Uma Arquitetura de Segurança para Mecanismos de Controle de Acesso Baseados em Serviços Web
Resumo
Ao analisar esforços para aperfeiçoamento dos mecanismos de controle de acesso, nota-se a adoção da tecnologia de serviços Web para garantir interoperabilidade entre domínios tecnológicos heterogêneos. No entanto, não são relatadas preocupações quanto à confidencialidade das requisições e autorizações que trafegam pelo canal de comunicação. Este artigo propõe uma arquitetura de segurança que determina como as mensagens devem ser formadas, transportadas e processadas, de modo a inibir ataques contra a confidencialidade da informação gerenciada. Apresenta-se uma prova de conceitos com o desenvolvimento de um protótipo, com base nas especificações WS-Security, WS-BPEL e WS-Policy, ambiente de testes e viabilidade de uso.
Referências
Bertino, E., Martino, L., Paci, F., and Squicciarini, A. (2010). Security for Web Services and Service-Oriented Architectures. Springer Publishing Company, Incorporated.
Bertino, E., Thuraisingham, B., Gertz, M., and Damiani, M. L. (2008). Security and privacy for geospatial data: concepts and research directions. In SPRINGL ’08: Proceedings of the SIGSPATIAL ACM GIS 2008 International Workshop on Security and Privacy in GIS and LBS, pages 6–19, New York, NY, USA. ACM.
Camy, A., Westphall, C., and Righi, R. (2005). Aplicação do modelo uconabc em sistemas de comércio eletrônico b2b. 5th Brazilian Symposium on Information Security and Computing Systems (SBSeg).
Champion, M., Haas, D. H. C. H., and Booth, D. (2004). Web services architecture working group. Disponível em: http://www.w3.org/2002/ws/arch/.
da Silva Böger, D., Wangham, M. S., and da Silva Fraga, J. (2007). Implementação de um modelo de transposição de autenticação para serviços web. VII Simpósio Brasileiro em Segurança da Informação e de Sistemas Computacionais VII SBSeg.
da Silva Böger, D., Wangham, M. S., Fraga, J., and Mafra, P. (2008). Um modelo de composição de políticas de qualidade de proteção para serviços web compostos. VIII Simpósio Brasileiro em Segurança da Informação e de Sistemas Computacionais VIII SBSeg.
Dürbeck, S., Fritsch, C., Pernul, G., and Schillinger, R. (2010). A semantic security architecture for web services the access-egov solution. In Proc. of the 5th International Conference on Availability, Reliability and Security (ARES 2010). IEEE Computer Society, Krakow, Poland.
Gajek, S., Jensen, M., Liao, L., and Schwenk, J. (2009). Analysis of signature wrapping attacks and countermeasures. In Web Services, 2009. ICWS 2009. IEEE International Conference on, pages 575–582.
Gruschka, N. and Iacono, L. L. (2009). Vulnerable cloud: Soap message security validation revisited. In ICWS, pages 625–631.
Han, R.-F., Wang, H.-X., Xiao, Q., Jing, X.-P., and Li, H. (2009). A united access control model for systems in collaborative commerce. Journal of Networks, 4(4):279–289.
Lazouski, A., Martinelli, F., and Mori, P. (2010). Usage control in computer security: A survey. Computer Science Review, 4(2):81 – 99.
Lohn, J. R. and Wangham, M. S. (2009). Desenvolvimento de uma infra-estrutura para composição dinâmica e segura de serviços web. IX Simpósio Brasileiro em Segurança da Informação e de Sistemas computacionais IX SBSeg.
Macedo, R., Nunes, R., and Bandeira, J. (2010). Modelo de controle de acesso baseado em expressões contextuais. Conferência Latino Americana de Informática CLEI.
Nadalin, A., Goodner, M., Gudgin, M., Barbir, A., Granqvist, H., and eds. (2005). Wstrust 1.3 oasis standard (oasis). Disponível em: [link] acessado em 01 de Julho de 2010.
Nadalin, A., Kaler, C., Hallam-Baker, P., Monzillo, R., and eds. (2006). Web services security: Soap message security 1.0 (ws-security, 2004) errata in 2006 (oasis standard). Disponível em: [link]. acessado em 01 de Julho de 2010.
Ravi, Edward, Hal, and Charles (1996). Role-Based Access Control Models, volume 29. IEEE Press.
Soares, G., Nunes, R., and Amaral, E. (2006). Um modelo de controle de acesso baseado em contexto para autorizações a informações médicas. Conferência Latino Americana de Informática CLEI.
Thomas, R. and Sandhu, R. (1997). Task-based authentication control (tbac): A family of models for active an enterprise-oriented authentication management. IFIP 97, pp. 11-13.
Winsborough, W. H., Seamons, K. E., and Jones, V. E. (2000). Automated trust negotiation. Proceedings of 2000 DARPA Information Survivability Conference and Exposition. IEEE press, pp. 88-102.
Yuan, E. and Tong, J. (2005). Attributed based access control (abac) for web services. ICWS 05.
Bertino, E., Thuraisingham, B., Gertz, M., and Damiani, M. L. (2008). Security and privacy for geospatial data: concepts and research directions. In SPRINGL ’08: Proceedings of the SIGSPATIAL ACM GIS 2008 International Workshop on Security and Privacy in GIS and LBS, pages 6–19, New York, NY, USA. ACM.
Camy, A., Westphall, C., and Righi, R. (2005). Aplicação do modelo uconabc em sistemas de comércio eletrônico b2b. 5th Brazilian Symposium on Information Security and Computing Systems (SBSeg).
Champion, M., Haas, D. H. C. H., and Booth, D. (2004). Web services architecture working group. Disponível em: http://www.w3.org/2002/ws/arch/.
da Silva Böger, D., Wangham, M. S., and da Silva Fraga, J. (2007). Implementação de um modelo de transposição de autenticação para serviços web. VII Simpósio Brasileiro em Segurança da Informação e de Sistemas Computacionais VII SBSeg.
da Silva Böger, D., Wangham, M. S., Fraga, J., and Mafra, P. (2008). Um modelo de composição de políticas de qualidade de proteção para serviços web compostos. VIII Simpósio Brasileiro em Segurança da Informação e de Sistemas Computacionais VIII SBSeg.
Dürbeck, S., Fritsch, C., Pernul, G., and Schillinger, R. (2010). A semantic security architecture for web services the access-egov solution. In Proc. of the 5th International Conference on Availability, Reliability and Security (ARES 2010). IEEE Computer Society, Krakow, Poland.
Gajek, S., Jensen, M., Liao, L., and Schwenk, J. (2009). Analysis of signature wrapping attacks and countermeasures. In Web Services, 2009. ICWS 2009. IEEE International Conference on, pages 575–582.
Gruschka, N. and Iacono, L. L. (2009). Vulnerable cloud: Soap message security validation revisited. In ICWS, pages 625–631.
Han, R.-F., Wang, H.-X., Xiao, Q., Jing, X.-P., and Li, H. (2009). A united access control model for systems in collaborative commerce. Journal of Networks, 4(4):279–289.
Lazouski, A., Martinelli, F., and Mori, P. (2010). Usage control in computer security: A survey. Computer Science Review, 4(2):81 – 99.
Lohn, J. R. and Wangham, M. S. (2009). Desenvolvimento de uma infra-estrutura para composição dinâmica e segura de serviços web. IX Simpósio Brasileiro em Segurança da Informação e de Sistemas computacionais IX SBSeg.
Macedo, R., Nunes, R., and Bandeira, J. (2010). Modelo de controle de acesso baseado em expressões contextuais. Conferência Latino Americana de Informática CLEI.
Nadalin, A., Goodner, M., Gudgin, M., Barbir, A., Granqvist, H., and eds. (2005). Wstrust 1.3 oasis standard (oasis). Disponível em: [link] acessado em 01 de Julho de 2010.
Nadalin, A., Kaler, C., Hallam-Baker, P., Monzillo, R., and eds. (2006). Web services security: Soap message security 1.0 (ws-security, 2004) errata in 2006 (oasis standard). Disponível em: [link]. acessado em 01 de Julho de 2010.
Ravi, Edward, Hal, and Charles (1996). Role-Based Access Control Models, volume 29. IEEE Press.
Soares, G., Nunes, R., and Amaral, E. (2006). Um modelo de controle de acesso baseado em contexto para autorizações a informações médicas. Conferência Latino Americana de Informática CLEI.
Thomas, R. and Sandhu, R. (1997). Task-based authentication control (tbac): A family of models for active an enterprise-oriented authentication management. IFIP 97, pp. 11-13.
Winsborough, W. H., Seamons, K. E., and Jones, V. E. (2000). Automated trust negotiation. Proceedings of 2000 DARPA Information Survivability Conference and Exposition. IEEE press, pp. 88-102.
Yuan, E. and Tong, J. (2005). Attributed based access control (abac) for web services. ICWS 05.
Publicado
11/10/2010
Como Citar
MACEDO, Ricardo T.; MOZZAQUATRO, Bruno A.; BIAZUS NETO, Luiz D.; NUNES, Raul C..
Uma Arquitetura de Segurança para Mecanismos de Controle de Acesso Baseados em Serviços Web. In: SIMPÓSIO BRASILEIRO DE SEGURANÇA DA INFORMAÇÃO E DE SISTEMAS COMPUTACIONAIS (SBSEG), 10. , 2010, Fortaleza.
Anais [...].
Porto Alegre: Sociedade Brasileira de Computação,
2010
.
p. 381-394.
DOI: https://doi.org/10.5753/sbseg.2010.20601.
