پایان نامه رایگان با موضوع فرآیند کسبوکار، سیستم مدیریت، افشای اطلاعات

دانلود پایان نامه ارشد

سازمانی: به بیان رابطه ساختار سازمانی کسبوکار و این که چه کسی چه عملیاتی را انجام دهد میپردازد.
به عنوان جنبههای امنیتی از نظر ما، احراز هویت، کنترل دسترسی، عدم انکار، محرمانگی و مدیریت کلید مطرح است تا یک برنامه کاربردی مبتنی بر فرآیند امن را در محیطهای سرویسگرا داشته باشیم.
هرکدام از جنبههای بیان شده در برگیرنده نیازهای امنیتی میباشند، به طور مثال جنبه اطلاعاتی نیاز به کنترل دسترسی را دارد و برای انجام هر کاری باید مجوز آن را داشت؛ و یا جنبه عملیاتی که شامل جنبههای امنیتی عدم انکار، محرمانه بودن و مدیریت کلید است؛ و همچنین جنبه سازمانی بر روی نیاز امنیتی کنترل وظایف انسانی تاکید دارد؛ لذا سیستم باید به طور کلی ویژگیهای زیر را داشته باشد:
سیستم باید اتفاقاتی را که برای اجرای فرآیند کسبوکار مهم هستند را ذخیره کند.
سیستم باید کنترل کننده نقشها و مقادیر ویژگیها و ارزشها که مشخص باشد.
سیستم باید مجوزهای انجام کار را کنترل کند
سیستم باید انتقال و رد و بدل پیام با دیگر فرآیندهای کسبوکار و خدمات وب را به همراه رمزنگاری انجام دهد.
سیستم باید قادر به بازیابی کلیدهای صحیح به اشتراک گذاشته باشد.
پیامها باید قابلیت امضای دیجیتال را داشته باشند تا بتوان منشأ فرآیندهای کسبوکار را مشخص نمود.

بنا بر مطالب بیان شده در قسمت قبلی، حال به توضیح نیازمندیها و قابلیتهای امنیتی لازم برای سیستم مدیریت فرآیند کسبوکار سرویسگرای امن میپردازیم.
مدل کنترل دسترسی: کنترل دسترسی با هدف محافظت دسترسی در برابر استفاده از منابع غیرمجاز است. سیاستهای های گوناگونی مانند کنترل دسترسی بصیرتی61، کنترل دسترسی الزامی62 و کنترل دسترسی مبتنی بر نقش63 برای این امر وجود دارد. هر کدام از این سیاستها دارای تعاریف و قابلیتهایی هستند و همچنین مزایا و معایبی را هم به همراه دارند ما با بررسی این روشها متناسبترین مدل را انتخاب میکنیم. یکی از مشکلات اساسی که در مدل بصیرتی وجود دارد این است که هیچ کنترلی بر روی جریان اطلاعاتی که ممکن است درخواست انجام شده بدست آورد، وجود ندارد لذا ممکن است وضعیتی پیش آید که با وجود اینکه کاربر از محدودیتهای سیستم تبعیت میکند ولی فرآیندهای در حال اجرایی که توسط وی صادر شدهاند از این محدودیتها تبعیت نکنند. بنابراین این سیاست شامل مشکلاتی مانند افشای اطلاعات و عدم ضمانت جامعیت است. از طرفی مدل دسترسی الزامی نیز یک مدل امنیتی چند سطحی است و از نظر پیچیدگی و دست و پاگیر بودن مطلوبیت و کاربرد فراگیری ندارد. در حالی که مدل کنترل دسترسی مبتنی بر نقش یک مدل غیر بصیرتی است، و در حقیقت گونهای از سیاست دسترسی الزامی به شمار میآید با این تفاوت که بر اساس نیازمندیهای امنیتی چند سطحی نمیباشد. نقطه قوت این مدل این است که توسط مفاهیم نقش و تراکنش ارائه شده است، این مدل نه پیچیدگی سطحبندی در سیاست الزامی را دارد و نه مبنای غیرواقعی ارتباط مالکیت بین شی و ماهیت در سیاست بصیرتی؛ لذا میتوانیم از مدل کنترل دسترسی مبتنی بر نقش استفاده کنیم. کنترل دسترسی مبتنی بر صفت64 نیز میتواند مورد استفاده قرار بگیرد چرا که به مراتب انعطافپذیری بیشتری دارد. در این مدل قوانین بر اساس ویژگی‌های افراد، اشیاء و محیط تعریف میشود.
کنترل دسترسی برای اجرای وظایف: در اینجا استفاده از کنترل دسترسی را برای انجام وظایف و منابع در گردش کار در نظر میگیریم. در مدلهای سنتی هیچ مفهومی در رابطه با گردشکار و وظایفی را که شامل میشود وجود نداشته. مدل کنترل دسترسی مبتنی بر نقش- گردش کار65 که توسعه یافته با مفهوم سازمان و موارد از مدل توسعه مبتنی بر نقش است، لذا ما از این مدل استفاده میکنیم. این مدل محدودیتهایی مانند جدایی وظیفه و یا اتصال وظیفه را از طریق گزارهها پشتیبانی میکنند. یکی از ویژگیهای کلیدی این مدل این است که محدودیتها بر اساس اولویت تعیین میشوند.
مدیریت هویت و احراز هویت: احراز هویت تضمین میکند که یک نهاد شناسائی شدهاست. در محیطهای باز و توزیع شده مدیریت هویت کاربران برای کنترل دسترسی استفاده میشود. از آنجا که واسط کاربری در معماری لایهای ارائه شده یکپارچه میباشد ما از مدیریت هویت فدرال66 استفاده میکنیم. در این مدل اطلاعات هویتی به صورت پویا مبادله میشود. در این مدل کاربران از طریق یک عامل کاربر با ارائهدهندگان خدمات ارتباط برقرار میکنند. تبادل اطلاعات هویتی به صورت SSO میباشد.
رمزنگاری و امضای ارتباطات وب سرویس: از رمزنگاری برای جلوگیری از افشای اطلاعات استفاده میشود و از امضای الکترونیکی برای عدم انکار استفاده میشود. سیستم مدیریت فرآیند کسب‌وکار سرویسگرای امن باید پیامهای سرویس را رمزنگاری کند، به طوری که تنها دریافتکننده آن بتواند آن‌ها را رمزگشایی و مشاهده نماید. همچنین باید پیامها را امضاء کند تا بتوان تعیین کرد که چه کسی این درخواست را صادر کرده است، یعنی کدام فرآیند و سرویس به نام کدام کاربر انجام شدهاست. بنابراین با استفاده از استاندارد امنیت وب سرویس67 میتوان این کار را انجام داد به طوری که رازداری را با XML Encryption و جامعیت داده را با استفاده از XML Signature فراهم میکند. همچنین این استاندارد شامل پروفایلهایی است که تعیین میکنند چگونه انواع مختلفی از نشانههای امنیتی XMLو دودویی را در سرآیندهای استاندارد امنیت وب سرویس برای اهداف اعتبارسنجی و اختیارسنجی قرار داد. به این منظور سیستم مدیریت کسبوکار سرویسگرای امن باید به کلید عمومی طرفین ارتباط و کلید خصوصی خود دسترسی داشته باشد. از آنجایی که این نیازمندی با سرویسهای خارجی در ارتباط است بنابراین موتور اجرای فرآیند و همچنین واسط وب سرویس تحت تأثیر قرار میگیرند و هر دوی آن‌ها باید پروتکل رمزنگاری الحاقی را پشتیبانی کنند و همچنین امکان استفاده از پارامترهای تنظیماتی مانند کلیدها را داشته باشند لذا میتوانیم از یک پروکسی بین موتور اجرای فرآیند و سرویس وب خارجی استفاده نماییم.
استخراج سرویسهای وب قابل اعتماد: هدف ما در این قسمت پیدا کردن سرویسهای قابل اعتماد بر اساس مشخصات برنامه کاربردی و کاربران درگیر در آن فرآیند است. از آنجایی که ممکن است بیش از یک سرویس موجود باشد که طبق سیاستهای قابل اجرا، قابل اعتماد باشد پس از میان آن‌ها یکی انتخاب میشود ولی کاربر تا قبل از آنکه فرآیند، سرویس را فراخوانی کند میتواند حق انتخاب داشته باشد و سرویس دیگری را انتخاب کند. به این منظور سیستم مدیریت کسبوکار سرویسگرا به سیاست اعتماد فرآیند و سیاست اعتماد کاربر نیاز دارد. همچنین باید تصمیمگیری کاربر را دریافت کرده و در زمانی که یک تراکنش چندین فراخوانی را پوشش میدهد، انتخابهای صورت گرفته را نیز ذخیره نماید. به طور مثال زمانی که اقلام دادهای مختلفی باید در مخزن ذخیره شوند. در اینجا سرویسهای مورد اعتماد کشف شده و نتایج مربوط به این سرویسها نگهداری و پیگیری میشوند. همچنین مسیر دهی سرویس فراخوانی شده به سرویس انتخاب شده و پایبندی به سیاستهای قابل اعتماد را خواهیم داشت. این نیازمندی بر روی نحوه عملکرد موتور فرآیند، واسط سرویس وب و تعاملاتش با کنترلکنندهای که با تصمیمات کاربر (تعامل کاربر همزمان) در ارتباط است، اثر میگذارد. بنابراین سیستم مدیریت فرآیند کسبوکار سرویسگرای امن باید ارتباطات سرویس وب و فرآیند را مدیریت کند که میتوان با طراحی پروکسی منطبق این نیازمندی را پوشش داد.
دسترسی کنترل برای وظایف انسانی: در اینجا باید کنترل کنیم که چه کسی وظایف انسانی یک فرآیند را انجام میدهد. این تصمیمگیریها برای یک وظیفه خاص بر اساس ویژگیهای کاربری که آن وظیفه را انجام میدهد و یا بر اساس تزریق تاریخچه نمونه فرآیند به حساب نیز میباشد (این حالت برای محدودیتهای اختیارسنجی مانند اتصال وظیفه و جداسازی وظیفه است). در این راستا برای دست یافتن به این نیازمندی باید به اطلاعاتی که در رابطه با کاربران، نقش و صفات آن‌ها، تاریخچه نمونه (چه کسی، کدام وظیفه را در این نمونه انجام داده است) و مفهوم وظایف انسانی (یعنی کدام فعالیت در کدام نمونه سبب آن‌ها شده) میباشد دسترسی داشت. این نیازمندی واسط موتور فرآیند و کنترلکننده وظایف کاری را تحت تأثیر قرار میدهد. این واسط با استفاده از دسترسی به تاریخچه و کنترل کننده وظایف کاری، تصمیم کنترل دسترسی را میگیرد.
در شکل 3-10 نیازمندیهای امنیتی مدیریت فرآیند کسبوکار سرویسگرای امن را نشان دادهایم.

شکل3-10 نیازمندیهای امنیتی مدیریت فرآیند کسبوکار سرویسگرای امن

3-3-6 مؤلفه‌های امنیتی مدیریت فرآیند کسبوکار سرویسگرای امن
بنا بر نیازمندیهای گفته شده در بخش قبلی علاوه بر مؤلفه‌های امنیتی که در رابطه با معماری سرویسگرا مورد استفاده قرار میگیرد، نیاز به مؤلفه‌های جدیدی برای تأمین امنیت در معماری بیان شده داریم. بنابراین لایه امنیت در مدیریت فرآیند کسبوکار سرویسگرای امن در معماری لایهای مدیریت فرآیند کسبوکار سرویسگرای امن در محدودهای که ارتباط میان فرآیندهای کسبوکار و سرویسهاست علاوه بر دیگر مکانیزمهای امنیتی که در لایه امنیت مورد استفاده قرار میگیرد شامل مؤلفه‌های جدیدی است که در این مبحث به طور کامل توضیح میدهیم و آن‌ها را در شکل 3-11 نمایش دادهایم. این مؤلفه‌ها مربوط به ارتباط موتور فرآیند برای درخواست سرویس با استفاده از زیرساخت وبسرویس میباشد.

شکل 3-11 مؤلفه‌های لایه امنیت مدیریت فرآیند کسبوکار سرویسگرای امن

کنترلکننده فراخوانی سرویسهای وب: این مؤلفه وظیفه انجام تمام وظایف مرتبط با امنیت در ارتباط با فراخوانی سرویسهای وب را بر عهده دارد و میتواند به عنوان یک پروکسی برای این فراخوانیها عمل میکند. در اینجا فرآیندها یک سری درخواستها را به جای آنکه به وب خارجی بفرستند به این مؤلفه میفرستند. سپس این مؤلفه چک میکند که آیا این سرویس هنوز طبق سیاستهای قابل اجرا، قابل اعتماد است و سپس آن را رمزگذاری و امضاء کرده و در نهایت به سرویس انتخاب شده ارسال میکند. بنابراین این مؤلفه نه تنها اجرا کننده سیاستهاست بلکه به عنوان پروتکل هماهنگکننده هم عمل مینماید. این کنترلکننده با مرکز ذخیره کلیدها، مرکز تصمیمگیری سیاست‌های قابل اعتماد، پیدا کننده سرویس و مرکز ذخیره اطلاعات برای برقراری ارتباط امن در ارتباط خواهد بود. الگوریتم کنترل کننده فراخوانی سرویس به شکل زیر میباشد. در این الگوریتم قبل از آنکه موتور فرآیند کسبوکار (BP engine) درخواست خود را به وب سرویس خارجی بفرستد به مرکز کنترل فراخوانی سرویسهای وب میفرستد؛ و در ادامه با چک کردن قابلیت اعتماد سرویس با استفاده از اطلاعات ذخیره شده در مرکز ذخیره اطلاعات (Information Store) سنجیده شده و سپس اطلاعات رمز و امضاء شده و پیام به وبسرویس ارسال میشود و پیام دریافتی از وب سرویس رمزگشایی شده و برای موتور فرآیند ارسال میشود.
Algoritm 2 Control Server of web-service call
1. Request ← BP engine. get selected activity (activity,pid)
2. Ws ← Information Store. Get selected ws (activity,pid)
3. Policies ← Information Store. Get applicable policy (activity,pid)
4. Trusted ← Trust PDC. Is trustworthy (WS,policies)
5. if Trusted then
6. Key ← Key Store. Get key (WS)
7. Msg ← encrypt and sign (Request,key)
8. Reply ← ws. Send message (Msg)
9. if is signature valid (Reply,Key) then
10. return decrypt (reply)
11. else return error
12. else return error
کدهای مورد استفاده در فاز رمزنگاری پیام XML به شکل زیر میباشد. این رمزنگاری بیانگر این است که چگونه محتوای دیجیتالی رمزگذاری و رمزگشایی شود، و همچنین چگونه اطلاعات کلید رمزنگاری برای گیرنده ارسال میشود. در یک سند XML ممکن است که تمام سند و یا بخشی از آن رمزگذاری شود.
XML Encryption (Confidentiality)
?xml version=“1.0”?




A23B4…5C56




همچنین کدهای مورد استفاده در فاز امضای

پایان نامه
Previous Entries پایان نامه رایگان با موضوع فرآیند کسبوکار، سیستم مدیریت، مدل پیشنهادی Next Entries پایان نامه رایگان با موضوع فرآیند کسبوکار، فناوری اطلاعات، افزایش رضایت مشتریان