IME-USP 1
Um Serviço de Autorização Java EE Baseado em Certificadosde Atributos X.509
Stefan Neusatz GuilhenProf. Dr. Francisco Carlos da Rocha Reverbel
Departamento de Ciência da Computação – Instituto deMatemática e Estatística da Universidade de São Paulo
IME-USP 2
Programação
Introdução IGP: evolução da ICP Propagação de credenciais Infra-estrutura de segurança do JBoss Projeto implementado Trabalhos relacionados Conclusões e trabalho futuro
IME-USP 3
Introdução
JEE: especificações não estabelecem como mapear papéis e usuários.
Servidores não permitem que os clientes forneçam seus próprios papéis. Restritivo: obriga a manutenção de
repositórios de papéis. Serviço mais completo exige garantias
adicionais de integridade e origem.
IME-USP 4
IGP: evolução da ICP
Extensões da ICP permitiram inclusão de informações de autorização nos CCPs.
Problemas: conhecimento e validade. IGP apresentou o Certificado de
Atributos como solução. Promove a separação do gerenciamento
da chave pública e dos privilégios.
IME-USP 5
Propagação de credenciais
Modelo Pull
IME-USP 6
Propagação de credenciais
Modelo Push
IME-USP 7
JBoss Security Extension
IME-USP 8
JBoss Security Extension
Implementação padrão baseada em JAAS.
Módulos de autenticação intercambiáveis Autenticação e extração de papéis
realizadas pelo mesmo componente. Suporte a arquivos de propriedades,
bancos de dados e serviços de diretórios.
IME-USP 9
Implementação – modelo pull
Adição de novo módulo JAAS. Não requer alterações na infra-estrutura
já existente. Capaz de autenticar o cliente em um
repositório configurável. Implementação de mecanismos de
validação de integridade.
IME-USP 10
Implementação – modelo pull
IME-USP 11
Implementação – modelo push
Alterações na infra-estrutura de segurança do servidor. Client-side JAAS. Mecanismo de invocação.
Requer que autenticação seja realizada por outro módulo.
Implementação de verificadores de revogação.
IME-USP 12
Implementação – modelo push
IME-USP 13
Verificadores de revogação
Módulos de verificação independentes e intercambiáveis.
Disponíveis para ambos os modelos. X509NoRevAvailHandler. X509CRLRevocationHandler. X509OCSPRevocationHandler.
IME-USP 14
Trabalhos relacionados
Akenti - gerenciamento distribuído da política de controle de acesso.
Permis – controle de acesso baseado em X509 ACs e serviços de diretório.
SPKI – modelo simplificado de PKI baseado no conceito de localidade.
SAML/XACML – SSO e políticas de controle de acesso em XML.
IME-USP 15
Conclusões e trabalho futuro
Flexibilidade na escolha do modelo de propagação a ser utilizado.
Impacto mínimo de desempenho com cache de segurança habilitado.
Estudo de mecanismo para passagem de X509 ACs por HTTP.
Inclusão do serviço desenvolvido na distribuição do JBoss.
Top Related