۵ نتیجه برای وارسی
بهروز ترک لادانی، امیر جلالی بیدگلی،
دوره ۳، شماره ۲ - ( ۱۲-۱۳۹۳ )
چکیده
اعتماد و شهرت، مفاهیمی شناختهشده در علوم اجتماعی هستند که امروزه در قالب سامانههای اعتماد، کاربردهای روزافزونی در علوم رایانه و ارتباطات پیدا کردهاند. این سامانهها با ارائۀ مدلی محاسباتی و بر پایه مجموعهای از تجربیات و توصیهها، مقادیر اعتماد (یا شهرت که نوع خاصی از اعتماد است) را محاسبه میکنند. این مقادیر به موجودیتها در شناسایی و سپس منزوی ساختن موجودیتهای غیردرستکار جامعه یاری میرساند. انتظار بر آن است که مقادیر اعتماد، میزان درستکاری هر موجودیت را نمایش دهد که درنتیجه یک موجودیت با اعتماد پایین با احتمال بالایی یک موجودیت بدخواه یا خودخواه خواهد بود. از سامانههای اعتماد بهعنوان مهمترین ابزار در نسل جدید روشهای امنیتی به نام امنیت نرم نام بردهاند. باوجود کاربردهای گسترده، این سامانهها در مقابل برخی حملات آسیبپذیر هستند. این حملات دنبالهای از رفتارهای گمراهکننده و ریاکارانه توسط موجودیتهای بدخواه هستند که قادر به فریب مدل محاسبه اعتماد و درنتیجه افزایش یا کاهش مقادیر اعتماد به نفع حملهکنندگان خواهد بود. یک سامانه اعتماد آسیبپذیر، نه تنها ابزار تصمیمیار مناسبی برای موجودیتها نیست؛ بلکه ممکن است به ابزاری در دست حملهکنندگان جهت افزایش قدرت حملاتشان تبدیل شود، از این رو لازم است پیش از استفاده از یک سامانه، استحکام آن دربرابر حملات ارزیابی گردد. این مقاله به مرور و بررسی حملات اعتماد و روشهای موجود در ارزیابی استحکام سامانههای اعتماد در برابر آنها میپردازد. شبیهسازی و وارسی صوری، دو بستر اصلی جهت ارزیابی استحکام سامانههای اعتماد است. شبیهسازی که روش غالب در اکثر پژوهشهاست، روش تخمینی است که در هر بار تنها قادر است چند مسیر اجرا را از سامانه بررسی کند. در مقابل در روشهای وارسی صوری، کل فضای حالت اجرای مدل جهت بررسی دارا بودن ویژگیهای امنیتی مورد نظر پوشش داده میشود؛ از این رو نتایج بهدست آمده با این روشها دقیق و قابل اثبات است. با وجود مزیتهای فراوان روشهای صوری بر روشهای شبیهسازی، پژوهشهای مرتبط با وارسی استحکام سامانههای اعتماد هنوز ناقص و در مراحل نخستین پژوهش هستند، هرچند این پژوهشها در سالهای اخیر رشد خوبی داشتهاند. در این مقاله این پژوهشها در کنار روشهای مبتنی بر شبیهسازی مرور و معایب و مزایای هر یک بررسی میشود.
محمدمحسن امیری، مرتضی معمر، موسی محمدنیا، آقای مسعود عسگری مهر،
دوره ۷، شماره ۱ - ( ۶-۱۳۹۷ )
چکیده
با گسترش روزافزون بهکارگیری سامانههای رایانهای در کاربردهای بحرانی-ایمن، استفاده از روشهای ارتقای ایمنی و قابلیت اطمینان در فازهای اولیه طراحی و تولید، اهمیت بهسزایی پیدا کرده است. چون رخداد اشکال یا بروز شکست در این سامانههای بحرانی نهتنها هزینههای بسیاری را به تولیدکننده تحمیل میکند، بلکه میتواند جان و مال انسانها و نیز محیطزیست را به مخاطره بیندازد. در این مقاله چهار استاندارد مطرح برنامهنویسی به زبان ++C به نامهای MISRA C++، JSF AV C++، HI C++، ESCR C++ مورد بررسی قرار گرفته است؛ که قادر خواهند بود، معیار ایمنی را در کدهای نوشتهشده در مرحله طراحی کد، افزایش دهند. ازاینرو در این مقاله، ابتدا میزان همپوشانی این استانداردها به جهت یافتن جامعترین استاندارد ارزیابیشده و در ادامه به میزان غنای این استانداردها از شش جهت قابلیت اطمینان، تعمیر، خوانایی، آزمونپذیری، کارایی و ایمنی پرداخته شده است. در پایان ابزارهایی را که توانایی وارسی این استانداردها را در حین تولید دارند، مورد بررسی قرار خواهیم داد.
فاطمه عسکری نیسیانی، بهروز ترک لادانی،
دوره ۱۰، شماره ۲ - ( ۱۲-۱۴۰۰ )
چکیده
سیستم عامل آندروید به دلیل وجود توسعه دهندگان فعال و فراگیر بودن، کاربران زیادی را به خود جذب کرده است. این در حالی است که بسیاری از برنامه های نوشته شده برای این محیط، دقت کافی در حفظ حریم خصوصی کاربران به خرج نمی دهند و به آسانی منجر به نشت اطلاعات حساس کاربران می شوند. بنابراین، یک چالش اصلی این است که چطور می توان به صورت مؤثری چنین آسیب پذیری هایی را شناسایی کرد. در این مقاله رویکردی مبتنی بر چارچوب وارسی مدل به منظور تشخیص امکان نشت اطلاعات حساس در برنامه های آندرویدی از طریق وارسی رفتار برنامه ها ارائه می کنیم. برای این کار ابزار JPF - Android را برای سازگار کردن با مسئله موردنظر توسعه داده و از آن برای مدل سازی و وارسی نشت اطلاعات در برنامه های آندرویدی استفاده می کنیم. برای ارزیابی رویکرد ارائه شده، توانایی آن در تشخیص نشت اطلاعات را به صورت عملی با ارزیابی و با رویکردهای مشابه مقایسه کرده ایم. نتایج آزمایش های انجام شده حاکی از آن است که رویکرد پیشنهادی به طور موفقیت آمیزی قادر به تشخیص نشت اطلاعات است. به علاوه ابزار تهیه شده گزارش مفصلی را به توسعه دهندگان ارائه می دهد تا اطلاعات دقیقی از نحوه انجام نشت اطلاعات به دست آورند.
دکتر سعید بنائیان فر، دکتر مریم رجب زاده عصار،
دوره ۱۳، شماره ۱ - ( ۶-۱۴۰۳ )
چکیده
برونسپاری دادهها به مراکز قابل اعتماد برای نگهداری، محافظت و دسترسپذیری دادهها یک راه ساده و کم هزینه است و نیازی به داشتن زیرساخت های فیزیکی، سخت افزاری، نرم افزاری و منابع انسانی ندارد. اما اتفاقات دنیای واقعی و تحقیقات اخیر نشان دادهاند که حتی مراکز قابل اعتماد نیز میتوانند از اعتماد کاربران سوء استفاده کنند. به طور مثال، ۱) در دادههایی که در اختیار دارند تغییر ایجاد کنند، ۲) آنها را حذف کنند و یا ۳) موقتا/دائما از دسترس خارج کنند. روشهای ممیزی داده این اطمینان را به مالکان داده میدهند که داده ثبت شده در پایگاه داده همان دادۀ ارسال شده توسط کاربر است و تغییرات ایجاد شده در آن را آشکار می کند. اما فقط مشکل اول را حل می کنند. در سال ۲۰۰۸ معرفی یک فناوری به نام زنجیرۀقالب ها که دارای چندین ویژگی جذاب از جمله شفافیت ، تغییرناپذیری و خودمختاری بود، سبب شد تا مشکلات بسیاری از سامانه ها که نیاز به ویژگی های ذکر شده را دارند حل شوند. در این مقاله، پس از مرور و بررسی چندین معماری و پروتکل ممیزی داده مبتنی بر زنجیرۀقالبها، چارچوب کلی آنها را بررسی و تحلیل می کنیم. در نهایت مقایس های بین کارهای بررسی شده ارائه می دهیم و برخی افق های آینده این حوزه را مشخص می کنیم.
آرین عرب نوری، سهیل عیسی زاده، علیرضا شفیعی نژاد،
دوره ۱۳، شماره ۲ - ( ۱۰-۱۴۰۳ )
چکیده
در این مقاله، سامانه لاگ حسابرسی پذیر امن مبتنی بر زنجیره قالب معرفی می شود. رویکرد اصلی دسته بندی محتوای لاگ در بازه های زمانی معین و به کارگیری کد احراز اصالت پیام از نوع HMAC است که ارتباط زنجیره ای بین لاگ های مرتبط با یک کلاس ایجاد می کند. علاوه بر کد اصالت سنجی، شمارنده ای نیز برای هر کلاس در نظر گرفته می شود که در صورت حذف، افزودن، تکرار یا جابجایی لاگ ها ارتباط منطقی این زنجیره به هم خورده و برای وارسی کننده قابل تشخیص خواهد بود. قسمت مهم دیگر طرح، وجود نقاط بازرسی است که براساس تنظیمات مدیر برحسب زمان یا حجم محتوا افزوده می شود. این نقاط وظیفه انتشار کلید جدید برای ادامه فرایند لاگ گیری و آشکارسازی کلید مربوط به نقطه بازرسی قبلی را برعهده دارد. این نقاط بازرسی قابلیت جستجوپذیری و امنیت لاگ را در مقابل حملاتی ماننده جابه جایی، حذف و تکرار فراهم می آورد. پیاده سازی ما نشان می دهد که سیستم پیشنهادی کارآیی مناسبی دارد. همچنین در مقایسه با سایر روش های شناخته شده قبلی محاسبات کمتری را نیاز دارد. همچنین به لحاظ کارآیی بالای توابع درهمساز، کارآیی این سیستم لاگ نسبت به نسخه های مبتنی بر رمزنگاری متقارن یا نامتقارن بسیار مناسب تر خواهد بود.