![Page 1: IME-USP1 Um Serviço de Autorização Java EE Baseado em Certificados de Atributos X.509 Stefan Neusatz Guilhen Prof. Dr. Francisco Carlos da Rocha Reverbel](https://reader036.vdocuments.mx/reader036/viewer/2022062512/552fc0f8497959413d8b52de/html5/thumbnails/1.jpg)
IME-USP 1
Um Serviço de Autorização Java EE Baseado em Certificadosde Atributos X.509
Stefan Neusatz GuilhenProf. Dr. Francisco Carlos da Rocha Reverbel
Departamento de Ciência da Computação – Instituto deMatemática e Estatística da Universidade de São Paulo
![Page 2: IME-USP1 Um Serviço de Autorização Java EE Baseado em Certificados de Atributos X.509 Stefan Neusatz Guilhen Prof. Dr. Francisco Carlos da Rocha Reverbel](https://reader036.vdocuments.mx/reader036/viewer/2022062512/552fc0f8497959413d8b52de/html5/thumbnails/2.jpg)
IME-USP 2
Programação
Introdução IGP: evolução da ICP Propagação de credenciais Infra-estrutura de segurança do JBoss Projeto implementado Trabalhos relacionados Conclusões e trabalho futuro
![Page 3: IME-USP1 Um Serviço de Autorização Java EE Baseado em Certificados de Atributos X.509 Stefan Neusatz Guilhen Prof. Dr. Francisco Carlos da Rocha Reverbel](https://reader036.vdocuments.mx/reader036/viewer/2022062512/552fc0f8497959413d8b52de/html5/thumbnails/3.jpg)
IME-USP 3
Introdução
JEE: especificações não estabelecem como mapear papéis e usuários.
Servidores não permitem que os clientes forneçam seus próprios papéis. Restritivo: obriga a manutenção de
repositórios de papéis. Serviço mais completo exige garantias
adicionais de integridade e origem.
![Page 4: IME-USP1 Um Serviço de Autorização Java EE Baseado em Certificados de Atributos X.509 Stefan Neusatz Guilhen Prof. Dr. Francisco Carlos da Rocha Reverbel](https://reader036.vdocuments.mx/reader036/viewer/2022062512/552fc0f8497959413d8b52de/html5/thumbnails/4.jpg)
IME-USP 4
IGP: evolução da ICP
Extensões da ICP permitiram inclusão de informações de autorização nos CCPs.
Problemas: conhecimento e validade. IGP apresentou o Certificado de
Atributos como solução. Promove a separação do gerenciamento
da chave pública e dos privilégios.
![Page 5: IME-USP1 Um Serviço de Autorização Java EE Baseado em Certificados de Atributos X.509 Stefan Neusatz Guilhen Prof. Dr. Francisco Carlos da Rocha Reverbel](https://reader036.vdocuments.mx/reader036/viewer/2022062512/552fc0f8497959413d8b52de/html5/thumbnails/5.jpg)
IME-USP 5
Propagação de credenciais
Modelo Pull
![Page 6: IME-USP1 Um Serviço de Autorização Java EE Baseado em Certificados de Atributos X.509 Stefan Neusatz Guilhen Prof. Dr. Francisco Carlos da Rocha Reverbel](https://reader036.vdocuments.mx/reader036/viewer/2022062512/552fc0f8497959413d8b52de/html5/thumbnails/6.jpg)
IME-USP 6
Propagação de credenciais
Modelo Push
![Page 7: IME-USP1 Um Serviço de Autorização Java EE Baseado em Certificados de Atributos X.509 Stefan Neusatz Guilhen Prof. Dr. Francisco Carlos da Rocha Reverbel](https://reader036.vdocuments.mx/reader036/viewer/2022062512/552fc0f8497959413d8b52de/html5/thumbnails/7.jpg)
IME-USP 7
JBoss Security Extension
![Page 8: IME-USP1 Um Serviço de Autorização Java EE Baseado em Certificados de Atributos X.509 Stefan Neusatz Guilhen Prof. Dr. Francisco Carlos da Rocha Reverbel](https://reader036.vdocuments.mx/reader036/viewer/2022062512/552fc0f8497959413d8b52de/html5/thumbnails/8.jpg)
IME-USP 8
JBoss Security Extension
Implementação padrão baseada em JAAS.
Módulos de autenticação intercambiáveis Autenticação e extração de papéis
realizadas pelo mesmo componente. Suporte a arquivos de propriedades,
bancos de dados e serviços de diretórios.
![Page 9: IME-USP1 Um Serviço de Autorização Java EE Baseado em Certificados de Atributos X.509 Stefan Neusatz Guilhen Prof. Dr. Francisco Carlos da Rocha Reverbel](https://reader036.vdocuments.mx/reader036/viewer/2022062512/552fc0f8497959413d8b52de/html5/thumbnails/9.jpg)
IME-USP 9
Implementação – modelo pull
Adição de novo módulo JAAS. Não requer alterações na infra-estrutura
já existente. Capaz de autenticar o cliente em um
repositório configurável. Implementação de mecanismos de
validação de integridade.
![Page 10: IME-USP1 Um Serviço de Autorização Java EE Baseado em Certificados de Atributos X.509 Stefan Neusatz Guilhen Prof. Dr. Francisco Carlos da Rocha Reverbel](https://reader036.vdocuments.mx/reader036/viewer/2022062512/552fc0f8497959413d8b52de/html5/thumbnails/10.jpg)
IME-USP 10
Implementação – modelo pull
![Page 11: IME-USP1 Um Serviço de Autorização Java EE Baseado em Certificados de Atributos X.509 Stefan Neusatz Guilhen Prof. Dr. Francisco Carlos da Rocha Reverbel](https://reader036.vdocuments.mx/reader036/viewer/2022062512/552fc0f8497959413d8b52de/html5/thumbnails/11.jpg)
IME-USP 11
Implementação – modelo push
Alterações na infra-estrutura de segurança do servidor. Client-side JAAS. Mecanismo de invocação.
Requer que autenticação seja realizada por outro módulo.
Implementação de verificadores de revogação.
![Page 12: IME-USP1 Um Serviço de Autorização Java EE Baseado em Certificados de Atributos X.509 Stefan Neusatz Guilhen Prof. Dr. Francisco Carlos da Rocha Reverbel](https://reader036.vdocuments.mx/reader036/viewer/2022062512/552fc0f8497959413d8b52de/html5/thumbnails/12.jpg)
IME-USP 12
Implementação – modelo push
![Page 13: IME-USP1 Um Serviço de Autorização Java EE Baseado em Certificados de Atributos X.509 Stefan Neusatz Guilhen Prof. Dr. Francisco Carlos da Rocha Reverbel](https://reader036.vdocuments.mx/reader036/viewer/2022062512/552fc0f8497959413d8b52de/html5/thumbnails/13.jpg)
IME-USP 13
Verificadores de revogação
Módulos de verificação independentes e intercambiáveis.
Disponíveis para ambos os modelos. X509NoRevAvailHandler. X509CRLRevocationHandler. X509OCSPRevocationHandler.
![Page 14: IME-USP1 Um Serviço de Autorização Java EE Baseado em Certificados de Atributos X.509 Stefan Neusatz Guilhen Prof. Dr. Francisco Carlos da Rocha Reverbel](https://reader036.vdocuments.mx/reader036/viewer/2022062512/552fc0f8497959413d8b52de/html5/thumbnails/14.jpg)
IME-USP 14
Trabalhos relacionados
Akenti - gerenciamento distribuído da política de controle de acesso.
Permis – controle de acesso baseado em X509 ACs e serviços de diretório.
SPKI – modelo simplificado de PKI baseado no conceito de localidade.
SAML/XACML – SSO e políticas de controle de acesso em XML.
![Page 15: IME-USP1 Um Serviço de Autorização Java EE Baseado em Certificados de Atributos X.509 Stefan Neusatz Guilhen Prof. Dr. Francisco Carlos da Rocha Reverbel](https://reader036.vdocuments.mx/reader036/viewer/2022062512/552fc0f8497959413d8b52de/html5/thumbnails/15.jpg)
IME-USP 15
Conclusões e trabalho futuro
Flexibilidade na escolha do modelo de propagação a ser utilizado.
Impacto mínimo de desempenho com cache de segurança habilitado.
Estudo de mecanismo para passagem de X509 ACs por HTTP.
Inclusão do serviço desenvolvido na distribuição do JBoss.