Sistemas Distribuı́dos: Conceitos e Projeto
Controle de Acesso
Francisco José da Silva e Silva
Laboratório de Sistemas Distribuı́dos (LSD)
Departamento de Informática / UFMA
http://www.lsd.ufma.br
4 de julho de 2013
Francisco Silva (UFMA/LSD)
SD: Princı́pios e Algoritmos
4 de julho de 2013
1 / 22
Introdução
Uma vez estabelecido um canal seguro de comunicação, um cliente
pode enviar uma requisição ao servidor, o que normalmente envolve
uma chamada a um método especı́fico de um objeto;
A requisição somente deve ser atendida caso o cliente possua o direito
de realizar esta invocação;
Formalmente, a verificação do direito de acesso é chamado controle
de acesso enquanto autorização refere-se à atribuição dos direitos
de acesso;
O controle de acesso envolve sujeitos que solicitam requisições a um
objeto;
Um monitor de referências armazena o que cada sujeito tem direito
de realizar e decide se a um dado sujeito é permitido realizar uma
dada operação.
Francisco Silva (UFMA/LSD)
SD: Princı́pios e Algoritmos
4 de julho de 2013
2 / 22
Modelo Geral para Controle de Acesso a Objetos
Francisco Silva (UFMA/LSD)
SD: Princı́pios e Algoritmos
4 de julho de 2013
3 / 22
Matriz de Controle de Acessos
Uma abordagem comum para modelar os direitos de acesso de
sujeitos a objetos é através da matriz de controle de acessos;
Cada sujeito é representado por uma linha na matriz e cada objeto
por uma coluna. Uma entrada M[s, o] lista as operações que o sujeito
s pode realizar sobre o objeto o;
A matriz de controle de acessos não é implementada como uma
matriz, já que tipicamente ela é esparsa. Normalmente uma das
seguintes implementações é utilizada:
1
2
Lista de Controle de Acesso (ACL): cada objeto mantêm uma lista
de direitos de acesso dos sujeitos que podem acessá-lo;
Capacidades: define o que um sujeito pode realizar em um dado
objeto. O portador da capacidade possui os direitos de acesso
especificados na capacidade.
Francisco Silva (UFMA/LSD)
SD: Princı́pios e Algoritmos
4 de julho de 2013
4 / 22
ACLs e Capacidades
Figura: (a):ACL (b):Capacidades
Francisco Silva (UFMA/LSD)
SD: Princı́pios e Algoritmos
4 de julho de 2013
5 / 22
Domı́nios de Proteção
Tanto listas de controle de acesso quanto listas de capacidades
podem se tornar muito grandes;
Uma alternativa para a redução de ACLs é o uso de domı́nios de
proteção;
Um domı́nio de proteção é um conjunto de pares (objeto, direitos
de acesso);
Cada requisição é emitida no contexto de um dado domı́nio;
Existem diversas abordagens para o uso de domı́nios de proteção.
Uma delas é construir grupos de usuários. Os grupos podem ser mais
flexı́veis caso possam ser hierárquicos;
Toda vez que um usuário solicita o acesso a um objeto, o monitor de
referência deve verificar a que grupo o usuário pertence e depois
verificar a ACL deste grupo.
Francisco Silva (UFMA/LSD)
SD: Princı́pios e Algoritmos
4 de julho de 2013
6 / 22
Domı́nios de Proteção
Francisco Silva (UFMA/LSD)
SD: Princı́pios e Algoritmos
4 de julho de 2013
7 / 22
Domı́nios de Proteção
Domı́nios de proteção podem ainda ser implementados como papéis;
Neste caso, o usuário se registra no sistema com um papel especı́fico
que é normalmente associado à função que o usuário exerce na
organização;
Deve ser possı́vel a um usuário trocar de papel caso seja necessário.
Francisco Silva (UFMA/LSD)
SD: Princı́pios e Algoritmos
4 de julho de 2013
8 / 22
Agrupamento Hierárquico de Objetos
Uma alternativa ao uso de domı́nios de proteção é através do
agrupamento hierárquico de objetos baseado nas operações que eles
provêem, possivelmente utilizando um mecanismo de herança;
Quando um sujeito realizar uma requisição a um objeto, o monitor de
referências verifica a qual interface a operação solicitada pertence (ao
invés de procurar pelo objeto especı́fico) e se o sujeito possui o direito
de realizar uma chamada a uma operação desta interface.
Francisco Silva (UFMA/LSD)
SD: Princı́pios e Algoritmos
4 de julho de 2013
9 / 22
Gerenciamento de Autorização
Em sistemas centralizados, o gerenciamento de direitos de acesso é
facilitado pelo fato de todos os direitos de um novo usuário serem
relativos à máquina local, podendo os mesmos serem especificados
pelo administrador do sistema;
Em um sistema distribuı́do, os recursos estão espalhados em várias
máquinas e se a mesma abordagem fosse utilizada seria necessário
criar uma conta para cada usuário em todas as máquinas;
Esta questão pode ser simplificada através da criação de uma única
conta em um servidor central que deve ser consultado toda vez que
um usuário acessa recursos ou máquinas.
Francisco Silva (UFMA/LSD)
SD: Princı́pios e Algoritmos
4 de julho de 2013
10 / 22
Capacidades e Certificados de Atributos
Uma outra abordagem largamente empregada em sistemas
distribuı́dos é o uso de capacidades;
Uma capacidade é uma estrutura de dados para um recurso especı́fico
que especifica os direitos de acesso de seu portador sobre o mesmo;
Existem diferentes implementações de capacidades.
Francisco Silva (UFMA/LSD)
SD: Princı́pios e Algoritmos
4 de julho de 2013
11 / 22
Capacidade em Amoeba
Server port corresponde a um identificador do objeto servidor do
recurso que é independente de máquina;
Object identifica o objeto no dado servidor. Os 72 bits relativos ao
server port e object formam o identificador único de cada objeto
Amoeba;
Rights especificam os direitos de acesso do portador;
Check é utilizado para tornar a capacidade inesquecı́vel,
como explicado a seguir.
Francisco Silva (UFMA/LSD)
SD: Princı́pios e Algoritmos
4 de julho de 2013
12 / 22
Tornando a Capacidade Inesquecı́vel
Quando um objeto é criado, o servidor escolhe um valor aleatório
denominado check e o armazena tanto na capacidade quanto em suas
tabelas internas;
Em uma nova capacidade, todos os bits dos direitos de acesso estão
marcados como 1 e isto corresponde aos direitos do proprietário. Esta
capacidade é retornada ao cliente;
Para criar uma capacidade restrita, o cliente devolve a capacidade ao
servidor juntamente com uma máscara de bits contendo os novos
direitos;
O servidor recupera o check de suas tabelas, realiza um XOR do
mesmo com os novos direitos e executa uma função one-way ;
O servidor então cria a nova capacidade colocando os bits de direito
enviados pelo cliente e o resultado da função no campo
check, retornando-a ao cliente.
Francisco Silva (UFMA/LSD)
SD: Princı́pios e Algoritmos
4 de julho de 2013
13 / 22
Geração de capacide restrita no Amoeba
Francisco Silva (UFMA/LSD)
SD: Princı́pios e Algoritmos
4 de julho de 2013
14 / 22
Geração de capacide restrita no Amoeba
Quando o servidor receber de volta a capacidade restrita, ele
verificará através do campo de direitos que se trata de uma
capacidade restrita, realizará um XOR do check orginal (resgatado de
suas tabelas) com o campo de direito da capacidade e aplicará a
função one-way no valor resultante para verificar se o resultado da
função é o mesmo do campo check constante da capacidade;
Caso o usuário tente modificar o campo de direito da capacidade
(aumentando seus direitos), ele invalidará a capacidade, dado que o
resultado não casará.
Francisco Silva (UFMA/LSD)
SD: Princı́pios e Algoritmos
4 de julho de 2013
15 / 22
Certificado de Atributos
Uma generalização de capacidades são os certificados de atributos
que listam pares (atributo, valor) para uma dada entidade;
Eles podem ser utilizados para controlar os direitos que o portador
possui sobre o recurso identificado;
Assim como acontece com outros certificados, certificados de
atributos são controlados por autoridades certificadoras de
atributos.
Francisco Silva (UFMA/LSD)
SD: Princı́pios e Algoritmos
4 de julho de 2013
16 / 22
Delegação
Imagine a situação: um usuário solicita a um servidor de impressão
que um dado arquivo seja impresso às 2 da manhã passando o nome
do arquivo a ser impresso;
O servidor de impressão deve possuir direito de leitura sobre o arquivo;
O usuário deveria poder delegar temporariamente esse direito de
acesso ao arquivo;
Proxy no contexto de segurança é um token que permite ao portador
operar com os mesmos (ou restritos) direitos e privilégios que o
sujeito que concedeu o token.
Francisco Silva (UFMA/LSD)
SD: Princı́pios e Algoritmos
4 de julho de 2013
17 / 22
Delegação: Primeira Abordagem
Alice deseja delegar direitos a Bob;
Ela constrói um certificado dizendo ”Bob possui direito R”, como
[A, B, R]A ;
Se Bob desejar passar alguns de seus direitos à Charlie, ele solicita ao
mesmo que contate Alice solicitando um certificado apropriado;
Neste caso, Alice deve conhecer todos.
Francisco Silva (UFMA/LSD)
SD: Princı́pios e Algoritmos
4 de julho de 2013
18 / 22
Delegação: Abordagem de Neuman
Outra abordagem:
Alice constrói um certificado contendo “o portador deste certificado
possui direito R”;
Neste caso, deve-se proteger o certificado de cópia ilegal.
Francisco Silva (UFMA/LSD)
SD: Princı́pios e Algoritmos
4 de julho de 2013
19 / 22
Delegação: Abordagem de Neuman
O proxy possui duas partes: um certificado e uma parte secreta;
Seja A o processo que criou o proxy;
+
A primeira parte do certificado é o conjunto C = {R, Sproxy
},
consistindo do direito de acesso R delegado por A juntamente com a
parte pública de um segredo que é utilizado para autenticar o
portador do certificado, de acordo com o protocolo a seguir.
Francisco Silva (UFMA/LSD)
SD: Princı́pios e Algoritmos
4 de julho de 2013
20 / 22
Delegação: Abordagem de Neuman
Francisco Silva (UFMA/LSD)
SD: Princı́pios e Algoritmos
4 de julho de 2013
21 / 22
Delegação: Abordagem de Neuman
Alice e Bob compartilham uma chave secreta KA,B ;
+
Alice envia a Bob o certificado C = {R, Sproxy
}, assinado com
+
sig (A, C ), denotado por [R, Sproxy ]A . Esta mensagem não necessita
ser criptografada. Somente a parte secreta necessita de criptografia,
−
) na mensagem 1;
mostrada como KA,B (Sproxy
Bob envia sua credencial ao servidor na forma do certificado assinado
+
]A ;
[R, Sproxy
O servidor pode agora verificar que C não teve seus direitos de acesso
modificados já que foi assinado por Alice. No entanto, ele ainda não
sabe se Bob é o correto proprietário do certificado;
Para se assegurar disso, ele desafia Bob enviando N encriptado por
+
;
Sproxy
+
(N) e retornar N, Bob prova que ele
Ao decriptar Sproxy
conhece o segredo e é o legı́timo portador do certificado.
Francisco Silva (UFMA/LSD)
SD: Princı́pios e Algoritmos
4 de julho de 2013
22 / 22