صفحه محصول - مبانی نظری بهبود برقراری امنیت اطلاعات در رایانش ابری با استفاده از استاندارد saml

مبانی نظری بهبود برقراری امنیت اطلاعات در رایانش ابری با استفاده از استاندارد saml (docx) 1 صفحه

دسته بندی : تحقیق

نوع فایل : Word (.docx) ( قابل ویرایش و آماده پرینت )

تعداد صفحات: 1 صفحه

قسمتی از متن Word (.docx) :

به نام خداوند بخشنده مهربان مؤسسه آموزش عالی صنعتی فولاد دانشکده مهندسی کامپیوتر و فناوری اطلاعات بهبود برقراری امنیت اطلاعات در رایانش ابری با استفاده از استاندارد SAML پایان‌نامه کارشناسی ارشد مهندسی فناوری اطلاعات گرایش مدیریت سیستمهای اطلاعاتی رسول دانشمند استاد راهنما دکتر شهره آجودانیان تابستان 1393 2633345723221سه0سه موسسه آموزش عالی صنعتی فولاد دانشکده مهندسی کامپیوتر و فناوری اطلاعات پایان نامه کارشناسی ارشد مهندسی فناوری اطلاعات گرایش مدیریت سیستم‌های اطلاعاتی رسول دانشمند با عنوان بهبود برقراری امنیت اطلاعات در رایانش ابری با استفاده از استاندارد SAML در تاریخ توسط کمیته تخصصی زیر مورد بررسی و تصویب نهایی قرار گرفت. 1- استاد راهنمای پایان نامه دکتر شهره آجودانیان مرتبه علمی: استادیار امضاء........... 2- استاد مشاور پایان نامه دکتر محمد داورپناه جزی مرتبه علمی: استادیار امضاء........... 3- استاد داور دکترمحمدعلی منتظری مرتبه علمی: استادیار امضاء........... 4- رئیس تحصیلات تکمیلی مؤسسه دکتر ابراهیم شیرانی مرتبه علمی: استاد امضاء.......... 2633345716753چهار0چهار تشکر و قدردانی از سرکار خانم دکتر شهره آجودانیان که با راهنمایی های خود من را در تمام مراحل این پژوهش یاری نمودند تشکر و قدردانی می‌کنم، چرا که بدون راهنمایی‎ها و همکاری‎های ایشان تهیه این پایان‎نامه بسیار مشکل می‎بود. همچنین از جناب آقای دکتر محمد داورپناه جزی که دلسوزانه با اینجانب همکار ی لازم را داشتند تقدیر و تشکر می‎نمایم. همچنین از همکاری، راهنمایی و مساعدت جناب آقای دکتر محمد علی منتظری، در طول مدت تهیه این پایان نامه تشکر ویژه دارم. 2480945665007پنج0پنج اظهار نامــه اینجانب رسول دانشمند به شماره دانشجویی 9006354 دانشجوی رشته مهندسی فناوری اطلاعات گرایش مدیریت سیستم‎های اطلاعاتی دانشکده مهندسی کامپیوتر و فناوری اطلاعات، اظهار می‎کنم که این پایان‎نامه حاصل پژوهش خودم بوده و در جاهایی که از منابع دیگری استفاده کرده‌ام، نشانی دقیق و مشخصات کامل آن را نوشته‎ام. همچنین اظهار می‎کنم که تحقیق و موضوع پایان‎نامه‎ام تکراری نیست و تعهد می‎نمایم که بدون مجوز موسسه دستاوردهای آن را منتشر ننموده و یا در اختیار غیر قرار ندهم. کلیه حقوق این اثر مطابق با آیین‎نامه مالکیت فکری و معنوی متعلق به موسسه آموزش عالی صنعتی فولاد است. نام و نام خانوادگی: رسول دانشمند تاریخ: امضاء: 2785745576418شش0ششتقدیم اثر این اثر را به پدر و مادر بزرگوار و مهربانم که در تمام دوره تحصیل کارشناسی ارشد، سختی‎ها را به جان خریدند و همیشه یار و یاور من بودند و دعای خیر آنها قوت قلبی برای من بود، تقدیم می‎کنم. 2760345694262هفت0هفت فهرست مطالب عنوان صفحه چکیده ................................................................................................................................................. 1 فصل اول: مقدمه 1-1مقدمه ...................................................................................................................................................................... 3 1-2 تعريف مسئله .......................................................................................................................................................... 4 1-3 تبیین صورت مسئله ................................................................................................................................................. 5 1-4 ساختار پایان‎نامه ...................................................................................................................................................... 5 فصل دوم: محاسبات ابری، چالش‎ها و راهکارها 2-1 مقدمه ..................................................................................................................................................................... 7 2-2 تاریخچه‌ی رایانش ابری .......................................................................................................................................... 7 2-3 چند نمونه ............................................................................................................................................................... 8 2-3-1 مالتیکس ........................................................................................................................................................ 8 2-3-2 ناظران ماشین‌های مجازی اولیه ....................................................................................................................... 8 2-3-3 شرکت CSS ملی .......................................................................................................................................... 9 2-4 مفاهیم ..................................................................................................................................................................... 9 2-4-1 تعریف محاسبات ابری .................................................................................................................................... 9 2-4-2 مشخصات اصلی محاسبات ابری .................................................................................................................... 11 2-5 معماری و مولفه‎های ابر .......................................................................................................................................... 12 2-5-1 دیدگاه کلی از ایده‎های موجود برای ساختارهای ابری و مولفه‎های آن .......................................................... 12 2-5-2 مدل‎های سرویس ‏محاسبات ابری .................................................................................................................. 12 2-6 دسته‎بندی ابرها ...................................................................................................................................................... 15 2-7 چند اجاره‌ای ......................................................................................................................................................... 16 2-8 مجازی‌سازی ............................................. ........................................................................................................... 16 2-9 شکل‌های ابر .......................................................................................................................................................... 17 2515870495935هشت0هشت2-9-1 بعد یک: داخلی/خارجی ............................................................................................................................... 17 2-9-2 بعد دو: اختصاصی/باز ................................................................................................................................... 17 2-9-3 بعد سه: محیطی/غیرمحیطی ........................................................................................................................... 18 2-9-4 بعد چهار: برون سپاری/درون سپاری ............................................................................................................. 18 2-10 فرصت‎ها و چالش‎های محاسبات ابری .................................................................................................................. 18 2-11 چالش‌های امنیتی محاسبات ابری .......................................................................................................................... 19 2-12 چالش‌های حفظ حريم خصوصی محاسبات ابری ................................................................................................. 19 2-13 محافظت از داده‎ها ............................................................................................................................................... 20 2-14 راهکارهای حفاظت از داده‌ها .............................................................................................................................. 20 2-15 خطرات مشترک امنیت اطلاعات در ابر ............................................................................................................... 20 2-15-1 فیشینگ ..................................................................................................................................................... 20 2-15-2 حق دسترسی پرسنل ارائه دهنده .................................................................................................................. 21 2-16 برنامه‌های‌کاربردی و محدودیت‌های رمزنگاری ‏داده‌ها ......................................................................................... 21 2-17 احراز هویت داده‎ها ‏و شناسایی کاربران ................................................................................................................ 21 2-18 ذخیره‌سازی داده‌ها در ابر ..................................................................................................................................... 22 2-19 احراز‎هویت ......................................................................................................................................................... 22 2-20 زبان نشانه‎گذاری اثبات امنیت .............................................................................................................................. 23 2-20-1 تعریف ....................................................................................................................................................... 23 2-20-2 ویژگی‌ها .................................................................................................................................................... 24 2-20-3 اجزا ........................................................................................................................................................... 25 2-21 زبان نشانه‎گذاری اثبات امنیت در امنیت سرویس‌های وب .................................................................................... 29 2-22 انتشار توکن زبان نشانه‌گذاری اثبات امنیت در سرویس‌های وب .......................................................................... 34 2-23 نتیجه‎گیری .......................................................................................................................................................... 35 فصل سوم: بررسی و تجزیه تحلیل کارهای انجام شده 3-1 مقدمه ............................................. ..................................................................................................................... 37 3-2 سیستم‎های ورود‎تکی ............................................................................................................................................ 37 2633345519903نه0نه3-2-1 سازمانی ....................................................................................................................................................... 37 3-2-2 مجتمع (فدرالی شده) ................................................................................................................................... 38 3-3 روش‎های ورود‎تکی ............................................................................................................................................. 38 3-4 روش کربروس ..................................................................................................................................................... 46 3-4-1 پروتکل کربروس ........................................................................................................................................ 46 3-4-2 مزایای کربروس .......................................................................................................................................... 48 3-4-3 معایب کربروس .......................................................................................................................................... 48 3-5 احراز هویت ورود تکی به وب با استفاده از زبان نشانه‎گذاری اثبات امنیت ............................................................ 49 3-6 سرویس‌های وب امنیتی ........................................................................................................................................ 53 3-7 احرازهویت مجتمع .............................................................................................................................................. 53 3-8 سرویس‎های وب مجتمع ...................................................................................................................................... 54 3-9 زبان نشانه‎گذاری اثبات امنیت و سرویس‎های وب مجتمع ..................................................................................... 55 3-10 نسخه دوم زبان نشانه‎گذاری اثبات امنیت (SAML 2) ....................................................................................... 56 3-11 احراز‌هویت مجتمع ............................................................................................................................................ 56 3-12 مزایای احراز‎هویت ورود‎تکی ............................................................................................................................ 56 3-13 مزایای زبان نشانه‎گذاری اثبات امنیت ................................................................................................................. 57 3-14 خطاهای رایج در زبان نشانه‎گذاری اثبات امنیت ................................................................................................. 57 3-15 زبان نشانه‎گذاری اثبات امنیت به عنوان یک استاندارد ابری امن ........................................................................... 57 3-16 نتیجه‎گیری ......................................................................................................................................................... 61 فصل چهارم: ورود‎تکی با استفاده از زبان نشانه‎گذاری اثبات امنیت 4-1 مقدمه .................................................................................................................................................................. 63 4-2 مدل پیشنهادی برای احراز‎هویت زبان نشانه‎گذاری اثبات امنیت در ورود‎تکی وب ................................................. 63 4-3 مراحل انجام کار مدل پیشنهادی ..... ..................................................................................................................... 64 4-4 شبیه‏سازی مدل پیشنهادی ..................................................................................................................................... 68 4-5 مدل امنیت داده‌ها در محاسابات ابر ....................................................................................................................... 68 4-5 نتیجه‎گیری ........................................................................................................................................................... 72 2633345586740ده0ده فصل پنجم: بررسی مدل پیشنهادی و نتیجه‎گیری 5-1 مقدمه .................................................................................................................................................................. 73 5-2 بررسی مدل پیشنهادی از نظر امنیت ...................................................................................................................... 73 5-3 بررسی و ارزیابی مدل پیشنهادی ........................................................................................................................... 74 5-3-1 روش ارزیابی مدل ...................................................................................................................................... 74 5-3-2 تعیین پایایی و روایی پرسشنامه .................................................................................................................... 76 5-3-3 تعیین پایایی پرسشنامه طراحی‎شده برای ارزیابی مدل پیشنهادی .................................................................... 76 5-3-4 تعیین روایی پرسشنامه طراحی‎شده برای ارزیابی مدل پیشنهادی .................................................................... 77 5-3-5 استخراج عامل‎ها ......................................................................................................................................... 78 5-4-6 ارزیابی مدل پیشنهادی ................................................................................................................................ 81 5-4-7 آزمون فریدمن برای مقایسه میانگین روش‌ها ................................................................................................ 81 5-4-8 آزمون کلموگروف-اسمیرونوف ................................................................................................................ 82 5-4-9 تحلیل واریانس ........................................................................................................................................... 82 5-5 مزایای و نتایج بدست‎آمده از مدل پیشنهادی ......................................................................................................... 83 5-6 مشکلات احتمالی و راه‎حل‎های پیشنهادی ............................................................................................................ 84 منابع و مآخذ ..................................................................................................................................... 85 پیوست‎ها .......................................................................................................................................... 87 2633345742536یازده0یازده فهرست شکل‌ها عنوان صفحه شکل 2- 1. لایه‎های محاسبات ابری ...................................................................................................................................13 شکل 2- 2. معماری ابری مربوط به سرویس‎های ابری ....................................................................................................... 14 شکل 2-3. چند‌اجاره‌ای .................................................................................................................................................... 16 شکل 2-4. مجازی‌سازی مدیریت ماشین مجازی نوع یک و دو .......................................................................................... 17 شکل 2-5. ساختار اثبات زبان نشانه‎گذاری اثبات امنیت ..................................................................................................... 26 شکل 2-6. اثبات زبان نشانه‌گذاری اثبات امنیت ................................................................................................................ 26 شکل 2-7. اجزای زبان نشانه‎گذاری اثبات امنیت .............................................................................................................. 30 شکل 2-8. استفاده‎ی عمومی از سرویس‎های امن وب و زبان نشانه‎گذاری اثبات امنیت ...................................................... 31 شکل 2-9. روش تأیید موضوع حامل ............................................................................................................................... 32 شکل 2-10. روش تأیید موضوع دارنده کلید .................................................................................................................... 33 شکل 2-11. روش تأیید موضوع ضمانت‌های فرستنده ....................................................................................................... 33 شکل 2-12. توزیع توکن زبان نشانه‌گذاری اثبات امنیت با استفاده ورود‎تکی ..................................................................... 34 شکل 2-13. توکن زبان نشانه‌گذاری اثبات امنیت یکسان برای ارائه‌دهنده‎سرویس توزیع و منقضی شده ............................. 35 شکل 2-14. زمان انقضای توکن زبان نشانه‌گذاری اثبات امنیت ......................................................................................... 36 شکل 3-1. حالت ورود‎تکی ساده ..................................................................................................................................... 39 شکل 3-2. ورود‎تکی مبتنی بر درخواست ......................................................................................................................... 41 شکل 3-3. مکانیزم تشخیص بیومتریک ............................................................................................................................. 42 شکل 3-4. یک معماری توسعه‎یافته ورود‎تکی بین چند‎دامنه ساده و معمولی ...................................................................... 45 شکل 3-5. احراز‎هویت ورود‎تکی به وب با زبان نشانه‎گذاری اثبات امنیت ......................................................................... 51 شکل 3-6. فلوچارت اثبات زبان نشانه‎گذاری اثبات امنیت آغاز شده توسط ارائه‎دهنده‎هویت ............................................. 52 شکل 3-7. فلوچارت اثبات زبان نشانه‎گذاری اثبات امنیت آغاز شده توسط ارائه‎دهنده‎سرویس .......................................... 53 شکل 3-8. نرم افزار احراز‎هویت مجتمع ............................................................................................................................ 54 شکل 4-1. احراز‎هویت ورود‎تکی به وب با زبان نشانه‎گذاری اثبات امنیت ......................................................................... 65 2633345594198دوازده0دوازدهشکل 4-2. مراحل انجام فرایند احراز‌هویت ورود‎تکی به وب با استفاده از زبان نشانه‎گذاری اثبات امنیت ............................ 66 شکل 4-3. ثبت‎نام کاربر در محیط ابر ............................................................................................................................... 67 شکل 4-4. ورود‎تکی کاربر به ابر ..................................................................................................................................... 69 شکل 4-5. یک نمای کلی از پلت‎فرم نرم افزار کلود سیم ................................................................................................. 70 شکل 4-6. محل تنظیم پارامترهای شبیه ساز کلود ............................................................................................................. 70 شکل 4-7. نمای اولیه شبیه ساز کلود ................................................................................................................................ 71 شکل 4-8: مدل امنیت داده در محاسبات ابری .................................................................................................................. 71 شکل 5-1 . میزان تحصیلات و حوزه کاری افراد شرکت کننده در ارزیابی مدل پیشنهادی ................................................. 75 شکل 5-2. تغییرات مقادیر ویژه در ارتباط با عامل‌ها .......................................................................................................... 80 شکل 5. 3. مقایسه امتیازات سه روش ورود‎تکی ................................................................................................................ 81 2680970648808سیزده0سیزده فهرست جداول عنوان صفحه جدول 2-1. تعاريف محاسبات ابري توسط شركت‌هاي تحليلگر منتخب .............................................................................. 9 جدول 3-1. مقایسه تعدادی از روش‎های ورود‎تکی ........................................................................................................... 61 جدول 3-1. مدل احراز‎هویت ارائه‌دهنده‎هویت SAML ................................................................................................... 64 جدول 5- 1. مقایسه امتیازات دو روش انتخاب شده بر‎اساس معیارهای تعیین‎شده ............................................................... 75 جدول 5-2. محاسبه ضریب آلفای کرونباخ برای پرسشنامه طراحی‎شده ............................................................................. 76 جدول 5-3. میانگین و انحراف معیار استاندارد برای هر یک از معیارهای موجود در پرسشنامه ............................................ 77 جدول 5-4. همبستگی بین متغیرها و ضریب آلفای کرونباخ پس از حذف هر سئوال .......................................................... 77 جدول 5-5. نتایج حاصل از آزمون KMO و بارتلت ........................................................................................................ 78 جدول 5-6. میزان اشتراک متغیرها قبل و بعد از استخراج عامل‎ها ...................................................................................... 79 جدول 5-7. مقدار ویژه و واریانس متناظر با عامل‎ها .......................................................................................................... 79 جدول 5-8. ماتریس چرخیده‌شده مولفه‌ها ........................................................................................................................ 80 جدول 5-9. تجزیه معیارها به پنج گروه عاملی ................................................................................................................... 80 جدول 5-10. نتیجه آزمون فریدمن برای امتیازات سه روش ورود‎تکی ............................................................................... 81 جدول5-11. نتیجه آزمون کلموگروف- اسمیرونوف برای امتیازات سه روش ورود‎تکی ................................................... 82 جدول 5-12. نتایج تحلیل واریانس برای ارزیابی امتیازات سه روش ورود‎تکی ................................................................... 83 26142953461547چهارده0چهاردهجدول 5-13. مزایای استفاده از مدل پیشنهادی .................................................................................................................. 84 چکیده دنیای اینترنت و کامپیوتر هر روز در حال پیچیده‏تر شدن و تکامل است. یکی از محصولات این تکامل، رایانش ابری است. با توجه به این موضوع، حساسیت داده‌ها و حفظ حریم خصوصی اطلاعات به طور جدی به عنوان یک نگرانی مهم برای سازمان‌ها تبدیل می‌شود. شرکت‌ها برای ارائه خدمات تخصصی مبتنی بر وب، توجه ویژه‌ای به ارائه دهندگان خدمات نرم افزار (ASP‌ها) یا فروشندگان نرم افزار به عنوان سرویس (SaaS) دارند که باعث کاهش هزینه‌ها و ارائه برنامه‌های کاربردی خاص و متمرکز به کاربران می‌شود. این روش پیچیدگی طراحی، نصب، پیکربندی، گسترش و پشتیبانی از سیستم توسط منابع داخلی را حذف می‎کند که منافع زیادی به سازمان‌ها ارائه‎می‌دهد. سازمان‌ها اخیراً از منابع احراز هویت مرکزی برای برنامه‌های کاربردی داخلی و پورتال‌های مبتنی بر وب برای بیشتر قسمت‌های خود استفاده می‌کنند. احراز هویت ورود تکی، هنگامی‌که به درستی پیکربندی شده‎باشد باعث ایجاد یک امنیت قوی می‌شود به این معنا که کاربران، نیاز به یادداشت و به‎خاطر سپردن کلمات عبور سیستم‌های مختلف ندارند. همچنین باعث سهولت مدیریت و حسابرسی کاربران می‌شود. با استفاده از یک استاندارد برای احراز هویت اطلاعات برای مبادله روی اینترنت می‌توان این مشکل را حل کرد. زبان نشانه‎گذاری اثبات امنیت، یک راه حل مبتنی بر XML و امن برای تبادل اطلاعات کاربر بین ارائه‌دهنده شناسه (سازمان) و ارائه‌دهنده سرویس (ASP‌ها یا SaaS‎ها) فراهم می‌کند. استاندارد زبان نشانه‎گذاری اثبات امنیت، قوانین و دستورات نحوی را برای تبادل اطلاعات تعریف می‌کند، در عین حال انعطاف پذیر است و اجازه انتقال داده‌های سفارشی به ارائه‌دهنده سرویس خارجی را می‎دهد. در این پایان‎نامه سعی گردیده است که از مزایای رایانش ابری و ورود تکی بهترین استفاده برده شود و از آن برای ارتقا سیستم‎های ورود تکی و به طور خاص برای ورود تکی با استفاده از استاندارد زبان نشانه‎گذاری اثبات امنیت استفاده‎شود. برای این منظور ابتدا مفاهیم و تعاریف اولیه مرتبط از جمله رایانش ابری، زبان نشانه‎گذاری اثبات امنیت، احراز هویت و ورود تکی مورد مطالعه قرار‎گرفته‎اند. سپس بررسی کوتاهی در مورد روش‎های احراز هویت انجام گردیده‎است تا با استفاده از آن مدلی بهتر، کامل‎تر و متناسب با آنچه مورد نیاز است، ارائه گردد. همچنین تعدادی از مدل‎های ارائه شده برای هر یک از مباحث بالا و ترکیب این مباحث مورد بررسی قرار‎گرفته است. با ترکیب و جمع‎بندی روش‎ها و اطلاعات بدست‎آمده، مدلی برای ورود تکی مبتنی بر رایانش ابری با استفاده از زبان نشانه‎گذاری اثبات امنیت به منظور کمک به فرایند ورود تکی در احراز هویت کاربران، پیشنهاد و شبیه‎سازی گردیده است. در نهایت پس از بیان مزایای مدل پیشنهادی، مشکلات احتمالی بررسی شده و برای رفع این مشکلات و همچنین مطالعات آینده پیشنهاداتی ارائه گردیده است. کلید واژه‎ها: به فارسی: امنیت اطلاعات در رایانش ابری، زبان نشانه‎گذاری اثبات امنیت در رایانش ابری به لاتین: Information security in cloud computing, SAML in cloud computing -528290-5594795534876-557674 -157480-1798320فصل اول مقدمه مقدمه دنیای فناوری اطلاعات روز به روز در حال گسترش است. از زمانی که رایانه‎ها وارد زندگی بشر شدند، حدود 72 سال می‎گذرد. در طول این سال‎ها عطش پیشرفت باعث به وجود آمدن فناوری‎های جدید شده‌است. همچنین از زمانی که اینترنت در اختیار کاربران قرار گرفته‎است، مدت زیادی نمی‎گذرد. اینترنت تحولی شگرف در تبادل اطلاعات به وجود آورده است. البته در آن زمان کسی به این فکر نمی‎کرد که روزی از اینترنت علاوه بر تبادل اطلاعات بتوان به عنوان یک سیستم پردازشی قوی استفاده کرد. اما امروزه بسیاری از پردازش‎ها توسط سرورها انجام‏می‎شود. مفاهیم ابتدایی محاسبات ابری از دهه‌ی 1162 میلادی گسترش یافت. اما محاسبات ابری به صورتی که در حال حاضر آنرا می‎شناسیم و در اختیار همگان قرار‎گرفته از سال 2226 توسط سایت آمازون بکار گرفته شده‌است. محاسبات ابری یک ایده‌ی قدیمی از منابع محاسباتی است که به عنوان یک ابزار استفاده‎شده‌است. محاسبات ابری یک محاسبه‌ی مبتنی بر اینترنت است که منابع مشترک، نرم‎افزار و اطلاعات، برای کامپیوترها و وسایل مورد تقاضا ارائه‎می‌دهد. محاسبات ابری به افراد اجازه می‌دهد که منابع و خدمات توزیع‎شده را به اشتراک بگذارند. بنابراین محاسبات ابری از منابع توزیع‌شده در محیط باز استفاده می‌کند. در نتیجه برای اشتراک داده در توسعه‌ی برنامه‌های محاسبات ابری، امنیت و اطمینان فراهم می‌کند. حساسیت داده‌ها و حفظ حریم خصوصی اطلاعات به‎طور افزایشی به یک ناحیه نگرانی برای سازمان‌ها تبدیل می‌شود. جنبه‌های احراز هویت و اثبات هویت شامل استفاده، نگهداری و حفاظت از اطلاعات جمع‎آوری‎شده برای کاربران می‎باشد. جلوگیری از دسترسی غیر‌مجاز به منابع اطلاعات در ابر نیز یک عامل مهم است. همان‎طور که خدمات وب شایع‎تر می‌شوند، کسب‎و‎کار به دنبال ارائه خدمات ترکیبی به مشتریانی که آنها را به اشتراک می‌گذارند می‎باشد. این فرایند برای مشتریانی که باید نام‌های کاربری و کلمه‌های عبور مختلف را به‎خاطر داشته‎باشند و رزروهای مختلف روی بخش‌های مرورگرهای وب مختلف را با واسط‌های کاربری غیرواحد نشان‌دهنده‌ی وضعیت‌های رزرو مختلف نگهداری کنند مسئولیت دشواری است ]1، 2 و 3[. زبان نشانه‎گذاری اثبات امنیت، استانداری برای ورود تکی کاربران به وب به صورت امن است که اولین بار در ژانویه سال 2001 توسط سازمان گسترش استانداردهای اطلاعات ساختاریافته معرفی شد و یک چارچوب مبتنی بر زبان نشانه‎گذاری توسعه‌پذیر برای تبادل اطلاعات احراز هویت و تصدیق و امنیت تبادل اطلاعات بکار گرفته شده‎بود. آخرین به‌روزرسانی آن در سال 2005 بوده‌است. زبان نشانه‎گذاری اثبات امنیت در چند نسخه وارد بازار جهانی اینترنت شد. اولین نسخه زبان نشانه‎گذاری اثبات امنیت تحت عنوان SAML1 عرضه شد. سپس نسخه SAML1.1 آن ارائه شد که از نظر کارایی مگر جز تفاوت های کوچک، کاملاً مشابه SAML1 بود. در نهایت آخرین نسخه زبان نشانه‎گذاری اثبات امنیت که SAML2 نام گرفت در سال 2005 عرضه گردید تفاوت های اساسی با نسخه‎های قبلی این استاندارد داشت ]4[. اگرچه هر دو نسخه‎ی این استاندارد بر موارد استفاده یکسانی نظارت می‎کردند، SAML2 با نسخه‎های قبلی خود ناسازگار است. نسخه‎های اولیه زبان نشانه‎گذاری اثبات امنیت هیچ پروتکل خاص دیگری را در پرس‎و‎جوهای خود پشتیبانی نمی‎کند در حالی که نسخه نهایی زبان نشانه‎گذاری اثبات امنیت (SAML2) از پروتکل‎های زیادی پشتیبانی می‎کند که اکثر پروتکل‎ها کاملاً جدید هستند. هم SAML1 و هم SAML2 از امضاهای دیجیتال (مبتنی بر استاندارد امضای XML) برای احراز هویت و یکپارچگی پیام‎ها استفاده‎می‎کنند. با استفاده از رمزگذاری XML، SAML2 عناصری برای تعیین‎کنندگان هویتِ‎نام رمزگذاری شده، ویژگی‎های رمزگذاری شده و اثبات‎های رمزگذاری شده (SAML1 قابلیت رمزگذاری ندارد) فراهم‌می‌کند ]5[. مهمترین چیزی که آدرس‎های زبان نشانه‎گذاری اثبات امنیت نیاز دارند، ورود تکی مرورگر وب است. راه حل‎های ورود تکی معمولاً در سطح اینترانت (برای مثال با استفاده از کوکی‎ها) است اما توسعه این راه حل‎ها ورای اینترانت مشکل‎زا می‎شود و منجر به گسترش تکنولوژی‎های اختصاصی غیرقابل همکاری می‎شود. زبان نشانه‎گذاری اثبات امنیت قصد حل این نواقصی را دارد که توسط سازمان گسترش استانداردهای اطلاعات ساختاریافته توسعه یافته است. زبان نشانه‎گذاری اثبات امنیت با ارائه یک چارچوب مبتنی بر زبان نشانه‎گذاری توسعه‌یافته قصد حل مشکل تبادل اطلاعات امن را دارد. مهمترین مزیت زبان نشانه‎گذاری اثبات امنیت، گسترش آن و رشد اختیاری آن در صنعت است. این معمولاً بین سازمان‎ها و مشتریان آنها، شریکان کسب‎و‎کار و ارائه‎دهندگان ابر استفاده می‏شود. زبان نشانه‎گذاری اثبات امنیت از امنیت سطح اثبات، مقیاس‎پذیری و قابلیت اطمینان در هزاران محصول توسعه‎یافته جهانی برخوردار است. اثبات‌های زبان نشانه‎گذاری اثبات امنیت در امنیت سرویس‌های وب برای امنیت پیام‌های سرویس‌های وب نیز مورد استفاده قرار می‎گیرند. امنیت سرویس‌های وب با استفاده از اثبات‌های زبان نشانه‎گذاری اثبات امنیت در قالب یک توکن امنیتی با پروفایل توکن زبان نشانه‎گذاری اثبات امنیت امنیت سرویس‌های وب را تعریف می‌کند. سرویس‌های وب امنیتی مجموعه‎ای از مشخصات است که ابزارهایی برای تامین حفاظت از امنیت پیام‌ها تعریف می‌کند. زبان نشانه‎گذاری اثبات امنیت از تعدادی اجزای بلوک ساختمان تشکیل شده‌است که هنگامی‌که به هم متصل می‌شوند، اجازه پشتیبانی تعدادی از موارد استفاده می‌دهد. مشخصات زبان نشانه‎گذاری اثبات امنیت، ساختار و محتوای اثبات‌ها که توضیحاتی در مورد یک اصل اثبات شده توسط یک بخش اثبات می‌دهد را تعریف می‌کند ]4 و 6[. 1-2 تعريف مسئله محاسبات ابری از این ایده استفاده‎می‎کند که کار انجام‎شده در سمت سرویس‎گیرنده می‎تواند به برخی از خوشه‎های نامرئی منابع در اینترنت حرکت کند [1]. محاسبات ابری، بسترهای مجازی‎سازی با منابع ارتجاعی همراه با ارائه‎ی مبتنی بر تقاضای سخت‎افزار، نرم‎افزار و مجموعه داده را به صورت پویا بکار می‌گیرد [2، 3]. محاسبات ابر به هزینه کم آن و سادگی، هم برای ارائه‎دهندگان و هم برای کاربران متکی است [7، 8[. اما اینترنت مکانی نیست که ارائه‎دهندگان کنترل کاملی روی آن داشته‎باشند. به دلیل نگرانی‎های امنیتی، محاسبات ابر به برخی از کاربران مربوط نمی‎باشد. به عنوان یک محیط مجازی، محاسبات ابری تهدیدات امنیتی خاص خود را دارد و این تهدیدات کاملا متفاوت از تهدیدات در سیستم‎های فیزیکی است. در این مقاله برخی از نگرانی‎های امنیتی در محاسبات ابری خصوصاً در امنیت داده‎ها بررسی می‎شوند. بخش بازنگری شده به شرح زیر است: در بخش 2، مدل‎های سرویس ابر و نگرانی‎های امنیتی آن بررسی می‎شود. بخش 3 به بررسی مدل‎های امنیت اطلاعات می‎پردازد. سپس در بخش 4، مدل امنیتی اطلاعات جدیدی برای محاسبات ابر ارائه‎شده است و در نهایت در بخش 5، کارهای آینده و نتایج مورد بحث قرار گرفته‎است. امروزه محاسبات ابري توجه زيادي را به خود جلب كرده‌است. رسانه و همچنين تحليلگران در مورد فرصت‎هايي كه محاسبات ابري پيشنهاد مي‎دهد بسيار مثبت هستند. در ماه مي سال 2008، مريل لينچ مزاياي هزينه‎اي محاسبات ابري را 3 تا 5 برابر برنامه‎هاي‎كاربردي تجاري و بيش از 5 برابر برنامه‎هاي‌كاربردي مصرف‎كننده تخمين زده‎است. طبق انتشارات گارتنر2 در ماه جون سال 2008، قدرت و نفوذ محاسبات ابری کمتر از تجارت الكترونيكي نيست. گرايش مثبت به سمت اهميت و تاثير محاسبات ابري كه نتيجه پيش‌بيني‌هاي مرتبط به بازار ابري است، خوش‌بين مي‎باشد. در اكتبر سال 2008، IDC، پيش‌بيني كرد تا سال 2012 زمان صرف‎شده روي سرويس‌هاي ابري رشدي تقريبا سه برابر خواهد داشت كه نتيجه آن رسيدن به 42 ميليارد دلار مي‎باشد. همين شركت تحليلگر گزارش داد كه سود هزينه مربوط به مدل ابري حتي در ركود اقتصادي جذاب‌تر خواهد‎شد. چشم‌انداز مثبت بازار نيز با انتظار اينكه محاسبات ابري ممكن‌است رويكرد اساسي‌اي به سوي فناوري‎اطلاعات سبز شود، رانده شده است. با وجود پوشش گسترده محاسبات ابري در مطبوعات تجاري، هنوز هيچ توافق عمومي‌اي در مورد اينكه محاسبات ابري واقعاً چيست و چگونه به محاسبات گريد مربوط مي‎گردد وجود ندارد. براي بدست‎آوردن درك درستي از آنچه كه محاسبات ابري است، در ابتدا نگاهي به چند تعريف موجود از اين اصطلاحات پرداخته‎مي‎شود. بر‎اساس اين تعاريف، مشخصات كليدي محاسبات ابري شناسايي مي‎شود ]9[. سپس معماري رايج و مولفه‌هاي ابرها به‎طور مفصل بررسي می‎شوند، در مورد فرصت‎ها و چالش‎هاي محاسبات ابري بحث و يك دسته بندي از ابرها ارائه می‎شود. 1-3 تبیین صورت مسئله با توجه به مطالب ذکر شده در مقدمه، در این پایان‎نامه مباحث مرتبط با محاسبات ابری و انواع آن، چالش‎ها و فرصت‎های محاسبات ابری، امنیت محاسبات ابری، روش‎ها و استانداردهای ورود تکی، زبان نشانه‎گذاری اثبات امنیت و کاربردهای آن در سرویس‎های وب مورد مطالعه قرار‎گرفته و مزایا و معایب آن مشخص شده‌است. همچنین مدل‎های مختلف مربوط به ورود تکی بررسی شده و از ایده‎های داده‎شده در آنها به منظور بهبود زبان نشانه‎گذاری اثبات امنیت برای ورود تکی امن‎تر استفاده گردید. با توجه به اینکه روش‌های ورود تکی سنتی معایب و مشکلات زیادی از جمله هزینه‎های زیاد، مشکل به‎خاطر سپردن نام‏های‌کاربری و رمز عبور، استفاده از این نام‏های‌کاربری و رمز عبورهای متعدد در هر بار استفاده از خدمات وب و هدر رفتن زمان را به همراه دارد، در این پایان‎نامه تلاش شده‌است مدلی برای بهبود استفاده کاربر از خدمات و سرویس‎های وب مبتنی بر اینترنت با استفاده از زبان نشانه‌گذاری اثبات امنیت در محاسبات ابری ارائه گردد. 1-4 ساختار پایان‎نامه در فصل اول این پایان‎نامه پس از بیان مقدمه‌ای بر موضوع، مسئله‎ای که قرار است روی آن کار شود بیان شده‌است. در فصل دوم به مفاهیم و تعاریف اولیه، مزایا و معایب هر یک از مباحث مرتبط، از جمله محاسبات ابری، انواع آن، مدل‎های آن، چالش‏ها و فرصت‎ها، سطوح دسترسی و میزان اختیارات و عوامل مربوط به احراز هویت و تصدیق پرداخته شده‌است. همچنین استاندارد زبان نشانه‎گذاری اثبات امنیت و اجزای آن، زبان نشانه‎گذاری اثبات امنیت در امنیت سرویس‌های وب و حالت‎های استفاده از آن، استفاده از توکن زبان نشانه‌گذاری اثبات امنیت در سرویس‌های وب به صورت مفصل بیان شده‎اند. همچنین بررسی مختصری در مورد احراز هویت ورود تکی به وب با استفاده از زبان نشانه‎گذاری اثبات امنیت ارائه داد. در فصل سوم چند سیستم ورود کی به‎طور مختصر بیان شده است. همچنین تعدادی از مدل‎های ارائه‎شده برای ورود تکی به همراه مزایا و معایب هر کدام به‎طور اجمالی ارائه گردیده است. در نهایت پروتکل کربروس و فرایند احراز هویت ورود تکی به وب با استفاده از زبان نشانه‎گذاری اثبات امنیت و مزایا و معایب هر کدام به تفصیل آورده شده است تا بتوان با ترکیب و جمع‎بندی روش‎ها و اطلاعات بدست‎آمده از این مدل‎ها، مدلی برای کمک به ورود تکی کاربران و سرویس‎دهی بهتر به آنها ارائه داد. در فصل چهارم با استفاده از تمام اطلاعات و مطالعات انجام‎شده مدلی برای بهبود ارائه خدمات و سرویس‎های وب مبتنی بر اینترنت با استفاده از زبان نشانه‌گذاری اثبات امنیت در محاسبات ابری به کاربر پیشنهاد و سعی در مدل‎سازی آن شده‌است. در نهایت در فصل پنجم مدل مورد بررسی قرار گرفته‎است. برای ارزیابی و بررسی مدل از پرسشنامه استفاده‎شده‌است که نتایج این پرسشنامه با تحلیل‎های آماری در این فصل آورده شده‌است. همچنین مزایای مدل پیشنهادی بیان و مشکلات احتمالی بررسی شده‎اند و برای آنها و همچنین مطالعات آینده پیشنهاداتی ارائه گردیده و نتیجه‎گیری کلی انجام شده‌است. -227570-1797961فصل دوم محاسبات ابری، چالش‎ها و راهکارها 2-1 مقدمه محاسبات ابری از ایده‌ی منابع محاسباتی به عنوان یک ابزار استفاده کرده است که هزینه‎های زیاد توسعه را کاهش و سرویس ‏ جدیدی در اینترنت گسترش می‌دهد. به‎طور کلی، ابر از مجموعه‌ای از سرویس‌ها، برنامه‌های‌کاربردی، اطلاعات و زیرساخت تشکیل شده است که منابع محاسباتی، شبکه، اطلاعات و منابع ذخیره‌سازی را توصیف می‌کند ]1 و 2[. محاسبات ابری محاسبات مبتنی بر اینترنت است که منابع مشترک، نرم‎افزار و اطلاعات، برای کامپیوترها و وسایل مورد تقاضا ارائه‎می‌دهد. محاسبات ابری به افراد اجازه می‌دهد که منابع و سرویس‏ توزیع‎شده را به اشتراک بگذارند. بنابراین محاسبات‌ابری از منابع توزیع‌شده در محیط باز استفاده می‌کند. در نتیجه برای اشتراک داده در توسعه‌ی برنامه‌های محاسبات ابری، امنیت و اطمینان فراهم می‌کند. محاسبات ابری باعث افزایش نگرانی‌های امنیت، حفظ حریم خصوصی و اطمینان می‌شود که این نگرانی‎ها عبارتند از:‏ چگونه داده‌های صحیح توسط ارائه‎دهندگان ابر ذخیره و بکار گرفته می‌شود؟ چگونه حفظ حریم خصوصی داده‌ها به‎طور مناسبی مدیریت می‌شود؟ آیا ارائه‎دهندگان ابر با قوانین و دستورالعمل‌ها موافقت می‌کنند؟ آیا ارائه‎دهندگان ابر در مقابل حملات به‎طور مناسبی محافظت می‌شوند ]3[؟ کنترل‌های امنیتی در محاسبات ابری، در اکثر موارد، هیچ تفاوتی با کنترل‌های امنیتی محیط IT ندارد. ‏به دلیل اینکه مدل‎های سرویس‏ ابری بکارگرفته شده، از مدل‎های عملیاتی و فناوری‌هایی برای فعال کردن سرویس ابر ‏استفاده می‌کنند، محاسبات ابری ممکن‌است خطرات مختلفی برای یک سازمان نسبت به راه حل‌های سنتی ‏IT‏ ارائه دهد ]1[. ‏با افزایش توسعه‌ی محاسبات ابری، حوادث امنیتی متعددی بوجود می‌آید. کاربران ابر می‎توانند از تمرکز تخصص‌های امنیتی در ارائه‌دهندگان ابر بزرگ بهره‌مند شوند، که بهترین روش امنیتی برای کل اکوسیستم را تضمین می‌کند. از سوی دیگر، یک خرابکار می‎تواند بسیاری از کاربران را مختل کند. برای مثال، فرستندگان اسپم، محاسبات ابر ارتجاعی را خراب می‌کنند و باعث اختلالات یک بخش بزرگی از آدرس‌های IP محاسبات ابر می‌شوند ]10[. وضعیت قرارگیری امنیت سازمان با بلوغ، اثربخشی و کامل‌بودن کنترل‌های امنیتیِ تعدیلِ خطر پیاده‎سازی شده مشخص‌ می‌شود. ‏این کنترل‌ها در یک یا چند لایه در محدوده‌ای از امکانات (امنیت فیزیکی)، زیرساخت‌های شبکه (امنیت شبکه)، سیستم‌های ‏فناوری اطلاعات (سیستم‌های امنیتی)، رویکرد‌های اطلاعات و برنامه‌های‌کاربردی (امنیتی نرم‎افزار) پیاده‎سازی شده است ]1[. 2-2 تاریخچه‌ی محاسبات ابری مفاهیم ابتدایی محاسبات ابری به دههی ۱۹۶۰ میلادی بر‌میگردد. این مفهوم که توسط جان مک کارتی از بنیان‌گذاران هوش مصنوعی ارائه شد، بعدها مورد بررسی بیشتری قرار گرفت. محاسبات ابری به صورتی که در حال حاضر آن را می‌شناسیم و در اختیار همگان قرار‎گرفته، از سال ۲۰۰۶ توسط سایت آمازون انجام‎شده است. این سایت در سال ۲۰۰۶ امکان دسترسی به سیستم خود را از طریق وب سرویس‌های آمازون بر پایهی محاسبات ابری ارائه کرد. وب سرویس‌های آمازون، زیرساخت‌های فناوری اطلاعات را به صورت سرویس‌های انعطاف پذیر به مشتریان ارائه‎می‌دهد که شامل سرویس‌های پردازشی، ذخیره‏سازی، تحویل محتوا، پایگاه‎داده، تجارت الکترونیک، پرداخت و صورتحساب می‎باشد. یک سال بعد در سال ۲۰۰۷، گوگل و آی‎بی‎ام پروژه‎هایی در مقیاس بزرگ در زمینهی محاسبات ابری آغاز کردند ]11[. 2-3 چند نمونه در این بخش سه سیستم محاسباتی اولیه ارائه می‌شود که ویژگی‌های مشابهی با آنچه امروزه محاسبات ابری نامیده می‌شوند دارند: 2-3-1 مالتیکس یک جنبه قابل توجه آن اصول طراحی امنیت آن بود. مالتیکس ابتدا بیشتر از مکانیزم‌های محافظت مبتنی بر دستور نسبت به مبتنی بر اجرا استفاده می‌کرد. در هر دسترسی به شی، اختیارات فعلی بررسی می‌شد. دوم، مالتیکس یک شکل از رهنمودهای کرخوفسک با نگهداری طراحی باز برای مکانیزم‌ها و رمزهای کلیدی آن را شامل می‌شد. سوم، سیستم همیشه در حداقل امتیاز فعالیت می‌کرد. درنهایت، طراحی، به صراحت اهمیت قابلیت استفاده انسان با ازدیاد حملات مهندسی اجتماعی را به رسمیت می‌شناخت. طراحی امنیتی مالتیکس، اهمیت مدیریت سیستم جلوگیری از تنگناهای تصمیم‌گیری را بیان می‌کند. در غیر این صورت، کاربران خواستار گذشتن از مدیریت از طریق عادت و مکانیزم‌های محافظت از سازش هستند. مالتیکس، برای انجام امنیت، یک حالت مطلق ندارد، بلکه اجازه می‌دهد کاربران زیرسیستم‌های محافظت‎شده بسازند. به‎طور مشابه، کاربران مختلف محاسبات ابر، خواستار نیازهای ایمنی مختلفی هستند که یک طراحی خوب می‌تواند سطوح ایمنی و مکانیزم‌های امنیتی را ارائه دهد. ارائه‎دهندگان ابر اولین گام‌ها را با ارائه‌ی نمونه‌ی ابرهای خصوصی مجازی، با منابع اختصاصی و شبکه‌های خصوصی مجازی که جداسازی را تضمین می‌کند آغاز کرده‌اند ]8 و 10[. 2-3-2 ناظران ماشین‌های مجازی اولیه2 کار ناظران ماشین‌های مجازی اولیه زیاد است. استدلالی برای امن‌تر بودن ناظران ماشین مجازی از سیستم‌های کامپیوتری معمولی ارائه‎شده است: اول، سطوح پایین‌تر عملکرد چند برنامه‌ای (مثلاً اجرای همزمان) منجر به سطوح پایین‌تر ریسک‌های شکست‌های امنیتی می‌شود. یک سیستم‏عامل‌ تک برنامه‌ای ریسک امنیتی کمتری از یک سیستم‏عامل‌ که چندین برنامه‌ی همزمان را اجرا می‌کند دارد. در نتیجه، ناظران ماشین‌های مجازی با سطوح عملکرد چند برنامه‌ای پایین، امنیت بیشتری از سیستم‏عامل‌‌های با سطوح عملکرد چند‎برنامه‌ای بالا خواهند داشت. دوم، حتی اگر سطح عملکرد چند‎برنامه‌ای یکسان باشد، ناظران ماشین‌های مجازی امن‌تر هستند، زیرا برای اشکال‌زدایی ساده‌تر و راحت‌تر هستند. سوم، یک سیستم‏عامل‌ مهمان که روی یک ناظر ماشین مجازی و در چرخه‌ی اجرا روی فلز سخت اجرا می‌شود، تنها زمانی که هر دو سیستم‏عامل‌ مهمان و ناظر ماشین مجازی به‎طور همزمان شکست بخورد نقض امنیتی رخ می‌دهد. در نتیجه یک ناظر ماشین مجازی که در حال اجرای k سیستم‏عامل‌ مهمان و هر سیستم‏عامل‌ در حال اجرای n برنامه است نسبت به یک سیستم‏عامل‌ که n×k برنامه را اجرا می‌کند، به راحتی شکست می‌خورد. چهارم، شکست هر برنامه مستقل است و از این‎رو احتمال شکست به صورت ضرب است. به‎طور کلی هر برنامه‌ی روی یک ناظر ماشین مجازی در حال اجرای k سیستم‏عامل‌ مهمان، که هریک از سیستم‏عامل‌‌ها در حال اجرای n برنامه است بسیار کمتر از برنامه‌ی مشابه روی یک سیستم‏عامل‌ با n×k برنامه شکست می‌خورد. این استدلال، سه فرض مهم ایجاد می‌کند. اول، ناظران ماشین‌های مجازی ساده هستند. دوم، سیستم‏عامل‌‌های مهمان یک سطح عملکرد چند برنامه‌ای پایین‌تری دارند. سوم، ناظران ماشین‌های‌مجازی و سیستم‌عامل‌های مهمان، شکست‌های مستقل دارند. ناظران ماشین‌های مجازی مدرن همه‌ی این سه فرض را زیر سوال می‌برند. امروزه یک سیستم‎عامل مهمان معمولاً سطح مشابهی از عملکرد چند‎برنامه‌ای را به عنوان سیستم‏عامل‌ محلی دارد. کاربران با سیستم‏عامل‌‌های مهمان به روش مشابهی که می‌توانند با یک سیستم‏عامل‌ محلی رفتار کنند، عمل می‌کنند. که فرض اینکه سیستم‏عامل‌‌های مهمان سطوح عملکرد پایین‌تری دارند را تضعیف می‌کند ]12 و 13[. 2-3-3 شرکت CSS ملی بنیانگذاران شرکت، حرکت روبه جلوی هزینه‎ها به هزینه‎های متغیر را پیش‌بینی کردند و شرکت به دلیل انعطاف‌پذیری افزایش‌یافته موفق شد که قابلیت محاسباتی جدا شده‌ی آماده‌ی خود را ارائه‌دهد ]14[. 2-4 مفاهیم 2-4-1 تعریف محاسبات ابری اصطلاح محاسبات ابري به روش‎هاي مختلفي توسط شركت‌هاي تحليلگر، دانشگاهيان، شاغلان صنعت و شركت‌هاي فناوري‎اطلاعات تعريف شده است. جدول 2- 1 توصيف تعدادي از شركت‌هاي تحليلگر محاسبات ابري را نشان مي‎دهد. جدول 2-1: تعاريف محاسبات ابري توسط شركت‌هاي تحليلگر منتخب. منبعتعریفGartner"سبكي از محاسبات كه در آن انبوه قابليت‎هاي مرتبط با فناوري‎اطلاعات "به عنوان يك سرويس" با استفاده از فناوري‎هاي اينترنت به چندين مشتري خارجي ارائه مي‎گردد. ". IDC"ظهوري از توسعه فناوري‎اطلاعات، مدل استقرار و تحويل، امكان ارائه تحويل محصول به صورت بي‎درنگ، سرويس‎ها و راه حل‎هايي روي اينترنت (به عنوان مثال، امكان ارائه خدمات ابري)". NIST"یک مدل برای دسترسی مناسب شبکه‌ی مورد تقاضا به یک مخزن مشترک از منابع محاسباتی پیکربندی‌شده مانند شبکه‌ها، سرورها، حافظه، برنامه‌های‌کاربردی و سرویس‏ می‎باشدکه می‎تواند به سرعت با حداقل تلاش‌های مدیریت یا تعامل ارائه‌دهنده‌ی سرویس‏، ارائه و منتشر شود ]2 و 15[."Merrill Lynch"ايده تحويل شخصي (مانند پست الكترونيكي، پردازشگر كلمه، ارائه‌ها) و برنامه‎هاي‌كاربردي توليد تجارت (مانند اتوماسيون قسمت فروش، مشتري، سرويس، جواب‌گويي) از سرورهاي متمركز". گروه 451"مدل سرويسي است كه يك اصل سازماندهي كلي را براي تحويل مولفه‌هاي زيرساخت فناوري‎اطلاعات، يك رويكرد معماري و يك مدل اقتصادي را تركيب مي‌كند. اساساً تلاقي محاسبات گريد، مجازي‎سازي، محاسبات ابزاري، ميزباني و نرم‎افزار به عنوان سرويس "(SaaS) . تمامي اين تعاريف مشخصه مشتركي دارند: تمامي آنها تلاش در توصيف و تعريف محاسبات ابري از ديدگاه و نقطه نظر كاربر نهايي را دارند و تمركز آنها روي اين مسئله است كه كاربر نهايي ممكن‌است چگونه آن را تجربه كند. طبق اين تعاريف، مشخصه‌ي هسته‎اي محاسبات ابري فراهم‌كردن زيرساخت فناوري‎اطلاعات و برنامه‎هاي‌كاربردي به عنوان سرويس به صورت مقياس‎پذير است. تعريف محاسبات ابري حتي در جامعه علمي هم موضوع بحث شده است. همانند مطبوعات تجاري، نظرات مختلف در مورد اينكه محاسبات ابري چيست و چه مشخصه‏هاي ويژه‌اي دارد، وجود دارد. در مقايسه با تعاريف مطبوعات تجاري، تعاريف در ادبيات علمي نه تنها شامل ديدگاه كاربر نهايي بلكه به جنبه‌هاي معماري نيز مي‌پردازد. به عنوان مثال، آزمايشگاه بركلي راد محاسبات ابري را اينگونه تعريف مي‌کند: "محاسبات ابري هم به برنامه‎هاي‌كاربردي تحويل داده‌شده تحت اينترنت به عنوان سرويس اشاره دارد و هم به سخت‎افزار و نرم‎افزار سيستم‌ها در مراكز داده كه اين سرويس‌ها را فراهم مي‌كنند. مدتهاست كه به خود سرويس‌ها به عنوان، نرم‎افزار به عنوان سرويس (SaaS)اشاره مي‎شود. سخت‎افزار و نرم‎افزار مركز داده همان چيزي است كه آن را يك ابر مي‌ناميم. وقتي كه اين ابر به روش پرداخت هزينه و استفاده در اختيار عموم قرار گيرد، به آن ابر عمومي گويند. سرويس فروخته‎شده محاسبات ابزاري است. واژه ابر خصوصي به مراكز داده دروني يك تجارت يا ديگر سازمان‎ها اشاره دارد كه در اختيار عموم نيست. بنابراين، محاسبات ابري مجموع SaaS و محاسبات ابزاري است اما شامل ابرهاي خصوصي نيست. افراد مي‎توانند كابران و فراهم‎كنندگان SaaS و يا كاربران و فراهم‌كنندگان محاسبات ابزاري باشند." اين تعريف ديدگاه‎هاي متفاوت روي كليد را با هم آورده‎است: از ديدگاه فراهم‎كننده، مولفه اصلي ابر، مركز داده‎است. مركز داده شامل منابع سخت‎افزاري خام براي محاسبات و ذخيره‏سازي است، كه به همراه نرم‎افزار به "صورت پرداخت هزينه و استفاده" ارائه مي‎شوند. از ديدگاه هدفشان، ابرها به دو دسته خصوصي و عمومي تقسيم مي‎شوند. مستقل از هدف ابرها، مهمترين هدف ابرها يكپارچه‎سازي سخت‎افزار و نرم‎افزارهاي سيستم با برنامه‎هاي‌كاربردي مي‎باشد، يعني يكپارچه‎سازي محاسبات ابزاري وSaaS . همچنين Reese بيان مي‎دارد كه يك ابر مي‎تواند هم نرم‎افزار و هم زيرساخت باشد و چگونگي مصرف سرويس‌هاي ابري را خاطر نشان كرده‌است: "سرويس وب از طريق مرورگر وب (به‎طور غير اختصاصي) و يا API‎های وب سرويس‌ها قابل دسترسي است. براي شروع نياز به هزينه‎اي نيست. در واقع افراد تنها براي آنچه استفاده‎مي‎كنند هزينه مي‎پردازند." Foster و همكارانش محاسبات ابري را اين‎گونه تعريف مي‌كنند: "يك نمونه محاسباتي توزيع‎شده در مقياس بزرگ كه از صرفه‎جويي‎هاي مقياس نشات گرفته‎است، استخري است از انتزاع، مجازي‎سازي، به صورت پويا مقياس‎پذير، نيروي محاسباتي قابل مديريت، حافظه‎هاي ذخيره‏سازي، پلت‎فرم‎ها و سرويس‌هايي كه از طريق اينترنت بر‎اساس تقاضاي مشتريان خارجي در اختيار آنها گذاشته مي‎شود." دو ايده مهم كه در تعريف Foster و همكارانش اضافه شده است: مجازي‎سازي و مقياس‎پذيري است. مجردسازي محاسبات ابري از طريق مجازي‎سازي سخت‎افزار و نرم‎افزار سيستم زيرين انجام مي‎شود. منابع مجازي از طريق يك واسط مجرد از قبل تعريف‌شده (يك واسط برنامه‌كاربردي (API يا يك سرويس فراهم مي‎شوند. بنابراين، در سطح سخت‎افزار خام، منابع مي‎توانند طبق درخواست فرستاده‌شده به واسط اضافه و يا خارج گردند، در حالي كه واسط كاربر هيچ تغييري نكند. اين معماري روي لايه فيزيكي ابر، بدون تاثير روي واسط به كاربر مقياس‎پذير و منعطف است. سرانجام Vaquero و همكارانش، حدود 22 تعريف از محاسبات ابري كه همه در سال 2008 ارائه‎شده بودند را تحليل كردند. بر‎اساس آن تحليل، Vaquero و همكارانش تعريف زير را ارائه دادند كه هدف آن بازتاب درك كنوني از محاسبات ابري است: "ابرها استخر بزرگي از منابعي هستند كه قابل استفاده و دسترسي به صورت مجازي و به سادگی (مانند سخت‎افزار، پلت‎فرم‎هاي توسعه‎يافته و/يا سرويس‌ها) مي‎باشند. اين منابع مي‏توانند به‎طور پويا پيكربندي مجدد شوند تا در مورد يك بار (مقياس) متغير و همچنين استفاده بهينه از يك منبع متعادل گردند. اين استخر از منابع نوعاً بر‎اساس مدل پرداخت به ازاي استفاده كه در آن تضمين‎ها توسط فراهم‎كننده زيرساخت و توسط SLA‎ها تنظيم‎شده پيشنهاد شده است، ارائه مي‎گردد." به علاوه Vaquero و همکارانش مقياس‎پذيري، مدل استفاده بر‎اساس پرداخت و مجازي‎سازي را به عنوان مجموعه مشخصه‎اي كه، مينيمم تعريف ابرها دارند، خلاصه مي‌كنند. به هر حال، در حالي كه تعريف Vaquero و همكارانش ديگر تعريفات را با توجه به لايه فيزيكي خيلي خوب خلاصه كرده‌است اما به يكپارچه‎سازي سخت‎افزار با نرم‎افزار به عنوان يك سرويس به ميزان كافي اشاره نكرده‌است. تمامي تعريفات بيان‎مي‎دارند كه محاسبات ابري محيطي است كه شامل تعدادي جنبه است و مربوط به نمونه‏اي جديد از فناوري‎اطلاعات (تحويل و توسعه سخت‎افزار و برنامه‎هاي‎كاربردی) مي‎باشد. به‎طور كلي، محاسبات ابري در رابطه با تحويل قابليت‎هاي فناوري‎اطلاعات به مشتريان خارجي است و يا از ديدگاه كاربر، شامل تحويل قابليت‎هاي فناوري‎اطلاعات از يك فراهم‎كننده خارجي، به عنوان يك سرويس به صورت پرداخت به ازاي استفاده و از طريق اينترنت مي‎باشد. به علاوه، مقياس‎پذيري و مجازي‎سازي به عنوان مشخصه‏هاي كليدي محاسبات ابري ديده شده‎اند، مقیاس‎پذيري به تعديل منابع فناوري‎اطلاعات فراهم‎شده به نسبت بار متغير اشاره دارد. به عنوان نمونه، افزايش و يا كاهش تعداد كاربران، ظرفيت ذخيره‏سازي مورد نياز يا قدرت پردازش. مجازي‎سازي، كه به عنوان اساسي در تمامي معماري‎هاي محاسبات ابري است، اصولا براي تجريد و كپسوله‎سازی استفاده مي‎شود. تجريد اجازه مي‎دهد تا محاسبه خام، فضاي ذخيره‏سازي و منابع شبكه به عنوان استخري از منابع متحد شوند و پوشش و جاي‎گيري منبعي مانند سرويس‌هاي ذخيره‏سازي داده را روي آنها امكان مي‎سازد. سرانجام اينكه كپسوله‎سازي برنامه‎هاي‌كاربردي امنيت، قابليت مديريت و ايزوله‌سازي را بهبود داده‎است. مشخصه مهم ديگر ابرها يكپارچه‎سازي سخت‎افزار و نرم‎افزار سيستم با برنامه‎هاي‌كاربردي است. هم سخت‎افزار و هم نرم‎افزار سيستم، يا زيرساخت و برنامه‎هاي‌كاربردي به عنوان سرويس در يك محيط يكپارچه ارائه مي‎شوند ]9[. 2-4-2 مشخصات اصلی محاسبات ابری محاسبات ابری چند ویژگی اصلی دارد که ارتباط و تفاوت آنها را از روش‎های محاسبات سنتی نشان می‌دهد: خدمات سلف سرویس مورد تقاضا: ارائه‎دهنده محاسبات ابری باید توانایی ارائه منابع محاسباتی در هر زمانی که مشتری به آنها نیاز دارد را داشته‎باشد. در واقع مصرف‌کننده می‎تواند به‎طور یک جانبه قابلیت‌های محاسباتی مانند زمان سرور و حافظه‌ی شبکه مورد نیاز را به صورت خودکار، بدون نیاز به تعامل انسان با یک ارائه‎دهنده سرویس ‏فراهم کند. از نقطه نظر مشتری، منابع محاسباتی، تقریباً در دسترسی نامحدود هستند. دسترسی به شبکه گسترده: محاسبات ابری از فناوری‌های شبکه‌ی موجود برای ارائه سرویس به مشتریان استفاده و میان سهام‎داران اتصال برقرار می‌کند. همچنین سرویس‏ نرم‎افزاری مبتنی بر ابر را ترویج می‌دهد. ادغام منابع: هر ارائه‎دهنده‌ی ابر، مشتریان متعددی دارد. مشتریان، منابع محاسباتی را به صورت پویا از یک مخزن منابع گرفته و آنها را به مخازنی که هیچ تقاضایی وجود ندارد منتشر می‌کنند. میزانی از استقلال وجود دارد که مشتری به‎طور کلی هیچ کنترل و یا دانشی از محل دقیق منابع ارائه‎شده ندارد، اما ممکن‌است قادر به تعیین محل در سطح بالاتری از انتزاع (به عنوان مثال کشور، ایالت و یا مرکز داده) باشد. نمونه‌هایی از منابع شامل ذخیره‌سازی، پردازش، حافظه، پهنای باند شبکه و ماشین‌های‌مجازی است. قابلیت ارتجاعی سریع: براساس توافق‌نامه سطح سرویس خاص، ارائه‌دهنده ابر، منابع ارائه‌شده برای پاسخگویی به نیازهای در حال تغییر مشتری را برآورده می‎سازد که تخصیص منابع را با توجه به خواسته‌های فعلی جمع‌آوری‌شده از کاربران خود برآورده می‌کند و در غیر این صورت احتمالاً غرامت مشخصی برای عدم برآورده‌کردن توافق‌نامه سطح سرویس ‏مربوطه به هر یک از مشتریان پرداخت می‌کند. قابلیت‌ها می‎تواند به سرعت و به صورت ارتجاعی و در برخی موارد به‎طور خودکار با سرعت خارج از مقیاس تأمین و به سرعت در مقیاس داخل منتشر شود. برای مشتری، قابلیت‌های موجود برای تأمین اغلب نامحدود است و می‎تواند در هر مقدار و در هر زمان خریداری شود. تأمین منابع می‎تواند به سرعت رخ دهد، همچنین تقاضا برای منابع ممکن‌است به صورت پویا متفاوت باشد. پرداخت نسبت به استفاده: یک جنبه‌ی جدید دیگر محاسبات ابر، مدل حسابداری مبتنی بر استفاده از برنامه‌های‌کاربردی است. سیستم‌های ابر به‎طور خودکار استفاده از منابع را با بکارگیری قابلیت اندازه‌گیری در برخی سطوح انتزاع مناسب و بسته به نوع سرویس (به عنوان مثال ذخیره‌سازی، پردازش، پهنای باند یا حساب‌های کاربری فعال) کنترل و بهینه‌سازی می‌کنند. استفاده از منابع برای انواع مختلف سرویس ‏بر‎اساس معیار نوع سرویس ‏اندازه‌گیری می‌شود و مشتری تنها برای استفاده کوتاه مدت از پردازنده‌ها و ذخیره‌سازی هزینه می‎پردازد. به عنوان مثال استفاده می‎تواند در افزایش ساعت یا روز بکار رود، آنچه می‎تواند هزینه‎های سرمایه‌گذاری را به هزینه‎های عملیاتی تبدیل کند ]1، 2، 9، 15 و 16[. 2-5 معماری و مولفه‎های ابر در این بخش ابتدا یک دیدگاه کلی از ایده‎ها با توجه به ساختار و مولفه‎های ابر ارائه می‎شود. سپس معماری سه لایه ابرها بین خواهد‎شد. 2-5-1 دیدگاه کلی از ایده‎های موجود برای ساختارهای ابری و مولفه‎های آن در منابع موجود ساختارهای ابری زیادی را می‎توان یافت که این دسته‎بندی‎ها در نگاه اول متفاوتند اما در نهایت طبقه‎بندی و توصیف پدیده‎ی مشابهی را به اشتراک می‎گذارند. ساختاری با جزئیات کامل با هفت مولفه محاسبات ابری ارائه می‎دهد که شامل برنامه‎کاربردی، کلاینت، زیرساخت، پلت‎فرم، سرویس، فضای ذخیره‎سازی و قدرت محاسباتی می‎شود. به روش‎های متفاوتی که یک شرکت می‎تواند از محاسبات ابری برای توسعه برنامه‎های‎کاربردی تجاری‎اش استفاده کند نگاه می‎اندازد و چهار نوع متفاوت از توسعه سرویس ابری شامل نرم‎افزار به عنوان سرویس، پلت‎فرم به عنوان سرویس، سرویس‎های وب و محاسبات بر مبنای تقاضا را برمی‎شمرد. محاسبات بر مبنای تقاضا آن‎طور که بیان داشته‎است، همان محاسبات ابزاری است. Youseff و همکارانش برای محاسبات ابری پنج لایه قائل شده‎اند: برنامه‎کاربردی ابری، محیط نرم‎افزاری ابری، زیرساخت نرم‎افزاری ابری، کرنل نرم‎افزاری و سخت‎افزار/میان‎افزار. مرکز تحقیقات Forrester مولفه‎های ابرها را به بازارها مربوط کرده است و پنج بازار سرویس ابری را مشخص کرده است. دو مورد از این بازارها، یعنی سرویس‎های مبتنی بر وب و راهنماهای SaaS، به عنوان بازارهایی که از ابر تحویل داده‎می‎شوند، شناخته می‎شوند در حالی که سه زیرساخت بازاری ابری که به عنوان سرویس جدیدی هستند عبارتند از: مولفه‎های برنامه‎های‎کاربردی به عنوان سرویس، پلت‎فرم نرم‎افزار به عنوان سرویس و زیرساخت مجازی به عنوان سرویس. سرانجام Reese، SaaS را به عنوان نرم‎افزاری در ابر مورد ملاحظه قرار داده‎است و چهار مدل زیرساخت ابری به نام‎های پلت‎فرم به عنوان سرویس، زیرساخت به عنوان سرویس، ابرهای خصوصی و مدل چهارم که تمامی جنبه‎های مدل‎های زیرساخت ابری قبلی را ارائه می‎دهد، قائل شده است. ایده‎های بالا توصیف کاملی از یک زیرساخت ابری و مولفه‎هایش ارائه نمی‎کند. ایده‎ای که اغلب برای توصیف یک ساختار نوعی از ابرها و مولفه‎هایش استفاده‎می‎شود ایده‎ی سه لایه‎ای است که در بخش بعدی توضیح داده‎می‎شود ]9 و 17[. 2-5-2 مدل‎های سرویس ‏محاسبات ابری تعاریفی که در بخش (تعاریف ابر) ارائه شد، نشان داد که محاسبات ابری شامل قابلیت‎های متفاوت فناوری اطلاعات شامل زیرساخت، پلت‎فرم‎ها و نرم‎افزار است. می‎توان گفت اشکال، بخش‎ها، قسمت‎ها، استایل‎ها، انواع، سطوح یا لایه‎های متفاوت محاسبات ابری بدون توجه به اصطلاحات بکار‏رفته، این دسته‎بندی سه لایه برای محاسبات ابری بیشتر رایج است. از آنجایی که تحویل منابع فناوری اطلاعات یا قابلیت‎ها به عنوان سرویس مشخصه مهمی از محاسبات ابری است، سه لایه معماری محاسبات ابری عبارتند از (شکل 2-1): 1) زیرساخت به عنوان سرویس (IaaS) 2)پلت‎فرم به عنوان سرویس (PaaS) 3)نرم‎افزار به عنوان سرویس (SaaS) در ادامه سه لایه محاسبات ابری و ارتباط آنها با یکدیگر بیان می‎شود. 756920-175260زیرساخت به عنوان سرویس (IaaS)پلت‎فرم به عنوان سرویس (PaaS)یکپارچگی عمودیپلت‎فرم به عنوان سرویسنرم افزار به عنوان سرویس (SaaS)نرم افزار به عنوان سرویسGoogle AppsSalesforce.comGoogle Apps EngineForce.comیکپارچگی افقیزیرساخت به عنوان سرویسSun Cloud Storage ServiceAmazon EC2JoyentAmazon S3Sun Cloud Compute Serviceزیرساخت به عنوان سرویس (IaaS)پلت‎فرم به عنوان سرویس (PaaS)یکپارچگی عمودیپلت‎فرم به عنوان سرویسنرم افزار به عنوان سرویس (SaaS)نرم افزار به عنوان سرویسGoogle AppsSalesforce.comGoogle Apps EngineForce.comیکپارچگی افقیزیرساخت به عنوان سرویسSun Cloud Storage ServiceAmazon EC2JoyentAmazon S3Sun Cloud Compute Service شکل 2-1: سه لایه محاسبات ابری: IaaS، PaaS و SaaS ]9[. زیرساخت به عنوان سرویس قابلیت‌هایی برای ارائه‌ی پردازش، ذخیره‌سازی، شبکه‌ها و سایر منابع محاسباتی اساسی به مشتری ارائه می‎دهد که در آن مشتری می‎تواند یک سیستم‎عامل، برنامه‌ی‌کاربردی یا هر نرم‎افزار منتخب را اجرا و عملیاتی کند. مشتری، زیرساخت‌های اساسی ابر را مدیریت یا کنترل نمی‌کند اما بر سیستم‎عامل، ذخیره‌سازی و گسترش برنامه‌های‌کاربردی‌کنترل دارد و احتمالا کنترل محدودی روی اجزای شبکه انتخابی دارد (به عنوان مثال میزبان فایروال). در واقع چیزی که IaaS ارائه می‎دهد منابع محاسباتی مانند پردازشگر یا فضای ذخیره‎سازی است که می‎تواند به عنوان سرویس استفاده گردد. مثال‎هایی از سرویس‎های وب Amazon با محاسبات قابل ارتجاع ابری (EC2) برای پردازش و سرویس ذخیره‎سازی ساده (S3) برای ذخیره‎سازی و Joyent که زیرساخت مبتنی بر تقاضای مقیاس‎پذیر برای اجرای وب سایت‎ها و برنامه‎های‎کاربردی وب غنی می‎باشد. فراهم‎کنندگان PaaS و SaaS می‎توانند سرویس‎های خود را بر مبنای واسط‎های استاندارد شده روی IaaS قرار دارند. به جای فروش زیرساخت سخت‎افزاری خام، فراهم‎کنندگان IaaS نوعاً زیرساخت مجازی‎شده‌ای به عنوان سرویس ارائه می‎دهند. Foster و همکارانش به سطح منابع سخت‎افزاری خام مانند نیروی محاسباتی، فضای ذخیره‎سازی و منابع شبکه لایه fabric می‎گویند. نوعاً با استفاده از مجازی‎سازی، منابع سطح سخت‎افزار مجردسازی و کپسوله می‎شوند و بنابراین می‎توانند در معرض لایه بالاتر و کاربران نهایی از طریق واسط‎های استاندارد شده به عنوان منابع یکپارچه‎شده به فرم IaaS قرار می‎گیرند (شکل 2- 2). قبل از ظهور محاسبات ابری، زیرساخت به عنوان سرویس برای مدتی موجود بود که به آن محاسبات ابزاری می گفتند که حتی توسط بعضی از نویسندگان به عنوان لایه زیرساخت محاسبات ابری یاد می‎شود. در مقایسه با چیزی که محاسبات ابزاری ارائه می داد، IaaS سیر تکاملش به سمت حمایت از یکپارچه‎سازی برای تمام سه لایه (IaaS، PaaS و SaaS) در یک ابر است. از ابتدای ارائه محاسبات ابری واضح بود که برای محاسبات ابری فراهم‎کنندگان موفق اند، آنها می‎بایست واسطی آماده می‎کردند که دسترسی، درک، برنامه‎نویسی و استفاده از آن ساده باشد یعنی یک API که یکپاچه‎سازی با زیرساخت برنامه‎های‎کاربردی SaaS مشتریان و فراهم‎کنندگان بالقوه را فراهم می‎سازد. مراکز داده فراهم‎کنندگان محاسبات ابزاری به میزان کافی استفاده می‎شد اگر تنها توسط توده مهمی از مشتریان و فراهم‎کنندگان SaaS استفاده شوند. به عنوان نتیجه‎ای از شرایط لازم برای دسترسی آسان و مجرد شده به لایه فیزیکی یک ابر، مجازی‎سازی لایه فیزیکی و پلت‎فرم‎های برنامه‎نویسی برای توسعه‎دهندگان به عنوان مشخصه اصلی ابرها محسوب می‎گردد. شکل 2- 2: معماری ابری مربوط به سرویس‎های ابری ]15[. پلت‌فرم به عنوان سرویس پلت‎فرم‎ها لایه‎ای مجرد بین برنامه‎های‎کاربردی نرم‎افزار (SaaS) و زیرساخت مجازی‎شده (IaaS) هستند. ارائه‎دهنده‌ی ابر، سخت‎افزار و قابلیت‌ ایجاد یا خریداری برنامه‌های‌کاربردی مشتری برای گسترش بر روی زیرساخت‌های ابر، با استفاده از زبان‌های برنامه‌نویسی و ابزار پشتیبانی را ارائه‎می‌دهد. مشتری، زیرساخت‌های اساسی ابر مانند شبکه، سرورها، سیستم‌های‌عامل و ذخیره‌سازی را مدیریت یا کنترل نمی‌کند، اما برنامه‌های‌کاربردی گسترش‌یافته و احتمالاً پیکربندی محیط میزبان برنامه‌های‌کاربردی را کنترل می‌کند. ارائه‎دهندگان PaaS، توسعه‎دهندگان نرم‎افزار را هدف قرار داده‎اند. توسعه‎دهندگان کد، برنامه‎کاربردیشان را روی پلت‎فرم بارگذاری می‎کنند که نوعاً وقتی رشد استفاده از برنامه‎های‎کاربردی بالا می‌رود این مساله را به‎طور اتوماتیک مدیریت می‎کنند. ارائه‎دهندگان PaaS می‎توانند تمامی فازهای توسعه نرم‎افزار را پوشش دهند یا ممکن است روی ناحیه مشخص و معینی مثل مدیریت محتوا خاص شده‎باشند. مثال‎ها عبارتند از Google App Engine که اجازه‎ی اجرای برنامه‎های‎کاربردی روی زیرساخت Google را می‎دهد و پلت‎فرم Salesforce.com. لایه PaaS یک ابر بر واسط استاندارد شده لایه IaaS تکیه دارد که دسترسی به منابع موجود را مجازی می سازد و واسط‎های استاندارد شده و یک پلت‎فرم برای لایه SaaS فراهم می‎کند. نرم‎افزار به عنوان سرویس قابلیت‌های ارائه‎شده به مشتری برای استفاده از برنامه‌های‌کاربردی ارائه‎دهنده‌ی در حال اجرا بر روی زیرساخت‌های ابر می‎باشد. برنامه‌های‌کاربردی برای دستگاه‌های مختلف مشتریان از طریق یک رابط مشتری نازک مثلاً یک مرورگر وب (به عنوان مثال، ایمیل مبتنی بر شبکه) در دسترس هستند. مشتریان، زیرساخت‌های اساسی ابر از جمله شبکه، سرورها، سیستم‌عامل، ذخیره‌سازی یا حتی قابلیت‌های نرم‎افزاری شخصی را به استثنای پارامترهای برنامه‌کاربردی (مثل تنظیمات پیکربندی برنامه خاص کاربر محدود) مدیریت یا کنترل می‌کنند. همان‎طور که قبلا بیان شد، SaaS نرم‎افزاری است که تحت مالکیت و مدیریت از راه دور یک یا چند فراهم‎کننده است و بر‎اساس استفاده بر مبنای پرداخت هزینه ارائه می‎شود. SaaS مشهودترین لایه محاسبات ابری برای کاربران نهایی است چرا که در ارتباط با برنامه‎های‎کاربردی نرم‎افزاری واقعی است که مورد دسترسی و استفاده واقع می‎گردد. از نقطه نظر کاربر، داشتن نرم‎افزار به عنوان سرویس اساساً به‎خاطر مدل پرداخت بر‎اساس استفاده و به علت مزایای هزینه به آنها انگیزه می‎دهد. مثال‎هایی معروف از ارائه‎دهندگان SaaS، Salesforce.com و Google Apps مانند Google Mail، Google Docs و Spreadsheets هستند. کاربر نوعی یک ارائه‎دهنده SaaS معمولاً نه دانش و نه کنترلی روی زیرساختِ پلت‎فرم نرم‎افزاری که ارائه‎دهنده SaaS بر مبنای آن است (PaaS) و یا زیرساخت سخت‎افزاری واقعی (IaaS) ارائه‎شده به او دارد. به‎طور کلی لایه‎ها خیلی به فراهم‎کننده SaaS مربوط هستند چرا که لازم می‎باشند و می‎توانند به عنوان منبع خارجی باشند. برای مثال، یک برنامه‎کاربردی SaaS می‎تواند روی یک پلت‎فرم موجود توسعه داده‎شود و روی زیرساخت شخص ثالثی اجرا گردد ]1، 2، 9 و 15[. 2-6 دسته‎بندی ابرها ابرها معمولاً مي‎توانند طبق اينكه مالك داده مراكز ابر كيست، دسته بندي شوند. يك محيط ابري هم مي‎تواند شامل يك ابر و هم شامل چند ابر باشد. بنابراين بين محيط‎هاي تك ابري يا چند ابري بايد تمايز قائل شد. زيربخش‏هاي زير دسته بندي‎اي از محيط‎هاي تك ابري بر مبناي مالك مركز داده ابر و دسته بندي بر مبناي محيط‎هاي چندابري بر مبناي مالك مراكز داده ابري است. صرف نظر از مدل سرویس‏ مورد استفاده، چهار مدل برای گسترش سرویس‏ ابر وجود دارد: ابرهای عمومی: زیرساخت‌های ابر ساخته‎شده که در دسترس عموم افراد یا گروه‌های صنعتی بزرگ قرار دارد و متعلق به سازمان فروشنده‌ی سرویس ابر است. سازمان مسئول ممکن‌است انواع مختلفی از سرویس‌های ابر را با استفاده از مدل ابرهای عمومی ارائه دهد. ابرهای خصوصی2: برای استفاده‌ی انحصاری یکی از مشتریان (یک سازمان واحد) ساخته‎شده، که مالک آن است و به‎طور کامل ابر را کنترل می‌کند، که منابع ممکن‌است در داخل یا خارج از سازمان باشند و به صورت محلی از طریق سازمان یا شخص ثالث اداره شود. این واقعیت که ابر توسط یک مشتری خاص استفاده می‌شود ویژگی متمایز هر ابر خصوصی است. ابرهای متحد‎شده3: هنگامی که چندین مشتری (سازمان‎های مختلف) نیازهای مشابه دارند، می‎توانند یک زیرساخت، پیکربندی و مدیریت ابر را به اشتراک بگذارند. این مدیریت ممکن‌است به صورت محلی توسط مشتری (سازمان) یا توسط اشخاص ثالث انجام شود. ابرهای ترکیبی4: زیرساخت‌های ابر مرکب ابرهاي عمومي و خصوصي را به عنوان یک موجودیت واحد و همراه با فناوری‌های استاندارد یا اختصاصی محدود تركيب مي‌كنند و به يك سازمان اجازه مي دهند كه تعدادي برنامه‌كاربردي را هم روي زيرساخت يك ابر داخلي و هم روي ابرهاي عمومي اجرا كند که داده‌ها و قابلیت حمل برنامه‌های‌کاربردی (به عنوان مثال، انفجار ابر برای تعادل بار بین ابرها) را پشتیبانی می‌کنند ]1، 2، 15 و 16[. به اين ترتيب، شركت ها مي‎توانند از منابع مقياس‎پذير فناوري‎اطلاعات ارائه‎شده توسط فراهم‌كنندگان خارجي سود برند، در حالي كه برنامه‎هاي‌كاربردي خاص و يا داده را دورن ديواره آتش نگه مي‎دارند. يك محيط ابري تركيبي، پيچيدگي را با وجود توزيع برنامه‎هاي‌كاربردي در محيط‎هاي متفاوت، نظارت زيرساخت داخلي و خارجي درگير، امنيت را افزايش دهد و ممكن‌است در مورد برنامه‎هاي‌كاربردي اي كه نياز به پايگاه‎هاي داده پيچيده و يا همگام‎سازي دارند مناسب نباشند. ابرهاي متحد‎شده مجموعه‎اي از ابرهاي تكي هستند كه مي‎توانند با يكديگر كار كنند به عنوان نمونه تبادل داده و منابع محاسباتي از طريق واسط‎هاي از قبل تعريف شده. طبق اصول كليدي اتحاد، در اتحاد ابرها تك تك ابرها مستقل مي‎مانند اما مي‎توانند با ديگر ابرها در اتحاديه از طريق واسط‎هاي استاندارد شده با يكديگر كار كنند. اصطلاح ابرهاي اتحادي يا اتحاديه ابرها به همكاري و اتحاد ابرهاي عمومي و يا حتي ابرهاي خصوصي درگير اشاره دارد. فراهم‌كنندگان زيرساخت ابري لازم است منابع محاسباتي مقياس‎پذير زيادي را فراهم‎كنند. اين مسئله به كاربران و فراهم‌كنندگان SaaS ابري اجازه می‎دهد كه در مورد زيرساخت محاسباتي مورد نياز براي اجراي سرويس‎هايشان نگران نباشند. فراهم‌كنندگان زيرساخت ابري ممكن‌است خودشان با مشكل مقياس‎پذيري رو به رو شوند. يك شركت ميزبان تكي ممكن‌است قادر به فراهم‎كردن زيرساخت محاسباتي ناحدودي كه بتواند به تعداد افزايشي‌اي از برنامه‎هاي‌كاربردي با تعداد زيادي كاربر و دسترسي در هر زمان و در هر كجا سرويس دهد، نباشد. در نتيجه، فراهم‌كنندگان زيرساخت ابري ممكن‌است براي اينكه قادر به خدمت‎رساني نيازهاي فراهم‌كنندگان سرويس ابري باشند، شريك شوند، به عنوان نمونه فراهم‎كردن ابزار محاسباتي نامحدود. بنابراين، ابر ممكن‌است يك اتحاديه از فراهم‌كنندگان زيرساخت يا يك اتحاديه از ابرها باشد. 2-7 چند اجاره‌ای چنداجاره‌ای در مدل‎های سرویس ابر، نیازهای مربوط به پیاده‎سازی سیاست محور، تقسیم‌بندی، جداسازی، هماهنگی، سطوح سرویس ‏و مدل‎های بازگشت سرمایه/حسابداری برای حوزه‌های مختلف مشتری را نشان می‌دهد. مشتریان ممکن‌است از سرویس ‏ارائه‎شده توسط ارائه‌دهندگان ابرهای عمومی یا سازمان‎های مشابه استفاده‎کنند. از دیدگاه ارائه‌دهنده، چند‌اجاره‌ای روش معماری و طراحی برای صرفه به مقیاس فعال، دردسترس بودن، مدیریت، تقسیم‌بندی، جداسازی و بازدهی عملیاتی زیرساخت‌های مشترک نفوذی، داده‌ها، فرا‌داده، سرویس‏ و برنامه‌های‌کاربردی در میان مشتریان مختلف را نشان می‌دهد. شکل 2-3 مدل چند اجاره‌ای را نشان می‌دهد. شکل 2-3: چند‌اجاره‌ای ]1[. 2-8 مجازی‌سازی2 در مدل ابر، آنچه مشتریان واقعاً برای آن پول می‎پردازند و آنچه که آنها به صورت پویا اجاره می‌کنند، ماشین‌های مجازی است. این توانایی به ارائه‌دهنده‌ی سرویس ابر اجازه می‌دهد زیرساخت‌های ابر واقع در مراکز داده را بین مشتریان مختلف به اشتراک بگذارند. مجازی‌سازی به انتزاع منابع کامپیوتر با استفاده از ماشین‌های مجازی اشاره دارد. مجازی‌سازی اجازه می‌دهد تا سیستم‌عامل‌های چندگانه به‎طور همزمان در یک دستگاه فیزیکی مشابه اجرا شوند. مجازی‌سازی و مهاجرت پویای ماشین‌های مجازی در محاسبات ابری باعث استفاده‌ی کارآمدتر از منابع فیزیکی در دسترس موجود می‌شود. مجازی‌سازی با افزودن یک لایه زیرِ سیستم‎عامل (بین سیستم‎عامل و سخت‎افزار) بدست‎آمده‌است. دو گزینه‌ی متفاوت برای این لایه مجازی‌ساز وجود دارد: نوع یک: این نوع از لایه‌ی مجازی‌سازی، مجازی‌سازی محلی نام دارد و توسط مدیریت ماشین مجازی اجرا می‌شود. به‎طور مستقیم بر روی سیستم نصب‎شده و دسترسی مستقیم به سخت‎افزار دارد. سیستم‎عامل در بالاترین سطح قرار می‎گیرد. به همین دلیل سریع‌ترین، مقیاس‌پذیرترین و قوی‌ترین گزینه است. 5509895-21082635نوع دو: مجازی‌سازی میزبان. مدیریت ماشین مجازی به عنوان یک برنامه‌ی‎کاربردی بر روی سیستم‎عامل میزبان قرار می‎گیرد و ماشین‌های مجازی روی مدیریت ماشین مجازی اجرا می‌شوند. در هر دو صورت لایه‌ی مجازی‌ساز تمام ماشین‌های مجازی را مدیریت می‌کند. ناظر ماشین مجازی، برای هر یک راه‌اندازی می‌شود. امروزه روش مدیریت ماشین مجازی‏‏ در همه‌ی مراکز محاسبات ابری استفاده می‌شود و به عنوان کارآمدترین گزینه در شرایط استفاده ‏از سخت‎افزار است (شکل 2-4). شکل 2-4: مجازی‌سازی مدیریت ماشین مجازی نوع یک و دو ]16 و 18[. 2-9 شکل‌های ابر انجمن جریکو به‎طور خلاصه چهار معیار برای شکل‌های مختلف ابر از یکدیگر شناسایی کرده که به مدل مکعب ابر معروف است. این چهار بعد در ادامه توضیح داده شده‌اند:‏ 2-9-1 بعد یک: داخلی/خارجی این بعد موقعیت فیزیکی داده‌ها را تعریف می‌کند. شکل‌های ابری که می‌خواهید استفاده کنید کجا هستند. داخل یا خارج از محدوده‌های سازمان هستند. اگر درون محدوده‌ی فیزیکی سازمان قرار دارند پس داخلی هستند. اگر درون محدوده‌ی فیزیکی سازمان قرار ندارند پس خارجی هستند. برای مثال، دیسک‌های سخت مجازی در یک مرکز داده‌ی سازمان می‌تواند داخلی باشد، در حالی که آمازن در برخی ‏از موقعیت‌های خارج از سازمان، خارجی است. ‏ این فرض که بعد داخلی از بعد خارجی امن‌تر است یک فرض غلط است. استفاده‌ی موثر از هر دو مدل بهترین استفاده‌ی امن را به‎طور احتمالی فراهم می‌کند. 2-9-2 بعد دو: اختصاصی/باز این بعد حالت مالکیت فناوری، سرویس، ‏واسط‌های ابر و ... را تعریف می‌کند. این بعد درجه‌ای از قابلیت‌های همکاری و نیز محل برنامه و داده‌ها بین سیستم‌ها و شکل‌های ابر دیگر را نشان می‌دهد و توانایی صرف‎نظر کردن ‏داده‌ها از یک شکل ابر یا حرکت آنها به شکل‌های بدون محدودیت دیگر را فراهم می‌کند. همچنین ‏محدودیت‌های روی توانایی اشتراک برنامه‌ها را نشان می‌دهد. اختصاصی به این معنی است که سازمان سرویسی فراهم می‌کند که متوسطی از مفاهیم را تحت مالکیتش ‏نگه دارد. به عنوان یک نتیجه، هنگام عملیات در ابرهایی که اختصاصی هستند، بدون تلاش‌های معنی‌دار یا ‏سرمایه، توانایی حرکت به تأمین‌کننده‌ی ابر دیگر ممکن نیست. اغلب، بیشتر پیشرفت‌های فناوری‌های ‏ابداعی در حوزه‌ی اختصاصی رخ می‌دهد. ‏ ابرهای باز در فناوری‌هایی که اختصاصی نیستند استفاده می‌شود، به این معنی که احتمالا تأمین‌کنندگان ‏بیشتری وجود دارند و شما محدودیتی در توانایی اشتراک داده‌ها و همکاری با بخش‌های انتخاب‌شده برای ‏استفاده از فناوری‌های مشابه ندارید. سرویس ‏باز تمایل به گسترش و مصرف شدن دارند و بیشتر به ‏عنوان یک استاندارد باز منتشر می‌گردند. 2-9-3 بعد سه: محیطی/غیرمحیطی بعد سوم طرز معماری را ارائه‎می‌دهد–آیا درون محیط IT یا خارج آن عملیات می‌کند؟ غیرمحیطی معمولاً با ‏شکست تدریجی/از بین رفتن/کاهش/فروپاشی محیط IT مبتنی بر انبار ارتباط دارد. محیطی به‎طور پیوسته برای عملیاتی کردن داخل محیط IT سازمان بکار می‌رود، اغلب توسط ‏دیوارهای آتش شبکه علامت‌دهی می‌شود. هنگام اجرا در نواحی محیطی، ممکن است به سادگی ‏محیط سازمان در خارج از دامنه‌ی محاسبات ابر با استفاده از یک شبکه خصوصی مجازی یا سرور مجازی عملیاتی در ‏دامنه‌ی پروتکل اینترنت آن، به دلیل استفاده از سرویس ‏دایرکتوری خودتان برای کنترل دسترسی، گسترش داده‎شود. ‏ غیرمحیطی فرض می‌کند که محیط سیستم از جریان طراحی‎شده‌ی اصول هر فرمان انجمن جریکو و ‏چارچوب معماری همکاری‌گرا ساخته‎شده است. نواحی غیرمحیطی در مدل مکعب ابر هم در دامنه‌ی داخلی و هم خارجی استفاده می‌شود. همکاری یا ‏اشتراک داده‌ها نباید به عنوان داخلی یا خارجی دیده شود، بلکه باید توسط آن کنترل و محدود به طرفین شود ‏که سازمان‌ها با استفاده از آن انتخاب می‌کنند. 2-9-4 بعد چهار: برون‎سپاری/درون‎سپاری این بعد به سوال "چه کسی ابر شما را اجرا خواهد کرد؟" پاسخ می‌دهد:‏ برون‎سپاری: سرویس توسط یک طرف سومی فراهم شده است. ‏ درون‎سپاری: سرویس توسط کارمندان شما و تحت کنترل شما فراهم شده است ]19[. 2-10 فرصت‎ها و چالش‎های محاسبات ابری به‎طور كلي، براي تمامي انواع مختلف مشتريان ابري، يك ابر فرصت‎هاي اصلي را به صورت X به عنوان سرویس ارائه می‎دهد. از دیدگاه کاربر، مدل پرداخت بر مبناي ابزار به عنوان يكي از مزاياي اصلي محاسبات ابري در نظر گرفته مي‎شود. نيازي به سرمايه‎گذاري در زيرساخت نيست: سرمايه‎گذاري در مجوزهاي نرم‎افزار و ريسك پرداخت هزينه مجوز نرم‎افزار و استفاده نكردن از آن و سرمايه‎گذاري در زيرساخت‎هاي سخت‎افزاري و نگهداري آن و كاركنان. بنابراين، هزينه‎هاي سرمايه‎گذاري به هزينه‎هاي عملياتي تبديل شده است. كاربران يك سرويس ابري تنها از ميزاني از منابع فناوري‎اطلاعات كه واقعاً نياز دارند استفاده مي‌كنند و تنها به ميزاني كه از منابع فناوري‎اطلاعات واقعاً استفاده كرده‎اند هزينه پرداخت مي‌كنند. در عين حال، آنها امكان استفاده از مقياس‎پذيري و انعطاف پذيري ابر را هم دارند. با اين حال، محاسبات ابري معايبي نيز دارد: ابرها به مشتريان متفاوتي سرويس ارائه مي دهند. بنابراين، كاربران يك سرويس ابر از اينكه كار چه شخص ديگري روي همان سروري است كه كار آنها مي‎باشد، اطلاعي ندارند. يك ابر نوعي در خارج از شركت و يا فايروال سازمان است. در حالي كه اين مساله ممكن‌است نقش عمده‎اي براي مصرف‌كنندگان بازي نكند، اما مي‎تواند تاثير قابل توجهي در تصميم‎گيری‎هاي شركت در استفاده از خدمات ابر داشته‎باشد. خطرات عمده‎ي محاسبات ابري عبارتند از: در دسترس بودن، امنيت، کارایی، اطلاعات در قفل، محرمانه بودن و قابلیت بررسی اطلاعات، گلوگاه‏هاي انتقال داده، سختي يكپارچه‎شدن با فناوري‎اطلاعات محلي و كمبود تطبيق‎پذيري. كاربر بايد به قول فراهم‎كننده ابر با تكيه بر قابليت اطمينان، كارايي و كيفيت سرويس زيرساخت اعتماد داشته‎باشد. استفاده از ابرها به امنيت بالاتر و ريسك‎هاي پنهاني مربوط به ذخيره‏سازي و مديريت داده به دو روش مربوط مي‎گردد: اولاً به علت نياز به انتقال داده به ابر به‎طوري كه داده در ابر پردازش شود. ثانياً چون داده روي يك زيرساخت خارجي ذخيره‌مي‎شود و مالك داده به بيمه فراهم‎كننده داده اعتماد دارند مبني بر اينكه هيچ دسترسي غيرمجازي صورت نمي‎گيرد. به علاوه، استفاده از ابرها نياز به سرمايه‎گذاري در يكپارچه‎سازي زيرساخت و برنامه‌كاربردي با ابر دارد. در حال حاضر، استانداردي براي واسط‎هاي IaaS، PaaS و SaaS وجود ندارد. كه اين مساله انتخاب يك فراهم‎كننده ابري و سرمايه‎گذاري در يكپارچه‎سازي با ابرها را پر ريسك مي‎سازد. با داشتن يك log in قوي مي‎توان به نتيجه رسيد كه اين براي فراهم‎كننده ابر مزيت است اما براي كاربران يك عيب مي‎باشد. با وجود ريسك استفاده از ابرها، در هر حالت يك ارزيابي با دقت و مقايسه مزاياي بالقوه و ريسك‎ها لازم است. همچنين، اين مساله بايد مورد ملاحظه قرار گيرد كه چه داده و پروسسي براي منابع ابري مناسب است و چه داده و پروسسي را نبايد در خارج از ديوارهاي آتش سازمان استفاده كرد. 2-11 چالش‌های امنیتی محاسبات ابری محاسبات ابری به‎طور ذاتی امن نیستد. امنیت در ابر اغلب نامحسوس و کمتر قابل مشاهده است. چالش‌های مربوط به امنیت اطلاعات، مدیریت هویت و دسترسی برخی از چالش‌های امنیتی محاسبات ابری می‎باشند. کاربران ابر معمولاً هیچ کنترلی روی منابع ابر استفاده‎شده ندارند و یک ریسک افشای داده‌ی ذاتی برای کاربر یا ارائه‎دهنده‌ی ابر وجود دارد. معماری محاسبات ابری نیازمند انطباق معیارهای مدیریت دسترسی و شناسایی است. هنگامی که بررسی یا ذخیره‌سازی داده‌ها درون یک محیط عمومی برای شخص خاصی تایید شده‎باشد، باید پیش‌بینی‌های مناسب برای اطمینان از کنترل‌ کامل و بدون وقفه در سرتاسر داده‌های آنها توسط مالکان داده انجام شود ]3[. 2-12 چالش‌های حفظ حريم خصوصی محاسبات ابری در محیط محاسبات ابر، ارائه‎دهندگان ابر توسط مشتری تعریف می‌شوند که می‎تواند میزبان یا انبار داده‌های مهم، فایل‌ها و رکورد‌های کاربران ابر باشند. حفظ کنترل اطلاعات برای صاحب اطلاعات یک موضوع مهم است. با توجه به حجم یا مکان ارائه‎دهندگان محاسبات ابر، نگهداری و کنترل اطلاعات یا داده‌ها در همه‌ی زمان‌ها برای شرکت‌ها و کاربران خصوصی مشکل است و به همین دلیل آنرا به تامین کنندگان ابر واگذار می‌کنند. حفظ حریم خصوصی برای جلب اعتماد کاربر و نیازهای مراحل طراحی، یک موضوع مهم در محاسبات ابری است. حساسیت محرمانگی اطلاعات، نحوه دسترسی به داده‌ها و شرایط انتقال داده‌ها از جمله چالش‌های حفظ حریم خصوصی هستند. شرکت‌های در حال رکورد درک کرده‌اند که می‎توانند به سادگی با بهره‎برداری از ابر درون خود، دسترسی سریعی به بهترین برنامه‌های کسب‌و‌کار به دست آورند. اطلاعات زیادی از افراد و شرکت‌ها در ابر قرار داده‎شده است که ممکن‌است همه یا برخی از اطلاعات حساس (مثلاً سوابق بانکی) یا از نظر قانونی حساس (مثلاً پرونده‌های سلامت)، دارای محرمانگی یا ارزشمندی زیادی به عنوان دارایی شرکت باشند (مثلاً اسرار کسب‌و‌کار) که نشان‌دهنده‌ی اهمیت محرمانگی اطلاعات است. کاربران یک ابر مشابه، مفاهیم و اساس مشترک پردازش و ذخیره‌ی داده‌ها را به اشتراک می‎گذارند. آنها به‎طور طبیعی در معرض خطر نشت، افشای تصادفی یا عمدی اطلاعات هستند. در انتقال داده‌ها اگر داده مورد استفاده یا در دامنه‌ای قرار داده‎شود، ممکن‌است ابر به‎طور منظم موقعیت را تغییر دهد یا روی مکان‌های چندگانه همزمان مستقر شود ]7[. 2-13 محافظت از داده‎ها داده‌های ذخیره‎شده در یک ابر عمومی، معمولاً در یک محیط مشترک مرتب‎شده با داده‎ها برای مصرف‌کنندگان دیگر مستقر شده‎اند. سازمان‎ها، داده‌های حساس و منظم را درون یک ابر عمومی مستقر می‌کنند، بنابراین باید ابزارهایی برای کنترل دسترسی و نگهداری امن از داده‎ها در نظر گرفته شود. داده‌های در حال استراحت، در حال انتقال و در حال استفاده باید امن باشند و دسترسی به داده‎ها باید کنترل شود. استانداردهایی برای پروتکل‌های انتقال و مجوز‌های کلید عمومی اجازه‌ی انتقال داده‎ها برای محافظت با استفاده از رمزنگاری را می‌دهد و می‎تواند معمولاً با کارهای مشابه در محیط‌های زیرساخت به عنوان سرویس، پلت‌فرم به عنوان سرویس و نرم‎افزار به عنوان سرویس پیاده‎سازی شود. امنیت یک سیستم با بکارگیری رمزنگاری به کنترل مناسب کلیدهای مرکزی و اجزای مدیریت کلید وابسته است. اخیراً، مسئولیت مدیریت کلید رمزنگاری به‎طور کلی روی مصرف‎کننده ابر رخ می‌دهد. تولید و ذخیره کلید معمولاً بیرون از ابر با استفاده از ماژول‌های امنیت سخت‎افزار انجام می‎گیرد. 2-14 راهکارهای حفاظت از داده‌ها ‏برای حفاظت از داده‌ها راهکارهایی ارائه‎شده است که برخی از آنها به شرح زیرند: انتخاب مدل گسترش ابر: کدام مدل گسترش ابر انتخاب ‏شود. داده‌های حساس: نحوه‌ی طبقه‌بندی داده‌های ذخیره یا پردازش‎شده در ابر چگونه باشد. فناوری‌های رمزگذاری داده‌ها: انتخاب الگوریتم‌های هش، رمزگذاری و کلیدهای طولانی مناسب برای محافظت از داده‎ها هنگام عبور از شبکه. مالکیت داده و دسترسی کاربران مجاز: مالکیت حقوقی داده‌های مشتری حفظ و سیستم‌های مدیریت دسترسی برای ورود کاربران به سیستم استفاده‎شود. مدیریت کلید رمزگذاری داده‌ها: مدیریت رمزگذاری و رمزگشایی داده‌ها و کلیدهای استفاده‎شده توسط فروشنده و مشتری انجام شود. تهیه‌ی سخت‌افزار و نرم‎افزار: سخت‌افزار و نرم‎افزار مورد نیاز برای زیرساخت ابر توسط یک ‏منبع عرضه‌ی مشروع مورد استفاده قرار گیرد ]3[. 2-15 خطرات مشترک امنیت اطلاعات در ابر خطرات متعددی برای امنیت داده‌های محاسبات ابری وجود دارد که باید هنگام پرداختن به امنیت داده‌ها در نظر گرفته شود. این خطرات شامل فیشینگ، امتیاز دسترسی ارائه‎دهنده‌ی‎سرویس ابر و منبع یا منشأ خود داده‌ها می‌باشد. 2-15-1 فیشینگ یکی از خطرات غیر مستقیم برای داده‌های در حال حرکت، فیشینگ است. هر چند امروزه به‎طور کلی شکستن زیرساخت کلید عمومی بعید است، فریب کاربران نهایی در ارائه اعتبار برای دسترسی به ابرها امکان‎پذیر است. فیشینگ تلاش برای به دست آوردن اطلاعاتی (گاهی اوقات به‎طور غیر مستقیم، پول) از قبیل نام‌کاربری، کلمه عبور و ‏جزئیات کارت اعتباری با قیافه مبدل به عنوان یک نهاد قابل اعتماد در ارتباطات الکترونیکی است ]20[. فیشینگ از تکنیک‌های مهندسی اجتماعی برای فریب کاربران و سوء استفاده از قابلیت‌های ضعیف از فناوری‌های امنیت وب موجود استفاده می‌کند ]18[. 2-15-2 حق دسترسی پرسنل ارائه‎دهنده خطر دیگر در امنیت داده‌های ابر، دسترسی نامناسب به داده‌های حساس مشتری توسط پرسنل ابر است. سرویس برون‌سپاری ‎شده‌ی مبتنی بر ابر یا غیر ابر می‌تواند کنترل‌های سازمان‎های IT که از طریق کنترل‌های فیزیکی و منطقی اعمال شده‎اند را دور بزند. این خطر یک تابع با دو عامل اصلی است: اول، تا حد زیادی داده‌های رمزگذاری‎نشده در معرض افشا شدن قرار دارد و دوم، پرسنل ارائه‎دهنده ابر به آن داده دسترسی دارند. ارزیابی این خطر مستلزم شیوه‌های ارائه‎دهنده‌ی‎سرویس ‏ابر و تضمین این است که پرسنل ارائه‎دهنده‌ی‎سرویس ابر با حق دسترسی، به داده‌های مشتری دسترسی نخواهند داشت ]21[. 2-16 برنامه‌های‌کاربردی و محدودیت‌های رمزنگاری ‏داده‌ها بروس اشنایر، در مقاله خود ]22[ در مورد چگونگی رمزنگاری داده‌های در حال استراحت توضیح می‌دهد. یکی از نکات کلیدی اشنایر برای داده‌های در حال حرکت، کلیدهای رمزنگاری بی‌دوام است. اظهارات اشنایر به این صورت است: "کل مدل بر روی اینترنت قرار می‌گیرد. بخش عمده‌ای از داده‌های ذخیره‌شده بر روی اینترنت به‎طور جانبی توسط افراد استفاده می‌شود، که برای استفاده‌ی کامپیوترهای دیگر در نظر گرفته شده است و مشکل در آن نهفته است. کلید‌ها نمی‌توانند مانند قبل در ذهن افراد ذخیره شوند و به ذخیره بر روی کامپیوترهای مشابه در شبکه، که داده‌ها در آن مستقر است نیاز دارند و این بسیار خطرناک‌تر است." 2-17 احراز هویت داده‎ها ‏و شناسایی کاربران حفظ محرمانگی، یکپارچگی و در‌دسترس بودن برای امنیت داده‌ها، یک برنامه‌ی‌کاربردی صحیح و پیکربندی‌شده از شبکه‌ها، سیستم‌ها و مکانیزم‌های امنیتی کاربردی در سطوح مختلف زیرساخت ابر است. احراز هویت کاربران و حتی سیستم‌های برقراری ارتباط از طریق وسایل مختلف انجام می‌شود، اما مبنای هر یک از این موارد رمزنگاری است. احراز هویت کاربران اشکال مختلفی دارد، اما همه‌ی آنها بر‎اساس ترکیبی از عوامل احراز هویت است: چیزی که یک فرد می‌داند (مانند رمز عبور)، چیزی که آنها دارند (مانند یک توکن امنیتی)، برخی کیفیت‌های قابل اندازه‌گیری که برای آنها اصلی است (مانند اثر انگشت). به‎طور کلی کنترل دسترسی به صورت اختیاری یا اجباری انجام می‌شود، که رایج‌ترین مدل‎های آن عبارتند از: کنترل دسترسی اختیاری: در یک سیستم، هر شی دارای یک مالک است. کنترل دسترسی توسط مالک شی برای تصمیم‌گیری اینکه چه کسی دسترسی و چه امتیازاتی خواهد داشت تعیین می‌شود. کنترل دسترسی بر‎اساس نقش2: سیاست‌های دسترسی توسط سیستم تعیین می‌شود. کنترل دسترسی اجباری، براساس اعتماد یا اجازه موضوع است، اما کنترل دسترسی بر‎اساس نقش‏، ‏براساس نقش موضوع می‎باشد. یک موضوع می‎تواند به یک شی دسترسی داشته‎باشد یا یک تابع را در صورتی اجرا کند که مجموعه مجوزهای آنها- یا نقش- به آن اجازه می‌دهد. کنترل دسترسی اجباری3: سیاست‌های دسترسی توسط سیستم تعیین و توسط برچسب حساسیت پیاده‎سازی شده است، که به هر شی و موضوع اختصاص داده‏‎شده است. برچسب موضوع، سطح اطمینان آن و برچسب شی، سطح اطمینانی که برای دسترسی نیاز است را مشخص می‌کند. اگر موضوع به دست‌آوردن دسترسی به یک شی است، برچسب موضوع باید حداقل به اندازه برچسب شی غالب باشد. 2-18 ذخیره‌سازی داده‌ها در ابر از جمله پیشرفت‌های محاسبات ابری ذخیره‌سازی آنلاین است. امنیت داده‌ها برای چنین سرویس ابری شامل جنبه‌های مختلفی از جمله کانال‌های امن، کنترل‌های دسترسی و رمزگذاری می‌شود. در مدل ذخیره‌سازی ابر، داده‌ها بر روی سرورهای مجازی متعددی ذخیره می‌شوند. مزیت دیگر، کاهش هزینه کلی مربوط به وظایف نگهداری ذخیره‌سازی مانند تهیه پشتیبان، تکثیر و بازیابی حادثه است، که توسط ارائه‎دهنده‌ی‎سرویس ‏ابر اجرا می‌شود. یکی از روندهای اخیر در ذخیره‌سازی مبتنی بر ابر آنلاین، دروازه ذخیره‌سازی ابر است. این دستگاه‌ها می‎توانند ویژگی‌های متعددی، از جمله موارد زیر را ارائه‎دهند: ترجمه‌ی برنامه‌های‌کاربردی و پروتکل‌های مورد استفاده مشتری برای کسانی که از سرویس ‏ذخیره‌سازی مبتنی بر ابر استفاده می‌کنند که هدف آن یکپارچه‌سازی با برنامه‌های‌کاربردی موجود روی پروتکل‌های استاندارد شبکه است. قابلیت‌های پشتیبانی و بازیابی که با ذخیره‌سازی در ابر کار می‌کنند. رمزگذاری داده‌ها در محل، که کلید‌ها را برای دستگاه، محلی نگه می دارد ]23[. ارائه‎دهندگان ابر نیازمند حفاظت از حریم خصوصی و امنیت داده‌های اشخاص می‎باشند که آنها به نمایندگی از سازمان و کاربران نگهداری می‌کنند. مسئولیت مدیریت داده‌های شخصی یک بخش مرکزی از ایجاد اعتماد است که زیربنای پیروی از سرویس ‏مبتنی بر ابر می‎باشد که بدون وجود این اعتماد، مشتریان برای استفاده از سرویس ‏مبتنی بر ابر بی‎میل می‌شوند. برای تواناسازی سازمان برای تمرکز روی هسته‌ی کسب‎و‎کارش، خریداری و نگهداری کارمندان متخصص IT، نرم‎افزار و سخت‎افزار محاسباتی برای ذخیره و پردازش داده می‎تواند به یک فروشنده برون‎سپاری شود، که در این صورت هنوز سازمان در نهایت مسئول حفاظت از داده‌هایش می‎باشد. نگرانی‌های امنیتی پیرامون ذخیره‌سازی داده‌ها در ابر در مقایسه با داده‌هایی که در محل سازمان ذخیره‎شده‎اند ذاتا منحصر‎به‌فرد نیستند. این به این معنی نیست که خطرات داده‌ها در محیط‌های بسیار متفاوت مشابه هستند. بزرگترین خطرات برای داده‌ها ممکن‌است با دسترسی پرسنل ارائه‎دهنده‌ی‎سرویس ‏به اطلاعات یا عدم بررسی اطلاعات در شکل‌های مختلف به خوبی مطابق باشد ]3[. 2-19 احراز هویت احراز هویت، فرایند بدست‎آوردن اطمینان در هویت کاربران است. سطوح اطمینان احراز هویت باید بسته به حساسیت منابع برنامه و اطلاعات و ریسک‌های موجود متناسب باشد. تعداد زیادی از ارائه‌دهندگان ابر از استاندارد زبان نشانه‎گذاری اثبات امنیت پشتییبانی و آنرا برای اداره‌ی کاربران استفاده می‌کنند و آنها را قبل از ارائه دسترسی به برنامه‌ها و داده‌ها تصدیق می‌کنند. زبان نشانه‎گذاری اثبات امنیت ابزارهایی برای تغییر اطلاعات بین دامنه‌های مشترک ارائه‎می‌دهد. برای مثال، زبان نشانه‎گذاری اثبات امنیت ثابت می‌کند که یک کاربر توسط یک ارائه‌دهنده‌ی مجوز، تصدیق شده و شامل اطلاعاتی در مورد امتیاز و اعتبارات کاربر می‌شود. به محض دریافت تراکنش، ارائه‌دهنده سرویس پس از استفاده از اطلاعات برای بدست‎آوردن سطح دسترسی مناسب، مجوزها و اعتبارات تامین شده برای کاربر را به‎طور موفقیت‌آمیز بررسی می‌کند. درخواست زبان نشانه‎گذاری اثبات امنیت و پیام‌های پاسخ به‎طور معمول روی پروتکل دسترسی به شی ساده نگاشت شده‎اند، که متکی بر زبان نشانه‌گذاری توسعه‌پذیر برای فرمت‌های آن است. در یک ابر عمومی، برای مثال، یک کاربر یک کلید عمومی خاص با سرویس ایجاد می‌کند، کلید خصوصی می‎تواند برای علامت‎گذاری درخواست‌های پروتکل دسترسی به شی ساده استفاده‎شود ]21[. 2-20 زبان نشانه‎گذاری اثبات امنیت همان‎طور که خدمات وب شایع‎تر می‌شوند و کسب‌و‌کار به دنبال ارائه خدمات ترکیبی به مشتریانی است که آنها را به اشتراک می‎گذارند، نیاز گروهی کسب‌و‌کارها برای ارائه یک نقطه ورود به مشتریان خود بسیار مهم است. این فرایند می‎تواند مسئولیت سنگینی برای مشتریان باشد که باید نام‌های کاربری و کلمه‌های عبور مختلف را به‎خاطر داشته‎باشند و فعالیت‌های مختلف روی بخش‌های مرورگرهای وب مختلف را با واسط‌های کاربری غیرواحد مختلف نگهداری کنند. همچنین می‎تواند یک بار سنگین برای کسب‌و‌کارهای مختلف باشد. در جهان خدمات وب، یک برنامه‎کاربردی کلاینت ممکن است نیاز به ارسال یک پیام2 برای پردازش با یک سرویس را داشته‎باشد. یک روش احتمالی این است که مشتری را برای سرویس، احراز هویت کند و اعتبارات امنیتی را برای شناسایی مشتری نگه دارد. این سرویس ممکن است نیاز به ارسال این پیام برای پردازش بیشتر به یک یا چند سرویس را داشته‎باشد که در این صورت هر سرویس نیاز به شناسایی جداگانه مشتری و نگهداری سابقه‌ای از اعتبار مشتری برای یک سرویس منحصر به فرد دارد. تأیید اعتبار چندباره برای دریافت یک سرویس کاملاً منحصر به فرد، برای مشتری مسئولیت دارد، همچنین نیاز به نگهداری راه حل‌های احراز هویت و سوابق اعتبار خدمات منحصر به فرد وجود دارد. یک روش مقیاس‎پذیر می‌تواند مشتری را یکبار احراز هویت کند و در صورت موفقیت، نتایج احراز هویت و شناسایی و اعتبارات مشتری به تمام سرویس‌های مرتبطِ مبتنی بر یک رابطه معتبر (مطمئن) منتشر شود. بنابراین مشتری تنها یک بار احراز هویت می‌شود و هر سرویس منحصر به فرد، از مسئولیت احراز هویت مشتری و حفظ اطلاعات اعتبارات امنیت که برای هر کاربر ثبت شده است رهایی می‌یابد. هدف اصلی راه حل‌های ورود تکی3، حل این نوع مشکلات است. هر شخص یا سرویس تنها یکبار احراز هویت شود و دسترسی به طیف گسترده‎ای از خدمات آنلاین بدون نیاز به اعتبارسنجی و احراز هویت مجدد برای هر فرد امکان‎پذیر شود. حساسیت داده‌ها و حفظ حریم خصوصی اطلاعات به‎طور افزایشی به یک ناحیه نگرانی برای سازمان‌ها تبدیل می‌شود. جنبه‌های احراز هویت و اثبات هویت شامل استفاده، نگهداری و حفاظت از اطلاعات جمع‎آوری‎شده برای کاربران می‎باشد. جلوگیری از دسترسی غیر‎مجاز به منابع اطلاعات در ابر نیز یک عامل مهم است ]4 و 24[. 2-20-1 تعریف دو تعریف در زیر برای زبان نشانه‎گذاری اثبات امنیت ارائه‎شده است: تعریف یک: زبان نشانه‎گذاری اثبات امنیت یک استاندارد مبتنی بر زبان نشانه‌گذاری توسعه‌پذیر برای ورود تکی مرورگر وب است و توسط کمیته فنی سرویس‌های امنیت سازمان گسترش استانداردهای اطلاعات ساختاریافته4 تعریف شده است. زبان نشانه‎گذاری اثبات امنیت پیچیده است و تنها شرکت‌های بزرگ می‌توانند هزینه سنگین استفاده و پیاده‎سازی زبان نشانه‎گذاری اثبات امنیت را توجیه کنند. تعریف دو: زبان نشانه‎گذاری اثبات امنیت یک چارچوب مبتنی بر زبان نشانه‌گذاری توسعه‌پذیر توسعه‌یافته توسط سازمان گسترش استانداردهای اطلاعات ساختاریافته برای تبادل اطلاعات ایمن بین بخش‌های مختلف استفاده می‌شود. این یک استاندارد باز است که برای تبادل اطلاعات ایمن بین محصولات مختلف مورد استفاده قرار می‎گیرد. همه این موارد با ظهور محاسبات ابری و ارائه‌دهندگان مدیریت هویت مبتنی بر ابر مانند OneLogin در حال تغییر است. در حال حاضر هر کسی که استطاعت داشته‎باشد می‎تواند از زبان نشانه‎گذاری اثبات امنیت استفاده و در عرض چند دقیقه آنرا بارگذاری و اجرا کند. زبان نشانه‎گذاری اثبات امنیت توسط سازمان گسترش استانداردهای اطلاعات ساختاریافته توسعه‌یافته و یک چارچوب مبتنی بر زبان نشانه‎گذاری توسعه‌پذیر ارائه‎می‌دهد که هدف آن، امنیت تبادل اطلاعات است. با استفاده از اثبات‌های زبان نشانه‎گذاری اثبات امنیت، امنیت اطلاعات مربوط به یک موضوع در میان ارائه‌دهندگان سرویس در روش پلت‌فرم آگنوستیک به اشتراک گذاشته می‌شود. در خدمات وب، با استفاده از امنیت خدمات وب برای تامین امنیت پیام‌ها، زبان نشانه‎گذاری اثبات امنیت برای امنیت تبادل پیام میان سرویس‌های مختلف مورد استفاده قرار می‎گیرد. در زبان نشانه‎گذاری اثبات امنیت، مدل اطمینان مبتنی بر زیرساخت کلید عمومی برای ایجاد اطمینان استفاده می‌شود. به عنوان مثال، با امضای یک پیام با کلید خصوصی فرستنده، ثابت می‌شود که این پیام واقعاً توسط فرستنده فرستاده‎شده است. علاوه بر این، زیرساخت کلید عمومی برای توزیع کلید متقارن حفاظت‎شده توسط کلید عمومی‎‌گیرنده برای حل مشکل توزیع کلیدها با یک راه حل مقیاس‎پذیر استفاده می‌شود ]4[. زبان نشانه‌گذاری اثبات امنیت یک روش احراز هویت واقعی نیست بلکه ابزاری برای تبدیل واقعیت‎های موجود در مورد یک رویداد احراز هویت شده است. زبان نشانه‌گذاری اثبات امنیت می‎تواند در یک محیط ورود تکی مبتنی بر اینترنت به عنوان ابزاری برای انتقال اثبات‎های احراز هویت بین ارائه‌دهنده هویت و ارائه‌دهنده سرویس استفاده‎شود. زبان نشانه‌گذاری اثبات امنیت متکی بر مفهوم سرویس انتقال داخلی در ارائه‌دهنده هویت است. این سرویس، مسیریابی را از ارائه‌دهنده سرویس دریافت می‎کند، اطلاعات مورد نیاز برای ساخت اثبات‎های احراز هویت را نگاشت و کاربر را به ارائه‌دهنده سرویس جهت‎دهی می‎کند ]17[. زبان نشانه‎گذاری اثبات امنیت متشکل از تعدادی اجزای بلوک ساختمان است که هنگامی‌که به هم متصل می‌شوند، امکان پشتیبانی از تعدادی موارد استفاده را می‌دهد. مشخصات زبان نشانه‎گذاری اثبات امنیت، ساختار و محتوای اثبات‌ها، توضیحاتی در مورد یک اصل اثبات‌شده توسط یک بخش اثبات ارائه‎می‌دهد. این موارد توسط شمای زبان نشانه‎گذاری توسعه‌یافته تعریف شده است. اثبات‌ها یا درخواست‎شده هستند یا تنها برای ارائه‌دهنده سرویس بیان شده‎اند. پروتکل‌های زبان نشانه‎گذاری اثبات امنیت می‌توانند روی ارتباطات سطح پایین یا پروتکل‌های پیام (مانند پروتکل انتقال ابرمتن2 یا پروتکل دسترسی به شی ساده)، که توسط اتصالات تعریف شده‎اند، منتقل گردند. پروتکل‌ها و اتصالات زبان نشانه‎گذاری اثبات امنیت، همراه با ساختار اثبات‌ها برای ایجاد یک پروفایل با یکدیگر ترکیب می‎شوند. همچنین پروفایل‌های ویژگی نیز وجود دارد (برای مثال، پروفایل‌های LDAP و DCE)، که چگونگی تفسیر اطلاعات ویژگی که داخل یک اثبات انجام می‌شود را با استفاده از فناوری‌های ویژگی/دایرکتوری عمومی تعریف می‌کند. دو مولفه دیگر زبان نشانه‎گذاری اثبات امنیت در ساخت یک سیستم استفاده می‌شود: فراداده: فراداده که چگونگی بیان و اشتراک‎گذاری اطلاعات مربوط به پیکربندی بین دو نهاد مرتبط را تعریف می‌کند. فراداده توسط شمای زبان نشانه‎گذاری توسعه‌یافته تعریف شده است. محل فراداده با استفاده از رکوردهای سرور نام دامنه2 تعریف شده است. مفهوم احراز هویت: در بعضی موقعیت‌ها ارائه‎دهنده سرویس ممکن‌است تمایل به داشتن اطلاعات تکمیلی در تعیین صحت و محرمانگی اطلاعات درون یک اثبات داشته‎باشد. مفهوم احراز هویت اجازه تقویت اثبات‌ها با اطلاعات اضافی مربوط به اعتبار مدیر در ارائه‎دهنده‎ی شناسه مانند جزئیات احراز هویت چند عاملی را می‌دهد ]5 و 25[. 2-20-2 ویژگی‌ها زبان نشانه‎گذاری اثبات امنیت ویژگی‎های متعددی دارد که در ادامه تعدادی از آنها آمده است. مبتنی بر استانداردها: زبان نشانه‎گذاری اثبات امنیت مبتنی بر استاندارد است که قابلیت همکاری میان ارائه‌دهندگان هویت را تضمین می‌کند و شرکت‌ها برای انتخاب فروشنده آزادی عمل دارند. قابلیت استفاده: دسترسی با یک کلیک از طریق پورتال یا اینترانت، ارتباط عمیق، حذف رمز عبور و تکرار جلسات خودکار باعث اجرای ساده‎تر برای کاربر می‌شود. امنیت: مبتنی بر امضای دیجیتالی قوی برای احراز هویت و یکپارچگی است. زبان نشانه‎گذاری اثبات امنیت یک پروتکل ورود منحصر‎به‌فرد امن است که بزرگترین و اکثر شرکت‌های امنیتی در جهان به آن تکیه کرده‎اند. سرعت: زبان نشانه‎گذاری اثبات امنیت سریع است. تغییر مسیر یک مرورگر، امنیت ورود یک کاربر به یک برنامه‎کاربردی را فراهم می‌کند. پیشگیری از فیشینگ: اگر یک رمز عبور برای برنامه‎کاربردی وجود نداشته‎باشد، نمی‌توان با آن در یک صفحه ورود جعلی فریب زد. موافق IT: زبان نشانه‎گذاری اثبات امنیت زندگی را برای IT آسان می‌کند، زیرا احراز هویت را متمرکز و وضوح بیشتری را فراهم می‌کند و یکپارچه‎سازی دایرکتوری را آسان‎تر می‌سازد ]26[. 2-20-3 اجزا اجزای زبان نشانه‎گذاری اثبات امنیت و بخش‌های منحصر‎به‌فرد آن برای پشتیبانی از تبادل اطلاعات امن شامل اثبات‎ها، پروتکل‎ها، اتصالات و پروفایل‎ها می‎باشد که هر یک از آنها در ادامه توضیح داده شده‎اند: اثبات‌ها در هسته زبان نشانه‎گذاری اثبات امنیت، اثبات‌ها با یک بخش اثبات برای ارتباط احراز هویت، ویژگی‌ها و اطلاعات استحقاقی برای یک موضوع مشخص مورد استفاده قرار می‌گیرد. زبان نشانه‎گذاری اثبات امنیت یک چارچوب مستقل از پلت‎فرم و اساسی در پلت‎فرم مستقل از خصوصیات زبان نشانه‌گذاری توسعه‌پذیر می‎باشد. اثبات‌های زبان نشانه‎گذاری اثبات امنیت در میان سرویس‌های مختلفی که بر روی پلت‎فرم‌های مختلف در حال اجرا هستند مبادله می‌شود. به عبارت دیگر اثبات‌ها به زبان نشانه‎گذاری اثبات امنیت اجازه می‌دهد تا یک بخش، خصوصیات و ویژگی‌های یک نهاد را اثبات کند. برای مثال، یک اثبات زبان نشانه‎گذاری اثبات امنیت می‌تواند بیان کند که کاربر "John Doe" است، کاربر وضعیت "طلا" دارد، آدرس ایمیل کاربر john.doe@example.com است و کاربر عضو گروه "مهندسی" است. اثبات‌های زبان نشانه‎گذاری اثبات امنیت در شمای زبان نشانه‌گذاری توسعه‌پذیر کد گذاری شده است ]6[. زبان نشانه‎گذاری اثبات امنیت سه نوع جمله تعریف می‌کند که می‎تواند در اثبات انجام شود: جملات احراز هویت: این جملات توسط بخش سوم انجام‎شده که با موفقیت کاربر را احراز هویت می‌کند. اینکه چه کسی اثبات را منتشر کرده، موضوع احراز هویت شده، مدت اعتبارسنجی و همچنین اطلاعات مربوط به احراز هویت دیگر را تعریف می‌کند. جملات احراز هویت برای ارائه‎دهنده سرویس اثبات می‎کند که مدیر، احراز هویت را با ارائه‎دهنده هویت در یک زمان خاص با استفاده از یک روش خاص احراز هویت انجام دهد. جملات ویژگی: این جملات شامل اطلاعات خاصی در مورد کاربر (به عنوان مثال، که آنها وضعیت "طلا" دارد) می‌شود. یک جمله ویژگی ثابت می‎کند که یک موضوع با ویژگی‎های مشخص جمع‎آوری‎شده است. جملات تصمیم مجوز: این جملات آنچه را که کاربر حق انجام آنها را دارد شناسایی می‌کند (برای مثال، آیا او مجاز به خرید یک آیتم مشخص شده می‎باشد). یک جمله تصمیم مجوز اثبات می‎کند که یک موضوع برای انجام فعالیت A روی منبع R با گواهی مشخص E مجاز است. جملات تصمیم احراز هویت پر معنی در زبان نشانه‎گذاری اثبات امنیت محدود هستند ]26[. اثبات متشکل از یک یا چند جمله است. برای ورود منحصر‎به‌فرد، معمولاً اثبات زبان نشانه‎گذاری اثبات امنیت شامل یک جمله احراز هویت منحصر‎به‌فرد و احتمالاً جمله ویژگی منحصر‎به‌فرد خواهد‎شد. شکل 2-5 یک اثبات زبان نشانه‎گذاری اثبات امنیت که در یک پاسخ زبان نشانه‎گذاری اثبات امنیت انجام‎شده و خود آن درون یک بدنه پروتکل دسترسی به شی ساده است را نشان می‌دهد. 162369438100بدنه پیام پروتکل دسترسی به شی سادهپاسخ زبان نشانه‎گذاری اثبات امنیتسرآیندپاسخ زبان نشانه‎گذاری اثبات امنیتجملات احراز‎هویتجملات دیگر00بدنه پیام پروتکل دسترسی به شی سادهپاسخ زبان نشانه‎گذاری اثبات امنیتسرآیندپاسخ زبان نشانه‎گذاری اثبات امنیتجملات احراز‎هویتجملات دیگر شکل 2-5: ساختار اثبات زبان نشانه‎گذاری اثبات امنیت ]27[. شکل 2-6 یک نمونه اثبات با یک جمله احراز هویت تکی را نشان می‌دهد که جملات احراز هویت به صورت پررنگ نشان‎داده‌شده‎اند. www. acompany. com j. doe@company. com urn:oasis:names:tc:SAML:2. 0:ac:classes:PasswordProtectedTransport شکل 2-6: اثبات زبان نشانه‌گذاری اثبات امنیت ]24[. عنصر می‌تواند از جملات امنیت و اطلاعات اضافی محافظت کند. علاوه بر این زبان نشانه‎گذاری اثبات امنیت می‌تواند برای استفاده رسانه‎ها و وسایل انتقال اساسی توسط برخی از پروتکل‎های مفید پیش‎تعریف‎شده مانند پیاده‎سازی پروتکل ورود تکی محدود شود. پروتکل‎های پیش‎تعریف‎شده‌ی زبان نشانه‎گذاری اثبات امنیت، فایل‎های XSD ارائه‎می‌دهد که دقیقا ساختار پیام را تعریف می‌کنند. یکپارچگی و اعتبار پیام با استفاده از امضاهای دیجیتال اختیاری از طریق استاندارد امضای زبان نشانه‌گذاری توسعه‌پذیر به دست می‏آید، در حالیکه محرمانگی می‌تواند با استفاده از رمزگذاری اختیاری، با توجه به استاندارد رمزگذاری زبان نشانه‌گذاری توسعه‌پذیر ایجاد شود ]28[. پروتکل‌ها پروتکل‎های زبان نشانه‎گذاری اثبات امنیت تعیین می‎کنند که چگونه عناصر زبان نشانه‎گذاری اثبات امنیت (مانند اثبات‎ها)، داخل عناصر درخواست و پاسخ زبان نشانه‎گذاری اثبات امنیت بسته‏بندی شوند و قوانین پردازش بیان می‎کند که موجودیت‎های زبان نشانه‎گذاری اثبات امنیت باید هنگام استخراج و مصرف از این عناصر دنبال شوند. زبان نشانه‎گذاری اثبات امنیت تعدادی از پروتکل‌های درخواست/پاسخ را تعریف می‌کند که در شمای زبان نشانه‌گذاری توسعه‌پذیر به عنوان مجموعه‎ای از جفت‌های درخواست/پاسخ کدگذاری شده است. مهمترین نوع درخواست پروتکل زبان نشانه‎گذاری اثبات امنیت، پرس‏و جو نامیده می‎شود. متناظر با سه نوع جملات، سه نوع پرس‎و‎جوی زبان نشانه‎گذاری اثبات امنیت وجود دارد: پرس‎و‎جوی احراز هویت پرس‎و‎جوی ویژگی پرس‎و‎جوی تصمیم مجوز تعدادی از پروتکل‌های تعریف شده توسط زبان نشانه‎گذاری اثبات امنیت در زیر آمده‎اند: پروتکل پرس‎و‎جو و درخواست اثبات: مجموعه‎ای از پرس‎و‎جوهایی که از طریق اثبات‌های زبان نشانه‎گذاری اثبات امنیت موجود به‏دست می‌آید را تعریف می‌کند. پرس‎و‎جو می‎تواند بر‎اساس یک مرجع، موضوع یا نوعی از جملات باشد. پروتکل درخواست احراز هویت: پروتکلی تعریف می‌کند که توسط آن ارائه‌دهنده سرویس اثبات‌ها را از یک ارائه‌دهنده هویت، متناسب با نیازهای یک پروفایل زبان نشانه‎گذاری اثبات امنیت خاص مانند پروفایل ورود منحصر به فرد مرورگر وب درخواست می‌کند. پروتکل تحلیل آرتیفکت: مکانیزمی ارائه‎می‌دهد که بوسیله آن پیام‌های پروتکل ممکن‌است توسط مرجع با استفاده از یک مقدار کوچک، با طول ثابت به نام آرتیفکت موافقت شود. دریافت‎کننده آرتیفکت از پروتکل آرتیفکت (ArtifactProtocol) برای تسلیم پیام پروتکل واقعی استفاده می‌کند. پروتکل مدیریت شناسه نام: مکانیزم‌هایی برای تغییر مقدار و یا فرمت نام یک اصل فراهم می‌کند. صادر‎کننده درخواست می‎تواند ارائه‎دهنده سرویس یا ارائه‎دهنده هویت باشد. این پروتکل همچنین مکانیزمی برای پایان دادن به ارتباط بین نام یک ارائه‎دهنده هویت و ارائه‎دهنده سرویس فراهم می‌کند. پروتکل خروج منحصر‎به‌فرد2: یک درخواست تعریف می‌کند که اجازه خروج تقریباً همزمان همه‌ی جلسه‌های مرتبط با مدیر را می‌دهد. خروج از سیستم می‎تواند به‎طور مستقیم با مدیر یا به دلیل پایان زمان جلسه یا به دلیل اینکه حقوق دسترسی کاربر لغو شده است آغاز شود. خروج می‎تواند توسط سایت ارائه‎دهنده آغاز شود. پروتکل نگاشت شناسه نام: ارائه مکانیزمی برای نگاشتِ برنامهِ شناسهِ نامِ زبان نشانه‎گذاری اثبات امنیت به دیگری برای کنترل‌های سیاسی مناسب ]6[. اتصالات اتصالات زبان نشانه‎گذاری اثبات امنیت یک نگاشت از یک پیام پروتکل زبان نشانه‎گذاری اثبات امنیت روی فرمت‎های پیام استاندارد و/یا پروتکل‎های ارتباطی می‌باشد. پروتکل‌های نگاشت زبان نشانه‎گذاری اثبات امنیت برای تبادل درخواست/پاسخ به لایه‌های پایین‎تر انتقال استفاده می‌شوند. برای نمونه، اتصالات پروتکل دسترسی به شی ساده بیان می‎کند که چگونه پیام‌های درخواست و پاسخ زبان نشانه‎گذاری اثباتِ امنیتِ شرح داده‎شده در پروتکل‌های زبان نشانه‎گذاری اثبات امنیت می‌تواند با استفاده از تبادل پیام پروتکل دسترسی به شی ساده اجرا شود. به عبارت دیگر اتصالات دقیقاً چگونگی نگاشت‌های پروتکل زبان نشانه‎گذاری اثبات امنیت بر روی پروتکل‌های انتقال را شرح می‌دهد. برای مثال، مشخصات زبان نشانه‎گذاری اثبات امنیت، چگونگی انجام اتصال درخواست/پاسخ زبان نشانه‎گذاری اثبات امنیت با پیام‌های تبادل پروتکل دسترسی به شی ساده را فراهم می‌کند. اتصالات تعریف شده عبارتند از: اتصال پروتکل دسترسی به شی ساده زبان نشانه‎گذاری اثبات امنیت: تعریف می‌کند که چگونه پیام‌های پروتکل زبان نشانه‎گذاری اثبات امنیت با پیام‌های پروتکل دسترسی به شی ساده منتقل شده است. همچنین تعریف می‌کند که چگونه پیام‌های پروتکل دسترسی به شی ساده روی پروتکل انتقال ابرمتن منتقل شده‎اند. اتصال پروتکل دسترسی به شی ساده معکوس (PAOS): تبادل پیام پروتکل دسترسی به شی ساده/پروتکل انتقال ابرمتن چند مرحله‎ای را تعریف می‌کند که اجازه می‌دهد سرویس‎گیرنده‌ی پروتکل انتقال ابرمتن، پاسخگوی پروتکل دسترسی به شی ساده باشد. این اتصالات در پروفایل مشتری و پروکسی افزایش یافته مورد استفاده قرار می‎گیرد و به ویژه برای حمایت از دروازه‌های پروتکل برنامه‌های‌کاربردی بی‎سیم طراحی شده است. اتصال مسیر مجدد پروتکل انتقال ابرمتن: تعریف می‌کند که چگونه پیام‌های پروتکل زبان نشانه‎گذاری اثبات امنیت می‎تواند با استفاده از پیام‌های مسیریابی مجدد پروتکل انتقال ابرمتن منتقل شود. اتصال POST در پروتکل انتقال ابرمتن: تعریف می‌کند که چگونه پیام‌های پروتکل زبان نشانه‎گذاری اثبات امنیت می‎تواند درون محتوای کد‎گذاری‎شده‌ی مبنای ۶۴ کنترل فرم HTML منتقل شود. اتصال آرتیفکت پروتکل انتقال ابرمتن: تعریف می‌کند چگونه یک رجوع به یک درخواست یا پاسخ زبان نشانه‎گذاری اثبات امنیت (مانند آرتیفکت) توسط پروتکل انتقال ابرمتن منتقل می‌شود. دو مکانیزم یا کنترل فرم HTML، یا یک رشته پرس‎و‎جو در URL را تعریف می‌کند. اتصال شناسه منابع یکنواخت2 زبان نشانه‎گذاری اثبات امنیت: ابزاری برای بازیابی یک اثبات زبان نشانه‎گذاری اثبات امنیت با حل شناسه منابع یکنواخت تعریف می‌کند ]5، 27، 29 و 30[. پروفایل‌ها ترکیبی از اثبات‌ها، پروتکل‌ها و اتصالات را تعریف می‌کند که برای موارد استفاده خاص استفاده می‌شود. به عنوان مثال، یک پروفایل توکن زبان نشانه‎گذاری اثبات امنیت برای امنیت خدمات وب وجود دارد که چگونگی استفاده از اثبات‌های زبان نشانه‎گذاری اثبات امنیت با امنیت سرویس‌های وب را تعریف می‌کند. به عبارت دیگر، پروفایل، هسته خصوصیات زبان نشانه‎گذاری اثبات امنیت را تعریف می‌کند که چگونه درخواست و پاسخ زبان نشانه‎گذاری اثبات امنیت منتقل می‌شود. نوعی پروفایل زبان نشانه‎گذاری اثبات امنیت، مجموعه‏ای از قواعد توصیف را تشریح می‌کند. همچنین پروفایل توصیف می‌کند چگونه اثبات‌های زبان نشانه‎گذاری اثبات امنیت همراه با اشیاء دیگر توسط یک بخش اصلی گنجانده شود و از بخش اصلی به یک بخش دریافت متصل‎شده و سپس در مقصد پردازش شود. نوع دیگری از پروفایل زبان نشانه‎گذاری اثبات امنیت مجموعه‏ای از محدودیت‎ها برای استفاده از پروتکل یا قابلیت اثبات زبان نشانه‎گذاری اثبات امنیت برای یک محیط خاص یا زمینه استفاده را تعریف می‌کند. بنابراین پروفایل‎ها ممکن‌است انتخاب را محدود سازند. برخی از آنها به‏طور خلاصه عبارتند از: پروفایل ورود تکی‎ مرورگر وب: مکانیزمی برای ورود ‎تکی با مرورگرهای وب تغییر‎نیافته به ارائه‎دهندگان خدمات چندگانه با استفاده از پروتکل درخواست احراز هویت در ترکیب با مسیریابی مجدد پروتکل انتقال ابرمتن، پروتکل انتقال ابرمتن POST و اتصالات آرتیفکت تعریف می‌کند. پروفایل مشتری و پروکسی افزایش‎یافته: یک پروفایل پروتکل درخواست احراز هویت در رابطه با پروتکل دسترسی به شی ساده معکوس و اتصالات پروتکل دسترسی به شی ساده متناسب شده با مشتریان یا دستگاه‌های دروازه با دانش یک یا چند ارائه‎دهنده‌ی شناسه تعریف می‌کند. پروفایل بازیابی ارائه‎دهنده هویت: یک مکانیزم احتمالی برای مجموعه‌ای از ارائه‎دهندگان هویت و سرویسِ مرتبط، برای به‏دست آوردن ارائه‎دهندگان هویت مورد استفاده توسط مدیر تعریف می‌کند. پروفایل خروج منحصر‎به‌فرد: پروفایلی از پروتکل خروج منحصر‎به‌فرد زبان نشانه‎گذاری اثبات امنیت تعریف می‎کند. تعریف می‌کند چگونه اتصالات پروتکل دسترسی به شی ساده، مسیریابی مجدد پروتکل انتقال ابرمتن، پروتکل انتقال ابرمتن POST و اتصالات آرتیفکت پروتکل انتقال ابرمتن مورد استفاده قرار گیرد. پروفایل مدیریت شناسه نام: تعریف می‌کند چگونه پروتکل مدیریت شناسه نام ممکن‌است با پروتکل دسترسی به شی ساده، مسیریابی مجدد پروتکل انتقال ابرمتن، پروتکل انتقال ابرمتن POST و اتصالات آرتیفکت پروتکل انتقال ابرمتن استفاده‎شود. پروفایل حل آرتیفکت: تعریف می‌کند چگونه پروتکل حل آرتیفکت از اتصال همزمان، مثل اتصال پروتکل دسترسی به شی ساده استفاده کند. پروفایل پرس‎و‎جو/درخواست اثبات: تعریف می‌کند چگونه پروتکل‌های پرس‎و‎جوی زبان نشانه‎گذاری اثبات امنیت (مورد استفاده برای به‏دست آوردن اثبات‌های زبان نشانه‎گذاری اثبات امنیت) از یک اتصال همزمان مانند اتصال پروتکل دسترسی به شی ساده استفاده کند. پروفایل نگاشت شناسه نام: تعریف می‌کند چگونه پروتکل نگاشت شناسه نام از یک اتصال همزمان مانند اتصال پروتکل دسترسی به شی ساده استفاده می‌کند. باید به یاد داشت که زبان نشانه‎گذاری اثبات امنیت، پایان کار با مجموعه‎ی اثبات‌ها، پروتکل‌ها، اتصالات و پروفایل‌ها نیست. بلکه برای انعطاف‏پذیری بیشتر طراحی شده است و بنابراین با نقاط توسعه‎پذیر در شمای زبان نشانه‌گذاری توسعه‌پذیر و همچنین دستورالعمل‌هایی برای طراحی سفارشی اتصالات و پروفایل‌های جدید در روشی برای تضمین حداکثر همکاری می‌آید. شکل 2-7 ارتباط بین اجزا را نشان می‌دهد. 2-21 زبان نشانه‎گذاری اثبات امنیت در امنیت سرویس‌های وب اثبات‌های زبان نشانه‎گذاری اثبات امنیت می‎تواند در سرویس‌های وب امن برای امنیت پیام‌های سرویس‌های وب مورد استفاده قرار گیرد که برای اتصال اطلاعات سرآیند امنیتی به درخواست‎های پروتکل دسترسی به شی ساده سرویس‌های وب بکار می‌رود. سرویس‌های وب امن، مجموعه‏ای از مشخصات است که ابزارهایی برای تامین حفاظت از امنیت پیام‌های پروتکل دسترسی به شی ساده تعریف می‌کند. امنیت پیام‎های پروتکل دسترسی به شی ساده سه جزء دارد: نشانه‌های احراز هویت، امضاهای دیجیتال و محرمانگی. سرویس‌های وب امن یک چارچوب انعطاف‎پذیر برای تبادل انواع مختلف نشانه‎های امنیتی شامل نشانه‎های نام‎کاربری/رمز عبور زبان نشانه‌گذاری توسعه‌پذیر و بلیط‎های کربروس ارائه می‎دهند ]21[. در ]17[ خدمات اولیه‎ی ارائه‎شده‌ی سرویس‌های وب امن، احراز هویت، یکپارچگی و محرمانگی داده‎ها است. استاندارد سرویس‌های وب، استفاده از اثبات‌های زبان نشانه‎گذاری اثبات امنیت در قالب یک توکن امنیتی با پروفایل توکن زبان نشانه‎گذاری اثبات امنیت، سرویس‌های وب امن را تعریف می‌کند. پروفایل‌ها(چه پروتکل‌ها، اتصالات و اثبات‌هایی برای پشتیبانی از یک اثبات ترکیب شوند)اتصالات(چگونه پروتکل‌ها به پیام‌های استاندارد یا پروتکل‌های ارتباطی نگاشت شوند)پروتکل(جفت درخواست/پاسخ برای بدست آوردن اثبات‌ها و مدیریت فدرالی)اثبات‌ها(اطلاعات احراز‎هویت، ویژگی و شناسایی)پروفایل‌ها(چه پروتکل‌ها، اتصالات و اثبات‌هایی برای پشتیبانی از یک اثبات ترکیب شوند)اتصالات(چگونه پروتکل‌ها به پیام‌های استاندارد یا پروتکل‌های ارتباطی نگاشت شوند)پروتکل(جفت درخواست/پاسخ برای بدست آوردن اثبات‌ها و مدیریت فدرالی)اثبات‌ها(اطلاعات احراز‎هویت، ویژگی و شناسایی) شکل 2-7: اجزای زبان نشانه‎گذاری اثبات امنیت ]24، 27، 31 و 32[. زبان نشانه‎گذاری اثبات امنیت، روی اتصالات پروتکل دسترسی به شی ساده برای به‎دست‎آوردن اثبات‌های زبان نشانه‎گذاری اثبات امنیت از ارائه‎دهنده هویت استفاده می‌کند و زبان نشانه‎گذاری اثبات امنیت نمی‎تواند هیچ نقشی در حفاظت از پیام‌های پروتکل دسترسی به شی ساده بازی کند. در سرویس‌های وب امن، اثبات‌های زبان نشانه‎گذاری اثبات امنیتِ متعلق به هویت درخواست شونده قبلاً به دست آمده‌است. علاوه بر‎این، در سرویس‌های وب امن، زبان نشانه‎گذاری اثبات امنیت می‎تواند نقش مهمی در حفاظت از خود پیام بازی کند. برای مثال، در یک توکن زبان نشانه‎گذاری اثبات امنیت با روش تصدیق دارنده کلید، کلید رمزنگاری برای تأیید موضوع استفاده می‌شود. حالت استفاده از زبان نشانه‎گذاری اثبات امنیت معمولی با استفاده از سرویس‌های وب امن به شرح زیر کار می‌کند: احراز هویت مشتری با یک سرویس توکن امنیتی برای درخواست یک توکن زبان نشانه‎گذاری اثبات امنیت. سرویس توکن امنیتی توسط مشتری و ارائه‎دهنده سرویس برای ارائه اعتبار تأیید شده است. سرویس توکن امنیتی، اثبات‌های زبان نشانه‎گذاری اثبات امنیت مورد نیاز برای انتقال و مسائل توکن امنیتی زبان نشانه‎گذاری اثبات امنیت را برای مشتری ایجاد می‌کند. سرویس توکن امنیتی، توکن را با کلید خصوصی خود رمز می‌کند و شامل گواهینامه X509 در توکن می‌شود. مشتری، یک توکن ایمن زبان نشانه‎گذاری اثبات امنیت به سرآیند سرویس‌های وب امنِ پیام پروتکل دسترسی به شی ساده اضافه می‌کند. سپس پیام پروتکل دسترسی به شی ساده را به ارائه‎دهنده سرویس می‎فرستد. سرویس تأیید می‌کند که توکن زبان نشانه‎گذاری اثبات امنیت می‎تواند قابل اطمینان باشد. برای انجام این کار، ابتدا گواهی سرویس توکن امنیتی موجود در توکن زبان نشانه‎گذاری اثبات امنیت در مقابل ذخیره مطمئن آن تأیید می‌شود. اگر گواهی، تأییدیه را گذراند، کلید عمومی گواهی X509 به منظور بررسی امضای دیجیتالی توکن مورد استفاده قرار می‎گیرد. ارائه‎دهنده سرویس، هویت موضوع را با استفاده از روش تأیید موضوع تأیید می‌کند که در توکن زبان نشانه‎گذاری اثبات امنیت از طریق اثبات تأیید موضوع مشخص شده است. در صورت معتبر بودن، برای دریافت دسترسی به منابع درخواست‎شده توسط مشتری اقدام می‌کند ]31 و 32[. 690245195580گزارشاتپیام SOAP امضاء شدهبا WSS 21فرستندهبدست آوردن اثبات SAML43اطلاعاتویژگی SAMLدریافت کننندهبررسی امضاءبررسی دسترسی00گزارشاتپیام SOAP امضاء شدهبا WSS 21فرستندهبدست آوردن اثبات SAML43اطلاعاتویژگی SAMLدریافت کننندهبررسی امضاءبررسی دسترسیشکل 2-8 مراحل استفاده از اثبات‎های زبان نشانه‌گذاری اثبات امنیت با امنیت سرویس‌های وب را نشان می‌دهد. شکل 2-8: استفاده‎ی عمومی از سرویس‎های امن وب و زبان نشانه‎گذاری اثبات امنیت ]32[. فرستنده، اثبات زبان نشانه‌گذاری اثبات امنیت را توسط درخواست/پاسخ زبان نشانه‌گذاری اثبات امنیت یا سایر پروفایل‎های زبان نشانه‌گذاری اثبات امنیت به‎دست می‌آورد. اثبات‎ها شامل جملات ویژگی و روش تأییدیه موضوع دارنده کلید است. فرستنده، پیام پروتکل دسترسی به شی ساده که شامل سرآیند امنیت است را ایجاد می‌کند. اثبات‎های زبان نشانه‌گذاری اثبات امنیت در سرآیند امنیت وجود دارند. کلید که توسط اثبات‎های زبان نشانه‌گذاری اثبات امنیت برای ایجاد امضای دیجیتال روی داده‎ها در بدنه پیام استفاده‎شده است اشاره دارد. اطلاعات امضا در سرآیند امنیتی نیز گنجانده شده است. گیرنده، امضای دیجیتال را تأیید می‌کند. اطلاعات، در اثبات زبان نشانه‌گذاری اثبات امنیت برای اهدافی مانند کنترل دسترسی و بررسی ورود به سیستم مورد استفاده قرار می‎‌گیرد. پروفایل توکن زبان نشانه‌گذاری اثبات امنیت سه روش تأیید موضوع را به منظور تأیید اعتبار توکن زبان نشانه‌گذاری اثبات امنیت تعریف می‌کند. هر یک از این روش‎ها، مجموعه‎ای از معیارها را برای تأیید این که اثبات‌های توکن زبان نشانه‌گذاری اثبات امنیت واقعاً با درخواست موضوع سرویس مرتبط است، دریافت می‌کند. روش تأیید موضوع حامل: در این روش، توکن زبان نشانه‌گذاری اثبات امنیت حامل هویت و ویژگی‌های موضوع است. هیچ نیازی به بررسی درستی پروفایل وجود ندارد. همچنین فرض شده است که توکن قابل اطمینان است. با این حال اعتبارسنجی امضای زبان نشانه‌گذاری توسعه‌پذیر برای تأیید اینکه توکن توسط سرویس توکن امن ایجاد شده است توصیه می‎شود. به‎طور پیش فرض، سرور برنامه‎کاربردی وب به شرح زیر امضای دیجیتالی صادر‎کننده را تأیید و تصدیق می‌کند. این در حالاتی که در آن لایه سوکت‎های امنیتی2 برای تضمین امنیت بدست‎آوردن پیام در حالت نقطه به نقطه استفاده‎می‎شود بسیار مفید است. شکل 2-9 این موضوع را نشان می‎دهد. شکل 2-9: روش تأیید موضوع حامل ]32[. روش تأیید موضوع دارنده کلید3: در این روش، توکن زبان نشانه‌گذاری اثبات امنیت حامل هویت و صفات موضوع می‎شود و می‎تواند حفاظت از پیام را فراهم کند. گیرنده توکن نیازمند بررسی این است که توکن می‎تواند مطمئن باشد. به‎طور معمول چک کردن امضای دیجیتالی توکن با کلید خصوصی سرویس توکن امن انجام‏می‎شود. فرستنده توکن زبان نشانه‌گذاری اثبات امنیت، باید دانش یک کلید رمزنگاری مشخص شده در عنصر تأیید موضوع اثبات توکن زبان نشانه‌گذاری اثبات امنیت را داشته باشد و همچنین بتواند کلید را برای محافظت رمزنگاری پیام استفاده کند. هنگامی که کلید متقارن است، با استفاده از کلید عمومی‎‌گیرنده، رمزگذاری شده، به‎طوری که هنگامی که گیرنده، پیام را دریافت می‌کند می‎تواند آن را استخراج کند. فرستنده می‎تواند به صورت دیجیتالی پیام را با کلید متقارن امضا کند. هنگامی که گیرنده پیام را دریافت می‌کند، می‎تواند کلید متقارن موجود در عنصر تأیید موضوع توکن را با رمز‌گشایی محتوای آن با کلید خصوصی خود به دست آورد. پس از آن، گیرنده می‎تواند کلید را به منظور بررسی امضای دیجیتالی پیام استفاده کند و تأیید کند که فرستنده دارای کلید می‎باشد. هنگامی که کلید نامتقارن است، عنصر تأیید موضوع شامل داده X509 یا ارزش کلید RSA از یک جفت نامتقارن است. کلید خصوصی این جفت نزد فرستنده و برای امضای دیجیتالی پیام استفاده‎می‎شود. هنگامی که گیرنده توکن را دریافت می‌کند، کلید عمومی را با استفاده از اطلاعات موجود در عنصر تأیید موضوع استخراج می‌کند و تأیید می‌کند که فرستنده کلید خصوصی جفت را دارد. شکل 2-10 این روش را نشان می‎دهد. روش تأیید موضوع ضمانت‌های فرستنده: اگر چه این روش تأیید در حال حاضر توسط سرورهای برنامه‎های‌کاربردی وب جدید پشتیبانی نمی‎شود، اما سزاوار بحث است. در این روش، توکن زبان نشانه‌گذاری اثبات امنیت، هویت و ویژگی‌های موضوع را انجام می‌دهد. قابلیت پذیرش روش تأیید موضوع ضمانت‌های فرستنده توسط اینکه آیا فرستنده قابل اطمینان است اثبات شده است، به‎طوریکه فرستنده مسئولیت تأیید اعتبار توکن زبان نشانه‌گذاری اثبات امنیت را بر عهده دارد. فرستنده باید یکپارچگی پیام را برای اثبات این اطمینان محافظت کند. در این روش فرستنده همیشه نیازمند حفاظت از یکپارچگی توکن زبان نشانه‌گذاری اثبات امنیت است و دریافت‎کننده باید یکپارچگی را تأیید کند. شکل 2-11 این روش را نشان می‌دهد. شکل 2-10: روش تأیید موضوع دارنده کلید ]32[. شکل 2-11: روش تأیید موضوع ضمانت‌های فرستنده ]31 و 32[. پروتکل‎های زبان نشانه‌گذاری اثبات امنیت و سرویس‎های وب امن هنوز از ضعف‎های بومی مربوط به تکنولوژی‎های اصلی مانند فاش‎سازی مرورگر، کوکی‎ها، DNS و NTP رنج می‎برند. همچنین تهدیدهای اجتماعی مانند فیشینگ، وب سایت‎های کلاهبردار و ارائه‎دهندگان سرویس کلاهبردار وجود دارد. ارائه‎دهنده هویت یک نقطه اصلی حملات برای جمع‎آوری اعتبارات کاربر است. ارائه‎دهنده هویت می‎تواند با فریب، کاربران را به داخل وارد کند که می‎تواند به خوبی برای ورود تکی بکار گرفته شود. زبان نشانه‌گذاری اثبات امنیت و سرویس‎های وب امن افشا‌سازی را کاهش می‎دهند، بنابراین اعتبارات کاربر نیاز به ارسال به ارائه‎دهندگان سرویس شخصی ندارد. 2-22 انتشار توکن زبان نشانه‌گذاری اثبات امنیت در سرویس‌های وب همان‎طور که پیش از این بحث شد، مشتری‎های سرویس‌های وب می‎توانند یک توکن زبان نشانه‌گذاری اثبات امنیت از سرویس توکن امنیت بدست آورند که دارای هویت و ویژگی‌های امنیتی آن است. سپس مشتری می‎تواند توکن زبان نشانه‌گذاری اثبات امنیت را روی یک درخواست برای یک ارائه‌دهنده سرویس ارسال کند. سرویس قصد اعتبارسنجی توکن را دارد که توسط صادر‎کننده به‎طور مطمئن امضا شود و ویژگی‌های هویت و امنیتی را از توکن به دست آورد. ارائه‌دهنده سرویس تمایل دارد از یک یا چند ارائه‌دهنده سرویس برای تکمیل منطق کسب‎و‎کار خود استفاده کند. به جای نیاز مشتری به سرویس توکن امنیت برای تأیید هویت، هر یک از این سرویس‎ها می‎تواند راه حل بهتری برای سرویس برای اولین انتشار توکن زبان نشانه‌گذاری اثبات امنیت هنگامی که نیازهای خود را برای سرویس‌های دیگری ایجاد می‌کند بکار برد. توکن زبان نشانه‌گذاری اثبات امنیت در حال حاضر شامل ویژگی‌های امنیتی هویت و تصدیق است و می‎تواند به خدمات پایین دست منتشر شود. شکل 2-12 این سناریو را نشان می‌دهد: -30988060960کلاینت سرویس های وبمنطق کسب و کارزمان اجرای وب سرویس امنارائه دهنده سرویس 1منطق کسب و کارزمان اجرای وب سرویس امنارائه دهنده سرویس 2منطق کسب و کارزمان اجرای وب سرویس امنسرویس توکن امنیتیکلاینت یک درخواست پیام SOAP با نشانه SAML بدست آمده از STS به ارائه دهنده سرویس ارسال می کند.ارائه دهنده سرویس 1، نشانه SAML را بر اساس امنیت بررسی می کند. منطق کسب و کار پس از 3 ساعت اجراشده و یک درخواست به ارائه دهنده سرویس 2 می فرستد. نشانه SAML اصلی از کلاینت سرویس های وب می تواند برای درخواست ارائه دهنده سرویس 2 استفاده شود.ارائه دهنده سرویس 2 نشانه SAML را از سرویس های وب بررسی می کند. کلاینت مبتنی بر امنیت (اطمینان) است. منطق کسب و کار اجرا شده است.00کلاینت سرویس های وبمنطق کسب و کارزمان اجرای وب سرویس امنارائه دهنده سرویس 1منطق کسب و کارزمان اجرای وب سرویس امنارائه دهنده سرویس 2منطق کسب و کارزمان اجرای وب سرویس امنسرویس توکن امنیتیکلاینت یک درخواست پیام SOAP با نشانه SAML بدست آمده از STS به ارائه دهنده سرویس ارسال می کند.ارائه دهنده سرویس 1، نشانه SAML را بر اساس امنیت بررسی می کند. منطق کسب و کار پس از 3 ساعت اجراشده و یک درخواست به ارائه دهنده سرویس 2 می فرستد. نشانه SAML اصلی از کلاینت سرویس های وب می تواند برای درخواست ارائه دهنده سرویس 2 استفاده شود.ارائه دهنده سرویس 2 نشانه SAML را از سرویس های وب بررسی می کند. کلاینت مبتنی بر امنیت (اطمینان) است. منطق کسب و کار اجرا شده است. شکل 2-12: توزیع توکن زبان نشانه‌گذاری اثبات امنیت با استفاده ورود تکی ]32[. توانایی انتشار توکن زبان نشانه‌گذاری اثبات امنیت برای مشتری اصلی، راه حل‌های امنیتی پایان به پایان فراهم می‌کند. با این حال، یکی از عواملی که باید در نظر گرفته شود زمان انقضای توکن زبان نشانه‌گذاری اثبات امنیت است و چه زمانی برای همه‎ی سرویس‌های پایین دست برای پردازش، درخواست می‎‌گردد. اگر یک سرویس بیش از حد برای اجرای منطق کسب‎و‎کار خود طول بکشد، ممکن است توکن قبل از انتشار به یک سرویس منقضی شود. این فرایند در شکل 2-13 نشان‎داده‎شده است. یک راه حل، پیکربندی سرویس توکن امنیت برای صدور یک توکن زبان نشانه‎گذاری اثبات امنیت با زمان انقضای طولانی‎تر است. اگر زمان احضار کل درخواست به خوبی شناخته‎شده‎باشد، این راه حل ممکن است کار کند. با این حال، در واقع، زمان احضار کل درخواست غیر‎قطعی است. -542925-19050کلاینت سرویس های وبمنطق کسب و کارزمان اجرای وب سرویس امنارائه دهنده سرویس 1منطق کسب و کارزمان اجرای وب سرویس امنارائه دهنده سرویس 2منطق کسب و کارزمان اجرای وب سرویس امنسرویس توکن امنیتیکلاینت یک درخواست پیام SOAP با نشانه SAML بدست آمده از STS به ارائه دهنده سرویس ارسال می کند.ارائه دهنده سرویس 1، نشانه SAML را بر اساس امنیت بررسی می کند. منطق کسب و کار پس از 3 ساعت اجراشده و یک درخواست به ارائه دهنده سرویس 2 می فرستد. نشانه SAML اصلی از کلاینت سرویس های وب می تواند برای درخواست ارائه دهنده سرویس 2 استفاده شود.ارائه دهنده سرویس 2 برای بررسی نشانه SAML مبتنی بر امنیت تلاش می کند اما در می یابد که 2 ساعت از زمان انقضای آن گذشته است. درخواست رد می شود.کلاینت سرویس های وبمنطق کسب و کارزمان اجرای وب سرویس امنارائه دهنده سرویس 1منطق کسب و کارزمان اجرای وب سرویس امنارائه دهنده سرویس 2منطق کسب و کارزمان اجرای وب سرویس امنسرویس توکن امنیتیکلاینت یک درخواست پیام SOAP با نشانه SAML بدست آمده از STS به ارائه دهنده سرویس ارسال می کند.ارائه دهنده سرویس 1، نشانه SAML را بر اساس امنیت بررسی می کند. منطق کسب و کار پس از 3 ساعت اجراشده و یک درخواست به ارائه دهنده سرویس 2 می فرستد. نشانه SAML اصلی از کلاینت سرویس های وب می تواند برای درخواست ارائه دهنده سرویس 2 استفاده شود.ارائه دهنده سرویس 2 برای بررسی نشانه SAML مبتنی بر امنیت تلاش می کند اما در می یابد که 2 ساعت از زمان انقضای آن گذشته است. درخواست رد می شود. شکل 2-13: توکن زبان نشانه‌گذاری اثبات امنیت یکسان برای ارائه‌دهنده سرویس شماره دو توزیع و منقضی شده ]32[. صدور مجدد توکن زبان نشانه‌گذاری اثبات امنیت یک راه حل ممکن است. در این صورت، هنگامی که یک سرویس در حال انتشار توکن زبان نشانه‌گذاری اثبات امنیت است، زمان انقضای اصلی را بررسی می‌کند. اگر مشخص شود که زمان انقضا تمام شده و یا نزدیک به انقضا است، سرویس، خودش، می‎تواند توکن زبان نشانه‌گذاری اثبات امنیت جدید با کپی اثبات و ویژگی‌های امنیتی توکن زبان نشانه‌گذاری اثبات امنیت اصلی، با زمان انقضای جدید صادر کند. سرویس دوم می‎تواند این توکن زبان نشانه‌گذاری اثبات امنیت خود صدور جدید با زمان انقضای جدید را بپذیرد که این بدان معنی است که یک تغییر در رابطه مطمئن بین سرویس‌ها وجود دارد. توکن زبان نشانه‌گذاری اثبات امنیت برای سرویس توکن امنیت در میان خدمات منتشر شده باعث می‎شود ویژگی‌های امنیت هویت و اعتبار موضوع در توکن نیز منتشر شوند. این کار این امکان را فراهم می‌کند که هر یک از بخش‌ها در اطمینان سرویس توکن امنیت درگیر شوند. با این حال، در این مورد این رابطه مطمئن تغییر کرده است، چرا که یک سرویس زبان نشانه‌گذاری اثبات امنیت، توکن خود صدور می فرستد، سرویس دریافت کننده باید از سرویس فرستنده برای پذیرش توکن خود صدور مطمئن شود، نه سرویس توکن امنیت. این فرایند در شکل 2-14 نشان‎داده‎شده است. -503555-237490کلاینت سرویس های وبمنطق کسب و کارزمان اجرای وب سرویس امنارائه دهنده سرویس 1منطق کسب و کارزمان اجرای وب سرویس امنارائه دهنده سرویس 2منطق کسب و کارزمان اجرای وب سرویس امنسرویس توکن امنیتیکلاینت یک درخواست پیام SOAP با نشانه SAML بدست آمده از STS به ارائه دهنده سرویس ارسال می کند.ارائه دهنده سرویس 1، نشانه SAML را بر اساس امنیت بررسی می کند. منطق کسب و کار پس از 3 ساعت اجراشده است. مشاهده می شود که زمان اجرا تقریباً گذشته است. ارائه دهنده سرویس 1 خود یک نشانه SAML با زمان انقضای جدید صادر می کند. نشانه SAML روی پیام SOAP به ارائه دهنده سرویس 2 ارسال می کند.ارائه دهنده سرویس 2 نشانه SAML مبتنی بر امنیت را بررسی می کند. این بر اساس اطمینان از این واقعیت پیکربندی شده است که ارائه دهنده سرویس 1 نشانه خودش را صادر می کند و درخواست پذیرفته می شود.0کلاینت سرویس های وبمنطق کسب و کارزمان اجرای وب سرویس امنارائه دهنده سرویس 1منطق کسب و کارزمان اجرای وب سرویس امنارائه دهنده سرویس 2منطق کسب و کارزمان اجرای وب سرویس امنسرویس توکن امنیتیکلاینت یک درخواست پیام SOAP با نشانه SAML بدست آمده از STS به ارائه دهنده سرویس ارسال می کند.ارائه دهنده سرویس 1، نشانه SAML را بر اساس امنیت بررسی می کند. منطق کسب و کار پس از 3 ساعت اجراشده است. مشاهده می شود که زمان اجرا تقریباً گذشته است. ارائه دهنده سرویس 1 خود یک نشانه SAML با زمان انقضای جدید صادر می کند. نشانه SAML روی پیام SOAP به ارائه دهنده سرویس 2 ارسال می کند.ارائه دهنده سرویس 2 نشانه SAML مبتنی بر امنیت را بررسی می کند. این بر اساس اطمینان از این واقعیت پیکربندی شده است که ارائه دهنده سرویس 1 نشانه خودش را صادر می کند و درخواست پذیرفته می شود. شکل 2-14: زمان انقضای توکن زبان نشانه‌گذاری اثبات امنیت ]4، 31 و 33[. 2-23 نتیجه‎گیری برای درک کامل مسائلی که در فصل‎های آینده مورد بحث قرار گرفته‎است، نیاز به یک آشنایی اولیه با مفاهیم و تعاریف اولیه، احساس می‎شد. در این فصل مفاهیم و تعاریف اولیه مرتبط با پردازش ابری، احراز هویت، زبان نشانه‎گذاری اثبات امنیت و نیز آشنایی کلی با مفاهیم مورد استفاده بدست آمد. همچنین بررسی مختصری در مورد استاندارد زبان نشانه‎گذاری اثبات امنیت انجام‎شد که در فصل‎های بعدی از آنها استفاده‎ ‎خواهد شد. منابع و مآخذ [1] Prepared by the Cloud Security Alliance Security Guidance for Critical Areas of Focus in Cloud Computing V2.1, United States Copyright Act , December 2009. [2] TaheriMonfared A Securing the IaaS Service Model of Cloud Computing Against Compromised Components, Norwegian University of Science and Technology, June 2011. [3] Kumaz P, Sehgal K, Chauhan S, Gupta K and Diwakar M "Effective Ways of Secure, Private and Trusted Cloud Computing", IJCSI International Journal of Computer Science Issues, Vol 8, Issue 3, No 2, May 2011. [4] LEWIS D and LEWIS E "Web Single Sign-On Authentication using SAML", IJCSI International Journal of Computer Science Issues, Vol 2, 2009. [5] Ragouzis N "Security Assertion Markup Language (SAML) V2.0 Technical Overview", Feb. 2007. [6] Cantor S "Assertions and Protocols for the OASIS Security Assertion Markup Language (SAML) V2.0", OASIS Standard, 15 March 2005. [7] Wang J, Zhao Y, Jiang S and Le J "Providing privacy preserving in Cloud computing", International Conference on Test and Measurement, pp 213-216, 2009. [8] Saltzer H Protection and the control of information sharing in multics, ACM, 17(7):388–402, 1974. [9] Stanoevska‐Slabeva k and Wozniak K, principal cloud, [10] Chen Y, Paxson V and Katz K "What’s New About Cloud Computing Security", Electrical Engineering and Computer Sciences University of California at Berkeley, Technical Report No. UCB/EECS-2010-5, January 20, 2010. [11] http://www.iranianlearn.com/article6119.html. [12] http://xen.org/products/xenhyp.html. [13] Karger P "Securing virtual machine monitors—what is needed", Keynote address, ASIACSS 2009. [14] Feinleib H A Technical History of National CSS, Computer History Museum, April 2005. [15] "Cloud Computing Security Considerations", Department of Intelligence and Security of Australian Government, April 2011. [16] Delgado V Exploring the limits of cloud computing, Master of Science Thesis Stockholm, Sweden, 2010. [17] Miller M "Using WS-Security and SAML for Internet Single Sign On", 20th Computer Science Seminar, SA3-T4-1, 2005. [18] ‎Jøsang A Security Usability Principles for Vulnerability Analysis and Risk Assessment, Annual ‎Computer Security Applications Conference, 2007 (ACSAC'07)‎. [19] "Cloud Cube Model: Selecting Cloud Formations for Secure Collaboration", Jerichio Forum tm, Version 1.0, April 2009. [20] Provos N Safe Browsing (Google Online Security Blog), June 2012.‎ [21] Jansen W and Grance T Guidelines on Security and Privacy in Public Cloud Computing, Information Technology Laboratory, National Institute of Standards and Technology, Gaithersburg, MD 20899-8930, December 2011. [22] http://www.schneier.com/blog/archives/2010/06/data_at_rest_vs.html. [23] Winkler R Cloud Computer Security Techniques and Tactics, in the United States of America, 2011. [24] "Security Assertion Markup Language (SAML) 2.0", OASIS Standard, July 2005. [25] Kemp J "Authentication Context for the OASIS Security Assertion Markup Language (SAML) V2.0." OASIS SSTC, January 2005. [26] "Assertions and Protocols for the OASIS Security Assertion Markup Language (SAML) V2.0", OASIS Standard, March 2005. [27] Box D "Simple Object Access Protocol (SOAP) 1.1.", World Wide Web Consortium Note, May 2000. [28] Meyer C, Feldmann F and Schwenkpaper J "Sometimes it's better to be STUCK", Horst Gortz Institute for IT-Security, Ruhr-University Bochum, 2011. [29] Cantor S "Bindings for the OASIS Security Assertion Markup Language (SAML)V2.0." OASIS SSTC, March 2005. [30] Aarts R "Liberty Reverse HTTP Binding for SOAP Specification Version 1.0.", Liberty Alliance Project, 2003. [31] "Introduction to Security Assertion Markup Language (SAML) and SAML Support in IBM WebSphere Application Server Version 7.0 Fix Pack 7", IBM WebSphere Web Services Security Development, Software Group, November, 2009. [32] Monzillo R "OASIS Web Services Security: SAML2.0 Token Profile 1.0". [33] Morgan M "Interactions between Shibboleth and local-site web sign-on services", April 2001. [34] "Leveraging SAML for Federated Single Sign-on", PistolStar, Inc. dba PortalGuard, PO Box 1226 Amherst, NH 03031 USA, 2012. [35] http://www.pistolstar.com/SSO.html. [36] Somorovsky J, Mayer A, Schwenk J, Kampmann M and Jensen M, "On Breaking SAML: Be Whoever You Want to Be", Sec2 project of the German Federal Ministry of Education and Research (BMBF, FKZ: 01BY1030), 2012. [37] http://en.wikipedia.org/wiki/Claims-based_identity. [38] Shadfar S "Smart Card-Based Identity and Access Management", Schlumberger Information Solutions, 2004. [39] F L Podio and Dunn J "Biometric Authentication Technology:From the Movies to Your Desktop", 2002. [40] http://en.wikipedia.org/wiki/NT_LAN_Manager. [41] http://docs.oracle.com/cd/E19575-01/820-3746/6nf8qcveh/index.html. [42] "Kerberos White Paper", Hewlett-Packard Development Company, L.P, Trademark of Intel Corporation in the U.S, 2005. [43] Schneier B "Sharing a Secret: How Kerberos Works", Cryptography: Protocols, Algorithms and Source Code in C, 1995. [44] the MIT Kerberos Consortium, "Why is Kerberos a credible security solution?", the United States Government, 2008. [45] http://howto.caspio.com/getting-started/password-protection/password-protection-1-of-3-lookup-and-authentication-tables. [46] Ping Identity, SAML101 (White Paper), Ping Identity Corporation, 2012. [47] http://saml.xml.org/advantages-saml [48] http://en.wikipedia.org/wiki/SAML_2.0. [49] http://www.gluu.org/blog/tag/saml. [50]"SAML Alone Is Not Secure", SECUREAUTH (Whitepaper), 8965 Research Drive, Suite 200, Irvine, CA 92618, 2011. [51] Ajoudanian Sh and Ahmadi M R “A Novel Data Security Model for Cloud Computing”, IACSIT, April, 2012. ]52[ شفیعی ثابت ا ر "ارائه یک مدل بهبود یافته برای ساخت ایمن برنامه کاربردی وب"، دانشکده مهندسی کامپیوتر و فناوری اطلاعات، موسسه آموزش عالی صنعتی فولاد فولادشهر، پاییز 92. [53] http://hr-vojdani.blogfa.com/post/261, accessed January 1, 2214. ]54[ فرشادفر ع اصول و روش‎های آماری چند متغیره، انتشارات طاق بستان، دانشگاه رازی، کرمانشاه، 1380. ]55[ زارع چاهوکی م ع روش‎های تحلیل چند متغیره در نرم افزار SPSS ، دانشگاه تهران، پاییز 1389.