاسخ برای بدست آوردن اثبات‌ها و مدیریت فدرالی)اثبات‌ها(اطلاعات احراز‎هویت، ویژگی و شناسایی) شکل 2-7: اجزای زبان نشانه‎گذاری اثبات امنیت ]24، 27، 31 و 32[. زبان نشانه‎گذاری اثبات امنیت، روی اتصالات پروتکل دسترسی به شی ساده برای به‎دست‎آوردن اثبات‌های زبان نشانه‎گذاری اثبات امنیت از ارائه‎دهنده هویت استفاده می‌کند و زبان نشانه‎گذاری اثبات امنیت نمی‎تواند هیچ نقشی در حفاظت از پیام‌های پروتکل دسترسی به شی ساده بازی کند. در سرویس‌های وب امن، اثبات‌های زبان نشانه‎گذاری اثبات امنیتِ متعلق به هویت درخواست شونده قبلاً به دست آمده‌است. علاوه بر‎این، در سرویس‌های وب امن، زبان نشانه‎گذاری اثبات امنیت می‎تواند نقش مهمی در حفاظت از خود پیام بازی کند. برای مثال، در یک توکن زبان نشانه‎گذاری اثبات امنیت با روش تصدیق دارنده کلید، کلید رمزنگاری برای تأیید موضوع استفاده می‌شود. حالت استفاده از زبان نشانه‎گذاری اثبات امنیت معمولی با استفاده از سرویس‌های وب امن به شرح زیر کار می‌کند: احراز هویت مشتری با یک سرویس توکن امنیتی برای درخواست یک توکن زبان نشانه‎گذاری اثبات امنیت. سرویس توکن امنیتی توسط مشتری و ارائه‎دهنده سرویس برای ارائه اعتبار تأیید شده است. سرویس توکن امنیتی، اثبات‌های زبان نشانه‎گذاری اثبات امنیت مورد نیاز برای انتقال و مسائل توکن امنیتی زبان نشانه‎گذاری اثبات امنیت را برای مشتری ایجاد می‌کند. سرویس توکن امنیتی، توکن را با کلید خصوصی خود رمز می‌کند و شامل گواهینامه X509 در توکن می‌شود. مشتری، یک توکن ایمن زبان نشانه‎گذاری اثبات امنیت به سرآیند سرویس‌های وب امنِ پیام پروتکل دسترسی به شی ساده اضافه می‌کند. سپس پیام پروتکل دسترسی به شی ساده را به ارائه‎دهنده سرویس می‎فرستد. سرویس تأیید می‌کند که توکن زبان نشانه‎گذاری اثبات امنیت می‎تواند قابل اطمینان باشد. برای انجام این کار، ابتدا گواهی سرویس توکن امنیتی موجود در توکن زبان نشانه‎گذاری اثبات امنیت در مقابل ذخیره مطمئن آن تأیید می‌شود. اگر گواهی، تأییدیه را گذراند، کلید عمومی گواهی X509 به منظور بررسی امضای دیجیتالی توکن مورد استفاده قرار می‎گیرد. ارائه‎دهنده سرویس، هویت موضوع را با استفاده از روش تأیید موضوع تأیید می‌کند که در توکن زبان نشانه‎گذاری اثبات امنیت از طریق اثبات تأیید موضوع مشخص شده است. در صورت معتبر بودن، برای دریافت دسترسی به منابع درخواست‎شده توسط مشتری اقدام می‌کند ]31 و 32[. 690245195580گزارشاتپیام SOAP امضاء شدهبا WSS 21فرستندهبدست آوردن اثبات SAML43اطلاعاتویژگی SAMLدریافت کننندهبررسی امضاءبررسی دسترسی00گزارشاتپیام SOAP امضاء شدهبا WSS 21فرستندهبدست آوردن اثبات SAML43اطلاعاتویژگی SAMLدریافت کننندهبررسی امضاءبررسی دسترسیشکل 2-8 مراحل استفاده از اثبات‎های زبان نشانه‌گذاری اثبات امنیت با امنیت سرویس‌های وب را نشان می‌دهد. شکل 2-8: استفاده‎ی عمومی از سرویس‎های امن وب و زبان نشانه‎گذاری اثبات امنیت ]32[. فرستنده، اثبات زبان نشانه‌گذاری اثبات امنیت را توسط درخواست/پاسخ زبان نشانه‌گذاری اثبات امنیت یا سایر پروفایل‎های زبان نشانه‌گذاری اثبات امنیت به‎دست می‌آورد. اثبات‎ها شامل جملات ویژگی و روش تأییدیه موضوع دارنده کلید است. فرستنده، پیام پروتکل دسترسی به شی ساده که شامل سرآیند امنیت است را ایجاد می‌کند. اثبات‎های زبان نشانه‌گذاری اثبات امنیت در سرآیند امنیت وجود دارند. کلید که توسط اثبات‎های زبان نشانه‌گذاری اثبات امنیت برای ایجاد امضای دیجیتال روی داده‎ها در بدنه پیام استفاده‎شده است اشاره دارد. اطلاعات امضا در سرآیند امنیتی نیز گنجانده شده است. گیرنده، امضای دیجیتال را تأیید می‌کند. اطلاعات، در اثبات زبان نشانه‌گذاری اثبات امنیت برای اهدافی مانند کنترل دسترسی و بررسی ورود به سیستم مورد استفاده قرار می‎‌گیرد. پروفایل توکن زبان نشانه‌گذاری اثبات امنیت سه روش تأیید موضوع را به منظور تأیید اعتبار توکن زبان نشانه‌گذاری اثبات امنیت تعریف می‌کند. هر یک از این روش‎ها، مجموعه‎ای از معیارها را برای تأیید این که اثبات‌های توکن زبان نشانه‌گذاری اثبات امنیت واقعاً با درخواست موضوع سرویس مرتبط است، دریافت می‌کند. روش تأیید موضوع حامل: در این روش، توکن زبان نشانه‌گذاری اثبات امنیت حامل هویت و ویژگی‌های موضوع است. هیچ نیازی به بررسی درستی پروفایل وجود ندارد. همچنین فرض شده است که توکن قابل اطمینان است. با این حال اعتبارسنجی امضای زبان نشانه‌گذاری توسعه‌پذیر برای تأیید اینکه توکن توسط سرویس توکن امن ایجاد شده است توصیه می‎شود. به‎طور پیش فرض، سرور برنامه‎کاربردی وب به شرح زیر امضای دیجیتالی صادر‎کننده را تأیید و تصدیق می‌کند. این در حالاتی که در آن لایه سوکت‎های امنیتی2 برای تضمین امنیت بدست‎آوردن پیام در حالت نقطه به نقطه استفاده‎می‎شود بسیار مفید است. شکل 2-9 این موضوع را نشان می‎دهد. شکل 2-9: روش تأیید موضوع حامل ]32[. روش تأیید موضوع دارنده کلید3: در این روش، توکن زبان نشانه‌گذاری اثبات امنیت حامل هویت و صفات موضوع می‎شود و می‎تواند حفاظت از پیام را فراهم کند. گیرنده توکن نیازمند بررسی این است که توکن می‎تواند مطمئن باشد. به‎طور معمول چک کردن امضای دیجیتالی توکن با کلید خصوصی سرویس توکن امن انجام‏می‎شود. فرستنده توکن زبان نشانه‌گذاری اثبات امنیت، باید دانش یک کلید رمزنگاری مشخص شده در عنصر تأیید موضوع اثبات توکن زبان نشانه‌گذاری اثبات امنیت را داشته باشد و همچنین بتواند کلید را برای محافظت رمزنگاری پیام استفاده کند. هنگامی که کلید متقارن است، با استفاده از کلید عمومی‎‌گیرنده، رمزگذاری شده، به‎طوری که هنگامی که گیرنده، پیام را دریافت می‌کند می‎تواند آن را استخراج کند. فرستنده می‎تواند به صورت دیجیتالی پیام را با کلید متقارن امضا کند. هنگامی که گیرنده پیام را دریافت می‌کند، می‎تواند کلید متقارن موجود در عنصر تأیید موضوع توکن را با رمز‌گشایی محتوای آن با کلید خصوصی خود به دست آورد. پس از آن، گیرنده می‎تواند کلید را به منظور بررسی امضای دیجیتالی پیام استفاده کند و تأیید کند که فرستنده دارای کلید می‎باشد. هنگامی که کلید نامتقارن است، عنصر تأیید موضوع شامل داده X509 یا ارزش کلید RSA از یک جفت نامتقارن است. کلید خصوصی این جفت نزد فرستنده و برای امضای دیجیتالی پیام استفاده‎می‎شود. هنگامی که گیرنده توکن را دریافت می‌کند، کلید عمومی را با استفاده از اطلاعات موجود در عنصر تأیید موضوع استخراج می‌کند و تأیید می‌کند که فرستنده کلید خصوصی جفت را دارد. شکل 2-10 این روش را نشان می‎دهد. روش تأیید موضوع ضمانت‌های فرستنده: اگر چه این روش تأیید در حال حاضر توسط سرورهای برنامه‎های‌کاربردی وب جدید پشتیبانی نمی‎شود، اما سزاوار بحث است. در این روش، توکن زبان نشانه‌گذاری اثبات امنیت، هویت و ویژگی‌های موضوع را انجام می‌دهد. قابلیت پذیرش روش تأیید موضوع ضمانت‌های فرستنده توسط اینکه آیا فرستنده قابل اطمینان است اثبات شده است، به‎طوریکه فرستنده مسئولیت تأیید اعتبار توکن زبان نشانه‌گذاری اثبات امنیت را بر عهده دارد. فرستنده باید یکپارچگی پیام را برای اثبات این اطمینان محافظت کند. در این روش فرستنده همیشه نیازمند حفاظت از یکپارچگی توکن زبان نشانه‌گذاری اثبات امنیت است و دریافت‎کننده باید یکپارچگی را تأیید کند. شکل 2-11 این روش را نشان می‌دهد. شکل 2-10: روش تأیید موضوع دارنده کلید ]32[. شکل 2-11: روش تأیید موضوع ضمانت‌های فرستنده ]31 و 32[. پروتکل‎های زبان نشانه‌گذاری اثبات امنیت و سرویس‎های وب امن هنوز از ضعف‎های بومی مربوط به تکنولوژی‎های اصلی مانند فاش‎سازی مرورگر، کوکی‎ها، DNS و NTP رنج می‎برند. همچنین تهدیدهای اجتماعی مانند فیشینگ، وب سایت‎های کلاهبردار و ارائه‎دهندگان سرویس کلاهبردار وجود دارد. ارائه‎دهنده هویت یک نقطه اصلی حملات برای جمع‎آوری اعتبارات کاربر است. ارائه‎دهنده هویت می‎تواند با فریب، کاربران را به داخل وارد کند که می‎تواند به خوبی برای ورود تکی بکار گرفته شود. زبان نشانه‌گذاری اثبات امنیت و سرویس‎های وب امن افشا‌سازی را کاهش می‎دهند، بنابراین اعتبارات کاربر نیاز به ارسال به ارائه‎دهندگان سرویس شخصی ندارد. 2-22 انتشار توکن زبان نشانه‌گذاری اثبات امنیت در سرویس‌های وب همان‎طور که پیش از این بحث شد، مشتری‎های سرویس‌های وب می‎توانند یک توکن زبان نشانه‌گذاری اثبات امنیت از سرویس توکن امنیت بدست آورند که دارای هویت و ویژگی‌های امنیتی آن است. سپس مشتری می‎تواند توکن زبان نشانه‌گذاری اثبات امنیت را روی یک درخواست برای یک ارائه‌دهنده سرویس ارسال کند. سرویس قصد اعتبارسنجی توکن را دارد که توسط صادر‎کننده به‎طور مطمئن امضا شود و ویژگی‌های هویت و امنیتی را از توکن به دست آورد. ارائه‌دهنده سرویس تمایل دارد از یک یا چند ارائه‌دهنده سرویس برای تکمیل منطق کسب‎و‎کار خود استفاده کند. به جای نیاز مشتری به سرویس توکن امنیت برای تأیید هویت، هر یک از این سرویس‎ها می‎تواند راه حل بهتری برای سرویس برای اولین انتشار توکن زبان نشانه‌گذاری اثبات امنیت هنگامی که نیازهای خود را برای سرویس‌های دیگری ایجاد می‌کند بکار برد. توکن زبان نشانه‌گذاری اثبات امنیت در حال حاضر شامل ویژگی‌های امنیتی هویت و تصدیق است و می‎تواند به خدمات پایین دست منتشر شود. شکل 2-12 این سناریو را نشان می‌دهد: -30988060960کلاینت سرویس های وبمنطق کسب و کارزمان اجرای وب سرویس امنارائه دهنده سرویس 1منطق کسب و کارزمان اجرای وب سرویس امنارائه دهنده سرویس 2منطق کسب و کارزمان اجرای وب سرویس امنسرویس توکن امنیتیکلاینت یک درخواست پیام SOAP با نشانه SAML بدست آمده از STS به ارائه دهنده سرویس ارسال می کند.ارائه دهنده سرویس 1، نشانه SAML را بر اساس امنیت بررسی می کند. منطق کسب و کار پس از 3 ساعت اجراشده و یک درخواست به ارائه دهنده سرویس 2 می فرستد. نشانه SAML اصلی از کلاینت سرویس های وب می تواند برای درخواست ارائه دهنده سرویس 2 استفاده شود.ارائه دهنده سرویس 2 نشانه SAML را از سرویس های وب بررسی می کند. کلاینت مبتنی بر امنیت (اطمینان) است. منطق کسب و کار اجرا شده است.00کلاینت سرویس های وبمنطق کسب و کارزمان اجرای وب سرویس امنارائه دهنده سرویس 1منطق کسب و کارزمان اجرای وب سرویس امنارائه دهنده سرویس 2منطق کسب و کارزمان اجرای وب سرویس امنسرویس توکن امنیتیکلاینت یک درخواست پیام SOAP با نشانه SAML بدست آمده از STS به ارائه دهنده سرویس ارسال می کند.ارائه دهنده سرویس 1، نشانه SAML را بر اساس امنیت بررسی می کند. منطق کسب و کار پس از 3 ساعت اجراشده و یک درخواست به ارائه دهنده سرویس 2 می فرستد. نشانه SAML اصلی از کلاینت سرویس های وب می تواند برای درخواست ارائه دهنده سرویس 2 استفاده شود.ارائه دهنده سرویس 2 نشانه SAML را از سرویس های وب بررسی می کند. کلاینت مبتنی بر امنیت (اطمینان) است. منطق کسب و کار اجرا شده است. شکل 2-12: توزیع توکن زبان نشانه‌گذاری اثبات امنیت با استفاده ورود تکی ]32[. توانایی انتشار توکن زبان نشانه‌گذاری اثبات امنیت برای مشتری اصلی، راه حل‌های امنیتی پایان به پایان فراهم می‌کند. با این حال، یکی از عواملی که باید در نظر گرفته شود زمان انقضای توکن زبان نشانه‌گذاری اثبات امنیت است و چه زمانی برای همه‎ی سرویس‌های پایین دست برای پردازش، درخواست می‎‌گردد. اگر یک سرویس بیش از حد برای اجرای منطق کسب‎و‎کار خود طول بکشد، ممکن است توکن قبل از انتشار به یک سرویس منقضی شود. این فرایند در شکل 2-13 نشان‎داده‎شده است. یک راه حل، پیکربندی سرویس توکن امنیت برای صدور یک توکن زبان نشانه‎گذاری اثبات امنیت با زمان انقضای طولانی‎تر است. اگر زمان احضار کل درخواست به خوبی شناخته‎شده‎باشد، این راه حل ممکن است کار کند. با این حال، در واقع، زمان احضار کل درخواست غیر‎قطعی است. -542925-19050کلاینت سرویس های وبمنطق کسب و کارزمان اجرای وب سرویس امنارائه دهنده سرویس 1منطق کسب و کارزمان اجرای وب سرویس امنارائه دهنده سرویس 2منطق کسب و کارزمان اجرای وب سرویس امنسرویس توکن امنیتیکلاینت یک درخواست پیام SOAP با نشانه SAML بدست آمده از STS به ارائه دهنده سرویس ارسال می کند.ارائه دهنده سرویس 1، نشانه SAML را بر اساس امنیت بررسی می کند. منطق کسب و کار پس از 3 ساعت اجراشده و یک درخواست به ارائه دهنده سرویس 2 می فرستد. نشانه SAML اصلی از کلاینت سرویس های وب می تواند برای درخواست ارائه دهنده سرویس 2 استفاده شود.ارائه دهنده سرویس 2 برای بررسی نشانه SAML مبتنی بر امنیت تلاش می کند اما در می یابد که 2 ساعت از زمان انقضای آن گذشته است. درخواست رد می شود.کلاینت سرویس های وبمنطق کسب و کارزمان اجرای وب سرویس امنارائه دهنده سرویس 1منطق کسب و کارزمان اجرای وب سرویس امنارائه دهنده سرویس 2منطق کسب و کارزمان اجرای وب سرویس امنسرویس توکن امنیتیکلاینت یک درخواست پیام SOAP با نشانه SAML بدست آمده از STS به ارائه دهنده سرویس ارسال می کند.ارائه دهنده سرویس 1، نشانه SAML را بر اساس امنیت بررسی می کند. منطق کسب و کار پس از 3 ساعت اجراشده و یک درخواست به ارائه دهنده سرویس 2 می فرستد. نشانه SAML اصلی از کلاینت سرویس های وب می تواند برای درخواست ارائه دهنده سرویس 2 استفاده شود.ارائه دهنده سرویس 2 برای بررسی نشانه SAML مبتنی بر امنیت تلاش می کند اما در می یابد که 2 ساعت از زمان انقضای آن گذشته است. درخواست رد می شود. شکل 2-13: توکن زبان نشانه‌گذاری اثبات امنیت یکسان برای ارائه‌دهنده سرویس شماره دو توزیع و منقضی شده ]32[. صدور مجدد توکن زبان نشانه‌گذاری اثبات امنیت یک راه حل ممکن است. در این صورت، هنگامی که یک سرویس در حال انتشار توکن زبان نشانه‌گذاری اثبات امنیت است، زمان انقضای اصلی را بررسی می‌کند. اگر مشخص شود که زمان انقضا تمام شده و یا نزدیک به انقضا است، سرویس، خودش، می‎تواند توکن زبان نشانه‌گذاری اثبات امنیت جدید با کپی اثبات و ویژگی‌های امنیتی توکن زبان نشانه‌گذاری اثبات امنیت اصلی، با زمان انقضای جدید صادر کند. سرویس دوم می‎تواند این توکن زبان نشانه‌گذاری اثبات امنیت خود صدور جدید با زمان انقضای جدید را بپذیرد که این بدان معنی است که یک تغییر در رابطه مطمئن بین سرویس‌ها وجود دارد. توکن زبان نشانه‌گذاری اثبات امنیت برای سرویس توکن امنیت در میان خدمات منتشر شده باعث می‎شود ویژگی‌های امنیت هویت و اعتبار موضوع در توکن نیز منتشر شوند. این کار این امکان را فراهم می‌کند که هر یک از بخش‌ها در اطمینان سرویس توکن امنیت درگیر شوند. با این حال، در این مورد این رابطه مطمئن تغییر کرده است، چرا که یک سرویس زبان نشانه‌گذاری اثبات امنیت، توکن خود صدور می فرستد، سرویس دریافت کننده باید از سرویس فرستنده برای پذیرش توکن خود صدور مطمئن شود، نه سرویس توکن امنیت. این فرایند در شکل 2-14 نشان‎داده‎شده است. -503555-237490کلاینت سرویس های وبمنطق کسب و کارزمان اجرای وب سرویس امنارائه دهنده سرویس 1منطق کسب و کارزمان اجرای وب سرویس امنارائه دهنده سرویس 2منطق کسب و کارزمان اجرای وب سرویس امنسرویس توکن امنیتیکلاینت یک درخواست پیام SOAP با نشانه SAML بدست آمده از STS به ارائه دهنده سرویس ارسال می کند.ارائه دهنده سرویس 1، نشانه SAML را بر اساس امنیت بررسی می کند. منطق کسب و کار پس از 3 ساعت اجراشده است. مشاهده می شود که زمان اجرا تقریباً گذشته است. ارائه دهنده سرویس 1 خود یک نشانه SAML با زمان انقضای جدید صادر می کند. نشانه SAML روی پیام SOAP به ارائه دهنده سرویس 2 ارسال می کند.ارائه دهنده سرویس 2 نشانه SAML مبتنی بر امنیت را بررسی می کند. این بر اساس اطمینان از این واقعیت پیکربندی شده است که ارائه دهنده سرویس 1 نشانه خودش را صادر می کند و درخواست پذیرفته می شود.0کلاینت سرویس های وبمنطق کسب و کارزمان اجرای وب سرویس امنارائه دهنده سرویس 1منطق کسب و کارزمان اجرای وب سرویس امنارائه دهنده سرویس 2منطق کسب و کارزمان اجرای وب سرویس امنسرویس توکن امنیتیکلاینت یک درخواست پیام SOAP با نشانه SAML بدست آمده از STS به ارائه دهنده سرویس ارسال می کند.ارائه دهنده سرویس 1، نشانه SAML را بر اساس امنیت بررسی می کند. منطق کسب و کار پس از 3 ساعت اجراشده است. مشاهده می شود که زمان اجرا تقریباً گذشته است. ارائه دهنده سرویس 1 خود یک نشانه SAML با زمان انقضای جدید صادر می کند. نشانه SAML روی پیام SOAP به ارائه دهنده سرویس 2 ارسال می کند.ارائه دهنده سرویس 2 نشانه SAML مبتنی بر امنیت را بررسی می کند. این بر اساس اطمینان از این واقعیت پیکربندی شده است که ارائه دهنده سرویس 1 نشانه خودش را صادر می کند و درخواست پذیرفته می شود. شکل 2-14: زمان انقضای توکن زبان نشانه‌گذاری اثبات امنیت ]4، 31 و 33[. 2-23 نتیجه‎گیری برای درک کامل مسائلی که در فصل‎های آینده مورد بحث قرار گرفته‎است، نیاز به یک آشنایی اولیه با مفاهیم و تعاریف اولیه، احساس می‎شد. در این فصل مفاهیم و تعاریف اولیه مرتبط با پردازش ابری، احراز هویت، زبان نشانه‎گذاری اثبات امنیت و نیز آشنایی کلی با مفاهیم مورد استفاده بدست آمد. همچنین بررسی مختصری در مورد استاندارد زبان نشانه‎گذاری اثبات امنیت انجام‎شد که در فصل‎های بعدی از آنها استفاده‎ ‎خواهد شد. -294374-1851926-230505-1706245فصل سوم بررسی و تجزیه تحلیل کارهای انجام‎شده 3-1 مقدمه در این فصل به مرور و بررسی کارهای انجام‎شده در زمینه امنیت محاسبات ابری، روش‎های ورود تکی، مزایا، معایب و امنیت آنها پرداخته شده است. در نهایت یکی از روش‎های ورود تکی به‎طور اجمالی مورد بررسی قرار خواهد گرفت. با وجود نو بودن بحث محاسبات ابری، تاکنون روش‎های زیادی برای ورود تکی ارائه و کارهای زیادی در این زمینه انجام‎شده است. فرایند ورود تکی از سال 1983 توسط موسسه فناوری ماساچوست برای یکپارچگی شبکه‌های کامپیوتری در پروژه آتن به منظور یکپارچگی ورود تکی، سیستم‎های فایل شبکه شده، محیط گرافیکی متحد‎شده و سرویسِ قرار دادن نام آغاز گردید. در زیر به بررسی تعدادی از کارهای انجام شده در این زمینه پرداخته شده است و مقایسه‎ای بین این روش‎ها انجام گرفته‎است. در نهایت یک مدل ورود تکی مبتنی بر ابر امن‎تر پیشنهاد شده است. مدل پیشنهادی با بررسی وکمک روش‎های ارائه‎شده قبلی ارائه‎شده است. مدیریت نام‎های‎کاربری و رمز عبورهای چندگانه تنها یک جنبه رنجش‎آور از اینترنت کنونی نیست، بلکه یکی از مهمترین ضعف‎های امنیتی است. هر سیستم نیازمند اینست که مشتری، برای دسترسی به سرویس‎ها خودش را ثبت کند، اما بیشتر اوقات یک کاربر در وب‎سایت‎های مختلفی با یک نام مشابه و رمز عبورهای بسیار مشابه ثبت شده است. این یک فعالیت امن نیست به عبارت دیگر یا کاربران اغلب نام‌کاربری و رمز عبور خود را فراموش می‎کنند و سیستم مدیریت کاربر یک ایمیل رمزگذاری نشده با داده‎های محرمانه ارسال می‎کند ]4[. 3-2 سیستم‎های ورود تکی 3-2-1 سازمانی مانند بیشتر سیستم‎های ورود تکی، سیستم‎های ورود تکی سازمانی برای کاهش زمانی که یک کاربر برای ورود اعتباراتش برای ورود به برنامه‎های‎کاربردی مختلف دارد، طراحی شده‎اند. این کار با استفاده از تکنیک پُر‎کردن خودکار رمز عبورها برای کاربر انجام‏می‎شود، بنابراین آنها نیاز به وارد کردن دستی آنها ندارند. راه حل‎های ورود تکی معمولاً مبتنی بر نرم‎افزار هستند که همراه با کاربر برای ایجاد دسترسی به برنامه‎های‎کاربردی به‎طور ساده حرکت می‎کنند و از روش‎های احراز هویت مبتنی بر سخت‎افزارهای‎پیچیده دور می‎مانند. ورود تکی با ذخیره مجموعه‎های چندگانه اعتبارات فعالیت می‎کند که برای هر برنامه‎کاربردی یکبار به یاد آورده‎می‎شود و کاربر نیاز به دانستن آنها ندارد. به عبارت دیگر، برای افزایش سطح امنیت، پس از اینکه این اعتبارات داخل ورود تکی بدست‎می‎آیند، پیشنهادهایی برای افزایش نقش و سیاست‎های قدرت رمز عبورها، برای تقویت اعتبارات برای هر برنامه‎کاربردی ارائه می‎شود و حدس زدن آن برای مهاجم سخت‎تر می‎شود. 3-2-2 مجتمع (فدرالی شده) مدیریت هویت مجتمع برای سازمان‎های مجاز و ارائه‎دهندگان سرویس برای تبادل آسان اطلاعات در سرتاسر کانال‎های مختلف مانند بخش‎های مختلف دیگر، همکاران، ریسیلرها و مشتریانِ مهم است که اجازه می‎دهد پروفایل یک کاربر تکی، کاربر را در سرتاسر برنامه‎های‎کاربردی نامتجانس در زیرساخت‎های محلی و همچنین منابع مبتنی بر اینترنت کنترل‎شده توسط بخش‎های سوم مطمئن (امن شده) احراز هویت کند. درک این موضوع مهم است که اطمینان بین شرکت‎ها برای یک برنامه‎کاربردی‎کنترل‎شده توسط شرکت A که اجازه احراز هویت برای یک کاربر در شرکت B را می‎دهد، کسب شود. در این حالت، کاربر تنها یک پروفایل کاربر تکی را درون شرکت B نگه‎می‎دارد و اطمینان بدست‎آمده اجازه می‎دهد به‎طور خودکار وارد برنامه‎کاربردی شرکت A شده و از آن استفاده کند ]34 و 35[. 3-3 روش‎های ورود تکی پروتکل‎های ورود تکی با توانمندی شرکت‎ها برای بدست‎آوردن یک محیط متحد‎شده مشکل را حل می‎کنند به این صورت که مشتریان یک مرتبه به محیط وارد می‎شوند و در عین حال قابلیت دسترسی به سرویس‎های ارائه‎شده توسط شرکت‎های مختلف را دارند. پروفایل ورود تکی مرورگر وب زبان نشانه‎گذاری اثبات امنیت یک استاندارد نوظهور در این متن است که یک فرمت مبتنی بر XML برای رمزگذاری اثبات‎های امنیتی تعریف می‎کند. همچنین تعدادی از پروتکل‎ها و اتصالات را تعریف می‎کند که توضیح می‎دهد چگونه اثبات‎ها باید در برنامه‎های‎کاربردی گوناگون و/یا سناریوهای گسترش مبادله شوند. با توجه به افزایش روز‎افزون استفاده از اینترنت و فراگیر شدن خدمات وب و رایانش ابری، ورود کاربران به سایت‎ها و استفاده از خدمات مورد نیازشان به یک موضوع مهم تبدیل شده است. کاربران اینترنت معمولاً هویت‌های زیادی را برای برنامه‌های‎کاربردی وب مختلف مدیریت می‌کنند. برای حل این مشکل، ورود تکی توسعه یافته‌بود. در این روش، کاربران تنها یکبار برای ارائه‌دهنده هویت قابلِ اطمینان، احراز هویت می‌شوند. پس از ورود موفق کاربر، ارائه‌دهنده هویت نشانه‌های امنیتی مورد تقاضا را صادر می‌کند. این نشانه‌ها برای احراز هویت بخش‎های وابسته استفاده می‎شوند. یک حالت ورود تکی ساده در شکل 3-1 نشان‎داده‎شده است. در این شکل، کاربرِ وارد شده، ابتدا توسط ارائه‎دهنده هویت، بخش وابسته خواسته‎شده را ملاقات می‎کند. بخش وابسته یک درخواست نشانه صادر می‎کند. این نشانه به کاربر فرستاده می‎شود که کاربر آنرا به ارائه‎دهنده هویت ارسال می‎کند. ارائه‎دهنده هویت یک پاسخ نشانه شامل چندین درخواست (مانند حق دسترسی یا زمان انقضا) برای کاربر صادر می‎کند. با توجه به محافظت از احراز هویت و یکپارچگی درخواست‎ها، نشانه امضا شده است. در نتیجه، نشانه به کاربر فرستاده می‎شود که کاربر آنرا به بخش وابسته ارسال می‎کند. بخش وابسته امضا را اعتبارسنجی می‎کند و سپس دسترسی به سرویس یا منبع محافظت‎شده را اگر کاربر احراز هویت شده‎باشد، تصدیق می‎کند. این تصمیم کنترل دسترسی مبتنی بر درخواست‎ها در نشانه معتبر است. ورود تکی مبتنی بر کوکی: کوکی‏های HTTP مبتنی بر وب برای انتقال اعتبارات کاربر از مرورگر وب به سرور بدون ورودی از کاربر فعالیت می‎کنند. اعتبارات روی ماشین کلاینت جمع‏آوری شده‎اند و قبل از ذخیره در کوکی و ارسال به سرور مقصد، رمزگذاری شده‎اند. سرور کوکی‎ها را دریافت می‎کند، اعتبارات را استخراج و رمزگشایی و آنها را در مقابل دایرکتوری سرور داخلی کاربران اعتبارسنجی می‎کند. ورود تکی مبتنی بر کوکی برای محل‎هایی است که از قبل یک مدل احراز هویت با استفاده از یک جلسه مرورگر/ورود در سازمان وجود دارد. در برخی موارد، سیستم ممکن است از یک مدل کوکی مشترک برای تعیین اینکه آیا یک کاربر احراز هویت شده است یا نه استفاده کند. شکل 3-1: حالت ورود تکی ساده ]34[. مراحل پیاده‎سازی ورود تکی مبتنی بر کوکی به صورت زیر است: 1. سیستم احراز هویت (پس از ورود کاربر) باید یک کوکی سطح جلسه (هنگامی که مرورگر بسته و منقضی شد) و یک کوکی سطح دامنه تنظیم کند. نامگذاری کوکی برای فراخوانی به صورت دلخواه است. مقدار کوکی باید یک رشته رمزگذاری شده DES و کد‎گذاری مبنای 64 آدرس ایمیل کاربر باشد. - کوکی سطح دامنه (دامنه= mycompany.com) - کوکی سطح جلسه (مهلت=هنگامی که مرورگر بسته شد) - نام کوکی (اختیاری) - مقدار کوکی (رشته کدگذاری‌شده DES و کدگذاری مبنای 64 آدرس ایمیل کاربر) 2. تنظیم پورتال با یک URL دامنه سفارشی (ideas.mycompany.com) 3. تغییر تنظیمات روی پورتال برای انجام ورود تکی مبتنی بر کوکی. 4. اطمینان از انجام موارد زیر: احراز هویت URL: URL‎ی که سیستم را به یک کاربر که بدون یک کوکی به محل می‎آید جهت‎دهی مجدد می‎کند. این معمولاً صفحه ورود کاربر به اینترانت/سایت است. نام سایت: نام کوکی که در گام 1 بالا استفاده‎شده است ]34، 35 و 36[. ورود تکی مبتنی بر کربروس: کربروس‎ها یک کاربر را قادر به ورود (لاگین) درون پنجره‎های دامنه حساب‎هایشان می‎کنند و سپس ورود تکی را برای برنامه‎های‎کاربردی داخلی آنها دریافت می‎کنند. کربروس نیاز به اتصال کاربر به یک مرکز توزیع کلید مرکزی2 (KDC) دارد. در پنجره‎ها، هر کنترل‎کننده دامنه اکتیو دایرکتوری همانند یک KDC عمل می‎کند. کاربران خودشان را برای سرویس‎ها (مثلاً سرورهای وب) احراز هویت می‎کنند، در ابتدا برای KDC احراز هویت می‎شوند، سپس بلیط‎های سرویس رمزگذاری شده از KDC را برای یک سرویس خاص که قصد استفاده از آن را دارند درخواست می‎کنند که به‎طور خودکار در همه مرورگرهای مهم با استفاده از SPNEGO3 رخ می‎دهد ]34 و 35[. تکه‌تکه کردن صفحه4: تکه‎تکه‎کردن صفحه به تشخیص و به‎خاطر‎آوردن جعبه‎های گفتگو (دیالوگ) گفته‎می‌شود که کاربران برای اعتباراتشان بکار می‎گیرند. ایده برش فیلدها و طرح‎بندی این گفتگوها و وارد کردن خودکار اعتبارات کاربر، اساس پشت این نوع از ورود تکی است. تکه‏تکه‏کردن صفحات مبتنی بر وب، اصطلاحی است که به توانایی پورتال برای جذب یک صفحه وب درست و کامل یا بخش‎های خاصی از یک صفحه وب به درون یک پنجره پورتال اشاره‎می‎کند. معمولاً این کار با یک برنامه‎کاربردی انجام‏می‎شود که تگ‎های HTML را تجزیه و یک صفحه وب تولید‎می‎کند و اجازه می‎دهد بخش‎های خاص به داخل کشیده‎شوند. این شکل از یکپارچه‎سازی اجازه سفارشی‎سازی بزرگتر محتوای پورتال با همکاری محتوای استاتیک منابع مبتنی بر وب دیگر را می‎دهد. با این وجود، تکه‎تکه‎کردن صفحه یک واسط انعطاف‎پذیرتری ایجاد می‎کند، در حالی که یکپارچه‎سازی به دانش موقعیت عناصر داده روی صفحه وابسته است. حتی به‎روز‎رسانی‎ها یا تغییرات کوچک به یک وب سایت می‎تواند باعث شکست یکپارچه‎سازی شود ]34 و 35[. ورود تکی مبتنی بر درخواست‎ها: درخواست‎ها توسط یک صادر‎کننده درخواست ایجاد شده‎اند که توسط بخش‎های چندگانه مطمئن و امن شده‎اند. درخواست‎ها معمولاً درون یک نشانه‎ی امضاشده‎ی دیجیتال، بسته‎بندی شده‎اند که می‎توانند با استفاده از زبان نشانه‎گذاری اثبات امنیت روی شبکه فرستاده شوند. ورود تکی مبتنی بر درخواست به صورت زیر عمل می‌کند: 1. کاربر به برنامه‎کاربردی بخش متکی دسترسی پیدا می‎کند. 2. در حالی که کاربر احراز هویت نشده است، برنامه‎کاربردی بخش متکی کاربر را به سمت ارائه‎دهنده هویت مطمئن خودش می‎فرستد (ارائه‎دهنده مجتمع احراز هویت شده). 3. ارائه‎دهنده مجتمع، خودش یک ارائه‎دهنده هویت نیست و به ارائه‎دهندگان هویت متعدد وابسته است. بنابراین لیستی از ارائه‎دهندگان هویت را برای احراز هویت کاربر بدست می‎آورد. 4. کاربر یک لیست از ارائه‎دهندگان هویت مطمئن بدست می‎آورد و یک ارائه‎دهنده هویت انتخاب می‎کند (که یک اکانت دارد) و خودش را احراز هویت می‎کند. پس از یکبار احراز هویت، یک نشانه برای کاربر توسط ارائه‎دهنده هویت انتخاب‎شده صادر می‎شود و به ارائه‎دهنده یکپارچه عبور داده‎می‎شود. 5. همان‎طور که ارائه‎دهنده مجتمع از ارائه‎دهنده هویت مطمئن است، می‎تواند نشانه را پیدا کند. ابتدا نشانه را بررسی می‎کند و اگر نیاز باشد آنرا رمزگشایی می‎کند. سپس آنرا بررسی می‎کند و نشانه وارد شونده را می‎خواند و یک نشانه جدید صادر می‎کند و درخواست‎ها را از نشانه ارائه‎دهنده هویت با استفاده از قوانین درخواست به نشانه جدید منتقل می‎کند. 6. نشانه جدید به برنامه‎کاربردی بخش متکی عبور داده‎می‎شود. 7. نشانه به بخش وابسته فرستاده شده است. همان‎طور که بخش متکی از ارائه‎دهنده مجتمع مطمئن است، می‎تواند نشانه را پیدا کند و آن را بررسی کند و تصدیق یکباره موفقیت‎آمیز باشد، که اجازه دسترسی به برنامه‎کاربردی را می‏دهد. فرایند بالا در پشت صحنه انجام می‎شود و کاربر نیاز به دقت در مورد آن ندارد. کاربر تنها نیاز به انتخاب یکی از ارائه‎دهندگان هویت لیست شده، انتخاب و بکار بردن اعتبارات برای احراز هویت دارد. شکل 3-2 این فرایند را نشان می‎دهد. در سناریو بالا، 2 ارائه‎دهنده هویت وجود دارد. ارائه‎دهنده اول نشانه را با درخواست‎ها به ارائه‎دهنده دیگر می‎فرستد. اکنون ارائه‎دهنده دوم یک گزینه برای انتقال مانند حذف یک درخواست، یک درخواست جدید، تغییر دو یا چند درخواست به یک درخواست، تفکیک یک درخواست به دو یا چند درخواست و غیره دارد که می‎تواند مبتنی بر درخواست انجام شود (مانند ارائه‎دهنده مجتمع سرویس کنترل دسترسی ویندوز آژور) ]34، 35 و 37[. شکل 3-2: ورود تکی مبتنی بر درخواست ]34[. ورود تکی مبتنی بر کارت هوشمند: با ورود تکی کارت هوشمند، کاربر نیاز به وارد کردن کارت هوشمند خود به داخل یک خواننده کارت2 دارد که سپس به آنها اجازه ورود به برنامه‎کاربردی خواسته‎شده را می‎دهد. سپس اطلاعات کارت هوشمند برای اجازه به ورود تکی به برنامه‎های‎کاربردی دیگر که کاربران برای دسترسی به آنها تلاش می‎کنند استفاده‎می‎شود. کارت‎های هوشمند، کلید خصوصی کاربر که در یک کلید مشتق شده از یک رمز عبور رمزگذاری شده است را نگه می‎دارد و به صورت زیر عمل می‎کند: گام 1: کاربر کارت خود را داخل یک کارت‎خوان مستقر در یک محیط کاری درج می‎کند. کربروس کلاینت، Id کاربر را درخواست می‎کند. گام 2: کربروس کلاینت، Id کاربر را به KAS ارسال می‎کند و کاربر یک رمز عبور انتخاب می‎کند. کربروس کلاینت یک کلید از رمز عبور استخراج می‌کند و آنرا بکارت هوشمند ارسال می‎کند. کارت هوشمند از کلید مشتق‎شده از رمز عبور برای رمزگشایی کلید خصوصی کاربر استفاده‎می‎کند. گام 3: KAS، گواهی (بلیط) سرویس ارائه گواهی (TGS) را تولید‎می‎کند و کلید جلسه TGS را با استفاده از کلید خصوصی کاربر رمزگذاری و پیام را به کلاینت ارسال می‎کند. گام 4: کربروس کلاینت، گواهی TGS را ذخیره و کلید جلسه TGS رمزگذاری شده را بکارت هوشمند منتقل می‎کند. گام 5: کارت هوشمند از کلید خصوصی کاربر برای رمزگشایی کلید جلسه رمزگذاری شده استفاده‎می‎کند. کارت هوشمند کلید جلسه TGS را درون حافظه فرّار خود ذخیره، کلید مشتق‎شده رمز عبور را خراب و کپی مشتق‎شده را از کلید خصوصی کاربر رمزگشایی، یک کپی از کلید جلسه TGS را با استفاده از نسخه ذخیره‎شده از کلید جلسه TGS به عنوان کلید رمزگذاری شده، رمزگذاری و کپی رمزگذاری شده را به سمت عقب به کربروس کلاینت منتقل می‎کند. گام 6: برای دسترسی به سرویس سیستم، کربروس کلاینت ابتدا تعیین می‎کند که آیا یک بلیط برای آن سرویس مورد نیاز است (ممکن است فردی دسترسی دیرتری بدست آورد و بنابراین فرایند به گام 12 پرش کند). اگر یک بلیط مورد نیاز است، کربروس کلاینت اطلاعات هویت و یک مهر زمان را بکارت هوشمند همراه با کلید جلسه TGS رمزگذاری شده منتقل می‎کند. گام 7: کارت هوشمند یک احراز هویت‎کننده برای سرویس TGS با رمزگشایی کلید جلسه TGS رمزگذاری شده ایجاد و اطلاعات احراز هویت و مهر زمان را با استفاده از کلید جلسه‎ی TGS رمزگشایی‎شده، رمزگذاری می‎کند. این احراز هویت‎کننده‎ی رمزگشایی‎شده به سمت کربروس کلاینت ارسال می‎شود. گام 8: کربروس کلاینت درخواست سرویس را همراه با گواهی TGS و احراز هویت‎کننده‎ی رمزگشایی‏شده به KAS ارسال می‎کند. گام 9: KAS درخواست را اعتبارسنجی می‎کند و اعتبار بلیط سرور مناسب و کلید جلسه سرور مرتبط را تولید‎می‎کند، کلید جلسه، سرور را با استفاده از کلید جلسه TGS درخواست کاربر، رمزگذاری و پیام را به کربروس کلاینت ارسال می‎کند. گام 10: کربروس کلاینت بخشی از پیام رمزگذاری شده با استفاده از کلید جلسه TGS را بکارت هوشمند منتقل می‎کند. گام 11: کارت هوشمند پیام را رمزگشایی می‎کند، کلید جلسه سرور را با استفاده از کلید جلسه TGS رمزگشایی مجدد و آنرا به کربروس کلاینت ارسال می‎کند. گام 12: کربروس کلاینت، اطلاعات احراز هویت را منتقل، یک مهر زمان و یک کلید جلسه سرور رمزگشایی خواسته‎شده را بکارت هوشمند ارسال می‎کند (باز‎می‎گرداند). گام 13: کارت هوشمند، کلید جلسه سرور رمزگذاری شده را رمزگشایی و اطلاعات احراز هویت و مهر زمان را در کلید جلسه سرور رمزگشایی‎شده رمزگذاری می‎کند. کارت هوشمند، احراز هویت‎کننده‎ی رمزگذاری شده را به کربروس کلاینت ارسال می‎کند. گام 14: کربروس کلاینت، گواهی سرور را ارسال و احراز هویت‎کننده را برای سرویس درخواست‎شده رمزگذاری می‎کند. گام 15: کربروس سرور، گواهی سرور و احراز هویت‎کننده را رمزگشایی و کاربر را احراز هویت می‎کند ]34، 35 و 38[. ورود تکی مبتنی بر بیومتریک: احراز هویت بیومتریک می‎تواند با فناوری‎های ورود تکی برای امنیت بیشتر و ساده‎کردن حیات نیروی کار روزانه ترکیب شود. احراز هویت بیومتریک می‎تواند شامل استفاده از اثر انگشت، اسکن‎های شبکیه‎ای، اسکن‎های مربوط به صورت، هندسه دست و حتی DNA باشد. احراز هویت بیومتریک نیازمند مقایسه یک نمونه بیومتریک ثبت شده یا عضو (الگوی بیومتریک یا تعیین‎کننده‎هویت) در برابر یک نمونه بیومتریک جدید (برای مثال، استفاده از اثر انگشت در حین ورود) می‎باشد. در طول ثبت‎نام، همان‎طور که در شکل 3-3 نشان‎داده‎شده است، یک نمونه از خصوصیات بیومتریک بکار‎گرفته‎شده، توسط کامپیوتر پردازش و برای مقایسه‏های بعدی ذخیره می‎شود. 12001572390مطابقتثبت نام:حالت بیومتریکحالت بیومتریکتصدیق:دریافت الگودریافت الگوپردازشپردازشذخیره در پایگاه دادهمقایسهعدم مطابقت00مطابقتثبت نام:حالت بیومتریکحالت بیومتریکتصدیق:دریافت الگودریافت الگوپردازشپردازشذخیره در پایگاه دادهمقایسهعدم مطابقت شکل 3-3: مکانیزم تشخیص بیومتریک ]39[. تشخیص بیومتریک می‎تواند در حالت تشخیص هویت استفاده‎شود که سیستم بیومتریک، یک شخص را از جمعیت ثبت‎نام‎شده با جستجو در یک پایگاه‎داده برای انطباق صرفاً مبتنی بر بیومتریک، تشخیص دهد. برای مثال، یک پایگاه‎داده کامل می‎تواند برای تصدیق اینکه یک شخص برای استفاده از مزایای حقوق، که تحت دو نام مختلف بکار رفته‎باشد جستجو شود که اغلب انطباق یک به چند نامیده می‎شود. همچنین یک سیستم می‎تواند در حالت تصدیق استفاده‎شود که سیستم بیومتریک هویت درخواست‎شده، شخص را از الگوهای ثبت‎شده‎ی قبلی‎اش احراز هویت کند که انطباق یک به یک نامیده می‏شود. در دسترسی بیشتر به کامپیوترها یا محیط‎های دسترسی به شبکه، حالت تصدیق می‎تواند استفاده‎شود. کاربرِ یک اکانت، نام‌کاربری را وارد یا یک نشانه مانند یک کارت هوشمند درج می‎کند اما در عوضِ ورود رمز عبور، یک لمس ساده با انگشت یا یک نگاه اجمالی در یک دوربین برای احراز هویت کاربر کافی است ]34، 35 و 39[. فناوری‎های بیومتریک منتظر بکارگیری یک نقش کلید در احراز هویت شخصی برای محیط‎های احراز هویت‎های شبکه‎های سطح وسیع سازمانی و برای محافظت از همه انواع محتوای دیجیتال مانند مدیریت حقوق دیجیتال و برنامه‎های‎کاربردی سالم هستند. ورود تکی مبتنی بر پُر‎کردن فرم: پُر‎کردن فرم، اجازه ذخیره‎سازی قوی اطلاعات را می‎دهد که معمولاً داخل یک فرم پُر شده است. برای کاربران که به‎طور مکرر فرم‎ها را پر می‎کنند، خصوصاً برای دسترسی امن، این فناوری قصد به یادآوری/ذخیره همه‎ی این اطلاعات و امنیت آن با یک رمز عبور منحصر را دارد. برای دسترسی به اطلاعات، کاربر تنها یکی از رمز عبورها را به‎خاطر می‎آورد و فناوری پُر‎کردن فرم می‎تواند با دقت، پر کردن فرم‎ها را انجام دهد. یک پُر‎کننده فرم یک برنامه نرم‎افزاری است که به‎طور خودکار فرم‌های در یک UI را پُر می‎کند. پُر‎کنندگان فرم می‎توانند بخشی از یک برنامه بزرگتر مانند یک مدیریت رمز عبور یا یک راه حل مبتنی بر ورود تکی سازمانی باشند. پُر‎کننده فرم متضاد تکه‎تکه‎کردن صفحه است که داده‎ها را از یک فرم استخراج می‎کند ]34 و 35[. ورود تکی مبتنی بر NTLM2: برای یک کاربر، اثبات اینکه آنها رمز عبورهایشان را بدون ارائه واقعی خود رمز عبور می‎دانند، امکان‎پذیر است. NTLM این را با استفاده از یک پروتکل چالش و پاسخ بدست می‎آورد که ابتدا نوع NTLM و مکانیزم‎های رمزگذاری را که کلاینت و سرور به‎طور متقابل و دو طرفه پشتیبانی می‎کنند را تعیین می‎کند، سپس به‎طور پنهانی رمز عبورهای کاربر را هَش می‎کند و آن را به سرور نیازمند احراز هویت ارسال می‎کند. NTLM یک پروتکل احراز هویت پاسخ-چالش است که از 3 پیام برای احراز هویت یک کلاینت در یک محیط ارتباط‎گرا استفاده‎می‎کند و پیام اضافی چهارم اگر یکپارچگی خواسته‎شود مورد استفاده قرار می‎گیرد. اول، کلاینت یک مسیر شبکه به سرور بدست می‎آورد و یک اعلانِ پیام مذاکره از قابلیت‎هایش ارسال می‎کند. در گام بعدی، سرور با پیام چالش پاسخ می‎دهد که برای بدست‎آوردن هویت کلاینت استفاده‎می‎شود. سرانجام، کلاینت به چالش با یک پیام احراز هویت پاسخ می‎دهد. پروتکل NTLM، یک یا هر دو مقدار رمز عبور هَش‎شده را استفاده‎می‎کند که روی سرور (یا کنترل‎کننده دامنه) نیز ذخیره شده است و مشابه رمز عبور است، بدین معنا که اگر مقدار هَش از سرور سرقت شود می‎تواند بدون آگاهی از رمز عبور واقعی، احراز هویت شود. درحالی که کربروس به عنوان یک پروتکل احراز هویت پیش‎فرض در اکتیو‎دایرکتوری مبتنی بر شمای ورود تکی جایگزین NTLMشده است،NTLM هنوز در موقعیت‎هایی که یک کنترل‎کننده دامنه در دسترس نیست یا غیرقابل دستیابی است بطور گسترده‎ای استفاده‎می‎شود. برای مثال، اگر یک کلاینت قابلیت کربروس را ندارد، سرور به یک دامنه متصل نباشد یا کاربر از راه دور روی وب احراز هویت شده‎باشد، NTLM می‎تواند استفاده‎شود ]34، 35 و 40[. ورود تکی مبتنی بر :SPNEGOیک مکانیزم شبه کد GSSAPI است که برای مذاکره‎ی یکی از مکانیزم‎های واقعی ممکن، استفاده‎شده است. SPNEGO هنگامی که یک برنامه‎کاربردی کلاینت قصد احراز هویت یک سرور دور را دارد استفاده‎شده است اما در انتها تضمین نمی‎کند که پروتکل‎های احراز هویت دیگر را پشتیبانی کند. مکانیزم شبه کد از یک پروتکل برای تعیین اینکه مکانیزم‎های GSSAPIمشترک در دسترس هستند، انتخاب یکی از آنها و سپس عدم مطابقت همه‌ی فعالیت‎های امنیتی اضافی برای آنها، استفاده‎می‎کند. هنگامی که برنامه‎کاربردی کاربر و سرور دور، نوع احراز هویتی که پشتیبانی می‎کند را نمی‎داند، در این زمان، SPNEGO (مکانیزم مذاکره GSSAPI ساده و محافظت‎شده) می‎تواند برای یافتن مکانیزم‎های احراز هویت دو طرفه‎ای که دردسترس و قابل استفاده هستند استفاده‎شود. برخی از این مکانیزم‏ها می‎تواند شامل احراز هویت کربروس و NTLM شود. همچنین بیشترین استفاده از SPNEGO در توسعه احراز هویت مذاکره HTTP مایکروسافت است ]34 و 35[. ورود تکی کاهش‎یافته2: ورود تکی کاهش‎یافته به‎طور گسترده‎ای برای محدود کردن تعداد دفعاتی که یک کاربر نیاز به وارد کردن اعتباراتشان برای دسترسی به برنامه‎های‎کاربردی مختلف دارند استفاده‎می‎شود. با برنامه‎های‎کاربردی بحرانی، ورود تکی کاهش‎یافته نیز یک تکنیک برای اطمینان از اینکه یک کاربر بدون یک احراز هویت دو عاملی که توسط کاربر ارائه می‎شود وارد نشده‎باشد، ارائه‎شده است. احراز هویت دو عاملی می‎تواند به عنوان یک قطعه سخت‎افزار مانند کارت هوشمند، سوالات چالشی یا حتی بیومتریک پیاده‎سازی شود. ورود تکی کاهش‎یافته اجازه دسترسی به منابع مطمئن با یک مجموعه از اعتبارات را می‎دهد اما به اعتبارات اضافی برای منابع حیاتی بیشتر نیاز دارد. ورود تکی کاهش‎یافته، روش‎های احراز هویت/رمز عبور مختلف یا اضافی روی سرورها و برنامه‎های‎کاربردی ارائه می‎دهد که به‎طور امن‎تری کنترل می‎شوند. ورود تکی کاهش‎یافته نسبت به ورود تکی یک مزیت دارد، به‎طوریکه از دسترسی به هر چیزی که باید یک رمز عبور یا وسیله احراز هویت توافق کرده‎باشد جلوگیری می‎کند. از دید کاربر، ورود تکی کاهش‎یافته مانند ورود تکی برای استفاده، محرمانه و آسان نیست. مدیران IT از آن برای افزایش امنیت خود روی ورود تکی کاهش‎یافته بهره می‎برند. استفاده موفقیت‎آمیزِ ورود تکی کاهش‎یافته تنها نیازمند اینست که حقوق مشخصی برای بهبود امنیت، بدون ایجاد هیچ زحمت اضافی برای کاربر، برای فعالیت استفاده‎کند ]34 و 35[. ورود تکی بین چند دامنه3: اعتبارات ممکن است نیازمند انتقال بین سرورها و دامنه‎های مختلف باشند که به ورود تکی بین چند‎دامنه (CDSSO) باز می‎گردد. با متکی نبودن به یک سرور احراز هویت ماهر، ورود تکی بین چند‎دامنه به کاربر اجازه می‎دهد به آسانی بین دامنه‎های امن مختلف، هنگامی که منبع از جای دیگری درخواست می‎شود احراز هویت شود. ورود تکی بین چند‎دامنه، ورود تکی را فراتر از یک دامنه تکی گسترش می‎دهد. ورود تکی بین چند‎دامنه، یک مکانیزم برای عبور نشانه‎های ورود تکی به منابع محافظت‎شده‎ی سیاست‎های عامل ارائه‎شده در دامنه‎های DNS مختلف است. ورود تکی بین چند‎دامنه این امکان را برای کاربران برای احراز هویت یکباره در برابر سرور سازمان OpenSSO در یک دامنه DNS اصلی ایجاد می‎کند و سپس توسط سیاست‎های عامل ارائه‎شده در دامنه‎های DNS دیگر بدون داشتن احراز هویت مجدد به منابع محافظت‎شده دسترسی پیدا می‎کند. ورود تکی بین چند‎دامنه یک مکانیزم اختصاصی سازمانی OpenSSO برای پشتیبانی از ورود تکی در سرتاسر دامنه‎های چندگانه است. بعلاوه می‎توان از پروتکل‎های یکپارچه مبتنی بر استاندارد برای بدست‎آوردن ورود تکی در سرتاسر دامنه‎های چندگانه استفاده کرد. مزیت استفاده از ورود تکی بین چند‎دامنه این است که منابع در بین دامنه‎های چندگانه محافظت می‎شوند. شکل 3-4 یک معماری توسعه‎یافته ورود تکی بین چند‎دامنه ساده و معمولی را نشان می‎دهد. -52895524765دامنه DNS شماره 1سرور دایرکتوری 1سرور دایرکتوری 2متوازن کننده بار 1تکرارشونده چند مدیرهسرور open SSO شماره 1انبار داده پیکربندی جاسازی شده شماره 1سرور open SSO شماره 1انبار داده پیکربندی جاسازی شده شماره 2متوازن کننده بار 2دامنه DNS شماره 2منبع محافظت شده 1شامل شونده J2EEعامل اداره کننده J2EEمنبع محافظت شده 2شامل شونده وبعامل اداره کننده وباینترنت00دامنه DNS شماره 1سرور دایرکتوری 1سرور دایرکتوری 2متوازن کننده بار 1تکرارشونده چند مدیرهسرور open SSO شماره 1انبار داده پیکربندی جاسازی شده شماره 1سرور open SSO شماره 1انبار داده پیکربندی جاسازی شده شماره 2متوازن کننده بار 2دامنه DNS شماره 2منبع محافظت شده 1شامل شونده J2EEعامل اداره کننده J2EEمنبع محافظت شده 2شامل شونده وبعامل اداره کننده وباینترنت شکل 3-4: یک معماری توسعه‎یافته ورود تکی بین چند‎دامنه ساده و معمولی ]34، 35 و 41[. ورود تکی مبتنی بر ثبت‎نام: یک کاربر که درون یک وب سایت وارد می‎شود ممکن است بخواهد اعتبارات خود را به‎طور دائمی برای آن سایت به‎خاطر داشته‎باشد. این با ایجاد یک کوکی رمزگذاری شده روی ماشین کاربر برای آن مرورگر وب انجام‏می‎شود که اعتبارات کاربر را شامل می‎شود. این کوکی بر شروع دوباره ماشین در سرتاسر جلسات مرورگرهای مختلف پافشاری می‎کند اما پس از یک دوره‎ی زمانی برای منقضی‎شدن تنظیم خواهد‎شد. در گام بعدی، کاربر به وب سایت دسترسی پیدا می‎کند، سرور کوکی را تشخیص می‎دهد، آنرا برای بدست‎آوردن اعتبارات کاربر رمزگشایی می‎کند و پس از اعتبارسنجی کامل صفحه ورود به‎طور موفقیت‎آمیز، سبب انشعاب می‎شود. ورود تکی مبتنی بر جلسه2: ورود اولیه کاربر به یک سرور HTTP از طریق نتایج مرورگر وب در یک نشانه جلسه روی سرور تولید شده است و از طریق یک کوکی داخل حافظه به کاربر بازگردانده شده است. از آن به بعد، ورود تکی با ارائه نشانه جلسه به سرور به عنوان اثباتی از احراز هویت انجام‏می‎شود. ورود تکی مبتنی بر جلسه، محرمانگی ورود به یک سرور یا دامنه را با ورود یکباره به کاربر ارائه می‎دهد و برای دسترسی به منابع در دامنه‎های مشابه یا سرورهای مختلف نیاز به ورود دوباره ندارد. اساس ورود تکی مبتنی بر جلسه احراز هویت اولیه است، ایجاد یک نشانه جلسه و منابعی که می‎دانند چگونه کاربر را با نشانه جلسه احراز هویت کنند. ورود تکی مبتنی بر جلسه شامل مراحل زیر است: احراز هویت اولیه- برخی ابزارهای کاربر، هویت آنها را برای سرور منبع تصدیق می‌کنند. اعتبارات معمولاً در شکلی از یک جفت نام‌کاربری و رمز عبور هستند. نشانه جلسه- کوکی که شامل اطاعات مورد نیاز برای احراز هویت کاربر به‎طور خودکار است. جلسه- زمانی که یک کاربر به‎طور فعال با یک کوکی به یک منبع وارد می‎شود. سرور جلسه- سروری که احراز هویت اصلی را انجام می‎دهد، جلسه را در یک پایگاه‎داده یا حافظه انجام می‎دهد و کوکیِ جلسه را به کلاینت ارائه می‎دهد. اعتبارسنجی نشانه- پیاده‎سازی‎شده‎ی تعدادی از روش‎ها. برخی سیستم‎ها یک سرور جلسه مرکزی دارند که می‎توانند نشانه را اعتبار‎سنجی کنند. سیستم‎های دیگر، برنامه‎های‎کاربردی دارند که می‎توانند ثبت شوند و در استفاده‎ی نشانه برای اعتبارسنجی شریک دخالت کنند. هنگامی که یک جلسه پایان می‎یابد، سرور، جلسه و اطلاعات هر برنامه‎کاربردی که با سرور برای این اطلاعات ثبت شده است را از بین می‎برد، بنابراین از دسترسی بیشتر بدون احراز هویت دستی جلوگیری می‎شود. ورود تکی صحیح: ورود تکی صحیح، توانایی ارائه اعتبارات، یک مرتبه در طول جلسه را دارد و برای اعتبارات مجدداً پرسیده نمی‎شود. این توسط نفوذ اعتبارات در هنگام هدایت به منابع دیگر در طول جلسات انجام‏می‎شود که نیاز به تصحیح اعتبارات را خواهد داشت. ورودتکی صحیح، معمولاً هنگامی که کاربر به ماشین رومیزی خودش در آغاز روز کاری خودش وارد می‎شود، به یکبار وارد کردن رمز عبور نیاز دارد. برخی پیاده‎سازی‎های ورود تکی صحیح از رمز عبورهای مشابه و ID کاربر در برابر یک پایگاه‎داده مرکزی برای احراز هویت یک کاربر استفاده می‎کنند به‎طوریکه آنها به منابع محافظت‎شده‎ی اضافی در سرتاسر روز دسترسی دارند. همچنین برای ورودتکی صحیح، استفاده از یک کلید امنیت مورد نیاز است. کاربر یکبار با نام‎کاربری و رمز عبور خودش در اولین بار احراز هویت می‎شود. سرور احراز هویت همچنین یک نشانه رمزگذاری شده یا کلیدی که به عنوان شناسه برای دسترسی آینده به منابع مورد استفاده قرار خواهدگرفت به کاربر ارائه می‎دهد که می‎داند چگونه نشانه را رمزگشایی کند و کاربر را همان‎طور که احراز هویت شده است تشخیص دهد ]34 و 35[. 3-4 روش کربروس کربروس سال 1983 هنگامی که MIT2 تصمیم به یکپارچگی شبکه‌های کامپیوتری به عنوان بخشی از دوره‎های آموزشی خود گرفت بوجود آمد. هدف از پروژه آتن یکپارچگی ورودتکی، سیستم‎های فایل شبکه‎شده، محیط گرافیکی متحد‎شده و سرویسِ قرار‎دادنِ نام، بود ]41[. 3-4-1 پروتکل کربروس پروتکل کربروس برای فرایند احراز هویت کاربران بدین صورت عمل می‎کند: مبادله احراز هویت: مشتری از سرور احراز هویت برای یک گواهی به سرور ارائه گواهی3 پاسخ می‎دهد. سرور احراز هویت، مشتری را در پایگاه‎داده خود جستجو می‎کند. سپس یک کلید جلسه4 (SK1) برای استفاده بین مشتری TGS تولید می‎کند. کربروس SK1 را با استفاده از کلید رمز مشتری، رمزگذاری می‎کند. سرور احراز هویت همچنین از کلید رمز TGS (شناخته‎شده تنها برای سرور احراز هویت و TGS) برای ایجاد و ارسال یک گواهی تولید گواهی به کاربر استفاده‏می‎کند. مبادله سرویس ارائه گواهی: مشتری پیام را رمزگشایی و کلید جلسه را بازیابی می‎کند، سپس از آن برای ایجاد محتوای تاییدیه نام کاربر، آدرس IP و مهر زمان استفاده‎می‎کند. مشتری، احراز هویت‎کننده را همراه با TGT، برای درخواست دسترسی به سرور هدف به TGS، ارسال می‎کند. TGS، TGT را رمزگشایی می‎کند، سپس از SK1 درون TGT برای رمزگشایی تایید‌کننده استفاده می‎کند. اطلاعات تایید‌کننده، گواهی، آدرس شبکه مشتری و مهر زمان، بررسی می‎شود. اگر همه چیز منطبق بود، اجازه ارسال درخواست داده‎می‎شود. سپس TGS یک کلید جلسه جدید (SK2) برای مشتری و سرور هدف برای استفاده ایجاد می‎کند، این با استفاده از SK1 رمزگذاری و به مشتری ارسال می‎شود. TGS نیز یک محتوای گواهی جدید شامل نام مشتری، آدرس شبکه، مهر زمان و یک زمان انقضا برای گواهی ارسال می‎کند که همگی با کلید رمز سرور هدف و نام سرور رمزگذاری شده‎اند. مبادله سرور/ مشتری: مشتری پیام را رمزگشایی می‎کند و SK2 را بدست‏می‏آورد. مشتری یک تایید‌کننده جدید رمزگذاری شده با SK2 ایجاد می‎کند و سرانجام برای نزدیک شدن به سرور هدف آماده می‎شود. مشتری، گواهی جلسه (رمزگذاری شده با کلید رمز سرور هدف) را ارسال و تایید‌کننده را رمزگذاری می‎کند. بنابراین تاییدکننده شامل متن اصلی رمزگذاری شده با SK2 است که اثبات می‎کند که مشتری کلید را می‎داند. مهر زمان رمزگذاری شده از یک استراق سمع برای ثبت گواهی و تایید‌کننده، جلوگیری می‎کند و بعداً آنها را پاسخ می‎دهد. سرور هدف ،گواهی، تایید‌کننده، آدرس مشتری و مهر زمان را رمزگشایی و بررسی می‎کند. برای برنامه‎های‎کاربردی که نیازمند احراز هویت دو عاملی هستند، سرور هدف یک پیام شامل مهر زمان به اضافه یک را باز‎می‎گرداند که با SK2 رمزگذاری شده است. این به مشتری ثابت می‎کند که سرور واقعاً کلید رمز خود را می‎داند و بنابراین می‎تواند گواهی و تاییدیه را رمزگشایی کند. ارتباطات امن: سرور هدف می‎داند که مشتری کسی است که ادعا کرده است و هر دو اکنون کلید رمزگذاری برای ارتباطات امن را به اشتراک می‎گذارند. بنابراین تنها مشتری و سرور هدف این کلید را به اشتراک می‎گذارند. همچنین آنها می‎توانند فرض‎کنند که یک پیام جدید در کلید مرتبط با بخش دیگر رمز شده است ]42[. خنثی‎کردن یک تهاجم یکی از ویژگی‎های اصلی کربروس است، که رمز عبورها در یک متن واضح روی یک شبکه فرستاده‎نمی‎شود. کربروس یک راه حل امنیتی امن درنظر گرفته می‎شود. کربروس یک فناوری است که اجازه احراز هویت قوی در شبکه‎های توزیع‎شده و باز را می‎دهد و به چهار دلیل اصلی یک راه حل امنیتی معتبر است. 1- کربروس کامل است. کربروس به‎طور وسیعی استفاده‎می‎شود و برای زمان‎های طولانی مورد مطالعه قرار گرفته‎است. به‎طور امنیتی، برای مقیاس‎های وسیع بکار می‌رود. 2- کربروس نیازهای سیستم‎های توزیع‎شده مدرن را برآورده‎می‎کند که در پاسخ به تفکر خوش تعریف و روشن از طریق مجموعه‌ای از نیازها برای احراز هویت امن در یک محیط باز با لینک‎های ارتباطی ناامن توسعه یافته‎بود. این بیان می‎کند که این نیازها تقریباً با نیازهای سیستم‎های توزیع‎شده‎ی مدرن که روی شبکه‎های مبتنی بر پروتکل‎های اینترنت عمل می‎کنند مطابق است. 3- کربروس از نظر معماری دقیق است. کربروس پیرامون یک مجموعه واضحی از انتزاع ساختاری و تابعی طراحی شده است که این معماری دقیق، اجازه بکارگیری روی زمان را می‎دهد و باعث سهولت یکپارچگی آن، داخل سیستم‎های دیگر می‎شود. این معماری دقیق باعث سهولت تجزیه‎و‎تحلیل اینکه کربروس چگونه رفتار خواهد کرد می‎شود. 4- کربروس در محل حضور دارد. کربروس تقریباً در بیشتر سیستم‎عامل‎ها و بسیاری از برنامه‎های‎کاربردی نرم‎افزاریِ مورد استفاده در سطح وسیع، یکپارچه‌شده است. این موضوع یک بخش کامل از زیرساخت IT امروزی است ]43[. 3-4-2 مزایای کربروس محافظت از رمز عبورها. نیاز به ارسال رمز عبورهای کاربر روی شبکه یا در متن اصلی یا تحت رمزنگاری نیست. این پروتکل در مقابل روی کلیدهای رمز تکیه می‎کند که به صورت رمزگذاری ارسال می‎شوند و نمی‎توان از آنها جلوگیری کرد. اگر امنیت شبکه برقرار باشد این امکان وجود ندارد که متجاوزان به محتوای ارتباط شبکه پی ببرند. احراز هویت سرور/کلاینت. کلاینت و سرور باید هر کدام برای دیگری احراز هویت شوند. اگر اینگونه نشود ارتباطی برقرار نمی‎شود. گواهی بلیط کلاینت/سرور. علاوه بر احراز هویت متقابل، برای بلیط‎های عبور کرده از سرور به کلاینت و برعکس، مهر زمان، ایجاد و اطلاعات چرخه حیات را شامل می‎شود. پایایی، ایستایی و قابلیت استفاده مجدد. احراز هویت توسط کربروس کامل، ایستا، پایا و قابل استفاده مجدد است. هنگامی که کاربر یک مرتبه احراز هویت می‎شود، احراز هویت برای چرخه حیات آن بلیط قابل استفاده مجدد است. در واقع، احراز هویت از طریق کربروس بدون وارد کردن مجدد نام‌کاربری و رمز عبور در سرتاسر شبکه (تا زمانی که احراز هویت منقضی نشده) باقی‎می‎ماند. تولید کلید جلسه سرویس. با توجه به این که مدل کربروس از روش رمزنگاری کلید دوتایی استفاده‎می‎کند، کلید جلسه سرویس که منجر به یک ارتباط خاص بین کلاینت و سرویس می‎شود دارای امنیت کامل است. استانداردهای اینترنت. پروتکل کربروس کاملاً بر استانداردهای اینترنت باز متکی است و به کدهای اختصاصی یا مکانیزم‎های احراز هویت محدود نیست. این ویژگی به توسعه‎دهندگان اجازه تکیه بر هر تعداد از پیاده‎سازی‎های منابع باز و رایگان از طریق ابزارهای عمومی را می‎دهد. حضور در همه جا در یک لحظه. کربروس در ارتباط با چالش‎های جهان واقعی ساخته‎شده است. بزرگترین ویژگی کربروس قدرت در تعداد است. به دلیل اینکه کربروس به‎طور وسیع استفاده‎می‎شود و توسط توسعه‎دهندگان سطح بالا، خبرگان امنیتی و رمزگذاران تایید شده است، هر ضعف یا نقص شناسایی و سریعاً پوشش داده‎می‎شود ]44[. 3-4-3 معایب علاوه بر مزایای ذکر شده، پروتکل کربروس معایبی دارد که تعدادی از آنها در زیر آمده است: کربروس برای طراحی و پیاده‎سازی یک سیستم امنیتی مناسب نیست. اگر یک کلید کربروس که یک ماشین برای خودش استفاده‎می‎کند به صورت توافقی بدست‎آمده‎باشد، مهاجم می‌تواند به‎طور مشابه هر کاربر را روی آن کامپیوتر با جعل درخواست‎های تایید شده برای آن ماشین جعل هویت کند. اگر مهاجم بتواند در مکانیزم‌های امنیتی روی کامپیوتر محلی رخنه کند، همه‎ی کلیدهای جلسه موجود می‌توانند جعل شوند. در کامپیوترهای چندکاربره، کربروس با مشکل مواجه است و اگر رخنه‎هایی در امنیت میزبان وجود داشته‎باشد، مهاجم می‌تواند به کلیدها دسترسی داشته‎باشد. کلیدها روی دیسک‎های محلی استخراج می‌شوند که بسیار نامطمئن و ناامن هستند. پروتکل کربروس از لحاظ مقاومت در برابر نفوذ آنگونه که باید باشد نیست. مهمترین دلیل آن استفاده از یک احراز هویت‌کننده برای جلوگیری از پاسخ به حملات است. احراز هویت‌کننده متکی بر استفاده از یک مهر زمان برای محافظت در برابر استفاده مجدد است که باعث بروز مشکلاتی می‌شود. یکی از این مشکلات اینست که هیچ پاسخی داخل زمان حیاتِ (معمولاً 5 دقیقه) احراز هویت‌کننده محتمل نیست. به دلیل اینکه کربروس از الگوریتم‎های رمزگذاری استفاده می‌کند و اینکه مهاجم می‌تواند دیالوگ‎های ورود زیادی را ضبط کند و با توجه به الگوریتم‎هایی که استفاده می‌شود و این الگوریتم‌ها شناخته‎شده هستند و اینکه کاربران معمولاً رمز عبورهای خوبی انتخاب نمی‌کنند، مهاجم می‎تواند رمز عبورهای کاربران را حدس بزند. در یک محیط کاری، مهاجم می‌تواند به سادگی یک دستور ورود (Login) را با نسخه‎ای که رمز عبورهای کاربران را قبل از بکارگیری آنها در یک گفتگوی کربروس، ضبط و آنها را جایگزین کند و ورود را جعل کند (به عبارت دیگر، با یک دستور جعلی هنگامی که کاربران رمز عبور خود را وارد می‎کنند، قبل از اینکه پروتکل کربروس از آنها استفاده کند آنها را ضبط و به جای دستور ورود اصلی از آنها استفاده کند). چون کلیدها در چندین جلسه استفاده می‎شوند امکان افشای کلیدها بیشتر است. بلیط‎های کربروس در زمان و ناحیه محدود هستند و تنها قابل استفاده در ناحیه‎ی سرور تصدیق بلیط و در یک دوره زمانی خاص هستند. کربروس هرگز رمز عبورها را روی شبکه منتقل نمی‌کند که این می‎تواند به عنوان یک مزیت درنظر گرفته شود. طراحی اصلی کربروس نیازمند مقداری حافظه است که به علت اینکه در سیستم‎های یونیکس برای سرورهای TC، ذخیره احراز هویت مشکل می‎باشد و کربروس به شدت به پالس‌های زمانی سنکرون‎شده وابسته‎است هرگز پیاده‎سازی نخواهد‎شد ]54[. کربروس برای سیستم‎های امروزی مهم و با ارزش است. دلایل زیر ارزشمندی و اهمیت کربروس را نشان می‌دهد: سهولت و کیفیت یکپارچه‎سازی مقیاس‎پذیری و جهانی بودن بکارگیری سیاست‎ها و قابلیت بررسی و ممیزی عمل کردن در جهان واقعی انتخاب مکانیزم‎های احراز هویت اثربخشی- هزینه در توسعه جهان واقعی گزینه‎های پشتیبانی فراوان از ارائه‎دهندگان مختلف 3-5 احراز هویت ورود تکی به وب با استفاده از زبان نشانه‎گذاری اثبات امنیت سازمان‌ها اخیراً از منابع احراز هویت مرکزی برای برنامه‌های‌کاربردی داخلی و سامانه‌های مبتنی بر وب برای بیشتر قسمت‌های خود استفاده می‌کنند. برای مبارزه با پراکندگی برنامه‎های‏کاربردی و به حداقل رساندن تاثیر بر کاربران نهایی، اکثر سازمان‎ها در حال حرکت به سمت راه حل‎های ورود تکی هستند. احراز هویت منبع تکی، هنگامی که به درستی پیکربندی شده‎باشد، باعث ایجاد یک امنیت قوی می‌شود. این روش همچنین باعث سهولت مدیریت و حسابرسی کاربران می‌شود. اکثر خدمات وبی که توسط ارائه‎دهندگان خدمات خارجی میزبانی می‎شوند، مشکل تعدد کلمات عبور برنامه‌های خارجی و لزوم به‎خاطر سپردن آنها را دارند. همچنین برای ارائه‎دهندگان سرویس خارجی نیز باعث ایجاد مشکلاتی می‌شوند. هر کاربر در یک سازمان نیازمند راه‎اندازی تنظیماتی برای ارائه‎دهندگان سرویس برنامه‎کاربردی است که باعث تکرار مجموعه‌ای از داده‌ها می‌شود. در حالی که اگر سازمان بتواند این داده‌های کاربر را کنترل کند، می‎تواند در زمان ارائه سرویس با عدم نیاز به راه‌اندازی و خاتمه دسترسی کاربر به صورت روزانه صرفه‎جویی کند. علاوه بر این، یک منبع مرکزی می‎تواند باعث دقیق‎تر و به‎روز بودن داده‌ها شود. راه حل این مشکلات، استفاده از یک استاندارد برای احراز هویت اطلاعاتِ مبادله‎شده روی اینترنت است. زبان نشانه‎گذاری اثبات امنیت، یک راه حل مبتنی بر زبان نشانه‎گذاری قابل توسعه و امن برای تبادل اطلاعات امنیتی کاربر بین ارائه‎دهنده هویت و ارائه‎دهنده سرویس فراهم می‌کند که اجازه احراز هویت و مجوز، هنگام ورود تکی را می‌دهد. در مبادله زبان نشانه‎گذاری اثبات امنیت سه نقش درگیر وجود دارد: یک بخش اثبات، یک بخش مسئول و یک مدیر (معمولاً یک کاربر). بخش اثبات (ارائه‎دهنده هویت) یک سیستم قدرتمند است که اطلاعات کاربر را فراهم می‌کند. بخش مسئول (ارائه‎دهنده سرویس) سیستمی است که اطمینان اطلاعات بخش اثبات را انجام می‌دهد و از داده‌ها برای ارائه برنامه‎کاربردی به کاربر استفاده می‌کند. کاربر و شناسه آن که در مبادله دخیل هستند به عنوان موضوع شناخته می‌شوند. مدیر، یک سرویس را از ارائه‌دهنده سرویس درخواست می‌کند. ارائه‌دهنده سرویس یک اثبات هویت از ارائه‌دهنده هویت درخواست می‎کند و آنرا بدست می‎آورد. بر‎اساس این اثبات، ارائه‌دهنده سرویس می‎تواند یک تصمیم کنترل دسترسی ایجاد کند. قبل از تحویل اثبات هویت به ارائه‌دهنده سرویس، ارائه‌دهنده هویت ممکن است برخی اطلاعات (از قبیل نام‌کاربری و رمز عبور) را از مدیر درخواست کند، به عبارت دیگر مدیر را احراز هویت کند. زبان نشانه‎گذاری اثبات امنیت، اثبات‎های بین بخش‎ها را مشخص می‎‌کند. پیام‎ها، هویتی که از ارائه‌دهنده هویت به ارائه‌دهنده سرویس منتقل شده است را اثبات می‎کند. در زبان نشانه‎گذاری اثبات امنیت، یک ارائه‌دهنده هویت ممکن است اثبات‎های زبان نشانه‎گذاری اثبات امنیت را برای ارائه‎دهندگان سرویس متعددی فراهم کند. به‎طور مشابه، یک ارائه‌دهنده سرویس ممکن است اثبات‎ها را برای ارائه‎دهندگان هویت مستقل متعددی تامین و تضمین کند. مبادله از بخش اثبات به بخش مسئول، اثبات زبان نشانه‎گذاری اثبات امنیت نامیده می‌شود. بخش مسئول فرض می‌کند که تمام اطلاعات موجود در اثبات برای بخش اثبات معتبر است. ساختار استاندارد زبان نشانه‎گذاری اثبات امنیت که توسط شمای زبان نشانه‎گذاری توسعه‌پذیر تعریف شده است شامل اطلاعات سرآیند، موضوع و جملاتی در مورد موضوع در فرمی از ویژگی‌ها و شرایط می‌شود. اثبات همچنین می‎تواند حاوی جملات مجوز، تعریف‏کننده‎ی آنچه که کاربر مجاز به انجام آن داخل برنامه‎‎های‎کاربردی وب است، باشد. زبان نشانه‎گذاری اثبات امنیت روش احراز هویت در ارائه‌دهنده هویت را مشخص نمی‌کند. احراز هویت ممکن است از نام‌کاربری و رمز عبور یا شکل‎های دیگری از احراز هویت مانند احراز هویت چند عاملی استفاده کند. اصلی‎ترین کاربرد زبان نشانه‎گذاری اثبات امنیت، ورود تکی مرورگر وب نام دارد. کاربر با بکارگیری یک عامل کاربر (معمولاً یک مرورگر وب) یک منبع وب محافظت‎شده را توسط یک ارائه‎دهنده سرویس زبان نشانه‎گذاری اثبات امنیت درخواست می‌کند. ارائه‎دهنده سرویس، تمایل به دانستن هویت کاربر درخواست‎دهنده دارد. درخواست احراز هویت از طریق عامل کاربر به یک ارائه‎دهنده هویت زبان نشانه‎گذاری اثبات امنیت فرستاده‎می‎شود. جریان پروتکل در دیاگرام جریان شکل 3-5 به تصویر کشیده شده است. 1. درخواست منبع هدف در ارائه‌دهنده سرویس مدیر از طریق یک عامل کاربر (HTTP) یک منبع هدف در ارائه‌دهنده سرویس درخواست می‌کند: http://sp. example. com/myresource ارائه‎دهنده سرویس یک بررسی امنیتی روی سمتی از منبع هدف انجام می‎دهد. اگر یک متن امنیتی معتبر در ارائه‎دهنده سرویس از قبل موجود باشد، به گام 2-7 می‎رود. 2. مسیردهی مجدد به سرویس ورود تکی در ارائه‎دهنده هویت ارائه‌دهنده سرویس، بهترین ارائه‌دهنده هویت کاربر را مشخص می‎کند و عامل کاربر را به سرویس ورود تکی در ارائه‌دهنده هویت مسیردهی مجدد می‎کند: https://idp. example. org/SAML2/SSO/Redirect?SAMLRequest=request شکل 3-5: احراز هویت ورود تکی به وب با زبان نشانه‎گذاری اثبات امنیت ]4[. 3. درخواست سرویس ورود تکی در ارائه‌دهنده هویت عامل کاربر یک درخواست GET برای سرویس ورود تکی به ارائه‌دهنده هویت ارسال می‎کند که مقدار پارامتر SAML Request از رشته پرس‎و‎جوی URL در گام 2 گرفته می‎شود. سرویس ورود تکی، Authn Request را پردازش می‎کند و یک بررسی امنیتی انجام می‎دهد. اگر کاربر یک متن امنیتی معتبر نداشته‎باشد، ارائه‌دهنده هویت کاربر را احراز هویت می‌کند. 4. پاسخ با یک فرم XHTML سرویس ورود تکی، درخواست و پاسخ را با یک متن شامل یک فرم XHTML اعتبارسنجی می‎کند:

< /"input type="hidden" name="SAMLResponse" value="response> . . .

5. درخواست سرویسِ مصرف‎کننده اثبات در ارائه‌دهنده سرویس عامل کاربر یک درخواست POST به سرویس مصرف‎کننده اثبات در ارائه‌دهنده سرویس ارسال می‎کند. مقدار پارامتر SAML Response از فرم XHTML در گام 4 گرفته می‌شود. 6. جهت‌دهی مجدد به منبع هدف سرویسِ مصرف‎کننده اثبات، پاسخ را پردازش می‎کند، یک متن امنیتی در ارائه‎دهنده سرویس ایجاد می‎کند و عامل کاربر را مجدداً به منبع هدف جهت‎دهی می‎کند. 7. درخواست مجدد منبع هدف در ارائه‌دهنده سرویس عامل کاربر منبع هدف را در ارائه‌دهنده سرویس درخواست می‎کند (مجدداً): https://sp.example.com/myresource 8. پاسخ به منبع درخواست‎شده با وجود یک متن امنیتی، ارائه‌دهنده سرویس منبع را به عامل کاربر باز می‎گرداند. پروفایل ورود تکی مرورگر وب ممکن‌است توسط ارائه‎دهنده هویت یا ارائه‎دهنده سرویس آغاز شود. اگر توسط ارائه‎دهنده هویت آغاز شود، اثبات‌ها یا امضا شده یا رمزگذاری شده یا هر دو نوع هستند. در پروفایل ورود تکی مرورگر وب، همه‎ی اطلاعات اثبات یکبار با استفاده از هر یک از اتصالات و پروتکل‌های پروتکل انتقال ابرمتن به ارائه‎دهنده سرویس فرستاده می‌شوند. ارائه‎دهنده سرویس در صورت لزوم آنها را رمز‎گشایی می‌کند و آنرا برای یکپارچگی پیام در برابر امضا بررسی می‌کند. سپس جملات زبان نشانه‎گذاری توسعه‌پذیر، زبان نشانه‎گذاری اثبات امنیت را تجزیه می‌کنند و هر گونه صفاتی که عبور کرده است را جمع‎آوری و پس از آن، ورود تکی را با استفاده از سرویس مصرف‎کننده‎ی اثبات ایجاد می‌کنند. شکل 3-6 نشان می‌دهد که ارائه‎دهنده هویت اثبات زبان نشانه‎گذاری اثبات امنیت را آغاز کرده است. 30924548895ارائه دهنده شناسه6. SP احراز‎هویت و تصدیق برای اثبات SAML را تضمین می کندارائه دهنده سرویسمرورگر2.چالش‌های احراز‎هویت4. پاسخ امضا یا رمزگذاری شده SAML با HTML1.درخواست منبع3. ورود کاربر5. پاسخ SAML POST مرورگر7. منابع وب تولید شده00ارائه دهنده شناسه6. SP احراز‎هویت و تصدیق برای اثبات SAML را تضمین می کندارائه دهنده سرویسمرورگر2.چالش‌های احراز‎هویت4. پاسخ امضا یا رمزگذاری شده SAML با HTML1.درخواست منبع3. ورود کاربر5. پاسخ SAML POST مرورگر7. منابع وب تولید شده شکل 3-6: فلوچارت اثبات زبان نشانه‎گذاری اثبات امنیت آغاز شده توسط ارائه‎دهنده هویت. در صورتی که کاربر بدون عبور از طریق مدیر هویت مجتمع داخلی برای اولین بار به صفحه وب خارجی دسترسی یابد، ارائه‎دهنده سرویس نیازمند فرستادن درخواست زبان نشانه‎گذاری اثبات امنیت به ارائه‎دهنده هویت از طرف کاربر است. این روند ورود تکی نامیده می‌شود و توسط ارائه‎دهنده سرویس آغاز می‌شود. در این مورد، کاربر بدون یک اثبات زبان نشانه‎گذاری اثبات امنیت به یک صفحه وب خاص دسترسی دارد. ارائه‎دهنده سرویس، توسط یک درخواست زبان نشانه‎گذاری اثبات امنیت، کاربر را به صفحه وب مجتمع ارائه‎دهنده هویت باز می‎گرداند. پس از دریافت درخواست از ارائه‎دهنده سرویس، ارائه‎دهنده هویت، درخواست زبان نشانه‎گذاری اثبات امنیت را پردازش می‌کند. شکل 3-7 نشان می‌دهد که ارائه‎دهنده سرویس مورد استفاده را آغاز می‌کند.محبوب‎ترین مورد استفاده کسب‌و‌کار برای زبان نشانه‎گذاری اثبات امنیت، پروفایل ورود تکی مرورگر وب است که در رابطه با اتصال POST پروتکل انتقال ابرمتن و پروتکل درخواست احراز هویت استفاده می‌شود. زبان نشانه‎گذاری اثبات امنیت توانایی مبادله اطلاعات احراز هویت و مجوز امن بین دامنه‎های امنیتی مختلف از جمله سازمان‎های مجزا یا حتی کمپانی‎ها را می‎دهد. در فرایند مبادله زبان نشانه‎گذاری اثبات امنیت، یک اثبات توسط ارائه‎دهنده هویت ساخته می‏شود که مسئولیت پاسخگویی نگهداری از شناسه کاربر را برعهده دارد و کاربر را از طریق ابزارهای گوناگون مانند نام‌کاربری/رمز عبور یا حتی فناوری‏های احراز هویت قوی‎تر مثل بیومتریک احراز هویت می‎کند. 50927076200ارائه دهنده شناسه7. SP احراز‎هویت و تصدیق برای اثبات SAML را تضمین می‎کندارائه دهنده سرویسمرورگر3.چالش‌های احراز‎هویت5. پاسخ امضا یا رمزگذاری شده SAML با HTML2.b. درخواست GET مرورگر برای احراز‎هویت4. ورود کاربر6. پاسخ SAML POST مرورگر2.a. SP با درخواست احراز‎هویت مسیریابی مجدد را انجام می‎دهد1.دسترسی مستقیم کاربر به منابع8. منابع وب تولید شده00ارائه دهنده شناسه7. SP احراز‎هویت و تصدیق برای اثبات SAML را تضمین می‎کندارائه دهنده سرویسمرورگر3.چالش‌های احراز‎هویت5. پاسخ امضا یا رمزگذاری شده SAML با HTML2.b. درخواست GET مرورگر برای احراز‎هویت4. ورود کاربر6. پاسخ SAML POST مرورگر2.a. SP با درخواست احراز‎هویت مسیریابی مجدد را انجام می‎دهد1.دسترسی مستقیم کاربر به منابع8. منابع وب تولید شده شکل 3-7: فلوچارت اثبات زبان نشانه‎گذاری اثبات امنیت آغاز شده توسط ارائه‎دهنده سرویس ]4 و 31[. 3-6 سرویس‌های وب امنیتی یک استاندارد OASIS است که توسط آی‎بی‎ام، مایکروسافت و وری‎ساین بوجود آمده است. سرویس‌های وب امنیتی چارچوبی برای اتصال اطلاعات سرآیند امنیتی به درخواست‎های SOAP سرویس‌های وب است. امنیت پیام SOAP سه جزء دارد: نشانه‎های احراز هویت، امضاهای دیجیتال و محرمانگی. سرویس‏های وب امنیتی یک چارچوب انعطاف‎پذیر برای تبادل انواع مختلف نشانه‎های امنیتی شامل نشانه‎های نام‎کاربری/رمز عبور XML، گواهی‎های x.509 و بلیط‏های کربروس ارائه می‎دهد. نشانه‎های زبان نشانه‎گذاری اثبات امنیت می‎تواند داخل سرآیندهای SOAP جاسازی شوند. سرویس‎های وب رمزگذاری شده‎ی امن، اجازه حفاظت از محرمانگی به‎طور مستقل از انتقال اصول را می‎دهد. 3-7 احراز هویت مجتمع هنگامی که کاربر برای دسترسی در ارائه‎دهنده سرویس تلاش می‎کند، نرم‎افزار احراز هویت مجتمع یک درخواست احراز هویت زبان نشانه‎گذاری اثبات امنیت ایجاد می‎کند و آنرا به ارائه‎دهنده هویت مناسب کاربر تحویل می‎دهد. سپس نرم‎افزار احراز هویت مجتمع، درخواست احراز هویت را دریافت و اعتبارسنجی می‎کند. ارائه‎دهنده هویت، کاربر را احراز هویت و یک اثبات زبان نشانه‎گذاری اثبات امنیت ایجاد می‎کند که شناسه و ویژگی‎های کاربر را نشان می‎دهد. اثبات به صورت دیجیتالی برای تضمین احراز هویت، امضا و رمزگذاری شده و ممکن است شامل داده‎های دیگر مورد نیاز توسط برنامه‎کاربردی مقصد شود. سپس اثبات به‎طور امنی به ارائه‏دهنده سرویس منتقل می‏شود. نرم‎افزار احراز هویت مجتمع در ارائه‏دهنده سرویس، اثبات را دریافت، هویت آنرا بررسی و محتوای آنرا رمزگشایی می‎کند و سپس اطلاعات داخل اثبات (عامل شناسه کاربر) را با برنامه‎کاربردی به اشتراک می‎گذارد. سپس برنامه‎کاربردی از داده‎ها برای ورود کاربر و فعال‎سازی ورود تکی استفاده‎می‎کند. از دیدگاه کاربر، آنها تنها لینک برنامه‎کاربردی را کلیک می‎کنند و کار آغاز می‏شود که به صورت کامل از محل قرارگیری احراز هویت مجتمع در طرف آنها جدا شده است. شکل 3-8 این نرم‎افزار را نشان می‎دهد. شکل 3-8: نرم افزار احراز هویت مجتمع ]17[. 3-8 سرویس‎های وب مجتمع سرویس‎های وب مجتمع، بخشی از سرویس‌های وب امن است که درون مشخصات قرار می‎گیرد و چگونگی استفاده از پروتکل‎های دیگر برای بدست‌آوردن راه حل‏های مدیریت هویت متحد‎شده، شامل موضوعات اداره و اطمینان را نشان می‎دهد. پروفایل‎های زبان نشانه‎گذاری اثبات امنیت و سرویس‎های وب امنیتی، دستورالعمل‎هایی برای پیاده‎سازی هستند که نیازهای کاهش خطر را مشخص می‎کنند. این پروتکل‎ها هنوز از ضعف‎های مربوط به تکنولوژی مانند نشر یا فاش‎سازی مرورگر، کوکی‎ها، سرویس‎های نام دامنه و NTP رنج می‎برند. همچنین هنوز موضوعاتی چون تهدیدهای اجتماعی مانند فیشینگ، وب‎سایت‎های کلاهبردار و ارائه‎دهندگان سرویس کلاهبردار وجود دارد. ارائه‎دهنده هویت، نقطه اصلی حملات جهت تلاش برای جمع‎آوری اعتبارات کاربر است. ارائه‎دهنده هویت می‎تواند با فریب، کاربران را به داخل وارد کند. زبان نشانه‎گذاری اثبات امنیت و سرویس‎های وب امنیتی خطر افشاسازی را کاهش می‎دهد، بنابراین اعتبارات کاربر نیاز به ارسال به ارائه‎دهندگان سرویس شخصی ندارد. زبان نشانه‎گذاری اثبات امنیت و سرویس‎های وب امنیتی برای ایجاد یک محیط ورود تکی، انعطاف‎پذیرند. کارفرما می‎تواند برای احراز هویت کارمندان خود از زبان نشانه‎گذاری اثبات امنیت و سرویس‎های وب امنیتی استفاده کند و اثبات‎ها را به عنوان مثال به یک ارائه‎دهنده مزایای خارجی عبور دهد. این پروتکل‎ها یک لایه پیچیده اضافی برای توسعه‎دهندگان فراهم می‎کند. پیاده‎سازی این پروتکل‎ها نیاز به یک مکانیزم احراز هویت را کم نمی‎کند. با این حال، سازمان‎های بزرگ و پیچیده می‎توانند از این پروتکل‎ها به عنوان اعتباراتی بین سیستم‎های مختلف و سرتاسر نواحی سازمان استفاده‎کنند. توسعه پروتکل‎های مبتنی بر استاندارد برای ورود تکی تمایل به کاهش هزینه‎های توسعه دارد که باعث کاهش خطرات پیاده‎سازی معیوب می‎شود. همچنین هزینه‎های توسعه، پیاده‎سازی و نگهداری آنها را کم می‎کند. کاربران تمایل به کاهش تعداد اکانت‎ها و تعداد مرتبه‎های ورود دارند ]17 و 45[. 3-9 زبان نشانه‎گذاری اثبات امنیت و سرویس‎های وب مجتمع یکی از ارزش‌های زبان نشانه‎گذاری اثبات امنیت، توسعه گزینه‎های موجود از جمله محصولات نرم‎افزاری احراز هویت مجتمع اقتصادی، انتخاب منابع باز و کتابخانه‎های توسعه‎یافته اقتصادی می‎باشد. سرویس‎های وب مجتمع بخشی از سرویس‎های وب یا دنباله‎ای از مشخصات سرویس‎های وب هستند که توسط مایکروسافت یا آی‎بی‎ام ایجاد شده‎اند. دنباله سرویس‎های وب شامل تعدادی از مشخصات برای پیاده‎سازی سرویس‎های وب در یک روش مناسب و امن می‎باشد. سرویس‎های وب مجتمع، دنباله مشخصات برای نشانه‎های امن صادره (مانند اثبات زبان نشانه‎گذاری اثبات امنیت) است که شامل صفت‎های مورد نیاز برای احراز هویت مجتمع و عملکرد قیاس‎پذیر ارائه‎شده برای قابلیت‎های ورود تکی به اینترنت با استفاده از زبان نشانه‎گذاری اثبات امنیت است. زبان نشانه‎گذاری اثبات امنیت مزایای گوناگونی دارد. به دلیل اینکه زبان نشانه‎گذاری اثبات امنیت مجموعه‎ای از واسط‎های استاندارد قابل همکاری را ارائه می‎دهد، به سیستم‎های امنیتی و نرم‎افزارهای برنامه‎کاربردی اجازه توسعه و ارزیابی مستقل را می‎دهد. استاندارد‎سازی واسط‎ها بین سیستم‎ها، امکان یکپارچگی سریع‎تر، ارزان‎تر و قابل اطمینان‎تر را می‎دهد. اکثر پروفایل‎های استفاده از زبان نشانه‎گذاری اثبات امنیت توسعه یافته‏اند که این باعث افزایش استفاده بی‎نهایت از انواع مختلف مدیریت دسترسی می‎شود. تولیدکنندگان نرم‎افزارهای امنیت، از داشتن طرح‎ها و پروتکل‎های استاندارد برای بیان اطلاعات امنیت سود می‎برند. توسعه‎دهندگان برنامه‎های‎کاربردی از تجزیه نرم‎افزار برای زیرساخت‎های امنیت اصلی بهره می‎برند. سرانجام، کاربران پایانی سود می‎برند، چرا که زبان نشانه‎گذاری اثبات امنیت، وروود تکی (توانایی استفاده از منابع اینترنت مختلف بدون ورود مجدد) را بهبود می‎دهد و باعث شخصی‎سازی بیشتر کاربر از طریق تجربه می‏شود که با این وجود می‎تواند باعث حفظ حریم خصوصی دوستانه شود. در زیر برخی مزایای مهم زبان نشانه‎گذاری اثبات امنیت آمده است: پلت‎فرم خنثی: زبان نشانه‎گذاری اثبات امنیت، چارچوب‎های پیوسته امنیتی را از معماری‎های پلت‎فرم و پیاده‎سازی‎های فروشنده خاص تجرید می‎کند و باعث امنیت بیشتر منطق برنامه‏کاربردی که یک اصل مهم از معماری سرویس‏گراست می‏شود. اتصال بی‎قاعده دایرکتوری‎ها: زبان نشانه‎گذاری اثبات امنیت به اطلاعات کاربر برای نگهداری و همگام‎سازی بین دایرکتوری‎ها نیاز ندارد. بهبود فعالیت آنلاین برای کاربران پایانی: زبان نشانه‎گذاری اثبات امنیت امکان ورود تکی با اجازه به کاربران برای احراز هویت در یک ارائه‎دهنده هویت را می‎دهد و سپس به ارائه‎دهندگان سرویس بدون احراز هویت اضافی دسترسی پیدا می‎کند. بعلاوه، احراز هویت مجتمع (ارتباط شناسه‎های چندگانه) با زبان نشانه‎گذاری اثبات امنیت اجازه فعالیت بهتر به کاربر سفارشی‎سازی‎شده در هر سرویس درحال ترویج حریم خصوصی را می‎دهد. کاهش هزینه‎های اجرایی برای ارائه‎دهندگان سرویس: زبان نشانه‎گذاری اثبات امنیت می‎تواند هزینه نگهداری اطلاعات اکانت برای استفاده مجدد یک فعالیت احراز هویت چندباره (مانند ورود با نام‌کاربری و رمز عبور) در سرتاسر سرویس‎های چندگانه را کاهش دهد. این بار سنگین به ارائه‎دهنده هویت منتقل می‏شود. ریسک انتقال: زبان نشانه‎گذاری اثبات امنیت می‎تواند برای محول کردن مسئولیت‎پذیری مدیریت مناسب شناسه‎ها به ارائه‎دهنده هویت عمل کند که اغلب با مدل کسب‎و‎کار آن ارائه‎دهنده سرویس منطبق و سازگار است ]45 و 46[. 3-10 نسخه دوم زبان نشانه‎گذاری اثبات امنیت (SAML2) نسخه دوم زبان نشانه‎گذاری اثبات امنیت (SAML2)، یک استاندارد برای ارتباط اثبات‎ها در مورد اصول، خصوصاً کاربران است. اثبات می‎تواند مفاهیم، که یک موضوع را احراز هویت می‎کند، ویژگی‎ها که با موضوع جمع‎آوری‎شده و یک تصمیم مجوز برای بدست‎آوردن منابع را شامل شود. مزایای اصلی SAML2 به صورت زیر است: ورود تکی با SAML2: زبان نشانه‎گذاری اثبات امنیت یک استاندارد برای ورود تکی در سرتاسر دامنه ارائه می‎دهد. روش‎های دیگری نیز برای ورود تکی سرتاسر دامنه وجود دارد، اما آنها به راه حل‎های مناسب برای عبور از اطلاعات احراز هویت در سرتاسر دامنه‏ها نیاز دارند. SAML2 از ارائه‎دهنده هویت آغاز شده و از ورود تکی موجود در SAML1 پشتیبانی می‎کند. SAML2 همچنین از ارائه‎دهنده هویت آغاز شده با ورود تکی پشتیبانی می‎کند. خروج تکی با SAML2: خروج تکی، کاربران را قادر به خروج صحیح از همه جلسات در یک دورنمای SAML2، حتی سرتاسر دامنه می‎کند. نه تنها انجام این کار منابع سیستم را ذخیره می‎کند بلکه می‎تواند تا زمانی که جلسه تمام شود آنها را به صورت ذخیره باقی نگه‎دارد. خروج تکی همچنین خطرات دزدی از جلسات ناامن را کاهش می‎دهد. 3-11 احراز هویت مجتمع احراز هویت مجتمع ابزارهایی برای اشتراک اطلاعات شناسه بین شرکا ارائه می‎دهد. با وجود اینکه شرکا باید از ارائه‎کنندگان‎هویت مختلف برای کاربران مشابه استفاده‎کنند، برای اشتراک اطلاعات در مورد کاربر، شرکا باید قادر به شناسایی کاربر باشند. استاندارد SAML2، ارائه‎کنندگان‎هویت نام (ID نام) را به عنوان ابزارهایی برای بدست‎آوردن یک ارائه‎کننده‎هویت مشترک تعریف می‎کند. دو جزء اصلی از دورنمای SAML2، ارائه‎دهنده هویت و ارائه‎دهنده سرویس هستند. ارائه‎دهنده سرویس یک نهاد سیستم شامل مجموعه‌ای از برنامه‎های‎کاربردی وب با مدیریت جلسه مشترک، مدیریت شناسه و مدیریت اعتبار است. ارائه‎دهنده هویت یک نهاد سیستم است که اطلاعات شناسه برای اصول را مدیریت و سرویس‎های احراز هویت را برای ارائه‎دهندگان سرویس مطمئن‎شدة دیگر فراهم می‎کند. به عبارت دیگر، ارائه‎دهندگان سرویس، فعالیت‎های احراز هویت کاربر برای ارائه‎دهندگان سرویس را برون‎سپاری می‎کنند. ارائه‎دهنده هویت لیستی از ارائه‎دهندگان را نگه می‎دارد که کاربر در آن وارد شده است و درخواست‎های خروج برای ارائه‎دهندگان سرویس دیگر را عبور می‎دهد ]47[. 3-12 مزایای احراز هویت ورود تکی پس از پیاده‎سازی ورود تکی در برنامه‎های‎کاربردی وب، مزایای احراز هویت ورود تکی در ادامه بیان شده است: کاربران رمز عبورهای قوی‏تری انتخاب می‏کنند، بنابراین از نیاز به رمز عبورهای چندگانه و همگام‎سازی تغییرات اجتناب می‏شود. وقفه و فاصله‏های عدم فعالیت و آستانه‏های تلاش به‎طور یکنواخت و نزدیک‏تر به نقاط ورود کاربر بکار گرفته می‏شود. کارایی/هدر رفتن زمان هنگام فعالیت نکردن همة اکانت‏های شبکه/کامپیوتر برای کاربران پایانی را بهبود می‎دهد. توانایی مدیریت برای مدیریت کاربران و پیکربندی کاربران به همه سیستم‎های مجتمع را بهبود می‎دهد. مخارج کلی اجرا در شروع مجدد رمز عبورهای فراموش‏شده روی پلت‏فرم‏ها و برنامه‎های‎کاربردی چندگانه را کاهش می‎دهد. به سهولت به کاربران مجموعه‎ای از اعتبارات را ارائه می‎دهد که امنیت را بهبود می‎دهد به‎طوری که کاربران به راحتی اعتبارات خود را به یاد می‏آورند و نیازی به نوشتن آنها ندارند. همچنین اجازه کارایی بیشتر به فرایند ورود کاربران را می‎دهد. زمان گرفته‎شده توسط کاربران برای ورود به برنامه‎های‎کاربردی و پلت‎فرم‎های چندگانه را کاهش می‎دهد ]48[. 3-13 مزایای زبان نشانه‎گذاری اثبات امنیت زبان نشانه‌گذاری اثبات امنیت مانند استانداردهای موجود دیگر معایب و مزایایی دارد. در ادامه تعدادی از مزایای زبان نشانه‌گذاری اثبات امنیت بیان و هر یک به طور مختصر توضیح داده شده‎اند: رمز عبورهای کاربر هرگز با فایروال روبرو نمی‏شود، بنابراین احراز هویت کاربر داخل فایروال انجام می‏شود و رمز عبورهای برنامه‎های‎کاربردی وب چندگانه مورد نیاز نیستند. برنامه‎های‎کاربردی وب با هیچ رمز عبوری به صورت مجازی قابل هک کردن نیستند، بنابراین کاربر باید در مقابل اولین IdM کلاس سازمانی احراز هویت شود که می‎تواند مکانیزم‎های احراز هویت قوی‎تری را شامل شود. ارائه‏دهنده سرویس آغاز‎کننده ورود تکی زبان نشانه‎گذاری اثبات امنیت، دسترسی به برنامه‎های‎کاربردی وب را برای کاربران خارج از فایروال فراهم می‎کند. اگر یک کاربر خارجی درخواست دسترسی به یک برنامه‎کاربردی وب را داشته‎باشد، ارائه‏دهنده سرویس می‎تواند به‎طور خودکار کاربر را به یک پرتال احراز هویت مستقر در ارائه‎دهنده هویت مسیر دهی کند. پس از احراز هویت، کاربر برای دسترسی به برنامه‎های‎کاربردی تضمین می‏شود درحالی که ورود و رمز عبور آنها به صورت کاملاً امن در فایروال، قفل‎شده باقی‎می‎ماند ]49[. 3-14 خطاهای رایج در زبان نشانه‎گذاری اثبات امنیت هنگام استفاده از زبان نشانه‌گذاری اثبات امنیت ممکن است با خطاهایی مواجه شویم. برخی از این خطاها در ادامه آمده است: 1- خطاهای مربوط به گواهی و تصدیق. 2- خطاهای مربوط به احراز هویت و ورود. 3- خطاهای مربوط به خروج. 4- خطاهای مربوط به مسیریابی (جهت‎دهی) مجدد. 5- خطاهای مربوط به ارائه و انتقال فریم. 3-15 زبان نشانه‎گذاری اثبات امنیت به عنوان یک استاندارد ابری امن امروزه افراد حرفه‎ای در زمینه امنیت فناوری‎اطلاعات، زمان بیشتر و بیشتری برای انجام کارهای طاقت فرسایی چون مدیریت شناسه‎های کاربر صرف می‎کنند. حتی برای سازمان‎هایی که مکانیزم‎های احراز هویت پیشرفته اتخاذ می‎کنند، مدیریت شناسه هنوز هم یک موضوع پر‌هزینه و وقت‎گیر است. تنظیم رمز عبورها به تنهایی یک مقدار بیهوده از منابع فناوری‎اطلاعات را باز‎می‌گرداند. همان‎طورکه بیشتر برنامه‎های‎کاربردی به سمت فایروال‏ها و SaaS مهاجرت می‎کنند، سرویس‎های وب و برنامه‎های‎کاربردی مبتنی بر ابر همچنان به ترقی ادامه می‎دهند. برای مبارزه با پراکندگی برنامه‎های‎کاربردی و به حداقل رساندن تاثیر بر کاربران نهایی، اکثر سازمان‎ها در حال حرکت به سمت راه حل‎های ورود تکی هستند. با این حال، راه حل‎های ورود تکی قبلی نمی‎تواند بسیاری از برنامه‎های‎کاربردی داخل سازمان را با آنهایی که در سمت فایروال هستند، منطبق کند. پلت‎فرم‎های کنترل دسترسی، ابزارهای احراز هویت دو عاملی و شناسه‎های مجتمع، همگی با بخش‎هایی از مشکل مقابله می‎کنند، اما راه حل یکپارچه‎ای وجود ندارد. برای جلوگیری از راه حل‎های رقابتی برای ایجاد هرج و مرج بیش از حد، بدنه‎های استانداردها به سمت ورود تکی و استانداردهای احراز هویت مجتمع، مانند زبان نشانه‎گذاری اثبات امنیت و OpenID جهت‎دهی شده‎اند. زبان نشانه‎گذاری اثبات امنیت به سرعت ارائه‎ دهندگان مبتنی بر ابر مانند گوگل،Salesforce.com و WebExرا جذب می‎کند و سازمان‎های سنتی مانند آی‎بی‎ام و مایکروسافت حمایت خود را پشت زبان نشانه‎گذاری اثبات امنیت می‎اندازند که این کار باعث حرکت پروتکل‎های ورود تکی به برنامه‎های‎کاربردی SaaS می‎شود. زبان نشانه‎گذاری اثبات امنیت یک چارچوب است که امکان تبادل اطلاعات امنیت و هویت را می‎دهد. این راه حلی نیست که اجازه دسترسی یا اجرای شناسه را بدهد. تفاوت اصلی بین زبان نشانه‎گذاری اثبات امنیت و مکانیزم‎های شناسه دیگر اینست که زبان نشانه‎گذاری اثبات امنیت متکی بر "اثبات‎ها" در مورد هویت‎ها است. فرض بر این است که ارائه‎دهنده هویت سازنده‎ی اثبات است. همچنین ارائه‎دهنده هویت مسئول حفظ شناسه‎های کاربر، احراز هویت کاربران و تعیین‎کننده امتیازات می‎باشد. زبان نشانه‎گذاری اثبات امنیت، سازمان‎ها را قادر به احراز هویت انتزاعی از برنامه‎های‎کاربردی می‎کند. به جای نیاز به مدیریت اطلاعات کاربری‎های متعدد برای انواع برنامه‎های‎کاربردی، زبان نشانه‎گذاری اثبات امنیت اجازه می‎دهد تا سازمان‎ها شناسه‎ها را از منابع داخلی به ارائه‎دهندگان سرویس خارجی گسترش دهند که باعث افزایش امنیت می‎شود. هنگامی که کاربران دارای چندین اعتبار مختلف برای برنامه‎های‎کاربردی مختلف هستند، میزان امنیت بسیار کم است و اگر یک هکر یکی از آنها را نقض کند، به‎طور موثری همه آنها را نقض کرده است که در صورت انتشار اعتبار نیز به همین مشکل وجود دارد. زبان نشانه‎گذاری اثبات امنیت به سازمان‎ها اجازه می‎دهد تا بتوانند مواردی که در ادامه آمده را انجام دهند: اثبات‎های احراز هویت را استانداردسازی کنند، شناسه‎ها را در یک مخزن منحصر به فرد نگه دارند، استفاده از احراز هویت انتزاعی به‎طوری که به یک برنامه خاص وابسته نباشد، گسترش شناسه‎ها از منابع داخلی به خارجی انجام شود، احراز هویت ورود به صورت محلی انجام شود. مشکل زبان نشانه‎گذاری اثبات امنیت این است که افسانه‎های متعددی پیرامون آنچه که هست و آنچه که انجام می‎دهد وجود دارد. موضوع اصلی که آفت زبان نشانه‎گذاری اثبات امنیت است اینست که به عنوان یک راه حل مدیریت هویت کامل درنظر گرفته می‎شود که البته اینگونه نیست. کارهایی را که زبان نشانه‎گذاری اثبات امنیت نجام نمی‎دهد در ادامه توضیح داده شده‌اند: تعیین چگونگی امنیت سرورهای وب ارائه‎دهنده هویت. اطمینان از امنیت فرم‎های وب. استانداردسازی مکانیزم‎های احراز هویت. تعیین این که داده‎ها از کجا استخراج شده و چه شناسه‏ای درخواست‎شده است. مکانیزمی برای گزارش رویدادها وجود ندارد. همان‎طور که در بالا ذکر شد، زبان نشانه‎گذاری اثبات امنیت فرض می‎کند که ارائه‎دهنده هویت باعث ایجاد یک اثبات دقیق می‎شود و اینکه ارائه‎دهنده هویت مسئول حفظ شناسه‎های کاربران، کاربران احراز هویت‎شده و تعیین امتیازات است. در ادامه، هر یک از موارد بالا را به‎طور اجمالی بررسی شده است. زبان نشانه‎گذاری اثبات امنیت چگونگی امنیت سرور وب ارائه‎دهنده هویت را مشخص نمی‎کند. زبان نشانه‎گذاری اثبات امنیت به منظور بررسی کیفیت ارائه‎دهنده هویت هیچ کاری انجام نمی‎دهد. هیچ چیز برای تضمین اینکه ارائه‎دهنده هویت با قوانین صنعت سازگار است و هیچ چیزی برای تعیین چگونگی اشکالات سرور وب ارائه‎دهنده هویت وجود ندارد. به عبارت دیگر، خود ارائه‎دهنده هویت می‎تواند لینک ضعیفی در زنجیره امنیتی کاربر ایجاد کند و زبان نشانه‎گذاری اثبات امنیت هیچ راهی برای شناختن آن ندارد. تفاوت دیگر بین زبان نشانه‎گذاری اثبات امنیت و مکانیزم‎های امنیتی دیگر این است که چگونه شناسه‎ها اجرا شده‎اند. در‎حالی که رویکردهای اجرای شناسه متکی به مقامات گواهی مرکزی برای صدور گواهی‎های تضمین‎کننده ارتباطات ایمن از نقطه A به نقطه B است، زبان نشانه‎گذاری اثبات امنیت در یک روش مبتنی بر وب طراحی شده است. تحت زبان نشانه‎گذاری اثبات امنیت، هر نقطه در داخل شبکه می‎تواند باعث ایجاد یک حالت اثبات شود که شناسه‎ی یک کاربر یا مجموعه‎ای از داده‎ها را شناسایی و بررسی می‎کند. پس از آن، برنامه‎کاربردی به پذیرش یک کاربر یا داده پاسخ می‏دهد که باید تصمیم بگیرد آیا آن اثبات مطمئن است یا نه. همان‎طور که دیده می‎شود، ارتباط ضعیف در زنجیره هویت زبان نشانه‎گذاری اثبات امنیت، یکپارچگی کاربران است. زبان نشانه‎گذاری اثبات امنیت تضمین نمی‎کند که فرم‎های وب امن هستند. مسئله مهم دیگر، صفحه‌ی مربوط به آن کاربرانی است که اعتبار خود را وارد می‎کنند. برای اطمینان از امنیت، نیاز به دانستن چگونگی ساخته‎شدن صفحات وب است. از آنجا که موسسهSANS به این نتیجه رسیده است که اولویت فرم‎های مهم به عنوان یک نقطه ضعف در هنگام هک درنظر گرفته می‎شود، دانستن این موضوع مهم است که آیا فرم‎ها در صفحات احراز هویت برای تست نفوذ دقیق مقاومت می‎کنند یا نه. اگر آنها مقاومت ندارند، موضوع اصلی، اطمینان از احراز هویت قوی در محلی است که می‎تواند توسط یک وب سایت ناقص تضعیف شود. زبان نشانه‎گذاری اثبات امنیت، مکانیزم‎های احراز هویت را استاندارد نمی‎کند، در حالی که این زبان، اثبات‎های هویت را استانداردسازی می‎کند، مثلاً نوع احراز هویتی (نام‌کاربری و رمز عبور، اس‎ام‎اس، تلفن، نشانه‎ها و غیره) که سازمان‎ها یا شرکت‎ها برای یکپارچه‎سازی احراز هویت استفاده می‎کنند، توسط این زبان اثبات نمی‎شود. تعیین این که داده‎ها از کجا استخراج شده و چه شناسه‏ای درخواست‎شده است را مشخص نمی‎کند. رد شدن از سیستم احراز هویت به اثبات زبان نشانه‎گذاری اثبات امنیت، اگر به درستی پیکربندی نشود، درب را به روی هکرها باز می‎کند. علاوه بر این، اگر یک اثبات نامعتبر باشد، ممکن است نتوان آنرا شناسایی کرد که بنابراین زبان نشانه‎گذاری اثبات امنیت هیچ استانداردسازی برای اثبات‎های XML امضا شده ارائه نمی‎دهد. این بدان معنی است که شما هیچ راهی برای بررسی و تایید اینکه گواهی از کجا آمده‌است، جایی که در آن ذخیره شده است، کسی که به آن دسترسی دارد و چگونگی دسترسی به کنترل و ثبت آن وجود ندارد. علاوه بر این، نمی‎توان مطمئن بود که چگونه شناسه ذخیره شده است، از چه پایگاه داده‎ای استخراج شده و امنیت آن پایگاه داده چگونه است. زبان نشانه‎گذاری اثبات امنیت، مکانیزمی برای گزارش رویدادها ارائه نمی‎دهد. آخرین موردی که زبان نشانه‎گذاری اثبات امنیت انجام نمی‎دهد، اما مطلقاً برای امنیت و انطباق قوی لازم است، استانداردسازی و ثبت اجرا است. اگر حوادث در یک روش سازگار ثبت نشود، هیچ راهی برای بررسی انطباق اثبات‎ها با قوانین صنعت وجود ندارد. راه‎های زیادی برای پر کردن شکاف‎ها در سراسر زبان نشانه‎گذاری اثبات امنیت وجود دارد. یک راه برای مقابله با این مشکلات، استفاده از یک پلت‎فرم اجرای شناسه منحصر به فرد است. آنچه پلت‎فرم‎های اجرای شناسه انجام می‎دهند حرکت به داخل و نفوذ درون زبان نشانه‎گذاری اثبات امنیت است. با بکارگیری پلت‎فرم اجرای شناسه‎ی احراز هویت ایمن، یک احراز هویت پویا، دو عاملی داخلی و غیره در یک محیط ابری یک کار ساده است. با یک پلت‎فرم اجرای شناسه منحصر به فرد احراز هویت امن، هنگامی که یک کاربر بر روی برنامه‎کاربردی کلیک می‎کند، برنامه از کاربر برای احراز هویت او و یا خودش سوال می‎پرسد. پلت‎فرم اجرای شناسه منحصر به فرد احراز هویت امن، احراز هویت را بررسی می‎کند و شناسه محلی را به یک اثبات زبان نشانه‎گذاری اثبات امنیت می‌دهد. همه این موارد در پشت صحنه انجام و در یک روش نامرئی دردسترس کاربران نهایی می‎باشد. پلت‎فرم اجرای شناسه احراز هویت امن، اولین پلت‎فرم منحصر به فرد صنعتی برای احراز هویت قوی یکپارچگی، ورود تکی، دسترسی و سرویس‎های مدیریت کاربر برای ابر، وب و برنامه‎های‎کاربردی شبکه اختصاصی مجازی است. این رویکرد منحصر به فرد، تضمین می‎کند که هر سازمان می‎تواند به راحتی به مقررات امنیتی و سازگاری با یک راه حل منحصر پایبند باشد که برای بدست آوردن الزامات امنیتی خاص پیکربندی شده‎اند. ورود تکی رقابتی، احراز هویت و محصولات مدیریت شناسه، تنها یک تابع امنیتی- مانند احراز هویت، ورود تکی، دسترسی و مدیریت کاربر- ارائه می‎دهد و نمی‎تواند از ابر، وب و برنامه‎های‎کاربردی شبکه اختصاصی مجازی در یک پلت‎فرم واحد پشتیبانی کند. علاوه بر این، پلت‎فرم اجرای شناسة احراز هویت امن، تنها نیازمند یک نمونه از احراز هویت کاربر است. از آن زمان به بعد، هر یک از برنامه‎های‎کاربردی پی‎در‎پی متصل به کاربر قادر به احراز هویت کاربر از طریق پلت‎فرم اجرای شناسه در پشت صحنه می‎باشد. با پلت‎فرم اجرای شناسه احراز هویت امن، احراز هویت قابل تنظیم است و هر برنامه‎کاربردی می‎تواند به‎طور مستقل و برای سطوح مناسب با دستور سیاست‎های سازمان پیکربندی شود. پلت‎فرم اجرای شناسه احراز هویت امن، هزینه‎های یکپارچه‎سازی را کاهش می‎دهد، امنیت را برای منابع متعدد (ابر، شبکه‎های اختصاصی مجازی،SaaS ) افزایش، زمان استقرار را سریع و نرخ انطباق را افزایش می‎دهد. نتیجه نهایی این است که سازمان قادر به نفوذ در پلت‎فرم اجرای شناسه احراز هویت امن برای دسترسی به داخل سازمان، ابر، SaaS و ورود تکی وب در یک روش سالم، امن و متمرکز می‎باشد. همچنین سازمان به صورت همزمان، کنترل کاملی بر روی حساس‎ترین اطلاعات ارزشمند یعنی شناسه‎های کاربری افراد دارد. شکل 3-9 این فرایند را نشان می‎دهد ]50[. روش‎های ارائه شده هر یک دارای مزایا و معایبی می‎باشد که بسته به شرایط امکان استفاده یا عدم استفاده از هر یک را فراهم می‎کند. بعضی از روش‎ها مانند روش سنتی و ورود تکی کاهش‎یافته امنیت پایینی دارند. برخی دیگر مانند روش‎های ورود مبتنی بر ثبت نام و پر کردن فرم وقت گیر اند و زمان زیادی را برای ثبت‏نام و ورود کاربر می‏گیرند و برخی دیگر مانند کربوس، ورود تکی مبتنی بر کارت هوشمند یا بیومترک پیچیدگی زیاد و به تجهیزات و امکانات خاصی جهت پیاده‎سازی نیاز دارند، که امکان استفاده از آنها را مشکل می‎سازد. به علاوه اکثر این روش‎ها انعطاف‎پذیری کمی دارند و فقط می‏توان از آنها در شرایط خاصی استفاده کرد. در فصل بعدی روش ورود تکی مبتنی بر زبان شنانه‎گذاری اثبات امنیت ارائه می‎شود که تا حدودی برخی از این مشکلات و محدودیت‎ها را بر طرف می‎سازد. 3-16 نتیجه‎گیری در این فصل ابتدا سیستم‎های ورود تکی و پس از آن هر یک از روش‎های ورود تکی به همراه مراحل کار هر یک مورد بررسی قرار گرفتند. در این فصل همچنین دو روش کربروس و پروتکل زبان نشانه‏گذاری اثبات امنیت به همراه مزایا و معایب هر یک، احراز هویت ورود تکی به وب با استفاده از زبان نشانه‎گذاری اثبات امنیت و فرایند انجام آن، سرویس‎های وب امنیتی، احراز هویت و سرویس‎های‎وب مجتمع، زبان نشانه‎گذاری اثبات امنیت و انواع نسخه‏های زبان نشانه‏گذاری اثبات امنیت بیان شد. در نهایت و پس از بیان نحوه پیاده‏سازی روش‏های ورود تکی، مزایای احراز هویت ورود تکی، زبان نشانه‎گذاری اثبات امنیت و خطاهای رایج آن ارائه‎شد. در جدول 3-1 مقایسه‎ای بین روش‎های ارائه‎شده در این فصل، انجام‎شده است. این مقایسه به‎طور کلی از منظر دو معیار امنیت و احراز هویت انجام‎شده است. در پایان این فصل مبحث امنیت در محاسبات ابری مورد مطالعه قرار گرفت تا با کمک آن بتوان روی روش‎های برقراری امنیت در مدل پیشنهادی این پایان‎نامه کار کرد. با توجه به این مدل‎ها و با استفاده از نتایج به دست‎آمده، در مدل پیشنهادی سعی بر این است که از روش‎هایی که برای ارتباط قسمت‎های مختلف موضوع در این مدل‎ها استفاده شده است، الگو‎برداری شود. در ادامه و در فصل بعد مدل پیشنهادی ارائه می‎گردد. مدل پیشنهادی اصلاح شدة روش زبان نشانه‌گذاری اثبات امنیت است که فرایند احراز هویت را بهبود می‎دهد. مدل پیشنهادی برخی معایب زبان نشانه‎گذاری اثبات امنیت را بهبود و کارایی مدل قبلی را بهبود می‎بخشد. مدل و مراحل انجام روش پیشنهادی در فصل بعد به طور کامل توضیح داده شده است. جدول 3-1: مقایسه تعدادی از روش‎های ورود تکی معیارهای مقایسه مدل هامبتنی بر ابرانعطاف پذیریامنیتورود تکی مبتنی بر کوکیXورود تکی مبتنی بر کربروسXورود تکی مبتنی بر درخواستXورود تکی مبتنی بر کارت هوشمندXورود تکی کاهش یافتهXورود تکی بین چند دامنهورود تکی مبتنی بر جلسهXمدل پیشنهادی برای احراز هویت و ورود تکی X 5309235-1756410 -196215-1861185فصل چهارم روش اصلاح شده پیشنهادی برای ورود تکی با استفاده از زبان نشانه‎گذاری اثبات امنیت 4-1 مقدمه فناوری‎های جدیدی برای ارائه چارچوب‎های استاندارد برای ورود تکی به اینترنت پدید آمده‎اند. این فناوری‎ها هنوز نسبتاً جدید هستند اما فرصت‎هایی برای سادگی فرایند نگهداری اعتبارات در مکان‎های چندگانه و برای عبور اعتبارات بین سازمان‎ها وجود دارد. زبان نشانه‎گذاری اثبات امنیت قدیمی‎ترین پروتکل احراز هویت مجتمع است که بیشترین سازگاری را دارد که قابلیت احراز هویت مجتمع سازمان را اثبات می‎کند. زبان نشانه‎گذاری اثبات امنیت تمایل به نشان‎دادن و تظاهر به یک مدل برای یک زمان طولانی را دارد. زبان نشانه‎گذاری اثبات امنیت به عنوان یک ابزار مهم در ذخیره امنیت سازمان بکار می‎رود. دلیل اصلی که پروژه‎های زبان نشانه‎گذاری اثبات امنیت شکست می‏خورند به این دلیل است که یا هزینه تاخیر آنها زیاد است یا پیاده‎سازی آنها می‎تواند پیچیده باشد و منابع آموزش‎دیده در زبان نشانه‎گذاری اثبات امنیت یک چالش می‎باشند. بسیاری از نگرانی‎ها با یک انجمن یا مجتمع‎سازی ورود تکی، موضوعات مدیریتی، مانند نیاز برای اطمینان برای برنامه های کاربردی که به‎طور مستقیم توسط زبان نشانه‎گذاری اثبات امنیت نظارت نشده‎اند وجود دارد. این موضوعات در چارچوب‎های بزرگ‎تر مانند کتابخانه و سرویس‎های وب مجتمع و شیبوه نظارت می‎شوند. این چارچوب‎ها برای نمایش سه بخش صنعت شامل جنبه کسب‎و‎کار، تکنولوژی و آموزش در نظر گرفته می‎شوند. سیستم‎های ورود تکی اینترنت نگرانی‎های حفظ حریم خصوصی شامل خطرات ردیابی کاربر و ارتباط اکانت یا فاش‎سازی اطلاعات برای ارائه‎دهندگان سرویس را ایجاد می‎کند. نگرانی دیگر، نگرانی‎های عملیاتی از جمله مقیاس‎پذیری، میزان تحمل شکست و تهاجم می‎باشد. هنگام ارزیابی راه حل‎های زبان نشانه‎گذاری اثبات امنیت، باید با در نظر گرفتن همه‎ی موارد مورد مطالعه سازمان، نیاز برای یکپارچه‎سازی با زیرساخت‎های موجود و اتصال به همه‎ی استانداردهای شناسه تضمین شود. امروزه راه حل‎های زبان نشانه‎گذاری اثبات امنیت بالغ و کاملتر شده و پیاده‎سازی ورود تکی به اینترنت مبتنی بر زبان نشانه‎گذاری اثبات امنیت به سرعت انجام می‎گیرند. 4-2 مدل پیشنهادی برای احراز هویت زبان نشانه‎گذاری اثبات امنیت در ورود تکی وب مراحل انجام کار مدل پیشنهادی برای احراز هویت ارائه‎دهنده هویت زبان نشانه‎گذاری اثبات امنیت در جدول 3-1 آمده است. با توجه به این موضوع، در فصل بعد مدلی ارائه خواهد شد که در آن احراز هویت ارائه‎دهنده هویت در نظر گرفته شود و امنیت آن نیز تامین گردد. بدین صورت که درون سرآیند اثبات زبان نشانه‎گذاری اثبات امنیت، کلیدی تعبیه می‎شود که در هنگام فرایند ورود تکی و احراز هویت کاربر بین ارائه‎دهنده هویت و عامل کاربر مبادله شود و فرایند احراز هویت به صورت دو طرفه انجام شود. جدول 4-1: مدل احراز هویت ارائه‌دهنده هویت SAML مراحل انجام کارشرح فعالیتگام 1عامل کاربر منبع هدف را از ارائه‌دهنده سرویس درخواست می‎کند.گام 2ارائه‌دهنده سرویس، بهترین ارائه‌دهنده هویت کاربر را مشخص می‎کند و عامل کاربر را به سرویس ورود تکی در ارائه‌دهنده هویت مسیردهی مجدد می‎کند.گام 3عامل کاربر یک درخواست برای سرویس ورود تکی به ارائه‌دهنده هویت ارسال می‎کند.گام 4فرایند احراز هویت (دو طرفه) عامل کاربر و ارائه‎دهنده هویت انجام‏می‎شودگام 5سرویس ورود تکی، درخواست و پاسخ را با یک متن شامل یک فرم XHTML اعتبارسنجی می‎کند.گام 6عامل کاربر درخواست وپاسخ را به ارائه‌دهنده سرویس ارسال می‎کند.گام 7ارائه‎دهنده سرویس، پاسخ را پردازش می‎کند و در صورت معتبر بودن، اجازه دسترسی را به عامل کاربر می‎دهد و عامل کاربر را مجدداً به منبع هدف جهت‎دهی می‎کند. گام 8عامل کاربر مجدداً منبع هدف را در ارائه‌دهنده سرویس درخواست می‎کند.گام 9در صورت احراز هویت موفق و برقراری ارتباط، ارائه‌دهنده سرویس منبع را به عامل کاربر باز می‎گرداند. برای انجام ورود تکی با استفاده از زبان نشانه‎گذاری اثبات امنیت مدل 4-1 ارائه‎شده است. در این مدل، عامل کاربر از طریق استاندارد زبان نشانه‎گذاری اثبات امنیت، اقدام به ورود تکی به ابر می‎نماید و سرویس‎های مورد نیاز خود را درخواست و پس از احراز هویت و ورود موفقیت‌آمیز به وب، از آنها استفاده‎می‎کند. در این مدل فرض‎می‎شود که ارائه‎دهنده هویت، کلید منحصر به فردی برای ارتباط با هر عامل کاربر که قصد ورود و احراز هویت دارد تولید‎می‎کند. به هر عامل کاربر نیز در هنگام ورود یک کلید تخصیص داده‎می‎شود که هنگام ورود برای احراز هویت دو طرفه بین خود و ارائه‎دهنده هویت مبادله می‎شود. این کلید تا پایان کار و تا هنگام خروج تکی، نزد دو طرف باقی خواهد ماند. همچنین برای امنیت بیشتر فرایند، می‎توان از یک مهر زمان استفاده کرد که در صورت منقضی‎شدن مهر زمان، اجازه ورود به عامل کاربر داده نشود. همچنین برای مقابله با منقضی‎شدن زمان، دو راه حل وجود دارد: راه حل اول استفاده از زمان انقضای طولانی‎تر است و راه حل دوم اینست که اگر عامل کاربر وارد شده‎باشد و زمان انقضا تمام و یا نزدیک به انقضا است، سرویس یک مهر زمان با زمان انقضای جدید صادر کند. 4-3 مراحل انجام مدل پیشنهادی همان‎طور که در روش سنتی احراز هویت زبان نشانه‎گذاری اثبات امنیت مشاهده شد تنها عامل کاربر احراز هویت می‎شود و امنیت ارائه‎دهنده سرویس نیز تامین می‎شود. این فرایند همیشه با فرض امن و مطمئن بودن ارائه‎دهنده هویت، آغاز و مبادله اطلاعات انجام‏می‎شود و این درصورتی است که هیچگونه اطلاعاتی از امنیت ارائه‎دهنده هویت در دست نیست. روش بهبود یافته احراز هویت کاربران توسط زبان نشانه‎گذاری اثبات امنیت در ورود تکی وب به این صورت است که عامل کاربر یک سرویس را از ارائه‌دهنده سرویس درخواست می‌کند. ارائه‌دهنده سرویس، بهترین ارائه‌دهنده هویت کاربر را مشخص می‎کند و عامل کاربر را به سرویس ورود تکی در ارائه‌دهنده هویت مسیردهی مجدد می‎کند. ارائه‌دهنده سرویس یک اثبات هویت از ارائه‌دهنده هویت درخواست می‎کند. در این مرحله احراز هویت دو طرفه بین عامل کاربر و ارائه‎دهنده هویت توسط کلیدهای منحصر به فردی که بین آنها مبادله می‎شود انجام می‎گیرد. بدین صورت که عامل کاربر اطلاعات را با کلید خود امضا می‎کند، اطلاعات در ارائه‎دهنده هویت خوانده می‎شود و عامل کاربر اعتبارسنجی می‎شود، در صورتی که عامل کاربر معتبر بود، پاسخ به عامل کاربر برگشت داده‎می‎شود. همراه با این پاسخ دو کلید منحصر به فرد نیز به عامل کاربر تخصیص داده می‎شود. شکل 4-1: احراز هویت ورود تکی به وب با زبان نشانه‎گذاری اثبات امنیت ]4[. این دو کلید به صورت تصادفی و خودکار توسط یک تولید‌کننده کلید منحصر، ایجاد و ساخته می‎شوند. پس از اینکه کلیدها ایجاد شدند، توسط یکی از الگوریتم‎های رمزگذاری، رمز‎گذاری می‎شوند و سپس در سرآیند اثبات زبان نشانه‎گذاری اثبات امنیت جاسازی می‎شوند. ارائه‏دهنده هویت یک نسخه از این کلیدها را به طور امن به ارائه‎دهنده سرویس که عامل کاربر را به او جهت‎دهی کرده است ارسال می‎کند و همان کلیدها را نیز به عامل کاربر تخصیص می‎دهد. هنگامی که اثبات بین عامل کاربر و ارائه‎دهنده حویت مبادله می‎شود هر یک از طرفین با رمزگشایی اطلاعات توسط کلید خود می‎توانند به پاسخ و کلیدهای جاسازی‎شده دسترسی یابند. عامل کاربر اطلاعات را دریافت و با کلید خود رمزگشایی و این کلیدها را دریافت می‎کند. پس از رمزگشایی، عامل کاربر به درخواست اثبات ارائه‎دهنده سرویس پاسخ ‎می‎دهد. همراه با این پاسخ ارائه‎دهنده سرویس برای اجازه دسترسی عامل کاربر به سرویس‎ها، دو کلید از عامل کاربر درخواست می‎کند. عامل کاربر دو کلیدی که توسط ارائه‎دهنده هویت به وی تخصیص داده شده بود را به ارائه‏دهنده سرویس نشان می‎دهد. در صورتی که این دو کلید با دو کلیدی که بین ارائه‎دهنده هویت و ارائه‎دهنده سرویس مبادله شده است یکسان باشد، عامل کاربر نیز برای ارائه‎دهنده سرویس و ارائه‎دهنده هویت احراز هویت شده است و بر‎اساس این اثبات و پاسخ، ارائه‌دهنده سرویس می‎تواند یک تصمیم کنترل دسترسی ایجاد کند. سپس عامل کاربر مجدداً سرویس مورد نظر را درخواست و اجازه دسترسی به سرویس‎ها به عامل کاربر داده شود و در نهایت با اعتبارسنجی موفق عامل کاربر، ارائه‌دهنده سرویس، منبع یا سرویس مورد نظر را به عامل کاربر باز می‎گرداند. بر اساس این مدل، فرایند احراز هویت به صورت دو طرفه انجام می‎شود و هم عامل کاربر خود را برای ارائه‎دهنده هویت و سرویس و هم ارائه‎دهنده هویت و سرویس خود را برای عامل کاربر احراز هویت می‎کنند. مزیت این مدل نسبت به مدل‎های قبلی این است که احراز هویت دو طرفه است که احتمال احراز هویت اشتباه یا جعلی توسط یک ارائه‎دهنده هویت جعلی را کاهش و امنیت را بالا می‎برد. همچنین مدل احراز هویت ساده و در هر مکانی که امکان دسترسی به اینترنت وجود داشته باشد عامل کاربر بدون نیاز به استفاده از هر برنامه کاربردی خاصی می‏تواند به راحتی به آن دسترسی و از آن استفاده کند. با توجه به شکل 4-1، مراحل شکل 4-2 برای انجام فرایند احراز هویت ورود تکی به وب با استفاده از زبان نشانه‎گذاری اثبات امنیت دنبال می‎شود. گام یک: عامل‎کاربر یک سرویس را از ارائه‌دهنده‎سرویس درخواست می‌کند. در واقع، عامل‎کاربر وارد ابر می‎شود و منبع هدف را از ارائه‌دهنده‎سرویس درخواست می‎کند (به عنوان مثال ورود به صفحه اصلی یک سایت).گام یک: عامل‎کاربر یک سرویس را از ارائه‌دهنده‎سرویس درخواست می‌کند. در واقع، عامل‎کاربر وارد ابر می‎شود و منبع هدف را از ارائه‌دهنده‎سرویس درخواست می‎کند (به عنوان مثال ورود به صفحه اصلی یک سایت).گام دوم: درخواست به ارائه‏دهنده‏سرویس فرستاده‏می‎شود و ارائه‌دهنده‏سرویس، بهترین ارائه‌دهنده‏هویت کاربر را مشخص و عامل‏کاربر را به سرویس ورود‏تکی در ارائه‌دهنده‏هویت مسیردهی مجدد می‎کند.گام دوم: درخواست به ارائه‏دهنده‏سرویس فرستاده‏می‎شود و ارائه‌دهنده‏سرویس، بهترین ارائه‌دهنده‏هویت کاربر را مشخص و عامل‏کاربر را به سرویس ورود‏تکی در ارائه‌دهنده‏هویت مسیردهی مجدد می‎کند.گام سوم: پس از جهت‏دهی مجدد درخواست منبع هدف با عامل‏کاربر، عامل‏کاربر درخواست را برای بدست‏آوردن دسترسی به سرویس ورود‏تکی به ارائه‌دهنده‏هویت ارسال می‎کند.گام سوم: پس از جهت‏دهی مجدد درخواست منبع هدف با عامل‏کاربر، عامل‏کاربر درخواست را برای بدست‏آوردن دسترسی به سرویس ورود‏تکی به ارائه‌دهنده‏هویت ارسال می‎کند.گام چهارم: فرایند احراز‎هویت دو طرفه عامل کاربر و ارائه‎دهنده هویت انجام می‎شود. ارائه‌دهنده‏سرویس یک اثبات هویت از ارائه‌دهنده‎هویت درخواست می‎کند. عامل‏کاربر اطلاعات را با کلید خود امضا می‎کند، اطلاعات در ارائه‎دهنده هویت خوانده‎می‎شود و عامل‏کاربر اعتبارسنجی می‎شود. در صورتی که عامل‏کاربر معتبر بود، پاسخ به عامل‏کاربر برگشت داده‎می‎شود. عامل‏کاربر اطلاعات را با کلید خود رمزگشایی می‎کند. پس از رمزگشایی، در صورتی که احراز هویت ارائه‎دهنده هویت موفقیت‎آمیز باشد، به اثبات هویت درخواست‎شده توسط ارائه‌دهنده‏سرویس پاسخ داده‎می‎شود. گام چهارم: فرایند احراز‎هویت دو طرفه عامل کاربر و ارائه‎دهنده هویت انجام می‎شود. ارائه‌دهنده‏سرویس یک اثبات هویت از ارائه‌دهنده‎هویت درخواست می‎کند. عامل‏کاربر اطلاعات را با کلید خود امضا می‎کند، اطلاعات در ارائه‎دهنده هویت خوانده‎می‎شود و عامل‏کاربر اعتبارسنجی می‎شود. در صورتی که عامل‏کاربر معتبر بود، پاسخ به عامل‏کاربر برگشت داده‎می‎شود. عامل‏کاربر اطلاعات را با کلید خود رمزگشایی می‎کند. پس از رمزگشایی، در صورتی که احراز هویت ارائه‎دهنده هویت موفقیت‎آمیز باشد، به اثبات هویت درخواست‎شده توسط ارائه‌دهنده‏سرویس پاسخ داده‎می‎شود. گام پنجم: سرویس ورود‎تکی، درخواست و پاسخ را با یک متن شامل یک فرم XHTML اعتبارسنجی می‎کند. بر اساس این اثبات، ارائه‌دهنده‎سرویس می‎تواند یک تصمیم کنترل دسترسی ایجاد کند یا حتی قبل از تحویل اثبات هویت به ارائه‌دهنده‎سرویس، ارائه‌دهنده‎هویت ممکن‎است برخی اطلاعات (از قبیل نام کاربری و پسورد) را از عامل‎کاربر درخواست کند، به عبارت دیگر عامل‎کاربر را احراز‎هویت کند.گام پنجم: سرویس ورود‎تکی، درخواست و پاسخ را با یک متن شامل یک فرم XHTML اعتبارسنجی می‎کند. بر اساس این اثبات، ارائه‌دهنده‎سرویس می‎تواند یک تصمیم کنترل دسترسی ایجاد کند یا حتی قبل از تحویل اثبات هویت به ارائه‌دهنده‎سرویس، ارائه‌دهنده‎هویت ممکن‎است برخی اطلاعات (از قبیل نام کاربری و پسورد) را از عامل‎کاربر درخواست کند، به عبارت دیگر عامل‎کاربر را احراز‎هویت کند.گام ششم: عامل کاربر یک درخواست به سرویس مصرف‎کننده اثبات در ارائه‌دهنده‎سرویس ارسال می‎کند. ارائه‌دهنده‎سرویس اثبات را خوانده و اطلاعات آن استخراج می شود. سپس از نتیجه اثبات برای ادامه فرایند استفاده‎می‎شود.گام ششم: عامل کاربر یک درخواست به سرویس مصرف‎کننده اثبات در ارائه‌دهنده‎سرویس ارسال می‎کند. ارائه‌دهنده‎سرویس اثبات را خوانده و اطلاعات آن استخراج می شود. سپس از نتیجه اثبات برای ادامه فرایند استفاده‎می‎شود.گام هفتم: پس از اینکه سرویسِ‎مصرف‎کننده اثبات در ارائه‎دهنده سرویس پاسخ را پردازش کرد، در صورت تایید، یک متن امنیتی در ارائه‎دهنده سرویس ایجاد می‎شود و عامل‎کاربر را مجدداً به منبع هدف جهت‎دهی می‎کند. گام هفتم: پس از اینکه سرویسِ‎مصرف‎کننده اثبات در ارائه‎دهنده سرویس پاسخ را پردازش کرد، در صورت تایید، یک متن امنیتی در ارائه‎دهنده سرویس ایجاد می‎شود و عامل‎کاربر را مجدداً به منبع هدف جهت‎دهی می‎کند. گام هشتم: پس از جهت‎دهی مجدد عامل‎کاربر به منبع هدف توسط ارائه‎دهنده سرویس، عامل‎کاربر مجدداً منبع هدف را در ارائه‌دهنده‎سرویس درخواست می‎کند. گام هشتم: پس از جهت‎دهی مجدد عامل‎کاربر به منبع هدف توسط ارائه‎دهنده سرویس، عامل‎کاربر مجدداً منبع هدف را در ارائه‌دهنده‎سرویس درخواست می‎کند. -71755-3809گام نهم: در صورتی احراز‎هویت با موفقیت انجام شود و ارتباط به درستی برقرار گردد، منیع درخواست‎شده توسط عامل‎کاربر روی ابر قرار می‎گیرد و مناسب‎ترین ارائه‌دهنده‎سرویس منبع را به عامل کاربر باز می‎گرداند.00گام نهم: در صورتی احراز‎هویت با موفقیت انجام شود و ارتباط به درستی برقرار گردد، منیع درخواست‎شده توسط عامل‎کاربر روی ابر قرار می‎گیرد و مناسب‎ترین ارائه‌دهنده‎سرویس منبع را به عامل کاربر باز می‎گرداند. شکل 4-2: مراحل انجام فرایند احراز هویت ورود تکی به وب با استفاده از زبان نشانه‎گذاری اثبات امنیت. در هنگام ورود عامل کاربر به محیط ابر، درخواست به ارائه‎دهنده سرویس ارسال می‎شود. ارائه‎دهنده سرویس درخواست را به بهترین ارائه‎دهنده هویت ارسال می‎کند. سرور احراز هویت، عامل کاربر را احراز هویت می‎کند، همچنین با کلیدی که بین خود و عامل کاربر مبادله می‎کند، خود نیز برای عامل کاربر احراز هویت می‎شود که در صورت موفقیت‌آمیز بودن این فرایند اجازه ورود و تبادل اطلاعات به عامل کاربر داده‎می‎شود. با توجه به همه این موارد گفته شده دو حالت وجود دارد که در ادامه توضیح داده شده‎اند: حالت اول: اگر کلید مبادله‎شده بین عامل کاربر و سرور احراز هویت با یکدیگر منطبق باشند و بتوانند یکدیگر را به درستی احراز هویت کنند، هیچ مشکلی وجود ندارد و ارتباط بین عامل کاربر و سرور احراز هویت برقرار و تبادل اطلاعات انجام‏می‎شود و پس از طی مراحل فرایند سرویس یا سرویس‎های خواسته‎شده توسط عامل کاربر، توسط سرورهای ارائه‎دهنده سرویس به او داده‎می‎شود. همچنین مراحل انجام کار در نمودار توالی شکل 4-3 آورده شده است. حالت دوم: اگر کلید مبادله‎شده بین عامل کاربر و سرور احراز هویت با یکدیگر منطبق نباشد و عامل کاربر یا سرور احراز هویت، هر یک نتوانند دیگری را احراز هویت کند، فرایند برقرار نمی‎شود و اجازه ورود به کاربر داده نمی‎شود و بنابراین سرویس‎های درخواست‎شده به او تعلق نمی‎گیرد. در این حالت سرور ارائه‎دهنده سرویس با توجه به درخواست دریافت شده از عامل کاربر، پیامی را به او باز‎می‎گرداند. شکل 4-3 الگوریتم این فرایند را به تصویر کشیده‌است. شکل 4-3: نمودار توالی مدل پیشنهادی. همان‎طور که مشاهده می‎شود کاربران در خارج از محدوده، از طریق اینترنت به عامل‎کاربر که خود می‎تواند شامل یک یا چند سرور باشد، دسترسی پیدا می‏کنند و عامل‎کاربر با سرورهای ارائه‎دهنده سرویس و احراز هویت ارتباط برقرار می‎کند. در واقع، کاربر به‎طور مستقیم با سرورهای ارائه‎دهنده سرویس و احراز هویت در ارتباط نیست. عامل کاربر دارای آدرس‎های IP از پیش تعریف‎شده است که کاربر در هنگام نیاز به دستیابی به یک سرویس به یکی از عامل‎های‎کاربر دسترسی پیدا می‎کند و با برقراری ارتباط با آن و در صورت احراز هویت موفق عامل‎کاربر برای سرور احراز هویت خاص، ارتباط برقرار می‎شود و سرورهای ارائه‎دهنده سرویس، سرویس درخواست‎شده را به عامل‎کاربر باز می‎گرداند. با توجه به محیط‎های آزمایشگاهی و امکانات و تجهیزات (خصوصاً شبکه) موجود و در دسترس، تنها مدل‎سازی این طرح امکان پذیر است و امکان پیاده‎سازی آن وجود ندارد. کاربران از طریق اینترنت و از نقاط مختلف به عامل‎های‎کاربری که در اطراف ابر قرار دارند دسترسی پیدا می‎کنند. روند کار این‎گونه است که از هر عامل‎کاربری که وجود دارد سه نسخه در دسترس است که در صورت خراب یا هک شدن یکی از آنها، به راحتی می‌توان آنها را به‌روز‌رسانی یا از دیگری استفاده کرد. 4-4 شبیه‏سازی مدل پیشنهادی پیاده‎سازی این مدل نیازمند یک محیط ابر می‎باشد که خود دارای سرورهایی برای احراز هویت، ارائه سرویس و عامل کاربر (مثلاً مرورگر وب) است. برای شبیه‎سازی و نمایش منطق کار از شبیه‎سازی ابری به نام کلود سیم استفاده شده است. کلود سیم یک زیان مبتنی بر جاوا است و نیاز به نصب و اجرای برنامه‎های کاربردی نت بینز2 و JDK می باشد. کلود سیم یک چارپوب شبیه‎سازی گسترده و انعطاف‎پذیر است که مدل‎های یکپاچه را قادر به شبیه‎سازی و آزمایش زیرساخت‎های محاسبات ابری موجود و سرویس‎های مدیریت می‎سازد. چارچوب شبیه‎سازی ویژگی‎های جدیدی ارائه می‎دهد. برخی از این ویژگی‎های جدید در زیر ذکر شده‎اند: پشتیبانی برای مدل‎سازی و تعمیر زیرساخت محاسبات ابری در مقیاس بزرگ، یک پلت فرم خود شمول برای مدل‎سازی مراکز داده، سرویس‎های واسط، زمان‎بندی و سیاست‎های تخصیص منبع، قابلیت ماشین مجازی با هدف ایجاد و مدیریت سرویس‎های مجازی‎شده میزبان، مستقل و چندگانه روی مراکز داده، انعطاف‎پذیری برای تعویض اشتراک زمان و فضا بین تخصیص پردازنده مرکزی برای سرویس‎های مجازی شده. نمای کلی پلت‏فرم کلود سیم در شکل 4-5 آمده است. پس از اجرای نرم افزار ابتدا باید پارامترهای مورد نظر و خواسته‌شده توسط نرم افزار را تنظیم کرد. شکل 4-6 تعدادی از این پارامترها را نشان می‌دهد. همانگونه که در بالا اشاره شد، شبیه ساز کلود سیم از زبان جاوا پشتیبانی می‎کند. نمای اولیه نرم افزار در حال اجرا در شکل 4-7 نشان داده شده است. همچنین توابع و کتابخانه‎های کلود در شکل زیر نشان داده شده است. 4-5 مدل امنیت داده‌ها در محاسابات ابر با توجه به نیاز مدل پیشنهادی و مباحث امنیتی مورد مطالعه قرار‎گرفته، برای بررسی امنیت باید به این نکته اشاره کرد که در محاسبات متمرکز، کنترل کامل بر روی داده‌ها و فرایندها وجود دارد، اما در محاسبات مجازی مشتریان نمی‎دانند که داده‌ها در کجا ذخیره می‎شوند و فرایندها به چه صورت اجرا می‎گردند. در نتیجه در این سیستم‎ها امنیت به عنوان یک نگرانی عمده مورد توجه قرار -52705-318135کاربرکاربرکاربربلهبلهپاسخ با فرم HTMLاعتبارسنجی پاسخ و برقراری ارتباطچهت‎دهی مجدد عامل‎کاربر به منبع هدف در ارائه‎دهنده سرویسدرخواست منبع هدف‎ توسط عامل‎کاربرپاسخ به درخواست عامل‎کاربر و تخصیص منبعدرخواست منبعانتخاب ارائه‎دهنده هویت توسط ارائه‎دهنده سرویس و جهت‎دهی مجدد به سرویس‎های ورود‎تکیدرخواست سرویس ورود‎تکیاحراز هویت دو‎طرفه عامل‏کاربر و ارائه‎دهنده هویتشروع (عامل کاربر)خیرخیرپایان (خروج تکی)عدم برقراری ارتباطعدم برقراری ارتباط00کاربرکاربرکاربربلهبلهپاسخ با فرم HTMLاعتبارسنجی پاسخ و برقراری ارتباطچهت‎دهی مجدد عامل‎کاربر به منبع هدف در ارائه‎دهنده سرویسدرخواست منبع هدف‎ توسط عامل‎کاربرپاسخ به درخواست عامل‎کاربر و تخصیص منبعدرخواست منبعانتخاب ارائه‎دهنده هویت توسط ارائه‎دهنده سرویس و جهت‎دهی مجدد به سرویس‎های ورود‎تکیدرخواست سرویس ورود‎تکیاحراز هویت دو‎طرفه عامل‏کاربر و ارائه‎دهنده هویتشروع (عامل کاربر)خیرخیرپایان (خروج تکی)عدم برقراری ارتباطعدم برقراری ارتباط 400494519558000 7842251400219شکل 4-4: الگوریتم شبیه سازی احراز‎هویت زبان نشانه‎گذاری اثبات امنیت در ورود‎تکی وب.0شکل 4-4: الگوریتم شبیه سازی احراز‎هویت زبان نشانه‎گذاری اثبات امنیت در ورود‎تکی وب. شکل 4-5: یک نمای کلی از پلت‎فرم نرم افزار کلود سیم. شکل 4-6: محل تنظیم پارامترهای شبیه ساز کلود. 220691-24073900 شکل 4-7: نمای اولیه شبیه ساز کلود. می‎گیرد. معماری امنیتی باز چارچوب آزادی فراهم می‎کند که به راحتی در برنامه‌های کاربردی، برای جامعه معماری امنیتی یکپارچه شده است. در [10]، اجزایی از معماری‎های محاسبات ابری همراه با توصیف عناصر وجود دارد که آن را امن می‎سازد. در این مقاله، مدل به یک مدل جدید برای امنیت داده‎ها در محاسبات ابر افزایش یافته است. در مدل ارائه شده، تمام تکنیک‎هایی که برای حفاظت از داده‎ها در تمام سطوح از محیط‎های ابر از دسترسی‎های ناامن مفید هستند به طور خلاصه بیان شده‎اند. روش‎های مختلفی برای حفاظت از انواع مختلف ارائه‎دهندگان سرویس ابر در شکل 4-8 در جزئیات شرح داده شده است. شکل 4-8: مدل امنیت داده در محاسبات ابری ]51[. کاربران نهایی از طریق اینترنت به عنوان یک نقطه ورودی به محیط ابر دسترسی دارند که این ورودی باید امن باشد. ورود قوی برای دسترسی به ابر برای ارائه‎دهنده ابر سودمند است اما به ضرر کاربران است. این مدل باید امنیت روی کاربران نهایی و در ابرهای یکسان را تضمین کند. ابر نیاز به ایمن سازی برای هر کاربر با مقاصد مخرب دارد که ممکن است برای به دست آوردن دسترسی به اطلاعات و یا از کار انداختن یک سرویس تلاش کند. به همین دلیل، ابر باید شامل حفاظت انکار (رد) سرویس2 باشد. استفاده از پهنای باند بیشتر و قدرت محاسباتی بهتر روش خوبی است که ابر از آن استفاده می‌کند. پس از ورود به ابر، باید به انتقال داده بین کاربران و ارائه‏دهنده ابر توجه شود. یک راه حل مناسب، رمزگذاری داده‎ها قبل از ارسال آنها توسط کاربران است. برای ارسال داده‎ها می‎توان از تکنیک‎های انتقال، همچون SSL، TLS2 و IPSec3 استفاده کرد. مسأله دیگری که بین کاربران نهایی و ابر باید امن باشد این است که هیچ یک از آنها نباید در ارتباط تصدیق بین کاربران و ابر شنود شوند. همین مکانیسم‎های ذکر‎شده می‎توانند محرمانه بودن را تضمین کنند. ارائه‎دهندگان ابر مسئولیت اصلی برای حفاظت از داده‌ها، به منظور حفظ یکپارچگی داده‌ها را بر عهده دارند. همچنین در مورد در دسترس بودن داده‌ها هر یک از ارائه‎دهندگان سرویس مسئولیت استفاده از تکنیک‎های خاص برای تامین منابع را بر عهده دارند. مدل ارائه‎شده در این پایان‎نامه می‎تواند در دسته ابرهای عمومی و خصوصی مورد استفاده قرار گیرد. این مدل همچنین از مجموعه مدل‎های SaaS می‎باشد. در نتیجه بررسی امنیت این مدل‎ها از اهمیت ویژه‎ای برخوردار است. در مدل SaaS، کاربر اقدام به خرید اشتراک محصول نرم‎افزاری می‎کند، اما برخی یا تمام داده‌ها و کدها جای دیگری قرار دارند و مشتریان می‎توانند به این خدمات از طریق اینترنت دسترسی داشته‎باشند. در این مدل، برنامه‎های‎کاربردی می‎توانند با یک رابط کاربر به‎طور کامل در شبکه اجرا شوند. درSaaS ، کاربران به شدت باید به ارائه‎دهندگان ابر از لحاظ امنیت تکیه کنند. همچنین ارائه‎دهندگان برای محرمانه بودن، یکپارچگی و در دسترس بودن خدمات خود مسئول هستند و کاربران هیچ مسئولیتی در این موارد ندارند. در مدل ارائه‎شده در این پایان‎نامه نیز این مسئله مطرح است و استاندارد زبان نشانه‎گذاری اثبات امنیت مسئول حفظ امنیت در هنگام برقراری ارتباط می‎باشد که باید محرمانه بودن، یکپارچگی و در دسترس بودن آنرا تضمین کند. برای تضمین این موارد، در مدل پیشنهادی این پایان‎نامه، در فصل‎های بعد راهکارهایی آورده‎شده است که بعد از ارائه مدل بیان گردیده‎اند. برای امنیت داده‌ها سه موضوع محرمانه بودن داده‌ها، تمامیت و درستی داده‌ها و در دسترس بودن داده‌ها در محاسبات ابری مطرح شده و مورد بررسی قرار گرفته‎است. محرمانه بودن برای جلوگیری از افشای اطلاعات به افراد و یا سیستم‎های غیر‌مجاز استفاده می‎شود. تمامیت در واقع اطمینان از اعتبار و کامل‎بودن اطلاعات است. تمامیت داده نه تنها بر درست بودن داده تاکید دارد، بلکه قابل اتکا و اعتماد بودن آنرا نیز شامل می‎شود. همچنین در دسترس بودن به معنای اطمینان از مسئولیت سیستم برای ارائه، ذخیره‎سازی و پردازش اطلاعات زمانی که دسترسی به آنها مورد نیاز است و توسط کسانی که به آنها نیاز دارند، می‎باشد. در مدل SaaS هر سه جنبه گفته‎شده بر عهده ارائه‎دهندگان ابر می‎باشد ]51[. 4-6 نتیجه‎گیری پس از جمع‎بندی و تجزیه و تحلیل این بررسی‎ها مشاهده می‎شود که مدل پیشنهادی تقریباً تمام حالت‎های ورود و مسائل امنیتی آن را پوشش می‎دهد و می‎توان از آن برای ورود تکی با امنیت بیشتر استفاده نمود. این مدل می‎تواند در ورودهای تکی مبتنی بر اینترنت بر‎اساس زبان نشانه‎گذاری مبتنی بر اثبات مورد استفاده قرار گیرد. با استفاده از این مدل می‎توان ورود تکی کاربران را مدیریت کرد، در حالی که افراد درخواست‎کننده سرویس فقط با یکبار احراز هویت و بدون صرف هزینه یا وقت به راحتی وارد شوند و سرویس خود را دریافت نمایند. در فصل بعد مسئله بسیار مهم امنیت مورد بررسی قرار می‎گیرد و چند کاری که در این زمینه در مدل پیشنهادی در نظر گرفته شده بررسی می‎گردد. همچنین در فصل بعد مزایا، معایب و مشکلات احتمالی بررسی، برای حل آنها و کارهای آینده پیشنهاداتی ارائه‎شده است. -296809-1796415فصل پنجم بررسی مدل پیشنهادی و نتیجه‎گیری 5-1 مقدمه با توجه به پیشرفت تکنولوژی و فراگیر‎شدن استفاده از محاسبات ابری، نیاز به انجام کارها با استفاده از این امکانات بیشتر احساس می‎شود. دولت‎ها از این فناوری جدید و نوظهور برای ارائه بهتر و بهینه‎تر خدمات خود استفاده می‎کنند. در این پایان‎نامه، یک سیستم برای بهبود امنیت ورود تکی به اینترنت با استفاده از زبان نشانه‎گذاری اثبات امنیت مبتنی بر ابر پیشنهاد شده است. این مدل یک سیستم کاربر‎پسند با استفاده از تکنولوژی رایانش ابری فراهم می‎کند. این مدل باعث صرفه‎جویی زیادی در هزینه و زمان برای کاربران می‎شود. در این فصل مدل پیشنهادی مورد بررسی قرار‎گرفته و مزایا و مشکلاتی که پیش‎بینی می‎شود وجود داشته باشند، بیان شده است. همچنین سعی شده است برای رفع این مشکلات پیشنهاداتی ارائه شود که بدون شک به کار بیشتری نیاز دارند. 5-2 بررسی مدل پیشنهادی از نظر امنیت بدون شک مهم‎ترین موضوعی که در پردازش ابری مطرح است و توجه همه را به خود جلب کرده است، موضوع امنیت است. امنیت محاسبات ابری یکی از مهم‎ترین موضوعاتی است که در حال حاضر وجود دارد و توانسته است این فناوری جدید را به چالش بکشد و توجه کارشناسان را بیش از پیش به خود جلب کند. همان‎طور که پیش از این نیز بیان شد برای نشان‎دادن امنیت مدل با توجه به ویژگی‎های ابر، سه موضوع محرمانه بودن داده‎ها، تمامیت و درستی داده‎ها و در دسترس بودن داده‎ها است که باید در نظر گرفته شود. محرمانه بودن برای جلوگیری از افشای اطلاعات به افراد و یا سیستم‎های غیر‎مجاز استفاده‎می‎شود. تمامیت در واقع اطمینان از اعتبار و کامل‎بودن اطلاعات است. تمامیت داده‎ها نه تنها بر درست‌بودن داده‎ها تاکید دارد، بلکه قابل اتکا و اعتماد‎بودن آنرا نیز شامل می‎شود. همچنین در دسترس بودن به معنای اطمینان از مسئولیت سیستم برای ارائه، ذخیره‎سازی و پردازش اطلاعات زمانی که دسترسی به آنها مورد نیاز است و توسط کسانی که به آنها نیاز دارند، می‎باشد. در مدل پیشنهادی، استفاده از کلیدهای منحصر به فرد در برقراری ارتباط و همچنین رمز‎گذاری و امضای اطلاعات با کلیدهای منحصر به فرد محرمانه بودن و تمامیت و درستی داده‎ها را تضمین می‎کند. استفاده از کلیدهای منحصر به فرد برای هر کاربری که وارد می‌شود امنیت این مدل را تضمین می‌کند و باعث افزایش آن می‌شود. یک روش برای در دسترس بودن، گرفتن پشتیبان از اطلاعات دریافتی می‎باشد. در این مدل تنها نیاز به دردسترس بودن سرورهای عامل‎کاربر و احراز هویت است. در سیستم‎های ورود تکی از هر سرور کاربر و احراز هویت چندین نسخه وجود دارد که در صورت خرابی یا سرقت و هک یکی از این سرورها، ارتباط‎ها به نسخه‎های موجود این سرورها متصل می‎شود و دسترسی‎ها و امکان ورود کاربران از سرورهای چندگانه موجود دیگری که در ابر وجود دارد انجام می‎گیرد. همچنین عمل به‎روز‎رسانی سرور معیوب به سرعت توسط سرورهای پشتیبان موجود انجام می‎شود. 5-3 بررسی و ارزیابی مدل پیشنهادی در ادامه این فصل مدل پیشنهادی با نظرخواهی از 32 متخصص ارزیابی‎شده و نتایج ارزیابی با استفاده از نمودارها و آزمون‎های آماری مورد تجزیه‏و‏تحلیل قرار‎گرفته‏است. در ادامه ابتدا روش ارزیابی مدل پیشنهادی توضیح داده‏شده است و سپس نتایج حاصل از ارزیابی، مورد تجزیه‏و‏تحلیل قرار‎گرفته‏است. 5-3-1 روش ارزیابی مدل برای ارزیابی مدل پیشنهادی با مشورت چند متخصص و استاد کامپیوتر و انفورماتیک، معیارهایی برای ارزیابی مشخص گردید. با توجه به این معیارها پرسشنامه‎ای طراحی شد و در بین تعدادی از اساتید و دانشجویانی که در زمینه رایانش ابری مطالعاتی داشتند توزیع گردید. پرسشنامه طراحی‎شده از دو بخش تشکیل شده است. قسمت اول پرسشنامه (که پرسشنامه شماره یک نامگذاری شد) شامل 10 سئوال برای سنجش میزان آشنایی افراد با موضوع می‎باشد. در قسمت دوم پرسشنامه (که پرسشنامه شماره دو نامگذاری شد) با توجه به معیارهای مشخص‎شده، سه روش ورود تکی مورد بررسی و مقایسه قرار‎گرفته‎اند. روش اول ورود تکی به صورت سنتی است. ورود تکی سنتی نوعی ورود تکی است که با استفاده از آن، کاربر برای هر بار ورود و دسترسی به قسمت‎های مجاز، نیاز به وارد کردن نام‌کاربری و رمز عبور خود دارد. روش دوم، روش کربروس می‌باشد که در آن هر کاربر برای ورود تکی و استفاده از سرویس‎ها، هر بار باید برای هر سرور (سرور احراز هویت و ارائه‎دهنده سرویس) به صورت دو طرفه احراز هویت شود. روش سوم، ورود تکی با استفاده از زبان نشانه‎گذاری اثبات امنیت و مبتنی بر ابر می‎باشد که در این روش، کاربران با استفاده از زبان نشانه‎گذاری اثبات امنیت اقدام به ورود می‎نمایند و تا زمانی که از محیط خارج نشوند بدون نیاز به وارد کردن مجدد نام‏کاربری و رمز عبور خود، امکان دسترسی به قسمت‎های مختلف و استفاده از امکانات ابر را دارند. همچنین در ابتدای هر پرسشنامه، تحصیلات و شغل افراد پرسیده شده است. نمونه‎ای از پرسشنامه‎ی طراحی‎شده، در پیوست آخر این پایان‎نامه آورده شده است. پس از طراحی پرسشنامه و انتخاب مدل‎هایی که باید مقایسه شوند، پرسشنامه‎ها در اختیار 32 متخصص قرار گرفت. شکل 5 3 تحصیلات و حوزه کاری متخصصین را مشخص می‎کند. هدف از این پرسشنامه مقایسه سه روش ورود تکی گفته شده‌است. برای این منظور، مهمترین معیارها در ورود تکی انتخاب شده‎اند. این معیارها در سئوالاتی در پرسشنامه گنجانده و برای هر یک از این معیارها گزینه‌های بسیار زیاد، زیاد، متوسط، کم و بسیار کم در نظر گرفته شده‌است. متخصصین با توجه به سه روش ورود تکی مطرح شده، میزان برآورده‎شدن هر معیار را تعیین کرده‎اند. در این پرسشنامه برای هر یک از گزینه‎های بسیار زیاد، زیاد، متوسط، کم و بسیار کم به ترتیب وزن‏های 5، 4، 3، 2 و 1 در نظر گرفته شده است. همچنین اگر متخصصین در مورد یک معیار نظر نداشته باشند یا مخالف یک معیار باشند، برای آن معیار وزن صفر در نظر گرفته شده است. با توجه به اینکه تعداد افرادی که پرسشنامه را پر کرده‎اند،30 نفر می‎باشند، حداکثر امتیازی که هر معیار در هر روش می‎تواند بدست‎آورد 150 می‎باشد (همه افراد گزینه بسیار زیاد را برای یک معیار انتخاب کرده‎باشند). همچنین حداقل امتیاز صفر می‎باشد (همه افراد با یک معیار مخالف باشند). در جدول 5-1 معیارهای انتخابی و امتیازات بدست‎آمده برای هر معیار پس از جمع‎آوری پرسشنامه‎ها آورده شده است. در ادامه از این نتایج برای ارزیابی و تجزیه‎و‎تحلیل روش استفاده‎شده است. 1568457937500 شکل 5-1: میزان تحصیلات و حوزه کاری افراد شرکت کننده در ارزیابی مدل پیشنهادی. جدول 5- 1: مقایسه امتیازات دو روش انتخاب شده بر‎اساس معیارهای تعیین‎شده. (از روی پرسشنامه) روش ورود تکیروش سنتیروش کربروسروش دو طرفهردیفویژگی های مورد نظر1آمادگی اجرای هر روش13686922راحتی آموزش و اطلاع رسانی به افراد125761093سهولت یادگیری و قابل فهم بودن132911104میزان تطابق با دانش روز دنیا60891295صرفه جویی در زمان50881316صرفه جویی در هزینه53831307اهمیت به موضوع امنیت55961298قدرت احراز هویت60831279عدم نیاز به بخاطر سپردن نام‎های‎کاربری و رمز عبورهای متعدد529112710سهولت و راحتی در استفاده1187910211امکان مدیریت دسترسی کاربران688612012قابلیت استفاده هر روش در ورود تکی1148310213امکان و سهولت پیاده‌سازی هر روش1267911014میزان کارایی روش از همه لحاظ9291127میانگین امتیازات64/8879/855/117 5-3-2 تعیین پایایی و روایی پرسشنامه در این پایان‎نامه برای ارزیابی مدل پیشنهادی از روش پرسشنامه استفاده‎شده است. برای استفاده از نتایج یک پرسشنامه باید کیفیت پرسشنامه مورد بررسی قرار گیرد. به‌طور کلی می‌توان گفت یک پرسشنامه خوب باید از ویژگی‌های مطلوبی مانند عینیت، سهولت اجرا، عملی‌بودن، سهولت تغییر و تفسیر، روایی و پایایی برخوردار باشد تا به نتایج درستی منجر شود ]52[. در بین این ویژگی‌ها، روایی و پایایی از اهمیت بیشتری برخوردار هستند و در این پایان‎نامه مورد توجه قرار‎گرفته‎اند. برای تعیین پایایی یا قابلیت اعتماد پرسشنامه از روش آلفای کرونباخ و برای تعیین روایی یا اعتبار آن از تحلیل عاملی استفاده‎شده است. 5-3-3 تعیین پایایی پرسشنامه طراحی‎شده برای ارزیابی مدل پیشنهادی در بررسی پایایی، هدف این است که بدانیم ابزار اندازه‎گیری در شرایط یکسان تا چه اندازه نتایج یکسانی به‎دست می‌دهد. به بیان دیگر، اگر ابزار اندازه‏گیری را در یک فاصله زمانی کوتاه چندین بار به یک گروه واحدی از افراد بدهیم، آیا نتایج حاصل نزدیک به هم خواهد بود یا نه؟ برای اندازه‎گیری پایایی غالباً از شاخصی به نام «ضریب پایایی» استفاده‎می‎کنیم. دامنه ضریب پایایی از صفر تا 1+ است. ضریب پایایی صفر معرف عدم پایایی و ضریب پایایی یک معرف پایایی کامل است که پایایی کامل واقعاً به ندرت دیده‏می‏شود. برای محاسبه ضریب پایایی ابزار اندازه‎گیری (پرسشنامه)، شیوه‏های مختلفی به‏کار برده‏می‏شود. در این پایان‏نامه از روش آلفای کرونباخ استفاده‎شده است. ضریب آلفای کرونباخ برای سنجش میزان تک بعدی بودن نگرش‎ها، قضاوت‎ها، عقاید و سایر مقولاتی که اندازه‎گیری آنها آسان نیست به‎کار می‎رود. در واقع می‎خواهیم ببینیم تا چه حد برداشت پاسخگویان از سؤالات یکسان بوده‎است. هر قدر شاخص آلفای کرونباخ به یک نزدیک‎تر باشد، همبستگی درونی بین سؤالات بیشتر و در نتیجه پرسش‎ها همگن‎ترخواهند بود. کرونباخ ضریب پایایی 45 درصد را کم، 75 درصد را متوسط و قابل قبول و ضریب 95 درصد را زیاد پیشنهاد معرفی کرده است. همچنین در بسیاری از منابع، مقادیر به‎دست آمده بالای 7/0 در این آزمون، مطلوب تلقی شده‎اند. بدیهی است درصورت پایین بودن مقدارآلفا، بایستی بررسی شود که با حذف کدام پرسش‎های پرسشنامه مقدارآن را می‎توان افزایش داد ]53[. در این پایان‎نامه برای محاسبه ضریب آلفای کرونباخ از نرم‎افزار SPSS استفاده‎شده است. در جدول 5-2 میزان ضریب آلفای کرونباخ برای پرسشنامه‎ی طراحی‎شده برای ارزیابی مدل پیشنهادی این پایان‎نامه، آورده‎شده است. جدول سمت راست، خلاصه پردازش مورد و تعداد پرسشنامه‎های لحاظ‎شده در ارزیابی را نشان می‎دهد و جدول سمت چپ ضریب آلفا را به ازای معیارهای مورد بررسی نشان می‎دهد. جدول 5-2: محاسبه ضریب آلفای کرونباخ برای پرسشنامه طراحی‎شده. Case Processing SummaryN%CasesValid30100.0Excludeda0.0Total30100.0 Reliability StatisticsCronbach's AlphaN of Items.75314 همان‎طور که در جدول 5-2 مشخص است ضریب آلفای کرونباخ برای پرسشنامه‎ی طراحی‎شده برای ارزیابی مدل پیشنهادی ورود تکی با احراز هویت دو طرفه توسط زبان نشانه‎گذاری اثبات امنیت برابر 753/0 می‎باشد که بیانگر این نکته است که پرسشنامه مورد نظر پایایی قابل قبولی دارد. اطلاعات دیگری که از روش آلفای کرونباخ می‎توان به‎دست آورد در جداول 5-3 و 5-4 آورده‌شده است. جدول 5-3 میانگین و انحراف معیار استاندارد را برای هر یک از معیارهای موجود در پرسشنامه نشان می‎دهد. جدول 5-4 همبستگی بین متغیرها و ضریب آلفای کرونباخ پس از حذف هر سئوال را نشان می‎دهد. در واقع از این جدول هنگامی استفاده می‎شود که ضریب آلفای بدست‎آمده کوچک است و نیاز به حذف سئوال‎هایی است که این مقدار را کاهش داده‎اند. جدول 5-3: میانگین و انحراف معیار استاندارد برای هر یک از معیارهای موجود در پرسشنامه. MeanStd. DeviationNv13.50.50930v23.63.66930v33.67.80230v44.23.67930v54.50.50930v64.33.47930v74.30.59630v84.23.56830v94.23.56830v103.40.67530v114.00.58730v123.73.69130v133.67.80230v144.23.72830 جدول 5-4: همبستگی بین متغیرها و ضریب آلفای کرونباخ پس از حذف هر سئوال. Scale Mean if Item DeletedScale Variance if Item DeletedCorrected Item-Total CorrelationCronbach's Alpha if Item Deletedv152.1716.971.453.733v252.0316.033.494.725v352.0016.207.352.742v451.4316.668.360.739v551.1716.489.576.722v651.3316.713.557.725v751.3717.757.202.754v851.4317.289.321.743v951.4317.220.336.742v1052.2716.340.427.732v1151.6717.747.209.753v1251.9317.444.209.756v1352.0017.379.165.765v1451.4315.013.635.707 5-3-4 تعیین روایی پرسشنامه طراحی‎شده برای ارزیابی مدل پیشنهادی روایی تعیین‎می‎کند که پرسشنامه تهیه‎شده تا چه حد مفهوم خاص مورد نظر را اندازه می‎گیرد. به عبارت دیگر، روایی به ما می‎گوید که آیا پرسشنامه مفهوم واقعی (آنچه مد نظر بوده‎است) را اندازه‎گیری می‎کند یا نه؟ در این پژوهش برای سنجش روایی پرسشنامه از تحلیل عاملی استفاده‎شده است. هدف از تحلیل عاملی خلاصه‎کردن متغیرها در تعدادی عامل است. در واقع تحلیل عاملی، از میان متغیرهای آزمون (سئوالات پرسشنامه)، آنهایی که تاثیر بیشتری بر واریانس دارند را انتخاب‎کرده و طبق همبستگی سایر متغیرها با عامل‎های انتخابی، گروه‎هایی تشکیل می‎دهد. متغیرهایی که در یک گروه قرار می‎گیرند وابستگی مطلوبی با یکدیگر دارند. قبل از انجام تحلیل عاملی، باید نتایج پرسشنامه ارزیابی شوند تا تعیین گردد آیا برای اجرای تحلیل عاملی مناسب هستند یا خیر. برای انجام این کار از ضریب KMO استفاده می‎شود که مقدار آن همواره بین صفر و یک در نوسان است. مقادیر کوچک KMO بیانگر آن است که همبستگی بین زوج متغیرها نمی‎تواند توسط متغیرهای دیگر تبیین شود، بنابراین کاربرد تحلیل عاملی متغیرها ممکن است قابل توجیه نباشد. در صورتی که مقدار KMO کمتر از 5/0 باشد داده‎ها برای تحلیل عاملی مناسب نخواهند بود ]54[. برای اطمینان از مناسب‎بودن داده‎ها برای تحلیل عاملی از آزمون کرویت بارتلت نیز استفاده‎می‎شود. آزمون بارتلت این فرضیه که ماتریس همبستگی‎های مشاهده‎شده متعلق به جامعه‎ای با متغیرهای ناهمبسته است را می‎آزماید. برای آنکه یک مدل عاملی مفید و دارای معنا باشد، لازم است متغیرها همبسته باشند، در غیر اینصورت دلیلی برای تبیین مدل عاملی وجود ندارد. در آزمون بارتلت اگر sing کوچکتر از 5/0 باشد، تحلیل عاملی برای شناسایی ساختار مناسب است ]52[. جدول 5-5 نتایج حاصل از آزمون KMO و بارتلت را برای پرسشنامه طراحی‎شده برای ارزیابی مدل پیشنهادی نشان می‎دهد. جدول 5-5: نتایج حاصل از آزمون KMO و بارتلت Kaiser-Meyer-Olkin Measure of Sampling Adequacy..505Bartlett's Test of SphericityApprox. Chi-Square171.570Df91Sig..000 با توجه به اطلاعات بدست‎آمده در جدول 5-5، مشخص می‎گردد ضریب KMO برابر 505/0 می‏باشد که از مقدار 5/0 بیشتر است. همچنین مقدار sing آزمون بارتلت صفر شده است که از 5/0 کوچک‎تر می‎باشد. در نتیجه استفاده از روش تجزیه عاملی برای پرسشنامه‎ی طراحی‎شده برای ارزیابی مدل پیشنهادی این پایان‎نامه مناسب می‎باشد. 5-3-5 استخراج عامل‎ها همان‎طور که در بخش‎های قبل گفته‎شد هدف تحلیل عاملی خلاصه‎کردن متغیرها در تعدادی عامل است. یکی از روش‎های استخراج عامل‎ها، روش تجزیه مولفه‎های اصلی است. در روش تجزیه مولفه‎های اصلی، عامل‎هایی که بیشترین مقدار واریانس را در بین دیگر عامل‎ها دارند، استخراج می‎شوند. در واقع در این روش یک مقدار ویژه برای عامل‎ها محاسبه می‎گردد. سپس عامل‎هایی که مقدار ویژه آنها بیشتر از یک باشد، به عنوان عامل‎های معنی‎دار در نظر گرفته‎می‎شوند و بقیه عامل‎ها در گروه‎هایی شامل این عامل‎های معنی‎دار قرار می‎گیرند. برای این‎کار از نتایج جدول عاملی که در نرم‎افزار SPSS بدست‎آمده استفاده می‎گردد. در این مرحله دو جدول مورد بررسی قرار می‎گیرد. جدول 5-6 میزان اشتراک متغیرها یا واریانس کل با میزان اشتراک عاملی متغیرها را نشان می‎دهد. Initial گویای تمامی اشتراک‎های قبل از استخراج است، بنابراین تمامی آنها برابر یک هستند. در ضمن همان‏گونه که مشاهده می‏شود همه میزان اشتراک‎ها بعد از استخراج بالاتر از 5/0 هستند که این بیانگر توانایی عامل‎های تعیین‎شده در تبیین واریانس متغیرهای مورد مطالعه است. در نتیجه نیازی به حذف هیچ سئوالی در پرسشنامه مورد نظر نیست. جدول 5-7 مقدار ویژه و واریانس متناظر با عامل‎ها را نشان می‎دهد. در ستون Initial Eigenvalues مقادیر ویژه اولیه برای هر یک از عامل‎ها در قالب مجموع واریانس تبیین‎شده برآورد می‏شود. پایین بودن این مقدار برای یک عامل به این معنی است که آن عامل نقش اندکی در تبیین واریانس متغیرها داشته‎است. در ستون Extraction Sums of Squared Loadings واریانس تبیین‏شده‏ی عامل‎هایی ارائه‎شده است که مقادیر ویژه آنها بزرگتر از عدد یک باشند. ستون Rotation Sums of Squared Loadings مجموعه‎ی مقادیر عامل‎های استخراج‎شده بعد از چرخش را نشان می‎دهد ]55[. همان‎طور که مشخص‎است پنج عامل قابلیت تبیین واریانس‎ها را دارند. شکل 5-4 تغیرات مقادیر ویژه را در ارتباط با عامل‎ها نشان می‎دهد. این نمودار برای تعیین تعداد بهینه مولفه‎ها به‎کار می‎رود. با توجه به این نمودار مشاهده می‎شود که از عامل ششم به بعد تغییرات مقدار ویژه کم می‎شود. پس می‎توان شش عامل را به عنوان عوامل مهم که بیشترین نقش را در تبیین واریانس داده‎ها دارند، استخراج کرد. همچنین رابطه میان هر متغیر با عامل‎های استخراجی در جدول 5-8 آورده شده است. هر متغیر در گروه عاملی قرار می‎گیرد که با آن عامل همبستگی بالای داشته‎باشد. با توجه به تحلیل عاملی پنج عامل شناسایی شد و با توجه به جدول 5-8 اعضای هر گروه مشخص می‎شود. با توجه به این جدول عامل اول در واریانس سئوالات 4، 5 ، 6 و 13 تاثیر بیشتری دارد. به همین ترتیب عامل دوم در واریانس سئوالات 3 ،10 و 14، عامل سوم در واریانس سئوالات 8، 11 و 12، عامل چهارم در واریانس سئوالات 4، 7 و 9 و در نهایت عامل پنجم در واریانس سئوالات 1 و 2 تاثیر بیشتری دارد. این پنج گروه در جدول 5-9 آورده‎شده‎اند. لازم به ذکر است که در تحلیل عاملی می‎توان طبق پیشینه موضوع گروه‎ها را تغییر داد ]52[. به عنوان مثال معیار میزان تطابق با دانش روز دنیا که در گروه چهار قرار گرفته‎است به گروه پنج منتقل می‎شود. در واقع جدول 5-9 نتیجه ماتریس چرخیده‎شده مولفه‎ها و استفاده از پیشینه پژوهش می‎باشد. جدول 5-6: میزان اشتراک متغیرها قبل و بعد از استخراج عامل‎ها. InitialExtractionv11.000.781v21.000.736v31.000.661v41.000.753v51.000.800v61.000.763v71.000.814v81.000.804v91.000.752v101.000.865v111.000.798v121.000.779v131.000.705v141.000.619 جدول 5-7: مقدار ویژه و واریانس متناظر با عامل‎ها. ComponentInitial EigenvaluesExtraction Sums of Squared LoadingsRotation Sums of Squared LoadingsTotal% of VarianceCumulative %Total% of VarianceCumulative %Total% of VarianceCumulative %13.72626.61426.6143.72626.61426.6142.70419.31819.31822.38417.02943.6432.38417.02943.6432.51517.96437.28231.96514.03457.6771.96514.03457.6771.86413.31450.59641.3519.65067.3271.3519.65067.3271.85113.22463.82051.2048.60075.9271.2048.60075.9271.69512.10775.9276.7365.25981.1877.6354.53385.7198.5543.95589.6759.4343.09792.77210.3022.15994.93211.2581.84496.77612.2141.53198.30713.1561.11299.41914.081.581100.000 شکل 5-2: تغیرات مقادیر ویژه در ارتباط با عامل‌ها. جدول 5-8: ماتریس چرخیده‌شده مولفه‌ها. Component12345v1.207.191-.119.044.828v2.066.420.110.036.736v3-.146.732.159.125.249v4.535-.243.069.521.363v5.827.178.259.132-.020v6.847.115.104.043.140v7.111-.101-.070.886.044v8-.015.320.734.395-.084v9-.148.419.275.691-.031v10.126.886-.092-.187.145v11.284.020.842-.090-.027v12.486.401-.545.056-.287v13.676-.153-.275-.231.309v14.354.636.147.154.210 جدول 5-9: تجزیه معیارها به پنج گروه عاملی گروهمعیارهاآمادگی اجرای هر روشآمادگی اجرای هر روش، امکان و سهولت پیاده‌سازی هر روش، صرفه جویی در هزینهسهولت یادگیری و قابل فهم بودنصرفه جویی در زمان، قدرت احراز هویت، امکان مدیریت دسترسی کاربران و قابلیت استفاده هر روش در ورود تکیصرفه جویی در زمانمیزان تطابق با دانش روز دنیاراحتی آموزش و اطلاع رسانی به افرادسهولت یادگیری و قابل فهم بودن، سهولت و راحتی در استفاده و کارایی کلی روشمیزان تطابق با دانش روز دنیاراحتی آموزش و اطلاع رسانی به افراد، اهمیت به موضوع امنیت و عدم نیاز به بخاطر سپردن نام‎های‎کاربری و رمز عبورهای متعدد 5-4-6 ارزیابی مدل پیشنهادی پس از اثبات روایی و پایایی پرسشنامه، مشخص شد که پرسشنامه‎ی طراحی‎شده برای ارزیابی مدل پیشنهادی این پایان‎نامه شرایط لازم را داشته و قادر است مدل پیشنهادی را به‎درستی ارزیابی کند. در این پرسشنامه علاوه بر مدل پیشنهادی، دو روش ورود تکی سنتی و کربروس نیز مورد ارزیابی قرار‎گرفته‏اند تا بتوان نتایج حاصل از این ارزیابی را برای مقایسه سه روش به‎کار برد. در جدول 1-5 امتیازات هر یک از سه روش گفته‎شده آورده شده بود. با توجه به این امتیازات، شکل 5-5 نمودار میله‎ای حاصل از مقایسه سه روش را نشان می‎دهد. همان‎طور که در این شکل مشخص است، مدل پیشنهادی این پژوهش توانسته است بالاترین امتیاز را به‎دست آورد. شکل 5. 3: مقایسه امتیازات سه روش ورود تکی. 5-4-7 آزمون فریدمن برای مقایسه میانگین روش‌ها آزمون فریدمن یک آزمون ناپارامتری، معادل آنالیز واریانس با اندازه‎های تکراری (درون‏گروهی) است که از آن برای مقایسه میانگین رتبه‎ها در بین K متغیر (گروه) استفاده‎می‎شود. در آزمون فریدمن فرض 0H مبتنی بر یکسان بودن میانگین رتبه‎ها در بین گروه‎ها است. رد شدن فرض صفر به این معنی است که در بین گروه‎ها حداقل دو گروه با هم اختلاف معنی دارند (1H). در این پایان‎نامه، این آزمون با توجه به اطلاعات جدول 5-1 که امتیازات معیارهای مختلف در سه روش ورود تکی سنتی، ورود تکی کربروس و ورود تکی با احراز هویت دو طرفه را نشان می‎دهد، انجام‎شده است. در آزمون فریدمن اگر سطح پوشش آماره‎ی آزمون از پنج درصد کمتر باشد، فرض آماری 0H رد شده و فرض آماری 1H نتیجه گرفته می‎شود. نتایج آزمون انجام شده در نرم‎افزار SPSS مورد تجزیه و تحلیل قرار گرفته است و اطلاعات بدست آمده در جدول 5-10 آورده‎شده است. با توجه به جدول 5-10 (جدول سمت چپ) مشاهده می‎گردد که سطح پوشش آماره آزمون برابر 000/0 می‎باشد که از 05/0 کمتر است. در نتیجه فرض 0H رد می‎شود و وجود تفاوت بین روش‏ها نتیجه گرفته‏می‏شود. همچنین جدول سمت راست میانگین رتبه‎ها در سه روش را نشان می‎دهد. جدول 5-10: نتیجه آزمون فریدمن برای امتیازات سه روش ورود تکی در SPSS. Mean RankSonata1.57Kerberos1.43dotarafe3.00 N30Chi-Square46.828df2Asymp. Sig..000 5-4-8 آزمون کلموگروف-اسمیرونوف برای بررسی عادی یا نرمال‎بودن توزیع داده‎های استفاده‎شده، از آزمون کلموگروف- اسمیرونوف استفاده‎می‎شود. هنگام بررسی نرمال‎بودن داده‎ها، فرض صفر نرمال‎بودن توزیع داده‎ها را در سطح خطای 5 درصد تست می‎کند. بنابراین اگر آماره آزمون بزرگتر مساوی 05/0 بدست آید، در این صورت دلیلی برای رد فرض صفر مبتنی بر اینکه داده نرمال است، وجود نخواهد داشت. به عبارت دیگر، توزیع داده‎ها نرمال خواهد بود. برای آزمون نرمال‏بودن فرض‏های آماری به صورت زیر تنظیم می‏شوند: 0H: توزیع داده‎های مربوط به هر یک از متغیرها نرمال است. 1H: توزیع داده‎های مربوط به هر یک از متغیرها نرمال نیست. با توجه به خروجی‎های بدست‎آمده چنانچه در آزمون کلموگروف-اسمیرونوف، Sig. بیشتر از 05/0 باشد می‎توان داده‎ها را با اطمینان بالایی نرمال فرض کرد. در غیر این صورت نمی‏توان گفت که توزیع داده‏ها نرمال است. جدول 5-11 نتیجه انجام آزمون کلموگروف- اسمیرونوف را برای سه روش ورود‏تکی نشان می‏دهد. همان‏طور که در این جدول نشان‎داده‏شده است مقدار آماره توصیفی (Asymp. Sig.) بدست‎آمده از 05/0 بیشتر است و در نتیجه فرض 0H که نشان‎دهنده نرمال‎بودن توزیع داده‎ها می‎باشد، تایید می‎گردد. جدول5-11: نتیجه آزمون کلموگروف- اسمیرونوف برای امتیازات سه روش ورود تکی در SPSS. DtN30Normal Parametersa,bMean55.6667Std. Deviation4.37338Most Extreme DifferencesAbsolute.099Positive.099Negative-.077Kolmogorov-Smirnov Z.543Asymp. Sig. (2-tailed).930 5-4-9 تحلیل واریانس تحلیل واریانس برای مقایسه میانگین دو یا چند گروه استفاده‎می‎شود. برای انجام تحلیل واریانس توزیع داده‎ها که در اینجا همان امتیازات هستند، باید در جامعه نرمال باشند. از نتایج به‏دست‏آمده از آزمون کلموگروف-اسمیرونوف و با توجه به اثبات نرمال‏بودن توزیع داده‎ها در این آزمون، می‎توان نتیجه گرفت که تحلیل واریانس برای این پژوهش نتایج صحیحی تولید‎می‎کند. جدول 5-12 نتایج تحلیل واریانس برای مقایسه میانگین‎های سه روش ورود تکی سنتی، ورود تکی کربروس و ورود تکی با احراز هویت دو طرفه را نشان می‎دهد. این خروجی شامل سه جدول است. در جدول اول، که مهمترین خروجی بدست‎آمده از تحلیل واریانس نیز می‎باشد، مجموع مربعات، میانگین مربعات و درجات آزادی آورده‎شده است. در این جدول با توجه به اینکه مقدار sig کوچک‎تر از 05/0 می‎باشد، می‎توان نتیجه‎گرفت که میانگین روش‎ها با یکدیگر برابر نمی‎باشند (در این جدول اگر مقدار sig کمتر از 05/0 باشد، نشان‎دهنده اختلاف میانگین روش‎ها است). جدول دوم همگنی واریانس را نشان‎می‎دهد. در این جدول اگر sig بزرگ‎تر از 05/0 باشد، واریانس نمونه‎ها همگن است. با توجه به مقدار sig در جدول، نتیجه گرفته می‎شود که واریانس نمونه‎ها ناهمگن است. جدول سوم میانگین هر یک از روش‎های ورود تکی را نشان‎می‎دهد. در این جدول هر روش با یک عدد نشان‎داده‎شده است (ورود تکی سنتی با عدد یک، ورود تکی کربروس با عدد دو و ورود تکی با احراز هویت دو طرفه با عدد سه نشان‎داده‎شده‎اند). جدول 5-12: نتایج تحلیل واریانس برای ارزیابی امتیازات سه روش ورود تکی در .SPSS Sum of SquaresDfMean SquareFSig.Between Groups8617.90524308.9529.199.001Within Groups18269.07139468.438Total26886.97641 Levene Statisticdf1df2Sig.54.588239.000 ModelNMeanStd. DeviationStd. Error95% Confidence Interval for MeanMinimumMaximumLower BoundUpper Bound11488.6434.7099.27668.60108.685013621485.795.6321.50582.5389.047696314117.5012.9963.473110.00125.0092131Total4297.3125.6083.95189.33105.2950136 5-5 مزایای و نتایج بدست‎آمده از مدل پیشنهادی مهمترین مزیت استفاده از این مدل، احراز هویت دو طرفه عامل کاربر و ارائه‌دهنده هویت است که باعث امنیت بیشتر ارتباط و کاهش جعل و فریب کاری می‎شود. به عبارت دیگر با احراز هویت دوطرفه، علاوه بر ارائه‎دهنده هویت، عامل کاربر نیز از هویت ارائه‎دهنده هویت آگاه می‎شود و ارائه‎دهنده هویت نیز خود را به عامل کاربر اثبات می‎کند. در واقع عامل کاربر با ارائه‎دهنده هویت خاص و معتبر مرتبط و فرایند احراز هویت را انجام می‎دهد. با توجه به مشکل پروتکل زبان نشانه گذاری اثبات امنیت که چگونگی امنیت سرور وب ارائه‎دهنده هویت را مشخص نمی‎کند و هیچ کار و تلاشی به منظور بررسی کیفیت ارائه‎دهنده هویت انجام نمی‎دهد و اینکه هیچ چیز برای تضمین سازگاری ارائه‎دهنده هویت با قوانین صنعت و تعیین چگونگی اشکالات سرور وب ارائه‎دهنده هویت وجود ندارد و همچنین اینکه خود ارائه‎دهنده هویت می‎تواند لینک ضعیفی در زنجیره امنیتی شما ایجاد کند و زبان نشانه‎گذاری اثبات امنیت هیچ راهی برای شناختن آن ندارد، مدل پیشنهادی با احراز هویت دو طرفه و با احراز هویت ارائه‎دهنده هویت، امنیت سرور ارائه‎دهنده هویت تضمین می‎شود و از این پس ارائه‎دهنده هویت به عنوان یک لینک قوی در ارتباط و زنجیره امنیت این ارتباط در نظر گرفته می‎شود. همچنین سایر مزایای استفاده از مدل پیشنهادی در جدول 5-13 آورده‎شده‎اند. جدول 5-13: مزایای استفاده از مدل پیشنهادی. ردیفشرح مزیت1باعث جلوگیری از اتلاف وقت کاربران برای احراز هویت‎های مجدد، هنگام ورود می‎شود.2باعث کاهش هزینه کاربران می‎شود.3باعث می‎شود ارائه‎دهنده هویت به عنوان یک لینک قوی در زنجیره امنیتی درنظر گرفته شود (امنیت ارائه‏دهنده‏هویت تضمین می‎شود).4باعث شناسایی سرور ارائه‏دهنده‏هویت خاصی که یک کاربر خاص را احراز هویت می‎کند می‎شود.5با پیکر بندی مناسب سیستم احراز هویت، امکان هک‏شدن را به شدت کاهش می‏دهد.6امکان شناسایی اثبات‎های نامعتبر را فراهم می‎کند.7مرجع صدور شناسه و گواهی (تاییدیه هویت)، محل ذخیره و نگهداری، میزان و نوع دسترسی و امنیت را مشخص می‎کند. 5-6 مشکلات احتمالی و راه حل‎های پیشنهادی با توجه به فراهم نبودن بسترهای پیاده‌سازی این روش در کشورهای جهان سوم و بالا بودن هزینه پیاده‌سازی آن برای سازمان‎ها، در این حالت می‎توان از همان روش سنتی استفاده کرد با این تفاوت که اطلاعات کاربر برای دسترسی ثبت شوند که نیاز به احراز هویت‎های مکرر و مجدد در هنگام ورود و استفاده از منابع مورد نیاز نباشد. مشکل دیگری که وجود دارد اینست که گزارش رویدادها در زبان نشانه‎گذاری اثبات امنیت در جایی ثبت نمی‎شود که این مشکل با بکار‎گیری یک سیستم گزارش‎گیری حل می‎شود. موضوع دیگری که به عنوان یک مشکل اساسی مطرح است، عدم وجود مکانیزم‎های احراز هویت استاندارد است (مثلاً نوع احراز هویتی که سازمان‎ها یا شرکت‎ها استفاده می‎کنند، یکپارچه نیستند)، که با تدوین یک پروتکل جهانی می‎توان یک استانداردسازی و یکپارچه‎سازی سراسری برای استفاده و احراز هویت با استفاده از زبان نشانه‎گذاری اثبات امنیت ایجاد کرد که همه سازمان‎ها، شرکت‎ها و نهادها برای یکپارچه‎سازی از این پروتکل خاص پیروی کنند. موضوع دیگری که وجود دارد مدیریت و دسترسی کاربران است که فرایند بسیار مهمی است. این موضوع می‎تواند با تعاریف خاصی از سطح دسترسی و شرایطی که برای هر کاربر در نظر گرفته می‎شود به طور مناسبی مرتفع می‎گردد. با توجه به این که موضوع امنیت و احراز هویت دو موضوع بسیار مهم و اساسی در دسترسی و استفاده از خدمات وب و رایانش ابری است، همچنان نیازمند بررسی و کارهای بیشتری در این زمینه می‎باشد که می‎تواند به عنوان کارهای آینده مورد توجه قرار گیرد. همچنین با توجه به اینکه زبان نشانه‎گذاری اثبات امنیت، امنیت فرم‎های وب را تضمین نمی‎کند، برای استفاده از رایانش ابری و ورود تکی در صفحات وب و ورود اعتبارات کاربران موضوع امنیت فرم‎ها باید در نظر گرفته شود. این موضوع با نیازمند دانستن چگونگی ساخته‎شدن صفحات وب است چرا که به عنوان یک نقطه ضعف در هنگام هک کردن درنظر گرفته می‎شوند. 5-7 پیشنهادات با توجه به حرکت جهان به سمت محاسبات ابری و پیشرفت‎های جهانی و عمومی و فراگیر آن با مناسب سازی بسترهای اجرا و پیاده سازی این تکنولوژی امکان استفاده بیشتر و بهینه‏تر از این فناوری وجود دارد که جای بحث و تأمل و کارهای فروان است. منابع و مآخذ [1] Prepared by the Cloud Security Alliance Security Guidance for Critical Areas of Focus in Cloud Computing V2.1, United States Copyright Act , December 2009. [2] TaheriMonfared A Securing the IaaS Service Model of Cloud Computing Against Compromised Components, Norwegian University of Science and Technology, June 2011. [3] Kumaz P, Sehgal K, Chauhan S, Gupta K and Diwakar M "Effective Ways of Secure, Private and Trusted Cloud Computing", IJCSI International Journal of Computer Science Issues, Vol 8, Issue 3, No 2, May 2011. [4] LEWIS D and LEWIS E "Web Single Sign-On Authentication using SAML", IJCSI International Journal of Computer Science Issues, Vol 2, 2009. [5] Ragouzis N "Security Assertion Markup Language (SAML) V2.0 Technical Overview", Feb. 2007. [6] Cantor S "Assertions and Protocols for the OASIS Security Assertion Markup Language (SAML) V2.0", OASIS Standard, 15 March 2005. [7] Wang J, Zhao Y, Jiang S and Le J "Providing privacy preserving in Cloud computing", International Conference on Test and Measurement, pp 213-216, 2009. [8] Saltzer H Protection and the control of information sharing in multics, ACM, 17(7):388–402, 1974. [9] Stanoevska‐Slabeva k and Wozniak K, principal cloud, [10] Chen Y, Paxson V and Katz K "What’s New About Cloud Computing Security", Electrical Engineering and Computer Sciences University of California at Berkeley, Technical Report No. UCB/EECS-2010-5, January 20, 2010. [11] http://www.iranianlearn.com/article6119.html. [12] http://xen.org/products/xenhyp.html. [13] Karger P "Securing virtual machine monitors—what is needed", Keynote address, ASIACSS 2009. [14] Feinleib H A Technical History of National CSS, Computer History Museum, April 2005. [15] "Cloud Computing Security Considerations", Department of Intelligence and Security of Australian Government, April 2011. [16] Delgado V Exploring the limits of cloud computing, Master of Science Thesis Stockholm, Sweden, 2010. [17] Miller M "Using WS-Security and SAML for Internet Single Sign On", 20th Computer Science Seminar, SA3-T4-1, 2005. [18] ‎Jøsang A Security Usability Principles for Vulnerability Analysis and Risk Assessment, Annual ‎Computer Security Applications Conference, 2007 (ACSAC'07)‎. [19] "Cloud Cube Model: Selecting Cloud Formations for Secure Collaboration", Jerichio Forum tm, Version 1.0, April 2009. [20] Provos N Safe Browsing (Google Online Security Blog), June 2012.‎ [21] Jansen W and Grance T Guidelines on Security and Privacy in Public Cloud Computing, Information Technology Laboratory, National Institute of Standards and Technology, Gaithersburg, MD 20899-8930, December 2011. [22] http://www.schneier.com/blog/archives/2010/06/data_at_rest_vs.html. [23] Winkler R Cloud Computer Security Techniques and Tactics, in the United States of America, 2011. [24] "Security Assertion Markup Language (SAML) 2.0", OASIS Standard, July 2005. [25] Kemp J "Authentication Context for the OASIS Security Assertion Markup Language (SAML) V2.0." OASIS SSTC, January 2005. [26] "Assertions and Protocols for the OASIS Security Assertion Markup Language (SAML) V2.0", OASIS Standard, March 2005. [27] Box D "Simple Object Access Protocol (SOAP) 1.1.", World Wide Web Consortium Note, May 2000. [28] Meyer C, Feldmann F and Schwenkpaper J "Sometimes it's better to be STUCK", Horst Gortz Institute for IT-Security, Ruhr-University Bochum, 2011. [29] Cantor S "Bindings for the OASIS Security Assertion Markup Language (SAML)V2.0." OASIS SSTC, March 2005. [30] Aarts R "Liberty Reverse HTTP Binding for SOAP Specification Version 1.0.", Liberty Alliance Project, 2003. [31] "Introduction to Security Assertion Markup Language (SAML) and SAML Support in IBM WebSphere Application Server Version 7.0 Fix Pack 7", IBM WebSphere Web Services Security Development, Software Group, November, 2009. [32] Monzillo R "OASIS Web Services Security: SAML2.0 Token Profile 1.0". [33] Morgan M "Interactions between Shibboleth and local-site web sign-on services", April 2001. [34] "Leveraging SAML for Federated Single Sign-on", PistolStar, Inc. dba PortalGuard, PO Box 1226 Amherst, NH 03031 USA, 2012. [35] http://www.pistolstar.com/SSO.html. [36] Somorovsky J, Mayer A, Schwenk J, Kampmann M and Jensen M, "On Breaking SAML: Be Whoever You Want to Be", Sec2 project of the German Federal Ministry of Education and Research (BMBF, FKZ: 01BY1030), 2012. [37] http://en.wikipedia.org/wiki/Claims-based_identity. [38] Shadfar S "Smart Card-Based Identity and Access Management", Schlumberger Information Solutions, 2004. [39] F L Podio and Dunn J "Biometric Authentication Technology:From the Movies to Your Desktop", 2002. [40] http://en.wikipedia.org/wiki/NT_LAN_Manager. [41] http://docs.oracle.com/cd/E19575-01/820-3746/6nf8qcveh/index.html. [42] "Kerberos White Paper", Hewlett-Packard Development Company, L.P, Trademark of Intel Corporation in the U.S, 2005. [43] Schneier B "Sharing a Secret: How Kerberos Works", Cryptography: Protocols, Algorithms and Source Code in C, 1995. [44] the MIT Kerberos Consortium, "Why is Kerberos a credible security solution?", the United States Government, 2008. [45] http://howto.caspio.com/getting-started/password-protection/password-protection-1-of-3-lookup-and-authentication-tables. [46] Ping Identity, SAML101 (White Paper), Ping Identity Corporation, 2012. [47] http://saml.xml.org/advantages-saml [48] http://en.wikipedia.org/wiki/SAML_2.0. [49] http://www.gluu.org/blog/tag/saml. [50]"SAML Alone Is Not Secure", SECUREAUTH (Whitepaper), 8965 Research Drive, Suite 200, Irvine, CA 92618, 2011. [51] Ajoudanian Sh and Ahmadi M R “A Novel Data Security Model for Cloud Computing”, IACSIT, April, 2012. ]52[ شفیعی ثابت ا ر "ارائه یک مدل بهبود یافته برای ساخت ایمن برنامه کاربردی وب"، دانشکده مهندسی کامپیوتر و فناوری اطلاعات، موسسه آموزش عالی صنعتی فولاد فولادشهر، پاییز 92. [53] http://hr-vojdani.blogfa.com/post/261, accessed January 1, 2214. ]54[ فرشادفر ع اصول و روش‎های آماری چند متغیره، انتشارات طاق بستان، دانشگاه رازی، کرمانشاه، 1380. ]55[ زارع چاهوکی م ع روش‎های تحلیل چند متغیره در نرم افزار SPSS ، دانشگاه تهران، پاییز 1389. پیوست‌ها پیوست: پرسشنامه طراحی شده برای ارزیابی مدل پیشنهادی پرسشنامه شماره یک موضوع پایان‎نامه: بهبود امنیت ورود‌تکی با استفاده از زبان نشانه‎گذاری اثبات امنیت نام و نام‎خانوادگی: عنوان شغل: محل خدمت: رشته تحصیلی: تحصیلات: توضیحات پیرامون پژوهش مفهوم محاسبات ابری: تعریف موسسه ملی استاندارد و فناوری ایالات متحده از محاسبات ابری: "محاسبات ابری یک مدل برای دسترسی مناسب شبکه بر اساس تقاضا، به یک انبار مشترک از منابع محاسباتی قابل پیکربندی (به عنوان مثال، شبکه‏ها، سرورها، فضای ذخیره‏سازی، برنامه‏های‏کاربردی و خدمات) است که می‎تواند به سرعت و با حداقل تلاش مدیریت و با تعامل ارائه‎دهنده‏سرویس، تولید و منتشر شود". محاسبات ابری در حقیقت به معنای تبدیل پردازش و منابع پردازشی از یک محصول به یک سرویس است. در این مدل منابع بر روی یک سرور اصلی تحت شبکه قرار می‎گیرند و سیستم‎ها و سایر تجهیزات تنها نیاز به اتصال به شبکه دارند و از ابزار فراهم‎شده بر روی شبکه استفاده‎کنند. در مدل محاسبات ابری، بسیاری از موارد مانند پردازش، نرم‎افزارها، دسترسی به داده و فضای ذخیره‎سازی بر روی ارائه‎دهنده ابر قرار دارند و کاربران ابری نیازی به دانستن مکان دقیق ذخیره‎سازی اطلاعات و نحوه کار سیستم ندارند و حتی سیستم مورد استفاده آنها در این مدل نیازی به داشتن فضای وسیع جهت ذخیره‎سازی اطلاعات ابری نخواهند داشت. زبان نشانه‎گذاری اثبات امنیت زبان نشانه‎گذاری اثبات امنیت یک استاندارد مبتنی بر زبان نشانه‌گذاری توسعه‌پذیر برای ورود‌تکی مرورگر وب است و توسط کمیته فنی سرویس‌های امنیت سازمان گسترش استانداردهای اطلاعات ساختاریافته برای تبادل اطلاعات ایمن بین بخش‌های مختلف تعریف شده است. زبان نشانه‎گذاری اثبات امنیت پیچیده است و تنها شرکت‌های بزرگ می‌توانند هزینه سنگین استفاده و پیاده‎سازی زبان نشانه‎گذاری اثبات امنیت را توجیه کنند. مدل پیشنهادی برای ورود‌تکی مدلی پیشنهادی برای ورود‌تکی با استفاده از زبان نشانه‎گذاری اثبات امنیت به این صورت عمل می‎کند که عامل کاربر از طریق استاندارد زبان نشانه‎گذاری اثبات امنیت اقدام به ورود‌تکی به ابر می‎نماید و سرویس‎های مورد نیاز خود را درخواست و پس از احراز هویت و ورود موفقیت‌آمیز به وب، از آنها استفاده می‎کند. در این مدل فرض می‎شود که ارائه‎دهنده هویت، کلید منحصر به فردی برای ارتباط با هر عامل کاربر که قصد ورود و احراز هویت دارد تولید می‎کند. به هر عامل کاربر نیز در هنگام ورود یک کلید تخصیص داده می‎شود که هنگام ورود برای احراز هویت دو طرفه بین خود و ارائه‎دهنده هویت مبادله می‎شود. این کلید تا پایان کار و تا هنگام خروج تکی، نزد دو طرف باقی خواهد ماند. همچنین برای امنیت بیشتر فرایند می‎توان از یک مهر زمان استفاده کرد که در صورت منقضی شدن مهر زمان، اجازه ورود به عامل کاربر داده نشود. همچنین برای مقابله با منقضی شدن زمان، دو راه حل وجود دارد: راه حل اول استفاده از زمان انقضای طولانی‎تر است و راه حل دوم اینست که اگر عامل کاربر وارد شده‎باشد و زمان انقضا تمام و یا نزدیک به انقضا است، سرویس یک مهر زمان با زمان انقضای جدید صادر کند. مراحل انجام کار به صورت زیر است: گام یک: عامل‎کاربر یک سرویس را از ارائه‌دهنده سرویس درخواست می‌کند. در واقع، عامل‎کاربر وارد ابر می‎شود و منبع هدف را از ارائه‌دهنده سرویس درخواست می‎کند (به عنوان مثال ورود به صفحه اصلی یک سایت). گام دوم: درخواست به ارائه‏دهنده‏سرویس فرستاده‏می‎شود و ارائه‌دهنده‏سرویس، بهترین ارائه‌دهنده‏هویت کاربر را مشخص و عامل‏کاربر را به سرویس ورود‏تکی در ارائه‌دهنده‏هویت مسیردهی مجدد می‎کند. گام سوم: پس از جهت‏دهی مجدد درخواست منبع هدف با عامل‏کاربر، عامل‏کاربر درخواست را برای بدست‏آوردن دسترسی به سرویس ورود‏تکی به ارائه‌دهنده‏هویت ارسال می‎کند. گام چهارم: فرایند احراز هویت دو طرفه عامل کاربر و ارائه‎دهنده هویت انجام می‎شود. ارائه‌دهنده‏سرویس یک اثبات هویت از ارائه‌دهنده هویت درخواست می‎کند. عامل‏کاربر اطلاعات را با کلید خود امضا می‎کند، اطلاعات در ارائه‎دهنده هویت خوانده‎می‎شود و عامل‏کاربر اعتبارسنجی می‎شود. در صورتی که عامل‏کاربر معتبر بود، پاسخ به عامل‏کاربر برگشت داده‎می‎شود. عامل‏کاربر اطلاعات را با کلید خود رمزگشایی می‎کند. پس از رمزگشایی، در صورتی که احراز هویت ارائه‎دهنده هویت موفقیت‎آمیز باشد، به اثبات هویت درخواست‎شده توسط ارائه‌دهنده‏سرویس پاسخ داده‎می‎شود. گام پنجم: سرویس ورود‌تکی، درخواست و پاسخ را با یک متن شامل یک فرم XHTML اعتبارسنجی می‎کند. بر اساس این اثبات، ارائه‌دهنده سرویس می‎تواند یک تصمیم کنترل دسترسی ایجاد کند یا حتی قبل از تحویل اثبات هویت به ارائه‌دهنده سرویس، ارائه‌دهنده هویت ممکن است برخی اطلاعات (از قبیل نام‌کاربر ی و رمز عبور) را از عامل‎کاربر درخواست کند، به عبارت دیگر عامل‎کاربر را احراز هویت کند. گام ششم: عامل کاربر یک درخواست به سرویس مصرف‎کننده اثبات در ارائه‌دهنده سرویس ارسال می‎کند. ارائه‌دهنده سرویس اثبات را خوانده و اطلاعات آن استخراج می‌شود. سپس از نتیجه اثبات برای ادامه فرایند استفاده‎می‎شود. گام هفتم: پس از اینکه سرویسِ‎مصرف‎کننده اثبات در ارائه‎دهنده سرویس پاسخ را پردازش کرد، در صورت تایید، یک متن امنیتی در ارائه‎دهنده سرویس ایجاد می‎شود و عامل‎کاربر را مجدداً به منبع هدف جهت‎دهی می‎کند. گام هشتم: پس از جهت‎دهی مجدد عامل‎کاربر به منبع هدف توسط ارائه‎دهنده سرویس، عامل‎کاربر مجدداً منبع هدف را در ارائه‌دهنده سرویس درخواست می‎کند. گام نهم: در صورتی احراز هویت با موفقیت انجام شود و ارتباط به درستی برقرار گردد، منیع درخواست‎شده توسط عامل‎کاربر روی ابر قرار می‎گیرد و مناسب‎ترین ارائه‌دهنده سرویس منبع را به عامل کاربر باز می‎گرداند. بررسی مدل پیشنهادی از نظر امنیت بدون شک مهم‎ترین موضوعی که در محاسبات ابری مطرح است و توجه همه را به خود جلب کرده است، موضوع امنیت است. امنیت محاسبات ابری یکی از مهم‎ترین موضوعاتی است که در حال حاضر وجود دارد و توانسته‎است این فناوری جدید را به چالش بکشد و توجه کارشناسان را بیش از پیش به خود جلب کند. برای نشان دادن امنیت مدل با توجه به ویژگی‎های ابر، سه موضوع محرمانه بودن داده‎ها، تمامیت و درستی داده‎ها و در دسترس بودن داده‎ها است که باید در نظر گرفته شود. در مدل پیشنهادی، استفاده از کلیدهای منحصر به فرد در برقراری ارتباط و همچنین رمز‎گذاری و امضای اطلاعات با کلیدهای منحصر به فرد محرمانه بودن و تمامیت و درستی داده‎ها را تضمین می‎کند. استفاده از کلیدهای منحصر به فرد برای هر کاربری که وارد می‌شود امنیت این مدل را تضمین می‌کند و باعث افزایش آن می‌شود. گرفتن پشتیبان از اطلاعات دریافتی، در دسترس بودن را تضمین می‎کند. در این مدل تنها نیاز به دردسترس بودن سرورهای عامل کاربر و احراز هویت است. در سیستم‎های ورود‌تکی از هر سرور کاربر و احراز هویت جندین نسخه وجود دارد که در صورت خرابی یا سرقت و هک یکی از این سرورها، ارتباط‎ها به نسخه‌های موجود این سرورها متصل می‎شود و دسترسی ها و امکان ورود کاربران از سرورهای چندگانه موجود دیگری که در ابر وجود دارد انجام می‎گیرد. همچنین عمل به‎روز‎رسانی سرور معیوب به سرعت توسط سرورهای پشتیبان موجود انجام می‎شود. 1- تا چه حد با محاسبات ابری (Cloud Computing) آشنایی دارید؟ زیادتاحدودیآشنایی ندارم 2- تا چه حد با زبان نشانه‏گذاری اثبات امنیت آشنایی دارید؟ زیادتاحدودیآشنایی ندارم 3- آیا زیرساخت‎های پیاده‎سازی این روش وجود دارد؟ بلهخیر 4- آیا شما حاضر به استفاده از این مدل هستید؟ بلهخیر 5- آیا به این روش اعتماد دارید؟ بلهخیر 6- آیا تمایلی به استفاده از این روش به جای روش‎های موجود دارید؟ بلهخیر 7- آیا امکان احراز هویت نادرست در این روش وجود دارد؟ بلهخیر 8- میزان آشنایی شما با خدمات ورود‌تکی به وب چقدر است؟ زیادتاحدودیآشنایی ندارم 9- احراز هویت این روش تا چه میزان مطمئن است؟ زیادکم 10- لطفا اگر پیشنهاد یا نطری در مورد هر سوال و مدل پیشنهادی دارید در پایان ذکر کنید. قطعاً نظرات شما باعث بهبود این کار خواهد شد. پرسشنامه شماره دو توضیحات در مورد سه روش‎های ورود‌تکی: 1- روش ورود‌تکی سنتی در این روش به هر کاربر یک نام‎کاربری و رمز عبور تخصیص داده‎می‎شود. کاربر برای هر بار ورود به وب، باید نام‎کاربری و رمز عبور خود را وارد نماید. علاوه بر این کاربر برای دسترسی به هر سرویس باید مجدداً و به صورت مجزا احراز هویت شود. در این روش کاربر نیاز به، به‎خاطر سپردن تعداد زیادی نام‎کاربری و رمز عبور برای ورود و استفاده از خدمات و برنامه‏های‏کاربردی وب دارد. 2- روش کربروس کربروس، کاربر را قادر به ورود درون پنجره‎های دامنه حساب‎هایش می‎کند و سپس ورود‌تکی را برای برنامه‎های‎کاربردی داخلی آنها محیا می‎کند. کربروس برای اتصال کاربر، به یک مرکز توزیع کلید نیاز دارد. کاربران خودشان را برای سرویس‎ها (مثلاً سرورهای وب) احراز هویت می‎کنند. ابتدا برای مرکز توزیع کلید احراز هویت می‎شوند، سپس بلیط‎های سرویس رمزگذاری شده از مرکز توزیع کلید را برای یک سرویس خاص که قصد استفاده از آن را دارند درخواست می‎کنند که به طور خودکار در همه مرورگرهای مهم با استفاده از SPNEGO (مکانیزم مذاکره GSSAPI محافظت‌شده و ساده) رخ می‎دهد. در واقع در کربروس، برای برقراری ارتباط و تبادل اطلاعات، هم کاربر و هم ارائه‎دهندگان سرویس باید خود را برای دیگری احراز هویت کنند (احراز هویت دو طرفه بین تمام بخش‏ها انجام می‎گیرد). 3- ورود‌تکی مبتنی بر زبان نشانه‌گذاری اثبات امنیت (احراز هویت دو طرفه) ورود‌تکی مبتنی بر زبان نشانه‌گذاری اثبات امنیت برای ورود‌تکی عامل کاربران جهت عدم تکرار استفاده از نام‌های‌کاربری و رمز عبورهای متعدد مورد استفاده قرار می‌گیرد. مشکل ورود‌تکی زبان نشانه‌گذاری اثبات امنیت این است که سرور ارائه‌دهنده‌هویت برای عامل کاربر احراز هویت نمی‌شود. در مدل پیشنهادی (ورود‌تکی دو طرفه با استفاده از زبان نشانه‌گذاری اثبات امنیت) به عامل کاربر و سرور ارائه‌دهنده‌هویت یک کلید منحصر‌به‌فرد تخصیص می‌دهد که هنگام برقراری ارتباط، اطلاعات را امضا و رمزگذاری می‌کند که سرور ارائه‌دهنده‌هویت خاص، عامل کاربر را با کلید خود احراز هویت می‌کند و عامل کاربر نیز سرور ارائه‌دهنده‌هویت را احراز هویت می‌کند. روش‎های ورودتکیروش سنتیروش کربروساحراز هویت دو طرفهویژگی‌های مورد نظربسیار زیادزیادمتوسطکمبسیار کمبسیار زیادزیادمتوسطکمبسیار کمبسیار زیادزیادمتوسطکمبسیار کمآمادگی اجرای هر روشراحتی آموزش و اطلاع رسانی به افرادسهولت یادگیری و قابل فهم بودن میزان تطابق با دانش روز دنیاصرفه جویی در زمانصرفه جویی در هزینهاهمیت به موضوع امنیتقدرت احراز هویتعدم نیاز به بخاطر سپردن نام‎های‎کاربری و رمز عبورهای متعددسهولت و راحتی در استفادهامکان مدیریت دسترسی کاربرانقابلیت استفاده هر روش در ورود تکیامکان و سهولت پیاده سازی هر روشمیزان کارایی روش از همه لحاظ Foolad Institute of Technology Department of Mechanical Engineering Information Security Enhancement in Cloud Computing with SAML Standard A Thesis Submitted in partial fulfillment of the requirements for the degree of Master of Science By Rasool Daneshmand Evaluated and Approved by the Thesis Committee, on December 16, 2014 Dr. Shohreh Ajoudanian (Supervisor) Dr. Mohammad Davarpanah Jazi (Advisor) Dr. Mohammad Ali Montazeri (Examiner) Department Graduate Coordinator Information Security Enhancement in Cloud Computing with SAML Standard Rasool daneshmand Daneshmand1989@yahoo.com Department of Foolad Institute of Technology, Fooladshahr, Isfahan, Iran Degree: M.Sc. Dr.Ajoudanian, Shajoudanian@yahoo.com Abstract The world of internet and computers are becoming more complex and evolving every day. One of the products of evolution, is cloud computing. Due to this, the sensitivity of data and information privacy seriously as a major concern for organizations becomes. Companies for provide Web-based services the special attention to application service providers (ASP) or software as a service (SaaS), which reduces costs and providing specific applications and focused on the users. This approach the complexity of the design, installation, configuration, deployment and support of the system by internal sources eliminates that offers many benefits to organizations. Recently, organizations from the central authentication resources use for Web-based applications and portals for the greater part of its internal. The authentication single sign on, when properly configured to create a strong security means that users don't need remember and remembering passwords for different systems. Also makes easily user's manage and audit. Using the standard for information authentication exchange on the Internet, we can solve this problem. Security Assertion Markup Language, an XML-based and secure solution for exchange of user's information between identity provider (organization) and service provider (ASP or SaaS) are provided. Security Assertion Markup Language Standard defined rules and syntax for the exchange of information, yet flexible and permit customized data transfer to the external service provider. In this project we tried to improve the single sign on systems and special for single sign on with using Security Assertion Markup Language by using the advantagees of the cloud computing and single sign on. To do so, at first we review the basic concepts and definitions including cloud computing, Security Assertion Markup Language, authentication and Single Sign On. A short survey was done about authentication ways in order to provide a better and more complete model, that was tailored to develop a authentication model using Security Assertion Markup Language and based cloud computing. Also, some of the presented models for each of the above topics and combination of this concepts was investigated. By combining above methods and information, a model was suggested and implemented for Single Sign on based on cloud computing with using , Security Assertion Markup Language in order to help the Single Sign on in the user's authentication process. Finally, after mentioning the advantages of the proposed model, possible problems of the model was discussed and some suggestions has been made for solving these problems that can be subject to future works. Key Words Information security in cloud computing, SAML in cloud computing.