Submitted by Alice Araujo (alice.caraujo@ufpe.br) on 2017-11-30T16:45:19Z
No. of bitstreams: 2
license_rdf: 811 bytes, checksum: e39d27027a6cc9cb039ad269a5db8e34 (MD5)
Ioram_Sette_PhD_Thesis.pdf: 10382850 bytes, checksum: a2a362f0971460d5758e3cf1ff71db96 (MD5) / Made available in DSpace on 2017-11-30T16:45:19Z (GMT). No. of bitstreams: 2
license_rdf: 811 bytes, checksum: e39d27027a6cc9cb039ad269a5db8e34 (MD5)
Ioram_Sette_PhD_Thesis.pdf: 10382850 bytes, checksum: a2a362f0971460d5758e3cf1ff71db96 (MD5)
Previous issue date: 2016-08-11 / CNPQ / Multiple Cloud Service Providers (CSPs) coexist nowadays offering their services competitively. To avoid vendor lock-in, users hire many services from an outsourced heterogeneous multi-cloud environment. This way, data and system security usually depend on isolated mechanism existing in each provider. Access Control (AC) mechanisms are responsible for the authentication, identification and authorisation
of users to resources. In the case of a multi-cloud environment, users often need to authenticate multiple times and also to define security policies for each CSP, which can possibly result in inconsistencies. The objective of this thesis is to provide a homogeneous access experience for users of heterogeneous multi-cloud services. Identity federations allow the Single Sign-On (SSO), i.e. users are identified and authenticated once by Identity Providers (IdPs) and gain access to trusted federated services. Nevertheless, authorisation federations or AC federations are not usual. Each cloud service uses to have its own AC mechanism, with their own policy definition languages. This work defines a solution that provides homogeneous authentication and authorisation to multiple heterogeneous Infrastructure as a Service (IaaS) platforms. This is possible through Identity Federations and Authorisation Policy Federations (APFs). In this solution, security policies are centrally stored in a “Disjunctive Normal Form (DNF)” and are semantically defined in terms of an Ontology. Therefore, cloud tenants can create APFs and bind their different accounts to them. Thus, global authorisation rules, defined and managed by the APF, can be enforced on all federated member accounts, providing a homogeneous access experience. A system prototype, composed of a central Policy Administration Point (PAP), called Federated Authorisation Policy Management Service (FAPManS), policy adaptors (translators) and a policy synchronization mechanism, was implemented for OpenStack and Amazon Web Services (AWS) cloud platforms. An ontology was also created based on their access control technologies. The “Level of Semantic Equivalence (LSE)” was defined as a metric that gives the percentage of policy rules that could be translated to the ontology terms. In the validation of this solution, authorization policies based on examples publicly provided by OpenStack and AWS were converted to ontology-based global rules and vice-versa with LSE above 80%. / Múltiplos provedores de computação em nuvem convivem hoje ofertando seus serviços de forma competitiva. Para evitar dependência (o chamado vendor lock-in), usuários utilizam muitos serviços em ambiente terceirizado e heterogêneo multi-nuvens. Desta forma, a segurança de dados e sistemas depende normalmente de mecanismos existentes isoladamente em cada um dos provedores. Mecanismos de controle de acesso são responsáveis pela autenticação, identificação e autorização dos usuários aos recursos. No caso de ambiente multi-nuvens, usuários geralmente precisam se autenticar diversas vezes e definir políticas de segurança para cada um dos serviços, que possivelmente podem apresentar inconsistências. O objetivo desta tese é proporcionar aos usuários de sistemas heterogêneos multi-nuvens uma experiência de acesso homogênea a estes serviços. Federações de identidade proporcionam o Single Sign-On (SSO), ou seja, os usuários são identificados e autenticados por provedores de identidade (IdPs) uma única vez e, através de protocolos como OpenID Connect, SAML ou ABFAB, recebem acesso a serviços federados com os quais possuem relação de confiança. No entanto, federações de autorização ou de políticas de controle de acesso não são comuns. Cada serviço de nuvem costuma ter seu próprio mecanismo de controle de acesso, com linguagens próprias de definição de políticas. Este trabalho define uma solução que provê autenticação e autorização homogêneas a usuários de múltiplos serviços de computação em nuvem heterogêneos no modelo de Infraestrutura como Serviço (IaaS). Isso é possível através de federações de identidade e de políticas de autorização. Nesta solução, políticas de segurança são armazenadas de forma centralizada no padrão “DNF” com semântica definida em uma Ontologia. Portanto, clientes de nuvens podem criar “Federações de Políticas de Autorização (APFs)” e associar suas contas em cada provedor a estas federações. Desta forma, regras de autorização globais, definidas e gerenciadas pela APF, passam a valer em todas as contas que fazem parte da federação, garantindo uma experiência homogênea de acesso. Um protótipo do sistema, composto de um Ponto de Administração de Políticas (PAP) centralizado e mecanismos de tradução e sincronismo de políticas, foi implementado para nuvens OpenStack e Amazon Web Services (AWS). Uma ontologia também foi definida baseada no controle de acesso destas tecnologias. A métrica “nível de equivalência semântica (LSE)” foi definida para calcular o percentual de regras de uma política que pode ser traduzido para termos de uma ontologia. Na validação da solução, políticas de autorização baseadas em exemplos fornecidos por OpenStack e AWS foram convertidos para regras globais, baseadas na ontologia, e vice-versa, com nível de equivalência semântica superior a 80%.
Identifer | oai:union.ndltd.org:IBICT/oai:repositorio.ufpe.br:123456789/22436 |
Date | 11 August 2016 |
Creators | SETTE, Ioram Schechtman |
Contributors | http://lattes.cnpq.br/7716805104151473, FERRAZ, Carlos André Guimarães, CHADWICK, David Walter |
Publisher | Universidade Federal de Pernambuco, Programa de Pos Graduacao em Ciencia da Computacao, UFPE, Brasil |
Source Sets | IBICT Brazilian ETDs |
Language | English |
Detected Language | Portuguese |
Type | info:eu-repo/semantics/publishedVersion, info:eu-repo/semantics/doctoralThesis |
Source | reponame:Repositório Institucional da UFPE, instname:Universidade Federal de Pernambuco, instacron:UFPE |
Rights | Attribution-NonCommercial-NoDerivs 3.0 Brazil, http://creativecommons.org/licenses/by-nc-nd/3.0/br/, info:eu-repo/semantics/openAccess |
Page generated in 0.0014 seconds