الحوسبة الموزّعة المأمونة
الحوسبة الموزّعة المأمونة
إن أمنَ الحواسيب لا يلازم عمومًا تطورَ الشبكات الحاسوبية،
إلا أنّ مصممي النظام “أثينا” لم يشهدوا بعد إخفاق بروتوكول نظامهم.
<I .J. شيلر>
أحدثت شبكة الإنترنت العالمية تغيرا ملحوظا في وسائل اتصال الناس بعضهم ببعض والتعامل فيما بينهم. ومع اتساع القرية العالمية، فإن الأشخاص المخادعين يزدادون عددا. إضافة إلى ذلك، فإن أغلب مكونات وبرامج شبكة الإنترنت صُمِّمت للمستخدمين الجديرين بالثقة دون غيرهم. ونتيجة لذلك استطاع الدخلاء intruders اقتحام وسائل الاتصال بالشبكة وقراءة المعلومات المخزَّنة أو تغييرها.
وفي الآونة الأخيرة أخذت المناقشات العامة حول أمن الحواسيب تتركز بشكل أساسي على المقتحمين الفعّالين الذين يُدخِلون بيانات خاطئة إلى الشبكة بُغية إفساد وظائفها الطبيعية. وقد تمكَّن العديد من مقتحمي الحاسوب من الدخول إلى شبكة الإنترنت بوساطة استغلالهم النقاطَ الضعيفة في هذه المنظومة التي كانت ومازالت غير محصَّنة. أما الآن فيحتل الانتهاك السلبي (اللافعّال) passive ـ أي الاطلاع على بيانات الشبكة من دون إعاقة تدفقها ـ مكانة مهمة جدا بين أشكال الانتهاك. وفي واقع الأمر، قد يكون هذا الأسلوب واحدًا من أخطر التهديدات لأمن الشبكات الحديثة لسهولة استخدامه في استراق السمع (التنصت) eavesdropping. فمثلا، مادام تلقيم الحواسيب يعتمد على كتابة كلمة سرّ password تتعرّفها الشبكة، فإن أي مقتحم لافعّال يستطيع بسهولة الحصول على ثروة من المعلومات بوساطة التنصت فقط.
تربط شبكة الحرم الجامعي للمعهد MIT أكثر من000 10 حاسوب بعضها ببعض. وتتكون البنية الأساسية للشبكة من حلقة من الألياف الضوئية سرعة نقلها 100 ميگابِتَّة في الثانية (موضحة جزئيا بالخطوط الحمراء). تتولى المسيِّرات (الدوائر الزرقاء)، الموزّعة استراتيجيا عبر الحرم الجامعي، مهمة نقل البيانات بين أكثر من 100 شبكة محلية (يظهر بعضها باللون الأصفر) وبين حلقة الألياف الضوئية (التي تشكل البنية الأساسية للشبكة) حسب الحاجة. ويشكل نحو 1200 حاسوب من حواسيب شبكة المعهد MIT جزءا من بيئة الحوسبة في النظام أثينا، حيث إن تبادل البيانات فيما بينها محمي باستخدام بروتوكولات التعمية. |
ومنذ أكثر من عشر سنوات يسعى مديرو النظم الحاسوبية في معهد ماساتشوستس للتقانة (MIT) من أجل ضمان أمن هذه النظم. ففي عام 1983، وبالتعاون مع الشركة IBM وشركة التجهيزات الرقمية، قرّر المعهد MIT إقامة النظام أثينا لتزويد الطلبة وأعضاء هيئة التدريس بقدرات حوسبة متقدمة. والنظام أثينا هذا مبني على نموذج المخدِّم ـ العميل client-server، حيث تقوم محطات العمل الحاسوبية workstation (العملاء) بتنفيذ أغلب عمليات الحوسبة، لكن ثمة آلات متخصصة يرتبط بعضها ببعض عبر شبكة الحرم الجامعي للمعهد (MIT net) تتولى عمليات تخزين الملفات والطباعة وغير ذلك. (ومنذ ذلك الحين شاع استخدام هذا النموذج في معظم أجزاء شبكة الإنترنت.)
لقد وجدنا، عند تصميم النظام أثينا، أن الشبكة شكَّلت تهديدا رئيسيا لأمن المعلومات. وبصراحة تامة افترضنا أنه بإمكان طلبتنا في المعهد الإسراع في إيجاد طريقة لبرمجة محطات العمل الحاسوبية بالحرم الجامعي، بحيث تصبح آلات تحفظ كلمات السر بشكل فعّال. وللحد من تأثير هذا الخطر، قمنا بتطوير النظام كيربيروس(1) kerberos للتوثيق الذي يتفادى إرسال أي كلمة سر مقروءة عبر وصلات غير محصنة في الشبكة. ويعتبر هذا النظام جزءا حيويا لضمان أمن النظام أثينا؛ ذلك الحارس السبراني cypernetic الذي لم يخفق في حراسته حتى الآن.
تعتبر تحديات الأمان التي أفرزتها الشبكات الحاسوبية من التحديات النظرية والعملية على حدّ سواء. ويتضح أن أطوالا قليلة من الأسلاك النحاسية والكبلات المحورية أو الألياف الضوئية يمكن أن تهدد بفقدان التمييز بين الصفات التي يستخدمها الناس في إقرار ما هو آمن وما هو غير ذلك. لندخل في اعتبارنا مفهوم الحدود لأي منظومة حاسوبية. فلسنوات عديدة ركز المتخصصون اهتماماتهم على نوعين: أمن محيطي، يمنع مَنْ هم خارج نظام الحاسوب من الدخول إليه، وأمن داخلي يمنع حدوث تداخل بين مستخدمي النظام، وإلا تُنتهك قواعد أمن النظام.
ويمكن ببساطة تحديد المحيط لحاسوب رئيسي mainframe. فوحدة المعالجة المركزية والذاكرة وسواقات الأقراص هي أجزاء داخلية، وما عدا ذلك يعتبر أجزاءً خارجية. وتعتبر أدوات المُدْخلات والمخْرجات، مثل قارئات البطاقات المثقّبة والأشرطة الممغنطة والطرفيات terminals، محيطا للحاسوب؛ فأي معلومات تدخل إلى النظام يجب أن تمرّ عبرها. فمثلا عندما يجلس المستخدمون عند الطرفيات فإنهم يقومون بتعريف أنفسهم للحاسوب عن طريق إدخال اسم الحساب وكلمة السرّ. ويجب على مالك حساب معين أن يَعْرِف كلمة السرّ المرتبطة بحسابه، والاثنان معا يكفيان لتعريف الحاسوب بالمستخدم.
ومن المهم ملاحظة أنّ عملية توثّق الحاسوب من المستخدم تتم بشكل ضمني. فإذا كانت وحدة الاتصال الطرفية مرتبطة مباشرة بحاسوب معين، فإن المستخدِم يعرف عمليا أنها تتحدث باسم ذلك الحاسوب. أما إذا قام المستخدِم بالاتصال بالحاسوب عن طريق موديم (مِعدال)(2) modem، فإنه يضع ثقته في شركة الهاتف بأن توصل المكالمة الهاتفية إلى الحاسوب الموافق للرقم الذي قام بطلبه. (إن جميع المستخدمين ومديري النظم الحاسوبية يثقون أيضا بالعمليات الإجرائية التي يُوزَّع بوساطتها رقم الهاتف المناسب.)
ومادام الأمن الداخلي للحاسوب لم يتقوّض، فإن الثقة المتبادلة بين المستخدِم والحاسوب الرئيسي تستمر إلى أن يُنهي المستخدِم اتصاله مع الحاسوب. ويَفترضُ الحاسوب أن جميع ضربات لوحة المفاتيح تتم برغبة المستخدم. وبالمثل فإن المستخدِم َ يفترض أن جميع المعلومات التي تظهر على الشاشة تأتي من الحاسوب المعني.
من أجل حماية المعلومات المرسلة عبر شبكة مفتوحة (متاحة للجميع)، تعتمد بروتوكولات النظام كيربيروس على مفاتيح التعمية المعروفة لدى الأطراف المعنية بعملية التبادل وحدها. ويوضح الشكل الخطوات التي تحدث عند دخول المستخدمين إلى النظام واكتسابهم حق الوصول إلى ملفاتهم. ويتطلب التبادل الأول كلمة السر للمستخدِم فقط، أما الطلبات اللاحقة فتعتمد على مفتاح دورة التحاور (الأحمر) المشترك بين المستخدم وخدمة منح التذكرة. |
وتفشل كل بديهيات الأمن الأساسية الآنفة الذكر عندما يتعلق الأمر بالشبكات ومحطات العمل الحاسوبية؛ حيث إن محيط النظام الشبكي لا يمكن تحديده بسهولة. وعلى خلاف الحاسوب المنفرد الذي يمكن تحديد محيطه، فإن بيئة الحوسبة تتكون من عدة أنظمة مستقلة يرتبط بعضها ببعض بوصلات ذات وثوقية غير مؤكدة.
إن أغلب الشبكات تغطي مناطق واسعة ويصعب ضمان أمنها. ففي المعهدMIT تنتشر أسلاك التوصيل في الحرم الجامعي كله وحتى في أبنية السكن الجامعي. ومن المكلف حقا وضع جميع أسلاك التوصيل في أنابيب يستحيل اقتحامها، إضافة إلى أن معظم الشبكات تكون ذات طبيعة إذاعية؛ بمعنى أن كل حاسوب متصل بكبل الشبكة يمكنه الاستفادة من المعلومات التي تتدفق في هذا الكبل. وتقوم المكونات المادية hardware للحواسيب وبرامجياتها software بفرز البيانات المتدفقة، ثم يقوم كل حاسوب في الشبكة بمعالجة المعلومات الموجَّهة إليه فقط. وبذلك فإن المقتحم الذي له سيطرة على حاسوب ما، يستطيع برمجته بسهولة بحيث يتلقى إما جميع البيانات المنقولة عبر وصلة الشبكة المرتبط بها أو كل البيانات الموجهة إلى حاسوب آخر. وقد تكون للمقتحِم القدرةُ على إرسال معلومات وجعلها تبدو قادمةً من مكان آخر.
والسهولة التي يمكن لأي مقتحم أن يُنَفِّذَ بها هذا الفعل غير المشروع تعني أن الشبكة ليست محاطة بحزام أمن بيئة الحوسبة الموزّعة. وعندما تكون الشبكة خارج هذا الحزام، فإنه يجب حماية رزم packets البيانات أثناء نقلها المعلومات بين محطات العمل الحاسوبية والمخدِّمات. كما يجب أن تُوثَّقَ authenticated كل رزمة عندما تعبر حزام الأمن المحيط بالشبكة.
ويتولى النظام كيربيروس مهمة التوثيق في النظام “أثينا”. فهو مجموعة من البرامجيات الموزّعة التي تستخدم سلسلة من تبادلات معلوماتية معمّاةencrypted من أجل السماح للمستخدِم بالدخول إلى المخدِّمات. كما يوفر النظام كيربيروس مجموعة من الاختبارات من أجل التأكد من أن البيانات المنقولة بين محطات العمل ووحدات الخدمة (المخدِّمات) servers لم يَجْرِ إفسادها سواء عن طريق الخطأ أو عن طريق طرف ثالث له نوازع شريرة.
ويتبع إصدار النظام كيربيروس المستخدم حاليا في المعهد MIT نظام تعمية البيانات القياسي DES في تكويد الاتصالات عبر الشبكة. ويعمل النظام DESبطريقة تجزئة الرسائل إلى كتل معلوماتية متقطعة (مؤلفة عادة من ثمانية رموز أو 64 بتة) ثم تحويلها إلى كتل أخرى من نص مكوَّد باستخدام “مفتاح” تَكْويد يعتمد 56 بِتَّة. ويتطلب فك التعمية decryption استخدام المفتاح نفسه لإعادة النص المُكَوَّد إلى الرسالة الأصلية. وقبل إرسال أي رزمة تقوم محطة العمل الحاسوبية بتعميتها باستخدام مفتاح معروف لديها ولدى وحدة الخدمة (المخدّم) server التي ستصل إليها البيانات. وبالتالي فإن اعتراض إرسال البيانات عبر الشبكة لن يفيد المقتحم في شيء، لأن كل رزمة تكون في شكل رقمي، ومن دون مفتاحها لن يكون لها أي مدلول.
كما أن بنية خوارزمية النظام DES تجعل اكتشاف أي تغيير معادٍ للمعلومات عبر الشبكة أمرا سهلا. وبافتراض حدوث أي تغيير لأي رزمة فإن التعمية ستعطي عددا من الرموز التي لا تمتُّ للرسالة الأصلية بأي صِلَة. ويمكن بسهولة اكتشاف مثل هذه الرسائل المزوّرة، وبالتالي تستطيع محطة العمل أو وحدة الخدمة استبعادها وطلب إعادة الإرسال مرة أخرى.
وتعتبر طرق التعمية المستخدمة في إرسال المعلومات بأمان عبر شبكات غير مأمونة أساس النظام كيربيروس؛ حيث شيَّدنا عليه هيكلا ضخما من البروتوكولات التي تستطيع تعرّف الأفراد الطالبين للخدمات الحاسوبية. وتستطيع أيضا أن تخصِّص لوحدة الخدمة ومحطة العمل مفتاحا سريا معروفا لكليهما فقط (وهكذا تتأكد فاعلية الحماية بالتعمية.) وتبدأ هذه البروتوكولات بمفتاح سري يستخدم 56 بتة خاص بكل مستخدِم. ويوجد لكل خدمة مقدمة من الشبكة أيضا مفتاح سري. وبطبيعة الحال فلن يستطيع أي فرد تذكّر سلسلة عشوائية مؤلفة من 56 بتة (تقابل عددًا مكونًا من عشرين رقما) وبالتالي يسمح النظام كيربيروس للأفراد باختيار كلمة سر تتألف من 6 إلى 128 رمزا. كما توجد خطوة تعمية إضافية يتم فيها تحويل كلمة السر إلى كود باستخدام مفتاح النظام DES. فمثلا، تتحول سلسلة الحروف “mydog”إلى 12,322,343,883,628,311,502 في النظام العشري(1010101100000001110000100111100110)
(111111110111110111001111001110).
وتكون جميع مفاتيح التعمية المتاحة للمستخدمين ووحدات الخدمة معروفة لدى وحدة خدمة خاصة تدعى مركز توزيع المفاتيح (KDC)، ويتوسط هذا المركزُ جميعَ عمليات تبادل المعلومات عبر الشبكة بوساطة شهادات رقمية مُكَوّدة تدعى التذاكر tickets. وعندما يُلَقِّم login المستخدمون أسماءهم المعروفة لدى محطات العمل فإنهم يطلقون عملية مبادلة المعلومات بين محطة العمل والمركز KDC، وينتج منها إصدار تذكرة تُسْتَعمل للاستفادة من خدمة محدّدة من خدمات الشبكة. في البداية، تقوم محطة العمل بإبلاغ المركز KDC بأن المستخدِم يرغب في طلب خدمة، ربما استخدام بيانات مخزّنة لدى وحدة خدمة الملفات. عندئذ يقوم المركز KDC بإعداد رزمة بيانات (أي التذكرة) تحوي اسم المستخدِم ووقت الاستخدام ومدة صلاحية التذكرة واسم محطة العمل ومفتاح التعمية DES المولّد عشوائيا والذي يُدعى مفتاح دورة التحاور (الشغل) session key. ثم تبحث محطة العمل عن المفتاح السري لوحدة خدمة الملفات وتجري تعمية تذكرة بحيث تتمكن وحدة خدمة الملفات بمفردها من قراءتها.
ثم يُكوِّد المركزُ KDC التذكرة التي تم تعميتها باستخدام المفتاح السري للمستخدِم ويُعيد إرسال النتائج إلى محطة العمل. وعندما تتسلم محطة العمل هذه المعلومات تطلب إلى المستخدِم تَلْقيم كلمة السرّ، حيث يتم تحويلها إلى مفتاح النظام DES من أجل فك تعمية كل من التذكرة ومفتاح دورة التحاور المرافق. ولن تتمكن محطة العمل من فك تعمية هذه المعلومات إلا في حالة قيام المستخدم بتلقيم كلمة السر الصحيحة.
وعندما يريد المستخدِم طلب معلومات من وحدة خدمة الملفات، تبعث محطة العمل إلى وحدة الخدمة التذكرة ورزمة إضافية من البيانات تسمى الموثِّقauthenticator. يتكون الموثق من وقت الاستخدام واسم المستخدم وعنوان محطة العمل ـ جميعها معمّاة باستخدام مفتاح دورة التحاور. ثم تقوم وحدة خدمة الملفات بفك تعمية التذكرة واسْتِنباط مفتاح الجلسة الذي يمكن بوساطته فك تعمية الموثِّق. بعدها تتأكد وحدة خدمة الملفات من أن اسمَيْ المستخدم ومحطة العمل الواردين في التذكرة يتطابقان مع مثيليهما في الموثِّق. كما يتأكد من صلاحية زمن الاستخدام المدون. فإذا اجتازت جميع وثائق الاعتماد هذا التفتيش بسلام، فإن وحدة خدمة الملفات تقبل التذكرة وتستجيب لطلب المستخدِم.
الشبكة أثينا
يستخدم النظام أثينا نوعين أساسيين من عناصر الحوسبة هما محطات العمل الحاسوبية ووحدات خدمة الملفات. تحوي محطات العمل وحدة المعالجة المركزية CPU ذات القدرة اللازمة لتنفيذ العمليات الحسابية للمستخدِمين، ولكن ليس لديها الإمكانات لتخزين المعلومات الخصوصية لفترات طويلة. وتحتوي مجموعة الأقراص الصلبة لمحطات العمل على مجموعة قليلة من البرامج اللازمة لإجراء الاتصال مع شبكة الحواسيب في الحرم الجامعي (شبكة المعهد MIT). وبمجرد تحقيق الاتصال يمكن لمحطات العمل أن تحصل على مجموعة كاملة من برامجيات نظام التشغيل من وحدة خدمة الملفات.
تتم عملية تخزين الملفات، مثلها مثل الميزات الأخرى لبيئة الحوسبة، بوساطة وحدات خدمة الملفات. وقد تكون هذه الوحدات عبارة عن محطات عمل متطورة أو حواسيب صغيرة أو حواسيب كبيرة (رئيسية) أو أي أجهزة أخرى يراها مديرو النظم مناسبة، ماداموا قادرين على إجراء الاتصالات عن طريقها باستخدام البروتوكولات المتاحة. وتستخدم الشبكة أثينا وحدات خدمة الملفات لتخزين ملفات البيانات الخصوصية أو لتشغيل أجهزة الطباعة أو لتشغيل خدمات فرعية أخرى. وتعتبر محطات العمل الحاسوبية باهظة الثمن، وبالتالي فإن إدارة المعهد MIT لا تطلب إلى الطلبة شراء أجهزتهم الخاصة؛ حيث توجد أجهزة متوافرة لاستخدامات الطلبة في أمكنة عامة محددة داخل الحرم الجامعي. وقد يحوي مركز نموذجي للحواسيب ما بين 12 و 120 محطة عمل. وتم مؤخرا توسيع شبكة المعهد الحاسوبية لتشمل الأبنية السكنية داخل الحرم الجامعي وأمكنة التجمعات السكنية خارجه (مراكز النوادي الاجتماعية للطلبة الذين تربطهم اهتمامات مشتركة). وبهذا يتمكن الطلبة من ربط حواسيبهم بالشبكة. كما تستطيع هذه الأجهزة أن تعمل إما مستقلة أو أن تكوّن محطات عمل متكاملة مع بيئة النظام أثينا. |
وفيما عدا اسم المستخدِم، فإن جميع المعلومات في هذه التبادلات، تتدفَّق عبر الشبكة وهي معمّاة، وبالتالي فهي بمنأى عن عيون الفضوليين. زد على ذلك، أن مفتاح دورة التحاور المرافق enclosed للتذكرة يقوم بمساعدة المستخدِم على تعمية البيانات المتنقلة بين محطة عمله الحاسوبية ووحدة خدمة الملفات، إضافة إلى المساعدة على توثيق المستخدِم.
أما في الحالات التي يصعب فيها تحديد سلامة المعلومات من العبث، فإن النظام كيربيروس يتخذ ترتيبات مسبقة لاختبار توثيق الرسالة messageauthenticity check MAC. وهذه الوقاية الإضافية هي القيام بحساب رقم مكوّن من 128 بِتّة مشتق (مستنبط) من البيانات الأصلية غير المعمّاة ومفتاح سرّي مشترك بين محطة العمل ووحدة الخدمة، يكون ملحقًا بالرسالة. وعندما تصل الرسالة يتم اختبار توثيقها بحساب رقم التوثيق مرة أخرى، فإذا توافقت القيمتان فإن المتلقي يتيقن بأن الرسالة لم يُعْبَث بها. وفي الواقع، إذا كانت البيانات المراد نقلها من عميل إلى وحدة خدمة، غير سرية، فإن حساب رقم التوثيق MAC قد يكون كافيا لحماية الرسالة من أي تحوير غير مُرَخَّص به، وذلك من دون الحاجة إلى القيام بتعميتها.
وعلى الرغم من أن بروتوكول النظام كيربيروس الأساسي مأمون، فإنه غير مناسب للمستخدِمين العاديين. فعند التشغيل الفعلي، تظهر نقطة ضعف مزعجة نوعا ما؛ حيث إن كل خدمة جديدة تتطلب تذكرة مختلفة، وبالتالي فإنه قد يُطلب إلى المستخدِم أن يُلَقِّم كلمة السرّ لعدد غير محدد من المرات خلال الجلسة الواحدة. وقد يتسبب تخزين كلمة السرّ في محطة العمل الحاسوبية في حدوث بعض الأخطار. ففي كثير من الحالات قد يضطر المستخدِم إلى ترك محطة العمل من دون اتباع مراحل الخروج النظامي loggingout منها (مما يؤدي إلى فقدان كلمة السرّ المخزّنة فيها.) فيستطيع مقتحمٌ ذكيٌّ أن يستخدم بسهولة المحطة المتروكة unattended ويسرق كلمة السرّ منها.
تُقام معظم وحدات خدمة الملفات لبيئة النظام أثينا في الطابق الأرضي من مركز تشغيل شبكة المعهد MIT. وتحوي غرفة مغلقة (تدعى الزنزانة) داخل منطقة وحدات الخدمة، الحاسوبَ الذي يقوم بتشغيل مركز توزيع مفاتيح النظام كيربيروس. |
ويكمن حل مشكلة المحطة المتروكة في طلب كلمة السرّ من المستخدِم عندما تدعو الحاجة، ولكن على المدى البعيد قد تكون لعملية حث المستخدِم باستمرار على تَلْقيم كلمة السر الخطورة نفسها. ولا يستطيع أحد التنبؤ دوما بموعد حاجة المستخدِم إلى خدمة جديدة. فمثلا، تختلف وحدة خدمة البريد، المخزِّنة للرسائل الإلكترونية التي لم تُقْرأ بعد، بوساطة النظام “أثينا” عن وحدة خدمة الملفات التي تخزِّن الملفات العادية. لذا فإن التبادلات مع وحدة خدمة البريد تتطلب التذاكر الخاصة بها، وبالتالي فإن على المستخدِم أن يُلَقِّم كلمة السرّ في كل مرة يصل إليه بريد إلكتروني جديد. وبافتراض أن المستخدِمين لا يستاؤون من الطلب المتكرِّر لإثبات شخصياتهم فإنهم سيعتادون تزويدَ كلمة السرّ لأي برنامج يطلبها. عندها سيصبحون “فريسة” سهلة لأي مقتحِم يقوم بتشغيل برنامج، ربما لعبة على الحاسوب، يحث فيه المستخدِم على تلقيم كلمة السر، وبدلا من استخدامها للتوثيق في النظام كيربيروس فإنها تُخَزّن بعيدا للاستخدام مستقبلا.
يكمن حل هذه المعضلة في توفير خدمة منح التذكرة ticket-granting serviceTGS بحيث يتم تنفيذها على النظام نفسه، مثل مركز توزيع المفاتيح KDC، ويكون لها حق الاستفادة من قاعدة بيانات المستخدِمين والخدمات والمفاتيح. ويُلقِّم المستخدِم كلمة السرّ مرة واحدة عند الدخول للنظام من أجل إحضار تذكرة الخدمة TGS من المركز KDC. أما الطلبات اللاحقة للتذاكر من أجل خدمات أخرى فتذهب إلى الخدمة TGS حيث يتم تعميتها جميعا، ليس مع كلمة السر الخاصة بالمستخدِم وإنما مع مفتاح دورة التحاور الذي رافق تذكرة الخدمة TGS أول مرة.
وتبعا لذلك، فإن الحاجة لا تدعو إلى تخزين كلمة السر في محطة العمل. ولكنها تبقى في الذاكرة لفترة تكفي لأن تتمكن محطة العمل من فك تعمية تذكرة الخدمة TGS. وإذا ترك المستخدِم محطة العمل من دون مراقبة، فيمكن للمقتحم أن يحصل منها على تذاكر ومفاتيح دورة التحاور. ولكن هذه التذاكر صالحة للاستخدام من هذه المحطة فقط (لأنها تحوي اسم المحطة)، وتمتد صلاحية كل منها لساعات قليلة (عشر ساعات على الأكثر في شبكة المعهد MIT.)
إن استخدام النظام كيربيروس والتعمية المرتبطة به لا يضمن أن تكون بيئة الحوسبة الموزّعة مأمونة. فهناك إجراءات أخرى ضرورية لمنع المقتحمين من الالتفاف على وسائل الأمن التي يوفرها. أولا، يجب أن تكون وحدات الخدمة مأمونة في حد ذاتها. ويُزوِّد النظام كيربيروس محطات العمل (أو وحدات خدمة الملفات) بوسائل تساعدها على التحقق من هويات الأفراد. ولكن بعد ذلك، يجب أن تتخذ وحدة الخدمة القرار المناسب بشأن من يستحق أن يُمنح حق استخدام أي مورد معين. ولحسن الحظ فإن الأمر ليس صعبا. لأنه يمكن إعداد معظم وحدات الخدمة بحيث يمكن لمديري النظام وحدهم الدخول إليها مباشرة (أي من دون طلب الخدمات عن طريق آلية التذاكر.) فالأمن يَسهل ضمانه لأن الأشخاص الموثوق بهم لهم وحدهم حق استخدام موارد الشبكة.
والأهم من هذا، هو أن يكون مركز توزيع المفاتيح KDC في النظام كيربيروس سليما من الناحية المادية. فهو يحتوي على نسخة من كل مفتاح لكل مستخدِم، وبالتالي فإن المقتحم الذي يتمكَّن من الوصول إلى المركز KDC ويقرأ هذه المعلومات يحصل عمليا على كلمة السرّ لكل مستخدِم. وفي الواقع، لا يحتاج المقتحم ليحقق ذلك إلى تعديل المعلومات في المركز KDC نفسه؛ حيث يكفيه أن يقرأ المعلومات فقط (أو أن يقرأ أشرطة التخزين الاحتياطية.) وطريقة بناء المركزKDC في المعهد MIT تعطي برامجياته بعض الميزات التي تجعل من الصعب على المقتحم الاطلاع على نظام تعمية البيانات DES مباشرة، ولكن ضمان أمن البنية الفيزيائية للنظام كيربيروس بحراسة كل من المركز KDC وأمكنة حفظ أشرطة التخزين الاحتياطية يظل أمرا حيويا.
إن المركز KDC يجب أن يكون مأمونا وأن يعمل أيضا بشكل مستمر حتى يتمكن المستخدِمون من تلقيم أسمائهم في النظام أثينا. ويشكل هذا المطلب لغزا محيِّرًا؛ لأن النهج التقليدي المتّبع لتحسين الاعتمادية في بيئة الحوسبة الموزّعة هو أن تُوضع الخدمات الضرورية على حواسيب متعددة (تكون عادة في مواقع مختلفة)، مثل الاحتياط لحالة انقطاع التيار الكهربائي أو لمشكلات أخرى. إضافة إلى أن كل مركز KDC إضافي يجب أن يكون محميا من الناحية المادية. كما أن زيادة عدد مراكز توزيع المفاتيح تُحسِّن الاعتمادية، ولكنها أيضا تزيد من الأخطار التي تحد من إمكانات النظام.
إن النظام كيربيروس يبدو متماسكا من الناحية النظرية. ولكن كيف يكون أداؤه في التطبيق العملي؟ لقد بدأنا استخدامه في المعهد MIT عام 19866، والإصدار الحالي (الإصدار 4) لايزال مستخدما بشكل واسع في الحرم الجامعي منذ عام 1987. ولم تحصل أي حالة اختل فيها أمن النظام أثينا نتيجة قصور ما في طريقة النظام كيربيروس في حفظ أمن الشبكة. ومع ذلك فإن النظام كيربيروس لا يحمي المنظومات الشبكية من الثغرات التقليدية، مثل اكتشاف كلمة السر إذا ما اختيرت بطريقة سيئة، أو انخداع مديري النظام بمقتحمين ماكرين أو حتى سوء استخدام الامتيازات الممنوحة لأفراد موثوق بهم. إن استئصال extirpate آخر سببين من هذه الأسباب يكاد يكون مستحيلا. ولكن في عام 1991 قمنا بتركيب مرشح filter كلمات السر السيئة الاختيار في برنامج تغيير كلمات السر؛ حيث لا يُسمح باختيار كلمة سر يسهل اكتشافها (مثل أسماء الأشخاص أو بعض الكلمات المألوفة.)
لقد تبنى العديد من المؤسسات العلمية الأخرى فكرة استخدام النظام كيربيروس. وعلى الأخص فإن مؤسسة البرامجيات المفتوحة Open SoftwareFoundation (وهي هيئة تدعو إلى توحيد نظم التشغيل) جعلت من الإصدار الخامس جزءا حيويا من بيئة الحوسبة الموزّعة لديها. ويتمتع هذا الإصدار من قبل النظام كيربيروس ببعض المزايا الجديدة، إضافة إلى كونه أقل اعتمادا على تفاصيل نظام التشغيل يونيكس Unix وبالتالي يمكن أن يُهايأ (يؤقلَمَ) adaptedمع بيئات حاسوبية أخرى. وهو الآن قيد الاختبار.
وتتم في مجتمع الإنترنت حاليا مناقشات حول النظام كيربيروس، حيث الحاجة ماسّة إلى برامجيات لحماية البيانات أثناء ارتحالها حول العالم. ونعمل حاليا على وضع بروتوكولات جديدة تسمح لنا ببناء نظم حوسبة موزّعة مثل أثينا وتخدم مئات الآلاف من المستخدِمين بدلا من خدمة 000 25 مستخدم كما هو معمول به حاليا. ومن المحتمل أن يؤدي نظام التعمية باستخدام مفتاح عموميpublic-key (وهذا النظام هو إحدى وسائل التعمية التي تستخدم مفتاحين ولكنها تتطلب أن يبقى واحد منهما فقط سريا) دورًا حاسما في هذه المنظومات. إضافة إلى ذلك، فإن تقانة المفتاح العمومي قد تكون إحدى وسائل تقليل متطلبات أمن مراكز توزيع المفاتيح KDC من الناحية المادية وتقليل الأخطار الناتجة من النسخ المتعددة منها.
ويعود نجاح النظام كيربيروس حتى الآن إلى عدة مصادر، أهمها الخبرة؛ فالنظام أثينا كان أول نظام حوسبة موزّعة استُخْدِم على نطاق واسع من أجل ضمان الأمن والتوثيق. ومن الأسباب الأخرى لنجاحه بساطته؛ فمستخدمو النظام أثينا يرون الرسائل نفسها التي كانوا سيرونها فيما لو كانوا يستخدمون نظما تقليدية يعمل عليها عدة أشخاص في وقت واحد ـ وفي الواقع لا يهتم معظم المستخدمين بكيفية الأداء الداخلي للنظام كيربيروس. أخيرا، فإن برنامج النظام كيربيروس متاح للجميع، لأن المعهد MIT يتبع سياسة التوزيع الحر (كما هو متبع مع برامجيات أخرى عديدة مثل النظام ويندوز). وبالتالي يتوافر النص الأصلي لبرنامج النظام كيربيروس لكل المستخدِمين وعلماء الحاسوب في كل مكان. وقد قدَّم العديد منهم الخبرات والمهارات من أجل تحسين النظام وتخليصه من الأخطاء البرامجية أو من نقاط الضعف التي تعيق أداءه. ونتوقع منهم الاستمرار في تقديم مثل هذه الجهود.
المؤلف
Jeffrey. I. Schiller
يدير شيلر شبكة الحواسيب في الحرم الجامعي للمعهد MIT، التي تضم النظام أثينا للحوسبة الموزّعة، وذلك منذ إنشاء الشبكة في عام 1984. وهو أحد مؤلفي نظام التوثيق المُستخدَم في النظام كيربيروس ويترأس الحوار الذي تجريه لجنة إدارة هندسة شبكة الإنترنت ولجنة عملها الهندسية. وقد شارك المؤلف في تطوير المواصفات القياسية لشبكة الإنترنت من أجل تحسين خصوصية البريد الإلكتروني، وعمل على إصدار نسخة من برنامج التعمية PGP المألوف والمصرَّح باستخدامه داخل الولايات المتحدة. حصل شيلر على الإجازة في الهندسة الكهربائية من المعهد MIT عام 1979.
مراجع للاستزادة
USING ENCRYPTION FOR AUTHENTICATION IN LARGE NETWORKS OF COMPUTERS. R. M. Needham and M. D. Schroeder in Communications of the ACM, Vol. 21, No. 12, pages 993-999; 1978.
SECTION E.2.1: KERBEROS AUTHENTICATION AND ALTI’HORIZATION SYSTEM. S. P. Miller, B. C. Neuman, J. I. Schiller and J. H. Saltzer in Project Athena Technical Plan. MIT Project Athena, December 1987.
KERBEROS: AN AUTHENTICATION SERVICE FOR OPEN NETWORK SYSTEMS. J. G. Stelrier, B. C. Neuman and J. I. Schiller in Usenix Conference Proceedings, Dallas, Tex., pages 191-202; February 1988.
DISTRIBLITED COMPUTING, IMPLEMENTATION AND MANAGEMENT STRATEGIES. Edited by Raman Khanna. Prentice Hall, 1993.
Scientific American, November 1994
(1) كيربيروس: اسم كلب أسطوري ضخم له ثلاثة رؤوس يحرس مدخل الأموات في باطن الأرض من عبث الأحياء.
(2) جهاز يقوم بمواءَمة الحاسوب بجهاز هاتف. والمصطلح modem نحت من كلمتي: modulator (مُضمّن) وdemodulator (مزيل التضمين). (التحرير)