Modelo de autenticação e autorização baseado em certificados de atributos para controle de acesso de aplicações em ambiente distribuído utilizando redes de petri coloridas / Model of authentical and authorization based on certifyd of attributes for control of acess of applicationa in distributd environment using coloured petri nets

Villar, Melissa Vieira Fernandes

06 August 2007

VILLAR, M. V. F. Modelo de autenticação e autorização baseado em certificados de atributos para controle de acesso de aplicações em ambiente distribuído utilizando redes de petri coloridas. 2007. 92 f. Dissertação (Mestrado em Engenharia de Teleinformática) – Centro de Tecnologia, Universidade Federal do Ceará, Fortaleza, 2007. / Submitted by Marlene Sousa (mmarlene@ufc.br) on 2016-04-05T12:03:26Z No. of bitstreams: 1 2007_dis_mvfvillar.pdf: 1186972 bytes, checksum: 9a2d66c43b5663118c8b204471056781 (MD5) / Approved for entry into archive by Marlene Sousa(mmarlene@ufc.br) on 2016-04-05T17:52:56Z (GMT) No. of bitstreams: 1 2007_dis_mvfvillar.pdf: 1186972 bytes, checksum: 9a2d66c43b5663118c8b204471056781 (MD5) / Made available in DSpace on 2016-04-05T17:52:56Z (GMT). No. of bitstreams: 1 2007_dis_mvfvillar.pdf: 1186972 bytes, checksum: 9a2d66c43b5663118c8b204471056781 (MD5) Previous issue date: 2007-08-06 / Due to increasing threats inherent to the information systems, the use of authentication and authorization mechanisms based in login and password does not enough to assure the information security. This work proposes a new model of authentication and authorization for distributed applications, based in hash and attributes certificates. Hash is used in the application authentication process, while certificates of attributes specify privileges and other authorization information. Its use is managed by the privilege management infrastructure (PMI). In this work, we describe the architecture and the functioning of the model, as well the processes of the attributes certificates generation, authentication and authorization of the application. The proposed model was specified in Coloured Petri Nets and validated by simulation. / Devido às crescentes ameaças inerentes aos sistemas de informação, o uso de mecanismos de autenticação e autorização baseados em identificador de usuário e senha não é mais suficiente para garantir a segurança das informações. Este trabalho propõe um novo modelo de autenticação e autorização para controle de acesso de aplicações distribuídas, baseado em resumos criptográficos e certificados de atributos. Os resumos criptográficos são utilizados no processo de autenticação da aplicação, enquanto os certificados de atributos especificam privilégios e outras informações de autorização associadas ao seu proprietário. Os certificados de atributos são gerenciados pela infra-estrutura de gerenciamento de privilégios (IGP). A arquitetura e o funcionamento do modelo bem como os processos de geração do certificado de atributos, autenticação e autorização da aplicação são descritos. O modelo proposto foi especificado em Redes de Petri Coloridas e validado por meio de simulações.

Teleinformática

Certificado de atributos

Segurança da informação

Criptografia de dados

Um serviço de autorização Java EE baseado em certificados de atributos X.509. / A Java EE authorization service based on X.509 attribute certificates.

Guilhen, Stefan Neusatz

03 June 2008

O surgimento e a popularização de arquiteturas de software que fornecem suporte à programação distribuída orientada a objetos, como CORBA, .NET e Java EE, gerou uma demanda por infra-estruturas de segurança eficientes, capazes de proteger os recursos dos sistemas de ataques maliciosos. Essa proteção começa pela identificação dos usuários que interagem com os sistemas, processo conhecido como autenticação. Entretanto, a autenticação por si só não é suficiente para garantir a segurança dos recursos, uma vez que a autenticação não determina quais ações os usuários estão autorizados a executar depois de autenticados. Em outras palavras, um mecanismo de autorização, que faz valer as políticas de controle de acesso aos recursos definidas pelos administradores de sistemas, se faz necessário. Neste trabalho estudamos mecanismos de controle de acesso baseado em papéis e a aplicabilidade dos certificados de atributos X.509 como estrutura de armazenamento desses papéis em um ambiente Java EE. Em particular, estendemos a infra-estrutura de segurança do servidor de aplicações JBoss, de modo que ela passasse a comportar os certificados de atributos X.509. Além disso, analisamos as vantagens e desvantagens do uso de tais certificados e avaliamos o desempenho da extensão desenvolvida em relação a outras alternativas que são oferecidas pelo JBoss para o armazenamento de papéis dos usuários. / The popularization of software architectures that provide support for distributed object-oriented programming, like CORBA, .NET, and Java EE, revealed the need for efficient security infrastructures to protect the resources of enterprise systems from malicious attacks. This protection usually begins with the identification of the users that interact with the systems, a process known as authentication. However, authentication alone is not enough to guarantee the protection of the resources, as it cannot determine what actions a particular user is allowed to execute on a given resource. In other words, an authorization mechanism is needed in order to enforce the access control policies as defined by the system administrators. In this dissertation we studied role-based access control mechanisms and the use of X.509 attribute certificates as data structures that store the users roles in a Java EE environment. Particularly, we added X.509 attribute certificates support to the existing JBoss application server security infrastructure. Furthermore, we evaluated the pros and cons of using these certificates, and compared the performance of the developed extension to the performance of the existing solutions provided by JBoss to store the users roles.

Attribute Certificate

Authorization

Autorização

Certificado de atributos

Java EE

Java EE

Security

Segurança

X.509

X.509

Um serviço de autorização Java EE baseado em certificados de atributos X.509. / A Java EE authorization service based on X.509 attribute certificates.

Stefan Neusatz Guilhen

03 June 2008

O surgimento e a popularização de arquiteturas de software que fornecem suporte à programação distribuída orientada a objetos, como CORBA, .NET e Java EE, gerou uma demanda por infra-estruturas de segurança eficientes, capazes de proteger os recursos dos sistemas de ataques maliciosos. Essa proteção começa pela identificação dos usuários que interagem com os sistemas, processo conhecido como autenticação. Entretanto, a autenticação por si só não é suficiente para garantir a segurança dos recursos, uma vez que a autenticação não determina quais ações os usuários estão autorizados a executar depois de autenticados. Em outras palavras, um mecanismo de autorização, que faz valer as políticas de controle de acesso aos recursos definidas pelos administradores de sistemas, se faz necessário. Neste trabalho estudamos mecanismos de controle de acesso baseado em papéis e a aplicabilidade dos certificados de atributos X.509 como estrutura de armazenamento desses papéis em um ambiente Java EE. Em particular, estendemos a infra-estrutura de segurança do servidor de aplicações JBoss, de modo que ela passasse a comportar os certificados de atributos X.509. Além disso, analisamos as vantagens e desvantagens do uso de tais certificados e avaliamos o desempenho da extensão desenvolvida em relação a outras alternativas que são oferecidas pelo JBoss para o armazenamento de papéis dos usuários. / The popularization of software architectures that provide support for distributed object-oriented programming, like CORBA, .NET, and Java EE, revealed the need for efficient security infrastructures to protect the resources of enterprise systems from malicious attacks. This protection usually begins with the identification of the users that interact with the systems, a process known as authentication. However, authentication alone is not enough to guarantee the protection of the resources, as it cannot determine what actions a particular user is allowed to execute on a given resource. In other words, an authorization mechanism is needed in order to enforce the access control policies as defined by the system administrators. In this dissertation we studied role-based access control mechanisms and the use of X.509 attribute certificates as data structures that store the users roles in a Java EE environment. Particularly, we added X.509 attribute certificates support to the existing JBoss application server security infrastructure. Furthermore, we evaluated the pros and cons of using these certificates, and compared the performance of the developed extension to the performance of the existing solutions provided by JBoss to store the users roles.

Autorização

Certificado de atributos

Java EE

Segurança

X.509

Attribute Certificate

Authorization

Java EE

Security

X.509

Modelo de autenticaÃÃo e autorizaÃÃo baseado em certificados de atributos para controle de acesso de aplicaÃÃes em ambiente distribuÃdo utilizando redes de petri coloridas / Model of authentical and authorization based on certifyd of attributes for control of acess of applicationa in distributd environment using coloured petri nets

Melissa Vieira Fernandes Villar

06 August 2007

Devido Ãs crescentes ameaÃas inerentes aos sistemas de informaÃÃo, o uso de mecanismos de autenticaÃÃo e autorizaÃÃo baseados em identificador de usuÃrio e senha nÃo à mais suficiente para garantir a seguranÃa das informaÃÃes. Este trabalho propÃe um novo modelo de autenticaÃÃo e autorizaÃÃo para controle de acesso de aplicaÃÃes distribuÃdas, baseado em resumos criptogrÃficos e certificados de atributos. Os resumos criptogrÃficos sÃo utilizados no processo de autenticaÃÃo da aplicaÃÃo, enquanto os certificados de atributos especificam privilÃgios e outras informaÃÃes de autorizaÃÃo associadas ao seu proprietÃrio. Os certificados de atributos sÃo gerenciados pela infra-estrutura de gerenciamento de privilÃgios (IGP). A arquitetura e o funcionamento do modelo bem como os processos de geraÃÃo do certificado de atributos, autenticaÃÃo e autorizaÃÃo da aplicaÃÃo sÃo descritos. O modelo proposto foi especificado em Redes de Petri Coloridas e validado por meio de simulaÃÃes. / Due to increasing threats inherent to the information systems, the use of authentication and authorization mechanisms based in login and password does not enough to assure the information security. This work proposes a new model of authentication and authorization for distributed applications, based in hash and attributes certificates. Hash is used in the application authentication process, while certificates of attributes specify privileges and other authorization information. Its use is managed by the privilege management infrastructure (PMI). In this work, we describe the architecture and the functioning of the model, as well the processes of the attributes certificates generation, authentication and authorization of the application. The proposed model was specified in Coloured Petri Nets and validated by simulation.

certificado de atributos

IGP

autenticaÃÃo

autorizaÃÃo

privilÃgios

controle de acesso

seguranÃa

attribute certificate

PMI

authentication

authorization

privileges

access control

security

TELEINFORMATICA