Uma Arquitetura de Segurança para Mecanismos de Controle de Acesso Baseados em Serviços Web
Abstract
In examining efforts to improve the mechanisms for access control, there is the adoption of Web services technology to ensure interoperability across heterogeneous technology domains. However, there are reported concerns about the confidentiality of requests and authorizations that pass through the channel of communication. This paper proposes a security architecture that determines how messages should be formed, transported and processed in order to inhibit attacks on the confidentiality of information managed. It presents a proof of concept with the development of a prototype based on WS-Security, WS-BPEL and WS-Policy, environmental testing and feasibility of use.
References
Bertino, E., Martino, L., Paci, F., and Squicciarini, A. (2010). Security for Web Services and Service-Oriented Architectures. Springer Publishing Company, Incorporated.
Bertino, E., Thuraisingham, B., Gertz, M., and Damiani, M. L. (2008). Security and privacy for geospatial data: concepts and research directions. In SPRINGL ’08: Proceedings of the SIGSPATIAL ACM GIS 2008 International Workshop on Security and Privacy in GIS and LBS, pages 6–19, New York, NY, USA. ACM.
Camy, A., Westphall, C., and Righi, R. (2005). Aplicação do modelo uconabc em sistemas de comércio eletrônico b2b. 5th Brazilian Symposium on Information Security and Computing Systems (SBSeg).
Champion, M., Haas, D. H. C. H., and Booth, D. (2004). Web services architecture working group. Disponível em: http://www.w3.org/2002/ws/arch/.
da Silva Böger, D., Wangham, M. S., and da Silva Fraga, J. (2007). Implementação de um modelo de transposição de autenticação para serviços web. VII Simpósio Brasileiro em Segurança da Informação e de Sistemas Computacionais VII SBSeg.
da Silva Böger, D., Wangham, M. S., Fraga, J., and Mafra, P. (2008). Um modelo de composição de políticas de qualidade de proteção para serviços web compostos. VIII Simpósio Brasileiro em Segurança da Informação e de Sistemas Computacionais VIII SBSeg.
Dürbeck, S., Fritsch, C., Pernul, G., and Schillinger, R. (2010). A semantic security architecture for web services the access-egov solution. In Proc. of the 5th International Conference on Availability, Reliability and Security (ARES 2010). IEEE Computer Society, Krakow, Poland.
Gajek, S., Jensen, M., Liao, L., and Schwenk, J. (2009). Analysis of signature wrapping attacks and countermeasures. In Web Services, 2009. ICWS 2009. IEEE International Conference on, pages 575–582.
Gruschka, N. and Iacono, L. L. (2009). Vulnerable cloud: Soap message security validation revisited. In ICWS, pages 625–631.
Han, R.-F., Wang, H.-X., Xiao, Q., Jing, X.-P., and Li, H. (2009). A united access control model for systems in collaborative commerce. Journal of Networks, 4(4):279–289.
Lazouski, A., Martinelli, F., and Mori, P. (2010). Usage control in computer security: A survey. Computer Science Review, 4(2):81 – 99.
Lohn, J. R. and Wangham, M. S. (2009). Desenvolvimento de uma infra-estrutura para composição dinâmica e segura de serviços web. IX Simpósio Brasileiro em Segurança da Informação e de Sistemas computacionais IX SBSeg.
Macedo, R., Nunes, R., and Bandeira, J. (2010). Modelo de controle de acesso baseado em expressões contextuais. Conferência Latino Americana de Informática CLEI.
Nadalin, A., Goodner, M., Gudgin, M., Barbir, A., Granqvist, H., and eds. (2005). Wstrust 1.3 oasis standard (oasis). Disponível em: [link] acessado em 01 de Julho de 2010.
Nadalin, A., Kaler, C., Hallam-Baker, P., Monzillo, R., and eds. (2006). Web services security: Soap message security 1.0 (ws-security, 2004) errata in 2006 (oasis standard). Disponível em: [link]. acessado em 01 de Julho de 2010.
Ravi, Edward, Hal, and Charles (1996). Role-Based Access Control Models, volume 29. IEEE Press.
Soares, G., Nunes, R., and Amaral, E. (2006). Um modelo de controle de acesso baseado em contexto para autorizações a informações médicas. Conferência Latino Americana de Informática CLEI.
Thomas, R. and Sandhu, R. (1997). Task-based authentication control (tbac): A family of models for active an enterprise-oriented authentication management. IFIP 97, pp. 11-13.
Winsborough, W. H., Seamons, K. E., and Jones, V. E. (2000). Automated trust negotiation. Proceedings of 2000 DARPA Information Survivability Conference and Exposition. IEEE press, pp. 88-102.
Yuan, E. and Tong, J. (2005). Attributed based access control (abac) for web services. ICWS 05.
Bertino, E., Thuraisingham, B., Gertz, M., and Damiani, M. L. (2008). Security and privacy for geospatial data: concepts and research directions. In SPRINGL ’08: Proceedings of the SIGSPATIAL ACM GIS 2008 International Workshop on Security and Privacy in GIS and LBS, pages 6–19, New York, NY, USA. ACM.
Camy, A., Westphall, C., and Righi, R. (2005). Aplicação do modelo uconabc em sistemas de comércio eletrônico b2b. 5th Brazilian Symposium on Information Security and Computing Systems (SBSeg).
Champion, M., Haas, D. H. C. H., and Booth, D. (2004). Web services architecture working group. Disponível em: http://www.w3.org/2002/ws/arch/.
da Silva Böger, D., Wangham, M. S., and da Silva Fraga, J. (2007). Implementação de um modelo de transposição de autenticação para serviços web. VII Simpósio Brasileiro em Segurança da Informação e de Sistemas Computacionais VII SBSeg.
da Silva Böger, D., Wangham, M. S., Fraga, J., and Mafra, P. (2008). Um modelo de composição de políticas de qualidade de proteção para serviços web compostos. VIII Simpósio Brasileiro em Segurança da Informação e de Sistemas Computacionais VIII SBSeg.
Dürbeck, S., Fritsch, C., Pernul, G., and Schillinger, R. (2010). A semantic security architecture for web services the access-egov solution. In Proc. of the 5th International Conference on Availability, Reliability and Security (ARES 2010). IEEE Computer Society, Krakow, Poland.
Gajek, S., Jensen, M., Liao, L., and Schwenk, J. (2009). Analysis of signature wrapping attacks and countermeasures. In Web Services, 2009. ICWS 2009. IEEE International Conference on, pages 575–582.
Gruschka, N. and Iacono, L. L. (2009). Vulnerable cloud: Soap message security validation revisited. In ICWS, pages 625–631.
Han, R.-F., Wang, H.-X., Xiao, Q., Jing, X.-P., and Li, H. (2009). A united access control model for systems in collaborative commerce. Journal of Networks, 4(4):279–289.
Lazouski, A., Martinelli, F., and Mori, P. (2010). Usage control in computer security: A survey. Computer Science Review, 4(2):81 – 99.
Lohn, J. R. and Wangham, M. S. (2009). Desenvolvimento de uma infra-estrutura para composição dinâmica e segura de serviços web. IX Simpósio Brasileiro em Segurança da Informação e de Sistemas computacionais IX SBSeg.
Macedo, R., Nunes, R., and Bandeira, J. (2010). Modelo de controle de acesso baseado em expressões contextuais. Conferência Latino Americana de Informática CLEI.
Nadalin, A., Goodner, M., Gudgin, M., Barbir, A., Granqvist, H., and eds. (2005). Wstrust 1.3 oasis standard (oasis). Disponível em: [link] acessado em 01 de Julho de 2010.
Nadalin, A., Kaler, C., Hallam-Baker, P., Monzillo, R., and eds. (2006). Web services security: Soap message security 1.0 (ws-security, 2004) errata in 2006 (oasis standard). Disponível em: [link]. acessado em 01 de Julho de 2010.
Ravi, Edward, Hal, and Charles (1996). Role-Based Access Control Models, volume 29. IEEE Press.
Soares, G., Nunes, R., and Amaral, E. (2006). Um modelo de controle de acesso baseado em contexto para autorizações a informações médicas. Conferência Latino Americana de Informática CLEI.
Thomas, R. and Sandhu, R. (1997). Task-based authentication control (tbac): A family of models for active an enterprise-oriented authentication management. IFIP 97, pp. 11-13.
Winsborough, W. H., Seamons, K. E., and Jones, V. E. (2000). Automated trust negotiation. Proceedings of 2000 DARPA Information Survivability Conference and Exposition. IEEE press, pp. 88-102.
Yuan, E. and Tong, J. (2005). Attributed based access control (abac) for web services. ICWS 05.
Published
2010-10-11
How to Cite
MACEDO, Ricardo T.; MOZZAQUATRO, Bruno A.; BIAZUS NETO, Luiz D.; NUNES, Raul C..
Uma Arquitetura de Segurança para Mecanismos de Controle de Acesso Baseados em Serviços Web. In: BRAZILIAN SYMPOSIUM ON CYBERSECURITY (SBSEG), 10. , 2010, Fortaleza.
Anais [...].
Porto Alegre: Sociedade Brasileira de Computação,
2010
.
p. 381-394.
DOI: https://doi.org/10.5753/sbseg.2010.20601.
