Um Serviço de Autorização Java EE Baseado em Certificados de Atributos X.509 Stefan Neusatz Guilhen Prof. Dr. Francisco Carlos da Rocha Reverbel Departamento de Ciência da Computação – Instituto de Matemática e Estatística da Universidade de São Paulo IME-USP
Programação Introdução IGP: evolução da ICP Propagação de credenciais Infra-estrutura de segurança do JBoss Projeto implementado Trabalhos relacionados Conclusões e trabalho futuro IME-USP
Introdução JEE: especificações não estabelecem como mapear papéis e usuários. Servidores não permitem que os clientes forneçam seus próprios papéis. Restritivo: obriga a manutenção de repositórios de papéis. Serviço mais completo exige garantias adicionais de integridade e origem. IME-USP
IGP: evolução da ICP Extensões da ICP permitiram inclusão de informações de autorização nos CCPs. Problemas: conhecimento e validade. IGP apresentou o Certificado de Atributos como solução. Promove a separação do gerenciamento da chave pública e dos privilégios. IME-USP
Propagação de credenciais Modelo Pull IME-USP
Propagação de credenciais Modelo Push IME-USP
JBoss Security Extension IME-USP
JBoss Security Extension Implementação padrão baseada em JAAS. Módulos de autenticação intercambiáveis Autenticação e extração de papéis realizadas pelo mesmo componente. Suporte a arquivos de propriedades, bancos de dados e serviços de diretórios. IME-USP
Implementação – modelo pull Adição de novo módulo JAAS. Não requer alterações na infra-estrutura já existente. Capaz de autenticar o cliente em um repositório configurável. Implementação de mecanismos de validação de integridade. IME-USP
Implementação – modelo pull IME-USP
Implementação – modelo push Alterações na infra-estrutura de segurança do servidor. Client-side JAAS. Mecanismo de invocação. Requer que autenticação seja realizada por outro módulo. Implementação de verificadores de revogação. IME-USP
Implementação – modelo push IME-USP
Verificadores de revogação Módulos de verificação independentes e intercambiáveis. Disponíveis para ambos os modelos. X509NoRevAvailHandler. X509CRLRevocationHandler. X509OCSPRevocationHandler. IME-USP
Trabalhos relacionados Akenti - gerenciamento distribuído da política de controle de acesso. Permis – controle de acesso baseado em X509 ACs e serviços de diretório. SPKI – modelo simplificado de PKI baseado no conceito de localidade. SAML/XACML – SSO e políticas de controle de acesso em XML. IME-USP
Conclusões e trabalho futuro Flexibilidade na escolha do modelo de propagação a ser utilizado. Impacto mínimo de desempenho com cache de segurança habilitado. Estudo de mecanismo para passagem de X509 ACs por HTTP. Inclusão do serviço desenvolvido na distribuição do JBoss. IME-USP
Q & A Contato: sneusatz@ime.usp.br IME-USP