Provedores de Identidade Resilientes e Confiáveis
Resumo
Este artigo apresenta o desenvolvimento de uma arquitetura para provedores OpenID resilientes e seguros, cujo objetivo é garantir propriedades essenciais como integridade, alta disponibilidade e confidencialidade de dados sensitivos. Para este fim são utilizados algoritmos para tolerar falhas arbitrárias, é proposto um componente seguro, com uma interface bem definida, e é detalhada a arquitetura que provê as propriedades almejadas ao sistema. A solução proposta supera trabalhos similares em diferentes aspectos, como vazão, latência, tolerância a falhas arbitrárias e confidencialidade (sem comprometer a escalabilidade do sistema). Os resultados demonstram que uma única instância do sistema suporta demandas de ambientes, como infraestruturas de rede e sistemas Web, com mais de 200k usuários.
Referências
Amazon Web Services, Inc. (2014). Amazon EC2 Pricing. http://aws.amazon.com/ec2/pricing/.
Barreto, L., Siqueira, F., da Silva Fraga, J., and Feitosa, E. (2013). Gerenciamento de Identidades Tolerante a Intrusões. In Anais do XXXI SBRC. SBC.
Bessani, A., ao Sousa, J., and Alchieri, E. (2013). State Machine Replication for the Masses with BFT-SMaRt. Technical report, DI/FCUL. https://goo.gl/XPEHMm.
de Sousa, J. C., Bessani, A., and Sousa, P. (2010). Typhon: um serviço de autenticação e autorização tolerante a intrusões. In INForum. http://goo.gl/mgPT7Y.
Kreutz, D., Feitosa, E., Malichevskyy, O., Barbosa, K. R. S., and Cunha, H. (2013a). Um modelo funcional para serviços de identificação e autenticação tolerantes a faltas e intrusões. In SBSeg. SBC. https://goo.gl/yDet4k.
Kreutz, D., Malichevskyy, O., Feitosa, E., Barbosa, K. R. S., and Cunha, H. (2014). System design artifacts for resilient identification and authentication infrastructures. In Proceedings of the Tenth International Conference on Networking and Services. To appear.
Kreutz, D., Niedermayer, H., Feitosa, E., da Silva Fraga, J., and Malichevskyy, O. (2013b). Architecture components for resilient networks. Technical report, SecFuNet Consortium. https://goo.gl/xBHCNb.
Kreutz, D., Ramos, F. M., and Verissimo, P. (2013c). Towards secure and dependable software-defined networks. In SIGCOMM HotSDN, pages 55–60.
Malichevskyy, O., Kreutz, D., Pasin, M., and Bessani, A. (2012). O vigia dos vigias: um serviço RADIUS resiliente. In INForum. http://goo.gl/GDUYBw.
Niedermayer, H., Kreutz, D., Feitosa, E., Malichevskyy, O., Bessani, A., Fraga, J., Cunha, H. A., and Kinkelin, H. (2014). Trustworthy and resilient authentication service architectures. Technical report, SecFuNet Consortium.
of the Bouncy Castle Inc., L. (2014). The Legion of the Bouncy Castle. https://www.bouncycastle.org.
openid-server Community (2010). JOIDS. https://goo.gl/nkyZIj.
OpenID4Java (2013). OpenID 2.0 Java libraries. https://goo.gl/c3kFV.
Prince, M. (2012). Ceasefires Don’t End Cyberwars. https://goo.gl/GI506.
Prince, M. (2013). The DDoS that almost broke the internet. https://goo.gl/g5Qs1.
Recordon, D. and Reed, D. (2006). Openid 2.0: A platform for user-centric identity management. In ACM WDIM, DIM ’06, pages 11–16. ACM.
Rescorla, E. (1999). Diffie-Hellman Key Agreement Method. https://goo.gl/Ta2jhI.
Urien, P. and Dandjinou, M. (2006). Introducing smartcard enabled radius server. In International Symposium on CTS, pages 74–80.
Uruena, M., Munoz, A., and Larrabeiti, D. (2012). Analysis of privacy vulnerabilities in single sign-on mechanisms for multimedia websites. Multimedia Tools and Applications.
Verissimo, P. E., Neves, N. F., Cachin, C., Poritz, J., Powell, D., Deswarte, Y., Stroud, R., and Welch, I. (2006). Intrusion-tolerant middleware: The road to automatic security. Security & Privacy, IEEE, 4(4):54–62.
Viejo, A. (2014). Microsemi Enables FPGA-Based Root-of-Trust Solution for Embedded Systems with Introduction of Secure Boot Reference Design. https://goo.gl/OYCDNT.
Barreto, L., Siqueira, F., da Silva Fraga, J., and Feitosa, E. (2013). Gerenciamento de Identidades Tolerante a Intrusões. In Anais do XXXI SBRC. SBC.
Bessani, A., ao Sousa, J., and Alchieri, E. (2013). State Machine Replication for the Masses with BFT-SMaRt. Technical report, DI/FCUL. https://goo.gl/XPEHMm.
de Sousa, J. C., Bessani, A., and Sousa, P. (2010). Typhon: um serviço de autenticação e autorização tolerante a intrusões. In INForum. http://goo.gl/mgPT7Y.
Kreutz, D., Feitosa, E., Malichevskyy, O., Barbosa, K. R. S., and Cunha, H. (2013a). Um modelo funcional para serviços de identificação e autenticação tolerantes a faltas e intrusões. In SBSeg. SBC. https://goo.gl/yDet4k.
Kreutz, D., Malichevskyy, O., Feitosa, E., Barbosa, K. R. S., and Cunha, H. (2014). System design artifacts for resilient identification and authentication infrastructures. In Proceedings of the Tenth International Conference on Networking and Services. To appear.
Kreutz, D., Niedermayer, H., Feitosa, E., da Silva Fraga, J., and Malichevskyy, O. (2013b). Architecture components for resilient networks. Technical report, SecFuNet Consortium. https://goo.gl/xBHCNb.
Kreutz, D., Ramos, F. M., and Verissimo, P. (2013c). Towards secure and dependable software-defined networks. In SIGCOMM HotSDN, pages 55–60.
Malichevskyy, O., Kreutz, D., Pasin, M., and Bessani, A. (2012). O vigia dos vigias: um serviço RADIUS resiliente. In INForum. http://goo.gl/GDUYBw.
Niedermayer, H., Kreutz, D., Feitosa, E., Malichevskyy, O., Bessani, A., Fraga, J., Cunha, H. A., and Kinkelin, H. (2014). Trustworthy and resilient authentication service architectures. Technical report, SecFuNet Consortium.
of the Bouncy Castle Inc., L. (2014). The Legion of the Bouncy Castle. https://www.bouncycastle.org.
openid-server Community (2010). JOIDS. https://goo.gl/nkyZIj.
OpenID4Java (2013). OpenID 2.0 Java libraries. https://goo.gl/c3kFV.
Prince, M. (2012). Ceasefires Don’t End Cyberwars. https://goo.gl/GI506.
Prince, M. (2013). The DDoS that almost broke the internet. https://goo.gl/g5Qs1.
Recordon, D. and Reed, D. (2006). Openid 2.0: A platform for user-centric identity management. In ACM WDIM, DIM ’06, pages 11–16. ACM.
Rescorla, E. (1999). Diffie-Hellman Key Agreement Method. https://goo.gl/Ta2jhI.
Urien, P. and Dandjinou, M. (2006). Introducing smartcard enabled radius server. In International Symposium on CTS, pages 74–80.
Uruena, M., Munoz, A., and Larrabeiti, D. (2012). Analysis of privacy vulnerabilities in single sign-on mechanisms for multimedia websites. Multimedia Tools and Applications.
Verissimo, P. E., Neves, N. F., Cachin, C., Poritz, J., Powell, D., Deswarte, Y., Stroud, R., and Welch, I. (2006). Intrusion-tolerant middleware: The road to automatic security. Security & Privacy, IEEE, 4(4):54–62.
Viejo, A. (2014). Microsemi Enables FPGA-Based Root-of-Trust Solution for Embedded Systems with Introduction of Secure Boot Reference Design. https://goo.gl/OYCDNT.
Publicado
05/05/2014
Como Citar
KREUTZ, Diego; FEITOSA, Eduardo; CUNHA, Hugo.
Provedores de Identidade Resilientes e Confiáveis. In: WORKSHOP DE TESTES E TOLERÂNCIA A FALHAS (WTF), 15. , 2014, Florianópolis/SC.
Anais [...].
Porto Alegre: Sociedade Brasileira de Computação,
2014
.
p. 174-187.
ISSN 2595-2684.
DOI: https://doi.org/10.5753/wtf.2014.22955.
