Controle de autenticação tolerante a intrusões em federações de clouds

Barreto, Luciano

January 2017

Tese (doutorado) - Universidade Federal de Santa Catarina, Centro Tecnológico, Programa de Pós-Graduação em Engenharia de Automação e Sistemas, Florianópolis, 2017. / Made available in DSpace on 2017-10-10T04:18:04Z (GMT). No. of bitstreams: 1 348408.pdf: 2948482 bytes, checksum: 0e24b7eb9bae933aef6f1583a0c94b90 (MD5) Previous issue date: 2017 / Federações de clouds tem sido um tópico de muitos estudos atualmente na área de Sistemas Distribuídos. A associação de provedores de clouds para formação de federações pode ser movida pela necessidade de pequenos provedores se unirem no sentido de competirem em mercado agressivo. O objetivo principal desta tese sempre foi o estudo dos controles de segurança em federações de clouds. A autenticação por ser peça fundamental na implantação de políticas de segurança acabou sendo o foco principal de nossos esforços. Em se tratando dos controles de autenticação, um ponto que quase sempre permanece em aberto nas formações destas federações é o gerenciamento de seus usuários. Neste sentido desenvolvemos uma proposta de federação de clouds cujas autenticações de seus usuários são baseadas no uso de provedores de identidades. Por se tornar ator principal na aplicação de políticas nestas federações, usamos técnicas que agregassem segurança e tolerância a intrusões a estes provedores de identidades. E, neste sentido, exploramos o uso da virtualização para permitir a proteção de entidades importantes para a segurança destes Provedores de Identidades (Identity Providers ? IdPs). Estes trabalhos preliminares de autenticação foram incorporados ao projeto SecFuNet e adotaram características definidas pelos parceiros de projeto, entre estas, o uso de processadores seguros. Posteriormente, diante de limitações de flexibilidade impostas pelo hardware especializado usado no projeto SecFuNet, outra abordagem envolvendo o armazenamento de informações de usuários em seus IdPs foi desenvolvida. Nesta segunda abordagem, a própria federação de clouds através de recursos de memorização foi utilizada como base para o armazenamento de credenciais e atributos de usuários. Protocolos de disseminação baseados em técnicas de compartilhamento de segredo foram introduzidos no modelo, de forma que o armazenamento das informações de usuários se mantivessem seguras mesmo em casos de intrusões tanto nos IdPs como em parte dos provedores de cloud da federação. A evolução de nossos trabalhos envolveu protótipos, os quais foram submetidos a vários experimentos de testes a fim de verificar sua viabilidade prática de nossas propostas.<br> / Abstract : Cloud federations have been the topic of many studies in the area of Distributed Systems. An association of cloud providers for federation formation can be motivated by the need for small providers not to groups their efforts to survive in the aggressive market. The main objective of this thesis is the study of security controls in cloud federations. Authentication as a key part of deploying security policies was the primary focus of our efforts. One point that usually remains open in federations is the management of its users. In this sense, a proposal of federation of clouds whose authentications of its users are based on the use of identities providers. By becoming a key point in policy enforcement in these federations, we use techniques that deploys security and intrusion tolerance to these identity providers. In this sense, we explore the use of virtualization to allow protection of important entities for an IdPs security. These preliminary works on authentication have been incorporated into the SecFuNet project and featured features defined by project partners, among them, and use of secure processors. Subsequently, faced with limitations of flexibility imposed by specialized hardware used no SecFuNet project, another approach involving the storage of information in their IdPs was developed. In this second approach, the federation of clouds was used as memory and database resources for storing attributes of users. Dissemination protocols based on secret sharing techniques for was applied on this model, so that the stored user information has remained secure even in cases of intrusion both in the IdPs and in part the cloud providers of the federation. The evolution of our work involved prototypes, which were submitted to several test experiments.

Engenharia de sistemas

Automação

Computação em nuvem

Segurança de sistemas

Autenticação

Um estudo sobre o controle de acesso a redes sem fio baseado em áreas geográficas

COSTA, Allyson James Amaral da

31 January 2009

Made available in DSpace on 2014-06-12T15:55:08Z (GMT). No. of bitstreams: 2 arquivo2164_1.pdf: 995955 bytes, checksum: 77a7764978b40971658ca94feaed219c (MD5) license.txt: 1748 bytes, checksum: 8a4605be74aa9ea9d79846c1fba20a33 (MD5) Previous issue date: 2009 / Coordenação de Aperfeiçoamento de Pessoal de Nível Superior / A cada dia, as redes sem fio estão se tornando mais populares, tanto no âmbito profissional, como na vida pessoal. Diversas tecnologias e aplicações atuam como facilitadores e atualmente são de fundamental importância para o cotidiano. Com o aumento do uso desses produtos, a preocupação com a segurança da informação cresce proporcionalmente. Os inúmeros processos de autenticação e controle de acesso em redes sem fio buscam observar o que podemos chamar de tríade da segurança da informação: confidencialidade, integridade e disponibilidade. Baseado nessas premissas básicas, todos os profissionais de segurança construíram, e ainda constroem os sistemas de proteção atuais. O principal objetivo do estudo é propor diretrizes para o controle de acesso a redes sem fio, baseado em uma área geográfica previamente definida. Para tanto, foram realizadas simulações abrangendo dois cenários distintos, para se obter o nível de assertividade das ferramentas de localização em redes sem fios. O MoCA (Mobile Collaboration Architecture) foi utilizado como ferramenta de apoio aos testes, e os resultados e problemas serviram de base para a concepção da nova arquitetura de segurança

Redes sem fio

Pontos de acesso

Segurança

Controle de acesso

Autenticação

Localização

Sistema de identificação biométrica baseado no código de íris combinado com códigos corretores de erros

MELO, Guilherme Nunes

18 July 2016

Submitted by Rafael Santana (rafael.silvasantana@ufpe.br) on 2018-02-08T18:08:30Z No. of bitstreams: 2 license_rdf: 811 bytes, checksum: e39d27027a6cc9cb039ad269a5db8e34 (MD5) Tese - Guilherme Nunes Melo.pdf: 1827380 bytes, checksum: 8829bbf6f97296ccc749dd03b34d8367 (MD5) / Made available in DSpace on 2018-02-08T18:08:31Z (GMT). No. of bitstreams: 2 license_rdf: 811 bytes, checksum: e39d27027a6cc9cb039ad269a5db8e34 (MD5) Tese - Guilherme Nunes Melo.pdf: 1827380 bytes, checksum: 8829bbf6f97296ccc749dd03b34d8367 (MD5) Previous issue date: 2016-07-18 / A identificação biométrica já é uma realidade; baseia-seno uso de características biométricas dos indivíduos, principalmente, a impressão digital, as características da face, as características da palma da mão e a íris. Esta tese aborda a identificação biométrica baseada no código de íris, cujo processamento está sujeito a erros aleatórios e erros em surto, os quais dificultam a identificação do usuário. A partir de modelos de identificação de iris propostos, foram realizados testes de identificação usando as seguintes bases de dados de códigos de íris: BIOSECURE, CASIA, NIST-ICE(exp1) e NIST-ICE(exp2). Os melhores resultados disponíveis na literatura para sistemas de identificação biométrica que usa uma única íris e que corrigem um único símbolo por quadro, apresentam uma taxa de falsa rejeição (FRR) em torno de 30% para a base de dados BIOSECURE; cerca de 49% para a base de dados CASIA; cerca de 49% para a base de dados NIST-ICE(exp1); e cerca de 52% para a base de dados NIST-ICE(exp2). Quando ambas as íris são usadas, os percentuais para a FRR são cercade 12% para a base de dados BIOSECURE; cercade24% para a base de dados CASIA; ecercade17% para a base de dados NIST-ICE. Nesta tese, são propostos quatro sistemas de identificação biométrica e recuperação de chave criptográfica, que reduzem os percentuais da FRR. Para o sistema de identificação generalizado proposto, foi obtida uma FRR máxima em torno de 8% para uma única íris e FRR máxima em torno de 1% para ambas as íris. Para a correção de um erro de símbolo por quadro, o melhor resultado, para uma íris, foi obtido na base de dados NIST-ICE(exp1), com a FRR de 3,96% e, para ambas as íris, foi obtido na base de dados CASIA coma FRR de 0,05%. / Biometric identification is already a reality; biometric identification systems employ individual characteristics such as fingerprints, facial features, the palm and iris characteristics. This thesis is concerned with biometric identification based on iris code, the processing of which is subject to random errors and burst errors, which difficult identification. By employing iris identification models proposed in this thesis, identification tests were performed using the following iris code databases: BIOSECURE, CASIA, NIST-ICE (exp1) and NIST-ICE (exp2). The best results available in the literature for identification systems employing a single iris and correcting a single symbol per frame, present a false rejection rate (FRR) around 30% for the BIOSECURE database, around 49% for the CASIA database, around 49% for the NIST-ICE(exp1) database and around 52% for the NISTICE(exp2) database. When both iridesare employed, the percentagesfor the FRR are about 12% for the BIOSECURE database; about 24% to CASIA database; and about 17% for the NIST-ICE database. This thesis proposed four biometric identification and cryptographic key recovery systems to reduce the percentage of FRR. For the generalized identification system, FRR maximum rates were obtained around 8% for a single iris, and a maximum FRR rates around 1% for both irides. The obtained reduction in the percentage of FRR is due to the development of new search techniques and manipulations performed in the iris codes. For a correction of a symbol error per frame, the best result for an iris was obtained in NIST-ICE(exp1) databasewith FRR of 3.96% and for both irides, was obtained in CASIA database with FRR of 0.05%.

Engenharia Elétrica

Código íris

Códigos corretores de erro

Codificação

Biometria

Autenticação

Protocolos criptográficos de identificação baseados em reticulados / Lattice-based identification schemes

Oniki Chiquito, Izumi, 1985-

22 August 2018

Orientador: Ricardo Dahab / Dissertação (mestrado) - Universidade Estadual de Campinas, Instituto de Computação / Made available in DSpace on 2018-08-22T11:38:01Z (GMT). No. of bitstreams: 1 OnikiChiquito_Izumi_M.pdf: 3419663 bytes, checksum: 5f621e251ebc62429a85ff141091f7f5 (MD5) Previous issue date: 2012 / Resumo: Na área de Segurança da Informação, controle de acesso diz respeito á habilidade de permitir ou negar a utilização de determinados recursos, sejam eles informações, dispositivos, serviços etc., por parte de um indivíduo. Protocolos de identificação correspondem a algoritmos criptográficos que permitem verificar, com certo grau de confiança, se a alegação de um indivíduo a respeito de sua identidade é verdadeira. Dessa forma, pode-se prover acesso controlado e conceder privilégios de utilização de recursos somente a entidades ou indivíduos cuja identidade tenha sido comprovada. Algoritmos baseados em reticulados, de uma forma geral, têm despertado particular interesse em aplicações criptográficas, devido à sua provável resistência a ataques empregando computadores quânticos, ao contrário dos criptossistemas baseados em problemas da Teoria dos Números. Por esse motivo, nos _últimos anos, tem-se buscado desenvolver protocolos de identificação cuja segurança esteja relacionada a problemas envolvendo reticulados. Neste trabalho, foram abordadas as principais propostas recentes de protocolos de identificação baseados em reticulados. Além da apresentação dos algoritmos, é feita uma análise comparativa entre protocolos selecionados, incorporando dados experimentais de execução. A etapa de implementação aqui apresentada tem também como finalidade suprir a ausência de resultados experimentais para essa categoria de protocolos, no sentido de iniciar um processo de validação para uso dos algoritmos em aplicações práticas. Questões como possibilidades de otimização e expectativas para o futuro da área também são discutidas / Abstract: One of the main concerns of the field of Information Security is access control, which refers to the restriction of access to several kinds of resources, such as data, places, devices, services and others. Identification schemes are cryptographic algorithms that allow verifying with some level of certainty if an identity claim is legitimate. Therefore, such schemes make possible to provide access control and grant privileges only to authorized individuals whose identities have been previously verified. Lattice-based algorithms are particularly interesting as the cryptography community believes them to remain secure even to quantum computers attacks, as opposite to some cryptosystems used today based on Number Theory problems. For this reason, identification schemes based on lattices have received growing attention lately. In this work, we address the main recent developments of lattice-based identification schemes. After introducing the algorithms, we make a comparative analysis of the selected schemes, using experimental data collected from our own implementation of the algorithms. The implementation phase also aims to help validating these schemes for practical use, since to this date there were practically no experimental results available. Other issues, like optimization possibilities and the future of the area, are also addressed in this work / Mestrado / Ciência da Computação / Mestra em Ciência da Computação

Criptografia

Autenticação

Criptografia pós-quântica

Cryptography

Authentication

Post-quantum cryptography

Physical-layer authentication Using chaotic maps

EVANGELISTA, João Victor de Carvalho

16 August 2016

Submitted by Fabio Sobreira Campos da Costa (fabio.sobreira@ufpe.br) on 2017-03-08T12:29:03Z No. of bitstreams: 2 license_rdf: 1232 bytes, checksum: 66e71c371cc565284e70f40736c94386 (MD5) JOAO VICTOR DE CARVALHO EVANGELISTA_DISSERTACAO_VERSAO_FINAL_2016.pdf: 4051425 bytes, checksum: c53a5039b8aa3054c77f2ee82a10849f (MD5) / Made available in DSpace on 2017-03-08T12:29:03Z (GMT). No. of bitstreams: 2 license_rdf: 1232 bytes, checksum: 66e71c371cc565284e70f40736c94386 (MD5) JOAO VICTOR DE CARVALHO EVANGELISTA_DISSERTACAO_VERSAO_FINAL_2016.pdf: 4051425 bytes, checksum: c53a5039b8aa3054c77f2ee82a10849f (MD5) Previous issue date: 2016-08-16 / Message authentication, which ensures that a received message comes from its acclaimed sender, is of fundamental importance for secure communication systems. We consider in this work a physical layer authentication system employing tag signals embedded in the message to provide a robust authentication method. This work diverges from previous work in the area when it comes to the tag generation method. While the previous works use methods based on cryptographic hash functions or on the channel side information our system employs unidimensional chaotic maps to generate these tags. Due to the loss of information about the initial condition of chaotic maps, we show that they are strong candidates for the tag generation process. We prove that chaotic tags provide a positive lower bound on the unconditional security of the system. Additionally, we calculate the probability of success for three possible attacks to the authentication system: impersonation, substitution and replay.Finally, we analyze how the system parameters affect these probabilities and some performance metrics (bit error rate, outage probability, probability of false negative) and explore the tradeoff between security and performance in order to provide guidelines to design the system. / A autenticação de mensagem, o que garante que uma mensagem recebida vem de seu aclamado remetente, é de fundamental importância para sistemas de comunicação seguros. Neste contexto, considera-se neste trabalho um sistema de autenticação em camada física empregando tags embutidos nas mensagens proporcionando um robusto método de autenticação. Este trabalho diverge de trabalhos anteriores na área no que se refere ao método de geração de tags. Enquanto os trabalhos anteriores utilizam métodos baseados em funções criptográficas de hash e na informação do estado do canal, nosso sistema emprega mapas caóticos unidimensionais para gerar os tags. Devido ao fato de que a informação sobre a condição inicial se perde ao longo de uma órbita caótica mostraremos que elas são fortes candidatas para o processo de geração de tags. Provamos que tags caóticos garantem um limitante inferior positivo na segurança incondicional do sistema. Adicionalmente, nós calculamos a probabilidade de sucesso de três tipos de ataque: de personificação, de substituição e de repetição. Para finalizar, analisamos como os parâmetros do sistema afetam essas probabilidades e algumas métricas de performance (taxa de erro por bit, probabilidade de interrupção e probabilidade de falso negativo) e os compromissos entre segurança e performance para prover um guia de projeto do sistema.

autenticação de mensagem

autenticação em camada física

mapascaóticos

probabilidade de outage

taxa de erro porbit

segurança incondicional

bit error rate

chaotic maps

message authentication

outage probability

physical layer authentication

unconditional securit

Projeto de um dispositivo de autenticação e assinatura. / Design and implementation of an authentication device.

Vieira, Gustavo Yamasaki Martins

15 October 2007

Atualmente o uso de senhas, método comum para efetuar autenticação em páginas da internet, mostra-se uma alternativa com problemas de segurança devido ao aumento de ataques baseados em spyware e phishing. O objetivo desses ataques é obter a senha do usuário, isto é, sua identidade digital sem que o usuário perceba o ocorrido. Para conter esse tipo de ataque, instituições financeiras começaram a adotar a autenticação forte, técnica que emprega o uso simultâneo de múltiplos autenticadores. A combinação das vantagens dos diferentes autenticadores resulta em uma atenuação mútua de suas vulnerabilidades e, em conseqüência, um método mais seguro de verificação de identidade. Esse trabalho apresenta o projeto e a implementação de um dispositivo de autenticação, permitindo combinar o uso de senhas e autenticadores baseados em objeto. As principais características do dispositivo são o seu custo reduzido e o uso de algoritmos criptográficos com código aberto. Algoritmos de código aberto possuem a sua segurança averiguada de forma ampla e independente, característica que dá maior confiabilidade ao sistema, permitindo a qualquer pessoa avaliar o código executado pelo dispositivo. / Currently, password-based authentication is the most widespread identity verification method for web pages access. However it presents security issues due to the growth of attacks based on spywares and phishing. The main purpose of both techniques is the digital identity theft, that is, stealing users\' passwords in an unnoticed way. In order to counter this type of attack, many financial institutions have adopted strong authentication, a technique that employs a simultaneous use of different authentication factors. By synergistically combining the advantages of distinct factors, such arrangement results in the mutual mitigation of the vulnerabilities of each one, yielding an architecturally safer identity verification method. This work presents the design and implementation of an authentication device, which combines passwordbased and object-based authenticators. Its main distinguishing features are the reduced cost and the use of open sourced cryptographic algorithms. Open source algorithms have their security widely and independently verified, a characteristic that helps increase the system\'s reliability, since third parties may check the source code running on the device.

Authentication

Phishing

Scam

Security

Segurança na internet

Token

Proposta de arquitetura e solução de gerenciamento de credenciais para autenticação e autorização em ambientes de computação em nuvem. / Proposal of architecture and solution for credential, management for authentication and authorization in cloud computing environments.

Gonzalez, Nelson Mimura

22 January 2014

O modelo de computação em nuvem (cloud computing) reúne características como elasticidade, compartilhamento de recursos, obtenção de serviços sob demanda, e escalabilidade. Este modelo aumenta a eficiência de utilização de recursos, reduzindo drasticamente o custo de manutenção de infraestruturas de hardware e software. Contudo, diversos problemas relacionados a aspectos de segurança são observados nos ambientes de nuvem, o que reduz a adoção da tecnologia de maneira significativa. Os principais problemas identificados referem-se à confidencialidade dos dados dos usuário e à proteção dos canais de comunicação. Estes problemas podem ser resolvidos por meio do emprego de mecanismos de autenticação e autorização que controlem efetivamente o acesso aos recursos e aos serviços da nuvem por parte dos usuários e quaisquer outras entidades que consigam acessar estes elementos. Isto sugere a utilização de credenciais, que permitem estabelecer permissões e obrigações das entidades de um ecossistema de computação em nuvem. Esta dissertação apresenta uma proposta de Sistema de Gerenciamento de Credenciais (SGC) para computação em nuvem, que visa implementar uma solução de identificação de entidades e controle de acesso à nuvem. Para isto foi realizada uma pesquisa para levantar as principais referências relativas à computação em nuvem, segurança em computação em nuvem, e gerenciamento de credenciais. A partir dos resultados desta pesquisa, foi definido um modelo conceitual que descreve a solução proposta, identificando os seus requisitos e a sua arquitetura. Finalmente foi desenvolvido um protótipo para realização de testes, de modo a validar a solução proposta e verificar o atendimento aos requisitos definidos previamente. Os resultados revelam a possibilidade de desenvolver um Sistema de Gerenciamento de Credenciais (SGC) capaz de prover os mecanismos de segurança adequados para a nuvem sem a necessidade de modificar as aplicações e serviços originais da mesma, culminando em uma solução transparente para usuários, desenvolvedores, e administradores da nuvem. O sistema proposto foi, também, capaz de estabelecer canais de comunicação seguro entre as entidades da nuvem, permitindo proteger de maneira seletiva as informações que trafegam pela rede. Desta forma, é possível afirmar que soluções em nuvem podem ser tornar mais seguras (e confiáveis) por meio do emprego de mecanismos transparentes e abrangentes para autenticação e autorização de entidades e operações. / Cloud computing is a computing model based on characteristics such as elasticity, resource sharing, on-demand resource acquisition, and scalability. This model increases resource usage efficiency, drastically reducing maintenance costs of hardware and software infrastructures. However, problems related to security aspects represent obstacles for a wider adoption of the technology. The main problems identified are related to data confidentiality and communication channels protection. These problems can be addressed by authentication and authorization mechanisms which are able to effectively control the access to resources and services. This suggests the use of credentials which define the permissions and obligations of entities from a cloud computing ecosystem. This work presents a Credential Management System (CMS) for cloud computing, which implements a solution for identification and access control in the cloud environment. The research included a survey of references related to cloud computing, security in cloud computing, and credential management. Taking the results of this research, it was specified a conceptual model which describes the proposed solution, identifying the main requirements of the solution and its architecture. Finally it was developed a prototype in order to perform tests to validate the solution and verify if the requirements were addressed. The results reveal the possibility of developing a credential management solution able to provide the adequate security mechanisms without the need to modify the original applications and services, leading to a transparent solution for users, developers, and cloud administrators. The solution was also able to establish secure communication channels between cloud entities, allowing to selectively protect information that is exchanged in the network. The conclusion is that it is possible to make cloud applications and services more secure (and reliable) by using transparent and comprehensive mechanisms for authentication and authorization of entities and operations.

Autenticação e autorização

Authentication and authorization

Cloud computing (Security)

Computação em nuvem (Segurança)

Uma nova implementação para a autenticação de mensagens do modo de transporte MIKEY-DHHMAC-SAS.

Rafael di Lego Gonçalves

13 March 2009

A tecnologia de Voz sobre IP utiliza uma rede altamente descentralizada e vulnerável a diversos ataques, havendo pouco controle sobre o canal onde a informação será trafegada. Por isso, a proteção da informação multimídia é fundamental quando se pretende transportar informações confidenciais. Dentre as etapas realizadas para proteger o dado trafegado, a etapa onde é decidida a forma de proteção é uma das mais importantes, merecendo a atenção de diversos pesquisadores e culminando em uma gama de protocolos como MIKEY-PS, MIKEY-PK, MIKEY-RSA-R, MIKEY-DH, MIKEY-DHHMAC, ZRTP e MIKEY-DHHMAC-SAS. Todos esses protocolos utilizam um método para verificar a autenticidade das mensagens. Neste estudo, propõe-se uma nova forma de autenticar as mensagens do protocolo MIKEY-DHHMAC-SAS, aumentando a segurança e eficiência do processo de autenticação das mensagens.

Sistemas de segurança

Tecnologia da informação

Autenticação

Telefonia

Sistemas de comunicação móvel

Protocolos de comunicação

Redes de comunicação

Computação

Proposta de arquitetura e solução de gerenciamento de credenciais para autenticação e autorização em ambientes de computação em nuvem. / Proposal of architecture and solution for credential, management for authentication and authorization in cloud computing environments.

Nelson Mimura Gonzalez

22 January 2014

O modelo de computação em nuvem (cloud computing) reúne características como elasticidade, compartilhamento de recursos, obtenção de serviços sob demanda, e escalabilidade. Este modelo aumenta a eficiência de utilização de recursos, reduzindo drasticamente o custo de manutenção de infraestruturas de hardware e software. Contudo, diversos problemas relacionados a aspectos de segurança são observados nos ambientes de nuvem, o que reduz a adoção da tecnologia de maneira significativa. Os principais problemas identificados referem-se à confidencialidade dos dados dos usuário e à proteção dos canais de comunicação. Estes problemas podem ser resolvidos por meio do emprego de mecanismos de autenticação e autorização que controlem efetivamente o acesso aos recursos e aos serviços da nuvem por parte dos usuários e quaisquer outras entidades que consigam acessar estes elementos. Isto sugere a utilização de credenciais, que permitem estabelecer permissões e obrigações das entidades de um ecossistema de computação em nuvem. Esta dissertação apresenta uma proposta de Sistema de Gerenciamento de Credenciais (SGC) para computação em nuvem, que visa implementar uma solução de identificação de entidades e controle de acesso à nuvem. Para isto foi realizada uma pesquisa para levantar as principais referências relativas à computação em nuvem, segurança em computação em nuvem, e gerenciamento de credenciais. A partir dos resultados desta pesquisa, foi definido um modelo conceitual que descreve a solução proposta, identificando os seus requisitos e a sua arquitetura. Finalmente foi desenvolvido um protótipo para realização de testes, de modo a validar a solução proposta e verificar o atendimento aos requisitos definidos previamente. Os resultados revelam a possibilidade de desenvolver um Sistema de Gerenciamento de Credenciais (SGC) capaz de prover os mecanismos de segurança adequados para a nuvem sem a necessidade de modificar as aplicações e serviços originais da mesma, culminando em uma solução transparente para usuários, desenvolvedores, e administradores da nuvem. O sistema proposto foi, também, capaz de estabelecer canais de comunicação seguro entre as entidades da nuvem, permitindo proteger de maneira seletiva as informações que trafegam pela rede. Desta forma, é possível afirmar que soluções em nuvem podem ser tornar mais seguras (e confiáveis) por meio do emprego de mecanismos transparentes e abrangentes para autenticação e autorização de entidades e operações. / Cloud computing is a computing model based on characteristics such as elasticity, resource sharing, on-demand resource acquisition, and scalability. This model increases resource usage efficiency, drastically reducing maintenance costs of hardware and software infrastructures. However, problems related to security aspects represent obstacles for a wider adoption of the technology. The main problems identified are related to data confidentiality and communication channels protection. These problems can be addressed by authentication and authorization mechanisms which are able to effectively control the access to resources and services. This suggests the use of credentials which define the permissions and obligations of entities from a cloud computing ecosystem. This work presents a Credential Management System (CMS) for cloud computing, which implements a solution for identification and access control in the cloud environment. The research included a survey of references related to cloud computing, security in cloud computing, and credential management. Taking the results of this research, it was specified a conceptual model which describes the proposed solution, identifying the main requirements of the solution and its architecture. Finally it was developed a prototype in order to perform tests to validate the solution and verify if the requirements were addressed. The results reveal the possibility of developing a credential management solution able to provide the adequate security mechanisms without the need to modify the original applications and services, leading to a transparent solution for users, developers, and cloud administrators. The solution was also able to establish secure communication channels between cloud entities, allowing to selectively protect information that is exchanged in the network. The conclusion is that it is possible to make cloud applications and services more secure (and reliable) by using transparent and comprehensive mechanisms for authentication and authorization of entities and operations.

Autenticação e autorização

Computação em nuvem (Segurança)

Authentication and authorization

Cloud computing (Security)

Projeto de um dispositivo de autenticação e assinatura. / Design and implementation of an authentication device.

Gustavo Yamasaki Martins Vieira

15 October 2007

Atualmente o uso de senhas, método comum para efetuar autenticação em páginas da internet, mostra-se uma alternativa com problemas de segurança devido ao aumento de ataques baseados em spyware e phishing. O objetivo desses ataques é obter a senha do usuário, isto é, sua identidade digital sem que o usuário perceba o ocorrido. Para conter esse tipo de ataque, instituições financeiras começaram a adotar a autenticação forte, técnica que emprega o uso simultâneo de múltiplos autenticadores. A combinação das vantagens dos diferentes autenticadores resulta em uma atenuação mútua de suas vulnerabilidades e, em conseqüência, um método mais seguro de verificação de identidade. Esse trabalho apresenta o projeto e a implementação de um dispositivo de autenticação, permitindo combinar o uso de senhas e autenticadores baseados em objeto. As principais características do dispositivo são o seu custo reduzido e o uso de algoritmos criptográficos com código aberto. Algoritmos de código aberto possuem a sua segurança averiguada de forma ampla e independente, característica que dá maior confiabilidade ao sistema, permitindo a qualquer pessoa avaliar o código executado pelo dispositivo. / Currently, password-based authentication is the most widespread identity verification method for web pages access. However it presents security issues due to the growth of attacks based on spywares and phishing. The main purpose of both techniques is the digital identity theft, that is, stealing users\' passwords in an unnoticed way. In order to counter this type of attack, many financial institutions have adopted strong authentication, a technique that employs a simultaneous use of different authentication factors. By synergistically combining the advantages of distinct factors, such arrangement results in the mutual mitigation of the vulnerabilities of each one, yielding an architecturally safer identity verification method. This work presents the design and implementation of an authentication device, which combines passwordbased and object-based authenticators. Its main distinguishing features are the reduced cost and the use of open sourced cryptographic algorithms. Open source algorithms have their security widely and independently verified, a characteristic that helps increase the system\'s reliability, since third parties may check the source code running on the device.

Segurança na internet

Authentication

Phishing

Scam

Security

Token