NOVO MODELO PARA AUTORIZAÇÃO EM
FEDERAÇÕES DE IDENTIDADE PARA
COMPUTAÇÃO EM NUVEM
Paulo Fernando da Silva
Orientador – Prof. Dr. Carlos Becker Westphall
Programa de Pós-Graduação em Ciência da Computação (PPGCC)
Universidade Federal de Santa Catarina (UFSC)
Roteiro
•
•
•
•
•
Introdução
Objetivos
Revisão Bibliográfica
Contribuições Potenciais
Referências
Introdução
• Computação em nuvem (NIST):
– Acesso sob demanda
– Compartilhamento configurável
– Com o mínimo de interação
– Baixo investimento inicial
– Alta escalabilidade
– Alta disponibilidade
Introdução
• Desafios (CSA – Cloud Security Alliance):
– Políticas específicas por usuários
– Evitar acesso não autorizado
– Notificar mudanças de permissão
– Logs adequados de auditoria
– Prover mecanismos de responsabilização
Introdução
• Federações em nuvem:
– Grupo que compartilha recursos em uma
associação de confiança
• O processo de identificação em federações foi
discutido em Leandro, 2012
• Questões de autorização em federações
continuam “em aberto”
Introdução
• Padrões envolvidos no controle de acesso:
– XACML
– WS-Policy
– WS-SecurityPolicy
– SAML
– WS-Federation
• Não são específicos para o ambiente de
Federações
Objetivos
• Propor novo modelo de autorização para
ambientes de Federações em Nuvem:
– Estudar os principais padrões
– Identificar especificidades das Federações
– Propor novas funcionalidades
– Validar o modelo resultante
– Analisar os resultados objtidos
Revisão Bibliográfica
• LAKSHMINARAYANAN, 2011:
– Autorização entre diferentes aplicações
– Autorização entre diferentes perfis
– Propagação de privilégios
– Granularidade do controle de acesso
– Sugere solução com XACML
Revisão Bibliográfica
• (AMBERKER, 2012) e (WU, 2012):
– Grande quantidade de dados sensíveis
– Muito compartilhamento
– Controlar a granularidade do compartilhamento
– Sugerem solução com XACML e WS-Policy
Revisão Bibliográfica
• (NAZEMI, 2011):
– Autorização em arquiteturas SOA
– Funcionalidade específicas
• (PEREIRA, 2011):
– Autorização em arquiteturas HPC
– Funcionalidades específicas
Contribuições Potenciais
• Disseminação da nuvem computacional
• Incremento da confiança e transparência em
Federações de identidades
• Integração com padrões existentes
• Aprofundamento do estudo sobre Federações
em nuvem e autorização
•
•
•
•
•
•
•
•
•
Referências Bibliográficas
AMBERKER, B.B. PURUSHOTHAMA, B.R. Access control mechanisms for outsourced data in cloud.
Communication Systems and Networks (COMSNETS), 2012 Fourth International Conference on.
Digital Object Identifier: 10.1109/COMSNETS.2012, Page(s):1-2.
CLOUD SECURITY ALLIANCE. Domain 12: Guidance for Identity and Access Management V2.1. 2010.
LAKSHMINARAYANAN, S.. Authentication and authorization for Smart Grid application interfaces.
Power Systems Conference and Exposition (PSCE), 2011 IEEE/PES. Digital Object Identifier:
10.1109/PSCE.2011.5772596. 2011 , Page(s): 1 - 5.
LEANDRO, Marcos A. P., NASCIMENTO, Tiago J., SANTOS, Daniel R. dos, WESTPHALL, Carla M.,
WESTPHALL, Carlos B. Multi-Tenancy Authorization System with Federated Identity for Cloud-Based
Environments Using Shibboleth. IARIA - The Seventh International Conference on Systems. ICONS
2012.
NAZEMI, E;. ALIPOUR, H.S.; SABBARI, M. A policy based access control model for web services.
Internet Technology and Secured Transactions (IEEE-ICITST), 2011 International Conference for. 2011 ,
Page(s): 472 – 477.
PEREIRA, A.L.. RBAC for High Performance Computing Systems Integration in Grid Computing and
Cloud Computing. Parallel and Distributed Processing Workshops and Phd Forum (IPDPSW), 2011
IEEE International Symposium on. Digital Object Identifier: 10.1109/IPDPS.2011.237. 2011 , Page(s):
914 - 921.
THOMAS, I.; Meinel, C. An Attribute Assurance Framework to Define and Match Trust in Identity
Attributes. Web Services (ICWS), 2011 IEEE International Conference on Digital Object Identifier:
10.1109/ICWS.2011.80. 2011 , Page(s): 580 – 587.
WU, Junfeng Tian; Zhijie. A Trusted Control Model of Cloud Storage. Computer Distributed Control
and Intelligent Environmental Monitoring (CDCIEM), 2012 International Conference on. Digital Object
Identifier: 10.1109/CDCIEM.2012.25. 2012 , Page(s): 78 - 81.