Enhancing information security and privacy by combining biometrics with cryptography

KANADE, Sanjay Ganesh

20 October 2010

Securing information during its storage and transmission is an important and widely addressed issue. Generally, cryptographic techniques are used for information security. Cryptography requires long keys which need to be kept secret in order to protect the information. The drawback of cryptography is that these keys are not strongly linked to the user identity. In order to strengthen the link between the user's identity and his cryptographic keys, biometrics is combined with cryptography. In this thesis, we present various methods to combine biometrics with cryptography. With this combination, we also address the privacy issue of biometric systems: revocability, template diversity, and privacy protection are added to the biometric verification systems. Finally, we also present a protocol for generating and sharing biometrics based crypto-biometric session keys. These systems are evaluated on publicly available iris and face databases

[SPI] Engineering Sciences

[SPI] Sciences de l'ingénieur

Biometrics

Cryptography

Crypto-biometrics

Security

Privacy

Error correcting codes

Revocability

Session key

Mobility support architectures for next-generation wireless networks

Wang, Qi

January 2006

With the convergence of the wireless networks and the Internet and the booming demand for multimedia applications, the next-generation (beyond the third generation, or B3G) wireless systems are expected to be all IP-based and provide real-time and non-real-time mobile services anywhere and anytime. Powerful and efficient mobility support is thus the key enabler to fulfil such an attractive vision by supporting various mobility scenarios. This thesis contributes to this interesting while challenging topic. After a literature review on mobility support architectures and protocols, the thesis starts presenting our contributions with a generic multi-layer mobility support framework, which provides a general approach to meet the challenges of handling comprehensive mobility issues. The cross-layer design methodology is introduced to coordinate the protocol layers for optimised system design. Particularly, a flexible and efficient cross-layer signalling scheme is proposed for interlayer interactions. The proposed generic framework is then narrowed down with several fundamental building blocks identified to be focused on as follows. As widely adopted, we assume that the IP-based access networks are organised into administrative domains, which are inter-connected through a global IP-based wired core network. For a mobile user who roams from one domain to another, macro (inter-domain) mobility management should be in place for global location tracking and effective handoff support for both real-time and non-real-lime applications. Mobile IP (MIP) and the Session Initiation Protocol (SIP) are being adopted as the two dominant standard-based macro-mobility architectures, each of which has mobility entities and messages in its own right. The work explores the joint optimisations and interactions of MIP and SIP when utilising the complementary power of both protocols. Two distinctive integrated MIP-SIP architectures are designed and evaluated, compared with their hybrid alternatives and other approaches. The overall analytical and simulation results shown significant performance improvements in terms of cost-efficiency, among other metrics. Subsequently, for the micro (intra-domain) mobility scenario where a mobile user moves across IP subnets within a domain, a micro mobility management architecture is needed to support fast handoffs and constrain signalling messaging loads incurred by intra-domain movements within the domain. The Hierarchical MIPv6 (HMIPv6) and the Fast Handovers for MIPv6 (FMIPv6) protocols are selected to fulfil the design requirements. The work proposes enhancements to these protocols and combines them in an optimised way. resulting in notably improved performances in contrast to a number of alternative approaches.

621.382

Simulation Based Investigation Of An Improvement For Faster Sip Re-registration

Tanriverdi, Eda

01 July 2004

ABSTRACT SIMULATION BASED INVESTIGATION OF AN IMPROVEMENT FOR FASTER SIP RE-REGISTRATION TANRIVERDi, Eda M.Sc., Department of Electrical and Electronics Engineering Supervisor: Prof. Dr. Semih BiLGEN July 2004, 78 pages In this thesis, the Session Initiation Protocol (SIP) is studied and an improvement for faster re-registration is proposed. This proposal, namely the &ldquo / registration &ndash / activation&rdquo / , is investigated with a simulation prepared using OPNET. The literature about wireless mobile networks and SIP mobility is reviewed. Conditions for an effective mobile SIP network simulation are designed using message sequence charts. The testbed in [1] formed by Dutta et. al. that has been used to observe SIP handover performance is simulated and validated. The mobile nodes, SIP Proxy v servers, DHCP servers and network topology are simulated on &ldquo / OPNET Modeler Radio&rdquo / . Once the simulation is proven to be valid, the &ldquo / registration &ndash / activation&rdquo / is implemented. Different simulation scenarios are set up and run, with different mobile node speeds and different numbers of mobile nodes. The results show that the re-registration delay is improved by applying the &ldquo / registration &ndash / activation&rdquo / but the percentage of improvement depends on the improvement in the database access delay in the SIP Proxy server.

Speaker verification incorporating high-level linguistic features

Baker, Brendan J.

January 2008

Speaker verification is the process of verifying or disputing the claimed identity of a speaker based on a recorded sample of their speech. Automatic speaker verification technology can be applied to a variety of person authentication and identification applications including forensics, surveillance, national security measures for combating terrorism, credit card and transaction verification, automation and indexing of speakers in audio data, voice based signatures, and over-the-phone security access. The ubiquitous nature of modern telephony systems allows for the easy acquisition and delivery of speech signals for processing by an automated speaker recognition system. Traditionally, approaches to automatic speaker verification have involved holistic modelling of low-level acoustic-based features in order to characterise physiological aspects of a speaker such as the length and shape of the vocal tract. Although the use of these low-level features has proved highly successful, there are numerous other sources of speaker specific information in the speech signal that have largely been ignored. In spontaneous and conversational speech, perceptually higher levels of in- formation such as the linguistic content, pronunciation idiosyncrasies, idiolectal word usage, speaking rates and prosody, can also provide useful cues as to identify of a speaker. The main aim of this work is to explore the incorporation of higher levels of information into the verification process. Specifically, linguistic constructs such as words, syllables and phones are examined for their usefulness as features for text-independent speaker verification. Two main approaches to incorporating these linguistic features are explored. Firstly, the direct modelling of linguistic feature sequences is examined. Stochastic language models are used to model word and phonetic sequences obtained from automatically obtained transcripts. Experimentation indicates that significant speaker characterising information is indeed contained in both word and phone-level transcripts. It is shown, however, that model estimation issues arise when limited speech is available for training. This speaker model estimation problem is addressed by employing an adaptive model training strategy that significantly improves the performance and extended the usefulness of both lexical and phonetic techniques to short training length situations. An alternate approach to incorporating linguistic information is also examined. Rather than modelling the high-level features independently of acoustic information, linguistic information is instead used to constrain and aid acoustic- based speaker verification techniques. It is hypothesised that a ext-constrained" approach provides direct benefits by facilitating more detailed modelling, as well as providing useful insight into which articulatory events provide the most useful speaker-characterising information. A novel framework for text-constrained speaker verification is developed. This technique is presented as a generalised framework capable of using di®erent feature sets and modelling paradigms, and is based upon the use of a newly defined pseudo-syllabic segmentation unit. A detailed exploration of the speaker characterising power of both broad phonetic and syllabic events is performed and used to optimise the system configuration. An evaluation of the proposed text- constrained framework using cepstral features demonstrates the benefits of such an approach over holistic approaches, particularly in extended training length scenarios. Finally, a complete evaluation of the developed techniques on the NIST2005 speaker recognition evaluation database is presented. The benefit of including high-level linguistic information is demonstrated when a fusion of both high- and low-level techniques is performed.

MAC AND APPLICATION LAYER PROTOCOLS FOR HIGH PERFORMANCE NETWORKING

Mehta, Anil

01 August 2011

High-performance networking (HPN) is of significance today in order to enable next-generation applications using wired and wireless networks. Some of the examples of HPN include low-latency industrial sensing, monitoring and automation using Wireless Sensor Networks (WSNs). HPN however requires protocol optimization at many layers of the open system interface (OSI) network model in order to meet the stringent performance constraints of the given applications. Furthermore, these protocols need to be impervious to denial of service (DoS) and distributed DoS (DDoS) attacks. Some of the key performance aspects of HPN are low point-to-point and end-to-end latency, high reliability of transmitted frames and performance predictability under various network load situations. This work focuses on two discrete issues in designing protocols for HPN applications. The first research issue looks at the Medium Access Control (MAC) layer of the OSI network model for designing of MAC protocols that provide low-latency and high reliability for point-to-point communication under a WSN. Existing standards in this area are governed by IEEE 802.15.4 specification which defines protocols for MAC and PHY layers for short-range, low bit-rate, and low-cost wireless networks. However, the IEEE 802.15.4 specification is inefficient in terms of latency and reliability performance and, as a result, is unable to meet the stringent operational requirements as defined by counterpart wired sensor networks. Work presented under current research issue describes new MAC protocols that are able to show low-latency transmission performance under strict timing constants for power limited WSNs. This enhancement of the MAC protocols is named extended GTS (XGTS) contained under extended CFP (ECFP) and is published under the IEEE's 802.15.4e standard. The second research issue focuses on the application layer of the OSI network model to design protocols that enhance the robustness of the text based protocols to various traffic inputs. The purpose of this is to increase the reliability of the given text based application layer protocol under a varied load. Session Initiation Protocol (SIP) is used as a case study and the work aims to build algorithms that ensure that SIP can continue to function under specific traffic conditions, which would otherwise deem the protocol useless due to DoS and DDoS attacks. Proposed algorithms investigate techniques that enhance the robustness of the SIP against parsing attacks without performing a deep parse of the protocol data unit (PDU). The desired effect of this is to reduce the time spent in parsing the SIP messages at a SIP router and as a result increase the number of SIP messages processed per unit time at a SIP router.

High-performance networks

multimedia based networking

Next-generation networking

Session Initiation Protocol (SIP)

VoIP

Wireless Sensor Networks

As representações sobre Meio Ambiente de alunos da 4ª série do Ensino Fundamental /

Martinho, Luciana Rodrigues.

January 2004

Orientador: Jandira Liria Biscalquini Talamoni / Banca: Dirceu da Silva / Banca: Renato Eugênio da Silva Diniz / Resumo: Neste trabalho investigou-se as representações sociais sobre meio ambiente de um total de 42 alunos de 4ªs séries do Ensino Fundamental, provenientes de duas Escolas Públicas localizadas nas zonas Rural e Urbana, de um município do interior paulista. A metodologia utilizada foi a de pesquisa social, com abordagem qualitativa, embora alguns dados quantitativos também sejam apresentados de forma complementar. A coleta de dados foi realizada através de pesquisas bibliográfica e suplementar de dados e de pesquisa de campo. Nesta última, visando à verificação e à validação da pesquisa, foram utilizadas diferentes formas de abordagem investigativa, tais como: observações, rodas de conversa, entrevistas individuais, desenhos e questionários. A análise de conteúdo dos dados obtidos revelou que as possíveis origens para aquelas representações, categorizadas em naturalistas e antropocêntricas, estão associadas, principalmente, às influências da mídia, da família e da religião. Buscou-se, através da análise dos resultados e das discussões, contribuir com sugestões que possam promover, nos docentes daquelas escolas, reflexões sobre suas práticas educativas, visando à melhoria do ensino do tema considerado. Neste sentido, a expectativa é que esta pesquisa possa efetivamente representar uma contribuição para os profissionais interessados em trabalhar a partir dos saberes acumulados pela vivência de diferentes experiências que as crianças têm com o mundo e que trazem para a escola, desenvolvendo ações educativas ambientalmente comprometidas com a formação de indivíduos responsáveis pela criação e manutenção de melhores condições de vida e de desenvolvimento adequado, num contexto em que a prática pedagógica seja criativa, democrática e fundamentada no diálogo entre gerações e culturas e, tendo como perspectiva, estimular a ética nas relações entre os homens e entre estes e o meio ambiente / Abstract: On this work it was searched into representations about environment in a total of 42 4th graded students of elementary school, proceeding from two public schools located in the rural and urban areas of a town in countryside of São Paulo State. The methodology used was a social research with the quality approach, although some quantitative data are also presented as a supplementary way. The data collection was carried out through bibliographical, data supplemental and field research. On the field research, aiming the examination and validation of the research, it was used different ways of investigation approach such as: observation, talk session circles, individual interviews, drawings and questionnaires. The analyses of data content achieved, showed that possible origins to those representations, rated in naturalist and anthropocentric, are associated, mainly to the media, family and religion influence. It was searched through the results and discussion analyses to contribute with suggestions that may promote in the teachers from those schools reflections about their teaching practice, aiming the teaching improvement on the considered theme. This way, the expectations are that this research may represent an effective contribution to the professional interested in working starting from the accumulated knowledge by the different life experiences that children have with the world and they bring to school, developing educative actions environmentally engaged with the individual formation responsible for the creation and maintenance for better life conditions and suitable development, in a context on which the pedagogical practice is creative, democratic and based on the dialogue between generations and cultures and, having as perspective, stimulate the ethical in the relationships among the mankind and between these ones and the environment / Mestre

Representações sociais.

Meio ambiente.

Ensino fundamental.

Social representations. eng

Environment. eng

Elementary teaching. eng

Talk session circles. eng

Desenvolvimento e análise de desempenho de um 'packet/session filter' / Development and performance analysis of a packet/session filter

Spohn, Marco Aurelio

January 1997

A segurança em sistemas de computação é uma das áreas mais críticas nas ciências da informação. Freqüentemente se ouve falar em alguma "brecha" descoberta em algum sistema. Não importando quão grave seja o problema, já existe certa paranóia em relação a questões de segurança. Esses furos na segurança podem ser explorados de diversas maneiras: para obter benefícios financeiros indevidos, personificação maliciosa a custos de uma pretensa "brincadeira", perda de informações sigilosas, danos em arquivos do sistema, etc. Esses são alguns dos motivos porque se investe cada vez mais em segurança. Como se não bastasse, ainda existem os problemas relativos a legislação: por um lado, o governo pode vir a exigir que a segurança em sistemas de informação seja encarada como um problema federal e impor controle sobre tudo que seja utilizado nos mecanismos de proteção; por outro lado, outros podem reclamar a necessidade de privacidade e liberdade de escolha em problemas relativos a segurança. Os sistemas são, a medida que agregam mais recursos, muito complexos e extensos, propiciando um meio fértil para acúmulo de erros e conseqüentes problemas de segurança. A conectividade alterou a realidade da computação: as redes de computadores estão aí para provar. Entretanto, os sistemas em rede a medida que facilitam a realização de uma série de tarefas também apresentam vulnerabilidades. As redes públicas são um exemplo crítico, pois todas as informações passam por meios não confiáveis sujeitos a alteração ou utilização por terceiros. A Internet talvez represente um dos ambientes mais críticos a nível de segurança. Devido a sua abrangência e velocidade com que cresce, ela é um dos ambientes mais propícios a disseminação e exploração de "furos" de segurança. Existem, entretanto, um esforço constante em desenvolvimento de mecanismos para protegê-la. "Internet Firewalls", são um conjunto de mecanismos utilizados para formar uma barreira de segurança entre a rede interna e a Internet. isolando-a das principais ameaças. Os componentes básicos de um "firewall" são o "packet filter" e o "proxy server". Basicamente, o que esses componentes fazem é uma filtragem dos pacotes. 0 "packet filter", como o nome sugere, faz uma filtragem dos pacotes até o nível de transporte (UDP e TCP). 0 "proxy server" atua como um procurador entre o cliente e o servidor real realizando uma filtragem a nível de aplicação; portanto, é uma tarefa mais apurada. Cada um desses componentes básicos apresentam os seus benefícios à segurança da rede interna. Um dos problemas desses mecanismos, é que eles acarretam em um "overhead" ao sistema, degradando o desempenho. Um "packet filter" tem de ser suficientemente rápido para que não seja o gargalo do sistema. De fato, como é apresentado nesse trabalho, pode-se conseguir um filtro tão rápido quanto necessário. A filtragem dos pacotes é baseada nas regras de filtragem que são elaboradas segundo a política de segurança, a qual estabelece qual o tipo de tráfego que pode existir entre a rede interna e a Internet. Cada pacote que passa pelo filtro é comparado com as regras de filtragem na ordem em que elas foram especificadas pelo administrador. Dependendo do número de regras, e este é um fator relevante porque são em grande número os serviços utilizados na rede, o tempo médio de filtragem aumenta. Uma solução para melhorar o desempenho na filtragem, é realizar a filtragem dos pacotes por sessão ("session filter"). Nesse caso somente se consegue atender aos serviços baseados no TCP (que é orientado a conexão); entretanto, considerando que os serviços mais utilizados na rede são baseados no TCP esse é um mecanismo viável. Na filtragem por sessão apenas o pacote de solicitação de conexão é comparado com a lista de regras de filtragem. Os pacotes subsequentes são verificados junto a uma "cache" de sessões ativas. Caso o pacote pertença a alguma sessão válida ele é passado adiante; caso contrário, ele é descartado. O acesso a "cache" deve ser suficientemente rápido para justificar esse procedimento. Além do ganho em desempenho, o filtro de sessões apresenta a vantagem de monitoramento: todas as sessões ativas entre a rede interna e a Internet estão registradas na "cache". Esta dissertação apresenta o projeto e a implementação de um "Packet/session filter". O filtro foi implementado como um módulo do "kernel" do sistema operacional "FreeBSD". O filtro "ip_fw" disponível como "freeware" na referida plataforma, serviu como referência básica para o desenvolvimento do filtro proposto. O utilitário "ipfw", disponível para gerenciar o filtro de pacotes "ip_fw", foi adaptado para interagir com o filtro desenvolvido. Os testes de desempenho apresentam resultados esperados. Ou seja, o filtro de sessão melhora consideravelmente o processo de filtragem em relação a um filtro convencional. O recurso de monitoramento das sessões ativas também representa uma facilidade a mais no controle e obtenção de estatísticas para o "firewall". / Security in computer systems is one of the most critical areas in "information sciences". Often it is heard something about a new "hole" discovered in some system. No matter how important is such a problem, there is a "paranoia" regarding questions about security. These security holes could be explored in a diversity of ways: to obtain financial benefits, to impersonate somebody to spoofing, to obtain secret informations, to damage to file systems, etc. Those are some of the reasons because so much time and money are spent in security. There are also some problems concerning legislation: government can demand that security in information systems is a federal problem and it can lead to impose control over everything that is used in protection mechanisms; on the other hand, there is the question of privacy and freedom of choice concerning to security. By adding new resources to the systems, the complexity is increase and new bugs and security problems can arise. Connectivity has changed the computer reality: computer networks show that. However, network systems also present weak points. Public networks are a critical example because all information flow by untrusted medias subject to modification or misuse by outsiders. The Internet may be one of the most critical environments concerning security. Because the internet covers almost all the world and grows so fast, it's able to dissiminate "holes" in security. There is, however, a constant effort to develop new mechanisms to protect the Internet, Internet Firewalls are a set of mechanisms used to build a security barrier between the internal network and the internet, maintaining the internal network far away from the main threats. The basic components of a firewall are the packet filter and the proxy server. These two components basically do a packet screening. The "packet filter", as the name suggests, makes a packet filtering up to the transport layer (UDP and TCP). The Proxy Server acts like a proxy between the client and the real server, the proxy does a packet filtering at the application level; therefore, it's a refined task. Each one of these components present their own benefits to the internal network security. A problem of those mechanisms is that they bring an overhead to the system, slowing the performance. A packet filter must be fast enough, otherwise it'll be the bottleneck in the system. The present work slows that, it's possible to obtain a filter as fast as necessary. The packet filtering is based on the filter rules which are prepared following the security policy that establishes what kind of traffic can flow between the internal network and the Internet. Each packet that passes through the filter is compared with the filtering rules to check if it is in the sequence specified by the administrator. Depending on the number of rules, and this is an important issue because there is a great number of services available in the network, the filtering mean time increases. A solution to improve the filtering process is to make the packet filtering by session (session filter). In this case it's only possible to attend to TCP, based services (connection oriented); however, considering that the most used services in the internet are based on TCP this is a feasible mechanism. In the session filtering only the first packet is compared against the filtering rules. The next packets are verified against a session cache. If the packet refers to a valid session it's sent forward; otherwise, it's dropped. The access time to the cache must be fast enough in order to allow applying this procedure. Beyond the performance improvement the session filter presents the advantage of monitoring: all the active sessions are recorded in the "cache". This work presents the project and development of a "packet/session filter". The filter was developed as a kernel module of the operating system "FreeBSD". The filter "ip_fw" available as freeware served as a basic reference to the implementation of the filter here presented. The "ipfw" utility available to manage the "ipfw" packet filter was adapted to interact to the developed filter. The performance benchmark presents expected results. The session filter enhances the filtering process when compared to the conventional packet filter. The monitoring facility also represents an enhancement the control and statistics gathering.

Redes : Computadores

Seguranca : Redes : Computadores

Filtragem : Pacotes

Firewall

Internet

Packet filter

Session filter

Internet firewalls

Internet security

Desenvolvimento e análise de desempenho de um 'packet/session filter' / Development and performance analysis of a packet/session filter

Spohn, Marco Aurelio

January 1997

A segurança em sistemas de computação é uma das áreas mais críticas nas ciências da informação. Freqüentemente se ouve falar em alguma "brecha" descoberta em algum sistema. Não importando quão grave seja o problema, já existe certa paranóia em relação a questões de segurança. Esses furos na segurança podem ser explorados de diversas maneiras: para obter benefícios financeiros indevidos, personificação maliciosa a custos de uma pretensa "brincadeira", perda de informações sigilosas, danos em arquivos do sistema, etc. Esses são alguns dos motivos porque se investe cada vez mais em segurança. Como se não bastasse, ainda existem os problemas relativos a legislação: por um lado, o governo pode vir a exigir que a segurança em sistemas de informação seja encarada como um problema federal e impor controle sobre tudo que seja utilizado nos mecanismos de proteção; por outro lado, outros podem reclamar a necessidade de privacidade e liberdade de escolha em problemas relativos a segurança. Os sistemas são, a medida que agregam mais recursos, muito complexos e extensos, propiciando um meio fértil para acúmulo de erros e conseqüentes problemas de segurança. A conectividade alterou a realidade da computação: as redes de computadores estão aí para provar. Entretanto, os sistemas em rede a medida que facilitam a realização de uma série de tarefas também apresentam vulnerabilidades. As redes públicas são um exemplo crítico, pois todas as informações passam por meios não confiáveis sujeitos a alteração ou utilização por terceiros. A Internet talvez represente um dos ambientes mais críticos a nível de segurança. Devido a sua abrangência e velocidade com que cresce, ela é um dos ambientes mais propícios a disseminação e exploração de "furos" de segurança. Existem, entretanto, um esforço constante em desenvolvimento de mecanismos para protegê-la. "Internet Firewalls", são um conjunto de mecanismos utilizados para formar uma barreira de segurança entre a rede interna e a Internet. isolando-a das principais ameaças. Os componentes básicos de um "firewall" são o "packet filter" e o "proxy server". Basicamente, o que esses componentes fazem é uma filtragem dos pacotes. 0 "packet filter", como o nome sugere, faz uma filtragem dos pacotes até o nível de transporte (UDP e TCP). 0 "proxy server" atua como um procurador entre o cliente e o servidor real realizando uma filtragem a nível de aplicação; portanto, é uma tarefa mais apurada. Cada um desses componentes básicos apresentam os seus benefícios à segurança da rede interna. Um dos problemas desses mecanismos, é que eles acarretam em um "overhead" ao sistema, degradando o desempenho. Um "packet filter" tem de ser suficientemente rápido para que não seja o gargalo do sistema. De fato, como é apresentado nesse trabalho, pode-se conseguir um filtro tão rápido quanto necessário. A filtragem dos pacotes é baseada nas regras de filtragem que são elaboradas segundo a política de segurança, a qual estabelece qual o tipo de tráfego que pode existir entre a rede interna e a Internet. Cada pacote que passa pelo filtro é comparado com as regras de filtragem na ordem em que elas foram especificadas pelo administrador. Dependendo do número de regras, e este é um fator relevante porque são em grande número os serviços utilizados na rede, o tempo médio de filtragem aumenta. Uma solução para melhorar o desempenho na filtragem, é realizar a filtragem dos pacotes por sessão ("session filter"). Nesse caso somente se consegue atender aos serviços baseados no TCP (que é orientado a conexão); entretanto, considerando que os serviços mais utilizados na rede são baseados no TCP esse é um mecanismo viável. Na filtragem por sessão apenas o pacote de solicitação de conexão é comparado com a lista de regras de filtragem. Os pacotes subsequentes são verificados junto a uma "cache" de sessões ativas. Caso o pacote pertença a alguma sessão válida ele é passado adiante; caso contrário, ele é descartado. O acesso a "cache" deve ser suficientemente rápido para justificar esse procedimento. Além do ganho em desempenho, o filtro de sessões apresenta a vantagem de monitoramento: todas as sessões ativas entre a rede interna e a Internet estão registradas na "cache". Esta dissertação apresenta o projeto e a implementação de um "Packet/session filter". O filtro foi implementado como um módulo do "kernel" do sistema operacional "FreeBSD". O filtro "ip_fw" disponível como "freeware" na referida plataforma, serviu como referência básica para o desenvolvimento do filtro proposto. O utilitário "ipfw", disponível para gerenciar o filtro de pacotes "ip_fw", foi adaptado para interagir com o filtro desenvolvido. Os testes de desempenho apresentam resultados esperados. Ou seja, o filtro de sessão melhora consideravelmente o processo de filtragem em relação a um filtro convencional. O recurso de monitoramento das sessões ativas também representa uma facilidade a mais no controle e obtenção de estatísticas para o "firewall". / Security in computer systems is one of the most critical areas in "information sciences". Often it is heard something about a new "hole" discovered in some system. No matter how important is such a problem, there is a "paranoia" regarding questions about security. These security holes could be explored in a diversity of ways: to obtain financial benefits, to impersonate somebody to spoofing, to obtain secret informations, to damage to file systems, etc. Those are some of the reasons because so much time and money are spent in security. There are also some problems concerning legislation: government can demand that security in information systems is a federal problem and it can lead to impose control over everything that is used in protection mechanisms; on the other hand, there is the question of privacy and freedom of choice concerning to security. By adding new resources to the systems, the complexity is increase and new bugs and security problems can arise. Connectivity has changed the computer reality: computer networks show that. However, network systems also present weak points. Public networks are a critical example because all information flow by untrusted medias subject to modification or misuse by outsiders. The Internet may be one of the most critical environments concerning security. Because the internet covers almost all the world and grows so fast, it's able to dissiminate "holes" in security. There is, however, a constant effort to develop new mechanisms to protect the Internet, Internet Firewalls are a set of mechanisms used to build a security barrier between the internal network and the internet, maintaining the internal network far away from the main threats. The basic components of a firewall are the packet filter and the proxy server. These two components basically do a packet screening. The "packet filter", as the name suggests, makes a packet filtering up to the transport layer (UDP and TCP). The Proxy Server acts like a proxy between the client and the real server, the proxy does a packet filtering at the application level; therefore, it's a refined task. Each one of these components present their own benefits to the internal network security. A problem of those mechanisms is that they bring an overhead to the system, slowing the performance. A packet filter must be fast enough, otherwise it'll be the bottleneck in the system. The present work slows that, it's possible to obtain a filter as fast as necessary. The packet filtering is based on the filter rules which are prepared following the security policy that establishes what kind of traffic can flow between the internal network and the Internet. Each packet that passes through the filter is compared with the filtering rules to check if it is in the sequence specified by the administrator. Depending on the number of rules, and this is an important issue because there is a great number of services available in the network, the filtering mean time increases. A solution to improve the filtering process is to make the packet filtering by session (session filter). In this case it's only possible to attend to TCP, based services (connection oriented); however, considering that the most used services in the internet are based on TCP this is a feasible mechanism. In the session filtering only the first packet is compared against the filtering rules. The next packets are verified against a session cache. If the packet refers to a valid session it's sent forward; otherwise, it's dropped. The access time to the cache must be fast enough in order to allow applying this procedure. Beyond the performance improvement the session filter presents the advantage of monitoring: all the active sessions are recorded in the "cache". This work presents the project and development of a "packet/session filter". The filter was developed as a kernel module of the operating system "FreeBSD". The filter "ip_fw" available as freeware served as a basic reference to the implementation of the filter here presented. The "ipfw" utility available to manage the "ipfw" packet filter was adapted to interact to the developed filter. The performance benchmark presents expected results. The session filter enhances the filtering process when compared to the conventional packet filter. The monitoring facility also represents an enhancement the control and statistics gathering.

Redes : Computadores

Seguranca : Redes : Computadores

Filtragem : Pacotes

Firewall

Internet

Packet filter

Session filter

Internet firewalls

Internet security

Licitação pública : aspectos que influenciam no processo licitatório

Costa Júnior, José Carlos Pereira da

26 August 2016

Submitted by Alison Vanceto (alison-vanceto@hotmail.com) on 2017-05-16T14:07:53Z No. of bitstreams: 1 DissJCPCJ.pdf: 1537965 bytes, checksum: 94c705cfa2293cc8d9bf5a91f9212f80 (MD5) / Approved for entry into archive by Ronildo Prado (ronisp@ufscar.br) on 2017-05-16T14:14:40Z (GMT) No. of bitstreams: 1 DissJCPCJ.pdf: 1537965 bytes, checksum: 94c705cfa2293cc8d9bf5a91f9212f80 (MD5) / Approved for entry into archive by Ronildo Prado (ronisp@ufscar.br) on 2017-05-16T14:14:46Z (GMT) No. of bitstreams: 1 DissJCPCJ.pdf: 1537965 bytes, checksum: 94c705cfa2293cc8d9bf5a91f9212f80 (MD5) / Made available in DSpace on 2017-05-16T14:19:51Z (GMT). No. of bitstreams: 1 DissJCPCJ.pdf: 1537965 bytes, checksum: 94c705cfa2293cc8d9bf5a91f9212f80 (MD5) Previous issue date: 2016-08-26 / Não recebi financiamento / One of the public administration principles is the efficient management of public expenditure. This research points out that for public spending efficiency, an efficient management of public bidding, through which the application of much of public resources occurs, is also necessary. For better understanding of the subject, the study searches in organizational theory, concepts on the issue of efficiency in public and private organizations. Supported on the axes of celerity, economic viability, and objectivity in the object description, the work aims to assess the environment of public bidding to verify in its normative framework, elements that account for more efficient results. It is a bibliographical and documentary research analyzed by a variety of combined methods and procedures, (Prodanov and Freitas, 2013), according to the comparative method. This way, we attempt to provide clarity on the issue and assist in the formulation of proposals with the help of the inductive method. The research is of basic nature, although it can be applied, as it seeks to offer the public administrative manager, solutions to the bidding process. / Um dos princípios da administração pública é a gestão eficiente dos gastos públicos. O trabalho entende que para a eficiência dos gastos públicos é necessário também a gestão eficiente das licitações públicas, por meio das quais ocorre a aplicação de grande parte dos recursos públicos. Para melhor entendimento sobre o tema, o trabalho busca na teoria organizacional conceitos acerca da questão da eficiência nas organizações públicas e privadas. Neste sentido, apoiado nos eixos da celeridade, economicidade e objetividade na descrição do objeto, o trabalho visa a avaliar o ambiente das licitações públicas com o fim de verificar no seu arcabouço normativo elementos que respondam por resultados mais eficientes. A pesquisa desenvolve-se a partir de fontes bibliográfica e documental, analisadas por uma diversidade de métodos e procedimentos combinados, forma admitida por Prodanov e Freitas (2013), metodologia na qual prevalece o método comparativo. Desta forma, procura-se proporcionar clareza quanto ao problema levantado e auxiliar na formulação das proposições ao tema por meio da abordagem e raciocínio pelo método indutivo. A pesquisa possui natureza predominantemente básica, mas também aplicada, pois procura oferecer ao gestor público soluções administrativas para o processo licitatório.

Licitação pública

Celeridade

Economicidade

Objetividade

Pregão

Competitive bidding

Celerity

Economic viability

Objectivity

Trading session

Desenvolvimento e análise de desempenho de um 'packet/session filter' / Development and performance analysis of a packet/session filter

Spohn, Marco Aurelio

January 1997

A segurança em sistemas de computação é uma das áreas mais críticas nas ciências da informação. Freqüentemente se ouve falar em alguma "brecha" descoberta em algum sistema. Não importando quão grave seja o problema, já existe certa paranóia em relação a questões de segurança. Esses furos na segurança podem ser explorados de diversas maneiras: para obter benefícios financeiros indevidos, personificação maliciosa a custos de uma pretensa "brincadeira", perda de informações sigilosas, danos em arquivos do sistema, etc. Esses são alguns dos motivos porque se investe cada vez mais em segurança. Como se não bastasse, ainda existem os problemas relativos a legislação: por um lado, o governo pode vir a exigir que a segurança em sistemas de informação seja encarada como um problema federal e impor controle sobre tudo que seja utilizado nos mecanismos de proteção; por outro lado, outros podem reclamar a necessidade de privacidade e liberdade de escolha em problemas relativos a segurança. Os sistemas são, a medida que agregam mais recursos, muito complexos e extensos, propiciando um meio fértil para acúmulo de erros e conseqüentes problemas de segurança. A conectividade alterou a realidade da computação: as redes de computadores estão aí para provar. Entretanto, os sistemas em rede a medida que facilitam a realização de uma série de tarefas também apresentam vulnerabilidades. As redes públicas são um exemplo crítico, pois todas as informações passam por meios não confiáveis sujeitos a alteração ou utilização por terceiros. A Internet talvez represente um dos ambientes mais críticos a nível de segurança. Devido a sua abrangência e velocidade com que cresce, ela é um dos ambientes mais propícios a disseminação e exploração de "furos" de segurança. Existem, entretanto, um esforço constante em desenvolvimento de mecanismos para protegê-la. "Internet Firewalls", são um conjunto de mecanismos utilizados para formar uma barreira de segurança entre a rede interna e a Internet. isolando-a das principais ameaças. Os componentes básicos de um "firewall" são o "packet filter" e o "proxy server". Basicamente, o que esses componentes fazem é uma filtragem dos pacotes. 0 "packet filter", como o nome sugere, faz uma filtragem dos pacotes até o nível de transporte (UDP e TCP). 0 "proxy server" atua como um procurador entre o cliente e o servidor real realizando uma filtragem a nível de aplicação; portanto, é uma tarefa mais apurada. Cada um desses componentes básicos apresentam os seus benefícios à segurança da rede interna. Um dos problemas desses mecanismos, é que eles acarretam em um "overhead" ao sistema, degradando o desempenho. Um "packet filter" tem de ser suficientemente rápido para que não seja o gargalo do sistema. De fato, como é apresentado nesse trabalho, pode-se conseguir um filtro tão rápido quanto necessário. A filtragem dos pacotes é baseada nas regras de filtragem que são elaboradas segundo a política de segurança, a qual estabelece qual o tipo de tráfego que pode existir entre a rede interna e a Internet. Cada pacote que passa pelo filtro é comparado com as regras de filtragem na ordem em que elas foram especificadas pelo administrador. Dependendo do número de regras, e este é um fator relevante porque são em grande número os serviços utilizados na rede, o tempo médio de filtragem aumenta. Uma solução para melhorar o desempenho na filtragem, é realizar a filtragem dos pacotes por sessão ("session filter"). Nesse caso somente se consegue atender aos serviços baseados no TCP (que é orientado a conexão); entretanto, considerando que os serviços mais utilizados na rede são baseados no TCP esse é um mecanismo viável. Na filtragem por sessão apenas o pacote de solicitação de conexão é comparado com a lista de regras de filtragem. Os pacotes subsequentes são verificados junto a uma "cache" de sessões ativas. Caso o pacote pertença a alguma sessão válida ele é passado adiante; caso contrário, ele é descartado. O acesso a "cache" deve ser suficientemente rápido para justificar esse procedimento. Além do ganho em desempenho, o filtro de sessões apresenta a vantagem de monitoramento: todas as sessões ativas entre a rede interna e a Internet estão registradas na "cache". Esta dissertação apresenta o projeto e a implementação de um "Packet/session filter". O filtro foi implementado como um módulo do "kernel" do sistema operacional "FreeBSD". O filtro "ip_fw" disponível como "freeware" na referida plataforma, serviu como referência básica para o desenvolvimento do filtro proposto. O utilitário "ipfw", disponível para gerenciar o filtro de pacotes "ip_fw", foi adaptado para interagir com o filtro desenvolvido. Os testes de desempenho apresentam resultados esperados. Ou seja, o filtro de sessão melhora consideravelmente o processo de filtragem em relação a um filtro convencional. O recurso de monitoramento das sessões ativas também representa uma facilidade a mais no controle e obtenção de estatísticas para o "firewall". / Security in computer systems is one of the most critical areas in "information sciences". Often it is heard something about a new "hole" discovered in some system. No matter how important is such a problem, there is a "paranoia" regarding questions about security. These security holes could be explored in a diversity of ways: to obtain financial benefits, to impersonate somebody to spoofing, to obtain secret informations, to damage to file systems, etc. Those are some of the reasons because so much time and money are spent in security. There are also some problems concerning legislation: government can demand that security in information systems is a federal problem and it can lead to impose control over everything that is used in protection mechanisms; on the other hand, there is the question of privacy and freedom of choice concerning to security. By adding new resources to the systems, the complexity is increase and new bugs and security problems can arise. Connectivity has changed the computer reality: computer networks show that. However, network systems also present weak points. Public networks are a critical example because all information flow by untrusted medias subject to modification or misuse by outsiders. The Internet may be one of the most critical environments concerning security. Because the internet covers almost all the world and grows so fast, it's able to dissiminate "holes" in security. There is, however, a constant effort to develop new mechanisms to protect the Internet, Internet Firewalls are a set of mechanisms used to build a security barrier between the internal network and the internet, maintaining the internal network far away from the main threats. The basic components of a firewall are the packet filter and the proxy server. These two components basically do a packet screening. The "packet filter", as the name suggests, makes a packet filtering up to the transport layer (UDP and TCP). The Proxy Server acts like a proxy between the client and the real server, the proxy does a packet filtering at the application level; therefore, it's a refined task. Each one of these components present their own benefits to the internal network security. A problem of those mechanisms is that they bring an overhead to the system, slowing the performance. A packet filter must be fast enough, otherwise it'll be the bottleneck in the system. The present work slows that, it's possible to obtain a filter as fast as necessary. The packet filtering is based on the filter rules which are prepared following the security policy that establishes what kind of traffic can flow between the internal network and the Internet. Each packet that passes through the filter is compared with the filtering rules to check if it is in the sequence specified by the administrator. Depending on the number of rules, and this is an important issue because there is a great number of services available in the network, the filtering mean time increases. A solution to improve the filtering process is to make the packet filtering by session (session filter). In this case it's only possible to attend to TCP, based services (connection oriented); however, considering that the most used services in the internet are based on TCP this is a feasible mechanism. In the session filtering only the first packet is compared against the filtering rules. The next packets are verified against a session cache. If the packet refers to a valid session it's sent forward; otherwise, it's dropped. The access time to the cache must be fast enough in order to allow applying this procedure. Beyond the performance improvement the session filter presents the advantage of monitoring: all the active sessions are recorded in the "cache". This work presents the project and development of a "packet/session filter". The filter was developed as a kernel module of the operating system "FreeBSD". The filter "ip_fw" available as freeware served as a basic reference to the implementation of the filter here presented. The "ipfw" utility available to manage the "ipfw" packet filter was adapted to interact to the developed filter. The performance benchmark presents expected results. The session filter enhances the filtering process when compared to the conventional packet filter. The monitoring facility also represents an enhancement the control and statistics gathering.

Redes : Computadores

Seguranca : Redes : Computadores

Filtragem : Pacotes

Firewall

Internet

Packet filter

Session filter

Internet firewalls

Internet security