IME-USP1 Um Serviço de Autorização Java EE Baseado em Certificados de Atributos X.509 Stefan...
Transcript of IME-USP1 Um Serviço de Autorização Java EE Baseado em Certificados de Atributos X.509 Stefan...
IME-USP 1
Um Serviço de Autorização Java EE Baseado em Certificadosde Atributos X.509
Stefan Neusatz GuilhenProf. Dr. Francisco Carlos da Rocha Reverbel
Departamento de Ciência da Computação – Instituto deMatemática e Estatística da Universidade de São Paulo
IME-USP 2
Programação
Introdução IGP: evolução da ICP Propagação de credenciais Infra-estrutura de segurança do JBoss Projeto implementado Trabalhos relacionados Conclusões e trabalho futuro
IME-USP 3
Introdução
JEE: especificações não estabelecem como mapear papéis e usuários.
Servidores não permitem que os clientes forneçam seus próprios papéis. Restritivo: obriga a manutenção de
repositórios de papéis. Serviço mais completo exige garantias
adicionais de integridade e origem.
IME-USP 4
IGP: evolução da ICP
Extensões da ICP permitiram inclusão de informações de autorização nos CCPs.
Problemas: conhecimento e validade. IGP apresentou o Certificado de
Atributos como solução. Promove a separação do gerenciamento
da chave pública e dos privilégios.
IME-USP 5
Propagação de credenciais
Modelo Pull
IME-USP 6
Propagação de credenciais
Modelo Push
IME-USP 7
JBoss Security Extension
IME-USP 8
JBoss Security Extension
Implementação padrão baseada em JAAS.
Módulos de autenticação intercambiáveis Autenticação e extração de papéis
realizadas pelo mesmo componente. Suporte a arquivos de propriedades,
bancos de dados e serviços de diretórios.
IME-USP 9
Implementação – modelo pull
Adição de novo módulo JAAS. Não requer alterações na infra-estrutura
já existente. Capaz de autenticar o cliente em um
repositório configurável. Implementação de mecanismos de
validação de integridade.
IME-USP 10
Implementação – modelo pull
IME-USP 11
Implementação – modelo push
Alterações na infra-estrutura de segurança do servidor. Client-side JAAS. Mecanismo de invocação.
Requer que autenticação seja realizada por outro módulo.
Implementação de verificadores de revogação.
IME-USP 12
Implementação – modelo push
IME-USP 13
Verificadores de revogação
Módulos de verificação independentes e intercambiáveis.
Disponíveis para ambos os modelos. X509NoRevAvailHandler. X509CRLRevocationHandler. X509OCSPRevocationHandler.
IME-USP 14
Trabalhos relacionados
Akenti - gerenciamento distribuído da política de controle de acesso.
Permis – controle de acesso baseado em X509 ACs e serviços de diretório.
SPKI – modelo simplificado de PKI baseado no conceito de localidade.
SAML/XACML – SSO e políticas de controle de acesso em XML.
IME-USP 15
Conclusões e trabalho futuro
Flexibilidade na escolha do modelo de propagação a ser utilizado.
Impacto mínimo de desempenho com cache de segurança habilitado.
Estudo de mecanismo para passagem de X509 ACs por HTTP.
Inclusão do serviço desenvolvido na distribuição do JBoss.