ebook img

Análise de Políticas de Controle de Acesso Baseado em Papéis PDF

128 Pages·2012·1.91 MB·Portuguese
Save to my drive
Quick download
Download
Most books are stored in the elastic cloud where traffic is expensive. For this reason, we have a limit on daily download.

Preview Análise de Políticas de Controle de Acesso Baseado em Papéis

Eduardo Takeo Ueda Análise de Políticas de Controle de Acesso Baseado em Papéis com Rede de Petri Colorida Tese apresentada à Escola Politécnica da Universidade de São Paulo para obtenção do Título de Doutor em EngenhariaElétrica. SãoPaulo 2012 Eduardo Takeo Ueda Análise de Políticas de Controle de Acesso Baseado em Papéis com Rede de Petri Colorida Tese apresentada à Escola Politécnica da Universidade de São Paulo para obtenção do Título de Doutor em EngenhariaElétrica. Áreadeconcentração: Engenharia de Computação e Sistemas Digitais Orientador: Prof. Dr. Wilson Vicente Ruggiero SãoPaulo 2012 Este exemplar foi revisado e alterado em relação à versão original, sob responsabilidade única do autor e com a anuência de seu orientador. São Paulo, 20 de julho de 2012. Assinatura do autor ___________________________________ Assinatura do orientador ______________________________ FICHA CATALOGRÁFICA Ueda, Eduardo Takeo Análise de políticas de controle de acesso baseado em papéis com rede de Petri colorida / E.T. Ueda. -- ed.rev. -- São Paulo, 2012. 112 p. Tese (Doutorado) - Escola Politécnica da Universidade de São Paulo. Departamento de Engenharia de Computação e Sis- temas Digitais. 1. Redes de Petri 2. Políticas de controle de acesso I. Univer- sidade de São Paulo. Escola Politécnica. Departamento de Enge- nharia de Computação e Sistemas Digitais II. t. DEDICATÓRIA ACarlAdamPetri(1926−2010),cujavaliosacontribuição àciênciapermitiuarealizaçãodestapesquisa. AGRADECIMENTOS Àminhafamília–paiseirmãos–pelocarinho,apoioecompreensãodurantetodos osmomentosdeminhavida. Ao meu orientador, Prof. Dr. Wilson Vicente Ruggiero, por acreditar na minha capacidade,pelaexcelenteorientação,pormeensinartantoaolongodosúltimosanos, eprincipalmentepelaamizade. Aos professores Paulo Sérgio Licciardi Messeder Barreto e Graça Bressan, pelas valiosascríticasesugestõesduranteoprocessodequalificaçãodedoutorado. A todos os professores, alunos e funcionários do Laboratório de Arquitetura e Redes de Computadores (LARC), por me proporcionarem participar de um ambiente dealtíssimoconhecimentocientíficoetecnológico. Aos meus amigos Claudia de Oliveira Melo, Thiago Carvalho de Sousa e Percy Javier Igei Kaneshiro, por todas as discussões referentes a meu doutorado, acrescidas muitasvezescomimportantespausasparaum“cafezinho”. Ao Michael Westergaard, principal desenvolvedor da ferramenta CPN Tools, pela valiosatrocadeconhecimentosobremodelagemcomrededePetricolorida. AoConselhoNacionaldeDesenvolvimentoCientíficoeTecnológico(CNPq),pela concessãodabolsadedoutoradoepeloapoiofinanceiroemtodasasminhasatividades depesquisaduranteoprogramadepós-graduação. Por fim, a todos que porventura deixei de mencionar mas que contribuíram direta ouindiretamenteparaqueeupudesseterêxitonaconclusãodestatesededoutorado. RESUMO Controle de acesso é um tópico de pesquisa importante tanto para a academia quanto para a indústria. Controle de Acesso Baseado em Papéis (CABP) foi desenvolvido no início dos anos 1990, tornando-se um padrão generalizado para controle de acesso em váriosprodutosesoluçõescomputacionais. EmboramodelosCABPsejamlargamente aceitoseadotados,aindaexistemquestõespararesponder. Umdosprincipaisdesafios de pesquisa em segurança baseada em papéis é determinar se uma política de controle deacessoéconsistenteemumambientealtamentedinâmico. Nossapesquisavisapre- encher essa lacuna fornecendo um método para analisar políticas CABP com respeito a dois aspectos significativos: segurança e dinamismo envolvendo papéis e objetos. Para este propósito, desenvolvemos um modelo de descrição e simulação de política usando rede de Petri colorida e CPN Tools. O modelo descreve e é capaz de simular vários estados CABP em um contexto de educação a distância típico. Usando este modelo,foipossívelanalisaroespaçodeestadosproduzidopelarededePetricolorida em um cenário dinâmico envolvendo a criação de novos papéis e objetos. O resultado da análise de alcançabilidade da rede de Petri da política demonstrou que é possível verificaraconsistênciadepolíticasdecontroledeacessoconsiderandoadinamicidade de papéis e objetos, e apontou vantagens de aplicabilidade da modelagem de políticas desegurançaemambientesdistribuídosutilizandorededePetricolorida. Palavras-chave: Políticas de Segurança, Controle de Acesso Baseado em Papéis, RededePetriColorida,Modelagem,Simulação. ABSTRACT Access control is an important research topic both for academia and industry. Role BasedAccessControl(RBAC)wasdevelopedintheearly1990s,becomingageneral- ized standard of access control for many products and computing solutions. Although RBACmodelshavebeenwidelyacceptedandadopted,thereareissuestoanswer. One ofthekeychallengesforrole-basedsecurityresearchistocharacterizewhetheranac- cess control policy is consistent in a highly dynamic environment. Our research aims filling this gap providing a method to analyze RBAC policies with respect to two sig- nificant aspects: security and dynamics involving roles and objects. For this purpose, we developed a policy description and simulation model using colored Petri net and the CPN Tools. The model describes and is capable to simulate many RBAC states in a typical distance education context. Using this model it was possible to analyze the state space provided by colored Petri net that simulates a dynamic environment and the creation of new roles and objects. The result of the reachability analysis of Petri net policy showed that it is possible to check the consistency of access control policies considering dynamic of roles and objects, and point out the advantages and applicability of modeling security policies in distributed environments using colored Petrinet. Keywords: Security Policies, Role Based Access Control, Colored Petri Net, Mod- elling,Simulation. Lista de Figuras 1.1 PrincipaisEtapasdaPesquisa . . . . . . . . . . . . . . . . . . . . . . 5 2.1 ElementosdoModeloRBAC . . . . . . . . . . . . . . . . . . . . . . 12 2.2 DistribuiçãodasAbordagensporAno . . . . . . . . . . . . . . . . . 22 3.1 MarcaçãoinicialdarededePetri . . . . . . . . . . . . . . . . . . . . 29 3.2 RededePetriduranteumdisparo . . . . . . . . . . . . . . . . . . . . 30 3.3 RededePetriapósumdisparo . . . . . . . . . . . . . . . . . . . . . 30 3.4 RededePetricolorida . . . . . . . . . . . . . . . . . . . . . . . . . . 33 3.5 InterfacedaferramentaCPNTools . . . . . . . . . . . . . . . . . . . 34 3.6 Seleçãodemúltiplosde2,3e6–Estadoinicial . . . . . . . . . . . . 35 3.7 Seleçãodemúltiplosde2,3e6–Estadofinal . . . . . . . . . . . . . 36 3.8 RededePetricoloridadeumaFilaLimitada . . . . . . . . . . . . . . 37 3.9 DeclaraçãodecoresevariáveisparaaFilaLimitada . . . . . . . . . . 38 3.10 SimulaçãodarededePetricoloridadeumaFilaLimitada . . . . . . . 38 3.11 RededePetrideumaFilaLimitada–Versão2 . . . . . . . . . . . . . 40 3.12 DeclaraçãodecoresevariáveisparaaFilaLimitada–Versão2 . . . . 41 3.13 SimulaçãodarededePetricoloridadeumaFilaLimitada–Versão2 . 42 3.14 Espaçodeestadoscom2usuáriosnafila . . . . . . . . . . . . . . . . 43 3.15 Estadosemqueousuário1ocupaoservidor1 . . . . . . . . . . . . . 44 3.16 Usuário1nuncaocupaoservidor2 . . . . . . . . . . . . . . . . . . 44 3.17 Estadosemqueosusuários1e2estãojuntos . . . . . . . . . . . . . 45 3.18 Espaçodeestadoscom3usuáriosnafila . . . . . . . . . . . . . . . . 46 3.19 Workflowdeumaconferência . . . . . . . . . . . . . . . . . . . . . . 48 3.20 DeclaraçãodecoresevariáveisparaoWorkflow . . . . . . . . . . . . 49 3.21 SubPageEvaluationdoWorkflow . . . . . . . . . . . . . . . . . . . 50 3.22 Detecçãodeinconsistência . . . . . . . . . . . . . . . . . . . . . . . 50 3.23 Representaçãode3nósdoespaçodeestadosquesatisfazemaconsulta daFigura3.22 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 51 3.24 Workflowdeumaconferênciacomregradeautorização . . . . . . . . 51 3.25 Inconsistênciacorrigida . . . . . . . . . . . . . . . . . . . . . . . . . 52 3.26 EstadofinaldoWorkflowdaconferênciacom10submissões . . . . . 52 5.1 ModelodeDados . . . . . . . . . . . . . . . . . . . . . . . . . . . . 67 5.2 TokensColoridosdaRededoWorkflow . . . . . . . . . . . . . . . . 72 5.3 VariáveisdaRededoWorkflow . . . . . . . . . . . . . . . . . . . . . 72 5.4 ParâmetrosconstantesdaRededoWorkflow . . . . . . . . . . . . . . 73 5.5 FunçõesDefinidasnaRededoWorkflow . . . . . . . . . . . . . . . . 74 5.6 WorkflowdoCenárioEducacional . . . . . . . . . . . . . . . . . . . 75 5.7 MóduloRequestOffer . . . . . . . . . . . . . . . . . . . . . . . . . 77 5.8 MóduloRegisterStudent . . . . . . . . . . . . . . . . . . . . . . . . 77 5.9 MóduloAttendClass . . . . . . . . . . . . . . . . . . . . . . . . . . 78 5.10 MóduloCloseClass . . . . . . . . . . . . . . . . . . . . . . . . . . . 78 5.11 MóduloTakeExam . . . . . . . . . . . . . . . . . . . . . . . . . . . 79 5.12 MóduloCloseExam . . . . . . . . . . . . . . . . . . . . . . . . . . 79 5.13 MóduloEvaluateExam . . . . . . . . . . . . . . . . . . . . . . . . . 80 5.14 MóduloCloseOffer . . . . . . . . . . . . . . . . . . . . . . . . . . . 80 5.15 EstadoFinaldoWorkflowdoCenárioEducacional . . . . . . . . . . 81 6.1 VerificaçãodePropriedadenaModelagem . . . . . . . . . . . . . . . 86 6.2 ConsultaparadeterminarconflitoentreProfessoreAluno . . . . . . . 89 6.3 ConsultaparadeterminarautorizaçãonãopermitidadopapelMonitor 89 6.4 Dinamicidadecomumnovopapelouvinte . . . . . . . . . . . . . . . 91 6.5 MóduloTakeExamcompapelOuvinte . . . . . . . . . . . . . . . . 92 6.6 ConsultaparadeterminarconflitoentreProfessoreOuvinte . . . . . . 92 6.7 ConsultaparadeterminarautorizaçãonãopermitidadopapelOuvinte 93

Description:
Em trabalho posterior, Laid, Djouani e Tfaili (2010) utilizaram rede de Petri co- nece consistente mesmo após ela sofrer alterações (KAHLOUL et al., 2010).
See more

The list of books you might like

Most books are stored in the elastic cloud where traffic is expensive. For this reason, we have a limit on daily download.