IME-USP 1

Um Serviço de Autorização Java EE Baseado em Certificadosde Atributos X.509

Stefan Neusatz GuilhenProf. Dr. Francisco Carlos da Rocha Reverbel

Departamento de Ciência da Computação – Instituto deMatemática e Estatística da Universidade de São Paulo

IME-USP 2

Programação

Introdução IGP: evolução da ICP Propagação de credenciais Infra-estrutura de segurança do JBoss Projeto implementado Trabalhos relacionados Conclusões e trabalho futuro

IME-USP 3

Introdução

JEE: especificações não estabelecem como mapear papéis e usuários.

Servidores não permitem que os clientes forneçam seus próprios papéis. Restritivo: obriga a manutenção de

repositórios de papéis. Serviço mais completo exige garantias

adicionais de integridade e origem.

IME-USP 4

IGP: evolução da ICP

Extensões da ICP permitiram inclusão de informações de autorização nos CCPs.

Problemas: conhecimento e validade. IGP apresentou o Certificado de

Atributos como solução. Promove a separação do gerenciamento

da chave pública e dos privilégios.

IME-USP 5

Propagação de credenciais

Modelo Pull

IME-USP 6

Propagação de credenciais

Modelo Push

IME-USP 7

JBoss Security Extension

IME-USP 8

JBoss Security Extension

Implementação padrão baseada em JAAS.

Módulos de autenticação intercambiáveis Autenticação e extração de papéis

realizadas pelo mesmo componente. Suporte a arquivos de propriedades,

bancos de dados e serviços de diretórios.

IME-USP 9

Implementação – modelo pull

Adição de novo módulo JAAS. Não requer alterações na infra-estrutura

já existente. Capaz de autenticar o cliente em um

repositório configurável. Implementação de mecanismos de

validação de integridade.

IME-USP 10

Implementação – modelo pull

IME-USP 11

Implementação – modelo push

Alterações na infra-estrutura de segurança do servidor. Client-side JAAS. Mecanismo de invocação.

Requer que autenticação seja realizada por outro módulo.

Implementação de verificadores de revogação.

IME-USP 12

Implementação – modelo push

IME-USP 13

Verificadores de revogação

Módulos de verificação independentes e intercambiáveis.

Disponíveis para ambos os modelos. X509NoRevAvailHandler. X509CRLRevocationHandler. X509OCSPRevocationHandler.

IME-USP 14

Trabalhos relacionados

Akenti - gerenciamento distribuído da política de controle de acesso.

Permis – controle de acesso baseado em X509 ACs e serviços de diretório.

SPKI – modelo simplificado de PKI baseado no conceito de localidade.

SAML/XACML – SSO e políticas de controle de acesso em XML.

IME-USP 15

Conclusões e trabalho futuro

Flexibilidade na escolha do modelo de propagação a ser utilizado.

Impacto mínimo de desempenho com cache de segurança habilitado.

Estudo de mecanismo para passagem de X509 ACs por HTTP.

Inclusão do serviço desenvolvido na distribuição do JBoss.

IME-USP 16

Q & A

Contato: sneusatz@ime.usp.br