توسعه يک وبسرويس امن با استفاده از RUPSec
الموضوعات :سیدمهدی حسینی نژاد 1 , گلناز الهی 2 , پویا جافریان 3
1 - دانشگاه صنعتی امیرکبیر
2 - دانشگاه تورنتو کانادا
3 - دانشگاه بریتیش کلمبیا کانادا
الکلمات المفتاحية: سیستمهای امنوبسرویسRUPSecفرآیند توسعه نرمافزارمهندسی نرمافزار,
ملخص المقالة :
در حال حاضر مسائل امنيتي بزرگترين مانع گسترش وبسرويس در سطح تشکيلات ميباشد. تلاشهايي که در زمينه امنيت وبسرويسها انجام شده است شامل ارائه استانداردها، پروتکلها و تکنولوژيهايي در زمينه برآوردهنمودن نيازهاي امنيتي وبسرويسها ميباشد. با اين وجود مسائل امنيتي وبسرويسها همچنان مشکلاتي در سازمانها و محیطهای مختلف ايجاد ميکند. این به این دلیل است که تشخيص صحیح و انتخاب استانداردها و مکانيزمهاي امنيتي موجود عملی دشوار بوده و برای انجام آن ابتدا بايد نيازهاي امنيتي استخراج شوند. در اين مقاله با پيگيري يک مطالعه موردي، رويکردي براي توسعه وبسرويسهاي امن بر مبناي مدل فرآيند و متدولوژي RUPSec ارائه ميشود. هدف از ارائه اين ديدگاه، فراهمآوردن روشي براي کشف و استخراج نيازهاي امنيتي وبسرويسها بر مبناي تهديدات عليه آنها است. همچنین با انجام این مطالعه موردی، تواناییهای RUPSec در بدستآوردن تهدیدات و نیازهای امنیتی مورد ارزیابی قرار میگیرد.
[1] H. M. Deitel, P. J. Deitel, B. DuWaldt, and L. K. Trees, Web Services, A Technical Introduction, Prentice Hall, New Jersey, US, 2003.
[2] D. S. Frankel, Model Driven Architecture, Applying MDA to Enterprise Computing, Wiley, US, 2003.
[3] M. Bishop, Computer Security, Art & Science, Addison-Wesley, 1st Ed., 2002.
[4] Security in a Web Services World: A Proposed Architecture and Roadmap, A Joint Security Whitepaper from IBM Corporation and Microsoft Corporation, Version 1.0, Apr. 2002.
[5] W. Negm, Anatomy of a Web Services Attack: A Guide to Threats and Preventative Countermeasures, White Paper Forum Systems Inc., 2004.
[6] J. Thelin and P. J. Murray, "A public web services security framework based on current and future usage scenarios," in Proc. of Int. Conf. on Internet Computing, pp. 825-833, Las Vegas, Nevada, US, Jun. 2002.
[7] P. Jaferian, G. Elahi, M. R. Shirazi, and B. Sadeghian, "RUPSec: extending business modeling and requirements disciplines of RUP for developing secure systems," in Proc. of the 31st EuoroMicro Conf. on Software Engineering and Advanced Applications, IEEE Computer Society, pp. 232- 239, Porto, Portugal, 2005.
[8] M. R. A. Shirazi, P. Jaferian, G. Elahi, H. Baghi, and B. Sadeghian, "RUPSec: an extension on RUP for developing secure systems-requirements discipline," in Proc. of the 2nd World Enformatika Congress (WEC'05), pp. 232-239, 2005.
[9] ح. باقي، پ. جافريان، گ. الهي، م. ر. آيتالله زاده شيرازي و ب. صادقيان، "گسترشي بر RUP براي توسعه سيستمهاي امن،" مجموعه مقالات دهمين کنفرانس انجمن کامپيوتر ايران، صص. 108-97، 1383.
[10] D. G. Firesmith, "Security use cases," J. of Object Technology, Online at www.jot.fm. Published by ETH Zurich, vol. 2, no. 3, pp. 53-64, May/Jun. 2003.
[11] P. Lindstrom, Attcaing and Defending Web Services, A Spire Research Report, Jan. 2004. [12] O. Shehory and A. Sturm, "Evaluation of modeling techniques for agent-based systems," in Proc. of the 5th Int. Conf. on Autonomous Agents, pp. 624-631, Montreal, Canada, 2001.
